WO2021152706A1

WO2021152706A1 - 転送装置、データ処理方法、及びプログラム

Info

Publication number: WO2021152706A1
Application number: PCT/JP2020/003039
Authority: WO
Inventors: 克真宮本; 明寛木村; 浩輝加納
Original assignee: 日本電信電話株式会社
Priority date: 2020-01-28
Filing date: 2020-01-28
Publication date: 2021-08-05
Also published as: JP7388455B2; JPWO2021152706A1; US20230094059A1

Abstract

キャリア網と異なるサービス提供事業者網に備えられる転送装置であって、キャリア網からＩＰアドレスが割り当てられるユーザ端末から受信したパケットの送信元ＩＰアドレスを用いて、前記ＩＰアドレスとユーザ識別子とを格納するキャリア網内データベースから前記ユーザ識別子を取得する識別子問い合わせ部と前記ユーザ識別子に応じた前記パケットに対する処理を実行するデータ処理部とを備える。

Description

転送装置、データ処理方法、及びプログラム

　本発明は、通信システムにおいてユーザ識別子を取得する技術に関連するものである。

　例えば非特許文献１に開示されているように、ＩｏＴデバイスに係る暗号化等の高負荷処理や転送処理をクラウドで実施するサービスが提供されている。

　このようなサービスでは、ＣＰＵや電力の制限によって暗号化処理ができないＩｏＴデバイスの通信を暗号化（ＨＴＴＰ→ＨＴＴＰＳ等）することができ、また、証明書の管理や脆弱性への対応等の煩雑な処理をクラウドにオフロードすることができる。これにより、ユーザは暗号化された通信を簡単に利用することが可能になる。

　また、転送処理により、ＩｏＴデバイスの送信先エンドポイントを固定しながら、ユーザ毎に、各種サーバへのパケット振り分けを行うことができる。つまり、ユーザ毎に異なるサービスを提供することが可能である。

ソラコム「SORACOM Beam」https://soracom.jp/services/beam/ ITmedia @IT 「知られざるLTEのネットワーク構成」https://www.atmarkit.co.jp/ait/articles/1001/13/news105_2.html

　ユーザ毎に異なるサービスを提供するためには、転送機能を提供する転送装置がユーザを識別可能であることが必要である。そのため、キャリアが保持する顧客データベース等からユーザを容易に識別できるように、転送装置をキャリア網と密結合な網（実質的なキャリア網）上に配備することが考えられる。

　しかし、転送装置をキャリア網と密結合な網上に配備してサービスを提供することは、収益性やオペレーション等の観点で、サービス提供事業者によっては容易ではない場合がある。

　すなわち、サービス提供事業者によっては、転送装置をキャリア網とは異なる網（サービス提供事業者網等）に配備して、ユーザ毎に異なるサービスを提供したい場合がある。しかし、転送装置がキャリア網と異なる網に配備されている形態では、転送装置が受け取るパケットからユーザを識別できないため、ユーザ毎に異なるサービスを提供することができない。

　本発明は上記の点に鑑みてなされたものであり、キャリア網と異なるサービス提供事業者網に備えられる転送装置が、ユーザ毎に異なるサービスを提供することを可能とする技術を提供することを目的とする。

　開示の技術によれば、キャリア網と異なるサービス提供事業者網に備えられる転送装置であって、
　キャリア網からＩＰアドレスが割り当てられるユーザ端末から受信したパケットの送信元ＩＰアドレスを用いて、前記ＩＰアドレスとユーザ識別子とを格納するキャリア網内データベースから前記ユーザ識別子を取得する識別子問い合わせ部と
　前記ユーザ識別子に応じた前記パケットに対する処理を実行するデータ処理部と
　を備える転送装置が提供される。

　開示の技術によれば、キャリア網と異なるサービス提供事業者網に備えられる転送装置により、ユーザ毎に異なるサービスを提供することが可能となる。

関連技術を説明するための図である。課題を説明するための図である。本発明の実施の形態におけるシステム構成図である。転送装置の機能構成図である。識別子取得Ｉ／Ｆ装置の機能構成図である。装置のハードウェア構成例を示す図である。システムの動作を示すシーケンス図である。

　以下、図面を参照して本発明の実施の形態（本実施の形態）を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。

　（関連技術の説明）
　本実施の形態に係る技術を説明する前に、まず、関連技術について説明する。この関連技術は、転送装置をキャリア網と密結合な網上に配備する形態である。

　関連技術に係るシステム構成例を図１に示す。本通信システムは、背景技術で説明したようなＩｏＴのサービスを提供するシステムである。図１に示すように、キャリア網６（固定網、移動網等）上に、サービス提供のための転送装置２（暗号化等のデータ処理機能を含む）が備えられる。ＳＯ（Service Order）データベース３には、ユーザ毎に、ユーザ識別子とユーザが加入するサービスの情報等が格納されている。

　Ｓ１でユーザ端末１からパケットが送信され、転送装置２がパケットを受信する。キャリア網６の中において、パケットはＬＴＥのＧＴＰ－Ｕ等のトンネリングプロトコルで転送されるため、転送装置２は受信したパケットのヘッダ情報によりユーザ識別子を特定することができる。

　Ｓ２において、転送装置２は、ユーザ識別子を用いてＳＯデータベース３から当該ユーザのサービス加入状況の情報を取得する。Ｓ３において、転送装置２は、当該ユーザのサービス加入状況に応じたデータ処理を実行する。なお、受信したパケットに対する処理（暗号化、転送等）を総称してデータ処理と呼ぶことにする。

　この関連技術では、転送装置２が受信したパケットからユーザを識別可能であることが前提となる。従って、図１に示すように、転送装置２がキャリア網６と密結合な網に配備される。しかし、前述したように、サービス提供事業者によっては、転送装置２をキャリア網６と異なる網に配備することが望ましい場合がある。

　転送装置２を、キャリア網６と異なる網であるサービス提供事業者網７に配備した場合のシステムの構成例を図２に示す。

　図２の構成において、ＧＴＰ－Ｕ等のトンネルはキャリア網６内で終端される。そのため、転送装置２がユーザ端末１から送信されたパケットを受信しても、パケットからユーザを識別することができない。従って、転送装置２は、ＳＯデータベース３からユーザのサービス加入状況を取得できず、ユーザ毎に異なるサービスを提供できない。

　以下、上述した課題を解決するための技術として、本実施の形態に係るシステムについて説明する。

　（本実施の形態に係るシステムについて）
　図３に、本実施の形態に係るシステムの構成を示す。図３に示すように、サービス提供事業者網７に、転送装置１００、ＳＯデータベース２００、識別子取得インターフェイス装置３００、データベース４、顧客サーバ等５が備えられている。キャリア網６には、キャリア網内データベース４００が備えられている。

　図２の場合と同様、キャリア網６におけるＧＴＰ－Ｕ等によるトンネルはキャリア網６内で終端される。よって、サービス提供事業者網７上の転送装置１００は、ユーザ端末１から送出されて転送装置１００に届くパケットのヘッダのみからはユーザを特定することができない。なお、サービス提供事業者網７は、キャリア網６と疎に結合された網の例である。

　キャリア網６は、例えば、ＬＴＥや５Ｇ等のモバイル網、あるいは、ＮＧＮ等の固定網である。各装置の機能は下記のとおりである。

　転送装置１００は、ユーザ端末１から送信されたパケットを受信し、受信したパケットの送信元ＩＰアドレスを基に、識別子取得インターフェイス装置３００を介して、キャリア網内データベース４００から、ユーザ端末１のユーザのユーザ識別子（例えば、モバイル網におけるＩＭＳＩ（International Mobile Subscriber Identity）等）を取得し、当該ユーザ識別子を基にＳＯデータベース２００からＳＯ情報（ユーザが加入するサービスの情報等）を取得する。転送装置１００は、ユーザが加入するサービスに応じたパケットに対する処理を実行する。具体的には、パケットのデータの暗号化、データベース４へのパケット転送、顧客サーバ等５へのパケット転送等を行う。

　キャリア網６に設置されるキャリア網内データベース４００は、ユーザ端末１に払い出すＩＰアドレスとユーザ識別子（ＩＭＳＩ等）とを対応付けて格納するデータベースである。

　識別子取得インターフェイス装置３００は、転送装置１００からパケットの送信元ＩＰアドレスを含む問い合わせを受け、送信元ＩＰアドレスを用いてキャリア網内データベース４００からユーザ識別子を取得し、転送装置１００に送信する。このように、識別子取得インターフェイス装置３００を介することで、容易かつ柔軟に網間接続を実現している。

　前述したように、キャリア網６は、ＬＴＥや５Ｇ等のモバイル網、あるいは、ＮＧＮ等の固定網等である。

　キャリア網６がモバイル網である場合、キャリア網内データベース４００は、ＩＰアドレスとＩＭＳＩとを格納する加入者情報管理装置（ＨＬＲ（Home Location Register）、ＨＳＳ（Home Subscriber Server）等）に相当する。

　キャリア網６が固定網である場合、キャリア網内データベース４００は、グローバルＩＰアドレスを払い出すＤＨＣＰサーバの保有するデータベースに相当する。

　識別子取得インターフェイス装置３００は、異なる１以上のキャリア網との接続ポイントを担うことができる。識別子取得インターフェイス装置３００は例えばＲａｓｉｕｓサーバである。識別子取得インターフェイス装置３００は、１台で複数のキャリア網とやり取りするように構成されていてもよいし、接続するキャリア網毎に備えられてもよい。

　キャリア網内データベース４００は、キャリア網毎に異なるため、識別子取得インターフェイス装置３００がキャリア網内データベース４００からユーザ識別子を取得する方法は、キャリア網毎のキャリア網内データベース４００に応じて異なる。

　一方、転送装置１００から識別子取得インターフェイス装置３００への問い合わせ方法は、キャリア網によらず統一することができる。よって、転送装置１００は、キャリア網の種別（固定網、モバイル網等）を意識することなくユーザ識別子の問い合わせをすることができる。

　すなわち、本実施の形態に係る技術では、転送装置１００において、識別子取得インターフェイス装置３００への問い合わせ機能をキャリア網の種類ごとに実装しなくて良い。また、異なる複数のキャリア網を同じユーザのグループとして扱うこともできる。例えば、固定網とモバイル網で同じサービスを提供できる。

　（装置構成）
　図４に、本実施の形態における転送装置１００の機能構成を示す。図４に示すように、転送装置１００は、パケット受信部１１０、識別子問い合わせ部１２０、サービス加入者状況取得部１３０、データ処理部１４０を備える。

　パケット受信部１１０は、ユーザ端末１からパケットを受信する。識別子問い合わせ部１２０は、パケットの送信元ＩＰアドレスを用いて識別子取得インターフェイス装置３００に対してユーザ識別子の問い合わせを送信し、識別子取得インターフェイス装置３００からユーザ識別子を受信する。サービス加入状況取得部１３０は、ユーザ識別子を用いてＳＯデータベース２００からユーザのサービス加入状況を示す情報（ユーザが加入するサービス等）を取得する。

　データ処理部１４０は、受信したパケットに対応するユーザのサービス加入状況（加入しているサービス等）に応じたデータ処理を行う。

　図５に、識別子取得インターフェイス装置３００の機能構成を示す。図５に示すように、識別子取得インターフェイス装置３００は、問い合わせ受信部３１０、識別子取得部３２０、識別子送信部３３０を有する。

　問い合わせ受信部３１０は、転送装置１００から、送信元ＩＰアドレスを含むユーザ識別子の問い合わせを受信する。識別子取得部３２０は、送信元ＩＰアドレスを用いてキャリア網内データベース４００からユーザ識別子を取得する。識別子送信部３３０は、識別子取得部３２０により取得したユーザ識別子を転送装置１００に送信する。

　転送装置１００、識別子取得インターフェイス装置３００はいずれも、例えば、コンピュータにプログラムを実行させることにより実現できる。このコンピュータは、物理的なコンピュータであってもよいし、仮想マシンであってもよい。

　すなわち、当該装置（転送装置１００、又は、識別子取得インターフェイス装置３００）は、コンピュータに内蔵されるＣＰＵやメモリ等のハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体（可搬メモリ等）に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。

　図６は、上記コンピュータのハードウェア構成例を示す図である。図６のコンピュータは、それぞれバスＢで相互に接続されているドライブ装置１０００、補助記憶装置１００２、メモリ装置１００３、ＣＰＵ１００４、インタフェース装置１００５、表示装置１００６、及び入力装置１００７等を有する。

　当該コンピュータでの処理を実現するプログラムは、例えば、ＣＤ－ＲＯＭ又はメモリカード等の記録媒体１００１によって提供される。プログラムを記憶した記録媒体１００１がドライブ装置１０００にセットされると、プログラムが記録媒体１００１からドライブ装置１０００を介して補助記憶装置１００２にインストールされる。但し、プログラムのインストールは必ずしも記録媒体１００１より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置１００２は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。

　メモリ装置１００３は、プログラムの起動指示があった場合に、補助記憶装置１００２からプログラムを読み出して格納する。ＣＰＵ１００４は、メモリ装置１００３に格納されたプログラムに従って、当該装置に係る機能を実現する。インタフェース装置１００５は、ネットワークに接続するためのインタフェースとして用いられ、ネットワークを介した入力手段及び出力手段として機能する。表示装置１００６はプログラムによるＧＵＩ（Ｇｒａｐｈｉｃａｌ　Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）等を表示する。入力装置１５７はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。

　（動作例）
　本実施の形態に係るシステムの動作例を図７のシーケンス図を参照して説明する。図７に示す処理の前提として、キャリア網６からＩＰアドレスがユーザ端末１に割り当てられており、そのＩＰアドレスが、ユーザ端末１から送信されるＩＰパケットの送信元ＩＰアドレスとして使用されているとする。また、当該ＩＰアドレスは、ユーザ端末１のユーザのユーザ識別子と対応付けてキャリア網内データベース４００に格納されているものとする。

　Ｓ１０１において、ユーザ端末１がＩＰパケットを送信する。転送装置１００のパケット受信部１１０が当該ＩＰパケットを受信する。

　Ｓ１０２において、転送装置１００の識別子問い合わせ部１２０は、送信元ＩＰアドレスを含むユーザ識別子の問い合わせ信号を識別子取得インターフェイス装置３００に送信する。識別子取得インターフェイス装置３００の問い合わせ受信部３１０が問い合わせ信号を受信する。

　Ｓ１０３、Ｓ１０４において、識別子取得インターフェイス装置３００の識別子取得部３２０は、キャリア網内データベース４００に送信元ＩＰアドレスを送信することにより、キャリア網内データベース４００において当該送信元ＩＰアドレスに対応付けられているユーザ識別子をキャリア網内データベース４００から取得する。

　Ｓ１０５において、識別子取得インターフェイス装置３００の識別子送信部３３０は、識別子取得部３２０により取得したユーザ識別子を転送装置１００に送信する。転送装置１００において、識別子問い合わせ部１２０がユーザ識別子を受信する。

　Ｓ１０６、Ｓ１０７において、転送装置１００のサービス加入状況取得部１３０は、ＳＯデータベース２００にユーザ識別子を送信することにより、ＳＯデータベース２００において当該ユーザ識別子に対応づけられているＳＯ情報（該当ユーザが加入しているサービスの情報等）をＳＯデータベース２００から取得する。

　Ｓ１０８において、転送装置１００のデータ処理部１４０は、ユーザのＳＯ情報に基づいて、例えば、パケット（データ）を顧客サーバ等の転送先サーバ５に転送する。

　なお、本実施の形態において、識別子取得インターフェイス装置３００を備えることは必須ではなく、識別子取得インターフェイス装置３００を備えないこととしてもよい。その場合、転送装置１００の識別子問い合わせ部１２０が、識別子取得インターフェイス装置３００と同様に送信元ＩＰアドレスに基づいてキャリア網内データベース４００からユーザ識別子を取得する機能を備える。

　また、転送装置１００がユーザ識別子を取得した後に、ＳＯデータベース２００への問い合わせを行うこと（ＳＯ情報を取得すること）も必須ではない。すなわち、転送装置１００のデータ処理部１４０は、ユーザ識別子から直接的にデータ処理内容を識別できる場合には、ＳＯデータベース２００への問い合わせを行うことなく、ユーザ識別子に対応したデータ処理を行うこととしてもよい。

　（実施の形態の効果）
　以上説明したように、本実施の形態では、キャリア網と疎結合な網（サービス提供事業者網）に配備される転送装置において、パケット着信時にパケットの送信元ＩＰアドレスを基に、キャリア網に設置されたデータベースからユーザ識別子（例えば、移動網におけるＩＭＳＩ等）を取得し、その識別子を基にＳＯ情報を取得してユーザ毎のサービス提供を実現することとした。また、キャリア網のデータベースへの問い合わせは、サービス事業者網内に設置された問い合わせ用のインターフェイス装置を介することとしたので、容易かつ柔軟に網間接続を実現している。

　上記のとおり、転送装置がキャリア網と疎結合な網に配備された場合においても、ユーザ毎のサービス提供が可能になる。また、ユーザ端末１に払い出されるＩＰアドレスとＳＯ情報とを連携させることができるので、ユーザ端末に払い出されるＩＰアドレスが変化する場合においてもユーザ毎のサービス提供を可能である。

　（実施の形態のまとめ）
　本明細書には、少なくとも下記各項の転送装置、データ処理方法、及びプログラムが開示されている。
（第１項）
　キャリア網と異なるサービス提供事業者網に備えられる転送装置であって、
　キャリア網からＩＰアドレスが割り当てられるユーザ端末から受信したパケットの送信元ＩＰアドレスを用いて、前記ＩＰアドレスとユーザ識別子とを格納するキャリア網内データベースから前記ユーザ識別子を取得する識別子問い合わせ部と
　前記ユーザ識別子に応じた前記パケットに対する処理を実行するデータ処理部と
　を備える転送装置。
（第２項）
　前記識別子問い合わせ部は、前記サービス提供事業者網に備えられる識別子取得インターフェイス装置に対して前記送信元ＩＰアドレスを含む識別子問い合わせを送信し、前記識別子取得インターフェイス装置により前記キャリア網内データベースから取得された前記ユーザ識別子を前記識別子取得インターフェイス装置から受信する
　第１項に記載の転送装置。
（第３項）
　前記データ処理部は、前記ユーザ識別子に対応するユーザが加入するサービスの情報を格納するデータベースに前記ユーザ識別子を送信することにより、前記データベースから前記サービスの情報を取得し、当該サービスに対応する処理を実行する
　第１項又は第２項に記載の転送装置。
（第４項）
　キャリア網と異なるサービス提供事業者網に備えられる転送装置が実行するデータ処理方法であって、
　キャリア網からＩＰアドレスが割り当てられるユーザ端末から受信したパケットの送信元ＩＰアドレスを用いて、前記ＩＰアドレスとユーザ識別子とを格納するキャリア網内データベースから前記ユーザ識別子を取得する識別子問い合わせステップと、
　前記ユーザ識別子に応じた前記パケットに対する処理を実行するデータ処理ステップと
　を備えるデータ処理方法。
（第５項）
　コンピュータを、第１項ないし第３項のうちいずれか１項に記載の転送装置における各部として機能させるためのプログラム。

　以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。

１　ユーザ端末
２、１００　転送装置
３、２００　ＳＯデータベース
４　データベース
５　顧客サーバ等
６　キャリア網
７　サービス提供事業者網
３００　識別子取得インターフェイス装置
４００　キャリア網内データベース
１１０　パケット受信部
１２０　識別子問い合わせ部
１３０　サービス加入者状況取得部
１４０　データ処理部
３１０　問い合わせ受信部
３２０　識別子取得部
３３０　識別子送信部
１０００　ドライブ装置
１００１　記録媒体
１００２　補助記憶装置
１００３　メモリ装置
１００４　ＣＰＵ
１００５　インタフェース装置
１００６　表示装置
１００７　入力装置

Claims

　キャリア網と異なるサービス提供事業者網に備えられる転送装置であって、
　キャリア網からＩＰアドレスが割り当てられるユーザ端末から受信したパケットの送信元ＩＰアドレスを用いて、前記ＩＰアドレスとユーザ識別子とを格納するキャリア網内データベースから前記ユーザ識別子を取得する識別子問い合わせ部と
　前記ユーザ識別子に応じた前記パケットに対する処理を実行するデータ処理部と
　を備える転送装置。
　前記識別子問い合わせ部は、前記サービス提供事業者網に備えられる識別子取得インターフェイス装置に対して前記送信元ＩＰアドレスを含む識別子問い合わせを送信し、前記識別子取得インターフェイス装置により前記キャリア網内データベースから取得された前記ユーザ識別子を前記識別子取得インターフェイス装置から受信する
　請求項１に記載の転送装置。
　前記データ処理部は、前記ユーザ識別子に対応するユーザが加入するサービスの情報を格納するデータベースに前記ユーザ識別子を送信することにより、前記データベースから前記サービスの情報を取得し、当該サービスに対応する処理を実行する
　請求項１又は２に記載の転送装置。
　キャリア網と異なるサービス提供事業者網に備えられる転送装置が実行するデータ処理方法であって、
　キャリア網からＩＰアドレスが割り当てられるユーザ端末から受信したパケットの送信元ＩＰアドレスを用いて、前記ＩＰアドレスとユーザ識別子とを格納するキャリア網内データベースから前記ユーザ識別子を取得する識別子問い合わせステップと、
　前記ユーザ識別子に応じた前記パケットに対する処理を実行するデータ処理ステップと
　を備えるデータ処理方法。
　コンピュータを、請求項１ないし３のうちいずれか１項に記載の転送装置における各部として機能させるためのプログラム。