JP2019030015A

JP2019030015A - 通信システム、通信装置、通信方法、端末、プログラム

Info

Publication number: JP2019030015A
Application number: JP2018181136A
Authority: JP
Inventors: 理石井; Osamu Ishii; 英男長谷川; Hideo Hasegawa; 慎太郎中野; Shintaro Nakano
Original assignee: NEC Corp
Current assignee: NEC Corp
Priority date: 2015-07-17
Filing date: 2018-09-27
Publication date: 2019-02-21
Anticipated expiration: 2036-07-14
Also published as: JP7004383B2; JP6409974B2; US10313156B2; JPWO2017014163A1; US10764088B2; WO2017014163A1; US20190253275A1; US20190007236A1

Abstract

【課題】無線ＬＡＮ、インターネット等のＷＡＮを介してデータセンタに接続する端末とデータセンタ間のセキュアな通信を提供する。
【解決手段】端末が接続する無線ＬＡＮとの間に広域ネットワーク（ＷＡＮ）が介在するデータセンタは、前記端末との間を、前記無線ＬＡＮを介し前記広域ネットワーク経由のＶＰＮで接続するＶＰＮ装置（ＧＷ）と、コア網の機能を仮想化した仮想コア網（ｖＥＰＣ）と、を備え、前記ＶＰＮ装置は前記仮想コア網に接続され、前記端末は、前記ＶＰＮから前記ＶＰＮ装置及び前記仮想コア網を経由し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する。
【選択図】図２

Description

本発明は通信システム、装置、方法、端末、プログラムに関する。

（関連出願についての記載）
本発明は、日本国特許出願：特願２０１５−１４３４０４号（２０１５年７月１７日出願）の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
発展型パケットシステム（Evolved Packet System: EPS）は、3GPP（3^rd Generation Partnership Project）アクセスネットワークのほか、非3GPPアクセスネットワークを含む。3GPPアクセスネットワークはUTRAN(UMTS(Universal Mobile Telecommunications System) Terrestrial Radio Access Network)、E-UTRAN(Evolved UTRAN)、GERAN(GSM（登録商標）(Global system for mobile communications) EDGE Radio Access Network)等を含む。

非3GPPアクセスネットワークは、3GPPの範囲外の仕様のアクセス技術を用いたIP(Internet Protocol)アクセスネットワークであり、IEEE（The Institute of Electrical and Electronics Engineers, Inc.）802.11仕様で規定されるWi-Fi(登録商標: Wireless Fidelity)やIEEE802.16仕様で規定されるWiMAX(Worldwide Interoperability for Microwave Access)等の無線LAN（Wireless Local Area Network：WLAN）を含む。非3GPPアクセスについては例えば3GPP TS23.402: Architecture enhancements for non-3GPP accesses等を参照してもよい。

Wi-Fi（登録商標）-Callingは、通信キャリアによって提供されるサービスである。このサービスは、当該通信キャリアのSIM(Subscriber Identity Module)が挿入された端末（User Equipment :UE）でWi-Fi（登録商標）を経由して音声通話やショートメッセージサービス（Short Message Service: SMS）等を利用可能とする（非特許文献１参照）。端末がUMA（Unlicensed Mobile Access）技術を使ってWi-Fi（登録商標）経由で通信キャリアのセキュリティ・ゲートウェイに接続しSIM認証で認証されると、通信キャリアのコア網の交換機に接続し通話相手（固定電話、別の通信キャリアの加入端末等であってもよい）に接続される。また、端末がWi-Fi（登録商標）に接続しており且つWi-Fi（登録商標）-Callingがオンに設定されていれば、当該端末に対する着信を受けたセキュリティ・ゲートウェイはWi-Fi（登録商標）経由で当該端末を呼び出す。

図１は、非3GPPアクセスネットワークを含むEPSを説明する図である。スマートフォン等の端末（UE）１は、基地局（evolved NodeB：eNB）１０、発展型パケットコア（Evolved Packet Core: EPC）２０を介してパケットデータ網（Packet Data Network: PDN）３０に接続するか、あるいは、Wi-Fi（登録商標）等の無線LANアクセスポイント４１を介してインターネットに接続することができる。

EPC２０のMME（Mobility Management Entity）２３は、端末１の移動管理や認証、ユーザデータ転送経路の設定等の各種処理を行う。また、MME２３は、HSS（Home Subscriber Server：加入者プロファイルを保持）２４と連携してユーザの認証等を行う。MME２３はSGW（Serving Gateway）２１から基地局１０の区間（S1-U)のユーザデータ転送経路の設定・解放を行う。SGW２１は基地局１０との間でユーザデータの送受信を行い、PGW(Packet Data Network gateway)２２との間の通信経路の設定・解放を行う。PGW２２はIMS(IP Multimedia Subsystem)やインターネット等のパケットデータ網（PDN）３０と接続する。またPGW２２は端末１に対するIPアドレス(プライベートIPアドレス)の割当て等を行う。PCRF(Policy and Charging Rules Function)２６はQoS(Quality of Service)等のポリシ制御や課金制御ルールを決定する。PGW２２及びSGW２１はPCRF２６からの通知情報に基づき、例えばパケット単位にポリシ制御を行う。なお、図１において、各ノード間の線の符号S11等はインタフェースを表しており、破線はコントロールプレーン（C-Plane）、実線はユーザプレーン（U-Plane）の信号（データ）を表している。EPCの詳細は例えば3GPP TS 23.401：GPRS Enhancements for E-UTRAN Access等を参照してもよい。

Wi-Fi（登録商標）-Calling等において、端末１からの呼要求は無線LANアクセスポイント４１経由で、Un-Trusted Access（信頼できないアクセス）として、ePDG(evolved Packet Data Gateway)２７経由でPGW２２に接続され、PDN３０（例えばIMSサービス）に接続される。

ePDG２７は、モバイルインタフェース（SWu）からのIPsec(Security Architecture for Internet Protocol)接続を終端するIPsecゲートウェイである。端末（UE）１が、セキュリティ上信頼できない非3GPPアクセスに移行するか又は非3GPPアクセスに最初に接続するときに、端末１はePDG２７を検出し、ePDG２７との間での鍵交換（IKEv2）、及び、IPsecトンネルの確立を行い、確立したIPsecトンネル経由でPGW２２と、PDN（Packet Data Network）コネクションを確立する。端末１が、非3GPPアクセスネットワークにアクセスするには、認証を行う必要がある。ePDG２７は、端末１からのEAP(Extensible Authentication Protocol)メッセージを3GPP AAA(Authentication Authorization Accounting)サーバ２５に中継し、3GPP AAAサーバ２５は、EAP-SIM（Extensible Authentication Protocol-Subscriber Identity Module）認証又は、EAP-AKA（Extensible Authentication Protocol-Authentication and Key Agreement）認証を行う（例えば3GPP TS 33.402：Security aspects of non-3GPP accesses等を参照してもよい）。

ePDG２７は、S2bインタフェースにおいてPGW２２に向かってトンネル（プロキシモバイル(Proxy Mobile）IP 又はGTP(GPRS（General Packet Radio System） Tunneling Protocol)）を設定する（例えば3GPP TR 23.834: Study on GPRS Tunneling Protocol (GTP) based S2b等を参照してもよい）。

非3GPPアクセスがPMIPv6(Proxy Mobile IPv6)に対応している場合、ePDG２７はPGW２２にPMIPv6を介して接続できる。PGW２２とePDG２７間でプロキシモバイルIPを使用する場合、端末１とePDG２７との間でIPsecトンネルが確立されると、ePDG２７はプロキシバインディングアップデート（Proxy Binding Update）メッセージをPGW22に送信する。この結果、PGW２２において端末１へのデータの送信先はePDG２７に切り替えられる。なお、PMIPv6は、モビリティアンカ（LMA：Local Mobility Anchor）とモビリティアクセスゲートウェイ（MAG：Mobility Access Gateway）の間でデータ転送用のトンネル（GRE（Generic Routing Encapsulation）トンネル）を確立・解放するモビリティ制御プロトコルである（IETF(The Internet Engineering Task Force) RFC(Request For Comments) 5213等を参照してもよい）。LMAは端末が接続するMAGまでパケット転送を行う（通信経路を切り替えて端末宛てパケットを在圏エリアへ転送する）。端末があるMAGから異なるMAGに移動した場合、前にデータ転送用トンネルを確立したLMAと、端末が新たに接続するMAG間でデータ転送用のトンネルが張られる。

3GPP AAAサーバ２５は、ユーザからのネットワークアクセスの認証、認可、及びアカウンティングサービスを提供する。非3GPPアクセスの認可は、端末１と3GPP AAAサーバ２５、HSS２４間で行われる。例えば端末１がePDG２７との間でIPsecトンネルを確立すると、EAP−AKAに基づき、端末１とネットワーク間で相互の認証が行われる。3GPP AAAサーバに関して3GPP TS 29.273：Evolved Packet System (EPS);3GPP EPS AAA interfaces等を参照してもよい。

一方、端末１が、信頼できる（Trusted）非3GPPアクセス(図１の信頼できる無線LANアクセスポイント４２)に移行するか又は最初に接続するとき、MIP(Mobile IP)トンネル（S2a、DSMIPv6(Dual-Stack MIPv6)：IETF RFC 5555等を参照してもよい）を介して、直接、PGW２２に接続する。なお、ePDG、3GPP AAAサーバについては3GPP TS 29.273: Evolved Packet System (EPS); 3GPP EPS AAA interfaces等が参照してもよい。非3GPPアクセスネットワークが信頼できるアクセスネットワークであるか、信用できないアクセスネットワークであるかは、例えばHPLMN（Home Public Land Mobile Network）の通信キャリア（オペレータ）によって決定される。

IPSecは、ネットワーク層レベルでパケットの暗号化や認証を行うプロトコルである。AH(Authentication Header)はVPN(Virtual Private Network)の接続先、パケットの改竄の有無等の認証を行う（IETF RFC 2402等を参照してもよい）。ESP（Encapsulating Security Payload）はパケットの暗号化、認証（接続先・パケットの改竄）を行う（IETF RFC 2406参照）。IPSec通信には、トランスポートモード（IPsecが実装されたホスト間のIPsec）と、トンネルモード（IPsecが実装されたルータ等VPN装置間のIPsec）がある。トランスポートモードではパケットのレイヤ４以上のデータを暗号化し（図１０（Ｂ）参照）、元のIPヘッダ（Original IP header）に基づいてパケットが転送される。トンネルモードでは、パケットの元のIPヘッダ、データ部（図１０（Ａ））は暗号化され、新たなIPヘッダ（New IP header）が追加される（図１０（Ｃ）参照）。

ESPのパケット形式は、ESPヘッダ（ESP header）、ペイロード、ESPトレイラ（ESP Trailer）、認証データ（ESP Authentication Data）からなる（図１０（Ｂ）、（Ｃ）参照）。ESPヘッダ（ESP header）は、SPI(Security Parameter Index：そのデータグラムに対するSA（セキュリティアソシエーション）を一意に識別する32ビットの値)と、シーケンス番号（Sequence Number）(パケットのシーケンス番号：32ビット)を有する。ESPトレイラは、パディング（Padding）（ペイロード長調節用パディングフィールド）、パッド長（Pad length）（Paddingのバイト数）、次ヘッダ（Next Header）（ESPの後のプロトコル：TCP/UDP）からなる。認証データ（Authentication data）（HMAC (Hash-based Message Authentication Code)）は、ESP パケットから認証データを抜いたものから計算されたインテグリティチェック値（Integrity Check Value: ICV）を含む可変長フィールドである。

IPsec通信を行うためには、VPN装置間で、論理的なコネクションであるセキュリティアソシエーション（Security Association：SA)の確立が行われる。SAは一方向のトンネルであるため、パケットの送信と受信用に、２つのSAが設けられる。SAは、VPN通信を行うトラフィック毎に確立され、IPsecのパラメータ（セキュリティ情報）（例えばSPI(Security Parameter Index)、モード、プロトコル、暗号アルゴリズム、鍵、認証アルゴリズム、トンネルエンドポイントのIPアドレス等）からなる。

IKE(Internet Key Exchange)は、SA設定のための鍵交換プロトコルである（IKEv2について、例えばIETF RFC 4306等を参照してもよい）。ISAKMP（Internet Security Association and Key Management Protocol）_SA（Security Association）は、IKEの制御情報を暗号化し、ピア間で送受するためのSAである。

特許文献１には、通信回線網を介してデータセンタに接続するユーザ側システム内のルータと、データセンタ内の仮想ルータ間に、トンネルを張る構成が開示されている。

特許文献２には、ローカルネットワーク内での移動性を支援し、端末が外部ネットワークに移動した場合、セキュリティ及び認証を通じてローカルネットワークに接近できるので、サービスの連続的な提供を可能とした構成が開示されている。

国際公開第２０１３／１９０６８８号パンフレット特表２０１１−５０７４４９号公報

Next-generation Wi-Fi Calling Using IMS and 3GPP Wi-Fi Access、インターネット検索（2015年4月26日検索）＜URL：http://www.aptilo.com/wi-fi-calling/next-generation-wi-fi-calling-solution＞

データセンタ等と無線LAN（Local Area Network）間にはインターネット等の広域ネットワーク（Wide Area Network：WAN）が介在しているため、セキュアなコネクションを確立する必要がある。

したがって、本発明の目的は、無線LAN、インターネット等の広域ネットワーク（WAN）を介してデータセンタに接続する端末と、前記データセンタ間のセキュアな通信を提供可能とするシステム、方法、装置、プログラムを提供することにある。

本発明の１つの側面によれば、端末が接続する無線LAN（Local Area Network）との間に広域ネットワーク（Wide Area Network）が介在するデータセンタを備え、
前記データセンタが、
前記端末との間を、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)で接続するVPN装置と、
コア網の構成要素の少なくとも一部を仮想化した仮想コア網と、
を備え、
前記VPN装置は前記仮想コア網に接続され、
前記端末が、前記VPNから前記VPN装置及び前記仮想コア網を経由し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する、通信システムが提供される。

本発明の他の側面によれば、端末が接続する無線LAN（Local Area Network）との間に広域ネットワーク（Wide Area Network）が介在するデータセンタに配設される通信装置であって、前記端末と前記通信装置との間を、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)で接続するVPN装置を備え、
前記VPN装置は、前記データセンタ内においてコア網の構成要素の少なくとも一部を仮想化した仮想コア網に接続され、前記端末は、前記VPNから前記VPN装置及び前記仮想コア網を経由し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する、通信装置が提供される。

本発明のさらに他の側面によれば、端末が接続する無線LAN（Local Area Network）との間に広域ネットワーク（Wide Area Network）が介在するデータセンタと、前記端末との間を、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)で接続し、
前記データセンタ内で前記VPNを終端する装置は、前記データセンタ内において、コア網の構成要素の少なくとも一部を仮想化した仮想コア網に接続され、
前記端末は、前記VPNから前記仮想コア網を経由し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する、通信方法が提供される。

本発明のさらに別の側面によれば、無線LAN（Local Area Network）と広域ネットワーク（Wide Area Network）とを介してデータセンタに接続する端末であって、
前記データセンタとの間を、前記無線LAN及び前記広域ネットワーク経由のVPN(Virtual Private Network)で接続するVPN装置を備え、
前記VPN装置から前記VPNを介して、前記データセンタに設けられており、コア網の構成要素の少なくとも一部を仮想化した仮想コア網に接続し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する端末が提供される。

本発明の他の側面によれば、端末が接続する無線LAN（Local Area Network）との間に広域ネットワーク（Wide Area Network）が介在するデータセンタに配置されるコンピュータに、
前記端末と前記データセンタとの間に、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)を開設する処理と、
前記データセンタに設けられており、コア網の構成要素の少なくとも一部を仮想化した仮想コア網に、前記VPNを介して接続する前記端末を、前記仮想コア網が接続するパケットデータ網を介して接続先と通信させる処理と、を実行させるプログラムが提供される。

本発明のまたさらに他の側面によれば、無線LAN（Local Area Network）と広域ネットワーク（Wide Area Network）を介してデータセンタに接続する端末に含まれるコンピュータに、
前記データセンタと前記端末との間に、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)を開設する処理と、
前記VPNを介して、前記データセンタに設けられており、コア網の構成要素の少なくとも一部を仮想化した仮想コア網に接続し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する処理と、を実行させるプログラムが提供される。

本発明によれば、前記プログラムを記録したコンピュータ読み出し可能な記録媒体（半導体メモリやCD（Compact Disk）/DVD(Digital Versatile Disk)等のストレージ）が提供される。

本発明によれば、無線LAN、インターネット等の広域ネットワーク（WAN）を介してデータセンタに接続する端末と、前記データセンタ間のセキュアな通信を提供可能としている。

関連技術を例示する図である。本発明の一実施形態を例示する図である。（Ａ）は本発明の一実施形態を例示する図である。（Ｂ）はゲートウェイのVPN情報記憶部を例示する図である。（Ｃ）は、端末のVPN情報記憶部を例示する図である。本発明の一実施形態の動作を例示する図である。本発明の一実施形態を例示する図である。図５の一実施形態の動作を例示する図である。（Ａ）は本発明の他の実施形態を例示する図である。（Ｂ）は（Ａ）の端末を例示する図である。本発明の他の実施形態を例示する図である。仮想化装置の構成を例示する図である。（Ａ）はIPパケット、（Ｂ）はトランスモードのESPパケット、（Ｃ）はトンネルモードのESPパケット、（Ｄ）はUDPカプセル化、（Ｅ）はL2TP/IPsecのパケットを例示する図である。

本発明の例示的な実施形態について説明する。本発明によれば、クラウド事業者のデータセンタに仮想化コア網を配置した通信システムにおいて、非3GPPアクセスネットワークからのアクセスに対して、データセンタとの間で、セキュアなコネクション（音声通話/SMSやデータ通信）を実現する。

SDN(Software Defined Network)/NFV(Network Function Virtualization)では、個別に筐体を必要とする複数のネットワーク機器を、仮想化技術を利用してサーバ上に統合している。なお、NFVについては、ETSI GS NFV-MAN 001 V1.1.1 (2014-12)等を参照してもよい。

通信事業者のコア網である発展型パケットコア（EPC）等の仮想化が進んでいる。仮想化EPC（Virtualized EPC：vEPC）では、例えばSGW、PGW、MME、HSS、PCRF等のノードの少なくとも１つ又は全ての機能を仮想マシン上で動作するアプリケーションでソフトウェア的に実現している。例えば、クライアントにクラウドサービス（あるいはデータセンタサービス）を提供するクラウド事業者のデータセンタ(Data Center: DC)内に配設されている汎用サーバ等の上に仮想化EPC（Virtualized EPC）を実現することができる。

図２は、本発明の例示的な一実施形態を説明する図である。クラウド事業者のデータセンタを説明する図である。データセンタ５０内の仮想化EPC（vEPC）５２は、図１のEPC２０の少なくとも一部を仮想化したものである。すなわち、vEPC５２は図１のEPC２０のePDG2７、PGW２２、PCRF２６等、EPC２０の一部のノードの機能を仮想化したものであってもよい。

第１のゲートウェイ５１(Ingress gateway: GW1)は、インターネット等の広域ネットワーク（Wide Area Network；WAN）１（３１）と仮想化EPC（Virtual EPC:vEPC）５２を接続する。第２のゲートウェイ５３(Egress gateway: GW2)は、インターネットやIMS等のWAN２（３２）と、仮想化EPC５２とを接続する。また、端末１は設定切り替え等により、Wi-Fi（登録商標）等の無線LAN（Wireless LAN:WLAN）４０を介して、データセンタ５０にアクセスするようにしてもよい。

無線LAN（WLAN）４０は、家庭内無線LAN又は公衆無線LANであってよい。WLAN４０は、無線LANアクセスポイント（WLAN AP）４１、NAT（Network Address Transformation）/NAPT(Network Address Port Translation)を備えた無線LANルータ（不図示）等を含み、モデム（不図示）等を介して、WAN１（３１）に接続する。

端末１が、WLAN４０経由の音声通話を利用する場合（例えばWi-Fi（登録商標）-Calling）、WLAN４０、WAN１（３１）を介して、データセンタ５０の第１のゲートウェイ５１、vEPC５２、第２のゲートウェイ５３からWAN２（３２）に接続する接続先３３に通信接続する。

WAN２（３２）がIMS（IP(Internet Protocol）Multimedia Subsystem）の場合、例えば端末１から発信されたSIP（Session Initiation Protocol）メッセージは、第２のゲートウェイ５３に接続するプロキシ呼セッション制御機能P-CSCF（Proxy Call Session Control Function）から、IMSのホーム網側のサービング呼セッション制御機能S-CSCF（Serving Call Session Control Function）に送信されて分析され、着信側のS-CSCF又はメディアゲートウェイ制御機能MGCF（Media Gateway Control Function）にSIPメッセージを送信し、着信側のS-CSCFからインターネット又は他のIMSに接続する接続先３３、あるいは、MGW（Media Gateway）、T-SGW(Transport Signaling Gateway)から回線交換（Circuit Switched: CS）ドメイン等の接続先３３への通信サービスを提供する。以下の実施形態についても同様である。

図２において、データセンタ５０と無線LAN４０間には、インターネット等のWAN（Wide Area Network）３１が介在しているため、セキュアなコネクションを確立する必要がある。

上記したように、本実施形態によれば、クラウド事業者のデータセンタに仮想化コア網を配置した構成において、非3GPPアクセスネットワークからのアクセスに対してデータセンタとの間でセキュアなコネクション（音声通話/SMSやデータ通信）を実現する。

端末１が接続する無線LANアクセスポイント４１との間にWAN（３１）が介在するデータセンタ５０において、ゲートウェイ（例えば第１のゲートウェイ５１）と、端末１間に、VPNトンネルを張る。

この場合、第１のゲートウェイ５１には、VPN装置（VPNルータ等）が実装され、VPNゲートウェイとして機能する。端末１には、VPN装置が実装され、例えばVPNクライアントとして機能する。端末１では、WLAN４０を介してのデータセンタ５０との間のVPN接続の設定が行われる。VPN接続はトンネリングと暗号化を含む。ＷＡＮ１（３１）がインターネットの場合、このＶＰＮはいわゆるインターネットVPNである。

第１のゲートウェイ５１は、VPNゲートウェイとして、特に制限されるものではないが、例えば、
・VPNトンネルの確立、
・セキュリティパラメータのネゴシエーション、
・ユーザの認証、
・プライベートIPアドレスの割り当て、
・データの暗号化と復号化、
・セキュリティキーの管理、
・VPNトンネルを経由するデータ転送の管理、
・VPNトンネルのエンドポイントまたはルータとしての送受信データ伝送の管理
等を行う。

なお、プライベートIPアドレスの割り当て等は、第１のゲートウェイ５１で行わず、例えばvEPC５２内の不図示のPGW等で行うようにしてもよい。

VPNのトンネリングプロトコルは、PPTP（Point-to-Point Tunneling Protocol）、L2TP（Layer 2 Tunneling Protocol）、IPsec、GRE（Generic Route Encapsulation）があるが、暗号化を行うプロトコルはIPsecである。VPNトンネリングプロトコルとしてIPsecを用いる場合、前述したように、ESPプロトコルでカプセル化される。また、IPSec-SA設定のため、IKEプロトコルで鍵交換が行われる（IKEでは、UDP(User datagram Protocol)のポート500番を利用する）。

例えば無線LANルータ等は、複数の端末（VPNクライアント）が接続することから、端末のプライべートIPアドレスとグローバルIPアドレス、及びTCP(Transmission Control Protocol)/UDPヘッダのポート番号の変換を行うNAPT機能を備えている。

IPSecのトンネル・モードでは、IPへッダとデータ部分(図１０（Ａ）)をまとめて暗号化し、新たにIPへッダ（図１０（Ｃ）のNew IP Header）を再度つけ直して送信を行う(IETF RFC 4303)。NAPTでは、IPヘッダのIPアドレス欄とTCP/UDPヘッダのポート番号を変更する。ESPプロトコルでは、図１０（Ｃ）のように、IPヘッダの次にESPヘッダ（SPI、Serial Number）が配置され、ESPヘッダにはポート番号欄が存在しない。このため、アドレス変換のNAPTが機能しない。すなわち、図２の端末１と、第１のゲートウェイ５１間にNAPTが存在すると、IPsecを用いたVPNはNAPTによって成立しなくなる。

この場合、IPsec VPNを、NAPTに対応させるため、図１０（Ｄ）に示すように、ESPパケットにUDPヘッダを付加することで、NAT/NAPTを通過できるようにするUDPカプセル化（UDP Encapsulation of IPsec Packets）手法を用いてもよい。UDPカプセルの場合、図１０（Ｄ）において、最初のIPヘッダは転送用のIPヘッダであり、付加されたUDPヘッダの送信元、宛先ポート番号は、IKEで使用しているのと同じポート番号５００を使い、NAT/NAPTで変更されている場合、変更された番号をそのまま使用する。付加されたUDPヘッダチェックサム欄（checksum）は０とする。UDPヘッダに続くNon-IKE markerはIKEパケットと区別するための設定情報である（０が入る）。これは、追加されたUDPヘッダのポート番号はIKEパケットのポート番号と同じポート番号を使うため、IKEパケットでないことを示すためである。なお、IKEパケットでは、この部分にISAKMP_SAのネゴシエーションの開始側が生成するクッキー値とISAKMP_SAのネゴシエーションの応答側が生成するクッキー値が入る。

L2TPは、PPP(Point-to-Point Protocol)フレームをUDPでカプセル化することによってIPネットワーク上での交換を可能としLAC（L2TP Access Concentrator）とLNS(L2TP Network Server)の2拠点間でのVPNを実現させる。L2TP/IPsecは暗号化の仕組みを持たないL２TPにおいてIPsecにより暗号化を行うプロトコルである。L2TP/IPsecでは、最初IPSecによるコネクション（SA）を確立する。図１０（Ｅ）は、L2TP/IPsecのパケット形式を例示した図である。

なお、VPNトンネルを、NAT/NAPTに対応させるには、UDPカプセル化以外にも、IPアドレスやポート番号の変化を検出して自動的にNATを検出するNATトラバーサル手法を用いてもよい。

次に、VPNクライアント（端末１）とVPNゲートウェイ（GW５１）間でのIPsecを用いたVPNトンネルの設定の手順について説明する。

（１）IPsec通信による通信相手との間で設定した事前共通鍵（Pre-shared Key）から鍵作成情報を生成して交換し、IKE SA（ISAKMP SA）を確立し、鍵作成情報から鍵を作成する（IKEフェーズ１）。なお、VPNクライアント（端末１）とVPNゲートウェイ（GW５１）間で認証アルゴリズム、暗号アルゴリズム、事前共通鍵は同一とする。

（２）次に、データ通信用のIPsecトンネルを設定する。IKE SA上で通信を行い、データ通信用のSAを確立する。接続先と同じ認証アルゴリズムと鍵であれば、IPsec SAが確立する。IPsec SAで通信するための鍵を作成する（IKE フェーズ2）。なお、IPsecは一定時間で消滅する。IKE SAは、IPsec SAと比べ長時間保持される。

（３）次に、暗号化対象のデータに対して、暗号アルゴリズムとIPsec SAで作成した鍵を用いて暗号化、復号化を行う。暗号化されたデータはIPsec SAを転送される。なお、暗号アルゴリズムはDES（Data Encryption Standard）、３DES（Triple Data Encryption Standard）等が用いられ、認証アルゴリズムはMD5（Message Digest Five）や、SHA-1(Secure Hash Algorithm)。

図３（Ａ）は、端末１とデータセンタ５０のゲートウェイ５１のVPN装置に関する構成を例示した図である。ゲートウェイ５１のVPN装置５１１のVPN設定部５１２は、VPNの設定を制御し、設定情報をVPN情報記憶部５１３に記憶する。VPN通信制御部５１４はVPNトンネルの接続の制御（IKEフェーズ１、２）、暗号化、復号化によるVPNトンネル経由でのデータ通信の通信制御を行う。端末１も同様の構成とされる。

IPsecVPNの場合、ゲートウェイ５１においてVPNトンネルの設定を行う場合、VPN設定部５１２は、VPNを識別するVPN識別子（VPNトンネル識別子）、事前共通鍵（pre-shared key）、通信相手の識別（名前等）、認証アルゴリズム、暗号アルゴリズム、IKEのキープアライブ（VPN切断時、再接続する）の有無を設定する。さらに、経路情報として経路のネットワークアドレス（IPアドレス＋ネットマスク）を設定する。さらに、XAUTH（eXtended AUTHentication）によるユーザ認証の有無や、NATトラバーサルの有無を設定する。XAUTHはIKEフェーズ1（機器の認証）の後、VPNリモートクライアントとサーバ間でユーザ名、パスワードを暗号化して交換しユーザ認証を行う。

端末１のVPN装置１０１のVPN設定部１０２においても、VPNクライアントの設定として設定名、事前共通鍵（pre-shared key）、クライアント名、接続先ゲートウェイ（IPアドレス、又は名前）、認証アルゴリズム、暗号アルゴリズム、接続先ネットワーク、NATトラバーサルの有無等を設定する。

VPN情報記憶部５１３には、例えば
・IKEの暗号アルゴリズム(3DES-CBC（Cipher Block Chaining Mode）, DES-CBC, AES（Advanced Encryption Standard）-CBC)、
・IKEのハッシュアルゴリズム（MD5, SHA-1）、
・ESPのカプセル化（NATによるESPを通過できない環境化でIPsec通信を可能とするため、UDPでカプセル化して送信・受信する）、
・事前共有鍵（pre-shared-key）、
・SAのポリシ（例えば、ポリシ識別子（Policy_ID）、VPNゲートウェイの識別子（gatewaｙ）、認証ヘッダ（AH）、認証アルゴリズム、自装置側のネットワーク識別子、相手側のネットワーク識別子等）、
・トランスポートモードの定義（送信元ポートリスト、宛先ポートリスト）、
・NATトラバーサルの有無等
を含む（ただし、上記に制限されない）。これらの情報は、VPN設定部が入力するコマンドで設定するようにしてもよい。

図３（Ｂ）は、VPN設定部５１２で設定されVPN情報記憶部５１３に保存されたVPNの管理情報の一例を例示する図である。VPNには、VPN識別子が付与され、端末（ユーザ）毎に管理される。図３（Ｂ）において、接続相手IPアドレスはゲートウェイ５１等（DHCP（Dynamic Host Configuration Protocol）サーバ）で払い出したVPNクライアント（端末１）のプライベートIPアドレス（ローカルIPアドレス）である。端末ID/名前は、端末１のID（例えばIMSI(International Mobile Subscriber Identity)）やユーザIDであってもよい。装置アドレスはゲートウェイ５１（ルータ）のVPNトンネル側のIPアドレスである。接続ネットワークはVPN通信の送信先のネットワークであり、VPNトンネル側のネットワークアドレスである。図３（Ｂ）の例では、図３（Ａ）の端末１に割り当てられたIPアドレスを100.1.100.1とし、接続ネットワークを端末１に割り当てられたIPアドレスを100.1.100.1としている（ネットマスク：32）。データセンタ５０から端末１宛てのパケットはWAN1（３１）に接続する無線LANルータで経路探索され、該当するポートに接続する無線LANアクセスポイントを介して端末１に向けてVPNで送信される。VPNの管理情報として、端末１のIPアドレス、端末ID等以外に、例えば１つのＷLANに複数の無線LANアクセスポイントが含まれる場合、端末１の接続先の無線LANアクセスポイントの名前（Access Point Name: APN）、あるいは当該無線LANアクセスポイントが接続する無線LANルータのポート情報等を備えてもよい。なお、図３（Ｂ）に示したVPN情報は一例を示すものであり、かかる構成に制限されるものでないことは勿論である。

図３（Ｃ）は、VPNクライアントである端末１のVPN設定部１０２で設定されVPN情報記憶部１０３に保存されたVPNの管理情報の一例を例示する図である。接続先GW名前は、拠点のホスト名で指定してもよい（例えばデータセンタ５０のFQDN（Fully Qualified Domain Name）等）。接続ネットワークは、VPNクライアント（端末１）からのVPN通信の送信先のネットワークであり、ゲートウェイ５１のVPNトンネル側のネットワークアドレスである。接続ネットワークをゲートウェイ５１のVPN側のアドレス：100.1.1.0/24としている（ネットマスク：24）。

VPN通信制御部５１４、１０４は、VPNトンネルを終端し、セキュリティキーの管理やVPNトンネルを経由するデータ転送の管理、VPNトンネルのエンドポイントまたはルータとしての送受信データ伝送を制御し、データの暗号化とカプセル化によるパケット転送や、パケットのデカプセル化と復号化を行う。

なお、図３（Ｂ）、図３（Ｃ）では、IPv4（Internet Protocol Version 4）の例で説明しているが、IPv4に制限されるものでないことは勿論である。また、図３（Ｂ）、図３（Ｃ）のIPアドレスは架空のアドレスである。

また、図３では、VPNトンネルとしてIPsecトンネルを用いた例を説明したが、L2TP/IPsecを用いる場合、IPsecトンネル内にL2TPトンネルが配設される。L2TPトンネルの確立には、コネクション制御メッセージ及びセッション制御メッセージが用いられる。L2TP/IPsecによるVPNを構築する場合には、コネクション制御メッセージによってトンネルを作成したのち、セッション制御メッセージによってセッションを確立される。

上記したように、VPNは、端末単位（端末ID、共通アカウント）で割り振られる。図３(B)において、端末ID/名前の欄は、ユーザIDのほか、データセンタ５０のクラウド事業者がユーザに提供するユーザアカウント(例えば："aaa@example.com")であってもよい。すなわち、ゲートウェイ５１において、VPNの管理は、端末１（VPNクライアント）のIPアドレス以外にも、ユーザ固有の情報（ユーザアカウントあるいはWebメールアドレス等）を用いてもよい。

端末１が無線LANアクセスポイント４１に最初にアクセスすると、無線LANアクセスポイント４１は、端末１からのアクセス要求パケットを、メインとなるデータセンタ５０にWAN１（３１）を介して転送する。データセンタ５０のゲートウェイ５１は、端末１にIPアドレス（プライベートIPアドレス）を割り当て、VPNトンネル６０を張る。VPNトンネル６０をIPsecトンネルとする場合、前述したように、IKE SAの確立（IKEフェーズ）１、IPsec SAの確立（IKEフェーズ２）、IPsec SA上での暗号化通信が行われる。

図４は、図２の一実施形態のシステムにおいて、端末１のアタッチ処理とWAN2（３２）に接続する接続先３３に接続するシーケンスの一例を説明する図である。図４には、図２の端末１、WLAN４０（WLAN AP）、第１のゲートウェイ５１（GW1）、vEPC５２、第２のゲートウェイ５３（GW２）、WAN2（３２）側の接続先３３における動作シーケンスの一例が模式的に例示されている。各シーケンス動作に付した番号は説明のためのシーケンス番号である。

１．端末１は、無線LAN（WLAN）４０との間で接続を確立し、例えばvEPC５２内の不図示のHSS/AAAにより認証・認可（Authentication & Authorization）を行う。なお、図４の例では、第１のゲートウェイ５１（GW1）は、セキュリティ上信頼できない非3GPP無線アクセス（Untrusted Non-3GPP IP Access）である無線LAN（WLAN）４０を収容する場合に、端末１が接続するゲートウェイとして設定されているものとする。

２．端末１側から、第１のゲートウェイ（GW1）５１との間のIKE認証・トンネルセットアップ手順を実行する。これは、前述したIKEフェーズ１、２に対応する。IKEv2認証トンネルセットアップであってよい。

３． vEPC５２がSGWとPGWを含み、ベアラの設定が必要な場合、第１のゲートウェイ（GW1）５１は、vEPC５２に対して例えばベアラ設定要求（Create Session Request）を送信する。この場合、接続先のパケットデータ網に接続するPGWが選択され、SGWとPGW間のS８インタフェースにGTP（GPRS(General Packet Radio System) Tunneling Protocol）トンネルが張られる。

４． vEPC５２から第１のゲートウェイ（GW1）５１にベアラ設定応答（Create Session Response）が送信される。

５．以上で、IPsec VPNトンネルのセットアップが完了する。

６．第１のゲートウェイ（GW1）から、IKEv2メッセージで端末１に払い出されたIPアドレスが通知される。

７．端末１から第１のゲートウェイ（GW1）へのＩＰ接続はこの時点で設定される。以上がアタッチ処理のシーケンスに対応する。

８．端末１側からのWAN２（３２）側に接続先３３への接続要求を受けると、第１のゲートウェイ（GW1）５１から接続先（WAN2側）３３へのIPルーチングが行われる。

９．以上で、端末１からVPN、データセンタ５０のvEPC５２を介し、WAN２側の接続先３３との間の接続の設定が完了する。なお、WAN２（３２）側から端末１へのダウンリンク方向のパケットは、vEPC５２内のPGWが、PCRF等のポリシーに応じて、第１のゲートウェイ５１（GW1）に転送し、第１のゲートウェイ５１（GW1）からVPNトンネル６０を介して端末１に転送される。

図５は、前述した実施形態の一具体例を例示する図である。図５を参照すると、データセンタ５０のvEPC５２のePDG５２７と端末１間にIPsecトンネルが設定される。ePDG５２７は、VPNゲートウェイとして機能し、VPNトンネルを終端する。

ePDG５２７は、VPNゲートウェイとして機能し、
・VPN(IPsec)トンネルの確立、
・セキュリティパラメータのネゴシエーション、
・ユーザの認証、
・端末１へのプライベートIPアドレスの割り当て、
・データの暗号化と復号化、
・セキュリティキーの管理、
・VPNトンネルを経由するデータ転送の管理、
・VPNトンネルのエンドポイントとしての送受信データ伝送の管理を行う。なお、端末１へのプライベートIPアドレスの割り当ては、vEPC５２のPGW５２２で行うようにしてもよい。

端末１からIKEv2でEAPメッセージをePDG５２７に送信し、vEPC５２の3GPP AAAサーバ５２５に中継し、EAP-SIM/EAP-AKA認証を行う。vEPC５２のePDG５２７とPGW５２２間は、GTP又はPMIPv6トンネルで接続される。

vEPC５２において、PGW２２とePDG２７間でプロキシモバイルIP(PMIPv6トンネル)を使用する場合、端末１とvEPC５２のePDG２７との間でIPsecトンネルが確立されると、ePDG２７は、プロキシバインディングアップデート（Proxy Binding Update）をPGW22に送信する。この結果、vEPC５２のPGW２２では、端末１への着信の送信先を、vEPC５２のePDG２７に切り替え、VPNトンネル６０を介し、WLAN４０経由で、着信が端末１に通知される。

図５では、ePDG５２７、PGW５２２をvEPC５２で実装しているが、クラウド事業者がMVNO（Mobile Virtual Network Operator）として、MNO（Mobile Network Operator）のePDG２７、PGW２２（図１）を借り受けたものであってもよい。いずれの場合も、端末１からのWi-Fi（登録商標）-Callingは、クラウド事業者（MVNO）による通信サービスとして制御される。なお、また、SGW５２１は、不図示3GPPアクセスネットワークからのデータセンタ５０のアクセスに接続される。

図６は、図５のシステムにおいて、端末１のアタッチ処理とWAN2（３２）に接続する接続先３３に通信接続するシーケンスを説明する図である。図６には、図５の端末１、WLAN４０（WLAN AP）、ePDG５２７、PGW５２２、HSS５２４/AAAサーバ５２５、PCRF５２６、WAN2（３２）側の接続先３３における動作シーケンスの一例が例示されている。各シーケンス動作に付した番号は説明のためのシーケンス番号である。図６において、例えばePDG５２７を第１のゲートウェイ（GW1）、PGW５２２を第２のゲートウェイ（GW２）に置き換えると、図４を参照して説明した動作に、一部対応させることができる。

１．端末１は、無線LAN（WLAN）４０との間で接続を確立し、例えばvEPC５２内ののHSS524/AAA５２５により認証・認可（Authentication & Authorization）を行う。

２．端末１側から、ePDG５２７の間のIKEv2認証・トンネルセットアップ手順（IKEv2のフェーズ１、２等）を実行する。

３． ePDG５２７は、PGW５２２に対してProxy Binding Update（モバイルノードのホームネットワークプレフィクスと、モバイルノードが接続されているMAG（Mobile Access Gateway）との間のバインディングを確立するために、MAGによってLMA（Local Mobility Anchor）に送信される要求メッセージ）を送信する。

４． PGW５２２は、PCRF５２６と連携して、IP接続アクセスネットワーク（IP−CAN（Connection Access Network））セッションの確立手順を行う。

５． PGW５２２は、AAAサーバ５２５にPGWの識別情報（PGW ID）を通知し、AAAサーバ５２５は、HSS５２４に、PGW５２２のIDと、端末１に対応したAPN（Access Point Name）を通知して登録する。

６． PGW５２２はプロキシバインディングアップデート処理を行い、端末１に対応したバインディングキャッシュエントリを作成する。これにより、PGW５２２において、端末１宛てのパケットは、バインディングキャッシュエントリに保持された内容に従い、ePDG５２７に向けて送信されることになる。PGW５２２は、ePDG５２７に対してプロキシバインディング応答（Proxy Binding Ack）を送信する。

７．以上で、IPsec VPNトンネルのセットアップが完了する。

８． ePDG５２から端末１に対してIKEv2メッセージで、IPアドレスが通知される。

９．端末１からのIP接続のセットアップが完了する。端末１とePDG５２７間はIPsecトンネル、ePDG５２７とPGW５２２間は、PMIP（Proxy Mobile Internet Protocol）等のトンネルが張られる。以上がアタッチ処理のシーケンスに対応する。

１０．端末１側からのWAN２（３２）側に接続先３３への接続要求をePDG５２７からPMIPトンネルを介して受けると、PGW５２２から接続先（WAN2側）へのIPルーチングが行われる。この場合、端末１からのSIPメッセージが第２のゲートウェイ（GW2）５３を介してIMSのP-CSCFに送信され、S-CSCF、MGCF、あるいはMGW等を介して例えばPSTN（Public Switched Telephone Networks）の接続先３３に接続するようにしてもよい。あるいは、S-CSCFからインターネット又は他のIMSに接続する接続先３３に接続するようにしてもよい。なお、図６では、端末１はIMSに対して登録済みであるものとする。IMSのP-CSCFとPGW５２２（SGiインタフェース）はIPsec（VPN）で通信を行う。

１１．以上で、端末１からVPN、データセンタ５０のvEPC５２を介し、WAN２側の接続先３３との間の接続の設定が完了する。なお、WAN２（３２）側から端末１へのダウンリンク方向のパケットは、vEPC５２内のPGW５２２がバインディングキャッシュエントリに基づきePDG５２７にPIMPトンネルを介して転送し、ePDG５２７からVPNトンネル６０を介して端末１に転送される。

次に、図５のvEPC５２の構成例について説明する。図９は、図５のvEPC５２のノードの構成例を例示する図である。データセンタ５０内のサーバ５５上の仮想マシン（Virtual Machine: VM）５５１は仮想ネットワークインタフェースコントローラ（vNIC）５５５を介して仮想スイッチ（vSwitch）５５６の仮想ポート：Ａに接続し、仮想スイッチ（vSwitch）５５６の仮想ポート：Ｂから物理ＮＩＣ（pNIC）５５７を介して物理スイッチ（Physical Switch）５６の物理ポート：Ｃに接続され、物理スイッチ（Physical Switch）５６の物理ポート：Ｄを介して、データセンタ５０内のLAN等のネットワーク５７に接続される。仮想マシン５５１は、ゲストOS（Operating System）５５３と、アプリケーション５５２を備え、EPCのネットワークノードの機能の一部又は全て（例えば図５のePDG５２７の機能、あるいは他のノードの機能）を実現する。ネットワーク５７は、例えば図５のルータ５４に接続される。

仮想NIC（vNIC）、仮想スイッチ（vSwitch）等は、サーバ５５上の仮想化機構であるハイパーバイザ（Hypervisor）５５４によって提供される。なお、物理スイッチ５６をL2（Layer 2）スイッチで構成し、ネットワーク５７を、VLAN（Virtual LAN）等の仮想ネットワークで構成してもよい。図９では、ネットワーク機能の仮想化を管理統合するマネージャ等、NFV(Network Functions Virtualization)の管理ユニット(NFV Orchestrator (NFVO)、VNF（Virtualized Network Function） Manager等)は省略されている。

図７（Ａ）は、別の実施形態を説明する図である。無線LANアクセスポイント１（４１−１）にアクセスしていた端末１が、移動等でロケーションが変わった場合、無線LANアクセスポイント2（４１−２）にアクセスを切り替える。端末１が移動等により、端末１が現在帰属する無線LANアクセスポイント１（４１−１）の電波強度が低下して予め定められた閾値を下回り、一方、別の無線LANアクセスポイント２（４１−２）からの電波強度が前記閾値を上回っている場合、別の無線LANアクセスポイント２（４１−２）にハンドオーバする。ただし、無線LANアクセスポイント４１−１、４１−２のESSID（Extended Service Set Identifier：IEEE 802.11シリーズの無線LANにおけるネットワークの識別子）は同一とする。この場合、端末１は、無線LANアクセスポイントとゲートウェイ５１間のVPNトンネル６０−１の接続を解除して、無線LANアクセスポイント２（４１−２）とゲートウェイ５１間に新たにVPNトンネル６０−２を設定する。なお、無線LANアクセスポイント１（４１−１）から無線LANアクセスポイント2（４１−２）への接続先の切り替えは、端末１上で手動で行ってもよい。

あるいは、端末１が複数の無線LANアクセスポイントの圏内にいる場合、最も優先度の高い（例えば受信電波強度（Received Signal Strength Indicator：RSSI）や、端末側のポリシー設定等に基づく）無線LANアクセスポイントを選択するようにしてもよい。例えば、端末１において、無線ＬＡＮに接続するにあたり、電波強度が予め定められた閾値以上である無線LANアクセスポイントを探索し、探索の結果、候補となる無線アクセスポイントが１つ又は複数探索できた場合、最も高い電波強度の無線アクセスポイントを選択して接続する機能を備えてもよい。

端末１が無線ＬＡＮに接続するにあたり、無線ＬＡＮアクセスポイントを選択する以外にも、端末１が無線アクセスポイントに接続している場合、現在接続中の無線アクセスポイントの電波強度よりも良好な電波強度の無線LANアクセスポイントが探索できた場合、最も高い電波強度の無線アクセスポイントに接続を切り替え、現在接続中の無線アクセスポイントの電波強度よりも良好な電波強度の無線LANアクセスポイントを探索できなかった場合、もとの接続先の無線LANアクセスポイントとの接続を維持するようにしてもよい。

電波強度以外にも、端末１側でのポリシ設定等により、端末１側から接続先の無線LANアクセスポイントを選択するようにしてもよい、なお、端末１による無線LANアクセスポイントの選択にあたり、端末１は、探索（プローブパケットのブロードキャスト、応答パケットの受信）、認証、接続手順を行って、ハンドオフするようにしてもよい。

あるいは、不図示のANDSF（Access Network Discovery and Selection Function）サーバ（3GPP TS 23.402）から加入者端末に配布される、ANDI （Access Network Discovery Information）やISRP（Inter-System Routing Policy）を用いて無線LANアクセスポイントを選択するようにしてもよい。ANDIは無線LANアクセスポイントなどの位置情報と、接続に必要な認証情報である。ISRPは、IPアドレスやアプリケーション名、ドメイン名などで定義される通信に使用すべき無線アクセスネットワークを指定する通信制御ポリシである。

図７（Ｂ）は、端末１の構成を例示する図である。端末１において、VPN装置１０１は、図３（Ａ）のVPN装置１０１と同一である。無線LANアクセスポイント（WLAN AP）選択切替装置１０５は、WLAN AP接続制御部１０６、WLAN AP探索部１０７、WLAN AP認証制御部１０８を備えている。

無線LANアクセスポイント（WLAN AP）探索部１０７は無線LANアクセスポイントを探索する。WLAN AP探索部１０７は、上記したように、電波強度が予め定められた閾値以上である無線LANアクセスポイントを探索するようにしてもよい。WLAN AP接続制御部１０６は、無線LANアクセスポイントとの接続・切断を制御する。WLAN AP接続制御部１０６は、例えば図７（Ａ）のVPNトンネル６０−１の接続を解除し、VPNトンネル６０−２との接続を制御する。WLAN AP認証制御部１０８は無線LANアクセスポイントとの間で相互認証（authentication）を行う。WLAN AP認証制御部１０８で認証されると、WLAN AP接続制御部１０６は新たな無線LANアクセスポイントとの間でアソシエーション（Association）要求、応答を行う。なお、WLAN AP探索部１０７では、無線LANアクセスポイントからブロードキャストされるビーコン信号を受信してESSIDの確認を相互に行い、確認できた場合、WLAN AP認証制御部１０８による認証フェーズに移行するようにしてもよいし、あるいは、端末１からプローブリクエスト（ESSID）を送信し、無線LANアクセスポイントから応答が得られれば、WLAN AP認証制御部１０８による認証フェーズに移行してもよい。

端末１が接続する無線LANアクセスポイントが無線LANアクセスポイント４１−２に変更しても、WLANが同一である場合（ESSIDが同一）、データセンタ５０側では、VPNトンネル６０−２に関して、VPNトンネル６０−１と同一端末ID（ユーザアカウント）を用いて、VPNトンネルを張る。

すなわち、ゲートウェイ５１におけるVPN情報記憶部５１３（図３（Ａ））において、端末１と無線LANアクセスポイント４１−２を介した新たなVPNトンネル６０−２に関して、VPNの管理情報（図３（Ｂ）のVPN識別子等の情報）は、VPNトンネル６０−１と同一のものであってよい。なお、端末１におけるWLAN AP選択切替部１０５による無線LANハンドオーバ機能は、端末１側で当該機能を、オン又はオフに設定する構成としてもよい。この場合、例えば端末１のバッテリの消耗を回避するため、無線LANハンドオーバ機能をオフする選択が可能となる。

VPNトンネルの切り替え（VPNトンネル６０−１から６０−２への切り替え）は、端末１が無線LAN経由での通話中あるいは通話断中を問わない。

本発明のさらに別の実施形態を説明する。図８に示す実施形態では、一つの無線LANアクセスポイント４１に複数のクラウド事業者のデータセンタ５０のvEPC５２に対応の端末１−１、１−２、１−３がアクセスしている。

データセンタ５０では、端末１−１〜１−３毎、ユーザアカウント毎に、VPNを管理し、同時に複数のVPNトンネル６０−１〜６０−３を収容する。なお、端末１−１〜１−３の各々の構成、及び動作等については、前記実施形態と同様である。

１つの無線LANアクセスポイント４１に複数の端末が接続すると、複数の端末は電波を共有して通信することになり、複数（多数）の端末が１つの無線LANアクセスポイント４１にアクセスすると、各端末のスループット（単位時間あたりのデータ転送量等）が低下する。そこで、１つの無線LANアクセスポイント４１に複数の端末が接続し、アクセスが集中している場合、複数の端末の接続先を、アクセスが集中している無線アクセスポイントとは別の無線アクセスポイントに振り分け、負荷を分散させる制御を行う無線LANコントローラ（不図示）等を備えた構成としてもよい。

なお、上記の特許文献１、２、非特許文献１の開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素（各請求項の各要素、各実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。

上記した実施形態は以下のように付記される（ただし、以下に制限されない）。

(付記１）
端末が接続する無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）との間に広域ネットワーク（ＷｉｄｅＡｒｅａＮｅｔｗｏｒｋ）が介在するデータセンタを備え、
前記データセンタが、
前記端末との間を、前記無線ＬＡＮを介し前記広域ネットワーク経由のＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）で接続するＶＰＮ装置と、
コア網の構成要素の少なくとも一部を仮想化した仮想コア網と、
を備え、
前記ＶＰＮ装置は前記仮想コア網に接続され、
前記端末が、前記ＶＰＮから前記ＶＰＮ装置及び前記仮想コア網を経由し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する、通信システム。

(付記２）
前記端末が、前記パケットデータ網側からの前記端末への着呼又はデータを、前記データセンタの前記仮想コア網及び前記ＶＰＮ装置から前記ＶＰＮを介して受信する、付記１記載の通信システム。

(付記３）
前記データセンタの前記ＶＰＮ装置は、端末単位又は前記端末のユーザ単位に、前記端末との間の前記ＶＰＮを管理する、付記１又は２に記載の通信システム。

(付記４）
前記端末が、接続先を一の無線ＬＡＮアクセスポイントから別の無線ＬＡＮアクセスポイントに切り替える場合、前記端末と、前記データセンタの前記ＶＰＮ装置間の前記一の無線ＬＡＮアクセスポイントを介したＶＰＮトンネルを解除し、前記端末と前記データセンタの前記ＶＰＮ装置間で、前記別の無線ＬＡＮアクセスポイントを介したＶＰＮトンネルを張る、付記１乃至３のいずれか一に記載の通信システム。

(付記５）
前記端末が、接続先の無線ＬＡＮアクセスポイントを選択する手段を備えている、付記１乃至４のいずれか一に記載の通信システム。

(付記６）
一つの無線ＬＡＮアクセスポイントに接続する複数の端末と、前記データセンタの前記ＶＰＮ装置間を複数のＶＰＮで接続する、付記３記載の通信システム。

(付記７）
前記ＶＰＮ装置は、前記データセンタ内のゲートウェイ又は前記仮想コア網内の予め定められたノードに配設される、付記１乃至６のいずれか一に記載の通信システム。

(付記８）
端末が接続する無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）との間に広域ネットワーク（ＷｉｄｅＡｒｅａＮｅｔｗｏｒｋ）が介在するデータセンタに配設される通信装置であって、
前記端末と前記通信装置との間を、前記無線ＬＡＮを介し前記広域ネットワーク経由のＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）で接続するＶＰＮ装置を備え、
前記ＶＰＮ装置は、前記データセンタ内においてコア網の構成要素の少なくとも一部を仮想化した仮想コア網に接続され、
前記端末は、前記ＶＰＮから前記ＶＰＮ装置及び前記仮想コア網を経由し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する、通信装置。

(付記９）
前記ＶＰＮ装置は、端末単位又は前記端末のユーザ単位に、前記ＶＰＮを管理する、付記８記載の通信装置。

(付記１０）
前記端末が、前記パケットデータ網側からの前記端末への着呼又は前記端末宛てのデータを、前記データセンタの前記仮想コア網と前記ＶＰＮ装置、及び前記ＶＰＮを介して受信する、付記８記載の通信装置。

(付記１１）
端末が接続する無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）との間に広域ネットワーク（ＷｉｄｅＡｒｅａＮｅｔｗｏｒｋ）が介在するデータセンタと、前記端末との間を、前記無線ＬＡＮを介し前記広域ネットワーク経由のＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）で接続し、
前記データセンタ内で前記ＶＰＮを終端する装置は、前記データセンタ内において、コア網の構成要素の少なくとも一部を仮想化した仮想コア網に接続され、
前記端末は、前記ＶＰＮから前記仮想コア網を経由し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する、通信方法。

(付記１２）
前記端末が、前記パケットデータ網側からの前記端末への着呼又は前記端末宛てのデータを、前記仮想コア網と前記ＶＰＮを介して受信する、付記１１記載の通信方法。

(付記１３）
前記端末が、接続先を一の無線ＬＡＮアクセスポイントから別の無線ＬＡＮアクセスポイントに切り替える場合、前記端末と前記ＶＰＮ装置間の前記一の無線ＬＡＮアクセスポイントを介したＶＰＮトンネルを解除し、前記端末と前記ＶＰＮ装置間で、前記別の無線ＬＡＮアクセスポイントを介したＶＰＮトンネルを張る、付記１１又は１２に記載の通信方法。

(付記１４）
前記端末は、接続先の無線ＬＡＮアクセスポイントを選択する、付記１１乃至１３のいずれか一に記載の通信方法。

(付記１５）
端末単位又は前記端末のユーザ単位に、前記ＶＰＮを管理する、付記１１乃至１４のいずれか一に記載の通信方法。

(付記１６）
一つの無線ＬＡＮアクセスポイントに接続する複数の端末と、前記データセンタの前記ＶＰＮ装置間を所定のノード間を複数のＶＰＮで接続する、付記１５記載の通信方法。

(付記１７）
無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）と広域ネットワーク（ＷｉｄｅＡｒｅａＮｅｔｗｏｒｋ）とを介してデータセンタに接続する端末であって、
前記データセンタとの間を、前記無線ＬＡＮ及び前記広域ネットワーク経由のＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）で接続するＶＰＮ装置を備え、
前記ＶＰＮを介して、前記データセンタに設けられており、コア網の構成要素の少なくとも一部を仮想化した仮想コア網に接続し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する機能を備えた、端末。

(付記１８）
接続先を、一の無線ＬＡＮアクセスポイントから別の無線ＬＡＮアクセスポイントに切り替える場合、前記一の無線ＬＡＮアクセスポイントを介した元のＶＰＮトンネルを解除し、前記別の無線ＬＡＮアクセスポイントを介して、前記データセンタとの間のＶＰＮトンネルを張る、付記１７記載の端末。

(付記１９）
接続先の無線ＬＡＮアクセスポイントを選択する手段を備えた、付記１７又は１８記載の端末。

(付記２０）
前記パケットデータ網側からの前記端末への着呼又は前記端末宛てのデータを、前記仮想コア網と前記ＶＰＮを介して受信する機能を備えた付記１７乃至１９のいずれか一に、記載の端末。

(付記２１）
端末が接続する無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）との間に広域ネットワーク（ＷｉｄｅＡｒｅａＮｅｔｗｏｒｋ）が介在するデータセンタに配置されるコンピュータに、
前記端末と前記データセンタとの間に、前記無線ＬＡＮを介し前記広域ネットワーク経由のＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）を開設する処理と、
前記データセンタに設けられており、コア網の構成要素の少なくとも一部を仮想化した仮想コア網に、前記ＶＰＮを介して接続する前記端末を、前記仮想コア網が接続するパケットデータ網を介して接続先と通信させる処理と、
を実行させるプログラム。

(付記２２）
無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）と広域ネットワーク（ＷｉｄｅＡｒｅａＮｅｔｗｏｒｋ）を介してデータセンタに接続する端末に含まれるコンピュータに、
前記データセンタと前記端末との間に、前記無線ＬＡＮを介し前記広域ネットワーク経由のＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）を開設する処理と、
前記端末は、前記ＶＰＮを介して、前記データセンタに設けられており、コア網の構成要素の少なくとも一部を仮想化した仮想コア網に接続し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する処理と、
を実行させるプログラム。

１、１−１〜１−３端末（UE）
１０基地局（eNB）
２０ EPC
２１ SGW
２２ PGW
２３ MME
２４ HSS
２５ 3GPP AAA
２６ PCRF
２７ ePDG
３０ PDN
３１ WAN1
３２ WAN2
３３ WAN2側の接続先
４０ WLAN
４１、４２無線LANアクセスポイント（WLAN AP）
５０データセンタ（DC）
５１ゲートウェイ（GW）
５２仮想化EPC（vEPC）
５３ゲートウェイ
５４ルータ
５５サーバ
５６物理スイッチ
５７ネットワーク
６０、６０−１〜６０−３ VPNトンネル
１０１ VPN装置
１０２ VPN設定部
１０３ VPN情報記憶部
１０４ VPN通信制御部
１０５ WLAN AP選択切替部
１０６ WLAN AP接続制御部
１０７ WLAN AP探索部
１０８ WLAN AP認証制御部
５１１ VPN装置
５１２ VPN設定部
５１３ VPN情報記憶部
５１４ VPN通信制御部
５２１ SGW
５２２ PGW
５２４ HSS
５２５ AAA
５２６ PCRF
５２７ ePDG
５５１仮想マシン
５５２アプリケーション
５５３ OS
５５４ハイパーバイザ
５５５仮想NIC
５５６仮想スイッチ
５５７物理NIC

Claims

端末が接続する無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）との間に広域ネットワーク（ＷｉｄｅＡｒｅａＮｅｔｗｏｒｋ）が介在するデータセンタを備え、
前記データセンタが、
前記端末との間を、前記無線ＬＡＮを介し前記広域ネットワーク経由のＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）で接続するＶＰＮ装置と、
コア網の構成要素の少なくとも一部を仮想化した仮想コア網と、
を備え、
前記ＶＰＮ装置は前記仮想コア網に接続され、
前記端末が、前記ＶＰＮから前記ＶＰＮ装置及び前記仮想コア網を経由し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する、通信システム。
前記端末が、前記パケットデータ網側からの前記端末への着呼又はデータを、前記データセンタの前記仮想コア網及び前記ＶＰＮ装置から前記ＶＰＮを介して受信する、請求項１記載の通信システム。
前記データセンタの前記ＶＰＮ装置は、端末単位又は前記端末のユーザ単位に、前記端末との間の前記ＶＰＮを管理する、請求項１又は２に記載の通信システム。
前記端末が、接続先を一の無線ＬＡＮアクセスポイントから別の無線ＬＡＮアクセスポイントに切り替える場合、前記端末と前記データセンタの前記ＶＰＮ装置間の前記一の無線ＬＡＮアクセスポイントを介したＶＰＮトンネルを解除し、前記端末と前記データセンタの前記ＶＰＮ装置間で、前記別の無線ＬＡＮアクセスポイントを介した新たなＶＰＮトンネルを張る、請求項１乃至３のいずれか１項に記載の通信システム。
前記端末が、接続先の無線ＬＡＮアクセスポイントを選択する手段を備えている、請求項１乃至４のいずれか１項に記載の通信システム。
一つの無線ＬＡＮアクセスポイントに接続する複数の端末と、前記データセンタの前記ＶＰＮ装置間を複数のＶＰＮで接続する、請求項３記載の通信システム。
前記ＶＰＮ装置は、前記データセンタ内のゲートウェイ又は前記仮想コア網内の予め定められたノードに配設される、請求項１乃至６のいずれか１項に記載の通信システム。
端末が接続する無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）との間に広域ネットワーク（ＷｉｄｅＡｒｅａＮｅｔｗｏｒｋ）が介在するデータセンタに配設される通信装置であって、
前記端末との間を、前記無線ＬＡＮを介し前記広域ネットワーク経由のＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）で接続するＶＰＮ装置を備え、
前記ＶＰＮ装置は、前記データセンタ内においてコア網の構成要素の少なくとも一部を仮想化した仮想コア網に接続され、
前記端末は、前記ＶＰＮから前記ＶＰＮ装置及び前記仮想コア網を経由し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する、通信装置。
前記ＶＰＮ装置は、端末単位又は前記端末のユーザ単位に、前記ＶＰＮを管理する、請求項８記載の通信装置。
前記端末が、前記パケットデータ網側からの前記端末への着呼又は前記端末宛てのデータを、前記データセンタの前記仮想コア網と前記ＶＰＮ装置、及び前記ＶＰＮを介して受信する、請求項８記載の通信装置。
端末が接続する無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）との間に広域ネットワーク（ＷｉｄｅＡｒｅａＮｅｔｗｏｒｋ）が介在するデータセンタと、前記端末との間を、前記無線ＬＡＮを介し前記広域ネットワーク経由のＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）で接続し、
前記データセンタ内で前記ＶＰＮを終端するＶＰＮ装置は、前記データセンタ内において、コア網の構成要素の少なくとも一部を仮想化した仮想コア網に接続され、
前記端末は、前記ＶＰＮから前記データセンタ内の前記仮想コア網を経由し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する、通信方法。
前記端末が、前記パケットデータ網側からの前記端末への着呼又は前記端末宛てのデータを、前記データセンタ内の前記仮想コア網と前記ＶＰＮを介して受信する、請求項１１記載の通信方法。
前記端末が、接続先を一の無線ＬＡＮアクセスポイントから別の無線ＬＡＮアクセスポイントに切り替える場合、
前記端末と前記ＶＰＮ装置間の前記一の無線ＬＡＮアクセスポイントを介したＶＰＮトンネルを解除し、
前記端末と前記ＶＰＮ装置間で、前記別の無線ＬＡＮアクセスポイントを介した新たなＶＰＮトンネルを張る、請求項１１又は１２に記載の通信方法。
前記端末は、接続先の無線ＬＡＮアクセスポイントを選択する、請求項１１乃至１３のいずれか１項に記載の通信方法。
端末単位又は前記端末のユーザ単位に、前記ＶＰＮを管理する、請求項１１乃至１４のいずれか１項に記載の通信方法。
一つの無線ＬＡＮアクセスポイントに接続する複数の端末と、前記データセンタの前記ＶＰＮ装置間を複数のＶＰＮで接続する、請求項１５記載の通信方法。
無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）と広域ネットワーク（ＷｉｄｅＡｒｅａＮｅｔｗｏｒｋ）とを介してデータセンタに接続する端末であって、
前記データセンタとの間を、前記無線ＬＡＮ及び前記広域ネットワーク経由のＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）で接続するＶＰＮ装置を備え、
前記ＶＰＮを介して、前記データセンタに設けられており、コア網の構成要素の少なくとも一部を仮想化した仮想コア網に接続し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する機能を備えた、端末。
接続先を、一の無線ＬＡＮアクセスポイントから別の無線ＬＡＮアクセスポイントに切り替える場合、前記一の無線ＬＡＮアクセスポイントを介したＶＰＮトンネルを解除し、
前記データセンタとの間で、前記別の無線ＬＡＮアクセスポイントを介して新たなＶＰＮトンネルを張る、請求項１７記載の端末。
接続先の無線ＬＡＮアクセスポイントを選択する手段を備えた、請求項１７又は１８記載の端末。
前記パケットデータ網側からの前記端末への着呼又は前記端末宛てのデータを、前記仮想コア網と前記ＶＰＮを介して受信する機能を備えた、請求項１７乃至１９のいずれか１項に記載の端末。
端末が接続する無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）との間に広域ネットワーク（ＷｉｄｅＡｒｅａＮｅｔｗｏｒｋ）が介在するデータセンタに配置されるコンピュータに、
前記端末と前記データセンタとの間に、前記無線ＬＡＮを介し前記広域ネットワーク経由のＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）を開設する処理と、
前記データセンタに設けられており、コア網の構成要素の少なくとも一部を仮想化した仮想コア網に、前記ＶＰＮを介して接続する前記端末を、前記仮想コア網が接続するパケットデータ網を介して接続先と通信させる処理と、
を実行させるプログラム。
無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）と広域ネットワーク（ＷｉｄｅＡｒｅａＮｅｔｗｏｒｋ）を介してデータセンタに接続する端末に含まれるコンピュータに、
前記データセンタと前記端末との間に、前記無線ＬＡＮを介し前記広域ネットワーク経由のＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）を開設する処理と、
前記ＶＰＮを介して、前記データセンタに設けられており、コア網の構成要素の少なくとも一部を仮想化した仮想コア網に接続し、前記仮想コア網が接続するパケットデータ網を介して接続先と通信する処理と、
を実行させるプログラム。