JP5948442B2 - ネットワーク構造内のアプリケーション機能によって提供されるサービスへのユーザ側デバイスのアクセスを提供するための方法、及びネットワーク構造 - Google Patents

ネットワーク構造内のアプリケーション機能によって提供されるサービスへのユーザ側デバイスのアクセスを提供するための方法、及びネットワーク構造 Download PDF

Info

Publication number
JP5948442B2
JP5948442B2 JP2014556929A JP2014556929A JP5948442B2 JP 5948442 B2 JP5948442 B2 JP 5948442B2 JP 2014556929 A JP2014556929 A JP 2014556929A JP 2014556929 A JP2014556929 A JP 2014556929A JP 5948442 B2 JP5948442 B2 JP 5948442B2
Authority
JP
Japan
Prior art keywords
sdb
authenticated
nat
napt
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014556929A
Other languages
English (en)
Other versions
JP2015513822A (ja
Inventor
ハンス−イェルク・コルベ
ミーシャ・シュミット
マーティン・スティーマーリンク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Europe Ltd
Original Assignee
NEC Europe Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Europe Ltd filed Critical NEC Europe Ltd
Publication of JP2015513822A publication Critical patent/JP2015513822A/ja
Application granted granted Critical
Publication of JP5948442B2 publication Critical patent/JP5948442B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2571NAT traversal for identification, e.g. for authentication or billing 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2575NAT traversal using address mapping retrieval, e.g. simple traversal of user datagram protocol through session traversal utilities for NAT [STUN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2582NAT traversal through control of the NAT server, e.g. using universal plug and play [UPnP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク構造内のアプリケーション機能(AF)によって提供されるサービスへのユーザ側デバイス(UE)のアクセスを提供するための方法に関し、UEは、UEが繋げられ、広帯域アクセスネットワーク(BBアクセスネットワーク)を介して、AFへのアクセスを提供する、ゲートウェイ(GW)によって認証される。
更に、本発明は、ネットワーク構造に関し、前述のネットワーク構造内のAFによって提供されるサービスへのUEのアクセスが提供され、UEは、UEが繋げられ、BBアクセスネットワークを介して、AFへのアクセスを提供する、GWによって認証される。
以下の説明において、用語「UE」は、「ユーザ側デバイス」に使用される。しかしながら、この使用される用語「UE」と共に、全ての種類の「ユーザ装置」も本発明に含まれるものとする。
上記の方法及びネットワーク構造は、現時点の実践から既知である。非限定的な実施例として、本発明は、時に「ホームゲートウェイ」(HGW)とも称される、レジデンシャルゲートウェイ(RG)の形態で配置されるGWを用いて、以下に説明される。
携帯電話ネットワークが、携帯電話ユーザ側デバイス(UE)を直接ネットワークに繋げることによって、それらを識別する一方で、これは、固定電話広帯域アクセスにおいて、これ以上提供されない。2000年代初頭、単一PC(パーソナルコンピュータ)等のエンドデバイスは、PPPoE/oA(イーサネット上又はATM上のポイント・ツー・ポイント・プロトコル)クライアントを実行し、ネットワーク及びインターネットに直接繋げられ、グローバルにルーティング可能なIP(インターネット・プロトコル)アドレスを得ていた。複数のデバイスが、同一のアクセス回線を使用してインターネットにアクセスすることを可能にするための、RGの導入により、RGは、PPP終端点としての役割を引き継ぎ、新しく構築されたホームネットワークの内側の全てのデバイスに対する、デフォルトゲートウェイとしての役割を果たした。ホームネットワークは、IPv4展開において、ローカルな重要性のみを有するプライベートIPアドレス[RFC 1918]を使用し、インターネット(又は更なるプライベートネットワーク)に向かって、ネットワーク・アドレス・ポート・トランスレーション(NAPT)を実施し、1つのグローバルに到達可能なIPアドレスの背後に、全てのデバイスを効率的に隠す。固定回線アクセスは、セッションが現在、デバイス毎ではなくアクセス回線毎であるため、スケーラビリティの観点から、この即時の手段から大きな恩恵を受ける。