JP2007151114A - Communication system, communication terminal with virtual network switch and portable electronic device with biological recognition apparatus - Google Patents
Communication system, communication terminal with virtual network switch and portable electronic device with biological recognition apparatus Download PDFInfo
- Publication number
- JP2007151114A JP2007151114A JP2006312620A JP2006312620A JP2007151114A JP 2007151114 A JP2007151114 A JP 2007151114A JP 2006312620 A JP2006312620 A JP 2006312620A JP 2006312620 A JP2006312620 A JP 2006312620A JP 2007151114 A JP2007151114 A JP 2007151114A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication terminal
- network
- portable electronic
- electronic device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Images
Abstract
Description
本発明は、ネットワーク通信機能を備えた通信端末および、当該通信端末との間で通信可能な携帯型電子デバイスを有する通信システムに関するものである。さらに詳しくは、携帯型電子デバイスに予め設定されている通信セキュリティレベルにより、通信端末を利用して各種のネットワークにアクセス可能な通信システムに関するものである。 The present invention relates to a communication terminal having a network communication function and a communication system having a portable electronic device capable of communicating with the communication terminal. More specifically, the present invention relates to a communication system capable of accessing various networks using a communication terminal according to a communication security level preset in a portable electronic device.
従来、インターネットなどの公衆網へ通信機器を接続して通信を行う際に必要なソフトウェア及びその設定情報などは、全て当該通信機器内部に予め搭載するか、もしくは当該通信機器に一時的にインストールさせて当該通信機器内部で同ソフトウェアを作動させる形式が一般的である。通信中のセキュリティを確保する場合にも、通信機器にセキュリティ確保用のソフトウェアを予め搭載するか、一時的にインストールするようになっている。 Conventionally, all software and setting information necessary for communication by connecting a communication device to a public network such as the Internet are either preinstalled in the communication device or temporarily installed in the communication device. In general, the software is operated inside the communication device. When ensuring security during communication, software for ensuring security is preinstalled or temporarily installed in a communication device.
ここで、通信中のセキュリティを確保する手段として、通信する相手先との間で、規定の暗号化されたデータを使うことにより仮想専用線として共有回線の一部を利用してセキュリティを確保するVPN技術、通信中に不要な通信相手との情報交換を防ぐためのファイアウォール技術、交換したデータに対して悪意のあるウィルスソフトウェアが紛れ込んでいないかどうかを確認し、除去するための不正ウィルス除去技術などがある。 Here, as a means to ensure security during communication, use a part of the shared line as a virtual private line by using the specified encrypted data with the communicating party to ensure security VPN technology, firewall technology to prevent information exchange with unnecessary communication partners during communication, and illegal virus removal technology to check and remove malicious virus software from the exchanged data and so on.
VPN技術については、インターネット上において通信を行う場合、不特定多数の他人によってデータが盗聴、改竄される危険を防止するために、IP−VPN技術が広く用いられている。IP−VPN技術を使う場合、通信を行うクライアント端末は、予め指定されたVPNクライアント・ソフトウェアを通信端末内にインストールし、ネットワーク技術者が必要な設定作業を行うことにより、指定されたVPNゲートウェイ装置との接続が可能となる。クライアント端末が相手先と通信する際、VPNゲートウェイ装置を介して、暗号化された通信を行うことにより、インターネット上で相手先と安全に通信を実行することが出来る。 As for the VPN technology, when communicating on the Internet, the IP-VPN technology is widely used in order to prevent the risk of data being wiretapped and tampered by an unspecified number of others. When using the IP-VPN technology, the client terminal that performs communication installs the VPN client software designated in advance in the communication terminal, and the network engineer performs the necessary setting work to perform the designated VPN gateway device. Can be connected. When the client terminal communicates with the other party, encrypted communication can be performed via the VPN gateway device, so that the client terminal can safely communicate with the other party on the Internet.
また、ファイアウォール技術については、予め通信端末上でOSに標準搭載されているソフトウェアを用いて簡単な設定を施すことも出来る。しかし、企業内などで使用する場合には、ファイアウォールソフトウェアを購入し各通信端末に導入するか、あるいは、専用のファイアウォール装置を購入し、ネットワークの入口部分に設置して、ネットワーク自体を予め防御してしまう方法などが一般的である。いずれも、一般的には専門家による事前の設定作業が必要であり、従って特定の端末、特定のネットワークを対象とした防御方法となるのが通常である。 As for the firewall technology, simple settings can be made in advance using software preinstalled in the OS on the communication terminal. However, when it is used in a company, firewall software is purchased and installed in each communication terminal, or a dedicated firewall device is purchased and installed at the entrance of the network to protect the network itself in advance. Such a method is generally used. All of these generally require a prior setting work by an expert, and therefore, it is usually a defense method for a specific terminal and a specific network.
さらに、不正ウィルス除去技術についても、上記ファイアウォール技術同様、予めウィルス除去ソフトウェアを通信端末上に導入して定期的に除去作業を行うか、あるいはネットワーク上の特定のサーバ装置などに同ウィルス除去ソフトウェアを導入し、同装置経由で通信を行うことにより、サーバ上でウィルスを駆除してしまうものなどが一般的である。 Furthermore, as with the above-described firewall technology, the virus removal software is also installed in advance on the communication terminal and periodically removed, or the virus removal software is installed on a specific server device on the network. In general, a computer that removes a virus on a server by installing and communicating via the same device is generally used.
