JP2014155095A - 通信制御装置、プログラム及び通信制御方法 - Google Patents

通信制御装置、プログラム及び通信制御方法 Download PDF

Info

Publication number
JP2014155095A
JP2014155095A JP2013024392A JP2013024392A JP2014155095A JP 2014155095 A JP2014155095 A JP 2014155095A JP 2013024392 A JP2013024392 A JP 2013024392A JP 2013024392 A JP2013024392 A JP 2013024392A JP 2014155095 A JP2014155095 A JP 2014155095A
Authority
JP
Japan
Prior art keywords
communication
module
terminal device
communication control
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013024392A
Other languages
English (en)
Inventor
Nobuyuki Nakamura
信之 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2013024392A priority Critical patent/JP2014155095A/ja
Publication of JP2014155095A publication Critical patent/JP2014155095A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】通信サービスに用いられるリソースについての通信事業者間での重複投資を減らしつつ、各通信事業者に独自のサービスを提供させることを可能にする。
【解決手段】所定の複数の通信事業者のうちのいずれかの通信事業者により通信サービスを提供される端末装置からのネットワーク接続要求が受け付けられると、当該ネットワーク接続要求に含まれる情報を取得する取得部と、上記ネットワーク接続要求に含まれる上記情報に基づいて、予め用意されたモジュール群の中の、上記端末装置に通信サービスを提供する通信事業者に対応する1つ以上のモジュールであって、当該通信サービスにおいて上記端末装置のために実行される上記1つ以上のモジュールを選択する選択部と、を備える通信制御装置が提供される。
【選択図】図1

