JP5864453B2 - 通信サービス提供システムおよびその方法 - Google Patents
通信サービス提供システムおよびその方法 Download PDFInfo
- Publication number
- JP5864453B2 JP5864453B2 JP2013026707A JP2013026707A JP5864453B2 JP 5864453 B2 JP5864453 B2 JP 5864453B2 JP 2013026707 A JP2013026707 A JP 2013026707A JP 2013026707 A JP2013026707 A JP 2013026707A JP 5864453 B2 JP5864453 B2 JP 5864453B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- communication
- communication network
- policy
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、第1の通信網(以下、単に「網」)に管理される通信端末(以下、単に「端末」)が、当該第1の網とは異なる第2の網を介して第1および第2の網のいずれとも物理的あるいは論理的に異なる第3の網と接続する際に、当該端末に対して予め網側に設定したポリシに従う通信サービスを提供可能とする技術に関する。
特に、網に接続される端末の通信を網内に具備されたフィルタ機能でフィルタリングする場合において、端末の接続するアクセスポイント(例えばWiFi AP)においてNAT(NAPTを含む)によりアドレス集約が行われる場合に、送信元アドレスおよび送信元ポートをキーとしてフィルタリングを行うことができるようにする技術に関する。
なお、以下の説明では、移動網を運営する移動事業者が提供する移動通信端末(以下、単に「移動端末」)が、NAT装置が接続されている固定網を用いてインターネットにアクセスする場合について記述するが、これに限るものではない。また、通信サービスとしてパケットフィルタリングを例にとって記述しているが、QoS制御やトラフィックのハンドリング等の、アドレス集約が行われる場合に送信元アドレスおよび送信元ポートをキーとして処理を行うものであれば、これに限るものではない。
<従来技術1>
移動端末を用いてその移動網経由でインターネットにアクセスする場合、図1に示すように、当該移動網に設けられたフィルタ機能により、当該移動網内で管理している加入者情報に基づきパケットフィルタリングを行うことができる。この際、パケットの送信元を識別するために、端末IPアドレスが用いられる(非特許文献1参照)。
移動端末を用いてその移動網経由でインターネットにアクセスする場合、図1に示すように、当該移動網に設けられたフィルタ機能により、当該移動網内で管理している加入者情報に基づきパケットフィルタリングを行うことができる。この際、パケットの送信元を識別するために、端末IPアドレスが用いられる(非特許文献1参照)。
<従来技術2>
図2は端末のアクセスポイント(例えば、固定網における宅内等のGW)におけるNAT(Network Address Translation)技術を示したもので、NAT装置は、配下の端末に対してプライベートIPアドレスを払い出す。また、NAT装置配下の端末が外部網(例えばインターネット)と通信を行う場合、NAT装置はIPアドレスの変換・集約を行い、IPパケットのIPヘッダを書き換える(非特許文献2参照)。
図2は端末のアクセスポイント(例えば、固定網における宅内等のGW)におけるNAT(Network Address Translation)技術を示したもので、NAT装置は、配下の端末に対してプライベートIPアドレスを払い出す。また、NAT装置配下の端末が外部網(例えばインターネット)と通信を行う場合、NAT装置はIPアドレスの変換・集約を行い、IPパケットのIPヘッダを書き換える(非特許文献2参照)。
本技術は、例えば非特許文献3に示すように、固定網のアクセスポイント(ブロードバンドルータ)に広く使われている。
<従来技術3>
移動端末を用いて固定網経由でインターネットにアクセスする場合、図3に示すように、当該固定網内に設けられたフィルタ機能により、当該固定網内で管理している加入者情報に基づきパケットフィルタリングを行うことができる。この際、パケットの送信元を識別するために、基地局に割り当てられたIPアドレス(ISPのIDで認証された上で払いだされたIPアドレス)が用いられる(非特許文献4参照)。
移動端末を用いて固定網経由でインターネットにアクセスする場合、図3に示すように、当該固定網内に設けられたフィルタ機能により、当該固定網内で管理している加入者情報に基づきパケットフィルタリングを行うことができる。この際、パケットの送信元を識別するために、基地局に割り当てられたIPアドレス(ISPのIDで認証された上で払いだされたIPアドレス)が用いられる(非特許文献4参照)。
<従来技術4>
図4は端末自体の機能によるフィルタリング技術を示したもので、本技術においては端末内の専用ブラウザにフィルタ機能を具備し、端末内にユーザが設定したポリシに基づきフィルタリングが行う。この技術においては、当該パケットが経由する網の種別によらず、フィルタリングが可能である(非特許文献5参照)。
図4は端末自体の機能によるフィルタリング技術を示したもので、本技術においては端末内の専用ブラウザにフィルタ機能を具備し、端末内にユーザが設定したポリシに基づきフィルタリングが行う。この技術においては、当該パケットが経由する網の種別によらず、フィルタリングが可能である(非特許文献5参照)。
<従来技術1および2に対する課題>
従来技術1においては、移動網内のフィルタ機能が受信するIPパケットの送信元IPアドレスが端末に割り当てられているアドレスと一致するため、パケット送信元アドレスをキーとした端末単位でのフィルタリングが実現されている。
従来技術1においては、移動網内のフィルタ機能が受信するIPパケットの送信元IPアドレスが端末に割り当てられているアドレスと一致するため、パケット送信元アドレスをキーとした端末単位でのフィルタリングが実現されている。
しかしながら、従来技術2に示すように家庭や公衆ホットスポット等で利用されている固定網においては、アクセスポイントにおいてNATが行われ、アドレス集約が行われることが一般的であるため、従来技術1のような送信元IPアドレスをキーとした端末単位でのフィルタリングが行えないという問題があった。
この問題を解決するため、従来技術3、従来技術4のような技術が提案されたが、それぞれ、以下のような問題があった。
<従来技術3に対する課題>
従来技術3においては、回線単位で集約されたIPアドレスをキーとしてフィルタリングを行うが、回線に接続された端末それぞれを区別してフィルタリングポリシを適用することが出来ない。例えば、小学生、高校生、大人、が同一の回線に接続している場合、これらを区別してペアレンタルコントロールフィルタリングを行うことができない。
従来技術3においては、回線単位で集約されたIPアドレスをキーとしてフィルタリングを行うが、回線に接続された端末それぞれを区別してフィルタリングポリシを適用することが出来ない。例えば、小学生、高校生、大人、が同一の回線に接続している場合、これらを区別してペアレンタルコントロールフィルタリングを行うことができない。
<従来技術4に対する課題>
従来技術4においては、端末においてフィルタリングを行う方式があるが、端末の初期化や改造にロバストでないという問題や、フィルタ設定に当たって管理者(例えば親権者など)が端末操作を行う必要があるという問題があった。
従来技術4においては、端末においてフィルタリングを行う方式があるが、端末の初期化や改造にロバストでないという問題や、フィルタ設定に当たって管理者(例えば親権者など)が端末操作を行う必要があるという問題があった。
本発明は、上記に鑑みてなされたものであり、アクセスポイントにおいて行われるNATについて、特定のポートを端末と紐づけ、さらに網内のフィルタ機能がパケットの送信元アドレスと前記特定のポートを組み合わせて端末を識別することで、NAT装置配下の端末に対しても、端末単位のフィルタリングを網内のフィルタ機能により行う方式を提案するものである。
本発明では、前記目的を達成するため、
第1の通信網に管理される端末が、当該第1の通信網とは異なる第2の通信網を介して第1および第2の通信網のいずれとも物理的あるいは論理的に異なる第3の通信網と接続する際に、当該端末に対して予め設定したポリシに従う通信サービスを提供する通信サービス提供システムであって、
前記第1の通信網は、
前記第2の通信網から前記端末に対する認証要求を受信して当該端末を認証し、当該端末のIDを含む認証応答を第2の通信網へ送信する認証手段を有し、
前記第2の通信網は、
前記第1の通信網に対して前記端末に対する認証要求を送信し、当該端末のIDを含む認証応答を受信する認証要求手段と、
端末ごとにプライベートアドレスを割り当てるとともに第3の通信網との通信に使用するポートを当該端末ごとに確保し、前記端末から受信したパケットのプライベートアドレスを第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートに書き換えるアドレス変換手段と、
予め設定された端末のIDごとのポリシを、前記第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートとともに保持するポリシ記憶手段と、
アドレス変換後の前記端末からのパケットに対し、当該パケット中の第3の通信網との通信のためのグローバルアドレスおよびポートに対応して前記ポリシ記憶手段に記憶されたポリシに従い、当該パケットに対する通信サービスを実行するサービス提供手段とを有する
ことを特徴とする。
第1の通信網に管理される端末が、当該第1の通信網とは異なる第2の通信網を介して第1および第2の通信網のいずれとも物理的あるいは論理的に異なる第3の通信網と接続する際に、当該端末に対して予め設定したポリシに従う通信サービスを提供する通信サービス提供システムであって、
前記第1の通信網は、
前記第2の通信網から前記端末に対する認証要求を受信して当該端末を認証し、当該端末のIDを含む認証応答を第2の通信網へ送信する認証手段を有し、
前記第2の通信網は、
前記第1の通信網に対して前記端末に対する認証要求を送信し、当該端末のIDを含む認証応答を受信する認証要求手段と、
端末ごとにプライベートアドレスを割り当てるとともに第3の通信網との通信に使用するポートを当該端末ごとに確保し、前記端末から受信したパケットのプライベートアドレスを第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートに書き換えるアドレス変換手段と、
予め設定された端末のIDごとのポリシを、前記第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートとともに保持するポリシ記憶手段と、
アドレス変換後の前記端末からのパケットに対し、当該パケット中の第3の通信網との通信のためのグローバルアドレスおよびポートに対応して前記ポリシ記憶手段に記憶されたポリシに従い、当該パケットに対する通信サービスを実行するサービス提供手段とを有する
ことを特徴とする。
また、本発明では、前記目的を達成するため、
第1の通信網に管理される端末が、当該第1の通信網とは異なる第2の通信網を介して第1および第2の通信網のいずれとも物理的あるいは論理的に異なる第3の通信網と接続する際に、当該端末に対して予め設定したポリシに従う通信サービスを提供する通信サービス提供方法であって、
前記第2の通信網が、前記端末からの接続要求を受け付ける第1のステップと、
前記第2の通信網が、前記第1の通信網に対して前記端末に対する認証要求を送信する第2のステップと、
前記第2の通信網が、前記第1の通信網から当該端末のIDを含む認証応答を受信する第3のステップと、
前記第2の通信網が、端末ごとにプライベートアドレスを割り当てるとともに第3の通信網との通信に使用するポートを当該端末ごとに確保する第4のステップと、
前記第2の通信網が、前記端末へ接続完了を通知する第5のステップと、
前記第2の通信網が、予め設定された端末のIDごとのポリシを保持するポリシ記憶手段に、第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートを追加する第6のステップと、
前記第2の通信網が、前記端末から受信したパケットのプライベートアドレスを前記第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートに書き換える第7のステップと、
前記第2の通信網が、アドレス変換後の前記端末からのパケットに対し、当該パケット中の第3の通信網との通信のためのグローバルアドレスおよびポートに対応して前記ポリシ記憶手段に記憶されたポリシに従い、当該パケットに対する通信サービスを実行する第8のステップとを含む
ことを特徴とする。
第1の通信網に管理される端末が、当該第1の通信網とは異なる第2の通信網を介して第1および第2の通信網のいずれとも物理的あるいは論理的に異なる第3の通信網と接続する際に、当該端末に対して予め設定したポリシに従う通信サービスを提供する通信サービス提供方法であって、
前記第2の通信網が、前記端末からの接続要求を受け付ける第1のステップと、
前記第2の通信網が、前記第1の通信網に対して前記端末に対する認証要求を送信する第2のステップと、
前記第2の通信網が、前記第1の通信網から当該端末のIDを含む認証応答を受信する第3のステップと、
前記第2の通信網が、端末ごとにプライベートアドレスを割り当てるとともに第3の通信網との通信に使用するポートを当該端末ごとに確保する第4のステップと、
前記第2の通信網が、前記端末へ接続完了を通知する第5のステップと、
前記第2の通信網が、予め設定された端末のIDごとのポリシを保持するポリシ記憶手段に、第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートを追加する第6のステップと、
前記第2の通信網が、前記端末から受信したパケットのプライベートアドレスを前記第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートに書き換える第7のステップと、
前記第2の通信網が、アドレス変換後の前記端末からのパケットに対し、当該パケット中の第3の通信網との通信のためのグローバルアドレスおよびポートに対応して前記ポリシ記憶手段に記憶されたポリシに従い、当該パケットに対する通信サービスを実行する第8のステップとを含む
ことを特徴とする。
本発明によれば、NAT装置配下にある端末を、到着パケットの送信元IPアドレスおよびポート情報の組み合わせで識別することが可能になり、端末にインパクトを与えることなく端末単位のパケットフィルタリングを行えるようになる。
これにより、同一のユーザ・端末(端末に具備されたSIMレベルの識別)の送受信するトラフィックについては、固定・移動どちらの網を通る場合にも同一のポリシによるフィルタリングが可能となった。
従来技術3においては、固定網において回線単位でフィルタリングを行う方式であったが、基地局配下には複数の端末が接続されることが想定され、NAT装置によりアドレス集約が行われる場合に端末ごとに異なるポリシでフィルタリングが行えないという問題があった。本発明では、アドレスとポートの組み合わせで端末を識別してフィルタリングを行うため、端末単位のポリシでフィルタリングを行うことが出来る。
従来技術4においては、端末に設定されているポリシによりフィルタリングを行う方式であったが、この方式においては、ユーザによる端末の改造や初期化によりフィルタ機能が回避されてしまうという問題があった。本発明では、固定網内のフィルタ機能でフィルタリングを行う方式であり、この問題が存在しない。
以下、図面に従って本発明の実施の形態について説明する。
<機能構成>
図5は本発明の通信サービス提供システムの機能構成を示すもので、図中、10は移動網、20は固定網、30は外部ネットワーク(例えばインターネットあるいはインターネットサービスプロバイダ(ISP)網)、40は移動網10に管理される端末である。
図5は本発明の通信サービス提供システムの機能構成を示すもので、図中、10は移動網、20は固定網、30は外部ネットワーク(例えばインターネットあるいはインターネットサービスプロバイダ(ISP)網)、40は移動網10に管理される端末である。
ここで、移動網10は、端末(ユーザ)40の認証・認可・アカウンティングを行い、固定網20から端末40の特定および認証のための情報(IDとパスワード)を受信して当該端末40を認証し、認証OKであれば当該端末40のID、ここでは移動網10における電話番号を含む応答を固定網20へ送信するAAAサーバ(例えばHLR,HSSなど)(認証手段)11を具備する。
また、固定網20は、
端末40の接続する基地局(WiFi AP)21と、
コア網内のルータあるいはゲートウェイとの間で接続(例えばPPPoEトンネルによる接続など)を行うホームゲートウェイ(HGW)22と、
固定網20内でトラフィックを転送するルータ23と、
外部ネットワーク30に接続するゲートウェイ24と、
移動網10のAAAサーバ11との間で送受信する認証のためのメッセージを中継するAAAプロキシ25と、
(サービスオーダ投入あるいはポータルサイトを利用したユーザによる投入などが考えられるが、これらに限られない手段により)予め端末40の電話番号ごとに設定されたフィルタリングポリシを、外部ネットワーク30との通信のためのアドレスであるグローバルIPアドレスおよび前記端末40ごとに割り当てられた送信元ポート(TCP/UDPの外部ポート帯または外部ポート番号のリスト)とともに保持・管理するポリシデータベース(DB)26と、
受信したIPパケット中の送信元IPアドレスおよび送信元ポートに対応するポリシDB26中のフィルタリングポリシに従い、当該IPパケットを通過させまたは破棄するHTTPプロキシ(フィルタリング手段)27と、
受信したIPパケット中の送信元IPアドレスおよび送信元ポートに対応するポリシDB26中のフィルタリングポリシの有無に従い、ポリシがあればHTTPプロキシ27へ転送し、ポリシがなければそのまま外部ネットワーク30へ転送するWebリダイレクタ(リダイレクト手段)28と、
固定網20の基地局21に払い出したグローバルIPアドレス、端末40ごとに割り当てられた送信元ポートおよび端末40ごとの電話番号を管理するセッション管理サーバ29と、
を具備する。なお、Webリダイレクタ28は必ずしも必要ではなく、任意で良い。
端末40の接続する基地局(WiFi AP)21と、
コア網内のルータあるいはゲートウェイとの間で接続(例えばPPPoEトンネルによる接続など)を行うホームゲートウェイ(HGW)22と、
固定網20内でトラフィックを転送するルータ23と、
外部ネットワーク30に接続するゲートウェイ24と、
移動網10のAAAサーバ11との間で送受信する認証のためのメッセージを中継するAAAプロキシ25と、
(サービスオーダ投入あるいはポータルサイトを利用したユーザによる投入などが考えられるが、これらに限られない手段により)予め端末40の電話番号ごとに設定されたフィルタリングポリシを、外部ネットワーク30との通信のためのアドレスであるグローバルIPアドレスおよび前記端末40ごとに割り当てられた送信元ポート(TCP/UDPの外部ポート帯または外部ポート番号のリスト)とともに保持・管理するポリシデータベース(DB)26と、
受信したIPパケット中の送信元IPアドレスおよび送信元ポートに対応するポリシDB26中のフィルタリングポリシに従い、当該IPパケットを通過させまたは破棄するHTTPプロキシ(フィルタリング手段)27と、
受信したIPパケット中の送信元IPアドレスおよび送信元ポートに対応するポリシDB26中のフィルタリングポリシの有無に従い、ポリシがあればHTTPプロキシ27へ転送し、ポリシがなければそのまま外部ネットワーク30へ転送するWebリダイレクタ(リダイレクト手段)28と、
固定網20の基地局21に払い出したグローバルIPアドレス、端末40ごとに割り当てられた送信元ポートおよび端末40ごとの電話番号を管理するセッション管理サーバ29と、
を具備する。なお、Webリダイレクタ28は必ずしも必要ではなく、任意で良い。
また、基地局21(またはHGW22)は、
端末40の特定および認証のための情報を移動網10へ送信し、当該端末40のID(電話番号)を含む応答を受信する認証機能(認証要求手段)211と、
端末40の接続を契機に、あるいはパケットの到着の度に都度NATテーブルを作成し、端末40ごとにプライベートアドレスを割り当てるとともに送信元ポートを端末40ごとに確保し、また、端末40から受信したパケットのプライベートアドレスをグローバルIPアドレスおよび当該端末40に対応する送信元ポートに書き換える(詳細は後述する)NAT機能(アドレス変換手段)212とを具備する。
端末40の特定および認証のための情報を移動網10へ送信し、当該端末40のID(電話番号)を含む応答を受信する認証機能(認証要求手段)211と、
端末40の接続を契機に、あるいはパケットの到着の度に都度NATテーブルを作成し、端末40ごとにプライベートアドレスを割り当てるとともに送信元ポートを端末40ごとに確保し、また、端末40から受信したパケットのプライベートアドレスをグローバルIPアドレスおよび当該端末40に対応する送信元ポートに書き換える(詳細は後述する)NAT機能(アドレス変換手段)212とを具備する。
また、ユーザが操作する端末40は、無線などにより移動網10の基地局(図示せず)に接続する機能と、無線または有線により固定網20の基地局21に接続する機能と、内部に保存した認証情報を用いて移動網10のAAAサーバ11から認証を受けるための機能とを具備する。
<シーケンス>
図6は本発明の通信サービス提供システムにおける動作シーケンスを示すもので、以下、本システムにおける動作を説明する。
図6は本発明の通信サービス提供システムにおける動作シーケンスを示すもので、以下、本システムにおける動作を説明する。
[端末の接続時]
(1)固定網20の基地局21は、端末40からのIDとパスワードを含む接続要求を受信する。
(1)固定網20の基地局21は、端末40からのIDとパスワードを含む接続要求を受信する。
(2)基地局21は、NAT機能212により当該端末40に対するNATテーブルを作成し、仮確保を行う。これにより、例えばグローバルIPアドレスの外部ポート11000番から11999番までが当該端末40用に仮確保される。
(3)基地局21は、認証機能211により上記(1)で取得したIDとパスワードをルータ23を通じてAAAプロキシ25に送信する。AAAプロキシ25は、このIDとパスワードを移動網10のAAAサーバ11に送信する。
(4)AAAサーバ11は、IDとパスワードをキーとして端末40を認証し、AAAプロキシ25に対して認証結果と端末ID(ここでは端末電話番号など)を通知する。AAAプロキシ25は、上記データを基地局21の認証機能211に通知する。
(5)認証OKを受信した基地局21は、NAT機能212により仮確保したNATテーブルを確定する。
(6)また、認証OKを受信した基地局21は、認証機能211により端末40に対して接続完了通知を送信する。
(7)基地局21は、セッション管理サーバ29に対して、(端末電話番号、自らに割り当てられているグローバルIPアドレス、当該端末40用に確保したポート帯)の組を通知する。
(8)セッション管理サーバ29は、上記データをポリシDB26、HTTPプロキシ27およびWebリダイレクタ28に通知する。ポリシDB26では、受信したデータ中の端末電話番号に対応して、グローバルIPアドレスおよびポート帯を追加する。
[端末の通信時]
(9)端末40は、外部ネットワーク30を宛先として、固定網20の基地局21(またはHGW22)にパケットを送出する。基地局21はルータ23にパケットを転送する。ルータ23はHTTPプロキシ27にパケットを転送する。なお、HTTPプロキシ27にパケットを転送する手前でWebリダイレクタ28を経由し、HTTPプロキシ27に転送するパケットを選別しても良く、このとき選別されなかったパケットは、次に述べるフィルタポリシの適用を受けることなく外部ネットワーク30に転送されても良い。HTTPプロキシ27は、パケットの送信元IPアドレスおよびポート帯とをキーとしてポリシDB26を参照し、パケットのHTTPヘッダ中のURIがフィルタポリシ(例えば、端末電話番号や、移動網10から通知を受けたポリシが考えられるが、これに限らない)に合致しているかを確認し、OKであれば外部ネットワーク30にパケットを通過させ、OKでなければパケットを廃棄する。
(9)端末40は、外部ネットワーク30を宛先として、固定網20の基地局21(またはHGW22)にパケットを送出する。基地局21はルータ23にパケットを転送する。ルータ23はHTTPプロキシ27にパケットを転送する。なお、HTTPプロキシ27にパケットを転送する手前でWebリダイレクタ28を経由し、HTTPプロキシ27に転送するパケットを選別しても良く、このとき選別されなかったパケットは、次に述べるフィルタポリシの適用を受けることなく外部ネットワーク30に転送されても良い。HTTPプロキシ27は、パケットの送信元IPアドレスおよびポート帯とをキーとしてポリシDB26を参照し、パケットのHTTPヘッダ中のURIがフィルタポリシ(例えば、端末電話番号や、移動網10から通知を受けたポリシが考えられるが、これに限らない)に合致しているかを確認し、OKであれば外部ネットワーク30にパケットを通過させ、OKでなければパケットを廃棄する。
<その他>
なお、前記実施の形態では、端末の認証にID,パスワードにより行われる平文認証を用いるとしているが、これに限らない。例えば、チャレンジレスポンス認証や、EAP認証(例えば端末内に具備されたハードウェアを用いるEAP−SIMなど)が考えられる。
なお、前記実施の形態では、端末の認証にID,パスワードにより行われる平文認証を用いるとしているが、これに限らない。例えば、チャレンジレスポンス認証や、EAP認証(例えば端末内に具備されたハードウェアを用いるEAP−SIMなど)が考えられる。
また、前記実施の形態では、端末に対するIPアドレス払い出し(NATテーブル確保)は認証完了後と説明しているが、これに限らない。例えば、端末にIPアドレスを払い出してから認証を行う方法なども考えられる。
また、前記実施の形態では、端末に対するIPアドレス払い出し(NATテーブル確保)は、上記の端末接続時の他、基地局とコア網あるいは外部ネットワークとの接続(例えばPPPoEトンネルなど)が切断されるなどによりグローバルIPアドレスが変わった場合に再度実行しても良い。
また、前記実施の形態では、(2)において送信元ポートとしてポート帯(連続したポート番号)を確保し、この情報を(7)でセッション管理サーバ29に対して送出するとしているが、連続してないポート番号のリストであっても良い。
また、前記実施の形態では、端末接続時にNATテーブルを一括して作成し、セッション管理サーバ29にアドレス・ポート帯の情報を送出するとしているが、例えば端末の通信時(TCPコネクションの確立により新しいポート利用がなされた際)に個別にNATテーブルを作成し、セッション管理サーバ29にアドレス・ポート帯の情報を送出しても良い。
さらにまた、前記実施の形態では、端末40が外部ネットワーク30にパケットを送出するシーケンスについて説明しているが、外部ネットワーク30から端末40に対してパケットを送出するシーケンスも同様である。
10:移動網、11:AAAサーバ、20:固定網、21:基地局(WiFi AP)、22:ホームゲートウェイ(HGW)、23:ルータ、24:ゲートウェイ、25:AAAプロキシ、26:ポリシデータベース(DB)、27:HTTPプロキシ、28:Webリダイレクタ、29:セッション管理サーバ、211:認証機能、212:NAT機能、30:外部ネットワーク、40:端末。
NTT DOCOMO テクニカル・ジャーナル、Vol.18、No.3、2010、pp.38-44
IETF RFC 1631
"ブロードバンド・ルータ徹底攻略ガイド 3. IPアドレス/ポート変換機能 −−IPマスカレード/NAT−− "、[online]、アイティメディア株式会社、[2012年11月27日検索]、インターネット<URL:http://www.atmarkit.co.jp/fpc/special/bbrouter#desc/ipmasq#nat.html>
"ネットバリアベーシック"、[online]、株式会社NTTぷらら、[2012年11月26日検索]、インターネット<URL:http://www.plala.or.jp/option/nbb/>
"Yahoo! あんしんネット"、[online]、ヤフー株式会社、[2012年6月13日検索]、インターネット<URL:http://anshin.yahoo.co.jp/promo/app/>
Claims (12)
- 第1の通信網に管理される端末が、当該第1の通信網とは異なる第2の通信網を介して第1および第2の通信網のいずれとも物理的あるいは論理的に異なる第3の通信網と接続する際に、当該端末に対して予め設定したポリシに従う通信サービスを提供する通信サービス提供システムであって、
前記第1の通信網は、
前記第2の通信網から前記端末に対する認証要求を受信して当該端末を認証し、当該端末のIDを含む認証応答を第2の通信網へ送信する認証手段を有し、
前記第2の通信網は、
前記第1の通信網に対して前記端末に対する認証要求を送信し、当該端末のIDを含む認証応答を受信する認証要求手段と、
端末ごとにプライベートアドレスを割り当てるとともに第3の通信網との通信に使用するポートを当該端末ごとに確保し、前記端末から受信したパケットのプライベートアドレスを第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートに書き換えるアドレス変換手段と、
予め設定された端末のIDごとのポリシを、前記第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートとともに保持するポリシ記憶手段と、
アドレス変換後の前記端末からのパケットに対し、当該パケット中の第3の通信網との通信のためのグローバルアドレスおよびポートに対応して前記ポリシ記憶手段に記憶されたポリシに従い、当該パケットに対する通信サービスを実行するサービス提供手段とを有する
ことを特徴とする通信サービス提供システム。 - 前記ポリシが前記端末からのパケットのうち特定のパケットのみを第3の通信網に通過させるフィルタリングポリシである場合において、
前記サービス提供手段が、
アドレス変換後の前記端末からのパケットに対し、当該パケット中の第3の通信網との通信のためのグローバルアドレスおよびポートに対応して前記ポリシ記憶手段に記憶されたフィルタリングポリシに従い、当該パケットを通過させまたは破棄するフィルタリング手段である
ことを特徴とする請求項1に記載の通信サービス提供システム。 - 前記に加え、
アドレス変換後の前記端末からのパケットに対し、当該パケット中の第3の通信網との通信のためのグローバルアドレスおよびポートに対応して前記ポリシ記憶手段に記憶されたフィルタリングポリシの有無に従い、ポリシがあればフィルタリング手段へ転送し、ポリシがなければそのまま第3の通信網へ転送するリダイレクト手段を有する
ことを特徴とする請求項2に記載の通信サービス提供システム。 - 前記アドレス変換手段は、端末の接続を契機に、端末ごとにプライベートアドレスを割り当てるとともに第3の通信網との通信に使用するポートを当該端末ごとに確保し、前記端末から受信したパケットのプライベートアドレスを第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートに書き換える
ことを特徴とする請求項1乃至3のいずれかに記載の通信サービス提供システム。 - 前記アドレス変換手段は、端末の接続を契機に端末ごとにプライベートアドレスを割り当て、端末が通信相手とTCPあるいはUDPの通信を開始する際に第3の通信網との通信に使用するポートを当該端末ごとに確保し、前記端末から受信したパケットのプライベートアドレスを第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートに書き換える
