WO2020209161A1

WO2020209161A1 - 制御装置、無線通信システム、制御方法及びプログラム

Info

Publication number: WO2020209161A1
Application number: PCT/JP2020/015059
Authority: WO
Inventors: 顕尚倉島; 哲夫山; 英明通岡
Original assignee: 日本電気株式会社
Priority date: 2019-04-11
Filing date: 2020-04-01
Publication date: 2020-10-15
Also published as: EP3955557A4; JPWO2020209161A1; JP2023040261A; JP7218798B2; EP3955557B1; US20220182823A1; EP3955557A1

Abstract

【課題】自営の無線通信網におけるユーザのアクセス制御を実現する制御装置を提供する。【解決手段】制御装置は、取得部と、検証部と、を備える。取得部は、自営の無線通信網の加入者に関する加入者情報を取得する。検証部は、加入者情報に含まれる認証情報に基づき、自営の無線通信網への接続を要求する端末装置の認証を行う。検証部は、接続を要求する端末装置の認証に成功した場合に、加入者情報に含まれる認証情報とは異なる情報に基づき、接続を要求する端末装置のアクセス権限を検証する。

Description

制御装置、無線通信システム、制御方法及びプログラム

　本発明は、制御装置、無線通信システム、制御方法及びプログラムに関する。

　近年、モバイルネットワークシステムとして、３ＧＰＰ（Third Generation Partnership Project）により規定されたＬＴＥ（Long Term Evolution）／ＥＰＣ（Evolved Packet Core）が広く普及している。

　上記ＬＴＥをはじめとするモバイルネットワークシステムは、通常、電気通信事業者（キャリア）が基地局、コアネットワーク等を構築、管理しユーザに無線接続を提供する。つまり、ＭＮＯ（Mobile Network Operator）と称される移動体通信事業者が通信回線網を構築し、通信サービスを提供している。また、近年では、ＭＮＯから通信網を借り受けるＭＶＮＯ（Mobile Virtual Network Operator；仮想移動体通信事業者）による通信サービスの提供も広く行われている。

　さらに、上記ＭＮＯやＭＮＶＯによらず企業等が独自に携帯電話の技術に基づく移動無線通信網（以下、単に「無線通信網」と表記する）を構築することが始まっている。即ち、プライベートＬＴＥと称される無線通信網の構築が進められている。

　特許文献１には、ユーザ識別情報に基づき、通信に関する課金と、ユーザに対して提供可能なサービスに関する課金を一元的に管理する、と記載されている。特許文献１には、複数のキャリアの通信設備を利用する端末のユーザに対して課金管理を一元化するシステムが開示されている。

　特許文献２には、ユーザが柔軟に事業者を選択することができる通信システムを提供する、と記載されている。特許文献２には、キャリアがサービスを提供する際の課金条件等を含む通信事業者に関する情報を端末に送信し、端末は当該情報に基づき使用するキャリアを選択することが開示されている。

　特許文献３には、ＳＩＭ（Subscriber Identity Module）カードの通信容量を増やす際のユーザの利便性を高める、と記載されている。特許文献３には、ウェブ上のサーバが、ＳＩＭカードの通信容量を管理する管理システムに対してＳＩＭカードの通信容量を増やすための指示を送信することが開示されている。

　特許文献４には、複数のＳＩＭカードを利用するための管理方法及び管理サーバにおいて、多数の利用者が簡便に利用を開始できるようにする、と記載されている。特許文献４には、ＳＩＭカードを登録するための登録情報を受け取り、受け取った登録情報により識別番号が特定されたＳＩＭカードを複数のＳＩＭカードの利用者の利用者ＩＤ（Identifier）と関連づけることが開示されている。

国際公開２０１６／１４８２２９号国際公開２０１６／１３９９１９号特開２０１９－０１２９６９号公報特開２０１７－１４２８２２号公報

　上述のように、プライベートＬＴＥと称される企業等による無線通信網の構築が始まっている。プライベートＬＴＥでは、企業等の拠点や敷地に無線通信網の構築に必要な装置が敷設される。具体的には、無線アクセスネットワーク（ＲＡＮ；Radio Access Network）のノードである基地局やコアネットワークノード（例えば、ＭＭＥ（Mobility Management Entity））が企業等の敷地に敷設される。

　ここで、プライベートＬＴＥでは、基地局の制御やユーザに関する制御、管理は既存のＬＴＥにおける管理、制御等を踏襲する。従って、プライベートＬＴＥを利用可能な端末を認証することが、プライベートＬＴＥであっても必要となる。具体的には、ＳＩＭ（Subscriber Identity Module）提供事業者がＳＩＭカードを発行し、当該ＳＩＭカードが端末に装着されていることが必要となる。

　ＳＩＭ提供事業者は、プライベートＬＴＥの運用者（網運用者；ネットワークオペレータ）にユーザ認証（加入者認証）を実現するための認証情報を提供する。当該認証情報は、コアネットワークに格納され、端末への通信サービスの提供時に随時参照される。具体的には、ＨＳＳ（Home Subscriber Server）に上記認証情報が格納され、ＭＭＥが、端末のＳＩＭカードに格納された認証情報とＨＳＳに格納された認証情報を照合することで、上記認証が行われる。

　ＳＩＭ提供事業者による加入者情報の提供は、ＳＩＭ提供事業者とプライベートＬＴＥの網運用者の間の契約に基づき行われる。その際、ＳＩＭ提供事業者から提供される加入者情報の有効期限が無期限であることは少なく、加入者情報に「有効期間」が設定されることが多い。そのため、有効期間が経過した加入者情報によるネットワーク（プライベートＬＴＥ）へのアクセスは拒否される必要がある。

　また、プライベートＬＴＥのさらなる発展形態として、１つのコアネットワークを複数の企業、団体で共用することが考えられる。この場合、物理的な設備としてのコアネットワーク（コアネットワークノード）及びＰＬＭＮ（Public Land Mobile Network）ＩＤは複数の企業等にて共用されるが、当該複数の企業同士は別組織である。そのため、各企業のユーザ（例えば、従業員）のネットワークアクセスに関する管理は別々に行われることが求められる。

　例えば、企業Ａと企業Ｂが１つのコアネットワークを共用するプライベートＬＴＥを考える。この場合、企業Ａの社員によるネットワークのアクセスと、企業Ｂの社員によるネットワークのアクセスと、が独立して管理されることが求められる。例えば、企業Ａのフロアでは、企業Ｂの端末によるネットワークへのアクセスは拒否される等の対応が必要となる。このような対応をしなければ、企業Ｂの端末がネットワークにアクセスすることで企業Ａの端末がネットワークにアクセスすることが制限され、妥当ではないためである。

　既存のＬＴＥでは、ユーザのアクセス制御はコアネットワークノード（例えば、ＭＭＥ等）とは異なるサーバにより行われることが多い。例えば、料金プランに応じたユーザのアクセス制御は、特許文献１に開示されたＰＣＲＦ（Policy and Charging Rule Function）が実装されたサーバにより行われることが多い。当該サーバは、加入者ごとのポリシを制御する役割を担っており、その一部として上記課金処理も行っている。なお、ＰＣＲＦだけでなく、課金サーバを独自に持つケースも存在する。

　そのため、プライベートＬＴＥにも上記外部サーバを敷設し、当該外部サーバがユーザのアクセス制御を実行することが想定される。しかし、上記のような外部サーバは非常に多くの機能を備えているため、高価であることが多い。外部ネットワークへの無線接続を低コストで実現するためにプライベートＬＴＥを構築しているにも関わらず、高価な外部サーバをシステムに組み込むことはプライベートＬＴＥを構築する趣旨に反する。

　本発明は、自営の無線通信網におけるユーザのアクセス制御を実現する制御装置、無線通信システム、制御方法及びプログラムを提供することを主たる目的とする。

　本発明の第１の視点によれば、自営の無線通信網の加入者に関する加入者情報を取得する、取得部と、前記加入者情報に含まれる認証情報に基づき、前記自営の無線通信網への接続を要求する端末装置の認証を行うと共に、前記接続を要求する端末装置の認証に成功した場合に、前記加入者情報に含まれる認証情報とは異なる情報に基づき、前記接続を要求する端末装置のアクセス権限を検証する、検証部と、を備える、制御装置が提供される。

　本発明の第２の視点によれば、自営の無線通信網の加入者に関する加入者情報を取得する、取得手段と、前記加入者情報に含まれる認証情報に基づき、前記自営の無線通信網への接続を要求する端末装置の認証を行うと共に、前記接続を要求する端末装置の認証に成功した場合に、前記加入者情報に含まれる認証情報とは異なる情報に基づき、前記接続を要求する端末装置のアクセス権限を検証する、検証手段と、を含む、無線通信システムが提供される。

　本発明の第３の視点によれば、端末装置の移動性を制御する制御装置において、自営の無線通信網の加入者に関する加入者情報を取得するステップと、前記加入者情報に含まれる認証情報に基づき、前記自営の無線通信網への接続を要求する端末装置の認証を行うステップと、前記接続を要求する端末装置の認証に成功した場合に、前記加入者情報に含まれる認証情報とは異なる情報に基づき、前記接続を要求する端末装置のアクセス権限を検証するステップと、を含む、制御方法が提供される。

　本発明の第４の視点によれば、端末装置の移動性を制御する制御装置に搭載されたコンピュータに、自営の無線通信網の加入者に関する加入者情報を取得する処理と、前記加入者情報に含まれる認証情報に基づき、前記自営の無線通信網への接続を要求する端末装置の認証を行う処理と、前記接続を要求する端末装置の認証に成功した場合に、前記加入者情報に含まれる認証情報とは異なる情報に基づき、前記接続を要求する端末装置のアクセス権限を検証する処理と、を実行させる、プログラムが提供される。

　本発明の各視点によれば、自営の無線通信網におけるユーザのアクセス制御を実現する制御装置、無線通信システム、制御方法及びプログラムが、提供される。なお、本発明により、当該効果の代わりに、又は当該効果と共に、他の効果が奏されてもよい。

図１は一実施形態の概要を説明するための図である。図２は、第１の実施形態に係る無線通信システムの概略構成の一例を示す図である。図３は、第１の実施形態に係る制御装置の処理構成の一例を示す図である。図４は、第１の実施形態に係る制御装置の動作を説明するための図である。図５は、第１の実施形態に係る制御装置の動作を説明するための図である。図６は、第１の実施形態に係る加入者情報データベースに格納された情報の一例を示す図である。図７は、第１の実施形態に係る無線通信システムの登録フェーズに関する動作の一例を示すシーケンス図である。図８は、第１の実施形態に係る無線通信システムの権限検証フェーズに関する動作の一例を示すシーケンス図である。図９は、第１の実施形態に係る無線通信システムの権限検証フェーズに関する動作の一例を示すシーケンス図である。図１０は、第２の実施形態に係る無線通信システムの概略構成の一例を示す図である。図１１は、第２の実施形態に係るＴＡ情報の一例を示す図である。図１２は、第２の実施形態に係る検証部の動作の一例を示すフローチャートである。図１３は、第３の実施形態に係る制御装置の処理構成の一例を示す図である。図１４は、第３の実施形態に係る検証部の動作の一例を示すフローチャートである。図１５は、制御装置のハードウェア構成の一例を示す図である。

　はじめに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。

　一実施形態に係る制御装置１００は、取得部１０１と、検証部１０２と、を備える（図１参照）。取得部１０１は、自営の無線通信網の加入者に関する加入者情報を取得する。検証部１０２は、加入者情報に含まれる認証情報に基づき、自営の無線通信網への接続を要求する端末装置の認証を行う。検証部１０２は、接続を要求する端末装置の認証に成功した場合に、加入者情報に含まれる認証情報とは異なる情報に基づき、接続を要求する端末装置のアクセス権限を検証する。

　上記制御装置１００は、ＳＩＭカードに記載された認証情報を用いた認証に加え、当該認証情報とは異なる情報（例えば、加入者情報の有効期限）に基づく端末装置のアクセス権限の検証を担う。制御装置１００は、上記認証及び検証を単独で実現する。その結果、プライベートＬＴＥではオーバースペックとなるような外部の課金サーバ等を用いることなく、端末装置の無線ネットワークへのアクセスが適切に制御される。

　以下に具体的な実施の形態について、図面を参照してさらに詳しく説明する。

［第１の実施形態］
　第１の実施形態について、図面を用いてより詳細に説明する。

＜システムの構成＞
　図２は、第１の実施形態に係る無線通信システムの概略構成の一例を示す図である。第１の実施形態に係る無線通信システムは、エンドユーザがシステムの運用、管理を行うシステムである。具体的には、エンドユーザが自身の敷地等に無線通信システムを構成するノードを設置し、当該ノード等の管理を行う。なお、エンドユーザによるノードの管理には、クラウド上に設置された装置の管理も含まれる。

　第１の実施形態では、企業等の主体（エンドユーザ）が網運用者となる無線通信システムを前提としている。例えば、網運用者は、３ＧＰＰに準拠したＬＴＥ方式に対応する自営設備を用いて無線通信システム（自営の無線通信網）を構築する。

　図２を参照すると、無線通信システムは、無線アクセスネットワーク１１とコアネットワーク１２を含む。

　無線アクセスネットワーク１１は、基地局１０をノードとして含む。基地局１０は、端末装置２０－１、２０－２に無線接続を提供する。なお、以降の説明において端末装置２０－１、２０－２を区別する特段の理由がない場合には、単に「端末装置２０」と表記する。

　端末装置２０は、基地局１０のカバレッジ内に位置する場合に、基地局１０と無線通信を行う。例えば、端末装置２０は、ＵＥ（User Equipment）であって、スマートフォン、携帯電話機、ゲーム機、タブレット等の携帯端末装置やコンピュータ（パーソナルコンピュータ、ノートパソコン）等が例示される。あるいは、端末装置２０は、電波を発信するＩｏＴ（Internet of Things）端末、ＭＴＣ（Machine Type Communication）端末等であってもよい。但し、端末装置２０をこれらの例示に限定する趣旨ではない。本願開示における端末装置２０は、電波を送信する任意の機器とすることができる。

　なお、図２に示すシステム構成は例示であって、基地局１０や端末装置２０の数を限定する趣旨ではないことは勿論である。例えば、システムに含まれる端末装置２０は１台であってもよいし、３台以上であってもよい。

　コアネットワーク１２は、基地局１０と外部ネットワーク（例えば、インターネット）を接続するネットワークである。コアネットワーク１２には、制御装置３０、中継装置４０及びゲートウェイ（ＧＷ；Gateway）装置５０等のネットワークノードが含まれる。

　コアネットワーク１２は、端末装置２０による通信の開始と終了の信号やハンドオーバーに必要な信号を送るコントロールプレーン（Ｃ－Ｐｌａｎｅ）とユーザデータを送るユーザプレーン（Ｕ－Ｐｌａｎｅ）に分けられる。

　制御装置３０は、基地局１０とコントロールプレーンとの間で通信に必要な信号を送受信する。制御装置３０は、主に端末装置２０の移動性を制御する。制御装置３０による制御の１つに、端末装置２０のアクセス制御がある。制御装置３０による端末装置２０のアクセス制御の詳細は後述する。

　中継装置４０は、基地局１０とユーザプレーンとの間でユーザデータを中継する装置である。

　ゲートウェイ装置５０は、コアネットワーク１２と外部ネットワークとの境界に配置され、ユーザデータに係るパケットを送受信する。

　加入者情報データベース６０は、加入者情報を記憶する。加入者情報データベース６０は、制御装置３０により情報の入出力が制御される。

　第１の実施形態に係る無線通信システムがＬＴＥによるシステムである場合には、制御装置３０はＭＭＥ（Mobility Management Entity）に相当する。中継装置４０はＳ－ＧＷ（Serving Gateway）に相当する。ゲートウェイ装置５０はＰ－ＧＷ（PDN Gateway）に相当する。加入者情報データベース６０はＨＳＳ（Home Subscriber Server）に相当する。

　但し、本願開示の無線通信システムをＬＴＥに限定する趣旨ではないことは勿論である。本願開示は、ＬＴＥ以前の無線通信システム（例えば、３Ｇ（Third Generation））や次世代の無線通信システム（例えば、５Ｇ（Fifth Generation））にも適用可能である。

　無線通信システムが５Ｇの場合には、制御装置３０はＡＭＦ（Access and Mobility Management Function）に、加入者情報データベース６０はＵＤＭ（Unified Data Management）にそれぞれ相当する。

　図２では、加入者情報データベース６０をコアネットワーク１２のノードとして図示していないが、加入者情報データベース６０をコアネットワークノードとして扱ってもよい。加入者情報データベース６０はコアネットワーク１２における要素の１つとして扱われてもよい。

＜システムの概略動作＞
　図２を参照しつつ、第１の実施形態に係る無線通信システムの概略動作を説明する。

　第１の実施形態に係る無線通信システムの動作は、２つのフェーズを含む。

　第１のフェーズは、基地局１０から無線通信サービスの提供を受ける端末装置２０に関する情報（以下、加入者情報と表記する）を加入者情報データベース６０に登録するフェーズである。

　第２のフェーズは、無線接続サービスの提供を要求する端末装置２０のアクセス権限を検証するフェーズである（以下、権限検証フェーズと表記する）。

＜登録フェーズ＞
　システムの運用に先立ち、網運用者（無線通信システムを独力で運用、管理する企業等）は、ＳＩＭ提供事業者に対して加入者情報の生成を依頼する。ＳＩＭ提供事業者は、当該依頼に応じて、加入者情報を生成する。

　網運用者は、加入者情報を生成する際に必要となる情報（以下、顧客情報と表記する）をＳＩＭ提供事業者に提供する。例えば、網運用者のＩＤ（Identifier）などが上記顧客情報に相当する。

　ＳＩＭ提供事業者により生成される加入者情報には、ＳＩＭカードに固有な情報であるＩＣＣＩＤ（Integrated Circuit Card ID）、契約識別番号であるＩＭＳＩ（International Mobile Subscriber Identity）、認証情報、加入者情報に関する有効期限等が含まれる。認証情報は、無線通信ネットワークを利用しようとする端末装置に対し、その正当性を有するか否かの検証（証明）に用いられる情報である。認証情報には、例えば、ＯＰｃ／Ｋ値と称される情報が該当する。

　ＳＩＭ提供事業者は、網運用者から提供される顧客情報に従い加入者情報を生成する。ＳＩＭ提供事業者は、当該生成した加入者情報をＳＩＭカードに書き込み網運用者に引き渡す。当該ＳＩＭカードは端末装置２０に装着される。なお、ＳＩＭカードには、有効期限付きの加入者情報が書き込まれてもよいし、有効期限が設定されていない加入者情報が書き込まれてもよい。

　ＳＩＭ提供事業者が生成した加入者情報は網運用者に提供され、網運用者、もしくはＳＩＭ提供事業者が、当該加入者情報をコアネットワーク１２（より正確には制御装置３０）に登録する。

　制御装置３０は、有効期限付きの加入者情報を取得する。制御装置３０は、当該取得した加入者情報を加入者情報データベース６０に登録する。

＜権限検証フェーズ＞
　制御装置３０は、端末装置２０から接続要求（例えば、アタッチ要求）を受け付けると、基地局１０を介して当該端末装置２０に内蔵されたＳＩＭカードの加入者情報を取得する。

　制御装置３０は、取得した加入者情報の一部の情報（例えば、ＩＭＳＩ）を検索キーとして加入者情報データベース６０を検索し、接続要求を受けた端末装置２０に対応する加入者情報を取得する。

　その後、制御装置３０は、接続要求を発した端末装置２０に関する認証情報と加入者情報データベース６０から取得した認証情報を照合する。照合の結果、２つの認証情報が一致すれば、制御装置３０は、接続要求を発した端末装置２０の加入者情報に関する有効期限の確認を行う。

　制御装置３０は、当該加入者情報の有効期限が残っているか否かを判定する。加入者情報の有効期限が残っていれば、制御装置３０は端末装置２０の接続要求を受け入れる。加入者情報の有効期限が切れていれば、制御装置３０は端末装置２０の接続要求を拒否する。

＜制御装置の構成＞
　次に、制御装置３０の内部構成（処理構成）について説明する。

　図３は、第１の実施形態に係る制御装置３０の処理構成（処理モジュール）の一例を示す図である。図３を参照すると、制御装置３０は、通信制御部２０１と、登録部２０２と、検証部２０３と、管理部２０４と、を含んで構成される。

　通信制御部２０１は、他の装置（例えば、基地局１０、加入者情報データベース６０等）との間の通信を制御する手段である。通信制御部２０１は、上記取得部１０１の機能を内包する。

　登録部２０２は、ＳＩＭ提供事業者から取得した加入者情報を加入者情報データベース６０に登録する手段である。

　登録部２０２がＳＩＭ提供事業者から加入者情報を取得する方法には種々考えられる。

　例えば、登録部２０２は、ネットワークを介して加入者情報をＳＩＭ提供事業者から取得する（オンラインでの情報取得；図４参照）。この場合、図４に示すように、制御装置３０とＳＩＭ提供事業者のサーバ７０がネットワークにより接続され、当該ネットワークを介して加入者情報が提供される。なお、制御装置３０とＳＩＭ提供事業者のサーバ７０は、ＨＴＴＰＳ（Hypertext Transfer Protocol Secure）のようなセキュアな通信路により接続されることが望ましい。

　登録部２０２は、ＵＳＢ（Universal Serial Bus）メモリ等の記憶媒体により加入者情報を取得してもよい（オフラインでの情報取得；図５参照）。なお、このような場合には、セキュリティ面を考慮してパスワードが付与された加入者情報が記憶媒体に格納されることが望ましい。

　あるいは、システム管理者が、ＳＩＭ提供事業者が提供するＷＥＢ（ウェブ）サイトにスマートフォン等の端末でアクセスし、上記ＷＥＢサイトのサーバが加入者情報の内容を含む２次元コードを端末に送信してもよい。システム管理者は、上記２次元コードをスマートフォンの画面に表示させ、コアネットワーク装置（制御装置３０）が当該２次元コードから加入者情報を読み取ってもよい。上記２次元コードには、ＱＲ（Quick Response）コード（登録商標）が例示される。

　登録部２０２が、取得した加入者情報を加入者情報データベース６０に格納すると、図６に示す様なデータベースが構築される。

　図６を参照すると、加入者情報データベース６０の各エントリは、ＳＩＭ提供事業者ＩＤ（Identifier）、ＩＭＳＩ、認証情報（ＯＰｃ、Ｋ値）及び有効期限のフィールドからなる。

　ＳＩＭ提供事業者ＩＤは、加入者情報を生成したＳＩＭ提供事業者を識別するための情報である。例えば、ＳＩＭ提供事業者ＩＤはＳＩＭに書き込まれているデータの一つであるＩＣＣＩＤ（Integrated Circuit Card ID）に含まれているＩＩＮ（発行者識別番号）に基づいて生成してもよいし、ＳＩＭ提供事業者ＩＤとしてＦＱＤＮ（Fully Qualified Domain Name）が用いられてもよい。あるいは、ＳＩＭ提供事業者ＩＤは、ＳＩＭ提供事業者との取り決めにより別途定めてもよい。例えば、加入者情報に含まれるＩＣＣＩＤとＳＩＭ提供事業者の対応関係を予め制御装置３０の記憶部に格納しておき、登録部２０２が当該情報を適宜参照することで、ＳＩＭ提供事業者ＩＤを生成する。

　なお、図６に示すように、加入者情報データベース６０には異なるＳＩＭ提供事業者ＩＤが登録され得る。これは、１つのＳＩＭ提供事業者から複数の網運用者にＳＩＭカードが配布されることを示す。換言すれば、加入者情報データベース６０には、複数のＳＩＭ提供事業者が生成した加入者情報が登録され得る。但し、特定のＳＩＭ提供事業者が生成した加入者情報だけが加入者情報データベース６０に登録されてもよいことは勿論である。なお、上述のように、加入者情報データベース６０には複数のＳＩＭ提供事業者が生成した加入者情報が書き込まれる。そのため、各加入者情報がいずれのＳＩＭ提供事業者が生成した情報であるのか特定するために加入者情報とＳＩＭ提供事業者ＩＤが関連付けられて加入者情報データベース６０に登録される。

　登録部２０２は、有効期限が設定された認証情報を加入者情報データベース６０に登録するのが原則であるが例外もある。例えば、無線通信システムのテスト用途に生成された加入者情報には有効期限は設定されていない。例えば、図６の最下段に記載された加入者情報はテスト用途に作成された情報であって、有効期限が設定されていない。

　テスト用途の加入者情報はＳＩＭ提供事業者により提供される情報ではない。従って、網運用者（システム管理者）は、当該テスト用途の加入者情報を直接、制御装置３０に入力すればよい。例えば、網運用者は、ＵＳＢメモリ等の記憶媒体を用いて加入者情報を入力してもよいし、キーボード等を使って手動で加入者情報を入力してもよい。

　登録部２０２は、加入者情報データベース６０にエントリ（加入者情報）を追加するだけでなく、加入者情報の更新も行う。例えば、ＳＩＭ提供事業者から取得した加入者情報に関し、ＳＩＭ提供事業者ＩＤとＩＭＳＩが一致するエントリが加入者情報データベース６０に存在すれば、登録部２０２は当該エントリを取得した加入者情報により上書きする。

　あるいは、ＳＩＭ提供事業者から取得した加入者情報が所定の条件を満たす場合に、登録部２０２は、後述するメールアドレスや監視装置に向けて「警告」を発しても良い。例えば、上記所定の条件として、取得した加入者情報の有効期限がデータベースに登録された対応する加入者情報の有効期限よりも短い場合や、認証情報に変化がある場合等が例示される。

　加入者情報の有効期限が短くなることは頻繁に起こることではなく、登録部２０２はそのような加入者情報を登録する前に管理者に通知する。また、取得した加入者情報の認証情報に変化があるという事実はＳＩＭカードが発行されたことを意味し、管理者はＳＩＭカード再発行の原因（例えば、端末の紛失）等を確認する。

　図３に説明を戻す。検証部２０３は、接続要求を発した端末装置２０が無線ネットワーク（例えば、プライベートＬＴＥ）を利用する権限を有するか否かを検証する手段である。

　検証部２０３は、自営の無線通信網の加入者に関する加入者情報に含まれる認証情報に基づき、当該自営の無線通信網への接続を要求する端末装置の認証を行う。

　検証部２０３は、接続要求に含まれる加入者情報を取得する。より具体的には、検証部２０３は、加入者情報から少なくともＩＭＳＩ及び認証情報（例えば、ＯＰｃ、Ｋ値）を取得する。

　検証部２０３は、取得したＩＭＳＩを検索キーとして用いて加入者情報データベース６０を検索する。

　加入者情報データベース６０は、検索キーにヒットするエントリが存在すれば、当該エントリの各フィールド値（ＳＩＭ提供事業者ＩＤ、ＩＭＳＩ、ＯＰｃ、Ｋ値、有効期限）を検証部２０３に返信する。加入者情報データベース６０は、検索キーにヒットするエントリが存在しなければ、その旨を検証部２０３に返信する。

　加入者情報データベース６０から加入者情報の取得に成功した場合には、検証部２０３は、基地局１０を介して端末装置２０から取得した認証情報と上記加入者情報データベース６０から取得した認証情報を比較し、端末装置２０の認証を行う。

　端末装置２０の認証に成功すると、検証部２０３は、加入者情報に含まれる認証情報とは異なる情報に基づき、接続を要求する端末装置２０のアクセス権限を検証する。

　具体的には、検証部２０３は、端末装置２０の認証に成功すると、ＳＩＭカードに記載された加入者情報の有効期限が残っているか否かを確認する。検証部２０３は、アクセス権検証時の日付（現在日）とデータベースから取得した加入者情報の有効期限に記載された日付を比較し、加入者情報の有効期限に記載された日付がアクセス権検証時の日付よりも古ければ有効期限が切れていると判断する。

　検証部２０３は、接続要求を発した端末装置２０の正当性を確認し、当該端末に対応する加入者情報が有効期限内であることを確認すると、当該端末の無線ネットワークへのアクセスを許可する。

　検証部２０３は、接続要求を発した端末装置２０の正当性が確認できない場合、又は、当該端末に対応する加入者情報の有効期限が切れている場合には、当該端末の無線ネットワークへのアクセスを拒否する。

　検証部２０３は、アクセス権限の検証結果（アクセス許可、アクセス拒否）を、基地局１０を介して端末装置２０に通知する。

　管理部２０４は、加入者情報データベース６０に格納された加入者情報を制御、管理する手段である。管理部２０４は、定期的又は所定のタイミングで加入者情報データベース６０にアクセスし、当該データベースに登録された情報の保守管理（メンテナンス）を行う。あるいは、管理部２０４は、管理者からの指示に応じて、加入者情報データベース６０にアクセスし、当該データベースに登録された情報のメンテナンスを行ってもよい。

　管理部２０４は、加入者情報データベース６０に登録された加入者情報のうち所定の条件を満たす加入者情報を削除する。

　例えば、管理部２０４は、加入者情報データベース６０から取得したエントリ有効期限が切れているか否かを確認し、有効期限が切れているエントリが存在すれば、当該エントリを加入者情報データベース６０から削除する。

　管理部２０４は、有効期限が切れているエントリであっても即座に削除せず、有効期限が切れてから所定の期間（例えば、１週間）経過したエントリを削除してもよい。

　管理部２０４は、上記のエントリの削除（即座に削除、所定期間経過後に削除）に先立ち、網運用者（システムの管理者）に上記削除が必要なエントリの存在を通知してもよい。具体的には、制御装置３０の内部にメールアドレス等が格納され、管理部２０４は、当該メールアドレスに上記通知を行っても良い。その場合、管理部２０４は、管理者からの明確な指示（例えば、エントリの削除、エントリの削除保留）に従う。なお、制御装置３０の内部に複数のメールアドレスが格納されている場合には、管理部２０４は、当該複数のメールアドレスに上記通知を行う。

　管理部２０４は、上記メールアドレスに通知することに代えて、監視装置に上記削除が必要なエントリの存在（上記所定の条件を満たす加入者情報）を通知してもよい。例えば、管理部２０４は、コアネットワーク１２に接続されたローカルな監視装置に上記通知してもよいし、外部ネットワークに接続されたリモートな監視装置に上記通知をしてもよい。

　メールアドレスや監視装置を介して削除が必要エントリの存在を確認した管理者は、エントリの内容に応じた対応を行う。例えば、通知を受けたエントリが不要であれば、当該エントリを削除するように制御装置３０に指示する。あるいは、通知を受けたエントリが必要であれば、ＳＩＭ提供事業者に加入者情報の再発行を依頼する。

　管理部２０４は、加入者情報データベース６０から取得したエントリの有効期限を確認し、当該有効期限の残存期間が所定の期間よりも短い場合に、上記メールアドレスや監視装置にその旨（有効期限切れ間近）を通知してもよい。この場合、管理者は、必要に応じて、ＳＩＭ提供事業者に加入者情報の有効期限延長を依頼する等の対応を行う。

　なお、制御装置３０は、３ＧＰＰ等により規定されたＭＭＥに上記説明した各種処理機能（登録機能、アクセス権限検証機能等）を付加することで実現できる。そのため、制御装置３０が備える他の機能に関する説明は省略する。

＜他の装置の構成＞
　第１の実施形態に係る無線通信システムを構成する制御装置３０以外の装置は既存の装置により実現できるのでその処理構成等の説明は省略する。また、ＳＩＭ提供事業者による加入者情報の生成には既存の方法を用いればよく、本願開示のＳＩＭ提供事業者は加入者情報に有効期限を設定すればよい。従って、ＳＩＭ提供事業者やＳＩＭ提供事業者のサーバ７０に関する詳細な説明は省略する。

＜システムの動作＞
　続いて、図面を参照しつつ、第１の実施形態に係る無線通信システムの動作について説明する。

　図７は、第１の実施形態に係る無線通信システムの登録フェーズに関する動作の一例を示すシーケンス図である。

　はじめに、ＳＩＭ提供事業者は加入者情報を生成する（ステップＳ０１）。その際、ＳＩＭ提供事業者は、加入者情報に有効期限を設定する。ＳＩＭ提供事業者は、生成した加入者情報を制御装置３０に提供する（ステップＳ０２）。

　制御装置３０は、有効期限が設定された加入者情報を取得すると、当該加入者情報を加入者情報データベース６０に登録する（ステップＳ０３）。

　加入者情報データベース６０は、加入者情報を格納する（ステップＳ０４）。

　図８は、第１の実施形態に係る無線通信システムの権限検証フェーズに関する動作の一例を示すシーケンス図である。はじめに、図８を参照して、端末装置２０のアタッチ時のシステム動作を説明する。

　はじめに、端末装置２０は、ユーザによる電源ＯＮの操作を受け付ける（ステップＳ１１）。端末装置２０は、セルサーチを開始する（ステップＳ１２）。具体的には、端末装置２０は、ＳＩＭカードに格納されたＩＭＳＩを取得し、ＰＬＭＮ（Public Land Mobile Network）等を確認する。その後、端末装置２０は、セルサーチを開始する。

　端末装置２０は、基地局１０から報知情報を受信する（ステップＳ１３）。端末装置２０は、最良セルの報知情報を受信すると、アタッチ（Attach）処理を開始する（ステップＳ１４）。具体的には、端末装置２０と基地局１０の間で無線区間の接続処理が実施される（ステップＳ１５）。その際、RRC_Connection_Request/Setupの送受信が端末装置２０と基地局１０の間で行われる。

　その後、端末装置２０は、基地局１０にアタッチ要求（Attach Request）を送信する（ステップＳ１６）。具体的には、端末装置２０は、最後に在圏していたＴＡＣ（Tracking Area Code）と自身ＧＵＴＩ（Globally Unique Temporary Identifier）を含むアタッチ要求を基地局１０に送信する。

　基地局１０は、端末装置２０から最初の接続であることを確認した後、端末装置２０から取得したアタッチ要求を制御装置３０に転送する。

　制御装置３０は、取得したアタッチ要求から加入者情報を抽出し、ＩＭＳＩ等を検索キーとして加入者情報データベース６０を検索する。加入者情報データベース６０は、一致するエントリが存在すれば検索結果の加入者情報を返信する。

　制御装置３０は、アタッチ要求から抽出した認証情報（ＳＩＭカードに記載された認証情報）と加入者情報データベース６０に登録された認証情報を用いて、アタッチ要求を行った端末装置２０の認証情報は正当か否かを判定する（ステップＳ１７）。

　認証情報が不当であれば（ステップＳ１７、Ｎｏ分岐）、制御装置３０は、基地局１０を介してアタッチ拒絶（Attach Reject）を端末装置２０に返信する（ステップＳ１８）。その際、制御装置３０は、アタッチ拒絶のＥＭＭ理由表示値（Cause Value）に、＃１２（Tracking are not allowed）、＃１３（Roaming not allowed in this tracking area）、＃１５（No suitable cells in tracking area）及び＃２２（Congestion）のうちいずれか一つを設定する。これらの理由表示値を含むアタッチ拒絶は、リトライ可能なエラー応答として扱われる。

　認証情報が正当であれば（ステップＳ１７、Ｙｅｓ分岐）、制御装置３０は、アタッチ要求から抽出した認証情報が有効期限内か否かを判定する（ステップＳ１９）。

　上記認証情報の有効期限が切れていれば（ステップＳ１９、Ｎｏ分岐）、制御装置３０は、基地局１０を介してアタッチ拒絶（Attach Reject）を端末装置２０に返信する（ステップＳ２０）。この場合にも、制御装置３０は、アタッチ拒絶のＥＭＭ理由表示値（Cause Value）に＃１２、＃１３、＃１５、＃２２のうちのいずれか１つを設定する。

　上記認証情報の有効期限が切れていなければ（ステップＳ１９、Ｙｅｓ分岐）、制御装置３０は、基地局１０を介してアタッチ受理（Attach Accept）を端末装置２０に返信する（ステップＳ２１）。

　図９は、第１の実施形態に係る無線通信システムの権限検証フェーズに関する動作の一例を示すシーケンス図である。図９を参照して、端末装置２０のトラッキングエリアアップデート（ＴＡＵ；Tracking Area Update）時のシステム動作を説明する。

　なお、図８と図９において同一の処理には同一の符号（ステップ）を付して説明を省略する。図８及び図９を参照すると、無線区間の接続処理（ステップＳ１５）に至るまでの端末装置２０の動作が異なる。なお、図８では、装置間でやり取りされるメッセージがアタッチに関するメッセージであり、図９ではＴＡＵに関するメッセージが装置間でやり取りされるメッセージである。当該相違点は当業者にとって明らかであるので詳細な説明は省略する。

　ＴＡＵ時における権限検証フェーズは、端末装置２０がアイドル中にセル遷移を行うことが契機となり開始する（ステップＳ３１）。端末装置２０がセルを遷移すると、端末装置２０は、遷移先セルの報知情報を基地局１０から受信する（ステップＳ３２）。

　その後、端末装置２０は、ＴＡＵ処理を開始する（ステップＳ３３）。具体的には、端末装置２０は、報知情報によりＴＡＣを確認する。端末装置２０は、自身に登録されたＴＡＩ（Tracking Area Identity）リストに記載されたＴＡＣとセルのＴＡＣを比較する。比較の結果、２つのＴＡＣが異なるので、端末装置２０はＴＡＵ処理を開始する。

　図９のステップＳ１５以降のシステム動作は、図８を参照して説明したアタッチ処理時の動作と基本的に同じである。即ち、ＴＡＵ時においても認証情報を用いた端末の認証が行われる。その後、加入者情報の有効期限を用いた権限が検証される。ＳＩＭカードに記載された認証情報と加入者情報データベース６０に登録された認証情報が一致しない場合や加入者情報の有効期限が切れていれば、上記＃１２、＃１３、＃１５、＃２２のいずれか一つの理由表示値が端末装置２０に送信される。

　このように、制御装置３０は、接続を要求する端末装置２０から、アタッチ要求又はＴＡＵ要求を受信する。制御装置３０は、当該接続を要求する端末装置２０の接続要求を拒否する場合に、理由表示値に所定の値が格納された応答メッセージを、端末装置２０に送信する。即ち、制御装置３０は、アタッチ処理に起因する端末装置２０のアクセス拒絶とＴＡＵ処理に起因するアクセス拒絶において、拒絶する理由（理由表示値）に＃１２、＃１３、＃１５、＃２２のいずれかを設定する。

　以上のように、第１の実施形態に係る制御装置３０は、端末装置２０に関する２段階の認証、検証動作を行う。はじめに、制御装置３０は、ＳＩＭカードに登録された加入者情報の認証情報と加入者情報データベース６０に登録された加入者情報の認証情報を使った認証を行う。次に、制御装置３０は、加入者情報の有効期限を使って端末装置２０のアクセス権限を検証する。

　このように、端末装置２０が無線ネットワークシステムに接続する際、制御装置３０が必要な認証及び検証を実行する。その結果、課金サーバ等の外部装置は不要となり、プライベートＬＴＥのような自営の無線通信網におけるアクセス制御を適切な規模で実現できる。また、ＳＩＭ提供事業者は、自身が提供する加入者情報に有効期限を設定することで、網管理者と定めた契約を有効にすることができる。つまり、ＳＩＭ提供事業者とコアネットワークが接続されていなくとも（オフラインであっても）、ＳＩＭ提供事業者は加入者情報の有効期限を適切に管理、制御できる。

［第２の実施形態］
　続いて、第２の実施形態について図面を参照して詳細に説明する。

　第１の実施形態では、加入者情報の有効期限を用いて２段目のアクセス権限検証処理を行っている。第２の実施形態では、端末装置２０を収容するＴＡ（Tracking Area；トラッキングエリア）に基づいて２段目のアクセス権限検証処理を行う場合について説明する。なお、第２の実施形態では、ＳＩＭ提供事業者が生成する加入者情報に有効期限が設定されていてもよいし、有効期限が設定されていなくてもよい。

　第１の実施形態では、１つの無線通信システムは１つの網運用者が専有する場合を前提としている。しかし、コアネットワーク１２のノードが複数の網運用者により共有される場合もありうる。例えば、図１０に示すように、コアネットワークノード、およびＰＬＭＮ　ＩＤ等が複数の網運用者により共有されることがある。

　網運用者Ａと網運用者Ｂは互いに別組織（別会社）であるが同じビルのテナント同士である場合に、コアネットワーク（ＥＰＣ）を共有することがありうる。あるいは、網運用者Ａと網運用者Ｂは同じ会社の別部門（例えば、経理部門と技術部門）のような場合にも、それぞれの端末装置２０は別管理とするがコアネットワークノード、およびＰＬＭＮ　ＩＤ等を共有することがありうる。

　図１０に示すような状況の場合、網運用者Ａのフロアでは網運用者Ｂの端末装置２１－１、２１－２による無線ネットワークへのアクセスは拒絶（制限）されることが求められる。

　第２の実施形態では、ネットワークが異なる網運用者によって共有される場合の端末装置２０に関するアクセス制御について説明する。その際、第２の実施形態に係る制御装置３０は、接続を要求する端末装置２０が在圏可能なトラッキングエリアの情報を用いて、当該端末装置２０のアクセス権限を検証する。

　図１０は、第２の実施形態に係る無線通信システムの概略構成の一例を示す図である。制御装置３０は、複数の基地局１０－１及び１０－２を介して接続される、端末装置２０－１、２０－２、２１－１、２１－２の移動性を制御、管理する。その際、制御装置３０は、各端末装置２０が在圏可能なＴＡを規定したＴＡ情報に基づいて、端末装置２０に関するアクセス権限の検証を行う。

　第２の実施形態に係る「登録フェーズ」では、加入者情報に加え、上記ＴＡ情報が制御装置３０に入力される。制御装置３０は、上記ＴＡ情報を内部の記憶部に格納する。なお、ＴＡ情報の格納は、通信システムの管理者等によって行われる。あるいは、ＴＡ情報は外部のサーバ等に格納され、制御装置３０が当該外部のサーバからＴＡ情報を取得してもよい。

　第２の実施形態に係る制御装置３０の内部構成は、第１の実施形態に係る制御装置３０の内部構成と同一とすることができるので図３に相当する説明を省略する。第２の実施形態では、検証部２０３の動作が第１の実施形態と異なる。

　第２の実施形態に係る通信制御部２０１は、ＴＡ情報を取得する。当該ＴＡ情報は内部の記憶部等に格納される。図１１は、ＴＡ情報の一例を示す図である。なお、図１１において、図１０に示す端末装置２０、２１の符号を、各端末の識別子として表記している（図１１ではＩＭＳＩを利用）。図１１を参照すると、ＴＡ情報には、端末装置２０とその在圏可能なＴＡＩが関連付けて登録されている。なお、１台の端末装置２０が複数のＴＡに在圏が許可されても良いことは勿論である（図１１の最下段参照）。

　第２の実施形態に係る検証部２０３は、第１の実施形態にて説明したアクセス権限の確認をＴＡ情報に基づいて行う。

　図１２は、第２の実施形態に係る検証部２０３の動作の一例を示すフローチャートである。

　第１の実施形態にて説明したように、検証部２０３は、端末装置２０から接続要求（アタッチ要求、ＴＡＵ要求）を受け付けると、加入者情報データベース６０から対応する加入者情報を取得する（ステップＳ１０１）。

　検証部２０３は、基地局１０を介して取得した認証情報と加入者情報データベース６０から取得した認証情報を比較し、ネットワーク接続を要求する端末装置２０の認証情報が正当か否かを判定する（ステップＳ１０２）。

　認証情報が不当であれば（ステップＳ１０２、Ｎｏ分岐）、検証部２０３は、接続を拒絶する（ステップＳ１０３）。例えば、検証部２０３は、アタッチ拒絶（Attach Reject）、ＴＡＵ拒絶（TAU Reject）を、基地局１０を介して端末装置２０に送信する。

　認証情報が正当であれば（ステップＳ１０２、Ｙｅｓ分岐）、検証部２０３は、ＴＡ情報に基づき接続要求を行った端末装置２０のアクセス権限を検証する（ステップＳ１０４）。具体的には、検証部２０３は、端末装置２０の接続要求を転送してきた基地局１０のセルを特定するＴＡＩが、当該端末装置２０の在圏が許可されているＴＡＩに含まれるか否かに応じて、上記検証を行う。

　端末装置２０が、在圏が許可されているＴＡＩのセルを形成する基地局１０を介して接続要求を送信していない場合（ステップＳ１０４、Ｎｏ分岐）、検証部２０３は、接続を拒絶する（ステップＳ１０５）。例えば、検証部２０３は、アタッチ拒絶（Attach Reject）、ＴＡＵ拒絶（TAU Reject）を、基地局１０を介して端末装置２０に送信する。

　端末装置２０が、在圏が許可されているＴＡＩのセルを形成する基地局を介して接続要求を送信している場合（ステップＳ１０４、Ｙｅｓ分岐）、検証部２０３は、当該端末装置２０の接続要求を受理する（ステップＳ１０６）。例えば、検証部２０３は、アタッチ受理（Attach Accept）、ＴＡＵ受理（TAU Accept）を、基地局１０を介して端末装置２０に送信する。

　なお、制御装置３０には基地局１０と当該基地局１０に割り当てられたＴＡＩを関係付けた情報が予め入力されている。また、基地局１０にも自装置に割り当てられたＴＡＩがパラメータとして入力されている。基地局１０は、当該自装置に割り当てられたＴＡＩを端末装置２０に報知する。端末装置２０が、基地局１０からの報知情報に含まれるＴＡＩを上記接続要求に記載して上記接続要求を送信することで、制御装置３０は、上記接続要求を転送してきた基地局１０のセルを特定するＴＡＩを把握する。あるいは、基地局１０が、端末装置２０からの接続要求を制御装置３０に転送する際に、自身のＴＡＩを制御装置３０に通知してもよい。

　例えば、図１０の例において、端末装置２０－１が基地局１０－１を介して接続要求を制御装置３０に送信した場合を考える。基地局１０－１が提供するセルを一意に特定するＴＡＩは「＃１」とする。また、図１１を参照すると、端末装置２０－１の在圏が許可されたＴＡＩは「＃１」である。従って、検証部２０３は、端末装置２０－１の基地局１０－１を介した接続を許可する。

　また、図１０において、端末装置２１－１が基地局１０－１を介して接続要求を制御装置３０に送信した場合を考える。図１１を参照すると、端末装置２１－１の在圏が許可されたＴＡＩは「＃２」である。従って、検証部２０３は、端末装置２１－１の基地局１０－１を介した接続を拒絶する。

　以上のように、第２の実施形態に係る制御装置３０は、予め定められたＴＡ情報に基づき、端末装置２０のアクセス権限を検証する。即ち、制御装置３０は、端末装置２０が接続を許可された基地局１０から接続要求を送信してきた場合には、当該端末にはアクセス権限があると判断し、接続を許可する。対して、制御装置３０は、端末装置２０が接続を許可されていない基地局１０から接続要求を送信してきた場合には、当該端末にはアクセス権限がないと判断し、接続を拒否する。その結果、マルチテナントＬＴＥのようにネットワークノードが異なる企業等にて共有される場合であっても、適切なアクセス制御が実現される。

［第３の実施形態］
　続いて、第３の実施形態について図面を参照して詳細に説明する。

　第２の実施形態では、制御装置３０は、ＴＡ情報に基づき接続要求を発した端末装置２０のアクセス権限を検証している。その際、制御装置３０は、接続要求を転送した基地局１０が提供するセルのＴＡＩがＴＡ情報に含まれない場合には、上記接続要求を発した端末装置２０のネットワークアクセスを拒絶している。

　しかし、このような対応では、コアネットワークを共用する２つの主体が同じ会社の別部門等である場合に不都合が生じることも想定される。例えば、図１０の例では、網運用者Ｂに属する端末装置２１－１、２２－２が網運用者Ａのフロアに移動した場合でも最低限の無線接続を確保したいこともある。

　第３の実施形態に係る制御装置３０は、上記のような要望に応えるため、ＴＡ情報に基づく検証の結果に基づき、接続を要求する端末装置２０に対してアクセス権限のランクを付与する。さらに、制御装置３０は、当該付与されたアクセス権限に基づき、端末装置２０の通信帯域を制御する。

　例えば、上記の例では、網運用者Ａのフロアに移動した網運用者Ｂの端末装置２１－１、２１－２には低いランクが与えられる。制御装置３０は、当該低いランクが与えられた端末装置２１－１、２１－２の通信帯域が狭くなるように基地局１０、ゲートウェイ装置５０を制御する（指示を行う）。

　図１３は、第３の実施形態に係る制御装置３０の処理構成（処理モジュール）の一例を示す図である。図１３を参照すると、図３に示す構成に帯域制御部２０５が追加されている。第２及び第３の実施形態では、上記帯域制御部２０５が追加されている点と検証部２０３の動作が異なる。

　図１４は、第３の実施形態に係る検証部２０３の動作の一例を示すフローチャートである。なお、図１２と図１４において、同一の処理については同じ符号（ステップ）を付与し詳細な説明を省略する。

　第３の実施形態に係る検証部２０３は、ステップＳ１０４の判定結果に応じて接続要求を送信する端末装置２０をクラス（ランク）分けする。

　具体的には、在圏が許可されているＴＡＩのセルを形成する基地局１０を介して接続要求が送信されている場合（ステップＳ１０４、Ｙｅｓ分岐）、検証部２０３は、当該基地局１０に接続要求を送信した端末装置２０に高いランクを付与する（ステップＳ１１１）。

　一方、在圏が許可されているＴＡＩのセルを形成する基地局１０を介して接続要求が送信されていない場合（ステップＳ１０４、Ｎｏ分岐）、検証部２０３は、当該基地局１０に接続要求を送信した端末装置２０に低いランクを付与する（ステップＳ１１２）。

　検証部２０３は、端末装置２０にランクを付与した後（端末装置２０の優先順位を決めた後）、接続要求受理を端末装置２０に送信する（ステップＳ１１３）。

　帯域制御部２０５は、検証部２０３の検証結果（端末装置２０のランク付け、優先度）に応じて、各端末装置２０に割り当てる帯域を決定する。帯域制御部２０５は、決定した帯域を端末装置２０の識別子と共に、ゲートウェイ装置５０のように帯域制御が可能な装置に送信する。

　上記帯域と端末装置２０の識別子を受信した基地局１０は、各端末装置２０に割り当てるリソース（周波数帯域等）を制御して上記帯域制御を実現する。あるいは、ゲートウェイ装置５０は、シェーピングやポリシングと称される制御により上記帯域制御を実現する。

あるいは、帯域制御部２０５は、システムの無線アクセス状況に応じてリアルタイムに各端末装置２０の帯域を変更してもよい。例えば、帯域制御部２０５は、基地局１０ごとに接続端末数を集計、管理する。帯域制御部２０５は、当該接続端末数と検証部２０３による検証結果（ＴＡ情報に基づく検証結果）に基づき各端末装置２０の帯域を制御してもよい。

　例えば、帯域制御部２０５は、上記接続端末数に対して閾値処理を施し、所定の数よりも多くの端末装置２０が１つの基地局１０に接続している場合には、当該１つの基地局１０に接続している端末装置２０のうちランクの低い端末装置２０の帯域を狭くする。

　以上のように、第３の実施形態に係る制御装置３０は、ＴＡＩに基づく検証の結果に基づき、接続を要求する端末装置にアクセス権限のランクを付与する。その後、制御装置３０は、当該付与されたアクセス権限のランクに基づき、端末装置の通信帯域を制御する。その結果、マルチテナント環境において端末装置２０の属性（例えば、所属部署等）に応じた通信制御が実現される。

　続いて、無線通信システムを構成する各装置のハードウェアについて説明する。図１５は、制御装置３０のハードウェア構成の一例を示す図である。

　制御装置３０は、情報処理装置（所謂、コンピュータ）により構成可能であり、図１５に例示する構成を備える。例えば、制御装置３０は、プロセッサ３１１、メモリ３１２、入出力インターフェイス３１３及び通信インターフェイス３１４等を備える。上記プロセッサ３１１等の構成要素は内部バス等により接続され、相互に通信可能に構成されている。

　但し、図１５に示す構成は、制御装置３０のハードウェア構成を限定する趣旨ではない。制御装置３０は、図示しないハードウェアを含んでもよいし、必要に応じて入出力インターフェイス３１３を備えていなくともよい。また、制御装置３０に含まれるプロセッサ３１１等の数も図１５の例示に限定する趣旨ではなく、例えば、複数のプロセッサ３１１が制御装置３０に含まれていてもよい。

　プロセッサ３１１は、例えば、ＣＰＵ（Central Processing Unit）、ＭＰＵ（Micro Processing Unit）、ＤＳＰ（Digital Signal Processor）等のプログラマブルなデバイスである。あるいは、プロセッサ３１１は、ＦＰＧＡ（Field Programmable Gate Array）、ＡＳＩＣ（Application Specific Integrated Circuit）等のデバイスであってもよい。プロセッサ３１１は、オペレーティングシステム（ＯＳ；Operating System）を含む各種プログラムを実行する。

　メモリ３１２は、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、ＨＤＤ（Hard Disk Drive）、ＳＳＤ（Solid State Drive）等である。メモリ３１２は、ＯＳプログラム、アプリケーションプログラム、各種データを格納する。

　入出力インターフェイス３１３は、図示しない表示装置や入力装置のインターフェイスである。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、キーボードやマウス等のユーザ操作を受け付ける装置である。

　通信インターフェイス３１４は、他の装置と通信を行う回路、モジュール等である。例えば、通信インターフェイス３１４は、ＮＩＣ（Network Interface Card）等を備える。

　制御装置３０の機能は、各種処理モジュールにより実現される。当該処理モジュールは、例えば、メモリ３１２に格納されたプログラムをプロセッサ３１１が実行することで実現される。また、当該プログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント（non-transitory）なものとすることができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。また、上記プログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。

　なお、中継装置４０、ゲートウェイ装置５０等も制御装置３０と同様に情報処理装置により構成可能であり、その基本的なハードウェア構成は制御装置３０と相違する点はないので説明を省略する。

［変形例］
　上記実施形態にて説明した無線通信システムの構成、動作等は例示であって、システムの構成や動作を限定する趣旨ではない。例えば、加入者情報データベース６０に登録される加入者情報は暗号化されていてもよい。とりわけ、認証情報が暗号化されて加入者情報データベース６０に登録されていてもよい。その場合、制御装置３０は、ＳＩＭ提供事業者に暗号化のための秘密鍵を配布し、対応する公開鍵にて暗号化された加入者情報（認証情報）を復号すればよい。

　上記実施形態では、制御装置３０に管理部２０４が含まれる場合について説明したが、当該管理部は制御装置３０に含まれていなくともよい。即ち、管理部２０４の機能は他の装置により実現されてもよい。また、制御装置３０は上記説明した管理部２０４の一部もしくはすべてを備えていなくてもよい。

　ＳＩＭ提供事業者は、生成した加入者情報にデジタル署名を付してもよい。この場合、加入者情報の受け入れ側である制御装置３０は、当該デジタル署名の正当性が確認できた場合に、加入者情報を加入者情報データベース６０に登録する。例えば、上述のように、ＳＩＭ提供事業者ＩＤにＦＱＤＮを用いる場合には、ＳＩＭ提供事業者が加入者情報の提供に際し、当該加入者情報にＦＱＤＮを元に生成された署名を付与する。当該署名は、提供された加入者情報は、加入者情報の生成元であるＳＩＭ提供事業者の提供した正当な情報であることを示す。制御装置３０は、当該署名を検証し、正当な署名ではないと判断した場合に、提供された加入者情報を拒否できる。その結果、システムのセキュリティレベルが向上する。また、加入者情報データベース６０において、上記署名付きの加入者情報をインポート（読み込んだ）したＳＩＭ提供事業者のデータは、同じＳＩＭ提供事業者の正しい署名が付させている場合に限り上書きをするといった対応も可能である。

　第１の実施形態と、第２及び第３の実施形態を組み合わせてもよい。即ち、加入者情報データベース６０には有効期限が設定された加入者情報が格納され、制御装置３０はＴＡ情報を保持する。その上で、制御装置３０は、認証情報を用いた端末装置２０の認証処理、有効期限を用いた第１の検証処理、ＴＡ情報を用いた第２の検証処理を実行してもよい。

　上記第２の実施形態では、制御装置３０の内部にＴＡ情報を格納する場合について説明したが、加入者情報データベース６０に登録された加入者情報とＴＡ情報が統合（マージ）されていてもよい。この場合、例えば、管理部２０４がＴＡ情報を取得し、同じＩＭＳＩを持つ加入者情報のエントリに在圏可能なＴＡＩに関する情報を追記すればよい。

　上記実施形態では、有効期限の単位を「日」としているが「時刻」までを有効期限に含めてもよい。

　上記実施形態では、認証情報を使った認証処理の後に他の情報（有効期限、ＴＡ情報）を使った検証処理が実行されているが、これらの処理の順序は逆であってもよい。

　登録部２０２は、無線通信システムを利用する予定のユーザ（加入者）ごとの加入者情報を予め加入者情報データベース６０に作成しておいてもよい。この場合、登録部２０２は、ＳＩＭ提供事業者から取得した加入者情報を用いて予め作成しておいて加入者情報のエントリを上書きすればよい。あるいは、登録部２０２は、加入者情報の有効期限に関し、初期値（デフォルト値）を定めて、上記加入者情報を作成してもよい。その結果、有効期限が設定されていない加入者情報（無期限の加入者情報）が加入者情報データベース６０に登録されることを防止できる。

　加入者情報データベース６０に格納される加入者情報には、利用者の氏名、所属部署、内線番号等の付帯情報を格納するフィールドが設けられていてもよい。この場合、制御装置３０は、有効期限が切れ、削除の対象となる加入者情報であっても、上記付帯情報が空白（ブランク）ではなく、何らかの情報が書き込まれている場合には、メールアドレスや監視装置等を使って管理者等にその旨を通知してもよい。即ち、加入者情報データベース６０に登録される加入者情報の各エントリは、対応する利用者の属性を示す付帯情報のフィールドを備える。管理部２０４は、所定の条件を満たす加入者情報（削除対象の加入者情報）であって、付帯情報のフィールドに値が書き込まれている加入者情報が存在する場合に、当該付帯情報のフィールドに値が書き込まれている加入者情報の存在を監視装置等に通知する。

　上記実施形態では、制御装置３０が認証処理と検証処理を実行する場合について説明したが、これらの一方又は両方が加入者情報データベース６０にて実行されてもよい。制御装置３０が、基地局１０を介して受信した加入者情報を加入者情報データベース６０に引き渡し、当該データベースにて上記説明した認証及び検証を行ってもよい。加入者情報データベース６０は認証及び検証の結果を制御装置３０に通知し、制御装置３０は当該通知を端末装置２０に向けて送信すればよい。即ち、制御装置３０（例えば、ＬＴＥの場合のＭＭＥ）が加入者情報に基づいて端末装置２０を認証、判別する機能がＨＳＳノードに実装されていてもよい。

　上記実施形態にて説明した制御装置３０には、プロセッサ、メモリ等を備える計算機（情報処理装置）が想定される。あるいは、制御装置３０は、１つのコンピュータ上に複数のコンピュータをエミュレートする仮想マシンであってもよい。即ち、上記制御装置３０は、サーバ等の計算機（物理マシン）であってもよいし、仮想マシンであってもよい。

　また、コアネットワーク１２は、物理的に複数の装置（ノード）によって構成されていてもよく、物理的に１台の装置によって構成されていてもよい。例えば、後者の場合、通信ネットワーク機能を仮想化し、汎用のサーバで当該機能を実現するＮＦＶ（Network Functions Virtualization）を用いてコアネットワーク１２が構築されてもよい。

　上述の説明で用いた複数のフローチャートでは、複数の工程（処理）が順番に記載されているが、各実施形態で実行される工程の実行順序は、その記載の順番に制限されない。各実施形態では、例えば各処理を並行して実行する等、図示される工程の順番を内容的に支障のない範囲で変更することができる。また、上述の各実施形態は、内容が相反しない範囲で組み合わせることができる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
［付記１］
　自営の無線通信網の加入者に関する加入者情報を取得する、取得部（１０１、２０１）と、
　前記加入者情報に含まれる認証情報に基づき、前記自営の無線通信網への接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）の認証を行うと共に、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）の認証に成功した場合に、前記加入者情報に含まれる認証情報とは異なる情報に基づき、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）のアクセス権限を検証する、検証部（１０２、２０３）と、
　を備える、制御装置（３０、１００）。
［付記２］
　ＳＩＭ（Subscriber Identity Module）提供事業者が生成した加入者情報を取得し、前記取得された加入者情報をコアネットワークに含まれるデータベース（６０）に登録する、登録部（２０２）をさらに備える、付記１に記載の制御装置（３０、１００）。
［付記３］
　前記検証部（１０２、２０３）は、前記データベース（６０）に登録された加入者情報に含まれる認証情報と、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）からの接続要求に含まれる認証情報と、を用いて前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）の認証を行う、付記２に記載の制御装置（３０、１００）。
［付記４］
　前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）から、アタッチ要求又はトラッキングエリアアップデート要求を受信した場合に、
　前記検証部（１０２、２０３）は、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）の接続要求を拒否する場合に、理由表示値に所定の値が格納された応答メッセージを、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）に送信する、付記３に記載の制御装置（３０、１００）。
［付記５］
　前記加入者情報に含まれる認証情報とは異なる情報は、前記加入者情報の有効期限である、付記４に記載の制御装置（３０、１００）。
［付記６］
　前記データベース（６０）に登録された加入者情報を管理する、管理部（２０４）をさらに備え、
　前記管理部（２０４）は、前記データベース（６０）に登録された加入者情報のうち所定の条件を満たす加入者情報を削除する、付記５に記載の制御装置（３０、１００）。
［付記７］
　前記管理部（２０４）は、前記所定の条件を満たす加入者情報を削除する前に、前記所定の条件を満たす加入者情報の存在を外部の監視装置に通知する、付記６に記載の制御装置（３０、１００）。
［付記８］
　前記データベース（６０）に登録される加入者情報の各エントリは、対応する利用者の属性を示す付帯情報のフィールドを備え、
　前記管理部（２０４）は、前記所定の条件を満たす加入者情報であって、前記付帯情報のフィールドに値が書き込まれている加入者情報が存在する場合に、前記付帯情報のフィールドに値が書き込まれている加入者情報の存在を前記監視装置に通知する、付記７に記載の制御装置（３０、１００）。
［付記９］
　前記加入者情報に含まれる認証情報とは異なる情報は、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）が在圏可能なトラッキングエリアの情報である、付記４に記載の制御装置（３０、１００）。
［付記１０］
　前記取得部（１０１、２０１）は、各端末装置（２０－１、２０－２、２１－１、２１－２）の識別子と在圏可能なＴＡＩ（Tracking Area Identity）を関連付けたトラッキングエリア情報を取得し、
　前記検証部（１０２、２０３）は、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）の接続要求を転送してきた基地局のセルを特定するＴＡＩが、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）のＴＡＩとして前記トラッキングエリア情報に含まれるか否かに応じて、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）のアクセス権限を検証する、付記９に記載の制御装置（３０、１００）。
［付記１１］
　前記検証部（１０２、２０３）は、前記ＴＡＩに基づく検証の結果に基づき、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）にアクセス権限のランクを付与し、
　前記付与されたアクセス権限のランクに基づき、端末装置（２０－１、２０－２、２１－１、２１－２）の通信帯域を制御する、帯域制御部（２０５）をさらに備える、付記１０に記載の制御装置（３０、１００）。
［付記１２］
　自営の無線通信網の加入者に関する加入者情報を取得する、取得手段（１０１、２０１）と、
　前記加入者情報に含まれる認証情報に基づき、前記自営の無線通信網への接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）の認証を行うと共に、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）の認証に成功した場合に、前記加入者情報に含まれる認証情報とは異なる情報に基づき、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）のアクセス権限を検証する、検証手段（１０２、２０３）と、を含む、無線通信システム。
［付記１３］
　端末装置（２０－１、２０－２、２１－１、２１－２）の移動性を制御する制御装置（３０、１００）において、
　自営の無線通信網の加入者に関する加入者情報を取得するステップと、
　前記加入者情報に含まれる認証情報に基づき、前記自営の無線通信網への接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）の認証を行うステップと、
　前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）の認証に成功した場合に、前記加入者情報に含まれる認証情報とは異なる情報に基づき、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）のアクセス権限を検証するステップと、
　を含む、制御方法。
［付記１４］
　端末装置（２０－１、２０－２、２１－１、２１－２）の移動性を制御する制御装置（３０、１００）に搭載されたコンピュータ（３１１）に、
　自営の無線通信網の加入者に関する加入者情報を取得する処理と、
　前記加入者情報に含まれる認証情報に基づき、前記自営の無線通信網への接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）の認証を行う処理と、
　前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）の認証に成功した場合に、前記加入者情報に含まれる認証情報とは異なる情報に基づき、前記接続を要求する端末装置（２０－１、２０－２、２１－１、２１－２）のアクセス権限を検証する処理と、
　を実行させる、プログラム。
　なお、付記１２の形態～付記１４の形態は、付記１の形態と同様に、付記２の形態～付記１１の形態に展開することが可能である。

　以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。

　この出願は、２０１９年４月１１日に出願された日本出願特願２０１９－０７５３７０を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　無線通信システムにおいて、自営の無線通信網におけるユーザのアクセス制御を実現することができる。

１０、１０－１、１０－２　基地局
１１　無線アクセスネットワーク
１２　コアネットワーク
２０、２０－１、２０－２、２１－１、２１－２　端末装置
３０、１００　制御装置
４０　中継装置
５０　ゲートウェイ装置
６０　加入者情報データベース
７０　ＳＩＭ提供事業者のサーバ
１０１　取得部
１０２、２０３　検証部
２０１　通信制御部
２０２　登録部
２０４　管理部
２０５　帯域制御部
３１１　プロセッサ
３１２　メモリ
３１３　入出力インターフェイス
３１４　通信インターフェイス

Claims

　自営の無線通信網の加入者に関する加入者情報を取得する、取得部と、
　前記加入者情報に含まれる認証情報に基づき、前記自営の無線通信網への接続を要求する端末装置の認証を行うと共に、前記接続を要求する端末装置の認証に成功した場合に、前記加入者情報に含まれる認証情報とは異なる情報に基づき、前記接続を要求する端末装置のアクセス権限を検証する、検証部と、
　を備える、制御装置。
　ＳＩＭ（Subscriber Identity Module）提供事業者が生成した加入者情報を取得し、前記取得された加入者情報をコアネットワークに含まれるデータベースに登録する、登録部をさらに備える、請求項１に記載の制御装置。
　前記検証部は、前記データベースに登録された加入者情報に含まれる認証情報と、前記接続を要求する端末装置からの接続要求に含まれる認証情報と、を用いて前記接続を要求する端末装置の認証を行う、請求項２に記載の制御装置。
　前記接続を要求する端末装置から、アタッチ要求又はトラッキングエリアアップデート要求を受信した場合に、
　前記検証部は、前記接続を要求する端末装置の接続要求を拒否する場合に、理由表示値に所定の値が格納された応答メッセージを、前記接続を要求する端末装置に送信する、請求項３に記載の制御装置。
　前記加入者情報に含まれる認証情報とは異なる情報は、前記加入者情報の有効期限である、請求項４に記載の制御装置。
　前記データベースに登録された加入者情報を管理する、管理部をさらに備え、
　前記管理部は、前記データベースに登録された加入者情報のうち所定の条件を満たす加入者情報を削除する、請求項５に記載の制御装置。
　前記管理部は、前記所定の条件を満たす加入者情報を削除する前に、前記所定の条件を満たす加入者情報の存在を外部の監視装置に通知する、請求項６に記載の制御装置。
　前記データベースに登録される加入者情報の各エントリは、対応する利用者の属性を示す付帯情報のフィールドを備え、
　前記管理部は、前記所定の条件を満たす加入者情報であって、前記付帯情報のフィールドに値が書き込まれている加入者情報が存在する場合に、前記付帯情報のフィールドに値が書き込まれている加入者情報の存在を前記監視装置に通知する、請求項７に記載の制御装置。
　前記加入者情報に含まれる認証情報とは異なる情報は、前記接続を要求する端末装置が在圏可能なトラッキングエリアの情報である、請求項４に記載の制御装置。
　前記取得部は、各端末装置の識別子と在圏可能なＴＡＩ（Tracking Area Identity）を関連付けたトラッキングエリア情報を取得し、
　前記検証部は、前記接続を要求する端末装置の接続要求を転送してきた基地局のセルを特定するＴＡＩが、前記接続を要求する端末装置のＴＡＩとして前記トラッキングエリア情報に含まれるか否かに応じて、前記接続を要求する端末装置のアクセス権限を検証する、請求項９に記載の制御装置。
　前記検証部は、前記ＴＡＩに基づく検証の結果に基づき、前記接続を要求する端末装置にアクセス権限のランクを付与し、
　前記付与されたアクセス権限のランクに基づき、端末装置の通信帯域を制御する、帯域制御部をさらに備える、請求項１０に記載の制御装置。
　自営の無線通信網の加入者に関する加入者情報を取得する、取得手段と、
　前記加入者情報に含まれる認証情報に基づき、前記自営の無線通信網への接続を要求する端末装置の認証を行うと共に、前記接続を要求する端末装置の認証に成功した場合に、前記加入者情報に含まれる認証情報とは異なる情報に基づき、前記接続を要求する端末装置のアクセス権限を検証する、検証手段と、を含む、無線通信システム。
　端末装置の移動性を制御する制御装置において、
　自営の無線通信網の加入者に関する加入者情報を取得するステップと、
　前記加入者情報に含まれる認証情報に基づき、前記自営の無線通信網への接続を要求する端末装置の認証を行うステップと、
　前記接続を要求する端末装置の認証に成功した場合に、前記加入者情報に含まれる認証情報とは異なる情報に基づき、前記接続を要求する端末装置のアクセス権限を検証するステップと、
　を含む、制御方法。
　端末装置の移動性を制御する制御装置に搭載されたコンピュータに、
　自営の無線通信網の加入者に関する加入者情報を取得する処理と、
　前記加入者情報に含まれる認証情報に基づき、前記自営の無線通信網への接続を要求する端末装置の認証を行う処理と、
　前記接続を要求する端末装置の認証に成功した場合に、前記加入者情報に含まれる認証情報とは異なる情報に基づき、前記接続を要求する端末装置のアクセス権限を検証する処理と、
　を実行させる、プログラム。