WO2003092189A1

WO2003092189A1 - Mobile communication network system and mobile communication method

Info

Publication number: WO2003092189A1
Application number: PCT/JP2003/005322
Authority: WO
Inventors: Morihisa Momona
Original assignee: NEC Corp
Current assignee: NEC Corp
Priority date: 2002-04-25
Filing date: 2003-04-25
Publication date: 2003-11-06
Anticipated expiration: 2004-10-25
Also published as: US20050163096A1; EP1499038A4; AU2003234987A1; KR100702288B1; CN1650545A; US8000277B2; JPWO2003092189A1; EP1499038A1; KR20040102155A; JP4977315B2; CN100450064C

Description

明細書

移動通信網システム及び移動通信方法技術分野

本発明は、移動通信網システム及び移動通信方法に関し、特に、移動通信網が外部網と移動端末との間に専用線接続機能を提供する移動通信網システム及び移動通信方法に関する。

背景技術

移動通信網が外部網と移動端末との間に専用線接続機能を提供する従来技術とし ¾·、 L S I (Eu r o p e a n e 1 e c o mm u n i c a t i o n s S t a n d a r d s I n s t i t u t e) や 3GPP (Th i r d Ge n e r a t i o n P a r t n e r s h i p P r o j e c t) において規定された移動通信技術である GPRS (GENERAL PACKET RAD I O S ERV I CE) がある。 GPRSは端末の移動をサポートするとともに、移動端末を特定の外部網に接続する専用線接続機能を提供する。

また、丄 n i，F 、 I n t e r n e t en g i n e e r i n g a s k F o r c e ：インターネット ·エンジニアリング · タスク · フォース）において開発された移動制御技術として Mo b i l e I P (モパイル ·アイピー）（RF C 2002) 、プライべ一ト網技術として I P S EC (アイ · ピー ·セック）等がある。これらの技術を組み合わせることにより、端末の移動をサポートし、移動端末と外部網との間に専用線接続を実現できる。

また、移動端末を外部網に接続するため移動通信網のコア網に仮想プライべ一ト網技術を使用するという技術提案があり、その一例としては、例えば、 http://www. microsoft, com/ technet/treeview/def ault.

utions/network/deploy/depovg/ieee802. aspに公開されてレヽるもの力 ^sあな。

し力し、上述した従来の技術においては、以下に述べるような種々の問題点がめった。上述した従来の GPRSでは、外部網とのゲートウェイと移動端末との間にトンネルを設定し、全ての通信はこのトンネルを介して行われている。移動端末間で通信を行う場合、移動端末が送信したパケットはトンネルを介して外部網とのゲートウェイに送信され、再び外部網とのゲートウェイからトンネルを介して通信相手の移動端末に折り返し送信される。

このため従来の技術では、パケットの遅延が大きく、また移動通信網内の帯域を浪費するため回線の使用効率が悪レ、という問題があつた。

また、複数の移動端末へのマルチキャスト通信の場合も、外部網とのゲートゥエイにおいて移動端末のトンネル毎にマルチキャストバケツトがコピーされて送信されるため、網内の帯域を浪費し、回線の使用効率が悪いという問題があった一方、 Mo b i l e I Pと I P SECを使用した I Pベースの移動通信網の場合、移動網と外部網は I P網であることが前提である。このフラットな I P網上でまず、 Mo b i l e I Pにより端末の移動がサポートされる。そして、さらに専用線接続機能を提供するために、移動通信網と外部網との間にはゲートゥエイが配置され、移動端末とゲートウェイの間に I P S ECによりトンネルが設定される。

このように、 Mo b i 1 e I Pと I P S ECを使用した I Pベースの移動通信網において専用線接続機能を提供する場合、全てのバケツトがトンネルを介してやり取りされるため、この構成では GPRSの場合と同様の問題が生じる。なお、別の構成として、移動端末間で通信を行う場合は、移動端末間に I PS ECのトンネルを直接設定し、ゲートウェイを介した折り返し通信を行なわずに済むようにすることも可能である。ただし、この構成ではマルチキャスト通信の場合の問題は解決できない。また、通信相手の移動端末が多い場合、トンネルの管理の手間が多いという問題がある。

また、 Mo b i l e I Pや I P SECを使用した I Pベースの移動通信網の場合、移動通信網内のノードに外部から自由にアクセス可能であるためセキュリティ機能が必要である。例えば、無線アクセスポイント間でハンドオーバーを行う場合は無線アクセスボイント間のハンドオーバー要求やハンドオーバー通知のバケツトは認証を行う必要があり、このためには無線アクセスポイント間に認証用のセキュリティァソシエーションをあらかじめ確立しておく必要がある。このような手法は無線アクセスポイントの数が増えてくると、セキュリティァソシェーションの管理が煩雑になるという問題がある。

また、移動通信網のコア網に仮想プライベート網技術を使用し、外部網への接続を提供する場合、従来技術では端末の移動時にプライべ一ト網接続が途切れるという問題がある。

本発明は上記の事情を考慮してなされたものであり、その第 1の目的は、移動端末で通信を行う場合の回線使用効率の改善を実現する移動通信網システム及び移動通信方法を提供することにある。

本発明の他の目的は、移動端末のマルチキャストの通信において、回線使用効率の改善を実現する移動通信網システム及び移動通信方法を提供することにある _c また、本発明の他の目的は、移動端末間またはノード間でセキュリティァソシエーションを確立する手間が不要となる移動通信網システム及ぴ移動通信方法を提供することにある。

また、本発明の他の目的は、移動端末がハンドオーバーする際に移動端末と外部網との専用線接続が途切れることなく継続できる移動通信網システム及び移動通信方法を提供することにある。

発明の開示

上記目的を達成するたに、本発明は、移動通信網と、複数の外部網と、複数の移動端末と、複数のゲ一トウヱイと、複数の無線アクセスポイントとから構成され、ゲートウェイが外部網と移動通信網とを接続し、無線アクセスポイントは移動端末を移動通信網に接続する構成の移動通信網システムにおいて、移動通信網内の移動端末間でパケットを送受信する場合、外部網を介することなく、移動通信網上に用意された外部網毎に対応する仮想網を介して通信することを特徴とする。

本発明によれば、移動端末間で通信を行う場合、同一無線アクセスポイント配下に各移動端末がいるときは、無線ァクセスポイントで折り返して通信を行い、同一アクセス網配下に各移動端末がいるときは、アクセス網を介して通信を行い別のアクセス網配下に各移動端末がいるときは、コア網を経由して通信を行うことができるので、バケツトを外部網ゲートウェイを介して転送する必要がなくなりコア網、アクセス網の回線使用効率が改善される。

また、マルチキャストの通信に関しても従来技術では外部網ゲートウェイにおいてマルチキャストバケツトを受信する移動端末の数だけマルチキャストバケツトがコピーされ移動端末へのトンネル上を転送されていたため回線利用効率が悪かったが、本発明ではコア網やアクセス網上のバケツトはマルチキャストを使用して転送されるため効率が改善される。

また、本発明の他の移動通信網システムでは、移動通信網は外部網の各々に対応する仮想網を提供する手段を備え、ゲ一トウエイは外部網を対応する仮想網に接続する手段を備え、移動端末は任意の外部網用のセッションを無線アクセスポイントとの間に設定する手段を備える。さらに、無線アクセスポイントは任意のセッションから受信したバケツトを、当該セッションに対応する外部網用に用意された仮想網に転送する手段と、任意の外部網に対応する仮想網から受信したパケットを、当該バケツトのあて先である移動端末が外部網用に設定したセッションに転送する手段とを備える。そして、移動端末と外部網との間に専用線接続を提供し、移動通信網内の移動端末間でパケットを送受信する場合、移動通信網上に用意された外部網用の仮想網を介して通信する。

以上の構成と手段により、移動端末と外部網との間でバケツト送受信が可能となり、さらに、同じ外部網に接続される移動端末同士で通信を行う場合、移動端末からその外部網用のセッションを介して送信されたバケツトは無線アクセスポイントを出た後は、その外部網用の仮想網を経由して、通信相手の移動端末が接続されている無線アクセスポイントへ直接転送される。そして、通信相手の移動端末がその外部網用に設定したセッシヨンを介して通信相手の移動端末へ届けられる。また、マルチキャストパケットはその外部網用の仮想網の上を通常のマルチキャストパケットとして送信され、無線アクセスポイントに到達した後、その外部網用のセッションを介して移動端末に届けられることとなる。

本発明の他の移動通信網システムでは、無線アクセスポイントは、移動端末が、現在接続されている現無線アクセスポイントから新たな無線アクセスポイントへハンドオーバーする場合、移動端末が設定した全てのセッションの情報を、新たな無線アクセスポイントへ転送する手段と、現無線アクセスポイントから転送されてきた移動端末が設定した全てのセッションの設定情報を取得する手段を備えている。

本発明によれば、移動端末がハンドオーバーする際に移動端末と外部網との専用線接続が途切れることなく継続できる。

また、本発明の他の移動通信網システムでは、移動通信網内に移動管理ノードが配置され、この移動管理ノードは外部網毎に用意された複数の仮想移動管理ノードから構成される。そして、仮想移動管理ノードの各々には、対応する外部網用に用意された仮想網との間でのみバケツトの送受信を行う手段が備えられている。さらに、移動端末には、接続する外部網に対応する仮想移動管理ノードに位置情報を通知する手段が備えられている。また、仮想移動管理ノードの各々には、移動端末から通知された位置情報を保持する手段と、移動端末をあて先とするパケットを受信した場合、そのバケツトを移動端末から通知された位置に転送する手段とが備えられている。このような構成により、外部網の各々に対応して移動通信網上に容易された仮想網は、移動端末の位置を管理することができるようになる。

さらに、本発明の他の移動通信網システムでは、移動通信網に制御 ·管理用仮想網が備えられている。そして、移動通信網には、無線アクセスポイントや移動管理ノードを含む移動通信網内に配置されているノードが、互いの間でやり取りする制御用や管理用のバケツトを制御管理用仮想網を介して送受信する手段と、制御管理用仮想網以外から受信した制御用や管理用のバケツトを拒否する手段がさらに備えられている。

また、本発明によれば、仮想コア網、仮想アクセス網がプライベート網を形成するため、移動端末間でセキュリティァソシェ一ションを確立する手間が不要となる。

さらに、本発明によれば、移動通信網上のノード間の通信も制御管理用の仮想コア網、仮想アクセス網により保護されるため、ノード間でセキュリティァソシエーションを確立する手間が不要となる。図面の簡単な説明

図 1は、本発明の第 1の実施の形態による網全体の構成を示す図である。

図 2は、本発明の第 1の実施の形態におけるコア網とその上に多重される仮想コア網の関係を示す図である。

図 3は、本発明の第 1の実施の形態におけるコァ網とその上に多重される仮想アクセス網の関係を示す図である。

図 4は、本発明の第 1の実施の形態における無線及ぴ有線ド口ップ回線とその上に多重される認証用チャネルと通信用チャネルの関係、及び通信用チャネル上に多重される移動端末と外部網間のセッションの関係を示す図である。

図 5は、本発明の第 1の実施の形態における外部網ゲートウェイの構成を示す図である。

図 6は、本発明の第 1の実施の形態におけるアクセス網ゲートウェイの構成を示す図である。

図 7は、本発明の第 1の実施の形態における移動端末の構成を示す図である。図 8は、移動端末が保持する移動通信網情報管理テーブルの構成を示す図である。

図 9は、移動端末が保持するホーム網情報管理テーブルの構成を示す図である < 図 1 0は、移動端末が保持するセッション情報管理テーブルの構成を示す図である。

図 1 1は、移動端末が無線アクセスポイントに送信する認証要求パケットの内容を示す図である。

図 1 2は、無線ァクセスポイントが移動端末に送信する認証応答パケットの内容を示す図である。図 1 3は、端末認証の手順を示すフローチャートである。

図 1 4は、無線アクセスポイントの構成を示す図である。

図 1 5は、無線アクセスポイントのセッション情報管理テーブルの構成を示す図である。

図 1 6は、無線アクセスポイントが移動通信網認証サーバに送信する認証要求バケツトの内容を示す図である。

図 1 7は、移動通信網認証サーバが無線アクセスポイントに送信する認証応答バケツトの内容を示す図である。

図 1 8は、旧無線アクセスポイントが新無線アクセスポイントに送信するセッシヨン情報通知バケツトの内容を示す図である。

図 1 9は、新無線アクセスポイントが旧無線アクセスポイントに送信するセッシヨン情報要求バケツトの内容を示す図である。

図 2 0は、無線アクセスポイントにおける端末認証関連のバケツトの処理を示すフローチヤ一トである。

図 2 1は、無線アクセスポイントにおけるセッション情報ハンドオーバー通知バケツトの送信処理を示すフローチヤ一トである。

図 2 2は、移動通信網認証サーバの構成を示す図である。

図 2 3は、移動端末管理情報テーブルの構成を示す図である。

図 2 4は、ホーム網一外部網対応テーブルの構成を示す図である。

図 2 5は、移動通信網認証サーバがホーム網認証サーバに送信する認証要求パケットの内容を示す図である。

図 2 6は、ホーム網認証サーバが移動通信網認証サーバに送信する認証応答パケットの内容を示す図である。

図 2 7は、移動網認証サーバにおける端末認証の手順を示すフローチャートである。

図 2 8は、端末認証の手順を示す図である。

図 2 9は、バケツトの送受信の流れを示す図である。

図 3 0は、ホーム網の移動管理ノードへの位置登録の流れを示す図である。図 31は、旧無線アクセスポイントから新無線アクセスポイントへセッション情報を転送する手順を示す図である。

図 32は、新無線アクセスポイントから旧無線アクセスポイントへセッション情報の転送を要求する手順を示す図である。

図 33は、本発明の第 2の実施の形態における全体構成を示す図である。

図 34は、本発明の第 2の実施の形態におけるローカル移動管理ノードの構成を示す図である。

図 35は、ローカル移動管理ノードへの位置登録の手順を示す図である。

発明を実施するための最良な形態

以下、本発明の好ましい実施の形態について図面を参照して詳細に説明する。

(第 1の実施の形態）

図 1を用いて本発明の第 1の実施の形態について説明する。図 1は網全体の構成を示す。網全体は、複数の外部網 EX1、 EX 2、 EX 3とこれに接続される移動通信網 MNW、そして移動通信網 MNWを介して 1つ以上の外部網に接続される複数の移動端末 X、 Υ、 Ζから構成される。なお、外部網の数や移動端末の数は特定の数に限定されない。

移動通信網 MNWは、コア網 CNと、複数のアクセス網 ANa、 ANb、 AN じと、複数の無線ドロップ回線と、複数の有線ドロップ回線、コア網 CNと外部網を接続する外部網ゲートウェイ EGW1、 EGW2、 EGW3と、コア網 CN とアクセス網を接続するアクセス網ゲートウェイ AGWa、 AGWb、 AGWc と、アクセス網と無線ドロップ回線とを接続する無線アクセスポイント AP a 1 AP a 2、 APb l、 AP b 2と、アクセス網と有線ドロップ回線とを接続する無線アクセスポイント AP c 1、 AP c 2とから構成される。なお、アクセス網の数、無線アクセスポイントの数は特定の数に限定されない。

図 2はコア網 CNの論理的な構成を示す。コア網 CNは、マルチプロトコルラベルスィツチングなどの既存の仮想プライべ一ト網技術を使用しており.、物理的なコア網 CN上に複数の仮想コア網が多重されている。この例では外部網（1) 用仮想コア網 VCN1、外部網（2) 用仮想コア網 VCN2、外部網（3) 用仮想コア網 VCN 3、制御管理用仮想コア網 VCNSが多重されている。

図 3はアクセス網の論理的な構成を示す。アクセス網は、マルチプロトコルラベルスィツチングなどの既存の仮想プライべ一ト網技術を使用しており、物理的なアクセス網 AN a上に、複数の仮想アクセス網が多重されている。この例では外部網（1) 用仮想アクセス網 VAN a 1、外部網（2) 用仮想アクセス網 VA Na 2、外部網（3) 用仮想アクセス網 VANa 3、制御管理用仮想アクセス網 VAN a Sが多重されている。

図 4は無線ド口ップ回線または有線ド口ップ回線の論理的な構成を示す。物理的なドロップ回線 LD上には、通信用チャネル CH1と認証用チャネル CH 2とが多重される。通信用チャネル CH1上には、各移動端末と各外部網との間のセッシヨンが多重される。ここでは、移動端末（X ) Xと外部網（1) EX1との間のセッション S x l、移動端末（X) Xと外部網（2) EX 2との間のセッシヨン S x 2、移動端末（y) Yと外部網（1) EX 1との間のセッション S y 1 が通信用チャネル CHI上に多重されている。

認証用チャンネル CH 2と通信用チャンネル CH 1の識別と多重分離に関しては、ドロップ回線 LDのリンク技術がこのための専用の仕組みを用意していればそれを利用する。また、リンク技術がそのような仕組みを用意していない場合、コネクション指向型のリンク技術の場合は、コネクション識別子を利用して認証用チャネル CH 2と通信用チャネル CH 1を多重し、コネクションレス型のリンク技術の場合は、バケツトタイプ識別子等を利用して認証用チャネル CH2と通信用チャネル CH 1を多重する。

また、移動端末と外部網との間のセッションの識別と多重分離に関しては、リンク技術がこのための専用の仕組みを用意していればそれを利用する。また、リンク技術がそのような仕組みを用意していない場合、コネクション指向型のリンク技術の場合は、コネクション識別子を利用してセッションを多重分離し、コネクシヨンレス型のリンク技術の場合は、バケツトタイプ識別子や仮想ネットヮーク識別子等を利用してセッションを多重分離する。図 5は外部網ゲートゥヱイの構成を示す。外部網ゲートウェイ EGW1は、外部網側送受信機 TR01、外部網ゲートウェイ機能 EGF、外部網ゲートウェイ管理機能 EGCF、仮想コア網多重分離機能 CMUX1、コア網側送受信機 TR 02から構成される。

外部網側送受信機 TRO 1は、外部網 EX 1と接続され、バケツトの送受信を行う。コア網側送受信機 TR02は、コア網 CNと接続され、パケットの送受信を行う。

仮想コア網多重分離機能 CMUX 1は、コア網側送受信機 TRO 2から入力されたバケツトを仮想コア網毎に分離し、接続されている外部網 E X Iに対応する外部網（1) 用仮想コア網 VCN 1上を転送されてきたパケットを外部網ゲートウェイ EGFに入力し、また、制御管理用仮想コア網 VCNSを転送されてきたパケットを外部網ゲートウエイ管理機能 E G C Fに入力する。

また、仮想コア網多重分離機能 CMUX1は、外部網ゲートウェイ EGFから入力された対応する外部網（1) 用仮想コア網 VCN1に転送し、外部網ゲートウェイ管理機能 EG CFから入力されたバケツトを制御管理用仮想コア網 VCN Sに転送し、これらの仮想コア網を多重してコア網側送受信機 TR02に出力する。

外部網ゲートウェイ機能 EG Fは、外部網 EX 1とコア網 CNとの間のバケツトのルーティングやフィルタリングを行う。

外部網ゲートウェイ管理機能 EGCFは、外部網ゲートウェイ機能 EGFへの経路設定やフィルタリングの設定を行う。

図 6にアクセス網ゲートウェイの構成を示す。アクセス網ゲートウェイ ANG aは、コア網側送受信機 TR03 a、仮想コア網多重分離機能 CMU X a、外部網（1) 用仮想アクセス網ゲートウェイ VAGW1 a、外部網（2) 用仮想ァクセス網ゲートウェイ VAGW2 a、外部網（3) 用仮想アクセス網ゲートウェイ VAGW3 a、制御管理用仮想アクセス網ゲートウェイ VAGWS a、仮想ァクセス網多重分離機能 AMUX 1 a、アクセス網側送受信機 TR 04 a、から構成される。コア網側送受信機 TRO 3 aは、コア網 CNと接続され、パケットの送受信を行う。アクセス網側送受信機 TR04 aは、アクセス網 AN aと接続され、パケットの送受信を行う。

仮想コア網多重分離機能 CMUX aは、コア網側送受信機 TRO 3 aから入力されたパケットを仮想コア網毎に分離し、外部網（1) 用仮想コア網 VCN1から受信したバケツトは外部網（1) 用仮想アクセス網ゲートウェイ VAGW1 a に出力し、外部網（2) 用仮想コア網 VCN2、外部網（3) 用仮想コア網 VC N 3、管理制御用仮想コア網 VCNSについても同様の処理を行う。

また、仮想コア網多重分離機能 CMUX aは、外部網（1) 用仮想アクセス網ゲートウェイ VAGW1 aから入力されたパケットを外部網（1) 用仮想コア網上 VCN1に出力し、外部網（2) 用仮想アクセス網ゲートウェイ VAGW2 a 外部網（3) 用仮想アクセス網ゲートウェイ VAGW3 a、制御管理用仮想ァクセス網ゲートウエイ VAGWS aについても同様の処理を行い、各仮想コア網を多重して、コア網側送受信機 TR03 aに出力する。

仮想アクセス網多重分離機能 AMUX 1 aは、アクセス網側送受信機 TR 04 aから入力されたパケットを仮想アクセス網毎に分離し、外部網（1) 用仮想ァクセス網 VAN a 1から受信したパケットは外部網（1) 用仮想アクセス網ゲートウエイ VAGW1 aに出力し、外部網（2) 用仮想アクセス網 VAN a 2、外部網（3) 用仮想アクセス網 VANa 3、管理制御用仮想アクセス網 VAN a S についても同様の処理を行う。

また、仮想アクセス網多重分離機能 AMUX1 aは、外部網（1) 用仮想ァクセス網ゲートウェイ VAGW1 aから入力されたパケットを外部網（1) 用仮想アクセス網上 VAN a 1に出力し、外部網（2) 用仮想アクセス網ゲートウェイ VAGW2 a、外部網（3) 用仮想アクセス網ゲートウェイ VAGW3 a、制御管理用仮想アクセス網ゲートウェイ VAGWS aについても同様の処理を行い、各仮想アクセス網を多重して、アクセス網側送受信機 TRO 4 aに出力する。外部網（1) 用仮想アクセス網ゲートウェイ機能 V A GW1 aは、外部網 (1) 用仮想コア網 VCN 1と外部網（1) 用仮想アクセス網 VANa 1との間のパケットのルーティングやフィルタリングを行う。外部網（2) 用仮想ァクセス網ゲートウェイ機能 VAGW2 a、外部網（3) 用仮想アクセス網ゲートゥェィ機能 VAGW3 aについても同様である。

制御管理用仮想アクセス網ゲートウエイ機能 VAGWS aは、上述した機能に加えて、各仮想アクセス網ゲートゥヱイ機能 VAGWa 1、 VAGWa 2, VA GWa 3への経路設定やフィルタリングの設定を行う。

図 7に移動端末の構成を示す。移動端末 Xは、無線送受信機 TR 05、チヤネル多重分離機能 C HMU X 1、パケット認証機能 PAUTH1、セッション多重分離機能 S MUX、端末認証機能 TAUTH 2、複数のホーム網との通信ェンティティ ENT 1、 ENT 2力ら構成される。

無線送受信機 T R 05は、無線ド口ップ回線との間でパケットの送受信を行う , チャネル多重分離機能 CHMUX 1は、無線ドロップ回線上の認証用チャネル C C Hと通信用チャネル T C Hの多重分離を行う。認証用チャネル C C H上のパケットは、端末認証機能 TAUTH 2との間で送受され、通信用チャネル TCH 上のバケツトはバケツト認証機能 PAUTH1との間で送受される。

端末認証機能 TAUTH 2は、図 8に示す移動通信網情報管理テーブルと図 9 に示すホーム網情報管理テーブル、図 10に示すセッション情報管理テーブルを有する。

図 8に示される移動通信網情報管理テーブルは、端末 I D 1 10と移動通信網 —移動端末間セキュリティアソシエーション 1 1 1を持つ。端末 I D 1 10は、移動通信網内で端末を一意に識別する I Dである。移動通信網一移動端末間セキユリティアソシエーション 1 1 1とは、移動通信網と移動端末間との間で相互に認証を行うための情報である。これらの情報はあらかじめ移動端末 Xに設定されているものとする。

図 9に示されるホーム網情報管理テーブルは、ホーム網 I D210とホーム網用端末 I D 220とホーム網—移動端末間セキュリティァソシェ一ション 230 の組からなる情報を 1つ以上持つ。ホーム網 I D 210は、ホーム網を一意に識別する I Dである。端末 I D220は、ホーム網内で端末を一意に識別する I D である。ホーム網一移動端末間セキュリティアソシエーション 2 3 0とは、ホーム網と移動端末間との間で認証を行うための情報である。これらの情報はあらかじめ移動端末 Xに設定されているものとする。

図 1 0に示されるセッション情報管理テーブルは、ホーム網 I D 3 1 0と無線アクセスポイント I D 3 2 0と無線アクセスポイント移動端末間セキュリティァソシエーシヨン 3 3 0とセッション I D 3 4 0とリンク情報 3 5 0の組からなる情報を 1つ以上を持つ。

これらの情報は、移動端末 Xが後述の端末認証を行ったときに設定される。無線アクセスポイント I D 3 2 0は、端末が現在接続されている無線アクセスボイントの I Dである。無線アクセスポイント移動端末間セキュリティァソシェ一シヨン 3 3 0とは、無線アクセスポイントと端末間で送受されるバケツトのうち認証要求や認証応答以外のパケットを認証するための情報である。セッション I D 3 4 0は、無線アクセスポイントの間に設定されたセッションを識別する I Dであり、セッションはホーム網との通信毎に用意される。リンク情報 3 5 0とは、このセッションの識別や多重分離のために使用するリンク固有の情報である。リンク情報 3 5 0は、使用するリンク技術に依存し、コネクション識別子、仮想プライべ一ト網識別子などである。

バケツト認証機能 P AU T H 1は、チャネル多重分離機能 C HMU X 1から入力されたバケツトを、前述の無線アクセスポイント移動端末間セキュリティァソシエーシヨン 3 3 0に基づき認証し、認証されたバケツトのみをセッション多重分離機能 S MU Xへ出力する。

また、パケット認証機能 P AU T H 1は、セッション多重分離機能 S MU Xから入力されたパケットに前述の無線ァクセスポイント移動端末間セキユリティアソシエーシヨン 3 3 0に基づき認証コードを付加して、チャネル多重分離機能 C HMU X 1に入力する。

セッション多重分離機 S MU Xは、前述のリンク情報 3 5 0に基づき、バケツト認証機能 P AU T H 1から入力されたパケットがどのセッションに属するかを判定し、対応するホ一ム網の通信エンティティ E N T 1または E N T 2へ渡す。また、セッション多重分離機能 S MUXは、ホーム網の通信エンティティ E NT 1及び E NT 2から渡されたバケツトを対応するセッションのリンク情報 350 を用いて送信するように設定し、バケツト認証機能 PAUTH1へ出力する。

次に、図 13を用いて端末認証の手順を説明する。

端末認証機能 TAUTH2は、移動端末 Xがホーム網と通信を開始するときに. 図 1 1に示す認証要求バケツト 400を生成し、無線アクセスボイントに送信する。認証要求パケットの生成に際して、移動端末 Xが最初に移動通信網に接続する場合、移動端末は旧無線アクセスポイント I D401には何も設定しない。また、以前接続されていた無線アクセスポイントがある場合、移動端末は旧無線ァクセスポイント I D401にその無線アクセスポイントの I D320を設定する (ステップ S 1 31) 。

また、認証要求パケットの移動端末 I D402、ホーム網 I D404、ホーム網用移動端末 I D405には移動通信網情報管理テーブル（図 8) 、ホーム網情報管理テーブル（図 9) に基づき適切な情報が設定される。さらに、移動通信網用移動端末認証コード 403には移動通信網—移動端末間セキュリティァソシェーシヨン 101に基づき、移動通信網が移動端末を認証するために必要な情報が設定され、ホーム網用移動端末認証コード 406にはホーム網一移動端末間セキユリティアソシエーション 230に基づき、ホーム網が移動端末 Xを認証するために必要な情報が設定される。上記のように値を設定して認証要求バケツト 40 0を生成し（ステップ 132) 、無線アクセスポイントに送信する（ステップ 1 33) 。

これに対して、無線アクセスポイントは図 12に示す認証応答バケツトを返信する。返信された認証応答パケットを受信し（ステップ 1 34) 、認証応答パケットに設定されている認証結果 502が成功であれば、認証応答バケツトに設定されている無線アクセスポイント I D501、無線アクセスポイント移動端末間セキュリティアソシエーションの情報 506とセッション I D 507、リンク情報 508はセッション情報管理テーブルに保存される（ステップ 135) 。

図 14は無線アクセスポイントの構成である。無線アクセスポイント AP a 1 は、アクセス網側送受信機 TRO 6 a、仮想アクセス網多重分離機能 AMU X 2 a、セッション一外部網マッピング機能 MAP 1、無線アクセスポイント制御管理機能 APM1、端末認証機能 TAUTH1、パケット認証機能 PAUTH 2、セッション情報ハンドオーバー機能 HO F 1、セッション情報管理テーブル SM T l、チャネル多重分離機能 CHMUX2、無線送受信機 TRO 7 aから構成される。

アクセス網側送受信機 TR06 aは、アクセス網 AN aと接続され、パケットの送受信を行う。

無線送受信機 TR07 aは、無線ドロップ回線との間でバケツトの送受信を行う。

仮想アクセス網多重分離機能 AMUX 2 aは、アクセス網側送受信機 TR 06 aから入力されたパケットを仮想アクセス網毎に分離し、外部網（1) 用仮想ァクセス網 VANa l、外部網（2) 用仮想アクセス網 VANa 2、外部網（3) 用仮想アクセス網 VAN a 3上のバケツトをセッション一外部網マッピング機能 MAP 1に入力し、管理制御用仮想コア網 VAN a S上のバケツトを無線ァクセスポイント制御管理機能 A PM1に入力する。

また、仮想アクセス網多重分離機能 AMUX 2 aは、セッション—外部網マツビング機能 MAP 1から入力された外部網（1) 用仮想アクセス網 VANa 1、外部網（2) 用仮想アクセス網 VANa 2、外部網（3) 用仮想アクセス網 VA Na 3向けのバケツトと、無線アクセスポイント制御管理機能 A PM1から入力された制御管理用仮想アクセス網 VAN a S向けのバケツトを、各仮想アクセス網上に多重して、アクセス網側送受信機 TR06 aに出力する。

チャネル多重分離機能 CHMUX2は、無線送受信機 TR07 aから入力された信号をチャネル毎に分離し、通信用チャネルをバケツト認証機能 PAUTH 2 に入力し、認証用チャネルを端末認証機能 TAUTH1に入力する。また、パケット認証機能 PAUTH 1から入力されたバケツトを通信用チャネル上に多重し、端末認証機能 TAUT H 1から入力されたバケツトを認証用チャネル上に多重して無線送受信機 TR07 aへ出力する。セッション情報管理テーブル SMT 1は、図 1 5に示す内容を保持する。移動端末 I D6 10とその端末が接続している外部網 I D 620、移動端末からのパケットを認証するための無線アクセスポイント移動端末間セキユリティアソシェーシヨン 630、移動端末と外部網との間のセッションを識別するセッション I D640、セッションを識別するためのリンク情報 650であり、意味は移動端末に設定されたものと同じである。これらの情報は移動端末が最初に網に接続し、端末認証を行ったときに、端末認証機能により後述の手順に基づき設定される。バケツト認証機能 PAUTH2は、チャネル多重分離機能 CHMUX 2から入力されたバケツトを、図 1 5に示すセッション情報管理テーブル 600に保持されている無線アクセスポイント移動端末間認証用セキュリティアソシエーション 630に基づき認証し、セッション一外部網マッピング機能 MAP 1へ出力する _c また、パケット認証機能 PAUTH2は、セッション—外部網マッピング機能 MAP 1から入力されたパケットに対して、図 1 5に示されるセッション情報管理テーブル 600に保持されている無線アクセスポイント移動端末間認証用セキユリティアソシエーション 630に基づき認証用コードを付加した上でチャネル多重分離機能 CHMUX2に出力する。

セッション一外部網マッピング機能 MAP 1は、バケツト認証機能 PAUTH 2から入力されたバケツトをチェックし、図 15に示されるセッション情報管理テープノレ 600に保持されているリンク情報 650に基づきセッションを識別する。そして、このセッション対応する外部網 I D 620に基づき、適切な外部網用の仮想アクセス網に振り分け、仮想アクセス網多重分離機能 AMUX 2 aに入力する。

また、セッション一外部網マッピング機能 MAP 1は、仮想アクセス網多重分離機能 AMUX2 aから入力されたバケツトをチェックし、図 1 5に示したセッシヨン情報管理テーブル 600に保持されている外部網 I D620と移動端末 I D610に基づきセッションを識別する。そして、このセッションに対応する適切なリンク情報を使用して送信するように設定し、バケツト認証機能 PAUTH 2へ出力する。なお、移動端末から受信したバケツトのあて先の移動端末が同じ無線アクセスポイント配下にいる場合は、セッション一外部網マッピング機能 MAP 1はパケットをそのまま折り返して送信する。

無線アクセスポイント制御管理機能 APM1は、端末認証機能 TAUTH1とセッション情報ハンドオーバー機能 H OF 1から入力されたバケツトを仮想ァクセス網多重分離機能 AMUX2 aに出力し、仮想アクセス網多重分離機能 AMU X 2 aから入力されたバケツトを分離して、端末認証機能 TAUTH1とセッション情報ハンドオーバー機能 HOF 1に出力する。

図 20に示すフローチャートを用いて、端末認証の手順を説明する。

端末認証機能 TAUTH1は、移動端末から受信した図 1 1に示す認証要求パケットをチャネル多重分離機能 CHMUX 2から入力されると、図 16に示す認証要求バケツトを生成し、移動網認証サーバに送信するために無線アクセスボイント制御管理機能 A PM 1に出力する。

また、端末認証機能 TAUH1は、移動通信網認証サーバから受信した図 1 7 に示す認証応答パケットを無線ァクセスポイント制御管理機能 A P M 1から入力されると、認証応答パケットの認証結果 802が成功であれば、まず、この移動端末 Xと外部網 620の間のセッション用の I Dを決定し、このセッションに利用するリンク情報 650を決定する。

そして、端末認証機能 TAUTH1は、認証応答バケツトの内容を、図 15に示したセッション情報管理テーブル 600の対応するフィールドに保存し、生成したセッシヨン I Dとリンク情報をもセッション情報管理テーブル 600の対応するフィールドに保存する。さらに、このとき端末認証機能 TAUTH 1は、図 12に示す認証応答パケットを生成し、端末に送信するため、チャネル多重分離機能 CHMUX 2へ出力する。

図 2 1のフローチャートを用いてセッション情報の転送手順の一部について説明する。

セッション情報ハンドオーバー機能 H OF 1は、移動端末が別の無線アクセスポイント配下に移動する場合、セッション情報テーブル（図 15) に保存されているその端末のセッション情報（移動端末 I D610、外部網 I D620、無線アクセスポイント移動端末間認証用セキュリティアソシエーション 630、セッシヨン I D640、リンク情報 650) を元に図 18に示すセッション情報通知バケツトを生成し、移動端末の移動先の無線アクセスポイントに送信するため、無線アクセスボイント制御管理機能 A PM1に出力する。

また、セッション情報ハンドオーバー機能 HOF 1は、別の無線アクセスボイントから図 18に示すセッション情報通知バケツト 900を受信すると、移動端末 I D 902、外部網 I D903、無線アクセスポイント移動端末間認証用セキユリティアソシエーシヨン 904、セッション I D905、リンク情報 906をセッション情報管理テーブル（図 15) に保存する。

図 20のフローチャートを用いてセッション情報の転送手順の一部について説明する。

端末認証機能 TAUTH 1は、移動端末 Xからの認証要求バケツト 700に旧無線アクセスポイント I Dが設定されている場合は、前述の認証手順を行う代わりに、セッション情報ハンドオーバー機能 HOF 1にこれを通知する。セッション情報ハンドオーバー機能 HO F 1は図 19に示すセッション情報ハンドオーバ一要求バケツト 900を生成し、旧無線アクセスポイントに対して送信する。セッション情報ハンドオーバー機能 H O F 1は、図 19に示すセッション情報ハンドオーバー要求バケツト 1000を受信すると、前述の手順で図 19に示すセッション情報ハンドオーバー通知パケットを送信する。

なお、無線アクセスポイントの場合、無線送受信機 TR07 aが有線回線用の送受信機となる他は無線アクセスポイントと同じ構成であるため説明を省略する ₍ 図 22に移動通信網認証サーバの構成を示す。移動通信網認証サーバ M A S 1 は、送受信機 TR08、仮想コア網多重分離機能 CMUXM、端末認証機能 TA UTH、外部網判定機能 EDEC 1、ホーム認証サーバ通信機能 HAS C 1から構成される。

送受信機 TR 08は、コア網 CNとの間でバケツトの送受信を行う。

仮想コア網多重分離機能 CMUXMは、送受信機 TR08から入力されたパケットを仮想コア網毎に分離し、外部網（1) 用仮想コア網 VCN1、外部網 (2) 用仮想コア網 VCN2、外部網（3) 用仮想コア網 VCN3から受信したパケットは、ホーム認証サーバ通信機能 HAS C 1へ出力し、制御管理用仮想コァ網 VCNSから受信したバケツトを端末認証機能 TAUT Hへ出力する。

また、ホーム認証サーバ通信機能 HAS C 1から入力された外部網（1) 用仮想コア網 VCN1、外部網（2) 用仮想コア網 VCN2、外部網（3) 用仮想コァ網 VCN3向けのバケツトと、端末認証機能 TAUT Hから入力された管理制御用仮想コア網 VCNS向けのバケツトとを仮想網毎に多重し、送受信機能 TR 08へ出力する。

図 27に示すフローチャートを用いて端末認証関連のバケツトの処理を説明する。

端末認証機能 TAUTHは、図 23に示す端末情報管理テーブルを保持している。端末認証機能 TAUTHは、無線アクセスポイントまたは無線アクセスボイントから受信した図 16に示す認証要求バケツト 700を仮想コア網多重分離機能 CMUXMから入力されると、図 23の端末情報管理テーブルの端末 I D 1 1 10と移動通信網一移動端末間セキュリティアソシエーション 1 120に基づき. このバケツトを認証する。認証が成功すれば移動通信網において移動端末が認証されたことになる。

また、このとき端末認証機能 TAUTHは、外部網判定機能 EDEC 1にホーム網 I Dに対応する外部網 I D問い合わせる。外部網判定機能 EDC 1は、図 2 4に示すホーム網一外部網対応テーブルを保持しており、これに基づき外部網 I D 1220を返答する。さらに、このとき端末認証機能 TAUTHはホーム網認証サーバ通信機能 H A S C 1にホーム網への移動端末の認証を依頼する。

これに対しホーム網認証サーバ通信機能 H A S C 1は、図 25に示す認証要求バケツト 1300を生成し、ホーム網の認証サーバに送信するため対応する外部網用仮想コア網を選択し、仮想コア網多重分離機能 CMUXMへ出力する。

これに対し、ホーム認証サーバはホーム網用移動端末 I Dとホーム網において保持しているホーム網一移動端末間セキュリティァソシエーションに基づきパケットを認証し、図 26に示す認証応答バケツト 1400を返信する。

ホーム網認証サーバ通信機能 H A S C 1は、図 26に示す認証応答パケット 1 400を仮想コア網多重分離機能 CMUXMから入力されると、これを端末認証機能 TAUTHへ出力する。この時点で移動端末は移動通信網とホーム網の両方に認証されたことになる。

端末認証機能 TAUTHは、無線アクセスポイントと移動端末間でバケツトを認証するために使用する無線アクセスポイント移動端末間セキユリティアソシェーシヨンを作成し、図 17に示す認証応答パケット 800を生成し、無線ァクセスポイントに送信するため仮想コア網多重分離機能 CMUXMへ出力する。

図 28を用いて、これまでに説明してきた移動端末の認証の手順の流れの全体像を説明する。

まず移動端末 Xは、図 1 1に示す認証要求バケツト 400を生成し、これを認証用チャネル MO 1を介して無線アクセスポイント AP a 1へ送信する。

これを受信した無線アクセスポイント AP a 1は、図 16に示す認証要求パケット 700を生成し、これを制御管理用アクセス網 VAN a Sを介して移動通信網認証サーバ MASへ送信する。途中、アクセス網ゲートウェイ AGW aが制御管理用仮想アクセス網 VAN a Sから受信したバケツトを制御管理用仮想コア網 VCNSへ転送する。

これを受信した移動通信網認証サーバ M A Sは、移動端末の認証を行うと共に. 図 25に示す認証要求パケットを 1300生成し、これをあて先のホーム網に対応する外部網用仮想コア網 VCN 1を介してホーム認証サーバ HAS 1へ送信する。途中、外部網ゲートウェイ TGW1が外部網用仮想コア網 VCN 1から受信したパケットを外部網（1) EX 1へ転送する。

これを受信したホーム網認証サーバ HASは、移動端末の認証を行うと共に、図 26に示す認証応答バケツト 1400を生成し、これを移動通信網認証サーバ MASへ送信する。途中、外部網ゲートウェイ TGW1は、外部網 E XIから受信したバケツトを外部網用仮想コア網 VCN1へ転送する。

これを受信した移動通信網認証サーバ MASは、無線アクセスボイント移動端末間セキュリティアソシエーションを生成すると共に、図 1 7に示す認証応答パケット 800を生成し、これを制御管理用仮想コア網 VCNSを介して無線ァクセスポイント AP a 1へ送信する。途中、アクセス網ゲートウェイ AGWaが制御管理用仮想コア網 V C N Sから受信したパケットを制御管理用仮想ァクセス網 VAN a Sへ転送する。

これを受信した無線アクセスポイント AP a 1は、無線アクセスポイント移動端末間セキュリティアソシエーション 506を保存し、セッション I D507と対応するリンク情報 508を生成するとともに、図 12に示す認証応答バケツト 500を生成し、これを認証用チャネルを介して移動端末 Xへ送信する。

これを受信した移動端末 Xは、無線アクセスボイント移動端末間セキュリティァソシエーシヨン 506と、セッション I D507と対応するリンク情報 508 を保存する。

以上の手順を経て、移動端末と移動通信網、ホーム網との端末認証が終了し、移動端末と無線アクセスポイント間には外部網と通信するためのセッションとそのためのリンク情報とセキュリティァソシエーションが設定される。

図 29に基づき、端末認証後のバケツトの送信と受信の流れを説明する。まず、移動端末 X上のホーム網毎の通信エンティティ ENT 1がバケツトを送信する場合、ホーム網に対応するセッションが選択される。そしてそのセッション用のリンク情報を用いて、バケツトは通信用チャネル CH 1上を無線アクセスポイント AP a 1へ送信される。

無線アクセスポイント AP a 1では、まず受信したバケツトのバケツト認証を行う。そしてパケットの属するセッションに対応した外部網、この場合、外部網

(1) 、が選択され、その外部網用の仮想アクセス網、この場合、 VANa l、上へバケツトは出力される。

このバケツトは通信相手が同じ仮想アクセス網配下にいる場合は、その通信相手が接続している無線アクセスポイントへ転送される。また、通信相手が別のァクセス網配下もしくは外部網にいる場合は、このバケツトはアクセス網ゲートゥエイ AGWaを介して、仮想アクセス網、この例では VANa l、に対応する仮想コア網、この例では V C N 1、へ出力される。

さらに、このパケットは通信相手が別のアクセス網配下にいる場合は、仮想コァ網、この例では V C N 1、を介して、そのアクセス網ゲートウェイへ転送される。また、通信相手が外部網にいる場合は、このパケットは外部網ゲートウェイこの例では E GW 1、を介して、外部網へ出力される。

次に移動端末がバケツトを受信する場合の流れを示す。

外部網（1 ) E X 1からパケットが到着した場合は、そのパケットは対応する仮想コア網上 V C N 1を転送される。このパケットは、現在、移動端末がいるァクセス網のアクセス網ゲートウエイ A GW aを介して、対応する仮想アクセス網上 VAN a 1を転送される。そして、無線アクセスポイント A P a 1がある外部網用の仮想アクセス網上からバケツトを受信すると、その外部網とバケツトのぁて先の移動端末の I Dとからセッションが選択される。

そして、パケットにはパケット認証コードが付加され、セッションに対応したリンク情報を用いてバケツトは通信用チャネル C H 1上を移動端末 Xへ送信される。

移動端末 Xはバケツトを受信するとバケツト認証を行い、バケツトが属するセッションに基づき適切なホーム網との通信エンティティへバケツトを渡す。図 3 0に一例として外部網 E X 1に移動管理ノ一ド MA 1が配置されている場合の、移動端末 Xの位置登録の手順を示す。これはモパイル I Pなどの既存の技術を用いて行われるため概要のみを示す。位置登録要求パケット M 3 0は、前述のバケツトの流れに従って移動管理ノード M A 1へ送信される。

これを受信すると、移動管理ノード MA 1は端末の位置を保持した上で、位置登録応答バケツト M 3 1を移動端末 Xへ返信する。他の端末からこの移動端末宛に送信されたパケットはまず、移動管理ノード M A 1へ届き、移動管理ノードはこれを登録された位置情報に基づき移動端末 Xへ転送する。

図 3 1と図 3 2に移動端末がある無線アクセスポイントから他の無線アクセスポイントにハンドオーバーする場合の手順を示す。

ハンドオーバーの形態としては、（1 ) 移動端末が新たな無線アクセスポイントへハンドオーバーすることを決定し、現在接続されている古い無線アクセスポイン卜に対して新たな無線アクセスポイントを通知する形態、（2 ) 移動端末が接続されている無線アクセスボイントが、移動端末がハンドオーバーすべき新たな無線アクセスポイントを決定し、移動端末にこれを通知する形態、（3 ) 移動端末が新たな無線アクセスポイントに接続してから、新たな無線アクセスポイントに以前接続されていた古い無線アクセスポイントを通知する形態、の 3つがある。

図 3 1はこのうち最初の 2つの手順の場合を示す。旧無線アクセスポイント A P oが移動端末 Xのハンドオーバー先の新無線ァクセスボイント A P nを自ら決定する場合、あるいは移動端末 Xからハンドオーバー先の新無線アクセスポイント A P n通知された場合、移動前の旧無線アクセスポイント A P oはセッション情報テーブルからこの移動端末の全てのセッション情報を取り出し、図 1 8に示すセッション情報ハンドオーバー通知バケツトを作成し、これを移動後の新無線アクセスポイント A P nへ送信する。

このとき、新無線アクセスポイントが別のアクセス網配下にある場合、ァクセス網 GWを介してバケツトは転送される。新無線アクセスポイント A P nはこの情報をセッション管理情報テーブルに設定する。

また、図 3 2は上記の 3つのハンドオーバーの形態のうち 3番目の場合の手順を示す。移動後の新無線アクセスポイント A P nは、移動端末からの図 1 1に示す認証要求パケットを受信すると、これに設定されている旧無線ァクセスポイント I Dに基づき、移動前の旧無線アクセスポイント A P oへ図 1 9に示すセッション情報ハンドオーバー要求を送信する。

旧無線アクセスポイント A P oは、セッション情報テーブルからこの移動端末の全てのセッション情報を取り出し、図 1 8に示すセッション情報ハンドオーバ一通知バケツトを作成し、これを移動後の新無線アクセスポイント A P nへ送信する。新無線ァクセスポイントはこの情報をセッション管理情報テーブルに設定する。

以上の手順により、移動端末は他の無線アクセスボイント配下に移動した場合、同じ外部網との通信を継続することができる。

(第 2の実施の形態）

図 33を用いて、本発明の第 2の実施の形態について説明する。図 33の移動通信網の構成は図 1と殆ど同じであり、違いはコア網にロー力ノレ移動管理ノード LMA 1が追加されている点だけである。

図 34は口一カル移動管理ノード LMA 1の構成を示す。ローカル移動管理ノード LMA1は、送受信機 TR 09、仮想コア網多重分離機能 CMUXL、外部網（1) 用仮想ローカル移動管理ノード VLMA1、外部網（2) 用仮想ロー力ル移動管理ノード VLMA2、外部網（3) 用仮想ロー力ノレ移動管理ノード VL MA3、制御管理用仮想ロー力ノレ移動管理ノード V LMA S、力構成される。送受信機 TR09は、コア網 CNと接続され、パケットの送受信を行う。

仮想コア網多重分離機能 CMU XLは、コア網側送受信機 TR09から入力されたパケットを仮想コア網毎に分離し、外部網（1) 用仮想コア網 VCN1から受信したパケットは外部網（1) 用仮想ローカル移動管理ノード VLMA1に出力し、外部網（2) 用仮想コア網 VCN2、外部網（3) 用仮想コア網 VCN3 管理制御用仮想コア網 V CNSについても同様の処理を行う。

また、仮想コア網多重分離機能 CMU XLは、外部網（1) 用仮想ローカル移動管理ノード VLMA1から入力されたパケットを外部網（1) 用仮想コア網上 VCN1に出力し、外部網（2) 用仮想ローカル移動管理ノード VLMA 2、外部網（3) 用ローカル移動管理ノード VLMA 3、制御管理用仮想ローカル移動管理ノード VLMASについても同様の処理を行い、各仮想コア網を多重して、送受信機 TR09に出力する。

個々の仮想ローカル移動管理ノードは、 Mo b i 1 e I P等の既存技術を使用している。図 35を用いて、この手順を説明する。移動端末 Xは、外部網

(1) 用仮想ロー力ノレ移動管理ノード VLMA 1へ位置登録要求を送信する。これを ¥受信した、外部網（1) 用仮想ローカル移動管理ノード VLMA 1は移動端末の位置情報を保持し、位置登録応答を送信する。

また、移動端末 X宛のパケットが送られてくると、外部網（1) 用仮想ロー力ル移動管理ノード V LMA 1はこのバケツトを移動端末 Xから通知された位置へ転送する。これにより仮想網上で端末の移動をサポートする機能を提供する。

以上好ましい実施の形態及び実施例をあげて本発明を説明したが、本発明は必ずしも上記実施の形態及び実施例に限定されるものではなく、その技術的思想の範囲内において様々に変形して実施することができる。

以上説明したように本発明によれば、次に述べるような効果が実現される。

従来技術では移動端末間で通信を行う場合、パケットは外部網ゲートウエイを介して転送されていた。これに対して、本発明では移動端末間で通信を行う場合、同一無線アクセスポイント配下に各移動端末がいるときは、無線アクセスポイントで折り返して通信を行い、同一アクセス網配下に各移動端末がいるときは、ァクセス網を介して通信を行い、別のアクセス網配下に各移動端末がいるときは、コア網を経由して通信を行うこととなり、コア網、アクセス網の回線使用効率が改善される。

また、本発明によれば、仮想コア網、仮想アクセス網がプライベート網を形成するため、移動端末間でセキュリティァソシエーションを確立する手間が不要となる。

さらに、本発明によれば、移動通信網上のノード間の通信も制御管理用の仮想コア網、仮想アクセス網により保護されるため、ノード間でセキュリティァソシエーションを確立する手間が不要となる。

さらに、本発明によれば、移動端末がハンドオーバーする際に移動端末と外部網との専用線接続が途切れることなく継続できる。

Claims

請求の範囲

1 . 移動通信網と、複数の外部網と、複数の移動端末と、前記外部網と前記移動通信網とを接続する複数のゲートウエイと、前記移動端末を前記移動通信網に接続する複数の無線アクセスボイントとから構成された移動通信網システムにおいて、

前記移動端末間でバケツトの送受信が行われる場合、前記移動通信網上に前記各外部網に対応してそれぞれ設けられた仮想網を介して通信することを特徴とする移動通信網システム。

2 . 移動通信網と、複数の外部網と、複数の移動端末と、前記外部網と前記移動通信網とを接続する複数のゲートウエイと、前記移動端末を前記移動通信網に接続する複数の無線アクセスボイントとから構成された移動通信網システムにおいて、

前記移動通信網は、前記外部網の各々に対応する仮想網を提供する手段を備え、前記ゲートウェイは、前記外部網を対応する前記仮想網に接続する手段を備え、前記移動端末は、任意の前記外部網用のセッションを前記無線アクセスポイントとの間に設定する手段を備え、

前記無線アクセスポイントは、任意の前記セッションから受信したバケツトを、当該セッションに対応する外部網用に用意された仮想網に転送する手段と、任意の外部網に対応する前記仮想網から受信したバケツトを、当該バケツトのあて先である前記移動端末が前記外部網用に設定したセッションに転送する手段とを備え、

前記移動端末と前記外部網との間に専用線接続が提供され、前記移動端末間でバケツトの送受信が行われる場合、前記移動通信網上に前記各外部網に対応してそれぞれ設けられた仮想網を介して通信することを特徴とする移動通信網システム。

3 . 前記無線ァクセスポイントが、前記移動端末が現在接続されている現無線ァクセスポイントから新たな無線ァクセスボイントへハンドオーバーする場合、前記移動端末が設定した全てのセッションの情報を、新たな無線ァクセスポイントへ転送する手段と、

前記現無線ァクセスポイントから転送されてきた前記セッションの設定情報を取得する手段とを備えた請求項 2に記載の移動通信網システム。

4 . 前記移動通信網は、前記外部網毎に用意され、対応する外部網に対して用意された前記仮想網との間でのみバケツトの送受信を行う手段と、前記移動端末から通知された位置情報を保持する手段と、前記移動端末をあて先とするパケットを受信した場合そのバケツトを前記移動端末から通知された位置に転送する手段とを備えた複数の仮想移動管理ノードにより構成された移動管理ノードをさらに有し、

前記移動端末は、接続する前記外部網に対応する前記仮想移動管理ノードに位置情報を通知する手段をさらに備えた請求項 2記載の移動通信網システム。

5 . 前記移動通信網が、

制御 ·管理用仮想網と、

前記無線アクセスボイントゃ前記移動管理ノードを含む前記移動通信網内に配置されているノードが、互いの間でやり取りする制御用や管理用のバケツトを前記制御管理用仮想網を介して送受信する手段と、

前記制御管理用仮想網以外から受信した制御用や管理用のパケットを拒否する手段をさらに備えた請求項 2から請求項 5の何れか一つに記載の移動通信網システム。

6 . 移動通信網と、複数の外部網と、複数の移動端末と、前記外部網と前記移動通信網とを接続する複数のゲートウエイと、前記移動端末を前記移動通信網に接続する複数の無線アクセスポイントとから構成された移動通信網システムにおける移動通信方法であって、前記移動端末が任意の前記外部網用のセッションを前記無線ァクセスポイントとの間に設定するステップと、

前記無線アクセスポイントが任意の前記セッションから受信したバケツトを、当該セッションに対応する前記外部網毎に用意された仮想網に転送するステップと、

前記無線ァクセスポイントが任意の外部網に対応する前記仮想網から受信したバケツトを、当該バケツトのあて先である前記移動端末が前記外部網用に設定したセッションに転送するステップとを備えた移動通信方法。

7 . 前記移動端末が、現在接続されている現無線アクセスポイントから新たな無線アクセスボイントへハンドオーバーする場合、前記現無線アクセスボイントが、前記移動端末が設定した全ての前記セッションの情報を、前記新たな無線アクセスポイントへ転送するステップと、

前記新たな無線アクセスポイントが、前記現無線アクセスポイントから、前記移動端末が設定した全ての前記セッションの設定情報を取得するステップとをさらに備えた請求項 6に記載の移動通信方法。

8 . 前記移動通信網内に設けられた移動管理ノードを構成する、前記外部網毎に用意された複数の仮想移動管理ノードの各々、対応する前記外部網用に用意された前記仮想網との間でのみパケットの送受信を行うステップと、前記移動端末が、接続する前記外部網に対応する前記仮想移動管理ノードに位置情報を通知するステップと、

前記仮想移動管理ノードの各々が、前記移動端末から通知された位置情報を保持し、前記移動端末をあて先とするパケットを受信した場合、そのパケットを前記移動端末から通知された位置に転送するステップとをさらに備えた請求項 6記載の移動通信方法。

9 . 前記移動通信網内に配置されている、前記無線アクセスポイント、前記移動管理ノード、前記ゲートウエイ間で送受信される制御用および管理用のパケットを、前記移動通信網内に備えられた制御管理用仮想網を介して送受信するステップと、

前記制御管理用仮想網以外から受信した制御用や管理用のパケットを拒否するステップとをさらに備えた請求項 7または 8のいずれかに記載の移動通信方法。