JP2012516081A - Imsネットワーク端末装置にファイアウォールを提供するための方法、およびファイアウォールシステム - Google Patents

Imsネットワーク端末装置にファイアウォールを提供するための方法、およびファイアウォールシステム Download PDF

Info

Publication number
JP2012516081A
JP2012516081A JP2011546565A JP2011546565A JP2012516081A JP 2012516081 A JP2012516081 A JP 2012516081A JP 2011546565 A JP2011546565 A JP 2011546565A JP 2011546565 A JP2011546565 A JP 2011546565A JP 2012516081 A JP2012516081 A JP 2012516081A
Authority
JP
Japan
Prior art keywords
terminal device
firewall
network
network element
firewall system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011546565A
Other languages
English (en)
Other versions
JP5694954B2 (ja
Inventor
ワン,ジー
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2012516081A publication Critical patent/JP2012516081A/ja
Application granted granted Critical
Publication of JP5694954B2 publication Critical patent/JP5694954B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

IMSネットワークにおける端末装置にファイアウォールを提供するための方法、およびファイアウォールシステムが提供される。この方法は、IMSネットワークにおいてファイアウォールシステムを設定すること、ファイアウォールシステムが、ネットワークユニットから、端末装置にファイアウォールを提供する要求を受信すると、端末装置の識別情報を取得すること、ファイアウォールシステムの識別情報を端末装置、および互いに関連するネットワークユニットに送信すること、ファイアウォールシステムによって端末装置と他のネットワークユニットの間の通信活動の少なくとも一部分を管理し、それらの他のネットワークユニットが、IMSネットワークにおけるネットワークユニット、および/またはIMSネットワークを介して端末装置と通信するネットワークユニットを含むことを含む。

