JP5760736B2 - 通信装置 - Google Patents

通信装置 Download PDF

Info

Publication number
JP5760736B2
JP5760736B2 JP2011137982A JP2011137982A JP5760736B2 JP 5760736 B2 JP5760736 B2 JP 5760736B2 JP 2011137982 A JP2011137982 A JP 2011137982A JP 2011137982 A JP2011137982 A JP 2011137982A JP 5760736 B2 JP5760736 B2 JP 5760736B2
Authority
JP
Japan
Prior art keywords
wireless terminal
communication device
line
network
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011137982A
Other languages
English (en)
Other versions
JP2013005415A (ja
Inventor
長谷川 順一
順一 長谷川
明 中後
明 中後
雄司 丹羽
雄司 丹羽
隆光 白井
隆光 白井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2011137982A priority Critical patent/JP5760736B2/ja
Priority to US13/430,210 priority patent/US8433289B2/en
Publication of JP2013005415A publication Critical patent/JP2013005415A/ja
Application granted granted Critical
Publication of JP5760736B2 publication Critical patent/JP5760736B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本件は、無線アクセスネットワークに設けられ、他ネットワークとの通信を中継する通信装置に関する。
MVNO(Mobile Virtual Network Operator)とは、通信設備を持たない事業者が、通信設備を持つ事業者(Mobile Network Operator)から通信設備を借り入れて、サービスを提供している事業者をいう。
例えば、MVNOが提供するサービスを利用するユーザの無線端末と、MVNOネットワークとの回線接続は、通信設備を持つ事業者のLTE(long term evolution)ネットワークなどの無線アクセスネットワークを介して行われる。これにより、ユーザの無線端末は、例えば、MVNOネットワーク上に存在する、サービスを提供するコンテンツサーバとの通信が可能になる。
なお、従来、セッション制御サーバを使用し、サーバとクライアントとの間の安全な接続を自動的および動的に起動し、確立するためのシステムおよび方法が提案されている(例えば、特許文献1参照)。また、従来、電子セキュリティを強化するシステムおよび方法が提案されている。また、従来、動的IPアドレスの機器を管理するネットワーク管理方法が提案されている。また、従来、TCP(Transmission Control Protocol)/IP(Internet Protocol)環境でエンドツーエンド・ビジネス・トランザクションを処理するコンピュータベースの技術が提案されている。
特表2008−505512号公報
ところで、無線端末のMVNOネットワークなどの他ネットワークへの回線接続制御は、通信設備を持つ事業者の無線アクセスネットワークと、他ネットワークとの相互接続点のルータやゲートウェイ等の装置にて行われる。そのため、例えば、他ネットワーク上のサービスを提供するサーバは、無線端末の他ネットワークへの回線切断を関知できない。
また、相互接続点の装置は、無線端末の他ネットワークへの回線接続後、例えば、他ネットワーク上に存在するサービスを提供するサーバと、ユーザの無線端末とのセッションの確立および切断の制御には、関与しない。
このため、無線端末のセッションは、無線端末の他ネットワークへの回線接続が切断されたにも関わらず、確立されたままの状態になるという問題点があった。
本件はこのような点に鑑みてなされたものであり、無線端末の他ネットワークへの回線切断後、無線端末のセッションを切断する通信装置を提供することを目的とする。
上記課題を解決するために、無線アクセスネットワークに設けられ、他ネットワークとの通信を中継する通信装置であって、前記他ネットワークは、無線端末の認証を行う第1のサーバと、前記無線端末にサービスを提供する第2のサーバとを含み、前記第2のサーバから前記無線端末へのサービス提供は、前記無線アクセスネットワークを介して行われる場合前記無線端末の前記他ネットワークへの回線接続および回線切断の際に、前記無線端末と前記第1のサーバとで行われる認証処理をモニタするモニタ部と、前記第1のサーバで認証解除が完了したことがモニタされると、前記無線端末から前記無線アクセスネットワークへ回線切断が要求されたことを認識し、前記無線端末のセッションを切断するための情報を生成して前記第2のサーバへ送信する生成部と、を有する。
また、上記課題を解決するために、無線アクセスネットワークに設けられ、他ネットワークとの通信を中継する通信装置であって、前記他ネットワークは、無線端末にサービスを提供するサーバを含み、前記サーバから前記無線端末へのサービス提供は、前記無線アクセスネットワークを介して行われる場合、前記無線アクセスネットワークに設けられ、前記無線端末と無線通信する基地局を集約する第1の通信装置と、前記無線アクセスネットワークに設けられ、前記無線端末にアドレス割り当てを行う第2の通信装置との間に形成される、前記無線端末のデータが疎通する回線であって、前記第2の通信装置から送信される前記回線の状態を受信する受信部と、前記回線の切断状態が受信されると、前記無線端末のセッションを切断するための情報を生成して前記サーバへ送信する生成部と、を有する。
さらに、上記課題を解決するために、無線アクセスネットワークに設けられ、他ネットワークとの通信を中継する通信装置であって、前記他ネットワークは、無線端末にサービスを提供するサーバを含み、前記サーバから前記無線端末へのサービス提供は、前記無線アクセスネットワークを介して行われる場合、前記無線アクセスネットワークに設けられ、前記無線端末と無線通信する基地局を集約する第1の通信装置と前記他ネットワークに設けられ、前記無線端末にアドレス割り当てを行う第2の通信装置との間に形成される、前記無線端末のデータが疎通する回線の状態をモニタするモニタ部と、前記回線の切断状態がモニタされると、前記無線端末のセッションを切断するための情報を生成して前記サーバへ送信する生成部と、を有する。
開示の装置によれば、無線端末の他ネットワークへの回線切断後、無線端末のセッションを切断することができる。
第1の実施の形態に係る通信装置を説明する図である。 第2の実施の形態に係る通信装置が適用されるネットワーク構成例を示した図である。 図2のネットワーク構成例の動作を説明する図である。 PGWの機能ブロック例を示した図である。 FWの機能ブロック例を示した図である。 AAAサーバの機能ブロック例を示した図である。 FWのハードウェア構成例を示した図である。 RADIUS認証状態TBのデータ構成例を示した図である。 アドレス変換TBのデータ構成例を示した図である。 フィルタリングTBのデータ構成例を示した図である。 回線接続データ処理部の処理を示したフローチャートのその1である。 回線接続データ処理部の処理を示したフローチャートのその2である。 ユーザデータ処理部の処理を示したフローチャートである。 RADIUSパケットを説明する図である。 RADIUS認証処理を示したシーケンス図である。 RADIUS認証状態の遷移を説明する図である。 ネットワークの動作を示したシーケンスの一例を示した図である。 ネットワークの動作を示したシーケンスの一例を示した図である。 第3の実施の形態に係る通信装置を説明する図である。 第4の実施の形態に係る通信装置が適用されるネットワーク構成例を示した図である。 FWの機能ブロック例を示した図である。 GTPトンネル接続状態TBのデータ構成例を示した図である。 回線接続データ処理部の処理を示したフローチャートのその1である。 回線接続データ処理部の処理を示したフローチャートのその2である。 ユーザデータ処理部の処理を示したフローチャートである。 GTP−Cパケットを説明する図である。 GTPトンネル接続状態の遷移を説明する図である。 ネットワークの動作を示したシーケンスの一例を示した図である。 ネットワークの動作を示したシーケンスの一例を示した図である。 第5の実施の形態に係る通信装置を説明する図である。 第6の実施の形態に係る通信装置が適用されるネットワーク構成例を示した図である。 図31のネットワーク構成例の動作を説明する図である。 FWの機能ブロック例を示した図である。 ネットワークの動作を示したシーケンスの一例を示した図である。 ネットワークの動作を示したシーケンスの一例を示した図である。 セッションが解放されない場合の動作を説明する図である。 適用範囲を説明する図である。
以下、実施の形態を、図面を参照して詳細に説明する。
[第1の実施の形態]
図1は、第1の実施の形態に係る通信装置を説明する図である。図1に示すように、通信装置1は、無線アクセスネットワーク3に設けられている。図1に示す無線アクセスネットワーク3は、例えば、LTEネットワーク(e−UTRAN:evolved-Universal Terrestrial Radio Access Network)であり、他ネットワーク4は、例えば、MVNOネットワークである。通信装置1は、例えば、ファイアウォールであり、無線端末2の他ネットワーク4との通信を中継する。
無線端末2は、例えば、携帯電話である。無線端末2は、例えば、無線アクセスネットワーク3に設けられている、図示しないeNB(Evolved Node B)と無線通信を行い、通信装置1を介して他ネットワーク4に接続することができる。
通信装置1は、モニタ部1aおよび生成部1bを有している。モニタ部1aは、無線端末2の他ネットワーク4への回線接続および回線切断の際に行われる認証処理をモニタする。
例えば、無線端末2の他ネットワーク4への回線接続および回線切断の際に行われる認証処理は、RADIUS(Remote Authentication Dial-In User Service)認証である。例えば、無線端末2は、他ネットワーク4へ回線接続する場合、無線端末2と通信装置1との間に設けられている図示しないGW(GateWay)と、他ネットワーク4に設けられている図示しない認証サーバとによって、RADIUS認証が行われる。無線端末2は、RADIUS認証によって正規の無線端末であると認証されると、例えば、他ネットワーク4に設けられている、図示しないコンテンツサーバにアクセスできる。また、無線端末2は、他ネットワーク4への回線接続を切断する場合、前記のGWと認証サーバとによって、認証解除のRADIUS認証が行われる。無線端末2は、RADIUS認証によって認証解除がされると、他ネットワーク4との回線接続が切断される。通信装置1のモニタ部1aは、GWと認証サーバとの間でやり取りされる無線端末2のRADIUS認証の処理をモニタする。
生成部1bは、モニタ部1aのモニタする認証処理に基づいて、無線端末2のセッションを切断するための情報を生成する。例えば、生成部1bは、モニタ部1aが無線端末2の認証解除をモニタした場合、無線端末2のセッションを切断するためのリセットパケット(RSTパケット)を生成する。すなわち、生成部1bは、モニタ部1aが無線端末2の認証解除をモニタした場合、無線端末2の他ネットワーク4への回線接続が切断されたと判断し、RSTパケットを生成する。
生成部1bの生成した情報(RSTパケット)は、例えば、無線端末2とセッションを確立していたコンテンツサーバに送信される。これにより、無線端末2のセッション(無線端末2とコンテンツサーバのセッション)は、切断される。
このように、通信装置1のモニタ部1aは、無線端末2の他ネットワーク4への回線接続および回線切断の際に行われる認証処理をモニタする。そして、生成部1bは、モニタ部1aのモニタする認証処理に基づいて、無線端末2のセッションを切断するための情報を生成するようにした。これにより、通信装置1は、無線端末2の他ネットワーク4への回線切断後、無線端末2のセッションを切断することができる。
[第2の実施の形態]
次に、第2の実施の形態を、図面を参照して詳細に説明する。
図2は、第2の実施の形態に係る通信装置が適用されるネットワーク構成例を示した図である。図2のネットワークは、LTEネットワークとMVNOネットワークとのレイヤ3接続の例を示している。
図2に示す無線端末11は、例えば、携帯電話である。eNB12は、無線端末11と無線通信を行う基地局である。
SGW(Serving GateWay)13は、複数のeNB12を集約し、PGW(Packet Data Network GateWay)14へデータ転送を行うゲートウェイである。PGW14は、アドレスプールを備え、アドレスプールから空いているIPアドレスを選択し、無線端末11に割り当てるゲートウェイである。
eNB12、SGW13、PGW14、FW(FireWall)15、およびMME(Mobility Management Entity)16は、LTEネットワークを形成している。FW15は、外部ネットワークから、LTEネットワーク内部への不正アクセスを防止する。
また、FW15は、無線端末11のMVNOネットワークへの回線接続および回線切断の際に行われる認証処理をモニタする。FW15は、モニタする認証処理に基づいて、無線端末11のセッションを切断するための情報を生成する。MME16は、無線端末11の位置管理や接続制御を行う。
GW21は、LTEネットワークとの接続を中継するゲートウェイである。AAA(Authentication Authorization Accounting)サーバ22は、無線端末11がMVNOネットワークへ回線接続をするときまたは回線切断をするとき、無線端末11の認証処理を行う。コンテンツサーバ23は、無線端末11に提供するコンテンツを格納したサーバである。
GW21、AAAサーバ22、およびコンテンツサーバ23は、例えば、MVNOネットワークを形成している。MVNOネットワークとLTEネットワークは、例えば、広域イーサネット(登録商標)で接続されている。
図3は、図2のネットワーク構成例の動作を説明する図である。図3において図2と同じものには同じ符号が付してある。
SGW13は、MME16を経由した無線端末11の回線接続要求に応じて、PGW14との間にGTP−U(General packet radio service Tunneling Protocol for User plane)のプロトコルを動作させる。これにより、SGW13とPGW14との間には、GTPトンネルが形成される。
PGW14は、SGW13からのGTPトンネルの接続要求に応じて、AAAサーバ22と無線端末11のRADIUS認証処理を行う。無線端末11は、PGW14とAAAサーバ22とのRADIUS認証によって、正規の無線端末であると認証されれば、GW21を介してコンテンツサーバ23にアクセスでき、所望のサービスを受けることができる。また、PGW14は、SGW13からのGTPトンネルの切断要求に応じて、AAAサーバ22と無線端末11のRADIUS認証の解除処理を行う。無線端末11は、PGW14とAAAサーバ22とのRADIUS認証によって認証解除がされると、MVNOネットワークとの回線が切断される。
図4は、PGWの機能ブロック例を示した図である。図4に示すように、PGW14は、GTPトンネル制御部14a、RADIUS認証処理部14b、およびルーティング制御部14cを有している。
GTPトンネル制御部14aは、GTP−Uのプロトコルにより、SGW13とGTPトンネルを形成する。また、GTPトンネル制御部14aは、GTP−Uのプロトコルにより、SGW13との間に形成したGTPトンネルを解除(切断)する。
RADIUS認証処理部14bは、AAAサーバ22と、MVNOネットワークに回線接続をしようとする無線端末11のRADIUS認証処理を行う。また、RADIUS認証処理部14bは、AAAサーバ22と、MVNOネットワークへの回線接続を切断しようとする無線端末11のRADIUS認証処理を行う。
ルーティング制御部14cは、RADIUS認証処理が行われた無線端末11のデータのルーティング制御を行う。
図5は、FWの機能ブロック例を示した図である。図5に示すように、FW15は、回線接続データ処理部15a、ユーザデータ処理部15b、RADIUS認証状態TB15c、アドレス変換TB15d、およびフィルタリングTB15eを有している。
回線接続データ処理部15aは、無線端末11の回線接続時のデータ処理を行う。回線接続データ処理部15aは、RADIUS認証状態TB15c、アドレス変換TB15d、およびフィルタリングTB15eにアクセスして、所定の処理を行う。
ユーザデータ処理部15bは、正当ユーザであると認証された無線端末11のユーザデータの処理を行う。例えば、ユーザデータ処理部15bは、NAPT(Network Address Port Translation)を行う。ユーザデータ処理部15bは、アドレス変換TB15dおよびフィルタリングTB15eにアクセスして、所定の処理を行う。