Description

本発明は、通信制御装置、プログラム及び通信制御方法に関する。
近年、様々な無線通信方式の通信サービスが提供されている。例えば、無線ローカルエリアネットワーク(LAN)サービスが多くの公衆無線LAN事業者により提供されている。また、移動通信サービス(又はセルラー通信サービス)がいくつかの移動体通信事業者により提供されている。
一般的に、このように通信サービスを提供する通信事業者は、それぞれの通信システムを設置する。例えば、各公衆無線LAN事業者は、アクセスポイント、認証サーバ等を含む公衆無線LAN通信システムを設置する。また、各移動体通信事業者は、基地局、ホームロケーションレジスタ(HLR)等を含む移動通信システムを設置する。
また、例えば、特許文献1には、移動通信端末からの問い合わせに応じて契約情報を送信する契約管理サーバを含む通信システムが開示されている。
特開2012−138710号公報
しかし、上記特許文献1に開示されているものを含む従来の技術によれば、各通信事業者により個別に通信システムが設置されるので、通信事業者全体では重複投資を行なっている状態である。その結果、通信事業者あたりの通信システムのコストは高くなってしまう。一方、通信事業者間で通信システムを共通化し、又はある通信事業者が別の通信事業者に通信システムを利用させることも考えられる。しかし、この場合には、各事業者は、独自の通信サービスを提供しにくくなる。
そこで、通信サービスに用いられるリソースについての通信事業者間での重複投資を減らしつつ、各通信事業者に独自のサービスを提供させることを可能にする仕組みが提供されることが望ましい。
本発明によれば、所定の複数の通信事業者のうちのいずれかの通信事業者により通信サービスを提供される端末装置からのネットワーク接続要求が受け付けられると、当該ネットワーク接続要求に含まれる情報を取得する取得部と、上記ネットワーク接続要求に含まれる上記情報に基づいて、予め用意されたモジュール群の中の、上記端末装置に通信サービスを提供する通信事業者に対応する1つ以上のモジュールであって、当該通信サービスにおいて上記端末装置のために実行される上記1つ以上のモジュールを選択する選択部と、を備える通信制御装置が提供される。
また、上記ネットワーク接続要求は、上記端末装置に通信サービスを提供する上記通信事業者を識別するための事業者識別情報を含み、上記選択部は、上記事業者識別情報に基づいて、上記1つ以上のモジュールを選択してもよい。
また、上記1つ以上のモジュールは、上記端末装置又は当該端末装置のユーザの認証を行う認証モジュールを含んでもよい。
また、上記1つ以上のモジュールは、上記端末装置の通信に関する所定のイベントを検出する検出モジュールを含んでもよい。
また、上記所定のイベントは、上記端末装置又は当該端末装置のユーザについて予め定められた通信ポリシーについてのイベントであってもよい。
また、上記所定のイベントは、上記端末装置又は当該端末装置のユーザについてのなりすましであってもよい。
また、上記所定のイベントは、上記端末装置の通信による情報漏えいであってもよい。
また、上記所定のイベントは、上記端末装置の通信における所定のアプリケーションソフトウェアの利用であってもよい。
また、上記1つ以上のモジュールは、上記イベントの検出に応じて上記端末装置の通信を制御する通信制御モジュールを含み、又は、上記検出モジュールは、上記イベントの検出に応じて上記端末装置の通信を制御してもよい。
また、上記ネットワーク接続要求は、上記端末装置を識別するための端末識別情報、又は当該端末装置のユーザを識別するためのユーザ識別情報を含み、上記選択部は、上記事業者識別情報、及び、上記端末識別情報又は上記ユーザ識別情報に基づいて、上記1つ以上のモジュールの一部又は全部を選択してもよい。
また、上記通信制御装置は、上記通信サービスでの上記端末装置に関する情報を上記端末装置に通知する通知部をさらに備えてもよい。
また、上記通信サービスでの上記端末装置に関する上記情報は、上記端末装置の通信に関する所定のイベントの検出についての情報を含んでもよい。
また、上記通信サービスでの上記端末装置に関する上記情報は、上記端末装置の通信に対して行われる通信制御についての情報を含んでもよい。
また、上記通信サービスでの上記端末装置に関する上記情報は、上記端末装置又は当該端末装置のユーザの認証結果に関する情報を含んでもよい。
また、上記通知部は、複数の通知手法のうちの上記端末装置において選択された通知手法を用いて、上記通信サービスでの上記端末装置に関する上記情報を上記端末装置に通知してもよい。
また、上記通信サービスは、無線ローカルエリアネットワーク(LAN)サービスであってもよい。
また、上記通信サービスは、移動通信サービスであってもよい。
また、上記所定の複数の通信事業者は、仮想移動体通信事業者を含んでもよい。
また、本発明によれば、コンピュータを、所定の複数の通信事業者のうちのいずれかの通信事業者により通信サービスを提供される端末装置からのネットワーク接続要求が受け付けられると、当該ネットワーク接続要求に含まれる情報を取得する取得部と、上記ネットワーク接続要求に含まれる上記情報に基づいて、予め用意されたモジュール群の中の、上記端末装置に通信サービスを提供する通信事業者に対応する1つ以上のモジュールであって、当該通信サービスにおいて上記端末装置のために実行される上記1つ以上のモジュールを選択する選択部と、
として機能させるためのプログラムが提供される。
また、本発明によれば、所定の複数の通信事業者のうちのいずれかの通信事業者により通信サービスを提供される端末装置からのネットワーク接続要求が受け付けられると、当該ネットワーク接続要求に含まれる情報を取得するステップと、上記ネットワーク接続要求に含まれる上記情報に基づいて、予め用意されたモジュール群の中の、上記端末装置に通信サービスを提供する通信事業者に対応する1つ以上のモジュールであって、当該通信サービスにおいて上記端末装置のために実行される上記1つ以上のモジュールを選択するステップと、を含む通信制御方法が提供される。
以上説明したように本発明によれば、通信サービスに用いられるリソースについての通信事業者間での重複投資を減らしつつ、各通信事業者に独自のサービスを提供させることが可能となる。
一実施形態に係る通信システム1の概略的な構成の一例を示す説明図である。 一実施形態に係るフロントエンドサーバの構成の一例を示すブロック図である。 ネットワーク接続要求に含まれる情報の一例を説明するための説明図である。 適用すべき認証ルールを選択するために用いられる認証ルールテーブルの一例を説明するための説明図である。 端末装置のために実行される認証モジュールを選択するために用いられる認証モジュールテーブルの一例を説明するための説明図である。 適用すべき検出ルール及び通信制御ルールを選択するために用いられる検出・通信制御ルールテーブルの一例を説明するための説明図である。 端末装置のために実行される検出モジュールを選択するために用いられる検出モジュールテーブルの一例を説明するための説明図である。 端末装置のために実行される通信制御モジュールを選択するために用いられる通信制御モジュールテーブルの一例を説明するための説明図である。 モジュールの実行の依頼のために用いられるモジュール情報管理テーブルの一例を説明するための説明図である。 端末装置に関する様々な情報を含む端末情報管理テーブルの一例を説明するための説明図である。 一実施形態に係るバックエンドサーバの構成の一例を示すブロック図である。 一実施形態に係るフロントエンドサーバのハードウェア構成の一例を示すブロック図である。 一実施形態に係る通信制御処理(通信制御モジュールが選択されない場合)の概略的な流れの一例を示す第1のフローチャートである。 一実施形態に係る通信制御処理(通信制御モジュールが選択されない場合)の概略的な流れの一例を示す第2のフローチャートである。 一実施形態に係る通信制御処理(通信制御モジュールが選択される場合)の概略的な流れの一例を示す第1のフローチャートである。 一実施形態に係る通信制御処理(通信制御モジュールが選択される場合)の概略的な流れの一例を示す第2のフローチャートである。 一実施形態に係る通信制御処理(通信制御モジュールが選択される場合)の概略的な流れの一例を示す第3のフローチャートである。
以下に添付の図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
以降、<1.通信システムの概略的な構成>、<2.フロントエンドサーバの構成>、<3.バックエンドサーバの構成>、<4.ハードウェア構成>、<5.処理の流れ>という順序で本発明の実施形態を説明する。
<1.通信システムの概略的な構成>
まず、図1を参照して、本発明の実施形態に係る通信システムの概略的な構成を説明する。図1は、本実施形態に係る通信システム1の概略的な構成の一例を示す説明図である。図1を参照すると、通信システム1は、端末装置10、アクセスポイント20、フロントエンドサーバ100及びバックエンドサーバ200を含む。
(端末装置10)
端末装置10は、所定の複数の通信事業者のうちのいずれかの通信事業者により通信サービスを提供される。例えば、当該通信サービスは、無線LANサービスである。例えば、端末装置10のユーザは、通信事業者A、通信事業者B、通信事業者C等の複数の通信事業者のうちのいずれかの通信事業者との間で1つ以上の通信サービスの利用に関する契約を結んでいる。
端末装置10は、通信サービスを利用する際には、まず、ネットワークへの接続を要求する。より具体的には、端末装置10は、アクセスポイント20を介して、ネットワーク接続要求をフロントエンドサーバ100へ送信する。
なお、端末装置10は、例えば、スマートフォン、PC(Personal Computer)等の、通信機能を有するいずれかの装置である。より具体的には、例えば、当該通信機能は、無線LANの通信機能である。
(アクセスポイント20)
アクセスポイント20は、端末装置10と無線通信する。例えば、当該アクセスポイントは、無線LANアクセスポイントである。
(フロントエンドサーバ100)
フロントエンドサーバ100は、端末装置10からのネットワーク接続要求を受け付ける。例えば、フロントエンド100は、アクセスポイント20を介して、通信事業者Aによりサービスを提供される端末装置10Aからのネットワーク接続要求を受け付けるとともに、通信事業者Bによりサービスを提供される端末装置10Bからのネットワーク接続要求も受け付ける。
また、フロントエンドサーバ100は、当該ネットワーク接続要求に含まれる情報に基づいて、予め用意されたモジュール群の中の、通信サービスにおいて端末装置10のために実行される1つ以上のモジュールを選択する。当該1つ以上のモジュールは、当該通信サービスを端末装置10に提供する通信事業者に対応するモジュールである。例えば、フロントエンドサーバ100は、端末装置10Aからのネットワーク接続要求に含まれる情報に基づいて、通信事業者Aに対応する1つ以上のモジュールを選択する。このように選択される当該1つ以上のモジュールは、通信事業者Aの独自のモジュールであってもよく、通信事業者Aを含む複数の事業者により共用されるモジュールであってもよい。
また、例えば、フロントエンドサーバ100は、選択された上記1つ以上のモジュールの実行を、バックエンドサーバ200に依頼する。
なお、フロントエンドサーバ100は、ネットワーク30を介してアクセスポイント20と接続される。例えば、ネットワーク30は、LANを含む。また、ネットワーク30は、インターネットのような外部ネットワークを含んでもよい。
また、フロントエンドサーバ100は、ネットワーク40を介してバックエンドサーバ200と接続される。ネットワーク40は、例えば、LANを含む。また、ネットワーク40は、インターネットのような外部ネットワークを含んでもよい。
(バックエンドサーバ200)
バックエンドサーバ200は、予め用意されたモジュール群の中のモジュールを実行する。例えば、バックエンドサーバ200は、フロントエンドサーバ100からの依頼に応じて、1つ以上のモジュールを実行する。
<2.フロントエンドサーバの構成>
続いて、図2〜図10を参照して、本実施形態に係るフロントエンドサーバ100の構成の一例を説明する。図2は、本実施形態に係るフロントエンドサーバ100の構成の一例を示すブロック図である。図2を参照すると、フロントエンドサーバ100は、通信部110、記憶部120及び制御部130を備える。
(通信部110)
通信部110は、他の装置と通信する。例えば、通信部110は、アクセスポイント20を介して、端末装置10と通信する。また、通信部110は、バックエンドサーバ200と通信する。
(記憶部120)
記憶部120は、フロントエンドサーバ100の動作のためのプログラム及びデータを記憶する。
例えば、記憶部120は、予め用意されたモジュール群の中からモジュールを選択するために用いられる情報(例えば、認証ルールテーブル、認証モジュールテーブル、検出・通信制御ルールテーブル、検出モジュールテーブル、通信制御モジュールテーブル等)を記憶する。この点については、図4〜図8を参照して具体例を後に説明する。
また、例えば、記憶部120は、フロントエンドサーバ100がバックエンドサーバ200にモジュールの実行を依頼するための情報(例えば、モジュール情報テーブル)を記憶する。この点については、図9を参照して具体例を後に説明する。
また、例えば、記憶部120は、ネットワークに接続された端末装置10についての各種情報(例えば、端末情報管理テーブル)を記憶する。この点については、図10を参照して具体例を後に説明する。
(制御部130)
制御部130は、フロントエンドサーバ100の様々な機能を提供する。制御部130は、接続要求受付部131、モジュール選択部133、モジュール制御部135及び端末通知部137を含む。
(接続要求受付部131)
接続要求受付部131は、所定の複数の通信事業者のうちのいずれかの通信事業者により通信サービスを提供される端末装置10からのネットワーク接続要求が受け付ける。例えば、端末装置10が、アクセスポイント20を介して、ネットワーク接続要求をフロントエンドサーバ100へ送信すると、通信部110が、当該ネットワーク接続要求を受信する。すると、接続要求受付部131は、当該ネットワーク接続要求を受け付ける。
また、接続要求受付部131は、ネットワーク接続要求が受け付けられると、当該ネットワーク接続要求に含まれる情報を取得する。そして、接続要求受付部131は、取得した当該情報をモジュール選択部133に提供する。
例えば、上記ネットワーク接続要求は、端末装置10に通信サービスを提供する上記通信事業者を識別するための事業者識別情報(以下、「事業者ID」と呼ぶ)を含む。
また、例えば、上記ネットワーク接続要求は、端末装置10のユーザを識別するためのユーザ識別情報(以下、「ユーザID」と呼ぶ)を含む。
また、例えば、上記ネットワーク接続要求は、端末装置10又は端末装置10のユーザの認証を行うための認証情報を含む。当該認証情報は、一例として、上記ユーザIDとパスワードとの組合せである。
さらに、例えば、上記ネットワーク接続要求は、通信サービスでの端末装置10に関する情報を端末装置10に通知するための通知手法を示す通知手法情報を含む。
以下、ネットワーク接続要求に含まれる情報の具体例を、図3を参照して説明する。
図3は、ネットワーク接続要求に含まれる情報の一例を説明するための説明図である。図3を参照すると、ネットワーク接続要求に含まれる情報として、事業者ID、ユーザID、パスワード及び通知手法情報が示されている。この例では、事業者IDが「C」であるので、このネットワーク接続要求は、事業者Cにより通信サービスを提供される端末装置10からの要求であることを示す。また、ユーザIDが「abc12345」であるので、このネットワーク接続要求は、ユーザID「abc12345」を有するユーザの端末装置10からの要求であることを示す。また、通知手法情報が「Internet_Mail」であるので、このネットワーク接続要求は、端末10が求める通知手法がインターネットメールであることを示す。
(モジュール選択133)
モジュール選択部133は、端末装置10からのネットワーク接続要求に含まれる情報に基づいて、予め用意されたモジュール群の中の、通信サービスにおいて上記端末装置10のために実行される1つ以上のモジュールを選択する。当該1つ以上のモジュールは、端末装置10に通信サービスを提供する通信事業者に対応するモジュールである。
例えば、モジュール選択部133は、事業者IDに基づいて、上記1つ以上のモジュールを選択する。例えば、事業者IDが「A」である場合には、あるモジュールが選択され、事業者IDが「B」である場合には、別のモジュールが選択され得る。即ち、通信事業者に応じたモジュールが選択される。このように、各通信事業者は、独自の機能を採用することにより、独自の通信サービスを提供することが可能になる。また、複数の通信事業者が同じ機能を採用することもできるので、通信事業者間での重複投資を減らすこともできる。
また、例えば、モジュール選択部133は、事業者ID及びユーザIDに基づいて、上記1つ以上のモジュールの一部又は全部を選択する。例えば、事業者IDが「C」であり、ユーザIDが「abc12345」である場合には、あるモジュールが選択され、事業者IDが「C」であり、ユーザIDが「abc67890」である場合には、別のモジュールが選択され得る。このように、通信事業者は、ユーザに応じて採用する機能を変えることにより、ユーザに応じた通信サービスを提供することが可能になる。例えば、ユーザの属性(例えば、サービスレベル、所属組織、等)に応じた通信サービスを提供することが可能になる。また、例えば、個別のユーザの契約内容に応じた通信サービスを提供することが可能になる。
なお、このように選択される当該1つ以上のモジュールは、個別の通信事業者の独自のモジュールであってもよく、複数の事業者により共用されるモジュールであってもよい。
モジュール選択部133は、選択したモジュールを識別するための情報(以下、「モジュールID」と呼ぶ)をモジュール制御部135に通知する。
以下、選択される上記1つ以上のモジュールの具体例を説明する。
−認証モジュール
例えば、選択される上記1つ以上のモジュールは、端末装置10のユーザの認証を行う認証モジュールを含む。
例えば、モジュール選択133は、接続要求受付部131により、ネットワーク接続要求に含まれる情報を提供されると、当該情報に基づいて、上記認証モジュールを選択する。より具体的には、例えば、モジュール選択133は、事業者IDに基づいて、上記認証モジュールを選択する。
一例として、モジュール選択133は、まず、事業者IDに基づいて、端末装置10に適用すべき認証ルールを選択する。そして、モジュール選択133は、選択された認証ルールに対応する1つ以上の認証モジュールを選択する。以下、この点について図4及び図5を参照して具体例を説明する。
図4は、適用すべき認証ルールを選択するために用いられる認証ルールテーブルの一例を説明するための説明図である。図4を参照すると、事業者ID及び認証ルールIDを項目として含む認証ルールテーブルが示されている。例えば、当該認証ルールテーブルには、事業者ID「A」と認証ルールID「R1」とのペアが含まれる。これは、事業者Aにより通信サービスを提供される端末装置10には、認証ルールR1が適用されることを示す。モジュール選択133は、ネットワーク接続要求に含まれる事業者IDに基づいて、当該事業者IDに対応する認証ルールを選択する。図3に示されるように、ネットワーク接続要求が、事業者ID「C」を含む場合には、モジュール選択133は、認証ルールR3を選択する。このような認証ルールは、個々の通信事業者の独自のルールであってもよく、複数の事業者により共用されるルールであってもよい。
図5は、端末装置10のために実行される認証モジュールを選択するために用いられる認証モジュールテーブルの一例を説明するための説明図である。図5を参照すると、各認証ルールと認証モジュールとの対応関係を示す認証モジュールテーブルが示されている。例えば、認証モジュールテーブルによれば、認証ルールR1に対応する認証モジュールは、モジュールA1、A3、A6等である。モジュール選択133は、選択された認証ルールIDに基づいて、当該認証ルールIDに対応する認証モジュールを選択する。図3に示されるように、ネットワーク接続要求が事業者ID「C」を含み、認証ルールR3が選択された場合には、モジュール選択133は、モジュールA2、A4等を選択する。選択される個別のモジュールは、個々の通信事業者の独自のモジュールであってもよく、複数の事業者により共用されるモジュールであってもよい。
また、図5に示されるように、上記認証モジュールテーブルは、認証モジュールの実行順序も示す。例えば、認証ルールR3が選択された場合には、モジュールA2、A4等が選択される。そして、1番目にモジュールA2が実行され、2番目にモジュールA4が実行される。なお、モジュールは、必ずしも順次実行されなくてもよく、並列で実行されてもよい。
末装置10のユーザの認証が成功すると、モジュール選択133は、ネットワーク接続要求に含まれる情報に基づいて、検出モジュール及び通信制御モジュールを選択する。より具体的に
図4に示されるような認証ルールテーブル、及び図5に示されるような認証モジュールテーブルは、例えば、記憶部130に記憶される。
以上のように、認証モジュールが選択される。このような認証モジュールの選択により、各通信事業者は、独自の認証機能を採用することにより、独自の認証を行うことが可能になる。また、複数の通信事業者が同じ認証機能を採用することもできるので、通信事業者間での認証機能への重複投資を減らすこともできる。
−検出モジュール・通信制御モジュール
また、例えば、選択される上記1つ以上のモジュールは、前端末装置10の通信に関する所定のイベントを検出する検出モジュールを含む。また、例えば、選択される上記1つ以上のモジュールは、上記イベントの検出に応じて端末装置10の通信を制御する通信制御モジュールを含む。
例えば、認証モジュールが実行され、端は、例えば、モジュール選択133は、事業者ID及びユーザIDに基づいて、検出モジュール及び通信制御モジュールを選択する。
一例として、モジュール選択133は、まず、事業者ID及びユーザIDに基づいて、端末装置10に適用すべき検出ルール及び通信制御ルールを選択する。そして、モジュール選択133は、選択された検出ルールに対応する1つ以上の検出モジュールを選択する。また、モジュール選択133は、選択された通信制御ルールに対応する1つ以上の通信制御モジュールを選択する。以下、この点について図6〜図8を参照して具体例を説明する。
図6は、適用すべき検出ルール及び通信制御ルールを選択するために用いられる検出・通信制御ルールテーブルの一例を説明するための説明図である。図6を参照すると、事業者ID、ユーザID、検出ルールID及び制御ルールIDを項目として含む検出・通信制御ルールテーブルが示されている。例えば、当該検出・通信制御ルールテーブルには、事業者ID「C」、ユーザID「def67890」、検出ルールID「R103」及び通信制御ルールID「R1001」のセットが含まれる。これは、事業者Cにより通信サービスを提供される端末装置10であって、ユーザID「def67890」を有するユーザの上記端末装置10には、検出ルールR103及び通信制御ルールR1001が適用されることを示す。モジュール選択133は、ネットワーク接続要求に含まれる事業者ID及びユーザIDに基づいて、当該事業者ID及び当該ユーザIDに対応する検出ルール及び通信制御ルールを選択する。図3に示されるように、ネットワーク接続要求が、事業者ID「C」及びユーザID「abc12345」を含む場合には、モジュール選択133は、検出ルールR101及び通信制御ルールR1002を選択する。このような検出ルール及び通信制御ルールは、個々の通信事業者の独自のルールであってもよく、複数の事業者により共用されるルールであってもよい。また、このような検出ルール及び通信制御ルールは、ユーザ毎の契約内容によって異なるルールであってもよい。
図7は、端末装置10のために実行される検出モジュールを選択するために用いられる検出モジュールテーブルの一例を説明するための説明図である。図7を参照すると、各検出ルールと検出モジュールとの対応関係を示す検出モジュールテーブルが示されている。例えば、検出モジュールテーブルによれば、検出ルールR104に対応する検出モジュールは、モジュールB1、B7等である。モジュール選択133は、選択された検出ルールIDに基づいて、当該検出ルールIDに対応する検出モジュールを選択する。図3に示されるように、ネットワーク接続要求が事業者ID「C」及びユーザID「abc12345」を含み、検出ルールR101が選択された場合には、モジュール選択133は、モジュールB3、B5等を選択する。選択される個別のモジュールは、個々の通信事業者の独自のモジュールであってもよく、複数の事業者により共用されるモジュールであってもよい。また、選択される個別のモジュールは、ユーザ毎の契約内容によって異なるモジュールであってもよい。
また、図7に示されるように、上記検出モジュールテーブルは、検出モジュールの実行順序も示す。例えば、検出ルールR101が選択された場合には、モジュールB3、B5等が選択される。そして、1番目にモジュールB3が実行され、2番目にモジュールB5が実行される。なお、検出モジュールは、必ずしも順次実行されなくてもよく、並列で実行されてもよい。
図8は、端末装置10のために実行される通信制御モジュールを選択するために用いられる通信制御モジュールテーブルの一例を説明するための説明図である。図8を参照すると、各通信制御ルールと通信制御モジュールとの対応関係を示す通信制御モジュールテーブルが示されている。例えば、通信制御モジュールテーブルによれば、通信制御ルールR1004に対応する通信制御モジュールは、モジュールC7、C8等である。モジュール選択133は、選択された通信制御ルールIDに基づいて、当該通信制御ルールIDに対応する通信制御モジュールを選択する。図8に示されるように、ネットワーク接続要求が事業者ID「C」及びユーザID「abc12345」を含み、検出ルールR1002が選択された場合には、モジュール選択133は、モジュールC2等を選択する。選択される個別のモジュールは、個々の通信事業者の独自のモジュールであってもよく、複数の事業者により共用されるモジュールであってもよい。また、選択される個別のモジュールは、ユーザ毎の契約内容によって異なるモジュールであってもよい。
また、図8に示されるように、上記通信制御モジュールテーブルは、通信制御モジュールの実行順序も示す。例えば、通信制御ルールR1002が選択された場合には、モジュールC2等が選択される。そして、1番目にモジュールC2が実行される。なお、通信制御モジュールは、必ずしも順次実行されなくてもよく、並列で実行されてもよい。
以上のように、検出モジュール及び通信制御モジュールが選択される。
このような検出モジュールの選択により、各通信事業者は、独自のイベント検出機能(即ち、分析機能)を採用することにより、独自のイベント検出を行うことが可能になる。また、複数の通信事業者が同じイベント検出機能を採用することもできるので、解析専門業者によるモジュールの提供等によって、通信事業者間でのイベント検出機能への重複投資を減らすこともできる。
また、このような通信制御モジュールの選択により、各通信事業者は、独自の通信制御機能を採用することにより、独自の通信制御を行うことが可能になる。また、複数の通信事業者が同じ通信制御機能を採用することもできるので、通信事業者間での通信制御機能への重複投資を減らすこともできる。
また、このような検出モジュール及び通信制御モジュールが、無線LANサービスにおいて使用されることにより、無線LANサービスでも、移動通信サービスのように、端末装置10の通信に関するイベント(例えば、ポリシー違反、情報漏えい、等)の検出、及び当該通信の制御が可能になる。即ち、より高付加価値の無線LANサービスを提供することが可能になり、既にセキュリティや品質の機能が提供されている移動通信サービスのオフロードのための無線LANサービスとして十分な機能を提供することが可能になる。
(モジュール制御部135)
モジュール制御部135は、モジュール選択部133により選択されるモジュールの実行を制御する。
例えば、モジュール制御部135は、選択されたモジュール(例えば、認証モジュール、検出モジュール、通信制御モジュール、等)のモジュールIDをモジュール選択部133により通知される。すると、モジュール制御部135は、当該モジュールIDを、対応する端末装置10のために実行するモジュールの情報として記憶部130に記憶させる。そして、モジュール制御部135は、各モジュールに応じたタイミングで、記憶されたモジュールIDを参照してバックエンドサーバ200にモジュールの実行を依頼する。即ち、モジュール制御部135は、通信部110に、特定のモジュールを指定するモジュール実行依頼を送信させる。
また、例えば、モジュール制御部135は、バックエンドサーバ200にモジュールの実行を依頼する際に、モジュールの引数をバックエンドサーバ200に提供する。即ち、モジュール制御部135は、通信部110に、モジュールの引数を含むモジュール実行依頼を送信させる。また、バックエンドサーバ200によるモジュールの実行後に、モジュール制御部135は、モジュールの戻り値を取得する。このような、引数の提供及び戻り値の取得のために、各モジュールの引数及び戻り値の情報を含むモジュール情報テーブルが記憶部130に記憶される。以下、当該モジュール情報管理テーブルの具体例を、図9を参照して説明する。
図9は、モジュールの実行の依頼のために用いられるモジュール情報管理テーブルの一例を説明するための説明図である。図9を参照すると、モジュールID、引数及び戻り値を項目として含むモジュール情報管理テーブルが示されている。例えば、当該モジュール情報管理テーブルには、認証モジュールであるモジュールA1の引数として、ユーザIDである「user_id」、事業者IDである「isp_id」、及びパスワードである「password」が示されている。また、当該モジュール情報管理テーブルには、認証モジュールであるモジュールA1の戻り値として、認証の成功又は失敗を示す「true/false」が示されている。よって、モジュール制御部135は、モジュールA1の実行をバックエンドサーバ200に依頼する際には、モジュール情報管理テーブルに従って、ユーザID、事業者ID及びパスワードをバックエンドサーバ200に提供する。そして、モジュールA1の実行後に、モジュール制御部135は、モジュールA1の戻り値を取得する。そして、モジュール制御部135は、モジュール情報管理テーブルから、当該戻り値が認証の成功又は失敗を示すことを知り、認証が成功したか失敗したかを認識する。
このように、モジュール制御部135は、モジュール選択部133により選択されるモジュールの実行を制御する。以下、認証モジュール、検出モジュール及び通信制御モジュールについての具体例を説明する。
−認証モジュール
モジュール制御部135は、選択された認証モジュールのモジュールIDを通知されると、当該モジュールIDを、対応する端末装置10のために実行するモジュールの情報として記憶部130に記憶させる。そして、モジュール制御部135は、予め定められた順序に従った各認証モジュールの実行を、バックエンドサーバ200に依頼する。
例えば、認証モジュールは、端末装置10のユーザの認証を行う第1のモジュールと、端末装置10に割り当てられる通信ポリシーの番号(以下、「ポリシー番号」と呼ぶ)を取得する第2のモジュールと、端末装置10に割り当てられる通信ポリシーの具体的な情報(以下、「ポリシー情報」)を取得するための第3のモジュールとを含む。また、まず、第1のモジュールが実行される。そして、認証に成功すると、第2のモジュールが実行され、その後、第3のモジュールが実行される。
具体的には、例えば、モジュール制御部135は、通信部110を介して、バックエンドサーバ200に上記認証モジュール(第1のモジュール、第2のモジュール、及び上記第3のモジュール)の実行を依頼する。その際に、モジュール制御部135は、上記認証モジュールのための引数として、事業者ID、ユーザID及びパスワードを、バックエンドサーバ200に提供する。即ち、モジュール制御部135は、認証モジュール(第1のモジュール、第2のモジュール及び第3のモジュール)を指定する認証モジュール実行依頼であって、事業者ID、ユーザID及びパスワードを含む当該認証モジュール実行依頼を、通信部110に送信させる。
その後、バックエンドサーバ200は、まず、事業者ID、ユーザID及びパスワードを引数として用いて上記第1のモジュールを実行する。即ち、当該第1のモジュールは、ユーザIDに対応するユーザの認証処理を行う。そして、当該第1のモジュールは、戻り値として、認証の成功又は失敗を示す情報(即ち、認証結果)を出力する。
認証が成功した場合には、バックエンドサーバ200は、次に、事業者ID及びユーザIDを引数として用いて上記第2のモジュールを実行する。即ち、当該第2のモジュールは、ユーザIDに対応するユーザに割り当てられる通信ポリシーのポリシー番号を取得する。一例として、第2のモジュールは、事業者IDに対応する通信事業者のサーバから、当該ポリシー番号を取得する。そして、当該第2のモジュールは、戻り値として、当該ポリシー番号を出力する。
さらに、バックエンドサーバ200は、事業者ID及び上記ポリシー番号を引数として用いて上記第3のモジュールを実行する。即ち、当該第3のモジュールは、ポリシー番号に対応する具体的なポリシー情報(例えば、月あたりのデータ制限量の情報、制限速度の情報、等)を取得する。一例として、第3のモジュールは、事業者IDに対応する通信事業者のサーバから、上記ポリシー情報を取得する。そして、当該第3のモジュールは、戻り値として、当該ポリシー情報を出力する。
その後、バックエンドサーバ200は、第1のモジュールの戻り値である認証結果、及び第3のモジュールの戻り値であるポリシー情報を、フロントエンドサーバ100へ送信する。そして、フロントエンドサーバ100のモジュール制御部135は、通信部110を介して、当該認証結果及び当該ポリシー情報を取得する。
なお、モジュール制御部135は、取得したポリシー情報及びその他の端末装置10に関連する情報を記憶部130に記憶させる。これらの情報は、例えば、端末情報管理テーブルに記憶される。以下、当該端末情報管理テーブルの具体例を、図10を参照して説明する。
図10は、端末装置10に関する様々な情報を含む端末情報管理テーブルの一例を説明するための説明図である。図10を参照すると、番号、事業者ID、ユーザID、端末ID、通知手法情報、検出ルールID及び通信制御ルールIDを項目として含む端末情報管理テーブルが示されている。番号は、端末情報管理テーブルにおける通番である。図3に示されるようなネットワーク接続要求が受け付けられると、端末情報管理テーブルの番号4の行に示されるような情報が、当該端末情報管理テーブルに追加される。具体的には、上述したように、事業者IDとして「C」が取得され、ユーザIDとして「abc12345」が取得され、通知手法情報として「Internet_Mail」が取得されるので、これらの情報が端末情報管理テーブルに追加される。また、ネットワーク接続要求を受信した際に、端末ID「aa:bb:cc:dd:ee:ff」も取得され、当該情報が端末情報管理テーブルに追加される。当該端末IDは、例えば、MAC(Media Access Control)アドレスのような物理アドレスである。また、取得されたポリシー情報が、端末情報管理テーブルに追加される。例えば、月あたりのデータ制限量の情報である「month_limit=1GB」、制限速度の情報である「speed_limit=128kbps」等のポリシー情報が追加される。また、上述したように、検出ルールR101及び通信制御ルールR1002が選択されるので、検出ルールID「R101」及び通信制御ルールID「R1002」も、端末情報管理テーブルに追加される。
また、認証が成功した場合には、以下の検出モジュール及び通信制御モジュールの実行を伴う通信サービスの利用が、ネットワーク接続要求を送信した端末装置10に許可される。そして、端末装置10は、当該通信サービスでの通信を開始する。
−検出モジュール・通信制御モジュール
モジュール制御部135は、選択された検出モジュール及び通信制御モジュールのモジュールIDを通知されると、当該モジュールIDを、対応する端末装置10のために実行するモジュールの情報として記憶部130に記憶させる。そして、モジュール制御部135は、検出モジュールの実行をバックエンドサーバ200に依頼する。また、検出モジュールが、端末装置10の通信に関する所定のイベントを検出すると、モジュール制御部135は、必要に応じて、通信制御モジュールの実行をバックエンドサーバ200に依頼する。
以下、端末装置10の通信に関する所定のイベントの具体例を挙げて、モジュール制御部135、検出モジュール及び通信制御モジュールの具体的な処理を説明する。
−−第1の例:ポリシー関連イベント
第1の例として、上記所定のイベントは、端末装置10又は当該端末装置10のユーザについて予め定められた通信ポリシーについてのイベント(以下、「ポリシー関連イベント」と呼ぶ)である。即ち、例えば、通信サービスにおいて端末装置10のために実行されるモジュールとして、端末10又は端末装置10のユーザについてポリシー関連イベントを検出する検出モジュール(以下、「ポリシー関連イベント検出モジュール」)と、通信制御モジュールとが、選択される。例えば、上記ポリシー関連イベントは、通信ポリシーに含まれる条件への到達(例えば、月あたりのデータ制限量への到達)、通信ポリシーの違反(例えば、制限速度の違反)等を含む。
例えば、モジュール制御部135は、通信部110を介して、バックエンドサーバ200にポリシー関連イベント検出モジュールの実行を依頼する。その際に、モジュール制御部135は、ポリシー関連イベント検出モジュールの引数として、端末ID、ポリシー情報、及び、イベント検出用データのデータフォーマットを、バックエンドサーバ200に提供する。即ち、モジュール制御部135は、ポリシー関連イベント検出モジュールを指定する検出モジュール実行依頼であって、端末ID、ポリシー情報及びデータフォーマットを含む当該検出モジュール実行依頼を、通信部110に送信させる。上記ポリシー情報は、例えば、図10を参照して上述されたとおりである。また、イベント検出用データの上記データフォーマットは、IPパケット、フロー情報(例えば、NetFlow(登録商標)、sFlow(登録商標)等の情報)のようなフォーマットを示す。引数として提供される上記データフォーマットは、ポリシー情報と併せて、又はポリシー情報の一部として、フロントエンドサーバ100により取得される。
その後、バックエンドサーバ200は、ポリシー関連イベント検出モジュールにイベント検出用データを提供するためのインターフェース(例えば、TCP/IPポート)を、フロントエンドサーバ100に通知する。すると、モジュール制御部135は、通知されたインターフェースでイベント検出用データがバックエンドサーバ200へ送信されるように、制御を行う。例えば、データフォーマットがIPパケットであれば、モジュール制御部135は、端末装置10からのIPパケットのコピーをバックエンドサーバ200のTCP/IPポートへ転送するように、ルータを設定する。また、例えば、データフォーマットがフロー情報であれば、モジュール制御部135は、端末装置10からのIPパケットのコピーをフロントエンドサーバ100へ転送するように、ルータを設定する。そして、モジュール制御部135は、端末装置10からのIPパケットのコピーからフロー情報を生成し、通信部110を介して、当該フロー情報をバックエンドサーバ200のTCP/IPポートへ送信する。このように、端末10の通信に影響を与えることなく、ポリシー関連イベント検出モジュールにイベント検出用データが提供される。
そして、ポリシー関連イベント検出モジュールは、イベント検出用データ及びポリシー情報に基づいて、ポリシー関連イベント(例えば、通信ポリシーに含まれる条件への到達、通信ポリシーの違反、等)を検出する。ポリシー関連イベント検出モジュールは、ポリシー関連イベントを検出すると、戻り値として、ポリシー関連イベント検出結果(例えば、月あたりのデータ制限量への到達についての情報、制限速度の違反についての情報)を出力する。そして、バックエンドサーバ200は、出力されたポリシー関連イベント検出結果をフロントエンドサーバ100へ送信する。そして、モジュール制御部135は、ポリシー関連イベント検出結果を取得し、ポリシー関連イベントが検出されたことを認識する。
このように、ポリシー関連イベントが検出されると、モジュール制御部135は、通信部110を介して、バックエンドサーバ200に通信制御モジュールの実行をさらに依頼する。その際に、モジュール制御部135は、通信制御モジュールの引数として端末IDをバックエンドサーバ200に提供する。即ち、モジュール制御部135は、上記通信制御モジュールを指定する通信制御モジュール実行依頼であって、端末IDを含む当該通信制御モジュール実行依頼を、通信部110に送信させる。
その後、バックエンドサーバ200は、端末装置10からのデータを通信制御モジュールに提供するためのインターフェース(例えば、TCP/IPポート)を、フロントエンドサーバ100に通知する。すると、モジュール制御部135は、通知されたインターフェースで端末装置10からのデータがバックエンドサーバ200へ転送されるように、制御を行う。例えば、モジュール制御部135は、端末装置10からのIPパケットをバックエンドサーバ200のTCP/IPポートへ転送するように、ルータを設定する。このように、端末10からのデータは、バックエンドサーバ200(通信制御モジュール)経由で送信される。
そして、通信制御モジュールは、端末装置10の通信についての通信制御を行う。例えば、通信制御モジュールは、端末装置10の通信の遮断、トラフィックシェーピング(Traffic Shaping)等を行う。
以上のように、ポリシー関連イベントが検出され、通信制御が行われる。このようなポリシー関連イベントの検出により、ポリシー関連イベントが発生した場合に、フロントエンドサーバ100が当該ポリシー関連イベントの発生を認識することが可能になる。そして、通信制御により、端末装置10に、通信ポリシーに従って通信させることが可能になる。
−−第2の例:なりすまし
第2の例として、上記所定のイベントは、端末装置10又は当該端末装置10のユーザについてのなりすましである。即ち、例えば、通信サービスにおいて端末装置10のために実行されるモジュールとして、端末10又は端末装置10のユーザについてのなりすましを検出する検出モジュール(以下、「なりすまし検出モジュール」)が、選択される。
例えば、モジュール制御部135は、通信部110を介して、バックエンドサーバ200になりすまし検出モジュールの実行を依頼する。その際に、モジュール制御部135は、なりすまし検出モジュールの引数として、端末ID、ユーザプロファイル情報、及び、イベント検出用データのデータフォーマットを、バックエンドサーバ200に提供する。即ち、モジュール制御部135は、なりすまし検出モジュールを指定する検出モジュール実行依頼であって、端末ID、ユーザプロファイル情報及びデータフォーマットを含む当該検出モジュール実行依頼を、通信部110に送信させる。上記ユーザプロファイル情報は、例えば、利用時間に応じた通信量、アクセス先のトップ10、又は利用プロトコルトップ10のような情報を含む。引数として提供される上記ユーザプロファイル情報及び上記データフォーマットは、ポリシー情報と併せて、又はポリシー情報の一部として、フロントエンドサーバ100により取得される。
その後、バックエンドサーバ200は、なりすまし検出モジュールにイベント検出用データを提供するためのインターフェース(例えば、TCP/IPポート)を、フロントエンドサーバ100に通知する。すると、モジュール制御部135は、通知されたインターフェースでイベント検出用データがバックエンドサーバ200へ送信されるように、制御を行う。この点については、ポリシー違反検出モジュールに関連して上述したとおりである。このように、端末10の通信に影響を与えることなく、なりすまし検出モジュールにイベント検出用データが提供される。
そして、なりすまし検出モジュールは、イベント検出用データ及びユーザプロファイル情報に基づいて、端末装置10又は当該端末装置10のユーザについてのなりすましを検出する。より具体的には、例えば、なりすまし検出モジュールは、イベント検出用データから得られる情報とユーザプロファイル情報との乖離の度合いを算出することにより、なりすましを検出する。一例として、上記乖離の度合いが所定の閾値を上回る場合に、なりすましが検出される。当該乖離は、例えば、ユーザの利用時間帯の乖離、アクセス先の乖離、又は利用プロトコルの乖離等を含む。その後、なりすまし検出モジュールは、戻り値として、なりすまし検出結果(例えば、ユーザの利用時間帯の乖離、アクセス先の乖離、又は利用プロトコルの乖離についての情報)を出力する。そして、バックエンドサーバ200は、出力されたなりすまし検出結果をフロントエンドサーバ100へ送信する。そして、モジュール制御部135は、なりすまし検出結果を取得し、なりすましが検出されたことを認識する。
以上のように、なりすましが検出される。このような、なりすましの検出により、なりすましが発生した場合に、フロントエンドサーバ100が当該なりすましの発生を認識することが可能になる。
−−第3の例:情報漏えい
上記所定のイベントは、端末装置10の通信による情報漏えいである。即ち、例えば、通信サービスにおいて端末装置10のために実行されるモジュールとして、端末10の通信による情報漏えいを検出する検出モジュール(以下、「情報漏えい検出モジュール」)と、通信制御モジュールとが、選択される。
例えば、モジュール制御部135は、通信部110を介して、バックエンドサーバ200に情報漏えい検出モジュールの実行を依頼する。その際に、モジュール制御部135は、情報漏えい検出モジュールの引数として、端末ID、情報漏えい規定、及び、イベント検出用データのデータフォーマットを、バックエンドサーバ200に提供する。即ち、モジュール制御部135は、情報漏えい検出モジュールを指定する検出モジュール実行依頼であって、端末ID、情報漏えい規定及びデータフォーマットを含む当該検出モジュール実行依頼を、通信部110に送信させる。上記情報漏えい規定は、例えば、「社外秘」、「Confidential」のような所定の文字情報、zipのようなファイル形式のような、情報漏えいの検出の基礎となる情報である。引数として提供される上記情報漏えい規定及び上記データフォーマットは、ポリシー情報と併せて、又はポリシー情報の一部として、フロントエンドサーバ100により取得される。
その後、バックエンドサーバ200は、情報漏えい検出モジュールにイベント検出用データを提供するためのインターフェース(例えば、TCP/IPポート)を、フロントエンドサーバ100に通知する。すると、モジュール制御部135は、通知されたインターフェースでイベント検出用データがバックエンドサーバ200へ送信されるように、制御を行う。この点については、ポリシー違反検出モジュールに関連して上述したとおりである。このように、端末10の通信に影響を与えることなく、情報漏えい検出モジュールにイベント検出用データが提供される。
そして、情報漏えい検出モジュールは、イベント検出用データ及び情報漏えい規定に基づいて、端末装置10の通信による情報漏えいを検出する。より具体的には、例えば、情報漏えい検出モジュールは、イベント検出用データ(例えば、IPパケット)の中に所定の文字情報(例えば、「社外秘」、「Confidential」等)に合致するデータがあるかを判定することにより、情報漏えいを検出する。一例として、イベント検出用データの中に所定の文字情報に合致するデータがある場合に、情報漏えいが検出される。その後、情報漏えい検出モジュールは、戻り値として、情報漏えい検出結果(例えば、「社外秘」という文字情報を含むデータが送信されたことを示す情報、「Confidential」という文字情報を含むデータが送信されたことを示す情報、等)を出力する。そして、バックエンドサーバ200は、出力された情報漏えい検出結果をフロントエンドサーバ100へ送信する。そして、モジュール制御部135は、情報漏えい検出結果を取得し、情報漏えいが検出されたことを認識する。
このように、情報漏えいが検出されると、モジュール制御部135は、通信部110を介して、バックエンドサーバ200に通信制御モジュールの実行をさらに依頼する。その際に、モジュール制御部135は、通信制御モジュールの引数として端末IDをバックエンドサーバ200に提供する。即ち、モジュール制御部135は、上記通信制御モジュールを指定する通信制御モジュール実行依頼であって、端末IDを含む当該通信制御モジュール実行依頼を、通信部110に送信させる。
その後、バックエンドサーバ200は、端末装置10からのデータを通信制御モジュールに提供するためのインターフェース(例えば、TCP/IPポート)を、フロントエンドサーバ100に通知する。すると、モジュール制御部135は、通知されたインターフェースで端末装置10からのデータがバックエンドサーバ200へ転送されるように、制御を行う。例えば、モジュール制御部135は、端末装置10からのIPパケットをバックエンドサーバ200のTCP/IPポートへ転送するように、ルータを設定する。このように、端末10からのデータは、バックエンドサーバ200(通信制御モジュール)経由で送信される。
そして、通信制御モジュールは、端末装置10の通信についての通信制御を行う。例えば、通信制御モジュールは、端末装置10の通信の遮断、トラフィックシェーピング(Traffic Shaping)等を行う。
以上のように、情報漏えいが検出される。このような、情報漏えいの検出により、情報漏えいが発生した場合に、フロントエンドサーバ100が当該情報漏えいの発生を認識することが可能になる。そして、通信制御により、端末装置10に、さらなる情報漏えいの発生を防ぐことが可能になる。
−−第4の例:所定のアプリケーションソフトウェアの利用
上記所定のイベントは、端末装置10の通信における所定のアプリケーションソフトウェアの利用である。即ち、例えば、通信サービスにおいて端末装置10のために実行されるモジュールとして、端末装置10の通信における所定のアプリケーションソフトウェアの利用を検出する検出モジュール(以下、「ソフトウェア利用検出モジュール」)と、通信制御モジュールとが、選択される。ソフトウェア利用検出モジュールは、例えば、端末装置10の暗号化された通信における所定のアプリケーションソフトウェアの利用を検出する。
例えば、モジュール制御部135は、通信部110を介して、バックエンドサーバ200にソフトウェア利用検出モジュールの実行を依頼する。その際に、モジュール制御部135は、ソフトウェア利用検出モジュールの引数として、端末ID、禁止アプリケーション規定、及び、イベント検出用データのデータフォーマットを、バックエンドサーバ200に提供する。即ち、モジュール制御部135は、ソフトウェア利用検出モジュールを指定する検出モジュール実行依頼であって、端末ID、禁止アプリケーション規定及びデータフォーマットを含む当該検出モジュール実行依頼を、通信部110に送信させる。上記禁止アプリケーション規定は、例えば、「P2P(Peer-to-Peer)ソフトウェア」、「ファイル共有ソフトウェア」等の、禁止されるべきソフトウェアを識別するための情報である。引数として提供される上記禁止アプリケーション規定及び上記データフォーマットは、ポリシー情報と併せて、又はポリシー情報の一部として、フロントエンドサーバ100により取得される。
その後、バックエンドサーバ200は、ソフトウェア利用検出モジュールにイベント検出用データを提供するためのインターフェース(例えば、TCP/IPポート)を、フロントエンドサーバ100に通知する。すると、モジュール制御部135は、通知されたインターフェースでイベント検出用データがバックエンドサーバ200へ送信されるように、制御を行う。この点については、ポリシー違反検出モジュールに関連して上述したとおりである。このように、端末10の通信に影響を与えることなく、ソフトウェア利用検出モジュールにイベント検出用データが提供される。
そして、ソフトウェア利用検出モジュールは、イベント検出用データ及び禁止アプリケーション規定に基づいて、端末装置10の通信による所定のソフトウェア(禁止されるべきソフトウェア)の利用を検出する。より具体的には、例えば、ソフトウェア利用検出モジュールは、イベント検出データについてのパケット到着間隔、パケットサイズ等の統計値と、禁止アプリケーション規定から識別されるアプリケーションソフトウェアについて想定される統計値とが近いかを判定することにより、当該アプリケーションソフトウェアの利用を検出する。一例として、統計値が近い場合に、上記アプリケーションソフトウェアの利用が検出される。その後、ソフトウェア利用検出モジュールは、戻り値として、ソフトウェア利用検出結果(例えば、P2Pソフトウェアが利用されたことを示す情報、ファイル共有ソフトウェアが利用されたことを示す情報、等)を出力する。そして、バックエンドサーバ200は、出力されたソフトウェア利用検出結果をフロントエンドサーバ100へ送信する。そして、モジュール制御部135は、ソフトウェア利用検出結果を取得し、所定のソフトウェア(禁止されるべきソフトウェア)の利用が検出されたことを認識する。
このように、所定のソフトウェアの利用が検出されると、モジュール制御部135は、通信部110を介して、バックエンドサーバ200に通信制御モジュールの実行をさらに依頼する。その際に、モジュール制御部135は、通信制御モジュールの引数として端末IDをバックエンドサーバ200に提供する。即ち、モジュール制御部135は、上記通信制御モジュールを指定する通信制御モジュール実行依頼であって、端末IDを含む当該通信制御モジュール実行依頼を、通信部110に送信させる。
その後、バックエンドサーバ200は、端末装置10からのデータを通信制御モジュールに提供するためのインターフェース(例えば、TCP/IPポート)を、フロントエンドサーバ100に通知する。すると、モジュール制御部135は、通知されたインターフェースで端末装置10からのデータがバックエンドサーバ200へ転送されるように、制御を行う。例えば、モジュール制御部135は、端末装置10からのIPパケットをバックエンドサーバ200のTCP/IPポートへ転送するように、ルータを設定する。このように、端末10からのデータは、バックエンドサーバ200(通信制御モジュール)経由で送信される。なお、例えば、特定の暗号化プロトコルが対象である場合には、端末10からのデータのうちの、特定の暗号化プロトコルの対象のデータが、バックエンドサーバ200(通信制御モジュール)経由で送信される。また、端末10からのデータのうちのその他のデータは、バックエンドサーバ200(通信制御モジュール)経由せずに、通常どおりに送信される。
以上のように、モジュール制御部135は、モジュール選択部133により選択されるモジュールの実行を制御する。
以上のように、所定のアプリケーションソフトウェアの利用が検出される。このような、所定のアプリケーションソフトウェアの利用の検出により、所定のアプリケーションソフトウェアが利用された場合に、フロントエンドサーバ100が当該利用を認識することが可能になる。そして、通信制御により、端末装置10に、当該所定のアプリケーションソフトウェアでの通信を制限することが可能になる。
(端末通知部137)
端末通知部137は、上記通信サービスでの端末装置10に関する情報(以下、「フィードバック情報」と呼ぶ)を端末装置10に通知する。
端末通知部137は、複数の通知手法のうちの端末装置10において選択された通知手法を用いて、上記フィードバック情報を端末装置10に通知する。例えば、端末通知部137は、ネットワーク接続要求に含まれる通知手段情報に示される通知手法で、当該ネットワーク接続要求を送信した端末装置10に、フィードバック情報を通知する。一例として、図3に示されるネットワーク接続要求を送信した端末装置10には、インターネットメールにより、フィードバック情報を通知する。当該通知手法は、インターネットメールの代わりに、HTTP(Hyper Text Transfer Protocol)等を用いたアプリケーションでの通知、SMS(short message service)、キャリアメール(移動通信サービスのメール)等であってもよい。
このように選択された通知手法が用いられることにより、ユーザにとって望ましい手法(例えば、端末装置10が有する機能に応じた手法、ユーザにとって使いやすい手法、等)で通知を行うことが可能になる。その結果、ユーザにとっての利便性が高まる。
また、例えば、上記フィードバック情報は、通知メッセージを含み、当該通知メッセージは、通知メッセージ生成モジュールにより生成される。より具体的には、例えば、当該通知メッセージ生成モジュールは、バックエンドサーバ200により実行される。そのため、端末通知部137は、通信部110を介して、通知メッセージの生成をバックエンドサーバ200に依頼する。即ち、端末通知部137は、通信部110に、通知メッセージ生成依頼をバックエンドサーバ200へ送信させる。すると、バックエンドサーバ200が、当該依頼に応じて、通知メッセージ生成モジュールを実行する。そして、バックエンドサーバ200は、生成された通知メッセージをフロントエンドサーバ100へ送信し、端末通知部137は、当該通知メッセージを取得する。その後、端末通知部137は、通信部110を介して、端末装置10に応じた通知手法で、上記通知メッセージを含むフィードバック情報を端末装置10に通知する。
また、例えば、上記フィードバック情報は、端末装置10の通信に関する所定のイベントの検出についての情報を含む。さらに、例えば、上記フィードバック情報は、端末装置10の通信に対して行われる通信制御についての情報を含む。
上述したように、第1の例として、上記所定のイベントは、ポリシー関連イベントである。この場合に、例えば、モジュール制御部135は、ポリシー関連イベント検出結果を取得すると、端末通知部137は、通信部110を介して、当該ポリシー関連イベント検出結果の一部又は全部の情報を含む通知メッセージ生成依頼をバックエンドサーバ200へ送信させる。また、当該通知メッセージ生成依頼には、ポリシー関連イベントの検出に応じて行われる通信制御についての情報も含まれる。その後、バックエンドサーバ200(通知メッセージ生成部237)は、当該依頼に応じて、通知メッセージ生成モジュールを実行する。通知メッセージ生成モジュールは、ポリシー関連イベントの検出に応じたテンプレートを用いて、上記ポリシー関連イベント検出結果に応じた通知メッセージを生成する。一例として、「通信ポリシーに関して、以下の事象が発生しました。(1)月あたりのデータ制限量に達しました。」及び「これに対して、以下のような措置がとられました。(1)通信が遮断されました。」という通知メッセージが生成される。そして、生成されたメッセージが、フロントエンドサーバ100へ送信され、端末通知部137は、当該メッセージを取得する。その後、端末通知部137は、通信部110を介して、端末装置10に応じた通知手法で、上記通知メッセージを含むフィードバック情報を端末装置10に通知する。
また、上述したように、第2の例として、上記所定のイベントは、端末装置10又は当該端末装置10のユーザについてのなりすましである。この場合に、例えば、モジュール制御部135は、なりすまし検出結果を取得すると、端末通知部137は、通信部110を介して、当該なりすまし検出結果の一部又は全部の情報を含む通知メッセージ生成依頼をバックエンドサーバ200へ送信させる。すると、バックエンドサーバ200(通知メッセージ生成部237)は、当該依頼に応じて、通知メッセージ生成モジュールを実行する。通知メッセージ生成モジュールは、なりすましの検出に応じたテンプレートを用いて、上記なりすまし検出結果に応じた通知メッセージを生成する。一例として、「なりすましが起こっている可能性があります。以下のような事象が発生しています。(1)普段と比べて通信料が多すぎる。(2)普段アクセスしない場所へのアクセスが多い。」という通知メッセージが生成される。そして、生成されたメッセージが、フロントエンドサーバ100へ送信され、端末通知部137は、当該メッセージを取得する。その後、端末通知部137は、通信部110を介して、端末装置10に応じた通知手法で、上記通知メッセージを含むフィードバック情報を端末装置10に通知する。
また、上述したように、第3の例として、上記所定のイベントは、端末装置10の通信による情報漏えいである。この場合に、例えば、モジュール制御部135は、情報漏えい検出結果を取得すると、端末通知部137は、通信部110を介して、当該情報漏えい検出結果の一部又は全部の情報を含む通知メッセージ生成依頼をバックエンドサーバ200へ送信させる。また、当該通知メッセージ生成依頼には、情報漏えいの検出に応じて行われる通信制御についての情報も含まれる。その後、バックエンドサーバ200(通知メッセージ生成部237)は、当該依頼に応じて、通知メッセージ生成モジュールを実行する。通知メッセージ生成モジュールは、情報漏えいの検出に応じたテンプレートを用いて、上記情報漏えい検出結果に応じた通知メッセージを生成する。一例として、「情報漏えいが起こっている可能性があります。以下のような事象が発生しています。(1)「社外秘」を含むデータ(企画書.ppt)が送信されました。」及び「これに対して、以下のような措置がとられました。(1)「社外秘」を含むデータ(企画書.ppt)を○○社の検疫サーバへ転送しました。(2)現在メールの送信ができないように制限しています。」という通知メッセージが生成される。そして、生成されたメッセージが、フロントエンドサーバ100へ送信され、端末通知部137は、当該メッセージを取得する。その後、端末通知部137は、通信部110を介して、端末装置10に応じた通知手法で、上記通知メッセージを含むフィードバック情報を端末装置10に通知する。
また、上述したように、第4の例として、上記所定のイベントは、端末装置10の通信における所定のアプリケーションソフトウェアの利用である。この場合に、例えば、モジュール制御部135は、ソフトウェア利用検出結果を取得すると、端末通知部137は、通信部110を介して、当該ソフトウェア利用検出結果の一部又は全部の情報を含む通知メッセージ生成依頼をバックエンドサーバ200へ送信させる。また、当該通知メッセージ生成依頼には、所定のソフトウェアの利用の検出に応じて行われる通信制御についての情報も含まれる。その後、バックエンドサーバ200(通知メッセージ生成部237)は、当該依頼に応じて、通知メッセージ生成モジュールを実行する。通知メッセージ生成モジュールは、所定のソフトウェアの利用の検出に応じたテンプレートを用いて、上記ソフトウェア利用検出結果に応じた通知メッセージを生成する。一例として、「禁止されている以下のアプリケーションを利用している可能性があります。(1)P2Pアプリケーション」及び「これに対して、以下のような措置がとられました。(1)接続先との通信速度を300kbpsに制限しました。」という通知メッセージが生成される。そして、生成されたメッセージが、フロントエンドサーバ100へ送信され、端末通知部137は、当該メッセージを取得する。その後、端末通知部137は、通信部110を介して、端末装置10に応じた通知手法で、上記通知メッセージを含むフィードバック情報を端末装置10に通知する。
以上のように、所定のイベントの検出についての情報、及び、端末装置10の通信に対して行われる通信制御についての情報が、端末装置10に通知される。このように、所定のイベントの検出についての情報の通知により、端末装置10のユーザは、所定のイベント(例えば、ポリシー関連イベント、なりすまし、情報漏えい、所定のアプリケーションソフトウェアの利用、等)の発生を知ることができる。また、このように、通信制御についての情報の通知により、端末装置10のユーザは、端末装置10の通信に何が起こっているかを知ることができる。
なお、上記フィードバック情報は、端末装置10又は当該端末装置10のユーザの認証結果に関する情報を含んでもよい。この場合に、端末通知部137は、通信部110を介して、端末装置10の認証が成功したか失敗したかを示すフィードバック情報を端末装置10に通知してもよい。
このように、認証結果に関する情報の通知により、認証が失敗した際に、端末装置10のユーザは、端末装置10がネットワークに接続できない理由を知ることができる。
以上のように、フィードバック情報が端末装置10に通知される。このような通知により、端末装置10のユーザにとってより利便性が高い通信サービスを提供することが可能になる。
<3.バックエンドサーバの構成>
続いて、図11を参照して、本実施形態に係るバックエンドサーバ200の構成の一例を説明する。図11は、本実施形態に係るバックエンドサーバ200の構成の一例を示すブロック図である。図11を参照すると、バックエンドサーバ200は、通信部210、記憶部220及び制御部230を備える。
(通信部210)
通信部210は、他の装置と通信する。例えば、通信部210は、フロントエンドサーバ100と通信する。
(記憶部220)
記憶部220は、バックエンドサーバ200の動作のためのプログラム及びデータを記憶する。
例えば、記憶部120は、通信サービスにおいて端末装置10のために実行されるモジュールのモジュール群を記憶する。当該モジュール群は、例えば、認証モジュール、検出モジュール、通信制御モジュール、及び通知メッセージ生成モジュールを含む。
(制御部230)
制御部230は、バックエンドサーバ200の様々な機能を提供する。制御部230は、認証部231、イベント検出部233、端末通信制御部235及び通知メッセージ生成部237を含む。
(認証部231)
認証部231は、認証モジュールを実行する。例えば、通信部210が、フロントエンドサーバ100により送信される認証モジュール実行依頼を受信すると、認証部231は、当該認証モジュール実行依頼により指定される認証モジュールを実行する。なお、認証部231は、認証モジュール実行依頼に含まれる情報を取得し、認証モジュールの引数として使用する。また、認証部231は、通信部210に、認証モジュールの戻り値(例えば、認証結果、ポリシー情報、等)をフロントエンドサーバ100へ送信させる。
(イベント検出部233)
イベント検出部233は、検出モジュールを実行する。当該検出モジュールは、例えば、ポリシー関連イベント検出モジュール、なりすまし検出モジュール、情報漏えいモジュール、及びソフトウェア利用検出モジュールを含む。例えば、通信部210が、フロントエンドサーバ100により送信される検出モジュール実行依頼を受信すると、イベント検出部233は、当該検出モジュール実行依頼により指定される検出モジュールを実行する。なお、イベント検出部233は、検出モジュール実行依頼に含まれる情報を取得し、検出モジュールの引数として使用する。また、イベント検出部233は、必要に応じて、通信部210を介して、検出モジュールにイベント検出用データを提供するためのインターフェース(例えば、TCP/IPポート)を、フロントエンドサーバ100に通知する。また、イベント検出部233は、通信部210に、検出モジュールの戻り値をフロントエンドサーバ100へ送信させる。
(端末通信制御部235)
端末通信制御部235は、通信制御モジュールを実行する。例えば、通信部210が、フロントエンドサーバ100により送信される通信制御モジュール実行依頼を受信すると、端末通信制御部235は、必要に応じて、当該通信制御モジュール実行依頼により指定される通信制御モジュールを実行する。なお、端末通信制御部235は、通信制御モジュール実行依頼に含まれる情報を取得し、通信制御モジュールの引数として使用する。また、端末通信制御部235は、必要に応じて、通信部210を介して、通信制御モジュールに端末装置10からのデータを提供するためのインターフェース(例えば、TCP/IPポート)を、フロントエンドサーバ100に通知する。また、端末通信制御部235は、通信部210に、通信制御モジュールの戻り値をフロントエンドサーバ100へ送信させてもよい。
(通知メッセージ生成部237)
通知メッセージ生成部237は、通知メッセージ生成モジュールを実行する。例えば、通信部210が、フロントエンドサーバ100により送信される通知メッセージ生成依頼を受信すると、通知メッセージ生成部237は、通知メッセージ生成モジュールを実行する。通知メッセージ生成モジュールは、当該通知メッセージ生成依頼に対応するテンプレートと、当該通知メッセージ生成依頼に含まれる情報とに基づいて、通知メッセージを生成する。そして、通知メッセージ生成部237は、通信部210に、通知メッセージ生成モジュールの戻り値(通知メッセージ)を、フロントエンドサーバ100へ送信させる。
<4.ハードウェア構成>
続いて、図12を参照して、本実施形態に係るフロントエンドサーバ100及びバックエンドサーバ200のハードウェア構成の一例を説明する。フロントエンドサーバ100及びバックエンドサーバ200は、同様のハードウェアにより構成され得るので、ここではフロントエンドサーバ100のハードウェア構成の一例を説明する。
図12は、本実施形態に係るフロントエンドサーバ100のハードウェア構成の一例を示すブロック図である。図12を参照すると、フロントエンドサーバ100は、CPU(Central Processing Unit)81、ROM(Read Only Memory)83、RAM(Random Access Memory)85、バス87、記憶装置89、通信装置91を備える。
CPU81は、フロントエンドサーバ100における様々な処理を実行する。ROM83は、フロントエンドサーバ100における処理をCPU81に実行させるためのプログラム及びデータを記憶する。RAM85は、CPU81の処理の実行時に、プログラム及びデータを一時的に記憶する。
バス87は、CPU81、ROM83及びRAM85を相互に接続する。バス87には、さらに、記憶装置89及び通信装置91が接続される。バス87は、例えば、複数の種類のバスを含む。一例として、バス87は、CPU81、ROM83及びRAM85を接続するバスと、当該バスよりも低速の1つ以上の別のバスを含む。
記憶装置89は、フロントエンドサーバ100内で一時的又は恒久的に保存すべきデータを記憶する。記憶装置89は、例えば、ハードディスク(Hard Disk)等の磁気記憶装置であってもよく、又は、EEPROM(Electrically Erasable and Programmable Read Only Memory)、フラッシュメモリ(flash memory)、MRAM(Magnetoresistive Random Access Memory)、FeRAM(Ferroelectric Random Access Memory)及びPRAM(Phase change Random Access Memory)等の不揮発性メモリ(nonvolatile memory)であってもよい。
通信装置91は、フロントエンドサーバ100が備える通信手段であり、ネットワークを介して外部装置と通信する。通信装置91は、有線通信用の装置であってもよく、この場合に、例えば、LAN端子、伝送回路及びその他の通信処理用の回路を含んでもよい。また、通信装置91は、無線通信用の装置であってもよく、この場合に、例えば、通信アンテナ、RF回路及びその他の通信処理用の回路を含んでもよい。
<5.処理の流れ>
続いて、図13A〜図14Cを参照して、本実施形態に係る通信制御処理の例を説明する。
(通信制御モジュールが選択されない場合)
まず、図13A及び図13Bを参照して、本実施形態に係る通信制御処理の例であって、通信制御モジュールが選択されない場合の通信制御処理の例を説明する。図13A及び図13Bは、本実施形態に係る通信制御処理(通信制御モジュールが選択されない場合)の概略的な流れの一例を示すフローチャートである。図13Aに示される各ステップの後に、図13Bに示される各ステップが位置する。
まず、図13Aを参照すると、ステップS401で、端末装置10は、アクセスポイント20を介して、ネットワーク接続要求をフロントエンドサーバ100へ送信する。すると、フロントエンドサーバ100の通信部110が、当該ネットワーク接続要求を受信し、フロントエンドサーバ100の接続要求受付部131は、当該ネットワーク接続要求を受け付ける。そして、フロントエンドサーバ100の接続要求受付部131は、当該ネットワーク接続要求に含まれる情報を取得する。
ステップS403で、フロントエンドサーバ100のモジュール選択133は、接続要求受付部131により、ネットワーク接続要求に含まれる情報(例えば、事業者ID)に基づいて、認証モジュールを選択する。
ステップS405で、フロントエンドサーバ100のモジュール制御部135は、通信部110に、選択された認証モジュールを指定する認証モジュール実行依頼を送信させる。
ステップS407で、バックエンドサーバ200の認証部231は、認証モジュール実行依頼により指定される認証モジュールを実行する。なお、認証部231は、認証モジュール実行依頼に含まれる情報を取得し、認証モジュールの引数として使用する。結果として、認証モジュールにより、認証結果が出力される。また、端末装置10のユーザの認証が成功すると、結果として、ポリシー情報も出力される。
ステップS409で、バックエンドサーバ200の認証部231は、通信部210に、認証結果をフロントエンドサーバ100へ送信させる。また、端末装置10のユーザの認証が成功した場合には、バックエンドサーバ200の認証部231は、通信部210に、ポリシー情報も送信させる。そして、フロントエンドサーバ100のモジュール制御部135は、通信部110を介して、当該認証結果(及び当該ポリシー情報)を取得する。
ステップS411で、フロントエンドサーバ100のモジュール選択133は、ネットワーク接続要求に含まれる情報(例えば、事業者ID及びユーザID)に基づいて、検出モジュールを選択する。
ステップS413で、フロントエンドサーバ100のモジュール制御部135は、取得したポリシー情報及びその他の端末装置10に関連する情報を、記憶部130の端末情報管理テーブルに追加する。即ち、モジュール制御部135は、端末情報管理テーブルを更新する。
次に、図13Bを参照すると、ステップS421で、フロントエンドサーバ100のモジュール制御部135は、通信部110に、選択された検出モジュールを指定する検出モジュール実行依頼を送信させる。
ステップS423で、バックエンドサーバ200のイベント検出部233は、検出モジュールにイベント検出用データを提供するためのインターフェース(例えば、TCP/IPポート)を、フロントエンドサーバ100に通知する。
ステップS425で、フロントエンドサーバ100のモジュール制御部135は、通知されたインターフェースでイベント検出用データがバックエンドサーバ200へ送信されるように、制御を行う。例えば、データフォーマットがIPパケットであれば、モジュール制御部135は、端末装置10からの通信データ(IPパケット)のコピーをバックエンドサーバ200のTCP/IPポートへ転送するように、ルータを設定する。
ステップS427で、フロントエンドサーバ100のモジュール制御部135は、通信サービスでの通信の許可を端末装置10に通知する。
ステップS429で、端末装置10は、通信サービスでの通信を開始する。
ステップS431で、端末10の通信データのコピー(即ち、イベント検出用データ)が、上記ルータにより、バックエンドサーバ200へ転送される。
ステップS433で、バックエンドサーバ200のイベント検出部233は、イベント検出用データを用いて、上記検出モジュール実行依頼により指定される検出モジュールを実行する。そして、検出モジュールにより、イベント検出結果が出力される。
ステップS435で、バックエンドサーバ200のイベント検出部233は、通信部210に、出力されたイベント検出結果をフロントエンドサーバ100へ送信させる。そして、フロントエンドサーバ100のモジュール制御部135は、当該イベント検出結果を取得する。
ステップS437で、フロントエンドサーバ100の端末通知部137は、通信部110に、通知メッセージ生成依頼をバックエンドサーバ200へ送信させる。
ステップS439で、バックエンドサーバ200の通知メッセージ生成部237は、通知メッセージ生成モジュールを実行する。なお、通知メッセージ生成部237は、通知メッセージ生成依頼に含まれる情報(例えば、イベント検出結果の一部又は全部の情報)を取得し、通知メッセージ生成モジュールの引数として使用する。結果として、通知メッセージ生成モジュールにより、通知メッセージが出力される。
ステップS441で、通知メッセージ生成部237は、通信部210に、生成された通知メッセージをフロントエンドサーバ100へ送信させる。
ステップS443で、通知メッセージ生成部237は、通信部110を介して、上記通知メッセージを含むフィードバック情報を端末装置10に通知する。
(通信制御モジュールが選択される場合)
まず、図14A〜図14Cを参照して、本実施形態に係る通信制御処理の例であって、通信制御モジュールが選択される場合の通信制御処理の例を説明する。図14A、図14B及び図14Cは、本実施形態に係る通信制御処理(通信制御モジュールが選択される場合)の概略的な流れの一例を示すフローチャートである。図14Aに示される各ステップの後に、図14Bに示される各ステップが位置し、図14Bに示される各ステップの後に、図14Cに示される各ステップが位置する。
ここでは、図13A及び図13Bに示される通信制御処理(通信制御モジュールが選択されない場合)と、図14A〜図14Cに示される通信制御処理(通信制御モジュールが選択される場合)との差分である、ステップS412、S451、S453、S455、S457及びS459のみを説明する。
図14Aを参照すると、ステップS412で、フロントエンドサーバ100のモジュール選択133は、ネットワーク接続要求に含まれる情報(例えば、事業者ID及びユーザID)に基づいて、検出モジュール及び通信制御モジュールを選択する。
図14Bを参照すると、ステップS451で、フロントエンドサーバ100のモジュール制御部135は、通信部110に、選択された通信制御モジュールを指定する通信制御モジュール実行依頼を送信させる。
ステップS453で、バックエンドサーバ200の端末通信制御部235は、通信部210を介して、通信制御モジュールに端末装置10からのデータを提供するためのインターフェース(例えば、TCP/IPポート)を、フロントエンドサーバ100に通知する。
ステップS455で、フロントエンドサーバ100のモジュール制御部135は、通知されたインターフェースで端末装置10からの通信データがバックエンドサーバ200へ転送されるように、制御を行う。例えば、モジュール制御部135は、端末装置10からの通信データ(IPパケット)をバックエンドサーバ200のTCP/IPポートへ転送するように、ルータを設定する。
ステップS457で、端末10の通信データが、上記ルータにより、バックエンドサーバ200へ転送される。
ステップS459で、バックエンドサーバ200の端末通信制御部235は、上記通信制御モジュール実行依頼により指定される通信制御モジュールを実行する。
以上、添付図面を参照しながら本発明の好適な実施形態を説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
例えば、認証モジュールが事業者IDに基づいて選択される例を説明したが、本発明はこれに限定されない。例えば、認証モジュールは、事業者ID及びユーザIDに基づいて選択されてもよい。即ち、用いられる認証モジュールは、通信事業者単位ではなく、ユーザ単位で決められてもよい。
また、検出モジュール及び通信制御モジュールが事業者ID及びユーザIDに基づいて選択される例を説明したが、本発明はこれに限定されない。例えば、検出モジュール及び/又は通信制御モジュールは、ユーザIDに基づかずに、事業者IDに基づいて選択されてもよい。即ち、用いられる認証モジュールは、ユーザ単位ではなく、通信事業者単位で決められてもよい。
また、事業者ID及びユーザIDに基づいてモジュール(例えば、検出モジュール、通信制御モジュール)が選択される例を説明したが、本発明はこれに限定されない。例えば、ユーザIDの代わりに(又はユーザIDとともに)、端末IDが用いられてもよい。即ち、事業者ID及び端末IDに基づいてモジュールが選択されてもよい。また、この場合に、ネットワーク接続要求には、ユーザIDの代わりに(又はユーザIDとともに)、端末IDが含まれてもよい。
また、検出モジュールがイベントを検出する例を説明したが、検出モジュールは、イベント(ポリシー関連イベント、なりすまし、情報漏えい、所定のアプリケーションソフトウェアの利用、等)を確実に検出する必要はない。例えば、検出モジュールは、誤ってイベントを検出してしまうことがあってもよい。
また、認証モジュールが端末装置のユーザの認証(即ち、ユーザ認証)を行う例を説明したが、本発明はこれに限定されない。例えば、認証モジュールが端末装置の認証(即ち、端末認証)を行ってもよい。
また、端末IDが物理アドレスである例を説明したが、本発明はこれに限定されない。端末IDは物理アドレス以外のアドレス(例えば、端末IDに与えられた別のID)であってもよい。
また、認証のためにパスワードが用いられる例を説明したが、本発明はこれに限定されない。例えば、パスワードの代わりに別の情報(例えば、クッキー(cookie)が用いられてもよい。
また、検出モジュールと通信制御モジュールとが別々のモジュールとして用意される例を説明したが、本発明はこれに限定されない。例えば、検出モジュールと通信制御モジュールとは、1つのモジュールとして用意されてもよい。一例として、検出モジュールが、イベントの検出に応じて端末装置の通信を制御してもよい。
また、端末装置に提供される通信サービスが無線LANサービスである例を説明したが、本発明はこれに限定されない。例えば、端末装置に提供される通信サービスは、移動通信サービスであってもよい。この場合に、通信システムは、アクセスポイントの代わりに、基地局を含んでもよい。また、複数の所定の通信事業者は、仮想移動体通信事業者(Mobile Virtual Network Operator:MVNO)を含んでもよい。
また、フロントエンドサーバが接続要求受付部、モジュール選択部、モジュール制御部及び端末通知部を備える例を説明したが、本発明はこれに限定されない。例えば、接続要求受付部、モジュール選択部、モジュール制御部又は端末通知部が、別の装置(例えば、アクセスポイント、バックエンドサーバ、別のサーバ、等)により備えられてもよい。
また、フロントエンドサーバが独立した装置として通信システムに含まれる例を説明したが、本発明はこれに限定されない。通信システムはフロントエンドサーバを含まず、フロントエンドサーバにより備えられる各構成要素は他の装置により備えられてもよい。一例として、フロントエンドサーバの各構成要素は、アクセスポイントにより備えられてもよく、又はバックエンドサーバにより備えられてもよい。また、別の例として、フロントエンドサーバの一部の構成要素は、アクセスポイントにより備えられ、残りの構成要素は、バックエンドサーバにより備えられてもよい。
また、通信システムが1つのバックエンドサーバを含む例を説明したが、本発明はこれに限定されない。通信システムは2つ以上のバックエンドサーバを含んでもよい。この場合に、各バックエンドサーバが、別々のモジュールを実行してもよい。また、モジュール情報テーブルには、各モジュールの引数及び戻り値のみではなく、各モジュールを実行する装置の場所(例えば、アドレス)が含まれてもよい。そして、フロントエンドサーバは、モジュールの実行を、当該モジュールに対応する装置に依頼してもよい。なお、2つ以上のバックエンドサーバは、別々の場所(例えば、互いに離れた別々の場所)に存在してもよい。また、フロントエンドサーバが、2つ以上のバックエンドサーバの1つとして動作してもよい。
また、選択されるモジュールがバックエンドサーバで実行される例を説明したが、本発明はこれに限定されない。例えば、予め用意されたモジュール群の中の一部又は全部のモジュールがフロントエンドサーバで実行されてもよい。
また、バックエンドサーバが認証部、イベント検出部、端末通信制御部及び通知メッセージ生成部を備える例を説明したが、本発明はこれに限定されない。例えば、認証部、イベント検出部、端末通信制御部又は通知メッセージ生成部は、別の装置(例えば、バックエンドサーバ、別のサーバ、アクセスポイント、等)により備えられてもよい。
また、バックエンドサーバが独立した装置として通信システムに含まれる例を説明したが、本発明はこれに限定されない。通信システムはバックエンドサーバを含まず、バックエンドサーバにより備えられる各構成要素は他の装置により備えられてもよい。一例として、バックエンドサーバの各構成要素は、フロントエンドサーバにより備えられてもよい。また、別の例として、バックエンドサーバの一部の構成要素は、フロントエンドサーバにより備えられ、残りの構成要素は、別の装置により備えられてもよい。
また、本明細書の通信制御処理における処理ステップは、必ずしもフローチャートに記載された順序に沿って時系列に実行されなくてよい。例えば、通信制御処理における処理ステップは、フローチャートとして記載した順序と異なる順序で実行されても、並列的に実行されてもよい。
また、通信制御装置(例えば、フロントエンドサーバ及びバックエンドサーバ)に内蔵されるCPU、ROM及びRAM等のハードウェアに、上記通信制御装置の各構成と同等の機能を発揮させるためのコンピュータプログラムも作成可能である。また、当該コンピュータプログラムを記憶させた記憶媒体も提供される。
1 通信システム
10 端末装置
20 アクセスポイント
30、40 ネットワーク
100 フロントエンドサーバ
110 通信部
120 記憶部
130 制御部
131 接続要求受付部
133 モジュール選択部
135 モジュール制御部
137 端末通知部
200 バックエンドサーバ
210 通信部
220 記憶部
230 制御部
231 認証部
233 イベント検出部
235 端末通信制御部
237 通知メッセージ生成部

Claims (20)

  1. 所定の複数の通信事業者のうちのいずれかの通信事業者により通信サービスを提供される端末装置からのネットワーク接続要求が受け付けられると、当該ネットワーク接続要求に含まれる情報を取得する取得部と、
    前記ネットワーク接続要求に含まれる前記情報に基づいて、予め用意されたモジュール群の中の、前記端末装置に通信サービスを提供する通信事業者に対応する1つ以上のモジュールであって、当該通信サービスにおいて前記端末装置のために実行される前記1つ以上のモジュールを選択する選択部と、
    を備える通信制御装置。
  2. 前記ネットワーク接続要求は、前記端末装置に通信サービスを提供する前記通信事業者を識別するための事業者識別情報を含み、
    前記選択部は、前記事業者識別情報に基づいて、前記1つ以上のモジュールを選択する、
    請求項1に記載の通信制御装置。
  3. 前記1つ以上のモジュールは、前記端末装置又は当該端末装置のユーザの認証を行う認証モジュールを含む、請求項1又は2に記載の通信制御装置。
  4. 前記1つ以上のモジュールは、前記端末装置の通信に関する所定のイベントを検出する検出モジュールを含む、請求項1〜3のいずれか1項に記載の通信制御装置。
  5. 前記所定のイベントは、前記端末装置又は当該端末装置のユーザについて予め定められた通信ポリシーについてのイベントである、請求項4に記載の通信制御装置。
  6. 前記所定のイベントは、前記端末装置又は当該端末装置のユーザについてのなりすましである、請求項4又は5に記載の通信制御装置。
  7. 前記所定のイベントは、前記端末装置の通信による情報漏えいである、請求項4〜6のいずれか1項に記載の通信制御装置。
  8. 前記所定のイベントは、前記端末装置の通信における所定のアプリケーションソフトウェアの利用である、請求項4〜7のいずれか1項に記載の通信制御装置。
  9. 前記1つ以上のモジュールは、前記イベントの検出に応じて前記端末装置の通信を制御する通信制御モジュールを含み、又は、前記検出モジュールは、前記イベントの検出に応じて前記端末装置の通信を制御する、請求項4〜8のいずれか1項に記載の通信制御装置。
  10. 前記ネットワーク接続要求は、前記端末装置を識別するための端末識別情報、又は当該端末装置のユーザを識別するためのユーザ識別情報を含み、
    前記選択部は、前記事業者識別情報、及び、前記端末識別情報又は前記ユーザ識別情報に基づいて、前記1つ以上のモジュールの一部又は全部を選択する、
    請求項2に記載の通信制御装置。
  11. 前記通信サービスでの前記端末装置に関する情報を前記端末装置に通知する通知部をさらに備える、請求項1〜10のいずれか1項に記載の通信制御装置。
  12. 前記通信サービスでの前記端末装置に関する前記情報は、前記端末装置の通信に関する所定のイベントの検出についての情報を含む、請求項11に記載の通信制御装置。
  13. 前記通信サービスでの前記端末装置に関する前記情報は、前記端末装置の通信に対して行われる通信制御についての情報を含む、請求項11又は12に記載の通信制御装置。
  14. 前記通信サービスでの前記端末装置に関する前記情報は、前記端末装置又は当該端末装置のユーザの認証結果に関する情報を含む、請求項11〜13のいずれか1項に記載の通信制御装置。
  15. 前記通知部は、複数の通知手法のうちの前記端末装置において選択された通知手法を用いて、前記通信サービスでの前記端末装置に関する前記情報を前記端末装置に通知する、
    請求項11〜14のいずれか1項に記載の通信制御装置。
  16. 前記通信サービスは、無線ローカルエリアネットワーク(LAN)サービスである、請求項1〜15のいずれか1項に記載の通信制御装置。
  17. 前記通信サービスは、移動通信サービスである、請求項1〜15のいずれか1項に記載の通信制御装置。
  18. 前記所定の複数の通信事業者は、仮想移動体通信事業者を含む、請求項16に記載の通信制御装置。
  19. コンピュータを、
    所定の複数の通信事業者のうちのいずれかの通信事業者により通信サービスを提供される端末装置からのネットワーク接続要求が受け付けられると、当該ネットワーク接続要求に含まれる情報を取得する取得部と、
    前記ネットワーク接続要求に含まれる前記情報に基づいて、予め用意されたモジュール群の中の、前記端末装置に通信サービスを提供する通信事業者に対応する1つ以上のモジュールであって、当該通信サービスにおいて前記端末装置のために実行される前記1つ以上のモジュールを選択する選択部と、
    として機能させるためのプログラム。
  20. 所定の複数の通信事業者のうちのいずれかの通信事業者により通信サービスを提供される端末装置からのネットワーク接続要求が受け付けられると、当該ネットワーク接続要求に含まれる情報を取得するステップと、
    前記ネットワーク接続要求に含まれる前記情報に基づいて、予め用意されたモジュール群の中の、前記端末装置に通信サービスを提供する通信事業者に対応する1つ以上のモジュールであって、当該通信サービスにおいて前記端末装置のために実行される前記1つ以上のモジュールを選択するステップと、
    を含む通信制御方法。
JP2013024392A 2013-02-12 2013-02-12 通信制御装置、プログラム及び通信制御方法 Pending JP2014155095A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013024392A JP2014155095A (ja) 2013-02-12 2013-02-12 通信制御装置、プログラム及び通信制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013024392A JP2014155095A (ja) 2013-02-12 2013-02-12 通信制御装置、プログラム及び通信制御方法

Publications (1)

Publication Number Publication Date
JP2014155095A true JP2014155095A (ja) 2014-08-25

Family

ID=51576552

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013024392A Pending JP2014155095A (ja) 2013-02-12 2013-02-12 通信制御装置、プログラム及び通信制御方法

Country Status (1)

Country Link
JP (1) JP2014155095A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017208762A (ja) * 2016-05-20 2017-11-24 株式会社Nttドコモ 情報管理装置
JP2019522428A (ja) * 2016-07-05 2019-08-08 華為技術有限公司Huawei Technologies Co.,Ltd. サイバーセキュリティ管理システム、方法、および装置
KR102359805B1 (ko) * 2021-08-10 2022-02-09 주식회사 시큐아이 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003258857A (ja) * 2002-03-05 2003-09-12 Mitsubishi Electric Corp ネットワークポリシー制御システムおよびこれに用いるポリシーサーバ
JP2005341456A (ja) * 2004-05-31 2005-12-08 Ntt Neomate Corp 公衆無線lan共用アクセスポイント提供システム
JP2008283322A (ja) * 2007-05-09 2008-11-20 Nec Corp 管理装置、無線アクセスネットワーク及びそれらに用いる設備共有方法並びにそのプログラム
JP2010171855A (ja) * 2009-01-26 2010-08-05 Nippon Telegr & Teleph Corp <Ntt> 着信通知装置、通信システム、および着信通知方法
JP2011044799A (ja) * 2009-08-19 2011-03-03 Fujitsu Ltd 基地局、無線通信システムおよび無線通信方法
JP2011154244A (ja) * 2010-01-28 2011-08-11 Seiko Epson Corp カラーフィルター用インクセット、カラーフィルターの製造方法、カラーフィルター、画像表示装置、および、電子機器

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003258857A (ja) * 2002-03-05 2003-09-12 Mitsubishi Electric Corp ネットワークポリシー制御システムおよびこれに用いるポリシーサーバ
JP2005341456A (ja) * 2004-05-31 2005-12-08 Ntt Neomate Corp 公衆無線lan共用アクセスポイント提供システム
JP2008283322A (ja) * 2007-05-09 2008-11-20 Nec Corp 管理装置、無線アクセスネットワーク及びそれらに用いる設備共有方法並びにそのプログラム
JP2010171855A (ja) * 2009-01-26 2010-08-05 Nippon Telegr & Teleph Corp <Ntt> 着信通知装置、通信システム、および着信通知方法
JP2011044799A (ja) * 2009-08-19 2011-03-03 Fujitsu Ltd 基地局、無線通信システムおよび無線通信方法
JP2011154244A (ja) * 2010-01-28 2011-08-11 Seiko Epson Corp カラーフィルター用インクセット、カラーフィルターの製造方法、カラーフィルター、画像表示装置、および、電子機器

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017208762A (ja) * 2016-05-20 2017-11-24 株式会社Nttドコモ 情報管理装置
JP2019522428A (ja) * 2016-07-05 2019-08-08 華為技術有限公司Huawei Technologies Co.,Ltd. サイバーセキュリティ管理システム、方法、および装置
US10897712B2 (en) 2016-07-05 2021-01-19 Huawei Technologies Co., Ltd. Cyber security management system, method, and apparatus
KR102359805B1 (ko) * 2021-08-10 2022-02-09 주식회사 시큐아이 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법
WO2023017952A1 (ko) * 2021-08-10 2023-02-16 주식회사 시큐아이 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법

Similar Documents

Publication Publication Date Title
US10042665B2 (en) Customer premises equipment (CPE) with virtual machines for different service providers
US9479450B2 (en) Resolving communication collisions in a heterogeneous network
US9763094B2 (en) Methods, devices and systems for dynamic network access administration
US8631471B2 (en) Automated seamless reconnection of client devices to a wireless network
CN107005442B (zh) 用于远程接入的方法和装置
US20150281239A1 (en) Provision of access privileges to a user
WO2019237813A1 (zh) 一种服务资源的调度方法及装置
US9781090B2 (en) Enterprise computing environment with continuous user authentication
US20170238183A1 (en) Mac address-bound wlan password
EP3550786A1 (en) Certificate acquisition method, authentication method and network device
EP3206422A1 (en) Method and device for creating subscription resource
CN102739684A (zh) 一种基于虚拟IP地址的Portal认证方法及服务器
CN102271133A (zh) 认证方法、装置和***
US20160261569A1 (en) Device-to-Device Network Location Updates
CN103369529A (zh) 身份认证方法、访问点及访问控制器
CN113746788A (zh) 一种数据处理方法及装置
KR101538503B1 (ko) 신호세기를 이용한 무선랜 접속 방법
WO2019036390A1 (en) MOBILE NUMBER VERIFICATION FOR AUTHENTICATION BASED ON A MOBILE NETWORK
JP2014155095A (ja) 通信制御装置、プログラム及び通信制御方法
CN101741568A (zh) 上网方法、客户端、安全网关及上网***
EP3779683A1 (en) Different profiles for selecting different network interfaces for communications of an electronic device
CN106537962B (zh) 无线网络配置、接入和访问方法、装置及设备
US11811817B2 (en) SSL proxy whitelisting
CN109691158A (zh) 移动流量重定向***
Nguyen et al. An SDN‐based connectivity control system for Wi‐Fi devices

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151117

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160707

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160712

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170411