JP2010232775A - 中継装置、転送方法およびコンピュータプログラム - Google Patents

中継装置、転送方法およびコンピュータプログラム Download PDF

Info

Publication number
JP2010232775A
JP2010232775A JP2009075735A JP2009075735A JP2010232775A JP 2010232775 A JP2010232775 A JP 2010232775A JP 2009075735 A JP2009075735 A JP 2009075735A JP 2009075735 A JP2009075735 A JP 2009075735A JP 2010232775 A JP2010232775 A JP 2010232775A
Authority
JP
Japan
Prior art keywords
packet
information
route
spi
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009075735A
Other languages
English (en)
Other versions
JP5239996B2 (ja
Inventor
Kojiro Seto
宏二郎 瀬戸
Junji Takezaki
淳二 竹崎
Kenichi Akita
賢一 秋田
Futoshi Nakamori
太 仲森
正幸 ▲高▼木
Masayuki Takagi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2009075735A priority Critical patent/JP5239996B2/ja
Publication of JP2010232775A publication Critical patent/JP2010232775A/ja
Application granted granted Critical
Publication of JP5239996B2 publication Critical patent/JP5239996B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】サービスを提供する装置に対して何ら要求することなく、暗号化されたIPパケットを、そのIPパケットのサービスに応じたQoSを有する通信経路に送出できるようにすることを目的とする。
【解決手段】カプセル化ヘッダを用いて、暗号化された内包パケットをカプセル化したパケットであるIPパケットを第1装置から第2装置に転送する中継装置は、前記第1装置がIPパケットを生成する際に用いた暗号化に関する暗号情報と、前記第2装置への経路を示す経路情報とを対応付けて記憶しておき、前記第1装置から受信した前記IPパケットのカプセル化ヘッダに含まれる暗号情報に基づいて、前記第2装置への経路を決定する。
【選択図】図2

Description

本発明は、パケットを転送する中継装置に関する。
近年、IP(Internet Protocol)ベースのネットワークにおいて、ユーザが使用するサービスに応じたQoS(Quality of Service)を保証するネットワーク技術がある。例えば、ユーザがIP電話で通話しているときに、通話が途切れないように帯域を保証するなどである。
サービスに応じたQoSの保証は、中継装置が、受信したIPパケットを、IPパケットのサービスに応じた帯域を有する通信経路に送出することで実現される。中継装置は、IPパケットの通信経路を選択する際には、IPパケットに含まれるサービスを示す情報、例えば、UDP(User Datagram Protocol)ヘッダに含まれるポート番号を参照する。
また、IPベースのネットワークであるインターネットはオープンなネットワークであり、悪質な利用者も存在することから、通信の内容を保護するための技術が開発されている。
通信の内容を保護する技術としては、例えば、エンド−エンドの通信を暗号化するIPsec/ESP(IP Security Protocol/Encapsulating Security Payload)がある。この方式では、エンドユーザの装置は、IPパケットを暗号化し、新たなIPヘッダを付加してカプセル化して送出する。
従って、中継装置は、IPsec/ESPで暗号化されたIPパケットを、そのIPパケットのサービスに応じた帯域を有する通信経路に送出しようとした場合、サービスを示す情報も暗号化されているため、適切な通信経路を選択することができない。
そこで、カプセル化に際して新たに付加されたIPヘッダに、サービスに関する情報を埋め込む技術がある(特許文献1等参照)。
この技術によれば、暗号化されたIPパケットであっても、通信経路を選択することが可能となる。
特開2000−341327号公報
しかしながら、この技術では、ユーザ側から送信するIPパケットのみならず、サービスを提供する側が送信するIPパケットにおいても、新たに付加するIPヘッダにサービスに関する情報を埋め込む必要がある。
すなわち、新たに付加するIPヘッダにサービスに関する情報を埋め込むという機能の実装を、現在サービスを提供している装置にも必要とする。
しかし、現在広く普及している様々なサービスを提供している全ての装置に、その機能を実装させることは、現実的ではない。
そこで、本発明は、サービスを提供する装置に対して何ら要求することなく、暗号化されたIPパケットを、そのIPパケットのサービスに応じたQoSを有する通信経路に送出できるようにすることを目的とする。
本発明の1形態に係る中継装置は、第1装置と第2装置との間で、IPパケットを転送する中継装置であって、前記IPパケットは、カプセル化ヘッダを用いて、暗号化された内包パケットをカプセル化したパケットであり、前記第1装置が前記IPパケットを生成する際に用いた暗号化に関する暗号情報と、前記第2装置への経路を示す経路情報とを対応付けて記憶する記憶手段と、前記第1装置から受信した前記IPパケットの前記第2装置への経路として、当該IPパケットのカプセル化ヘッダに含まれる暗号情報に対応する経路情報で示される経路を決定する経路決定手段と、を有する。
上記構成の中継装置は、受信したIPパケットのヘッダに含まれる暗号化に関する情報と、経路情報とを対応付けて記憶しているので、ヘッダ以外の部分が暗号化されていたとしても、通信経路を決定することができる。
通信システムの構成の例を示す図である。 中継装置、ユーザ端末及び加入者管理装置の機能的構成の例を示すブロック図である。 加入者情報管理テーブル1710の構成及び内容の例を示す図である。 downlinkSPI管理テーブル1610の構成及び内容の例を示す図である。 契約QoS管理テーブルの構成及び内容の例を示す図である。 ユーザ情報管理テーブルの構成及び内容の例を示す図である。 通信管理テーブルの構成及び内容の例を示す図である。 ネットワーク接続要求イベントの構成及び内容の例を示す図である。 接続認証要求イベントの構成及び内容の例を示す図である。 ユーザ情報送信イベントの構成及び内容の例を示す図である。 通信経路生成イベントの構成及び内容の例を示す図である。 ユーザ端末と中継装置との間で送受信されるカプセル化されたパケットの構成例を示す図である。 ユーザ端末とサービス提供装置との間で送受信されるカプセル化されたパケットの構成例を示す図である。 装置間のカプセル化されたパケットの流れを示す図である。 ユーザ端末がサービス提供装置との暗号化IPパケットの送受信を開始する場合の、各装置の処理を示すフローチャートである。 中継装置が行う上り転送処理を示すフローチャートである。 中継装置が行う下り転送処理を示すフローチャートである。 加入者管理装置から中継装置にuplinkSPIを通知するための、option部にSPIの記載ルールを追加拡張したIPFilterRuleの例を示す図である。 中継装置から基地局にuplinkSPIを通知するための、Path_Reg_Reqのメッセージフォーマットの例を示す図である。 基地局からユーザ端末にuplinkSPIを通知するための、DSA−REQのメッセージフォーマットの例を示す図である。
<実施形態>
<概要>
中継装置は、暗号化されたIPパケット(以下、「暗号化IPパケット」という。)を受信し、受信したIPパケットが送出されるべき通信経路、すなわち、IPパケットのサービスに応じたQoSを有する通信経路に送出するために、SPI(Security Parameters Index)を参照する。実施形態では、暗号化のプロトコルとして、IPsec(RFC(Request For Comments)2401)/ESP(RFC2406)を用いている。
SPIとは、IPパケットを暗号化する際に用いる暗号化方式及び暗号鍵等の暗号化情報の識別子であり、ユーザ端末装置とサービス提供装置との間で、暗号化情報と共に交換するものである。各装置が、それぞれ任意の値をSPIとして指定する。
各装置は、自装置と相手装置とが共有する暗号化情報と、自装置が指定したSPIと、相手装置が指定したSPIとを対応付けて記憶しておく。
各装置は、暗号化に用いた暗号化情報のSPIを、暗号化IPパケットに付加するヘッダに含ませて送信する。暗号化IPパケットを受信した装置は、付加されているヘッダに含まれるSPIから暗号化情報を特定し、暗号化IPパケットの復号を行う。
すなわち、本来、SPIは、ユーザ端末装置とサービス提供装置とがそれぞれ任意に決定し、交換して使用するものであるため、他の装置は知る必要がない情報である。
しかし、SPIは、暗号化IPパケットがどの装置からどの装置に送信されているかを示している情報でもあり得る。
実施形態では、ユーザ端末装置が指定するSPIを通信事業者が管理することで、サービス提供装置からユーザ端末装置に送信された暗号化IPパケットを、暗号化IPパケットに付加されたヘッダに含まれるSPIに基づいて、本来送出されるべき通信経路に送出してユーザ端末装置に届けるものである。
以下、本発明の実施形態における中継装置について、図面を用いて説明する。
<機能>
実施形態では、サービスに応じたQoSを保証して通信経路の選択を行うネットワークとして、Mobile WiMAX(Worldwide interoperability for Microwave Access)ネットワークを例に説明する。図1を用いて、実施形態のMobile WiMAXネットワークを簡単に説明する。
図1は、実施形態の通信システムの構成の例を示す図である。
実施形態の通信システム100は、加入者管理装置3000、中継装置1000、基地局5000、ユーザ端末2000及びサービス提供装置4000を含む。
サービス提供装置4000は、インターネットを介して中継装置1000と接続される。また、中継装置1000、基地局5000及び加入者管理装置3000は、ある通信事業者によって提供されるネットワークを構成する。ユーザ端末2000は、当該通信事業者の提供するサービスに加入しており、加入者管理装置3000によって管理されている。
ユーザ端末2000は、サービス提供装置4000からサービスを受けるために、基地局5000及び中継装置1000を介してサービス提供装置4000とIPパケットの送受信を行う。この際IPパケットの暗号化に用いられるプロトコルは、IPsec/ESPである。
ユーザ端末2000と基地局5000との間の無線区間の通信経路102は、IEEE802.16eに従ったものである。また、基地局5000と中継装置1000との間の有線区間の通信経路101は、GRE(Generic Routing Encapsulation:RFC2785、RFC2890)トンネルとなる。
これらの通信経路(101、102)は、QoS保証がなされた通信経路である。
ネットワーク接続及び通信経路生成で使用されるプロトコルは、中継装置1000と基地局5000との間は、WiMAX Forum Network Architectureであり、基地局5000とユーザ端末2000との間は、IEEE802.16eである。また、加入者管理装置3000と中継装置1000との間で認証時に使用されるプロトコルは、RADIUS(Remote Authentication Dial In User Service)(RFC2865)をベースとしWiMAX Forum Network Architectureで規定される拡張を含んだものである。
次に、図2を用いて、中継装置1000、ユーザ端末2000及び加入者管理装置3000について説明する。
図2は、中継装置1000、ユーザ端末2000及び加入者管理装置3000の機能的構成の例を示すブロック図である。尚、基地局5000は、中継装置1000とはブリッジ接続のイメージで接続され通信経路の選択は行わないため、図2には記載していない。
中継装置1000は、IPパケット転送制御部1100、uplinkSPI登録部1210を含む加入者情報取得部1200、通信経路生成部1300、downlinkSPI登録部1400、上り経路処理部1500、下り経路選択部1550、downlinkSPI管理テーブル記憶部1600及び加入者情報管理テーブル記憶部1700を有する。
IPパケット転送制御部1100は、IPパケットの、いわゆるルーティング処理、カプセル化処理、カプセル化解除処理等を行う機能を有する他、本発明に特有の処理のための制御等を行う。
次に、加入者情報取得部1200は、ネットワーク接続を要求してきた加入者に関する情報を、加入者管理装置3000から取得する機能を有する。加入者に関する情報とは、ユーザが通信事業者と契約をした通信経路のQoS情報等である。
uplinkSPI登録部1210は、加入者情報取得部1200が取得した加入者の情報であるQoS情報やSPI等を、管理テーブルに記憶させる機能を備える。
通信経路生成部1300は、ユーザ端末2000と中継装置1000との間の通信経路を生成する機能を有する。
実施形態では、通信経路生成部1300が生成する通信経路は2種類とする。ユーザが契約した帯域保証された通信経路と、デフォルトの通信経路である。ユーザ端末2000と中継装置1000との間の通信は、一対の通信経路、すなわち、2本の通信経路を使用する。1本は、上りの通信経路であり、もう1本は、下りの通信経路である。上りと下りの経路は、基本的に同じQoSが設定される。
ユーザは、複数の通信経路を契約することが可能であり、それぞれ異なるQoSを設定できる。ただし、2種類の通信経路のうちの1つであるデフォルトの通信経路は、帯域保証の無いQoSが設定されているものとする。
一般的に、ユーザが通信事業者と契約を行う場合、最初は帯域保証の無い接続を契約し、ユーザが必要となったときに、QoS保証のある接続を追加して契約する。従って、実施形態では、帯域保証の無いQoSが設定されたデフォルトの通信経路は、必ず生成されることとする。中継装置1000において、転送する通信経路の選択が出来ない場合は、デフォルトの通信経路を使用してユーザ端末2000にIPパケットを転送する。
