知財求人 - 知財ポータルサイト「IP Force」
特開2024-75013移動通信網基盤プライベートネットワークでのトラフィック制御方法および移動通信網基盤プライベートネットワークシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024075013
(43)【公開日】2024-06-03
(54)【発明の名称】移動通信網基盤プライベートネットワークでのトラフィック制御方法および移動通信網基盤プライベートネットワークシステム
(51)【国際特許分類】
H04W 28/02 20090101AFI20240527BHJP
H04W 88/18 20090101ALI20240527BHJP
H04W 48/18 20090101ALI20240527BHJP
H04L 41/04 20220101ALI20240527BHJP
【FI】
H04W28/02
H04W88/18
H04W48/18 115
H04L41/04
【審査請求】有
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2022186094
(22)【出願日】2022-11-22
(11)【特許番号】
(45)【特許公報発行日】2024-03-18
(71)【出願人】
【識別番号】522456291
【氏名又は名称】エンテルス カンパニー リミテッド
(74)【代理人】
【識別番号】110000914
【氏名又は名称】弁理士法人WisePlus
(72)【発明者】
【氏名】チェ, ヨン レ
(72)【発明者】
【氏名】キム, ジョン フン
(72)【発明者】
【氏名】ハン, サン グォン
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA21
5K067EE16
5K067HH22
5K067HH24
(57)【要約】 (修正有)
【課題】効果的にトラフィック制御を可能とする、移動通信コアネットワークの構成をプライベートネットワークの内部構成として使うプライベートネットワークでのトラフィック制御技法を提供する。
【解決手段】移動通信網基盤プライベートネットワークシステム200は、使用者端末10が接続した移動通信コアネットワークのパケットデータ処理システム、事前に保有した接続政策を保有するトラフィック管理装置及び接続政策と接続情報を比較して接続を制御するパケット分析装置を含む。接続政策は、トラフィックを許容する対象を定義したホワイトリストまたはトラフィックを遮断する対象を定義したブラックリストのうち少なくとも一つを含む。パケットデータ処理システムは、移動通信コアネットワークの制御政策装置の制御を受けないプライベートネットワークシステムに含まれる。
【選択図】図2
【解決手段】移動通信網基盤プライベートネットワークシステム200は、使用者端末10が接続した移動通信コアネットワークのパケットデータ処理システム、事前に保有した接続政策を保有するトラフィック管理装置及び接続政策と接続情報を比較して接続を制御するパケット分析装置を含む。接続政策は、トラフィックを許容する対象を定義したホワイトリストまたはトラフィックを遮断する対象を定義したブラックリストのうち少なくとも一つを含む。パケットデータ処理システムは、移動通信コアネットワークの制御政策装置の制御を受けないプライベートネットワークシステムに含まれる。
【選択図】図2
【特許請求の範囲】
【請求項1】
移動通信コアネットワークに使用者端末の加入者識別情報が登録されると、トラフィック管理装置が前記使用者端末のIMEI(International Mobile Equipment Identity)を登録して前記使用者端末をブラックリスト端末またはホワイトリスト端末として登録する段階;
前記使用者端末が前記移動通信コアネットワークに接続(attach)する段階;
パケット分析装置が前記移動通信コアネットワークのパケットデータ処理システムから特定サービスのためのネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出する段階;および
パケット分析装置が事前に設定された前記トラフィック管理装置の接続政策と前記接続情報を比較してイントラネットまたはインターネット接続を制御する段階を含むものの、
前記パケットデータ処理システム、前記パケット分析装置および前記トラフィック管理装置はプライベートネットワークシステムに含まれ、前記プライベートネットワークシステムは前記移動通信コアネットワークの制御政策装置の制御を受けない独立したネットワークシステムである、移動通信網基盤プライベートネットワークでのトラフィック制御方法。
前記使用者端末が前記移動通信コアネットワークに接続(attach)する段階;
パケット分析装置が前記移動通信コアネットワークのパケットデータ処理システムから特定サービスのためのネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出する段階;および
パケット分析装置が事前に設定された前記トラフィック管理装置の接続政策と前記接続情報を比較してイントラネットまたはインターネット接続を制御する段階を含むものの、
前記パケットデータ処理システム、前記パケット分析装置および前記トラフィック管理装置はプライベートネットワークシステムに含まれ、前記プライベートネットワークシステムは前記移動通信コアネットワークの制御政策装置の制御を受けない独立したネットワークシステムである、移動通信網基盤プライベートネットワークでのトラフィック制御方法。
【請求項2】
前記トラフィック管理装置が前記使用者端末のトラフィック制御のための前記接続政策を管理者装置から受信する段階をさらに含む、請求項1に記載の移動通信網基盤プライベートネットワークでのトラフィック制御方法。
【請求項3】
前記接続情報は前記使用者端末が前記移動通信コアネットワーク接続時に生成される認証情報から抽出する位置情報を含み、
前記トラフィック制御装置は、少なくとも一つの基地局の位置を基準として特定される前記使用者端末の位置が前記接続政策の特定領域内に位置するかを判断して前記接続を制御する、請求項1に記載の移動通信網基盤プライベートネットワークでのトラフィック制御方法。
前記トラフィック制御装置は、少なくとも一つの基地局の位置を基準として特定される前記使用者端末の位置が前記接続政策の特定領域内に位置するかを判断して前記接続を制御する、請求項1に記載の移動通信網基盤プライベートネットワークでのトラフィック制御方法。
【請求項4】
前記接続情報は前記ネットワーク接続を要請する時間を含み、
前記トラフィック制御装置は前記時間が前記接続政策の特定曜日または一日のうち特定時間帯に含まれるかどうかを判断して前記接続を制御する、請求項1に記載の移動通信網基盤プライベートネットワークでのトラフィック制御方法。
前記トラフィック制御装置は前記時間が前記接続政策の特定曜日または一日のうち特定時間帯に含まれるかどうかを判断して前記接続を制御する、請求項1に記載の移動通信網基盤プライベートネットワークでのトラフィック制御方法。
【請求項5】
前記接続情報は前記ネットワーク接続を通じて要請するサービス情報であり、
前記サービス情報はIP、IPおよびポート番号、TCPまたはUDPポート番号、ホストの名前、ドメインの名前およびアプリケーションの名前のうち少なくとも一つを含み、
前記トラフィック制御装置は前記サービス情報が前記接続政策のサービス対象と一致するかどうかを判断して前記接続を制御する、請求項1に記載の移動通信網基盤プライベートネットワークでのトラフィック制御方法。
前記サービス情報はIP、IPおよびポート番号、TCPまたはUDPポート番号、ホストの名前、ドメインの名前およびアプリケーションの名前のうち少なくとも一つを含み、
前記トラフィック制御装置は前記サービス情報が前記接続政策のサービス対象と一致するかどうかを判断して前記接続を制御する、請求項1に記載の移動通信網基盤プライベートネットワークでのトラフィック制御方法。
【請求項6】
使用者端末が接続した(attached)移動通信コアネットワークのパケットデータ処理システム;
事前に保有した接続政策を保有するトラフィック管理装置;および
前記パケットデータ処理システムからネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出し、前記トラフィック管理装置の接続政策と前記接続情報を比較してイントラネットまたはインターネット接続を制御するパケット分析装置を含むものの、
前記接続政策は、トラフィックを許容する対象を定義したホワイトリストまたはトラフィックを遮断する対象を定義したブラックリストのうち少なくとも一つを含み、
前記パケットデータ処理システムは前記移動通信コアネットワークの制御政策装置の制御を受けないプライベートネットワークシステムに含まれる、移動通信網基盤プライベートネットワークシステム。
事前に保有した接続政策を保有するトラフィック管理装置;および
前記パケットデータ処理システムからネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出し、前記トラフィック管理装置の接続政策と前記接続情報を比較してイントラネットまたはインターネット接続を制御するパケット分析装置を含むものの、
前記接続政策は、トラフィックを許容する対象を定義したホワイトリストまたはトラフィックを遮断する対象を定義したブラックリストのうち少なくとも一つを含み、
前記パケットデータ処理システムは前記移動通信コアネットワークの制御政策装置の制御を受けないプライベートネットワークシステムに含まれる、移動通信網基盤プライベートネットワークシステム。
【請求項7】
前記接続政策を生成して前記トラフィック管理装置に伝達する管理者装置をさらに含む、請求項6に記載の移動通信網基盤プライベートネットワークシステム。
【請求項8】
前記接続情報は前記使用者端末が前記移動通信コアネットワーク接続時に生成される認証情報から抽出する位置情報を含み、
前記トラフィック制御装置は、少なくとも一つの基地局の位置を基準として特定される前記使用者端末の位置が前記接続政策の特定領域内に位置するかを判断して前記接続を制御する、請求項6に記載の移動通信網基盤プライベートネットワークシステム。
前記トラフィック制御装置は、少なくとも一つの基地局の位置を基準として特定される前記使用者端末の位置が前記接続政策の特定領域内に位置するかを判断して前記接続を制御する、請求項6に記載の移動通信網基盤プライベートネットワークシステム。
【請求項9】
前記接続情報は前記ネットワーク接続を要請する時間を含み、
前記トラフィック制御装置は前記時間が前記接続政策の特定曜日または一日のうち特定時間帯に含まれるかどうかを判断して前記接続を制御する、請求項6に記載の移動通信網基盤プライベートネットワークシステム。
前記トラフィック制御装置は前記時間が前記接続政策の特定曜日または一日のうち特定時間帯に含まれるかどうかを判断して前記接続を制御する、請求項6に記載の移動通信網基盤プライベートネットワークシステム。
【請求項10】
前記接続情報は前記ネットワーク接続を通じて要請するサービス情報であり、
前記サービス情報はIP、IPおよびポート番号、TCPまたはUDPポート番号、ホストの名前、ドメインの名前およびアプリケーションの名前のうち少なくとも一つを含み、
前記トラフィック制御装置は前記サービス情報が前記接続政策のサービス対象と一致するかどうかを判断して前記接続を制御する、請求項6に記載の移動通信網基盤プライベートネットワークシステム。
前記サービス情報はIP、IPおよびポート番号、TCPまたはUDPポート番号、ホストの名前、ドメインの名前およびアプリケーションの名前のうち少なくとも一つを含み、
前記トラフィック制御装置は前記サービス情報が前記接続政策のサービス対象と一致するかどうかを判断して前記接続を制御する、請求項6に記載の移動通信網基盤プライベートネットワークシステム。
【請求項11】
前記接続情報は前記使用者端末のIMEI(International Mobile Equipment Identity)を含み、
前記政策情報は移動通信網に前記使用者端末の加入者識別情報が登録されると、登録される前記使用者端末のIMEIを含み、
前記パケット分析装置は前記使用者端末のIMEIが前記接続政策に登録された情報でない場合、前記使用者端末に対するトラフィックを遮断する、請求項6に記載の移動通信網基盤プライベートネットワークシステム。
前記政策情報は移動通信網に前記使用者端末の加入者識別情報が登録されると、登録される前記使用者端末のIMEIを含み、
前記パケット分析装置は前記使用者端末のIMEIが前記接続政策に登録された情報でない場合、前記使用者端末に対するトラフィックを遮断する、請求項6に記載の移動通信網基盤プライベートネットワークシステム。
【請求項12】
前記パケット分析装置は
前記使用者端末がホワイトリストに属した端末であれば、前記使用者端末に前記接続政策に含まれたサービスのみを許容し、
前記使用者端末がブラックリストに属した端末であれば、前記使用者端末に前記接続政策に含まれたサービスのみを遮断する、請求項6に記載の移動通信網基盤プライベートネットワークシステム。
前記使用者端末がホワイトリストに属した端末であれば、前記使用者端末に前記接続政策に含まれたサービスのみを許容し、
前記使用者端末がブラックリストに属した端末であれば、前記使用者端末に前記接続政策に含まれたサービスのみを遮断する、請求項6に記載の移動通信網基盤プライベートネットワークシステム。
【発明の詳細な説明】
【技術分野】
【0001】
以下で説明する技術は移動通信網に基づいたプライベートネットワークでのトラフィック制御技法に関する。
【背景技術】
【0002】
企業や公共機関は内部的に使うプライベートネットワークであるイントラネットを使って構成員である使用者に一定のサービスを提供する。ここで、プライベートネットワークは移動通信ネットワークと物理的に分離されたシステムに該当する。プライベートネットワークは移動通信ネットワークと連動すれば使用者が移動通信網を通じて接続することができる。
【0003】
一方、移動通信ネットワークはコアネットワークに接続した使用者に対して、事前に設定された政策を基準として使用者に対するトラフィックを制御することができる。
【発明の概要】
【発明が解決しようとする課題】
【0004】
移動通信ネットワークと連動するプライベートネットワークで使用者のトラフィック制御は、移動通信ネットワークの政策とは別途に運営される必要がある。以下で説明する技術は、移動通信ネットワークの制御政策と独立した制御政策を使ってトラフィックを制御するプライベートネットワークを提供しようとする。さらに、以下で説明する技術は移動通信ネットワークに接続した使用者の情報を動的に活用しながらも、移動通信ネットワークとは独立した制御政策を使ってトラフィックを制御するプライベートネットワークを提供しようとする。
【課題を解決するための手段】
【0005】
移動通信網基盤プライベートネットワークでのトラフィック制御方法は、移動通信コアネットワークに使用者端末の加入者識別情報が登録されると、トラフィック管理装置が前記使用者端末の識別情報を登録して前記使用者端末をブラックリスト端末またはホワイトリスト端末として登録する段階、前記使用者端末が前記移動通信コアネットワークに接続する段階、パケット分析装置が前記移動通信コアネットワークのパケットデータ処理システムから特定サービスのためのネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出する段階、およびパケット分析装置が事前に設定された前記トラフィック管理装置の接続政策と前記接続情報を比較してイントラネットまたはインターネット接続を制御する段階を含む。
【0006】
移動通信網基盤プライベートネットワークシステムは、使用者端末が接続した(attached)移動通信コアネットワークのパケットデータ処理システム、事前に保有した接続政策を保有するトラフィック管理装置、および前記パケットデータ処理システムからネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出し、前記トラフィック管理装置の接続政策と前記接続情報を比較してイントラネットまたはインターネット接続を制御するパケット分析装置を含む。前記接続政策は、トラフィックを許容する対象を定義したホワイトリストまたはトラフィックを遮断する対象を定義したブラックリストのうち少なくとも一つを含み、前記パケットデータ処理システムは前記移動通信コアネットワークの制御政策装置の制御を受けないプライベートネットワークシステムに含まれる。
【発明の効果】
【0007】
以下で説明する技術は、移動通信ネットワークを通じてプライベートネットワークに接続を許容するものの、移動通信ネットワークとは独立したトラフィック制御を可能とする。さらに、以下で説明する技術は、従来移動通信コアネットワークの構成をプライベートネットワークの内部構成として使うプライベートネットワークにおいて効果的にトラフィック制御を可能とする。
【図面の簡単な説明】
【0008】
【図1】従来移動通信ネットワークシステムでトラフィック制御の例である。
【図2】移動通信ネットワーク基盤プライベートネットワークシステムでトラフィック制御の例である。
【図3】移動通信ネットワーク基盤プライベートネットワークシステムで政策設定および制御過程に対する例である。
【図4】移動通信ネットワーク基盤プライベートネットワークシステムでトラフィック制御過程に対するフローチャートの例である。
【図5】移動通信ネットワーク基盤プライベートネットワークシステムでトラフィック制御過程に対する手続きフローチャートの例である。
【発明を実施するための形態】
【0009】
以下で説明する技術は多様な変更を加えることができ、多様な実施例を有することができるところ、特定実施例を図面に例示して詳細に説明しようとする。しかし、これは以下で説明する技術を特定の実施形態に対して限定しようとするものではなく、以下で説明する技術の思想および技術範囲に含まれるすべての変更、均等物乃至代替物を含むものと理解されるべきである。
【0010】
第1、第2、A、Bなどの用語は多様な構成要素の説明に使われ得るが、該当構成要素は前記用語によって限定されはせず、単に一つの構成要素を他の構成要素から区別する目的でのみ使われる。例えば、以下で説明する技術の権利範囲を逸脱することなく第1構成要素は第2構成要素と命名され得、同様に第2構成要素も第1構成要素と命名され得る。および/またはという用語は、複数の関連した記載された項目の組み合わせまたは複数の関連した記載された項目のうちいずれかの項目を含む。
【0011】
本明細書で使われる用語で単数の表現は、文脈上明白に異なって解釈されない限り複数の表現を含むものと理解されるべきであり、「含む」などの用語は説明された特徴、個数、段階、動作、構成要素、部分品またはこれらを組み合わせたものが存在することを意味するものであり、一つまたはそれ以上の他の特徴や個数、段階動作構成要素、部分品またはこれらを組み合わせたものなどの存在または付加の可能性を排除しないものと理解されるべきである。
【0012】
図面について詳細に説明する前に、本明細書での構成部に対する区分は各構成部が担当する主機能別に区分したものに過ぎないことを明確にしようとする。すなわち、以下で説明する2個以上の構成部が一つの構成部で結合されたり、または一つの構成部がより細分化された機能別に2個以上に分化されて備えられてもよい。そして、以下で説明する構成部それぞれは自身が担当する主機能以外にも他の構成部が担当する機能のうち一部又は全部の機能を追加的に遂行してもよく、構成部それぞれが担当する主機能のうち一部の機能が他の構成部によって専担されて遂行されてもよいことは言うまでもない。
【0013】
また、方法または動作方法を遂行するにおいて、前記方法をなす各過程は、文脈上明白に特定の順序を記載しない限り明記された順序と異なって起きてもよい。すなわち、各過程は明記された順序と同一に起きてもよく、実質的に同時に遂行されてもよく、反対の順で遂行されてもよい。
【0014】
【0015】
使用者端末10は基地局(eNB、110)を通じて移動通信ネットワークのコアシステムであるEPC(Evolved Packet Core、120)に接続する。図1はEPC120で説明に必要な一部の構成を図示する。MME(Mobility Management Entity、121)は使用者端末10に対するセッション管理および移動性管理を遂行する。SGW(Serving Gateway、122)はデータパケットを伝送し、基地局または他のネットワークとのハンドオーバー基準点となる。PGW(PDN Gateway、125)は使用者端末10に外部データ網を連結する構成である。
【0016】
PCRF(Policy and Charging Rules Function、124)はサービスおよび加入者プロファイル基盤で政策および課金を提供する構成である。PCRF124は移動通信ネットワークに接続する使用者端末10に対する接続を制御する構成に該当する。したがって、PCRF124は移動通信ネットワークシステム100での政策によるトラフィック制御に関与する。
【0017】
PCRF124の政策にしたがって使用者端末10はPGW125を通じて外部インターネットに接続することができる。図1はインターネットを通じてプライベートのイントラネットPに接続する場合を図示する。したがって、使用者端末10は移動通信ネットワークシステム100を経由してイントラネットPに接続し、イントラネットPは接続された端末の情報および要請によりサービスを提供することになる。イントラネットPで使用者端末10のトラフィックを制御することができるが、これはPCRF124の政策とは関係がなく、この過程で移動通信ネットワークの内部情報(RADIUS認証情報など)を活用することも難しい。
【0018】
図2は、移動通信ネットワークと結合されたプライベートネットワークシステム200に対する例である。図2でプライベートネットワークシステム200は、移動通信ネットワークに接続した使用者端末10の情報に基づいてプライベートネットワークでのトラフィックを制御することができる。
【0019】
図2は、移動通信ネットワーク基盤プライベートネットワークシステム200でトラフィック制御の例である。使用者端末10は4Gまたは5G移動通信ネットワークに接続することができる。使用者端末はeNBまたはgNBを通じて移動通信ネットワークに接続することができる。
【0020】
移動通信ネットワーク基盤プライベートネットワークシステム200は、EPC210、TMS(Traffic Management System、220)およびDPI(Deep Packet Inspection、230)を含む。
【0021】
使用者端末10は移動通信加入者としてEPC210に事前に登録された装置に該当する。図1は、使用者端末10に対する情報を保有する構成(HSSなど)は図示していない。
【0022】
EPC210は移動通信ネットワークのコアシステムに該当する。図2はEPCの中で説明に必要なパケットデータの伝達構成であるPGWおよびUPF(User Plane Function)のみを図示した。PGWは4G移動通信ネットワークのパケット伝送ゲートウェイであり、UPFは5G移動通信ネットワークのパケット伝送構成に該当する。
【0023】
トラフィック管理装置であるTMS220は、トラフィック制御のための政策を管理する。TMS220はEPC210から一定の情報を受信することができる。例えば、TMS220はUPFとGTPP(GPT Prime)に連結され得る。
【0024】
パケット分析装置であるDPI230は、PGWまたはUPFからパケットが伝達される。例えば、DPI230はPGWまたはUPFから使用者端末10が移動通信ネットワーク接続時に生成されるRADIUSを受信することができる。
【0025】
DPI230は使用者端末10が生成した情報が含まれたパケットを受信することになる。DPI230は受信したパケットを分析してパケットに含まれた接続情報および/またはサービス情報を抽出する。接続情報は使用者端末10が移動通信ネットワークに接続して生成される情報に該当する。サービス情報は使用者端末10がイントラネットPに要請するサービスに対する情報を含む。さらに、広義の接続情報は使用者端末10がネットワークに接続しながら生成される情報、サービス情報などを含む意味で使われてもよい。
【0026】
DPI230はTMS220と一定のプロトコル(例えば、FTP)で連結され得る。例えば、DPI230はDiameter情報をTMS220に伝達でき、DPI230はRADIUS情報をTMS220から受信してもよい。前述したDiameterおよびRADIUSは移動通信で認証に関連した情報を伝達するプロトコルであり、図面では該当プロトコルに伝達される情報という意味で表示した。例えば、認証関連情報は使用者情報、端末の位置などを含むことができる。もちろん、移動通信ネットワーク基盤プライベートネットワークシステム200はDPI230とTMS220の間に情報をやりとりする他のプロトコルを使ってもよい。
【0027】
DPI230はパケットから接続情報を抽出し、TMS220が生成乃至伝達する接続政策を参照して使用者端末10のトラフィックを許容または遮断するように制御する。DPI230は多様な接続情報のうちいずれか一つまたは複数の接続情報を組み合わせてトラフィックを制御するための基準とすることができる。
【0028】
DPI230は使用者端末10の接続情報および接続政策にしたがってイントラネットP接続を許容または遮断することができる。またDPI230は使用者端末10の接続情報および接続政策にしたがってイントラネットP接続後、インターネットを利用した特定サービスに対するトラフィックを許容または遮断してもよい。
【0029】
図3は、移動通信ネットワーク基盤プライベートネットワークシステム300で政策設定および制御過程に対する例である。図3の移動通信ネットワーク基盤プライベートネットワークシステム300は、図2の移動通信ネットワーク基盤プライベートネットワークシステム200に対応するシステムである。図3は接続政策を設定するのに必要な構成などを追加で図示する。
【0030】
移動通信ネットワーク基盤プライベートネットワークシステム300は、EPC310、TMS320、DPI330およびプッシュサーバー340を含む。
【0031】
EPC310は前述した通り、移動通信網のコアネットワークシステムに該当する。ただし、プライベート(private)EPC310はイントラネットを使う特定企業または機関の専用EPCを意味する。すなわち、プライベートEPC310は移動通信ネットワーク事業者が特定企業または機関のプライベートネットワークシステム300の専用構成として割り当てる装置に該当する。
【0032】
DPI330は、EPC310から使用者端末の接続要請またはサービス要請を含むパケットを受信する。該当パケットは接続情報を含む。パケットは基本的に使用者端末に対する識別子情報を含む。DPI330はパケットから接続情報を抽出する。
【0033】
DPI330は使用者端末が移動通信ネットワークの加入者であれば、該当端末の登録情報をTMS320に伝達する。登録情報は使用者端末の識別子および/または使用者端末の加入者情報識別子を含むことができる。TMS320は、登録情報を利用して該当使用者端末がプライベートネットワークシステム300に接続できる対象として端末を登録しレンタル処理することができる。
【0034】
DPI330はEPC310から使用者端末のサービス要請を含むパケットを受信する。該当パケットは接続情報を含む。DPI330はパケットから接続情報を抽出する。
【0035】
DPI330はTMS320からサービス要請した使用者端末に対する接続政策を受信することができる。DPI330は、抽出した接続情報と受信した接続政策を比較して該当使用者端末に対するトラフィックを制御することができる。
【0036】
TMS320は管理者装置305から接続政策を受信することができる。接続政策は特定使用者または使用者端末(以下、使用者端末を基準として説明)に対するトラフィック制御のための情報を含む。接続政策は特定使用者端末がブラックリスト対象であるかまたはホワイトリスト対象であるかに対する情報を含むことができる。また、接続政策は具体的に、トラフィック制御のための位置(または領域)、特定時間(曜日、特定時間帯など)およびサービス区分情報などを含むことができる。TMS320は接続政策を管理し、管理者装置305から伝達される情報乃至命令により接続政策を更新することができる。
【0037】
DPI330は使用者端末に対して加入者(使用者)および/またはサービス別にトラフィックを管理する。DPI330は使用者端末が要請するサービスを許容する場合、スイッチSWを通じてイントラネットPを経由してまたは直接該当サービスを提供するインターネットアドレスに接続を許容する。DPI330は使用者端末が要請するサービスを遮断する場合、ネットワーク接続を許容しない。DPI330が特定使用者端末に対してトラフィックを制御する場合、該当制御情報をTMS320に伝達することができる。
【0038】
TMS320は制御情報をプッシュ(push)サーバー340に伝達し、プッシュサーバー340は制御内容を使用者端末10にプッシュすることができる。
【0039】
図4は、移動通信ネットワーク基盤プライベートネットワークシステムでトラフィック制御過程400に対するフローチャートの例である。
【0040】
管理者は管理者装置(PCなど)を使ってTMSに接続し、TMSにトラフィック制御のための接続政策を登録することができる(410)。
【0041】
接続政策について説明する。接続政策はプライベートネットワークシステムに接続する使用者端末に対してのみ適用される。したがって、接続政策は移動通信ネットワークのPCRFの政策とは異なるものである。
【0042】
接続政策は(i)領域情報、(ii)接続時間および(iii)サービス識別情報に分類され得る。
【0043】
(1)接続政策で領域情報は使用者端末が位置する領域を意味する。領域情報は特定建物、特定工場、特定室内区域、特定室外区域などと設定され得る。領域情報はGPSの座標、特定基地局(ら)との連結乃至近接性、移動通信ネットワークのセルなどのようなデータと定義され得る。
【0044】
(2)接続時間は使用者端末がネットワークに接続した時間または特定サービスを要請した時間を意味する。接続時間は一日のうち特定時間帯、特定曜日、特定月(month)、特定年度(year)等と定義され得る。
【0045】
(3)サービス識別情報はプライベートネットワークが提供する特定サービスを識別する情報である。特定サービスはIP、IPおよびポート番号、TCPポート番号、UDPポート番号、アプリケーションの名前、ドメインの名前(domain name)、ホストの名前(host name)等で識別され得る。
【0046】
TMSはプライベートネットワークのプライベートEPCに接続した使用者端末を登録する(420)。TMSは接続した使用者端末の移動通信ネットワークでのMSISDN(Mobile Station International Subscriber Directory Number)をレンタル処理し、該当端末のIMEI(International Mobile Equipment Identity)を登録する。DPIはTMSがトラフィック制御対象として登録した端末のみを制御することになる。
【0047】
登録過程でTMSは、使用者端末がホワイトリスト基盤制御対象であるかまたはブラックリスト基盤制御対象であるかも設定することができる。また、TMSは使用者端末に対する接続政策を個別的に設定してもよい。すなわち、TMSは該当端末の識別子別に互いに異なる接続政策を設定することができる。
【0048】
以後、使用者端末はプライベートネットワークに接続して一定のサービスを要請することになる(430)。現在プライベートネットワークに接続してサービスを要請する使用者端末を対象端末と命名する。
【0049】
DPIはプライベートEPCから対象端末のサービス要請を含むパケットを受信する。DPIは受信したパケットから必要な情報を抽出する。DPIは端末の識別子、端末の位置、端末のサービス程度などを抽出することができる。
【0050】
DPIはまず、対象端末がプライベートネットワークシステムに接続可能な登録端末としてレンタル処理されたかどうかを確認する(440)。DPIは対象端末が登録された端末でなければトラフィックを遮断する。DPIは対象端末が登録された端末であれば事前に設定された接続政策にしたがってトラフィックを制御することになる(440のYes)。
【0051】
DPIはTMSの接続政策を参照して対象端末のトラフィックを制御する。DPIは対象端末がホワイトリストに属した端末であるかを確認する(450)。対象端末がホワイトリスト基盤の端末であれば、登録した政策に対するサービスのみ許容する。DPIは対象端末の接続情報と接続政策を比較して、対象端末の接続情報が接続政策と同一(符合)であれば(460のYes)、インターネット(スイッチ)でパケットを伝送する(490)。DPIは対象端末の接続情報と接続政策を比較して、対象端末の接続情報が接続政策と同一(符合)でなければトラフィックを遮断する。
【0052】
DPIが抽出する接続情報は前述した接続政策に対応する情報である。接続情報は(i)端末の位置、(ii)接続時間またはサービス要請時間および(iii)サービス識別情報のうち少なくとも一つを含むことができる。
【0053】
(1)端末の位置は移動通信ネットワークのRADIUSの位置情報を利用することができる。DPIは対象端末の位置が接続政策の領域情報に含まれるのであれば、対象端末のパケットをインターネットで伝送する。
【0054】
(2)接続時間は対象端末がネットワーク(移動通信ネットワークまたはプライベートネットワーク)に接続した時間である。サービス要請時間は対象端末が特定サービスを要請した時間であって、接続時間と同一であってもよく、または接続時間以後の未来の時点であってもよい。DPIは対象端末の接続時間が接続政策で許容した接続時間含まれるのであれば対象端末のパケットをインターネットで伝送する。
【0055】
(3)サービス識別情報はサービスを識別する情報である。サービス識別情報はIP、IPおよびポート番号、TCPポート番号、UDPポート番号、アプリケーションの名前、ドメインの名前(domain name)およびホストの名前(host name)のうち少なくとも一つを含むことができる。DPIは対象端末が要請したサービスの識別情報が接続政策で許容したサービス情報に含まれるのであれば対象端末のパケットをインターネットで伝送する。
【0056】
対象端末がホワイトリスト基盤端末でなければ、ブラックリスト基盤の制御を受けた端末に該当するであろう。対象端末がホワイトリスト基盤端末でなければ(450のNo)、DPIは対象端末がブラックリストに属した端末であるかを確認することができる(470)。対象端末がブラックリスト基盤の端末でなければ、DPIは再び対象端末が登録端末であるかどうかを確認してもよい。
【0057】
対象端末がブラックリスト基盤の端末であれば、登録した政策に対するサービスのみ遮断する。DPIは対象端末の接続情報と接続政策を比較して、対象端末の接続情報が接続政策と同一(符合)でない場合(480のNo)、インターネット(スイッチ)でパケットを伝送する(490)。DPIは対象端末の接続情報と接続政策を比較して、対象端末の接続情報が接続政策と同一(符合)であればトラフィックを遮断する。
【0058】
DPIが抽出する接続情報は前述した接続政策に対応する情報である。接続情報は(i)端末の位置、(ii)接続時間またはサービス要請時間および(iii)サービス識別情報のうち少なくとも一つを含むことができる。
【0059】
(1)端末の位置は移動通信ネットワークのRADIUSの位置情報を利用することができる。DPIは対象端末の位置が接続政策の領域情報に含まれるのであればトラフィックを遮断する。
【0060】
(2)接続時間は対象端末がネットワーク(移動通信ネットワークまたはプライベートネットワーク)に接続した時間である。サービス要請時間は対象端末が特定サービスを要請した時間で接続時間と同一であってもよくて、または接続時間以後の未来の時点であってもよい。DPIは対象端末の接続時間が接続政策で許容した接続時間含まれるのであればトラフィックを遮断する。
【0061】
(3)サービス識別情報はサービスを識別する情報である。サービス識別情報はIP、IPおよびポート番号、TCPポート番号、UDPポート番号、アプリケーションの名前、ドメインの名前(domain name)およびホストの名前(host name)のうち少なくとも一つを含むことができる。DPIは対象端末が要請したサービスの識別情報が接続政策で許容したサービス情報に含まれるのであればトラフィックを遮断する。
【0062】
図5は、移動通信ネットワーク基盤プライベートネットワークシステムでトラフィック制御過程500に対する手続きフローチャートの例である。
【0063】
TMS320は事前に接続政策を設定する(501)。接続政策は前述した多様な情報(領域情報、接続時間およびサービス識別子)を基準として設定され得る。接続政策は多様な情報(領域情報、接続時間およびサービス識別子)の組み合わせで設定されてもよい。また、接続政策は使用者端末別に設定され得る。接続政策は特定使用者グループ別に設定されてもよい。使用者グループは端末の加入識別子または端末の識別子を基準として事前に設定され得る。
【0064】
使用者端末10はプライベートEPC310に接続する(511)。使用者端末10が最初にプライベートネットワークに接続する場合、プライベートネットワーク使用のための登録を要請することができる(512)。
【0065】
TMS320は登録を要請した端末の登録およびレンタル処理をする(521)。
【0066】
以後、使用者端末10はプライベートネットワークに接続しながら特定サービスを要請することになる(531)。TMS320はブラックリスト基盤および/またはホワイトリスト基盤の接続政策をDPI330に伝達する(532)。TMS320は全体接続政策をDPI330に伝送してもよい。
【0067】
図示してはいないが、場合によってDPI330はパケットを分析して使用者端末を識別し、使用者端末の識別情報をTMS320に伝送することができる。この場合、TMS320は該当識別子で特定される接続政策をDPI330に伝送することができる。
【0068】
使用者端末10のパケットはDPI330に伝達される。DPI330はパケットを分析して接続情報を抽出することができる。DPI330は接続情報と接続政策を比較して使用者端末10に対するトラフィックを制御する。トラフィック制御過程は前述した通りである。
【0069】
DPI330は使用者端末10がホワイトリスト基盤である場合、登録した政策に対するサービスのみ許容し(552)、その他のトラフィックは遮断する(551)。DPI330は使用者端末10がブラックリスト基盤である場合、登録した政策に対するサービスのみを遮断し(551)、その他のトラフィックは許容する(552)。
【0070】
また、上述したようなトラフィック制御方法乃至トラフィック制御装置の動作方法は、コンピュータで実行され得る実行可能なアルゴリズムを含むプログラム(またはアプリケーション)で具現され得る。前記プログラムは一時的または非一時的読み取り可能媒体(non-transitory computer readable medium)に保存されて提供され得る。
【0071】
非一時的読み取り可能媒体とは、レジスタ、キャッシュ、メモリなどのように、短い瞬間の間データを保存する媒体ではなく、半永久的にデータを保存し、機器によって読み取り(reading)が可能な媒体を意味する。具体的には、前述した多様なアプリケーションまたはプログラムはCD、DVD、ハードディスク、ブルーレイディスク、USB、メモリカード、ROM(read-only memory)、PROM(programmable read only memory)、EPROM(Erasable PROM、EPROM)またはEEPROM(Electrically EPROM)またはフラッシュメモリなどのような非一時的読み取り可能媒体に保存されて提供され得る。
【0072】
一時的読み取り可能媒体はスタティックラム(Static RAM、SRAM)、ダイナミックラム(Dynamic RAM、DRAM)、シンクロナスディーラム(Synchronous DRAM、SDRAM)、2倍速SDRAM(Double Data Rate SDRAM、DDR SDRAM)、増強型SDRAM(Enhanced SDRAM、ESDRAM)、同期化DRAM(Synclink DRAM、SLDRAM)およびダイレクトラムバスラム(Direct Rambus RAM、DRRAM)のような多様なRAMを意味する。
【0073】
本実施例および本明細書に添付された図面は前述した技術に含まれる技術的思想の一部を明確に示しているものに過ぎず、前述した技術の明細書および図面に含まれた技術的思想の範囲内で当業者が容易に類推できる変形例と具体的な実施例はいずれも前述した技術の権利範囲に含まれるものと言える。
【図1】
【図2】
【図3】
【図4】
【図5】
【手続補正書】
【提出日】2023-11-15
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
移動通信コアネットワークに使用者端末の加入者識別情報が登録されると、トラフィック管理装置が前記使用者端末のIMEI(International Mobile Equipment Identity)を登録して前記使用者端末をブラックリスト端末またはホワイトリスト端末として登録する段階;
前記使用者端末が前記移動通信コアネットワークに接続(attach)する段階;
パケット分析装置が前記移動通信コアネットワークのパケットデータ処理システムから特定サービスのためのネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出する段階;および
パケット分析装置が事前に設定された前記トラフィック管理装置の接続政策と前記接続情報を比較して、ブラックリストまたはホワイトリストに基づいて、前記使用者端末のイントラネット接続、または前記イントラネットを経由したインターネット接続を制御する段階を含むものの、
前記パケットデータ処理システム、前記パケット分析装置および前記トラフィック管理装置はプライベートネットワークシステムに含まれ、前記プライベートネットワークシステムは前記移動通信コアネットワークの制御政策装置の制御を受けない独立したネットワークシステムであり、
(i)前記接続情報が、前記使用者端末が前記移動通信コアネットワークに接続する時に生成される認証情報から抽出される位置情報を含む場合、前記トラフィック制御装置は、少なくとも一つの基地局の位置を基準として特定される前記使用者端末の位置が、前記接続政策の特定領域内に位置するかどうかを判断して前記接続を制御し、
(ii)前記接続情報が前記ネットワーク接続を要請する時間を含む場合、前記トラフィック制御装置は、前記時間が前記接続政策の特定曜日、または一日のうち特定時間帯に含まれるかどうかを判断して前記接続を制御し、
(iii)前記接続情報が前記ネットワーク接続を通じて要請するサービス情報を含む場合、前記サービス情報はIP、IPおよびポート番号、TCPまたはUDPポート番号、ホストの名前、ドメインの名前、およびアプリケーションの名前からなる群から選択される少なくとも一つを含み、前記トラフィック制御装置は前記サービス情報が前記接続政策のサービス対象と一致するかどうかを判断して前記接続を制御する、
移動通信網基盤プライベートネットワークでのトラフィック制御方法。
前記使用者端末が前記移動通信コアネットワークに接続(attach)する段階;
パケット分析装置が前記移動通信コアネットワークのパケットデータ処理システムから特定サービスのためのネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出する段階;および
パケット分析装置が事前に設定された前記トラフィック管理装置の接続政策と前記接続情報を比較して、ブラックリストまたはホワイトリストに基づいて、前記使用者端末のイントラネット接続、または前記イントラネットを経由したインターネット接続を制御する段階を含むものの、
前記パケットデータ処理システム、前記パケット分析装置および前記トラフィック管理装置はプライベートネットワークシステムに含まれ、前記プライベートネットワークシステムは前記移動通信コアネットワークの制御政策装置の制御を受けない独立したネットワークシステムであり、
(i)前記接続情報が、前記使用者端末が前記移動通信コアネットワークに接続する時に生成される認証情報から抽出される位置情報を含む場合、前記トラフィック制御装置は、少なくとも一つの基地局の位置を基準として特定される前記使用者端末の位置が、前記接続政策の特定領域内に位置するかどうかを判断して前記接続を制御し、
(ii)前記接続情報が前記ネットワーク接続を要請する時間を含む場合、前記トラフィック制御装置は、前記時間が前記接続政策の特定曜日、または一日のうち特定時間帯に含まれるかどうかを判断して前記接続を制御し、
(iii)前記接続情報が前記ネットワーク接続を通じて要請するサービス情報を含む場合、前記サービス情報はIP、IPおよびポート番号、TCPまたはUDPポート番号、ホストの名前、ドメインの名前、およびアプリケーションの名前からなる群から選択される少なくとも一つを含み、前記トラフィック制御装置は前記サービス情報が前記接続政策のサービス対象と一致するかどうかを判断して前記接続を制御する、
移動通信網基盤プライベートネットワークでのトラフィック制御方法。
【請求項2】
前記トラフィック管理装置が前記使用者端末のトラフィック制御のための前記接続政策を管理者装置から受信する段階をさらに含む、請求項1に記載の移動通信網基盤プライベートネットワークでのトラフィック制御方法。
【請求項3】
使用者端末が接続した(attached)移動通信コアネットワークのパケットデータ処理システム;
事前に保有した接続政策を保有するトラフィック管理装置;および
前記パケットデータ処理システムからネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出し、前記トラフィック管理装置の接続政策と前記接続情報を比較して前記使用者端末がブラックリストまたはホワイトリスト基づいてイントラネットまたは前記イントラネットを経由してインターネット接続を制御するパケット分析装置を含むものの、
前記接続政策は、トラフィックを許容する対象を定義したホワイトリストまたはトラフィックを遮断する対象を定義したブラックリストのうち少なくとも一つを含み、
前記パケットデータ処理システムは前記移動通信コアネットワークの制御政策装置の制御を受けないプライベートネットワークシステムに含まれる、
(i)前記接続情報が、前記使用者端末が前記移動通信コアネットワークに接続する時に生成される認証情報から抽出される位置情報を含む場合、前記トラフィック制御装置は、少なくとも一つの基地局の位置を基準として特定される前記使用者端末の位置が、前記接続政策の特定領域内に位置するかどうかを判断して前記接続を制御し、
(ii)前記接続情報が前記ネットワーク接続を要請する時間を含む場合、前記トラフィック制御装置は、前記時間が前記接続政策の特定曜日、または一日のうち特定時間帯に含まれるかどうかを判断して前記接続を制御し、
(iii)前記接続情報が前記ネットワーク接続を通じて要請するサービス情報を含む場合、前記サービス情報はIP、IPおよびポート番号、TCPまたはUDPポート番号、ホストの名前、ドメインの名前、およびアプリケーションの名前からなる群から選択される少なくとも一つを含み、前記トラフィック制御装置は前記サービス情報が前記接続政策のサービス対象と一致するかどうかを判断して前記接続を制御する、
移動通信網基盤プライベートネットワークシステム。
事前に保有した接続政策を保有するトラフィック管理装置;および
前記パケットデータ処理システムからネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出し、前記トラフィック管理装置の接続政策と前記接続情報を比較して前記使用者端末がブラックリストまたはホワイトリスト基づいてイントラネットまたは前記イントラネットを経由してインターネット接続を制御するパケット分析装置を含むものの、
前記接続政策は、トラフィックを許容する対象を定義したホワイトリストまたはトラフィックを遮断する対象を定義したブラックリストのうち少なくとも一つを含み、
前記パケットデータ処理システムは前記移動通信コアネットワークの制御政策装置の制御を受けないプライベートネットワークシステムに含まれる、
(i)前記接続情報が、前記使用者端末が前記移動通信コアネットワークに接続する時に生成される認証情報から抽出される位置情報を含む場合、前記トラフィック制御装置は、少なくとも一つの基地局の位置を基準として特定される前記使用者端末の位置が、前記接続政策の特定領域内に位置するかどうかを判断して前記接続を制御し、
(ii)前記接続情報が前記ネットワーク接続を要請する時間を含む場合、前記トラフィック制御装置は、前記時間が前記接続政策の特定曜日、または一日のうち特定時間帯に含まれるかどうかを判断して前記接続を制御し、
(iii)前記接続情報が前記ネットワーク接続を通じて要請するサービス情報を含む場合、前記サービス情報はIP、IPおよびポート番号、TCPまたはUDPポート番号、ホストの名前、ドメインの名前、およびアプリケーションの名前からなる群から選択される少なくとも一つを含み、前記トラフィック制御装置は前記サービス情報が前記接続政策のサービス対象と一致するかどうかを判断して前記接続を制御する、
移動通信網基盤プライベートネットワークシステム。
【請求項4】
前記接続政策を生成して前記トラフィック管理装置に伝達する管理者装置をさらに含む、請求項3に記載の移動通信網基盤プライベートネットワークシステム。
【請求項5】
前記接続情報は前記使用者端末のIMEI(International Mobile Equipment Identity)を含み、
前記政策情報は移動通信網に前記使用者端末の加入者識別情報が登録されると、登録される前記使用者端末のIMEIを含み、
前記パケット分析装置は前記使用者端末のIMEIが前記接続政策に登録された情報でない場合、前記使用者端末に対するトラフィックを遮断する、請求項3に記載の移動通信網基盤プライベートネットワークシステム。
前記政策情報は移動通信網に前記使用者端末の加入者識別情報が登録されると、登録される前記使用者端末のIMEIを含み、
前記パケット分析装置は前記使用者端末のIMEIが前記接続政策に登録された情報でない場合、前記使用者端末に対するトラフィックを遮断する、請求項3に記載の移動通信網基盤プライベートネットワークシステム。
【請求項6】
前記パケット分析装置は
前記使用者端末が前記ホワイトリストに属した端末であれば、前記使用者端末に前記接続政策に含まれたサービスのみを許容し、
前記使用者端末が前記ブラックリストに属した端末であれば、前記使用者端末に前記接続政策に含まれたサービスのみを遮断する、請求項3に記載の移動通信網基盤プライベートネットワークシステム。
前記使用者端末が前記ホワイトリストに属した端末であれば、前記使用者端末に前記接続政策に含まれたサービスのみを許容し、
前記使用者端末が前記ブラックリストに属した端末であれば、前記使用者端末に前記接続政策に含まれたサービスのみを遮断する、請求項3に記載の移動通信網基盤プライベートネットワークシステム。
【手続補正書】
【提出日】2024-01-17
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
移動通信コアネットワークに使用者端末の加入者識別情報が登録されると、トラフィック管理装置が前記使用者端末のIMEI(International Mobile Equipment Identity)を登録して前記使用者端末をブラックリスト端末またはホワイトリスト端末として登録する段階;
前記使用者端末が前記移動通信コアネットワークに接続(attach)する段階;
パケット分析装置が前記移動通信コアネットワークのパケットデータ処理システムから特定サービスのためのネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出する段階;および
パケット分析装置が事前に設定された前記トラフィック管理装置の接続政策と前記接続情報を比較して、ブラックリストまたはホワイトリストに基づいて、前記使用者端末のイントラネット接続、または前記イントラネットを経由したインターネット接続を制御する段階を含むものの、
前記パケットデータ処理システム、前記パケット分析装置および前記トラフィック管理装置はプライベートネットワークシステムに含まれ、前記プライベートネットワークシステムは前記移動通信コアネットワークの制御政策装置の制御を受けない独立したネットワークシステムであり、
(i)前記接続情報が、前記使用者端末が前記移動通信コアネットワークに接続する時に生成される認証情報から抽出される位置情報を含む場合、パケット分析装置は、少なくとも一つの基地局の位置を基準として特定される前記使用者端末の位置が、前記接続政策の特定領域内に位置するかどうかを判断して前記接続を制御し、
(ii)前記接続情報が前記ネットワーク接続を要請する時間を含む場合、パケット分析装置は、前記時間が前記接続政策の特定曜日、または一日のうち特定時間帯に含まれるかどうかを判断して前記接続を制御し、
(iii)前記接続情報が前記ネットワーク接続を通じて要請するサービス情報を含む場合、前記サービス情報はIP、IPおよびポート番号、TCPまたはUDPポート番号、ホストの名前、ドメインの名前、およびアプリケーションの名前からなる群から選択される少なくとも一つを含み、パケット分析装置は前記サービス情報が前記接続政策のサービス対象と一致するかどうかを判断して前記接続を制御する、
移動通信網基盤プライベートネットワークでのトラフィック制御方法。
前記使用者端末が前記移動通信コアネットワークに接続(attach)する段階;
パケット分析装置が前記移動通信コアネットワークのパケットデータ処理システムから特定サービスのためのネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出する段階;および
パケット分析装置が事前に設定された前記トラフィック管理装置の接続政策と前記接続情報を比較して、ブラックリストまたはホワイトリストに基づいて、前記使用者端末のイントラネット接続、または前記イントラネットを経由したインターネット接続を制御する段階を含むものの、
前記パケットデータ処理システム、前記パケット分析装置および前記トラフィック管理装置はプライベートネットワークシステムに含まれ、前記プライベートネットワークシステムは前記移動通信コアネットワークの制御政策装置の制御を受けない独立したネットワークシステムであり、
(i)前記接続情報が、前記使用者端末が前記移動通信コアネットワークに接続する時に生成される認証情報から抽出される位置情報を含む場合、パケット分析装置は、少なくとも一つの基地局の位置を基準として特定される前記使用者端末の位置が、前記接続政策の特定領域内に位置するかどうかを判断して前記接続を制御し、
(ii)前記接続情報が前記ネットワーク接続を要請する時間を含む場合、パケット分析装置は、前記時間が前記接続政策の特定曜日、または一日のうち特定時間帯に含まれるかどうかを判断して前記接続を制御し、
(iii)前記接続情報が前記ネットワーク接続を通じて要請するサービス情報を含む場合、前記サービス情報はIP、IPおよびポート番号、TCPまたはUDPポート番号、ホストの名前、ドメインの名前、およびアプリケーションの名前からなる群から選択される少なくとも一つを含み、パケット分析装置は前記サービス情報が前記接続政策のサービス対象と一致するかどうかを判断して前記接続を制御する、
移動通信網基盤プライベートネットワークでのトラフィック制御方法。
【請求項2】
前記トラフィック管理装置が前記使用者端末のトラフィック制御のための前記接続政策を管理者装置から受信する段階をさらに含む、請求項1に記載の移動通信網基盤プライベートネットワークでのトラフィック制御方法。
【請求項3】
使用者端末が接続した(attached)移動通信コアネットワークのパケットデータ処理システム;
事前に保有した接続政策を保有するトラフィック管理装置;および
前記パケットデータ処理システムからネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出し、前記トラフィック管理装置の接続政策と前記接続情報を比較して前記使用者端末がブラックリストまたはホワイトリスト基づいてイントラネットまたは前記イントラネットを経由してインターネット接続を制御するパケット分析装置を含むものの、
前記接続政策は、トラフィックを許容する対象を定義したホワイトリストまたはトラフィックを遮断する対象を定義したブラックリストのうち少なくとも一つを含み、
前記パケットデータ処理システムは前記移動通信コアネットワークの制御政策装置の制御を受けないプライベートネットワークシステムに含まれる、
(i)前記接続情報が、前記使用者端末が前記移動通信コアネットワークに接続する時に生成される認証情報から抽出される位置情報を含む場合、パケット分析装置は、少なくとも一つの基地局の位置を基準として特定される前記使用者端末の位置が、前記接続政策の特定領域内に位置するかどうかを判断して前記接続を制御し、
(ii)前記接続情報が前記ネットワーク接続を要請する時間を含む場合、パケット分析装置は、前記時間が前記接続政策の特定曜日、または一日のうち特定時間帯に含まれるかどうかを判断して前記接続を制御し、
(iii)前記接続情報が前記ネットワーク接続を通じて要請するサービス情報を含む場合、前記サービス情報はIP、IPおよびポート番号、TCPまたはUDPポート番号、ホストの名前、ドメインの名前、およびアプリケーションの名前からなる群から選択される少なくとも一つを含み、パケット分析装置は前記サービス情報が前記接続政策のサービス対象と一致するかどうかを判断して前記接続を制御する、
移動通信網基盤プライベートネットワークシステム。
事前に保有した接続政策を保有するトラフィック管理装置;および
前記パケットデータ処理システムからネットワーク接続を要請するパケットを受信し、前記パケットから前記使用者端末の接続情報を抽出し、前記トラフィック管理装置の接続政策と前記接続情報を比較して前記使用者端末がブラックリストまたはホワイトリスト基づいてイントラネットまたは前記イントラネットを経由してインターネット接続を制御するパケット分析装置を含むものの、
前記接続政策は、トラフィックを許容する対象を定義したホワイトリストまたはトラフィックを遮断する対象を定義したブラックリストのうち少なくとも一つを含み、
前記パケットデータ処理システムは前記移動通信コアネットワークの制御政策装置の制御を受けないプライベートネットワークシステムに含まれる、
(i)前記接続情報が、前記使用者端末が前記移動通信コアネットワークに接続する時に生成される認証情報から抽出される位置情報を含む場合、パケット分析装置は、少なくとも一つの基地局の位置を基準として特定される前記使用者端末の位置が、前記接続政策の特定領域内に位置するかどうかを判断して前記接続を制御し、
(ii)前記接続情報が前記ネットワーク接続を要請する時間を含む場合、パケット分析装置は、前記時間が前記接続政策の特定曜日、または一日のうち特定時間帯に含まれるかどうかを判断して前記接続を制御し、
(iii)前記接続情報が前記ネットワーク接続を通じて要請するサービス情報を含む場合、前記サービス情報はIP、IPおよびポート番号、TCPまたはUDPポート番号、ホストの名前、ドメインの名前、およびアプリケーションの名前からなる群から選択される少なくとも一つを含み、パケット分析装置は前記サービス情報が前記接続政策のサービス対象と一致するかどうかを判断して前記接続を制御する、
移動通信網基盤プライベートネットワークシステム。
【請求項4】
前記接続政策を生成して前記トラフィック管理装置に伝達する管理者装置をさらに含む、請求項3に記載の移動通信網基盤プライベートネットワークシステム。
【請求項5】
前記接続情報は前記使用者端末のIMEI(International Mobile Equipment Identity)を含み、
前記政策情報は移動通信網に前記使用者端末の加入者識別情報が登録されると、登録される前記使用者端末のIMEIを含み、
前記パケット分析装置は前記使用者端末のIMEIが前記接続政策に登録された情報でない場合、前記使用者端末に対するトラフィックを遮断する、請求項3に記載の移動通信網基盤プライベートネットワークシステム。
前記政策情報は移動通信網に前記使用者端末の加入者識別情報が登録されると、登録される前記使用者端末のIMEIを含み、
前記パケット分析装置は前記使用者端末のIMEIが前記接続政策に登録された情報でない場合、前記使用者端末に対するトラフィックを遮断する、請求項3に記載の移動通信網基盤プライベートネットワークシステム。
【請求項6】
前記パケット分析装置は
前記使用者端末が前記ホワイトリストに属した端末であれば、前記使用者端末に前記接続政策に含まれたサービスのみを許容し、
前記使用者端末が前記ブラックリストに属した端末であれば、前記使用者端末に前記接続政策に含まれたサービスのみを遮断する、請求項3に記載の移動通信網基盤プライベートネットワークシステム。
前記使用者端末が前記ホワイトリストに属した端末であれば、前記使用者端末に前記接続政策に含まれたサービスのみを許容し、
前記使用者端末が前記ブラックリストに属した端末であれば、前記使用者端末に前記接続政策に含まれたサービスのみを遮断する、請求項3に記載の移動通信網基盤プライベートネットワークシステム。