ことを特徴とする請求項1乃至3のいずれかに記載の通信サービス提供システム。 - 前記アドレス変換手段は、第2の通信網の網内あるいは第3の通信網の装置との接続切断等を契機に第3の通信網との通信のためのグローバルアドレスが変更された際、ポリシ記憶手段を当該変更後のグローバルアドレスおよび当該端末に対応するポートで更新するとともに、前記端末から受信したパケットのプライベートアドレスを前記変更後のグローバルアドレスおよび当該端末に対応するポートに書き換える
ことを特徴とする請求項1乃至3のいずれかに記載の通信サービス提供システム。 - 第1の通信網に管理される端末が、当該第1の通信網とは異なる第2の通信網を介して第1および第2の通信網のいずれとも物理的あるいは論理的に異なる第3の通信網と接続する際に、当該端末に対して予め設定したポリシに従う通信サービスを提供する通信サービス提供方法であって、
前記第2の通信網が、前記端末からの接続要求を受け付ける第1のステップと、
前記第2の通信網が、前記第1の通信網に対して前記端末に対する認証要求を送信する第2のステップと、
前記第2の通信網が、前記第1の通信網から当該端末のIDを含む認証応答を受信する第3のステップと、
前記第2の通信網が、端末ごとにプライベートアドレスを割り当てるとともに第3の通信網との通信に使用するポートを当該端末ごとに確保する第4のステップと、
前記第2の通信網が、前記端末へ接続完了を通知する第5のステップと、
前記第2の通信網が、予め設定された端末のIDごとのポリシを保持するポリシ記憶手段に、第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートを追加する第6のステップと、
前記第2の通信網が、前記端末から受信したパケットのプライベートアドレスを前記第3の通信網との通信のためのグローバルアドレスおよび当該端末に対応するポートに書き換える第7のステップと、
前記第2の通信網が、アドレス変換後の前記端末からのパケットに対し、当該パケット中の第3の通信網との通信のためのグローバルアドレスおよびポートに対応して前記ポリシ記憶手段に記憶されたポリシに従い、当該パケットに対する通信サービスを実行する第8のステップとを含む
ことを特徴とする通信サービス提供方法。 - 前記ポリシが前記端末からのパケットのうち特定のパケットのみを第3の通信網に通過させるフィルタリングポリシである場合において、
前記第8のステップが、
アドレス変換後の前記端末からのパケットに対し、当該パケット中の第3の通信網との通信のためのグローバルアドレスおよびポートに対応して前記ポリシ記憶手段に記憶されたフィルタリングポリシに従い、当該パケットを通過させまたは破棄するステップである
ことを特徴とする請求項7に記載の通信サービス提供方法。 - 前記第8のステップの前に、
アドレス変換後の前記端末からのパケットに対し、当該パケット中の第3の通信網との通信のためのグローバルアドレスおよびポートに対応して前記ポリシ記憶手段に記憶されたフィルタリングポリシの有無に従い、ポリシがあれば第8のステップへ進み、ポリシがなければそのまま第3の通信網へ転送するステップを含む
ことを特徴とする請求項8に記載の通信サービス提供方法。 - 前記第4のステップは、
端末の接続を契機に、端末ごとにプライベートアドレスを割り当てるとともに第3の通信網との通信に使用するポートを当該端末ごとに確保するステップからなる
ことを特徴とする請求項7乃至9のいずれかに記載の通信サービス提供方法。 - 前記第4のステップは、
端末の接続を契機に端末ごとにプライベートアドレスを割り当てるステップと、
端末が通信相手とTCPあるいはUDPの通信を開始する際に第3の通信網との通信に使用するポートを当該端末ごとに確保するステップとからなる
ことを特徴とする請求項7乃至9のいずれかに記載の通信サービス提供方法。 - 前記第4のステップは、
第2の通信網の網内あるいは第3の通信網の装置との接続切断等を契機に第3の通信網との通信のためのグローバルアドレスが変更された際、ポリシ記憶手段を当該変更後のグローバルアドレスおよび当該端末に対応するポートで更新するステップからなる
ことを特徴とする請求項7乃至9のいずれかに記載の通信サービス提供方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013026707A JP5864453B2 (ja) | 2013-02-14 | 2013-02-14 | 通信サービス提供システムおよびその方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013026707A JP5864453B2 (ja) | 2013-02-14 | 2013-02-14 | 通信サービス提供システムおよびその方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014158077A JP2014158077A (ja) | 2014-08-28 |
| JP5864453B2 true JP5864453B2 (ja) | 2016-02-17 |
Family
ID=51578717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013026707A Expired - Fee Related JP5864453B2 (ja) | 2013-02-14 | 2013-02-14 | 通信サービス提供システムおよびその方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5864453B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2023162146A1 (ja) * | 2022-02-25 | 2023-08-31 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002123491A (ja) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証代行方法、認証代行装置、及び認証代行システム |
| EP2641163B1 (en) * | 2010-11-17 | 2019-09-04 | ARRIS Enterprises LLC | Cross access login controller |
-
2013
- 2013-02-14 JP JP2013026707A patent/JP5864453B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014158077A (ja) | 2014-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9015855B2 (en) | Secure tunneling platform system and method | |
| JP4865805B2 (ja) | 異なる認証証明書をサポートするための方法および機器 | |
| JP4852502B2 (ja) | アクセスサーバ及び接続制限方法 | |
| US20060171365A1 (en) | Method and apparatus for L2TP dialout and tunnel switching | |
| WO2014117525A1 (zh) | 静态用户终端认证处理方法及装置 | |
| US10277586B1 (en) | Mobile authentication with URL-redirect | |
| JP2004153392A (ja) | 通信システム | |
| CN110611893B (zh) | 为漫游无线用户设备扩展订户服务 | |
| US8990916B2 (en) | System and method for supporting web authentication | |
| CN103685201A (zh) | 一种wlan用户固网接入的方法和系统 | |
| US8819790B2 (en) | Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment | |
| CN101447976B (zh) | 动态ip会话接入的方法、系统及装置 | |
| JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
| JP5864453B2 (ja) | 通信サービス提供システムおよびその方法 | |
| EP3264710B1 (en) | Securely transferring the authorization of connected objects | |
| JP5982706B2 (ja) | セキュアトンネリング・プラットフォームシステムならびに方法 | |
| JP5947763B2 (ja) | 通信システム、通信方法、および、通信プログラム | |
| US20200287868A1 (en) | Systems and methods for in-band remote management | |
| KR101712922B1 (ko) | 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 | |
| JP6762735B2 (ja) | 端末間通信システム及び端末間通信方法及びコンピュータプログラム | |
| Namal et al. | Securing the backhaul for mobile and multi-homed femtocells | |
| López et al. | Implementing RADIUS and diameter AAA systems in IPv6-based scenarios | |
| US10708188B2 (en) | Application service virtual circuit | |
| CN108134729A (zh) | 一种通过Wi-Fi网桥实现固定网络资源桥接的方法 | |
| US11246028B2 (en) | Multiple authenticated identities for a single wireless association |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150210 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151215 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151224 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151224 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5864453 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |