JP5603526B2 - セキュアな電気通信ネットワークにおける高可用性を向上させる方法、及び複数のリモートノードを備える電気通信ネットワーク - Google Patents

セキュアな電気通信ネットワークにおける高可用性を向上させる方法、及び複数のリモートノードを備える電気通信ネットワーク Download PDF

Info

Publication number
JP5603526B2
JP5603526B2 JP2014513949A JP2014513949A JP5603526B2 JP 5603526 B2 JP5603526 B2 JP 5603526B2 JP 2014513949 A JP2014513949 A JP 2014513949A JP 2014513949 A JP2014513949 A JP 2014513949A JP 5603526 B2 JP5603526 B2 JP 5603526B2
Authority
JP
Japan
Prior art keywords
nodes
remote
network
message
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014513949A
Other languages
English (en)
Other versions
JP2014522605A (ja
Inventor
ユルゲン,マウラー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Publication of JP2014522605A publication Critical patent/JP2014522605A/ja
Application granted granted Critical
Publication of JP5603526B2 publication Critical patent/JP5603526B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Exchange Systems With Centralized Control (AREA)

Description

本発明は、特に、セキュアな電気通信ネットワークにおける可用性を向上させる方法であって、この電気通信ネットワークは、複数のリモートノードと、1つ以上の更なるネットワークノードと、少なくとも1つのセキュリティゲートウェイとを備え、上記複数のリモートノードのそれぞれは、上記1つ以上の更なるネットワークノードに通信し、上記複数のリモートノードの第1の動作モードにおいて、上記少なくとも1つのセキュリティゲートウェイの通常動作の間、上記複数のリモートノードのそれぞれは、セキュアな通信トンネルによって上記少なくとも1つのセキュリティゲートウェイと通信する、方法に関する。さらに、本発明は、複数のリモートノードと、1つ以上の更なるネットワークノードと、少なくとも1つのセキュリティゲートウェイとを備える電気通信ネットワークであって、上記少なくとも1つのセキュリティゲートウェイと上記1つ以上の更なるネットワークノードとの間のセキュアな通信機能の高可用性を向上させるように構成されている、電気通信ネットワークに関する。
特にアクセスネットワークにおけるイーサネット(登録商標)上のインターネットプロトコル(IP:Internet Protocol)に向けた移行に伴って、ますます多くのネットワークノード(又はネットワークサイト)、特にリモートネットワークノードが、インターネットプロトコルセキュリティトンネル(IPsecトンネル:Internet Protocol Security tunnels)等のセキュアな通信トンネルによって、すなわち、基地局から、セキュリティゲートウェイ、例えばインターネットプロトコルセキュリティゲートウェイ(IPsecGW:Internet Protocol Security Gateways)が配置されている或る集中型ノード又は集中型サイトまで保護されている。より大きなネットワークでは、最大で2000個〜3000個までの数百個の基地局又は他のネットワークノードが、一対のIPsecGWに接続されている場合がある。これは、セキュリティゲートウェイの深刻な障害(例えば、IPsecGW障害)又は証明書ハンドリングに関連する問題が無線サービスの大きな衝撃につながる可能性があることも意味している。
IPsecGWの冗長性等のセキュリティゲートウェイの冗長性が設けられるとともに、スマート切り替えメカニズム又はステートフル切り替えメカニズムが設けられる場合であっても、セキュリティゲートウェイのクラスタ、例えば冗長IPsecクラスタの深刻な障害の適度なリスクが存在する。また、証明書ハンドリングに関する問題であっても、全ての無線ノードが、IPsecトンネル等のセキュリティゲートウェイへのセキュアな通信トンネルをセットアップすることがもはや可能でない状況につながる場合がある。
無線ノードの管理プレーンも、セキュリティメカニズム、特にIPsecによって保護されるので、セキュリティメカニズム(例えば、IPsec)の機能の喪失は、無線サービスの喪失だけでなく、無線ノードへのリモート管理アクセスの喪失をも意味する。それは、事業者がサイトに訪問することなく無線ノードを非セキュリティ通信(例えば、非IPsec通信)にスイッチバックすることができないことを意味する。
非セキュリティ通信(例えば、非IPsec)への無線ノードの自動スイッチバック(すなわち、IPsecトンネル等のセキュアな通信トンネルを確立することができない場合)は、セキュリティの観点から許容することができない。なぜならば、これは、セキュリティ対策を無効にする機会を「中間者(man in the middle)」に与えるおそれがあるからである。
本発明の目的は、セキュアな通信トンネル又はチャネルが、ネットワークノード、特にセキュリティゲートウェイの深刻な障害に起因して遮断されると、単純で容易で更にセキュアでもあるメカニズムを提供して通信を復旧することによって、通常はセキュアな通信トンネルを用いる電気通信ネットワークにおける高可用性を向上させる方法を提供することである。
本発明は、そのような深刻な障害の場合に、通常はセキュアな通信トンネルによって接続されたノード、特に、接続された(リモートの)無線ノードを非セキュリティ通信動作モード、特に非IPsec通信に、事業者が制御する方法で、どのようにして切り替えることができるのかの解決策を提案する。これによって、たとえIPsec保護が一時的に中断されても、事業者は、無線サービスを維持することが可能になる。さらに、これによって、電気通信ネットワークのノード間の通信のセキュリティレベルの持続する減少を回避することが可能になる。加えて、(リモートノードと更なるネットワークノードとの間のインターネットプロトコルセキュリティ接続性に関する)追加の帯域外通信チャネルが必要とされないような自己回復機能が提供される。
本発明の目的は、セキュアな電気通信ネットワークにおける高可用性を向上させる方法であって、前記電気通信ネットワークは、複数のリモートノードと、1つ以上の更なるネットワークノードと、少なくとも1つのセキュリティゲートウェイとを備え、前記複数のリモートノードのそれぞれは、前記1つ以上の更なるネットワークノードに通信し、前記少なくとも1つのセキュリティゲートウェイの通常動作中の前記複数のリモートノードの第1の動作モードでは、前記複数のリモートノードのそれぞれは、セキュアな通信トンネルによって前記少なくとも1つのセキュリティゲートウェイと通信し、前記セキュアな通信トンネルの障害中の前記複数のリモートノードの第2の動作モードでは、前記複数のリモートノードのうちの少なくとも1つの特定のリモートノードは、前記セキュリティゲートウェイをバイパスすることによって、前記1つ以上の更なるネットワークノードに接続され、前記第1の動作モードは、動的ホスト構成プロトコル(DHCP:Dynamic Host Configuration Protocol)プロトコルを用いた、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードと前記1つ以上の更なるネットワークノードとの間の少なくとも第1のメッセージ及び第2のメッセージの交換によって、前記第2の動作モードに切り替えられる、方法によって達成される。
本発明によれば、それによって、有利には、セキュリティゲートウェイクラスタの深刻な障害、例えばIPsecクラスタの障害の場合に、例えば、リモートノード(例えば、無線ノード又は基地局若しくはeNodeB)においてセキュアで事業者によって制御された方法でIPsec機能をオフに切り替えることによって、セキュアな通信の機能のオフへの切り替えをできるようにすることが可能である。本発明によれば、このセキュリティバイパス機能(又はIPsec緊急バイパス機能)のための労力は、最小に削減することができ、特に、上記リモートノード又は複数のリモートノードのサイトへのサイト訪問を何ら必要としない。さらに、本発明によれば、セキュリティゲートウェイの障害によって影響を受けるのが複数のリモートノードであっても(又は全てのリモートノードであっても)、非常に短い時間でセキュリティバイパス機能(又は「IPsec緊急バイパス」モード)に対応する第2の動作モードに切り替えることができるようにすることが可能である。
本発明によれば、前記第1のメッセージは、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードからの要求を含み、前記第2のメッセージは、ネットワーク管理ノードによる前記第1のメッセージに対する回答を含み、前記第2のメッセージは、ワンタイムパスワードを含むことが好ましい。
それによって、有利には、リモートネットワークノードのセキュアな通信に関係した動作モードを、ネットワーク事業者の許可がある場合を除いて変更することができないようにすることが可能である。特に、本発明によれば、ワンタイムパスワードを(第1の動作モードの障害の前に)複数のリモートノードのうちの少なくとも1つの特定のリモートノードに既に配信しておくことが可能であり、そのため、有利には、
複数のリモートノードのうちの少なくとも1つの特定のリモートノードの主導であるが、
ネットワーク管理ノードの制御の下で、
第2の動作モードをアクティブ化することが可能である。
本発明によれば、前記第1のメッセージは、例えば、DHCP発見メッセージ(すなわち、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードによって用いられるIPアドレスを要求するメッセージ)であり、前記第2のメッセージは、例えば、DHCPオファーメッセージ(すなわち、用いられるIPアドレスを付与するメッセージ)である。本発明によれば、前記第1の動作モードでは、(第2のメッセージに類似した)DHCPオファーメッセージは、例えば、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードによって用いられるIPアドレスのみを含むのに対して、前記第2の動作モードでは、前記第2のメッセージは、特にオプションのデータ、特に前記ワンタイムパスワード、及び(DHCP標準規格によれば)通常はIPアドレスを含むことが好ましい。
さらに、本発明によれば、前記ワンタイムパスワードは、前記リモートノードに最初に記憶される(又は、複数のワンタイムパスワードが前記リモートノードに最初に記憶される)ことが好ましい。これを達成するために、前記ワンタイムパスワード又は前記複数のワンタイムパスワードの配信は、前記コアネットワークのノード(例えば、ネットワーク管理システムノード)から実現される。したがって、本発明によれば、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードへの前記ワンタイムパスワードのこの配信は、前記複数のリモートノードのうちの前記特定のリモートノードが、前記第1の動作モードで動作している間にのみ、好ましくは、前記セキュアな通信トンネルを介して行われることが好ましい。
それによって、一方における複数のリモートノードと、他方における電気通信ネットワークのセキュリティゲートウェイ又は他のノードとの間の通信のセキュリティレベルの更なる向上が可能である。なぜならば、ワンタイムパスワードは、複数のリモートネットワークノードの第1の動作モードに従って、複数のリモートノードとセキュリティゲートウェイ又は更なるネットワークノードとの間のセキュアな通信チャネルの確立によって保護されるからである。
またさらに、本発明によれば、以下の条件、すなわち、
前記セキュアな通信トンネルを確立することができないことと、
前記少なくとも1つのセキュリティゲートウェイとの通信用の物理インタフェースが動作していることと、
デフォルトゲートウェイが、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードによって到達可能であることと
が累積的に検証される場合、前記第1のメッセージは、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードから送信されることが好ましい。例えば、前記デフォルトゲートウェイの(前記少なくとも1つの特定のリモートノードによる)到達可能性は、双方向フォワーディング検出(BFD:bidirectional forwarding detection)によって検出される。
それによって、本発明によれば、有利には、セキュリティゲートウェイ又はセキュリティゲートウェイのクラスタの故障の場合(セキュリティゲートウェイ又は複数のセキュリティゲートウェイがその機能を失っている場合)だけでなく、ネットワークコンポーネントがセキュアな通信トンネルを確立することができない場合にも、リモートネットワークノードの第2の動作モードでの切り替えをできるようにすることが可能である。
本発明の更に別の実施形態によれば、前記第1のメッセージは、以下の条件、すなわち、
前記セキュアな通信トンネルを確立することができないことと、
前記少なくとも1つのセキュリティゲートウェイとの通信用の物理インタフェースが動作していることと、
デフォルトゲートウェイが、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードによって到達可能であることと
が累積的に検証されることを確認した後の所定の第1の時間間隔後にのみ、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードから送信されることが好ましい。例えば、前記デフォルトゲートウェイの(前記少なくとも1つの特定のリモートノードによる)到達可能性は、双方向フォワーディング検出(BFD)によって検出される。
それによって、有利には、DHCP(動的ホスト構成プロトコル)サーバ等の、第1のメッセージをハンドリングするように設けられたネットワークノードの通信負荷を低減することが可能である。
さらに、本発明によれば、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードから前記第1のメッセージを最初に送信した後、前記第2のメッセージが受信されない場合、前記第1のメッセージは、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードから繰り返されることが好ましい。
本発明のこの更なる実施形態によれば、有利には、電気通信ネットワークのノード間の通信が中断された場合に自己回復機能を提供することが可能である。
本発明の更なる実施形態によれば、前記第1のメッセージを繰り返すことは、前記第1のメッセージを最初に又は以前に送信した後、所定の第2の時間間隔を経て初めて行われることが好ましい。
それによって、有利には、DHCP(動的ホスト構成プロトコル)サーバ等の、第1のメッセージをハンドリングするように設けられたネットワークノードの通信負荷を低減することが可能である。
さらに、本発明によれば、
前記少なくとも1つのセキュリティゲートウェイは、IPsecゲートウェイ(インターネットプロトコルセキュリティゲートウェイ)であり、前記セキュアな通信トンネルは、IPsecトンネルであり、及び/又は
前記複数のリモートノードは、少なくとも部分的には、公衆陸上移動ネットワーク(PLMN:Public Land Mobile Network)における基地局機能、特にeNodeB機能を有するノードであることが好ましい。
また、本発明は、複数のリモートノードと、1つ以上の更なるネットワークノードと、少なくとも1つのセキュリティゲートウェイとを備える電気通信ネットワークであって、
該電気通信ネットワークは、前記少なくとも1つのセキュリティゲートウェイと前記1つ以上の更なるネットワークノードとの間のセキュアな通信機能の高可用性を向上させるように構成され、
前記複数のリモートノードのそれぞれは、前記1つ以上の更なるネットワークノードに通信するように設けられ、
前記少なくとも1つのセキュリティゲートウェイの通常動作中の前記複数のリモートノードの第1の動作モードでは、該電気通信ネットワークは、前記複数のリモートノードのそれぞれが、セキュアな通信トンネルによって前記少なくとも1つのセキュリティゲートウェイと通信するように構成され、
前記セキュアな通信トンネルの障害中の前記複数のリモートノードの第2の動作モードでは、該電気通信ネットワークは、前記複数のリモートノードのうちの少なくとも1つの特定のリモートノードが、前記セキュリティゲートウェイをバイパスすることによって、前記1つ以上の更なるネットワークノードに接続されるように構成され、
該電気通信ネットワークは、前記第1の動作モードが、DHCP(動的ホスト構成プロトコル)プロトコルを用いた、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードと前記1つ以上の更なるネットワークノードとの間の少なくとも第1のメッセージ及び第2のメッセージの交換によって、前記第2の動作モードに切り替えられるように構成される、電気通信ネットワークに関する。
それによって、本発明によれば、有利には、セキュリティゲートウェイノード又はセキュリティゲートウェイクラスタの深刻な障害の甚大な影響を少なくとも部分的に回避することが可能である。
本発明によれば、前記電気通信ネットワークに関しても、前記第1のメッセージは、前記複数のリモートノードのうちの前記少なくとも1つの特定のリモートノードからの要求を含み、前記第2のメッセージは、ネットワーク管理ノードによる前記第1のメッセージに対する回答を含み、前記第2のメッセージは、ワンタイムパスワードを含むことが好ましい。
それによって、有利には、リモートネットワークノードのセキュアな通信に関係した動作モードを、ネットワーク事業者の許可がある場合を除いて変更することができないようにすることが可能である。特に、本発明によれば、ワンタイムパスワードを(第1の動作モードの障害の前に)複数のリモートノードのうちの少なくとも1つの特定のリモートノードに既に配信しておくことが可能であり、そのため、有利には、
複数のリモートノードのうちの少なくとも1つの特定のリモートノードの主導であるが、
ネットワーク管理ノードの制御の下で、
第2の動作モードをアクティブ化することが可能である。
さらに、本発明は、コンピュータ上で実行されると、本発明による本発明の方法を前記コンピュータに実行させるコンピュータ可読プログラムコードを含むプログラムに関する。
また、本発明は、電気通信ネットワークにおける高可用性を向上させるコンピュータプログラム製品であって、該コンピュータプログラム製品は、記憶媒体に記憶されたコンピュータプログラムを含み、該コンピュータプログラムは、コンピュータ上で実行されると、本発明による本発明の方法を前記コンピュータに実行させるプログラムコードを含む、コンピュータプログラム製品に関する。
本発明のこれらの特性、特徴、及び利点、並びに他の特性、特徴、及び利点は、添付図面とともに取り入れられた以下の詳細な説明から明らかになる。添付図面は、本発明の原理を例として示している。説明は、本発明の範囲を限定するものではない例示のためにのみ与えられている。以下に引用される参照図は、添付図面を指す。
以下では、電気通信ネットワークの種々の(かつ通常は距離が離れた)ノード間のセキュアな通信プロトコル又は通信方法(及びセキュアな通信トンネル)のよく知られた例として、インターネットプロトコルセキュリティ(IPsec)プロトコル及び/又はインターネットプロトコルセキュリティトンネル(IPsecトンネル)について言及する。本発明によれば、IPsecトンネルを確立することができない場合、リモートノード(特に、基地局又はeNodeB等の無線ノード)は、自身の現在のネットワーク条件を解析して、障害の原因を独自に識別する。リモートネットワークノードの第2の動作モード(すなわち、本発明によるIPsec緊急バイパス機能)への切り替えは、IPsecゲートウェイに到達不能な場合に限定されず、トンネルセットアップが拒否される(例えば、IPsecゲートウェイが、証明書がまだ有効であっても、ソフトウェア内のエラーに起因して受け付けない)場合をカバーするのにも起動される。
本発明によれば、第2の動作モードは、リモートノードにおいて検出される以下の条件、すなわち、
IPsecトンネルを確立することができない(IPsecGWが到達可能でないか又はトンネルセットアップがIPsecGWによって拒否されるかのいずれか)ことと、
物理インタフェースが稼働中であることと、
デフォルトGWが到達可能であることと、
に基づいて起動される。そのような状況では、リモートノード(例えば、基地局)は、深刻なIPsecクラスタ障害を前提としている。
深刻なIPsecクラスタの障害が認識されると直ちに、リモートノード(特に基地局)は、事業者がこのリモートノードの第2の動作モード(すなわち、「IPsec緊急バイパス」)への切り替えを承認していることを検証しなければならない。これは、事業者のネットワーク、すなわち、更なるネットワークノード、例えば、ネットワーク管理システムノード(又はネットワーク管理システムの機能を提供するノード)にワンタイムパスワードを要求することによって行われる。
ワンタイムパスワードを要求するのに、リモートネットワークノード(特に無線ノード)は、自己組織化ネットワークプラグアンドプレイプロセス(SON PnPプロセス:Self Organizing Network Plug and Play process)中に用いられる構成仮想ローカルエリアネットワーク(config VLAN:configuration virtual local area network)を介して、第1のメッセージ、特にDHCP要求を送信する。IP構成を有する既存の計画された/動作中のVLANは、本発明に従って維持される。オプションコード43内の情報しか必要とされないので(第1のメッセージがDHCPメッセージである場合)、DHCPによって送達される一時的なIPアドレスは、直ちに解除することができる。
DHCP応答が、オプションコード43内に、1つの英数字文字列のみを有する所定のサブオプション、例えば、英数字文字列のみを有するサブオプション80を含む場合、リモートノード(例えば、無線ノード)は、その文字列を、事業者が構成可能なパラメータフィールドである「IPsec緊急バイパスパスワード」と比較する。第2のメッセージの所定のサブオプション(例えば、サブオプション80)内の値が、(リモートノードにおける)このパラメータフィールド内の値と等しい場合、リモートノード(例えば、無線ノード)は、IPsec機能をオフに切り替え、すなわち、第1の動作モードをオフに切り替え、第2の動作モードをオンに切り替える。
IPsec緊急バイパスモード(すなわち、本発明による第2の動作モード)では、リモートノード(特に無線ノード)は、IPsecモード(本発明による第1の動作モード)と同じVLAN ID、インタフェースIPアドレス、サービスIPアドレス(ループバックアドレス)、デフォルトGW(ゲートウェイ)、及びファイアウォール設定/アクセス制御リスト(ACL:Access Control List)ルール(リモートノード(例えば、無線ノード)通信マトリックスに従って、IPsecトンネル内に入って行くトラフィック及びIPsecトンネルから出て来るトラフィックをフィルタリングする、IPsecトンネルの前面にあるファイアウォール/ACL)を用いる。それは、リモートノード(特に無線ノード)が、追加の構成データを何ら必要とせず、IPsec機能を、自律的にではあるが、事業者によって制御された(又はワンタイムパスワードの検証によって許可された)方法でのみオフに切り替えることができることを意味する。
IPsecクラスタの障害が解決され、全てのリモートノード(例えば、無線ノード)が、IPsec(すなわち、第1の動作モード)に再び切り替えられると、本発明によれば、全てのアタッチされたリモートノード(例えば、無線ノード)に単一のコマンドによって新たなワンタイムパスワードを設定することが可能である。
特に、
(複数のリモートノードによって送信された)多数の第1のメッセージをハンドリングするノード、特にDHCPサーバにおける過負荷状況を回避するのに、及び
切り替えプロセスを制御するのに、
本発明によれば、事業者が構成可能な(すなわち、所定の)タイマ(又は時間間隔)、すなわち、タイマ「IPsec緊急バイパス遅延」を所定の第1の時間間隔として、及びタイマ「IPsec緊急バイパス再試行」を所定の第2の時間間隔として用いることが好ましい。
本発明によるIPSec緊急バイパス方法を実施することによって、IPsecを用いてリモートノード(例えば、無線ノード)の全てのトラフィックを保護することができ、事業者は、IPSec障害の場合であっても依然として完全なネットワーク制御を有する。これによって、ネットワークの機能停止のリスクが大幅に削減され、それでもなお、ネットワークセキュリティが高められる。
本発明による電気通信ネットワークを概略的に示す図である。 本発明の方法を概略的に示す図である。 本発明の方法を表すタイムラインを概略的に示す図である。
本発明は、特定の実施形態に関して或る特定の図面を参照して説明されるが、本発明は、これらの実施形態及び図面に限定されるものではなく、特許請求の範囲によってのみ限定される。説明する図面は、概略的なものにすぎず、非限定的である。図面において、要素のうちの幾つかのもののサイズは、誇張されている場合があり、例示の目的で一律の縮尺で描かれていない。
数量が特定されていない名詞は、特に別段の指定がない限り、その名詞の単数及び複数を含む。
さらに、本明細書及び特許請求の範囲における第1、第2、第3等の用語は、同様の要素を区別するために用いられており、必ずしも、連続した順序又は時間順を説明するために用いられているとは限らない。そのように用いられる用語は、適切な状況下では交換可能であり、本明細書において説明する本発明の実施形態は、本明細書において説明又は図示するもの以外の順序で動作することができることが理解されるべきである。
図1には、本発明による電気通信ネットワーク10が概略的に示されている。この電気通信ネットワーク10は、リモートノード20と呼ばれる複数のノードを備える。これらの複数のネットワークノード20又はリモートノード20のうちの1つの特定のノード又はリモートノードが、参照符号21によって示されている。ネットワークノード又はリモートノード20は、特に、基地局機能を有するいわゆる無線ノード、例えば、UTRAN公衆陸上移動ネットワーク及び/又はE−UTRAN公衆陸上移動ネットワークにおけるNodeBノード又はeNodeBノードである。
電気通信ネットワーク10は、ネットワーク管理データベース及び/又は電気通信ネットワーク10の他の部分若しくは他のプロバイダ若しくは事業者の電気通信ネットワークへのコンテンツ提供ノード若しくはゲートウェイ等の、通常は電気通信ネットワーク10のコアネットワークの一部である更なるネットワークノード40も更に備える。例示として、制御プレーンコンポーネント及び/又はユーザプレーンコンポーネントXX(例えば、移動管理エンティティ(MME:Mobility Management Entity)、サービングゲートウェイ(SGW:Serving Gateway)エンティティ、メディアゲートウェイ(MGW:Media Gateway)、又は移動スイッチングセンタ(MSC:Mobile Switching Center)サーバ(MSS:MSC Server)、サービングGPRSサポートノード(SGSN:Serving GPRS Support Node)、ゲートウェイGPRSサポートノード(GGSN:Gateway GPRS support node)、並びにバックボーンネットワーク(例えば、IPMBコンポーネント又はネットワークエンティティ(IP移動バックボーンコンポーネント))の種々のエッジノードYY、ZZが図1に概略的に示されている。
リモートノード20は、電気通信ネットワーク10の一部でもあるアグリゲーションネットワーク11によって更なるネットワークノード40に接続されている。さらに、電気通信ネットワーク10は、少なくとも1つのセキュリティゲートウェイ31を備える。リモートノード20と更なるネットワークノード40との間の通信は、通常、セキュリティゲートウェイ31がパスワード、セッションキーをハンドリングするように機能するとともに公開キー基盤の使用を管理するセキュアな通信として実現される。リモートノード20は、セキュリティゲートウェイ31に割り当てられた通常はルータデバイス31’によってセキュリティゲートウェイ31と通信する。
リモートノード20と更なるノード40との間のセキュアな通信の高可用性を実現するために、更なるセキュアなゲートウェイ32(及び更なるルータデバイス32’)が、通常、セキュアな通信を保証する際の冗長性を可能にするように追加される。セキュリティゲートウェイ31及び更なるセキュリティゲートウェイ32(及びそれぞれのルータ31’、32’)は、合わせてセキュリティクラスタとも呼ばれる。リモートノード20は、セキュリティゲートウェイ31及び/又は更なるセキュリティゲートウェイ32と、セキュアな方法で、特にIPsecプロトコルの一変形形態を用いて通信する。これは、本発明による「第1の動作モード」という用語によっても参照される。
リモートノード20が依拠するセキュリティゲートウェイが障害を起こした場合(又はセキュリティクラスタ全体が障害を起こした場合)、リモートノード20は、IPsecプロトコルを用いない通信に単に切り替わることはできない。リモートノード20と更なるネットワークノード40との間の通信のセキュリティレベルを向上させるために、本発明による「第2の動作モード」という用語によって参照される、セキュアな通信プロトコル(特に、IPsecプロトコル)を用いない通信への遷移は、電気通信ネットワーク10のコアネットワーク、特にネットワーク管理機能によって制御される。
特定のリモートノード21の第2の動作モードへの遷移は、図2によって概略的に示されている。第1のステップ100において、セキュリティクラスタ又は少なくとも関連したセキュリティゲートウェイ31の障害が、リモートノード20によって検出される。これによって、セキュアな通信緊急バイパス遅延(又はIPsec緊急バイパス遅延)を表す所定の第1の時間間隔T1を規定する第1のタイマの始動がトリガされる。第2のステップ102において、第1の時間間隔T1が満了したか否かが判定される。満了していない場合、フローは、第3のステップ104に分岐し、満了している場合、フローは、第6のステップ110に分岐する。第3のステップ104において、セキュリティゲートウェイ31又はセキュリティクラスタとのセキュアな通信の再確立が試行される。第4のステップ106において、セキュリティゲートウェイとのセキュアな通信トンネルの(再)確立が成功したか否かが調べられる。成功していない場合、フローは、第2のステップ102に分岐し、成功した場合、フローは、リモートノードがセキュリティゲートウェイとのセキュアな通信チャネル又は通信トンネルの確立に成功することができたことを示す第5のステップ108に分岐する。第6のステップにおいて、特定のリモートノード21の第2の動作モードへの遷移を可能にするパスワード、特にワンタイムパスワードを要求する第1のメッセージが、リモートノード20から更なるネットワークノード40のうちの1つ、通常はDHCP(動的ホスト構成プロトコル)サーバ又はDHCPノードに送信される。この第1のメッセージに応答して、第1のメッセージによってアドレス指定された更なるネットワークノード40(又は別の更なるネットワークノード40)は、特に、英数字文字列(ワンタイムパスワードとして)とともにDHCPオプションコード43及びサブオプション80を含む第2のメッセージを特定のリモートノード21に送信する。第7のステップ112において、特定のリモートノード21によって受信されたワンタイムパスワードが正しいか否かが調べられる。正しい場合、フローは、第11のステップ120に分岐する。正しくない場合、フローは、第8のステップ114に分岐する。さらに、これによって、セキュアな通信緊急バイパス再試行遅延(又はIPsec緊急バイパス再試行遅延)を表す所定の第2の時間間隔T2を規定する第2のタイマの始動がトリガされる。第8のステップ114において、セキュアなトンネルの再確立が、再び(第3のステップ104と類似して)試行される。第9のステップ116において、セキュリティゲートウェイとのセキュアな通信トンネルの(再)確立が成功したか否かが調べられる。成功していない場合、フローは、第10のステップ118に分岐し、成功した場合、フローは、リモートノードがセキュリティゲートウェイとのセキュアな通信チャネル又は通信トンネルの確立に成功することができたことを示す第5のステップ108に分岐する。第10のステップ118において、第2の時間間隔T2が満了したか否かが調べられる。満了していない場合、フローは、第8のステップ114に分岐し、満了した場合、フローは、第6のステップ110に分岐する。
第11のステップ120において、特定のリモートノード21は、セキュアな通信バイパスモード、すなわち、本発明による第2の動作モードに切り替わる。これによって、第12のステップ122において、特定のリモートノード21を回復することが可能になり、リモートノード21のサイトにおける手動の相互作用なしでコアネットワークとの通信(すなわち、1つ以上の更なるノード40との通信)ができるようになる。
図3には、本発明の方法が、タイムラインを用いて再度概略的に示されている。点Aにおいて、(特定のリモートノード21の第1の動作モードにおける)セキュアな通信が中断される。参照符号Fによって示された時間の間、特定のリモートノード21は、コアネットワークから見ると稼動していない。セキュアな通信トンネルの中断によって、第1の所定の時間間隔T1に関するタイマが始動される。点Bにおいて、第1のメッセージ(DHCPサーバへの要求を含む)が特定のリモートノード21から放出される。さらに、点Bにおいて、第1の回答がDHCPサーバから(特定のリモートノード21によって)受信される。この第1の回答は、通常、ワンタイムパスワードを含まない。これによって、所定の第2の時間間隔T2が開始する。点Cにおいて、DHCPサーバは、ネットワーク事業者によって再構成される。その結果、(特定のリモートノード21からの第1のメッセージによってトリガされたDHCPサーバからの)更なる回答が、ワンタイムパスワードを含む。点Dにおいて、所定の第2の時間間隔T2が終了し、第1のメッセージの第2の試行を特定のリモートノード21がDHCPサーバに送信することができる。点Eにおいて、(ワンタイム)パスワードを含む第2のメッセージが受信されると(すなわち、事業者がトリガしたDHCPサーバの再構成後)、特定のリモートノードは、第2の動作モードに切り替えられ、コアネットワークから見て再び見えるようになって稼動していることになる。すなわち、自己回復が、更なるネットワークノード40と特定のリモートノード21との間の通信リンクに適用されている。もちろん、そのような自己回復は、複数のリモートノード20の全てに適用されることになり、第1の時間間隔及び第2の時間間隔は、好ましくは、DHCPサーバに対するピーク負荷を低減するために異なる。

Claims (11)

  1. セキュアな電気通信ネットワーク(10)における高可用性を向上させる方法であって、前記電気通信ネットワーク(10)は、複数のリモートノード(20)と、1つ以上の更なるネットワークノード(40)と、少なくとも1つのセキュリティゲートウェイ(31)とを備えており、
    前記複数のリモートノード(20)のそれぞれは、前記1つ以上の更なるネットワークノード(40)に通信し、
    前記少なくとも1つのセキュリティゲートウェイ(31)の通常動作中の前記複数のリモートノード(20)の第1の動作モードでは、前記複数のリモートノード(20)のそれぞれは、セキュアな通信トンネルによって前記少なくとも1つのセキュリティゲートウェイ(31)と通信し、
    前記セキュアな通信トンネルの障害中の前記複数のリモートノード(20)の第2の動作モードでは、前記複数のリモートノード(20)のうちの少なくとも1つの特定のリモートノード(21)は、前記セキュリティゲートウェイ(31)をバイパスすることによって、前記1つ以上の更なるネットワークノード(40)に接続され、
    前記第1の動作モードは、動的ホスト構成プロトコルを用いた、前記複数のリモートノード(20)のうちの前記少なくとも1つの特定のリモートノード(21)と前記1つ以上の更なるネットワークノード(40)との間の少なくとも第1のメッセージ及び第2のメッセージの交換によって、前記第2の動作モードに切り替えられ、前記第1のメッセージは、前記複数のリモートノード(20)のうちの前記少なくとも1つの特定のリモートノード(21)からの要求を含み、前記第2のメッセージは、ネットワーク管理ノードによる前記第1のメッセージに対する回答を含み、前記第2のメッセージは、ワンタイムパスワードを含む、セキュアな電気通信ネットワークにおける高可用性を向上させる方法。
  2. 前記複数のリモートノード(20)のうちの前記少なくとも1つの特定のリモートノード(21)への前記ワンタイムパスワードの配信は、前記複数のリモートノード(20)のうちの前記特定のリモートノード(21)が前記第1の動作モードで動作している間にのみ、記セキュアな通信トンネルを介して行われる、請求項1に記載の方法。
  3. 以下の条件、すなわち、
    前記セキュアな通信トンネルを確立することができないことと、
    前記少なくとも1つのセキュリティゲートウェイ(31)との通信用の物理インタフェースが動作していることと、
    前記複数のリモートノード(20)のうちの前記少なくとも1つの特定のリモートノード(21)によって到達可能なフォルトゲートウェイが動作していることと
    が累積的に検証される場合、前記第1のメッセージは、前記複数のリモートノード(20)のうちの前記少なくとも1つの特定のリモートノード(21)から送信される、請求項1又は2に記載の方法。
  4. 前記第1のメッセージは、以下の条件、すなわち、
    前記セキュアな通信トンネルを確立することができないことと、
    前記少なくとも1つのセキュリティゲートウェイ(31)との通信用の物理インタフェースが動作していることと、
    デフォルトゲートウェイが、前記複数のリモートノード(20)のうちの前記少なくとも1つの特定のリモートノード(21)によって到達可能であることと、
    が累積的に検証されることを確認した後の所定の第1の時間間隔(T1)後にのみ、前記複数のリモートノード(20)のうちの前記少なくとも1つの特定のリモートノード(21)から送信される、請求項1〜3のいずれか1項に記載の方法。
  5. 前記複数のリモートノード(20)のうちの前記少なくとも1つの特定のリモートノード(21)から前記第1のメッセージを最初に送信した後、前記第2のメッセージが受信されない場合、前記第1のメッセージは、前記複数のリモートノード(20)のうちの前記少なくとも1つの特定のリモートノード(21)から繰り返される、請求項1〜4のいずれか1項に記載の方法。
  6. 前記第1のメッセージを繰り返すことは、前記第1のメッセージを最初に又は以前に送信した後、所定の第2の時間間隔(T2)を経て初めて行われる、請求項5に記載の方法。
  7. 前記少なくとも1つのセキュリティゲートウェイ(31)は、インターネットプロトコルセキュリティゲートウェイであり、前記セキュアな通信トンネルは、インターネットプロトコルセキュリティトンネルである、請求項1〜6のいずれか1項に記載の方法。
  8. 前記複数のリモートノード(20)は、少なくとも部分的には、公衆陸上移動ネットワークにおける基地局機能、特にeNodeB機能を有するノードである、請求項1〜7のいずれか1項に記載の方法。
  9. 複数のリモートノード(20)と、1つ以上の更なるネットワークノード(40)と、少なくとも1つのセキュリティゲートウェイ(31)とを備える電気通信ネットワーク(10)であって、
    該電気通信ネットワーク(10)は、前記少なくとも1つのセキュリティゲートウェイ(31)と前記1つ以上の更なるネットワークノード(40)との間のセキュアな通信機能の高可用性を向上させるように構成され、
    前記複数のリモートノード(20)のそれぞれは、前記1つ以上の更なるネットワークノード(40)に通信するように設けられ、
    前記少なくとも1つのセキュリティゲートウェイ(31)の通常動作中の前記複数のリモートノード(20)の第1の動作モードでは、該電気通信ネットワーク(10)は、前記複数のリモートノード(20)のそれぞれが、セキュアな通信トンネルによって前記少なくとも1つのセキュリティゲートウェイ(31)と通信するように構成され、
    前記セキュアな通信トンネルの障害中の前記複数のリモートノード(20)の第2の動作モードでは、該電気通信ネットワーク(10)は、前記複数のリモートノード(20)のうちの少なくとも1つの特定のリモートノード(21)が、前記セキュリティゲートウェイ(31)をバイパスすることによって、前記1つ以上の更なるネットワークノード(40)に接続されるように構成され、
    該電気通信ネットワーク(10)は、前記第1の動作モードが、動的ホスト構成プロトコルを用いた、前記複数のリモートノード(20)のうちの前記少なくとも1つの特定のリモートノード(21)と前記1つ以上の更なるネットワークノード(40)との間の少なくとも第1のメッセージ及び第2のメッセージの交換によって、前記第2の動作モードに切り替えられるように構成され、前記第1のメッセージは、前記複数のリモートノード(20)のうちの前記少なくとも1つの特定のリモートノード(21)からの要求を含み、前記第2のメッセージは、ネットワーク管理ノードによる前記第1のメッセージに対する回答を含み、前記第2のメッセージは、ワンタイムパスワードを含む、複数のリモートノードと、1つ以上の更なるネットワークノードと、少なくとも1つのセキュリティゲートウェイとを備える電気通信ネットワーク。
  10. コンピュータ上で実行されると、請求項1〜のいずれか1項に記載の方法を前記コンピュータに実行させるコンピュータ可読プログラムコードを含む、プログラム。
  11. 電気通信ネットワーク(10)における高可用性を向上させるコンピュータプログラムあって、憶媒体に記憶されたコンピュータプログラムを含み、該コンピュータプログラムは、コンピュータ上で実行されると、請求項1〜のいずれか1項に記載の方法を前記コンピュータに実行させるプログラムコードを含む、電気通信ネットワークにおける高可用性を向上させるコンピュータプログラム
JP2014513949A 2011-07-15 2012-07-16 セキュアな電気通信ネットワークにおける高可用性を向上させる方法、及び複数のリモートノードを備える電気通信ネットワーク Active JP5603526B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP11005796 2011-07-15
EP11005796.5 2011-07-15
PCT/EP2012/002981 WO2013010658A1 (en) 2011-07-15 2012-07-16 Method to enhance high availability in a secure telecommunications network, and telecommunications network comprising a plurality of remote nodes

Publications (2)

Publication Number Publication Date
JP2014522605A JP2014522605A (ja) 2014-09-04
JP5603526B2 true JP5603526B2 (ja) 2014-10-08

Family

ID=46551487

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014513949A Active JP5603526B2 (ja) 2011-07-15 2012-07-16 セキュアな電気通信ネットワークにおける高可用性を向上させる方法、及び複数のリモートノードを備える電気通信ネットワーク

Country Status (11)

Country Link
US (1) US9451457B2 (ja)
EP (1) EP2732598B1 (ja)
JP (1) JP5603526B2 (ja)
CN (1) CN103597798B (ja)
BR (1) BR112013031824B1 (ja)
ES (1) ES2555459T3 (ja)
HR (1) HRP20151303T1 (ja)
HU (1) HUE026328T2 (ja)
PL (1) PL2732598T3 (ja)
PT (1) PT2732598E (ja)
WO (1) WO2013010658A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014176718A1 (zh) * 2013-04-28 2014-11-06 华为技术有限公司 一种通道建立方法、基站及通道建立系统
JP6050720B2 (ja) * 2013-05-15 2016-12-21 Kddi株式会社 コアネットワークにおけるゲートウェイのセッション情報を移行させるシステム及び方法
US10277559B2 (en) * 2014-05-21 2019-04-30 Excalibur Ip, Llc Methods and systems for data traffic control and encryption
CN105591926B (zh) * 2015-12-11 2019-06-07 新华三技术有限公司 一种流量保护方法及装置
EP3258656B1 (en) * 2016-06-14 2019-08-07 Deutsche Telekom AG Method, system and computer program comprising computer-readable program code for dynamic load balancing using different data transmission paths in a telecommunications network, comprising a mobile network part, a fixed network part and a plurality of router devices
US10333946B1 (en) * 2016-06-22 2019-06-25 Amazon Technologies, Inc. Distributing variable entropy ephemeral security credentials across channels of variable assurance
JP7273523B2 (ja) * 2019-01-25 2023-05-15 株式会社東芝 通信制御装置および通信制御システム
EP4060936A1 (en) * 2021-03-16 2022-09-21 Nokia Solutions and Networks Oy Enhanced processing for ipsec stream

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001082533A2 (en) * 2000-04-12 2001-11-01 Openreach.Com Method and system for managing and configuring virtual private networks
WO2002065661A1 (en) * 2001-02-12 2002-08-22 Maple Optical Systems, Inc. System and method for fast-rerouting of data in a data communication network
JP2004304696A (ja) 2003-04-01 2004-10-28 Matsushita Electric Ind Co Ltd 暗号通信装置
JP4209758B2 (ja) * 2003-11-20 2009-01-14 富士通株式会社 迂回通信経路設計方法
US7953889B2 (en) * 2006-08-03 2011-05-31 Citrix Systems, Inc. Systems and methods for routing VPN traffic around network disruption
FR2906426A1 (fr) 2006-09-25 2008-03-28 France Telecom Systeme pour securiser l'acces a une destination d'un reseau prive virtuel
CN1933422B (zh) * 2006-09-30 2010-05-12 成都迈普产业集团有限公司 网络故障切换方法
US20090106831A1 (en) * 2007-10-18 2009-04-23 Yingzhe Wu IPsec GRE TUNNEL IN SPLIT ASN-CSN SCENARIO
US8438618B2 (en) * 2007-12-21 2013-05-07 Intel Corporation Provisioning active management technology (AMT) in computer systems
US8510466B2 (en) * 2008-03-03 2013-08-13 Verizon Patent And Licensing Inc. Bypassing an application layer gateway
US8531976B2 (en) * 2008-03-07 2013-09-10 Cisco Technology, Inc. Locating tunnel failure based on next-next hop connectivity in a computer network
US8291267B2 (en) * 2008-04-22 2012-10-16 Honeywell International Inc. System for determining real time network up time
US20110176531A1 (en) * 2008-10-01 2011-07-21 Telefonaktiebolaget L M Ericsson (Publ) Handling of Local Breakout Traffic in a Home Base Station
US8428021B2 (en) * 2009-05-14 2013-04-23 Avaya, Inc. Architecture using inexpensive, managed wireless switching points to deliver large scale WLAN
US20100306572A1 (en) * 2009-06-01 2010-12-02 Alexandro Salvarani Apparatus and method to facilitate high availability in secure network transport
US8339942B2 (en) * 2009-10-15 2012-12-25 Telefonaktiebolaget L M Ericsson (Publ) RSVP-TE graceful restart under fast re-route conditions
CN101808417B (zh) * 2010-01-29 2014-04-09 中兴通讯股份有限公司 一种数据卡及其快速建立拨号连接的方法
US8520615B2 (en) * 2010-03-26 2013-08-27 Juniper Networks, Inc. Breakout gateway for mobile data traffic
US8848516B2 (en) * 2010-09-15 2014-09-30 Telefonaktiebolaget L M Ericsson (Publ) Methods and apparatus for relocating and restoring connections through a failed serving gateway and traffic offloading
CN102025547B (zh) * 2010-12-17 2012-07-25 中国联合网络通信集团有限公司 基于无线方式的mpls vpn路由备份方法及系统

Also Published As

Publication number Publication date
BR112013031824A2 (pt) 2016-12-13
ES2555459T3 (es) 2016-01-04
WO2013010658A1 (en) 2013-01-24
EP2732598A1 (en) 2014-05-21
JP2014522605A (ja) 2014-09-04
EP2732598B1 (en) 2015-09-09
PL2732598T3 (pl) 2016-03-31
CN103597798B (zh) 2015-09-16
BR112013031824B1 (pt) 2022-07-12
CN103597798A (zh) 2014-02-19
PT2732598E (pt) 2015-12-31
US9451457B2 (en) 2016-09-20
HUE026328T2 (en) 2016-06-28
HRP20151303T1 (hr) 2016-02-12
US20140189837A1 (en) 2014-07-03

Similar Documents

Publication Publication Date Title
JP5603526B2 (ja) セキュアな電気通信ネットワークにおける高可用性を向上させる方法、及び複数のリモートノードを備える電気通信ネットワーク
EP3425955B1 (en) Tunnel bonding-based communications method and network device
JP6074520B2 (ja) オープンフロー可能なWiFi管理エンティティアーキテクチャ
EP2579634B1 (en) Methods and apparatus for a self-organized layer-2 enterprise network architecture
US11616372B2 (en) Charging method, apparatus, and system
CN111355649A (zh) 流量回注方法、装置和系统
WO2018103665A1 (zh) 基于l2tp的设备管理方法、设备及系统
US20200336894A1 (en) Transmission Method and Apparatus
KR101658824B1 (ko) 소프트웨어 정의 네트워크에서 플로우 룰을 변경하는 방법, 장치 및 컴퓨터 프로그램
US20220303763A1 (en) Communication method, apparatus, and system
CN100415034C (zh) 一种使移动节点实现自代理功能的方法
US20220385501A1 (en) User Management Device, BNG, and BNG User Internet Access Method and System
CN114338607B (zh) 5g用户终端ip地址确认方法、装置及系统
Cisco Mobile IP MIB Support for SNMP
KR20180022565A (ko) 비-ue 관련 시그널링을 지원하는 통신 방법 및 장치
CN114223232A (zh) 通信方法和相关设备
CN117880781A (zh) 针对5g无线有线融合中客户场所设备的本地疏导
JP2020061692A (ja) ゲートウェイ装置及び通信制御方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140711

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140801

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140821

R150 Certificate of patent or registration of utility model

Ref document number: 5603526

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250