JP2022076669A - 情報処理装置、情報処理プログラム、及び通信システム - Google Patents

情報処理装置、情報処理プログラム、及び通信システム Download PDF

Info

Publication number
JP2022076669A
JP2022076669A JP2020187160A JP2020187160A JP2022076669A JP 2022076669 A JP2022076669 A JP 2022076669A JP 2020187160 A JP2020187160 A JP 2020187160A JP 2020187160 A JP2020187160 A JP 2020187160A JP 2022076669 A JP2022076669 A JP 2022076669A
Authority
JP
Japan
Prior art keywords
terminal
information
relay device
specific information
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020187160A
Other languages
English (en)
Inventor
一郎 杉山
Ichiro Sugiyama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujifilm Business Innovation Corp filed Critical Fujifilm Business Innovation Corp
Priority to JP2020187160A priority Critical patent/JP2022076669A/ja
Priority to US17/306,970 priority patent/US11765132B2/en
Publication of JP2022076669A publication Critical patent/JP2022076669A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/20Handling requests for interconnection or transfer for access to input/output bus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

【課題】、携帯キャリアネットワークと特定のネットワークを専用線で接続する場合よりも安価な費用で、端末と特定のネットワークの間における通信の安全性を確保した通信環境を構築する。【解決手段】ガイドポスト31は、AMF32により回線認証済みのUE2から端末固有情報を受け付けた場合、ローカルネットワーク6への接続先として端末固有情報と対応付けられている仮想GW5への接続情報をUE2に送信し、UE2が仮想GW5への接続情報を用いて、携帯キャリアネットワーク3Bに接続されたインターネット4上の仮想GW5に接続し、仮想GW5との間で端末認証が成功した場合にUE2と仮想GW5がVPN接続を行うように導く。【選択図】図1

Description

本発明は、情報処理装置、情報処理プログラム、及び通信システムに関する。
特許文献1には、少なくとも1つのユーザ端末認証及び承認手段及び少なくとも1つのゲートウェイノードを有する少なくとも1つのセルラパケット交換ネットワークと、少なくとも1台のユーザ端末と通信している無線ローカルエリアネットワーク又は他のローカルネットワークとを通じて接続を確立する方法であって、前記無線ローカルエリアネットワーク又は他のローカルネットワーク経由でユーザ端末の接続を認証するステップと、前記認証するステップにおいて、前記少なくとも1つのゲートウェイノードの中の1つを選択するステップと、前記選択されたゲートウェイノードのトンネルパラメータ情報を前記無線ローカルエリアネットワーク又は他のローカルネットワークへシグナリングするステップと、前記トンネルパラメータ情報に基づいて前記無線ローカルエリアネットワーク又は他のローカルネットワークと前記選択されたゲートウェイノードとの間にトンネル接続を作るステップと、を備える方法が開示されている。
特許第3984993号公報
例えばユーザが外出先で、ユーザの勤務先の社内LAN(Local Area Network)に接続したい状況が発生した場合、ユーザは、スマートフォン等の端末から通信事業者が提供する携帯キャリアネットワークを経由して社内LANに接続することがある。
こうした場合、社内LANに接続された記憶装置に記憶される情報が社内LANの外部に送信される。
携帯キャリアネットワーク内は通信事業者が通信の安全性を担保しているが、社内LANのように特定の組織内で閉じた特定のネットワークと携帯キャリアネットワークを接続する回線は通信事業者の管轄外となる。したがって、従来は携帯キャリアネットワークと特定のネットワークを専用線で接続して通信の安全性を確保していた。
本発明は、携帯キャリアネットワークと特定のネットワークを専用線で接続する場合よりも安価な費用で、端末と特定のネットワークの間における通信の安全性を確保した通信環境を構築することができる情報処理装置、情報処理プログラム、及び通信システムを提供することを目的とする。
第1態様に係る情報処理装置は、プロセッサを備え、前記プロセッサは、通信事業者の通信設備により回線認証済みの端末から端末固有情報を受け付けた場合、ローカルネットワークへの接続先として前記端末固有情報と対応付けられている中継装置への接続情報を前記端末に送信し、前記端末が前記中継装置への接続情報を用いて、前記通信事業者によって提供される携帯キャリアネットワークに接続された公衆回線上の前記中継装置に接続し、前記中継装置との間で端末認証が成功した場合に前記端末と前記中継装置がVPN接続を行うように導く。
第2態様に係る情報処理装置は、第1態様に係る情報処理装置において、前記プロセッサは、前記中継装置との間で予め端末認証に成功した前記端末の前記端末固有情報と、前記端末の端末認証を行った前記中継装置の対応付けを参照して、前記端末固有情報と対応付けられている前記中継装置への接続情報を前記端末に送信する。
第3態様に係る情報処理装置は、第2態様に係る情報処理装置において、前記プロセッサは、前記端末固有情報と前記中継装置との対応付けを、端末認証に成功した前記端末、又は前記中継装置を管理する管理者から受け付ける。
第4態様に係る情報処理装置は、第1態様~第3態様の何れかの態様に係る情報処理装置において、前記プロセッサは、前記端末の記憶装置に予め記憶されている前記端末固有情報を受け付ける。
第5態様に係る情報処理装置は、第1態様~第4態様の何れかの態様に係る情報処理装置において、前記プロセッサは、前記通信事業者の通信設備における制御プレーンの内部バスを通じて前記端末固有情報を受け付けると共に、前記内部バスを通じて前記中継装置への接続情報を前記端末に送信する。
第6態様に係る情報処理プログラムは、コンピュータに、通信事業者の通信設備により回線認証済みの端末から端末固有情報を受け付けた場合、ローカルネットワークへの接続先として前記端末固有情報と対応付けられている中継装置への接続情報を前記端末に送信し、前記端末が前記中継装置への接続情報を用いて、前記通信事業者によって提供される携帯キャリアネットワークに接続された公衆回線上の前記中継装置に接続し、前記中継装置との間で端末認証が成功した場合に前記端末と前記中継装置がVPN接続を行うように導く処理を実行させるプログラムである。
第7態様に係る通信システムは、端末固有情報を有する端末と、通信事業者の通信設備と接続された公衆回線とローカルネットワークを中継する中継装置と、前記通信事業者の通信設備により回線認証済みの前記端末から端末固有情報を受け付けた場合、前記端末固有情報と対応付けられている前記中継装置への接続情報を前記端末に送信する情報処理装置と、を含み、前記中継装置は、接続情報を受信した前記端末から前記公衆回線を通じて前記端末固有情報を受け付けた場合、受け付けた前記端末固有情報を用いて前記端末の端末認証を行い、端末認証に成功した前記端末との間でVPN接続を行い、前記端末と前記ローカルネットワークを接続する。
第8態様に係る通信システムは、第7態様に係る通信システムにおいて、前記情報処理装置は、前記中継装置との間で予め端末認証に成功した前記端末の前記端末固有情報と、前記端末の端末認証を行った前記中継装置の対応付けを参照して、前記端末固有情報と対応付けられている前記中継装置への接続情報を前記端末に送信する。
第9態様に係る通信システムは、第8態様に係る通信システムにおいて、前記情報処理装置は、前記端末固有情報と前記中継装置との対応付けを、端末認証に成功した前記端末、又は前記中継装置を管理する管理者から受け付ける。
第10態様に係る通信システムは、第7態様~第9態様の何れかの態様に係る通信システムにおいて、前記端末は、前記中継装置による端末認証に成功した前記端末固有情報を記憶装置に格納し、前記情報処理装置に前記端末固有情報を送信する場合、前記記憶装置に予め格納されている前記端末固有情報を送信する。
第11態様に係る通信システムは、第10態様に係る通信システムにおいて、前記端末は、前記通信事業者の通信設備に接続する機能を有する場合、前記端末固有情報を前記端末のSIMカードに記憶する。
第12態様に係る通信システムは、第10態様に係る通信システムにおいて、前記端末は、前記通信事業者の通信設備に接続する機能を有しない場合、前記端末固有情報を前記端末の不揮発性メモリに記憶する。
第13態様に係る通信システムは、第12態様に係る通信システムにおいて、前記端末は、前記通信事業者の通信設備に接続する機能を有するルーターを経由して、前記情報処理装置及び前記中継装置に前記端末固有情報を送信する。
第14態様に係る通信システムは、第7態様~第13態様の何れかの態様に係る通信システムにおいて、前記情報処理装置は、前記通信事業者の通信設備における制御プレーンの内部バスを通じて前記端末固有情報を受け付けると共に、前記内部バスを通じて前記中継装置への接続情報を前記端末に送信する。
第1態様、第6態様、及び第7態様によれば、携帯キャリアネットワークと特定のネットワークを専用線で接続する場合よりも安価な費用で、端末と特定のネットワークの間における通信の安全性を確保した通信環境を構築することができる、という効果を有する。
第2態様によれば、端末認証が行われている端末からの接続要求に対してのみ、端末認証を行った中継装置への接続情報を通知することができる、という効果を有する。
第3態様によれば、中継装置で端末認証が行われた端末と端末認証を行った中継装置との組み合わせに関する情報を、インターネットに接続された記憶装置に記憶しておく場合よりも安全に管理することができる、という効果を有する。
第4態様によれば、ユーザが中継装置の接続情報を端末に入力しなくても、端末を特定のネットワークに接続することができる、という効果を有する。
第5態様によれば、プロセッサがインターネットを経由して端末固有情報及び接続情報を授受する場合と比較して、悪意あるユーザによってもたらされる端末固有情報及び接続情報の改ざんや漏えいのリスクを低減することができる、という効果を有する。
第8態様によれば、端末認証が行われている端末からの接続要求に対してのみ、端末認証を行った中継装置への接続情報を通知する通信システムを構築することができる、という効果を有する。
第9態様によれば、中継装置で端末認証が行われた端末と端末認証を行った中継装置との組み合わせに関する情報を、インターネットに接続された記憶装置に記憶しておく場合よりも安全に管理する通信システムを構築することができる、という効果を有する。
第10態様によれば、ユーザが中継装置の接続情報を端末に入力しなくても、端末が特定のネットワークに接続可能な通信システムを構築することができる、という効果を有する。
第11態様によれば、SIMカードからの接続情報の読み取りに制限をかけることができる、という効果を有する。
第12態様によれば、携帯キャリアネットワークに直接接続することができない端末であっても、ユーザは中継装置の接続情報を端末に入力することなく、端末を特定のネットワークに接続することができる、という効果を有する。
第13態様によれば、携帯キャリアネットワークに直接接続することができない端末であっても、ルーター経由で端末を特定のネットワークに接続することができる、という効果を有する。
第14態様によれば、情報処理装置がインターネットを経由して端末固有情報及び接続情報を授受する場合と比較して、悪意あるユーザによってもたらされる端末固有情報及び接続情報の改ざんや漏えいのリスクを低減する通信システムを構築することができる、という効果を有する。
通信システムの構成例を示す図である。 通信設備の機能構成例を示す図である。 携帯キャリアネットワークに直接接続する機能を有する端末の端末認証成功時における登録処理の一例を示すシーケンス図である。 携帯キャリアネットワークに直接接続する機能を有する端末の端末認証失敗時における登録処理の一例を示すシーケンス図である。 携帯キャリアネットワークに直接接続する機能を有していない端末の端末認証成功時における登録処理の一例を示すシーケンス図である。 携帯キャリアネットワークに直接接続する機能を有していない端末の端末認証失敗時における登録処理の一例を示すシーケンス図である。 ガイドポスト及びAMFにおける電気系統の要部構成例を示す図である。 携帯キャリアネットワークに直接接続する機能を有する端末によるローカルネットワークへの接続処理の一例を示すシーケンス図である。 AMFにおけるセッション確立処理の一例を示すフローチャートである。 ガイドポストにおけるセッション確立処理の一例を示すフローチャートである。 携帯キャリアネットワークに直接接続する機能を有していない端末によるローカルネットワークへの接続処理例の前半部分を示すシーケンス図である。 携帯キャリアネットワークに直接接続する機能を有していない端末によるローカルネットワークへの接続処理例の後半部分を示すシーケンス図である。
以下、本実施の形態について図面を参照しながら説明する。なお、同じ構成要素及び同じ処理には全図面を通して同じ符号を付与し、重複する説明を省略する。
図1は、本実施形態に係る通信システム1の構成例を示す図である。図1に示すように、通信システム1はUE2、通信事業者の通信設備3、及び仮想ゲートウェイ装置(以降、「仮想GW5」と表す)を含む。
UE2とは、ユーザが利用する端末であり、無線回線を通じてデータを送受信する通信機能を有するものであればその種類を問わない。例えば、スマートフォン、タブレット、ウェアラブル端末、ルーター、及びカーナビゲーション装置はUE2の一例である。
UE2には、端末を一意に識別するための端末固有情報が割り当てられており、各々のUE2は端末固有情報を記憶している。端末を一意に識別することができるものであれば端末固有情報はどのような情報であってもよく、例えばMACアドレス(Media Access Control address)やUE2の製造番号が用いられる。
通信設備3とは、無線通信サービスを提供する通信事業者によって管理される設備であり、制御システム3A及び携帯無線通信網(以降、「携帯キャリアネットワーク3B」と表す)を含む。
制御システム3Aは「コアネットワーク(Core Network:CN)」とも呼ばれ、交換機や無線通信サービスの加入者情報を管理する管理装置を含み、回線制御及びデータ送受信処理を行ってユーザに無線通信サービスを提供する。
携帯キャリアネットワーク3Bは「Radio Access Network:RAN」とも呼ばれ、複数の基地局によって構築された通信網である。携帯キャリアネットワーク3BはUE2の他、外部ネットワークの一例であるインターネット4のような公衆回線にも接続される。
仮想GW5はインターネット4とローカルネットワーク6を中継する中継装置であり、インターネット4に接続された図示しない外部装置からの不正アクセスによって、ローカルネットワーク6に接続されたネットワーク機器7からの情報漏えい、及びネットワーク機器7に保持されるデータの改ざんが起きないように防御する。
ローカルネットワーク6とは、特定の組織内で閉じたネットワークのことであり、例えば企業の社内LAN及び家庭内のホームネットワーク、並びに、学校、病院、及び自治体といった公共施設のネットワークに相当する。
すなわちUE2とローカルネットワーク6に接続されたネットワーク機器7は、携帯キャリアネットワーク3B及びインターネット4を経由して接続される。ただし、仮想GW5は不正アクセスを防御するため、特定のUE2のみローカルネットワーク6への接続を許可する。そのため、仮想GW5は、初めて接続してきたUE2に対して端末認証を行い、端末認証に成功したUE2をローカルネットワーク6に接続可能な端末として登録する。以降、UE2からの接続要求毎に端末認証に成功したUE2であるか確認して、ローカルネットワーク6への接続の可否を判定する。端末認証に係る処理については後ほど詳細に説明する。
なお、UE2には、通信事業者が提供する無線通信サービスに準拠した通信プロトコルを有し、携帯キャリアネットワーク3Bに接続することができるUE2Aと、当該通信プロトコルを有していないUE2Bが存在する。したがって、UE2Bをローカルネットワーク6のネットワーク機器7に接続するためには、UE2BはWiFi(登録商標)やブルートゥース(登録商標)といった通信形態によってUE2Aに接続し、UE2A経由でネットワーク機器7と接続する。以降では、UE2AとUE2Bを区別する必要がない場合、「UE2」と表すことにする。また、UE2BがUE2Aに接続する通信形態を「ローカル通信」ということにする。
図2は、通信設備3の機能構成例を示す図である。本実施形態では、一例として「5G」と呼ばれる第5世代移動通信システムの機能構成例を用いて通信設備3の説明を行うが、通信設備3は5Gに限定されるものではない。通信設備3は5G以外の他の世代の移動通信システムを実現する機能構成を有してもよい。
5Gの場合、携帯キャリアネットワーク3BはNG-RAN(Next Generation-RAN)3B-1として構成される。また、制御システム3AはC-プレーンとU-プレーンによって構成される。
C-プレーンとは、通信の確立及び切断といった通信制御を行う機能部であり「制御プレーン」とも呼ばれる。U-プレーンとは、C-プレーンの制御に従ってUE2及び仮想GW5が送受信するユーザデータの転送を行う機能部であり、「ユーザプレーン」とも呼ばれる。ユーザデータとは、UE2と仮想GW5との間で送受信されるデータのことである。
C-プレーンには、例えばガイドポスト31、AMF(Access and Mobility Management Function)32、及びSMF(Session Management Function)33が含まれ、ガイドポスト31、AMF32、及びSMF33はC-プレーンの内部バス35を通じて各々接続されている。
ガイドポスト31は情報処理装置の一例であり、仮想GW5との間で予め端末認証に成功したUE2の端末固有情報と、UE2の端末認証を行った仮想GW5への接続情報との対応付けを含む接続情報テーブルを保持している。
UE2から見た場合、ローカルネットワーク6は携帯キャリアネットワーク3B及びインターネット4を経由して接続することになるため、UE2がローカルネットワーク6に接続するためには、通信設備3に携帯キャリアネットワーク3Bとインターネット4との間でデータ転送を行うためのセッションを確立してもらう必要がある。すなわち、携帯キャリアネットワーク3Bを経由してローカルネットワーク6に接続することができるのは、通信設備3で回線認証に成功したUE2だけとなる。そのため、UE2はローカルネットワーク6に接続する前に、制御システム3Aに対してセッション確立要求を行う。
ガイドポスト31は、セッション確立要求に付加されている端末固有情報と対応付けられた仮想GW5の接続情報が接続情報テーブルに存在する場合、当該接続情報を接続情報テーブルから取得する。その上で、ガイドポスト31は取得した接続情報をC-プレーンの内部バス35を通じてAMF32に通知し、セッション確立要求を行ったUE2が接続情報によって表される仮想GW5と接続できるようにUE2を誘導する。
AMF32はNG-RAN3B-1と接続され、UE2のIMSI(International Mobile Subscriber Identity)を用いた回線認証及びモビリティ管理等の機能を提供する。AMF32はUE2からセッション確立要求を受け付けた場合、セッション確立要求に付加されている端末固有情報やIMSIをC-プレーンの内部バス35を通じてガイドポスト31に通知する。
SMF33はU-プレーンのUPF34と接続され、UE2のセッション管理や、UE2と仮想GW5間でデータ転送を行うためのUPFの選択と制御を行う。
以降では一例として、ガイドポスト31、AMF32、及びSMF33がそれぞれ独立したコンピュータで構成される前提で説明を行うが、C-プレーンに含まれる各機能部をどのようなコンピュータ構成によって実現するかについての制約はない。
一方、U-プレーンには、例えばUPF(User Plane Function)34が含まれる。
UPF34は、NG-RAN3B-1とインターネット4との間で相互にユーザデータの転送を行う。
次に、UE2をローカルネットワーク6に接続可能な端末として仮想GW5に登録するための登録処理のシーケンスについて説明する。
図3は、UE2のうち、携帯キャリアネットワーク3Bに直接接続する機能を有するUE2Aにおける登録処理の一例を示すシーケンス図である。
なお、UE2Aが登録を行いたい仮想GW5への接続情報は最初だけUE2AのユーザがUE2Aに入力し、制御システム3AではUE2Aに対する回線認証が完了しているものとする。また、UE2A及び仮想GW5はそれぞれ公開鍵と秘密鍵からなる鍵ペアを生成しており、UE2Aは仮想GW5の公開鍵を保持し、仮想GW5はUE2Aの公開鍵を保持しているものとする。
UE2Aは、自身の端末固有情報及びIMSIを含む登録要求に自身の秘密鍵を用いて電子署名を行い、通信設備3経由で登録要求を仮想GW5に送信する(図3:F1及びF2参照)。
登録要求を受け付けた仮想GW5は、UE2Aの公開鍵を用いて電子署名を検証し、登録要求が公開鍵に対応したUE2Aからの要求であることを確認する。更に、仮想GW5は、登録要求に含まれる端末固有情報を用いて、ローカルネットワーク6への接続が許可されているUE2Aからの要求であるか否かを判定する端末認証を行う。
具体的には、仮想GW5は、ローカルネットワーク6への接続が許可されているUE2の端末固有情報が記載された接続許可テーブルを参照し、登録要求を行ったUE2Aの端末固有情報が接続許可テーブルに含まれているか否かを判定することで端末認証を行う。
端末認証の結果、登録要求を行ったUE2Aの端末固有情報が接続許可テーブルに含まれている場合、仮想GW5は端末認証に成功したと判定し、UE2Aをローカルネットワーク6への接続を許可する許可端末として登録する。
その上で、仮想GW5は、UE2Aが許可端末として登録されたことを通知する登録情報を生成する。この場合の登録情報は、仮想GW5の名称、IPアドレス、及びポート番号といった仮想GW5への接続情報、並びに、許可端末として登録したUE2Aの端末固有情報及びIMSIを対応付けた情報となる。
仮想GW5は、生成した登録情報に仮想GW5の秘密鍵による電子署名を行った上で、電子署名付きの登録情報を通信設備3経由で登録要求の送信元であるUE2Aに送信する(図3:F3及びF4参照)。この場合、仮想GW5は公知の暗号化手法を用いて登録情報を暗号化することが好ましい。
登録情報を受け取ったUE2Aは、登録情報の電子署名を用いて登録情報が登録要求を行った仮想GW5から送信された情報であることを確認した上で、登録情報を記憶装置の一例であるUE2AのSIMカードに記憶する。
一方、UE2Aを許可端末として登録した仮想GW5は、仮想GW5の管理者に生成した登録情報を出力する。登録情報を出力するとは、仮想GW5の管理者に対して登録情報を認識可能な状態にならしめることである。具体的には、仮想GW5に接続される表示装置に登録情報を文字で表示したり、仮想GW5に接続される画像形成装置で登録情報を用紙に印字したり、仮想GW5の管理者が読み取り権限を有する記憶装置に登録情報を記憶することをいう。
仮想GW5の管理者は、仮想GW5が出力した登録情報を人手で制御システム3A内のガイドポスト31に入力する。ガイドポスト31に入力した登録情報は接続情報テーブルに反映される。
このように、人手で登録情報をガイドポスト31に入力することで、インターネット4上で登録情報が送受信される回数が減少することになるため、仮想GW5がインターネット4を経由して登録情報をガイドポスト31に送信する場合と比較して、仮想GW5への接続情報が漏えいする確率が減少することになる。
なお、仮想GW5の管理者が登録情報を人手でガイドポスト31に入力する代わりに、UE2Aが仮想GW5から受信した登録情報を、携帯キャリアネットワーク3B経由でガイドポスト31に送信してもよい。携帯キャリアネットワーク3Bは通信事業者によってインターネット4よりも通信の安全性が確保されているため、仮想GW5がインターネット4を経由して登録情報をガイドポスト31に送信する場合と比較して、仮想GW5への接続情報が漏えいする確率が減少することになる。
以上により、仮想GW5へのUE2Aの登録処理が終了する。
これに対して図4は、仮想GW5でUE2Aに対する端末認証に失敗した場合の登録処理の一例を示すシーケンス図である。
図4に示すように、仮想GW5はUE2Aに対する端末認証に失敗した場合、UE2Aから受け付けた登録要求を破棄して登録処理を終了する。したがって、端末認証に失敗したUE2Aには登録情報が生成されず、その結果、端末認証に失敗したUE2AとUE2Aが登録要求を行った仮想GW5への接続情報との対応付けはガイドポスト31が管理する接続情報テーブルに反映されないことになる。
一方、図5は、携帯キャリアネットワーク3Bに直接接続する機能を有していないUE2Bにおける登録処理の一例を示すシーケンス図である。既に説明したように、UE2Bはローカル通信でUE2Aに接続し、UE2A経由で仮想GW5と接続することになる。この場合、UE2Aはルーターとして機能する。
なお、UE2Bが登録を行いたい仮想GW5への接続情報は最初だけUE2BのユーザがUE2Bに入力し、制御システム3AではUE2Aに対する回線認証が完了しているものとする。また、UE2A、UE2B、及び仮想GW5はそれぞれ公開鍵と秘密鍵からなる鍵ペアを生成しており、UE2Bは仮想GW5の公開鍵を保持し、仮想GW5はUE2A及びUE2Bの公開鍵を保持しているものとする。
UE2Bは自身の端末固有情報を含む登録要求に自身の秘密鍵を用いて電子署名を行い、ローカル通信によってUE2Aに登録要求を送信する(図5:F0参照)。
UE2Bから登録要求を受け付けたUE2Aは、登録要求に電子署名を行った自身のIMSIを付加し、通信設備3経由で登録要求を仮想GW5に送信する(図5:F1及びF2参照)。
登録要求を受け付けた仮想GW5は、UE2A及びUE2Bの公開鍵を用いて各々の電子署名を検証し、登録要求がUE2Aを経由してUE2Bから送信された要求であることを確認する。更に、仮想GW5は、登録要求に含まれるUE2Bの端末固有情報が接続許可テーブルに含まれているか否かを判定することでUE2Bの端末認証を行う。
端末認証の結果、登録要求を行ったUE2Bの端末固有情報が接続許可テーブルに含まれている場合、仮想GW5は端末認証に成功したと判定し、UE2Bをローカルネットワーク6への接続を許可する許可端末として登録する。その上で、仮想GW5は、UE2Bの登録情報を生成する。
この場合の登録情報は、仮想GW5への接続情報、許可端末として登録したUE2Bの端末固有情報、及びUE2Bのデータを中継するUE2AのIMSIを対応付けた情報となる。
仮想GW5は、生成した登録情報に仮想GW5の秘密鍵による電子署名を行った上で、電子署名付きの登録情報を通信設備3経由で登録要求の送信元であるUE2Aに送信する(図5:F3及びF4参照)。この場合、仮想GW5は公知の暗号化手法を用いて登録情報を暗号化することが好ましい。
登録情報を受け取ったUE2Aは、ローカル通信によってUE2Bに登録情報を転送する(図5:F5参照)。
登録情報を受け取ったUE2Bは、登録情報の電子署名を用いて登録情報が登録要求を行った仮想GW5から送信された情報であることを確認した上で、登録情報を記憶装置の一例であるUE2Bの不揮発性メモリに記憶する。
一方、UE2Bを許可端末として登録した仮想GW5は、仮想GW5の管理者に生成した登録情報を出力する。
仮想GW5の管理者は、仮想GW5が出力した登録情報を人手で制御システム3A内のガイドポスト31に入力するが、UE2Bが仮想GW5から受信した登録情報を、UE2Aを通じて携帯キャリアネットワーク3B経由でガイドポスト31に送信してもよい。
なお、仮想GW5は、必ずしも登録情報に仮想GW5への接続情報を含めなくてもよい。この場合、仮想GW5の管理者は、登録情報と仮想GW5への接続情報とを対応付けた情報を人手で制御システム3A内のガイドポスト31に入力する。
以上により、仮想GW5へのUE2Bの登録処理が終了する。
これに対して図6は、仮想GW5でUE2Bに対する端末認証に失敗した場合の登録処理の一例を示すシーケンス図である。
図6に示すように、仮想GW5はUE2Bに対する端末認証に失敗した場合、UE2Bから受け付けた登録要求を破棄して登録処理を終了する。したがって、端末認証に失敗したUE2Bには登録情報が生成されず、その結果、端末認証に失敗したUE2BとUE2Bが登録要求を行った仮想GW5への接続情報との対応付けはガイドポスト31が管理する接続情報テーブルに反映されないことになる。
次に、ガイドポスト31及びAMF32を構成するそれぞれのコンピュータ10及びコンピュータ20における電気系統の要部構成例について説明する。
図7は、コンピュータ10及びコンピュータ20における電気系統の要部構成例を示す図である。
コンピュータ10は、図2に示したガイドポスト31の処理を担うプロセッサの一例であるCPU(Central Processing Unit)11、コンピュータ10をガイドポスト31として機能させる情報処理プログラムを記憶するROM(Read Only Memory)12、CPU11の一時的な作業領域として使用されるRAM(Random Access Memory)13、不揮発性メモリ14、及び入出力インターフェース(I/O)15を備える。CPU11、ROM12、RAM13、不揮発性メモリ14、及びI/O15はバス16を介して各々接続されている。
不揮発性メモリ14は、不揮発性メモリ14に供給される電力が遮断されても、記憶した情報が維持される記憶装置の一例であり、例えば半導体メモリが用いられるがハードディスクを用いてもよい。接続情報テーブルのように、ガイドポスト31の電源が遮断されても記憶し続ける必要のある情報は不揮発性メモリ14に記憶される。
不揮発性メモリ14は必ずしもコンピュータ10に内蔵されている必要はなく、例えばコンピュータ10に着脱可能な可搬型の記憶装置であってもよい。
I/O15には、例えば通信ユニット17、入力ユニット18、及び表示ユニット19が接続される。
通信ユニット17はC-プレーンの内部バス35に接続され、AMF32及びSMF33を含むC-プレーン内の各機能部との間でデータ通信を行う通信プロトコルを備える。
入力ユニット18は、ガイドポスト31の操作者の指示を受け付けてCPU11に通知する装置であり、例えばボタン、タッチパネル、キーボード、及びマウス等が用いられる。
表示ユニット19は、CPU11によって処理された情報を視覚的に表示する装置の一例であり、例えば液晶ディスプレイや有機EL(Electro Luminescence)ディスプレイ等が用いられる。
なお、AMF32を構成するコンピュータ20も、一例としてガイドポスト31を構成するコンピュータ10と同じ構成を有する。コンピュータ20のCPU21、ROM22、RAM23、不揮発性メモリ24、I/O25、及びバス26は、それぞれガイドポスト31を構成するコンピュータ10におけるCPU11、ROM12、RAM13、不揮発性メモリ14、I/O15、バス16と同じ機能を有する。すなわち、CPU21は、図2に示したAMF32の処理を担い、ROM22は、コンピュータ20をAMF32として機能させる情報処理プログラムを記憶する。
I/O25には、例えば通信ユニット27、入力ユニット28、及び表示ユニット29が接続される。
通信ユニット27は、C-プレーンの内部バス35及びNG-RAN3B-1に接続され、C-プレーン内の各機能部、UE2、及び仮想GW5とデータ通信を行う通信プロトコルを備える。
入力ユニット28は、AMF32の操作者の指示を受け付けてCPU21に通知する装置であり、表示ユニット29は、CPU21によって処理された情報を視覚的に表示する装置の一例である。
次に、通信システム1におけるUE2のローカルネットワーク6への接続処理について説明する。
図8は、UE2のうちUE2Aによるローカルネットワーク6への接続処理の一例を示すシーケンス図である。また、図9及び図10は、図8に示す接続処理に伴い、AMF32のCPU21及びガイドポスト31のCPU11によってそれぞれ実行されるセッション確立処理の一例を示すフローチャートである。
なお、ガイドポスト31は公開鍵と秘密鍵からなる鍵ペアを生成しており、仮想GW5は登録処理で使用したUE2の公開鍵に加え、ガイドポスト31の公開鍵も保持しているものとする。
まず、UE2Aは、自身のSIMカードから端末固有情報及びIMSIを取得し、UE2Aからローカルネットワーク6までのセッションが確立されるように、携帯キャリアネットワーク3Bに対して端末固有情報及びIMSIを含んだセッション確立要求を送信する(図8:F10)。
携帯キャリアネットワーク3Bを通じて制御システム3AのAMF32がセッション確立要求を受け付けると、コンピュータ20のCPU21によって図9に示すセッション確立処理が実行される。
図9のステップS10において、CPU21はセッション確立要求に含まれるIMSIを参照し、有効な回線契約を有するUE2Aからの要求であるか否かを判定する回線認証を実施する。
具体的には、CPU21は、通信事業者が提供する無線通信サービスの契約回線情報が記載された顧客テーブルを参照し、セッション確立要求を行ったUE2AのIMSIが顧客テーブルに含まれているか否かを判定することで回線認証を行う。
ステップS20において、CPU21は、有効な回線契約を有するUE2Aからのセッション確立要求であると判定した場合、すなわち回線認証に成功した場合にはステップS30に移行する。
ステップS30において、CPU21は、セッション確立要求に含まれる端末固有情報及びIMSIを、C-プレーンの内部バス35を通じてガイドポスト31に送信する(図8:F11)。
ステップS40において、CPU21は、端末固有情報及びIMSIの送信に対するガイドポスト31からの応答を受信したか否かを判定する。応答を受信していない場合、CPU21はステップS40の判定処理を繰り返し実行して、ガイドポスト31からの応答を監視する。
一方、ガイドポスト31が端末固有情報及びIMSIをAMF32から受け付けると、コンピュータ10のCPU11によって図10に示すセッション確立処理が実行される。
図10のステップS100において、CPU11は、AMF32から受け付けた端末固有情報及びIMSIの組み合わせと対応付けられている仮想GW5の接続情報が接続情報テーブルに存在するか検索を行う。
ステップS110において、CPU11は、ステップS100における接続情報の検索結果に基づき、AMF32から受け付けた端末固有情報及びIMSIの組み合わせと対応付けられている仮想GW5の接続情報が接続情報テーブルに存在するか否かを判定する。接続情報が存在する場合にはステップS120に移行する。
ステップS120において、CPU11は、AMF32から受け付けた端末固有情報及びIMSIの組み合わせと対応付けられている仮想GW5への接続情報を接続情報テーブルから取得する。CPU11は、取得した接続情報にAMF32から受け付けた端末固有情報を付加した上で、内部バス35を通じてAMF32に接続情報を送信する(図8:F12)。この場合、CPU11は、送信する接続情報に電子署名を行う。
一方、ステップS110の判定処理において、AMF32から受け付けた端末固有情報及びIMSIの組み合わせと対応付けられている仮想GW5への接続情報が接続情報テーブルに存在しないと判定された場合には、ステップS130に移行する。
ステップS130において、CPU11は、AMF32から受け付けた端末固有情報及びIMSIの組み合わせに対応する仮想GW5への接続情報が接続情報テーブルに存在しないことを通知するエラー情報を生成し、内部バス35を通じてAMF32にエラー情報を送信する(図8:F12)。
以上により、図10に示したガイドポスト31におけるセッション確立処理を終了する。
すなわち、ガイドポスト31におけるセッション確立処理により、AMF32からの端末固有情報及びIMSIの送信に対する応答として接続情報又はエラー情報がガイドポスト31からAMF32に送信される。
ガイドポスト31からAMF32に応答が送信されると、AMF32のCPU21は、図9のステップS40の判定処理によってガイドポスト31から応答を受信したと判定するため、図9のステップS50に移行する。
ステップS50において、CPU21は、ガイドポスト31から受信した応答が接続情報であるか否かを判定する。応答が接続情報である場合にはステップS60に移行する。
ガイドポスト31から接続情報が通知されたということは、UE2Aは仮想GW5への接続が許可された許可端末ということになる。したがって、ステップS60において、CPU21は携帯キャリアネットワーク3Bを通じて、セッション確立要求の送信元であるUE2Aにガイドポスト31から受信した接続情報を送信する(図8:F13)。
ステップS70において、CPU21は、セッション確立要求に含まれるIMSIで表されるUE2Aのユーザデータが携帯キャリアネットワーク3Bとインターネット4間で相互に転送されるように、SMF33を通じてUPF34を制御することで、セッション確立要求を行ったUE2Aとインターネット4との間でセッションを確立する。これにより、セッション確立要求を行ったUE2Aと仮想GW5との間で通信が行えるようになる。
一方、ステップS20の判定処理で回線認証に失敗したと判定された場合、及びステップS50の判定処理でガイドポスト31から受信した応答がエラー情報と判定された場合には、受信したセッション確立要求は、通信設備3の回線認証、及び仮想GW5の登録処理における端末認証の少なくとも1つに失敗したUE2Aからのセッション確立要求ということになる。
こうしたUE2Aからのセッション確立要求は仮想GW5への不正アクセスにつながる恐れがあるため、ステップS80に移行する。
ステップS80において、CPU21は、UE2Aから受信したセッション確立要求を破棄すると共に、UE2Aと接続された回線を切断して、図9に示すセッション確立処理を終了する。
これに対して、ガイドポスト31から接続情報を受信したUE2Aは、接続情報に付加されている端末固有情報を確認する。接続情報に付加されている端末固有情報が自身の端末固有情報であれば、受信した接続情報を用いて、仮想GW5に対してVPN(Virtual Private Network)による接続要求を送信する(図8:F14)。接続要求には、ガイドポスト31が接続情報に対して行った電子署名、並びに、自身の端末固有情報及びIMSIが含まれる。
接続要求を受信した仮想GW5はガイドポスト31の公開鍵を用いて、接続要求に含まれる接続情報の電子署名を確認する。接続情報の電子署名がガイドポスト31のものであれば、通信設備3での回線認証に成功した正規のUE2Aからの接続要求であることが担保される。
更に、仮想GW5は、接続要求に含まれる端末固有情報を用いて、接続要求を行ったUE2Aが、図3に示した登録処理によって許可端末として仮想GW5に予め登録されているUE2Aであるかを確認する端末認証を行う。
UE2の紛失や盗難などが起きた場合、管理者は仮想GW5に登録されていた許可端末からUE2を除外する。この場合、仮想GW5は、UE2によるローカルネットワーク6への接続を拒否する。
仮想GW5は、接続情報の電子署名がガイドポスト31によって行われた電子署名であると確認でき、かつ、UE2Aの端末認証に成功した場合に、UE2Aに対してVPN回線確立処理を行い、UE2Aと仮想GW5をVPNで接続する。これにより、UE2Aとローカルネットワーク6がVPNで接続される。
VPNを用いることで、UE2及び仮想GW5といった機器同士を接続するトンネリング、データを包み込むカプセル化、通信相手が正しい相手か確認する認証、及びデータの秘匿を高めデータの改ざんを低減する暗号化といった技術により通信の安全性が確保される。しかもVPNの維持費は専用線の維持費よりも安価である。
なお、仮想GW5は、接続情報の電子署名がガイドポスト31によって行われた電子署名であると確認できなかった場合、及びUE2Aの端末認証に失敗した場合には、VPN回線確立処理を行うことなくUE2Aからの接続要求を破棄する。すなわち、仮想GW5は、UE2Aによるローカルネットワーク6への接続を拒否する。
ここまで携帯キャリアネットワーク3Bに直接接続することができるUE2Aによるローカルネットワーク6への接続処理について説明してきたが、携帯キャリアネットワーク3Bと直接接続することができないUE2Bについても、UE2Aと連携することでローカルネットワーク6に接続することができる。
図11及び図12は、UE2のうちUE2Bによるローカルネットワーク6への接続処理の一例を示すシーケンス図である。
UE2Bは、ローカル通信によってUE2Aと接続し、UE2Aを経由してセッション確立要求を携帯キャリアネットワーク3Bに送信する(図11:F9及びF10)。ただし、UE2Bは携帯キャリアネットワーク3Bに直接接続することができないためIMSIが付与されていない。したがって、UE2Bは、自身の不揮発性メモリから端末固有情報のみを取得して端末固有情報を含んだセッション確立要求をUE2Aに送信する(図11:F9)。
UE2Aは、UE2Bから受け付けたセッション確立要求に対して自身のSIMカードに記憶されているIMSIを付加し、UE2Bからのセッション確立要求を携帯キャリアネットワーク3Bに転送する(図11:F10)。これにより、UE2Aが携帯キャリアネットワーク3Bと接続される。
以降は、UE2Bのセッション確立処理に対して、AMF32のCPU21及びガイドポスト31のCPU11がそれぞれ既に説明した図9及び図10に示したセッション確立処理を実行する。
これにより、回線認証に成功し、かつ、セッション確立要求に含まれる端末固有情報及びIMSIの組み合わせと対応付けられている仮想GW5への接続情報がガイドポスト31の接続情報テーブルに存在する場合には、当該仮想GW5への接続情報がAMF32からUE2Aに送信されることになる(図11:F13)。また、AMF32は、回線認証に失敗した場合、及びガイドポスト31から受信した応答がエラー情報の場合、UE2Aの場合と同様に、UE2Aから受信したセッション確立要求を破棄すると共に、UE2Aと接続された回線を切断してセッション確立処理を終了する。
UE2Aは、携帯キャリアネットワーク3BからUE2Bの端末固有情報を含んだ接続情報を受信した場合、ローカル通信を通じて端末固有情報で表されるUE2Bに接続情報を転送する(図11:F15)。これにより、携帯キャリアネットワーク3Bと直接接続することができないUE2Bであっても、ガイドポスト31から仮想GW5への接続情報が得られることになる。
したがって、図12に示すように、UE2Bは、接続情報に付加されている端末固有情報が自身の端末固有情報であれば、ガイドポスト31が接続情報に対して行った電子署名及びUE2Bの端末固有情報を含み、接続情報によって表される仮想GW5を接続先とした接続要求をUE2Aに送信する(図12:F16)。
UE2Bから接続要求を受け付けたUE2Aは、接続要求に自身のSIMカードに記憶されているIMSIを付加し、UE2Bからの接続要求を携帯キャリアネットワーク3Bに転送する。これにより、携帯キャリアネットワーク3B及びインターネット4を経由して接続要求が接続情報によって表される仮想GW5に送信される(図12:F17)。
以降は、図8で説明したように、仮想GW5で接続情報の電子署名がガイドポスト31によって行われた電子署名であると確認でき、かつ、UE2Bの端末認証に成功した場合に、仮想GW5がVPN回線確立処理を行い、UE2Bと仮想GW5をVPNで接続する。これにより、UE2Aを経由してUE2Bとローカルネットワーク6がVPNで接続される。
なお、仮想GW5が複数ある場合、UE2のユーザはUE2から接続したい仮想GW5の名称を選択すればよい。この場合、UE2のセッション確立要求には選択した仮想GW5の名称も付加される。AMF32は、セッション確立要求に仮想GW5の名称が含まれる場合、端末固有情報及びIMSIに加えて仮想GW5の名称もガイドポスト31に送信する。端末固有情報、IMSI、及び仮想GW5の名称を受け付けたガイドポスト31は、端末固有情報、IMSI、及び仮想GW5の組み合わせと対応付けられている仮想GW5の接続情報を接続情報テーブルから取得して、AMF32に送信すればよい。
以上、実施形態を用いて通信システム1の一態様について説明したが、開示した通信システム1の形態は一例であり、通信システム1の形態は実施形態に記載の範囲に限定されない。本開示の要旨を逸脱しない範囲で実施形態に多様な変更又は改良を加えることができ、当該変更又は改良を加えた形態も開示の技術的範囲に含まれる。例えば、本開示の要旨を逸脱しない範囲で、図3~図6、図8、図11、及び図12に示したシーケンス図の流れの順序や、図9及び図10に示したセッション確立処理の順序を変更してもよい。
また、上記の実施形態において、一例としてセッション確立処理をソフトウェアで実現する形態について説明した。しかしながら、図9及び図10に示したフローチャートと同等の処理をハードウェアで処理させるようにしてもよい。この場合、セッション確立処理をソフトウェアで実現した場合と比較して処理の高速化が図られる。
上記の実施形態において、プロセッサとは広義的なプロセッサを指し、汎用的なプロセッサ(例えばCPU)や、専用のプロセッサ(例えば GPU:Graphics Processing Unit、ASIC:Application Specific Integrated Circuit、FPGA:Field Programmable Gate Array、プログラマブル論理デバイス、等)を含むものである。
また、上記の実施形態におけるプロセッサの動作は、1つのプロセッサによって成すのみでなく、物理的に離れた位置に存在する複数のプロセッサが協働して成すものであってもよい。また、プロセッサの各動作の順序は上記の実施形態において記載した順序のみに限定されるものではなく、適宜変更してもよい。
上記の実施形態では、ガイドポスト31及びAMF32のそれぞれのROM12及びROM22に情報処理プログラムが記憶されている例について説明したが、情報処理プログラムの記憶先はROM12及びROM22に限定されない。本開示の情報処理プログラムは、コンピュータ10及びコンピュータ20で読み取り可能な記憶媒体に記録された形態で提供することも可能である。例えば情報処理プログラムをCD-ROM(Compact Disk Read Only Memory)及びDVD-ROM(Digital Versatile Disk Read Only Memory)のような光ディスクに記録した形態で提供してもよい。また、情報処理プログラムを、USB(Universal Serial Bus)メモリ及びメモリカードのような可搬型の半導体メモリに記録した形態で提供してもよい。ROM12、ROM22、不揮発性メモリ14、不揮発性メモリ24、CD-ROM、DVD-ROM、USB、及びメモリカードは非一時的(non-transitory)記憶媒体の一例である。
更に、ガイドポスト31及びAMF32は、それぞれ通信ユニット17及び通信ユニット27を通じて外部装置から情報処理プログラムをダウンロードし、ダウンロードした情報処理プログラムを記憶装置に記憶してもよい。この場合、ガイドポスト31のCPU11、及びAMF32のCPU21は、それぞれ外部装置からダウンロードした情報処理プログラムを読み込んでセッション確立処理を実行する。
1 通信システム
3 通信設備
3A 制御システム
3B 携帯キャリアネットワーク
4 インターネット
5 仮想GW
6 ローカルネットワーク
7 ネットワーク機器
10(20) コンピュータ
11(21) CPU
12(22) ROM
13(23) RAM
14(24) 不揮発性メモリ
15(25) I/O
16(26) バス
17(27) 通信ユニット
18(28) 入力ユニット
19(29) 表示ユニット
31 ガイドポスト
32 AMF
33 SMF
34 UPF
35 内部バス

Claims (14)

  1. プロセッサを備え、
    前記プロセッサは、
    通信事業者の通信設備により回線認証済みの端末から端末固有情報を受け付けた場合、ローカルネットワークへの接続先として前記端末固有情報と対応付けられている中継装置への接続情報を前記端末に送信し、
    前記端末が前記中継装置への接続情報を用いて、前記通信事業者によって提供される携帯キャリアネットワークに接続された公衆回線上の前記中継装置に接続し、前記中継装置との間で端末認証が成功した場合に前記端末と前記中継装置がVPN接続を行うように導く
    情報処理装置。
  2. 前記プロセッサは、前記中継装置との間で予め端末認証に成功した前記端末の前記端末固有情報と、前記端末の端末認証を行った前記中継装置の対応付けを参照して、前記端末固有情報と対応付けられている前記中継装置への接続情報を前記端末に送信する
    請求項1記載の情報処理装置。
  3. 前記プロセッサは、前記端末固有情報と前記中継装置との対応付けを、端末認証に成功した前記端末、又は前記中継装置を管理する管理者から受け付ける
    請求項2記載の情報処理装置。
  4. 前記プロセッサは、前記端末の記憶装置に予め記憶されている前記端末固有情報を受け付ける
    請求項1~請求項3の何れか1項に記載の情報処理装置。
  5. 前記プロセッサは、前記通信事業者の通信設備における制御プレーンの内部バスを通じて前記端末固有情報を受け付けると共に、前記内部バスを通じて前記中継装置への接続情報を前記端末に送信する
    請求項1~請求項4の何れか1項に記載の情報処理装置。
  6. コンピュータに、
    通信事業者の通信設備により回線認証済みの端末から端末固有情報を受け付けた場合、ローカルネットワークへの接続先として前記端末固有情報と対応付けられている中継装置への接続情報を前記端末に送信し、
    前記端末が前記中継装置への接続情報を用いて、前記通信事業者によって提供される携帯キャリアネットワークに接続された公衆回線上の前記中継装置に接続し、前記中継装置との間で端末認証が成功した場合に前記端末と前記中継装置がVPN接続を行うように導く処理を実行させる
    情報処理プログラム。
  7. 端末固有情報を有する端末と、
    通信事業者の通信設備と接続された公衆回線とローカルネットワークを中継する中継装置と、
    前記通信事業者の通信設備により回線認証済みの前記端末から端末固有情報を受け付けた場合、前記端末固有情報と対応付けられている前記中継装置への接続情報を前記端末に送信する情報処理装置と、を含み、
    前記中継装置は、接続情報を受信した前記端末から前記公衆回線を通じて前記端末固有情報を受け付けた場合、受け付けた前記端末固有情報を用いて前記端末の端末認証を行い、端末認証に成功した前記端末との間でVPN接続を行い、前記端末と前記ローカルネットワークを接続する
    通信システム。
  8. 前記情報処理装置は、前記中継装置との間で予め端末認証に成功した前記端末の前記端末固有情報と、前記端末の端末認証を行った前記中継装置の対応付けを参照して、前記端末固有情報と対応付けられている前記中継装置への接続情報を前記端末に送信する
    請求項7記載の通信システム。
  9. 前記情報処理装置は、前記端末固有情報と前記中継装置との対応付けを、端末認証に成功した前記端末、又は前記中継装置を管理する管理者から受け付ける
    請求項8記載の通信システム。
  10. 前記端末は、前記中継装置による端末認証に成功した前記端末固有情報を記憶装置に格納し、前記情報処理装置に前記端末固有情報を送信する場合、前記記憶装置に予め格納されている前記端末固有情報を送信する
    請求項7~請求項9の何れか1項に記載の通信システム。
  11. 前記端末は、前記通信事業者の通信設備に接続する機能を有する場合、前記端末固有情報を前記端末のSIMカードに記憶する
    請求項10記載の通信システム。
  12. 前記端末は、前記通信事業者の通信設備に接続する機能を有しない場合、前記端末固有情報を前記端末の不揮発性メモリに記憶する
    請求項10記載の通信システム。
  13. 前記端末は、前記通信事業者の通信設備に接続する機能を有するルーターを経由して、前記情報処理装置及び前記中継装置に前記端末固有情報を送信する
    請求項12記載の通信システム。
  14. 前記情報処理装置は、前記通信事業者の通信設備における制御プレーンの内部バスを通じて前記端末固有情報を受け付けると共に、前記内部バスを通じて前記中継装置への接続情報を前記端末に送信する
    請求項7~請求項13の何れか1項に記載の通信システム。
JP2020187160A 2020-11-10 2020-11-10 情報処理装置、情報処理プログラム、及び通信システム Pending JP2022076669A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020187160A JP2022076669A (ja) 2020-11-10 2020-11-10 情報処理装置、情報処理プログラム、及び通信システム
US17/306,970 US11765132B2 (en) 2020-11-10 2021-05-04 Information processing apparatus, non-transitory computer readable medium, and communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020187160A JP2022076669A (ja) 2020-11-10 2020-11-10 情報処理装置、情報処理プログラム、及び通信システム

Publications (1)

Publication Number Publication Date
JP2022076669A true JP2022076669A (ja) 2022-05-20

Family

ID=81453705

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020187160A Pending JP2022076669A (ja) 2020-11-10 2020-11-10 情報処理装置、情報処理プログラム、及び通信システム

Country Status (2)

Country Link
US (1) US11765132B2 (ja)
JP (1) JP2022076669A (ja)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8432893B2 (en) * 2002-03-26 2013-04-30 Interdigital Technology Corporation RLAN wireless telecommunication system with RAN IP gateway and methods
US7155526B2 (en) * 2002-06-19 2006-12-26 Azaire Networks, Inc. Method and system for transparently and securely interconnecting a WLAN radio access network into a GPRS/GSM core network
US8077681B2 (en) 2002-10-08 2011-12-13 Nokia Corporation Method and system for establishing a connection via an access network
US8769611B2 (en) * 2007-05-31 2014-07-01 Qualcomm Incorporated Methods and apparatus for providing PMIP key hierarchy in wireless communication networks
WO2010106822A1 (ja) * 2009-03-19 2010-09-23 日本電気株式会社 移動体通信システムの無線通信装置
JP4802263B2 (ja) * 2009-07-17 2011-10-26 株式会社日立製作所 暗号化通信システム及びゲートウェイ装置
JP6250595B2 (ja) * 2015-07-01 2017-12-20 e−Janネットワークス株式会社 通信システム及びプログラム
US10887295B2 (en) * 2016-10-26 2021-01-05 Futurewei Technologies, Inc. System and method for massive IoT group authentication
EP3873145B1 (en) * 2019-01-16 2023-07-19 Guangdong Oppo Mobile Telecommunications Corp., Ltd. Service authorization method, terminal device and network device

Also Published As

Publication number Publication date
US11765132B2 (en) 2023-09-19
US20220150219A1 (en) 2022-05-12

Similar Documents

Publication Publication Date Title
US8191124B2 (en) Systems and methods for acquiring network credentials
CN110324825B (zh) 终端装置、通信装置及记录介质
US8196188B2 (en) Systems and methods for providing network credentials
CN101406021B (zh) 基于sim的认证
JP4870540B2 (ja) ネットワークを介したプリンタ選択支援装置及びシステム
CN101123811B (zh) 管理和wpa-psk无线网络连接的站的设备和方法
US8925042B2 (en) Connecting devices to an existing secure wireless network
EP3668042A1 (en) Registration method and apparatus based on service-oriented architecture
JP5276593B2 (ja) ネットワーク信用証明書を獲得するためのシステムおよび方法
US20230344626A1 (en) Network connection management method and apparatus, readable medium, program product, and electronic device
US20140380443A1 (en) Network connection in a wireless communication device
CN104205891A (zh) 虚拟sim卡云平台
JP2002359623A (ja) 無線通信設定方法、通信端末、アクセスポイント端末、記録媒体およびプログラム
KR20120131541A (ko) 보안인증 디바이스에 접근하는 스마트폰 등록 방법 및 등록된 스마트폰의 접근 권한 인증방법
JP2007116509A (ja) 通信端末、プログラム、通信システム及びセキュリティ情報出力方法
CN109391937B (zh) 公钥的获取方法、设备及系统
CN108476131A (zh) 数据传输方法、装置和设备
CN110475247A (zh) 消息处理方法及装置
CN108012266A (zh) 一种数据传输方法及相关设备
CN109845187A (zh) 秘钥管理方法和装置
JP5388088B2 (ja) 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。
WO2024001086A1 (zh) 一种基于共享密钥进行数据通信的方法、装置、设备和介质
Nguyen et al. An SDN-based connectivity control system for Wi-Fi devices
JP2022076669A (ja) 情報処理装置、情報処理プログラム、及び通信システム
CN103916849A (zh) 用于无线局域网通信的方法和设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231018