複数のスマートフォンを単一のRGに繋げることは、ネットワークアクセスセッションに関して、広帯域ネットワークスケーラビリティに何の影響も及ぼさない。これは、3GPPの「UE毎」アプローチとは完全に対照的である。IPv6 NAT(ネットワーク・アドレス・トランスレーション)の有無にかかわらず、RGの背後のUEがIPv4アドレスの代わりにIPv6アドレスを使用するときにも、問題は存在する。IPv6 NATでは、問題はIPv4と同一である。IPv6 NATがない場合、アドレス変換の問題はないが、それでもなお、UEによって自動的に作成されるIPv6アドレスを使用する問題は生じる。1つのIPv6プレフィックスのみ又は複数のプレフィックスがRGに割り当てられるため、デバイスは、RGによっても、アクセスネットワークプロバイダによっても割り当てられていないIPv6アドレスを使用し、任意の外部エンティティは、どのIPv6アドレスが何のUEに割り当てられているのか容易に知ることはない。
主な欠点は、ネットワークが、どのUEがどのTCP/IPフローを生じさせているのかに関するいかなる知識も有していないことである。特に、TCP又はUDP(ユーザ・データグラム・プロトコル)ポートを割り当てるNAPT機構がランダムであり得るためである。
基準及びR&Dにおいて、固定と携帯の融合(FMC)の範囲内で、新しい使用事例が現れた。3GPP UEがローカルホームネットワークに繋げられ、このホームネットワークは、固定広帯域アクセスに繋げられる。IEEE 802.1x認証を使用することによって、RGは、UEを認証し、UE及び加入者プロフィール上の状態を保持することができる。加入者プロフィールは、図1に示される3GPPホームサービスプロバイダから、RG(図1のレジデンシャルゲートウェイに対して示されるRG)によって得られ得る。
図1において、UEは、サービスに対して、BBアクセスネットワークを介してAF(一般的に言えば、「AFネットワーク」と示される別のネットワークでホストされるAF)に接続する。
最先端技術において、UEが携帯電話ネットワークとやりとりする全てのフローは、トンネリングされ(図2の点線)、したがって、UE毎に少なくとも1つのトンネルがあり、AFがこのトンネルを使用してUE及び加入者を識別するために、3GPPネットワークにクエリを行うことができるため、UEと容易に相関し得る。
興味深い問題は、BBアクセス及びそれに接続されたアプリケーションに向かった、経由ホームネットワークにオフロードされたUEのトラフィックの状況があるときに現れる。それらのフローは、使用されるアプリケーションに向かって、RGのNATを通過する。ランダムなNATルールのため、考えられるUEとの相関はない。2つのUEからのフロー(図2の実線)は、どのUEがそれらを生じさせたのかに関して、AF側で区別できない。効果的に、ホームネットワーク構造トポロジーは、RGにおけるNAT機能性によって隠されている。
これを回避するための1つのアプローチは、各UEに対してL4ポート範囲を予約し、アプリケーション及び/又は3GPPホームネットワークにこれを信号伝達することである。しかし、これは、特に、範囲が超過し、次いで、どのようにフローが管理され得るかという場合、かかるポート範囲の管理で深刻な欠陥を有する。
同等の問題記述は、「Analysis of Solution Candidates to Reveal a Host Identifier in Shared Address Deployments draft−boucadair−intarea−nat−reveal−analysis−04」(http://datatracker.ietf.org/doc/draft−boucadair−intarea−nat−reveal−analysis/)から得られる。NATの機能性の記載は、「Anatomy:A Look Inside Network Address Translators」
(http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7−3/anatomy.html)から得られる。
本発明の一目的は、ネットワーク構造内のAFによって提供されるサービスへのUEのアクセスを提供するための方法、及びAF側からのGWの背後のUEの単純かつ確実な区別を可能にするための従ったネットワーク構造を改善し、更に展開することである。
請求項1によると、方法は、GWが、認証されたUEへの、又は認証されたUEからAFへのサービスフロー要求に関して、状態データベース(SDB)に通知すること、GWが更に、認証されたUE及びそれぞれのサービスフロー要求に関する、GWによって作成されるそれぞれのNAT又はNAPTバインディングのNAT又はNAPTバインディング情報を、SDBに送信すること、並びにAFが、GWからサービスフロー要求を受信した後に、認証されたUEをサービスフロー要求と相関させることができるように、SDBが、NAT若しくはNAPTバインディング情報又はUE識別子をAFに送信することを特徴とする。実際のバインディングの代わりに、直接的なUE情報、例えばIDも、SDBからAFに送信され得る。
請求項37によると、ネットワーク構造は、GWが、認証されたUEへの、又は認証されたUEからAFへの任意のサービスフロー要求に関して、状態データベース(SDB)に通知するための手段を含むこと、GWが更に、認証されたUE及びそれぞれのサービスフロー要求に関する、GWによって作成されるそれぞれのNAT又はNAPTバインディングのNAT又はNAPTバインディング情報を、SDBに送信するための手段を含むこと、並びにAFが、GWからサービスフロー要求を受信した後に、認証されたUEをサービスフロー要求と相関させることができるように、SDBが、NAT若しくはNAPTバインディング情報又はUE識別子をAFに送信するための手段を含むことを特徴とする。
本発明によると、上記の目的が、認証されたUEへの、又は認証されたUEからAFへの任意のサービスフロー要求に関してGWにより通知される、SDBを単純に実装することによって、非常に容易な方法で達成され得ることが認識されている。具体的には、GWは更に、認証されたUE及びそれぞれのサービスフロー要求に関するNAT又はNAPTバインディング情報を、SDBに送信し、SDBは、NAT若しくはNAPTバインディング情報又はUE識別子を、更にAFに送信する。GWからサービスフロー要求を受信した後、AFはここで、前述のNAT若しくはNAPTバインディング情報又はUE識別子に基づき、認証されたUEをサービスフロー要求と相関させることができる。この手順によって、GWの背後のUEの単純かつ確実な区別が、AF側から実施され得る。
前述の実施された相関に基づき(成功した場合)、AFは、異なる好ましい手順を実行し得る。好ましい実施形態内で、AFは、要求されたサービス又はセッションがセットアップされることを可能にし得る。あるいは又は加えて、AFは、例えば、実施されたトラフィックに関する会計手順を開始し得るか、若しくはすでに指定されたポリシーを適用し得るか、又は特定のポリシーが、UEによって要求されたサービス利用若しくはサービスフローに適用されることを可能にし得る。
更なる好ましい実施形態内で、AFは、少なくとも1つの定義可能なパラメータに応じて、認証されたUEにトラフィックを提供し得る。有利に、パラメータは、トラフィックの優先度及び/又は品質及び/又は内容を含み得る。加入者がプレミアム加入者としての資格がある場合、トラフィックは、それぞれのUEに対して高優先度で提供され得る。あるいは又は加えて、加入者がプレミアム加入者である場合、同一の内容がより高い品質で提供され得るか、又はプレミアム加入者が更なるプレミアムな内容若しくはサービスを受けられ得る。
更なる好ましい実施形態内で、相関に基づき、SDBが、NAT又はNAPTバインディング情報に加えてAFにログイン/認証データを送信する場合、AFは、認証されたUEの加入者からのログインを必要とすることなく、認証されたUEにサービス及び/又は内容を提供し得る。この場合、サービスへの非常に単純なアクセスが実施され得、アクセスのためのデバイスを識別するのに十分である。
単純な認証に関して、GWは、ユーザデータベース及びプロフィールを含有するエンティティ(UDB)と情報を交換することによって、UEを認証し得る。単純化のために、全てのこれらの機能は、前述のエンティティ内で実現され得る。
好ましい実施形態内で、GWは、上記のエンティティからの認証応答と共に、サービスフロー要求又はサービスフロー要求の指定サブセットをSDBに通知するように、それに命令する、ポリシーを受信し得る。かかるポリシーは、それぞれの宛先、例えば、IPサブネットワークへの後続のフローに対して、更なるポートを予約するための命令を含み得る。
別の好ましい実施形態内で、SDBは、将来のNAT又はNAPTマッピングのために、ある特定のUEに対して複数のポートを予約するように、GWに要求し得る。
非常に効果的なGWの背後のUEの区別に関して、NAT又はNAPTバインディング情報は、SDB所有者によって同意される、UE識別子(ID)を含み得る。
更なる好ましい実施形態内で、GWは、SDBが同時にNAT又はNAPTバインディング情報をAFに送信する間に、サービスフロー要求をAFに転送し得る。あるいは、不一致を回避するために、AFが、それがSDBからNATバインディング情報を受信したことを、GWに通知した後に、GWは、AFにサービスフロー要求を送信し得る。このようにして、高度な同時性が達せられ得る。
更なる好ましい実施形態内で、GWは、UEからAFへのデータフローに、更なる情報を追加し得る。好ましくは、データフローは、TCP/IP(伝送制御プロトコル/インターネット・プロトコル)フローであり得る。UEの非常に確実な区別に関して、更なる情報は、認証トークン又はUE IDであり得る。有利に、更なる情報は、サービス提供に必要とされる情報を見つけるために、AFによってSDBにクエリを行うために使用され得る。したがって、非常に確実なサービス提供が実施され得る。
高度な保守に関して、SDBは、UEが依然としてGWに接続されているかどうか、間隔をあけてGWにクエリを行い得る。これは、GWへの適切なメッセージによって実施され得る。
更に、SDBは、GWにおいてアクティブな他のUE関連NAT又はNAPTバインディングについて、GWにクエリを行い得る。
GWにおいてUEを認証するために使用される認証機構がそれをサポートする場合、SDBは、GWに適切なメッセージを送信することによって、UE再認証を要求し得る。このようにして、認証状態が更新され得る。
更なる好ましい実施形態内で、SDBは、加入が取り消された場合、NAT又はNAPTバインディングを終了するように、GWに命令し得る。結果的に、SDBは、取り消された加入をAFに通知し得る。
別の好ましい実施形態内で、GWは、変更されたNAT又はNAPTバインディングをSDBに通知し得る。結果的に、SDBは、変更されたNAT又はNAPTバインディングに関して、AFを通知し得る。
更なる好ましい実施形態内で、GWは、UEがGWから切断している場合、SDBに通知し得る。結果的に、SDBは、切断されたUEに関して、AFに通知し得る。
ネットワーク構造内の高度なセキュリティに関して、AFは、企業レベルの合意に従って、その登録中に認証され得る。かかる企業レベルの合意は、ネットワーク構造内のエンティティを動作する当事者間で実施され得る。
個々のネットワーク構造に応じて、GWとSDBとの間の通信は、直接的又は間接的に実施され得る。
更なる好ましい実施形態内で、認証されたUEは、同一のGWに繋げられているが、認証手順を実施していない別のUEに、そのアクセス権を譲渡し得る。換言すれば、認証されたデバイスは、例えば、同一のローカルホームネットワーク中の異なるデバイスを、その認証グループの一部にさせ得る。
