JP7211409B2 - ノード、制御システム、通信制御方法及びプログラム - Google Patents

ノード、制御システム、通信制御方法及びプログラム Download PDF

Info

Publication number
JP7211409B2
JP7211409B2 JP2020500990A JP2020500990A JP7211409B2 JP 7211409 B2 JP7211409 B2 JP 7211409B2 JP 2020500990 A JP2020500990 A JP 2020500990A JP 2020500990 A JP2020500990 A JP 2020500990A JP 7211409 B2 JP7211409 B2 JP 7211409B2
Authority
JP
Japan
Prior art keywords
terminal
subscriber
data
control system
terminal information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020500990A
Other languages
English (en)
Other versions
JPWO2019163821A1 (ja
Inventor
智誠 舟崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2019163821A1 publication Critical patent/JPWO2019163821A1/ja
Application granted granted Critical
Publication of JP7211409B2 publication Critical patent/JP7211409B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • H04L41/342Signalling channels for network management communication between virtual entities, e.g. orchestrators, SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

[関連出願についての記載]
本発明は、日本国特許出願:特願2018-028645号(2018年 2月21日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、ノード、制御システム、通信制御方法及びプログラムに関する。
加入者宅内の通信機器(pCPE(physical Customer Premises Equipment)と呼ぶ)を、通信事業者側のネットワーク(キャリア側のネットワーク)上に、仮想化機能として実装した、仮想化CPE(vCPE;virtual Customer Premises Equipment)の実用化も検討されている。
vCPEにおいては、通信事業者側のサーバ装置が、加入者宅内の端末(加入者の宅内ネットワークに接続する端末)を把握し、宅内の端末に応じたサービスを提供する。ここで、サービスとは、例えば、ファイアウォール、ペアレンタルコントロール、QoS(Quality of Service)の制御等を含む。
そのため、vCPEにおいては、加入者宅内の端末を、適切に把握することが求められる。
特許文献1においては、制御装置が、宅内機器とvCPEとを介して、ユーザの携帯端末から認証キー払い出し要求を受信した場合、MAC(Media Access Control)アドレスに基づいて、前記携帯端末を一意に識別する技術が記載されている。
特許文献2においては、ゲートウェイ装置が、端末識別子とIP(Internet Protocol)アドレスとの変換表を予め保持し、当該変換表に基づいて、パケットに含まれる送信元IPアドレスに対応する端末識別子を特定する技術が記載されている。
特許文献3においては、加入者ID情報を利用して、端末の契約プロファイルを特定する技術が記載されている。そして、特許文献3に記載された技術においては、契約プロファイルに含まれる契約サービス情報、及びEPC(Evolved Packet Core)におけるリソース配分等の情報を利用して、仮想化プラットフォーム上の複数のEPC機能から適切な機能セット、リソース配分を持つEPCコアを選択する技術が記載されている。
特開2016-057672号公報 特開2011-071870号公報 特開2015-154278号公報
なお、上記先行技術文献の開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明の観点からなされたものである。
ネットワーク機能仮想化(NFV;Network Function Virtualisation)においては、機能、制御毎の仮想マシンを用いて、仮想ネットワーク機能(VNF;Virtual Network Function)を動作させる。
ここで、ネットワークの入り口で端末を特定したとしても、VNFにおいては、端末を特定する情報が欠落してしまう場合がある。その場合、VNFにおいて、端末を特定できない。その結果、vCPEは、宅内の端末に応じたサービスを提供できない。
特許文献1に記載された技術においては、MACアドレスに基づいて、携帯端末を識別する。しかし、加入者の宅内ネットワーク間において、端末のMACアドレスが重複する場合がある。また、vCPEがデータ(パケット)を受信した場合、MACアドレスを含むEthernet(登録商標)ヘッダが除去される場合がある。これらの場合、vCPEの内部において、MACアドレスに基づいて、携帯端末を識別できない。
特許文献2に記載された技術においては、端末のIPアドレスに基づいて、端末を識別する。しかし、IPv4(Internet Protocol version 4)アドレスは、加入者の宅内ネットワーク内において利用される、プライベートIPアドレスとして利用される場合がある。その場合、加入者の宅内ネットワーク間において、端末のIPアドレスが重複する恐れがある。加入者の宅内ネットワーク間において、端末のIPアドレスが重複する場合には、vCPEは、IPアドレスに基づいて、端末を識別できない恐れがある。
また、IPアドレスとして、IPv6(Internet Protocol version 6)アドレスが端末に割り当てられた場合、IPv6アドレスは、セキュリティ(匿名性の確保)を目的として、ホストを変更する場合がある。IPアドレスのホストが変更された場合、vCPEは、IPアドレスに基づいて、端末を識別できない恐れがある。
特許文献3に記載された技術においては、一の加入者の宅内ネットワークに、2以上の端末が接続する場合、夫々の端末を識別できない。そのため、特許文献3に記載された技術では、一の加入者の宅内ネットワークに、2以上の端末が接続する場合、夫々の端末に対して、異なるサービスを提供することはできない。
そこで、本発明は、仮想化CPEにおいて、加入者宅内の各端末を区別することに貢献するノード、制御システム、通信制御方法及びプログラムを提供することを目的とする。
第1の視点によれば、第1のノードが提供される。前記第1のノードは、前記仮想ネットワーク機能を制御する制御装置を含んで構成される、制御システムの内部に配置される。
さらに、前記第1のノードは、加入者の宅内ネットワーク内の端末に、端末ID(identifier)を採番する。
さらに、前記第1のノードは、送信元又は宛先が前記端末であるデータを、前記制御システムの外部から受信した場合、受信したデータの送信元又は宛先の前記端末に対応する前記端末IDと、前記端末が接続する宅内ネットワークに対応する、加入者の加入者IDと、を含む端末情報を、受信したデータに付与し、前記端末情報が付与されたデータを、前記制御システムの内部のノードに転送する。
第2の視点によれば、第2のノードが提供される。前記第2のノードは、仮想ネットワーク機能を制御する、制御システムの内部に配置される。
さらに、前記第2のノードは、データの送信元又は宛先の端末に採番された端末IDと、前記端末が接続する宅内ネットワークに対応する、加入者の加入者IDとを含む端末情報が付与されたデータを、前記制御システムの内部から受信した場合、受信したデータから前記端末情報を除去し、前記制御システムの外部に転送する。
第3の視点によれば、制御システムが提供される。前記制御システムは、仮想ネットワーク機能を制御する制御装置を含んで構成される。
前記制御システムは、加入者の宅内ネットワーク内の端末に、端末IDを採番する、第1のノードを含む。
前記第1のノードは、送信元又は宛先が前記端末であるデータを、前記制御システムの外部から受信した場合、受信したデータの送信元又は宛先の前記端末に対応する前記端末IDと、前記端末が接続する宅内ネットワークに対応する、加入者の加入者IDと、を含む端末情報を、受信したデータに付与する。
前記制御システムは、前記制御システムの内部においては、前記端末情報が付与されたデータを利用する。
第4の視点によれば、通信制御方法が提供される。前記通信制御方法は、仮想ネットワーク機能を制御する、制御システムを制御する方法である。前記制御システムは、送信元又は宛先が、加入者の宅内ネットワーク内の端末であるデータを、前記制御システムの外部から受信する、第1のノードを含む。
前記通信制御方法は、前記端末に、端末IDを採番する工程を含む。
さらに、前記通信制御方法は、前記端末IDと、受信されたデータの送信元又は宛先の宅内ネットワークに対応する、加入者の加入者IDと、を含む端末情報を生成する工程を含む。
さらに、前記通信制御方法は、受信されたデータに、前記端末情報を付与する工程を含む。
さらに、前記通信制御方法は、前記端末情報が付与された、前記データを、前記制御システムの内部のノードに転送する工程を含む。
