JP6451850B2 - 通信システム、通信装置、通信方法、端末、プログラム - Google Patents

通信システム、通信装置、通信方法、端末、プログラム Download PDF

Info

Publication number
JP6451850B2
JP6451850B2 JP2017529865A JP2017529865A JP6451850B2 JP 6451850 B2 JP6451850 B2 JP 6451850B2 JP 2017529865 A JP2017529865 A JP 2017529865A JP 2017529865 A JP2017529865 A JP 2017529865A JP 6451850 B2 JP6451850 B2 JP 6451850B2
Authority
JP
Japan
Prior art keywords
terminal
area network
wide area
gateway
data center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017529865A
Other languages
English (en)
Other versions
JPWO2017014164A1 (ja
Inventor
理 石井
理 石井
英男 長谷川
英男 長谷川
慎太郎 中野
慎太郎 中野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2017014164A1 publication Critical patent/JPWO2017014164A1/ja
Application granted granted Critical
Publication of JP6451850B2 publication Critical patent/JP6451850B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

(関連出願についての記載)
本発明は、日本国特許出願:特願2015−143405号(2015年7月17日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は通信システム、装置、方法、端末、プログラムに関する。
発展型パケットシステム(Evolved Packet System: EPS)は、3GPP(3rd Generation Partnership Project)アクセスネットワークのほか、非3GPPアクセスネットワークを含む。3GPPアクセスネットワークはUTRAN(UMTS(Universal Mobile Telecommunications System) Terrestrial Radio Access Network)、E-UTRAN(Evolved UTRAN)、GERAN(GSM(登録商標)(Global system for mobile communications) EDGE Radio Access Network)等を含む。
非3GPPアクセスネットワークは、3GPPの範囲外の仕様のアクセス技術を用いたIP(Internet Protocol)アクセスネットワークであり、IEEE(The Institute of Electrical and Electronics Engineers, Inc.)802.11仕様で規定されるWi-Fi(登録商標: Wireless Fidelity)やIEEE802.16仕様で規定されるWiMAX(Worldwide Interoperability for Microwave Access)等の無線LAN(Wireless Local Area Network:WLAN)を含む。非3GPPアクセスについては例えば3GPP TS23.402: Architecture enhancements for non-3GPP accesses等を参照してもよい。
Wi-Fi(登録商標)-Callingは、通信キャリアによって提供されるサービスであるこのサービスは、当該通信キャリアのSIM(Subscriber Identity Module)が挿入された端末(User Equipment :UE)でWi-Fi(登録商標)を経由して音声通話やショートメッセージサービス(Short Message Service: SMS)等を利用可能とする(非特許文献1参照)。端末がUMA(Unlicensed Mobile Access)技術を使ってWi-Fi(登録商標)経由で通信キャリアのセキュリティ・ゲートウェイに接続しSIM認証で認証されると、通信キャリアのコア網の交換機に接続し通話相手(固定電話、別の通信キャリアの加入端末等であってもよい)に接続される。また、端末がWi-Fi(登録商標)に接続しており且つWi-Fi(登録商標)-Callingがオンに設定されていれば、当該端末に対する着信を受けたセキュリティ・ゲートウェイはWi-Fi(登録商標)経由で当該端末を呼び出す。
図1は、非3GPPアクセスネットワークを含むEPSを説明する図である。スマートフォン等の端末(UE)1は、基地局(evolved NodeB:eNB)10、発展型パケットコア(Evolved Packet Core: EPC)20を介してパケットデータ網(Packet Data Network: PDN)30に接続するか、あるいは、Wi-Fi(登録商標)等の無線LANアクセスポイント41を介してインターネットに接続することができる。
EPC20のMME(Mobility Management Entity)23は、端末1の移動管理や認証、ユーザデータ転送経路の設定等の各種処理を行う。また、MME23は、HSS(Home Subscriber Server:加入者プロファイルを保持)24と連携してユーザの認証等を行う。MME23はSGW(Serving Gateway)21から基地局10の区間(S1-U)のユーザデータ転送経路の設定・解放を行う。SGW21は基地局10との間でユーザデータの送受信を行い、PGW(Packet Data Network gateway)22との間の通信経路の設定・解放を行う。PGW22はIMS(IP Multimedia Subsystem)やインターネット等のパケットデータ網(PDN)30と接続する。またPGW22は端末1に対するIPアドレス(プライベートIPアドレス)の割当て等を行う。PCRF(Policy and Charging Rules Function)26はQoS(Quality of Service)等のポリシ制御や課金制御ルールを決定する。PGW22及びSGW21はPCRF26からの通知情報に基づき、例えばパケット単位にポリシ制御を行う。なお、図1において、各ノード間の線の符号S11等はインタフェースを表しており、破線はコントロールプレーン(C-Plane)、実線はユーザプレーン(U-Plane)の信号(データ)を表している。EPCの詳細は例えば3GPP TS 23.401:GPRS Enhancements for E-UTRAN Access等を参照してもよい。
Wi-Fi(登録商標)-Calling等において、端末1からの呼要求は無線LANアクセスポイント41経由で、Un-Trusted Access(信頼できないアクセス)として、ePDG(evolved Packet Data Gateway)27経由でPGW22に接続され、PDN30(例えばIMSサービス)に接続される。
ePDG27は、モバイルインタフェース(SWu)からのIPsec(Security Architecture for Internet Protocol)接続を終端するIPsecゲートウェイである。端末(UE)1が、セキュリティ上信頼できない非3GPPアクセスに移行するか又は非3GPPアクセスに最初に接続するときに、端末1はePDG27を検出し、ePDG27との間での鍵交換(IKEv2)、及び、IPsecトンネルの確立を行い、確立したIPsecトンネル越しに、PGW22と、PDN(Packet Data Network)コネクションを確立する。端末1が、非3GPPアクセスネットワークにアクセスするには、認証を行う必要がある。ePDG27は、端末1からのEAP(Extensible Authentication Protocol)メッセージを3GPP AAA(Authentication Authorization Accounting)サーバ25に中継し、3GPP AAAサーバ25は、EAP-SIM(Extensible Authentication Protocol-Subscriber Identity Module)認証又は、EAP-AKA(Extensible Authentication Protocol-Authentication and Key Agreement)認証を行う(例えば3GPP TS 33.402:Security aspects of non-3GPP accesses等を参照してもよい)。
ePDG27は、S2bインタフェースにおいてPGW22に向かってトンネル(プロキシモバイル(Proxy Mobile)IP 又はGTP(GPRS(General Packet Radio System) Tunneling Protocol))を設定する(例えば3GPP TR 23.834: Study on GPRS Tunneling Protocol (GTP) based S2b等を参照してもよい)。
非3GPPアクセスがPMIPv6(Proxy Mobile IPv6)に対応している場合、ePDG27はPGW22にPMIPv6を介して接続できる。PGW22とePDG27間でプロキシモバイルIPを使用する場合、端末1とePDG27との間でIPsecトンネルが確立されると、ePDG27はプロキシバインディングアップデート(Proxy Binding Update)メッセージをPGW22に送信する。この結果、PGW22において端末1へのデータの送信先はePDG27に切り替えられる。なお、PMIPv6は、モビリティアンカ(LMA:Local Mobility Anchor)とモビリティアクセスゲートウェイ(MAG:Mobility Access Gateway)の間でデータ転送用のトンネル(GRE(Generic Routing Encapsulation)トンネル)を確立・解放するモビリティ制御プロトコルである(IETF(The Internet Engineering Task Force) RFC(Request For Comments) 5213等を参照してもよい)。LMAは端末が接続するMAGまでパケット転送を行う(通信経路を切り替えて端末宛てパケットを在圏エリアへ転送する)。端末があるMAGから異なるMAGに移動した場合、前にデータ転送用トンネルを確立したLMAと、端末が新たに接続するMAG間でデータ転送用のトンネルが張られる。
3GPP AAAサーバ25は、ユーザからのネットワークアクセスの認証、認可、及びアカウンティングサービスを提供する。非3GPPアクセスの認可は、端末1と3GPP AAAサーバ25、HSS24間で行われる。例えば端末1がePDG27との間でIPsecトンネルを確立すると、EAP−AKAに基づき、端末1とネットワーク間で相互の認証が行われる。3GPP AAAサーバに関して3GPP TS 29.273:Evolved Packet System (EPS);3GPP EPS AAA interfaces等を参照してもよい。
一方、端末1が、信頼できる(Trusted)非3GPPアクセス(図1の信頼できる無線LANアクセスポイント42)に移行するか又は最初に接続するとき、MIP(Mobile IP)トンネル(S2a、DSMIPv6(Dual-Stack MIPv6):IETF RFC 5555等を参照してもよい)を介して、直接、PGW22に接続する。なお、ePDG、3GPP AAAサーバについては3GPP TS 29.273: Evolved Packet System (EPS); 3GPP EPS AAA interfaces等を参照してもよい。なお、非3GPPアクセスネットワークが信頼できるアクセスネットワークであるか、信用できないアクセスネットワークであるかは、例えばHPLMN(Home Public Land Mobile Network)の通信キャリア(オペレータ)によって決定される。
IPSecは、ネットワーク層レベルでパケットの暗号化や認証を行うプロトコルである。AH(Authentication Header)はVPN(Virtual Private Network)の接続先、パケットの改竄の有無等の認証を行う(IETF RFC 2402等を参照してもよい)。ESP(Encapsulating Security Payload)はパケットの暗号化、認証(接続先・パケットの改竄)を行う(IETF RFC 2406参照)。IPSec通信には、トランスポートモード(IPsecが実装されたホスト間のIPsec)と、トンネルモード(IPsecが実装されたルータ等VPN装置間のIPsec)がある。トランスポートモードではパケットのレイヤ4以上のデータを暗号化し(図11(B)参照)、元のIPヘッダ(Original IP header)に基づいてパケットが転送される。トンネルモードでは、パケットの元のIPヘッダ、データ部(図11(A))は暗号化され、新たなIPヘッダ(New IP header)が追加される(図11(C)参照)。
ESPのパケット形式は、ESPヘッダ(ESP header)、ペイロード、ESPトレイラ(ESP Trailer)、認証データ(ESP Authentication data)からなる(図11(B)、(C)参照)。ESPヘッダ(ESP header)は、SPI(Security Parameter Index:そのデータグラムに対するSA(セキュリティアソシエーション)を一意に識別する32ビットの値)と、シーケンス番号(Sequence Number)(パケットのシーケンス番号:32ビット)を有する。ESPトレイラは、パディング(Padding)(ペイロード長調節用パディングフィールド)、パッド長(Pad length)(Paddingのバイト数)、次ヘッダ(Next Header)(ESPの後のプロトコル:TCP/UDP)からなる。認証データ(Authentication data)(HMAC (Hash-based Message Authentication Code))は、ESP パケットから認証データを抜いたものから計算されたインテグリティチェック値(Integrity Check Value: ICV)を含む可変長フィールドである。
IPsec通信を行うためには、VPN装置間で、論理的なコネクションであるセキュリティアソシエーション(Security Association:SA)の確立が行われる。SAは一方向のトンネルであるため、パケットの送信と受信用に、2つのSAが設けられる。SAは、VPN通信を行うトラフィック毎に確立され、IPsecのパラメータ(セキュリティ情報)(例えばSPI(Security Parameter Index)、モード、プロトコル、暗号アルゴリズム、鍵、認証アルゴリズム、トンネルエンドポイントのIPアドレス等)からなる。
IKE(Internet Key Exchange)は、SA設定のための鍵交換プロトコルである(IKEv2について、例えばIETF RFC 4306等を参照してもよい)。ISAKMP(Internet Security Association and Key Management Protocol)_SA(Security Association)は、IKEの制御情報を暗号化し、ピア間で送受するためのSAである。
Next-generation Wi-Fi Calling Using IMS and 3GPP Wi-Fi Access、インターネット検索(2015年4月26日検索)<URL:http://www.aptilo.com/wi-fi-calling/next-generation-wi-fi-calling-solution>
データセンタ等と無線LAN(Local Area Network)間にはインターネット等の広域ネットワーク(Wide Area Network:WAN)が介在しているため、セキュアなコネクションを確立する必要がある。
通信キャリアが加入者に提供するフィルタリングサービス等は、例えば、該通信キャリアのパケットコア網(EPC)上等で提供される。端末(UE)が無線LAN接続に切り替えると、通信キャリアのパケットコア網(EPC)による制御ができなくなる場合がある。このため、端末が無線LANからインターネットに接続する場合、例えばペアレンタルコントロール(子供のインターネットの使いすぎや有害サイト、有害コンテンツからの保護)やアクセス拒否などの制御が十分に行えない場合が生じる。ペアレンタルコントロールに関して、例えば、子供(児童)向け端末として予めペアレンタルコントロール機能(例えば有害サイトのブロック、利用するアプリの制限、電話やメールの相手の制限、利用時間や通話時間を制限等)を具備した端末もあるが、具備されているペアレンタルコントロール機能以外の制限等については、保護者等が適宜、対策を講じる必要がある。また、ペアレンタルコントロール機能等を具備した、いわゆる子供向け端末以外の一般の端末を年少者が利用する場合もある。
したがって、本発明の目的は、無線LAN、インターネット等の広域ネットワーク(WAN)を介してデータセンタに接続する端末に対して必要な保護を提供するとともに、セキュアな通信を提供可能とするシステム、方法、装置、プログラムを提供することにある。
本発明の1つの側面によれば、端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタを備え、
前記データセンタが、
前記端末との間を、前記無線LANを介し前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する第1のゲートウェイと、
第2の広域ネットワークに接続する第2のゲートウェイと、
前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、
前記第1のゲートウェイと前記第2のゲートウェイ間に設けられ、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうち少なくとも一方のパケットのフィルタリングを行う機能ブロックと、
を備えた通信システムが提供される。
本発明の他の側面によれば、端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在する通信装置であって、
前記端末との間を、前記無線LANを介し前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する第1のゲートウェイと、
第2の広域ネットワークに接続する第2のゲートウェイと、
前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、
前記第1のゲートウェイと前記第2のゲートウェイ間に設けられ、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリング制御を行う機能ブロックと、を備えた通信装置が提供される。
本発明の他の側面によれば、端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタの第1のゲートウェイと前記端末との間を、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)で接続し、
前記端末から前記VPNを介して、前記データセンタに設けられた、仮想ネットワークから第2のゲートウェイを介して第2の広域ネットワークに接続し、
前記第1のゲートウェイと前記第2のゲートウェイ間に設けられた機能ブロックにて、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリングする、通信方法が提供される。
本発明のさらに別の側面によれば、
無線LANと第1の広域ネットワーク(WAN1)とを介してデータセンタに接続する端末であって、
前記データセンタとの間を、前記無線LAN及び前記広域ネットワーク経由のVPNで接続するVPN装置を備え、
前記VPNを介して、前記データセンタに設けられており、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワーク(WAN2)に接続し、
前記第2の広域ネットワーク(WAN2)側から前記データセンタ内に入力された前記端末への着呼又は前記端末宛てのデータのうち、前記データセンタ内でフィルタリングされた着呼又はデータを、前記VPNを介して、受信する機能を備えた端末が提供される。
本発明の他の側面によれば、端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタに配置されるコンピュータに、
前記端末と前記データセンタとの間に、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)を開設する処理と、
前記端末から前記VPNを介して、前記データセンタに設けられており、コアネットワークの構成要素の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続する処理と、
前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリングを行う処理と、を実行させるプログラムが提供される。
本発明のまたさらに他の側面によれば、無線LANと第1の広域ネットワーク(WAN1)を介してデータセンタに接続する端末に含まれるコンピュータに、
前記データセンタと前記端末との間に、前記無線LANを介し前記広域ネットワーク経由のVPNを開設する処理と、
前記VPNを介して、前記データセンタに設けられており、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワーク(WAN2)に接続する処理と、
前記第2の広域ネットワーク(WAN2)側から前記データセンタ内に入力された前記端末への着呼又は前記端末宛てのデータのうち、前記データセンタ内でフィルタリングされた着呼又はデータを、前記VPNを介して、受信する処理と、
を実行させるプログラムが提供される。
本発明によれば、前記プログラムを記録したコンピュータ読み出し可能な記録媒体(半導体メモリやCD(Compact Disk)/DVD(Digital Versatile Disk)等のストレージ)が提供される。
本発明によれば、無線LAN、インターネット等の広域ネットワーク(WAN)を介してデータセンタに接続する端末に対して必要な保護を提供するとともに、セキュアな通信を提供可能としている。
関連技術を例示する図である。 本発明の一実施形態を例示する図である。 (A)は本発明の一実施形態を例示する図である。(B)はゲートウェイのVPN情報記憶部を例示する図である。(C)は、端末のVPN情報記憶部を例示する図である。 本発明の一実施形態の動作を例示する図である。 (A)、(B)は、本発明の一実施形態の機能ブロックを例示する図である。 本発明の一実施形態を例示する図である。 図6の一実施形態の動作を例示する図である。 本発明の他の実施形態を例示する図である。 本発明の他の実施形態を例示する図である。 仮想化装置の構成を例示する図である。 (A)はIPパケット、(B)はトランスモードのESPパケット、(C)はトンネルモードのESPパケット、(D)はUDPカプセル化、(E)はL2TP/IPsecのパケットを例示する図である。
本発明の例示的な実施形態について説明する。本発明によれば、クラウド事業者のデータセンタに仮想化コア網を配置した通信システムにおいて、例えば無線LAN等、非3GPPアクセスネットワークからのアクセスによりデータセンタに接続する端末に対して必要な保護を提供するとともに、セキュアなコネクションを実現する。
ネットワーク機能をソフトウェア的に実現する手法が各種提案されている。例えばSDN(Software Defined Network)/NFV(Network Function Virtualization)等では、個別に筐体を必要とする複数のネットワーク機器を、仮想化技術を利用してサーバ上に統合している。なお、NFVについては、ETSI GS NFV-MAN 001 V1.1.1 (2014-12)等を参照してもよい。通信事業者のコア網である発展型パケットコア(EPC)等の仮想化が進んでいる。
仮想化EPC(Virtualized EPC:vEPC)では、例えばSGW、PGW、MME、HSS、PCRF等のノードの少なくとも1つ又は全ての機能を仮想マシン上で動作するアプリケーションでソフトウェア的に実現している。例えば、クライアントにクラウドサービス(あるいはデータセンタサービス)を提供するクラウド事業者のデータセンタ(Data Center: DC)内に配設されている汎用サーバ等の上に仮想化EPC(Virtualized EPC)を実現することができる。
図2は、本発明の例示的な一実施形態を説明する図である。データセンタ50内の仮想化EPC(vEPC)52は、図1のEPC20の少なくとも一部を仮想化したものである。vEPC52は図1のEPC20のePDG27、PGW22、PCRF26等、EPC20の一部のノードの機能を仮想化したものであってもよい。
第1のゲートウェイ51(GW1)は、インターネット等の広域ネットワーク(Wide Area Network;WAN)1(31)とvEPC52を接続する。第2のゲートウェイ(GW2)53は、インターネットやIMS等のWAN2(32)と、vEPC52とを接続する。
本実施形態においては、データセンタ50において、第1のゲートウェイ51と第2のゲートウェイ53間のネットワーク(仮想ネットワーク)55上に、パケットフィルタリング又はデータ圧縮等を行う機能ブロック(Function Block: FB)54を備えている。
機能ブロック(Function Block: FB)54は、ユーザ(端末1:加入者)毎に割り振りが可能とされている。特に制限されるものではないが、例えば、vEPC52のPCRF(不図示)がSPR(Subscriber Profile Repository)(不図示)等から取得した端末1のサービス契約情報等や、vEPC52のPGW(不図示)等で当該端末1に割り当てたプライベートIPアドレス等に基づき、データセンタ50にアクセスしてきた端末1に対して、端末1毎に、機能ブロック(FB)54を割り振るようにしてもよい。
また、特に制限されるものではないが、機能ブロック(FB)54は、第1のゲートウェイ(GW1)51と第2のゲートウェイ(GW2)53間に接続されたサーバ上で稼働する仮想マシン(Virtual Machine)として実装するようにしてもよい。この場合、例えば、端末1(加入者)からの接続要求等により、端末1の加入者情報やサービス契約情報等に基づき、端末1(加入者)に割り振られた機能ブロック(FB)54が起動され、端末1(加入者)からの接続終了等に応答して、機能ブロック(FB)54が終了する構成としてもよい。
端末1に対応して起動された機能ブロック(FB)54は、WAN2(32)側から第2のゲートウェイ(GW2)53に入力されたパケット(ダウンリンク)のフィルタリング制御を行う。また、機能ブロック(FB)54は、端末1からWAN1(31)を介してデータセンタ50に入力され、WAN2(32)側へのパケット(アップリンク)のフィルタリング制御を行うようにしてもよい。なお、機能ブロック(FB)54は、第1のゲートウェイ(GW1)51と第2のゲートウェイ(GW2)53の中間に配置される構成に限定されるものでなく、例えば、第1のゲートウェイ(GW1)51と第2のゲートウェイ(GW2)53の少なくとも一方を構成するサーバ等の上に実装するようにしてもよい。
端末1は、WLAN40を経由して、WAN1(31)、データセンタ50の第1のゲートウェイ51、vEPC52、第2のゲートウェイ53からWAN2(32)に接続する。なお、図2において、WLAN40は、家庭内無線LAN又は公衆無線LANであってよい。WLAN40は、無線LANアクセスポイント(WLAN AP)41と、NAT(Network Address Transformation)/NAPT(Network Address Port Translation)を備えた無線LANルータ(不図示)等を含み、モデム(不図示)等を介してWAN1(31)に接続する。
なお、本実施形態では、端末1が無線LAN40、WAN1(31)を介してデータセンタ50に接続する接続形態を説明するために、端末1の接続先を無線LANアクセスポイント(WLAN AP)41としているが、端末1は、接続先を3GPPアクセスネットワーク(例えば図1のeNB10)に切り替え、パケットコア網(図1のEPC20)を介して、WAN1(31)に接続しデータセンタ50に接続するようにしてもよいことは勿論である。
データセンタ50のゲートウェイ装置(GW)(例えば51)と、端末1間に、VPNトンネルを張る。ゲートウェイ51には、VPN装置(VPNルータ)が実装され、VPNゲートウェイとして機能する。端末1には、VPN装置が実装され、VPNクライアントとして機能する。端末1では、WLAN40を介してのデータセンタ50との間のVPN接続の設定が行われる。VPN接続はトンネリングと暗号化を含む。WAN1(31)がインターネットの場合、このVPNはいわゆるインターネットVPNである。
図2において、端末1に音声通話、SMS等のサービスを提供する場合には、データセンタ50において、例えば、第1のゲートウェイ(GW1)51、vEPC52、と第2のゲートウェイ(GW2)53を経由としてWAN2(32)を介して、音声通話やSMSのメッセージ通信の相手端末と接続する。一方、端末1とWAN2(32)間のデータ通信用のパケット(トラフィック)は、データセンタ50において、vEPC52を経由せずに、第1のゲートウェイ(GW1)51と第2のゲートウェイ(GW2)53間の仮想ネットワーク55にオフロードするようにしてもよい。
また、図2において、データセンタ50の第1のゲートウェイ(GW1)51と第2のゲートウェイ(GW2)53間の仮想ネットワーク55上に、例えば音声パケットを転送するようにしてもよいことは勿論である。また、端末1とWAN2(32)間のデータパケット(データ通信)を、データセンタ50のvEPC52を経由して、転送するようにしてもよいことは勿論である。
データセンタ50内の機能ブロック54は、パケットのヘッダ情報(アドレス、ポート番号、プロトコル等)で許可/拒否するパケットフィルタ型のファイアウォールとして構成してもよい。ただし、かかる構成に限定されるものでなく、HTTP(Hypertext Transfer Protocol)やFTP(File Transfer Protocol)など、アプリケーション層(第7層)でのフィルタリングを行うアプリケーションゲートウェイ(端末からの接続はプロキシ(=ファイアウォール)で確立されプロキシと目的の接続先へ再度、コネクションが確立される)、パケットのヘッダ情報(アドレス、ポート番号・プロトコル等)をもとにセッションテーブルを作成し、通信の方向と状態(ステート)に基づき通信を制御するステートフルインスペクション機能を備えてもよいことは勿論である。アプリケーションゲートウェイ型では、特定のWebサイトでWebの閲覧を制限できる。
なお、無線LAN/3GPPアクセスネットワークに接続する端末1には、プライベートIPアドレスが付与され、NAT/NAPTでアドレス/ポート番号が変換されるため、WAN(WAN2)には、プライベートIPアドレスをヘッダの宛先、送信元とするパケットは流れない。IPアドレス スプーフィング(なりすまし)を遮断するため、機能ブロック54は、プライベートIPアドレスを宛先とするパケットを拒否する設定を行うようにしてもよい。
WAN2(32)がIMS(IP (Internet Protocol) Multimedia Sub-system)の場合、例えば端末1から発信されたSIP(Session Initiation Protocol)メッセージは、第2のゲートウェイ53に接続するプロキシセッション制御機能P-CSCF(Proxy Call Session Control Function)から、IMSのホーム網側のサービングセッション制御機能S-CSCF(Serving Call Session Control Function)に送信されて分析され、着信側のS-CSCF又はメディアゲートウェイ制御機能MGCF(Media Gateway Control Function)にSIPメッセージを送信し、着信側のS-CSCFからインターネット又は他のIMS、あるいは、IP網と既存の電話網の間のMGW(Media Gateway)、回線交換(Circuit Switched: CS)網とIP網間にあり、SS7共通線信号網からの呼制御信号を終端し、IP網上の呼制御信号に変換するSignaling Gatewayから、回線交換(CS)ドメイン等に通信サービスを提供する。
あるいは、データセンタ50において、IMS機能の少なくとも一部を、仮想化ネットワーク55上に実装してもよい。例えばSIPサーバ(例えばP-CSCF)等の機能を仮想ネットワーク55上に実装し、機能ブロック(FB)54を、仮想マシン上で動作させ、音声の内容を解析して遮断するコンテンツフィルタリングや、不適当な番号からの着信を禁止する着信拒否リストを備えた構成としてもよい。なお、コンテンツフィルタリングや、不適当な番号からの着信を禁止する着信拒否リストを備えた制御装置を、仮想マシンとしてではなく、実機として、第1のゲートウェイ(GW1)51と第2のゲートウェイ(GW2)53との間に接続する構成としてもよいことは勿論である。
第1のゲートウェイ(GW1)51は、VPNゲートウェイとして、特に制限されるものではないが、例えば、
・端末1との間で、無線LAN、WAN1を経由したVPNトンネルの確立、
・セキュリティパラメータのネゴシエーション、
・ユーザの認証、
・プライベートIPアドレスの割り当て、
・データの暗号化と復号化、
・セキュリティキーの管理、
・VPNトンネルを経由するデータ転送の管理、
・VPNトンネルのエンドポイントまたはルータとしての送受信データ伝送の管理、
等を行う。
なお、プライベートIPアドレスの割り当て等は、第1のゲートウェイ(GW1)51で行わず、vEPC52内のPGW等で行うようにしてもよい。
VPNのトンネリングプロトコルは、PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、IPsec、GRE(Generic Route Encapsulation)があるが、暗号化を行うプロトコルはIPsecである。VPNトンネリングプロトコルとしてIPsecを用いる場合、前述したように、ESPプロトコルでカプセル化される。また、IPSec-SA設定のため、IKEプロトコルで鍵交換が行われる(IKEでは、UDP(User Datagram Protocol)のポート500番を利用する)。
例えば無線LANルータ等は、複数の端末(VPNクライアント)が接続することから、端末のプライべートIPアドレスとグローバルIPアドレス、及びTCP(Transmission Control Protocol)/UDPヘッダのポート番号の変換を行うNAPT機能を備えている。
IPSecのトンネル・モードでは、IPへッダとデータ部分(図11(A))をまとめて暗号化し、新たにIPへッダ(図11(C)のNew IP Header)を再度つけ直して送信を行う(IETF RFC 4303)。NAPTでは、IPヘッダのIPアドレス欄とTCP/UDPヘッダのポート番号を変更する。ESPプロトコルでは、図11(C)のように、IPヘッダの次にESPヘッダ(SPI、Serial Number)が配置され、ESPヘッダにはポート番号欄が存在しない。このため、アドレス変換のNAPTが機能しない。すなわち、図2の端末1と第1のゲートウェイ(GW1)51間にNAPTが存在すると、IPsecを用いたVPNはNAPTによって成立しなくなる。
この場合、IPsec VPNを、NAPTに対応させるため、図11(D)に示すように、ESPパケットにUDPヘッダを付加することで、NAT/NAPTを通過できるようにするUDPカプセル化(UDP Encapsulation of IPsec Packets)手法を用いてもよい。UDPカプセルの場合、図11(D)において、最初のIPヘッダは転送用のIPヘッダであり、付加されたUDPヘッダの送信元、宛先ポート番号は、IKEで使用しているのと同じポート番号500を使い、NAT/NAPTで変更されている場合、変更された番号をそのまま使用する。付加されたUDPヘッダチェックサム欄(checksum)は0とする。UDPヘッダに続くNon-IKE markerはIKEパケットと区別するための設定情報である(0が入る)。これは、追加されたUDPヘッダのポート番号はIKEパケットのポート番号と同じポート番号を使うため、IKEパケットでないことを示すためである。なお、IKEパケットでは、この部分に、ISAKMP_SAのネゴシエーションの開始側が生成するクッキー値とISAKMP_SAのネゴシエーションの応答側が生成するクッキー値が入る。
L2TPは、PPP(Point-to-Point Protocol)フレームをUDPでカプセル化することによってIPネットワーク上での交換を可能としLAC(L2TP Access Concentrator)とLNS(L2TP Network Server)の2拠点間でのVPNを実現させる。L2TP/IPsecは暗号化の仕組みを持たないL2TPにおいてIPsecにより暗号化を行うプロトコルである。L2TP/IPsecでは、最初IPSecによるコネクション(SA)を確立する 。図11(E)は、L2TP/IPsecのパケット形式を例示した図である。
なお、VPNトンネルを、NAT/NAPTに対応させるには、UDPカプセル化以外にも、IPアドレスやポート番号の変化を検出して自動的にNATを検出するNATトラバーサル手法を用いてもよい。
次に、VPNクライアント(端末1)とVPNゲートウェイ(GW51)間でのIPsecを用いたVPNトンネルの設定の手順について説明する。
(1)IPsec通信による通信相手との間で設定した事前共通鍵(Pre-shared Key)から鍵作成情報を生成して交換し、IKE SA(ISAKMP SA)を確立し、鍵作成情報から鍵を作成する(IKEフェーズ1)。なお、VPNクライアント(端末1)とVPNゲートウェイ(GW51)間で認証アルゴリズム、暗号アルゴリズム、事前共通鍵は同一とする。
(2)次に、データ通信用のIPsecトンネルを設定する。IKE SA上で通信を行い、データ通信用のSAを確立する。接続先と同じ認証アルゴリズムと鍵であれば、IPsec SAが確立する。IPsec SAで通信するための鍵を作成する(IKE フェーズ2)。なお、IPsecは一定時間で消滅する。IKE SAは、IPsec SAと比べ長時間保持される。
(3)次に、暗号化対象のデータに対して、暗号アルゴリズムとIPsec SAで作成した鍵を用いて暗号化、復号化を行う。暗号化されたデータはIPsec SAを転送される。なお、暗号アルゴリズムはDES(Data Encryption Standard)、3DES(Triple Data Encryption Standard)等が用いられ、認証アルゴリズムはMD5(Message Digest Five)や、SHA-1(Secure Hash Algorithm)。
図3(A)は、端末1と、データセンタ50の第1のゲートウェイ(GW1)51のVPN装置に関する構成を例示した図である。第1のゲートウェイ51のVPN装置511のVPN設定部512は、VPNの設定を制御し、設定情報をVPN情報記憶部513に記憶する。VPN通信制御部514はVPNトンネルの接続の制御(IKEフェーズ1、2)、暗号化、復号化によるVPNトンネル経由でのデータ通信の通信制御を行う。端末1も同様の構成とされる。
IPsecVPNの場合、第1のゲートウェイ51においてVPNトンネルの設定を行う場合、VPN設定部512は、VPNを識別するVPN識別子(VPNトンネル識別子)、事前共通鍵(pre-shared key)、通信相手の識別(名前等)、認証アルゴリズム、暗号アルゴリズム、IKEのキープアライブ(VPN切断時、再接続する)の有無を設定する。さらに、経路情報として経路のネットワークアドレス(IPアドレス+ネットマスク)を設定する。さらに、XAUTH(eXtended AUTHentication)によるユーザ認証の有無や、NATトラバーサルの有無を設定する。XAUTHはIKEフェーズ1(機器の認証)の後、VPNリモートクライアントとサーバ間でユーザ名、パスワードを暗号化して交換しユーザ認証を行う。
端末1のVPN装置101のVPN設定部102においても、VPNクライアントの設定として設定名、事前共通鍵(pre-shared key)、クライアント名、接続先ゲートウェイ(IPアドレス、又は名前)、認証アルゴリズム、暗号アルゴリズム、接続先ネットワーク、NATトラバーサルの有無等を設定する。
VPN情報記憶部513には、例えば、
・IKEの暗号アルゴリズム(3DES-CBC(Cipher Block Chaining Mode)、 DES-CBC、 AES(Advanced Encryption Standard)-CBC)、
・IKEのハッシュアルゴリズム(MD5、SHA-1)、
・ESPのカプセル化(NATによるESPを通過できない環境化でIPsec通信を可能とするため、UDPでカプセル化して送信・受信する)、
・事前共有鍵(pre-shared-key)、
・SAのポリシ(例えば、ポリシ識別子(Policy_ID)、VPNゲートウェイの識別子(gateway)、認証ヘッダ(AH)、認証アルゴリズム、自装置側のネットワーク識別子、相手側のネットワーク識別子等)、
・トランスポートモードの定義(送信元ポートリスト、宛先ポートリスト)、
・NATトラバーサルの有無
等の少なくともいずれかが記憶される(ただし、上記に限定されない)。これらの情報は、VPN設定部が入力するコマンドで設定するようにしてもよい。
図3(B)は、VPN設定部512で設定されVPN情報記憶部513に保存されたVPNの管理情報の一例を例示する図である。VPNには、VPN識別子が付与され、端末(ユーザ)毎に管理される。図3(B)において、接続相手IPアドレスは第1のゲートウェイ51等(DHCPサーバ)で払い出したVPNクライアント(端末1)のプライベートIPアドレス(ローカルIPアドレス)である。端末ID/接続先の名前は、端末1のID(例えばIMSI(International Mobile Subscriber Identity))やユーザIDであってもよい。装置アドレスは第1のゲートウェイ51(ルータ)のVPNトンネル側のIPアドレスである。接続ネットワークはVPN通信の送信先のネットワークであり、VPNトンネル側のネットワークアドレスである。図3(B)の例では、図3(A)の端末1に割り当てられたIPアドレスを100.1.100.1とし、接続ネットワークを端末1に割り当てられたIPアドレスを100.1.100.1としている(ネットマスク:32)。データセンタ50から端末1宛てのパケットはWAN1(31)に接続する無線LANルータで経路探索され、該当するポートに接続する無線LANアクセスポイントを介して端末1に向けてVPNで送信される。VPNの管理情報として、端末1のIPアドレス、端末ID等以外に、例えば1つのWLANに複数の無線LANアクセスポイントが含まれる場合、端末1の接続先の無線LANアクセスポイントの名前(Access Point Name: APN)、あるいは当該無線LANアクセスポイントが接続する無線LANルータのポート情報等を備えてもよい。なお、図3(B)に示したVPN情報は一例を示すものであり、かかる構成に制限されるものでないことは勿論である。
図3(C)は、VPNクライアントである端末1のVPN設定部102で設定されVPN情報記憶部103に保存されたVPNの管理情報の一例を例示する図である。接続先は、拠点のホスト名で指定してもよい(例えばデータセンタ50のFDNQ(Fully Qualified Domain Name)等)。接続ネットワークは、VPNクライアント(端末1)からのVPN通信の送信先のネットワークであり、第1のゲートウェイ51のVPNトンネル側のネットワークアドレスである。接続ネットワークを第1のゲートウェイ51のVPN側のアドレス:100.1.1.0/24としている(ネットマスク:24)。
VPN通信制御部514、104は、VPNトンネルを終端し、セキュリティキーの管理やVPNトンネルを経由するデータ転送の管理、VPNトンネルのエンドポイントまたはルータとしての送受信データ伝送を制御し、データの暗号化とカプセル化によるパケット転送や、パケットのデカプセル化と復号化を行う。
なお、図3(B)、図3(C)では、IPv4(Internet Protocol Version 4)の例で説明しているが、IPV4に制限されるものでないことは勿論である。また、図3(B)、図3(C)のIPアドレスは架空のアドレスである。
なお、図3では、VPNトンネルとしてIPsecトンネルを用いた例を説明したが、L2TP/IPsecを用いる場合、IPsecトンネル内にL2TPトンネルが配設される。L2TPトンネルの確立には、コネクション制御メッセージ及びセッション制御メッセージが用いられる。L2TP/IPsecによるVPNを構築する場合には、コネクション制御メッセージによってトンネルを作成したのち、セッション制御メッセージによってセッションを確立される。
上記したように、VPNは、端末単位(端末ID、共通アカウント)で割り振られる。図3(B)において、端末ID/名前の欄は、ユーザIDのほか、データセンタ50のクライド事業者がユーザに提供するユーザアカウント(例えば:"aaa@example.com")であってもよい。すなわち、第1のゲートウェイ51において、VPNの管理は、端末1(VPNクライアント)のIPアドレス以外にも、ユーザ固有の情報(ユーザアカウントあるいはWebメールアドレス等)を用いてもよい。
端末1が無線LANアクセスポイント41に最初にアクセスすると、無線LANアクセスポイント41は、端末1からのアクセス要求パケットを、メインとなるデータセンタ50にWAN1(31)を介して転送する。データセンタ50の第1のゲートウェイ(GW1)51は、端末1にIPアドレス(プライベートIPアドレス)を割り当て、VPNトンネル60を張る。VPNトンネル60をIPsecトンネルとする場合、前述したように、IKE SAの確立(IKEフェーズ)1、IPsec SAの確立(IKEフェーズ2)、IPsec SA上での暗号化通信が行われる。
図4は、図2を参照して説明した例示的な一実施形態のシステムにおいて、端末1の初期アタッチ処理とWAN2(32)に接続する接続先33に接続するシーケンスの一例を説明する図である。図4には、図2の端末1、WLAN40、第1のゲートウェイ51(GW1)、vEPC52、第2のゲートウェイ(GW2)53、WAN2(32)における動作シーケンスの一例が模式的に例示されている。各シーケンス動作に付した番号は説明のためのシーケンス番号である。
1. 端末1は、無線LAN(WLAN)40との間で接続を確立し、例えばvEPC52内の不図示のHSS/AAAにより認証・認可(Authentication & Authorization)を行う。なお、図4の例では、第1のゲートウェイ51(GW1)は、セキュリティ上信頼できない非3GPP無線アクセス(Untrusted Non-3GPP IP Access)である無線LAN40を収容する場合に、端末1が接続するゲートウェイとして設定されているものとする。
2. 端末1側から、第1のゲートウェイ(GW1)51との間のIKE認証・トンネルセットアップ手順を実行する。これは、前述したIKEフェーズ1、2に対応する。IKEv2認証トンネルセットアップであってよい。
3. vEPC52がSGWとPGWを含み、ベアラの設定が必要な場合、第1のゲートウェイ(GW1)51は、vEPC52に対して例えばベアラ設定要求(Create Session Request)を送信する。この場合、接続先のパケットデータ網に接続するPGWが選択され、SGWとPGW間のS8インタフェースにGTP(GPRS(General Packet Radio System) Tunneling Protocol)トンネルが張られる。
4. vEPC52から第1のゲートウェイ(GW1)51にベアラ設定応答(Create Session Response)が送信される。
5. 以上で、IPsec VPNトンネルのセットアップが完了する。
6. 第1のゲートウェイ(GW1)から、IKEv2メッセージで端末1に払い出されたIPアドレスが通知される。
7. 端末1から第1のゲートウェイ(GW1)へのIP接続はこの時点で設定される。以上がアタッチ処理のシーケンスに対応する。
8. 端末1側からのWAN2(32)側に接続先33への接続要求を受けると、第1のゲートウェイ(GW1)51から接続先(WAN2側)33へのIPルーチングが行われる。
9. 以上で、端末1からVPN、データセンタ50のvEPC52を介し、WAN2側の接続先33との間の接続の設定が完了する。なお、WAN2(32)側から端末1へのダウンリンク方向のパケットは、vEPC52内のPGWが、PCRF等のポリシに応じて、第1のゲートウェイ51(GW1)に転送し、第1のゲートウェイ51(GW1)からVPNトンネル60を介して端末1に転送される。
図5(A)は、図2の機能ブロック54の構成の一例を示す図である。図5(A)を参照すると、機能ブロック54は、
・パケットを受信し、転送制御部542からの制御のもと、許可されたパケットを通話させる通信部541と、
・パケットの廃棄、通過を制御するフィルタ情報を記憶するフィルタ情報記憶部543と、
・通信部541で受信したパケットのヘッダからアドレス、ポート、プロトコルを抽出し、フィルタ情報記憶部543の条件と照合し、当該パケットの拒否、許可を判定し、判定結果を通信部541に通知する転送制御部542と、
・フィルタ情報記憶部543に、フィルタ情報を設定するフィルタ情報設定部544と、
を備えている。
フィルタ情報設定部544は、図2のデータセンタ50内の管理端末(不図示)、あるいは端末1からのベアラリソース修正要求等により、フィルタ情報記憶部543のフィルタ情報を設定するようにしてもよい。フィルタ情報設定部544からの端末1毎のフィルタ情報の設定により、機能ブロック54は、等価的に、端末1毎に設けられることになる。
図5(B)は、図5(A)のフィルタ情報記憶部543の構成として、パケットフィルタ情報の一例を示す。図5(B)を参照すると、種別(フィルタの条件に一致したパケットの扱い:通過、又は廃棄)、方向(フィルタの評価の方向:無線LANからWAN2をUP、WAN2から無線LANをDOWNとしている)、プロトコル(フィルタ対象とするパケットのIPプロトコル)、送信元アドレス(フィルタ対象とするパケットの送信元IPプロトコル)、送信ポート(フィルタ対象とするパケットの送信元ポート)、宛先アドレス(フィルタ対象とするパケットの宛先IPプロトコル)、宛先ポート(フィルタ対象とするパケットの宛先ポート)等を含む。
フィルタID=1では、ポート23(telnet)(TCPポート番号=23)からの第1のゲートウェイ(GW1)51に対するパケットを廃棄する。フィルタID=2では、端末1のプライベートIPアドレスを宛先とするパケットを廃棄する。フィルタID=3では、端末1からの特定の宛先アドレスへパケットを廃棄する。なお、図5(B)の記号*は、任意(any)を表している。
図5(B)において、フィルタID=2、3等のフィルタ情報が、端末1(加入者)に固有の情報である。なお、図5(B)のフィルタID=1のフィルタ情報(宛先がGW1、送信ポート=23のパケット)も、端末1(加入者)に対応するフィルタ情報に含めるようにしてもよいことは勿論である。
図5(B)の機能ブロック54を端末(加入者)毎に機能ブロック54を割り振る場合、図5(B)のフィルタ情報を、フィルタ情報設定部544から、端末(加入者)毎にフィルタ情報記憶部543に設定し、該フィルタ情報を、端末1に紐付けて管理し、他の転送制御部542、通信部541、フィルタ情報設定部544は、複数の端末に対して、共通のコードで実現するようにしてもよい。なお、データセンタ50において、端末1(加入者)の管理は、端末1のユーザに対して、データセンタ50側で割り当てたユーザアカウントを用いてもよい。
図6は、前述した実施形態の一例を例示する図である。図6を参照すると、データセンタ50のvEPC52のePDG527と端末1間にIPsecトンネルが設定される。ePDG527は、VPNゲートウェイとして機能し、VPNトンネルを終端する。
ePDG527は、VPNゲートウェイとして機能し、
・端末1との間での、無線LAN40、WAN1(31)を介してのVPN(IPsec)トンネルの確立、
・セキュリティパラメータのネゴシエーション、
・ユーザの認証、
・端末1へのプライベートIPアドレスの割り当て、
・データの暗号化と復号化、
・セキュリティキーの管理、
・VPNトンネルを経由するデータ転送の管理、
・VPNトンネルのエンドポイントとしての送受信データ伝送の管理を行う。なお、端末1へのプライベートIPアドレスの割り当ては、vEPC52のPGW522で行うようにしてもよい。
端末1からIKEV2でEAPメッセージをePDG527に送信し、vEPC52の3GPP AAAサーバ525に中継し、EAP-SIM/EAP-AKA認証を行う。vEPC52のePDG527とPGW522間は、GTP又はPMIPv6トンネルで接続される。
vEPC52において、PGW22とePDG27間でプロキシモバイルIP(PMIPv6トンネル)を使用する場合、端末1とvEPC52のePDG27との間でIPsecトンネルが確立されると、ePDG27は、プロキシバインディングアップデート(Proxy Binding Update)をPGW22に送信する。この結果、vEPC52のPGW22では、端末1への着信の送信先を、vEPC52のePDG27に切り替え、VPNトンネル60を介し、WLAN40経由で、着信が端末1に通知される。
PGW522には、例えばEPSベアラに関するTFT(Traffic Flow Template)を有するパケットフィルタ529が接続されている。なお、パケットフィルタ529は、図2の機能ブロック54として機能し、端末1毎に設けられる。すなわち、パケットフィルタ529におけるフィルタ情報(パケットの廃棄等)は、前述したように、端末1(加入者)毎に設けられる。パケットフィルタ529は、PGW522内に配置してもよいことは勿論である。
パケットフィルタ529において、WAN2から端末1側への下り方向や端末1からWAN2への上り方向のフィルタ情報の設定(追加、修正、削除等)は、上記したように、端末1からのベアラリソース修正手順のRequest Bearer Resource Modificationメッセージ(3GPP TS 23.401等を参照してもよい)で行うようにしてもよい。
あるいは、パケットフィルタ529におけるフィルタ情報の設定は、端末1からAttach Request等の接続要求処理や、その他、所定のイベント発生時等に行ってもよい。なお、パケットフィルタ529は、アプリケーション層でのフィルタリングを行う機能、あるいはステートフルインスペクション機能を備えた構成としてもよいことは勿論である。あるいは、パケットフィルタ529に、WAN2(32)からの着信を拒否する着信拒否リストを備えた構成としてもよい。
WAN2(32)をIMSで構成した場合、vEPC52と接続するP-CSCF(Proxy-Call Session Control Function)や、Serving-CSCFに、音声の内容を解析して遮断するコンテンツフィルタリングや、不適当な番号からの着信を禁止する着信拒否リストを備えた構成としてもよい。なお、SGW521は、不図示3GPPアクセスネットワークからのデータセンタ50のアクセスに接続される。なお、図6において、パケットフィルタ529以外にも、さらに別の機能ブロック54を備えた構成としてもよい。図6の例では、機能ブロック54として、データ圧縮器530をePDG527に接続し、当該データ圧縮器530において、端末1の能力情報あるいは機種情報等に応じて、端末1向けに転送されるパケットのペイロード部のデータの圧縮率を可変させるようにしてもよい。あるいは、データ圧縮器530を、PGW522に接続し、WAN2(32)に送信するデータの圧縮率を可変に制御するようにしてもよい。
図6では、ePDG527、PGW522をvEPC52で実装しているが、クラウド事業者がMVNO(Mobile Virtual Network Operator)として、例えばMNO(Mobile Network Operator)のePDG27、PGW22(図1)を借り受けたものであってもよい。
例えば端末1からのWi-Fi(登録商標)-Callingについては、端末1とePDG527との間で、WLAN40、WAN1(31)を経由したVPN60(IPsecトンネル)が張られ、ePDG527とPGW522間にGTP/PMIPv6のトンネルが張られ、PGW522から、例えばIMSからなるWAN2(32)を介して、接続先に接続される。すなわち、Wi-Fi(登録商標)-Callingは、クラウド事業者(MVNO)による通信サービスとして制御され、セキュアなコネクションが提供されるとともに、パケットフィルタ529により、不等な着信や有害サイト等からの保護が提供される。なお、PGW522は、図2の第2のゲートウェイ(GW2)53としての機能と、機能ブロック54の機能を併せ持つようにしてもよい。
図7は、図6のシステムにおいて、端末1の初期アタッチ処理とWAN2(32)に接続する接続先33に通信接続するシーケンスを模式的に説明する図である。図7には、図6の端末1、WLAN40(WLAN AP)、ePDG527、PGW522、HSS524/AAAサーバ525、PCRF526、WAN2(32)側の接続先33における動作シーケンスの一例が例示されている。各シーケンス動作に付した番号は説明のためのシーケンス番号である。図7において、例えばePDG527を第1のゲートウェイ(GW1)、PGW522を第2のゲートウェイ(GW2)に置き換えると、図4を参照して説明した動作に、一部対応させることができる。
1. 端末1は、無線LAN(WLAN)40との間で接続を確立し、例えばvEPC52内ののHSS524/AAA525により認証・認可(Authentication & Authorization)を行う。
2. 端末1側から、ePDG527の間のIKEv2認証・トンネルセットアップ手順(IKEv2のフェーズ1、2等)を実行する。
3. ePDG527は、PGW522に対してProxy Binding Update(モバイルノードのホームネットワークプレフィクスと、モバイルノードが接続されているMAG(Mobile Access Gateway)との間のバインディングを確立するために、MAGによってLMA(Local Mobility Anchor)に送信される要求メッセージ)を送信する。
4. PGW522は、PCRF526と連携して、IP接続アクセスネットワーク(IP−CAN(Connection Access Network))セッションの確立手順を行う。
5. PGW522は、AAAサーバ525にPGWの識別情報(PGW ID)を通知し、AAAサーバ525は、HSS524に、PGW522のIDと、端末1に対応したAPN(Access Point Name)を通知して登録する。
6. PGW522はプロキシバインディングアップデート処理を行い、端末1に対応したバインディング・キャッシュ・エントリを作成する。これにより、PGW522において、端末1宛てのパケットは、バインディング・キャッシュ・エントリに保持された内容に従い、ePDG527に向けて送信されることになる。PGW522は、ePDG527に対してプロキシバインディング応答(Proxy Binding Ack)を送信する。
7. 以上で、IPsec VPNトンネルのセットアップが完了する。
8. ePDG52から端末1に対してIKEv2メッセージで、IPアドレスが通知される。
9. 端末1からのIP接続のセットアップが完了する。端末1とePDG527間はIPsecトンネル、ePDG527とPGW522間は、PMIP(Proxy Mobile Internet Protocol)等のトンネルが張られる。以上がアタッチ処理のシーケンスに対応する。
10. 端末1側からのWAN2(32)側に接続先33への接続要求をePDG527からPMIPトンネルを介して受けると、PGW522から接続先(WAN2側)へのIPルーチングが行われる。この場合、端末1からのSIPメッセージが第2のゲートウェイ(GW2)53を介してIMSのP-CSCFに送信され、S-CSCF、MGCF、あるいはMGW等を介して例えばPSTN(Public Switched Telephone Networks)の接続先33に接続するようにしてもよい。あるいは、S-CSCFからインターネット又は他のIMSに接続する接続先33に接続するようにしてもよい。なお、図6では、端末1はIMSに対して登録済みであるものとする。IMSのP-CSCFとPGW522(SGiインタフェース)はIPsec(VPN)で通信を行う。
11. 以上で、端末1からVPN、データセンタ50のvEPC52を介し、WAN2側の接続先33との間の接続の設定が完了する。なお、WAN2(32)側から端末1へのダウンリンク方向のパケットは、vEPC52内のPGW522がバインディング・キャッシュ・エントリに基づきePDG527にPIMPトンネルを介して転送し、ePDG527からVPNトンネル60を介して端末1に転送される。
次に、図10を参照して、vEPC52のノードの構成について説明する。データセンタ50内のサーバ57上の仮想マシン(Virtual Machine: VM)571は仮想ネットワークインタフェースコントローラ(vNIC)575を介して仮想スイッチ(vSwitch)576の仮想ポート:Aに接続し、仮想スイッチ(vSwitch)576の仮想ポート:Bから物理NIC(pNIC)577を介して物理スイッチ(Physical Switch)58の物理ポート:Cに接続され、物理スイッチ(Physical Switch)58の物理ポート:Dを介して、データセンタ50内のLAN等のネットワーク55に接続される。仮想マシン571は、ゲストOS(Operating System)573と、アプリケーション572を備え、EPCのネットワークノードの機能の一部又は全て(例えば図6のePDG527の機能、あるいは他のノードの機能)を実現する。仮想ネットワーク59は例えば図6のルータ56に接続される。なお、前述したように、図2の機能ブロック54を、図10の仮想マシン(Virtual Machine: VM)571で構成してもよい。
仮想NIC(vNIC)、仮想スイッチ(vSwitch)等は、サーバ57上の仮想化機構であるハイパーバイザ(Hypervisor)574によって提供される。なお、物理スイッチ58をL2(Layer 2)スイッチで構成し、ネットワーク59をVLAN(Virtual LAN)等の仮想ネットワークで構成してもよい。
同様に、図10の仮想マシン571で、図2の機能ブロック54を実装し、VLAN等のネットワーク59で、図2の仮想ネットワーク55を構成してもよい。なお、図9では、ネットワーク機能の仮想化を管理統合するマネージャ等、NFV(Network Functions Virtualization)の管理ユニット(NFV Orchestrator (NFVO)、VNF(Virtualized Network Function) Manager等)は省略されている。
図8は、別の実施形態を説明する図である。図8に示す実施形態では、一つの無線LANアクセスポイント41に、クラウド事業者のデータセンタ50のvEPC52に、端末1−1、1−2、1−3がアクセスしている。
データセンタ50では、複数の端末1−1〜1−3について、端末毎、あるいは当該端末のユーザのアカウント毎に、VPNを管理し、同時に複数のVPNトンネル60−1〜60−3を収容するようにしてもよい。なお、端末1−1〜1−3の各々の構成、及び動作等については、前記実施形態と同様である。
データセンタ50は、VPN60−1〜60−3に第1のゲートウェイ(GW1)51を介してそれぞれ接続する複数の機能ブロック54−1〜54−3と、複数の機能ブロック54−1〜54−3と、第2のゲートウェイ(GW2)53間に接続する機能ブロック54−4を備えている。
機能ブロック54−1〜54−3は、ユーザ側からフィルタ対象のパケット(ペアレンタルコントロールやアクセス拒否等)の設定を行うようにしてもよい。機能ブロック54−4は、データセンタ50のクラウド事業者の保守端末又は制御装置(不図示)等からフィルタ対象のパケット(例えば特定の地域、サイト等からのパケット)を設定するようにしてもよい。ユーザ側から機能ブロック54−1〜54−3を設定する場合、端末1側から、データセンタ50に対する要求メッセージにより設定するようにしてもよい。あるいは、端末1のユーザと、データセンタ50でvEPC52を提供するクラウド事業者との契約情報に基づき、データセンタ50を所持するクラウド事業者側の保守端末又は制御装置(不図示)等から、機能ブロック54−1〜54−3に対して、フィルタ対象の設定を行うようにしてもよい。
なお、1つの無線LANアクセスポイント41に複数の端末が接続すると、複数の端末は電波を共有して通信することになり、複数(多数)の端末が1つの無線LANアクセスポイント41にアクセスすると、各端末のスループット(単位時間あたりのデータ転送量等)が低下する。そこで、1つの無線LANアクセスポイント41に複数の端末が接続し、アクセスが集中している場合、複数の端末の接続先を、アクセスが集中している無線アクセスポイントとは別の無線アクセスポイントに振り分け、負荷を分散させる制御を行う無線LANコントローラ(不図示)等を備えた構成としてもよい。
図9は、本発明のさらに別の実施形態を説明する図である。図9を参照すると、本実施形態では、第1のゲートウェイ(GW1)と第2のゲートウェイ(GW2)間の仮想ネットワーク55上の機能ブロック54−1に加えて、vEPC52内に機能ブロック54−2を備えている。例えば機能ブロック54−1は、データ通信用のパケットのフィルタリングを行う。vEPC52内の機能ブロック54−2は、例えばユーザ側の指定した電話番号番号からの着信拒否や、ユーザ側の指定した電話番号が登録されているSMSや着信を許可する。機能ブロック54−1と機能ブロック54−2は、等価的に、端末1毎に、フィルタ情報等が設定され、等価的に、端末1毎に設けられる構成とされる。
機能ブロック54−2は、IMSのSIPサーバの機能の少なくとも一部を仮想化して、例えばPGWに接続し、着信拒否や許可の制御を実現するようにしてもよい。あるいは、図6を参照して説明したように、vEPC52のPGWでTFTを管理するパケットフィルタ(図6の529)に、機能ブロック54−2の機能を付加してもよいことは勿論である。
第1のゲートウェイ(GW1)と第2のゲートウェイ(GW2)間の機能ブロック54−1は、WAN2(32)から端末1側へのパケットのデータを、端末1の能力情報等(SDP(Session Description Protocol)による能力交換等)に基づき、圧縮符号化の圧縮率を、端末1側の能力や機種等に適応するように変更した上で、第1のゲートウェイから端末1に転送するようにしてもよい。この場合、機能ブロック54−1は、WAN2(32)から第2のゲートウェイで受信したパケットのデータ(圧縮符号化データ)を、一旦復号した上で再符号化し、圧縮率を変更するというトランスコード処理を行うようにしてもよい。トランスコード処理において、ビットレート、フレームレート、解像度等を変更してもよい。例えば端末1にダウンロードされるデータサイズを圧縮し、ネットワーク負荷の低減、転送効率の向上、帯域の有効利用を図ることができる。
なお、上記の非特許文献1の開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
上記した実施形態は以下のように付記される(ただし、以下に制限されない)。
(付記1)
端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタを備え、
前記データセンタが、
前記端末との間を、前記無線LANを介し前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する第1のゲートウェイと、
第2の広域ネットワークに接続する第2のゲートウェイと、
