WO2017221977A1

WO2017221977A1 - 仮想ネットワークシステム、管理装置、仮想ネットワークの管理方法及びプログラム記録媒体

Info

Publication number: WO2017221977A1
Application number: PCT/JP2017/022853
Authority: WO
Inventors: 正徳高島; 修一齋藤
Original assignee: 日本電気株式会社
Priority date: 2016-06-24
Filing date: 2017-06-21
Publication date: 2017-12-28
Also published as: JP6627975B2; US20190090311A1; TWI684339B; TW201803317A; JPWO2017221977A1

Abstract

ＭＶＮＯを介して種々のサービスを提供する際の設定作業の省力化を図る。仮想ネットワークシステムは、第１の手段と、第２の手段と、第３の手段とを備える。第１の手段は、モバイル仮想ネットワークオペレータが提供する移動通信サービスを利用して、第１の物理ネットワークへアクセスするユーザ端末を認証する。第２の手段は、認証に成功したユーザ端末が、第２の物理ネットワークに構築された仮想ネットワークを介して、認証の結果に応じた第１の物理ネットワークの仮想ネットワークにアクセスすることを許可する。第３の手段は、第１と第２の手段に、ユーザ端末に関する情報を設定する。

Description

仮想ネットワークシステム、管理装置、仮想ネットワークの管理方法及びプログラム記録媒体

　本発明は、モバイル仮想ネットワークオペレータ（以下、「ＭＶＮＯ」とも記す）のサービスを用いた仮想ネットワークシステムの技術に関する。

　特許文献１に、通信端末の回線を自動で開通可能にする技術の一例が開示されている。
特許文献１によると、通信開通システムの販売機は、購入されるＳＩＭ（Subscriber Identity Module）カードの識別番号と、ＳＩＭカードを購入する購入者の個人情報とをデータセンタに送信する販売機側通信部を有する。一方、通信開通システムのデータセンタは、ＳＩＭカードが挿入される通信端末の回線を開通させるのに必要な情報が、受信した個人情報に含まれると判定する場合に、識別番号と対応する回線を開通させるデータセンタ側制御部を有する。

　特許文献２に、ＰＧＷ(Packet Data Network Gateway）、ＤＲＡ（Diameter Routing Agent）、複数のＰＣＲＦ（Policy and Charging Rules Function）装置を含む移動通信システムのＰＧＷ装置が開示されている。特許文献２におけるＰＧＷ装置は、ネットワークトラフィックの増加や、ＤＲＡの処理負荷の増大をもたらすような、ＰＧＷとＤＲＡとの間で行われるサービス要求の通信またはその量を抑えることができるというＰＧＷ装置である。具体的には、ＰＧＷ装置は、少なくとも１つのＡＰＮ（Access Point Name）およびＰＣＲＦ装置がそれぞれ互いに対応付けられて登録されるメモリを備える。さらに、ＰＧＷ装置は、ユーザより受信した所定の信号におけるＡＰＮがメモリにて対応付けられているＰＣＲＦ装置にユーザに対するポリシ情報の要求を送信する制御手段を備える。

　特許文献３に、仮想移動体サービス事業者（ＭＶＮＯ）による自社ブランド無線商品の開発を可能にするというアーキテクチャが開示されている。

　非特許文献１は、Network Functions Virtualization （ＮＦＶ；「ネットワーク機能仮想化」）に関連するホワイトペーパーである。

特開２０１５－１３０５９３号公報特開２０１５－１９５４３８号公報特表２０１３－５０５５１６号公報

European Telecommunications Standards Institute (ETSI), "Network Functions Virtualization - Update White Paper"、［online］、［２０１７年５月１１日検索］、インターネット〈URL：https://portal.etsi.org/NFV/NFV_White_Paper2.pdf〉

　以下の分析は、本発明者によるものである。通信接続料の大幅な低廉化やＭＮＯ（Mobile Network Operator）のネットワーク機能の解放（レイヤ２接続機能の提供開始等）と相俟ってＭＶＮＯやＭＶＮＥ（Mobile Virtual Network Enabler）による通信サービスが普及し始めている。ＭＶＮＯの普及を妨げる原因の一つは、開通作業の煩雑さにあると言われている（特許文献１における背景技術欄を参照）。特許文献１では、ＳＩＭカードの自動販売機が、ＳＩＭカードを販売した時に、購入者の個人情報をデータセンタ側に送信し、これにより、データセンタが開通処理を実施することとしている。なお、日本国総務省総合通信基盤局作成のＭＶＮＯに係る電気通信事業法及び電波法の適用関係に関するガイドラインによると、ＭＶＮＯ及びＭＶＮＥは以下の通り定義されている。ＭＶＮＯとは、ＭＮＯの提供する移動通信サービスを利用して、又はＭＮＯと接続して、移動通信サービスを提供する電気通信事業者であって、当該移動通信サービスに係る無線局を自ら開設しておらず、かつ、運用をしていない者と定義されている。また、ＭＶＮＥは、ＭＶＮＯとの契約に基づき当該ＭＶＮＯの事業の構築を支援する事業を営む者とされている。

　今後はさらに、ＭＶＮＯ事業者がＧＧＳＮ（Gateway GPRS (General Packet Radio Service) Support Node）やＰＧＷを直接運用することができるようになるレイヤ２接続が広く普及し、多様なサービスが提供されると考えられる。この場合、問題となるのが、ＭＶＮＯの拠点（データセンタ）側でのユーザと、サービス（端的には当該ユーザの利用する仮想ネットワーク）との結び付け作業である。つまり、仮に特許文献１の技術を用いても、利用者は、直ちに、ＭＶＮＯ事業者側で提供されるサービスを利用できず、さらに、特許文献１の技術では、ユーザとサービスを結びつける作業が必要となっている。

　特許文献２の技術では、予めＰＧＷ側にＡＰＮ（ユーザ）とＰＣＲＦとの対応関係を保持させることにより、ＰＧＷがＰＣＲＦを選択する際に行われているＤＲＡへの問い合わせを省略できるにすぎない。

　本発明の主な目的は、仮想ネットワークシステムに関し、ＭＶＮＯを介して種々のサービスを提供する際の設定作業の省力化に貢献できる技術を提供することにある。

　第１の視点によれば、複数の仮想ネットワークが構築される第１の物理ネットワークと、
　モバイルネットワークオペレータの提供する移動通信サービスを利用した通信サービスをユーザ端末に提供するモバイル仮想ネットワークオペレータの拠点と、
　前記第１の物理ネットワークと、前記モバイル仮想ネットワークオペレータの拠点とを接続する第２の物理ネットワークと、
　前記モバイル仮想ネットワークオペレータが提供する移動通信サービスを利用して、前記第１の物理ネットワークへアクセスするユーザ端末を認証する第１の手段と、
　前記認証に成功したユーザ端末が、前記第２の物理ネットワークに構築された仮想ネットワークを介して、前記認証の結果に応じた前記第１の物理ネットワークの仮想ネットワークにアクセスすることを許可する第２の手段と、
　前記第１と第２の手段に、前記ユーザ端末に関する情報を設定する第３の手段と、
を備えた仮想ネットワークシステムが提供される。

　第２の視点によれば、複数の仮想ネットワークが構築される第１の物理ネットワークと、
　モバイルネットワークオペレータが提供する移動通信サービスを利用した通信サービスをユーザ端末に提供するモバイル仮想ネットワークオペレータの拠点と、
　前記第１の物理ネットワークと、前記モバイル仮想ネットワークオペレータの拠点とを接続する第２の物理ネットワークと、を含む仮想ネットワークシステムに配置され、
　前記モバイル仮想ネットワークオペレータが提供する移動通信サービスを利用して、前記第１の物理ネットワークへアクセスするユーザ端末を認証する第１の手段と、前記認証に成功したユーザ端末が、前記第２の物理ネットワークに構築された仮想ネットワークを介して、前記認証の結果に応じた前記第１の物理ネットワークの仮想ネットワークにアクセスすることを許可する第２の手段とに、前記ユーザ端末に関する情報を設定する
管理装置が提供される。

　第３の視点によれば、複数の仮想ネットワークが構築される第１の物理ネットワークと、
　モバイルネットワークオペレータの提供する移動通信サービスを利用した通信サービスをユーザ端末に提供するモバイル仮想ネットワークオペレータの拠点と、
　前記第１の物理ネットワークと、前記モバイル仮想ネットワークオペレータの拠点とを接続する第２の物理ネットワークと、を含む仮想ネットワークシステムの管理装置が、
　前記モバイル仮想ネットワークオペレータが提供する移動通信サービスを利用して、前記第１の物理ネットワークへアクセスするユーザ端末を認証する手段と、前記認証に成功したユーザ端末が、前記第２の物理ネットワークに構築された仮想ネットワークを介して、前記認証の結果に応じた前記第１の物理ネットワークの仮想ネットワークにアクセスすることを許可する手段とに、前記ユーザ端末に関する情報を設定する仮想ネットワークの管理方法が提供される。この方法は、仮想ネットワークへのアクセスを制御する管理装置という、特定の機械に結びつけられている。

　第４の視点によれば、複数の仮想ネットワークが構築される第１の物理ネットワークと、
　モバイルネットワークオペレータの提供する移動通信サービスを利用した通信サービスをユーザ端末に提供するモバイル仮想ネットワークオペレータの拠点と、
　前記第１の物理ネットワークと、前記モバイル仮想ネットワークオペレータの拠点とを接続する第２の物理ネットワークと、を含む仮想ネットワークシステムに接続されたコンピュータに、
　前記モバイル仮想ネットワークオペレータが提供する移動通信サービスを利用して、前記第１の物理ネットワークへアクセスするユーザ端末を認証する手段と、前記認証に成功したユーザ端末が、前記第２の物理ネットワークに構築された仮想ネットワークを介して、前記認証の結果に応じた前記第１の物理ネットワークの仮想ネットワークにアクセスすることを許可する手段とに、前記ユーザ端末に関する情報を設定する処理
を実行させるコンピュータプログラムを記憶するプログラム記憶媒体（非トランジエントな記憶媒体）が提供される。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明によれば、ＭＶＮＯを介して種々のサービスを提供する際の設定作業の省力化に貢献することが可能となる。

本発明の一実施形態の構成を示す図である。本発明の一実施形態の動作を説明するための図である。本発明の一実施形態の動作を説明するための図である。本発明の一実施形態の動作を説明するための図である。本発明に係る第１の実施形態の仮想ネットワークシステムの構成を示す図である。本発明に係る第１の実施形態の管理装置の構成を示す図である。本発明に係る第１の実施形態の管理装置に保持される情報の一例を示す図である。本発明に係る第１の実施形態の管理装置の動作例を表した流れ図である。本発明に係る第１の実施形態の仮想ネットワークシステムの動作を説明するための図である。本発明に係る第１の実施形態の仮想ネットワークシステムの動作を説明するための図である。本発明に係る第１の実施形態の仮想ネットワークシステムの動作を説明するための図である。本発明に係る第１の実施形態の仮想ネットワークシステムの動作を説明するための図である。本発明に係る第２の実施形態の仮想ネットワークシステムの構成を示す図である。本発明に係る第２の実施形態の仮想ネットワークシステムの動作を説明するための図である。

　はじめに本発明に係る一実施形態の概要について図面を参照して説明する。なお、図面に付した参照符号は、理解を助けるための一例として各要素に便宜上、付したものであり、本発明を図示の態様に限定することを意図するものではない。

　本発明に係る一実施形態の仮想ネットワークシステムは、図１に示すように、第１の物理ネットワーク１００と、第２の物理ネットワーク２００と、モバイル仮想ネットワークオペレータの拠点（ＭＶＮＯ拠点）３００とを含む構成にて実現できる。第１の物理ネットワーク１００は、複数の仮想ネットワークが構築される物理ネットワークである。拠点３００は、ユーザ端末９００に対して、モバイルネットワークオペレータの提供する移動通信サービスを利用した通信サービスを提供するモバイル仮想ネットワークオペレータの拠点である。第２の物理ネットワーク２００は、第１の物理ネットワーク１００と、モバイル仮想ネットワークオペレータの拠点３００とを接続する物理ネットワークである。

　この仮想ネットワークシステムは、さらに、第１の手段３０１と、第２の手段３０２と、第３の手段３０３とを備える。具体的には、第３の手段３０３は、図２に示すように、第１と第２の手段に、ユーザ端末９００に関する情報を設定する。

　第１の手段３０１は、第３の手段３０３によって設定された情報に基づいて、図３に示すように、モバイル仮想ネットワークオペレータの提供する移動通信サービスを利用して、第１の物理ネットワーク１００へのアクセスを要望するユーザ端末９００を認証する。

　第２の手段３０２は、第１の手段３０１による認証に成功したユーザ端末９００に、第１の物理ネットワーク１００における仮想ネットワークへのアクセスを許可する。アクセスが許可されたユーザ端末９００は、第２の物理ネットワーク２００に構築された仮想ネットワークを介して、第１の物理ネットワーク１００における仮想ネットワークにアクセスする。また、第２の手段３０２がユーザ端末９００にアクセスを許可する第１の物理ネットワーク１００における仮想ネットワークは、第１の手段３０１による認証の結果に応じた仮想ネットワークである。

　例えば、第２の手段３０２は、第３の手段３０３によって設定された情報に基づいて、ユーザ端末９００に仮想ネットワーク（仮想ＮＷ）＃２へのアクセスを許可する（図４参照）。

　上述した実施形態の仮想ネットワークシステムは、ＭＶＮＯを介して種々のサービスを提供する際の設定作業の省力化に貢献することが可能となる。その理由は、モバイル仮想ネットワークオペレータの拠点３００に、第１の手段３０１から第３の手段３０３が配置され、これら手段３０１～３０３が、ユーザ端末９００を仮想ネットワークにアクセスさせるために必要な諸設定を行うように構成したことにある。

［第１の実施形態］
　続いて、本発明に係る第１の実施形態について図面を参照して詳細に説明する。図５は、第１の実施形態の仮想ネットワークシステムの構成を示す図である。図５には、ＭＮＯ（Mobile Network Operator）網４０を用いて、ユーザ端末９０に向けて通信サービスを提供するＭＶＮＯデータセンタ３０と、ユーザネットワーク１０とが第２のネットワーク２０で接続された構成が示されている。

　ユーザネットワーク１０は、企業や学校等のユーザ端末９０のユーザが属する組織に配置されたネットワークである。ユーザネットワーク１０には、仮想化技術により仮想ネットワークＡ～Ｃ（仮想ＮＷ－Ａ～仮想ＮＷ－Ｃ）が構成されている。第１の実施形態においては、このユーザネットワーク１０が、上述の第１の物理ネットワークに相当する。ユーザネットワーク１０には、スマートメータや各種のセンサ装置や情報家電等のＩｏＴ（Internet Of Things）デバイスが接続されていてもよい。

　ユーザネットワーク１０には、ネットワーク管理者から指示を受け付ける管理端末（ネットワーク管理端末）１１が設置される。管理端末１１はユーザネットワーク１０のＮＯＣ（Network Operation Center）に配置されており、ユーザネットワーク１０の管理者から操作可能となっている。なお、管理端末１１の設置箇所はユーザネットワーク１０に限られず、例えば、管理端末１１自体が、ＭＮＯ網４０を介して接続するリモート端末であってもよい。

　ＭＶＮＯデータセンタ３０は、Ｐ－ＧＷ（Packet Data Network Gateway）３１と、認証サーバ３２と、管理装置３３とを備えて、ユーザ端末９０に対して、ユーザネットワーク１０上に構築された仮想ＮＷ－Ａ～仮想ＮＷ－Ｃへの接続環境を提供する。第1の実施形態においては、このＭＶＮＯデータセンタ３０が、上述のモバイル仮想ネットワークオペレータの拠点に相当する。

　第２のネットワーク２０は、Ｐ－ＧＷ３１以降のＭＶＮＯ側のネットワークと、ユーザネットワーク１０のアクセスポイント間を接続する専用線やＶＰＮ（Virtual Private Network）等によって構成される。第２のネットワーク２０は、上述の第２の物理ネットワークに相当する。

　ユーザ端末９０は、ＭＶＮＯ事業者から提供されたＳＩＭカードにてユーザネットワーク１０にアクセス可能なスマートフォンやパーソナルコンピュータ（ＰＣ）等の機器である。また、ユーザ端末９０に代えて、ＩｏＴデバイスや、ＩｏＴデバイスからデータを受信するＩｏＴ－ＧＷ（Gateway）等が接続されていてもよい。

　続いて、ＭＶＮＯデータセンタ３０の細部について説明する。Ｐ－ＧＷ３１は、ＭＮＯ網４０側のＳ－ＧＷ（Serving Gateway）と、ＧＴＰ（General Packet Radio Switching Tunneling Protocol）等のトンネリングプロトコルを用いて接続し、ＭＮＯ網４０からユーザネットワーク１０への接続点となるゲートウェイである。なお、第1の実施形態では、ＭＮＯ網４０がＬＴＥ（Long Term Evolution）網であるため、Ｐ－ＧＷ３１を用いているが、ＭＮＯ網４０が３Ｇ（3rdGeneration）網である場合、ＧＧＳＮ（Gateway GPRS （General Packet Radio Service） Support Node）が同等の機能を提供することになる。これらの交換機は、認証サーバ３２から受け取った認証結果に基づいて、ユーザ端末９０に、第２のネットワーク２０に構築された仮想ネットワークへの接続を許可する。第1の実施形態においては、Ｐ－ＧＷ３１が上記した第２の手段に相当する。もちろん、Ｐ－ＧＷやＧＧＳＮ以外の他のゲートウェイ（ＧＷ）や交換機が、Ｐ－ＧＷ３１と同等の機能を提供する構成であってもよい。

　認証サーバ３２は、Ｐ－ＧＷ３１と連携してユーザ端末９０の認証を行う装置である。認証サーバ３２としては、ＤＲＡ（Diameter Routing Agent）やＲＡＤＩＵＳ（Remote Authentication Dial In User Service）サーバ等が挙げられる。第1の実施形態においては、この認証サーバ３２が上記した第１の手段に相当する。

　管理装置３３は、ユーザネットワーク１０側に配置された管理端末１１から入力された内容（制御情報）に基づいて、上述したＰ－ＧＷ３１と認証サーバ３２に向けて、ユーザとそのユーザにアクセスが認められている仮想ネットワークと認証の情報等を通知する。また、管理装置３３は、管理端末１１に向けて、設定されている内容や、仮想ネットワークの状態情報を提供するダッシュボード装置としても機能する。第1の実施形態においては、この管理装置３３が上記した第３の手段に相当する。

　図６は、第１の実施形態における管理装置３３の構成を示す図である。図６の例では、管理装置３３は、設定記憶部３３１と、設定受付部３３２と、設定送信部３３３と、現況表示部３３４と、仮想ＮＷ構築部３３５とを備えている。

　設定記憶部３３１は、ユーザネットワーク１０に構築された仮想ネットワークへのアクセスを認めるために、Ｐ－ＧＷ３１と認証サーバ３２に設定する情報を記憶する。図７は、管理装置３３に保持される制御情報の一例を示す図である。図７の例では、各ユーザ端末９０のＳＩＭ内の認証ＩＤ（IDentification）情報と、ユーザ端末９０に設定されているＡＰＮ情報と、認証情報（パスワードや認証方式等）と、参加ＶＬＡＮ（Virtual Local Area Network）情報とを対応付けたエントリが示されている。例えば、図７の一番目のエントリは、「AAA@xxxmobile.ne.jp」という認証ＩＤを持つユーザが、「xxxmobile.ne.jp」というＡＰＮに対応するＭＶＮＯのＰ－ＧＷを介して、仮想ＮＷ－Aに接続可能であることを示している。なお、ユーザが接続可能な仮想ネットワークの数は２つ以上であってもよい。また、この例では、ＳＩＭカードに格納されている認証ＩＤを用いて認証を行うこととしているが、ＩＭＳＩ（International Mobile Subscriber Identity）等のＳＩＭカードに格納されている情報を用いて認証を行うようにしてもよい。

　設定受付部３３２は、管理端末１１の表示部に表示された所定の制御情報入力画面に基づいて管理端末１１に入力された制御情報を受け取ると、当該制御情報を設定記憶部３３１に記憶する。

　設定送信部３３３は、所定の契機で、Ｐ－ＧＷ３１及び認証サーバ３２に向けて、設定記憶部３３１に登録された設定情報を通知する。

　現況表示部３３４は、Ｐ－ＧＷ３１から、現在の設定内容を示す情報や、仮想ネットワークの状態情報を受信すると、受信した情報を管理端末１１の画面等に表示する。

　仮想ＮＷ構築部３３５は、第２のネットワーク２０に、ユーザネットワーク１０の仮想ネットワーク（仮想ＮＷ－Ａ～Ｃ）に対応する仮想ネットワークを構築する（第４の手段）。ユーザネットワーク１０の仮想ネットワーク（仮想ＮＷ－Ａ～Ｃ）に対応する仮想ネットワークは、例えば、ユーザネットワーク１０の仮想ネットワーク（仮想ＮＷ－Ａ～Ｃ）に対応するＶＬＡＮＩＤを用いて仮想ネットワークを構築することで実現できる。

　なお、図５と図６に示したＭＶＮＯデータセンタや管理装置の各部（処理手段）は、これらの装置を構成するコンピュータに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。

　続いて第１の実施形態の動作について図面を参照して説明する。図８は、第１の実施形態の管理装置３３の動作例を表した流れ図である。図８を参照すると、まず、管理端末１１からアクセスを受けた管理装置３３は、現況表示部３３４を介して、Ｐ－ＧＷ３１に設定されている内容や、仮想ネットワークの状態情報を取得し、取得した情報を管理端末１１の画面上に表示する（ステップＳ００１）。例えば、管理装置３３は、Ｐ－ＧＷ３１に設定されているユーザの数やその詳細（図７参照）、第２のネットワーク２０に構築済みの仮想ネットワークに関する情報（ＶＬＡＮＩＤや仮想ＮＷ－Ａ～Ｃとの対応関係）を表示する。

　次に、管理装置３３は、管理端末１１に表示された制御情報入力画面に基づき管理端末１１に入力された、Ｐ－ＧＷ３１及び認証サーバ３２に設定すべき情報を管理端末１１から受け付ける（ステップＳ００２）。例えば、管理装置３３は、図７に示されるユーザ端末９０のＳＩＭ情報（認証ＩＤ）や、ＡＰＮ、認証情報、参加ＶＬＡＮ情報等を管理端末１１から受け付ける。図９の例では、管理端末１１から管理装置３３に、「CCC@xxxmobile.ne.jp」というユーザが有効化（認証情報を設定）し、かつ、仮想ＮＷ－Ａに収容する、との内容が入力される。

　次に、管理装置３３は、参加ＶＬＡＮ情報に基づき、ユーザ端末９０を接続させる仮想ネットワークが第２のネットワーク２０に構築済みであるか否かを確認し、必要があれば、第２のネットワーク２０に仮想ネットワークを構築する（ステップＳ００３）。

　次に、管理装置３３は、管理端末１１から受け付けた情報を、Ｐ－ＧＷ３１及び認証サーバ３２に設定する（ステップＳ００４）。図１０の例では、管理装置３３は、Ｐ－ＧＷ３１に向けて、「CCC@xxxmobile.ne.jp」というユーザを仮想ＮＷ－Ａに収容することを通知する。同様に、管理装置３３は、認証サーバ３２に向けて、「CCC@xxxmobile.ne.jp」のＩＤ有効化（認証情報を設定）を通知する。

　以上により、例えば、図１１に示すように、「CCC@xxxmobile.ne.jp」というユーザの操作により、ユーザ端末９０が、ＭＮＯ網４０を介してＭＶＮＯデータセンタ３０にアクセスすると、ＡＰＮに対応するＰ－ＧＷ３１への経路が設定される。以降、Ｐ－ＧＷ３１は、認証サーバ３２と連携して、「CCC@xxxmobile.ne.jp」というユーザ（ユーザ端末９０）を認証し、その認証に成功したならば、第２のネットワーク２０の対応する仮想ネットワークを介したユーザ端末９０と仮想ＮＷ－Ａとのアクセスを許可する。

　同様に、「DDD@xxxmobile.ne.jp」というユーザが操作するユーザ端末９０と、ユーザネットワーク１０の仮想ＮＷ－Ｃとのアクセスを許可するために必要な情報を管理装置３３がＰ－ＧＷ３１及び認証サーバ３２に設定する。これにより、図１２に示すように、「DDD@xxxmobile.ne.jp」というユーザが操作するユーザ端末９０と、仮想ＮＷ－Ｃとのアクセスが許可される。

　以上のように、第１の実施形態における仮想ネットワークシステムは、ユーザが管理端末１１に必要な情報を入力するだけで、さまざまな属性を持つユーザに、ユーザネットワーク１０の仮想ネットワークへの選択的なアクセスを許可することができる。なお、ユーザ端末９０に設定すべきＡＰＮや認証情報は、個々のユーザに別途通知されたＡＰＮや初期パスワードを用いればよい。

［第２の実施形態］
　続いて、本発明に係る第２の実施形態について図面を参照して説明する。第２の実施形態の説明では、第１の実施形態との相違点を中心に説明し、第１の実施形態と共通する部分の重複説明は省略する。

　図１３は、第２の実施形態の仮想ネットワークシステムの構成を示す図である。第２の実施形態の仮想ネットワークシステムは、ＭＶＮＯデータセンタ３０に仮想化サーバを追加することによって、各種のネットワーク機能を随時展開（デプロイ）できる構成を備えている。第２実施形態では、ＭＶＮＯデータセンタ３０に、仮想化サーバ５０が追加され、これに伴い、第１の実施形態における管理装置３３がＮＦＶ－ＭＡＮＯ (Network Functions Virtualization - Management And Network Orchestration)３３ａに置き換わっている点である。

　ＮＦＶ－ＭＡＮＯ３３ａは、第１の実施形態における管理装置３３としての機能に加え、管理端末１１から指示された内容に従い、仮想化サーバに構築される、ＶＮＦの実行基盤をなすＮＦＶＩ（Network Function Virtualization Infrastructure）及びＶＮＦのオーケストレーションを行う。つまり、ＮＦＶ－ＭＡＮＯ３３ａは、オーケストレーション装置として機能する。このようなＮＦＶ－ＭＡＮＯ３３ａとしては、非特許文献１の技術を用いることができる。

　仮想化サーバ５０は、ＮＦＶ－ＭＡＮＯ３３ａからのオーケストレーションに従って、ＮＦＶＩに、指示されたＶＮＦを起動し、ユーザに提供する。

　図１４は、第２の実施形態の動作を説明する図である。例えば、管理端末１１から、ＶＮＦ－Ａ（例えば、ルータやＩｏＴゲートウェイ）の起動を指示された場合、ＮＦＶ－ＭＡＮＯ３３ａは、仮想化サーバ５０にＶＮＦ－Ａを起動する。ＶＮＦ－Ａは、管理端末１１から指定された仮想ネットワークに属する端末等から利用可能に設定される。

　また、ユーザ端末９０からＮＦＶ－ＭＡＮＯ３３ａ経由で仮想化サーバ５０へ指示を出し、上記したＶＮＦが起動されるようにしてもよい。この場合、ユーザは、仮想化サーバ５０に指示を出すことにより、ルータやＩｏＴゲートウェイとして機能するＶＮＦ－Ａを随時起動し、これらを利用したサービスを受けることができる。例えば、仮想化サーバ５０に構築されるＶＮＦが、ユーザネットワーク１０の仮想ネットワークに配置された各種のＩｏＴデバイスから送られたデータを収集し、当該収集したデータを統計処理するＩｏＴゲートウェイ相当のＶＮＦであるとする。この場合、ユーザは、ユーザ端末９０からＮＦＶ－ＭＡＮＯ３３ａ経由で仮想化サーバ５０にアクセスすることによって、統計処理後のデータを閲覧したり、さらなる統計処理を指示することが可能となる。

　以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的な技術思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成、各要素の構成、メッセージの表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。

　最後に、本発明の好ましい形態を要約する。
［第１の形態］
　（上記第１の視点による仮想ネットワークシステム参照）
［第２の形態］
　第１の形態の仮想ネットワークシステムにおいて、
　さらに、前記第２の物理ネットワークに、前記第１の物理ネットワークの仮想ネットワークに対応する仮想ネットワークを構築する第４の手段を備える仮想ネットワークシステム。
［第３の形態］
　第２の形態の仮想ネットワークシステムにおいて、
　前記第３の手段は、前記第１、第２の手段に対し、前記ユーザ端末に関する情報の設定に加え、
　前記モバイル仮想ネットワークオペレータの拠点内の前記ユーザ端末から指定されたアクセスポイントネームを持つゲートウェイに対し、前記ユーザ端末のＳＩＭ（Subscriber Identity Module）カード内の情報を通知する仮想ネットワークシステム。
［第４の形態］
　第１から第３のいずれか一の形態の仮想ネットワークシステムにおいて、
　さらに、ネットワーク管理者から、前記第３の手段に設定させる内容を受け付けるネットワーク管理端末を備える仮想ネットワークシステム。
［第５の形態］
　第４の形態の仮想ネットワークシステムにおいて、
　さらに、前記仮想ネットワーク毎に、仮想ネットワークファンクションを提供する仮想化サーバを備え、
　所定のオーケストレーション装置を介して、前記ネットワーク管理端末又は前記ユーザ端末より前記仮想ネットワークファンクションを起動可能である仮想ネットワークシステム。
［第６の形態］
　（上記第２の視点による管理装置参照）
［第７の形態］
　（上記第３の視点による仮想ネットワークの管理方法参照）
［第８の形態］
　（上記第４の視点によるプログラム参照）
　なお、上記第６～第８の形態は、第１の形態と同様に、第２～第５の形態に展開することが可能である。

　なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的な技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

　この出願は、２０１６年６月２４日に出願された日本出願特願２０１６－１２５２００を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１０　ユーザネットワーク
　１１　管理端末
　２０　第２のネットワーク
　３０　ＭＶＮＯデータセンタ
　３１　Ｐ－ＧＷ
　３２　認証サーバ
　３３　管理装置
　３３ａ　ＮＦＶ－ＭＡＮＯ
　４０　ＭＮＯ網
　５０　仮想化サーバ
　９０、９００　ユーザ端末
　１００　第１の物理ネットワーク
　２００　第２の物理ネットワーク
　３００　モバイル仮想ネットワークオペレータの拠点
　３０１　第１の手段
　３０２　第２の手段
　３０３　第３の手段
　３３１　設定記憶部
　３３２　設定受付部
　３３３　設定送信部
　３３４　現況表示部
　３３５　仮想ＮＷ構築部

Claims

　複数の仮想ネットワークが構築される第１の物理ネットワークと、
　モバイルネットワークオペレータの提供する移動通信サービスを利用した通信サービスをユーザ端末に提供するモバイル仮想ネットワークオペレータの拠点と、
　前記第１の物理ネットワークと、前記モバイル仮想ネットワークオペレータの拠点とを接続する第２の物理ネットワークと、
　前記モバイル仮想ネットワークオペレータが提供する移動通信サービスを利用して、前記第１の物理ネットワークへアクセスするユーザ端末を認証する第１の手段と、
　前記認証に成功したユーザ端末が、前記第２の物理ネットワークに構築された仮想ネットワークを介して、前記認証の結果に応じた前記第１の物理ネットワークの仮想ネットワークにアクセスすることを許可する第２の手段と、
　前記第１と第２の手段に、前記ユーザ端末に関する情報を設定する第３の手段と、
　を備えた仮想ネットワークシステム。
　さらに、前記第２の物理ネットワークに、前記第１の物理ネットワークの仮想ネットワークに対応する仮想ネットワークを構築する第４の手段を備える請求項１に記載の仮想ネットワークシステム。
　前記第３の手段は、前記第１と第２の手段に、前記ユーザ端末に関する情報を設定する構成に加え、
　前記モバイル仮想ネットワークオペレータの拠点内における前記ユーザ端末から指定されたアクセスポイントネームを持つゲートウェイに向けて、前記ユーザ端末のＳＩＭ（Subscriber Identity Module）カード内の情報を通知する請求項１又は請求項２に記載の仮想ネットワークシステム。
　さらに、ネットワーク管理者から、前記第３の手段に設定させる内容を受け付けるネットワーク管理端末を備える請求項１から請求項３のいずれか一つに記載の仮想ネットワークシステム。
　さらに、仮想ネットワーク毎に、仮想ネットワークファンクションを提供する仮想化サーバを備え、
　所定のオーケストレーション装置を介して、前記ネットワーク管理端末又は前記ユーザ端末より前記仮想ネットワークファンクションを起動可能である請求項４に記載の仮想ネットワークシステム。
　複数の仮想ネットワークが構築される第１の物理ネットワークと、
　モバイルネットワークオペレータの提供する移動通信サービスを利用した通信サービスをユーザ端末に提供するモバイル仮想ネットワークオペレータの拠点と、
　前記第１の物理ネットワークと、前記モバイル仮想ネットワークオペレータの拠点とを接続する第２の物理ネットワークと、を含む仮想ネットワークシステムに配置され、
　前記モバイル仮想ネットワークオペレータが提供する移動通信サービスを利用して、前記第１の物理ネットワークへアクセスするユーザ端末を認証する第１の手段と、前記認証に成功したユーザ端末が、前記第２の物理ネットワークに構築された仮想ネットワークを介して、前記認証の結果に応じた前記第１の物理ネットワークの仮想ネットワークにアクセスすることを許可する第２の手段とに、前記ユーザ端末に関する情報を設定する
管理装置。
　さらに、前記第２の物理ネットワークに、前記第１の物理ネットワークの仮想ネットワークに対応する仮想ネットワークを構築する第４の手段を備える請求項６に記載の管理装置。
　前記第１と第２の手段に、前記ユーザ端末に関する情報を設定する構成に加え、
　前記モバイル仮想ネットワークオペレータの拠点内における前記ユーザ端末から指定されたアクセスポイントネームを持つゲートウェイに向けて、前記ユーザ端末のＳＩＭ（Subscriber Identity Module）カード内の情報を通知する請求項６又は請求項７に記載の管理装置。
　さらに、仮想ネットワーク毎に、仮想ネットワークファンクションを提供する仮想化サーバを備え、
　所定のオーケストレーション装置を介して、ネットワーク管理端末又は前記ユーザ端末より前記仮想ネットワークファンクションを起動可能にする請求項８に記載の管理装置。
　複数の仮想ネットワークが構築される第１の物理ネットワークと、
　モバイルネットワークオペレータの提供する移動通信サービスを利用した通信サービスをユーザ端末に提供するモバイル仮想ネットワークオペレータの拠点と、
　前記第１の物理ネットワークと、前記モバイル仮想ネットワークオペレータの拠点とを接続する第２の物理ネットワークと、を含む仮想ネットワークシステムの管理装置が、
　前記モバイル仮想ネットワークオペレータが提供する移動通信サービスを利用して、前記第１の物理ネットワークへアクセスするユーザ端末を認証する手段と、前記認証に成功したユーザ端末が、前記第２の物理ネットワークに構築された仮想ネットワークを介して、前記認証の結果に応じた前記第１の物理ネットワークの仮想ネットワークにアクセスすることを許可する手段とに、前記ユーザ端末に関する情報を設定する
仮想ネットワークの管理方法。
　複数の仮想ネットワークが構築される第１の物理ネットワークと、
　モバイルネットワークオペレータの提供する移動通信サービスを利用した通信サービスをユーザ端末に提供するモバイル仮想ネットワークオペレータの拠点と、
　前記第１の物理ネットワークと、前記モバイル仮想ネットワークオペレータの拠点とを接続する第２の物理ネットワークと、を含む仮想ネットワークシステムに接続されたコンピュータに、
　前記モバイル仮想ネットワークオペレータが提供する移動通信サービスを利用して、前記第１の物理ネットワークへアクセスするユーザ端末を認証する手段と、前記認証に成功したユーザ端末が、前記第２の物理ネットワークに構築された仮想ネットワークを介して、前記認証の結果に応じた前記第１の物理ネットワークの仮想ネットワークにアクセスすることを許可する手段とに、前記ユーザ端末に関する情報を設定する処理
を実行させるコンピュータプログラムを記憶するプログラム記憶媒体。