RADIUS認証状態TB15c、アドレス変換TB15d、およびフィルタリングTB15eのデータ構成例については後述する。
図6は、AAAサーバの機能ブロック例を示した図である。図6に示すように、AAAサーバ22は、IPアドレス払い出し部22aおよびRADIUS認証処理部22bを有している。
IPアドレス払い出し部22aは、コンテンツサーバ23に割り当てるIPアドレスを払い出す。RADIUS認証処理部22bは、PGW14と無線端末11のRADIUS認証処理を行う。
図7は、FWのハードウェア構成例を示した図である。図7に示すように、FW15は、データ入力回路15aa、ネットワークプロセッサ15bb、データ出力回路15cc、およびメモリ15ddを有している。データ入力回路15aaおよびデータ出力回路15ccは、例えば、FPGA(Field Programmable Gate Array)によって形成される。ネットワークプロセッサ15bbは、例えば、CPU(Central Processing Unit)やDSP(Digital Signal Processor)によって形成される。
データ入力回路15aaは、PGW14またはGW21から出力されるデータを入力する。データ出力回路15ccは、ネットワークプロセッサ15bbによって処理されたデータをPGW14またはGW21に出力する。
ネットワークプロセッサ15bbは、回線接続データやユーザデータの処理を行う。図5に示した回線接続データ処理部15aおよびユーザデータ処理部15bの機能は、例えば、ネットワークプロセッサ15bbによって実現される。
メモリ15ddは、RADIUS認証状態TB15c、アドレス変換TB15d、およびフィルタリングTB15eのデータを記憶する記憶装置である。また、メモリ15ddには、ネットワークプロセッサ15bbが実行するOS(Operating System)やアプリケーションプログラムが格納されている。
図8は、RADIUS認証状態TBのデータ構成例を示した図である。図8に示すように、RADIUS認証状態TB15cは、IDの欄、無線端末IPの欄、およびRADIUS認証状態の欄を有している。
IDの欄には、RADIUS認証状態TB15cに格納されるデータを識別するための識別子が格納される。
無線端末IPの欄には、PGW14が無線端末11に割り当てたIPアドレスが格納される。
RADIUS認証状態の欄には、無線端末11のRADIUS認証状態が格納される。例えば、RADIUS認証状態の欄には、認証解除、認証開始、認証完了、または認証終了の状態が格納される。
例えば、無線端末11がMVNOネットワークに回線接続要求を行ったとする。PGW14とAAAサーバ22は、無線端末11のRADIUS認証処理を開始する。このとき、PGW14は、MVNOネットワークに回線接続しようとする無線端末11のIPアドレスをAAAサーバ22に送信する。
FW15の回線接続データ処理部15aは、このPGW14からAAAサーバ22へ送信される無線端末11のIPアドレスをモニタし、RADIUS認証状態TB15cの無線端末IPの欄に格納する。また、回線接続データ処理部15aは、無線端末IPの欄に格納したIPアドレスに対し、識別子を割り当て、IDの欄に格納する。
また、回線接続データ処理部15aは、RADIUS認証状態を、RADIUS認証状態の欄に格納する。例えば、PGW14とAAAサーバ22との間で、無線端末11のRADIUS認証の処理が開始されたとき、RADIUS認証状態の欄には、回線接続データ処理部15aによって認証開始が格納される。また、PGW14とAAAサーバ22との間で、無線端末11のRADIUS認証の処理が完了したとき、RADIUS認証状態の欄には、回線接続データ処理部15aによって認証完了が格納される。また、PGW14とAAAサーバ22との間で、無線端末11の認証解除の処理が開始されたとき、RADIUS認証状態の欄には、回線接続データ処理部15aによって認証終了が格納される。また、PGW14とAAAサーバ22との間で、無線端末11の認証解除の処理が完了したとき、RADIUS認証状態の欄には、回線接続データ処理部15aによって認証解除が格納される。
図9は、アドレス変換TBのデータ構成例を示した図である。図9に示すように、アドレス変換TB15dは、IDの欄、無線端末IPの欄、無線端末ポートの欄、変換先IPの欄、変換先ポートの欄、パケット種別の欄、TCP接続状態の欄、対向装置IPの欄、対向装置ポートの欄、SEQ番号の欄、およびACK番号の欄を有している。アドレス変換TB15dには、回線接続データ処理部15aがRSTパケット(後述する)を生成するための情報やユーザデータ処理部15bがNAPTを行うための情報が格納される。
IDの欄には、アドレス変換TB15dに格納されるデータを識別するための識別子が格納される。
無線端末IPの欄には、通信する無線端末11のPGW14によって割り当てられたIPアドレスが格納される。
無線端末ポートの欄には、通信する無線端末11のポート番号が格納される。
変換先IPの欄には、ユーザデータ処理部15bによって変換された無線端末11のIPアドレスが格納される。これにより、例えば、LTEネットワークの外のMVNOネットワークからは、変換先IPの欄に格納されているIPアドレスが無線端末11のIPアドレスとして見える。
変換先ポートの欄には、ユーザデータ処理部15bによって変換された無線端末11のポート番号が格納される。これにより、例えば、LTEネットワークの外のMVNOネットワークからは、変換先ポートの欄に格納されているポート番号が無線端末11のポート番号として見える。
パケット種別の欄には、無線端末11が通信するパケットの種別が格納される。例えば、無線端末11の通信するパケットがUDP(User Datagram Protocol)パケットであれば、パケット種別の欄には、‘UDP’が格納される。また、無線端末11の通信するパケットがTCPパケットであれば、パケット種別の欄には、‘TCP’が格納される。
TCP接続状態の欄には、無線端末11がTCPパケットで通信する場合の、TCP接続状態が格納される。例えば、無線端末11がコンテンツサーバ23に接続中であれば、TCP接続状態の欄には、LISTEN、SYNSENT、SYNRCVD、ESTABなどが格納される。
対向装置IPの欄には、無線端末11が通信している通信相手のIPアドレスが格納される。例えば、無線端末11がコンテンツサーバ23と通信している場合、コンテンツサーバ23のIPアドレスが格納される。
対向装置ポートの欄には、無線端末11が通信している通信相手のポート番号が格納される。例えば、無線端末11がコンテンツサーバ23と通信している場合、コンテンツサーバ23のポート番号が格納される。
SEQ番号の欄には、無線端末11の通信相手から、無線端末11にパケットが送信される際のシーケンス番号が格納される。
ACK番号の欄には、無線端末11から通信相手に送信されるACKのACK番号が格納される。
例えば、無線端末11がMVNOネットワークに回線接続し、コンテンツサーバ23と通信するとする。無線端末11には、PGW14によってIPアドレス‘192.168.1.10’が割り当てられたとする。
この場合、ユーザデータ処理部15bは、例えば、無線端末11がコンテンツサーバ23に送信するパケットから、IPアドレスとポート番号とを取得し、取得したIPアドレスとポート番号とのそれぞれを無線端末IPの欄および無線端末ポートの欄に格納する。また、ユーザデータ処理部15bは、無線端末11に識別子を付与し、IDの欄に格納する。
また、ユーザデータ処理部15bは、無線端末11のアドレス変換を行う。ユーザデータ処理部15bは、アドレス変換したIPアドレスとポート番号とを変換先IPの欄および変換先ポートの欄に格納する。また、ユーザデータ処理部15bは、無線端末11の通信するパケットのパケット種別をパケット種別の欄に格納し、パケット種別がTCPの場合、TCPの接続状態を、TCP接続状態の欄に格納する。
また、ユーザデータ処理部15bは、無線端末11の通信相手であるコンテンツサーバ23のIPアドレスとポート番号とを取得し、それぞれを対向装置IPの欄および対向装置ポートの欄に格納する。また、ユーザデータ処理部15bは、コンテンツサーバ23から無線端末11へ送信されるパケットのシーケンス番号を、SEQ番号の欄に格納し、無線端末11からコンテンツサーバ23に送信されるACKのACK番号を、ACK番号の欄に格納する。
図10は、フィルタリングTBのデータ構成例を示した図である。図10に示すように、フィルタリングTB15eは、IDの欄、無線端末IPの欄、無線端末ポートの欄、変換先IPの欄、変換先ポートの欄、およびパケット種別の欄を有している。
フィルタリングTB15eの各欄には、図9で説明したアドレス変換TB15dのIDの欄、無線端末IPの欄、無線端末ポートの欄、変換先IPの欄、変換先ポートの欄、およびパケット種別の欄の情報が格納(コピー)される。無線端末11のRADIUS認証が解除されたとき、回線接続データ処理部15aによって、アドレス変換TB15dのIDの欄、無線端末IPの欄、無線端末ポートの欄、変換先IPの欄、変換先ポートの欄、およびパケット種別の欄の情報がフィルタリングTB15eにコピーされる。
なお、ユーザデータ処理部15bは、無線端末11のIPアドレスおよびポート番号を変換するとき、フィルタリングTB15eを参照し、無線端末11のIPアドレスおよびポート番号を変換する。ユーザデータ処理部15bは、フィルタリングTB15eに格納されているIPアドレスおよびポート番号と異なるIPアドレスおよびポート番号に変換する。すなわち、ユーザデータ処理部15bは、フィルタリングTB15eの変換先IPの欄と変換先ポート番号の欄に記憶されていないIPアドレスとポート番号を無線端末11に割り当てる。
例えば、PGW14によって‘192.168.1.10’のIPアドレスが割り当てられた無線端末11が、ポート番号‘xxxx’でコンテンツサーバ23と通信するとする。この場合、ユーザデータ処理部15bは、フィルタリングTB15eを参照し、IPアドレス‘210.153.84.10’とポート番号‘yyyy’と異なるIPアドレスとポート番号を無線端末11に割り当てる。なお、無線端末11に割り当てられたIPアドレスとポート番号は、ユーザデータ処理部15bによって、アドレス変換TB15dの変換先IPの欄および変換先ポートの欄に格納される。
図11は、回線接続データ処理部の処理を示したフローチャートのその1である。図11のフローチャートは、無線端末11のMVNOネットワークへの回線接続要求の際の処理を示している。
[ステップS1]回線接続データ処理部15aは、PGW14からAAAサーバ22に対して行われるRADIUS認証の認証要求をモニタする。
[ステップS2]回線接続データ処理部15aは、PGW14からAAAサーバ22に対して行われる認証要求に含まれる無線端末11のIPアドレスを取得する。回線接続データ処理部15aは、取得したIPアドレスをRADIUS認証状態TB15cの無線端末IPの欄に格納する。また、回線接続データ処理部15aは、RADIUS認証状態TB15cのRADIUS認証状態の欄を‘認証開始’に更新する。
[ステップS3]回線接続データ処理部15aは、PGW14からAAAサーバ22に対して行われるRADIUS認証の認証応答をモニタする。なお、回線接続データ処理部15aは、所定時間経過(タイムアウト)しても認証応答をモニタできなければ、処理を終了する。
[ステップS4]回線接続データ処理部15aは、RADIUS認証状態TB15cのRADIUS認証状態の欄を‘認証完了’に更新する。
図12は、回線接続データ処理部の処理を示したフローチャートのその2である。図12のフローチャートは、無線端末11のMVNOネットワークの回線切断処理の際の処理を示している。
[ステップS11]回線接続データ処理部15aは、無線端末11の回線切断の際に行われる、PGW14からAAAサーバ22に対して行われるRADIUS認証の認証要求(認証解除要求)をモニタする。
[ステップS12]回線接続データ処理部15aは、RADIUS認証状態TB15cのRADIUS認証状態の欄を‘認証終了’に更新する。
[ステップS13]回線接続データ処理部15aは、ステップS11に対する認証要求の応答をモニタする。なお、回線接続データ処理部15aは、所定時間経過しても認証要求の応答をモニタできなければ、処理を終了する。
[ステップS14]回線接続データ処理部15aは、RADIUS認証状態TB15cのRADIUS認証状態の欄を‘認証解除’に更新する。
また、回線接続データ処理部15aは、アドレス変換TB15dのTCP接続状態の欄が、TCPの接続中を示している場合、TCPのRSTパケットを生成する。
生成されたRSTパケットには、アドレス変換TB15dのSEQ番号の欄およびACK番号の欄に格納されているシーケンス番号およびACK番号が含まれている。また、生成されたRSTパケットは、無線端末11と通信を行っていたコンテンツサーバ23に送信される。
コンテンツサーバ23は、RSTパケットを受信し、受信したRSTパケットに受信すべきシーケンス番号およびACK番号が含まれていれば、無線端末11とのセッションを切断する。
[ステップS15]回線接続データ処理部15aは、アドレス変換TB15dの認証解除した無線端末11のエントリを削除する。
[ステップS16]回線接続データ処理部15aは、アドレス変換TB15dから削除した無線端末11のエントリを、フィルタリングTB15eに登録する。
図13は、ユーザデータ処理部の処理を示したフローチャートである。
[ステップS21]ユーザデータ処理部15bは、RADIUS認証後の最初のユーザデータを無線端末11またはコンテンツサーバ23から受信する。
[ステップS22]ユーザデータ処理部15bは、フィルタリングTB15eを参照する。
[ステップS23]ユーザデータ処理部15bは、無線端末11のIPアドレスおよびポート番号を変換する。ユーザデータ処理部15bは、ステップS22で参照したフィルタリングTB15eに格納されているIPアドレスおよびポート番号と異なるIPアドレスおよびポート番号に変換する。ユーザデータ処理部15bは、変換したIPアドレスおよびポート番号と、無線端末11のその他のエントリをアドレス変換TB15dに格納する。
[ステップS24]ユーザデータ処理部15bは、無線端末11とコンテンツサーバ23のユーザデータを通過させる。なお、ユーザデータ処理部15bは、以後、RADIUS認証済みのユーザデータを通過させ、それ以外のデータは廃棄する。
図14は、RADIUSパケットを説明する図である。PGW14とAAAサーバ22は、例えば、図14に示すようなRADIUSパケットによって、RADIUS認証処理を行う。RADIUSパケットは、図14に示すように、Code、Identifier、Length、Authenticator、およびAttributesの領域を有している。
Code領域には、RADIUSパケットのタイプを識別するためのコードが格納される。例えば、RADIUSパケットが認証要求のパケットであるのか、認証応答のパケットであるのかを示すコードが格納される。
Identifier領域には、リクエストとレスポンスを対応づける情報が格納される。
Length領域には、RADIUSパケットのパケット長が格納される。
Authenticator領域には、PGW14とAAAサーバ22との間で、AAAサーバ22の有効性や暗号確認のための情報が格納される。
Attributes領域には、コードの属性やパラメータ設定の情報が格納される。
図15は、RADIUS認証処理を示したシーケンス図である。
[ステップS31]SGW13は、PGW14とGTPトンネルを形成するために、PGW14にGTPトンネルの接続要求(Create PDP(Packet Date Protocol) Request)を送信する。
[ステップS32]PGW14は、SGW13からのGTPトンネル接続要求を受けて、AAAサーバ22にアクセス要求(Access-Request)を送信する。
[ステップS33]AAAサーバ22は、PGW14に、アクセス要求の承諾(Access-Accept)を送信する。
[ステップS34]PGW14は、AAAサーバ22にRADIUS認証の要求(Accounting-Request(start))を送信する。
[ステップS35]PGW14は、SGW13にGTPトンネルの接続要求に対する応答(Create PDP Response)を送信する。これにより、SGW13とPGW14との間にGTPトンネルが形成される。
[ステップS36]AAAサーバ22は、PGW14にRADIUS認証の要求に対するRADIUS認証の応答(Accounting-Response(start))を送信する。これにより、無線端末11は、MVNOネットワークにアクセスすることができる。
[ステップS37]無線端末11とコンテンツサーバ23は、ユーザデータの通信(トランスポートセッション)を行う。
[ステップS38]無線端末11は、MVNOネットワークへの回線接続を切断するとする。SGW13は、PGW14にGTPトンネルの削除要求(Delete PDP Request)を送信する。
[ステップS39]PGW14は、AAAサーバ22に無線端末11の認証解除要求(Accounting-Request(stop))を送信する。
[ステップS40]AAAサーバ22は、PGW14にRADIUS認証の解除要求に対する応答(Accounting-Response(stop))を送信する。
[ステップS41]PGW14は、SGW13にGTPトンネルの削除要求に対する応答(Delete PDP Response)を送信する。
図15には示していないが、FW15は、PGW14とAAAサーバ22との間で行われるRADIUS認証をモニタしている。
例えば、FW15の回線接続データ処理部15aは、図15のステップS34の処理をモニタすることにより、無線端末11のIPアドレスを取得する。より具体的には、無線端末11のIPアドレスは、Code領域にAccounting-Request(start)を示すコードが格納されているRADIUSパケットのAttributes領域に格納されており、回線接続データ処理部15aは、このRADIUSパケットのAttributes領域から無線端末のIPアドレスを取得する。回線接続データ処理部15aは、取得したIPアドレスをRADIUS認証状態TB15cに格納し、RADIUS認証状態の欄を‘認証開始’にする。
また、回線接続データ処理部15aは、ステップS36のAccounting-Response(start)をモニタすることにより、RADIUS認証状態TB15cのRADIUS認証状態の欄を‘認証完了’に更新する。
また、回線接続データ処理部15aは、図15のステップS39の処理をモニタすることにより、無線端末11のIPアドレスを取得する。より具体的には、無線端末11のIPアドレスは、Code領域にAccounting-Request(stop)を示すコードが格納されているRADIUSパケットのAttributes領域に格納されており、回線接続データ処理部15aは、このRADIUSパケットのAttributes領域から無線端末のIPアドレスを取得する。
回線接続データ処理部15aは、取得したIPアドレスに対応するRADIUS認証状態TB15cのRADIUS認証状態の欄を‘認証終了’に更新する。また、回線接続データ処理部15aは、取得したIPアドレスに対応する無線端末11のエントリをアドレス変換TB15dから削除する。また、回線接続データ処理部15aは、アドレス変換TB15dから削除した無線端末11のエントリを、フィルタリングTB15eに格納する。
図16は、RADIUS認証状態の遷移を説明する図である。図16に示すように、回線接続データ処理部15aは、‘認証解除’状態において、Accounting-Request(start)をモニタすると、RADIUS認証処理は‘認証開始’状態にあると判断する。
回線接続データ処理部15aは、‘認証開始’状態において、タイムアウト時間内にAccounting-Response(start)をモニタすると、RADIUS認証処理は‘認証完了’状態にあると判断する。また、回線接続データ処理部15aは、‘認証開始’状態において、タイムアウト時間内にAccounting-Response(start)をモニタできないと、RADIUS認証処理は‘認証解除’状態にあると判断する。
回線接続データ処理部15aは、‘認証完了’状態において、Accounting-Request(stop)をモニタすると、RADIUS認証処理は‘認証終了’状態にあると判断する。また、回線接続データ処理部15aは、‘認証完了’状態において、Accounting-Request(start)をモニタすると、新たなユーザの無線端末からの回線接続要求があったとして‘認証開始’状態を判断する。
回線接続データ処理部15aは、‘認証終了’状態において、タイムアウト時間内にAccounting-Response(stop)をモニタすると、RADIUS認証処理は‘認証解除’状態にあると判断する。また、回線接続データ処理部15aは、‘認証終了’状態において、タイムアウト時間内にAccounting-Response(stop)をモニタできないと、RADIUS認証処理は‘認証解除’状態にあると判断する。
図17、図18は、ネットワークの動作を示したシーケンスの一例を示した図である。図17、図18には、図3で説明した無線端末11、SGW13、PGW14、FW15、MME16、AAAサーバ22、およびコンテンツサーバ23のシーケンスが示してある。
[ステップS51]無線端末11は、MVNOネットワークに回線接続するとする。無線端末11は、SGW13に対し、回線接続要求を行う。なお、無線端末11の回線接続要求は、MME16を経由して行われる。
[ステップS52]SGW13は、PGW14とGTPトンネルを形成するために、PGW14にGTPトンネルの接続要求(Create PDP Request)を送信する。
[ステップS53]PGW14は、SGW13からのGTPトンネル接続要求を受けて、AAAサーバ22にアクセス要求(Access-Request)を送信する。
[ステップS54]AAAサーバ22は、PGW14に、アクセス要求の承諾(Access-Accept)を送信する。
[ステップS55]PGW14は、AAAサーバ22にRADIUS認証の要求(Accounting-Request(start))を送信する。
[ステップS56]AAAサーバ22は、PGW14からのRADIUS認証の要求を受けて、無線端末の認証を行う。
[ステップS57]FW15の回線接続データ処理部15aは、ステップS55のAccounting-Request(start)をモニタすることにより、無線端末11のIPアドレスを取得する。また、回線接続データ処理部15aは、Accounting-Request(start)をモニタすることにより、RADIUS認証状態TB15cのRADIUS認証状態の欄を‘認証開始’にする。
[ステップS58]AAAサーバ22は、無線端末のRADIUS認証を完了する。
[ステップS59]PGW14は、SGW13にGTPトンネルの接続要求に対する応答(Create PDP Response)を送信する。これにより、SGW13とPGW14との間にGTPトンネルが形成される。
[ステップS60]AAAサーバ22は、PGW14にRADIUS認証の要求に対するRADIUS認証の応答(Accounting-Response(start))を送信する。これにより、無線端末11は、MVNOネットワークにアクセスすることが可能となる。
回線接続データ処理部15aは、Accounting-Request(start)をモニタすることにより、RADIUS認証状態TB15cのRADIUS認証状態の欄を‘認証完了’にする。
[ステップS61]SGW13は、無線端末11に対し、回線接続応答を送信する。なお、回線接続応答は、MME16を経由して行われる。
[ステップS62]無線端末11は、最初のパケット(UDP/TCPパケット)をFW15に送信する。
[ステップS63]FW15のユーザデータ処理部15bは、RADIUS認証後の最初のパケットを無線端末11から受信すると、フィルタリングTB15eを参照する。
[ステップS64]ユーザデータ処理部15bは、無線端末11のIPアドレスおよびポート番号を変換する。ユーザデータ処理部15bは、ステップS63で参照したフィルタリングTB15eに格納されているIPアドレスおよびポート番号と異なるIPアドレスおよびポート番号に変換する。ユーザデータ処理部15bは、無線端末11のエントリ(アドレス変換TB15dの各欄の情報)をアドレス変換TB15dに格納する。
[ステップS65]ユーザデータ処理部15bは、ステップS62で受信した無線端末11の最初のパケットを、コンテンツサーバ23に送信する。
[ステップS66]無線端末11とコンテンツサーバ23は、パケットの通信(トランスポートセッション)を行う。
[ステップS67]無線端末11は、MVNOネットワークへの回線接続を切断するとする。無線端末11は、SGW13に対し、回線切断要求を行う。なお、無線端末11の回線切断要求は、MME16を経由して行われる。
[ステップS68]SGW13は、PGW14にGTPトンネルの削除要求(Delete PDP Request)を送信する。
[ステップS69]PGW14は、AAAサーバ22に無線端末11の認証解除要求(Accounting-Request(stop))を送信する。
FW15の回線接続データ処理部15aは、Accounting-Request(stop)をモニタすることにより、RADIUS認証状態TB15cのRADIUS認証状態の欄を‘認証終了’にする。
[ステップS70]AAAサーバ22は、PGW14からのRADIUS認証の認証解除要求を受けて、無線端末の認証解除を行う。
[ステップS71]AAAサーバ22は、無線端末のRADIUS認証を認証解除を完了する。
[ステップS72]AAAサーバ22は、PGW14にRADIUS認証の認証解除要求に対する応答(Accounting-Response(stop))を送信する。
FW15の回線接続データ処理部15aは、Accounting- Response(stop)をモニタすることにより、RADIUS認証状態TB15cのRADIUS認証状態の欄を‘認証解除’にする。
[ステップS73]PGW14は、SGW13にGTPトンネルの削除要求に対する応答(Delete PDP Response)を送信する。
[ステップS74]SGW13は、無線端末11に対し、回線切断応答を送信する。なお、回線切断応答は、MME16を経由して行われる。
[ステップS75]FW15の回線接続データ処理部15aは、アドレス変換TB15dのTCP接続状態の欄を参照し、TCPセッションのTCP接続状態が接続中(例えば、LISTEN、SYNSENT、SYNRCVD、ESTABのいずれか)であるか確認する。回線接続データ処理部15aは、TCP接続状態が接続中であれば、アドレス変換TB15dに記憶されている対向装置(例えば、コンテンツサーバ23)に対して、TCPのRSTパケットを送信する。
[ステップS76]コンテンツサーバ23は、FW15からのRSTパケットを受信することによって、無線端末11とのTCPセッションを切断(RST)する。
[ステップS77]FW15の回線接続データ処理部15aは、アドレス変換TB15dから無線端末11のエントリを削除する。
[ステップS78]回線接続データ処理部15aは、アドレス変換TB15dから削除した無線端末11のエントリを、フィルタリングTB15eに格納する。
なお、回線接続データ処理部15aは、フィルタリングTB15eに格納された無線端末11のエントリを、例えば、管理者が指定した時間経過後に削除する。削除する時間は、例えば、コンテンツサーバ23のセッションを切断するタイムアウト時間より長くする。
[ステップS79]ここで、無線端末11とは別の無線端末UEがMVNOネットワークに回線接続するとする。無線端末UEには、PGW14によって、無線端末11に割り当てられていたIPアドレスと同じIPアドレスが割り当てられたとする。そして、無線端末UEのRADIUS認証は、完了状態になったとする。すなわち、無線端末UEは、無線端末11と同様の、ステップS51からステップS61の処理が行われたとする。無線端末UEは、最初のパケットをFW15に送信する。
[ステップS80]FW15のユーザデータ処理部15bは、RADIUS認証後の最初のパケットを無線端末UEから受信すると、フィルタリングTB15eを参照する。
[ステップS81]ユーザデータ処理部15bは、無線端末UEのIPアドレスおよびポート番号を変換する。ユーザデータ処理部15bは、ステップS80で参照したフィルタリングTB15eに格納されているIPアドレスおよびポート番号と異なるIPアドレスおよびポート番号に変換する。ユーザデータ処理部15bは、無線端末UEのエントリ(アドレス変換TB15dの各欄の情報)をアドレス変換TB15dに格納する。
なお、ステップS79で説明したように、無線端末UEには、無線端末11と同じIPアドレスが割り当てられている。従って、無線端末UEと同じIPアドレスのIPアドレスがフィルタリングTB15eに記憶されている。これにより、無線端末UEには、ユーザデータ処理部15bによって、無線端末11と異なる変換後のIPアドレスが割り当てられることになる。
また、PGW14により無線端末11に割り当てられていたIPアドレスは、無線端末UEに割り当てられたので、回線接続データ処理部15aは、無線端末11のエントリをフィルタリングTB15eから削除する。
[ステップS82]ユーザデータ処理部15bは、ステップS79で受信した無線端末UEの最初のパケットを、コンテンツサーバ23に送信する。
[ステップS83]コンテンツサーバ23は、無線端末11とのセッションを切断しているので、無線端末11にパケットを送信しないが、ここでは、セッションが切断されていないと仮定して、無線端末11にパケットを送信したとする。
[ステップS84]ステップS77の処理により、アドレス変換TB15dには、無線端末11のエントリが格納されていないので、FW15のユーザデータ処理部15bは、無線端末11宛てのパケットを破棄する。すなわち、ステップS83の場合を仮定(コンテンツサーバ23が無線端末11にパケットを送信)しても、MVNOネットワークとの回線接続が切断された無線端末11宛てのパケットは、無線端末11と同じIPアドレスに割り当てられた無線端末UEに送信されることがない。また、UDPのパケットも、アドレス変換TB15dおよびフィルタリングTB15eによって、MVNOネットワークとの回線接続が切断された無線端末11に送信されることがない。
なお、無線端末UE宛てのユーザデータは、ステップS81の処理により、無線端末UEのエントリがアドレス変換TB15dに登録されているので、無線端末UEに送信される。
このように、FW15の回線接続データ処理部15aは、無線端末11のMVNOネットワークへの回線接続および回線切断の際に行われるRADIUS認証処理をモニタする。そして、回線接続データ処理部15aは、モニタするRADIUS認証処理に基づいて、無線端末11のセッションを切断するためのRSTパケットを生成するようにした。これにより、FW15は、無線端末11のMVNOネットワークへの回線切断後、無線端末11のセッションを切断することができる。
また、FW15は、無線端末11のセッションを切断することにより、不正ユーザによるコンテンツサーバ23へのリソース枯渇攻撃を防止することができる。例えば、無線端末11のセッションは、無線端末11の回線切断によって切断されないとする。この場合、不正ユーザによって、MVNOネットワークへの回線接続と回線切断が繰り返されると、コンテンツサーバ23のセッション数が増加し、他のユーザに付与するセッションが枯渇する。しかし、上記したように、FW15は、無線端末11のセッションを切断するので、不正ユーザによるコンテンツサーバへのリソース枯渇攻撃を防止することができる。
さらに、FW15のユーザデータ処理部15bは、アドレス変換TB15dとフィルタリングTB15eとによって、以前、無線端末11に割り当てていた変換IPアドレスを新たな無線端末UEに割り当てない。これにより、あるユーザの要求したデータが、別のユーザの無線端末UEに送信されることを防止することができる。また、FW15は、あるユーザの要求したデータを別のユーザの無線端末UEに送信されることを防止するので、別のユーザの意図しない課金が行われることを防止することができる。
なお、コンテンツサーバ23は、インターネットに接続されていてもよい。例えば、GW21は、インターネットに接続でき、コンテンツサーバ23は、そのインターネットに接続されていてもよい。
[第3の実施の形態]
次に、第3の実施の形態を、図面を参照して詳細に説明する。第1の実施の形態および第2の実施の形態では、例えば、RADIUS認証をモニタすることにより、セッションを切断するようにした。第3の実施の形態では、無線アクセスネットワーク内で形成される、データが疎通する回線の状態に基づいて、セッションを切断するようにする。
図19は、第3の実施の形態に係る通信装置を説明する図である。図19に示すように、通信装置31は、無線アクセスネットワーク36に設けられている。図19に示す無線アクセスネットワーク36は、例えば、LTEネットワークであり、他ネットワーク37は、例えば、MVNOネットワークである。通信装置31は、例えば、ファイアウォールであり、無線端末35の他ネットワーク37との通信を中継する。
無線端末35は、例えば、携帯電話である。無線端末35は、例えば、無線アクセスネットワーク36に設けられている、図示しないeNBと無線通信を行い、通信装置31を介して他ネットワーク37に接続することができる。
通信装置32は、無線アクセスネットワーク36に設けられ、無線端末35のデータを中継する通信装置である。通信装置32は、例えば、SGWであり、図示しないeNBと通信装置33との間に接続されている。
通信装置33は、無線アクセスネットワーク36に設けられ、無線端末35のデータを中継する通信装置である。通信装置33は、例えば、PGWであり、通信装置31と通信装置32との間に接続されている。
通信装置32と通信装置33との間には、無線端末35のデータが疎通する回線34が形成される。回線34は、例えば、GTPトンネルである。回線34は、例えば、無線端末35の他ネットワーク37への回線接続要求によって、通信装置32と通信装置33との間に形成される。また、回線34は、無線端末35の他ネットワーク37への回線切断要求によって切断される。
通信装置31は、受信部31aおよび生成部31bを有している。受信部31aは、通信装置32と通信装置33との間に形成される回線34の状態を受信する。例えば、受信部31aは、通信装置33から、通信装置32と通信装置33との間に回線34が接続されたかまたは回線34が切断されたかを受信する。
生成部31bは、受信部31aの受信した回線34の状態に基づいて、無線端末35のセッションを切断するための情報を生成する。例えば、生成部31bは、受信部31aが回線34の切断を受信した場合、無線端末35のセッションを切断するためのRSTパケットを生成する。
生成部31bの生成した情報(RSTパケット)は、例えば、無線端末35とセッションを確立していたコンテンツサーバに送信される。これにより、無線端末35のセッション(無線端末35とコンテンツサーバのセッション)は、切断される。
このように、通信装置31の受信部31aは、通信装置32と通信装置33との間に形成される回線34の状態を受信する。そして、生成部31bは、受信部31aの受信した回線34の状態に基づいて、無線端末35のセッションを切断するための情報を生成するようにした。これにより、通信装置31は、無線端末35の他ネットワーク37への回線切断後、無線端末35のセッションを解放することができる。
[第4の実施の形態]
次に、第4の実施の形態を、図面を参照して詳細に説明する。
図20は、第4の実施の形態に係る通信装置が適用されるネットワーク構成例を示した図である。図20のネットワークは、LTEネットワークとMVNOネットワークとのレイヤ3接続の例を示している。図20において、図2と同じものには同じ符号を付し、その説明を省略する。
PGW41は、図2のPGW14と同様であるが、SGW13との間に形成されるGTPトンネルの状態をFW42に送信するところが異なる。また、FW42は、図2のFW15と同様であるが、PGW41からGTPトンネルの状態を受信し、受信したGTPトンネルの状態に基づいて、RSTパケットを生成するところが異なる。
なお、図20のネットワーク構成例の動作は、図3で説明したネットワーク構成例の動作と同様であり、その説明を省略する。
図21は、FWの機能ブロック例を示した図である。図21に示すように、FW42は、回線接続データ処理部42a、ユーザデータ処理部42b、GTPトンネル接続状態TB42c、アドレス変換TB42d、およびフィルタリングTB42eを有している。
回線接続データ処理部42aは、無線端末11の回線接続時のデータ処理を行う。回線接続データ処理部42aは、GTPトンネル接続状態TB42c、アドレス変換TB42d、およびフィルタリングTB42eにアクセスして、所定の処理を行う。
ユーザデータ処理部42bは、正当ユーザであると認証された無線端末11のユーザデータの処理を行う。例えば、ユーザデータ処理部42bは、NAPTを行う。ユーザデータ処理部42bは、アドレス変換TB42dおよびフィルタリングTB42eにアクセスして、所定の処理を行う。
なお、PGW41の機能ブロックは、図4で説明した機能ブロックと同様である。ただし、PGW41では、図4のGTPトンネル制御部14aがGTPトンネルの状態をFW42に送信する。
また、FW42のハードウェア構成は、図7で説明したハードウェア構成例と同様であり、その説明を省略する。
図22は、GTPトンネル接続状態TBのデータ構成例を示した図である。図22に示すように、GTPトンネル接続状態TB42cは、IDの欄、無線端末IPの欄、TEID(Tunnel Endpoint IDentifier)の欄、およびGTPトンネル接続状態の欄を有している。
IDの欄には、GTPトンネル接続状態TB42cに格納されるデータを識別するための識別子が格納される。
無線端末IPの欄には、PGW41が無線端末11に割り当てたIPアドレスが格納される。
TEIDの欄には、SGW13とPGW41との間に形成されたGTPトンネルのTEIDが格納される。
GTPトンネル接続状態の欄には、無線端末11のGTPトンネルの接続状態が格納される。例えば、GTPトンネル接続状態の欄には、接続なし、接続開始、接続完了、または接続終了が格納される。
例えば、無線端末11がMVNOネットワークに回線接続要求を行ったとする。SGW13は、PGW41に対して、GTPトンネルの接続要求を行う。PGW41は、GTPトンネルの接続要求を受けると、無線端末11に割り当てたIPアドレス、SGW13との間に接続するGTPトンネルのTEID、およびGTPトンネルの接続を開始することをFW42に送信する。
FW42の回線接続データ処理部42aは、PGW41から無線端末11のIPアドレスとGTPトンネルのTEIDとを受信すると、受信したIPアドレスとTEIDとを、無線端末IPの欄とTEIDの欄とに格納する。また、回線接続データ処理部42aは、無線端末IPの欄に格納したIPアドレスに対し、識別子を割り当て、IDの欄に格納する。また、回線接続データ処理部42aは、GTPトンネル接続状態の欄に接続開始を格納する。
PGW41は、SGW13とGTPトンネルを接続し、SGW13に対してGTPトンネルの接続要求に対する応答を返すと、FW42に対してGTPトンネルの接続が完了したことを送信する。FW42の回線接続データ処理部42aは、PGW41から、GTPトンネルの接続完了を受信すると、GTPトンネル接続状態の欄に接続完了を格納する。
また、無線端末11がMVNOネットワークの回線切断要求を行ったとする。SGW13は、PGW41に対して、GTPトンネルの切断要求を行う。PGW41は、SGW13から、無線端末11のGTPトンネルの切断要求を受信すると、無線端末11のIPアドレスと、GTPトンネルの接続を切断することとをFW42に送信する。
FW42の回線接続データ処理部42aは、PGW41から無線端末11のIPアドレスを受信すると、そのIPアドレスに対応するGTPトンネル接続状態の欄に接続終了を格納する。
PGW41は、SGW13とGTPトンネルの接続を切断し、SGW13に対してGTPトンネルの切断要求に対する応答を返すと、FW42に対してGTPトンネルの切断が完了したことを送信する。FW42の回線接続データ処理部42aは、PGW41から、GTPトンネルの切断完了を受信すると、GTPトンネル接続状態の欄に接続なしを格納する。
アドレス変換TB42dとフィルタリングTB42eは、図9で説明したアドレス変換TB15dと図10で説明したフィルタリングTB15eと同様であり、その説明を省略する。
図23は、回線接続データ処理部の処理を示したフローチャートのその1である。図23のフローチャートは、SGW13とPGW41との間にGTPトンネルが接続される際の処理を示している。
[ステップS91]回線接続データ処理部42aは、PGW41から、GTPトンネルを形成する無線端末11のIPアドレス、GTPトンネルのTEID、およびGTPトンネルの接続が開始されることを受信する。
[ステップS92]回線接続データ処理部42aは、PGW41から受信した無線端末11のIPアドレスとTEIDとを、GTPトンネル接続状態TB42cの無線端末IPの欄とTEIDの欄とに格納する。また、回線接続データ処理部42aは、GTPトンネル接続状態の欄を‘接続開始’にする。
[ステップS93]回線接続データ処理部42aは、PGW41から、GTPトンネルの接続が完了したことを受信する。
[ステップS94]回線接続データ処理部42aは、GTPトンネル接続状態TB42cのGTPトンネル接続状態の欄を、‘接続完了’に更新する。
図24は、回線接続データ処理部の処理を示したフローチャートのその2である。図24のフローチャートは、SGW13とPGW41との間のGTPトンネルが切断される際の処理を示している。
[ステップS101]回線接続データ処理部42aは、PGW41から、GTPトンネルの切断が開始されることを受信する。
[ステップS102]回線接続データ処理部42aは、GTPトンネル接続状態TB42cのGTPトンネル接続状態の欄を‘接続終了’に更新する。
[ステップS103]回線接続データ処理部42aは、PGW41から、GTPトンネルの切断が完了したことを受信する。
[ステップS104]回線接続データ処理部42aは、GTPトンネル接続状態TB42cのGTPトンネル接続状態の欄を‘接続なし’に更新する。
また、回線接続データ処理部42aは、アドレス変換TB42dのTCP接続状態の欄が、TCPの接続中を示している場合、TCPのRSTパケットを生成する。
生成されたRSTパケットには、アドレス変換TB42dのSEQ番号の欄およびACK番号の欄に格納されているシーケンス番号およびACK番号が含まれている。また、生成されたRSTパケットは、無線端末11と通信を行っていたコンテンツサーバ23に送信される。
コンテンツサーバ23は、RSTパケットを受信し、受信したRSTパケットに受信すべきシーケンス番号およびACK番号が含まれていれば、無線端末11とのセッションを解放する。
[ステップS105]回線接続データ処理部42aは、アドレス変換TB42dのGTPトンネルを切断した無線端末11のエントリを削除する。
[ステップS106]回線接続データ処理部42aは、アドレス変換TB42dから削除した無線端末11のエントリを、フィルタリングTB42eに登録する。
図25は、ユーザデータ処理部の処理を示したフローチャートである。
[ステップS111]ユーザデータ処理部42bは、GTPトンネル接続後の最初のユーザデータを無線端末11またはコンテンツサーバ23から受信する。
[ステップS112]ユーザデータ処理部42bは、フィルタリングTB42eを参照する。
[ステップS113]ユーザデータ処理部42bは、無線端末11のIPアドレスおよびポート番号を変換する。ユーザデータ処理部42bは、ステップS112で参照したフィルタリングTB42eに格納されているIPアドレスおよびポート番号と異なるIPアドレスおよびポート番号に変換する。
[ステップS114]ユーザデータ処理部42bは、無線端末11とコンテンツサーバ23のユーザデータを通過させる。なお、ユーザデータ処理部42bは、以後、GTPトンネル接続済みのユーザデータを通過させ、それ以外のデータは廃棄する。
図26は、GTP−Cパケットを説明する図である。SGW13とPGW41は、図26に示すGTP−C(Control Plane)パケットを送受信して、無線端末11のGTPトンネルを接続および切断する。図26に示すように、GTP−Cパケットは、Version、PT、R(Reserve)、E(Extension Header flag)、S(Sequence number flag)、PN(N-PDU(Protocol Data Unit) Number flag)、Message Type、Length、TEID、Sequence Number、N-PDU Number、Next Extension Header Type、およびPayloadの領域を有している。
Versionの領域には、GTPのバージョンが格納される。PTの領域には、プロトコルタイプを示す情報が格納される。Rの領域は、リザーブである。Eの領域には、拡張ヘッダの設定の有無を示す情報が格納される。Sの領域には、シーケンスナンバの設定の有無を示す情報が格納される。PNの領域には、N−PDUナンバの設定の有無を示す情報が格納される。Message Typeの領域には、GTPのメッセージ種別を示す情報が格納される。Lengthの領域には、Payload領域の長さを示す情報が格納される。TEIDの領域には、回線接続時に払いだされる回線を識別する識別情報が格納される。Sequence Numberの領域には、GTP−Cのリクエストとレスポンスを対応させるトランザクションIDが格納される。N-PDU Numberの領域には、N−PDU番号が格納される。Next Extension Header Typeの領域には、次に続くExtensionフィールドの存在有無および種別を示す情報が格納される。Payloadの領域には、GTP−Cメッセージ個別のパラメータ設定に使用される。
SGW13とPGW41は、GTPトンネルを形成する場合、TEIDを払い出す。例えば、SGW13は、SGW13からPGW41方向のGTPトンネルのTEIDを払い出す。PGW41は、PGW41からSGW13方向のGTPトンネルのTEIDを払い出す。SGW13とPGW41で払い出されたTEIDは、GTP−CパケットのTEID領域に格納されて、相手のPGW41とSGW13へ送信される。なお、GTPトンネル接続状態TB42cのTEIDの領域には、SGW13の払い出したTEIDを格納してもよいし、PGW41の払い出したTEIDを格納してもよい。また、SGW13とPGW41の両方で払い出されたTEIDを格納してもよい。
SGW13は、GTP−CパケットのMessage Type領域にCreate Session Responseが格納されている場合で、Payload領域のパラメータのCause値がRequest Acceptedを示し、かつ、PDN Address AllocationにIPアドレスが設定されている場合、PGW41の払い出した無線端末11のIPアドレスを取得できる。SGW13が無線端末11のIPパケットを払い出す場合も、PGW41は、前記と同様にしてGTP−CパケットからIPアドレスを取得できる。
図27は、GTPトンネル接続状態の遷移を説明する図である。図27に示すように、回線接続データ処理部42aは、‘接続なし’状態において、PGW41からCreate PDP Context Requestを受信すると、GTPトンネル接続状態は‘接続開始’の状態にあると判断する。
回線接続データ処理部42aは、‘接続開始’状態において、PGW41からタイムアウト時間内にCreate PDP Context Responseを受信すると、GTPトンネル接続状態は‘接続完了’の状態にあると判断する。また、回線接続データ処理部42aは、‘接続開始’状態において、PGW41からタイムアウト時間内にCreate PDP Context Responseを受信できないと、GTPトンネル接続状態は‘接続なし’状態にあると判断する。
回線接続データ処理部42aは、‘接続完了’状態において、PGW41からDelete PDP Context Requestを受信すると、GTPトンネル接続状態は‘接続終了’状態にあると判断する。また、回線接続データ処理部42aは、‘接続完了’状態において、PGW41からCreate PDP Context Requestを受信すると、新たなユーザの無線端末からの回線接続要求があったとして‘接続開始’状態を判断する。
回線接続データ処理部42aは、‘接続終了’状態において、PGW41からタイムアウト時間内にDelete PDP Context Responseを受信すると、GTPトンネル接続状態は‘接続なし’状態にあると判断する。また、回線接続データ処理部42aは、‘接続終了’状態において、PGW41からタイムアウト時間内にDelete PDP Context Responseを受信できないと、GTPトンネル接続状態は‘接続なし’状態にあると判断する。
図28、図29は、ネットワークの動作を示したシーケンスの一例を示した図である。図28、図29には、図20で説明した無線端末11、SGW13、MME16、AAAサーバ22、コンテンツサーバ23、PGW41、およびFW42のシーケンスが示してある。
[ステップS121]無線端末11は、MVNOネットワークに回線接続するとする。無線端末11は、SGW13に対し、回線接続要求を行う。なお、無線端末11の回線接続要求は、MME16を経由して行われる。
[ステップS122]SGW13は、PGW41とGTPトンネルを形成するために、PGW41にGTPトンネルの接続要求(Create PDP Context Request)を送信する。
[ステップS123]PGW41は、SGW13からの接続要求を受けて、GTPトンネルの接続状態(GTPトンネルの接続が開始されること)、IPアドレス、およびTEIDをFW42に通知する。
[ステップS124]FW42の回線接続データ処理部42aは、PGW41から受信したGTPトンネルの接続状態の通知に基づいて、GTPトンネル接続状態TB42cのGTPトンネル接続状態の欄に‘接続開始’を格納する。また、回線接続データ処理部42aは、PGW41から受信したIPアドレスとTEIDとを、GTPトンネル接続状態TB42cの無線端末IPの欄およびTEIDの欄に格納する。
[ステップS125]PGW41は、SGW13からのGTPトンネル接続要求を受けて、AAAサーバ22にアクセス要求(Access-Request)を送信する。
[ステップS126]AAAサーバ22は、PGW41に、アクセス要求の承諾(Access-Accept)を送信する。
[ステップS127]PGW41は、AAAサーバ22にRADIUS認証の要求(Accounting-Request(start))を送信する。
[ステップS128]PGW41は、SGW13にGTPトンネルの接続要求に対する応答(Create PDP Context Response)を送信する。これにより、SGW13とPGW41との間にGTPトンネルが形成される。
[ステップS129]PGW41は、GTPトンネルの接続が完了したことをFW42に送信する。
[ステップS130]SGW13は、無線端末11に対し、回線接続応答を送信する。なお、回線接続応答は、MME16を経由して行われる。
[ステップS131]FW42の回線接続データ処理部42aは、ステップS129でのGTPトンネルの接続完了を受信したことにより、GTPトンネル接続状態TB42cのGTPトンネル接続状態の欄に‘接続完了’を格納する。なお、回線接続データ処理部42aは、ステップS129の受信の際、無線端末11のIPアドレスも受信する。回線接続データ処理部42aは、受信したIPアドレスに対応するGTPトンネル接続状態の欄に‘接続完了’を格納する。
[ステップS132]AAAサーバ22は、PGW41にRADIUS認証の要求に対するRADIUS認証の応答(Accounting-Response(start))を送信する。これにより、無線端末11は、MVNOネットワークにアクセスすることが可能となる。
[ステップS133]無線端末11は、最初のパケット(UDP/TCPパケット)をFW42に送信する。
[ステップS134]FW42のユーザデータ処理部42bは、RADIUS認証後の最初のパケットを無線端末11から受信すると、フィルタリングTB42eを参照する。
[ステップS135]ユーザデータ処理部42bは、無線端末11のIPアドレスおよびポート番号を変換する。ユーザデータ処理部42bは、ステップS134で参照したフィルタリングTB42eに格納されているIPアドレスおよびポート番号と異なるIPアドレスおよびポート番号に変換する。ユーザデータ処理部42bは、無線端末11のエントリ(アドレス変換TB42dの各欄の情報)をアドレス変換TB42dに格納する。
[ステップS136]ユーザデータ処理部42bは、ステップS133で受信した無線端末11の最初のパケットを、コンテンツサーバ23に送信する。
[ステップS137]無線端末11とコンテンツサーバ23は、パケットの通信(トランスポートセッション)を行う。
[ステップS138]無線端末11は、MVNOネットワークへの回線接続を切断するとする。無線端末11は、SGW13に対し、回線切断要求を行う。なお、無線端末11の回線切断要求は、MME16を経由して行われる。
[ステップS139]SGW13は、PGW41にGTPトンネルの切断要求(Delete PDP Context Request)を送信する。
[ステップS140]PGW41は、SGW13からの切断要求を受けて、GTPトンネルの接続状態(GTPトンネルの切断が開始されること)、IPアドレス、およびTEIDをFW42に通知する。
[ステップS141]FW42の回線接続データ処理部42aは、PGW41から受信したIPアドレスおよびTEIDに対応する、GTPトンネル接続状態TB42cのGTPトンネル接続状態の欄に‘接続終了’を格納する。
[ステップS142]PGW41は、AAAサーバ22に無線端末11の認証解除要求(Accounting-Request(stop))を送信する。
[ステップS143]AAAサーバ22は、PGW41からのRADIUS認証の認証解除要求を受けて、無線端末の認証解除を行う。AAAサーバ22は、PGW41にRADIUS認証の認証解除要求に対する応答(Accounting-Response(stop))を送信する。
[ステップS144]PGW41は、SGW13にGTPトンネルの切断要求に対する応答(Delete PDP Context Response)を送信する。
[ステップS145]PGW41は、GTPトンネルを切断した無線端末11のIPアドレス、TEID、およびGTPトンネルの切断が完了したことをFW42に送信する。
[ステップS146]FW42の回線接続データ処理部42aは、ステップS145で受信したIPアドレスおよびTEIDに対応する、GTPトンネル接続状態TB42cのGTPトンネル接続状態の欄に‘接続なし’を格納する
[ステップS147]FW42の回線接続データ処理部42aは、アドレス変換TB42dのTCP接続状態の欄を参照し、TCPセッションのTCP接続状態が接続中(例えば、LISTEN、SYNSENT、SYNRCVD、ESTABのいずれか)であるか確認する。回線接続データ処理部42aは、TCP接続状態が接続中であれば、アドレス変換TB42dに記憶されている対向装置(例えば、コンテンツサーバ23)に対して、TCPのRSTパケットを送信する。
[ステップS148]コンテンツサーバ23は、FW42からのRSTパケットを受信することによって、無線端末11とのTCPセッションを切断する。
[ステップS149]SGW13は、無線端末11に対し、回線切断応答を送信する。なお、回線切断応答は、MME16を経由して行われる。
[ステップS150]FW42の回線接続データ処理部42aは、無線端末11のエントリをアドレス変換TB42dから削除する。
[ステップS151]回線接続データ処理部42aは、アドレス変換TB42dから削除した無線端末11のエントリを、フィルタリングTB42eに格納する。
なお、回線接続データ処理部42aは、フィルタリングTB42eに格納された無線端末11のエントリを、例えば、管理者が指定した時間経過後に削除する。
[ステップS152]ここで、無線端末11とは別の無線端末UEがMVNOネットワークに回線接続するとする。無線端末UEには、PGW41によって、無線端末11に割り当てられていたIPアドレスと同じIPアドレスが割り当てられたとする。そして、無線端末UEのRADIUS認証は、完了状態になったとする。すなわち、無線端末UEは、無線端末11と同様の、ステップS121からステップS132の処理が行われたとする。無線端末UEは、最初のパケットをFW42に送信する。
[ステップS153]FW42のユーザデータ処理部42bは、RADIUS認証後の最初のパケットを無線端末UEから受信すると、フィルタリングTB42eを参照する。
[ステップS154]ユーザデータ処理部42bは、無線端末UEのIPアドレスおよびポート番号を変換する。ユーザデータ処理部42bは、ステップS153で参照したフィルタリングTB42eに格納されているIPアドレスおよびポート番号と異なるIPアドレスおよびポート番号に変換する。ユーザデータ処理部42bは、無線端末UEのエントリ(アドレス変換TB42dの各欄の情報)をアドレス変換TB42dに格納する。
なお、ステップS152で説明したように、無線端末UEには、無線端末11と同じIPアドレスが割り当てられている。従って、フィルタリングTB42eには、無線端末UEと同じIPアドレスのIPアドレスが記憶されている。これにより、無線端末UEには、回線接続データ処理部42aによって、無線端末11と異なる変換後のIPアドレスが割り当てられることになる。
また、無線端末11に割り当てられていたIPアドレスは、無線端末UEに割り当てられたので、回線接続データ処理部42aは、無線端末11のエントリをフィルタリングTB42eから削除する。
[ステップS155]ユーザデータ処理部42bは、ステップS152で受信した無線端末UEの最初のパケットを、コンテンツサーバ23に送信する。
[ステップS156]コンテンツサーバ23は、無線端末11とのセッションを切断しているので、無線端末11にパケットを送信しないが、ここでは、セッションが切断されていないと仮定して、無線端末11にパケットを送信したとする。
[ステップS157]ステップS150の処理により、アドレス変換TB42dには、無線端末11のエントリが格納されていないので、FW42のユーザデータ処理部42bは、無線端末11宛てのパケットを破棄する。すなわち、ステップS156の場合を仮定しても、MVNOネットワークとの回線接続が切断された無線端末11宛てのパケットは、無線端末11と同じIPアドレスに割り当てられた無線端末UEに送信されることがない。また、UDPのパケットも、アドレス変換TB42dおよびフィルタリングTB42eによって、MVNOネットワークとの回線接続が切断された無線端末11に送信されることがない。
なお、無線端末UE宛てのユーザデータは、ステップS154の処理により、無線端末UEのエントリがアドレス変換TB42dに登録されているので、無線端末UEに送信される。
このように、FW42の回線接続データ処理部42aは、SGW13とPGW41との間に形成されるGTPトンネルの状態を受信する。そして、回線接続データ処理部42aは、受信したGTPトンネルの状態に基づいて、無線端末11のセッションを切断するためのRSTパケットを生成するようにした。これにより、FW42は、無線端末11のMVNOネットワークへの回線切断後、無線端末11のセッションを解放することができる。
また、FW42は、無線端末11のセッションを解放することにより、不正ユーザによるコンテンツサーバ23へのリソース枯渇攻撃を防止することができる。例えば、無線端末11のセッションは、無線端末11の回線切断によって解放されないとする。この場合、不正ユーザによって、MVNOネットワークへの回線接続と回線切断が繰り返されると、コンテンツサーバ23のセッション数が増加し、他のユーザに付与するセッションが枯渇する。しかし、上記したように、FW42は、無線端末11のセッションを解放するので、不正ユーザによるコンテンツサーバへのリソース枯渇攻撃を防止することができる。
さらに、FW42のユーザデータ処理部42bは、アドレス変換TB42dとフィルタリングTB42eとによって、以前、無線端末11に割り当てていた変換IPアドレスを新たな無線端末UEに割り当てない。これにより、あるユーザの要求したデータが、別のユーザの無線端末UEに送信されることを防止することができる。また、FW42は、あるユーザの要求したデータを別のユーザの無線端末UEに送信されることを防止するので、別のユーザの意図しない課金が行われることを防止することができる。
なお、上記では、PGW41がFW42にGTPトンネルの接続状態、無線端末11のIPアドレス、およびGTPトンネルのTEIDを送信するとしたが、SGW13がFW42に送信するようにしてもよい。
例えば、SGW13は、PGW41とのGTP−Cパケットのやり取りによって、無線端末11のIPアドレスおよびTEIDをPGW41から受信する。従って、ステップS123の処理は、SGW13が行うこともできる。より具体的には、SGW13が、GTPトンネルの接続状態、無線端末11のIPアドレス、およびTEIDをFW42に送信してもよい。FW42の回線接続データ処理部42aは、ステップS124の処理において、SGW13から受信したGTPトンネルの接続状態、無線端末11のIPアドレス、およびTEIDに基づいて、GTPトンネル接続状態TB42cを更新する。ステップS129,S131,S140,S141,S145,S146の処理についても同様である。
[第5の実施の形態]
次に、第5の実施の形態を、図面を参照して詳細に説明する。第1の実施の形態および第2の実施の形態では、例えば、RADIUS認証をモニタすることにより、セッションを切断するようにした。第5の実施の形態では、回線の状態をモニタすることにより、セッションを切断するようにする。
図30は、第5の実施の形態に係る通信装置を説明する図である。図30に示すように、通信装置51は、無線アクセスネットワーク55に設けられている。図30に示す無線アクセスネットワーク55は、例えば、LTEネットワークであり、他ネットワーク56は、例えば、MVNOネットワークである。通信装置51は、例えば、ファイアウォールであり、無線端末54の他ネットワーク56との通信を中継する。
無線端末54は、例えば、携帯電話である。無線端末54は、例えば、無線アクセスネットワーク55に設けられている、図示しないeNBと無線通信を行い、通信装置51を介して他ネットワーク56に接続することができる。
通信装置52は、無線アクセスネットワーク55に設けられ、無線端末54のデータを中継する通信装置である。通信装置52は、例えば、SGWであり、図示しないeNBと通信装置51との間に接続されている。
通信装置57は、他ネットワーク56に設けられ、無線端末54のデータを中継するPGWである。
通信装置52と通信装置57との間には、無線端末54のデータが疎通する回線53が形成される。回線53は、例えば、GTPトンネルである。回線53は、例えば、無線端末54の他ネットワーク56への回線接続要求によって、通信装置52と通信装置57との間に形成される。また、回線53は、無線端末54の他ネットワーク56への回線切断要求によって切断される。
通信装置51は、モニタ部51aおよび生成部51bを有している。モニタ部51aは、通信装置52と通信装置57との間に形成される回線53の状態をモニタする。
例えば、通信装置52は、通信装置57と回線53を形成する場合、回線53の接続を開始するための要求を行う。また、通信装置52は、通信装置57と回線53の接続を切断する場合、回線53の切断を開始するための要求を行う。モニタ部51aは、通信装置52と通信装置57との間のこれらのやり取りをモニタして、回線53の状態をモニタする。
生成部51bは、モニタ部51aのモニタする回線53の状態に基づいて、無線端末54のセッションを切断するための情報を生成する。例えば、生成部51bは、モニタ部51aが回線53の切断をモニタした場合、無線端末54の他ネットワーク56への回線接続が切断されたと判断して、RSTパケットを生成する。
生成部51bの生成した情報(RSTパケット)は、例えば、無線端末54とセッションを確立していたコンテンツサーバに送信される。これにより、無線端末54のセッション(無線端末54とコンテンツサーバのセッション)は、切断される。
このように、通信装置51のモニタ部51aは、通信装置52と通信装置57との間に形成される回線の状態をモニタする。そして、生成部51bは、モニタ部51aのモニタする回線の状態に基づいて、無線端末54のセッションを切断するための情報を生成するようにした。これにより、通信装置51は、無線端末54の他ネットワーク56への回線切断後、無線端末54のセッションを解放することができる。
[第6の実施の形態]
次に、第6の実施の形態を、図面を参照して詳細に説明する。
図31は、第6の実施の形態に係る通信装置が適用されるネットワーク構成例を示した図である。図31のネットワークは、LTEネットワークとMVNOネットワークとのレイヤ2接続の例を示している。図31において、図2と同じものには同じ符号を付し、その説明を省略する。
図31では、図2に対し、PGW14とFW61の位置が入れ替わっている。また、図31では、eNB12、SGW13、MME16、およびFW61によって、LTEネットワークが形成され、PGW14、GW21、AAAサーバ22、およびコンテンツサーバ23によって、MVNOネットワークが形成されている。
図32は、図31のネットワーク構成例の動作を説明する図である。図32において図31と同じものには同じ符号が付してある。
SGW13は、MME16を経由した無線端末11の回線接続要求に応じて、PGW14との間にGTP−Uのプロトコルを動作させる。これにより、SGW13とPGW14との間には、GTPトンネルが形成される。
PGW14は、SGW13からのGTPトンネルの接続要求に応じて、AAAサーバ22と無線端末11のRADIUS認証処理を行う。無線端末11は、PGW14とAAAサーバ22とのRADIUS認証によって、正規の無線端末であると認証されれば、コンテンツサーバ23にアクセスでき、所望のサービスを受けることができる。また、PGW14は、SGW13からのGTPトンネルの切断要求に応じて、AAAサーバ22と無線端末11のRADIUS認証の解除処理を行う。無線端末11は、PGW14とAAAサーバ22とのRADIUS認証によって認証解除がされると、MVNOネットワークとの回線接続が切断される。
図33は、FWの機能ブロック例を示した図である。図33に示すように、FW61は、回線接続データ処理部61a、ユーザデータ処理部61b、GTPトンネル接続状態TB61c、アドレス変換TB61d、およびフィルタリングTB61eを有している。
回線接続データ処理部61aは、無線端末11の回線接続時のデータ処理を行う。回線接続データ処理部61aは、GTPトンネル接続状態TB61c、アドレス変換TB61d、およびフィルタリングTB61eにアクセスして、所定の処理を行う。
ユーザデータ処理部61bは、正当ユーザであると認証された無線端末11のユーザデータの処理を行う。例えば、ユーザデータ処理部61bは、NAPTを行う。ユーザデータ処理部61bは、アドレス変換TB61dおよびフィルタリングTB61eにアクセスして、所定の処理を行う。
なお、PGW14およびAAAサーバ22の機能ブロックは、図4および図6と同様であり、その説明を省略する。
また、FW61のハードウェア構成は、図7で説明したハードウェア構成例と同様であり、その説明を省略する。
また、GTPトンネル接続状態TB61cは、図22で説明したGTPトンネル接続状態TB42cと同様であり、その説明を省略する。ただし、図22では、FW42がPGW41からGTPトンネルの接続状態や無線端末11のIPアドレス、TEIDを受信して、GTPトンネル接続状態TB42cを生成および更新したが、第6の実施の形態では、FW61がSGW13とPGW14との間でやり取りされる、例えば、GTP−Cパケットをモニタすることによって、GTPトンネル接続状態TB61cが生成および更新される。すなわち、GTPトンネル接続状態TB61cは、第2の実施の形態で説明したRADIUS認証のモニタと同様に、SGW13とPGW14との間でやり取りされるGTPトンネルの状態をモニタすることにより、生成および更新がされる。
また、図33の回線接続データ処理部61aは、図11および図12で説明したフローチャートのその1およびその2と同様の処理を行う。ただし、回線接続データ処理部61aは、RADIUS認証ではなく、SGW13からPGW14へのGTPトンネルの接続要求およびPGW14からSGW13へのGTPトンネルの接続応答をモニタする。そして、回線接続データ処理部61aは、GTPトンネル接続状態TB61cを更新する。また、回線接続データ処理部61aは、RADIUS認証の認証解除処理ではなく、SGW13からPGW14へのGTPトンネルの切断要求およびPGW14からSGW13へのGTPトンネルの切断応答をモニタする。そして、回線接続データ処理部61aは、GTPトンネル接続状態TB61cを更新する。
また、ユーザデータ処理部61bの処理は、図13で説明したフローチャートと同様であり、その説明を省略する。
また、GTPトンネル接続状態の遷移は、図27で説明した状態遷移と同様であり、その説明を省略する。ただし、回線接続データ処理部61aは、Create PDP Context Request等を受信して、状態遷移を判断するのではなく、SGW13とPGW14との間でやり取りされるCreate PDP Context Request等をモニタして、状態遷移を判断する。
図34、図35は、ネットワークの動作を示したシーケンスの一例を示した図である。図34、図35には、図31で説明した無線端末11、SGW13、PGW14、MME16、AAAサーバ22、コンテンツサーバ23、およびFW61のシーケンスが示してある。
[ステップS161]無線端末11は、MVNOネットワークに回線接続するとする。無線端末11は、SGW13に対し、回線接続要求を行う。なお、無線端末11の回線接続要求は、MME16を経由して行われる。
[ステップS162]SGW13は、PGW14とGTPトンネルを形成するために、PGW14にGTPトンネルの接続要求(Create PDP Context Request)を送信する。
[ステップS163]FW61の回線接続データ処理部61aは、ステップS162のCreate PDP Context Requestをモニタすることにより、GTPトンネル接続状態TB61cのGTPトンネル接続状態の欄を‘接続開始’にする。
[ステップS164]PGW14は、SGW13からのGTPトンネル接続要求を受けて、AAAサーバ22にアクセス要求(Access-Request)を送信する。
[ステップS165]AAAサーバ22は、PGW14に、アクセス要求の承諾(Access-Accept)を送信する。
[ステップS166]PGW14は、AAAサーバ22にRADIUS認証の要求(Accounting-Request(start))を送信する。
[ステップS167]PGW14は、SGW13にGTPトンネルの接続要求に対する応答(Create PDP Context Response)を送信する。これにより、SGW13とPGW14との間にGTPトンネルが形成される。
[ステップS168]AAAサーバ22は、PGW14にRADIUS認証の要求に対するRADIUS認証の応答(Accounting-Response(start))を送信する。
[ステップS169]SGW13は、無線端末11に対し、回線接続応答を送信する。なお、回線接続応答は、MME16を経由して行われる。
[ステップS170]FW61の回線接続データ処理部61aは、ステップS167のCreate PDP Context Responseをモニタすることにより、GTPトンネル接続状態TB61cのGTPトンネル接続状態の欄を‘接続完了’にする。
[ステップS171]FW61の回線接続データ処理部61aは、ステップS167のCreate PDP Context ResponseのGTP−Cパケットに含まれる無線端末11のIPアドレスを取得する。回線接続データ処理部61aは、取得したIPアドレスをGTPトンネル接続状態TB61cに格納する。
[ステップS172]無線端末11は、RADIUS認証後の最初のパケット(UDP/TCPパケット)をFW61に送信する。
[ステップS173]FW61のユーザデータ処理部61bは、RADIUS認証後の最初のパケットを無線端末11から受信すると、フィルタリングTB61eを参照する。
[ステップS174]ユーザデータ処理部61bは、無線端末11のIPアドレスおよびポート番号を変換する。ユーザデータ処理部61bは、ステップS173で参照したフィルタリングTB61eに格納されているIPアドレスおよびポート番号と異なるIPアドレスおよびポート番号に変換する。ユーザデータ処理部61bは、無線端末11のエントリをアドレス変換TB61dに格納する。
[ステップS175]ユーザデータ処理部61bは、ステップS172で受信した無線端末11の最初のパケットを、コンテンツサーバ23に送信する。
[ステップS176]無線端末11とコンテンツサーバ23は、パケットの通信(トランスポートセッション)を行う。
[ステップS177]無線端末11は、MVNOネットワークへの回線接続を切断するとする。無線端末11は、SGW13に対し、回線切断要求を行う。なお、無線端末11の回線切断要求は、MME16を経由して行われる。
[ステップS178]SGW13は、PGW14にGTPトンネルの削除要求(Delete PDP Context Request)を送信する。
[ステップS179]FW61の回線接続データ処理部61aは、ステップS178のDelete PDP Context Requestをモニタすることにより、GTPトンネル接続状態TB61cのGTPトンネル接続状態の欄を‘接続終了’にする。
[ステップS180]PGW14は、AAAサーバ22に無線端末11の認証解除要求(Accounting-Request(stop))を送信する。
[ステップS181]AAAサーバ22は、PGW14からのRADIUS認証の認証解除要求を受けて、無線端末の認証解除を行い、PGW14にRADIUS認証の認証解除要求に対する応答(Accounting-Response(stop))を送信する。
[ステップS182]PGW14は、SGW13にGTPトンネルの削除要求に対する応答(Delete PDP Context Response)を送信する。
[ステップS183]FW61の回線接続データ処理部61aは、ステップS182のDelete PDP Context Responseをモニタすることにより、GTPトンネル接続状態TB61cのGTPトンネル接続状態の欄を‘接続なし’にする。
[ステップS184]FW61の回線接続データ処理部61aは、アドレス変換TB61dのTCP接続状態の欄を参照し、TCPセッションのTCP接続状態が接続中(例えば、LISTEN、SYNSENT、SYNRCVD、ESTABのいずれか)であるか確認する。回線接続データ処理部61aは、TCP接続状態が接続中であれば、アドレス変換TB61dに記憶されている対向装置(例えば、コンテンツサーバ23)に対して、TCPのRSTパケットを送信する。
[ステップS185]SGW14は、無線端末11に対し、回線切断応答を送信する。なお、回線切断応答は、MME16を経由して行われる。
[ステップS186]コンテンツサーバ23は、FW61からのRSTパケットを受信することによって、無線端末11とのTCPセッションを切断(RST)する。
[ステップS187]FW61の回線接続データ処理部61aは、無線端末11のエントリをアドレス変換TB61dから削除する。
[ステップS188]回線接続データ処理部61aは、アドレス変換TB61dから削除した無線端末11のエントリを、フィルタリングTB61eに格納する。
なお、回線接続データ処理部61aは、フィルタリングTB61eに格納された無線端末11のエントリを、例えば、管理者が指定した時間経過後に削除する。
[ステップS189]ここで、無線端末11とは別の無線端末UEがMVNOネットワークに回線接続するとする。無線端末UEには、PGW14によって、無線端末11に割り当てられていたIPアドレスと同じIPアドレスが割り当てられたとする。そして、無線端末UEのRADIUS認証は、完了状態になったとする。すなわち、無線端末UEは、無線端末11と同様の、ステップS161からステップS171の処理が行われたとする。無線端末UEは、最初のパケットをFW61に送信する。
[ステップS190]FW61のユーザデータ処理部61bは、RADIUS認証後の最初のパケットを無線端末UEから受信すると、フィルタリングTB61eを参照する。
[ステップS191]ユーザデータ処理部61bは、無線端末UEのIPアドレスおよびポート番号を変換する。ユーザデータ処理部61bは、ステップS190で参照したフィルタリングTB61eに格納されているIPアドレスおよびポート番号と異なるIPアドレスおよびポート番号に変換する。ユーザデータ処理部61bは、無線端末UEのエントリ(アドレス変換TB61dの各欄の情報)をアドレス変換TB61dに格納する。
なお、ステップS189で説明したように、無線端末UEには、無線端末11と同じIPアドレスが割り当てられている。従って、無線端末UEと同じIPアドレスのIPアドレスがフィルタリングTB61eに記憶されている。これにより、無線端末UEには、回線接続データ処理部61aによって、無線端末11と異なる変換後のIPアドレスが割り当てられることになる。
また、無線端末11に割り当てられていたIPアドレスは、無線端末UEに割り当てられたので、回線接続データ処理部61aは、無線端末11のエントリをフィルタリングTB61eから削除する。
[ステップS192]ユーザデータ処理部61bは、ステップS189で受信した無線端末UEの最初のパケットを、コンテンツサーバ23に送信する。
[ステップS193]コンテンツサーバ23は、無線端末11とのセッションを切断しているので、無線端末11にパケットを送信しないが、ここでは、セッションが切断されていないと仮定して、無線端末11にパケットを送信したとする。
[ステップS194]ステップS187の処理により、アドレス変換TB61dには、無線端末11のエントリが格納されていないので、FW61のユーザデータ処理部61bは、無線端末11宛てのパケットを破棄する。すなわち、ステップS193の場合を仮定しても、MVNOネットワークとの回線接続が切断された無線端末11宛てのパケットは、無線端末11と同じIPアドレスに割り当てられた無線端末UEに送信されることがない。また、UDPのパケットも、アドレス変換TB61dおよびフィルタリングTB61eによって、MVNOネットワークとの回線接続が切断された無線端末11に送信されることがない。
なお、無線端末UE宛てのユーザデータは、ステップS191の処理により、無線端末UEのエントリがアドレス変換TB61dに登録されているので、無線端末UEに送信される。
このように、FW61の回線接続データ処理部61aは、SGW13とPGW14との間に形成されるGTPトンネルの状態をモニタする。そして、回線接続データ処理部61aは、モニタするGTPトンネルの状態に基づいて、無線端末11のセッションを切断するためのRSTパケットを生成するようにした。これにより、FW61は、無線端末11のMVNOネットワークへの回線切断後、無線端末11のセッションを切断することができる。
また、FW61は、無線端末11のセッションを切断することにより、不正ユーザによるコンテンツサーバ23へのリソース枯渇攻撃を防止することができる。例えば、無線端末11のセッションは、無線端末11の回線切断によって切断されないとする。この場合、不正ユーザによって、MVNOネットワークへの回線接続と回線切断が繰り返されると、コンテンツサーバ23のセッション数が増加し、他のユーザに付与するセッションが枯渇する。しかし、上記したように、FW61は、無線端末11のセッションを切断するので、不正ユーザによるコンテンツサーバへのリソース枯渇攻撃を防止することができる。
さらに、FW61のユーザデータ処理部61bは、アドレス変換TB61dとフィルタリングTB61eとによって、以前、無線端末11に割り当てていた変換IPアドレスを新たな無線端末UEに割り当てない。これにより、あるユーザの要求したデータが、別のユーザの無線端末UEに送信されることを防止することができる。また、FW61は、あるユーザの要求したデータを別のユーザの無線端末UEに送信されることを防止するので、別のユーザの意図しない課金が行われることを防止することができる。
以下、セッションが解放されない場合の動作について説明する。
図36は、セッションが解放されない場合の動作を説明する図である。図36には、SGW101、PGW102、FW103、GW104、AAAサーバ105、およびコンテンツサーバ106が示してある。SGW101、PGW102、およびFW103は、例えば、LTEネットワークを形成し、GW104、AAAサーバ105、およびコンテンツサーバ106は、MVNOネットワークを形成している。
図36において、図示しない無線端末UE1が、MVNOネットワークに回線接続要求を行うとする。そして、無線端末UE1とコンテンツサーバ106との間でセッションが確立され、ユーザデータの送受信が行われるとする。無線端末UE1とコンテンツサーバ106との間のセッションの確立により、コンテンツサーバ106では、リソースが消費される。
なお、ここでは、無線端末UE1に対し、PGW102によりIPアドレス‘192.168.1.10’が払い出されたとする。また、FW103は、NAPTにより、無線端末UE1のIPアドレスとポート番号のそれぞれを、‘210.153.84.10’と‘xxxx’に変換したとする。
無線端末UE1は、コンテンツサーバ106とのセッション(通信)を終了せずに、回線を切断(GTPトンネルを切断)したとする。このとき、PGW102は、AAAサーバ105に対して接続終了信号を送信し、AAAサーバ105からの応答を受けて、無線端末UE1に払い出していたIPアドレスを解放する。IPアドレスが解放された後は、コンテンツサーバ106から無線端末UE1に送信されたユーザデータは、GW104またはPGW102で廃棄される。
無線端末UE1は、コンテンツサーバ106とのセッションを終了せずに回線を切断している。このため、コンテンツサーバ106では、例えば、タイムアウトするまで、無線端末UE1とのセッションを維持する。
図36に示す矢印A101,A102は、無線端末UE1の回線が切断されたにも関わらず、コンテンツサーバ106で維持されている無線端末UE1とのセッションを示している。IPアドレスが‘210.153.84.10’でポート番号が‘xxxx’宛て(無線端末UE1宛て)のユーザデータは、矢印A101に示すように、GW104で廃棄される。また、IPアドレスが‘192.168.1.10’宛て(無線端末UE1宛て)のユーザデータは、矢印A102に示すようにPGW102で廃棄される。
その後、再び、無線端末UE1から回線接続要求が行われ、コンテンツサーバ106との間でセッションが確立されたとする。ここでは、無線端末UE1に対し、IPアドレス‘192.168.1.20’が払い出されたとする。また、FW103は、NAPTにより、無線端末UE1のIPアドレスとポート番号のそれぞれを、‘210.153.84.10’と‘yyyy’に変換したとする。
この場合、コンテンツサーバ106は、LTEネットワークから送信されるパケットのポート番号が異なるので、無線端末UE1とは別の新たな無線端末から通信要求があったと認識する。すなわち、矢印A103に示すように、コンテンツサーバ106と無線端末UE1との間にセッションが確立される。
このように、無線端末UE1のセッションを確立したまま、無線端末UE1の回線接続と切断が繰り返されると、特定の無線端末UE1だけがコンテンツサーバ106のリソースを占有する状況が発生する。
これに対し、第1の実施の形態から第6の実施の形態で説明した通信装置やFWは、無線端末のセッションを解放するので、特定の無線端末UE1だけがコンテンツサーバ106のリソースを占有する状況を防止することができる。
次に、図36において、上記と同様に図示しない無線端末UE1が、MVNOネットワークに回線接続要求を行うとする。ここでは、回線接続要求を行った無線端末UE1に対し、IPアドレス‘192.168.1.10’が払い出されたとする。また、FW103は、NAPTにより、無線端末UE1のIPアドレスとポート番号のそれぞれを、‘210.153.84.10’と‘xxxx’に変換したとする。
無線端末UE1は、コンテンツサーバ106とのセッションを終了せずに、回線を切断したとする。そして、コンテンツサーバ106が無線端末UE1のセッションをタイムアウトしないうちに、別の無線端末UE2が回線接続要求を行い、コンテンツサーバ106との間でセッションを確立したとする。
この回線接続の際、無線端末UE2には、前回接続していた無線端末UE1と同じIPアドレス‘192.168.1.10’が払い出されたとする。また、FW103は、NAPTにより、無線端末UE2のIPアドレスとポート番号のそれぞれを、‘210.153.84.10’と‘xxxx’に変換したとする。
この場合において、コンテンツサーバ106が、無線端末UE1宛てにデータ送信すると、そのデータは、無線端末UE2に送信される。このため、例えば、無線端末UE2のユーザに意図しない課金が行われる場合がある。
これに対し、第2の実施の形態、第4の実施の形態、および第6の実施の形態で説明したFWでは、例えば、無線端末UE2に無線端末UE1とは異なるIPアドレスとポート番号を割り当てある。例えば、上記例の場合、FWは、無線端末UE2にIPアドレス‘210.153.84.11’とポート番号‘yyyy’を割り当てる。これにより、無線端末UE2のユーザの意図しない課金が行われることを防止することができる。
次に、上記で説明した実施の形態の適用範囲について説明する。
図37は、適用範囲を説明する図である。図37には、SGW、PGW、FW、GW、AAAサーバ、およびコンテンツサーバが示してある。図37に示す点線枠111は、LTEネットワークを示し、点線枠112は、MVNOネットワークを示している。
例えば、第2の実施の形態では、FW15がRADIUS認証をモニタすることで、無線端末11のセッションを切断する。従って、例えば、第2の実施の形態の手法は、図37の枠113内で適用される。
また、第4の実施の形態では、FW42がPGW41からGTPトンネルの状態を受信することで、無線端末11のセッションを切断する。従って、例えば、第4の実施の形態の手法は、図37の枠114内で適用される。
また、第4の実施の形態において、FW42がSGW13からGTPトンネルの状態を受信することにより、無線端末11のセッションを切断する場合、第4の実施の形態の手法は、図37の枠115内で適用される。
さらに、第6の実施の形態では、FW61がGTPトンネルの状態をモニタすることで、無線端末11のセッションを切断する。従って、例えば、第6の実施の形態の手法は、図37の枠115内で適用される。ただし、第6の実施の形態の場合、FWとPGWの位置が入れ替わり、PGWはMVNOネットワークに設けられる。
1 通信装置
1a モニタ部
1b 生成部
2 無線端末
3 無線アクセスネットワーク
4 他ネットワーク