downlinkSPI登録部1400は、下り経路選択部1550から依頼を受けて、下りの経路で使用するSPIを、管理テーブルに記憶させる機能を有する。
上り経路処理部1500は、IPパケット転送制御部1100から依頼を受けて、ユーザ端末2000からサービス提供装置4000に向けて送信されたIPパケットから、必要な情報を取り出して管理テーブルに記憶させる機能を有する。
また、下り経路選択部1550は、IPパケット転送制御部1100から依頼を受けて、サービス提供装置4000から送信されてきたIPパケットの転送先である通信経路を選択する機能を有する。また、下りの経路で使用するSPIが管理テーブルに設定されていない場合は、downlinkSPI登録部1400に登録を依頼する。
downlinkSPI管理テーブル記憶部1600は、サービス提供装置4000から送信される暗号化IPパケットのSPIを管理するテーブルを記憶しておく機能を有する。
加入者情報管理テーブル記憶部1700は、ユーザ端末毎の通信経路情報や、QoS情報等を管理する加入者情報管理テーブルを記憶しておく機能を有する。
次に、ユーザ端末2000は、制御部2100、暗号化情報交換部2210を含むIPパケット送受信部2200、通信経路生成部2300、通信管理テーブル記憶部2400及びサービスアプリケーション2900を含む。
このユーザ端末2000は、いわゆるパソコンであり、キーボード等のマンマシンインタフェース、ディスプレイ、通信機能等を備える。
制御部2100は、パソコンとしてのユーザ端末2000に必要な処理を行う他、本発明に特有の処理、例えば、中継装置1000との間で通信経路を生成するために他の機能部を制御する機能等を有する。
IPパケット送受信部2200は、中継装置1000を介して、サービス提供装置4000を相手に、暗号化IPパケットを送受信する機能を有する。また、IPパケットの暗号化等の処理を行う機能を有する。
暗号化情報交換部2210は、暗号化情報をサービス提供装置4000と交換する機能を有する。この際、SPIも交換する。暗号化情報交換部2210は、自装置のSPIとして、中継装置1000を介して加入者管理装置3000が指定したSPIをサービス提供装置4000に渡す。一方、サービス提供装置4000のSPIとして、サービス提供装置4000からSPIをもらう。
この暗号化情報交換部2210が行う暗号化情報の交換は、IKE(Internet Key Exchange:RF2409)若しくはIKEv2(Internet Key Exchange version2:RF4306)を用いて行われる。
通信経路生成部2300は、ユーザ端末2000と中継装置1000との間の通信経路を生成する機能を有する。
通信管理テーブル記憶部2400は、自装置が生成した通信経路毎のQoS情報等を管理する通信管理テーブルを記憶しておく機能を有する。
サービスアプリケーション2900は、ユーザが利用する様々なサービスを実現する機能を有する。具体的には、サービスに応じて、所定のサービス提供装置と通信を行ってサービスを実現する。例えば、IP電話サービスや、動画視聴サービスなどである。
次に、加入者管理装置3000は、制御部3100、ユーザ情報通知部3200、ユーザ情報管理テーブル記憶部3300及び契約QoS管理テーブル記憶部3400を含む。
この加入者管理装置3000は、いわゆるサーバであり、通信事業者が提供するネットワークサービスを受けるために加入したユーザに関する情報を管理等する装置である。
制御部3100は、サーバとしての加入者管理装置3000に必要な処理を行う他、本発明に特有の処理、例えば、中継装置1000に加入者の情報を通知する等の処理のための制御等を行う機能を有する。
ユーザ情報通知部3200は、中継装置1000から要求があったユーザに関する情報を、中継装置1000に送信する機能を有する。また、ユーザ情報通知部3200は、中継装置1000が情報を要求したユーザが正当な加入者であるか否かの認証も行う。認証が肯定的であった場合にのみ、当該ユーザに関する情報を中継装置1000に送信する
ユーザ情報管理テーブル記憶部3300は、通信事業者の提供するサービスへの加入者であるユーザのユーザ端末のIPアドレスや契約内容等を管理するユーザ情報管理テーブルを記憶しておく機能を有する。
契約QoS管理テーブル記憶部3400は、加入者であるユーザが契約した通信経路のQoS等を管理する契約QoS管理テーブルを記憶しておく機能を有する。
上述した機能の全部または一部は、中継装置1000、ユーザ端末2000及び加入者管理装置3000のそれぞれが有するCPUが、各装置それぞれのメモリ等に記録されているプログラムを実行することにより実現される。
<データ>
次に、実施形態の通信システム100で用いる主なデータについて図3〜図7を用いて説明する。
図3は、加入者情報管理テーブル1710の構成及び内容の例を示す図である。
この加入者情報管理テーブル1710は、中継装置1000の加入者情報管理テーブル記憶部1700に記憶されている。
加入者情報管理テーブル1710は、レコード番号1711、ユーザ端末IPアドレス1712、通信経路情報1713、QoS情報1714、uplinkSPI1715、サービス提供装置IPアドレス1716及びdownlinkSPI1717が含まれる。
レコード番号1711は、加入者情報管理テーブル1710に登録されているレコードの番号を示す。レコードは、中継装置1000が通信経路を生成する際に登録される。
ユーザ端末IPアドレス1712は、中継装置1000が通信経路を生成する相手であるユーザ端末のIPアドレスを示す。
通信経路情報1713は、中継装置1000が、ユーザ端末IPアドレス1712で示されるユーザ端末との間で生成する通信経路の情報を示す。
この通信経路情報1713は、通信経路の上り又は下りを示す「方向」と、ポート番号及びポート番号に対応付けられているプロトコルを示す「ポート番号/プロトコル」と、通信経路であるGREトンネルの識別子を示す「GRE−KEY」とを含む。
この「ポート番号/プロトコル」が「any/any」の通信経路は、送出すべき通信経路が不明なIPパケットや、通信経路を指定していないIPパケットを送出するデフォルトの通信経路である。
QoS情報1714は、通信経路情報1713で示される通信経路に設定された帯域幅を示す。
uplinkSPI1715は、上り、すなわち、ユーザ端末IPアドレス1712で示されるユーザ端末から、サービス提供装置IPアドレス1716で示されるサービス提供装置へ送信するIPパケットを暗号化するのにユーザ端末が用いた暗号化情報の識別子を示す。従って、方向が下りの通信経路には設定されず、uplinkSPI1715の欄には「−」が記載されている。
サービス提供装置IPアドレス1716は、ユーザ端末IPアドレス1712で示されるユーザ端末が、IPパケットを送受信する相手であるサービス提供装置のIPアドレスを示す。
このサービス提供装置IPアドレス1716は、ユーザ端末IPアドレス1712で示されるユーザ端末が送信したuplinkSPI1715で示されるSPIを含んだ最初のIPパケットを、中継装置1000が受信したときに設定される。
downlinkSPI1717は、下り、すなわち、サービス提供装置IPアドレス1716で示されるサービス提供装置から、ユーザ端末IPアドレス1712で示されるユーザ端末へ送信するIPパケットを暗号化するのにサービス提供装置が用いた暗号化情報の識別子を示す。従って、方向が上りの通信経路には設定されず、downlinkSPI1717の欄には「−」が記載されている。
このdownlinkSPI1717は、サービス提供装置IPアドレス1716で示されるサービス提供装置からユーザ端末IPアドレス1712で示されるユーザ端末へ送信された最初のIPパケットを、中継装置1000が受信したときに設定される。
次に、図4は、downlinkSPI管理テーブル1610の構成及び内容の例を示す図である。
このdownlinkSPI管理テーブル1610は、中継装置1000のdownlinkSPI管理テーブル記憶部1600に記憶されている。
downlinkSPI管理テーブル1610は、レコード番号1611、downlinkSPI1613及び加入者テーブルレコード番号1613が含まれる。
レコード番号1611は、downlinkSPI管理テーブル1610に登録されているレコードの番号を示す。レコードは、中継装置1000が、下りのSPIを取得すると登録される。
downlinkSPI1612は、下りのIPパケットを暗号化するのに用いた暗号化情報の識別子を示す。
加入者テーブルレコード番号1613は、加入者情報管理テーブル1710のレコード番号1711を示す。downlinkSPI管理テーブル1610にレコードが登録された時には、同じSPIが加入者情報管理テーブル1710のdownlinkSPI1717にも設定される。その設定されたレコードのレコード番号が加入者テーブルレコード番号1613に設定される。
次に、図5は、契約QoS管理テーブルの構成及び内容の例を示す図である。
この契約QoS管理テーブル3410は、加入者管理装置3000の契約QoS管理テーブル記憶部3400に記憶されている。この契約QoS管理テーブル3410は、加入者が契約した通信経路の情報を管理している。
契約QoS管理テーブル3410は、レコード番号3411、通信経路情報3412、QoS情報3413及びuplinkSPI3414が含まれる。
レコード番号3411は、契約QoS管理テーブル3410に登録されているレコードの番号を示す。契約QoS管理テーブル3410には、ユーザが契約した上り下り一対の通信経路ごとのレコードが登録されている。
通信経路情報3412は、通信経路の情報を示す。上りの経路のポート番号及びポート番号に対応付けられているプロトコルを示す「上りポート番号/プロトコル」と、下りの経路のポート番号及びポート番号に対応付けられているプロトコルを示す「下りポート番号/プロトコル」とを含む。
QoS情報3413は、通信経路情報3412で示される通信経路に割り当てられている帯域幅を示す。
uplinkSPI3414は、ユーザ端末に通知する上りのSPIを示す。このSPIは、中継装置1000を介してユーザ端末2000に通知される。ユーザ端末2000は、サービス提供装置4000と通信する際にこのSPIを用いる。
次に、図6は、ユーザ情報管理テーブル3310の構成及び内容の例を示す図である。
このユーザ情報管理テーブル3310は、加入者管理装置3000のユーザ情報管理テーブル記憶部3300に記憶されている。
ユーザ情報管理テーブル3310は、レコード番号3311、ユーザ情報3312、ユーザ端末IPアドレス3313及び契約QoS情報3314が含まれる。
レコード番号3311は、ユーザ情報管理テーブル3310に登録されているレコードの番号を示す。レコードは、加入者管理装置3000が管理しているユーザ全員分が登録されている。
ユーザ情報3312は、加入者管理装置3000が管理しているユーザの情報を示す。このユーザ情報3312は、通信事業者から割り当てられたユーザの識別子である「NAI(Network Access Identifier)」と、ユーザを認証するために用いる情報である「認証パスワード」を含む。
ユーザ端末IPアドレス3313は、加入者管理装置3000が管理しているユーザ端末のIPアドレスを示す。
契約QoS情報1714は、ユーザ情報3312で示されるユーザが、通信事業者と契約したQoSを示す。具体的には、契約QoS管理テーブル3410のレコード番号3411を示している。例えば、レコード番号3311「1」で示されるレコードの契約QoS情報3314は「1、2、3」であるので、このレコードのユーザ情報3312で示されるユーザは、契約QoS管理テーブル3410のレコード番号3411が「1」と「2」と「3」で示される3つの通信経路を生成する契約をしていることになる。
次に、図7は、通信管理テーブルの構成及び内容の例を示す図である。
この通信管理テーブル2410は、ユーザ端末2000の通信管理テーブル記憶部2400に記憶されている。この通信管理テーブル2410は、ユーザ端末2000が生成する通信経路の情報を管理している。
通信管理テーブル2410は、レコード番号2411、サービス2412、通信経路情報2413、QoS情報2414、uplinkSPI2415及び暗号化条件2416が含まれる。
レコード番号2411は、通信管理テーブル2410に登録されているレコードの番号を示す。ユーザ端末が生成する通信経路の数分のレコードが登録されている。
サービス2412は、ユーザがユーザ端末2000を用いて利用するサービスを示す。ユーザ端末2000は、これらサービスを実現する複数のアプリケーションを備えている。
通信経路情報2413は、ユーザ端末2000が中継装置1000との間で生成する通信経路の情報を示す。
この通信経路情報2413は、上りのポート番号及びポート番号に対応付けられているプロトコル示す「上りポート番号/プロトコル」と、ユーザ端末2000と基地局5000との間のトンネルの識別子である「CID(Connection IDentifier)」とを含む。
QoS情報2414は、通信経路情報2413で示される通信経路に割り当てられている帯域幅を示す。
uplinkSPI2415は、ユーザ端末2000が、通信経路情報2413で示される経路から送出するIPパケットを暗号化するのに用いる暗号化情報の識別子を示す。このSPIは、中継装置1000を介して加入者管理装置3000から通知される。
暗号化条件2416は、uplinkSPI2415で示されるSPIで識別される暗号化情報を示す。
この暗号化条件2416は、セキュリティプロトコルを示す「IPsec条件」、暗号化の方式を示す「暗号化方式」、通信相手の装置を示す「サービス提供装置IPアドレス」、下りのSPIを示す「downlinkSPI」、暗号化する際に用いる鍵を示す「暗号鍵」を含む。
<イベント>
以下、実施形態の通信システム100で用いられるイベントについて、図8〜図11を用いて説明する。
イベントとは、ユーザ装置2000及び加入者管理装置3000と中継装置1000とがやり取りする、通信経路の生成に必要なデータをいう。
図8は、ネットワーク接続要求イベント2010の構成及び内容の例を示す図である。
このネットワーク接続要求イベント2010は、ユーザ端末2000から中継装置1000に、ネットワークの接続を要求する場合に送信される。
ネットワーク接続要求イベント2010は、接続要求コード2011、ユーザ端末IPアドレス2012及びユーザ認証情報2013を含む。
接続要求コード2011は、当該イベントがネットワーク接続を要求するイベントであることを示す。
ユーザ端末IPアドレス2012は、当該イベントの送信元の装置、すなわち、ネットワーク接続を要求している装置のIPアドレスを示す。具体的には、ユーザ端末2000のIPアドレスである。
ユーザ認証情報2013は、当該イベントの送信元の装置を使用しているユーザを認証するための情報を示す。いわゆる、パスワードである。ユーザが通信事業者との契約時に、通信事業者との間で決めたものである。
図9は、接続認証要求イベント1010の構成及び内容の例を示す図である。
この接続認証要求イベント1010は、中継装置1000から加入者管理装置3000に、ユーザの認証を依頼する場合に送信される。このユーザとは、中継装置1000にネットワークの接続を要求してきたユーザである。
接続認証要求イベント1010は、接続認証要求コード1011、ユーザ端末IPアドレス1012及びユーザ認証情報1013を含む。
接続認証要求コード1011は、当該イベントが、ユーザの認証を依頼するイベントであることを示す。
ユーザ端末IPアドレス1012は、認証の対象であるユーザが使用している装置のIPアドレスを示す。具体的には、ユーザ端末2000のIPアドレスである。
ユーザ認証情報1013は、ユーザ端末IPアドレス1012で示される装置のユーザを認証するための情報を示す。
図10は、ユーザ情報送信イベント3010の構成及び内容の例を示す図である。
このユーザ情報送信イベント3010は、加入者管理装置3000から中継装置1000に、ユーザ情報を通知する場合に送信される。このユーザ情報とは、接続認証要求イベント1010で認証の対象となったユーザの情報である。加入者管理装置3000は、認証が肯定的であった場合のみユーザ情報送信イベント3010を送信する。
ユーザ情報送信イベント3010は、ユーザ情報送信コード3011、ユーザ端末IPアドレス3012及び契約QoS情報3013を含む。
ユーザ情報送信コード3011は、当該イベントがユーザ情報を送信するイベントであることを示す。
ユーザ端末IPアドレス3012は、当該イベントで送信するユーザ情報が、どのユーザの情報であるかを示す。ユーザを示す情報として、ユーザが使用するユーザ端末のIPアドレスが設定される。
契約QoS情報3013は、ユーザ端末IPアドレス3012で示される装置のユーザが、通信事業者と契約した通信経路の情報を示す。この契約QoS情報3013として、契約QoS管理テーブル記憶部3400に記憶されている契約QoS管理テーブル3410の通信経路情報3412、QoS情報3413及びuplinkSPI3414が設定される。
図11は、通信経路生成イベント1020の構成及び内容の例を示す図である。
この通信経路生成イベント1020は、中継装置1000からユーザ端末2000に、生成する通信経路の情報を通知する場合に送信される。
通信経路生成イベント1020は、通信経路生成コード1021及び生成経路情報1022を含む。
通信経路生成コード1021は、当該イベントが生成する通信経路の情報を送信するイベントであることを示す。
生成経路情報1022は、当該通信経路生成イベント1020の送信先であるユーザ端末2000と、中継装置1000との間で生成する通信経路の情報を示す。この生成経路情報1022として、加入者情報管理テーブル記憶部1700に記憶されている加入者情報管理テーブル1710の通信経路情報1713、QoS情報1714及びuplinkSPI1715が設定される。
<パケット>
以下、実施形態の通信システム100で用いられるパケットについて、図12〜図14を用いて説明する。
図12は、ユーザ端末と中継装置との間で送受信されるカプセル化されたパケットの構成例を示す図である。
ユーザ端末2000と基地局5000との無線区間は、パケット9010の構成のパケットが送受信される。また、基地局5000と中継装置1000との間のGREトンネルでは、パケット9020の構成のパケットが送受信される。
パケット9010は、IEEE802.16eに従ったヘッダ9011とペイロード9030で構成される。
また、パケット9020は、GREトンネルを通過するためのIPヘッダ部9021、通過するGREトンネルを示すGRE−Key9023を含むGREヘッダ部9022及びペイロード9030で構成される。
ペイロード(9010、9020)には、図13を用いて説明するパケットが挿入される。
図13は、ユーザ端末2000とサービス提供装置4000との間で送受信されるカプセル化されたパケットの構成例を示す図である。
ユーザ端末2000とサービス提供装置4000との間は、パケット9030の構成のパケットが送受信される。このパケット9030は、ESPを適用する場合のIPsecパケットである。
パケット9030は、IPヘッダ部9031、ESPヘッダ部9032及び暗号化ペイロード9033で構成される。
IPヘッダ部9031は、パケット9030の送信元を示す送信元IPアドレス9034と、送信先を示す送信先IPアドレス9035とを含む。
ESPヘッダ部9032は、ESPを適用した場合にIPヘッダ部9031の後ろに挿入されるヘッダであり、SPI9036を含む。
このIPヘッダ部9031とESPヘッダ部9032とは、暗号化されていない。
暗号化ペイロード9033は、暗号化されたIPパケットである。このIPパケットは、ユーザ端末2000とサービス提供装置4000との間で送受信しようとしているIPパケットである。このIPパケットは、IPヘッダ部9037とデータ部9038とで構成される。データ部9038は、送信するデータが設定される。
また、IPヘッダ部9037は、送信元IPアドレス9039、送信先IPアドレス9040及びポート番号9041を含む。例えば、ユーザ端末2000からサービス提供装置4000に送信するIPパケットの場合は、ユーザ端末2000のIPアドレスを送信元IPアドレス9039に設定し、サービス提供装置4000のIPアドレスを送信先IPアドレス9040に設定する。また、サービス提供装置4000が提供するサービスが割り当てられているポート番号を、ポート番号9041に設定する。
尚、実施形態のように、IPsec/ESPを適用したIPパケットは暗号化されているので、復号しない限り内容を参照することはできない。しかし、IPパケットを暗号化しないで送信するプロトコルでは、中継装置は、ポート番号9041を参照し、割り当てられているサービスに応じたQoSが設定されている通信経路に、IPパケットを送出することが可能である。
図14は、装置間のカプセル化されたパケットの流れを示す図である。
ユーザ端末2000で生成されたパケット9030aは、IEEE802.16eに従ったヘッダ9011が付加され、パケット9010の構成のパケット9010aが基地局5000に送信される。
基地局5000において、IEEE802.16eに従ったヘッダ9011が削除され、IPヘッダ部9021とGREヘッダ部9022とがパケット9030aに付加され、パケット9020の構成のパケット9020aが中継装置1000に送信される。
また、中継装置1000において、パケット9020aからIPヘッダ部9021とGREヘッダ部9022とが削除され、パケット9030bがサービス提供装置4000に送信される。
サービス提供装置4000で生成されたパケット9030cは、中継装置1000まで送信され、中継装置1000において、IPヘッダ部9021とGREヘッダ部9022とがパケット9030に付加され、パケット9020の構成のパケット9020bが基地局5000に送信される。
基地局5000において、IPヘッダ部9021とGREヘッダ部9022とが削除され、IEEE802.16eに従ったヘッダ9011が付加され、パケット9010の構成のパケット9010bがユーザ端末2000に送信される。
パケット9010bを受信したユーザ端末2000は、IEEE802.16eに従ったヘッダ9011を削除する。ユーザ端末2000及びサービス提供装置4000は、暗号化IPパケットを復号し、データに応じた処理を行う。
以下、基地局5000等で、必要なヘッダを付加することを「カプセル化」といい、ヘッダを削除することを「カプセル化の解除」というものとする。
<動作>
以下、実施形態の通信システム100の動作について図15〜図17を用いて説明する。
図15は、ユーザ端末2000がサービス提供装置4000との暗号化IPパケットの送受信を開始する場合の、各装置の処理を示すフローチャートである。
図15において、括弧で囲んだ数字は、図8〜図13を用いて説明したイベント及びパケットの符号の番号を示す。
インターネット上にあるサービス提供装置4000が提供するサービスをユーザが利用しようとした場合、ユーザは、ユーザ端末2000にサービスの実行を指示する。
サービスの実行を指示するユーザの操作を検出した制御部2100は、契約している通信事業者のネットワークに接続するよう通信経路生成部2300に依頼する。