従来の技術においては、通信の開始にあたり、ネットワーク機器に予め必要なソフトウェアが全て搭載されていることを前提としていることが多い。しかしながら、現在の社会においてはインターネットを代表とするネットワークへの接続の手段は無数にあり、予めネットワークの管理責任者の管理下で制御されたネットワーク機器を介さずとも、個人が自分の意志で自由にネットワークを活用することが出来、ネットワーク管理者による限定的なエリアでのネットワーク制御、情報制御は事実上何の意味も持っていないのが現状であり、ネットワークにアクセスを試みる個人自身に対してネットワークの管理手段を提供することが急務である。昨今、インターネットカフェや公衆無線サービスが提供されているが、これらの回線、端末を運用管理する企業がどの程度のセキュリティに対する防御策をとっているかを知る事は難しく、自身が操作する通信端末は自らの防御策を持って利用することが望ましいと考える。 In the prior art, when starting communication, it is often assumed that all necessary software is installed in advance on a network device. However, in today's society, there are innumerable means of connecting to networks represented by the Internet, and individuals are free to do so without going through network devices controlled in advance by the network manager. The network management and information control in a limited area by the network administrator has virtually no meaning at present, and for individuals who try to access the network themselves There is an urgent need to provide a network management means. Recently, Internet cafes and public wireless services are being provided, but it is difficult to know how much security measures are being taken by companies that operate and manage these lines and terminals. I think it is desirable to use it with its own defensive measures.
一方、通信端末自身の処理能力の観点からも次のような弊害が生じている。すなわち、年々個々の通信端末に搭載されるソフトウェア・ハードウェアの必要処理能力は拡大の一途をたどっており、それに合わせて通信端末の処理能力も確実に上昇している。しかしながら、通信端末の処理能力が向上しているとはいえ、あらゆる業務を一つの通信端末が全て処理する場合には、当該通信端末が遂行すべきユーザに対するアプリケーション実行能力を制限して、通信に関わる業務を実行しなければならない場合が生ずる。 On the other hand, the following adverse effects have also occurred from the viewpoint of the processing capability of the communication terminal itself. That is, the required processing capacity of software and hardware installed in individual communication terminals is steadily increasing year by year, and the processing capacity of communication terminals is also steadily increasing accordingly. However, even if the processing capability of a communication terminal is improved, when a single communication terminal processes all tasks, the application execution capability for the user to be performed by the communication terminal is limited to allow communication. There may be cases where related work must be performed.
ネットワークの高速化に伴う情報量の増大により、それによる被害は更に頻発する傾向にある。また、ユーザの観点から見た場合、そのような一部の作業の遅延による障害が発生することを理由として、通信端末そのものを買い換える必要性が生じてしまうので、効率が悪い。また、複数の通信端末を利用して通信を行うようなユーザの場合、個々の端末の能力に通信環境の状態を依存させることとなり、ネットワーク品質が不安定になることが避けられない。 Due to the increase in the amount of information accompanying the speeding up of the network, the damage caused thereby tends to occur more frequently. Also, from the user's point of view, the efficiency of the communication terminal itself needs to be replaced because of the occurrence of a failure due to such a part of work delay, resulting in poor efficiency. In addition, in the case of a user who performs communication using a plurality of communication terminals, the state of the communication environment depends on the capability of each terminal, and it is inevitable that the network quality becomes unstable.
個々のセキュリティ技術、例えば、VPN技術を用いた通信を行う場合には、前提としてクライアント端末に対してVPNクライアント・ソフトウェアがインストールされており、必要な通信用の設定が既になされている必要がある。また、この通信用の設定は一般的にはネットワーク技術に詳しく、かつ通信先のVPNゲートウェイが必要とする設定情報を全て知らない限り、設定することは困難である。 When performing communication using individual security technologies, for example, VPN technology, it is necessary that VPN client software is installed on the client terminal as a premise and necessary communication settings have already been made. . Further, this communication setting is generally difficult to set unless it is familiar with network technology and does not know all the setting information required by the VPN gateway of the communication destination.
この結果、VPNの通信を行える端末は、予め企業が従業員に設定済みの状態で配布する情報端末に限定される。当該情報端末を従業員が持参しない限り、企業のリソースに対してVPN接続による通信を行うことは事実上不可能である。その対策として、そのような従業員は、一般公衆回線を用いた低速のダイヤルアップ接続を行うか、あるいは企業の管理者のセキュリティ管理が及ばない第三者のインターネット事業者、携帯電話事業者などが提供するサービスを利用して限定されたメールにアクセスする、などしかない。しかし、本来このような方法はネットワーク管理者としては危険な状況であり、好ましくない。 As a result, terminals that can perform VPN communication are limited to information terminals that are distributed in a state in which the company has been set in advance for employees. Unless an employee brings the information terminal, it is virtually impossible to communicate with a company resource through a VPN connection. As a countermeasure, such employees may make low-speed dial-up connections using general public lines, or third-party Internet operators, mobile phone operators, etc. that are not under the security management of company administrators. There is only access to limited emails using services provided by. However, such a method is inherently dangerous for a network administrator and is not preferable.
また、VPNクライアント・ソフトウェア上に設定された通信用の各種設定情報については、簡単なセキュリティ・チェックを通過すれば、通信端末の所有者以外の第三者が簡単にアクセスすることが可能である。従って、悪意のある第三者が不注意なクライアント端末所有者の端末から、比較的容易に設定情報を盗み出し、別の端末上に設定してVPNゲートウェイと接続することによって、企業などの秘密データへアクセスすることが出来てしまう難点がある。 In addition, various setting information for communication set on the VPN client software can be easily accessed by a third party other than the owner of the communication terminal by passing a simple security check. . Therefore, it is relatively easy for a malicious third party to steal setting information from a careless client terminal owner's terminal, set it on another terminal, and connect it to the VPN gateway, so that confidential data such as companies can be obtained. There is a difficulty that can be accessed.
その他ファイアウォールの利用、ウィルス除去ソフトウェアの利用などに当っては、従来の技術では利用できるネットワーク、通信端末に限りがあり、広く一般的なインターネットを、実際に通信を行う通信端末自体に限定されずに安心して利用する手段がないのが現状である。 The use of firewalls and virus removal software, etc., is limited to the networks and communication terminals that can be used with the conventional technology, and is not limited to the communication terminals themselves that actually communicate widely and the general Internet. The current situation is that there is no means to use with confidence.
本発明の目的は、上記の点に鑑みて、通信機能を備えた通信端末に予め必要なソフトウェアが全て搭載されていることを前提とせずに、当該通信端末を用いて、希望するセキュリティレベルでの通信を行うことを可能にする通信システム、並びに当該通信システムに用いるための通信端末および携帯型電子デバイスを提案することにある。 In view of the above points, an object of the present invention is to use a communication terminal with a desired security level without assuming that all necessary software is installed in advance in a communication terminal having a communication function. And a communication terminal and a portable electronic device for use in the communication system.
上記の目的を達成するために、本発明の通信システムは、
ネットワーク接続手段を備えた通信端末と、
当該通信端末との間で通信が可能な携帯型電子デバイスとを有し、
前記通信端末は、前記ネットワーク接続手段によって接続されたネットワークとの間で送受されるデータの転送先を強制的に変更可能な仮想ネットワークスイッチを備えており、
前記携帯型電子デバイスは、前記通信端末による前記ネットワークとの間の通信セキュリティを確保するためのセキュリティ確保手段を備えており、
前記通信端末は、前記仮想ネットワークスイッチおよび前記携帯型電子デバイスの前記セキュリティ確保手段を介して、前記ネットワークとの間でデータの送受を行うことを特徴としている。
In order to achieve the above object, the communication system of the present invention provides:
A communication terminal provided with a network connection means;
A portable electronic device capable of communicating with the communication terminal,
The communication terminal includes a virtual network switch capable of forcibly changing a transfer destination of data transmitted / received to / from a network connected by the network connection unit,
The portable electronic device comprises security ensuring means for ensuring communication security with the network by the communication terminal,
The communication terminal transmits / receives data to / from the network via the virtual network switch and the security ensuring means of the portable electronic device.
ここで、前記セキュリティ確保手段としては、VPN手段、ウィルス除去手段、およびファイアウォール手段を挙げることができる。 Here, examples of the security ensuring means include VPN means, virus removal means, and firewall means.
また、前記仮想ネットワークスイッチは、インターネット標準プロトコルであるTCP/IPにおけるOSI7階層モデルのネットワーク層に組み込まれた仮想IPスイッチとすることができる。この仮想IPスイッチは、前記ネットワークから受け取ったパケットを、予め設定されている条件に従って、上位のトランスポート層あるいは前記携帯型電子デバイスに転送し、当該携帯型電子デバイスからのパケットを、予め設定されている条件に従って、上位のトランスポート層あるいは送信元の前記ネットワークに戻すことを特徴としている。 The virtual network switch can be a virtual IP switch incorporated in the network layer of the OSI 7 hierarchical model in TCP / IP which is an Internet standard protocol. The virtual IP switch transfers a packet received from the network to a higher transport layer or the portable electronic device according to a preset condition, and the packet from the portable electronic device is preset. The network is returned to the upper transport layer or the network of the transmission source according to the conditions.
次に、本発明の通信システムは、上記構成に加えて、前記通信端末の記憶媒体、およびアプリケーションのセキュリティのチェックを、前記仮想ネットワークスイッチを介して、前記携帯型電子デバイスの前記セキュリティ確保手段により行うことを特徴としている。 Next, in addition to the above-described configuration, the communication system of the present invention checks the storage medium of the communication terminal and the security of the application by the security ensuring unit of the portable electronic device via the virtual network switch. It is characterized by doing.
また、前記携帯型電子デバイスは、指紋センサなどの生体認識装置と、予め生体情報が記憶保持された生体情報記憶部と、前記生体認識装置により読み取られた生体情報を前記生体情報記憶部に記憶されている生体情報と照合することにより、前記通信端末を介しての前記ネットワークに対するアクセスを許可する認証手段とを備えていることが望ましい。 The portable electronic device stores a biometric recognition device such as a fingerprint sensor, a biometric information storage unit in which biometric information is stored in advance, and biometric information read by the biometric recognition device in the biometric information storage unit. It is desirable to provide authentication means for permitting access to the network through the communication terminal by collating with the biometric information that is provided.
一方、本発明の通信システムは、
ネットワーク接続手段を備えた通信端末と、
当該通信端末との間で通信が可能な携帯型電子デバイスとを有し、
前記通信端末は、ネットワークとの間の通信セキュリティを確保するためのセキュリティ確保手段を備えており、
前記携帯型電子デバイスは、前記セキュリティ確保手段を介して前記ネットワークとの通信を行うために必要な通信設定情報を記憶保持した通信設定情報記憶部と、指紋センサなどの生体認識装置と、予め生体情報が記憶保持された生体情報記憶部と、前記生体認識装置により読み取られた生体情報を前記生体情報記憶部に記憶されている生体情報と照合する認証手段とを備えていることを特徴としている。
On the other hand, the communication system of the present invention
A communication terminal provided with a network connection means;
A portable electronic device capable of communicating with the communication terminal,
The communication terminal comprises security ensuring means for ensuring communication security with a network,
The portable electronic device includes a communication setting information storage unit that stores communication setting information necessary for communication with the network via the security ensuring unit, a biometric recognition device such as a fingerprint sensor, A biometric information storage unit in which information is stored and held, and an authentication unit that collates the biometric information read by the biometric recognition device with the biometric information stored in the biometric information storage unit. .
このように構成した本発明の通信システムにおいては、利用するネットワーク通信機能を有する通信端末に搭載されているソフトウェアの種類に限定されず、携帯型電子デバイス自身に搭載されているソフトウェアの機能を、当該通信端末に対して提供し、セキュリティ機能などの各種の機能を補完することができる。従って、ネットワークに直接接続される通信端末に、VPN、ファイアウォール、ウィルスチェックなどの機能が備わっていない場合においても、携帯型電子デバイスに搭載されているこれらのセキュリティ確保手段を利用して、安全性の高い通信を行うことができる。 In the communication system of the present invention configured as described above, the software function installed in the portable electronic device itself is not limited to the type of software installed in the communication terminal having the network communication function to be used. Various functions such as a security function can be supplemented by providing the communication terminal. Therefore, even if the communication terminal directly connected to the network does not have functions such as VPN, firewall, and virus check, it is possible to use these security securing means installed in the portable electronic device to ensure safety. High communication can be performed.
また、携帯型電子デバイスは自身が固有の物理的なネットワーク接続手段を持たないが、ネットワークに直接接続された別の通信端末に接続すると、通信端末の仮想ネットワークスイッチによって、当該携帯型電子デバイスが、ネットワークと当該通信端末の間に仮想的に介在することになる。従って、携帯型電子デバイスに搭載されているセキュリティ確保手段を利用して、通信端末とネットワークとの間で通信を行うことができる。 In addition, the portable electronic device does not have its own physical network connection means, but when connected to another communication terminal directly connected to the network, the portable electronic device is connected by the virtual network switch of the communication terminal. Therefore, it is virtually interposed between the network and the communication terminal. Therefore, communication can be performed between the communication terminal and the network using the security ensuring means mounted on the portable electronic device.
さらに、携帯型電子デバイスが生体認識装置を備えている場合には、当該生体認識装置によって本人認証を行うことにより、同デバイスが接続されたPC、携帯電話などの固有の物理的にネットワークに接続された通信端末を通じて、インターネット上の指定されたネットワークに対する接続を確立することができる。 Furthermore, when the portable electronic device is equipped with a biometric recognition device, it is connected to a specific physical network such as a PC or a mobile phone to which the device is connected by performing personal authentication by the biometric recognition device. A connection to a specified network on the Internet can be established through the established communication terminal.
以下に、図面を参照して本発明を適用した通信システムの実施例を説明する。 Embodiments of a communication system to which the present invention is applied will be described below with reference to the drawings.
図1は、本発明を適用した通信システムの一例を示す全体構成図である。本例の通信システム1は、PC、携帯電話などのようなネットワーク接続手段21を備えた通信端末2と、当該通信端末2との間で通信が可能な携帯型電子デバイス3(以下、「トークン」と呼ぶこともある。)とを有し、インターネットなどの通信網4を介して所定のネットワーク5に接続可能となっている。
FIG. 1 is an overall configuration diagram showing an example of a communication system to which the present invention is applied. The communication system 1 of this example includes a communication terminal 2 provided with a network connection means 21 such as a PC or a mobile phone, and a portable electronic device 3 (hereinafter referred to as “token”) that can communicate with the communication terminal 2. It is possible to connect to a
通信端末2は、ネットワーク接続手段21によって接続されたネットワーク5との間で送受されるデータの転送先を強制的に変更可能な仮想ネットワークスイッチ22を備えている。この仮想ネットワークスイッチ22により、ネットワーク5から通信端末2に送信されてきたデータが携帯型電子デバイス3に転送され、当該携帯型電子デバイス3を経由して、再び通信端末2の仮想ネットワークスイッチ22に戻され、ここから通信端末2のアプリケーション23などによって処理されることになる。通信端末2からネットワーク5への送信データも仮想ネットワークスイッチ22から携帯型電子デバイス3を経由して再び仮想ネットワークスイッチ22を介して通信先のネットワーク5に向けて送信される。このように、仮想ネットワークスイッチ22によって、携帯型電子デバイス3は、物理的には通信端末2に接続されているが、あたかも、ネットワーク5と通信端末2の間に介在しているかのように機能する。
The communication terminal 2 includes a
この携帯型電子デバイス3は、通信端末2によるネットワーク5との間の通信セキュリティを確保するためのセキュリティ確保手段を備えている。本例では、VPNクライアント機能31およびVPN設定情報が記憶された記憶部32を備えている。
The portable electronic device 3 includes security ensuring means for ensuring communication security between the communication terminal 2 and the
従って、本例の通信システム1においては、携帯型電子デバイス3を通信端末2に接続して相互通信可能にした後に、通信端末2の通信接続手段21を用いてネットワーク5(VPNサーバ)との通信を開始すると、仮想ネットワークスイッチ22が機能する。この結果、携帯型電子デバイス3のVPNを利用した通信が、ネットワーク5と通信端末3の間に形成される。
Therefore, in the communication system 1 of this example, after the portable electronic device 3 is connected to the communication terminal 2 to enable mutual communication, the communication connection means 21 of the communication terminal 2 is used to communicate with the network 5 (VPN server). When communication is started, the
ここで、携帯型電子デバイス3は、指紋センサなどの生体認識装置33と、予め生体情報が記憶保持された生体情報記憶部34と、生体認識装置33により読み取られた生体情報を生体情報記憶部34に記憶されている生体情報と照合することにより認証を行う認証部35を備えていることが望ましい。
Here, the portable electronic device 3 includes a
図2は本発明による通信システムの別の例を示す全体構成図である。この図に示す通信システム1Aは、仮想ネットワークスイッチ22による機能を利用して、通信端末2Aの媒体(ハードディスク、リムーバブルディスク、外付けのメモリなど)の管理や、プログラムの実行管理を、携帯型電子デバイス3Aの側から行うように構成されている。
FIG. 2 is an overall configuration diagram showing another example of the communication system according to the present invention. The communication system 1A shown in this figure uses the functions of the
通信端末2Aの仮想ネットワークスイッチ22は、当該通信端末2Aの記憶媒体(ハードディスクやリムーバブルディスク等)24にアクセスする機能を備えている。携帯型電子デバイス3Aにはセキュリティ確保手段としてのウイスルチェック機能31A、ウィルスパターン情報記憶部32Aが備わっている。
The
携帯型電子デバイス3Aを通信端末2Aに接続して、本人認証が行われた後は、ウィルスチェック機能31Aは、通信端末2Aの仮想ネットワークスイッチ22に対して、記憶媒体24、アプリケーション23へアクセスするためのコマンドパケットを発行する。これにより、通信端末2Aの各種媒体に対するセキュリティのチェックを携帯型電子デバイス3Aの側から行うことができる。
After the portable electronic device 3A is connected to the
図3は本発明による通信システムのさらに別の例を示す全体構成図である。この図に示す通信システム1Bは、携帯型電子デバイス3Bに、セキュリティ確保手段としてのファイアウォール機能31Bと、そのためのファイアウォール設定情報の記憶部32Bを設けた構成となっている。この通信システム1Bにおいても、仮想ネットワークスイッチ22の機能によって、携帯型電子デバイス3Bが、通信網4と通信端末2Bの間に仮想的に介在して、外部からの不正侵入の検知を行うので、安全な通信を行うことができる。
FIG. 3 is an overall configuration diagram showing still another example of the communication system according to the present invention. The communication system 1B shown in this figure has a configuration in which a portable
ここで、通信端末2(2A、2B)に設けられている仮想ネットワークスイッチ22は、インターネット標準プロトコルであるTCP/IPにおけるOSI7階層モデルのネットワーク層に組み込まれた仮想IPスイッチとすることができる。
Here, the
図4はOSIの7階層モデルを示す説明図である。7階層モデル6におけるネットワーク層63に仮想IPスイッチ68がインストールされている。仮想IPスイッチ68がパケットの転送先を上位トランスポート層64あるいは他のネットワーク機器である携帯型電子デバイス3(3A、3B)に切り替える。その他の各層61、62、64〜67については何ら変更を加える必要がない。
FIG. 4 is an explanatory view showing a seven-layer model of OSI. A
仮想IPスイッチ68は、一般的なレイヤー3のスイッチとは機構が異なり、パケットを携帯型電子デバイス3(3A、3B)に転送する場合には、元パケットの情報を欠落することなく維持する必要があるので、元パケットを転送用のパケットでカプセリングする必要がある。カプセル化されたパケットは、転送先のデバイス3(3A、3B)においてオリジナルのパケットに戻され、当該デバイス上のアプリケーションで処理が行われ、再度、仮想IPスイッチ68に当該パケットが渡される。
The
なお、図5には、当該7階層モデルを、ウィンドウズ(登録商標)のネットワークモデルに当てはめた場合の説明図である。この図において、インターミディエイト層(Intermediate層)上の「vsw.sys」が仮想ネットワークスイッチである。このソフトウェアが、携帯型電子デバイス3(3A、3B)および通信端末2(2A、2B)上の上位プロトコルのいずれにパケットを転送するのかを決定する。このインターミディエイト層はウィンドウズのネットワークアーキテクチュアに標準的に用意された層であり、この層を利用したパケットフィルタリングのソフトウェアなどが市販されている。 FIG. 5 is an explanatory diagram when the seven-layer model is applied to a Windows (registered trademark) network model. In this figure, “vsw.sys” on the intermediate layer (Intermediate layer) is a virtual network switch. This software determines to which of the upper protocols on the portable electronic device 3 (3A, 3B) and the communication terminal 2 (2A, 2B) the packet is transferred. This intermediate layer is a standard layer prepared by the Windows network architecture, and packet filtering software using this layer is commercially available.
次に、図6は、本発明による通信システムを示す全体構成図である。この通信システム1Cも、通信端末2Cと携帯型電子デバイス(トークン)3Cとを備えている。通信端末2Cはネットワーク通信手段21Aを備えていると共に、VPNクライアント機能26を備えている。これに対して、携帯型電子デバイス3Cは、当該VPNクライアント機能26を用いて通信を行うために必要なVPN設定情報が記憶された記憶部32Cを備えている。また、携帯型電子デバイス3Cには、指紋センサなどの生体認識装置33と、予め生体情報が記憶保持された生体情報記憶部34と、生体認識装置33により読み取られた生体情報を生体情報記憶部34に記憶されている生体情報と照合することにより認証を行う認証部35が備わっている。
Next, FIG. 6 is an overall configuration diagram showing a communication system according to the present invention. The
この構成の通信システム1Cでは、セキュリティを処理するプログラムを通信端末2Cの側に搭載し、それを稼動させるために必要な情報をトークン3Cの側に保持し、生体認識装置33による認識結果によってそれらが協調して処理が実行される。
In the
図7は、本発明を適用したウィルスチェック機能を備えた通信システムを示す全体構成図である。この通信システム1Dでは、通信端末2Dの側にウィルスチェック機能(ソフトウェア)27が搭載され、それを実行するために必要なウィルス設定情報が携帯型電子デバイス3Dの記憶部32Dに保持されている。生体認識装置33により認証されると、双方が協同してウィルスチェックを行い、安全な通信を行うことができる。
FIG. 7 is an overall configuration diagram showing a communication system having a virus check function to which the present invention is applied. In the
次に、図8は、本発明を適用したファイアウォール機能を備えた通信システムを示す全体構成図である。この通信システム1Eでは、通信端末2Eの側にパーソナルファイアウォール機能28が搭載され、携帯型電子デバイス3Eにはそのためのファイアウォール設定情報が記憶された記憶部32Eが備わっている。この場合にも、生体認識装置33によって本人認証が行われると、双方が協同して、安全な通信を行うことができる。
Next, FIG. 8 is an overall configuration diagram showing a communication system having a firewall function to which the present invention is applied. In this
以上説明したように、本発明の通信システム、それに用いる通信端末および携帯型電子デバイスによれば次のような効果が得られる。 As described above, according to the communication system of the present invention, the communication terminal used for the communication system, and the portable electronic device, the following effects can be obtained.
(1)本発明による生体認識装置付きの携帯型電子デバイスを持ち歩くことにより、利用者は、あらゆる場所で、あらゆるネットワーク通信機能を有する通信端末を用いて、必要なインターネット上のリソースに対してVPN接続やセキュリティ・チェックを行いながら安全な通信を行うことが可能となる。従って、回線事業者により設定されているセキュリティ上の制約に囚われず、必要な場所で自ら設定したセキュリティーポリシーを維持しながら、利用可能な最適な通信手段を用いて通信を行うことが可能となる。 (1) By carrying a portable electronic device with a biometric recognition device according to the present invention, a user can use a communication terminal having any network communication function in any place to provide VPN for necessary resources on the Internet. It is possible to perform secure communication while performing connection and security check. Therefore, it is possible to perform communication using the best available communication means while maintaining the security policy set by itself in the necessary place without being restricted by the security restrictions set by the line operator. .
(2)通信端末にはセキュリティを脅かす情報を保持する必要がなくなり、携帯型電子デバイスにVPN接続やパーソナル・ファイアーウォール設定、ウィルスチェック設定、その他セキュリティに関する通信設定情報を暗号化して保存することにより、外部の第三者に対する設定情報の漏洩の危険性が格段に少なくなる。 (2) It is no longer necessary to store information that threatens security in communication terminals, and VPN connection, personal firewall settings, virus check settings, and other communication settings information related to security are encrypted and stored in portable electronic devices. The risk of leakage of setting information to an external third party is greatly reduced.
(3)セキュリティ・チェックのために費やされる通信端末の負荷が軽減され、他の処理のパフォーマンス向上が期待できる。 (3) The load on the communication terminal spent for the security check is reduced, and the performance of other processes can be expected to improve.
(4)上記の(2)に関連して、通常の使用にあたってユーザ自身がVPNクライアント・ソフトウェア等の操作に関わることは殆ど必要なくなる。また、設定情報へアクセスすることを、ネットワーク管理者のみが利用可能な暗号化手段によって制限するなどの作業が可能になるので、不注意によってクライアント・ソフトウェアの設定情報を変更してしまう危険性も格段に少なくなる。結果として、ネットワーク管理者の労力、企業の管理コストの低減効果が見込まれる。 (4) In relation to the above (2), it is almost unnecessary for the user himself to be involved in the operation of the VPN client software or the like in normal use. Also, access to the setting information can be restricted by encryption means that only network administrators can use, so there is a risk of inadvertently changing the setting information of the client software. Remarkably less. As a result, it is expected to reduce the labor of the network administrator and the management cost of the company.
(5)本発明の携帯型電子デバイスを個人がIDとして持ち歩き、IDと連携したVPNソフトウェア、パーソナル・ファイアウォール、ウィルス除去ソフトウェア、及びその接続に関する通信設定情報を保存することができる。このようにすれば、当該デバイスを貸し与える企業などは、ユーザである従業員の異動、利用するPCなどの通信機器の交換などに際して、新しく利用する通信機器へのVPNクライアント・ソフトウェアのインストール作業、VPN接続用の設定作業などを行う必要がなくなる。単に、当該トークンとの通信インターフェースを確保しておけばよいだけとなるので、ネットワーク管理者の労力が格段に低減される。 (5) A portable electronic device according to the present invention can be carried by an individual as an ID, and VPN software associated with the ID, personal firewall, virus removal software, and communication setting information related to the connection can be stored. In this way, a company that lends the device, for example, installs VPN client software on a newly used communication device when a user employee is transferred, or a communication device such as a PC to be used is replaced. There is no need to perform setting work for VPN connection. Since it is only necessary to secure a communication interface with the token, the labor of the network administrator is remarkably reduced.
(6)上記IDに関連し、本発明による仕組みをセキュリティーソフトウェア等のソフトウェアと関連させることにより、生体認識装置による本人認証、認証後のIDのネットワーク・サーバへの発行によるライセンス情報の確認、ライセンス確認後のトークンに内蔵されたソフトウェアのアップデート機能の提供などを、端末に対してではなく、それを持ち運ぶ本人に対して確実に実行することが可能となる
(7)通信端末の仕様が、利用しているアプリケーションや通信ソフトウェアの機能を十分に提供できない場合、通信端末そのものを買い換えることなく、必要な通信処理能力のみ、別の分散処理装置に置き換えることで対応出来るとともに、そのような分散処理装置を持ち運ぶことによって、端末自体を持ち運ぶことなく、常に安定した通信環境を得ることが可能となる。
(6) In relation to the above ID, by associating the mechanism according to the present invention with software such as security software, the personal authentication by the biometric recognition device, the confirmation of license information by issuing the ID after authentication to the network server, the license It is possible to reliably provide the software update function built into the token after confirmation, not to the terminal, but to the person who carries it. (7) The specification of the communication terminal is used If the function of the application or communication software being used cannot be sufficiently provided, the communication terminal itself can be replaced by replacing it with another distributed processing device without replacing the communication terminal itself. By carrying your phone, you can always keep it safe without having to carry the device itself. It is possible to obtain a the communication environment.
Claims (9)
(i)ネットワーク接続手段、および
(ii)前記ネットワーク接続手段によって接続されたネットワークとの間で送受されるデータの転送先を強制的に変更可能な仮想ネットワークスイッチを備えている前記通信端末と、
(b)前記通信端末との間で通信が可能な携帯型電子デバイスであって、前記通信端末による前記ネットワークとの間の通信セキュリティを確保するためのセキュリティ確保手段を備えている前記携帯型電子デバイスとを含み、
前記通信端末は、前記仮想ネットワークスイッチおよび前記携帯型電子デバイスの前記セキュリティ確保手段を介して、前記ネットワークとの間でデータの送受を行い、
前記通信端末の記憶媒体、およびアプリケーションのセキュリティのチェックが前記仮想ネットワークスイッチを介して、前記携帯型電子デバイスの前記セキュリティ確保手段により行われる通信システム。 (A) a communication terminal,
(i) network connection means, and
(ii) the communication terminal including a virtual network switch capable of forcibly changing a transfer destination of data transmitted to and received from the network connected by the network connection unit;
(B) A portable electronic device capable of communicating with the communication terminal, the portable electronic device comprising security ensuring means for ensuring communication security with the network by the communication terminal Including devices,
The communication terminal sends and receives data to and from the network via the virtual network switch and the security ensuring means of the portable electronic device,
A communication system in which the security of the storage medium of the communication terminal and the application is checked by the security ensuring unit of the portable electronic device via the virtual network switch.
当該仮想IPスイッチは、前記ネットワークから受け取ったパケットを、予め設定されている条件に従って、上位のトランスポート層あるいは前記携帯型電子デバイスに転送し、当該携帯型電子デバイスからのパケットを、予め設定されている条件に従って、上位のトランスポート層あるいは送信元の前記ネットワークに戻す請求項1または2による通信システム。 The virtual network switch is a virtual IP switch incorporated in the network layer of the OSI7 hierarchical model in TCP / IP which is an Internet standard protocol.
The virtual IP switch transfers a packet received from the network to an upper transport layer or the portable electronic device according to a preset condition, and the packet from the portable electronic device is preset. The communication system according to claim 1 or 2, wherein the communication is returned to the upper transport layer or the network of the transmission source in accordance with the conditions.
指紋センサなどの生体認識装置と、
生体情報が予め記憶されかつ保持された生体情報記憶部と、
前記生体認識装置により読み取られた生体情報を前記生体情報記憶部に記憶されている生体情報と照合することにより、前記通信端末を介しての前記ネットワークに対するアクセスを許可する認証手段とを備えている請求項1乃至3のいずれか1項による通信システム。 The portable electronic device is:
A biometric recognition device such as a fingerprint sensor;
A biological information storage unit in which biological information is stored and held in advance;
And authentication means for permitting access to the network via the communication terminal by comparing biometric information read by the biometric recognition device with biometric information stored in the biometric information storage unit. A communication system according to any one of claims 1 to 3.
(i) ネットワーク接続手段、および
(ii) ネットワークとの間の通信セキュリティを確保するためのセキュリティ確保手段を備えている前記通信端末と、
(b)通信端末との間で通信が可能な携帯型電子デバイスであって、
(i) 前記セキュリティ確保手段を介して前記ネットワークとの通信を行うために必要な通信設定情報を記憶かつ保持した通信設定情報記憶部、
(ii) 指紋センサなどの生体認識装置、
(iii) 生体情報が予め記憶かつ保持された生体情報記憶部、および
(iv)前記生体認識装置により読み取られた生体情報を前記生体情報記憶部に記憶されている生体情報と照合する認証手段を備えている前記携帯型電子デバイスと含む通信システム。 (A) a communication terminal,
(i) network connection means, and
(ii) the communication terminal provided with security ensuring means for ensuring communication security with the network;
(B) a portable electronic device capable of communicating with a communication terminal,
(i) a communication setting information storage unit that stores and holds communication setting information necessary for performing communication with the network via the security ensuring unit;
(ii) a biometric recognition device such as a fingerprint sensor,
(iii) a biometric information storage unit in which biometric information is stored and held in advance; and (iv) an authentication unit that collates the biometric information read by the biometric recognition device with the biometric information stored in the biometric information storage unit. A communication system including the portable electronic device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006312620A JP2007151114A (en) | 2006-11-20 | 2006-11-20 | Communication system, communication terminal with virtual network switch and portable electronic device with biological recognition apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006312620A JP2007151114A (en) | 2006-11-20 | 2006-11-20 | Communication system, communication terminal with virtual network switch and portable electronic device with biological recognition apparatus |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004558372A Division JP4399367B2 (en) | 2002-12-11 | 2002-12-11 | Communication system, communication terminal provided with virtual network switch, and portable electronic device provided with biometric recognition device |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008158717A Division JP2008305413A (en) | 2008-06-18 | 2008-06-18 | Communication system, communication terminal with virtual network switch, and portable electronic device with biometric device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007151114A true JP2007151114A (en) | 2007-06-14 |
Family
ID=38211893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006312620A Ceased JP2007151114A (en) | 2006-11-20 | 2006-11-20 | Communication system, communication terminal with virtual network switch and portable electronic device with biological recognition apparatus |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007151114A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011258206A (en) * | 2010-06-07 | 2011-12-22 | Samsung Sds Co Ltd | Anti-malware system and operation method thereof |
| JP2012027916A (en) * | 2010-07-21 | 2012-02-09 | Samsung Sds Co Ltd | Device and method for providing soc (system-on-chip)-based anti-malware service |
| JP2012038313A (en) * | 2010-08-06 | 2012-02-23 | Samsung Sds Co Ltd | Smart card, and anti-virus system and scanning method utilizing the smart card |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001067399A (en) * | 1999-08-25 | 2001-03-16 | Oki Electric Ind Co Ltd | Electronic money transaction system |
| JP2001216271A (en) * | 2000-02-03 | 2001-08-10 | Sony Corp | Information processing system, information storage device, adapter device, and information terminal equipment |
| JP2002111732A (en) * | 2000-10-02 | 2002-04-12 | Nippon Telegr & Teleph Corp <Ntt> | Vpn system and vpn setting method |
| JP3086856U (en) * | 2001-12-21 | 2002-07-05 | 日本コンピュータ工業株式会社 | Fingerprint authentication sensor PC card |
| JP2002532997A (en) * | 1998-12-14 | 2002-10-02 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | A biometric identification mechanism that can maintain the integrity of biometric information |
| WO2004054185A1 (en) * | 2002-12-11 | 2004-06-24 | Mitsui & Co., Ltd. | Communication system, communication terminal comprising virtual network switch and portable electronic device comprising organism recognition unit |
-
2006
- 2006-11-20 JP JP2006312620A patent/JP2007151114A/en not_active Ceased
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002532997A (en) * | 1998-12-14 | 2002-10-02 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | A biometric identification mechanism that can maintain the integrity of biometric information |
| JP2001067399A (en) * | 1999-08-25 | 2001-03-16 | Oki Electric Ind Co Ltd | Electronic money transaction system |
| JP2001216271A (en) * | 2000-02-03 | 2001-08-10 | Sony Corp | Information processing system, information storage device, adapter device, and information terminal equipment |
| JP2002111732A (en) * | 2000-10-02 | 2002-04-12 | Nippon Telegr & Teleph Corp <Ntt> | Vpn system and vpn setting method |
| JP3086856U (en) * | 2001-12-21 | 2002-07-05 | 日本コンピュータ工業株式会社 | Fingerprint authentication sensor PC card |
| WO2004054185A1 (en) * | 2002-12-11 | 2004-06-24 | Mitsui & Co., Ltd. | Communication system, communication terminal comprising virtual network switch and portable electronic device comprising organism recognition unit |
Non-Patent Citations (7)
| Title |
|---|
| "SMC スマートモデムカード スマートモデムカードの特徴", [ONLINE], JPN4006006319, 2001, ISSN: 0000854686 * |
| 日経インターネットテクノロジー, vol. 第52号, CSND200200001004, pages 17, ISSN: 0000854687 * |
| 日経インターネットテクノロジー, vol. 第52号, JPN6008036796, pages 17, ISSN: 0001094849 * |
| 日経オープンシステム, vol. 第29号, CSND199801598009, pages 250 - 251, ISSN: 0000854688 * |
| 日経オープンシステム, vol. 第29号, JPN6008036793, pages 250 - 251, ISSN: 0001094850 * |
| 日経コミュニケーション, vol. 第322号, CSND200201236016, pages 122 - 129, ISSN: 0000854689 * |
| 日経コミュニケーション, vol. 第322号, JPN6008036798, pages 122 - 129, ISSN: 0001094851 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011258206A (en) * | 2010-06-07 | 2011-12-22 | Samsung Sds Co Ltd | Anti-malware system and operation method thereof |
| JP2012027916A (en) * | 2010-07-21 | 2012-02-09 | Samsung Sds Co Ltd | Device and method for providing soc (system-on-chip)-based anti-malware service |
| JP2014089741A (en) * | 2010-07-21 | 2014-05-15 | Samsung Sds Co Ltd | Device and method for providing anti-malware service of system-on-chip board |
| JP2012038313A (en) * | 2010-08-06 | 2012-02-23 | Samsung Sds Co Ltd | Smart card, and anti-virus system and scanning method utilizing the smart card |
| CN102375950A (en) * | 2010-08-06 | 2012-03-14 | 三星Sds株式会社 | Smart card, anti-virus system and scanning method using the same |
| US9009835B2 (en) | 2010-08-06 | 2015-04-14 | Samsung Sds Co., Ltd. | Smart card, anti-virus system and scanning method using the same |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1813073B1 (en) | System and method for remote security management of a user terminal via a trusted user platform | |
| EP1634175B1 (en) | Multilayer access control security system | |
| JP2008015786A (en) | Access control system and access control server | |
| CN102047262B (en) | Authentication for distributed secure content management system | |
| JP4168052B2 (en) | Management server | |
| EP1414216A2 (en) | System and methodology providing automation security architecture in an industrial controller environment | |
| Kelbert et al. | Data usage control enforcement in distributed systems | |
| JP4399367B2 (en) | Communication system, communication terminal provided with virtual network switch, and portable electronic device provided with biometric recognition device | |
| US11362827B2 (en) | IOT security mechanisms for industrial applications | |
| Kravets et al. | Mobile security solution for enterprise network | |
| CN104918248A (en) | Enterprise mobile safety gateway method of application flow management, application acceleration and safety | |
| KR20060044494A (en) | Network management system and network management server of co-operating with authentication server | |
| JP2007151114A (en) | Communication system, communication terminal with virtual network switch and portable electronic device with biological recognition apparatus | |
| EP1530343B1 (en) | Method and system for creating authentication stacks in communication networks | |
| JP2004062416A (en) | Method for preventing illegal access, method for downloading security policy, personal computer, and policy server | |
| JP2008305413A (en) | Communication system, communication terminal with virtual network switch, and portable electronic device with biometric device | |
| WO2006001587A1 (en) | Network management system and network management server of co-operating with authentication server | |
| CN108833395B (en) | External network access authentication system and authentication method based on hardware access card | |
| JP2004341922A (en) | Receiving device, setting device, and device, method and program for connection requesting | |
| JP2004343533A (en) | Receiver, setting device, and connection requesting device, method, and program | |
| CN109040313B (en) | Internet of things system with network mask based on object description method | |
| KR20060086840A (en) | Communication system, communication terminal comprising virtual network switch and portable electronic device comprising organism recognition unit | |
| KR101175667B1 (en) | Network access management method for user terminal using firewall | |
| JP2000354056A (en) | Computer network system and method for controlling access to the same | |
| CN111953692A (en) | Secure access method and system for network port |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070522 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070813 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070816 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071121 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080219 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080618 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080627 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20080725 |
|
| A045 | Written measure of dismissal of application [lapsed due to lack of payment] |
Free format text: JAPANESE INTERMEDIATE CODE: A045 Effective date: 20100126 |