なお、本方法は、仮想ネットワーク機能を制御する、制御システムの内部に配置されるノードという、特定の機械に結び付けられている。
第5の視点によれば、プログラムが提供される。前記プログラムは、仮想ネットワーク機能を制御する、制御システムを制御するコンピュータに制御させるプログラムである。前記制御システムは、送信元又は宛先が、加入者の宅内ネットワーク内の端末であるデータを、前記制御システムの外部から受信する、第1のノードを含む。
前記プログラムは、前記端末に、端末IDを採番する処理を、前記コンピュータに実行させる。
さらに、前記プログラムは、前記端末IDと、前記端末が接続する宅内ネットワークに対応する、加入者の加入者IDと、を含む端末情報を生成する処理を、前記コンピュータに実行させる。
さらに、前記プログラムは、受信されたデータに、前記端末情報を付与する処理を、前記コンピュータに実行させる。
さらに、前記プログラムは、前記端末情報が付与された、前記データを、前記制御システムの内部のノードに転送する処理を、前記コンピュータに実行させる。
なお、これらのプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、仮想化CPEにおいて、加入者宅内の各端末を区別することに貢献するノード、制御システム、通信制御方法及びプログラムが提供される。
一実施形態の概要を説明するための図である。 本実施形態に係る通信システム1000の全体構成の一例を示すブロック図である。 加入者端末情報データベース305が格納する情報の一例を示す図である。 記憶部3032が記憶する情報の一例を示す図である。 記憶部3042が記憶する情報の一例を示す図である。 適用ポリシを登録する処理の一例を示すフローチャートである。 加入社宅内の端末600から制御システム300を介してデータを送信する処理の一例を示すフローチャートである。 加入社宅内の端末600から制御システム300を介してデータを送信する処理の一例を示すフローチャートである。 加入社宅内の端末600から制御システム300を介してデータを送信する処理の一例を示すフローチャートである。 制御システム300が加入社宅内の端末宛にデータを送信する処理の一例を示すフローチャートである。 制御システム300が加入社宅内の端末宛にデータを送信する処理の一例を示すフローチャートである。 制御システム300が加入社宅内の端末宛にデータを送信する処理の一例を示すフローチャートである。
初めに、図1を用いて一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、各ブロック図のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インターフェイスも同様である。
上述の通り、仮想化CPEにおいて、加入者宅内の各端末を区別することに貢献する制御システムが望まれる。
そこで、一例として、図1に示す制御システム10を提供する。制御システムは、第1のノード1と、制御装置20とを含んで構成される。つまり、第1のノード1は、制御システム10の内部に配置される。制御装置20は、VNF(仮想ネットワーク機能)(21、22)を制御する。なお、図1は、一例として、2つのVNF(21、22)を示すが、これは、VNFの数を2つに限定する趣旨ではない。制御装置20が制御するVNFの数は、1又は3以上であってもよい。
第1のノード1は、加入者の宅内ネットワーク30内の端末(31、32、33)に、端末ID(identifier)を採番する。
端末IDは、夫々の加入者の宅内ネットワーク内で一意であるものとする。そのため、端末IDは、加入者間で重複してもよい。つまり、一の加入者宅内に存在する端末に対応する、端末IDは、他の加入者宅内に存在する端末に対応する、端末IDと同一であってもよい。
なお、図1は、一例として、3つの端末(31、32、33)を示すが、これは、加入者の宅内ネットワーク内に接続する端末の数を、3つに限定する趣旨ではない。加入者の宅内ネットワークに接続する端末の数は、1又は2、或いは4つ以上であってもよい。
さらに、第1のノード1は、制御システム10の外部からデータを受信する。ここで、第1のノード1は、送信元又は宛先が、端末(端末31、32、33のうち、いずれかの端末)であるデータを、制御システム10の外部から受信したとする。つまり、加入者の宅内ネットワーク30内の端末(端末31、32、33のうち、いずれかの端末)から送信されたデータ、又は、加入者の宅内ネットワーク30内の端末宛てのデータを、第1のノード1が、制御システム10の外部から受信したとする。
例えば、第1のノード1が、端末31から送信されたデータを、制御システム10の外部から受信したとする。その場合、第1のノード1は、受信したデータの送信元の端末31に対応する端末IDと、端末31が接続する宅内ネットワークに対応する、加入者の加入者IDと、を含む端末情報を、受信したデータに付与する。
加入者IDは、加入者を識別する情報である。ここで、加入者とは、通信サービスの提供を受けることに関して、通信事業者と契約した者を意味する。また、加入者IDとは、加入者を識別する情報である。例えば、加入者IDは、通信事業者が加入者に対して割り当てた情報(例えば、契約番号等)であってもよい。
また、例えば、第1のノード1が、端末31宛てのデータを、制御システム10の外部から受信したとする。その場合、第1のノード1は、受信したデータの宛先の端末31に対応する端末IDと、端末31が接続する宅内ネットワークに対応する、加入者の加入者IDと、を含む端末情報を、受信したデータに付与する。制御システム10の内部においては、端末情報が付与されたデータを利用する。
従って、vCPE等、NFV技術を用いて実現するシステムにおいて、第1のノード1を介してデータを転送することで、NFV技術を用いて実現するシステムにおいて、端末を特定する情報を保持することができる。よって、制御システム10は、仮想化CPEにおいて、加入者宅内の各端末を区別することに貢献する。
[第1の実施形態]
第1の実施形態について、図面を用いて詳細に説明する。
図2は、本実施形態に係る通信システム1000の全体構成の一例を示すブロック図である。通信システム1000は、制御システム300と、認証サーバ501とを含んで構成される。
制御システム300は、vCPEを構成する。つまり、制御システム300は、加入者宅内の通信機器の機能を、ネットワーク上で仮想化機能として実現する。制御システム300は、アクセス/集約ネットワーク201を介して、1又は2以上の加入者の宅内ネットワークと接続する。以下の説明では、説明の便宜上、加入者の宅内ネットワークに接続する端末600を、「加入者宅内の端末600」とも呼ぶ。
制御システム300は、アクセス/集約ネットワーク201を介して、加入者宅内の端末600から送信されたデータ(パケット)を受信し、インターネット401を介して、指定された宛先に当該データを転送する。
図2に示す加入者Aの宅内ネットワーク100は、加入者Aの宅内ネットワークを示す。端末600aは、ユーザが使用するPC(Personal Computer)、スマートフォン、タブレット端末等である。端末600aは、通信機能を備え、加入者Aの宅内ネットワーク100に接続する。CPE(Customer Premises Equipment)101は、加入者Aの宅内の通信機器(ルータ等)である。
また、図2に示す加入者Bの宅内ネットワーク110は、加入者Bの宅内のネットワークを示す。端末600b、600cは、ユーザが使用するPC(Personal Computer)、スマートフォン、タブレット端末等である。端末600bは、通信機能を備え、加入者Bの宅内ネットワーク110に接続する。CPE111は、加入者Bの宅内の通信機器(ルータ等)である。
アクセス/集約ネットワーク201は、各加入者の宅内ネットワーク(加入者Aの宅内ネットワーク100、加入者Bの宅内ネットワーク110)から送信されるデータ(パケット)を収容し、制御システム300に収容したデータを転送する。さらに、アクセス/集約ネットワーク201は、制御システム300から送信されるデータを収容し、受信したデータの宛先に対応する加入者の宅内ネットワークに転送する。
本実施形態に係る通信システム1000において、加入者宅内の端末600(600a、600b、600c)は、アクセス/集約ネットワーク201と、制御システム300とを介して、インターネット401と接続する。
認証サーバ501は、加入者を認証する処理を実行する、サーバ装置である。認証サーバ501は、加入者認証の要求に応じて、加入者を認証する。そして、認証サーバ501は加入者を認証した場合、認証要求元に加入者IDを応答する。
次に、制御システム300の内部構成について詳細に説明する。なお、以下の説明では、加入者宅内の端末600a、600b、600cを、夫々区別する必要がない場合には、端末600と表記する。
制御システム300は、端末情報生成装置301と、転送中継装置302と、アドレス変換装置303と、ポリシ適用装置(制御装置)304と、加入者端末情報データベース305と、を含んで構成される。なお、以下の説明では、制御システム300が、制御システム300の外部から受信したデータを、受信データと呼ぶ。
端末情報生成装置301は、端末情報生成部3011を含んで構成される。
端末情報生成部3011は、端末情報生成装置301を構成する、プロセッサ(CPU(Central Processing Unit))で実行させるプログラムにより、その処理を実現するようにしても良い。この場合、該プログラムを記憶した、コンピュータ読み出し可能な媒体(半導体メモリ、HDD(Hard Disk Drive)等)から、プログラムを読み出し、該サーバ装置を構成するプロセッサで各処理を実行する。
端末情報生成装置301は、制御システム300とアクセス/集約ネットワーク201間の境界となるノード(第1のノード)である。
端末情報生成部3011は、加入者の宅内ネットワーク内の端末600に、端末IDを採番する。
また、端末情報生成部3011は、制御システム300の外部(アクセス/集約ネットワーク201)からデータ(パケット)を受信する。
端末情報生成装置301は、送信元又は宛先が端末600であるデータを、制御システム300の外部から受信したとする。その場合、端末情報生成装置301は、受信したデータの送信元又は宛先の端末600に対応する端末IDと、その端末600が接続する宅内ネットワークに対応する、加入者の加入者IDと、を含む端末情報を、受信したデータに付与する。
具体的には、端末情報生成部3011は、加入者IDと端末IDとを含む、端末情報を生成する。そして、端末情報生成部3011は、加入者宅内の端末600から送信されたデータに、生成した端末情報を付与する。
端末情報生成装置301は、端末情報が付与されたデータを、制御システム300の内部のノード(例えば、転送中継装置302)に転送する。制御システム300は、制御システム300の内部において、端末情報が付与されたデータを利用するものとする。
また、端末情報生成装置301は、データの送信元又は宛先の端末600に採番された端末IDと、端末600が接続する宅内ネットワークに対応する、加入者の加入者IDとを含む端末情報が付与されたデータを、制御システム300の内部から受信したとする。その場合、端末情報生成装置301は、受信したデータから端末情報を除去し、制御システム300の外部(加入者宅内の端末600)に転送する。
加入者端末情報データベース305は、加入者を特定する加入者IDと、加入者の宅内ネットワーク内の端末600に対応する端末IDと、端末IDに対応する端末600のMAC(Media Access Control)アドレスと、を対応付けて予め保持する。例えば、加入者端末情報データベース305は、加入者IDと、端末IDと、端末600のMACアドレスとを対応付けたテーブルを格納してもよい。
加入者端末情報データベース305は、磁気ディスク装置や光ディスク装置、半導体メモリを用いて実現される。
図3は、加入者端末情報データベース305が格納する情報の一例を示す図である。図3は、加入者IDと、MACアドレスと、端末IDとを対応づけたテーブルを示す。
ここで、加入者Aの加入者IDが「100」であるとする。また、加入者Bの加入者IDが、「200」であるとする。また、端末600aのMACアドレス及び端末IDが、MACアドレス「AA:BB:CC:12:34:56」であり、端末ID「1」であるとする。また、端末600cのMACアドレス及び端末IDが、MACアドレス「BB:CC:DD:34:56:78」、端末ID「1」であるとする。また、端末600bのMACアドレス及び端末IDが、MACアドレス「CC:DD:EE:56:78:90」であり、端末ID「2」であるとする。
図3は、加入者Aの宅内ネットワーク100に接続する、端末600aに関して、加入者ID「100」と、MACアドレス「AA:BB:CC:12:34:56」と、端末ID「1」とを対応付けて、加入者端末情報データベース305が格納することを示す。また、図3は、加入者Bの宅内ネットワーク110に接続する、端末600bに関して、加入者ID「200」と、MACアドレス「BB:CC:DD:34:56:78」と、端末ID「1」とを対応付けて、加入者端末情報データベース305が格納することを示す。また、図3は、加入者Bの宅内ネットワーク110に接続する、端末600cに関して、加入者ID「200」と、MACアドレス「CC:DD:EE:56:78:90」と、端末ID「2」とを対応付けて、加入者端末情報データベース305が格納することを示す。
なお、図3に示すように、異なる宅内ネットワークに接続する端末(端末600a、端末600b)に対して、同一の端末ID(端末ID「1」)が割り振られても良い。
転送中継装置302は、端末情報生成装置301とポリシ適用装置304間において、データの転送処理を中継する。さらに、転送中継装置302は、アドレス変換装置303とポリシ適用装置304間において、データの転送処理を中継する。転送対象のデータには、端末情報が付与されているものとする。
アドレス変換装置303は、アドレス変換部3031と、記憶部(フロー情報記憶部)3032と、を含んで構成される。
アドレス変換部3031は、アドレス変換装置303を構成する、プロセッサ(CPU)で実行させるプログラムにより、その処理を実現するようにしても良い。この場合、該プログラムを記憶した、コンピュータ読み出し可能な媒体(半導体メモリ、HDD等)から、プログラムを読み出し、該サーバ装置を構成するプロセッサで各処理を実行する。
記憶部3032は、磁気ディスク装置や光ディスク装置、半導体メモリを用いて実現される。
アドレス変換装置303は、制御システム300とインターネット401間の境界となるノード(第2のノード)である。アドレス変換装置303は、NAT(Network Address Translations)として実現されてもよい。
アドレス変換装置303は、送信元又は宛先が端末600であるデータを、制御システム300の外部から受信したとする。その場合、アドレス変換装置303は、受信したデータの送信元又は宛先の端末600に対応する端末IDと、端末600が接続する宅内ネットワークに対応する、加入者の加入者IDと、を含む端末情報を、受信したデータに付与する。そして、アドレス変換装置303は、端末情報が付与されたデータを、制御システム300の内部のノード(例えば、転送中継装置302)に転送する。
また、アドレス変換装置303は、データの送信元又は宛先の端末600に採番された端末IDと、端末600が接続する宅内ネットワークに対応する、加入者の加入者IDとを含む端末情報が付与されたデータを、制御システム300の内部から受信したとする。その場合、アドレス変換装置303は、受信したデータから端末情報を除去し、制御システム300の外部(インターネット401)に転送する。つまり、アドレス変換装置303は、端末情報が付与されたデータを受信した場合、受信したデータから端末情報を除去し、端末情報を除去したデータを、データの宛先に転送する。
より具体的には、アドレス変換装置303は、加入者の宅内ネットワーク内の端末600から送信されたデータであって、端末情報が付与されたデータを受信したとする。その場合、アドレス変換装置303は、受信したデータに付与された端末情報を、フロー情報に対応付けて、フロー情報と端末情報とを、記憶部3032に保存する。そして、アドレス変換装置303は、受信したデータから端末情報を除去し、端末情報を除去したデータを、データの宛先に転送する。
以下、アドレス変換装置303に関してより詳細に説明する。
アドレス変換部3031は、制御システム300の外部(インターネット401)からデータ(パケット)を受信する。そして、アドレス変換部3031は、加入者の宅内ネットワーク内で利用するプライベートIPアドレスと、グローバルIPアドレス間の変換処理を実行する。
具体的には、端末情報生成装置301が、加入者宅内の端末600から送信されたデータを受信した場合、アドレス変換部3031は、当該データの送信元IPアドレス(プライベートIPアドレス)を、グローバルIPアドレスに変換する。
また、アドレス変換部3031は、フロー情報を生成する。フロー情報は、通信の流れを特定する情報である。具体的には、アドレス変換部3031は、制御システム300が、加入者宅内の端末600から送信されたデータを受信した場合、フロー情報を生成する。例えば、フロー情報は、送信元IPアドレス、送信元ポート、宛先IPアドレス、宛先ポート、プロトコル等を含む。
アドレス変換部3031は、端末情報をフロー情報に対応付けて、端末情報とフロー情報とを、記憶部3032に記憶させる。
一方、制御システム300が、加入者宅内の端末600宛のデータを受信した場合、アドレス変換部3031は、当該データの宛先IPアドレス(グローバルIPアドレス)を、プライベートIPアドレスに変換する。
制御システム300が、インターネット401からデータを受信した場合、記憶部3032が記憶するフロー情報に基づいて、当該データが、加入者宅内の端末600から送信されたデータに対する応答であるか否かを、アドレス変換部3031は判断する。
インターネット401から受信したデータが、加入者宅内の端末600から送信されたデータに対する応答である場合には、アドレス変換部3031は、当該加入者を特定し、当該加入者宅内の端末600に、当該応答を送信する。
一方、インターネット401から受信したデータが、加入者宅内の端末600から送信されたデータに対する応答ではない場合には、アドレス変換部3031は、インターネット401から受信したデータを廃棄する。
記憶部3032は、フロー情報を記憶する。ここで、記憶部3032が記憶するフロー情報は、端末情報が対応付けられているものとする。つまり、記憶部3032が記憶するフロー情報は、加入者IDと端末IDとが対応付けられているものとする。
図4は、記憶部3032が記憶する情報の一例を示す図である。図4は、記憶部3032が、加入者IDと、端末IDと、送信元を特定する情報と、宛先を特定する情報と、プロトコルとを対応付けて記憶することを示す。図4に示すように、送信元を特定する情報は、送信元IPアドレス及びポート番号であってもよい。同様に、宛先を特定する情報は、宛先IPアドレス及びポート番号であってもよい。
図4は、加入者ID「200」及び端末ID「2」である端末600から送信されたデータに関して、送信元のIPアドレスが「192.168.1.1」であり、送信元のポート番号が「1234」であることを示す。さらに、図4は、加入者ID「200」及び端末ID「2」である端末600から送信されたデータに関して、宛先のIPアドレスが「8.8.8.8」であり、宛先のポート番号が「53」であることを示す。さらに、図4は、加入者ID「200」及び端末ID「2」である端末600から送信されたデータが、プロトコル「UDP(User Datagram Protocol)」を利用して送信されることを示す。
ポリシ適用装置304は、ポリシ適用部3041と、記憶部(ポリシ記憶部)3042と、VNF(3043、3044)を含んで構成される。なお、図2は、一例として、2つのVNF(3043、3044)を示すが、これは、VNFの数を2つに限定する趣旨ではない。ポリシ適用装置304が制御するVNFの数は、1又は3以上であってもよい。
ポリシ適用部3041は、ポリシ適用装置304を構成する、プロセッサ(CPU)で実行させるプログラムにより、その処理を実現するようにしても良い。この場合、該プログラムを記憶した、コンピュータ読み出し可能な媒体(半導体メモリ、HDD等)から、プログラムを読み出し、該サーバ装置を構成するプロセッサで各処理を実行する。
記憶部3042は、磁気ディスク装置や光ディスク装置、半導体メモリを用いて実現される。
ポリシ適用装置304は、1又は2以上の仮想マシンを含んで構成される。仮想マシンは、仮想ネットワーク機能を制御するノード(第3のノード)である。
ポリシ適用部3041は、加入者宅内の端末600であって、制御システム300が受信したデータに対応する端末600に応じた、所定の適用ポリシを適用する。
具体的には、ポリシ適用部3041は、データに付与された端末情報に基づいて、加入者端末情報データベース305を検索し、データに付与された端末情報に対応する、MACアドレスを特定する。そして、ポリシ適用部3041は、特定したMACアドレスに基づいて、記憶部3042を検索し、データに適用する適用ポリシを特定する。ポリシ適用部3041は、特定した適用ポリシに基づいて、処理を実行する。
適用ポリシとは、加入者宅内の端末600に対する、サービス提供のポリシである。例えば、適用ポリシとは、当該適用ポリシを適用対象の端末600に対して、特定のWebサイトへの通信を禁止することであってもよい。また、適用ポリシは、当該適用ポリシを適用対象の端末600に対して、インターネット401への接続時間帯を制限することであってもよい。なお、本書に例示する適用ポリシは一例であり、適用ポリシを、本書に例示する処理に限定する趣旨ではない。
記憶部3042は、加入者IDと、端末600のMACアドレスと、端末600に適用する適用ポリシとを対応付けて、予め保持する。例えば、記憶部3042は、加入者IDと、MACアドレスと、当該MACアドレスに対応する端末600に適用する適用ポリシと、を対応付けたテーブルを記憶してもよい。
図5は、記憶部3042が記憶する情報の一例を示す図である。図5は、加入者IDと、MACアドレスと、適用ポリシとを対応付けたテーブルを示す。
図5は、加入者ID「200」の加入者の宅内ネットワークに接続する、MACアドレス「BB:CC:DD:34:56:78」の端末600が送信元又は宛先であるデータに対して、「ウィルスチェック」が対応付けられていることを示す。例えば、加入者ID「200」の加入者の宅内ネットワークに接続する、MACアドレス「BB:CC:DD:34:56:78」の端末が端末600cであるとする。その場合、ポリシ適用部3041は、図5に示すテーブルを参照する場合、端末600cが送信元又は宛先であるデータに対して、「ウィルスチェック」との適用ポリシを適用する。
同様に、図5は、加入者ID「200」の加入者の宅内ネットワークに接続する、MACアドレス「CC:DD:EE:56:78:90」の端末600が送信元又は宛先であるデータに対して、「ウィルスチェック」及び「有害サイトアクセス制限」が対応付けられていることを示す。例えば、加入者ID「200」の加入者の宅内ネットワークに接続する、MACアドレス「CC:DD:EE:56:78:90」の端末が、端末600bであるとする。その場合、ポリシ適用部3041は、図5に示すテーブルを参照する場合、端末600bが送信元又は宛先であるデータに対して、「ウィルスチェック」及び「有害サイトアクセス制限」との適用ポリシを適用する。
なお、「ウィルスチェック」との適用ポリシは、ポリシ適用部3041が、ウィルスと判断されるデータを廃棄する処理(一般的には、ウィルス情報の記録されたDBと同じ通信パターンが加入者の通信に含まれる場合はデータを廃棄する)を、送受信対象のデータに対して適用することを意味する。また、「有害サイトアクセス制限」との適用ポリシは、送信対象のデータが、子供に有害であると判断される通信に関するデータである場合、ポリシ適用部3041が通信を遮断する(一般的には、有害サイト情報の記録されたDBに存在するURLへアクセスした場合に加入者の通信を遮断する)ことを意味する。
次に、制御システム300の動作について詳細に説明する。
まず、図6を参照しながら、端末600に適用する適用ポリシを登録する処理に関して説明する。図6においては、端末600cが、適用ポリシの登録を要求する処理を例示して説明するが、これは、適用ポリシの登録要求元の端末を、端末600cに限定する趣旨ではない。
ステップA1において、端末600cは、加入者IDと、登録対象の適用ポリシと、登録対象の適用ポリシに対応する端末600のMACアドレスとを、ポリシ適用部3041に送信する。
例えば、制御システム300を管理する通信事業者が、適用ポリシの登録に利用可能なWebサイトを提供しているとする。その場合、加入者Bは、加入者Bの宅内の端末600cを用いて、適用ポリシの登録に利用可能なWebサイトにログインする。そして、加入者Bは、当該Webサイトに、加入者Bの加入者IDと、登録対象の適用ポリシと、登録対象の適用ポリシに対応する端末600のMACアドレスとを、適用ポリシの登録に利用可能なWebサイトに入力する。
ここで、加入者Bが、加入者Bの宅内ネットワーク110に接続する、端末600bに対応する適用ポリシを、端末600cを用いて設定するとする。登録対象の適用ポリシは、「ウィルスチェック」及び「有害サイトアクセス制限」との適用ポリシであるとする。その場合、加入者Bは、端末600cを用いて、加入者Bの加入者IDと、「ウィルスチェック」及び「有害サイトアクセス制限」との適用ポリシと、端末600bのMACアドレスとを、適用ポリシの登録に利用可能なWebサイトに入力する。
ステップA2において、ポリシ適用部3041は、受信した加入者IDと、登録対象の適用ポリシと、登録対象の適用ポリシに対応する端末600のMACアドレスとを対応付けて登録する。ポリシ適用部3041は、受信した加入者IDと、登録対象の適用ポリシと、登録対象の適用ポリシに対応する端末600のMACアドレスとを対応付けて、記憶部3042に記憶させる。
ステップA3において、ポリシ適用部3041は、端末600cに登録完了を応答する。端末600cは、登録完了の通知を受信する(ステップA4)。
次に、図7、図8、図9を参照しながら、端末600bから制御システム300を介してデータを送信する処理に関して説明する。
まず、図7を参照しながら、端末600bから制御システム300を介してデータを送信する処理に関して説明する。以下の説明では、端末600bは、子供が使用する端末600(例えば、子供が使用するスマートフォン等)であるものとする。また、端末600bに対して、「ウィルスチェック」及び「有害サイトアクセス制限」との適用ポリシが、予め対応付けられているものとする。つまり、端末600bのMACアドレスと、端末600bに対応する加入者IDと、「ウィルスチェック」及び「有害サイトアクセス制限」との適用ポリシとを対応付けた情報を、記憶部3042が記憶しているものとする。
端末600bは、制御システム300を介したパケット通信処理を開始する。端末600bは、制御システム300にデータを送信する(ステップB1)。端末情報生成部3011は、端末600bからデータを受信する。
受信データの送信元の端末600bに対応する、加入者を認証済みであるか否かを、端末情報生成部3011は確認する(ステップB2)。具体的には、加入者に対応する加入者コンテクストを作成済みであるか否かを、端末情報生成部3011は判断する。端末情報生成部3011は、加入者に対応する加入者コンテクストを作成済みである場合には、当該加入者を認証済みであると判断する。端末情報生成部3011は、加入者に対応する加入者コンテクストを作成していない場合には、当該加入者が認証されていないと判断する。
受信データの送信元の端末600bに対応する、加入者を認証済みである場合(ステップB2のYes分岐)には、ステップB8に遷移する。
一方、データの送信元の端末600bに対応する、加入者を認証済みではない場合(ステップB2のNo分岐)には、端末情報生成部3011は、受信データに基づいて、加入者を特定する(ステップB3)。具体的には、端末情報生成部3011は、受信データのIPカプセリングヘッダ等に含まれる情報に基づいて、当該受信データを送信した加入者を特定する。ここで、受信データのIPカプセリングヘッダ等に含まれる情報とは、VLAN(Virtual Local Area Network) ID、GRE(Generic Routing Encapsulation) Key ID、PPP(Point-to-Point Protocol)のUser ID等であってもよい。
端末情報生成部3011は、特定した加入者の認証を、認証サーバ501に要求する(ステップB4)。認証サーバ501は、端末情報生成部3011から認証要求を受信すると、認証対象の加入者を認証する(ステップB5)。認証サーバ501は、加入者を認証した場合、加入者IDを、端末情報生成部3011に応答する(ステップB6)。端末情報生成部3011は、認証サーバ501から、加入者IDを受信する。
端末情報生成部3011は、受信した加入者IDを含む、加入者コンテクストを作成する(ステップB7)。
ステップB8において、受信データの送信元の端末600bに対応する、加入者の加入者IDが、加入者端末情報データベース305に登録されているか否かを、端末情報生成部3011は判断する。例えば、端末情報生成部3011は、受信データのEthernet(登録商標)ヘッダを参照し、当該ヘッダに含まれるMACアドレスに基づいて、加入者宅内の端末600bを特定してもよい。
データの送信元の端末600bに対応する加入者の加入者IDが、加入者端末情報データベース305に登録されている場合(ステップB8のYes分岐)には、図8に示すステップB23に遷移する。一方、データの送信元の端末600bに対応する加入者の加入者IDが、加入者端末情報データベース305に登録されていない場合(ステップB8のNo分岐)には、B9に遷移する。
ステップB9において、端末情報生成部3011は、受信データの送信元の端末600bに対応する、端末IDを採番する。具体的には、端末情報生成部3011は、当該端末600bに対応するとともに、加入者Bの宅内ネットワーク110内で一意になる端末IDを採番する。
そして、端末情報生成部3011は、受信データに対応する加入者IDと、端末IDと、MACアドレスとを、加入者端末情報データベース305に通知する(ステップB10)。具体的には、端末情報生成部3011は、受信データに対応する加入者IDと、端末IDと、MACアドレスとを、加入者端末情報データベース305に登録するように要求する。そして、図8に示すB21に遷移する。
次に、図8を参照しながら、端末600bから制御システム300を介してデータを送信する処理に関して、引き続き説明する。
ステップB21において、加入者端末情報データベース305は、受信した加入者IDと、端末IDと、MACアドレスとを登録する(ステップB21)。そして、加入者端末情報データベース305は、登録完了を端末情報生成部3011に応答する(ステップB22)。
ステップB23において、端末情報生成部3011は、加入者IDと、端末IDとを含む、端末情報を生成する。
ステップB24において、端末情報生成部3011は、生成した端末情報を、受信データに付与する。例えば、端末情報生成部3011は、GREヘッダの中に、NSH(Next Service Header)として、端末情報を付与してもよい。なお、端末情報の使用範囲は、制御システム300の内部である。そのため、端末情報生成部3011が端末情報を付与する方法は、NSHとして端末情報を付与する方法に限定されない。
ステップB25において、端末情報生成部3011は、端末情報が付与された受信データを、転送中継装置302に転送する。転送中継装置302は、端末情報が付与された受信データを、ポリシ適用部3041に転送する(ステップB26)。
ポリシ適用部3041は、加入者IDと端末IDとに対応するMACアドレスを、加入者端末情報データベース305に要求する(ステップB27)。加入者端末情報データベース305は、加入者IDと端末IDとに対応するMACアドレスを検索する(ステップB28)。加入者端末情報データベース305は、加入者IDと端末IDとに対応するMACアドレスを、ポリシ適用部3041に応答する(ステップB29)。
ポリシ適用部3041は、受信したMACアドレスに対応する、適用ポリシを特定する(ステップB30)。つまり、ポリシ適用部3041は、受信データの送信元の端末600bに対応する、適用ポリシを特定する。そして、ポリシ適用部3041は、特定した適用ポリシに対応する処理を実行する(ステップB31)。
例えば、記憶部3042が、図5に示す加入者IDと、MACアドレスと、適用ポリシとを対応付けて記憶しているとする。ここで、端末600bのMACアドレスが、「CC:DD:EE:56:78:90」であるとする。その場合、ポリシ適用部3041は、「ウィルスチェック」及び「有害サイトアクセス制限」との適用ポリシを、端末600bに対応する適用ポリシとして特定する。
そして、端末600bから送信された受信データが、ウィルスと判断されるデータを含む場合には、ポリシ適用部3041は、受信データを廃棄し、通信を終了する。または、端末600bから送信された受信データが、子供に有害であると判断される通信に関するデータである場合、ポリシ適用部3041は、受信データを廃棄し、通信を終了する。ここで、子供に有害であると判断される通信とは、受信データの宛先が、子供に有害であるWebサイトである場合等である。
なお、受信データの送信元が、端末600cであるとする。そして、端末600cのMACアドレスが、「BB:CC:DD:34:56:78」であるとする。その場合、ポリシ適用部3041は、「ウィルスチェック」との適用ポリシを、端末600cに対応する適用ポリシとして特定する。
そのため、端末600cから送信された受信データが、ウィルスと判断されるデータを含む場合には、ポリシ適用部3041は、受信データを廃棄し、通信を終了する。しかし、端末600cから送信された受信データが、子供に有害であると判断される通信に関するデータであっても、ポリシ適用部3041は通信を継続する。
ステップB32において、ポリシ適用部3041は、端末情報が付与された受信データを、転送中継装置302に転送する。転送中継装置302は、端末情報が付与された受信データを、アドレス変換部3031に転送する(ステップB33)。そして、図9に示すステップB41に遷移する。
次に、図9を参照しながら、端末600bから制御システム300を介してデータを送信する処理に関して、引き続き説明する。
ステップB41において、アドレス変換部3031は、IPアドレス変換処理を実行する。具体的には、アドレス変換部3031は、加入者Bの宅内ネットワーク110で利用するプライベートIPアドレスを、グローバルIPアドレスに変換する。なお、上記の通り、アドレス変換装置303は、NATとして実現されてもよい。
アドレス変換部3031は、通信の流れを特定する情報を、フロー情報として、記憶部3032に記憶する。
ステップB42において、アドレス変換部3031は、受信データに付与された端末情報を、フロー情報に対応付けて、記憶部3032に記憶する。
ステップB43において、アドレス変換部3031は、受信データから端末情報を除去する。アドレス変換部3031は、指定された宛先に受信データを転送する(ステップB44)。具体的には、アドレス変換部3031は、受信データを、インターネット401に転送する。
次に、図10、図11、図12を参照しながら、制御システム300が端末600bにデータを送信する処理に関して説明する。
まず、図10を参照しながら、制御システム300が端末600bにデータを送信する処理に関して説明する。
ステップC1において、アドレス変換部3031は、インターネット401からデータを受信する。
ステップC2において、受信データに対応するフロー情報が記憶されているか否かを、アドレス変換部3031は判断する。受信データに対応するフロー情報が記憶されていない場合(ステップC2のNo分岐)には、アドレス変換部3031は受信データを廃棄する(ステップC3)。つまり、受信データが、加入者宅内の端末600から送信されたデータに対する応答ではない場合には、アドレス変換部3031は、当該受信データを廃棄する。そして、制御システム300が端末600bにデータを送信する処理を終了する。
一方、受信データに対応するフロー情報が記憶されている場合(ステップC2のYes分岐)には、アドレス変換部3031は、受信データに対応するフロー情報を特定する(ステップC4)。例えば、アドレス変換部3031は、記憶部3032を参照し、受信データに対応するフロー情報を特定する。
ステップC5において、アドレス変換部3031は、IPアドレス変換処理を実行する。具体的には、アドレス変換部3031は、受信データに対応するグローバルIPアドレスを、加入者Bの宅内ネットワーク110において利用する、プライベートIPアドレスに変換する。
ステップC6において、アドレス変換部3031は、特定したフロー情報に対応付けられた、端末情報を特定する。そして、アドレス変換部3031は、特定した端末情報を、受信データに付与する(ステップC7)。
ステップC8において、アドレス変換部3031は、端末情報が付与された受信データを、転送中継装置302に転送する。転送中継装置302は、端末情報が付与された受信データを、ポリシ適用部3041に転送する(ステップC9)。そして、図11に示すステップC21に遷移する。
次に、図11を参照しながら、制御システム300が端末600bにデータを送信する処理に関して、引き続き説明する。
ステップC21において、ポリシ適用部3041は、加入者IDと端末IDとに対応するMACアドレスを、加入者端末情報データベース305に要求する。加入者端末情報データベース305は、加入者IDと端末IDとに対応するMACアドレスを検索する(ステップC22)。加入者端末情報データベース305は、加入者IDと端末IDとに対応するMACアドレスを、ポリシ適用部3041に応答する(ステップC23)。
ポリシ適用部3041は、受信したMACアドレスに対応する、適用ポリシを特定する(ステップC24)。つまり、ポリシ適用部3041は、受信データの宛先の端末600bに対応する、適用ポリシを特定する。そして、ポリシ適用部3041は、特定した適用ポリシに対応する処理を実行する(ステップC25)。
例えば、記憶部3042が、図5に示す加入者IDと、MACアドレスと、適用ポリシとを対応付けて記憶しているとする。ここで、端末600bのMACアドレスが、「CC:DD:EE:56:78:90」であるとする。その場合、ポリシ適用部3041は、「ウィルスチェック」及び「有害サイトアクセス制限」との適用ポリシを、端末600bに対応する適用ポリシとして特定する。
そして、端末600b宛ての受信データが、ウィルスと判断されるデータを含む場合には、ポリシ適用部3041は、受信データを廃棄し、通信を終了する。または、端末600b宛ての受信データが、子供に有害であると判断される通信に関するデータである場合、ポリシ適用部3041は、受信データを廃棄し、通信を終了する。ここで、子供に有害であると判断される通信とは、受信データの送信元が、子供に有害であるWebサイトである場合等である。
なお、受信データの宛先が、端末600cであるとする。そして、端末600cのMACアドレスが、「BB:CC:DD:34:56:78」であるとする。その場合、ポリシ適用部3041は、「ウィルスチェック」との適用ポリシを、端末600cに対応する適用ポリシとして特定する。
そのため、端末600c宛ての受信データが、ウィルスと判断されるデータを含む場合には、ポリシ適用部3041は、受信データを廃棄し、通信を終了する。しかし、端末600c宛ての受信データが、子供に有害であると判断される通信に関するデータであっても、ポリシ適用部3041は通信を継続する。
ステップC26において、ポリシ適用部3041は、端末情報が付与された受信データを転送中継装置302に転送する。転送中継装置302は、端末情報が付与された受信データを、端末情報生成部3011に転送する。そして、図12に示すステップC41に転送する。
次に、図12を参照しながら、制御システム300が端末600bにデータを送信する処理に関して説明する。
ステップC41において、端末情報生成部3011は、受信データに付与された端末情報に基づいて、加入者を特定する。
ステップC42において、端末情報生成部3011は、受信データから端末情報を除去する。端末情報生成部3011は、特定した加入者の端末600(端末600b)に、受信データを転送する(ステップC43)。そして、制御システム300は、端末600bにデータを送信する処理を終了する。
[変形例1]
本実施形態に係る制御システム300の変形例1として、ポリシ適用部3041は、キャッシュメモリを備えてもよい。そして、ポリシ適用部3041のキャッシュメモリが、加入者端末情報データベース305を格納してもよい。その場合、ポリシ適用部3041が加入者端末情報データベース305からMACアドレスを取得する際に、通信速度に対するオーバーヘッドを軽減することに貢献する。
[変形例2]
本実施形態に係る制御システム300の変形例2として、ポリシ適用装置304がIPカプセリングのヘッダを解釈できない場合には、転送中継装置302が、IPカプセリングのヘッダとは異なる形式を用いて、端末600を識別する情報を、ポリシ適用装置304に通知してもよい。
例えば、転送中継装置302が、端末情報生成部3011又はアドレス変換部3031から、IPカプセリングのヘッダとして端末情報を付与された、データを受信したとする。その場合、転送中継装置302は、受信したデータに付与されたIPカプセリングのヘッダを除去して、ポリシ適用部3041にデータを転送してもよい。その場合、転送中継装置302は、端末600毎に異なる、一時的な送信元IPアドレスを決定し、決定した送信元IPアドレスを、ポリシ適用部3041に通知してもよい。その後、転送中継装置302は、ポリシ適用部3041からデータを受信した場合には、受信したデータに端末情報を再び付与し、指示された転送先(端末情報生成部3011又はアドレス変換部3031)に、受信したデータを転送してもよい。
[変形例3]
本実施形態に係る制御システム300の変形例3として、制御システム300は、ルータを含んで構成されてもよい。例えば、制御システム300は、端末情報生成装置301、転送中継装置302、アドレス変換装置303、ポリシ適用装置304間に、ルータを含んで構成されてもよい。制御システム300は、IPカプセリングヘッダに、端末情報を含ませることで、制御システム300が、ルータを含んで構成される場合であっても、制御システム300の内部において、端末情報を付与したデータを利用することが可能になる。
[変形例4]
本実施形態に係る制御システム300の変形例4として、アドレス変換装置303は、端末600毎に異なるアドレス変換の規則を、記憶部3032に記憶してもよい。その場合、アドレス変換部3031は、受信データに付与された端末情報に基づいて、予め登録されたアドレス変換の規則から、受信データに対応するアドレス変換の規則を選択してもよい。そして、アドレス変換部3031は、選択した、アドレス変換の規則に基づいて、アドレス変換を実行してもよい。
以上のように、本実施形態に係る制御システム300は、加入者IDと端末IDとを含む、端末情報を、制御システム300の外部から受信したデータに付与し、制御システム300の内部においては、端末情報を付与したデータを利用する。従って、本実施形態に係る制御システム300は、制御システム300の内部において、加入者の宅内ネットワークに接続する、各端末600を識別する情報を保持することができる。よって、本実施形態に係る制御システム300は、NFV技術を用いて実現するシステム内において、加入者宅内の各端末600を適切に識別することに貢献する。
さらに、本実施形態に係る制御システム300は、端末600に応じた適用ポリシを予め保持し、加入者宅内の端末600に対応するデータを受信した場合、当該端末600に応じた適用ポリシを適用する。従って、本実施形態に係る制御システム300は、加入者宅内の各端末600に応じた、サービスを適切に提供することに貢献する。
上述の実施形態の一部又は全部は、以下の形態のようにも記載され得るが、以下には限られない。
(形態1)上記第1の視点に係るノードの通りである。
(形態2)上記第2の視点に係るノードの通りである。
(形態3)上記第3の視点に係る制御システムの通りである。
(形態4)加入者の加入者IDと、加入者の宅内ネットワーク内の端末に対応する端末IDと、前記端末IDに対応する前記端末のMAC(Media Access Control)アドレスと、を対応付けて予め保持する、加入者端末情報データベースをさらに含み、前記加入者IDと、前記端末のMACアドレスと、前記端末に適用する適用ポリシとを対応付けて、予め保持する、ポリシ記憶部と、データに付与された前記端末情報に基づいて、前記加入者端末情報データベースを検索し、データに付与された前記端末情報に対応する、MACアドレスを特定し、特定したMACアドレスに基づいて、前記ポリシ記憶部を検索し、データに適用する前記適用ポリシを特定する、ポリシ適用部と、を備える、第3のノードをさらに含み、前記ポリシ適用部は、特定した前記適用ポリシに基づいて、処理を実行する、好ましくは形態3に記載の制御システム。
(形態5)前記ポリシ適用部は、キャッシュメモリを備え、前記キャッシュメモリに、前記加入者端末情報データベースを格納する、好ましくは形態4に記載の制御システム。
(形態6)前記制御システムの外部にデータを転送する、第2のノードをさらに含み、前記第2のノードは、前記端末情報が付与されたデータを受信した場合、受信したデータから前記端末情報を除去し、前記端末情報を除去したデータを、データの宛先に転送する、好ましくは形態3乃至5のいずれか一に記載の制御システム。
(形態7)フロー情報記憶部をさらに含み、前記第2のノードは、加入者の宅内ネットワーク内の端末から送信されたデータであって、前記端末情報が付与されたデータを受信した場合、受信したデータに付与された前記端末情報を、フロー情報に対応付けて、前記フロー情報と前記端末情報とを、前記フロー情報記憶部に保存し、受信したデータから前記端末情報を除去し、前記端末情報を除去したデータを、データの宛先に転送する、好ましくは形態6に記載の制御システム。
(形態8)前記第2のノードは、加入者の宅内ネットワーク内の端末宛のデータを受信した場合、受信したデータに対応する前記フロー情報に基づいて、前記端末情報を特定し、特定した前記端末情報を、受信したデータに付与する、好ましくは形態7に記載の制御システム。
(形態9)前記第2のノードは、加入者の宅内ネットワーク内の端末宛のデータを受信した場合、受信したデータに、特定した前記端末情報を付与し、前記端末情報が付与されたデータを前記第1のノードに転送し、前記第1のノードは、前記第2のノードから転送された、データを受信した場合、受信したデータから前記端末情報を除去し、前記端末情報を除去したデータを、データの宛先に転送する、好ましくは形態8に記載の制御システム。
(形態10)上記第4の視点に係る通信制御方法の通りである。
(形態11)上記第5の視点に係るプログラムの通りである。
なお、上記の特許文献の開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択(部分的削除を含む)が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。本発明で、アルゴリズム、ソフトウェア、ないしフローチャート或いは自動化されたプロセスステップが示された場合、コンピュータが用いられることは自明であり、またコンピュータにはプロセッサ及びメモリないし記憶装置が付設されることも自明である。よってその明示を欠く場合にも、本願には、これらの要素が当然記載されているものと解される。
1 第1のノード
10 制御システム
20 制御装置
21、22 VNF
30 加入者の宅内ネットワーク
31、32、33、600、600a、600b、600c 端末
100 加入者Aの宅内ネットワーク
101、111 CPE
110 加入者Bの宅内ネットワーク
201 アクセス/集約ネットワーク
300 制御システム
301 端末情報生成装置
302 転送中継装置
303 アドレス変換装置
304 ポリシ適用装置
305 加入者端末情報データベース
401 インターネット
501 認証サーバ
1000 通信システム
3011 端末情報生成部
3031 アドレス変換部
3032、3042 記憶部
3041 ポリシ適用部

Claims (10)

  1. 仮想ネットワーク機能を制御する制御装置を含んで構成される、制御システムの内部に配置され、
    加入者の宅内ネットワーク内の端末に、端末ID(identifier)を採番し、
    送信元又は宛先が前記端末であるデータを、前記制御システムの外部から受信した場合、受信したデータの送信元又は宛先の前記端末に対応する前記端末IDと、前記端末が接続する宅内ネットワークに対応する、加入者の加入者IDと、を含む端末情報を、受信したデータに付与し、前記端末情報が付与されたデータを、前記制御システムの内部のノードに転送する、ノード。
  2. 仮想ネットワーク機能を制御する、制御システムの内部に配置され、
    データの送信元又は宛先の端末に採番された端末IDと、前記端末が接続する宅内ネットワークに対応する、加入者の加入者IDとを含む端末情報が付与されたデータを、前記制御システムの内部から受信した場合、受信したデータから前記端末情報を除去し、前記制御システムの外部に転送する、ノード。
  3. 仮想ネットワーク機能を制御する制御装置を含んで構成される、制御システムであって、
    加入者の宅内ネットワーク内の端末に、端末IDを採番する、第1のノードを含み、
    前記第1のノードは、送信元又は宛先が前記端末であるデータを、前記制御システムの外部から受信した場合、受信したデータの送信元又は宛先の前記端末に対応する前記端末IDと、前記端末が接続する宅内ネットワークに対応する、加入者の加入者IDと、を含む端末情報を、受信したデータに付与し、
    前記制御システムの内部においては、前記端末情報が付与されたデータを利用する、制御システム。
  4. 加入者の加入者IDと、加入者の宅内ネットワーク内の端末に対応する端末IDと、前記端末IDに対応する前記端末のMAC(Media Access Control)アドレスと、を対応付けて予め保持する、加入者端末情報データベースをさらに含み、
    前記加入者IDと、前記端末のMACアドレスと、前記端末に適用する適用ポリシとを対応付けて、予め保持する、ポリシ記憶部と、
    データに付与された前記端末情報に基づいて、前記加入者端末情報データベースを検索し、データに付与された前記端末情報に対応する、MACアドレスを特定し、特定したMACアドレスに基づいて、前記ポリシ記憶部を検索し、データに適用する前記適用ポリシを特定する、ポリシ適用部と、
    を備える、第3のノードをさらに含み、
    前記ポリシ適用部は、特定した前記適用ポリシに基づいて、処理を実行する、請求項3に記載の制御システム。
  5. 前記ポリシ適用部は、キャッシュメモリを備え、
    前記キャッシュメモリに、前記加入者端末情報データベースを格納する、請求項4に記載の制御システム。
  6. 前記制御システムの外部にデータを転送する、第2のノードをさらに含み、
    前記第2のノードは、前記端末情報が付与されたデータを受信した場合、受信したデータから前記端末情報を除去し、前記端末情報を除去したデータを、データの宛先に転送する、請求項3乃至5のいずれか一に記載の制御システム。
  7. フロー情報記憶部をさらに含み、
    前記第2のノードは、加入者の宅内ネットワーク内の端末から送信されたデータであって、前記端末情報が付与されたデータを受信した場合、受信したデータに付与された前記端末情報を、フロー情報に対応付けて、前記フロー情報と前記端末情報とを、前記フロー情報記憶部に保存し、受信したデータから前記端末情報を除去し、前記端末情報を除去したデータを、データの宛先に転送する、請求項6に記載の制御システム。
  8. 前記第2のノードは、加入者の宅内ネットワーク内の端末宛のデータを受信した場合、受信したデータに対応する前記フロー情報に基づいて、前記端末情報を特定し、特定した前記端末情報を、受信したデータに付与する、請求項7に記載の制御システム。
  9. 仮想ネットワーク機能を制御する、制御システムを制御する通信制御方法であって、前記制御システムは、送信元又は宛先が、加入者の宅内ネットワーク内の端末であるデータを、前記制御システムの外部から受信する、第1のノードを含み、
    前記端末に、端末IDを採番する工程と、
    前記端末IDと、受信されたデータの送信元又は宛先の宅内ネットワークに対応する、加入者の加入者IDと、を含む端末情報を生成する工程と、
    受信されたデータに、前記端末情報を付与する工程と、
    前記端末情報が付与された、前記データを、前記制御システムの内部のノードに転送する工程と、
    を含む、通信制御方法。
  10. 仮想ネットワーク機能を制御する、制御システムを制御するコンピュータに制御させるプログラムであって、
    前記制御システムは、送信元又は宛先が、加入者の宅内ネットワーク内の端末であるデータを、前記制御システムの外部から受信する、第1のノードを含み、
    前記端末に、端末IDを採番する処理と、
    前記端末IDと、前記端末が接続する宅内ネットワークに対応する、加入者の加入者IDと、を含む端末情報を生成する処理と、
    受信されたデータに、前記端末情報を付与する処理と、
    前記端末情報が付与された、前記データを、前記制御システムの内部のノードに転送する処理と、
    を前記コンピュータに実行させるプログラム。
JP2020500990A 2018-02-21 2019-02-20 ノード、制御システム、通信制御方法及びプログラム Active JP7211409B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018028645 2018-02-21
JP2018028645 2018-02-21
PCT/JP2019/006310 WO2019163821A1 (ja) 2018-02-21 2019-02-20 ノード、制御システム、通信制御方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2019163821A1 JPWO2019163821A1 (ja) 2021-02-04
JP7211409B2 true JP7211409B2 (ja) 2023-01-24

Family

ID=67687740

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020500990A Active JP7211409B2 (ja) 2018-02-21 2019-02-20 ノード、制御システム、通信制御方法及びプログラム

Country Status (3)

Country Link
US (1) US20210051076A1 (ja)
JP (1) JP7211409B2 (ja)
WO (1) WO2019163821A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010166356A (ja) 2009-01-16 2010-07-29 Fujitsu Ltd 端末接続方法、端末接続装置、端末接続プログラム
JP2016144030A (ja) 2015-02-02 2016-08-08 日本電信電話株式会社 トラヒック振り分け装置、その方法及びプログラム
WO2016148049A1 (ja) 2015-03-13 2016-09-22 日本電気株式会社 通信装置とシステムと方法並びに割り当て装置とプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010166356A (ja) 2009-01-16 2010-07-29 Fujitsu Ltd 端末接続方法、端末接続装置、端末接続プログラム
JP2016144030A (ja) 2015-02-02 2016-08-08 日本電信電話株式会社 トラヒック振り分け装置、その方法及びプログラム
WO2016148049A1 (ja) 2015-03-13 2016-09-22 日本電気株式会社 通信装置とシステムと方法並びに割り当て装置とプログラム

Also Published As

Publication number Publication date
US20210051076A1 (en) 2021-02-18
WO2019163821A1 (ja) 2019-08-29
JPWO2019163821A1 (ja) 2021-02-04

Similar Documents

Publication Publication Date Title
CN108449282B (zh) 一种负载均衡方法及其装置
JP6982104B2 (ja) Brasシステムベースのパケットカプセル化方法および装置
CN107872542B (zh) 一种数据传输的方法及网络设备
JP6619894B2 (ja) アクセス制御
US8737396B2 (en) Communication method and communication system
JP2019500822A (ja) 仮想マシンパケット制御
WO2015014187A1 (zh) 一种支持多租户的数据转发方法和装置
WO2017133647A1 (zh) 一种报文处理方法、流分类器和业务功能实例
KR20120055694A (ko) 사용자 액세스 방법, 시스템, 및 액세스 서버, 액세스 장치
WO2014201600A1 (zh) 一种会话管理方法、地址管理方法及相关装置
JP2010239591A (ja) ネットワークシステム、中継装置、およびネットワーク制御方法
US8943123B2 (en) Server apparatus, network access method, and computer program
JP2008148243A (ja) 通信装置、通信システム、通信方法及び通信プログラム
JP7211409B2 (ja) ノード、制御システム、通信制御方法及びプログラム
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
KR20170001655A (ko) L2 네트워크에서의 사용자 인증 방법 및 이를 이용한 서비스 펑션 체인 제어 방법
JP2013126219A (ja) 転送サーバおよび転送プログラム
WO2015146215A1 (ja) ネットワークアドレス変換装置、ネットワークアドレス変換システム、ネットワークアドレス変換方法、及びコンピュータ読み取り可能な記録媒体
JP2014230046A (ja) ハブ別制御機能を有するipアドレス割当サーバ
JPWO2015025848A1 (ja) 通信システム、制御指示装置、通信制御方法及びプログラム
WO2023134350A1 (zh) 一种报文发送方法、报文接收方法、信息发送方法及装置
JP4312650B2 (ja) アクセスネットワークシステム及び方法
JP5733102B2 (ja) ネットワークシステム、アドレス付与サーバ及びアドレス付与プログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200820

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221226

R151 Written notification of patent or utility model registration

Ref document number: 7211409

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151