JP7240356B2 - セルラー通信端末のネットワークへの接続方式 - Google Patents
セルラー通信端末のネットワークへの接続方式 Download PDFInfo
- Publication number
- JP7240356B2 JP7240356B2 JP2020098059A JP2020098059A JP7240356B2 JP 7240356 B2 JP7240356 B2 JP 7240356B2 JP 2020098059 A JP2020098059 A JP 2020098059A JP 2020098059 A JP2020098059 A JP 2020098059A JP 7240356 B2 JP7240356 B2 JP 7240356B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- network
- cellular communication
- address
- company
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、高い安全性を確保したセルラー通信端末のネットワークへの接続方式に関するものである。
近年、パソコンやタブレット、スマートフォンなどのIT機器を業務目的で社外に持ち出して使用する機会は多い。在宅勤務もこの流れの一環であると考えられる。
社外から社内の情報にアクセスしたい場合、従来はインターネットVPNを使うことが一般的であった。
インターネットVPNとは、誰もが自由に使えるインターネット上に認証や暗号化等のセキュリティ対策を施した通信路(VPN:Virtual Private Network)を作成し、社外に持ち出したIT機器と社内の装置(サーバーなど)とがこのVPNを使って通信することにより、情報の漏洩を防止することを目的とした技術である。
しかし、インターネットVPNには大きく3つの問題がある。第1に、社内にVPNの作成を待ち受ける装置(VPNゲートウェイ装置)が必要であり、この運用費用が掛かることである。第2に、先のVPNゲートウェイ装置はインターネットに接続される必要があり、常にインターネットを経由した世界中からの攻撃にさらされることである。このため、この対策にまた大きな費用が発生することになる。第3に、インターネットVPNはVPNを作成する際に社外に持ち出したIT機器に認証情報を入力する必要があり、これが漏洩した場合は悪意を持った人間が社内の情報にアクセス出来てしまうことである。よって、この認証情報は厳格な管理が求められるため使う人間にとっては大きな負担となる。
このような問題点から、近年インターネットを経由しない通信方式が注目されている。それが閉域SIMと呼ばれる物である。閉域SIMとは、セルラー通信事業者と会社とをインターネットを経由しない専用線で結び、社外に持ち出したIT機器が持つセルラー通信機に専用のSIMを挿入することによって、そのIT機器の通信を会社と結んだ専用線にすべて誘導する技術である。このことによって上記のインターネットVPNの3つの問題点が解決され、利用者の利便性は大いに向上することとなった。例えば、公衆回線網から専用線を介しLANにアクセスする発明(特許文献1)や、公衆回線網からLANにアクセスすることや、LAN側から外部端末にアクセスすることや、公衆回線網に認証機能を持たせる発明が知られている(特許文献2)。
しかし、閉域SIMが普及するにつれて新たな問題が発生することになった。最も大きな問題は、社外に持ち出したIT機器やそこに挿入されたSIMの盗難である。通常、セルラー通信を行うには物理的なSIMの他に、APN、ユーザー名、パスワードといった情報が必要である。しかし、これらは一度設定してしまうと揮発することはなくIT機器の電源を入れれば誰でも使える状態になる。
また、APN、ユーザー名、パスワードは社外に持ち出したIT機器を利用するすべての利用者で共通であることも多く認証情報としての意味は薄い。よって、社外に持ち出したIT機器やSIMを盗んだ者は容易に社内の情報に無制限にアクセスすることが可能になり、結果としてインターネットVPNよりもはるかにセキュリティが低下してしまうこととなる可能性がある。
このような状況から、閉域SIMを用いた上でさらに本来は必要ない認証と暗号化を伴うVPNを作成することが行われることとなった。これはインターネットから攻撃されることはないが、インターネットVPNと同様にVPNゲートウェイ装置が必要であり、その運用費が別途発生する。また、利用者はインターネットVPNと同様にVPNを作成するために認証情報を入力する必要があり負担も軽減されない。
あるいは、簡易な方法として社内の機器によってアプリケーションレベル(OSI7階層参照モデルの第7層)でアクセス制限を行うこともしばしば行われる。この場合は上記のVPNゲートウェイ装置が不要となるが、ネットワークレベル(OSI7階層参照モデルの第3層)では社内の機器は常に攻撃を受ける可能性があり十分ではない。また、利用者の利便性も改善はされない。
解決しようとする問題点は、閉域SIMを用いた際に本来必要ない認証と暗号化を伴うVPNを作成する点である。また、利用者が上記VPNを作成するために認証情報を入力しなければならない点である。この問題点を解決することによって利便性を改善する。
本発明は、上述した課題を解決するために、安全かつ利便性の高いセルラー通信端末のネットワークへの接続方式を提供することを目的とする。
本発明の一つの態様は、社外に持ち出したIT機器の認証状態に応じてセルラー通信における網側から払い出されるIPアドレスを変更することを特徴とするセルラー通信端末のネットワークへの接続方式である。
好ましくは、前記IPアドレスにマッチするフィルタリングルールを予め前記網側に設定し、前記社外に持ち出したIT機器の認証状態に応じて、その通信先を制限/許可することを特徴とするセルラー通信端末のネットワークへの接続方式である。
好ましくは、前記社外に持ち出したIT機器の認証は、3GPPが定めるところの通信端末の認証の外で実施されるものであり、様々な認証方式を選択可能であることを特徴とするセルラー通信端末のネットワークへの接続方式である。
好ましくは、前記社外に持ち出したIT機器の認証状態は、SIMや機器の所有部門や利用者を特定することが出来る情報を含み、事前に設定したルールに従い社外に持ち出した前記IT機器の通信を社内の任意のネットワークに誘導することを特徴とするセルラー通信端末のネットワークへの接続方式である。
本発明は、閉域SIMの技術を用いて社外に持ち出したIT機器が社内にある情報にアクセスする際に、独自のネットワークレベルでの認証と接続機能を付与することによって、本来必要ない認証と暗号化を伴うVPNの作成を不要とする。また、上記認証と接続機能は利用者の個人認証においても生体認証などの利便性とセキュリティ向上を両立し得る認証方法を容易に組み合わせることを可能にすることを特徴とする。さらに、上記認証と接続機能は3GPP仕様が定めるセルラー通信機の認証とネットワークへの接続仕様から一切逸脱せず、これを拡張する形で実現されるため市場への即時投入が可能であることを特徴とする。
本発明は、閉域SIM技術を用いつつ認証と暗号化を伴うVPNの作成を不要とするため、VPNゲートウェイ装置が不要であり運用コストの低減が期待出来る。
また、インターネットを用いないことによってそれを経由した攻撃を受ける心配もない。また、独自のネットワークレベルでの認証と接続機能によって、社外に持ち出したIT機器やそれに挿入されたSIMが盗難された場合でも悪意を持った人間が社内の情報にアクセスすることは不可能である。さらに、独自のネットワークレベルでの認証と接続機能は厳密な個人認証を行った上で社外に持ち出したIT機器を社内の任意のネットワークに接続することを可能とする技術であるため、社内にアクセス制限ポリシーが異なる複数のネットワーク(例えば利用者が所属する部署毎に異なるネットワークなど)がある場合には、社外に持ち出したIT機器の利用者によって適切に接続されるネットワークを選択出来るという付加的な機能も持つ。
[実施例1]
図1は、本発明の実施形態にかかるネットワークを説明する概念図である。セルラー通信事業者C01は、広域のセルラー通信サービスを提供するセルラー通信事業者である。サービス事業者C02は、本発明をサービスとして提供するサービス事業者である。セルラー通信事業者C01のシステムとサービス事業者C02のシステムとは電気通信回線を通じて接続されている。なお、セルラー通信事業者自身が本発明をサービスとして提供する場合は、C01とC02は同一の事業者となる。企業C03は、本発明をサービスとして利用する企業、組織等である。
図1は、本発明の実施形態にかかるネットワークを説明する概念図である。セルラー通信事業者C01は、広域のセルラー通信サービスを提供するセルラー通信事業者である。サービス事業者C02は、本発明をサービスとして提供するサービス事業者である。セルラー通信事業者C01のシステムとサービス事業者C02のシステムとは電気通信回線を通じて接続されている。なお、セルラー通信事業者自身が本発明をサービスとして提供する場合は、C01とC02は同一の事業者となる。企業C03は、本発明をサービスとして利用する企業、組織等である。
持ち出し端末T01は、企業C03が所有するノートPC、タブレット、スマートフォン等の持ち出し端末である。ゲートウェイ装置E01は、セルラー通信事業者C01から提供されるゲートウェイ装置である。4G/LTE通信の3GPP仕様においてはPGW(Packet data network GateWay )と呼ばれる。
サービス事業者C02のシステムは、認証装置A01と、認証装置A02と、ゲートウェイ装置E01と、ネットワーク装置E02とを備えて構成されている。
ネットワーク装置E02は、持ち出し端末T01に付与されたIPアドレスに従ってその通信先を許可・制限し、ネットワークを分割するネットワーク装置である。
認証装置A01は、セルラー通信端末(本実施例においてはT01持ち出し端末)を認証する3GPP仕様における認証装置である。AAA(Authentication/Authorization/Accounting)装置とも呼ばれ、セルラー通信端末に払い出すIPアドレスの管理も担当する。
