JP2006121728A - Communication system, mobile terminal device, gateway device, and communication control method - Google Patents
Communication system, mobile terminal device, gateway device, and communication control method Download PDFInfo
- Publication number
- JP2006121728A JP2006121728A JP2005328833A JP2005328833A JP2006121728A JP 2006121728 A JP2006121728 A JP 2006121728A JP 2005328833 A JP2005328833 A JP 2005328833A JP 2005328833 A JP2005328833 A JP 2005328833A JP 2006121728 A JP2006121728 A JP 2006121728A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- mobile terminal
- network
- terminal device
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、移動通信網とローカル網の双方に同時接続可能な移動端末装置、固定通信網とローカル網との間を中継するゲートウェイ装置、それらを含む通信システム及び通信制御方法に関する。 The present invention relates to a mobile terminal device that can be simultaneously connected to both a mobile communication network and a local network, a gateway device that relays between a fixed communication network and a local network, a communication system including them, and a communication control method.
携帯電話の爆発的普及と、インターネットの広がりに伴い、携帯電話を端末とするインターネットサービスの展開が各移動通信事業者により進められている。携帯電話内にインターネットで使用されるTCP/IPという通信プロトコルを処理するモジュールを組み込んで、WWWサービスやメールの配信、画像情報の転送などを行うものである。これにより、通信事業者内にのみ閉じた情報のみならず、全世界に広がるインターネット内の情報を自由にアクセスできるという利点があり、ユーザ数も急速に拡大している。 With the explosive spread of mobile phones and the spread of the Internet, the development of Internet services using mobile phones as terminals is being promoted by mobile communication companies. A module for processing a communication protocol called TCP / IP used on the Internet is incorporated in a mobile phone to perform WWW service, mail distribution, image information transfer, and the like. As a result, there is an advantage that not only the information closed only within the communication carrier but also the information in the Internet spreading all over the world can be freely accessed, and the number of users is rapidly expanding.
さて、膨大なユーザ数を抱える携帯電話インターネットサービスにとって、どのように各端末にアドレスを割り当てるか、という重大な問題がある。現在、インターネットにおいては、拡大するノード(ルータや端末)の数に対してIPアドレスの枯渇が問題であると言われており、一般に現状のIPv4では、例えば企業網などでは、プライベートアドレスという内部に閉じたアドレス対系を使用し、外部へのアクセスのみをアドレス変換を行ってグローバルアドレスで行う、という方法が採られている。携帯電話によるインターネットサービスの場合も、携帯電話会社のIPパケット網とグローバルインターネットとの境界にアドレス変換装置(NAT:Network Address Translator)を配置することで、携帯電話網内をプライベートアドレスで構築することで対応しているのが現状である。 Now, there is a serious problem of how to assign an address to each terminal for a cellular phone Internet service having a huge number of users. Currently, in the Internet, it is said that IP address depletion is a problem with the number of nodes (routers and terminals) that are expanding. Generally, in the current IPv4, for example, in a corporate network, it is a private address. A closed address pair system is used, and only access to the outside is performed using a global address by performing address translation. Even in the case of Internet service using a mobile phone, an address translation device (NAT) is placed at the boundary between the IP packet network of the mobile phone company and the global Internet, so that the mobile phone network can be built with a private address. This is the current situation.
一方、次世代のIP規約としてIPv6というものが検討されている。IPv6では、IPv4で32ビット幅であったIPアドレスを、128ビット幅まで拡張することで、IPv4より遥かに多数のノードを収容できるようになる。携帯電話インターネットにおいても、IPv6を採用することで、全ての端末に対しユニークなグローバルアドレスを割り当てることができる。これにより、広いアドレス空間を用いて、経路途中にNATなどの中継装置を介することなく、エンド間をシームレスに接続した通信ができ、セキュリティや通信品質の保証など様々な面で有利であると言われている。また、IPv6では、各ルータが管理するネットワークIDと、機器固有のIDから自動的にアドレスを生成する、アドレス自動構成という機能があり、末端のホストの運用が容易であるという特徴がある。 On the other hand, IPv6 is being studied as a next-generation IP protocol. In IPv6, an IP address that was 32 bits wide in IPv4 can be expanded to 128 bits wide, so that a much larger number of nodes can be accommodated than in IPv4. Also in the mobile phone Internet, by adopting IPv6, a unique global address can be assigned to all terminals. As a result, using a wide address space, it is possible to communicate seamlessly between ends without using a relay device such as NAT in the middle of the route, which is advantageous in various aspects such as security and guarantee of communication quality. It has been broken. In addition, IPv6 has a feature of automatic address configuration that automatically generates an address from a network ID managed by each router and a device-specific ID, and is characterized by easy operation of the end host.
また、最近になり、無線技術の発展に伴い、各種の機器を無線網でローカルに接続する技術が広がりを見せている。一例として、近距離の機器間を2.4GHz Unlicensedな電波帯を使って接続するBluetooth(登録商標)という無線標準がある。Bluetooth(登録商標)では、pico−net(登録商標)と呼ばれるad−hoc網を機器が構成し、相互でデータ通信を行うことができる。同様のネットワーク規約として、家庭内ネットワークを目指すHomeRFなどもある。 Recently, with the development of wireless technology, technology for connecting various devices locally via a wireless network has been spreading. As an example, there is a wireless standard called Bluetooth (registered trademark) that connects devices in a short distance using a 2.4 GHz Unlicensed radio wave band. In Bluetooth (registered trademark), devices constitute an ad-hoc network called pico-net (registered trademark), and data communication can be performed mutually. Similar network rules include HomeRF, which aims to be a home network.
ここで、例えば携帯電話網でIPv6方式に基づいてパケットサービスを導入しIPv6により携帯電話網およびISP網を経由してインターネットアクセスできるという状況を想定する。ここでは、家庭網内においては、ゲートウェイ装置を経由してインターネット接続が行われ、ゲートウェイ装置はBluetooth(登録商標)などのローカル(無線)網により、各種の機器と接続されているものとする。一方、携帯端末は、携帯電話網を介してインターネット接続が可能で、かつ、別の通信インタフェースでBluetooth(登録商標)網とも接続可能であるとする。すなわち、携帯電話のユーザは、家の外では携帯電話網のIPネットワークに接続してサービスを受け、家の中では固定ISP網に接続するゲートウェイにBluetooth(登録商標)網経由で接続してサービスを受ける、という状況を想定する。 Here, for example, a situation is assumed in which a packet service is introduced based on the IPv6 system in a mobile phone network, and Internet access is possible via the mobile phone network and ISP network using IPv6. Here, in the home network, it is assumed that Internet connection is made via a gateway device, and the gateway device is connected to various devices via a local (wireless) network such as Bluetooth (registered trademark). On the other hand, it is assumed that the mobile terminal can be connected to the Internet via a mobile phone network and can also be connected to a Bluetooth (registered trademark) network via another communication interface. That is, the user of the mobile phone is connected to the IP network of the mobile phone network outside the house to receive service, and is connected to the gateway connected to the fixed ISP network through the Bluetooth (registered trademark) network inside the house. Assume a situation of receiving.
さて、ここで、ある携帯端末が、家庭内のBluetooth(登録商標)網に接続する場合に、全ての携帯端末が接続可能であるとは限らない。家庭内ということを考えると、家族が所有する携帯端末などのように、アクセス権限あるいはアクセス資格を持つ携帯端末は接続できるが、それ以外の携帯端末がBluetooth(登録商標)網で接続するのは許可しない、という制御が考えられる。しかし、この方法では、家族以外の来訪者が、家庭網を使ってインターネットにアクセスするのを全く許さないので、融通性がない、ポリシーであるといえる。特に、家庭に限らない固定アクセス網の場合、会員資格を持った端末は無償で接続できるが、非会員であってもしかるべき対価を支払えば接続できるように制御することが望ましい。もしくは、課金することはしなくても、少なくとも予め許諾されていない端末がアクセス網に接続する場合、そのログ情報だけは取得して、悪意を持ったユーザが不正行為などをしないように監視することが必要である。 Now, when a certain portable terminal is connected to a Bluetooth (registered trademark) network in the home, not all portable terminals are connectable. Considering that it is in the home, portable terminals with access authority or access qualifications such as portable terminals owned by family members can be connected, but other portable terminals are connected via the Bluetooth (registered trademark) network. Control that does not allow is conceivable. However, with this method, visitors other than family members are not allowed to access the Internet using the home network, so it can be said that the policy is inflexible. In particular, in the case of a fixed access network that is not limited to a home, a terminal with membership can be connected free of charge, but it is desirable to control so that a non-member can connect if paying an appropriate price. Or, at least when a terminal that is not licensed in advance connects to the access network even if there is no charge, only the log information is obtained and monitored so that a malicious user does not cheat. It is necessary.
