JP2006229265A - ゲートウェイシステム - Google Patents
ゲートウェイシステム Download PDFInfo
- Publication number
- JP2006229265A JP2006229265A JP2005029611A JP2005029611A JP2006229265A JP 2006229265 A JP2006229265 A JP 2006229265A JP 2005029611 A JP2005029611 A JP 2005029611A JP 2005029611 A JP2005029611 A JP 2005029611A JP 2006229265 A JP2006229265 A JP 2006229265A
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- service
- information
- communication network
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 通信網において、通信網外部のユーザ端末からのサービス要求に応じて円滑にサービスを提供することができるようにするゲートウェイシステム提供する。
【解決手段】 ゲートウェイシステム10は、移動体通信網3とインターネット網11との境界に存在し、インターネット網11経由で、ユーザ端末13からサービスの提供の要求情報を受信する要求受信部10aと、受信したユーザ端末13のクライアント証明書に基づいて、ユーザ端末13の正当性を認証する端末認証部10bと、ユーザ端末13のサービス特定情報を取得する接続先取得部10cと、サービス特定情報に基づきユーザ端末13が利用可能なサービスサーバに、ユーザ端末13の携帯電話番号を含む情報を送信する端末情報送信部10dと、ユーザ端末13が通信網3において情報通信を行うためのネットワーク情報をユーザ端末13に送信するネットワーク情報送信部10eとを備えている。
【選択図】 図1
【解決手段】 ゲートウェイシステム10は、移動体通信網3とインターネット網11との境界に存在し、インターネット網11経由で、ユーザ端末13からサービスの提供の要求情報を受信する要求受信部10aと、受信したユーザ端末13のクライアント証明書に基づいて、ユーザ端末13の正当性を認証する端末認証部10bと、ユーザ端末13のサービス特定情報を取得する接続先取得部10cと、サービス特定情報に基づきユーザ端末13が利用可能なサービスサーバに、ユーザ端末13の携帯電話番号を含む情報を送信する端末情報送信部10dと、ユーザ端末13が通信網3において情報通信を行うためのネットワーク情報をユーザ端末13に送信するネットワーク情報送信部10eとを備えている。
【選択図】 図1
Description
本発明は、ゲートウェイシステムに関するものである。
移動通信事業者等は、独自の通信網内に自社網契約ユーザ限定のコンテンツ提供事業などを行っていることがある。コンテンツ契約と回線契約とを紐付けて利用者を限定することである種の顧客の「囲い込み」的な作用を期待することもできるが、ユーザは移動通信以外にも柔軟なアクセス回線でのサービスの利用を要望している。また、通信網内でサービスを提供するサービス提供者も回線契約とサービス契約の連携をある程度担保できれば、アクセス回線に関わらずサービスの利用可能者数が増加することを望んでいる。
このような要望に応じて、内部通信網に対して、セキュリティを担保しつつインターネット経由でのリモートアクセスを行わせる通信方法として、VPN(Virtual Private Network)を利用したものが知られている。このVPNを利用した通信によれば、専用回線を用いるよりも低い通信コストでセキュアな通信を実現でき、インターネット接続の形態がダイアルアップ接続からxDSLや無線LAN、CATVを代表するような広帯域、常時接続へと多様化する中で、更に利便性向上が期待されている。
このように、外部通信網の端末から内部通信網へのリモートアクセスを行わせる技術として、下記特許文献1がある。この特許文献1に示されたサービス提供システムでは、内部通信網の終端装置であるゲートウェイにおいて、インターネット経由でアクセスするユーザ端末の認証が行われると、このユーザが認証済みであることが認証確認サーバで一元管理される。このように、ユーザ認証の有無を通信網内で一元管理することで、シングルサインオンを実現し、ユーザは提供を希望するサービス毎にパスワード等を管理する必要をなくしている。
特開2004−133824号公報
しかしながら、このサービス提供システムにおいては、通信網外部のユーザ端末からのサービス要求があると、まず、ゲートウェイにおけるユーザ認証が行われ、ゲートウェイから認証確認サーバへの認証結果の転送が行われる。そして、サービス提供を行うサービスサーバは、ユーザ端末からのサービス要求を受けた時に初めて認証確認サーバに当該ユーザの認証の有無を確認した後、ユーザ端末に対するサービス提供を開始する。このサービス提供システムでは、通信網外部のユーザ端末からサービス要求を受けたときだけに、上記のような手順を経た後にサービスサーバからのサービスが利用可能となるので、サービス提供がユーザ端末認証後に即座に開始されないという問題があり、端末が通信サーバ、サービスサーバが通信クライアントとなる通信での利用は期待できない。通信網外部のユーザ端末への更に円滑なサービス提供の仕組みが求められていた。
そこで、本発明は、通信網において、通信網外部のユーザ端末からのサービス要求のみならず、内部通信網から通信網外部のユーザ端末へのサービス要求に対してもサービスを利用でき、円滑なサービスの提供ができるようにするゲートウェイシステムを提供することを目的とする。
本発明に係るゲートウェイシステムは、ユーザ端末に対してサービスを提供するサービスサーバが属する第1の通信網と当該第1の通信網とは異なる第2の通信網との境界に存在するゲートウェイシステムであって、第2の通信網を経由してユーザ端末から送信される、サービスの提供を要求する要求情報を受信する要求受信手段と、当該受信した要求情報に含まれているユーザ端末の証明情報に基づいて、ユーザ端末の正当性を認証する認証手段と、当該認証に応じて、ユーザ端末を特定する端末特定情報と関連付けられて格納されている、ユーザ端末において利用可能なサービスを特定するサービス特定情報を取得する接続先取得手段と、当該取得したサービス特定情報に基づいて特定されるサービスサーバに、端末特定情報を送信する端末情報送信手段と、認証手段の認証に応じて、第1の通信網において情報通信を行うためのネットワーク情報をユーザ端末に送信する網情報送信手段と、を備えることを特徴とする。
このゲートウェイシステムによれば、ユーザ端末が第2の通信網を経由して第1の通信網へのサービス提供を要求した場合には、第1及び第2の通信網の境界においてこのゲートウェイシステムによる次のような処理がなされる。まず、要求受信手段がユーザ端末からの要求情報を受信し、この要求情報に含まれる証明情報によって認証手段がユーザ端末の正当性を認証する。そして、接続先取得手段が端末特定情報を基にサービス特定情報を取得することで、このユーザ端末が利用可能なサービスサーバが特定される。そして、端末情報送信手段が、特定された利用可能なサービスサーバに端末特定情報を送信し、網情報送信手段が、ネットワーク情報をユーザ端末に送信する。従って、ユーザ端末がネットワーク情報を受信することで第1の通信網における情報通信を行うことができるようになり、サービスサーバが当該ユーザ端末の端末特定情報を受信することでこのユーザ端末によるサービスサーバの利用の準備が完了することになるので、ユーザ端末は、正当性の認証の後直ちに、サービスサーバからのサービス提供を受けることができる。
本発明のゲートウェイシステムによれば、通信網において、通信網外部のユーザ端末からのサービス要求のみならず、内部通信網から通信網外部のユーザ端末へのサービス要求に対してもサービスを利用でき、円滑にサービスを提供することができる。
以下、図面を参照しつつ本発明の実施形態であるゲートウェイシステムを備えたサービス提供システムの好適な実施形態について詳細に説明する。
図1に示すように、サービス提供システム1は、例えばサービス提供事業者の移動体通信網3(第1の通信網)内に構築されたシステムである。この通信網3には複数のユーザ端末(ここでは、携帯電話)5と、このユーザ端末5からのサービス要求に応じてユーザ端末5に各サービスを提供する複数のサービスサーバA,B,C,…が属している。
サービスサーバA等は、端末側が常に通信クライアント、サービスサーバAが通信サーバという一般的なクライアント・サーバモデルとは異なる通信方式(端末側が通信サーバ、サービスサーバAが通信クライアント、または端末・サービスサーバAともに通信クライアント、サーバになりうる通信)の通信ノードを想定することも可能である。例えば、SIP(Session Initiation Protocol )のように、信号処理・メッセージ等のサービスを、主として通信網3内部においてユーザ端末5に対して提供するものである。サービスサーバA等は、通信網3外部のインターネット網11(第2の通信網)に属するユーザ端末(ここでは、携帯電話)13に対してもサービスを提供することが可能となっている。
すなわち、サービス提供システム1によれば、サービスサーバA等の利用者として登録されているユーザは、例えば、WiFi対応の携帯電話をユーザ端末13として用い、xDSLルータ及びインターネット網11を経由して通信網3内のサービスサーバA等にアクセスすることができ、このサービスサーバA等からのサービス提供を受けることができる。このようにして、通信網3のサービス提供システム1においては、経由する通信網を限定されることなくユーザがサービスサーバA等のサービスを利用することができ、ユーザの接続形態の多様化への対応が図られている。
このような通信網3においては、インターネット網11等の外部通信網経由でユーザ端末13からのサービス要求があった場合には、通信網3のセキュリティを担保すべく、ユーザ端末13の認証を行う必要がある。このため、サービス提供システム1では、通信網3とインターネット網11との境界に、ゲートウェイシステム10が設置されている。ゲートウェイシステム10は、例えば、SSL/TLS終端ゲートウェイとして構成されており、例えば、httpトンネリングといった通信方法を用いることで、インターネット網11を介しつつユーザ端末13との間でセキュリティが高い通信を担保することができる。
また、サービス提供システム1は、サービス特定情報DB15を備えており、サービス特定情報DB15には、図2に示すように、サービスサーバA等を利用するユーザ端末に関して、各ユーザ端末の端末識別子(例えば、携帯電話番号・端末特定情報)と当該ユーザ端末によって利用可能なサービスサーバの情報(サービス特定情報)とが関連付けられたサービス特定情報31が格納されている。すなわち、サービス特定情報31とは、各ユーザ端末が各サービスサーバA等を利用できるか否かをサービスサーバごとに「enable(利用可)」又は「disable(利用不可)」で示す情報である。このような情報に基づいて、インターネット網11経由でサービス提供の要求を送信するユーザ端末の認証の可否を判断することにしている。
上記のゲートウェイシステム10は、機能的な構成要素として、要求受信部10a(要求受信手段)、端末認証部10b(認証手段)、接続先取得部10c(接続先取得手段)、端末情報送信部10d(端末情報送信手段)、及びネットワーク情報送信部10e(網情報送信手段)を備えている。
要求受信部10aは、インターネット網11経由でユーザ端末13から送信されるサービス提供の要求情報を受信する。端末認証部10bは、受信した要求情報に含まれるユーザ端末13のクライアント証明書(証明情報)に基づいて、ユーザ端末13がサービスサーバA等の正当な利用者であるか否かを判断して、ユーザ端末13の認証を行う。接続先取得部10cは、要求情報に含まれるユーザ端末13の携帯電話番号をキーにしてサービス特定情報DB15から当該ユーザ端末のサービス特定情報31を取得し、当該ユーザ端末が利用可能なサービスサーバを特定する。端末情報送信部10dは、ユーザ端末13が利用可能なサービスサーバA等に対してユーザ端末13を特定する携帯電話番号等の端末識別情報を送信し、そのサービスサーバA等に当該ユーザ端末13に関する情報を登録させる。この情報の登録により、サービスサーバA等においてユーザ端末13によるサービス利用の準備が完了する。
ネットワーク情報送信部10eは、例えば仮想IPアドレス等を生成し、ユーザ端末13に対してこの仮想IPアドレスを払い出す。ユーザ端末13は、払い出された仮想IPアドレスを取得し、この仮想IPアドレスをもって、サービスサーバA等へのアクセスといった通信網3内における情報通信が可能となる。ここで払い出される仮想IPアドレスは、上記サービス特定情報31に基づき、ユーザ端末13が利用可能なサービスサーバに対応したアドレス体系とされる。従って、ユーザ端末13が利用するサービスサーバにおいてアクセス端末のアドレス体系に制限がある場合にも、その制限に合わせた仮想IPアドレスを生成することができ、この仮想IPアドレスを取得するユーザ端末13は、円滑に各サービスサーバにアクセスしてサービス提供を受けることができる。
このようなサービス提供システム1及びゲートウェイシステム10が、ユーザ端末13からのアクセスを受けた処理について、図3のシーケンス図を参照しながら説明する。
まず、ユーザ端末13が、インターネット網11を通じてゲートウェイシステム10の要求受信部10aにアクセスすることで、SSL/TSLセッションが開始する(S302)。ゲートウェイシステム10は、ユーザ端末13に対してクライアント証明書(証明情報)の送信を要求する(S304)。ユーザ端末13は、この要求に応じて、図4に示すようなクライアント証明書33をゲートウェイシステム10に送信する(S306)。この証明書33は、ユーザ端末13の端末識別子(例えば、携帯電話番号、端末特定情報)を含むと共に、httpトンネルサービスの享受が可能(enable)である旨の情報を拡張領域に含んでいる。ゲートウェイシステム10は、この証明書33に含まれる端末識別子によってユーザ端末13を特定することが可能である。
次に、端末認証部10bは、サービス特定情報DB15を参照し、受信した証明書33に含まれる例えば携帯電話番号(この場合、090−0000−0000)のような端末識別子をキーにしてこのユーザ端末13の認証の可否を確認する(S308)と共に、このユーザ端末13がhttpトンネル上で利用可能なサービス(以下「上位サービス情報」という)を確認する(S310)。そして、ゲートウェイシステム10は、ユーザ端末13が認証可能と確認した場合には、ユーザ端末13を認証した旨の通知をこのユーザ端末13に対して送信する(S312)。
続いて、ユーザ端末13は、ゲートウェイシステム10に対してhttpトンネルの確立と、ネットワーク情報の払い出しとを要求する(S314)。この要求を受信したゲートウェイシステム10は、サービス特定情報DB15を参照し、ユーザ端末13に対応する上位サービス情報と、ユーザ端末13が利用可能な上位サービスにおけるネットワーク情報の要否情報と、ユーザ端末13に対応する上位サービス情報を取得する(S316)。この場合、携帯電話番号「090−0000−0000」をキーにして、ユーザ端末13はサービスA,B,C,Dが利用可能である旨の上位サービス情報が取得されることになる。
そして、端末情報送信部10dは、ユーザ端末13が利用可能なサービスサーバA,B,C,Dそれぞれに対し、サービス開始の準備として、ユーザ端末13が当該サービスサーバを利用可能である旨の登録を行わせる(S318)。例えば、そのネットワーク情報が仮想的なIPアドレスである場合には、各サービスサーバA,B,C,Dに対して、図5に示すように、ネットワーク情報送信部10eで生成された仮想IPアドレス及び端末識別子を含めたユーザ端末13の情報35が送信され、各サービスサーバに登録される。この仮想IPアドレスとしては、各サービスサーバA,B,C,Dにアクセスが可能なアドレス体系が選択される。この登録により、サービスサーバA,B,C,Dのサービスが活性化され、ユーザ端末13がサービスサーバA,B,C,Dを利用する準備が完了する。そして、ゲートウェイシステム10が各サービスサーバA,B,C,Dから登録完了の通知を受けると(S320)、ユーザ端末13とゲートウェイシステム10との間にhttpトンネル41(図1参照)が確立され、ネットワーク情報送信部10eは生成した仮想IPアドレス(ここでは、IPv4アドレス:10.0.0.1)をユーザ端末13に対して払い出す(S322)。以上のように、ユーザ端末13が認証された後、ユーザ端末13は通信網3内における仮想IPアドレスを取得し、この時点でユーザ端末13が利用可能なサービスサーバA,B,C,Dには既にユーザ端末13の情報が登録されている。この状態では、サービスサーバA,B,C,Dは、ユーザ端末13が既に認証済みであることを認識していることになるので、サービスサーバA等にユーザ端末13からのアクセス要求があった場合、サービスサーバA等は、例えば他のサーバ等にユーザ端末13の認証の有無の確認を必要とせずにアクセスを許可することができる。従って、ユーザ端末13は、ゲートウェイシステム10によるユーザ認証の後、直ちに各サービスサーバにアクセスしてサービス提供を受けることができる。また、直ちにサービスサーバA等が自発的に、ユーザ端末13に対してサービス要求を行なうことも可能となる。
その後、サービス提供におけるユーザ端末13とサービスサーバA等との通信(S324〜S330)は、図6に示すようなプロトコルスタックをもって行われる。すなわち、L1、L2、IP、TCP、SSL/TLS層のプロトコルによってユーザ端末13とゲートウェイシステム10との間のhttpトンネルを通じた接続が図られる。そして、ゲートウェイシステム10によって自動的にSSL/TLS層以下のカプセルが解除されることで、ユーザ端末13の通信網3内における通信は、SSL/TLS層よりも上位層の例えば仮想IP(vIP)のようなネットワーク情報をもって行われ、この仮想IPアドレスの更に上位層によって、「メッセージ・信号」、「音声」といったサービスがユーザ端末13に提供されることになる。なお、例えば、図6における「Message,Signal,Voice,etc.」サービスを提供するサービスサーバへのアクセスは、仮想IPアドレスを必要としない場合もあり、SSL/TLS層の上位層には仮想IP層が形成されないこともある。また、図6のように仮想データリンク層(vETH)も含めてネットワーク情報と称することも出来る。
1…サービス提供システム、3…移動体通信網(第1の通信網)、10…ゲートウェイシステム、10a…要求受信部、10b…認証部、10c…接続先取得部、10d…端末情報送信部、10e…ネットワーク情報送信部、11…インターネット網(第2の通信網)、13…ユーザ端末、15…サービス特定情報DB、31…サービス特定情報、33…クライアント証明書、A,B,C,D…サービスサーバ。
Claims (1)
- ユーザ端末に対してサービスを提供するサービスサーバが属する第1の通信網と当該第1の通信網とは異なる第2の通信網との境界に存在するゲートウェイシステムであって、
前記第2の通信網を経由して前記ユーザ端末から送信される、前記サービスの提供を要求する要求情報を受信する要求受信手段と、
当該受信した要求情報に含まれている前記ユーザ端末の証明情報に基づいて、前記ユーザ端末の正当性を認証する認証手段と、
当該認証に応じて、前記ユーザ端末を特定する端末特定情報と関連付けられて格納されている、前記ユーザ端末において利用可能なサービスを特定するサービス特定情報を取得する接続先取得手段と、
当該取得したサービス特定情報に基づいて特定されるサービスサーバに、前記端末特定情報を送信する端末情報送信手段と、
前記認証手段の認証に応じて、前記第1の通信網において情報通信を行うためのネットワーク情報を前記ユーザ端末に送信する網情報送信手段と、
を備えることを特徴とするゲートウェイシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005029611A JP2006229265A (ja) | 2005-01-20 | 2005-02-04 | ゲートウェイシステム |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005013120 | 2005-01-20 | ||
JP2005029611A JP2006229265A (ja) | 2005-01-20 | 2005-02-04 | ゲートウェイシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006229265A true JP2006229265A (ja) | 2006-08-31 |
JP2006229265A5 JP2006229265A5 (ja) | 2008-02-28 |
Family
ID=36990273
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005029611A Pending JP2006229265A (ja) | 2005-01-20 | 2005-02-04 | ゲートウェイシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006229265A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008099245A (ja) * | 2006-09-14 | 2008-04-24 | Sony Corp | 無線通信システム、無線通信装置、無線通信装置の認証方法、および、プログラム |
JP2013196036A (ja) * | 2012-03-15 | 2013-09-30 | Fujitsu Ltd | サービス要求装置、サービス要求方法およびサービス要求プログラム |
JP2019004263A (ja) * | 2017-06-13 | 2019-01-10 | Kddi株式会社 | ゲートウェイ装置、利用管理システム、利用制御方法及び利用制御プログラム |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112292836B (zh) | 2018-06-29 | 2023-04-18 | 日本电信电话株式会社 | 服务开始方法及通信系统 |
-
2005
- 2005-02-04 JP JP2005029611A patent/JP2006229265A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008099245A (ja) * | 2006-09-14 | 2008-04-24 | Sony Corp | 無線通信システム、無線通信装置、無線通信装置の認証方法、および、プログラム |
US8208899B2 (en) | 2006-09-14 | 2012-06-26 | Sony Corporation | Wireless communication system, wireless communication device, authentication method of wireless communication device, and program |
JP2013196036A (ja) * | 2012-03-15 | 2013-09-30 | Fujitsu Ltd | サービス要求装置、サービス要求方法およびサービス要求プログラム |
US9313254B2 (en) | 2012-03-15 | 2016-04-12 | Fujitsu Limited | Service request apparatus, service request method, and recording medium |
JP2019004263A (ja) * | 2017-06-13 | 2019-01-10 | Kddi株式会社 | ゲートウェイ装置、利用管理システム、利用制御方法及び利用制御プログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8091116B2 (en) | Communication system and method | |
US8130635B2 (en) | Network access nodes | |
US9210729B2 (en) | Communication system and method | |
JP5239341B2 (ja) | ゲートウェイ、中継方法及びプログラム | |
US20060155984A1 (en) | Apparatus, method and computer software products for controlling a home terminal | |
JP4636617B2 (ja) | ゲートウェイ装置、接続制御装置及びネットワーク接続システム | |
CN110800331A (zh) | 网络验证方法、相关设备及系统 | |
US9065684B2 (en) | IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium | |
JP5591799B2 (ja) | 訪問先ネットワークを経由したリモートネットワークアクセス | |
JP2002314549A (ja) | ユーザ認証システム及びそれに用いるユーザ認証方法 | |
JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
JP2010118752A (ja) | ネットワークシステム、dhcpサーバ装置、及びdhcpクライアント装置 | |
WO2008022589A1 (fr) | Système et procédé destinés à authentifier une demande d'accès pour un réseau local | |
JP2009111859A (ja) | 利用者のアドレス情報を登録する装置、方法およびプログラム | |
WO2016192608A2 (zh) | 身份认证方法、身份认证系统和相关设备 | |
JP2009100064A (ja) | 無線lanの通信方法及び通信システム | |
JP2015503303A (ja) | セキュリティで保護された通信システムおよび通信方法 | |
JP2014510480A (ja) | ネットワーク通信システムおよび方法 | |
JP5494995B2 (ja) | ローカルドメイン名を取得するための方法、装置、およびシステム | |
JP2006229265A (ja) | ゲートウェイシステム | |
KR20040001329A (ko) | 공중 무선랜 서비스를 위한 망 접속 방법 | |
JP4472566B2 (ja) | 通信システム、及び呼制御方法 | |
JP4950095B2 (ja) | サービス提供システム、サービス提供方法およびサービス提供プログラム | |
JP5388088B2 (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
JP2004078280A (ja) | リモートアクセス仲介システム及び方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Effective date: 20080116 Free format text: JAPANESE INTERMEDIATE CODE: A523 |
|
A621 | Written request for application examination |
Effective date: 20080116 Free format text: JAPANESE INTERMEDIATE CODE: A621 |
|
A131 | Notification of reasons for refusal |
Effective date: 20090512 Free format text: JAPANESE INTERMEDIATE CODE: A131 |
|
A02 | Decision of refusal |
Effective date: 20090915 Free format text: JAPANESE INTERMEDIATE CODE: A02 |