JP2010028622A - ネットワーク処理装置 - Google Patents

ネットワーク処理装置 Download PDF

Info

Publication number
JP2010028622A
JP2010028622A JP2008189591A JP2008189591A JP2010028622A JP 2010028622 A JP2010028622 A JP 2010028622A JP 2008189591 A JP2008189591 A JP 2008189591A JP 2008189591 A JP2008189591 A JP 2008189591A JP 2010028622 A JP2010028622 A JP 2010028622A
Authority
JP
Japan
Prior art keywords
network
network processing
nsp
processing device
logical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008189591A
Other languages
English (en)
Other versions
JP5213563B2 (ja
Inventor
Masatomo Ukeda
賢知 受田
Kazuhito Yaegashi
一仁 八重樫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Kokusai Electric Inc
Original Assignee
Hitachi Kokusai Electric Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Kokusai Electric Inc filed Critical Hitachi Kokusai Electric Inc
Priority to JP2008189591A priority Critical patent/JP5213563B2/ja
Publication of JP2010028622A publication Critical patent/JP2010028622A/ja
Application granted granted Critical
Publication of JP5213563B2 publication Critical patent/JP5213563B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

【課題】WiMAXシステムにおいて、単一の事業者が自身のサービスのみを想定してシステムの構築を行う場合、NAPから接続されるNSPは一台だけとなることから、NSP選択手段は不要となる。しかし、システムでMVNO(Mobile Virtual Network Operator)を許可する場合、NSPは事業者毎に用意する必要があるため、NAPからのNSP選択手段が必要となるという問題があった。
【解決手段】MS、BS、ASN-GW、NSPからなる構成において、Network Entry時にASN-GWを選択する手段としてNSP IDまたはNAIを利用したASN-GWの選択を行う。そのために、ASN-GWとBSの間にWS(WiMAX Switch)を設置する。これにより、MS及びBSの仕様に影響を及ぼさずに、任意のNSPに関連づけられたGWを選択可能となる効果があり、また認証を要する処理と、それ以外の処理を分ける事により処理負荷が軽減する効果がある。
【選択図】 図1

Description

本発明はネットワーク処理装置とネットワーク処理装置を利用するネットワーク構成に関する。
WiMAX(Worldwide Interoperability for Microwave Access)は中長距離向けの無線通信技術であり、IEEE( The Institute of Electrical and Electronic Engineers, Inc) 802.16作業部会及びWiMAX Forumで標準化が行われている技術規格である。WiMAXは最大10Kmまでの通信距離と、最大75Mbpsの通信速度を持ち、有線のケーブルを敷設することが困難な地域や、低価格の無線ブロードバンドサービス向け技術として期待されている。
WiMAXシステムは、主にMS(Mobile Station)、NAP(Network Access Provider)、NSP(Network Service Provider)から構成されている。
図8は本システムの構成モデルの一例を表している。ここで、MS800は無線サービスを利用するユーザまたは機器のネットワーク接続装置であり、NAP810はMS800に対して無線通信のためのインフラを提供する移動通信事業者の装置またはそのグループであり、NSP820及びNSP830は回線制御のほか、利用者の加入管理及びネットワークへの接続管理を行う事業者の装置またはそのグループである。
MS800がNAP810への接続を開始すると、NAP810はMS800から収集した情報を元にNSP820に、MS800の接続可否を問い合わせる。このときNSP820はMS800に対してサービス開始の許可を与えるための認証処理を行い、これにより接続を求めるMS800が認可されればネットワークへの接続を許可し、課金処理を行う。この際の認証処理にはEAP(Extended Authentication Protocol)と呼ばれるプロトコルが用いられ、MS800はEAPを通じてNSP820から要求された認証処理を行う。
またNAP810はBS(Base Station)812とASN-GW(Access Service Network - Gateway)813の組み合わせにより構成されても良く、両者を別の装置として分割し、1対多または多対多で接続することで、設置の自由度の向上が図れる。ASN-GW813は、BS812とNSP820をインターフェイスする機能を有したゲートウェイ装置であり、ルーティング機能の他に、MS800のハンドオーバ管理機能やネットワークプロトコル変換機能、認証機能、接続認可機能、課金機能等、各種の機能を備えている。
WiMAXシステムにおいて、NAPを運用する単一の移動通信事業者が自身のサービスのみを想定してシステムの構築を行う場合、NAPから接続されるNSPは一台または一グループだけとなることから、NSP選択手段は不要である。しかし、移動通信サービスを提供するための無線局を自ら開設せず、無線設備を運用する他の移動通信事業者から借り受け利用することにより、独自の無線通信サービスを提供する事業者であるMVNO(Mobile Virtual Network Operator:仮想移動体通信事業者)をシステムにおいて許可する場合、NSPは事業者毎に用意する必要があり、NAPからのNSP選択手段が必要となる。
WiMAXシステムでは、MSからNSPを指定するための仕様を定義しており、その手段としてNSP Discoveryと呼ばれる手順を用いている。WiMAXシステムにおけるNSP Discoveryの手順は以下のとおりである。なお、非特許文献1ではNSP Discoveryに関する詳細が開示されている。
1. MSはNAPから送られてきたNAP IDの25bit目が0かどうかを調べる。0ならNAP=NSPであるため、探索の必要はない。そうでない場合は、NAP≠NSPなのでNSPの探索を行う。
2. MSはSBC-REQ/RSPにより、NAPに対してNSPのリストを要求し、NAPからNSPのリストを獲得する。リストからのNSPの選択の方法は登録順序に応じて自動的に選択するものと、ユーザが手動で選ぶ場合の二種類がある。
3. 再び1及び2の手順を実行する。ただし、この時NAPへはNSPのリストを要求しない。
4. MSはNAPよりEAP Requestを受け取り、EAP ResponseのNAIまたはNSP IDを選択したNSPに変更してNAPに送信する。
5. NAPは受信したEAP ResponseのNAIまたはNSP IDを用いてNSPを選択する。
ここで述べた手順は接続先のNAPが目的のNSPへの接続をサポートしているかどうかを確かめるためのものであり、この手段を利用することで、MSからNSPの選択が可能になる。
しかし、WiMAXにおけるNAPの役割はMSとNSP間の処理を中継するだけではなく、MSとNAP間のデータの暗号化や、サービスの提供に応じた課金処理等も含まれる。このような処理を行うためには、NAPとNSP間で情報のやりとりをする必要があり、その情報は盗聴や改ざんから保護されている必要がある。これに対してWiMAXシステムではRADIUS(Remote Authentication Dial In User Service)プロトコルを利用することで、そのような問題から回線上のデータを保護している。しかし、RADIUSプロトコルをNAPとNSP間で接続するためには、お互いに秘密情報を共有しておく必要があり、NAPが全てのシステムで共有される構成である場合、NSPは自身の秘密情報を他のサービスに対して明示的に秘密にしておくことが難しくなる。また、VPN(Virtual Private Network)接続など、サービス毎に回線を論理的または物理的に分けたい場合にも、NAPがNSPに応じて複数に分割できれば、それらのシステム間の相関を少なくでき、セキュリティ及びメンテナンス性が向上する。
このとき、BSはサービスに依存しないと捉えると、NAPにおけるASN-GWのみを分割すればよいことになる。しかしNSP Discoveryを実行し、NSPの選択を行うためには、本来ASN-GWが実行するはずのEAP Request及びEAP Responseの処理を行う装置が必要になり、仕様に記載の方法だけではNSPに応じたASN-GWの分割は困難であると考えられる。この問題の解決が、本発明における課題である。
WiMAX Forum Network Architecture Stage 3: Detailed Protocols and Procedures Release 1, Version 1.2 (January 11, 2008)
上記の課題を解決するため、本発明では末端装置がネットワークに接続する際に行う認証に用いられるデータを転送する機能を有するネットワーク処理装置が、論理的または物理的に複数存在する場合に、末端装置から送信される認証応答を用いてその選択を行う。そして、その選択を行うため、前記ネットワーク処理装置を第二のネットワーク処理装置として、当該第二のネットワーク処理装置と末端装置の間に以下の特徴を持つ第一のネットワーク処理装置を設置する。
(1)本発明の第一のネットワーク処理装置は、ネットワークへ接続するために利用する末端装置から、ネットワークに接続するための認証要求の送信要求を受信する前に、前記第二のネットワーク処理装置から送信される前記第二のネットワーク処理装置で共通した認証要求を受信し、前記末端装置から前記認証要求の送信要求を受信したときに、前記認証要求を前記末端装置に送信し、その後に発生する前記末端装置からの前記認証要求に対する認証応答を受信し、前記受信した認証応答を用いて前記第二のネットワーク処理装置を選択し、前記第二のネットワーク処理装置に受信した前記認証応答を転送する機能を有することを特徴とする。
(2)また、前記第二のネットワーク処理装置は、前記第二のネットワーク処理装置内で処理可能なセッション数または処理負荷に応じて前記第一のネットワーク処理装置へ、前記認証要求を送信する機能を有することを特徴とするものであってもよい。
(3)また、前記第二のネットワーク処理装置は、セッションの情報を管理する第一のテーブルを有し、前記第一のテーブルに前記認証要求を送信したことを表す情報及び前記認証応答を受信したことを表す情報を登録し、該登録した情報を参照及び変更及び削除する機能を有することを特徴とするものであってもよい。
(4)また、前記第一のネットワーク処理装置は、セッションの情報を管理する第二のテーブルを有し、前記第二のテーブルに前記認証要求を受信及び送信したことを表す情報と、前記認証応答を受信及び送信したことを表す情報を登録し、該登録した情報を参照及び変更及び削除する機能を有することを特徴とするものであってもよい。
(5)また、前記(4)の第一のネットワーク処理装置は、前記第二のネットワーク処理装置はWiMAXシステムにおけるASN-GWであり、前記認証要求がEAP Requestであり、前記認証応答が EAP Responseであることを特徴とするものであってもよい。
(6)また、前記(5)の第一のネットワーク処理装置は、前記第一のネットワーク処理装置がEAP Responseを受信した際に、EAP Responseに含まれるNSP IDまたはNAIの情報に基づき前記第二のネットワーク処理装置を選択する機能を有することを特徴とするものであってもよい。
(7)また、前記(6)の第一のネットワーク処理装置は、前記第一のネットワーク処理装置がMS_Preattachent_Ackを受信した際に、前記第二のテーブルを参照し、前記認証要求を受信したことを示す情報に基づきEAP Requestを送信する機能を有することを特徴とするものであってもよい。
(8)また、前記(4)の第一のネットワーク処理装置は、前記認証要求を受信した際に、前記認証要求自身を保持せずに受信したことを示す最少1ビットの認証要求受信情報のみを保持し、送信の際に共通の認証要求を送信し、前記認証要求受信情報を削除することを特徴とするものであってもよい。
(9)また、前記(4)の第一のネットワーク処理装置は、前記認証要求を受信した際に、前記認証要求自身を保持せずに受信したことを認証要求受信カウンタをカウントアップすることで保持し、送信の際に共通の認証要求を送信し、前記認証要求受信カウンタをカウントダウンすることを特徴とするものであってもよい。
(10)また、前記第二のネットワーク処理装置は、自身の処理性能や処理負荷に応じて前記認証要求を前記第一のネットワーク処理装置に対してあらかじめ送信しておく個数を制御する機能を有することを特徴とするものであってもよい。
(11)また、前記(4)の第一のネットワーク処理装置は、前記認証要求を受信した後に、一定時間の経過後に前記末端装置からの前記認証要求の送信要求がない場合または特定の通信量に達した場合に、エラーメッセージを含む前記認証要求を前記第二のネットワーク処理装置に返す機能を有することを特徴とするものであってもよい。
(12)また、前記(4)の前記第一のネットワーク処理装置は、前記認証要求の受信がない状態で、前記末端装置より前記認証要求の送信要求を受け取った場合に、前記末端装置に対して共通な前記認証要求を前記末端装置に送信し、前記第二のネットワーク処理装置に対して前記認証要求の受信予約を行い、前記第二のネットワーク処理装置から前記認証要求を受信した場合に前記受信予約を削除する機能を有することを特徴とするものであってもよい。
上記のようにMSもしくはBS(末端装置に相当)とASN-GW(第二のネットワーク処理装置に相当)の間にASN-GW選択のための装置またはモジュールを設置することにより、MS及びBSの仕様に影響を及ぼさずに、任意のNSPに関連づけられたASN-GWを選択可能となる効果があり、また認証を要する処理と、それ以外の処理を分ける事により処理負荷が軽減する効果がある。
本発明における実施例では、MS、BS、ASN-GW、NSPからなるWiMAXシステムにおいて、MSがネットワーク接続を行うためのNetwork Entry時にASN-GWを選択する手段としてNSP IDまたはNAI(Network Access Identifier)を利用したASN-GWの選択を行う。そしてそのために、ASN-GWとBSの間にWS(WiMAX Switch)を設置する。以下、このシステムの動作を説明する。
図6はWSが挿入されたWiMAXシステムにおける第1の実施例の構成を表している。MS610及び612及び614はWiMAXシステムにおける末端の送受信装置であり、BSとの間で電波を送受信することで互いを認識してデータの送受信を行う。以下で単にMSとだけ表記している場合はWiMAXシステムにおけるMSの一般的特徴を表したものとする。この定義は他の記述においても同様である。MSには通信モジュールまたは通信カードまたはユーザ端末またはアクセスポイント等の装置またはモジュールが該当するが、同等の機能要件を満たすものであれば、この限りではない。MSはWiMAXの末端の装置として、ユーザが携帯する装置に組み込まれている場合や、車両または船舶または航空機等に設置されている場合には、移動体として取り扱っても良い。
ここで移動体とはMSがあるBSの電話到達範囲を超えて移動する場合や、電波の送受信に影響を及ぼす範囲で高速に移動する場合、周囲の構造物が動的に電波を遮断する可能性がある場合にも通信可能な仕組みを持つ装置及びシステムを指す。以下では特に断りがない限り、本発明への影響がないことから移動体であるかどうかの区別は行わない。
MSが移動体を含む装置である場合、WiMAXシステムはMSの接続及び再接続のために、MSを個別に識別する必要がある。そこでMSは固有のIDを持ち、IDに関連づけられた認証情報及び接続先のNSP及びASN-GW及びBSの識別情報及び構成情報の全部または一部を有していても良い。ここでMSに固有のIDは乱数的に生成されるデータでも良く、また個別に与えられた意味のあるデータであっても良い。意味のあるデータとは、電話番号またはMAC(Media Access Control)アドレスまたはURL(Uniform Resource Locator)、規格またはサービス毎のプロファイルで定められたバイト列であっても良く、この発明はIDの割り当て方には依存するものではない。またIDに関連づけられた識別情報とは、ユーザのパスワードまたは機器構成情報に基づくデータのハッシュ値、機器証明書、加入者情報を記載したSIMカード等の、正規にIDを与えられた装置のものであることを確認するための情報であり、同様の要件を満たせる情報であればこの限りではない。また接続先のNSP及びASN-GW及びBSの識別情報及び構成情報とは、NSP及びASN-GW及びBSのIDや、これらの装置の利用するアルゴリズムやパラメータセットを選択するための情報を指す。
BS620は、MS610及び612及び614とASN-GW630との通信を中継する装置であり、通常、MS610及び612及び614側とはWiMAXシステムにより定められた方式を用いた無線通信により接続され、ASN-GW630側との通信は、有線により接続された構成となる。WiMAXシステムでは、BSとASN-GWを併せてNAPと呼称しているが、ここでは便宜上BSとASN-GWを別の装置として記載している。しかし、本発明の主たる部分はASN-GW内部に関するものであるため、BSがASN-GWと同一装置でも別の装置であっても本発明の効果に影響を及ぼさない。すなわち、本発明におけるNSPに応じたGW選択処理は、BSの実装に影響を及ぼさず実現可能であるという効果がある。本発明におけるWSの機能をBSに持たせることも可能であるが、通常、一台のASN-GWに対して複数のBSが接続されることから、ASN-GW側に切り替え機能を集約できれば、システム構築のためのコストが安くなるという効果がある。
ASN-GW630はMS610及び612及び614の、WiMAXシステムにより提供されるネットワーク接続サービスへの参加可否を制御し、データ転送を制御し、ローミングなどのサービス間接続を制御し、課金処理のための情報の制御等を行う装置である。MSはネットワークに接続または再接続する際に、サービスへの参加が許可されているかどうかを認証されてもよい。その場合に、ASN-GWはMSが接続したいサービスに応じたNSPを選択し、そのNSPとMSとの間の認証処理を仲介するサービスを提供する。またサービスへの接続が認可された後に、必要ならばMSに対してIPアドレスを割り当てる処理の仲介も行う。
ASN-GWが単一のサービスにのみ利用される場合は、ASN-GWはNSPの選択を行う必要はないが、サービスがMVNOに対応し、利用者または端末が複数のサービスの中から一つを自動または手動で選択できる場合、ASN-GWはNSP選択の仕組みが必要になる。WIMAXシステムにおけるNSPの選択は、Network Entryにおける認証処理の最初のEAP Responseに含まれるNSP IDまたはNAIの情報に基づき選択することが可能である。
しかし、あるNSPと接続するためのASN-GWは、NSPに対応した秘密情報を保持する必要があるため、事業者によっては機密保持の観点から、ASN-GWを物理的または論理的に他のサービスのASN-GWから分離させたいと考えるかもしれない。この場合、既存の仕組みでは最初にEAP Requestを発行するASN-GWを選択する必要があるが、この段階ではASN-GWの選択に必要な情報を獲得できないため、どのASN-GWがEAP Requestを発行すべきかを決定することができない。このことによりASN-GWをサービス毎に物理的または論理的に分割することは困難であるという課題があった。
そこで本発明では課題を解決するために、ASN-GW630内に論理ASN-GW642及び644及び646を選択するための装置またはモジュールであるWS650を設置した構成をとる。WS650は論理ASN-GW642及び644及び646の機能の一部とテーブルに基づくデータの転送を行う装置である。また論理ASN-GW642及び644及び646は、NSP660及び662及び664に対応する論理ASN-GW642または644または646を表し、ここでは論理ASN-GW642はNSP660のためのGW装置であり、論理ASN-GW644はNSP662のためのGW装置であり、論理ASN-GW646はNSP664のためのGW装置である。
各論理ASN-GW642または644または646は、それぞれ一台のモジュールまたは装置またはCPUブレードまたはサーバであってもよく、また複数台のモジュールまたは装置またはCPUブレードまたはサーバであってもよい。また論理ASN-GW642または644または646の一つ以上が一台または複数台のモジュールまたは装置またはCPUブレードまたはサーバの任意の組み合わせを共有して利用する構成であっても良い。論理ASN-GW642または644または646がモジュールまたは装置またはCPUブレードまたはサーバを共有する方法としては、プロセス単位で分割されていても良いし、仮想マシン上にOSの単位で分割されていても良い。
WS650は、ASN-GW630へのデータの入出力において、データの種別または通信元及び通信先のIPアドレス及びポート番号に基づき、適したモジュールまたは装置にデータを転送する仕組みを有する装置であり、またWiMAXシステムにおいてASN-GW630の処理の一部を実現する機能を有する装置である。図6においては、WS650はBS620に接続されており、また論理ASN-GW642または644または646に接続されており、またNSP660及び662及び664に接続されており、またInternet670に接続されているものとする。ここでInternet670はWiMAXシステム外のネットワークの総称として用いている。すなわち、企業内ネットワークとして利用する場合は、社内ネットワーク網に相当し、携帯電話サービスとして利用する場合は、サービスの専用回線網に相当する。
ここでNSP660及び662及び664がネットワークに接続する際に特定のネットワークへの通信のみを許可したい場合、WS650に接続先の範囲を指定することで接続先を制限しても良い。このような機能を利用するサービスとしてVPN等がある。例えばNSP660の提供するネットワークに接続可能なMS610と、NSP662の提供するサービスに接続可能なMS612がある場合、同じASN-GWで認証された端末であっても、NSP660の提供するネットワークにはMS612は接続させず、NSP662の提供するネットワークにはMS610は接続させないようにしたい場合が相当する。図6の構成においてはWS650がASN-GW630へのデータの入出力を制御しているため、このような仮想的なネットワーク接続機能をWS650に持たせることができる。
このとき、WS650は、予め接続先を制限させるためのアドレス制限リストを保有しておいてもよい。アドレス制限リストは個々のMS610及び612及び614に応じて個別のリストが用意されていてもよいし、610及び612及び614で共通のリストが用意されていてもよい。また、共通リストとは別に、個別リストを有する構成であってもよい。
ここで共有リスト及び個別リストは、設定ファイルとして、装置の起動時よりファイルまたはデータベースとしてWS650が保有するものであってもよいし、ASN-GW630が接続された際に転送され保有されるものであってもよい。WS650はMS610及び612及び614からのデータ受信時に、これらのリストを利用することで、データをネットワークに送信するか否かを判断してもよい。このとき、WS650は、存在しないアドレス宛てのデータとみなし、受信したデータに対して応答を返さなくてもよい。上記の構成を採ることにより、論理ASN-GW642または644または646の負荷を分散させる効果がある。
また、このようなデータ転送が発生した場合にWS650がMS610または612または614のそれぞれのMSに応じた問い合わせを論理ASN-GW642または644または646に行う仕組みであってもよい。このとき、WS650は、MS610及び612及び614より送られてきたデータの通信先アドレスと、MS610及び612及び614のアドレスを含むデータを接続先である論理GW642または論理GW644または論理GW646に送信する。論理GW642または論理GW644または論理GW646はこのデータを受信すると、自身で保有する個別リスト及び共有リストを用いてデータをネットワークに送信することを許可されているかどうかを調べ、その結果をWS650に返してもよい。
個別リスト及び共有リストは、設定ファイルとして、装置の起動時よりファイルまたはデータベースとして論理GW642または論理GW644または論理GW646が保有するものであってもよいし、NSP660と接続した際に獲得するものであってもよい。獲得のタイミングは、初回接続時や定期的に更新される仕組みであってもよいし、MS610及びMS612及びMS614との認証が成功したときに合わせて送られてくるものであってもよい。WS650は、受け取った結果に応じて、データをネットワークに送信するか否かを判断してもよい。このとき、WS650は、存在しないアドレス宛てのデータとみなし、受信したデータに対して応答を返さなくてもよい。上記の構成においては、WS650内にテーブルを持つ必要がなくなることからメモリの削減の効果がある。
論理ASN-GW642または644または646はサービス毎に用意された論理的なASN-GWであり、MS610または612または614とNSP660または662または664の間の認証処理の仲介や、IPアドレスの割り当ての仲介等を行うモジュールまたは装置である。論理ASN-GW642または644または646の機能は通常のWiMAXシステムにおけるASN-GWと同等であるが、本発明におけるNSP選択の手続きと、データ転送、そのためのテーブル構成において差異がある。
図6の構成においては論理ASN-GW642または644または646は、NSP660または662または664またはInternet670への直接のデータ転送処理は行わないため、接続及び再接続のための認証処理に集中して処理を行えるようになるという効果がある。特に移動体が主となる利用方法においては、複数のMSが連続して再接続要求が発生させることが考えられ、この処理を遅延することなく行うためには高いピーク性能が必要になるが、これらの処理を一組の装置で行う場合、リソースの配分が課題となる。しかし、接続及び再接続のための認証処理を論理ASN-GW642または644または646が行い、データ転送処理をWS650が行うことで、処理効率が高まるという効果がある。
NSP660及び662及び664はサービス事業者の情報処理モジュールまたは装置またはサーバでありASN-GW630からの要求に基づいたMS610または612または614の認証や、認証結果に基づく暗号鍵やアドレスの配布、課金または登録処理を行う。
WiMAXシステムが図6のような構成である場合、ASN-GW630がMS610または612または614からのNSP選択のための情報に基づきWS650で論理ASN-GW642または644または646の選択を行うことができれば、サービスに応じてASN-GW630及び回線を仮想化し、分割することが可能になる。
図1は本発明を適用した場合の処理の流れを表している。WiMAXシステムでは、最初にMS100とBS110の間でネゴシエーションを行い、MS100はBS110の識別情報であるBS IDを獲得する。BS IDにはNSP IDが含まれており、MS100はこの情報により接続先のネットワークを識別することが可能になる。しかし、そのネットワークが接続したいネットワークと異なる場合、MS100はSBC-REQ172を利用してNSP IDのリストを要求することになる。NAP125が2つ以上のNSPをサポートしているかどうかは、BS IDの25bit目を見ることで判断できる。このビットが1である場合、NAP125が2つ以上のNSPをサポートしていると判断できる。また、SBC-REQ172がNSP IDのリストの要求を含んでいるかどうかは、SBC-REQ172にSIQ TLVが含まれており、かつそのビット0及びビット1が1にセットされているかどうかを調べることで判断可能である。
BS110はNSP IDのリストの要求を含んだSBC-REQ172を受け取ると、SII-ADVまたはSBC-RSP174を利用してNSP IDのリストを送る。MS100はNSP IDのリストを受け取ると、再びNetwork Entryの処理をやり直し、今度はNSP IDのリストを要求しない手順で処理を行う。すなわちMS100はBS110と再度ネゴシエーションを行い、NSP IDを獲得するが、その後、NSP IDリストの要求を行わないSBC-REQ176をBS110に送信する。
BS110はSBC-REQ176を受け取ると、データを確認し、SIQ TLVが含まれていないことを確認する。SIQ TLVが含まれていない場合、BS110は、ASN-GW120の構成情報を獲得するためにMS_PreAttchment_Req178をASN-GW120に送信する。
ASN-GW120はMS_PreAttchment_Req178を受け取ると、WS130にその内容を渡し、パケットの中身を調べる。このときWS130はあらかじめ用意しておいた構成情報をMS_PreAttachment_Rsp180に含めてBS110に送ることにしても良いし、過去の接続履歴などからMS IDに適したASN-GW120の構成情報を検索して送ることにしても良い。このときWS130はまだどの論理GWが利用されるかはわからないので、両方に共通の構成情報を送ることにしても良い。
BS110はWS130からASN-GW120の構成情報を受け取ると、SBC-RSP182にその情報を含めてMS100に送信する。MS100はSBC-RSP182を受け取ると、ASN-GW120からEAP Request186が発行されるのを待つ状態に遷移する。BS110はSBC-RSP182をMS100に送信すると、ASN-GW120にMS_PreAttachment _Ack184を送信する。
ASN-GW120はMS_PreAttachment Ack 184を受信すると、EAP Request186をBS110に送信する。BS110はEAP Request186を受け取ると、PKM-REQ188を利用してEAP Request186の情報をMS100に送信する。MS100はPKM-REQ188を受信すると、選択したNSP150に対応したNSP IDまたはNAIを含んだEAP Response192をPKM-RSP190を利用してBS110に送信する。
BS110はPKM-RSP190を受信すると、その中に含まれるEAP Response192をASN-GW120に送信する。ASN-GW120はEAP Response192を受け取ると、その中に含まれるNSPIDまたはNAIの値から適切なNSP150を選択して、EAP Response192の情報を含むデータをRADIUS Protocol195を利用してNSP150に送信する。
ここでRADIUS Protocolとは、RFC2865で規格化された、認証及び認可及び課金のためプロトコルである。RADIUS Protocolは、認証のためにEAPのような別のプロトコルを流すことが可能であり、図1のように受け取ったEAPパケットをNSP150のような別の装置で処理したい場合等に利用される。
NSP150は、RADIUS Protocol195によりEAP Response192を受け取ると、EAP Response192のMS IDやNAIの情報に基づき適切な認証のためのアルゴリズムを選択し、MS100との認証を開始する(EAP Protocol 196)。ここでEAP Protocol及びEAP Request及びEAP ResponseはRFC 3748で規格化された認証のためのプロトコルである。
EAP Protocol196を利用した認証に成功すると、RADIUS Protocol195はAccess AcceptパケットをASN-GW120に返す。Access Acceptパケットには処理完了の通知と、MSK(Master Session Key)、FA-RK Key等のWiMAXシステムで装置間の認証やデータの暗号化に必要となる鍵情報が含まれていてもよい。ASN-GW120は、MSKを受け取ると、MSKからAK(Authorization Key)を派生させ、Key_Change_Directive197を利用してAKをBS110に送信しても良い。
BS110はAKを受信すると、CMAC KEYを派生させてもよい。ここでMSKはEAP Protocol 196のセッションの中でMS100とNSP150で共有する情報を用いて作られるため、CMAC KEYはMS100でも生成可能である。MS100とBS110は、このCMAC KEYを利用してMS100とBS110との間の通信を暗号化しても良い。このようにしてWiMAXシステムの無線部分のデータを保護することが可能なため、無線部分のデータの盗聴を困難にすることが可能となり、MS100はInternet160上の装置とデータ通信198が可能になる。
ここで、ASN-GW120がNSPに対応した論理GWを持つ構成である場合、EAP Request送信において、論理GW140または145とBS110間の通信の仲介を行うWS130は、論理GW140または論理GW145にEAP Requestの送信を要求して、受け取ったEAP Request142または147をBS110に送信することになる。しかし、この段階ではMS100からはどのNSPを利用するかの通知を受け取っていないため、WS130はどの論理GWを利用して処理を開始するべきかを判断できない。
そこで本発明では、論理GW140及び145はあらかじめWS130に対してEAP Request142及び147を送信しておくことにする。WS130は論理GW140及び145からEAP Requestを受信したことを記録及び管理することで論理GW140及び145のリソース管理を行うと共に、EAP Request186を送信した後に受け取ったEAP Response192に含まれるNSP IDまたはNAIの値を判断することで、論理GW140及び145の選択が可能になる。
EAP Requestの発行による認証処理の開始は通常ASN-GWが行うが、WS130に複数の論理GWが接続されている場合、WS130はどの論理GWからEAP-Requestの発行を受けるべきか判断する必要がある。しかし、予め EAP Requestを受け取っておけばこの判断をWS130行う必要がなくなる。すなわち、論理GWからEAP Requestを受け取ったことが、論理GW側にEAP処理を行うためのリソースが存在し、EAP Requestを受付け可能であることを示す指標となるためである。
ただし、論理GWから受け取ったEAP Requestがそれぞれで異なる情報を含んでいれば、やはりWS130側で、どの論理GWからのEAP RequestをBSに送信するべきかの判断が必要となってしまう。そこで、本発明における論理GWは、最初のEAP RequestのIDを固定値にすることで、全てのEAP Requestが同じ値になるようにする。最初のEAP Requestは処理の開始を通知するだけのパケットであり、論理GWに固有の情報を含まず、ある一台のMS100に対して同じ論理GWから同時にEAP処理が発生しないため、最初のEAP Request のIDを固定値にしても問題はない。
このことにより、WS130は論理GWの種別によらずEAP Requestを送信することが可能となり、また共通の情報の受信及び未受信を管理するだけでよいため、複数の論理GWから複数のEAP Requestを一度に受け取っても、それぞれのEAP Requestに対して1ビットの管理領域を用意しておくだけでよく、EAP Requestをキャッシュするメモリを大幅に削減する効果がある。
図4はWS130が持つ管理テーブルの一例を表している。WS130は、WS共通パラメータテーブル400と、論理GW共通パラメータテーブル420及び425及び430と、論理GW個別パラメータテーブル450及び455及び460を有していてもよい。
WS共通パラメータテーブル400は、エントリ496を管理するためのハンドル(Handle 402)と、サポートしているNSPのリスト(NSP ID List 404)、BS側からアクセスする際のIPアドレス(BS側Address406)、BSとの接続に利用可能なポートのリスト(BS側Port List 408)、GWからアクセスする際のIPアドレス(GW側Address410)、GWとの接続に利用可能なポートのリスト(GW側Port List 412)、WAN側からアクセスする際のIPアドレス(WAN側Address414)、WAN側との接続に利用可能なポートのリスト(WAN側Port List 416)等を含んでもよい。
また論理GW共通パラメータテーブル420及び425及び430は、同じNSP IDを持つ論理GWが複数ある場合の、NSP IDを共有する論理GWのための共通パラメータのテーブルである。論理GW共通パラメータテーブル420及び425及び430は、エントリ494を管理するためのハンドル(Handle432)と、関連するNSPのID(NSP ID 434)と、このテーブルを共有する論理GWのIPアドレスのリスト(論理GW List 436)と、接続先NSPのIPアドレス(NSP Address 438)と、接続先NSPのPort番号(NSP Port Number 440)と、あるNSPに属する論理GWがどれだけの発行済みEAP Requestを有しているかを判断するためのカウンタのリスト(EAP CountList 442)等を含んでいてもよい。
また論理GW個別パラメータテーブル450及び455及び460は、各論理GW内で扱うセッションを管理するためのテーブルである。論理GW個別パラメータテーブル450及び455及び460は、各エントリ490及び492を管理するためのハンドル(Handle462)と、各セッションでBSと通信する場合のBS側Port番号(BS側Port Number 464)と、各セッションで論理GWと通信する場合のGW側Port番号(GW側Port Number 466)と、各セッションでWAN側と通信する場合のWAN側Port番号(WAN側Port Number 468)と、BSまたはGWまたはWAN側の通信元IP Address(通信元IPアドレス 470)と、BSまたはGWまたはWAN側の通信元ポート番号(通信元Port Number472)と、BSまたはGWまたはWAN側の通信先IP Address(通信先IPアドレス 474)と、BSまたはGWまたはWAN側の通信先ポート番号(通信先Port Number 476)と、通信におけるセッションの状態を登録するためのフラグ(Session Flag 478)と、接続先のMSのID(MS ID 480)、EAP Requestの受信フラグ(EAP Flag 482)等を含んでいてもよい。
ここで各テーブルの個数及びエントリの個数は説明のために便宜的に用意したものであり、これより多くの数を有していても良いし、これより少ない数であっても良い。また、それぞれのテーブルまたはエントリはこれ以外のパラメータを有していても良い。
各論理GWの各セッションは、EAP Flag482を有し、WS130はこの情報を元に論理GWがEAP Requestを発行可能かどうか判断することができる。WS130はEAP Flag482に基づきEAP Requestを発行した場合、発行先のMS ID480を登録し、またEAP Request送受信のために通信元アドレスとポート番号(470、472)として論理GWの情報を登録し、通信先アドレスとポート番号(474、476)としてBSの情報を登録しても良い。また、WS130のBS側ポート番号(464)とGW側ポート番号(466)を登録しても良い。WS130はこれらの情報を利用して、パケットのフィルタリングを行っても良い。ここで、BS110は、MS100にNSP ID Listに送る前に、利用可能なNSPのListを更新しても良い。このときWS130は現在EAP Protocolの受付が出来ないNSPを、リストから外しても良い。
またWS130があるNSPに属する論理GWからEAP Requestが発行されているかどうかを、Network Entry毎に検索するのは効率が悪い。従って、WS130はEAP Count List442を利用し、各論理GWに対して最初のEAP Requestが何回発行されたかという情報を保持しておき、発行毎にこの値をカウントアップし、使用後にカウントダウンすることで論理GW個別パラメータテーブル450及び455及び460を検索する必要がなくなるという効果がある。
また各論理GWは、図5のように論理GW共通パラメータテーブル520及び525及び530と、論理GW個別パラメータテーブル550及び555及び560を有していても良い。
論理GW共通パラメータテーブル520及び525及び530は各論理GW共通のパラメータテーブルであり、エントリ594を管理するためのハンドル(Handle532)と、対応するNSPのID(NSP ID 534)と、WS側のIPアドレス(WS側 Address536)と、接続先NSPのIPアドレス(NSP Address 538)と、接続先NSPのPort番号(NSP Port Number 540)と、論理GWがどれだけの最初のEAP Requestを発行したかを登録するためのカウンタのリスト(EAP Count 542)等を含んでいてもよい。
論理GW個別パラメータテーブル550及び555及び560は、各エントリ590及び592を管理するためのハンドル(Handle562)と、各セッションでWS130と通信する場合のWS側Port番号(WS側Port Number 564)と、各セッションで利用するパラメータのためのテーブル(Parameter Table 566)と、セッションで利用する暗号鍵等の情報を管理するためのテーブル(Keys Table 568)と、RADIUS Account Protocolで利用する、課金のための情報を管理するためのテーブル(Account Info. Table570)と、Mobile IPで割り当てられたIPアドレスを管理するためのテーブル(MIP Address Table572)と、セッションの状態に関する情報を管理するためのテーブル(Session Info. Table 574)と接続先のMSのID(MS ID 576)、EAP Requestの送信フラグ(EAP Flag 578)等を含んでいてもよい。
ここでParameter Table566は、WiMAXの通信に利用するTransaction IDや、RADIUS Protocolで利用するIdentifier及びAuthenticator及びSPI等を格納するために利用しても良い。Keys Table568はRADISU ProtocolやEAP Protocolであらかじめ格納または獲得したMSK、MN-FA Key、FA-HA Key等を格納するために利用しても良い。Account Info. Table 570は、接続開始日時や、通信データ量などの情報を格納するために利用しても良い。MIP Address Table572は、HA Addressや、Care of Address等を格納するために利用しても良い。Session Info. Table574はRADIUS Protocolのセッションの状態等を含んでいても良い。論理GW140及び145はWS130と接続されている場合に、論理GW140及び145の処理負荷の状態を判断し、最初のEAP Requestを発行しておく数を制御しても良い。
ASN-GW120はEAPを利用した認証処理に伴い、NSP150との間でRADIUS Protocol195を用いたEAPパケットの転送処理を行うことで、データの仲介を行う。このときASN-GW120は、RADIUS Protocol195により送受信するデータが改ざんされていないことを確かめるためにAuthenticator等を利用し、改ざん検知を行う。この処理にはMD5やSHA1等のハッシュ関数を利用した演算が含まれるため、複数のセッションを同時に制御する場合に、一時的に論理GWに割り当てられた処理能力を使い切る可能性がある。しかしながら、論理GWの役割には他にハンドオーバーに伴う処理やMIP処理、Accounting処理等も存在し、特にハンドオーバーに伴う処理は、移動体としてWiMAXシステムを利用する場合の接続性に影響を及ぼす。例えば、処理能力が足りずに計算結果の遅延が発生した場合、車両及び船舶及び航空機等の高速に移動する装置に設置された端末で利用する際に、通信が断続的になる可能性がある。これは電話等の低遅延な処理が求められる利用においてユーザビリティに大きな影響を及ぼす。
しかしながら、Network Entryに関わる処理の数秒の遅延は、通信の遅延に比べてユーザビリティへの影響が、頻度の点から見て軽微であると判断できる。また、通常一度ネットワークに端末が接続されると、端末が移動することで、基地局間のハンドオーバーが発生したり、MIP処理によるデータのトンネリング処理が発生する可能性が高くなり、平均的な処理負荷も高まると考えられる。このことからNetwork Entryを許可する数を制御することは、論理GWの処理負荷の制御にも繋がると判断できる。
したがって、処理能力が処理量に対して十分でないときに、論理GWは処理量の調整を行う処理が要求される。そしてこの処理は、前記の分析から判断して、Network Entryに関わる処理を制御することにより達成される。本発明は論理GWがあらかじめEAP Requestを発行しておくことで、NSPに対応した論理GWの選択を行うことを可能にするものであるが、本発明を適用した論理GWがEAP Requestの発行量を制御することで、論理GWの処理負荷の制御が可能になるという効果も併せ持つ。通常、論理GWの処理負荷の制御方法としては、別の管理システムから各論理GWの処理負荷を観察し、処理負荷に応じて、WS等の制御装置に対してその情報を伝達する等の方法が考えられるが、この仕組みを用いれば、WiMAXシステム上に流れる通常のプロトコル処理に沿ったデータのみで可能になるという効果がある。
図2は論理GW140及び145における、EAP処理の手順を表すフローチャートである。論理GWはEAP開始処理210を実行する。この手続き210は、あらかじめEAP RequestをWS130に発行しておくためのものである。
まず、論理GW140及び145は、内部の負荷分析を行う(212)。負荷分析の方法としては、論理GW個別パラメータテーブル550または555または560に登録されている有効なエントリの数を元に判断しても良いし、現在のCPUの処理負荷や、時間帯及び地域及び過去の統計に基づき負荷を予測してもよい。この分析の結果(214)、新規のセッションを受入可能と判断した場合、論理GW140及び145は、GW個別パラメータテーブル550または555または560のEAP Flag578に情報を登録したエントリを作成しても良い(216)。またこの時に、接続に利用したポート番号564を記録しておく。
登録が完了すると、WS130に対してEAP Requestを発行し(218)、再び負荷分析手続き212に移行する。この間隔を制御するためにある一定期間の待ち時間を入れても良い。また、手続き214において新しいセッションの受入が出来ないと判断した場合も、再び負荷分析手続き212に移行する。この間隔を制御するためにある一定期間の待ち時間を入れても良い。これにより、論理GWは受入可能なセッションに応じたEAP Requestをあらかじめ発行しておくことが可能になる。
また図2において、論理GW140及び145は、EAP処理220を行っても良い。この手続き220は手続き210によりEAP処理が開始されていることを前提とするため、通常のEAPの手続きとは異なり、EAP Responseを受信することを基に手続きが開始するフローチャートとなる。
EAP処理220が開始すると、論理GW140及び145は、EAP Responseの受信を待つ。そこでEAP Responseを受信すると(222)、それが論理GW個別パラメータテーブル550または555または560のEAP Flag578に情報を登録してあるエントリに含まれるポート564からの受信であるかどうかを判断する(224)。本発明では、複数のEAP Requestをあらかじめ発行しておくことが可能であるが、その際にどのポートが使われたかを管理する必要がある。このようにポートに関連づけてEAP Responseを処理することで、不正なポートからのアクセスを阻止することが可能となると言う効果がある。
論理GW140及び145は、EAP Requestを発行した後、長時間EAP Responseを待ち続けることは、論理GWの管理の面で都合が悪い場合がある。例えば、一台の装置に複数の論理GWが存在する場合、物理的な一台の装置のリソースを複数の論理GWが共有することになる。その場合、ある処理が頻繁でない論理GWに割り当てられたリソースが解放されないままだと、装置のリソースに余裕があるにもかかわらず、別の処理が頻繁な論理GWの処理が遅延するおそれがある。またNSPとの契約により、あるNSPへの接続数を制限したい場合がある。そのような場合、EAP Requestが発行されてから一定時間処理がない場合や、WS130に登録してある最大接続数を超えてEAP Requestを登録しようとした場合にWS130がBS110へのEAP Requestの送信を行わずにエラーメッセージを含むEAP Responseを返すことで、適切な登録数を制御可能になると言う効果がある。
例えば、ASN-GW120が10000セッションを処理可能な性能を持つとき、WS130は、一度にEAP Requestを受付可能なセッション数を100と定義しておくことにする。この時、論理GW140及び145は、最初100個のEAP Requestを発行し、EAP処理220が行われる度にEAP開始処理により新しいセッションを登録していくことにする。この仕組みを取れば、論理GW140及び145のどちらがどれだけのセッション数を受入可能かどうかは、特別な処理無しに論理GW140及び145の処理負荷に応じて決定されることになる。そこで互いの受け入れ済みセッションの合計が10000に達したならば、WS130は、論理GW140または145からEAP Requestを受け取るとBS110と通信すること無しにEAP Responseを返すことで、新規のセッションを受け入れることが出来ない事を通知することが出来る。
手続き224において登録済みポートからの受信がある場合、論理GW140及び145は、EAP Responseの処理を行う(226)。ここで行うEAP Responseの処理とは、RADIUS Protocol195を利用して、NSP150にEAP Responseを送信する処理と、最初に送信したEAP Requestに対するエラーを含んだEAP Responseの場合のエントリ削除処理が該当する。前者の場合、NSP150からのEAP Request待ちとなるため(228)、NSP150からのEAP Requestを待ち、NSP150からEAP Requestを受信すると(230)、WS130経由でBS110にEAP Requestの送信を行う(236)。
手続き226において、最初に送信したEAP Requestに対するエラーを含んだEAP Responseの場合、エントリの登録の削除を行い(234)、再びEAP Response 受信待ちの状態(222)に移行する。また手続き224において、登録済みポートからの受信でない場合は、エラー処理を行い、再びEAP Response 受信待ちの状態(222)に移行する。通常、エラー処理としては受信したパケットの破棄を行う。
図3はWS130における認証処理の動作手順を表すフローチャートである。WS130はデータを受信すると(312)、それがMS_PreAttachmen_Ackであるかどうかを判断する(372)。MS_PreAttachmen_Ackである場合、EAP Request転送処理370を実行する。MS_PreAttachmen_Ackは、MS_PreAttachmet_Rspに対応してBSより送られてくるデータであり、受信したデータがMS_PreAttachmen_Ackであるかどうかの判断にはセッション情報やデータ転送元等を併せて用いても良い。
次にMS_PreAttachmen_Ackでない場合、それがAuthRelay Protocolにより転送されてきたデータであるかを判断する(314)。このときWS130は送信元のIPアドレス及びポート番号から、データがBS110から送信されたものか、論理GW140または145から送信されたものか、NSP150またはInternet 160に接続されたその他の端末から送信されたものであるかという情報を併せて判断しても良い。
ここでAuthRelay Protocolとは、WiMAX Forumで定義されたBSとASN-GW間でEAP Protocolのデータを流すためのプロトコルであり、本発明では、論理GW140及び145とWS130の間でのEAPパケットの交換と、WS130とBS110間のEAPパケットの交換にAuthRelay Protocolを利用することにしている。これにより、論理GWへの実装上の変更を軽微にし、BSからもASN-GWが本発明に基づいた構成であるかどうかに関わらず通信可能となる効果がある。
データがAuthRelay Protocol上のデータでない場合、パケットはUDP/IPのIPアドレスとポート番号に基づき、適切な装置に転送され(316)、再びデータの受信待ち状態に遷移してもよい(312)。このとき必要ならば図4に記載のパラメータテーブルを入出力のアドレスに併せて変更しても良い。
データがAuthRelay Protocol上のデータである場合、次にその中のデータがEAP RequestかEAP Responseであるかどうかを確認する(318)。EAP Requestである場合、それは論理GW140または145からBS110に流れるデータである。このときWS130は、論理GW140または145から転送されてきたパケットの通信元IPアドレスが論理GW List436に登録済みのアドレスかどうかを判断する(320)。登録されていない場合、エラーを送信元に返してもよい(350)。また手続き350が完了した後に、再びデータの受信待機をしても良い(312)。
ただし、WS130は未登録の論理GWが存在する場合、新規に論理GW個別パラメータテーブルを作成し、論理GW共通パラメータテーブル420または425または430の論理GW Listに登録しても良い。どの論理GWがどのNSP IDと関連づけるかは、あらかじめ新規に論理GWが割り当てられる場合のアドレス予約テーブルを共有していても良いし、アドレスの範囲で区別できるような仕組みであっても良いし、別のプロトコルを用いて論理GWまたはNSP150に問い合わせる仕組みであっても良い。ここでは説明のためにエラーとして返す事としているが、前記の通り、その限りではない。
登録済み論理GWである場合、データパケットの送信先ポート番号が0または固定値かどうかを調べる(322)。WiMAXシステムでは、データ通信にUDP/IPを用いているが、論理GW140及び145からデータを転送する場合にWS130のどのポートにデータを転送すべきかについては不明である。したがって、最初の通信ではポート番号は0または固定値としておいてもよい。ポート番号が0または固定値でない場合、既に過去に通信が行われていると推測できることから、WSは、論理GW個別パラメータテーブルを参照することで指定されたIPアドレスにデータを送信してもよい(324)。また手続き324が完了した後に、再びデータの受信待機をしても良い(312)。
ポート番号が0または固定値である場合、それは最初のEAP Requestであると予測できることから、さらにEAP パケットのIDが0または固定値かどうかを調べる(326)。IDが0又は固定値であることで、本発明の機能を有するWS130は、それが最初のEAP Requestであると判断できるため、EAP Requestが届いたことを論理GW個別パラメータテーブル450または455または460に登録してもよい(330)。また手続き330が完了した後に、再びデータの受信待機をしても良い(312)。
もしもIDが0または固定値でないならば、送信元の論理GWに対してエラーを返しても良い(332)。また手続き332が完了した後に、再びデータの受信待機をしても良い(312)。
手続き318において、パケットがEAP Responseである場合、EAP パケットのIDが0または固定値かどうかを調べる(352)。IDが0または固定値でない場合、最初のEAP Requestに関連する処理ではないので、対応するAddressにデータを転送する(356)。一方、IDが0または固定値である場合は、最初のEAP Requestに関連する処理であるため、論理GW割り当てのための処理を行う。
まずWS130は、パケットに含まれるNSP IDまたはNAIに基づきGWを選択する(354)。ただし、NSPに関わる固有の値であり、それを用いてWS130がNSPを識別できるならばこの限りではない。このときWS130は対応するNSPに属する論理GW個別パラメータテーブルを調べ、予約済みのEAP Requestがあるかどうかを調べる(358)。存在する場合、そのエントリにMS IDを登録し、EAP Flag482を送信済みに変更し(360)、その論理GWにデータを送信する。
このとき、同時に複数のセッションがMSとの間で処理されており、そのエントリがこのパケットを送出する契機となったエントリでなかったとしても、そのエントリに登録してもよい。もしも予約済みのEAP Requestが存在しなければ、エラーを通信元に返して(350)、データ受信待ち状態に遷移してもよい(312)。ここで手続き312は、現在処理中のセッションがある場合でも、データの受信が発生する度に新しいセッションとしてタスクが生成されても良い。その場合、タスク生成時に、トランザクションのID及び通信相手のIPアドレス及びポート番号等の情報から、論理GW個別パラメータテーブル450及び455及び460に含まれるエントリを検索し、その情報を利用してもよい。
またWS130はEAP Request転送処理370を有していてもよい。EAP Request転送処理370において、WS130は、論理GW共通パラメータテーブル420または425または430のEAP Count List442を参照し、少なくとも一つのEAP Requestが利用可能であるかどうかを判断する(374)。EAP Count List442により有効なEAP Requestが存在しないと判断できる場合には、論理GW個別パラメータテーブル450または455または460に有効なEAP Requestが登録されるまで待っても良い。
また、論理GW個別パラメータテーブル450または455または460がEAP Requestの受信予約が可能な場合には、有効なEAP Requestが存在しない場合でも、EAP Requestを発行しても良い。このとき、WS130は、論理GW140または145からEAP Requestが発行されると、優先的に要求をEAP Requestの受信予約を行ったエントリに割り当てて登録し、状態を送信予約に移行させてもよい。この処理を行う場合、EAP Requestの発行が一時的に間に合わない場合でも処理を継続させることが出来ることと、論理GWがセッションを受け入れられない場合の通知を次のEAP Requestで送信可能であることから、本発明のような構成を取る場合においても、セッションの受付可否をMS100に通知可能となる効果がある。またこれにより、ASN-GW120の処理待ちにより、MS100がEAP Requestの未受信によるタイムアウトが発生しにくくなるという効果がある。
有効なEAP Requestが存在する場合には、MS_PreAttachment_Ackの送信元にEAP Requestを送信しても良い(376)。このとき、WS130は論理GW個別パラメータテーブル450または455または460のEAP Flag482に送信済みであることを示す、送信予約に変更しても良い(378)。この後、WS130は状態をデータ受信待ち312に移行させる。
このような仕組みによりWS130は動作するが、WS130が有効なのは図6のような構成に限らない。
図7は、WS750は論理GW選択処理のみを行い、その後の処理は論理ASN−GW742または744または746が行う場合の構成を表している。この場合でも論理GW742または744または746は図2に示すフローチャートと図5のテーブルに基づいた処理を行い、WS750は図3に示すフローチャートと図4のテーブルに基づいた処理を行うことで同様の論理GW選択の効果が得られることは言うまでもない。この時、WS750は認証処理の開始手続きに関わる処理を中心に行うことになるため、図6の構成に比べて負荷が少なく、また各論理ASN−GW742または744または746の処理もWS750がない場合に近い構成で動作可能であるため、変更のためのコストがより少なくてすむ。
本発明の実施例によるNetwork Discovery及びSelectionと、認証処理の流れを示すフローチャートである。 本発明の実施例による論理GW内の認証処理手順を示すフローチャートである。 本発明の実施例によるWiMAX Switch内の認証処理手順を示すフローチャートである。 本発明の実施例によるWiMAX Switch内のテーブル構成例を表すテーブルである。 本発明の実施例による論理GW内のテーブル構成例を表すテーブルである。 本発明の実施例によるWiMAX SwitchがASN-GWに対して入出力されるデータの制御を行う際の構成図である。 本発明の実施例によるWiMAX Switchが論理ASN-GWを選択し、その後のデータWAN側のデータ入出力に対しては各論理ASN-GWに処理させる場合の構成図である。 本発明が適用されるWiMAXシステムの基本構成を表す構成図である。
符号の説明
100…MS
110…BS
120…ASN-GW
130…WS
140…論理GW
150…NSP
195…RADIUS Protocol
196…EAP Protocol
160…Internet
800…MS
810…NAP
811…ASN(Access Service Network)
812…BS
813…ASN-GW
820…NSP1
821、831…CSN(Connectivity Service Network)
822、832…AAA(Authentication Authorization &Accounting)
823、833…HA(Home Agent)
840…Internet

Claims (5)

  1. ネットワークのデータ入出力機能を有する第一のネットワーク処理装置と、
    ネットワークへ接続するために利用する末端装置がネットワークに接続する際に行われる認証に用いられるデータを転送する機能を有し、論理的または物理的に複数存在する第二のネットワーク処理装置とによって構成されるネットワーク処理システムであって、
    前記第一のネットワーク処理装置は前記末端装置からネットワークに接続するための認証要求の送信要求を受信する前に、前記第二のネットワーク処理装置から送信される前記第二のネットワーク処理装置で共通した認証要求を受信し、
    前記末端装置は前記認証要求の送信要求を前記第一のネットワーク処理装置に送信し、
    前記第一のネットワーク処理装置は前記認証要求の送信要求を受信したときに、前記認証要求を前記末端装置に送信し、
    前記末端装置は前記認証要求に対する認証応答を前記第一のネットワーク処理装置に送信し、
    前記第一のネットワーク処理装置は受信した前記認証応答を用いて前記第二のネットワーク処理装置を選択して前記認証応答を転送することを特徴としたネットワーク処理システム。
  2. ネットワークのデータ入出力機能を有する第一のネットワーク処理装置であって、
    ネットワークへ接続するために利用する末端装置がネットワーク接続する際に行われる認証に用いられるデータを転送する機能を有する第二のネットワーク処理装置が論理的または物理的に複数存在する場合に、
    ネットワークへ接続するために利用する末端装置から、ネットワークに接続するための認証要求の送信要求を受信する前に、前記第二のネットワーク処理装置から送信される前記第二のネットワーク処理装置で共通した認証要求を受信し、
    前記末端装置から前記認証要求の送信要求を受信したときに、前記認証要求を前記末端装置に送信し、
    その後に発生する前記末端装置からの前記認証要求に対する認証応答を受信し、
    前記受信した認証応答を用いて前記第二のネットワーク処理装置を選択し、
    前記第二のネットワーク処理装置に受信した前記認証応答を転送する
    機能を有することを特徴とする前記第一のネットワーク処理装置。
  3. 請求項1記載の第二のネットワーク処理装置であって、
    前記第二のネットワーク処理装置内で処理可能なセッション数または処理負荷に応じて前記第一のネットワーク処理装置へ前記認証要求を送信する機能を有することを特徴とする前記第二のネットワーク処理装置。
  4. 請求項1記載の第二のネットワーク処理装置であって、
    セッションの情報を管理する第一のテーブルを有し、
    前記第一のテーブルに前記認証要求を送信したことを表す情報及び前記認証応答を受信したことを表す情報を登録し、該登録した情報を参照及び変更及び削除する機能を有することを特徴とする前記第二のネットワーク処理装置。
  5. 請求項2記載の前記第一のネットワーク処理装置であって、
    セッションの情報を管理する第二のテーブルを有し、
    前記第二のテーブルに前記認証要求を受信及び送信したことを表す情報と、前記認証応答を受信及び送信したことを表す情報を登録し、該登録した情報を参照及び変更及び削除する機能を有することを特徴とする前記第一のネットワーク処理装置。
JP2008189591A 2008-07-23 2008-07-23 ネットワーク処理装置 Active JP5213563B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008189591A JP5213563B2 (ja) 2008-07-23 2008-07-23 ネットワーク処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008189591A JP5213563B2 (ja) 2008-07-23 2008-07-23 ネットワーク処理装置