Description

本発明は、ネットワーク通信に関し、より詳細には、IMSネットワークにおける端末装置の通信セキュリティを強化するための方法およびシステムに関する。
様々なタイプのネットワークの使用が普及するにつれ、人々は、通信するのに、さらに様々なリソースを取得するのにネットワークにますます依存する傾向にある。しかし、多数のネットワークベースの技術の急速な成長とともに、ネットワーク犯罪が絶えることがなく、ネットワークのセキュリティが、広く人々の懸念を生じさせている。実際、ほとんどのネットワーク犯罪は、データ傍受の形態だけでなく、ネットワークに侵入して、データに許可なくアクセスすること、あるいはデータを交換すること、データを破壊すること、ネットワークリソースを許可なく使用することなども含む。明らかに、ユーザにとって、データのプライバシー、および通信のセキュリティは、大きな脅威に悩まされてきた。
ネットワークリソースをネットワーク攻撃から保護するために、ネットワークのセキュリティを保証するファイアウォールが提案されている。ファイアウォールの使用によって、データの保護が実現され、ネットワークリソースがネットワーク侵入者によって荒らされる可能性から遮蔽される。ファイアウォールの成功は、ネットワーク要素がネットワークから攻撃を受けることがない、または許可なく探られることがないことなどを確実にしながら、ネットワーク要素が他の通信ノードと通信し、対話することを可能にする。
ネットワークサービス上のユーザのますます多様な要件を満たすため、3GPPが、リリース5仕様においてIMSシステム(IPマルチメディアサブシステム)を提案している。そのようなシステムは、オープンSIP/IPプロトコルに基づいて、アクセスに関係がなく、より豊かなサービスを提供するように様々なマルチメディアサービスタイプをサポートするプラットフォームをセットアップする。このシステムは、セルラ移動体通信ネットワーク、従来の固定ネットワーク、およびインターネットなどの複数の技術を組み合わせて、将来の完全IPネットワークベースのマルチメディアアプリケーションのためのユニバーサルサービスインテリジェンスプラットフォームを提供するとともに、将来のネットワーク展開におけるネットワーク統合のための技術的基礎も提供する。IMSの多数の特性が、IMSが将来のネットワーク統合、および展開の方向を実現するための理想的なソリューションとなることを可能にする。
IMSネットワークは、インターネットに接続されるので、IPプロトコルベースの、オープンなネットワークアーキテクチャが、異なる様々なサービスが、複数の様々なアクセスの方式を使用することによってサービスプラットフォームを共有することを可能にし、このため、ネットワークの柔軟性、および端末装置の間の共有性を高める。しかし、IMSのセキュリティ要件は、IMSがIPを基礎にして確立されるため、従来の事業者による独立したネットワーク上の動作のセキュリティ要件と比べて、はるかに高く、したがって、IMSのセキュリティ問題は、移動体アクセスであるか、固定アクセスであるかにかかわらず、無視され得ない。したがって、公共ネットワークと通信し、対話しているネットワーク要素として、IMSネットワークにおける通信端末装置が、攻撃、および許可のないアクセスから通信端末装置自らを保護するように通信端末装置独自のファイアウォールを有することが極めて重要である。しかし、すべてのIMS端末装置が、ファイアウォールを実行するのに十分なメモリおよび計算能力を有するわけではない。個々のファイアウォールシステムをインストールしているIMS端末装置の場合でさえ、ファイアウォールメンテナンス、例えば、ファイアウォールが適時に更新されているかどうか、ファイアウォールが正しく構成されているかどうか、ファイアウォールシステムが十分に強力であるかどうかなども問題である。さらに、ネットワークセキュリティ構成を保守することは、IMSユーザには、特に、十分な関連する知識を有さないユーザには、大きな作業負荷を意味し、つまり、ユーザは、保守することに多くの時間と労力を費やさなければならないだけでなく、ネットワークセキュリティと関係する、少なくともファイアウォールの使用と関係する十分な知識を有している必要もある。
さらに、遠隔通信ネットワークは、通常のコンピュータネットワークと比べて、より多くのデバイス(例えば、移動電話機、PDAなど)を有することが知られている。しかし、PCとは異なり、これらの移動デバイスは、高い性能のファイアウォールを実行する十分なリソース(例えば、CPU、メモリなど)を通常、欠いており、さらに、旧来の電話デバイスなどの多くのレガシーアクセスデバイスは、ファイアウォールソフトウェア/ハードウェアをインストールするのに不適格である。実際、そのような移動デバイスの潜在的なセキュリティ上の危険性は、直ちに解消される必要がある。したがって、IMSネットワークにおける端末装置のセキュリティを保護しながら、ファイアウォールの運用および構成の負担からIMS端末装置ユーザをどのように解放するかは、緊急に解決されるべき問題である。
前述した問題を解決するのに、本発明は、ファイアウォールの運用および構成の負担からIMS端末装置ユーザを解放する、またはそのような負担を完全に解消しさえする、IMSネットワークにおける端末装置にファイアウォールを提供する方法、ならびにIMSネットワーク端末装置にセキュリティ保護を提供するためのファイアウォールシステムを提案する。
本発明の一実施形態によれば、
IMSネットワークにおいてファイアウォールシステムを設定するステップと、
ファイアウォールシステムが、ネットワーク要素から、端末装置にファイアウォールを提供する要求を受信すると、端末装置の識別情報を取得するステップと、
ファイアウォールシステムの識別情報を端末装置、および関連するネットワーク要素に送信するステップと、
ファイアウォールシステムによって端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するステップであって、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介して端末装置と通信するネットワーク要素を含むステップとを含む、IMSネットワークにおける端末装置にファイアウォールを提供する方法が提供される。
オプションとして、ネットワーク要素は、S−CSCF、またはS−CSCFの信頼する相手である。
ただし、端末装置およびファイアウォールシステムの識別情報は、端末装置およびファイアウォールのIPアドレス、MACアドレス、ユーザID、ファイアウォール通し番号、または以上の任意の組合せを備える。
オプションとして、ファイアウォールシステムは、要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手にファイアウォールシステムの識別情報を送信し、次に、要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手が、その識別情報をその端末装置に送信する、あるいはファイアウォールシステムが、要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手、およびその端末装置にファイアウォールシステムの識別情報をそれぞれ送信する、またはファイアウォールシステムが、要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手、およびその端末装置のいずれかにファイアウォールシステムの識別情報を送信する。
オプションとして、要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手は、その端末装置、および関連するネットワーク要素にファイアウォールシステムの識別情報を送信する。オプションとして、この送信することは、そのファイアウォールシステムに要求メッセージを送信する際/送信した後に、あるいはそのファイアウォールシステムにその要求メッセージを送信することを決定する際/決定した後に実行されることが可能である。
オプションとして、デフォルトの設定は、その端末装置がIMSネットワークに入り、登録要求またはセッション要求を開始すると、その要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手が、端末装置にファイアウォールを提供することを求める要求をそのファイアウォールシステムに送信することである。
オプションとして、その端末装置がIMSネットワークに入り、登録要求またはセッション要求を開始する際、その端末装置にファイアウォールを提供する必要があるかどうか、またはそのファイアウォールシステムが或る特定のサービスを提供する必要があるかどうかについての識別情報が、その登録要求またはセッション要求の中で伝送される。
オプションとして、要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手が、その端末装置によって送信された要求の中で伝送された識別情報を識別し、この識別情報が、その端末装置にファイアウォールを提供する必要がないことを示す場合、その端末装置にファイアウォールを提供する要求を送信しない。
オプションとして、ファイアウォールシステムが、その端末装置によって送信された要求の中で伝送された識別情報を識別し、この識別情報が、その端末装置にファイアウォールを提供する必要がないことを示す場合、その端末装置にファイアウォールサービスを提供しない。
オプションとして、ファイアウォールシステムが、その端末装置によって送信された要求の中で伝送された識別情報を識別し、この識別情報が、その端末装置に或る特定のファイアウォールサービスを提供する必要があることを示す場合、その端末装置に、要求された特定のファイアウォールサービスを提供する。
オプションとして、この特定のファイアウォールサービスは、その端末装置とそれらの他のネットワーク要素の間のすべての通信活動を管理している、またはその端末装置とそれらの他のネットワーク要素の間の通信活動の一部分を管理している。
好ましくは、そのファイアウォールシステムは、構成モジュールをその端末装置に提供し、それにより端末装置とそれらの他のネットワーク要素の間の通信活動を管理していない、部分的に管理している、または完全に管理しているとして、端末装置がファイアウォールを設定することができる。
好ましくは、通信活動のその部分は、通信プロトコルのタイプ、他のネットワーク要素が位置しているロケーション区域、その端末装置の訪問先/訪問元のリソースのタイプ、セキュリティレベル、感度、プライバシー度などに応じて分類されることが可能である。
本発明の一実施形態によれば、
情報を送受信するための通信インタフェースと、
通信インタフェースを介して要求を送信するネットワーク要素から、端末装置にファイアウォールを提供する要求を受信すると、端末装置の識別情報を取得するための情報取得モジュールと、
この識別情報を受信した後、通信インタフェースを介してその端末装置および/または関連するネットワーク要素にファイアウォールシステムの識別情報を送信するため、およびその端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための通信管理モジュールとを備え、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信状態にあるネットワーク要素を含む、IMSネットワークにおけるファイアウォールシステムが提供される。
本発明の別の態様によれば、
情報を送受信するための通信インタフェースと、
通信インタフェースを介してネットワーク要素から、端末装置にファイアウォールを提供することを求める要求を受信すると、端末装置の識別情報を取得するための情報取得モジュールと、
この識別情報が受信され、ファイアウォールシステムの識別情報が、そのネットワーク要素、またはそのようなネットワーク要素の信頼する相手によって、その端末装置および/または関連するネットワーク要素に供給された後、その端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための通信管理モジュールとを備え、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信状態にあるネットワーク要素を含む、IMSネットワークにおけるファイアウォールシステムが提供される。
ただし、通信管理モジュールは、端末装置がファイアウォールサービスを必要とするか否か、および/または或る特定のサービスが要求されるかどうかを示す、その要求の中で伝送された識別情報を識別し、その端末装置にファイアウォールを提供する必要がないことを示す伝送された識別情報を識別した場合、そのファイアウォールシステムは、その端末装置にファイアウォールサービスを提供せず、その端末装置に或る特定のサービスを提供する必要がある場合、その端末装置に或る特定のサービスを提供する。
好ましくは、そのファイアウォールシステムは、その端末装置ユーザに構成機能を提供するために使用される構成モジュールをさらに備える。
本発明の別の態様によれば、ネットワーク要素から、端末装置にファイアウォールを提供することを求める要求を受信すると、端末装置の識別情報を取得するため、およびその端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信状態にあるネットワーク要素を含む、IMSネットワークにおけるファイアウォールシステムが提供される。
本発明の別の態様によれば、
情報を送受信するための通信インタフェースと、
端末装置から情報が受信されると、端末装置がファイアウォールサービスを必要とするか否かを判定するため、さらに「はい」である場合、その端末装置にファイアウォールサービスを提供する要求メッセージをファイアウォールシステムに送信するためのサービス制御モジュールと、
通信インタフェースを介してファイアウォールシステムからファイアウォールシステムを識別する識別情報を受信すると、その端末装置に識別情報を送信するため、またはその要求メッセージを送信する必要があると判定した後、そのファイアウォールシステムの格納された識別情報をその端末装置に送信するため、およびその端末装置に向けられたすべての情報を、その端末装置にではなく、そのファイアウォールシステムに送信するための通信制御モジュールとを備える、IMSネットワークにおけるネットワーク要素が提供される。
ただし、そのネットワーク要素は、ソフトウェアを介して、ハードウェアを介して、またはソフトウェアとハードウェアの組合せを介して実施されることが可能である。
本発明の別の態様によれば、
情報を送受信するための通信インタフェースと、
通信インタフェースを介してネットワーク要素またはファイアウォールシステムから、ファイアウォールの識別情報を含むメッセージを受信すると、識別情報を取得するための識別情報取得モジュールと、
端末装置が他のネットワーク要素と通信する必要があるたびに、その識別情報を取得した後、そのファイアウォールシステムを介してそれらの他のネットワーク要素に、対応する通信情報を送信し、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信状態にあるネットワーク要素を備える、通信管理モジュールとを備える、IMSネットワークにアクセスするための端末装置が提供される。
本発明の別の態様によれば、
IMSネットワークに入ると、登録要求またはセッション要求を開始するための、IMSネットワークにアクセスする端末装置と、
この登録要求またはセッション要求を受信すると、端末装置にファイアウォールを提供することを求める要求をファイアウォールシステムに送信するためのネットワーク要素と、
この要求を受信すると、その端末装置の識別情報を取得するため、およびその端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信状態にあるネットワーク要素を含む、IMSネットワークシステムが提供される。
本発明の別の態様によれば、IMSネットワークにおける端末装置と、IMSネットワークにおけるネットワーク要素と、前述したファイアウォールシステムとを備える、IMSネットワークシステムも提供される。
本発明の別の態様によれば、前述の方法のいずれか1つを実行するため、または前述のファイアウォールシステムまたはネットワーク要素または端末装置のいずれか1つを実行するための実行可能コードを備える、コンピュータプログラム製品も提供される。
本発明の方法およびファイアウォールシステムは、IMS端末装置とネットワークの間のトランザクションのセキュリティを保護しながら、IMS端末装置ユーザの負担を大幅に軽減すること、またはそのような負担を完全に解消しさえすることができる。ファイアウォールを既に実行したIMS端末装置の場合、本発明の方法およびシステムによって、それらの端末装置に二重のファイアウォールの保護が与えられ、さらにそれらの端末装置は、本発明を使用することによって、更新支援、構成支援などの付加価値サービスも提供され、このため、端末装置の負担が軽減される。一方、ファイアウォールを実行するのに十分なメモリ空間および計算能力を有さないIMS端末装置の場合、またはファイアウォールのメンテナンスおよび構成について十分な知識を有さないユーザの場合、本発明のファイアウォールシステムは、そのようなIMS端末装置またはユーザに保護を提供するために選択されることが可能であり、その結果、それらの端末装置にかかる負担が完全に解消される。いずれにしても、本発明によって提案されるファイアウォールは、IMSネットワークにおいて展開されているシステムであり、IMS端末装置とは独立しているので、ユーザ機器上のリソースを全く使用しない。さらに、ユーザは、メンテナンスがサービスプロバイダによって行われるので、メンテナンスのために全く努力する必要がない。さらに、IMS端末装置上で実行されるファイアウォールと比べて、このファイアウォールシステムは、より強力であるとともに、IMS端末装置の通信セキュリティをよりよく保護するように適時に更新されることが可能である。
本発明のよりよい理解が、図を参照して後段の詳細な説明を読むことによって容易に得られよう。しかし、図、ならびに本明細書の文章部分において例示されるネットワーク環境および方法の流れは、すべて例示的であり、これらは、単に、本発明の基本的な考え方を説明するのに使用され、本発明を限定するものと見なされるべきではないことに留意されたい。
本発明の実施形態によるIMS端末装置にファイアウォールシステムを提供するネットワークアーキテクチャを示す図である。 本発明の実施形態によるファイアウォールシステムの例示的な構造を示す図である。 本発明の実施形態によるIMSネットワークにおけるS‐CSCFの例示的な構造を示す図である。 本発明の実施形態によるIMS端末装置の例示的な構造を示す図である。 本発明の実施形態によるIMSネットワークに入ると登録またはセッションを開始するIMS端末装置を示す流れ図である。
本発明の原理により、図1は、IMS端末装置にファイアウォールシステムを提供する例示的なネットワークアーキテクチャを示す。図1で見て取ることができるとおり、UE(ユーザ機器)がアクセスネットワークからIMSネットワークを訪問し、ただし、このUEは、通信能力を有する任意の端末装置、例えば、デスクトップのような固定端末装置、あるいはPDA(携帯情報端末)、ハンドセット、ノートブック、ポータブル通信デバイスなどの移動端末装置であることが可能である。ただし、アクセスネットワークは、GPRS(GSM/UMTSネットワークにおける)、ADSL(非対称デジタル加入者線における)、またはWLAN(無線ローカルエリアネットワークにおける)などのIP−CAN(IP接続アクセスネットワーク)であることが可能である。さらに、図1に示されるIMSネットワークは、様々なネットワーク要素、例えば、P−CSCF(プロキシCSCF)、I−CSCF(問合せCSCF)、S−CSCF(サービングCSCF)、他の通信ノード(ルータやスイッチなどの)などを含むことが可能である。さらに、図1は、IMSネットワークに結合されたインターネットまたは他の公共ネットワークも示し、ただし、それらの他の公共ネットワークは、IMSネットワークに接続されることが可能であり、IMSネットワークを介して訪問されることが可能な任意のタイプのネットワークであることが可能である。
さらに、図1に示されるネットワークアーキテクチャにおいて、IMS端末装置を保護するファイアウォールシステムがIMSネットワークに導入される。IMS端末装置がIMSネットワークに登録すると、またはUEがIMSネットワークにおける関係のある構成要素(例えば、P−CSCF)に対するセッション要求を開始して、本発明のファイアウォールシステムによって提供されるサービスを取得する許可を得ると、IMSネットワークにおけるファイアウォールシステムが、通信セッションのセキュリティ、およびUEのリソースを保護する。通常、デフォルトの設定は、IMSネットワークに登録されたすべてのユーザ機器がこのサービスを有するように構成されることが可能である。つまり、ファイアウォールシステムがすべてのIMS端末装置のセキュリティについてのすべての問題を管理することがデフォルトである。このサービスを有するユーザ機器の場合、そのUEと他の通信デバイスの間のすべての通信セッション/接続が、ファイアウォールシステムによって管理される。そのような他の通信デバイスは、以下を備える。
IMSネットワークにおける関連するネットワーク要素、すなわち、P−CSCF、I−CSCF、S−CSCFなどの、UEが、使用中に使用されるネットワーク仕様/プロトコル/特定の構成に応じて他の通信ノードを相手にセッション/接続を確立する際に一般に関与するネットワーク要素。
IMSネットワークにおける他のネットワーク要素、すなわち、UEが通信する通信相手。前述の「関連するネットワーク要素」と対比して、これらのネットワーク要素は、「関係のないネットワーク要素」と呼ばれることも可能であり、つまり、UEが、特定のネットワーク仕様/プロトコル/詳細な設定に応じて他の通信ノードを相手にセッション/接続を確立する際に、通常、関与している必要がないネットワーク要素である(もちろん、「関与している必要がない」という表現は、この場合、絶対的ではなく、例えば、UEがS−CSCFと通信することを意図する場合、明らかに、S−CSCFはUEのいわゆる通信相手である)。
図1に示されるインターネットおよび公共ネットワークなどからの、IMSネットワークを介してUEと通信するネットワーク要素。
つまり、ファイアウォールシステムは、IMSネットワークにおけるUEのエージェントの役割をし、したがって、UEからのいずれの情報も、ファイアウォールシステムをまず通過しなければならず、その後、IMSネットワークにおける他のネットワーク要素に送信され、さらにIMSネットワークを介してUEに向かういずれの情報も、やはり、ファイアウォールシステムをまず通過する必要があり、その後、UEに送信され、その結果、UEと公共ネットワークの間の安全な通信が保証される。
本発明の実施形態によれば、図2は、ファイアウォールシステムの例示的な構造図を示す。ただし、このファイアウォールシステムは、UE、S−CSCFなどの他のネットワーク要素から情報を受信するため、およびそれらのネットワーク要素に関連する情報を送信するための通信インタフェースと、通信インタフェースを介してS−CSCF、またはS−CSCFの信頼する相手から、端末装置にファイアウォールを提供することを求める要求を受信すると、端末装置の識別情報を取得するための情報取得モジュールと、端末装置の識別情報を受信した後、通信インタフェースを介して端末装置および/または関連するネットワーク要素にファイアウォールシステムの識別情報を送信するため、および端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための通信管理モジュールとを備える。
この場合、前述したとおり、それらの他のネットワーク要素は、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信することになるネットワーク要素を含む。
通信インタフェース、情報取得モジュール、および通信管理モジュールの他に、図2は、ファイアウォールシステムに含められ得る他の構成要素をさらに示す。図2は、これらの構成要素を示しているものの、これらの構成要素は、本発明のファイアウォールシステムを実施するのに不必要であることに留意されたい。つまり、これらの構成要素は、本発明のファイアウォールシステムがUEに追加の/強化された機能を提供することを可能にする。
オプションとして、本発明のファイアウォールシステムは、ユーザが、必要に応じてユーザのファイアウォール構成を変更する構成モジュールも提供する。具体的には、情報取得モジュールが、通信インタフェースを介して受信された情報がファイアウォールに対するユーザの構成情報であることを見出すと、対応するファイアウォール構成サービスが、構成モジュールを介してユーザに提供される。
オプションとして、ユーザは、構成モジュールを介して構成を行うことができ、ユーザの構成は、通信管理モジュールによって実施される。好ましくは、ファイアウォールシステムは、ユーザに関して対応する構成ファイルを生成し、それらのファイルをユーザ情報データベースの中に格納することができる。ユーザ情報データベースは、ファイアウォールシステムと同一の物理ノード上で動作してもよく、さらに他の物理ノード上、またはバックグラウンドサーバ上に分散されてもよい。
構成モジュールを使用して、ユーザは、ユーザのいずれの通信活動がファイアウォールシステムによって管理され得るかを構成することができ、例えば、ユーザの通信活動のすべてではなく、ユーザの通信活動の一部分だけが管理される。
一方、ファイアウォールを既にインストールしているUEの場合、ユーザは、構成モジュールを介して、ファイアウォールが、このファイアウォールシステムによって管理されないように構成することができる。もちろん、ユーザは、それでも、このファイアウォールシステムの管理を受け入れてもよい(この時点で、UE上で実行されているファイアウォールと、本発明のファイアウォールシステムの両方が、UEの通信の安全を保護するのに使用され、つまり、UEは、2重の保護を得る)。ユーザがいずれの構成を選択しても、本発明は、UEユーザに、ユーザの負担を軽減するアプローチを提供している。
好ましくは、構成モジュールは、UEユーザに他の付加価値サービスを提供することもできる。具体的には、ファイアウォールをインストールしているUEに関して、構成モジュールを介して対応する構成が行われ、本発明のファイアウォールシステムは、UE上で実行されているファイアウォールに、以下の様々なサポートを提供することができる:
セキュリティホールが存在するかどうか(例えば、UE上に最新のオペレーティングシステム(OS)パスがインストールされているかどうか、UE上で動作しているソフトウェアがセキュリティ問題を生じさせているかどうかなど)を検査するようにUEをスキャンする、ホールスキャン。スキャン結果は、ユーザに通知される、またはユーザの構成に基づいて、それらのホールを自動的に修復する。
UEにリアルタイム更新または安全なダウンロードパスを提供する、リアルタイム更新。本発明のファイアウォールシステム自体、リアルタイム更新を行うことができるので、ファイアウォールシステムは、UE上で動作しているファイアウォールに必要なすべての種類のリアルタイム更新情報を提供することができる。したがって、UEが、インターネットなどの他の公共ネットワーク、またはIMSネットワークを介する他の通信ノードから更新を取得する必要がなく、その結果、ネットワークにおけるトラフィックが低減され、ネットワーク輻輳の可能性が低減される。さらに、このことは、UEが安全でないサイトから更新をダウンロードすることを防止し、またはダウンロード更新中の可能な攻撃を回避し、その結果、UEの通信の安全が強化される。その一方で、このことは、更新を取得するためのUEの待ち時間を短縮し、その結果、サービス品質QoSが向上する。
更新を確認すること。更新を確認することは、UE上にインストールされていない更新が存在することを見出すと、対応する更新をインストールすることをユーザに通知する、またはユーザの構成に基づいて、更新を自動的にインストールする。
ファイアウォールの構成を確認すること。問題が見出された場合、関連する問題を、好ましくは、好ましいソリューションを、ユーザに通知する、あるいはユーザの構成に基づいて、構成更新を自動的に実行する。
構成支援を提供すること。構成支援を提供することは、説明文書や実演ビデオなどの、ユーザがUE自らのファイアウォールを構成するのに、より豊富な技術サポートを提供することができ、あるいはユーザの代わりにファイアウォールシステムが、ユーザの構成を介して、UE上で動作しているファイアウォール上でいくつかの構成を実行することを可能にすることもできる。このようにして、ファイアウォールシステムは、ユーザがユーザの機器上のファイアウォールを保守するのを支援することができる。明白に、ファイアウォールシステムは、関係のある経験/知識を欠いているユーザにファイアウォールメンテナンス作業をはるかに容易にする。
障害修復。障害修復とは、ユーザが、ファイアウォールシステムの構成インタフェースを介して対応する構成を行った場合、UE上で動作しているファイアウォールに動作不良が生じると、UEが、障害レポートまたは障害アラートをユーザとファイアウォールシステムの両方に送信することが可能であり、あるいはファイアウォールシステムだけに送信することが可能であることを意味する(特定の実施の方式は、ユーザの設定に依存する)。さらに、障害修復は、ファイアウォールシステムが、ユーザの設定に基づいて、UEにおける障害を自動的に修復することを可能にすることができる。この事例において、ファイアウォールシステムの通信インタフェースがUEから異常メッセージを受信すると、ファイアウォールシステムは、ユーザに取って代わって、ユーザのファイアウォール上の対応する修復/回復作業を行うことができる。
UE上で動作しているファイアウォールを使用可能にすること、および使用不可にすること。すなわち、ユーザの設定に基づいて、UEがファイアウォールシステムに接続されると、UE上で動作しているファイアウォールを使用不可にすること、およびUEがファイアウォールシステムから切断されると、UE上で動作しているファイアウォールを使用可能にすること。この機能は、UEを保護する作業が本発明のファイアウォールシステムによってプロビジョニングされながら、Eのリソースを、より重要なタスクに適用することを助ける。
構成ファイルを生成すること。すなわち、ユーザの設定に応じて、ユーザが構成を更新しない限り、UEがIMSネットワークに次回にアクセスした際に、生成された構成ファイルの中の設定をUEにデフォルトで適用すること。
ウイルス対策機能。すなわち、ユーザの設定に応じて、ウイルス対策保護、スキャン、ウイルスデータベース更新などを実行するようにUEを支援すること、またはUE上のウイルス対策ソフトウェアを置き換えること。この状況において、本発明のファイアウォールシステムは、ファイアウォールおよびウイルス対策/ウイルス駆除という2つの機能をUEに提供することができ、その結果、UEの負担がさらに軽減される。
前述の機能をよりよく実施するために、ユーザの構成情報を格納するデータベースまたは記憶媒体がファイアウォールシステム内に配置されることが可能であり、あるいは前述の機能のそれぞれに対応する情報データベースまたは情報エンジンが、それぞれ配置されることが可能である。もちろん、ファイアウォールシステムは、より強力なバックグラウンドデータベースに、あるいはホールスキャンエンジン/ホールデータベース、情報更新エンジン/データベース、更新確認エンジン、構成確認エンジン、構成支援エンジン(説明文書データベース、ビデオ実演データベースなどを含む/そのようなデータベースに接続されることが可能な)、障害修復エンジン、ユーザ構成情報データベース、ウイルスデータベースなどの別個のデータベースまたはエンジンにリンクされることも可能である。
本発明の実施形態によれば、図3は、IMSネットワークにおけるS−CSCFなどのネットワーク要素の例示的な構造を示す。図に示されるとおり、このネットワーク要素は、情報を送受信するための通信インタフェースと、端末装置から登録要求/セッション要求を受信すると、端末装置がファイアウォールサービスを必要とするか否かを判定するため(前述したとおり、この場合、デフォルトの設定は、端末装置がそのサービスを必要とすることであっても、送信された要求の中で端末装置によって設定された識別情報を介して判定することであってもよい)、および「はい」である場合、その端末装置にファイアウォールサービスを提供する要求メッセージをファイアウォールシステムに送信するためのサービス制御モジュールと、通信インタフェースを介してファイアウォールシステムから、ファイアウォールシステムを識別する識別情報を受信すると、この識別情報をその端末装置に送信するため、またはその要求メッセージを送信する必要があると判定した後、そのファイアウォールシステムの格納された識別情報をその端末装置に送信するための通信制御モジュールとを備え、さらに、この通信制御モジュールが、その端末装置に向けられたすべての情報をそのファイアウォールシステムに送信し、その後、ファイアウォールシステムによって端末装置に情報を送信するのに使用される。
オプションとして、S−CSCFによって実施される前述の機能は、S−CSCFの信頼する相手に完全に、または部分的に移されることが可能であり、対応する機能を実施するのは、この信頼する相手である。信頼する相手が前述の機能を担う場合、信頼する相手は、必要とされる場合、S−CSCFなどのIMSネットワークにおける構成要素と通信することができる。
本発明の実施形態によれば、図4は、IMSネットワークにアクセスする端末装置の例示的な構造を示す。図に示されるとおり、この端末装置は、情報を送受信するための通信インタフェースと、通信インタフェースを介して、S−CSCFもしくはS−CSCFの信頼する相手、またはファイアウォールシステムからファイアウォールの識別情報を含むメッセージを受信すると、識別情報を取得するための識別情報取得モジュールと、この識別情報を取得した後、端末装置がそれらの他のネットワーク要素と通信する必要があるたびに、そのファイアウォールシステムを介してそれらの他のネットワーク要素に、対応する通信情報を送信するための通信管理モジュールとを備え、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信状態に入るネットワーク要素を備える。
図5は、UEが、アクセスネットワークを介して、本発明のファイアウォールシステムを含むIMSネットワークにアクセスする際に実行される登録段階/セッションを開始することのフローを示す。ただし、図5に示されるステップ1−5は、従来技術におけるUEによるセッション/登録を開始するプロセスであり、すなわち、UEが、登録メッセージをP−CSCFに送信し、次に、P−CSCFがこのメッセージをI−CSCFに転送する。I−CSCFが、HSSに問い合わせることによって(例えば、本明細書で使用されるCxインタフェースを介して)ユーザのためのS−CSCFを選択する。その後、S−CSCFがHSSと対話し、さらにユーザ認証を実行する。具体的には、S−CSCFは、HSSからユーザプロファイルをダウンロードする。このユーザプロファイルは、比較的重要な情報であり、ユーザ情報の他に、ユーザプロファイルは、サービスを提供するアプリケーションサーバにいつSIP要求を転送すべきかを決定するフィルタリング規則をさらに含む一方で、これらのフィルタリング規則が、トリガ条件のセットを構成する。IMSネットワークにおけるサービスとして、本発明のファイアウォールサービスのトリガは、フィルタリング規則の中に保存されることも可能である。
ステップ6および7:フィルタリング規則に基づいて、S−CSCFは、UEからの要求が、ユーザにサービスを提供する1つまたは複数のアプリケーションサーバを通過する必要があるかどうかを判定することができる。S−CSCFは、要求された特定のサービスを提供することはしないものの、これらのサービスを実行するようアプリケーションサーバをトリガする。ユーザがファイアウォールサービスを有する場合(デフォルトの設定は、すべてのユーザがこのサービスを有することである)、S−CSCFは、図5における「F/W要求」のような登録情報をファイアウォールシステムに送信する。この要求は、UEのアドレス情報などのUEの識別情報を含み、さらに、ファイアウォールの特定の性能に依存して、P−CSCFのアドレス、ホームネットワーク交信情報、ユーザID(公開ユーザIDおよびプライベートユーザID)などの情報が、実際の必要性に応じて、この要求の中に備えられることが可能である。
ただし、この識別情報は、数字、アルファベット、文字、または以上の組合せの形態であることが可能な、UEを一意に識別することができる任意のタイプの情報であり得る。さらに、この識別情報は、任意の種類、例えば、MACアドレス、ユーザID、UEのIPアドレスなど、あるいは以上の情報の組合せであることが可能である。
ステップ8:ファイアウォールは、例えば、ユーザIDまたは他の情報に基づいて、ユーザに対する必要な許可確認を実行して、ユーザがファイアウォールシステムによって提供されるサービスを使用することを許可されていることを確実にする。ファイアウォールシステムとIMSネットワークが異なるネットワーク供給業者に属する場合、そのような許可確認が有益であるが、もちろん、この確認は、強制的ではなく、この確認を実行するか否かは、特定のアプリケーション要件に依存する。ファイアウォールシステムとIMSネットワークが同一のネットワーク供給業者に属する場合、サービス制御は、S−CSCFにおいて行われることが可能であり、すなわち、UEがIMSネットワークにアクセスすることを許可されたユーザであるかどうか判定すること、およびステップ8は、ファイアウォールシステムにおいて省略され得る。
ステップ9、10、および11:UEが、ファイアウォールシステムの許可されたユーザである場合、ファイアウォールシステムは、200(OK)メッセージをUEに送信する(ステップ9)。ただし、このメッセージは、アドレス情報などの、ファイアウォールを一意に識別することができる識別情報を含み、したがって、UEおよび関連する他のIMS構成要素(P−CSCFやS−CSCFなどの)は、そのファイアウォールがUEのファイアウォールであることを知る。このメッセージを受信すると、UEおよび関連する他のIMS構成要素は、UEおよび関連する他のIMS構成要素の関連する構成を更新する。具体的には、UEは、ファイアウォールのアドレスを、ネットワークと交信するアドレスとして格納する。その後、UEから送信されたすべての要求はまず、ファイアウォールシステムに送信され、次に、これらの要求が、ファイアウォールシステムによってネットワークにおける正しいアドレスに転送される。UEと通信状態にある他のネットワーク要素は、ファイアウォールのアドレスを格納し、UEのアドレスに取って代わるように、このアドレスを使用する。すると、ネットワークとUEの間のすべてのメッセージは、ファイアウォールシステムによって転送される。
オプションとして、ファイアウォールのアドレス情報は、ファイアウォールシステムによってではなく、S−CSCFによって追加されてもよく、さらにステップ10で、ファイアウォールのアドレス情報が追加されている200(OK)メッセージがP−CSCFに送信され、次に、P−CSCFがこのメッセージをUEに送信する(すなわち、ステップ11)。
オプションとして、ファイアウォール自らのアドレス情報を200(OK)メッセージに追加した後、ファイアウォールは、図5に示されるとおり、200(OK)メッセージをS−CSCF、P−CSCF、およびUEに順次に送信しなくてもよい。代替として、ファイアウォールは、このメッセージをS−CSCFおよびUEにそれぞれ送信してもよい。つまり、ファイアウォールは、200(OK)メッセージをUEに直接に送信することが可能であり、ファイアウォールとUEの間の200(OK)メッセージの伝送は、他のプロトコル(H323、HTTPなどの)を使用することが可能である。
オプションとして、ファイアウォールシステムは、200(OK)メッセージをUEだけに送信して、UEにS−CSCFへの通知を行わせてもよい(同様の処理が、200(OK)メッセージがS−CSCFだけに送信される場合に行われる)。
つまり、前述の方式は、特定のアプリケーション構成に応じて、200(OK)メッセージの伝送のために柔軟に選択され得る。
ステップ12、13、および14:更新が完了すると、UEとIMSネットワークにおけるファイアウォールシステムの間の接続を通知する200(OK)応答がファイアウォールシステムに返信される。次に、ファイアウォールシステムが、UEにサービスを提供するためにUEとIMSネットワークの間で機能する。
オプションとして、ファイアウォールシステムがステップ9で200(OK)メッセージを送信するのと同様に、UEも、200(OK)応答をP−CSCF、S−CSCF、およびファイアウォールシステムに順次に送信するのではなく、この応答をP−CSCFおよびファイアウォールシステムにそれぞれ送信し、P−CSCFに、この応答をS−CSCFに転送させることが可能である。
オプションとして、200(OK)メッセージは、送り返されないことも可能であり、代わりに、事前定義された時間の後、UEとIMSネットワークの間の通信がファイアウォールシステムを介して管理される。つまり、UEがIMSネットワークを離れる前に、UEとIMSネットワークにおける他のネットワーク要素の間、またはUEと、IMSネットワークを介してUEと通信状態にあるネットワーク要素の間のすべての通信活動は、本発明のファイアウォールシステムを通過する。しかし、ユーザが或る特定の構成を行った場合、そのような構成が、より高い優先度で使用される。
前述したとおり、UE自体がファイアウォールを動作させる場合、UEは、ファイアウォールシステムによって提供される構成モジュールを介して、前述した様々な設定を行うことができ、したがって、対応する構成ファイルがファイアウォールシステムにおいて生成され得る。UEがIMSネットワークを離れた後、UEがIMSネットワークに再び入り、S−CSCF(関連するデータがS−CSCFによって保持されるように構成される、またはファイアウォールシステムと対話することによって取得されることが可能である)またはファイアウォールシステムが、UEと関係する構成情報を見出した場合、既存の構成がUE上で使用されることが可能である。
代替として、UEが、ステップ1で送信される登録要求の中に、ファイアウォールシステムサービスが要求されるか否か、またはファイアウォールシステムによって提供されるいずれの特定の種類のサービスが要求されるかについての識別/特性情報を追加するように構成されることが可能である。このようにして、UEがファイアウォールサービスを有さない場合、S−CSCFは、従来技術が行うとおり、UEを処理すべき通常のIMS端末装置と見なすだけでよい。
以上のことから見て取ることができるとおり、IMSネットワークが本発明のファイアウォールシステムを含むと、UEとIMSネットワークの間、ならびにUEと公共ネットワークの間のすべての通信が、ファイアウォールシステムによって管理される。IMSネットワークを介するUEから/へのすべての要求は、ファイアウォールを通過する。つまり、ファイアウォールは、IMSネットワーク、およびIMSに(有線または無線)接続された他の公共ネットワークを攻撃から遮蔽することができる。その結果、既存のIMSネットワークにおけるユーザ機器のためにネットワークレベルのファイアウォールが全く存在せず、ユーザが、端末装置上で動作するファイアウォールによってしかユーザの通信の安全を確実にすることができないという問題が、克服される。
本発明のファイアウォールシステムは、IMSネットワーク、およびIMSネットワークを介する外部ネットワークを発信元とする攻撃からUEを遮蔽することができる。しかし、アクセスネットワークがセキュリティで保護されたネットワークではない、またはいくつかのユーザ機器がセンシティブな情報を担持している事例に関して、より包括的な保護が所望される可能性がある。この状況において、UEとファイアウォールシステムの間でVPN接続が使用されることが可能であり、その結果、アクセスネットワークからの攻撃がUEに関して遮蔽され得る。そのようなVPN接続は、UEおよびファイアウォールシステムに適した任意のタイプのVPN接続、例えば、MPLS、VPN、IPSec VPNなどであることが可能である。
本発明におけるIMSネットワーク端末装置とは、IMSネットワーク内に配置された、または様々なタイプのアクセスネットワークを介してIMSネットワークにアクセスする、無線/有線通信能力を有する通信相手を指す。
通信ノードまたは通信ユニットとも呼ばれる本発明のネットワーク要素とは、ソフトウェアによって、ハードウェアによって、またはソフトウェアとハードウェアの組合せによって実施され得る、ネットワークにおいて通信能力を有するエンティティを指す。
ファイアウォールシステム、IMS端末装置、IMSネットワーク要素などの、本発明におけるエンティティは、ソフトウェアによって、ハードウェアによって、またはソフトウェアとハードウェアの組合せによって実施されることが可能である。実施のプロセスにおいて、本発明において説明されるモジュールおよびインタフェースに対してさらなる組合せ、またはさらなる分割が行われることが可能である。さらに、本発明におけるIMSネットワーク内の様々なエンティティ、およびファイアウォールシステムは、独立型であっても、分散型であってもよい。さらに、そのようなエンティティおよびファイアウォールシステムは、ネットワーク内の単一の通信ノード上、またはネットワーク内の同一の通信ノード上に配置されることが可能である。例えば、ファイアウォールシステムは、S−CSCFが配置された通信ノード上に完全に/部分的に配置され、この通信ノードは、S−CSCFの実施の全体/一部分を含むことが可能である。
以上に本発明の例示的な実施形態を詳細に説明するものの、本発明の原理によれば、組み合わせること、および分割することを含め、本開示に対する、特定のアプリケーション環境に適合させるための修正、変更、変形、および改良がすべて実行可能であり、それでも、そのような修正、変更、変形、および改良が本発明の趣旨を逸脱しない限り、本発明の保護範囲に含まれることが、当業者には理解されよう。
本発明は、ネットワーク通信に関し、より詳細には、IMSネットワークにおける端末装置の通信セキュリティを強化するための方法およびシステムに関する。
様々なタイプのネットワークの使用が普及するにつれ、人々は、通信するのに、さらに様々なリソースを取得するのにネットワークにますます依存する傾向にある。しかし、多数のネットワークベースの技術の急速な成長とともに、ネットワーク犯罪が絶えることがなく、ネットワークのセキュリティが、広く人々の懸念を生じさせている。実際、ほとんどのネットワーク犯罪は、データ傍受の形態だけでなく、ネットワークに侵入して、データに許可なくアクセスすること、あるいはデータを交換すること、データを破壊すること、ネットワークリソースを許可なく使用することなども含む。明らかに、ユーザにとって、データのプライバシー、および通信のセキュリティは、大きな脅威に悩まされてきた。
ネットワークリソースをネットワーク攻撃から保護するために、ネットワークのセキュリティを保証するファイアウォールが提案されている。ファイアウォールの使用によって、データの保護が実現され、ネットワークリソースがネットワーク侵入者によって荒らされる可能性から遮蔽される。ファイアウォールの成功は、ネットワーク要素がネットワークから攻撃を受けることがない、または許可なく探られることがないことなどを確実にしながら、ネットワーク要素が他の通信ノードと通信し、対話することを可能にする。
ネットワークサービス上のユーザのますます多様な要件を満たすため、3GPPが、リリース5仕様においてIMSシステム(IPマルチメディアサブシステム)を提案している。そのようなシステムは、オープンSIP/IPプロトコルに基づいて、アクセスに関係がなく、より豊かなサービスを提供するように様々なマルチメディアサービスタイプをサポートするプラットフォームをセットアップする。このシステムは、セルラ移動体通信ネットワーク、従来の固定ネットワーク、およびインターネットなどの複数の技術を組み合わせて、将来の完全IPネットワークベースのマルチメディアアプリケーションのためのユニバーサルサービスインテリジェンスプラットフォームを提供するとともに、将来のネットワーク展開におけるネットワーク統合のための技術的基礎も提供する。IMSの多数の特性が、IMSが将来のネットワーク統合、および展開の方向を実現するための理想的なソリューションとなることを可能にする。
IMSネットワークは、インターネットに接続されるので、IPプロトコルベースの、オープンなネットワークアーキテクチャが、異なる様々なサービスが、複数の様々なアクセスの方式を使用することによってサービスプラットフォームを共有することを可能にし、このため、ネットワークの柔軟性、および端末装置の間の共有性を高める。しかし、IMSのセキュリティ要件は、IMSがIPを基礎にして確立されるため、従来の事業者による独立したネットワーク上の動作のセキュリティ要件と比べて、はるかに高く、したがって、IMSのセキュリティ問題は、移動体アクセスであるか、固定アクセスであるかにかかわらず、無視され得ない。したがって、公共ネットワークと通信し、対話しているネットワーク要素として、IMSネットワークにおける通信端末装置が、攻撃、および許可のないアクセスから通信端末装置自らを保護するように通信端末装置独自のファイアウォールを有することが極めて重要である。しかし、すべてのIMS端末装置が、ファイアウォールを実行するのに十分なメモリおよび計算能力を有するわけではない。個々のファイアウォールシステムをインストールしているIMS端末装置の場合でさえ、ファイアウォールメンテナンス、例えば、ファイアウォールが適時に更新されているかどうか、ファイアウォールが正しく構成されているかどうか、ファイアウォールシステムが十分に強力であるかどうかなども問題である。さらに、ネットワークセキュリティ構成を保守することは、IMSユーザには、特に、十分な関連する知識を有さないユーザには、大きな作業負荷を意味し、つまり、ユーザは、保守することに多くの時間と労力を費やさなければならないだけでなく、ネットワークセキュリティと関係する、少なくともファイアウォールの使用と関係する十分な知識を有している必要もある。
さらに、遠隔通信ネットワークは、通常のコンピュータネットワークと比べて、より多くのデバイス(例えば、移動電話機、PDAなど)を有することが知られている。しかし、PCとは異なり、これらの移動デバイスは、高い性能のファイアウォールを実行する十分なリソース(例えば、CPU、メモリなど)を通常、欠いており、さらに、旧来の電話デバイスなどの多くのレガシーアクセスデバイスは、ファイアウォールソフトウェア/ハードウェアをインストールするのに不適格である。実際、そのような移動デバイスの潜在的なセキュリティ上の危険性は、直ちに解消される必要がある。したがって、IMSネットワークにおける端末装置のセキュリティを保護しながら、ファイアウォールの運用および構成の負担からIMS端末装置ユーザをどのように解放するかは、緊急に解決されるべき問題である。
前述した問題を解決するのに、本発明は、ファイアウォールの運用および構成の負担からIMS端末装置ユーザを解放する、またはそのような負担を完全に解消しさえする、IMSネットワークにおける端末装置にファイアウォールを提供する方法、ならびにIMSネットワーク端末装置にセキュリティ保護を提供するためのファイアウォールシステムを提案する。
本発明の一実施形態によれば、
IMSネットワークにおいてファイアウォールシステムを設定するステップと、
ファイアウォールシステムが、ネットワーク要素から、端末装置にファイアウォールを提供する要求を受信すると、端末装置の識別情報を取得するステップと、
ファイアウォールシステムの識別情報を端末装置、および関連するネットワーク要素に送信するステップと、
ファイアウォールシステムによって端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するステップであって、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介して端末装置と通信するネットワーク要素を含むステップとを含む、IMSネットワークにおける端末装置にファイアウォールを提供する方法が提供される。
オプションとして、ネットワーク要素は、S−CSCF、またはS−CSCFの信頼する相手である。
ただし、端末装置およびファイアウォールシステムの識別情報は、端末装置およびファイアウォールのIPアドレス、MACアドレス、ユーザID、ファイアウォール通し番号、または以上の任意の組合せを備える。
オプションとして、ファイアウォールシステムは、要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手にファイアウォールシステムの識別情報を送信し、次に、要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手が、その識別情報をその端末装置に送信する、あるいはファイアウォールシステムが、要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手、およびその端末装置にファイアウォールシステムの識別情報をそれぞれ送信する、またはファイアウォールシステムが、要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手、およびその端末装置のいずれかにファイアウォールシステムの識別情報を送信する。
オプションとして、要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手は、その端末装置、および関連するネットワーク要素にファイアウォールシステムの識別情報を送信する。オプションとして、この送信することは、そのファイアウォールシステムに要求メッセージを送信する際/送信した後に、あるいはそのファイアウォールシステムにその要求メッセージを送信することを決定する際/決定した後に実行されることが可能である。
オプションとして、デフォルトの設定は、その端末装置がIMSネットワークに入り、登録要求またはセッション要求を開始すると、その要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手が、端末装置にファイアウォールを提供することを求める要求をそのファイアウォールシステムに送信することである。
オプションとして、その端末装置がIMSネットワークに入り、登録要求またはセッション要求を開始する際、その端末装置にファイアウォールを提供する必要があるかどうか、またはそのファイアウォールシステムが或る特定のサービスを提供する必要があるかどうかについての識別情報が、その登録要求またはセッション要求の中で伝送される。
オプションとして、要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手が、その端末装置によって送信された要求の中で伝送された識別情報を識別し、この識別情報が、その端末装置にファイアウォールを提供する必要がないことを示す場合、その端末装置にファイアウォールを提供する要求を送信しない。
オプションとして、ファイアウォールシステムが、その端末装置によって送信された要求の中で伝送された識別情報を識別し、この識別情報が、その端末装置にファイアウォールを提供する必要がないことを示す場合、その端末装置にファイアウォールサービスを提供しない。
オプションとして、ファイアウォールシステムが、その端末装置によって送信された要求の中で伝送された識別情報を識別し、この識別情報が、その端末装置に或る特定のファイアウォールサービスを提供する必要があることを示す場合、その端末装置に、要求された特定のファイアウォールサービスを提供する。
オプションとして、この特定のファイアウォールサービスは、その端末装置とそれらの他のネットワーク要素の間のすべての通信活動を管理している、またはその端末装置とそれらの他のネットワーク要素の間の通信活動の一部分を管理している。
好ましくは、そのファイアウォールシステムは、構成モジュールをその端末装置に提供し、それにより端末装置とそれらの他のネットワーク要素の間の通信活動を管理していない、部分的に管理している、または完全に管理しているとして、端末装置がファイアウォールを設定することができる。
好ましくは、通信活動のその部分は、通信プロトコルのタイプ、他のネットワーク要素が位置しているロケーション区域、その端末装置の訪問先/訪問元のリソースのタイプ、セキュリティレベル、感度、プライバシー度などに応じて分類されることが可能である。
本発明の一実施形態によれば、
情報を送受信するための通信インタフェースと、
通信インタフェースを介して要求を送信するネットワーク要素から、端末装置にファイアウォールを提供する要求を受信すると、端末装置の識別情報を取得するための情報取得モジュールと、
この識別情報を受信した後、通信インタフェースを介してその端末装置および/または関連するネットワーク要素にファイアウォールシステムの識別情報を送信するため、およびその端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための通信管理モジュールとを備え、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信状態にあるネットワーク要素を含む、IMSネットワークにおけるファイアウォールシステムが提供される。
本発明の別の態様によれば、
情報を送受信するための通信インタフェースと、
通信インタフェースを介してネットワーク要素から、端末装置にファイアウォールを提供することを求める要求を受信すると、端末装置の識別情報を取得するための情報取得モジュールと、
この識別情報が受信され、ファイアウォールシステムの識別情報が、そのネットワーク要素、またはそのようなネットワーク要素の信頼する相手によって、その端末装置および/または関連するネットワーク要素に供給された後、その端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための通信管理モジュールとを備え、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信状態にあるネットワーク要素を含む、IMSネットワークにおけるファイアウォールシステムが提供される。
ただし、通信管理モジュールは、端末装置がファイアウォールサービスを必要とするか否か、および/または或る特定のサービスが要求されるかどうかを示す、その要求の中で伝送された識別情報を識別し、その端末装置にファイアウォールを提供する必要がないことを示す伝送された識別情報を識別した場合、そのファイアウォールシステムは、その端末装置にファイアウォールサービスを提供せず、その端末装置に或る特定のサービスを提供する必要がある場合、その端末装置に或る特定のサービスを提供する。
好ましくは、そのファイアウォールシステムは、その端末装置ユーザに構成機能を提供するために使用される構成モジュールをさらに備える。
本発明の別の態様によれば、ネットワーク要素から、端末装置にファイアウォールを提供することを求める要求を受信すると、端末装置の識別情報を取得するため、およびその端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信状態にあるネットワーク要素を含む、IMSネットワークにおけるファイアウォールシステムが提供される。
本発明の別の態様によれば、
情報を送受信するための通信インタフェースと、
端末装置から情報が受信されると、端末装置がファイアウォールサービスを必要とするか否かを判定するため、さらに「はい」である場合、その端末装置にファイアウォールサービスを提供する要求メッセージをファイアウォールシステムに送信するためのサービス制御モジュールと、
通信インタフェースを介してファイアウォールシステムからファイアウォールシステムを識別する識別情報を受信すると、その端末装置に識別情報を送信するため、またはその要求メッセージを送信する必要があると判定した後、そのファイアウォールシステムの格納された識別情報をその端末装置に送信するため、およびその端末装置に向けられたすべての情報を、その端末装置にではなく、そのファイアウォールシステムに送信するための通信制御モジュールとを備える、IMSネットワークにおけるネットワーク要素が提供される。
ただし、そのネットワーク要素は、ソフトウェアを介して、ハードウェアを介して、またはソフトウェアとハードウェアの組合せを介して実施されることが可能である。
本発明の別の態様によれば、
情報を送受信するための通信インタフェースと、
通信インタフェースを介してネットワーク要素またはファイアウォールシステムから、ファイアウォールの識別情報を含むメッセージを受信すると、識別情報を取得するための識別情報取得モジュールと、
端末装置が他のネットワーク要素と通信する必要があるたびに、その識別情報を取得した後、そのファイアウォールシステムを介してそれらの他のネットワーク要素に、対応する通信情報を送信し、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信状態にあるネットワーク要素を備える、通信管理モジュールとを備える、IMSネットワークにアクセスするための端末装置が提供される。
本発明の別の態様によれば、
IMSネットワークに入ると、登録要求またはセッション要求を開始するための、IMSネットワークにアクセスする端末装置と、
この登録要求またはセッション要求を受信すると、端末装置にファイアウォールを提供することを求める要求をファイアウォールシステムに送信するためのネットワーク要素と、
この要求を受信すると、その端末装置の識別情報を取得するため、およびその端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信状態にあるネットワーク要素を含む、IMSネットワークシステムが提供される。
本発明の別の態様によれば、IMSネットワークにおける端末装置と、IMSネットワークにおけるネットワーク要素と、前述したファイアウォールシステムとを備える、IMSネットワークシステムも提供される。
本発明の別の態様によれば、前述の方法のいずれか1つを実行するため、または前述のファイアウォールシステムまたはネットワーク要素または端末装置のいずれか1つを実行するための実行可能コードを備える、コンピュータプログラム製品も提供される。
本発明の方法およびファイアウォールシステムは、IMS端末装置とネットワークの間のトランザクションのセキュリティを保護しながら、IMS端末装置ユーザの負担を大幅に軽減すること、またはそのような負担を完全に解消しさえすることができる。ファイアウォールを既に実行したIMS端末装置の場合、本発明の方法およびシステムによって、それらの端末装置に二重のファイアウォールの保護が与えられ、さらにそれらの端末装置は、本発明を使用することによって、更新支援、構成支援などの付加価値サービスも提供され、このため、端末装置の負担が軽減される。一方、ファイアウォールを実行するのに十分なメモリ空間および計算能力を有さないIMS端末装置の場合、またはファイアウォールのメンテナンスおよび構成について十分な知識を有さないユーザの場合、本発明のファイアウォールシステムは、そのようなIMS端末装置またはユーザに保護を提供するために選択されることが可能であり、その結果、それらの端末装置にかかる負担が完全に解消される。いずれにしても、本発明によって提案されるファイアウォールは、IMSネットワークにおいて展開されているシステムであり、IMS端末装置とは独立しているので、ユーザ機器上のリソースを全く使用しない。さらに、ユーザは、メンテナンスがサービスプロバイダによって行われるので、メンテナンスのために全く努力する必要がない。さらに、IMS端末装置上で実行されるファイアウォールと比べて、このファイアウォールシステムは、より強力であるとともに、IMS端末装置の通信セキュリティをよりよく保護するように適時に更新されることが可能である。
本発明のよりよい理解が、図を参照して後段の詳細な説明を読むことによって容易に得られよう。しかし、図、ならびに本明細書の文章部分において例示されるネットワーク環境および方法の流れは、すべて例示的であり、これらは、単に、本発明の基本的な考え方を説明するのに使用され、本発明を限定するものと見なされるべきではないことに留意されたい。
本発明の実施形態によるIMS端末装置にファイアウォールシステムを提供するネットワークアーキテクチャを示す図である。 本発明の実施形態によるファイアウォールシステムの例示的な構造を示す図である。 本発明の実施形態によるIMSネットワークにおけるS‐CSCFの例示的な構造を示す図である。 本発明の実施形態によるIMS端末装置の例示的な構造を示す図である。 本発明の実施形態によるIMSネットワークに入ると登録またはセッションを開始するIMS端末装置を示す流れ図である。
本発明の原理により、図1は、IMS端末装置にファイアウォールシステムを提供する例示的なネットワークアーキテクチャを示す。図1で見て取ることができるとおり、UE(ユーザ機器)がアクセスネットワークからIMSネットワークを訪問し、ただし、このUEは、通信能力を有する任意の端末装置、例えば、デスクトップのような固定端末装置、あるいはPDA(携帯情報端末)、ハンドセット、ノートブック、ポータブル通信デバイスなどの移動端末装置であることが可能である。ただし、アクセスネットワークは、GPRS(GSM/UMTSネットワークにおける)、ADSL(非対称デジタル加入者線における)、またはWLAN(無線ローカルエリアネットワークにおける)などのIP−CAN(IP接続アクセスネットワーク)であることが可能である。さらに、図1に示されるIMSネットワークは、様々なネットワーク要素、例えば、P−CSCF(プロキシCSCF)、I−CSCF(問合せCSCF)、S−CSCF(サービングCSCF)、他の通信ノード(ルータやスイッチなどの)などを含むことが可能である。さらに、図1は、IMSネットワークに結合されたインターネットまたは他の公共ネットワークも示し、ただし、それらの他の公共ネットワークは、IMSネットワークに接続されることが可能であり、IMSネットワークを介して訪問されることが可能な任意のタイプのネットワークであることが可能である。
さらに、図1に示されるネットワークアーキテクチャにおいて、IMS端末装置を保護するファイアウォールシステムがIMSネットワークに導入される。IMS端末装置がIMSネットワークに登録すると、またはUEがIMSネットワークにおける関係のある構成要素(例えば、P−CSCF)に対するセッション要求を開始して、本発明のファイアウォールシステムによって提供されるサービスを取得する許可を得ると、IMSネットワークにおけるファイアウォールシステムが、通信セッションのセキュリティ、およびUEのリソースを保護する。通常、デフォルトの設定は、IMSネットワークに登録されたすべてのユーザ機器がこのサービスを有するように構成されることが可能である。つまり、ファイアウォールシステムがすべてのIMS端末装置のセキュリティについてのすべての問題を管理することがデフォルトである。このサービスを有するユーザ機器の場合、そのUEと他の通信デバイスの間のすべての通信セッション/接続が、ファイアウォールシステムによって管理される。そのような他の通信デバイスは、図1に示されるインターネットおよび公共ネットワークなどからの、IMSネットワークを介してUEと通信するネットワーク要素を備える。
IMSネットワークにおける関連するネットワーク要素、すなわち、P−CSCF、I−CSCF、S−CSCFなどの、UEが、使用中に使用されるネットワーク仕様/プロトコル/特定の構成に応じて他の通信ノードを相手にセッション/接続を確立する際に一般に関与するネットワーク要素。
IMSネットワークにおける他のネットワーク要素、すなわち、UEが通信する通信相手。前述の「関連するネットワーク要素」と対比して、これらのネットワーク要素は、「関係のないネットワーク要素」と呼ばれることも可能であり、つまり、UEが、特定のネットワーク仕様/プロトコル/詳細な設定に応じて他の通信ノードを相手にセッション/接続を確立する際に、通常、関与している必要がないネットワーク要素である(もちろん、「関与している必要がない」という表現は、この場合、絶対的ではなく、例えば、UEがS−CSCFと通信することを意図する場合、明らかに、S−CSCFはUEのいわゆる通信相手である)。
つまり、ファイアウォールシステムは、IMSネットワークにおけるUEのエージェントの役割をし、したがって、UEからのいずれの情報も、ファイアウォールシステムをまず通過しなければならず、その後、IMSネットワークにおける他のネットワーク要素に送信され、さらにIMSネットワークを介してUEに向かういずれの情報も、やはり、ファイアウォールシステムをまず通過する必要があり、その後、UEに送信され、その結果、UEと公共ネットワークの間の安全な通信が保証される。
本発明の実施形態によれば、図2は、ファイアウォールシステムの例示的な構造図を示す。ただし、このファイアウォールシステムは、UE、S−CSCFなどの他のネットワーク要素から情報を受信するため、およびそれらのネットワーク要素に関連する情報を送信するための通信インタフェースと、通信インタフェースを介してS−CSCF、またはS−CSCFの信頼する相手から、端末装置にファイアウォールを提供することを求める要求を受信すると、端末装置の識別情報を取得するための情報取得モジュールと、端末装置の識別情報を受信した後、通信インタフェースを介して端末装置および/または関連するネットワーク要素にファイアウォールシステムの識別情報を送信するため、および端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための通信管理モジュールとを備える。
この場合、前述したとおり、それらの他のネットワーク要素は、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信することになるネットワーク要素を含む。
通信インタフェース、情報取得モジュール、および通信管理モジュールの他に、図2は、ファイアウォールシステムに含められ得る他の構成要素をさらに示す。図2は、これらの構成要素を示しているものの、これらの構成要素は、本発明のファイアウォールシステムを実施するのに不必要であることに留意されたい。つまり、これらの構成要素は、本発明のファイアウォールシステムがUEに追加の/強化された機能を提供することを可能にする。
オプションとして、本発明のファイアウォールシステムは、ユーザが、必要に応じてユーザのファイアウォール構成を変更する構成モジュールも提供する。具体的には、情報取得モジュールが、通信インタフェースを介して受信された情報がファイアウォールに対するユーザの構成情報であることを見出すと、対応するファイアウォール構成サービスが、構成モジュールを介してユーザに提供される。
オプションとして、ユーザは、構成モジュールを介して構成を行うことができ、ユーザの構成は、通信管理モジュールによって実施される。好ましくは、ファイアウォールシステムは、ユーザに関して対応する構成ファイルを生成し、それらのファイルをユーザ情報データベースの中に格納することができる。ユーザ情報データベースは、ファイアウォールシステムと同一の物理ノード上で動作してもよく、さらに他の物理ノード上、またはバックグラウンドサーバ上に分散されてもよい。
構成モジュールを使用して、ユーザは、ユーザのいずれの通信活動がファイアウォールシステムによって管理され得るかを構成することができ、例えば、ユーザの通信活動のすべてではなく、ユーザの通信活動の一部分だけが管理される。
一方、ファイアウォールを既にインストールしているUEの場合、ユーザは、構成モジュールを介して、ファイアウォールが、このファイアウォールシステムによって管理されないように構成することができる。もちろん、ユーザは、それでも、このファイアウォールシステムの管理を受け入れてもよい(この時点で、UE上で実行されているファイアウォールと、本発明のファイアウォールシステムの両方が、UEの通信の安全を保護するのに使用され、つまり、UEは、2重の保護を得る)。ユーザがいずれの構成を選択しても、本発明は、UEユーザに、ユーザの負担を軽減するアプローチを提供している。
好ましくは、構成モジュールは、UEユーザに他の付加価値サービスを提供することもできる。具体的には、ファイアウォールをインストールしているUEに関して、構成モジュールを介して対応する構成が行われ、本発明のファイアウォールシステムは、UE上で実行されているファイアウォールに、以下の様々なサポートを提供することができる:
セキュリティホールが存在するかどうか(例えば、UE上に最新のオペレーティングシステム(OS)パスがインストールされているかどうか、UE上で動作しているソフトウェアがセキュリティ問題を生じさせているかどうかなど)を検査するようにUEをスキャンする、ホールスキャン。スキャン結果は、ユーザに通知される、またはユーザの構成に基づいて、それらのホールを自動的に修復する。
UEにリアルタイム更新または安全なダウンロードパスを提供する、リアルタイム更新。本発明のファイアウォールシステム自体、リアルタイム更新を行うことができるので、ファイアウォールシステムは、UE上で動作しているファイアウォールに必要なすべての種類のリアルタイム更新情報を提供することができる。したがって、UEが、インターネットなどの他の公共ネットワーク、またはIMSネットワークを介する他の通信ノードから更新を取得する必要がなく、その結果、ネットワークにおけるトラフィックが低減され、ネットワーク輻輳の可能性が低減される。さらに、このことは、UEが安全でないサイトから更新をダウンロードすることを防止し、またはダウンロード更新中の可能な攻撃を回避し、その結果、UEの通信の安全が強化される。その一方で、このことは、更新を取得するためのUEの待ち時間を短縮し、その結果、サービス品質QoSが向上する。
更新を確認すること。更新を確認することは、UE上にインストールされていない更新が存在することを見出すと、対応する更新をインストールすることをユーザに通知する、またはユーザの構成に基づいて、更新を自動的にインストールする。
ファイアウォールの構成を確認すること。問題が見出された場合、関連する問題を、好ましくは、好ましいソリューションを、ユーザに通知する、あるいはユーザの構成に基づいて、構成更新を自動的に実行する。
構成支援を提供すること。構成支援を提供することは、説明文書や実演ビデオなどの、ユーザがUE自らのファイアウォールを構成するのに、より豊富な技術サポートを提供することができ、あるいはユーザの代わりにファイアウォールシステムが、ユーザの構成を介して、UE上で動作しているファイアウォール上でいくつかの構成を実行することを可能にすることもできる。このようにして、ファイアウォールシステムは、ユーザがユーザの機器上のファイアウォールを保守するのを支援することができる。明白に、ファイアウォールシステムは、関係のある経験/知識を欠いているユーザにファイアウォールメンテナンス作業をはるかに容易にする。
障害修復。障害修復とは、ユーザが、ファイアウォールシステムの構成インタフェースを介して対応する構成を行った場合、UE上で動作しているファイアウォールに動作不良が生じると、UEが、障害レポートまたは障害アラートをユーザとファイアウォールシステムの両方に送信することが可能であり、あるいはファイアウォールシステムだけに送信することが可能であることを意味する(特定の実施の方式は、ユーザの設定に依存する)。さらに、障害修復は、ファイアウォールシステムが、ユーザの設定に基づいて、UEにおける障害を自動的に修復することを可能にすることができる。この事例において、ファイアウォールシステムの通信インタフェースがUEから異常メッセージを受信すると、ファイアウォールシステムは、ユーザに取って代わって、ユーザのファイアウォール上の対応する修復/回復作業を行うことができる。
UE上で動作しているファイアウォールを使用可能にすること、および使用不可にすること。すなわち、ユーザの設定に基づいて、UEがファイアウォールシステムに接続されると、UE上で動作しているファイアウォールを使用不可にすること、およびUEがファイアウォールシステムから切断されると、UE上で動作しているファイアウォールを使用可能にすること。この機能は、UEを保護する作業が本発明のファイアウォールシステムによってプロビジョニングされながら、Eのリソースを、より重要なタスクに適用することを助ける。
構成ファイルを生成すること。すなわち、ユーザの設定に応じて、ユーザが構成を更新しない限り、UEがIMSネットワークに次回にアクセスした際に、生成された構成ファイルの中の設定をUEにデフォルトで適用すること。
ウイルス対策機能。すなわち、ユーザの設定に応じて、ウイルス対策保護、スキャン、ウイルスデータベース更新などを実行するようにUEを支援すること、またはUE上のウイルス対策ソフトウェアを置き換えること。この状況において、本発明のファイアウォールシステムは、ファイアウォールおよびウイルス対策/ウイルス駆除という2つの機能をUEに提供することができ、その結果、UEの負担がさらに軽減される。
前述の機能をよりよく実施するために、ユーザの構成情報を格納するデータベースまたは記憶媒体がファイアウォールシステム内に配置されることが可能であり、あるいは前述の機能のそれぞれに対応する情報データベースまたは情報エンジンが、それぞれ配置されることが可能である。もちろん、ファイアウォールシステムは、より強力なバックグラウンドデータベースに、あるいはホールスキャンエンジン/ホールデータベース、情報更新エンジン/データベース、更新確認エンジン、構成確認エンジン、構成支援エンジン(説明文書データベース、ビデオ実演データベースなどを含む/そのようなデータベースに接続されることが可能な)、障害修復エンジン、ユーザ構成情報データベース、ウイルスデータベースなどの別個のデータベースまたはエンジンにリンクされることも可能である。
本発明の実施形態によれば、図3は、IMSネットワークにおけるS−CSCFなどのネットワーク要素の例示的な構造を示す。図に示されるとおり、このネットワーク要素は、情報を送受信するための通信インタフェースと、端末装置から登録要求/セッション要求を受信すると、端末装置がファイアウォールサービスを必要とするか否かを判定するため(前述したとおり、この場合、デフォルトの設定は、端末装置がそのサービスを必要とすることであっても、送信された要求の中で端末装置によって設定された識別情報を介して判定することであってもよい)、および「はい」である場合、その端末装置にファイアウォールサービスを提供する要求メッセージをファイアウォールシステムに送信するためのサービス制御モジュールと、通信インタフェースを介してファイアウォールシステムから、ファイアウォールシステムを識別する識別情報を受信すると、この識別情報をその端末装置に送信するため、またはその要求メッセージを送信する必要があると判定した後、そのファイアウォールシステムの格納された識別情報をその端末装置に送信するための通信制御モジュールとを備え、さらに、この通信制御モジュールが、その端末装置に向けられたすべての情報をそのファイアウォールシステムに送信し、その後、ファイアウォールシステムによって端末装置に情報を送信するのに使用される。
オプションとして、S−CSCFによって実施される前述の機能は、S−CSCFの信頼する相手に完全に、または部分的に移されることが可能であり、対応する機能を実施するのは、この信頼する相手である。信頼する相手が前述の機能を担う場合、信頼する相手は、必要とされる場合、S−CSCFなどのIMSネットワークにおける構成要素と通信することができる。
本発明の実施形態によれば、図4は、IMSネットワークにアクセスする端末装置の例示的な構造を示す。図に示されるとおり、この端末装置は、情報を送受信するための通信インタフェースと、通信インタフェースを介して、S−CSCFもしくはS−CSCFの信頼する相手、またはファイアウォールシステムからファイアウォールの識別情報を含むメッセージを受信すると、識別情報を取得するための識別情報取得モジュールと、この識別情報を取得した後、端末装置がそれらの他のネットワーク要素と通信する必要があるたびに、そのファイアウォールシステムを介してそれらの他のネットワーク要素に、対応する通信情報を送信するための通信管理モジュールとを備え、それらの他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介してその端末装置と通信状態に入るネットワーク要素を備える。
図5は、UEが、アクセスネットワークを介して、本発明のファイアウォールシステムを含むIMSネットワークにアクセスする際に実行される登録段階/セッションを開始することのフローを示す。ただし、図5に示されるステップ1−5は、従来技術におけるUEによるセッション/登録を開始するプロセスであり、すなわち、UEが、登録メッセージをP−CSCFに送信し、次に、P−CSCFがこのメッセージをI−CSCFに転送する。I−CSCFが、HSSに問い合わせることによって(例えば、本明細書で使用されるCxインタフェースを介して)ユーザのためのS−CSCFを選択する。その後、S−CSCFがHSSと対話し、さらにユーザ認証を実行する。具体的には、S−CSCFは、HSSからユーザプロファイルをダウンロードする。このユーザプロファイルは、比較的重要な情報であり、ユーザ情報の他に、ユーザプロファイルは、サービスを提供するアプリケーションサーバにいつSIP要求を転送すべきかを決定するフィルタリング規則をさらに含む一方で、これらのフィルタリング規則が、トリガ条件のセットを構成する。IMSネットワークにおけるサービスとして、本発明のファイアウォールサービスのトリガは、フィルタリング規則の中に保存されることも可能である。
ステップ6および7:フィルタリング規則に基づいて、S−CSCFは、UEからの要求が、ユーザにサービスを提供する1つまたは複数のアプリケーションサーバを通過する必要があるかどうかを判定することができる。S−CSCFは、要求された特定のサービスを提供することはしないものの、これらのサービスを実行するようアプリケーションサーバをトリガする。ユーザがファイアウォールサービスを有する場合(デフォルトの設定は、すべてのユーザがこのサービスを有することである)、S−CSCFは、図5における「F/W要求」のような登録情報をファイアウォールシステムに送信する。この要求は、UEのアドレス情報などのUEの識別情報を含み、さらに、ファイアウォールの特定の性能に依存して、P−CSCFのアドレス、ホームネットワーク交信情報、ユーザID(公開ユーザIDおよびプライベートユーザID)などの情報が、実際の必要性に応じて、この要求の中に備えられることが可能である。
ただし、この識別情報は、数字、アルファベット、文字、または以上の組合せの形態であることが可能な、UEを一意に識別することができる任意のタイプの情報であり得る。さらに、この識別情報は、任意の種類、例えば、MACアドレス、ユーザID、UEのIPアドレスなど、あるいは以上の情報の組合せであることが可能である。
ステップ8:ファイアウォールは、例えば、ユーザIDまたは他の情報に基づいて、ユーザに対する必要な許可確認を実行して、ユーザがファイアウォールシステムによって提供されるサービスを使用することを許可されていることを確実にする。ファイアウォールシステムとIMSネットワークが異なるネットワーク供給業者に属する場合、そのような許可確認が有益であるが、もちろん、この確認は、強制的ではなく、この確認を実行するか否かは、特定のアプリケーション要件に依存する。ファイアウォールシステムとIMSネットワークが同一のネットワーク供給業者に属する場合、サービス制御は、S−CSCFにおいて行われることが可能であり、すなわち、UEがIMSネットワークにアクセスすることを許可されたユーザであるかどうか判定すること、およびステップ8は、ファイアウォールシステムにおいて省略され得る。
ステップ9、10、および11:UEが、ファイアウォールシステムの許可されたユーザである場合、ファイアウォールシステムは、200(OK)メッセージをUEに送信する(ステップ9)。ただし、このメッセージは、アドレス情報などの、ファイアウォールを一意に識別することができる識別情報を含み、したがって、UEおよび関連する他のIMS構成要素(P−CSCFやS−CSCFなどの)は、そのファイアウォールがUEのファイアウォールであることを知る。このメッセージを受信すると、UEおよび関連する他のIMS構成要素は、UEおよび関連する他のIMS構成要素の関連する構成を更新する。具体的には、UEは、ファイアウォールのアドレスを、ネットワークと交信するアドレスとして格納する。その後、UEから送信されたすべての要求はまず、ファイアウォールシステムに送信され、次に、これらの要求が、ファイアウォールシステムによってネットワークにおける正しいアドレスに転送される。UEと通信状態にある他のネットワーク要素は、ファイアウォールのアドレスを格納し、UEのアドレスに取って代わるように、このアドレスを使用する。すると、ネットワークとUEの間のすべてのメッセージは、ファイアウォールシステムによって転送される。
オプションとして、ファイアウォールのアドレス情報は、ファイアウォールシステムによってではなく、S−CSCFによって追加されてもよく、さらにステップ10で、ファイアウォールのアドレス情報が追加されている200(OK)メッセージがP−CSCFに送信され、次に、P−CSCFがこのメッセージをUEに送信する(すなわち、ステップ11)。
オプションとして、ファイアウォール自らのアドレス情報を200(OK)メッセージに追加した後、ファイアウォールは、図5に示されるとおり、200(OK)メッセージをS−CSCF、P−CSCF、およびUEに順次に送信しなくてもよい。代替として、ファイアウォールは、このメッセージをS−CSCFおよびUEにそれぞれ送信してもよい。つまり、ファイアウォールは、200(OK)メッセージをUEに直接に送信することが可能であり、ファイアウォールとUEの間の200(OK)メッセージの伝送は、他のプロトコル(H323、HTTPなどの)を使用することが可能である。
オプションとして、ファイアウォールシステムは、200(OK)メッセージをUEだけに送信して、UEにS−CSCFへの通知を行わせてもよい(同様の処理が、200(OK)メッセージがS−CSCFだけに送信される場合に行われる)。
つまり、前述の方式は、特定のアプリケーション構成に応じて、200(OK)メッセージの伝送のために柔軟に選択され得る。
ステップ12、13、および14:更新が完了すると、UEとIMSネットワークにおけるファイアウォールシステムの間の接続を通知する200(OK)応答がファイアウォールシステムに返信される。次に、ファイアウォールシステムが、UEにサービスを提供するためにUEとIMSネットワークの間で機能する。
オプションとして、ファイアウォールシステムがステップ9で200(OK)メッセージを送信するのと同様に、UEも、200(OK)応答をP−CSCF、S−CSCF、およびファイアウォールシステムに順次に送信するのではなく、この応答をP−CSCFおよびファイアウォールシステムにそれぞれ送信し、P−CSCFに、この応答をS−CSCFに転送させることが可能である。
オプションとして、200(OK)メッセージは、送り返されないことも可能であり、代わりに、事前定義された時間の後、UEとIMSネットワークの間の通信がファイアウォールシステムを介して管理される。つまり、UEがIMSネットワークを離れる前に、UEとIMSネットワークにおける他のネットワーク要素の間、またはUEと、IMSネットワークを介してUEと通信状態にあるネットワーク要素の間のすべての通信活動は、本発明のファイアウォールシステムを通過する。しかし、ユーザが或る特定の構成を行った場合、そのような構成が、より高い優先度で使用される。
前述したとおり、UE自体がファイアウォールを動作させる場合、UEは、ファイアウォールシステムによって提供される構成モジュールを介して、前述した様々な設定を行うことができ、したがって、対応する構成ファイルがファイアウォールシステムにおいて生成され得る。UEがIMSネットワークを離れた後、UEがIMSネットワークに再び入り、S−CSCF(関連するデータがS−CSCFによって保持されるように構成される、またはファイアウォールシステムと対話することによって取得されることが可能である)またはファイアウォールシステムが、UEと関係する構成情報を見出した場合、既存の構成がUE上で使用されることが可能である。
代替として、UEが、ステップ1で送信される登録要求の中に、ファイアウォールシステムサービスが要求されるか否か、またはファイアウォールシステムによって提供されるいずれの特定の種類のサービスが要求されるかについての識別/特性情報を追加するように構成されることが可能である。このようにして、UEがファイアウォールサービスを有さない場合、S−CSCFは、従来技術が行うとおり、UEを処理すべき通常のIMS端末装置と見なすだけでよい。
以上のことから見て取ることができるとおり、IMSネットワークが本発明のファイアウォールシステムを含むと、UEとIMSネットワークの間、ならびにUEと公共ネットワークの間のすべての通信が、ファイアウォールシステムによって管理される。IMSネットワークを介するUEから/へのすべての要求は、ファイアウォールを通過する。つまり、ファイアウォールは、IMSネットワーク、およびIMSに(有線または無線)接続された他の公共ネットワークを攻撃から遮蔽することができる。その結果、既存のIMSネットワークにおけるユーザ機器のためにネットワークレベルのファイアウォールが全く存在せず、ユーザが、端末装置上で動作するファイアウォールによってしかユーザの通信の安全を確実にすることができないという問題が、克服される。
本発明のファイアウォールシステムは、IMSネットワーク、およびIMSネットワークを介する外部ネットワークを発信元とする攻撃からUEを遮蔽することができる。しかし、アクセスネットワークがセキュリティで保護されたネットワークではない、またはいくつかのユーザ機器がセンシティブな情報を担持している事例に関して、より包括的な保護が所望される可能性がある。この状況において、UEとファイアウォールシステムの間でVPN接続が使用されることが可能であり、その結果、アクセスネットワークからの攻撃がUEに関して遮蔽され得る。そのようなVPN接続は、UEおよびファイアウォールシステムに適した任意のタイプのVPN接続、例えば、MPLS、VPN、IPSec VPNなどであることが可能である。
本発明におけるIMSネットワーク端末装置とは、IMSネットワーク内に配置された、または様々なタイプのアクセスネットワークを介してIMSネットワークにアクセスする、無線/有線通信能力を有する通信相手を指す。
通信ノードまたは通信ユニットとも呼ばれる本発明のネットワーク要素とは、ソフトウェアによって、ハードウェアによって、またはソフトウェアとハードウェアの組合せによって実施され得る、ネットワークにおいて通信能力を有するエンティティを指す。
ファイアウォールシステム、IMS端末装置、IMSネットワーク要素などの、本発明におけるエンティティは、ソフトウェアによって、ハードウェアによって、またはソフトウェアとハードウェアの組合せによって実施されることが可能である。実施のプロセスにおいて、本発明において説明されるモジュールおよびインタフェースに対してさらなる組合せ、またはさらなる分割が行われることが可能である。さらに、本発明におけるIMSネットワーク内の様々なエンティティ、およびファイアウォールシステムは、独立型であっても、分散型であってもよい。さらに、そのようなエンティティおよびファイアウォールシステムは、ネットワーク内の単一の通信ノード上、またはネットワーク内の同一の通信ノード上に配置されることが可能である。例えば、ファイアウォールシステムは、S−CSCFが配置された通信ノード上に完全に/部分的に配置され、この通信ノードは、S−CSCFの実施の全体/一部分を含むことが可能である。
以上に本発明の例示的な実施形態を詳細に説明するものの、本発明の原理によれば、組み合わせること、および分割することを含め、本開示に対する、特定のアプリケーション環境に適合させるための修正、変更、変形、および改良がすべて実行可能であり、それでも、そのような修正、変更、変形、および改良が本発明の趣旨を逸脱しない限り、本発明の保護範囲に含まれることが、当業者には理解されよう。

Claims (18)

  1. IMSネットワークにおける端末装置にファイアウォールを提供する方法であって、
    IMSネットワークにおいてファイアウォールシステムを構成するステップと、
    ファイアウォールシステムが、ネットワーク要素から、端末装置にファイアウォールを提供することを求める要求を受信すると、前記端末装置の識別情報を取得するステップと、
    ファイアウォールシステムの識別情報を端末装置、および関連するネットワーク要素に送信するステップと、
    ファイアウォールシステムによって前記端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するステップであって、前記他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介して前記端末装置と通信するネットワーク要素を含むステップとを含む、方法。
  2. 前記要求を送信するネットワーク要素がS−CSCFまたはS−CSCFの信頼する相手である、請求項1に記載の方法。
  3. 前記端末装置がIMSネットワークに入り、登録要求またはセッション要求を開始すると、デフォルトの設定が、前記ネットワーク要素が、端末装置にファイアウォールを提供する要求を前記ファイアウォールシステムに送信することである、請求項1から2のいずれか一項に記載の方法。
  4. 前記端末装置がIMSネットワークに入り、登録要求またはセッション要求を開始する際、端末装置にファイアウォールを提供する必要があるかどうか、および/または前記ファイアウォールシステムが或る特定のサービスを提供する必要があるかどうかについての識別情報が、登録要求またはセッション要求の中で伝送される、請求項1から3のいずれか一項に記載の方法。
  5. 要求を送信する前記ネットワーク要素、またはそのようなネットワーク要素の信頼する相手が、前記伝送された識別情報を識別し、前記識別情報が、前記端末装置にファイアウォールを提供する必要がないことを示す場合、端末装置にファイアウォールを提供することを求める要求を送信しない、請求項3または4に記載の方法。
  6. 前記ファイアウォールシステムが、前記伝送された識別情報を識別し、前記識別情報が、前記端末装置にファイアウォールを提供する必要がないことを示す場合、前記端末装置にファイアウォールサービスを提供しない、請求項3および4に記載の方法。
  7. 前記ファイアウォールシステムが、端末デバイスに構成機能を提供し、前記構成機能が、前記通信活動を管理しないこと、部分的に管理すること、または完全に管理すること、端末装置に対してホールスキャンを実行すること、端末装置にリアルタイム更新を提供する、もしくは更新をダウンロードするリンクを提供すること、端末装置の更新条件を確認する、もしくは端末装置に関して自動的に更新すること、端末装置のファイアウォール構成を確認すること、好ましくは、説明文書、実演ビデオ、障害修復を備える構成支援、端末装置上のファイアウォールを使用可能にすること、および使用不可にすること、および構成ファイルを生成することの少なくとも1つを備えることを特徴とする、請求項1から6のいずれか一項に記載の方法。
  8. IMSネットワークにおけるファイアウォールシステムであって、
    情報を送受信するための通信インタフェースと、
    通信インタフェースを介してネットワーク要素から、端末装置にファイアウォールを提供する要求を受信すると、端末装置の識別情報を取得するための情報取得モジュールと、
    前記識別情報を受信した後、通信インタフェースを介して前記端末装置および/または関連するネットワーク要素にファイアウォールシステムの識別情報を送信するため、および前記端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための通信管理モジュールとを備え、前記他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介して前記端末装置と通信状態にあるネットワーク要素を含む、ファイアウォールシステム。
  9. 前記要求を送信するネットワーク要素がS−CSCFまたはS−CSCFの信頼する相手である、請求項8に記載のファイアウォールシステム。
  10. 通信管理モジュールが、端末装置がファイアウォールサービスおよび/または特定のサービスを必要とするか否かについての、前記要求の中で伝送された識別情報を識別し、通信管理モジュールが、前記端末装置にファイアウォールを提供する必要がないことを示す伝送された識別情報を識別した場合、前記ファイアウォールシステムが、前記端末装置にファイアウォールサービスを提供せず、必要とされる場合、前記端末装置に特定のサービスを提供する、請求項8または9に記載のファイアウォールシステム。
  11. 通信インタフェースを介して前記端末装置に構成機能を提供するための構成モジュールをさらに備え、前記構成機能が、前記通信活動を管理しないこと、部分的に管理すること、または完全に管理すること、端末装置に対してホールスキャンを実行すること、端末装置にリアルタイム更新を提供する、もしくは更新をダウンロードするリンクを提供すること、端末装置の更新条件を確認する、もしくは端末装置に関して自動的に更新すること、端末装置のファイアウォール構成を確認すること、好ましくは、説明文書、実演ビデオ、障害修復を備える構成支援、端末装置上のファイアウォールを使用可能にすること、および使用不可にすること、および構成ファイルを生成することの少なくとも1つを含むことを特徴とする、請求項8から10のいずれか一項に記載のファイアウォールシステム。
  12. IMSネットワークにおけるファイアウォールシステムであって、
    情報を送受信するための通信インタフェースと、
    通信インタフェースを介してネットワーク要素から、端末装置にファイアウォールを提供することを求める要求を受信すると、端末装置の識別情報を取得するための情報取得モジュールと、
    前記識別情報が受信された後、さらにファイアウォールシステムの識別情報が、前記要求を送信するネットワーク要素、またはそのようなネットワーク要素の信頼する相手によって、前記端末装置および/または関連するネットワーク要素に供給された後、前記端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための通信管理モジュールとを備え、前記他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介して前記端末装置と通信状態にあるネットワーク要素を備える、ファイアウォールシステム。
  13. 通信管理モジュールが、端末装置がファイアウォールサービスおよび/または特定のサービスを必要とするか否かについての、前記要求の中で伝送された識別情報を識別し、通信管理モジュールが、前記端末装置にファイアウォールを提供する必要がないことを示す伝送された識別情報を識別した場合、前記ファイアウォールシステムが、前記端末装置にファイアウォールサービスを提供せず、必要とされる場合、前記端末装置に特定のサービスを提供する、請求項12に記載のファイアウォールシステム。
  14. 通信インタフェースを介して前記端末装置に構成機能を提供するための構成モジュールをさらに備え、前記構成機能が、前記通信活動を管理しないこと、部分的に管理すること、または完全に管理すること、端末装置に対してホールスキャンを実行すること、端末装置にリアルタイム更新を提供する、もしくは更新をダウンロードするリンクを提供すること、端末装置の更新条件を確認する、もしくは端末装置に関して自動的に更新すること、端末装置のファイアウォール構成を確認すること、好ましくは、説明文書、実演ビデオ、障害修復を備える構成支援、端末装置上のファイアウォールを使用可能にすること、および使用不可にすること、および構成ファイルを生成することの少なくとも1つを含むことを特徴とする、請求項8から13のいずれか一項に記載のファイアウォールシステム。
  15. ネットワーク要素から、端末装置にファイアウォールを提供することを求める要求が受信されると、端末装置の識別情報を取得するため、および前記端末装置と他のネットワーク要素の間の通信活動の少なくとも一部分を管理するための、前記他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介して前記端末装置と通信状態にあるネットワーク要素を備える、IMSネットワークにおけるファイアウォールシステム。
  16. IMSネットワークにおけるネットワーク要素であって、
    情報を送受信するための通信インタフェースと、
    端末装置からメッセージが受信されると、端末装置がファイアウォールサービスを必要とするか否かを判定するため、さらに「はい」である場合、前記端末装置にファイアウォールサービスを提供する要求メッセージをファイアウォールシステムに送信するためのサービス制御モジュールと、
    通信インタフェースを介してファイアウォールシステムからファイアウォールシステムを識別する識別情報を受信すると、前記端末装置に識別情報を送信するため、または前記要求メッセージを送信する必要があると判定した後、前記ファイアウォールシステムの格納された識別情報を前記端末装置に送信するため、および前記端末装置に向けられたすべての情報を、前記端末装置にではなく、前記ファイアウォールシステムに送信するための通信制御モジュールとを備える、ネットワーク要素。
  17. IMSネットワークにアクセスするための端末装置であって、
    情報を送受信するための通信インタフェースと、
    通信インタフェースを介してネットワーク要素またはファイアウォールシステムから、ファイアウォールの識別情報を含むメッセージを受信すると、識別情報を取得するための識別情報取得モジュールと、
    端末装置が他のネットワーク要素と通信する必要があるたびに、前記識別情報を取得した後、前記ファイアウォールシステムを介して前記他のネットワーク要素に、対応する通信情報を送信し、前記他のネットワーク要素が、IMSネットワークにおけるネットワーク要素、および/またはIMSネットワークを介して前記端末装置と通信状態にあるネットワーク要素を備える、通信管理モジュールとを備える、端末装置。
  18. 請求項1から3のいずれか一項に記載の方法を実行するため、または請求項4から7のいずれか一項に記載のファイアウォールシステムを実行するため、または請求項8に記載のネットワーク要素を実行するため、または請求項9に記載の端末装置を実行するための実行可能コードを備える、コンピュータプログラム製品。
JP2011546565A 2009-01-22 2009-01-22 Imsネットワーク端末装置にファイアウォールを提供するための方法、およびファイアウォールシステム Expired - Fee Related JP5694954B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2009/070275 WO2010083648A1 (zh) 2009-01-22 2009-01-22 用于为ims网络的终端提供防火墙的方法及防火墙系统

Publications (2)

Publication Number Publication Date
JP2012516081A true JP2012516081A (ja) 2012-07-12
JP5694954B2 JP5694954B2 (ja) 2015-04-01

Family

ID=42355490

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011546565A Expired - Fee Related JP5694954B2 (ja) 2009-01-22 2009-01-22 Imsネットワーク端末装置にファイアウォールを提供するための方法、およびファイアウォールシステム

Country Status (6)

Country Link
US (1) US20120047569A1 (ja)
EP (1) EP2391059A4 (ja)
JP (1) JP5694954B2 (ja)
KR (1) KR101520142B1 (ja)
CN (1) CN102160331A (ja)
WO (1) WO2010083648A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103905413B (zh) * 2012-12-28 2017-05-03 中国移动通信集团北京有限公司 一种核心网信令传输方法及系统
US8805972B1 (en) * 2013-06-26 2014-08-12 Kaspersky Lab Zao Multi-platform operational objective configurator for computing devices

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004220120A (ja) * 2003-01-09 2004-08-05 Nippon Telegr & Teleph Corp <Ntt> ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体
JP2007097010A (ja) * 2005-09-30 2007-04-12 Fujitsu Ltd 接続支援装置およびゲートウェイ装置
JP2007511971A (ja) * 2003-11-25 2007-05-10 ノキア コーポレイション Ipアドレス結合に基づいてマルチメディアトラフィックをフィルタリングする方法及びシステム
WO2008005296A2 (en) * 2006-07-06 2008-01-10 Lucent Technologies Inc. Media security for ims sessions

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1251446C (zh) * 2002-07-18 2006-04-12 华为技术有限公司 一种防御网络传输控制协议同步报文泛滥攻击的方法
CN100484134C (zh) * 2003-10-10 2009-04-29 华为技术有限公司 下一代网络业务穿越网络地址转换设备/防火墙的方法
US8316128B2 (en) * 2004-01-26 2012-11-20 Forte Internet Software, Inc. Methods and system for creating and managing identity oriented networked communication
US8191116B1 (en) * 2005-08-29 2012-05-29 At&T Mobility Ii Llc User equipment validation in an IP network
CN100514939C (zh) * 2006-12-01 2009-07-15 中国联合网络通信集团有限公司 Ip多媒体通信业务处理系统及实现ip多媒体通信的方法
EP1971101B1 (en) * 2007-03-12 2018-11-21 Nokia Solutions and Networks GmbH & Co. KG A method , a device for configuring at least one firewall and a system comprising such device
CN100583737C (zh) * 2007-05-22 2010-01-20 网御神州科技(北京)有限公司 一种基于用户的安全访问控制的方法及装置
US20100095361A1 (en) * 2008-10-10 2010-04-15 Wenhua Wang Signaling security for IP multimedia services

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004220120A (ja) * 2003-01-09 2004-08-05 Nippon Telegr & Teleph Corp <Ntt> ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体
JP2007511971A (ja) * 2003-11-25 2007-05-10 ノキア コーポレイション Ipアドレス結合に基づいてマルチメディアトラフィックをフィルタリングする方法及びシステム
JP2007097010A (ja) * 2005-09-30 2007-04-12 Fujitsu Ltd 接続支援装置およびゲートウェイ装置
WO2008005296A2 (en) * 2006-07-06 2008-01-10 Lucent Technologies Inc. Media security for ims sessions

Also Published As

Publication number Publication date
CN102160331A (zh) 2011-08-17
WO2010083648A1 (zh) 2010-07-29
US20120047569A1 (en) 2012-02-23
KR20110105802A (ko) 2011-09-27
EP2391059A1 (en) 2011-11-30
EP2391059A4 (en) 2013-05-01
JP5694954B2 (ja) 2015-04-01
KR101520142B1 (ko) 2015-05-13

Similar Documents

Publication Publication Date Title
JP5431517B2 (ja) 非3gppアクセスネットワーク経由のアクセス
US8479266B1 (en) Network assignment appeal architecture and process
US9065800B2 (en) Dynamic user identification and policy enforcement in cloud-based secure web gateways
US9185626B1 (en) Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning
US9060239B1 (en) Cloud based mobile device management systems and methods
CN102150412B (zh) 用于基于独特装置标识符的实例标识符的方法和设备
CA2673258C (en) Techniques for managing security in next generation communication networks
US8279798B2 (en) Virtual home network arrangement for a subscriber module using IMS
US20080163372A1 (en) Anti-virus system for IMS network
US11297058B2 (en) Systems and methods using a cloud proxy for mobile device management and policy
JP2014511581A (ja) 分散型メッセージプロセッサアーキテクチャを有するDiameter信号伝達ルータ(DSR)内のDiameterメッセージをスクリーニングするための方法、システム、およびコンピュータ読取り可能媒体
CN109274512B (zh) 一种代理呼叫业务控制功能的管理方法及装置
JP5864598B2 (ja) ユーザにサービスアクセスを提供する方法およびシステム
US20110173687A1 (en) Methods and Arrangements for an Internet Multimedia Subsystem (IMS)
JP5694954B2 (ja) Imsネットワーク端末装置にファイアウォールを提供するための方法、およびファイアウォールシステム
US20190124041A1 (en) Network-based media content control
US9531756B2 (en) System and method for providing error handling in an untrusted network environment
EP2403215B1 (en) Virtual home network arrrangement for a subscriber module using IMS
WO2022262948A1 (en) Methods and means for providing access to external networks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130604

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140617

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140911

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150127

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150205

R150 Certificate of patent or registration of utility model

Ref document number: 5694954

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees
S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350