WO2023085078A1 - 情報処理方法、情報処理装置、及び情報処理システム - Google Patents

情報処理方法、情報処理装置、及び情報処理システム Download PDF

Info

Publication number
WO2023085078A1
WO2023085078A1 PCT/JP2022/039658 JP2022039658W WO2023085078A1 WO 2023085078 A1 WO2023085078 A1 WO 2023085078A1 JP 2022039658 W JP2022039658 W JP 2022039658W WO 2023085078 A1 WO2023085078 A1 WO 2023085078A1
Authority
WO
WIPO (PCT)
Prior art keywords
network
information processing
communication
closed
closed network
Prior art date
Application number
PCT/JP2022/039658
Other languages
English (en)
French (fr)
Inventor
裕昭 高野
寛斗 栗木
啓文 葛西
Original Assignee
ソニーグループ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ソニーグループ株式会社 filed Critical ソニーグループ株式会社
Priority to CN202280073303.9A priority Critical patent/CN118176761A/zh
Publication of WO2023085078A1 publication Critical patent/WO2023085078A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Definitions

  • the present disclosure relates to an information processing method, an information processing device, and an information processing system.
  • Communication devices within a private network can communicate not only with other communication devices within the private network, but also with communication devices outside the private network (eg, communication devices within other private networks).
  • the communication device when communicating between different private networks, the communication device communicates with the other party's communication device via the public network. Therefore, it is difficult to communicate between different private networks while maintaining security.
  • the present disclosure proposes an information processing method, an information processing device, and an information processing system that can realize communication between private networks with high security strength.
  • an information processing method is executed by an information processing device that manages inter-closed network communication of a plurality of non-public cellular closed networks connected by secure communication.
  • each of the plurality of non-public cellular closed networks is provided with a gateway that performs an operation related to restriction of communication between the closed networks based on a notification from the information processing device, and the information processing The device notifies the gateway of at least one of the two non-public cellular closed networks in which the inter-closed network communication is performed about the limitation of the inter-closed network communication.
  • FIG. 1 illustrates an example of a private network
  • FIG. FIG. 2 is a diagram showing a communication system with one partner 4G/5G private network
  • 1 is a diagram showing a communication system when there are multiple partner 4G/5G private networks
  • FIG. It is a figure which shows the outline
  • 1 is a diagram illustrating a configuration example of a communication system according to an embodiment of the present disclosure
  • 1 is a diagram illustrating a configuration example of a base station according to an embodiment of the present disclosure
  • FIG. 1 is a diagram illustrating a configuration example of a terminal device according to an embodiment of the present disclosure
  • FIG. 1 is a diagram illustrating a configuration example of a network management device according to an embodiment of the present disclosure
  • FIG. 1 is a diagram illustrating an example of a 5G architecture
  • FIG. 1 is a diagram showing an example of a 4G architecture
  • FIG. 10 is a sequence diagram showing a procedure for connecting two private networks
  • FIG. FIG. 4 is a sequence diagram showing procedures for connecting and disconnecting two private networks
  • FIG. 10 is a diagram for explaining the solution of the second embodiment
  • FIG. FIG. 10 is a diagram showing an example of the operation of the communication system 1 of Embodiment 2
  • FIG. 10 is a diagram showing another example of the operation of the communication system 1 of Embodiment 2
  • FIG. 10 is a diagram showing another example of the operation of the communication system 1 of Embodiment 2;
  • FIG. 10 is a diagram showing another example of the operation of the communication system 1 of Embodiment 2;
  • FIG. 10 is a diagram showing another example of the operation of the communication system 1 of Embodiment 2;
  • FIG. 10 is a diagram showing another example of the operation of the communication system 1 of Embodiment 2;
  • a plurality of components having substantially the same functional configuration may be distinguished by attaching different numerals after the same reference numerals.
  • a plurality of configurations having substantially the same functional configurations are distinguished like terminal devices 30 1 , 30 2 and 30 3 as necessary.
  • the terminal devices 30 1 , 30 2 and 30 3 are simply referred to as the terminal devices 30 when there is no particular need to distinguish them.
  • a private network is also called a non-public network.
  • Local 5G/Private 5G is cellular communication services performed in limited areas such as factories, offices, studios, hospitals, and universities. By limiting service provision to a local area, there is an advantage that customized cellular service can be provided.
  • private 5G and local 5G may be referred to as 4G/5G private network or 4G/5G virtual private network. .
  • the private network is not limited to the 4G/5G private network.
  • a private network may be called a non-public cellular closed network, or simply a closed network.
  • Security is emphasized in many use cases. For example, in the case of a factory, it is a case of dealing with highly confidential technology such as the production line of the factory. This is a use case with high confidentiality since hospitals often handle personal information related to patient privacy. Universities and offices often handle personal information, and communications involving such personal information are required to be highly confidential.
  • FIG. 1 is a diagram showing an example of a private network.
  • the closed network is, for example, a VPN (Virtual Private network).
  • a base station located in a LAN and a core network located in a cloud use a private IP address without using a public IP address. Connected.
  • it is resistant to eavesdropping from the outside.
  • It is also possible to set to block all accesses from outside the closed network, or to send a packet from inside the closed network to the outside and put only the response into the closed network.
  • it is not possible to access a device or a terminal device in a closed network by applying a trigger from outside the closed network so it can be said that the confidentiality of the closed network is high.
  • UDP User Datagram Protocol
  • TCP Transmission Control Protocol
  • IP Address Assigned to Terminal Device When a terminal device attaches to a network, an IP address is assigned to the terminal device from the core network. A private IP address is usually assigned. In the case of a public network, a public IP address may be assigned directly to the terminal device, but in a 4G/5G private network, which is a non-public network, the terminal device is usually , give a private IP address. Therefore, when leaving the closed network, the private IP address is converted to the public IP address by NAT (Network Address Translation).
  • NAT Network Address Translation
  • IP address of the terminal device By holding the IP address of the terminal device in the closed network, it becomes possible to send IP packets directly from the AF (Application Function) side to the terminal device (that is, network initiated message push).
  • AF Application Function
  • FIG. 2 is a diagram showing a communication system when there is one partner 4G/5G private network.
  • two 4G/5G private networks are directly connected by VPN tunneling. Since closed networks are connected to each other, packets can be sent to terminal devices and client applications on the opposite side using private IP addresses.
  • FIG. 3 is a diagram showing a communication system when there are multiple partner 4G/5G private networks.
  • VPN tunnels are set for each of the plurality of destinations, as shown in FIG. Connecting in a star configuration is not desirable because if there is a failure in the central switch, the impact will be large.
  • the destination of information diffusion is only the partner side, so this topology is desirable also from the viewpoint of security.
  • the method of connecting multiple 4G/5G private networks via secure communication is not limited to the method of using a VPN (Virtual Private Network) tunnel.
  • a method of connecting a plurality of 4G/5G private networks by secure communication for example, a method of connecting with a dedicated line is conceived.
  • IoT Internet of Things
  • 4G/5G private network There is a demand to place IoT devices under the control of a 4G/5G private network, control those IoT devices with an information processing device, and extract information from those IoT devices.
  • simply controlling IoT devices in one 4G/5G private network and acquiring information poses a problem that the scale of the IoT system is insufficient due to the limited number of IoT sensors. Therefore, there is a demand for coordinating a plurality of private networks to collect their information.
  • the location of the IoT device with which communication is desired is often known in advance. TCP connections tend to place a heavy burden on IoT devices in terms of power consumption, so there is a demand for communication using UDP.
  • Private networks may belong to different operators. Although it is desirable for one business operator to manage a plurality of private networks, the customers using the private networks are different. For example, let's say there is a customer A who is measuring using an IoT sensor that can measure wind power in Japan, and a customer B who is measuring wind power in Europe using an IoT sensor. Assume that the terminal device of customer A is connected to private network A, and the terminal device of customer B is connected to private network B. At this time, it is assumed that business operator C must collect information from each of the terminal devices of customers A and B using terminal devices connected to private network C. In this case, operator C would want private networks A and B to be connected.
  • MAC filtering and IP filtering One way to ensure that only authorized users' IP packets enter the network is MAC filtering.
  • MAC filtering is a method in which a gateway at the entrance of a network permits only IP packets on packets with permitted MAC addresses to enter the network. However, since MAC addresses can be rewritten to arbitrary values, MAC filtering is not sufficient as a security measure.
  • IP filtering is another method that allows only authorized users' IP packets to enter the network.
  • IP filtering is a method in which a gateway at the entrance of a network allows only IP packets that have an IP address within a specified IP address range as the Source IP Address to enter the network. It can be said that this IP filtering is a better method than MAC filtering as a security measure. Even if a packet is sent with a spoofed source IP address, the routers along the way clearly know that the spoofed source IP address is not appropriate, so spoofing the IP address is not realistic. is.
  • IP filtering When IP filtering is used, IP packets with unauthorized IP addresses cannot enter the network. Normally, IP filtering is performed on the source IP address, but it is also possible to perform IP filtering on the destination IP address. Inbound IP filtering from outside the network is important, but it is also possible to do outbound IP filtering from within the network. In the present embodiment, the inbound IP filter is emphasized in the description, but the present embodiment is also applicable to the outbound IP filter.
  • IP Filtering In 4G/5G private networks, the IP address assigned to the UE may change. For example, when a UE detaches from the network and attaches again, the UE is assigned another IP address. Even though we want to allow only packets of a specific UE (called UE B) of private network B to enter private network A, the IP address of UE B is the IP address assigned to private network B. Merely adopting IP filtering cannot achieve this goal, as it may change to any IP address in the range.
  • IP addresses in the IP address range assigned to private network B are IP addresses that can enter private network A.
  • this is the same as allowing packets from all UEs in private network B to enter, so the possibility of being attacked by dangerous UEs cannot be ruled out.
  • IP filtering the possibility that the IP address of the UE targeted by the IP filter may change should be considered.
  • private network B has not only UE but also AF (Application Function).
  • the IP address of this AF is automatically assigned corresponding to the subnetwork to the AF arranged in the subnetwork by the cloud system.
  • Another issue is how to perform IP filtering on the IP addresses of AFs that are permitted and AFs that are not permitted.
  • FIG. 4 is a diagram showing an outline of the solution means of this embodiment.
  • a network management device connected to a plurality of private networks is arranged on a public network.
  • the network management device has a management function (PNAM: Private Network Association Management) for managing these multiple private networks.
  • a plurality of private networks are connected by secure communication (for example, VPN tunnels), and each has a gateway that performs operations related to restriction of communication between closed networks based on notification from the management function.
  • inter-closed network communication is communication between private networks that communicates with nodes of other private networks beyond the private network to which the node belongs.
  • the management function of the network management device notifies the gateway of at least one of the two private networks in which inter-closed network communication is performed about the limitation of inter-closed network communication.
  • the management function of the network management device controls access from a node (e.g., UE or AF) belonging to one of the two private networks to a node (e.g., UE or AF) belonging to the other private network. is obtained, it is determined whether or not to permit access according to a predetermined standard.
  • the access request information may include the IP address of the source node.
  • the management function then notifies the gateway of at least one of the two private networks of this decision.
  • the gateway operates so that only nodes to which access is permitted can communicate between closed networks. For example, the gateway performs IP filtering so that IP packets with the IP address of the node that sent them are allowed to enter the private network. Unnecessary connections can be reduced by determining whether or not to permit access each time an access request is made. As a result, security threats can be reduced.
  • IP address pools may be assigned to the private network.
  • a private network may have a plurality of UPFs (User Plane Functions) configured with different IP address pools.
  • the plurality of IP address pools may include at least one IP address pool used for communication between closed networks.
  • the management function of the network management device instructs the gateway to perform IP filtering based on the information of the IP address range linked to the IP address pool used for communication between closed networks (hereinafter referred to as the predetermined IP address range). may notify you.
  • the gateway Based on the notification from the management function, the gateway performs IP filtering so that only IP packets within a predetermined IP address range can enter the private network.
  • IP filtering functions as long as the IP address is within the predetermined address range. Therefore, security threats can be reduced with less signaling.
  • FIG. 5 is a diagram showing a configuration example of the communication system 1 according to the embodiment of the present disclosure.
  • the communication system 1 comprises a plurality of private networks PN.
  • the private network PN is, for example, a private network using cellular wireless communication such as 4G and 5G.
  • a plurality of private networks PN are connected via a network N. Although only one network N is shown in the example of FIG. 5, a plurality of networks N may exist.
  • network N is, for example, a public network such as the Internet.
  • the network N is not limited to the Internet, and may be, for example, a LAN (Local Area Network), a WAN (Wide Area Network), a cellular network, a fixed telephone network, or a regional IP (Internet Protocol) network.
  • the network N may include wired networks or wireless networks.
  • a management device 10, a base station 20, and a terminal device 30 are arranged in each of the plurality of private networks PN.
  • a network management device 40 is connected to a plurality of private networks PN via a network N.
  • FIG. The communication system 1 provides users with a wireless network capable of mobile communication by operating in cooperation with each wireless communication device that configures the communication system 1 .
  • the radio network of this embodiment is composed of, for example, a radio access network and a core network.
  • the wireless communication device is a device having a wireless communication function, and corresponds to the base station 20 and the terminal device 30 in the example of FIG.
  • the communication system 1 may include multiple management devices 10 , base stations 20 , terminal devices 30 , and network management devices 40 .
  • the communication system 1 includes management devices 10 1 and 10 2 as the management device 10 and base stations 20 1 and 20 2 as the base stations 20 .
  • the communication system 1 also includes terminal devices 30 1 , 30 2 , 30 3 and the like as terminal devices 30 .
  • the device in the figure can be considered as a device in a logical sense.
  • part of the devices in the figure may be realized by virtual machines (VMs), containers, Dockers, etc., and they may be physically implemented on the same hardware.
  • VMs virtual machines
  • containers containers
  • Dockers etc.
  • the communication system 1 may be compatible with radio access technologies (RAT: Radio Access Technology) such as LTE (Long Term Evolution) and NR (New Radio).
  • RAT Radio Access Technology
  • LTE and NR are types of cellular communication technology, and enable mobile communication of terminal devices by arranging a plurality of areas covered by base stations in a cell.
  • the radio access method used by the communication system 1 is not limited to LTE and NR, and may be other radio access methods such as W-CDMA (Wideband Code Division Multiple Access), cdma2000 (Code Division Multiple Access 2000), etc. good too.
  • the base station or relay station that configures the communication system 1 may be a ground station or a non-ground station.
  • a non-ground station may be a satellite station or an aircraft station. If the non-earth stations are satellite stations, the communication system 1 may be a Bent-pipe (Transparent) type mobile satellite communication system.
  • a ground station also referred to as a ground base station refers to a base station (including a relay station) installed on the ground.
  • base station including a relay station
  • the term “terrestrial” is used in a broad sense to include not only land, but also underground, above water, and underwater. In the following description, the description of "earth station” may be replaced with “gateway”.
  • the LTE base station is sometimes referred to as eNodeB (Evolved Node B) or eNB.
  • the NR base stations are sometimes referred to as gNodeBs or gNBs.
  • a terminal device also called a mobile station or a terminal
  • UE User Equipment
  • a terminal device is a type of communication device, and is also called a mobile station or a terminal.
  • the concept of a communication device includes not only portable mobile devices (terminal devices) such as mobile terminals, but also devices installed in structures and mobile bodies.
  • a structure or a mobile object itself may be regarded as a communication device.
  • the concept of a communication device includes not only a terminal device but also a base station and a relay station.
  • a communication device is a type of processing device and information processing device.
  • the communication device can be called a transmitting device or a receiving device.
  • each device constituting the communication system 1 will be specifically described below. Note that the configuration of each device shown below is merely an example. The configuration of each device may differ from the configuration shown below.
  • the management device 10 is an information processing device (computer) that manages the wireless network.
  • the management device 10 is an information processing device that manages communication of the base station 20 .
  • the management device 10 may be, for example, a device that functions as an MME (Mobility Management Entity).
  • the management device 10 may be a device having functions as AMF (Access and Mobility Management Function) and/or SMF (Session Management Function).
  • AMF Access and Mobility Management Function
  • SMF Session Management Function
  • the functions of the management device 10 are not limited to MME, AMF, and SMF.
  • the management device 10 may be a device having functions as NSSF (Network Slice Selection Function), AUSF (Authentication Server Function), PCF (Policy Control Function), and UDM (Unified Data Management).
  • NSSF Network Slice Selection Function
  • AUSF Authentication Server Function
  • PCF Policy Control Function
  • UDM Unified Data Management
  • the management device 10 may be a device having a function as an HSS (Home Subscriber Server).
  • the management device 10 may have a management function (PNAM: Private Network Association Management) that the network management device 40 has and function as the network management device 40 .
  • PNAM Private Network Association Management
  • the management device 10 may have a gateway function.
  • the management device 10 may have functions as an S-GW (Serving Gateway) or a P-GW (Packet Data Network Gateway).
  • the management device 10 may have a UPF (User Plane Function) function.
  • the management device 10 may have a plurality of UPFs.
  • the management device 10 may also have a function of PNAM (Private Network Association Management).
  • the core network consists of multiple network functions, and each network function may be integrated into one physical device or distributed over multiple physical devices.
  • the management device 10 can be distributed to a plurality of devices. Additionally, this distribution may be controlled to be performed dynamically.
  • the base station 20 and the management device 10 configure one network and provide wireless communication services to the terminal device 30 .
  • the management device 10 is connected to the Internet, and the terminal device 30 can use various services provided via the Internet via the base station 20 .
  • the management device 10 does not necessarily have to constitute a core network.
  • the core network is a W-CDMA (Wideband Code Division Multiple Access) or cdma2000 (Code Division Multiple Access 2000) core network.
  • the management device 10 may be a device that functions as an RNC (Radio Network Controller).
  • FIG. 6 is a diagram showing a configuration example of the management device 10 according to the embodiment of the present disclosure.
  • the management device 10 includes a communication section 11 , a storage section 12 and a control section 13 .
  • the configuration shown in FIG. 6 is a functional configuration, and the hardware configuration may differ from this.
  • the functions of the management device 10 may be statically or dynamically distributed and implemented in a plurality of physically separated configurations.
  • the management device 10 may be composed of a plurality of server devices.
  • the communication unit 11 is a communication interface for communicating with other devices.
  • the communication unit 11 may be a network interface or a device connection interface.
  • the communication unit 11 may be a LAN (Local Area Network) interface such as a NIC (Network Interface Card), or a USB interface configured by a USB (Universal Serial Bus) host controller, a USB port, etc. good too.
  • the communication unit 11 may be a wired interface or a wireless interface.
  • the communication unit 11 functions as communication means for the management device 10 .
  • the communication unit 11 communicates with the base station 20 and the like under the control of the control unit 13 .
  • the storage unit 12 is a data readable/writable storage device such as a DRAM (Dynamic Random Access Memory), an SRAM (Static Random Access Memory), a flash memory, a hard disk, or the like.
  • the storage unit 12 functions as storage means of the management device 10 .
  • the storage unit 12 stores, for example, the connection state of the terminal device 30 .
  • the storage unit 12 stores the RRC (Radio Resource Control) state and ECM (EPS Connection Management) state of the terminal device 30, or the 5G System CM (Connection Management) state.
  • the storage unit 12 may function as a home memory that stores position information of the terminal device 30 .
  • the control unit 13 is a controller that controls each unit of the management device 10 .
  • the control unit 13 is implemented by a processor such as a CPU (Central Processing Unit), MPU (Micro Processing Unit), GPU (Graphics Processing Unit), or the like.
  • the control unit 13 is implemented by the processor executing various programs stored in the storage device inside the management device 10 using a RAM (Random Access Memory) or the like as a work area.
  • the control unit 13 may be realized by an integrated circuit such as ASIC (Application Specific Integrated Circuit) or FPGA (Field Programmable Gate Array).
  • ASIC Application Specific Integrated Circuit
  • FPGA Field Programmable Gate Array
  • the base station 20 is a wireless communication device that wirelessly communicates with the terminal device 30 .
  • the base station 20 may be configured to wirelessly communicate with the terminal device 30 via a relay station, or may be configured to directly wirelessly communicate with the terminal device 30 .
  • the base station 20 is a type of communication device. More specifically, the base station 20 is a device corresponding to a radio base station (Base Station, Node B, eNB, gNB, etc.) or a radio access point (Access Point). Base station 20 may be a radio relay station. Also, the base station 20 may be an optical extension device called RRH (Remote Radio Head) or RU (Radio Unit). Also, the base station 20 may be a receiving station such as an FPU (Field Pickup Unit). Also, the base station 20 is an IAB (Integrated Access and Backhaul) donor node or an IAB relay node that provides radio access lines and radio backhaul lines by time division multiplexing, frequency division multiplexing, or space division multiplexing. good too.
  • RRH Remote Radio Head
  • RU Radio Unit
  • FPU Field Pickup Unit
  • the wireless access technology used by the base station 20 may be cellular communication technology or wireless LAN technology.
  • the radio access technologies used by the base station 20 are not limited to these, and other radio access technologies may be used.
  • the radio access technology used by the base station 20 may be LPWA (Low Power Wide Area) communication technology.
  • the wireless communication used by the base station 20 may be wireless communication using millimeter waves.
  • the wireless communication used by the base station 20 may be wireless communication using radio waves, or wireless communication using infrared rays or visible light (optical wireless).
  • the base station 20 may be capable of NOMA (Non-Orthogonal Multiple Access) communication with the terminal device 30 .
  • NOMA communication is communication (transmission, reception, or both) using non-orthogonal resources.
  • the base station 20 may be capable of NOMA communication with another base station 20 .
  • the base stations 20 may be able to communicate with each other via a base station-core network interface (eg, NG Interface, S1 Interface, etc.). This interface can be wired or wireless. Also, the base stations may be able to communicate with each other via inter-base station interfaces (eg, Xn Interface, X2 Interface, S1 Interface, F1 Interface, etc.). This interface can be wired or wireless.
  • a base station-core network interface eg, NG Interface, S1 Interface, etc.
  • This interface can be wired or wireless.
  • inter-base station interfaces eg, Xn Interface, X2 Interface, S1 Interface, F1 Interface, etc.
  • base station includes not only donor base stations but also relay base stations (also called relay stations).
  • relay base station may be any one of RF Repeater, Smart Repeater, and Intelligent Surface.
  • concept of a base station includes not only a structure having the functions of a base station but also devices installed in the structure.
  • Structures are, for example, skyscrapers, houses, steel towers, station facilities, airport facilities, port facilities, office buildings, school buildings, hospitals, factories, commercial facilities, stadiums, and other buildings.
  • the concept of structures includes not only buildings, but also non-building structures such as tunnels, bridges, dams, fences, and steel pillars, as well as equipment such as cranes, gates, and windmills.
  • the concept of structures includes not only structures on land (in a narrow sense, above ground) or underground, but also structures on water such as piers and mega-floats, and underwater structures such as oceanographic observation equipment.
  • a base station can be rephrased as an information processing device.
  • the base station 20 may be a donor station or a relay station (relay station). Also, the base station 20 may be a fixed station or a mobile station.
  • a mobile station is a mobile wireless communication device (eg, base station).
  • the base station 20 may be a device installed in the mobile body, or may be the mobile body itself.
  • a relay station with mobility can be regarded as the base station 20 as a mobile station.
  • vehicles, UAVs (Unmanned Aerial Vehicles) typified by drones, smartphones, and other devices that are inherently mobile and equipped with base station functions (at least part of the base station functions) are also mobile. It corresponds to the base station 20 as a station.
  • the mobile object may be a mobile terminal such as a smartphone or mobile phone.
  • the mobile body may be a mobile body (for example, vehicles such as automobiles, bicycles, buses, trucks, motorcycles, trains, linear motor cars, etc.) that moves on land (narrowly defined ground), or underground ( For example, it may be a moving body (eg, subway) that moves in a tunnel.
  • the mobile body may be a mobile body that moves on water (for example, a passenger ship, a cargo ship, a ship such as a hovercraft), or a mobile body that moves underwater (for example, a submarine, a submarine, an unmanned underwater vehicle, etc.). submersible).
  • the mobile body may be a mobile body that moves in the atmosphere (for example, an aircraft such as an airplane, an airship, or a drone).
  • the base station 20 may be a ground base station (ground station) installed on the ground.
  • the base station 20 may be a base station located in a structure on the ground, or a base station installed in a mobile body moving on the ground.
  • the base station 20 may be an antenna installed in a structure such as a building and a signal processing device connected to the antenna.
  • the base station 20 may be a structure or a mobile object itself. "Terrestrial" is not only land (terrestrial in a narrow sense), but also ground in a broad sense, including underground, above water, and underwater.
  • the base station 20 is not limited to a ground base station.
  • the base station 20 may be an aircraft station. From the perspective of a satellite station, an aircraft station located on the earth is a ground station.
  • the base station 20 is not limited to a ground station.
  • the base station 20 may be a non-terrestrial base station (non-terrestrial station) capable of floating in the air or space.
  • base station 20 may be an aircraft station or a satellite station.
  • a satellite station is a satellite station that can float outside the atmosphere.
  • the satellite station may be a device mounted on a space mobile such as an artificial satellite, or may be the space mobile itself.
  • a space vehicle is a mobile object that moves outside the atmosphere.
  • Space mobiles include artificial celestial bodies such as artificial satellites, spacecraft, space stations, and probes.
  • the satellites that will become satellite stations are Low Earth Orbiting (LEO) satellites, Medium Earth Orbiting (MEO) satellites, Geostationary Earth Orbiting (GEO) satellites, and Highly Elliptical Orbiting (HEO) satellites. ) satellite.
  • LEO Low Earth Orbiting
  • MEO Medium Earth Orbiting
  • GEO Geostationary Earth Orbiting
  • HEO Highly Elliptical Orbiting
  • a satellite station may be a device onboard a low orbit satellite, a medium orbit satellite, a geostationary satellite, or a high elliptical orbit satellite.
  • An aircraft station is a wireless communication device that can float in the atmosphere, such as an aircraft.
  • the aircraft station may be a device mounted on an aircraft or the like, or may be the aircraft itself.
  • the concept of aircraft includes not only heavy aircraft such as airplanes and gliders, but also light aircraft such as balloons and airships.
  • the concept of aircraft includes not only heavy aircraft and light aircraft, but also rotorcraft such as helicopters and autogyros. Note that the aircraft station (or an aircraft on which the aircraft station is mounted) may be an unmanned aerial vehicle such as a drone.
  • unmanned aircraft also includes unmanned aircraft systems (UAS) and tethered unmanned aerial systems (tethered UAS).
  • UAS unmanned aircraft systems
  • tethered UAS tethered unmanned aerial systems
  • unmanned aerial vehicles includes light unmanned aerial systems (LTA: Lighter than Air UAS) and heavy unmanned aerial systems (HTA: Heavier than Air UAS).
  • LTA Lighter than Air UAS
  • HTA Heavier than Air UAS
  • HAPs High Altitude UAS Platforms
  • the size of the coverage of the base station 20 may be as large as a macrocell or as small as a picocell. Of course, the size of the coverage of the base station 20 may be extremely small such as femtocell.
  • the base station 20 may also have beamforming capabilities. In this case, the base station 20 may form a cell or service area for each beam.
  • FIG. 7 is a diagram showing a configuration example of the base station 20 according to the embodiment of the present disclosure.
  • the base station 20 includes a wireless communication unit 21, a storage unit 22, and a control unit 23. Note that the configuration shown in FIG. 7 is a functional configuration, and the hardware configuration may differ from this. Also, the functions of the base station 20 may be distributed and implemented in multiple physically separated configurations.
  • the wireless communication unit 21 is a signal processing unit for wirelessly communicating with another wireless communication device (for example, the terminal device 30).
  • the radio communication section 21 operates under the control of the control section 23 .
  • the radio communication unit 21 supports one or more radio access schemes.
  • the wireless communication unit 21 supports both NR and LTE.
  • the wireless communication unit 21 may support W-CDMA and cdma2000 in addition to NR and LTE.
  • the wireless communication unit 21 may support an automatic retransmission technique such as HARQ (Hybrid Automatic Repeat reQuest).
  • HARQ Hybrid Automatic Repeat reQuest
  • the wireless communication unit 21 includes a transmission processing unit 211, a reception processing unit 212, and an antenna 213.
  • the wireless communication unit 21 may include multiple transmission processing units 211 , reception processing units 212 , and antennas 213 . Note that when the wireless communication unit 21 supports a plurality of wireless access methods, each unit of the wireless communication unit 21 can be individually configured for each wireless access method.
  • the transmission processing unit 211 and the reception processing unit 212 may be individually configured for LTE and NR.
  • the antenna 213 may be composed of a plurality of antenna elements (for example, a plurality of patch antennas).
  • the wireless communication unit 21 may be configured to be capable of beam forming.
  • the radio communication unit 21 may be configured to be capable of polarization beamforming using vertical polarization (V polarization) and horizontal polarization (H polarization).
  • the transmission processing unit 211 performs transmission processing of downlink control information and downlink data.
  • the transmission processing unit 211 encodes downlink control information and downlink data input from the control unit 23 using an encoding method such as block encoding, convolutional encoding, turbo encoding.
  • the encoding may be encoding by polar code or encoding by LDPC code (Low Density Parity Check Code).
  • the transmission processing unit 211 modulates the coded bits with a predetermined modulation scheme such as BPSK, QPSK, 16QAM, 64QAM, 256QAM.
  • the signal points on the constellation do not necessarily have to be equidistant.
  • the constellation may be a non-uniform constellation (NUC).
  • the transmission processing unit 211 multiplexes the modulation symbols of each channel and downlink reference signals, and arranges them in predetermined resource elements. Then, the transmission processing unit 211 performs various signal processing on the multiplexed signal. For example, the transmission processing unit 211 performs conversion to the frequency domain by fast Fourier transform, addition of a guard interval (cyclic prefix), generation of a baseband digital signal, conversion to an analog signal, quadrature modulation, up-conversion, extra Processing such as removal of frequency components and amplification of power is performed. A signal generated by the transmission processing unit 211 is transmitted from the antenna 213 .
  • a guard interval cyclic prefix
  • the reception processing unit 212 processes uplink signals received via the antenna 213 .
  • the reception processing unit 212 performs down-conversion, removal of unnecessary frequency components, control of amplification level, orthogonal demodulation, conversion to digital signals, removal of guard intervals (cyclic prefixes), and high-speed Extraction of frequency domain signals by Fourier transform, etc. are performed.
  • the reception processing unit 212 separates uplink channels such as PUSCH (Physical Uplink Shared Channel) and PUCCH (Physical Uplink Control Channel) and uplink reference signals from the signal subjected to these processes.
  • PUSCH Physical Uplink Shared Channel
  • PUCCH Physical Uplink Control Channel
  • the reception processing unit 212 demodulates the received signal using a modulation scheme such as BPSK (Binary Phase Shift Keying) or QPSK (Quadrature Phase Shift Keying) for the modulation symbols of the uplink channel.
  • the modulation scheme used for demodulation may be 16QAM (Quadrature Amplitude Modulation), 64QAM, or 256QAM.
  • the signal points on the constellation do not necessarily have to be equidistant.
  • the constellation may be a non-uniform constellation (NUC).
  • the reception processing unit 212 performs decoding processing on the coded bits of the demodulated uplink channel.
  • the decoded uplink data and uplink control information are output to the control section 23 .
  • the antenna 213 is an antenna device (antenna unit) that mutually converts electric current and radio waves.
  • the antenna 213 may be composed of one antenna element (for example, one patch antenna), or may be composed of a plurality of antenna elements (for example, a plurality of patch antennas).
  • the wireless communication section 21 may be configured to be capable of beam forming.
  • the radio communication unit 21 may be configured to generate directional beams by controlling the directivity of radio signals using a plurality of antenna elements.
  • the antenna 213 may be a dual polarized antenna.
  • the wireless communication unit 21 may use vertical polarized waves (V polarized waves) and horizontal polarized waves (H polarized waves) in transmitting wireless signals. Then, the wireless communication unit 21 may control the directivity of the wireless signal transmitted using the vertically polarized wave and the horizontally polarized wave. Also, the radio communication unit 21 may transmit and receive signals that are spatially multiplexed via a plurality of layers composed of a plurality of antenna elements.
  • the storage unit 22 is a data readable/writable storage device such as a DRAM, SRAM, flash memory, or hard disk.
  • the storage unit 22 functions as storage means for the base station 20 .
  • the control unit 23 is a controller that controls each unit of the base station 20 .
  • the control unit 23 is implemented by a processor such as a CPU (Central Processing Unit) or MPU (Micro Processing Unit), for example.
  • the control unit 23 is implemented by the processor executing various programs stored in the storage device inside the base station 20 using a RAM (Random Access Memory) or the like as a work area.
  • the control unit 23 may be realized by an integrated circuit such as ASIC (Application Specific Integrated Circuit) or FPGA (Field Programmable Gate Array).
  • ASIC Application Specific Integrated Circuit
  • FPGA Field Programmable Gate Array
  • CPUs, MPUs, ASICs, and FPGAs can all be considered controllers.
  • the control unit 23 may be implemented by a GPU (Graphics Processing Unit) in addition to or instead of the CPU.
  • the concept of a base station may consist of a collection of multiple physical or logical devices.
  • the base station may be classified into a plurality of devices such as BBU (Baseband Unit) and RU (Radio Unit). A base station may then be interpreted as a collection of these devices.
  • the base station may be one or both of the BBU and RU.
  • the BBU and RU may be connected by a predetermined interface (eg, eCPRI (enhanced Common Public Radio Interface)).
  • RU may also be called RRU (Remote Radio Unit) or RD (Radio DoT).
  • the RU may correspond to gNB-DU (gNB Distributed Unit), which will be described later.
  • the BBU may correspond to gNB-CU (gNB Central Unit), which will be described later.
  • the RU may be a wireless device connected to a gNB-DU as described below.
  • the gNB-CU, gNB-DU, and RUs connected to the gNB-DU may be configured to comply with O-RAN (Open Radio Access Network).
  • the RU may be a unit integrally formed with the antenna.
  • the antenna that the base station has eg, an antenna integrally formed with the RU
  • the antennas of the base station may have, for example, 64 transmitting antenna ports and 64 receiving antenna ports.
  • the antenna mounted on the RU may be an antenna panel composed of one or more antenna elements, and the RU may mount one or more antenna panels.
  • the RU has two types of antenna panels, a horizontally polarized antenna panel and a vertically polarized antenna panel, or two types of antenna panels, a right-handed circularly polarized antenna panel and a left-handed circularly polarized antenna panel. Can be installed.
  • the RU may also form and control independent beams for each antenna panel.
  • a plurality of base stations may be connected to each other.
  • One or more base stations may be included in a Radio Access Network (RAN).
  • the base station may simply be called RAN, RAN node, AN (Access Network), or AN node.
  • EUTRAN Enhanced Universal Terrestrial RAN
  • the RAN in NR is sometimes called NGRAN.
  • the RAN in W-CDMA (UMTS) is sometimes called UTRAN.
  • the LTE base station is sometimes referred to as eNodeB (Evolved Node B) or eNB.
  • the EUTRAN then includes one or more eNodeBs (eNBs).
  • the NR base stations are sometimes referred to as gNodeBs or gNBs.
  • the NGRAN includes one or more gNBs.
  • the EUTRAN may include gNBs (en-gNBs) connected to a core network (EPC) in the LTE communication system (EPS).
  • NGRAN may include ng-eNBs connected to a core network 5GC in a 5G communication system (5GS).
  • the base station is sometimes called 3GPP Access.
  • the base station when the base station is a wireless access point (Access Point), the base station may be referred to as a non-3GPP access (Non-3GPP Access).
  • the base station may be an optical extension device called RRH (Remote Radio Head) or RU (Radio Unit).
  • RRH Remote Radio Head
  • RU Radio Unit
  • the base station when the base station is a gNB, the base station may be a combination of the above-described gNB-CU and gNB-DU, or either gNB-CU or gNB-DU. may
  • the gNB-CU uses multiple upper layers (for example, RRC (Radio Resource Control), SDAP (Service Data Adaptation Protocol), PDCP (Packet On the other hand, gNB-DU hosts multiple lower layers (for example, RLC (Radio Link Control), MAC (Medium Access Control), PHY (Physical layer)) of the access stratum.
  • RRC Radio Resource Control
  • SDAP Service Data Adaptation Protocol
  • PDCP Packet
  • gNB-DU hosts multiple lower layers (for example, RLC (Radio Link Control), MAC (Medium Access Control), PHY (Physical layer)) of the access stratum.
  • RLC Radio Link Control
  • MAC Medium Access Control
  • PHY Physical layer
  • RRC signaling (semi-static notification) is generated in the gNB-CU, while MAC CE and DCI (dynamic notification) are generated in the gNB-DU
  • RRC configuration (semi-static notification)
  • some configurations such as IE: cellGroupConfig are generated in gNB-DU, and the rest of the configurations are gNB - may be generated at the CU, and these configurations may be sent and received at the F1 interface described below.
  • the base station may be configured to be able to communicate with other base stations.
  • the base stations may be connected via an X2 interface.
  • the devices may be connected via an Xn interface.
  • the devices may be connected by the F1 interface described above. Messages/information described later (for example, RRC signaling, MAC CE (MAC Control Element), or DCI) may be transmitted between multiple base stations, for example, via the X2 interface, the Xn interface, or the F1 interface. .
  • a cell provided by a base station is sometimes called a serving cell.
  • the concept of serving cell includes PCell (Primary Cell) and SCell (Secondary Cell).
  • PCell Primary Cell
  • SCell Secondary Cell
  • dual connectivity is configured in the UE (for example, the terminal device 30)
  • the PCell provided by the MN (Master Node) and zero or more SCells may be called a Master Cell Group.
  • dual connectivity include EUTRA-EUTRA Dual Connectivity, EUTRA-NR Dual Connectivity (ENDC), EUTRA-NR Dual Connectivity with 5GC, NR-EUTRA Dual Connectivity (NEDC), and NR-NR Dual Connectivity.
  • the serving cell may include a PSCell (Primary Secondary Cell or Primary SCG Cell).
  • PSCell Primary Secondary Cell or Primary SCG Cell
  • a PSCell provided by an SN (Secondary Node) and zero or more SCells may be called an SCG (Secondary Cell Group).
  • PUCCH Physical Uplink control channel
  • SCell Secondary Cell Group
  • a radio link failure Radio Link Failure
  • SCell SCell
  • One cell may be associated with one downlink component carrier and one uplink component carrier.
  • the system bandwidth corresponding to one cell may be divided into a plurality of BWPs (Bandwidth Parts).
  • one or more BWPs may be set in the UE, and one BWP may be used by the UE as an active BWP.
  • the radio resources for example, frequency band, numerology (subcarrier spacing), slot format (Slot configuration)
  • the radio resources for example, frequency band, numerology (subcarrier spacing), slot format (Slot configuration) that can be used by the terminal device 30 may differ for each cell, each component carrier, or each BWP.
  • the terminal device 30 can be rephrased as UE (User Equipment) 30 .
  • the terminal device 30 is a wireless communication device that wirelessly communicates with other communication devices such as the base station 20 .
  • the terminal device 30 is, for example, a mobile phone, a smart device (smartphone or tablet), a PDA (Personal Digital Assistant), or a personal computer.
  • the terminal device 30 may be a device such as a business-use camera equipped with a communication function, or may be a motorcycle, mobile relay vehicle, or the like equipped with a communication device such as an FPU (Field Pickup Unit).
  • the terminal device 30 may be an M2M (Machine to Machine) device or an IoT (Internet of Things) device.
  • the terminal device 30 may be capable of NOMA communication with the base station 20. Also, the terminal device 30 may be able to use an automatic retransmission technique such as HARQ when communicating with the base station 20 . The terminal device 30 may be capable of sidelink communication with another terminal device 30 . The terminal device 30 may be able to use an automatic retransmission technique such as HARQ even when performing sidelink communication. Note that the terminal device 30 may be capable of NOMA communication also in communication (side link) with another terminal device 30 . Also, the terminal device 30 may be capable of LPWA communication with other communication devices (for example, the base station 20 and other terminal devices 30). Also, the wireless communication used by the terminal device 30 may be wireless communication using millimeter waves. The wireless communication (including side link communication) used by the terminal device 30 may be wireless communication using radio waves, or wireless communication using infrared rays or visible light (optical wireless). good.
  • the terminal device 30 may be a mobile device.
  • a mobile device is a mobile wireless communication device.
  • the terminal device 30 may be a wireless communication device installed in a mobile object, or may be the mobile object itself.
  • the terminal device 30 is a vehicle that moves on roads such as automobiles, buses, trucks, and motorcycles, a vehicle that moves on rails installed on a track such as a train, or a It may be a wireless communication device.
  • the mobile object may be a mobile terminal, or a mobile object that moves on land (ground in a narrow sense), underground, on water, or in water.
  • the mobile object may be a mobile object such as a drone, a helicopter, or the like that moves in the atmosphere, or a mobile object that moves outside the atmosphere, such as an artificial satellite.
  • the terminal device 30 may communicate with multiple base stations or multiple cells at the same time. For example, when one base station supports a communication area through multiple cells (for example, pCell, sCell), carrier aggregation (CA: Carrier Aggregation) technology and dual connectivity (DC: Dual Connectivity) technology,
  • CA Carrier Aggregation
  • DC Dual Connectivity
  • the multi-connectivity (MC) technology enables the base station 20 and the terminal device 30 to communicate by bundling the plurality of cells.
  • CoMP Coordinatd Multi-Point Transmission and Reception
  • FIG. 8 is a diagram showing a configuration example of the terminal device 30 according to the embodiment of the present disclosure.
  • the terminal device 30 includes a wireless communication section 31 , a storage section 32 and a control section 33 .
  • the configuration shown in FIG. 8 is a functional configuration, and the hardware configuration may differ from this. Also, the functions of the terminal device 30 may be distributed and implemented in a plurality of physically separated configurations.
  • the wireless communication unit 31 is a signal processing unit for wirelessly communicating with other wireless communication devices (eg, the base station 20 and other terminal devices 30).
  • the radio communication section 31 operates under the control of the control section 33 .
  • the wireless communication unit 31 includes a transmission processing unit 311 , a reception processing unit 312 and an antenna 313 .
  • the configurations of the radio communication unit 31, the transmission processing unit 311, the reception processing unit 312, and the antenna 313 may be the same as those of the radio communication unit 21, the transmission processing unit 211, the reception processing unit 212, and the antenna 213 of the base station 20.
  • the wireless communication unit 31 may be configured to be capable of beam forming, similarly to the wireless communication unit 21 .
  • the radio communication unit 31 may be configured to be capable of transmitting and receiving spatially multiplexed signals.
  • the storage unit 32 is a data readable/writable storage device such as a DRAM, SRAM, flash memory, or hard disk.
  • the storage unit 32 functions as storage means of the terminal device 30 .
  • the control unit 33 is a controller that controls each unit of the terminal device 30 .
  • the control unit 33 is implemented by a processor such as a CPU or MPU, for example.
  • the control unit 33 is implemented by the processor executing various programs stored in the storage device inside the terminal device 30 using the RAM or the like as a work area.
  • the control unit 33 may be realized by an integrated circuit such as ASIC or FPGA. CPUs, MPUs, ASICs, and FPGAs can all be considered controllers.
  • the control unit 33 may be realized by a GPU in addition to or instead of the CPU.
  • the network management device 40 is an information processing device (computer) having a management function (PNAM: Private Network Association Management) for managing a plurality of private networks.
  • PNAM Private Network Association Management
  • the network management device 40 is a central management server installed by an administrator who manages a private network.
  • FIG. 9 is a diagram showing a configuration example of the network management device 40 according to the embodiment of the present disclosure.
  • the network management device 40 includes a communication section 41 , a storage section 42 and a control section 43 .
  • the configuration shown in FIG. 9 is a functional configuration, and the hardware configuration may differ from this.
  • the functions of the network management device 40 may be statically or dynamically distributed and implemented in a plurality of physically separated configurations.
  • the network management device 40 may be composed of a plurality of server devices.
  • the communication unit 41 is a communication interface for communicating with other devices.
  • the communication unit 41 may be a network interface or a device connection interface.
  • the communication unit 41 may be a LAN (Local Area Network) interface such as a NIC (Network Interface Card), or a USB interface configured by a USB (Universal Serial Bus) host controller, a USB port, etc. good too.
  • the communication unit 41 may be a wired interface or a wireless interface.
  • the communication unit 41 functions as communication means for the network management device 40 .
  • the communication unit 41 communicates with the management device 10 and the like under the control of the control unit 43 .
  • the storage unit 42 is a data readable/writable storage device such as a DRAM (Dynamic Random Access Memory), an SRAM (Static Random Access Memory), a flash memory, a hard disk, or the like.
  • the storage unit 42 functions as storage means for the network management device 40 .
  • the control unit 43 is a controller that controls each unit of the network management device 40 .
  • the control unit 43 is implemented by a processor such as a CPU (Central Processing Unit), MPU (Micro Processing Unit), or GPU (Graphics Processing Unit), for example.
  • the control unit 43 is implemented by the processor executing various programs stored in the storage device inside the network management device 40 using a RAM (Random Access Memory) or the like as a work area.
  • the control unit 43 may be realized by an integrated circuit such as ASIC (Application Specific Integrated Circuit) or FPGA (Field Programmable Gate Array).
  • ASIC Application Specific Integrated Circuit
  • FPGA Field Programmable Gate Array
  • FIG. 10 is a diagram illustrating an example of a 5G architecture.
  • the 5G core network CN is also called 5GC (5G Core)/NGC (Next Generation Core).
  • 5G core network CN is also referred to as 5GC/NGC.
  • the core network CN connects with UE (User Equipment) 30 via (R)AN 430 .
  • UE30 is the terminal device 30, for example.
  • the core network CN includes PNAM as one of network functions. may be included.
  • the PNAM may also be a network function located outside the core network CN.
  • the (R)AN 430 has a function that enables connection with a RAN (Radio Access Network) and connection with an AN (Access Network) other than the RAN.
  • the (R)AN 430 includes base stations called gNBs or ng-eNBs.
  • the core network CN mainly performs connection permission and session management when UE30 connects to the network.
  • the core network CN may be configured including user plane functional group 420 and control plane functional group 440 .
  • the user plane function group 420 includes a UPF (User Plane Function) 421 and a DN (Data Network) 422.
  • the UPF 421 has a user plane processing function.
  • the UPF 421 includes routing/forwarding functions for data handled on the user plane.
  • the DN 422 has a function of providing connection to an operator's own service, such as an MNO (Mobile Network Operator), Internet connection, or providing connection to a third party's service.
  • an operator's own service such as an MNO (Mobile Network Operator), Internet connection, or providing connection to a third party's service.
  • the user plane function group 420 plays the role of a gateway that serves as a boundary between the core network CN and the Internet.
  • the control plane function group 440 includes AMF (Access Management Function) 441, SMF (Session Management Function) 442, AUSF (Authentication Server Function) 443, NSSF (Network Slice Selection Function) 444, NEF (Network Exposure Function) 445, NRF ( Network Repository Function) 446, PCF (Policy Control Function) 447, UDM (Unified Data Management) 448, and AF (Application Function) 449.
  • AMF Access Management Function
  • SMF Session Management Function
  • AUSF Authentication Server Function
  • NSSF Network Slice Selection Function
  • NEF Network Exposure Function
  • NRF Network Repository Function
  • PCF Policy Control Function
  • UDM Unified Data Management
  • AF Application Function
  • the AMF 441 has functions such as UE 30 registration processing, connection management, and mobility management.
  • the SMF 442 has functions such as session management, UE 30 IP allocation and management.
  • AUSF 443 has an authentication function.
  • the NSSF 444 has functions related to network slice selection.
  • the NEF 445 has the ability to provide network function capabilities and events to third parties, AF 449 and edge computing functions.
  • the NRF 446 has the function of discovering network functions and holding profiles of network functions.
  • the PCF 447 has a function of policy control.
  • the UDM 448 has functions for generating 3GPP AKA authentication information and processing user IDs.
  • AF449 has the function of interacting with the core network to provide services.
  • control plane function group 440 acquires information from the UDM 448 in which the subscriber information of the UE 30 is stored, and determines whether the UE 30 may connect to the network.
  • the control plane function group 440 uses the contract information of the UE 30 and the encryption key included in the information acquired from the UDM 448 for this determination. Also, the control plane function group 440 generates a key for encryption and the like.
  • control plane function group 440 determines whether or not network connection is possible depending on whether information about the UE 30 linked to the subscriber number called IMSI (International Mobile Subscriber Identity) is stored in the UDM 448.
  • IMSI International Mobile Subscriber Identity
  • the IMSI is stored in, for example, a SIM (Subscriber Identity Module) card in the UE30.
  • Namf is a service-based interface provided by the AMF 441
  • Nsmf is a service-based interface provided by the SMF 442.
  • Nnef is a service-based interface provided by the NEF 445
  • Npcf is a service-based interface provided by the PCF 447.
  • Nudm is a service-based interface provided by UDM 448 and Naf is a service-based interface provided by AF 449 .
  • Nnrf is a service-based interface provided by NRF 446 and Nnssf is a service-based interface provided by NSSF 444 .
  • Nausf is a service-based interface provided by AUSF443.
  • Each of these NFs (Network Functions) exchanges information with other NFs via each service-based interface.
  • N1 shown in FIG. 10 is a reference point between UE 30 and AMF 441
  • N2 is a reference point between RAN/AN 430 and AMF 441.
  • N4 is a reference point between SMF 442 and UPF 421, and information is exchanged between these NFs (Network Functions).
  • the core network CN is provided with an interface for transmitting information and controlling functions via an application programming interface (API) called a service-based interface.
  • API application programming interface
  • the API specifies a resource and performs GET (resource acquisition), POST (resource creation, data addition), PUT (resource creation, resource update), DELETE (resource deletion) for the resource. etc.
  • GET resource acquisition
  • POST resource creation, data addition
  • PUT resource creation, resource update
  • DELETE resource deletion
  • the AMF 441, SMF 442, and UDM 448 shown in FIG. 10 exchange information with each other using an API when establishing a communication session.
  • applications for example, AF449
  • AF449's use of such APIs will allow AF449 to use information on the 5G cellular network, and it will be possible to further evolve the functionality of the application.
  • API (1) to API (4) described here are described in 3GPP TS23.502.
  • API (1) is an API by which the SMF 442 notifies that the UE 30 that has been registered in advance transitions from the power off state to the power on state and attaches to the network, and the IP address acquired at that time. .
  • the SMF 442 uses API (1) to notify the NF when the UE 30 of the registered IMSI acquires the IP address.
  • API (2) The UE 30 enters the Idle mode when not communicating, and transitions to the Connected mode when communicating.
  • API (2) is an API by which the AMF 441 notifies whether the UE 30 is in the Idle mode or the Connected mode.
  • API (3) is an API for broadcasting from the base station a message (paging message) for instructing the UE 30 to transition from the idle mode to the connected mode.
  • API (4) API (4) is an API by which the AMF 441 provides the location information of the UE30.
  • the AMF 441 may use API (4) to inform which Tracking Area the UE 30 is in, which Cell it belongs to, and when it enters a particular region.
  • An example of the UE 30 in FIG. 10 is the terminal device 30 of this embodiment.
  • An example of the RAN/AN 430 is the base station 20 of this embodiment.
  • the management device 10 shown in FIG. 5 is an example of a device having, for example, AF449 or AMF441 functions.
  • FIG. 11 is a diagram illustrating an example of a 4G architecture.
  • the core network CN shown in FIG. 11 does not include a management function (PNAM: Private Network Association Management) for managing a plurality of private networks
  • PNAM Private Network Association Management
  • the core network CN includes PNAM as one of network functions. may be included.
  • the PNAM may also be a network function located outside the core network CN.
  • the core network CN includes eNB 20, MME (Mobility Management Entity) 452, S-GW (Serving Gateway) 453, P-GW (Packet Data Network Gateway) 454, and HSS (Home Subscriber Server) 455. include.
  • MME Mobility Management Entity
  • S-GW Serving Gateway
  • P-GW Packet Data Network Gateway
  • HSS Home Subscriber Server
  • the eNB 20 functions as a 4G base station.
  • MME452 is a control node which handles the signal of a control plane (control plane), and manages the movement state of UE401.
  • UE401 transmits an Attach request to MME452 in order to attach to the cellular system.
  • the S-GW 453 is a control node that handles user plane signals, and is a gateway device that switches the transfer path of user data.
  • the P-GW 454 is a control node that handles user plane signals, and is a gateway device that serves as a connection point between the core network CN and the Internet.
  • HSS 455 is a control node that handles subscriber data and performs service control.
  • the MME 452 corresponds to the functions of the AMF 441 and SMF 442 in 5G networks. Also, the HSS 455 corresponds to the functions of the UDM 448 .
  • the eNB 20 is connected with the MME 452 via the S1-MME interface, and is connected with the S-GW 453 via the S1-U interface.
  • S-GW 453 is connected to MME 452 via an S11 interface
  • MME 452 is connected to HSS 455 via an S6a interface.
  • P-GW 454 is connected to S-GW 453 via S5/S8 interfaces.
  • a network management device 40 is provided to manage inter-closed network communication of a plurality of private networks connected by VPN tunnels.
  • the network management device 40 has a management function for managing inter-closed network communication of a plurality of private networks connected by VPN tunnels.
  • this management function is called PNAM (Private Network Association Management).
  • PNAM Priorvate Network Association Management
  • PNAM Upon receiving a connection request from user B to user A, PNAM asks user A whether to accept the connection request from user B.
  • FIG. When the PNAM receives a response from user B agreeing to connect with user A, it recognizes that it is necessary to connect private network A to which user A belongs and private network B to which user B belongs.
  • This consent information may be stored in advance in the PNAM database (for example, the storage unit 42 of the network management device 40) as user A's connection permission information.
  • Table 1 is a table showing an example of a database that stores information (hereinafter referred to as first connection permission information) indicating which nodes are permitted to be connected to each node. More specifically, Table 1 is a table showing a database in which information on other nodes permitted to connect with a predetermined node is recorded.
  • a node may be a UE or an AF.
  • the database contains connection permission information indicating that the node permitted to connect to UE A is UE B, and connection permission information indicating that the node permitted to connect to UE B is UE A. Permission information and are recorded.
  • PNAM makes the final decision as to whether or not to connect private network A and private network B. At this time, the PNAM may make a decision to actually connect when ten connection requests have accumulated. It may be automatic, or an administrator may judge and use a GUI to send a command to connect the two private networks.
  • FIG. 12 is a sequence diagram showing the procedure for connecting two private networks.
  • FIG. 12 shows a connection sequence between a node (UE/AF) belonging to private network A and a node (UE/AF) belonging to private network B.
  • Each of the two private networks is provided with a gateway that performs operations related to restriction of communication between closed networks based on notification from the PNAM.
  • An operation related to restriction of communication between closed networks is, for example, IP filtering.
  • the PNAM notifies the gateway of at least one of the two private networks in which inter-closed network communication is to be performed about the limitation of inter-closed network communication.
  • the UE is, for example, the terminal device 30, the gateway is, for example, the management device 10, and the PNAM is, for example, the network management device 40.
  • the procedure for connecting two private networks will be described below with reference to FIG.
  • a node (UE/AF) belonging to private network B transmits information requesting access to a node (UE/AF) belonging to private network A to a PNAM controller (for example, control unit 43 of network management device 40). do.
  • the PNAM controller acquires information of an access request from a node belonging to private network B to a node (UE/AF) belonging to private network A.
  • FIG. it is assumed that the PNAM controller has acquired information of an access request from UE B belonging to private network B to UE A belonging to private network A.
  • the PNAM controller decides whether to allow access from UE B to UE according to predetermined criteria. This process is performed, for example, by the following procedure.
  • the PNAM controller acquires the connection permission information of UE A and UE B from the PNAM database (for example, the storage unit 42 of the network management device 40).
  • the connection permission information for UE A is information that permits connection with UE B
  • the connection permission information for UE B is information that permits connection with UE A. be.
  • the PNAM controller determines whether or not to permit access from UE B to UE based on the connection permission information of UE A and UE B. In the example of Table 1, both UE A and UE B are allowed to connect to the other, so the PNAM controller decides to allow access from UE B to UE.
  • the PNAM controller notifies the gateway of at least one of the two private networks of the above decision.
  • the PNAM controller has notified both the private network A gateway and the private network B gateway of the above decision.
  • the two gateways When notified that the connection is permitted, the two gateways establish a VPN tunnel between private network A and private network B. Each of the two gateways performs operations related to restriction of communication between closed networks, such as IP filtering.
  • PNAM holds connection permission information between users (nodes) in the database.
  • the PNAM may hold connection permission information between private networks in a database. In this case, even if the access requests of UE A and UE B are valid, they cannot connect to the prohibited private network.
  • Table 2 is a table showing an example of a database that stores information indicating which private network connection is permitted for each private network (hereinafter referred to as second connection permission information). More specifically, Table 2 is a table showing a database in which information about a predetermined private network and other private networks permitted to be connected is recorded.
  • private network A and private network B are connectable, but others are not connectable. That is, in the example of Table 2, private network A and private network C cannot be connected, and private network A and private network D cannot be connected. Also, private network B and private network C cannot be connected, and private network B and private network D cannot be connected. Private network C and private network D also cannot be connected.
  • the PNAM may use both the first connection permission information and the second connection permission information to determine whether to allow access from a node belonging to private network B to a node belonging to private network A. good.
  • the PNAM may hold, in a database, combination information of a node permitted to be connected to a predetermined node and a closed network.
  • Table 3 is a table showing an example of a database storing information (hereinafter referred to as third connection permission information) indicating which nodes of which private networks are permitted to be connected to each node. .
  • the database contains connection permission information indicating that the node permitted to connect to UE A is UE B of private network B, and the node permitted to connect to UE B is private network A.
  • connection permission information to the effect that it is UE A of The PNAM may use both of the third connection authorization information to make a decision whether to allow access from node B belonging to private network B to node A belonging to private network A.
  • PNAM makes a determination of disconnection when communication between nodes communicating across a private network ceases for a while.
  • FIG. 13 is a sequence diagram showing procedures for connecting and disconnecting two private networks. After the private networks A and B are connected, the PNAM controller cuts off the connection between the private networks A and B when a predetermined condition is satisfied.
  • Fig. 13 shows the procedure for realizing the cutting method (3) among the above three methods.
  • the first half part shows a procedure similar to the connection procedure shown in FIG.
  • the second part shows the procedure for disconnecting the two private networks based on a request from a node (UE/AF) of private network B.
  • the cutting procedure will be described below with reference to the sequence diagram of FIG. Note that the first half is the same as the connection procedure shown in FIG. 12, so the description is omitted.
  • the PNAM controller Upon receiving a request from a node (UE/AF) of private network B to disconnect private network A from UE A, the PNAM controller determines whether to disconnect private network A and private network B make a decision. For example, if the PNAM controller has received communication end notifications from all nodes communicating between private network A and private network B, it determines to disconnect. When the PNAM controller determines to cut the connection, it performs processing for cutting the connection between the private network A and the private network B.
  • the PNAM controller notifies the gateway of at least one of the two private networks of the above judgment.
  • the PNAM controller notifies both the private network A gateway and the private network B gateway of the above determination.
  • the two gateways tear down the VPN tunnel between private network A and private network B when they are notified that the connection will be dropped.
  • the PNAM controller cuts off the connection between private network A and private network B when receiving the end notification of all communications across private network A and private network B.
  • the PNAM controller may cut off the connection between private networks A and B after a certain period of time after there is no communication across private networks A and B.
  • the PNAM controller connects private networks A and B regardless of whether or not there is communication across private networks A and B. You can cut it.
  • Embodiment 1 a plurality of private networks are communicatively connected for users who wish to communicate.
  • Embodiment 2 provides a mechanism that allows only authorized users to transmit packets to other private networks even after connection. This further reduces security threats.
  • I will add an explanation about the ability to send packets to other private networks.
  • the return packet is allowed to enter the closed network. For example, if a UE within a private network accesses a website on the Internet outside the private network, the returned IP packets carrying content (e.g., web pages) will be returned to the private network even from outside the private network. can enter the network.
  • content e.g., web pages
  • the problem is with packets that try to enter the closed network directly from the outside, other than the return packets. Sending a packet from private network B to private network A, even though it is not a return packet, poses a security threat to private network A. Therefore, it is necessary to have a mechanism for judging whether an incoming packet is a packet that can be entered.
  • MAC address filtering and IP filtering are provided as means for solving such problems.
  • the MAC address can be rewritten with a device-specific ID. Therefore, MAC address filtering is a weak security measure. On the other hand, it is difficult to rewrite the source IP address. This is because even if a packet is transmitted with a disguised source IP address, routers along the way will clearly know that the disguised source IP address is not appropriate. Therefore, IP filtering has conventionally been widely used as a security countermeasure.
  • IP filtering is a function that discards IP packets other than the preset source IP address (Source IP Address) at the entrance of the private network. Such a function is set in the security GW at the entrance of the closed network. The point of this embodiment is how to set this IP filtering when a plurality of private networks are communicably connected.
  • IP address of the user's UE changes frequently. For example, when the UE detaches/attaches to the network, it is assigned a new IP address by the core network. If the core network is a 5G core, SMNF (Session Management Network Function) assigns a new IP address to the UE. If the core network is 4G core, the PGW assigns the UE a new IP address.
  • SMNF Session Management Network Function
  • the UE detaches/attaches is assumed, for example, to use WiFi from 5G and return to 5G again. If the UE is an IoT device, in order to save the battery of the IoT device, the UE may detach from the network once and attach again when necessary.
  • filtering should be performed by the UE-specific IP address.
  • IP address of the UE changes frequently, it is difficult to filter by the UE-specific IP address.
  • IP filtering is possible to perform IP filtering in a wide range of IP addresses to some extent, there are cases where the IP address is assigned to a user who is not desired to enter. Therefore, IP filtering with a wide range of IP addresses remains a security threat.
  • a plurality of IP address pools are assigned to the private network of this embodiment.
  • the multiple IP address pools include at least one IP address pool for communication between closed networks.
  • the gateway of the private network Based on the notification from the PNAM, the gateway of the private network performs IP filtering for each IP address assigning unit (that is, for each IP address range associated with the IP address pool).
  • the private network has multiple UPFs (User Plane Functions) with different IP address pools.
  • Some of the plurality of UPFs (hereinafter referred to as first UPF) are UPFs prepared for communication between closed networks by nodes (for example, UE) using the first UPF. be.
  • Another UPF (hereinafter referred to as a second UPF) among the plurality of UPFs is a UPF prepared for communication within a closed network by a node using the second UPF.
  • the PNAM instructs the gateway of the private network to perform IP filtering based on the IP address range information associated with the IP address pool used for communication between closed networks (that is, the IP address pool set in the first UPF). Notice.
  • the gateway of the private network implements IP filtering for each unit of assigning IP addresses (that is, each UPF) based on the notification from PNAM.
  • FIG. 14 is a diagram for explaining the solution of the second embodiment.
  • the P-GW takes one IP address from a pool of IP addresses and assigns an IP address to the UE.
  • the S-GW 453 and P-GW 454 shown in FIG. 11 are the user plane (User-Plane), and the MME 452 is the control plane (Control-Plane).
  • the set of S-GW and P-GW is called UPF (User Plane Function).
  • the UPF User Plane Function
  • a private network has multiple UPFs.
  • the private network has UPF1, UPF2 and UPF3.
  • the processing power of the UPFs can be scaled.
  • a small number of UEs may be assigned to a particular UPF and a large number of users may be assigned to other UPFs. This enables the UPF to which a small number of users are assigned to provide high-quality communications.
  • Different IP address pools are set for the plurality of UPFs.
  • the address ranges associated with the IP address pools set for each UPF are as follows.
  • UPF1 192.168.0.1-192.168.0.100
  • UPF2 192.168.0.101-192.168.0.200
  • UPF3 192.168.0.201-192.168.0.300
  • UPF1 assigns 192.168.0.1 to the UE. After that, when another UE attaches to UPF1, UPF1 gives 192.168.0.2 to that UE. In this way, the UPF sequentially extracts IP addresses from the IP address pool and assigns them to UEs. A UE's IP address may change, but the change remains within the range of pre-pooled IP addresses of the UPF to which it belongs.
  • the other private networks can be IP-filtered with IP addresses within the address range of UPF1.
  • UEs belonging to UPF2 or UPF3 will be rejected by the IP filters of other private networks because their IP addresses are not allowed by the IP filters.
  • FIG. 15 is a diagram showing an example of the operation of the communication system 1 according to the second embodiment.
  • private network A and private network B are connected by secure communication (for example, VPN tunnel).
  • Private network A and private network B each have multiple UPFs (UPF1 to UPF3).
  • private network A has three UPFs, UPF1 to UPF3. Each of the three UPFs is assigned an IP address pool with a different IP address range.
  • the allocation of IP address pools to the three UPFs of private network A is, for example, as follows.
  • UPF1 192.168.0.1-192.168.0.100
  • UPF2 192.168.0.101-192.168.0.200
  • UPF3 192.168.0.201-192.168.0.300
  • private network B Like private network A, private network B also has three UPFs UPF1 to UPF3. Each of the three UPFs is assigned an IP address pool with a different IP address range. The allocation of IP address pools to the three UPFs of private network B is, for example, as follows. UPF1: 192.168.1.1-192.168.1.100 UPF2: 192.168.1.101-192.168.1.200 UPF3: 192.168.1.201-192.168.1.300
  • IP address ranges of the IP address pools differ between the UPF of private network A and the UPF of private network B, even if the UPF number is the same. This is because the private IP addresses assigned to the two private networks must be different in order to connect the two closed networks operating with the private IP addresses.
  • UE A belongs to private network A
  • UE B belongs to private network B
  • UE A is assigned to private network B's UPF1
  • UE B is assigned to private network B's UPF1.
  • private network A and private network B have security GWs (Security Gateways).
  • the security GW has an IP filtering function.
  • a security gateway (GW) checks whether the source IP address of a packet arriving from private network B is within a range permitted to flow in advance. Specifically, the security GW of private network A determines that the source IP address of packets arriving from private network B is in the range of IP addresses in the IP address pool assigned to UPF1 of private network B (192.168.1.1- 192.168.1.100). The security GW accepts the IP packet if it is within range, and discards the IP packet if it is out of range.
  • IP filter it is preferable to set the IP filter on the security GW statically in advance rather than setting it frequently.
  • two private networks each have multiple UPFs. Packets sent from each UPF reach the security GW on the opposite side through the VPN tunnel. Either security GW may implement an IP filter, but the communication path itself exists.
  • FIG. 15 shows how a packet from private network B travels to private network A and is IP-filtered by the security GW on the private network A side. In the example of FIG. 15, only packets from UPF1 of private network B are allowed to enter private network A. In the example of FIG.
  • FIG. 16 is a diagram showing another example of the operation of the communication system 1 of the second embodiment.
  • a packet from private network B is shown at the security GW on the private network B side.
  • only packets from private network B's UPF1 are allowed to travel from private network B toward private network A.
  • FIG. 16 is a diagram showing another example of the operation of the communication system 1 of the second embodiment.
  • FIG. 17 is a diagram showing another example of the operation of the communication system 1 of the second embodiment.
  • FIG. 17 shows how a packet going out to the Internet goes out to an external network through the IGW.
  • a certain private network A node may communicate not only with a private network B node, but also with a private network node different from the private network B.
  • FIG. 18 is a diagram showing another example of the operation of the communication system 1 of the second embodiment.
  • private network A is connected not only to private network B but also to private network C via secure communication (for example, VPN tunnel).
  • private network C also has three UPFs UPF1 to UPF3. Each of the three UPFs is assigned an IP address pool with a different IP address range.
  • the allocation of IP address pools to the three UPFs of private network C is, for example, as follows. UPF1: 192.168.2.1-192.168.2.100 UPF2: 192.168.2.101-192.168.2.200 UPF3: 192.168.2.201-192.168.2.300
  • IP address range of the IP address pool assigned to the UPF of private network C is different from the IP address range of the IP address pools assigned to the UPFs of private networks A and B.
  • the private network A node can communicate not only with the private network B node but also with the private network C node.
  • a node (e.g., UE) of private network A that communicates with a node (UE/AF) of private network C is assigned to UPF2, which is different from UPF1 prepared for communication with nodes of private network B.
  • UPF2 which is different from UPF1 prepared for communication with nodes of private network B.
  • a node of private network C eg, UE
  • the security GW of private network A multiple IP filter conditions for private network B and private network C will be set in the security GW of private network A.
  • the source IP address of packets arriving from private network B is in the IP address range (192.168.1.1-192.168.1.100) of the IP address pool assigned to UPF1 of private network B.
  • the security GW of private network A determines that the source IP address of packets arriving from private network C is in the range of IP addresses in the IP address pool allocated to UPF 2 of private network C (192.168.2.101-192.168.2.200 ).
  • the security GW accepts the IP packet if it is within these ranges, and discards the IP packet if it is outside these ranges.
  • the private network has multiple UPFs. Multiple UPFs are associated with different IP address pools, respectively. Multiple UPFs are used in different use cases. It has the special role of handling traffic that connects parts of multiple UPFs and other private networks. The IP address pool assigned to that special role UPF is used for the IP filter.
  • the use case itself of connecting to other private networks can also be captured in the form of network slices. For example, prepare a network slice that connects to other private networks. Then, some UPFs of the plurality of UPFs are given a special role of handling communication using the network slice.
  • the purpose of the PNAM of Embodiment 1 is to allow private network A and private network B to be connected only when absolutely necessary.
  • the purpose of the PNAM of the second embodiment is to enable communication between nodes that are really desired to be permitted to communicate within the connected private network.
  • the IP address range linked to the IP address pool assigned to UPF is set in the security GW. It may be the PNAM that manages this setting, but another management function may manage this setting.
  • the management device 10 of each private network may work together to realize the function as a PNAM.
  • the PNAM of the second embodiment may have the functions of the PNAM of the first embodiment.
  • IP filtering can be effectively performed even if the IP address of the permitted UE is changed. This reduces security threats.
  • solution 2 In solution 1 of embodiment 2, the security GW was configured to filter the source IP address. However, in this case, it is possible to transmit a packet from the UPF to which the permitted UE belongs to the UPF to which communication is not permitted. For example, using FIG. 17, UE B belonging to UPF1 of private network B sends packets not only to the node assigned to UPF1 of private network A, but also to the nodes assigned to UPF2 and 3 of private network A. can be sent. Therefore, the method of Solution 1 may remain a security threat.
  • PNAM uses an IP address range linked to the IP address pool set for the source UPF (Source IP Address) so that IP packet communication can only be performed from the permitted UPF to the permitted UPF and information on the IP address range linked to the IP address pool set in the destination UPF (Destination IP Address) to notify the security GW to perform IP filtering. For example, if packet transmission from a UPF1 node in private network B to a UPF1 node in private network A is permitted, the PNAM uses an IP address associated with the IP address pool set for UPF1 in private network A.
  • IP filtering based on the information of the range (192.168.0.1-192.168.0.100) and the information of the IP address range (192.168.1.1-192.168.1.100) linked to the IP address pool set to UPF1 of private network B to the security GW of private network A (or the security GW of private network B).
  • the security GW filters both the source IP address and the destination IP address based on the information from the PNAM.
  • the security GW of private network A (or the security GW of private network B) uses the IP address range (192.168.1.1-192.168. 1.100), and check whether the destination IP address is within the IP address range (192.168.0.1-192.168.0.100) associated with the IP address pool set for UPF1 of private network A. do.
  • IP packets related to communication from the node linked to UPF1 of private network B to the node linked to UPF1 of private network A can enter private network A.
  • the security GW of the private network on the sending side may check the source and destination IP addresses.
  • PNAM does not use the IP address range information associated with the IP address pool set in the source UPF (Source IP Address), but is associated with the IP address pool set in the destination UPF (Destination IP Address).
  • the security GW may be notified to do IP filtering based on the IP address range information.
  • the security GW may then filter the destination IP address based on information from the PNAM. Even with such a configuration, security threats can be reduced.
  • Solution 3> ⁇ 5-2.
  • the solution shown in Solution 2> is also applicable to 5G.
  • FIG. 19 is a diagram showing another example of the operation of the communication system 1 of the second embodiment.
  • a network function called UPF is provided instead of SGW and PGW.
  • the role of assigning IP addresses is performed by a control plane network function called SMF (Session Management Function) instead of the PGW.
  • SMF Session Management Function
  • SMF Session Management Function
  • the SMF can also assign different IP address ranges to each UPF. Therefore, it is the same as solution 1 and solution 2 that IP filtering should be performed for each IP address range assigned to UPF.
  • IP Filtering may be performed.
  • Nodes that perform inter-closed network communication are not limited to UEs. At least one node that performs inter-closed network communication may be an AF (Application Function).
  • FIG. 20 is a diagram showing another example of the operation of the communication system 1 of the second embodiment. It is also possible to arrange the AF in the private network as shown in FIG.
  • FIG. 20 shows how AF in private network A communicates with UE B in private network B.
  • UE B whose IP address may change frequently.
  • AF may make it desirable to implement IP filtering.
  • IP addresses are assigned to AFs not by SMF but by the cloud system, so IP address assignment is determined within the cloud so as to assign different IP address pools.
  • the range of IP addresses to be assigned to AFs that can communicate with the outside can be determined. This will be different from the UE's IP address pool.
  • the IP address for internal AF is blocked with an IP filter. This is because the AF is used for communication within one private network.
  • the allocation of IP address pools to multiple nodes (UE/AF) of private network A is for example as follows.
  • an internal AF is an AF that communicates with nodes inside a private network
  • an external AF is an AF that communicates with nodes of other private networks.
  • UPF1 192.168.0.1-192.168.0.100
  • UPF2 192.168.0.101-192.168.0.200
  • UPF3 192.168.0.201-192.168.0.300
  • IP address pools to multiple nodes (UE/AF) in private network B is, for example, as follows.
  • an internal AF is an AF that communicates with nodes inside a private network
  • an external AF is an AF that communicates with nodes of other private networks.
  • UPF1 192.168.1.1-192.168.1.100
  • UPF2 192.168.1.101-192.168.1.200
  • UPF3 192.168.1.201-192.168.1.300
  • PNAM for example, notifies the security GW to perform IP filtering using both the SMF-assigned IP address pool and the cloud-assigned IP address pool.
  • the Security GW performs IP filtering using both the SMF-assigned IP address pool and the cloud-assigned IP address pool.
  • multiple 4G/5G private networks connected via VPN tunnels were exemplified as “multiple non-public cellular closed networks connected by secure communication”.
  • the "plurality of non-public cellular closed networks connected by secure communication” is not limited to this, and may be, for example, “plurality of 4G/5G private networks configured for encrypted communication”.
  • a control device that controls the management device 10, the base station 20, the terminal device 30, and the network management device 40 of this embodiment may be realized by a dedicated computer system or by a general-purpose computer system.
  • a communication program for executing the above operations is distributed by storing it in a computer-readable recording medium such as an optical disk, semiconductor memory, magnetic tape, or flexible disk.
  • the control device is configured by installing the program in a computer and executing the above-described processing.
  • the control device may be a device (for example, a personal computer) external to the management device 10, the base station 20, and the terminal device 30.
  • the control device may be a device inside the management device 10, the base station 20, the terminal device 30, or the network management device 40 (for example, the control unit 13, the control unit 23, the control unit 33, the control unit 43).
  • the above communication program may be stored in a disk device provided in a server device on a network such as the Internet, so that it can be downloaded to a computer.
  • the functions described above may be realized through cooperation between an OS (Operating System) and application software.
  • the parts other than the OS may be stored in a medium and distributed, or the parts other than the OS may be stored in a server device so that they can be downloaded to a computer.
  • each component of each device illustrated is functionally conceptual and does not necessarily need to be physically configured as illustrated.
  • the specific form of distribution and integration of each device is not limited to the illustrated one, and all or part of them can be functionally or physically distributed and integrated in arbitrary units according to various loads and usage conditions. Can be integrated and configured. Note that this distribution/integration configuration may be performed dynamically.
  • the present embodiment can be applied to any configuration that constitutes a device or system, such as a processor as a system LSI (Large Scale Integration), a module using a plurality of processors, a unit using a plurality of modules, etc. Furthermore, it can also be implemented as a set or the like (that is, a configuration of a part of the device) to which other functions are added.
  • a processor as a system LSI (Large Scale Integration)
  • module using a plurality of processors a unit using a plurality of modules, etc.
  • it can also be implemented as a set or the like (that is, a configuration of a part of the device) to which other functions are added.
  • the system means a set of a plurality of components (devices, modules (parts), etc.), and it does not matter whether all the components are in the same housing. Therefore, a plurality of devices housed in separate housings and connected via a network, and a single device housing a plurality of modules in one housing, are both systems. .
  • this embodiment can take a configuration of cloud computing in which one function is shared by a plurality of devices via a network and processed jointly.
  • the information processing device for example, the network management device 40 of this embodiment has a management function (PNAM) that manages inter-closed network communication of a plurality of private networks connected by VPN tunnels.
  • PNAM management function
  • Each of the plurality of private networks is provided with a gateway that performs operations related to restriction of inter-closed network communication based on notification from the management function.
  • the management function notifies the gateway of at least one of the two private networks in which inter-closed network communication is performed about the limitation of inter-closed network communication.
  • the management function of the network management device 40 from a node belonging to one of the two private networks (eg, UE or AF) to a node belonging to the other private network (eg, UE or AF),
  • the access request information includes, for example, the IP address of the source node.
  • the management function then notifies the gateway of at least one of the two private networks of this decision.
  • the gateway operates so that only nodes to which access is permitted can communicate between closed networks. For example, the gateway performs IP filtering so that IP packets with the IP address of the node that sent them are allowed to enter the private network. As a result, unnecessary connections can be reduced, thereby reducing security threats.
  • the plurality of IP address pools includes at least one IP address pool used for communication between closed networks.
  • the management function of the network management device 40 notifies the gateway to perform IP filtering based on the information on the IP address range associated with the IP address pool used for communication between closed networks.
  • the gateway Based on the notification from the management function, the gateway performs IP filtering so that only IP packets within a predetermined IP address range can enter the private network.
  • IP filtering functions as long as the IP address is within the predetermined address range. As a result, security threats can be reduced.
  • the information processing device further accesses the second node from the first node based on second connection permission information in which information of a closed network permitted to be connected to a predetermined closed network is recorded. make a decision whether to allow The information processing method according to (3) above.
  • the information processing apparatus based on third connection permission information in which information on combinations of nodes permitted to be connected to a predetermined node and a closed network is recorded, connects the first node to the second node. make decisions about whether to grant access to The information processing method according to (3) above.
  • (6) After the one closed network and the other closed network are connected, disconnecting the connection between the one closed network and the other closed network when a predetermined condition is satisfied; The information processing method according to any one of (2) to (5) above.
  • the node is UE (User Equipment) or AF (Application Function), The information processing method according to any one of (2) to (9) above.
  • the gateway is configured to perform IP filtering based on a notification from the information processing device, A plurality of IP address pools including an IP address pool used for communication between closed networks are assigned to the non-public cellular closed network, The information processing device notifies the gateway to perform the IP filtering based on information on an IP address range associated with an IP address pool used for communication between the closed networks.
  • the non-public cellular closed network has a plurality of UPFs (User Plane Functions) each having a different IP address pool, The information processing method according to (11) above.
  • UPFs among the plurality of UPFs are UPFs prepared for communication between closed networks by nodes using the some UPFs
  • Another UPF among the plurality of UPFs is a UPF prepared for communication within a closed network by a node using the other UPF, The information processing method according to (12) above.
  • the node is UE (User Equipment), The information processing method according to (13) above.
  • the gateway is configured to filter source IP addresses; The information processing device notifies the gateway to perform the IP filtering based on the information of the IP address range associated with the IP address pool set in the source UPF.
  • the information processing method according to any one of (12) to (14) above.
  • the gateway configured to filter destination IP addresses; The information processing device notifies the gateway to perform the IP filtering based on the information of the IP address range associated with the IP address pool set in the destination UPF.
  • the gateway is configured to filter both source and destination IP addresses; The information processing device performs the IP notifying said gateway to perform filtering; The information processing method according to any one of (12) to (14) above.
  • the non-public cellular closed network has an AF (Application Function),
  • the plurality of IP address pools includes an IP address pool prepared for the AF, The information processing method according to any one of (11) to (17) above.
  • An information processing device having a management function for managing communication between closed networks of a plurality of non-public cellular closed networks connected by secure communication, Each of the plurality of non-public cellular closed networks is provided with a gateway that performs an operation related to restriction of communication between the closed networks based on the notification from the management function,
  • the management function includes: Notifying the gateway of at least one closed network of two non-public cellular closed networks in which the inter-closed network communication is performed about the restriction of the inter-closed network communication; Information processing equipment.
  • An information processing system comprising: an information processing device for managing closed network communication of a plurality of non-public cellular closed networks connected by secure communication; and a gateway arranged in each of the plurality of non-public cellular closed networks.
  • the information processing device notifies the gateway of at least one of the two non-public cellular closed networks in which the inter-closed network communication is performed regarding the limitation of the inter-closed network communication,
  • the gateway performs an operation related to restriction of communication between the closed networks based on the notification from the information processing device.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

情報処理方法は、セキュアーな通信で接続された複数の非公衆セルラー閉域網の閉域網間通信を管理する情報処理装置により実行される情報処理方法であって、前記複数の非公衆セルラー閉域網には、それぞれ、前記情報処理装置からの通知に基づき前記閉域網間通信の制限に関する動作を行うゲートウェイが配置されており、前記情報処理装置は、前記閉域網間通信が行われる2つの非公衆セルラー閉域網のうちの少なくとも一方の閉域網の前記ゲートウェイに対して、前記閉域網間通信の制限に関する通知を行う。

Description

情報処理方法、情報処理装置、及び情報処理システム
 本開示は、情報処理方法、情報処理装置、及び情報処理システムに関する。
 近年、セルラー方式の無線通信を使ったプライベートネットワークが注目されている。プライベートネットワーク内の通信装置は、そのプライベートネットワーク内の他の通信装置のみならず、そのプライベートネットワークの外にある通信装置(例えば、他のプライベートネットワーク内の通信装置)とも通信可能である。
特開2021-052346号公報
 しかしながら、異なるプライベートネットワーク間で通信を行う場合、通信装置は、パブリックネットワークを介して相手側の通信装置と通信を行うことになる。そのため、異なるプライベートネットワーク間での通信を、セキュリティの強度を保ったまま行うことは困難である。
 そこで、本開示では、高いセキュリティ強度のプライベートネットワーク間通信を実現しうる情報処理方法、情報処理装置、及び情報処理システムを提案する。
 なお、上記課題又は目的は、本明細書に開示される複数の実施形態が解決し得、又は達成し得る複数の課題又は目的の1つに過ぎない。
 上記の課題を解決するために、本開示に係る一形態の情報処理方法は、セキュアーな通信で接続された複数の非公衆セルラー閉域網の閉域網間通信を管理する情報処理装置により実行される情報処理方法であって、前記複数の非公衆セルラー閉域網には、それぞれ、前記情報処理装置からの通知に基づき前記閉域網間通信の制限に関する動作を行うゲートウェイが配置されており、前記情報処理装置は、前記閉域網間通信が行われる2つの非公衆セルラー閉域網のうちの少なくとも一方の閉域網の前記ゲートウェイに対して、前記閉域網間通信の制限に関する通知を行う。
プライベートネットワークの一例を示す図である。 相手先の4G/5Gプライベートネットワークが1つの場合の通信システムを示す図である。 相手先の4G/5Gプライベートネットワークが複数いる場合の通信システムを示す図である。 本実施形態の解決手段の概要を示す図である。 本開示の実施形態に係る通信システムの構成例を示す図である。 本開示の実施形態に係る管理装置の構成例を示す図である。 本開示の実施形態に係る基地局の構成例を示す図である。 本開示の実施形態に係る端末装置の構成例を示す図である。 本開示の実施形態に係るネットワーク管理装置の構成例を示す図である。 5Gのアーキテクチャの一例を示す図である。 4Gのアーキテクチャの一例を示す図である。 2つのプライベートネットワークの接続手順を示すシーケンス図である。 2つのプライベートネットワークの接続及び切断の手順を示すシーケンス図である。 実施形態2の解決手段を説明するための図である。 実施形態2の通信システム1の動作の一例を示す図である。 実施形態2の通信システム1の動作の他の例を示す図である。 実施形態2の通信システム1の動作の他の例を示す図である。 実施形態2の通信システム1の動作の他の例を示す図である。 実施形態2の通信システム1の動作の他の例を示す図である。 実施形態2の通信システム1の動作の他の例を示す図である。
 以下に、本開示の実施形態について図面に基づいて詳細に説明する。なお、以下の各実施形態において、同一の部位には同一の符号を付することにより重複する説明を省略する。
 また、本明細書及び図面において、実質的に同一の機能構成を有する複数の構成要素を、同一の符号の後に異なる数字を付して区別する場合もある。例えば、実質的に同一の機能構成を有する複数の構成を、必要に応じて端末装置30、30、及び30のように区別する。ただし、実質的に同一の機能構成を有する複数の構成要素の各々を特に区別する必要がない場合、同一符号のみを付する。例えば、端末装置30、30、及び30を特に区別する必要が無い場合には、単に端末装置30と称する。
 以下に説明される1又は複数の実施形態(実施例、変形例を含む)は、各々が独立に実施されることが可能である。一方で、以下に説明される複数の実施形態は少なくとも一部が他の実施形態の少なくとも一部と適宜組み合わせて実施されてもよい。これら複数の実施形態は、互いに異なる新規な特徴を含み得る。したがって、これら複数の実施形態は、互いに異なる目的又は課題を解決することに寄与し得、互いに異なる効果を奏し得る。
 なお、説明は以下の順序で行うものとする。
 また、以下に示す項目順序に従って本開示を説明する。
  1.概要
   1-1.ローカル5G/プライベート5G
   1-2.プライベートネットワークの特徴
   1-3.複数のプライベートネットワークの連携
   1-4.本実施形態の課題と解決手段の概要
  2.通信システムの構成
   2-1.通信システムの全体構成
   2-2.管理装置の構成
   2-3.基地局の構成
   2-4.端末装置の構成
   2-5.ネットワーク管理装置の構成
  3.ネットワークアーキテクチャ
   3-1.5Gのネットワークアーキテクチャの構成例
   3-2.4Gのネットワークアーキテクチャの構成例
  4.実施形態1
   4-1.課題
   4-2.解決手段1
   4-3.解決手段2
  5.実施形態2
   5-1.課題
   5-2.解決手段1
   5-3.解決手段2
   5-4.解決手段3
   5-5.解決手段4
  6.変形例
  7.むすび
<<1.概要>>
 近年、ローカル5G(Local 5G)やプライベート5G(Private 5G)等のプライベートネットワークが注目されている。プライベートネットワークは、非公衆ネットワーク(Non Public Network)とも呼ばれる。
<1-1.ローカル5G/プライベート5G>
 ローカル5G及びプライベート5Gは、工場やオフィス、スタジオ、病院内、大学内など、限られたエリアで行われるセルラー通信のサービスである。サービスの提供をローカルなエリアに限定することにより、カスタマイズされたセルラーサービスを提供できるといったメリットがある。なお、本実施形態では、プライベート5G及びローカル5Gのことを、4G/5Gプライベートネットワーク(4G/5G Private network)、或いは、4G/5Gバーチャルプライベートネットワーク(4G/5G Virtual Private network)と呼ぶことがある。なお、プライベートネットワークは、4G/5Gプライベートネットワークに限定されない。以下の説明では、プライベートネットワークのことを、非公衆セルラー閉域網、或いは、単に閉域網と呼ぶことがある。
 多くのユースケースでセキュリティが重要視される。例えば、工場の場合には、工場の生産ラインなど、秘匿性が高い技術を扱う場合である。病院などでも、患者のプライバシーに関する個人情報を扱うことが多いので秘匿性が大きいユースケースである。大学やオフィスでも、個人情報を扱うことが多く、それらの個人情報に関わる通信は、秘匿性が高いものが求められる。
<1-2.プライベートネットワークの特徴>
 本実施形態の概要を説明する前に、プライベートネットワークの特徴を示す。図1はプライベートネットワークの一例を示す図である。
 (1)閉域網(Closed network)の性質
 プライベートネットワークでは、閉域網の中で、LANとクラウドを接続する。閉域網は、例えばVPN(Virtual Private network)である。閉域網の中では、LANに配置された基地局と、クラウドに配置されたコアネットワークが、パブリックIPアドレス(Public IP Address)を使用することなく、プライベートIPアドレス(Private IP Address)を使用して接続している。閉域網の中だけで、通信をしている場合には、外からの盗聴などに強い。閉域網の外からのアクセスを一切遮断する設定もできるし、閉域網の中から外へパケットを送り、そのレスポンスだけを閉域網の中に入れるということも可能である。通常は、閉域網の外からトリガーをかけて、閉域網の中の装置や端末装置にアクセスすることはできないので、閉域網の秘匿性は高いといえる。
 プライベートIPアドレスとグローバルIPアドレスの変換が必要ないので、UDP(User Datagram Protocol)通信を容易に使用できる。変換が必要な場合には、通常は、TCP(Transmission Control Protocol)が使われるため、UDP通信を使いやすいという特徴は、UDP通信を使用するアプリケーションにとって魅力的である。UDPを使うと遅延が少ないなどのメリットがある。
 (2)端末装置に付与されるIPアドレスについて
 端末装置がネットワークにアッタチした時に、コアネットワークから端末装置にIPアドレスが付与される。通常は、プライベートIPアドレスが付与される。パブリックネットワーク(Public Network)の場合には、端末装置に直接、パブリックIPアドレスを付与する場合もあるが、非公衆ネットワーク(Non Public Network)である4G/5Gプライベートネットワークでは、通常は、端末装置に、プライベートIPアドレスを付与する。したがって、閉域網から外へ出ていくときには、NAT変換(Network Address Translation)によりプライベートIPアドレスがパブリックIPアドレスに変換されてる。
 端末装置にどのようなIPアドレスを付与したかは、コアネットワーからその情報を取得することが可能である。5Gでは、端末装置のIPアドレスを取得する、SBI(Service Based Interface)と呼ばれるAPI(Application Program Interface)が用意されている。4Gであっても、端末装置毎のIPアドレスを格納している加入者ファイルにアクセスすることで、5Gと同様に端末装置のIPアドレスを取得することが可能である。
 閉域網の中では、端末装置のIPアドレスを保持することによって、AF(Application Function)側から直接、端末装置にIPパケットを送信すること(すなわち、network initiated message push)が可能になる。
<1-3.複数のプライベートネットワークの連携>
 本実施形態では、異なるプライベートネットワーク間での通信を考える。例えば、複数の4G/5Gプライベートネットワークをインターネット越しに接続する場合を考える。この場合、一度、公衆のインターネットへパケットが出ていくので、セキュリティ上の脅威が大きくなる。端末装置のIPアドレスを相手側に直接伝えるのもセキュリティ上、望ましくない。また、インターネットへ出るときに一度、プライベートIPアドレスからパブリックIPアドレスに変換されるため、NAT(Network Address Translation)越えの問題が起きる。したがって、UDPの直接通信は困難である。
 なお、通常のセルラーでは、端末装置に、セルラー網の外から、IPアドレスを指定してパケットを送った場合に、パケットが直接届く場合と届かない場合がある。潤沢にグローバルIPアドレスを通信事業者が保有している場合に限られるが、端末装置に直接グローバルIPアドレスを振ってしまえば、外から直接、そのグローバルIPアドレスにパケットを送ること自体は可能である。しかしながら、これはセキュリティのポリシーしだいだといえる。直接パケットを送ることができると、外から望まないトラフィックが流入する危険があるため、そのようなパケットを許さない場合がほとんどである。つまり、セキュリティの脅威が大きいので、その対策をすると、逆に自由度が下がる場合もある。端末装置のIPアドレスを相手側に直接伝えるのもセキュリティ上、望ましくない。セルラーの場合には、セルラー網のコストが4G/5Gプライベートネットワークよりも高いという課題もある。したがって、4G/5Gプライベートネットワークを複数用意して、それらを直接VPNトンネルで接続することが、今後重要になってくる。
 そこで、以下、異なるプライベートネットワークをVPNトンネルで接続する場合を考える。
 図2は、相手先の4G/5Gプライベートネットワークが1つの場合の通信システムを示す図である。図2の例では、2つの4G/5Gプライベートネットワークを、直接、VPNのトンネリングで接続している。閉域網同士を接続しているので、その中では、プライベートIPアドレスでパケットを相手側の端末装置やクライアントアプリケーションに送ることができる。
 図3は、相手先の4G/5Gプライベートネットワークが複数いる場合の通信システムを示す図である。相手先が複数いる場合は、図3に示すように、その複数の相手先とそれぞれVPNトンネルを設定する。スター型で接続するのは、その中心のスイッチに障害があった場合の影響が大きいので望ましくない。1:1のペアリングの場合には、情報の拡散先は、相手側だけになるのでセキュリティ上でも、このトポロジーが望ましい。
 なお、複数の4G/5Gプライベートネットワークをセキュアーな通信で接続する方法は、VPN(Virtual Private Network)トンネルを使用する方法に限られない。複数の4G/5Gプライベートネットワークをセキュアーな通信で接続する方法としては、例えば、専用線でつなぐ方法が想起される。
 ここで、複数の4G/5Gプライベートネットワークが連携したネットワークのユースケースを考える。ユースケースとしては、以下が想起される。
(1)IoT(Internet of Things)
 4G/5Gプライベートネットワークの配下にIoT機器を配置し、それらのIoT機器を情報処理装置で制御し、それらのIoT機器から情報を吸い出したいという要求がある。この場合に、一つの4G/5Gプライベートネットワークの中のIoT機器を制御し、情報を取得するのみでは、IoTセンサーの数に限りがあるため、IoTシステムとしての規模が足りないという問題がある。したがって、複数のプライベートネットワークを連携させて、それらの情報を収集したいという要求がある。この場合、通信をしたいIoT機器の場所があらかじめ既知である場合が多い。TCPコネクションは、IoT機器にとって消費電力の負担が大きい傾向があるので、UDPで通信したいという要求がある。
(2)ゲーム
 ネットワークゲームを行う時に、相手が、異なる4G/5Gプライベートネットワークに属している場合が想起され得る。この場合、通信をしたい相手は、ゲームのサーバが決定した相手なので、どの相手と通信するかは、直前までわからない場合が多い。この場合、遅延の制約から、TCPよりもUDPで通信したい場合が多いと考えられる。
(3)遠隔監視
 遠隔に置いたカメラからの映像を、監視したい場合があるだろう。VRなどの映像の場合には、大容量でかつ、低遅延が求められるだろう。それらの監視映像が非常に重要な情報である場合に、4G/5Gプライベートネットワーク間で通信できることは、セキュリティの観点で望ましい。
(4)その他
 複数のプライベートネットワークは、異なる事業者のものである場合もある。複数のプライベートネットワークのネットワーク管理は一事業者が行うことが望ましいが、そのプライベートネットワークを使用している顧客は異なる。例えば、日本の風力を測定できるIoTセンサーを使って測定している顧客Aと、IoTセンサーを使って欧州の風力を測定している顧客Bとがいるとする。そして、顧客Aの端末装置はプライベートネットワークAに接続しており、顧客Bの端末装置はプライベートネットワークBに接続しているとする。このとき、事業者Cが、プライベートネットワークCの接続する端末装置を使って、顧客A、Bそれぞれの端末装置から情報を収集しなければならないとする。この場合、事業者Cは、プライベートネットワークAとBを連結させたくなると考えられる。
<1-4.本実施形態の課題と解決手段の概要>
 以上を踏まえ、本実施形態の課題と解決手段の概要を述べる。
<1-4-1.閉域網内での悪意のユーザからの攻撃>
 複数のプライベートネットワークを連携させない場合(すなわち、プライベートネットワークを1つだけで使用する場合)、セキュリティ上の脅威が少ない場合が多い。ネットワークに接続するユーザが、当該プライベートネットワークを使用するユーザに限定されるからである。
 一方、複数のプライベートネットワークを連携させた場合、セキュリティ上の脅威が大きくなる場合が多い。あるプライベートネットワークAを使用するユーザにとって、他のプライベートネットワークBにいるユーザは、必ずしも安全なユーザであると限らないからである。プライベートネットワークを連携させた場合、あるプライベートネットワークにいるユーザが、他のプライベートネットワークにいるUE(User Equipment)/AF(Application Function)/NF(Network Function)に対して大量のIPパケットを送信したり、他のユーザになりすましたり、盗聴したり、といった攻撃を行う可能性を排除できない。
 セキュリティ上の脅威を減らすためには、許可されたユーザからのIPパケットのみプライベートネットワークの内部に入れるようにする必要がある。すなわち、プライベートネットワークAとプライベートネットワークBが接続されたとしても、プライベートネットワークBにいる不許可ユーザのIPパケットが、プライベートネットワークAの内部へ侵入できないようにする必要がある。
<1-4-2.MACフィルタリングとIPフィルタリング>
 許可されたユーザのIPパケットのみネットワークの内部に入れるようにする方法の1つとして、MACフィルタリングがある。MACフィルタリングは、ネットワークの入り口にあるゲートウェイが、許可されたMACアドレスを持つパケットに乗っているIPパケットのみ当該ネットワークへの進入を許可する方法である。しかし、MACアドレスは任意の値に書き換え可能なので、MACフィルタリングは、セキュリティ対策として十分ではない。
 許可されたユーザのIPパケットのみネットワークの内部に入れるようにする他の方法としてIPフィルタリングがある。IPフィルタリングは、ネットワークの入り口にあるゲートウェイが、指定されたIPアドレス範囲のIPアドレスを送信元IPアドレス(Source IP Address)として持っているIPパケットのみ当該ネットワークへの進入を許可する方法である。このIPフィルタリングは、セキュリティ対策としてMACフィルタリングより優れた方法であるといえる。送信元IPアドレスを偽装してパケットを送信しても、途中のルータで、偽装した送信元IPアドレスが適切なものでないことが明確にわかってしまうので、IPアドレスの偽装が現実的にできないからである。
 IPフィルタリングを使用した場合、許可されていないIPアドレスを持ったIPパケットはネットワークの内部に入ることができない。通常は、送信元IPアドレスでIPフィルタを行うが、宛先IPアドレス(Destination IP Address)でIPフィルタすることも可能である。ネットワークの外から入ってくるインバウンドのIPフィルタが重要であるが、ネットワークの中から外へ出ていくアウトバウンドのIPフィルタを行うことも可能である。本実施形態では、インバウンドのIPフィルタを重視して説明しているが、本実施形態は、アウトバウンドのIPフィルタにも適用可能である。
<1-4-3.IPフィルタリングの課題>
 4G/5Gプライベートネットワークでは、UEに割り当てたIPアドレスが変更になる場合がある。例えば、UEがネットワークからデタッチ(detach)して、再度、アタッチ(attach)した時には、当該UEには別のIPアドレスが割り当てられる。プライベートネットワークBの特定のUE(UE Bという。)のパケットだけを、プライベートネットワークAの中に入ることを許可したくても、UE BのIPアドレスは、プライベートネットワークBに割り当てられているIPアドレス範囲中のいずれかのIPアドレスに変更される可能性があるので、単純にIPフィルタリングを採用しただけでは、当該目的は達成できない。
 プライベートネットワークBに割り当てられているIPアドレス範囲の全てIPアドレスをプライベートネットワークAに進入きるIPアドレスとすることも考えられる。しかし、これは、プライベートネットワークBの全てのUEのパケットが入ってくることを許可したのと同じことであるので、危険なUEの攻撃を受けてしまう可能性が排除できない。プライベートネットワークにIPフィルタリングを適用する場合、IPフィルタのターゲットとなるUEのIPアドレスが変更される可能性を考慮しなければならない。
 また、プライベートネットワークBには、UEだけではなく、AF(Application Function)も存在している。このAFのIPアドレスは、クラウドシステムがサブネットワークの中に配置されたAFに対して、サブネットワークに対応して自動で割り当てる。許可するAFと許可できないAFのIPアドレスをどのようにIPフィルタリングするかも課題である。
<1-4-4.解決手段の概要>
 図4は、本実施形態の解決手段の概要を示す図である。本実施形態では、複数のプライベートネットワークと接続されたネットワーク管理装置を公衆ネットワーク上に配置する。ネットワーク管理装置は、これら複数のプライベートネットワークを管理する管理機能(PNAM:Private Network Association Management)を備える。複数のプライベートネットワークは、セキュアーな通信(例えば、VPNトンネル)で接続されており、それぞれ、管理機能からの通知に基づき閉域網間通信の制限に関する動作を行うゲートウェイが配置されている。ここで閉域網間通信とは、自身が属するプライベートネットワークを超えて他のプライベートネットワークのノードと通信するプライベートネットワーク間の通信のことである。ネットワーク管理装置の管理機能は、閉域網間通信が行われる2つのプライベートネットワークのうちの少なくとも一方のプライベートネットワークのゲートウェイに対して、閉域網間通信の制限に関する通知を行う。
 例えば、ネットワーク管理装置の管理機能は、2つのプライベートネットワークうちの一方のプライベートネットワークに属するノード(例えば、UE又はAF)から、他方のプライベートネットワークに属するノード(例えば、UE又はAF)への、アクセスの依頼の情報を取得した場合に、所定の基準に従いアクセスを許可するか否かの決定を行う。アクセスの依頼の情報には、送信元のノードのIPアドレスが含まれていてもよい。そして、管理機能は2つのプライベートネットワークの少なくとも一方のプライベートネットワークのゲートウェイに対して、この決定を通知する。ゲートウェイは、アクセスが許可されたノードのみ閉域網間通信を行えるよう動作する。例えば、ゲートウェイは、送信元のノードのIPアドレスを有するIPパケットがプライベートネットワークに進入できるようIPフィルタリングを行う。アクセス依頼の都度、アクセスを許可するか否かの決定を行うことにより、不要な接続を減らすことができる。結果として、セキュリティ上の脅威を減らすことができる。
 なお、プライベートネットワークには、複数のIPアドレスプールが割り当てられていてもよい。例えば、プライベートネットワークには、それぞれ異なるIPアドレスプールが設定された複数のUPF(User Plane Function)が配置されていてもよい。このとき、複数のIPアドレスプールには、閉域網間通信に使用されるIPアドレスプールが少なくとも1つ含まれていてもよい。そして、ネットワーク管理装置の管理機能は、閉域網間通信に使用されるIPアドレスプールに紐づくIPアドレス範囲(以下、所定のIPアドレス範囲という。)の情報に基づいてIPフィルタリングを行うようゲートウェイに通知してもよい。ゲートウェイは、管理機能からの通知に基づき所定のIPアドレス範囲のIPパケットのみプライベートネットワークに進入できるようIPフィルタリングを行う。これにより、閉域網間通信が許可されたノードのIPアドレスが他のIPアドレスに変更になったとしても、そのIPアドレスが所定のアドレス範囲にあるのであれば、IPフィルタリングは機能する。そのため、少ないシグナリングでセキュリティ上の脅威を低下させることができる。
<<2.通信システムの構成>>
 以上、本実施形態の概要を説明したが、本実施形態を詳細に説明する前、本実施形態の情報処理装置を備える通信システム1の構成を説明する。なお、通信システムは、情報処理システムと言い換えることが可能である。
<2-1.通信システムの全体構成>
 図5は、本開示の実施形態に係る通信システム1の構成例を示す図である。通信システム1は、複数のプライベートネットワークPNを備える。プライベートネットワークPNは、例えば、4G、5G等のセルラー方式の無線通信を使ったプライベートネットワークである。複数のプライベートネットワークPNは、ネットワークNを介して接続されている。なお、図5の例では、ネットワークNが1つしか示されていないが、ネットワークNは複数存在していてもよい。
 ここで、ネットワークNは、例えば、インターネット等のパブリックネットワークである。なお、ネットワークNは、インターネットに限られず、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、セルラーネットワーク、固定電話網、地域IP(Internet Protocol)網であってもよい。ネットワークNには、有線ネットワークが含まれていてもよいし、無線ネットワークが含まれていてもよい。
 複数のプライベートネットワークPNそれぞれには、管理装置10と、基地局20と、端末装置30と、が配置されている。また、複数のプライベートネットワークPNは、ネットワークNを介してネットワーク管理装置40を接続されている。通信システム1は、通信システム1を構成する各無線通信装置が連携して動作することで、ユーザに対し、移動通信が可能な無線ネットワークを提供する。本実施形態の無線ネットワークは、例えば、無線アクセスネットワークとコアネットワークとで構成される。なお、本実施形態において、無線通信装置は、無線通信の機能を有する装置のことであり、図5の例では、基地局20、及び端末装置30が該当する。
 通信システム1は、管理装置10、基地局20、端末装置30、及びネットワーク管理装置40をそれぞれ複数備えていてもよい。図5の例では、通信システム1は、管理装置10として管理装置10、10等を備えており、基地局20として基地局20、20等を備えている。また、通信システム1は、端末装置30として端末装置30、30、30等を備えている。
 なお、図中の装置は、論理的な意味での装置と考えてもよい。つまり、同図の装置の一部が仮想マシン(VM:Virtual Machine)、コンテナ(Container)、ドッカー(Docker)などで実現され、それらが物理的に同一のハードウェア上で実装されてもよい。
 なお、通信システム1は、LTE(Long Term Evolution)、NR(New Radio)等の無線アクセス技術(RAT:Radio Access Technology)に対応していてもよい。LTE及びNRは、セルラー通信技術の一種であり、基地局がカバーするエリアをセル状に複数配置することで端末装置の移動通信を可能にする。なお、通信システム1が使用する無線アクセス方式は、LTE、NRに限定されず、W-CDMA(Wideband Code Division Multiple Access)、cdma2000(Code Division Multiple Access 2000)等の他の無線アクセス方式であってもよい。
 また、通信システム1を構成する基地局又は中継局は、地上局であってもよいし、非地上局であってもよい。非地上局は、衛星局であってもよいし、航空機局であってもよい。非地上局が衛星局なのであれば、通信システム1は、Bent-pipe(Transparent)型の移動衛星通信システムであってもよい。
 なお、本実施形態において、地上局(地上基地局ともいう。)とは、地上に設置される基地局(中継局を含む。)のことをいう。ここで、「地上」は、陸上のみならず、地中、水上、水中も含む広義の地上である。なお、以下の説明において、「地上局」の記載は、「ゲートウェイ」に置き換えてもよい。
 なお、LTEの基地局は、eNodeB(Evolved Node B)又はeNBと称されることがある。また、NRの基地局は、gNodeB又はgNBと称されることがある。また、LTE及びNRでは、端末装置(移動局、又は端末ともいう。)はUE(User Equipment)と称されることがある。なお、端末装置は、通信装置の一種であり、移動局、又は端末とも称される。
 本実施形態において、通信装置という概念には、携帯端末等の持ち運び可能な移動体装置(端末装置)のみならず、構造物や移動体に設置される装置も含まれる。構造物や移動体そのものを通信装置とみなしてもよい。また、通信装置という概念には、端末装置のみならず、基地局及び中継局も含まれる。通信装置は、処理装置及び情報処理装置の一種である。また、通信装置は、送信装置又は受信装置と言い換えることが可能である。
 以下、通信システム1を構成する各装置の構成を具体的に説明する。なお、以下に示す各装置の構成はあくまで一例である。各装置の構成は、以下に示す構成とは異なっていてもよい。
<2-2.管理装置の構成>
 次に、管理装置10の構成を説明する。
 管理装置10は、無線ネットワークを管理する情報処理装置(コンピュータ)である。例えば、管理装置10は基地局20の通信を管理する情報処理装置である。管理装置10は、例えば、MME(Mobility Management Entity)としての機能を有する装置であっても良い。管理装置10は、AMF(Access and Mobility Management Function)及び/又はSMF(Session Management Function)としての機能を有する装置であっても良い。勿論、管理装置10が有する機能は、MME、AMF、及びSMFに限られない。管理装置10は、NSSF(Network Slice Selection Function)、AUSF(Authentication Server Function)、PCF(Policy Control Function)、UDM(Unified Data Management)としての機能を有する装置であってもよい。また、管理装置10は、HSS(Home Subscriber Server)としての機能を有する装置であってもよい。また、管理装置10は、ネットワーク管理装置40が備える管理機能(PNAM:Private Network Association Management)を備え、ネットワーク管理装置40として機能してもよい。
 なお、管理装置10はゲートウェイの機能を有していてもよい。例えば、管理装置10は、S-GW(Serving Gateway)やP-GW(Packet Data Network Gateway)としての機能を有していてもよい。また、管理装置10は、UPF(User Plane Function)の機能を有していてもよい。このとき、管理装置10は、複数のUPFを有していてもよい。また、管理装置10は、PNAM(Private Network Association Management)の機能を有していてもよい。
 コアネットワークは、複数のネットワーク機能(Network Function)から構成され、各ネットワーク機能は、1つの物理的な装置に集約されてもよいし、複数の物理的な装置に分散されてもよい。つまり、管理装置10は、複数の装置に分散配置され得る。さらに、この分散配置は動的に実行されるように制御されてもよい。基地局20、及び管理装置10は、1つネットワークを構成し、端末装置30に無線通信サービスを提供する。管理装置10はインターネットと接続され、端末装置30は、基地局20を介して、インターネット介して提供される各種サービスを利用することができる。
 なお、管理装置10は必ずしもコアネットワークを構成する装置でなくてもよい。例えば、コアネットワークがW-CDMA(Wideband Code Division Multiple Access)やcdma2000(Code Division Multiple Access 2000)のコアネットワークであるとする。このとき、管理装置10はRNC(Radio Network Controller)として機能する装置であってもよい。
 図6は、本開示の実施形態に係る管理装置10の構成例を示す図である。管理装置10は、通信部11と、記憶部12と、制御部13と、を備える。なお、図6に示した構成は機能的な構成であり、ハードウェア構成はこれとは異なっていてもよい。また、管理装置10の機能は、複数の物理的に分離された構成に静的、或いは、動的に分散して実装されてもよい。例えば、管理装置10は、複数のサーバ装置により構成されていてもよい。
 通信部11は、他の装置と通信するための通信インタフェースである。通信部11は、ネットワークインタフェースであってもよいし、機器接続インタフェースであってもよい。例えば、通信部11は、NIC(Network Interface Card)等のLAN(Local Area Network)インタフェースであってもよいし、USB(Universal Serial Bus)ホストコントローラ、USBポート等により構成されるUSBインタフェースであってもよい。また、通信部11は、有線インタフェースであってもよいし、無線インタフェースであってもよい。通信部11は、管理装置10の通信手段として機能する。通信部11は、制御部13の制御に従って基地局20等と通信する。
 記憶部12は、DRAM(Dynamic Random Access Memory)、SRAM(Static Random Access Memory)、フラッシュメモリ、ハードディスク等のデータ読み書き可能な記憶装置である。記憶部12は、管理装置10の記憶手段として機能する。記憶部12は、例えば、端末装置30の接続状態を記憶する。例えば、記憶部12は、端末装置30のRRC(Radio Resource Control)の状態やECM(EPS Connection Management)、或いは、5G System CM(Connection Management)の状態を記憶する。記憶部12は、端末装置30の位置情報を記憶するホームメモリとして機能してもよい。
 制御部13は、管理装置10の各部を制御するコントローラ(controller)である。制御部13は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)等のプロセッサにより実現される。例えば、制御部13は、管理装置10内部の記憶装置に記憶されている各種プログラムを、プロセッサがRAM(Random Access Memory)等を作業領域として実行することにより実現される。なお、制御部13は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現されてもよい。CPU、MPU、GPU、ASIC、及びFPGAは何れもコントローラとみなすことができる。
<2-3.基地局の構成>
 次に、基地局20の構成を説明する。
 基地局20は、端末装置30と無線通信する無線通信装置である。基地局20は、端末装置30と、中継局を介して無線通信するよう構成されていてもよいし、端末装置30と、直接、無線通信するよう構成されていてもよい。
 基地局20は通信装置の一種である。より具体的には、基地局20は、無線基地局(Base Station、Node B、eNB、gNB、など)或いは無線アクセスポイント(Access Point)に相当する装置である。基地局20は、無線リレー局であってもよい。また、基地局20は、RRH(Remote Radio Head)、或いはRU(Radio Unit)と呼ばれる光張り出し装置であってもよい。また、基地局20は、FPU(Field Pickup Unit)等の受信局であってもよい。また、基地局20は、無線アクセス回線と無線バックホール回線を時分割多重、周波数分割多重、或いは、空間分割多重で提供するIAB(Integrated Access and Backhaul)ドナーノード、或いは、IABリレーノードであってもよい。
 なお、基地局20が使用する無線アクセス技術は、セルラー通信技術であってもよいし、無線LAN技術であってもよい。勿論、基地局20が使用する無線アクセス技術は、これらに限定されず、他の無線アクセス技術であってもよい。例えば、基地局20が使用する無線アクセス技術は、LPWA(Low Power Wide Area)通信技術であってもよい。勿論、基地局20が使用する無線通信は、ミリ波を使った無線通信であってもよい。また、基地局20が使用する無線通信は、電波を使った無線通信であってもよいし、赤外線や可視光を使った無線通信(光無線)であってもよい。また、基地局20は、端末装置30とNOMA(Non-Orthogonal Multiple Access)通信が可能であってもよい。ここで、NOMA通信は、非直交リソースを使った通信(送信、受信、或いはその双方)のことである。なお、基地局20は、他の基地局20とNOMA通信可能であってもよい。
 なお、基地局20は、基地局-コアネットワーク間インタフェース(例えば、NG Interface 、S1 Interface等)を介してお互いに通信可能であってもよい。このインタフェースは、有線及び無線のいずれであってもよい。また、基地局は、基地局間インタフェース(例えば、Xn Interface、X2 Interface、S1 Interface、F1 Interface等)を介して互いに通信可能であってもよい。このインタフェースは、有線及び無線のいずれであってもよい。
 なお、基地局という概念には、ドナー基地局のみならず、リレー基地局(中継局ともいう。)も含まれる。例えば、リレー基地局は、RF Repeater、Smart Repeater、Intelligent Surfaceのうち、いずれか1つであってもよい。また、基地局という概念には、基地局の機能を備えた構造物(Structure)のみならず、構造物に設置される装置も含まれる。
 構造物は、例えば、高層ビル、家屋、鉄塔、駅施設、空港施設、港湾施設、オフィスビル、校舎、病院、工場、商業施設、スタジアム等の建物である。なお、構造物という概念には、建物のみならず、トンネル、橋梁、ダム、塀、鉄柱等の構築物(Non-building structure)や、クレーン、門、風車等の設備も含まれる。また、構造物という概念には、陸上(狭義の地上)又は地中の構造物のみならず、桟橋、メガフロート等の水上の構造物や、海洋観測設備等の水中の構造物も含まれる。基地局は、情報処理装置と言い換えることができる。
 基地局20は、ドナー局であってもよいし、リレー局(中継局)であってもよい。また、基地局20は、固定局であってもよいし、移動局であってもよい。移動局は、移動可能に構成された無線通信装置(例えば、基地局)である。このとき、基地局20は、移動体に設置される装置であってもよいし、移動体そのものであってもよい。例えば、移動能力(Mobility)をもつリレー局は、移動局としての基地局20とみなすことができる。また、車両、ドローンに代表されるUAV(Unmanned Aerial Vehicle)、スマートフォンなど、もともと移動能力がある装置であって、基地局の機能(少なくとも基地局の機能の一部)を搭載した装置も、移動局としての基地局20に該当する。
 ここで、移動体は、スマートフォンや携帯電話等のモバイル端末であってもよい。また、移動体は、陸上(狭義の地上)を移動する移動体(例えば、自動車、自転車、バス、トラック、自動二輪車、列車、リニアモーターカー等の車両)であってもよいし、地中(例えば、トンネル内)を移動する移動体(例えば、地下鉄)であってもよい。また、移動体は、水上を移動する移動体(例えば、旅客船、貨物船、ホバークラフト等の船舶)であってもよいし、水中を移動する移動体(例えば、潜水艇、潜水艦、無人潜水機等の潜水船)であってもよい。なお、移動体は、大気圏内を移動する移動体(例えば、飛行機、飛行船、ドローン等の航空機)であってもよい。
 また、基地局20は、地上に設置される地上基地局(地上局)であってもよい。例えば、基地局20は、地上の構造物に配置される基地局であってもよいし、地上を移動する移動体に設置される基地局であってもよい。より具体的には、基地局20は、ビル等の構造物に設置されたアンテナ及びそのアンテナに接続する信号処理装置であってもよい。勿論、基地局20は、構造物や移動体そのものであってもよい。「地上」は、陸上(狭義の地上)のみならず、地中、水上、水中も含む広義の地上である。なお、基地局20は、地上基地局に限られない。例えば、通信システム1を衛星通信システムとする場合、基地局20は、航空機局であってもよい。衛星局から見れば、地球に位置する航空機局は地上局である。
 なお、基地局20は、地上局に限られない。基地局20は、空中又は宇宙を浮遊可能な非地上基地局(非地上局)であってもよい。例えば、基地局20は、航空機局や衛星局であってもよい。
 衛星局は、大気圏外を浮遊可能な衛星局である。衛星局は、人工衛星等の宇宙移動体に搭載される装置であってもよいし、宇宙移動体そのものであってもよい。宇宙移動体は、大気圏外を移動する移動体である。宇宙移動体としては、人工衛星、宇宙船、宇宙ステーション、探査機等の人工天体が挙げられる。なお、衛星局となる衛星は、低軌道(LEO:Low Earth Orbiting)衛星、中軌道(MEO:Medium Earth Orbiting)衛星、静止(GEO:Geostationary Earth Orbiting)衛星、高楕円軌道(HEO:Highly Elliptical Orbiting)衛星の何れであってもよい。勿論、衛星局は、低軌道衛星、中軌道衛星、静止衛星、又は高楕円軌道衛星に搭載される装置であってもよい。
 航空機局は、航空機等、大気圏内を浮遊可能な無線通信装置である。航空機局は、航空機等に搭載される装置であってもよいし、航空機そのものであってもよい。なお、航空機という概念には、飛行機、グライダー等の重航空機のみならず、気球、飛行船等の軽航空機も含まれる。また、航空機という概念には、重航空機や軽航空機のみならず、ヘリコプターやオートジャイロ等の回転翼機も含まれる。なお、航空機局(又は、航空機局が搭載される航空機)は、ドローン等の無人航空機であってもよい。
 なお、無人航空機という概念には、無人航空システム(UAS:Unmanned Aircraft Systems)、つなぎ無人航空システム(tethered UAS)も含まれる。また、無人航空機という概念には、軽無人航空システム(LTA:Lighter than Air UAS)、重無人航空システム(HTA:Heavier than Air UAS)が含まれる。その他、無人航空機という概念には、高高度無人航空システムプラットフォーム(HAPs:High Altitude UAS Platforms)も含まれる。
 基地局20のカバレッジの大きさは、マクロセルのような大きなものから、ピコセルのような小さなものであってもよい。勿論、基地局20のカバレッジの大きさは、フェムトセルのような極めて小さなものであってもよい。また、基地局20はビームフォーミングの能力を有していてもよい。この場合、基地局20はビームごとにセルやサービスエリアが形成されてもよい。
 図7は、本開示の実施形態に係る基地局20の構成例を示す図である。基地局20は、無線通信部21と、記憶部22と、制御部23と、を備える。なお、図7に示した構成は機能的な構成であり、ハードウェア構成はこれとは異なっていてもよい。また、基地局20の機能は、複数の物理的に分離された構成に分散して実装されてもよい。
 無線通信部21は、他の無線通信装置(例えば、端末装置30)と無線通信するための信号処理部である。無線通信部21は、制御部23の制御に従って動作する。無線通信部21は1又は複数の無線アクセス方式に対応する。例えば、無線通信部21は、NR及びLTEの双方に対応する。無線通信部21は、NRやLTEに加えて、W-CDMAやcdma2000に対応していてもよい。また、無線通信部21は、HARQ(Hybrid Automatic Repeat reQuest)等の自動再送技術に対応していてもよい。
 無線通信部21は、送信処理部211、受信処理部212、アンテナ213を備える。無線通信部21は、送信処理部211、受信処理部212、及びアンテナ213をそれぞれ複数備えていてもよい。なお、無線通信部21が複数の無線アクセス方式に対応する場合、無線通信部21の各部は、無線アクセス方式毎に個別に構成されうる。例えば、送信処理部211及び受信処理部212は、LTEとNRとで個別に構成されてもよい。また、アンテナ213は複数のアンテナ素子(例えば、複数のパッチアンテナ)で構成されていてもよい。この場合、無線通信部21は、ビームフォーミング可能に構成されていてもよい。無線通信部21は、垂直偏波(V偏波)と水平偏波(H偏波)とを使用した偏波ビームフォーミング可能に構成されていてもよい。
 送信処理部211は、下りリンク制御情報及び下りリンクデータの送信処理を行う。例えば、送信処理部211は、制御部23から入力された下りリンク制御情報及び下りリンクデータを、ブロック符号化、畳み込み符号化、ターボ符号化等の符号化方式を用いて符号化を行う。ここで、符号化は、ポーラ符号(Polar Code)による符号化、LDPC符号(Low Density Parity Check Code)による符号化を行ってもよい。そして、送信処理部211は、符号化ビットをBPSK、QPSK、16QAM、64QAM、256QAM等の所定の変調方式で変調する。この場合、コンステレーション上の信号点は必ずしも等距離である必要はない。コンステレーションは、不均一コンステレーション(NUC:Non Uniform Constellation)であってもよい。そして、送信処理部211は、各チャネルの変調シンボルと下りリンク参照信号とを多重化し、所定のリソースエレメントに配置する。そして、送信処理部211は、多重化した信号に対して、各種信号処理を行う。例えば、送信処理部211は、高速フーリエ変換による周波数領域への変換、ガードインターバル(サイクリックプレフィックス)の付加、ベースバンドのデジタル信号の生成、アナログ信号への変換、直交変調、アップコンバート、余分な周波数成分の除去、電力の増幅等の処理を行う。送信処理部211で生成された信号は、アンテナ213から送信される。
 受信処理部212は、アンテナ213を介して受信された上りリンク信号の処理を行う。例えば、受信処理部212は、上りリンク信号に対して、ダウンコンバート、不要な周波数成分の除去、増幅レベルの制御、直交復調、デジタル信号への変換、ガードインターバル(サイクリックプレフィックス)の除去、高速フーリエ変換による周波数領域信号の抽出等を行う。そして、受信処理部212は、これらの処理が行われた信号から、PUSCH(Physical Uplink Shared Channel)、PUCCH(Physical Uplink Control Channel)等の上りリンクチャネル及び上りリンク参照信号を分離する。また、受信処理部212は、上りリンクチャネルの変調シンボルに対して、BPSK(Binary Phase Shift Keying)、QPSK(Quadrature Phase Shift Keying)等の変調方式を使って受信信号の復調を行う。復調に使用される変調方式は、16QAM(Quadrature Amplitude Modulation)、64QAM、又は256QAMであってもよい。この場合、コンステレーション上の信号点は必ずしも等距離である必要はない。コンステレーションは、不均一コンステレーション(NUC)であってもよい。そして、受信処理部212は、復調された上りリンクチャネルの符号化ビットに対して、復号処理を行う。復号された上りリンクデータ及び上りリンク制御情報は制御部23へ出力される。
 アンテナ213は、電流と電波を相互に変換するアンテナ装置(アンテナ部)である。アンテナ213は、1つのアンテナ素子(例えば、1つのパッチアンテナ)で構成されていてもよいし、複数のアンテナ素子(例えば、複数のパッチアンテナ)で構成されていてもよい。アンテナ213が複数のアンテナ素子で構成される場合、無線通信部21は、ビームフォーミング可能に構成されていてもよい。例えば、無線通信部21は、複数のアンテナ素子を使って無線信号の指向性を制御することで、指向性ビームを生成するよう構成されていてもよい。なお、アンテナ213は、デュアル偏波アンテナであってもよい。アンテナ213がデュアル偏波アンテナの場合、無線通信部21は、無線信号の送信にあたり、垂直偏波(V偏波)と水平偏波(H偏波)とを使用してもよい。そして、無線通信部21は、垂直偏波と水平偏波とを使って送信される無線信号の指向性を制御してもよい。また、無線通信部21は、複数のアンテナ素子で構成される複数のレイヤを介して空間多重された信号を送受信してもよい。
 記憶部22は、DRAM、SRAM、フラッシュメモリ、ハードディスク等のデータ読み書き可能な記憶装置である。記憶部22は、基地局20の記憶手段として機能する。
 制御部23は、基地局20の各部を制御するコントローラ(controller)である。制御部23は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等のプロセッサにより実現される。例えば、制御部23は、基地局20内部の記憶装置に記憶されている各種プログラムを、プロセッサがRAM(Random Access Memory)等を作業領域として実行することにより実現される。なお、制御部23は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現されてもよい。CPU、MPU、ASIC、及びFPGAは何れもコントローラとみなすことができる。また、制御部23は、CPUに加えて、或いは代えて、GPU(Graphics Processing Unit)により実現されてもよい。
 いくつかの実施形態において、基地局という概念は、複数の物理的又は論理的装置の集合で構成されていてもよい。例えば、本実施形態において基地局は、BBU(Baseband Unit)及びRU(Radio Unit)等の複数の装置に区別されてもよい。そして、基地局は、これら複数の装置の集合体として解釈されてもよい。また、基地局は、BBU及びRUのうちいずれかであってもよいし、両方であってもよい。BBUとRUは、所定のインタフェース(例えば、eCPRI(enhanced Common Public Radio Interface))で接続されていてもよい。なお、RUはRRU(Remote Radio Unit)又はRD(Radio DoT)と言い換えてもよい。また、RUは後述するgNB-DU(gNB Distributed Unit)に対応していてもよい。さらにBBUは、後述するgNB-CU(gNB Central Unit)に対応していてもよい。またはこれに代えて、RUは、後述するgNB-DUに接続された無線装置であってもよい。gNB-CU、gNB-DU、及びgNB-DUに接続されたRUはO-RAN(Open Radio Access Network)に準拠するよう構成されていてもよい。さらに、RUはアンテナと一体的に形成された装置であってもよい。基地局が有するアンテナ(例えば、RUと一体的に形成されたアンテナ)はAdvanced Antenna Systemを採用し、MIMO(例えば、FD-MIMO)やビームフォーミングをサポートしていてもよい。また、基地局が有するアンテナは、例えば、64個の送信用アンテナポート及び64個の受信用アンテナポートを備えていてもよい。
 また、RUに搭載されるアンテナは、1つ以上のアンテナ素子から構成されるアンテナパネルであってもよく、RUは、1つ以上のアンテナパネルを搭載してもよい。例えば、RUは、水平偏波のアンテナパネルと垂直偏波のアンテナパネルの2種類のアンテナパネル、或いは、右旋円偏波のアンテナパネルと左旋円偏波のアンテナパネルの2種類のアンテナパネルを搭載してもよい。また、RUは、アンテナパネル毎に独立したビームを形成し、制御してもよい。
 なお、基地局は、複数が互いに接続されていてもよい。1又は複数の基地局は無線アクセスネットワーク(RAN:Radio Access Network)に含まれていてもよい。この場合、基地局は単にRAN、RANノード、AN(Access Network)、ANノードと称されることがある。なお、LTEにおけるRANはEUTRAN(Enhanced Universal Terrestrial RAN)と呼ばれることがある。また、NRにおけるRANはNGRANと呼ばれることがある。また、W-CDMA(UMTS)におけるRANはUTRANと呼ばれることがある。
 なお、LTEの基地局は、eNodeB(Evolved Node B)又はeNBと称されることがある。このとき、EUTRANは1又は複数のeNodeB(eNB)を含む。また、NRの基地局は、gNodeB又はgNBと称されることがある。このとき、NGRANは1又は複数のgNBを含む。EUTRANは、LTEの通信システム(EPS)におけるコアネットワーク(EPC)に接続されたgNB(en-gNB)を含んでいてもよい。同様にNGRANは5G通信システム(5GS)におけるコアネットワーク5GCに接続されたng-eNBを含んでいてもよい。
 なお、基地局がeNB、gNBなどである場合、基地局は、3GPPアクセス(3GPP Access)と称されることがある。また、基地局が無線アクセスポイント(Access Point)である場合、基地局は、非3GPPアクセス(Non-3GPP Access)と称されることがある。さらに、基地局は、RRH(Remote Radio Head)、或いはRU(Radio Unit)と呼ばれる光張り出し装置であってもよい。また、基地局がgNBである場合、基地局は、前述したgNB-CUとgNB-DUとを組み合わせたものであってもよいし、gNB-CUとgNB-DUとのうちのいずれかであってもよい。
 ここで、gNB-CUは、UEとの通信のために、アクセス層(Access Stratum)のうち、複数の上位レイヤ(例えば、RRC(Radio Resource Control)、SDAP(Service Data Adaptation Protocol)、PDCP(Packet Data Convergence Protocol)をホストする。一方、gNB-DUは、アクセス層(Access Stratum)のうち、複数の下位レイヤ(例えば、RLC(Radio Link Control)、MAC(Medium Access Control)、PHY(Physical layer))をホストする。すなわち、後述されるメッセージ/情報のうち、RRCシグナリング(準静的な通知)はgNB-CUで生成され、一方でMAC CEやDCI(動的な通知)はgNB-DUで生成されてもよい。又は、RRCコンフィギュレーション(準静的な通知)のうち、例えばIE:cellGroupConfigなどの一部のコンフィギュレーション(configuration)についてはgNB-DUで生成され、残りのコンフィギュレーションはgNB-CUで生成されてもよい。これらのコンフィギュレーションは、後述されるF1インタフェースで送受信されてもよい。
 なお、基地局は、他の基地局と通信可能に構成されていてもよい。例えば、複数の基地局がeNB同士又はeNBとen-gNBの組み合わせである場合、当該基地局間はX2インタフェースで接続されてもよい。また、複数の基地局がgNB同士又はgn-eNBとgNBの組み合わせである場合、当該装置間はXnインタフェースで接続されてもよい。また、複数の基地局がgNB-CUとgNB-DUの組み合わせである場合、当該装置間は前述したF1インタフェースで接続されてもよい。後述されるメッセージ/情報(例えば、RRCシグナリング、MAC CE(MAC Control Element)、又はDCI)は、複数基地局間で、例えばX2インタフェース、Xnインタフェース、又はF1インタフェースを介して、送信されてもよい。
 基地局により提供されるセルはサービングセル(Serving Cell)と呼ばれることがある。サービングセルという概念には、PCell(Primary Cell)及びSCell(Secondary Cell)が含まれる。デュアルコネクティビティがUE(例えば、端末装置30)に設定される場合、MN(Master Node)によって提供されるPCell、及びゼロ又は1以上のSCellはマスターセルグループ(Master Cell Group)と呼ばれることがある。デュアルコネクティビティの例として、EUTRA-EUTRA Dual Connectivity、EUTRA-NR Dual Connectivity(ENDC)、EUTRA-NR Dual Connectivity with 5GC、NR-EUTRA Dual Connectivity(NEDC)、NR-NR Dual Connectivityが挙げられる。
 なお、サービングセルはPSCell(Primary Secondary Cell、又は、Primary SCG Cell)を含んでもよい。デュアルコネクティビティがUEに設定される場合、SN(Secondary Node)によって提供されるPSCell、及びゼロ又は1以上のSCellは、SCG(Secondary Cell Group)と呼ばれることがある。特別な設定(例えば、PUCCH on SCell)がされていない限り、物理上りリンク制御チャネル(PUCCH)はPCell及びPSCellで送信されるが、SCellでは送信されない。また、無線リンク障害(Radio Link Failure)もPCell及びPSCellでは検出されるが、SCellでは検出されない(検出しなくてよい)。このようにPCell及びPSCellは、サービングセルの中で特別な役割を持つため、SpCell(Special Cell)とも呼ばれる。
 1つのセルには、1つのダウンリンクコンポーネントキャリアと1つのアップリンクコンポーネントキャリアが対応付けられていてもよい。また、1つのセルに対応するシステム帯域幅は、複数のBWP(Bandwidth Part)に分割されてもよい。この場合、1又は複数のBWPがUEに設定され、1つのBWP分がアクティブBWP(Active BWP)として、UEに使用されてもよい。また、セル毎、コンポーネントキャリア毎又はBWP毎に、端末装置30が使用できる無線資源(例えば、周波数帯域、ヌメロロジー(サブキャリアスペーシング)、スロットフォーマット(Slot configuration)が異なっていてもよい。
<2-4.端末装置の構成>
 次に、端末装置30の構成を説明する。端末装置30はUE(User Equipment)30と言い換えることができる。
 端末装置30は、基地局20等の他の通信装置と無線通信する無線通信装置である。端末装置30は、例えば、携帯電話、スマートデバイス(スマートフォン、又はタブレット)、PDA(Personal Digital Assistant)、パーソナルコンピュータである。また、端末装置30は、通信機能が具備された業務用カメラといった機器であってもよいし、FPU(Field Pickup Unit)等の通信機器が搭載されたバイクや移動中継車等であってもよい。また、端末装置30は、M2M(Machine to Machine)デバイス、又はIoT(Internet of Things)デバイスであってもよい。
 なお、端末装置30は、基地局20とNOMA通信が可能であってもよい。また、端末装置30は、基地局20と通信する際、HARQ等の自動再送技術を使用可能であってもよい。端末装置30は、他の端末装置30とサイドリンク通信が可能であってもよい。端末装置30は、サイドリンク通信を行う際も、HARQ等の自動再送技術を使用可能であってもよい。なお、端末装置30は、他の端末装置30との通信(サイドリンク)においてもNOMA通信が可能であってもよい。また、端末装置30は、他の通信装置(例えば、基地局20、及び他の端末装置30)とLPWA通信が可能であってもよい。また、端末装置30が使用する無線通信は、ミリ波を使った無線通信であってもよい。なお、端末装置30が使用する無線通信(サイドリンク通信を含む。)は、電波を使った無線通信であってもよいし、赤外線や可視光を使った無線通信(光無線)であってもよい。
 また、端末装置30は、移動体装置であってもよい。移動体装置は、移動可能な無線通信装置である。このとき、端末装置30は、移動体に設置される無線通信装置であってもよいし、移動体そのものであってもよい。例えば、端末装置30は、自動車、バス、トラック、自動二輪車等の道路上を移動する車両(Vehicle)、列車等の軌道に設置されたレール上を移動する車両、或いは、当該車両に搭載された無線通信装置であってもよい。なお、移動体は、モバイル端末であってもよいし、陸上(狭義の地上)、地中、水上、或いは、水中を移動する移動体であってもよい。また、移動体は、ドローン、ヘリコプター等の大気圏内を移動する移動体であってもよいし、人工衛星等の大気圏外を移動する移動体であってもよい。
 端末装置30は、同時に複数の基地局または複数のセルと接続して通信を実施してもよい。例えば、1つの基地局が複数のセル(例えば、pCell、sCell)を介して通信エリアをサポートしている場合に、キャリアアグリケーション(CA:Carrier Aggregation)技術やデュアルコネクティビティ(DC:Dual Connectivity)技術、マルチコネクティビティ(MC:Multi-Connectivity)技術によって、それら複数のセルを束ねて基地局20と端末装置30とで通信することが可能である。或いは、異なる基地局20のセルを介して、協調送受信(CoMP:Coordinated Multi-Point Transmission and Reception)技術によって、端末装置30とそれら複数の基地局20が通信することも可能である。
 図8は、本開示の実施形態に係る端末装置30の構成例を示す図である。端末装置30は、無線通信部31と、記憶部32と、制御部33と、を備える。なお、図8に示した構成は機能的な構成であり、ハードウェア構成はこれとは異なっていてもよい。また、端末装置30の機能は、複数の物理的に分離された構成に分散して実装されてもよい。
 無線通信部31は、他の無線通信装置(例えば、基地局20、及び他の端末装置30)と無線通信するための信号処理部である。無線通信部31は、制御部33の制御に従って動作する。無線通信部31は、送信処理部311と、受信処理部312と、アンテナ313とを備える。無線通信部31、送信処理部311、受信処理部312、及びアンテナ313の構成は、基地局20の無線通信部21、送信処理部211、受信処理部212及びアンテナ213と同様であってもよい。また、無線通信部31は、無線通信部21と同様に、ビームフォーミング可能に構成されていてもよい。さらに、無線通信部31は、無線通信部21と同様に、空間多重された信号を送受信可能に構成されていてもよい。
 記憶部32は、DRAM、SRAM、フラッシュメモリ、ハードディスク等のデータ読み書き可能な記憶装置である。記憶部32は、端末装置30の記憶手段として機能する。
 制御部33は、端末装置30の各部を制御するコントローラである。制御部33は、例えば、CPU、MPU等のプロセッサにより実現される。例えば、制御部33は、端末装置30内部の記憶装置に記憶されている各種プログラムを、プロセッサがRAM等を作業領域として実行することにより実現される。なお、制御部33は、ASICやFPGA等の集積回路により実現されてもよい。CPU、MPU、ASIC、及びFPGAは何れもコントローラとみなすことができる。また、制御部33は、CPUに加えて、或いは代えて、GPUにより実現されてもよい。
<2-5.ネットワーク管理装置の構成>
 次に、ネットワーク管理装置40の構成を説明する。
 ネットワーク管理装置40は、複数のプライベートネットワークを管理する管理機能(PNAM:Private Network Association Management)を備える情報処理装置(コンピュータ)である。例えば、ネットワーク管理装置40は、プライベートネットワークを管理する管理者が設置する中央管理サーバである。
 図9は、本開示の実施形態に係るネットワーク管理装置40の構成例を示す図である。ネットワーク管理装置40は、通信部41と、記憶部42と、制御部43と、を備える。なお、図9に示した構成は機能的な構成であり、ハードウェア構成はこれとは異なっていてもよい。また、ネットワーク管理装置40の機能は、複数の物理的に分離された構成に静的、或いは、動的に分散して実装されてもよい。例えば、ネットワーク管理装置40は、複数のサーバ装置により構成されていてもよい。
 通信部41は、他の装置と通信するための通信インタフェースである。通信部41は、ネットワークインタフェースであってもよいし、機器接続インタフェースであってもよい。例えば、通信部41は、NIC(Network Interface Card)等のLAN(Local Area Network)インタフェースであってもよいし、USB(Universal Serial Bus)ホストコントローラ、USBポート等により構成されるUSBインタフェースであってもよい。また、通信部41は、有線インタフェースであってもよいし、無線インタフェースであってもよい。通信部41は、ネットワーク管理装置40の通信手段として機能する。通信部41は、制御部43の制御に従って管理装置10等と通信する。
 記憶部42は、DRAM(Dynamic Random Access Memory)、SRAM(Static Random Access Memory)、フラッシュメモリ、ハードディスク等のデータ読み書き可能な記憶装置である。記憶部42は、ネットワーク管理装置40の記憶手段として機能する。
 制御部43は、ネットワーク管理装置40の各部を制御するコントローラ(controller)である。制御部43は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)等のプロセッサにより実現される。例えば、制御部43は、ネットワーク管理装置40内部の記憶装置に記憶されている各種プログラムを、プロセッサがRAM(Random Access Memory)等を作業領域として実行することにより実現される。なお、制御部43は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現されてもよい。CPU、MPU、GPU、ASIC、及びFPGAは何れもコントローラとみなすことができる。
<<3.ネットワークアーキテクチャ>>
 以上、通信システム1の構成について説明したが、次に、本実施形態の通信システム1で適用され得るネットワークアーキテクチャについて説明する。
<3-1.5Gのネットワークアーキテクチャの構成例>
 まず、通信システム1のコアネットワークCNの一例として、第5世代移動体通信システム(5G)のアーキテクチャについて説明する。図10は、5Gのアーキテクチャの一例を示す図である。5GのコアネットワークCNは、5GC(5G Core)/NGC(Next Generation Core)とも呼ばれる。以下、5GのコアネットワークCNを5GC/NGCとも称する。コアネットワークCNは、(R)AN430を介してUE(User Equipment)30と接続する。UE30は、例えば、端末装置30である。なお、図10に示すコアネットワークCNには、複数のプライベートネットワークを管理する管理機能(PNAM:Private Network Association Management)が含まれていないが、コアネットワークCNには、ネットワーク機能の一つとしてPNAMが含まれていてもよい。勿論、PNAMは、コアネットワークCNの外に配置されるネットワーク機能であってもよい。
 (R)AN430は、RAN(Radio Access Network)との接続、およびRAN以外のAN(Access Network)との接続を可能にする機能を有する。(R)AN430は、gNB、或いは、ng-eNBと呼ばれる基地局を含む。
 コアネットワークCNは、主にUE30がネットワークへ接続する際の接続許可やセッション管理を行う。コアネットワークCNは、ユーザプレーン機能群420およびコントロールプレーン機能群440を含んで構成され得る。
 ユーザプレーン機能群420は、UPF(User Plane Function)421およびDN(Data Network)422を含む。UPF421は、ユーザプレーン処理の機能を有する。UPF421は、ユーザプレーンで扱われるデータのルーティング/転送機能を含む。DN422は、例えば、MNO(Mobile Network Operator)等、オペレータ独自のサービスへの接続を提供するエンティティ、インターネット接続を提供する、あるいは、サードパーティーのサービスへの接続を提供する機能を有する。このように、ユーザプレーン機能群420は、コアネットワークCNとインターネットとの境界になるGatewayの役割を果たしている。
 コントロールプレーン機能群440は、AMF(Access Management Function)441、SMF(Session Management Function)442、AUSF(Authentication Server Function)443、NSSF(Network Slice Selection Function)444、NEF(Network Exposure Function)445、NRF(Network Repository Function)446、PCF(Policy Control Function)447、UDM(Unified Data Management)448、および、AF(Application Function)449を含む。
 AMF441は、UE30のレジストレーション処理や接続管理、モビリティ管理等の機能を有する。SMF442は、セッション管理、UE30のIP割り当てと管理等の機能を有する。AUSF443は、認証機能を有する。NSSF444は、ネットワークスライスの選択にかかる機能を有する。NEF445は、サードパーティー、AF449やエッジ・コンピューティング機能に対してネットワーク機能のケイパビリティやイベントを提供する機能を有する。
 NRF446は、ネットワーク機能の発見やネットワーク機能のプロファイルを保持する機能を有する。PCF447は、ポリシー制御の機能を有する。UDM448は3GPP AKA認証情報の生成、ユーザIDの処理の機能を有する。AF449は、コアネットワークと相互に作用してサービスを提供する機能を有する。
 例えば、コントロールプレーン機能群440は、UE30の加入者情報が格納されているUDM448から情報を取得して、当該UE30がネットワークに接続してもよいか否かを判定する。コントロールプレーン機能群440は、かかる判定にUDM448から取得した情報に含まれるUE30の契約情報や暗号化のための鍵を使用する。また、コントロールプレーン機能群440は、暗号化のための鍵の生成等を行う。
 つまり、コントロールプレーン機能群440は、例えば、IMSI(International Mobile Subscriber Identity)と呼ばれる加入者番号に紐付いたUE30の情報がUDM448に格納されているか否かに応じてネットワークの接続可否を判定する。なお、IMSIは、例えば、UE30の中にあるSIM(Subscriber Identity Module)カードに格納される。
 ここで、Namfは、AMF441が提供するサービスベースドインタフェース(Service-based interface)、Nsmfは、SMF442が提供するサービスベースドインタフェースである。また、Nnefは、NEF445が提供するサービスベースドインタフェース、Npcfは、PCF447が提供するサービスベースドインタフェースである。Nudmは、UDM448が提供するサービスベースドインタフェース、Nafは、AF449が提供するサービスベースドインタフェースである。Nnrfは、NRF446が提供するサービスベースドインタフェース、Nnssfは、NSSF444が提供するサービスベースドインタフェースである。Nausfは、AUSF443が提供するサービスベースドインタフェースである。これらの各NF(Network Function)は、各サービスベースドインタフェースを介して他のNFと情報の交換を行う。
 また、図10に示すN1は、UE30とAMF441間のリファレンスポイント(Reference Point)、N2は、RAN/AN430とAMF441間のリファレンスポイントである。N4は、SMF442とUPF421間のリファレンスポイントであり、これらの各NF(Network Function)間で相互に情報の交換が行われる。
 上述したように、コアネットワークCNでは、サービスベースドインタフェースと称するアプリケーション・プログラミング・インタフェース(API:Application Programming Interface)経由で情報の伝達、機能の制御を行うインタフェースが用意されている。
 APIは、リソースを指定して、そのリソースに対して、GET(リソースの取得)、POST(リソースの作成、データの追加)、PUT(リソースの作成、リソースの更新)、DELETE(リソースの削除)などを可能とする。かかる機能は、例えばWebに関する技術分野で一般的に使用される。
 例えば、図10に示すAMF441、SMF442及びUDM448は、通信のセッションを確立する場合に、APIを用いて互いに情報をやり取りする。従来、かかるAPIをアプリケーション(例えば、AF449)が使用することは想定されていない。しかしながら、かかるAPIをAF449が使用することで、AF449が5Gセルラーネットワークの情報を使用することができ、アプリケーションの機能をより進化させることができると考えられる。
 なお、Public Networkにおいて、AMF441、SMF442及びUDM448が使用するAPIを、AF289が使用することは難しい。しかしながら、Non PublicなPrivate 5G Networkであれば、かかるAPIをAF289が使用できるように、例えばコアネットワークCNのAPIの変更を含めてシステムを構成することが可能であると考える。
 ここで、APIの一例について説明する。ここで説明するAPI(1)~API(4)は、3GPP TS23.502に記載されている。
 API(1)
 API(1)は、あらかじめ登録しておいたUE30が電源Offの状態から電源Onの状態に遷移してネットワークにattachしたこと、及び、そのときに取得したIPアドレスをSMF442が通知するAPIである。
 SMF442は、API(1)を使用して、登録しておいたIMSIのUE30がIPアドレスを取得したら、NFに通知する。
 API(2)
 UE30は、通信をしていない場合にIdleモードとなり、通信する場合にConnectedモードに遷移する。API(2)は、UE30がIdleモードであるかConnectedモードであるかをAMF441が通知するAPIである。
 API(3)
 API(3)は、UE30に対してIdleモードからConnectedモードに遷移するよう指示を出すためのメッセージ(Paging message)を基地局からブロードキャストするためのAPIである。
 API(4)
 API(4)は、UE30の位置情報をAMF441が提供するAPIである。AMF441は、API(4)を使用して、UE30がどのTracking Areaにいるのか、どのCellに所属しているのか、また、特定の地域に入った時にそのことを知らせ得る。
 なお、図10のUE30の一例は、本実施形態の端末装置30である。RAN/AN430の一例は、本実施形態の基地局20である。また、図5に示す管理装置10が、例えばAF449又はAMF441の機能を有する装置の一例である。
<3-2.4Gのネットワークアーキテクチャの構成例>
 次に、図11を参照しながら、通信システム1のコアネットワークCNの一例として、第4世代移動体通信システム(4G)のアーキテクチャについて説明する。図11は、4Gのアーキテクチャの一例を示す図である。なお、図11に示すコアネットワークCNには、複数のプライベートネットワークを管理する管理機能(PNAM:Private Network Association Management)が含まれていないが、コアネットワークCNには、ネットワーク機能の一つとしてPNAMが含まれていてもよい。勿論、PNAMはコアネットワークCNの外に配置されるネットワーク機能であってもよい。
 図11に示すように、コアネットワークCNは、eNB20、MME(Mobility Management Entity)452、S-GW(Serving Gateway)453、P-GW(Packet Data Network Gateway)454、HSS(Home Subscriber Server)455を含む。
 eNB20は4Gの基地局として機能する。MME452は、制御プレーン(コントロールプレーン)の信号を取り扱う制御ノードであり、UE401の移動状態を管理する。UE401は、セルラーシステムにattachするために、MME452にAttach requestを送信する。
 S-GW453は、ユーザプレーンの信号を取り扱う制御ノードであり、ユーザデータの転送経路を切り替えるゲートウェイ装置である。P-GW454は、ユーザプレーンの信号を取り扱う制御ノードであり、コアネットワークCNとインターネットとの接続点となるゲートウェイ装置である。HSS455は、加入者データを取り扱い、サービス制御を行う制御ノードである。
 MME452は、5GネットワークにおけるAMF441及びSMF442の機能に相当する。また、HSS455は、UDM448の機能に相当する。
 図11に示すように、eNB20は、MME452とS1-MMEインタフェースを介して接続され、S-GW453とS1-Uインタフェースを介して接続される。S-GW453は、MME452とS11インタフェースを介して接続され、MME452は、HSS455とS6aインタフェースを介して接続される。P-GW454は、S-GW453とS5/S8インタフェースを介して接続される。
<<4.実施形態1>>
 以上、通信システム1の構成について説明したが、次に、このような構成を有する通信システム1の動作について説明する。
<4-1.課題>
 独立した複数のプライベートネットワークを通信で接続した場合、セキュリティの確保が重要となる。通常時には、プライベートネットワークは、閉域網として動作しているため、セキュリティが担保されている。しかし、プライベートネットワークを他のプライベートネットワークと接続した時には、他のプライベートネットワークにいる悪意のUE/AFからネットワーク攻撃を受ける可能性が高まる。ネットワーク攻撃としては、大量のパケットを送り込むDos攻撃(Denial-of-service attack)、ウイルスなどを送り込んだりする攻撃などが想定される。
 いずれの攻撃でも、悪意のユーザからのパケット到着が起点となって問題が起きる。したがって、複数のプライベートネットワークを接続した時に、他のプライベートネットワークの悪意のユーザからの攻撃に強い仕組みが求められる。基本的には、悪意のユーザからのパケットが届かない仕組みが必要だが、そのためには、どのように複数のプライベートネットワークの接続を許可するかというところから考えていく必要がある。
 そこで、実施形態1では、セキュリティに強いシステムを作るために、複数のプライベートネットワーク接続手順を考える。
<4-2.解決手段1>
 不要な接続を極力減らすことが、セキュリティの向上につながる。そこで、まず、誰が主体となって接続要求を出すかを検討する。ユーザがユーザを指定して接続要求を出すのが基本的な考えとなる。この時に、ユーザBがユーザAへの接続をしたいと思っても、ユーザAがユーザBと接続したくないと思っている時にまで接続を許すのは、逆にセキュリティ上の脅威を増すことになる。したがって、相互に接続を了承する仕組みが必要である。
 本実施形態では、VPNトンネルで接続された複数のプライベートネットワークの閉域網間通信を管理するネットワーク管理装置40を用意する。ネットワーク管理装置40は、VPNトンネルで接続された複数のプライベートネットワークの閉域網間通信を管理する管理機能を備える。以下の説明ではこの管理機能のことをPNAM(Private Network Association Management)と呼ぶ。PNAMは、ユーザBからのユーザAへの接続要求を受けて、ユーザAに対して、ユーザBからの接続要求を受け入れるかを聞く。PNAMは、ユーザBからユーザAとの接続に同意するという返答を受けとった場合には、ユーザAが属するプライベートネットワークAとユーザBが属するプライベートネットワークBを接続する必要があると認識する。なお、この同意情報は、事前にPNAMのデータベース(例えば、ネットワーク管理装置40の記憶部42)にユーザAの接続許可情報として保持しておけばよい。
 表1は、ノード毎に、どのノードとの接続が許可されるかを示す情報(以下、第1の接続許可情報という。)を格納してあるデータベースの一例を示す表である。より具体的には、表1は、所定のノードと接続が許可される他のノードの情報が記録されたデータベースを示す表である。ノードは、UEであってもよいし、AFであてもよい。表1の例では、データベースには、UE Aへの接続が許可されるノードがUE Bである旨の接続許可情報と、UE Bへの接続が許可されるノードがUE Aである旨の接続許可情報と、が記録されている。
Figure JPOXMLDOC01-appb-T000001
 本当に、プライベートネットワークAとプライベートネットワークBを接続するかどうかは、PNAMが最終判断を行う。このとき、PNAMは、接続要求が10組み分溜まった段階で実際に接続するなどの判断を行ってもよい。自動でも良いし、管理者が判断し、GUIを使って、2つのプライベートネットワークを接続するコマンドを送信しても良い。
 図12は、2つのプライベートネットワークの接続手順を示すシーケンス図である。図12には、プライベートネットワークAに属するノード(UE/AF)とプライベートネットワークBに属するノード(UE/AF)との接続シーケンスが示されている。2つのプライベートネットワークには、それぞれ、PNAMからの通知に基づき閉域網間通信の制限に関する動作を行うゲートウェイが配置されている。閉域網間通信の制限に関する動作は、例えば、IPフィルタリングである。PNAMは、閉域網間通信が行われる2つのプライベートネットワークのうちの少なくとも一方の閉域網の前記ゲートウェイに対して、閉域網間通信の制限に関する通知を行う。
 なお、以下の説明において、UEは例えば端末装置30であり、ゲートウェイは例えば管理装置10であり、PNAMは例えばネットワーク管理装置40である。以下、図12を参照しながら2つのプライベートネットワークの接続手順を説明する。
 まず、プライベートネットワークBに属するノード(UE/AF)は、プライベートネットワークAに属するノード(UE/AF)へのアクセス依頼の情報をPNAMのコントローラ(例えば、ネットワーク管理装置40の制御部43)に送信する。PNAMのコントローラは、プライベートネットワークBに属するノードからプライベートネットワークAに属するノード(UE/AF)へのアクセス依頼の情報を取得する。以下の説明では、PNAMのコントローラが、プライベートネットワークBに属するUE BからプライベートネットワークAに属するUE Aへのアクセス依頼の情報を取得したものとする。
 PNAMのコントローラは、所定の基準に従いUE BからUE へのアクセスを許可するか否かの決定を行う。この処理は例えば、以下の手順で行う。まず、PNAMのコントローラは、PNAMのデータベース(例えば、ネットワーク管理装置40の記憶部42)からUE AとUE Bの接続許可情報を取得する。上述の表1の例であれば、UE Aの接続許可情報は、UE Bとの接続を許可するとの情報であり、UE Bの接続許可情報は、UE Aとの接続を許可するとの情報である。そして、PNAMのコントローラは、UE AとUE Bの接続許可情報に基づいて、UE BからUE へのアクセスを許可するか否かの決定を行う。表1の例であれば、UE AとUE B双方とも他方への接続が許可されているので、PNAMのコントローラは、UE BからUE へのアクセスを許可する旨の決定を行う。
 そして、PNAMのコントローラは、2つのプライベートネットワークの少なくとも一方のプライベートネットワークのゲートウェイに対して、上記決定を通知する。図12の例では、PNAMのコントローラは、プライベートネットワークAのゲートウェイとプライベートネットワークBのゲートウェイの双方に対して上記決定を通知している。
 接続を許可するとの通知を受けた場合、2つのゲートウェイは、プライベートネットワークAとプライベートネットワークBの間にVPNトンネルを確立する。そして、2つのゲートウェイは、それぞれ、IPフィルタリング等、閉域網間通信の制限に関する動作を行う。
 これにより、不要な接続を減らすことができるため、セキュリティ上の脅威を減らすことができる。相互認証の形をとっているので、接続したくない相手からの接続を拒否できるためセキュリティ上の脅威を減らすことができる。
 なお、表1の例では、PNAMは、ユーザ同士(ノード同士)の接続許可情報をデータベースに保持した。しかし、PNAMは、データベースに、プライベートネットワーク同士の接続許可情報を保持してもよい。この場合、UE AとUE Bのアクセス要求が正当なものであっても、禁止されているプライベートネットワークを接続することはできない。表2は、プライベートネットワーク毎に、どのプライベートネットワークとの接続が許可されるかを示す情報(以下、第2の接続許可情報という。)を格納してあるデータベースの一例を示す表である。より具体的には、表2は、所定のプライベートネットワークと接続が許可される他のプライベートネットワークの情報が記録されたデータベースを示す表である。
Figure JPOXMLDOC01-appb-T000002
 表2の例では、プライベートネットワークAとプライベートネットワークBは接続可能であるが、それ以外は、接続できない。ずなわち、表2の例の場合、プライベートネットワークAとプライベートネットワークCは接続できず、プライベートネットワークAとプライベートネットワークDも接続できない。また、プライベートネットワークBとプライベートネットワークCは接続できず、プライベートネットワークBとプライベートネットワークDも接続できない。プライベートネットワークCとプライベートネットワークDも接続できない。PNAMは、第1の接続許可情報と第2の接続許可情報の両方を用いて、プライベートネットワークBに属するノードからプライベートネットワークAに属するノードへのアクセスを許可するか否かの決定を行ってもよい。
 なお、UE AとUE Bが、プライベートネットワークAとプライベートネットワークBを使っている場合のみ閉域網間通信を許可したい場合もあると想定される。そこで、PNAMは、データベースに、所定のノードと接続が許可されるノードと閉域網の組み合わせ情報を保持してもよい。表3は、ノード毎に、どのプライベートネットワークのどのノードとの接続が許可されるかを示す情報(以下、第3の接続許可情報という。)を格納してあるデータベースの一例を示す表である。
Figure JPOXMLDOC01-appb-T000003
 表3の例では、データベースには、UE Aへの接続が許可されるノードがプライベートネットワークBのUE Bである旨の接続許可情報と、UE Bへの接続が許可されるノードがプライベートネットワークAのUE Aである旨の接続許可情報と、が記録されている。PNAMは、第3の接続許可情報の両方を用いて、プライベートネットワークBに属するノードBからプライベートネットワークAに属するノードAへのアクセスを許可するか否かの決定を行ってもよい。
<4-3.解決手段2>
 通信の必要がなくなった複数のプライベートネットワーク間の接続をそのままにしておくと、不要なセキュリティ上の脅威が増すことになる。必要がなくなったら、その接続は切断することが望ましいが、何をトリガーにして切断を行うかが問題となる。切断方法としては、以下の(1)~(3)が想定される。
 (1)プライベートネットワークをまたがって通信しているノード間の通信がなくなって、しばらくたった時に接続断の判断をPNAMが行う。
 (2)プライベートネットワーク間の接続を行ってから、一定時間後に接断を行う。例えば、1日とか、3時間とか一定の期間を予め定めておく。継続して使用したい場合も、一度、接断を行った後に、再度、接続の要求をノードから出してもらいその上で再度接続するかをPNAMが判断する。
 (3)ノードがもう接続の継続の必要がないと通知する。ノードは、プライベートネットワークを跨いだ通信が必要なくなった時には、その旨をPNAMに通知する。接続されているプライベートネットワークの全ての、接続を跨いで通信を行っていたノードから接続の継続の必要がないとの通知(以下、通信終了通知という。)があった場合には接続を切る判断をPNAMが行う。
 上記(1)~(3)の中で、最も良い方法は、(3)の方法であると考える。確実に通信が必要なく切断しても良いということが明確であるからである。他の方法も場合に応じて使用すれば良い。
 図13は、2つのプライベートネットワークの接続及び切断の手順を示すシーケンス図である。PNAMのコントローラは、プライベートネットワークAとプライベートネットワークBとが接続された後、所定の条件を満たした場合に、プライベートネットワークAとプライベートネットワークBとの接続を切断する。
 図13には、上記3つの方法の中で、(3)の切断方法を実現するための手順が示されている。前半部分は、図12に示した接続手順と同様の手順が示されている。後半部分は、プライベートネットワークBのノード(UE/AF)からのリクエストに基づき2つのプライベートネットワークの接続が切断される手順が示されている。以下、図13のシーケンス図を参照しながら切断手順を説明する。なお、前半部分は、図12に示した接続手順と同様であるので説明を省略する。
 プライベートネットワークBのノード(UE/AF)からプライベートネットワークAのUE Aとの接続を切断する旨のリクエストを受信すると、PNAMのコントローラは、プライベートネットワークAとプライベートネットワークBとの接続を切断する否かの判断を行う。例えば、PNAMのコントローラは、プライベートネットワークAとプライベートネットワークBとの間で通信を行っていた全てのノードから通信終了通知を受けている場合は、接続を切断すると判断する。PNAMのコントローラは、接続を切断するとの判断をした場合には、プライベートネットワークAとプライベートネットワークBとの接続を切断するための処理を行う。
 そして、PNAMのコントローラは、2つのプライベートネットワークの少なくとも一方のプライベートネットワークのゲートウェイに対して、上記判断を通知する。図12の例では、PNAMのコントローラは、プライベートネットワークAのゲートウェイとプライベートネットワークBのゲートウェイの双方に対して上記判断を通知している。2つのゲートウェイは、接続を切断するとの通知を受けると、プライベートネットワークAとプライベートネットワークBとの間のVPNトンネルを破棄する。
 これにより、不要な接続を減らすことができるため、セキュリティ上の脅威を減らすことができる。
 なお、図13の手順では、PNAMのコントローラは、プライベートネットワークAとプライベートネットワークBを跨る全ての通信の終了通知を受けた場合に、プライベートネットワークAとプライベートネットワークBとの接続を切断した。しかし、PNAMのコントローラは、プライベートネットワークAとプライベートネットワークBを跨る通信がなくなって一定時間後に、プライベートネットワークAとプライベートネットワークBの接続を切断してもよい。
 また、PNAMのコントローラは、プライベートネットワークAとプライベートネットワークBが接続された後、一定時間後に、プライベートネットワークAとプライベートネットワークBを跨る通信の有無に関わらず、プライベートネットワークAとプライベートネットワークBの接続を切断してもよい。
<<5.実施形態2>>
 次に、実施形態2の通信システム1の動作について説明する。
<5-1.課題>
 複数のプライベートネットワークを接続した後は、通信を希望したユーザ以外も、IPパケットを他のプライベートネットワークへ送ることが可能となる。例えば、プライベートネットワークAとプライベートネットワークBを接続した場合、プライベートネットワークAの全てのユーザとプライベートネットワークBの全てのユーザが通信することが可能となる。したがって、その中に悪意のユーザがいた場合には、セキュリティ上の問題が発生する。例えば、大量にパケットを送り込んで、ネットワークの負荷を上げるなどの行為は容易に実行可能である。
 実施形態1では、通信を希望しているユーザのために複数のプライベートネットワークを通信ができるように接続した。実施形態2では、接続後も、他のプライベートネットワークにパケットを送信できるのは、許可されたユーザだけにする仕組みを提供する。これによりセキュリティ上の脅威がさらに減る。
 ここで、他のプライベートネットワークにパケットを送信できる、という部分について解説を加える。通常、UEが閉域網の外にパケットを送信した場合、その戻りのパケットについては、閉域網に入ることが許可される。例えば、プライベートネットワーク内のUEがそのプライベートネットワーク外のインターネット上のWebサイトにアクセスした場合、その戻りのコンテンツ(例えば、Webページ)を運ぶIPパケットは、プライベートネットワークの外からであっても当該プライベートネットワーク内に入ることができる。
 問題なのは、戻りのパケット以外の、直接、外から閉域網の中へ入ってこようとするパケットである。プライベートネットワークBから、戻りのパケットでもないのに、プライベートネットワークAへパケットを送ることは、プライベートネットワークAにとって、セキュリティ上の脅威となる。従って、外から入ってくるパケットが入ってくることができるパケットであるかを判断する仕組みが必要である。このような問題を解決するための手段として、MACアドレスフィルタリングとIPフィルタリングが用意されている。
 MACアドレスは機器特有のIDで書き換え可能である。そのため、MACアドレスフィルタリングはセキュリティ対策としては弱い。一方、送信元IPアドレス(Source IP Address)は書き換え困難である。送信元IPアドレスを偽装してパケットを送信しても、途中のルータで、偽装した送信元IPアドレスが適切なものでないことが明確にわかってしまうからである。そのため、IPフィルタリングがセキュリティ対策として従来から広く使用されている。
 IPフィルタリングは、事前に設定した送信元IPアドレス(Source IP Address)以外のIPパケットをプライベートネットワークの入り口で捨てるという機能である。そのような機能を閉域網の入り口のセキュリティGWに設定しておく。複数のプライベートネットワークを通信可能に接続した時に、このIPフィルタリングをどのように設定するかが、本実施形態のポイントとなる。
 ここで、一つ大きな問題となるのは、ユーザのUEのIPアドレスが頻繁に変わるということである。例えば、UEがネットワークへのデタッチ/アタッチ(Detach/Attach)を行うと、コアネットワークより新しいIPアドレスが割り当てられる。コアネットワークが5Gコアの場合、SMNF(Session Management Network Function)がUEに新しいIPアドレスを割り当てる。コアネットワークが4Gコアの場合、PGWがUEに新しいIPアドレスを割り当てる。
 UEがデタッチ/アタッチするケースとしては、例えば、5GからWiFiを使い、再度、5Gに戻るケースが想定される。UEがIoT機器の場合は、IoT機器のバッテリーを節約するために、UEが、一度、ネットワークからデタッチ(Detach)し、必要な時に再度アタッチ(Attach)することもある。
 UE固有のIPアドレスでフィルタリングが行われるのが理想的である。しかしながら、UEのIPアドレスは頻繁に変わってしまうので、UE固有のIPアドレスでフィルタリングを行うのは困難である。ある程度、広い範囲のIPアドレスの範囲でIPフィルタリングを行うことも可能であるが、入ってきてほしくないユーザがそのIPアドレスが割り振られる場合もある。そのため、広い範囲のIPアドレスでIPフィルタリングをするとセキュリティ上の脅威が残る。
<5-2.解決手段1>
 本実施形態のプライベートネットワークに、複数のIPアドレスプールを割り当てる。複数のIPアドレスプールには、閉域網間通信のためのIPアドレスプールが少なくとも1つ含まれる。プライベートネットワークのゲートウェイは、PNAMからの通知に基づき、IPアドレスを付与する単位ごとに(すなわち、IPアドレスプールに紐づけられたIPアドレス範囲ごとに)IPフィルタリングを実施する。
 より具体的に説明すると、プライベートネットワークは、それぞれ異なるIPアドレスプールが設定された複数のUPF(User Plane Function)を有している。複数のUPFのうちの一部のUPF(以下、第1のUPFという。)は、当該第1のUPFを使用するノード(例えば、UE)が閉域網間通信をするために用意されたUPFである。複数のUPFのうちの他のUPF(以下、第2のUPFという。)は、当該第2のUPFを使用するノードが閉域網内通信をするために用意されたUPFである。PNAMは、閉域網間通信に使用されるIPアドレスプール(すなわち、第1のUPFに設定されたIPアドレスプール)に紐づくIPアドレス範囲の情報に基づいてIPフィルタリングを行うようプライベートネットワークのゲートウェイに通知する。プライベートネットワークのゲートウェイは、PNAMからの通知に基づき、IPアドレスを付与する単位ごと(すなわち、UPFごと)にIPフィルタリングを実施する。
 図14は、実施形態2の解決手段を説明するための図である。4Gの場合には、P-GWがIPアドレスのプールから1つIPアドレスを取り出してUEにIPアドレスを付与する。4Gでは、図11に示すS-GW453とP-GW454がユーザプレーン(User-Plane)であり、MME452がコントロールプレーン(Control-Plane)である。以下の説明では、S-GWとP-GWのセットのことをUPF(User Plane Function)と呼ぶ。5Gの場合には、UPFはUPF421である。
 プライベートネットワークは、UPFを複数持っている。図14の例では、プライベートネットワークは、UPF1とUPF2とUPF3とを持っている。UPFを複数持つことで、UPFの処理能力をスケールすることができる。特定のUPFに割り当てるUEを少数にして、他のUPFに割り当てるユーザを多数にしてもよい。これにより、少数のユーザを割り当てたUPFは、品質が高い通信を提供するといった処理も可能となる。
 複数のUPFには、それぞれ異なるIPアドレスプールが設定されている。UPFそれぞれに設定されたIPアドレスプールに紐づくアドレス範囲は、例えば、以下のとおりである。
 UPF1:192.168.0.1-192.168.0.100
 UPF2:192.168.0.101-192.168.0.200
 UPF3:192.168.0.201-192.168.0.300
 このとき、あるUEがUPF1にアタッチした時は、UPF1は当該UEに192.168.0.1を付与する。その後、他のUEがUPF1にアタッチした時は、UPF1は当該UEに192.168.0.2を付与する。このように、UPFは、IPアドレスプールから順にIPアドレスを取り出し、UEに付与していく。UEのIPアドレスは変わることがあるが、その変化は、その属しているUPFのあらかじめプールされていたIPアドレスの範囲内にとどまる。
 ここで、他のプライベートネットワークに属しているUEと通信できるUEをUPF1に割り当てておけば、他のプライベートネットワークは、UPF1のアドレス範囲のIPアドレスでIPフィルタをすればよいということになる。UPF2やUPF3に属しているUEは、IPアドレスがIPフィルタで許可されていないので、他のプライベートネットワークのIPフィルタで弾かれることになる。
 以下、図面を参照しながら実施形態2の解決手段1に係る通信システム1の動作を説明する。図15は、実施形態2の通信システム1の動作の一例を示す図である。図15の例では、プライベートネットワークAとプライベートネットワークBがセキュアーな通信(例えば、VPNトンネル)で接続されている。
 プライベートネットワークAとプライベートネットワークBは、それぞれ、複数のUPF(UPF1~UPF3)を持っている。
 図15の例では、プライベートネットワークAはUPF1~UPF3の3つのUPFを持っている。3つのUPFには、それぞれ、異なるIPアドレス範囲のIPアドレスプールが割り当てられている。プライベートネットワークAの3つのUPFへのIPアドレスプールの割当は例えば以下のとおりである。
 UPF1:192.168.0.1-192.168.0.100
 UPF2:192.168.0.101-192.168.0.200
 UPF3:192.168.0.201-192.168.0.300
 プライベートネットワークBもプライベートネットワークAと同様にUPF1~UPF3の3つのUPFを持っている。3つのUPFには、それぞれ、異なるIPアドレス範囲のIPアドレスプールが割り当てられている。プライベートネットワークBの3つのUPFへのIPアドレスプールの割当は例えば以下のとおりである。
 UPF1:192.168.1.1-192.168.1.100
 UPF2:192.168.1.101-192.168.1.200
 UPF3:192.168.1.201-192.168.1.300
 プライベートネットワークAのUPFとプライベートネットワークBのUPFでは、UPFの番号が同じでもIPアドレスプールのIPアドレス範囲は異なることに注意して欲しい。これは、プライベートIPアドレスで動作する2つの閉域網を接続するために、2つのプライベートネットワークで割り当てるプライベートIPアドレスは異なるものになっている必要があるためである。
 また、図15の例では、プライベートネットワークAにUE Aが属しており、プライベートネットワークBにUE Bが属している。UE AはプライベートネットワークBのUPF1に割り当てられており、UE Bは、プライベートネットワークBのUPF1に割り当てられている。
 また、プライベートネットワークAとプライベートネットワークBは、セキュリティGW(Security Gateway)が配置されている。セキュリティGWは、IPフィルタリングの機能を有する。セキュリティGW(Security Gateway)は、プライベートネットワークBから到着したパケットの送信元IPアドレスが、事前に流入することが許可されている範囲か否か検査する。具体的には、プライベートネットワークAのセキュリティGWは、プライベートネットワークBから到着したパケットの送信元IPアドレスが、プライベートネットワークBのUPF1に割り当てられているIPアドレスプールのIPアドレスの範囲(192.168.1.1-192.168.1.100)であるかを検査する。セキュリティGWは、範囲内であればそのIPパケットを受け入れ、範囲外であればそのIPパケットを破棄する。
 UE BのIPアドレスが再割り当てをされて、変更になったとしても、それは、プライベートネットワークBのUPF1のIPアドレスプールの範囲内であるため、プライベートネットワークAのセキュリティGWは、UE Bからのパケットを受け入れることができる。UPF2や、UPF3に属しているUEがプライベートネットワークAへパケットを送信しても、そのパケットは破棄される。
 セキュリティGWへのIPフィルタの設定は、頻繁にするよりも、事前に静的に設定する方が望ましい。図15の例では、2つのプライベートネットワークがそれぞれ複数のUPFを持っている。各UPFから送信されたパケットは、VPNトンネルを通って、相手側のセキュリティGWのところまで到達する。どちらのセキュリティGWでIPフィルタを実施してもよいが、通信経路自体は存在している。
 図15には、プライベートネットワークBからのパケットが、プライベートネットワークAへ向かい、プライベートネットワークA側のセキュリティGWでIPフィルタされる様子が示されている。図15の例では、プライベートネットワークBのUPF1からのパケットだけがプライベートネットワークAに進入することが許される。
 図16は、実施形態2の通信システム1の動作の他の例を示す図である。図16では、プライベートネットワークBからのパケットが、プライベートネットワークB側のセキュリティGWで様子が示されている。図16の例では、プライベートネットワークBのUPF1からのパケットだけがプライベートネットワークBからプライベートネットワークAに向かって進むことが許される。
 図15及び図16に示すように、プライベートネットワークBからプライベートネットワークAに進むパケットにはIPフィルタが適用される。しかし、プライベートネットワークBからインターネットに出ていくパケットは通るようにしておかなければならない。そこで、プライベートネットワークBにセキュリティGWとは別にインターネット用のGWを用意する。以下の説明では、インターネット用のGWのことをIGW(Internet GW)と呼ぶ。図17は、実施形態2の通信システム1の動作の他の例を示す図である。図17には、インターネットへと出ていくパケットが、IGWを通って外のネットワークへ出ていく様子が示されている。
 あるプライベートネットワークAのノードが、プライベートネットワークBのノードのみならず、プライベートネットワークBとは別のプライベートネットワークのノードと通信する場合も想定される。図18は、実施形態2の通信システム1の動作の他の例を示す図である。図18の例では、プライベートネットワークAがプライベートネットワークBのみならず、プライベートネットワークCともセキュアーな通信(例えば、VPNトンネル)で接続されている。
 プライベートネットワークCもプライベートネットワークAと同様にUPF1~UPF3の3つのUPFを持っている。3つのUPFには、それぞれ、異なるIPアドレス範囲のIPアドレスプールが割り当てられている。プライベートネットワークCの3つのUPFへのIPアドレスプールの割当は例えば以下のとおりである。
 UPF1:192.168.2.1-192.168.2.100
 UPF2:192.168.2.101-192.168.2.200
 UPF3:192.168.2.201-192.168.2.300
 プライベートネットワークCのUPFに割り当てられたIPアドレスプールのIPアドレス範囲は、プライベートネットワークA、BのUPFに割り当てられたIPアドレスプールのIPアドレス範囲と異なっていることに注意して欲しい。
 図18の例では、プライベートネットワークAのノードは、プライベートネットワークBのノードのみならず、プライベートネットワークCのノードとも通信可能である。この場合、プライベートネットワークCのノード(UE/AF)と通信するプライベートネットワークAのノード(例えば、UE)は、プライベートネットワークBのノードとの通信のために用意されたUPF1とは別のUPF2に割り当てられてもよい。プライベートネットワークCのノード(例えば。UE)も、プライベートネットワークAのノード(UE/AF)との通信のために用意されたUPF2に割り当てられてもよい。
 このとき、プライベートネットワークAのセキュリティGWには、プライベートネットワークB用とプライベートネットワークC用の複数のIPフィルタの条件を設定することになる。プライベートネットワークAのセキュリティGWは、プライベートネットワークBから到着したパケットの送信元IPアドレスが、プライベートネットワークBのUPF1に割り当てられているIPアドレスプールのIPアドレスの範囲(192.168.1.1-192.168.1.100)であるかを検査する。また、プライベートネットワークAのセキュリティGWは、プライベートネットワークCから到着したパケットの送信元IPアドレスが、プライベートネットワークCのUPF2に割り当てられているIPアドレスプールのIPアドレスの範囲(192.168.2.101-192.168.2.200)であるかを検査する。セキュリティGWは、それら範囲内であればそのIPパケットを受け入れ、それら範囲外であればそのIPパケットを破棄する。
 本実施形態では、プライベートネットワークは複数のUPFを有している。複数のUPFは、それぞれ、異なるIPアドレスプールと紐づいている。複数のUPFは異なるユースケースで使用される。複数のUPFの一部と他のプライベートネットワークと接続するトラフィックを扱うという特別な役割を持たせる。その特別な役割を持たせたUPFに割り当てられたIPアドレスプールをIPフィルタに使用する。他のプライベートネットワークにつながるというユースケース自体をネットワークスライスという形でとらえることもできる。例えば、他のプライベートネットワークと繋がるというネットワークスライスを用意する。そして、複数のUPFの一部のUPFにそのネットワークスライスを使った通信を扱うとういう特別な役割を持たせる。
 ここで、実施形態1で述べたPNAMと実施形態2で述べたPNAMとの関係について述べる。実施形態1のPNAMは、本当に必要のある時だけ、プライベートネットワークAとプライベートネットワークBを接続できるようにすることをその目的としていた。実施形態2のPNAMは、接続したプライベートネットワークの中で、本当に通信を許可したいノード同士が通信できるようにすることを目的としている。実施形態2では、UPFに割り当てられたIPアドレスプールに紐づけられたIPアドレス範囲をセキュリティGWに設定している。この設定を管理するのがPNAMであっても良いが、別の管理機能がこの設定の管理を行ってもよい。例えば、各プライベートネットワークの管理装置10が協働でPNAMとしての機能を実現してもよい。なお、実施形態2のPNAMは、実施形態1のPNAMの機能を有していてもよい。
 本解決手段によれば、許可したUEのIPアドレスが変更になっても効果的にIPフィルタリングを行うことができる。そのためセキュリティ上の脅威が低下する。
<5-3.解決手段2>
 実施形態2の解決手段1では、セキュリティGWは送信元IPアドレスをフィルタリングするよう構成されていた。しかし、これでは、許可されたUEが属するUPFから、通信が許可されていないUPFへ向かってパケットを送信することが可能である。例えば、図17を使って説明すると、プライベートネットワークBのUPF1に属するUE Bは、プライベートネットワークAのUPF1に割り当てられたノードのみならず、プライベートネットワークAのUPF2、3に割り当てられたノードにもパケットを送信することが可能である。そのため、解決手段1の方法は、セキュリティ上の脅威が残る可能性がある。
 そこで、解決手段2では、許可されたUPFから許可されたUPFへのみIPパケット通信ができるように、PNAMは、送信元UPF(Source IP Address)に設定されたIPアドレスプールに紐づくIPアドレス範囲の情報と、宛先UPF(Destination IP Address)に設定されたIPアドレスプールに紐づくIPアドレス範囲の情報と、に基づいてIPフィルタリングを行うようセキュリティGWに通知する。例えば、プライベートネットワークBのUPF1のノードからプライベートネットワークAのUPF1のノードへのパケット送信が許可されているのであれば、PNAMは、プライベートネットワークAのUPF1に設定されたIPアドレスプールに紐づくIPアドレス範囲(192.168.0.1-192.168.0.100)の情報とプライベートネットワークBのUPF1に設定されたIPアドレスプールに紐づくIPアドレス範囲(192.168.1.1-192.168.1.100)の情報とに、に基づいてIPフィルタリングを行うようプライベートネットワークAのセキュリティGW(或いは、プライベートネットワークBのセキュリティGW)に通知する。
 そして、セキュリティGWは、PNAMからの情報に基づいて、送信元IPアドレス及び宛先IPアドレスの双方をフィルタリングする。例えば、プライベートネットワークAのセキュリティGW(或いは、プライベートネットワークBのセキュリティGW)は、送信元IPアドレスがプライベートネットワークBのUPF1に設定されたIPアドレスプールに紐づくIPアドレス範囲(192.168.1.1-192.168.1.100)であるか否かをチェックするとともに、宛先IPアドレスがプライベートネットワークAのUPF1に設定されたIPアドレスプールに紐づくIPアドレス範囲(192.168.0.1-192.168.0.100)であるか否かをチェックする。
 これにより、プライベートネットワークBのUPF1に紐づいているノードからプライベートネットワークAのUPF1に紐づいているノードへの通信に関係するIPパケットのみプライベートネットワークA内に進入させることができる。送信側プライベートネットワークのセキュリティGWで送信元IPアドレスと宛先IPアドレスをチェックしてもよい。しかし、通常状態では、受信側プライベートネットワークのセキュリティGWで送信元IPアドレスと宛先IPアドレスをチェックすることが望ましい。送信側プライベートネットワークのセキュリティGWで、出ていくIPパケットをチェックすると、通常のインターネットへ出ていくIPパケットもフィルタリングしてしまうという不都合があるからである。
 本解決手段によれば、許可されたUPFからのパケットで、なおかつ、許可されたUPFへ到着するパケット以外のパケットを破棄することが可能なため、セキュリティ上の脅威が低下する。
 なお、PNAMは、送信元UPF(Source IP Address)に設定されたIPアドレスプールに紐づくIPアドレス範囲の情報を使用せず、宛先UPF(Destination IP Address)に設定されたIPアドレスプールに紐づくIPアドレス範囲の情報に基づいてIPフィルタリングを行うようセキュリティGWに通知してもよい。そして、セキュリティGWは、PNAMからの情報に基づいて、宛先IPアドレスをフィルタリングしてもよい。このような構成であっても、セキュリティ上の脅威を低減することができる。
<5-4.解決手段3>
 上述の<5-2.解決手段1>及び<5-3.解決手段2>で示した解決手段は、5G場合にも適用可能である。
 図19は、実施形態2の通信システム1の動作の他の例を示す図である。5Gコアでは、SGWとPGWの代わりにUPFというネットワークファンクションが設けられている。IPアドレスを付与する役割は、PGWの代わりに、SMF(Session Management Function)というコントロールプレーンのネットワークファンクションが行う。4Gと同様に複数のUPFを配置することで、急増したトラフィックに対してUPFの能力を増強し、特定の重要なUEが属するUPFを用意することもできる。このとき、SMFはUPF毎に異なるIPアドレスの範囲を割り当てることも可能である。したがって、UPFに割り当てたIPアドレス範囲毎にIPフィルタリングを行えば良いのは、解決手段1及び解決手段2と同様である。
 なお、UPFが1つであっても、SMNF(Session Management Network Function)の機能として、特定のIPアドレスプールからUEにIPアドレスを割り当てることができる場合には、その特定のIPアドレスプール毎にIPフィルタリングを実施してもよい。
 5Gであっても、特定のIPアドレスプールに紐づけてIPフィルタリングすることで、セキュリティ上の脅威を低下させることができる。
<5-5.解決手段4>
 閉域網間通信を行うノードはUEに限られない。閉域網間通信を行う少なくとも一方のノードはAF(Application Function)であってもよい。図20は、実施形態2の通信システム1の動作の他の例を示す図である。プライベートネットワーク内には、図20に示すようにAFを配置することも可能である。
 図20には、プライベートネットワークAのAFがプライベートネットワークBのUE Bと通信する様子が示されている。この場合、IPアドレスが頻繁に変更になってしまう可能性があるのは、UE Bである。しかし、AFによって、IPフィルタリングを実施したくなる場合が有る。この場合、AFのIPアドレスの範囲を決めておく必要がある。AFにIPアドレスを割り当てるのは、SMFではなく、クラウドのシステムなので、異なるIPアドレスプールを割り当てるようにクラウド内部でIPアドレスの割当を決定する。その中で、外と通信可能なAFに割り当てるIPアドレスの範囲を決めればよい。これは、UEのIPアドレスプールとは異なるものになる。内部AF用のIPアドレスは、IPフィルタでブロックされる。1つのプライベートネットワーク内部での通信に使用されるAFだからである。
 プライベートネットワークAの複数のノード(UE/AF)へのIPアドレスプールの割当は例えば以下のとおりである。ここで、内部AFは、プライベートネットワーク内部のノードと通信するAFであり、外部AFは、他のプライベートネットワークのノードと通信するAFである。
 UPF1:192.168.0.1-192.168.0.100
 UPF2:192.168.0.101-192.168.0.200
 UPF3:192.168.0.201-192.168.0.300
 内部AF用:192.168.0.301-192.168.0.400
 外部AF用:192.168.0.401-192.168.0.500
 プライベートネットワークBの複数のノード(UE/AF)へのIPアドレスプールの割当は例えば以下のとおりである。ここで、内部AFは、プライベートネットワーク内部のノードと通信するAFであり、外部AFは、他のプライベートネットワークのノードと通信するAFである。
 UPF1:192.168.1.1-192.168.1.100
 UPF2:192.168.1.101-192.168.1.200
 UPF3:192.168.1.201-192.168.1.300
 内部AF用:192.168.1.301-192.168.1.400
 外部AF用:192.168.1.401-192.168.1.500
 PNAMは、例えば、SMFが割り当てたIPアドレスプールとクラウドが割り当てたIPアドレスプールの2つを使って、IPフィルタリングを行うようセキュリティGWに通知する。セキュリティGWは、SMFが割り当てたIPアドレスプールとクラウドが割り当てたIPアドレスプールの2つを使って、IPフィルタリングを行う。
 本解決手段によれば、安全なUEと安全なAFのみプライベートネットワーク内のノードにパケットを送信することができるため、セキュリティ上の脅威が低下する。
<<6.変形例>>
 上述の実施形態は一例を示したものであり、種々の変更及び応用が可能である。
 例えば、上述の実施形態では「セキュアーな通信で接続された複数の非公衆セルラー閉域網」として、VPNトンネルで接続された複数の4G/5Gプライベートネットワークを例示した。しかしながら、「セキュアーな通信で接続された複数の非公衆セルラー閉域網」はこれに限られず、例えば、「暗号通信するよう構成された複数の4G/5Gプライベートネットワーク」であってもよい。
 本実施形態の管理装置10、基地局20、端末装置30、ネットワーク管理装置40を制御する制御装置は、専用のコンピュータシステムにより実現してもよいし、汎用のコンピュータシステムによって実現してもよい。
 例えば、上述の動作を実行するための通信プログラムを、光ディスク、半導体メモリ、磁気テープ、フレキシブルディスク等のコンピュータ読み取り可能な記録媒体に格納して配布する。そして、例えば、該プログラムをコンピュータにインストールし、上述の処理を実行することによって制御装置を構成する。このとき、制御装置は、管理装置10、基地局20、端末装置30の外部の装置(例えば、パーソナルコンピュータ)であってもよい。また、制御装置は、管理装置10、基地局20、端末装置30、ネットワーク管理装置40の内部の装置(例えば、制御部13、制御部23、制御部33、制御部43)であってもよい。
 また、上記通信プログラムをインターネット等のネットワーク上のサーバ装置が備えるディスク装置に格納しておき、コンピュータにダウンロード等できるようにしてもよい。また、上述の機能を、OS(Operating System)とアプリケーションソフトとの協働により実現してもよい。この場合には、OS以外の部分を媒体に格納して配布してもよいし、OS以外の部分をサーバ装置に格納しておき、コンピュータにダウンロード等できるようにしてもよい。
 また、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、各図に示した各種情報は、図示した情報に限られない。
 また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。なお、この分散・統合による構成は動的に行われてもよい。
 また、上述の実施形態は、処理内容を矛盾させない領域で適宜組み合わせることが可能である。また、上述の実施形態のフローチャートに示された各ステップは、適宜順序を変更することが可能である。
 また、例えば、本実施形態は、装置またはシステムを構成するあらゆる構成、例えば、システムLSI(Large Scale Integration)等としてのプロセッサ、複数のプロセッサ等を用いるモジュール、複数のモジュール等を用いるユニット、ユニットにさらにその他の機能を付加したセット等(すなわち、装置の一部の構成)として実施することもできる。
 なお、本実施形態において、システムとは、複数の構成要素(装置、モジュール(部品)等)の集合を意味し、全ての構成要素が同一筐体中にあるか否かは問わない。従って、別個の筐体に収納され、ネットワークを介して接続されている複数の装置、及び、1つの筐体の中に複数のモジュールが収納されている1つの装置は、いずれも、システムである。
 また、例えば、本実施形態は、1つの機能を、ネットワークを介して複数の装置で分担、共同して処理するクラウドコンピューティングの構成をとることができる。
<<7.むすび>>
 以上説明したように、本実施形態の情報処理装置(例えば、ネットワーク管理装置40)は、VPNトンネルで接続された複数のプライベートネットワークの閉域網間通信を管理する管理機能(PNAM)を備える。複数のプライベートネットワークには、それぞれ、管理機能からの通知に基づき閉域網間通信の制限に関する動作を行うゲートウェイが配置されている。管理機能は、閉域網間通信が行われる2つのプライベートネットワークのうちの少なくとも一方のプライベートネットワークのゲートウェイに対して、閉域網間通信の制限に関する通知を行う。
 例えば、ネットワーク管理装置40の管理機能は、2つのプライベートネットワークうちの一方のプライベートネットワークに属するノード(例えば、UE又はAF)から、他方のプライベートネットワークに属するノード(例えば、UE又はAF)への、アクセスの依頼の情報を取得した場合に、所定の基準に従いアクセスを許可するか否かの決定を行う。アクセスの依頼の情報には、例えば、送信元のノードのIPアドレスが含まれている。そして、管理機能は2つのプライベートネットワークの少なくとも一方のプライベートネットワークのゲートウェイに対して、この決定を通知する。ゲートウェイは、アクセスが許可されたノードのみ閉域網間通信を行えるよう動作する。例えば、ゲートウェイは、送信元のノードのIPアドレスを有するIPパケットがプライベートネットワークに進入できるようIPフィルタリングを行う。これにより、不要な接続を減らすことができるので、セキュリティ上の脅威を減らすことができる。
 また、プライベートネットワークには、それぞれ異なるIPアドレスプールが設定された複数のUPF(User Plane Function)が配置されている。複数のIPアドレスプールには、閉域網間通信に使用されるIPアドレスプールが少なくとも1つ含まれている。そして、ネットワーク管理装置40の管理機能は、閉域網間通信に使用されるIPアドレスプールに紐づくIPアドレス範囲の情報に基づいてIPフィルタリングを行うようゲートウェイに通知する。ゲートウェイは、管理機能からの通知に基づき所定のIPアドレス範囲のIPパケットのみプライベートネットワークに進入できるようIPフィルタリングを行う。これにより、閉域網間通信が許可されたノードのIPアドレスが他のIPアドレスに変更になったとしても、そのIPアドレスが所定のアドレス範囲にあるのであれば、IPフィルタリングは機能する。結果として、セキュリティ上の脅威を低下させることができる。
 以上、本開示の各実施形態について説明したが、本開示の技術的範囲は、上述の各実施形態そのままに限定されるものではなく、本開示の要旨を逸脱しない範囲において種々の変更が可能である。また、異なる実施形態及び変形例にわたる構成要素を適宜組み合わせてもよい。
 また、本明細書に記載された各実施形態における効果はあくまで例示であって限定されるものでは無く、他の効果があってもよい。
 なお、本技術は以下のような構成も取ることができる。
(1)
 セキュアーな通信で接続された複数の非公衆セルラー閉域網の閉域網間通信を管理する情報処理装置により実行される情報処理方法であって、
 前記複数の非公衆セルラー閉域網には、それぞれ、前記情報処理装置からの通知に基づき前記閉域網間通信の制限に関する動作を行うゲートウェイが配置されており、
 前記情報処理装置は、
 前記閉域網間通信が行われる2つの非公衆セルラー閉域網のうちの少なくとも一方の閉域網の前記ゲートウェイに対して、前記閉域網間通信の制限に関する通知を行う、
 情報処理方法。
(2)
 前記2つの非公衆セルラー閉域網うちの一方の閉域網に属する第1のノードから、他方の閉域網に属する第2のノードへの、アクセスの依頼の情報を取得した場合に、所定の基準に従い該アクセスを許可するか否かの決定を行い、
 前記2つの非公衆セルラー閉域網の少なくとも一方の閉域網の前記ゲートウェイに対して、該決定を通知する、
 前記(1)に記載の情報処理方法。
(3)
 所定のノードと接続が許可されるノードの情報が記録された第1の接続許可情報に基づいて、前記第1のノードから前記第2のノードへのアクセスを許可するか否かの決定を行う、
 前記(2)に記載の情報処理方法。
(4)
 前記情報処理装置は、さらに、所定の閉域網と接続が許可される閉域網の情報が記録された第2の接続許可情報に基づいて、前記第1のノードから前記第2のノードへのアクセスを許可するか否かの決定を行う、
 前記(3)に記載の情報処理方法。
(5)
 前記情報処理装置は、さらに、所定のノードと接続が許可されるノードと閉域網の組み合わせの情報が記録された第3の接続許可情報に基づいて、前記第1のノードから前記第2のノードへのアクセスを許可するか否かの決定を行う、
 前記(3)に記載の情報処理方法。
(6)
 前記一方の閉域網と前記他方の閉域網とが接続された後、所定の条件を満たした場合に、前記一方の閉域網と前記他方の閉域網との接続を切断する、
 前記(2)~(5)のいずれかに記載の情報処理方法。
(7)
 前記一方の閉域網と前記他方の閉域網とを跨る通信がなくなって一定時間後に、前記一方の閉域網と前記他方の閉域網との接続を切断する、
 前記(6)に記載の情報処理方法。
(8)
 前記一方の閉域網と前記他方の閉域網とが接続された後、一定時間後に、前記一方の閉域網と前記他方の閉域網とを跨る通信の有無に関わらず、前記一方の閉域網と前記他方の閉域網との接続を切断する、
 前記(6)に記載の情報処理方法。
(9)
 前記一方の閉域網と前記他方の閉域網とを跨る全ての通信の終了通知を受けた場合に、前記一方の閉域網と前記他方の閉域網との接続を切断する、
 前記(6)に記載の情報処理方法。
(10)
 前記ノードは、UE(User Equipment)又はAF(Application Function)である、
 前記(2)~(9)のいずれかに記載の情報処理方法。
(11)
 前記ゲートウェイは、前記情報処理装置からの通知に基づきIPフィルタリングを行うよう構成されており、
 前記非公衆セルラー閉域網には、閉域網間通信に使用されるIPアドレスプールを含む、複数のIPアドレスプールが割り当てられており、
 前記情報処理装置は、前記閉域網間通信に使用されるIPアドレスプールに紐づくIPアドレス範囲の情報に基づいて前記IPフィルタリングを行うよう前記ゲートウェイに通知する、
 前記(1)に記載の情報処理方法。
(12)
 前記非公衆セルラー閉域網は、それぞれ異なるIPアドレスプールが設定された複数のUPF(User Plane Function)を有している、
 前記(11)に記載の情報処理方法。
(13)
 前記複数のUPFのうちの一部のUPFは、該一部のUPFを使用するノードが閉域網間通信をするために用意されたUPFであり、
 前記複数のUPFのうちの他のUPFは、該他のUPFを使用するノードが閉域網内通信するために用意されたUPFである、
 前記(12)に記載の情報処理方法。
(14)
 前記ノードは、UE(User Equipment)である、
 前記(13)に記載の情報処理方法。
(15)
 前記ゲートウェイは、送信元IPアドレスをフィルタリングするよう構成されており、
 前記情報処理装置は、送信元UPFに設定されたIPアドレスプールに紐づくIPアドレス範囲の情報に基づいて前記IPフィルタリングを行うよう前記ゲートウェイに通知する、
 前記(12)~(14)のいずれかに記載の情報処理方法。
(16)
 前記ゲートウェイは、宛先IPアドレスをフィルタリングするよう構成されており、
 前記情報処理装置は、宛先UPFに設定されたIPアドレスプールに紐づくIPアドレス範囲の情報に基づいて前記IPフィルタリングを行うよう前記ゲートウェイに通知する、
 前記(12)~(14)のいずれかに記載の情報処理方法。
(17)
 前記ゲートウェイは、送信元IPアドレス及び宛先IPアドレスの双方をフィルタリングするよう構成されており、
 前記情報処理装置は、送信元UPFに設定されたIPアドレスプールに紐づくIPアドレス範囲の情報と、宛先UPFに設定されたIPアドレスプールに紐づくIPアドレス範囲の情報と、に基づいて前記IPフィルタリングを行うよう前記ゲートウェイに通知する、
 前記(12)~(14)のいずれかに記載の情報処理方法。
(18)
 前記非公衆セルラー閉域網は、AF(Application Function)を有しており、
 前記複数のIPアドレスプールには、前記AFのために用意されたIPアドレスプールが含まれる、
 前記(11)~(17)のいずれかに記載の情報処理方法。
(19)
 セキュアーな通信で接続された複数の非公衆セルラー閉域網の閉域網間通信を管理する管理機能を備える情報処理装置であって、
 前記複数の非公衆セルラー閉域網には、それぞれ、前記管理機能からの通知に基づき前記閉域網間通信の制限に関する動作を行うゲートウェイが配置されており、
 前記管理機能は、
 前記閉域網間通信が行われる2つの非公衆セルラー閉域網のうちの少なくとも一方の閉域網の前記ゲートウェイに対して、前記閉域網間通信の制限に関する通知を行う、
 情報処理装置。
(20)
 セキュアーな通信で接続された複数の非公衆セルラー閉域網の閉域網間通信を管理する情報処理装置と、前記複数の非公衆セルラー閉域網それぞれに配置されたゲートウェイと、を備える情報処理システムであって、
 前記情報処理装置は、前記閉域網間通信が行われる2つの非公衆セルラー閉域網のうちの少なくとも一方の閉域網の前記ゲートウェイに対して、前記閉域網間通信の制限に関する通知を行い、
 前記ゲートウェイは、前記情報処理装置からの通知に基づき前記閉域網間通信の制限に関する動作を行う、
 情報処理システム。
 1 通信システム
 10 管理装置
 20 基地局
 30 端末装置
 40 ネットワーク管理装置
 11、41 通信部
 21、31 無線通信部
 12、22、32、42 記憶部
 13、23、33、43 制御部
 211、311 送信処理部
 212、312 受信処理部
 213、313 アンテナ

Claims (20)

  1.  セキュアーな通信で接続された複数の非公衆セルラー閉域網の閉域網間通信を管理する情報処理装置により実行される情報処理方法であって、
     前記複数の非公衆セルラー閉域網には、それぞれ、前記情報処理装置からの通知に基づき前記閉域網間通信の制限に関する動作を行うゲートウェイが配置されており、
     前記情報処理装置は、
     前記閉域網間通信が行われる2つの非公衆セルラー閉域網のうちの少なくとも一方の閉域網の前記ゲートウェイに対して、前記閉域網間通信の制限に関する通知を行う、
     情報処理方法。
  2.  前記2つの非公衆セルラー閉域網うちの一方の閉域網に属する第1のノードから、他方の閉域網に属する第2のノードへの、アクセスの依頼の情報を取得した場合に、所定の基準に従い該アクセスを許可するか否かの決定を行い、
     前記2つの非公衆セルラー閉域網の少なくとも一方の閉域網の前記ゲートウェイに対して、該決定を通知する、
     請求項1に記載の情報処理方法。
  3.  所定のノードと接続が許可されるノードの情報が記録された第1の接続許可情報に基づいて、前記第1のノードから前記第2のノードへのアクセスを許可するか否かの決定を行う、
     請求項2に記載の情報処理方法。
  4.  前記情報処理装置は、さらに、所定の閉域網と接続が許可される閉域網の情報が記録された第2の接続許可情報に基づいて、前記第1のノードから前記第2のノードへのアクセスを許可するか否かの決定を行う、
     請求項3に記載の情報処理方法。
  5.  前記情報処理装置は、さらに、所定のノードと接続が許可されるノードと閉域網の組み合わせの情報が記録された第3の接続許可情報に基づいて、前記第1のノードから前記第2のノードへのアクセスを許可するか否かの決定を行う、
     請求項3に記載の情報処理方法。
  6.  前記一方の閉域網と前記他方の閉域網とが接続された後、所定の条件を満たした場合に、前記一方の閉域網と前記他方の閉域網との接続を切断する、
     請求項2に記載の情報処理方法。
  7.  前記一方の閉域網と前記他方の閉域網とを跨る通信がなくなって一定時間後に、前記一方の閉域網と前記他方の閉域網との接続を切断する、
     請求項6に記載の情報処理方法。
  8.  前記一方の閉域網と前記他方の閉域網とが接続された後、一定時間後に、前記一方の閉域網と前記他方の閉域網とを跨る通信の有無に関わらず、前記一方の閉域網と前記他方の閉域網との接続を切断する、
     請求項6に記載の情報処理方法。
  9.  前記一方の閉域網と前記他方の閉域網とを跨る全ての通信の終了通知を受けた場合に、前記一方の閉域網と前記他方の閉域網との接続を切断する、
     請求項6に記載の情報処理方法。
  10.  前記ノードは、UE(User Equipment)又はAF(Application Function)である、
     請求項2に記載の情報処理方法。
  11.  前記ゲートウェイは、前記情報処理装置からの通知に基づきIPフィルタリングを行うよう構成されており、
     前記非公衆セルラー閉域網には、閉域網間通信に使用されるIPアドレスプールを含む、複数のIPアドレスプールが割り当てられており、
     前記情報処理装置は、前記閉域網間通信に使用されるIPアドレスプールに紐づくIPアドレス範囲の情報に基づいて前記IPフィルタリングを行うよう前記ゲートウェイに通知する、
     請求項1に記載の情報処理方法。
  12.  前記非公衆セルラー閉域網は、それぞれ異なるIPアドレスプールが設定された複数のUPF(User Plane Function)を有している、
     請求項11に記載の情報処理方法。
  13.  前記複数のUPFのうちの一部のUPFは、該一部のUPFを使用するノードが閉域網間通信をするために用意されたUPFであり、
     前記複数のUPFのうちの他のUPFは、該他のUPFを使用するノードが閉域網内通信するために用意されたUPFである、
     請求項12に記載の情報処理方法。
  14.  前記ノードは、UE(User Equipment)である、
     請求項13に記載の情報処理方法。
  15.  前記ゲートウェイは、送信元IPアドレスをフィルタリングするよう構成されており、
     前記情報処理装置は、送信元UPFに設定されたIPアドレスプールに紐づくIPアドレス範囲の情報に基づいて前記IPフィルタリングを行うよう前記ゲートウェイに通知する、
     請求項12に記載の情報処理方法。
  16.  前記ゲートウェイは、宛先IPアドレスをフィルタリングするよう構成されており、
     前記情報処理装置は、宛先UPFに設定されたIPアドレスプールに紐づくIPアドレス範囲の情報に基づいて前記IPフィルタリングを行うよう前記ゲートウェイに通知する、
     請求項12に記載の情報処理方法。
  17.  前記ゲートウェイは、送信元IPアドレス及び宛先IPアドレスの双方をフィルタリングするよう構成されており、
     前記情報処理装置は、送信元UPFに設定されたIPアドレスプールに紐づくIPアドレス範囲の情報と、宛先UPFに設定されたIPアドレスプールに紐づくIPアドレス範囲の情報と、に基づいて前記IPフィルタリングを行うよう前記ゲートウェイに通知する、
     請求項12に記載の情報処理方法。
  18.  前記非公衆セルラー閉域網は、AF(Application Function)を有しており、
     前記複数のIPアドレスプールには、前記AFのために用意されたIPアドレスプールが含まれる、
     請求項11に記載の情報処理方法。
  19.  セキュアーな通信で接続された複数の非公衆セルラー閉域網の閉域網間通信を管理する管理機能を備える情報処理装置であって、
     前記複数の非公衆セルラー閉域網には、それぞれ、前記管理機能からの通知に基づき前記閉域網間通信の制限に関する動作を行うゲートウェイが配置されており、
     前記管理機能は、
     前記閉域網間通信が行われる2つの非公衆セルラー閉域網のうちの少なくとも一方の閉域網の前記ゲートウェイに対して、前記閉域網間通信の制限に関する通知を行う、
     情報処理装置。
  20.  セキュアーな通信で接続された複数の非公衆セルラー閉域網の閉域網間通信を管理する情報処理装置と、前記複数の非公衆セルラー閉域網それぞれに配置されたゲートウェイと、を備える情報処理システムであって、
     前記情報処理装置は、前記閉域網間通信が行われる2つの非公衆セルラー閉域網のうちの少なくとも一方の閉域網の前記ゲートウェイに対して、前記閉域網間通信の制限に関する通知を行い、
     前記ゲートウェイは、前記情報処理装置からの通知に基づき前記閉域網間通信の制限に関する動作を行う、
     情報処理システム。
PCT/JP2022/039658 2021-11-10 2022-10-25 情報処理方法、情報処理装置、及び情報処理システム WO2023085078A1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202280073303.9A CN118176761A (zh) 2021-11-10 2022-10-25 信息处理方法、信息处理装置和信息处理系统

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2021-183483 2021-11-10
JP2021183483 2021-11-10

Publications (1)

Publication Number Publication Date
WO2023085078A1 true WO2023085078A1 (ja) 2023-05-19

Family

ID=86335714

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2022/039658 WO2023085078A1 (ja) 2021-11-10 2022-10-25 情報処理方法、情報処理装置、及び情報処理システム

Country Status (2)

Country Link
CN (1) CN118176761A (ja)
WO (1) WO2023085078A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021031861A1 (zh) * 2019-08-16 2021-02-25 华为技术有限公司 数据回传方法以及设备
US20210211975A1 (en) * 2020-01-02 2021-07-08 Apple Inc. Non-Public Wireless Communication Networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021031861A1 (zh) * 2019-08-16 2021-02-25 华为技术有限公司 数据回传方法以及设备
US20210211975A1 (en) * 2020-01-02 2021-07-08 Apple Inc. Non-Public Wireless Communication Networks

Also Published As

Publication number Publication date
CN118176761A (zh) 2024-06-11

Similar Documents

Publication Publication Date Title
US11785479B2 (en) Terminal device and communication method
US20170352941A1 (en) Position-based antenna switching
WO2022131100A1 (ja) 通信装置、及び通信方法
WO2021241302A1 (ja) 情報処理装置、情報処理システム及び通信方法
WO2023085092A1 (ja) 情報処理方法、情報処理装置、及び情報処理システム
WO2023085078A1 (ja) 情報処理方法、情報処理装置、及び情報処理システム
WO2021192930A1 (ja) アプリケーションファンクションノード及び通信方法
WO2023002682A1 (ja) 情報処理装置、通信装置、情報処理方法、通信方法、及び通信システム
WO2024195529A1 (ja) 端末装置、情報処理装置及び通信方法
US20230337123A1 (en) Management device, management method, wireless communication device, and wireless communication method
WO2024070555A1 (ja) 情報処理装置、及び情報処理方法
WO2023182203A1 (ja) 情報処理方法、情報処理装置、及び情報処理システム
WO2023149185A1 (ja) 通信装置、通信方法、及び通信システム
WO2023127173A1 (ja) 通信方法、通信装置、及び通信システム
WO2021192946A1 (ja) 基地局装置、アプリケーションファンクションノード及び通信方法
WO2024070677A1 (ja) 端末装置、及び通信方法
CN118872250A (zh) 信息处理方法、信息处理设备和信息处理系统
WO2024181091A1 (ja) 通信装置、情報処理装置、通信方法、及び情報処理方法
WO2023189515A1 (ja) 通信装置、及び通信方法
WO2024203373A1 (ja) 基地局、端末装置、通信方法、及び通信システム
WO2022153866A1 (ja) 通信装置、通信方法、及び通信システム
WO2023106066A1 (ja) 通信装置、通信方法、及び通信システム
WO2024203517A1 (ja) 端末装置、制御装置、通信方法、及び情報処理方法
WO2024203379A1 (ja) 基地局、端末装置、通信方法、及び通信システム
WO2023166969A1 (ja) 通信装置、及び通信方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22892578

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 202280073303.9

Country of ref document: CN