JP2020102670A - 通信制御装置、通信制御方法及び無線通信システム - Google Patents

通信制御装置、通信制御方法及び無線通信システム Download PDF

Info

Publication number
JP2020102670A
JP2020102670A JP2018237785A JP2018237785A JP2020102670A JP 2020102670 A JP2020102670 A JP 2020102670A JP 2018237785 A JP2018237785 A JP 2018237785A JP 2018237785 A JP2018237785 A JP 2018237785A JP 2020102670 A JP2020102670 A JP 2020102670A
Authority
JP
Japan
Prior art keywords
base station
ipsec
authentication
femto base
processing unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018237785A
Other languages
English (en)
Other versions
JP7183764B2 (ja
Inventor
佳之 飯島
Yoshiyuki Iijima
佳之 飯島
国星 飛田
Kunitoshi Tobita
国星 飛田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2018237785A priority Critical patent/JP7183764B2/ja
Publication of JP2020102670A publication Critical patent/JP2020102670A/ja
Application granted granted Critical
Publication of JP7183764B2 publication Critical patent/JP7183764B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】無線通信システムにおける負荷を低減する通信制御装置、通信制御方法及び無線通信システムを提供する。【解決手段】セキュリティGW装置1は、IPsec処理部11及びIPsec処理代理部14を有する。前記IPsec処理部11は、フェムト基地局2から第1認証要求を受け付けて認証結果を取得し、前記フェムト基地局2が認証された場合、前記フェムト基地局2との間に第1通信経路を確立し、前記フェムト基地局2との間で前記第1通信経路を用いた通信を行わせる。前記IPsec処理代理部14は、前記フェムト基地局2が認証されなかった場合に、前記フェムト基地局2との間に第2通信経路を確立する。【選択図】図3

Description

本発明は、通信制御装置、通信制御方法及び無線通信システムに関する。
屋外基地局を設置する場合、基地局以外にも鉄塔や収容箱などの大規模な施設が付随して設置される。そのため、屋外基地局を設置する場所が限定され、ビルの狭間、屋内、高層階エリア又は地下街など、電波が微弱で完全な通話エリアの構築が困難な場合がある。このような状況に対応するために、範囲の狭い無線通信エリアをカバーする小型の基地局であるフェムト基地局の導入が盛んになっている。具体的には、住宅内などの屋内にフェムト基地局を設置して、インターネット回線を介してキャリアのネットワークに接続することで、屋外基地局では電波状況が不十分な場所でもキャリア網を用いた通信を可能にすることができる。
フェムト基地局は、管理者によりローカルのIP(Internet Protocol)アドレスが割り振られる。そして、フェムト基地局のIPアドレスは、ブロードバンドルータ(BBR:Broad Band Rooter)でNAT(Network Address Translator)により通信事業者のDHCP(Dynamic Host Configuration Protocol)サーバで割り振られたグローバルIPに変換される。フェムト基地局からキャリア網のSeGW(Security Gateway)までの伝送区間は、IPsec(Security Architecture for Internet Protocol)を用いた接続が確立されることにより通信のセキュリティが確保される。以下の説明では、IPsecを用いた接続を「IPsec接続」という。
IPsec接続を確立する処理手順であるIPsec確立シーケンスにおいて、フェムト基地局は、ユーザ認証プロトコルの1つであるRadius(Remote Authentication Dial User Service)を用いて認証を行うサーバにより認証が行われる。認証が成功すると、フェムト基地局とSeGWとの間でIPsec接続の確立が成功する。そして、IPsec接続の確立後に、フェムト基地局は、MME(Mobility Management Entity)とのS1−AP(Application Protocol)コネクションを確立し、信号の送受信を行う。
一方、キャリア網には、契約が終了したフェムト基地局が撤去されないまま残されている場合がある。契約が終了したフェムト基地局は、未契約フェムトとなる。未契約フェムトは、IPse接続を確立すべくIKE_SA_INIT(Internet Key Exchange Security Association Initial) Requestを送出する。しかし、Radius認証の契約者リストには未契約フェムトの契約者ID(Identifier)は存在しないため、認証が不成功となる。その後、未契約フェムトは再度IPsec確立シーケンスを繰り返す。すなわち、未契約フェムトがIKE_SA_INITリクエストの再送を繰り返し行う状況となる。
これにより、SeGWのIPsec制御モジュールのCPU(Central Processing Unit)負荷増加、さらには、CPU高負荷に対する防衛としての強制リセットが発生する場合がある。また、キャリア網の回線帯域圧迫によりパケットの破棄が発生する場合がある。さらに、以上の2つの事象の影響により、正規に契約が為されているフェムト基地局である契約フェムトの接続要求に対して、応答遅延が生じ、契約フェムトが繋がりにくくなることが考えられる。
このような問題を回避するため、Radius認証が不成功となったフェムト基地局のIPアドレスをブラックリストに追加してIPsec接続を拒否する方法が考えられる。ブラックリストには一定期間後にエントリが削除されるエージング機能が設けられており、DHCPサーバでIPアドレスが変更されるシステムでも用いられる技術である。
また、サービス提供手段の代理となって送受信するおとり手段を設けて、攻撃者の信号をおとり手段に向かわせることで、サービス提供手段に至る回線の輻輳を回避する従来技術がある。また、呼制御装置が、加入者情報管理装置に対する認証情報の問合せの結果、端末が未契約ユーザであることを示すエラーコードを含む応答を受信した場合に、その端末について認証情報の問い合わせを所定期間抑止する従来技術がある。
特開2011−55299号公報 特開2015−23393号公報
しかしながら、ブラックリストを用いてIPsec接続の拒否を行う従来技術では、未契約フェムトからのIKE_SA_INITリクエストの再送は継続して行われるため、回線負荷が高くなるおそれがある。また、IKE_SA_INITリクエストを受信した時点では未契約フェムトから送信されたパケットか否かを識別することが困難であり、初回はRadius認証が行われるためCPUの負荷が高くなるおそれがある。
また、サービス提供手段の代理となって送受信するおとり手段を設ける従来技術の場合、おとり手段に対する再送トラフィックが発生するため、回線負荷を低減することは困難である。また、未契約の端末についての認証情報の問い合わせを所定期間抑止する従来技術の場合、端末からの認証要求の再送は繰り返されるため、回線負荷を低減することは困難である。
開示の技術は、上記に鑑みてなされたものであって、無線通信システムにおける負荷を低減する通信制御装置、通信制御方法及び無線通信システムを提供することを目的とする。
本願の開示する通信制御装置、通信制御方法及び無線通信システムの一つの態様において、通信制御部は、基地局装置から第1認証要求を受け付けて認証結果を取得し、前記基地局装置が認証された場合、前記基地局装置との間に第1通信経路を確立し、前記基地局装置との間で前記第1通信経路を用いて通信を行う。代理経路確立部は、前記基地局装置が認証されなかった場合に、前記基地局装置との間に第2通信経路を確立する。
1つの側面では、本発明は、無線通信システムにおける負荷を低減することができる。
図1は、無線通信システムの概略構成図である。 図2は、実施例1に係る契約者リストの一例を表す図である。 図3は、実施例1に係るセキュリティGW装置のブロック図である。 図4は、実施例1に係る振分テーブルの一例を表す図である。 図5は、実施例1に係るIPsec確立シーケンスの各装置間の処理を表すシーケンス図である。 図6は、実施例1に係るセキュリティGW装置におけるIPsec確立シーケンスのシーケンス図である。 図7は、実施例1に係るセキュリティGW装置を用いた場合と従来のセキュリティGW装置を用いた場合とのネットワーク負荷の比較を表す図である。 図8は、従来のセキュリティGW装置のIPsec接続の拒否のシーケンス図である。 図9は、実施例1に係るセキュリティGW装置のS1−AP接続の拒否のシーケンス図である。 図10は、実施例2に係るセキュリティGW装置のブロック図である。 図11は、IKE_SA_INIT requestのフォーマットの一例を表す図である。 図12は、実施例2に係る契約者リストの一例を表す図である。 図13は、実施例2に係る振分テーブルの一例を表す図である。 図14は、実施例2に係るIPsec確立シーケンスの各装置間の処理を表すシーケンス図である。 図15は、実施例2に係るセキュリティGW装置におけるIPsec確立シーケンスのシーケンス図である。 図16は、偽IPsec接続の削除処理のシーケンス図である。 図17は、フェムト基地局のハードウェア構成図である。 図18は、ハードウェアルータのハードウェア構成図である。 図19は、サーバのハードウェア構成図である。
以下に、本願の開示す通信制御装置、通信制御方法及び無線通信システムの実施例を図面に基づいて詳細に説明する。なお、以下の実施例により本願の開示する通信制御装置、通信制御方法及び無線通信システムが限定されるものではない。
図1は、無線通信システムの概略構成図である。本実施例に係る無線通信システム100は、セキュリティGW(SeGW:Security Gateway)装置1、フェムト基地局2、Radiusサーバ3、MME(Mobility Management Entity)4及び端末装置5を有する。
通信制御装置であるセキュリティGW装置1は、インターネットを介してフェムト基地局2に接続される。また、セキュリティGW装置1は、Radiusサーバ3及びMME4に接続される。セキュリティGW装置1、Radiusサーバ3及びMME4は、キャリア網内に配置される。
端末装置5は、フェムト基地局2と無線通信を行う。そして、端末装置5は、フェムト基地局2を介してキャリア網に接続する。
基地局装置であるフェムト基地局2は、ローカルIPアドレスを用いて端末装置5と無線通信を行う。そして、フェムト基地局2から送出された信号のIPアドレスは、ブロードバンドルータ(不図示)においてNATにより、通信事業者が配置したDHCPサーバ(不図示)から割り振られたグローバルIPアドレスに変換される。逆に、セキュリティGW装置1から送信された信号は、ブロードバンドルータによりローカルIPアドレスに変換されてフェムト基地局2に送られる。
セキュリティGW装置1は、グローバルIPアドレスに変換された信号を受信する。また、セキュリティGW装置1は、グローバルIPアドレスで表された宛先を有する信号をインターネットを介してフェムト基地局2へ送信する。このように、実際には、セキュリティGW装置1とフェムト基地局2との間では、ブロードバンドルータによるアドレス変換が行われるが、以下では説明を分かり易くするためにブロードバンドルータによるアドレス変換を省略して説明する。
セキュリティGW装置1は、フェムト基地局2との間でIPsec接続を確立する。具体的には、セキュリティGW装置1は、フェムト基地局2からの要求を受けて、IPsec接続を確立するためのIPsec確立シーケンスを実行する。このIPsec確立シーケンスにおいて、セキュリティGW装置1は、フェムト基地局2に対する認証要求を受けて、Radiusサーバ3にフェムト基地局2の認証処理を行わせる。認証処理の結果、フェムト基地局2が認証された場合、セキュリティGW装置1は、フェムト基地局2との間でIPsec接続を確立する。
IPsec確立シーケンスには、処理段階として第1フェーズ及び第2フェーズという2つのフェーズがある。第1フェーズでは、制御信号の送受信を行うためのC−planeについての通信が確立される。具体的には、第1フェーズでは、IPsecを用いた通信を行うためのセキュアな通信経路であるSAを構築するためのパラメータ交換が行われる。
第2フェーズでは、ユーザデータを送受信するためのU−planeについての通信が確立される。具体的には、第2フェーズでは、まずユーザ認証及びパスワード認証が行われる。ユーザ認証では、契約者IDを用いた認証処理が行われる。フェムト基地局2は、例えば、そのフェムト基地局2を管理する契約者IDにより契約済みか否かが規定される。そこで、契約者IDを用いた認証を行うことで、フェムト基地局2がキャリア網を管理する通信事業者と契約済みであるか否かの認証を行うことができる。パスワード認証では、パスワードを用いて、認証要求を行った装置が契約者本人により管理されているか否かの判定が行われる。さらに、第2フェーズでは、IPsec用いた接続確立が可能か否かの確認が行われる。第2フェーズの処理が完了すると、セキュリティGW装置1とフェムト基地局2との間にIPsec接続が確立する。以下では、IPsec確立シーケンスにおけるセキュリティGW装置1とフェムト基地局2との間で交換されるメッセージをIKEメッセージと言う。
IPsec接続の確立後、セキュリティGW装置1は、フェムト基地局2とMME4との間のSP1−AP接続の確立を仲介する。SP1−AP接続が確立すると、フェムト基地局2は、キャリア網を介した通信が可能となる。
また、セキュリティGW装置1は、契約者IDを用いた認証が失敗しフェムト基地局2を未契約フェムトと判定した場合、偽のIPSecを用いた接続を確立する。これにより、未契約フェムトによるIKEメッセージの再送を抑制できる。セキュリティGW装置1のIPsec確立シーケンスの機能については後で詳細に説明する。
認証装置であるRadiusサーバ3は、例えば、図2に示す契約者リスト31を有する。図2は、実施例1に係る契約者リストの一例を表す図である。契約者リスト31には、契約者ID及び各契約者IDに対応するパスワードが登録される。
Radiusサーバ3は、ユーザ認証における契約者IDを用いた認証要求をセキュリティGW装置1から受信する。そして、Radiusサーバ3は、契約者リスト31に契約者IDが登録されているか否かを確認し、フェムト基地局2が契約済みか否かを判定する。そして、Radiusサーバ3は、ユーザ認証の認証結果をセキュリティGW装置1へ送信する。
ユーザ認証が成功すると、Radiusサーバ3は、パスワード認証におけるパスワードを用いた認証の要求をセキュリティGW装置1から受信する。そして、Radiusサーバ3は、契約者リスト31に登録された契約者IDのパスワードと認証要求で通知されたパスワードが一致するか否かを確認し、フェムト基地局2が適切なセキュリティ情報を有するか否かを判定する。そして、Radiusサーバ3は、パスワードを用いた認証結果をセキュリティGW装置1へ送信する。
次に、図3を参照して、セキュリティGW装置1によるIPsec確立シーケンスの実行の詳細について説明する。図3は、実施例1に係るセキュリティGW装置のブロック図である。セキュリティGW装置1は、IPsec処理部11、振分テーブル12、振分処理部13及びIPsec処理代理部14を有する。
IPsec処理部11は、IKEメッセージを受信し、受信したIKEメッセージに応じてIPsec接続の確立処理を実行する。まず、IPsec処理部11は、第1フェーズの処理を実行する。
具体的には、IPsec処理部11は、第1フェーズの処理として、フェムト基地局2から送信されたIKE_SA_INIT requestの入力を振分処理部13から受ける。IKE_SA_INIT requestは、IPsecを用いた通信を行うためのセキュアな通信経路であるSAを構築するためのパラメータ交換要求である。このIKE_SA_INIT requestは、MID(Message Identifier)が00である。以下では、MIDの番号を、MID=00と表す。そして、IPsec処理部11は、パラメータ交換の応答としてIKE_SA_INIT responseをフェムト基地局2へ送信する。IKE_SA_INIT responseも、MID=00である。このパラメータ交換を行うことで、IPsec処理部11は、フェムト基地局2との間にセキュアな通信経路であるSAを構築することができる。これにより、IPsec処理部11は、第1フェーズの接続を確立する。この後、処理はユーザデータを送受信するためのU−planeにおける通信を確立するための段階である第2フェーズに移行する。
次に、IPsec処理部11は、フェムト基地局2から送信されたMID=01であるIKE_AUTH requestの入力を振分処理部13から受ける。MID=01のIKE_AUTH requestは、第1フェーズにおけるフェムト基地局2が契約済みか否かを確認する認証要求である。IKE_AUTH requestは、契約者IDを含む。このMID=01であるIKE_AUTH requestが、「第1認証要求」の一例にあたる。
IPsec処理部11は、Access−RequestをRadiusサーバ3に送信してユーザの認証処理の実行をRadiusサーバ3に指示する。そして、Access−Requestには、IKE_AUTH requestに含まれていた契約者IDが含まれる。以下では、フェムト基地局2に対応する契約者IDを用いた認証処理をユーザ認証と言う。
その後、IPsec処理部11は、ユーザの認証結果をRadiusサーバ3から受信する。そして、IPsec処理部11は、受信した認証結果からフェムト基地局2のユーザ認証が成功したか否かを判定する。
フェムト基地局2のユーザ認証が失敗した場合、IPsec処理部11は、IPsec接続の確立の代理依頼をIPsec処理代理部14に送信する。この時、IPsec処理部11は、フェムト基地局2のIPアドレスなどの情報及びフェムト基地局2から送信された契約者IDの情報をIPsec処理代理部14へ送信する。
これに対して、フェムト基地局2のユーザ認証が成功した場合、IPsec処理部11は、フェムト基地局2のユーザの認証成功(Authentication success)を通知するMID=01であるIKE_AUTH responseをフェムト基地局2へ送信する。これにより、契約者IDで表されるユーザの認証が完了する。
次に、IPsec処理部11は、フェムト基地局2から送信されたMID=02であるIKE_AUTH requestの入力を振分処理部13から受ける。MID=02のIKE_AUTH requestは、パスワードを用いた認証要求である。以下では、フェムト基地局2に対応するパスワードを用いた認証処理をパスワード認証と言う。そして、IPsec処理部11は、パスワードを含むAccess−RequestをRadiusサーバ3に送信して、パスワード認証の実行をRadiusサーバ3に指示する。
パスワード認証が失敗した場合、IPsec処理部11は、Access−RejectをRadiusサーバ3から受信する。その後、IPsec処理部11は、パスワード認証失敗(Authentication failure)を通知するMID=02であるIKE_AUTH responseをフェムト基地局2へ送信する。これにより、IPsec処理部11は、第2フェーズの処理を失敗してIPsec接続の確立処理を終了する。
パスワード認証が成功した場合、IPsec処理部11は、Access−AcceptをRadiusサーバ3から受信する。その後、IPsec処理部11は、パスワード認証成功を通知するMID=02であるIKE_AUTH responseをフェムト基地局2へ送信する。これにより、フェムト基地局2のパスワードの認証が完了する。
次に、IPsec処理部11は、フェムト基地局2から送信されたMID=03であるIKE_AUTH requestの入力を振分処理部13から受ける。MID=03のIKE_AUTH requestは、IPsec接続の確立が可能か否かの判定要求である。以下では、フェムト基地局2とセキュリティGW装置1との間のIPsec接続の確立が可能か否かを判定する処理を接続確立判定と言う。そして、IPsec処理部11は、フェムト基地局2及びセキュリティGW装置1における通信方式及び暗号化方式などを比較して、接続確立判定を実行する。
接続確立が可能な場合、IPsec処理部11は、接続確立可能を通知するMID=03であるIKE_AUTH responseをフェムト基地局2へ送信する。これにより、第2フェーズの処理が完了して、第2フェーズの接続が確立する。第1フェーズ及び第2フェーズの接続が確立することで、セキュリティGW装置1とフェムト基地局2との間にIPsec接続が確立される。このIPsec処理部11により確立されたIPsec接続が、「第1通信経路」の一例にあたる。そして、MID=02及び03であるIKE_AUTH requestが、「第2認証要求」の一例にあたる。
これに対して、接続確立が困難な場合、IPsec処理部11は、接続確立困難を通知するMID=03であるIKE_AUTH responseをフェムト基地局2へ送信する。これにより、IPsec処理部11は、第2フェーズの処理を失敗してIPsec接続の確立処理を終了する。このIPsec処理部11が、「通信制御部」の一例にあたる。
IPsec処理代理部14は、振分処理部13から転送されたIKEメッセージに応じて実際には使用されないIPsec接続を確立する。このIPsec処理代理部14が確立するIPsec接続は、適切なフェムト基地局2との間の通信経路ではなく、あくまでも、未契約フェムトであるフェムト基地局2からのIKEメッセージの再送を抑制するために確立される偽装の接続である。そこで、以下では、IPsec処理代理部14が確立するIPsec接続を、「偽IPsec接続」という。この偽IPSec接続が、「第2通信経路」の一例にあたる。
さらに、IPsec処理代理部14は、偽IPsec接続の確立に応じて、偽IPsec接続の接続先となるフェムト基地局2のIPアドレスの登録を振分処理部13に依頼する。以下にIPsec処理代理部14の動作の詳細について説明する。
Radiusサーバ3によるユーザ認証が失敗した場合、IPsec処理代理部14は、IPsec接続の確立の代理依頼をIPsec処理部11から受ける。そして、IPsec処理代理部14は、IPsec処理部11から第1フェーズの接続を引き継ぎ、フェムト基地局2との間で、第1フェーズの接続を確立する。次に、IPsec処理代理部14は、ユーザ認証が失敗したフェムト基地局2のIPアドレスを振分処理部13へ通知して振分テーブル12への追加を依頼する。
さらに、IPsec処理代理部14は、フェムト基地局2のユーザの認証成功を通知するMID=01であるIKE_AUTH responseをフェムト基地局2へ送信する。これにより、契約者IDで表されるユーザの認証が完了する。
次に、IPsec処理代理部14は、フェムト基地局2から送信されたMID=02であるIKE_AUTH requestの入力を振分処理部13から受ける。次に、IPsec処理代理部14は、パスワード認証の成功を通知するMID=02であるIKE_AUTH responseをフェムト基地局2へ送信する。
次に、IPsec処理代理部14は、フェムト基地局2から送信されたMID=03であるIKE_AUTH requestの入力を振分処理部13から受ける。次に、IPsec処理代理部14は、接続確立可能を通知するMID=03であるIKE_AUTH responseをフェムト基地局2へ送信する。これにより、第2フェーズの処理が完了して、第2フェーズの接続が確立する。第1フェーズ及び第2フェーズの接続が確立することで、IPsec処理代理部14は、セキュリティGW装置1とフェムト基地局2との間に偽IPsec接続を確立する。
ここで、未契約フェムトであるフェムト基地局2との間で偽IPsec接続が確立されることで、セキュリティGW装置1は、未契約フェムトであるフェムト基地局2との間でのIPsec確立シーケンスの再実行を回避できる。すなわち、未契約フェムトであるフェムト基地局2によるIKE_SA_INIT requestの送信からセキュリティGW装置1によるユーザ認証失敗を通知するIKE_AUTH responseの送信までの第1フェーズの処理の繰り返しを回避できる。
なお、偽IPsec接続の確立後、セキュリティGW装置1は、フェムト基地局2から偽IPsec接続を用いて送信されたS1−AP接続の確立要求であるSCTP Initを受信する。この場合、セキュリティGW装置1は、SCTP Initを破棄し、フェムト基地局2とMME4との間のS1−AP接続を確立させない。フェムト基地局2は、MME4との間のS1−AP接続が確立しなければ、電波を送出しないため、端末装置5からのパケットの送信は行われない。
図4は、実施例1に係る振分テーブルの一例を表す図である。振分テーブル12は、図4に示すように偽IPsec接続を確立したフェムト基地局2のIPアドレスが登録される。この振分テーブル12が、「情報保持部」の一例にあたる。
振分処理部13は、インターネットを介してフェムト基地局2から送信されたIKEメッセージを受信する。次に、振分処理部13は、IKEメッセージの送信元のIPアドレスが振分テーブル12に登録されているか否かを判定する。IKEメッセージの送信元のIPアドレスが振分テーブル12に登録されていない場合、振分処理部13は、IKEメッセージをIPsec処理部11へ転送する。これに対して、IKEメッセージの送信元のIPアドレスが振分テーブル12に登録されている場合、振分処理部13は、IKEメッセージをIPsec処理代理部14へ転送する。
また、振分処理部13は、ユーザ認証が失敗したフェムト基地局2のIPアドレス及び振分テーブル12の追加依頼をIPsec処理代理部14から受信する。そして、振分処理部13は、取得したIPアドレスを振分テーブル12へ登録する。
次に、図5を参照してIPsec確立シーケンスの全体的な流れについて説明する。図5は、実施例1に係るIPsec確立シーケンスの各装置間の処理を表すシーケンス図である。図5では、セキュリティGW装置1として、IPsec処理代理部14とそれ以外の機能部との処理を分けて表示した。ここでは、IPsec処理代理部14以外の機能部の処理を、セキュリティGW装置1の処理として説明する。
セキュリティGW装置1は、MID=00であるIKE_SA_INIT requestをフェムト基地局2から受信する(ステップS1)。
次に、セキュリティGW装置1は、MID=00であるIKE_SA_INIT responseをフェムト基地局2へ送信する(ステップS2)。
その後、セキュリティGW装置1は、第1フェーズ(Ph1)の接続を確立する(ステップS3)。
次に、セキュリティGW装置1は、MID=01であるIKE_AUTH requestをフェムト基地局2から受信する(ステップS4)。
次に、セキュリティGW装置1は、契約者IDを含むAccess−RequestをRadiusサーバ3へ送信する(ステップS5)。
その後、Radiusサーバ3は、受信した契約者IDを用いて認証処理を実行する。この場合、フェムト基地局2は未契約フェムトであり、Radiusサーバ3は、認証に失敗する。そして、Radiusサーバ3は、認証の失敗を通知するAccess−RejectをセキュリティGW装置1へ送信する(ステップS6)。
セキュリティGW装置1は、Access−RejectをRadiusサーバ3から受信する。そして、セキュリティGW装置1は、IPsec接続の確立の代理依頼をIPsec処理代理部14へ通知する(ステップS7)。
IPsec処理代理部14は、IPsec接続の確立の代理依頼を受けて、第1フェーズ(Ph1)の接続を引き継ぐ(ステップS8)。
そして、IPsec処理代理部14は、ユーザ認証成功を通知するMID=01であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS9)。
次に、IPsec処理代理部14は、パスワード認証を要求するMID=02であるIKE_AUTH requestをフェムト基地局2から受信する(ステップS10)。
次に、IPsec処理代理部14は、パスワード認証成功を通知するMID=02であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS11)。
次に、IPsec処理代理部14は、IPsec接続の確立が可能か否かの判定要求でありMID=03であるIKE_AUTH requestをフェムト基地局2から受信する(ステップS12)。
次に、IPsec処理代理部14は、IPsec接続の確立可能を通知するMID=03であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS13)。
そして、IPsec処理代理部14は、第2フェーズ(Ph2)の接続を確立する(ステップS14)。
これにより、IPsec処理代理部14は、セキュリティGW装置1と未契約フェムトであるフェムト基地局2との間に偽IPsec接続を確立する(ステップS15)。
次に、図6を参照して、セキュリティGW装置1におけるIPsec確立シーケンスの処理の流れを説明する。図6は、実施例1に係るセキュリティGW装置におけるIPsec確立シーケンスのシーケンス図である。
振分処理部13は、MID=00であるIKE_SA_INIT requestをフェムト基地局2から受信する(ステップS101)。
次に、振分処理部13は、MID=00であるIKE_SA_INIT requestをIPsec処理部11へ転送する(ステップS102)。
IPsec処理部11は、振分処理部13から受信したMID=00であるIKE_SA_INIT requestの応答として、MID=00のIKE_SA_INIT responseをフェムト基地局2へ送信する(ステップS103)。
そして、IPsec処理部11は、フェムト基地局2との間に第1フェーズ(Ph1)の接続を確立する(ステップS104)。
次に、振分処理部13は、MID=01であるIKE_AUTH requestをフェムト基地局2から受信する(ステップS105)。
次に、振分処理部13は、MID=01であるIKE_AUTH requestをIPsec処理部11へ転送する(ステップS106)。
IPsec処理部11は、MID=01であるIKE_AUTH requestを振分処理部13から受信する。次に、IPsec処理部11は、契約者IDを送信してRadius認証をRadiusサーバ3に依頼する(ステップS107)。
その後、IPsec処理部11は、Radius認証の結果をRadiusサーバ3から受信する。そして、IPsec処理部11は、Radius認証が成功したか否かを判定する(ステップS108)。
Radius認証が成功した場合(ステップS108:肯定)、IPsec処理部11は、MID=01であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS109)。
これに対して、Radius認証が失敗した場合(ステップS108:否定)、IPsec処理部11は、IPsec接続の確立の代理依頼をIPsec処理代理部14へ送信する(ステップS110)。
IPsec処理代理部14は、IPsec接続の確立の代理依頼をIPsec処理部11から受ける。そして、IPsec処理代理部14は、IPsec処理部11から第1フェーズの接続を引き継ぎ、フェムト基地局2との間に第1フェーズ(Ph1)の接続を確立する(ステップS111)。
次に、IPsec処理代理部14は、Radius認証が失敗したフェムト基地局2のIPアドレスの振分テーブル12への登録を振分処理部13へ依頼する(ステップS112)。
振分処理部13は、IPsec処理代理部14からの依頼を受けて、Radius認証が失敗したフェムト基地局2のIPアドレスを振分テーブル12へ登録する(ステップS113)。
その後、IPsec処理代理部14は、MID=01であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS114)。
次に、振分処理部13は、MID=02であるIKE_AUTH requestをフェムト基地局2から受信する(ステップS115)。
次に、振分処理部13は、MID=02であるIKE_AUTH requestの送信元のフェムト基地局2のIPアドレスが振分テーブル12に存在するか否かを判定する(ステップS116)。
IPアドレスが振分テーブル12に存在しない場合(ステップS116:否定)、振分処理部13は、MID=02であるIKE_AUTH requestをIPsec処理部11へ転送する(ステップS117)。
IPsec処理部11は、MID=02であるIKE_AUTH requestを振分処理部13から受信する。次に、IPsec処理部11は、パスワードを送信してRadius認証をRadiusサーバ3に依頼する(ステップS118)。
その後、IPsec処理部11は、Radius認証の結果をRadiusサーバ3から受信する。そして、IPsec処理部11は、Radius認証が成功したか否かを判定する(ステップS119)。
Radius認証が成功した場合(ステップS119:肯定)、IPsec処理部11は、MID=02であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS120)。
これに対して、Radius認証が失敗した場合(ステップS119:否定)、IPsec処理部11は、IPsec接続の確立が失敗したと判定し処理を終了する(ステップS121)。
一方、IPアドレスが振分テーブル12に存在する場合(ステップS116:肯定)、振分処理部13は、MID=02であるIKE_AUTH requestをIPsec処理代理部14へ転送する(ステップS122)。
IPsec処理代理部14は、MID=02であるIKE_AUTH requestを振分処理部13から受信する。そして、IPsec処理代理部14は、MID=02であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS123)。
次に、振分処理部13は、MID=03であるIKE_AUTH requestをフェムト基地局2から受信する(ステップS124)。
次に、振分処理部13は、MID=03であるIKE_AUTH requestの送信元のフェムト基地局2のIPアドレスが振分テーブル12に存在するか否かを判定する(ステップS125)。
IPアドレスが振分テーブル12に存在しない場合(ステップS125:否定)、振分処理部13は、MID=03であるIKE_AUTH requestをIPsec処理部11へ転送する(ステップS126)。
IPsec処理部11は、MID=03であるIKE_AUTH requestを振分処理部13から受信する。その後、IPsec処理部11は、MID=03であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS127)。
そして、IPsec処理部11は、フェムト基地局2との間に第2フェーズ(Ph2)の接続を確立する(ステップS128)。
一方、IPアドレスが振分テーブル12に存在する場合(ステップS125:肯定)、振分処理部13は、MID=03であるIKE_AUTH requestをIPsec処理代理部14へ転送する(ステップS129)。
IPsec処理代理部14は、MID=03であるIKE_AUTH requestを振分処理部13から受信する。そして、IPsec処理代理部14は、MID=03であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS130)。
そして、IPsec処理代理部14は、フェムト基地局2との間に第2フェーズ(Ph2)の接続を確立する(ステップS131)。
次に、図7を参照して、本実施例に係るセキュリティGW装置1を用いた場合と従来のセキュリティGW装置10を用いた場合とのネットワーク負荷を比較する。図7は、実施例1に係るセキュリティGW装置を用いた場合と従来のセキュリティGW装置を用いた場合とのネットワーク負荷の比較を表す図である。図7の紙面に向かって上段が従来のセキュリティGW装置10を用いた場合を表し、下段が本実施例に係るセキュリティGW装置1を用いた場合を表す。ここで、従来のセキュリティGW装置10は、ユーザ認証が失敗したフェムト基地局2のIPアドレスを登録したブラックリストを作成し、そのブラックリストを用いてIPsec接続を拒否する場合で説明する。
従来のセキュリティGW装置10は、ユーザ認証が失敗するため、フェムト基地局2との間にIPSec接続が確立しない。そのため、セキュリティGW装置10とフェムト基地局2との間では、IPsec確立第1フェーズ101が繰り返される。IPsec確立第1フェーズ101では、フェムト基地局2は、IKE_SA_INITのセキュリティGW装置10への再送を3パケット/9秒で繰り返す。
一方、本実施例に係るセキュリティGW装置1は、フェムト基地局2との間に偽IPsec接続102を確立させる。そのため、セキュリティGW装置10とフェムト基地局2との間では、偽IPsec接続102を用いて実行されるS1−APコネクション確立第1フェーズ103が繰り返される。S1−APコネクション確立第1フェーズ103では、フェムト基地局2は、SCTP InitのセキュリティGW装置10への再送を5パケット/93秒で繰り返す。
ここで、従来のセキュリティGW装置10によるIPsec接続の拒否のシーケンスは図8のように示される。図8は、従来のセキュリティGW装置のIPsec接続の拒否のシーケンス図である。
セキュリティGW装置10は、再送処理111及び112のように、最初のIKE_SA_INIT requestの送信後、1秒、3秒、5秒の間隔でIKE_SA_INIT requestの再送を行う処理を繰返す。
また、本実施例に係るセキュリティGW装置1によるIPsec接続の拒否のシーケンスは図9のように示される。図9は、実施例1に係るセキュリティGW装置のIPsec接続の拒否のシーケンス図である。
セキュリティGW装置1は、偽IPsec接続を確立する(ステップS211)。その後、ステップS212〜215に示すように、3〜60秒の間隔で1回毎に間隔を2倍にしながらステップS212〜S215のようにSCTP Initを送信して、全部で5回のSCTP Intの再送を行う処理を繰返す。
このように、本実施例に係るセキュリティGW装置1によるS1−AP接続の拒否のシーケンスでは、従来のセキュリティGW装置10によるIPsec接続の拒否のシーケンスに比べてネットワーク負荷が軽減される。
以上に説明したように、本実施例に係るセキュリティGW装置は、未契約フェムトとの間に偽IPsec接続を確立する。これにより、フェムト基地局2からのIKE_SA_INIT requestの再送を抑制でき、回線負荷を低減することができる。
図10は、実施例2に係るセキュリティGW装置のブロック図である。本実施例に係るセキュリティGW装置1は、未契約フェムトのMACアドレスを予め保持し、フェムト基地局2からのIKE_SA_INIT requestの受信時に未契約フェムトを識別することが実施例1と異なる。以下の説明では、実施例1と同様の各部の動作については説明を省略する。
フェムト基地局2は、IKE_SA_INIT requestのペイロードに自装置のMAC(Media Access Control)アドレスを埋め込んで送信する。このMACアドレスが、「固定識別情報」の一例にあたる。本実施例に係るIKE_SA_INIT requestは、例えば、図11に示すフォーマット200を有する。図11は、IKE_SA_INIT requestのフォーマットの一例を表す図である。
IKE_SA_INIT requestは、フォーマット200に示すように、ヘッダを除いたIKE_SA_INITに通知情報202を格納するペイロードを有する。フェムト基地局2は、通知情報202の中に自装置のMACアドレスを埋め込む。
本実施例に係るRadiusサーバ3は、図12に示す契約者リスト31を有する。図12は、実施例2に係る契約者リストの一例を表す図である。本実施例に係る契約者リスト31は、契約者ID及びパスワードに加えて、契約者ID及びパスワードで示されるセキュリティ情報が割り当てられたフェムト基地局2のMACアドレスが登録される。ここで、契約者リスト31に対するMACアドレスの登録は、契約者ID及びパスワードの登録時に、管理者が登録を行ってもよい。また、Radiusサーバ3が、契約を有するフェムト基地局2のRadius認証を行う際に、セキュリティGW装置1からフェムト基地局2のMACアドレスを取得して契約者リスト31に登録してもよい。
そして、Radiusサーバ3は、セキュリティGW装置1が起動した際に、セキュリティGW装置1から契約者リスト31の送信要求を受ける。そして、Radiusサーバ3は、契約者リスト31をセキュリティGW装置1へ送信する。その後、契約者リスト31の更新が行われた場合、Radiusサーバ3は、前回の情報送信から今回までの差分の情報をセキュリティGW装置1へ送信する。
図10に示すように、本実施例に係るセキュリティGW装置1は、実施例1のセキュリティGW装置1の各部に加えて、契約者情報管理部15及び契約者リスト16を有する。
契約者情報管理部15は、セキュリティGW装置1が起動した際に、契約者リスト31の送信要求をRadiusサーバ3へ送信する。そして、契約者情報管理部15は、その応答として契約者リスト31をRadiusサーバ3から取得する。その後、契約者情報管理部15は、契約者リスト31の情報を契約者リスト16に登録する。ここで、契約者情報管理部15は、本実施例では、契約者リスト31の全ての情報を契約者リスト16に登録したが、契約者リスト16には、契約済みのフェムト基地局2のMACアドレスが登録されればよい。この契約者リスト16が、「認証情報格納部」の一例にあたる。
その後、契約者情報管理部15は、契約者リスト31の更新が発生すると、既に取得した契約者リスト31との差分の情報をRadiusサーバ3から受信する。そして、契約者情報管理部15は、新たに追加されたフェムト基地局2の情報を契約者リスト16に追加する。そして、契約者情報管理部15は、新たに追加されたフェムト基地局2のMACアドレスを振分処理部13に通知する。また、契約者リスト31から削除されたフェムト基地局2がある場合、契約者情報管理部15は、契約者リスト16からそのフェムト基地局2の情報を削除する。
また、契約者情報管理部15は、フェムト基地局2からIKE_SA_INIT requestが送信された場合、MACアドレスとともに契約者情報の確認依頼の入力をIPsec処理部11から受ける。そして、契約者情報管理部15は、取得したMACアドレスが契約者リスト16に存在するか否かを判定する。そして、契約者情報管理部15は、判定結果をIPsec処理部11へ通知する。
IPsec処理部11は、MACアドレスが埋め込まれた、MID=00であるIKE_SA_INIT requestをフェムト基地局2から受信する。そして、IPsec処理部11は、IKE_SA_INITからMACアドレスを取得する。その後、IPsec処理部11は、取得したMACアドレスを契約者情報管理部15へ送信して、契約者情報の確認を依頼する。
MACアドレスが契約者リスト16に存在する場合、IPsec処理部11は、契約者リスト16におけるMACアドレスの存在の通知を契約者情報管理部15から受ける。そして、IPsec処理部11は、MID=00であるIKE_SA_INIT responseをフェムト基地局2に返す。これにより、IPsec処理部11は、第1フェーズの接続を確立する。その後、IPsec処理部11は、通常のIPsec確立シーケンスを実行する。
これに対して、MACアドレスが契約者リスト16に存在しない場合、IPsec処理部11は、契約者リスト16におけるMACアドレスの不存在の通知を契約者情報管理部15から受ける。そして、IPsec処理部11は、IPsec接続の確立の代理依頼をIPsec処理代理部14に通知する。
IPsec処理代理部14は、フェムト基地局2から送信されたIKE_SA_INIT requestに埋め込まれたMACアドレスが契約者リスト16に存在しない場合、IPsec接続の確立の代理依頼をIPsec処理部11から受ける。この時、IPsec処理代理部14は、IPアドレス及びMACアドレスを含むフェムト基地局2の情報もIPsec処理部11から取得する。次に、IPsec処理代理部14は、MACアドレスが契約者リスト16に存在しないフェムト基地局2を未契約フェムトと判定し、そのフェムト基地局2のIPアドレス及びMACアドレスの登録を振分処理部13に依頼する。さらに、IPsec処理代理部14は、MID=00であるIKE_SA_INIT responseをフェムト基地局2へ送信する。これにより、IPsec処理代理部14は、第1フェーズの接続を確立する。
その後、IPsec処理代理部14は、未契約フェムトと判定したフェムト基地局2から送信されたMID=01のIKE_AUTH requestの入力を振分処理部13から受ける。そして、IPsec処理代理部14は、MID=01のIKE_AUTH responseをフェムト基地局2へ送信する。さらに、IPsec処理代理部14は、第2フェーズの処理を行い、第2フェーズの接続を確立させて、偽IPsec接続をフェムト基地局2との間で確立する。
また、IPsec処理代理部14は、振分テーブル12に登録された未契約フェムトが再契約された場合、振分テーブル12からの削除通知を、削除されたIPアドレスとともに振分処理部13から受ける。そして、IPsec処理代理部14は、通知されたIPアドレスを有するフェムト基地局2との間で確立させた偽IPsec接続を削除する。
本実施例に係る振分テーブル12は、図13に示すように、IPアドレスに対応させてMACアドレスが登録される。図13は、実施例2に係る振分テーブルの一例を表す図である。
振分処理部13は、MACアドレスが契約者リスト16に存在しないフェムト基地局2のIPアドレス及びMACアドレスの登録依頼をIPsec処理代理部14から受ける。そして、振分処理部13は、図13で示される振分テーブル12に、IPsec処理代理部14から取得したIPアドレス及びMACアドレスを対応付けて登録する。
また、振分処理部13は、契約者リスト31に新たに追加されたフェムト基地局2のMACアドレスの入力を契約者情報管理部15から受ける。そして、振分処理部13は、通知されたMACアドレスを有するフェムト基地局2を再契約されたフェムト基地局2と判定する。その後、振分処理部13は、再契約されたフェムト基地局2のIPアドレス及びMACアドレスを振分テーブル12から削除する。さらに、振分処理部13は、振分テーブル12からの削除を、削除したIPアドレスとともにIPsec処理代理部14へ通知する。
振分処理部13は、インターネットを介してフェムト基地局2から送信されたIKEメッセージを受信する。次に、振分処理部13は、IKEメッセージの送信元のIPアドレスが振分テーブル12に登録されているか否かを判定する。IKEメッセージの送信元のIPアドレスが振分テーブル12に登録されていない場合、振分処理部13は、IKEメッセージをIPsec処理部11へ転送する。これに対して、IKEメッセージの送信元のIPアドレスが振分テーブル12に登録されている場合、振分処理部13は、IKEメッセージをIPsec処理代理部14へ転送する。
次に、図14を参照して本実施例に係るIPsec確立シーケンスの全体的な流れについて説明する。図14は、実施例2に係るIPsec確立シーケンスの各装置間の処理を表すシーケンス図である。図14では、セキュリティGW装置1として、IPsec処理代理部14とそれ以外の機能部との処理を分けて表示した。ここでは、IPsec処理代理部14以外の機能部の処理を、セキュリティGW装置1の処理として説明する。
セキュリティGW装置1は、契約者リスト31の取得をRadiusサーバ3に要求する(ステップS31)。
Radiusサーバ3は、取得要求を受けて、契約者リスト31をセキュリティGW装置1へ送信する(ステップS32)。セキュリティGW装置1は、Radiusサーバ3から受信した契約者リスト31を用いて契約者リスト16を作成して保持する。
次に、セキュリティGW装置1は、MID=00であるIKE_SA_INIT requestをフェムト基地局2から受信する(ステップS33)。
次に、セキュリティGW装置1は、受信したIKE_SA_INIT requestから送信元のフェムト基地局2のMACアドレスを取得する。そして、セキュリティGW装置1は、取得したMACアドレスが契約者リスト16に存在するか否かを判定する。ここでは、取得したMACアドレスが契約者リスト16に存在しない場合で説明する。そして、セキュリティGW装置1は、IPsec接続の確立の代理依頼をIPsec処理代理部14へ通知する(ステップS34)。
IPsec処理代理部14は、IPsec接続の確立の代理依頼を受ける。そして、IPsec処理代理部14は、MID=00であるIKE_SA_INIT re
sponseをフェムト基地局2へ送信する(ステップS35)。
その後、IPsec処理代理部14は、第1フェーズ(Ph1)の接続を確立する(ステップS36)。
次に、IPsec処理代理部14は、MID=01であるIKE_AUTH requestをフェムト基地局2から受信する(ステップS37)。
そして、IPsec処理代理部14は、ユーザ認証成功を通知するMID=01であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS38)。
次に、IPsec処理代理部14は、パスワード認証を要求するMID=02であるIKE_AUTH requestをフェムト基地局2から受信する(ステップS39)。
次に、IPsec処理代理部14は、パスワード認証成功を通知するMID=02であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS40)。
次に、IPsec処理代理部14は、IPsec接続の確立が可能か否かの判定要求でありMID=03であるIKE_AUTH requestをフェムト基地局2から受信する(ステップS41)。
次に、IPsec処理代理部14は、IPsec接続の確立可能を通知するMID=03であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS42)。
そして、IPsec処理代理部14は、第2フェーズ(Ph2)の接続を確立する(ステップS43)。
これにより、IPsec処理代理部14は、セキュリティGW装置1と未契約フェムトであるフェムト基地局2との間に偽IPsec接続を確立する(ステップS44)。
次に、図15を参照して、本実施例に係るセキュリティGW装置1におけるIPsec確立シーケンスの処理の流れを説明する。図15は、実施例2に係るセキュリティGW装置におけるIPsec確立シーケンスのシーケンス図である。
振分処理部13は、MID=00であるIKE_SA_INIT requestをフェムト基地局2から受信する(ステップS301)。
次に、振分処理部13は、MID=00であるIKE_SA_INIT requestをIPsec処理部11へ転送する(ステップS302)。
IPsec処理部11は、振分処理部13から受信したMID=00であるIKE_SA_INIT requestから送信元のフェムト基地局2のMACアドレスを取得する。そして、IPsec処理部11は、取得したMACアドレスを契約者情報確認依頼とともに契約者情報管理部15へ送信する(ステップS303)。
契約者情報管理部15は、IPsec処理部11から取得したMACアドレスが契約者リスト16に存在するか否かを判定する(ステップS304)。
MACアドレスが契約者リスト16に存在する場合(ステップS304:肯定)、契約者情報管理部15は、MACアドレスが契約者リスト16に存在することをIPsec処理部11に通知する(ステップS305)。
IPsec処理部11は、契約者リスト16にMACアドレスが存在する通知を受けて、MID=00のIKE_SA_INIT responseをフェムト基地局2へ送信する(ステップS306)。
そして、IPsec処理部11は、フェムト基地局2との間に第1フェーズ(Ph1)の接続を確立する(ステップS307)。
これに対して、MACアドレスが契約者リスト16に存在しない場合(ステップS304:否定)、契約者情報管理部15は、MACアドレスが契約者リスト16に存在しないことをIPsec処理部11に通知する(ステップS308)。
IPsec処理部11は、契約者リスト16にMACアドレスが存在しない通知を受けて、IPsec接続の確立の代理依頼をIPsec処理代理部14へ送信する(ステップS309)。
IPsec処理代理部14は、IPsec接続の確立の代理依頼をIPsec処理部11から受ける。そして、IPsec処理代理部14は、MACアドレスが契約者リスト16に存在しないフェムト基地局2のIPアドレス及びMACアドレスの振分テーブル12への登録を振分処理部13へ依頼する(ステップS310)。
振分処理部13は、IPsec処理代理部14からの依頼を受けて、MACアドレスが契約者リスト16に存在しないフェムト基地局2のIPアドレス及びMACアドレスを振分テーブル12へ登録する(ステップS311)。
次に、IPsec処理代理部14は、MID=00のIKE_SA_INIT responseをフェムト基地局2へ送信する(ステップS312)。
そして、IPsec処理代理部14は、フェムト基地局2との間に第1フェーズ(Ph1)の接続を確立する(ステップS313)。
次に、振分処理部13は、MID=01であるIKE_AUTH requestをフェムト基地局2から受信する(ステップS314)。
そして、振分処理部13は、振分テーブル12に送信元のフェムト基地局2のIPアドレスが存在するか否かを判定する(ステップS315)。
振分テーブル12に送信元のフェムト基地局2のIPアドレスが存在しない場合(ステップS315:否定)、振分処理部13は、MID=01であるIKE_AUTH requestをIPsec処理部11へ転送する(ステップS316)。
IPsec処理部11は、MID=01であるIKE_AUTH requestを振分処理部13から受信する。次に、IPsec処理部11は、契約者IDを送信してRadius認証をRadiusサーバ3に依頼する(ステップS317)。
その後、IPsec処理部11は、Radius認証の結果をRadiusサーバ3から受信する。そして、IPsec処理部11は、Radius認証が成功したか否かを判定する(ステップS318)。
Radius認証が成功した場合(ステップS318:肯定)、IPsec処理部11は、MID=01であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS319)。
これに対して、Radius認証が失敗した場合(ステップS318:否定)、IPsec処理部11は、IPsec接続の確立が失敗したと判定し処理を終了する(ステップS320)。
一方、振分テーブル12に送信元のフェムト基地局2のIPアドレスが存在する場合(ステップS315:肯定)、振分処理部13は、MID=01であるIKE_AUTH requestをIPsec処理代理部14へ転送する(ステップS321)。
IPsec処理代理部14は、MID=01であるIKE_AUTH requestを振分処理部13から受信する。そして、IPsec処理代理部14は、MID=01であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS322)。
次に、振分処理部13は、MID=02であるIKE_AUTH requestをフェムト基地局2から受信する(ステップS323)。
次に、振分処理部13は、MID=02であるIKE_AUTH requestの送信元のフェムト基地局2のIPアドレスが振分テーブル12に存在するか否かを判定する(ステップS324)。
IPアドレスが振分テーブル12に存在しない場合(ステップS324:否定)、振分処理部13は、MID=02であるIKE_AUTH requestをIPsec処理部11へ転送する(ステップS325)。
IPsec処理部11は、MID=02であるIKE_AUTH requestを振分処理部13から受信する。次に、IPsec処理部11は、パスワードを送信してRadius認証をRadiusサーバ3に依頼する(ステップS326)。
その後、IPsec処理部11は、Radius認証の結果をRadiusサーバ3から受信する。そして、IPsec処理部11は、Radius認証が成功したか否かを判定する(ステップS327)。
Radius認証が成功した場合(ステップS327:肯定)、IPsec処理部11は、MID=02であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS328)。
これに対して、Radius認証が失敗した場合(ステップS327:否定)、IPsec処理部11は、IPsec接続の確立が失敗したと判定し処理を終了する(ステップS329)。
一方、IPアドレスが振分テーブル12に存在する場合(ステップS324:肯定)、振分処理部13は、MID=02であるIKE_AUTH requestをIPsec処理代理部14へ転送する(ステップS330)。
IPsec処理代理部14は、MID=02であるIKE_AUTH requestを振分処理部13から受信する。そして、IPsec処理代理部14は、MID=02であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS331)。
次に、振分処理部13は、MID=03であるIKE_AUTH requestをフェムト基地局2から受信する(ステップS332)。
次に、振分処理部13は、MID=03であるIKE_AUTH requestの送信元のフェムト基地局2のIPアドレスが振分テーブル12に存在するか否かを判定する(ステップS333)。
IPアドレスが振分テーブル12に存在しない場合(ステップS333:否定)、振分処理部13は、MID=03であるIKE_AUTH requestをIPsec処理部11へ転送する(ステップS334)。
IPsec処理部11は、MID=03であるIKE_AUTH requestを振分処理部13から受信する。その後、IPsec処理部11は、MID=03であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS335)。
そして、IPsec処理部11は、フェムト基地局2との間に第2フェーズ(Ph2)の接続を確立する(ステップS336)。
一方、IPアドレスが振分テーブル12に存在する場合(ステップS333:肯定)、振分処理部13は、MID=03であるIKE_AUTH requestをIPsec処理代理部14へ転送する(ステップS337)。
IPsec処理代理部14は、MID=03であるIKE_AUTH requestを振分処理部13から受信する。そして、IPsec処理代理部14は、MID=03であるIKE_AUTH responseをフェムト基地局2へ送信する(ステップS338)。
そして、IPsec処理代理部14は、フェムト基地局2との間に第2フェーズ(Ph2)の接続を確立する(ステップS339)。
次に、図16を参照して、本実施例に係るセキュリティGW装置1による偽IPsec接続の削除処理の流れについて説明する。図16は、実施例2に係るセキュリティGW装置による偽IPsec接続の削除処理のシーケンス図である。
契約者情報管理部15は、Radiusサーバ3において契約者リスト31が更新されると、契約者リスト31の差分の情報をRadiusサーバ3から受信する(ステップS401)。
次に、契約者情報管理部15は、取得した契約者リスト31の差分の情報を用いて契約者リスト16を更新する(ステップS402)。
次に、契約者情報管理部15は、更新した契約者リスト16において契約者IDが追加されたか否かを判定する(ステップS403)。
契約者IDが追加されていない場合(ステップS403:否定)、契約者情報管理部15は、契約者リスト16の更新処理を終了する。
これに対して、契約者IDが追加された場合(ステップS403:肯定)、契約者情報管理部15は、追加された契約者IDに対応するIPアドレス及びMACアドレスを振分処理部13へ送信する。
振分処理部13は、追加された契約者IDに対応するIPアドレス及びMACアドレスを契約者情報管理部15から受信する。
次に、振分処理部13は、取得したIPアドレス及びMACアドレスが振分テーブル12に存在するか否かを判定する(ステップS405)。
取得したIPアドレス及びMACアドレスが振分テーブル12に存在しない場合(ステップS405:否定)、振分処理部13は、振分テーブル12の更新処理を終了する。
これに対して、取得したIPアドレス及びMACアドレスが振分テーブル12に存在する場合(ステップS405:肯定)、振分処理部13は、取得したIPアドレス及びMACアドレスの情報を振分テーブル12から削除する(ステップS406)。
次に、振分処理部13は、振分テーブル12からの削除したIPアドレスをIPsec処理代理部14に通知する(ステップS407)。
IPsec処理代理部14は、振分テーブル12から削除されたIPアドレスの通知を振分処理部13から受ける。そして、IPsec処理代理部14は、取得したIPアドレスを有するフェムト基地局2との間で確立した偽IPsec接続を削除する(ステップS408)。
以上に説明したように、本実施例に係るセキュリティGW装置は、契約済みのフェムト基地局のMACアドレスを予め保持する。そして、セキュリティGW装置は、MACアドレスが埋め込まれたIKE_SA_INIT requestを受信し、送信元のフェムト基地局のMACアドレスを取得する。その後、セキュリティGW装置は、取得したMACアドレスを用いて送信元のフェムト基地局が未契約フェムトか否かを判定し、未契約フェムトの場合には、偽IPsec接続を確立する。これにより、本実施例に係るセキュリティGW装置は、契約者IDを用いたユーザ認証を要求するAccess−Request及びそれの応答のメッセージの送受信をRadiusサーバとの間で行わない。これにより、回線負荷をより軽減することができる。
(ハードウェア構成)
次に、図17を参照して、各実施例に係るフェムト基地局2のハードウェア構成について説明する。図17は、フェムト基地局のハードウェア構成図である。
フェムト基地局2は、アンプ21及び22、無線信号処理プロセッサ23及び24、ベースバンドプロセッサ25、並びに、ネットワークプロセッサ26を有する。
アンプ21及び22は、それぞれ異なるアンテナに繋がる。アンプ21及び22は、アンテナから受信した信号及びアンテナを介して送信する信号の増幅を行う。フェムト基地局2は、複数のアンテナを用いて多重化された無線信号を送信する。
無線信号処理プロセッサ23及び24は、符号化処理、復号化処理及び周波数変換などを行う。
ベースバンドプロセッサ25は、IPパケットと無線上に乗せるベースバンド信号との
変復調を行う。
ネットワークプロセッサ26は、セキュリティGW装置1との間のIPパケットの送受信の制御を行う。例えば、ネットワークプロセッサ26は、IPsec確立シーケンスにおけるIKEメッセージの送受信を行う。
次に、各実施例に係るセキュリティGW装置1のハードウェア構成について説明する。セキュリティGW装置1は、例えば、図18に示すハードウェアルータ910又は図19に示すサーバ920により実現される。図18は、ハードウェアルータのハードウェア構成図である。また、図19は、サーバのハードウェア構成図である。
セキュリティGW装置1を実現するハードウェアルータ910は、例えば、図18に示すように、インタフェースカード911及び912、IPsec制御モジュール913及び914を有する。
インタフェースカード911及び912は、フェムト基地局2、Radiusサーバ3及びMME4と通信するための通信インタフェースである。インタフェースカード911及び912は、スイッチファブリック915とフェムト基地局2、Radiusサーバ3及びMME4との通信を中継する。
スイッチファブリック915は、データの送受信におけるルーティングを行う。例えば、スイッチファブリック915は、インタフェースカード911又は912から入力された受信信号を、インタフェースカード911又は912を介して適切な宛先に向けて転送する。
制御カード916は、フェムト基地局2、Radiusサーバ3及びMME4のそれぞれの間の通信を制御する。例えば、制御カード916は、送受信されたパケットの優先順位などの制御を行う。
IPsec制御モジュール913及び914は、暗号化IPパケットの送受信に関する制御を実行する。IPsec制御モジュール913及び914は、例えば、図3及び10で例示した、IPsec処理部11、振分処理部13、IPsec処理代理部14及び契約者情報管理部15の機能を実現する。また、IPsec制御モジュール913及び914はメモリを有し、そのメモリの中に振分テーブル12を格納する。また、IPsec制御モジュール913及び914は、自己が有するメモリの中に契約者リスト16を格納する場合もある。
例えば、IPsec制御モジュール913及び914は、自己のメモリの中に図3及び10で例示した、IPsec処理部11、振分処理部13、IPsec処理代理部14及び契約者情報管理部15の機能を実現するプログラムを含む各種プログラムを保持する。そして、IPsec制御モジュール913及び914は、自己が保持する各種プログラムを実行することで、図3及び10で例示した、IPsec処理部11、振分処理部13、IPsec処理代理部14及び契約者情報管理部15の機能を実現する。
また、セキュリティGW装置1を実現するサーバ920は、例えば、図19に示すように、CPU921、メモリ922、NIC(Network Interface Card)923、HDD(Hard Disk Drive)924及びIPsecエンジン925を有する。
CPU921、メモリ922、NIC923、HDD924及びIPsecエンジン925は、バスで相互に通信可能に接続される。NIC923は、フェムト基地局2、Radiusサーバ3及びMME4との間で通信を行うためのインタフェースである。メモリ922は、振分テーブル12を格納する。また、メモリ922は、契約者リスト16を格納する場合もある。また、HDD924は、図3及び10で例示した、IPsec処理部11、振分処理部13、IPsec処理代理部14及び契約者情報管理部15の機能を実現するプログラムを含む各種プログラムを保持する。
CPU921は、HDD924に格納された各種プログラムをメモリ922上に展開して実行する。例えば、CPU921は、IPsec確立シーケンスにおける各種処理などをIPsecエンジン925に実行させる。これにより、IPsecエンジン925は、図3及び10で例示した、IPsec処理部11、振分処理部13、IPsec処理代理部14及び契約者情報管理部15の機能を実現する。
1 セキュリティGW装置
2 フェムト基地局
3 Radiusサーバ
4 MME
5 端末装置
11 IPsec処理部
12 振分テーブル
13 振分処理部
14 IPsec処理代理部
15 契約者情報管理部
16 契約者リスト
100 無線通信システム

Claims (7)

  1. 基地局装置から第1認証要求を受け付けて認証結果を取得し、前記基地局装置が認証された場合、前記基地局装置との間に第1通信経路を確立し、前記基地局装置との間で前記第1通信経路を用いた通信を行わせる通信制御部と、
    前記基地局装置が認証されなかった場合に、前記基地局装置との間に第2通信経路を確立する代理経路確立部と
    を備えたことを特徴とする通信制御装置。
  2. 前記通信制御部は、認証装置に前記基地局装置の認証処理を行わせ前記認証結果を取得することを特徴とする請求項1に記載の通信制御装置。
  3. 認証されない前記基地局装置を一意に識別する固定識別情報を保持する認証情報格納部をさらに備え、
    前記通信制御部は、前記第1認証要求より前に前記固定識別情報を前記基地局装置から取得し、認証情報格納部が保持する前記固定識別情報を基に、前記基地局装置の前記認証結果を取得する
    ことを特徴とする請求項1に記載の通信制御装置。
  4. 前記通信制御部は、前記基地局装置から送信された後続の第2認証要求を基に、前記第1通信経路を確立し、
    前記代理経路確立部は、前記第2認証要求を基に、前記第2通信経路を確立する
    ことを特徴とする請求項1〜3のいずれか一つに記載の通信制御装置。
  5. 前記基地局装置の前記認証結果を保持する情報保持部と、
    前記基地局装置から前記第2認証要求を受け付け、前記情報保持部が保持する前記認証結果を基に前記基地局装置が前記第1認証要求に対して認証されたか否かを判定し、前記基地局装置が認証されていない場合、前記代理経路確立部に前記第2認証要求を送信して前記第2通信経路を確立させる振分処理部と
    をさらに備えたことを特徴とする請求項4に記載の通信制御装置。
  6. 基地局装置から第1認証要求を受け付けて認証結果を取得し、
    前記基地局装置が認証された場合、前記基地局装置との間に第1通信経路を確立し、前記基地局装置との間に前記第1通信経路を用いて通信を行い、
    前記基地局装置が認証されなかった場合に、前記基地局装置との間に第2通信経路を確立する
    ことを特徴とする通信制御方法。
  7. 基地局装置、通信制御装置及び認証装置を有する無線通信システムであって、
    前記基地局装置は、前記通信制御装置へ第1認証要求を送信し、
    前記通信制御装置は、
    前記基地局装置から前記第1認証要求を受け付けて、前記認証装置に認証処理を行わせて認証結果を取得し、前記基地局装置が認証された場合、前記基地局装置との間に第1通信経路を確立し、前記基地局装置との間で前記第1通信経路を用いた通信を行わせる通信制御部と、
    前記基地局装置が認証されなかった場合に、前記基地局装置との間に第2通信経路を確立する代理経路確立部とを備え
    前記認証装置は、前記通信制御装置からの指示を受けて前記基地局装置に対する前記認証処理を行い、前記認証結果を前記通信制御装置へ送信する
    ことを特徴とする無線通信システム。
JP2018237785A 2018-12-19 2018-12-19 通信制御装置、通信制御方法及び無線通信システム Active JP7183764B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018237785A JP7183764B2 (ja) 2018-12-19 2018-12-19 通信制御装置、通信制御方法及び無線通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018237785A JP7183764B2 (ja) 2018-12-19 2018-12-19 通信制御装置、通信制御方法及び無線通信システム

Publications (2)

Publication Number Publication Date
JP2020102670A true JP2020102670A (ja) 2020-07-02
JP7183764B2 JP7183764B2 (ja) 2022-12-06

Family

ID=71139924

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018237785A Active JP7183764B2 (ja) 2018-12-19 2018-12-19 通信制御装置、通信制御方法及び無線通信システム

Country Status (1)

Country Link
JP (1) JP7183764B2 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010161638A (ja) * 2009-01-08 2010-07-22 Fujitsu Ltd 通信サーバ、無線基地局、通信システムおよび通信方法
JP2012089911A (ja) * 2010-10-15 2012-05-10 Seiko Epson Corp 無線通信装置、周辺装置、無線通信接続方法、及び無線通信接続プログラム
JP2012156669A (ja) * 2011-01-25 2012-08-16 Nippon Telegraph & Telephone West Corp 無線基地局装置および送信信号制御方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010161638A (ja) * 2009-01-08 2010-07-22 Fujitsu Ltd 通信サーバ、無線基地局、通信システムおよび通信方法
JP2012089911A (ja) * 2010-10-15 2012-05-10 Seiko Epson Corp 無線通信装置、周辺装置、無線通信接続方法、及び無線通信接続プログラム
JP2012156669A (ja) * 2011-01-25 2012-08-16 Nippon Telegraph & Telephone West Corp 無線基地局装置および送信信号制御方法

Also Published As

Publication number Publication date
JP7183764B2 (ja) 2022-12-06

Similar Documents

Publication Publication Date Title
JP3955025B2 (ja) 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ
CA2413944C (en) A zero-configuration secure mobility networking technique with web-base authentication method for large wlan networks
JP3869392B2 (ja) 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体
KR100949355B1 (ko) 통신방법, 이동 에이전트 장치, 및 홈 에이전트 장치
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
US20100251330A1 (en) Optimized relaying of secure network entry of small base stations and access points
US8566590B2 (en) Encryption information transmitting terminal
JP2006203300A (ja) 転送装置、アクセス可否判定方法およびプログラム
US10887754B2 (en) Method of registering a mobile terminal in a mobile communication network
JP2016053967A (ja) 中継機、無線通信システムおよび無線通信方法
JP2007006248A (ja) リモートアクセス方法、およびリモートアクセスシステム
WO2013189398A2 (zh) 应用数据推送方法、装置及系统
JP5980733B2 (ja) モバイルトラフィックのオフロードシステム
US8191153B2 (en) Communication system, server apparatus, information communication method, and program
JP7183764B2 (ja) 通信制御装置、通信制御方法及び無線通信システム
CN102006581B (zh) Ip地址强制续约的方法及装置
Haverinen et al. Authentication and key generation for mobile IP using GSM authentication and roaming
JP2021022830A (ja) 通信装置、通信システム、通信方法、およびプログラム
US20110153819A1 (en) Communication system, connection apparatus, information communication method, and program
JP4371249B1 (ja) 通信システム、サーバ装置、情報通知方法、プログラム
JP5359677B2 (ja) ローミングシステム、無線基地局、並びに通信制御方法及びプログラム
JP7351498B2 (ja) 通信システム及び通信制御方法
KR100588353B1 (ko) 사용자 인증처리방법 및 이를 수행하는 라우터
JP2014158077A (ja) 通信サービス提供システムおよびその方法
JP2010537491A (ja) モバイルIPv4用の新しいDiameterシグナリング

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210909

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220615

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220621

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220818

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221025

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221107

R150 Certificate of patent or registration of utility model

Ref document number: 7183764

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150