依頼を受けた通信経路生成部2300は、ネットワーク接続要求イベント2010(図8参照)を生成する。
具体的には、ユーザ端末IPアドレス2012としてユーザ端末2000のIPアドレスを設定し、ユーザ認証情報2013としてパスワードを設定する。パスワードは、通信事業者との契約時に認証情報として通信事業者に伝えたものである。ユーザ端末2000のIPアドレスとパスワードとは、ユーザ端末2000のメモリに記憶されているものとする。
通信経路生成部2300は、生成したネットワーク接続要求イベント2010を中継装置1000に送信する(ステップS200)。
ネットワーク接続要求イベント2010を受信した中継装置1000の通信経路生成部1300は、加入者情報取得部1200に、ネットワーク接続を依頼してきたユーザに関する情報を取得するよう依頼する。この際、受信したネットワーク接続要求イベント2010のユーザ端末IPアドレス2012とユーザ認証情報2013とを渡す。
依頼を受けた加入者情報取得部1200は、接続認証要求イベント1010(図9参照)を生成する。
具体的には、渡されたユーザ端末IPアドレス2012をユーザ端末IPアドレス1012として設定し、渡されたユーザ認証情報2013をユーザ認証情報1013として設定する。
加入者情報取得部1200は、生成した接続認証要求イベント1010を加入者管理装置3000に送信する(ステップS100)。
接続認証要求イベント1010を受信した加入者管理装置3000のユーザ情報通知部3200は、まず、接続を要求しているユーザの認証を行う(ステップS300)。
具体的には、ユーザ情報通知部3200は、ユーザ情報管理テーブル3310(図6参照)のユーザ端末IPアドレス3313が、接続認証要求イベント1010のユーザ端末IPアドレス1012で示されているIPアドレスと一致するレコードがあるか検索を行う。一致したレコードがある場合は、一致したレコードのユーザ情報3312の認証パスワードが、接続認証要求イベント1010のユーザ認証情報1013と同じであるか否かを判断する。同じである場合は、肯定的な認証結果とする。この場合以外は、否定的な認証結果とする。
認証結果が肯定的であると判断した場合、ユーザ情報通知部3200は、ユーザ情報送信イベント3010(図10参照)を生成する。
具体的には、受信した接続認証要求イベント1010のユーザ端末IPアドレス1012を、ユーザ端末IPアドレス3012として設定する。
また、契約QoS管理テーブル3410(図5参照)から、一致したレコードの契約QoS情報3314で示される番号と同じ番号のレコード番号1711のレコードを読み出す。読み出したレコードの通信経路情報3412とQoS情報3413とuplinkSPI3414とを、契約QoS情報3013として設定する。検索されたレコードの契約QoS情報3314に複数のレコード番号が設定されている場合は、すべてのレコード番号で示されるレコードを読み出して、契約QoS情報3013として設定する。
ユーザ情報通知部3200は、生成したユーザ情報送信イベント3010を中継装置1000に送信する(ステップS310)。
一方、認証結果が否定的であると判断した場合、ユーザ情報通知部3200は、認証結果が否定的であった旨を、中継装置1000を介してユーザ端末2000に通知する。通知を受けたユーザ端末2000は、認証されなかった旨のメッセージを表示する。
ユーザ情報送信イベント3010を受信した中継装置1000の加入者情報取得部1200は、受信したユーザ情報送信イベント3010からユーザ端末IPアドレス3012と契約QoS情報3013とを読み出して、uplinkSPI登録部1210に渡して登録を依頼する。
依頼を受けたuplinkSPI登録部1210は、まず、加入者情報管理テーブル1710(図3参照)に登録する。
具体的には、受け取ったユーザ端末IPアドレス3012を、ユーザ端末IPアドレス1712に設定する。また、契約QoS情報3013の通信経路情報3412を基に、上り及び下りそれぞれの通信経路の通信経路情報1713を設定し、QoS情報3413をQoS情報1714に設定する。尚、契約QoS情報3013に、複数の通信経路情報3412等が含まれている場合は、それらの通信経路についても加入者情報管理テーブル1710に登録する。
また、uplinkSPI登録部1210は、ユーザ情報送信イベント3010の契約QoS情報3013からuplinkSPI3414を読み出し、通信経路情報1713の方向が上りのレコードのuplinkSPI1715に設定する(ステップS110)。
加入者情報管理テーブル1710に登録したuplinkSPI登録部1210は、その旨を加入者情報取得部1200に通知する。
通知を受けた加入者情報取得部1200は、通信経路生成部1300に、ユーザに関する情報を取得した旨を通知する。
通知を受けた通信経路生成部1300は、通信経路を生成すべく通信経路生成イベント1020(図11参照)を生成し、ユーザ端末2000に送信する(ステップS120)。詳細には、ネットワークの接続を要求してきたユーザ端末のIPアドレス、すなわち、受信したネットワーク接続要求イベント2010のユーザ端末IPアドレス2012宛てに送信する。
通信経路生成イベント1020は、具体的には、生成経路情報1022として、加入者情報管理テーブル1710のユーザ端末IPアドレス1712が、ネットワーク接続要求イベント2010のユーザ端末IPアドレス2012と一致するレコードの、通信経路情報1713、QoS情報1714及びupinkSPI1715を設定して生成する。
例えば、図3の加入者情報管理テーブル1710では、ユーザ端末IPアドレス1712が「192.168.100.100」のユーザ端末に送信する通信経路生成イベント1020の生成経路情報1022としては、レコード番号1711が「1」〜「6」のレコードの通信経路情報1713等が設定される。すなわち、ユーザ端末IPアドレス1712が「192.168.100.100」のユーザ端末のユーザは、3つの通信経路を契約していることになる。
この通信経路生成イベント1020がユーザ端末2000に送信されることで、ユーザ端末装置2000に対して、上り方向の暗号化IPパケットに使用するSPIが付与されたことになる。
通信経路生成イベント1020を受信したユーザ端末2000の通信経路生成部2300は、通信管理テーブル2410(図7参照)に、生成する通信経路の情報を設定する。
具体的には、受信した通信経路生成イベント1020の生成経路情報1022を、通信経路情報2413に設定し、QoS情報1714をQoS情報2414に設定し、uplinkSPI1715をuplinkSPI2415に設定する。これらは、サービス2414に応じて設定される。
例えば、図7の通信管理テーブル2410では、サービス2412「VoIP」のQoS情報2414として、「128K」が設定され、サービス2412「ストリーミング」のQoS情報2414として、「64K〜1.5M」が設定されている。
通信管理テーブル2410に、生成する通信経路の情報を設定した通信経路生成部2300は、通信管理テーブル2410に設定した情報を元に通信経路101を生成する(ステップS210、ステップS130)。
通信経路を生成した通信経路生成部2300は、通信経路が生成された旨を制御部2100に通知する。
通知を受けた制御部2100は、IPパケット送受信部2200の暗号化情報交換部2210に暗号化情報の交換を行うよう指示する。
指示を受けた暗号化情報交換部2210は、サービス提供装置4000と暗号化情報の交換を中継装置1000を介して行う(ステップS220、ステップS140、ステップS400)。
この暗号化情報の交換において、ユーザ端末2000がサービス提供装置4000に通知するSPIは、通信管理テーブル2410のuplinkSPI2415である。すなわち、中継装置1000を介して加入者管理装置3000から通信経路生成イベント1020で通知されたSPIである。
暗号情報の交換を行った暗号情報交換部2210は、暗号化情報を交換した結果として得られた情報を、通信管理テーブル2410の暗号化条件2416に設定する。
暗号化情報を通信管理テーブル2410に設定した暗号情報交換部2210は、その旨を制御部2100に通知する。
通知を受けた制御部2100は、暗号通信の準備が整ったと判断し、ユーザが指定したサービスを実行するサービスアプリケーション2900にサービス提供装置4000との通信開始を指示する。
指示されたサービスアプリケーション2900は、サービス提供装置4000との通信を開始する。一般的に通信の開始はユーザ端末装置4000から、上りのパケットを送信して開始される。
サービスアプリケーション2900は、通信管理テーブル2410のサービス2412がユーザに指定されたサービスであるレコードの暗号化条件1416を参照して、IPパケットを暗号化する。更に、暗号化IPパケットに、uplinkSPI2415を含んだカプセル化ヘッダを付加してパケット9030を生成して送信する(ステップS230)。
無線通信経路に送出する際には、パケット9030をカプセル化したパケット9010を、通信経路情報2413のCIDで示される無線通信経路に送出する。ユーザ端末2000は、送信するパケットがどのサービスのパケットであるかを知っているため、最適なQoSの経路に送出することができる。
基地局5000では、パケット9010からパケット9020を生成し、中継装置1000に送信する。無線通信経路から有線通信経路への接続は、ブリッジ接続のイメージの為、基地局5000では通信経路の選択は行われない。
パケット9030をカプセル化したパケット9020を受信したIPパケット転送制御部1100は、カプセル化を解除したパケット9030をサービス提供装置4000に向けて送出する(ステップS150)。
このステップS150の上り転送処理において、中継装置1000は、加入者情報管理テーブル1710のサービス提供装置IPアドレス1716を設定する。この処理の詳細は、図16を用いて後で説明する。
パケット9030を受信したサービス提供装置4000は(ステップS410)、パケット9030のカプセル化を解除してパケット9020を取り出し、パケット9020のカプセル化ヘッダに含まれたSPIから、暗号化情報を特定して復号する。復号したデータを元に、サービスを実現するための処理を行う。
次に、サービス提供装置4000は、パケット9030を生成してユーザ端末2000に向けて送信する(ステップS420)。
パケット9030を受信した中継装置1000のIPパケット転送制御部1100は、パケット9030をカプセル化したパケット9020をユーザ端末2000に向けて、選択した通信経路に送出する(ステップS160)。
このステップS160の下り転送処理において、中継装置1000は、最初の下りの転送処理で、加入者情報管理テーブル1710のdownlinkSPI1717を設定する。この処理の詳細は、図17を用いて後で説明する。
パケット9010を基地局5000を介して受信したユーザ端末2000のIPパケット送受信部2200は(ステップS240)、パケット9010のカプセル化の解除と復号処理を行い、データをサービスアプリケーション2900に渡す。
<上り転送処理>
以下、ステップS150の上り転送処理について、図16を用いて説明する。
図16は、中継装置1000が行う上り転送処理を示すフローチャートである。
ユーザ端末2000から、パケット9030をカプセル化したパケット9020を受信したIPパケット転送制御部1100は(ステップS500)、パケット9030を上り経路処理部1500に渡して、処理を指示する。
処理を行う指示を受けた上り経路選択部1500は、渡されたパケット9030の送信元IPアドレス9034及びSPI9036を読み出す。
上り経路処理部1500は、加入者情報管理テーブル1710を参照して、受信したパケット9030の送信先IPアドレス9035が登録されているかを判断する(ステップS510)。
具体的には、加入者情報管理テーブル1710のユーザ端末IPアドレス1712及びuplinkSPI1715が、読み出した送信元IPアドレス9034及びSPI9036と一致するレコードの検索を行う。一致するレコードがある場合は登録されていると判断し、一致するレコードが無い場合は登録されていないと判断する。
登録されていない場合は(ステップS510:No)、パケット9020を破棄して転送処理を終了する(ステップS550)。
登録されていた場合は(ステップS510:Yes)、登録されていたレコードのサービス提供装置IPアドレス1716にIPアドレスが設定されているか否かを確認する(ステップS520)。
設定されていない場合は(ステップS520:No)、登録されていたレコードのサービス提供装置IPアドレス1716に、パケット9020の送信先IPアドレス9035を設定する(ステップS530)。
設定されていた場合(ステップS520:Yes)、又は、サービス提供装置IPアドレス1716を設定後、上り経路処理部1500は、処理が終了した旨をIPパケット転送制御部1100に通知する。
通知を受けたIPパケット転送制御部1100は、カプセル化を解除したパケット9030を送出する(ステップS540)。
<下り転送処理>
以下、ステップS160の下り転送処理について、図17を用いて説明する。
図17は、中継装置1000が行う下り転送処理を示すフローチャートである。
サービス提供装置4000からパケット9030を受信したIPパケット転送制御部1100は(ステップS600)、パケット9030を下り経路選択部1550に渡して、通信経路の選択を指示する。
通信経路の選択の指示を受けた下り経路選択部1550は、渡されたパケット9030のESPヘッダ部9032に含まれるSPI9036を読み出す(ステップS610)。
下り経路選択部1550は、downlinkSPIテーブル1610のdownlinkSPI1612が、読み出したSPI9036と一致するレコードがあるか検索を行う(ステップS620)。
一致するレコードがあった場合は(ステップS620:Yes)、通信経路を選択する。具体的には、一致するレコードの加入者テーブルレコード番号1613で示される番号を読み出す。加入者情報管理テーブル1710のレコード番号1711が読み出した番号と一致するレコードの、通信経路情報1713のGRE−KEYで示されるGREトンネルの識別子を、IPパケット転送制御部1100に返す(ステップS670)。
一致するレコードがなかった場合は(ステップS620:No)、downlinkSPI登録部1400にdownlinkSPIの取得と登録を依頼する。この際、渡されたパケット9030を渡す。
依頼を受けたdownlinkSPI登録部1400は、加入者情報管理テーブル1710のユーザ端末IPアドレス1712が、渡されたパケット9030の送信先IPアドレス9035、すなわち、ユーザ端末2000のIPアドレスと一致するレコードがあるか検索する(ステップS630)。この際、通信経路情報1713の方向が「下り」のレコードのみ検索する。
一致するレコードがなかった場合は(ステップS630:No)、廃棄し(ステップS700)、その旨を下り経路選択部1550を介してIPパケット転送制御部1100に返す。
一致するレコードがあった場合は(ステップS630:Yes)、そのレコードのサービス提供装置IPアドレス1716と、渡されたパケット9030の送信元IPアドレス9034、すなわち、サービス提供装置4000のIPアドレスと同じかどうかを判断する(ステップS640)。
同じでなかった場合は(ステップS640:No)、通信経路情報1713のポート番号/プロトコルが「any/any」であるデフォルトの通信経路の通信経路情報1713のGRE−KEYで示されるGREトンネルの識別子を、下り経路選択部1550を介して、IPパケット転送制御部1100に返す(ステップS690)。
同じであった場合は(ステップS640:Yes)、downlinkSPIテーブル1610に、渡されたパケット9030から読み出したSPI9036を登録する。
具体的には、渡されたパケット9030のSPI9036を、downlinkSPIテーブル1610のdownlinkSPI1612に設定し、一致したレコードのレコード番号1711を加入者テーブルレコード番号1613に設定する(ステップS650)。
次に、加入者情報管理テーブル1710に、下りのSPIを設定する。具体的には、一致したレコードのdownlinkSPI1717に、渡されたパケット9030のSPI9036を設定する(ステップS660)。
一致したレコードのdownlinkSPI1717にSPI9036を設定したdownlinkSPI登録部1400は、一致したレコードのレコード番号1711と登録した旨とを、下り経路選択部1550に返す。
登録した旨を受け取った下り経路選択部1550は、受け取ったレコード番号1711のレコードの通信経路情報1713のGRE−KEYで示されるGREトンネルの識別子を、IPパケット転送制御部1100に返す(ステップS670)。
GREトンネルの識別子を、下り経路選択部1550から受け取ったIPパケット転送制御部1100は、GREヘッダ部9022のGRE−Key9023に受け取ったGREトンネルの識別子を設定し、パケット9030をカプセル化したパケット9020を送出する(ステップS680)。
パケット9030を破棄した旨を受け取ったIPパケット転送制御部1100は、転送処理を行わない。
<補足>
以上、本発明の実施形態について説明したが、本発明は上記形態に限らず、以下のようにしてもよい。
(1)実施形態では、加入者管理装置3000から中継装置1000にuplinkSPIを通知する場合に、ユーザ情報送信イベント3010を送信することとしているが、詳細には、例えば、Mobile WiMAXネットワークにおいて以下のように行う。
ユーザ端末2000がネットワーク接続を行う場合、WiMAX認証手順(Initial Network Entry Procedure)(ネットワーク接続要求イベント2010に相当)が行われる。
WiMAX認証手順の中で中継装置1000から加入者管理装置3000に送信されるRADIUS−Access−Request(接続認証要求イベント1010に相当)を契機とし、ユーザ端末2000と加入者管理装置3000との間でEAP認証が行われる。
加入者管理装置3000では、ユーザ情報管理テーブル3310及びQoS管理テーブル3410から、RADIUS−Access−Requestに付与されているユーザ認証情報のNAI(Network Access Identifier)を元に、ユーザ端末2000に関するQoS情報と通信経路情報であるClassifyルールとuplinkSPIの情報を取得した後、RADIUS−Access−Accept(ユーザ情報送信イベント3010に相当)に付与して中継装置1000に通知する。
加入者管理装置3000から取得した情報要素は、RADIUS−Access−Acceptに含まれる次の詳細イベントによって中継装置1000に通知することができる。
QoS情報はWiMAX Forumで規定されているQoS−DescrIPtor Attributeで通知する。また、ClassifyルールはWiMAX Forumで規定されているPacket Flow DescrIPtor Attributeで通知する。Classifyルールの通知はIPFilterRule(RFC3588)に従い、ClassifyルールをASCIIキャラクタにて通知を行うが、このIPFilterRuleのoption部に、SPIの記載ルールを追加拡張することで、Classifyルールに関連付けたuplinkSPIを通知する。
図18に、option部にSPIの記載ルールを追加拡張したIPFilterRuleの例を示す。
(2)実施形態では、中継装置1000からユーザ端末2000にuplinkSPIを通知する場合に、通信経路生成イベント1020を送信することとしているが、詳細には、例えば、Mobile WiMAXネットワークにおいて以下のように行う。
ユーザ端末2000へのuplinkSPIの通知は、WiMAX認証手順完了後に、WiMAX通信経路生成手順(Path Registration Procedure)(通信経路生成イベント1020に相当)のPath_Reg_ReqおよびDSA−REQのメッセージを拡張することにより通知することができる。
図19に、中継装置1000から基地局5000に通知される、Path_Reg_Reqのメッセージフォーマットを示す。
基地局5000と中継装置1000との間のメッセージはWiMAX Forum Network Architecture Stage3によって規定されており、ヘッダ部とボディー部に分けられる。ボディー部はTLV形式(Type(識別)、 Length(長さ)、 Value(値))で表現される。Type及びLengthは固定長で、ValueはLengthが示す長さで表現される。また、TypeとLengthのみを持ち、値はSub TLVで表現するParent TLVも規定されている。
QoS情報、Classifyルール(通信経路情報)はWiMAX Forumによって規定されているSF Info、QoS Parameterフィールドで通知される。uplinkSPIは、SF InfoのPacket Classification Rule /Media Flow DescrIPtionのSub TLVにSPI Info TLVを追加して通知する。
図20に、基地局5000からユーザ端末2000に通知される、DSA−REQのメッセージフォーマットを示す。ユーザ端末2000と基地局5000との間のメッセージはIEEE802−16/16eによって規定されており、基地局5000と中継装置1000との間と同様にTLV形式で表現される。QoS情報、Classifyルール(通信経路情報)は、IEEE802−16/16eのCS Specific Service Flow に規定されているService Flow Identifier TLV等により通知される。uplinkSPIは、CS Specific Service FlowにSPI Info TLVを追加して通知する。
(3)実施形態では、加入者管理装置3000がuplinkSPIをユーザ端末2000に付与することとしているが、他の装置が付与することとしてもよい。例えば、中継装置1000が付与してもよく、また、SPIを管理して付与する装置を新たに設けてもよい。
(4)中継装置1000等は、図2等の各構成要素の全部又は一部を、1チップ又は複数チップの集積回路で実現してもよい。
(5)中継装置1000等は、図2等の各構成要素の全部又は一部を、コンピュータのプログラムで実現してもよいし、その他どのような形態で実施してもよい。
コンピュータプログラムの場合、メモリカード、CD−ROMなどいかなる記録媒体に書き込まれたものをコンピュータに読み込ませて実行させる形にしてもよいし、ネットワークを経由してプログラムをダウンロードして実行させる形にしてもよい。
1000 中継装置
1100 IPパケット転送制御部
1200 加入者情報取得部
1300 2300 通信経路生成部
1400 downlinkSPI登録部
1500 上り経路処理部
1550 下り経路選択部
1600 doenlinkSPI管理テーブル記憶部
1700 加入者情報管理テーブル記憶部
2000 ユーザ端末
2100 3100 制御部
2200 IPパケット送受信部
2400 通信管理テーブル記憶部
2900 サービスアプリケーション
3000 加入者管理装置
3200 ユーザ情報通知部
3300 ユーザ情報管理テーブル記憶部
3400 契約QoS管理テーブル記憶部

Claims (6)

  1. 第1装置と第2装置との間で、IPパケットを転送する中継装置であって、
    前記IPパケットは、カプセル化ヘッダを用いて、暗号化された内包パケットをカプセル化したパケットであり、
    前記第1装置が前記IPパケットを生成する際に用いた暗号化に関する暗号情報と、前記第2装置への経路を示す経路情報とを対応付けて記憶する記憶手段と、
    前記第1装置から受信した前記IPパケットの前記第2装置への経路として、当該IPパケットのカプセル化ヘッダに含まれる暗号情報に対応する経路情報で示される経路を決定する経路決定手段と
    を備えることを特徴とする中継装置。
  2. 前記中継装置は、前記第2装置に対して、当該第2装置が前記IPパケットを生成する際に用いる暗号化に関する第2暗号情報を送信する送信手段を備え、
    前記第1装置から受信した前記第2装置宛のIPパケットのカプセル化ヘッダから、前記第1装置が当該IPパケットを生成する際に用いた暗号化に関する第1暗号情報を取得する取得手段を備え、
    前記記憶手段は、取得した第1暗号情報を前記暗号情報とし、前記第2装置が前記第1装置に対して前記第2暗号情報をカプセル化ヘッダに含んだIPパケットを送信した通信経路と対になる通信経路を示す情報を前記第2装置への経路を示す経路情報とし、対応付けて記憶する
    請求項1記載の中継装置。
  3. 前記経路決定手段が決定した前記第2装置への経路は、所定の帯域が保証された経路である
    請求項1記載の中継装置。
  4. 前記IPパケットのカプセル化ヘッダは、IPsec/ESP に準拠したカプセル化ヘッダであり、
    前記暗号情報は、SPIである
    請求項1記載の中継装置。
  5. 第1装置と第2装置との間で、IPパケットを転送する中継装置で用いられる転送方法であって、
    前記IPパケットは、カプセル化ヘッダを用いて、暗号化された内包パケットをカプセル化したパケットであり、
    前記第1装置が前記IPパケットを生成する際に用いた暗号化に関する暗号情報と、前記第2装置への経路を示す経路情報とを対応付けてメモリに記憶する記憶ステップと、
    前記第1装置から受信した前記IPパケットの前記第2装置への経路として、当該IPパケットのカプセル化ヘッダに含まれる暗号情報に対応する経路情報で示される経路を決定する経路決定ステップと
    を備える転送方法。
  6. 第1装置と第2装置との間で、中継装置に、IPパケットを転送させるためのコンピュータプログラムであって、
    前記IPパケットは、カプセル化ヘッダを用いて、暗号化された内包パケットをカプセル化したパケットであり、
    前記第1装置が前記IPパケットを生成する際に用いた暗号化に関する暗号情報と、前記第2装置への経路を示す経路情報とを対応付けてメモリに記憶する処理を実行させ、
    前記第1装置から受信した前記IPパケットの前記第2装置への経路として、当該IPパケットのカプセル化ヘッダに含まれる暗号情報に対応する経路情報で示される経路を決定する処理を実行させる
    コンピュータプログラム。
JP2009075735A 2009-03-26 2009-03-26 中継装置、転送方法およびコンピュータプログラム Expired - Fee Related JP5239996B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009075735A JP5239996B2 (ja) 2009-03-26 2009-03-26 中継装置、転送方法およびコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009075735A JP5239996B2 (ja) 2009-03-26 2009-03-26 中継装置、転送方法およびコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2010232775A true JP2010232775A (ja) 2010-10-14
JP5239996B2 JP5239996B2 (ja) 2013-07-17

Family

ID=43048207

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009075735A Expired - Fee Related JP5239996B2 (ja) 2009-03-26 2009-03-26 中継装置、転送方法およびコンピュータプログラム

Country Status (1)

Country Link
JP (1) JP5239996B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013073432A (ja) * 2011-09-28 2013-04-22 Nippon Telegraph & Telephone West Corp 情報処理システム、及び情報処理方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001352344A (ja) * 2000-06-09 2001-12-21 Nippon Telegr & Teleph Corp <Ntt> ネットワークアドレス変換方法およびその装置並びにvpnクライアント多重化システム
JP2008092108A (ja) * 2006-09-29 2008-04-17 Fujitsu Access Ltd IPsecの複数セッションを処理する通信装置
JP2009049508A (ja) * 2007-08-14 2009-03-05 Nec Corp 通信装置およびプログラム、並びに、ネットワーク選択方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001352344A (ja) * 2000-06-09 2001-12-21 Nippon Telegr & Teleph Corp <Ntt> ネットワークアドレス変換方法およびその装置並びにvpnクライアント多重化システム
JP2008092108A (ja) * 2006-09-29 2008-04-17 Fujitsu Access Ltd IPsecの複数セッションを処理する通信装置
JP2009049508A (ja) * 2007-08-14 2009-03-05 Nec Corp 通信装置およびプログラム、並びに、ネットワーク選択方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013073432A (ja) * 2011-09-28 2013-04-22 Nippon Telegraph & Telephone West Corp 情報処理システム、及び情報処理方法

Also Published As

Publication number Publication date
JP5239996B2 (ja) 2013-07-17

Similar Documents

Publication Publication Date Title
CN109889509B (zh) 用于机器对机器通信的网络辅助引导自举
US7257636B2 (en) Inter-working method of wireless internet networks (gateways)
JP4804983B2 (ja) 無線端末、認証装置、及び、プログラム
US6728536B1 (en) Method and system for combined transmission of access specific access independent and application specific information over public IP networks between visiting and home networks
EP1881660B1 (en) A method, apparatus and system for wireless access
US20120144463A1 (en) System and method for extending secure authentication using unique session keys derived from entropy
WO2020029729A1 (zh) 一种通信方法和装置
TW201644236A (zh) 使用用於服務c平面方法的網路符記的高效策略實施
JP2011141877A (ja) 通信システムにおける認証
JP2006524017A (ja) 公的認証サーバで無線lanアクセスを制御するidマッピング機構
JP2006121510A (ja) 暗号化通信システム
US8788821B2 (en) Method and apparatus for securing communication between a mobile node and a network
WO2019062862A1 (zh) 参数的保护方法、设备和系统
WO2017167249A1 (zh) 一种专网接入方法、装置及系统
US20230156468A1 (en) Secure Communication Method, Related Apparatus, and System
CN116527405B (zh) 一种srv6报文加密传输方法、装置及电子设备
KR101695050B1 (ko) 서비스 플로우의 암호화 처리 방법 및 시스템
JP2006352223A (ja) ネットワーク接続システム
JP5239996B2 (ja) 中継装置、転送方法およびコンピュータプログラム
JP5326815B2 (ja) パケット送受信装置およびパケット送受信方法
WO2014201783A1 (zh) 一种自组网的加密鉴权方法、系统及终端
JP5388088B2 (ja) 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。
CN105764050B (zh) 从无线局域网内终端向网外设备发送数据的方法和装置
KR100463751B1 (ko) 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치
JP7076051B1 (ja) Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121211

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130318

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160412

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees