JP6258164B2 - 端末別認証払い出し制御装置、端末別認証払い出し制御方法および端末別認証払い出し制御プログラム - Google Patents

端末別認証払い出し制御装置、端末別認証払い出し制御方法および端末別認証払い出し制御プログラム Download PDF

Info

Publication number
JP6258164B2
JP6258164B2 JP2014181316A JP2014181316A JP6258164B2 JP 6258164 B2 JP6258164 B2 JP 6258164B2 JP 2014181316 A JP2014181316 A JP 2014181316A JP 2014181316 A JP2014181316 A JP 2014181316A JP 6258164 B2 JP6258164 B2 JP 6258164B2
Authority
JP
Japan
Prior art keywords
vcpe
authentication
authentication key
terminal
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014181316A
Other languages
English (en)
Other versions
JP2016057672A (ja
Inventor
貴則 渡邊
貴則 渡邊
健 大坂
健 大坂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014181316A priority Critical patent/JP6258164B2/ja
Publication of JP2016057672A publication Critical patent/JP2016057672A/ja
Application granted granted Critical
Publication of JP6258164B2 publication Critical patent/JP6258164B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、端末別認証払い出し制御装置、認証キー払い出し機能設定装置、方法およびプログラムに関する。
通信サービスの提供においてCPE(Customer Premises Equipment)が利用されている。CPEは、固定回線を用いた通信サービスを利用するための装置として通信サービスの利用者の宅内に配置される。CPEには、電話機、ケーブルモデム、セットトップボックス等が含まれる。
仮想化技術の発展に伴い、CPEを仮想化して、サービス利用者の宅内にではなく、パブリックネットワーク上に配置することが提案されている。たとえば、非特許文献1は、NFV(Network Functions Virtualisation)の利用例(use case)としてCPEを仮想化したvCPE(virtual Customer Premises Equipment)について記載している。またたとえば、特許文献1は、仮想ゲートウェイを用いた機器管理システムについて記載している。
特開2013−125448号公報
European Telecommunications Standards Institute、"ESTI GS NFV 001 V. 1.1.1 (2013-10): Network Functions Virtualisation (NFV) Use Cases"、[online]、2013年10月、European Telecommunications Standards Institute、[2014年8月27日検索]、インターネット(URL:http://www.etsi.org/deliver/etsi_gs/NFV/001_099/001/01.01.01_60/gs_NFV001v010101p.pdf)、p. 36-42
CPEを仮想化してvCPEとしてパブリックネットワークに配置し、宅外の任意の場所からユーザがvCPEにアクセスすることを可能とする場合、セキュリティを高めるための対策を講じておくことが望ましい。そこで、vCPEを利用する上で高いセキュリティを実現することができる認証手法が求められる。
開示の技術は、上記に鑑みてなされたものであって、vCPE利用におけるセキュアな端末認証を実現することができる技術を提供することを目的とする。
開示する端末別認証払い出し制御装置、方法およびプログラムは、宅内機器およびvCPEを介してユーザの携帯端末から受信した認証キー払い出し要求に応じて、当該ユーザを一意に識別するユーザ識別子と、前記携帯端末を一意に識別するMACアドレスと、に基づき、宅外でvCPEを利用したサービスを受けるための認証キーを生成し、生成した認証キーを、宅内機器およびvCPEを介して携帯端末に払い出し、認証キーを受信すると認証キーに基づく認証処理を実行し、認証に成功した場合、vCPEまたはvCPEと同じ機能を有する他のvCPEと認証キーの送信元とを接続し、vCPEの機能を利用したサービスの提供を可能にする。
また、開示する認証キー払い出し機能設定装置、方法およびプログラムは、宅内機器およびvCPEを介してユーザの携帯端末から認証キー払い出し要求を受信すると、当該ユーザを一意に識別するユーザ識別子と、宅内機器を介してvCPEにアクセスしたことがある1以上の携帯端末各々を一意に識別するMACアドレスと、を取得し、ユーザ識別子および1以上の携帯端末各々を一意に識別するMACアドレスの桁数以下の桁数を選択し、選択した桁数の各桁に対応するユーザ識別子およびMACアドレスの値を抽出し、所定の規則に従い各桁について値の一つを選択し、選択した値を各桁の順番に配列して認証キーを生成し、生成した認証キーを、認証キー払い出し要求を送信した携帯端末に送信する。
開示する端末別認証払い出し制御装置、認証キー払い出し機能設定装置、方法およびプログラムは、vCPE利用におけるセキュアな端末認証を実現することができるという効果を奏する。
図1は、第1の実施形態に係る端末別認証払い出し制御の前提となるネットワーク構成の一例の概略図である。 図2は、第1の実施形態に係る端末別認証払い出し制御において端末に認証キーを払い出す処理の流れの一例を示すフローチャートである。 図3は、第1の実施形態に係る端末別認証払い出し制御において端末から認証キーが送られてきた場合の認証処理の流れの一例を示すフローチャートである。 図4は、第2の実施形態にかかる端末別認証払い出し制御の前提となるネットワーク構成の一例の概略図である。 図5Aは、第2の実施形態におけるvCPEの接続の第1の手法を説明するための図である。 図5Bは、第2の実施形態におけるvCPEの接続の第2の手法を説明するための図である。 図6は、第2の実施形態において、vCPEの接続の第1の手法を用いてvCPEを接続する処理の流れの一例を示すシーケンスチャートである。 図7は、第2の実施形態において、vCPEの接続の第2の手法を用いてvCPEを接続する処理の流れの一例を示すシーケンスチャートである。 図8は、第2の実施形態にかかる端末別認証払い出し制御の処理の流れを説明するための図である。 図9は、第2の実施形態にかかる端末別認証払い出し制御における、認証キーの払い出し処理の流れの一例を示すフローチャートである。 図10は、第2の実施形態にかかる端末別認証払い出し制御における、認証キーを用いた認証処理の流れの一例を示すフローチャートである。 図11は、第2の実施形態にかかる端末別認証払い出し制御において、払い出される認証キーの構成の一例を説明するための図である。 図12は、開示の技術に係る端末別認証払い出し制御プログラムおよび認証キー払い出し機能設定プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。 図13は、CPEを各契約者の宅内に配置した場合のネットワークとの接続の一例を示す概略図である。 図14は、CPEを仮想化して宅外のネットワーク上に配置した場合の接続の一例を示す概略図である。
以下に、開示する端末別認証払い出し制御装置、認証キー払い出し機能設定装置、方法およびプログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。また、各実施形態は適宜組み合わせることができる。
(CPEの配置例と仮想化の一例)
まず、図13および図14を参照して、CPEを宅内に配置した場合と仮想化してネットワーク化した場合の違いについて説明する。図13は、CPEを各契約者の宅内に配置した場合のネットワークとの接続の一例を示す概略図である。図14は、CPEを仮想化して宅外のネットワーク上に配置した場合の接続の一例を示す概略図である。
図13に示すように、従来、固定回線サービスを提供する場合にCPEは宅内装置として配置されている。つまり固定回線サービスを利用する加入者(ユーザ)の数だけCPEが配置されている。この場合、図13の下部分に示す各宅内に配置されるCPEは、L2SW(レイヤー2スイッチ)等を含み、L2SWを介してレイヤー2ネットワーク(L2NW)に接続する。そしてさらに、CPEは、IPエッジ(たとえば図13中の「Edge」)等のルーティング機能を持つ機器を介してレイヤー3ネットワーク(L3NW)に接続する。ユーザは、宅内に配置されているCPEの機能を利用してサービスの提供を受ける。
これに対して、図14に示すようにCPEを仮想化した場合、各ユーザの宅内には、L2SW(たとえば図14中「L2」)等は配置されるが、他の機能たとえばゲートウェイやセットトップボックス(STB)の機能はvCPEとしてネットワーク上に配置される。図14中、L2NW、L3NW上の拠点A,B等に3つのvCPEが構築されている。各ユーザはL2SW等の宅内の装置から異なるルートでvCPEに接続してサービスの提供を受けることができる。また、図14の例の場合、vCPEの割当を柔軟に行うためのコントローラも配備されている。