Claims (9)

  1. 無線アクセスネットワークに設けられ、他ネットワークとの通信を中継する通信装置であって、前記他ネットワークは、無線端末の認証を行う第1のサーバと、前記無線端末にサービスを提供する第2のサーバとを含み、前記第2のサーバから前記無線端末へのサービス提供は、前記無線アクセスネットワークを介して行われる場合
    前記無線端末の前記他ネットワークへの回線接続および回線切断の際に、前記無線端末と前記第1のサーバとで行われる認証処理をモニタするモニタ部と、
    前記第1のサーバで認証解除が完了したことがモニタされると、前記無線端末から前記無線アクセスネットワークへ回線切断が要求されたことを認識し、前記無線端末のセッションを切断するための情報を生成して前記第2のサーバへ送信する生成部と、
    を有することを特徴とする通信装置。
  2. 前記無線端末のアドレス情報を変換するための変換テーブルと、
    前記無線端末の回線切断により前記無線端末の認証が解除された場合、前記変換テーブルに記憶されていた前記無線端末の第1のアドレス情報が記憶されるフィルタリングテーブルと、
    前記無線端末の回線接続により前記無線端末の認証が完了した場合、前記フィルタリングテーブルに記憶されていない第2のアドレス情報を前記無線端末に割り当て、前記変換テーブルに記憶する割り当て部と、
    をさらに有することを特徴とする請求項1に記載の通信装置。
  3. 無線アクセスネットワークに設けられ、他ネットワークとの通信を中継する通信装置であって、前記他ネットワークは、無線端末の認証を行う第1のサーバと、前記無線端末にサービスを提供する第2のサーバとを含み、前記第2のサーバから前記無線端末へのサービス提供は、前記無線アクセスネットワークを介して行われる場合、
    前記無線端末の前記他ネットワークへの回線接続および回線切断の際に、前記無線端末と前記第1のサーバとで行われる認証処理をモニタするモニタ部と、
    前記第1のサーバで認証解除が完了したことがモニタされると、前記無線端末から前記無線アクセスネットワークへ回線切断が要求されたことを認識し、前記無線端末のセッションを切断するための情報を生成して前記第2のサーバへ送信する生成部と、
    前記無線端末のアドレス情報を変換するための変換テーブルと、
    前記無線端末の回線切断により前記無線端末の認証が解除された場合、前記変換テーブルに記憶されていた前記無線端末の第1のアドレス情報が記憶されるフィルタリングテーブルと、
    前記無線端末の回線接続により前記無線端末の認証が完了した場合、前記フィルタリングテーブルに記憶されていない第2のアドレス情報を前記無線端末に割り当て、前記変換テーブルに記憶する割り当て部と、
    を有することを特徴とする通信装置。
  4. 無線アクセスネットワークに設けられ、他ネットワークとの通信を中継する通信装置であって、前記他ネットワークは、無線端末にサービスを提供するサーバを含み、前記サーバから前記無線端末へのサービス提供は、前記無線アクセスネットワークを介して行われる場合
    前記無線アクセスネットワークに設けられ、前記無線端末と無線通信する基地局を集約する第1の通信装置と、前記無線アクセスネットワークに設けられ、前記無線端末にアドレス割り当てを行う第2の通信装置との間に形成される、前記無線端末のデータが疎通する回線であって、前記第2の通信装置から送信される前記回線の状態を受信する受信部と、
    前記回線の切断状態が受信されると、前記無線端末のセッションを切断するための情報を生成して前記サーバへ送信する生成部と、
    を有することを特徴とする通信装置。
  5. 前記無線端末のアドレス情報を変換するための変換テーブルと、
    前記第1の通信装置と前記第2の通信装置との間の回線が切断された場合、前記変換テーブルに記憶されていた前記無線端末の第1のアドレス情報が記憶されるフィルタリングテーブルと、
    前記第1の通信装置と前記第2の通信装置との間に回線が形成された場合、前記フィルタリングテーブルに記憶されていない第2のアドレス情報を前記無線端末に割り当て、前記変換テーブルに記憶する割り当て部と、
    をさらに有することを特徴とする請求項に記載の通信装置。
  6. 無線アクセスネットワークに設けられ、他ネットワークとの通信を中継する通信装置であって、前記他ネットワークは、無線端末にサービスを提供するサーバを含み、前記サーバから前記無線端末へのサービス提供は、前記無線アクセスネットワークを介して行われる場合、
    前記無線アクセスネットワークに設けられ、前記無線端末と無線通信する基地局を集約する第1の通信装置と、前記無線アクセスネットワークに設けられ、前記無線端末にアドレス割り当てを行う第2の通信装置との間に形成される、前記無線端末のデータが疎通する回線であって、前記第2の通信装置から送信される前記回線の状態を受信する受信部と、
    前記回線の切断状態が受信されると、前記無線端末のセッションを切断するための情報を生成して前記サーバへ送信する生成部と、
    前記無線端末のアドレス情報を変換するための変換テーブルと、
    前記第1の通信装置と前記第2の通信装置との間の回線が切断された場合、前記変換テーブルに記憶されていた前記無線端末の第1のアドレス情報が記憶されるフィルタリングテーブルと、
    前記第1の通信装置と前記第2の通信装置との間に回線が形成された場合、前記フィルタリングテーブルに記憶されていない第2のアドレス情報を前記無線端末に割り当て、前記変換テーブルに記憶する割り当て部と、
    を有することを特徴とする通信装置。
  7. 無線アクセスネットワークに設けられ、他ネットワークとの通信を中継する通信装置であって、前記他ネットワークは、無線端末にサービスを提供するサーバを含み、前記サーバから前記無線端末へのサービス提供は、前記無線アクセスネットワークを介して行われる場合
    前記無線アクセスネットワークに設けられ、前記無線端末と無線通信する基地局を集約する第1の通信装置と前記他ネットワークに設けられ、前記無線端末にアドレス割り当てを行う第2の通信装置との間に形成される、前記無線端末のデータが疎通する回線の状態をモニタするモニタ部と、
    前記回線の切断状態がモニタされると、前記無線端末のセッションを切断するための情報を生成して前記サーバへ送信する生成部と、
    を有することを特徴とする通信装置。
  8. 前記無線端末のアドレス情報を変換するための変換テーブルと、
    前記第1の通信装置と前記第2の通信装置との間の回線が切断された場合、前記変換テーブルに記憶されていた前記無線端末の第1のアドレス情報が記憶されるフィルタリングテーブルと、
    前記第1の通信装置と前記第2の通信装置との間に回線が形成された場合、前記フィルタリングテーブルに記憶されていない第2のアドレス情報を前記無線端末に割り当て、前記変換テーブルに記憶する割り当て部と、
    をさらに有することを特徴とする請求項に記載の通信装置。
  9. 無線アクセスネットワークに設けられ、他ネットワークとの通信を中継する通信装置であって、前記他ネットワークは、無線端末にサービスを提供するサーバを含み、前記サーバから前記無線端末へのサービス提供は、前記無線アクセスネットワークを介して行われる場合、
    前記無線アクセスネットワークに設けられ、前記無線端末と無線通信する基地局を集約する第1の通信装置と、前記他ネットワークに設けられ、前記無線端末にアドレス割り当てを行う第2の通信装置との間に形成される、前記無線端末のデータが疎通する回線の状態をモニタするモニタ部と、
    前記回線の切断状態がモニタされると、前記無線端末のセッションを切断するための情報を生成して前記サーバへ送信する生成部と、
    前記無線端末のアドレス情報を変換するための変換テーブルと、
    前記第1の通信装置と前記第2の通信装置との間の回線が切断された場合、前記変換テーブルに記憶されていた前記無線端末の第1のアドレス情報が記憶されるフィルタリングテーブルと、
    前記第1の通信装置と前記第2の通信装置との間に回線が形成された場合、前記フィルタリングテーブルに記憶されていない第2のアドレス情報を前記無線端末に割り当て、前記変換テーブルに記憶する割り当て部と、
    を有することを特徴とする通信装置。
JP2011137982A 2011-06-22 2011-06-22 通信装置 Expired - Fee Related JP5760736B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2011137982A JP5760736B2 (ja) 2011-06-22 2011-06-22 通信装置
US13/430,210 US8433289B2 (en) 2011-06-22 2012-03-26 Communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011137982A JP5760736B2 (ja) 2011-06-22 2011-06-22 通信装置

Publications (2)

Publication Number Publication Date
JP2013005415A JP2013005415A (ja) 2013-01-07
JP5760736B2 true JP5760736B2 (ja) 2015-08-12

Family

ID=47362327

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011137982A Expired - Fee Related JP5760736B2 (ja) 2011-06-22 2011-06-22 通信装置

Country Status (2)

Country Link
US (1) US8433289B2 (ja)
JP (1) JP5760736B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2763458B1 (en) * 2011-09-30 2017-06-28 Nec Corporation Communication system and method and device
KR101228089B1 (ko) * 2012-09-10 2013-02-01 한국인터넷진흥원 Ip 스푸핑 탐지 장치
JP5986546B2 (ja) * 2013-08-29 2016-09-06 ヤフー株式会社 情報処理装置、および情報処理方法
JP6048969B2 (ja) * 2013-11-21 2016-12-21 ビッグローブ株式会社 通信管理装置、サービス提供装置、通信システム、通信管理方法、サービス提供方法およびプログラム
KR101541348B1 (ko) * 2014-04-09 2015-08-05 주식회사 윈스 Gtp 네트워크 기반 세션 관리 방법 및 장치
JP2018061201A (ja) 2016-10-07 2018-04-12 株式会社リコー 通信制御装置、通信制御プログラム、及び、ネットワーク通信システム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60220718T2 (de) 2001-12-21 2008-03-06 International Business Machines Corp. Verfahren und system zur sicheren behandlung von elektronischen geschäften im internet
AU2003230606B2 (en) 2002-03-08 2009-04-30 Mcafee, Llc Systems and methods for enhancing electronic communication security
US7096498B2 (en) 2002-03-08 2006-08-22 Cipher Trust, Inc. Systems and methods for message threat management
JP3577067B2 (ja) 2002-12-24 2004-10-13 一 福嶋 動的ipアドレス割当てを受けた機器を管理する方法およびシステム
JP2004357234A (ja) * 2003-05-30 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> セキュリティ管理装置、セキュリティ通信装置、ファイアウォール設定方法、ファイアウォール設定用プログラム、及びファイアウォール設定用記録媒体。
EP1738530A2 (en) 2004-04-12 2007-01-03 XDS, Inc. System and method for automatically initiating and dynamically establishing secure internet connections between a fire-walled server and a fire-walled client
US20050259679A1 (en) * 2004-04-15 2005-11-24 Kuntal Chowdhury Radio link loss management in multimedia domain (MMD)
US8619557B2 (en) * 2005-12-02 2013-12-31 Blackberry Limited System and method for managing network traffic load upon outage of a network node
JP4791252B2 (ja) * 2006-05-22 2011-10-12 株式会社日立製作所 パケット転送装置、パケット転送システム、ユーザ端末装置およびパケット転送方法
US20090207759A1 (en) * 2008-02-15 2009-08-20 Andreasen Flemming S System and method for providing a converged wireline and wireless network environment
US8665819B2 (en) * 2009-06-19 2014-03-04 Cisco Technology, Inc. System and method for providing mobility between heterogenous networks in a communication environment
US9083587B2 (en) * 2009-08-21 2015-07-14 Cisco Technology, Inc. Port chunk allocation in network address translation
US8880683B2 (en) * 2010-12-22 2014-11-04 Verizon Patent And Licensing Inc. Global real-time network resource and timer synchronization

Also Published As

Publication number Publication date
US20120329428A1 (en) 2012-12-27
US8433289B2 (en) 2013-04-30
JP2013005415A (ja) 2013-01-07

Similar Documents

Publication Publication Date Title
JP6797288B2 (ja) 課金管理方法、ユーザプレーン機能エンティティ、およびコントロールプレーン機能エンティティ
KR100442594B1 (ko) 무선통신 시스템의 패킷 데이터 서비스 방법 및 장치
JP5760736B2 (ja) 通信装置
CN103703698B (zh) 机器对机器节点擦除程序
WO2021000827A1 (zh) 数据传输链路建立方法、装置以及计算机可读存储介质
WO2012079527A1 (zh) 公共路径的建立和使用方法、m2m的通信方法及系统
RU2009138223A (ru) Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи
JP5521057B2 (ja) ユーザ機器を認証するための方法および装置
WO2011144083A2 (zh) 策略控制方法及设备
WO2019154017A1 (zh) 多路径建立方法及装置
WO2014101755A1 (zh) 业务数据分流方法及系统
WO2017124231A1 (zh) 分配互联网协议地址的方法、控制面网关和用户面网关
KR101353371B1 (ko) 로컬 도메인 네임을 취득하기 위한 방법, 장치 및 시스템
WO2010081368A1 (zh) 数据发送、传输、接收方法及装置、局域网建立方法及装置
CN106131177B (zh) 一种报文处理方法及装置
WO2011134102A1 (zh) 关联会话的方法、装置及系统
KR102282532B1 (ko) 링크 재설정 방법, 장치, 및 시스템
WO2015184840A1 (zh) 响应消息的获取、响应消息的路由方法、装置及系统
KR100684322B1 (ko) 이동 통신 시스템에서 ip 관리 메시지를 위한 연결 설정방법 및 이를 이용한 ip 주소 할당 방법
WO2014047923A1 (zh) 接入网络的方法和装置
WO2014124561A1 (zh) 实现在wlan中的通信的方法和系统
KR100419578B1 (ko) 다이아미터 기반 이동 인터넷 프로토콜 망에서의 세션제어 방법
JP4760963B2 (ja) IPv6アドレス割り当て方法
CN101605125B (zh) 一种传输GTPv2消息的方法、系统及装置
Kadam et al. Network security using constrained application protocol (CoAP)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140304

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141015

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141021

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150512

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150525

R150 Certificate of patent or registration of utility model

Ref document number: 5760736

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees