JP2017139735A - Communication apparatus, communication control method, and program - Google Patents

Communication apparatus, communication control method, and program Download PDF

Info

Publication number
JP2017139735A
JP2017139735A JP2016215410A JP2016215410A JP2017139735A JP 2017139735 A JP2017139735 A JP 2017139735A JP 2016215410 A JP2016215410 A JP 2016215410A JP 2016215410 A JP2016215410 A JP 2016215410A JP 2017139735 A JP2017139735 A JP 2017139735A
Authority
JP
Japan
Prior art keywords
communication
data
application
uid
data communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016215410A
Other languages
Japanese (ja)
Inventor
周治 石川
Shuji Ishikawa
周治 石川
恭弘 伊東
Takahiro Ito
恭弘 伊東
智哉 上條
Tomoya KAMIJO
智哉 上條
英孝 林
Hidetaka Hayashi
英孝 林
晃平 道上
Kohei Michiue
晃平 道上
一生 大西
Kazuo Onishi
一生 大西
和也 千藤
Kazuya Chito
和也 千藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyocera Corp
Original Assignee
Kyocera Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kyocera Corp filed Critical Kyocera Corp
Priority to JP2016215410A priority Critical patent/JP2017139735A/en
Publication of JP2017139735A publication Critical patent/JP2017139735A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Telephone Function (AREA)
  • Telephonic Communication Services (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a communication apparatus, a communication control method and a program that allow a user to reduce the amount of data caused by unintended data communication.SOLUTION: A communication apparatus prohibits data communication by default, receives a request for data communication from an application, and permits the requesting application to perform data communication in accordance with a UID of the application.SELECTED DRAWING: Figure 1

Description

本発明は、通信装置、通信制御方法、及びプログラムに関する。   The present invention relates to a communication device, a communication control method, and a program.

従来、データ通信可能な携帯端末等の通信装置が知られている(例えば、特許文献1参照)。通信装置においては、通信装置上で稼働するアプリケーションによるデータ通信がデフォルトで許可される一方で、ユーザによって選択されたアプリケーションによるデータ通信のみが禁止されるという構成が採用されることがある。この場合、ユーザは、自らが把握できる範囲で、アプリケーションによるデータ通信を抑制できる。   Conventionally, a communication device such as a portable terminal capable of data communication is known (for example, see Patent Document 1). The communication device may employ a configuration in which data communication by an application running on the communication device is permitted by default, but only data communication by an application selected by the user is prohibited. In this case, the user can suppress data communication by the application within a range that the user can grasp.

特開2015−162701号公報JP, 2015-162701, A

しかし、ユーザは、通信装置においてどのようなアプリケーションが稼働しているか完全に把握できるとは限らない。特に、通信装置のシステムのバックグラウンドで稼働するアプリケーションは、ユーザにより把握されない可能性が高い。よって、ユーザによって動作が把握されればデータ通信の禁止が選択されるような場合でも、ユーザによって動作が把握されないことにより、アプリケーションのデータ通信の禁止が選択されない場合がある。また、通信装置のシステムが行うデータ通信については、そもそも通信装置のシステム仕様として、ユーザが選択できないようになっている場合もある。これらの場合、ユーザの意図しないデータ通信が行われて、通信されるデータ量が意図せず増加することがある。   However, the user may not be able to completely grasp what application is running in the communication device. In particular, there is a high possibility that an application running in the background of the communication device system is not grasped by the user. Therefore, even if the data communication prohibition is selected if the operation is grasped by the user, the application data communication prohibition may not be selected because the user does not grasp the operation. In addition, for data communication performed by the communication device system, the user may not be able to select the communication device system specification in the first place. In these cases, data communication unintended by the user may be performed, and the amount of data communicated may increase unintentionally.

そこで本発明は、上述の点に鑑みてなされたものであり、ユーザが意図しないデータ通信により発生するデータ量を低減できる通信装置、通信制御方法、及びプログラムを提供することを目的とする。   Therefore, the present invention has been made in view of the above points, and an object thereof is to provide a communication device, a communication control method, and a program that can reduce the amount of data generated by data communication not intended by the user.

上記目的を達成する本発明の一実施形態に係る通信装置は、
デフォルトでデータ通信を禁止し、
アプリケーションからデータ通信の要求を受け、
前記要求したアプリケーションのUIDに応じて、該アプリケーションのデータ通信を許可する。 A communication device according to an embodiment of the present invention that achieves the above object is as follows.
Data communication is prohibited by default,
Receives a data communication request from the application,
Data communication of the application is permitted according to the requested UID of the application.

また、前記データ通信がセルラ通信である場合に、デフォルトでデータ通信を禁止するようにしてもよい。   Further, when the data communication is cellular communication, data communication may be prohibited by default.

また、前記データ通信が無線LAN通信である場合に、デフォルトでデータ通信を許可するようにしてもよい。   Further, when the data communication is wireless LAN communication, data communication may be permitted by default.

また、本発明の一実施形態に係る通信制御方法は、
通信装置において、
デフォルトでデータ通信を禁止するステップと、
アプリケーションからデータ通信の要求を受けるステップと、
前記要求したアプリケーションのUIDに応じて、該アプリケーションのデータ通信を許可するステップと
を含む。 In addition, a communication control method according to an embodiment of the present invention includes:
In the communication device,
A step of prohibiting data communication by default;
Receiving a data communication request from the application;
Allowing data communication of the application according to the requested UID of the application.

また、本発明の一実施形態に係るプログラムは、
通信装置として機能するコンピュータに、
デフォルトでデータ通信を禁止するステップと、
アプリケーションからデータ通信の要求を受けるステップと、
前記要求したアプリケーションのUIDに応じて、該アプリケーションのデータ通信を許可するステップと
を実行させる。 In addition, a program according to an embodiment of the present invention is
To a computer that functions as a communication device,
A step of prohibiting data communication by default;
Receiving a data communication request from the application;
A step of permitting data communication of the application according to the requested UID of the application.

本発明の一実施形態に係る通信装置、通信制御方法、及びプログラムによれば、ユーザが意図しないデータ通信により発生するデータ量を低減できる。   According to the communication device, the communication control method, and the program according to the embodiment of the present invention, it is possible to reduce the amount of data generated by data communication not intended by the user.

実施形態1に係る通信装置の概略構成例を示す機能ブロック図である。2 is a functional block diagram illustrating a schematic configuration example of a communication apparatus according to Embodiment 1. FIG. 実施形態1に係る通信装置の一例の外観を示す図である。1 is a diagram illustrating an appearance of an example of a communication device according to Embodiment 1. FIG. 実施形態1に係るデータの流れの一例を示すブロック図である。3 is a block diagram illustrating an example of a data flow according to Embodiment 1. FIG. 実施形態1に係るフィルタリング処理のシーケンスを説明する図である。It is a figure explaining the sequence of the filtering process which concerns on Embodiment 1. FIG. アプリケーションからデータを送信するシーケンスの一例を説明する図である。It is a figure explaining an example of the sequence which transmits data from an application. 実施形態1の比較例に係るフィルタリング処理のシーケンスを説明する図である。6 is a diagram illustrating a filtering process sequence according to a comparative example of Embodiment 1. FIG. 実施形態2に係るデータの流れの一例を示すブロック図である。6 is a block diagram illustrating an example of a data flow according to Embodiment 2. FIG. 実施形態3に係る通信装置の概略構成例を示す機能ブロック図である。FIG. 10 is a functional block diagram illustrating a schematic configuration example of a communication device according to a third embodiment. 実施形態3に係るデータの流れの一例を示すブロック図である。10 is a block diagram illustrating an example of a data flow according to Embodiment 3. FIG. 接続機能部の動作例を示すフローチャートである。It is a flowchart which shows the operation example of a connection function part. 接続機能部の動作例を示すフローチャートである。It is a flowchart which shows the operation example of a connection function part. 実施形態3の比較例1に係るデータの流れを示す図である。10 is a diagram illustrating a data flow according to Comparative Example 1 of Embodiment 3. FIG. 実施形態3の比較例2に係るデータの流れを示す図である。10 is a diagram illustrating a data flow according to Comparative Example 2 of Embodiment 3. FIG.

(実施形態1)
以下、一実施形態に係る通信装置について、図面を参照しながら詳細に説明する。本実施形態に係る通信装置は、携帯電話、又はスマートフォンなどの携帯機器とすることができる。しかしながら、本実施形態に係る通信装置は、携帯機器に限定されるものではなく、デスクトップPC、ノートPC、タブレット型PC、家電製品、産業用機器(FA機器)、専用端末等、データ通信を行う種々の電子機器とすることができる。 (Embodiment 1)
Hereinafter, a communication device according to an embodiment will be described in detail with reference to the drawings. The communication apparatus according to the present embodiment can be a mobile device such as a mobile phone or a smartphone. However, the communication device according to the present embodiment is not limited to a portable device, and performs data communication such as a desktop PC, a notebook PC, a tablet PC, a home appliance, an industrial device (FA device), a dedicated terminal, and the like. Various electronic devices can be provided.

[装置構成]
図1は、本実施形態に係る通信装置1の概略構成例を示す機能ブロック図である。図1に示されるように、通信装置1は、制御部10と、通信部11と、記憶部12と、表示部13と、操作部14とを備える。制御部10は、通信部11と、記憶部12と、表示部13と、操作部14とに接続され、これらを制御する。 [Device configuration]
FIG. 1 is a functional block diagram illustrating a schematic configuration example of the communication device 1 according to the present embodiment. As illustrated in FIG. 1, the communication device 1 includes a control unit 10, a communication unit 11, a storage unit 12, a display unit 13, and an operation unit 14. The control part 10 is connected to the communication part 11, the memory | storage part 12, the display part 13, and the operation part 14, and controls these.

制御部10は、オペレーティングシステム(以下、OSともいう)、及び、アプリケーションソフトウェア(以下、アプリケーションともいう)を実行可能なプロセッサ又はマイコン等により構成されうる。OSは、例えばAndroid(登録商標)である。アプリケーションについては後述する。   The control unit 10 can be configured by an operating system (hereinafter also referred to as an OS) and a processor or a microcomputer that can execute application software (hereinafter also referred to as an application). The OS is, for example, Android (registered trademark). The application will be described later.

通信部11は、セルラ通信、又は無線LAN通信等を行う通信インタフェースとして、I/F(インタフェース)デバイス111を備える。I/Fデバイス111は、モデム112と無線LANデバイス113とを含む。通信部11は、I/Fデバイス111を用いてインターネット等のネットワーク側に接続され、ネットワーク側との間でデータ通信を行う。これにより、通信装置1はネットワーク側との間でデータ通信可能となる。通信部11は、制御部10に接続され、ネットワーク側へ出力するデータを制御部10から取得する。制御部10は、通信部11に対して出力するデータをフィルタリング処理によって選択する。フィルタリング処理については後述する。また制御部10は、ネットワーク側から受信したデータを通信部11から取得する。   The communication unit 11 includes an I / F (interface) device 111 as a communication interface for performing cellular communication, wireless LAN communication, or the like. The I / F device 111 includes a modem 112 and a wireless LAN device 113. The communication unit 11 is connected to a network side such as the Internet using the I / F device 111, and performs data communication with the network side. As a result, the communication device 1 can perform data communication with the network side. The communication unit 11 is connected to the control unit 10 and acquires data to be output to the network side from the control unit 10. The control unit 10 selects data to be output to the communication unit 11 by filtering processing. The filtering process will be described later. Further, the control unit 10 acquires data received from the network side from the communication unit 11.

セルラ通信方式によりネットワーク側と接続される場合、一般的に、通信されるデータ(パケット)の量の増大に応じて通信料金が増大する従量課金制の料金体系が採用される。一方で、無線LAN通信等の方式によりネットワーク側と接続される場合、一般的に、そのような料金体系ではない。   When connected to the network side by the cellular communication method, a charge system based on a pay-per-use system is generally adopted in which a communication fee increases in accordance with an increase in the amount of data (packets) to be communicated. On the other hand, when connected to the network side by a method such as wireless LAN communication, it is generally not such a fee structure.

記憶部12は、例えば半導体メモリ等によって構成されうる。記憶部12には、各種情報若しくはデータ、又は、制御部10が実行するOS若しくはアプリケーション等のプログラムが格納される。制御部10は、記憶部12に格納されたプログラムを取得し、実行する。制御部10は、プログラムの実行により生成されるデータを記憶部12に格納する。また記憶部12は、ワークメモリとしても機能しうる。   The storage unit 12 can be configured by, for example, a semiconductor memory. The storage unit 12 stores various information or data, or a program such as an OS or application executed by the control unit 10. The control unit 10 acquires and executes a program stored in the storage unit 12. The control unit 10 stores data generated by executing the program in the storage unit 12. The storage unit 12 can also function as a work memory.

表示部13は、制御部10から取得した情報に基づき、文字、画像、操作用オブジェクト、ポインタ等を表示する。表示部13は、例えば、液晶ディスプレイ、有機ELディスプレイ、無機ELディスプレイ等の表示デバイスであるが、これらに限られるものではない。   The display unit 13 displays characters, images, operation objects, pointers, and the like based on information acquired from the control unit 10. The display unit 13 is, for example, a display device such as a liquid crystal display, an organic EL display, or an inorganic EL display, but is not limited thereto.

操作部14は、テンキー等の物理キー、タッチパッド、又はタッチパネル等によって構成される。制御部10は、操作部14から取得した入力内容に応じて、表示部13に表示されるポインタ等を移動させたり、操作用オブジェクトを選択したりする。   The operation unit 14 includes a physical key such as a numeric keypad, a touch pad, or a touch panel. The control unit 10 moves a pointer or the like displayed on the display unit 13 or selects an operation object according to the input content acquired from the operation unit 14.

図2は、本実施形態に係る通信装置1の一例の外観を示す図である。図2に示す通り、本実施形態に係る通信装置1は、いわゆる折りたたみ式(フリップ型又はクラムシェル型等)のフィーチャーフォンである。通信装置1は、上部筐体2と下部筐体3とが、ヒンジ部4によって回動可能に接続される。上部筐体2は表示部13を備え、下部筐体3は操作部14を備える。操作部14は、テンキー等の物理キーの他、物理キーが設けられていない部位にタッチパッド141を備える。通信装置1は、例えば物理キーにより操作用のオブジェクトの選択操作を受け付け、またタッチパッド141によりポインタ等の移動操作を受け付ける。   FIG. 2 is a diagram illustrating an appearance of an example of the communication device 1 according to the present embodiment. As shown in FIG. 2, the communication device 1 according to the present embodiment is a so-called folding (flip type or clamshell type) feature phone. In the communication device 1, the upper housing 2 and the lower housing 3 are connected by a hinge portion 4 so as to be rotatable. The upper housing 2 includes a display unit 13, and the lower housing 3 includes an operation unit 14. The operation unit 14 includes a touch pad 141 in a portion where no physical key is provided in addition to a physical key such as a numeric keypad. For example, the communication device 1 accepts an operation for selecting an operation object using a physical key, and accepts a movement operation such as a pointer using a touch pad 141.

[アプリケーション]
アプリケーションは、制御部10で実行可能となるように通信装置1にインストールされ、記憶部12に格納される。アプリケーションが通信装置1にインストールされる際、各アプリケーションに固有のユーザ識別子(以下、UIDともいう)が割り当てられる。アプリケーションは、制御部10によって、OS上においてUIDに対応づけられるプロセスとして実行される。 [application]
The application is installed in the communication device 1 so as to be executable by the control unit 10 and stored in the storage unit 12. When an application is installed in the communication device 1, a unique user identifier (hereinafter also referred to as UID) is assigned to each application. The application is executed by the control unit 10 as a process associated with the UID on the OS.

アプリケーションは、制御部10で実行される際に、ファイルシステムなどのリソースに対してアクセスする。各アプリケーションが無制限にリソースにアクセスすると、各アプリケーションによるリソースの使用領域が重複することがあり、この場合アプリケーションが正常に実行されなくなることがある。そこで、OS上で実行されるプロセスに対応づけられるUIDによってリソースに対するアクセスを制限し、アプリケーションによるリソース使用が互いに影響を及ぼさないようにする。つまり、各プロセスからアクセス可能なリソースは、同一のUIDに対応づけられるプロセスのリソースに制限される。   When the application is executed by the control unit 10, the application accesses a resource such as a file system. When each application accesses a resource indefinitely, the use area of the resource by each application may overlap, and in this case, the application may not be executed normally. Therefore, access to resources is restricted by a UID associated with a process executed on the OS so that resource usage by applications does not affect each other. That is, the resources accessible from each process are limited to the resources of processes associated with the same UID.

各アプリケーションには、グループ識別子(以下、GID又はグループのIDともいう)がさらに割り当てられてもよい。GIDは、各アプリケーションに割り当てられる固有のUIDが属するグループを特定するものである。一つのグループに一個のUIDだけが属してもよいし、一つのグループに複数のUIDが属してもよい。アプリケーションがUIDに対応づけられるプロセスとして実行される際、このプロセスはGIDにも対応づけられるようにしてもよい。また、各プロセスからアクセス可能なリソースは、同一のUIDだけでなく同一のGIDに対応づけられるプロセスのリソースにまで対象を広げて制限されるようにしてもよい。   Each application may be further assigned a group identifier (hereinafter also referred to as GID or group ID). The GID specifies a group to which a unique UID assigned to each application belongs. Only one UID may belong to one group, or a plurality of UIDs may belong to one group. When an application is executed as a process associated with a UID, this process may be associated with a GID. Further, the resources accessible from each process may be limited by extending the target to the resources of the processes associated with the same GID as well as the same UID.

アプリケーションは、フォアグラウンド(以下、FGともいう)、又は、バックグラウンド(以下、BGともいう)で実行される。アプリケーションがFGで実行されている状態は、例えば、ユーザが確認可能なように実行状況が表示部13に表示される、又は、ユーザが操作部14を用いて操作可能な状態である。アプリケーションがBGで実行されている状態は、例えば、実行状況が表示部13に表示されず、ユーザが操作可能ではない状態、又は、ユーザが意図せずに動作している状態である。   The application is executed in the foreground (hereinafter also referred to as FG) or the background (hereinafter also referred to as BG). The state in which the application is being executed by the FG is, for example, a state in which the execution status is displayed on the display unit 13 so that the user can confirm, or the user can operate using the operation unit 14. The state in which the application is being executed by the BG is, for example, a state in which the execution status is not displayed on the display unit 13 and the user cannot operate, or the user is operating unintentionally.

[データ通信の制御]
制御部10によって実行されるアプリケーションは、通信部11を用いて、インターネット等のネットワーク側とのデータ通信を行う。上述の通り、アプリケーションはOS上においてUIDに対応づけられるプロセスとして実行される。そして、アプリケーションから送信されるデータにはUIDが対応づけられる。制御部10は、データに対応づけられたUIDに基づいてデータの送信を許可するか禁止(制限)するか決定することにより、各アプリケーションから送信されるデータに係るデータ通信を許可するか禁止するか制御できる。以下、本実施形態に係る説明においては、データ通信は、原則的に通信部11がネットワーク側との間で行うデータ通信のことを指すものとする。 [Data communication control]
An application executed by the control unit 10 uses the communication unit 11 to perform data communication with a network side such as the Internet. As described above, the application is executed as a process associated with the UID on the OS. A UID is associated with data transmitted from the application. The control unit 10 determines whether to permit or prohibit (restrict) data transmission based on the UID associated with the data, thereby permitting or prohibiting data communication related to data transmitted from each application. You can control. Hereinafter, in the description according to the present embodiment, data communication refers to data communication performed in principle by the communication unit 11 with the network side.

図3は、本実施形態に係るデータの流れの一例を示すブロック図である。図3において、制御部10と通信部11とが端末側に設けられる。そして、通信部11がネットワーク側と接続され、ネットワーク側との間でデータ通信を行う。   FIG. 3 is a block diagram illustrating an example of a data flow according to the present embodiment. In FIG. 3, a control unit 10 and a communication unit 11 are provided on the terminal side. Then, the communication unit 11 is connected to the network side and performs data communication with the network side.

図3において、制御部10は、アプリケーションA16aとアプリケーションB16bとをOS上におけるプロセスとして実行する。制御部10によって実行されるアプリケーションは、必要に応じてネットワーク側とのデータ通信を要求する。例えば、アプリケーションA16aは、ネットワーク側へ向けてデータの送信を要求する。この場合、アプリケーションA16aからネットワーク側へ向けて送信するデータは、制御部10で稼働するパケットフィルタ15に入力される。また、アプリケーションB16bからも同様に、アプリケーションB16bからネットワーク側へ向けて送信するデータがパケットフィルタ15に入力される。   In FIG. 3, the control unit 10 executes an application A 16a and an application B 16b as processes on the OS. The application executed by the control unit 10 requests data communication with the network side as necessary. For example, the application A 16a requests data transmission toward the network side. In this case, the data transmitted from the application A 16a toward the network side is input to the packet filter 15 operating in the control unit 10. Similarly, data transmitted from the application B 16b to the network side is input to the packet filter 15 from the application B 16b.

パケットフィルタ15は、制御部10からネットワーク側へ向かうデータのフィルタリング処理を行う。フィルタリング処理は、設定されたフィルタリング条件に基づいて、アプリケーションから要求されたデータの送信を許可するか禁止するか決定する処理である。フィルタリング条件は、例えば、ip_rule又はip_route等を含む。これらのフィルタリング条件は、記憶部12に格納されており、パケットフィルタ15によって参照される。以下、フィルタリング条件を設定する動作は、フィルタリング条件を記憶部12に格納する動作を含むものとする。なお、フィルタリング条件は、記憶部12に格納されずに制御部10に保持されていてもよい。   The packet filter 15 performs a data filtering process from the control unit 10 toward the network side. The filtering process is a process for determining whether to permit or prohibit transmission of data requested by an application based on a set filtering condition. The filtering condition includes, for example, ip_rule or ip_route. These filtering conditions are stored in the storage unit 12 and referred to by the packet filter 15. Hereinafter, the operation of setting the filtering condition includes an operation of storing the filtering condition in the storage unit 12. The filtering condition may be held in the control unit 10 without being stored in the storage unit 12.

ip_ruleは、例えば、送信元がXであるデータをネットワーク側へ送信してよいか決定するための条件を含む。ip_routeは、例えば、送信先としてYが指定されたデータをネットワーク側へ送信するルート(中継ルータ等)を決定するための条件を含む。   ip_rule includes, for example, a condition for determining whether data whose transmission source is X may be transmitted to the network side. ip_route includes, for example, a condition for determining a route (such as a relay router) for transmitting data in which Y is specified as a transmission destination to the network side.

図3において、アプリケーションA16aから送信されるデータの流れが実線の矢印で示され、アプリケーションB16bから送信されるデータの流れが破線の矢印で示される。このうち、アプリケーションA16aから送信されるデータは、パケットフィルタ15におけるフィルタリング処理によって送信が禁止されず、通信部11に送られる。一方、アプリケーションB16bから送信されるデータは、パケットフィルタ15におけるフィルタリング処理によって送信が禁止され、通信部11に送られない。この動作は、図3において破線の矢印がrejectという記載に向けられることで示される。   In FIG. 3, the flow of data transmitted from the application A 16a is indicated by a solid line arrow, and the flow of data transmitted from the application B 16b is indicated by a broken line arrow. Among these, the data transmitted from the application A 16 a is not prohibited from being transmitted by the filtering process in the packet filter 15 and is transmitted to the communication unit 11. On the other hand, transmission of data transmitted from the application B 16 b is prohibited by the filtering process in the packet filter 15 and is not transmitted to the communication unit 11. This operation is shown in FIG. 3 by pointing the dashed arrow to the description “reject”.

パケットフィルタ15を通過したデータ(図3の場合、実線の矢印で示されるアプリケーションA16aから送信されるデータ)は、通信部11に入力される。通信部11は、I/Fデバイス111を用いて、ネットワーク側へデータを送信する。通信部11は、ネットワーク側へデータを送信するに際して、モデム112によるセルラ通信を用いるか、無線LANデバイス113による無線LAN通信を用いるか、又は、他の通信方式を用いるか適宜決定しうる。   Data that has passed through the packet filter 15 (in the case of FIG. 3, data transmitted from the application A 16 a indicated by a solid arrow) is input to the communication unit 11. The communication unit 11 transmits data to the network side using the I / F device 111. When transmitting data to the network side, the communication unit 11 can appropriately determine whether to use cellular communication by the modem 112, use wireless LAN communication by the wireless LAN device 113, or use another communication method.

[フィルタリング処理]
アプリケーションから送信されるデータについてのデータ通信を許可するか禁止するかは、データ送信元のアプリケーションに割り当てられるUIDに基づいて決定される。以下、UIDとしてXが割り当てられるアプリケーション(以下、UIDがXのアプリケーションともいう)から送信されるデータのことを、UIDがXのデータともいう。また、UIDがXのデータのフィルタリング処理を行うために用いられるフィルタリング条件を、UIDがXのデータのフィルタリング条件ともいう。 [Filtering processing]
Whether data communication for data transmitted from the application is permitted or prohibited is determined based on the UID assigned to the data transmission source application. Hereinafter, data transmitted from an application to which X is assigned as a UID (hereinafter also referred to as an application having a UID X) is also referred to as data having a UID X. Further, the filtering condition used for performing the filtering process of the data with the UID X is also referred to as the filtering condition for the data with the UID X.

パケットフィルタ15は、例えば、UIDが1のアプリケーションから送信されるデータに係るデータ通信のみ許可するというフィルタリング条件を有する。また、フィルタリング条件は、複数の条件をあわせたものであってもよい。   For example, the packet filter 15 has a filtering condition of permitting only data communication related to data transmitted from an application having a UID of 1. Further, the filtering condition may be a combination of a plurality of conditions.

ここで、本実施形態に係るフィルタリング処理が行われる場合のデータ通信のシーケンスを説明する。本実施形態に係るフィルタリング処理は、BG動作しているアプリケーションが送信するデータに係るデータ通信の許可又は禁止を決定することを前提とする。以下の本実施形態に係るフィルタリング処理の説明は上記前提に基づく。   Here, a data communication sequence when the filtering process according to the present embodiment is performed will be described. The filtering process according to the present embodiment is based on the premise that permission or prohibition of data communication related to data transmitted by an application operating in BG is determined. The following description of the filtering process according to the present embodiment is based on the above assumption.

本実施形態に係るフィルタリング処理は、デフォルトでデータ通信を禁止するというフィルタリング条件(以下、デフォルト通信禁止条件ともいう)が設定されている。デフォルト通信禁止条件が設定されていることにより、他のフィルタリング条件がさらに設定されない限り、全てのデータ通信が禁止される。デフォルト通信禁止条件は、通信装置1の出荷時に設定されたり、通信装置1の初期化時に設定されたりする。すなわち、本実施形態において、「デフォルト」とは、所定のタイミング(例えば、通信装置1の出荷時、通信装置1の初期化時、等)で、標準の動作として予め設定されていることを意味するものとする。   In the filtering process according to the present embodiment, a filtering condition for prohibiting data communication by default (hereinafter also referred to as a default communication prohibiting condition) is set. Since the default communication prohibition condition is set, all data communication is prohibited unless another filtering condition is further set. The default communication prohibition condition is set when the communication device 1 is shipped, or is set when the communication device 1 is initialized. In other words, in the present embodiment, “default” means that it is preset as a standard operation at a predetermined timing (for example, when the communication device 1 is shipped, when the communication device 1 is initialized, etc.). It shall be.

本実施形態においては、必要なデータ通信を実行するために、デフォルト通信禁止条件に加えて、データ通信を許可するための条件(以下、通信許可条件ともいう)が設定されたフィルタリング条件が用いられる。この場合、通信許可条件は、デフォルト通信禁止条件に優先する。   In the present embodiment, in order to execute necessary data communication, a filtering condition in which a condition for permitting data communication (hereinafter also referred to as a communication permission condition) is used in addition to the default communication prohibition condition. . In this case, the communication permission condition has priority over the default communication prohibition condition.

図4は、本実施形態に係るフィルタリング処理のシーケンスを説明する図である。図4には、アプリケーションA16a、アプリケーションB16b、フレームワーク、通信制御部、カーネル、及びモデム112のシーケンスが示されている。   FIG. 4 is a diagram illustrating a filtering process sequence according to the present embodiment. FIG. 4 shows a sequence of the application A 16a, application B 16b, framework, communication control unit, kernel, and modem 112.

モデム112は、上述の通り、セルラ通信を行う通信インタフェースとして機能するハードウェアである。図4においては、モデム112を用いたセルラ通信によるデータ通信について説明しているが、モデム112ではなく、無線LANデバイス113等の他のI/Fデバイス111に置き換えて、他の通信方式によるデータ通信を行ってもよい。   As described above, the modem 112 is hardware that functions as a communication interface that performs cellular communication. In FIG. 4, the data communication by the cellular communication using the modem 112 is described. However, instead of the modem 112, the data is replaced by another I / F device 111 such as the wireless LAN device 113 and the data by another communication method is used. Communication may be performed.

カーネル、通信制御部、及びフレームワークはソフトウェアであり、制御部10で実行される。図4において、通信制御部にはUIDとして0が割り当てられる。   The kernel, the communication control unit, and the framework are software, and are executed by the control unit 10. In FIG. 4, 0 is assigned as the UID to the communication control unit.

フレームワークは、OS上においてアプリケーションを動作させるための機能群を含むソフトウェアである。一般的に、フレームワークで準備された機能群を組み合わせることによって、各アプリケーションの機能が実現される。   The framework is software including a group of functions for operating an application on the OS. Generally, the function of each application is realized by combining the function groups prepared by the framework.

カーネルは、OSの中核をなすソフトウェアであり、アプリケーション等のソフトウェアによる処理に基づき、通信部11等のハードウェアにおける処理を管理して、ハードウェアの機能を利用できるようにする。   The kernel is software that forms the core of the OS, and manages processing in hardware such as the communication unit 11 based on processing by software such as an application so that the functions of the hardware can be used.

通信制御部は、ネットワーク関連の処理を行うデーモンプログラムであり、フレームワークとカーネルとの間をつなぐ処理をする。通信制御部は、特に、カーネルが通信部11の機能を利用できるようにするためのデータを処理する。本実施形態において、通信制御部は、カーネルが通信部11へのデータ出力を許可するか禁止するか決定するための条件をカーネルに出力する。   The communication control unit is a daemon program that performs network-related processing, and performs processing that connects the framework and the kernel. In particular, the communication control unit processes data for enabling the kernel to use the functions of the communication unit 11. In the present embodiment, the communication control unit outputs a condition for determining whether the kernel permits or prohibits data output to the communication unit 11 to the kernel.

本実施形態において、フィルタリング処理はパケットフィルタ15により行われるものとして説明する。ここで、パケットフィルタ15は仮想的な処理ユニットであり、実際のフィルタリング処理は、通信制御部とカーネルとにより行われる。   In the present embodiment, the filtering process is described as being performed by the packet filter 15. Here, the packet filter 15 is a virtual processing unit, and actual filtering processing is performed by the communication control unit and the kernel.

アプリケーションA16a及びアプリケーションB16bは、OS上において動作するプロセスである。図4において、アプリケーションA16aにはUIDとして1が割り当てられ、アプリケーションB16bにはUIDとして2が割り当てられる。   The application A 16a and the application B 16b are processes that operate on the OS. In FIG. 4, 1 is assigned as the UID to the application A 16a, and 2 is assigned as the UID to the application B 16b.

以下、図4に示されるシーケンスを説明する。BG動作するアプリケーションがデータを送信する場合、デフォルトでセルラ通信によるデータ通信が禁止されている(ステップS1)。つまり、フィルタリング条件として、BG動作するアプリケーションから送信されるデータに係るデフォルト通信禁止条件が設定されている。図4において、デフォルト通信禁止条件が設定されていることは、カーネル、通信制御部、及びフレームワークにより認識されている。特に、カーネルは、デフォルト通信禁止条件が設定されていることを認識している場合、モデム112に対するデータの送信を行わない。   Hereinafter, the sequence shown in FIG. 4 will be described. When an application that operates BG transmits data, data communication by cellular communication is prohibited by default (step S1). That is, a default communication prohibition condition relating to data transmitted from an application that operates BG is set as the filtering condition. In FIG. 4, the fact that the default communication prohibition condition is set is recognized by the kernel, the communication control unit, and the framework. In particular, when the kernel recognizes that the default communication prohibition condition is set, the kernel does not transmit data to the modem 112.

続いて、アプリケーションがBGで動作する場合のUIDが1のデータに係るデータ通信の許可要求(以下、UIDが1のデータの通信許可要求ともいう)を、フレームワークが取得する(ステップS2)。続いて、フレームワークは、UIDが1のデータの通信許可要求を通信制御部に出力する(ステップS3)。   Subsequently, the framework acquires a data communication permission request (hereinafter, also referred to as a data communication permission request for data with a UID of 1) related to data with a UID of 1 when the application operates on the BG (step S2). Subsequently, the framework outputs a communication permission request for data having a UID of 1 to the communication control unit (step S3).

通信制御部は、UIDが1のデータの通信許可要求を取得する(ステップS4)。続いて通信制御部は、UIDが1のデータの通信許可要求をカーネルに出力する(ステップS5)。   The communication control unit acquires a communication permission request for data having a UID of 1 (step S4). Subsequently, the communication control unit outputs a communication permission request for data having a UID of 1 to the kernel (step S5).

カーネルは、UIDが1のデータの通信許可要求を取得する(ステップS6)。以上のステップS3〜S6の動作により、カーネルにUIDが1のデータの通信許可要求が伝達される。つまり、フィルタリング条件として、UIDが1のデータに係る通信許可条件が設定される。   The kernel acquires a communication permission request for data having a UID of 1 (step S6). Through the operations in steps S3 to S6, a communication permission request for data having a UID of 1 is transmitted to the kernel. That is, a communication permission condition relating to data having a UID of 1 is set as a filtering condition.

続いて、アプリケーションA16aがBG動作においてデータ通信を要求する場合(ステップS7)、カーネルは、UIDが1のデータに係る通信許可条件が設定されていることを認識しているので、データ通信を許可する(ステップS8)。そして、モデム112は、UIDが1のデータをネットワーク側へ送信するデータ通信を行う(ステップS9)。   Subsequently, when the application A 16a requests data communication in the BG operation (step S7), since the kernel recognizes that the communication permission condition relating to the data with the UID of 1 is set, the data communication is permitted. (Step S8). Then, the modem 112 performs data communication for transmitting data having a UID of 1 to the network side (step S9).

一方、UIDとして2が割り当てられるアプリケーションB16bがBG動作においてデータ通信を要求する場合(ステップS10)、カーネルは、UIDが2のデータに係る通信許可条件が設定されていないことを認識している。よって、カーネルは、デフォルト通信禁止条件に基づいて、データ通信を禁止する(ステップS11)。   On the other hand, when the application B 16b to which 2 is assigned as the UID requests data communication in the BG operation (step S10), the kernel recognizes that the communication permission condition relating to the data with the UID 2 is not set. Therefore, the kernel prohibits data communication based on the default communication prohibition condition (step S11).

<アプリケーションからのデータ送信シーケンス>
図4のステップS7〜S9において、アプリケーションがデータ通信を要求してモデム112がデータ通信を行うことを説明した。以下、図5を用いて、これらのシーケンスをより具体的に説明する。図5には、アプリケーションA16a、フレームワーク、カーネル、及びモデム112のシーケンスが示されている。アプリケーションA16a、フレームワーク、カーネル、及びモデム112については、図4と同様であるため説明を省略する。 <Data transmission sequence from application>
In steps S7 to S9 of FIG. 4, it has been described that the application requests data communication and the modem 112 performs data communication. Hereinafter, these sequences will be described more specifically with reference to FIG. FIG. 5 shows a sequence of the application A 16a, the framework, the kernel, and the modem 112. The application A 16a, the framework, the kernel, and the modem 112 are the same as those in FIG.

アプリケーションA16aは、FG又はBGのいずれで動作する場合であっても、アプリケーションA16aから送信されるデータ(UIDが1のデータ)に係るデータ通信の要求(以下、UIDが1のデータ通信要求ともいう)をアプリケーションA16aが動作しているOS上のフレームワークに対して出力する(ステップS101)。   Regardless of whether the application A16a operates in FG or BG, a data communication request (hereinafter, also referred to as a data communication request with a UID of 1) related to data (data with a UID of 1) transmitted from the application A16a. ) Is output to the framework on the OS on which the application A 16a is running (step S101).

フレームワークは、UIDが1のデータ通信要求を取得する(ステップS102)。続いてフレームワークは、UIDが1のデータ通信要求をカーネルに出力する(ステップS103)。   The framework acquires a data communication request with a UID of 1 (step S102). Subsequently, the framework outputs a data communication request with a UID of 1 to the kernel (step S103).

カーネルは、UIDが1のデータ通信要求を取得する(ステップS104)。続いてカーネルは、モデム112に対してUIDが1のデータ通信要求に基づいてデータを出力する(ステップS105)。そしてモデム112は、UIDが1のデータをネットワーク側へ送信するデータ通信を行う(ステップS106)。   The kernel acquires a data communication request with a UID of 1 (step S104). Subsequently, the kernel outputs data to the modem 112 based on the data communication request whose UID is 1 (step S105). The modem 112 performs data communication for transmitting data having a UID of 1 to the network side (step S106).

以上説明してきた図5に示されるシーケンスの動作により、アプリケーションから送信するデータが通信部11に出力され、ネットワーク側へ送信される。   By the operation of the sequence shown in FIG. 5 described above, data transmitted from the application is output to the communication unit 11 and transmitted to the network side.

<比較例>
ここまで説明してきた本実施形態に係るフィルタリング処理によれば、デフォルト通信禁止条件に加えて、通信許可条件がユーザにより明示的に追加されるので、ユーザの意図しないデータ通信を禁止できる可能性が高くなる。以下、本実施形態の比較例に係るフィルタリング処理について説明する。比較例に係るフィルタリング処理で用いられるフィルタリング条件には、デフォルトで全てのデータに係るデータ通信を許可するという条件(以下、デフォルト通信許可条件ともいう)が設定される。このように全てのデータに係るデータ通信が許可された上で、ユーザにより指定されたUIDのデータに係るデータ通信を禁止するという条件(以下、通信禁止条件ともいう)がさらに設定される。 <Comparative example>
According to the filtering processing according to the present embodiment described so far, in addition to the default communication prohibition condition, the communication permission condition is explicitly added by the user, so there is a possibility that data communication unintended by the user can be prohibited. Get higher. Hereinafter, a filtering process according to a comparative example of the present embodiment will be described. In the filtering condition used in the filtering process according to the comparative example, a condition for permitting data communication related to all data by default (hereinafter also referred to as a default communication permission condition) is set. In this way, after data communication related to all data is permitted, a condition for prohibiting data communication related to data of the UID designated by the user (hereinafter also referred to as a communication prohibition condition) is further set.

図6は、比較例に係るフィルタリング処理のシーケンスを説明する図である。アプリケーションA16a、アプリケーションB16b、フレームワーク、通信制御部、カーネル、及びモデム112については、図4及び図5と同様であるため説明を省略する。   FIG. 6 is a diagram illustrating a filtering process sequence according to the comparative example. The application A 16a, the application B 16b, the framework, the communication control unit, the kernel, and the modem 112 are the same as those in FIGS.

図6において、BG動作するアプリケーションがデータを送信する場合であっても、デフォルトでセルラ通信によるデータ通信が許可されている(ステップS201)。つまり、フィルタリング条件として、BG動作するアプリケーションから送信されるデータに係るデフォルト通信許可条件が設定されている。   In FIG. 6, even when an application that operates BG transmits data, data communication by cellular communication is permitted by default (step S201). That is, a default communication permission condition relating to data transmitted from an application that operates BG is set as the filtering condition.

続いて、アプリケーションA16aがBG動作する場合におけるUIDが1のデータに係るデータ通信の禁止要求(以下、UIDが1のデータの通信禁止要求ともいう)を、フレームワークが取得する(ステップS202)。この時点においては、アプリケーションA16aがBG動作していないため、UIDが1のデータに係る通信禁止条件は設定されない。   Subsequently, the framework acquires a data communication prohibition request (hereinafter, also referred to as a data communication prohibition request for data with UID 1) when the application A 16a performs a BG operation (step S202). At this time, since the application A 16a is not performing the BG operation, the communication prohibition condition relating to the data with the UID of 1 is not set.

続いて、アプリケーションA16aがBG動作に移行した通知(以下、BG移行通知ともいう)をフレームワークが取得する(ステップS203)。通知を受けたフレームワークは、UIDが1のデータの通信禁止要求を通信制御部に出力する(ステップS204)。   Subsequently, the framework acquires a notification that the application A 16a has shifted to the BG operation (hereinafter also referred to as a BG shift notification) (step S203). Upon receiving the notification, the framework outputs a communication prohibition request for data having a UID of 1 to the communication control unit (step S204).

通信制御部は、UIDが1のデータの通信禁止要求を取得する(ステップS205)。続いて通信制御部は、UIDが1のデータの通信禁止要求をカーネルに出力する(ステップS206)。   The communication control unit acquires a communication prohibition request for data having a UID of 1 (step S205). Subsequently, the communication control unit outputs a communication prohibition request for data having a UID of 1 to the kernel (step S206).

カーネルは、UIDが1のデータの通信禁止要求を取得する(ステップS207)。以上のステップS202〜S207の動作により、カーネルにUIDが1のデータの通信禁止要求が伝達される。つまり、フィルタリング条件として、UIDが1のデータに係る通信禁止条件が設定される。   The kernel acquires a communication prohibition request for data having a UID of 1 (step S207). Through the operations in steps S202 to S207 described above, a communication prohibition request for data having a UID of 1 is transmitted to the kernel. That is, a communication prohibition condition relating to data with a UID of 1 is set as a filtering condition.

続いて、アプリケーションA16aがBG動作においてデータ通信を要求する場合(ステップS208)、カーネルは、UIDが1のデータに係る通信禁止条件が設定されていることを認識しているので、データ通信を禁止する(ステップS209)。   Subsequently, when the application A 16a requests data communication in the BG operation (step S208), the kernel recognizes that the communication prohibition condition relating to the data with the UID of 1 is set, and therefore prohibits the data communication. (Step S209).

一方、UIDとして2が割り当てられるアプリケーションB16bがBG動作においてデータ通信を要求する場合(ステップS210)、カーネルは、UIDが2のデータに係る通信禁止条件が設定されていないことを認識している。よって、カーネルは、デフォルト通信許可条件に基づいて、データ通信を許可する(ステップS211)。そして、モデム112は、UIDが2のデータをネットワーク側へ送信するデータ通信を行う(ステップS212)。   On the other hand, when the application B 16b to which 2 is assigned as the UID requests data communication in the BG operation (step S210), the kernel recognizes that the communication prohibition condition relating to the data with the UID 2 is not set. Therefore, the kernel permits data communication based on the default communication permission condition (step S211). Then, the modem 112 performs data communication for transmitting data having a UID of 2 to the network side (step S212).

以上、比較例に係るフィルタリング処理について説明してきた。比較例では、デフォルト通信許可条件が設定されているため、ユーザにより明示的に追加のフィルタリング条件が設定されていないアプリケーションB16bのBG動作におけるデータ通信は許可される。よって、ユーザがアプリケーションB16bの動作を認識しない場合、ユーザが意図しないデータ通信が行われることがある。   The filtering process according to the comparative example has been described above. In the comparative example, since the default communication permission condition is set, data communication in the BG operation of the application B 16b in which no additional filtering condition is explicitly set by the user is permitted. Therefore, when the user does not recognize the operation of the application B 16b, data communication unintended by the user may be performed.

一方、本実施形態においては、フィルタリング条件として、デフォルト通信禁止条件が設定される。その上で、ユーザが指定したUIDのデータに係る通信許可条件がさらに設定される。この場合、デフォルトで全てのデータについてデータ通信が禁止されていることにより、ユーザが意図しないデータ通信を禁止できる可能性が高くなる。   On the other hand, in this embodiment, a default communication prohibition condition is set as a filtering condition. In addition, a communication permission condition relating to the data of the UID specified by the user is further set. In this case, since data communication is prohibited for all data by default, there is a high possibility that data communication unintended by the user can be prohibited.

以上、本実施形態及びその比較例に係るフィルタリング処理について説明してきた。本実施形態に係るフィルタリング処理においては、比較例に係るフィルタリング処理と異なり、デフォルトで全てのデータについてデータ通信が禁止されている。そして、ユーザにより明示的に、フィルタリング条件としてユーザが指定したUIDのデータに係る通信許可条件が設定されることにより、ユーザが意図するデータ通信を可能としている。   The filtering process according to the present embodiment and the comparative example has been described above. In the filtering process according to the present embodiment, unlike the filtering process according to the comparative example, data communication is prohibited for all data by default. Then, the communication permission condition relating to the data of the UID specified by the user is explicitly set as the filtering condition by the user, thereby enabling the data communication intended by the user.

以上のような構成をとる本実施形態に係るフィルタリング処理によれば、ユーザにより明示的にフィルタリング条件が設定されていないアプリケーションB16bから送信されるデータに係るデータ通信を禁止できる。つまり、ユーザの意図しないデータ通信は禁止される可能性が高くなる。   According to the filtering process according to the present embodiment having the above-described configuration, data communication related to data transmitted from the application B 16b in which filtering conditions are not explicitly set by the user can be prohibited. That is, there is a high possibility that data communication not intended by the user is prohibited.

本実施形態において、I/Fデバイス111としてモデム112を用いるセルラ通信方式によるデータ通信を禁止する方法について主に説明してきた。しかし、I/Fデバイス111はモデム112に限られず、無線LANデバイス113等であってもよい。つまり、本実施形態に係る通信装置1のデータ通信の制御方法は、セルラ通信方式によるデータ通信に限られず、無線LAN通信方式等の他の通信方式によるデータ通信においても適用されうる。   In the present embodiment, the method for prohibiting data communication by the cellular communication method using the modem 112 as the I / F device 111 has been mainly described. However, the I / F device 111 is not limited to the modem 112 and may be a wireless LAN device 113 or the like. That is, the data communication control method of the communication apparatus 1 according to the present embodiment is not limited to data communication using the cellular communication method, and can be applied to data communication using another communication method such as a wireless LAN communication method.

また本実施形態において、データ通信が許可されたデータを送信するために必要となる機能については、デフォルトでデータ通信を許可するようにしてもよい。デフォルトでデータ通信を許可される機能は、例えば、VPN(Vertual Private Network)のトンネリング機能、DNS(Domain Name System)の名前解決機能、又はテザリング機能等である。これらの機能に係るデータ通信は、ユーザが意図した場合に動作するものに限り、許可されてもよい。これらの機能に係るデータ通信を許可する条件は、デフォルト通信禁止条件に優先するフィルタリング条件として設定されてもよい。   In the present embodiment, data communication may be permitted by default for functions necessary for transmitting data permitted for data communication. The functions that are permitted to perform data communication by default include, for example, a VPN (Virtual Private Network) tunneling function, a DNS (Domain Name System) name resolution function, or a tethering function. Data communication related to these functions may be permitted only if it operates when the user intends. Conditions for permitting data communication related to these functions may be set as filtering conditions prior to default communication prohibition conditions.

また、本実施形態に係るフィルタリング処理は、BG動作しているアプリケーションのデータ通信について行われたが、これには限られず、FG動作しているアプリケーションのデータ通信について行われてもよい。つまり、本実施形態に係るフィルタリング処理は、FG動作しているアプリケーションが送信するデータに係るデータ通信の許可又は禁止を決定してもよい。   Further, the filtering process according to the present embodiment is performed for data communication of an application operating in BG, but is not limited thereto, and may be performed for data communication of an application operating in FG. In other words, the filtering process according to the present embodiment may determine whether to allow or prohibit data communication related to data transmitted by an application that is performing an FG operation.

(実施形態2)
ここまで説明してきたように、実施形態1において、アプリケーションから送信されるデータに係るデータ通信を許可するか禁止するかは、データに対応づけられるUIDに基づいて決定される。また実施形態1において、通信部11がネットワーク側に接続する通信方式を主にセルラ通信方式として説明してきた。以下、実施形態2として、通信部11がI/Fデバイス111としてモデム112と無線LANデバイス113とを適宜選択して用いる場合について説明する。 (Embodiment 2)
As described so far, in the first embodiment, whether to allow or prohibit data communication related to data transmitted from an application is determined based on the UID associated with the data. In the first embodiment, the communication method in which the communication unit 11 connects to the network side has been mainly described as the cellular communication method. Hereinafter, as the second embodiment, a case where the communication unit 11 appropriately selects and uses the modem 112 and the wireless LAN device 113 as the I / F device 111 will be described.

図7は、本実施形態に係るデータの流れの一例を示す図である。図7に示される構成は、図3に示される構成と同様に、制御部10と通信部11とが設けられる。図7において、通信部11は、モデム112と無線LANデバイス113とを備える。通信部11は、モデム112と無線LANデバイス113とを適宜選択して使用し、ネットワーク側とのデータ通信を行う。   FIG. 7 is a diagram illustrating an example of a data flow according to the present embodiment. The configuration shown in FIG. 7 includes a control unit 10 and a communication unit 11 as in the configuration shown in FIG. In FIG. 7, the communication unit 11 includes a modem 112 and a wireless LAN device 113. The communication unit 11 selects and uses the modem 112 and the wireless LAN device 113 as appropriate, and performs data communication with the network side.

図7において、図3と同様に、アプリケーションA16aから送信されるデータの流れが実線で示され、アプリケーションB16bから送信されるデータの流れが破線で示される。また図7において、パケットフィルタ15は、I/Fデバイス111がモデム112である場合と無線LANデバイス113である場合とそれぞれについて、フィルタリング条件に基づいてデータ通信を許可するか決定する。   In FIG. 7, as in FIG. 3, the flow of data transmitted from the application A 16a is indicated by a solid line, and the flow of data transmitted from the application B 16b is indicated by a broken line. In FIG. 7, the packet filter 15 determines whether to permit data communication based on the filtering condition for each of the case where the I / F device 111 is the modem 112 and the case where it is the wireless LAN device 113.

本実施形態に係るフィルタリング条件は、I/Fデバイス111がモデム112であってネットワーク側との通信がセルラ通信で行われる場合、デフォルトでデータ通信を禁止するという条件を含む。さらに、本実施形態に係るフィルタリング条件は、アプリケーションA16aから送信されるデータに係る通信許可条件を含む。図7に示されるデータの流れの一例は、これらのフィルタリング条件に基づくものである。   The filtering condition according to the present embodiment includes a condition that data communication is prohibited by default when the I / F device 111 is the modem 112 and communication with the network side is performed by cellular communication. Furthermore, the filtering condition according to the present embodiment includes a communication permission condition related to data transmitted from the application A 16a. An example of the data flow shown in FIG. 7 is based on these filtering conditions.

I/Fデバイス111がモデム112である場合、パケットフィルタ15は、フィルタリング条件に基づいて、アプリケーションB16bから送信されるデータに係るデータ通信を禁止し、データをモデム112に出力しない。図7において、この動作に係るデータの流れは、パケットフィルタ15からrejectという記載に向かう破線の矢印で示される。   When the I / F device 111 is the modem 112, the packet filter 15 prohibits data communication related to data transmitted from the application B 16 b based on the filtering condition, and does not output data to the modem 112. In FIG. 7, the data flow related to this operation is indicated by a broken-line arrow from the packet filter 15 toward the description “reject”.

また、パケットフィルタ15は、フィルタリング条件に基づいて、アプリケーションA16aから送信されるデータに係るデータ通信を禁止せず、データをモデム112に出力する。図7において、この動作に係るデータの流れは、パケットフィルタ15からモデム112に向かう実線の矢印で示される。   The packet filter 15 outputs data to the modem 112 without prohibiting data communication related to data transmitted from the application A 16 a based on the filtering condition. In FIG. 7, the data flow related to this operation is indicated by a solid arrow from the packet filter 15 to the modem 112.

I/Fデバイス111が無線LANデバイス113である場合、パケットフィルタ15は、アプリケーションA16aから送信されるデータに係るデータ通信もアプリケーションB16bから送信されるデータに係るデータ通信も禁止せず、データを無線LANデバイス113に出力する。図7において、この動作に係るデータの流れは、パケットフィルタ15から無線LANデバイス113に向かう実線及び破線の矢印で示される。   When the I / F device 111 is the wireless LAN device 113, the packet filter 15 does not prohibit the data communication related to the data transmitted from the application A 16a and the data communication related to the data transmitted from the application B 16b. The data is output to the LAN device 113. In FIG. 7, the data flow related to this operation is indicated by solid and broken arrows from the packet filter 15 toward the wireless LAN device 113.

以上、実施形態2について説明してきた。上述の通り、セルラ通信方式と無線LAN通信方式とでは通信するデータ量に係る課金方法が異なることがある。本実施形態によれば、セルラ通信方式によるデータ通信と、無線LAN通信方式によるデータ通信とを選択することができ、課金方法に応じたフィルタリング条件を設定することができる。   The second embodiment has been described above. As described above, the charging method related to the amount of data to be communicated may differ between the cellular communication method and the wireless LAN communication method. According to the present embodiment, it is possible to select data communication using a cellular communication method and data communication using a wireless LAN communication method, and it is possible to set a filtering condition according to a charging method.

(実施形態3)
実施形態3として、接続機能部17をさらに備える通信装置1について説明する。接続機能部17は、通信部11がI/Fデバイス111としてモデム112と無線LANデバイス113とを適宜選択する際に用いられる。 (Embodiment 3)
As a third embodiment, a communication apparatus 1 further including a connection function unit 17 will be described. The connection function unit 17 is used when the communication unit 11 appropriately selects the modem 112 and the wireless LAN device 113 as the I / F device 111.

実施形態3においては、一般的に従量課金制の料金体系であるセルラ通信によるデータ通信についてのみUIDに基づいて禁止される。無線LAN又はBluetooth(登録商標)などの、一般的に従量課金制ではない方式によるデータ通信は、UIDに基づいて禁止されなくともよい。   In the third embodiment, only data communication by cellular communication, which is a charge system based on a metered charge system, is generally prohibited based on the UID. Data communication using a method that is not generally a metered charge system such as a wireless LAN or Bluetooth (registered trademark) may not be prohibited based on the UID.

[装置構成]
図8は、実施形態3に係る通信装置1の概略構成例を示す機能ブロック図である。図1と比較して、図8に示される通信装置1は、接続機能部17をさらに備える。 [Device configuration]
FIG. 8 is a functional block diagram illustrating a schematic configuration example of the communication device 1 according to the third embodiment. Compared to FIG. 1, the communication device 1 illustrated in FIG. 8 further includes a connection function unit 17.

接続機能部17は、制御部10と通信部11とに接続される。接続機能部17は、制御部10により制御される。接続機能部17は、通信部11に対して、ネットワーク側との接続にモデム112を用いるか、無線LANデバイス113を用いるか、指示する情報を出力する。   The connection function unit 17 is connected to the control unit 10 and the communication unit 11. The connection function unit 17 is controlled by the control unit 10. The connection function unit 17 outputs information that instructs the communication unit 11 whether to use the modem 112 or the wireless LAN device 113 for connection to the network side.

また接続機能部17は、通信部11におけるネットワーク側との通信が、モデム112を用いて行われているか、無線LANデバイス113を用いて行われているかに係る情報を取得する。つまり、接続機能部17は、図3のI/Fデバイス111がモデム112であるか無線LANデバイス113であるかに係る情報を取得する。   Further, the connection function unit 17 acquires information regarding whether communication with the network side in the communication unit 11 is performed using the modem 112 or the wireless LAN device 113. That is, the connection function unit 17 acquires information regarding whether the I / F device 111 in FIG. 3 is the modem 112 or the wireless LAN device 113.

本実施形態において、制御部10は、アプリケーション機能部とデータサービス機能部とを備える。また、接続機能部17は、制御部10に含まれてもよい。   In the present embodiment, the control unit 10 includes an application function unit and a data service function unit. Further, the connection function unit 17 may be included in the control unit 10.

アプリケーション機能部は、通信装置1におけるアプリケーションの実行に際して、ユーザインタフェースを実現する。またアプリケーション機能部は、各アプリケーションの通信許可又は通信禁止を管理し、通信許可又は通信禁止に係る情報を接続機能部17に通知する。またアプリケーション機能部は、各アプリケーションの状態変化に応じて、接続機能部17への通知を実行するか否か決定する。   The application function unit implements a user interface when executing an application in the communication device 1. The application function unit manages communication permission or communication prohibition of each application, and notifies the connection function unit 17 of information related to communication permission or communication prohibition. Further, the application function unit determines whether or not to notify the connection function unit 17 in accordance with a change in the state of each application.

接続機能部17は、アプリケーション機能部から通知された通信許可又は通信禁止に係る情報をデータサービス機能部に通知する。   The connection function unit 17 notifies the data service function unit of information regarding communication permission or communication prohibition notified from the application function unit.

データサービス機能部は、接続機能部17から通知された通信許可又は通信禁止に係る情報に基づいて、パケットフィルタ15が参照するフィルタリング条件として、通信許可条件又は通信禁止条件の設定(追加、変更、又は削除等)を行う。   The data service function unit sets a communication permission condition or a communication prohibition condition (addition, change, (Or deletion).

[VPNデバイスを備える場合のデータ通信の制御]
本実施形態において、通信装置1はVPNデバイス18をさらに備える。VPNデバイス18は、取得したデータをカプセル化するプロトコルを有する。VPNデバイス18が有するプロトコルは、固有のUIDが割り当てられている。以下、プロトコルに割り当てられたUIDを、プロトコルのUIDともいう。VPNデバイス18は、このプロトコルに基づいて、アプリケーションからのデータをカプセル化する。そして、VPNデバイス18は、カプセル化したデータを通信部11に出力する。カプセル化されたデータは、データを送信するアプリケーションに割り当てられているUIDとの対応づけが失われる。そして、カプセル化されたデータには、カプセル化を行ったプロトコルのUIDが新たに対応づけられる。 [Control of data communication when VPN device is provided]
In the present embodiment, the communication apparatus 1 further includes a VPN device 18. The VPN device 18 has a protocol that encapsulates the acquired data. A unique UID is assigned to the protocol of the VPN device 18. Hereinafter, a UID assigned to a protocol is also referred to as a protocol UID. The VPN device 18 encapsulates data from the application based on this protocol. Then, the VPN device 18 outputs the encapsulated data to the communication unit 11. The correspondence between the encapsulated data and the UID assigned to the application that transmits the data is lost. The encapsulated data is newly associated with the UID of the encapsulated protocol.

VPNデバイス18は、データのカプセル化を行うプロトコルを複数有してもよい。この場合、各プロトコルのUIDはそれぞれ異なる。そして、カプセル化されたデータには、カプセル化を行ったプロトコルのUIDが対応づけられる。またVPNデバイス18がデータのカプセル化を行うプロトコルを複数有する場合、これらのプロトコルのUIDは、共通のグループに属する。この共通のグループには、GIDが割り当てられている。よって、VPNデバイス18が有する複数のプロトコルには共通のGIDが対応づけられる。また、VPNデバイス18が有するプロトコルは、アプリケーションに含まれるものであってもよい。   The VPN device 18 may have a plurality of protocols for encapsulating data. In this case, the UID of each protocol is different. The encapsulated data is associated with the UID of the encapsulated protocol. When the VPN device 18 has a plurality of protocols for data encapsulation, the UIDs of these protocols belong to a common group. This common group is assigned a GID. Therefore, a common GID is associated with a plurality of protocols that the VPN device 18 has. The protocol that the VPN device 18 has may be included in the application.

図9は、本実施形態に係るデータの流れを示す図である。図9において、実施形態2の図7に示される構成に加えて、接続機能部17とVPNデバイス18とがさらに設けられる。図9において、パケットフィルタ15から通信部11へ直接接続される経路を通るデータの流れは、図7と同様であるので説明を省略する。   FIG. 9 is a diagram showing a data flow according to the present embodiment. In FIG. 9, in addition to the configuration shown in FIG. 7 of the second embodiment, a connection function unit 17 and a VPN device 18 are further provided. In FIG. 9, the data flow through the path directly connected from the packet filter 15 to the communication unit 11 is the same as that in FIG.

図9において、接続機能部17は、通信部11からI/Fデバイス111がモデム112であるか無線LANデバイス113であるかに係る情報を取得する。また接続機能部17は、通信部11から取得した情報に基づいて、パケットフィルタ15が参照するフィルタリング条件を設定する。   In FIG. 9, the connection function unit 17 acquires information regarding whether the I / F device 111 is the modem 112 or the wireless LAN device 113 from the communication unit 11. Further, the connection function unit 17 sets a filtering condition referred to by the packet filter 15 based on the information acquired from the communication unit 11.

図10は、接続機能部17の動作を示すフローチャートである。まず、接続機能部17は、VPNデバイス18が有するプロトコルのUIDが対応づけられたデータに係るデータ通信は常に許可するという第1のフィルタリング条件、及び、アプリケーションからVPNデバイス18へのデータの送信を禁止するという第2のフィルタリング条件を設定する(ステップS301)。   FIG. 10 is a flowchart showing the operation of the connection function unit 17. First, the connection function unit 17 transmits the data from the application to the VPN device 18 and the first filtering condition that the data communication related to the data associated with the protocol UID of the VPN device 18 is always permitted. A second filtering condition for prohibition is set (step S301).

第1のフィルタリング条件により、VPNデバイス18でカプセル化されたデータは、どのアプリケーションから送信されたデータであるかにかかわらず、データ通信が許可される。また、VPNデバイス18でカプセル化されたデータは、I/Fデバイス111がモデム112であるか無線LANデバイス113であるかにかかわらず、データ通信が許可される。   According to the first filtering condition, data communication is permitted regardless of which application the data encapsulated by the VPN device 18 is transmitted from. Data communication with the data encapsulated by the VPN device 18 is permitted regardless of whether the I / F device 111 is the modem 112 or the wireless LAN device 113.

一方で、第2のフィルタリング条件により、アプリケーションから送信されたデータは、VPNデバイス18に送信されず、カプセル化されないこととなる。第1及び第2のフィルタリング条件をあわせると、アプリケーションから送信されたデータがVPNデバイス18でカプセル化されることがない。   On the other hand, due to the second filtering condition, data transmitted from the application is not transmitted to the VPN device 18 and is not encapsulated. When the first and second filtering conditions are combined, data transmitted from the application is not encapsulated by the VPN device 18.

ここで、ユーザが指定するアプリケーションから送信されたデータ(ユーザが指定するUIDのデータ)をVPNデバイス18でカプセル化してネットワーク側に送信するために、VPNデバイス18へ向けてデータの送信を許可するというフィルタリング条件をさらに設定する必要がある。このフィルタリング条件の設定は、以下のステップS302〜S305において行われる。   Here, in order to encapsulate the data transmitted from the application specified by the user (the data of the UID specified by the user) by the VPN device 18 and transmit it to the network side, the transmission of data to the VPN device 18 is permitted. It is necessary to further set the filtering condition. This filtering condition is set in the following steps S302 to S305.

ステップS301に続いて、接続機能部17は、通信部11からI/Fデバイス111に係る情報を取得し、I/Fデバイス111がモデム112であるか判定する(ステップS302)。   Subsequent to step S301, the connection function unit 17 acquires information related to the I / F device 111 from the communication unit 11, and determines whether the I / F device 111 is the modem 112 (step S302).

I/Fデバイス111がモデム112である場合(ステップS302:YES)、接続機能部17は、アプリケーションA16aからVPNデバイス18へ向けてデータを送信することを許可するという第3のフィルタリング条件を追加する(ステップS303)。第3のフィルタリング条件により、アプリケーションA16aから送信されたデータは、VPNデバイス18に送信され、カプセル化される。さらに、上記第1のフィルタリング条件により、VPNデバイス18でカプセル化されたデータに係るデータ通信は許可されるので、アプリケーションA16aから送信されたデータはカプセル化されてネットワーク側に送信されることが許可される。その後、接続機能部17は、図10のフローチャートの処理を終了する。   When the I / F device 111 is the modem 112 (step S302: YES), the connection function unit 17 adds a third filtering condition that permits transmission of data from the application A 16a to the VPN device 18. (Step S303). According to the third filtering condition, the data transmitted from the application A 16a is transmitted to the VPN device 18 and encapsulated. Further, since the data communication related to the data encapsulated by the VPN device 18 is permitted by the first filtering condition, the data transmitted from the application A 16a is permitted to be encapsulated and transmitted to the network side. Is done. Thereafter, the connection function unit 17 ends the process of the flowchart of FIG.

I/Fデバイス111がモデム112でない場合(ステップS302:NO)、接続機能部17は、I/Fデバイス111が無線LANデバイス113であるか判定する(ステップS304)。   When the I / F device 111 is not the modem 112 (step S302: NO), the connection function unit 17 determines whether the I / F device 111 is the wireless LAN device 113 (step S304).

I/Fデバイス111が無線LANデバイス113である場合(ステップS304:YES)、接続機能部17は、アプリケーションからVPNデバイス18へ向けてデータを送信することを許可するという第4のフィルタリング条件を追加する(ステップS305)。その後、接続機能部17は、図10のフローチャートの処理を終了する。   When the I / F device 111 is the wireless LAN device 113 (step S304: YES), the connection function unit 17 adds a fourth filtering condition that permits transmission of data from the application to the VPN device 18. (Step S305). Thereafter, the connection function unit 17 ends the process of the flowchart of FIG.

ここでアプリケーションは、アプリケーションA16a及びアプリケーションB16bを含むので、第4のフィルタリング条件により、どのアプリケーションから送信されたデータもVPNデバイス18へ向けて送信が許可されることとなる。これにより、I/Fデバイス111が無線LANデバイス113である場合、どのアプリケーションから送信されたデータもカプセル化されてネットワーク側に送信されることが許可される。   Here, since the application includes the application A 16a and the application B 16b, transmission of data transmitted from any application to the VPN device 18 is permitted by the fourth filtering condition. Thereby, when the I / F device 111 is the wireless LAN device 113, data transmitted from any application is permitted to be encapsulated and transmitted to the network side.

I/Fデバイス111が無線LANデバイス113でない場合(ステップS304:NO)、接続機能部17は、図10のフローチャートの処理を終了する。   When the I / F device 111 is not the wireless LAN device 113 (step S304: NO), the connection function unit 17 ends the process of the flowchart of FIG.

以上、図10を用いて接続機能部17に動作を説明してきたが、これらの動作により設定されるフィルタリング条件によるデータの流れは、図9において示されるデータの流れに対応する。以下、この対応関係について説明する。   As described above, the operation of the connection function unit 17 has been described with reference to FIG. 10, but the data flow according to the filtering condition set by these operations corresponds to the data flow shown in FIG. Hereinafter, this correspondence will be described.

図9において、パケットフィルタ15からVPNデバイス18に向かう実線の矢印は、第3のフィルタリング条件(アプリケーションA16aからVPNデバイス18へのデータの送信を許可する条件)に基づくデータの流れを示している。また、実線の矢印は、第4のフィルタリング条件(アプリケーションA16a及びアプリケーションB16bからVPNデバイス18へのデータの送信を許可する条件)に基づくデータの流れも示している。   In FIG. 9, a solid line arrow from the packet filter 15 to the VPN device 18 indicates a data flow based on a third filtering condition (a condition for permitting data transmission from the application A 16 a to the VPN device 18). The solid line arrows also indicate the data flow based on the fourth filtering condition (conditions permitting data transmission from the application A 16a and the application B 16b to the VPN device 18).

図9において、パケットフィルタ15からVPNデバイス18に向かう破線の矢印は、VPNデバイス18の手前で分岐する。分岐の一方は、VPNデバイス18に向かい、分岐の他方は、rejectという記載に向かう。VPNデバイス18に向かう破線の矢印は、第4のフィルタリング条件に基づくデータの流れを示している。また、rejectという記載に向かう破線の矢印は、第3のフィルタリング条件に基づくデータの流れを示している。つまり、破線の矢印で流れが示されるアプリケーションB16bから送信されるデータは、I/Fデバイス111がモデム112であるか無線LANデバイス113であるかにより、VPNデバイス18に送信されるか決定される。   In FIG. 9, a broken-line arrow from the packet filter 15 to the VPN device 18 branches before the VPN device 18. One of the branches goes to the VPN device 18 and the other of the branches goes to the description “reject”. A broken-line arrow toward the VPN device 18 indicates a data flow based on the fourth filtering condition. A broken-line arrow heading toward “reject” indicates a data flow based on the third filtering condition. That is, whether the data transmitted from the application B 16b whose flow is indicated by the dashed arrow is transmitted to the VPN device 18 is determined depending on whether the I / F device 111 is the modem 112 or the wireless LAN device 113. .

図9に示されるデータの流れは、図10のフローチャートで設定される各フィルタリング条件に基づき実現されている。しかし、図10とは異なるフィルタリング条件でも図9に示されるデータの流れは実現されうる。図11は、図10とは異なるフィルタリング条件を設定するフローチャートである。   The data flow shown in FIG. 9 is realized based on each filtering condition set in the flowchart of FIG. However, the data flow shown in FIG. 9 can be realized even under filtering conditions different from those in FIG. FIG. 11 is a flowchart for setting filtering conditions different from those in FIG.

以下、図11に示されるフローチャートについて説明する。まず、接続機能部17は、VPNデバイス18が有するプロトコルのUIDが対応づけられたデータに係るデータ通信は常に許可するという第1のフィルタリング条件、及び、アプリケーションからVPNデバイス18へのデータの送信を許可するという第5のフィルタリング条件を設定する(ステップS401)。第1のフィルタリング条件は、図10のステップS301で設定される第1のフィルタリング条件と同じである。第5のフィルタリング条件は、図10のステップS301で設定される第2のフィルタリング条件と比較して、データの送信を禁止するのではなく許可する点で異なる。   Hereinafter, the flowchart shown in FIG. 11 will be described. First, the connection function unit 17 transmits the data from the application to the VPN device 18 and the first filtering condition that the data communication related to the data associated with the protocol UID of the VPN device 18 is always permitted. A fifth filtering condition of permitting is set (step S401). The first filtering condition is the same as the first filtering condition set in step S301 in FIG. The fifth filtering condition is different from the second filtering condition set in step S301 in FIG. 10 in that the transmission of data is permitted rather than prohibited.

第1のフィルタリング条件により、VPNデバイス18でカプセル化されたデータは、どのアプリケーションから送信されたデータであるかにかかわらず、データ通信が許可される。また、VPNデバイス18でカプセル化されたデータは、I/Fデバイス111がモデム112であるか無線LANデバイス113であるかにかかわらず、データ通信が許可される。   According to the first filtering condition, data communication is permitted regardless of which application the data encapsulated by the VPN device 18 is transmitted from. Data communication with the data encapsulated by the VPN device 18 is permitted regardless of whether the I / F device 111 is the modem 112 or the wireless LAN device 113.

また、第5のフィルタリング条件により、アプリケーションから送信されたデータは、デフォルトでVPNデバイス18に送信され、カプセル化される。第1及び第5のフィルタリング条件をあわせると、アプリケーションから送信されたデータは、デフォルトで、VPNデバイス18においてカプセル化される。   Further, the data transmitted from the application is transmitted to the VPN device 18 by default and encapsulated by the fifth filtering condition. When the first and fifth filtering conditions are combined, the data transmitted from the application is encapsulated in the VPN device 18 by default.

ここで、ユーザが指定するアプリケーションから送信されたデータ(ユーザが指定するUIDのデータ)をVPNデバイス18に送信せずカプセル化しないようにするために、VPNデバイス18へ向けてデータの送信を禁止するというフィルタリング条件をさらに設定する必要がある。このフィルタリング条件の設定は、以下のステップS402〜S405において行われる。   Here, in order to prevent the data (UID data specified by the user) transmitted from the application specified by the user from being transmitted to the VPN device 18 and not encapsulated, data transmission to the VPN device 18 is prohibited. It is necessary to further set a filtering condition to do. This filtering condition is set in the following steps S402 to S405.

ステップS401に続いて、接続機能部17は、通信部11からI/Fデバイス111に係る情報を取得し、I/Fデバイス111がモデム112であるか判定する(ステップS402)。   Subsequent to step S401, the connection function unit 17 acquires information related to the I / F device 111 from the communication unit 11, and determines whether the I / F device 111 is the modem 112 (step S402).

I/Fデバイス111がモデム112である場合(ステップS402:YES)、接続機能部17は、アプリケーションB16bからVPNデバイス18へ向けてデータを送信することを禁止するという第6のフィルタリング条件を追加する(ステップS403)。これにより、アプリケーションB16bから送信されたデータは、VPNデバイス18に送信されず、カプセル化されない。よって、アプリケーションB16bから送信されたデータに係るデータ通信は許可されないこととなる。一方で、アプリケーションA16aから送信されたデータは、VPNデバイス18への送信が禁止されていない。よって、アプリケーションA16aから送信されたデータは、カプセル化されてネットワーク側に送信されることが許可される。その後、接続機能部17は、図11のフローチャートの処理を終了する。   If the I / F device 111 is the modem 112 (step S402: YES), the connection function unit 17 adds a sixth filtering condition that prohibits data transmission from the application B 16b to the VPN device 18. (Step S403). Thereby, the data transmitted from the application B 16b is not transmitted to the VPN device 18 and is not encapsulated. Therefore, data communication related to the data transmitted from the application B 16b is not permitted. On the other hand, transmission of data transmitted from the application A 16a to the VPN device 18 is not prohibited. Therefore, the data transmitted from the application A 16a is permitted to be encapsulated and transmitted to the network side. Thereafter, the connection function unit 17 ends the process of the flowchart of FIG.

I/Fデバイス111がモデム112でない場合(ステップS402:NO)、接続機能部17は、I/Fデバイス111が無線LANデバイス113であるか判定する(ステップS404)。   When the I / F device 111 is not the modem 112 (step S402: NO), the connection function unit 17 determines whether the I / F device 111 is the wireless LAN device 113 (step S404).

I/Fデバイス111が無線LANデバイス113である場合(ステップS404:YES)、接続機能部17は、第6のフィルタリング条件を削除する(ステップS405)。第6のフィルタリング条件の削除は、もともと第6のフィルタリング条件が追加されていた場合に限られる。これにより、アプリケーションB16bから送信されたデータについても、VPNデバイス18への送信が禁止されない。よって、アプリケーションB16bから送信されたデータも、アプリケーションA16aから送信されたデータと同様に、カプセル化されてネットワーク側に送信されることが許可される。つまり、I/Fデバイス111が無線LANデバイス113である場合、どのアプリケーションから送信されたデータもカプセル化されてネットワーク側に送信されることが許可される。その後、接続機能部17は、図11のフローチャートの処理を終了する。   When the I / F device 111 is the wireless LAN device 113 (step S404: YES), the connection function unit 17 deletes the sixth filtering condition (step S405). The deletion of the sixth filtering condition is limited to the case where the sixth filtering condition is originally added. As a result, transmission of data transmitted from the application B 16b to the VPN device 18 is not prohibited. Therefore, the data transmitted from the application B 16b is permitted to be encapsulated and transmitted to the network side in the same manner as the data transmitted from the application A 16a. In other words, when the I / F device 111 is the wireless LAN device 113, data transmitted from any application is permitted to be encapsulated and transmitted to the network side. Thereafter, the connection function unit 17 ends the process of the flowchart of FIG.

I/Fデバイス111が無線LANデバイス113でない場合(ステップS404:NO)、接続機能部17は、図11のフローチャートの処理を終了する。   When the I / F device 111 is not the wireless LAN device 113 (step S404: NO), the connection function unit 17 ends the process of the flowchart of FIG.

以上、図11を用いて説明してきた接続機能部17の動作によって設定されるフィルタリング条件によるデータの流れは、図9に示されるデータの流れに対応する。以下、この対応関係について説明する。   As described above, the data flow based on the filtering condition set by the operation of the connection function unit 17 described with reference to FIG. 11 corresponds to the data flow shown in FIG. Hereinafter, this correspondence will be described.

図9において、パケットフィルタ15からVPNデバイス18に向かう実線の矢印は、第5のフィルタリング条件に基づくデータの流れを示している。   In FIG. 9, a solid line arrow from the packet filter 15 toward the VPN device 18 indicates a data flow based on the fifth filtering condition.

図9において、パケットフィルタ15からVPNデバイス18に向かう破線の矢印は、VPNデバイス18の手前で分岐する。分岐の一方は、VPNデバイス18に向かい、分岐の他方は、rejectという記載に向かう。VPNデバイス18に向かう破線の矢印は、第5のフィルタリング条件(デフォルトでデータの送信を許可する条件)に基づくデータの流れを示している。また、rejectという記載に向かう破線の矢印は、第6のフィルタリング条件(アプリケーションB16bからVPNデバイス18へのデータの送信を禁止する条件)に基づくデータの流れを示している。つまり、破線の矢印で流れが示されるアプリケーションB16bから送信されるデータは、I/Fデバイス111がモデム112であるか無線LANデバイス113であるかにより、VPNデバイス18に送信されるか決定される。   In FIG. 9, a broken-line arrow from the packet filter 15 to the VPN device 18 branches before the VPN device 18. One of the branches goes to the VPN device 18 and the other of the branches goes to the description “reject”. A broken-line arrow toward the VPN device 18 indicates a data flow based on the fifth filtering condition (a condition for permitting data transmission by default). A broken-line arrow heading toward “reject” indicates a data flow based on the sixth filtering condition (a condition for prohibiting data transmission from the application B 16b to the VPN device 18). That is, whether the data transmitted from the application B 16b whose flow is indicated by the dashed arrow is transmitted to the VPN device 18 is determined depending on whether the I / F device 111 is the modem 112 or the wireless LAN device 113. .

ここまで説明してきた本実施形態に係るフィルタリング処理によれば、接続機能部17が通信部11から取得した情報に基づいてVPNデバイス18へのデータの送信を制御できる。よって、VPNデバイス18でデータがカプセル化されてデータのUIDが変更される場合でも、アプリケーションに割り当てられたUIDに基づいてデータ通信を許可又は禁止することが容易になる。以下、本実施形態の比較例に係るフィルタリング処理について説明する。   According to the filtering process according to the present embodiment described so far, the transmission of data to the VPN device 18 can be controlled based on the information acquired from the communication unit 11 by the connection function unit 17. Therefore, even when data is encapsulated by the VPN device 18 and the UID of the data is changed, it becomes easy to permit or prohibit data communication based on the UID assigned to the application. Hereinafter, a filtering process according to a comparative example of the present embodiment will be described.

<比較例1>
図12は、本実施形態の比較例1に係るデータの流れを示す図である。図12において、図7と同様に、アプリケーションA16aから送信されるデータの流れが実線で示され、アプリケーションB16bから送信されるデータの流れが破線で示される。図12におけるデータが流れる経路は、パケットフィルタ15から通信部11に直接接続される経路だけでなく、パケットフィルタ15からVPNデバイス18を介して通信部11に接続される経路も含む。VPNデバイス18から出力され、新たなUIDが対応づけられたデータの流れは、二重線の矢印で示される。図12において、パケットフィルタ15から通信部11へ直接接続される経路を通るデータの流れは、図7と同様であるので説明を省略する。 <Comparative Example 1>
FIG. 12 is a diagram illustrating a data flow according to Comparative Example 1 of the present embodiment. In FIG. 12, as in FIG. 7, the flow of data transmitted from the application A 16a is indicated by a solid line, and the flow of data transmitted from the application B 16b is indicated by a broken line. 12 includes not only a path directly connected from the packet filter 15 to the communication unit 11 but also a path connected to the communication unit 11 via the VPN device 18 from the packet filter 15. A data flow output from the VPN device 18 and associated with a new UID is indicated by a double-line arrow. In FIG. 12, the data flow through the path directly connected from the packet filter 15 to the communication unit 11 is the same as that in FIG.

図12において、パケットフィルタ15からVPNデバイス18を介して通信部11にデータが流れる経路は、データのカプセル化を行う前に、パケットフィルタ15がVPNデバイス18にデータを出力するか決定するものである。図12においては、図9と比較して、パケットフィルタ15は、VPNデバイス18がカプセル化したデータを最終的にモデム112に出力するか無線LANデバイス113に出力するか判別できない。よって、アプリケーションB16bのデータをVPNデバイス18に出力してよいか決定できない。   In FIG. 12, the path through which data flows from the packet filter 15 to the communication unit 11 via the VPN device 18 determines whether the packet filter 15 outputs data to the VPN device 18 before data encapsulation. is there. In FIG. 12, compared with FIG. 9, the packet filter 15 cannot determine whether the data encapsulated by the VPN device 18 is finally output to the modem 112 or the wireless LAN device 113. Therefore, it cannot be determined whether the data of the application B 16b can be output to the VPN device 18.

<比較例2>
図13は、本実施形態の比較例2に係るデータの流れを示す図である。図13において、図7及び図12と同様に、アプリケーションA16aから送信されるデータの流れが実線で示され、アプリケーションB16bから送信されるデータの流れが破線で示される。また図13において、図12と同様に、VPNデバイス18から出力され、新たなUIDが対応づけられたデータの流れは、二重線で示される。図13において、アプリケーションA16a及びアプリケーションB16bとパケットフィルタ15との間にVPNデバイス18が接続されている。つまり、図13におけるデータが流れる経路は、アプリケーションから送信されたデータがカプセル化された後に、パケットフィルタ15が通信部11にデータを出力するか決定するものである。 <Comparative example 2>
FIG. 13 is a diagram illustrating a data flow according to Comparative Example 2 of the present embodiment. In FIG. 13, similarly to FIGS. 7 and 12, the flow of data transmitted from the application A 16a is indicated by a solid line, and the flow of data transmitted from the application B 16b is indicated by a broken line. In FIG. 13, as in FIG. 12, the flow of data output from the VPN device 18 and associated with a new UID is indicated by a double line. In FIG. 13, a VPN device 18 is connected between the application A 16 a and application B 16 b and the packet filter 15. That is, the data flow path in FIG. 13 determines whether the packet filter 15 outputs data to the communication unit 11 after the data transmitted from the application is encapsulated.

図13においては、図12とは異なり、パケットフィルタ15は、通信部11のI/Fデバイス111に対してデータを直接出力するため、データの出力先であるI/Fデバイス111が、モデム112であるか無線LANデバイス113であるか判別できる。   In FIG. 13, unlike FIG. 12, since the packet filter 15 directly outputs data to the I / F device 111 of the communication unit 11, the I / F device 111 that is the output destination of the data Or the wireless LAN device 113.

しかしこの場合、パケットフィルタ15に入力されるデータには、VPNデバイス18においてデータをカプセル化したプロトコルのUIDが対応づけられている。つまり、パケットフィルタ15に入力されるデータには、アプリケーションA16aのUIDもアプリケーションB16bのUIDも対応づけられていない。よって、パケットフィルタ15は、データがアプリケーションA16aから送信されたのか、アプリケーションB16bから送信されたのか、判別できない。結果として、パケットフィルタ15は、I/Fデバイス111がモデム112である場合に、モデム112に対してアプリケーションからのデータを出力してよいかどうか決定できない。   However, in this case, the data input to the packet filter 15 is associated with the UID of the protocol that encapsulates the data in the VPN device 18. That is, the data input to the packet filter 15 is not associated with the UID of the application A 16a or the UID of the application B 16b. Therefore, the packet filter 15 cannot determine whether the data is transmitted from the application A 16a or the application B 16b. As a result, when the I / F device 111 is the modem 112, the packet filter 15 cannot determine whether data from an application may be output to the modem 112.

一方で、I/Fデバイス111が無線LANデバイス113である場合には、パケットフィルタ15は、無線LANデバイス113に対してアプリケーションからのデータを出力してよいと決定し、データを出力できる。   On the other hand, when the I / F device 111 is the wireless LAN device 113, the packet filter 15 determines that data from the application may be output to the wireless LAN device 113, and can output the data.

以上、本実施形態並びに比較例1及び比較例2に係るデータの流れ、つまり、データ通信の制御について説明してきた。本実施形態に係るデータ通信の制御によれば、VPNデバイス18でデータがカプセル化されてデータのUIDが変更される場合でも、アプリケーションに割り当てられたUIDに基づいてデータ通信を許可又は禁止することが容易になる。   The data flow according to the present embodiment and Comparative Examples 1 and 2, that is, the control of data communication has been described above. According to the data communication control according to the present embodiment, even when data is encapsulated by the VPN device 18 and the data UID is changed, the data communication is permitted or prohibited based on the UID assigned to the application. Becomes easier.

本発明を諸図面や実施例に基づき説明してきたが、当業者であれば本開示に基づき種々の変形や修正を行うことが容易であることに注意されたい。従って、これらの変形や修正は本発明の範囲に含まれることに留意されたい。例えば、各構成部、各ステップなどに含まれる機能などは論理的に矛盾しないように再配置可能であり、複数の構成部やステップなどを1つに組み合わせたり、或いは分割したりすることが可能である。また、本発明について装置を中心に説明してきたが、本発明は装置の各構成部が実行するステップを含む方法としても実現し得るものである。また、本発明について装置を中心に説明してきたが、本発明は装置が備えるプロセッサにより実行される方法、プログラム、又はプログラムを記録した記憶媒体としても実現し得るものであり、本発明の範囲にはこれらも包含されるものと理解されたい。   Although the present invention has been described based on the drawings and examples, it should be noted that those skilled in the art can easily make various modifications and corrections based on the present disclosure. Therefore, it should be noted that these variations and modifications are included in the scope of the present invention. For example, the functions included in each component, each step, etc. can be rearranged so that there is no logical contradiction, and multiple components, steps, etc. can be combined or divided into one It is. Further, although the present invention has been described centering on an apparatus, the present invention can also be realized as a method including steps executed by each component of the apparatus. Further, although the present invention has been described mainly with respect to the apparatus, the present invention can also be realized as a method, a program executed by a processor included in the apparatus, or a storage medium storing the program, and is within the scope of the present invention. It should be understood that these are also included.

上記の実施形態では、従量課金制ではない方式によるデータ通信の方式として無線LANを例示したが、これに限定されず、従量課金制ではない方式は、Bluetooth(登録商標)やEthernet(登録商標)等のデータ通信方式であってもよい。   In the above-described embodiment, the wireless LAN is exemplified as a data communication method based on a method that is not a pay-per-use system. A data communication system such as

1 通信装置
10 制御部
11 通信部
111 I/Fデバイス
112 モデム
113 無線LANデバイス
12 記憶部
13 表示部
14 操作部
15 パケットフィルタ
16a アプリケーションA
16b アプリケーションB
17 接続機能部
18 VPNデバイス
DESCRIPTION OF SYMBOLS 1 Communication apparatus 10 Control part 11 Communication part 111 I / F device 112 Modem 113 Wireless LAN device 12 Storage part 13 Display part 14 Operation part 15 Packet filter 16a Application A
16b Application B
17 Connection Function Unit 18 VPN Device

上記目的を達成する本発明の一実施形態に係る通信装置は、
デフォルトでデータ通信を禁止し、
アプリケーションからデータ通信の要求を受け、
前記要求したアプリケーションのUIDに応じて、該アプリケーションのデータ通信を許可する。
また、デフォルトで全てのアプリケーションのデータ通信を禁止し、
アプリケーションからデータ通信の要求を受け、
前記要求したアプリケーションのUIDに応じて、該アプリケーションのデータ通信を許可してよい。
また、デフォルトで全てのアプリケーションのデータ通信を禁止し、
バックグラウンド動作するアプリケーションからデータ通信の要求を受け、
前記要求したアプリケーションのUIDに応じて、該アプリケーションのバックグラウンド動作におけるデータ通信を許可してよい。
また、デフォルトで、アプリケーションのバックグラウンド動作におけるデータ通信を禁止し、
バックグラウンド動作するアプリケーションからデータ通信の要求を受け、
前記要求したアプリケーションのUIDに応じて、該アプリケーションのバックグラウンド動作におけるデータ通信を許可してよい。
また、デフォルトで全てのアプリケーションのデータ通信を禁止し、
アプリケーションからデータ通信の要求を受け、
前記要求したアプリケーションのUIDが、ユーザが指定したUIDである場合に、該アプリケーションのデータ通信を許可してよい。 A communication device according to an embodiment of the present invention that achieves the above object is as follows.
Data communication is prohibited by default,
Receives a data communication request from the application,
Data communication of the application is permitted according to the requested UID of the application.
Also, by default, data communication for all applications is prohibited,
Receives a data communication request from the application,
Depending on the requested UID of the application, data communication of the application may be permitted.
Also, by default, data communication for all applications is prohibited,
Receives a data communication request from an application that runs in the background,
Depending on the requested UID of the application, data communication in the background operation of the application may be permitted.
Also, by default, data communication in the background operation of the application is prohibited,
Receives a data communication request from an application that runs in the background,
Depending on the requested UID of the application, data communication in the background operation of the application may be permitted.
Also, by default, data communication for all applications is prohibited,
Receives a data communication request from the application,
When the requested UID of the application is a UID specified by the user, data communication of the application may be permitted.

Claims (5)

デフォルトでデータ通信を禁止し、
アプリケーションからデータ通信の要求を受け、
前記要求したアプリケーションのUIDに応じて、該アプリケーションのデータ通信を許可する
通信装置。 Data communication is prohibited by default,
Receives a data communication request from the application,
A communication device that permits data communication of the application according to the requested UID of the application. 前記データ通信がセルラ通信である場合に、デフォルトでデータ通信を禁止する、請求項1に記載の通信装置。   The communication apparatus according to claim 1, wherein when the data communication is cellular communication, data communication is prohibited by default. 前記データ通信が無線LAN通信である場合に、デフォルトでデータ通信を許可する、請求項1又は2に記載の通信装置   The communication device according to claim 1, wherein the data communication is permitted by default when the data communication is wireless LAN communication. 通信装置において、
デフォルトでデータ通信を禁止するステップと、
アプリケーションからデータ通信の要求を受けるステップと、
前記要求したアプリケーションのUIDに応じて、該アプリケーションのデータ通信を許可するステップと
を含む通信制御方法。 In the communication device,
A step of prohibiting data communication by default;
Receiving a data communication request from the application;
Permitting data communication of the application in accordance with the requested UID of the application. 通信装置として機能するコンピュータに、
デフォルトでデータ通信を禁止するステップと、
アプリケーションからデータ通信の要求を受けるステップと、
前記要求したアプリケーションのUIDに応じて、該アプリケーションのデータ通信を許可するステップと
を実行させるプログラム。 To a computer that functions as a communication device,
A step of prohibiting data communication by default;
Receiving a data communication request from the application;
A program for executing a step of permitting data communication of the application in accordance with the requested UID of the application.
JP2016215410A 2016-11-02 2016-11-02 Communication apparatus, communication control method, and program Pending JP2017139735A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016215410A JP2017139735A (en) 2016-11-02 2016-11-02 Communication apparatus, communication control method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016215410A JP2017139735A (en) 2016-11-02 2016-11-02 Communication apparatus, communication control method, and program

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016019007A Division JP6258985B2 (en) 2016-02-03 2016-02-03 COMMUNICATION DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017153655A Division JP2017225161A (en) 2017-08-08 2017-08-08 Communication apparatus, communication control method, and program

Publications (1)

Publication Number Publication Date
JP2017139735A true JP2017139735A (en) 2017-08-10

Family

ID=59565205

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016215410A Pending JP2017139735A (en) 2016-11-02 2016-11-02 Communication apparatus, communication control method, and program

Country Status (1)

Country Link
JP (1) JP2017139735A (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010161754A (en) * 2009-02-19 2010-07-22 Toshiba Corp Mobile terminal
JP2014022986A (en) * 2012-07-19 2014-02-03 Ntt Docomo Inc Mobile communication system, network apparatus, mobile station, and mobile communication method
JP2014146996A (en) * 2013-01-29 2014-08-14 Kyocera Corp Portable terminal device, program and control method of portable terminal device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010161754A (en) * 2009-02-19 2010-07-22 Toshiba Corp Mobile terminal
JP2014022986A (en) * 2012-07-19 2014-02-03 Ntt Docomo Inc Mobile communication system, network apparatus, mobile station, and mobile communication method
JP2014146996A (en) * 2013-01-29 2014-08-14 Kyocera Corp Portable terminal device, program and control method of portable terminal device

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"iPhone 3Gのトリセツ [Chapter 2]詳細解説", MAC FAN 第16巻 第9号, JPN6016051033, 1 September 2008 (2008-09-01), JP, ISSN: 0003475268 *
林 伸夫: "わがままリクエストも指先1つで iPhoneコンシェルジェ", MAC FAN 第18巻 第7号, JPN6016051032, 1 July 2010 (2010-07-01), JP, ISSN: 0003475267 *

Similar Documents

Publication Publication Date Title
AU2017427437B2 (en) Pdu type setting method, ue policy setting method, and related entity
JP6235017B2 (en) Apparatus and method for mobile communications computing
EP3439371B1 (en) Method and apparatus for determining access point service capabilities
US8918841B2 (en) Hardware interface access control for mobile applications
JP2007043483A (en) Information processor, communication control method, and communication control program
TWI700957B (en) Method and terminal for determining establishment reason
JP6258985B2 (en) COMMUNICATION DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM
JP6532851B2 (en) Communication apparatus, DNS processing method, and program
JP6029781B1 (en) Communication apparatus, DNS processing method, and program
JP6093055B1 (en) COMMUNICATION DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM
JP6258986B2 (en) COMMUNICATION DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM
JP2017225161A (en) Communication apparatus, communication control method, and program
JP6180613B2 (en) COMMUNICATION DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM
JP2017139735A (en) Communication apparatus, communication control method, and program
JP2017225162A (en) Communication device, communication control method, and program
JP6339604B2 (en) COMMUNICATION DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM
JP2017139736A (en) Communication device, communication control method, and program
JP6069553B1 (en) COMMUNICATION DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM
JP2017201830A (en) Communication device, communication control method and program
JP2017138971A (en) Communication device, communication control method and program
US20170223614A1 (en) Communication apparatus, communication control method, and non-transitory computer-readable recording medium
JP2017139751A (en) Communication device, communication control method and program
JP2017139747A (en) Communication device, communication control method and program
JP2005250649A (en) Interprocess communication access control system and method

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170509