以上をまとめると、単にユーザ登録を行った携帯端末のみに接続を許可するのではなく、予め許諾されていない端末についても、所定の課金、ログ取得といった処理を行った上で接続を許可することが望ましい。 To summarize the above, it is not only permitted to connect only to the mobile terminal for which user registration has been performed, but also to permit connection to a terminal that has not been previously permitted after performing predetermined accounting and log acquisition processing. Is desirable.
また、逆方向に、固定網内の機器や、ゲートウェイ経由でインターネットからなされるアクセスを、どのように携帯電話網内のリソースにアクセスさせるか、という点も問題である。これは一般に全てのアクセスが携帯電話ユーザの責任に帰せられるので、しかるべき認証シーケンスを経た上で、携帯電話がproxyとして動作する必要がある。例えば、携帯電話との間で予め定めたメッセージ、認証コードを通信したり、ゲートウェイ内に設けた携帯網アクセスリストにエントリすることにより、アクセスの正当性を証明し、これをクリアした場合のみ、携帯端末は電話網側リソースをアクセスさせ、これ以外のメッセージはフィルタすることで、電話網側リソースが攻撃、不正使用されることを防ぐ必要がある。 Also, in the reverse direction, there is a problem of how to access resources in the mobile phone network by accessing the devices in the fixed network or from the Internet via the gateway. In general, since all access is attributed to the mobile phone user, the mobile phone needs to operate as a proxy after an appropriate authentication sequence. For example, by communicating a predetermined message and authentication code with a mobile phone or entering a mobile network access list provided in the gateway to prove the legitimacy of access, only when this is cleared, It is necessary for the mobile terminal to access the telephone network side resource and to filter other messages to prevent the telephone network side resource from being attacked or illegally used.
本発明は、上記事情を考慮してなされたもので、ある移動端末装置とは別の装置がローカル網から該移動端末装置を介して該移動端末装置の所属する通信事業者網内のリソースにアクセスすることを可能とする通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法を提供することを目的とする。 The present invention has been made in view of the above circumstances, and a device different from a certain mobile terminal device is transferred from a local network to a resource in a communication carrier network to which the mobile terminal device belongs via the mobile terminal device. It is an object to provide a communication system, a mobile terminal device, a gateway device, and a communication control method that allow access.
本発明は、移動通信網とローカル網の双方に同時接続可能な移動端末装置と、固定通信網と前記ローカル網との間を中継するゲートウェイ装置とを含む通信システムにおいて、前記移動端末装置は、前記ローカル網を介して、前記ローカル網上の通信装置または前記ゲートウェイ装置を介して接続された通信装置から、自移動端末装置を経由する前記移動通信網側へのアクセスの要求を受信した場合に、該通信装置を認証するための手段と、この認証に成功した場合に、前記通信装置から前記移動通信網側へのパケットを中継する処理を開始させるための手段とを備えたことを特徴とする。 The present invention relates to a communication system including a mobile terminal device that can be simultaneously connected to both a mobile communication network and a local network, and a gateway device that relays between a fixed communication network and the local network. When a request for access to the mobile communication network side via its own mobile terminal device is received from a communication device on the local network or a communication device connected via the gateway device via the local network And means for authenticating the communication device, and means for starting a process of relaying a packet from the communication device to the mobile communication network when the authentication is successful. To do.
また、本発明は、移動通信網とローカル網の双方に同時接続可能な移動端末装置と、固定通信網と前記ローカル網との間を中継するゲートウェイ装置とを含む通信システムにおいて、前記ゲートウェイ装置は、前記固定通信網側から、前記移動端末装置を経由する前記移動通信網側へのパケットを受信した場合に、該パケットの持つ所定の属性に基づいて該パケットを前記移動端末装置へ中継すべきか否かを判断するための手段と、この手段によって中継すべきと判断されたパケットを、前記ローカル網を介して前記移動端末装置へ転送するための手段とを備え、前記移動端末装置は、前記ローカル網上の通信装置から、自移動端末装置を経由する前記移動通信網側へのアクセスの要求を受信した場合に、該通信装置を認証するための手段と、この認証に成功した場合に、前記通信装置から前記移動通信網側へのパケットを中継する処理を開始させるための手段とを備えたことを特徴とする。 Further, the present invention provides a communication system including a mobile terminal device that can be simultaneously connected to both a mobile communication network and a local network, and a gateway device that relays between the fixed communication network and the local network. Whether the packet should be relayed to the mobile terminal apparatus based on a predetermined attribute of the packet when a packet is received from the fixed communication network side to the mobile communication network side via the mobile terminal apparatus Means for determining whether or not, and means for transferring a packet determined to be relayed by this means to the mobile terminal device via the local network, the mobile terminal device comprising: Means for authenticating the communication device when a request for access to the mobile communication network side via the mobile terminal device is received from a communication device on the local network; Upon successful authentication, characterized by comprising a means for initiating the process of relaying the packet to the mobile communication network side from the communication device.
また、本発明は、移動通信網とローカル網の双方に同時接続可能な移動端末装置であって、前記移動通信網に対しデータを入出力するための第1の通信インタフェースと、前記ローカル網に対しデータを入出力するための第2の通信インタフェースと、前記第1の通信インタフェースを介したパケット通信と、前記第2の通信インタフェースを介したパケット通信とを行うためのパケット通信手段と、前記第2の通信インタフェースを介して、前記ローカル網上の通信装置から、自移動端末装置を経由する前記移動通信網側へのアクセスの要求を受信した場合に、該通信装置を認証するための手段と、この認証に成功した場合に、前記ローカル網上の通信装置から前記移動通信網側へのパケットを中継する処理を開始させるための手段とを備えたことを特徴とする。 The present invention is also a mobile terminal device that can be simultaneously connected to both a mobile communication network and a local network, the first communication interface for inputting / outputting data to / from the mobile communication network, and the local network A second communication interface for inputting / outputting data to / from the packet, a packet communication unit for performing packet communication via the first communication interface, and packet communication via the second communication interface; Means for authenticating the communication device when a request for access to the mobile communication network side via the mobile terminal device is received from the communication device on the local network via the second communication interface And means for starting a process of relaying a packet from the communication device on the local network to the mobile communication network when the authentication is successful. Characterized in that was.
本発明は、固定通信網とローカル網との間を中継するゲートウェイ装置であって、前記固定動通信網に対しデータを入出力するための第1の通信インタフェースと、前記ローカル網に対しデータを入出力するための第2の通信インタフェースと、前記第1の通信インタフェースを介したパケット通信と、前記第2の通信インタフェースを介したパケット通信とを行うためのパケット通信手段と、前記第1の通信インタフェースを介して前記固定通信網側から、移動通信網と前記ローカル網の双方に同時接続可能な移動端末装置を経由する前記移動通信網側へのパケットを受信した場合に、該パケットの持つ所定の属性に基づいて該パケットを前記第2の通信インタフェースを介して前記移動端末装置へ中継すべきか否かを判断するための手段と、この手段によって中継すべきと判断されたパケットを、前記第2の通信インタフェースを介して前記移動端末装置へ転送するための手段とを備えたことを特徴とする。 The present invention is a gateway device that relays between a fixed communication network and a local network, and includes a first communication interface for inputting / outputting data to / from the fixed mobile communication network, and data to the local network. A second communication interface for inputting / outputting; a packet communication means for performing packet communication via the first communication interface; and packet communication via the second communication interface; When a packet is received from the fixed communication network side via the communication interface to the mobile communication network side via a mobile terminal device that can be simultaneously connected to both the mobile communication network and the local network, the packet has Means for determining whether to relay the packet to the mobile terminal device via the second communication interface based on a predetermined attribute A packet is determined to be relayed by this means, it is characterized in that a means for transferring to the mobile terminal device via the second communication interface.
なお、装置に係る本発明は方法に係る発明としても成立し、方法に係る本発明は装置に係る発明としても成立する。また、装置または方法に係る本発明は、コンピュータに当該発明に相当する手順を実行させるための(あるいはコンピュータを当該発明に相当する手段として機能させるための、あるいはコンピュータに当該発明に相当する機能を実現させるための)プログラムを記録したコンピュータ読取り可能な記録媒体としても成立する。 The present invention relating to the apparatus is also established as an invention relating to a method, and the present invention relating to a method is also established as an invention relating to an apparatus. Further, the present invention relating to an apparatus or a method has a function for causing a computer to execute a procedure corresponding to the invention (or for causing a computer to function as a means corresponding to the invention, or for a computer to have a function corresponding to the invention. It can also be realized as a computer-readable recording medium on which a program (for realizing) is recorded.
本発明によれば、認証あるいはアクセス許可の手続きを経ることによって、ある移動端末装置とは別の装置がローカル網から該移動端末装置を介して該移動端末装置の所属する通信事業者網内のリソースにアクセスすることが可能になる。 According to the present invention, by going through an authentication or access permission procedure, a device different from a certain mobile terminal device is connected from the local network via the mobile terminal device to the communication carrier network to which the mobile terminal device belongs. The resource can be accessed.
以下、図面を参照しながら発明の実施の形態を説明する。 Hereinafter, embodiments of the invention will be described with reference to the drawings.
図1に、本実施形態に係る通信システムの構成例を示す。 FIG. 1 shows a configuration example of a communication system according to the present embodiment.
図1において、12で示す点線で囲まれた範囲内が、移動通信事業者網の部分である。移動通信事業者網12内では、携帯電話網6やルータ装置4を介して、複数のネットワークリンクが接続されている。ルータ装置4は、少なくとも、通常のルータ(例えばIPv4あるいはIPv6に対応するルータ)としての機能を有するものとする。
In FIG. 1, the area surrounded by a dotted line indicated by 12 is a portion of the mobile communication carrier network. In the
移動通信事業者網12は、もともと通常の音声通話のサービスを提供するものである場合を想定するが、図1では、通常の音声通話のサービスを提供するための構成は省略している。なお、本実施形態では、1つの移動通信事業者が、自身の提供するパケット通信網を1つの管理ドメインとして管理する場合を例にとって説明するが、その他にも、1つの移動通信事業者が複数の管理ドメインを持つケースや、複数の移動通信事業者が提携するなどして共通の1つの管理ドメインを持つケースもあり、またそれらの組み合わせも考えられる。
Although it is assumed that the mobile
移動端末装置(例えば、携帯端末、携帯電話)20は、それが存在する地理的位置に応じた無線基地局5を介して、該当するネットワークリンクに接続されることになる。そして、移動端末装置20は、同一のネットワークリンク内のノードや、ルータ装置4を介した同一管理ドメイン内のノードや、ルータ装置4からインターネット7を介した管理ドメイン外部のノード(例えば、サーバ8)と、(IPv4あるいはIPv6などにより)パケット通信が可能になる。携帯電話網6内に会員専用サービスを行うためのサーバ14が存在する場合には、該サーバ14と(IPv4あるいはIPv6などにより)パケット通信可能である。
The mobile terminal device (for example, mobile terminal, mobile phone) 20 is connected to the corresponding network link via the
なお、異なる移動通信事業者により運営される複数の移動通信事業者網12があってもよい。この場合に、移動端末装置20は、いずれか1つの移動通信事業者に属するものであるとする。
There may be a plurality of mobile
一方、図1において、11で示す点線で囲まれた範囲内が、ホームネットワークの部分である。ホームネットワーク11内では、家庭内ローカル網3を介して、各種の機器2やゲートウェイ装置1が接続される。本実施形態では、家庭内ローカル網3は、ローカル無線網であり、その具体例としてBluetooth(登録商標)である場合を例にとって説明する。移動端末装置20は、家庭内ローカル網3に接続するための機能をも有する。
On the other hand, in FIG. 1, the area surrounded by the dotted
1つのISP網9には、複数のホームネットワーク11〜11’が接続され得る。各々のホームネットワーク11〜11’は基本的な構成は同じである(具体的な構成は異なり得る)。
A plurality of
ホームネットワーク11のゲートウェイ装置1は、固定通信網(ここでは、ISP網とする)9を介して外部のインターネット7と接続される。なお、本実施形態では、1つのISP事業者が、自身の提供するISP網を1つの管理ドメインとして管理する場合を例にとって説明するが、その他にも、1つの事業者が複数の管理ドメインを持つケースや、複数の事業者が提携するなどして共通の1つの管理ドメインを持つケースもあり、またそれらの組み合わせも考えられる。
The
家庭内ローカル網3に接続された移動端末装置20や機器2は、(所定の手続きを経た上で)ゲートウェイ装置1およびISP網9を介してインターネット7上のサーバ8と(IPv4あるいはIPv6などにより)パケット通信可能である。さらに、例えばISP網9内に会員専用サービスを行うためのサーバ10が存在する場合に該サーバ10と(IPv4あるいはIPv6などにより)パケット通信可能である。
The mobile terminal device 20 and the
なお、11や12で示す点線は、基本的な構成を論理的に説明するためのものであり、無線網のカバーエリアを示すものではない。本実施形態では、移動端末装置20は、移動通信事業者網12と家庭内ローカル網3とに同時接続可能とする。
The dotted lines indicated by 11 and 12 are for logical explanation of the basic configuration and do not indicate the coverage area of the wireless network. In the present embodiment, the mobile terminal device 20 can be simultaneously connected to the mobile
図2に、本実施形態のゲートウェイ装置1の構成例を示す。
In FIG. 2, the structural example of the
このゲートウェイ装置1は、ISP網9と接続するための第1の通信インタフェース31、家庭内ローカル網3と接続するための第2の通信インタフェース32、これら通信インタフェースを中継するデータ中継部33、ローカル網接続許可リスト34、電話網アクセス許可リスト35、認証・課金処理部36を備えている。なお、必要であれば、データ中継装置33は、これら通信インタフェースを中継する際にプロトコル変換やメディア変換などを行う機能を含んでもよい。
The
ローカル網接続許可リスト34は、第2の通信インタフェース32側のローカル網3に接続可能な装置の機器IDのリストを保持するためのものである。認証・課金処理部36は、移動端末装置20からのメッセージをもとに、必要な課金サーバ、ログサーバなどのサーバ群を探索し、必要なトランザクションを行うためのものである。電話網アクセス許可リスト35は、ISP網9側から、当該ゲートウェイ装置1/家庭内ローカル通信網3/移動端末装置20を介して、携帯電話網6側に直接アクセス可能とする、ソース・アドレス、プロトコル種別、ポート番号などを示すリストである。
The local network
なお、ローカル網接続許可リスト34は、課金やログの機能をサポートする構成を採用する場合に必要となる。認証・課金処理部36は、課金の機能をサポートする構成を採用する場合に必要となる。電話網アクセス許可リスト35は、移動端末装置20がローカル網3側からの携帯電話網6への中継を行い且つゲートウェイ装置1でその許否を判断する構成を採用する場合に必要となる。
The local network
図3に、本実施形態の移動端末装置20の構成例を示す。 FIG. 3 shows a configuration example of the mobile terminal device 20 of the present embodiment.
図3に示されるように、この移動端末装置20は、移動通信事業者網12と接続するための第1の通信インタフェース23、家庭内ローカル網3と接続するための第2の通信インタフェース24、通常の音声通話のための音声通話機構21、(IPv4あるいはIPv6などによる)パケット通信のためのパケット通信機構22、IDレジスタ25、識別メッセージ生成部26、認証部27を備えている。
As shown in FIG. 3, the mobile terminal device 20 includes a
移動端末装置20の機器ID(機器を一意に識別する情報)や所属事業者情報(所属する移動通信事業者を一意に識別する情報である所属事業者ID等)などの識別情報は、IDレジスタ25に格納されている。識別メッセージ生成部26は、必要な場合に、該識別情報を含むメッセージを生成し、適当なインタフェースを経由して、転送する。認証部27は、認証鍵格納メモリ28と認証処理部29を含み、ローカル網3側からの携帯電話網6へのアクセスに際して、所定の認証処理を行う。
Identification information such as the device ID of the mobile terminal device 20 (information that uniquely identifies the device) and affiliated carrier information (affiliated carrier ID that is information that uniquely identifies the mobile communication carrier to which the mobile terminal device 20 belongs) is stored in an ID register. 25. The
なお、IDレジスタ25、識別メッセージ生成部26は、課金やログの機能をサポートする構成を採用する場合に必要となる。認証部27は、移動端末装置20がローカル網3側からの携帯電話網6への中継を行う構成を採用する場合に必要となる。
The ID register 25 and the
以下では、本実施形態の動作について詳しく説明する。 Hereinafter, the operation of this embodiment will be described in detail.
ここで、まず、移動端末装置がローカル網に接続する場合の認証ポリシーを考える。一般に、任意の端末がローカル網に繋がるというのは、セキュリティ上、好ましくないので、何らかの認証処理が必要である。例えば、家庭網を考えると、家族が所有する携帯電話のみがローカル網に繋がるというケースである。すなわち、機器のIDを調べ、これを予め登録しておいたアクセス許可リストと照合し、合致した機器のみに接続を許可する、というポリシーである。しかし、この場合、例えば来客がその家庭網を経由してISPアクセスを行うというサービスは、設定ファイルを書き換えるといった煩雑な処理を行わないとできなくなる。本実施形態では、そのような未登録のユーザにもある程度のサービスを条件付きで行うということを考える。 Here, first, an authentication policy when the mobile terminal device is connected to the local network is considered. In general, it is not preferable from the viewpoint of security that an arbitrary terminal is connected to the local network, so some kind of authentication processing is required. For example, when considering a home network, only a mobile phone owned by a family is connected to the local network. That is, the policy is to check the ID of the device, check this against a pre-registered access permission list, and permit connection only to the matching device. However, in this case, for example, a service in which a visitor accesses the ISP via the home network cannot be performed unless complicated processing such as rewriting the setting file is performed. In the present embodiment, it is considered that a certain level of service is provided to such unregistered users.
さて、不特定のユーザにローカル網を使われたくないという理由を考えると、主に以下の2つの理由である。 Now, considering the reason that unspecified users do not want to use the local network, there are mainly the following two reasons.
(1)ローカル網の利用に対する対価を負担して欲しい。
これは、家庭網だけでなく、例えば公共のエリアに対するローカル無線サービスを携帯事業者Aが行うような例を考えるとより明確になる(図4参照)。このローカル無線網はBluetooth(登録商標)のようなオープンな規格で構成されているので、携帯電話事業者A向けの携帯端末だけでなく、他の携帯電話事業者BやCの携帯端末を保持するユーザであっても無線規格の面ではサービス可能であるが、携帯電話事業者Aとしては、自身が設備投資したローカル無線網を、何らの対価なしに、他事業者の契約者に使用させることはできないと考えられる。しかし、携帯電話事業者BやCの携帯端末を使用するユーザに適当な使用料を課金できる仕組みがあれば、ユーザの利便性を考えて、課金を了承したユーザに限って、そのローカル無線網への接続に応じるということも考えられる。すなわち、未登録ユーザであっても、使用料を負担してくれるユーザであれば、接続に応じてもよい、という場合がある。このためには、課金機構、認証機構とのリンクが必要になる。
(1) We would like you to pay the price for using the local network.
This becomes clearer when considering an example in which the mobile operator A provides a local wireless service for a public area as well as a home network (see FIG. 4). Since this local wireless network is configured with an open standard such as Bluetooth (registered trademark), it holds not only mobile terminals for mobile phone operator A but also mobile terminals of other mobile phone operators B and C. Even if the user is a user, the service can be provided in terms of the wireless standard, but the mobile phone operator A allows a contractor of another operator to use the local wireless network that it has made a capital investment without any consideration. It is considered impossible. However, if there is a mechanism that can charge an appropriate usage fee to a user who uses the mobile terminal of the mobile phone carrier B or C, the local wireless network can be used only by the user who has approved the charge for the convenience of the user. It may be possible to respond to the connection to. That is, even a non-registered user may accept a connection if he / she pays a usage fee. For this purpose, a link with a charging mechanism and an authentication mechanism is required.
(2)悪意を持ったネットワーク攻撃など、不正行為を行わないように監視した上で、使用を許可したい。
一方、もし悪意を持ってネットワーク攻撃などの不正行為を行うユーザがいた場合、セキュリティの点からも、現行のISP契約ではローカル網を保持するユーザに保証責任が及ぶという点からも、不特定の機器に使用を許可することは望ましくないという考え方がある。すなわち、接続しているユーザのジョブを所定のサーバで監視し、このユーザが不正行為などを行わないようログ管理することを条件として、接続を許可するというポリシーがあり得る。もちろん、過去に不正行為などがあったユーザに対しては接続を拒絶するなどのアクションも起こりうる。
(2) I would like to authorize the use after monitoring to prevent unauthorized actions such as malicious network attacks.
On the other hand, if there is a user who performs malicious acts such as a network attack with malicious intent, it is unspecified from the viewpoint of security and the current ISP contract covers the guarantee responsibility to the user holding the local network. There is a notion that it is not desirable to allow devices to be used. That is, there may be a policy of permitting connection on the condition that a job of a connected user is monitored by a predetermined server and log management is performed so that the user does not perform an illegal act. Of course, an action such as rejecting the connection may occur for a user who has had an illegal act in the past.
以上の条件を満足するためには、移動端末装置の識別情報、移動通信事業者の課金サーバ、ISP網のユーザ履歴情報サーバなど、複数のサーバ、クライアントを渡る認証課金メッセージ体系が必要である。 In order to satisfy the above conditions, an authentication billing message system is required that spans multiple servers and clients, such as mobile terminal device identification information, mobile carrier billing server, and ISP network user history information server.
まず、図5を参照しながら、上記の(1)に示したローカル網接続の対価を移動端末装置20のユーザが負担する場合について説明する。 First, the case where the user of the mobile terminal device 20 bears the consideration for the local network connection shown in (1) above will be described with reference to FIG.
なお、あるホームネットワーク11のゲートウェイ装置1のローカル網接続許可リスト34には、その1または複数のユーザが使用する1または複数の移動端末装置20の機器IDや、その他の機器2の機器IDが、予め登録されているものとする。
The local network
移動端末装置20は、(ISP網9を利用するために)家庭内ローカル網3に接続する際、まず、ゲートウェイ装置1に、自装置の機器IDを含むメッセージを通知する。なお、機器2についても同様である。
When connecting to the home local network 3 (to use the ISP network 9), the mobile terminal device 20 first notifies the
このメッセージを受信したゲートウェイ装置1は、メッセージに含まれる機器IDがローカル網接続許可リスト34に登録されているか否か調べ、登録されているならば、ゲートウェイ装置1は、該移動端末装置20に対してゲートウェイ・サービスを提供し、該移動端末装置20は、ゲートウェイ装置1を介してISP網9に接続することができる(ゲートウェイ装置1から移動端末装置20にその旨のメッセージを送信するようにしてもよい)。この場合は、ISP網9の使用料は、契約者に課金される。なお、登録されている機器2についても同様である。
The
一方、機器IDがゲートウェイ装置1のローカル網接続許可リスト34に登録されていないならば、ゲートウェイ装置1は、その旨を示すメッセージを移動端末装置20に返信する。
On the other hand, if the device ID is not registered in the local network
このメッセージを受信した移動端末装置20は、所属事業者IDなどの所属事業者情報を含むメッセージをゲートウェイ装置1に送信する。図6に、このメッセージの一例を示す。
The mobile terminal device 20 that has received this message transmits a message including affiliated company information such as affiliated company ID to the
なお、上記では、機器IDと所属事業者情報を別々のメッセージで送信したが、移動端末装置20からゲートウェイ装置1へ、機器IDおよび所属事業者情報を1つのメッセージで送信するようにしてもよい。
In the above description, the device ID and the affiliated company information are transmitted as separate messages, but the device ID and the affiliated company information may be transmitted from the mobile terminal device 20 to the
さて、ゲートウェイ装置1は、ローカル網接続許可リスト34に登録されていなかった移動端末装置20について、自身の接続するISP網9の課金サーバ101を調べるとともに、移動端末装置20から通知された所属事業者情報に基づき、インターネット7上で移動端末装置20が所属する移動通信事業者の課金サーバ102を調べる(なお、課金サーバ101と課金サーバ102のいずれかにアクセスできなかった場合には、処理を終了するものとする)。また、ISP網9のゲスト利用について予め定められた料金体系(この情報を予め記憶しておいてもよいし、必要時に例えば課金サーバ102などから入手してもよい)に基づき、ISP事業者側の料金負担額等の条件を移動端末装置20に提示し、これを了承するか否かを問い合わせるメッセージを送信する。
Now, the
このメッセージを受信した移動端末装置20では、料金負担額等の条件に関する情報をユーザに提示するとともに、その料金負担条件でのISP網9の利用を了承するか否かについてのユーザからの入力を受け付ける。 The mobile terminal device 20 that has received this message presents information related to conditions such as a charge burden to the user, and also provides an input from the user as to whether or not to accept the use of the ISP network 9 under the charge burden condition. Accept.
ユーザからその料金負担条件での利用を了承する旨またはそれを拒絶する旨が入力されたならば、移動端末装置20は、その了承または拒絶の旨のメッセージを、ゲートウェイ装置1に送信する。
If the user inputs that the usage under the fee sharing condition is accepted or rejected, the mobile terminal device 20 transmits a message indicating the acceptance or rejection to the
ゲートウェイ装置1が移動端末装置20から拒絶の旨のメッセージを受信した場合には、ゲートウェイ装置1は、処理を終了させる(ゲートウェイ装置1は、この移動端末装置20にゲートウェイ・サービスを提供しないことになる)。
When the
ゲートウェイ装置1が移動端末装置20から了承の旨のメッセージを受信した場合には、ゲートウェイ装置1は、その移動端末装置20の機器IDおよび所属事業者情報を含む了承の旨のメッセージを、ISP網9の課金サーバ101に中継する(ゲートウェイ装置1は、この移動端末装置20にゲートウェイ・サービスを提供することになる)。
When the
移動端末装置20からのメッセージを受信したISP網9の課金サーバ101は、移動端末装置20が所属する移動通信事業者の課金サーバ102に、課金メッセージを送り、料金の振り替えを受ける(なお、ゲートウェイ装置1が課金サーバ102に課金メッセージを送るようにしてもよい)。この金額は、固定料金とは限らず、接続時間に応じた従量課金の場合もあるので、その場合は、ISP事業者側で接続時間を計測し、その結果に応じて移動通信事業者の課金サーバ102に課金メッセージを送る。
The
なお、移動端末装置20から了承の旨のメッセージを受信したゲートウェイ装置1は、これに対する確認応答のメッセージを移動端末装置20に返し、移動端末装置20は、この確認応答のメッセージを受信した後に、通信を開始するようにしてもよい。
The
なお、上記では、移動端末装置20のユーザが了承または拒絶を入力したが、予め移動端末装置20に、料金負担額等の条件と、了承または拒絶との間の関係を(例えばテーブルあるいは関数などを用いて)設定しておき、ユーザに条件を提示して了承または拒絶の確認を取ることなく、自動的に判断して応答するようにしてもよい。 In the above description, the user of the mobile terminal apparatus 20 inputs approval or rejection. However, the mobile terminal apparatus 20 is previously notified of the relationship between the conditions such as the charge amount and the approval or rejection (for example, a table or a function). It is also possible to automatically determine and respond without presenting conditions to the user and confirming acceptance or rejection.
また、図6のメッセージに、移動端末装置20の属する通信事業者(図6の通信事業者IDで示される通信事業者)におけるユーザ・クラス(例えばユーザ・クラスによって料金体系や享受できるサービスの内容等が相違する)の情報を付加し、ユーザ・クラスに応じて制御内容を変えることも可能である。例えば、この通信事業者側のユーザ・クラスに応じてISP網9側でも移動端末装置20(のユーザ)に対する課金の料金体系や提供するサービスの内容等を異ならせるようにしてもよい。あるいは、一定以上のサービス・クラスを持つ移動端末装置20のみ(前述のユーザの了承を条件に)ISP網9にアクセス可能とすることもできる。 Further, in the message of FIG. 6, the user class (for example, the fee structure and the contents of services that can be enjoyed by the user class) in the telecommunications carrier to which the mobile terminal device 20 belongs (the telecommunications carrier indicated by the telecommunications carrier ID in FIG. 6). It is also possible to change the control content according to the user class. For example, depending on the user class on the telecommunications carrier side, the billing fee system for the mobile terminal device 20 (or its user), the contents of the service to be provided, etc. may be made different on the ISP network 9 side. Alternatively, only the mobile terminal device 20 having a service class of a certain level or more can be made accessible to the ISP network 9 (subject to the above-mentioned user's approval).
次に、図7を参照しながら、前述の(2)の移動端末装置20のユーザのアクションをログ管理する場合について説明する。 Next, with reference to FIG. 7, a case will be described in which the user action of the mobile terminal device 20 (2) described above is log-managed.
なお、あるホームネットワーク11のゲートウェイ装置1のローカル網接続許可リスト34には、その1または複数のユーザが使用する1または複数の移動端末装置20の機器IDや、その他の機器2の機器IDが、予め登録されているものとする。
The local network
移動端末装置20は、(ISP網9を利用するために)家庭内ローカル網3に接続する際、まず、ゲートウェイ装置1に、自装置の機器IDを含むメッセージを通知する。なお、機器2についても同様である。
When connecting to the home local network 3 (to use the ISP network 9), the mobile terminal device 20 first notifies the
このメッセージを受信したゲートウェイ装置1は、メッセージに含まれる機器IDがローカル網接続許可リスト34に登録されているか否か調べ、登録されているならば、ゲートウェイ装置1は、該移動端末装置20に対してゲートウェイ・サービスを提供し、該移動端末装置20は、ゲートウェイ装置1を介してISP網9に接続することができる(ゲートウェイ装置1から移動端末装置20にその旨のメッセージを送信するようにしてもよい)。なお、登録されている機器2についても同様である。
The
一方、機器IDがゲートウェイ装置1のローカル網接続許可リスト34に登録されていないならば、ゲートウェイ装置1は、その旨を示すメッセージを移動端末装置20に返信する。
On the other hand, if the device ID is not registered in the local network
このメッセージを受信した移動端末装置20は、所属事業者IDなどの所属事業者情報を含むメッセージ(例えば図6)をゲートウェイ装置1に送信する。
The mobile terminal device 20 that has received this message transmits a message (eg, FIG. 6) including affiliated company information such as the affiliated company ID to the
なお、上記では、機器IDと所属事業者情報を別々のメッセージで送信したが、移動端末装置20からゲートウェイ装置1へ、機器IDおよび所属事業者情報を1つのメッセージで送信するようにしてもよい。
In the above description, the device ID and the affiliated company information are transmitted as separate messages, but the device ID and the affiliated company information may be transmitted from the mobile terminal device 20 to the
さて、ゲートウェイ装置1は、ローカル網接続許可リスト34に登録されていなかった移動端末装置20について、機器IDと所属事業者情報に基づいて、ISP網7内のログサーバ201を検索する。
Now, the
ゲートウェイ装置1が最初に移動端末装置20のユーザ情報を含む機器IDおよび所属事業者情報を含む検索メッセージをログサーバ201に送った際には、ログサーバ201では、ユーザ情報リストを調べ、過去に不正なアクセスを行った履歴を示す不正ユーザマークがないかどうかをチェックする。
When the
移動端末装置20に対して不正ユーザマークが記録されていた場合は、ログサーバ201はゲートウェイ装置1にアクセスを拒絶する旨のメッセージを送信し、ゲートウェイ装置1は該メッセージを移動端末装置20に返答する(この移動端末装置20はISP網9にアクセスすることができないことになる)。
When an unauthorized user mark is recorded for the mobile terminal device 20, the
移動端末装置20に対して不正ユーザマークが記録されていなかった場合は、ログサーバ201はゲートウェイ装置1にアクセスを許可する旨のメッセージを送信し、ゲートウェイ装置1は該メッセージを移動端末装置20に返答する(この移動端末装置20はISP網9にアクセスすることができることになる)。
When the unauthorized user mark is not recorded for the mobile terminal device 20, the
移動端末装置20(のユーザ)に対してアクセス許可がなされると、それ以降の移動端末装置20のアクションでゲートウェイ装置1が把握したもの全て(またはそのうちISP網7側ジョブのみ)が、ゲートウェイ装置1からログサーバ201に転送される。ログサーバ201には、ユーザ情報リストとログ情報が格納されており、移動端末装置20のISP網7側ジョブのログが保存される。ログ解析は、バックエンドのログ解析サーバ(図示せず)により行われ、もし不正なアクションが含まれる場合、ユーザ情報リストに不正ユーザマークを行う。
When access is granted to the mobile terminal device 20 (user), all the
なお、移動端末装置20から了承の旨のメッセージを受信したゲートウェイ装置1は、これに対する確認応答のメッセージを移動端末装置20に返し、移動端末装置20は、この確認応答のメッセージを受信した後に、通信を開始するようにしてもよい。
The
以上の手続きを未登録の移動端末装置20でのISPアクセス毎に行う。 The above procedure is performed for each ISP access in the unregistered mobile terminal device 20.
なお、(1)と同様にして、未登録の移動端末装置20から接続の条件としてログを記録することについての了承(あるいは、ログを記録し、不正アクセスが認められた場合には、不正ユーザとして登録され、以降、アクセスを拒絶することになるということについての了承)を得た場合に、接続可能とするようにしてもよい。 As in (1), consent to record a log as a connection condition from an unregistered mobile terminal device 20 (or an unauthorized user if a log is recorded and unauthorized access is permitted. If it is registered as, and after that (acknowledgment that access will be denied), connection may be made possible.
また、図7ではISP網7側に専用のログサーバ201が配置される場合を例にとって説明したが、ログサーバは例えばゲートウェイ装置1に附属して設置するなどしてもよい。
In FIG. 7, the case where the
ところで、図5で説明した(1)課金に関する構成と、図7で説明した(2)ログに関する構成とは、組み合わせて実施することが可能である。この場合には、登録されていない移動端末装置20のユーザが課金に了承し、かつ、該移動端末装置20に対して不正ユーザマークがなかったときに、該移動端末装置20はゲートウェイ装置1を介してISP網9にアクセスすることが可能になる。
By the way, the (1) billing configuration described in FIG. 5 and the (2) log configuration described in FIG. 7 can be implemented in combination. In this case, when the user of the unregistered mobile terminal device 20 approves the charge and there is no unauthorized user mark for the mobile terminal device 20, the mobile terminal device 20 uses the
図8に、以上をまとめた動作を示す。 FIG. 8 shows an operation that summarizes the above.
移動端末装置20は、家庭内ローカル網3に接続する際に、自身の機器IDだけでなく、所属事業者IDなどIDレジスタ25の内容をもとに識別メッセージを識別メッセージ生成部26で生成し、これを第2の通信インタフェース24を経由して、ゲートウェイ装置1に転送する(ステップS1)。
When the mobile terminal device 20 connects to the home
ゲートウェイ装置1側では、まず、ローカル網接続許可リスト34の内容と移動端末装置20の機器IDとを比較し、該当するエントリがあるかどうかを判断する。
On the
該当するエントリがあればアクセス可能である(ステップS2)。 If there is a corresponding entry, it can be accessed (step S2).
該当するエントリがない場合、所属事業者ID、ユーザ情報などをもとにアクセス条件をISP網7側の認証サーバ(図示せず)に問い合わせる(ステップS3)。
If there is no corresponding entry, an access condition is inquired to an authentication server (not shown) on the
認証サーバは、移動端末装置20がISP網7を使用する条件(課金、ログ管理など)を提示するので(ステップS4)、ゲートウェイ装置1は、この条件を中継し(ステップS5)、移動端末装置20のユーザからの応答を待つ。
Since the authentication server presents conditions (billing, log management, etc.) for the mobile terminal device 20 to use the ISP network 7 (step S4), the
ユーザが了承したら(ステップS6)、必要な条件処理を行う。 If the user approves (step S6), necessary condition processing is performed.
課金を行う場合、ISP網7の課金サーバ101に、課金先のサーバ(例えば移動通信事業者の課金サーバ102)と課金条件を通知する(ステップS7)。この結果、使用量に従って課金が行われる。
When charging is performed, the charging
また、ログ取得を行う場合、ログサーバ201内の不正ユーザリストとの照合を行い(ステップS7)、不正履歴がなければ、ログ取得する旨をセットして、使用可能である旨を移動端末装置20に通知する。
Further, when log acquisition is performed, a check against the unauthorized user list in the
さて、次に、図9を参照しながら、移動端末装置20が携帯電話網6と家庭内ローカル網3とをブリッジした状態で、家庭内ローカル網3側の機器2が携帯電話網6側にあるリソース(サーバ)301をアクセスする場合について説明する。
Next, referring to FIG. 9, in a state where the mobile terminal device 20 bridges the
例えば、家庭内ローカル網3に接続されたPDA機器2が、携帯電話網6側にあるPIMデータ(例えばスケジュール表など)301をアクセスして同期処理する、などの例が考えられる。また、家庭内ローカル網3側から携帯電話網6へのアクセスは、家庭内ローカル網3に直接接続する機器2だけとは限らず、例えばISP網7側からゲートウェイ装置1を経由して行われることもあり得る。
For example, an example is conceivable in which the
この場合、移動端末装置20が家庭内ローカル網3側からのアクセスに自身のアクセス権を貸与するわけであるから、移動端末装置20が利用を許可した場合のみ、アクセスを許すという手続きが必要である。
In this case, since the mobile terminal device 20 lends its access right to access from the home
また、ISP網7側からのアクセスに対しては、ゲートウェイ装置1内に設けた電話網アクセス許可リスト35にエントリすることにより、アクセスの正当性を証明し、これをクリアした場合のみ、移動端末装置20は、携帯電話網6側リソースをアクセスさせ、これ以外のメッセージは、フィルタすることで、携帯電話網6側のリソース301が攻撃、不正使用されることを防ぐ必要がある。
For access from the
具体的に、移動端末装置20が双方のインタフェース23,24で接続している場合に、ある機器2が携帯電話網6へのアクセスを希望した場合を想定する。
Specifically, it is assumed that a
図10に、この場合の異動端末装置20の処理の一例を示す。 FIG. 10 shows an example of processing of the transfer terminal device 20 in this case.
この場合、この機器2は、予め携帯電話網6側にアクセス登録を行って、認証のための鍵を登録してあるものとする。その鍵は、移動端末装置20の認証鍵格納メモリ28に、当該機器2のID情報とペアで格納されている。
In this case, it is assumed that the
機器2が携帯電話網6をアクセスする場合、この認証鍵を使って例えばMD5などの一方向ハッシュ関数によるメッセージ認証コードを所定の形式のメッセージに付与して移動端末装置20へ送る。
When the
移動端末装置20は、このメッセージを受信すると(ステップS11)、認証処理を行う(ステップS12)。例えば、メッセージのヘッダのID情報(例えばIPアドレス)をキーに認証鍵を検索し、機器2がメッセージ認証コードを生成したときと同じ方式(例えばMD5)によりメッセージ認証コードを計算し、メッセージに付与されている(機器2により生成された)メッセージ認証コードと、自装置が生成したメッセージ認証コードとが一致するかどうかを検査する。
When receiving this message (step S11), the mobile terminal device 20 performs an authentication process (step S12). For example, an authentication key is searched using the ID information (for example, IP address) of the message header as a key, the message authentication code is calculated by the same method (for example, MD5) when the
認証に成功した場合、例えば上記の例で2つのメッセージ認証コードが一致した場合には(ステップS12)、機器2にAckを返し、以後の機器2からのアクセスを携帯電話網6に転送する(ステップS13)。
If the authentication is successful, for example, if the two message authentication codes match in the above example (step S12), Ack is returned to the
一方、認証に失敗した場合、例えば上記の例で2つのメッセージ認証コードが一致しなかった場合には(ステップS12)、機器2にNackを返す(ステップS13)。以後の機器2からのアクセスの携帯電話網6への転送は行われない。
On the other hand, if the authentication fails, for example, if the two message authentication codes do not match in the above example (step S12), Nack is returned to the device 2 (step S13). Subsequent access from the
また、ある装置のISP網7側からのゲートウェイ装置1経由でのアクセスが、移動端末装置20を経由して、携帯電話網6側にアクセスすることを希望する場合も、同様に、認証鍵の共有と、メッセージ認証コードによるシーケンスが使用できる(図10参照)。
Similarly, when the access from the
ただし、一般的に、ISP網7側からのアクセスが少ない場合には、ゲートウェイ装置1内の電話網アクセス許可リスト35と、送信元アドレス、プロトコル種別、ポート番号などのマッチングを検査することで、(ゲートウェイ装置1が)アクセス許可を与えるようにしてもよい。この場合、移動端末装置20は、ゲートウェイ装置1を介して転送されてきたパケットについては、上記のような認証は行わない。
However, generally, when there is little access from the
以上説明してきたように、本実施形態によれば、ある移動端末装置がローカル網(Bluetooth(登録商標)など)/ゲートウェイを経由してISP網にアクセスできるが、予めISP網へのアクセス権限あるいはアクセス資格を持っていないような場合に、携帯端末装置のユーザからISP事業者へ対価を支払うための手続きや、携帯端末装置に対するログを記録して監視するための手続きを経ることによって、該ある移動端末装置がローカル網/ゲートウェイを経由してISP網にアクセスできるようになる。また、ある移動端末装置が携帯電話網とローカル網に接続可能な場合に、ローカル網上の機器あるいは固定通信網上の装置(ゲートウェイ/ローカル網を経由するもの)は、認証あるいはアクセス許可の手続きを経ることによって、該移動端末装置を経由して、携帯電話網側のリソースへアクセスできるようになる。本実施形態では、ゲートウェイ上のアクセス制御リストと、携帯電話がゲートウェイ経由で送信する認証、課金メッセージを組み合わせることで、前者の要求に対応し、また家庭網機器と異動端末装置との間の認証シーケンスを定義し、これをクリアしたもののみに携帯電話網側リソースをアクセスさせることで、認証された電話網アクセスを可能とすることができる。さらに、これら詳細の設定条件は、各種ネットワーク(家庭網、携帯電話網、固定通信網など)のポリシーに合わせて細かく調整することも可能である。例えば、携帯電話網事業者Aに対しては、固定通信網事業B側でアクセスログの処理を代行するなどの提携関係がある場合、これを考慮して、認証、課金メッセージの転送を行うことも可能である。このようなカスタム化は、(各ネットワークの基本ポリシーを覆さない範囲で)自由に考えられる。 As described above, according to this embodiment, a certain mobile terminal device can access an ISP network via a local network (such as Bluetooth (registered trademark)) / gateway. If the user does not have access qualifications, the procedure is performed through a procedure for paying the consideration from the user of the mobile terminal device to the ISP provider and a procedure for recording and monitoring the log for the mobile terminal device. The mobile terminal device can access the ISP network via the local network / gateway. In addition, when a mobile terminal device can be connected to a mobile phone network and a local network, a device on the local network or a device on the fixed communication network (via the gateway / local network) can perform authentication or access permission procedures. Through the mobile terminal device, it becomes possible to access resources on the mobile phone network side via the mobile terminal device. In this embodiment, the access control list on the gateway, authentication sent by the mobile phone via the gateway, and a billing message are combined to respond to the former request, and authentication between the home network device and the transfer terminal device An authenticated telephone network access can be made possible by defining a sequence and allowing the mobile phone network side resources to access only those that have cleared the sequence. Furthermore, these detailed setting conditions can be finely adjusted according to the policies of various networks (home network, mobile phone network, fixed communication network, etc.). For example, for mobile phone network operator A, if there is a tie-up relationship such as proxying access log processing on the fixed communication network business B side, authentication and billing message transfer should be performed taking this into account Is also possible. Such customization can be freely considered (as long as the basic policy of each network is not overturned).
なお、これまでは、移動端末装置は、通常の音声通話機能を有するものを想定して説明したが、この機能とともにまたはこの機能に代えて、文字通信やその他の形態の情報についての通信機能を持つものであってもよい。また、インターネットサービスのみを利用可能な装置であってもよい。移動通信事業者が提供するサービスについても、同様である。 Until now, the mobile terminal device has been described assuming that it has a normal voice call function. However, in addition to or instead of this function, a communication function for text communication and other forms of information is provided. You may have it. Moreover, the apparatus which can utilize only an internet service may be sufficient. The same applies to services provided by mobile carriers.
また、以上では、ホームネットワークを例にとって説明したが、もちろん、他のローカルネットワークであっても本発明は同様に適用可能である。 In the above description, the home network has been described as an example. Of course, the present invention can be similarly applied to other local networks.
また、本発明は、既存のIPv4あるいはIPv6機器の動作を変更せずに適用することも可能であり、また、従来のIPv4あるいはIPv6のアドレッシングアーキテクチャを変更せずに適用することも可能である。したがって、既存機器との互換性などの点でも望ましい。 The present invention can also be applied without changing the operation of existing IPv4 or IPv6 equipment, and can also be applied without changing the conventional IPv4 or IPv6 addressing architecture. Therefore, it is desirable in terms of compatibility with existing equipment.
なお、本実施形態は、様々な移動通信事業者のネットワーク管理ポリシーに合わせ、容易に拡張可能である。また、本発明は、IPv4あるいはIPv6にとらわれることなく、現在種々提案されている携帯電話によるパケット通信網に対しても適用可能で、上述した実施の形態に限定されず、その技術的範囲において種々変形して実施することができる。 Note that this embodiment can be easily expanded in accordance with network management policies of various mobile communication carriers. In addition, the present invention is not limited to IPv4 or IPv6, and can be applied to a packet communication network using cellular phones that are currently proposed in various ways. The present invention is not limited to the above-described embodiment, and various in the technical scope thereof. It can be implemented with deformation.
なお、以上の各機能は、ソフトウェアとしても実現可能である。また、本実施形態は、コンピュータに所定の手段を実行させるための(あるいはコンピュータを所定の手段として機能させるための、あるいはコンピュータに所定の機能を実現させるための)プログラムを記録したコンピュータ読取り可能な記録媒体としても実施することもできる。 The above functions can also be realized as software. Further, the present embodiment is a computer readable recording program for causing a computer to execute predetermined means (or for causing a computer to function as predetermined means or for causing a computer to realize predetermined functions). It can also be implemented as a recording medium.
なお、各実施形態で例示した構成は一例であって、それ以外の構成を排除する趣旨のものではなく、例示した構成の一部を他のもので置き換えたり、例示した構成の一部を省いたり、例示した構成に別の機能を付加したり、それらを組み合わせたりすることなどによって得られる別の構成も可能である。また、例示した構成と論理的に等価な別の構成、例示した構成と論理的に等価な部分を含む別の構成、例示した構成の要部と論理的に等価な別の構成なども可能である。また、例示した構成と同一もしくは類似の目的を達成する別の構成、例示した構成と同一もしくは類似の効果を奏する別の構成なども可能である。また、各種構成部分についての各種バリエーションは、適宜組み合わせて実施することが可能である。また、各実施形態は、個別装置としての発明、関連を持つ2つ以上の装置についての発明、システム全体としての発明、個別装置内部の構成部分についての発明、またはそれらに対応する方法の発明等、種々の観点、段階、概念またはカテゴリに係る発明を包含・内在するものである。従って、この発明の実施の形態に開示した内容からは、例示した構成に限定されることなく発明を抽出することができるものである。 Note that the configuration illustrated in each embodiment is an example, and is not intended to exclude other configurations, and a part of the illustrated configuration may be replaced with another, or a part of the illustrated configuration may be omitted. Other configurations obtained by adding another function to the illustrated configuration or combining them are also possible. Also, another configuration that is logically equivalent to the exemplified configuration, another configuration that includes a portion that is logically equivalent to the exemplified configuration, another configuration that is logically equivalent to the main part of the illustrated configuration, and the like are possible. is there. Further, another configuration that achieves the same or similar purpose as the illustrated configuration, another configuration that achieves the same or similar effect as the illustrated configuration, and the like are possible. Various variations of various components can be implemented in appropriate combination. In addition, each embodiment includes an invention as an individual device, an invention about two or more related devices, an invention as a whole system, an invention about components within an individual device, or an invention of a method corresponding to them. Including or including inventions relating to various viewpoints, stages, concepts, or categories. Therefore, the present invention can be extracted from the contents disclosed in the embodiments of the present invention without being limited to the exemplified configuration.
本発明は、上述した実施の形態に限定されるものではなく、その技術的範囲において種々変形して実施することができる。 The present invention is not limited to the embodiment described above, and can be implemented with various modifications within the technical scope thereof.
1…ゲートウェイ装置、2…機器、3…家庭内ローカル網、4…ルータ装置、5…無線、
6…携帯電話網、7…インターネット、8…サーバ装置、9…ISP網、10…ISP網内サーバ、14…携帯電話網内サーバ、20…移動端末装置、21…音声通話機構、22…パケット通信機構、23,24,31,32…通信インタフェース、25…IDレジスタ、26…識別メッセージ生成部、27…認証部、33…データ中継部、34…ローカル網接続許可リスト、35…電話網アクセス許可リスト、36…認証・課金処理部、101,102…課金サーバ、201…ログサーバ
DESCRIPTION OF
DESCRIPTION OF
Claims (10)
前記移動端末装置は、
前記ローカル網を介して、前記ローカル網上の通信装置または前記ゲートウェイ装置を介して接続された通信装置から、自移動端末装置を経由する前記移動通信網側へのアクセスの要求を受信した場合に、該通信装置を認証するための手段と、
この認証に成功した場合に、前記通信装置から前記移動通信網側へのパケットを中継する処理を開始させるための手段とを備えたことを特徴とする通信システム。 In a communication system including a mobile terminal device that can be simultaneously connected to both a mobile communication network and a local network, and a gateway device that relays between the fixed communication network and the local network,
The mobile terminal device
When a request for access to the mobile communication network via its own mobile terminal device is received from a communication device on the local network or a communication device connected via the gateway device via the local network Means for authenticating the communication device;
And a means for starting a process of relaying a packet from the communication device to the mobile communication network when the authentication is successful.
前記ゲートウェイ装置は、
前記固定通信網側から、前記移動端末装置を経由する前記移動通信網側へのパケットを受信した場合に、該パケットの持つ所定の属性に基づいて該パケットを前記移動端末装置へ中継すべきか否かを判断するための手段と、
この手段によって中継すべきと判断されたパケットを、前記ローカル網を介して前記移動端末装置へ転送するための手段とを備え、
前記移動端末装置は、
前記ローカル網上の通信装置から、自移動端末装置を経由する前記移動通信網側へのアクセスの要求を受信した場合に、該通信装置を認証するための手段と、
この認証に成功した場合に、前記通信装置から前記移動通信網側へのパケットを中継する処理を開始させるための手段とを備えたことを特徴とする通信システム。 In a communication system including a mobile terminal device that can be simultaneously connected to both a mobile communication network and a local network, and a gateway device that relays between the fixed communication network and the local network,
The gateway device is
Whether a packet should be relayed to the mobile terminal apparatus based on a predetermined attribute of the packet when a packet is received from the fixed communication network side to the mobile communication network side via the mobile terminal apparatus Means for determining whether or not
Means for transferring a packet determined to be relayed by this means to the mobile terminal device via the local network,
The mobile terminal device
Means for authenticating the communication device when a request for access to the mobile communication network side via the mobile terminal device is received from the communication device on the local network;
And a means for starting a process of relaying a packet from the communication device to the mobile communication network when the authentication is successful.
前記移動通信網に対しデータを入出力するための第1の通信インタフェースと、
前記ローカル網に対しデータを入出力するための第2の通信インタフェースと、
前記第1の通信インタフェースを介したパケット通信と、前記第2の通信インタフェースを介したパケット通信とを行うためのパケット通信手段と、
前記第2の通信インタフェースを介して、前記ローカル網上の通信装置から、自移動端末装置を経由する前記移動通信網側へのアクセスの要求を受信した場合に、該通信装置を認証するための手段と、
この認証に成功した場合に、前記ローカル網上の通信装置から前記移動通信網側へのパケットを中継する処理を開始させるための手段とを備えたことを特徴とする移動端末装置。 A mobile terminal device capable of simultaneous connection to both a mobile communication network and a local network,
A first communication interface for inputting / outputting data to / from the mobile communication network;
A second communication interface for inputting / outputting data to / from the local network;
Packet communication means for performing packet communication via the first communication interface and packet communication via the second communication interface;
For authenticating the communication device when a request for access to the mobile communication network side via the mobile terminal device is received from the communication device on the local network via the second communication interface. Means,
A mobile terminal device comprising: means for starting a process of relaying a packet from the communication device on the local network to the mobile communication network when the authentication is successful.
前記固定動通信網に対しデータを入出力するための第1の通信インタフェースと、
前記ローカル網に対しデータを入出力するための第2の通信インタフェースと、
前記第1の通信インタフェースを介したパケット通信と、前記第2の通信インタフェースを介したパケット通信とを行うためのパケット通信手段と、
前記第1の通信インタフェースを介して前記固定通信網側から、移動通信網と前記ローカル網の双方に同時接続可能な移動端末装置を経由する前記移動通信網側へのパケットを受信した場合に、該パケットの持つ所定の属性に基づいて該パケットを前記第2の通信インタフェースを介して前記移動端末装置へ中継すべきか否かを判断するための手段と、
この手段によって中継すべきと判断されたパケットを、前記第2の通信インタフェースを介して前記移動端末装置へ転送するための手段とを備えたことを特徴とするゲートウェイ装置。 A gateway device that relays between a fixed communication network and a local network,
A first communication interface for inputting / outputting data to / from the fixed dynamic communication network;
A second communication interface for inputting / outputting data to / from the local network;
Packet communication means for performing packet communication via the first communication interface and packet communication via the second communication interface;
When receiving a packet from the fixed communication network side via the first communication interface to the mobile communication network side via a mobile terminal device that can be simultaneously connected to both the mobile communication network and the local network, Means for determining whether or not to relay the packet to the mobile terminal device via the second communication interface based on a predetermined attribute of the packet;
A gateway device comprising: means for transferring a packet determined to be relayed by the means to the mobile terminal device via the second communication interface.
前記ローカル網上の通信装置から、自移動端末装置を経由する前記移動通信網側へのアクセスの要求を受信した場合に、該通信装置を認証するステップと、
この認証に成功した場合に、前記ローカル網上の通信装置から前記移動通信網側へのパケットを中継する処理を開始するステップとを有することを特徴とする通信制御方法。 A communication control method for a mobile terminal device capable of simultaneous connection to both a mobile communication network and a local network,
Authenticating the communication device when a request for access to the mobile communication network side via the mobile terminal device is received from the communication device on the local network;
And a step of relaying a packet from the communication device on the local network to the mobile communication network when the authentication is successful.
前記固定通信網側から、移動通信網と前記ローカル網の双方に同時接続可能な移動端末装置を経由する前記移動通信網側へのパケットを受信した場合に、該パケットの持つ所定の属性に基づいて該パケットを前記第2の通信インタフェースを介して前記移動端末装置へ中継すべきか否かを判断するステップと、
このステップにおいて中継すべきと判断されたパケットを、前記移動端末装置へ転送するステップとを有することを特徴とする通信制御方法。 A gateway device communication control method for relaying between a fixed communication network and a local network,
When a packet is received from the fixed communication network side to the mobile communication network side via a mobile terminal device that can be simultaneously connected to both the mobile communication network and the local network, based on a predetermined attribute of the packet Determining whether or not to relay the packet to the mobile terminal device via the second communication interface;
And a step of transferring the packet determined to be relayed in this step to the mobile terminal device.
前記ローカル網上の通信装置から、自移動端末装置を経由する前記移動通信網側へのアクセスの要求を受信した場合に、該通信装置を認証するステップと、
この認証に成功した場合に、前記ローカル網上の通信装置から前記移動通信網側へのパケットを中継する処理を開始するステップとを前記コンピュータに実行させるためのプログラムを記録したコンピュータ読取り可能な記録媒体。 A computer-readable recording medium recording a program for causing a computer incorporated in a mobile terminal device capable of simultaneous connection to both a mobile communication network and a local network to execute communication control,
Authenticating the communication device when a request for access to the mobile communication network side via the mobile terminal device is received from the communication device on the local network;
A computer-readable record recording a program for causing the computer to execute a step of relaying a packet from the communication device on the local network to the mobile communication network when the authentication is successful Medium.
前記固定通信網側から、移動通信網と前記ローカル網の双方に同時接続可能な移動端末装置を経由する前記移動通信網側へのパケットを受信した場合に、該パケットの持つ所定の属性に基づいて該パケットを前記第2の通信インタフェースを介して前記移動端末装置へ中継すべきか否かを判断するステップと、
このステップにおいて中継すべきと判断されたパケットを、前記移動端末装置へ転送するステップとをコンピュータに実行させるためのプログラムを記録したコンピュータ読取り可能な記録媒体。 A computer-readable recording medium recording a program for causing a computer to function as a gateway device that relays between a fixed communication network and a local network,
When a packet is received from the fixed communication network side to the mobile communication network side via a mobile terminal device that can be simultaneously connected to both the mobile communication network and the local network, based on a predetermined attribute of the packet Determining whether or not to relay the packet to the mobile terminal device via the second communication interface;
A computer-readable recording medium storing a program for causing a computer to execute a step of transferring a packet determined to be relayed in this step to the mobile terminal device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005328833A JP2006121728A (en) | 2005-11-14 | 2005-11-14 | Communication system, mobile terminal device, gateway device, and communication control method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005328833A JP2006121728A (en) | 2005-11-14 | 2005-11-14 | Communication system, mobile terminal device, gateway device, and communication control method |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000296831A Division JP3776705B2 (en) | 2000-09-28 | 2000-09-28 | COMMUNICATION SYSTEM, MOBILE TERMINAL DEVICE, GATEWAY DEVICE, AND COMMUNICATION CONTROL METHOD |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006121728A true JP2006121728A (en) | 2006-05-11 |
Family
ID=36539103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005328833A Pending JP2006121728A (en) | 2005-11-14 | 2005-11-14 | Communication system, mobile terminal device, gateway device, and communication control method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006121728A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007336090A (en) * | 2006-06-13 | 2007-12-27 | Fujitsu Ltd | Portable radio communication device, service relay program, service relay system, and service relay method |
| JP2008199618A (en) * | 2007-02-09 | 2008-08-28 | Ricoh Co Ltd | Method, system, and computer program for using personal communication device to obtain additional information |
| JP2010166473A (en) * | 2009-01-19 | 2010-07-29 | Willcom Inc | Mobile radio communication method and mobile radio communication device using the same |
-
2005
- 2005-11-14 JP JP2005328833A patent/JP2006121728A/en active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007336090A (en) * | 2006-06-13 | 2007-12-27 | Fujitsu Ltd | Portable radio communication device, service relay program, service relay system, and service relay method |
| JP2008199618A (en) * | 2007-02-09 | 2008-08-28 | Ricoh Co Ltd | Method, system, and computer program for using personal communication device to obtain additional information |
| JP2010166473A (en) * | 2009-01-19 | 2010-07-29 | Willcom Inc | Mobile radio communication method and mobile radio communication device using the same |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3776705B2 (en) | COMMUNICATION SYSTEM, MOBILE TERMINAL DEVICE, GATEWAY DEVICE, AND COMMUNICATION CONTROL METHOD | |
| CN102884819B (en) | System and method for WLAN roaming traffic authentication | |
| JP3557056B2 (en) | Packet inspection device, mobile computer device, and packet transfer method | |
| JP4666169B2 (en) | Method of communication via untrusted access station | |
| EP1500223B1 (en) | Transitive authentication authorization accounting in interworking between access networks | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| US9769172B2 (en) | Method of accessing a network securely from a personal device, a personal device, a network server and an access point | |
| US20020157090A1 (en) | Automated updating of access points in a distributed network | |
| JP2004505383A (en) | System for distributed network authentication and access control | |
| US20110047270A1 (en) | Network connection service providing device | |
| JP2004241976A (en) | Mobile communication network system and method for authenticating mobile terminal | |
| JP2008535363A (en) | Mobile private virtual network connection method using mobile IP | |
| CN1795656B (en) | Method of safety initialization users and data privacy | |
| JP2007082079A (en) | Inter-network connecting device and simple authentication system and method using the same | |
| US20050210288A1 (en) | Method and apparatus for eliminating dual authentication for enterprise access via wireless LAN services | |
| JP7148947B2 (en) | Network system and information processing equipment | |
| JP6155237B2 (en) | Network system and terminal registration method | |
| JP2006121728A (en) | Communication system, mobile terminal device, gateway device, and communication control method | |
| WO2005111826A1 (en) | Communication system | |
| JP2010074481A (en) | Lan system, terminal device, utilization application device, and user account acquiring method | |
| JP2003318939A (en) | Communication system and control method thereof | |
| JP4872128B2 (en) | Connection control system and connection control method using terminal device | |
| CN101316228B (en) | Method for foreign agent updating and re-orienting correlative safety parameter of home agent | |
| KR101074071B1 (en) | Network system using AAA system based on Diameter Protocol and method thereof | |
| JP3798397B2 (en) | Access management system and access management device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070906 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070925 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080617 |