Publications (2)

Publication Number Publication Date
JP2010028622A true JP2010028622A (ja) 2010-02-04
JP5213563B2 JP5213563B2 (ja) 2013-06-19

Family

ID=41733998

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008189591A Active JP5213563B2 (ja) 2008-07-23 2008-07-23 ネットワーク処理装置

Country Status (1)

Country Link
JP (1) JP5213563B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102595659A (zh) * 2011-01-07 2012-07-18 财团法人资讯工业策进会 基站以及无线装置
KR101213852B1 (ko) * 2010-06-11 2012-12-18 (주)랜버드 테크놀러지 WiMAX 통합 네트워크 서버
JP2013500683A (ja) * 2009-07-29 2013-01-07 インテル・コーポレーション モバイル仮想ネットワークオペレータを起動するための仮想ネットワークサービスプロバイダ

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005184463A (ja) * 2003-12-19 2005-07-07 Toshiba Corp 通信装置および通信方法
JP2006517359A (ja) * 2003-01-13 2006-07-20 モトローラ・インコーポレイテッド 無線ローカルエリアネットワークにより移動局にネットワークサービス情報を提供する方法及び装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006517359A (ja) * 2003-01-13 2006-07-20 モトローラ・インコーポレイテッド 無線ローカルエリアネットワークにより移動局にネットワークサービス情報を提供する方法及び装置
JP2005184463A (ja) * 2003-12-19 2005-07-07 Toshiba Corp 通信装置および通信方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013500683A (ja) * 2009-07-29 2013-01-07 インテル・コーポレーション モバイル仮想ネットワークオペレータを起動するための仮想ネットワークサービスプロバイダ
KR101213852B1 (ko) * 2010-06-11 2012-12-18 (주)랜버드 테크놀러지 WiMAX 통합 네트워크 서버
CN102595659A (zh) * 2011-01-07 2012-07-18 财团法人资讯工业策进会 基站以及无线装置
KR101408011B1 (ko) * 2011-01-07 2014-06-17 인스티튜트 포 인포메이션 인더스트리 베이스 스테이션 및 무선 장치
US9155035B2 (en) 2011-01-07 2015-10-06 Institute For Information Industry Base station and wireless device for determination of wireless device type using identifying information in an uplink signal transmitted by the wireless device

Also Published As

Publication number Publication date
JP5213563B2 (ja) 2013-06-19

Similar Documents

Publication Publication Date Title
US11445335B2 (en) Systems and methods for enabling private communication within a user equipment group
US20220225263A1 (en) Interworking function using untrusted network
JP4727126B2 (ja) 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
KR100999761B1 (ko) Wlan 상호접속에서의 서비스 및 어드레스 관리 시스템및 방법
US9277491B2 (en) Access point, a server and a system for distributing an unlimited number of virtual IEEE 802.11 wireless networks through a heterogeneous infrastructure
US8184575B2 (en) Packet communication network and subscriber-associated-information delivery controller
EP1881660B1 (en) A method, apparatus and system for wireless access
CN109565459A (zh) 无线通信网络中端点到边缘节点的交互
JP4802263B2 (ja) 暗号化通信システム及びゲートウェイ装置
US8509440B2 (en) PANA for roaming Wi-Fi access in fixed network architectures
KR101936662B1 (ko) 데이터 패킷을 포워딩하는 액세스 노드 장치
EP1538779A1 (en) Identification information protection method in wlan interconnection
EP2534889B1 (en) Method and apparatus for redirecting data traffic
CN108881131B (zh) Sdn多域移动网络环境下主机身份鉴别信息的高效移交机制
WO2007106620A2 (en) Method for authenticating a mobile node in a communication network
US20080155678A1 (en) Computer system for controlling communication to/from terminal
JP5213563B2 (ja) ネットワーク処理装置
WO2018054272A1 (zh) 数据的发送方法和装置、计算机存储介质
WO2013067744A1 (zh) 一种终端组的服务网关选择方法及系统
WO2009155863A1 (zh) 下一代网络中支持移动性安全的方法与系统
WO2023010880A1 (zh) 一种数据传输方法及相关设备
US8909750B2 (en) Method for disconnecting multiple hosts from network when the gateway mobile station used by the multiple hosts indicates it is exiting the network, and network management device
JP2004266516A (ja) ネットワーク管理サーバ、通信端末、エッジスイッチ装置、通信用プログラム並びにネットワークシステム
JP5947763B2 (ja) 通信システム、通信方法、および、通信プログラム
WO2012075770A1 (zh) 身份位置分离网络的阻断方法和系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110715

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121106

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130226

R150 Certificate of patent or registration of utility model

Ref document number: 5213563

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160308

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250