JP7076050B1 - Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム - Google Patents
Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム Download PDFInfo
- Publication number
- JP7076050B1 JP7076050B1 JP2022018384A JP2022018384A JP7076050B1 JP 7076050 B1 JP7076050 B1 JP 7076050B1 JP 2022018384 A JP2022018384 A JP 2022018384A JP 2022018384 A JP2022018384 A JP 2022018384A JP 7076050 B1 JP7076050 B1 JP 7076050B1
- Authority
- JP
- Japan
- Prior art keywords
- instance
- credential
- session
- iot device
- gtp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
【課題】MNOの通信インフラに接続される通信インフラを用いて、セルラー通信のための無線アクセスネットワークを介さずにアクセスを可能とする方法及び装置を提供する。【解決手段】装置200は、IoT機器230から、通信サービスの加入者識別子232を含むセッション生成要求を受信し、MNOの通信インフラ210に接続されるクラウド上の通信インフラ220に含まれる第1、第2のインスタンスの間のGTPトンネルのためのプロビジョニングコールを送信する。いずれかのインスタンスから、加入者識別子に関連付けられたID及びGTP-Uセッションの送信元となる送信元アドレスを受信する。第1のインスタンスにIoT機器と第1のインスタンスとの間のVPNトンネルのための、送信元アドレス及び公開鍵を含むプロビジョニングコール送信する。公開鍵に対応する秘密鍵を記憶したIoT機器に接続情報を送信する。【選択図】図2
Description
本発明は、IPネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラムに関する。
セルラーネットワークを用いた無線通信サービスは、従来MNO(移動体通信事業者)により提供され、利用者はMNOと契約して当該MNOからSIMカードを受け取り、それを機器に装着することで利用を開始することができる。
近年、MVNO(仮想移動体通信事業者)の登場により無線通信回線の小売が進んでおり、この場合、利用者はMNOではなくMVNOからSIMカードを受け取る。MVNOには、自社で一切通信インフラを有しない形態と、自社でも通信インフラを有し、その通信インフラをMNOの通信インフラに接続して無線通信サービスを提供する形態に大別することができる。後者(図1参照)は前者と比較して、自社でも通信インフラを有することから、一例として、通信速度、通信容量等の通信品質に応じた価格設定が可能であり、さまざまなニーズに応えることが試みられている。
無線通信サービスに対するニーズとして近年顕著に増加しているのが、あらゆるモノに通信機能を加えてインターネットにつなげるIoTの動きである。以下、インターネットを含めてコンピュータネットワークに接続可能な機器を「IoT機器」と呼ぶ。SIMカードを装着することによって、IoT機器はセルラー通信を用いてIPネットワークにアクセス可能となる。
なお、MNOとMVNOの間に、MVNOが円滑な事業を行うための支援サービスを提供するMVNE(仮想移動体通信サービス提供者)が介在し、MVNEがMNOからSIMカードの提供を受けて、それをさらにMVNOに提供する場合もある。たとえば、MVNEの通信インフラをMNOの通信インフラに接続して無線通信サービスを実現し、自社の通信インフラを有しないMVNOが小売を担うことが考えられる。
しかしながら、セルラー通信を用いずに、より具体的にはセルラー通信のための無線アクセスネットワークを用いずにIoT機器にIPネットワークへのアクセスを可能とすることも併用したい場合に、上述のようなMVNO又はMVNEにより提供される無線通信サービスとは別個の通信サービスを利用して各々を管理するか、複数の通信サービスを管理するための通信システムを自社で開発することが必要となり、これは管理コスト、開発コスト等のコスト増大を招く。
本発明は、このような問題点に鑑みてなされたものであり、その目的は、MNOの通信インフラに接続される通信インフラを用いて、IoT機器に、IPネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラムにおいて、セルラー通信のための無線アクセスネットワークを介さずに当該アクセスを可能とすることにある。
また、本発明のより一般的な目的は、IoT機器がIPネットワークにアクセスするための通信サービスにおいて、MNOの通信インフラに接続される通信インフラを用いて、セルラー通信のための無線アクセスネットワークを介さずに当該アクセスを可能とすることにある。
なお、MNO、MVNO及びMVNEという用語は、その定義が異なることがある。本明細書においては、MNOは3GのSGSN、LTEのS-GWを通信インフラとして保有し、MVNO又はMVNEについては区別せず、MNOの通信インフラに接続される通信インフラを有する事業者と包括的に呼称することがある。当該事業者が保有する通信インフラとしては、3GのGGSN、LTEのP-GWが例として挙げられる。
