WO2019064676A1

WO2019064676A1 - 管理装置およびアクセス制御方法

Info

Publication number: WO2019064676A1
Application number: PCT/JP2018/018521
Authority: WO
Inventors: 宏司坪内; 榑林　亮介; アシックカーン
Original assignee: NTT Docomo Inc
Current assignee: NTT Docomo Inc
Priority date: 2017-09-26
Filing date: 2018-05-14
Publication date: 2019-04-04
Anticipated expiration: 2020-03-26
Also published as: JP2021010040A

Abstract

同じスライスを構成するスライスサブネット間で通信可能となるよう、スライスおよびスライスサブネットを配備する管理装置(30)は、スライスを構成する１つ以上のスライスサブネットを示す設計情報を予め記憶し、スライスサブネット構成要素を新規生成するか流用するかの指示情報に基づき、対象スライスの設計情報を用いて、１つ以上のスライスサブネットが複数のスライスにより共有されるか否かを判断する共有判断部と、共有されると判断されたスライスサブネット（NS1）と同じスライスを構成する非共有のスライスサブネット（NS2、NS3）を、アクセス制御装置(40)経由でネットワークに接続されるよう接続変更するとともに、アクセス制御装置(40)に、同じスライスを構成するスライスサブネット間のみで通信可能とする設定を投入するアクセス制御部と、を備える。

Description

管理装置およびアクセス制御方法

　本発明は、管理装置およびアクセス制御方法に関する。

　３ＧＰＰ（3rd　Generation　Partnership　Project）から発行された非特許文献１では、システムを論理的なネットワーク（スライス）に分割し、サービスごとにスライスを割り当てることが考えられている。また、Next　Generation　Mobile　Networks（NGMN）　Allianceから発行された非特許文献２では、１つのスライスを複数のスライスサブネットで構成し、サービスを提供することが提案されており、１つのスライスサブネットを複数のスライスで共有する構成も提案されている。さらに、従来より、ETSI（European　Telecommunications　Standards　Institute）のNFV（Network　Functions　Virtualization）方式におけるNetwork　Serviceによりリソース層を構成する技術が提案されているが、ここでのNetwork　Serviceを上記のスライスサブネットとして利用することが考えられる。

３ＧＰＰ　ＴＳ２３．５０１ "Description　of　Network　Slicing　Concept"、NGMN　Alliance、2016年1月13日発行

　図１０に示すように、スライス１をスライスサブネット１および２により構成し、スライス２をスライスサブネット１および３により構成することで、スライスサブネット１をスライス１とスライス２とで共有する構成を想定した場合、単一のスライスにおけるスライスサブネット間を接続するため、スライスサブネット１と２の間、および、スライスサブネット１と３の間はそれぞれ、例えばＬ２装置（スイッチ）、Ｌ３装置（ルータ）等のネットワーク装置（以下では「ＮＷ装置」という）により接続される。

　しかし、このような構成で、スライス１とスライス２とで共有されていないスライスサブネット２に属するネットワーク機能（Network　Function、以下「NF」と称する）が、スライスサブネット２と同じスライス（スライス１）を構成しないスライスサブネット３のSAP（Service　Access　Point）を宛先としたパケットを送出した場合、通信が可能となる。同様に、スライス１とスライス２とで共有されていないスライスサブネット３に属するNFが、スライスサブネット３と同じスライス（スライス２）を構成しないスライスサブネット２のSAPを宛先としたパケットを送出した場合、通信が可能となる。

　本来、スライスは他のスライスからアクセスできない論理ネットワークであるべきところ、上記のように異なるスライスに属するNF同士が互いにアクセスできてしまい、スライスのセキュリティを確保することが困難であった。

　本発明は、上記課題を解決するために成されたものであり、スライスのセキュリティを確保することを目的とする。

　本発明の一実施形態に係る管理装置は、ネットワークインフラ上の仮想ネットワークであるスライスのスライス配備要求に基づいて、同じスライスを構成するスライスサブネット間で通信可能となるよう、ネットワークにスライスおよび該スライスを構成するスライスサブネットを配備する管理装置であって、スライスを構成する１つ以上のスライスサブネットを示す設計情報を、該設計情報を識別するための識別情報に対応付けて記憶した設計情報記憶部と、前記スライス配備要求に含まれた、対象スライスの設計情報の識別情報、および、該対象スライスの設計情報を基にスライスサブネット構成要素を新規生成するか既存のスライスサブネット構成要素を流用するかの指示情報に基づいて、前記設計情報記憶部に記憶された前記対象スライスの設計情報を用いて、１つ以上のスライスサブネットが複数のスライスにより共有されるか否かを判断する共有判断部と、前記共有判断部により１つ以上のスライスサブネットが複数のスライスにより共有されると判断された場合に、共有されると判断されたスライスサブネットと同じスライスを構成する共有されないと判断されたスライスサブネットを、アクセス制御装置経由で前記ネットワークに接続されるよう接続変更するとともに、前記アクセス制御装置に、同じスライスを構成するスライスサブネット間のみで通信可能とする設定を投入するアクセス制御部と、を備える。

　このような管理装置では、設計情報記憶部が、スライスを構成する１つ以上のスライスサブネットを示す設計情報を、該設計情報を識別するための識別情報に対応付けて記憶しており、共有判断部が、スライス配備要求に含まれた、対象スライスの設計情報の識別情報、および、該対象スライスの設計情報を基にスライスサブネット構成要素を新規生成するか既存のスライスサブネット構成要素を流用するかの指示情報に基づいて、上記設計情報記憶部に記憶された前記対象スライスの設計情報を用いて、１つ以上のスライスサブネットが複数のスライスにより共有されるか否かを判断し、共有判断部により１つ以上のスライスサブネットが複数のスライスにより共有されると判断された場合に、アクセス制御部が、共有されると判断されたスライスサブネットと同じスライスを構成する共有されないと判断されたスライスサブネットを、アクセス制御装置経由でネットワークに接続されるよう接続変更するとともに、上記アクセス制御装置に、同じスライスを構成するスライスサブネット間のみで通信可能とする設定を投入する。これにより、共有されない（非共有の）スライスサブネットは、同じスライスを構成するスライスサブネット間のみで通信可能となり、異なるスライスを構成する非共有のスライスサブネットとの間の通信が遮断され、スライスのセキュリティを確保することができる。

　本発明によれば、スライスのセキュリティを確保することができる。

発明の実施形態に係る通信システムの論理構成を示す図である。発明の実施形態に係る通信システムの物理構成を示す図である。管理装置の機能ブロック構成図である。管理装置に記憶されたＮＳ設計情報の一例を示す図である。第１の処理例を示すフロー図である。第２の処理例を示すフロー図である。第３の処理例を示すフロー図である。（ａ）および（ｂ）は、共有／非共有情報を含むＮＳ設計情報の例を示す図である。管理装置のハードウェア構成の一例を示す図である。１つのスライスサブネットを複数のスライスで共有する構成例を示す図である。

　以下、図面を参照しながら、本発明に係る実施形態を説明する。まず、図１および図２を参照して、本発明に係る管理装置が含まれる通信システム１の論理構成および物理構成を説明する。

　図１に示すように、論理構成として通信システム１では、提供されるサービスごとにスライス（ここではスライス１、２）が形成され、このうちスライス１をスライスサブネット１および２により構成し、スライス２をスライスサブネット１および３により構成することで、スライスサブネット１をスライス１とスライス２とで共有する構成とされている。各スライスサブネットは、スライスに対応したサービスを提供するための要件（スライスの要件）に適した１つ以上のネットワーク機能部（以下「ＮＦ」という）６０を含んで構成され、スライスサブネットの境界に配備されたＮＦ６０は、接続点（Connection　Point：以下「ＣＰ」という）８０を介して該スライスサブネットの外部と通信する。また、１つのスライスにおけるスライスサブネット間を接続するため、スライスサブネット１と２の間、および、スライスサブネット１と３の間は、ＮＷ装置５０により接続されている。

　また、通信システム１には、上述したスライス、スライスサブネット、ＮＦ等の配備（本件では「新規生成」および「既存物の流用」を含む）およびアクセス制御を行う管理装置３０が設けられ、詳細は後述するが、管理装置３０により実行される処理により、非共有のスライスサブネット２はアクセス制御装置（Access　Controller：以下「ＡＣ」ともいう）４０Ａ経由で、非共有のスライスサブネット２はＡＣ４０Ｂ経由で、それぞれネットワークに接続されるよう接続変更される。さらに、管理装置３０は、ＡＣ４０Ａ、４０Ｂ（以下「ＡＣ４０」と総称する）に、同じスライスを構成するスライスサブネット間のみで通信可能とする設定を投入する。

　なお、以下では、ETSIのNFV方式におけるNetwork　Service（以下「ＮＳ」と称する）を用いた呼称を用いるものとし、スライスサブネット１～３それぞれについては、ＮＳ１～３と称し、スライス１についてはＮＳ１０と称し、スライス２についてはＮＳ２０と称する。

　図２に示すように、物理構成として通信システム１は、計算装置７０、ＮＦ６０、ＡＣ４０、ＮＷ装置５０、および管理装置３０を含んで構成され、管理装置３０は、ＮＷ装置５０経由で、計算装置７０、ＮＦ６０、ＡＣ４０、ＮＷ装置５０との間で通信を行う。また、ＮＦ６０は、計算装置７０において仮想的に生成された仮想的なＮＦ（Virtual　NF：以下「ｖＮＦ」という）６０ｖ、および、計算装置７０相当の装置を占有する形式で設けられた物理的なＮＦ（Physical　NF：以下「ｐＮＦ」という）６０ｐのいずれか又は両方の態様で構成される。同様に、ＡＣ４０は、計算装置７０において仮想的に生成された仮想的なＡＣ（Virtual　AC：以下「ｖＡＣ」という）４０ｖ、および、計算装置７０相当の装置を占有する形式で設けられた物理的なＡＣ（Physical　AC：以下「ｐＡＣ」という）４０ｐのいずれか又は両方の態様で構成される。

　次に、図３を用いて、管理装置３０の機能ブロック構成を説明する。図３に示すように、管理装置３０は、配備要求受付部３１、共有判断部３２、ＮＳ配備部３３、アクセス制御部３４、ＮＳ設計情報ＤＢ３５、配備済みＮＳインスタンス情報ＤＢ３６、および、物理インフラ情報ＤＢ３７を含んで構成される。以下、各機能部の概要を説明する。詳細は、図５～図７の処理とともに説明する。

　配備要求受付部３１は、スライス配備要求を受け付ける機能部である。

　共有判断部３２は、１つ以上のスライスサブネットが複数のスライスにより共有されるか否かを判断する機能部である。

　ＮＳ配備部３３は、スライス配備要求に基づいてスライスおよび該スライスを構成するスライスサブネットを配備する機能部であり、前述したＮＦ６０、計算装置７０、ＮＷ装置５０にアクセス可能とされている。ＮＳ配備部３３は、例えばネットワーク構成・設定を生成・変更等するためにＮＷ装置５０にアクセスする。

　アクセス制御部３４は、詳細は後述するが、共有判断部３２により１つ以上のスライスサブネットが複数のスライスにより共有されると判断された場合に、非共有と判断されたスライスサブネットを、ＡＣ４０経由でネットワークに接続されるよう接続変更するとともに、上記ＡＣ４０に、同じスライスを構成するスライスサブネット間のみで通信可能とする設定を投入する、といった制御を行う機能部である。アクセス制御部３４は、前述した計算装置７０、ＮＷ装置５０、ＡＣ４０にアクセス可能とされている。

　ＮＳ設計情報ＤＢ３５は、管理装置３０において管理されるＮＳ設計情報を記憶したデータベースである。例えば、図４に示すように、ＮＳ１０に係る設計情報（ＮＳ１０設計情報）として、該ＮＳ１０を構成するＮＳ１、ＮＳ２の情報が記憶され、該ＮＳ１０設計情報には、ＮＳ１に係る設計情報（ＮＳ１設計情報）およびＮＳ２に係る設計情報（ＮＳ２設計情報）が関連付けられている。同様に、ＮＳ２０に係る設計情報（ＮＳ２０設計情報）として、該ＮＳ２０を構成するＮＳ１、ＮＳ３の情報が記憶され、該ＮＳ２０設計情報には、ＮＳ１に係る設計情報（ＮＳ１設計情報）およびＮＳ３に係る設計情報（ＮＳ３設計情報）が関連付けられている。

　配備済みＮＳインスタンス情報ＤＢ３６は、配備済みのＮＳインスタンスに関する情報を記憶したデータベースである。

　物理インフラ情報ＤＢ３７は、物理的なネットワークインフラに関する情報を記憶したデータベースである。

　以下、図５～図７のフロー図を用いて、管理装置３０により実行される各種の処理例（本発明のネットワーク構成制御方法に係る処理例）を説明する。以下では、第１の処理として、配備されるＮＳの共有が生じた時点で非共有ＮＳ間の通信を遮断する構成とする処理（図５）を説明し、第２の処理として、配備されるＮＳの共有が生じる前に非共有ＮＳ間の通信を遮断する構成とする処理（図６）を説明し、第３の処理として、共有／非共有情報（特許請求の範囲における「共有判別情報」に相当）を含んだＮＳ設計情報に基づいて、配備されるＮＳの共有が生じる前に非共有ＮＳ間の通信を遮断する構成とする処理（図７）を説明する。

　図５に示す第１の処理は、例えば、管理者又は上位装置から管理装置３０に対し、ＮＳ１０の配備要求がされたことをトリガーとして開始される。ＮＳ１０設計情報、およびＮＳ２０設計情報は事前に管理装置３０のＮＳ設計情報ＤＢ３５に記憶されているものとする。図４に示すようにＮＳ１０設計情報は、該ＮＳ１０がＮＳ１およびＮＳ２により構成され、ＮＳ２０設計情報は、該ＮＳ２０がＮＳ１およびＮＳ３により構成されることを示す。上記の配備要求には、ＮＳ設計情報を基にＮＳインスタンスを新規生成するか、既存のＮＳインスタンスを流用するかの指示が含まれる。但し、第１の処理におけるＮＳ設計情報は共有／非共有情報を含まない。

　ステップＳ１において、管理装置３０は、ＮＳの配備要求を受け付け、次のステップＳ２において、該配備要求に、既存のＮＳインスタンスを流用する指示が含まれるか否かを判断する。ここで、既存のＮＳインスタンスを流用する指示が含まれないと判断された場合（即ち、ＮＳインスタンスを新規生成する指示のみが含まれる場合）、ステップＳ３へ進み、管理装置３０は、上記新規生成する指示に基づきＮＳインスタンスを新規生成することでＮＳを配備する。例えば、ステップＳ１で、ＮＳ１およびＮＳ２のインスタンスを新規生成する指示を含むＮＳ１０の配備要求を受け付けた場合、ステップＳ２では既存のＮＳインスタンスを流用する指示が含まれないと判断され、ステップＳ３へ進み、管理装置３０は、上記ＮＳ１およびＮＳ２のインスタンスを新規生成する指示に基づき、ＮＳ１としてNS1_instance1を、ＮＳ２としてNS2_instance1を、それぞれ新規生成してＮＷ装置５０に接続することで、ＮＳ１０を配備する。

　一方、ステップＳ２において、既存のＮＳインスタンスを流用する指示が含まれると判断された場合、ステップＳ４へ進み、管理装置３０は、上記流用する指示を含む配備要求に基づきＮＳインスタンスの既存流用・新規生成を行うことでＮＳを配備する。例えば、ステップＳ１で、NS1_instance1を流用しＮＳ３を新規生成する指示を含むＮＳ２０の配備要求を受け付けた場合、ステップＳ２では既存のＮＳインスタンスを流用する指示が含まれると判断され、ステップＳ４へ進み、管理装置３０は、ＮＳ２０の構成要素のうちＮＳ１に係るNS1_instance1を流用する指示があるため、ＮＳ１がＮＳ２０と他のＮＳ（ここではＮＳ１０）との間で共有されることを認識し、上記NS1_instance1を流用しＮＳ３を新規生成する指示に基づき、共有されるＮＳ１として既存のNS1_instance1を流用し、ＮＳ３としてNS3_instance1を新規生成することで、ＮＳ２０を配備する。

　次のステップＳ５では、管理装置３０は、共有されていない（新規生成した）ＮＳに係るＮＳインスタンスをＡＣ４０経由でＮＷ装置５０に接続し、同じスライスに所属するＮＳのみが通信できる設定を該ＡＣ４０に投入する。例えば、上記ＮＳ２０の配備については、管理装置３０は、ＮＳ２０の構成要素のうち非共有のＮＳ３に係るNS3_instance1をＡＣ４０Ｂ経由でＮＷ装置５０に接続し、同じスライス（ＮＳ２０）を構成するＮＳ１とＮＳ３のみが通信できる設定をＡＣ４０Ｂに投入する。

　次のステップＳ６では、管理装置３０は、既存流用したＮＳインスタンスに接続しているＮＳインスタンスを検索し、次のステップＳ７で、検索で得られたＮＳインスタンスをＡＣ４０経由でＮＷ装置５０に接続するよう変更し、同じスライスに所属するＮＳのみが通信できる設定を該ＡＣ４０に投入する。例えば、上記ＮＳ１０の配備については、管理装置３０は、配備済みＮＳインスタンス情報ＤＢ３６を参照して、共有されるＮＳ１に係るNS1_instance1に接続しているＮＳインスタンスを検索し、検索で得られたＮＳインスタンス（ここではNS2_instance1）をＡＣ４０Ａ経由でＮＷ装置５０に接続し、同じスライス（ＮＳ１０）を構成するＮＳ１とＮＳ２のみが通信できる設定をＡＣ４０Ａに投入する。

　以上の第１の処理（配備されるＮＳの共有が生じた時点で非共有ＮＳ間の通信を遮断する構成とする処理）により、非共有のＮＳ２、３は、同じスライスを構成するスライスサブネット間のみ（即ち、ＮＳ２－ＮＳ１間のみ、ＮＳ３－ＮＳ１間のみ）で通信可能となり、異なるスライスを構成する非共有のスライスサブネットとの間（即ち、ＮＳ２－ＮＳ３間）の通信が遮断され、スライスのセキュリティを確保することができる。

　なお、第１の処理（図５）におけるステップＳ５の処理と、ステップＳ６およびＳ７の処理とは、順序を逆にして実行してもよいし、同時並行で実行してもよい。

　次に、第２の処理として、配備されるＮＳの共有が生じる前に非共有ＮＳ間の通信を遮断する構成とする処理（図６）を説明する。

　図６に示す第２の処理は、例えば、管理者又は上位装置から管理装置３０に対し、ＮＳ１０の配備要求がされたことをトリガーとして開始される。ＮＳ１０設計情報、およびＮＳ２０設計情報は事前に管理装置３０のＮＳ設計情報ＤＢ３５に記憶されているものとする。図４に示すようにＮＳ１０設計情報は、該ＮＳ１０がＮＳ１およびＮＳ２により構成され、ＮＳ２０設計情報は、該ＮＳ２０がＮＳ１およびＮＳ３により構成されることを示す。上記の配備要求には、ＮＳ設計情報を基にＮＳインスタンスを新規生成するか、既存のＮＳインスタンスを流用するかの指示が含まれる。また、第２の処理におけるＮＳ設計情報は共有／非共有情報を含まない。

　ステップＳ１１において、管理装置３０は、ＮＳの配備要求を受け付け、次のステップＳ１２において、該配備要求に、既存のＮＳインスタンスを流用する指示が含まれるか否かを判断する。ここで、既存のＮＳインスタンスを流用する指示が含まれないと判断された場合（即ち、ＮＳインスタンスを新規生成する指示のみが含まれる場合）、ステップＳ１３へ進み、管理装置３０は、上記配備要求に含まれた対象ＮＳの設計情報の識別情報から紐付けられる予め記憶された対象ＮＳの設計情報、および、予め記憶された他のＮＳの設計情報に基づき、対象ＮＳのＮＳインスタンスが他のＮＳとの間で共有されるか否かを判断する。ここで、対象ＮＳのＮＳインスタンスが他のＮＳとの間で共有されないと判断された場合は、ステップＳ１４へ進み、管理装置３０は、上記新規生成する指示に基づきＮＳインスタンスを新規生成することでＮＳを配備し、その後、処理を終了する。

　一方、ステップＳ１３で、対象ＮＳのＮＳインスタンスが他のＮＳとの間で共有されると判断された場合は、ステップＳ１５へ進み、管理装置３０は、上記新規生成する指示に基づきＮＳインスタンスを新規生成することでＮＳを配備し、その後、ステップＳ１７へ進む。ステップＳ１７では、管理装置３０は、共有されていないＮＳに係るＮＳインスタンスをＡＣ４０経由でＮＷ装置５０に接続し、同じスライスに所属するＮＳのみが通信できる設定を該ＡＣ４０に投入する。例えば、ステップＳ１１で、ＮＳ１およびＮＳ２のインスタンスを新規生成する指示を含むＮＳ１０の配備要求を受け付けた場合、ステップＳ１２では既存のＮＳインスタンスを流用する指示が含まれないと判断され、ステップＳ１３へ進み、管理装置３０は、上記配備要求に含まれた対象ＮＳ（ＮＳ１０）の設計情報の識別情報から紐付けられる予め記憶されたＮＳ１０の設計情報、および、予め記憶された他のＮＳの設計情報に基づき、ＮＳ１０の構成要素が他のＮＳとの間で共有されるか否かを判断する。ここでは、ＮＳ１０の構成要素のうちＮＳ１が他のＮＳ（ＮＳ２０）との間で共有されると判断され、ステップＳ１５へ進み、管理装置３０は、上記ＮＳ１およびＮＳ２のインスタンスを新規生成する指示に基づき、ＮＳ１としてNS1_instance1を、ＮＳ２としてNS2_instance1を、それぞれ新規生成してＮＷ装置５０に接続することで、ＮＳ１０を配備する。さらに、ステップＳ１７では、管理装置３０は、ＮＳ１０の構成要素のうち共有されていないＮＳ２に係るNS2_instance1をＡＣ４０Ａ経由でＮＷ装置５０に接続し、同じスライス（ＮＳ１０）を構成するＮＳ１とＮＳ２のみが通信できる設定をＡＣ４０Ａに投入する。

　また、ステップＳ１２で、既存のＮＳインスタンスを流用する指示が含まれると判断された場合、ステップＳ１６へ進み、管理装置３０は、上記流用する指示を含む配備要求に基づきＮＳインスタンスの既存流用・新規生成を行うことでＮＳを配備し、前述したステップＳ１７で、共有されていないＮＳに係るＮＳインスタンスをＡＣ４０経由でＮＷ装置５０に接続し、同じスライスに所属するＮＳのみが通信できる設定を該ＡＣ４０に投入する。例えば、ステップＳ１１で、NS1_instance1を流用しＮＳ３を新規生成する指示を含むＮＳ２０の配備要求を受け付けた場合、ステップＳ１２では既存のＮＳインスタンスを流用する指示が含まれると判断され、ステップＳ１６へ進み、管理装置３０は、ＮＳ２０の構成要素のうちＮＳ１に係るNS1_instance1を流用する指示があるため、ＮＳ１がＮＳ２０と他のＮＳ（ここではＮＳ１０）との間で共有されることを認識し、上記NS1_instance1を流用しＮＳ３を新規生成する指示に基づき、共有されるＮＳ１として既存のNS1_instance1を流用し、ＮＳ３としてNS3_instance1を新規生成することで、ＮＳ２０を配備する。さらに、ステップＳ１７で、管理装置３０は、ＮＳ２０の構成要素のうち非共有のＮＳ３に係るNS3_instance1をＡＣ４０Ｂ経由でＮＷ装置５０に接続し、同じスライス（ＮＳ２０）を構成するＮＳ１とＮＳ３のみが通信できる設定をＡＣ４０Ｂに投入する。

　以上の第２の処理（配備されるＮＳの共有が生じる前に非共有ＮＳ間の通信を遮断する構成とする処理）により、非共有のＮＳ２、３は、同じスライスを構成するスライスサブネット間のみ（即ち、ＮＳ２－ＮＳ１間のみ、ＮＳ３－ＮＳ１間のみ）で通信可能となり、異なるスライスを構成する非共有のスライスサブネットとの間（即ち、ＮＳ２－ＮＳ３間）の通信が遮断され、スライスのセキュリティを確保することができる。

　次に、第３の処理として、共有／非共有情報を含んだＮＳ設計情報に基づいて、配備されるＮＳの共有が生じる前に非共有ＮＳ間の通信を遮断する構成とする処理（図７）を説明する。

　図７に示す第３の処理は、例えば、管理者又は上位装置から管理装置３０に対し、ＮＳ１０の配備要求がされたことをトリガーとして開始される。ＮＳ１０設計情報、およびＮＳ２０設計情報は事前に管理装置３０のＮＳ設計情報ＤＢ３５に記憶されているものとする。図８（ａ）に示すようにＮＳ１０設計情報は、該ＮＳ１０がＮＳ１およびＮＳ２により構成され、ＮＳ２０設計情報は、該ＮＳ２０がＮＳ１およびＮＳ３により構成されることを示す。ＮＳ１０設計情報は、該ＮＳ１０がＮＳ１およびＮＳ２により構成されることを示し、該ＮＳ１０設計情報に関連付けられたＮＳ１設計情報およびＮＳ２設計情報には、共有／非共有情報が含まれ、管理装置３０は、ＮＳ１０設計情報から共有／非共有情報を参照可能となる。ここでは、ＮＳ１０の構成要素のうちＮＳ１が、後述する配備予定のＮＳ２０と共有されるため、ＮＳ１設計情報に「共有」を示す共有／非共有情報が含まれている。上記の配備要求には、ＮＳ設計情報を基にＮＳインスタンスを新規生成するか、既存のＮＳインスタンスを流用するかの指示が含まれる。なお、共有／非共有情報を含む設計情報の構成は、上記図８（ａ）の構成例に限定されるものではなく、例えば図８（ｂ）の構成を採用してもよい。図８（ｂ）の構成例では、ＮＳ１０設計情報は、該ＮＳ１０がＮＳ１およびＮＳ２により構成されることを示し、該ＮＳ１０設計情報には、「ＮＳ１が共有される」を示す共有／非共有情報が含まれている。また、ＮＳ２０設計情報にも同様に、「ＮＳ１が共有される」を示す共有／非共有情報が含まれている。

　ステップＳ２１において、管理装置３０は、ＮＳの配備要求を受け付け、次のステップＳ２２において、該配備要求に、既存のＮＳインスタンスを流用する指示が含まれるか否かを判断する。ここで、既存のＮＳインスタンスを流用する指示が含まれないと判断された場合（即ち、ＮＳインスタンスを新規生成する指示のみが含まれる場合）、ステップＳ２３へ進み、管理装置３０は、上記配備要求に含まれた対象ＮＳの設計情報の識別情報から、予め記憶された対象ＮＳの設計情報を取得し、該対象ＮＳの設計情報に含まれる共有／非共有情報に基づき、対象ＮＳのＮＳインスタンスが他のＮＳとの間で共有されるか否かを判断する。ここで、対象ＮＳのＮＳインスタンスが他のＮＳとの間で共有されないと判断された場合は、ステップＳ２４へ進み、管理装置３０は、上記新規生成する指示に基づきＮＳインスタンスを新規生成することでＮＳを配備し、その後、処理を終了する。

　一方、ステップＳ２３で、対象ＮＳのＮＳインスタンスが他のＮＳとの間で共有されると判断された場合は、ステップＳ２５へ進み、管理装置３０は、上記新規生成する指示に基づきＮＳインスタンスを新規生成することでＮＳを配備し、その後、ステップＳ２７へ進む。ステップＳ２７では、管理装置３０は、共有されていないＮＳに係るＮＳインスタンスをＡＣ４０経由でＮＷ装置５０に接続し、同じスライスに所属するＮＳのみが通信できる設定を該ＡＣ４０に投入する。例えば、ステップＳ２１で、ＮＳ１およびＮＳ２のインスタンスを新規生成する指示を含むＮＳ１０の配備要求を受け付けた場合、ステップＳ２２では既存のＮＳインスタンスを流用する指示が含まれないと判断され、ステップＳ２３へ進み、管理装置３０は、上記配備要求に含まれた対象ＮＳ（ＮＳ１０）の設計情報の識別情報から、予め記憶された対象ＮＳ（ＮＳ１０）の設計情報を取得し、該対象ＮＳの設計情報に含まれる共有／非共有情報に基づき、ＮＳ１０の構成要素が他のＮＳとの間で共有されるか否かを判断する。ここでは、ＮＳ１０の構成要素のうちＮＳ１に係るＮＳ１設計情報に「共有」を示す共有／非共有情報が含まれているため、ＮＳ１０の構成要素が他のＮＳとの間で共有されると判断され、ステップＳ２５へ進み、管理装置３０は、上記ＮＳ１およびＮＳ２のインスタンスを新規生成する指示に基づき、ＮＳ１としてNS1_instance1を、ＮＳ２としてNS2_instance1を、それぞれ新規生成してＮＷ装置５０に接続することで、ＮＳ１０を配備する。さらに、ステップＳ２７では、管理装置３０は、ＮＳ１０の構成要素のうち共有されていないＮＳ２に係るNS2_instance1をＡＣ４０Ａ経由でＮＷ装置５０に接続し、同じスライス（ＮＳ１０）を構成するＮＳ１とＮＳ２のみが通信できる設定をＡＣ４０Ａに投入する。

　また、ステップＳ２２で、既存のＮＳインスタンスを流用する指示が含まれると判断された場合、ステップＳ２６へ進み、管理装置３０は、上記流用する指示を含む配備要求に基づきＮＳインスタンスの既存流用・新規生成を行うことでＮＳを配備し、前述したステップＳ２７で、共有されていないＮＳに係るＮＳインスタンスをＡＣ４０経由でＮＷ装置５０に接続し、同じスライスに所属するＮＳのみが通信できる設定を該ＡＣ４０に投入する。例えば、ステップＳ２１で、NS1_instance1を流用しＮＳ３を新規生成する指示を含むＮＳ２０の配備要求を受け付けた場合、ステップＳ２２では既存のＮＳインスタンスを流用する指示が含まれると判断され、ステップＳ２６へ進み、管理装置３０は、ＮＳ２０の構成要素のうちＮＳ１に係るNS1_instance1を流用する指示があるため、ＮＳ１がＮＳ２０と他のＮＳ（ここではＮＳ１０）との間で共有されることを認識し、上記NS1_instance1を流用しＮＳ３を新規生成する指示に基づき、共有されるＮＳ１として既存のNS1_instance1を流用し、ＮＳ３としてNS3_instance1を新規生成することで、ＮＳ２０を配備する。さらに、ステップＳ２７で、管理装置３０は、ＮＳ２０の構成要素のうち非共有のＮＳ３に係るNS3_instance1をＡＣ４０Ｂ経由でＮＷ装置５０に接続し、同じスライス（ＮＳ２０）を構成するＮＳ１とＮＳ３のみが通信できる設定をＡＣ４０Ｂに投入する。

　以上の第３の処理（共有／非共有情報を含んだＮＳ設計情報に基づいて、配備されるＮＳの共有が生じる前に非共有ＮＳ間の通信を遮断する構成とする処理）により、非共有のＮＳ２、３は、同じスライスを構成するスライスサブネット間のみ（即ち、ＮＳ２－ＮＳ１間のみ、ＮＳ３－ＮＳ１間のみ）で通信可能となり、異なるスライスを構成する非共有のスライスサブネットとの間（即ち、ＮＳ２－ＮＳ３間）の通信が遮断され、スライスのセキュリティを確保することができる。

　以上説明した第１～第３の処理のいずれによっても、図１に示す異なるスライスを構成する非共有のスライスサブネットの間（即ち、ＮＳ２－ＮＳ３間）の通信が遮断され、スライスのセキュリティを確保することができる。

　なお、図１には、アクセス制御装置４０が複数の装置４０Ａ、４０Ｂにより構成される例を示したが、アクセス制御装置４０は単一の装置により構成してもよい。また、アクセス制御装置４０がＮＷ装置５０に含まれた構成であってもよい。

　また、上記の実施形態の説明で用いたブロック図は、機能単位のブロックを示している。これらの機能ブロック（構成部）は、ハードウェア及び／又はソフトウェアの任意の組み合わせによって実現される。また、各機能ブロックの実現手段は特に限定されない。すなわち、各機能ブロックは、物理的及び／又は論理的に結合した１つの装置により実現されてもよいし、物理的及び／又は論理的に分離した２つ以上の装置を直接的及び／又は間接的に(例えば、有線及び／又は無線)で接続し、これら複数の装置により実現されてもよい。

　例えば、上記の実施形態における管理装置３０は、上述した管理装置３０の処理を行うコンピュータとして機能してもよい。図９は、管理装置３０のハードウェア構成の一例を示す図である。上述の管理装置３０は、物理的には、プロセッサ１００１、メモリ１００２、ストレージ１００３、通信装置１００４、入力装置１００５、出力装置１００６、バス１００７などを含むコンピュータ装置として構成されてもよい。

　なお、以下の説明では、「装置」という文言は、回路、デバイス、ユニットなどに読み替えることができる。管理装置３０のハードウェア構成は、図に示した各装置を１つ又は複数含むように構成されてもよいし、一部の装置を含まずに構成されてもよい。

　管理装置３０における各機能は、プロセッサ１００１、メモリ１００２などのハードウェア上に所定のソフトウェア（プログラム）を読み込ませることで、プロセッサ１００１が演算を行い、通信装置１００４による通信、メモリ１００２及びストレージ１００３におけるデータの読み出し及び／又は書き込みを制御することで実現される。

　プロセッサ１００１は、例えば、オペレーティングシステムを動作させてコンピュータ全体を制御する。プロセッサ１００１は、周辺装置とのインターフェース、制御装置、演算装置、レジスタなどを含む中央処理装置（ＣＰＵ：Central　Processing　Unit）で構成されてもよい。例えば、管理装置３０の各機能部は、プロセッサ１００１を含んで実現されてもよい。

　また、プロセッサ１００１は、プログラム（プログラムコード）、ソフトウェアモジュール、データ等を、ストレージ１００３及び／又は通信装置１００４からメモリ１００２に読み出し、これらに従って各種の処理を実行する。プログラムとしては、上述の実施形態で説明した動作の少なくとも一部をコンピュータに実行させるプログラムが用いられる。例えば、管理装置３０の各機能部は、メモリ１００２に格納され、プロセッサ１００１で動作する制御プログラムによって実現されてもよく、他の機能ブロックについても同様に実現されてもよい。上述の各種処理は、１つのプロセッサ１００１で実行される旨を説明してきたが、２以上のプロセッサ１００１により同時又は逐次に実行されてもよい。プロセッサ１００１は、１以上のチップで実装されてもよい。なお、プログラムは、電気通信回線を介してネットワークから送信されても良い。

　メモリ１００２は、コンピュータ読み取り可能な記録媒体であり、例えば、ＲＯＭ（Read　Only　Memory）、ＥＰＲＯＭ（Erasable　Programmable　ＲＯＭ）、ＥＥＰＲＯＭ（Electrically　Erasable　Programmable　ＲＯＭ）、ＲＡＭ（Random　Access　Memory）などの少なくとも１つで構成されてもよい。メモリ１００２は、レジスタ、キャッシュ、メインメモリ（主記憶装置）などと呼ばれてもよい。メモリ１００２は、本発明の一実施形態に係る方法を実施するために実行可能なプログラム（プログラムコード）、ソフトウェアモジュールなどを保存することができる。

　ストレージ１００３は、コンピュータ読み取り可能な記録媒体であり、例えば、ＣＤ－ＲＯＭ（Compact　Disc　ＲＯＭ）などの光ディスク、ハードディスクドライブ、フレキシブルディスク、光磁気ディスク(例えば、コンパクトディスク、デジタル多用途ディスク、Ｂｌｕ－ｒａｙ（登録商標）ディスク)、スマートカード、フラッシュメモリ(例えば、カード、スティック、キードライブ)、フロッピー（登録商標）ディスク、磁気ストリップなどの少なくとも１つで構成されてもよい。ストレージ１００３は、補助記憶装置と呼ばれてもよい。上述の記憶媒体は、例えば、メモリ１００２及び／又はストレージ１００３を含むデータベース、サーバその他の適切な媒体であってもよい。

　通信装置１００４は、有線及び／又は無線ネットワークを介してコンピュータ間の通信を行うためのハードウェア（送受信デバイス）であり、例えばネットワークデバイス、ネットワークコントローラ、ネットワークカード、通信モジュールなどともいう。例えば、上述の管理装置３０の各機能部は、通信装置１００４を含んで実現されてもよい。

　入力装置１００５は、外部からの入力を受け付ける入力デバイス（例えば、キーボード、マウス、マイクロフォン、スイッチ、ボタン、センサなど）である。出力装置１００６は、外部への出力を実施する出力デバイス（例えば、ディスプレイ、スピーカー、LEDランプなど）である。なお、入力装置１００５及び出力装置１００６は、一体となった構成（例えば、タッチパネル）であってもよい。

　また、プロセッサ１００１、メモリ１００２などの各装置は、情報を通信するためのバス１００７で接続される。バス１００７は、単一のバスで構成されてもよいし、装置間で異なるバスで構成されてもよい。

　また、管理装置３０は、マイクロプロセッサ、デジタル信号プロセッサ（ＤＳＰ：Digital　Signal　Processor）、ＡＳＩＣ（Application　Specific　Integrated　Circuit）、ＰＬＤ（Programmable　Logic　Device）、ＦＰＧＡ（Field　Programmable　Gate　Array）などのハードウェアを含んで構成されてもよく、当該ハードウェアにより、各機能ブロックの一部又は全てが実現されてもよい。例えば、プロセッサ１００１は、これらのハードウェアの少なくとも１つで実装されてもよい。なお、図１に示す管理装置３０以外の装置についても、上記通信端末と同様の構成であってもよい。

　以上、本実施形態について詳細に説明したが、当業者にとっては、本実施形態が本明細書中に説明した実施形態に限定されるものではないということは明らかである。本実施形態は、特許請求の範囲の記載により定まる本発明の趣旨及び範囲を逸脱することなく修正及び変更態様として実施することができる。したがって、本明細書の記載は、例示説明を目的とするものであり、本実施形態に対して何ら制限的な意味を有するものではない。

　本明細書で説明した各態様／実施形態の処理手順、シーケンス、フローチャートなどは、矛盾の無い限り、順序を入れ替えてもよい。例えば、本明細書で説明した方法については、例示的な順序で様々なステップの要素を提示しており、提示した特定の順序に限定されない。

　入出力された情報などは特定の場所(例えば、メモリ)に保存されてもよいし、管理テーブルで管理してもよい。入出力される情報などは、上書き、更新、または追記され得る。出力された情報などは削除されてもよい。入力された情報などは他の装置へ送信されてもよい。

　判定は、１ビットで表される値（０か１か）によって行われてもよいし、真偽値（Boolean：trueまたはfalse）によって行われてもよいし、数値の比較（例えば、所定の値との比較）によって行われてもよい。

　本明細書で説明した各態様／実施形態は単独で用いてもよいし、組み合わせて用いてもよいし、実行に伴って切り替えて用いてもよい。また、所定の情報の通知（例えば、「Ｘであること」の通知）は、明示的に行うものに限られず、暗黙的（例えば、当該所定の情報の通知を行わない）ことによって行われてもよい。

　ソフトウェアは、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語と呼ばれるか、他の名称で呼ばれるかを問わず、命令、命令セット、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行可能ファイル、実行スレッド、手順、機能などを意味するよう広く解釈されるべきである。

　また、ソフトウェア、命令などは、伝送媒体を介して送受信されてもよい。例えば、ソフトウェアが、同軸ケーブル、光ファイバケーブル、ツイストペア及びデジタル加入者回線（ＤＳＬ）などの有線技術及び／又は赤外線、無線及びマイクロ波などの無線技術を使用してウェブサイト、サーバ、又は他のリモートソースから送信される場合、これらの有線技術及び／又は無線技術は、伝送媒体の定義内に含まれる。

　本明細書で説明した情報、信号などは、様々な異なる技術のいずれかを使用して表されてもよい。例えば、上記の説明全体に渡って言及され得るデータ、命令、コマンド、情報、信号、ビット、シンボル、チップなどは、電圧、電流、電磁波、磁界若しくは磁性粒子、光場若しくは光子、又はこれらの任意の組み合わせによって表されてもよい。

　また、本明細書で説明した情報、パラメータなどは、絶対値で表されてもよいし、所定の値からの相対値で表されてもよいし、対応する別の情報で表されてもよい。

　移動通信端末は、当業者によって、加入者局、モバイルユニット、加入者ユニット、ワイヤレスユニット、リモートユニット、モバイルデバイス、ワイヤレスデバイス、ワイヤレス通信デバイス、リモートデバイス、モバイル加入者局、アクセス端末、モバイル端末、ワイヤレス端末、リモート端末、ハンドセット、ユーザエージェント、モバイルクライアント、クライアント、またはいくつかの他の適切な用語で呼ばれる場合もある。

　本明細書で使用する「判断(determining)」、「決定(determining)」という用語は、多種多様な動作を包含する場合がある。「判断」、「決定」は、例えば、判定(judging)、計算(calculating)、算出(computing)、処理(processing)、導出(deriving)、調査(investigating)、探索(looking　up)（例えば、テーブル、データベースまたは別のデータ構造での探索）、確認(ascertaining)した事を「判断」「決定」したとみなす事などを含み得る。また、「判断」、「決定」は、受信(receiving)（例えば、情報を受信すること）、送信(transmitting)(例えば、情報を送信すること)、入力(input)、出力(output)、アクセス(accessing)（例えば、メモリ中のデータにアクセスすること）した事を「判断」「決定」したとみなす事などを含み得る。また、「判断」、「決定」は、解決(resolving)、選択(selecting)、選定(choosing)、確立(establishing)、比較(comparing)などした事を「判断」「決定」したとみなす事を含み得る。つまり、「判断」「決定」は、何らかの動作を「判断」「決定」したとみなす事を含み得る。

　本明細書で使用する「に基づいて」という記載は、別段に明記されていない限り、「のみに基づいて」を意味しない。言い換えれば、「に基づいて」という記載は、「のみに基づいて」と「に少なくとも基づいて」の両方を意味する。

　「含む（include）」、「含んでいる（including）」、およびそれらの変形が、本明細書あるいは特許請求の範囲で使用されている限り、これら用語は、用語「備える(comprising)」と同様に、包括的であることが意図される。さらに、本明細書あるいは特許請求の範囲において使用されている用語「または（or）」は、排他的論理和ではないことが意図される。

　本明細書において、文脈または技術的に明らかに１つのみしか存在しない装置である場合以外は、複数の装置をも含むものとする。本開示の全体において、文脈から明らかに単数を示したものではなければ、複数のものを含むものとする。

　１…通信システム、３０…管理装置、３１…配備要求受付部、３２…共有判断部、３３…ＮＳ配備部、３４…アクセス制御部、３５…ＮＳ設計情報ＤＢ、３６…配備済みＮＳインスタンス情報ＤＢ、３７…物理インフラ情報ＤＢ、４０…アクセス制御装置、５０…ＮＷ装置、６０…ＮＦ、７０…計算装置、８０…ＣＰ、１００１…プロセッサ、１００２…メモリ、１００３…ストレージ、１００４…通信装置、１００５…入力装置、１００６…出力装置、１００７…バス。

Claims

　ネットワークインフラ上の仮想ネットワークであるスライスのスライス配備要求に基づいて、同じスライスを構成するスライスサブネット間で通信可能となるよう、ネットワークにスライスおよび該スライスを構成するスライスサブネットを配備する管理装置であって、
　スライスを構成する１つ以上のスライスサブネットを示す設計情報を、該設計情報を識別するための識別情報に対応付けて記憶した設計情報記憶部と、
　前記スライス配備要求に含まれた、対象スライスの設計情報の識別情報、および、該対象スライスの設計情報を基にスライスサブネット構成要素を新規生成するか既存のスライスサブネット構成要素を流用するかの指示情報に基づいて、前記設計情報記憶部に記憶された前記対象スライスの設計情報を用いて、１つ以上のスライスサブネットが複数のスライスにより共有されるか否かを判断する共有判断部と、
　前記共有判断部により１つ以上のスライスサブネットが複数のスライスにより共有されると判断された場合に、共有されると判断されたスライスサブネットと同じスライスを構成する共有されないと判断されたスライスサブネットを、アクセス制御装置経由で前記ネットワークに接続されるよう接続変更するとともに、前記アクセス制御装置に、同じスライスを構成するスライスサブネット間のみで通信可能とする設定を投入するアクセス制御部と、
　を備える管理装置。
　前記共有判断部は、複数のスライス配備要求が受け付けられた時点で、１つ以上のスライスサブネットが複数のスライスにより共有されるか否かを判断する、
　請求項１に記載の管理装置。
　前記共有判断部は、一のスライス配備要求が受け付けられた時点で、１つ以上のスライスサブネットが複数のスライスにより共有されるか否かを判断する、
　請求項１に記載の管理装置。
　前記設計情報は、該設計情報を含んだスライス配備要求に係るスライスを構成する１つ以上のスライスサブネットが複数のスライスにより共有されるか否かを示す共有判別情報を含み、
　前記共有判断部は、前記共有判別情報に基づいて、１つ以上のスライスサブネットが複数のスライスにより共有されるか否かを判断する、
　請求項１～３の何れか一項に記載の管理装置。
　ネットワークインフラ上の仮想ネットワークであるスライスのスライス配備要求に基づいて、同じスライスを構成するスライスサブネット間で通信可能となるよう、ネットワークにスライスおよび該スライスを構成するスライスサブネットを配備するとともに、スライスを構成する１つ以上のスライスサブネットを示す設計情報を、該設計情報を識別するための識別情報に対応付けて予め記憶した管理装置、によって実行されるアクセス制御方法であって、
　前記スライス配備要求に含まれた、対象スライスの設計情報の識別情報、および、該対象スライスの設計情報を基にスライスサブネット構成要素を新規生成するか既存のスライスサブネット構成要素を流用するかの指示情報に基づいて、予め記憶された前記対象スライスの設計情報を用いて、１つ以上のスライスサブネットが複数のスライスにより共有されるか否かを判断するステップと、
　１つ以上のスライスサブネットが複数のスライスにより共有されると判断された場合に、共有されると判断されたスライスサブネットと同じスライスを構成する共有されないと判断されたスライスサブネットを、アクセス制御装置経由で前記ネットワークに接続されるよう接続変更するとともに、前記アクセス制御装置に、同じスライスを構成するスライスサブネット間のみで通信可能とする設定を投入するステップと、
　を備えるアクセス制御方法。