(vCPEを配置した場合の利用形態の変化)
図14のように、CPEの機能を仮想化してネットワーク側に配置すると、図13の設置型のCPE機能をネットワークの様々なエリアで活用することが可能になる。たとえば、ユーザが固定回線を契約したエリア以外のエリアにおいてもvCPEを利用して固定契約によるサービスやVPN(Virtual Private Network)サービス等の多様なサービスを受けることが可能になる。vCPEを用いてVPNサービスを提供する場合、契約エリア元すなわちユーザが固定回線を契約したエリアと、当該契約エリア元以外に配置されたvCPEとの間にVPNを生成して、ユーザにサービスを提供することが可能である。また、vCPEに機能を追加する等の利用法も考えられる。また、ネットワーク上のリソースに仮想化したCPEを配置し、ネットワーク上に機能が存在するので、ネットワーク上の装置同士を連携させてユーザにサービスを提供することができる。
ところで、ユーザが契約元の固定回線以外の場所で、vCPEを利用したサービスを受ける場合、ユーザは任意の携帯端末等を用いてvCPEにアクセスする。したがって、各エリアにおいて当該エリアの固定回線について契約しているユーザ以外のユーザを認証することになる。契約元以外のエリアでは、ユーザは携帯端末を用いてvCPEにアクセスすると予想される。したがって、ユーザの携帯端末を認証する仕組みを構築することが有効である。
たとえば、ユーザはvCPEを利用する場合、宅内においても種々の携帯端末を含む装置をvCPEに接続すると考えられる。今日、通信ネットワークの利用者は、テレビ、スマートフォン、パーソナルコンピュータ(PC)等多様な装置をネットワークに接続して利用している。vCPEのユーザも多様な携帯端末等を用いてvCPEのサービス提供を受けると考えられる。
そこで、本実施形態に係る技術では、vCPEにアクセスする携帯端末を、固定回線の識別情報のみに依存せずに認証するためのセキュアな手法を提供する。特に、以下の実施形態では、携帯端末を一意に識別する情報であるMACアドレスと、ユーザを一意に識別するための情報(以下、ユーザ識別子ともいう。)と、を利用して認証を行う。
(第1の実施形態)
まず、第1の実施形態における認証制御につき説明する。図1は、第1の実施形態に係る端末別認証払い出し制御および認証キー払い出し機能設定の処理の前提となるネットワーク構成の一例の概略図である。
図1において、パブリックネットワーク上には、制御装置10、vCPE20,30,40、オープンvCPE50が配置される。また、パブリックネットワークには、IPTV(インターネットプロトコルテレビジョン)91、NFVI−PoP(Network Functions Virtualisation Infrastructure Point of Presence)92、VoIP(Voice over Internet Protocol)93、インターネット94等各種のサービスが配置される。オープンvCPE50は、だれでも利用できるCPEである。オープンvCPE50を介して接続できる装置等は制限されるが、オープンvCPE50にアクセスした端末の認証処理の実行が可能な態様で制御装置10と接続される。
他方、ホームネットワーク内に示すユーザAは携帯端末60を携帯している。また、ホームネットワークには、家70A,70Bとホテル70Cとが配置される。家70A,70Bにはそれぞれ、L2SW/ONU(Optical Network Unit)80A,80Bが配置される。ホテル70CにもL2SW/ONU80Cが配置される。ホームネットワークに配置されたL2SW/ONU80A〜80Cには、パブリックネットワーク上に生成されるvCPE20〜40のいずれかが固定的に割り当てられる。
ユーザAは、携帯端末60その他の情報端末を用いて、家70AからL2SW/ONU80Aを介して、パブリックネットワーク上の割り当てられているvCPE、たとえばvCPE20にアクセスできる。
図1の制御装置10はたとえば、ユーザが有する携帯端末60がパブリックネットワーク上のvCPEにL2SW/ONU80Aを介さずにアクセスしてvCPEによるサービスを利用することを可能にする。制御装置10は、L2SW/ONU80Aと、L2SW/ONU80Aに接続されるvCPE20とを介して、携帯端末60に対して認証キーを払い出す。認証キーを利用することで、ユーザは宅外から携帯端末60を使用してvCPEにアクセスしてvCPEの機能を利用したサービスを受けることができる。
ここで、認証キーとは、通信サービスの利用者が、契約元の固定回線以外の回線を通じてvCPEを利用する場合に、正当な利用者であることを認証するために用いられる情報である。
制御装置10はまた、携帯端末からオープンvCPE50を介して認証キーが送信されてきた場合に、当該認証キーを用いた認証を実行する。また、制御装置10は図示しない記憶部を備え、他の装置に端末別認証払い出し制御を実行する処理を実現させるためのプログラムや、他の装置に認証キーの払い出しを実行する処理を実現させるためのプログラムを格納してもよい。以下、制御装置10を端末別認証払い出し制御装置、認証キー払い出し機能設定装置とも呼ぶ。
(制御装置10の構成の一例)
図1に示すように、制御装置10は、生成部11と、払い出し部/送信部14と、認証部15と、を備える。
生成部11はたとえば、携帯端末60からL2SW/ONU80Aを介して送信される認証キー払い出し要求に応じて認証キーを生成する。たとえば、生成部11は、認証キー払い出し要求を送信した携帯端末60のMACアドレスと、当該携帯端末60のユーザのユーザ識別子と、に基づき認証キーを生成する。ユーザ識別子とは、通信サービスの利用者を一意に識別するための情報である。たとえば、L2SW/ONUが接続する固定回線の回線ID(Identifier)や、当該ユーザが利用するVLAN(Virtual Local Area Network)を一意に識別するためのVLAN−IDがユーザ識別子に相当する。ただし、その他のユーザを一意に識別できる情報を利用してもよい。
生成部11は、取得部12と認証キー生成部13とを有する。取得部12は、携帯端末60のMACアドレスと、ユーザ識別子とを取得する。第1の実施形態では、認証キー生成部13は、取得部12が取得したMACアドレスとユーザ識別子とに基づき、認証キーを生成する。
生成部11は、認証キーを生成する際に、認証キーと、当該認証キーの払い出し先である携帯端末60のMACアドレスと、ユーザ識別子と、を対応づけたテーブルを記憶部に格納しておく。格納する記憶部の場所は特に限定されないが、当該携帯端末のユーザに割り当てられているvCPEに設ければよい。
払い出し部/送信部14は、生成部11が生成した認証キーを、認証キー払い出し要求を送信した携帯端末60に払い出す、すなわち送信する。払い出し部/送信部14は、vCPEおよびL2SW/ONUを介して認証キーを払い出す。なお、制御装置10が認証キー払い出し機能設定装置として機能する場合は、払い出し部/送信部14は、携帯端末によるvCPEの利用を認証するための認証キーを払い出すためのプログラムの送信も行う。
認証部15は、オープンvCPE50から制御装置10に認証キーが送信された場合に、当該認証キーに基づく認証を行う。たとえば、認証キーとともに当該認証キーを送信する端末のMACアドレスを送信させ、両者の組み合わせが記憶部に格納されたテーブルに記憶されている組み合わせと合致するか否かを判定して認証を行う。認証手法については特に限定されないが、例えば、認証キーを所定の規則に基づき生成するものとしておき、当該所定の規則に基づいて認証キーから携帯端末のMACアドレスと回線IDとが復元できるようにしておいてもよい。そして、認証キーとMACアドレスおよび回線IDの組み合わせが、上記記憶部に記憶したテーブルに格納された組み合わせと一致するか否かを認証部15がチェックして認証するものとしてもよい。
認証部15による認証が成功すると、認証キーの送信元である携帯端末へのオープンvCPE50の割当を解除して、当該ユーザに割り当てられているvCPEを接続する。認証部15による認証が失敗した場合は、オープンvCPE50を介したサービス利用のみが継続される。
(第1の実施形態における認証キーの払い出しの一例)
図2は、第1の実施形態に係る端末別認証払い出し制御において端末に認証キーを払い出す処理の流れの一例を示すフローチャートである。たとえばまず、ユーザAが携帯端末60を用いて、宅内のL2S2/ONU80Aおよび固定回線を介して、認証キーの払い出しを要求する認証キー払い出し要求を送信する(ステップS201)。ユーザAに割り当てられているvCPE20は、認証キー払い出し要求を受信すると、制御装置10に当該認証キー払い出し要求を転送する(ステップS202)。制御装置10は、vCPEから当該ユーザが利用している1以上の端末のMACアドレスと、当該ユーザのユーザ識別子とを取得して、MACアドレスおよびユーザ識別子に基づき認証キーを生成する(ステップS203)。制御装置10は生成した認証キーをvCPE20を経由して携帯端末60に払い出す(ステップS204)。これで、認証キーの払い出し処理が完了する。
(第1の実施形態における認証キーを用いた認証の一例)
図3は、第1の実施形態に係る端末別認証払い出し制御において端末から認証キーが送られてきた場合の認証処理の流れの一例を示すフローチャートである。図3に示すように、宅外から端末がネットワークにアクセスし(ステップS301)、vCPEを利用するため認証キーを所定の接続先に送信する(ステップS302)。この場合、認証キーはまずオープンvCPEに送信される。そしてオープンvCPEは、認証キーを制御装置10に転送する(ステップS303)。制御装置10は、vCPEが格納する情報を参照して認証を実行する(ステップS304)。認証が失敗すると(ステップS305、否定)、制御装置10は、端末をオープンvCPEに接続したままとする(ステップS307)。認証が成功すると(ステップS305、肯定)、制御装置10は、端末を当該端末のユーザに割り当てられているvCPEに接続するか、または当該vCPEと同等の機能を有するvCPEを生成して、生成したvCPEに接続する(ステップS306)。そして、制御装置10は、割り当てたvCPEを通じて端末がサービスの提供を受けられるようにする(ステップS308)。