また、上述の説明ではSIMカードがIoT機器に装着されることを例としているが、物理的なSIMカードに限らず、IoT機器に組み込まれた半導体チップ、IoT機器のモジュール内のセキュアなエリアに搭載されたソフトウェア等により実装してよく、以下ではこれらを包含して「SIM」と呼ぶ。SIMは、当該SIMを識別するSIM識別子を記憶している。SIM識別子の例としては、IMSI、ICCID、MSISDN等が挙げられる。
本発明は、このような問題点に鑑みてなされたものであり、その目的は、MNOの通信インフラに接続されるクラウド上の通信インフラが備える設備を用いて、IoT機器に、IPネットワークにアクセスするための通信サービスを提供するための方法であって、前記通信サービスの加入者を識別するための加入者識別子を含むセッション生成要求を受信するステップと、前記加入者識別子に関連づけてIDを記憶するステップと、前記設備に含まれる第1のインスタンス及び第2のインスタンスに、前記第1のインスタンスと前記第2のインスタンスとの間のGTP-Uセッションを生成するための第1のプロビジョニングコールであって、前記IDを含む第1のプロビジョニングコールを送信するステップと、前記第1のインスタンス又は前記第2のインスタンスから、前記第1のプロビジョニングコールの応答として、前記GTP-Uセッションの送信元となる送信元アドレスを受信するステップと、前記第1のインスタンスに、前記IoT機器と前記第1のインスタンスとの間のVPNセッションを生成するための第2のプロビジョニングコールであって、前記送信元アドレス及び前記第1のクレデンシャルを含む第2のプロビジョニングコールを送信するステップと、前記第1のクレデンシャル又は前記第1のクレデンシャルに対応する第2のクレデンシャルを記憶した前記IoT機器に向けて、前記送信元アドレス及び前記第1のインスタンスの宛先アドレスを含む接続情報を送信するステップとを含む。
また、本発明の第2の態様は、第1の態様の方法であって、前記接続情報は、前記第1のインスタンスのポート番号を含む。
また、本発明の第3の態様は、第1又は第2の態様の方法であって、前記第1のクレデンシャルは、公開鍵であり、前記第2のクレデンシャルは、前記公開鍵に対応する秘密鍵である。
また、本発明の第4の態様は、第1から第3のいずれかの態様の方法であって、前記第1のインスタンス及び前記第2のインスタンスは、クラウド又はパブリッククラウド上のインスタンスである。
また、本発明の第5の態様は、第1から第4のいずれかの態様の方法であって、前記セッション生成要求は、前記IoT機器から受信する。
また、本発明の第6の態様は、装置に、MNOの通信インフラに接続されるクラウド上の通信インフラが備える設備を用いて、IoT機器に、IPネットワークにアクセスするための通信サービスを提供するための方法を実行させるためのプログラムであって、前記方法は、前記通信サービスの加入者を識別するための加入者識別子を含むセッション生成要求を受信するステップと、前記加入者識別子に関連づけてIDを記憶するステップと、前記設備に含まれる第1のインスタンス及び第2のインスタンスに、前記第1のインスタンスと前記第2のインスタンスとの間のGTP-Uセッションを生成するための第1のプロビジョニングコールであって、前記IDを含む第1のプロビジョニングコールを送信するステップと、前記第1のインスタンス又は前記第2のインスタンスから、前記第1のプロビジョニングコールの応答として、前記GTP-Uセッションの送信元となる送信元アドレスを受信するステップと、前記第1のインスタンスに、前記IoT機器と前記第1のインスタンスとの間のVPNセッションを生成するための第2のプロビジョニングコールであって、前記送信元アドレス及び前記第1のクレデンシャルを含む第2のプロビジョニングコールを送信するステップと、前記第1のクレデンシャル又は前記第1のクレデンシャルに対応する第2のクレデンシャルを記憶した前記IoT機器に向けて、前記送信元アドレス及び前記第1のインスタンスの宛先アドレスを含む接続情報を送信するステップとを含む。
また、本発明の第7の態様は、MNOの通信インフラに接続されるクラウド上の通信インフラが備える設備を用いて、IoT機器に、IPネットワークにアクセスするための通信サービスを提供するための装置であって、前記通信サービスの加入者を識別するための加入者識別子を含むセッション生成要求を受信して、前記加入者識別子に関連づけてIDを記憶し、前記設備に含まれる第1のインスタンス及び第2のインスタンスに、前記第1のインスタンスと前記第2のインスタンスとの間のGTP-Uセッションを生成するための第1のプロビジョニングコールであって、前記IDを含む第1のプロビジョニングコールを送信して、前記第1のインスタンス又は前記第2のインスタンスから、前記第1のプロビジョニングコールの応答として、前記GTP-Uセッションの送信元となる送信元アドレスを受信し、前記第1のインスタンスに、前記IoT機器と前記第1のインスタンスとの間のVPNセッションを生成するための第2のプロビジョニングコールであって、前記送信元アドレス及び前記第1のクレデンシャルを含む第2のプロビジョニングコールを送信し、前記第1のクレデンシャル又は前記第1のクレデンシャルに対応する第2のクレデンシャルを記憶した前記IoT機器に向けて、前記送信元アドレス及び前記第1のインスタンスの宛先アドレスを含む接続情報を送信する。
また、本発明の第8の態様は、その間にGTP-Uセッションが生成された第1のインスタンス及び第2のインスタンスを有するクラウド上の通信インフラを用いて、IoT機器がIPネットワークにアクセスするための通信サービスを提供する方法であって、前記第1のインスタンスが、前記IoT機器から、前記IoT機器に格納されたクレデンシャル又は一時的なクレデンシャルによって暗号化されたIPパケットをカプセル化したVPNパケットを受信するステップと、前記第1のインスタンスが、前記VPNパケットに含まれる送信元アドレス又は一時的なキーに対応するクレデンシャル又は一時的なクレデンシャルを取得して、暗号化された前記IPパケットを復号化するステップと、前記第1のインスタンスが、復号化された前記IPパケットのヘッダに含まれる送信元アドレスに基づいて、前記第1のインスタンスに保持された、1又は複数の送信元アドレスと各送信元アドレスが割り当てられたGTPセッションの送信先との対応づけを参照して、前記第2のインスタンスを判定するステップと、前記第1のインスタンスが、前記第2のインスタンスに対して、復号化された前記IPパケットをGTPペイロードとするGTPパケットを送信するステップと、前記第2のインスタンスが、前記GTPパケットからGTPヘッダを取り除いて、前記GTPペイロードであるIPパケットを前記設備の外部又は内部のIPネットワークに送信するステップとを含む。
また、本発明の第9の態様は、その間にGTP-Uセッションが生成された、クラウド上の通信インフラが有する第1のインスタンス及び第2のインスタンスに、IoT機器がIPネットワークにアクセスするための通信サービスを提供する方法を実行させるためのプログラムであって、前記方法は、前記第1のインスタンスが、前記IoT機器から、前記IoT機器に格納されたクレデンシャル又は一時的なクレデンシャルによって暗号化されたIPパケットをカプセル化したVPNパケットを受信するステップと、前記第1のインスタンスが、前記VPNパケットに含まれる送信元アドレス又は一時的なキーに対応するクレデンシャル又は一時的なクレデンシャルを取得して、暗号化された前記IPパケットを復号化するステップと、前記第1のインスタンスが、復号化された前記IPパケットのヘッダに含まれる送信元アドレスに基づいて、前記第1のインスタンスに保持された、1又は複数の送信元アドレスと各送信元アドレスが割り当てられたGTPセッションの送信先との対応づけを参照して、前記第2のインスタンスを判定するステップと、前記第1のインスタンスが、前記第2のインスタンスに対して、復号化された前記IPパケットをGTPペイロードとするGTPパケットを送信するステップと、前記第2のインスタンスが、前記GTPパケットからGTPヘッダを取り除いて、前記GTPペイロードであるIPパケットを前記設備の外部又は内部のIPネットワークに送信するステップとを含む。
また、本発明の第10の態様は、IoT機器がIPネットワークにアクセスするための通信サービスを提供するためのクラウド上の通信インフラであって、その間にGTP-Uセッションが生成された第1のインスタンス及び第2のインスタンスを有し、前記第1のインスタンスが、前記IoT機器から、前記IoT機器に格納されたクレデンシャル又は一時的なクレデンシャルによって暗号化されたIPパケットをカプセル化したVPNパケットを受信し、前記VPNパケットに含まれる送信元アドレス又は一時的なキーに対応するクレデンシャル又は一時的なクレデンシャルを取得して、暗号化された前記IPパケットを復号化し、前記第1のインスタンスが、復号化された前記IPパケットのヘッダに含まれる送信元アドレスに基づいて、前記第1のインスタンスに保持された、1又は複数の送信元アドレスと各送信元アドレスが割り当てられたGTPセッションの送信先との対応づけを参照して、前記第2のインスタンスを判定して、前記第2のインスタンスに対して、復号化された前記IPパケットをGTPペイロードとするGTPパケットを送信し、前記第2のインスタンスが、前記GTPパケットからGTPヘッダを取り除いて、前記GTPペイロードであるIPパケットを前記設備の外部又は内部のIPネットワークに送信する。
本発明の一態様によれば、VPNトンネルによってインターネット等のIPネットワーク上で秘匿回線が与えられ、IoT機器は、当該秘匿回線を通じて、MNOの通信インフラに接続される通信インフラであって、GTPトンネルを通じてIPネットワークにデータを送信し、IPネットワークからデータを受信することのできる通信インフラに、無線アクセスネットワークを介さずに接続可能となる。
以下、図面を参照して本発明の実施形態を詳細に説明する。
図2に、本発明の一実施形態にかかるIPネットワークにアクセスするための通信サービスを提供するための装置を示す。装置200は、MNOの通信インフラ210に接続されるMVNOの通信インフラ220及びIoT機器230とIPネットワーク上で通信する。装置200は、IoT機器230がIPネットワークにアクセスするための接続を確立するためのものであるため、接続装置とも呼ぶ。MVNOの通信インフラ220は、クラウド又はパブリッククラウド上の複数のインスタンスにより構成される。
ここで、本明細書において「クラウド」とは、ネットワーク上で需要に応じてCPU、メモリ、ストレージ、ネットワーク帯域などのコンピューティングリソースを動的にプロビジョニングし、提供できるシステムを言う。たとえば、AWS等によりクラウドを利用することができる。また、本明細書において「パブリッククラウド」とは、複数のテナントがコンピューティングリソースの提供を受けることが可能なクラウドを言う。
装置200は、通信インターフェースなどの通信部201と、プロセッサ、CPU等の処理部202と、メモリ、ハードディスク等の記憶装置又は記憶媒体を含む記憶部203とを備え、各処理を行うためのプログラムを実行することによって構成することができる。装置200は、1又は複数の装置、コンピュータないしサーバを含むことがある。また、当該プログラムは、1又は複数のプログラムを含むことがあり、また、コンピュータ読み取り可能な記憶媒体に記録して非一過性のプログラムプロダクトとすることができる。当該プログラムは、記憶部203又は装置200からIPネットワークを介してアクセス可能なデータベース204等の記憶装置又は記憶媒体に記憶しておき、処理部202において実行することができる。以下で記憶部203に記憶されるものとして記述されるデータはデータベース204に記憶してもよく、またその逆も同様である。
装置200は、クラウド又はパブリッククラウド上の1又は複数のインスタンスとすることができ、MVNOの通信インフラ220と同一のクラウド上の1又は複数のインスタンスとしてもよい。MVNOの通信インフラ220が有する各インスタンスは、図示していないが、接続装置200と同様のハードウェア構成とすることができる。
以下では、まず、通信サービスに必要なセッションの生成につき説明し、その後に、生成されたセッションを用いたIPネットワークへのデータの送信について説明する。
セッションの生成
図3A及び3Bに、本発明の一実施形態にかかるIPネットワークにアクセスするための通信サービスを提供するための方法の流れを示す。まず、装置200は、IoT機器230から、当該通信サービスの加入者を識別するための加入者識別子を含むセッション生成要求を受信する(S301)。当該セッション生成要求は、セルラー回線以外のインターネット通信回線によって送信可能であり、一例として、固定インターネット回線によって送信してもよく、セルラー回線を経て送信してもよい。
図3A及び3Bに、本発明の一実施形態にかかるIPネットワークにアクセスするための通信サービスを提供するための方法の流れを示す。まず、装置200は、IoT機器230から、当該通信サービスの加入者を識別するための加入者識別子を含むセッション生成要求を受信する(S301)。当該セッション生成要求は、セルラー回線以外のインターネット通信回線によって送信可能であり、一例として、固定インターネット回線によって送信してもよく、セルラー回線を経て送信してもよい。
図2では、IoT機器230には、MVNOの通信インフラ220を用いて、無線アクセスネットワークを介して提供されるIPネットワークにアクセスするための通信サービスを利用するためのSIMを識別するSIM識別子231が格納されていることに加えて、無線アクセスネットワークを介さずに提供されるIPネットワークにアクセスするための通信サービスを利用するための加入者識別子232が格納されている。図2において、加入者識別子232はこれを用いて接続が確立された際に仮想的なSIM識別子と考えられることから、「V-SIM (Virtual SIM)」と便宜上示している。また、IoT機器230には、セッション生成要求を正当に行うためのトークンが格納されていてもよい。IoT機器230には、必ずしもSIM識別子231が格納されていなくてもよい。
接続装置200は、受信したセッション生成要求に含まれるトークンを必要に応じて検証した後に、当該セッション生成要求に含まれる加入者識別子232に関連づけてIDを生成して記憶する(S302)。なお、セッション生成要求は、IoT機器230のために、加入者識別子232に正当にアクセス可能なIoT機器230以外の装置から接続装置200に送信することも考えられる。
IoT機器230以外の装置としては、一例として、IoT機器230を管理する管理者が用いるコンピュータが挙げられる。当該管理者は、加入者識別子232にアクセス可能であり、接続装置200に対してセッション生成要求を行うために必要なトークンが付与されていれば、当該トークンを用いて、加入者識別子232を含むセッション生成要求を、IoT機器230のために行うことができる。また、別の例として、IoT機器230以外の装置としては、IoT機器230に格納されたSIM識別子231を用いてIoT機器230を認証してIoT機器230との間で秘匿回線を確立可能な認証サーバが挙げられる。確立された秘匿回線を通じてIoT機器230から加入者識別子232を受信した当該認証サーバは、加入者識別子232に正当にアクセスしていると言える。SIM識別子231により識別されるSIMが、MNOの通信インフラ210に接続される通信インフラ220を有する事業者により発行されている場合、当該認証サーバは通信インフラ220が有する設備に含まれる1又は複数のインスタンスとすることができる。
次に、接続装置200は、通信インフラ220が有する第1のインスタンス及び第2のインスタンスを採択し(S303)、当該第2のインスタンスに対して、当該第1のインスタンスと前記第2のインスタンスとの間のGTP-Uセッションを生成するためのプロビジョニングコールを送信する(S304)。このプロビジョニングコールは、接続装置200に記憶された当該ID及び接続装置200が採択した当該第1のインスタンスのIPアドレス、ホスト名等の第1の宛先アドレスを含むことができる。
当該第1のインスタンスは、第1のノード群から採択し、当該第2のインスタンスは、第2のノード群から採択することができる。MVNOの通信インフラ220がIoT機器230に無線アクセスネットワークを介したIPネットワークへのアクセスを提供する際には、MNOの通信インフラ210に接続される第1のサーバ群から採択された第1のサーバと、当該第1のサーバと接続される、第2のサーバ群から採択された第2のサーバが用いられ、第2のノード群の少なくとも一部を第2のサーバ群の少なくとも一部と同一とすることができる。
当該第2のインスタンスは、当該第2のインスタンスに対するプロビジョニングコールの応答を接続装置200に送信する(S305)。そして、当該第2のインスタンスは、GTP-Uセッションの待ち受け状態となる(S306)。当該応答には、当該ID及び当該GTP-Uセッションに対する送信元となるIPアドレス等の送信元アドレスを含むことができ、当該送信元アドレスは、当該第2のインスタンスが採択することができる。また、ここでは、応答を送信した後に待ち受け状態となるものとして記述したが、この順序は逆でもよい。送信元アドレスは、当該第2のインスタンスではなく、接続装置200において割り当ててもよい。この場合には、第2のインスタンスへのプロビジョニングコールに送信元アドレスを含めてもよい。いずれにしても、当該第2のインスタンスは、当該IDに関連づけて当該送信元アドレスを記憶することができる。また、装置200においては、加入者識別子232に関連づけて当該送信元アドレスを記憶することができる。
次いで、接続装置200は、当該第1のインスタンスに対して、当該第1のインスタンスと当該第2のインスタンスとの間のGTP-Uセッションを生成するためのプロビジョニングコールを送信する(S307)。このプロビジョニングコールは、接続装置200に記憶された当該ID、送信元アドレス及び接続装置200が採択した当該第2のインスタンスの第2の宛先アドレスを含むことができる。
その後、当該第1のインスタンスは、GTP-Uセッションの待ち受け状態となる(S308)。ここで、当該第1のインスタンスと当該第2のインスタンスとの間でGTP-Uセッションが生成され、いわゆるGTPトンネルが確立した状態となる。接続装置200は、当該第1のインスタンスに対するプロビジョニングコールの応答を受信する(S309)。当該第1のインスタンスは、応答を送信した後に待ち受け状態となることも考えられるが、接続できない時間が発生しないように、待ち受け状態となった後に応答を送信することが好ましい。
そして、接続装置200は、当該第1のインスタンスに対して、IoT機器230と当該第1のインスタンスとの間のVPNセッションを生成するためのプロビジョニングコールを送信する(S310)。このプロビジョニングコールは、当該送信元アドレス及びIoT機器230に関連づけられたクレデンシャルを含む。当該クレデンシャルは、データベース204に加入者識別子232と関連づけて記憶しておいてもよく、またはIoT機器230からのセッション生成要求に含まれていてもよい。
当該クレデンシャルは、たとえば、公開鍵とすることができる。この場合、IoT機器230には、当該公開鍵に対応する秘密鍵が格納されている。VPNセッションには、公開鍵暗号化方式以外の暗号化方式を用いてもよく、より一般的に、暗号化方式に合わせて必要な第1のクレデンシャルが当該第1のインスタンスに送信され、当該第1のクレデンシャル又はこれに対応する第2のクレデンシャルがIoT機器230に格納されていればよい。
VPNセッションを生成するためのプロビジョニングコールを受信した後に、当該第1のインスタンスは、当該送信元アドレス及び当該クレデンシャルを記憶して、VPNセッションの待ち受け状態となる(S311)。また、接続装置200は、当該第1のインスタンスから、当該プロビジョニングコールに対する応答を受信する(S312)。当該応答には、一例において、当該送信元アドレス及び当該第1のインスタンスの第1の宛先アドレスを含むことができる。当該第1のインスタンスは、応答を送信した後に待ち受け状態となることも考えられるが、接続できない時間が発生しないように、待ち受け状態となった後に応答を送信することが好ましい。
当該応答を受信した接続装置200は、当該応答に含まれる当該送信元アドレス及び当該第1の宛先アドレスにポート番号を必要に応じて加えた接続情報をIoT機器230に送信する(S313)。当該第1のインスタンスからの応答にポート番号が含まれる場合には、受信した接続情報をIoT機器230に送信すればよい。IoT機器230では、当該接続情報に基づいて、デバイスプロビジョニングが行われ、当該第1のインスタンスへの接続が試行される(S314)。当該第1のインスタンスからIoT機器230に対して成功の応答が送信されれば(S315)、ハンドシェイクに成功し、VPNトンネルが確立した状態になる。
上述の説明では、GTPトンネルの確立に当たって、第2のインスタンスに対してプロビジョニングコールをし、その後に第1のインスタンスに対してプロビジョニングコールをしたが、逆の順序とする実装も考えられる。より一般的には、MNOの通信インフラ210に接続されるクラウド上の通信インフラ220が備える設備に含まれる第1のインスタンス及び第2のインスタンスに、当該第1のインスタンスと当該第2のインスタンスとの間のGTP-Uセッションを生成するための第1のプロビジョニングコールを送信して、当該第1及び第2のインスタンスを待ち受け状態にし、当該第1のインスタンス又は当該第2のインスタンスから、GTP-Uセッションの送信元アドレスを受信することができればよい。
セッション生成要求がIoT機器230以外の装置から接続装置200に送信される場合、当該要求に対する応答は、IoT機器230以外の装置に対して送信される。IoT機器230以外の装置とIoT機器230との間に秘匿回線が確立されていれば、接続情報を当該秘匿回線を通じてIoT機器230に送信して、デバイスプロビジョニングを行うことができるので、接続情報が接続装置200からIoT機器230に向けて送信されると言える。
また、ハンドシェイク時に、当該第1のインスタンスに記憶されたクレデンシャル又はこれに対応するクレデンシャルを用いて一時的なクレデンシャルを生成し、当該第1のインスタンスに記憶してもよい。この場合、当該第1のインスタンスにおいては、当該送信元アドレスに当該一時的なクレデンシャルを関連づけておく。同様に、IoT機器230にも一時的なクレデンシャルが記憶される。また、たとえば、初回ハンドシェイク時に、一時的なキーを生成してもよく、当該第1のインスタンスにおいては、当該送信元アドレスに当該キーを関連づけておくことに加えて、当該キーに当該一時的なクレデンシャルを関連づけておく。
データの送受信
図4に、本発明の第1の実施形態にかかるIPネットワークにアクセスするための通信サービスにおけるデータ送信の流れを示す。
図4に、本発明の第1の実施形態にかかるIPネットワークにアクセスするための通信サービスにおけるデータ送信の流れを示す。
まず、IoT機器230は、第1のインスタンスに対して、IoT機器230に格納されたクレデンシャル又は一時的なクレデンシャルによって暗号化されたIPパケットをVPNパケットにカプセル化して送信する(S401)。当該VPNパケットは、暗号化されたIPパケットと、VPNセッションに関するVPNセッション情報とを含む。当該VPNセッション情報には、送信元アドレス又はこれに関連づけられた一時的なキーが含まれる。
当該VPNパケットを受信した当該第1のインスタンスは、VPNセッション情報に含まれる送信元アドレス又はこれに関連づけられた一時的なキーに対応するクレデンシャル又は一時的なクレデンシャルを取得して、暗号化されたIPパケットの復号化を試行する(S402)。
セッション生成過程のデバイスプロビジョニング時に、IoT機器230においてルーティング情報の設定がなされてもよい。より具体的には、IoT機器230から送出される暗号化されたIPパケットのGTPトンネル終端後の送信先アドレスに応じて、VPNトンネルを通すか否かをIoT機器230において判定するようにしてもよい。
次に、当該第1のインスタンスは、復号化されたIPパケットのヘッダに含まれる送信元アドレスに基づいて、当該第1のインスタンスに保持された1又は複数の送信元アドレスと各送信元アドレスが割り当てられたGTPセッションの送信先との対応づけを参照して、送信先となる第2のインスタンスを判定する(S403)。そして、当該第1のインスタンスは、判定された当該第2のインスタンスに対して、復号化されたIPパケットをGTPペイロードとするGTPパケットを送信する(S404)。これによって、VPNトンネルは終端される。
当該第2のインスタンスでは、受信したGTPパケットからGTPヘッダを取り除いて、GTPペイロードであるIPパケットをMVNOの通信インフラ220の外部又は内部のIPネットワークに送信する(S405)。GTPヘッダにはIDが含まれ、当該第2のインスタンスが記憶するIDと送信元アドレスとの対応づけを参照して、当該第2のインスタンスは送信元アドレスを同定することができ、さらに、装置200が記憶する送信元アドレスと加入者識別子との対応づけを参照して、加入者識別子を推移的に同定可能である。
このように、VPNトンネルによってインターネット等のIPネットワーク上で秘匿回線が与えられ、IoT機器230は、GTPプロトコルによるデータ通信を行うMVNOの通信インフラ220に、無線アクセスネットワークを介さずにIPネットワークを介して接続可能となる。
図4においては、データの送信について示したが、MVNOの通信インフラ220は、IPネットワークからデータを受信する場合には以下のとおりである。第2のインスタンスに対して、IoT機器230宛のIPパケットが着信した際、送信先であるIoT機器230のアドレスに対応するGTP-Uセッションを特定し、当該IPパケットにGTPヘッダを付与して第1のインスタンスへと送信する。そして、第1のインスタンスでは、受信したGTPパケットからGTPヘッダを取り除き、IoT機器230宛のIPパケット情報を得る。当該IPパケットの送信先アドレスから対応するVPNセッションを特定して、VPNセッションに関連づけられた一時的なキーに対応するクレデンシャル又は一時的なクレデンシャルを用いて、IPパケットをVPNパケットにカプセル化し、VPNトンネルを経由してIoT機器230へと送信する。IoT機器230では、受信したVPNパケットをVPNセッション情報を元に関連づけられた一時的なキーに対応するクレデンシャル又は一時的なクレデンシャルを取得して、暗号化されたIPパケットの復号化を行い、IPパケットを処理する。
200 装置
201 通信部
202 処理部
203 記憶部
204 データベース
210 MNOの通信インフラ
220 MNOの通信インフラに接続される通信インフラ
201 通信部
202 処理部
203 記憶部
204 データベース
210 MNOの通信インフラ
220 MNOの通信インフラに接続される通信インフラ
Claims (5)
- MNOの通信インフラに接続されるクラウド上の通信インフラが備える設備を用いて、IoT機器に、IPネットワークにアクセスするための通信サービスを提供するための方法であって、
前記通信サービスの加入者を識別するための加入者識別子を含むセッション生成要求を受信するステップと、
前記加入者識別子に関連づけてIDを記憶するステップと、
前記設備に含まれる第1のインスタンス及び第2のインスタンスに、前記第1のインスタンスと前記第2のインスタンスとの間のGTP-Uセッションを生成するための第1のプロビジョニングコールであって、前記IDを含む第1のプロビジョニングコールを送信するステップと、
前記第1のインスタンス又は前記第2のインスタンスから、前記第1のプロビジョニングコールの応答として、前記GTP-Uセッションの送信元となる送信元アドレスを受信するステップと、
前記第1のインスタンスに、前記IoT機器と前記第1のインスタンスとの間のVPNセッションを生成するための第2のプロビジョニングコールであって、前記送信元アドレス及び第1のクレデンシャルを含む第2のプロビジョニングコールを送信するステップと、
前記第1のクレデンシャル又は前記第1のクレデンシャルに対応する第2のクレデンシャルを記憶した前記IoT機器に向けて、前記送信元アドレス及び前記第1のインスタンスの宛先アドレスを含む接続情報を送信するステップと
を含む。 - 請求項1に記載の方法であって、
前記接続情報は、前記第1のインスタンスのポート番号を含む。 - 請求項1又は2に記載の方法であって、
前記第1のクレデンシャルは、公開鍵であり、
前記第2のクレデンシャルは、前記公開鍵に対応する秘密鍵である。 - 装置に、MNOの通信インフラに接続されるクラウド上の通信インフラが備える設備を用いて、IoT機器に、IPネットワークにアクセスするための通信サービスを提供するための方法を実行させるためのプログラムであって、前記方法は、
前記通信サービスの加入者を識別するための加入者識別子を含むセッション生成要求を受信するステップと、
前記加入者識別子に関連づけてIDを記憶するステップと、
前記設備に含まれる第1のインスタンス及び第2のインスタンスに、前記第1のインスタンスと前記第2のインスタンスとの間のGTP-Uセッションを生成するための第1のプロビジョニングコールであって、前記IDを含む第1のプロビジョニングコールを送信するステップと、
前記第1のインスタンス又は前記第2のインスタンスから、前記第1のプロビジョニングコールの応答として、前記GTP-Uセッションの送信元となる送信元アドレスを受信するステップと、
前記第1のインスタンスに、前記IoT機器と前記第1のインスタンスとの間のVPNセッションを生成するための第2のプロビジョニングコールであって、前記送信元アドレス及び第1のクレデンシャルを含む第2のプロビジョニングコールを送信するステップと、
前記第1のクレデンシャル又は前記第1のクレデンシャルに対応する第2のクレデンシャルを記憶した前記IoT機器に向けて、前記送信元アドレス及び前記第1のインスタンスの宛先アドレスを含む接続情報を送信するステップと
を含む。 - MNOの通信インフラに接続されるクラウド上の通信インフラが備える設備を用いて、IoT機器に、IPネットワークにアクセスするための通信サービスを提供するための装置であって、
前記通信サービスの加入者を識別するための加入者識別子を含むセッション生成要求を受信して、前記加入者識別子に関連づけてIDを記憶し、
前記設備に含まれる第1のインスタンス及び第2のインスタンスに、前記第1のインスタンスと前記第2のインスタンスとの間のGTP-Uセッションを生成するための第1のプロビジョニングコールであって、前記IDを含む第1のプロビジョニングコールを送信して、前記第1のインスタンス又は前記第2のインスタンスから、前記第1のプロビジョニングコールの応答として、前記GTP-Uセッションの送信元となる送信元アドレスを受信し、
前記第1のインスタンスに、前記IoT機器と前記第1のインスタンスとの間のVPNセッションを生成するための第2のプロビジョニングコールであって、前記送信元アドレス及び第1のクレデンシャルを含む第2のプロビジョニングコールを送信し、
前記第1のクレデンシャル又は前記第1のクレデンシャルに対応する第2のクレデンシャルを記憶した前記IoT機器に向けて、前記送信元アドレス及び前記第1のインスタンスの宛先アドレスを含む接続情報を送信する。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022018384A JP7076050B1 (ja) | 2021-06-22 | 2022-02-09 | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021103687 | 2021-06-22 | ||
| JP2022018384A JP7076050B1 (ja) | 2021-06-22 | 2022-02-09 | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021103687 Division | 2021-06-22 | 2021-06-22 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP7076050B1 true JP7076050B1 (ja) | 2022-05-26 |
| JP2023002448A JP2023002448A (ja) | 2023-01-10 |
Family
ID=87884858
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022018384A Active JP7076050B1 (ja) | 2021-06-22 | 2022-02-09 | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7076050B1 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090323635A1 (en) * | 2006-08-09 | 2009-12-31 | Laurence Gras | Method of managing inter working for transferring multiple service sessions between a mobile network and a wireless local area network, and corresponding equipment |
| CN102149133A (zh) * | 2010-02-10 | 2011-08-10 | 广州科讯技术有限公司 | 一种移动通信网络业务接入系统及方法 |
| WO2017022791A1 (ja) * | 2015-08-04 | 2017-02-09 | 日本電気株式会社 | 通信システム、通信装置、通信方法、端末、プログラム |
-
2022
- 2022-02-09 JP JP2022018384A patent/JP7076050B1/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090323635A1 (en) * | 2006-08-09 | 2009-12-31 | Laurence Gras | Method of managing inter working for transferring multiple service sessions between a mobile network and a wireless local area network, and corresponding equipment |
| CN102149133A (zh) * | 2010-02-10 | 2011-08-10 | 广州科讯技术有限公司 | 一种移动通信网络业务接入系统及方法 |
| WO2017022791A1 (ja) * | 2015-08-04 | 2017-02-09 | 日本電気株式会社 | 通信システム、通信装置、通信方法、端末、プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023002448A (ja) | 2023-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9967738B2 (en) | Methods and arrangements for enabling data transmission between a mobile device and a static destination address | |
| JP4802263B2 (ja) | 暗号化通信システム及びゲートウェイ装置 | |
| US8838972B2 (en) | Exchange of key material | |
| CN110830989B (zh) | 一种通信方法和装置 | |
| JP4977229B2 (ja) | 通信を中継するための装置、方法、およびプログラム | |
| JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
| RU2009138223A (ru) | Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи | |
| WO2019041937A1 (zh) | 一种漫游场景下的分流方法及相关设备 | |
| CN110944319B (zh) | 5g通信身份验证方法、设备及存储介质 | |
| CN110784434B (zh) | 通信方法及装置 | |
| CN111132305B (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
| WO2017167249A1 (zh) | 一种专网接入方法、装置及系统 | |
| JP2023515139A (ja) | セッション確立方法及び関連装置 | |
| CN111093196B (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
| WO2014201783A1 (zh) | 一种自组网的加密鉴权方法、系统及终端 | |
| JP5326815B2 (ja) | パケット送受信装置およびパケット送受信方法 | |
| JP7076050B1 (ja) | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム | |
| JP7076051B1 (ja) | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム | |
| WO2014205703A1 (zh) | 一种共享接入的检测方法、设备和终端设备 | |
| CN113302958A (zh) | 一种通信方法及装置 | |
| WO2022270228A1 (ja) | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム | |
| WO2015135278A1 (zh) | 一种鉴权认证方法和系统、ProSe功能实体以及UE | |
| EP3454583B1 (en) | Network connection method, and secure node determination method and device | |
| WO2013155938A1 (zh) | 用户地址通告方法及装置 | |
| JP2003169085A (ja) | ボランティアネットワーク |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220209 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20220209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220318 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220415 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220516 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7076050 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |