国際・国内特許データベース検索
このアプリケーションの一部のコンテンツは現在ご利用になれません。
この状況が続く場合は、次のお問い合わせ先までご連絡ください。フィードバック & お問い合わせ
1. (WO2017022791) 通信システム、通信装置、通信方法、端末、プログラム
Document

明 細 書

発明の名称 通信システム、通信装置、通信方法、端末、プログラム

技術分野

0001  

背景技術

0002   0003   0004   0005   0006   0007   0008   0009   0010   0011   0012   0013   0014   0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025  

先行技術文献

非特許文献

0026  

発明の概要

発明が解決しようとする課題

0027   0028  

課題を解決するための手段

0029   0030   0031   0032   0033   0034   0035   0036  

発明の効果

0037  

図面の簡単な説明

0038  

発明を実施するための形態

0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080   0081   0082   0083   0084   0085   0086   0087   0088   0089   0090   0091   0092   0093   0094   0095   0096   0097   0098   0099   0100   0101   0102   0103   0104   0105   0106   0107   0108   0109   0110   0111   0112   0113   0114   0115   0116   0117   0118   0119   0120   0121   0122   0123   0124   0125   0126   0127   0128   0129   0130   0131   0132   0133   0134   0135   0136   0137   0138   0139   0140   0141   0142   0143   0144   0145   0146   0147   0148   0149   0150   0151   0152   0153   0154   0155   0156   0157   0158   0159   0160   0161   0162   0163   0164   0165   0166   0167   0168   0169   0170   0171   0172   0173   0174   0175   0176   0177   0178   0179   0180   0181   0182   0183   0184  

符号の説明

0185  

請求の範囲

1   2   3   4   5   6   7   8   9   10   11   12   13   14   15   16   17   18   19   20   21   22   23   24   25   26   27   28   29   30   31   32  

図面

1   2   3   4   5   6   7   8   9   10   11   12   13  

明 細 書

発明の名称 : 通信システム、通信装置、通信方法、端末、プログラム

技術分野

[0001]
 本発明は通信システム、通信装置、通信方法、端末、プログラムに関する。

背景技術

[0002]
 (関連出願についての記載)
 本発明は、日本国特許出願:特願2015-154492号(2015年8月4日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
 発展型パケットシステム(Evolved Packet System: EPS)は、3GPP(3 rd Generation Partnership Project)アクセスネットワークのほか、非3GPPアクセスネットワークを含む。3GPPアクセスネットワークはUTRAN(UMTS(Universal Mobile Telecommunications System) Terrestrial Radio Access Network)、E-UTRAN(Evolved UTRAN)、GERAN(GSM(登録商標)(Global system for mobile communications) EDGE Radio Access Network)等を含む。
[0003]
 非3GPPアクセスネットワークは、3GPPの範囲外の仕様のアクセス技術を用いたIP(Internet Protocol)アクセスネットワークであり、IEEE(The Institute of Electrical and Electronics Engineers, Inc.)802.11x仕様で規定されるWi-Fi(登録商標: Wireless Fidelity)やIEEE802.16仕様で規定されるWiMAX(Worldwide Interoperability for Microwave Access)等の無線LAN(Wireless Local Area Network:WLAN)を含む。非3GPPアクセスについては、例えば3GPP TS23.402: Architecture enhancements for non-3GPP accesses等が参照される。
[0004]
 Wi-Fi(登録商標)-Callingは、通信キャリア(オペレータ)によりWi-Fi(登録商標)ネットワーク上で提供されるVoIP(Voice over IP)サービスである。例えば、通信キャリアのSIM(Subscriber Identity Module)が挿入された端末(User Equipment :UE)でWi-Fi(登録商標)ネットワークを経由し、通信キャリアのセキュリティ・ゲートウェイに接続しSIM認証で認証されると、当該通信キャリアのコアネットワーク(Evolved Packet Core: EPC)の交換機に接続し、通信キャリアの電話番号による音声通話やショートメッセージサービス(Short Message Service: SMS)等を利用可能とする(非特許文献1参照)。また、端末がWi-Fi(登録商標)に接続しておりWi-Fi(登録商標)-Callingがオンであれば、端末に対する着信を受けたセキュリティ・ゲートウェイはWi-Fi(登録商標)ネットワーク経由で端末を呼び出す。
[0005]
 図1は、非3GPPアクセスネットワークを含むEPSを説明する図である。スマートフォン等の端末(UE)1は、通信キャリアの基地局(evolved NodeB:eNB)10、EPC20を介して、パケットデータネットワーク(Packet Data Network: PDN)30に接続するか、あるいは、Wi-Fi(登録商標)等の無線LANアクセスポイント41を介してインターネットに接続することができる。
[0006]
 EPC20のMME(Mobility Management Entity)23は、例えば端末1の移動管理や認証、ユーザデータ転送経路の設定等の各種処理を行う。また、MME23は、HSS(Home Subscriber Server:加入者プロファイルを保持)24と連携してユーザの認証等を行う。MME23はSGW(Serving Gateway)21から基地局10の区間(S1-U)のユーザデータ転送経路の設定・解放を行う。SGW21は、例えば基地局10との間でユーザデータの送受信を行い、PGW(PDN(Packet Data Network) Gateway)22との間の通信経路の設定・解放を行う。
[0007]
 PGW22は、例えばIMS(Internet Multimedia Subsystem)やインターネット等のパケットデータネットワーク(PDN)30と接続する。
[0008]
 また、PGW22は、例えば端末1に対するIPアドレス(プライベートIPアドレス)の割当て、ユーザに対するパケットフィルタリング、課金サポート、合法的傍受及びパケットスクリーニング等を行う。
[0009]
 PCRF(Policy and Charging Rules Function)26は、例えばQoS(Quality of Service)等のポリシ制御や課金制御ルールを決定する。PGW22及びSGW21は、PCRF26からの通知情報に基づき、例えばパケット単位にポリシ制御を行う。
[0010]
 PCRF26とGxインタフェースで接続され、通信ネットワークにおけるポリシー及び課金実施機能ノードである不図示のPCEF(Policy and Charging Enforcement Function)は、例えばPGW22に配置される。
[0011]
 なお、図1において、各ノード間の線の符号S11等はインタフェースを表しており、破線はコントロールプレーン(C-Plane)、実線はユーザプレーン(U-Plane)の信号(データ)を表している。なお、EPCの詳細は、例えば3GPP TS 23.401:GPRS Enhancements for E-UTRAN Access等が参照される。
[0012]
 PGW22でのパケットフィルタに関して、端末(UE)1は、例えばベアラリソース修正手順(UE requester bearer resource modification procedure)にて、PGW22が管理するEPSベアラのトラフィックフローテンプレート(Traffic Flow Templates:TFT)を設定する。PGW22において、パケットフィルタは、例えばアップリンク(UL)用とダウンリンク(DL)用と区別して管理される。
[0013]
 端末(UE)1の要求によるベアラ修正(UE requested bearer resource modification)では、端末1は、例えばベアラリソース修正要求(Request Bearer Resource Modification)を、基地局(eNB)10を介してMME23に送信する。ベアラリソース修正要求には、例えば、PGW22におけるパケットフィルタの追加、修正、削除等の要求(TAD(Traffic Aggregate Description))が含まれる。追加の場合、ベアラリソース修正要求には、追加されるパケットフィルタ情報が含まれる。MME23は、SGW21を介して、ベアラリソースコマンドをPGW22に送信し、PGW22では、例えばPCRF26と相互作用してPCC(Policy and Charging Control)を決定する(PCEF Initiated IP-CAN(IP Connectivity Access Network) Session Modification)(例えば3GPP TS 23.203:Policy and charging control architecture等が参照される)。
[0014]
 PGW22は、例えば当該TADの内容や当該TADに含まれるパケットフィルタ情報に関連したGBR(Guaranteed Bit Rate)変更をPCRF26に提供する。要求が受理されると、PGW22は、TADに対応したEPSベアラのTFTにおいて、1つ又は複数のパケットフィルタの挿入、修正、削除を行う。
[0015]
 Wi-Fi(登録商標)-Calling等において、端末1からの呼要求は、無線LANアクセスポイント41経由で、Un-Trusted Access(信頼できないアクセス)として、通信キャリアのePDG(evolved Packet Data Gateway)27経由でPGW22に接続され、PDN30(例えばIMSサービス)に接続される。
[0016]
 ePDG27は、モバイルインタフェース(Swu)からのIPsec(Security Architecture for Internet Protocol)接続を終端するIPsecゲートウェイである。端末(UE)1が、セキュリティ上信頼できない非3GPPアクセスに移行するか又は非3GPPアクセスに最初に接続するときに、端末1はePDG27を検出し、ePDG27との間での鍵交換(IKEv2)、及び、IPsecトンネルの確立を行い、確立したIPsecトンネル越しに、PGW22と、PDN(Packet Data Network)コネクションを確立する。端末1が、非3GPPアクセスネットワークにアクセスするには、認証を行う必要がある。ePDG27は、端末1からのEAP(Extensible Authentication Protocol)メッセージを3GPP AAA(Authentication Authorization Accounting)サーバ25に中継し、3GPP AAAサーバ25は、EAP-SIM(Extensible Authentication Protocol-Subscriber Identity Module)認証又は、EAP-AKA(Extensible Authentication Protocol-Authentication and Key Agreement)認証を行う(例えば3GPP TS 33.402:Security aspects of non-3GPP accesses等が参照される)。
[0017]
 ePDG27は、S2bインタフェースにおいてPGW22に向かってトンネル(プロキシモバイル(Proxy Mobile)IP 又はGTP(GPRS(General Packet Radio System) Tunneling Protocol))を設定する(例えば3GPP TR 23.834: Study on GPRS Tunneling Protocol (GTP) based S2b等参照が参照される)。
[0018]
 非3GPPアクセスがPMIPv6(Proxy Mobile IPv6)に対応している場合、PGW22にPMIPv6を介して接続できる。PGW22とePDG27間でプロキシモバイルIPを使用する場合、端末1とePDG27との間でIPsecトンネルが確立されると、ePDG27はプロキシバインディングアップデート(Proxy Binding Update)メッセージをPGW22に送信する。この結果、PGW22において端末1へのデータの送信先はePDG27に切り替えられる。なお、PMIPv6は、モビリティアンカ(LMA:Local Mobility Anchor)とモビリティアクセスゲートウェイ(MAG:Mobility Access Gateway)の間でデータ転送用のトンネル(GRE(Generic Routing Encapsulation)トンネル)を確立・解放するモビリティ制御プロトコルである(IETF(The Internet Engineering Task Force) RFC(Request For Comments) 5213参照)。LMAは端末が接続するMAGまでパケット転送を行う(通信経路を切り替えて端末宛てパケットを在圏エリアへ転送する)。端末が、あるMAGから別のMAGに移動した場合、前にデータ転送用トンネルを確立したLMAと、端末が新たに接続するMAG間でデータ転送用のトンネルが張られる。
[0019]
 3GPP AAAサーバ25は、ユーザからのネットワークアクセスの認証、認可、及びアカウンティングサービスを提供する。非3GPPアクセスの認可は、端末1と3GPP AAAサーバ25、HSS24間で行われる。例えば端末1がePDG27との間でIPsecトンネルを確立すると、例えばEAP-AKAに基づき、端末1とネットワーク間で相互の認証が行われる。
[0020]
 一方、端末1が、信頼できる(Trusted)非3GPPアクセス(図1の信頼できる無線LANアクセスポイント42)に移行するか又は最初に接続するとき、MIP(Mobile IP)トンネル(S2a、DSMIPv6(Dual-Stack MIPv6):IETF RFC 5555参照)を介して、直接、PGW22に接続する。なお、ePDG、3GPP AAAサーバについては、例えば3GPP TS 29.273: Evolved Packet System (EPS); 3GPP EPS AAA interfaces等が参照される。なお、非3GPPアクセスネットワークが信頼できるアクセスネットワークであるか、信用できないアクセスネットワークであるかは、例えば加入者が登録されているHPLMN(Home Public Land Mobile Network)の通信キャリア(オペレータ)によって決定される。
[0021]
 IPSecは、ネットワーク層レベルでパケットの暗号化や認証を行うプロトコルである。AH(Authentication Header)はVPN(Virtual Private Network)の接続先、パケットの改竄の有無等の認証を行う(IETF RFC 2402参照)。ESP(Encapsulating Security Payload)はパケットの暗号化、認証(接続先・パケットの改竄)を行う(IETF RFC 2406参照)。IPSec通信には、トランスポートモード(IPsecが実装されたホスト間のIPsec)と、トンネルモード(IPsecが実装されたルータ等VPN装置間のIPsec)がある。トランスポートモードではパケットのレイヤ4以上のデータを暗号化し(図13(B)参照)、元のIPヘッダ(Original IP header)に基づいてパケットが転送される。トンネルモードでは、パケットの元のIPヘッダ、データ部(図13(A))は暗号化され、新たなIPヘッダ(New IP header)が追加される(図13(C)参照)。
[0022]
 ESPのパケット形式は、ESPヘッダ(ESP header)、ペイロード、ESPトレイラ(ESP Trailer)、認証データ(ESP Authentication data)からなる(図13(B)、(C)参照)。ESPヘッダ(ESP header)は、SPI(Security Parameter Index:そのデータグラムに対するSA(セキュリティアソシエーション)を一意に識別する32ビットの値)と、シーケンス番号(Sequence Number)(パケットのシーケンス番号:32ビット)を有する。ESPトレイラは、パディング(Padding)(ペイロード長調節用パディングフィールド)、パッド長(Pad length)(Paddingのバイト数)、 次ヘッダ(Next Header)(ESPの後のプロトコル:TCP(Transmission Control Protocol)/UDP(User Datagram Protocol))からなる。認証データ(Authentication data)(HMAC (Hash-based Message Authentication Code))は、ESP パケットから認証データを抜いたものから計算されたインテグリティチェック値(Integrity Check Value: ICV)を含む可変長フィールドである。
[0023]
 IPsec通信を行うためには、VPN装置間で、論理的なコネクションであるセキュリティアソシエーション(Security Association:SA)の確立が行われる。SAは一方向のトンネルであるため、パケットの送信と受信用に、2つのSAが設けられる。SAは、VPN通信を行うトラフィック毎に確立され、IPsecのパラメータ(セキュリティ情報)(例えばSPI(Security Parameter Index)、モード、プロトコル、暗号アルゴリズム、鍵、認証アルゴリズム、トンネルエンドポイントのIPアドレス等)からなる。
[0024]
 IKE(Internet Key Exchange)は、SA設定のための鍵交換プロトコルである(例えばIETF RFC 4306参照)。ISAKMP(Internet Security Association and Key Management Protocol)_SA(Security Association)は、IKEの制御情報を暗号化し、ピア間で送受するためのSAである(例えばIETF RFC 4306参照)。
[0025]
 近時、通信事業の形態として、無線通信設備やコアネットワーク等の通信インフラを保有する通信事業者(キャリア)であるMNO(Mobile Network Operator)から必要なインフラを借り受け、通信サービスを提供するMVNO(Mobile Virtual Network Operator)が広まっている。本明細書では、MVNOの通信事業者をMVNOキャリアという。MVNOキャリアに契約した端末は、例えばSIM(Subscriber Identity Module)フリー端末からなる。なお、本明細書では、MNOをMNOキャリアともいう。

先行技術文献

非特許文献

[0026]
非特許文献1 : Next-generation Wi-Fi Calling Using IMS and 3GPP Wi-Fi Access、インターネット検索(2015年4月26日検索)<URL:http://www.aptilo.com/wi-fi-calling/next-generation-wi-fi-calling-solution>

発明の概要

発明が解決しようとする課題

[0027]
 データセンタ等において、端末の接続先アクセスネットワークの種別(例えば非3GPPアクセスネットワーク、3GPPアクセスネットワーク)等に対応した通信サービスを提供するための機構が望まれる。
[0028]
 したがって、本発明は、上記課題に鑑みて創案されたものであって、その目的の一つは端末の接続先のネットワークに応じた通信サービスを提供可能とするシステム、方法、装置、プログラムを提供することにある。

課題を解決するための手段

[0029]
 本発明の1つの側面によれば、基地局に接続されたコアネットワークと、無線LANとに第1の広域ネットワーク(WAN1)を介して接続するデータセンタを備え、前記データセンタが、コアネットワークの機能の少なくとも一部を仮想化し、前記第1の広域ネットワークに接続される仮想コアネットワークと、
 前記無線LAN又は前記基地局への接続が選択自在とされ、前記データセンタに接続する端末が前記第1の広域ネットワークとの間で接続しているネットワークに応じて、前記仮想コアネットワークでのサービスを可変に制御する制御装置と、を備えた、通信システムが提供される。
[0030]
 本発明の他の側面によれば、基地局に接続されたコアネットワークと、無線LANとに第1の広域ネットワーク(WAN1)を介して接続する装置(手段)と、
 コアネットワークの機能の少なくとも一部を仮想化し、前記第1の広域ネットワークに接続される仮想コアネットワークと、
 前記無線LAN又は前記基地局への接続が選択自在とされ、前記通信装置に接続する端末が、前記第1の広域ネットワークとの間で接続しているネットワークに応じて、前記仮想コアネットワークでのサービスを可変に制御する制御装置と、を備えた、通信装置が提供される。
[0031]
 本発明の他の側面によれば、基地局に接続されたコアネットワークと、無線LANとに第1の広域ネットワーク(WAN1)を介して接続するデータセンタでは、前記第1の広域ネットワークに接続され、コアネットワークの機能の少なくとも一部を仮想化した仮想コアネットワークを有し、前記無線LAN又は前記基地局への接続が選択自在とされ、前記データセンタに接続する端末が、前記第1の広域ネットワークとの間で接続しているネットワークに応じて、前記仮想コアネットワークでのサービスを可変に制御する、通信方法が提供される。
[0032]
 本発明のさらに別の側面によれば、モバイルネットワークの基地局又は無線LAN(Local Area Network)と通信を行う手段と、通話発信時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能な手段と、を有する端末が提供される。
[0033]
 本発明の他の側面によれば、無線LANと、基地局に接続するコアネットワークとに第1の広域ネットワーク(WAN1)を介して接続するデータセンタに配置されるコンピュータに、コアネットワークの機能の少なくとも一部を仮想化し、前記第1の広域ネットワークに接続される仮想コアネットワークの処理と、
 前記無線LAN又は前記基地局への接続が選択自在とされ、前記データセンタに接続する端末が、前記第1の広域ネットワークとの間で接続しているネットワークに応じて、前記仮想コアネットワークでのサービスを可変に制御する処理と、を実行させるプログラムが提供される。
[0034]
 本発明のまたさらに他の側面によれば、モバイルネットワークの基地局又は無線LAN(Local Area Network)と通信を行う処理と、
 通話発信時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能とする処理を、端末のコンピュータに実行させるプログラムが提供される。
[0035]
 本発明によれば、モバイルネットワークの基地局又は無線LAN(Local Area Network)との通信を行う処理と、セットアップ時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能とする処理を、端末のコンピュータに実行させるプログラムが提供される。
[0036]
 本発明によれば、前記プログラムを記録したコンピュータ読み出し可能な記録媒体(半導体メモリやCD(Compact Disk)/DVD(Digital Versatile Disk)等のストレージ)が提供される。

発明の効果

[0037]
 本発明によれば、端末の接続先のネットワークに応じた通信サービスを提供可能としている。

図面の簡単な説明

[0038]
[図1] 関連技術を例示する図である。
[図2] 本発明の例示的な一実施形態を例示する図である。
[図3] (A)は本発明の例示的な一実施形態を例示する図である。(B)はゲートウェイのVPN情報記憶部を例示する図である。(C)は、端末のVPN情報記憶部を例示する図である。
[図4] 本発明の一実施形態の動作シーケンスを例示する図である。
[図5] (A)、(B)は、本発明の例示的な一実施形態のフィルタを例示する図である。
[図6] 本発明の例示的な一実施形態の制御装置を例示する図である。
[図7] 本発明の他の例示的な実施形態を例示する図である。
[図8] 本発明の他の実施形態の動作シーケンスを例示する図である。
[図9] 本発明の他の例示的な実施形態を例示する図である。
[図10] (A)、(B)、(C)は本発明の例示的な一実施形態の端末画面を例示する図である。
[図11] (A)、(B)は本発明の例示的な一実施形態の端末を例示する図である。
[図12] 仮想化装置の構成を例示する図である。
[図13] (A)はIPパケット、(B)はトランスモードのESPパケット、(C)はトンネルモードのESPパケット、(D)はUDPカプセル化、(E)はL2TP/IPsecのパケットを例示する図である。

発明を実施するための形態

[0039]
 本発明の実施形態について説明する。本発明の実施形態によれば、端末が、基地局及びコア網、又は、無線LAN(Local Area Network)の一方を介して第1の広域ネットワーク(Wide Area Network)経由で接続するデータセンタでは、前記端末が前記第1の広域ネットワーク(Wide Area Network)との間で接続しているネットワークに応じて、前記データセンタの仮想ネットワークで提供する通信サービス等を可変に制御する。
[0040]
 特に制限されないが、本実施形態では、データセンタの仮想ネットワークとして、例えば仮想化EPC(Virtualized EPC:vEPC)を備えた構成としてもよい。仮想化EPC(vEPC)は、例えばSGW、PGW、MME、HSS、PCRF等のノードの少なくとも1つ又は全ての機能を、仮想マシン上で動作するアプリケーション等によりソフトウェア的に実現することで構成してもよい。例えば、図12を参照して後に説明するように、仮想化EPC(vEPC)は、クライアントにクラウドサービス(あるいはデータセンタサービス)を提供するクラウド事業者のデータセンタ(Data Center: DC)内に配設されている汎用サーバ等の上に実現するようにしてもよい。
[0041]
 図2は、本発明の一実施形態を説明する図である。データセンタ50内の仮想化EPC(vEPC)52は、図1のEPC20の少なくとも一部を仮想化したものである。すなわち、vEPC52は図1のEPC20のePDG27、PGW22、PCRF26等、EPC20の一部のノードの機能を仮想化したものであってもよい。
[0042]
 第1のゲートウェイ(GW1)51(Ingress gateway)は、インターネット等の広域ネットワーク(Wide Area Network;WAN)1(31)と、vEPC52とを接続する。第2のゲートウェイ53(Egress gateway)は、インターネットやIMS等のWAN2(32)と、vEPC52とを接続する。
[0043]
 図2において、無線LAN40は、家庭内無線LAN又は公衆無線LANであってよい。無線LAN40は、無線LANアクセスポイント(WLAN AP)、NAT(Network Address Transformation)/NAPT(Network Address Port Translation)を備えた無線LANルータ等を含み、モデム等を介してWAN1(31)に接続する。
[0044]
 また、端末1は設定切り替え等により、Wi-Fi(登録商標)等の無線LAN40を介して、データセンタ50にアクセスするようにしてもよい。その場合、端末1は、無線LAN40を経由して、WAN1(31)、データセンタ50の第1のゲートウェイ51、vEPC52、第2のゲートウェイ53からWAN2(32)に接続する。
[0045]
 図2において、端末1が接続する基地局10、EPC20の一部は、クラウド事業者がMVNO(Mobile Virtual Network Operator)キャリアとして通信キャリア(MNOキャリア)から借り上げたものであってもよい。データセンタ50内の仮想化EPC52を介して、MVNOキャリアとして、クライアントに各種通信サービスを提供することができる。
[0046]
 基地局(eNB)10に接続されたMNOキャリアのEPC(MNO-EPC)20と、無線LAN40に、WAN1(31)を介して接続するクラウド事業者のデータセンタ(DC)50を備えている。データセンタ50は、無線LAN40への接続又は基地局10への接続が選択自在な端末1が、無線LAN40を介して接続する場合、端末1との間を、無線LAN40及びWAN1(31)経由のVPNで接続するVPN装置を備えた第1のゲートウェイ51と、EPCの機能の少なくとも一部を仮想化した仮想化EPC(vEPC)52と、を備えている。VPNは、第1のゲートウェイ51で終端し、仮想化EPC(vEPC)52、第2のゲートウェイ53を介してWAN2に接続される。さらに、少なくともWAN2(32)側から第2のゲートウェイ53に入力されたパケットのフィルタリングを行うフィルタ54を備えている。フィルタ54は、第2のゲートウェイ(GW)53に入力されたパケットのフィルタリングとともに、WAN1(31)側から第1のゲートウェイ51に入力されたパケットのフィルタリングを行うようにしてもよいことは勿論である。
[0047]
 さらに、WAN1(31)との間で、端末1がどのネットワークに接続しているか、接続先のネットワークの種別(無線LANであるか、基地局・EPCであるか等)に応じて、vEPC52での通信サービス(例えば課金方式あるいはQoSポリシ)を可変に制御し、端末1が接続するネットワーク間で差を付ける制御を行う制御装置56を備えている。なお、図2では、単に説明のために、制御装置56は、vEPC52に接続するノードとして示されているが、制御装置56を、vEPC52内に備えた構成、vEPC52のアプライアンス内に実装した構成としてもよいことは勿論である。
[0048]
 LTE(Long Term Evolution)では、QoS制御は、端末と基地局の間の無線アクセスネットワーク(Radio Access Network)区間とコアネットワーク(EPC)の双方で行われるが、ここでは、vEPC52において、例えばWAN1及び/又はWAN2の帯域保証等を行うようにしてもよい。
[0049]
 データセンタ50のvEPC52において、例えば、端末1が基地局10・EPC20を介してWAN1(31)経由でアクセスしてきた場合(3G/LTE接続時)には、vEPC52のポリシ/課金実施機能PCEF(Policy Charging Enforcement Function)等における課金実施をアクティブとする(すなわち、PCRFからの課金ポリシにしたがって課金を実施する)。一方、端末1が、無線LANアクセスポイント41を介しWAN1(31)経由でアクセスしてきた場合(例えば信頼できない非3GPPアクセスネットワーク接続時)、vEPC52内のPCEF等による端末1に対する課金を行わないようにしてもよい。
[0050]
 vEPC52で端末1に対する課金を行わない場合として、例えば、端末1が、EPC20を介さずに、無線LANアクセスポイント41から、WAN1(31)を介してデータセンタ50に接続する無線LAN IP電話VoWLAN(Voice over Wireless LAN)を含む。また、端末1が無線LANアクセスポイント41を介しWAN1(31)経由でWi-Fi(登録商標)-callingを行う場合、MNO又はMVNOのePDGから、EPC20又はvEPC52のPGWに接続されるが、この場合も、vEPC52のPCEFでの課金は行わないようにしてもよい(無料)。
[0051]
 なお、例示的な実施形態において、MNO-EPC20のアプライアンス(図1のEPC20参照)とvEPC52のアプライアンスとの振り分け(例えばSGWはMNO-EPC20、PGWはvEPC52等)については任意である。
[0052]
 ただし、後述するように、データセンタ50のvEPC52に、ePDG、PGW、PCRF等を具備し、クライド事業者が通信キャリア(MVNO)として、Wi-Fi(登録商標)-callingサービスを端末1に提供し、当該サービスに対する課金、QoS制御を行うようにしてもよい。
[0053]
 また、
・端末1が、Wi-Fi(登録商標)-callingにより、無線LAN、WAN1(31)経由で、データセンタ50のvEPC52に接続し、このvEPC52内のePDGをセキュリティ・ゲートウェイとする場合と、
・端末1が、基地局10、MNO-EPC20、WAN1(31)経由で、データセンタ50のvEPC52に接続する場合と、
では、データセンタ50でのEPSベアラが異なる。仮想ネットワーク機能(Virtual Network Function:VNF)のインスタンス(仮想マシン:Virtual Machine: VM)の生成・起動等の管理・制御は、例えばvEPC52における仮想ネットワーク機能を管理・制御する制御装置(不図示)で行うようにしてもよい。
[0054]
 端末1が接続する無線LANアクセスポイント41との間にWAN1(31)が介在するデータセンタ50において、第1のゲートウェイ51と、端末1間に、VPNトンネル60を張る。第1のゲートウェイ51にはVPN装置(VPNルータ)が実装され、VPNゲートウェイとして機能する。無線LANアクセスポイント41は、図示されない無線LANルータ、モデム等を介して、WAN1(31)に接続される。端末1には、VPN装置が実装され、VPNクライアントとして機能する。端末1では、無線LANを介してのデータセンタ50との間のVPN接続の設定が行われる。VPN接続はトンネリングと暗号化を含む。WAN1(31)がインターネットの場合、このVPNはいわゆるインターネットVPNである。
[0055]
 本実施形態によれば、クラウド事業者のデータセンタ50において、無線LAN40、広域ネットワークWAN1(31)経由のアクセスに対して、データセンタ50との間でセキュアなコネクション(音声通話/SMSやデータ通信)を実現している。
[0056]
 また、第1のゲートウェイ51と第2のゲートウェイ53間のネットワーク(仮想ネットワーク)55上に、パケットフィルタリング等を行うフィルタ54を備えている。
[0057]
 フィルタ54は、WAN2(32)側から第2のゲートウェイ53に入力されたパケット(ダウンリンク)のフィルタリング制御を行う。フィルタ54は、端末1からWAN2(32)側へのパケット(アップリンク)のフィルタリング制御を行うようにしてもよい。フィルタ54は、第1のゲートウェイ51と第2のゲートウェイ53間に接続され、セキュリティポリシを管理するサーバ等に実装するようにしてもよい。フィルタ54は、当該サーバ上で仮想マシン上で稼働するようにしてもよい。
[0058]
 端末1が、無線LAN40、WAN1(31)を介してデータセンタ50にアクセスする場合、通信キャリアのコア網(EPC)で提供される制御(パケットフィルタ等)は行われなくなるが、本実施形態によれば、データセンタ50内のフィルタ54がパケットフィルタリング機能等を提供している。
[0059]
 図2において、端末1に音声通話、SMS等のサービスを提供する場合には、データセンタ50において、例えば、第1のゲートウェイ51、vEPC52、第2のゲートウェイ53を経由としてWAN2(32)を介して、音声通話やSMSのメッセージ通信の相手端末と接続する。一方、端末1とWAN2(32)間のデータ通信用のパケット(トラフィック)は、データセンタ50において、vEPC52を経由せずに、第1のゲートウェイ51と第2のゲートウェイ53間のネットワーク(仮想ネットワーク)55にオフロードを行うようにしてもよい。
[0060]
 ただし、図2において、データセンタ50の第1のゲートウェイ51と第2のゲートウェイ53間のネットワーク55上に、音声パケットを転送するようにしてもよいことは勿論である。また、端末1とWAN2(32)間のデータパケット(データ通信)を、データセンタ50のvEPC52を経由して、転送するようにしてもよいことは勿論である。
[0061]
 なお、データセンタ50のフィルタ54は、パケットのヘッダ情報(アドレス、ポート番号、プロトコル等)で許可/拒否するパケットフィルタ型のファイアウォールとして構成してもよい。ただし、かかる構成に限定されるものでなく、HTTP(Hypertext Transfer Protocol)やFTP(File Transfer Protocol)など、アプリケーション層(第7層)でのフィルタリングを行うアプリケーションゲートウェイ(端末からの接続はプロキシ(=ファイアウォール)で確立されプロキシと目的の接続先へ再度、コネクションが確立される)、パケットのヘッダ情報(アドレス、ポート番号・プロトコル等)をもとにセッションテーブルを作成し、通信の方向と状態(ステート)に基づき通信を制御するステートフルインスペクション機能を備えてもよいことは勿論である。アプリケーションゲートウェイ型では不適切なWebサイトの閲覧等を制限することができる。
[0062]
 無線LAN/3GPPアクセスネットワークに接続する端末1にはプライベートIPアドレスが付与され、NAT/NAPTでアドレス/ポート番号が変換されるため、WAN2(32)には、プライベートIPアドレスをヘッダの宛先、送信元とするパケットは流れない。IPアドレス スプーフィング(なりすまし)を遮断するため、フィルタ54は、プライベートIPアドレスを宛先とするWAN2(32)からのパケットを拒否する設定を行うようにしてもよい。
[0063]
 WAN2(32)がIMS(IP Multimedia Subsystem)の場合、例えば端末1から発信されたSIP(Session Initiation Protocol)メッセージは、第2のゲートウェイ53に接続するプロキシセッション制御機能P-CSCF(Proxy Call Session Control Function)から、IMSのホーム網側のサービングセッション制御機能S-CSCF(Serving Call Session Control Function)に送信されて分析され、着信側のS-CSCF又はメディアゲートウェイ制御機能MGCF(Media Gateway Control Function)にSIPメッセージを送信し、着信側のS-CSCFからインターネット又は他のIMS、あるいは、IP網と既存の電話網の間のMGW(Media Gateway)、回線交換(Circuit Switched: CS)網とIP網間にあり、SS7共通線信号網からの呼制御信号を終端しIP網上の呼制御信号に変換するSGW(Signaling Gateway)から、回線交換ドメイン等に通信サービスを提供する。
[0064]
 あるいは、データセンタ50において、IMS機能の少なくとも一部を、仮想ネットワーク55上に実装してもよい。例えばSIPサーバ(例えばP-CSCF)等の機能を仮想ネットワーク55上に実装し、フィルタ54を、仮想マシン上で動作させ、音声の内容を解析して遮断するコンテンツフィルタリングや、不適当な番号からの着信を禁止する着信拒否リストを備えた構成としてもよい。なお、コンテンツフィルタリングや、不適当な番号からの着信を禁止する着信拒否リストを備えた制御装置を、仮想マシンとしてではなく、実機として、第1、第2のゲートウェイ51、53間に接続する構成としてもよいことは勿論である。
[0065]
 第1のゲートウェイ51は、VPNゲートウェイとして、特に制限されるものではないが、例えば、
・端末1との間で、無線LAN、WAN1を経由したVPNトンネルの確立、
・セキュリティパラメータのネゴシエーション、
・ユーザの認証、
・プライベートIPアドレスの割り当て、
・データの暗号化と復号化、
・セキュリティキーの管理、
・VPNトンネルを経由するデータ転送の管理、
・VPNトンネルのエンドポイントまたはルータとしての送受信データ伝送の管理
等を行う。
[0066]
 なお、プライベートIPアドレスの割り当て等は、ゲートウェイ51で行わず、vEPC52内のPGW等で行うようにしてもよい。
[0067]
 VPNのトンネリングプロトコルとして、例えばPPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、IPsec、GRE(Generic Route Encapsulation)等がある。暗号化を行うプロトコルはIPsecである。VPNトンネリングプロトコルとしてIPsecを用いる場合、前述したように、ESPプロトコルでカプセル化される。また、IPSec-SA設定のため、IKEプロトコルで鍵交換が行われる(IKEでは、UDP(User Datagram Protocol)のポート500番を利用する)。
[0068]
 例えば無線LANに設置されるルータ等は、複数の端末(VPNクライアント)が接続することから、端末のプライべートIPアドレスとグローバルIPアドレス、及びTCP(Transmission Control Protocol)/UDP(User Datagram Protocol)ヘッダのポート番号の変換を行うNAPT機能を備えている。
[0069]
 IPSecのトンネル・モードでは、IPへッダとデータ部分(図13(A))をまとめて暗号化し、新たにIPへッダ(図13(C)のNew IP Header)を再度つけ直して送信を行う(IETF RFC 4303)。NAPTでは、IPヘッダのIPアドレス欄とTCP/UDPヘッダのポート番号を変更する。ESPプロトコルでは、図13(C)のように、IPヘッダの次にESPヘッダ(SPI、Serial Number)が配置され、ESPヘッダにはポート番号欄が存在しない。このため、アドレス変換のNAPTが機能しない。すなわち、図3の端末1と第1のゲートウェイ51間にNAPTが存在すると、IPsecを用いたVPNはNAPTによって成立しなくなる。
[0070]
 この場合、IPsec VPNをNAPTに対応させるため、図13(D)に示すように、ESPパケットにUDPヘッダを付加することで、NAT/NAPTを通過できるようにするUDPカプセル化(UDP Encapsulation of IPsec Packets)手法を用いてもよい。UDPカプセルの場合、図13(D)において、最初のIPヘッダは転送用のIPヘッダであり、付加されたUDPヘッダの送信元、宛先ポート番号は、IKEで使用しているのと同じポート番号500を使い、NAT/NAPTで変更されている場合、変更された番号をそのまま使用する。付加されたUDPヘッダチェックサム欄(checksum)は0とする。UDPヘッダに続くNon-IKE markerはIKEパケットと区別するための設定情報である(0が入る)。これは、追加されたUDPヘッダのポート番号はIKEパケットのポート番号と同じポート番号を使うため、IKEパケットでないことを示すためである。なお、IKEパケットでは、この部分に、クッキー(Cookie)値、例えば、ISAKMP_SAのネゴシエーションの開始側が生成するクッキー値とISAKMP_SAのネゴシエーションの応答側が生成するクッキー値が入る。
[0071]
 L2TPは、PPP(Point-to-Point Protocol)フレームをUDPでカプセル化することによってIPネットワーク上での交換を可能としLAC(L2TP Access Concentrator)とLNS(L2TP Network Server)の2拠点間でのVPNを実現させる。L2TP/IPsecは暗号化の仕組みを持たないL2TPにおいてIPsecにより暗号化を行うプロトコルである。L2TP/IPsecでは、最初IPSecによるコネクション(SA)を確立する 。図13(E)は、L2TP/IPsecのパケット形式を例示した図である。
[0072]
 なお、VPNトンネルを、NAT/NAPTに対応させるには、UDPカプセル化以外にも、IPアドレスやポート番号の変化を検出して自動的にNATを検出するNATトラバーサル手法を用いてもよい。
[0073]
 次に、VPNクライアント(端末1)とVPNゲートウェイ(GW51)間でのIPsecを用いたVPNトンネルの設定の手順について説明する。
[0074]
(1)IPsec通信による通信相手との間で設定した事前共通鍵(Pre-shared Key)から鍵作成情報を生成して交換し、IKE SA(ISAKMP SA)を確立し、鍵作成情報から鍵を作成する(IKEフェーズ1)。なお、VPNクライアント(端末1)とVPNゲートウェイ(GW51)間で認証アルゴリズム、暗号アルゴリズム、事前共通鍵は同一とする。
[0075]
(2)次に、データ通信用のIPsecトンネルを設定する。IKE SA上で通信を行い、データ通信用のSAを確立する。接続先と同じ認証アルゴリズムと鍵であれば、IPsec SAが確立する。IPsec SAで通信するための鍵を作成する(IKE フェーズ2)。なお、IPsecは一定時間で消滅する。IKE SAは、IPsec SAと比べ長時間保持される。
[0076]
(3)次に、暗号化対象のデータに対して、暗号アルゴリズムとIPsec SAで作成した鍵を用いて暗号化、復号化を行う。暗号化されたデータはIPsec SAを転送される。なお、暗号アルゴリズムはDES(Data Encryption Standard)、3DES(Triple Data Encryption Standard)等が用いられ、認証アルゴリズムはMD5(Message Digest Five)や、SHA-1(Secure Hash Algorithm)等が用いられる。
[0077]
 図3(A)は、端末1と、データセンタ50の第1のゲートウェイ51のVPN装置に関する構成を例示した図である。第1のゲートウェイ51のVPN装置511のVPN設定部512は、VPNの設定を制御し、設定情報をVPN情報記憶部513に記憶する。VPN通信制御部514はVPNトンネルの接続の制御(IKEフェーズ1、2)、暗号化、復号化によるVPNトンネル経由でのデータ通信の通信制御を行う。端末1も同様の構成とされる。
[0078]
 IPsecVPNの場合、第1のゲートウェイ51においてVPNトンネルの設定を行う場合、VPN設定部512は、VPNを識別するVPN識別子(VPNトンネル識別子)、事前共通鍵(pre-shared key)、通信相手の識別(名前等)、認証アルゴリズム、暗号アルゴリズム、IKEのキープアライブ(VPN切断時、再接続する)の有無を設定する。さらに、経路情報として経路のネットワークアドレス(IPアドレス+ネットマスク)を設定する。さらに、XAUTH(eXtended AUTHentication)によるユーザ認証の有無や、NATトラバーサルの有無を設定する。XAUTHはIKEフェーズ1(機器の認証)の後、VPNリモートクライアントとサーバ間でユーザ名、パスワードを暗号化して交換しユーザ認証を行う。
[0079]
 端末1のVPN装置101のVPN設定部102においても、VPNクライアントの設定として設定名、事前共通鍵(pre-shared key)、クライアント名、接続先ゲートウェイ(IPアドレス、又は名前)、認証アルゴリズム、暗号アルゴリズム、接続先ネットワーク、NATトラバーサルの有無等を設定する。
[0080]
 VPN情報記憶部513には、例えば、
・IKEの暗号アルゴリズム(3DES-CBC(Cipher Block Chaining Mode), DES-CBC, AES(Advanced Encryption Standard)-CBC)、
・IKEのハッシュアルゴリズム(MD5, SHA-1)、
・ESPのカプセル化(NATによるESPを通過できない環境化でIPsec通信を可能とするため、UDPでカプセル化して送信・受信する)、
・事前共有鍵(pre-shared-key)、
・SAのポリシ(例えば、ポリシ識別子(Policy_ID)、VPNゲートウェイの識別子(gateway)、認証ヘッダ(AH)、認証アルゴリズム、自装置側のネットワーク識別子、相手側のネットワーク識別子等)、
・トランスポートモードの定義(送信元ポートリスト、宛先ポートリスト)、
・NATトラバーサルの有無等が含まれる。これらの情報は、VPN設定部が入力するコマンドで設定するようにしてもよい。
[0081]
 図3(B)は、VPN設定部512で設定されVPN情報記憶部513に保存されたVPNの管理情報の一例を例示する図である。VPNには、VPN識別子が付与され、端末(ユーザ)毎に管理される。図3(B)において、接続相手IPアドレスは第1のゲートウェイ51等(DHCPサーバ)で払い出したVPNクライアント(端末1)のプライベートIPアドレス(ローカルIPアドレス)である。端末ID/接続先の名前は、端末1のID(例えばIMSI(International Mobile Subscriber Identity))やユーザIDであってもよい。装置アドレスは第1のゲートウェイ51(ルータ)のVPNトンネル側のIPアドレスである。接続ネットワークはVPN通信の送信先のネットワークであり、VPNトンネル側のネットワークアドレスである。図3(B)の例では、図3(A)の端末1に割り当てられたIPアドレスを100.1.100.1とし、接続ネットワークを端末1に割り当てられたIPアドレスを100.1.100.1としている(ネットマスク:32)。データセンタ50から端末1宛てのパケットはWAN1(31)に接続する無線LANルータで経路探索され、該当するポートに接続する無線LANアクセスポイントを介して端末1に向けてVPNで送信されるが、VPNの管理情報として、端末1のIPアドレス、端末ID等以外に、例えば1つのWLANに複数の無線LANアクセスポイントが含まれる場合、端末1の接続先の無線LANアクセスポイントの名前(Access Point Name: APN)、あるいは当該無線LANアクセスポイントが接続する無線LANルータのポート情報等を備えてもよい。なお、図3(B)に示したVPN情報は一例を示すものであり、かかる構成に制限されるものでないことは勿論である。
[0082]
 図3(C)は、VPNクライアントである端末1のVPN設定部102で設定されVPN情報記憶部103に保存されたVPNの管理情報の一例を例示する図である。接続先は、拠点のホスト名で指定してもよい(例えばデータセンタ50のFQDN(Fully Qualified Domain Name)等)。接続ネットワークは、VPNクライアント(端末1)からのVPN通信の送信先のネットワークであり、第1のゲートウェイ51のVPNトンネル側のネットワークアドレスである。接続ネットワークを第1のゲートウェイ51のVPN側のアドレス:100.1.1.0/24としている(ネットマスク:24)。
[0083]
 VPN通信制御部514、104は、VPNトンネルを終端し、セキュリティキーの管理やVPNトンネルを経由するデータ転送の管理、VPNトンネルのエンドポイントまたはルータとしての送受信データ伝送を制御し、データの暗号化とカプセル化によるパケット転送や、パケットのデカプセル化と復号化を行う。
[0084]
 なお、図3(B)、図3(C)では、IPv4(Internet Protocol Version 4)の例で説明しているが、IPv4に制限されるものでないことは勿論である。また、図3(B)、図3(C)のIPアドレスは架空のアドレスである。
[0085]
 なお、図3では、VPNトンネルとしてIPsecトンネルを用いた例を説明したが、L2TP/IPsecを用いる場合、IPsecトンネル内にL2TPトンネルが配設される。L2TPトンネルの確立には、コネクション制御メッセージ及びセッション制御メッセージが用いられる。L2TP/IPsecによるVPNを構築する場合には、コネクション制御メッセージによってトンネルを作成したのち、セッション制御メッセージによってセッションを確立される。
[0086]
 上記したように、VPNは、端末単位(端末ID、共通アカウント)で割り振られる。図3(B)において、端末ID/名前の欄は、ユーザIDのほか、データセンタ50のクライド事業者がユーザに提供するユーザアカウント(例えば:"aaa@example.com")であってもよい。すなわち、第1のゲートウェイ51において、VPNの管理は、端末1(VPNクライアント)のIPアドレス以外にも、ユーザ固有の情報(ユーザアカウントあるいはWebメールアドレス等)を用いてもよい。
[0087]
 端末1が無線LANアクセスポイント41に最初にアクセスすると、無線LANアクセスポイント41は、端末1からのアクセス要求パケットを、メインとなるデータセンタ50にWAN1(31)を介して転送する。データセンタ50の第1のゲートウェイ51は、端末1にIPアドレス(プライベートIPアドレス)を割り当て、VPNトンネル60を張る。VPNトンネル60をIPsecトンネルとする場合、前述したように、IKE SAの確立(IKEフェーズ)1、IPsec SAの確立(IKEフェーズ2)、IPsec SA上での暗号化通信が行われる。
[0088]
 図4は、図2の一実施形態のシステムにおいて、端末1のアタッチ処理とWAN2(32)に接続する接続先に接続するシーケンスの一例を説明する図である。図4には、図2の端末1、WLAN40(WLAN AP)、第1のゲートウェイ51、vEPC52、第2のゲートウェイ53(GW2)、WAN2(32)側の接続先における動作シーケンスの一例が模式的に例示されている。各シーケンス動作に付した番号は説明のためのシーケンス番号である。
[0089]
1.端末1は、無線LAN(WLAN)40との間で接続を確立し、例えばvEPC52内の不図示のHSS/AAAにより認証・認可(Authentication & Authorization)を行う。なお、図4の例では、第1のゲートウェイ51は、セキュリティ上信頼できない非3GPP無線アクセス(Untrusted Non-3GPP IP Access)である無線LAN40を収容する場合に、端末1が接続するゲートウェイとして設定されているものとする。
[0090]
2.端末1側から、第1のゲートウェイ(GW1)51との間のIKE認証・トンネルセットアップ手順を実行する。これは、前述したIKEフェーズ1、2に対応する。IKEv2認証トンネルセットアップであってもよい。
[0091]
3.vEPC52がSGWとPGWを含み、ベアラの設定が必要な場合、第1のゲートウェイ(GW1)51は、MMEとして機能し、vEPC52のS11インタフェースを介して、例えばベアラ設定要求(Create Session Request)をSGWに送信するようにしてもよい。この場合、接続先のパケットデータ網に接続するPGWが選択され、SGWとPGW間のS8インタフェースにGTP(GPRS(General Packet Radio System) Tunneling Protocol)トンネルが張られる。
[0092]
4.vEPC52のSGWから、MMEとして機能する第1のゲートウェイ(GW1)51にベアラ設定応答(Create Session Response)が送信される。
[0093]
5.以上で、IPsec VPNトンネルのセットアップが完了する。
[0094]
6.第1のゲートウェイ(GW1)から、IKEv2メッセージで端末1に払い出されたIPアドレスが通知される。
[0095]
7.端末1から第1のゲートウェイ(GW1)へのIP接続はこの時点で設定される。以上がアタッチ処理のシーケンスに対応する。
[0096]
8.端末1側からのWAN2(32)側に接続先への接続要求を受けると、第1のゲートウェイ(GW1)51から接続先(WAN2側)へのIPルーチングが行われる。
[0097]
9.以上で、端末1からVPN、データセンタ50のvEPC52を介し、WAN2側の接続先との間の接続の設定が完了する。なお、WAN2(32)側から端末1へのダウンリンク方向のパケットは、vEPC52内のPGWが、PCRF等のポリシーに応じて、第1のゲートウェイ51に転送し、第1のゲートウェイ51からVPNトンネル60を介して端末1に転送される。
[0098]
 図5(A)は、図3のフィルタ54の構成の一例を示す図である。図5(A)を参照すると、フィルタ54は、
・パケットを受信し、転送制御部542からの制御のもと、許可されたパケットを通話させる通信部541と、
・パケットの廃棄、通過を制御するフィルタ情報を記憶するフィルタ情報記憶部543と、
・通信部541で受信したパケットのヘッダからアドレス、ポート、プロトコルを抽出し、フィルタ情報記憶部543の条件と照合し、当該パケットの拒否、許可を判定し、判定結果を通信部541に通知する転送制御部542と、
・フィルタ情報記憶部543に、フィルタ情報を設定するフィルタ情報設定部544と、
を備えている。フィルタ情報設定部544は、図3のデータセンタ50内の管理端末(不図示)、あるいは端末1からのベアラリソース修正要求等により、フィルタ情報記憶部543のフィルタ情報を設定するようにしてもよい。
[0099]
 図5(B)は、図5(A)のフィルタ情報記憶部543の構成として、パケットフィルタ情報の一例を示す。図5(B)を参照すると、種別(フィルタの条件に一致したパケットの扱い:通過、又は廃棄)、方向(フィルタの評価の方向:無線LANからWAN2をUP、WAN2から無線LANをDOWNとしている)、プロトコル(フィルタ対象とするパケットのIPプロトコル)、送信元アドレス(フィルタ対象とするパケットの送信元IPプロトコル)、送信ポート(フィルタ対象とするパケットの送信元ポート)、宛先アドレス(フィルタ対象とするパケットの宛先IPプロトコル)、宛先ポート(フィルタ対象とするパケットの宛先ポート)等を含む。
[0100]
 フィルタID=1では、ポート23(telnet)からの第1のゲートウェイ(GW1)51に対するパケットを廃棄するようにしてもよい(telnetポート(23番)を封鎖)。フィルタID=2では、端末1のプライベートIPアドレスを宛先とするパケットを廃棄する。フィルタID=3では、端末1からの特定の宛先アドレスへパケットを廃棄する。なお、図5(B)の記号*は、任意(any)を表している。
[0101]
 図5(B)において、フィルタID=2、3等のフィルタ情報が、端末1(加入者)に固有の情報である。なお、図5(B)のフィルタID=1のフィルタ情報(宛先がGW1、送信ポート=23のパケット)も、端末1(加入者)に対応するフィルタ情報に含めるようにしてもよいことは勿論である。
[0102]
 図5(B)の機能ブロック54を端末(加入者)毎に機能ブロック54を割り振る場合、図5(B)のフィルタ情報を、フィルタ情報設定部544から、端末(加入者)毎に設定し、フィルタ情報を、端末に紐付けて管理し、他の転送制御部542、通信部541、フィルタ情報設定部544は、複数の端末に対して、共通のコードで実現するようにしてもよい。なお、データセンタ50において、端末1(加入者)の管理は、端末1のユーザに対して、データセンタ50側で割り当てたユーザアカウントを用いてもよい。
[0103]
 図6は、図3において、端末1が接続するネットワークが無線LANであるか、基地局10・EPC20であるか等に応じて、データセンタ50のvECP52で行われる課金方式、通信品質(QoS)等を制御する制御装置56の構成を例示する図である。
[0104]
 図6を参照すると、制御装置56は、端末の接続先のネットワークを判別する接続先ネットワーク判別部561と、接続先ネットワーク判別部561で判別されたネットワーク種別(無線LAN、3G/LTE等)に応じて、必要なサービスの設定と制御を行うサービス制御部562と、サービス制御部562からの設定情報(課金ポリシ)に基づき、パケット単位で課金を実施する課金実施部563と、サービス制御部562からの設定情報(QoSポリシ)に基づき、パケット単位で通信品質を制御する通信品質制御部564と、課金実施部563にキャプチャしたパケットを受け渡し、通信品質制御部564から制御を受ける通信部565を備えている。
[0105]
 接続先ネットワーク判別部561は、端末の接続先が非3GPPアクセスネットワーク(無線LANアクセスポイント)であるか、3GPPアクセスネットワーク(基地局)であるかを、例えば端末の接続確立時等に端末から取得するようにしてもよい。あるいは、接続先ネットワーク判別部561は、MMEで管理する無線ベアラ情報、あるいは、端末の接続確立時のHSS、3GPP AAAサーバ等での認証結果情報から、端末の接続先ネットワーク情報を取得するようにしてもよい。通信部565は、受信したパケットを不図示の受信バッファに蓄積し、通信品質制御部564からの制御のもと、優先度の高いパケットから順に取り出して送信する等の優先制御や、WAN1及び/又はWAN2等の帯域保証等に必要な帯域制御を行う。
[0106]
 図7は、前述した実施形態の一例を例示する図である。図7を参照すると、データセンタ50のvEPC52のePDG527と端末1間にIPsecトンネルが設定される。ePDG527は、VPNゲートウェイとして機能し、VPNトンネルを終端する。
[0107]
 ePDG527は、VPNゲートウェイとして機能し、
・端末1との間での、無線LAN40、WAN1(31)を介してのVPN(IPsec)トンネルの確立、
・セキュリティパラメータのネゴシエーション、
・ユーザの認証、
・端末1へのプライベートIPアドレスの割り当て、
・データの暗号化と復号化、
・セキュリティキーの管理、
・VPNトンネルを経由するデータ転送の管理、
・VPNトンネルのエンドポイントとしての送受信データ伝送の管理を行う。なお、端末1へのプライベートIPアドレスの割り当ては、vEPC52のPGW522で行うようにしてもよい。
[0108]
 端末1からIKEV2でEAPメッセージをePDG527に送信し、vEPC52の3GPP AAAサーバ525に中継し、EAP-SIM/EAP-AKA認証を行う。vEPC52のePDG527とPGW522間は、GTP又はPMIPv6トンネルで接続される。
[0109]
 vEPC52において、PGW522とePDG527間でプロキシモバイルIP(PMIPv6トンネル)を使用する場合、端末1とvEPC52のePDG527との間でIPsecトンネルが確立されると、ePDG527は、プロキシバインディングアップデート(Proxy Binding Update)をPGW522に送信する。この結果、vEPC52のPGW522では、端末1への着信の送信先を、vEPC52のePDG527に切り替え、VPNトンネル60を介し、無線LAN40経由で、着信が端末1に通知される。
[0110]
 PGW522は、例えばEPSベアラに関するTFT(Traffic Flow Template)を有するフィルタ529を備えている。フィルタ529において、WAN2から端末1側への下り方向のパケットフィルタの設定(追加、修正、削除等)は、上記したように、端末1からのベアラリソース修正手順のRequest Bearer Resource Modificationメッセージで行うようにしてもよい。あるいは、端末1からAttach Requestメッセージ等の接続処理や、その他、所定のイベント発生時等に行ってもよい。なお、フィルタ529は、アプリケーション層でのフィルタリングを行う機能、あるいはステートフルインスペクション機能を備えた構成としてもよいことは勿論である。あるいは、フィルタ529に、WAN2(32)からの着信を拒否する着信拒否リストを備えた構成としてもよい。
[0111]
 WAN2(32)をIMSで構成した場合、vEPC52と接続するP-CSCF(Proxy-Call Session Control Function)やServing-CSCFに、音声の内容を解析して遮断するコンテンツフィルタリングや、不適当な番号からの着信を禁止する着信拒否リストを備えた構成としてもよい。
[0112]
 制御装置56は、図6を参照して説明した制御装置56からなる。この実施形態では、制御装置56は、PCRF526に接続され、該PCRF526から通知される課金情報やQoSポリシ情報に基づき、端末1が接続するネットワークに応じて、課金制御、QoSポリシに差を付ける制御を行う。制御装置56は、PCEFノードとして実装してもよい。あるいは、制御装置56は、PGW522内に実装してもよい。制御装置56のサービス制御部562(図6)は、PCRF526からGxインタフェースで通知される課金情報、QoSポリシ情報に基づき、端末1が接続するネットワーク種別に応じて、課金、QoSポリシを設定するようにしてもよい。図6の接続先ネットワーク判別部561は、ePDG527、HSS524及び3GPP AAA525でのSIM認証の結果から、端末1からの経路が無線LAN40を含むことを判別するようにしてもよい。なお、第1、第2のゲートウェイ51、53はルータ(エッジルータ)で構成してもよい。
[0113]
 図7では、ePDG527、PGW522をvEPC52として実装しているが、クラウド事業者がMVNO(Mobile Virtual Network Operator)として、MNO(Mobile Network Operator)のePDG27、PGW22(図1)を借り受けたものであってもよい。
[0114]
 例えば端末1からのWi-Fi(登録商標)-Callingについては、端末1とePDG527との間で、無線LAN40、WAN1(31)を経由したVPN60(IPsecトンネル)が張られ、ePDG527とPGW522間にGTP/PMIPv6のトンネルが張られ、PGW522から、例えばIMSからなるWAN2(32)を介して、接続先に接続される。すなわち、Wi-Fi(登録商標)-Callingは、クラウド事業者(MVNO)による通信サービスとして制御され、セキュアなコネクションが提供されるとともに、フィルタ529により、不当な着信や有害サイト等からの保護が提供される。なお、PGW522は、図3の第2のゲートウェイ53の機能を備えている。
[0115]
 図7のフィルタ54は、図2を参照して説明したフィルタ54と同一であるため、説明は省略する。
[0116]
 なお、図7において、vEPC52の各ネットワーク機能を仮想化したノード(仮想マシン)、制御装置56のほか、フィルタ54等も、サーバ等のコンピュータ上で実行されるプログラムでその機能・処理を実現するようにしてもよいことは勿論である。
[0117]
 図8は、図7のシステムにおいて、端末1のアタッチ処理とWAN2(32)に接続する接続先に通信接続するシーケンスを説明する図である。図7には、図6の端末1、WLAN40(WLAN AP)、ePDG527、PGW522、HSS524/AAAサーバ525、PCRF526、WAN2(32)側の接続先における動作シーケンスの一例が例示されている。各シーケンス動作に付した番号は説明のためのシーケンス番号である。図8において、例えばePDG527を第1のゲートウェイ(GW1)、PGW522を第2のゲートウェイ(GW2)に置き換えると、図4を参照して説明した動作に、一部対応させることができる。
[0118]
1.端末1は、無線LAN(WLAN)40との間で接続を確立し、例えばvEPC52内のHSS524/AAA525により認証・認可(Authentication & Authorization)を行う。
[0119]
2.端末1側から、ePDG527の間のIKEv2認証・トンネルセットアップ手順(IKEv2のフェーズ1、2等)を実行する。
[0120]
3.ePDG527は、PGW522に対してProxy Binding Update(モバイルノードのホームネットワークプレフィクスと、モバイルノードが接続されているMAG(Mobile Access Gateway)との間のバインディングを確立するために、MAGによってLMA(Local Mobility Anchor)に送信される要求メッセージ)を送信する。
[0121]
4.PGW522は、PCRF526と連携して、IP接続アクセスネットワーク(IP-CAN(Connection Access Network))セッションの確立手順を行う。
[0122]
5.PGW522は、AAAサーバ525にPGWの識別情報(PGW ID)を通知し、AAAサーバ525は、HSS524に、PGW522のIDと、端末1に対応したAPN(Access Point Name)を通知して登録する。
[0123]
6.PGW522はプロキシバインディングアップデート処理を行い、端末1に対応したバインディングキャッシュエントリを作成する。これにより、PGW522において、端末1宛てのパケットは、バインディングキャッシュエントリに保持された内容に従い、ePDG527に向けて送信されることになる。PGW522は、ePDG527に対してProxy Binding Ackを送信する。
[0124]
7.以上で、IPsec VPNトンネルのセットアップが完了する。
[0125]
8.ePDG527から端末1に対してIKEv2メッセージで、IPアドレスが通知される。
[0126]
9.端末1からのIP接続のセットアップが完了する。端末1とePDG527間はIPsecトンネル、ePDG527とPGW522間は、PMIP(Proxy Mobile Internet Protocol)等のトンネルが張られる。以上がアタッチ処理のシーケンスに対応する。
[0127]
10.端末1側からのWAN2(32)側に接続先への接続要求をePDG527からPMIPトンネルを介して受けると、PGW522から接続先(WAN2側)へのIPルーチングが行われる。この場合、端末1からのSIPメッセージが第2のゲートウェイ53を介してIMSのP-CSCFに送信され、S-CSCF、MGCF、あるいはMGW等を介して例えばPSTN(Public Switched Telephone Networks)の接続先に接続するようにしてもよい。あるいは、S-CSCFからインターネット又は他のIMSに接続する接続先に接続するようにしてもよい。なお、図8では、端末1はIMSに対して登録済みであるものとする。IMSのP-CSCFとPGW522(SGiインタフェース)はIPsec(VPN)で通信を行う。
[0128]
11.以上で、端末1からVPN、データセンタ50のvEPC52を介し、WAN2側の接続先との間の接続の設定が完了する。なお、WAN2(32)側から端末1へのダウンリンク方向のパケットは、vEPC52内のPGW522がバインディングキャッシュエントリに基づきePDG527にPIMPトンネルを介して転送し、ePDG527からVPNトンネル60を介して端末1に転送される。
[0129]
 次に、図12を参照して、vEPC52のノードの構成について説明する。データセンタ50内のサーバ57上の仮想マシン(Virtual Machine: VM)571は仮想ネットワークインタフェースコントローラ(vNIC)575を介して仮想スイッチ(vSwitch)576の仮想ポート:Aに接続し、仮想スイッチ(vSwitch)576の仮想ポート:Bから物理NIC(pNIC)577を介して物理スイッチ(Physical Switch)58の物理ポート:Cに接続され、物理スイッチ(Physical Switch)58の物理ポート:Dを介して、データセンタ50内のLAN等のネットワーク(仮想ネットワーク)59に接続される。仮想マシン571は、ゲストOS(Operating System)573と、アプリケーション572を備え、EPCのネットワークノードの機能の一部又は全て(例えば図7のePDG527の機能、あるいは他のノードの機能)を実現する。ネットワーク59は例えば図7の第1のゲートウェイ(ルータ)51に接続される。
[0130]
 仮想NIC(vNIC)、仮想スイッチ(vSwitch)等は、サーバ57上の仮想化機構であるハイパーバイザ(Hypervisor)574によって提供される。なお、物理スイッチ58をL2(Layer 2)スイッチで構成し、ネットワーク59をVLAN(Virtual LAN)等の仮想ネットワークで構成してもよい。同様に、図12の仮想マシン571によって、図2のフィルタ54を実装し、VLAN等の仮想ネットワーク59によって、図2のネットワーク55を構成してもよい。なお、図12では、ネットワーク機能の仮想化を管理統合するマネージャ等、NFV(Network Functions Virtualization)の管理ユニット(NFV Orchestrator (NFVO)、VNF(Virtualized Network Function) Manager等)は省略されている。
[0131]
 図9は、本発明の別の例示的な実施形態を説明する図である。図9に示す実施形態では、端末1は、データセンタ50を所持するクラウド事業者が提供する無線LANアクセスポイント41、クラウド事業者とは他の事業者(他キャリア)が提供する無線LANアクセスポイント43、他のキャリアの基地局10及び該基地局10に接続するEPC20のいずれかを介しWAN1経由でデータセンタ50に接続する。
[0132]
 データセンタ50において不図示の制御装置(図6の56)は、
 端末1が接続するネットワークが、
・データセンタ50を所持する事業者に提供された無線LANアクセスポイント41、
・データセンタ50のクラウド事業者と異なる他のキャリアによって提供された無線LANアクセスポイント43、
・通信キャリア(クラウド事業者と異なる他のキャリア)の基地局10及びEPC20
のうちのいずれであるかによって、vEPC52における課金方式やQoS制御に差を付ける制御を行う。QoS制御のパラメータとしてQCI(QoS Class Identifier)が用いられ、LTEでは、音声通話(VoIP)のQCIは2と高い値(優先度)に設定される。
[0133]
 特に制限されるものではないが、端末1が接続するネットワークに応じて、例えば以下のようなサービスに差を設けるようにしてもよい。
[0134]
 端末1が、クラウド事業者の無線LANアクセスポイント41に接続してデータセンタ50のvEPC52に接続した場合、vEPC52の利用に対して課金は行わない(無料)。
[0135]
 端末1が、他のキャリアの無線LANアクセスポイント43に接続してデータセンタ50のvEPC52に接続した場合、vEPC52の利用に対して、例えば単位時間当たりX円等の設定による所定の課金を行う。
[0136]
 端末1が、別のキャリアの基地局20に接続してデータセンタ50のvEPC52に接続した場合、例えば単位時間当たりY円(Y>X)等の設定による所定の課金を行う。
[0137]
 また、データセンタ50のvEPC52でQoS制御として、端末1が、クラウド事業者の無線LANアクセスポイント41に接続してデータセンタ50のvEPC52に接続した場合、高品質とする。端末1が、他のキャリアの無線LANアクセスポイント43に接続してデータセンタ50のvEPC52に接続した場合、低品質とする。
[0138]
 端末1が、別のキャリアの基地局20に接続してデータセンタ50のvEPC52に接続した場合、低品質又は中程度の品質とする。
[0139]
 図10(A)乃至図10(C)は、本発明のさらに別の例示的な実施形態を説明する図である。図10(A)を参照すると、本実施形態では、端末1は、スマートフォンやタブレット端末等スマートデバイスとして説明する。なお、端末1は、その他の種別の端末であっても良い。例えば、スマートフォンでない従来型の携帯電話(フィーチャーフォン)であっても良い。表示部11は、表示装置とタッチパッドのような位置入力装置を組み合わせたタッチパネルである。図10(A)の表示部11のホーム画面に表示された受話器(電話機)マークのアイコン111をユーザがタップすると、アプリケーション画面が表示され、電話帳アイコンをユーザがタップすると、名簿が表示される。名簿の中から電話をかけたい相手:日電太郎112をユーザがタップすると、図10(B)に示すように、その電話番号113が表示され、電話番号113をユーザがタップすると、受話器(電話をかける)114と、Wi-Fi(登録商標)電話115が表示される。
[0140]
 ユーザは受話器(電話をかける)114と、Wi-Fi(登録商標)電話115のいずれかを選択して相手に電話をかける。
[0141]
 受話器(電話をかける)114をタップすると、端末1は、基地局に接続し、通話相手に接続する。
[0142]
 Wi-Fi(登録商標)電話115を選択すると、端末1は、Wi-Fi(登録商標)アクセスポイントに接続し、Wi-Fi(登録商標)-Calling(無線LANからセキュリティ・ゲートウェイを介してキャリアの交換機に接続する)により、通話相手に接続する。
[0143]
 図10(A)、(B)の例では、Wi-Fi(登録商標)の電話を通話時に選択しているが、図10(C)に示すように、表示部11においてネットワーク設定画面116上で、Wi-Fi(登録商標)通信のオンとオフ117、Wi-Fi(登録商標)電話のオン、オフ118を設定する。オン、オフの設定は、タッチ式、あるいはスライド式であってもよい。
[0144]
 なお、図10(B)において、Wi-Fi(登録商標)-CallingによるSMSを選択項目の一つとして表示するようにしてもよい。
[0145]
 また、図10(B)において、Wi-Fi(登録商標)電話115のマークは、Wi-Fi(登録商標)アクセスポイントからの受信電波強度(電界強度)を表すように可変としてもよい。Wi-Fi(登録商標)アクセスポイントからの受信電波強度(電界強度)が大であると、電波を表す弧(波)の本数が増加し、受信電波強度(電界強度)が小であると、電波を表す弧(波)の本数が減少する等、表示を変えるようにしてもよい。
[0146]
 ネットワーク設定画面116上で、予め設定する場合、端末の接続先のネットワークの種別による優先度や条件等を設定するようにしてもよい。
[0147]
 図11(A)は、図10(A)乃至図(C)を参照して説明した端末1の構成を模式的に例示した図である。図11(A)を参照すると、端末1は、図10(A)乃至図10(C)等の画面を表示するタッチパネル1001と、タッチパネル1001へのデータや画像の出力と、ユーザからのタッチパネル1001への入力の位置検知等を行うタッチパネル入力・出力部1002と、受話器アイコン111(図10(A))のタップで起動され、電話をかける処理を実行するアプリケーション(アプリケーションプログラム)1003と、アプリケーション1003での処理結果に基づき、無線LAN、又は基地局との接続を確立する制御部1004と、基地局と通信する通信モジュール(3G/LTE通信モジュール)1006及びアンテナ1007と、Wi-Fi(登録商標)通信モジュール(IEEE802.11a/b/h/nインタフェース)1008及びアンテナ1009を備えている。なお、アプリケーション1003及び制御部1004等の処理は、端末1の不図示のCPU(Central Processing Unit)で実行されるプログラムで実現される。
[0148]
 図10(A)、図10(B)に例示したように、通話開始時に、端末1からの接続先ネットワークの変更等に応じて、通信モジュール1006又は通信モジュール1008を選択するようにしてもよい。すなわち、アプリケーション1003は、記憶部1005に設定情報が格納されていない場合、ユーザがタッチパネル1001上で、電話(3GPPアクセスネットワークによる電話、又は、Wi-Fi(登録商標)電話)のいずれを選択したかに応じて、制御部1004は、通信モジュール1006又は通信モジュール1008を選択し、基地局又はWi-Fi(登録商標)アクセスポイントと通信接続する。
[0149]
 一方、図11(B)のような設定情報が、記憶部1005に予め設定されている場合、アプリケーション1003は、ユーザが電話をかける相手の電話番号(図10(B)の113)をタップすると、Wi-Fi(登録商標)電話を選択して、制御部1004を介して、Wi-Fi(登録商標)通信モジュール1008、アンテナ1009からWi-Fi(登録商標)アクセスポイント(無線LANアクセスポイント)との接続を行う。なお、図11(A)において、制御部1004は、図10(C)の設定画面116から入力された設定情報(図10(B))を記憶部1005に記憶する。Wi-Fi(登録商標)電話のオン・オフを、常に図10(C)の設定画面116から行うようにしてもよい。
[0150]
 上記した各実施形態によれば、無線LAN、WAN1を介してデータセンタにアクセスする端末に対してセキュアなネットワーク接続を提供し、さらに、端末からのWi-Fi(登録商標)-Calling等に対して、端末が接続するネットワーク種別に応じた通信サービス(課金、通信品質)を提供可能としている。さらに、有害なサイト、有害コンテンツからの保護や不当な着信等の拒否を可能としている。
[0151]
 なお、上記の非特許文献1の開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
[0152]
 上記した実施形態は、例えば以下のように付記される(ただし、以下に制限されない)。
[0153]
(付記1)
 基地局に接続されたコアネットワークと、無線LAN(Local Area Network)とに第1の広域ネットワーク(Wide Area Network)を介して接続するデータセンタを備え、
 前記データセンタは、
 コアネットワークの機能の少なくとも一部を仮想化し、前記第1の広域ネットワークに接続される仮想コアネットワークと、
 前記無線LAN又は前記基地局への接続が選択自在とされ、前記データセンタに接続する端末が、前記第1の広域ネットワークとの間で接続しているネットワークに応じて、前記仮想コアネットワークでの前記端末に対するサービスを可変に制御する制御装置と、
 を備えた、通信システム。
[0154]
(付記2)
 前記データセンタにおいて、
 前記制御装置は、
 前記端末が前記基地局及び前記コアネットワークを介し前記第1の広域ネットワーク経由で前記データセンタに接続しているか、あるいは、前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続しているか、という前記端末が接続するネットワークの種別に対応して、
 また、前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続している場合には、前記無線LANのアクセスポイントが、前記データセンタの事業者によって提供されたものであるか、あるいは、前記データセンタの前記事業者と異なる他の事業者によって提供されたものであるか、という前記端末が接続する無線LANの種別に対応して、
 前記仮想コアネットワークで前記端末に提供する課金方式と通信品質サービスの少なくとも一方を可変に制御する、付記1記載の通信システム。
[0155]
(付記3)
 前記データセンタにおいて、
 前記端末が、前記無線LANを介し前記第1の広域ネットワーク経由で前記データセンタに接続する場合、前記端末との間を、前記無線LAN及び前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続するVPN装置を備えた、付記1又は2記載の通信システム。
[0156]
(付記4)
 前記データセンタが、
 前記第1の広域ネットワークに接続し、前記VPN装置を備えた第1のゲートウェイと、
 前記第2の広域ネットワークに接続する第2のゲートウェイと、
 を備え、
 前記第1のゲートウェイと前記第2のゲートウェイは、前記仮想コアネットワークに接続され、
 前記第1の広域ネットワークから入力されるパケットと、前記第2の広域ネットワークから入力されるパケットの少なくとも一方のパケットのフィルタリングを行うフィルタを、前記第1のゲートウェイと前記第2のゲートウェイ間に備えた、付記3記載の通信システム。
[0157]
(付記5)
 前記データセンタにおいて、
 前記フィルタが、前記第2の広域ネットワーク側からの前記端末への着信やメッセージのアクセス拒否、許可を制御する、付記4記載の通信システム。
[0158]
(付記6)
 前記端末が、前記VPNから前記VPN装置及び前記仮想コアネットワークを経由し、前記第2の広域ネットワークを介して接続先と通信し、
 前記第2の広域ネットワーク側からの前記端末への着呼又はデータを、前記データセンタの前記仮想コアネットワーク及び前記VPN装置から、前記VPNを介して受信する、付記3乃至5のいずれか一に記載の通信システム。
[0159]
(付記7)
 前記データセンタの前記VPN装置は、端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、付記3乃至6のいずれか一に記載の通信システム。
[0160]
(付記8)
 前記端末が、前記基地局を介して通信するか、前記無線LANを介して通信するかを選択する手段を備えた、付記1乃至7のいずれか一に記載の通信システム。
[0161]
(付記9)
 前記無線LANのアクセスポイントが、
 前記データセンタの事業者によって提供されるアクセスポイントと、
 他の通信キャリアによって提供されるアクセスポイントと、
 の少なくとも一方を含む、付記1乃至8のいずれか一に記載の通信システム。
[0162]
(付記10)
 基地局に接続されたコアネットワークと、無線LAN(Local Area Network)とに第1の広域ネットワーク(Wide Area Network)を介して接続する装置(手段)と、
 コアネットワークの機能の少なくとも一部を仮想化し、前記第1の広域ネットワークに接続される仮想コアネットワークと、
 前記無線LAN又は前記基地局への接続が選択自在とされる端末であって、前記通信装置に接続する前記端末が、前記第1の広域ネットワークとの間で接続しているネットワークに応じて、前記仮想コアネットワークでの前記端末に対するサービスを可変に制御する制御装置と、
 を備えた、通信装置。
[0163]
(付記11)
 前記制御装置は、
 前記端末が前記基地局及び前記コアネットワークを介し前記第1の広域ネットワーク経由で前記通信装置に接続しているか、あるいは、前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記通信装置に接続しているか、という前記端末が接続するネットワークの種別に対応して、
 また、前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記通信装置に接続している場合には、前記無線LANのアクセスポイントが、第1の事業者によって提供されたものであるか、あるいは、前記第1の事業者と異なる他の事業者によって提供されたものであるか、という前記端末が接続する無線LANの種別に対応して、
 前記仮想コアネットワークで前記端末に提供する課金方式と通信品質サービスの少なくとも一方を可変に制御する、付記10記載の通信装置。
[0164]
(付記12)
 前記端末が、前記無線LANを介し前記第1の広域ネットワーク経由で前記データセンタに接続する場合、前記端末との間を、前記無線LAN及び前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続するVPN装置を備えた、付記10又は11記載の通信装置。
[0165]
(付記13)
 前記第1の広域ネットワークに接続し、前記VPN装置を備えた第1のゲートウェイと、
 前記第2の広域ネットワークに接続する第2のゲートウェイと、
 を備え、
 前記第1のゲートウェイと前記第2のゲートウェイは、前記仮想コアネットワークに接続され、
 前記第1の広域ネットワークから入力されるパケットと、前記第2の広域ネットワークから入力されるパケットの少なくとも一方のパケットのフィルタリングを行うフィルタを、前記第1のゲートウェイと前記第2のゲートウェイ間に備えた、付記12記載の通信装置。
[0166]
(付記14)
 前記フィルタが、前記第2の広域ネットワーク側からの前記端末への着信やメッセージのアクセス拒否、許可を制御する、付記13記載の通信装置。
[0167]
(付記15)
 前記端末が、前記VPNから前記VPN装置及び前記仮想コアネットワークを経由し、前記第2の広域ネットワークを介して接続先と通信し、
 前記第2の広域ネットワーク側からの前記端末への着呼又はデータを、前記通信装置の前記仮想コアネットワーク及び前記VPN装置から前記VPNを介して受信する、付記12乃至14のいずれか一に記載の通信装置。
[0168]
(付記16)
 前記VPN装置は、端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、付記10乃至15のいずれか一に記載の通信装置。
[0169]
(付記17)
 基地局に接続されたコアネットワークと、無線LAN(Local Area Network)と、に第1の広域ネットワーク(Wide Area Network)を介して接続するデータセンタでは、
 前記第1の広域ネットワークに接続され、コアネットワークの機能の少なくとも一部を仮想化した仮想コアネットワークを有し、
 前記無線LAN又は前記基地局への接続が選択自在とされ、前記データセンタに接続する端末が、前記第1の広域ネットワークとの間で接続しているネットワークに応じて、前記仮想コアネットワークでの前記端末に対するサービスを可変に制御する、通信方法。
[0170]
(付記18)
 前記データセンタにおいて、
 前記端末が前記基地局及び前記コアネットワークを介し前記第1の広域ネットワーク経由で前記データセンタに接続しているか、あるいは、前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続しているか、という前記端末が接続するネットワークの種別に対応して、
 また、
 前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続している場合には、前記無線LANのアクセスポイントが、前記データセンタを所持する事業者によって提供されたものであるか、あるいは、前記データセンタの前記事業者と異なる他の事業者によって提供されたものであるか、という前記端末が接続する無線LANの種別に対応して、
前記仮想コアネットワークで前記端末に提供する課金方式と通信品質サービスの少なくとも一方を可変に制御する、付記17記載の通信方法。
[0171]
(付記19)
 前記端末が、前記無線LANを介し前記第1の広域ネットワーク経由で前記データセンタに接続する場合、前記端末と前記データセンタとの間を、前記無線LAN及び前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する、付記17又は18記載の通信方法。
[0172]
(付記20)
 前記データセンタでは、
 第1のゲートウェイが、前記第1の広域ネットワークに接続し、
 第2のゲートウェイが、前記第2の広域ネットワークに接続し、
 前記第1のゲートウェイと前記第2のゲートウェイは、前記仮想コアネットワークに接続され、
 前記第1のゲートウェイと前記第2のゲートウェイ間のフィルタで、前記第1の広域ネットワークから入力されるパケットと、前記第2の広域ネットワークから入力されるパケットの少なくとも一方のパケットのフィルタリングを行う、付記19記載の通信方法。
[0173]
(付記21)
 前記フィルタが、前記第2の広域ネットワーク側からの前記端末への着信やメッセージのアクセス拒否、許可を制御する、付記20記載の通信方法。
[0174]
(付記22)
 前記端末が、前記VPNから前記VPN装置及び前記仮想コアネットワークを経由し、前記第2の広域ネットワークを介して接続先と通信し、
 前記第2の広域ネットワーク側からの前記端末への着呼又はデータを、前記データセンタの前記仮想コアネットワーク及び前記VPN装置から、前記VPNを介して受信する、付記19乃至21のいずれか一に記載の通信方法。
[0175]
(付記23)
 端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、付記19乃至22のいずれか一に記載の通信方法。
[0176]
(付記24)
 モバイルネットワークの基地局又は無線LAN(Local Area Network)と通信を行う手段と、
 通話発信時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能な手段と、
 を有する端末。
[0177]
(付記25)
 モバイルネットワークの基地局又は無線LAN(Local Area Network)との通信を行う手段と、
 通話発信時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能な通話アプリケーションと、
 を有する端末。
[0178]
(付記26)
 モバイルネットワークの基地局又は無線LANとの通信を行う手段と、
 セットアップ時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能な手段と、
 を有する端末。
[0179]
(付記27)
 前記無線LAN及び第1の広域ネットワークを介してデータセンタに接続する場合、前記データセンタとの間を、前記無線LAN及び前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する手段を備えた、付記24乃至26のいずれか一に記載の端末。
[0180]
(付記28)
 無線LAN(Local Area Network)と、基地局に接続するコアネットワークとに第1の広域ネットワーク(Wide Area Network)を介して接続するデータセンタに配置されるコンピュータに、
 コアネットワークの機能の少なくとも一部を仮想化し、前記第1の広域ネットワークに接続される仮想コアネットワークの処理と、
 前記無線LAN又は前記基地局への接続が選択自在とされ、前記データセンタに接続する端末が、前記第1の広域ネットワークとの間で接続しているネットワークに応じて、前記仮想コアネットワークでの記端末に対するサービスを可変に制御する処理と、
 を実行させる、プログラム。
[0181]
(付記29)
  前記端末が前記基地局及び前記コアネットワークを介し前記第1の広域ネットワーク経由で前記データセンタに接続しているか、あるいは、前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続しているか、という、前記端末が接続するネットワークの種別に対応して、
 前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続している場合には、前記無線LANのアクセスポイントが、前記データセンタを所持する事業者によって提供されたものであるか、あるいは、前記データセンタの前記事業者と異なる他の事業者によって提供されたものであるか、という、前記端末が接続する無線LANの種別に対応して、
 前記仮想コアネットワークで前記端末に提供する課金方式と通信品質サービスの少なくとも一方を可変に制御する処理を、前記コンピュータに実行させる、付記28記載のプログラム。
[0182]
(付記30)
 前記端末が、前記無線LANを介して前記データセンタに接続する場合、前記端末との間を、前記無線LAN及び前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する処理を、前記コンピュータに実行させる、付記28又は29記載のプログラム。
[0183]
(付記31)
 モバイルネットワークの基地局又は無線LAN(Local Area Network)と通信を行う処理と、
 通話発信時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能とする処理を、端末のコンピュータに実行させる、プログラム。
[0184]
(付記32)
 モバイルネットワークの基地局又は無線LAN(Local Area Network)との通信を行う処理と、
 セットアップ時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能とする処理を、端末のコンピュータに実行させるプログラム。

符号の説明

[0185]
1、1-1~1-3 端末(UE)
10 基地局(eNB)
11 表示部
20 EPC
21 SGW
22 PGW
23 MME
24 HSS
25 3GPP AAA
26 PCRF
27 ePDG
30 PDN
31 WAN1
32 WAN2
40 WLAN
41、42、43 無線LANアクセスポイント(WLAN AP) 
50 データセンタ(DC)
51 第1のゲートウェイ(GW)
52 仮想化EPC(vEPC)
53 第の2ゲートウェイ
54 機能ブロック(フィルタ)
55 ネットワーク(仮想ネットワーク)
56 制御装置
57 サーバ
58 物理スイッチ
59 ネットワーク
60 VPNトンネル
101 VPN装置
102 VPN設定部
103 VPN情報記憶部
104 VPN通信制御部
111 受話器マーク(アイコン)
112 名簿(氏名表示)
113 電話番号
114 電話アイコン
115 Wi-Fi(登録商標)電話アイコン
116 設定画面(ネットワーク設定画面)
117 Wi-Fi(登録商標)通信設定欄
118 Wi-Fi(登録商標)電話設定欄
511 VPN装置
512 VPN設定部
513 VPN情報記憶部
514 VPN通信制御部
522 PGW
524 HSS
525 3GPP AAA
526 PCRF
527 ePDG
528 S2b(GTP/PMIPv6)
529 フィルタ
541 通信部
542 転送制御部
543 フィルタ情報記憶部
544 フィルタ情報設定部
561 接続先ネットワーク判別部
562 サービス制御部
563 課金実施部
564 通信品質制御部
565 通信部
571 仮想マシン
572 アプリケーション
573 OS
574 ハイパーバイザ
575 仮想NIC
576 仮想スイッチ
577 物理NIC
1001 タッチパネル
1002 タッチパネル入力・出力部
1003 アプリケーション
1004 制御部
1005 記憶部(設定情報)
1006 3G/LTE通信モジュール
1007 アンテナ
1008 Wi-Fi(登録商標)通信モジュール
1009 アンテナ

請求の範囲

[請求項1]
 基地局に接続されたコアネットワークと、無線LAN(Local Area Network)とに第1の広域ネットワーク(Wide Area Network)を介して接続するデータセンタを備え、
 前記データセンタは、
 コアネットワークの機能の少なくとも一部を仮想化し、前記第1の広域ネットワークに接続される仮想コアネットワークと、
 前記無線LAN又は前記基地局への接続が選択自在とされ、前記データセンタに接続する端末が、前記第1の広域ネットワークとの間で接続しているネットワークに応じて、前記仮想コアネットワークでのサービスを可変に制御する制御装置と、
 を備えた、通信システム。
[請求項2]
 前記データセンタにおいて、
 前記制御装置は、
 前記端末が前記基地局及び前記コアネットワークを介し前記第1の広域ネットワーク経由で前記データセンタに接続しているか、あるいは、前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続しているか、という前記端末が接続するネットワークの種別に対応して、
 また、前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続している場合には、前記無線LANのアクセスポイントが、前記データセンタの事業者によって提供されたものであるか、あるいは、前記データセンタの前記事業者と異なる他の事業者によって提供されたものであるか、という前記端末が接続する無線LANの種別に対応して、
 前記仮想コアネットワークで前記端末に提供する課金方式と通信品質サービスの少なくとも一方を可変に制御する、請求項1記載の通信システム。
[請求項3]
 前記データセンタにおいて、
 前記端末が、前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続する場合、前記端末との間を、前記無線LAN及び前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続するVPN装置を備えた、請求項1又は2記載の通信システム。
[請求項4]
 前記データセンタが、
 前記第1の広域ネットワークに接続し、前記VPN装置を備えた第1のゲートウェイと、
 前記第2の広域ネットワークに接続する第2のゲートウェイと、
 を備え、
 前記第1のゲートウェイと前記第2のゲートウェイは、前記仮想コアネットワークに接続され、
 前記第1の広域ネットワークから入力されるパケットと、前記第2の広域ネットワークから入力されるパケットの少なくとも一方のパケットのフィルタリングを行うフィルタを、前記第1のゲートウェイと前記第2のゲートウェイ間に備えた、請求項3記載の通信システム。
[請求項5]
 前記データセンタにおいて、
 前記フィルタが、前記第2の広域ネットワーク側からの前記端末への着信やメッセージのアクセス拒否、許可を制御する、請求項4記載の通信システム。
[請求項6]
 前記端末が、前記VPNから前記VPN装置及び前記仮想コアネットワークを経由し、前記第2の広域ネットワークを介して接続先と通信し、
 前記第2の広域ネットワーク側からの前記端末への着呼又はデータを、前記データセンタの前記仮想コアネットワーク及び前記VPN装置から、前記VPNを介して受信する、請求項3乃至5のいずれか1項に記載の通信システム。
[請求項7]
 前記データセンタの前記VPN装置は、端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、請求項3乃至6のいずれか1項に記載の通信システム。
[請求項8]
 前記端末が、前記基地局を介して通信するか、前記無線LANを介して通信するかを選択する手段を備えた、請求項1乃至7のいずれか1項に記載の通信システム。
[請求項9]
 前記無線LANのアクセスポイントが、
 前記データセンタの事業者によって提供されるアクセスポイントと、
 他の通信キャリアによって提供されるアクセスポイントと、
 の少なくとも一方を含む、請求項1乃至8のいずれか1項に記載の通信システム。
[請求項10]
 基地局に接続されたコアネットワークと、無線LAN(Local Area Network)とに第1の広域ネットワーク(Wide Area Network)を介して接続する装置と、
 コアネットワークの機能の少なくとも一部を仮想化し、前記第1の広域ネットワークに接続される仮想コアネットワークと、
 前記無線LAN又は前記基地局への接続が選択自在とされ、通信装置に接続する端末が、前記第1の広域ネットワークとの間で接続しているネットワークに応じて、前記仮想コアネットワークでのサービスを可変に制御する制御装置と、
 を備えた、通信装置。
[請求項11]
 前記制御装置は、
 前記端末が前記基地局及び前記コアネットワークを介し前記第1の広域ネットワーク経由で前記通信装置に接続しているか、あるいは、前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記通信装置に接続しているか、という前記端末が接続するネットワークの種別に対応して、
 また、前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記通信装置に接続している場合には、前記無線LANのアクセスポイントが、第1の事業者によって提供されたものであるか、あるいは、前記第1の事業者と異なる他の事業者によって提供されたものであるか、という前記端末が接続する無線LANの種別に対応して、
 前記仮想コアネットワークで前記端末に提供する課金方式と通信品質サービスの少なくとも一方を可変に制御する、請求項10記載の通信装置。
[請求項12]
 前記端末が、前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続する場合、前記端末との間を、前記無線LAN及び前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続するVPN装置を備えた、請求項10又は11記載の通信装置。
[請求項13]
 前記第1の広域ネットワークに接続し、前記VPN装置を備えた第1のゲートウェイと、
 前記第2の広域ネットワークに接続する第2のゲートウェイと、
 を備え、
 前記第1のゲートウェイと前記第2のゲートウェイは、前記仮想コアネットワークに接続され、
 前記第1の広域ネットワークから入力されるパケットと、前記第2の広域ネットワークから入力されるパケットの少なくとも一方のパケットのフィルタリングを行うフィルタを、前記第1のゲートウェイと前記第2のゲートウェイ間に備えた、請求項12記載の通信装置。
[請求項14]
 前記フィルタが、前記第2の広域ネットワーク側からの前記端末への着信やメッセージのアクセス拒否、許可を制御する、請求項13記載の通信装置。
[請求項15]
 前記端末が、前記VPNから前記VPN装置及び前記仮想コアネットワークを経由し、前記第2の広域ネットワークを介して接続先と通信し、
 前記第2の広域ネットワーク側からの前記端末への着呼又はデータを、前記通信装置の前記仮想コアネットワーク及び前記VPN装置から前記VPNを介して受信する、請求項12乃至14のいずれか1項に記載の通信装置。
[請求項16]
 前記VPN装置は、端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、請求項10乃至15のいずれか1項に記載の通信装置。
[請求項17]
 基地局に接続されたコアネットワークと、無線LAN(Local Area Network)と、に第1の広域ネットワーク(Wide Area Network)を介して接続するデータセンタでは、
 前記第1の広域ネットワークに接続され、コアネットワークの機能の少なくとも一部を仮想化した仮想コアネットワークを有し、
 前記無線LAN又は前記基地局への接続が選択自在とされ、前記データセンタに接続する端末が、前記第1の広域ネットワークとの間で接続しているネットワークに応じて、前記仮想コアネットワークでのサービスを可変に制御する、通信方法。
[請求項18]
 前記データセンタにおいて、
 前記端末が前記基地局及び前記コアネットワークを介し前記第1の広域ネットワーク経由で前記データセンタに接続しているか、あるいは、前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続しているか、という前記端末が接続するネットワークの種別に対応して、
 また、
 前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続している場合には、前記無線LANのアクセスポイントが、前記データセンタを所持する事業者によって提供されたものであるか、あるいは、前記データセンタの前記事業者と異なる他の事業者によって提供されたものであるか、という前記端末が接続する無線LANの種別に対応して、
前記仮想コアネットワークで前記端末に提供する課金方式と通信品質サービスの少なくとも一方を可変に制御する、請求項17記載の通信方法。
[請求項19]
 前記端末が、前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続する場合、前記端末と前記データセンタとの間を、前記無線LAN及び前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する、請求項17又は18記載の通信方法。
[請求項20]
 前記データセンタでは、
 第1のゲートウェイが、前記第1の広域ネットワークに接続し、
 第2のゲートウェイが、前記第2の広域ネットワークに接続し、
 前記第1のゲートウェイと前記第2のゲートウェイは、前記仮想コアネットワークに接続され、
 前記第1のゲートウェイと前記第2のゲートウェイ間のフィルタで、前記第1の広域ネットワークから入力されるパケットと、前記第2の広域ネットワークから入力されるパケットの少なくとも一方のパケットのフィルタリングを行う、請求項19記載の通信方法。
[請求項21]
 前記フィルタが、前記第2の広域ネットワーク側からの前記端末への着信やメッセージのアクセス拒否、許可を制御する、請求項20記載の通信方法。
[請求項22]
 前記端末が、前記VPNから前記VPN装置及び前記仮想コアネットワークを経由し、前記第2の広域ネットワークを介して接続先と通信し、
 前記第2の広域ネットワーク側からの前記端末への着呼又はデータを、前記データセンタの前記仮想コアネットワーク及び前記VPN装置から、前記VPNを介して受信する、請求項19乃至21のいずれか1項に記載の通信方法。
[請求項23]
 端末単位又は前記端末のユーザ単位に、前記端末との間の前記VPNを管理する、請求項19乃至22のいずれか1項に記載の通信方法。
[請求項24]
 モバイルネットワークの基地局又は無線LAN(Local Area Network)と通信を行う手段と、
 通話発信時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能な手段と、
 を有する端末。
[請求項25]
 モバイルネットワークの基地局又は無線LAN(Local Area Network)との通信を行う手段と、
 通話発信時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能な通話アプリケーションと、
 を有する端末。
[請求項26]
 モバイルネットワークの基地局又は無線LANとの通信を行う手段と、
 セットアップ時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能な手段と、
 を有する端末。
[請求項27]
 前記無線LAN及び第1の広域ネットワークを介してデータセンタに接続する場合、前記データセンタとの間を、前記無線LAN及び前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する手段を備えた請求項24乃至26のいずれか1項に記載の端末。
[請求項28]
 無線LAN(Local Area Network)と、基地局に接続するコアネットワークとに第1の広域ネットワーク(Wide Area Network)を介して接続するデータセンタに配置されるコンピュータに、
 コアネットワークの機能の少なくとも一部を仮想化し、前記第1の広域ネットワークに接続される仮想コアネットワークの処理と、
 前記無線LAN又は前記基地局への接続が選択自在とされ、前記データセンタに接続する端末が、前記第1の広域ネットワークとの間で接続しているネットワークに応じて、前記仮想コアネットワークでのサービスを可変に制御する処理と、
 を実行させるプログラム。
[請求項29]
 前記端末が前記基地局及び前記コアネットワークを介し前記第1の広域ネットワーク経由で前記データセンタに接続しているか、あるいは、前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続しているか、という、前記端末が接続するネットワークの種別に対応して、
 前記端末が前記無線LAN及び前記第1の広域ネットワーク経由で前記データセンタに接続している場合には、前記無線LANのアクセスポイントが、前記データセンタを所持する事業者によって提供されたものであるか、あるいは、前記データセンタの前記事業者と異なる他の事業者によって提供されたものであるか、という、前記端末が接続する無線LANの種別に対応して、
 前記仮想コアネットワークで前記端末に提供する課金方式と通信品質サービスの少なくとも一方を可変に制御する処理を、前記コンピュータに実行させる請求項28記載のプログラム。
[請求項30]
 前記端末が、前記無線LANを介して前記データセンタに接続する場合、前記端末との間を、前記無線LAN及び前記第1の広域ネットワーク経由のVPN(Virtual Private Network)で接続する処理を、前記コンピュータに実行させる請求項28又は29記載のプログラム。
[請求項31]
 モバイルネットワークの基地局又は無線LAN(Local Area Network)と通信を行う処理と、
 通話発信時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能とする処理を、端末のコンピュータに実行させるプログラム。
[請求項32]
 モバイルネットワークの基地局又は無線LAN(Local Area Network)との通信を行う処理と、
 セットアップ時に、前記モバイルネットワークの基地局を経由して通話するか、前記無線LANを経由して通話するかを選択可能とする処理を、端末のコンピュータに実行させるプログラム。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]

[ 図 7]

[ 図 8]

[ 図 9]

[ 図 10]

[ 図 11]

[ 図 12]

[ 図 13]