具体的に、認証されたUEは、識別に関して両方のUEをバンドルするために、GWに認証チャンネルを介して、メッセージを送信し得る。好ましくは、前述のメッセージの送信は、例えば、ブルートゥースとのローカル交換を使用して、他のUEとのペアリング手順を実施した後に、実施され得る。
更なる好ましい実施形態内で、2つ以上のNAT又はNAPTが、カスケード配列で実現され得る。好ましくは、かかる場合において、少なくとも第2のNAT又はNAPTが、BBアクセスネットワークに位置し得る。
更なる好ましい実施形態内で、方法は、UEが動的に変化しているホスト部を有するIPv6アドレスを使用するとき、NAT又はNAPTの有無にかかわらず、セットアップで同一のフレームワークを使用し得る。
更なる好ましい実施形態内で、SDBとGWとの間の信号伝達は、Radius又はDiameter等のPPPoE又は3GPP GAA/GBA又はAAAプロトコル等、ネットワークアタッチメントチャンネル/プロトコルを介して行われ得る。
ネットワーク構造の更なる好ましい実施形態は、両方のUEのローカルペアリングに基づき、認証されたUEのトラフィックに属するものとして、BBアクセスネットワークに報告されている二次的な認証されていないUEのトラフィックを可能にするための手段を含み得る。
本発明は、予め割り当てられたNAT又はNAPTポート範囲を使用するか、又はトランスポートプロトコルを「ハッキング」することなく、UE識別子を含むための手段を提供する。FMC使用事例への適用可能性を超えて、本発明は、サービスにアクセスするためのデバイスを識別するのに十分である、シングルサインオン使用事例への大きな成果をもたらす、デバイス識別を提供する。一実施例として、現在、ネットワークにおいて認証されていないPCを使用するとき、アクセスされる各サービス(フェイスブック、グーグル等)に対して、ユーザは、ユーザ名及びパスワードを入力する必要がある。我々のアプローチは、アクセスされるサービス(例えば、本実施例ではフェイスブック)が、ユーザのRG又はGWがすでに認証されたユーザDBにクエリを行うことによって、サービス要求を認証することができることを可能にする。
本発明は、例えば、SAML(セキュリティ・アサーション・マークアップ・ランゲージ)技術を使用した、最先端のシングルサインオン技術と互換性があり、ユーザは、認証プロバイダに向かってアクティブに認証し、それは次いで、要求されたサービスにユーザ認証情報を送る。
a)図2に示されるユーザDBは、要求されたサービスに認証のSAMLトークンを提供し得る。
b)図2に示されるユーザDBは、認証情報を認証プロバイダに提供し得、それは次いで、要求されたサービスに認証のSAMLトークンを送る。
本発明の重要な態様は、以下の通りである。
1)プロトコルフィールドとデバイスアイデンティティとの間のマッピングを認識しているエンティティから、データを転送することによって達成される、ネットワーク中のある点においてネットワークに繋げられるデバイスと、パケットデータフローを関連付けるための方法。
2)設定されたフィルタリングルールに従って、AFに通知するブローカーエンティティに転送される、NAPT−デバイスのNATテーブルの細分割を使用することによって、NAT又はNAPTを使用する、実装。
3)NAT又はNAPTと同一の転送機構を使用して、変化するホスト識別子を有するIPv6を使用する、実装。
4)管理システムが、パケットデータフロー又はデバイスアイデンティティが特定の基準に一致するときのみ、パケットデータフロー相関情報を転送するように、関与しているノードに命令する、実装。
5)デバイスアイデンティティ及びパケットデータフローを、デバイスを繋げる段階以降に実施された認証と相関させるための方法。
6)両方のデバイスのローカルペアリングに基づき、認証されたデバイスのトラフィックに属するものとして、ネットワークに報告されている二次的な認証されていないデバイスのトラフィックを可能にするための手段。
7)SDBとRG又はGWとの間の信号伝達が、PPPoE又は3GPP GAA/GBA等のネットワークアタッチメントチャンネル/プロトコルを介して行われる、手段/実装。
8)SDBが、将来のNAT又はNAPTマッピングのために、ある特定のデバイスに対して複数のポートを予約するように要求し、信号伝達の必要性の低減をもたらす可能性がある、実装。
9)例えば、TCPオプションを追加することによって、例えば、RGにおいて、ネットワーク中のデバイスに関する更なる情報を追加すること。
本発明は、NAT又はNAPTを通してアクセス可能なアプリケーションに対するデバイス識別、及びデバイスに対するシームレスな機能性を可能にする。更に、本発明は、ユーザがサービスにおけるユーザ名/パスワードスキーム等の認証機構に関与することなく、ウェブサービスに対する認証及び/又は請求を可能にする。例えば、単純なインターネット−TVに対して、UEからの許可の委任もまた可能である。プロトコルハックは必要ではない。更に、本発明はまた、任意のNAT若しくはNAPT又はキャリアグレードNAT(CGN)等の変化形なしで、展開に適用できる。本発明に基づき、UE上でのプロトコル変更は必要ない。
有利な方法で本発明の教示を設計及び更に展開する方法はいくつかある。この目的のために、一方では特許請求項1に従属する特許請求項、及び他方では、図面によって例示される本発明の実施形態の好ましい実施例の以下の説明が参照されるものとする。図面を用いた本発明の好ましい実施形態の説明と関連して、概して好ましい実施形態及び教示の更なる展開が説明される。
図面中、
UEがRGによって認証されている既知のネットワーク構造を、概略的に示している。 トンネル機構を介したUEと携帯電話ネットワークとの間のフローの交換を示す、ネットワーク構造を、概略的に示している。 SDBを含む、本発明の一実施形態に従ったネットワーク構造を、概略的に示している。 本発明に従って進行するセッション構築を、概略的に示している。 2つのNAPTがカスケードされるネットワーク構造を、概略的に示している。
以下に、本発明の好ましい実施形態が説明され、UEを認証するGWは、RGとして実現される。
第1の実施形態内で、RGは、ユーザデータベース及びプロフィールを含有するエンティティと情報を交換することによって、UEを認証する。簡略化のため、本発明の概念を制限することなく、我々は、これらの全ての機能をエンティティUDBに入れた。この手順は、例えば、規格(ブロードバンドフォーラム)で現在考察される、何らかの強化された802.1x手順によって、実装され得る。
実施形態の重要な特徴は以下の通りである。
a)セットアップ
認証応答を受けて、RGは、UEへの、又はUEから、例えば、添付のアクセス制御リストによって分類されるサブネット中にあるAFへの、任意のIPフロー要求に関して、新規のエンティティSDB(状態データベース)に通知するように、それに命令するポリシーを更に受信する。かかるポリシーは以下を含有し得る。
Figure 0005948442
第1の入力が、新しいフローがホスト145.253.2.1でセットアップされる場合、すぐにSDBに通知するようにRGに命令する一方で、第2の回線は、フローが、指定の宛先(この場合、IPサブネットワーク)への後続フローに使用されるために、残りの9個のポートでセットアップされる場合、10個のポートを予約するように、それに命令する。
b)動作モード
ポリシーをインストールすると、アクションは、図3及び図4内に示されるように実施される。
RGが、セッション構築パケット、例えば、それが知っているUEからのTCP SYNパケットを観察する場合(何らかの方法で、例えば上記の802.1xスキームを使用して、このパケットを送信する前に認証したもの)、それは、このパケットを隠し、NATバインディングを作成し、それがポリシーによって定義された基準、例えば宛先アドレスに一致するかチェックし、次いで、それが作成したNATバインディングに関する情報と共に、SDBに通知パケットを送信する。実施例:
TCP src port 32168 dest port 80 dest 145.253.2.1 device==Frank’s IPhone
(複数のポートポリシーに対しては、以下の通りであり得る。
TCP src port 32169−79 dest port 80 dest 92.5.67.1 device==Johnny’s IPhone)
デバイスIDは、SDB所有者によって同意される任意の識別子、例えばIMSI(国際移動電話加入者識別番号)又はその部分であってもよい。
次の工程として、RGは、SDBが同時にAFに通知する間に、AFに向かってセッション構築パケットを転送する。機構の有益な変化形において、同時性が望ましい場合、RGは、AFがそれがSDB情報を受信したことをRGに通知した後に、AFに向かってAFセッション構築パケットを転送するのみであり、この方法では状況及び状態の不一致は生じ得ない。
別の実施形態では、RGは、UEからAFへのデータフローに、更なる情報を追加してもよく、このデータフローは、TCP/IPフローであってもよい。この更なる情報は、認証トークン又はUE IDであってもよい。この情報は次いで、サービス提供のために必要とされる任意の情報、例えば、ユーザがそれにアクセスすることが許可されているかどうかを見出すために、AFによってSDBにクエリを行うために使用される。この情報を追加する1つの可能な方法は、TCPが使用される場合、オプションが認証トークン又はUE IDを含有するTCPヘッダに、TCPオプションを追加することである。これは、[draft−boucadir](本願文書の初めに引用される第1の参考文献を参照されたい)が提案するものと同様であるが、それが、オプションが端末によって挿入されるという事実に頼る一方で、我々は、RGにこれを追加する。
AFはここで、受信TCP SYNをデバイス情報と相関させることができ、以下のような手順を実行することができる。
・セッションがセットアップされることを可能にする
・会計を開始する
・例えば、加入者がプレミアム加入者であり得る際の優先度により、異なって、この特定のUEにトラフィックを提供する
・追加若しくはプレミアム内容若しくはサービスをUEに、又は加入者がプレミアム加入者である場合、より高い品質で同一内容を提供する
・SDB情報がAFにログイン/認証データを提供したため、UEの加入者からのログインを必要とすることなく、サービス及び内容をUEに提供する
a)保守
SDBは、適切なメッセージによって、UEが、依然としてRGに接続されているかどうか、間隔をあけてRGにクエリを行うことができる。
SDBは、RGにおいてアクティブな別のUE関連NAPTバインディングについて、RGにクエリを行うことができる。
RGにおいてUEを認証するために使用される認証機構がそれをサポートする場合、SDBは、RGに適切なメッセージを送信することによって、UE再認証を要求してもよい。
SDBは、加入が取り消された場合、NAPTバインディングを終了するように、RGに命令することができる。RGは、この命令を無視してもよい。いずれの場合においても、SDBは、取り消された加入をAFにも通知する。
認証されたUEに関連するRG上のNAPTバインディングを変更する場合、RGは、適切なメッセージ(全てのUE関連NAPTバインディング、あるいは更新されたNAPTバインディングのみのいずれかを含有する)で、SDBに通知する。SDBは、影響を受けていることを、指示された全てのAFに通知することができる。
UEがRGから切断している場合、RGは、退出を知らせる(INFORM LEAVE)メッセージによってこれをSDBに通知する。SDBは、それが以前にUEに関して通知した全てのAFに通知する。
b)制御チャンネル
これを可能にするために、SDB又は中間エンティティは、AFと通信する必要がある。これは、エンティティを動作する当事者間の企業レベルの合意に従って、その登録中にAFの認証を含む必要がある。
SDBとRGとの間の通信は、直接的又は間接的であってもよい。実施例として、以下の方法が使用され得る。
・PPPoEにおけるインライン信号伝達(PPP制御レベル上でのBRAS(ブロードバンドリモートアクセスサーバ)とRGとの間の強化されたプロトコル)
・Radius又はDiameterプロトコル等の明示的なAAA信号伝達を使用すること
・SIP(セッション初期化プロトコル)を使用すること、及びRGを最初にSIPサーバに登録させること(国際公開第WO 2010/028850 A1号、HRACSからのフレームワークを使用して)
・IPの上、IPの内、又はIPの下の別の標準化又は所有プロトコル
e)識別転送
強化された実施形態において、認証されたデバイスは、同一のローカルホームネットワーク中の異なるデバイスを、その認証グループの一部にすることができる。この場合、認証グループへの加入の許可は、例えば、携帯電話からラップトップ型PCに転送され、PCが、ユーザ又はデバイスに認証手順を踏ませることなく、同一のサービスにアクセスすることを可能にし得る。これは、例えば、訪問されたネットワーク中の権利をそこのデバイスに転送することを可能にし、例えば、TVは、訪問している携帯電話のアイデンティティを使用して、マルチメディアストリームを展開することができる。手順は以下の通りであり得る。
UEは、ネットワークに到達し、それ自体を認証し、したがって、UEは、RGにおいて既知である。
UEは、例えば、両方がブルートゥースを介して接続するという意味で、別のデバイスと「結合」するか、又はUEは、他方のデバイスのIP/MACアドレスに関する情報を含む、他方のデバイスのスクリーンからのQRコードを読み取る。
UEは、識別に関して、それらの2つのデバイスをバンドルするために、認証チャンネルを介してRGにメッセージを送信する。RGは次いで、それらがUEからであるかのように、他方のデバイスからのセッションセットアップ関連要求を処理し、SDBとの相互作用をもたらす。加えて、RGは、SDBに対して、製品及び製造コード等、UEではなく、別のデバイス及び任意にデバイスの属性及び/又は種類及び/又は一意識別子でもある、指標を示し得る。SDBは、AFが、例えば、提供された内容の解像度に対して、この情報をサービス提供において考慮に入れる場合があるため、利用可能である場合、この情報をAFに伝える可能性がある。
この委任シナリオの強化された実施形態において、AFホストサービスは、UEに請求するように試み、SDBは、請求が生じるRGを介して、UEに通知するために、特別なメッセージを使用してもよい。このメッセージは、請求を認証するために、UEの確認を必要とし得る。
ここで、他方のデバイスが、RGにおけるポリシールールに一致するとき、例えば、TCP又はUDP又はDCCP(データグラムコンジェスチョンコントロールプロトコル)であるがこれらに限定されない、任意のフローを開始する場合、UE IDは、AFへの信号伝達において、RGによって添付される。これは、UE、又はUEのどの名前で求められているか、例えば、それがTVセットであるかに関する更なる情報を追加するために、例えば、TCPオプションの上記の利用を使用することによって、行われ得る。
本発明がIPv4技術に関する実施例を含有する一方で、NAPTと同様の機構がRG上で使用される場合、IPv6がサポートされる。たとえIPv6の場合でも、NAPT技術は、RGにおいて使用されず、UEがRGにおいて認証される場合、RGは、本発明の原理に従うことができ、したがって、それを条件とする。RGは、UE識別子及び宛先AFアドレスをSDBに通知するために、又は更なる情報をデータフローに追加するために、TCP SYN等のセッションセットアップ信号伝達を遅延させる。SDBは次いで、AFに通知することができ、AFは、認証、警備等のためにSDB情報を使用することができる。
NAT又はNAPTがIPv6に対して使用されていない場合でさえ、RGはなお、どのIPv6アドレスがUEによって使用されているか知る必要がある。典型的には、UEは、DHCPv6又はRouter Advertisements(RA)によって、ルーティングプレフィックス、すなわち、IPv6アドレスの最初の64ビットを知り、残りの64ビット、すなわち、それらのL2識別子に基づく、それら自体のホスト識別部、例えば、イーサネットMACアドレスを構築する。RGによって完全に生成されるIPv6アドレスを割り当てる単純な方法は、DHCPv6を使用する。しかしながら、ほとんどの場合、UEは、どのIPv6アドレスがどのUEに、又は、UEがRGに接続される多くのインターフェースを有する場合、UEのインターフェースのどれに結合されているかさえ、任意のAFにすぐに明らかにならないように、それ自体のホスト識別子を割り当てる。UEによって生成されるこのホスト部はまた、クリプトグラフィカリージェネレーテッドIPv6アドレス(CGA)も使用し得る。更に、UEは、同時に複数のIPv6アドレスを使用し、リモートホストとの新しい通信を開始するときに、どちらかのIPv6アドレスを選ぶように決定し得る。
パケットが、例えば、カスケードされる2つ以上のNATを経由させられる連鎖環境において、本発明はなお適用可能である。デバイスが繋げられているNAT要素のみが、デバイスアイデンティティ及びパケットフローを、変更されたポート/アドレスと相関させることができる一方で、中間ノードに、SDBに同一の方法でそれらのNATマッピングを報告させることによって、連鎖を再構築することがなお可能である。唯一の利用可能ではない情報がデバイスアイデンティティであるため、同様のフィルタリングルールが提供され得る。SDBは次いで、情報を統合し、AFに送信されるフローパラメータを知ることができる。図5は、第2のNAPTがBBアクセスネットワークに位置する環境を示す。
本明細書に記載される本発明の多くの修正及び他の実施形態が、上記の説明及び関連図面に示された教示の利益を得る、本発明が関連する当業者に想到されるであろう。したがって、本発明が開示された特定の実施形態に限定されず、修正及び他の実施形態が添付の特許請求の範囲内に含まれるように意図されることを理解されたい。特定の用語が本明細書で採用されるが、それらは、限定の目的ではなく、一般的かつ説明的意味で使用される。

Claims (14)

  1. ネットワーク構造内のアプリケーション機能(AF)によって提供されるサービスへのユーザ側デバイス(UE)のアクセスを提供するための方法であって、前記UEが、前記UEが繋げられ、広帯域アクセスネットワーク(BBアクセスネットワーク)を介して、前記AFへのアクセスを提供する、ゲートウェイ(GW)によって認証され、
    前記GWが、前記認証されたUEへの、又は前記認証されたUEから前記AFへのサービスフロー要求に関して、状態データベース(SDB)に通知し、
    前記GWが更に、前記認証されたUE及びそれぞれのサービスフロー要求に関する、前記GWによって作成されるそれぞれのNAT又はNAPTバインディングのNAT(ネットワーク・アドレス・トランスレーション)又はNAPT(ネットワーク・アドレス・ポート・トランスレーション)バインディング情報を、前記SDBに送信し、
    前記AFが、前記GWから前記サービスフロー要求を受信した後に、前記認証されたUEを前記サービスフロー要求と相関させることができるように、前記SDBが、前記NAT若しくはNAPTバインディング情報又はUE識別子を前記AFに送信し、
    前記AFが、それが前記SDBから前記NAT又はNAPTバインディング情報を受信したことを前記GWに通知した後に、前記GWが、前記AFに前記サービスフロー要求を送信する、方法。
  2. 前記相関に基づき、前記AFが、次の:(a)前記要求されたサービス又はセッションがセットアップされることを可能にすること、(b)特定のポリシーが前記UEによる前記要求されたサービス利用又はサービスフローに適用されるようになることを可能にすること、及び(c)会計手順を開始すること、のうちの少なくとも1つを実施し得る、請求項1に記載の方法。
  3. 前記相関に基づき、前記AFが、少なくとも1つの定義可能なパラメータに応じて、前記認証されたUEにトラフィックを提供し、前記パラメータが、好ましくは、前記トラフィックの優先度及び/又は品質及び/又は内容を含む、請求項1に記載の方法。
  4. 前記相関に基づき、前記SDBが、前記NAT又はNAPTバインディング情報に加えてログイン/認証データを前記AFに送信する場合、前記AFが、前記認証されたUEの加入者からのログインを必要とすることなく、前記認証されたUEにサービス及び/又は内容を提供する、請求項1に記載の方法。
  5. 前記GWが、ユーザデータベース及びプロフィールを含有するエンティティ(UDB)と、情報を交換することによって、前記UEを認証する、請求項1に記載の方法。
  6. 前記エンティティ(UDB)からの認証応答を受けて、前記GWが、前記サービスフロー要求又はそれらの指定サブセットに関して前記SDBに通知するように、それに命令する、ポリシーを受信する、請求項5に記載の方法。
  7. 前記NAT又はNAPTバインディング情報が、SDB所有者によって同意される、UE識別子(ID)を含む、請求項1に記載の方法。
  8. 前記GWが、前記UEから前記AFへのデータフローに、更なる情報を追加し、前記更なる情報が、好ましくは、認証トークン又はUE IDである、請求項1に記載の方法。
  9. 前記更なる情報が、サービス提供に必要とされる情報を見つけるために、前記AFによって前記SDBにクエリを行うために使用される、請求項に記載の方法。
  10. 前記SDBが、前記GWにおいてアクティブな他のUE関連NAT又はNAPT(ネットワーク・アドレス・ポート・トランスレーション)バインディングについて、前記GWにクエリを行う、請求項1に記載の方法。
  11. 前記AFが、企業レベルの合意に従って、その登録中に認証される、請求項1に記載の方法。
  12. 前記認証されたUEが、同一のGWに繋げられているが、認証手順を実施していない別のUEに、そのアクセス権を譲渡する、請求項1に記載の方法。
  13. 前記認証されたUEが、識別に関して両方のUEをバンドルするために、認証チャンネルを介して、前記GWにメッセージを送信する、請求項12に記載の方法。
  14. ネットワーク構造であって、前記ネットワーク構造内のアプリケーション機能(AF)によって提供されるサービスへの、ユーザ側デバイス(UE)のアクセスが提供され、前記UEが繋げられ、広帯域アクセスネットワーク(BBアクセスネットワーク)を介して前記AFへのアクセスを提供する、ゲートウェイ(GW)によって認証され、
    前記GWが、前記認証されたUEへの、又は前記認証されたUEから前記AFへの任意のサービスフロー要求に関して、状態データベース(SDB)に通知するための手段を含み、
    前記GWが更に、前記認証されたUE及びそれぞれのサービスフロー要求に関する、前記GWによって作成されるそれぞれのNAT又はNAPTバインディングのNAT(ネットワーク・アドレス・トランスレーション)又はNAPT(ネットワーク・アドレス・ポート・トランスレーション)バインディング情報を、前記SDBに送信するための手段を含み、
    前記AFが、前記GWから前記サービスフロー要求を受信した後に、前記記認証されたUEを前記サービスフロー要求と相関させることができるように、前記SDBが、前記NAT若しくはNAPTバインディング情報又はUE識別子を前記AFに送信し、前記AFが、それが前記SDBから前記NAT又はNAPTバインディング情報を受信したことを前記GWに通知した後に、前記GWが、前記AFに前記サービスフロー要求を送信するための手段を含む、ネットワーク構造。
JP2014556929A 2012-03-01 2012-03-01 ネットワーク構造内のアプリケーション機能によって提供されるサービスへのユーザ側デバイスのアクセスを提供するための方法、及びネットワーク構造 Active JP5948442B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2012/053489 WO2013127456A1 (en) 2012-03-01 2012-03-01 Method for providing access of an user end device to a service provided by an application function within a network structure and a network structure

Publications (2)

Publication Number Publication Date
JP2015513822A JP2015513822A (ja) 2015-05-14
JP5948442B2 true JP5948442B2 (ja) 2016-07-06

Family

ID=45952457

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014556929A Active JP5948442B2 (ja) 2012-03-01 2012-03-01 ネットワーク構造内のアプリケーション機能によって提供されるサービスへのユーザ側デバイスのアクセスを提供するための方法、及びネットワーク構造

Country Status (4)

Country Link
US (1) US9450920B2 (ja)
EP (1) EP2789152B1 (ja)
JP (1) JP5948442B2 (ja)
WO (1) WO2013127456A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105637926B (zh) * 2013-06-11 2019-06-21 七网络有限责任公司 将应用流量分载至共享通信信道进行无线网络中的信令优化用于使用专有和非专有协议的流量
CA2930092C (en) * 2013-11-11 2024-03-12 Sumitomo Chemical Company, Limited Method for producing retinal pigment epithelial cells
WO2019017835A1 (zh) * 2017-07-20 2019-01-24 华为国际有限公司 网络验证方法、相关设备及系统
US20230239283A1 (en) * 2019-12-17 2023-07-27 Threatstop, Inc. Destination-based policy selection and authentication
WO2022008951A1 (en) * 2020-07-06 2022-01-13 Nokia Technologies Oy Apparatus and method to facilitate network address translation service
GB2598293A (en) * 2020-08-11 2022-03-02 Nokia Technologies Oy Apparatus, methods, and computer programs
WO2024015582A1 (en) * 2022-07-15 2024-01-18 Dish Wireless L.L.C. User plane function event exposure

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7173933B1 (en) 2002-06-10 2007-02-06 Cisco Technology, Inc. System and method for providing source awareness in a network environment
CN101395915A (zh) * 2006-03-03 2009-03-25 皇家飞利浦电子股份有限公司 以隐私保护的方式记录广播数字内容
JP5536777B2 (ja) 2008-09-15 2014-07-02 エヌイーシー ヨーロッパ リミテッド サービス品質をサポートする方法
WO2010066295A1 (en) * 2008-12-10 2010-06-17 Telefonaktiebolaget Lm Ericsson (Publ) Token-based correlation of control sessions for policy and charging control of a data session through a nat

Also Published As

Publication number Publication date
WO2013127456A1 (en) 2013-09-06
EP2789152B1 (en) 2018-06-27
US20150101009A1 (en) 2015-04-09
US9450920B2 (en) 2016-09-20
EP2789152A1 (en) 2014-10-15
JP2015513822A (ja) 2015-05-14

Similar Documents

Publication Publication Date Title
JP5948442B2 (ja) ネットワーク構造内のアプリケーション機能によって提供されるサービスへのユーザ側デバイスのアクセスを提供するための方法、及びネットワーク構造
EP2347560B1 (en) Secure access in a communication network
JP6073338B2 (ja) 仮想化されたホームipサービスデリバリのためのアーキテクチャ
US9112909B2 (en) User and device authentication in broadband networks
EP2392162B1 (en) Method and network nodes for registering a terminal
US9407495B2 (en) Combining locally addressed devices and wide area network (WAN) addressed devices on a single network
US10159101B2 (en) Using WLAN connectivity of a wireless device
US20020191593A1 (en) Methods and apparatus for supporting session signaling and mobility management in a communications system
US9083705B2 (en) Identifying NATed devices for device-specific traffic flow steering
US20120036271A1 (en) Network Initiated Alerts to Devices Using a Local Connection
WO2004077754A1 (ja) Wlan相互接続におけるサービス及びアドレス管理システム及び方法
WO2003085847A2 (en) Methods and apparatus for supporting session registration messaging
US9271318B2 (en) Internet protocol address registration
JP5816293B2 (ja) パブリックネットワークにおけるプライベート装置の識別
US20090249437A1 (en) Assignment of policy function address during access authentication in wimax networks
WO2010091562A1 (zh) 用于固定网络与第三方网络或应用服务器交互的方法及装置
WO2012034428A1 (zh) 一种ip地址重分配的方法和服务节点
RU2788673C1 (ru) Система и способ управления доступом к сети
JP5947763B2 (ja) 通信システム、通信方法、および、通信プログラム
WO2016161765A1 (zh) 发送、传递和获取能力的方法及装置
JP2010178178A (ja) Ip網通信システムおよびsni構成方法
Wing PCP Working Group M. Boucadair Internet-Draft France Telecom Intended status: Standards Track T. Reddy Expires: November 29, 2013 P. Patil

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20150126

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20150309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151007

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20160106

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20160204

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20160303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160406

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160511

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160606

R150 Certificate of patent or registration of utility model

Ref document number: 5948442

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350