JP5713833B2 - Communication system and operation support method - Google Patents

Communication system and operation support method Download PDF

Info

Publication number
JP5713833B2
JP5713833B2 JP2011170055A JP2011170055A JP5713833B2 JP 5713833 B2 JP5713833 B2 JP 5713833B2 JP 2011170055 A JP2011170055 A JP 2011170055A JP 2011170055 A JP2011170055 A JP 2011170055A JP 5713833 B2 JP5713833 B2 JP 5713833B2
Authority
JP
Japan
Prior art keywords
network
gateway
authentication
communication system
secure network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011170055A
Other languages
Japanese (ja)
Other versions
JP2013034153A (en
Inventor
幸太 中村
幸太 中村
敬治 山本
敬治 山本
太一 田代
太一 田代
省吾 綾目
省吾 綾目
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2011170055A priority Critical patent/JP5713833B2/en
Publication of JP2013034153A publication Critical patent/JP2013034153A/en
Application granted granted Critical
Publication of JP5713833B2 publication Critical patent/JP5713833B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明の実施形態は、複数の基地局を備える通信システムと、この通信システム運用支援方法に関する。 Embodiments described herein relate generally to a communication system including a plurality of base stations and an operation support method for the communication system.

既設の回線交換網はInternet Protocol(IP)ネットワークに置き換えられつつある。そのような背景にあって通信事業者は通信のIP化/光化を推し進めており、IP電話の加入者数も年々増加している。また、NGN(Next Generation Network)と呼ばれる次世代IP(Internet Protocol)ネットワーク技術にも注目が集まっている。そこで、クラウド技術に代表されるように、ネットワークデバイスをIPネットワーク上に自由に分散配置したいという要望が高まってきている。この種のデバイスはIPインタフェースを備える。   Existing circuit switched networks are being replaced by Internet Protocol (IP) networks. Against this backdrop, telecommunications carriers are promoting the use of IP / optical communication, and the number of IP telephone subscribers is increasing year by year. Further, attention is also focused on next-generation IP (Internet Protocol) network technology called NGN (Next Generation Network). Therefore, as typified by cloud technology, there is an increasing demand to freely distribute network devices on an IP network. This type of device has an IP interface.

ところで、通信ネットワークを円滑に運用するには、ネットワークに接続された機器(ネットワークデバイス)を監視し、各デバイスの状態を管理する必要がある。監視制御を担う装置(監視装置あるいは制御装置)と、監視制御の対象となる装置(被監視装置)との対応付けはその主な手順である。   By the way, in order to smoothly operate a communication network, it is necessary to monitor a device (network device) connected to the network and manage the state of each device. Correspondence between a device (monitoring device or control device) responsible for monitoring control and a device (monitored device) to be monitored and controlled is the main procedure.

旧来はこの手順がネットワークオペレータのマニュアル操作で実施されていたのでこれを自動化できるようにすることが提案され、特許出願された(例えば特願2011−057243号)。この出願された発明によれば、オペレータの負荷が軽減されるとともに分散配置通信システムの拡張が容易になるというメリットがある。   Traditionally, this procedure has been carried out manually by a network operator, so it has been proposed that it can be automated, and a patent application has been filed (for example, Japanese Patent Application No. 2011-057243). According to the invention of this application, there are advantages that the burden on the operator is reduced and the expansion of the distributed communication system becomes easy.

特開2005−94600号公報JP 2005-94600 A

実際のシステムの運用にあたっては監視装置と被監視装置との対応付けだけではなく、ネットワークに接続されたデバイスへのIPアドレスの割り当てなどを含む初期設定手順が必要である。初期設定手順が厳格に実施されないまま不特定多数のデバイスがネットワークに接続されると、特にセキュリティの確保の面からも難点がある。しかしながら現時点では、初期設定手順をも自動化し、オペレータの負荷のさらなる軽減とともにセキュリティの向上をも促進する技術は知られていない。
目的は、システムの運用に係わる手間を軽減し、セキュリティを確保しつつ被監視装置の配置の自由度をさらに向上させることの可能な通信システムおよび運用支援方法を提供することにある。 In actual system operation, an initial setting procedure including not only associating a monitoring apparatus with a monitored apparatus but also assigning an IP address to a device connected to the network is necessary. When an unspecified number of devices are connected to the network without strictly performing the initial setting procedure, there is a problem particularly from the viewpoint of ensuring security. However, at the present time, there is no known technique for automating the initial setting procedure, further reducing the load on the operator and promoting the improvement of security.
An object of the present invention is to provide a communication system and an operation support method capable of reducing the labor involved in system operation, further improving the degree of freedom of arrangement of monitored devices while ensuring security.

実施形態によれば、通信システムは、セキュリティを保証された第1のネットワークとこの第1のネットワークとはセキュリティレベルの異なる第2のネットワークとを相互接続するゲートウェイを具備する。第1のネットワークは、基地局と、無線部と、認証処理部と、通知部とを具備する。基地局は、無線ゾーンを形成する。無線部は、第2のネットワークに接続された第1デバイスからの認証要求メッセージを基地局経由で受信する。認証処理部は、認証要求メッセージに応じて第1デバイスに対する認証処理を実施する。通知部は、認証処理が成功すると、ゲートウェイのアドレス情報を含む応答メッセージを基地局経由で第1デバイスに通知する。ゲートウェイは、接続処理部を備える。接続処理部は、通知されたアドレス情報を用いた第1デバイスからの接続要求に応じて、第1のネットワークに接続された第2デバイスと第1デバイスとの間に通信リンクを形成する。 According to the embodiment, the communication system includes a gateway interconnecting the first first second network having different security levels and the network of networks Toko guaranteed security. The first network includes a base station, a radio unit, an authentication processing unit, and a notification unit. The base station forms a radio zone. The wireless unit receives an authentication request message from the first device connected to the second network via the base station. The authentication processing unit performs authentication processing for the first device in response to the authentication request message. If the authentication process is successful, the notification unit notifies the first device via the base station of a response message including the gateway address information. The gateway includes a connection processing unit. The connection processing unit forms a communication link between the second device connected to the first network and the first device in response to a connection request from the first device using the notified address information.

実施形態に係わる通信システムの一例を示すシステム図。1 is a system diagram showing an example of a communication system according to an embodiment. 通信システムの第1の実施形態の一例を示すシステム図。1 is a system diagram showing an example of a first embodiment of a communication system. 図2に示されるシステムに備わる機能を示す機能ブロック図。The functional block diagram which shows the function with which the system shown by FIG. 2 is equipped. 図2、図3に示されるシステムで実施される処理手順を示すシーケンス図。FIG. 4 is a sequence diagram showing a processing procedure performed in the system shown in FIGS. 2 and 3. 図4に示されるシーケンスにおいてエンティティ間で授受される情報の一例を示す図。The figure which shows an example of the information exchanged between entities in the sequence shown by FIG. 実施形態に係わる通信システムにおける情報の伝達経路を示す概念図。The conceptual diagram which shows the transmission path | route of the information in the communication system concerning embodiment. 通信システムの第2の実施形態の一例を示すシステム図。The system diagram which shows an example of 2nd Embodiment of a communication system. 図7に示されるシステムに備わる機能を示す機能ブロック図。The functional block diagram which shows the function with which the system shown by FIG. 7 is equipped. 図7、図8に示されるシステムで実施される処理手順を示すシーケンス図。FIG. 9 is a sequence diagram illustrating a processing procedure performed in the system illustrated in FIGS. 7 and 8. 通信システムの第3の実施形態の一例を示すシステム図。The system diagram which shows an example of 3rd Embodiment of a communication system. 図10に示されるシステムに備わる機能を示す機能ブロック図。The functional block diagram which shows the function with which the system shown by FIG. 10 is equipped. 図10、図11に示されるシステムで実施される処理手順を示すシーケンス図。FIG. 12 is a sequence diagram illustrating a processing procedure performed in the system illustrated in FIGS. 10 and 11.

以下、図面を参照してこの発明の実施の形態につき説明する。この実施形態ではPHS(Personal Handy phone System)を想定して説明する。このほかいわゆる携帯電話システムとして知られるセルラフォンシステム、あるいは次世代PHSと称されるXGP(eXtended Global Platform)に対しても実施形態は適用可能である。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. This embodiment will be described assuming a PHS (Personal Handy phone System). In addition, the embodiment can also be applied to a cellular phone system known as a so-called mobile phone system or an XGP (eXtended Global Platform) called a next generation PHS.

図1は、実施形態に係わる通信システムを示すシステム図である。このシステムは通信ネットワーク100と、通信ネットワーク100に接続される制御装置G11,G12とを中核として形成される。通信ネットワーク100は例えばIP(Internet Protocol)ネットワーク、IP−VPN(IP-Virtual Private Network)を利用するパケット通信網、あるいはISDN(Integrated Service Digital Network)などを含む。   FIG. 1 is a system diagram showing a communication system according to the embodiment. This system is formed with the communication network 100 and the control devices G11 and G12 connected to the communication network 100 as the core. The communication network 100 includes, for example, an IP (Internet Protocol) network, a packet communication network using an IP-VPN (IP-Virtual Private Network), or an ISDN (Integrated Service Digital Network).

この実施形態では、通信ネットワーク100のプロトコルとしてTCP/IP(Transmission Control Protocol / Internet Protocol)を想定する。また実施形態では、通信ネットワーク100にセキュリティレベルの異なる2つのIP網が含まれることを想定する。   In this embodiment, TCP / IP (Transmission Control Protocol / Internet Protocol) is assumed as a protocol of the communication network 100. In the embodiment, it is assumed that the communication network 100 includes two IP networks having different security levels.

通信ネットワーク100には、制御装置G11,G12を遠隔からリモート制御したり、各種通信サービスを提供したりするための管理システム400が設けられる。管理システム400は例えば汎用のサーバ装置に専用のアプリケーションソフトをインストールして実現される。   The communication network 100 is provided with a management system 400 for remotely controlling the control devices G11 and G12 remotely and providing various communication services. The management system 400 is realized, for example, by installing dedicated application software on a general-purpose server device.

管理システム400はデータベース44を備え、システム内に存在する被監視装置を管理するための上位装置としての機能も担う。つまり管理システム400は制御装置G11,G12の上位階層に位置づけられ、制御装置G11,G12からの通知に基づいて通信システムを管理ないし監視制御する。その機能の一つには、例えば通信システム内の各機器における障害の発生状況を管理する、障害管理機能がある。ネットワーク管理のためのプロトコルとしてはCMIP(Common Management Information Protocol)あるいはSNMP(Simple Network Management Protocol)などがあるが、実施形態に適用可能なプロトコルはこれらに限定されるものではない。   The management system 400 includes a database 44 and also functions as a host device for managing monitored devices existing in the system. That is, the management system 400 is positioned in the upper hierarchy of the control devices G11 and G12, and manages or monitors and controls the communication system based on notifications from the control devices G11 and G12. One of the functions is, for example, a failure management function for managing a failure occurrence state in each device in the communication system. Protocols for network management include CMIP (Common Management Information Protocol) or SNMP (Simple Network Management Protocol), but protocols applicable to the embodiments are not limited to these.

制御装置G11は個別回線を介して基地局CS11に接続される。制御装置G12は別の個別回線を介して基地局CS21,CS22に接続される。すなわち基地局CS11は制御装置G11の配下にあり、基地局CS21,CS22は制御装置G12の配下にある。いずれの制御装置G11,G12も、接続された基地局を通信ネットワーク100に接続する、接続装置としての機能を担う。なお制御装置G11,G12に接続される基地局(符合をCSで統一する)の数は図1に示すものに限るものではない。   The control device G11 is connected to the base station CS11 via an individual line. The control device G12 is connected to the base stations CS21 and CS22 via another individual line. That is, the base station CS11 is under the control device G11, and the base stations CS21 and CS22 are under the control device G12. Each of the control devices G11 and G12 has a function as a connection device that connects the connected base station to the communication network 100. The number of base stations connected to the control devices G11 and G12 (the codes are unified with CS) is not limited to that shown in FIG.

基地局CS11,CS21,CS22はそれぞれ無線ゾーン(以下セルと称する)を形成し、このセルに在圏する移動端末PS(PS11,PS12)と無線チャネルを介して通信する。移動端末PS11,PS12はその移動に伴って各セル間をハンドオーバし、接続先の基地局CSを切り替える。制御装置G11,G12は通信ネットワーク100を介して相互間に通信リンクを形成することもでき、移動端末PS11,PS12はこのリンクを介して互いと通信することができる。   Base stations CS11, CS21 and CS22 each form a radio zone (hereinafter referred to as a cell), and communicate with mobile terminals PS (PS11 and PS12) located in the cell via a radio channel. As the mobile terminals PS11 and PS12 move, they hand over each cell and switch the connection destination base station CS. The control devices G11 and G12 can also form a communication link between each other via the communication network 100, and the mobile terminals PS11 and PS12 can communicate with each other via this link.

制御装置G11,G12は、通信端末間のエンド・ツウ・エンドの通信を実現するため、対向装置(通信ネットワーク100内のゲートウェイ、通信相手方の制御装置など)間でのプロトコル変換、交換処理などの種々の制御を担う。また制御装置G11,G12は基地局CSを経由して通信される信号(音声データや映像、画像データなどのデジタル信号、各種サービスを行なうためのデータなど)を、通信ネットワーク100を経由して指定の通信種別に従って処理する。   In order to realize end-to-end communication between communication terminals, the control devices G11 and G12 perform protocol conversion, exchange processing, etc. between opposing devices (gateway in communication network 100, control device of communication partner, etc.) Responsible for various controls. The control devices G11 and G12 specify signals (digital signals such as audio data, video and image data, data for performing various services, etc.) communicated via the base station CS via the communication network 100. Process according to the communication type.

ところで、図1に示されるシステムは、通信ネットワーク100に有線または無線を介して接続されるネットワークデバイス501,502,503を備える。ネットワークデバイス501〜503は通信ネットワーク100に分散配置され、システム管理の上では下層レイヤに位置づけられて被監視装置として機能する。   Incidentally, the system shown in FIG. 1 includes network devices 501, 502, and 503 connected to the communication network 100 via wired or wireless communication. The network devices 501 to 503 are distributed in the communication network 100, and are positioned as a lower layer in system management and function as monitored devices.

ネットワークデバイス501〜503は例えばユーザ宅600に設けられる。要するにネットワークデバイスは通信ネットワーク100に直接的あるいは間接的に接続可能な機器である。ネットワークデバイス501〜503は無線チャネルを介して基地局CSに接続する機能を備え、接続先の基地局を介して通信ネットワーク100や管理システム400と通信することができる。   The network devices 501 to 503 are provided in the user home 600, for example. In short, the network device is a device that can be directly or indirectly connected to the communication network 100. The network devices 501 to 503 have a function of connecting to the base station CS via a wireless channel, and can communicate with the communication network 100 and the management system 400 via the connection destination base station.

このほか図1のシステムは、パーソナルコンピュータ(PC)や固定電話機(TEL)を制御装置G11,G12に接続するための中継ユニット700を備える。中継ユニット700もネットワークデバイスである。この種の装置はターミナルアダプタ(Terminal Adapter:TA)と称されることもある。PCに音声通話ソフトウェアをインストールすれば電話機として利用することも可能である。さらに、無線LAN(Local Area Network)規格に準拠するアクセスポイント(図示せず)が制御装置G11,G12に接続されることもある。次に、複数の実施形態につき説明する。   1 includes a relay unit 700 for connecting a personal computer (PC) or a fixed telephone (TEL) to the control devices G11 and G12. The relay unit 700 is also a network device. This type of device is sometimes referred to as a terminal adapter (TA). If voice call software is installed on a PC, it can be used as a telephone. Furthermore, an access point (not shown) compliant with a wireless LAN (Local Area Network) standard may be connected to the control devices G11 and G12. Next, a plurality of embodiments will be described.

[第1の実施形態]
図2は、通信システムの第1の実施形態の一例を示すシステム図である。図2に示されるシステムは図1に示されるシステムを基礎とする。図2に示される内部IP網101、外部IP網102、およびこれらの網を相互接続するゲートウェイ200が、図1の通信ネットワーク100に対応する。つまり通信ネットワークは内部IP網101、外部IP網102およびゲートウェイ200を含む。 [First Embodiment]
FIG. 2 is a system diagram showing an example of the first embodiment of the communication system. The system shown in FIG. 2 is based on the system shown in FIG. The internal IP network 101, the external IP network 102, and the gateway 200 interconnecting these networks shown in FIG. 2 correspond to the communication network 100 in FIG. That is, the communication network includes the internal IP network 101, the external IP network 102, and the gateway 200.

実施形態において、管理システム400は認証サービスを提供する。この認証サービスにより内部IP網101のセキュリティは保証される。すなわち内部IP網101はセキュアネットワークとして位置づけられる。
内部IP網101のセキュリティレベルと外部IP網102のセキュリティレベルとは、互いに異なる。すなわち内部IP網101のセキュリティは保証されているが外部IP網102はその限りではない。内部IP網101としては例えば通信キャリアによる私設網を挙げることができ、外部IP網102の例としてはいわゆるインターネットが挙げられる。 In the embodiment, the management system 400 provides an authentication service. The security of the internal IP network 101 is guaranteed by this authentication service. That is, the internal IP network 101 is positioned as a secure network.
The security level of the internal IP network 101 and the security level of the external IP network 102 are different from each other. That is, the security of the internal IP network 101 is guaranteed, but the external IP network 102 is not limited thereto. An example of the internal IP network 101 is a private network using a communication carrier. An example of the external IP network 102 is a so-called Internet.

図1の制御装置G11,G12、管理システム400は内部IP網101に属する。よって基地局CS11,CS22も内部IP網101に属する。ネットワークデバイス501,502は外部IP網102に接続される。ネットワークデバイス503は内部IP網101に接続される。よってネットワークデバイス501,502がネットワークデバイス503と通信するためにはゲートウェイ200を経由する必要があり、そのためには種々の初期設定を要する。第1の実施形態ではその処理手順につき説明する。   The control devices G11 and G12 and the management system 400 in FIG. 1 belong to the internal IP network 101. Therefore, the base stations CS11 and CS22 also belong to the internal IP network 101. Network devices 501 and 502 are connected to the external IP network 102. The network device 503 is connected to the internal IP network 101. Therefore, in order for the network devices 501 and 502 to communicate with the network device 503, it is necessary to go through the gateway 200. For this purpose, various initial settings are required. In the first embodiment, the processing procedure will be described.

図3は、図2に示されるシステムに備わる機能を示す機能ブロック図である。図3において、基地局CS11は無線部CSaを備え、ネットワークデバイス502は無線部502aを備える。無線部CSaおよび無線部502aの機能により基地局CS11およびネットワークデバイス502は相互に無線通信が可能である。
制御装置G11は登録処理部Gaを備える。登録処理部Gaは、個々のネットワークデバイスがどの制御装置の監視下に入るのかを決定する。なお、管理システム400が登録処理部Gaを備えるようにしても良い。 FIG. 3 is a functional block diagram showing functions provided in the system shown in FIG. In FIG. 3, the base station CS11 includes a radio unit CSa, and the network device 502 includes a radio unit 502a. The base station CS11 and the network device 502 can perform wireless communication with each other by the functions of the wireless unit CSa and the wireless unit 502a.
The control device G11 includes a registration processing unit Ga. The registration processing unit Ga determines which control device the individual network device falls under. Note that the management system 400 may include a registration processing unit Ga.

ゲートウェイ200は接続処理部200aを備える。接続処理部200aは、発呼元ネットワークデバイスと発呼先ネットワークデバイスとの間に通信リンクを形成するための処理機能を提供する。呼接続処理手順として一般的なSession Initiation Protocol(SIP)が採用されるシステムにおいては、接続処理部200aを備えることで、ゲートウェイ200はSIPサーバとしての機能を担う。   The gateway 200 includes a connection processing unit 200a. The connection processing unit 200a provides a processing function for forming a communication link between a calling source network device and a calling destination network device. In a system that employs a general Session Initiation Protocol (SIP) as a call connection processing procedure, the gateway 200 serves as a SIP server by including the connection processing unit 200a.

なお内部IP網101と管理システム400、制御装置G11、ゲートウェイ200との間は有線で接続される。制御装置G11と基地局CS11との間も有線で接続される。基地局CS11とネットワークデバイス502との間は無線接続である。ネットワークデバイス502と外部IP網102との間は有線または無線で接続することが可能である。ネットワークデバイス502と内部IP網101との間も同様である。   The internal IP network 101 and the management system 400, the control device G11, and the gateway 200 are connected by wire. The control device G11 and the base station CS11 are also connected by wire. A wireless connection is established between the base station CS11 and the network device 502. The network device 502 and the external IP network 102 can be connected by wire or wireless. The same applies to the network device 502 and the internal IP network 101.

ところで管理システム400は、実施形態に係わる処理機能として認証処理部400aを備える。基地局CS11は認証処理部CSb、無線通知部CScを備える。ゲートウェイ200は認証処理部200bを備える。   Incidentally, the management system 400 includes an authentication processing unit 400a as a processing function according to the embodiment. The base station CS11 includes an authentication processing unit CSb and a radio notification unit CSc. The gateway 200 includes an authentication processing unit 200b.

認証処理部400a、CSb、200bは、外部IP網102に接続されたネットワークデバイス502から送出された認証を要求するメッセージを基地局CS11経由で受信すると、このメッセージの送信元であるネットワークデバイス502に対する認証処理手順を実施する。そしてネットワークデバイス502に応答メッセージを返送することで、認証処理部400a、CSb、200bは認証処理手順の結果を応答する。
無線通知部CScは、認証処理手順の結果を示す上記応答メッセージを、基地局CS11経由でネットワークデバイス502に通知する。次に、上記構成における作用を説明する。 When the authentication processing unit 400a, CSb, 200b receives a message requesting authentication sent from the network device 502 connected to the external IP network 102 via the base station CS11, the authentication processing unit 400a, CSb, 200b responds to the network device 502 that is the transmission source of this message. Perform the authentication processing procedure. Then, by returning a response message to the network device 502, the authentication processing units 400a, CSb, and 200b respond with the result of the authentication processing procedure.
The radio notification unit CSc notifies the network device 502 of the response message indicating the result of the authentication processing procedure via the base station CS11. Next, the operation of the above configuration will be described.

図4は、図2、図3に示されるシステムで実施される処理手順を示すシーケンス図である。実施形態では認証処理手順として次の3段階を考える。
(1)送信元ネットワークデバイスの管理システム400へのアクセスの可否を認証するための第1処理手順。 FIG. 4 is a sequence diagram showing a processing procedure executed in the system shown in FIGS. In the embodiment, the following three stages are considered as the authentication processing procedure.
(1) A first processing procedure for authenticating whether or not a transmission source network device can access the management system 400.

(2)送信元ネットワークデバイスのゲートウェイ200へのアクセスの可否を認証するための第2処理手順。   (2) A second processing procedure for authenticating whether or not the transmission source network device can access the gateway 200.

(3)送信元ネットワークデバイスの内部IP網101へのアクセスの可否を認証するための第3処理手順。
(1)〜(3)の処理は、ネットワークデバイスの運用を開始する際に必要となる初期設定手順の一例である。このほか初期設定手順には、ネットワークデバイスへのIPアドレスの割り当てなどがある。 (3) A third processing procedure for authenticating whether or not the transmission source network device can access the internal IP network 101.
The processes (1) to (3) are an example of an initial setting procedure required when starting operation of a network device. Other initial setting procedures include assignment of IP addresses to network devices.

図2および図3に示されるようにネットワークデバイス502は外部IP網102に接続され、ネットワークデバイス503は内部IP網101に接続される。図4においてはネットワークデバイス502を接続元とし、ネットワークデバイス503をその接続先とする。   As shown in FIGS. 2 and 3, the network device 502 is connected to the external IP network 102, and the network device 503 is connected to the internal IP network 101. In FIG. 4, the network device 502 is the connection source, and the network device 503 is the connection destination.

図4において、外部IP網102に接続されると、ネットワークデバイス502は基地局CS11に通信要求を送出する(ステップS1)。これを受けて基地局CS11はセキュリティ認証を実施し、ネットワークデバイス502の基地局CS11へのアクセスの可否を判定する(ステップS2)。この認証に成功すると、基地局CS11は通信確立応答をネットワークデバイス502に返送する(ステップS3)。これにより(1)の手順が完了し、ネットワークデバイス502は管理システム400へのアクセスを許可される。ここまでの手順はネットワークデバイス502および基地局CS11に備わる無線通信機能を主体とする手順である。   In FIG. 4, when connected to the external IP network 102, the network device 502 sends a communication request to the base station CS11 (step S1). In response, the base station CS11 performs security authentication and determines whether or not the network device 502 can access the base station CS11 (step S2). If this authentication is successful, the base station CS11 returns a communication establishment response to the network device 502 (step S3). Thereby, the procedure (1) is completed, and the network device 502 is permitted to access the management system 400. The procedure so far is mainly a wireless communication function provided in the network device 502 and the base station CS11.

次に、通信確立応答を受けたネットワークデバイス502は、管理システム400に対し、制御装置G11を経由して運用開始要求を送信する(ステップS4)。この運用開始要求はネットワークデバイス502の端末識別情報(加入者番号、電話番号といった登録情報など)とMedia access control(MAC)アドレスとを含む。管理システム400はデータベース44を参照し、受信した識別情報とMACアドレスとの対応関係を検証することにより認証の可否を判定する(ステップS5)。認証が不成功であればNGとなる。   Next, the network device 502 that has received the communication establishment response transmits an operation start request to the management system 400 via the control device G11 (step S4). This operation start request includes terminal identification information (registration information such as a subscriber number and a telephone number) of the network device 502 and a media access control (MAC) address. The management system 400 refers to the database 44 and determines whether or not authentication is possible by verifying the correspondence between the received identification information and the MAC address (step S5). If the authentication is unsuccessful, it becomes NG.

認証が成功すれば(ステップS5でYes)、運用開始応答がネットワークデバイス502に返送される(ステップS6)。この運用開始応答はゲートウェイ200のIPアドレスなど、ネットワークデバイス502がゲートウェイ200にアクセスするために要する初期設定情報を含む。これにより(2)の手順が完了し、ネットワークデバイス502はゲートウェイ200へのアクセスを許可される。   If the authentication is successful (Yes in step S5), an operation start response is returned to the network device 502 (step S6). This operation start response includes initial setting information required for the network device 502 to access the gateway 200, such as the IP address of the gateway 200. Thereby, the procedure (2) is completed, and the network device 502 is permitted to access the gateway 200.

次にネットワークデバイス502は、ゲートウェイ200のIPアドレスを用いて認証要求メッセージをゲートウェイ200に送信する(ステップS7)。この認証要求はネットワークデバイス502に対応付けられたユーザ名、パスワードなどを含む。ゲートウェイ200はこれらの情報に基づいてネットワークデバイス502の認証処理を実施する(ステップS8)。認証が不成功であればNGとなる。   Next, the network device 502 transmits an authentication request message to the gateway 200 using the IP address of the gateway 200 (step S7). This authentication request includes a user name and a password associated with the network device 502. The gateway 200 performs an authentication process for the network device 502 based on these pieces of information (step S8). If the authentication is unsuccessful, it becomes NG.

認証が成功すれば(ステップS8でYes)、認証応答がネットワークデバイス502に返送される(ステップS9)。この認証応答はネットワークデバイス502に割り当てられるIPアドレスなど、ネットワークデバイス502が内部IP網101にアクセスするために必要な情報を含む。これにより(3)の手順が完了し、ネットワークデバイス502は内部IP網101へのアクセスを許可される。   If the authentication is successful (Yes in step S8), an authentication response is returned to the network device 502 (step S9). This authentication response includes information necessary for the network device 502 to access the internal IP network 101, such as an IP address assigned to the network device 502. Thereby, the procedure (3) is completed, and the network device 502 is permitted to access the internal IP network 101.

ここまでの手順は初期設定手順が主体となる。この手順はIPアドレス割り当てを含む、ネットワークデバイスの初期設定に係わる手順である。また初期設定手順には、ネットワークデバイスが異なるIP網にVPN接続するに際してセキュリティ認証に必要な情報(ユーザ名、パスワードなど)、および接続先デバイス情報(IPアドレスなど)を基地局経由で取得する手順が含まれる。実施形態ではこのような手順を自動化することで、従来のマニュアルでの設定処理からオペレータを開放する。   The procedure so far is mainly the initial setting procedure. This procedure is a procedure related to the initial setting of the network device including the IP address assignment. The initial setting procedure is a procedure for obtaining information (user name, password, etc.) necessary for security authentication and connection destination device information (IP address, etc.) via a base station when a network device connects to a different IP network with VPN. Is included. In the embodiment, by automating such a procedure, the operator is freed from the conventional manual setting process.

さて、ステップS9までの手順が完了すると、ネットワークデバイス502は外部IP網102から、内部IP網101に属するネットワークデバイス503に接続することが可能になる。ネットワークデバイス502はネットワークデバイス503を接続先とする発呼要求をゲートウェイ200に送信する(ステップS10)。ゲートウェイ200はネットワークデバイス503のIPアドレスを含む呼接続応答をネットワークデバイス502に返送する(ステップS11)。そうすると呼接続処理手順が実施されたのち(ステップS12)、ネットワークデバイス502,503との間に例えばVirtual Private Network(VPN)接続による通信リンクが形成されて、両デバイスは通信状態となる(ステップS13)。   When the procedure up to step S9 is completed, the network device 502 can connect from the external IP network 102 to the network device 503 belonging to the internal IP network 101. The network device 502 transmits a call request with the network device 503 as a connection destination to the gateway 200 (step S10). The gateway 200 returns a call connection response including the IP address of the network device 503 to the network device 502 (step S11). Then, after the call connection processing procedure is performed (step S12), a communication link is formed between the network devices 502 and 503 by, for example, virtual private network (VPN) connection, and both devices are in a communication state (step S13). ).

図5は、図4に示されるシーケンスにおいてエンティティ間で授受される情報の一例を示す図である。括弧書きは認証処理手順におけるそれぞれの段階に対応する。
図6は、実施形態に係わる通信システムにおける情報の伝達経路を示す概念図である、実施形態では、ネットワークデバイス502が、初期設定に要する情報を基地局CS11の無線チャネルを経由して管理システム400から取得する。そして、取得した情報に含まれる自己のIPアドレス、およびゲートウェイ200のIPアドレスを用いてゲートウェイ200にアクセスして、外部IP網102から内部IP網101への発呼を可能としている。その際、認証処理手順を実施し、いずれかの手順がNGであれば、IPアドレスを含む初期設定情報がネットワークデバイス502に通知されることはない。 FIG. 5 is a diagram showing an example of information exchanged between entities in the sequence shown in FIG. The brackets correspond to each step in the authentication process procedure.
FIG. 6 is a conceptual diagram showing an information transmission path in the communication system according to the embodiment. In the embodiment, the network device 502 transmits information required for initial setting via the radio channel of the base station CS11 to the management system 400. Get from. Then, the gateway 200 is accessed using its own IP address included in the acquired information and the IP address of the gateway 200, and a call can be made from the external IP network 102 to the internal IP network 101. At this time, the authentication processing procedure is executed, and if any procedure is NG, the initial setting information including the IP address is not notified to the network device 502.

既存の通信システムにおいては、膨大な数のネットワークデバイスをIP網上に分散配置するにあたり、個々のネットワークデバイスをオペレータによるマニュアル操作で初期設定する必要があった。例えばIP網上での通信に先立ち、IPアドレス割り当てやVPNなどの設定をマニュアルで行う必要があった。Dynamic Host Configuration Protocol(DHCP)を用いてIPアドレス割り当てを自動化するとしても、ブロードキャストを利用することから、ネットワークのそれぞれにDHCPサーバあるいはDHCPリレーエージェントを設置する必要がある。一方、VPNで接続する環境では接続先のIPアドレスおよび認証情報などをマニュアルでネットワークデバイスに入力する必要がある。   In the existing communication system, when a large number of network devices are distributed on the IP network, it is necessary to initialize each network device manually by an operator. For example, prior to communication on the IP network, it is necessary to manually set IP address assignment and VPN. Even if IP address assignment is automated using Dynamic Host Configuration Protocol (DHCP), since broadcast is used, it is necessary to install a DHCP server or a DHCP relay agent in each network. On the other hand, in an environment connected by VPN, it is necessary to manually input a connection destination IP address, authentication information, and the like to the network device.

さらに、ネットワークデバイスを外部IP網に接続するにあたって本来接続が許可されていないデバイスからのアクセスが想定されるので、不正なアクセスを防止するためのセキュリティ認証を考慮する必要がある。つまり多数のネットワークデバイスが初期設定無しにネットワークに繋がると、セキュリティ上の問題がある。   Furthermore, when connecting a network device to an external IP network, access from a device that is not originally permitted to be connected is assumed, so it is necessary to consider security authentication for preventing unauthorized access. That is, if a large number of network devices are connected to the network without initial setting, there is a security problem.

以上の理由などから、ネットワークデバイスのIP網への配置の自由度をさらに高めるためには、ネットワーク環境に影響されず、人手による初期設定を伴わずに自動で通信を開始可能なシステムアーキテクチャが求められる。   For the reasons described above, in order to further increase the degree of freedom of arrangement of network devices on the IP network, a system architecture that can automatically start communication without being manually set without being affected by the network environment is required. It is done.

そこで第1の実施形態では、セキュアネットワークである内部IP網101に、認証処理部と無線通知部とを設ける。認証処理部は外部IP網102に接続されたネットワークデバイスを、初期設定手順において3段階で認証する。認証に必要な情報および必要なIPアドレスは、基地局により形成される無線ゾーンの無線チャネルを介して、無線通知部により内部IP網101とネットワークデバイスとの間で授受される。この認証処理手順はIPアドレスの割り当ても含み、この手順が成功すれば、ネットワークデバイスは内部IP網101、外部IP網102を接続するゲートウェイを経由して、内部IP網101のネットワークデバイスとの間に通信リンクを形成することが可能になる。   Therefore, in the first embodiment, the internal IP network 101, which is a secure network, is provided with an authentication processing unit and a wireless notification unit. The authentication processing unit authenticates the network device connected to the external IP network 102 in three stages in the initial setting procedure. Information necessary for authentication and a necessary IP address are exchanged between the internal IP network 101 and the network device by the wireless notification unit via the wireless channel of the wireless zone formed by the base station. This authentication processing procedure includes assignment of an IP address. If this procedure is successful, the network device communicates with the network device of the internal IP network 101 via a gateway connecting the internal IP network 101 and the external IP network 102. It becomes possible to form a communication link.

このようにしたので、ネットワークデバイスは初期設定に要する情報を無線経由で取得でき、ネットワークデバイスがIP網で機能するための初期設定は自動化される。つまりネットワークデバイスをIP網(詳しくは無線ゾーンの圏内)に設置すれば無線通信により基地局と繋がり、初期設定シーケンスが自動的に実施されるので、人手による設定作業なしにIP網に接続することができる。   Since it did in this way, the network device can acquire the information required for initial setting via a radio | wireless, and the initial setting for a network device to function by an IP network is automated. In other words, if the network device is installed in the IP network (specifically, within the wireless zone), it is connected to the base station by wireless communication, and the initial setting sequence is automatically performed. Therefore, it is possible to connect to the IP network without manual setting work. Can do.

また、内部IP網101のセキュリティは確保されており、この内部IP網101において認証を行うことでセキュアネットワークの信頼性を利用できる。つまり初期設定の対象は内部IP網101側の無線アクセス網に登録されるネットワークデバイスに限定される。よってネットワークデバイスが外部IP網102に接続されているとしても、不正な端末からの許可されないアクセスを防ぐことができる。   The security of the internal IP network 101 is ensured, and the reliability of the secure network can be used by performing authentication in the internal IP network 101. In other words, the initial setting target is limited to network devices registered in the radio access network on the internal IP network 101 side. Therefore, even if the network device is connected to the external IP network 102, unauthorized access from an unauthorized terminal can be prevented.

これらのことから、システムの運用に係わる手間を軽減し、セキュリティを確保しつつ被監視装置の配置の自由度をさらに向上させることの可能な通信システムおよび運用支援方法を提供することが可能となる。 Accordingly, it is possible to provide a communication system and an operation support method capable of reducing the labor involved in system operation, further improving the degree of freedom of arrangement of monitored devices while ensuring security. .

[第2の実施形態]
図7は、通信システムの第2の実施形態の一例を示すシステム図である。図7において図2と共通する部分には同じ符号を付して示し、ここでは異なる部分についてのみ説明する。図7に示されるシステムは外部IP網102を備えておらず、したがってゲートウェイ200も無い。ネットワークデバイス間の通信は内部IP網101に閉じた形態で実施されるケースを想定するものである。第2の実施形態では、ネットワーク501,502が内部IP網101に接続されるとする。 [Second Embodiment]
FIG. 7 is a system diagram showing an example of the second embodiment of the communication system. In FIG. 7, parts that are the same as those in FIG. 2 are given the same reference numerals, and only different parts will be described here. The system shown in FIG. 7 does not include the external IP network 102 and therefore does not have the gateway 200. It is assumed that communication between network devices is performed in a form closed to the internal IP network 101. In the second embodiment, it is assumed that the networks 501 and 502 are connected to the internal IP network 101.

図8は、図7に示されるシステムに備わる機能を示す機能ブロック図である。第2の実施形態では管理システムがゲートウェイ200(図3)の機能を肩代わりし、接続処理部400bを備える。接続処理部400bによりSIPサーバの機能が提供され、ネットワークデバイスはゲートウェイを介することなく内部IP網101内での通信が可能である。   FIG. 8 is a functional block diagram showing functions provided in the system shown in FIG. In the second embodiment, the management system takes over the function of the gateway 200 (FIG. 3) and includes a connection processing unit 400b. The connection processing unit 400b provides the SIP server function, and the network device can communicate within the internal IP network 101 without using a gateway.

図9は、図7、図8に示されるシステムで実施される処理手順を示すシーケンス図である。図9に示されるシーケンスでは、管理システム400が、ネットワークデバイス502の運用開始要求および認証要求を受け付け(ステップS40)、運用開始応答および認証応答を返送する(ステップS60)点が特徴的である。ステップS40においてネットワークデバイス502は、MACアドレスに加えてユーザ名、パスワードなどの情報も管理システム400に通知する。ネットワークデバイス502の認証が成功すれば、ステップS60で管理システム400はネットワークデバイス502にIPアドレスを供与する。ここまでの手順が完了したのち、ネットワークデバイス502からの発呼要求に応じてネットワークデバイス501との通信リンクが形成され、VPN接続による通信が可能となる。   FIG. 9 is a sequence diagram showing a processing procedure executed in the system shown in FIGS. The sequence shown in FIG. 9 is characterized in that the management system 400 receives an operation start request and an authentication request of the network device 502 (step S40), and returns an operation start response and an authentication response (step S60). In step S40, the network device 502 notifies the management system 400 of information such as a user name and password in addition to the MAC address. If the authentication of the network device 502 is successful, the management system 400 provides an IP address to the network device 502 in step S60. After the procedure so far is completed, a communication link with the network device 501 is formed in response to a call request from the network device 502, and communication by VPN connection becomes possible.

以上のように管理システム400がSIPサーバの機能を代替することによっても、システムの運用に係わる手間を軽減し、被監視装置の配置の自由度をさらに向上させることが可能になる。   As described above, even when the management system 400 substitutes for the function of the SIP server, it is possible to reduce the labor involved in the operation of the system and further improve the degree of freedom of arrangement of the monitored devices.

[第3の実施形態]
図10は、通信システムの第3の実施形態の一例を示すシステム図である。図10において図2と共通する部分には同じ符号を付して示し、ここでは異なる部分についてのみ説明する。図10に示されるシステムは図7からさらに制御装置G11,G12を省略したものに相当する。すなわち基地局CS11は内部IP網101に直結される。 [Third Embodiment]
FIG. 10 is a system diagram showing an example of the third embodiment of the communication system. 10, parts that are the same as those in FIG. 2 are given the same reference numerals, and only different parts will be described here. The system shown in FIG. 10 corresponds to a system in which the control devices G11 and G12 are further omitted from FIG. That is, the base station CS11 is directly connected to the internal IP network 101.

図11は、図10に示されるシステムに備わる機能を示す機能ブロック図である。基地局CS11は例えば有線回線で内部IP網101に接続される。
図12は、図10、図11に示されるシステムで実施される処理手順を示すシーケンス図である。図9のシーケンスに比べ制御装置を経由しないことから、メッセージの授受はさらにシンプルなものになる。必要な初期設定手順は基地局CS11および管理システム400により十分な形で実施される。以上の構成によってもシステムの運用に係わる手間を軽減でき、被監視装置の配置の自由度をさらに向上させることが可能になる。 FIG. 11 is a functional block diagram showing functions provided in the system shown in FIG. The base station CS11 is connected to the internal IP network 101 by a wired line, for example.
FIG. 12 is a sequence diagram illustrating a processing procedure performed in the system illustrated in FIGS. 10 and 11. Compared with the sequence of FIG. 9, since it does not go through a control apparatus, transmission / reception of a message becomes still simpler. The necessary initial setup procedure is implemented in a sufficient manner by the base station CS11 and the management system 400. With the above-described configuration, it is possible to reduce the labor involved in the operation of the system, and it is possible to further improve the degree of freedom of arrangement of monitored devices.

なお、本発明は上記実施の形態に限定されるものではない。例えば制御装置G11,G12が認証処理部を備えるようにしても良い。このケースでは、例えば図3のステップS5の手順は制御装置G11により実施されることとなろう。あるいは、図3のステップS5の手順をゲートウェイ200が実施したり、ステップS8の手順を管理システム400が実行したりしても良い。   The present invention is not limited to the above embodiment. For example, the control devices G11 and G12 may include an authentication processing unit. In this case, for example, the procedure of step S5 in FIG. 3 will be performed by the control device G11. Alternatively, the gateway 200 may execute the procedure of step S5 in FIG. 3, or the management system 400 may execute the procedure of step S8.

本発明のいくつかの実施形態を説明したが、これらの実施形態は例として提示されるものであり、発明の範囲を限定することは意図していない。これらの新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これらの実施形態やその変形は発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。   Although several embodiments of the present invention have been described, these embodiments are presented by way of example and are not intended to limit the scope of the invention. These novel embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the spirit of the invention. These embodiments and modifications thereof are included in the scope and gist of the invention, and are included in the invention described in the claims and the equivalents thereof.

100…通信ネットワーク、G11,G12…制御装置、400…管理システム、44…データベース、CS11,CS21,CS22(CS)…基地局、PS11,PS12…移動端末、501,502,503…ネットワークデバイス、600…ユーザ宅、700…中継ユニット、101…内部IP網、102…外部IP網、200…ゲートウェイ、CSa,502a,501a…無線部、Ga…登録処理部、200a,400b…接続処理部、CSc…無線通知部、400a,CSb、200b…認証処理部   DESCRIPTION OF SYMBOLS 100 ... Communication network, G11, G12 ... Control apparatus, 400 ... Management system, 44 ... Database, CS11, CS21, CS22 (CS) ... Base station, PS11, PS12 ... Mobile terminal, 501, 502, 503 ... Network device, 600 User home, 700 ... Relay unit, 101 ... Internal IP network, 102 ... External IP network, 200 ... Gateway, CSa, 502a, 501a ... Wireless unit, Ga ... Registration processing unit, 200a, 400b ... Connection processing unit, CSc ... Wireless notification unit, 400a, CSb, 200b ... authentication processing unit

Claims (13)

セキュリティを保証されたセキュアネットワークと前記セキュアネットワークとはセキュリティレベルの異なるIP(Internet Protocol)ネットワークとを相互接続するゲートウェイを具備する通信システムにおいて、
前記セキュアネットワークは、
無線ゾーンを形成する基地局と、
前記IPネットワークに接続された第1のデバイスからの、当該第1のデバイスの運用を開始する際の初期設定手順に伴う認証要求メッセージを前記基地局経由で受信する無線部と、
前記認証要求メッセージに応じて前記第1のデバイスに対する認証処理を実施する認証処理部と、
前記認証処理が成功すると、前記IPネットワークにおける前記ゲートウェイのIPアドレスを含む応答メッセージを前記基地局経由で前記第1のデバイスに通知する通知部とを具備し、
前記ゲートウェイは、
前記通知されたIPアドレスを用いた前記第1のデバイスからの接続要求に応じて、前記セキュアネットワークに接続された第2のデバイスと前記第1のデバイスとの間に通信リンクを形成する接続処理部を備える、通信システム。 In a communication system comprising a gateway that interconnects a secure network with guaranteed security and an IP (Internet Protocol) network having a different security level from the secure network,
The secure network is
A base station forming a radio zone;
A wireless unit that receives, from the first device connected to the IP network, an authentication request message accompanying the initial setting procedure when starting operation of the first device via the base station;
An authentication processing unit that performs an authentication process on the first device in response to the authentication request message;
A notification unit for notifying the first device via the base station of a response message including an IP address of the gateway in the IP network when the authentication process is successful;
The gateway is
Connection processing for forming a communication link between the second device connected to the secure network and the first device in response to a connection request from the first device using the notified IP address A communication system. さらに、前記セキュアネットワークのセキュリティを保証するサーバを具備し、
前記認証処理は、
前記第1のデバイスの前記サーバへのアクセスの可否を認証するための第1の処理手順と、
前記第1のデバイスの前記ゲートウェイへのアクセスの可否を認証するための第2の処理手順と、
前記ゲートウェイにより実施され、前記第1のデバイスの前記セキュアネットワークへのアクセスの可否を認証するための第3の処理手順とを含む、請求項1に記載の通信システム。 And a server for guaranteeing the security of the secure network,
The authentication process includes
A first processing procedure for authenticating whether or not the first device can access the server;
A second processing procedure for authenticating whether the first device can access the gateway;
The communication system according to claim 1, further comprising: a third processing procedure implemented by the gateway for authenticating whether the first device can access the secure network. 前記セキュアネットワークは、前記ゲートウェイにより前記IPネットワークと隔離される、当該IPネットワークとは異なるネットワークである、請求項1および2のいずれか1項に記載の通信システム。   3. The communication system according to claim 1, wherein the secure network is a network different from the IP network, which is separated from the IP network by the gateway. 4. 前記認証処理部は、認証の成功した前記第1のデバイスに前記IPネットワークにおけるIPアドレスを割り当てる、請求項3に記載の通信システム。   The communication system according to claim 3, wherein the authentication processing unit assigns an IP address in the IP network to the first device that has been successfully authenticated. 前記ゲートウェイは、前記認証処理部を備える、請求項1に記載の通信システム。   The communication system according to claim 1, wherein the gateway includes the authentication processing unit. 前記サーバは、前記認証処理部を備える、請求項2に記載の通信システム。   The communication system according to claim 2, wherein the server includes the authentication processing unit. さらに、前記基地局を前記セキュアネットワークに接続する接続装置を具備し、
前記接続装置は、前記認証処理部を備える、請求項1に記載の通信システム。 And a connection device for connecting the base station to the secure network,
The communication system according to claim 1, wherein the connection device includes the authentication processing unit. 前記基地局は、前記通知部を備える、請求項1に記載の通信システム。   The communication system according to claim 1, wherein the base station includes the notification unit. 前記基地局は、前記認証処理部を備える、請求項1に記載の通信システム。   The communication system according to claim 1, wherein the base station includes the authentication processing unit. セキュリティを保証されたセキュアネットワークと前記セキュアネットワークとはセキュリティレベルの異なるIP(Internet Protocol)ネットワークとを相互接続するゲートウェイを具備する通信システムの運用支援方法において、
前記セキュアネットワークに備わる無線部が、前記IPネットワークに接続された第1のデバイスからの、当該第1のデバイスの運用を開始する際の初期設定手順に伴う認証要求メッセージを、無線ゾーンを形成する基地局経由で受信し、
前記セキュアネットワークに備わる認証処理部が、前記認証要求メッセージに応じて前記第1のデバイスに対する認証処理を実施し、
前記セキュアネットワークに備わる通知部が、前記認証処理が成功すると、前記IPネットワークにおける前記ゲートウェイのIPアドレスを含む応答メッセージを前記基地局経由で前記第1のデバイスに通知し、
前記ゲートウェイが、前記通知されたIPアドレスを用いた前記第1のデバイスからの接続要求に応じて、前記セキュアネットワークに接続された第2のデバイスと前記第1のデバイスとの間に通信リンクを形成する、運用支援方法。 In a method for supporting the operation of a communication system comprising a gateway that interconnects a secure network with guaranteed security and an IP (Internet Protocol) network having a different security level from the secure network,
The wireless unit included in the secure network forms a wireless zone with an authentication request message accompanying an initial setting procedure when starting operation of the first device from the first device connected to the IP network. Received via the base station,
An authentication processing unit provided in the secure network performs an authentication process on the first device in response to the authentication request message;
When the authentication process is successful, the notification unit provided in the secure network notifies the first device via the base station of a response message including the IP address of the gateway in the IP network,
In response to a connection request from the first device using the notified IP address, the gateway establishes a communication link between the second device connected to the secure network and the first device. An operation support method to be formed. 前記認証処理は、
前記セキュアネットワークのセキュリティを保証するサーバへの、前記第1のデバイスのアクセスの可否を認証するための第1の処理手順と、
前記第1のデバイスの前記ゲートウェイへのアクセスの可否を認証するための第2の処理手順と、
前記ゲートウェイにより実施され、前記第1のデバイスの前記セキュアネットワークへのアクセスの可否を認証するための第3の処理手順とを含む、請求項10に記載の運用支援方法。 The authentication process includes
A first processing procedure for authenticating whether the first device can access a server that guarantees security of the secure network;
A second processing procedure for authenticating whether the first device can access the gateway;
The operation support method according to claim 10, further comprising: a third processing procedure implemented by the gateway and authenticating whether or not the first device can access the secure network. 前記セキュアネットワークは、前記ゲートウェイにより前記IPネットワークと隔離される、当該IPネットワークとは異なるネットワークである、請求項10および11のいずれか1項に記載の運用支援方法。   The operation support method according to any one of claims 10 and 11, wherein the secure network is a network different from the IP network, which is isolated from the IP network by the gateway. 前記認証処理部は、認証の成功した前記第1のデバイスに前記IPネットワークにおけるIPアドレスを割り当てる、請求項12に記載の運用支援方法。   The operation support method according to claim 12, wherein the authentication processing unit assigns an IP address in the IP network to the first device that has been successfully authenticated.
JP2011170055A 2011-08-03 2011-08-03 Communication system and operation support method Expired - Fee Related JP5713833B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011170055A JP5713833B2 (en) 2011-08-03 2011-08-03 Communication system and operation support method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011170055A JP5713833B2 (en) 2011-08-03 2011-08-03 Communication system and operation support method

Publications (2)

Publication Number Publication Date
JP2013034153A JP2013034153A (en) 2013-02-14
JP5713833B2 true JP5713833B2 (en) 2015-05-07

Family

ID=47789641

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011170055A Expired - Fee Related JP5713833B2 (en) 2011-08-03 2011-08-03 Communication system and operation support method

Country Status (1)

Country Link
JP (1) JP5713833B2 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001094609A (en) * 1999-09-20 2001-04-06 Toshiba Corp Dialup terminal connection system
JP2008098833A (en) * 2006-10-10 2008-04-24 Hitachi Ltd Server device
KR100924942B1 (en) * 2006-10-20 2009-11-05 삼성전자주식회사 Apparatus and method for vertical handover in broadband wireless communacation system

Also Published As

Publication number Publication date
JP2013034153A (en) 2013-02-14

Similar Documents

Publication Publication Date Title
US10594595B2 (en) Method of ensuring continuity for services supplied by a residential gateway
US7460525B2 (en) Methods, apparatus, and systems for accessing mobile and voice over IP telephone networks with a mobile handset
US7616953B2 (en) System and a method of realizing subscriber's foreign roaming service through the router
US20070156804A1 (en) System and method for a virtual mobile network supporting dynamic personal virtual mobile network with multimedia service orchestration
US20130208693A1 (en) Dynamic connection of a mobile terminal to a local network
JP2019506053A (en) Communication system for communication in a communication network having a sub-network
US9781579B2 (en) Method and device for realizing terminal WIFI talkback
JP6649493B2 (en) Method for establishing a communication connection of a communication terminal via a communication network
CN103109502B (en) The method and apparatus that Femto cell bunch access is carried out load balance
JP2010141850A (en) Communication apparatus and mobile terminal
US20120282896A1 (en) Method, Apparatus and System for a Mobile Virtual Number Service in a Mobile Telecommunications System
US8583085B2 (en) Mobile equipment, base station apparatus and communication control method
EP3897013B1 (en) Method for accessing local network, and related device
JP5713833B2 (en) Communication system and operation support method
EP2979436A1 (en) Wlan resource management in an access network system
WO2017003065A1 (en) Network device and terminal for multi-net aggregation transmission, and operating method thereof
CN116438824A (en) Method, device and system for reallocating core network devices in wireless network
JP5414720B2 (en) Communication system, network device, and management method
EP1232664B1 (en) Method and device for carrying out security procedures involving mobile stations in hybrid cellular telecommunication systems
US20230254691A1 (en) Authentication and data flow control configuration
JP7324376B2 (en) Setting system, setting method
CN108881239B (en) Software telephone, roaming method thereof and soft switch equipment
JP7028583B2 (en) LTE communication system and communication control method
CN114531256A (en) Data communication method and system
JP6414436B2 (en) Telephone system, master telephone control device, slave telephone control device, and system information setting method

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130619

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130625

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130826

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20131112

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140212

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20140220

A912 Removal of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20140314

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150310

R151 Written notification of patent or utility model registration

Ref document number: 5713833

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees