JP2016143397A - Terminal detection system and method - Google Patents

Terminal detection system and method Download PDF

Info

Publication number
JP2016143397A
JP2016143397A JP2015021423A JP2015021423A JP2016143397A JP 2016143397 A JP2016143397 A JP 2016143397A JP 2015021423 A JP2015021423 A JP 2015021423A JP 2015021423 A JP2015021423 A JP 2015021423A JP 2016143397 A JP2016143397 A JP 2016143397A
Authority
JP
Japan
Prior art keywords
terminal
communication
characteristic information
information
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015021423A
Other languages
Japanese (ja)
Other versions
JP6322590B2 (en
Inventor
信博 東
Nobuhiro Higashi
信博 東
隆史 藤田
Takashi Fujita
隆史 藤田
巧 大羽
Takumi Oba
巧 大羽
正夫 相原
Masao Aihara
正夫 相原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015021423A priority Critical patent/JP6322590B2/en
Publication of JP2016143397A publication Critical patent/JP2016143397A/en
Application granted granted Critical
Publication of JP6322590B2 publication Critical patent/JP6322590B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To detect an unauthorized or abnormal terminal.SOLUTION: The system detects a terminal 11. A property information comparison unit 17 compares first communication property information showing a communication property of a previously defined terminal with second communication property information of the detected terminal. When the second communication property information is different from the first communication property information as a result of a comparison result, an unauthorization/abnormality determination unit 18 recognizes the detected terminal as an unauthorized terminal.SELECTED DRAWING: Figure 1

Description

この発明は、不正なまたは異常な端末を検知するためのシステムおよび方法に関する。   The present invention relates to a system and method for detecting an unauthorized or abnormal terminal.

近年、ユーザの利便性を損なわずに認証を行うことによってセキュリティを高めることが求められている。そのための認証技術として、例えば、リスクベース認証技術が知られている(非特許文献1及び非特許文献2を参照)。リスクベース認証技術は、例えば、通常と異なる環境における端末からサーバ等にアクセスがあった場合、追加の認証(例えば、ワンタイムパスワード、秘密の質問等)を行う技術である。また、主に、リスクベース認証技術は、Webサービスにおけるログイン時に用いられている技術である。   In recent years, it has been required to improve security by performing authentication without impairing user convenience. For example, a risk-based authentication technique is known as an authentication technique for that purpose (see Non-Patent Document 1 and Non-Patent Document 2). The risk-based authentication technique is a technique for performing additional authentication (for example, one-time password, secret question, etc.) when a server or the like is accessed from a terminal in a different environment. Also, the risk-based authentication technique is mainly a technique used at the time of login in a web service.

また、リスクベース認証を行うためには、まず、ユーザによるログイン時にサービス提供事業者が取得できる情報、例えば接続元のIPアドレスや接続時間帯に関する情報、ブラウザのUser−agent情報、または接続元デバイス等の履歴に関する情報、をサービス提供事業者側に蓄積しておき、このような蓄積されたユーザに関する過去の情報に関する照合を行う。その結果、ログイン時にこれまでの接続環境と異なる場合(例えば、普段は日本からアクセスしているユーザが海外からアクセスする場合)、不正なログインであるリスクが高いとみなす。そして、より強力な認証(例えば、ユーザに対して、使い捨てのワンタイムパスワードを記載したメールを別途送信し、このワンタイムパスワードを用いて認証を行う等)を行う。   In order to perform risk-based authentication, first, information that can be acquired by the service provider upon login by the user, for example, information on the IP address and connection time zone of the connection source, user-agent information of the browser, or connection source device Such information related to the history is stored on the service provider side, and collation regarding past information related to the accumulated user is performed. As a result, when the login environment is different from the previous connection environment (for example, when a user who normally accesses from Japan accesses from overseas), the risk of unauthorized login is considered high. Then, stronger authentication is performed (for example, an email including a disposable one-time password is separately transmitted to the user, and authentication is performed using the one-time password).

リスクベース認証を用いることにより、ユーザによる普段の利用環境では単純なIDとパスワードを用いたID/パスワード認証を行い、不正なログインに関するリスクが高いと推定されるようなログインに対しては、より強力な(手間のかかるような)認証を行うことができる。したがって、ユーザの利便性を損なわずにセキュリティを高めることができる。   By using risk-based authentication, ID / password authentication using a simple ID and password is performed in the usual usage environment by the user. Strong (and time-consuming) authentication can be performed. Therefore, security can be improved without impairing user convenience.

ところで、リスクベース認証技術のような既存技術を用いる主たる目的は、前述のとおり、ユーザの利便性を損なわずにセキュリティを強化することにある。つまり、このような認証技術は、認証の際、ユーザが関与するような領域に対して適用される。   By the way, as described above, the main purpose of using an existing technology such as a risk-based authentication technology is to enhance security without impairing user convenience. That is, such an authentication technique is applied to an area where a user is involved in authentication.

しかしながら、ユーザが認証に関与せず、認証対象となる端末自身がサービスの利用を要求するような場合がある。このような場合、端末が認証を行うためには、予め端末を識別するために用いられる情報(信用情報)を、端末の内部に格納しておく必要がある。例えば、チャレンジ/レスポンス認証と呼ばれる認証において、サーバからのチャレンジ情報に対して端末に格納されている信用情報を用いて所定の計算処理を行い、その結果をサーバに返し、サーバがその結果を照合することによって端末認証を行う。なお、この場合、例えば、信用情報をサーバに直接送信しないようにすることによって、ネットワーク上で悪意あるユーザに信用情報を盗聴される恐れを回避できる。   However, there are cases where the user is not involved in authentication and the terminal to be authenticated itself requests the use of the service. In such a case, in order for the terminal to perform authentication, it is necessary to store in advance information (credit information) used for identifying the terminal. For example, in authentication called challenge / response authentication, a predetermined calculation process is performed on the challenge information from the server using the credit information stored in the terminal, the result is returned to the server, and the server verifies the result. Terminal authentication. In this case, for example, by not transmitting the credit information directly to the server, it is possible to avoid a risk that the malicious information is wiretapped by a malicious user on the network.

http://special.nikkeibp.co.jp/ts/article/aa0h/111209/http://special.nikkeibp.co.jp/ts/article/aa0h/111209/ http://www.jp-bank.japanpost.jp/direct/pc/security/dr_pc_sc_riskbase.htmlhttp://www.jp-bank.japanpost.jp/direct/pc/security/dr_pc_sc_riskbase.html

しかしながら、ネットワークに接続する端末の種別は近年多様化している。例えば、いわゆるマシン・ツー・マシン(M2M)端末と呼ばれる端末のいくつかは、端末能力の制約があるため、信用情報を保持するための記憶領域を有さない場合がある。また、認証のために必要な計算能力を持たないような端末も存在する。   However, the types of terminals connected to the network have been diversified in recent years. For example, some terminals called so-called machine-to-machine (M2M) terminals may not have a storage area for holding credit information because of terminal capability restrictions. There are also terminals that do not have the necessary computing power for authentication.

そのため、これらの端末を唯一識別するための情報として、例えば、端末が有するネットワークインタフェースに割当てられた物理アドレスに関する情報が考えられる。物理アドレスはグローバルに一意に割当てられている。また、物理アドレスに関する情報を取得することによって、端末を一意に識別可能である。   For this reason, as information for uniquely identifying these terminals, for example, information on physical addresses assigned to the network interfaces of the terminals can be considered. A physical address is uniquely assigned globally. In addition, the terminal can be uniquely identified by acquiring information on the physical address.

しかしながら、物理アドレスは容易に変更可能であるため、悪意あるユーザによって詐称される恐れがある。そのため、物理アドレス以外の手段で不正ではない端末であること(端末の本人性)を担保する必要が求められる。   However, since the physical address can be easily changed, there is a risk of being misrepresented by a malicious user. Therefore, it is necessary to ensure that the terminal is not illegal (meaning the identity of the terminal) by means other than the physical address.

例えば、近年、M2Mサービスを提供するソリューション提供事業者が、端末、ゲートウェイ(GW)、ネットワーク、及びプラットフォームを専用のものとして提供している。これらのソリューションでは、例えば、無線接続ではなく有線接続を利用することによって、提供サービス外の端末によるネットワークへの接続を許容しないことによって、悪意ある端末の接続を排除し、端末の本人性を担保している。そのため、専用の各種装置の準備及び設定を行わない場合、悪意あるユーザによる端末のなりすましを防ぐことができず、その結果、正規端末を収容できないという問題がある。   For example, in recent years, solution providers that provide M2M services have provided terminals, gateways (GWs), networks, and platforms as dedicated ones. In these solutions, for example, by using a wired connection instead of a wireless connection, the connection to the network by a terminal outside the service provided is not allowed, thereby eliminating the connection of a malicious terminal and ensuring the identity of the terminal. doing. Therefore, unless preparation and setting of various dedicated devices are performed, there is a problem that it is not possible to prevent spoofing of a terminal by a malicious user, and as a result, a regular terminal cannot be accommodated.

また、これらの準備及び設定における手間をかけずに、より簡易に端末の収容を可能とするために、なりすましを排除するための仕組みを確立することが求められている。   In addition, in order to make it possible to accommodate a terminal more easily without taking the trouble of preparation and setting, it is required to establish a mechanism for eliminating impersonation.

また、認証が可能な正規端末に関しても、端末の故障や悪意あるユーザからの攻撃により端末が乗っ取られる場合等が考えられる。このような場合、端末の認証には成功するため、このような異常な端末を排除する仕組みを確立することも求められている。   Further, with respect to a legitimate terminal that can be authenticated, there may be a case where the terminal is hijacked due to a failure of the terminal or an attack from a malicious user. In such a case, since the authentication of the terminal succeeds, it is also required to establish a mechanism for eliminating such an abnormal terminal.

この発明は上記事情に着目してなされたもので、その目的とするところは、不正なまたは異常な端末を検知することを実現するシステム及び方法を提供することにある。   The present invention has been made paying attention to the above circumstances, and an object of the present invention is to provide a system and a method for realizing detection of an illegal or abnormal terminal.

上記目的を達成するためにこの発明の第1の観点は、以下のような構成要素を備えている。すなわち、本発明の第1の観点は、端末を検知するシステムであって、予め規定された端末の通信特性を示す第1の通信特性情報と検知された端末の第2の通信特性情報とを比較する比較手段と、比較結果に基づき、第2の通信特性情報が第1の通信特性情報と異なる場合、検知された端末を不正な端末とみなす判定手段と、を備えるシステムである。   In order to achieve the above object, a first aspect of the present invention includes the following components. That is, a first aspect of the present invention is a system for detecting a terminal, which includes first communication characteristic information indicating communication characteristics of a terminal defined in advance and second communication characteristic information of the detected terminal. It is a system comprising comparison means for comparison, and determination means for regarding a detected terminal as an unauthorized terminal when the second communication characteristic information is different from the first communication characteristic information based on the comparison result.

また、この発明の第1の観点はさらに以下のような態様を備えることを特徴とする。
すなわち、検知された端末を不正な端末とみなすように判定された場合、不正な端末に関する情報を、上位のシステムに通知する通知手段をさらに備える。 The first aspect of the present invention is characterized by further including the following aspects.
In other words, when it is determined that the detected terminal is regarded as an unauthorized terminal, the information processing apparatus further includes notification means for notifying information regarding the unauthorized terminal to a higher system.

また、システムと検知された端末との間の通信において交換される情報に基づき、第1の通信特性情報を上位のシステムから取得する取得手段をさらに備える。   Further, the information processing apparatus further includes an acquisition unit configured to acquire the first communication characteristic information from a higher-order system based on information exchanged in communication between the system and the detected terminal.

また、上位のシステムから取得される第1の通信特性情報を格納する格納手段をさらに備え、比較手段は、格納されている第1の通信特性情報を用いて比較する。   In addition, storage means for storing the first communication characteristic information acquired from the host system is further provided, and the comparison means performs comparison using the stored first communication characteristic information.

また、この発明の第1の観点には、同様な構成要素および態様を備える方法も含まれる。   The first aspect of the present invention also includes a method having similar components and aspects.

すなわちこの発明によれば、不正なまたは異常な端末を検知することを実現するシステム及び方法を提供することができる。   That is, according to the present invention, it is possible to provide a system and method for realizing detection of an unauthorized or abnormal terminal.

本発明の第1の実施形態の端末検知システムの構成例を示す機能ブロック図。The functional block diagram which shows the structural example of the terminal detection system of the 1st Embodiment of this invention. 第1の実施形態の端末検知システムによって行われる不正端末検知処理シーケンスの例。The example of the unauthorized terminal detection process sequence performed by the terminal detection system of 1st Embodiment. 本発明の第2の実施形態の端末検知システムの構成例を示す図。The figure which shows the structural example of the terminal detection system of the 2nd Embodiment of this invention. 第2の実施形態の端末検知システムによって、M2M端末を収容する際、M2M−PFに対して問い合わせを行う不正端末検知処理シーケンスの例。The example of the unauthorized terminal detection process sequence which inquires with respect to M2M-PF when accommodating the M2M terminal by the terminal detection system of 2nd Embodiment. 第2の実施形態の端末検知システムによって、NW−PFに端末に関する情報を予め登録する場合における不正端末検知処理シーケンスの例。The example of the unauthorized terminal detection process sequence in the case of registering the information regarding a terminal beforehand with NW-PF by the terminal detection system of 2nd Embodiment. 本発明の第3の実施形態の端末検知システムによって、IEEE802.15.4を使用する端末を収容する場合に行われる不正端末検知処理シーケンスの例。The example of the unauthorized terminal detection process sequence performed when the terminal detection system of the 3rd Embodiment of this invention accommodates the terminal which uses IEEE802.15.4.

(第1の実施形態)
以下、図面を参照してこの発明に係る第1の実施形態を説明する。
図1は、第1の実施形態の端末検知システム1の構成例を示す機能ブロック図である。
端末検知システム1は、端末検知機能部10及び端末通信特性情報管理機能部14を備える。また、端末検知機能部10は、通信監視機能部12、通信制御機能部13、及び通信情報取得インタフェース機能部15を備える。 (First embodiment)
A first embodiment according to the present invention will be described below with reference to the drawings.
FIG. 1 is a functional block diagram illustrating a configuration example of the terminal detection system 1 according to the first embodiment.
The terminal detection system 1 includes a terminal detection function unit 10 and a terminal communication characteristic information management function unit 14. The terminal detection function unit 10 includes a communication monitoring function unit 12, a communication control function unit 13, and a communication information acquisition interface function unit 15.

端末検知機能部10は、端末11がサービスを利用するために端末認証を必要とするようなネットワークまたは端末管理プラットフォーム等において、認証機能を持たないような端末11の収容を許容する代わりに、端末11のなりすまし等である不正な端末を排除するための処理を行う。   The terminal detection function unit 10 replaces the terminal 11 that does not have an authentication function in a network or a terminal management platform that requires terminal authentication in order for the terminal 11 to use a service. Processing for eliminating an illegal terminal such as 11 spoofing is performed.

具体的には、端末検知機能部10は、端末検知機能部10と通信を行う端末11を検知し、検知された端末11に関する通信特性を監視する。そして、検知された端末11に関する通信特性を示す情報が、端末11を含む予め規定された端末に関する通信特性を示す情報と異なる場合、端末11を不正な端末とみなし、端末11との通信を遮断するための処理を行う。   Specifically, the terminal detection function unit 10 detects a terminal 11 that communicates with the terminal detection function unit 10, and monitors communication characteristics related to the detected terminal 11. If the information indicating the communication characteristics regarding the detected terminal 11 is different from the information indicating the communication characteristics regarding the terminal including the terminal 11, the terminal 11 is regarded as an unauthorized terminal and the communication with the terminal 11 is blocked. Process to do.

なお、予め規定された端末とは、例えば、不正ではない正当な端末として予め登録されている端末である。また、通信特性は、例えば、端末の挙動に関する情報、端末の振る舞いに関する情報を含む。具体的には、通信特性は、トラヒックパターン、通信頻度、または通信量等を含む。   Note that the terminal defined in advance is, for example, a terminal registered in advance as a legitimate terminal that is not illegal. The communication characteristics include, for example, information related to the behavior of the terminal and information related to the behavior of the terminal. Specifically, the communication characteristics include a traffic pattern, a communication frequency, or a communication amount.

以下、予め規定された端末に関する通信特性を示す情報のうち端末11に関する通信特性を示す情報を、「規定端末特性情報」と称する。また、検知された端末に関する通信特性を「通信端末特性」と称し、通信端末特性を示す情報を「通信端末特性情報」と称す。   Hereinafter, the information indicating the communication characteristics regarding the terminal 11 among the information indicating the communication characteristics regarding the terminal defined in advance is referred to as “specified terminal characteristic information”. In addition, the communication characteristic regarding the detected terminal is referred to as “communication terminal characteristic”, and information indicating the communication terminal characteristic is referred to as “communication terminal characteristic information”.

端末通信特性情報管理機能部14は、端末毎に情報を保持しており、例えば、端末11に関する、規定端末特性情報、通信状態、設置範囲、及び通信内容等(以下、「端末関連情報」と称す。)を保持する。なお、端末通信特性情報管理機能部14によって保持される情報は、例えば、予め登録される情報である。   The terminal communication characteristic information management function unit 14 holds information for each terminal, and includes, for example, specified terminal characteristic information, communication state, installation range, communication content, etc. (hereinafter referred to as “terminal related information”) regarding the terminal 11. Hold). The information held by the terminal communication characteristic information management function unit 14 is information registered in advance, for example.

通信情報取得インタフェース機能部15は、取得部16を備える。取得部16は、端末特性情報管理機能部14から規定端末特性情報等を取得する。また、取得部16は、端末検知機能部10と端末11との間の通信において交換される情報に基づき、規定端末特性情報等を上位のシステムの1つである端末通信特性情報管理機能部14から取得する。例えば、取得部16は、端末検知機能部10と端末11との間で使用されるIEEE 802.15.4無線接続におけるMedia Access Controll(MAC)フレームに基づき、規定端末特性情報等を端末通信特性情報管理機能部14から取得する。そして、通信情報取得インタフェース機能部15は、取得された規定端末特性情報等を通信監視機能部12に送信する。なお、以下、上位のシステムが、端末通信特性情報管理機能部14である場合を想定して説明する。   The communication information acquisition interface function unit 15 includes an acquisition unit 16. The acquisition unit 16 acquires specified terminal characteristic information and the like from the terminal characteristic information management function unit 14. In addition, the acquisition unit 16 obtains specified terminal characteristic information and the like based on information exchanged in the communication between the terminal detection function unit 10 and the terminal 11 as a terminal communication characteristic information management function unit 14 that is one of the upper systems. Get from. For example, the acquisition unit 16 uses the media access control (MAC) frame in the IEEE 802.15.4 wireless connection used between the terminal detection function unit 10 and the terminal 11 to specify the specified terminal characteristic information and the like on the terminal communication characteristic. Obtained from the information management function unit 14. Then, the communication information acquisition interface function unit 15 transmits the acquired specified terminal characteristic information and the like to the communication monitoring function unit 12. In the following description, it is assumed that the host system is the terminal communication characteristic information management function unit 14.

通信監視機能部12は、端末11に関する通信を監視する。また、通信情報取得インタフェース機能部15から規定端末特性情報を受信する。   The communication monitoring function unit 12 monitors communication related to the terminal 11. Also, the specified terminal characteristic information is received from the communication information acquisition interface function unit 15.

通信監視機能部12は、例えば、特性情報比較部17、不正異常判定部18、通知部19、及び特性情報格納部20を備える。   The communication monitoring function unit 12 includes, for example, a characteristic information comparison unit 17, an unauthorized abnormality determination unit 18, a notification unit 19, and a characteristic information storage unit 20.

特性情報比較部17は、通信情報取得インタフェース機能部15から受信された規定端末特性情報と、監視結果に基づき得られる通信端末特性情報と、を比較するための処理を行う。または、後述する特性情報格納部20に格納されている規定端末特性情報を用いて、格納されている規定端末特性情報と、監視結果に基づき得られる通信端末特性情報と、を比較するための処理を行う。   The characteristic information comparison unit 17 performs processing for comparing the specified terminal characteristic information received from the communication information acquisition interface function unit 15 with the communication terminal characteristic information obtained based on the monitoring result. Alternatively, a process for comparing the stored specified terminal characteristic information with the communication terminal characteristic information obtained based on the monitoring result using the specified terminal characteristic information stored in the characteristic information storage unit 20 described later. I do.

不正異常判定部18は、特性情報比較部17による比較処理の結果に基づき、監視結果に基づき得られる通信端末特性情報が、通信情報取得インタフェース機能部15から受信された規定端末特性情報と同じであるか否かを判定するための処理を行う。判定結果に基づき、通信端末特性情報が規定端末特性情報と異なる場合、端末11を不正な端末とみなす。また、判定結果に基づき、通信端末特性情報が規定端末特性情報と同じである場合、端末11を正当な端末とみなす。   Based on the result of the comparison process by the characteristic information comparison unit 17, the fraud abnormality determination unit 18 has the same communication terminal characteristic information obtained from the monitoring result as the specified terminal characteristic information received from the communication information acquisition interface function unit 15. Processing for determining whether or not there is present is performed. If the communication terminal characteristic information is different from the specified terminal characteristic information based on the determination result, the terminal 11 is regarded as an unauthorized terminal. Further, based on the determination result, when the communication terminal characteristic information is the same as the specified terminal characteristic information, the terminal 11 is regarded as a valid terminal.

また、不正異常判定部18は、端末11を不正な端末とみなすように判定した場合、通信制御機能部13に、端末11との通信を遮断するための指示をする。   In addition, when it is determined that the terminal 11 is regarded as an unauthorized terminal, the unauthorized abnormality determination unit 18 instructs the communication control function unit 13 to block communication with the terminal 11.

なお、不正異常判定部18による判定処理において、通信端末特性情報が規定端末特性情報と同じでなくてもよい。例えば、不正異常判定部18は、通信端末特性情報が規定端末特性情報に対応するまたは相当するか否かを判定するための処理を行ってもよい。   In the determination process by the fraud abnormality determination unit 18, the communication terminal characteristic information may not be the same as the specified terminal characteristic information. For example, the fraud abnormality determination unit 18 may perform processing for determining whether or not the communication terminal characteristic information corresponds to or corresponds to the specified terminal characteristic information.

また、不正な端末は、正当な端末になりすましたような端末だけでなく、例えば、端末11の故障または端末11に対する攻撃等により、端末11の本来の特性情報と異なる通信特性を有する異常な端末も含む。   In addition, an unauthorized terminal is not only a terminal impersonating a legitimate terminal, but also an abnormal terminal having communication characteristics different from the original characteristic information of the terminal 11 due to, for example, a failure of the terminal 11 or an attack on the terminal 11 Including.

通知部19は、端末11を不正な端末とみなすように判定された場合、不正な端末に関する情報を、上位のシステムに通知する。なお、不正な端末に関する情報は、正当な端末である端末11に関する情報ではなく、正当ではない端末11に関する情報である。例えば、不正な端末に関する情報は、端末通信特性情報管理機能部14等に保持されている正当な端末11に関する情報とは異なる情報である。   When it is determined that the terminal 11 is regarded as an unauthorized terminal, the notification unit 19 notifies the host system of information related to the unauthorized terminal. In addition, the information regarding an unauthorized terminal is not information regarding the terminal 11 which is a valid terminal, but is information regarding the unauthorized terminal 11. For example, the information related to the unauthorized terminal is different from the information related to the legitimate terminal 11 held in the terminal communication characteristic information management function unit 14 or the like.

特性情報格納部20は、取得部16等を介して、上位のシステムから取得される規定端末特性情報を格納する。   The characteristic information storage unit 20 stores specified terminal characteristic information acquired from a higher system via the acquisition unit 16 and the like.

通信制御機能部13は、端末11との通信を遮断するための指示を通信監視機能部12から受けた場合、端末11との通信を遮断するための処理を行う。   When the communication control function unit 13 receives an instruction for blocking communication with the terminal 11 from the communication monitoring function unit 12, the communication control function unit 13 performs processing for blocking communication with the terminal 11.

なお、これらの各機能部は、例えばサーバ/データベース/アプリケーションであり、独立したエンティティとして記載を行ったが、いずれの組み合わせにおいても同一エンティティとしての実装を制限するものではない。例えば、通信情報取得インタフェース機能部15は、端末検知機能部10に含まれなくてもよい。   Each of these functional units is, for example, a server / database / application, and is described as an independent entity. However, in any combination, implementation as the same entity is not limited. For example, the communication information acquisition interface function unit 15 may not be included in the terminal detection function unit 10.

また、第1の実施形態の端末検知システム1は、例えば、磁気ディスク等の記録媒体に記録されたプログラムや、インターネット等の通信ネットワークを介してダウンロードしたプログラムを読み込み、このプログラムによって動作が制御されるサーバ等のコンピュータによって実現される。   The terminal detection system 1 according to the first embodiment reads a program recorded on a recording medium such as a magnetic disk or a program downloaded via a communication network such as the Internet, and the operation is controlled by this program. This is realized by a computer such as a server.

請求項において、予め規定された端末の通信特性を示す第1の通信特性情報と検知された端末の第2の通信特性情報とを比較する比較手段は、例えば、特性情報比較部17に対応する。比較結果に基づき、第2の通信特性情報が第1の通信特性情報と異なる場合、検知された端末を不正な端末とみなす判定手段は、例えば、不正異常判定部18に対応する。   In the claims, the comparison means for comparing the first communication characteristic information indicating the communication characteristic of the terminal defined in advance with the second communication characteristic information of the detected terminal corresponds to, for example, the characteristic information comparison unit 17. . Based on the comparison result, when the second communication characteristic information is different from the first communication characteristic information, a determination unit that regards the detected terminal as an unauthorized terminal corresponds to, for example, the unauthorized abnormality determination unit 18.

また、請求項において、検知された端末を不正な端末とみなすように判定された場合、不正な端末に関する情報を、上位のシステムに通知する通知手段は、例えば、通知部19に対応する。   Further, in the claims, when it is determined that the detected terminal is regarded as an unauthorized terminal, a notification means for notifying information related to the unauthorized terminal to a higher-level system corresponds to, for example, the notification unit 19.

また、請求項において、システムと検知された端末との間の通信において交換される情報に基づき、第1の通信特性情報を上位のシステムから取得する取得手段は、例えば、取得部16に対応する。   Further, in the claims, the acquisition means for acquiring the first communication characteristic information from the host system based on the information exchanged in the communication between the system and the detected terminal corresponds to, for example, the acquisition unit 16. .

また、請求項において、上位のシステムから取得される第1の通信特性情報を格納する格納手段は、例えば、特性情報格納部20に対応する。   Further, in the claims, storage means for storing the first communication characteristic information acquired from the host system corresponds to, for example, the characteristic information storage unit 20.

次に、図2を参照して、第1の実施形態の端末検知システム1によって行われる不正端末検知処理シーケンスについて説明する。
まず、端末11は、通信監視機能部12に対して通信要求を行う(ステップS20)。通信監視機能部12は、端末11からの通信要求に応じて、端末11等から端末の識別に用いられる端末識別情報を取得する。 Next, an unauthorized terminal detection processing sequence performed by the terminal detection system 1 of the first embodiment will be described with reference to FIG.
First, the terminal 11 makes a communication request to the communication monitoring function unit 12 (step S20). In response to a communication request from the terminal 11, the communication monitoring function unit 12 acquires terminal identification information used for terminal identification from the terminal 11 or the like.

次に、通信監視機能部12は、端末通信特性情報管理機能部14に対して規定端末特性情報を含むデータを取得するための要求をする(ステップS22)。そして、端末通信特性情報管理機能部14は、通信監視機能部12からの要求に応じて、規定端末特性情報を含むデータを、通信監視機能部12に通知する(ステップS24)。   Next, the communication monitoring function unit 12 requests the terminal communication characteristic information management function unit 14 to acquire data including the specified terminal characteristic information (step S22). Then, in response to a request from the communication monitoring function unit 12, the terminal communication characteristic information management function unit 14 notifies the communication monitoring function unit 12 of data including the specified terminal characteristic information (Step S24).

次に、通信監視機能部12は、端末11との通信に対するモニタリングを開始する。そして、モニタリングによって得られた通信端末特性情報及び端末通信特性情報管理機能部14から取得された規定端末特性情報に基づき、端末11が不正端末であるか否かを判定する。   Next, the communication monitoring function unit 12 starts monitoring the communication with the terminal 11. Then, based on the communication terminal characteristic information obtained by monitoring and the specified terminal characteristic information acquired from the terminal communication characteristic information management function unit 14, it is determined whether or not the terminal 11 is an unauthorized terminal.

そして、通信監視機能部12は、端末11が不正端末であると判定された場合、通信制御機能部13に対して端末11との通信を遮断するための要求をする(ステップS26)。   Then, if it is determined that the terminal 11 is an unauthorized terminal, the communication monitoring function unit 12 requests the communication control function unit 13 to block communication with the terminal 11 (step S26).

通信制御機能部13は、通信監視機能部12からの端末11との通信を遮断するための要求に応じて、端末11との通信を遮断する(ステップS28)。例えば、端末11との通信を遮断するための要求を通信監視機能部12から受けた場合、端末11からの通信要求等を遮断する。   The communication control function unit 13 blocks communication with the terminal 11 in response to a request from the communication monitoring function unit 12 to block communication with the terminal 11 (step S28). For example, when a request for blocking communication with the terminal 11 is received from the communication monitoring function unit 12, the communication request from the terminal 11 is blocked.

以上のような第1の実施形態によって、次のような効果を得ることができる。
端末検知システム1等を有するネットワークに接続される端末11について、なりすまし等である不正な端末または異常な端末を検知し排除することが可能となる。 According to the first embodiment as described above, the following effects can be obtained.
With respect to the terminal 11 connected to the network having the terminal detection system 1 or the like, it is possible to detect and eliminate an illegal terminal or an abnormal terminal that is impersonated.

例えば、端末11を認証できないような場合または端末11を認証しないような場合、不正な端末または異常な端末を検知し排除することが可能となる。具体的には、端末検知システム1は、規定端末特性情報と、端末検知システム1によって検知可能な端末11の振る舞いとを比較し、端末11の振る舞いが既知のものと異なる場合、端末11を不正な端末とみなすことが可能となる。   For example, when the terminal 11 cannot be authenticated or when the terminal 11 is not authenticated, an unauthorized terminal or an abnormal terminal can be detected and eliminated. Specifically, the terminal detection system 1 compares the specified terminal characteristic information with the behavior of the terminal 11 that can be detected by the terminal detection system 1, and if the behavior of the terminal 11 is different from the known behavior, the terminal 11 is illegal. It can be regarded as a secure terminal.

また、端末検知システム1によって、例えば、端末11自身に関して認証する機能を有するような端末11だけでなく、端末11自身を認証する機能を有さないような端末11もネットワークに収容可能となる。
(第2の実施形態)
以下、図3乃至図5を参照してこの発明に係る第2の実施形態を説明する。
なお、以下では、第1の実施形態において示した構成と異なる部分を中心に説明する。そのため、第1の実施形態と共通する要素には同一の符号を付し、重複する説明を省略する。 In addition, the terminal detection system 1 can accommodate not only the terminal 11 having a function of authenticating the terminal 11 itself but also the terminal 11 having no function of authenticating the terminal 11 itself in the network.
(Second Embodiment)
A second embodiment according to the present invention will be described below with reference to FIGS.
In the following, the description will focus on parts different from the configuration shown in the first embodiment. Therefore, the same code | symbol is attached | subjected to the element which is common in 1st Embodiment, and the overlapping description is abbreviate | omitted.

図3は、本発明の第2の実施形態の端末検知システム1の構成例を示す図である。
図3では、端末11を公衆のネットワーク等に収容する場合の一例について説明する。また、端末11がM2M端末である場合を想定している。M2M端末は、例えば、ユーザ等による操作を必要とせず、ネットワークを介して、他の端末と自律的に情報を送受信する端末である。 FIG. 3 is a diagram illustrating a configuration example of the terminal detection system 1 according to the second embodiment of the present invention.
In FIG. 3, an example in which the terminal 11 is accommodated in a public network or the like will be described. Further, it is assumed that the terminal 11 is an M2M terminal. The M2M terminal is a terminal that autonomously transmits / receives information to / from other terminals via a network without requiring an operation by a user or the like, for example.

端末検知システム1は、M2M−プラットフォーム(PF)事業者によって提供されるM2M−PF31、通信キャリア等の通信サービス提供事業者によって保有または提供されるNW−PF34、ルータ35−A及びルータ35−B、並びに、端末11を収容するM2M−ゲートウェイ(GW)30−A及びM2M−GW30−Bを備える。   The terminal detection system 1 includes an M2M-PF 31 provided by an M2M-platform (PF) operator, an NW-PF 34 owned by or provided by a communication service provider such as a communication carrier, a router 35-A, and a router 35-B. And an M2M-gateway (GW) 30-A and an M2M-GW 30-B that accommodate the terminal 11.

なお、端末検知システム1は、NW−PF31を含まなくてもよい。この場合、例えば、M2M−GW30−AまたはM2M−GW30−Bが、M2M−PF31に直接的に接続されるように構成する。また、M2M−PF31が、NW−PF34による処理を代わりに行ってもよい。   The terminal detection system 1 may not include the NW-PF 31. In this case, for example, the M2M-GW 30-A or the M2M-GW 30-B is configured to be directly connected to the M2M-PF 31. Moreover, M2M-PF31 may perform the process by NW-PF34 instead.

ここで、第1の実施形態との対応関係について説明する。M2M−PF31は端末通信特性情報管理機能部14に相当し、NW−PF34は通信情報取得インタフェース機能部15に相当し、M2M−GW30−AまたはM2M−GW30−Bは通信監視機能部12及び通信制御機能部13に相当する。   Here, the correspondence with the first embodiment will be described. The M2M-PF 31 corresponds to the terminal communication characteristic information management function unit 14, the NW-PF 34 corresponds to the communication information acquisition interface function unit 15, and the M2M-GW 30-A or M2M-GW 30-B includes the communication monitoring function unit 12 and the communication. It corresponds to the control function unit 13.

次に、具体的に、第2の実施形態の端末検知システム1における不正端末検知処理について説明する。
正当な端末である端末11は、M2M−GW30−Aと通信を行い、少量のトラフィックデータをM2M−GW30−Aとの間で送受信する。また、M2M−GW30−Aに対して、端末識別情報としてM2M−GW30−A自身の物理アドレス等を通知する。なお、物理アドレスは、例えば「AA:BB:CC:DD:EE:FF」である。 Next, the unauthorized terminal detection process in the terminal detection system 1 of the second embodiment will be specifically described.
The terminal 11 which is a legitimate terminal communicates with the M2M-GW 30-A and transmits / receives a small amount of traffic data to / from the M2M-GW 30-A. Further, the M2M-GW 30-A is notified of the physical address of the M2M-GW 30-A itself as terminal identification information. The physical address is, for example, “AA: BB: CC: DD: EE: FF”.

M2M−GW30−Aは、ルータ35−Aを介して、コアネットワーク33上のNW−PF34に接続し得る。   The M2M-GW 30-A can be connected to the NW-PF 34 on the core network 33 via the router 35-A.

M2M−PF31は、M2Mに関するアプリケーション(M2M APP)32−A、M2M APP32−B、またはM2M APP32−Cを提供するプラットフォームであり、図1を参照して上述したような端末関連情報を保持する。   The M2M-PF 31 is a platform that provides an application (M2M APP) 32-A, M2M APP32-B, or M2M APP32-C related to M2M, and holds terminal-related information as described above with reference to FIG.

一方、なりすまし端末36は、M2M−GW30−Bと通信を行い、大量のトラフィックデータをM2M−GW30−Bとの間で送受信する。また、M2M−GW30−Bに対して、端末識別情報としてM2M−GW30−B自身の物理アドレス等を通知する。なお、物理アドレスは、例えば「AA:BB:CC:DD:EE:FF」であり、端末11によって通知される物理アドレスと同じである。しかしながら、なりすまし端末36によって通知される物理アドレスは、端末11によって通知される物理アドレスに関する所謂なりすましの物理アドレスである。   On the other hand, the impersonation terminal 36 communicates with the M2M-GW 30-B and transmits / receives a large amount of traffic data to / from the M2M-GW 30-B. Further, the M2M-GW 30-B is notified of the physical address of the M2M-GW 30-B itself as terminal identification information. The physical address is, for example, “AA: BB: CC: DD: EE: FF”, which is the same as the physical address notified by the terminal 11. However, the physical address notified by the spoofing terminal 36 is a so-called spoofing physical address related to the physical address notified by the terminal 11.

また、NW−PF34は、M2M−PF31から規定端末特性情報を取得する。なお、取得される規定端末特性情報は、例えば、上述したようなM2M−GW30−Aに対して送信される端末11から少量のトラフィックデータに関する情報を含む。NW−PF34は、取得された規定端末特性情報をM2M−GW30−AまたはM2M−GW30−Bに通知する。   Further, the NW-PF 34 acquires the specified terminal characteristic information from the M2M-PF 31. Note that the specified terminal characteristic information acquired includes, for example, information on a small amount of traffic data transmitted from the terminal 11 to the M2M-GW 30-A as described above. The NW-PF 34 notifies the acquired specified terminal characteristic information to the M2M-GW 30-A or M2M-GW 30-B.

M2M−GW30−Bは、ルータ35−Bを介して、NW−PF34に接続し得る。M2M−GW30−Bは、検知された端末であるなりすまし端末36に対してモニタリングを行う。モニタリングによって得られたなりすまし端末36に関する通信特性情報及びNW−PF34から取得された規定端末特性情報に基づき、なりすまし端末36が不正な端末であるか否かを判定する。   The M2M-GW 30-B can be connected to the NW-PF 34 via the router 35-B. The M2M-GW 30-B monitors the impersonation terminal 36 that is the detected terminal. Based on the communication characteristic information regarding the impersonation terminal 36 obtained by monitoring and the specified terminal characteristic information acquired from the NW-PF 34, it is determined whether or not the impersonation terminal 36 is an unauthorized terminal.

M2M−GW30−Bは、例えば、なりすまし端末36において大量のトラフィックデータが送受信されているため、なりすまし端末36を不正な端末であると判定する。すなわち、なりすまし端末36から通知された端末識別情報は、端末11から通知された端末識別情報と異なると判定する。   For example, the M2M-GW 30-B determines that the spoofed terminal 36 is an unauthorized terminal because a large amount of traffic data is transmitted and received at the spoofed terminal 36. That is, it is determined that the terminal identification information notified from the spoofing terminal 36 is different from the terminal identification information notified from the terminal 11.

そして、M2M−GW30−Bは、なりすまし端末36との通信を遮断する。
また、第2の実施形態では、M2M−PF事業者が、端末11に関する識別情報及び規定端末特性情報のペアを、例えば、M2M−PF31に保持している場合を想定している。 Then, the M2M-GW 30-B blocks communication with the spoofing terminal 36.
Moreover, in 2nd Embodiment, the case where the M2M-PF provider holds the pair of the identification information regarding the terminal 11 and the specified terminal characteristic information in, for example, the M2M-PF 31 is assumed.

次に、図4を参照して、第2の実施形態の端末検知システム1によって、M2M端末を収容する際、M2M−PF31に対して問い合わせを行う不正端末検知処理シーケンスについて説明する。   Next, an unauthorized terminal detection processing sequence for making an inquiry to the M2M-PF 31 when an M2M terminal is accommodated by the terminal detection system 1 according to the second embodiment will be described with reference to FIG.

なお、端末11は正当な端末またはなりすまし等の不正な端末の何れかであるが、図3では、正当な端末である端末11と不正な端末であるなりすまし端末36を区別して説明した。一方、図4及び図5では、正当な端末である端末11と不正な端末であるなりすまし端末36を区別することなく説明する。   Note that the terminal 11 is either a legitimate terminal or an unauthorized terminal such as spoofing, but in FIG. 3, the terminal 11 that is a legitimate terminal and the spoofed terminal 36 that is an unauthorized terminal are described separately. On the other hand, in FIG.4 and FIG.5, it demonstrates, without distinguishing the terminal 11 which is a legitimate terminal, and the impersonation terminal 36 which is an unauthorized terminal.

まず、(M2M)端末11は、M2M−GW30に対して通信要求を行う(ステップS40)。M2M−GW30は、端末11からの通信要求に応じて、端末11等から端末11の物理アドレス等を含む端末識別情報を取得する。   First, the (M2M) terminal 11 makes a communication request to the M2M-GW 30 (step S40). In response to a communication request from the terminal 11, the M2M-GW 30 acquires terminal identification information including the physical address of the terminal 11 from the terminal 11 or the like.

次に、M2M−GW30は、NW−PF34に対して規定端末特性情報を含むデータを取得するための要求をする(ステップS41)。さらに、NW−PF34は、M2M−GW30からの要求に応じて、M2M−PF31に対して規定端末特性情報を含むデータを取得するための要求をする(ステップS42)。   Next, the M2M-GW 30 requests the NW-PF 34 to acquire data including the specified terminal characteristic information (step S41). Further, the NW-PF 34 requests the M2M-PF 31 to acquire data including the defined terminal characteristic information in response to the request from the M2M-GW 30 (step S42).

M2M−PF31は、NW−PF34からの要求に応じて、端末11等から取得された端末11の端末識別情報に基づき、規定端末特性情報を取得する。そして、M2M−PF31は、取得された規定端末特性情報をNW−PF34に通知する(ステップS43)。   In response to a request from the NW-PF 34, the M2M-PF 31 acquires specified terminal characteristic information based on the terminal identification information of the terminal 11 acquired from the terminal 11 or the like. And M2M-PF31 notifies NW-PF34 of the acquired prescription | regulation terminal characteristic information (step S43).

次に、NW−PF34は、端末11との通信に対するモニタリングを開始する。そして、モニタリングによって得られた通信端末特性情報をM2M−PF31に通知する(ステップS44)。M2M−PF31に通知された通信端末特性情報は、例えば、後述するステップ48等において端末11が不正な端末であることが通知された場合、M2M−PF31等によって端末11に関する不正な端末と関連付けられて、M2M−PF31等に格納されてもよい。   Next, the NW-PF 34 starts monitoring for communication with the terminal 11. And the communication terminal characteristic information obtained by monitoring is notified to M2M-PF31 (step S44). The communication terminal characteristic information notified to the M2M-PF 31 is associated with an unauthorized terminal related to the terminal 11 by the M2M-PF 31 or the like when, for example, the terminal 11 is notified of an unauthorized terminal in step 48 described later. And may be stored in the M2M-PF 31 or the like.

また、NW−PF34は、モニタリングによって得られた通信端末特性情報及びM2M−PF31から取得された規定端末特性情報に基づき、端末11が不正端末であるか否かを判定する。   Further, the NW-PF 34 determines whether or not the terminal 11 is an unauthorized terminal based on the communication terminal characteristic information obtained by monitoring and the defined terminal characteristic information acquired from the M2M-PF 31.

そして、NW−PF34は、端末11が不正端末であると判定された場合、M2M−GW30に対して端末11との通信を遮断するための要求をする(ステップS45)。   Then, when it is determined that the terminal 11 is an unauthorized terminal, the NW-PF 34 requests the M2M-GW 30 to block communication with the terminal 11 (step S45).

M2M−GW30は、NW−PF34からの端末11との通信を遮断するための要求に応じて、端末11との通信を遮断する(ステップS46)。   The M2M-GW 30 blocks communication with the terminal 11 in response to a request from the NW-PF 34 to block communication with the terminal 11 (step S46).

次に、M2M−GW30は、端末11が不正端末であることを示す情報、すなわち、なりすましが発生したことを示す情報をNW−PF34に通知する(ステップS47)。そして、NW−PF34は、端末11が不正端末であることを示す情報、すなわち、なりすましが発生したことを示す情報をM2M−PF31に通知する(ステップS48)。   Next, the M2M-GW 30 notifies the NW-PF 34 of information indicating that the terminal 11 is an unauthorized terminal, that is, information indicating that impersonation has occurred (step S47). Then, the NW-PF 34 notifies the M2M-PF 31 of information indicating that the terminal 11 is an unauthorized terminal, that is, information indicating that impersonation has occurred (step S48).

次に、図5を参照して、第2の実施形態の端末検知システム1によって、NW−PF34に端末11に関する情報を予め登録する場合における不正端末検知処理シーケンスについて説明する。   Next, with reference to FIG. 5, an unauthorized terminal detection processing sequence in the case where information related to the terminal 11 is registered in advance in the NW-PF 34 by the terminal detection system 1 according to the second embodiment will be described.

まず、M2M―PF31は、予め端末11に関する情報、例えば規定端末特性情報、をNW−PF34に登録する(ステップS50)。   First, the M2M-PF 31 registers information related to the terminal 11 in advance, for example, specified terminal characteristic information, in the NW-PF 34 (step S50).

そして、(M2M)端末11は、M2M−GW30に対して通信要求を行う(ステップS51)。M2M−GW30は、端末11からの通信要求に応じて、端末11から端末11の物理アドレス等を含む端末識別情報を取得する。   Then, the (M2M) terminal 11 makes a communication request to the M2M-GW 30 (step S51). In response to a communication request from the terminal 11, the M2M-GW 30 acquires terminal identification information including the physical address of the terminal 11 from the terminal 11.

次に、M2M−GW30は、NW−PF34に対して規定端末特性情報を含むデータを取得するための要求をする(ステップS52)。   Next, the M2M-GW 30 requests the NW-PF 34 to acquire data including the specified terminal characteristic information (step S52).

NW−PF34は、M2M−GW30からの要求に応じて、端末11の端末識別情報に基づき、ステップS50において登録された規定端末特性情報を取得する。そして、NW−PF34は、取得された規定端末特性情報をM2M−GW30に通知する(ステップS53)。   In response to a request from the M2M-GW 30, the NW-PF 34 acquires the specified terminal characteristic information registered in step S50 based on the terminal identification information of the terminal 11. Then, the NW-PF 34 notifies the acquired specified terminal characteristic information to the M2M-GW 30 (step S53).

次に、M2M−GW30は、端末11との通信に対するモニタリングを開始する。そして、モニタリングによって得られた通信端末特性情報及びステップS53において通知された規定端末特性情報に基づき、端末11が不正端末であるか否かを判定する。   Next, the M2M-GW 30 starts monitoring for communication with the terminal 11. Then, based on the communication terminal characteristic information obtained by monitoring and the defined terminal characteristic information notified in step S53, it is determined whether or not the terminal 11 is an unauthorized terminal.

M2M−GW30は、端末11が不正端末であると判定された場合、例えばM2M−GW30に備えられた通信を遮断するための通信遮断機能部(図示せず)に対して、端末11との通信を遮断するための要求をする(ステップS54)。そして、通信遮断機能部は、端末11との通信を遮断するための要求に応じて、端末11との通信を遮断する(ステップS55)。   When the M2M-GW 30 determines that the terminal 11 is an unauthorized terminal, the M2M-GW 30 communicates with the terminal 11 with respect to a communication blocking function unit (not shown) for blocking communication provided in the M2M-GW 30, for example. A request for blocking is made (step S54). Then, the communication cut-off function unit cuts off communication with the terminal 11 in response to a request for cutting off communication with the terminal 11 (step S55).

次に、M2M−GW30は、端末11が不正端末であることを示す情報、すなわち、なりすましが発生したことを示す情報をNW−PF34に通知する(ステップS56)。そして、NW−PF34は、端末11が不正端末であることを示す情報、すなわち、なりすましが発生したことを示す情報をM2M−PF31に通知する(ステップS57)。   Next, the M2M-GW 30 notifies the NW-PF 34 of information indicating that the terminal 11 is an unauthorized terminal, that is, information indicating that impersonation has occurred (step S56). Then, the NW-PF 34 notifies the M2M-PF 31 of information indicating that the terminal 11 is an unauthorized terminal, that is, information indicating that impersonation has occurred (step S57).

このように、図4のステップS46では、M2M−PF31に対して規定端末特性情報を含むデータを取得するための問い合わせをさらに行うことによって、規定端末特性情報を含むデータを取得する。一方、図5では、NW−PF34は、予め規定端末特性情報を保持しているため、M2M−PF31に対してさらに規定端末特性情報を含むデータを取得するための問い合わせを行うことなく、予め保持している規定端末特性情報をM2M−GW30に対して通知する。   As described above, in step S46 of FIG. 4, the data including the specified terminal characteristic information is acquired by further making an inquiry to the M2M-PF 31 for acquiring the data including the specified terminal characteristic information. On the other hand, in FIG. 5, since the NW-PF 34 holds the specified terminal characteristic information in advance, the NW-PF 34 holds in advance without making an inquiry to the M2M-PF 31 for acquiring data including the specified terminal characteristic information. The specified terminal characteristic information is notified to the M2M-GW 30.

なお、図4及び図5では、M2M―GW30が通信端末特性情報を取得する場合について説明したが、M2M−PF31またはNW−PF34が通信端末特性情報を取得するような場合でも、上述したような不正端末検知処理を適用することができる。例えば、図4に示す不正端末検知処理に関して、M2M−PF31が通信端末特性情報を取得する場合、規定端末特性情報に関する問い合わせ要求処理を行う必要はない。一方、NW−PF34が通信端末特性情報を取得する場合、図4に示す不正端末検知処理に関しては、M2M−PF31への問い合わせ要求処理を行う必要があるが、図5に示す不正端末検知処理に関しては、ステップS52における問い合わせ要求処理も行う必要がない。   4 and 5, the case where the M2M-GW 30 acquires the communication terminal characteristic information has been described. However, even when the M2M-PF 31 or the NW-PF 34 acquires the communication terminal characteristic information, as described above. Unauthorized terminal detection processing can be applied. For example, when the M2M-PF 31 acquires the communication terminal characteristic information regarding the unauthorized terminal detection process illustrated in FIG. 4, it is not necessary to perform the inquiry request process regarding the specified terminal characteristic information. On the other hand, when the NW-PF 34 acquires the communication terminal characteristic information, it is necessary to perform an inquiry request process to the M2M-PF 31 for the unauthorized terminal detection process shown in FIG. Does not need to perform the inquiry request processing in step S52.

また、ステップS46またはステップS55における端末11との通信を遮断するための通信遮断処理は、M2M―GW30の代わりに、M2M−PF31またはNW−PF34が行ってもよい。しかしながら、端末検知システム1等を有するネットワークへの影響を少なくするために、M2M―GW30が通信遮断処理を行うことが好ましい。   Further, the communication blocking process for blocking communication with the terminal 11 in step S46 or step S55 may be performed by the M2M-PF 31 or the NW-PF 34 instead of the M2M-GW 30. However, in order to reduce the influence on the network including the terminal detection system 1 and the like, it is preferable that the M2M-GW 30 performs the communication cutoff process.

また、通信端末特性情報を取得するエンティティと、通信遮断処理を行うエンティティが異なる場合、通信端末特性情報を取得するエンティティから通信遮断処理を行うエンティティに対して、通信を遮断することを要求するメッセージを送出させる。   In addition, when the entity that acquires the communication terminal characteristic information is different from the entity that performs the communication blocking process, the message that requests the entity that performs the communication blocking process from the entity that acquires the communication terminal characteristic information to block communication Is sent out.

以上のような第2の実施形態によって、第1の実施形態における上述したような効果に加えて、次のような効果を得ることができる。
不正端末が検知された場合、上位のシステムであるM2M−PF31またはNW−PF34に不正な端末が検知されたことが通知され、なりすましのような不正な端末だけでなく、端末11の故障または端末11への攻撃により本来とは異なる振る舞いを行う端末11も検知することが可能となる。 According to the second embodiment as described above, the following effects can be obtained in addition to the effects described above in the first embodiment.
When an unauthorized terminal is detected, the upper system M2M-PF 31 or NW-PF 34 is notified that an unauthorized terminal has been detected, and not only an unauthorized terminal such as impersonation but also a malfunction of the terminal 11 or a terminal It is also possible to detect the terminal 11 that behaves differently from the original due to the attack on the terminal 11.

例えば、M2M−PF31またはNW−PF34が、端末11の故障または異常を把握することが可能となる。具体的には、定期的に通信を行うタイミングで通信が行われないような場合、定期的に通信を行わないタイミングで通信が行われるような場合、または、大量のトラヒックを含むデータが端末11から突然送出されるような場合、端末11に故障または異常が発生したとみなすことが可能となる。   For example, the M2M-PF 31 or the NW-PF 34 can grasp the failure or abnormality of the terminal 11. Specifically, when communication is not performed at the timing of performing regular communication, when communication is performed at the timing of not performing regular communication, or data including a large amount of traffic is stored in the terminal 11. When a message is suddenly transmitted from the terminal 11, it can be considered that a failure or abnormality has occurred in the terminal 11.

また、M2M端末のような低能力な端末11のように、端末11が、物理アドレス等以外に端末自身を証明する情報を持たない場合であっても、不正端末を検知し排除することが可能となる。   Further, even if the terminal 11 has no information other than a physical address or the like to prove the terminal itself, such as a low-capacity terminal 11 such as an M2M terminal, it is possible to detect and eliminate unauthorized terminals. It becomes.

また、物理アドレス等を偽装することは容易であるため、公衆M2Mサービスのような不特定の端末による接続が想定される環境でも、低能力端末11を収容することが可能となる。   Moreover, since it is easy to disguise a physical address or the like, the low-capacity terminal 11 can be accommodated even in an environment where connection by an unspecified terminal such as a public M2M service is assumed.

また、図5に示すように、予めNW−PF34に規定端末特性情報等を登録することによって、不正端末検知処理を行う度にM2M−PF31に対する規定端末特性情報等を取得するための問い合わせを行う必要がないため、不正端末検知処理を効率良く行うことが可能となる。
(第3の実施形態)
以下、図6を参照してこの発明に係る第3の実施形態を説明する。
なお、以下では、第1の実施形態または第2の実施形態において示した構成と異なる部分を中心に説明する。そのため、第1の実施形態または第2の実施形態と共通する要素には同一の符号を付し、重複する説明を省略する。 Further, as shown in FIG. 5, by registering the prescribed terminal characteristic information in the NW-PF 34 in advance, an inquiry for obtaining the prescribed terminal characteristic information for the M2M-PF 31 is performed every time the unauthorized terminal detection process is performed. Since it is not necessary, the unauthorized terminal detection process can be performed efficiently.
(Third embodiment)
A third embodiment according to the present invention will be described below with reference to FIG.
In the following, the description will focus on parts different from the configuration shown in the first embodiment or the second embodiment. Therefore, the same code | symbol is attached | subjected to the element which is common in 1st Embodiment or 2nd Embodiment, and the overlapping description is abbreviate | omitted.

第3の実施形態の端末検知システム1は、IEEE 802.15.4ネットワークを使用して不正端末検知処理を行う。具体的には、端末11と端末11を収容するGW61との間でIEEE 802.15.4無線またはMACを使用する場合、端末識別情報を取得し、不正端末の通信を遮断するための処理を行う。   The terminal detection system 1 according to the third embodiment performs an unauthorized terminal detection process using an IEEE 802.15.4 network. Specifically, when IEEE 802.15.4 wireless or MAC is used between the terminal 11 and the GW 61 that accommodates the terminal 11, processing for acquiring terminal identification information and blocking communication of an unauthorized terminal is performed. Do.

図6は、第3の実施形態の端末検知システム1によって、IEEE802.15.4を使用する端末11を収容する場合に行われる不正端末検知処理シーケンスの一例である。   FIG. 6 is an example of an unauthorized terminal detection processing sequence performed when the terminal detection system 1 according to the third embodiment accommodates the terminal 11 that uses IEEE 802.15.4.

まず、端末(Device)11は、GW(Coordinator)61に対して、第1の実施形態または第2の実施形態における通信要求に相当するAssociation Requestを送出する(ステップS60)。なお、GW61は、第1の実施形態における通信監視機能部12または通信制御機能部13に相当する。また、Association Requestフレーム中には、端末11の物理アドレスが格納されているSource Addressフィールドが含まれている。   First, the terminal (Device) 11 sends an Association Request corresponding to the communication request in the first embodiment or the second embodiment to a GW (Coordinator) 61 (step S60). The GW 61 corresponds to the communication monitoring function unit 12 or the communication control function unit 13 in the first embodiment. In addition, the Association Request frame includes a Source Address field in which the physical address of the terminal 11 is stored.

GW61は、Association Requestフレームを含むMACフレームから端末11に関するSource Addressを取得する。そして、GW61は、取得されたSource Addressを含むAssociation Requestフレームのフィールドの値に基づき、規定端末特性情報を格納する端末DB62に、規定端末特性情報を含むデータを取得することを要求する問い合わせをする(ステップS62)。   The GW 61 obtains a source address related to the terminal 11 from the MAC frame including the association request frame. Then, the GW 61 makes an inquiry requesting the terminal DB 62 storing the specified terminal characteristic information to acquire data including the specified terminal characteristic information, based on the value of the field of the Association Request frame including the acquired Source Address. (Step S62).

なお、端末DB62は、第1の実施形態における端末通信特性情報管理機能部14または第2の実施形態におけるM2M−PF31に相当する。また、端末DB62は、第1の実施形態におけるコアネットワーク33等のネットワーク上の任意の場所に配置してよい。また、GW61が、端末DB62の機能を兼ねてもよい。   The terminal DB 62 corresponds to the terminal communication characteristic information management function unit 14 in the first embodiment or the M2M-PF 31 in the second embodiment. Further, the terminal DB 62 may be arranged at an arbitrary location on the network such as the core network 33 in the first embodiment. The GW 61 may also function as the terminal DB 62.

次に、端末DB62は、Source Addressに対応する端末特性情報、すなわち規定端末特性情報を検索する。そして、端末DB62は、検索結果に基づき、規定端末特性情報を含むデータをGW61に通知する(ステップS64)。   Next, the terminal DB 62 searches for terminal characteristic information corresponding to the Source Address, that is, specified terminal characteristic information. And terminal DB62 notifies the data containing prescription | regulation terminal characteristic information to GW61 based on a search result (step S64).

そして、GW61は、端末11との通信のモニタリングを開始する。そして、GW61は、不正端末を検知した場合、端末11に対して、端末11とのアソシエーション(接続)状態を終了するためのDisassociation Notificationを通知する(ステップS66)。これによって、端末11は通信を終了する。   Then, the GW 61 starts monitoring communication with the terminal 11. When the GW 61 detects an unauthorized terminal, the GW 61 notifies the terminal 11 of a Dissociation Notification for ending the association (connection) state with the terminal 11 (step S66). As a result, the terminal 11 ends the communication.

そして、GW61は、端末11からのAssociation Requestを拒否するまたは無視することによって、その後の端末11の参加を拒否し、通信を遮断する(ステップS68)。   Then, the GW 61 rejects or ignores the Association Request from the terminal 11, thereby rejecting subsequent participation of the terminal 11 and blocking communication (step S68).

以上のような第3の実施形態によって、第1の実施形態または第2の実施形態における上述したような効果に加えて、次のような効果を得ることができる。
例えば、IEEE802.15.4を使用するような低消費電力の端末11に対して、不正端末または異常端末を検知し、排除することが可能となる。 According to the third embodiment as described above, the following effects can be obtained in addition to the effects described above in the first embodiment or the second embodiment.
For example, it is possible to detect and eliminate an unauthorized terminal or an abnormal terminal with respect to a terminal 11 with low power consumption that uses IEEE802.15.4.

なお、この発明は上記実施形態に限定されるものではない。この発明の要旨を逸脱しない範囲で種々変形して実施可能である。例えば、図6において、GW61に予め規定端末特性情報を登録することによってステップS62のような問い合わせをしないようにする処理等を組み合わせてもよい。   The present invention is not limited to the above embodiment. Various modifications can be made without departing from the scope of the present invention. For example, in FIG. 6, a process for preventing the inquiry as in step S <b> 62 by previously registering the defined terminal characteristic information in the GW 61 may be combined.

要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。   In short, the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Further, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, you may combine suitably the component covering different embodiment.

1…端末検知システム、10…端末検知機能部、11…端末、12…通信監視機能部、13…通信制御機能部、14…端末通信特性情報管理機能部、15…通信情報取得インタフェース部、16…取得部、17…特性情報比較部、18…不正異常判定部、19…通知部、20…特性情報格納部、30−A,30−B…M2M−GW、31…M2M−PF、32−A,32−B,32−C…M2M APP、33…コアネットワーク、34…NW−PF、35−A,35−B…ルータ、36…なりすまし端末、61…GW(Coordinator)、62…端末DB。 DESCRIPTION OF SYMBOLS 1 ... Terminal detection system, 10 ... Terminal detection function part, 11 ... Terminal, 12 ... Communication monitoring function part, 13 ... Communication control function part, 14 ... Terminal communication characteristic information management function part, 15 ... Communication information acquisition interface part, 16 ... acquisition unit, 17 ... characteristic information comparison unit, 18 ... injustice abnormality determination unit, 19 ... notification unit, 20 ... characteristic information storage unit, 30-A, 30-B ... M2M-GW, 31 ... M2M-PF, 32- A, 32-B, 32-C ... M2M APP, 33 ... Core network, 34 ... NW-PF, 35-A, 35-B ... Router, 36 ... Impersonation terminal, 61 ... GW (Coordinator), 62 ... Terminal DB .

Claims (8)

端末を検知するシステムであって、
予め規定された端末の通信特性を示す第1の通信特性情報と検知された端末の第2の通信特性情報とを比較する比較手段と、
前記比較結果に基づき、前記第2の通信特性情報が前記第1の通信特性情報と異なる場合、前記検知された端末を不正な端末とみなす判定手段と、
を備えるシステム。 A system for detecting a terminal,
Comparing means for comparing the first communication characteristic information indicating the communication characteristic of the terminal defined in advance with the second communication characteristic information of the detected terminal;
Based on the comparison result, when the second communication characteristic information is different from the first communication characteristic information, a determination unit that regards the detected terminal as an unauthorized terminal;
A system comprising: 前記検知された端末を不正な端末とみなすように判定された場合、前記不正な端末に関する情報を、上位のシステムに通知する通知手段をさらに備える請求項1記載のシステム。   The system according to claim 1, further comprising notification means for notifying the host system of information relating to the unauthorized terminal when it is determined that the detected terminal is regarded as an unauthorized terminal. 前記システムと前記検知された端末との間の通信において交換される情報に基づき、前記第1の通信特性情報を上位のシステムから取得する取得手段をさらに備える請求項1記載のシステム。   The system according to claim 1, further comprising an acquisition unit configured to acquire the first communication characteristic information from an upper system based on information exchanged in communication between the system and the detected terminal. 上位のシステムから取得される前記第1の通信特性情報を格納する格納手段をさらに備え、
前記比較手段は、格納されている前記第1の通信特性情報を用いて比較する請求項1記載のシステム。 Storage means for storing the first communication characteristic information acquired from the host system;
The system according to claim 1, wherein the comparison means performs comparison using the stored first communication characteristic information. 端末を検知する方法であって、
予め規定された端末の通信特性を示す第1の通信特性情報と検知された端末の第2の通信特性情報とを比較し、
前記比較結果に基づき、前記第2の通信特性情報が前記第1の通信特性情報と異なる場合、前記検知された端末を不正な端末とみなす、方法。 A method for detecting a terminal,
Comparing the first communication characteristic information indicating the communication characteristic of the terminal defined in advance with the second communication characteristic information of the detected terminal;
A method in which, based on the comparison result, when the second communication characteristic information is different from the first communication characteristic information, the detected terminal is regarded as an unauthorized terminal. 前記検知された端末を不正な端末とみなすように判定された場合、前記不正な端末に関する情報を、上位のシステムに通知する請求項5記載の方法。   The method according to claim 5, wherein when it is determined that the detected terminal is regarded as an unauthorized terminal, information related to the unauthorized terminal is notified to an upper system. 前記検知された端末と前記端末を検知するシステムとの間の通信において交換される情報に基づき、前記第1の通信特性情報を上位のシステムから取得する請求項5記載の方法。   The method according to claim 5, wherein the first communication characteristic information is acquired from an upper system based on information exchanged in communication between the detected terminal and a system that detects the terminal. 上位のシステムから取得される前記第1の通信特性情報を格納し、
前記比較手段は、格納されている前記第1の通信特性情報を用いて比較する請求項5記載の方法。 Storing the first communication characteristic information acquired from the host system;
The method according to claim 5, wherein the comparison means performs comparison using the stored first communication characteristic information.
JP2015021423A 2015-02-05 2015-02-05 Terminal detection system and method Active JP6322590B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015021423A JP6322590B2 (en) 2015-02-05 2015-02-05 Terminal detection system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015021423A JP6322590B2 (en) 2015-02-05 2015-02-05 Terminal detection system and method

Publications (2)

Publication Number Publication Date
JP2016143397A true JP2016143397A (en) 2016-08-08
JP6322590B2 JP6322590B2 (en) 2018-05-09

Family

ID=56570575

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015021423A Active JP6322590B2 (en) 2015-02-05 2015-02-05 Terminal detection system and method

Country Status (1)

Country Link
JP (1) JP6322590B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018107668A (en) * 2016-12-27 2018-07-05 本田技研工業株式会社 Device to be authenticated, communication system, communication method, and program
JP7083464B2 (en) 2018-04-16 2022-06-13 Ckd株式会社 Electric actuator

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005044277A (en) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd Unauthorized communication detection device
JP2005318037A (en) * 2004-04-27 2005-11-10 Nippon Dentsu Co Ltd Unauthorized use monitoring system, unauthorized use monitoring/alarming apparatus, and unauthorized use monitoring method
JP2012523159A (en) * 2009-04-01 2012-09-27 ハネウェル・インターナショナル・インコーポレーテッド Cloud computing as a security layer
JP2012525626A (en) * 2009-04-30 2012-10-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Deviating behavior of user terminal
JP2014179074A (en) * 2013-03-13 2014-09-25 General Electric Co <Ge> Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems
JP2014186703A (en) * 2013-03-25 2014-10-02 Fujitsu Ltd Authentication apparatus and authentication method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005044277A (en) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd Unauthorized communication detection device
JP2005318037A (en) * 2004-04-27 2005-11-10 Nippon Dentsu Co Ltd Unauthorized use monitoring system, unauthorized use monitoring/alarming apparatus, and unauthorized use monitoring method
JP2012523159A (en) * 2009-04-01 2012-09-27 ハネウェル・インターナショナル・インコーポレーテッド Cloud computing as a security layer
JP2012525626A (en) * 2009-04-30 2012-10-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Deviating behavior of user terminal
JP2014179074A (en) * 2013-03-13 2014-09-25 General Electric Co <Ge> Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems
JP2014186703A (en) * 2013-03-25 2014-10-02 Fujitsu Ltd Authentication apparatus and authentication method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018107668A (en) * 2016-12-27 2018-07-05 本田技研工業株式会社 Device to be authenticated, communication system, communication method, and program
JP7083464B2 (en) 2018-04-16 2022-06-13 Ckd株式会社 Electric actuator

Also Published As

Publication number Publication date
JP6322590B2 (en) 2018-05-09

Similar Documents

Publication Publication Date Title
US10285050B2 (en) Method and apparatus for managing a profile of a terminal in a wireless communication system
US10063377B2 (en) Network-based authentication for third party content
EP3557895B1 (en) Method and apparatus for managing a profile of a terminal in a wireless communication system
US8589675B2 (en) WLAN authentication method by a subscriber identifier sent by a WLAN terminal
CN110199509B (en) Unauthorized access point detection using multi-path authentication
US10218701B2 (en) System and method for securing account access by verifying account with email provider
US8320883B2 (en) Method to dynamically authenticate and control mobile devices
CN110324287A (en) Access authentication method, device and server
US9549318B2 (en) System and method for delayed device registration on a network
DK2924944T3 (en) Presence authentication
WO2020073039A1 (en) Apparatuses, methods, and computer program products for secure access credential management
WO2019157333A1 (en) Peeirs:passive evaluation of endpoint identity and risk as a surrogate authentication factor
US11838752B2 (en) Method and apparatus for managing a profile of a terminal in a wireless communication system
US9787678B2 (en) Multifactor authentication for mail server access
CN102415119A (en) Managing undesired service requests in a network
JP6322590B2 (en) Terminal detection system and method
KR101001197B1 (en) System and method for log-in control
KR102558821B1 (en) System for authenticating user and device totally and method thereof
JP5888749B2 (en) Network connection authentication method and system
JP2014155095A (en) Communication control device, program and communication control method
US9215594B2 (en) Subscriber data management
CN109962897B (en) Open platform authentication and access method and system based on two-dimensional code scanning
Chatzisofroniou et al. Exploiting WiFi usability features for association attacks in IEEE 802.11: Attack analysis and mitigation controls
EP3565211B1 (en) Method network element, system and computer readable medium, for onboarding a device
US11974129B2 (en) Token-based security risk assessment for multi-factor authentication

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180123

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180319

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180403

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180409

R150 Certificate of patent or registration of utility model

Ref document number: 6322590

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150