(第1の実施形態の効果)
このように、第1の実施形態に係る端末別認証払い出し制御装置(制御装置10)は、宅内機器およびvCPEを介してユーザの携帯端末から受信した認証キー払い出し要求に応じて、当該ユーザを一意に識別するユーザ識別子と、携帯端末を一意に識別するMACアドレスと、に基づき、宅外でvCPEを利用したサービスを受けるための認証キーを生成する生成部と、生成部が生成した認証キーを、宅内機器およびvCPEを介して携帯端末に払い出す払い出し部と、認証キーを受信すると認証キーに基づく認証処理を実行し、認証に成功した場合、vCPEまたはvCPEと同じ機能を有する他のvCPEと認証キーの送信元とを接続し、vCPEの機能を利用したサービスの提供を可能にする認証部と、を備える。このため、vCPE利用におけるセキュアな端末認証を実現することができる。また、第1の実施形態に係る端末別認証払い出し制御装置は、回線認証等の物理回線に紐付かない態様で端末ごとに認証を実行することができる。
また第1の実施形態に係る認証キー払い出し機能設定装置は、宅内機器およびvCPEを介してユーザの携帯端末から認証キー払い出し要求を受信すると、ユーザを一意に識別するユーザ識別子と、宅内機器を介してvCPEにアクセスしたことがある1以上の携帯端末各々を一意に識別するMACアドレスと、を取得する取得部と、ユーザ識別子および1以上の携帯端末各々を一意に識別するMACアドレスの桁数以下の桁数を選択し、選択した桁数の各桁に対応するユーザ識別子およびMACアドレスの値を抽出し、所定の規則に従い各桁について値の一つを選択し、選択した値を各桁の順番に配列して認証キーを生成する生成部と、生成部が生成した認証キーを認証キー払い出し要求を送信した携帯端末に送信する送信部と、を実現する。このため、第1の実施形態に係る認証キー払い出し機能設定装置は、vCPEを利用する各携帯端末に対して、ユニークな認証キーを払い出し、当該認証キーに基づく認証を行うことができ、宅外から安全な通信接続を実現することができる。
(第2の実施形態)
次に、第2の実施形態として、IP(Internet Protocol)サービス等のネットワークにおいて端末別認証払い出し制御を実現する例について説明する。
(ネットワーク接続モデルの一例)
図4は、第2の実施形態にかかる端末別認証払い出し制御の前提となるネットワーク構成の一例の概略図である。
図4に示すように、第2の実施形態に係る端末別認証払い出し制御を実行するネットワーク環境においては、ユーザ・イクイップメント(User Equipment;UE)が、レイヤー2スイッチ(L2SW)またはオプティカル・ネットワーク・ユニット(ONU)を介してレイヤー2ネットワーク(L2NW)に接続される。UEとは移動端末であり、たとえば携帯電話やスマートフォン等である。図4中、UEとして、UE#1,UE#2,…UE#NのN台(Nは任意の自然数)の装置を示す。ONUとは、光通信を行う場合にユーザ側に設置される光回線終端装置である。
L2NW上には、サーバ等のハードウェア(HW)が配置されており、ハードウェア上にはハイパーバイザー(HV)が構築され、HVの制御の下で仮想マシン(VM)が動作する。VMはまた、vCPEとして動作する。なお、図4中、例として一つのHW上に構築された一つのHVを示し、HW上で動作する2つのVMと2つのvCPE#1,vCPE#2を示すが、HW等の数は例示にすぎない。
L2NWはIPエッジ(図4中「edge」)を介して設定データベース(DB)、コントローラ、設備設計データベース/オペレーションシステム(Ops)、DHCP(Dynamic Host Configuration Protocol)サーバ等に接続される。
IPエッジは、ネットワークに入る通信に対する認証によるアクセス制御やQoS制御を行うルータである。設定DBは、ネットワークに接続する情報処理装置に対して所定の設定を行うための情報を格納する。コントローラは、設定DBに格納された情報と所定のプログラム等にもとづき、ネットワークに接続する情報処理装置の動作等を制御する。設備設計DB/Opsは、ネットワーク内の情報処理装置等の設備設計や運用に関する情報を格納し、オペレーションシステムが搭載される。DHCPサーバは、ネットワークに接続する情報処理装置にIPアドレス等の情報を自動的に発行するサーバである。なお、設定DB、コントローラ、設備設計DB/OpsおよびDHCPサーバの構成は採用する認証方式等によって適宜変更が可能である。
設定DB、コントローラ、設備設計DB/OpsおよびDHPCは、以下に説明する端末別認証払い出し制御や認証キー払い出し機能設定の処理を実行する情報処理装置として機能する。
図4中、ネットワークには、サービスX,サービスYが接続される。サービスX,Yはネットワーク上でユーザにサービスを提供する任意のプロバイダ等の情報処理装置を意味する。たとえばネットワークオペレータ、ISP(Internet Service Provider)、OTT(Over The Top)等がサービスX,Yに該当する(図8参照)。
なお、図4に示すネットワーク接続モデルは例示にすぎず、ユーザが携帯端末を用いてパブリックネットワーク上に構築されたvCPEを利用し、ネットワークを通じたサービスを受けることができるのであれば、各装置の数や接続態様は特に限定されない。
(vCPEの初期設定)
図4に示すように構築されたネットワーク上で、vCPEを利用したサービスをユーザに提供するために、vCPEを設定する手法としては二つの手法が考えられる。まず、第1の手法は、通信サービスを提供する事業者側がvCPEとユーザ側との接続設定を行うパターンである。第2の手法は、ユーザ側がvCPEと宅内装置との接続設定を行うパターンである。
(vCPE設定の第1の手法)
図5Aは、第2の実施形態におけるvCPEの接続の第1の手法を説明するための図である。第1の手法では、ユーザ側では物理的な回線接続を行うのみで、vCPEとユーザや回線との紐づけは事業者側が行う。図5Aに示すように、vCPEを利用するユーザ(図5Aの下部分に1〜3として示す)は各々、ネットワーク(NW)を介して仮想化CPE収容装置上に構築されたvCPEに接続される。具体的には、ユーザの宅内に配置されるL2SW/ONUが物理的な配線によって所定の回線に接続される。そして事業者側で、事業者が管理するユーザ収容装置および仮想化CPE収容装置の設定を行い、回線との紐づけを行う。図5A中、ユーザ収容装置とは、ユーザを識別するための装置であり、たとえばIPエッジである。
(vCPE設定の第2の手法)
図5Bは、第2の実施形態におけるvCPEの接続の第2の手法を説明するための図である。第2の手法においても、構築されるネットワーク環境やユーザとvCPEとの接続態様等は第1の手法と同様である。第1の手法と相違する点はまず、第2の手法では、事業者側はvCPEを構築するとともに、不特定のユーザがアクセス可能なオープンvCPEを準備することである。
ユーザ側では、第1の手法と同様、物理的な回線接続を行う。しかし、物理的な回線接続だけでは、vCPEとユーザ側の装置との紐づけは行われていないため、ユーザはvCPEを利用したサービスを受けることはできない。初期設定としてユーザは、vCPEとの紐づけを完了しなければならない。このため、ユーザはまずオープンvCPEを経由してvCPEを割付ける処理を実行する。図5Bには、図5Aには示していない設定サーバを示す。これはvCPEとは別にオープンvCPEを設定する必要があるためである。
(第1の手法に基づく設定処理の流れの一例)
図6は、第2の実施形態において、vCPEの接続の第1の手法を用いてvCPEを接続する処理の流れの一例を示すシーケンスチャートである。図6に示す各装置は、図4のネットワーク構成において示した各装置に対応する。
まず、事業者側がサービス提供のための設備設計を行うため、設備設計DB/OpsがIPエッジ(edge)に対してユーザの設定とvCPEとユーザとの紐づけを行うための処理を実行する(図6の(1))。次に、設備設計DB/Opsはネットワーク上のHWにアクセスして当該HW上にユーザが使用するためのvCPEを構築する(図6の(2))。
他方、ユーザ側では、宅内のL2SW/ONUと外部回線とを接続するための物理的な回線工事を行う(図6の(3))。そして、L2SW/ONUにユーザが電源を投入することで、外部回線を介してL2SW/ONUとvCPEとのリンクが確立する(図6の(4))。この時点で、vCPEとユーザ情報との紐づけが事業者によって完了しているため、ユーザ側では電源投入以外にvCPEの割当のための処理を行う必要はない。そして、ユーザは所有する端末(たとえば図4のUE#1)とL2SW/ONUとを物理的に接続する(図6の(5))。
物理的な接続とvCPEの割当が完了した後、ユーザ側では、ネットワークを利用してサービスを利用することができる。このときの処理を図6の下部分の実線枠内に「vCPE設定後のフロー」として示す。図6の下部分に示すように、まず、ユーザは端末からL2SW/ONUを介してvCPEに対し接続要求を送信する(図6の(6))。この処理はたとえばユーザが固定電話から発呼する処理に該当する。すると、接続要求を受信したvCPEは、PPP(Point to Point Protocol)等を用いてIPエッジに接続する(図6の(7))。vCPEから、端末の接続要求を受信したIPエッジは、DHCPサーバにアクセスして、端末に割り当てるアドレス、たとえばIPアドレスの払い出しを要求する(図6の(8))。DHCPサーバは、要求に応じて端末に割り当てるアドレスを払い出す(図6の(9))。IPエッジは受信したIPアドレスをvCPE、L2SW/ONUを経由して端末に送信する(図6の(10)の「接続応答」)。以後、端末は送信されたIPアドレスを用いて、ネットワークにおける各種サービスを受けることができる(図6の(11))。たとえば、ユーザは、端末をインターネットに接続したり、端末を用いて電話をかけたり、映像配信を受けたりすることができる。なおISPからアドレス等がユーザ端末に割り当てられる場合には、IPエッジが中継すればよい。
(第2の手法に基づく設定処理の流れの一例)
図7は、第2の実施形態において、vCPEの接続の第2の手法を用いてvCPEを接続する処理の流れの一例を示すシーケンスチャートである。図7に示す各装置も、図6と同様図4のネットワーク構成において示した各装置に対応する。
第2の手法では、ユーザ側でID/パスワード入力等の処理を実行することで、vCPEが割り当てられてサービスを利用することができるようになる。第2の手法では、設備設計DB/Opsは、ユーザとvCPEとの紐づけを行うのではなくオープンvCPEとの紐づけを行う(図7の(1))。そして、設備設計DB/Opsは、オープンvCPEを生成する(図7の(2))。オープンvCPEは、ユーザ自身でvCPEの設定を行うことができるように生成するため、オープンvCPEを介して接続できる装置等は予め限定しておく。すなわち、オープンvCPEから利用できる接続先は、認証サーバやDHCP等の認証、設定処理のためにアクセスする必要がある装置に限定して許可する。
他方、ユーザ側では、L2SW/ONUと外部回線とを接続するための回線工事を行う(図7の(3))。そして、ユーザがL2SW/ONUに電源を投入することで、L2SW/ONUと外部回線とのリンクが確立する(図7の(4))。そして、ユーザは端末とL2SW/ONUとを物理的に接続する(図7の(5))。そしてユーザは端末を用いて接続要求を送信する(図7の(6))。ここで、ユーザは予め事業者から通知されたURL等にアクセスすることでvCPEに接続してもよい。送信された接続要求は、オープンvCPEに割り当てられる(図7の(7))。
次に、接続要求を受信したオープンvCPEはアドレスの払い出し要求をDHCPサーバに送信し、DHCPサーバは要求に応じてIPアドレスを発行する(図7の(8))。オープンvCPEは発行されたIPアドレスを認証サーバに転送する(図7の(9))。認証サーバは、IPアドレスによってオープンvCPEを介してユーザの端末を認識し、端末に対して識別情報の入力を要求する(図7の(10))。すなわち、ユーザの端末が事業者のvCPEを利用したサービス提供を受ける正当な端末であるか否かを認証するため、認証サーバはユーザに対して事業者が事前に発行したIDやパスワード等を入力するよう要求する。これに対して、ユーザが正しいIDやパスワード等を端末に入力することで、認証サーバはユーザが正当なユーザであると認証する。そして認証サーバはユーザに対して実行すべき設定の内容を確認して(図7の(11))、オープンvCPEとユーザ端末との割付けの設定を解除する(図7の(12))。
そして、認証サーバはユーザに対して紐付けるべきvCPEを生成するため、設備設計DB/Opsに対してvCPEの払い出しを依頼する(図7の(13))。設備設計DB/Opsは認証サーバからの依頼を受けて、ユーザの設定と、当該ユーザとvCPEとの紐づけを行うよう、IPエッジに情報を送信する(図7の(14))。そして、設備設計DB/Opsはネットワーク上のHWにアクセスしてユーザに紐付けるvCPEを生成する(図7の(15))。これによって、ユーザとvCPEとの紐づけが完了し、vCPEの設定処理が終了する。
図7の(15)以後の処理、すなわち図7の(16)で示す処理は、図6の「vCPE設定後のフロー」と同様である。なお、図7の処理では、オープンvCPEを介したユーザの認証処理を行うため、図6の処理では利用されていない認証サーバが用いられる。したがって、図7の処理を実行する場合には、図4のネットワーク構成に認証サーバを追加することになる。なお、図6、図7中L2SW/ONUの右横の縦向きの破線はホームネットワークとパブリックネットワークとの境界線を示す。
(端末認証情報の発行)
上記のようにして、ユーザの宅内と外部回線、vCPEとが接続された後、ユーザがvCPEを利用したサービスの提供を宅外で受けることができるよう、ユーザの端末に対する認証情報の払い出しを行う。第2の実施形態では、ユーザは、宅内の装置と物理的に接続された固定回線からvCPEを利用してサービスの提供を受ける。これに加えて、ユーザは、宅外で携帯端末等を用いてネットワークにアクセスしvCPEを利用して、宅内で受けているのと同様のサービスを受けることができる。そして、第2の実施形態では、かかる利用態様を前提として、端末別認証払い出し制御装置が、宅外で携帯端末を用いてセキュアな態様でvCPEを利用できるよう、ユーザの携帯端末に対して予め認証用の情報を払い出している。ここで、端末別認証払い出し制御装置は、図4に示す設定DB、コントローラ、設備設計DB/Ops等によって実現されるように構成すればよい。
(端末別認証キー払い出し処理の流れの一例)
図8は、第2の実施形態にかかる端末別認証払い出し制御の処理の流れを説明するための図である。なお、図8中、「端末別認証払い出し制御装置」は、図4のコントローラや設定DB等に対応する。また、図8中、「ユーザ識別/振分装置」はたとえば、図4のIPエッジやDHCPサーバによって実現されるものとする。また、図8中、「仮想化CPE収容装置」は図4のHW等に相当する。
図8を参照し、vCPEとユーザとの紐づけ、すなわち、図6および図7に示す処理が終了した後に実行される端末別認証払い出し制御の処理の流れの一例を説明する。図8の左側はユーザが宅内で行う端末別認証払い出しの処理の概略を示し、図8の右側はユーザが宅外でvCPEを利用しようとする場合に実行する認証処理の概略を示す。
まず、ユーザは宅外で利用したい携帯端末(図8中「#1」で示す。)をL2SW/ONUに接続して、端末を認証するための認証情報(以下認証キーと呼ぶ。)の発行の要求(以下認証キー払い出し要求と呼ぶ。)を送信する(図8の(1))。このとき、認証キー払い出し要求には、L2SW/ONUが接続される固定回線を一意に識別するための回線ID(Identifier)が添付される。そして、認証キー払い出し要求と回線IDとは併せて、当該ユーザに割り当てられているvCPEに送信される。図8では、認証キー払い出し要求と回線IDとは、vCPE#1に送信される。vCPE#1は、受信した認証キー払い出し要求に応じて、端末別認証払い出し制御装置に当該ユーザのMACテーブルを送信する(図8の(2))。また、vCPE#1は、端末別認証払い出し制御装置に当該ユーザの認証キー払い出し要求を送信する。
ところで、vCPE#1には、図8に上中央に示すようなMACテーブルが格納されている。MACテーブルは、当該vCPEを利用するユーザの情報(図8には図示せず)と、当該ユーザの宅内装置と接続する固定回線の回線IDと、が格納される。また、MACテーブルには、当該ユーザが利用する情報端末たとえば携帯端末のMACアドレスが格納される。ユーザが利用する情報端末のMACアドレスは、当該情報端末が初めてvCPEに接続した際に自動的に記録されるものとすればよい。
端末別認証払い出し制御装置は、vCPE#1からMACテーブルと認証キー払い出し要求を受信して、当該MACテーブルに格納された回線IDとMACアドレスとに基づいて認証キーを生成する。また、端末別認証払い出し制御装置は、認証キーの有効期間を設定し、当該認証キーに対応づける。なお、認証キーの生成手法の詳細については後述する。
そして、端末別認証払い出し制御装置は、生成した認証キーをvCPE#1およびL2SW/ONUを介してユーザの端末に送信する(図8の(3))。生成された認証キーと当該認証キーの有効期間とは、vCPE#1が格納するMACテーブルに、携帯端末のMACアドレスと対応づけて記憶される(図8参照)。また、ユーザの端末には払い出された認証キーが記憶される。これで、端末別認証払い出しの処理が完了する。
次に、ユーザは携帯端末を持って外出し、宅外、たとえばホテルから当該ホテルの部屋に設置されたL2SW/ONUを介して外部ネットワークにアクセスする。このとき、ユーザは、認証を目的として事業者により予め設定されたURL等の接続先にアクセスしてもよい。認証を目的としたURLや接続先は、認証キーが払い出される際に、当該認証キーとともに携帯端末に送信されて記憶されるように構成しておけば、ユーザの便宜である。
携帯端末が外部ネットワークにアクセスすることで、当該アクセスが移動先認証依頼となり(図8の(5))、携帯端末にオープンvCPEが割り当てられる(図8の(6))。このとき、利用可能なvCPEがあれば当該vCPEを携帯端末が利用できるように構成してもよいし、常にオープンvCPEを準備しておきオープンvCPEに新規の移動先認証依頼をした携帯端末を割り当てるようにしてもよい。
携帯端末は外部ネットワークにアクセスする際、移動先認証依頼として、当該携帯端末のMACアドレスと予め払い出された認証キーとを送信する(図8の(5))。オープンvCPEは、受信したMACアドレスと認証キーとを端末別認証払い出し制御装置に送信して認証を行わせる(図8の(7))。端末別認証払い出し制御装置は、受信したMACアドレスと認証キーとを、vCPE#1が格納しているMACテーブルと照合し、MACテーブルに格納された正しく対応するMACアドレスと認証キーであるか確認する(図8の(8))。この結果、MACアドレスと認証キーとが正しいことが確認された場合、端末別認証払い出し制御装置は認証成功と判定する。他方、MACアドレスと認証キーとがMACテーブルに格納されていないことが確認された場合、端末別認証払い出し制御装置は認証失敗と判定する。そして、認証成功の場合は、端末別認証払い出し制御装置は、当該携帯端末のユーザに契約されているサービスを提供することができるvCPEを生成して当該携帯端末に割り当てる(図8の(9))。認証失敗の場合は、端末別認証払い出し制御装置は、vCPEの生成および割り当ては行わず、携帯端末をオープンvCPEに割り当てたままとする(図8の(9))。
なお、携帯端末が宅外からネットワークにアクセスし、認証処理をオープンvCPEを利用して実行する場合は、認証成功時にオープンではないvCPEを生成して割り当ててもよいし、利用可能であれば、宅内から利用しているvCPEを割り当ててもよい。また、オープンvCPEを利用せずに、携帯端末を宅内から利用しているものとは別のvCPEに割り当てて認証処理を実行させる場合は、認証成功時に、宅内から利用しているvCPEに割り当ててもよいし、新たにvCPEを生成して割り当ててもよい。
(MACテーブルの構成の一例)
図8を参照し、vCPEに格納させるMACテーブルの構成の一例につきさらに説明する。図8に示すように、MACテーブルには、回線IDと、MACアドレスと、認証キーと、有効期間と、が対応づけて記憶される。このほか図示しないが、ユーザを識別するための他の情報、たとえば、ユーザID等を対応づけて格納してもよい。回線IDは上述のとおり、固定回線を識別するための情報であり、図8の例では、ユーザの宅内装置と物理的に接続される固定回線のIDがMACテーブルに記憶される。MACアドレスは情報通信装置を一意に識別する情報である。第2の実施形態では、認証キーを携帯端末ごとに払い出すため、既に認証キーが払い出されている携帯端末の各MACアドレスに対応づけて、MACテーブル中に認証キーが記憶される。認証キーが払い出されていない携帯端末については、MACテーブルに認証キーが記憶されていない状態となる。認証キーが払い出されている携帯端末についてはさらに、当該認証キーの有効期間が対応づけて記憶される。有効期間は図8に示すように、たとえば、「1day」(一日)、「3min」(3分)、「5h」(5時間)等である。このように認証キーの有効期間を設定するのは、セキュリティ上の理由による。すなわち、認証キーが永久的に有効であるとすると、第三者に携帯端末が盗まれた場合や、第三者が認証キーを入手した場合等に、当該第三者が自由にvCPEを利用したサービスを享受できることになる。また、vCPEを利用してVPNを構築している場合などは、第三者による宅内の装置への不正なアクセスを許容してしまう可能性もある。かかる事態を防止するため、認証キーの有効期間を予め設定しておき、有効期間経過後は自動的に認証キーを無効にすることで、通信サービスのセキュリティを高めている。
(端末別認証キーの払い出し処理の流れの一例)
図9は、第2の実施形態にかかる端末別認証払い出し制御における、認証キーの払い出し処理の流れの一例を示すフローチャートである。図9を参照して、端末別認証キーの払い出し処理の流れについて説明する。図8では、認証キーを回線IDに基づいて生成するものとして説明したが、図9では、認証キーを生成するベースとするユーザ識別子として回線IDまたはVLAN−IDが選択される。また、認証キー払い出しの態様として、即時払い出しと予約払い出しが設定されるものとする。
まず、ユーザと事業者の間で回線契約を行う(ステップS901)。そして、回線工事を行って、図6および図7に示したようなvCPEの設定処理が完了したとする(ステップS902)。その後、ユーザが携帯端末を宅外で利用したい場合、認証キーの払い出し要求を行う。認証キー払い出し要求がない場合(ステップS903、無)は、処理は終了する。他方、認証キー払い出し要求がある場合(ステップS903、有)、ユーザ識別子が送付される(ステップS904)。ここで、ユーザ識別子とは、回線IDおよび/またはVLAN−IDである。端末別認証払い出し制御装置は、回線IDまたはVLAN−IDのいずれかを使用して認証キーを生成することができる。
そこで、次に端末別認証払い出し制御装置は、回線IDまたはVLAN−IDのいずれに基づいて認証キーを生成するか、生成方法を判定する(ステップS905)。回線IDを利用すると判定した場合(ステップS905、回線ID)、端末別認証払い出し制御装置に回線IDが送信される(ステップS906)。他方、VLAN−IDを利用すると判定した場合(ステップS905,VLAN−ID)、端末別認証払い出し制御装置にVLAN−IDがvCPEから送信される(ステップS907)。
次に、端末別認証払い出し制御装置は、認証キー払い出し要求において、即時払い出しを要求されているか、予約払い出しを要求されているかを判定する(ステップS908)。ここで、即時払い出しとは、認証キー払い出し要求を受信すれば直ちに認証キーを生成して払い出す処理を指す。また、予約払い出しとは、認証キー払い出し要求を受信した時点からN分後等、指定された時間に認証キーを払い出す処理、または、1時間ごとなど所定の時間ごとに定期的に払い出す処理を指す。図9は、指定時間に到達すると認証キーを払い出す予約登録であるものとしてステップS908〜S910を記載する。
ステップS908で、予約払い出しであると判定した場合(ステップS908、予約)、端末別認証払い出し制御装置は、予約を登録する(ステップS909)。そして、端末別認証払い出し制御装置は、指定時間に到達したか否かを判定し(ステップS910)、指定時間に到達していないと判定すると(ステップS910、否定)、ステップS910に戻る。他方、指定時間に到達したと判定すると(ステップS910、肯定)、端末別認証払い出し制御装置は、中継装置が保有する情報、たとえばvCPEが保有するMACテーブルに格納されるMACアドレス等の情報を端末別認証払い出し制御装置に送信させる(ステップS911)。ステップS908において、即時払い出しであると判定した場合(ステップS908,即時)も、端末別認証払い出し制御装置は、ステップS911に進み、所定の情報を取得する。そして、端末別認証払い出し制御装置は、取得した情報に基づき、認証キーを生成する(ステップS912)。そして、端末別認証払い出し制御装置は、生成した認証キーを端末に払い出す(ステップS913)。これで、認証キー払い出し処理が終了する。
(認証キーを用いた認証処理の流れの一例)
図10は、第2の実施形態にかかる端末別認証払い出し制御における、認証キーを用いた認証処理の流れの一例を示すフローチャートである。認証キーを用いた認証処理は、vCPEを利用した固定回線のサービスの契約者が、宅外でvCPEを利用したサービスを受けようとする場合に実行される。
まず、ユーザは移動先、すなわち宅外から認証キーの払い出しを受けている携帯端末を用いてvCPEに接続する(ステップS1001)。ここで、ユーザは、任意の利用可能なvCPEまたはオープンvCPEにアクセスする。アクセス先のvCPEまたはオープンvCPEは、認証キーの払い出し時に端末別認証払い出し制御装置から携帯端末に対して通知された接続先であってもよい。
アクセスされたvCPEは認証キーを用いた認証処理を実行するか否かを判定する(ステップS1002)。vCPEはたとえば、携帯端末から認証キーが送信されているか否かを判定することで認証処理を実行するか否かを判定する。vCPEが認証処理を実行しないと判定した場合(ステップS1002、否定)、認証処理は実行されず、ユーザは最初に割り当てられたvCPEまたはオープンvCPEを利用して通信サービスの利用を継続する(ステップS1003)。この場合は、ユーザにもともと割り当てられているvCPEによって提供されるサービスやVPNを利用することはできないが、限定された範囲での通信サービスを利用することができる。
他方、vCPEが認証処理を実行すると判定した場合(ステップS1002、肯定)、vCPEは認証用サーバにアクセスして認証サーバと接続する(ステップS1004)。認証用サーバは、送信された認証キーを、認証を実行する装置に転送して認証を実行させる(ステップS1005)。
認証が失敗した場合(ステップS1006、否定)、ステップS1003に戻り、携帯端末はS1001において接続されたvCPEまたはオープンvCPEに接続したまま、限定された範囲での通信サービスの利用を継続する。他方、認証が成功した場合(ステップS1006、肯定)、端末別認証払い出し制御装置は当該携帯端末が接続されているのがオープンvCPEであるか他契約者のvCPEであるかを判定する(ステップS1007)。そして、他契約者のvCPEであると判定した場合、端末別認証払い出し制御装置は、携帯端末の接続先を他契約者のvCPEから当該携帯端末のユーザのvCPEに切り替える(ステップS1008)。オープンvCPEであると判定した場合も、端末別認証払い出し制御装置は、当該携帯端末の接続先を当該契約者のvCPEに切り替える(ステップS1009)。そして、携帯端末の接続先を切り替えた後は、契約者情報に基づき契約されている内容に応じてvCPEによるサービスが提供される(ステップS1010)。これによって認証キーを用いた認証処理が完了する。
なお、図10のフローチャートでは、認証が成功した場合常に契約者のvCPEに切り替えるものとした。しかし、図8を参照して説明した通り、ネットワークの構成やvCPEが生成される装置の処理能力に応じて、契約者のvCPEに切り替えるか新たに契約者のvCPE相当のvCPEを生成して接続させるか、を選択するように構成してもよい。
また、契約者情報の格納先や、認証処理の実行要否の判断(ステップS1002)主体、認証キーをチェックする処理の実行元(ステップS1005)は、ネットワークの接続態様に応じて設定すればよく、特に限定されない。図10のフローでは、認証用サーバと認証キーをチェックする装置とを別体としているが、認証用サーバが認証キーのチェックも行うように構成してもよい。
(認証キーの構成の一例)
次に、認証キーの構成の一例について説明する。図11は、第2の実施形態にかかる端末別認証払い出し制御において、払い出される認証キーの構成の一例を説明するための図である。
第2の実施形態においては、認証キーは、各携帯端末のMACアドレスと、ユーザの宅内装置(L2SW/ONU等)が接続される固定回線の回線IDと、生成時間と、に基づいて生成される。
図11の例に示す「端末#1」「端末#2」「端末#3」および「回線ID」は、vCPEが保持するMACテーブルに格納される情報である。図8を参照して説明した通り、ユーザから認証キー払い出し要求が端末別認証払い出し制御装置に送信されると、ユーザに割り当てられているvCPEから端末別認証払い出し制御装置にMACテーブルが送信される。端末別認証払い出し制御装置は、当該ユーザに対応するMACテーブルを参照して認証キーを生成する。
ユーザに対応づけてvCPEに格納されているMACテーブルには、当該ユーザが利用している複数の端末(携帯端末および固定端末を含む。)のMACアドレスが格納される。たとえば、図11の例では、「端末#1」のMACアドレス「AABCADEAFACA」が格納される。なお、図11の例では、「端末#1」のMACアドレスは12桁であるため、「端末#1」の「識別子」の桁13以降はアスタリスクで示す。他の識別子についても同様に示す。
図11の例では、認証キーは各桁の値を、MACテーブルに格納されているMACアドレスおよび回線IDの対応する桁の値の一つを選択することで生成される。たとえば、桁1については、「端末#1」の桁1の値「A」、「端末#2」の桁1の値「B」、「端末#3」の桁1の値「F」、回線IDの桁1の値「C」の4つが認証キーの桁1の生成候補となる。そして、所定の規則に基づき、生成候補である4つの値の一つを選択して認証キーを生成する。図11の例1では、「端末#1」の値「A」が選択されている。
なお、各認証キーには、生成時に有効期限が設定される。有効期限や生成時間を示す情報は、認証キー自体に付加するようにしてもよいし、MACテーブル等に格納して管理し、認証キー自体には付加しなくてもよい。
また、認証キーの桁数は、認証の安全性や格納される情報の十全性に影響しない範囲で任意に設定できる。たとえば、回線IDの桁数とMACアドレスの桁数が相違する場合には、桁数の少ない方を基準として、たとえば最小桁数以下に認証キーの桁数を設定してもよい。
認証キーの各桁の値は、0〜9の自然数の数値とA〜Zの英数字とする。ただし、変換コード等で対応できる言語であれば、英数字以外の文字を認証キーの生成候補としてもよい。
また、上記の説明では、各桁の値は所定の規則に基づいて生成候補から選択するものとした。生成された識別子は1個またはN個を認証キーとして利用する。
また、MACアドレスと回線IDの桁数が異なる場合に、桁数をあわせるためにアスタリスクを割付ける。この際、アスタリスクを割付ける桁は任意の桁であってよいし、アスタリスクに代えてユーザ自身が割り当てた任意の数値を任意の桁に付与してもよい。たとえば、各識別子の最初または最後に割付ければよい。
(第2の実施形態の効果)
このように、第2の実施形態に係る端末別認証払い出し制御は、宅内機器およびvCPE(virtual Customer Premises Equipment)を介してユーザの携帯端末から受信した認証キー払い出し要求に応じて、当該ユーザを一意に識別するユーザ識別子と、前記携帯端末を一意に識別するMACアドレスと、に基づき、宅外でvCPEを利用したサービスを受けるための認証キーを生成し、生成した前記認証キーを、前記宅内機器および前記vCPEを介して前記携帯端末に払い出し、認証キーを受信すると前記認証キーに基づく認証処理を実行し、認証に成功した場合、前記vCPEまたは前記vCPEと同じ機能を有する他のvCPEと前記認証キーの送信元とを接続し、前記vCPEの機能を利用したサービスの提供を可能にする。このため、vCPE利用におけるセキュアな端末認証を実現することができる。
また、第2の実施形態にかかる端末別認証払い出し制御は、宅外から端末が接続した固定回線の回線IDに依存せず認証を実行することができるため、ユーザが宅外の任意の場所から自由に自分のvCPEにアクセスして宅内にいるときと同様の通信サービスの提供を受けることができる。
また、第2の実施形態にかかる端末別認証払い出し制御は、ユーザを一意に識別するユーザ識別子として、宅内機器が接続する回線を一意に識別する回線ID(Identifier)およびvCPEの機能により形成されるVLAN(Virtual Local Area Network)を一意に識別するVLAN−IDのうち少なくともいずれか一方に基づいて認証キーを生成する。このため、端末がSIM認証やSMG認証を行うことができない端末であっても、MACアドレスと回線IDやVLAN−IDに基づいた認証キーを用いてセキュアな認証を実現することができる。
また、第2の実施形態にかかる端末別認証払い出し制御は、認証キーを生成する際、認証キーの有効期間を設定して、当該認証キーに対応づける。このように、認証キーは、所定期間が経過すれば無効になるように設定されているため、仮に第三者がユーザの携帯端末を不正に入手したとしても、ユーザの被害が大きくなることを防止できる。
また、第2の実施形態にかかる端末別認証払い出し制御では、ユーザが使用する複数の端末のMACアドレスに基づいて認証キーを生成している。このため、第三者が他の端末を接続する等してMACアドレスが追加された場合にそれまでの認証キーが無効となるようにでき、さらにセキュリティを高めることができる。
また、端末ごとに認証キーを払い出す構成としているため、第三者が不正に認証キーを取得したとしても他の端末を用いたアクセスを行うことはできず、ユーザに被害が及ぶことを防止できる。
また、ユーザ宅内に配置されてきたCPEをネットワーク上に仮想的に配備するため、ユーザ宅内に配置する装置の機能を簡略化することができる。また、通信サービスを提供する事業者側は、ネットワーク側でCPEの保守等を行うことができるため、運用コストを削減することができる。
(変形例)
なお、上記に説明した実施形態に限定されず、上記実施形態の構成を適宜変形することができる。たとえば、第2の実施形態では、ユーザが利用する端末毎に異なる認証キーを払い出し、端末毎に認証を行うものとしたが、ユーザが利用する端末すべてに同一の認証キーを払い出すようにしてもよい。
(プログラム)
図12は、開示の技術に係る端末別認証払い出し制御プログラムおよび認証キー払い出し機能設定プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図12に例示するように、コンピュータは、例えば、メモリと、CPU(Central Processing Unit)と、ハードディスクドライブインタフェースと、ディスクドライブインタフェースと、シリアルポートインタフェースと、ビデオアダプタと、ネットワークインタフェースとを有し、これらの各部はバスによって接続される。
メモリは、図12に例示するように、ROM(Read Only Memory)及びRAM(Random Access Memory)を含む。ROMは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェースは、図12に例示するように、ハードディスクドライブに接続される。ディスクドライブインタフェースは、図12に例示するように、ディスクドライブに接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェースは、図12に例示するように、例えばマウス、キーボードに接続される。ビデオアダプタは、図12に例示するように、例えばディスプレイに接続される。
ここで、図12に例示するように、ハードディスクドライブは、例えば、OS(Operating System)、アプリケーションプログラム、プログラムモジュール、プログラムデータを記憶する。すなわち、開示の技術に係る端末別認証払い出し制御プログラムおよび認証キー払い出し機能設定プログラムは、コンピュータによって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブに記憶される。具体的には、上記実施例で説明した生成部と同様の情報処理を実行する生成手順と、認証部と同様の情報処理を実行する認証手順とが記述されたプログラムモジュールが、ハードディスクドライブに記憶される。また、上記実施例で説明したMACテーブルに記憶されるデータのように、端末別認証払い出し制御プログラムおよび認証キー払い出し機能設定プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えばハードディスクドライブに記憶される。そして、CPUが、ハードディスクドライブに記憶されたプログラムモジュールやプログラムデータを必要に応じてRAMに読み出し、生成手順、認証手順等を実行する。
なお、端末別認証払い出し制御プログラムおよび認証キー払い出し機能設定プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブに記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPUによって読み出されてもよい。あるいは、端末別認証払い出し制御プログラムおよび認証キー払い出し機能設定プログラムに係るプログラムモジュールやプログラムデータは、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェースを介してCPUによって読み出されてもよい。
なお、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
10 制御装置(端末別認証払い出し制御装置、認証キー払い出し機能設定装置)
11 生成部
12 取得部
13 認証キー生成部
14 払い出し部/送信部
15 認証部
20〜40 vCPE
50 オープンvCPE
60 携帯端末
70A,70B 家
70C ホテル
80A〜80C L2SW/ONU
91 IPTV
92 NFVI−PoP
93 VoIP
94 インターネット

Claims (5)

  1. 宅内機器およびvCPE(virtual Customer Premises Equipment)を介してユーザの複数の携帯端末から受信した認証キー払い出し要求に応じて、当該ユーザを一意に識別するユーザ識別子と、前記複数の携帯端末を一意に識別するMACアドレスと、に基づき、前記ユーザ識別子および前記複数の携帯端末各々を一意に識別する各MACアドレスの桁数以下の桁数を選択し、選択した桁数の各桁に対応する前記ユーザ識別子および前記MACアドレスの値を抽出し、所定の規則に従い各桁について抽出した前記値の一つを選択し、選択した値を各桁の順番に配列して、宅外でvCPEを利用したサービスを受けるための認証キーを生成し、新たなMACアドレスが追加された場合にはそれまでの認証キーが無効となるようにする生成部と、
    前記生成部が生成した前記認証キーを、前記宅内機器および前記vCPEを介して前記複数の携帯端末に払い出す払い出し部と、
    前記認証キーを受信すると前記認証キーに基づく認証処理を実行し、認証に成功した場合、ネットワークの構成やvCPEが生成される装置の処理能力に応じて、契約者の前記vCPEに接続させるか、または、前記契約者のvCPEと同じ機能を有するvCPEを新たに生成して接続させるかを選択し、選択した前記契約者のvCPEまたは新たに生成したvCPEと前記認証キーの送信元とを接続し、前記vCPEの機能を利用したサービスの提供を可能にする認証部と、
    を備えることを特徴とする端末別認証払い出し制御装置。
  2. 前記生成部は、前記ユーザを一意に識別するユーザ識別子として、前記宅内機器が接続する回線を一意に識別する回線ID(Identifier)および前記vCPEの機能により形成されるVLAN(Virtual Local Area Network)を一意に識別するVLAN−IDのうち少なくともいずれか一方に基づいて前記認証キーを生成することを特徴とする請求項1に記載の端末別認証払い出し制御装置。
  3. 前記生成部は、前記認証キーを生成する際、当該認証キーの有効期間を設定して、当該認証キーに対応づけることを特徴とする請求項2に記載の端末別認証払い出し制御装置。
  4. 宅内機器およびvCPEを介してユーザの複数の携帯端末から受信した認証キー払い出し要求に応じて、当該ユーザを一意に識別するユーザ識別子と、前記複数の携帯端末を一意に識別するMACアドレスと、に基づき、前記ユーザ識別子および前記複数の携帯端末各々を一意に識別する各MACアドレスの桁数以下の桁数を選択し、選択した桁数の各桁に対応する前記ユーザ識別子および前記MACアドレスの値を抽出し、所定の規則に従い各桁について抽出した前記値の一つを選択し、選択した値を各桁の順番に配列して、宅外でvCPEを利用したサービスを受けるための認証キーを生成し、新たなMACアドレスが追加された場合にはそれまでの認証キーが無効となるようにする生成工程と、
    前記生成工程において生成した前記認証キーを、前記宅内機器および前記vCPEを介して前記複数の携帯端末に払い出す払い出し工程と、
    前記認証キーを受信すると前記認証キーに基づく認証処理を実行し、認証に成功した場合、ネットワークの構成やvCPEが生成される装置の処理能力に応じて、契約者の前記vCPEに接続させるか、または、前記契約者のvCPEと同じ機能を有するvCPEを新たに生成して接続させるかを選択し、選択した前記契約者のvCPEまたは新たに生成したvCPEと前記認証キーの送信元とを接続し、前記vCPEの機能を利用したサービスの提供を可能にする認証工程と、
    を含むことを特徴とする端末別認証払い出し制御方法。
  5. 宅内機器およびvCPEを介してユーザの複数の携帯端末から受信した認証キー払い出し要求に応じて、当該ユーザを一意に識別するユーザ識別子と、前記複数の携帯端末を一意に識別する各MACアドレスと、に基づき、前記ユーザ識別子および前記複数の携帯端末各々を一意に識別する各MACアドレスの桁数以下の桁数を選択し、選択した桁数の各桁に対応する前記ユーザ識別子および前記MACアドレスの値を抽出し、所定の規則に従い各桁について抽出した前記値の一つを選択し、選択した値を各桁の順番に配列して、宅外でvCPEを利用したサービスを受けるための認証キーを生成し、新たなMACアドレスが追加された場合にはそれまでの認証キーが無効となるようにする生成手順と、
    前記生成手順において生成した前記認証キーを、前記宅内機器および前記vCPEを介して前記複数の携帯端末に払い出す払い出し手順と、
    前記認証キーを受信すると前記認証キーに基づく認証処理を実行し、認証に成功した場合、ネットワークの構成やvCPEが生成される装置の処理能力に応じて、契約者の前記vCPEに接続させるか、または、前記契約者のvCPEと同じ機能を有するvCPEを新たに生成して接続させるかを選択し、選択した前記契約者のvCPEまたは新たに生成したvCPEと前記認証キーの送信元とを接続し、前記vCPEの機能を利用したサービスの提供を可能にする認証手順と、
    をコンピュータに実行させることを特徴とする端末別認証払い出し制御プログラム。
JP2014181316A 2014-09-05 2014-09-05 端末別認証払い出し制御装置、端末別認証払い出し制御方法および端末別認証払い出し制御プログラム Active JP6258164B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014181316A JP6258164B2 (ja) 2014-09-05 2014-09-05 端末別認証払い出し制御装置、端末別認証払い出し制御方法および端末別認証払い出し制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014181316A JP6258164B2 (ja) 2014-09-05 2014-09-05 端末別認証払い出し制御装置、端末別認証払い出し制御方法および端末別認証払い出し制御プログラム

Publications (2)

Publication Number Publication Date
JP2016057672A JP2016057672A (ja) 2016-04-21
JP6258164B2 true JP6258164B2 (ja) 2018-01-10

Family

ID=55758479

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014181316A Active JP6258164B2 (ja) 2014-09-05 2014-09-05 端末別認証払い出し制御装置、端末別認証払い出し制御方法および端末別認証払い出し制御プログラム

Country Status (1)

Country Link
JP (1) JP6258164B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106059994B (zh) * 2016-04-29 2020-02-14 华为技术有限公司 一种数据传输方法及网络设备
WO2018008933A1 (ko) * 2016-07-04 2018-01-11 주식회사 케이티 단일 인터넷 회선을 이용한 가상 cpe 서비스 제공 방법 및 네트워크 펑션 가상화 클라우드
JP2018142891A (ja) * 2017-02-28 2018-09-13 沖電気工業株式会社 インターネット接続処理方法
JP6806255B2 (ja) * 2017-07-31 2021-01-06 日本電気株式会社 仮想化宅内通信設備、ポリシー管理サーバー及びサービス提供方法
JP6933184B2 (ja) * 2018-04-05 2021-09-08 日本電信電話株式会社 通信システム及び帯域制御方法
JP7028035B2 (ja) * 2018-04-10 2022-03-02 日本電信電話株式会社 通信システム、及び通信方法
CN109857711B (zh) * 2019-01-04 2021-03-02 烽火通信科技股份有限公司 一种基于vCPE的家庭网络媒体分享方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2216959B1 (en) * 2009-02-04 2019-04-03 Alcatel Lucent Virtual customer premises equipment
JP5770023B2 (ja) * 2011-06-10 2015-08-26 日本電信電話株式会社 紙媒体関連情報提供システムおよび紙媒体関連情報提供方法
US9374267B2 (en) * 2011-12-30 2016-06-21 Juniper Networks, Inc. Cloud based customer premises equipment
JP2013168036A (ja) * 2012-02-15 2013-08-29 Nippon Telegr & Teleph Corp <Ntt> 認証方法、エッジノード、及び認証サーバ

Also Published As

Publication number Publication date
JP2016057672A (ja) 2016-04-21

Similar Documents

Publication Publication Date Title
JP6258164B2 (ja) 端末別認証払い出し制御装置、端末別認証払い出し制御方法および端末別認証払い出し制御プログラム
US10491583B2 (en) Provisioning remote access points
CN104506510B (zh) 用于设备认证的方法、装置及认证服务系统
US8144692B2 (en) Automation of IP phone provisioning with self-service voice application
US9065903B2 (en) User-based authentication for realtime communications
KR20120064916A (ko) 전화번호를 이용한 홈 네트워크 접근 제어 장치 및 그 방법과 그 시스템
JP2015228067A (ja) 権限移譲システム、方法、認証サーバーシステム、およびそのプログラム
CN103428211A (zh) 基于交换机的网络认证系统及其认证方法
US8769623B2 (en) Grouping multiple network addresses of a subscriber into a single communication session
CN103023856A (zh) 单点登录的方法、系统和信息处理方法、系统
CN106301847B (zh) 接入点接口配置恢复方法、装置及家庭网关
KR20140137005A (ko) 클라우드 컴퓨팅 시스템에서의 통신 단말들의 배치를 위한 시스템
CN102137044A (zh) 一种基于社区平台的群组信息安全交互的方法及系统
KR101070490B1 (ko) 고객 컴퓨터 원격 지원 방법 및 그 시스템
KR101869584B1 (ko) 클라우드 기반 신원 관리(c-idm) 구현을 위한 방법 및 시스템
JP6312325B2 (ja) 無線通信におけるクライアント端末認証システムおよびクライアント端末認証方法
JP2019176369A (ja) 通信システム、通信装置、通信方法及び通信プログラム
CN110995510B (zh) 一种pol中实现voip业务零配置的管理方法和装置
JP6973326B2 (ja) 通信システム及び通信方法
JP2018133022A (ja) Api提供装置及びapi使用権委譲の同意方法
JP2018142891A (ja) インターネット接続処理方法
JP2006054694A (ja) ネットワーク接続方法及びシステム、ネットワーク接続用プログラム
JP2016062337A (ja) 認可判定プログラム、方法、及び装置
CA2829892A1 (en) System and method for delayed device registration on a network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160916

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170830

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170912

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171102

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171206

R150 Certificate of patent or registration of utility model

Ref document number: 6258164

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150