JP4159548B2 - ネットワークアクセス制御システム - Google Patents
ネットワークアクセス制御システム Download PDFInfo
- Publication number
- JP4159548B2 JP4159548B2 JP2004551187A JP2004551187A JP4159548B2 JP 4159548 B2 JP4159548 B2 JP 4159548B2 JP 2004551187 A JP2004551187 A JP 2004551187A JP 2004551187 A JP2004551187 A JP 2004551187A JP 4159548 B2 JP4159548 B2 JP 4159548B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- access
- authentication
- access network
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
また、公共性が高い地域(例えば、駅、商店等)において、公衆無線LAN接続サービスの導入が急速に進んでいる。また、固定又は移動ホスト(端末)のインターネットアクセス手段として、ADSL(Asymmetric Digital Subscriber Line)に代表される安価で高速なアクセス手段が急速に普及している。
公共地域におけるアクセス手段の大半は、回線交換又はパケット通信の携帯電話(もしくはデータ通信カード)によるアクセス手段であった。これらは、ネットワークの性格上の通信速度の制限を有していた。いわゆる第2世代携帯電話網(PDC等)の通信速度は9.6〜64kbps程度であり、第3世代携帯電話網の通信速度は、移動状態で384kbps、静止状態で2Mbps程度であった。この速度の制限は、移動ホストの通信環境に対する通信速度面での制約となる。
一方で、高速かつ安価にネットワーク(インターネット等)へアクセスするためのアクセス手段が出現しようとしている。例えば、通信速度面において携帯電話よりも優れるIEEE 802.11b、IEEE 802.11a、Bluetooth等の各種の無線LAN技術を利用する無線公衆アクセス手段が提供されようとしており、この種のアクセス手段の提供をビジネスとする事業者も出現している。即ち、IEEE802.11a/b/gをはじめとした各種の無線LAN技術を利用した無線公衆アクセスを導入する動きが急速に進んでいる。現在、無線LANアクセス事業者は実運用に入っているが、ローミング・認証等に課題を抱えている。
さらに、近年盛んに「ユビキタス」がキーワードとなっており、今後はこれに適したこれまでにない方式を用いたアクセス網が現れることが予想される。
このような流れの中で、携帯電話事業者が無線LANアクセス網を提供するための動きがある。例えば、既存の携帯電話機能と無線LAN機能とを統合したチップが開発されている。このチップは移動体キャリアに対して提供され、携帯電話と無線LAN機能とが統合されたデュアル移動ホストとして登場することが予測される。無線LANと携帯電話とは、回線速度、安定性等で個々に特徴を持つ。このため、携帯電話のトラヒックの増加を狙う目的で無線LANの導入が進むことが予想される。
携帯電話事業者が無線LAN事業に参入するにあたって、解決すべき以下の問題がある。
(1)セキュリティ
一般的な無線LAN(IEEE 802.11シリーズ等)の弱点として、アクセス認証および通信中の秘匿性に係る問題が指摘されている。この問題は、これまでに高い通信安全性を提供してきたいわゆる「キャリアグレード」によるサービスを提供する場合に大きな問題である。この問題の解決手段として、携帯電話事業者が専用のアクセス認証、課金機能を構築する方法が考えられる。携帯電話事業者は、携帯電話網について専用のアクセス認証、課金機能を構築している。これらの機能は、無線LANに比べて高いセキュリティを有している。
しかしながら、認証機能は商用通信網を構築する上で最も費用のかかる機能の一つである。また、無線LAN等の標準に基づくアクセス方式は、技術進展が早く製品寿命が短い。従って、事業の採算性を考慮した場合、認証機能に対して高いコストをかけることは難しい。
また、複数の単体では安全でないアクセス回線(携帯電話等と異なりそれ自身は安全でない回線)を持ち、それぞれが異なったプロトコルで認証や暗号化通信を行おうとする場合では、ホストの正当性を証明するための証明書が複数枚必要となり、且つそれらを認証する認証サーバも証明書の数に応じて必要となる。このことは、上記と同様に、高いコストが発生することが明らかである。
(2)既存携帯電話網との連携
無線LAN等の新規アクセス網を構築して単独で事業展開する新規事業体と異なり、既存の携帯電話キャリアは既存の携帯電話網を有している。携帯電話キャリアの有望な一つの手段として、既存の携帯電話網と無線LANの連携機能とを独自の付加価値サービスとして提供することが考えられる。例えば、今後のサービスの成熟期には双方のサービスエリアの重複部分が生じることが考えられる。このため、双方の通信手段の効果的な「使い分け」の機能をユーザに提供することが望ましい。
ところで、この出願の発明に関連する先行技術文献情報としては次のものがある。
・エリア内の移動局がセキュリティ等のアソシエーションを開始する前に認証手順を行おうとする場合にLANを管理するネットワーク管理者に対し、認証手順の最終的な許可を得るために、認証を求めている移動局がいることを通知する通知手段と、ネットワーク管理者による、移動局に対しての認証の許可または拒否の指示が入力される入力手段とを備えるアクセスポイント装置(例えば、特許文献1)。
・移動ノード,外部エージェント(FA),ホームエージェント(HA),サーバシステムを含む移動通信サービス提供システムであって、HAおよびFAがパケットの転送先を決定するための制御手段を備える。サーバシステムは、移動ノードが要求するサービスを提供するための情報を含むサービスプロファイルを管理するデータベースから移動ノードに対応するサービスプロファイルを抽出する抽出手段と、抽出されたサービスプロファイルを制御手段が使用できる形式に編集するサービス管理手段と、編集されたサービスプロファイルをHAおよびFAに配布する配布手段とを備える。HAおよびFAは配布されたサービスプロファイルに従って制御手段を利用することによってサービスを提供する(例えば、特許文献2)。
また、本願に関連する先行技術文献として、下記の特許文献3および4に開示される技術がある。
また、本発明の他の目的は、端末の無線LAN等のアクセス網の利用に対する認証を高いセキュリティで実施可能なネットワークアクセス制御技術を提供することである。
また、本発明の他の目的は、端末の無線LAN網等のアクセス網の利用に対する課金を容易に行うことができるネットワークアクセス制御技術を提供することである。
また、本発明の他の目的は、アクセス網間の連携を図ることができるネットワークアクセス制御技術を提供することである。
本発明は、ネットワークアクセス制御システムであり、
即ち、本発明は、主要アクセス網と少なくとも1つの副次アクセス網とを含む種別の異なる複数のアクセス網をそれぞれ用いてコア網を利用可能な端末から送信され前記主要アクセス網を経由して前記コア網に到達する前記副次アクセス網の利用に対する認証要求を含む認証要求メッセージを受信する受信手段と、
前記副次アクセス網の認証要求に対する認証処理を行う認証手段と、
前記主要アクセス網を経由して前記端末に到達する前記副次アクセス網の認証応答メッセージを送信する送信手段と
を含む。
本発明によるネットワークアクセス制御システムによれば、主要アクセス網の認証システムを用いて副次アクセス網の認証が行われる。このため、副次アクセス網が独自の認証システムを持つ必要がない。このため、副次アクセス網の導入が容易となる。また、運用コストを抑えることもできる。
主要アクセス網は、端末が利用可能な複数のアクセス網の中から規定される代表的なアクセス網であり、認証機能を備えている。これに対し、副次アクセス網は、主要アクセス網に対する相対的な概念であり、複数のアクセス網のうち、主要アクセス網に規定されなかった残りのアクセス網がこれに該当する。副次アクセス網は、認証機能をもたないか、或いは主要アクセス網の認証機能よりもセキュリティの低い認証機能を持つ。これより、本発明によれば、副次アクセス網の認証が主要アクセス網の認証機能により認証されるので、副次アクセス網の認証を高いセキュリティで実施することが可能となる。また、主要アクセス網は、課金機能をさらに備えることができる。
また、本発明によるネットワークアクセス制御システムは、前記認証要求メッセージが、前記主要アクセス網の利用に対する認証要求をさらに含み、前記認証手段は、前記主要アクセス網および前記副次アクセス網の利用に対する認証要求に対する認証処理を行い、前記送信手段は、前記主要アクセス網および前記副次アクセス網に対する前記認証応答メッセージを前記端末に送信する、ように構成することができる。
このようにすれば、主要アクセス網の認証手順と同時に副次アクセス網の認証を行うことができる。
また、本発明によるシステムにおける前記送信手段は、前記認証手段が副次アクセス網の利用を認証する場合に、認証された副次アクセス網の利用許可情報を含む前記認証応答メッセージを送信するとともに、前記端末が前記認証された副次アクセス網を利用するための情報を前記認証された副次アクセス網に通知する、ように構成することができる。
これによって、端末が副次アクセス網に接続して、副次アクセス網を用いた通信を行うことが可能となる。
また、本発明によるネットワークアクセス制御システムは、前記端末のユーザが前記認証手段により認証された副次アクセス網について事前に契約した利用条件に従ってこの副次アクセス網および前記コア網を利用した通信サービスが提供されるように前記コア網を制御する網制御手段をさらに備えるように構成するのが好ましい。
このようにすれば、利用条件に従った副次アクセス網を用いた通信サービスを端末のユーザに提供することが可能となる。
前記網制御手段は、例えば、前記移動ホストによって使用される前記認証された副次アクセス網のアクセス回線を収容するエッジノードに対し、前記端末について前記利用条件に従った通信サービスを実施するための制御情報を通知するように構成するのが好ましい。
また、本発明によるネットワークアクセス制御システムは、前記端末が前記主要アクセス網を用いてコア網を利用する場合の従量課金と、前記端末が前記副次アクセス網を用いてコア網を利用する場合の従量課金との双方に係る処理を行う課金手段をさらに含むように構成するのが好ましい。
このようにすれば、主要および副次アクセス網の利用に対するそれぞれの従量課金が共通の課金システムにより行われるので、副次アクセス網の導入が容易となり、その運用コストを抑えることができる。この場合、主要アクセス網に対して既存の課金システムを副次アクセス網に適用するように構成するのが、コストを抑える点で好ましい。
前記課金手段は、前記端末によって使用される前記認証された副次アクセス網のアクセス回線を収容するエッジノードに対し、端末の副次アクセス網の利用に対する従量課金を行うための課金単位を通知する課金単位通知手段と、このエッジノードが前記課金単位に従って計測した前記端末に係る課金単位の量に基づいて課金額を算出する算出手段とを含むように構成するのが好ましい。
また、本発明によるネットワークアクセス制御システムは、前記認証手段が、ローミングユーザの端末からの前記副次アクセス網の認証要求を含む認証要求メッセージを前記主要アクセス網を介して前記受信手段が受信した場合に、前記ローミングユーザに対する前記副次アクセス網の認証処理をローミング元の認証システムとの連携において行い、前記送信手段は、前記ローミングユーザの認証処理に対する認証応答メッセージを前記主要アクセス網を経由してローミングユーザの端末に送信するように構成するのが好ましい。
このようにすれば、ローミングユーザに対しても、本発明によるネットワークアクセス制御システムを通じた主要および副次アクセス網の利用を提供することができる。
この場合、前記網制御手段は、前記認証手段がローミングユーザを認証する場合に、前記ローミングユーザの端末が使用する前記認証された副次アクセス網のアクセス回線を収容するエッジノードに対し、ローミングユーザの当該副次アクセス網の利用条件に従った通信サービスを提供するための制御情報を通知する、ように構成するのが好ましい。
また、本発明によるネットワーク制御システムは、前記認証要求メッセージが、前記端末が前記主要アクセス網を利用可能な範囲で移動することによりこの端末が利用可能なアクセス網の数が変化した場合に前記移動ホストから送信され、且つ利用可能となったアクセス網の認証要求を少なくとも含み、前記網制御手段は、前記認証要求メッセージを前記受信手段が受信したことを契機として、前記端末が利用するアクセス網を切り替えるか否かを判断し、前記認証手段は、切替先のアクセス網について認証処理を行い、前記送信手段は、前記認証手段により認証された切替先のアクセス網の認証応答メッセージを前記主要アクセス網を経由して前記端末に送信する、ように構成するのが好ましい。
このようにすれば、端末の移動によって他のアクセス網(副次アクセス網)を利用可能な状態になった場合において、アクセス網を切り替えることが可能となる。
この場合、前記網制御手段が、前記端末のユーザの契約内容,現在の網状態のうちの少なくとも1つに従ってアクセス網を切り替えるか否かを判断するように構成するのが好ましい。
このようにすれば、アクセス網を切り替えることが望ましくない場合における切り替えを回避することが可能となる。
また、前記網制御手段が、切替先として選択可能な複数の副次アクセス網がある場合には、前記移動ホストのユーザの契約内容および/または現在の網状態に基づいて切替先のアクセス網を決定するように構成するのが好ましい。
このようにすれば、最も適正な切替先のアクセス網を以て切り替えを実施することが可能となる。
また、前記送信手段が、前記認証手段による前記切替先のアクセス網の認証に応じて、この切替先のアクセス網の利用許可情報を含む前記認証応答メッセージを前記端末へ送信するとともに、前記端末が前記切替先のアクセス網を利用するための情報をこのアクセス網に通知し、前記網制御手段が、前記端末のユーザが前記切替先のアクセス網について事前に契約した利用条件に従ってこのアクセス網および前記コア網を利用した通信サービスが提供されるように、前記端末によって使用される前記切替先の副次アクセス網のアクセス回線を収容するエッジノードに対し、前記端末について前記利用条件に従った通信サービスを実施するための制御情報を通知するように構成するのが好ましい。
この場合、前記通信サービスが切替元のエッジノードと切替先のエッジノードとの連携により実施される場合には、前記網制御手段は、切替元および切替先のエッジノードに連携サービスを実施するための制御情報をそれぞれ通知する、ように構成するのが好ましい。
これによって、端末のユーザに対し、連携サービスを提供することが可能となる。
また、前記網制御手段は、アクセス網が切り替えられても切替前における通信品質が維持されるような通信サービスを実施するための制御情報を前記切替先のアクセス回線を収容するエッジノードに送信する、ように構成するのが好ましい。
これによって、切替による通信品質の劣化を抑えることができる。
また、前記網制御手段は、前記端末の同一のアクセス網の利用において、この端末が使用するアクセス網のアクセス回線を収容するエッジノードを切り替える際に、切替元のエッジノードに通知した制御情報と同様の制御情報を切替先のエッジノードに送信する、ように構成するのが好ましい。
これによって、端末のユーザは、エッジノードの切替によっても切替前と同様のサービスを受けることができる。
また、前記網制御手段が、前記端末が使用しているアクセス回線を収容しているエッジノードからトラフィック情報を受け取り、トラフィックが所定の閾値を越えている場合には、前記端末にアクセス網の切替を依頼するように構成するのが好ましい。
このようにすれば、アクセス網の切替により、トラフィックの輻輳等による影響を回避することができる。
また、前記網制御手段が、前記端末の位置を監視し、この端末が所定の副次アクセス網を利用可能な位置に移動した場合に、その旨を端末に通知するように構成するのが好ましい。
このようにすれば、端末が副次アクセス網の利用可能位置を探さなくても、適正に副次アクセス網への切り替え(移行)を行うことが可能となる。
また、前記受信手段が、前記端末からその状態情報を含む前記認証要求メッセージを受信し、前記網制御手段は、前記状態情報に基づいて前記端末が利用するアクセス回線を切り替えるか否かを判断する、ように構成するのが好ましい。
また、前記受信手段が、前記移動ホストから切り替え先のアクセス網を指定する指定情報を含む前記認証要求メッセージを受信し、前記網制御手段は、前記指定情報で指定されたアクセス網を切り替え先のアクセス網として決定するように構成するのが好ましい。
このようにすれば、端末のユーザの所望するアクセス網への切り替えを行うことが可能となる。
さらに、本発明は、上述したネットワークアクセス制御システムを構成する受信手段,認証手段,および送信手段としての機能を持つ認証サーバ,網制御手段としての機能を持つアクセス制御サーバとして特定することができる。また、ネットワークアクセス制御システムを通じて複数種別のアクセス網を利用する端末として特定することもできる。また、本発明は、上述したような特徴を持つネットワークアクセス制御方法として特定することも可能である。
図2は、アクセス制御プロファイルの構造を示す図であり、
図3は、アクセス制御プロファイル(共通プロファイル,ACP−C)の例を示す図であり、
図4は、アクセス制御プロファイル(個別プロファイル,ACP−V)の例を示す図であり、
図5は、アクセス認証方式に係る動作例の説明図であり、
図6は、アクセス制御手順の例を示すシーケンス図であり、
図7は、主要アクセス回線の認証と連携した場合の認証要求メッセージのフォーマット例を示す図であり、
図8は、主用アクセス回線の認証と連携しない場合の認証要求メッセージ(独自メッセージ)のフォーマット例を示す図であり、
図9(A)は、認証サーバAAAおよびアクセス制御サーバACSの機能構成例を示す図であり、図9(B)は、アクセス制御装置AAA/ACSの機能構成例を示す図であり、
図10は、異種アクセス回線連携情報データベースの要素例を示す表であり、
図11は、認証サーバAAAおよびアクセス制御サーバACSでの副次アクセス回線の認証処理の例を示すシーケンス図であり、
図12は、課金対象情報収集機能の共通化の動作例を示す図であり、
図13は、エッジノード装置(EN)の構成例を示す図であり、
図14は、エッジノード装置でのアクセス制御プロファイルの受信処理を示すシーケンス図であり、
図15は、他ネットワーク業者(他キャリア)からのローミングに対するアクセス制御の例を示す図であり、
図16は、アクセス回線選択基本方式における動作例を示す図であり、
図17は、アクセス網選択機構を示すフローチャートであり、
図18は、アクセス網選択機構を示すフローチャートであり、
図19は、アクセス許容手順の動作例を示す図であり、
図20は、アクセス回線間移動自のサービス継続連携に係る動作例の説明図であり、
図21は、エッジノードからアクセス制御サーバへの切り替え発生依頼メッセージの例を示す表であり、
図22は、周辺の網リソース状態によるアクセス回線の切替に係る動作例を示す図であり、
図23は、ユーザの契約条件によるアクセス回線の自動捕捉に係る動作例を示す図であり、
図24は、移動ホスト情報の例を示す表であり、
図25は、ユーザ端末要件に基づくアクセス回線の捕捉に係る動作例を示す図であり、
図26は、アプリケーション/機能種別の例を示す表であり、
図27は、利用中のアプリケーション種別に依存したアクセス回線の自動切替に係る動作例を示す図であり、
図28は、ネットワークアクセス端末(移動ホスト)の構成例を示す図であり、
図29は、ネットワークアクセス端末での副次アクセス回線の認証手順例を示す図であり、
図30は、課金情報の例を示す表であり、
図31は、主要アクセス回線の認証と連携した場合の認証応答メッセージのフォーマット例を示す図であり、
図32は、主要アクセス回線の認証と連携しない場合の認証応答メッセージのフォーマット例を示す図であり、
図33は、認証完了・アクセス許可要求メッセージのフォーマット例を示す図であり、
図34は、アクセス回線変更要求メッセージのフォーマット例を示す図であり、
図35は、アクセス制御装置(AAA/ACS)の動作例を示すシーケンス図である。
〈1〉ネットワークアクセス制御システムの概要(図1)
図1は、本発明によるネットワークアクセス制御システムの実施形態を示す図である。図1に示す実施形態は、大略して次のように構成されている。或るネットワーク運用者(キャリア(NOP(Network Operator)ともいう))のコアネットワーク(CN:例えば、BB(BackBone network))に対し、複数の移動アクセス網(Wireless Access Network)が収容される。CNは、図1に示すように、1以上の他のキャリアのCN(他キャリアのBB)に接続される。CNおよび複数の移動アクセス網からなるネットワークシステムは、ユーザ(加入者)に対し、移動アクセス網を介したコア網の利用による通信サービスを提供する。
移動アクセス網として、各種のワイヤレスアクセス網を適用することができる。例えば、第3世代携帯電話規格(IMT−2000(W−CDMA,cdma2000等))や第2世代携帯電話規格(PDC(Personal Digital Cellular),cdmaOne等)に基づく無線アクセス網(RAN:Radio Access Network),IEEE802.11a/b/gやHiSWAN等の無線LAN網,PHS網,Bluetooth等を適用することができる。
CNに接続される複数の移動アクセス網のうちの1つは、主要アクセス網(「PAN:Primary Access Network」と称する)として規定され、その他の移動アクセス網は副次アクセス網(「SAN:Secondary Access Network」と称する)として位置づけられる。PANは、少なくともユーザの当該移動アクセス網に対するアクセス認証システムが構築されているアクセス網である。もっとも、構築されている認証システムが商用サービスを提供するにあたって十分なセキュリティを確保しているアクセス網がPANとして選択されることが望ましい。例えば、PANとして選択することが望ましいアクセス網として、既存の商用サービスにおいて提供され、一定のセキュリティが確保されたアクセス認証および課金システムを備える第2又は第3世代携帯電話網(PDC、FOMA(商標)等)を例示することができる。PANは、例えばCNのキャリアによって決定される。
一方、SANは、アクセス認証システムをその網内に有しない、あるいはアクセス認証システムを有していてもそのセキュリティレベルがPANとして規定されるアクセス網よりも低いアクセス網である。さらに、SANは、ユーザがPANと同時に利用可能な1以上の領域(サービスエリア)を有している。SANのサービスエリアの全てがPANのサービスエリアに入っていることが望ましい。
なお、CNに対するアクセス網(PAN及びSAN)には、xDSL網のような固定アクセス網を含むこともできる。
ユーザ(加入者)が通信サービスの提供にあたって使用する端末(固定又は移動端末)として、例えば移動ホスト(MH(Mobile Host);「移動ノード(MN:Mobile Node)」,「ユーザ端末」,または「加入者端末」とも呼ばれる)が適用される。移動ホストは、PANを含む様々な種別のアクセス網にそれぞれ接続可能であり、さらにそれぞれのアクセス網を介してCNを利用した通信サービスを利用可能な携帯端末(移動機:Mobile Station)が適用される。即ち、端末は複数のアクセス方式を選択利用可能である。
ネットワークアクセス制御システムは、網側において、例えば、CNに収容されている認証サーバ(AAA:Authentication,Authorization and Accounting)と、アクセス制御サーバ(ACS:Access Control Server)とから構成することができ、各移動アクセス網にそれぞれ対応する複数のエッジノード装置(EN:Edge Node)を制御する。
図1に示す例では、ACS及び複数のENはAAAに接続されている。AAAとACSとは、これらの機能を併せ持つ1以上のコンピュータにより構成することができる。即ち、1以上のコンピュータが、記憶装置に記憶された各種のプログラムを実行することによって、AAAおよびACSの機能が実現されるようにしても良い。言い換えれば、AAA及びACSは、両者の機能をまとめてアクセス制御装置(AAA/ACS)として構成することも可能である。
なお、AAAは本発明における受信手段,認証手段,送信手段に相当し、ACSは本発明における網制御手段に相当する。但し、本発明による受信手段,認証手段,送信手段,網制御手段は、AAAとACSとの連携により実現されるようにしても良い。
各移動アクセス網に対応するENは、CNの周辺部(境界)に配備されるルータ又はレイヤ3スイッチに、ユーザに対するアクセス制御を行うための機能を付加することで構成される。アクセス制御を行うための機能は、例えば、ルータやレイヤ3スイッチに搭載されたプロセッサ(CPU等)が、その記憶装置に格納された機能実現のためのプログラムを実行することによって実現される。
各ENは、対応する移動アクセス網の1以上のアクセス回線をそれぞれ収容し、アクセス回線を通じて各移動アクセス網に設置されているアクセスポイント(Access Point:AP)に接続されている。
即ち、PANに接続されるEN(EN−1)は、少なくとも1つのPANのアクセス回線(主要アクセス回線(PAL:Primary Access Line)を収容し、SANに接続されるEN(EN−2)は、少なくとも1つのSANのアクセス回線(副次アクセス回線(SAL:Sub Access Line)を収容している。
PAN及びSANにそれぞれ相当する移動アクセス網は、基地局を兼ねる1以上のアクセスポイントAPを夫々具備している。PANに接続されるEN(EN−1)は、PANのAP(AP−1)に接続されており、SANに接続されるEN(EN−2)は、SANのAP(AP−2)に接続されている。
端末(MH)は、次の機能を具備することができる。下記の機能は、例えば、MHに搭載されたプロセッサが記憶装置に格納された各機能実現のためのプログラムを実行することによって実現される。
(a)CNに接続するための複数のアクセス方式(アクセス網に応じた接続方式)に応じたアクセス回線制御機能。
(b)ユーザ又は網側の指示によって利用すべきアクセス回線(アクセス方式)を選択する機能。
(c)MHが利用可能な複数のアクセス回線の種別(アクセス方式)のうち、網側で規定された代表的な移動アクセス網(PAN)のアクセス回線(PAL)への接続認証を行う際に、PALに対する認証要求に、他のアクセス回線(SANのアクセス回線(SAL))に関する認証情報を含めて送出する機能(認証要求制御部)。
(d)MHの内部において、個々のアクセス回線制御機能間(PALのアクセス回線制御機能とSALのアクセス回線制御機能との間)で、PALに対するアクセス認証手続きにより、網側から受領するSALに対するアクセス認証情報(利用許可情報)を対応するアクセス回線制御機能に受け渡すメッセージ処理機能(メッセージ処理部)、および認証情報管理機能(認証情報管理部)。
一方、網側において、AAAは、少なくとも以下の機能を備える。
(e)MHから送信された認証要求を受領及び分析し、当該MHが利用可能なアクセス回線に関する認証情報を抽出する機能(認証情報抽出部)。
また、ACSは、少なくとも以下の機能を備える。
(f)ユーザの利用条件(例えば、契約上で優先的に接続すべきアクセス回線種別),或いは現在の網状態に基づいて、最も適した切替先のアクセス回線種別を選択するアクセス網選択機能(アクセス回線種別選択部)。
(g)切替先のアクセス回線を認識した場合に、そのアクセス回線に対する個別のアクセス制御情報が記載されたアクセス制御プロファイル(ACP:Access Control Profile)を、当該アクセス回線を収容するENに付与する機能(アクセス制御プロファイル配信部)。
(h)ユーザ単位のACP(サービスの利用契約時に生成されるアクセス回線の利用条件が記載されている)を、ACSが利用可能なアクセス制御プロファイルデータベース(ACP−DB)に保存する機能(アクセス制御プロファイル登録部)。
また、網側において、PANのAP−1に接続されるEN(EN−1),及びSANのAP−2に接続されるEN(EN−2)の夫々は、次の機能を具備することができる。
(i)AAA又はACSから送達される個別サービス情報(ACP−V)を一定の有効期間だけ格納する、アクセス制御プロファイル管理機能(アクセス制御プロファイル管理部)。
なお、CNは、MHに対するアクセス回線の認証手続きの後、そのユーザ(MH)に関するパケット疎通、サービス制御等を実施する。
ネットワークアクセス制御システムは、ユーザのMHに対し、所定のアクセス回線に接続してCNを利用した通信サービスを提供する。この通信サービスは、網側でユーザが利用する移動アクセス網を認証することを条件に提供され、また、ユーザが利用する移動アクセス網に対するアクセス制御の内容(利用条件)に従って行われる。
ネットワークアクセス制御システムは、主な特徴として、SALに対する認証をPALの認証手順を用いて行うことで、SANが独自の認証システムを持たなくても済むように構成されている。また、ユーザのSALの利用に対する課金をPAL用の課金システムを用いて行うことを特徴とする。
また、ネットワークアクセス制御システムは、特徴の一つとして、ユーザとの契約条件,又はキャリア自身の判断によって、ユーザ(MH)のネットワーク接続状況等を考慮しながらユーザが利用すべきアクセス回線を選択するための手段を提供する。
ACPの原本は、ユーザとキャリアとの通信サービスの加入契約(サービスの利用条件)が締結された後に、ACS−DBに登録され、MHがCNを利用するときに実行される認証手順を契機として制御対象のアクセス回線を収容するENに配信される。ACPの配信手法として、例えば、特開2001−237878号公報に開示された手法を適用することができる。
なお、本実施形態において、移動アクセス網のキャリアは、CNのキャリア,移動アクセス網の設備を所有するキャリアの他、自身では特定のアクセス手段(移動アクセス網)を所有せず、キャリアから移動アクセス網を借り上げた上で加入者にサービス提供を行うMVNO(Mobile Virtual Network Operator)も想定している。
〈2〉アクセス制御プロファイル(図2,3,4)
次に、ネットワークアクセス制御システムにおいて、網制御のために利用されるアクセス制御プロファイル(ACP)について説明する。ネットワークアクセス制御システムでは、MHのユーザ単位で利用可能なアクセス回線の種別,優先順位等の選択論理等のユーザの利用要件を記述したACPをユーザーキャリア間の加入契約において規定し、キャリア側(網側)で保持・管理する。そして、ネットワークアクセス制御システムは、ユーザ毎のアクセス回線の利用条件に基づいたアクセス回線の接続制御を実施可能にするデータセット(即ちACP)を介して、ユーザが利用すべきアクセス回線を選択する。
ACPは、ユーザ単位でアクセス制御の内容を規定している。ACPに規定される情報には、例えば以下のような要素がある。
(1)1以上の利用可能なアクセス回線の種別
(2)前項に記載されたアクセス回線間での優先順位
(3)アクセス回線自動選択の有無
(4)ハンドオーバレベル
また、ACPは、次の2つのサブセット(サブカテゴリ)から構成することができる。
(i)ACP共通部(ACP−C:Access Control Profile Common−part)ACP−Cには、ユーザが利用可能なすべてのアクセス回線の種別、および、これらのアクセス回線に共通なユーザの契約情報等が規定される。ACP−Cは、ACS−DB内に保管され、AAAおよび/またはACSによって参照される。
(ii)ACP個別部(ACP−V:Access Control Profile Variant−part)ACP−Vには、ユーザが利用可能なアクセス回線毎に、個々のアクセス回線の利用条件,及び契約範囲内で利用可能な他のアクセス回線との関係(優先順序、連携内容等)が規定される。ACP−Vは、ACP−Cと関連づけてACP−DBに格納される。或いは、ACP−Vは、必要に応じてACP−Cの規定内容や網状態等に基づいて生成される。ACP−Vは、MHのアクセス回線に対する認証要求等を契機として、当該MHが利用するアクセス回線を収容しているENに配信され格納および保持される。ENは、受信したACP−Vを参照し、これに従ってMHに対するアクセス制御を行う。このとき、ENは、ACP−Vを参照することで、他のアクセス回線との連携の関係を認識し、必要な連携処理を行うことができる。
上述したように、ACP(ACP−C及びACP−V)は、ユーザ単位に規定され、ACP−DBに格納される。ACP−Vは、MHのアクセス回線に対する接続認証時に追加データとしてACSによって引き出され、対応するENに配信・保持される。ENは、アクセス制御機能を具備しており、ENのアクセス制御機能は、ACP−Vに規定された規則に準じてアクセス制御を実施する。
図2は、ACPの構造を示す図であり、図3は、ACP−Cの例を示す図であり、図4は、ACP−Vの例を示す図である。図2に示すように、ACPは、ACP−CとACP−Vとからなり、ACP−Cは、図3に示すように、少なくとも加入者識別情報(NAI等)と、利用可能な1以上のアクセス回線の種別とを含み、さらに、アクセス回線間の選択優先順位,アクセス回線の自動選択の有無,ハンドオーバレベル,外部事業者間ローミング,認証セッションの有効期間,及び利用権限に係る情報を含むことができる。
一方、ACP−Vは、アクセス回線種別毎に用意され、図4に示すように、加入者識別情報,動作状態(現在使用中(パケット導通)/転送/閉塞の別),移行(転送)先エッジ装置,認証周期,最大帯域,及び課金条件に係る情報を含むことができる。ACP−C及びACP−Vのデータ構造は、各情報要素のフィールドと、その採り得る値とで構成することができる。
〈3〉第1のアクセス認証方式(図5,6)
次に、ネットワークアクセス制御システムにおけるユーザのアクセス認証方式として、複数のアクセス回線に対する認証を1つの認証手順に統合して行う処理(第1のアクセス認証方式)について説明する。
第1のアクセス認証方式(以下、「第1の方式」という)は、複数のアクセス回線を利用可能なMHにおいて、或るアクセス回線に対する接続認証手順により網側からそのアクセス回線及び他のアクセス回線に対する接続許可を受ける為の手順である。例えば、PALへの接続時に利用する認証手順を利用して、SALの接続認証をPALの接続認証と同時に実施可能とする。
このため、移動ホストMHは、PALに対する認証要求メッセージの中に、所定のSALの認証に必要な情報を含めてCNへ送信する。これに対し、ネットワークアクセス制御システムは、PAL及びSALの双方のアクセス回線に対する認証手順を統合して実施する。
複数のアクセス回線への接続手段を持つMHは、個々のアクセス回線を動的に使い分ける(或るアクセス回線から他のアクセス回線に移行する)場合には、移行先の回線に接続する際に、移行前の回線とは別途用意されている認証システムを用いて認証手順を実行しなければならなかった。第1の方式は、このような課題を解決する。
第1の方式では、或るMHが契約に基づいて複数のアクセス回線を利用可能である場合に、複数のアクセス回線に対する認証手順を何れか1つの認証手順に統合する。このため、ネットワークアクセス制御システムに係るユーザ側(MH側)及び網側の夫々の装置は、以下の機能を持つ。
MHは、認証要求メッセージ送出機能(認証要求メッセージ送出部)と、認証応答メッセージ処理機能(認証応答メッセージ処理部)とを備える。
認証要求メッセージ送出機能は、或るアクセス回線(第1のアクセス回線;例えばPAL)に関する認証プロトコル制御機能(アクセス回線制御機能に含まれている)と関連して、当該アクセス回線だけでなく共存する他のアクセス回線(第2のアクセス回線;例えばSAL)に関する認証情報を、当該アクセス回線についての認証要求メッセージに含めて送出する。MHは、ユーザが利用可能な各アクセス回線に応じた認証情報を記憶した記憶装置を具備している。
認証応答メッセージ処理機能は、或るアクセス回線に関する認証プロトコル制御機能に関連して、AAAからの認証応答メッセージの受信処理と、この認証応答メッセージに含まれている他のアクセス回線の利用許可情報(例えば、パケット暗号化鍵)を抽出し、これをMH内部の記憶装置上に保持(キャッシュ)する。
一方、網側において、AAAは、認証要求メッセージ処理機能(認証要求メッセージ処理部)を持つ。
認証要求メッセージ処理機能は、AAAが備える認証プロトコル制御機能の一部である。認証要求メッセージ処理機能は、MHからの第1のアクセス回線に対する認証要求メッセージから、第2のアクセス回線用の認証情報を取り出して認証動作を行い、さらに、第1のアクセス回線に対する認証応答メッセージ(認証確認メッセージ)に第2のアクセス回線の認証応答(利用許可情報)を付加し、MHに返却する。
さらに、網側は、SALを収容するAPに対して、第1及び第2のアクセス回線について認証された(利用が許可された)MHがアクセス回線を利用可能にする機能を持つ。
図5は、第1のアクセス認証方式の例を示す図である。図5には、PALの認証手順を用いてSALの認証を行う場合の動作例が示されている。但し、図5には、AAAの機能とACSの機能とが統合されたアクセス制御装置(AAA/ACS)が示されている。
図5において、最初に、MHは、自身がPAL及びSALに接続可能であることを感知し、SAL用の認証情報を含むPAL用の認証要求メッセージを生成し、送信する(図5;(1))。MHは、例えば、PAN及びSANからの電波を受信することにより、これらに接続可能であることを感知できる。
AAA/ACSは、認証要求メッセージを、PANに対応するAP−1及びEN−1を介して受信し、認証要求メッセージを解析してPAL及びSALに係る認証動作を行う。このとき、AAA/ACSは、MHがSALにもアクセス可能であることを検出する(図5;(2))。この検出処理は、MHのユーザのACPにおける規定内容(利用条件),現在の網状態(MHの状態を含む)等に基づいて検出することができる。
次に、AAA/ACSは、PALおよびSALの認証結果が正当である場合には、SALに対応するAP(AP−2)宛に、当該MHのアクセス許可を命じるメッセージを送信する(図5;(3))。このメッセージは、APがMHからのアクセスを許容するための利用許可情報を含み、SALに対応するEN(EN−2)を介してAP−2に伝達され、AP−2で管理される。
一方、AAA/ACSは、PAL及びSALの双方について認証結果が正当であることを応答するために、PAL及びSALの利用許可情報を含むPAL用の認証応答メッセージを生成し、MH宛に送信する(図5;(4))。この認証応答メッセージは、PALを介してMHに着信する。これにより、MHは、PAL及びSALの利用許可情報を取得し、キャッシュする。その後、MHは、キャッシュされた利用許可情報を用いてSALに接続し、CNを利用した通信サービス(例えば、CNを介したパケット通信)の提供を受けることが可能となる(図5;(5))。
図6は、ネットワークアクセス制御システムによる第1のアクセス認証方式の他の動作例を示すシーケンス図である。但し、図6では、第1の方式に係る動作をAAAとACSとが連携して行う動作例を示している。図6における動作例は、次の通りである。
MHの電源が、在圏位置(PANの利用可能範囲(サービスエリア)内)で投入される(ステップS1)。すると、MH内でPAL用の認証要求メッセージが生成される。このとき、MHの在圏位置で利用可能な全ての他のアクセス回線(1以上のSAL)用の認証情報が、MH内の記憶装置から抽出され、PAL用の認証要求メッセージに付加される(ステップS2)。次に、MHは、PAL用の認証要求メッセージを送出する(ステップS3)。認証要求メッセージは、PANを介してCNのエッジノードEN−1に転送される。
エッジノードEN−1は、PALの認証要求メッセージを受領すると、この認証要求メッセージの要求元に相当するMHの認証が可能なAAAを判別し、そのAAAに認証要求メッセージを転送する(ステップS4)。
AAAは、認証要求メッセージを受信すると、認証要求に基づく認証処理を行い、要求元のMHの正当性を認証することでPALおよび認証対象のSALに対するアクセス可否を判断する(ステップS5)。
AAAは、認証処理においてMHが正当であると判断すると、ACSに対し、MH(ユーザ)に対応するACPを要求するメッセージ(ACS要求メッセージ)を送出する(ステップS6)。
アクセス制御サーバACSは、ACS要求メッセージを受領すると、当該MHの在圏位置で利用可能なSALについてアクセスを許可する。このため、アクセス制御サーバACSは、ACP−DBから当該ユーザのACP−Cを抽出するとともに、異種アクセス回線情報データベース(後述)から、当該MHの在圏位置において利用可能なアクセス回線種別情報(在圏位置を示すエリアコードに対応する適用アクセス回線情報)を抽出する。なお、在圏位置の検出は、既存の携帯電話網で適用されている手法(位置登録手順)を採用することができる。
そして、ACSは、ACP−Cに記載されたSALのアクセス回線種別と、異種アクセス回線データベースから抽出されたアクセス回線種別とを照合することで、MHの在圏位置でMHが利用可能なアクセス回線種別を選定する(ステップS7)。
なお、ACP−Cがアクセス回線間の優先順位等の付帯条件を含んでいる場合には、付帯条件に従って、少なくとも1つのSALのアクセス回線種別が選択されるように構成することができる。例えば、データベース間で合致する複数のアクセス回線種別がある場合に、優先順位が最も高いアクセス回線が選出されるように構成することができる。
その後、ACSは、ACS要求メッセージで特定されたMHに関するACP(ACP−C及びACP−V)を含むACS応答メッセージを生成し、AAAに返す(ステップS8)。ACS応答メッセージに含まれるACPは、ACP−Cと、PALに対応するACP−Vと、選定されたアクセス回線種別(SAL)に対応するACP−Vとを含んでいる。ここでは、例として、ACS応答メッセージは、PALと1つのSALのそれぞれに対応するACP−Vを含んでいるものと仮定する。
AAAは、ACS応答メッセージを受信すると、ACS応答メッセージに含まれたACPのうち、ACP−Cを自身が保有する記憶装置上の管理テーブルに格納する(ステップS9)。
続いて、AAAは、ACS応答メッセージ中の複数のACP−Vを、このACP−Vと関連付けられたアクセス回線(PAL及びSALのそれぞれに相当するアクセス回線)を収容するENにそれぞれ送達する。即ち、AAAは、SALのACP−Vを対応するEN(EN−2)に送信する(ステップS10)。
EN−2は、SALのACP−Vを受信すると、EN−2内の記憶装置上に用意された管理テーブルの管理エントリにACP−Vを格納するとともに、EN−2に対応するAP−2で参照すべき情報(ACP−Vのサブ情報;例えば、無線区間の(MH−AP2間)で使用されるパケットの暗号化鍵)を抽出し、AP−2に送達する(ステップS11)。
EN−2の配下のAP−2(MHに対するパケット送信可否の制御を行う)は、MHに関するACP−Vに含まれたサブ情報を利用許可情報として受領し、格納する。これによって、AP−2は、MHからのSALに対するアクセスを許可できる状態となる。
また、AAAは、PALに対応するACP−Vを、EN−1に送信する(ステップS12)。EN−1は、PALのACP−Vを受信すると、EN−2と同様の動作を行い、EN−1に対応するAP−1で参照すべき情報(ACP−Vのサブ情報:例えば、無線区間の暗号化鍵)をAP−1に送信する(ステップS13)。EN−1配下のAP−1(MHとの間でパケット送信可否の制御を行う)は、MHに関するACP−Vのサブ情報を受領し格納する。これによって、AP−1は、MHからのPALに対するアクセスを許可できる状態となる。
なお、ステップS10及びS11の動作と、ステップS12及びS13の動作とは、夫々一組の動作である。また、ACP−Vの送信先の数は、ACSの判定条件(アクセス回線の選出数)に依存する。また、ACP−Vは、ACSから直接対応する各ENへ送信されるようにしても良い。また、ENからAPへ送信されるサブ情報(アクセス許可メッセージ)は、ENが予め保持していても良く、ENがAAAから送信されるサブ情報をAPへ転送するようにしても良い。
ところで、AAAは、認証処理を行うと、PAL及びSALに対する利用許可情報(例えばパケット暗号化鍵)を含む認証応答(認証確認)メッセージを生成し、MHへ送信する。認証応答メッセージは、EN−1及びAP−1(PAL)を介してMHへ転送され、MHに受信される。
MHは、認証応答メッセージを受信すると、これから利用許可情報を取り出し、保持および管理する。そして、MH内のSALのアクセス回線制御機能は、SALの利用許可情報を利用して、SALを利用した通信を行うことができる。
図7は、MHから送出される認証要求メッセージのパケット(認証要求パケット)の例を示す図である。図7において、認証要求パケットは、ペイロードとして、PAL用の認証情報に加えて、SAL用の認証情報を含んでいる。
SAL用認証情報は、ユーザ識別情報(例えば、ユーザ名,パスワード等;図示せず)の他、SALのアクセスポイント番号と、SAL用アドレスとを含むことができる。ここで、在圏位置で利用可能な複数のSALがある場合には、各SALに応じたSAL用認証情報がペイロードとしてセットされる。
SALのAP番号は、SALのアクセスポイントを識別するための番号である。SAL用アドレスは、SAL経由のパケットの宛先アドレスに相当するMHのアドレス(例えば、Mobile IPであれば気付アドレス)である。PAL用認証情報の内容は、SAL用認証情報とほぼ同様である。
なお、第1のアクセス認証方式では、PALの認証要求メッセージにSALの認証用情報が付加されれば良い。このため、PALの種別(タイプ)は問わない。
このように、ネットワークアクセス制御システムによれば、特定のアクセス回線に対する認証を他のアクセス回線の認証手順と統合し、双方のアクセス回線の認証を実質的に同時に行う。
これによって、特定のアクセス網が独自の認証システムを持たない場合であっても、既存の他のアクセス回線の認証システムを利用して認証を行うことができる。従って、網側では、アクセス網(アクセス回線)を異種間で切り替える場合に、切替先のアクセス網についての認証手順を独自の認証システムを使用しなくても切替を行うことができる。また、特定のアクセス網をコアネットワークのアクセス網として導入する場合に必要なコストの低減を図ることができる。
〈4〉第2のアクセス認証方式(図5,図8)
次に、本発明によるネットワークアクセス制御システムによる第2のアクセス認証方式(以下、「第2の方式」という)について説明する。
第2の方式は、PALの認証と連携しないSALの認証に係る処理である。即ち、第2の方式は、複数のアクセス回線を利用可能なMHに対する、MHが利用可能な複数のアクセス回線の接続認証手段である。第2の方式では、或るアクセス回線(例えばPAL)用の接続認証手順を1以上の他のアクセス回線(例えばSAL)との間で共通に利用可能とする統合された認証手順(第1の方式)において、他のアクセス回線の認証要求を送出可能な契機として、或るアクセス回線の認証手順を利用しながらもこのアクセス回線の認証契機から独立して他のアクセス回線に係る認証要求をネットワークへ送信する。これによって、或るアクセス回線の接続認証と他のアクセス回線の接続認証とを各々必要に応じて独立に実行することを可能にする。
第1のアクセス認証方式は、PAL及びSALの接続認証を例えばPALの認証契機(認証セッションの開始タイミング)に統合してPAL用の認証手順(PALの認証プロトコル)で実行する。この第1のアクセス認証方式は、主に、MHの電源投入時等、MHが新規にPAL及びSALの接続認証(登録要求)を必要とする場合の動作形態である。
ところで、個々のアクセス回線についての認証セッションの有効期間が互いに異なる場合が想定される。例えば、PALの認証セッションの有効期間が10分であるのに対し、SALの認証セッションの有効期間が5分である場合のように、SALの認証セッションの有効期間がPALの認証セッションの有効期間よりも短い場合がある。この場合、第1のアクセス認証方式によりPAL及びSALの認証が実質的に同時に行われ、その後、MHが第1のアクセス認証方式に依って次のPAL及びSALの認証要求メッセージを送出するまでの間に、SALの認証セッションの有効期間が満了し、SALを用いた通信が途絶えてしまう可能性がある。
上記した問題を回避するために、MHは、次回のPALに対する認証要求メッセージ送出処理を待たずに、独自にSALの認証要求メッセージを生成し送出する。SALの認証は、第1の方式と同様に、PALの認証手順において行われる。
MHがPAL及びSALの双方を利用可能である場合において、以下の機能により第2の方式を実現することができる。
MH側(ユーザ側)の能力として、MHは、認証要求メッセージ送出機能と、認証応答メッセージ処理機能とを持つ。第2の方式における認証要求メッセージ送出機能は、PALのプロトコル制御機能として、PALだけでなく共存する他のSALに関する認証情報(MH内に保持されている)を含むPALの認証要求メッセージとは別のメッセージ(「独自メッセージ」と称する)をPALの認証手順に従って送出する機能を持つ。
認証応答メッセージ処理機能は、PALの認証プロトコル制御機能として、独自メッセージに対するSALの認証応答を含むメッセージをPALの認証手順に従って受信し、これに含まれるSALの利用に関する情報(例えば、パケット暗号化鍵)を抽出し、これをMHの内部に保持(キャッシュ)する。
一方、網側の能力として、次の機能を持つ。
・AAAが持つ認証プロトコル制御機能において受信するMHからの独自メッセージに含まれたSALの認証情報を用いて認証処理を行い、認証結果が正当であれば、MHにSAL用の認証情報(利用許可情報)を含む認証確認メッセージをPALの認証手順に従って送信する機能。
・SALを収容するアクセスポイントAP(AP−2)に対して、認証されたMHのアクセスを可能にする機能。
第2のアクセス認証方式を図5を用いて説明する。
MHは、自身がSALに接続可能であることを感知すると、PALの認証プロトコル制御機能により、SAL用の認証情報を含む認証要求メッセージ(独自メッセージ)をAAA/ACSへ送信する(図5;(1))。
AAA/ACSは、MHからの独自メッセージを受信し、SALの認証動作を行う。このとき、MHがSALにもアクセス可能であることを感知する(図5;(2))。
AAA/ACSは、SALの認証結果が正当である場合、SALのアクセスポイントAP−2に対して、MHのアクセス許可を命じるメッセージをEN−2を介して送信する(図5;(3))。
AAA/ACSは、PAL経由で、SALの認証が行われたことを応答する(図5;(4))。これ以降、MHは、SALを用いて通信を行うことができる(図5;(5))。
図8は、第2の方式において使用される認証要求パケット(独自メッセージ)の例を示す図である。図8において、SAL用認証情報として、ユーザ識別情報(図示せず)の他、アクセスポイント番号として、加入者が認証を行うSALのAPを識別する番号が記載される。また、SAL用アドレスとして、SALを経由するパケットの宛先アドレスに等しいアドレス(例えば、Mobile IPであれば気付アドレス)が記載される。
一方、PALの識別情報として、通常のPALを識別する情報(例えば、PSTN(Public Switched Telephone Network:加入者電話網)であればPIN(Personal Identification Number:個人認証用の数字列),或いはNAI等)が記載される。
なお、第2の方式はPALの認証メッセージのフォーマットにSAL用の認証情報を記載すれば良い。このため、PALの種類は問わない。
第2の方式により、PALとSALとで認証セッションの有効期間が異なる場合であっても、PALの認証周期から独立してSALの認証セッションを更新し、SALの利用を継続することができる。
〈5〉認証サーバおよびアクセス制御サーバ(図9,10,11)
次に、上述した認証サーバ(AAA),アクセス制御装置(アクセス制御サーバ:(ACS)、並びにAAAおよびACSの連携による複数のアクセス回線の連携について説明する。
AAAおよびACSは、個々のユーザ(MH)の在圏位置において、現在利用中のアクセス回線、および、MHに関する一定の条件が満たされる場合に移行可能なアクセス回線との関連を認識し、アクセス回線間の移行を起動する。これらは、移行条件が整った場合に、移行先のアクセス回線をCN側で収容しているENに対して、当該MHに関するアクセス制御プロファイル(ACP−V)を自動生成し、これを配布する。
図9(A)および(B)は、認証サーバAAAおよびアクセス制御サーバACSの構成例を示す機能ブロック図であり、図10は、異種アクセス回線間連携情報データベースの内容例を示すテーブルである。
図9(A)に示すように、AAAは、認証サーバ機能として、ユーザ認証機能(ユーザ認証部)11と、アクセス回線情報抽出部12と、ACSメッセージ制御部13とを備えている。ユーザ認証機能11は、認証サーバとしての一般的な機能(ユーザ認証機能)を司る。アクセス回線情報抽出部12は、PALの認証要求メッセージ(又は独自メッセージ)に含まれる、認証対象のアクセス回線に係る情報(アクセス回線情報;加入者識別情報,アクセス回線種別,MHの在圏位置(エリアコード)等を含む)を抽出する。ACSメッセージ制御部13は、抽出されたアクセス回線情報をACSに通知する為のメッセージ(ACS要求メッセージ)を構成し、これをアクセス制御サーバ(ACS)に向けて送出する。また、ACSメッセージ制御部13は、ACSからのACS応答メッセージを受信する。
一方、ACSは、アクセス制御サーバ機能として、ACSメッセージ処理部(プロトコル制御)14と、アクセス制御プロファイル(ACP)生成部15と、アクセス制御プロファイル(ACP)送出部16と、アクセス制御情報データベース(ACP−DB)17と、異種アクセス回線間連携情報データベース18とを備える。
ACSメッセージ処理部14は、AAAとの間で、ACP要求メッセージ受信,ACP応答メッセージ送信に使用するメッセージおよびプロトコル制御を行う。ACP生成部15は、MHが利用(認証)を要求するアクセス種別に対して、現在利用可能な条件を決定する。ACP送出部16は、ACPのメッセージ変換(ACPの生成)を行う。ACP−DB17は、MH単位のACPを格納・管理しているデータベース機能である。異種アクセス回線間連携情報データベース18は、キャリアが規定している管理対象の単位エリアで利用可能なアクセス回線に関する情報セットをデータベースとして管理している。
図10に示すように、異種アクセス回線連携情報データベース18は、例えば、PALのエリアコードと、対応するエリアコード内で利用可能な他のアクセス回線を示す適用アクセス回線と、収容加入者数とを要素とするエリアコード毎の1以上のレコードから構成することができる。
なお、図9(A)に示すAAAおよびACSの機能は、図9(B)に示すような構成例により特定することもできる。図9(B)は、AAAおよびACSの機能を備えるアクセス制御装置(AAA/ACS)を示しており、AAA/ACSは、ユーザ認証機能19と、メッセージ処理部20と、プロトコル制御部21と、アクセス制御部22と、ユーザ・端末データベース23とを備える装置として特定されている。
メッセージ処理部20は、図9(A)に示すACSメッセージ処理部14およびACP送出部16に相当する。また、プロトコル制御部21およびアクセス制御部22は、図9(A)に示すACP生成部15およびACP送出部16に相当する。そして、ユーザ・端末データベース23は、図9(A)に示すACP−DB17および異種アクセス回線間連携情報データベース18に相当する。
次に、PALが第3世代携帯電話網(例えば、W−CDMA網)であり、SALがIEEE802.11b網である場合を仮定し、さらに、ユーザがPALにアクセス可能な地域からPALとSALとの双方にアクセス可能な地域に移動した場合におけるAAAおよびACSの動作例を説明する。
図11は、AAAおよびACSの処理を示すフローチャートである。図11において、最初に、AAAは、MHからの認証要求メッセージ(SALの認証情報を含んでいる)を受信する(ステップS001)。すると、AAAのユーザ認証部は、認証要求メッセージから認証情報を抽出して認証処理を行う(S002)。また、アクセス回線情報抽出部は、認証要求メッセージから認証対象のアクセス回線情報を抽出し(S003)、ACSメッセージ制御部は抽出されたアクセス回線情報を含むACS要求メッセージを生成してACSへ送信する。
ACS要求メッセージは、ACSのACSメッセージ処理部で受信され、ACP生成部に渡される。ACP生成部は、ACS要求メッセージに含まれたアクセス回線情報を用いてACP−DBおよび異種アクセス回線間連携情報データベースを参照し、ユーザの在圏位置やユーザの加入契約における利用条件(ACPにおける規定内容)等の所定の条件に基づいて、ユーザのSALへのアクセスの可または不可(SALの利用可否)を判定する(S004)。
ACP生成部がMHに対しSALの利用を許可できる場合には、ACP送出部は、PALおよびSALに対する各ACP−Vを生成し(S005)、これを含むACS応答メッセージを生成する。このとき、ACP−Vに規定されるサービス内容に応じたアクセス回線の選択基準もACP−Vに記載することができる。ACS応答メッセージは、ACSメッセージ処理部からAAAへ送信される。
AAAのACSメッセージ制御部がACS応答メッセージを受信すると、アクセス回線情報抽出部は、この応答メッセージに含まれた各ACP−Vを抽出する。AAAは各ACP−Vを対応するENへそれぞれ送信する(S006)。また、ユーザ認証機能は、PALおよびSALの利用許可情報を含む認証応答メッセージをPALを介してMHへ送信する(S007)。また、AAAは、MHに対するPALおよびSALの利用を許可するための情報を含むメッセージをこれらに対応する各APへ送信する(S008)。
なお、上述した処理において、ENへのACP−Vの送信処理およびAPへの利用許可情報の送信処理はACS側で行うようにしても良い。また、AAAは、ACSでアクセスが許可されたアクセス網(アクセス回線)についてのみ認証処理を行うようにしても良い。また、ACSでアクセスの不可が判断された場合には、AAAがそのアクセス回線についての認証否認メッセージをMHに送信するようにしても良い。
図35は、図9(B)に示すような、アクセス制御装置(AAA/ACS)の動作を示すシーケンス図である。
図35において、最初に、メッセージ処理部(メッセージ受信部)20が、MHからの認証要求メッセージ(図7参照)を受信する(S111)。すると、メッセージ処理部111は、アクセス制御部22に対し、当該認証要求メッセージを渡す(S112)。
すると、アクセス制御部22は、認証要求メッセージをユーザ認証機能(認証サーバ機能)19に渡す(S113)。すると、ユーザ認証機能19は、ユーザ・端末データベース23を参照し(S114)、ユーザ認証処理を行う(S115)。ユーザ認証機能19は、ユーザ認証処理の結果を、ユーザ認証応答として、アクセス制御部22に返す(S116)。
すると、アクセス制御部22は、ユーザ・端末データベース23に保持されている、認証要求メッセージの要求元のユーザについてのACP(ACP−C,ACP−V)を参照する(S117)。そして、アクセス制御部22は、当該ユーザのアクセス回線に対するアクセスの可/不可を判断する(S118)。
当該ユーザに対し、アクセス回線の利用を許可できる場合、アクセス制御部22は、その旨をプロトコル制御部21に通知する(S119)。すると、プロトコル制御部21は、対応するENに通知すべきアクセス制御プロファイル(ACP−V)と、アクセス回線の使用に際して使用する(パケットの)暗号化/復号化鍵を生成する(S120)。そして、プロトコル制御部21は、生成されたACP−V及び暗号化/復号化鍵をメッセージ処理部20に渡す(S121)。
すると、メッセージ処理部20は、ACP−V及び暗号化/復号化鍵を、利用が許可されたアクセス回線を収容するENへ向けて送信する(S122)。続いて、メッセージ処理部20は、暗号化/復号化鍵を含む認証応答メッセージ(図31参照)を生成し、当該ユーザの端末(MH)へ向けて送信する(S123)。認証応答メッセージは、主要アクセス回線(PAL)経由で、当該MHに到着する。
上述した手順におけるS117〜S123の詳細(回線選択手順の例)は、次の通りである。
〈手順1〉 S118において、アクセス制御部22は、データベース23中のACP−C(図3参照)の項番1の「加入者識別情報」を参照し、当該ACP−Cが、認証要求メッセージの要求元のユーザ(端末)のプロファイルであることを確認する。
〈手順2〉 S118において、手順1の確認が正常に終了(プロファイルと端末の識別情報とが合致)したら、アクセス制御部22は、当該ACP−Cの項番2の「利用可能アクセス回線」を参照する。ここでは、例えば、主要アクセス回線として“PHS(Personal Handy phone System)”が利用可能であり、且つ副次アクセス回線として“公衆無線LAN”が利用可能であることを認識したと仮定する。
〈手順3〉 S118において、アクセス制御部22は、次に、ACP−Cの項番3の「選択優先順位」を参照し、当該ユーザが接続を希望する回線の優先順位として、例えば、第1候補として公衆無線LANを使用し、第2候補としてPHSを使用する契約内容であることを認識する。但し、ユーザに接続(アクセス)を許可する回線の最終的な決定にあたっては、ネットワーク運用者は、公衆無線LANのアクセス回線に空きがあることを確認しておく必要がある。
〈手順4〉 手順3において、例えば、当該ユーザに対して公衆無線LANの提供(使用)が可能と判断する条件が揃った場合、当該ユーザに対し、網側から無線LANのパケット暗号化/復号化鍵が配布されることで、アクセスが許可される(S119〜S123)。このとき、S120において、当該許可の時点から所定のアクセス有効期間の終了する時刻がプロファイル(ACP−V)内に設定される。
〈6〉課金対象情報収集機能の共通化(図12)
次に、キャリアがSALとして導入するアクセス回線(例えば、公衆無線LANサービス)における利用量に対して課金する方法(SALの従量課金方法)について説明する。
定額制以外の課金方法として、所定の計測単位(アクセス認証時間、パケット送受信量等)を測定し、認証時間やパケット量に応じた従量課金を行うことができる。このとき、SAL毎に専用の課金機構を用意することなく、キャリアがPALについて既に構築している課金システムをSALの課金に利用する。これによって、CNに対する新規のアクセス網を導入しやすくし、運用コストの低減を図ることができる。
本実施形態では、網側に次の機能を付加することによって、PALとSALの課金情報を共通化する。即ち、AAAは、認証サーバおよび課金サーバとして機能し、SALの認証時にSALを収容するENにMHの識別情報と課金条件とを送信する機能を持つ。課金条件は、課金対象,課金単位,課金単価を含むことができる。
課金条件として、たとえば、SALを用いたMHのパケット通信が課金対象として指定され、パケットの送受信量が課金単位として指定され、単位パケット量あたりの料金が課金単価として指定される。ENには、少なくとも課金条件中の課金単位が通知される。なお、課金対象として、特定のプロトコルによるパケットを課金対象として指定することもできる。
一方、SALを収容するENは、AAAから受信するMHの識別情報及び課金条件(少なくとも課金単位)に基づいて、課金単位に応じた量(例えば、パケット送受信量)を計測する機能を持つ。さらに、SALを収容するENは、計測した課金単位に応じた量を課金情報としてを定期的にAAAに送信する機能を持つ。
図12は、SALの従量課金に係る動作例を示す図である。図12を用いて動作例を説明する。
AAAは、SALの認証時において、SALを収容するEN(EN−2)に対し、対応するMHの識別情報および課金単位(パケット送受信量)を示す情報を送信する(図12;(1))。これらの情報は、ACP−Vに含めることができる(図4,「6.課金条件」参照)。
その後、MHがSALを用いてパケット通信を行うと、EN−2は、AAAから受け取ったMHの識別情報を用いてMHを特定し、このMHに係る課金単位の情報に基づいて、当該MHのパケット通信におけるパケット送受信量を計測する(図12;(2))。このように、エッジルータは、パケット送受量等の課金単位に基づく量をカウントする。カウントするパケットの条件は、ACP−Vによって設定された内容によって決定することができる。
そして、EN−2は、AAAに対し、定期的にパケット送受信量を含む課金情報(計測されたパケット送受信量)を送信する(図12;(3))。ここで送信される課金情報の例を図30に示す。図30に示すように、課金情報は、例えば、ユーザの識別情報(例えばNAI),適用アクセス回線の種別,パケット送受信量(例えばパケット数)を含むレコードとして構成される。
AAAは、当該MHに対する課金条件の情報(課金対象、課金単位および課金単価)を有しており、EN−2から課金情報を受け取ると、課金単価の情報を用いて、MHに対するSALの利用に係る料金を算出する。図30に示す例では、AAAは、パケット数に課金単価を乗じて、課金額を算出する。
このようにして、SALとして規定されたアクセス回線の使用に対し、PALに対して用意されている既存の課金システム(AAAおよびEN)が課金処理を行う。従って、SAL用の課金システムをPALとは別個に予め用意する必要がない。
なお、上述したように、識別情報および課金条件の送信処理は、AAAが識別情報および課金条件を含むMHのユーザに対するSAL用のACP−VをEN−2に送信することで行うようにしても良い。
〈7〉エッジノード装置(図13,14)
次に、エッジノード装置(EN)について説明する。エッジノード装置は、CNのエッジ部分に配備され、一般的なルータ機能に加えて、MH単位のアクセス制御を実施する。エッジノード装置は、アクセス回線種別毎に少なくとも1つ配備される。但し、地理的又は収容人口密度的に規定される一範囲の加入者地域ごとに配備することもできる。
エッジノード装置は、大略して、エッジルータ機能と、アクセス制御プロファイル送達メッセージプロトコル制御機能(ACS送達メッセージ制御機能)と、アクセス制御プロファイル保持格納機能(ACS保持格納機能)と、アクセス認証情報管理機能と、アクセスフィルタ機能と、個別条件パケット転送機能とを備える。
エッジノード機能は、ルータが一般的に持つ機能(パケットのルーティング,フォワーディング等)を司る機能である。
ACS送達メッセージプロトコル制御機能は、ACS又はAAAから送達される、個々のMHのACSを含むメッセージ(ACS送達メッセージ)に係る処理を制御する機能であり、ACS送達メッセージを受信し、これを解析し、ACSを抽出する。
ACS保持格納機能は、ACS送達メッセージプロトコル制御機能によって抽出されたACSをEN内に一定の有効期間だけ保有するための記憶手段およびその管理機能である。ACSの管理機能は、例えば、有効期限等の条件に従って各ACSを管理(例えば、有効期限を過ぎたACSを削除)する。
アクセス認証情報管理機能は、AAAから送信される認証情報(認証結果等)に基づいて、MHに対するアクセスの可・不可をMH毎に管理する機能である。
アクセスフィルタ機能は、アクセス認証情報管理機能と連携し、MHのアクセスが不可であればそのMHに係るパケットを棄却(破棄)する機能である。
個別条件パケット転送機能は、ACS保持格納機能と連携し、ACSに記載されたパケットの転送条件(移行条件)に従って該当MHのパケットを所定の宛先に転送する機能である。
図13は、エッジノード装置の構成例を示す図である。図13において、エッジノード装置(EN)は、メッセージ送受信部24と、プロトコル制御部25と、アクセス制御部26と、サービス情報管理部27とを備える。これらは、エッジノード装置に搭載されるプロセッサ(メモリを含む)が所定のプログラムを実行することによって実現することができる。
メッセージ送受信部24は、エッジノード機能を実現する。また、メッセージ送受信部24は、サービス情報管理部27からの情報を元に、個別条件パケット転送機能を司る。プロトコル制御部25は、ACS送達メッセージプロトコル制御機能を実現する。アクセス制御部26は、アクセスフィルタ機能を実現する。サービス情報管理部27は、ACS保持格納機能、アクセス認証情報管理機能を実現する。
図14は、図13に示した構成を持つエッジノード装置でのACSの受信処理を示すシーケンス図である。図14を用いて、或るMHのユーザがPAL(例えばW−CDMA網)にアクセス可能な地域からPALおよびSAL(例えばIEEE802.11b網)にアクセス可能な地域に移動してきた場合におけるエッジノード装置の動作例を説明する。
MHがPALおよびSALの認証手順を行い、双方について認証許可を受けると、AAA又はACSは、PALおよびSALをそれぞれ収容する各エッジノード装置に、当該MHおよびアクセス回線種別に応じたACP(ACP−V)を含むメッセージ(ACP送達メッセージ)を送信する。
PALおよびSALをそれぞれ収容する各エッジノード装置では、ACP送達メッセージをメッセージ送受信部24が受信し(S011)、プロトコル制御部25に渡す(S012)。プロトコル制御部25は、メッセージを解析し、ACP−Vをメッセージから抽出し、ACP−Vに記述されたアクセス制御の内容(サービス情報)をアクセス制御部26およびサービス情報管理部27に設定(格納)する(S013)。例えば、アクセス制御の内容がPALのENが受信したMH宛のパケットをSALのENに転送する場合には、プロトコル制御部25は、そのような設定をアクセス制御部26およびサービス情報管理部27に設定する。
その後、メッセージ送受信部24は、MH宛のパケットを受信すると(S014)、アクセス制御部26および/またはサービス情報管理部27に設定されたアクセス制御の内容を参照して、適切な処理を行う(S015)。例えば、MH宛のパケットをPALのENが受信した場合には、メッセージ送受信部24は、アクセス制御部26によるアクセス制御内容及びサービス情報管理部27で管理されるサービス情報を参照し、これらに基づいて、そのパケットをSALのENに転送し、SALのENがSALを介してパケットをMHへ転送する。また、PALおよびSALの各ENに設定されるアクセス制御の内容により、例えば、パスワードの入力時はPALを通じて通信を行い、それ以外のパケットはPALのENからSALのENにパケットを転送するような制御を行うことができる。
〈8〉他ネットワーク業者からのローミングに対するアクセス制御(図15)
他事業者の無線ホストを契約し利用するユーザに対して、ローミングユーザとして、無線通信方式に互換性のある自網のアクセス回線を利用させる場合がある。この場合のアクセス認証方式として、当該ローミング移動ホストのアクセス認証を他キャリア網から自キャリア網の認証装置に転送させ、ローミングユーザ専用の一時的なアクセス制御プロファイルを発行することで、一時的に自ネットワークのアクセス回線の利用を許容する。
MHがPALおよびSALの双方を双方利用可能である場合に、以下の機能により本項の認証方式が可能となる。
MHの能力として、MHは次の機能を持つ。
・PALのプロトコル制御機能として、自身だけでなく共存する他のSALに関する認証情報(MH内に保持されている)を送出する機能。
・PALの認証プロトコル制御機能として、SAL用の認証応答メッセージの受信とこれに含まれるSALの利用に関する情報(例えば、パケット暗号化鍵)を抽出して、これをMH内部に保持(キャッシュ)する機能。
網側能力(ローミング元)は、次の機能を持つ。
・AAAが持つ「認証プロトコル制御機能」によって受信した、SALの認証要求メッセージで認証を行い、ローミング先にSAL用の認証結果を送信する機能。さらにローミング元から受信した、MHへのアクセス可能通知をMHに転送する機能。
また、網側能力(ローミング先)は、ローミング元から受信したSAL用の認証結果を元に、SALを収容するAPに対して、認証されたMHを利用可能にする機能を持つ。
図15は、他のNOPからのローミングに対するアクセス制御の動作例を示す図である。図15に示された動作例の内容は次の通りである。
MHは、他のキャリアのネットワーク(ローミング元ネットワーク)に加入契約しているユーザのMHである。MHは、ローミングによりPALおよびSALを利用可能な場所において、SALに接続可能であることを既存の手法により感知すると、SALの認証要求メッセージをPAL経由でローミング元のネットワークにおける認証サーバに送信する(図15;(1))。このとき、認証要求メッセージとして、上述した第1および第2の手法において適用される認証メッセージ(図7,図8参照)のフォーマットを適用することができる。
ローミング元の認証サーバは、SALの認証要求に対する認証時に、MHがSALにもアクセス可能であることを感知する(図15;(2))。
ローミング元の認証サーバは、ローミング先のネットワーク(CN)における認証サーバ(AAA)に対して認証完了メッセージを送信する(図15;(3))。なお、アクセス許可を命じる(要求する)メッセージとして、図31に示すようなメッセージフォーマットを適用することができる。当該メッセージには、端末とアクセスポイント等の間の暗号化/復号化鍵が含まれる場合もある。
ローミング先のAAAは、SALを収容するENおよびAPに対して、該当MHのアクセス許可を命じるメッセージを送信する(図15;(4))。
ローミング先のAAAは、ローミング元の認証サーバにSALの認証が行われたことを応答し(図15;(5))、ローミング元の認証サーバはPAL経由でSALの認証が行われたことを認証応答メッセージの送信によりMHに応答する(図15;(6))。これ以降、MHは、SALを用いて通信を行うことができる(図15;(7))。
〈9〉アクセス回線選択基本方式(図16)
ネットワークアクセス制御システムは、認証・サービス制御装置において、認証対象ユーザに関するアクセス制御プロファイルの内容および網状態から接続先アクセス回線を判定、許可し、ユーザにこれを通知する。具体的には、複数アクセス回線の連携優先順位(時刻、場所等によって可変)に基づいて、接続すべきアクセス回線を選択する。
本項では、アクセス制御サーバ(ACS)における、アクセス回線選択の基本手順について説明する。ACSは、認証サーバの一部、もしくはこれと連携する装置であり、ユーザ(MH)に割当てるべきアクセス回線を選定する機能をもつ。
ACSで実行されるアクセス回線選択論理について説明する。
(9−1)初期登録時:
本ケースは、MHが認証要求メッセージを送出した時点(移動ホストに関して登録要求送出時点)で、認証セッションが存在しない(直近の認証セッションが満了している)場合に相当する。
1.ユーザ(MH)の認証がAAAによって正常に完了すると、AAAはACSにアクセス回線選択依頼(ACS要求メッセージ)を送信する。
2.ACSは、MHの認証手順と連動してACP−DBから引き出される、当該ユーザに関するACPを参照する。
3.このとき、オプション機能として、認証手順においてMHから送達される、MHの受信電波強度等の通信状況(通信パラメタ)を合わせてACSに送達することで、通信状況(網状態)をACSにおけるアクセス回線の選択論理のパラメタとして利用することができる。
4.ACSは、ACP(および通信パラメタ)に基づいて移行先のアクセス回線を選択する。
5.通信パラメタが選択論理のパラメタとして使用される場合には、ACSは、移行先のアクセス回線をまず決定して、次に必要に応じて通信パラメタを参照する。
6.選定された移行先のアクセス回線に関して、この通信パラメタを含むアクセス制御個別プロファイル(ACP−V)を生成する。
7.生成されたACP−Vは、プロファイル送達メッセージにより、該当するエッジノード(EN)に送達されて、アクセス制御に使用される。
8.もし、選択された回線がSALである場合には、ACSはPALを収容するENに対しても、対応するACP−Vを送達する。ただし、このときのACP−Vにおける制御状態(動作状態)は「閉塞状態」、すなわち、現時点においてPALのENは当該MHのデータ転送に提供されないことを示す。
9.他方、移行元のアクセス回線を収容するENに対して、ACP−Vをプロファイル送達メッセージにより配布する。ただし、同ACP−Vの「動作状態」は、移行元送達分は「転送(Forwarding)」状態となっている。これは、移行前に当該エッジノードを経由していた移動ホストへのパケットを、移行先のエッジノードに転送することで、移行先のアクセス回線に現在収容されている当該移動ホストにパケットを送達させるものである。
(9−2)回線移行時
本ケースは、MHに有効期間満了前の認証セッションがあり、すでに何らかのアクセス回線を利用中である場合が該当する。
1.CN内のACSは、当該MHに関して一定条件下でのアクセス回線の移行を検出(選定)する。これはACS内の周期的な監視プログラムとして動作している。ただし、この時点では、MHの最新の状況を把握していないため、ACSは検出する移行先のアクセス回線をあくまで移行先の候補として検出する。
2.移行先アクセス回線の候補が決定した場合、ACSは当該MHの周期的な認証要求メッセージのうち、次回の認証要求メッセージの到着を待つ。
3.MHが周期的な認証メッセージを送出すると、このときのMHに関するPALおよびSAL双方の通信状況(受信電波強度等)が認証要求メッセージ内にパラメタとして組み込まれ、AAAに到達する。
4.AAAは、MHの通信状態パラメタを抽出して、これをACSに送達する。
5.MHの通信状態パラメタを受信したACSは、この通信状態パラメタを用いて、以前に検出した移行先の候補が利用可能であるか判断する。もし移行が可能であれば(選定した移行先アクセス回線のエリアコードとMHの在圏情報が一致するなど)、AAAは、アクセス回線の移行指示(移行先のアクセス回線種別を含む)を認証応答メッセージに含めてMHに通知する。
6.周期登録に対する認証応答メッセージを受信したMHは、アクセス回線の移行が指示されたことを認識する。このため、MH内のプロトコル制御機能は、認証応答メッセージに含まれた移行先のアクセス回線へ、有効なアクセス回線を切り替える。これによって、以後、移行先のアクセス回線での通信が可能になる。
7.一方、CN内では、ACSによって選定された移行先のアクセス回線を収容するEN、および移行元のアクセス回線を収容するENに対してそれぞれ対応するACP−Vをプロファイル送達メッセージにより配布する。ただし、移行元のENへ送達されるACP−Vの「動作状態」は、「転送(Forwarding)」状態となっている。これは、アクセス回線の移行前に当該ENを経由していたMHへのパケットを、移行先のENに転送することで、移行先のアクセス回線に現在収容されている当該MHに到達させるためである。
図16は、本項における制御手順の例を示す図であり、図17および図18は、アクセス網の選択機構を示すフローチャートである。
図17および18において、AAAは、MHからの認証要求メッセージを受信し(S021)、通常の認証処理(ユーザ認証メッセージ処理;S022)を行う過程で、利用を許可すべきアクセス網(アクセス回線種別)を判定するために、ACSに対してアクセス回線種別の決定を依頼する。
具体的には、AAAは、MH単位に用意されるACP−CをACP−DBから引き出す(S023)。このとき、ACP−Cが得られれば(S024;YES)、引き出したACP−CにMHから送達された認証要求メッセージに含まれる移動ホスト情報(通信状態パラメタ;電波状態等)を加えてACSに通知する。即ち、AAAは、ACP−C,認証セッションの状態,端末の電波状況等を含むアクセス回線選択依頼をACSに与える。なお、ACP−Cがない場合(S024;NO)には、処理がS025に進む。
その後、AAAは、ACSからのアクセス回線選択依頼に対する応答を待つ。AAAは、ACSから、応答メッセージを受信すると、認証セッション管理情報を更新し(S025)、認証応答メッセージを生成する(S026)。即ち、AAAは、この応答メッセージに含まれるアクセス網情報(当該MHに割当てられたアクセス網(アクセス回線種別)を含むアクセス制御情報)を、認証応答メッセージに含めて端末へ送付する(S027)。その後、AAAはメッセージ待ち状態に戻る。
一方、ACSは、AAAからアクセス網の決定依頼(アクセス回線選択依頼;アクセス制御要求メッセージ)を受けつけると、当該MHの認証セッションの有無を依頼メッセージに含まれた通信状態パラメタから判定する(S032)。このとき、認証セッションが存在する(周期的な更新)場合(S032;NO)、ACSは、このMHに関するアクセス認証情報を以前に生成済であり、認証セッションと連動して保持していることになる。このため、移動ホストの認証セッションが有効であれば、ACSは現在使用中のアクセス回線種別を、ACS内の管理テーブル(アクセス制御管理テーブル)から引き出し(S034)、最新の移動ホスト状況(利用中のアクセス回線)と対比して(S035)、アクセス網を決定する(S036)。このとき、AAAは、必要があれば利用中のアクセス回線種別を変更する。
他方、認証セッションが存在しない場合(S032;YES)、すなわち初回登録の場合は単にMHから送信されたMHの通信状況パラメタ(電波状況等)を参照のうえ、AAAから送達されたACP−Cに記載された判定ルールに基づき、アクセス回線種別(アクセス網)を選定又は決定する(S033)。
アクセス網が決定された場合、S037の判定処理を行い、この判定結果に基づいて、決定されたアクセス網側のENに、アクセス網固有の制御情報(ACP−V)を送達する。即ち、ACSは、S037にてNOの判定(選定候補が副次アクセス回線でない場合)を行った場合には、主要アクセス回線用プロファイル配信処理として、PALに対するACP−Vを生成し(S041)、アクセス制御プロファイル送達メッセージを生成し(S042)、対応するENへ向けて送出する(S043)。これに対し、選択されたアクセス網がSAN(SAL)である場合(S037;YES)には、副次アクセス回線用プロファイル配信処理として、SALに対するACP−Vを生成し(S038)、アクセス制御プロファイル送達メッセージを生成し(S039)、対応するENへ向けて送出する(S040)。この場合、続いて主要アクセス回線用プロファイル配信処理(S041〜S043)が行われ、PAN(PAL)側のENに対してもACP−Vが送達される。ただし、このACP−Vにおける動作状態の指示内容は「当該回線の閉塞(非使用)」である。
S043の処理の後、アクセス回線選択応答(確定アクセス網)がAAAに返される。その後、ACSはACP−Cを、ACP−DBに格納し、メッセージ待ち状態に戻る。
なお、図17および18に示す動作に代えて、ACP−Vは、AAAを経由して対応するENへ送信されるようにしても良い。
MHの利用するアクセス回線種別がPALからSALへ移行する場合には、図17および18に示した動作例の後の動作は、例えば、図16に示すようになる。すなわち、図16に示すように、AAAによる認証終了後、ACP−VはPALおよびSALに対応する各ENに送達される(図16;(1))。
PALおよびSALをそれぞれ収容するENは、MH宛のパケットを受信すると、そのパケットに対する動作状態をACP−Vを参照して解釈する。このとき、ENは、自身が収容するアクセス回線が当該パケットの送信に適切なアクセス回線でない場合には、そのパケットをもう一方のENに転送する。転送先のENは転送元のENから受信したパケットを自身が収容するアクセス回線経由でMHに送信する(図16;(2))。
一方、MHは、認証応答メッセージに含まれた移行指示に従い、移行先に相当するアクセス回線経由で、CNへパケット(CNに接続された他キャリアのBBが収容するホストを宛先とするパケット)を送信する(図16;(3))。
〈10〉アクセス許容手順(図19)
次に、ネットワークアクセス制御システムにおけるアクセス許容手順について説明する。認証兼用アクセス回線を経由してMHのネットワーク接続に利用するアクセス回線種別を決定した後にMHのアクセスを許容する手段として以下の手順を利用する。
ACP−VがSALを収容するENに送達されると、当該ENは、収容しているアクセス回線に関して、MHと網との間で事前にPAL用の認証手順によって交換された認証情報に基づいて、SAL経由でのデータ通信を許容する。
すなわち、認証情報に基づいてSALを収容するENに対して、当該MHの認証情報を送信する。この認証情報はACP−Vに含まれる。認証情報を受信したENはこのACP−Vの内容を認識して、当該MHに関して、アクセス許容の操作を行う。この許容手順は、例えば、無線LANアクセスポイントでいえば、登録済みMHのMACアドレスを登録する操作に該当する。
MH側においては、受信した認証情報をSALのプロトコル制御装置に通知して、受理された時点で、通常のアクセス回線における各種認証手順の完了と同一状態になる。
本項におけるアクセス許容手順に必要な機能と手順は次の通りである。即ち、AAAは、認証情報生成機能を持つ。認証情報生成機能は、当該MHのPALを使用する認証手順において、SALについてのMH自体の正当性が保証された後、SALの認証情報を生成する機能である。
また、ACSは、認証情報の送達機能を持つ。この送達機能は、新たに利用を開始(移行元から移行)しようとするSALの認証情報を、PALを使った認証手順(PALを経由する認証応答メッセージの送信)によって、MHへ送達する機能である。
また、MHは、認証情報の抽出機能を持つ。認証情報を受信したMHは、認証応答メッセージに含まれるSALに関する認証情報(例えば、パケット暗号化鍵)を抽出して、MH内部のSALのプロトコル制御機能にこれを通知する。また、認証情報の通知を受けたMH内のSALのプロトコル制御機能は、認証情報を保存し、以後のデータ通信において利用する。
また、ENは、網側のアクセス制限を解除する機能を持つ。網側では、ACSが生成した認証情報が、当該MHが通信開始しようとするSALを収容するENへ、アクセス制御情報送達メッセージ(ACP−Vの送達用メッセージ)によって配付される。このメッセージを受領したENは、このメッセージに含まれるSALの認証情報を抽出し、これを保持するとともに、この認証情報に基づいて、当該MHからSALへ送出されたパケットを通過させるようにパケットのフォワーディング制御を行う。
図19は、アクセス許容手順に係る動作例を示す図である。図19に示すアクセス許容手順の内容は次の通りである。
SALにおけるアクセス権を認証対象のMHが持っていることが認証された場合には、AAAはMHを収容するAPに対し、認証完了メッセージ(認証確認メッセージ)を送信する。この認証完了メッセージ中には、SALの利用許可情報(例えば、MHとAPとの間の暗号化鍵等の情報)が含められる(図19;(1))。このとき、図33に示すようなフォーマットを持つ認証完了メッセージを適用することができる。
AAAは該当MHに対し、PAL経由で認証確認(認証応答)メッセージを送信する。この認証確認メッセージ中には、SALの利用許可情報(例えば、移動ホスト・アクセスポイント間の暗号化鍵等の情報)が含められる(図19;(2))。このとき、図31や図32に示すようなフォーマットを持つ認証応答メッセージを適用することができる。
これ以降、MHは、MHおよびAPにそれぞれ配布された利用許可情報(暗号化鍵等)を用いて、SAL経由で安全な通信を行うことが可能になる(図19;(3))。
〈11〉アクセス回線間移動時の「異種」アクセス回線間のサービス継続連携(図20)
次に、ネットワークアクセス制御システムにおける、MHの移動を網側で検知して移動先への接続設定を可能とするための構成について説明する。
CN内のACSの判断によって、異種アクセス回線間をMHが移行する際に、移行前と移行後のアクセス網の特性(例えば回線速度)の差異が生じることがある。例えば、公衆無線LANサービスを利用していたMHが、物理的な移動により当該公衆無線LANサービスが提供される領域を出て、PDCのみが提供される地域に移ったとする。
このようなアクセス網間移動が発生したとき、ACSはこれを認識し、移行前のアクセス網で利用していたアプリケーションの品質について、品質内容の優先事項をあらかじめ指定した上で、高優先の品質項目を極力維持する内容を含むACP−Vを、移行先のENに配信する。
例えば、無線LANを利用してWeb閲覧をしていたユーザの移動により、利用アクセス回線が方式の異なる無線アクセス回線に移行し、通信速度の低下が避けられない状況であるとする。
このような場合における、ユーザ側の利用要件として、例えば、通信速度(応答時間)を移行前と同等に維持(回線の特性限界の範囲内で)することを希望する場合がある。これに対し、例えば、画像データへのアクセスにおいて、表示サイズを変更することなく、色数の減少や圧縮率向上等の方法で応答時間の低下を回避する方法がある。他のユーザ側の利用条件として、応答時間にはこだわらず、取得されるコンテンツの品質維持を希望する場合もある。
このような利用条件に対し、ACSは、アクセス回線切り替え手順において、移行先のアクセス回線種別と現状(移行元)のアクセス回線の制御内容の差分を比較し、この中でユーザに応じた品質維持を優先させる項目(契約条件に基づく)を抽出し、この項目について回線移行に拘わらず品質維持を図ることができるような内容(パラメタ)を持つ、移行先回線に関するACP−Vを生成し、移行先のアクセス回線を収容するENに配信する。
配信を受けた移行先のENは、ACP−Vの内容にしたがって、アクセス回線移行してくる当該MHに対して、当該ACP−Vに記載される所定の優先項目およびパラメタに基づいた品質制御を実施する。
図20は、アクセス回線間のサービス継続連携の制御手順に係る動作例の説明図である。図20に示す動作例の内容は次の通りである。
AAAによる移行先アクセス回線の認証完了後、ACSは移行元のアクセス回線を収容するEN(旧EN)、および移行先のアクセス回線を収容するEN(新EN)に対し、それぞれのアクセス制御内容が記載されたACP−V(サービス情報)を送信する(図20;(1))。このとき、AAAは、各ENに対し、図33に示すようなフォーマットを持つアクセス許可要求メッセージを送信することができる。
旧ENに該当MH宛のパケットが到達した場合、旧ENは、ACP−V(サービス情報)の記載内容に従って、新ENにパケットを転送する(図20;(2))。
旧ENは、該当MH宛のパケットのサービス内容がAPC−Vに記載された内容と異なっている場合、該当MHに対してその旨を通知する(図20;(3))。このとき、旧ENは、図33に示すようなメッセージフォーマットを用いて、MHに対して通知を行うことができる。
該当MHは、必要に応じて相手ノード(CN:Correspondent Node)に対し、送信パケットについての設定変更を要求する(図20;(4))。このとき、当該MHは、相手ノードに対し、適用されるアプリケーション(例えば、ストリーミング)のプロトコルに応じた要求メッセージが送信されるように、アプリケーションに依存したメッセージを送信する。
〈12〉アクセス回線間移動時の「同種」アクセス回線間のサービス継続連携
次に、ネットワークアクセス制御システムが、移動ホストの移動を網側で検知して移動先への接続設定を可能とするための構成を説明する。
CN内のACSの判断によって、収容するENが異なる、同一種別のアクセス回線間をMHが移動する際に、CN内のACSは、当該MHについて生成済みのACP−Vを移行先のENに配布する。これによって、初回のACP−Vの生成時に比べて高速にACP−Vを配信することができる。
〈13〉切り替え方式1(周辺の網リソース状態によるアクセス回線の切り替え;図21,22)
次に、ネットワークアクセス制御システムにおける、現状利用中のアクセス回線が収容加入者数限度に近づき、性能劣化が予想される場合に、一定の契約条件に合致する加入者を、収容容量に余裕のある別アクセス回線へ再接続させることを可能とする構成について説明する。
ネットワークアクセス制御システムは、網内のトラヒック状況等に依存するリソース状態に基づいてアクセス回線の切り替え、移行を行うことができる。例えば、MHがアクセス回線としてPDC網を用いてデータ通信を行っている状態で、PDC網における音声の回線交換網が一時的に(年末などの特別なイベントによって)輻輳する場合がある。このような場合には、一般に、交換機側で発呼規制が行われる。これと同様に、各アクセス回線を収容するENでは、トラヒック状態を監視しておき、収容トラヒックの条件が一定の閾値を超えることをトリガとして、ENがACSに対して、自身が現在収容しているMHの全部又は一部に対する回線移行を起動するように依頼する。
この依頼を受けたACSは、回線移行論理により、移行可能なMHを選定して、このMHに関してアクセス回線の切り替えを行う。
図21は、切り替え発生依頼メッセージの例を示す表である。図21における項番1のメッセージは、ENからACSへ送信される他アクセス網への移動を要求するための依頼メッセージであり、ENが収容するアクセス網が輻輳しているため、他のアクセス網へMHを移行させることを要求する旨を含む。一方、項番2のメッセージは、ENからACSへ送信される他アクセス網からの移動可能通知を伝達するための依頼メッセージであり、アクセス網(ENが収容するトラフィック)に余裕があるため、他のアクセス網に収容されたMHを自アクセス網に移行可能である旨を含む。
図22は、本項におけるアクセス回線の切替の制御手順に係る動作例を示す図である。図22に示す動作例の内容は次の通りである。
SALを介してMHを収容している(SANに接続されている)ENはSALの状態を監視し、SALの状態がある閾値(例えばアクセス回線の収容数に対する閾値)を越えると、AAA/ACSに対してその旨を通知する(図22;(1))。このとき、ENが図34に示すようなフォーマットを持つメッセージを送信するように構成することができる。閾値を越えた旨は、例えばサービス情報等のフィールドに設定される。
AAA/ACSは、そのENが収容しているMHの中で他のENにも収容されているMH(図22に示すようなPANに対応するENに収容されているMH)を検索し、該当MHにアクセス回線を切替えるよう通知する(図22;(2))。このときの通知は、例えば図33に示すようなメッセージを適用することができる。
AAA/ACSは、切り替え前のアクセス回線を収容するEN(旧EN:図22中のEN−2)に対し、切り替え後のアクセス回線を収容するEN(新EN:図22中のEN−3)に該当MH宛のパケットを転送するためのACP−Vを通知する(図22;(3))。このとき、図33に示すようなメッセージを適用することができる。
MHは、アクセス回線を切り替える。アクセス回線の切替手法は、上述した第1の方式を適用することができる。図22に示す例では、SAN−1のSALがSAN−2のSALに切り替えられている。これ以降は、MHは、切り替え後のアクセス回線(SAN−2のSAL)を使用する(図22;(4))。
旧ENは、アクセス回線を切り替えたMH宛のパケットを受信した場合には、そのパケットを新ENに転送する(図22(5))。
〈14〉切り替え方式2(ユーザの契約条件によるアクセス回線の自動捕捉;図23)
或るアクセス回線を利用して通信中のユーザ(MH)について、このユーザのACPに規定された他のアクセス回線が所定の事情(電波状況の改善等)により利用できる状況になった場合には、ネットワークアクセス制御システムは、網側でこの他のアクセス回線の状態を検知し、自動的に回線捕捉(通信許可)し、これをユーザに通知し、接続可能とする。
例として、PANが一般の携帯電話網(PDC等)であり、SANが公衆無線LANサービスを構成する無線LAN網であるものと仮定する。また、PANはユーザの行動範囲のほぼ全域で利用可能であるのに対して、SANの利用範囲は散在的であるとする。
PANおよびSANの双方を利用可能なMHのユーザがSANを利用可能な場所を意識的に探すことは当然にある。さらに、PANを利用しているユーザがSANを利用できる場所に移った場合に、網側がこの変化を認識してアクセス網をPANからSANに自動的に切替える機能を提供できることが望ましい。
ネットワークアクセス制御システムは、上記機能を実現するため、AAA/ACSは、MHの在圏位置を検出可能であり、且つPANのセル識別情報(エリアコード)と、SANの利用可能位置(例えば公衆無線LANサービスの利用可能位置)との対応表を有し、MHの在圏位置がPANのみを利用可能な領域からPANおよびSANを利用可能な領域に移ったことを認識可能になっている。
図23は、本項における切替方式の制御手順の例を示す図である。図23に示される制御手順の内容は次の通りである。
MHの在圏位置がPANのみを利用可能な領域からPANおよびSANを利用可能な領域に移動すると、AAA/ACSは、MHに対し、SANが利用可能になったことを通知する。この通知には、例えば図33に示すようなメッセージフォーマットを適用できる。ユーザはSANを利用したい場合、アクセス回線切り替え要求をAAA/ACSに送信する(図23;(1))。この要求には、例えば図34に示すようなメッセージフォーマットを適用できる。
AAA/ACSは、MHからのアクセス回線切替要求を受信することにより、ユーザがSANの利用を希望していることを認識すると、SANのアクセス認証手順,ACP−Vの生成処理を行い、生成したACP−VをPALおよびSALにそれぞれ対応する各EN(EN−1およびEN−2)に送信する(図23;(2))。このとき、ACP−Vは、例えば図33に示すようなメッセージにより通知される。
その後、MH宛のパケットは、EN−1およびEN−2でそれぞれ解釈される。このとき、EN−1は、PANがパケットの転送に適切でないと判断し、パケットをEN−2に転送する。一方、EN−2は、SANがパケットの転送に適切であると判断し、MH宛のパケット(EN−1から転送されたパケットを含む)をSAN経由でMHに送信する。また、MHは、相手ノード宛のパケットをSANを経由して送信する。
〈15〉切り替え方式3(ユーザ移動ホスト要件に基づくアクセス回線の捕捉;図24,25)
ユーザ側のMHは、自身の状態、例えば受信電波状況等を網側にフィードバックする機能を持ち、ネットワークアクセス制御システムは、MHの状態情報に依存してMHが利用可能なアクセス回線を選択し捕捉する。
一般に、無線LAN装置の通信速度は、PDC等の移動通信方式に比べて高速である。但し、同一アクセスポイント内のMHの数や、MHのアクセスポイントからの距離により、同一種別の無線LAN方式であっても通信速度の偏差が大きい。このように、変動範囲が大きいパラメタ(通信速度等)を持つ通信方式では、CNのスループットに対して、MHの通信速度が支配要因となり、MH上で実行されるアプリケーションの体感速度に影響する。
ネットワークアクセス制御システムは、アクセス回線間の移行動作において、移行先のアクセス回線の状態を考慮して移行可否を決定する。具体的には、移行先候補のアクセス回線が混雑している(収容数が多くスループットが低下している等)場合は移行を行わない。反対に、現在使用中のアクセス回線が混雑もしくは電波状況が劣化した場合に、移行先アクセス回線に移行する。
ネットワークアクセス制御システムは、MHが要求した場合にはアクセス回線を切替える。このため、MHは、MH自身が把握する、無線区間の電波強度等の受信品質データ(通信パラメタ)を、PALの認証要求メッセージに載せる機能(通信パラメタ付加機能)を有する。これによって、受信品質データをCNのAAA/ACSに伝達することができる。一方、AAA/ACSは、移行先のアクセス回線の選択決定において、MHからの受信品質データを参照し、選択の判断に利用する。
図24は、MH内で保持される通信パラメタ(移動ホスト情報)の例を示す表である。図24に示すように、通信パラメタとして、電波強度,スループット,在圏地域(在圏位置)を適用することができる。
図25は、本項における制御手順の例を示す図である。図25に示す制御手順は次の通りである。MHは、副次アクセス回線SALが利用可能であることを感知し、認証サーバAAA/ACSに対して副次アクセス回線の認証要求を送信する(図25;(1))。このときの認証要求に対し、例えば図7や図8に示すメッセージフォーマットを適用することができる。
AAA/ACSは、認証終了後、PALを収容するEN−1およびSALを収容するEN−2のそれぞれに対応するACP−Vを送信する(図25;(2))。このときのACP−Vは、例えば図33に示すようなメッセージフォーマットに従って送信することができる。
これ以降、MHはSALを使用して通信することができる(図25;(3))。
EN−1は、MH宛のパケットを受信すると、ACP−Vの内容に従って、このパケットをEN−2に転送する。
〈16〉切り替え方式4(利用中のアプリケーション種別に依存したアクセス回線の自動切り替え;図26,27)
所定のアクセス回線を用いてネットワークに接続中のMHが新たに或るアプリケーションを利用する場合において、このアプリケーションがその利用条件として特定のアクセス回線の利用を要求する場合がある。ネットワークアクセス制御システムは、このようなアプリケーションの要求を検出し、アクセス回線の切替処理に際して、必要に応じてMHに通知確認を行う。
一般に、PDC等の移動通信方式は、通信速度で無線LANよりも劣るが、セキュリティに関しては高いと言われている。また、MH上で実行されるアプリケーションには、通信速度よりも高いセキュリティを要求するものがある。また、パスワードやクレジットカード番号の送信を、安全な通信路を用いて行いたいというユーザの要求がある。また、セキュリティ以外でも、アプリケーションが円滑な実行のために所定の網能力(帯域等)を要求する場合もある。
ネットワークアクセス制御システムは、アプリケーションからの要求に応じて、アプリケーションの要求に応じたアクセス回線にMHが利用するアクセス回線が切り替えられるように、アクセス回線の切替制御を行う。
このため、MHは、MH自身が把握する、アプリケーションが要求するアクセス回線の種別を示す情報(アプリケーション要求情報)を、PALの認証要求メッセージに載せる機能(アプリケーション要求情報付加機能)を有する。これによって、アプリケーション要求情報を、CNのAAA/ACSへ伝達することができる。一方、AAA/ACSは、移行先アクセス回線の選択決定時に、アプリケーション要求情報を参照し、アクセス回線の決定の判断に使用する。
図26は、特定のアクセス回線の利用を所望するアプリケーションの種別の例を示す表である。図26に示すように、アプリケーションとして、パスワード入力,クレジットカード番号入力,ストリーミング,ソフトウェアのダウンロードを例示することができる。
図27は、本項における一連の制御手順の例を示す図である。図27に示す制御手順は次の通りである。図27に示す制御手順は、MHがSANを利用している場合において、或るアプリケーションを利用するときに、このアプリケーションがPANの利用を要求する(アプリケーションがPAL経由を指示した)ケースである。
アプリケーションが特定のアクセス網(PAN)経由を指示した場合には、MHは、アプリケーション要求情報(少なくともPALのアクセス回線種別を含む)を含むPALの認証要求メッセージをAAA/ACSに送信する(アクセス回線明示指定)(図27;(1))。
AAA/ACSは、認証要求メッセージに対する認証処理の後、アプリケーションからの指示に応じたパケットのみ、PALを経由させることを指示するACP−VをPALを収容するEN−1およびSALを収容するEN−2にそれぞれ送信する(図27;(2))。
これ以降、アプリケーションからの指示に応じたパケットは、PALを使用して送受信される(図27;(3))。
なお、EN−2に、アプリケーションからの指示に応じたパケットが到達した場合、EN−2はPALを収容するEN−1に該当パケットを転送し、転送されたパケットはEN−1からPALを経由してMHに送信される。
〈17〉ネットワークアクセス端末(図28,29)
次に、端末について説明する。ここでは、端末の例として、移動ホスト(MH)について説明する。
移動ホストは、上記した〈3〉項で説明した認証要求メッセージ送出機能,認証応答メッセージ処理機能,〈15〉項で説明した通信パラメタ付加機能,〈16〉項で説明したアプリケーション要求情報付加機能を備えることができる。
図28は、ネットワークアクセス端末の例としての移動ホストMHの構成例を示す図である。移動ホストは、主要アクセス回線(PAL)メッセージ送受信部25と、副次アクセス回線(SAL)メッセージ送受信部26と、プロトコル制御部27と、アクセス手段選択部28とから構成することができる。また、移動ホストは、図7,図8に示したような認証要求メッセージを送信することができる(〈3〉項参照)。
図29は、移動ホストの動作例を示すシーケンス図である。例として、PANのみを利用可能な地域から、PANおよびSANの双方が利用できる地域にMHが移動した場合について説明する。
1.PALメッセージ送受信部25およびSALメッセージ送受信部26は、PANおよびSANにアクセス可能であることをそれぞれ感知し、これをプロトコル制御部27に通知する(S051,S052)。
2.プロトコル制御部27はSAL用(又はPAL及びSAL用)の認証要求メッセージを作成し(S053)、PALメッセージ送受信部25に渡す(S054)。PALメッセージ送受信部25は、この認証要求メッセージをPAN経由でCN内のAAAに送信する(S055)。
3.その後、PALメッセージ送受信部25は、SAL用の認証応答メッセージをPAN経由で受信し(S056)、プロトコル制御部27に渡す(S057)。プロトコル制御部27は、認証応答メッセージに含まれるパケット暗号鍵等のMHがSALの利用に必要な情報(利用許可情報)を抽出し(S058)、SALメッセージ送受信部に渡す(S060)。SALメッセージ送受信部26は、SALの利用許可情報を所定の保存領域に格納・管理する。また、プロトコル制御部27はアクセス手段選択部28に双方のアクセス手段(PAL及びSAL)が利用可能であることを通知する(S059)。
4.その後、例えば、MHのアプリケーションがパケット通信を行おうとする場合、アクセス手段選択部28において適切なアクセス回線が選択され、保持している鍵等を使って暗号化等の適切な処理の後、パケット送信が行われる。
また、MHのアプリケーションが使用するアクセス回線を指定した場合の動作は、以下のようになる。
1.プロトコル制御部27は指定されたアクセス回線用の認証要求メッセージを作成し、PALメッセージ送受信部25からPAN経由で送信する。この認証手順により、網側はアプリケーションにより指定されたアクセス回線を使用することを感知する。
2.PALメッセージ送受信部25は、指定されたアクセス回線用の認証応答をメッセージをPAN経由で受信し、プロトコル制御部27はアクセス手段選択部28に指定したアクセス回線を使用するよう指示する。また認証応答メッセージに含まれる鍵等の利用許可情報を抽出し、指定されたアクセス回線に対応するメッセージ送受信部で保持する。
3.アプリケーションが通信を行おうとする場合、アクセス手段選択部28において適切なアクセス回線が選択され、保持している鍵等を使って暗号化等の適切な処理の後送信が行われる。
本実施形態によれば、無線LAN等のアクセス網をコア網に対するアクセス手段として導入しやすくすることができる。また、本発明によれば、アクセス網の切替等のアクセス網間の連携を図ることができる。
また、本実施形態によれば、移動キャリア及び既存のアクセス網を使用する全てのユーザが、新規のアクセス網について低コストでセキュリティを確保しつつ、既存の基盤ネットワークサービスと連動して網資源を有効利用することが可能となる。
Claims (23)
- 主要アクセス網と少なくとも1つの副次アクセス網とを含む種別の異なる複数のアクセス網の少なくとも1つを用いてコア網を利用可能な端末から送信され、前記主要アクセス網を経由して前記コア網に到達する、前記主要アクセス網および前記副次アクセス網の利用に対する認証要求を含む認証要求メッセージを受信する受信手段と、
受信した前記認証要求メッセージに含まれる認証要求に対する認証処理を行う認証手段と、
前記主要アクセス網を経由して前記端末に到達する前記認証処理に対する認証応答メッセージを送信する送信手段と
を含むネットワークアクセス制御システム。 - 前記送信手段は、前記認証手段が副次アクセス網の利用を認証する場合に、認証された副次アクセス網の利用許可情報を含む前記認証応答メッセージを送信するとともに、前記端末が前記認証された副次アクセス網を利用するための情報を前記認証された副次アクセス網に通知する
請求項1に記載のネットワークアクセス制御システム。 - 前記端末のユーザが前記認証手段により認証された副次アクセス網について事前に契約した利用条件に従ってこの副次アクセス網および前記コア網を利用した通信サービスが提供されるように前記コア網を制御する網制御手段をさらに備える
請求項1記載のネットワークアクセス制御システム。 - 前記網制御手段は、前記端末によって使用される前記認証された副次アクセス網のアクセス回線を収容するエッジノードに対し、前記端末について前記利用条件に従った通信サービスを実施するための制御情報を通知する
請求項3記載のネットワークアクセス制御システム。 - 前記端末が前記主要アクセス網を用いてコア網を利用する場合の従量課金と、前記端末が前記副次アクセス網を用いてコア網を利用する場合の従量課金との双方に係る処理を行う課金手段をさらに含む
請求項1〜4の何れかに記載のネットワークアクセス制御システム。 - 前記課金手段は、
前記端末によって使用される前記認証された副次アクセス網のアクセス回線を収容するエッジノードに対し、端末の副次アクセス網の利用に対する従量課金を行うための課金単位を通知する課金単位通知手段と、
このエッジノードが前記課金単位に従って計測した前記端末に係る課金単位の量に基づいて課金額を算出する算出手段とを含む
請求項5記載のネットワークアクセス制御システム。 - 前記認証手段は、ローミングユーザの端末からの前記副次アクセス網の認証要求を含む認証要求メッセージを前記主要アクセス網を介して前記受信手段が受信した場合に、前記ローミングユーザに対する前記副次アクセス網の認証処理をローミング元の認証システムとの連携において行い、
前記送信手段は、前記ローミングユーザの認証処理に対する認証応答メッセージを前記主要アクセス網を経由してローミングユーザの端末に送信する
請求項1〜6の何れかに記載のネットワークアクセス制御システム。 - 前記網制御手段は、前記認証手段がローミングユーザを認証する場合に、前記ローミングユーザの端末が使用する前記認証された副次アクセス網のアクセス回線を収容するエッジノードに対し、ローミングユーザの当該副次アクセス網の利用条件に従った通信サービスを提供するための制御情報を通知する
請求項7記載のネットワークアクセス制御システム。 - 前記認証要求メッセージは、前記端末が前記主要アクセス網を利用可能な範囲で移動することによりこの端末が利用可能なアクセス網の数が変化した場合に前記端末から送信され、且つ利用可能となったアクセス網の認証要求を少なくとも含み、
前記網制御手段は、前記認証要求メッセージを前記受信手段が受信したことを契機として、前記端末が利用するアクセス網を切り替えるか否かを判断し、
前記認証手段は、切替先のアクセス網について認証処理を行い、
前記送信手段は、前記認証手段により認証された切替先のアクセス網の認証応答メッセージを前記主要アクセス網を経由して前記端末に送信する
請求項3記載のネットワークアクセス制御システム。 - 前記網制御手段は、前記端末のユーザの契約内容,現在の網状態のうちの少なくとも1つに従ってアクセス網を切り替えるか否かを判断する
請求項9記載のネットワークアクセス制御システム。 - 前記網制御手段は、切替先として選択可能な複数の副次アクセス網がある場合には、前記端末のユーザの契約内容および/または現在の網状態に基づいて切替先のアクセス網を決定する
請求項9又は10記載のネットワークアクセス制御システム。 - 前記送信手段は、前記認証手段による前記切替先のアクセス網の認証に応じて、この切替先のアクセス網の利用許可情報を含む前記認証応答メッセージを前記端末へ送信するとともに、前記端末が前記切替先のアクセス網を利用するための情報をこのアクセス網に通知し、
前記網制御手段は、前記端末のユーザが前記切替先のアクセス網について事前に契約した利用条件に従ってこのアクセス網および前記コア網を利用した通信サービスが提供されるように、前記端末によって使用される前記切替先の副次アクセス網のアクセス回線を収
容するエッジノードに対し、前記端末について前記利用条件に従った通信サービスを実施するための制御情報を通知する
請求項9〜11の何れかに記載のネットワークアクセス制御システム。 - 前記通信サービスが切替元のエッジノードと切替先のエッジノードとの連携により実施される場合には、前記網制御手段は、切替元および切替先のエッジノードに連携サービスを実施するための制御情報をそれぞれ通知する
請求項12記載のネットワークアクセス制御システム。 - 前記網制御手段は、アクセス網が切り替えられても切替前における通信品質が維持されるような通信サービスを実施するための制御情報を前記切替先のアクセス回線を収容するエッジノードに送信する
請求項12又は13記載のネットワークアクセス制御システム。 - 前記網制御手段は、前記端末の同一のアクセス網の利用において、この端末が使用するアクセス網のアクセス回線を収容するエッジノードを切り替える際に、切替元のエッジノードに通知した制御情報と同様の制御情報を切替先のエッジノードに送信する
請求項12〜14の何れかに記載のネットワークアクセス制御システム。 - 前記網制御手段は、前記端末が使用しているアクセス回線を収容しているエッジノードからトラフィック情報を受け取り、トラフィックが所定の閾値を越えている場合には、前記端末にアクセス網の切替を依頼する、
請求項12〜15の何れかに記載のネットワークアクセス制御システム。 - 前記網制御手段は、前記端末の位置を監視し、この端末が所定の副次アクセス網を利用可能な位置に移動した場合に、その旨をこの端末に通知する
請求項9〜16の何れかに記載のネットワークアクセス制御システム。 - 前記受信手段は、前記端末からその状態情報を含む前記認証要求メッセージを受信し、
前記網制御手段は、前記状態情報に基づいて前記端末が利用するアクセス回線を切り替えるか否かを判断する
請求項9記載のネットワークアクセス制御システム。 - 前記受信手段は、前記端末から切替先のアクセス網を指定する指定情報を含む前記認証要求メッセージを受信し、
前記網制御手段は、前記指定情報で指定されたアクセス網を切替先のアクセス網として決定する
請求項9記載のネットワークアクセス制御システム。 - 主要アクセス網と少なくとも1つの副次アクセス網とを含む種別の異なる複数のアクセス網の少なくとも1つを用いて、コア網を利用可能な端末から送信され、前記主要アクセス網を経由して前記コア網に到達する、前記主要アクセス網および前記副次アクセス網の利用に対する認証要求を含む認証要求メッセージを受信する受信手段と、
受信した前記認証要求メッセージに含まれる認証要求に対する認証処理を行う認証手段と、
前記主要アクセス網を経由して前記端末に到達する前記認証処理に対する認証応答メッセージを送信する送信手段と
を含むアクセス網の認証サーバ。 - 主要アクセス網と少なくとも1つの副次アクセス網とを含む種別の異なる複数のアクセ
ス網の少なくとも1つを用いてコア網を利用可能な端末から送信され、前記主要アクセス網を経由して前記コア網に到達する、前記主要アクセス網および前記副次アクセス網の利用に対する認証要求を含む認証要求メッセージに対する認証処理に際し、前記端末のユーザに係る情報と認証対象の主要アクセス網および副次アクセス網に係る情報を受信する受信手段と、
前記認証対象の主要アクセス網および副次アクセス網について認証が行われる場合に、前記端末のユーザが前記認証手段により認証された主要及び副次アクセス網について事前に契約した利用条件に従って、この主要アクセス網および副次アクセス網および前記コア網を利用した通信サービスが提供されるように、前記端末によって使用される前記認証された主要アクセス網および副次アクセス網のアクセス回線を収容するエッジノードに対し、前記端末について前記利用条件に従った通信サービスを実施するための制御情報を通知する通知手段と
を含むアクセス制御サーバ。 - 主要アクセス網と少なくとも1つの副次アクセス網とを含む種別の異なる複数のアクセス網の少なくとも1つを用いてコア網を利用可能であり、
自装置から前記主要アクセス網を経由して前記コア網に到達する、自装置の前記主要アクセス網および前記副次アクセス網の利用に対する認証要求を含む認証要求メッセージを送信する認証要求送信手段と、
前記コア網から前記認証要求に対する認証応答メッセージを、前記主要アクセス網を経由して受信する認証応答受信手段と、
前記認証応答メッセージに含まれた前記主要アクセス網および前記副次アクセス網の利用許可情報を用いて前記主要アクセス網および前記副次アクセス網を介して前記コア網を利用する手段と
を含む端末。 - 主要アクセス網と少なくとも1つの副次アクセス網とを含む種別の異なる複数のアクセス網の少なくとも1つを用いて、コア網を利用可能な端末から送信され、前記主要アクセス網を経由して前記コア網に到達する、前記主要アクセス網および前記副次アクセス網の利用に対する認証要求を含む認証要求メッセージを受信し、
受信した前記認証要求メッセージに含まれる認証要求に対する認証処理を行い、
前記主要アクセス網を経由して前記端末に到達する前記認証処理に対する認証応答メッセージを送信する
ことを含むネットワークアクセス制御方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002329820 | 2002-11-13 | ||
JP2002329820 | 2002-11-13 | ||
PCT/JP2003/011435 WO2004045173A1 (ja) | 2002-11-13 | 2003-09-08 | ネットワークアクセス制御システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2004045173A1 JPWO2004045173A1 (ja) | 2006-03-16 |
JP4159548B2 true JP4159548B2 (ja) | 2008-10-01 |
Family
ID=32310580
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004551187A Expired - Fee Related JP4159548B2 (ja) | 2002-11-13 | 2003-09-08 | ネットワークアクセス制御システム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP4159548B2 (ja) |
WO (1) | WO2004045173A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10798763B2 (en) | 2011-06-03 | 2020-10-06 | Sony Corporation | Wireless communication apparatus, information processing apparatus, communication system, and communication method |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4689225B2 (ja) * | 2004-10-15 | 2011-05-25 | パナソニック株式会社 | 無線ネットワークシステム、無線端末収容装置及び通信装置 |
JP4341073B2 (ja) * | 2005-04-25 | 2009-10-07 | 日本電気株式会社 | 仮想閉域網システム、サーバ、ユーザ端末、アクセス方法、プログラム及び記録媒体 |
JP4547296B2 (ja) * | 2005-04-28 | 2010-09-22 | 株式会社エヌ・ティ・ティ・ドコモ | アクセス制御システム及びアクセス制御方法 |
EP1900160B1 (en) * | 2005-06-28 | 2015-08-26 | Telefonaktiebolaget LM Ericsson (publ) | Means and methods for controlling network access in integrated communications networks |
US8213934B2 (en) * | 2006-04-14 | 2012-07-03 | Qualcomm Incorporated | Automatic selection of a home agent |
JP2007288550A (ja) * | 2006-04-18 | 2007-11-01 | Nakayo Telecommun Inc | 無線lanシステム |
JP4779827B2 (ja) | 2006-06-29 | 2011-09-28 | 日本電気株式会社 | ネットワーク制御システム、無線通信装置、及びネットワーク制御方法 |
US8155620B2 (en) | 2007-06-13 | 2012-04-10 | Qualcomm Incorporated | Method and apparatus for accounting in a mobile data packet network |
EP2375816A1 (en) * | 2008-12-15 | 2011-10-12 | NTT DoCoMo, Inc. | Mobile communication method, base transceiver station, radio network controller, core network device, and gateway device |
CN103391633B (zh) * | 2012-05-09 | 2018-08-24 | 中兴通讯股份有限公司 | 网络接入方法及装置 |
JP2013258547A (ja) * | 2012-06-12 | 2013-12-26 | Hitachi Ltd | 移動通信システム、および、移動通信方法 |
JP6673356B2 (ja) * | 2015-08-04 | 2020-03-25 | 日本電気株式会社 | 通信システム、通信装置、通信方法、端末、プログラム |
JP6546846B2 (ja) * | 2015-12-22 | 2019-07-17 | 株式会社Kddi総合研究所 | 認証サーバ、アクセスポイント及びプログラム |
JP6640667B2 (ja) * | 2016-06-30 | 2020-02-05 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 通信装置、加入者情報制御サーバ、接続制御方法及びコンピュータプログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10307798A (ja) * | 1997-05-02 | 1998-11-17 | Nec Corp | 負荷分散型認証サーバにおける認証方式 |
JP3439153B2 (ja) * | 1999-05-13 | 2003-08-25 | 日本電信電話株式会社 | 無線端末認証方法 |
JP4162347B2 (ja) * | 2000-01-31 | 2008-10-08 | 富士通株式会社 | ネットワークシステム |
-
2003
- 2003-09-08 WO PCT/JP2003/011435 patent/WO2004045173A1/ja active Application Filing
- 2003-09-08 JP JP2004551187A patent/JP4159548B2/ja not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10798763B2 (en) | 2011-06-03 | 2020-10-06 | Sony Corporation | Wireless communication apparatus, information processing apparatus, communication system, and communication method |
Also Published As
Publication number | Publication date |
---|---|
JPWO2004045173A1 (ja) | 2006-03-16 |
WO2004045173A1 (ja) | 2004-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20050148321A1 (en) | Network access control system | |
JP6339713B2 (ja) | 利用者を活性化する方法,利用者を認証する方法,利用者トラヒックを制御する方法,3GトラヒックWi−Fiう回網の利用者接続を制御する方法及び3Gトラヒックう回システム | |
JP4409950B2 (ja) | 移動体ネットワーク間のアクセスを切替える方法と装置 | |
US7519036B2 (en) | Method of user access authorization in wireless local area network | |
KR20220066069A (ko) | 다중 액세스를 위한 정책 제어 | |
CA2462691C (en) | Method and system for allowing multiple service providers to serve users via a common access network | |
JP4789918B2 (ja) | 異種ネットワークシステム、ネットワークノード、および移動ホスト | |
RU2323532C2 (ru) | Способ взаимодействия во взаимодействующей сети блс для быстрого выбора оборудованием пользователя сети мобильной связи для доступа | |
JP4383456B2 (ja) | 新しいパブリックランドモバイルネットワークにアクセスするwlanの移動端末のための方法及びシステム | |
EP1588513B1 (en) | Mechanisms for policy based umts qos and ip qos management in mobile ip networks | |
EP1707024B1 (en) | Improvements in authentication and authorization in heterogeneous networks | |
KR100967749B1 (ko) | 어드레스 관리방법, 어드레스 관리시스템, 이동 단말 및 홈 도메인 서버 | |
CN101785358B (zh) | 异构无线自组织网络 | |
JP4159548B2 (ja) | ネットワークアクセス制御システム | |
JP4166942B2 (ja) | 移動無線網用インターネットプロトコルトラフィックフィルタ | |
EP1916867B1 (en) | A method for managing the local terminal equipment to access the network | |
EP3295650B1 (en) | Admission of a session to a virtual network service | |
JP4687788B2 (ja) | 無線アクセスシステムおよび無線アクセス方法 | |
US8184575B2 (en) | Packet communication network and subscriber-associated-information delivery controller | |
CN110140380A (zh) | 紧急呼叫的开放接入点 | |
WO2006002601A1 (fr) | Procede pour l'etablissement de la connexion de session par les utilisateurs de reseau local sans fil | |
WO2010099728A1 (zh) | 路由方法、装置及通信系统 | |
KR101504173B1 (ko) | AC와 AP의 연동 기반의 WiFi 로밍에서의 과금 처리 방법 및 장치 | |
JP4422101B2 (ja) | 途切れずに引渡しを行うためのコンテキスト転送 | |
CN103384365A (zh) | 一种网络接入方法、业务处理方法、系统及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071016 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071217 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080708 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080715 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110725 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110725 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120725 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120725 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130725 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |