<実施形態>
<概要>
中継装置は、暗号化されたIPパケット(以下、「暗号化IPパケット」という。)を受信し、受信したIPパケットが送出されるべき通信経路、すなわち、IPパケットのサービスに応じたQoSを有する通信経路に送出するために、SPI(Security Parameters Index)を参照する。実施形態では、暗号化のプロトコルとして、IPsec(RFC(Request For Comments)2401)/ESP(RFC2406)を用いている。
SPIとは、IPパケットを暗号化する際に用いる暗号化方式及び暗号鍵等の暗号化情報の識別子であり、ユーザ端末装置とサービス提供装置との間で、暗号化情報と共に交換するものである。各装置が、それぞれ任意の値をSPIとして指定する。
各装置は、自装置と相手装置とが共有する暗号化情報と、自装置が指定したSPIと、相手装置が指定したSPIとを対応付けて記憶しておく。
各装置は、暗号化に用いた暗号化情報のSPIを、暗号化IPパケットに付加するヘッダに含ませて送信する。暗号化IPパケットを受信した装置は、付加されているヘッダに含まれるSPIから暗号化情報を特定し、暗号化IPパケットの復号を行う。
すなわち、本来、SPIは、ユーザ端末装置とサービス提供装置とがそれぞれ任意に決定し、交換して使用するものであるため、他の装置は知る必要がない情報である。
しかし、SPIは、暗号化IPパケットがどの装置からどの装置に送信されているかを示している情報でもあり得る。
実施形態では、ユーザ端末装置が指定するSPIを通信事業者が管理することで、サービス提供装置からユーザ端末装置に送信された暗号化IPパケットを、暗号化IPパケットに付加されたヘッダに含まれるSPIに基づいて、本来送出されるべき通信経路に送出してユーザ端末装置に届けるものである。
以下、本発明の実施形態における中継装置について、図面を用いて説明する。
<機能>
実施形態では、サービスに応じたQoSを保証して通信経路の選択を行うネットワークとして、Mobile WiMAX(Worldwide interoperability for Microwave Access)ネットワークを例に説明する。図1を用いて、実施形態のMobile WiMAXネットワークを簡単に説明する。
図1は、実施形態の通信システムの構成の例を示す図である。
実施形態の通信システム100は、加入者管理装置3000、中継装置1000、基地局5000、ユーザ端末2000及びサービス提供装置4000を含む。
サービス提供装置4000は、インターネットを介して中継装置1000と接続される。また、中継装置1000、基地局5000及び加入者管理装置3000は、ある通信事業者によって提供されるネットワークを構成する。ユーザ端末2000は、当該通信事業者の提供するサービスに加入しており、加入者管理装置3000によって管理されている。
ユーザ端末2000は、サービス提供装置4000からサービスを受けるために、基地局5000及び中継装置1000を介してサービス提供装置4000とIPパケットの送受信を行う。この際IPパケットの暗号化に用いられるプロトコルは、IPsec/ESPである。
ユーザ端末2000と基地局5000との間の無線区間の通信経路102は、IEEE802.16eに従ったものである。また、基地局5000と中継装置1000との間の有線区間の通信経路101は、GRE(Generic Routing Encapsulation:RFC2785、RFC2890)トンネルとなる。
これらの通信経路(101、102)は、QoS保証がなされた通信経路である。
ネットワーク接続及び通信経路生成で使用されるプロトコルは、中継装置1000と基地局5000との間は、WiMAX Forum Network Architectureであり、基地局5000とユーザ端末2000との間は、IEEE802.16eである。また、加入者管理装置3000と中継装置1000との間で認証時に使用されるプロトコルは、RADIUS(Remote Authentication Dial In User Service)(RFC2865)をベースとしWiMAX Forum Network Architectureで規定される拡張を含んだものである。
次に、図2を用いて、中継装置1000、ユーザ端末2000及び加入者管理装置3000について説明する。
図2は、中継装置1000、ユーザ端末2000及び加入者管理装置3000の機能的構成の例を示すブロック図である。尚、基地局5000は、中継装置1000とはブリッジ接続のイメージで接続され通信経路の選択は行わないため、図2には記載していない。
中継装置1000は、IPパケット転送制御部1100、uplinkSPI登録部1210を含む加入者情報取得部1200、通信経路生成部1300、downlinkSPI登録部1400、上り経路処理部1500、下り経路選択部1550、downlinkSPI管理テーブル記憶部1600及び加入者情報管理テーブル記憶部1700を有する。
IPパケット転送制御部1100は、IPパケットの、いわゆるルーティング処理、カプセル化処理、カプセル化解除処理等を行う機能を有する他、本発明に特有の処理のための制御等を行う。
次に、加入者情報取得部1200は、ネットワーク接続を要求してきた加入者に関する情報を、加入者管理装置3000から取得する機能を有する。加入者に関する情報とは、ユーザが通信事業者と契約をした通信経路のQoS情報等である。
uplinkSPI登録部1210は、加入者情報取得部1200が取得した加入者の情報であるQoS情報やSPI等を、管理テーブルに記憶させる機能を備える。
通信経路生成部1300は、ユーザ端末2000と中継装置1000との間の通信経路を生成する機能を有する。
実施形態では、通信経路生成部1300が生成する通信経路は2種類とする。ユーザが契約した帯域保証された通信経路と、デフォルトの通信経路である。ユーザ端末2000と中継装置1000との間の通信は、一対の通信経路、すなわち、2本の通信経路を使用する。1本は、上りの通信経路であり、もう1本は、下りの通信経路である。上りと下りの経路は、基本的に同じQoSが設定される。
ユーザは、複数の通信経路を契約することが可能であり、それぞれ異なるQoSを設定できる。ただし、2種類の通信経路のうちの1つであるデフォルトの通信経路は、帯域保証の無いQoSが設定されているものとする。
一般的に、ユーザが通信事業者と契約を行う場合、最初は帯域保証の無い接続を契約し、ユーザが必要となったときに、QoS保証のある接続を追加して契約する。従って、実施形態では、帯域保証の無いQoSが設定されたデフォルトの通信経路は、必ず生成されることとする。中継装置1000において、転送する通信経路の選択が出来ない場合は、デフォルトの通信経路を使用してユーザ端末2000にIPパケットを転送する。
downlinkSPI登録部1400は、下り経路選択部1550から依頼を受けて、下りの経路で使用するSPIを、管理テーブルに記憶させる機能を有する。
上り経路処理部1500は、IPパケット転送制御部1100から依頼を受けて、ユーザ端末2000からサービス提供装置4000に向けて送信されたIPパケットから、必要な情報を取り出して管理テーブルに記憶させる機能を有する。
また、下り経路選択部1550は、IPパケット転送制御部1100から依頼を受けて、サービス提供装置4000から送信されてきたIPパケットの転送先である通信経路を選択する機能を有する。また、下りの経路で使用するSPIが管理テーブルに設定されていない場合は、downlinkSPI登録部1400に登録を依頼する。
downlinkSPI管理テーブル記憶部1600は、サービス提供装置4000から送信される暗号化IPパケットのSPIを管理するテーブルを記憶しておく機能を有する。
加入者情報管理テーブル記憶部1700は、ユーザ端末毎の通信経路情報や、QoS情報等を管理する加入者情報管理テーブルを記憶しておく機能を有する。
次に、ユーザ端末2000は、制御部2100、暗号化情報交換部2210を含むIPパケット送受信部2200、通信経路生成部2300、通信管理テーブル記憶部2400及びサービスアプリケーション2900を含む。
このユーザ端末2000は、いわゆるパソコンであり、キーボード等のマンマシンインタフェース、ディスプレイ、通信機能等を備える。
制御部2100は、パソコンとしてのユーザ端末2000に必要な処理を行う他、本発明に特有の処理、例えば、中継装置1000との間で通信経路を生成するために他の機能部を制御する機能等を有する。
IPパケット送受信部2200は、中継装置1000を介して、サービス提供装置4000を相手に、暗号化IPパケットを送受信する機能を有する。また、IPパケットの暗号化等の処理を行う機能を有する。
暗号化情報交換部2210は、暗号化情報をサービス提供装置4000と交換する機能を有する。この際、SPIも交換する。暗号化情報交換部2210は、自装置のSPIとして、中継装置1000を介して加入者管理装置3000が指定したSPIをサービス提供装置4000に渡す。一方、サービス提供装置4000のSPIとして、サービス提供装置4000からSPIをもらう。
この暗号化情報交換部2210が行う暗号化情報の交換は、IKE(Internet Key Exchange:RF2409)若しくはIKEv2(Internet Key Exchange version2:RF4306)を用いて行われる。
通信経路生成部2300は、ユーザ端末2000と中継装置1000との間の通信経路を生成する機能を有する。
通信管理テーブル記憶部2400は、自装置が生成した通信経路毎のQoS情報等を管理する通信管理テーブルを記憶しておく機能を有する。
サービスアプリケーション2900は、ユーザが利用する様々なサービスを実現する機能を有する。具体的には、サービスに応じて、所定のサービス提供装置と通信を行ってサービスを実現する。例えば、IP電話サービスや、動画視聴サービスなどである。
次に、加入者管理装置3000は、制御部3100、ユーザ情報通知部3200、ユーザ情報管理テーブル記憶部3300及び契約QoS管理テーブル記憶部3400を含む。
この加入者管理装置3000は、いわゆるサーバであり、通信事業者が提供するネットワークサービスを受けるために加入したユーザに関する情報を管理等する装置である。
制御部3100は、サーバとしての加入者管理装置3000に必要な処理を行う他、本発明に特有の処理、例えば、中継装置1000に加入者の情報を通知する等の処理のための制御等を行う機能を有する。
ユーザ情報通知部3200は、中継装置1000から要求があったユーザに関する情報を、中継装置1000に送信する機能を有する。また、ユーザ情報通知部3200は、中継装置1000が情報を要求したユーザが正当な加入者であるか否かの認証も行う。認証が肯定的であった場合にのみ、当該ユーザに関する情報を中継装置1000に送信する
ユーザ情報管理テーブル記憶部3300は、通信事業者の提供するサービスへの加入者であるユーザのユーザ端末のIPアドレスや契約内容等を管理するユーザ情報管理テーブルを記憶しておく機能を有する。
契約QoS管理テーブル記憶部3400は、加入者であるユーザが契約した通信経路のQoS等を管理する契約QoS管理テーブルを記憶しておく機能を有する。
上述した機能の全部または一部は、中継装置1000、ユーザ端末2000及び加入者管理装置3000のそれぞれが有するCPUが、各装置それぞれのメモリ等に記録されているプログラムを実行することにより実現される。
<データ>
次に、実施形態の通信システム100で用いる主なデータについて図3〜図7を用いて説明する。
図3は、加入者情報管理テーブル1710の構成及び内容の例を示す図である。
この加入者情報管理テーブル1710は、中継装置1000の加入者情報管理テーブル記憶部1700に記憶されている。
加入者情報管理テーブル1710は、レコード番号1711、ユーザ端末IPアドレス1712、通信経路情報1713、QoS情報1714、uplinkSPI1715、サービス提供装置IPアドレス1716及びdownlinkSPI1717が含まれる。
レコード番号1711は、加入者情報管理テーブル1710に登録されているレコードの番号を示す。レコードは、中継装置1000が通信経路を生成する際に登録される。
ユーザ端末IPアドレス1712は、中継装置1000が通信経路を生成する相手であるユーザ端末のIPアドレスを示す。
通信経路情報1713は、中継装置1000が、ユーザ端末IPアドレス1712で示されるユーザ端末との間で生成する通信経路の情報を示す。
この通信経路情報1713は、通信経路の上り又は下りを示す「方向」と、ポート番号及びポート番号に対応付けられているプロトコルを示す「ポート番号/プロトコル」と、通信経路であるGREトンネルの識別子を示す「GRE−KEY」とを含む。
この「ポート番号/プロトコル」が「any/any」の通信経路は、送出すべき通信経路が不明なIPパケットや、通信経路を指定していないIPパケットを送出するデフォルトの通信経路である。
QoS情報1714は、通信経路情報1713で示される通信経路に設定された帯域幅を示す。
uplinkSPI1715は、上り、すなわち、ユーザ端末IPアドレス1712で示されるユーザ端末から、サービス提供装置IPアドレス1716で示されるサービス提供装置へ送信するIPパケットを暗号化するのにユーザ端末が用いた暗号化情報の識別子を示す。従って、方向が下りの通信経路には設定されず、uplinkSPI1715の欄には「−」が記載されている。
サービス提供装置IPアドレス1716は、ユーザ端末IPアドレス1712で示されるユーザ端末が、IPパケットを送受信する相手であるサービス提供装置のIPアドレスを示す。
このサービス提供装置IPアドレス1716は、ユーザ端末IPアドレス1712で示されるユーザ端末が送信したuplinkSPI1715で示されるSPIを含んだ最初のIPパケットを、中継装置1000が受信したときに設定される。
downlinkSPI1717は、下り、すなわち、サービス提供装置IPアドレス1716で示されるサービス提供装置から、ユーザ端末IPアドレス1712で示されるユーザ端末へ送信するIPパケットを暗号化するのにサービス提供装置が用いた暗号化情報の識別子を示す。従って、方向が上りの通信経路には設定されず、downlinkSPI1717の欄には「−」が記載されている。
このdownlinkSPI1717は、サービス提供装置IPアドレス1716で示されるサービス提供装置からユーザ端末IPアドレス1712で示されるユーザ端末へ送信された最初のIPパケットを、中継装置1000が受信したときに設定される。
次に、図4は、downlinkSPI管理テーブル1610の構成及び内容の例を示す図である。
このdownlinkSPI管理テーブル1610は、中継装置1000のdownlinkSPI管理テーブル記憶部1600に記憶されている。
downlinkSPI管理テーブル1610は、レコード番号1611、downlinkSPI1613及び加入者テーブルレコード番号1613が含まれる。
レコード番号1611は、downlinkSPI管理テーブル1610に登録されているレコードの番号を示す。レコードは、中継装置1000が、下りのSPIを取得すると登録される。
downlinkSPI1612は、下りのIPパケットを暗号化するのに用いた暗号化情報の識別子を示す。
加入者テーブルレコード番号1613は、加入者情報管理テーブル1710のレコード番号1711を示す。downlinkSPI管理テーブル1610にレコードが登録された時には、同じSPIが加入者情報管理テーブル1710のdownlinkSPI1717にも設定される。その設定されたレコードのレコード番号が加入者テーブルレコード番号1613に設定される。
次に、図5は、契約QoS管理テーブルの構成及び内容の例を示す図である。
この契約QoS管理テーブル3410は、加入者管理装置3000の契約QoS管理テーブル記憶部3400に記憶されている。この契約QoS管理テーブル3410は、加入者が契約した通信経路の情報を管理している。
契約QoS管理テーブル3410は、レコード番号3411、通信経路情報3412、QoS情報3413及びuplinkSPI3414が含まれる。
レコード番号3411は、契約QoS管理テーブル3410に登録されているレコードの番号を示す。契約QoS管理テーブル3410には、ユーザが契約した上り下り一対の通信経路ごとのレコードが登録されている。
通信経路情報3412は、通信経路の情報を示す。上りの経路のポート番号及びポート番号に対応付けられているプロトコルを示す「上りポート番号/プロトコル」と、下りの経路のポート番号及びポート番号に対応付けられているプロトコルを示す「下りポート番号/プロトコル」とを含む。
QoS情報3413は、通信経路情報3412で示される通信経路に割り当てられている帯域幅を示す。
uplinkSPI3414は、ユーザ端末に通知する上りのSPIを示す。このSPIは、中継装置1000を介してユーザ端末2000に通知される。ユーザ端末2000は、サービス提供装置4000と通信する際にこのSPIを用いる。
次に、図6は、ユーザ情報管理テーブル3310の構成及び内容の例を示す図である。
このユーザ情報管理テーブル3310は、加入者管理装置3000のユーザ情報管理テーブル記憶部3300に記憶されている。
ユーザ情報管理テーブル3310は、レコード番号3311、ユーザ情報3312、ユーザ端末IPアドレス3313及び契約QoS情報3314が含まれる。
レコード番号3311は、ユーザ情報管理テーブル3310に登録されているレコードの番号を示す。レコードは、加入者管理装置3000が管理しているユーザ全員分が登録されている。
ユーザ情報3312は、加入者管理装置3000が管理しているユーザの情報を示す。このユーザ情報3312は、通信事業者から割り当てられたユーザの識別子である「NAI(Network Access Identifier)」と、ユーザを認証するために用いる情報である「認証パスワード」を含む。
ユーザ端末IPアドレス3313は、加入者管理装置3000が管理しているユーザ端末のIPアドレスを示す。
契約QoS情報1714は、ユーザ情報3312で示されるユーザが、通信事業者と契約したQoSを示す。具体的には、契約QoS管理テーブル3410のレコード番号3411を示している。例えば、レコード番号3311「1」で示されるレコードの契約QoS情報3314は「1、2、3」であるので、このレコードのユーザ情報3312で示されるユーザは、契約QoS管理テーブル3410のレコード番号3411が「1」と「2」と「3」で示される3つの通信経路を生成する契約をしていることになる。
次に、図7は、通信管理テーブルの構成及び内容の例を示す図である。
この通信管理テーブル2410は、ユーザ端末2000の通信管理テーブル記憶部2400に記憶されている。この通信管理テーブル2410は、ユーザ端末2000が生成する通信経路の情報を管理している。
通信管理テーブル2410は、レコード番号2411、サービス2412、通信経路情報2413、QoS情報2414、uplinkSPI2415及び暗号化条件2416が含まれる。
レコード番号2411は、通信管理テーブル2410に登録されているレコードの番号を示す。ユーザ端末が生成する通信経路の数分のレコードが登録されている。
サービス2412は、ユーザがユーザ端末2000を用いて利用するサービスを示す。ユーザ端末2000は、これらサービスを実現する複数のアプリケーションを備えている。
通信経路情報2413は、ユーザ端末2000が中継装置1000との間で生成する通信経路の情報を示す。
この通信経路情報2413は、上りのポート番号及びポート番号に対応付けられているプロトコル示す「上りポート番号/プロトコル」と、ユーザ端末2000と基地局5000との間のトンネルの識別子である「CID(Connection IDentifier)」とを含む。
QoS情報2414は、通信経路情報2413で示される通信経路に割り当てられている帯域幅を示す。
uplinkSPI2415は、ユーザ端末2000が、通信経路情報2413で示される経路から送出するIPパケットを暗号化するのに用いる暗号化情報の識別子を示す。このSPIは、中継装置1000を介して加入者管理装置3000から通知される。
暗号化条件2416は、uplinkSPI2415で示されるSPIで識別される暗号化情報を示す。
この暗号化条件2416は、セキュリティプロトコルを示す「IPsec条件」、暗号化の方式を示す「暗号化方式」、通信相手の装置を示す「サービス提供装置IPアドレス」、下りのSPIを示す「downlinkSPI」、暗号化する際に用いる鍵を示す「暗号鍵」を含む。
<イベント>
以下、実施形態の通信システム100で用いられるイベントについて、図8〜図11を用いて説明する。
イベントとは、ユーザ装置2000及び加入者管理装置3000と中継装置1000とがやり取りする、通信経路の生成に必要なデータをいう。
図8は、ネットワーク接続要求イベント2010の構成及び内容の例を示す図である。
このネットワーク接続要求イベント2010は、ユーザ端末2000から中継装置1000に、ネットワークの接続を要求する場合に送信される。
ネットワーク接続要求イベント2010は、接続要求コード2011、ユーザ端末IPアドレス2012及びユーザ認証情報2013を含む。
接続要求コード2011は、当該イベントがネットワーク接続を要求するイベントであることを示す。
ユーザ端末IPアドレス2012は、当該イベントの送信元の装置、すなわち、ネットワーク接続を要求している装置のIPアドレスを示す。具体的には、ユーザ端末2000のIPアドレスである。
ユーザ認証情報2013は、当該イベントの送信元の装置を使用しているユーザを認証するための情報を示す。いわゆる、パスワードである。ユーザが通信事業者との契約時に、通信事業者との間で決めたものである。
図9は、接続認証要求イベント1010の構成及び内容の例を示す図である。
この接続認証要求イベント1010は、中継装置1000から加入者管理装置3000に、ユーザの認証を依頼する場合に送信される。このユーザとは、中継装置1000にネットワークの接続を要求してきたユーザである。
接続認証要求イベント1010は、接続認証要求コード1011、ユーザ端末IPアドレス1012及びユーザ認証情報1013を含む。
接続認証要求コード1011は、当該イベントが、ユーザの認証を依頼するイベントであることを示す。
ユーザ端末IPアドレス1012は、認証の対象であるユーザが使用している装置のIPアドレスを示す。具体的には、ユーザ端末2000のIPアドレスである。
ユーザ認証情報1013は、ユーザ端末IPアドレス1012で示される装置のユーザを認証するための情報を示す。
図10は、ユーザ情報送信イベント3010の構成及び内容の例を示す図である。
このユーザ情報送信イベント3010は、加入者管理装置3000から中継装置1000に、ユーザ情報を通知する場合に送信される。このユーザ情報とは、接続認証要求イベント1010で認証の対象となったユーザの情報である。加入者管理装置3000は、認証が肯定的であった場合のみユーザ情報送信イベント3010を送信する。
ユーザ情報送信イベント3010は、ユーザ情報送信コード3011、ユーザ端末IPアドレス3012及び契約QoS情報3013を含む。
ユーザ情報送信コード3011は、当該イベントがユーザ情報を送信するイベントであることを示す。
ユーザ端末IPアドレス3012は、当該イベントで送信するユーザ情報が、どのユーザの情報であるかを示す。ユーザを示す情報として、ユーザが使用するユーザ端末のIPアドレスが設定される。
契約QoS情報3013は、ユーザ端末IPアドレス3012で示される装置のユーザが、通信事業者と契約した通信経路の情報を示す。この契約QoS情報3013として、契約QoS管理テーブル記憶部3400に記憶されている契約QoS管理テーブル3410の通信経路情報3412、QoS情報3413及びuplinkSPI3414が設定される。
図11は、通信経路生成イベント1020の構成及び内容の例を示す図である。
この通信経路生成イベント1020は、中継装置1000からユーザ端末2000に、生成する通信経路の情報を通知する場合に送信される。
通信経路生成イベント1020は、通信経路生成コード1021及び生成経路情報1022を含む。
通信経路生成コード1021は、当該イベントが生成する通信経路の情報を送信するイベントであることを示す。
生成経路情報1022は、当該通信経路生成イベント1020の送信先であるユーザ端末2000と、中継装置1000との間で生成する通信経路の情報を示す。この生成経路情報1022として、加入者情報管理テーブル記憶部1700に記憶されている加入者情報管理テーブル1710の通信経路情報1713、QoS情報1714及びuplinkSPI1715が設定される。
<パケット>
以下、実施形態の通信システム100で用いられるパケットについて、図12〜図14を用いて説明する。
図12は、ユーザ端末と中継装置との間で送受信されるカプセル化されたパケットの構成例を示す図である。
ユーザ端末2000と基地局5000との無線区間は、パケット9010の構成のパケットが送受信される。また、基地局5000と中継装置1000との間のGREトンネルでは、パケット9020の構成のパケットが送受信される。
パケット9010は、IEEE802.16eに従ったヘッダ9011とペイロード9030で構成される。
また、パケット9020は、GREトンネルを通過するためのIPヘッダ部9021、通過するGREトンネルを示すGRE−Key9023を含むGREヘッダ部9022及びペイロード9030で構成される。
ペイロード(9010、9020)には、図13を用いて説明するパケットが挿入される。
図13は、ユーザ端末2000とサービス提供装置4000との間で送受信されるカプセル化されたパケットの構成例を示す図である。
ユーザ端末2000とサービス提供装置4000との間は、パケット9030の構成のパケットが送受信される。このパケット9030は、ESPを適用する場合のIPsecパケットである。
パケット9030は、IPヘッダ部9031、ESPヘッダ部9032及び暗号化ペイロード9033で構成される。
IPヘッダ部9031は、パケット9030の送信元を示す送信元IPアドレス9034と、送信先を示す送信先IPアドレス9035とを含む。
ESPヘッダ部9032は、ESPを適用した場合にIPヘッダ部9031の後ろに挿入されるヘッダであり、SPI9036を含む。
このIPヘッダ部9031とESPヘッダ部9032とは、暗号化されていない。
暗号化ペイロード9033は、暗号化されたIPパケットである。このIPパケットは、ユーザ端末2000とサービス提供装置4000との間で送受信しようとしているIPパケットである。このIPパケットは、IPヘッダ部9037とデータ部9038とで構成される。データ部9038は、送信するデータが設定される。
また、IPヘッダ部9037は、送信元IPアドレス9039、送信先IPアドレス9040及びポート番号9041を含む。例えば、ユーザ端末2000からサービス提供装置4000に送信するIPパケットの場合は、ユーザ端末2000のIPアドレスを送信元IPアドレス9039に設定し、サービス提供装置4000のIPアドレスを送信先IPアドレス9040に設定する。また、サービス提供装置4000が提供するサービスが割り当てられているポート番号を、ポート番号9041に設定する。
尚、実施形態のように、IPsec/ESPを適用したIPパケットは暗号化されているので、復号しない限り内容を参照することはできない。しかし、IPパケットを暗号化しないで送信するプロトコルでは、中継装置は、ポート番号9041を参照し、割り当てられているサービスに応じたQoSが設定されている通信経路に、IPパケットを送出することが可能である。
図14は、装置間のカプセル化されたパケットの流れを示す図である。
ユーザ端末2000で生成されたパケット9030aは、IEEE802.16eに従ったヘッダ9011が付加され、パケット9010の構成のパケット9010aが基地局5000に送信される。
基地局5000において、IEEE802.16eに従ったヘッダ9011が削除され、IPヘッダ部9021とGREヘッダ部9022とがパケット9030aに付加され、パケット9020の構成のパケット9020aが中継装置1000に送信される。
また、中継装置1000において、パケット9020aからIPヘッダ部9021とGREヘッダ部9022とが削除され、パケット9030bがサービス提供装置4000に送信される。
サービス提供装置4000で生成されたパケット9030cは、中継装置1000まで送信され、中継装置1000において、IPヘッダ部9021とGREヘッダ部9022とがパケット9030に付加され、パケット9020の構成のパケット9020bが基地局5000に送信される。
基地局5000において、IPヘッダ部9021とGREヘッダ部9022とが削除され、IEEE802.16eに従ったヘッダ9011が付加され、パケット9010の構成のパケット9010bがユーザ端末2000に送信される。
パケット9010bを受信したユーザ端末2000は、IEEE802.16eに従ったヘッダ9011を削除する。ユーザ端末2000及びサービス提供装置4000は、暗号化IPパケットを復号し、データに応じた処理を行う。
以下、基地局5000等で、必要なヘッダを付加することを「カプセル化」といい、ヘッダを削除することを「カプセル化の解除」というものとする。
<動作>
以下、実施形態の通信システム100の動作について図15〜図17を用いて説明する。
図15は、ユーザ端末2000がサービス提供装置4000との暗号化IPパケットの送受信を開始する場合の、各装置の処理を示すフローチャートである。
図15において、括弧で囲んだ数字は、図8〜図13を用いて説明したイベント及びパケットの符号の番号を示す。
インターネット上にあるサービス提供装置4000が提供するサービスをユーザが利用しようとした場合、ユーザは、ユーザ端末2000にサービスの実行を指示する。
サービスの実行を指示するユーザの操作を検出した制御部2100は、契約している通信事業者のネットワークに接続するよう通信経路生成部2300に依頼する。
依頼を受けた通信経路生成部2300は、ネットワーク接続要求イベント2010(図8参照)を生成する。
具体的には、ユーザ端末IPアドレス2012としてユーザ端末2000のIPアドレスを設定し、ユーザ認証情報2013としてパスワードを設定する。パスワードは、通信事業者との契約時に認証情報として通信事業者に伝えたものである。ユーザ端末2000のIPアドレスとパスワードとは、ユーザ端末2000のメモリに記憶されているものとする。
通信経路生成部2300は、生成したネットワーク接続要求イベント2010を中継装置1000に送信する(ステップS200)。
ネットワーク接続要求イベント2010を受信した中継装置1000の通信経路生成部1300は、加入者情報取得部1200に、ネットワーク接続を依頼してきたユーザに関する情報を取得するよう依頼する。この際、受信したネットワーク接続要求イベント2010のユーザ端末IPアドレス2012とユーザ認証情報2013とを渡す。
依頼を受けた加入者情報取得部1200は、接続認証要求イベント1010(図9参照)を生成する。
具体的には、渡されたユーザ端末IPアドレス2012をユーザ端末IPアドレス1012として設定し、渡されたユーザ認証情報2013をユーザ認証情報1013として設定する。
加入者情報取得部1200は、生成した接続認証要求イベント1010を加入者管理装置3000に送信する(ステップS100)。
接続認証要求イベント1010を受信した加入者管理装置3000のユーザ情報通知部3200は、まず、接続を要求しているユーザの認証を行う(ステップS300)。
具体的には、ユーザ情報通知部3200は、ユーザ情報管理テーブル3310(図6参照)のユーザ端末IPアドレス3313が、接続認証要求イベント1010のユーザ端末IPアドレス1012で示されているIPアドレスと一致するレコードがあるか検索を行う。一致したレコードがある場合は、一致したレコードのユーザ情報3312の認証パスワードが、接続認証要求イベント1010のユーザ認証情報1013と同じであるか否かを判断する。同じである場合は、肯定的な認証結果とする。この場合以外は、否定的な認証結果とする。
認証結果が肯定的であると判断した場合、ユーザ情報通知部3200は、ユーザ情報送信イベント3010(図10参照)を生成する。
具体的には、受信した接続認証要求イベント1010のユーザ端末IPアドレス1012を、ユーザ端末IPアドレス3012として設定する。
また、契約QoS管理テーブル3410(図5参照)から、一致したレコードの契約QoS情報3314で示される番号と同じ番号のレコード番号1711のレコードを読み出す。読み出したレコードの通信経路情報3412とQoS情報3413とuplinkSPI3414とを、契約QoS情報3013として設定する。検索されたレコードの契約QoS情報3314に複数のレコード番号が設定されている場合は、すべてのレコード番号で示されるレコードを読み出して、契約QoS情報3013として設定する。
ユーザ情報通知部3200は、生成したユーザ情報送信イベント3010を中継装置1000に送信する(ステップS310)。
一方、認証結果が否定的であると判断した場合、ユーザ情報通知部3200は、認証結果が否定的であった旨を、中継装置1000を介してユーザ端末2000に通知する。通知を受けたユーザ端末2000は、認証されなかった旨のメッセージを表示する。
ユーザ情報送信イベント3010を受信した中継装置1000の加入者情報取得部1200は、受信したユーザ情報送信イベント3010からユーザ端末IPアドレス3012と契約QoS情報3013とを読み出して、uplinkSPI登録部1210に渡して登録を依頼する。
依頼を受けたuplinkSPI登録部1210は、まず、加入者情報管理テーブル1710(図3参照)に登録する。
具体的には、受け取ったユーザ端末IPアドレス3012を、ユーザ端末IPアドレス1712に設定する。また、契約QoS情報3013の通信経路情報3412を基に、上り及び下りそれぞれの通信経路の通信経路情報1713を設定し、QoS情報3413をQoS情報1714に設定する。尚、契約QoS情報3013に、複数の通信経路情報3412等が含まれている場合は、それらの通信経路についても加入者情報管理テーブル1710に登録する。
また、uplinkSPI登録部1210は、ユーザ情報送信イベント3010の契約QoS情報3013からuplinkSPI3414を読み出し、通信経路情報1713の方向が上りのレコードのuplinkSPI1715に設定する(ステップS110)。
加入者情報管理テーブル1710に登録したuplinkSPI登録部1210は、その旨を加入者情報取得部1200に通知する。
通知を受けた加入者情報取得部1200は、通信経路生成部1300に、ユーザに関する情報を取得した旨を通知する。
通知を受けた通信経路生成部1300は、通信経路を生成すべく通信経路生成イベント1020(図11参照)を生成し、ユーザ端末2000に送信する(ステップS120)。詳細には、ネットワークの接続を要求してきたユーザ端末のIPアドレス、すなわち、受信したネットワーク接続要求イベント2010のユーザ端末IPアドレス2012宛てに送信する。
通信経路生成イベント1020は、具体的には、生成経路情報1022として、加入者情報管理テーブル1710のユーザ端末IPアドレス1712が、ネットワーク接続要求イベント2010のユーザ端末IPアドレス2012と一致するレコードの、通信経路情報1713、QoS情報1714及びupinkSPI1715を設定して生成する。
例えば、図3の加入者情報管理テーブル1710では、ユーザ端末IPアドレス1712が「192.168.100.100」のユーザ端末に送信する通信経路生成イベント1020の生成経路情報1022としては、レコード番号1711が「1」〜「6」のレコードの通信経路情報1713等が設定される。すなわち、ユーザ端末IPアドレス1712が「192.168.100.100」のユーザ端末のユーザは、3つの通信経路を契約していることになる。
この通信経路生成イベント1020がユーザ端末2000に送信されることで、ユーザ端末装置2000に対して、上り方向の暗号化IPパケットに使用するSPIが付与されたことになる。
通信経路生成イベント1020を受信したユーザ端末2000の通信経路生成部2300は、通信管理テーブル2410(図7参照)に、生成する通信経路の情報を設定する。
具体的には、受信した通信経路生成イベント1020の生成経路情報1022を、通信経路情報2413に設定し、QoS情報1714をQoS情報2414に設定し、uplinkSPI1715をuplinkSPI2415に設定する。これらは、サービス2414に応じて設定される。
例えば、図7の通信管理テーブル2410では、サービス2412「VoIP」のQoS情報2414として、「128K」が設定され、サービス2412「ストリーミング」のQoS情報2414として、「64K〜1.5M」が設定されている。
通信管理テーブル2410に、生成する通信経路の情報を設定した通信経路生成部2300は、通信管理テーブル2410に設定した情報を元に通信経路101を生成する(ステップS210、ステップS130)。
通信経路を生成した通信経路生成部2300は、通信経路が生成された旨を制御部2100に通知する。
通知を受けた制御部2100は、IPパケット送受信部2200の暗号化情報交換部2210に暗号化情報の交換を行うよう指示する。
指示を受けた暗号化情報交換部2210は、サービス提供装置4000と暗号化情報の交換を中継装置1000を介して行う(ステップS220、ステップS140、ステップS400)。
この暗号化情報の交換において、ユーザ端末2000がサービス提供装置4000に通知するSPIは、通信管理テーブル2410のuplinkSPI2415である。すなわち、中継装置1000を介して加入者管理装置3000から通信経路生成イベント1020で通知されたSPIである。
暗号情報の交換を行った暗号情報交換部2210は、暗号化情報を交換した結果として得られた情報を、通信管理テーブル2410の暗号化条件2416に設定する。
暗号化情報を通信管理テーブル2410に設定した暗号情報交換部2210は、その旨を制御部2100に通知する。
通知を受けた制御部2100は、暗号通信の準備が整ったと判断し、ユーザが指定したサービスを実行するサービスアプリケーション2900にサービス提供装置4000との通信開始を指示する。
指示されたサービスアプリケーション2900は、サービス提供装置4000との通信を開始する。一般的に通信の開始はユーザ端末装置4000から、上りのパケットを送信して開始される。
サービスアプリケーション2900は、通信管理テーブル2410のサービス2412がユーザに指定されたサービスであるレコードの暗号化条件1416を参照して、IPパケットを暗号化する。更に、暗号化IPパケットに、uplinkSPI2415を含んだカプセル化ヘッダを付加してパケット9030を生成して送信する(ステップS230)。
無線通信経路に送出する際には、パケット9030をカプセル化したパケット9010を、通信経路情報2413のCIDで示される無線通信経路に送出する。ユーザ端末2000は、送信するパケットがどのサービスのパケットであるかを知っているため、最適なQoSの経路に送出することができる。
基地局5000では、パケット9010からパケット9020を生成し、中継装置1000に送信する。無線通信経路から有線通信経路への接続は、ブリッジ接続のイメージの為、基地局5000では通信経路の選択は行われない。
パケット9030をカプセル化したパケット9020を受信したIPパケット転送制御部1100は、カプセル化を解除したパケット9030をサービス提供装置4000に向けて送出する(ステップS150)。
このステップS150の上り転送処理において、中継装置1000は、加入者情報管理テーブル1710のサービス提供装置IPアドレス1716を設定する。この処理の詳細は、図16を用いて後で説明する。
パケット9030を受信したサービス提供装置4000は(ステップS410)、パケット9030のカプセル化を解除してパケット9020を取り出し、パケット9020のカプセル化ヘッダに含まれたSPIから、暗号化情報を特定して復号する。復号したデータを元に、サービスを実現するための処理を行う。
次に、サービス提供装置4000は、パケット9030を生成してユーザ端末2000に向けて送信する(ステップS420)。
パケット9030を受信した中継装置1000のIPパケット転送制御部1100は、パケット9030をカプセル化したパケット9020をユーザ端末2000に向けて、選択した通信経路に送出する(ステップS160)。
このステップS160の下り転送処理において、中継装置1000は、最初の下りの転送処理で、加入者情報管理テーブル1710のdownlinkSPI1717を設定する。この処理の詳細は、図17を用いて後で説明する。
パケット9010を基地局5000を介して受信したユーザ端末2000のIPパケット送受信部2200は(ステップS240)、パケット9010のカプセル化の解除と復号処理を行い、データをサービスアプリケーション2900に渡す。
<上り転送処理>
以下、ステップS150の上り転送処理について、図16を用いて説明する。
図16は、中継装置1000が行う上り転送処理を示すフローチャートである。
ユーザ端末2000から、パケット9030をカプセル化したパケット9020を受信したIPパケット転送制御部1100は(ステップS500)、パケット9030を上り経路処理部1500に渡して、処理を指示する。
処理を行う指示を受けた上り経路選択部1500は、渡されたパケット9030の送信元IPアドレス9034及びSPI9036を読み出す。
上り経路処理部1500は、加入者情報管理テーブル1710を参照して、受信したパケット9030の送信先IPアドレス9035が登録されているかを判断する(ステップS510)。
具体的には、加入者情報管理テーブル1710のユーザ端末IPアドレス1712及びuplinkSPI1715が、読み出した送信元IPアドレス9034及びSPI9036と一致するレコードの検索を行う。一致するレコードがある場合は登録されていると判断し、一致するレコードが無い場合は登録されていないと判断する。
登録されていない場合は(ステップS510:No)、パケット9020を破棄して転送処理を終了する(ステップS550)。
登録されていた場合は(ステップS510:Yes)、登録されていたレコードのサービス提供装置IPアドレス1716にIPアドレスが設定されているか否かを確認する(ステップS520)。
設定されていない場合は(ステップS520:No)、登録されていたレコードのサービス提供装置IPアドレス1716に、パケット9020の送信先IPアドレス9035を設定する(ステップS530)。
設定されていた場合(ステップS520:Yes)、又は、サービス提供装置IPアドレス1716を設定後、上り経路処理部1500は、処理が終了した旨をIPパケット転送制御部1100に通知する。
通知を受けたIPパケット転送制御部1100は、カプセル化を解除したパケット9030を送出する(ステップS540)。
<下り転送処理>
以下、ステップS160の下り転送処理について、図17を用いて説明する。
図17は、中継装置1000が行う下り転送処理を示すフローチャートである。
サービス提供装置4000からパケット9030を受信したIPパケット転送制御部1100は(ステップS600)、パケット9030を下り経路選択部1550に渡して、通信経路の選択を指示する。
通信経路の選択の指示を受けた下り経路選択部1550は、渡されたパケット9030のESPヘッダ部9032に含まれるSPI9036を読み出す(ステップS610)。
下り経路選択部1550は、downlinkSPIテーブル1610のdownlinkSPI1612が、読み出したSPI9036と一致するレコードがあるか検索を行う(ステップS620)。
一致するレコードがあった場合は(ステップS620:Yes)、通信経路を選択する。具体的には、一致するレコードの加入者テーブルレコード番号1613で示される番号を読み出す。加入者情報管理テーブル1710のレコード番号1711が読み出した番号と一致するレコードの、通信経路情報1713のGRE−KEYで示されるGREトンネルの識別子を、IPパケット転送制御部1100に返す(ステップS670)。
一致するレコードがなかった場合は(ステップS620:No)、downlinkSPI登録部1400にdownlinkSPIの取得と登録を依頼する。この際、渡されたパケット9030を渡す。
依頼を受けたdownlinkSPI登録部1400は、加入者情報管理テーブル1710のユーザ端末IPアドレス1712が、渡されたパケット9030の送信先IPアドレス9035、すなわち、ユーザ端末2000のIPアドレスと一致するレコードがあるか検索する(ステップS630)。この際、通信経路情報1713の方向が「下り」のレコードのみ検索する。
一致するレコードがなかった場合は(ステップS630:No)、廃棄し(ステップS700)、その旨を下り経路選択部1550を介してIPパケット転送制御部1100に返す。
一致するレコードがあった場合は(ステップS630:Yes)、そのレコードのサービス提供装置IPアドレス1716と、渡されたパケット9030の送信元IPアドレス9034、すなわち、サービス提供装置4000のIPアドレスと同じかどうかを判断する(ステップS640)。
同じでなかった場合は(ステップS640:No)、通信経路情報1713のポート番号/プロトコルが「any/any」であるデフォルトの通信経路の通信経路情報1713のGRE−KEYで示されるGREトンネルの識別子を、下り経路選択部1550を介して、IPパケット転送制御部1100に返す(ステップS690)。
同じであった場合は(ステップS640:Yes)、downlinkSPIテーブル1610に、渡されたパケット9030から読み出したSPI9036を登録する。
具体的には、渡されたパケット9030のSPI9036を、downlinkSPIテーブル1610のdownlinkSPI1612に設定し、一致したレコードのレコード番号1711を加入者テーブルレコード番号1613に設定する(ステップS650)。
次に、加入者情報管理テーブル1710に、下りのSPIを設定する。具体的には、一致したレコードのdownlinkSPI1717に、渡されたパケット9030のSPI9036を設定する(ステップS660)。
一致したレコードのdownlinkSPI1717にSPI9036を設定したdownlinkSPI登録部1400は、一致したレコードのレコード番号1711と登録した旨とを、下り経路選択部1550に返す。
登録した旨を受け取った下り経路選択部1550は、受け取ったレコード番号1711のレコードの通信経路情報1713のGRE−KEYで示されるGREトンネルの識別子を、IPパケット転送制御部1100に返す(ステップS670)。
GREトンネルの識別子を、下り経路選択部1550から受け取ったIPパケット転送制御部1100は、GREヘッダ部9022のGRE−Key9023に受け取ったGREトンネルの識別子を設定し、パケット9030をカプセル化したパケット9020を送出する(ステップS680)。
パケット9030を破棄した旨を受け取ったIPパケット転送制御部1100は、転送処理を行わない。
<補足>
以上、本発明の実施形態について説明したが、本発明は上記形態に限らず、以下のようにしてもよい。
(1)実施形態では、加入者管理装置3000から中継装置1000にuplinkSPIを通知する場合に、ユーザ情報送信イベント3010を送信することとしているが、詳細には、例えば、Mobile WiMAXネットワークにおいて以下のように行う。
ユーザ端末2000がネットワーク接続を行う場合、WiMAX認証手順(Initial Network Entry Procedure)(ネットワーク接続要求イベント2010に相当)が行われる。
WiMAX認証手順の中で中継装置1000から加入者管理装置3000に送信されるRADIUS−Access−Request(接続認証要求イベント1010に相当)を契機とし、ユーザ端末2000と加入者管理装置3000との間でEAP認証が行われる。
加入者管理装置3000では、ユーザ情報管理テーブル3310及びQoS管理テーブル3410から、RADIUS−Access−Requestに付与されているユーザ認証情報のNAI(Network Access Identifier)を元に、ユーザ端末2000に関するQoS情報と通信経路情報であるClassifyルールとuplinkSPIの情報を取得した後、RADIUS−Access−Accept(ユーザ情報送信イベント3010に相当)に付与して中継装置1000に通知する。
加入者管理装置3000から取得した情報要素は、RADIUS−Access−Acceptに含まれる次の詳細イベントによって中継装置1000に通知することができる。
QoS情報はWiMAX Forumで規定されているQoS−DescrIPtor Attributeで通知する。また、ClassifyルールはWiMAX Forumで規定されているPacket Flow DescrIPtor Attributeで通知する。Classifyルールの通知はIPFilterRule(RFC3588)に従い、ClassifyルールをASCIIキャラクタにて通知を行うが、このIPFilterRuleのoption部に、SPIの記載ルールを追加拡張することで、Classifyルールに関連付けたuplinkSPIを通知する。
図18に、option部にSPIの記載ルールを追加拡張したIPFilterRuleの例を示す。
(2)実施形態では、中継装置1000からユーザ端末2000にuplinkSPIを通知する場合に、通信経路生成イベント1020を送信することとしているが、詳細には、例えば、Mobile WiMAXネットワークにおいて以下のように行う。
ユーザ端末2000へのuplinkSPIの通知は、WiMAX認証手順完了後に、WiMAX通信経路生成手順(Path Registration Procedure)(通信経路生成イベント1020に相当)のPath_Reg_ReqおよびDSA−REQのメッセージを拡張することにより通知することができる。
図19に、中継装置1000から基地局5000に通知される、Path_Reg_Reqのメッセージフォーマットを示す。
基地局5000と中継装置1000との間のメッセージはWiMAX Forum Network Architecture Stage3によって規定されており、ヘッダ部とボディー部に分けられる。ボディー部はTLV形式(Type(識別)、 Length(長さ)、 Value(値))で表現される。Type及びLengthは固定長で、ValueはLengthが示す長さで表現される。また、TypeとLengthのみを持ち、値はSub TLVで表現するParent TLVも規定されている。
QoS情報、Classifyルール(通信経路情報)はWiMAX Forumによって規定されているSF Info、QoS Parameterフィールドで通知される。uplinkSPIは、SF InfoのPacket Classification Rule /Media Flow DescrIPtionのSub TLVにSPI Info TLVを追加して通知する。
図20に、基地局5000からユーザ端末2000に通知される、DSA−REQのメッセージフォーマットを示す。ユーザ端末2000と基地局5000との間のメッセージはIEEE802−16/16eによって規定されており、基地局5000と中継装置1000との間と同様にTLV形式で表現される。QoS情報、Classifyルール(通信経路情報)は、IEEE802−16/16eのCS Specific Service Flow に規定されているService Flow Identifier TLV等により通知される。uplinkSPIは、CS Specific Service FlowにSPI Info TLVを追加して通知する。
(3)実施形態では、加入者管理装置3000がuplinkSPIをユーザ端末2000に付与することとしているが、他の装置が付与することとしてもよい。例えば、中継装置1000が付与してもよく、また、SPIを管理して付与する装置を新たに設けてもよい。
(4)中継装置1000等は、図2等の各構成要素の全部又は一部を、1チップ又は複数チップの集積回路で実現してもよい。
(5)中継装置1000等は、図2等の各構成要素の全部又は一部を、コンピュータのプログラムで実現してもよいし、その他どのような形態で実施してもよい。
コンピュータプログラムの場合、メモリカード、CD−ROMなどいかなる記録媒体に書き込まれたものをコンピュータに読み込ませて実行させる形にしてもよいし、ネットワークを経由してプログラムをダウンロードして実行させる形にしてもよい。