IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 富士フイルムビジネスイノベーション株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 富士ゼロックス株式会社の特許一覧

特許7415799無線基地局装置、無線基地局プログラム、及び無線通信システム
<>
  • 特許-無線基地局装置、無線基地局プログラム、及び無線通信システム 図1
  • 特許-無線基地局装置、無線基地局プログラム、及び無線通信システム 図2
  • 特許-無線基地局装置、無線基地局プログラム、及び無線通信システム 図3
  • 特許-無線基地局装置、無線基地局プログラム、及び無線通信システム 図4
  • 特許-無線基地局装置、無線基地局プログラム、及び無線通信システム 図5
  • 特許-無線基地局装置、無線基地局プログラム、及び無線通信システム 図6
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-01-09
(45)【発行日】2024-01-17
(54)【発明の名称】無線基地局装置、無線基地局プログラム、及び無線通信システム
(51)【国際特許分類】
   H04L 9/32 20060101AFI20240110BHJP
   G09C 1/00 20060101ALI20240110BHJP
   H04W 12/069 20210101ALI20240110BHJP
【FI】
H04L9/32
G09C1/00 640E
H04W12/069
【請求項の数】 7
(21)【出願番号】P 2020093636
(22)【出願日】2020-05-28
(65)【公開番号】P2021190805
(43)【公開日】2021-12-13
【審査請求日】2023-02-28
(73)【特許権者】
【識別番号】000005496
【氏名又は名称】富士フイルムビジネスイノベーション株式会社
(74)【代理人】
【識別番号】110001519
【氏名又は名称】弁理士法人太陽国際特許事務所
(72)【発明者】
【氏名】小林 歩
【審査官】金沢 史明
(56)【参考文献】
【文献】国際公開第2016/148197(WO,A1)
【文献】特表2016-508296(JP,A)
【文献】塚本 優 ほか,5Gの多様なサービスに応じた基地局機能分割と配置を有するRANスライシングアーキテクチャ,電子情報通信学会技術研究報告 Vol.118 No.208,日本,一般社団法人電子情報通信学会,2018年10月11日,第118巻,pp. 69-74
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
G09C 1/00
H04W 12/04-12/06
(57)【特許請求の範囲】
【請求項1】
プロセッサを備え、
前記プロセッサは、
自装置の利用を要求する通信事業者毎に、通信事業者に対する電子証明書と電子証明書の認証に用いる鍵ペアを保持し、
通信事業者から接続要求を受け付けた場合、接続要求を行った通信事業者である利用通信事業者に対する電子証明書と鍵ペアを用いて、前記利用通信事業者が自装置への接続が許可された通信事業者であるか否かの認証を行い、
前記認証に成功した場合、前記利用通信事業者の通信設備において自装置とのインターフェースとして機能する接続装置と、自装置を接続する仮想専用線を構築し、前記接続装置を通じて行われる前記利用通信事業者の通信設備からの制御に応じたデータの転送を行う
無線基地局装置。
【請求項2】
自装置に、自装置が管轄する通信回線と異なる外部回線にデータを転送するデータ転送部が存在する場合、
前記プロセッサは、前記データ転送部と前記接続装置を接続する仮想専用線を更に構築する
請求項1記載の無線基地局装置。
【請求項3】
前記利用通信事業者の認証、自装置の制御、及びデータの転送をソフトウェアで構成された仮想化基盤上で実現する一方、
通信事業者毎の電子証明書と鍵ペアを、前記仮想化基盤とは分離された、電子証明書及び鍵ペアを保持する専用のハードウェアで保持する
請求項1または請求項2記載の無線基地局装置。
【請求項4】
前記プロセッサは、複数の通信事業者から接続要求を受け付けた場合、通信事業者毎に前記認証を行い、
前記認証に成功した各々の通信事業者の前記接続装置と自装置をそれぞれ接続する仮想専用線を構築し、前記接続装置の各々を通じて行われる複数の通信事業者の通信設備からの制御に応じたデータの転送を行う
請求項1~請求項3の何れか1項に記載の無線基地局装置。
【請求項5】
前記プロセッサは、自装置に起因する障害によって前記接続装置との接続が切断された場合、接続を切断した前記接続装置に対して自装置から接続要求を行う
請求項1~請求項4の何れか1項に記載の無線基地局装置。
【請求項6】
コンピュータに、
自装置の利用を要求する通信事業者毎に、通信事業者に対する電子証明書と電子証明書の認証に用いる鍵ペアを保持し、
通信事業者から接続要求を受け付けた場合、接続要求を行った通信事業者である利用通信事業者に対する電子証明書と鍵ペアを用いて、前記利用通信事業者が自装置への接続が許可された通信事業者であるか否かの認証を行い、
前記認証に成功した場合、前記利用通信事業者の通信設備において自装置とのインターフェースとして機能する接続装置と、自装置を接続する仮想専用線を構築し、前記接続装置を通じて行われる前記利用通信事業者の通信設備からの制御に応じたデータの転送を行う処理を実行させる
無線基地局プログラム。
【請求項7】
自装置の利用を要求する通信事業者毎に、通信事業者に対する電子証明書と電子証明書の認証に用いる鍵ペアを保持し、通信事業者から接続要求を受け付けた場合、接続要求を行った通信事業者である利用通信事業者に対する電子証明書と鍵ペアを用いて、前記利用通信事業者が自装置への接続が許可された通信事業者であるか否かの認証を行い、前記認証に成功した場合、前記利用通信事業者の通信設備において自装置とのインターフェースとして機能する接続装置と、自装置を接続する仮想専用線を構築し、前記接続装置を通じて行われる前記利用通信事業者の通信設備からの制御に応じたデータの転送を行う無線基地局装置と、
前記無線基地局装置と仮想専用線によって接続される前記接続装置を含む通信事業者の通信設備と、
を備えた無線通信システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線基地局装置、無線基地局プログラム、及び無線通信システムに関する。
【背景技術】
【0002】
特許文献1には、携帯端末と、前記携帯端末と無線通信を行う基地局と、前記基地局をコアネットワークに接続するゲートウェイ装置と、前記コアネットワークに設置され、前記携帯端末の移動管理を行うコアネットワーク装置と、を有する移動通信システムにおいて、前記コアネットワーク装置は、SIPTOを起動するか否かを判断するための情報を前記ゲートウェイ装置に送信し、前記ゲートウェイ装置は、前記コアネットワーク装置から前記情報を受信する移動通信システムが開示されている。
【先行技術文献】
【特許文献】
【0003】
【文献】国際公開第2015/068457号
【発明の概要】
【発明が解決しようとする課題】
【0004】
“5G”と呼ばれる第5世代移動通信では、第4世代移動通信以前で使用していた周波数帯よりも高い周波数帯を用いて通信が行われる。通信に用いられる周波数帯が高くなるにつれて電波の到達距離は短くなるため、例えば第4世代移動通信のサービス提供エリアと同じ範囲に5Gのサービスを提供しようとする場合、第4世代移動通信の無線基地局装置よりも多くの無線基地局装置を設置する必要がある。
【0005】
したがって、採算性の問題から郊外になるほど5Gサービスの提供が遅れ、状況によっては5Gサービスが提供されない地域が広がる恐れがある。
【0006】
5Gサービスが提供されない地域では、通信事業者以外の企業や自治体といった組織が構築及び運営を行い、組織内のユーザだけが利用することができるローカル5Gネットワークを導入することも考えられる。しかしながら、ローカル5Gネットワークの導入には通信に関する専門知識が必要になるため、5Gサービスを利用したい者が気軽にローカル5Gネットワークを導入することは困難である。
【0007】
一方、都市部でも第4世代移動通信以前の無線基地局装置よりも多くの無線基地局装置が必要となるが、都市部では無線基地局装置の設置場所を確保することが難しい。
【0008】
また、5Gサービスではスライスネットワークの制御が必要となるため、通信回線を自前で構築して5Gサービスを提供する通信事業者(Mobile Network Operator:MNO)から通信回線を借り受け、MNOよりも安い価格で5Gサービスを提供する通信事業者(Virtual Mobile Network Operator:VMNO)では、MNOとの接続に第4世代移動通信以前の接続形態であるL2接続を用いることが困難となり、MNOが提供するAPI(Application Programming Interface)を通じてネットワークスライスを制御することになる。APIの開示範囲はMNOによって決定されることから、VMNOが提供する5Gサービスに対してMNOの影響力が強まるのでないかという懸念事項が生じる。
【0009】
以上のような状況から、今後商社のようにMNOでもVMNOでもないサードパーティーが無線基地局装置を構築し、構築した無線基地局装置をMNOやVMNOに共有して利用してもらう無線基地局装置のシェアリング事業が活発になることが予想される。
【0010】
このように、無線基地局装置を複数の通信事業者で共有する場合、不正なアクセスによって無線基地局装置に障害が発生しないようセキュリティを確保することが大切になってくる。
【0011】
本発明は、無線通信設備を複数の通信事業者が共有して利用し、無線通信サービスを提供する場合に、通信事業者の認証を行うことなく無線通信サービスを提供する場合と比較して、無線通信サービスのセキュリティ性能を向上させることができる無線基地局装置、無線基地局プログラム、及び無線通信システムを提供することを目的とする。
【課題を解決するための手段】
【0012】
第1態様に係る無線基地局装置はプロセッサを備え、前記プロセッサは、自装置の利用を要求する通信事業者毎に、通信事業者に対する電子証明書と電子証明書の認証に用いる鍵ペアを保持し、通信事業者から接続要求を受け付けた場合、接続要求を行った通信事業者である利用通信事業者に対する電子証明書と鍵ペアを用いて、前記利用通信事業者が自装置への接続が許可された通信事業者であるか否かの認証を行い、前記認証に成功した場合、前記利用通信事業者の通信設備において自装置とのインターフェースとして機能する接続装置と、自装置を接続する仮想専用線を構築し、前記接続装置を通じて行われる前記利用通信事業者の通信設備からの制御に応じたデータの転送を行う。
【0013】
第2態様に係る無線基地局装置は、第1態様に係る無線基地局装置において、自装置に、自装置が管轄する通信回線と異なる外部回線にデータを転送するデータ転送部が存在する場合、前記プロセッサが、前記データ転送部と前記接続装置を接続する仮想専用線を更に構築する。
【0014】
第3態様に係る無線基地局装置は、第1態様または第2態様に係る無線基地局装置において、前記利用通信事業者の認証、自装置の制御、及びデータの転送をソフトウェアで構成された仮想化基盤上で実現する一方、通信事業者毎の電子証明書と鍵ペアを、前記仮想化基盤とは分離された、電子証明書と鍵ペアを保管する専用のハードウェアで保持する。
【0015】
第4態様に係る無線基地局装置は、第1態様~第3態様の何れかの態様に係る無線基地局装置において、前記プロセッサが、複数の通信事業者から接続要求を受け付けた場合、通信事業者毎に前記認証を行い、前記認証に成功した各々の通信事業者の前記接続装置と自装置をそれぞれ接続する仮想専用線を構築し、前記接続装置の各々を通じて行われる複数の通信事業者の通信設備からの制御に応じたデータの転送を行う。
【0016】
第5態様に係る無線基地局装置は、第1態様~第4態様の何れかの態様に係る無線基地局装置において、前記プロセッサが、自装置に起因する障害によって前記接続装置との接続が切断された場合、接続を切断した前記接続装置に対して自装置から接続要求を行う。
【0017】
第6態様に係る無線基地局プログラムは、コンピュータに、自装置の利用を要求する通信事業者毎に、通信事業者に対する電子証明書と電子証明書の認証に用いる鍵ペアを保持し、通信事業者から接続要求を受け付けた場合、接続要求を行った通信事業者である利用通信事業者に対する電子証明書と鍵ペアを用いて、前記利用通信事業者が自装置への接続が許可された通信事業者であるか否かの認証を行い、前記認証に成功した場合、前記利用通信事業者の通信設備において自装置とのインターフェースとして機能する接続装置と、自装置を接続する仮想専用線を構築し、前記接続装置を通じて行われる前記利用通信事業者の通信設備からの制御に応じたデータの転送を行う処理を実行させる。
【0018】
第7態様に係る無線通信システムは、自装置の利用を要求する通信事業者毎に、通信事業者に対する電子証明書と電子証明書の認証に用いる鍵ペアを保持し、通信事業者から接続要求を受け付けた場合、接続要求を行った通信事業者である利用通信事業者に対する電子証明書と鍵ペアを用いて、前記利用通信事業者が自装置への接続が許可された通信事業者であるか否かの認証を行い、前記認証に成功した場合、前記利用通信事業者の通信設備において自装置とのインターフェースとして機能する接続装置と、自装置を接続する仮想専用線を構築し、前記接続装置を通じて行われる前記利用通信事業者の通信設備からの制御に応じたデータの転送を行う無線基地局装置と、前記無線基地局装置と仮想専用線によって接続される前記接続装置を含む通信事業者の通信設備と、を備える。
【発明の効果】
【0019】
第1態様、第6態様、及び第7態様によれば、無線通信設備を複数の通信事業者が共有して利用し、無線通信サービスを提供する場合に、通信事業者の認証を行うことなく無線通信サービスを提供する場合と比較して、無線通信サービスのセキュリティ性能を向上させることができる、という効果を有する。
【0020】
第2態様によれば、自装置が管轄する通信回線だけでなく外部回線にもデータを転送することができる、という効果を有する。
【0021】
第3態様によれば、電子証明書と鍵ペアも仮想化基盤上に保持する場合と比較して、電子証明書と鍵ペアの秘匿性を高めることができる、という効果を有する。
【0022】
第4態様によれば、1台の無線基地局装置を複数の通信事業者の通信設備で共有することができる、という効果を有する。
【0023】
第5態様によれば、接続装置が無線基地局装置の障害が復旧したか否か監視して、障害が復旧した後に再度接続要求を無線基地局装置に送信することなく、無線基地局装置との通信回線の接続を復旧させることができる、という効果を有する。
【図面の簡単な説明】
【0024】
図1】無線通信システムのシステム構成例を示す図である。
図2】RANの構成例を示す図である。
図3】無線基地局装置及びオペレータ通信設備の各機能構成例を示す図である。
図4】無線基地局装置における電気系統の要部構成例を示す図である。
図5】オペレータ通信設備の登録処理の一例を示すフローチャートである。
図6】オペレータ通信設備の接続処理の一例を示すフローチャートである。
【発明を実施するための形態】
【0025】
以下、本実施の形態について図面を参照しながら説明する。なお、同じ構成要素及び同じ処理には全図面を通して同じ符号を付与し、重複する説明を省略する。
【0026】
図1は、本実施の形態に係る無線通信システム1のシステム構成例を示す図である。無線通信システム1は、第5世代移動通信システム(以降、「5Gシステム」という)を構成する共有型無線基地局装置10、MECサーバ15、オペレータ通信設備20、及びオーケストレータ30を含む。MECサーバ15及びオペレータ通信設備20にはそれぞれインターネット5が接続され、共有型無線基地局装置10にはユーザが利用する端末(以降、“UE2”という)が少なくとも1台接続される。
【0027】
共有型無線基地局装置10は、MNOでもVMNOでもないサードパーティーが構築した5Gの通信規格に対応する無線基地局装置であり、無線を用いてUE2を接続する無線ネットワーク(Radio Access Network:RAN)を構成する。すなわち、RANは共有型無線基地局装置10によって管轄される通信回線である。
【0028】
図1に示す無線通信システム1の例には2つの共有型無線基地局装置10A、10Bが含まれているが、無線通信システム1に含まれる共有型無線基地局装置10の数に制約はなく、少なくとも1つの共有型無線基地局装置10が含まれていればよい。各々の共有型無線基地局装置10A、10Bを区別して説明する必要がない場合、「共有型無線基地局装置10」と表すと共に、共有型無線基地局装置10を「無線基地局装置10」ということにする。
【0029】
無線基地局装置10には、無線基地局装置10が提供するRANを共有して無線基地局装置10の電波到達範囲(サービスエリア)に存在するUE2に5Gサービスを提供する、少なくとも1つのMNO及びVMNOの通信設備が接続される。以降では説明の便宜上、MNO及びVMNOを「オペレータ」という。すなわち、オペレータ通信設備20とは、共有型無線基地局装置10に接続するオペレータの通信設備のことである。
【0030】
図1に示す無線通信システム1の例には2つのオペレータ通信設備20A、20Bが含まれ、オペレータ通信設備20Aは無線基地局装置10A及び無線基地局装置10Bと接続され、オペレータ通信設備20Bは無線基地局装置10Bと接続されている。以降では、無線基地局装置10と同様に各々のオペレータ通信設備20A、20Bを区別して説明する必要がない場合、「オペレータ通信設備20」と表す。
【0031】
オペレータ通信設備20は、5Gシステムにおけるコアネットワーク(Core Network:CN)を構成し、5Gシステムにおけるユーザ管理や通信制御を担う通信設備である。オペレータ通信設備20は、例えば各種交換機や加入者情報管理装置といった5Gサービスの提供に用いられる装置によって構成される。
【0032】
無線基地局装置10はオペレータ通信設備20の制御に従い、UE2から受け付けたデータの転送を行う。データの転送先が同じ無線基地局装置10に接続される他のUE2である場合、オペレータ通信設備20はUE2から受け付けたデータを無線基地局装置10で折り返して、他のUE2に転送するようにデータの転送制御を行う。また、データの転送先が他の無線基地局装置10に接続される他のUE2である場合、オペレータ通信設備20は無線基地局装置10からデータを受け付け、転送先のUE2が接続されている他の無線基地局装置10にデータを転送する。データの転送先が、インターネット5や図示しない広域ネットワーク(Wide Area Network:WAN)といった外部回線に接続されている外部装置である場合、オペレータ通信設備20は無線基地局装置10からデータを受け付け、指定された外部装置にデータを転送する。後述するように、外部回線と接続し、外部回線にデータを転送するデータ転送部が無線基地局装置10に含まれる場合には、オペレータ通信設備20はデータ転送部を通じて、無線基地局装置10から外部装置にデータを直接転送する。
【0033】
オーケストレータ30は無線基地局装置10と接続し、無線基地局装置10における各種設定項目の設定等を行う。
【0034】
MEC(Mobile Edge Computing)サーバ15は、インターネット5に構築されるクラウドサーバよりも物理的にUE2に近い場所(エッジ)に設置されるサーバのことである。MECサーバ15がクラウドサーバよりもUE2に近い場所に設置されることで、クラウドサーバの代わりにMECサーバ15からユーザが必要とする情報を提供できるようになる。したがって、5Gサービスの特徴である1ミリ秒以下の超低遅延、及び10Gbpsといった超広帯域のデータ通信が実現される。
【0035】
図1に示す無線通信システム1にはMECサーバ15及びオーケストレータ30が含まれるが、MECサーバ15及びオーケストレータ30は必ずしも無線通信システム1に必要な装置ではなく、状況に応じて設置される。
【0036】
次に、無線基地局装置10が提供するRANの構成について詳細に説明する。
【0037】
図2は、RANの構成例を示す図である。RANは、無線アンテナのように実際にデータの送受信を行う無線部分と、無線部分におけるデータの信号処理とデータの送受信を制御する制御部分に分離される。RANの制御部分はvBBU(Virtual Base Band Unit)とも呼ばれる。
【0038】
より少ないアンテナの数で広範囲に5Gサービスを提供するためには大型の無線アンテナを設置することが好ましく、一方で既に5Gのサービスエリアであっても電波が届きにくい場所やUE2が密集しやすい場所には、小型の無線アンテナを数多く配置することが好ましい。このように好ましい無線アンテナの設置形態は場所毎に異なるため、RANの無線部分と制御部分を独立することで、無線アンテナの設置形態の自由度を確保している。
【0039】
RANの無線部分はRRH(Remote Radio Head)3によって構成され、vBBUはDU(Distributed Unit)4及びCU(Centralized Unit)6によって構成される。vBBUはRRH3と接続し、例えば無線リソース割り当てやデータマッピング等を行うMACレイヤ処理、再送制御等を行うRLCレイヤ処理、並びに、データのヘッダ圧縮や順序整列等を行うPDCPレイヤ処理を行う。
【0040】
CU6は少なくとも1つのDU4と接続され、UE2との通信はDU4を経由して行われることから、DU4を分散ノード、CU6を集約ノードということがある。RANはCU6を介してオペレータ通信設備20と接続される。また、MECサーバ15及びオーケストレータ30もCU6と接続される。なお、無線基地局装置10は複数のRANを含んでもよい。
【0041】
次に無線基地局装置10及びオペレータ通信設備20の各機能構成例について説明する。
【0042】
図3は、無線基地局装置10及びオペレータ通信設備20の各機能構成例を示す図である。無線基地局装置10は、少なくとも1つのRRH3と、vBBUとして機能する仮想基地局14と、外部回線にデータを転送する仮想基幹回線網16と、鍵管理部18を含む。
【0043】
このうち、仮想基地局14及び仮想基幹回線網16は共に仮想化基盤12上に構築される。仮想化基盤12とは、仮想化ソフトウェアによって1台の物理サーバ上に生成された複数台の仮想サーバの各々が提供するソフトウェアの動作環境のことである。すなわち、仮想基地局14及び仮想基幹回線網16はソフトウェア処理によって実現される。
【0044】
仮想基地局14及び仮想基幹回線網16を仮想化基盤12上に構築することで、例えば特定の仮想化基盤12上に構築された仮想基地局14や仮想基幹回線網16に障害が発生したとしても、障害が発生していない他の仮想化基盤12上に構築された仮想基地局14や仮想基幹回線網16の運用に影響を与えることなく、障害が発生した仮想基地局14や仮想基幹回線網16が含まれる仮想化基盤12だけを停止して復旧作業を行うことが可能になる。
【0045】
仮想基地局14には、RRH3、仮想基幹回線網16、及び鍵管理部18が接続され、仮想基地局14はオペレータ通信設備20から接続要求を受け付けた場合、鍵管理部18と連携して接続要求を行ったオペレータ通信設備20の認証を行う。認証の結果、接続要求を行ったオペレータ通信設備20が予め無線基地局装置10への接続が許可されたオペレータ通信設備20(以降、「登録済みのオペレータ通信設備20」という)であると判定された場合、仮想基地局14は、仮想基地局14と接続要求を行ったオペレータ通信設備20とを接続する仮想ネットワークを構築する。その上で、仮想基地局14は、仮想ネットワークを通じて行われるオペレータ通信設備20からの制御に応じて、UE2から受信したデータの転送処理を行う。
【0046】
このように、無線基地局装置10は、オペレータ通信設備20の認証、無線基地局装置10、すなわち自装置の制御、及びデータの転送をソフトウェアで構成された仮想化基盤12上で実現する。なお、複数のオペレータのうち、無線基地局装置10へ接続要求を行ったオペレータは、本実施の形態に係る利用通信事業者の一例である。
【0047】
無線基地局装置10では、無線基地局装置10とオペレータ通信設備20の接続に伴うセキュリティを担保するため、無線基地局装置10とオペレータ通信設備20の間で相互に電子証明書を用いた認証を行う。
【0048】
鍵管理部18は、無線基地局装置10とオペレータ通信設備20の間で相互に認証を行う場合に用いられる認証情報を保持する。認証情報には例えばPLMN(Public Land Mobile Network)、電子証明書、並びに、電子証明書の秘密鍵及び公開鍵が含まれ、認証情報は、無線基地局装置10への接続を許可したオペレータ毎に鍵管理部18で保持される。すなわち、鍵管理部18は、オペレータ毎にPLMN、電子証明書、並びに、電子証明書の秘密鍵及び公開鍵をそれぞれ対応付け、対応付けされた情報群を認証情報として保持する。
【0049】
ここで、PLMNとは、オペレータを一意に識別する事業者コードであり、オペレータ毎に国から割り当てられる。PLMNは、MMC(Mobile Country Code)とMNC(Mobile Network Code)で構成される。MMCが移動体通信サービスを提供しているオペレータの登録先の国を表し、MNCがオペレータを表す。以降では、電子証明書の秘密鍵と、当該電子証明書の秘密鍵と対になる公開鍵をあわせて「鍵ペア」という。
【0050】
鍵管理部18は、仮想基地局14や仮想基幹回線網16と異なり、仮想化基盤12と分離された専用のハードウェアに構築され、認証情報を保持する。認証情報を保持する記憶装置は、認証情報が無線基地局装置10の外部に漏えいしないような堅牢な安全性を有していることが好ましい。したがって、無線基地局装置10では、後述するハードウェア暗号モジュール(Hardware Security Module:HSM)50に認証情報を保持する。
【0051】
仮想基幹回線網16は外部回線の一例であるインターネット5と接続され、オペレータ通信設備20からの制御に応じて、UE2から受け付けたデータをインターネット5に接続された外部装置に転送するデータ転送部の一例である。仮想基幹回線網16は必ずしもすべての無線基地局装置10に含まれるわけではなく、無線基地局装置10から直接インターネット5にデータを転送するような構成を備えた無線基地局装置10だけに設けられる。
【0052】
また、仮想基幹回線網16におけるデータの転送制御は、オペレータ通信設備20からオペレータ通信設備20と仮想基地局14を接続する仮想ネットワークを通じて行われるのではなく、オペレータ通信設備20と仮想基幹回線網16を接続する仮想ネットワークを通じて行われる。すなわち、無線基地局装置10に仮想基幹回線網16が含まれる場合には、無線基地局装置10とオペレータ通信設備20との間で、オペレータ通信設備20と仮想基地局14、及びオペレータ通信設備20と仮想基幹回線網16を接続する2つの仮想ネットワークが構築される。
【0053】
なお、仮想基幹回線網16はインターネット5の他、外部回線の一例であるSDWAN(Software Defined Wide Area Network)に接続される場合もある。SDWANは、ソフトウェアを通じた一元管理が可能で、転送ポリシーに従って拠点間でセキュアなデータの転送を行う広域ネットワークのことである。
【0054】
一方、オペレータ通信設備20は、仮想セキュリティゲートウェイ21、共有型無線基地局装置ゲートウェイ22、及び仮想化されたCNである仮想コアネットワーク(Virtual Core Network:vCN)23を含む。
【0055】
仮想セキュリティゲートウェイ21は接続先となる無線基地局装置10毎に設置され、無線基地局装置10に対するオペレータ通信設備20のインターフェースとして機能する。そのため、仮想セキュリティゲートウェイ21は電子証明書を用いて無線基地局装置10の認証を行い、認証に成功した場合、無線基地局装置10との間に仮想ネットワークが構築される。したがって、仮想セキュリティゲートウェイ21は、無線基地局装置10とオペレータ通信設備20を接続する接続装置の一例である。
【0056】
電子証明書を用いた認証を行うため、仮想セキュリティゲートウェイ21も無線基地局装置10と同様に無線基地局装置10毎の認証情報を保持する。ただし、オペレータ通信設備20が保持する認証情報では、PLMNの代わりに、無線基地局装置10を一意に識別する無線基地局装置IDが電子証明書、及び電子証明書の鍵ペアとそれぞれ対応付けられている。
【0057】
共有型無線基地局装置ゲートウェイ22は、各仮想セキュリティゲートウェイ21とvCN23に接続され、無線基地局装置10のRANとvCN23とのデータ中継を行う。
【0058】
vCN23は、例えば5Gサービスを利用するUE2の位置や課金情報等、UE2を利用するユーザに関する情報を管理するユーザ管理やデータの通信制御を行う。vCN23は、CN-C24とネットワークスライス(Network Slice:NS)25によって構成される。
【0059】
CN-C24は5Gネットワークの通信制御を担う機能部であり、UE2の認証やUE2の位置管理といったモビリティ管理を行うAMF(Access and Mobility Management Function)26を含む。
【0060】
NS25は、メモリ及びルータといった5Gサービスの提供に用いられる設備の処理能力やネットワークの帯域といったリソースを仮想的に分割し、分割した仮想リソースを組み合わせてUE2とvCN23との間の5Gネットワーク上に構築された分割ネットワーク(スライス)のことである。各々のNS25にはSMF(Session Management Function)27が含まれる。
【0061】
SMF27は、AMF26の指示に従ってNS25のセッション管理とUE2へのIPアドレスの割り当てを行う機能部である。また、SMF27はUPF(User Plane Function)28の選択とUPF28の制御を行ってNS25を用いたデータの転送を行い、データの転送先が外部装置の場合、UPF28を通じてデータをインターネット5に転送する。
【0062】
次に、無線基地局装置10における電気系統の要部構成例について説明する。
【0063】
図4は、無線基地局装置10における電気系統の要部構成例を示す図である。無線基地局装置10は例えばブレードサーバのようなコンピュータ40を用いて構成され、コンピュータ40上に少なくとも1つの仮想化基盤12が構築される。
【0064】
コンピュータ40は、図3に示した無線基地局装置10の各機能部の処理を担うCPU(Central Processing Unit)41、コンピュータ40を無線基地局装置10として機能させる無線基地局プログラムを記憶するROM(Read Only Memory)42、CPU41の一時的な作業領域として使用されるRAM(Random Access Memory)43、不揮発性メモリ44、及び入出力インターフェース(I/O)45を備える。そして、CPU41、ROM42、RAM43、不揮発性メモリ44、及びI/O45がバス46を介して各々接続されている。
【0065】
不揮発性メモリ44は、不揮発性メモリ44に供給される電力が遮断されても、記憶した情報が維持される記憶装置の一例であり、例えば半導体メモリが用いられるがハードディスクを用いてもよい。無線基地局装置10の電源が遮断されても記憶し続ける必要のある情報は不揮発性メモリ44に記憶される。
【0066】
不揮発性メモリ44は必ずしもコンピュータ40に内蔵されている必要はなく、例えばコンピュータ40に着脱可能な可搬型の記憶装置であってもよい。
【0067】
I/O45には、例えば通信ユニット47、入力ユニット48、表示ユニット49、及びHSM50といったデバイスが接続される。
【0068】
通信ユニット47はRRH3に接続されると共に、仮想基幹回線網16が存在する場合にはインターネット5にも接続され、UE2及びインターネット5に接続された外部装置とデータ通信を行う通信プロトコルを備える。
【0069】
入力ユニット48は、ユーザの指示を受け付けてCPU41に通知する装置であり、例えばボタン、タッチパネル、キーボード、及びマウス等が用いられる。音声によって指示を受け付ける場合には、入力ユニット48としてマイクが用いられることがある。
【0070】
表示ユニット49は、CPU41によって処理された情報を視覚的に表示する装置の一例であり、例えば液晶ディスプレイや有機EL(Electro Luminescence)ディスプレイ等が用いられる。
【0071】
HSM50は、認証情報を記憶する半導体チップを含み、外部からの不正なアクセスを拒否することで認証情報の漏えいを防止する専用のハードウェアである。HSM50のパッケージは一体成型され、例えば認証情報を不正に取得しようとしてHSM50を無理やりこじ開けて半導体チップを取り出そうとしても、認証情報の読み出しに必要となる部品が破壊されることで、認証情報の漏えいを防ぐ工夫が施されている。また、HSM50は、真正乱数生成機能を備え、電子証明書の秘密鍵及び公開鍵の生成を行う。
【0072】
なお、仮想化基盤12毎に異なる通信ユニット47、入力ユニット48、表示ユニット49、及びHSM50を備えるようにしてもよいが、同じ通信ユニット47、入力ユニット48、表示ユニット49、及びHSM50を各々の仮想化基盤12に対して共通に割り当ててもよい。
【0073】
また、I/O45に接続されるデバイスは一例であり、例えば画像を用紙等の記録媒体に形成する画像形成ユニットのように、必要に応じて図4に示したデバイスとは異なるデバイスをI/O45に接続してもよい。無線基地局装置10が無人の場所に設置されているような場合には、入力ユニット48及び表示ユニット49は必ずしも必要ではない。この場合、無線基地局装置10は通信ユニット47を通じてユーザの指示を受け付けると共に、無線基地局装置10が表示ユニット49に表示しようとした情報を、通信ユニット47を通じてオーケストレータ30のような外部装置に送信し、外部装置で表示するようにしてもよい。
【0074】
次に、無線基地局装置10におけるオペレータ通信設備20の登録処理について説明する。オペレータ通信設備20が無線基地局装置10を利用するためには、事前に利用先の無線基地局装置10に対してオペレータ通信設備20を登録しておく必要がある。こうした無線基地局装置10に対するオペレータ通信設備20の登録は、オペレータ通信設備20からの登録要求によって行われる。
【0075】
図5は、オペレータ通信設備20から登録要求を受け付けた場合に、無線基地局装置10のCPU41によって実行されるオペレータ通信設備20の登録処理の一例を示すフローチャートである。
【0076】
オペレータ通信設備20の登録処理を規定する無線基地局プログラムは、例えば無線基地局装置10のROM42に予め記憶されている。無線基地局装置10のCPU41は、ROM42に記憶される無線基地局プログラムを読み込んでオペレータ通信設備20の登録処理を実行する。
【0077】
ステップS10において、CPU41は、受け付けた登録要求に含まれるPLMNが正しいPLMNであるか否かを判定する。正しいPLMNとは、PLMNが国によって割り当てられた正式なPLMNであることを意味するが、正しいPLMNであるか否かの判定方法は、PLMNが国によって割り当てられた正式なPLMNであるか否かの判定に限らない。例えば、無線基地局装置10の利用を許可するオペレータのPLMNを予め不揮発性メモリ44に設定しておき、登録要求に含まれるPLMNが、無線基地局装置10の利用を許可する何れかのオペレータのPLMNと一致する場合に、登録要求に含まれるPLMNが正しいPLMNであると判定してもよい。
【0078】
登録要求に含まれるPLMNが正しいPLMNでなければ、登録要求は不正な要求であると考えられるため、図5に示すオペレータ通信設備20の登録処理を終了し、オペレータ通信設備20の登録を行わないようにする。
【0079】
一方、登録要求に含まれるPLMNが正しいPLMNである場合、ステップS20に移行する。
【0080】
ステップS20において、CPU41は、登録要求を行ったオペレータ(登録オペレータ)に対する電子証明書と鍵ペアを生成する。具体的には、CPU41は、外部回線を通じて認証局に対して電子証明書の発行を依頼し、認証局から登録オペレータに対する電子証明書を取得する。また、CPU41は、HSM50の真正乱数生成機能を利用して、発行された電子証明書に対する鍵ペアを生成する。
【0081】
ステップS30において、CPU41は登録オペレータのPLMNと、ステップS20で取得した電子証明書及び鍵ペアとを対応付けて認証情報を生成し、生成した登録オペレータの認証情報をHSM50に記憶して、図5に示すオペレータ通信設備20の登録処理を終了する。以上により、登録オペレータの認証情報がHSM50に登録される。なお、オペレータ通信設備20の登録処理は、無線基地局装置10毎に行われる。
【0082】
無線基地局装置10のRANを利用してユーザに5Gサービスを提供したいオペレータは、オペレータ通信設備20から利用したいRANを提供する無線基地局装置10に対して接続要求を送信する。
【0083】
図6は、オペレータ通信設備20から接続要求を受け付けた場合に、無線基地局装置10のCPU41によって実行されるオペレータ通信設備20の接続処理の一例を示すフローチャートである。
【0084】
オペレータ通信設備20の接続処理もオペレータ通信設備20の登録処理と同じく無線基地局プログラムに規定されている。無線基地局装置10のCPU41は、ROM42に記憶される無線基地局プログラムを読み込んでオペレータ通信設備20の接続処理を実行する。
【0085】
なお、接続要求には、接続要求を行ったオペレータ(以降、「利用オペレータ」という)のPLMNと、利用オペレータが接続先の無線基地局装置10毎に取得した、公開鍵を含んだ電子証明書と、電子署名が含まれる。電子署名とは、ハッシュ関数を用いて計算された接続要求のハッシュ値を、電子証明書と対応付けられた秘密鍵で暗号化した暗号データである。説明の便宜上、オペレータが取得した接続要求に含まれる電子証明書を「オペレータ電子証明書」と記載し、無線基地局装置10に登録されているオペレータ毎の電子証明書と区別することにする。利用オペレータは、本実施の形態に係る利用通信事業者の一例である。
【0086】
ステップS100において、CPU41は、受け付けた接続要求が既にHSM50に認証情報が登録されている登録済みオペレータからの正しい接続要求であるかを認証する。すなわち、CPU41は、接続要求に含まれるPLMNを含んだ認証情報がHSM50に存在し、かつ、接続要求を行った利用オペレータがPLMNによって表されるオペレータと同じオペレータであるかを認証する。
【0087】
利用オペレータが接続要求に含まれるPLMNによって表されるオペレータと同じオペレータであるか否かはオペレータ電子証明書を用いて確認する。具体的には、CPU41は、接続要求に付与された電子署名をオペレータ電子証明書の公開鍵で復号した復号ハッシュ値を算出し、復号ハッシュ値がハッシュ関数を用いて計算した接続要求のハッシュ値と一致するか判定する。復号ハッシュ値が接続要求から計算したハッシュ値と一致する場合、CPU41は、更にオペレータ電子証明書が正当な認証局で発行された電子証明書であるかをオペレータ電子証明書の認証パスを辿って確認し、なりすましがないことを確認する。
【0088】
ステップS110において、CPU41は、接続要求の認証が成功したか否かを判定する。接続要求の認証に失敗した場合、受け付けた接続要求は、要求元がはっきりしない不正な接続要求であると考えられるため、接続を拒否して図6に示すオペレータ通信設備20の接続処理を終了する。一方、接続要求の認証に成功した場合には、ステップS120に移行する。
【0089】
今度はオペレータ通信設備20側で、オペレータ通信設備20が接続しようとしている無線基地局装置10が正しい接続先であることを確認できるように、無線基地局装置10が、電子署名を行った接続応答を接続要求の送信元であるオペレータ通信設備20の仮想セキュリティゲートウェイ21に送信する。
【0090】
そのため、まずステップS120において、CPU41は、接続要求に含まれるPLMNを含んだ認証情報、すなわち、利用オペレータの認証情報をHSM50から取得する。
【0091】
ステップS130において、CPU41は、ハッシュ関数を用いて計算した接続応答のハッシュ値を、ステップS120で取得した認証情報の秘密鍵で暗号化して電子署名を生成する。その上で、CPU41は、利用オペレータの認証情報に含まれる電子証明書に当該電子証明書と対応付けられた公開鍵を付与し、生成した電子署名と、公開鍵を付与した電子証明書とを含む接続応答を生成する。CPU41は、このようにして生成した接続応答を、接続要求の送信元であるオペレータ通信設備20の仮想セキュリティゲートウェイ21に送信する。
【0092】
ステップS140において、CPU41は、接続応答を送信したオペレータ通信設備20の仮想セキュリティゲートウェイ21で、接続応答に対する認証が成功したか否かを判定する。CPU41は、仮想セキュリティゲートウェイ21で接続応答に対する認証が成功したか否かを、仮想セキュリティゲートウェイ21からの認証結果、または、接続応答の送信に用いた通信セッションの状態によって検知する。仮想セキュリティゲートウェイ21で接続応答の認証に失敗した場合、通信セッションが強制的に切断される。
【0093】
このように、仮想セキュリティゲートウェイ21にも無線基地局装置10の認証を行わせることで、例えばCPU41が不正な接続要求につられて、実際には接続要求を行っていないオペレータ通信設備20に接続応答を行ってしまったというような不正な事象が検知されることがある。
【0094】
したがって、仮想セキュリティゲートウェイ21で無線基地局装置10からの接続応答に対する認証に失敗したと判定される場合、図6に示すオペレータ通信設備20の接続処理を終了する。
【0095】
一方、仮想セキュリティゲートウェイ21で無線基地局装置10からの接続応答に対する認証に成功したと判定される場合、無線基地局装置10とオペレータ通信設備20との間で相互に接続先が正しいと認証されたことになるため、ステップS150に移行する。
【0096】
ステップS150において、CPU41は、利用オペレータのオペレータ通信設備20における仮想セキュリティゲートウェイ21に対してVPN(Virtual Private Network)接続を行い、仮想基地局14との間に暗号化とトンネリングによりデータの秘匿性を担保した仮想専用線の一例である仮想ネットワークを構築する。具体的には、CPU41は、例えばVPNプロトコルにIKEv2を用いると共に、データの暗号化プロトコルにIPsec(IP Security)を用いて仮想セキュリティゲートウェイ21との間にトンネルをはり、トンネル内に仮想ネットワークを構築する。仮想ネットワークは、例えばVXLAN(Virtual eXtensible Local Area Network)を用いたオーバレイネットワークとして実現される。
【0097】
ステップS160において、CPU41は、ステップS150で仮想セキュリティゲートウェイ21との間に仮想ネットワークを構築した仮想基地局14に、仮想基幹回線網16が接続されているか否かを判定する。仮想基幹回線網16が接続されている場合にはステップS170に移行する。
【0098】
仮想基地局14に仮想基幹回線網16が接続されている場合、UE2から受け付けたデータを、オペレータ通信設備20を経由することなく無線基地局装置10から直接インターネット5等の外部回線に転送するルーティングが可能となる。当該ルーティングはオペレータ通信設備20の制御に従うことから、ステップS170において、CPU41はステップS150と同様の方法によって、利用オペレータのオペレータ通信設備20における仮想セキュリティゲートウェイ21に対してVPN接続を行い、仮想基幹回線網16との間に仮想ネットワークを構築する。
【0099】
一方、仮想基地局14に仮想基幹回線網16が接続されていない場合には、ステップS170の処理を実行することなくステップS180に移行する。
【0100】
ステップS180において、CPU41は、利用オペレータのオペレータ通信設備20における仮想セキュリティゲートウェイ21との間で通信を開始し、仮想セキュリティゲートウェイ21から仮想ネットワークを通じて行われる制御に応じて、UE2から受け付けたデータの転送を行う。以上により図6に示したオペレータ通信設備20の接続処理を終了する。
【0101】
なお、1つの無線基地局装置10が同時に接続を許可するオペレータは1つに限られない。複数のオペレータから接続要求を受け付けた場合、オペレータ毎に図6に示したオペレータ通信設備20の接続処理を行い、仮想ネットワークで接続される各々のオペレータ通信設備20からの制御に応じて、UE2から受け付けたデータの転送を行う。すなわち、複数のオペレータが同じ無線基地局装置10を共有して、5Gサービスの提供を行う。
【0102】
図6に示したオペレータ通信設備20の接続処理では、無線基地局装置10はオペレータ通信設備20から接続要求を受け付けた場合に、オペレータ通信設備20との間に仮想ネットワークを構築する。
【0103】
一方で、無線基地局装置10で何らの障害が発生したため、無線基地局装置10が主体となってオペレータ通信設備20との仮想ネットワークを切断した場合、オペレータ通信設備20は、無線基地局装置10に再接続しようとして、例えば無線基地局装置10が復旧するまで接続要求を送信し続けることになる。
【0104】
したがって、無線基地局装置10は、自装置に起因する障害によって、オペレータ通信設備20における仮想セキュリティゲートウェイ21との接続を切断した場合、障害が復旧した後に、無線基地局装置10から仮想ネットワークを切断したオペレータ通信設備20に対して接続要求を行うようにする。その上で、無線基地局装置10は、オペレータ通信設備20から送信された接続応答に対して電子証明書を用いた認証を行い、無線基地局装置10とオペレータ通信設備20との間で相互に接続先が正しいと認証された場合に仮想ネットワークを再構築する。
【0105】
以上では、5Gシステムを提供する無線通信システム1を例にして、無線基地局装置10を共有する場合の無線基地局装置10とオペレータ通信設備20の接続処理について説明したが、本実施の形態に係る無線基地局装置10とオペレータ通信設備20の接続処理は、例えば第4世代移動通信システムや、今後導入が検討されている第6世代移動通信システム以降の通信システムのように5Gシステム以外の通信システムに適用してもよいことは言うまでもない。
【0106】
以上、実施の形態を用いて本発明について説明したが、本発明は実施の形態に記載の範囲に限定されない。本発明の要旨を逸脱しない範囲で実施の形態に多様な変更または改良を加えることができ、当該変更または改良を加えた形態も本発明の技術的範囲に含まれる。例えば、本発明の要旨を逸脱しない範囲で処理の順序を変更してもよい。
【0107】
また、実施の形態では、一例としてオペレータ通信設備20の登録処理及び接続処理をソフトウェアで実現する形態について説明したが、図5及び図6に示したフローチャートと同等の処理を、例えばASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)、またはPLD(Programmable Logic Device)に実装し、ハードウェアで処理させるようにしてもよい。この場合、オペレータ通信設備20の登録処理及び接続処理をソフトウェアで実現した場合と比較して処理の高速化が図られる。
【0108】
このように、無線基地局装置10のCPU41を例えばASIC、FPGA、PLD、GPU(Graphics Processing Unit)、及びFPU(Floating Point Unit)といった特定の処理に特化した専用のプロセッサに置き換えてもよい。
【0109】
実施の形態に係る無線基地局装置10の処理は、1つのCPU41によって実現される形態の他、複数のCPU41によって実現される形態であってもよい。更に、実施の形態に係る無線基地局装置10の処理は、物理的に離れた位置に存在するプロセッサの協働によって実現されるものであってもよい。
【0110】
また、上述した実施の形態では、ROM42に無線基地局プログラムがインストールされている形態について説明したが、これに限定されるものではない。実施の形態に係る無線基地局プログラムは、コンピュータ40で読み取り可能な記憶媒体に記録された形態で提供することも可能である。例えば無線基地局プログラムをCD(Compact Disc)-ROM、またはDVD(Digital Versatile Disc)-ROM等の光ディスクに記録した形態で提供してもよい。また、実施の形態に係る無線基地局プログラムを、USB(Universal Serial Bus)メモリやメモリカード等の可搬型の半導体メモリに記録した形態で提供してもよい。
【0111】
更に、無線基地局装置10は、インターネット5等の外部回線を通じて外部装置から無線基地局プログラムを取得してもよい。
【符号の説明】
【0112】
1 無線通信システム、2 UE、3 RRH、4 DU、5 インターネット、6 CU、10(10A、10B) (共有型)無線基地局装置、12 仮想化基盤、14 仮想基地局、15 MECサーバ、16 仮想基幹回線網、18 鍵管理部、20(20A、20B) オペレータ通信設備、21 仮想セキュリティゲートウェイ、22 共有型無線基地局装置ゲートウェイ、23 vCN、24 CN-C、25 ネットワークスライス(NS)、26 AMF、27 SMF、28 UPF、30 オーケストレータ、40 コンピュータ、41 CPU、42 ROM、43 RAM、44 不揮発性メモリ、45 I/O、46 バス、47 通信ユニット、48 入力ユニット、49 表示ユニット、50 HSM
図1
図2
図3
図4
図5
図6
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.