認証装置A02は、本発明が新たに提供する認証装置である。持ち出し端末T01の追加的な認証を行い、その結果を3GPP認証装置A01にIPアドレスといった形で反映する。
専用線D01は、ネットワークN01とネットワークN02を収容するサービス事業者C02と企業C03とを結ぶ専用線である。
ネットワークN01とネットワークN02は、ネットワーク装置E02によって分割されたネットワークである。一般的にはこれらはVLAN(Virtual Local Area Network)として多重化されて、専用線D01を経由して企業C03まで到達する。これらはそれぞれ異なるアクセス制限ポリシーを持つ。
企業C03のシステムは、装置P01と装置P02を備えて構成されている。装置P01と装置P02は、それぞれネットワークN01とネットワークN02に接続される企業C03組織内に設置される装置である。これらはそれぞれネットワークN01とネットワークN02のアクセス制限ポリシーに準ずる異なったアクセス制限ポリシーを持つ。
図2は、本発明の実施例の動作を説明したフローチャートである。ステップS01は接続要求処理である。この処理は、持ち出し端末T01によるセルラー通信に対する接続要求処理である。
ステップS02は着信処理である。この処理は、ステップS01の接続要求に対するゲートウェイ装置E01による着信処理である。ゲートウェイ装置E01は、着信と同時に得られた持ち出し端末T01から得られた情報とともに認証要求を3GPP認証装置A01に送る。
ステップS03は3GPP認証処理(第一認証処理)である。この処理は、3GPP認証装置A01による持ち出し端末T01の認証処理である。持ち出し端末T01に挿入されたSIMの情報と設定されたAPN、ユーザー名、パスワードをもとに3GPP仕様にもとづいた認証を行う。
ステップS04は、アドレス払い出し処理である。この処理は、ステップS03の3GPP認証処理の結果がOKの場合に、持ち出し端末T01に付与する「IPアドレス(検疫)」をゲートウェイ装置E01に払い出す処理である。
「IPアドレス(検疫)」は、本発明の認証装置A02には到達可能だが、ネットワーク装置E02で通信を制限されているため、ネットワークN01とネットワークN02には到達出来ないIPアドレスである。
ステップS05は、接続(検疫)処理である。この処理は、ゲートウェイ装置E01によって「IPアドレス(検疫)」を持ち出し端末T01に付与し、持ち出し端末T01がセルルラー通信を可能とする処理である。これによって持ち出し端末T01は本発明の認証装置A02のみと通信することが可能となる。
ステップS06は、本発明認証処理(第二認証処理)である。この処理は、本発明の認証装置A02による持ち出し端末T01に対する追加的な認証処理である。この認証は3GPPのセルラー通信端末の認証仕様の外で行われるものであり、その認証方法は自由に選択可能である。本実施例において、認証方法として、持ち出し端末T01のID(いわゆるIMEI(International Mobile Subscriber Identity)又は、クライアント証明書)、そこに挿入されたSIMのID(いわゆるIMSI(International Mobile Subscriber Identity))、利用者のIDの3種類のIDの組み合わせで認証を行うものとする。また、利用者のIDに関しては、利便性が高くセキュリティも高い生体認証を用いることも可能である。
ステップS07は、IPアドレス更新処理である。この処理は、ステップS06の本発明認証がOKだった場合に、本発明の認証装置A02が認証結果にもとづいて3GPP認証装置A01が管理する持ち出し端末T01に付与するIPアドレスを更新する処理である。ここで更新されるIPアドレスは「IPアドレス(閉域)」であり、ネットワーク装置E02を経由してネットワークN01からネットワークN02のいずれかに到達可能なIPアドレスである。
ステップS08からステップS12は、ステップS01からステップS05と同じ処理を繰り返す。ただし、ステップS07のIPアドレス更新処理において持ち出し端末T01に付与するIPアドレスが更新されているため、持ち出し端末T01に付与されるIPアドレスは「IPアドレス(閉域)」となる。
ステップS13は、通信振り分け処理である。この処理は、持ち出し端末T01のIPアドレスにもとづいて、通信可能なネットワークを許可/制限し通信をN01及びN02のいずれかのネットワークに振り分ける処理である。どのネットワークに振り分けるかは予めネットワーク装置E02に設定されたフィルタリングルールに従う。
ステップS14は、閉域通信開始処理である。この処理は、持ち出し端末T01と、企業組織内装置P01及び企業組織内装置P02のいずれかの企業組織内装置との通信開始処理である。当然、ステップS13の通信振り分け処理によって許可された通信先とのみ通信が可能となる。
このように、本処理は、社外に持ち出したIT機器(持ち出し端末T01)の認証状態(SIM認証、機器認証、利用者認証など)によって(ステップS06)セルラー通信における網側から払い出されるIPアドレスを変更する(ステップS07)ことを特徴とするセルラー通信端末のネットワークへの接続方式の一例である。
このように、本処理は、上記IPアドレスにマッチするフィルタリングルールを予め網側に設定しておくことによって、社外に持ち出したIT機器の認証状態によってその通信先を制限/許可する(ステップS13)ことを特徴とするセルラー通信端末のネットワークへの接続方式の一例である。
このように、本処理は、上記社外に持ち出したIT機器の認証を3GPPが定めるところの通信端末の認証の外で実施し、利便性の高い様々な認証方式が自由に選択可能である(ステップS06)ことを特徴とするセルラー通信端末のネットワークへの接続方式の一例である。
このように、本処理は、上記社外に持ち出したIT機器の認証状態は、SIMや機器の所有部門や利用者を特定することが出来る情報を含み、事前に設定したルールに従い社外に持ち出したIT機器の通信を社内の任意のネットワークに誘導することを特徴とするセルラー通信端末のネットワークへの接続方式の一例である。
また、この処理は、
社内ネットワーク外部にあるIT機器を3GPP認証処理する第一認証処理と、
前記第一認証処理の結果に応じた第一IPアドレスを前記IT機器に付与するアドレス払い出し処理と、
前記第一認証処理と異なる第二認証処理と、
前記第二認証処理の結果に応じて、前記IT機器に付与されたIPアドレスを前記第一IPアドレスから第二IPアドレスに更新するIPアドレス更新処理を備えることを特徴とするセルラー通信端末のネットワークへの接続方式の一例である。
社内ネットワーク外部にあるIT機器を3GPP認証処理する第一認証処理と、
前記第一認証処理の結果に応じた第一IPアドレスを前記IT機器に付与するアドレス払い出し処理と、
前記第一認証処理と異なる第二認証処理と、
前記第二認証処理の結果に応じて、前記IT機器に付与されたIPアドレスを前記第一IPアドレスから第二IPアドレスに更新するIPアドレス更新処理を備えることを特徴とするセルラー通信端末のネットワークへの接続方式の一例である。
また、この処理は、
前記網側に設定された前記第二IPアドレスにマッチするフィルタリングルールに応じた通信振り分け処理を備えることを特徴するセルラー通信端末のネットワークへの接続方式の一例である。
前記網側に設定された前記第二IPアドレスにマッチするフィルタリングルールに応じた通信振り分け処理を備えることを特徴するセルラー通信端末のネットワークへの接続方式の一例である。
また、この処理は、
3GPPのセルラー通信端末の認証仕様の外で行われる認証を行う第二認証処理を備えることを特徴するセルラー通信端末のネットワークへの接続方式の一例である。
3GPPのセルラー通信端末の認証仕様の外で行われる認証を行う第二認証処理を備えることを特徴するセルラー通信端末のネットワークへの接続方式の一例である。
また、この処理おいて、
3GPPのセルラー通信端末の認証仕様の外で行われる認証を行う第二認証処理は、IT機器固有の識別子(例えば、IMEI、又はクライアント証明書)、通信カード固有の識別子(例えば、IMSI)及び利用者固有の識別子(例えば、指紋や顔や音声や虹彩などの生体情報、会社から賦与された固有のID、ワンタイムパスワードなど)を用いた認証方法から選択された認証処理であることを特徴とするセルラー通信端末のネットワークへの接続方式の一例である。
3GPPのセルラー通信端末の認証仕様の外で行われる認証を行う第二認証処理は、IT機器固有の識別子(例えば、IMEI、又はクライアント証明書)、通信カード固有の識別子(例えば、IMSI)及び利用者固有の識別子(例えば、指紋や顔や音声や虹彩などの生体情報、会社から賦与された固有のID、ワンタイムパスワードなど)を用いた認証方法から選択された認証処理であることを特徴とするセルラー通信端末のネットワークへの接続方式の一例である。
また、この処理おいて、
3GPPのセルラー通信端末の認証仕様の外で行われる認証を行う第二認証処理は、IT機器固有の識別子(例えば、IMEI又は、クライアント証明書)、通信カード固有の識別子(例えば、IMSI)及び利用者固有の識別子(例えば、指紋や顔や音声や虹彩などの生体情報、会社から賦与された固有のID、ワンタイムパスワードなど)を用いた認証方法から少なくとも2種類の認証方法を組み合わせた認証処理であることを特徴とするセルラー通信端末のネットワークへの接続方式の一例である。
3GPPのセルラー通信端末の認証仕様の外で行われる認証を行う第二認証処理は、IT機器固有の識別子(例えば、IMEI又は、クライアント証明書)、通信カード固有の識別子(例えば、IMSI)及び利用者固有の識別子(例えば、指紋や顔や音声や虹彩などの生体情報、会社から賦与された固有のID、ワンタイムパスワードなど)を用いた認証方法から少なくとも2種類の認証方法を組み合わせた認証処理であることを特徴とするセルラー通信端末のネットワークへの接続方式の一例である。
また、この処理において、
3GPPのセルラー通信端末の認証仕様の外で行われる認証を行う第二認証処理は、IT機器固有の識別子(例えば、IMEI又は、クライアント証明書)、通信カード固有の識別子(例えば、IMSI)及び利用者固有の識別子(例えば、指紋や顔や音声や虹彩などの生体情報、会社から賦与された固有のID、ワンタイムパスワードなど)を用いた認証方法から3種類の認証方法を組み合わせた認証処理であることを特徴とするセルラー通信端末のネットワークへの接続方式の一例である。
3GPPのセルラー通信端末の認証仕様の外で行われる認証を行う第二認証処理は、IT機器固有の識別子(例えば、IMEI又は、クライアント証明書)、通信カード固有の識別子(例えば、IMSI)及び利用者固有の識別子(例えば、指紋や顔や音声や虹彩などの生体情報、会社から賦与された固有のID、ワンタイムパスワードなど)を用いた認証方法から3種類の認証方法を組み合わせた認証処理であることを特徴とするセルラー通信端末のネットワークへの接続方式の一例である。
また、この処理において、
第二認証処理は、機器の所有部門を特定可能なIT機器固有の識別子(例えば、IMEI又は、クライアント証明書)、通信カード固有の識別子(例えば、IMSI)及び利用者を特定可能な利用者固有の識別子(例えば、指紋や顔や音声や虹彩などの生体情報、会社から賦与された固有のID、ワンタイムパスワードなど)を用いた認証方法のうち少なくとも1つの認証方法を用い、
前記第二認証処理の結果に応じて、前記IT機器に付与されたIPアドレスを前記第一IPアドレスから第二IPアドレスに更新するIPアドレス更新処理と、
前記網側に設定された前記第二IPアドレスにマッチするフィルタリングルールに応じた通信振り分け処理を備えることを特徴するセルラー通信端末のネットワークへの接続方式の一例である。
第二認証処理は、機器の所有部門を特定可能なIT機器固有の識別子(例えば、IMEI又は、クライアント証明書)、通信カード固有の識別子(例えば、IMSI)及び利用者を特定可能な利用者固有の識別子(例えば、指紋や顔や音声や虹彩などの生体情報、会社から賦与された固有のID、ワンタイムパスワードなど)を用いた認証方法のうち少なくとも1つの認証方法を用い、
前記第二認証処理の結果に応じて、前記IT機器に付与されたIPアドレスを前記第一IPアドレスから第二IPアドレスに更新するIPアドレス更新処理と、
前記網側に設定された前記第二IPアドレスにマッチするフィルタリングルールに応じた通信振り分け処理を備えることを特徴するセルラー通信端末のネットワークへの接続方式の一例である。
[実施例2]
図3は、本発明のもう一つの実施例である。実施例1との機器構成上の違いは、ネットワークA(N0A)と企業組織内認証装置A03が追加されている点である。
図3は、本発明のもう一つの実施例である。実施例1との機器構成上の違いは、ネットワークA(N0A)と企業組織内認証装置A03が追加されている点である。
ネットワークA(N0A)は、持ち出し端末T01を企業組織C03側で認証するために設置されるネットワークである。ネットワークN01やネットワークN02と同様にVLANとして多重化されて専用線D01を経由して企業組織C03まで伸びる。
企業組織内認証装置A03は、本発明認証装置A02の一部機能の移譲を受けて持ち出し端末T01の認証を行う装置である。認証結果は持ち出し端末T01によって本発明認証装置A02に送信される。持ち出し端末T01を利用する利用者のマスターデータが企業組織C03内に存在する場合には、企業組織内認証装置A03でそれらの認証を行うことが合理的と考えられる。
図4は、本発明のもう一つの実施例の動作を説明したフローチャートである。図4のステップS01は、接続要求処理である。この処理は、持ち出し端末T01によるセルラー通信に対する接続要求処理である。ステップS02は、着信処理である。この処理は、ステップS01の接続要求によるゲートウェイ装置E01による着信処理である。ゲートウェイ装置E01は、着信と同時に得られた持ち出し端末T01から得られた情報とともに認証要求を3GPP認証装置A01に送る。なお、段落0057から段落0069のステップは、図4に記載のステップである。
ステップS03は、3GPP認証処理である。この処理は、3GPP認証装置A01による持ち出し端末T01の認証処理である。持ち出し端末T01に挿入されたSIMの情報と設定されたAPN、ユーザー名、パスワードをもとに3GPP仕様にもとづいた認証を行う。
ステップS04は、アドレス払い出し処理である。この処理は、ステップS03の3GPP認証の結果がOKの場合に、持ち出し端末T01に付与する「IPアドレス(検疫1)」をゲートウェイ装置E01に払い出す処理である。「IPアドレス(検疫1)」は、本発明認証装置A02には到達可能だが、ネットワーク装置E02で通信を制限されているため、ネットワークA(N0A)およびネットワークN01~ネットワークN02ネットワークには到達出来ないIPアドレスである。
ステップS05は、接続(検疫1)処理である。この処理は、ゲートウェイ装置E01によって「IPアドレス(検疫1)」を持ち出し端末T01に付与し、持ち出し端末T01がセルルラー通信を可能とする処理である。これによって持ち出し端末T01は本発明認証装置A02のみと通信することが可能となる。
ステップS06は、本発明認証処理である。この処理は、本発明認証装置A02による持ち出し端末T01に対する追加的な認証処理である。この認証は3GPPのセルラー通信端末の認証仕様の外で行われるものであり、その認証方法は自由に選択可能である。ここでは持ち出し端末T01のID、そこに挿入されたSIMのIDの組み合わせで認証を行うものとする。
ステップS07は、IPアドレス更新処理である。この処理は、ステップS06の本発明認証の結果がOKだった場合に、本発明認証装置A02が上記認証結果にもとづいて3GPP認証装置A01が管理する持ち出し端末T01に付与するIPアドレスを更新する処理である。ここで更新されるIPアドレスは「IPアドレス(検疫2)」であり、ネットワーク装置E02を経由してネットワークA(N0A)にのみ到達可能なIPアドレスである。
ステップS08からステップS12は、ステップS01からステップS05と同じ処理を繰り返す。ただし、ステップS07は、IPアドレス更新で持ち出し端末T01に付与するIPアドレスが更新されているため、持ち出し端末T01に付与されるIPアドレスは「IPアドレス(検疫2)」となる。
ステップS13は、通信振り分け処理である。この処理は、持ち出し端末T01のIPアドレスにもとづいて、通信可能なネットワークを許可/制限し通信をネットワークA(N0A)ネットワークに振り分ける処理である。
ステップS14は、企業組織内認証処理である。この処理は、企業組織内認証装置A03による持ち出し端末T01の利用者を認証する処理である。この認証は3GPPのセルラー通信端末の認証仕様の外で行われるものであり、その認証方法は自由に選択可能である。よって、利便性が高くセキュリティも高い生体認証(指紋、虹彩、音声、顔など)を用いることも可能である。
ステップS15は、IPアドレス更新処理である。この処理は、ステップS14の企業組織内認証がOKだった場合に、持ち出し端末T01がそれを本発明認証装置A02に送信し3GPP認証装置A01が管理する持ち出し端末T01に付与するIPアドレスを更新する処理である。ここで更新されるIPアドレスは「IPアドレス(閉域)」であり、ネットワーク装置E02を経由してネットワークN01~ネットワークN02のいずれかに到達可能なIPアドレスである。
ステップS16からステップS20は、ステップS08からステップS12と同じ処理を繰り返す。ただし、ステップS15は、IPアドレス更新で持ち出し端末T01に付与するIPアドレスが更新されているため、持ち出し端末T01に付与されるIPアドレスは「IPアドレス(閉域)」となる。
ステップS21は、通信振り分け処理である。この処理は、持ち出し端末T01のIPアドレスにもとづいて、通信可能なネットワークを許可/制限し通信をネットワークN01~ネットワークN02のいずれかのネットワークに振り分ける処理である。どのネットワークに振り分けるかは予めネットワーク装置E02に設定されたフィルタリングルールに従う。
ステップS22は、閉域通信開始処理である。この処理は、持ち出し端末T01と企業組織内装置P01及び企業組織内装置P02のいずれかの企業組織内装置との通信処理である。当然、ステップS21による通信振り分けによって許可された通信先とのみ通信が可能となる。
本発明は、高度なネットワークレベルでの制御を伴うものの3GPPで策定されるセルラー通信端末の通信と認証の仕様に完全に合致しておりそれらの修正を一切必要としない。よって本発明の実施例は即座に市場への投入が可能であり、その場合利用者は非常に高いセキュリティと利便性とを同時に享受しつつ、全体としては運用コストの低減が望める。このことは多くの企業や組織にとって非常に大きな利点となる。
A01・・・認証装置
A02・・・認証装置
C01・・・サービス事業者
C02・・・サービス事業者
C03・・・企業
D03・・・専用線
E01・・・ゲートウェイ装置
E01・・・ネットワーク装置
N01・・・ネットワーク
N02・・・ネットワーク
P01・・・装置
P02・・・装置
T01・・・持ち出し端末
A02・・・認証装置
C01・・・サービス事業者
C02・・・サービス事業者
C03・・・企業
D03・・・専用線
E01・・・ゲートウェイ装置
E01・・・ネットワーク装置
N01・・・ネットワーク
N02・・・ネットワーク
P01・・・装置
P02・・・装置
T01・・・持ち出し端末
Claims (3)
- 社外に持ち出したIT機器の認証状態に応じてセルラー通信における網側から払い出されるIPアドレスを変更し、
前記社外に持ち出したIT機器の認証は、3GPPが定めるところの通信端末の認証の外で実施されるものであり、様々な認証方式を選択可能であることを特徴とするセルラー通信端末のネットワークへの接続方式。 - 請求項1に記載のセルラー通信端末のネットワークへの接続方式において、
前記IPアドレスに応じたフィルタリングルールを予め前記網側に設定し、前記社外に持ち出したIT機器の認証状態に応じて、その通信先を制限または許可し、
前記社外に持ち出したIT機器の認証は、3GPPが定めるところの通信端末の認証の外で実施されるものであり、様々な認証方式を選択可能であることを特徴とするセルラー通信端末のネットワークへの接続方式。 - 請求項1に記載のセルラー通信端末のネットワークへの接続方式において、
前記社外に持ち出したIT機器の認証状態は、SIMや機器の所有部門や利用者を特定することが出来る情報を含み、事前に設定したルールに従い社外に持ち出した前記IT機器の通信を社内の任意のネットワークに振り分けることを特徴とするセルラー通信端末のネットワークへの接続方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020098059A JP7240356B2 (ja) | 2020-06-04 | 2020-06-04 | セルラー通信端末のネットワークへの接続方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020098059A JP7240356B2 (ja) | 2020-06-04 | 2020-06-04 | セルラー通信端末のネットワークへの接続方式 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021190971A JP2021190971A (ja) | 2021-12-13 |
| JP7240356B2 true JP7240356B2 (ja) | 2023-03-15 |
Family
ID=78847719
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020098059A Active JP7240356B2 (ja) | 2020-06-04 | 2020-06-04 | セルラー通信端末のネットワークへの接続方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7240356B2 (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002141934A (ja) | 2000-10-30 | 2002-05-17 | Ntt Docomo Inc | 専用線vpn接続システムおよび専用線vpn接続方法 |
| JP2007006248A (ja) | 2005-06-24 | 2007-01-11 | Nippon Telegr & Teleph Corp <Ntt> | リモートアクセス方法、およびリモートアクセスシステム |
-
2020
- 2020-06-04 JP JP2020098059A patent/JP7240356B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002141934A (ja) | 2000-10-30 | 2002-05-17 | Ntt Docomo Inc | 専用線vpn接続システムおよび専用線vpn接続方法 |
| JP2007006248A (ja) | 2005-06-24 | 2007-01-11 | Nippon Telegr & Teleph Corp <Ntt> | リモートアクセス方法、およびリモートアクセスシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021190971A (ja) | 2021-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1502388B1 (en) | System, apparatus and method for SIM-based authentification and encryption in wireless local area network access | |
| KR102328633B1 (ko) | 모바일 가상 네트워크에서의 모바일 인증 시스템 및 방법 | |
| US9083753B1 (en) | Secure network access control | |
| US8156231B2 (en) | Remote access system and method for enabling a user to remotely access terminal equipment from a subscriber terminal | |
| US8239929B2 (en) | Multiple tiered network security system, method and apparatus using dynamic user policy assignment | |
| US7735118B2 (en) | Method and apparatus for preventing bridging of secure networks and insecure networks | |
| EP1994674B1 (en) | Authenticating mobile network provider equipment | |
| EP1317111B1 (en) | A personalized firewall | |
| KR20050083729A (ko) | 보안 장치용 보안 및 프라이버시 향상 | |
| WO2013116913A1 (pt) | Método para ativar usuário, método para autenticar usuário, método para controlar tráfego de usuário, método para controlar acesso de usuário em uma rede wi-fi de desvio de tráfego 3g e sistema de desvio de tráfego 3g | |
| WO2014197371A1 (en) | Systems and methods for application-specific access to virtual private networks | |
| JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
| CN1863048B (zh) | 用户与接入设备间因特网密钥交换协商方法 | |
| US11743724B2 (en) | System and method for accessing a privately hosted application from a device connected to a wireless network | |
| US20090271852A1 (en) | System and Method for Distributing Enduring Credentials in an Untrusted Network Environment | |
| KR100819942B1 (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
| JP7240356B2 (ja) | セルラー通信端末のネットワークへの接続方式 | |
| US20080244262A1 (en) | Enhanced supplicant framework for wireless communications | |
| RU2292648C2 (ru) | Система, устройство и способ, предназначенные для аутентификации на основе sim и для шифрования при доступе к беспроводной локальной сети | |
| Rahmani et al. | Cyber security considerations of 4G mobile networks as a commuication service in smart grid | |
| Herceg | LTE transport security | |
| CN112202799B (zh) | 一种实现用户和/或终端与ssid绑定的认证系统及方法 | |
| US11818572B2 (en) | Multiple authenticated identities for a single wireless association | |
| WO2005091159A1 (en) | Authentication system being capable of controlling authority based of user and authenticator. | |
| JP6205391B2 (ja) | アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220120 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221115 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221116 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20230113 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230228 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230303 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7240356 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |