Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4950705B2 - Communication control system and communication control method - Google Patents
[go: Go Back, main page]

JP4950705B2 - Communication control system and communication control method - Google Patents

Communication control system and communication control method Download PDF

Info

Publication number
JP4950705B2
JP4950705B2 JP2007065328A JP2007065328A JP4950705B2 JP 4950705 B2 JP4950705 B2 JP 4950705B2 JP 2007065328 A JP2007065328 A JP 2007065328A JP 2007065328 A JP2007065328 A JP 2007065328A JP 4950705 B2 JP4950705 B2 JP 4950705B2
Authority
JP
Japan
Prior art keywords
communication
application
mobile terminal
specific service
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007065328A
Other languages
Japanese (ja)
Other versions
JP2008228064A (en
Inventor
出亜 加納
和宏 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2007065328A priority Critical patent/JP4950705B2/en
Publication of JP2008228064A publication Critical patent/JP2008228064A/en
Application granted granted Critical
Publication of JP4950705B2 publication Critical patent/JP4950705B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は通信制御システム及び通信制御方法に関し、特に、ファイアウォール機能を有する通信制御システム及び通信制御方法に関する。   The present invention relates to a communication control system and a communication control method, and more particularly to a communication control system and a communication control method having a firewall function.

LAN(Local Area Network)などの内部ネットワークでは、インターネットなどの外部ネットワークからの不正アクセスを検出及び遮断するために、所定のフィルタリング条件に従って、各ネットワークの境界に到達したデータの通過許否を判定するファイアウォールを設置する。ファイアウォールは、多くの場合ソフトウェアの形で提供され、ルータやプロキシサーバなどに組み込まれて使用されるが、高い性能が要求されるため、専用のハードウェアが用いられる場合もある(例えば、特許文献1参照)。
特開平10−70576号公報
In an internal network such as a LAN (Local Area Network), in order to detect and block unauthorized access from an external network such as the Internet, a firewall that determines whether or not data that has reached the boundary of each network is allowed to pass according to predetermined filtering conditions Is installed. In many cases, a firewall is provided in the form of software and is used by being incorporated in a router or a proxy server. However, since high performance is required, dedicated hardware may be used (for example, patent documents). 1).
JP 10-70576 A

ダイヤルアップ接続を行う端末や携帯電話などの移動端末装置は、外部ネットワークに接続する場所が状況や用途に応じて異なるので、ファイアウォールの適切かつ固定的な設置場所の特定が困難である。また、移動体端末装置は、移動通信網を介して外部ネットワークと接続されるため、ある程度セキュアな環境で外部ネットワークと接続することになる。このため、移動通信網のゲートウェイにおいてインターネットからの攻撃を防御することができるので、移動体端末装置をファイアウォールで守らなくてもトラブルに合うことは殆どなかった。   In mobile terminal devices such as terminals and mobile phones that perform dial-up connection, the location for connecting to an external network differs depending on the situation and application, and it is difficult to specify an appropriate and fixed installation location of the firewall. In addition, since the mobile terminal device is connected to the external network via the mobile communication network, the mobile terminal device is connected to the external network in a somewhat secure environment. For this reason, an attack from the Internet can be prevented at the gateway of the mobile communication network, so that even if the mobile terminal device is not protected by a firewall, there is almost no trouble with it.

しかしながら、近年では、無線LAN接続が可能な移動体端末装置が開発されてきており、このような移動体端末装置においては、公衆のインターネットに対して無制限に開放される状況が想定される。このため、移動体端末装置においても、インターネット側から不正なアクセス(攻撃のための調査や攻撃)に対する対策を講ずる必要性が生じてきた。   However, in recent years, mobile terminal devices capable of wireless LAN connection have been developed, and it is assumed that such mobile terminal devices are open to the public Internet without limitation. For this reason, it has become necessary for mobile terminal devices to take measures against unauthorized access (investigation and attacks for attacks) from the Internet side.

本発明はかかる点に鑑みてなされたものであり、セキュアでない外部ネットワークにも接続可能な移動体端末装置においても、ネットワーク側からの不正なアクセスを防御することができる通信制御システム及び通信制御方法を提供することを目的とする。   The present invention has been made in view of the above points, and a communication control system and a communication control method capable of preventing unauthorized access from the network side even in a mobile terminal device connectable to an insecure external network The purpose is to provide.

本発明の通信制御システムは、アプリケーション毎にセキュリティポリシーを管理する管理手段を有する移動通信センターと、ユーザからの特定のサービスの利用の要求を受け付けた場合、前記移動通信センターに対して前記特定のサービスのアプリケーションについての接続問い合わせを行い、前記移動通信センターから前記特定のサービスのアプリケーションに対応するセキュリティポリシーを受信する通信手段、及び前記セキュリティポリシーに応じてネットワーク資源を開放するファイアウォール手段を有する移動体端末装置と、を具備し、前記セキュリティポリシーは、前記特定のサービスのアプリケーションで利用可能な通信ポート及び/又はシーケンスを指定し、前記ファイアウォール手段は、前記セキュリティポリシーで指定された通信ポート及び/又はシーケンスでの通信を許容することを特徴とする。 When the communication control system of the present invention receives a request for use of a specific service from a mobile communication center having a management unit for managing a security policy for each application, and the mobile communication center receives the specific A mobile having communication means for making a connection inquiry about a service application, receiving a security policy corresponding to the application of the specific service from the mobile communication center , and firewall means for releasing network resources in accordance with the security policy comprising a terminal device, wherein the security policy specifies the application available communication ports and / or sequence of the specific service, the firewall means, the finger by the security policy Characterized in that to permit communication with a communication port and / or sequence is.

この構成によれば、セキュアでない外部ネットワークにも接続可能な移動体端末装置のために公衆のインターネットに対して無制限に開放される状況においても、ネットワーク側からの不正なアクセス(攻撃のための調査や攻撃)を防御することができる。また、このように構成することにより、ファイアウォールのルールにユーザが関与できないので、ユーザが誤って公衆のインターネットに対して無制限に開放される状況にしてしまうことを防止できる。   According to this configuration, even in a situation where the mobile terminal device that can be connected to an insecure external network is opened to the public Internet indefinitely, unauthorized access from the network side (investigation for attacks) And attacks). Also, with this configuration, the user cannot be involved in the firewall rules, so that it is possible to prevent the user from being inadvertently opened to the public Internet indefinitely.

本発明の通信制御システムにおいては、前記移動体端末装置は、前記特定のサービスがセキュアな通信ネットワークとセキュアでない通信ネットワークのいずれで提供されるかを判断し、セキュアでない通信ネットワークで提供されると判断された場合、前記特定のサービスのアプリケーションについての前記接続問い合わせを行うことが好ましい。 In the communication control system of the present invention, the mobile terminal device determines whether the specific service is provided in a secure communication network or an insecure communication network, and is provided in the insecure communication network. If determined, it is preferable to make the connection inquiry about the application of the specific service .

本発明の通信制御システムにおいては、前記移動体端末装置及び前記移動通信センターは、接続問い合わせ用のアプリケーションを起動するアプリ制御手段を有することが好ましい。この場合において、前記ファイアウォール手段は、前記接続問い合わせ用のアプリケーション側からの要求に応じてネットワーク資源を開放することが好ましい。   In the communication control system of the present invention, it is preferable that the mobile terminal device and the mobile communication center have application control means for starting an application for connection inquiry. In this case, it is preferable that the firewall unit releases network resources in response to a request from the connection inquiry application side.

本発明の通信制御方法は、移動体端末装置が、ユーザからの特定のサービスの利用の要求を受け付けた場合、移動通信センターに対して、前記特定のサービスのアプリケーションについての接続問い合わせを行う工程と、前記移動通信センターが、前記移動体端末装置からの前記接続問い合わせに応じて、前記移動体端末装置に前記特定のサービスのアプリケーションに対応するセキュリティポリシーを提供する工程と、前記移動体端末装置が前記セキュリティポリシーに応じてネットワーク資源を開放する工程と、を具備し、前記セキュリティポリシーは、前記特定のサービスのアプリケーションで利用可能な通信ポート及び/又はシーケンスを指定し、前記ネットワーク資源を開放する工程において、前記移動体端末装置は、前記セキュリティポリシーで指定された通信ポート及び/又はシーケンスでの通信を許容することを特徴とする。 The communication control method of the present invention includes a step of making a connection inquiry about an application of the specific service to the mobile communication center when the mobile terminal device receives a request for use of the specific service from the user. The mobile communication center providing a security policy corresponding to the application of the specific service to the mobile terminal device in response to the connection inquiry from the mobile terminal device; Releasing network resources in accordance with the security policy, wherein the security policy designates a communication port and / or sequence that can be used by the application of the specific service and releases the network resource. And the mobile terminal device Characterized in that to allow communication with the specified communication port and / or the sequence at tee policy.

本発明の通信制御方法においては、前記接続問い合わせを行う工程において、前記移動体端末装置は、前記特定のサービスがセキュアな通信ネットワークとセキュアでない通信ネットワークのいずれで提供されるかを判断し、セキュアでない通信ネットワークで提供されると判断された場合、前記特定のサービスのアプリケーションについての前記接続問い合わせを行うことが好ましい。本発明の通信制御方法においては、移動体端末装置及び移動通信センターが接続問い合わせ用のアプリケーションを起動する工程を具備し、前記ネットワーク資源を開放する工程において、前記移動体端末装置は、前記接続問い合わせ用のアプリケーション側からの要求に応じてネットワーク資源を開放してもよい In the communication control method of the present invention, in the step of performing the connection inquiry, the mobile terminal device determines whether the specific service is provided in a secure communication network or an insecure communication network, and It is preferable to make the connection inquiry about the application of the specific service when it is determined that the service is provided by a communication network that is not. In the communication control method of the present invention, the mobile terminal device and the mobile communication center include a step of starting a connection inquiry application, and in the step of releasing the network resource, the mobile terminal device includes the connection inquiry. Network resources may be released in response to a request from the application side.

これらの方法によれば、セキュアでない外部ネットワークにも接続可能な移動体端末装置のために公衆のインターネットに対して無制限に開放される状況においても、ネットワーク側からの不正なアクセス(攻撃のための調査や攻撃)を防御することができる。また、このように構成することにより、ファイアウォールのルールにユーザが関与できないので、ユーザが誤って公衆のインターネットに対して無制限に開放される状況にしてしまうことを防止できる。   According to these methods, even in a situation where the mobile terminal device that can be connected to an unsecured external network is open to the public Internet indefinitely, unauthorized access from the network side (for attack) Can defend against investigations and attacks). Also, with this configuration, the user cannot be involved in the firewall rules, so that it is possible to prevent the user from being inadvertently opened to the public Internet indefinitely.

本発明によれば、移動体端末装置が移動通信センターに対して接続問い合わせを行い、移動通信センターが移動体端末装置にセキュリティポリシーを提供し、移動体端末装置がセキュリティポリシーに応じてネットワーク資源を開放するので、セキュアでない外部ネットワークにも接続可能な移動体端末装置においても、ネットワーク側からの不正なアクセスを防御することができる通信制御システム及び通信制御方法を提供することができる。   According to the present invention, the mobile terminal device issues a connection inquiry to the mobile communication center, the mobile communication center provides a security policy to the mobile terminal device, and the mobile terminal device allocates network resources according to the security policy. Since it is opened, it is possible to provide a communication control system and a communication control method that can prevent unauthorized access from the network side even in a mobile terminal device that can be connected to an insecure external network.

以下、本発明の実施の形態について添付図面を参照して詳細に説明する。
図1は、本発明の実施の形態に係る通信制御システムの概略構成を示す図である。図1に示すシステムは、本発明に係る移動体端末1と、この移動体端末1と移動通信網2を介して接続された移動通信センター3と、移動通信センター3とインターネット4のようなネットワークを介して接続されたCP(Contents Provider)サーバ5と、移動通信網2とは異なる外部ネットワーク(ここでは無線LAN)のアクセスポイント(AP)6とから主に構成されている。
Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
FIG. 1 is a diagram showing a schematic configuration of a communication control system according to an embodiment of the present invention. The system shown in FIG. 1 includes a mobile terminal 1 according to the present invention, a mobile communication center 3 connected to the mobile terminal 1 via a mobile communication network 2, a network such as the mobile communication center 3 and the Internet 4. Is mainly composed of a CP (Contents Provider) server 5 and an access point (AP) 6 of an external network (in this case, a wireless LAN) different from the mobile communication network 2.

移動体端末1また、オペレーティングシステム(移動機OS)を有しており、移動機OS上でブラウザ機能、ビューワ機能、JAM(Java(登録商標) Application Manager)その他の機能が動作する。   The mobile terminal 1 also has an operating system (mobile device OS), and a browser function, a viewer function, a JAM (Java (registered trademark) Application Manager) and other functions operate on the mobile device OS.

移動通信網2は、移動体端末1の事業者のネットワークである。この移動通信網2には、通常の移動通信網に加えて移動パケット通信網も含まれる。移動通信網2は、事業者サーバ、例えばiモード(登録商標)サーバなどを有すると共に、インターネットとを結ぶゲートウェイ機能を担っており、具体的には、情報配信機能、メール送受信機能、メール蓄積機能、契約顧客管理機能、情報提供者(Information Provider)管理機能、及び情報料課金機能を有する。   The mobile communication network 2 is an operator network of the mobile terminal 1. The mobile communication network 2 includes a mobile packet communication network in addition to a normal mobile communication network. The mobile communication network 2 has an operator server, for example, an i-mode (registered trademark) server, and has a gateway function for connecting to the Internet. Specifically, an information distribution function, a mail transmission / reception function, a mail storage function , A contract customer management function, an information provider management function, and an information fee billing function.

ネットワークには、インターネット4をはじめその他のネットワーク、例えばLANやWANなども含まれる。CPサーバ5は、インターネット4に接続されたサーバであり、種々のコンテンツを配信する。AP6は、無線LANにおける通常のアクセスポイントである。なお、移動体端末1とCPサーバ5との間の通信や移動体端末1とAP6との間の通信については、通常行われている通信と同じであり、それらの接続シーケンスなどについては省略する。   The network includes the Internet 4 and other networks such as LAN and WAN. The CP server 5 is a server connected to the Internet 4 and distributes various contents. AP 6 is a normal access point in a wireless LAN. Note that the communication between the mobile terminal 1 and the CP server 5 and the communication between the mobile terminal 1 and the AP 6 are the same as those normally performed, and the connection sequence thereof is omitted. .

図2は、本発明の実施の形態に係る通信制御システムの移動体端末1の構成を示すブロック図である。図2に示す移動体端末1は、装置全体を制御する制御部11と、移動通信センター3やAP6との間で無線通信を行う通信制御部12と、移動通信センター3から提供されたセキュリティポリシーを格納する格納部13と、移動通信センター3から提供されたセキュリティポリシーに応じてネットワーク資源を開放するファイアウォール部14と、接続問い合わせ用アプリケーションを起動させるアプリ制御部15と、すべての通信について移動通信センターに問い合わせるモードと、セキュアでない通信について移動通信センターに問い合わせるモードとの間でモード変更するモード変更部16とから主に構成されている。   FIG. 2 is a block diagram showing a configuration of mobile terminal 1 of the communication control system according to the embodiment of the present invention. The mobile terminal 1 shown in FIG. 2 includes a control unit 11 that controls the entire apparatus, a communication control unit 12 that performs wireless communication with the mobile communication center 3 and the AP 6, and a security policy provided from the mobile communication center 3. A storage unit 13 for storing network resources, a firewall unit 14 for releasing network resources in accordance with a security policy provided from the mobile communication center 3, an application control unit 15 for starting a connection inquiry application, and mobile communication for all communications It is mainly composed of a mode changing unit 16 that changes a mode between a mode for inquiring the center and a mode for inquiring the mobile communication center for insecure communication.

制御部11は、ユーザが特定のサービスの利用を要求すると、移動通信センター3やAP6に対して無線通信を行うように通信制御部12に指示する。また、制御部11は、このとき、接続問い合わせ用アプリケーションを起動させるようにアプリ制御部15に指示する。また、制御部11は、移動通信センター3からセキュリティポリシーが提供されたときに、セキュリティポリシーを格納部13に格納する。また、制御部11は、移動通信センター3から提供されたセキュリティポリシーに応じてネットワーク資源の開放を行うようにファイアウォール部14に指示する。また、制御部11は、ユーザの入力があったときに、セキュアでない通信について移動通信センターに問い合わせるモードとの間でモードを変更するようにモード変更部16に指示する。   When the user requests use of a specific service, the control unit 11 instructs the communication control unit 12 to perform wireless communication with the mobile communication center 3 and the AP 6. At this time, the control unit 11 instructs the application control unit 15 to activate the connection inquiry application. The control unit 11 stores the security policy in the storage unit 13 when the security policy is provided from the mobile communication center 3. Further, the control unit 11 instructs the firewall unit 14 to release network resources in accordance with the security policy provided from the mobile communication center 3. Further, the control unit 11 instructs the mode changing unit 16 to change the mode between the mode in which the mobile communication center is inquired about insecure communication when the user inputs.

通信制御部12は、移動通信センター3に対して接続問い合わせの要求信号を送信するとともに、移動通信センター3からセキュリティポリシーを受信する。また、通信制御部12は、AP6に対して無線LAN通信を行う。この無線LAN通信の手順は、IEEE802.11における接続時の標準手順と同じである。   The communication control unit 12 transmits a connection inquiry request signal to the mobile communication center 3 and receives a security policy from the mobile communication center 3. Further, the communication control unit 12 performs wireless LAN communication with the AP 6. The procedure of this wireless LAN communication is the same as the standard procedure at the time of connection in IEEE802.11.

格納部13は、少なくとも移動通信センター3から提供されたセキュリティポリシーを格納する。なお、格納部13は、ROM、RAM、ハードディスクなどにより構成される。   The storage unit 13 stores at least the security policy provided from the mobile communication center 3. The storage unit 13 includes a ROM, a RAM, a hard disk, and the like.

ファイアウォール部14は、移動通信センター3から提供されたセキュリティポリシーに応じてネットワーク資源を開放する。例えば、セキュリティポリシーに応じて通信ポートを開放する。これにより、ユーザが特定のサービスを利用することが可能となる。ファイアウォール部14は、移動通信センター3から提供されたセキュリティポリシーに応じてネットワーク資源を開放する代わりに、接続問い合わせ用のアプリケーション側からの要求に応じてネットワーク資源を開放しても良い。   The firewall unit 14 releases network resources according to the security policy provided from the mobile communication center 3. For example, the communication port is opened according to the security policy. As a result, the user can use a specific service. Instead of releasing the network resource according to the security policy provided from the mobile communication center 3, the firewall unit 14 may release the network resource according to a request from the application side for connection inquiry.

アプリ制御部15は、制御部11の指示に応じてアプリケーション言語(例えばJava(登録商標)言語)で作成されたアプリケーションプログラムを実行する。アプリ制御部15は、必要に応じて後述する移動通信センター3との間で、接続問い合わせ用のアプリケーションを起動する。モード変更部16は、ユーザの入力により、移動通信センター3からの指示により、すべての通信について移動通信センターに問い合わせるモードと、セキュアでない通信について移動通信センターに問い合わせるモードとの間でモード変更する。   The application control unit 15 executes an application program created in an application language (for example, Java (registered trademark) language) in response to an instruction from the control unit 11. The application control unit 15 activates a connection inquiry application with the mobile communication center 3 to be described later as necessary. The mode changing unit 16 changes the mode between a mode in which the mobile communication center is inquired about all communications and a mode in which the mobile communication center is inquired about unsecured communication in accordance with an instruction from the mobile communication center 3 according to user input.

図3は、本発明の実施の形態に係る通信制御システムの移動通信センター3の構成を示すブロック図である。図3に示す移動通信センター3は、装置全体を制御する制御部31と、移動体端末1やCPサーバ5との間で通信を行う通信制御部32と、アプリケーション毎にセキュリティポリシーを管理したアプリ管理データベース33と、接続問い合わせ用アプリケーションを起動させるアプリ制御部34とから主に構成されている。   FIG. 3 is a block diagram showing the configuration of the mobile communication center 3 of the communication control system according to the embodiment of the present invention. The mobile communication center 3 shown in FIG. 3 includes a control unit 31 that controls the entire apparatus, a communication control unit 32 that performs communication between the mobile terminal 1 and the CP server 5, and an application that manages a security policy for each application. It mainly comprises a management database 33 and an application control unit 34 that activates a connection inquiry application.

制御部31は、移動体端末1から接続問い合わせ用アプリケーションのコマンドが送られると、接続問い合わせ用アプリケーションを起動させるようにアプリ制御部34に指示する。また、制御部31は、移動体端末1から接続問い合わせがあると、移動体端末1が利用しようとする特定のサービスのアプリケーションに対応するセキュリティポリシーをアプリ管理データベース33から抽出する。そして、抽出したセキュリティポリシーを移動体端末1に送信するように通信制御部32に指示する。   When the connection inquiry application command is sent from the mobile terminal 1, the control unit 31 instructs the application control unit 34 to activate the connection inquiry application. Further, when there is a connection inquiry from the mobile terminal 1, the control unit 31 extracts a security policy corresponding to an application of a specific service that the mobile terminal 1 intends to use from the application management database 33. Then, the communication control unit 32 is instructed to transmit the extracted security policy to the mobile terminal 1.

通信制御部32は、移動体端末1からの接続問い合わせの要求信号を受信するとともに、移動体端末1にセキュリティポリシーを送信する。また、通信制御部32は、CPサーバ5との間で通信を行う。   The communication control unit 32 receives a connection inquiry request signal from the mobile terminal 1 and transmits a security policy to the mobile terminal 1. In addition, the communication control unit 32 communicates with the CP server 5.

アプリ管理データベース33は、アプリケーション毎にセキュリティポリシーを管理する。アプリ管理データベース33は、図4に示すような管理テーブルを有する。この管理テーブルは、アプリケーション毎にネットワーク資源(ここでは通信ポート)とシーケンス(移動体端末1におけるシーケンス)とを関連づけている。   The application management database 33 manages security policies for each application. The application management database 33 has a management table as shown in FIG. This management table associates network resources (here, communication ports) and sequences (sequences in the mobile terminal 1) for each application.

アプリ制御部34は、制御部31の指示に応じてアプリケーション言語(例えばJava(登録商標)言語)で作成されたアプリケーションプログラムを実行する。アプリ制御部34は、必要に応じて移動体端末1との間で、接続問い合わせ用のアプリケーションを起動する。   The application control unit 34 executes an application program created in an application language (for example, Java (registered trademark) language) in response to an instruction from the control unit 31. The application control unit 34 activates an application for connection inquiry with the mobile terminal 1 as necessary.

次に、上記構成を有する通信制御システムにおける通信制御方法について説明する。図5は、本発明の実施の形態に係る通信制御方法を説明するためのシーケンス図である。   Next, a communication control method in the communication control system having the above configuration will be described. FIG. 5 is a sequence diagram for explaining the communication control method according to the embodiment of the present invention.

まず、ユーザが特定のサービスの利用を要求すると、移動体端末1から移動通信センター3に対して接続問い合わせを行う。すなわち、セキュリティポリシーを問い合わせる(ST1)。具体的には、移動体端末1において、ユーザから特定のサービスの利用のための入力が行われると、制御部11が接続問い合わせ用アプリケーションを起動させるようにアプリ制御部15に指示し、アプリ制御部15が接続問い合わせ用アプリケーションを起動する。このとき、移動体端末1から移動通信センター3にコマンド信号が送られ、そのコマンド信号により制御部31が接続問い合わせ用のアプリケーションを起動するようにアプリ制御部34に指示し、アプリ制御部34が接続問い合わせ用アプリケーションを起動する。   First, when the user requests use of a specific service, the mobile terminal 1 issues a connection inquiry to the mobile communication center 3. That is, the security policy is inquired (ST1). Specifically, in the mobile terminal 1, when an input for use of a specific service is performed by the user, the control unit 11 instructs the application control unit 15 to start the connection inquiry application, and application control is performed. The unit 15 activates the connection inquiry application. At this time, a command signal is sent from the mobile terminal 1 to the mobile communication center 3, and the control unit 31 instructs the application control unit 34 to start an application for connection inquiry by the command signal, and the application control unit 34 Start the connection inquiry application.

移動通信センター3は、移動体端末1から特定のサービスのアプリケーションについての接続問い合わせの要求信号を受け取ると、制御部31が問い合わせに係るサービスのアプリケーションに対応するセキュリティポリシー、例えば通信ポートやシーケンスをアプリ管理データベース33から抽出する。そして、制御部31は、抽出したセキュリティポリシーを移動体端末1に送信するように通信制御部32に指示する。通信制御部32は、セキュリティポリシーを移動体端末1に送信する(ST2)。   When the mobile communication center 3 receives a connection inquiry request signal for an application of a specific service from the mobile terminal 1, the control unit 31 applies a security policy corresponding to the application of the service related to the inquiry, for example, a communication port or a sequence. Extract from the management database 33. Then, the control unit 31 instructs the communication control unit 32 to transmit the extracted security policy to the mobile terminal 1. The communication control unit 32 transmits the security policy to the mobile terminal 1 (ST2).

次いで、移動体端末1において、セキュリティポリシーを受信すると、制御部11は、セキュリティポリシーを格納部13に格納する。次いで、制御部11は、セキュリティポリシーを確認するようにファイアウォール部14に指示し、ファイアウォール部14は、セキュリティポリシーを確認する(ST3)。そして、ファイアウォール部14は、セキュリティポリシーに応じてネットワーク資源を開放する(ST4)。例えば、セキュリティポリシーに応じて通信ポートを開放する。これにより、ユーザが特定のサービスを利用することが可能となる。その後、そのサービスのCPサーバ5にアクセスが行われ(ST5)、CPサーバ5から情報が送信される(ST6)。   Next, when the mobile terminal 1 receives the security policy, the control unit 11 stores the security policy in the storage unit 13. Next, the control unit 11 instructs the firewall unit 14 to confirm the security policy, and the firewall unit 14 confirms the security policy (ST3). Then, the firewall unit 14 releases network resources according to the security policy (ST4). For example, the communication port is opened according to the security policy. As a result, the user can use a specific service. Thereafter, access is made to the CP server 5 of the service (ST5), and information is transmitted from the CP server 5 (ST6).

このように、本実施の形態に係る通信制御方法によれば、移動体端末1が移動通信センター3に対して接続問い合わせを行い、移動通信センター3が移動体端末1にセキュリティポリシーを提供し、移動体端末1がセキュリティポリシーに応じてネットワーク資源を開放するので、セキュアでない外部ネットワークにも接続可能な移動体端末のために公衆のインターネットに対して無制限に開放される状況においても、ネットワーク側からの不正なアクセス(攻撃のための調査や攻撃)を防御することができる。また、このように構成することにより、ファイアウォールのルールにユーザが関与できないので、ユーザが誤って公衆のインターネットに対して無制限に開放される状況にしてしまうことを防止できる。   Thus, according to the communication control method according to the present embodiment, the mobile terminal 1 makes a connection inquiry to the mobile communication center 3, the mobile communication center 3 provides a security policy to the mobile terminal 1, Since the mobile terminal 1 releases network resources in accordance with the security policy, even in a situation where the mobile terminal 1 can be connected to an unsecured external network without restriction to the public Internet, the network side Can be protected against unauthorized access (surveys and attacks for attacks). Also, with this configuration, the user cannot be involved in the firewall rules, so that it is possible to prevent the user from being inadvertently opened to the public Internet indefinitely.

なお、本実施の形態においては、すべての接続について移動通信センターに接続問い合わせを行う場合について説明しているが、本発明においては、セキュリティの高さに応じて選択的に本通信制御方法を適用しても良い。例えば、以下に説明するように、モード変更部16により、セキュアでない通信について移動通信センターに問い合わせるモードに設定し、セキュリティが相対的に低い、すなわちネットワーク側からの不正なアクセスの可能性が高い場合に本通信制御方法を適用するようにしても良い。   In this embodiment, a case is described in which a connection inquiry is made to the mobile communication center for all connections, but in the present invention, this communication control method is selectively applied according to the level of security. You may do it. For example, as described below, when the mode changing unit 16 sets the mode in which the mobile communication center is inquired about unsecured communication and the security is relatively low, that is, the possibility of unauthorized access from the network side is high. The communication control method may be applied to the above.

次に、移動体端末1が、すべての通信について移動通信センターに問い合わせるモードと、セキュアでない通信について移動通信センターに問い合わせるモードとを有する場合について説明する。図6は、本発明の実施の形態に係るモード変更を伴う通信制御方法を説明するためのフローチャートである。   Next, a case where the mobile terminal 1 has a mode for inquiring the mobile communication center for all communications and a mode for inquiring the mobile communication center for insecure communications will be described. FIG. 6 is a flowchart for explaining a communication control method involving mode change according to the embodiment of the present invention.

本システムは、移動体端末1が公衆のインターネットに対して無制限に開放される状況が想定されるときに効果がある。このため、移動体端末1がセキュアなネットワークに接続する場合、例えば移動通信網におけるサービスを利用する場合には、ファイアウォールが不要であると考えられる。このため、通信ネットワークがセキュアであるかセキュアでないかを判断し、それに応じて上記ファイアウォール機能を発揮させる。   This system is effective when it is assumed that the mobile terminal 1 is open to the public Internet without limitation. For this reason, when the mobile terminal 1 connects to a secure network, for example, when using a service in a mobile communication network, it is considered that a firewall is unnecessary. Therefore, it is determined whether the communication network is secure or not secure, and the firewall function is exhibited accordingly.

この場合、ユーザがサービス要求を行うと(ST11)、そのサービスのアプリケーションがセキュアな通信ネットワークであるかどうかを判断する(ST12)。この判断は、通信制御部12において通信方式を判定することにより行う。例えば、移動通信網におけるサービス(例えば、iモード(登録商標)サービス)である場合には、セキュアな通信ネットワークであると判断し、無線LANにおけるサービスである場合には、セキュアでない通信ネットワークであると判断する。   In this case, when the user makes a service request (ST11), it is determined whether the application of the service is a secure communication network (ST12). This determination is made by determining the communication method in the communication control unit 12. For example, when the service is a mobile communication network (for example, i-mode (registered trademark) service), the mobile communication network is determined to be a secure communication network, and when the service is a wireless LAN, the communication network is not secure. Judge.

したがって、セキュアでない通信ネットワークであると判断した場合には、上述したように接続問い合わせを行って、セキュリティポリシーを受信し、そのセキュリティポリシーに応じてネットワーク資源を開放する。すなわち、移動体端末1と移動通信センター3で接続問い合わせ用のアプリケーションを起動し(ST13)、移動体端末1が移動通信センター3からセキュリティポリシーを受信し(ST14)、移動体端末1において、セキュリティポリシーを確認し(ST15)、そのセキュリティポリシーに応じてネットワーク資源を開放する(ST16)。その後、移動体端末1は、目的とするサービスのCPサーバ5と通信を開始する(ST17)。   Therefore, when it is determined that the communication network is not secure, a connection inquiry is made as described above, a security policy is received, and network resources are released according to the security policy. That is, an application for connection inquiry is started in the mobile terminal 1 and the mobile communication center 3 (ST13), the mobile terminal 1 receives the security policy from the mobile communication center 3 (ST14), and the mobile terminal 1 The policy is confirmed (ST15), and network resources are released according to the security policy (ST16). Thereafter, the mobile terminal 1 starts communication with the CP server 5 of the target service (ST17).

一方、セキュアな通信である場合には、すべての通信について移動通信センターに問い合わせるモードにおいて、アプリ制御部15が通信アプリケーションを起動して(ST18)、通信を開始する(ST19)。   On the other hand, in the case of secure communication, in the mode in which the mobile communication center is inquired for all communication, the application control unit 15 activates the communication application (ST18) and starts communication (ST19).

このような通信制御方法においても、セキュアでない外部ネットワークにも接続可能な移動体端末のために公衆のインターネットに対して無制限に開放される状況においても、ネットワーク側からの不正なアクセス(攻撃のための調査や攻撃)を防御することができる。また、このように構成することにより、ファイアウォールのルールにユーザが関与できないので、ユーザが誤って公衆のインターネットに対して無制限に開放される状況にしてしまうことを防止できる。   Even in such a communication control method, even in a situation where the mobile terminal that can be connected to an insecure external network is open to the public Internet indefinitely, unauthorized access from the network side (due to an attack) Can be protected. Also, with this configuration, the user cannot be involved in the firewall rules, so that it is possible to prevent the user from being inadvertently opened to the public Internet indefinitely.

本発明は上記実施の形態に限定されず、種々変更して実施することが可能である。上記実施の形態においては、ネットワーク資源が通信ポートである場合について説明しているが、本発明においては、ネットワーク資源が通信ポート以外のものであっても良い。また、上記実施の形態においては、同じサービスを利用する場合にも、毎回移動通信センターにセキュリティポリシーを提供してもらうことになるが、セキュリティポリシーに有効期限を設けて、その期限内において一度接続問い合わせが行われた場合には、有効期限内でその次のサービス利用の際には、接続問い合わせなしにアクセスできるようにしても良い。この場合、移動通信センターの管理テーブルでは、アプリケーション毎にネットワーク資源とシーケンスの他に有効期限も関連づける。その他、本発明の目的の範囲を逸脱しない限りにおいて適宜変更することが可能である。   The present invention is not limited to the embodiment described above, and can be implemented with various modifications. Although the case where the network resource is a communication port has been described in the above embodiment, the network resource may be other than the communication port in the present invention. In the above embodiment, even when the same service is used, the mobile communication center will be provided with a security policy every time. When an inquiry is made, access may be made without a connection inquiry when the next service is used within the validity period. In this case, in the management table of the mobile communication center, in addition to the network resource and the sequence, an expiration date is associated with each application. Other modifications may be made as appropriate without departing from the scope of the object of the present invention.

本発明の実施の形態に係る通信制御システムの概略構成を示す図である。It is a figure which shows schematic structure of the communication control system which concerns on embodiment of this invention. 本発明の実施の形態に係る通信制御システムの移動体端末の構成を示すブロック図である。It is a block diagram which shows the structure of the mobile terminal of the communication control system which concerns on embodiment of this invention. 本発明の実施の形態に係る通信制御システムの移動通信センターの構成を示すブロック図である。It is a block diagram which shows the structure of the mobile communication center of the communication control system which concerns on embodiment of this invention. 移動通信センターが保持するセキュリティポリシーの管理テーブルを示す図である。It is a figure which shows the management table of the security policy which a mobile communication center hold | maintains. 本発明の実施の形態に係る通信制御方法を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the communication control method which concerns on embodiment of this invention. 本発明の実施の形態に係るモード変更を伴う通信制御方法を説明するためのフローチャートである。It is a flowchart for demonstrating the communication control method accompanied by the mode change which concerns on embodiment of this invention.

符号の説明Explanation of symbols

1 移動体端末
2 移動通信網
3 移動通信センター
4 インターネット
5 CPサーバ
6 AP
11,31 制御部
12,32 通信制御部
13 格納部
14 ファイアウォール部
15,34 アプリ制御部
16 モード変更部
33 アプリ管理データベース
DESCRIPTION OF SYMBOLS 1 Mobile terminal 2 Mobile communication network 3 Mobile communication center 4 Internet 5 CP server 6 AP
DESCRIPTION OF SYMBOLS 11,31 Control part 12,32 Communication control part 13 Storage part 14 Firewall part 15,34 Application control part 16 Mode change part 33 Application management database

Claims (7)

アプリケーション毎にセキュリティポリシーを管理する管理手段を有する移動通信センターと、
ユーザからの特定のサービスの利用の要求を受け付けた場合、前記移動通信センターに対して前記特定のサービスのアプリケーションについての接続問い合わせを行い、前記移動通信センターから前記特定のサービスのアプリケーションに対応するセキュリティポリシーを受信する通信手段、及び前記セキュリティポリシーに応じてネットワーク資源を開放するファイアウォール手段を有する移動体端末装置と、を具備し、
前記セキュリティポリシーは、前記特定のサービスのアプリケーションで利用可能な通信ポート及び/又はシーケンスを指定し、
前記ファイアウォール手段は、前記セキュリティポリシーで指定された通信ポート及び/又はシーケンスでの通信を許容することを特徴とする通信制御システム。
A mobile communication center having a management means for managing a security policy for each application;
When a request for use of a specific service is received from a user, a connection inquiry about the application of the specific service is made to the mobile communication center, and security corresponding to the application of the specific service is sent from the mobile communication center. A communication means for receiving a policy, and a mobile terminal device having a firewall means for releasing network resources according to the security policy,
The security policy specifies communication ports and / or sequences that can be used by the application of the specific service,
The communication control system according to claim 1, wherein the firewall means permits communication at a communication port and / or sequence specified by the security policy .
前記移動体端末装置は、前記特定のサービスがセキュアな通信ネットワークとセキュアでない通信ネットワークのいずれで提供されるかを判断し、セキュアでない通信ネットワークで提供されると判断された場合、前記特定のサービスのアプリケーションについての前記接続問い合わせを行うことを特徴とする請求項1記載の通信制御システム。 The mobile terminal device determines whether the specific service is provided by a secure communication network or an insecure communication network, and when it is determined that the specific service is provided by an insecure communication network, the specific service The communication control system according to claim 1 , wherein the connection inquiry about the application is performed . 前記移動体端末装置及び前記移動通信センターは、接続問い合わせ用のアプリケーションを起動するアプリ制御手段を有することを特徴とする請求項1又は請求項2記載の通信制御システム。   The communication control system according to claim 1, wherein the mobile terminal device and the mobile communication center have application control means for starting an application for connection inquiry. 前記ファイアウォール手段は、前記接続問い合わせ用のアプリケーション側からの要求に応じてネットワーク資源を開放することを特徴とする請求項3記載の通信制御システム。   4. The communication control system according to claim 3, wherein the firewall means releases network resources in response to a request from the connection inquiry application side. 移動体端末装置が、ユーザからの特定のサービスの利用の要求を受け付けた場合、移動通信センターに対して、前記特定のサービスのアプリケーションについての接続問い合わせを行う工程と、
前記移動通信センターが、前記移動体端末装置からの前記接続問い合わせに応じて、前記移動体端末装置に前記特定のサービスのアプリケーションに対応するセキュリティポリシーを提供する工程と、
前記移動体端末装置が前記セキュリティポリシーに応じてネットワーク資源を開放する工程と、を具備し、
前記セキュリティポリシーは、前記特定のサービスのアプリケーションで利用可能な通信ポート及び/又はシーケンスを指定し、
前記ネットワーク資源を開放する工程において、前記移動体端末装置は、前記セキュリティポリシーで指定された通信ポート及び/又はシーケンスでの通信を許容することを特徴とする通信制御方法。
When the mobile terminal device receives a request for use of a specific service from a user, the mobile communication center makes a connection inquiry about the application of the specific service to the mobile communication center;
The mobile communication center providing a security policy corresponding to the application of the specific service to the mobile terminal device in response to the connection inquiry from the mobile terminal device;
The mobile terminal device releasing network resources according to the security policy ,
The security policy specifies communication ports and / or sequences that can be used by the application of the specific service,
In the step of releasing the network resource, the mobile terminal device allows communication in a communication port and / or sequence designated by the security policy .
前記接続問い合わせを行う工程において、前記移動体端末装置は、前記特定のサービスがセキュアな通信ネットワークとセキュアでない通信ネットワークのいずれで提供されるかを判断し、セキュアでない通信ネットワークで提供されると判断された場合、前記特定のサービスのアプリケーションについての前記接続問い合わせを行うことを特徴とする請求項5記載の通信制御方法。In the step of making the connection inquiry, the mobile terminal device determines whether the specific service is provided by a secure communication network or an insecure communication network, and determines that the specific service is provided by an insecure communication network. 6. The communication control method according to claim 5, wherein if the connection is made, the connection inquiry about the application of the specific service is performed. 移動体端末装置及び移動通信センターが接続問い合わせ用のアプリケーションを起動する工程を具備し、
前記ネットワーク資源を開放する工程において、前記移動体端末装置は、前記接続問い合わせ用のアプリケーション側からの要求に応じてネットワーク資源を開放することを特徴とする請求項5又は請求項6に記載の通信制御方法。
The mobile terminal device and the mobile communication center comprise a step of starting an application for connection inquiry ,
In the step of opening the network resources, said mobile terminal device, the communication of claim 5 or claim 6, characterized in that to release the network resources in response to a request from the application side for the connection query Control method.
JP2007065328A 2007-03-14 2007-03-14 Communication control system and communication control method Active JP4950705B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007065328A JP4950705B2 (en) 2007-03-14 2007-03-14 Communication control system and communication control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007065328A JP4950705B2 (en) 2007-03-14 2007-03-14 Communication control system and communication control method

Publications (2)

Publication Number Publication Date
JP2008228064A JP2008228064A (en) 2008-09-25
JP4950705B2 true JP4950705B2 (en) 2012-06-13

Family

ID=39846114

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007065328A Active JP4950705B2 (en) 2007-03-14 2007-03-14 Communication control system and communication control method

Country Status (1)

Country Link
JP (1) JP4950705B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2520223B (en) * 2012-09-11 2020-08-19 In Young Jeon Secure mobile communication relay having firewall function
JP6245836B2 (en) * 2013-04-26 2017-12-13 キヤノン株式会社 COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004140563A (en) * 2002-10-17 2004-05-13 Mitsubishi Electric Corp Communication system and communication terminal device
US7743158B2 (en) * 2002-12-04 2010-06-22 Ntt Docomo, Inc. Access network dynamic firewall
JP4357401B2 (en) * 2004-10-13 2009-11-04 日本電信電話株式会社 Filtering method
US7627123B2 (en) * 2005-02-07 2009-12-01 Juniper Networks, Inc. Wireless network having multiple security interfaces
JP4517911B2 (en) * 2005-03-25 2010-08-04 日本電気株式会社 Policy distribution method, system, program, policy distribution server, and client terminal
JP2006303588A (en) * 2005-04-15 2006-11-02 Matsushita Electric Ind Co Ltd COMMUNICATION DEVICE, COMMUNICATION METHOD, AND METHOD PROGRAM USED FOR ENCRYPTED COMMUNICATION

Also Published As

Publication number Publication date
JP2008228064A (en) 2008-09-25

Similar Documents

Publication Publication Date Title
US8094337B2 (en) Device and system for assisting printer selection through a network
EP1350171B1 (en) Spontaneous virtual private network between portable device and enterprise network
JP3995338B2 (en) Network connection control method and system
CN101277308B (en) Method for insulating inside and outside networks, authentication server and access switch
US8856890B2 (en) System and method of network access security policy management by user and device
US9240977B2 (en) Techniques for protecting mobile applications
WO2018148058A1 (en) Network application security policy enforcement
EP0973350A2 (en) Method and apparatus for providing access control to local services of mobile devices
CN104348914B (en) A kind of tamper resistant systems file syn chronizing system and its method
JP4082613B2 (en) Device for restricting communication services
EP1936916A2 (en) Network-implemented method using client's geographic location to determine protection suite
JP2014082638A (en) Virtual network construction system, virtual network construction method, small terminal, and an authentication server
JP5864598B2 (en) Method and system for providing service access to a user
WO2006095438A1 (en) Access control method, access control system, and packet communication apparatus
US20060268829A1 (en) Approach for securely auto-deploying IP telephony devices
JP2011199749A (en) Quarantine network system, quarantine management server, method of relaying remote access to virtual terminal, and program of the same
JP2008263445A (en) Connection setting system, authentication device, wireless terminal, and connection setting method
JP4950705B2 (en) Communication control system and communication control method
JP2010092407A (en) Authentication information processing apparatus, authentication information transmission method, and authentication method
JP4950095B2 (en) Service providing system, service providing method, and service providing program
EP1897325B1 (en) Secure data communications in web services
JP2000163283A (en) Remote site computer monitor system
JP2000151677A (en) Access authentication device and storage medium for mobile IP system
KR100539760B1 (en) Agent Installation Guidance System and Method through Internet Access Control
JP2006260027A (en) Quarantine system and quarantine method using VPN and firewall

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090924

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110812

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110817

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111006

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120306

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120309

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150316

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4950705

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250