前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、
前記第1のゲートウェイと前記第2のゲートウェイ間に設けられ、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうち少なくとも一方のパケットのフィルタリングを行う機能ブロックと、
を備えた、通信システム。
(付記2)
前記データセンタにおいて、
前記仮想ネットワークが、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想パケットコアネットワークを含む、付記1記載の通信システム。
(付記3)
前記データセンタにおいて、
前記機能ブロックが、
前記第1のゲートウェイと前記第2のゲートウェイ間に接続された第1の機能ブロックと、
前記仮想パケットコアネットワークに接続された第2の機能ブロックと、
のうち少なくとも一つを含む、付記2記載の通信システム。
(付記4)
前記データセンタにおいて、
前記機能ブロックが、
パケットの遮断、通過を制御するパケットフィルタに加えて、
前記端末への着信やテキストメッセージのアクセス拒否、許可を制御する機能ブロックを有する、付記1乃至3のいずれか一に記載の通信システム。
(付記5)
前記データセンタにおいて、
前記機能ブロックが、
前記第2の広域ネットワーク側から入力されたパケット、及び、前記端末側から前記第1の広域ネットワークを介して入力されたパケットのうち少なくとも一方のパケットのペイロード部のデータの圧縮を制御する機能ブロックを、さらに備えた、付記1乃至3のいずれか一に記載の通信システム。
(付記6)
前記データセンタにおいて、
前記機能ブロックが、
前記端末に対応させて設けられ、前記端末毎に、前記端末に対するパケットのフィルタリング、及び/又は、前記端末への着信やメッセージのアクセスの拒否、許可が設定される機能ブロックを有する付記1乃至5のいずれか一に記載の通信システム。
(付記7)
前記端末に対して前記無線LANを介して提供される音声通話又はテキストメッセージのサービスにおいて、
前記端末は、前記VPNから前記データセンタの前記仮想パケットコアネットワーク、前記第2の広域ネットワークを介して接続先と通信し、
前記第2の広域ネットワーク側からの前記端末への着呼又はメッセージのうち、前記データセンタの前記仮想パケットコアネットワークに接続された前記第2の機能ブロックで許可された着呼又はメッセージが、前記VPNを介して、前記端末に送信される、付記3記載の通信システム。
(付記8)
前記端末に対して前記無線LANを介して提供されるデータ通信サービスにおいて、
前記端末は、前記VPNから前記データセンタの前記仮想ネットワークを介して前記第2の広域ネットワークに接続し、
前記第2の広域ネットワーク側からの前記端末へのデータは、前記データセンタの前記第1のゲートウェイと前記第2のゲートウェイ間に接続された前記第1の機能ブロックでフィルタリングされ、許可されたパケットが前記VPNを介して、前記端末に送信される、付記3又は7記載の通信システム。
(付記9)
一つの無線LANアクセスポイントに接続する第1乃至第N(Nは2以上の整数)の端末と、前記データセンタの前記第1のゲートウェイ間を第1乃至第NのVPNで接続し、
前記データセンタにおいて、
前記機能ブロックが、
前記第1のゲートウェイで終端される前記第1乃至第NのVPNにそれぞれ接続される第1乃至第Nの機能ブロックを備え、さらに、
前記第1乃至第Nの機能ブロックに一端で接続され、前記第2のゲートウェイに他端が接続された第N+1の機能ブロックを備え、
前記第1乃至第Nの機能ブロックの設定は、前記第1乃至第Nの端末のユーザ側から行われ、
前記第N+1の機能ブロックの設定は、前記データセンタ側で行われる、付記1又は2記載の通信システム。
(付記10)
前記データセンタにおいて、
前記第1のゲートウェイは、端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、付記1乃至9のいずれか一に記載の通信システム。
(付記11)
端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在する通信装置であって、
前記端末との間を、前記無線LANを介し前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する第1のゲートウェイと、
第2の広域ネットワークに接続する第2のゲートウェイと、
前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、
前記第1のゲートウェイと前記第2のゲートウェイ間に設けられ、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリング制御を行う機能ブロックと、
を備えた、通信装置。
(付記12)
前記仮想ネットワークが、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想パケットコアネットワークを含む、付記11記載の通信装置。
(付記13)
前記機能ブロックが、
前記第1のゲートウェイと前記第2のゲートウェイ間に接続された第1の機能ブロックと、
前記仮想パケットコアネットワークに接続された第2の機能ブロックと、
のうち少なくとも一つを含む、付記12記載の通信装置。
(付記14)
前記機能ブロックが、パケットの遮断、通過を制御するパケットフィルタに加えて、
前記端末への着信やテキストメッセージのアクセス拒否、許可を制御する機能ブロックを有する、付記11乃至13のいずれか一に記載の通信装置。
(付記15)
前記機能ブロックが、
前記第2の広域ネットワーク側から入力されたパケット、及び、前記端末側から前記第1の広域ネットワークを介して入力されたパケットのうち少なくとも一方のパケットのペイロード部のデータの圧縮を制御する機能ブロックを、さらに備えた、付記11乃至13のいずれか一に記載の通信装置。
(付記16)
前記機能ブロックが、
前記端末に対応させて設けられ、前記端末毎に、前記端末に対するパケットのフィルタリング、及び/又は、前記端末への着信やメッセージのアクセスの拒否、許可が設定される機能ブロックを有する付記11乃至15のいずれか一に記載の通信装置。
(付記17)
前記端末に対して前記無線LANを介して提供される音声通話又はテキストメッセージのサービスにおいて、
前記端末は、前記VPNから前記通信装置の前記仮想パケットコアネットワーク、前記第2の広域ネットワークを介して接続先と通信し、
前記第2の広域ネットワーク側からの前記端末への着呼又はメッセージのうち、前記通信装置の前記仮想パケットコアネットワークに接続された前記第2の機能ブロックで許可された着呼又はメッセージが、前記VPNを介して、前記端末に送信される、付記13記載の通信装置。
(付記18)
前記端末に対して前記無線LANを介して提供されるデータ通信サービスにおいて、
前記端末は、前記VPNから前記仮想ネットワークを介して前記第2の広域ネットワークに接続し、
前記第2の広域ネットワーク側からの前記端末へのデータは、前記通信装置の前記第1のゲートウェイと前記第2のゲートウェイ間に接続された前記第1の機能ブロックでフィルタリングされ、許可されたパケットが前記VPNを介して、前記端末に送信される、付記13又は17記載の通信装置。
(付記19)
一つの無線LANアクセスポイントに接続する第1乃至第N(Nは2以上の整数)の端末と、前記通信装置の前記第1のゲートウェイ間を第1乃至第NのVPNで接続し、
前記機能ブロックが、
前記第1のゲートウェイで終端される前記第1乃至第NのVPNにそれぞれ接続される第1乃至第Nの機能ブロックを備え、さらに、
前記第1乃至第Nの機能ブロックに一端で接続され、前記第2のゲートウェイに他端が接続された第N+1の機能ブロックを備え、
前記第1乃至第Nの機能ブロックの設定は、前記第1乃至第Nの端末のユーザ側から行われ、
前記第N+1の機能ブロックの設定は、前記通信装置側で行われる、付記11又は12記載の通信装置。
(付記20)
前記第1のゲートウェイは、端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、付記11乃至19のいずれか一に記載の通信装置。
(付記21)
端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタの第1のゲートウェイと前記端末との間を、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)で接続し、
前記端末から前記VPNを介して、前記データセンタに設けられた、仮想ネットワークから第2のゲートウェイを介して第2の広域ネットワークに接続し、
前記第1のゲートウェイと前記第2のゲートウェイ間に設けられた機能ブロックにて、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリングを行う、通信方法。
(付記22)
前記データセンタにおいて、
前記仮想ネットワークが、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想パケットコアネットワークを含む、付記21記載の通信方法。
(付記23)
前記データセンタは、前記第2の広域ネットワーク側から入力されたパケットと、前記端末側から入力されたパケットのうち、少なくとも一方のパケットのペイロード部のデータの圧縮を制御する、付記21又は22記載の通信方法。
(付記24)
前記データセンタにおいて、前記機能ブロックは、前記端末に対応させて設けられ、
前記端末毎に、前記端末に対するパケットのフィルタリング、及び/又は、前記端末への着信やメッセージのアクセスの拒否、許可が設定される付記21乃至23のいずれか一に記載の通信方法。
(付記25)
無線LAN(Local Area Network)と第1の広域ネットワーク(Wide Area Network)とを介してデータセンタに接続する端末であって、
前記データセンタとの間を、前記無線LAN及び前記広域ネットワーク経由のVPN(Virtual Private Network)で接続するVPN装置を備え、
前記VPNを介して、前記データセンタに設けられており、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続する手段と、
前記第2の広域ネットワーク側から前記データセンタ内に入力された前記端末への着呼又は前記端末宛てのデータのうち、前記データセンタ内の機能ブロックでフィルタリングされた着呼又はデータを、前記VPNを介して、受信する手段を備えた、端末。
(付記26)
前記データセンタ内の前記機能ブロックにおけるフィルタリングの設定を行う機能を備えた付記25記載の端末。
(付記27)
端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタに配置されるコンピュータに、
前記端末と前記データセンタとの間に、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)を開設する処理と、
前記端末から前記VPNを介して、前記データセンタに設けられており、コアネットワークの構成要素の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続する処理と、
前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリングを行う処理と、
を実行させるプログラム。
(付記28)
無線LAN(Local Area Network)と第1の広域ネットワーク(Wide Area Network)を介してデータセンタに接続する端末に含まれるコンピュータに、
前記データセンタと前記端末との間に、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)を開設する処理と、
前記VPNを介して、前記データセンタに設けられており、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続する処理と、
前記第2の広域ネットワーク側から前記データセンタ内に入力された前記端末への着呼又は前記端末宛てのデータのうち、前記データセンタ内でフィルタリングされた着呼又はデータを、前記VPNを介して、受信する処理と、
を実行させるプログラム。
1、1−1〜1−3 端末(UE)
10 基地局(eNB)
20 EPC
21 SGW
22 PGW
23 MME
24 HSS
25 3GPP AAA
26 PCRF
27 ePDG
30 PDN
31 WAN1
32 WAN2
40 WLAN
41、42 無線LANアクセスポイント(WLAN AP)
50 データセンタ(DC)
51 第1のゲートウェイ(GW1)
52 仮想化EPC(vEPC)
53 第2のゲートウェイ(GW2)
54、54−1〜54−4 機能ブロック
55 仮想ネットワーク
56 ルータ
57 サーバ
58 物理スイッチ
59 ネットワーク(仮想ネットワーク)
60、60−1〜60−3 VPNトンネル
101 VPN装置
102 VPN設定部
103 VPN情報記憶部
104 VPN通信制御部
511 VPN装置
512 VPN設定部
513 VPN情報記憶部
514 VPN通信制御部
521 SGW
522 PGW
524 HSS
525 AAA
526 PCRF
527 ePDG
528 S2b(GTP/PMIPv6)
529 パケットフィルタ
530 データ圧縮器
541 通信部
542 転送制御部
543 フィルタ情報記憶部
544 フィルタ情報設定部
571 仮想マシン
572 アプリケーション
573 OS
574 ハイパーバイザ
575 仮想NIC
576 仮想スイッチ
577 物理NIC

Claims (28)

  1. 端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタを備え、
    前記データセンタが、
    前記端末との間を、前記無線LANを介し前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する第1のゲートウェイと、
    第2の広域ネットワークに接続する第2のゲートウェイと、
    前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、
    前記第1のゲートウェイと前記第2のゲートウェイ間に設けられ、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうち少なくとも一方のパケットのフィルタリングを行う機能ブロックと、
    を備えた、通信システム。
  2. 前記データセンタにおいて、
    前記仮想ネットワークが、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想パケットコアネットワークを含む、請求項1記載の通信システム。
  3. 前記データセンタにおいて、
    前記機能ブロックが、
    前記第1のゲートウェイと前記第2のゲートウェイ間に接続された第1の機能ブロックと、
    前記仮想パケットコアネットワークに接続された第2の機能ブロックと、
    のうち少なくとも一つを含む、請求項2記載の通信システム。
  4. 前記データセンタにおいて、
    前記機能ブロックが、
    前記端末への着信やテキストメッセージのアクセス拒否、許可を制御する機能ブロックをさらに有する、請求項1乃至3のいずれか1項に記載の通信システム。
  5. 前記データセンタにおいて、
    前記機能ブロックが、
    前記第2の広域ネットワーク側から入力されたパケット、及び、前記端末側から前記第1の広域ネットワークを介して入力されたパケットのうち少なくとも一方のパケットのペイロード部のデータの圧縮を制御する機能ブロックを、さらに備えた、請求項1乃至4のいずれか1項に記載の通信システム。
  6. 前記データセンタにおいて、
    前記機能ブロックが、
    前記端末に対応させて設けられ、前記端末毎に、前記端末に対するパケットのフィルタリング、及び/又は、前記端末への着信やメッセージのアクセスの拒否、許可が設定される機能ブロックを有する、請求項1乃至4のいずれか1項に記載の通信システム。
  7. 前記端末に対して前記無線LANを介して提供される音声通話又はテキストメッセージのサービスにおいて、
    前記端末は、前記VPNから前記データセンタの前記仮想パケットコアネットワーク、前記第2の広域ネットワークを介して接続先と通信し、
    前記第2の広域ネットワーク側からの前記端末への着呼又はメッセージのうち、前記データセンタの前記仮想パケットコアネットワークに接続された前記第2の機能ブロックで許可された着呼又はメッセージが、前記VPNを介して、前記端末に送信される、請求項3記載の通信システム。
  8. 前記端末に対して前記無線LANを介して提供されるデータ通信サービスにおいて、
    前記端末は、前記VPNから前記データセンタの前記仮想ネットワークを介して前記第2の広域ネットワークに接続し、
    前記第2の広域ネットワーク側からの前記端末へのデータは、前記データセンタの前記第1のゲートウェイと前記第2のゲートウェイ間に接続された前記第1の機能ブロックでフィルタリングされ、許可されたパケットが前記VPNを介して、前記端末に送信される、請求項3又は7記載の通信システム。
  9. 一つの無線LANアクセスポイントに接続する第1乃至第N(Nは2以上の整数)の端末と、前記データセンタの前記第1のゲートウェイ間を第1乃至第NのVPNで接続し、
    前記データセンタにおいて、
    前記機能ブロックが、
    前記第1のゲートウェイで終端される前記第1乃至第NのVPNにそれぞれ接続される第1乃至第Nの機能ブロックを備え、さらに、
    前記第1乃至第Nの機能ブロックに一端で接続され、前記第2のゲートウェイに他端が接続された第N+1の機能ブロックを備え、
    前記第1乃至第Nの機能ブロックの設定は、前記第1乃至第Nの端末のユーザ側から行われ、
    前記第N+1の機能ブロックの設定は、前記データセンタ側で行われる、請求項1又は2記載の通信システム。
  10. 前記データセンタにおいて、
    前記第1のゲートウェイは、端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、請求項1乃至9のいずれか1項に記載の通信システム。
  11. 端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在する通信装置であって、
    前記端末との間を、前記無線LANを介し前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する第1のゲートウェイと、
    第2の広域ネットワークに接続する第2のゲートウェイと、
    前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、
    前記第1のゲートウェイと前記第2のゲートウェイ間に設けられ、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリング制御を行う機能ブロックと、
    を備えた、通信装置。
  12. 前記仮想ネットワークが、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想パケットコアネットワークを含む、請求項11記載の通信装置。
  13. 前記機能ブロックが、
    前記第1のゲートウェイと前記第2のゲートウェイ間に接続された第1の機能ブロックと、
    前記仮想パケットコアネットワークに接続された第2の機能ブロックと、
    のうち少なくとも一つを含む、請求項12記載の通信装置。
  14. 前記機能ブロックが、
    前記端末への着信やテキストメッセージのアクセス拒否、許可を制御する機能ブロックを含む、請求項11乃至13のいずれか1項に記載の通信装置。
  15. 前記機能ブロックが、
    前記第2の広域ネットワーク側から入力されたパケット、及び、前記端末側から前記第1の広域ネットワークを介して入力されたパケットのうち少なくとも一方のパケットのペイロード部のデータの圧縮を制御する機能ブロックを、さらに備えた、請求項11乃至13のいずれか1項に記載の通信装置。
  16. 前記機能ブロックが、
    前記端末に対応させて設けられ、前記端末毎に、前記端末に対するパケットのフィルタリング、及び/又は、前記端末への着信やメッセージのアクセスの拒否、許可が設定される機能ブロックを有する、請求項11乃至15のいずれか1項に記載の通信装置。
  17. 前記端末に対して前記無線LANを介して提供される音声通話又はテキストメッセージのサービスにおいて、
    前記端末は、前記VPNから前記通信装置の前記仮想パケットコアネットワーク、前記第2の広域ネットワークを介して接続先と通信し、
    前記第2の広域ネットワーク側からの前記端末への着呼又はメッセージのうち、前記通信装置の前記仮想パケットコアネットワークに接続された前記第2の機能ブロックで許可された着呼又はメッセージが、前記VPNを介して、前記端末に送信される、請求項13記載の通信装置。
  18. 前記端末に対して前記無線LANを介して提供されるデータ通信サービスにおいて、
    前記端末は、前記VPNから前記仮想ネットワークを介して前記第2の広域ネットワークに接続し、
    前記第2の広域ネットワーク側からの前記端末へのデータは、前記通信装置の前記第1のゲートウェイと前記第2のゲートウェイ間に接続された前記第1の機能ブロックでフィルタリングされ、許可されたパケットが前記VPNを介して、前記端末に送信される、請求項13又は17記載の通信装置。
  19. 一つの無線LANアクセスポイントに接続する第1乃至第N(Nは2以上の整数)の端末と、前記通信装置の前記第1のゲートウェイ間を第1乃至第NのVPNで接続し、
    前記機能ブロックが、
    前記第1のゲートウェイで終端される前記第1乃至第NのVPNにそれぞれ接続される第1乃至第Nの機能ブロックを備え、さらに、
    前記第1乃至第Nの機能ブロックに一端で接続され、前記第2のゲートウェイに他端が接続された第N+1の機能ブロックを備え、
    前記第1乃至第Nの機能ブロックの設定は、前記第1乃至第Nの端末のユーザ側から行われ、
    前記第N+1の機能ブロックの設定は、前記通信装置側で行われる、請求項11又は12記載の通信装置。
  20. 前記第1のゲートウェイは、端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、請求項11乃至19のいずれか1項に記載の通信装置。
  21. 端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタの第1のゲートウェイと前記端末との間を、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)で接続し、
    前記端末から前記VPNを介して、前記データセンタに設けられた、仮想ネットワークから第2のゲートウェイを介して第2の広域ネットワークに接続し、
    前記第1のゲートウェイと前記第2のゲートウェイ間に設けられた機能ブロックにて、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリングを行う、通信方法。
  22. 前記データセンタにおいて、
    前記仮想ネットワークが、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想パケットコアネットワークを含む、請求項21記載の通信方法。
  23. 前記データセンタは、前記第2の広域ネットワーク側から入力されたパケットと、前記端末側から入力されたパケットのうち、少なくとも一方のパケットのペイロード部のデータの圧縮を制御する、請求項21又は22記載の通信方法。
  24. 前記データセンタにおいて、前記機能ブロックは、前記端末に対応させて設けられ、前記端末毎に、前記端末に対するパケットのフィルタリング、及び/又は、前記端末への着信やメッセージのアクセスの拒否、許可が設定される、請求項21乃至23のいずれか1項に記載の通信方法。
  25. 無線LAN(Local Area Network)と第1の広域ネットワーク(Wide Area Network)とを介してデータセンタに接続する端末であって、
    前記データセンタとの間を、前記無線LAN及び前記広域ネットワーク経由のVPN(Virtual Private Network)で接続するVPN装置を備え、
    前記VPNを介して、前記データセンタに設けられており、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続し、
    前記第2の広域ネットワーク側から前記データセンタ内に入力された前記端末への着呼又は前記端末宛てのデータのうち、前記データセンタ内の機能ブロックでフィルタリングされた着呼又はデータを、前記VPNを介して、受信する機能を備えた、端末。
  26. 前記データセンタ内の前記機能ブロックにおけるフィルタリングの設定を行う機能を備えた請求項25記載の端末。
  27. 端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタに配置されるコンピュータに、
    前記端末と前記データセンタとの間に、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)を開設する処理と、
    前記端末から前記VPNを介して、前記データセンタに設けられており、コアネットワークの構成要素の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続する処理と、
    前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリングを行う処理と、
    を実行させるプログラム。
  28. 無線LAN(Local Area Network)と第1の広域ネットワーク(Wide Area Network)を介してデータセンタに接続する端末に含まれるコンピュータに、
    前記データセンタと前記端末との間に、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)を開設する処理と、
    前記VPNを介して、前記データセンタに設けられており、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続する処理と、
    前記第2の広域ネットワーク側から前記データセンタ内に入力された前記端末への着呼又は前記端末宛てのデータのうち、前記データセンタ内でフィルタリングされた着呼又はデータを、前記VPNを介して、受信する処理と、
    を実行させるプログラム。
JP2017529865A 2015-07-17 2016-07-14 通信システム、通信装置、通信方法、端末、プログラム Active JP6451850B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015143405 2015-07-17
JP2015143405 2015-07-17
PCT/JP2016/070907 WO2017014164A1 (ja) 2015-07-17 2016-07-14 通信システム、通信装置、通信方法、端末、プログラム

Publications (2)

Publication Number Publication Date
JPWO2017014164A1 JPWO2017014164A1 (ja) 2018-07-05
JP6451850B2 true JP6451850B2 (ja) 2019-01-16

Family

ID=57834331

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017529865A Active JP6451850B2 (ja) 2015-07-17 2016-07-14 通信システム、通信装置、通信方法、端末、プログラム

Country Status (3)

Country Link
US (1) US11870604B2 (ja)
JP (1) JP6451850B2 (ja)
WO (1) WO2017014164A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107360089B (zh) * 2016-05-10 2021-03-19 新华三技术有限公司 一种路由建立方法、业务数据转换方法及装置
KR101846079B1 (ko) * 2016-07-15 2018-04-05 주식회사 케이티 Nfv 환경에서의 가상 cpe 서비스 제공 시스템, 및 이를 위한 nfv 클라우드
US10630657B2 (en) * 2017-03-02 2020-04-21 ColorTokens, Inc. System and method for enhancing the security of data packets exchanged across a computer network
JP7166251B2 (ja) * 2017-05-23 2022-11-07 株式会社Nttドコモ 通信システム及び通信方法
CN113196250A (zh) * 2018-12-10 2021-07-30 飞比特网络股份有限公司 信息通信设备用的互联网连接管理系统及其方法、安装于信息通信设备的互联网连接管理程序
CN109450657B (zh) * 2019-01-15 2019-12-27 深圳联想懂的通信有限公司 一种智能物联网通信服务系统和方法
JP7234726B2 (ja) * 2019-03-20 2023-03-08 富士フイルムビジネスイノベーション株式会社 通信装置、通信システム、及びプログラム
TWI727493B (zh) * 2019-11-08 2021-05-11 瑞昱半導體股份有限公司 一種閘道器控制晶片及其網路封包處理方法
US11533343B2 (en) * 2020-08-20 2022-12-20 Geoverse Llc Private cellular network for seamless extension of accessibility of PBX devices to remote devices
CN114285900B (zh) * 2021-12-09 2023-10-03 中国联合网络通信集团有限公司 调度系统、认证方法、调度方法、装置、服务器及介质
JPWO2023162147A1 (ja) * 2022-02-25 2023-08-31
US20240040361A1 (en) * 2022-07-28 2024-02-01 T-Mobile Usa, Inc. Wifi call identification for roaming subscribers

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
JP4056849B2 (ja) 2002-08-09 2008-03-05 富士通株式会社 仮想閉域網システム
US7673048B1 (en) * 2003-02-24 2010-03-02 Cisco Technology, Inc. Methods and apparatus for establishing a computerized device tunnel connection
JP2006033443A (ja) 2004-07-16 2006-02-02 Nec Fielding Ltd インターネット接続システム、方法およびプログラム
EP1771998B1 (en) * 2004-07-23 2015-04-15 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
JP4706542B2 (ja) * 2006-04-10 2011-06-22 株式会社日立製作所 通信装置
JP2010231396A (ja) 2009-03-26 2010-10-14 Oki Networks Co Ltd 通信システム、通信装置及び認証装置
EP2244495B1 (en) * 2009-04-20 2012-09-19 Panasonic Corporation Route optimazion of a data path between communicating nodes using a route optimization agent
CN101582830B (zh) * 2009-06-22 2011-12-21 杭州华三通信技术有限公司 一种实现跨虚拟专用网互访的装置及方法
US9521145B2 (en) * 2011-10-17 2016-12-13 Mitel Mobility Inc. Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
JP2014195167A (ja) 2013-03-28 2014-10-09 Nippon Telegraph & Telephone East Corp 電話システム及びその方法
RU2643451C2 (ru) * 2013-08-27 2018-02-01 Хуавей Текнолоджиз Ко., Лтд. Система и способ виртуализации функции мобильной сети
WO2015103338A1 (en) * 2013-12-31 2015-07-09 Lookout, Inc. Cloud-based network security

Also Published As

Publication number Publication date
US11870604B2 (en) 2024-01-09
WO2017014164A1 (ja) 2017-01-26
JPWO2017014164A1 (ja) 2018-07-05
US20190013967A1 (en) 2019-01-10

Similar Documents

Publication Publication Date Title
JP6981491B2 (ja) 通信システム、通信装置、通信方法、端末、プログラム
JP6451850B2 (ja) 通信システム、通信装置、通信方法、端末、プログラム
JP7004383B2 (ja) 通信システム、通信装置、通信方法、端末、プログラム
US11115808B2 (en) Consolidated control plane routing agent
EP3529968B1 (en) System and method for node selection based on mid-session and end-session event information
CN108029017B (zh) 通过受管理的公共WLAN接入进行安全wifi呼叫连接的方法
US9614656B2 (en) Providing in-line services through radio access network resources under control of a mobile packet core in a network environment
US9973338B2 (en) Configuration of liveness check using internet key exchange messages
US9215588B2 (en) System and method for providing selective bearer security in a network environment
US9264416B2 (en) UE access to circuit switched-based mobile telephony services using a fixed wireless terminal

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180828

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181026

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181113

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181126

R150 Certificate of patent or registration of utility model

Ref document number: 6451850

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150