WO2017014164A1 - 通信システム、通信装置、通信方法、端末、プログラム - Google Patents

通信システム、通信装置、通信方法、端末、プログラム Download PDF

Info

Publication number
WO2017014164A1
WO2017014164A1 PCT/JP2016/070907 JP2016070907W WO2017014164A1 WO 2017014164 A1 WO2017014164 A1 WO 2017014164A1 JP 2016070907 W JP2016070907 W JP 2016070907W WO 2017014164 A1 WO2017014164 A1 WO 2017014164A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
area network
wide area
gateway
data center
Prior art date
Application number
PCT/JP2016/070907
Other languages
English (en)
French (fr)
Inventor
理 石井
英男 長谷川
慎太郎 中野
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Priority to JP2017529865A priority Critical patent/JP6451850B2/ja
Priority to US15/745,311 priority patent/US11870604B2/en
Publication of WO2017014164A1 publication Critical patent/WO2017014164A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Definitions

  • the present invention is based on the priority claim of Japanese patent application: Japanese Patent Application No. 2015-143405 (filed on July 17, 2015), the entire contents of which are incorporated herein by reference. Shall.
  • the present invention relates to a communication system, apparatus, method, terminal, and program.
  • Evolved Packet System Evolved Packet System: EPS
  • EPS Evolved Packet System
  • 3GPP access networks include UTRAN (Universal Mobile Telecommunications System (UMTS) Terrestrial Radio Access Network), E-UTRAN (Evolved UTRAN), GERAN (Global System for Mobile Communications (EDSM) EDGE Radio Access Network), and the like.
  • UTRAN Universal Mobile Telecommunications System (UMTS) Terrestrial Radio Access Network
  • E-UTRAN Evolved UTRAN
  • GERAN Global System for Mobile Communications (EDSM) EDGE Radio Access Network
  • a non-3GPP access network is an IP (Internet Protocol) access network that uses access technologies with specifications outside the range of 3GPP.
  • Wi-Fi is defined in the IEEE (The Institute of Electrical and Electronics Electronics, Engineers, 802.11) specifications. (Registered Trademark: “Wireless Fidelity”) and WiMAX (Wireless Local Area Network: WLAN) such as WiMAX (Worldwide Interoperability for Microwave Access) defined by IEEE802.16 specification are included.
  • WiMAX Wireless Local Area Network
  • IEEE802.16 IEEE802.16 specification are included.
  • 3GPP TS23.402 Architecture enhancements for non-3GPP accesses may be referred to.
  • Wi-Fi (registered trademark) -Calling is a service provided by a communication carrier.
  • This service is a service (User Equipment: UE) in which a SIM (Subscriber Identity Module) of the communication carrier is inserted.
  • Voice calls and short message services can be used via a registered trademark (see Non-Patent Document 1).
  • the terminal connects to the security gateway of the communication carrier via Wi-Fi (registered trademark) using UMA (Unlicensed Mobile Access) technology and is authenticated by SIM authentication, it connects to the switch on the core network of the communication carrier and the other party (It may be a fixed telephone, a subscriber terminal of another communication carrier, etc.).
  • Wi-Fi registered trademark
  • Wi-Fi registered trademark
  • FIG. 1 is a diagram for explaining EPS including a non-3GPP access network.
  • a terminal (UE) 1 such as a smartphone is connected to a packet data network (Packet Data Network: PDN) 30 through a base station (evolved Node B: eNB) 10 and an evolved packet core (Evolved Packet Core: EPC) 20
  • PDN Packet Data Network
  • eNB evolved Node B
  • EPC evolved packet core
  • the MME (Mobility Management Entity) 23 of the EPC 20 performs various processes such as mobility management and authentication of the terminal 1 and setting of a user data transfer path. Further, the MME 23 performs user authentication in cooperation with an HSS (Home Subscriber Server: holding a subscriber profile) 24.
  • the MME 23 sets and releases the user data transfer path in the section (S1-U) from the SGW (Serving Gateway) 21 to the base station 10.
  • the SGW 21 transmits / receives user data to / from the base station 10 and sets / releases a communication path to / from the PGW (PacketPackData Network gateway) 22.
  • the PGW 22 is connected to a packet data network (PDN) 30 such as an IMS (IP Multimedia Subsystem) or the Internet.
  • PDN packet data network
  • the PGW 22 assigns an IP address (private IP address) to the terminal 1 and the like.
  • a PCRF (Policy and Charging Rules function) 26 determines policy control and charging control rules such as QoS (Quality of Service). Based on the notification information from the PCRF 26, the PGW 22 and the SGW 21 perform policy control for each packet, for example.
  • reference numerals S11 and the like of the lines between the nodes represent interfaces, a broken line represents a control plane (C-Plane), and a solid line represents a user plane (U-Plane) signal (data).
  • C-Plane control plane
  • U-Plane user plane
  • 3GPP TS 23.401 GPRS Enhancements for E-UTRAN Access may be referred to.
  • a call request from the terminal 1 is sent to the PGW 22 via the wireless LAN access point 41 and Un-Trusted Access (untrusted access) via the ePDG (evolved Packet Data Data Gateway) 27.
  • the PDN 30 for example, IMS service.
  • EPDG27 is an IPsec gateway that terminates IPsec (Security Architecture for Internet Protocol) connection from the mobile interface (SWu).
  • IPsec Security Architecture for Internet Protocol
  • the terminal 1 detects the ePDG 27 and exchanges a key with the ePDG 27 (IKEv2), Then, an IPsec tunnel is established, and a PDN (Packet Data Network) connection is established with the PGW 22 through the established IPsec tunnel.
  • IKEv2 a key with the ePDG 27
  • PDN Packet Data Network
  • the ePDG 27 relays an EAP (Extensible Authentication Authentication Protocol) message from the terminal 1 to the 3GPP AAA (Authentication Authorization Accounting) server 25.
  • the 3GPP AAA server 25 performs EAP-SIM (Extensible Authentication Protocol-Subscriber Identity Module) authentication or EAP -AKA (Extensible Authentication-Protocol-Authentication and Key Agreement) is performed (for example, 3GPP TS 33.402: Security aspects of non-3GPP accesses may be referred to).
  • EAP-SIM Extensible Authentication Protocol-Subscriber Identity Module
  • EAP -AKA Extensible Authentication-Protocol-Authentication and Key Agreement
  • the ePDG 27 sets a tunnel (Proxy Mobile IP) or GTP (GPRS (General Packet Radio System) Tunneling Protocol) to the PGW 22 in the S2b interface (for example, 3GPP TR TR23.834: STUDY ON GPRS Tunneling Protocol (GTP) based S2b etc.).
  • GTP General Packet Radio System Tunneling Protocol
  • EPDG 27 can connect to PGW 22 via PMIPv6 when non-3GPP access is compatible with PMIPv6 (Proxy Mobile IPv6).
  • PMIPv6 Proxy Mobile IPv6
  • proxy mobile IP is used between the PGW 22 and the ePDG 27
  • the ePDG 27 transmits a proxy binding update (Proxy Binding Update) message to the PGW 22.
  • the transmission destination of data to the terminal 1 in the PGW 22 is switched to the ePDG 27.
  • PMIPv6 is a mobility control protocol that establishes and releases a tunnel (GRE (Generic Routing Encapsulation) tunnel) for data transfer between a mobility anchor (LMA: Local Mobility Anchor) and a mobility access gateway (MAG: Mobility Access Gateway).
  • GRE Generic Routing Encapsulation
  • MAG Mobility Access Gateway
  • the LMA forwards the packet to the MAG to which the terminal is connected (switches the communication path and forwards the packet addressed to the terminal to the area where it is located).
  • a terminal moves from one MAG to another MAG, a data transfer tunnel is established between the LMA that previously established the data transfer tunnel and the MAG to which the terminal is newly connected.
  • 3GPP AAA server 25 provides network access authentication, authorization, and accounting services from users. The authorization for non-3GPP access is performed between the terminal 1 and the 3GPP AAA server 25 and HSS 24. For example, when the terminal 1 establishes an IPsec tunnel with the ePDG 27, mutual authentication is performed between the terminal 1 and the network based on EAP-AKA.
  • 3GPP AAA server 3GPP TS 29.273: Evolved Packet System (EPS); 3GPP EPS EPS AAA interfaces, etc. may be referred to.
  • EPS Evolved Packet System
  • 3GPP EPS EPS AAA interfaces etc.
  • the terminal 1 shifts to a trusted non-3GPP access (trusted wireless LAN access point 42 in FIG. 1) or first connects, the MIP (Mobile IP) tunnel (S2a, DSMIPv6 (Dual- Connect directly to the PGW 22 via Stack (MIPv6): IETF (RFC) 5555).
  • MIP Mobile IP
  • ePDG and 3GPP AAA server 3GPP TS 29.273: Evolved Packet System (EPS); 3GPP EPS EPS AAA interfaces, etc. may be referred to.
  • Whether the non-3GPP access network is a reliable access network or an untrusted access network is determined by, for example, a communication carrier (operator) of HPLMN (Home Public Land Mobile Mobile Network).
  • IPSec is a protocol that performs packet encryption and authentication at the network layer level.
  • AH Authentication Header
  • VPN Virtual Private Network
  • ESP Encapsulating Security Payload
  • IPSec communication includes a transport mode (IPsec between hosts in which IPsec is implemented) and a tunnel mode (IPsec between VPN devices such as routers in which IPsec is implemented).
  • transport mode IPsec between hosts in which IPsec is implemented
  • tunnel mode IPsec between VPN devices such as routers in which IPsec is implemented
  • packet layer 4 or higher data is encrypted (see FIG. 11B), and the packet is transferred based on the original IP header (OriginalIPIP (header).
  • the original IP header and data part (FIG. 11A) of the packet are encrypted, and a new IP header (New IP header) is added (see FIG. 11C).
  • the ESP packet format consists of an ESP header (ESP header), payload, ESP trailer (ESP trailer), and authentication data (ESP authentication data) (see FIGS. 11B and 11C).
  • the ESP header (ESP header) is SPI (Security Parameter Index: 32-bit value that uniquely identifies the SA (security association) for the datagram) and sequence number (Sequence Number) (packet sequence number: 32 bits).
  • SPI Security Parameter Index
  • sequence Number Packet sequence number: 32 bits
  • Have The ESP trailer includes padding (padding field for payload length adjustment), pad length (Pad (length) (number of bytes of Padding), and next header (Next Header) (protocol after ESP: TCP / UDP).
  • Authentication data (Authentication data) (HMAC (Hash-based Message Authentication Code)) is a variable length field including an integrity check value (Integrity Check Value: ICV) calculated from the authentication data extracted from the ESP packet.
  • SA Security Association
  • IPsec parameters security information
  • SPI Security Parameter Index
  • mode protocol
  • encryption algorithm key
  • authentication algorithm tunnel endpoint IP address
  • IKE Internet Key Exchange
  • SA Internet Security Association and Key Management Protocol
  • ISAKMP Internet Security Association and Key Management Protocol
  • SA Security Association
  • WAN wide area network
  • LAN Local Area Network
  • the filtering service provided by the communication carrier to the subscriber is provided, for example, on the packet core network (EPC) of the communication carrier.
  • EPC packet core network
  • a parental control function for example, blocking harmful sites, restricting apps to be used, restricting phone / email recipients, restricting usage time and talking time
  • parental control for example, blocking harmful sites, restricting apps to be used, restricting phone / email recipients, restricting usage time and talking time
  • terminals equipped, parents or the like need to take measures as appropriate for restrictions other than the parental control function provided.
  • young people may use general terminals other than so-called children's terminals that have a parental control function and the like.
  • an object of the present invention is to provide a system and a method that can provide secure communication while providing necessary protection to a terminal connected to a data center via a wide area network (WAN) such as a wireless LAN and the Internet. It is to provide a device and a program.
  • WAN wide area network
  • a data center in which a first wide area network (Wide Area Network) is interposed between a wireless LAN (Local Area Network) to which a terminal is connected is provided.
  • the data center is A first gateway that connects to the terminal via the wireless LAN via a VPN (Virtual Private Network) via the first wide area network;
  • a second gateway connected to a second wide area network;
  • a virtual network connected to the first gateway and the second gateway;
  • a communication system is provided.
  • a communication device in which a first wide area network (Wide Area Network) is interposed between a wireless LAN (Local Area Network) to which a terminal is connected, A first gateway that connects to the terminal via the wireless LAN via a VPN (Virtual Private Network) via the first wide area network; A second gateway connected to a second wide area network; A virtual network connected to the first gateway and the second gateway; At least one of a packet provided between the first gateway and the second gateway and input from the first wide area network side and a packet input from the second wide area network side And a functional block that performs the filtering control.
  • a first wide area network Wide Area Network
  • VPN Virtual Private Network
  • a first gateway of a data center in which a first wide area network (Wide Area Network) is interposed between a wireless LAN (Local Area Network) to which the terminal is connected and the terminal.
  • VPN Virtual Private Network
  • a communication method for filtering at least one of the packets is provided.
  • a terminal connected to a data center via a wireless LAN and a first wide area network (WAN1), A VPN device that connects between the data center and the VPN via the wireless LAN and the wide area network, Connected to the second wide area network (WAN2) via the virtual network that is provided in the data center via the VPN and virtualizes at least a part of the functions of the packet core network, Out of incoming calls to the terminal input to the data center from the second wide area network (WAN2) side or data addressed to the terminal, incoming calls or data filtered in the data center are converted into the VPN.
  • a terminal having a receiving function is provided.
  • a computer disposed in a data center in which a first wide area network (Wide Area Network) is interposed between a wireless LAN (Local Area Network) to which a terminal is connected, Between the terminal and the data center, a process of establishing a VPN (Virtual Private Network) via the wide area network via the wireless LAN; A process that is provided in the data center from the terminal via the VPN, and that connects to a second wide area network via a virtual network that virtualizes at least a part of the components of the core network; There is provided a program for executing a process of filtering at least one of a packet input from the first wide area network side and a packet input from the second wide area network side.
  • VPN Virtual Private Network
  • a computer included in a terminal connected to a data center via a wireless LAN and a first wide area network includes: Between the data center and the terminal, a process of establishing a VPN via the wide area network via the wireless LAN; A process of connecting to the second wide area network (WAN2) via the virtual network that is provided in the data center via the VPN and virtualizes at least a part of the functions of the packet core network; Out of incoming calls to the terminal input to the data center from the second wide area network (WAN2) side or data addressed to the terminal, incoming calls or data filtered in the data center are converted into the VPN.
  • Process to receive via A program for executing is provided.
  • a computer-readable recording medium (a storage such as a semiconductor memory or a CD (Compact Disk) / DVD (Digital Versatile Disk)) on which the program is recorded is provided.
  • a storage such as a semiconductor memory or a CD (Compact Disk) / DVD (Digital Versatile Disk)
  • WAN wide area network
  • FIG. 7 is a diagram illustrating an operation of the embodiment of FIG. 6. It is a figure which illustrates other embodiment of the present invention.
  • A is an IP packet
  • B is a trans mode ESP packet
  • C is a tunnel mode ESP packet
  • D is UDP encapsulation
  • E is a diagram illustrating an L2TP / IPsec packet.
  • virtualized EPC Virtualized EPC
  • nodes such as SGW, PGW, MME, HSS, and PCRF
  • a virtualized EPC is realized on a general-purpose server or the like installed in a data center (Data Center: DC) of a cloud provider that provides a cloud service (or data center service) to clients. be able to.
  • DC data center
  • FIG. 2 is a diagram illustrating an exemplary embodiment of the present invention.
  • a virtualized EPC (vEPC) 52 in the data center 50 is obtained by virtualizing at least a part of the EPC 20 of FIG.
  • the vEPC 52 may be a virtualized function of some nodes of the EPC 20, such as the ePDG 27, PGW 22, and PCRF 26 of the EPC 20 of FIG.
  • the first gateway 51 connects the vEPC 52 with a wide area network (WAN) 1 (31) such as the Internet.
  • the second gateway (GW2) 53 connects the WAN 2 (32) such as the Internet or IMS and the vEPC 52.
  • a function block (Function Block: FB) 54 that performs packet filtering or data compression or the like. It has.
  • the function block (Function Block: FB) 54 can be allocated for each user (terminal 1: subscriber). Although not particularly limited, for example, the service contract information of the terminal 1 acquired by the PCRF (not shown) of the vEPC 52 from SPR (Subscriber Profile Repository) (not shown), the PGW of the vEPC 52 (not shown), etc. Thus, based on the private IP address assigned to the terminal 1, a function block (FB) 54 may be allocated to each terminal 1 with respect to the terminal 1 that has accessed the data center 50.
  • the functional block (FB) 54 is a virtual machine (Virtual) that runs on a server connected between the first gateway (GW1) 51 and the second gateway (GW2) 53. Machine).
  • the function block (FB) 54 allocated to the terminal 1 (subscriber) is activated based on the subscriber information or service contract information of the terminal 1 by a connection request from the terminal 1 (subscriber).
  • the function block (FB) 54 may be terminated in response to the connection termination from the terminal 1 (subscriber).
  • the functional block (FB) 54 activated in correspondence with the terminal 1 performs filtering control of packets (downlink) input to the second gateway (GW2) 53 from the WAN2 (32) side. Further, the function block (FB) 54 may be input to the data center 50 from the terminal 1 via the WAN 1 (31) and may perform filtering control of packets (uplink) to the WAN 2 (32) side.
  • the functional block (FB) 54 is not limited to the configuration arranged between the first gateway (GW1) 51 and the second gateway (GW2) 53.
  • the first gateway (GW1) ) 51 and the second gateway (GW2) 53 may be mounted on a server or the like constituting at least one of them.
  • the terminal 1 is connected to the WAN 2 (32) from the WAN 1 (31), the first gateway 51, the vEPC 52, and the second gateway 53 of the data center 50 via the WLAN 40.
  • the WLAN 40 may be a home wireless LAN or a public wireless LAN.
  • the WLAN 40 includes a wireless LAN access point (WLAN AP) 41 and a wireless LAN router (not shown) equipped with NAT (Network Address Transformation) / NAPT (Network Address Port Translation), etc., via a modem (not shown) or the like.
  • WLAN AP wireless LAN access point
  • NAT Network Address Transformation
  • NAPT Network Address Port Translation
  • the connection destination of the terminal 1 is a wireless LAN access point (WLAN AP) 41.
  • the terminal 1 switches the connection destination to the 3GPP access network (for example, the eNB 10 in FIG. 1), connects to the WAN 1 (31) and connects to the data center 50 through the packet core network (EPC 20 in FIG. 1).
  • the 3GPP access network for example, the eNB 10 in FIG. 1
  • the WAN 1 311
  • the packet core network EPC 20 in FIG.
  • a VPN tunnel is established between the gateway device (GW) (for example, 51) of the data center 50 and the terminal 1.
  • a VPN device VPN router
  • the terminal 1 is equipped with a VPN device and functions as a VPN client.
  • VPN connections include tunneling and encryption.
  • WAN1 (31) is the Internet, this VPN is a so-called Internet VPN.
  • the data center 50 passes through, for example, the first gateway (GW 1) 51, vEPC 52, and the second gateway (GW 2) 53.
  • GW 1 the first gateway
  • vEPC 52 the second gateway
  • GW 2 the second gateway
  • a packet (traffic) for data communication between the terminal 1 and the WAN 2 (32) does not pass through the vEPC 52 in the data center 50, and the first gateway (GW1) 51 and the second gateway (GW2) 53 You may make it off-load to the virtual network 55 in the meantime.
  • voice packets may be transferred onto the virtual network 55 between the first gateway (GW1) 51 and the second gateway (GW2) 53 of the data center 50. is there.
  • a data packet (data communication) between the terminal 1 and the WAN 2 (32) may be transferred via the vEPC 52 of the data center 50.
  • the function block 54 in the data center 50 may be configured as a packet filter type firewall that permits / denies the packet header information (address, port number, protocol, etc.).
  • the WAN Since the terminal 1 connected to the wireless LAN / 3GPP access network is assigned a private IP address, and the address / port number is converted by NAT / NAPT, the WAN (WAN2) has the private IP address in the header. Packets for the destination and source do not flow.
  • the function block 54 may be configured to reject packets destined for private IP addresses.
  • a SIP (Session Initiation Protocol) message transmitted from the terminal 1 is connected to the second gateway 53 as a proxy session control function P-
  • the CSCF Proxy Call Session Control Function
  • S-CSCF Serving Call Session Control Function
  • MGCF media gateway control function
  • SIP message is sent to Media (Gateway Control Function), and MGW (Media Gateway) or Circuit Switched: Circuit CS (Circuit Switched: CS) between S-CSCF of destination side and Internet or other IMS, or IP network and existing telephone network )
  • MGW Media Gateway
  • Circuit Switched Circuit Switched: CS
  • CS Circuit Switched
  • the IMS function may be implemented on the virtual network 55.
  • a function such as a SIP server (for example, P-CSCF) is installed on the virtual network 55, the function block (FB) 54 is operated on the virtual machine, the content of the voice is analyzed and blocked, It is good also as a structure provided with the incoming call rejection list which prohibits the incoming call from a suitable number.
  • the control device having an incoming call rejection list that prohibits content filtering and incoming calls from an inappropriate number is not used as a virtual machine, but as a real machine, the first gateway (GW1) 51 and the second gateway (GW2). Of course, it may be configured to be connected to 53).
  • the first gateway (GW1) 51 is not particularly limited as a VPN gateway. ⁇ Establishing a VPN tunnel with terminal 1 via wireless LAN and WAN1, Security parameter negotiation, ⁇ User authentication, ⁇ Private IP address assignment, Data encryption and decryption, ⁇ Security key management, ⁇ Management of data transfer via VPN tunnel, Management of transmission / reception data transmission as a VPN tunnel endpoint or router, Etc.
  • the private IP address assignment or the like may be performed not by the first gateway (GW1) 51 but by the PGW in the vEPC 52 or the like.
  • VPN tunneling protocols include PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol), IPsec, and GRE (Generic Route Encapsulation), but the encryption protocol is IPsec.
  • IPsec is used as the VPN tunneling protocol, it is encapsulated with the ESP protocol as described above.
  • key exchange is performed using the IKE protocol (in IKE, port 500 of UDP (User Datagram Protocol) is used).
  • a wireless LAN router connects multiple terminals (VPN clients), so it converts the private IP address and global IP address of the terminal and the port number of the TCP (Transmission Control Protocol) / UDP header. Has NAPT function.
  • the IP header and the data part (Fig. 11 (A)) are encrypted together, and the IP header (New IP Header in Fig. 11 (C)) is reattached and transmitted. (IETF RFC 4303).
  • NAPT change the IP address field of the IP header and the port number of the TCP / UDP header.
  • an ESP header (SPI, Serial Number) is arranged after the IP header, and there is no port number column in the ESP header. For this reason, address conversion NAPT does not work. That is, if NAPT exists between the terminal 1 and the first gateway (GW1) 51 of FIG. 2, VPN using IPsec is not established by NAPT.
  • UDP encapsulation UDP Encapsulation of IPsec (Packets) method
  • the first IP header is an IP header for transfer
  • the source and destination port numbers of the added UDP header are the same port numbers used in IKE. If 500 is used and it is changed by NAT / NAPT, the changed number is used as it is.
  • the added UDP header checksum column (checksum) is set to zero.
  • Non-IKE marker following the UDP header is setting information for distinguishing from the IKE packet (0 is entered).
  • the port number of the added UDP header uses the same port number as the port number of the IKE packet, so that it is not an IKE packet.
  • the cookie value generated by the ISAKMP_SA negotiation initiator and the cookie value generated by the ISAKMP_SA negotiation responder are entered in this part.
  • L2TP enables exchange over an IP network by encapsulating PPP (Point-to-Point Protocol) with UDP, and VPN between LAC (L2TP Network Access Server) and LNS (L2TP Network Network Server) Is realized.
  • L2TP / IPsec is a protocol that performs encryption by IPsec in L2TP that does not have an encryption mechanism.
  • SA connection
  • FIG. 11E is a diagram illustrating an L2TP / IPsec packet format.
  • a NAT traversal technique that automatically detects NAT by detecting changes in the IP address and port number may be used in addition to UDP encapsulation.
  • Pre-shared Key set with the other party of IPsec communication
  • IKE SA ISAKMP SA
  • IKE phase 1 The authentication algorithm, encryption algorithm, and pre-common key are the same between the VPN client (terminal 1) and the VPN gateway (GW51).
  • IPsec tunnel for data communication Communicate on IKE SA and establish SA for data communication. If the authentication algorithm and key are the same as the connection destination, IPsec SA is established. Create a key to communicate with IPsec SA (IKE phase 2). Note that IPsec disappears after a certain period of time. IKE SA is retained for a longer time than IPsec SA.
  • the encryption target data is encrypted and decrypted using the encryption algorithm and the key created by IPsec SA.
  • the encrypted data is transferred to IPsec SA.
  • the encryption algorithm is DES (Data Encryption Standard), 3DES (Triple Data Encryption Standard), etc.
  • the authentication algorithm is MD5 (Message Digest 5) or SHA-1 (Secure Hash Algorithm).
  • FIG. 3A is a diagram illustrating a configuration relating to the VPN device of the terminal 1 and the first gateway (GW1) 51 of the data center 50.
  • the VPN setting unit 512 of the VPN device 511 of the first gateway 51 controls the VPN setting and stores the setting information in the VPN information storage unit 513.
  • the VPN communication control unit 514 performs communication control of data communication via the VPN tunnel by control of VPN tunnel connection (IKE phases 1 and 2), encryption and decryption.
  • the terminal 1 has the same configuration.
  • the VPN setting unit 512 when setting a VPN tunnel in the first gateway 51, the VPN setting unit 512 identifies a VPN identifier (VPN tunnel identifier) for identifying the VPN, a pre-shared key (pre-shared key), and identification of the communication partner. (Name, etc.), authentication algorithm, encryption algorithm, IKE keep alive (reconnect when VPN is disconnected). Further, a route network address (IP address + net mask) is set as route information. Furthermore, the presence / absence of user authentication by XAUTH (eXtended AUTHentication) and the presence / absence of NAT traversal are set. XAUTH performs user authentication by encrypting and exchanging the user name and password between the VPN remote client and server after IKE phase 1 (device authentication).
  • VPN setting unit 102 of the VPN apparatus 101 of the terminal 1 as a VPN client setting, a setting name, a pre-shared key (pre-shared key), a client name, a connection destination gateway (IP address or name), an authentication algorithm, an encryption Set the algorithm, destination network, presence / absence of NAT traversal, etc.
  • ⁇ IKE encryption algorithms (3DES-CBC (Cipher Block Chaining Mode), DES-CBC, AES (Advanced Encryption Standard) -CBC), ⁇ IKE hash algorithm (MD5, SHA-1), ⁇ ESP encapsulation (to send and receive by encapsulating with UDP to enable IPsec communication in an environment where NAT cannot pass ESP), ⁇ Pre-shared-key, -SA policy (for example, policy identifier (Policy_ID), VPN gateway identifier (gateway), authentication header (AH), authentication algorithm, local device network identifier, remote network identifier, etc.) Transport mode definition (source port list, destination port list), -At least one of presence / absence of NAT traversal, etc. is stored (but not limited to the above). These pieces of information may be set by a command input by the VPN setting unit.
  • These pieces of information may be set by a command input by the VPN setting unit.
  • FIG. 3B is a diagram illustrating an example of VPN management information set by the VPN setting unit 512 and stored in the VPN information storage unit 513.
  • VPN is assigned a VPN identifier and is managed for each terminal (user).
  • the connection partner IP address is the private IP address (local IP address) of the VPN client (terminal 1) issued by the first gateway 51 or the like (DHCP server).
  • the terminal ID / name of the connection destination may be the ID of the terminal 1 (for example, IMSI (International Mobile Subscriber Identity)) or user ID.
  • the device address is the IP address on the VPN tunnel side of the first gateway 51 (router).
  • the connection network is a destination network for VPN communication, and is a network address on the VPN tunnel side. In the example of FIG.
  • the IP address assigned to the terminal 1 in FIG. 3A is 100.1.100.1, and the IP address assigned to the terminal 1 is 100.1.100.1 (netmask: 32).
  • a packet addressed to the terminal 1 from the data center 50 is route-searched by a wireless LAN router connected to the WAN 1 (31), and is transmitted to the terminal 1 via a VPN via a wireless LAN access point connected to the corresponding port.
  • VPN management information in addition to the IP address, terminal ID, etc.
  • the name of the wireless LAN access point to which the terminal 1 is connected (Access (Point Name : APN) or port information of a wireless LAN router to which the wireless LAN access point is connected may be provided.
  • APN Access (Point Name : APN)
  • port information of a wireless LAN router to which the wireless LAN access point is connected may be provided.
  • FIG. 3B the VPN information shown in FIG. 3B is an example, and it is needless to say that the VPN information is not limited to such a configuration.
  • FIG. 3C is a diagram illustrating an example of VPN management information set by the VPN setting unit 102 of the terminal 1 which is a VPN client and stored in the VPN information storage unit 103.
  • the connection destination may be specified by the host name of the base (for example, FDNQ (Fully Qualified Domain Name) of the data center 50).
  • the connection network is a destination network of VPN communication from the VPN client (terminal 1), and is a network address on the VPN tunnel side of the first gateway 51.
  • the connection network is assumed to have an address on the VPN side of the first gateway 51: 100.1.1.0/24 (net mask: 24).
  • VPN communication control units 514 and 104 terminate VPN tunnels, manage security keys, manage data transfers via VPN tunnels, control transmission / reception data transmission as VPN tunnel endpoints or routers, and encrypt data Packet transfer by encapsulation and packet decapsulation and decoding.
  • IPv4 Internet Protocol Version 4
  • IPv4 Internet Protocol Version 4
  • IP addresses in FIGS. 3B and 3C are fictitious addresses.
  • an L2TP tunnel is arrange
  • Connection control messages and session control messages are used to establish the L2TP tunnel.
  • a tunnel is created by a connection control message, and then a session is established by a session control message.
  • VPNs are allocated on a terminal basis (terminal ID, common account).
  • the terminal ID / name column may be a user account (for example: “aaa@example.com”) provided to the user by the CLIDE operator of the data center 50 in addition to the user ID.
  • VPN management may use user-specific information (such as a user account or a Web mail address) in addition to the IP address of the terminal 1 (VPN client).
  • the wireless LAN access point 41 transfers the access request packet from the terminal 1 to the main data center 50 via the WAN 1 (31).
  • the first gateway (GW1) 51 of the data center 50 assigns an IP address (private IP address) to the terminal 1 and establishes a VPN tunnel 60.
  • the VPN tunnel 60 is an IPsec tunnel, as described above, IKE SA establishment (IKE phase) 1, IPsec SA establishment (IKE phase 2), and encrypted communication on the IPsec SA are performed.
  • FIG. 4 is a diagram for explaining an example of an initial attach process of the terminal 1 and a sequence for connecting to the connection destination 33 connected to the WAN 2 (32) in the system of the exemplary embodiment described with reference to FIG. is there.
  • FIG. 4 schematically illustrates an example of an operation sequence in the terminal 1, the WLAN 40, the first gateway 51 (GW1), the vEPC 52, the second gateway (GW2) 53, and the WAN2 (32) in FIG. .
  • the number given to each sequence operation is a sequence number for explanation.
  • the terminal 1 establishes a connection with the wireless LAN (WLAN) 40, and performs authentication / authorization (Authentication & Authorization) by HSS / AAA (not shown) in the vEPC 52, for example.
  • the first gateway 51 is a gateway to which the terminal 1 connects when accommodating a wireless LAN 40 that is non-3GPP wireless access (UntrustedtrustNon-3GPP IP Access) that is not reliable in security. Is set as.
  • the first gateway (GW1) 51 transmits a bearer setting request (Create ⁇ ⁇ Session Request) to the vEPC 52, for example.
  • a PGW to be connected to the packet data network of the connection destination is selected, and a GTP (GPRS (General Packet Radio System) Tunneling Protocol) tunnel is established on the S8 interface between the SGW and the PGW.
  • GTP General Packet Radio System
  • a bearer setting response (Create Session Response) is transmitted from the vEPC 52 to the first gateway (GW1) 51.
  • the IP address assigned to the terminal 1 is notified by the IKEv2 message from the first gateway (GW1).
  • IP connection from terminal 1 to the first gateway (GW1) is set at this point.
  • the above corresponds to the sequence of the attach process.
  • the setting of the connection with the connection destination 33 on the WAN 2 side is completed from the terminal 1 via the VPN and the vEPC 52 of the data center 50.
  • the packet in the downlink direction from the WAN 2 (32) side to the terminal 1 is transferred to the first gateway 51 (GW1) by the PGW in the vEPC 52 in accordance with a policy such as PCRF. (GW1) to the terminal 1 via the VPN tunnel 60.
  • FIG. 5A is a diagram showing an example of the configuration of the functional block 54 in FIG.
  • the function block 54 is A communication unit 541 that receives the packet and causes the permitted packet to communicate under the control of the transfer control unit 542;
  • a filter information storage unit 543 for storing filter information for controlling packet discard and passage;
  • the address, port, and protocol are extracted from the header of the packet received by the communication unit 541, checked against the conditions of the filter information storage unit 543, whether the packet is rejected or permitted, and the determination result is notified to the communication unit 541.
  • a filter information setting unit 544 for setting filter information in the filter information storage unit 543; It has.
  • the filter information setting unit 544 may set the filter information in the filter information storage unit 543 by a management terminal (not shown) in the data center 50 in FIG. .
  • a management terminal not shown
  • the functional block 54 is equivalently provided for each terminal 1.
  • FIG. 5B shows an example of packet filter information as the configuration of the filter information storage unit 543 in FIG.
  • the type handling of packets that match the filter conditions: passing or discarding
  • direction filter evaluation direction: WAN2 is UP from wireless LAN, and wireless LAN is DOWN from WAN2)
  • Protocol IP protocol of the packet to be filtered
  • source address source IP protocol of the packet to be filtered
  • transmission port source port of the packet to be filtered
  • destination address filter target and Destination IP protocol
  • destination port destination port of packet to be filtered
  • the filter information of FIG. 5B is filtered from the filter information setting unit 544 for each terminal (subscriber).
  • the filter information setting unit 544 For each terminal (subscriber), the filter information of FIG. 5B is filtered from the filter information setting unit 544 for each terminal (subscriber).
  • the terminal 1 (subscriber) may be managed using a user account assigned to the user of the terminal 1 on the data center 50 side.
  • FIG. 6 is a diagram illustrating an example of the above-described embodiment.
  • an IPsec tunnel is set between the ePDG 527 of the vEPC 52 of the data center 50 and the terminal 1.
  • the ePDG 527 functions as a VPN gateway and terminates the VPN tunnel.
  • ePDG527 functions as a VPN gateway, Establishing a VPN (IPsec) tunnel with the terminal 1 via the wireless LAN 40 and WAN 1 (31), Security parameter negotiation, ⁇ User authentication, ⁇ Assign private IP address to terminal 1, Data encryption and decryption, ⁇ Security key management, ⁇ Management of data transfer via VPN tunnel, ⁇ Management of transmission and reception data transmission as the end point of VPN tunnel.
  • IPsec VPN
  • the assignment of the private IP address to the terminal 1 may be performed by the PGW 522 of the vEPC 52.
  • the terminal 1 transmits an EAP message to the ePDG 527 by IKEV2, relays it to the 3GPP AAA server 525 of the vEPC 52, and performs EAP-SIM / EAP-AKA authentication.
  • the ePDG 527 and the PGW 522 of the vEPC 52 are connected by a GTP or PMIPv6 tunnel.
  • the proxy mobile IP (PMIPv6 tunnel)
  • PMIPv6 tunnel When the proxy mobile IP (PMIPv6 tunnel) is used between the PGW 22 and the ePDG 27 in the vEPC 52, when the IPsec tunnel is established between the terminal 1 and the ePDG 27 of the vEPC 52, the ePDG 27 performs a proxy binding update (Proxy Binding Update). Send to PGW22.
  • the proxy binding update Proxy Binding Update
  • the destination of the incoming call to the terminal 1 is switched to the ePDG 27 of the vEPC 52, and the incoming call is notified to the terminal 1 via the VPN tunnel 60 and the WLAN 40.
  • the PGW 522 is connected to a packet filter 529 having, for example, a TFT (Traffic Flow Template) related to an EPS bearer.
  • the packet filter 529 functions as the functional block 54 in FIG. 2 and is provided for each terminal 1. That is, the filter information (packet discard etc.) in the packet filter 529 is provided for each terminal 1 (subscriber) as described above.
  • the packet filter 529 may be arranged in the PGW 522.
  • the setting (addition, correction, deletion, etc.) of the filter information in the downstream direction from the WAN2 to the terminal 1 and the upstream direction from the terminal 1 to the WAN2 is performed by modifying the bearer resource from the terminal 1, as described above. You may make it perform with the request request
  • the setting of filter information in the packet filter 529 may be performed from the terminal 1 when a connection request process such as an Attach Request is performed, or when a predetermined event occurs.
  • the packet filter 529 may be configured to have a filtering function in the application layer or a stateful inspection function.
  • the packet filter 529 may be provided with an incoming call rejection list for rejecting incoming calls from the WAN 2 (32).
  • WAN2 When WAN2 (32) is configured with IMS, P-CSCF (Proxy-Call Session Function ⁇ ⁇ ) connected to vEPC52, Serving-CSCF, content filtering that analyzes and blocks voice content, and inappropriate numbers It is good also as a structure provided with the incoming call rejection list which prohibits the incoming call from.
  • the SGW 521 is connected to access of the data center 50 from a 3GPP access network (not shown).
  • another functional block 54 in addition to the packet filter 529.
  • a data compressor 530 is connected to the ePDG 527, and in the data compressor 530, a packet transferred to the terminal 1 according to the capability information or model information of the terminal 1. You may make it vary the compression rate of the data of a payload part.
  • the data compressor 530 may be connected to the PGW 522 to variably control the compression rate of data transmitted to the WAN 2 (32).
  • ePDG 527 and PGW 522 are implemented by vEPC 52, but the cloud operator borrowed ePDG 27 and PGW 22 (FIG. 1) of MNO (Mobile Network Operator) as MVNO (Mobile Virtual Network Operator), for example. May be.
  • MNO Mobile Network Operator
  • MVNO Mobile Virtual Network Operator
  • Wi-Fi (registered trademark) -Calling from the terminal 1, a VPN 60 (IPsec tunnel) is established between the terminal 1 and the ePDG 527 via the WLAN 40 and WAN 1 (31), and GTP is connected between the ePDG 527 and the PGW 522.
  • a / PMIPv6 tunnel is established and connected to the connection destination from the PGW 522 via, for example, the WAN 2 (32) made of IMS.
  • Wi-Fi (registered trademark) -Calling is controlled as a communication service by a cloud operator (MVNO) and provides a secure connection. Protection is provided.
  • MVNO cloud operator
  • Protection is provided.
  • the PGW 522 may have both the function as the second gateway (GW2) 53 of FIG.
  • FIG. 7 is a diagram schematically illustrating the initial attach process of the terminal 1 and the communication connection sequence to the connection destination 33 connected to the WAN 2 (32) in the system of FIG.
  • FIG. 7 illustrates an example of an operation sequence in the connection destination 33 on the terminal 1, WLAN 40 (WLAN AP), ePDG 527, PGW 522, HSS 524 / AAA server 525, PCRF 526, WAN 2 (32) side in FIG.
  • the number given to each sequence operation is a sequence number for explanation.
  • GW1 first gateway
  • PGW 522 is replaced with the second gateway (GW2)
  • the operation described with reference to FIG. 4 can be partially supported.
  • the terminal 1 establishes a connection with the wireless LAN (WLAN) 40, and performs authentication / authorization (Authentication & Authorization) by the HSS524 / AAA 525 in the vEPC 52, for example.
  • WLAN wireless LAN
  • authentication / authorization Authentication & Authorization
  • the ePDG 527 uses the LMA (Local Mobility) to establish a binding between the Proxy Binding Update (the mobile node's home network prefix and the MAG (Mobile Access Gateway) to which the mobile node is connected) to the PGW 522. Request message sent to Anchor).
  • LMA Local Mobility
  • the PGW 522 performs an IP connection access network (IP-CAN (Connection-Access Network)) session establishment procedure in cooperation with the PCRF 526.
  • IP-CAN Connection-Access Network
  • the PGW 522 notifies the AAA server 525 of the PGW identification information (PGW ID), and the AAA server 525 notifies the HSS 524 of the ID of the PGW 522 and the APN (Access Point Name) corresponding to the terminal 1 for registration.
  • PGW ID PGW identification information
  • APN Access Point Name
  • the PGW 522 performs a proxy binding update process and creates a binding cache entry corresponding to the terminal 1. Thereby, in the PGW 522, the packet addressed to the terminal 1 is transmitted to the ePDG 527 according to the content held in the binding cache entry. The PGW 522 transmits a proxy binding response (Proxy Binding Ack) to the ePDG 527.
  • a proxy binding response Proxy Binding Ack
  • the ePDG 52 notifies the terminal 1 of the IP address with an IKEv2 message.
  • IPsec tunnel is established between the terminal 1 and the ePDG 527, and a tunnel such as PMIP (Proxy-> Mobile-> Internet-> Protocol) is established between the ePDG 527 and the PGW 522.
  • PMIP Proxy-> Mobile-> Internet-> Protocol
  • connection destination 33 When a connection request to the connection destination 33 is received from the terminal 1 side to the WAN 2 (32) side from the ePDG 527 via the PMIP tunnel, IP routing from the PGW 522 to the connection destination (WAN 2 side) is performed.
  • the SIP message from the terminal 1 is transmitted to the P-CSCF of the IMS via the second gateway (GW2) 53, and for example PSTN (Public Switched Telephone Networks) via the S-CSCF, MGCF, MGW or the like.
  • the connection destination 33 may be connected.
  • the S-CSCF may be connected to the connection destination 33 that is connected to the Internet or another IMS.
  • IMS P-CSCF and PGW 522 communicate by IPsec (VPN).
  • the setting of the connection with the connection destination 33 on the WAN 2 side is completed from the terminal 1 via the VPN and the vEPC 52 of the data center 50.
  • the packet in the downlink direction from the WAN 2 (32) side to the terminal 1 is transferred by the PGW 522 in the vEPC 52 to the ePDG 527 via the PIMP tunnel based on the binding cache entry, and from the ePDG 527 via the VPN tunnel 60 to the terminal 1 1 is transferred.
  • a virtual machine (Virtual VM) 571 on the server 57 in the data center 50 is connected to a virtual port A of a virtual switch (vSwitch) 576 via a virtual network interface controller (vNIC) 575, and the virtual switch (vSwitch) A virtual port of 576: B is connected to a physical port: C of a physical switch (Physical Switch) 58 via a physical NIC (pNIC) 577, and a data center of the physical switch (Physical Switch) 58 is connected to a data center of D. 50 is connected to a network 55 such as a LAN.
  • a network 55 such as a LAN.
  • the virtual machine 571 includes a guest OS (Operating System) 573 and an application 572, and realizes part or all of the functions of the EPC network node (for example, the function of the ePDG 527 in FIG. 6 or the function of other nodes).
  • the virtual network 59 is connected to the router 56 of FIG. 6, for example.
  • the functional block 54 in FIG. 2 may be configured by the virtual machine (Virtual VM) 571 in FIG.
  • a virtual NIC (vNIC), a virtual switch (vSwitch), and the like are provided by a hypervisor 574, which is a virtualization mechanism on the server 57.
  • the physical switch 58 may be configured with an L2 (Layer 2) switch, and the network 59 may be configured with a virtual network such as a VLAN (Virtual LAN).
  • L2 Layer 2
  • VLAN Virtual LAN
  • the virtual machine 571 in FIG. 10 may implement the functional block 54 in FIG. 2 and the virtual network 55 in FIG. 2 may be configured with a network 59 such as a VLAN.
  • NFV Network Function Virtualization
  • management units NFV Orchestrator (NFVO)
  • VNF Virtualized Network Function Manager
  • FIG. 9 NFV (Network Function Virtualization) management units (NFV Orchestrator (NFVO), VNF (Virtualized Network Function) Manager, etc.) such as a manager that manages and integrates network function virtualization are omitted.
  • FIG. 8 is a diagram for explaining another embodiment.
  • terminals 1-1, 1-2, and 1-3 are accessing one wireless LAN access point 41 and vEPC 52 of the data center 50 of the cloud operator.
  • the data center 50 manages the VPN for each of the terminals 1-1 to 1-3, or for each user account of the terminal, and simultaneously accommodates the plurality of VPN tunnels 60-1 to 60-3. You may do it. Note that the configuration, operation, and the like of each of the terminals 1-1 to 1-3 are the same as in the above embodiment.
  • the data center 50 includes a plurality of functional blocks 54-1 to 54-3 and a plurality of functional blocks 54-1 to 54- that are connected to the VPNs 60-1 to 60-3 via the first gateway (GW1) 51, respectively. 3 and a functional block 54-4 connected between the second gateway (GW2) 53.
  • GW1 first gateway
  • GW2 second gateway
  • the functional blocks 54-1 to 54-3 may be configured to set packets to be filtered (parental control, access denial, etc.) from the user side.
  • the function block 54-4 may set a packet to be filtered (for example, a packet from a specific region, site, etc.) from a maintenance terminal or a control device (not shown) of the cloud operator of the data center 50. .
  • the function blocks 54-1 to 54-3 When the function blocks 54-1 to 54-3 are set from the user side, they may be set by a request message to the data center 50 from the terminal 1 side.
  • the function can be executed from the maintenance terminal or the control device (not shown) of the cloud operator that owns the data center 50.
  • Filter targets may be set for the blocks 54-1 to 54-3.
  • the plurality of terminals When a plurality of terminals are connected to one wireless LAN access point 41, the plurality of terminals share radio waves and communicate, and when a plurality (multiple) terminals access one wireless LAN access point 41, The throughput (data transfer amount per unit time, etc.) of each terminal decreases. Therefore, when a plurality of terminals are connected to one wireless LAN access point 41 and access is concentrated, the connection destination of the plurality of terminals is changed to a wireless access point different from the wireless access point where access is concentrated.
  • a configuration including a wireless LAN controller (not shown) for performing distribution and load distribution control may be employed.
  • FIG. 9 is a diagram for explaining still another embodiment of the present invention.
  • a function block 54-2 in the vEPC 52 is provided in addition to the function block 54-1 on the virtual network 55 between the first gateway (GW1) and the second gateway (GW2).
  • the function block 54-1 performs filtering of data communication packets.
  • the function block 54-2 in the vEPC 52 permits, for example, rejecting an incoming call from a telephone number designated by the user, and accepting an SMS or incoming call in which the telephone number designated by the user is registered.
  • the function block 54-1 and the function block 54-2 are equivalently configured such that filter information or the like is set for each terminal 1 and equivalently provided for each terminal 1.
  • the function block 54-2 may virtualize at least a part of the functions of the IMS SIP server and connect to, for example, the PGW to realize control of call rejection or permission.
  • the function of the function block 54-2 may be added to the packet filter (529 in FIG. 6) that manages the TFT with the PGW of the vEPC 52.
  • the function block 54-1 between the first gateway (GW1) and the second gateway (GW2) is used to store packet data from the WAN2 (32) to the terminal 1 side, capability information of the terminal 1, etc. (SDP (Session Description)
  • SDP Session Description
  • the compression rate of the compression encoding is changed so as to be adapted to the capability, model, etc. on the terminal 1 side based on the capability exchange by Protocol), etc., and then transferred from the first gateway to the terminal 1 Good.
  • the functional block 54-1 transcodes the packet data (compression encoded data) received by the second gateway from the WAN 2 (32) once decoded and re-encoded to change the compression rate. Processing may be performed. In transcoding processing, the bit rate, frame rate, resolution, and the like may be changed. For example, the data size downloaded to the terminal 1 can be compressed to reduce the network load, improve the transfer efficiency, and effectively use the bandwidth.
  • Non-Patent Document 1 is incorporated herein by reference.
  • the embodiments and examples can be changed and adjusted based on the basic technical concept.
  • Various combinations or selections of various disclosed elements are possible within the scope of the claims of the present invention. . That is, the present invention of course includes various variations and modifications that could be made by those skilled in the art according to the entire disclosure including the claims and the technical idea.
  • a communication system comprising:
  • Appendix 2 In the data center, The communication system according to appendix 1, wherein the virtual network includes a virtual packet core network in which at least a part of a function of the packet core network is virtualized.
  • the functional block is A first functional block connected between the first gateway and the second gateway; A second functional block connected to the virtual packet core network;
  • the communication system according to appendix 2 including at least one of the above.
  • the functional block is In addition to packet filters that control packet blocking and passage, The communication system according to any one of appendices 1 to 3, further including a functional block that controls an incoming call to the terminal and a text message access rejection and permission.
  • the functional block is A functional block for controlling compression of data in the payload portion of at least one of the packet input from the second wide area network side and the packet input from the terminal side via the first wide area network
  • the communication system according to any one of appendices 1 to 3, further comprising:
  • the functional block is Appendices 1 to 5 each having a function block that is provided corresponding to the terminal and in which filtering of packets to the terminal and / or denial of access to the terminal and access to a message and permission are set for each terminal.
  • the communication system according to any one of the above.
  • the terminal communicates with a connection destination from the VPN via the virtual packet core network of the data center and the second wide area network, Of the incoming calls or messages from the second wide area network side to the terminal, the incoming calls or messages permitted by the second functional block connected to the virtual packet core network of the data center are The communication system according to attachment 3, which is transmitted to the terminal via a VPN.
  • Appendix 8 In a data communication service provided to the terminal via the wireless LAN, The terminal connects to the second wide area network from the VPN via the virtual network of the data center; Data from the second wide area network side to the terminal is filtered by the first functional block connected between the first gateway and the second gateway of the data center, and allowed packets The communication system according to appendix 3 or 7, wherein is transmitted to the terminal via the VPN.
  • the functional block is Comprising first to Nth functional blocks respectively connected to the first to Nth VPNs terminated at the first gateway;
  • An N + 1th functional block connected at one end to the first to Nth functional blocks and connected at the other end to the second gateway;
  • the setting of the first to Nth functional blocks is performed from the user side of the first to Nth terminals,
  • the communication system according to appendix 1 or 2, wherein the setting of the (N + 1) th functional block is performed on the data center side.
  • Appendix 10 In the data center, The communication system according to any one of appendices 1 to 9, wherein the first gateway manages the VPN with the terminal in a terminal unit or a user unit of the terminal.
  • a functional block that performs filtering control of A communication device comprising:
  • Appendix 12 The communication device according to appendix 11, wherein the virtual network includes a virtual packet core network in which at least a part of a function of the packet core network is virtualized.
  • the functional block is A first functional block connected between the first gateway and the second gateway; A second functional block connected to the virtual packet core network; The communication device according to appendix 12, including at least one of them.
  • the functional block includes: 14.
  • the functional block is A functional block for controlling compression of data in the payload portion of at least one of the packet input from the second wide area network side and the packet input from the terminal side via the first wide area network
  • the communication device according to any one of appendices 11 to 13, further comprising:
  • the functional block is Appendices 11 to 15 provided corresponding to the terminal, each having a functional block for setting filtering of the packet to the terminal and / or refusal and permission of incoming call and message access to the terminal.
  • the communication device according to any one of the above.
  • the terminal In a voice call or text message service provided to the terminal via the wireless LAN, The terminal communicates with a connection destination from the VPN via the virtual packet core network of the communication device and the second wide area network, Of the incoming calls or messages from the second wide area network side to the terminal, the incoming calls or messages permitted by the second functional block connected to the virtual packet core network of the communication device are the The communication device according to attachment 13, which is transmitted to the terminal via a VPN.
  • Appendix 18 In a data communication service provided to the terminal via the wireless LAN, The terminal connects to the second wide area network from the VPN via the virtual network of the data center; The data from the second wide area network side to the terminal is filtered and permitted by the first functional block connected between the first gateway and the second gateway of the communication device. 18. The communication device according to appendix 13 or 17, wherein is transmitted to the terminal via the VPN.
  • N is an integer greater than or equal to 2 terminals connected to one wireless LAN access point and the first gateway of the communication device are connected via first to Nth VPNs
  • the functional block is Comprising first to Nth functional blocks respectively connected to the first to Nth VPNs terminated at the first gateway;
  • An N + 1th functional block connected at one end to the first to Nth functional blocks and connected at the other end to the second gateway;
  • the setting of the first to Nth functional blocks is performed from the user side of the first to Nth terminals,
  • the communication apparatus according to appendix 11 or 12, wherein the setting of the (N + 1) th functional block is performed on the communication apparatus side.
  • Appendix 20 The communication device according to any one of appendices 11 to 19, wherein the first gateway manages the VPN with the terminal in a terminal unit or a user unit of the terminal.
  • a first wide area network (Wide Area Network) is interposed between a wireless LAN (Local Area Network) to which the terminal is connected and a first gateway of a data center and the terminal via the wireless LAN.
  • VPN Virtual Private Network
  • a communication method for filtering at least one of the packets is interposed between a wireless LAN (Local Area Network) to which the terminal is connected and a first gateway of a data center and the terminal via the wireless LAN.
  • VPN Virtual Private Network
  • Appendix 23 The appendix 21 or 22, wherein the data center controls compression of data in a payload portion of at least one of a packet input from the second wide area network side and a packet input from the terminal side. Communication method.
  • Appendix 24 In the data center, the functional block is provided corresponding to the terminal, 24.
  • a terminal provided with means for receiving via.
  • a computer included in a terminal connected to a data center via a wireless LAN (Local Area Network) and a first wide area network (Wide Area Network) A process for establishing a VPN (Virtual Private Network) via the wide area network via the wireless LAN between the data center and the terminal; A process for connecting to a second wide area network via a virtual network provided in the data center via the VPN and virtualizing at least a part of the functions of the packet core network; Out of incoming calls to the terminal input to the data center from the second wide area network side or data addressed to the terminal, incoming calls or data filtered in the data center are sent via the VPN.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明は、無線LAN、広域ネットワークを介してデータセンタに接続する端末に対して必要な保護を提供するとともに、セキュアな通信を提供可能とする。データセンタが、端末との間を無線LANを介し第1の広域ネットワーク経由のVPNで接続する第1のゲートウェイと、第2の広域ネットワーク(WAN2)に接続する第2のゲートウェイと、前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、少なくとも、前記第2の広域ネットワーク(WAN2)側から前記第2のゲートウェイに入力されたパケットのフィルタリングを行う機能ブロックと、を備える。

Description

通信システム、通信装置、通信方法、端末、プログラム
 (関連出願についての記載)
 本発明は、日本国特許出願:特願2015-143405号(2015年7月17日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
 本発明は通信システム、装置、方法、端末、プログラムに関する。
 発展型パケットシステム(Evolved Packet System: EPS)は、3GPP(3rd Generation Partnership Project)アクセスネットワークのほか、非3GPPアクセスネットワークを含む。3GPPアクセスネットワークはUTRAN(UMTS(Universal Mobile Telecommunications System) Terrestrial Radio Access Network)、E-UTRAN(Evolved UTRAN)、GERAN(GSM(登録商標)(Global system for mobile communications) EDGE Radio Access Network)等を含む。
 非3GPPアクセスネットワークは、3GPPの範囲外の仕様のアクセス技術を用いたIP(Internet Protocol)アクセスネットワークであり、IEEE(The Institute of Electrical and Electronics Engineers, Inc.)802.11仕様で規定されるWi-Fi(登録商標: Wireless Fidelity)やIEEE802.16仕様で規定されるWiMAX(Worldwide Interoperability for Microwave Access)等の無線LAN(Wireless Local Area Network:WLAN)を含む。非3GPPアクセスについては例えば3GPP TS23.402: Architecture enhancements for non-3GPP accesses等を参照してもよい。
 Wi-Fi(登録商標)-Callingは、通信キャリアによって提供されるサービスであるこのサービスは、当該通信キャリアのSIM(Subscriber Identity Module)が挿入された端末(User Equipment :UE)でWi-Fi(登録商標)を経由して音声通話やショートメッセージサービス(Short Message Service: SMS)等を利用可能とする(非特許文献1参照)。端末がUMA(Unlicensed Mobile Access)技術を使ってWi-Fi(登録商標)経由で通信キャリアのセキュリティ・ゲートウェイに接続しSIM認証で認証されると、通信キャリアのコア網の交換機に接続し通話相手(固定電話、別の通信キャリアの加入端末等であってもよい)に接続される。また、端末がWi-Fi(登録商標)に接続しており且つWi-Fi(登録商標)-Callingがオンに設定されていれば、当該端末に対する着信を受けたセキュリティ・ゲートウェイはWi-Fi(登録商標)経由で当該端末を呼び出す。
 図1は、非3GPPアクセスネットワークを含むEPSを説明する図である。スマートフォン等の端末(UE)1は、基地局(evolved NodeB:eNB)10、発展型パケットコア(Evolved Packet Core: EPC)20を介してパケットデータ網(Packet Data Network: PDN)30に接続するか、あるいは、Wi-Fi(登録商標)等の無線LANアクセスポイント41を介してインターネットに接続することができる。
 EPC20のMME(Mobility Management Entity)23は、端末1の移動管理や認証、ユーザデータ転送経路の設定等の各種処理を行う。また、MME23は、HSS(Home Subscriber Server:加入者プロファイルを保持)24と連携してユーザの認証等を行う。MME23はSGW(Serving Gateway)21から基地局10の区間(S1-U)のユーザデータ転送経路の設定・解放を行う。SGW21は基地局10との間でユーザデータの送受信を行い、PGW(Packet Data Network gateway)22との間の通信経路の設定・解放を行う。PGW22はIMS(IP Multimedia Subsystem)やインターネット等のパケットデータ網(PDN)30と接続する。またPGW22は端末1に対するIPアドレス(プライベートIPアドレス)の割当て等を行う。PCRF(Policy and Charging Rules Function)26はQoS(Quality of Service)等のポリシ制御や課金制御ルールを決定する。PGW22及びSGW21はPCRF26からの通知情報に基づき、例えばパケット単位にポリシ制御を行う。なお、図1において、各ノード間の線の符号S11等はインタフェースを表しており、破線はコントロールプレーン(C-Plane)、実線はユーザプレーン(U-Plane)の信号(データ)を表している。EPCの詳細は例えば3GPP TS 23.401:GPRS Enhancements for E-UTRAN Access等を参照してもよい。
 Wi-Fi(登録商標)-Calling等において、端末1からの呼要求は無線LANアクセスポイント41経由で、Un-Trusted Access(信頼できないアクセス)として、ePDG(evolved Packet Data Gateway)27経由でPGW22に接続され、PDN30(例えばIMSサービス)に接続される。
 ePDG27は、モバイルインタフェース(SWu)からのIPsec(Security Architecture for Internet Protocol)接続を終端するIPsecゲートウェイである。端末(UE)1が、セキュリティ上信頼できない非3GPPアクセスに移行するか又は非3GPPアクセスに最初に接続するときに、端末1はePDG27を検出し、ePDG27との間での鍵交換(IKEv2)、及び、IPsecトンネルの確立を行い、確立したIPsecトンネル越しに、PGW22と、PDN(Packet Data Network)コネクションを確立する。端末1が、非3GPPアクセスネットワークにアクセスするには、認証を行う必要がある。ePDG27は、端末1からのEAP(Extensible Authentication Protocol)メッセージを3GPP AAA(Authentication Authorization Accounting)サーバ25に中継し、3GPP AAAサーバ25は、EAP-SIM(Extensible Authentication Protocol-Subscriber Identity Module)認証又は、EAP-AKA(Extensible Authentication Protocol-Authentication and Key Agreement)認証を行う(例えば3GPP TS 33.402:Security aspects of non-3GPP accesses等を参照してもよい)。
 ePDG27は、S2bインタフェースにおいてPGW22に向かってトンネル(プロキシモバイル(Proxy Mobile)IP 又はGTP(GPRS(General Packet Radio System) Tunneling Protocol))を設定する(例えば3GPP TR 23.834: Study on GPRS Tunneling Protocol (GTP) based S2b等を参照してもよい)。
 非3GPPアクセスがPMIPv6(Proxy Mobile IPv6)に対応している場合、ePDG27はPGW22にPMIPv6を介して接続できる。PGW22とePDG27間でプロキシモバイルIPを使用する場合、端末1とePDG27との間でIPsecトンネルが確立されると、ePDG27はプロキシバインディングアップデート(Proxy Binding Update)メッセージをPGW22に送信する。この結果、PGW22において端末1へのデータの送信先はePDG27に切り替えられる。なお、PMIPv6は、モビリティアンカ(LMA:Local Mobility Anchor)とモビリティアクセスゲートウェイ(MAG:Mobility Access Gateway)の間でデータ転送用のトンネル(GRE(Generic Routing Encapsulation)トンネル)を確立・解放するモビリティ制御プロトコルである(IETF(The Internet Engineering Task Force) RFC(Request For Comments) 5213等を参照してもよい)。LMAは端末が接続するMAGまでパケット転送を行う(通信経路を切り替えて端末宛てパケットを在圏エリアへ転送する)。端末があるMAGから異なるMAGに移動した場合、前にデータ転送用トンネルを確立したLMAと、端末が新たに接続するMAG間でデータ転送用のトンネルが張られる。
 3GPP AAAサーバ25は、ユーザからのネットワークアクセスの認証、認可、及びアカウンティングサービスを提供する。非3GPPアクセスの認可は、端末1と3GPP AAAサーバ25、HSS24間で行われる。例えば端末1がePDG27との間でIPsecトンネルを確立すると、EAP-AKAに基づき、端末1とネットワーク間で相互の認証が行われる。3GPP AAAサーバに関して3GPP TS 29.273:Evolved Packet System (EPS);3GPP EPS AAA interfaces等を参照してもよい。
 一方、端末1が、信頼できる(Trusted)非3GPPアクセス(図1の信頼できる無線LANアクセスポイント42)に移行するか又は最初に接続するとき、MIP(Mobile IP)トンネル(S2a、DSMIPv6(Dual-Stack MIPv6):IETF RFC 5555等を参照してもよい)を介して、直接、PGW22に接続する。なお、ePDG、3GPP AAAサーバについては3GPP TS 29.273: Evolved Packet System (EPS); 3GPP EPS AAA interfaces等を参照してもよい。なお、非3GPPアクセスネットワークが信頼できるアクセスネットワークであるか、信用できないアクセスネットワークであるかは、例えばHPLMN(Home Public Land Mobile Network)の通信キャリア(オペレータ)によって決定される。
 IPSecは、ネットワーク層レベルでパケットの暗号化や認証を行うプロトコルである。AH(Authentication Header)はVPN(Virtual Private Network)の接続先、パケットの改竄の有無等の認証を行う(IETF RFC 2402等を参照してもよい)。ESP(Encapsulating Security Payload)はパケットの暗号化、認証(接続先・パケットの改竄)を行う(IETF RFC 2406参照)。IPSec通信には、トランスポートモード(IPsecが実装されたホスト間のIPsec)と、トンネルモード(IPsecが実装されたルータ等VPN装置間のIPsec)がある。トランスポートモードではパケットのレイヤ4以上のデータを暗号化し(図11(B)参照)、元のIPヘッダ(Original IP header)に基づいてパケットが転送される。トンネルモードでは、パケットの元のIPヘッダ、データ部(図11(A))は暗号化され、新たなIPヘッダ(New IP header)が追加される(図11(C)参照)。
 ESPのパケット形式は、ESPヘッダ(ESP header)、ペイロード、ESPトレイラ(ESP Trailer)、認証データ(ESP Authentication data)からなる(図11(B)、(C)参照)。ESPヘッダ(ESP header)は、SPI(Security Parameter Index:そのデータグラムに対するSA(セキュリティアソシエーション)を一意に識別する32ビットの値)と、シーケンス番号(Sequence Number)(パケットのシーケンス番号:32ビット)を有する。ESPトレイラは、パディング(Padding)(ペイロード長調節用パディングフィールド)、パッド長(Pad length)(Paddingのバイト数)、次ヘッダ(Next Header)(ESPの後のプロトコル:TCP/UDP)からなる。認証データ(Authentication data)(HMAC (Hash-based Message Authentication Code))は、ESP パケットから認証データを抜いたものから計算されたインテグリティチェック値(Integrity Check Value: ICV)を含む可変長フィールドである。
 IPsec通信を行うためには、VPN装置間で、論理的なコネクションであるセキュリティアソシエーション(Security Association:SA)の確立が行われる。SAは一方向のトンネルであるため、パケットの送信と受信用に、2つのSAが設けられる。SAは、VPN通信を行うトラフィック毎に確立され、IPsecのパラメータ(セキュリティ情報)(例えばSPI(Security Parameter Index)、モード、プロトコル、暗号アルゴリズム、鍵、認証アルゴリズム、トンネルエンドポイントのIPアドレス等)からなる。
 IKE(Internet Key Exchange)は、SA設定のための鍵交換プロトコルである(IKEv2について、例えばIETF RFC 4306等を参照してもよい)。ISAKMP(Internet Security Association and Key Management Protocol)_SA(Security Association)は、IKEの制御情報を暗号化し、ピア間で送受するためのSAである。
Next-generation Wi-Fi Calling Using IMS and 3GPP Wi-Fi Access、インターネット検索(2015年4月26日検索)<URL:http://www.aptilo.com/wi-fi-calling/next-generation-wi-fi-calling-solution>
 データセンタ等と無線LAN(Local Area Network)間にはインターネット等の広域ネットワーク(Wide Area Network:WAN)が介在しているため、セキュアなコネクションを確立する必要がある。
 通信キャリアが加入者に提供するフィルタリングサービス等は、例えば、該通信キャリアのパケットコア網(EPC)上等で提供される。端末(UE)が無線LAN接続に切り替えると、通信キャリアのパケットコア網(EPC)による制御ができなくなる場合がある。このため、端末が無線LANからインターネットに接続する場合、例えばペアレンタルコントロール(子供のインターネットの使いすぎや有害サイト、有害コンテンツからの保護)やアクセス拒否などの制御が十分に行えない場合が生じる。ペアレンタルコントロールに関して、例えば、子供(児童)向け端末として予めペアレンタルコントロール機能(例えば有害サイトのブロック、利用するアプリの制限、電話やメールの相手の制限、利用時間や通話時間を制限等)を具備した端末もあるが、具備されているペアレンタルコントロール機能以外の制限等については、保護者等が適宜、対策を講じる必要がある。また、ペアレンタルコントロール機能等を具備した、いわゆる子供向け端末以外の一般の端末を年少者が利用する場合もある。
 したがって、本発明の目的は、無線LAN、インターネット等の広域ネットワーク(WAN)を介してデータセンタに接続する端末に対して必要な保護を提供するとともに、セキュアな通信を提供可能とするシステム、方法、装置、プログラムを提供することにある。
 本発明の1つの側面によれば、端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタを備え、
 前記データセンタが、
 前記端末との間を、前記無線LANを介し前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する第1のゲートウェイと、
 第2の広域ネットワークに接続する第2のゲートウェイと、
 前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、
 前記第1のゲートウェイと前記第2のゲートウェイ間に設けられ、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうち少なくとも一方のパケットのフィルタリングを行う機能ブロックと、
 を備えた通信システムが提供される。
 本発明の他の側面によれば、端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在する通信装置であって、
 前記端末との間を、前記無線LANを介し前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する第1のゲートウェイと、
 第2の広域ネットワークに接続する第2のゲートウェイと、
 前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、
 前記第1のゲートウェイと前記第2のゲートウェイ間に設けられ、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリング制御を行う機能ブロックと、を備えた通信装置が提供される。
 本発明の他の側面によれば、端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタの第1のゲートウェイと前記端末との間を、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)で接続し、
 前記端末から前記VPNを介して、前記データセンタに設けられた、仮想ネットワークから第2のゲートウェイを介して第2の広域ネットワークに接続し、
 前記第1のゲートウェイと前記第2のゲートウェイ間に設けられた機能ブロックにて、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリングする、通信方法が提供される。
 本発明のさらに別の側面によれば、
 無線LANと第1の広域ネットワーク(WAN1)とを介してデータセンタに接続する端末であって、
 前記データセンタとの間を、前記無線LAN及び前記広域ネットワーク経由のVPNで接続するVPN装置を備え、
 前記VPNを介して、前記データセンタに設けられており、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワーク(WAN2)に接続し、
 前記第2の広域ネットワーク(WAN2)側から前記データセンタ内に入力された前記端末への着呼又は前記端末宛てのデータのうち、前記データセンタ内でフィルタリングされた着呼又はデータを、前記VPNを介して、受信する機能を備えた端末が提供される。
 本発明の他の側面によれば、端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタに配置されるコンピュータに、
 前記端末と前記データセンタとの間に、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)を開設する処理と、
 前記端末から前記VPNを介して、前記データセンタに設けられており、コアネットワークの構成要素の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続する処理と、
 前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリングを行う処理と、を実行させるプログラムが提供される。
 本発明のまたさらに他の側面によれば、無線LANと第1の広域ネットワーク(WAN1)を介してデータセンタに接続する端末に含まれるコンピュータに、
 前記データセンタと前記端末との間に、前記無線LANを介し前記広域ネットワーク経由のVPNを開設する処理と、
 前記VPNを介して、前記データセンタに設けられており、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワーク(WAN2)に接続する処理と、
 前記第2の広域ネットワーク(WAN2)側から前記データセンタ内に入力された前記端末への着呼又は前記端末宛てのデータのうち、前記データセンタ内でフィルタリングされた着呼又はデータを、前記VPNを介して、受信する処理と、
 を実行させるプログラムが提供される。
 本発明によれば、前記プログラムを記録したコンピュータ読み出し可能な記録媒体(半導体メモリやCD(Compact Disk)/DVD(Digital Versatile Disk)等のストレージ)が提供される。
 本発明によれば、無線LAN、インターネット等の広域ネットワーク(WAN)を介してデータセンタに接続する端末に対して必要な保護を提供するとともに、セキュアな通信を提供可能としている。
関連技術を例示する図である。 本発明の一実施形態を例示する図である。 (A)は本発明の一実施形態を例示する図である。(B)はゲートウェイのVPN情報記憶部を例示する図である。(C)は、端末のVPN情報記憶部を例示する図である。 本発明の一実施形態の動作を例示する図である。 (A)、(B)は、本発明の一実施形態の機能ブロックを例示する図である。 本発明の一実施形態を例示する図である。 図6の一実施形態の動作を例示する図である。 本発明の他の実施形態を例示する図である。 本発明の他の実施形態を例示する図である。 仮想化装置の構成を例示する図である。 (A)はIPパケット、(B)はトランスモードのESPパケット、(C)はトンネルモードのESPパケット、(D)はUDPカプセル化、(E)はL2TP/IPsecのパケットを例示する図である。
 本発明の例示的な実施形態について説明する。本発明によれば、クラウド事業者のデータセンタに仮想化コア網を配置した通信システムにおいて、例えば無線LAN等、非3GPPアクセスネットワークからのアクセスによりデータセンタに接続する端末に対して必要な保護を提供するとともに、セキュアなコネクションを実現する。
 ネットワーク機能をソフトウェア的に実現する手法が各種提案されている。例えばSDN(Software Defined Network)/NFV(Network Function Virtualization)等では、個別に筐体を必要とする複数のネットワーク機器を、仮想化技術を利用してサーバ上に統合している。なお、NFVについては、ETSI GS NFV-MAN 001 V1.1.1 (2014-12)等を参照してもよい。通信事業者のコア網である発展型パケットコア(EPC)等の仮想化が進んでいる。
 仮想化EPC(Virtualized EPC:vEPC)では、例えばSGW、PGW、MME、HSS、PCRF等のノードの少なくとも1つ又は全ての機能を仮想マシン上で動作するアプリケーションでソフトウェア的に実現している。例えば、クライアントにクラウドサービス(あるいはデータセンタサービス)を提供するクラウド事業者のデータセンタ(Data Center: DC)内に配設されている汎用サーバ等の上に仮想化EPC(Virtualized EPC)を実現することができる。
 図2は、本発明の例示的な一実施形態を説明する図である。データセンタ50内の仮想化EPC(vEPC)52は、図1のEPC20の少なくとも一部を仮想化したものである。vEPC52は図1のEPC20のePDG27、PGW22、PCRF26等、EPC20の一部のノードの機能を仮想化したものであってもよい。
 第1のゲートウェイ51(GW1)は、インターネット等の広域ネットワーク(Wide Area Network;WAN)1(31)とvEPC52を接続する。第2のゲートウェイ(GW2)53は、インターネットやIMS等のWAN2(32)と、vEPC52とを接続する。
 本実施形態においては、データセンタ50において、第1のゲートウェイ51と第2のゲートウェイ53間のネットワーク(仮想ネットワーク)55上に、パケットフィルタリング又はデータ圧縮等を行う機能ブロック(Function Block: FB)54を備えている。
 機能ブロック(Function Block: FB)54は、ユーザ(端末1:加入者)毎に割り振りが可能とされている。特に制限されるものではないが、例えば、vEPC52のPCRF(不図示)がSPR(Subscriber Profile Repository)(不図示)等から取得した端末1のサービス契約情報等や、vEPC52のPGW(不図示)等で当該端末1に割り当てたプライベートIPアドレス等に基づき、データセンタ50にアクセスしてきた端末1に対して、端末1毎に、機能ブロック(FB)54を割り振るようにしてもよい。
 また、特に制限されるものではないが、機能ブロック(FB)54は、第1のゲートウェイ(GW1)51と第2のゲートウェイ(GW2)53間に接続されたサーバ上で稼働する仮想マシン(Virtual Machine)として実装するようにしてもよい。この場合、例えば、端末1(加入者)からの接続要求等により、端末1の加入者情報やサービス契約情報等に基づき、端末1(加入者)に割り振られた機能ブロック(FB)54が起動され、端末1(加入者)からの接続終了等に応答して、機能ブロック(FB)54が終了する構成としてもよい。
 端末1に対応して起動された機能ブロック(FB)54は、WAN2(32)側から第2のゲートウェイ(GW2)53に入力されたパケット(ダウンリンク)のフィルタリング制御を行う。また、機能ブロック(FB)54は、端末1からWAN1(31)を介してデータセンタ50に入力され、WAN2(32)側へのパケット(アップリンク)のフィルタリング制御を行うようにしてもよい。なお、機能ブロック(FB)54は、第1のゲートウェイ(GW1)51と第2のゲートウェイ(GW2)53の中間に配置される構成に限定されるものでなく、例えば、第1のゲートウェイ(GW1)51と第2のゲートウェイ(GW2)53の少なくとも一方を構成するサーバ等の上に実装するようにしてもよい。
 端末1は、WLAN40を経由して、WAN1(31)、データセンタ50の第1のゲートウェイ51、vEPC52、第2のゲートウェイ53からWAN2(32)に接続する。なお、図2において、WLAN40は、家庭内無線LAN又は公衆無線LANであってよい。WLAN40は、無線LANアクセスポイント(WLAN AP)41と、NAT(Network Address Transformation)/NAPT(Network Address Port Translation)を備えた無線LANルータ(不図示)等を含み、モデム(不図示)等を介してWAN1(31)に接続する。
 なお、本実施形態では、端末1が無線LAN40、WAN1(31)を介してデータセンタ50に接続する接続形態を説明するために、端末1の接続先を無線LANアクセスポイント(WLAN AP)41としているが、端末1は、接続先を3GPPアクセスネットワーク(例えば図1のeNB10)に切り替え、パケットコア網(図1のEPC20)を介して、WAN1(31)に接続しデータセンタ50に接続するようにしてもよいことは勿論である。
 データセンタ50のゲートウェイ装置(GW)(例えば51)と、端末1間に、VPNトンネルを張る。ゲートウェイ51には、VPN装置(VPNルータ)が実装され、VPNゲートウェイとして機能する。端末1には、VPN装置が実装され、VPNクライアントとして機能する。端末1では、WLAN40を介してのデータセンタ50との間のVPN接続の設定が行われる。VPN接続はトンネリングと暗号化を含む。WAN1(31)がインターネットの場合、このVPNはいわゆるインターネットVPNである。
 図2において、端末1に音声通話、SMS等のサービスを提供する場合には、データセンタ50において、例えば、第1のゲートウェイ(GW1)51、vEPC52、と第2のゲートウェイ(GW2)53を経由としてWAN2(32)を介して、音声通話やSMSのメッセージ通信の相手端末と接続する。一方、端末1とWAN2(32)間のデータ通信用のパケット(トラフィック)は、データセンタ50において、vEPC52を経由せずに、第1のゲートウェイ(GW1)51と第2のゲートウェイ(GW2)53間の仮想ネットワーク55にオフロードするようにしてもよい。
 また、図2において、データセンタ50の第1のゲートウェイ(GW1)51と第2のゲートウェイ(GW2)53間の仮想ネットワーク55上に、例えば音声パケットを転送するようにしてもよいことは勿論である。また、端末1とWAN2(32)間のデータパケット(データ通信)を、データセンタ50のvEPC52を経由して、転送するようにしてもよいことは勿論である。
 データセンタ50内の機能ブロック54は、パケットのヘッダ情報(アドレス、ポート番号、プロトコル等)で許可/拒否するパケットフィルタ型のファイアウォールとして構成してもよい。ただし、かかる構成に限定されるものでなく、HTTP(Hypertext Transfer Protocol)やFTP(File Transfer Protocol)など、アプリケーション層(第7層)でのフィルタリングを行うアプリケーションゲートウェイ(端末からの接続はプロキシ(=ファイアウォール)で確立されプロキシと目的の接続先へ再度、コネクションが確立される)、パケットのヘッダ情報(アドレス、ポート番号・プロトコル等)をもとにセッションテーブルを作成し、通信の方向と状態(ステート)に基づき通信を制御するステートフルインスペクション機能を備えてもよいことは勿論である。アプリケーションゲートウェイ型では、特定のWebサイトでWebの閲覧を制限できる。
 なお、無線LAN/3GPPアクセスネットワークに接続する端末1には、プライベートIPアドレスが付与され、NAT/NAPTでアドレス/ポート番号が変換されるため、WAN(WAN2)には、プライベートIPアドレスをヘッダの宛先、送信元とするパケットは流れない。IPアドレス スプーフィング(なりすまし)を遮断するため、機能ブロック54は、プライベートIPアドレスを宛先とするパケットを拒否する設定を行うようにしてもよい。
 WAN2(32)がIMS(IP (Internet Protocol) Multimedia Sub-system)の場合、例えば端末1から発信されたSIP(Session Initiation Protocol)メッセージは、第2のゲートウェイ53に接続するプロキシセッション制御機能P-CSCF(Proxy Call Session Control Function)から、IMSのホーム網側のサービングセッション制御機能S-CSCF(Serving Call Session Control Function)に送信されて分析され、着信側のS-CSCF又はメディアゲートウェイ制御機能MGCF(Media Gateway Control Function)にSIPメッセージを送信し、着信側のS-CSCFからインターネット又は他のIMS、あるいは、IP網と既存の電話網の間のMGW(Media Gateway)、回線交換(Circuit Switched: CS)網とIP網間にあり、SS7共通線信号網からの呼制御信号を終端し、IP網上の呼制御信号に変換するSignaling Gatewayから、回線交換(CS)ドメイン等に通信サービスを提供する。
 あるいは、データセンタ50において、IMS機能の少なくとも一部を、仮想化ネットワーク55上に実装してもよい。例えばSIPサーバ(例えばP-CSCF)等の機能を仮想ネットワーク55上に実装し、機能ブロック(FB)54を、仮想マシン上で動作させ、音声の内容を解析して遮断するコンテンツフィルタリングや、不適当な番号からの着信を禁止する着信拒否リストを備えた構成としてもよい。なお、コンテンツフィルタリングや、不適当な番号からの着信を禁止する着信拒否リストを備えた制御装置を、仮想マシンとしてではなく、実機として、第1のゲートウェイ(GW1)51と第2のゲートウェイ(GW2)53との間に接続する構成としてもよいことは勿論である。
 第1のゲートウェイ(GW1)51は、VPNゲートウェイとして、特に制限されるものではないが、例えば、
・端末1との間で、無線LAN、WAN1を経由したVPNトンネルの確立、
・セキュリティパラメータのネゴシエーション、
・ユーザの認証、
・プライベートIPアドレスの割り当て、
・データの暗号化と復号化、 
・セキュリティキーの管理、
・VPNトンネルを経由するデータ転送の管理、
・VPNトンネルのエンドポイントまたはルータとしての送受信データ伝送の管理、
等を行う。
 なお、プライベートIPアドレスの割り当て等は、第1のゲートウェイ(GW1)51で行わず、vEPC52内のPGW等で行うようにしてもよい。
 VPNのトンネリングプロトコルは、PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、IPsec、GRE(Generic Route Encapsulation)があるが、暗号化を行うプロトコルはIPsecである。VPNトンネリングプロトコルとしてIPsecを用いる場合、前述したように、ESPプロトコルでカプセル化される。また、IPSec-SA設定のため、IKEプロトコルで鍵交換が行われる(IKEでは、UDP(User Datagram Protocol)のポート500番を利用する)。
 例えば無線LANルータ等は、複数の端末(VPNクライアント)が接続することから、端末のプライべートIPアドレスとグローバルIPアドレス、及びTCP(Transmission Control Protocol)/UDPヘッダのポート番号の変換を行うNAPT機能を備えている。
 IPSecのトンネル・モードでは、IPへッダとデータ部分(図11(A))をまとめて暗号化し、新たにIPへッダ(図11(C)のNew IP Header)を再度つけ直して送信を行う(IETF RFC 4303)。NAPTでは、IPヘッダのIPアドレス欄とTCP/UDPヘッダのポート番号を変更する。ESPプロトコルでは、図11(C)のように、IPヘッダの次にESPヘッダ(SPI、Serial Number)が配置され、ESPヘッダにはポート番号欄が存在しない。このため、アドレス変換のNAPTが機能しない。すなわち、図2の端末1と第1のゲートウェイ(GW1)51間にNAPTが存在すると、IPsecを用いたVPNはNAPTによって成立しなくなる。
 この場合、IPsec VPNを、NAPTに対応させるため、図11(D)に示すように、ESPパケットにUDPヘッダを付加することで、NAT/NAPTを通過できるようにするUDPカプセル化(UDP Encapsulation of IPsec Packets)手法を用いてもよい。UDPカプセルの場合、図11(D)において、最初のIPヘッダは転送用のIPヘッダであり、付加されたUDPヘッダの送信元、宛先ポート番号は、IKEで使用しているのと同じポート番号500を使い、NAT/NAPTで変更されている場合、変更された番号をそのまま使用する。付加されたUDPヘッダチェックサム欄(checksum)は0とする。UDPヘッダに続くNon-IKE markerはIKEパケットと区別するための設定情報である(0が入る)。これは、追加されたUDPヘッダのポート番号はIKEパケットのポート番号と同じポート番号を使うため、IKEパケットでないことを示すためである。なお、IKEパケットでは、この部分に、ISAKMP_SAのネゴシエーションの開始側が生成するクッキー値とISAKMP_SAのネゴシエーションの応答側が生成するクッキー値が入る。
 L2TPは、PPP(Point-to-Point Protocol)フレームをUDPでカプセル化することによってIPネットワーク上での交換を可能としLAC(L2TP Access Concentrator)とLNS(L2TP Network Server)の2拠点間でのVPNを実現させる。L2TP/IPsecは暗号化の仕組みを持たないL2TPにおいてIPsecにより暗号化を行うプロトコルである。L2TP/IPsecでは、最初IPSecによるコネクション(SA)を確立する 。図11(E)は、L2TP/IPsecのパケット形式を例示した図である。
 なお、VPNトンネルを、NAT/NAPTに対応させるには、UDPカプセル化以外にも、IPアドレスやポート番号の変化を検出して自動的にNATを検出するNATトラバーサル手法を用いてもよい。
 次に、VPNクライアント(端末1)とVPNゲートウェイ(GW51)間でのIPsecを用いたVPNトンネルの設定の手順について説明する。
(1)IPsec通信による通信相手との間で設定した事前共通鍵(Pre-shared Key)から鍵作成情報を生成して交換し、IKE SA(ISAKMP SA)を確立し、鍵作成情報から鍵を作成する(IKEフェーズ1)。なお、VPNクライアント(端末1)とVPNゲートウェイ(GW51)間で認証アルゴリズム、暗号アルゴリズム、事前共通鍵は同一とする。
(2)次に、データ通信用のIPsecトンネルを設定する。IKE SA上で通信を行い、データ通信用のSAを確立する。接続先と同じ認証アルゴリズムと鍵であれば、IPsec SAが確立する。IPsec SAで通信するための鍵を作成する(IKE フェーズ2)。なお、IPsecは一定時間で消滅する。IKE SAは、IPsec SAと比べ長時間保持される。
(3)次に、暗号化対象のデータに対して、暗号アルゴリズムとIPsec SAで作成した鍵を用いて暗号化、復号化を行う。暗号化されたデータはIPsec SAを転送される。なお、暗号アルゴリズムはDES(Data Encryption Standard)、3DES(Triple Data Encryption Standard)等が用いられ、認証アルゴリズムはMD5(Message Digest Five)や、SHA-1(Secure Hash Algorithm)。
 図3(A)は、端末1と、データセンタ50の第1のゲートウェイ(GW1)51のVPN装置に関する構成を例示した図である。第1のゲートウェイ51のVPN装置511のVPN設定部512は、VPNの設定を制御し、設定情報をVPN情報記憶部513に記憶する。VPN通信制御部514はVPNトンネルの接続の制御(IKEフェーズ1、2)、暗号化、復号化によるVPNトンネル経由でのデータ通信の通信制御を行う。端末1も同様の構成とされる。
 IPsecVPNの場合、第1のゲートウェイ51においてVPNトンネルの設定を行う場合、VPN設定部512は、VPNを識別するVPN識別子(VPNトンネル識別子)、事前共通鍵(pre-shared key)、通信相手の識別(名前等)、認証アルゴリズム、暗号アルゴリズム、IKEのキープアライブ(VPN切断時、再接続する)の有無を設定する。さらに、経路情報として経路のネットワークアドレス(IPアドレス+ネットマスク)を設定する。さらに、XAUTH(eXtended AUTHentication)によるユーザ認証の有無や、NATトラバーサルの有無を設定する。XAUTHはIKEフェーズ1(機器の認証)の後、VPNリモートクライアントとサーバ間でユーザ名、パスワードを暗号化して交換しユーザ認証を行う。
 端末1のVPN装置101のVPN設定部102においても、VPNクライアントの設定として設定名、事前共通鍵(pre-shared key)、クライアント名、接続先ゲートウェイ(IPアドレス、又は名前)、認証アルゴリズム、暗号アルゴリズム、接続先ネットワーク、NATトラバーサルの有無等を設定する。
 VPN情報記憶部513には、例えば、
・IKEの暗号アルゴリズム(3DES-CBC(Cipher Block Chaining Mode)、 DES-CBC、 AES(Advanced Encryption Standard)-CBC)、 
・IKEのハッシュアルゴリズム(MD5、SHA-1)、 
・ESPのカプセル化(NATによるESPを通過できない環境化でIPsec通信を可能とするため、UDPでカプセル化して送信・受信する)、
・事前共有鍵(pre-shared-key)、
・SAのポリシ(例えば、ポリシ識別子(Policy_ID)、VPNゲートウェイの識別子(gateway)、認証ヘッダ(AH)、認証アルゴリズム、自装置側のネットワーク識別子、相手側のネットワーク識別子等)、
・トランスポートモードの定義(送信元ポートリスト、宛先ポートリスト)、
・NATトラバーサルの有無
等の少なくともいずれかが記憶される(ただし、上記に限定されない)。これらの情報は、VPN設定部が入力するコマンドで設定するようにしてもよい。
 図3(B)は、VPN設定部512で設定されVPN情報記憶部513に保存されたVPNの管理情報の一例を例示する図である。VPNには、VPN識別子が付与され、端末(ユーザ)毎に管理される。図3(B)において、接続相手IPアドレスは第1のゲートウェイ51等(DHCPサーバ)で払い出したVPNクライアント(端末1)のプライベートIPアドレス(ローカルIPアドレス)である。端末ID/接続先の名前は、端末1のID(例えばIMSI(International Mobile Subscriber Identity))やユーザIDであってもよい。装置アドレスは第1のゲートウェイ51(ルータ)のVPNトンネル側のIPアドレスである。接続ネットワークはVPN通信の送信先のネットワークであり、VPNトンネル側のネットワークアドレスである。図3(B)の例では、図3(A)の端末1に割り当てられたIPアドレスを100.1.100.1とし、接続ネットワークを端末1に割り当てられたIPアドレスを100.1.100.1としている(ネットマスク:32)。データセンタ50から端末1宛てのパケットはWAN1(31)に接続する無線LANルータで経路探索され、該当するポートに接続する無線LANアクセスポイントを介して端末1に向けてVPNで送信される。VPNの管理情報として、端末1のIPアドレス、端末ID等以外に、例えば1つのWLANに複数の無線LANアクセスポイントが含まれる場合、端末1の接続先の無線LANアクセスポイントの名前(Access Point Name: APN)、あるいは当該無線LANアクセスポイントが接続する無線LANルータのポート情報等を備えてもよい。なお、図3(B)に示したVPN情報は一例を示すものであり、かかる構成に制限されるものでないことは勿論である。
 図3(C)は、VPNクライアントである端末1のVPN設定部102で設定されVPN情報記憶部103に保存されたVPNの管理情報の一例を例示する図である。接続先は、拠点のホスト名で指定してもよい(例えばデータセンタ50のFDNQ(Fully Qualified Domain Name)等)。接続ネットワークは、VPNクライアント(端末1)からのVPN通信の送信先のネットワークであり、第1のゲートウェイ51のVPNトンネル側のネットワークアドレスである。接続ネットワークを第1のゲートウェイ51のVPN側のアドレス:100.1.1.0/24としている(ネットマスク:24)。
 VPN通信制御部514、104は、VPNトンネルを終端し、セキュリティキーの管理やVPNトンネルを経由するデータ転送の管理、VPNトンネルのエンドポイントまたはルータとしての送受信データ伝送を制御し、データの暗号化とカプセル化によるパケット転送や、パケットのデカプセル化と復号化を行う。
 なお、図3(B)、図3(C)では、IPv4(Internet Protocol Version 4)の例で説明しているが、IPV4に制限されるものでないことは勿論である。また、図3(B)、図3(C)のIPアドレスは架空のアドレスである。
 なお、図3では、VPNトンネルとしてIPsecトンネルを用いた例を説明したが、L2TP/IPsecを用いる場合、IPsecトンネル内にL2TPトンネルが配設される。L2TPトンネルの確立には、コネクション制御メッセージ及びセッション制御メッセージが用いられる。L2TP/IPsecによるVPNを構築する場合には、コネクション制御メッセージによってトンネルを作成したのち、セッション制御メッセージによってセッションを確立される。
 上記したように、VPNは、端末単位(端末ID、共通アカウント)で割り振られる。図3(B)において、端末ID/名前の欄は、ユーザIDのほか、データセンタ50のクライド事業者がユーザに提供するユーザアカウント(例えば:"aaa@example.com")であってもよい。すなわち、第1のゲートウェイ51において、VPNの管理は、端末1(VPNクライアント)のIPアドレス以外にも、ユーザ固有の情報(ユーザアカウントあるいはWebメールアドレス等)を用いてもよい。
 端末1が無線LANアクセスポイント41に最初にアクセスすると、無線LANアクセスポイント41は、端末1からのアクセス要求パケットを、メインとなるデータセンタ50にWAN1(31)を介して転送する。データセンタ50の第1のゲートウェイ(GW1)51は、端末1にIPアドレス(プライベートIPアドレス)を割り当て、VPNトンネル60を張る。VPNトンネル60をIPsecトンネルとする場合、前述したように、IKE SAの確立(IKEフェーズ)1、IPsec SAの確立(IKEフェーズ2)、IPsec SA上での暗号化通信が行われる。
 図4は、図2を参照して説明した例示的な一実施形態のシステムにおいて、端末1の初期アタッチ処理とWAN2(32)に接続する接続先33に接続するシーケンスの一例を説明する図である。図4には、図2の端末1、WLAN40、第1のゲートウェイ51(GW1)、vEPC52、第2のゲートウェイ(GW2)53、WAN2(32)における動作シーケンスの一例が模式的に例示されている。各シーケンス動作に付した番号は説明のためのシーケンス番号である。
1. 端末1は、無線LAN(WLAN)40との間で接続を確立し、例えばvEPC52内の不図示のHSS/AAAにより認証・認可(Authentication & Authorization)を行う。なお、図4の例では、第1のゲートウェイ51(GW1)は、セキュリティ上信頼できない非3GPP無線アクセス(Untrusted Non-3GPP IP Access)である無線LAN40を収容する場合に、端末1が接続するゲートウェイとして設定されているものとする。
2. 端末1側から、第1のゲートウェイ(GW1)51との間のIKE認証・トンネルセットアップ手順を実行する。これは、前述したIKEフェーズ1、2に対応する。IKEv2認証トンネルセットアップであってよい。
3. vEPC52がSGWとPGWを含み、ベアラの設定が必要な場合、第1のゲートウェイ(GW1)51は、vEPC52に対して例えばベアラ設定要求(Create Session Request)を送信する。この場合、接続先のパケットデータ網に接続するPGWが選択され、SGWとPGW間のS8インタフェースにGTP(GPRS(General Packet Radio System) Tunneling Protocol)トンネルが張られる。
4. vEPC52から第1のゲートウェイ(GW1)51にベアラ設定応答(Create Session Response)が送信される。
5. 以上で、IPsec VPNトンネルのセットアップが完了する。
6. 第1のゲートウェイ(GW1)から、IKEv2メッセージで端末1に払い出されたIPアドレスが通知される。
7. 端末1から第1のゲートウェイ(GW1)へのIP接続はこの時点で設定される。以上がアタッチ処理のシーケンスに対応する。
8. 端末1側からのWAN2(32)側に接続先33への接続要求を受けると、第1のゲートウェイ(GW1)51から接続先(WAN2側)33へのIPルーチングが行われる。
9. 以上で、端末1からVPN、データセンタ50のvEPC52を介し、WAN2側の接続先33との間の接続の設定が完了する。なお、WAN2(32)側から端末1へのダウンリンク方向のパケットは、vEPC52内のPGWが、PCRF等のポリシに応じて、第1のゲートウェイ51(GW1)に転送し、第1のゲートウェイ51(GW1)からVPNトンネル60を介して端末1に転送される。
 図5(A)は、図2の機能ブロック54の構成の一例を示す図である。図5(A)を参照すると、機能ブロック54は、
・パケットを受信し、転送制御部542からの制御のもと、許可されたパケットを通話させる通信部541と、
・パケットの廃棄、通過を制御するフィルタ情報を記憶するフィルタ情報記憶部543と、
・通信部541で受信したパケットのヘッダからアドレス、ポート、プロトコルを抽出し、フィルタ情報記憶部543の条件と照合し、当該パケットの拒否、許可を判定し、判定結果を通信部541に通知する転送制御部542と、
・フィルタ情報記憶部543に、フィルタ情報を設定するフィルタ情報設定部544と、
を備えている。
 フィルタ情報設定部544は、図2のデータセンタ50内の管理端末(不図示)、あるいは端末1からのベアラリソース修正要求等により、フィルタ情報記憶部543のフィルタ情報を設定するようにしてもよい。フィルタ情報設定部544からの端末1毎のフィルタ情報の設定により、機能ブロック54は、等価的に、端末1毎に設けられることになる。
 図5(B)は、図5(A)のフィルタ情報記憶部543の構成として、パケットフィルタ情報の一例を示す。図5(B)を参照すると、種別(フィルタの条件に一致したパケットの扱い:通過、又は廃棄)、方向(フィルタの評価の方向:無線LANからWAN2をUP、WAN2から無線LANをDOWNとしている)、プロトコル(フィルタ対象とするパケットのIPプロトコル)、送信元アドレス(フィルタ対象とするパケットの送信元IPプロトコル)、送信ポート(フィルタ対象とするパケットの送信元ポート)、宛先アドレス(フィルタ対象とするパケットの宛先IPプロトコル)、宛先ポート(フィルタ対象とするパケットの宛先ポート)等を含む。
 フィルタID=1では、ポート23(telnet)(TCPポート番号=23)からの第1のゲートウェイ(GW1)51に対するパケットを廃棄する。フィルタID=2では、端末1のプライベートIPアドレスを宛先とするパケットを廃棄する。フィルタID=3では、端末1からの特定の宛先アドレスへパケットを廃棄する。なお、図5(B)の記号*は、任意(any)を表している。
 図5(B)において、フィルタID=2、3等のフィルタ情報が、端末1(加入者)に固有の情報である。なお、図5(B)のフィルタID=1のフィルタ情報(宛先がGW1、送信ポート=23のパケット)も、端末1(加入者)に対応するフィルタ情報に含めるようにしてもよいことは勿論である。
 図5(B)の機能ブロック54を端末(加入者)毎に機能ブロック54を割り振る場合、図5(B)のフィルタ情報を、フィルタ情報設定部544から、端末(加入者)毎にフィルタ情報記憶部543に設定し、該フィルタ情報を、端末1に紐付けて管理し、他の転送制御部542、通信部541、フィルタ情報設定部544は、複数の端末に対して、共通のコードで実現するようにしてもよい。なお、データセンタ50において、端末1(加入者)の管理は、端末1のユーザに対して、データセンタ50側で割り当てたユーザアカウントを用いてもよい。
 図6は、前述した実施形態の一例を例示する図である。図6を参照すると、データセンタ50のvEPC52のePDG527と端末1間にIPsecトンネルが設定される。ePDG527は、VPNゲートウェイとして機能し、VPNトンネルを終端する。
 ePDG527は、VPNゲートウェイとして機能し、
・端末1との間での、無線LAN40、WAN1(31)を介してのVPN(IPsec)トンネルの確立、
・セキュリティパラメータのネゴシエーション、
・ユーザの認証、
・端末1へのプライベートIPアドレスの割り当て、
・データの暗号化と復号化、
・セキュリティキーの管理、
・VPNトンネルを経由するデータ転送の管理、
・VPNトンネルのエンドポイントとしての送受信データ伝送の管理を行う。なお、端末1へのプライベートIPアドレスの割り当ては、vEPC52のPGW522で行うようにしてもよい。
 端末1からIKEV2でEAPメッセージをePDG527に送信し、vEPC52の3GPP AAAサーバ525に中継し、EAP-SIM/EAP-AKA認証を行う。vEPC52のePDG527とPGW522間は、GTP又はPMIPv6トンネルで接続される。
 vEPC52において、PGW22とePDG27間でプロキシモバイルIP(PMIPv6トンネル)を使用する場合、端末1とvEPC52のePDG27との間でIPsecトンネルが確立されると、ePDG27は、プロキシバインディングアップデート(Proxy Binding Update)をPGW22に送信する。この結果、vEPC52のPGW22では、端末1への着信の送信先を、vEPC52のePDG27に切り替え、VPNトンネル60を介し、WLAN40経由で、着信が端末1に通知される。
 PGW522には、例えばEPSベアラに関するTFT(Traffic Flow Template)を有するパケットフィルタ529が接続されている。なお、パケットフィルタ529は、図2の機能ブロック54として機能し、端末1毎に設けられる。すなわち、パケットフィルタ529におけるフィルタ情報(パケットの廃棄等)は、前述したように、端末1(加入者)毎に設けられる。パケットフィルタ529は、PGW522内に配置してもよいことは勿論である。
 パケットフィルタ529において、WAN2から端末1側への下り方向や端末1からWAN2への上り方向のフィルタ情報の設定(追加、修正、削除等)は、上記したように、端末1からのベアラリソース修正手順のRequest Bearer Resource Modificationメッセージ(3GPP TS 23.401等を参照してもよい)で行うようにしてもよい。
 あるいは、パケットフィルタ529におけるフィルタ情報の設定は、端末1からAttach Request等の接続要求処理や、その他、所定のイベント発生時等に行ってもよい。なお、パケットフィルタ529は、アプリケーション層でのフィルタリングを行う機能、あるいはステートフルインスペクション機能を備えた構成としてもよいことは勿論である。あるいは、パケットフィルタ529に、WAN2(32)からの着信を拒否する着信拒否リストを備えた構成としてもよい。
 WAN2(32)をIMSで構成した場合、vEPC52と接続するP-CSCF(Proxy-Call Session Control Function)や、Serving-CSCFに、音声の内容を解析して遮断するコンテンツフィルタリングや、不適当な番号からの着信を禁止する着信拒否リストを備えた構成としてもよい。なお、SGW521は、不図示3GPPアクセスネットワークからのデータセンタ50のアクセスに接続される。なお、図6において、パケットフィルタ529以外にも、さらに別の機能ブロック54を備えた構成としてもよい。図6の例では、機能ブロック54として、データ圧縮器530をePDG527に接続し、当該データ圧縮器530において、端末1の能力情報あるいは機種情報等に応じて、端末1向けに転送されるパケットのペイロード部のデータの圧縮率を可変させるようにしてもよい。あるいは、データ圧縮器530を、PGW522に接続し、WAN2(32)に送信するデータの圧縮率を可変に制御するようにしてもよい。
 図6では、ePDG527、PGW522をvEPC52で実装しているが、クラウド事業者がMVNO(Mobile Virtual Network Operator)として、例えばMNO(Mobile Network Operator)のePDG27、PGW22(図1)を借り受けたものであってもよい。
 例えば端末1からのWi-Fi(登録商標)-Callingについては、端末1とePDG527との間で、WLAN40、WAN1(31)を経由したVPN60(IPsecトンネル)が張られ、ePDG527とPGW522間にGTP/PMIPv6のトンネルが張られ、PGW522から、例えばIMSからなるWAN2(32)を介して、接続先に接続される。すなわち、Wi-Fi(登録商標)-Callingは、クラウド事業者(MVNO)による通信サービスとして制御され、セキュアなコネクションが提供されるとともに、パケットフィルタ529により、不等な着信や有害サイト等からの保護が提供される。なお、PGW522は、図2の第2のゲートウェイ(GW2)53としての機能と、機能ブロック54の機能を併せ持つようにしてもよい。
 図7は、図6のシステムにおいて、端末1の初期アタッチ処理とWAN2(32)に接続する接続先33に通信接続するシーケンスを模式的に説明する図である。図7には、図6の端末1、WLAN40(WLAN AP)、ePDG527、PGW522、HSS524/AAAサーバ525、PCRF526、WAN2(32)側の接続先33における動作シーケンスの一例が例示されている。各シーケンス動作に付した番号は説明のためのシーケンス番号である。図7において、例えばePDG527を第1のゲートウェイ(GW1)、PGW522を第2のゲートウェイ(GW2)に置き換えると、図4を参照して説明した動作に、一部対応させることができる。
1. 端末1は、無線LAN(WLAN)40との間で接続を確立し、例えばvEPC52内ののHSS524/AAA525により認証・認可(Authentication & Authorization)を行う。
2. 端末1側から、ePDG527の間のIKEv2認証・トンネルセットアップ手順(IKEv2のフェーズ1、2等)を実行する。
3. ePDG527は、PGW522に対してProxy Binding Update(モバイルノードのホームネットワークプレフィクスと、モバイルノードが接続されているMAG(Mobile Access Gateway)との間のバインディングを確立するために、MAGによってLMA(Local Mobility Anchor)に送信される要求メッセージ)を送信する。
4. PGW522は、PCRF526と連携して、IP接続アクセスネットワーク(IP-CAN(Connection Access Network))セッションの確立手順を行う。
5. PGW522は、AAAサーバ525にPGWの識別情報(PGW ID)を通知し、AAAサーバ525は、HSS524に、PGW522のIDと、端末1に対応したAPN(Access Point Name)を通知して登録する。
6. PGW522はプロキシバインディングアップデート処理を行い、端末1に対応したバインディング・キャッシュ・エントリを作成する。これにより、PGW522において、端末1宛てのパケットは、バインディング・キャッシュ・エントリに保持された内容に従い、ePDG527に向けて送信されることになる。PGW522は、ePDG527に対してプロキシバインディング応答(Proxy Binding Ack)を送信する。
7. 以上で、IPsec VPNトンネルのセットアップが完了する。
8. ePDG52から端末1に対してIKEv2メッセージで、IPアドレスが通知される。
9. 端末1からのIP接続のセットアップが完了する。端末1とePDG527間はIPsecトンネル、ePDG527とPGW522間は、PMIP(Proxy Mobile Internet Protocol)等のトンネルが張られる。以上がアタッチ処理のシーケンスに対応する。
10. 端末1側からのWAN2(32)側に接続先33への接続要求をePDG527からPMIPトンネルを介して受けると、PGW522から接続先(WAN2側)へのIPルーチングが行われる。この場合、端末1からのSIPメッセージが第2のゲートウェイ(GW2)53を介してIMSのP-CSCFに送信され、S-CSCF、MGCF、あるいはMGW等を介して例えばPSTN(Public Switched Telephone Networks)の接続先33に接続するようにしてもよい。あるいは、S-CSCFからインターネット又は他のIMSに接続する接続先33に接続するようにしてもよい。なお、図6では、端末1はIMSに対して登録済みであるものとする。IMSのP-CSCFとPGW522(SGiインタフェース)はIPsec(VPN)で通信を行う。
11. 以上で、端末1からVPN、データセンタ50のvEPC52を介し、WAN2側の接続先33との間の接続の設定が完了する。なお、WAN2(32)側から端末1へのダウンリンク方向のパケットは、vEPC52内のPGW522がバインディング・キャッシュ・エントリに基づきePDG527にPIMPトンネルを介して転送し、ePDG527からVPNトンネル60を介して端末1に転送される。
 次に、図10を参照して、vEPC52のノードの構成について説明する。データセンタ50内のサーバ57上の仮想マシン(Virtual Machine: VM)571は仮想ネットワークインタフェースコントローラ(vNIC)575を介して仮想スイッチ(vSwitch)576の仮想ポート:Aに接続し、仮想スイッチ(vSwitch)576の仮想ポート:Bから物理NIC(pNIC)577を介して物理スイッチ(Physical Switch)58の物理ポート:Cに接続され、物理スイッチ(Physical Switch)58の物理ポート:Dを介して、データセンタ50内のLAN等のネットワーク55に接続される。仮想マシン571は、ゲストOS(Operating System)573と、アプリケーション572を備え、EPCのネットワークノードの機能の一部又は全て(例えば図6のePDG527の機能、あるいは他のノードの機能)を実現する。仮想ネットワーク59は例えば図6のルータ56に接続される。なお、前述したように、図2の機能ブロック54を、図10の仮想マシン(Virtual Machine: VM)571で構成してもよい。
 仮想NIC(vNIC)、仮想スイッチ(vSwitch)等は、サーバ57上の仮想化機構であるハイパーバイザ(Hypervisor)574によって提供される。なお、物理スイッチ58をL2(Layer 2)スイッチで構成し、ネットワーク59をVLAN(Virtual LAN)等の仮想ネットワークで構成してもよい。
 同様に、図10の仮想マシン571で、図2の機能ブロック54を実装し、VLAN等のネットワーク59で、図2の仮想ネットワーク55を構成してもよい。なお、図9では、ネットワーク機能の仮想化を管理統合するマネージャ等、NFV(Network Functions Virtualization)の管理ユニット(NFV Orchestrator (NFVO)、VNF(Virtualized Network Function) Manager等)は省略されている。
 図8は、別の実施形態を説明する図である。図8に示す実施形態では、一つの無線LANアクセスポイント41に、クラウド事業者のデータセンタ50のvEPC52に、端末1-1、1-2、1-3がアクセスしている。
 データセンタ50では、複数の端末1-1~1-3について、端末毎、あるいは当該端末のユーザのアカウント毎に、VPNを管理し、同時に複数のVPNトンネル60-1~60-3を収容するようにしてもよい。なお、端末1-1~1-3の各々の構成、及び動作等については、前記実施形態と同様である。
 データセンタ50は、VPN60-1~60-3に第1のゲートウェイ(GW1)51を介してそれぞれ接続する複数の機能ブロック54-1~54-3と、複数の機能ブロック54-1~54-3と、第2のゲートウェイ(GW2)53間に接続する機能ブロック54-4を備えている。
 機能ブロック54-1~54-3は、ユーザ側からフィルタ対象のパケット(ペアレンタルコントロールやアクセス拒否等)の設定を行うようにしてもよい。機能ブロック54-4は、データセンタ50のクラウド事業者の保守端末又は制御装置(不図示)等からフィルタ対象のパケット(例えば特定の地域、サイト等からのパケット)を設定するようにしてもよい。ユーザ側から機能ブロック54-1~54-3を設定する場合、端末1側から、データセンタ50に対する要求メッセージにより設定するようにしてもよい。あるいは、端末1のユーザと、データセンタ50でvEPC52を提供するクラウド事業者との契約情報に基づき、データセンタ50を所持するクラウド事業者側の保守端末又は制御装置(不図示)等から、機能ブロック54-1~54-3に対して、フィルタ対象の設定を行うようにしてもよい。
 なお、1つの無線LANアクセスポイント41に複数の端末が接続すると、複数の端末は電波を共有して通信することになり、複数(多数)の端末が1つの無線LANアクセスポイント41にアクセスすると、各端末のスループット(単位時間あたりのデータ転送量等)が低下する。そこで、1つの無線LANアクセスポイント41に複数の端末が接続し、アクセスが集中している場合、複数の端末の接続先を、アクセスが集中している無線アクセスポイントとは別の無線アクセスポイントに振り分け、負荷を分散させる制御を行う無線LANコントローラ(不図示)等を備えた構成としてもよい。
 図9は、本発明のさらに別の実施形態を説明する図である。図9を参照すると、本実施形態では、第1のゲートウェイ(GW1)と第2のゲートウェイ(GW2)間の仮想ネットワーク55上の機能ブロック54-1に加えて、vEPC52内に機能ブロック54-2を備えている。例えば機能ブロック54-1は、データ通信用のパケットのフィルタリングを行う。vEPC52内の機能ブロック54-2は、例えばユーザ側の指定した電話番号番号からの着信拒否や、ユーザ側の指定した電話番号が登録されているSMSや着信を許可する。機能ブロック54-1と機能ブロック54-2は、等価的に、端末1毎に、フィルタ情報等が設定され、等価的に、端末1毎に設けられる構成とされる。
 機能ブロック54-2は、IMSのSIPサーバの機能の少なくとも一部を仮想化して、例えばPGWに接続し、着信拒否や許可の制御を実現するようにしてもよい。あるいは、図6を参照して説明したように、vEPC52のPGWでTFTを管理するパケットフィルタ(図6の529)に、機能ブロック54-2の機能を付加してもよいことは勿論である。
 第1のゲートウェイ(GW1)と第2のゲートウェイ(GW2)間の機能ブロック54-1は、WAN2(32)から端末1側へのパケットのデータを、端末1の能力情報等(SDP(Session Description Protocol)による能力交換等)に基づき、圧縮符号化の圧縮率を、端末1側の能力や機種等に適応するように変更した上で、第1のゲートウェイから端末1に転送するようにしてもよい。この場合、機能ブロック54-1は、WAN2(32)から第2のゲートウェイで受信したパケットのデータ(圧縮符号化データ)を、一旦復号した上で再符号化し、圧縮率を変更するというトランスコード処理を行うようにしてもよい。トランスコード処理において、ビットレート、フレームレート、解像度等を変更してもよい。例えば端末1にダウンロードされるデータサイズを圧縮し、ネットワーク負荷の低減、転送効率の向上、帯域の有効利用を図ることができる。
 なお、上記の非特許文献1の開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
 上記した実施形態は以下のように付記される(ただし、以下に制限されない)。
(付記1)
 端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタを備え、
 前記データセンタが、
 前記端末との間を、前記無線LANを介し前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する第1のゲートウェイと、
 第2の広域ネットワークに接続する第2のゲートウェイと、
 前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、
 前記第1のゲートウェイと前記第2のゲートウェイ間に設けられ、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうち少なくとも一方のパケットのフィルタリングを行う機能ブロックと、
 を備えた、通信システム。
(付記2)
 前記データセンタにおいて、
 前記仮想ネットワークが、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想パケットコアネットワークを含む、付記1記載の通信システム。
(付記3)
 前記データセンタにおいて、
 前記機能ブロックが、
 前記第1のゲートウェイと前記第2のゲートウェイ間に接続された第1の機能ブロックと、
 前記仮想パケットコアネットワークに接続された第2の機能ブロックと、
 のうち少なくとも一つを含む、付記2記載の通信システム。
(付記4)
 前記データセンタにおいて、
 前記機能ブロックが、
 パケットの遮断、通過を制御するパケットフィルタに加えて、
 前記端末への着信やテキストメッセージのアクセス拒否、許可を制御する機能ブロックを有する、付記1乃至3のいずれか一に記載の通信システム。
(付記5)
 前記データセンタにおいて、
 前記機能ブロックが、
 前記第2の広域ネットワーク側から入力されたパケット、及び、前記端末側から前記第1の広域ネットワークを介して入力されたパケットのうち少なくとも一方のパケットのペイロード部のデータの圧縮を制御する機能ブロックを、さらに備えた、付記1乃至3のいずれか一に記載の通信システム。
(付記6)
 前記データセンタにおいて、
 前記機能ブロックが、
 前記端末に対応させて設けられ、前記端末毎に、前記端末に対するパケットのフィルタリング、及び/又は、前記端末への着信やメッセージのアクセスの拒否、許可が設定される機能ブロックを有する付記1乃至5のいずれか一に記載の通信システム。
(付記7)
 前記端末に対して前記無線LANを介して提供される音声通話又はテキストメッセージのサービスにおいて、
 前記端末は、前記VPNから前記データセンタの前記仮想パケットコアネットワーク、前記第2の広域ネットワークを介して接続先と通信し、
 前記第2の広域ネットワーク側からの前記端末への着呼又はメッセージのうち、前記データセンタの前記仮想パケットコアネットワークに接続された前記第2の機能ブロックで許可された着呼又はメッセージが、前記VPNを介して、前記端末に送信される、付記3記載の通信システム。
(付記8)
 前記端末に対して前記無線LANを介して提供されるデータ通信サービスにおいて、
 前記端末は、前記VPNから前記データセンタの前記仮想ネットワークを介して前記第2の広域ネットワークに接続し、
 前記第2の広域ネットワーク側からの前記端末へのデータは、前記データセンタの前記第1のゲートウェイと前記第2のゲートウェイ間に接続された前記第1の機能ブロックでフィルタリングされ、許可されたパケットが前記VPNを介して、前記端末に送信される、付記3又は7記載の通信システム。
(付記9)
 一つの無線LANアクセスポイントに接続する第1乃至第N(Nは2以上の整数)の端末と、前記データセンタの前記第1のゲートウェイ間を第1乃至第NのVPNで接続し、
 前記データセンタにおいて、
 前記機能ブロックが、
 前記第1のゲートウェイで終端される前記第1乃至第NのVPNにそれぞれ接続される第1乃至第Nの機能ブロックを備え、さらに、
 前記第1乃至第Nの機能ブロックに一端で接続され、前記第2のゲートウェイに他端が接続された第N+1の機能ブロックを備え、
 前記第1乃至第Nの機能ブロックの設定は、前記第1乃至第Nの端末のユーザ側から行われ、
 前記第N+1の機能ブロックの設定は、前記データセンタ側で行われる、付記1又は2記載の通信システム。
(付記10)
 前記データセンタにおいて、
 前記第1のゲートウェイは、端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、付記1乃至9のいずれか一に記載の通信システム。
(付記11)
 端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在する通信装置であって、
 前記端末との間を、前記無線LANを介し前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する第1のゲートウェイと、
 第2の広域ネットワークに接続する第2のゲートウェイと、
 前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、
 前記第1のゲートウェイと前記第2のゲートウェイ間に設けられ、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリング制御を行う機能ブロックと、
 を備えた、通信装置。
(付記12)
 前記仮想ネットワークが、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想パケットコアネットワークを含む、付記11記載の通信装置。
(付記13)
 前記機能ブロックが、
 前記第1のゲートウェイと前記第2のゲートウェイ間に接続された第1の機能ブロックと、
 前記仮想パケットコアネットワークに接続された第2の機能ブロックと、
 のうち少なくとも一つを含む、付記12記載の通信装置。
(付記14)
 前記機能ブロックが、パケットの遮断、通過を制御するパケットフィルタに加えて、
 前記端末への着信やテキストメッセージのアクセス拒否、許可を制御する機能ブロックを有する、付記11乃至13のいずれか一に記載の通信装置。
(付記15)
 前記データセンタにおいて、
 前記機能ブロックが、
 前記第2の広域ネットワーク側から入力されたパケット、及び、前記端末側から前記第1の広域ネットワークを介して入力されたパケットのうち少なくとも一方のパケットのペイロード部のデータの圧縮を制御する機能ブロックを、さらに備えた、付記11乃至13のいずれか一に記載の通信装置。
(付記16)
 前記機能ブロックが、
 前記端末に対応させて設けられ、前記端末毎に、前記端末に対するパケットのフィルタリング、及び/又は、前記端末への着信やメッセージのアクセスの拒否、許可が設定される機能ブロックを有する付記11乃至15のいずれか一に記載の通信装置。
(付記17)
 前記端末に対して前記無線LANを介して提供される音声通話又はテキストメッセージのサービスにおいて、
 前記端末は、前記VPNから前記通信装置の前記仮想パケットコアネットワーク、前記第2の広域ネットワークを介して接続先と通信し、
 前記第2の広域ネットワーク側からの前記端末への着呼又はメッセージのうち、前記通信装置の前記仮想パケットコアネットワークに接続された前記第2の機能ブロックで許可された着呼又はメッセージが、前記VPNを介して、前記端末に送信される、付記13記載の通信装置。
(付記18)
 前記端末に対して前記無線LANを介して提供されるデータ通信サービスにおいて、
 前記端末は、前記VPNから前記データセンタの前記仮想ネットワークを介して前記第2の広域ネットワークに接続し、
 前記第2の広域ネットワーク側からの前記端末へのデータは、前記通信装置の前記第1のゲートウェイと前記第2のゲートウェイ間に接続された前記第1の機能ブロックでフィルタリングされ、許可されたパケットが前記VPNを介して、前記端末に送信される、付記13又は17記載の通信装置。
(付記19)
 一つの無線LANアクセスポイントに接続する第1乃至第N(Nは2以上の整数)の端末と、前記通信装置の前記第1のゲートウェイ間を第1乃至第NのVPNで接続し、
 前記機能ブロックが、
 前記第1のゲートウェイで終端される前記第1乃至第NのVPNにそれぞれ接続される第1乃至第Nの機能ブロックを備え、さらに、
 前記第1乃至第Nの機能ブロックに一端で接続され、前記第2のゲートウェイに他端が接続された第N+1の機能ブロックを備え、
 前記第1乃至第Nの機能ブロックの設定は、前記第1乃至第Nの端末のユーザ側から行われ、
 前記第N+1の機能ブロックの設定は、前記通信装置側で行われる、付記11又は12記載の通信装置。
(付記20)
 前記第1のゲートウェイは、端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、付記11乃至19のいずれか一に記載の通信装置。
(付記21)
 端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタの第1のゲートウェイと前記端末との間を、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)で接続し、
 前記端末から前記VPNを介して、前記データセンタに設けられた、仮想ネットワークから第2のゲートウェイを介して第2の広域ネットワークに接続し、
 前記第1のゲートウェイと前記第2のゲートウェイ間に設けられた機能ブロックにて、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリングを行う、通信方法。
(付記22)
 前記データセンタにおいて、
 前記仮想ネットワークが、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想パケットコアネットワークを含む、付記21記載の通信方法。
(付記23)
 前記データセンタは、前記第2の広域ネットワーク側から入力されたパケットと、前記端末側から入力されたパケットのうち、少なくとも一方のパケットのペイロード部のデータの圧縮を制御する、付記21又は22記載の通信方法。
(付記24)
 前記データセンタにおいて、前記機能ブロックは、前記端末に対応させて設けられ、
前記端末毎に、前記端末に対するパケットのフィルタリング、及び/又は、前記端末への着信やメッセージのアクセスの拒否、許可が設定される付記21乃至23のいずれか一に記載の通信方法。
(付記25)
 無線LAN(Local Area Network)と第1の広域ネットワーク(Wide Area Network)とを介してデータセンタに接続する端末であって、
 前記データセンタとの間を、前記無線LAN及び前記広域ネットワーク経由のVPN(Virtual Private Network)で接続するVPN装置を備え、
 前記VPNを介して、前記データセンタに設けられており、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続する手段と、
 前記第2の広域ネットワーク側から前記データセンタ内に入力された前記端末への着呼又は前記端末宛てのデータのうち、前記データセンタ内の機能ブロックでフィルタリングされた着呼又はデータを、前記VPNを介して、受信する手段を備えた、端末。
(付記26)
 前記データセンタ内の前記機能ブロックにおけるフィルタリングの設定を行う機能を備えた付記25記載の端末。
(付記27)
 端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタに配置されるコンピュータに、
 前記端末と前記データセンタとの間に、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)を開設する処理と、
 前記端末から前記VPNを介して、前記データセンタに設けられており、コアネットワークの構成要素の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続する処理と、
 前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリングを行う処理と、
 を実行させるプログラム。
(付記28)
 無線LAN(Local Area Network)と第1の広域ネットワーク(Wide Area Network)を介してデータセンタに接続する端末に含まれるコンピュータに、
 前記データセンタと前記端末との間に、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)を開設する処理と、
 前記VPNを介して、前記データセンタに設けられており、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続する処理と、
 前記第2の広域ネットワーク側から前記データセンタ内に入力された前記端末への着呼又は前記端末宛てのデータのうち、前記データセンタ内でフィルタリングされた着呼又はデータを、前記VPNを介して、受信する処理と、
 を実行させるプログラム。
1、1-1~1-3 端末(UE)
10 基地局(eNB)
20 EPC
21 SGW
22 PGW
23 MME
24 HSS
25 3GPP AAA
26 PCRF
27 ePDG
30 PDN
31 WAN1
32 WAN2
40 WLAN
41、42 無線LANアクセスポイント(WLAN AP) 
50 データセンタ(DC)
51 第1のゲートウェイ(GW1)
52 仮想化EPC(vEPC)
53 第2のゲートウェイ(GW2)
54、54-1~54-4 機能ブロック
55 仮想ネットワーク
56 ルータ
57 サーバ
58 物理スイッチ
59 ネットワーク(仮想ネットワーク)
60、60-1~60-3 VPNトンネル
101 VPN装置
102 VPN設定部
103 VPN情報記憶部
104 VPN通信制御部
511 VPN装置
512 VPN設定部
513 VPN情報記憶部
514 VPN通信制御部
521 SGW
522 PGW
524 HSS
525 AAA
526 PCRF
527 ePDG
528 S2b(GTP/PMIPv6)
529 パケットフィルタ
530 データ圧縮器
541 通信部
542 転送制御部
543 フィルタ情報記憶部
544 フィルタ情報設定部
571 仮想マシン
572 アプリケーション
573 OS
574 ハイパーバイザ
575 仮想NIC
576 仮想スイッチ
577 物理NIC

Claims (28)

  1.  端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタを備え、
     前記データセンタが、
     前記端末との間を、前記無線LANを介し前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する第1のゲートウェイと、
     第2の広域ネットワークに接続する第2のゲートウェイと、
     前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、
     前記第1のゲートウェイと前記第2のゲートウェイ間に設けられ、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうち少なくとも一方のパケットのフィルタリングを行う機能ブロックと、
     を備えた、通信システム。
  2.  前記データセンタにおいて、
     前記仮想ネットワークが、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想パケットコアネットワークを含む、請求項1記載の通信システム。
  3.  前記データセンタにおいて、
     前記機能ブロックが、
     前記第1のゲートウェイと前記第2のゲートウェイ間に接続された第1の機能ブロックと、
     前記仮想パケットコアネットワークに接続された第2の機能ブロックと、
     のうち少なくとも一つを含む、請求項2記載の通信システム。
  4.  前記データセンタにおいて、
     前記機能ブロックが、
     前記端末への着信やテキストメッセージのアクセス拒否、許可を制御する機能ブロックをさらに有する、請求項1乃至3のいずれか1項に記載の通信システム。
  5.  前記データセンタにおいて、
     前記機能ブロックが、
     前記第2の広域ネットワーク側から入力されたパケット、及び、前記端末側から前記第1の広域ネットワークを介して入力されたパケットのうち少なくとも一方のパケットのペイロード部のデータの圧縮を制御する機能ブロックを、さらに備えた、請求項1乃至4のいずれか1項に記載の通信システム。
  6.  前記データセンタにおいて、
     前記機能ブロックが、
     前記端末に対応させて設けられ、前記端末毎に、前記端末に対するパケットのフィルタリング、及び/又は、前記端末への着信やメッセージのアクセスの拒否、許可が設定される機能ブロックを有する、請求項1乃至4のいずれか1項に記載の通信システム。
  7.  前記端末に対して前記無線LANを介して提供される音声通話又はテキストメッセージのサービスにおいて、
     前記端末は、前記VPNから前記データセンタの前記仮想パケットコアネットワーク、前記第2の広域ネットワークを介して接続先と通信し、
     前記第2の広域ネットワーク側からの前記端末への着呼又はメッセージのうち、前記データセンタの前記仮想パケットコアネットワークに接続された前記第2の機能ブロックで許可された着呼又はメッセージが、前記VPNを介して、前記端末に送信される、請求項3記載の通信システム。
  8.  前記端末に対して前記無線LANを介して提供されるデータ通信サービスにおいて、
     前記端末は、前記VPNから前記データセンタの前記仮想ネットワークを介して前記第2の広域ネットワークに接続し、
     前記第2の広域ネットワーク側からの前記端末へのデータは、前記データセンタの前記第1のゲートウェイと前記第2のゲートウェイ間に接続された前記第1の機能ブロックでフィルタリングされ、許可されたパケットが前記VPNを介して、前記端末に送信される、請求項3又は7記載の通信システム。
  9.  一つの無線LANアクセスポイントに接続する第1乃至第N(Nは2以上の整数)の端末と、前記データセンタの前記第1のゲートウェイ間を第1乃至第NのVPNで接続し、
     前記データセンタにおいて、
     前記機能ブロックが、
     前記第1のゲートウェイで終端される前記第1乃至第NのVPNにそれぞれ接続される第1乃至第Nの機能ブロックを備え、さらに、
     前記第1乃至第Nの機能ブロックに一端で接続され、前記第2のゲートウェイに他端が接続された第N+1の機能ブロックを備え、
     前記第1乃至第Nの機能ブロックの設定は、前記第1乃至第Nの端末のユーザ側から行われ、
     前記第N+1の機能ブロックの設定は、前記データセンタ側で行われる、請求項1又は2記載の通信システム。
  10.  前記データセンタにおいて、
     前記第1のゲートウェイは、端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、請求項1乃至9のいずれか1項に記載の通信システム。
  11.  端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在する通信装置であって、
     前記端末との間を、前記無線LANを介し前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する第1のゲートウェイと、
     第2の広域ネットワークに接続する第2のゲートウェイと、
     前記第1のゲートウェイと前記第2のゲートウェイに接続された仮想ネットワークと、
     前記第1のゲートウェイと前記第2のゲートウェイ間に設けられ、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリング制御を行う機能ブロックと、
     を備えた、通信装置。
  12.  前記仮想ネットワークが、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想パケットコアネットワークを含む、請求項11記載の通信装置。
  13.  前記機能ブロックが、
     前記第1のゲートウェイと前記第2のゲートウェイ間に接続された第1の機能ブロックと、
     前記仮想パケットコアネットワークに接続された第2の機能ブロックと、
     のうち少なくとも一つを含む、請求項12記載の通信装置。
  14.  前記機能ブロックが、
     前記端末への着信やテキストメッセージのアクセス拒否、許可を制御する機能ブロックを含む、請求項11乃至13のいずれか1項に記載の通信装置。
  15.  前記データセンタにおいて、
     前記機能ブロックが、
     前記第2の広域ネットワーク側から入力されたパケット、及び、前記端末側から前記第1の広域ネットワークを介して入力されたパケットのうち少なくとも一方のパケットのペイロード部のデータの圧縮を制御する機能ブロックを、さらに備えた、請求項11乃至13のいずれか1項に記載の通信装置。
  16.  前記機能ブロックが、
     前記端末に対応させて設けられ、前記端末毎に、前記端末に対するパケットのフィルタリング、及び/又は、前記端末への着信やメッセージのアクセスの拒否、許可が設定される機能ブロックを有する、請求項11乃至15のいずれか1項に記載の通信装置。
  17.  前記端末に対して前記無線LANを介して提供される音声通話又はテキストメッセージのサービスにおいて、
     前記端末は、前記VPNから前記通信装置の前記仮想パケットコアネットワーク、前記第2の広域ネットワークを介して接続先と通信し、
     前記第2の広域ネットワーク側からの前記端末への着呼又はメッセージのうち、前記通信装置の前記仮想パケットコアネットワークに接続された前記第2の機能ブロックで許可された着呼又はメッセージが、前記VPNを介して、前記端末に送信される、請求項13記載の通信装置。
  18.  前記端末に対して前記無線LANを介して提供されるデータ通信サービスにおいて、
     前記端末は、前記VPNから前記データセンタの前記仮想ネットワークを介して前記第2の広域ネットワークに接続し、
     前記第2の広域ネットワーク側からの前記端末へのデータは、前記通信装置の前記第1のゲートウェイと前記第2のゲートウェイ間に接続された前記第1の機能ブロックでフィルタリングされ、許可されたパケットが前記VPNを介して、前記端末に送信される、請求項13又は17記載の通信装置。
  19.  一つの無線LANアクセスポイントに接続する第1乃至第N(Nは2以上の整数)の端末と、前記通信装置の前記第1のゲートウェイ間を第1乃至第NのVPNで接続し、
     前記機能ブロックが、
     前記第1のゲートウェイで終端される前記第1乃至第NのVPNにそれぞれ接続される第1乃至第Nの機能ブロックを備え、さらに、
     前記第1乃至第Nの機能ブロックに一端で接続され、前記第2のゲートウェイに他端が接続された第N+1の機能ブロックを備え、
     前記第1乃至第Nの機能ブロックの設定は、前記第1乃至第Nの端末のユーザ側から行われ、
     前記第N+1の機能ブロックの設定は、前記通信装置側で行われる、請求項11又は12記載の通信装置。
  20.  前記第1のゲートウェイは、端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、請求項11乃至19のいずれか1項に記載の通信装置。
  21.  端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタの第1のゲートウェイと前記端末との間を、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)で接続し、
     前記端末から前記VPNを介して、前記データセンタに設けられた、仮想ネットワークから第2のゲートウェイを介して第2の広域ネットワークに接続し、
     前記第1のゲートウェイと前記第2のゲートウェイ間に設けられた機能ブロックにて、前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリングを行う、通信方法。
  22.  前記データセンタにおいて、
     前記仮想ネットワークが、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想パケットコアネットワークを含む、請求項21記載の通信方法。
  23.  前記データセンタは、前記第2の広域ネットワーク側から入力されたパケットと、前記端末側から入力されたパケットのうち、少なくとも一方のパケットのペイロード部のデータの圧縮を制御する、請求項21又は22記載の通信方法。
  24.  前記データセンタにおいて、前記機能ブロックは、前記端末に対応させて設けられ、前記端末毎に、前記端末に対するパケットのフィルタリング、及び/又は、前記端末への着信やメッセージのアクセスの拒否、許可が設定される、請求項21乃至23のいずれか1項に記載の通信方法。
  25.  無線LAN(Local Area Network)と第1の広域ネットワーク(Wide Area Network)とを介してデータセンタに接続する端末であって、
     前記データセンタとの間を、前記無線LAN及び前記広域ネットワーク経由のVPN(Virtual Private Network)で接続するVPN装置を備え、
     前記VPNを介して、前記データセンタに設けられており、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続し、
     前記第2の広域ネットワーク側から前記データセンタ内に入力された前記端末への着呼又は前記端末宛てのデータのうち、前記データセンタ内の機能ブロックでフィルタリングされた着呼又はデータを、前記VPNを介して、受信する機能を備えた、端末。
  26.  前記データセンタ内の前記機能ブロックにおけるフィルタリングの設定を行う機能を備えた請求項25記載の端末。
  27.  端末が接続する無線LAN(Local Area Network)との間に第1の広域ネットワーク(Wide Area Network)が介在するデータセンタに配置されるコンピュータに、
     前記端末と前記データセンタとの間に、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)を開設する処理と、
     前記端末から前記VPNを介して、前記データセンタに設けられており、コアネットワークの構成要素の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続する処理と、
     前記第1の広域ネットワーク側から入力されるパケット、及び、前記第2の広域ネットワーク側から入力されるパケットのうちの少なくとも一方のパケットのフィルタリングを行う処理と、
     を実行させるプログラム。
  28.  無線LAN(Local Area Network)と第1の広域ネットワーク(Wide Area Network)を介してデータセンタに接続する端末に含まれるコンピュータに、
     前記データセンタと前記端末との間に、前記無線LANを介し前記広域ネットワーク経由のVPN(Virtual Private Network)を開設する処理と、
     前記VPNを介して、前記データセンタに設けられており、パケットコアネットワークの機能の少なくとも一部を仮想化した仮想ネットワークを介して第2の広域ネットワークに接続する処理と、
     前記第2の広域ネットワーク側から前記データセンタ内に入力された前記端末への着呼又は前記端末宛てのデータのうち、前記データセンタ内でフィルタリングされた着呼又はデータを、前記VPNを介して、受信する処理と、
     を実行させるプログラム。
PCT/JP2016/070907 2015-07-17 2016-07-14 通信システム、通信装置、通信方法、端末、プログラム WO2017014164A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017529865A JP6451850B2 (ja) 2015-07-17 2016-07-14 通信システム、通信装置、通信方法、端末、プログラム
US15/745,311 US11870604B2 (en) 2015-07-17 2016-07-14 Communication system, communication device, communication method, terminal, non-transitory medium for providing secure communication in a network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015-143405 2015-07-17
JP2015143405 2015-07-17

Publications (1)

Publication Number Publication Date
WO2017014164A1 true WO2017014164A1 (ja) 2017-01-26

Family

ID=57834331

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2016/070907 WO2017014164A1 (ja) 2015-07-17 2016-07-14 通信システム、通信装置、通信方法、端末、プログラム

Country Status (3)

Country Link
US (1) US11870604B2 (ja)
JP (1) JP6451850B2 (ja)
WO (1) WO2017014164A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018216435A1 (ja) * 2017-05-23 2018-11-29 株式会社Nttドコモ 通信システム及び通信方法
WO2020122040A1 (ja) * 2018-12-10 2020-06-18 フリービット株式会社 情報通信機器用のインターネット接続管理システム及びその方法、情報通信機器にインストールされるインターネット接続管理プログラム
CN114285900A (zh) * 2021-12-09 2022-04-05 中国联合网络通信集团有限公司 调度系统、认证方法、调度方法、装置、服务器及介质
WO2023162147A1 (ja) * 2022-02-25 2023-08-31 日本電信電話株式会社 通信装置、通信システム、通信方法、及びプログラム

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107360089B (zh) * 2016-05-10 2021-03-19 新华三技术有限公司 一种路由建立方法、业务数据转换方法及装置
KR101846079B1 (ko) * 2016-07-15 2018-04-05 주식회사 케이티 Nfv 환경에서의 가상 cpe 서비스 제공 시스템, 및 이를 위한 nfv 클라우드
US10630657B2 (en) * 2017-03-02 2020-04-21 ColorTokens, Inc. System and method for enhancing the security of data packets exchanged across a computer network
CN109450657B (zh) * 2019-01-15 2019-12-27 深圳联想懂的通信有限公司 一种智能物联网通信服务系统和方法
JP7234726B2 (ja) * 2019-03-20 2023-03-08 富士フイルムビジネスイノベーション株式会社 通信装置、通信システム、及びプログラム
TWI727493B (zh) * 2019-11-08 2021-05-11 瑞昱半導體股份有限公司 一種閘道器控制晶片及其網路封包處理方法
US11533343B2 (en) * 2020-08-20 2022-12-20 Geoverse Llc Private cellular network for seamless extension of accessibility of PBX devices to remote devices
US20240040361A1 (en) * 2022-07-28 2024-02-01 T-Mobile Usa, Inc. Wifi call identification for roaming subscribers

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004135248A (ja) * 2002-08-09 2004-04-30 Fujitsu Ltd 仮想閉域網システム
JP2006033443A (ja) * 2004-07-16 2006-02-02 Nec Fielding Ltd インターネット接続システム、方法およびプログラム
JP2010231396A (ja) * 2009-03-26 2010-10-14 Oki Networks Co Ltd 通信システム、通信装置及び認証装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
US7673048B1 (en) * 2003-02-24 2010-03-02 Cisco Technology, Inc. Methods and apparatus for establishing a computerized device tunnel connection
EP1771998B1 (en) * 2004-07-23 2015-04-15 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
JP4706542B2 (ja) * 2006-04-10 2011-06-22 株式会社日立製作所 通信装置
EP2244495B1 (en) * 2009-04-20 2012-09-19 Panasonic Corporation Route optimazion of a data path between communicating nodes using a route optimization agent
CN101582830B (zh) * 2009-06-22 2011-12-21 杭州华三通信技术有限公司 一种实现跨虚拟专用网互访的装置及方法
US9521145B2 (en) * 2011-10-17 2016-12-13 Mitel Mobility Inc. Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
JP2014195167A (ja) 2013-03-28 2014-10-09 Nippon Telegraph & Telephone East Corp 電話システム及びその方法
BR112016004183A8 (pt) * 2013-08-27 2020-02-11 Huawei Tech Co Ltd método para virtualização de função de rede móvel e computador
US20150188949A1 (en) * 2013-12-31 2015-07-02 Lookout, Inc. Cloud-based network security

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004135248A (ja) * 2002-08-09 2004-04-30 Fujitsu Ltd 仮想閉域網システム
JP2006033443A (ja) * 2004-07-16 2006-02-02 Nec Fielding Ltd インターネット接続システム、方法およびプログラム
JP2010231396A (ja) * 2009-03-26 2010-10-14 Oki Networks Co Ltd 通信システム、通信装置及び認証装置

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018216435A1 (ja) * 2017-05-23 2018-11-29 株式会社Nttドコモ 通信システム及び通信方法
JPWO2018216435A1 (ja) * 2017-05-23 2020-03-26 株式会社Nttドコモ 通信システム及び通信方法
JP7166251B2 (ja) 2017-05-23 2022-11-07 株式会社Nttドコモ 通信システム及び通信方法
WO2020122040A1 (ja) * 2018-12-10 2020-06-18 フリービット株式会社 情報通信機器用のインターネット接続管理システム及びその方法、情報通信機器にインストールされるインターネット接続管理プログラム
JPWO2020122040A1 (ja) * 2018-12-10 2021-10-28 フリービット株式会社 情報通信機器用のインターネット接続管理システム及びその方法、情報通信機器にインストールされるインターネット接続管理プログラム
JP7432524B2 (ja) 2018-12-10 2024-02-16 フリービット株式会社 情報通信機器用のインターネット接続管理システム及びその方法、情報通信機器にインストールされるインターネット接続管理プログラム
US11979377B2 (en) 2018-12-10 2024-05-07 Freebit Co., Ltd. Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device
CN114285900A (zh) * 2021-12-09 2022-04-05 中国联合网络通信集团有限公司 调度系统、认证方法、调度方法、装置、服务器及介质
CN114285900B (zh) * 2021-12-09 2023-10-03 中国联合网络通信集团有限公司 调度系统、认证方法、调度方法、装置、服务器及介质
WO2023162147A1 (ja) * 2022-02-25 2023-08-31 日本電信電話株式会社 通信装置、通信システム、通信方法、及びプログラム

Also Published As

Publication number Publication date
JP6451850B2 (ja) 2019-01-16
JPWO2017014164A1 (ja) 2018-07-05
US11870604B2 (en) 2024-01-09
US20190013967A1 (en) 2019-01-10

Similar Documents

Publication Publication Date Title
JP6981491B2 (ja) 通信システム、通信装置、通信方法、端末、プログラム
JP6451850B2 (ja) 通信システム、通信装置、通信方法、端末、プログラム
JP7004383B2 (ja) 通信システム、通信装置、通信方法、端末、プログラム
US11115808B2 (en) Consolidated control plane routing agent
EP3529968B1 (en) System and method for node selection based on mid-session and end-session event information
CN108029017B (zh) 通过受管理的公共WLAN接入进行安全wifi呼叫连接的方法
US9614656B2 (en) Providing in-line services through radio access network resources under control of a mobile packet core in a network environment
US9973338B2 (en) Configuration of liveness check using internet key exchange messages
US9215588B2 (en) System and method for providing selective bearer security in a network environment
US9264416B2 (en) UE access to circuit switched-based mobile telephony services using a fixed wireless terminal

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16827724

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2017529865

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16827724

Country of ref document: EP

Kind code of ref document: A1