知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024013980
(43)【公開日】2024-02-01
(54)【発明の名称】通信システム、制御装置、通信方法、及びプログラム
(51)【国際特許分類】
G06F 21/44 20130101AFI20240125BHJP
【FI】
G06F21/44
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2022116481
(22)【出願日】2022-07-21
(71)【出願人】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(72)【発明者】
【氏名】沈 文裕
(72)【発明者】
【氏名】滕 文娜
(72)【発明者】
【氏名】水島 大地
(72)【発明者】
【氏名】内藤 憲吾
(72)【発明者】
【氏名】和田 雄一郎
(57)【要約】
【課題】エッジコントローラに接続して利用されるエッジ装置を、容易に利用するための技術を提供する。
【解決手段】エッジ装置と制御装置とを備える通信システムにおいて、前記制御装置が、前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録し、前記エッジ装置が、前記SIM情報を用いて第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信し、前記制御装置は、前記エッジ装置から受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築する。
【選択図】図2
【解決手段】エッジ装置と制御装置とを備える通信システムにおいて、前記制御装置が、前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録し、前記エッジ装置が、前記SIM情報を用いて第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信し、前記制御装置は、前記エッジ装置から受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築する。
【選択図】図2
【特許請求の範囲】
【請求項1】
エッジ装置と制御装置とを備える通信システムであって、
前記制御装置が、前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報を用いて第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信し、
前記制御装置は、前記エッジ装置から受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築する
通信システム。
前記制御装置が、前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報を用いて第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信し、
前記制御装置は、前記エッジ装置から受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築する
通信システム。
【請求項2】
前記エッジ装置は、eSIMを備え、当該eSIMにネットワークを介してSIM管理装置から前記SIM情報が書き込まれる
請求項1に記載の通信システム。
請求項1に記載の通信システム。
【請求項3】
前記エッジ情報管理表には、前記第1認証情報とともに、前記エッジ装置が利用するアプリケーションの識別情報が記録されており、
前記制御装置は、前記エッジ情報管理表に基づいて、前記エッジ装置に配信すべきアプリケーションを決定し、当該アプリケーションを、前記VPNを介して前記エッジ装置に配信する
請求項1又は2に記載の通信システム。
前記制御装置は、前記エッジ情報管理表に基づいて、前記エッジ装置に配信すべきアプリケーションを決定し、当該アプリケーションを、前記VPNを介して前記エッジ装置に配信する
請求項1又は2に記載の通信システム。
【請求項4】
前記制御装置は、前記エッジ装置のSIM情報と前記エッジ装置のハードウェア情報を用いて、前記第1認証情報を生成し、生成した前記第1認証情報を前記エッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報と前記ハードウェア情報を用いて前記第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信する
請求項1又は2に記載の通信システム。
前記エッジ装置が、前記SIM情報と前記ハードウェア情報を用いて前記第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信する
請求項1又は2に記載の通信システム。
【請求項5】
エッジ装置と制御装置とを備える通信システムにおける前記制御装置であって、
前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録するエッジ装置管理部と、
前記エッジ装置から、前記SIM情報を用いて生成された第2認証情報を受信し、受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築することを決定するエッジ認証部と
を備える制御装置。
前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録するエッジ装置管理部と、
前記エッジ装置から、前記SIM情報を用いて生成された第2認証情報を受信し、受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築することを決定するエッジ認証部と
を備える制御装置。
【請求項6】
エッジ装置と制御装置とを備える通信システムにおける通信方法であって、
前記制御装置が、前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報を用いて第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信し、
前記制御装置は、前記エッジ装置から受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築する
通信方法。
前記制御装置が、前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報を用いて第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信し、
前記制御装置は、前記エッジ装置から受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築する
通信方法。
【請求項7】
コンピュータを、請求項5に記載の制御装置における各部として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、エッジコンピューティングにおけるエッジ装置の利用を開始するための技術に関連するものである。
【背景技術】
【0002】
世界のエッジコンピューティング市場は、データ量の増大や、リアルタイム処理の需要、COVID-19に起因する社会的背景の影響もあり、大きく成長している。
【0003】
すなわち、まず、IoT領域において収集可能なデータの幅が広がったことで、クラウドに蓄えられるデータ量が増加している。一方、リアルタイム処理需要が高まりつつあり、自動運転や異常検知等、従来よりも即時性の必要なユースケースが増加している。さらに、COVID-19の影響によるパンデミックのリスクを軽減するために、リモートでの資産維持・監視、遠隔医療等、オンラインでの需要が急増している。
【0004】
エッジコンピューティングとは、「端末の近くにサーバを分散配置する」ネットワーク技法の1つを意味する。特に製造現場においては、エッジコンピューティングにより、工場内に多数設置されたセンサや、測定器から得られる大容量のデータに対し、高速、又はリアルタイムなアプリケーション処理(データの見える化)が可能となる。
【0005】
「端末の近くに配置するサーバ」は、エッジ装置と呼ばれる。ワークロードをエッジ装置に配備する最大の理由は遅延対策であることが多いが、処理とストレージをデータの発生源であるユーザ及び「モノ」に近付けることにより、帯域、データ・プライバシー(セキュリティ)、自律性に関する懸念にも対処できると期待されている。
【0006】
近年では、エッジコンピューティングを実現するため、AIやIoT等を代表とした各種エッジ向けのアプリケーションを搭載可能な汎用のエッジ装置が登場している。従来のエッジ装置は、例えば、工場、店舗、キャンパス等のオンプレミスや、キャリアのデータセンター等に設置される。
【0007】
また、エッジコントローラを用いて、オンプレミスに分散配置されている汎用エッジ装置を集中的に制御する仕組みも開発されている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2022-023707号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかし、従来技術では、エッジ装置をエッジコントローラに接続させ、実際に利用可能な状態にするために、利用者が煩雑な初期導入工程を行わなければならない。例えば、エッジ装置の利用者は、エッジ装置を提供元から郵送で受け取るが、エッジ装置を受け取った状態から、利用者自身が、そのエッジ装置を利用可能な状態にすることは難しい場合が多い。
【0010】
本発明は上記の点に鑑みてなされたものであり、エッジコントローラに接続して利用されるエッジ装置を、容易に利用するための技術を提供することを目的とする。
【課題を解決するための手段】
【0011】
開示の技術によれば、エッジ装置と制御装置とを備える通信システムであって、
前記制御装置が、前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報を用いて第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信し、
前記制御装置は、前記エッジ装置から受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築する
通信システムが提供される。
前記制御装置が、前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報を用いて第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信し、
前記制御装置は、前記エッジ装置から受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築する
通信システムが提供される。
【発明の効果】
【0012】
開示の技術によれば、エッジコントローラに接続して利用されるエッジ装置を、容易に利用するための技術が提供される。
【図面の簡単な説明】
【0013】
【図1】システムの全体構成例を示す図である。
【図2】第1実施形態のシステム構成図である。
【図3】第1実施形態の動作を説明するためのフローチャートである。
【図4】第1実施形態のエッジ装置管理表の例を示す図である。
【図5】第1実施形態のVPN認証を説明するための図である。
【図6】第1実施形態のエッジ装置により生成される設定情報の例を示す図である。
【図7】第2実施形態のエッジ装置を示す図である。
【図8】第2実施形態のエッジ装置を示す図である。
【図9】第2実施形態の動作を説明するためのフローチャートである。
【図10】第3実施形態のエッジコントローラを示す図である。
【図11】第3実施形態のエッジ装置管理表の例を示す図である。
【図12】第3実施形態のアプリテンプレートの例を示す図である。
【図13】第3実施形態のシステム構成図である。
【図14】第3実施形態の動作を説明するためのフローチャートである。
【図15】第4実施形態のシステム構成図である。
【図16】第4実施形態の動作を説明するためのフローチャートである。
【図17】第4実施形態のエッジ装置管理表の例を示す図である。
【図18】第4実施形態のVPN認証を説明するための図である。
【図19】第4実施形態のエッジ装置により生成される設定情報の例を示す図である。
【図20】装置のハードウェア構成例を示す図である。
【発明を実施するための形態】
【0014】
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
【0015】
(実施の形態の概要)
前述したとおり、従来技術において、エッジ装置をエッジコントローラに接続させ、実際に利用可能な状態にするためには煩雑な設定作業が必要であり、利用者自身が設定作業を行うことは難しい場合が多い。
前述したとおり、従来技術において、エッジ装置をエッジコントローラに接続させ、実際に利用可能な状態にするためには煩雑な設定作業が必要であり、利用者自身が設定作業を行うことは難しい場合が多い。
【0016】
具体的には、例えば、エッジ装置がセキュアにエッジコントローラに接続するため、IPsec VPNやSSL VPNの利用が求められており、そのために事前にサービスプロバイダから払い出された認証鍵、証明書、パスワード等をエッジ装置に手動で入力しなければならない。このような作業を正確に行うことは、利用者にとっては難しい。
【0017】
そこで、本実施の形態では、エッジ装置にSIM搭載部を新たに具備し、SIM搭載部無線ネットワーク(例:3G、LTE、5G、6G)に接続するためのSIMを搭載するだけで、既存のオンプレミスのIT環境から独立した通信経路を確保する。
【0018】
また、エッジコントローラにおけるエッジ認証部と、従来のSIM管理装置におけるSIM認証部とを連携させ、エッジコントローラがSIM情報に基づいて、該当のエッジ装置からの接続を許可してよいかを判断する。また、SIM情報に基づいて、認証だけでなく、エッジ装置内の初期設定やアプリケーション配信も行うことが可能である。
【0019】
(システムの全体構成例)
図1に、本実施の形態における通信システムの全体構成例を示す。図1に示すように、本通信システムは、SIM管理装置300、エッジコントローラ100、及びエッジ装置200がネットワーク1に接続される構成を有する。エッジ装置200は、例えば、ユーザの各拠点に備えられる。
図1に、本実施の形態における通信システムの全体構成例を示す。図1に示すように、本通信システムは、SIM管理装置300、エッジコントローラ100、及びエッジ装置200がネットワーク1に接続される構成を有する。エッジ装置200は、例えば、ユーザの各拠点に備えられる。
【0020】
SIM管理装置300は、例えば、モバイル通信事業者が提供する装置である。SIM管理装置300は、モバイル通信事業者が提供する加入者管理装置であってもよい。
【0021】
エッジコントローラ100は、1つ以上のエッジ装置200の管理及び制御を実行する装置である。エッジ装置200は、エッジコントローラ100とVPN(Virtual Private network)で接続された状態で利用される。エッジコントローラ100は、後述する認証処理やアプロケーション配信等の処理を行う。また、エッジ装置200が利用される際には、エッジコントローラ100は、VPNを介して、エッジ装置200が正常に動作しているかどうかの監視等を行う。
【0022】
エッジ装置200は、アプリケーションを動作させることができるコンピュータである。また、エッジ装置200は、SIMを用いることにより、モバイル網(無線ネットワークを含む)にアクセスし、モバイル網を介して他の装置と通信することが可能である。ネットワーク1は、SIMを用いて通信可能なモバイル網を含むネットワークである。
【0023】
以下、SIM管理装置300、エッジコントローラ100、及びエッジ装置200を有するシステムの構成と動作を詳細に説明する。以下では、第1実施形態~第4実施形態を説明する。第1実施形態が最も基本的な例であり、第2実施形態~第4実施形態については、第1実施形態と異なる点を主に説明する。なお、第1実施形態~第4実施形態は、任意に組み合わせて実施することが可能である。
【0024】
また、SIM管理装置300、エッジコントローラ100、及びエッジ装置200はいずれも、通信機能を持つコンピュータである。以下では、適宜、各装置の機能構成を図示するが、その機能構成は、本発明に係る技術に特に関連する機能の構成を示している。
【0025】
また、「エッジ装置」は、「通信装置」、「処理装置」、「サーバ」等に言い換えてもよい。また、「VPN」は、「回線」、「プライベート網」等に言い換えてもよい。また、エッジコントローラ100を制御装置と呼んでもよい。
【0026】
(第1実施形態)
まず、第1実施形態を説明する。第1実施形態における各装置の構成を図2に示す。図2に示すように、エッジコントローラ100は、エッジ装置管理部110、エッジ認証部120、GW(ゲートウェイ)130を有する。
まず、第1実施形態を説明する。第1実施形態における各装置の構成を図2に示す。図2に示すように、エッジコントローラ100は、エッジ装置管理部110、エッジ認証部120、GW(ゲートウェイ)130を有する。
【0027】
エッジ装置管理部110は、エッジ装置200の管理等を行う。エッジ認証部120は、エッジ装置200の認証等を行う。GW130は、エッジ装置200との間でVPNを構築する機能、及び、VPNを用いてエッジ装置200との間でデータ通信を行う機能を含む。本実施の形態に係るVPNは、例えば、SIM情報によりエッジ装置200が接続を許可されたモバイル網を用いて構築される。なお、本実施の形態に係るVPNを構築するネットワークについては特に制限はなく、上記モバイル網の他、例えば、インターネット、あるいは閉域網等を用いて構築してもよい。
【0028】
エッジ装置200は、VPN終端部210、コントローラ通信部220、SIM搭載部230を有する。VPN終端部210は、GW130との間でVPNを構築する機能、VPNを終端して、コントローラ通信部220とエッジコントローラ100との間のデータ通信を、VPNを介して実行する機能を含む。図2の例では、SIM搭載部230にSIM240が搭載されている。SIM管理装置300は、SIM認証を実行するSIM認証部310を有する。
【0029】
図3のフローチャートを参照して、上記構成を備えるシステムの動作例を説明する。
【0030】
<S101:事前準備>
S101において、SIM管理装置300側(例:モバイル通信事業者)からエッジ装置200で利用するSIM240を払い出す。SIM240を払い出すことには、物理的にSIM240をエッジ装置200が備えられている拠点に送ること等が含まれる。
S101において、SIM管理装置300側(例:モバイル通信事業者)からエッジ装置200で利用するSIM240を払い出す。SIM240を払い出すことには、物理的にSIM240をエッジ装置200が備えられている拠点に送ること等が含まれる。
【0031】
また、S101では、SIM管理装置300からエッジコントローラ100に対して、SIM240のSIM情報を通知する。
【0032】
S101においてエッジコントローラ100に通知されるSIM情報は、例えば、IMSI、Ki、OPCのうちのいずれか1つ又はいずれか2つ又は3つ全部である。IMSI、Ki、OPCをいずれも認証情報と呼んでもよい。SIM情報はこれらに限られず、どのような情報であってもよい。また、SIM情報に、IMSI、Ki、OPC等の他にSIMに関する管理情報が含まれてもよい。
【0033】
SIM情報は、SIM管理装置300から直接にエッジコントローラ100に自動的に通知することが可能である。ただし、作業員が介在し、手動で外部からエッジコントローラ100に通知(入力)してもよい。
【0034】
<S102:エッジ登録>
S102において、エッジコントローラ100は、エッジ装置200のテンプレート(エッジ装置管理表)を作成するエッジ登録を行う。
S102において、エッジコントローラ100は、エッジ装置200のテンプレート(エッジ装置管理表)を作成するエッジ登録を行う。
【0035】
具体的には、エッジ装置管理部110が、S101で取得したSIM情報に基づいて、各エッジ装置を図4に示すエッジ装置管理表の形で登録する。つまり、エッジ装置管理部110は、エッジ装置管理表をエッジ装置管理部110におけるメモリ等の記憶手段に保持し、新たなエッジ装置200の登録の際には、エッジ装置管理表に情報を追加する。「エッジ装置管理表」を「記憶部」と呼んでもよい。
【0036】
図4に示すとおり、第1実施形態におけるエッジ装置管理表は項目として、エッジ装置名、エッジUID(エッジユーザID)、VPNユーザID、VPNパスワードを有する。エッジUID、VPNユーザID、VPNパスワードはいずれも「認証情報」と呼んでもよい。また、VPNユーザIDとVPNパスワードの組み合わせを「認証情報」と呼んでもよい。
【0037】
以下、例として、「工場A」のエントリに関して説明する。他のエントリについても同様である。
【0038】
工場Aに関して、エッジUID、VPNユーザID、及びVPNパスワードにおいて使用される「XXX」は、例えば、工場AのSIMのSIM情報そのものである。「XXX」として使用するSIM情報は、IMSI、Ki、及びOPCのうちのいずれかであってもよいし、これらのうちのいずれか2つ又は全部の組み合わせであってもよい。
【0039】
上記のように、「XXX」としてSIM情報そのものを使用することは一例である。「XXX」としてSIM情報を加工した情報を使用してもよい。例えば、工場AのSIMを識別するグローバルにユニークな識別子(あるいはその他の関連情報)とSIM情報を組み合わせることで、新しい識別子を生成し、その新しい識別子を「XXX」として利用してもよい。
【0040】
また、SIM情報を、上記ユニークな識別子(あるいはその他の関連情報)を用いて加工した情報を、「XXX」として利用してもよい。
【0041】
なお、SIM情報を使用する、といった場合に、当該「SIM情報」は、SIM情報そのもののみならず、SIM情報から生成された情報も含む。
【0042】
<S103:SIM認証>
S103では、エッジ装置200の開通作業において、SIM管理装置300のSIM認証部310により、エッジ装置200が、SIM240を用いて外部ネットワーク(例:LTE、5G等のモバイル網)に接続してよいかどうかが判断される。なお、「外部ネットワーク」は、オンプレミスで構築した内部ネットワークではない、外部のネットワーク、という意味である。
S103では、エッジ装置200の開通作業において、SIM管理装置300のSIM認証部310により、エッジ装置200が、SIM240を用いて外部ネットワーク(例:LTE、5G等のモバイル網)に接続してよいかどうかが判断される。なお、「外部ネットワーク」は、オンプレミスで構築した内部ネットワークではない、外部のネットワーク、という意味である。
【0043】
具体的には、まず、エッジ装置200が配置された拠点において、S101で払い出されたSIM240をエッジ装置200に搭載する。エッジ装置200は、SIM情報を用いてSIM管理装置300に自動的に接続し、SIM管理装置300のSIM認証部310が、SIM情報に基づきエッジ装置200の認証を行って、エッジ装置200が外部ネットワークに接続してよいかどうかを判断する。ここでの認証方法自体は、SIMを用いた一般的な認証方法である。
【0044】
S103のSIM認証の結果、外部ネットワークへの接続可と判断された場合に、S104に進む。
【0045】
<S104:VPN認証>
S104において、エッジコントローラ100のエッジ認証部120が、エッジ装置200を認証すること等の処理により、エッジ装置200とエッジコントローラ100との間にVPNを構築してよいか否かが判断される。
S104において、エッジコントローラ100のエッジ認証部120が、エッジ装置200を認証すること等の処理により、エッジ装置200とエッジコントローラ100との間にVPNを構築してよいか否かが判断される。
【0046】
S104の処理の具体例を、図5を参照して説明する。ここでは、EAP-MD5認証方式に基づく処理を説明する。ただし、EAP-MD5認証方式を用いることは一例であり、EAP-MD5認証方式以外の方式を用いてもよいし、EAP-MD5認証方式と他の方式を組み合わせて利用してもよい。
【0047】
ここでは、SIM情報がXXXであるとする。また、エッジ装置200におけるVPN終端部210はCA証明書211を保持し、エッジコントローラ100におけるGW130は、サーバ証明書131とCA証明書132を保持しているとする。
【0048】
S1:
まず、VPN終端部210は、SIM240からSIM情報を取得する。
まず、VPN終端部210は、SIM240からSIM情報を取得する。
【0049】
S2:
VPN終端部210は、SIM情報(XXX)に基づいて、エッジ装置200とエッジコントローラ100間のVPNを構築するために利用される設定情報を自動的に生成する。図6に、当該設定情報の例を示す。図6は、VPNとして、IPsec VPNを利用する場合の設定情報の例を示している。他の種類のVPN(例:SSL VPN)についても同様に設定情報を生成可能である。
VPN終端部210は、SIM情報(XXX)に基づいて、エッジ装置200とエッジコントローラ100間のVPNを構築するために利用される設定情報を自動的に生成する。図6に、当該設定情報の例を示す。図6は、VPNとして、IPsec VPNを利用する場合の設定情報の例を示している。他の種類のVPN(例:SSL VPN)についても同様に設定情報を生成可能である。
【0050】
図6に示すように、設定情報において、VPNユーザID(eap-username)としてXXX@abc.defが使用され、VPNパスワード(eap-password)としてXXXが使用されている。VPN終端部210は、認証情報(例:eap-usernameとeap-password)をエッジコントローラ100に送信する。
【0051】
S3:
続いて、エッジコントローラ100のエッジ認証部120は、エッジ装置200から受信した認証情報(例:eap-username,eap-password)に基づいて、エッジ装置200に対する認証(認証1と呼ぶ)を行う。具体的には、エッジ認証部120は、エッジ装置200から受信した認証情報と、エッジ装置管理表(図4)における認証情報(VPNユーザID及びVPNパスワード)とを比較することにより認証1を行う。エッジ認証部120は、エッジ装置200から受信した認証情報と一致する認証情報がエッジ装置管理表にある場合に、認証1に成功したと判断する。エッジ認証部120は、少なくとも当該認証1に成功した場合に、エッジ装置200との間にVPNを構築することを決定する。具体的には、エッジ認証部120は、当該認証1に成功するとともに、後述する認証2に成功した場合に、エッジ装置200との間にVPNを構築することを決定する。
続いて、エッジコントローラ100のエッジ認証部120は、エッジ装置200から受信した認証情報(例:eap-username,eap-password)に基づいて、エッジ装置200に対する認証(認証1と呼ぶ)を行う。具体的には、エッジ認証部120は、エッジ装置200から受信した認証情報と、エッジ装置管理表(図4)における認証情報(VPNユーザID及びVPNパスワード)とを比較することにより認証1を行う。エッジ認証部120は、エッジ装置200から受信した認証情報と一致する認証情報がエッジ装置管理表にある場合に、認証1に成功したと判断する。エッジ認証部120は、少なくとも当該認証1に成功した場合に、エッジ装置200との間にVPNを構築することを決定する。具体的には、エッジ認証部120は、当該認証1に成功するとともに、後述する認証2に成功した場合に、エッジ装置200との間にVPNを構築することを決定する。
【0052】
S4:
エッジ装置200のVPN終端部210は、GW130からサーバ証明書131を取得し、サーバ証明書131とVPN終端部210が保持するCA証明書211とのマッチングを行うことで、認証2を行う。この処理は、サーバ証明書131とCA証明書211を用いて、エッジコントローラ100を認証することに相当する。
エッジ装置200のVPN終端部210は、GW130からサーバ証明書131を取得し、サーバ証明書131とVPN終端部210が保持するCA証明書211とのマッチングを行うことで、認証2を行う。この処理は、サーバ証明書131とCA証明書211を用いて、エッジコントローラ100を認証することに相当する。
【0053】
以上説明したS1~S4の処理により、認証1と認証2の両方が成功した場合に、エッジ装置200のVPN終端部210と、エッジコントローラ100のGW130との間でのVPNの構築が行われる。
【0054】
<S105:エッジ装置認証>
S104においてVPNが構築された後、エッジコントローラ100のエッジ認証部120は、エッジ装置200のSIM情報に基づいて、エッジ装置200本体の認証を行うことにより、当該エッジ装置200を管理対象としてエッジコントローラ100に登録してよいか否かを判断する。
S104においてVPNが構築された後、エッジコントローラ100のエッジ認証部120は、エッジ装置200のSIM情報に基づいて、エッジ装置200本体の認証を行うことにより、当該エッジ装置200を管理対象としてエッジコントローラ100に登録してよいか否かを判断する。
【0055】
具体的には、エッジ装置200のコントローラ通信部220が、SIM240からSIM情報(例:XXX)を取得し、当該SIM情報を、VPNを介してエッジコントローラ100におけるエッジ認証部120に送信する。
【0056】
エッジ認証部120は、エッジ装置200から受信したSIM情報と、エッジ装置管理表(例:図4)における、エッジ装置200のエッジUIDとを比較し、当該SIM情報が当該エッジUIDと一致すれば認証成功と判断する。
【0057】
認証に成功したら、エッジコントローラ100は、エッジ装置200を管理対象として、メモリ等の記憶手段に登録する。これにより、エッジ装置200の利用が正式に開始される。例えば、エッジコントローラ100は、VPNを介して、エッジ装置200の稼働状況を監視する。
【0058】
(第2実施形態)
次に、第2実施形態について説明する。以下では、第1実施形態と異なる点を主に説明する。
次に、第2実施形態について説明する。以下では、第1実施形態と異なる点を主に説明する。
【0059】
第2実施形態では、図7に示すように、エッジ装置200のSIM搭載部230にカードタイプのeSIM241を搭載する。図8に示すように、エッジ装置200内にチップ型のeSIMであるeSIMチップ242を内蔵してもよい。
【0060】
図9を参照して、第2実施形態におけるS101(事前準備)の処理の例を説明する。第2実施形態では、S101-1において、リモートSIMプロビジョニングが行われる。具体的には、まず、例えば第3者サーバ(あるいはSIM管理装置300)が、エッジ装置200で利用するSIMのプロファイルを生成する。そして、SIM管理装置300が遠隔でネットワークを介してSIMのプロファイルをeSIM241(又はeSIMチップ242)に書き込む。SIMのプロファイルには、SIM情報が含まれる。
【0061】
S101-2において、SIM管理装置300から当該SIM情報をエッジコントローラ100に通知する。
【0062】
(第3実施形態)
次に、第3実施形態について説明する。以下では、第1実施形態と異なる点を主に説明する。
次に、第3実施形態について説明する。以下では、第1実施形態と異なる点を主に説明する。
【0063】
第3実施形態では、図10に示すように、エッジコントローラ100のエッジ装置管理部110が、エッジ装置管理表112に加えて、アプリテンプレート111を保持する。また、エッジ装置管理表112には、図11に示すように、「アプリテンプレート」の項目が追加される。どのエッジ装置にどのアプリケーションを適用するかについては、例えば、予め設定しておく。
【0064】
図12に、アプリテンプレート111の例を示す。図12は、「アプリA」についてのアプリテンプレートの例である。「アプリA」はアプリケーションの識別情報の例である。図12に示す属性は一例である。アプリテンプレートで使用する属性として、図12に示す属性以外の属性を用いてもよい。また、1つのエッジ装置200に対して、複数アプリケーションからなる複合アプリケーションを適用してもよい。また、アプリケーション自身は、エッジコントローラ100内に格納されていてもよいし、エッジコントローラ100の外部にあってもよい。
【0065】
上記のように、アプリテンプレート111を設け、エッジ装置管理表を拡張することで、個々のエッジ装置200に特定のアプリテンプレートを紐付けて、管理を行うことが可能となる。
【0066】
一例として、アプリテンプレートの名称(アプリA等)を用いることで、アプリテンプレートと、エッジ装置管理表におけるエッジ装置ごとの利用アプリケーションとをリンクさせることができる。
【0067】
第3実施形態では、図13に示すように、エッジ装置200は、遠隔のエッジコントローラ100から、自身が利用すべきアプリケーションを取得して、仮想化基盤250上で、取得したアプリケーションを実行することができる。
【0068】
なお、アプリケーションの管理単位は、例えば、VMあるいはコンテナである。また、図13に示す仮想化基盤250は、例えば、ハイパーバイザ(例: KVM)あるいはコンテナエンジン(例: Docker)である。
【0069】
図14のフローチャートを参照して、アプリケーションの取得に関わる動作例を説明する。
【0070】
S105におけるエッジ装置認証に成功した後、S106において、エッジコントローラ100のエッジ装置管理部110は、拡張されたエッジ装置管理表112を用いて、エッジ装置200に配信すべき対象アプリケーションを取得する。そして、エッジ装置管理部110は、S104で構築したVPN経由でエッジ装置200に対して当該アプリケーションを配信する。
【0071】
S107において、エッジ装置200は、配信されたアプリケーションを仮想化基盤250にロードし、当該アプリケーションを実行する。
【0072】
なお、上記の例では、エッジコントローラ100からエッジ装置200に配信する情報をアプリケーションとしたが、アプリケーション以外の情報(例:設定情報)を、上記の方法と同じ方法を用いて、エッジコントローラ100からエッジ装置200に配信してもよい。
【0073】
(第4実施形態)
次に、第4実施形態について説明する。第4実施形態では、SIM情報に加えて、エッジ装置200を特定できるHW情報(ハードウェア情報)を利用してエッジ装置200の認証を行う。例えば、HW情報として、図15に示すような、エッジ装置200(コンピュータ)のマザーボード221のシリアル番号を使用することができる。
次に、第4実施形態について説明する。第4実施形態では、SIM情報に加えて、エッジ装置200を特定できるHW情報(ハードウェア情報)を利用してエッジ装置200の認証を行う。例えば、HW情報として、図15に示すような、エッジ装置200(コンピュータ)のマザーボード221のシリアル番号を使用することができる。
【0074】
図16のフローチャートを参照して、第4実施形態における動作を説明する。
【0075】
<S101-1:事前準備1>
S101―1は、第1実施形態でのS101と同じである。
S101―1は、第1実施形態でのS101と同じである。
【0076】
<S101―2:事前準備2>
S101-2において、エッジ装置200を特定するためのHW情報がエッジコントローラ100に通知される。
S101-2において、エッジ装置200を特定するためのHW情報がエッジコントローラ100に通知される。
【0077】
HW情報としては、前述したように、エッジ装置200のマザーボード221のシリアル番号を使用することができるが、それに限らない。エッジ装置200を特定できるHW情報であれば、どのようなHW情報を利用してもよい。
【0078】
また、マザーボード221のシリアル番号等のHW情報は、例えば、装置メーカーからオフラインで取得することができる。また、エッジコントローラ100を外部の発注管理システムあるいは外部の在庫管理システムと接続し、エッジ装置200の発注業務の一貫として、HW情報を発注管理システムあるいは在庫管理システムからエッジコントローラ100に自動的に払い出すこととしてもよい。つまり、例えば、ある拠点に送付するエッジ装置200を発注管理システムに対して発注すると、発注管理システムがそのエッジ装置200のHW情報を自動的にエッジコントローラ100に通知する。
【0079】
<S102´:エッジ登録>
S102´において、エッジコントローラ100は、エッジ装置200のSIM情報とエッジ装置200のHW情報に基づいて、エッジ装置200のテンプレート(エッジ装置管理表)を作成するエッジ登録を行う。
S102´において、エッジコントローラ100は、エッジ装置200のSIM情報とエッジ装置200のHW情報に基づいて、エッジ装置200のテンプレート(エッジ装置管理表)を作成するエッジ登録を行う。
【0080】
具体的には、エッジ装置管理部110が、S101-1で取得したSIM情報、及び、S101-2で取得したHW情報に基づいて、各エッジ装置を図17に示すエッジ装置管理表の形で登録する。つまり、エッジ装置管理部110は、図17に示すエッジ装置管理表をエッジ装置管理部110におけるメモリ等の記憶手段に保持する。
【0081】
図17に示すとおり、第4実施形態におけるエッジ装置管理表は項目として、第1実施形態と同様に、エッジ装置名、エッジUID、VPNユーザID、VPNパスワードを有する。エッジUID、VPNユーザID、VPNパスワードはいずれも「認証情報」と呼んでもよい。また、VPNユーザIDとVPNパスワードの組み合わせを「認証情報」と呼んでもよい。以下、例として、「工場A」のエントリに関して説明する。他のエントリについても同様である。
【0082】
工場Aに関して、エッジUID、VPNユーザID、及びVPNパスワードにおいて使用される「XXX-xxx」は、SIM情報「XXX」に、HW情報「xxx」を加える(連結する)ことにより生成した情報である。
【0083】
HW情報「xxx」は、HW情報そのものであってもよいし、HW情報そのものを加工した情報であってもよい。例えば、対象のHW(マザーボード等)を識別するグローバルにユニークな識別子(あるいはその他の関連情報)とHW情報を組み合わせることで、新しい識別子を生成し、その新しい識別子を「xxx」として利用してもよい。
【0084】
また、HW情報を、上記ユニークな識別子(あるいはその他の関連情報)を用いて加工した情報を、「xxx」として利用してもよい。
【0085】
また、SIM情報「XXX」とHW情報「xxx」とから、「XXX-xxx」(単純に2つを連結したもの)以外の情報である新たな識別子「ZZZ」を生成し、これを図17における「XXX-xxx」として使用してもよい。つまり、この場合、エッジUIDはZZZとなり、VPNユーザIDはZZZ@ntt.comとなり、VPNパスワードはZZZとなる。
【0086】
なお、「HW情報」を使用する、といった場合に、当該「HW情報」は、シリアル番号等のHW情報そのもののみならず、HW情報そのものから生成された情報も含む。
【0087】
<S103:SIM認証>
第4実施形態でのS103は、第1実施形態でのS103と同じである。
第4実施形態でのS103は、第1実施形態でのS103と同じである。
【0088】
<S104´:VPN認証>
S104´において、エッジコントローラ100のエッジ認証部120が、エッジ装置200を認証する等の処理により、エッジ装置200とエッジコントローラ100との間にVPNを構築してよいか否かが判断される。S104´は、基本的には、第1実施形態のS104と同じであるが、第4実施形態では、SIM情報のみでなく、SIM情報とHW情報を利用している点が第1実施形態と異なる。
S104´において、エッジコントローラ100のエッジ認証部120が、エッジ装置200を認証する等の処理により、エッジ装置200とエッジコントローラ100との間にVPNを構築してよいか否かが判断される。S104´は、基本的には、第1実施形態のS104と同じであるが、第4実施形態では、SIM情報のみでなく、SIM情報とHW情報を利用している点が第1実施形態と異なる。
【0089】
S104´の処理の具体例を、図18を参照して説明する。ここでは、EAP-MD5認証方式に基づく処理を説明する。ただし、EAP-MD5認証方式を用いることは一例であり、EAP-MD5認証方式以外の方式を用いてもよいし、EAP-MD5認証方式と他の方式を組み合わせて利用してもよい。
【0090】
ここでは、SIM情報がXXXであるとし、HW情報がxxxであるとし、認証情報として、これらを連結した情報であるXXX-xxxを使用する。
【0091】
S1:
まず、VPN終端部210は、SIM240からSIM情報を取得する。
まず、VPN終端部210は、SIM240からSIM情報を取得する。
【0092】
S2:
VPN終端部210は、SIM情報(XXX)とHW情報(xxx)とに基づいて、エッジ装置200とエッジコントローラ100との間のVPNを構築するために使用する設定情報を自動的に生成する。なお、VPN終端部210は、例えば、マザーボード221からHW情報を取得することができる。
VPN終端部210は、SIM情報(XXX)とHW情報(xxx)とに基づいて、エッジ装置200とエッジコントローラ100との間のVPNを構築するために使用する設定情報を自動的に生成する。なお、VPN終端部210は、例えば、マザーボード221からHW情報を取得することができる。
【0093】
【0094】
図19に示すように、設定情報において、VPNユーザID(eap-username)としてXXX-xxx@abc.defが使用され、VPNパスワード(eap-password)としてXXX-xxxが使用されている。VPN終端部210は、認証情報(例:eap-usernameとeap-password)をエッジコントローラ100に送信する。
【0095】
S3:
続いて、エッジ認証部120は、エッジ装置200から受信した認証情報(例:eap-username,eap-password)に基づいて、エッジ装置200に対する認証(認証1と呼ぶ)を行う。具体的には、VPN終端部210は、エッジ装置200から受信した認証情報と、エッジ装置管理表(図17)における認証情報(VPNユーザID及びVPNパスワード)とを比較することにより認証1を行う。エッジ認証部120は、エッジ装置200から受信した認証情報と一致する認証情報がエッジ装置管理表にある場合に、認証1に成功したと判断する。エッジ認証部120は、少なくとも当該認証1に成功した場合に、エッジ装置200との間にVPNを構築することを決定する。具体的には、エッジ認証部120は、当該認証1に成功するとともに、後述する認証2に成功した場合に、エッジ装置200との間にVPNを構築することを決定する。
続いて、エッジ認証部120は、エッジ装置200から受信した認証情報(例:eap-username,eap-password)に基づいて、エッジ装置200に対する認証(認証1と呼ぶ)を行う。具体的には、VPN終端部210は、エッジ装置200から受信した認証情報と、エッジ装置管理表(図17)における認証情報(VPNユーザID及びVPNパスワード)とを比較することにより認証1を行う。エッジ認証部120は、エッジ装置200から受信した認証情報と一致する認証情報がエッジ装置管理表にある場合に、認証1に成功したと判断する。エッジ認証部120は、少なくとも当該認証1に成功した場合に、エッジ装置200との間にVPNを構築することを決定する。具体的には、エッジ認証部120は、当該認証1に成功するとともに、後述する認証2に成功した場合に、エッジ装置200との間にVPNを構築することを決定する。
【0096】
S4:
エッジ装置200のVPN終端部210は、GW130からサーバ証明書131を取得し、サーバ証明書131とVPN終端部210が保持するCA証明書211とのマッチングを行うことで、認証2を行う。この処理は、サーバ証明書131とCA証明書211を用いて、エッジコントローラ100を認証することに相当する。
エッジ装置200のVPN終端部210は、GW130からサーバ証明書131を取得し、サーバ証明書131とVPN終端部210が保持するCA証明書211とのマッチングを行うことで、認証2を行う。この処理は、サーバ証明書131とCA証明書211を用いて、エッジコントローラ100を認証することに相当する。
【0097】
以上説明したS1~S4の処理により、認証1と認証2の両方が成功した場合に、エッジ装置200のVPN終端部210と、エッジコントローラ100のGW130との間でのVPN構築が行われる。
【0098】
(ハードウェア構成例)
エッジコントローラ100、エッジ装置200、SIM管理装置300はいずれも、例えば、コンピュータにプログラムを実行させることにより実現できる。このコンピュータは、物理的なコンピュータであってもよいし、クラウド上の仮想マシンであってもよい。以下、エッジコントローラ100、エッジ装置200、SIM管理装置300を総称して「装置」と呼ぶ。
エッジコントローラ100、エッジ装置200、SIM管理装置300はいずれも、例えば、コンピュータにプログラムを実行させることにより実現できる。このコンピュータは、物理的なコンピュータであってもよいし、クラウド上の仮想マシンであってもよい。以下、エッジコントローラ100、エッジ装置200、SIM管理装置300を総称して「装置」と呼ぶ。
【0099】
すなわち、当該装置は、コンピュータに内蔵されるCPUやメモリ等のハードウェア資源を用いて、判定装置100で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
【0100】
図20は、上記コンピュータのハードウェア構成例を示す図である。図20のコンピュータは、それぞれバスBSで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。
【0101】
当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
【0102】
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、当該装置に係る機能を実現する。
【0103】
インタフェース装置1005は、ネットワーク等に接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。なお、当該装置において、表示装置1006、入力装置1007、出力装置1008のいずれか又は全部を備えないこととしてもよい。
【0104】
(実施の形態の効果)
本実施の形態に係る技術により、エッジコントローラ100に接続して利用されるエッジ装置200を、容易に利用することが可能となる。
本実施の形態に係る技術により、エッジコントローラ100に接続して利用されるエッジ装置200を、容易に利用することが可能となる。
【0105】
より具体的には、本実施の形態に係る技術では、SIMを利用し、エッジコントローラ100との通信経路を既存のオンプレのIT環境から独立することで、容易にエッジコントローラ100と通信するための外部ネットワークへの接続を実現できる。また、SIMを用いた認証方式を採用し、SIM認証機能と、エッジ装置200の認証機能を綿密に連携させることにより、従来の方式と比べて、よりセキュア、かつ低コストでエッジ装置200の認証を実現できる。更に、エッジ装置200内の構成設定や、エッジアプリケーションの配信などの初期導入工程の自動化も実現できる。
【0106】
(付記)
本明細書には、少なくとも下記各項の通信システム、制御装置、通信方法、及びプログラムが開示されている。
(付記項1)
エッジ装置と制御装置とを備える通信システムであって、
前記制御装置が、前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報を用いて第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信し、
前記制御装置は、前記エッジ装置から受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築する
通信システム。
(付記項2)
前記エッジ装置は、eSIMを備え、当該eSIMにネットワークを介してSIM管理装置から前記SIM情報が書き込まれる
付記項1に記載の通信システム。
(付記項3)
前記エッジ情報管理表には、前記第1認証情報とともに、前記エッジ装置が利用するアプリケーションの識別情報が記録されており、
前記制御装置は、前記エッジ情報管理表に基づいて、前記エッジ装置に配信すべきアプリケーションを決定し、当該アプリケーションを、前記VPNを介して前記エッジ装置に配信する
付記項1又は2に記載の通信システム。
(付記項4)
前記制御装置は、前記エッジ装置のSIM情報と前記エッジ装置のハードウェア情報を用いて、前記第1認証情報を生成し、生成した前記第1認証情報を前記エッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報と前記ハードウェア情報を用いて前記第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信する
付記項1ないし3のうちいずれか1項に記載の通信システム。
(付記項5)
エッジ装置と制御装置とを備える通信システムにおける前記制御装置であって、
前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録するエッジ装置管理部と、
前記エッジ装置から、前記SIM情報を用いて生成された第2認証情報を受信し、受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築することを決定するエッジ認証部と
を備える制御装置。
(付記項6)
エッジ装置と制御装置とを備える通信システムにおける通信方法であって、
前記制御装置が、前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報を用いて第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信し、
前記制御装置は、前記エッジ装置から受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築する
通信方法。
(付記項7)
コンピュータを、付記項5に記載の制御装置における各部として機能させるためのプログラム。
本明細書には、少なくとも下記各項の通信システム、制御装置、通信方法、及びプログラムが開示されている。
(付記項1)
エッジ装置と制御装置とを備える通信システムであって、
前記制御装置が、前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報を用いて第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信し、
前記制御装置は、前記エッジ装置から受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築する
通信システム。
(付記項2)
前記エッジ装置は、eSIMを備え、当該eSIMにネットワークを介してSIM管理装置から前記SIM情報が書き込まれる
付記項1に記載の通信システム。
(付記項3)
前記エッジ情報管理表には、前記第1認証情報とともに、前記エッジ装置が利用するアプリケーションの識別情報が記録されており、
前記制御装置は、前記エッジ情報管理表に基づいて、前記エッジ装置に配信すべきアプリケーションを決定し、当該アプリケーションを、前記VPNを介して前記エッジ装置に配信する
付記項1又は2に記載の通信システム。
(付記項4)
前記制御装置は、前記エッジ装置のSIM情報と前記エッジ装置のハードウェア情報を用いて、前記第1認証情報を生成し、生成した前記第1認証情報を前記エッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報と前記ハードウェア情報を用いて前記第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信する
付記項1ないし3のうちいずれか1項に記載の通信システム。
(付記項5)
エッジ装置と制御装置とを備える通信システムにおける前記制御装置であって、
前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録するエッジ装置管理部と、
前記エッジ装置から、前記SIM情報を用いて生成された第2認証情報を受信し、受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築することを決定するエッジ認証部と
を備える制御装置。
(付記項6)
エッジ装置と制御装置とを備える通信システムにおける通信方法であって、
前記制御装置が、前記エッジ装置のSIM情報を用いて第1認証情報を生成し、生成した前記第1認証情報をエッジ情報管理表に記録し、
前記エッジ装置が、前記SIM情報を用いて第2認証情報を生成し、生成した前記第2認証情報を前記制御装置に送信し、
前記制御装置は、前記エッジ装置から受信した前記第2認証情報と、前記エッジ情報管理表に記録された前記第1認証情報とを比較することにより、前記エッジ装置の認証を行い、少なくとも当該認証に成功した場合に、前記エッジ装置との間にVPNを構築する
通信方法。
(付記項7)
コンピュータを、付記項5に記載の制御装置における各部として機能させるためのプログラム。
【0107】
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0108】
1 ネットワーク
100 エッジコントローラ
110 エッジ装置管理部
120 エッジ認証部
130 GW
200 エッジ装置
210 VPN終端部
220 コントローラ通信部
230 SIM搭載部
300 SIM管理装置
310 SIM認証部
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
100 エッジコントローラ
110 エッジ装置管理部
120 エッジ認証部
130 GW
200 エッジ装置
210 VPN終端部
220 コントローラ通信部
230 SIM搭載部
300 SIM管理装置
310 SIM認証部
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】