ウェブサーバへのアクセス制限方法、フェムトセル基地局装置及びアクセス制限判断装置
【課題】ウェブサーバへのアクセス制限方法、フェムトセル基地局装置及びアクセス制限判断装置に関し、フェムトセル・サービス提供時に、移動通信網経由の場合と同様にウェブサイトへのアクセス制限サービスを提供する。
【解決手段】 フェムトセル基地局1−1で移動端末16−1から送出されるウェブサーバ16−6のURLを受け取ると、該URLのDNSクエリ及び該移動端末の識別番号(IMSI)を、移動通信網16−3の判断装置1−2に送信し、判断装置1−2で移動端末の識別番号を基に該URLがアクセス制限対象か否かを判断し、該判断結果、及びアクセス可能である場合には該URLのIPアドレスをフェムトセル基地局1−1に回答する。フェムトセル基地局1−1では該回答に基づいて、制限対象のURLへのアクセスを禁止し、アクセス可能のURLのIPアドレスを移動端末16−1に通知する。
【解決手段】 フェムトセル基地局1−1で移動端末16−1から送出されるウェブサーバ16−6のURLを受け取ると、該URLのDNSクエリ及び該移動端末の識別番号(IMSI)を、移動通信網16−3の判断装置1−2に送信し、判断装置1−2で移動端末の識別番号を基に該URLがアクセス制限対象か否かを判断し、該判断結果、及びアクセス可能である場合には該URLのIPアドレスをフェムトセル基地局1−1に回答する。フェムトセル基地局1−1では該回答に基づいて、制限対象のURLへのアクセスを禁止し、アクセス可能のURLのIPアドレスを移動端末16−1に通知する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ウェブサーバへのアクセス制限方法、フェムトセル基地局装置及びアクセス制限判断装置に関する。本発明は、例えば、フェムトセル基地局装置を介して移動端末からアクセスされるウェブページをフィルタリングし、有害サイトへのアクセスを制限するアクセス制限方法、フェムトセル基地局装置及びアクセス制限判断装置に適用することもできる。
【背景技術】
【0002】
移動通信の基地局の多くは、半径数百m〜十数Kmのマクロセルと呼ばれる通信エリアをカバーするが、マクロセルの境界領域やビルの奥、地下等では電波強度が微弱となり、通信環境の悪い場所が生まれる。このような状況を改善するために、より小さな通信エリアの小型基地局を設置することで対応してきたが、それでもまだ通信不能となる小さな場所が存在するため、フェムトセルと呼ばれる更に狭い範囲の通信エリアで弱い電波を出力する小型基地局の設置が提唱され、また一部で実現化されている。
【0003】
このような小型基地局には、利用形態としても従来と異なる幾つかの利点があるため、個人の宅内や小企業、小店舗等での簡易な設置と運用が見込まれ、その場合、フェムトセルの小型基地局(以下、フェムトセル基地局という)は、FTTH(Fiber To The Home)やADSL(Asymmetric Digital Subscriber Line)等のブロードバンド回線のアクセス回線によって、広域網に接続することが提案されている。
【0004】
フェムトセルの導入により、移動端末と家庭内LAN(Local Area Network)との親和性、及び移動端末とインターネットとの親和性が強まることとなる。前者に関しては、フェムトセル基地局をアクセスポイントとしてLANに設置することにより、移動端末は、LAN上の例えばパーソナルコンピュータ等と直接通信することができる。また、後者に関しては、フェムトセルによる無線周波数の利用効率の向上及び移動通信事業者のパケット定額制の拡充等により、移動端末からインターネットへのアクセスがより一層容易なものとなる。
【0005】
移動電話は、近年、青少年から児童に至るまで広い年齢層のユーザによって所持され、その所持率の高まりは、若年層の有害サイトへのアクセスを懸念させる。移動通信事業者は、有害なインターネットサイトへのアクセスを制限するサービスを自主的に実施しているが、教育上の観点から有害サイトへのアクセスを制限するフィルタリング・サービスの義務化が提唱されている。
【0006】
フィルタリング・サービスは、一般に、有害サイトのURL(Uniform Resource Locator)リスト情報を提供する事業者から、移動通信事業者がライセンス契約により有害サイトURLリストを取得する。そして、該有害サイトURLリストを用いて、有害サイトURLへのアクセスのフィルタリングを実現している。
【0007】
図16に示すように、移動端末16−1’が屋外基地局16−2を経由して移動通信事業者網(以下、移動通信網という)16−3と接続した後、インターネット16−5上の閲覧したいウェブページのウェブサーバ16−6のURL(Uniform Resource Locator)を通知する。
【0008】
移動通信網16−3では、URLフィルタリング部16−4により、ウェブページ閲覧要求を行った移動端末16−1’のアクセス制限情報を参照し、該アクセス制限情報に基づいてURLフィルタリングを実施し、アクセスを許可する場合に、該URLのIPアドレスを移動端末16−1’に通知する。
【0009】
これは、これは通常の屋外基地局16−2からウェブサーバ16−6へアクセスする場合、及びフェムトセル基地局16−7からブロードバンドルータ16−8及びアクセス回線16−9を介してウェブサーバ16−6へアクセスする場合の何れの場合であっても、ウェブサーバ16−6へのアクセス経路が、移動通信網16−3を経由する場合には、移動通信網16−3のURLフィルタリング部16−4によるURLフィルタリング・サービスを受けることができる。
【0010】
例えば、移動通信事業者によるウェブページ閲覧サービスであるi−mode(登録商標)サービス等は、移動通信網に位置するゲートウェイシステムを経由して提供されるため、該サービスへのアクセス経路は常に移動通信網16−3を経由することとなる。しかし、フェムトセル基地局16−7からは、常に移動通信網16−3を経由するとは限らず、フェムトセル基地局16−7と無線で接続された移動端末16−1は、アクセス回線16−9から直接インターネットサービスプロバイダ(ISP)16−10を介してインターネット16−5上のウェブサーバ16−6へアクセスすることが可能となる。
【0011】
即ち、フェムトセル基地局16−7は、移動通信網16−3を経由せず、インターネット16−5へ直接アクセスするデータルートを提供する。これは、一般にデータオフロードといわれる。図17は移動端末16−1が直接インターネット16−5に接続される態様の例を示している。
【0012】
図17に示すように、フェムトセル基地局16−7は、移動端末16−1から要求されたパケット呼接続処理を完了し、インターネット16−5へのアクセスルートを確立すると、移動端末16−1からは、移動通信網16−3を経由せずに、ISP16−10を経由してインターネット16−5との間でパケットを送受することができる。
【0013】
なお、上述のフェムトセル基地局16−7からインターネット16−5へのアクセスルートの確立は、例えば、3GPPで定義されるGiインタフェース(インターネットやPDN(Packet Data Network)との境界を定義;3GPP TS23.060Fig1又はFig2参照)を提供することにより実施することができる。
【0014】
フェムトセルについては、下記の特許文献1等によって知られている。また、移動端末が無線LAN等のアクセスネットワークを介してインターネットと接続される構成例は、下記の特許文献2等によって知られている。
【特許文献1】特許第2828826号公報
【特許文献2】特表2004−507905号公報
【発明の開示】
【発明が解決しようとする課題】
【0015】
現在、移動端末16−1、16−1’に対して行われているウェブサーバ16−6へのアクセス制限サービスは、移動通信網16−3のURLフィルタリング部16−4によるサービスとして実施されているが、フェムトセル基地局16−7の導入によって、移動通信網16−3を介さない通信経路で、ウェブサーバ16−6へのアクセスが可能になると、移動通信網16−3のURLフィルタリング部16−4による一元的なアクセス制限サービスを提供することができなくなり、移動端末16−1は、フェムトセル基地局16−7を介して、どのウェブサイトにも制限なくアクセスすることができるようになってしまう。
【0016】
本発明は、フェムトセル基地局による通信サービス提供時において、移動通信網を経由せずにインターネットへアクセスする場合でも、ウェブサーバへのアクセス制限サービスを提供することができるアクセス制限方法、フェムトセル基地局装置及びアクセス制限判断装置を提供することを目的の1つとする。
【課題を解決するための手段】
【0017】
このアクセス制限方法は、アクセス回線を介して移動通信網と接続され、かつ、該移動通信網を経由することなく前記アクセス回線を介してインターネット上のウェブサーバに接続されるフェムトセル基地局装置を経由し、移動端末から要求される前記ウェブサーバへのアクセスを制限するアクセス制限方法であって、前記フェムトセル基地局装置において、前記移動端末から送出される前記ウェブサーバへアクセスするためのURLを受け取ると、該URLのDNSクエリ及び前記移動端末の識別番号を、前記アクセス回線を介して移動通信網のアクセス制限判断装置に送信するステップと、前記移動通信網のアクセス制限判断装置において、前記移動端末の識別番号に基づいて、前記DNSクエリのURLがアクセス制限対象か否かを判断し、該判断結果、及びアクセス可能である場合には該URLのIPアドレスを、前記アクセス回線を介して前記フェムトセル基地局装置に回答するステップと、前記フェムトセル基地局装置において、前記アクセス制限判断装置からの回答に基づいて、アクセス制限対象のURLのウェブサーバへのアクセスを禁止し、アクセス可能なURLのIPアドレスを前記移動端末に通知するステップと、を含むものである。
【0018】
また、このフェムトセル基地局装置は、移動端末と無線で接続されるとともに、アクセス回線を介して移動通信網に接続され、かつ、該移動通信網を経由することなく前記アクセス回線を介してインターネット上のウェブサーバに接続されるフェムトセル基地局装置において、前記移動端末から送出される、前記ウェブサーバへアクセスするためのURLを受け取ると、該URLのDNSクエリを、前記アクセス回線を介して移動通信網のアクセス制限判断装置に送信する手段と、前記アクセス制限判断装置で判断された前記URLについてのアクセス制限判断結果及び該URLのDNSクエリに対する回答を前記アクセス制限判断装置から取得し、該回答を基に、アクセス制限対象のURLのウェブサーバへのアクセスを禁止し、アクセス可能なURLのIPアドレスを前記移動端末に通知する手段と、を備えたものである。
【0019】
また、このアクセス制限判断装置は、フェムトセル基地局装置とアクセス回線を介して接続され、移動通信網内に設置されるアクセス制限判断装置であって、前記フェムトセル基地局装置と無線で接続された移動端末から該フェムトセル基地局装置を経由してインターネット上のウェブサーバへアクセスするためのURLのDNSクエリ及び該移動端末の識別番号を、前記フェムトセル基地局装置から前記アクセス回線を介して受信する手段と、前記移動端末の識別番号対応に記憶したアクセス制限レベルリスト、及び該アクセス制限レベル毎に記憶したアクセス制限対象URLリストを参照し、前記DNSクエリのURLがアクセス制限対象か否かを判断し、該判断の結果、及びアクセス可能である場合には該URLのIPアドレスを、前記アクセス回線を介して前記フェムトセル基地局装置に回答する手段と、を備えたものである。
【発明の効果】
【0020】
このアクセス制限方法により、移動通信網による一元的なURLアクセス制限サービスを、フェムトセル基地局利用の移動端末に対しても提供することができる。
【0021】
また、フェムトセル基地局にアクセス可能なURLを記憶しておくことにより、再度、同一のURLへのアクセスが要求された場合に、移動通信網へのアクセスが不要となり、移動通信網へのトラフィックを抑制し、または、判断装置の負荷を低減することができる。
【発明を実施するための最良の形態】
【0022】
図1はウェブサーバへのアクセス制限を行うネットワーク構成例を示している。同図において、1−1はフェムトセル基地局装置(以下、フェムトセル基地局という)、1−2はアクセス制限判断装置(以下、判断装置という)、1−3はDNS(Domain Name System)である。他の構成要素は、図16に示した構成要素と同一であり、同一の構成要素には同一の符号を付し、重複した説明は省略する。
【0023】
一般家庭の宅内等に設置されたフェムトセル基地局1−1を通じて移動端末16−1に通信サービスを提供する場合、該移動端末16−1がウェブサーバ16−6にアクセスする際に、フェムトセル基地局1−1により該アクセスのチェックを行う。フェムトセル基地局1−1は、当該フェムトセル基地局1−1を利用することができる移動端末16−1の識別番号(IMSI:International Mobile Subscriber Identity)を管理すると共に、移動端末16−1の識別番号(IMSI)毎にウェブサーバ16−6へのアクセス制限を管理する。
【0024】
フェムトセル基地局1−1を利用することができ、ウェブサーバ16−6へのアクセス制限対象となっている識別番号(IMSI)の移動端末16−1から、ウェブサーバ16−6へのアクセス要求が送出されると、フェムトセル基地局1−1は、該アクセス要求されたウェブサーバ16−6のURLのIPアドレスを問い合わせるDNSクエリを、該移動端末16−1の識別番号(IMSI)と共に、移動通信網16−3の判断装置1−2に送信する。
【0025】
判断装置1−2は、予め登録されたアクセス制限対象の移動端末の識別番号(IMSI)を基にフィルタリングレベルを認識し、該フィルタリングレベルを基に、要求されたウェブサーバ16−6のURLへのアクセスを許容するか否かを判断し、その判断結果をフェムトセル基地局1−1に通知する。
【0026】
また、判断装置1−2は、この判断結果の通知と共に、該URLへのアクセスを許容する場合には、該URLのIPアドレスを問い合わせるDNSクエリを、移動通信網16−3のDNS(Domain Name System)1−3に送信し、該DNS1−3から回答されたIPアドレスをフェムトセル基地局1−1に通知する。
【0027】
フェムトセル基地局1−1は、移動通信網16−3の判断装置1−2からの判断結果の通知に基づいて、該URLへのアクセスを禁止し、又は該URLへのアクセスを許可する場合には該URLのIPアドレスを移動端末16−1に通知する。
【0028】
また、フェムトセル基地局1−1は、アクセスが許可されたURLを記憶しておき、再度、同一識別番号(IMSI)の移動端末16−1から同一URLへのアクセスが発生した場合には、移動通信網16−3の判断装置1−2に問い合わせることなく、ローカルエリアネットワーク内のDNS(Domain Name System)に該URLのDSNクエリを転送する。
【0029】
或いは、アクセスが許可されたURLとそのDSNクエリの回答のIPアドレスとを組み合わせたリストをフェムトセル基地局1−1内の記憶部に記憶しておき、再度、同一識別番号(IMSI)の移動端末16−1から該URLへのアクセスがあった場合には、該記憶部から読み出したIPアドレスをDNS応答メッセージとして移動端末16−1に返す。
【0030】
こうすることにより、再度、同一のURLへのアクセスが要求された場合には、該URLのIPアドレスを問い合わせるDNSクエリを移動通信網へ送信することなく、DNS応答メッセージを移動端末に返すため、移動通信網へのトラフィックの発生を抑制し、また、移動通信網の判断装置の負荷を低減させることができる。
【0031】
移動端末16−1は、アクセス要求したウェブサーバ16−6のURLのIPアドレスを取得することができたとき、該IPアドレスを用い、例えば、HTTP GETメッセージを送信することにより、ウェブサーバ16−6にアクセスする。
【0032】
図2はアクセス制限の設定のシーケンス例を示している。同図に示すように、フェムトセル基地局が移動通信網に接続された際に、フェムトセル管理装置により、判断装置のIPアドレス又はURLをフェムトセル基地局に通知する(2−1)。なお、このフェムトセル基地局に判断装置のIPアドレス又はURLを通知する手法は上述の手法に限定されず、種々の手法を用いることができ、図示の手法は一例に過ぎない。
【0033】
また、フェムトセル基地局に予め当該フェムトセル基地局を経由する通信サービスを利用することができる移動端末の識別番号(IMSI)が登録されているものとする(2−2)。更に、判断装置には、アクセス制限関連情報として、アクセス制限サービス対象の移動端末の識別番号(IMSI)及び該識別番号(IMSI)毎の制限の有無等の情報が設定されているものとする(2−3)。
【0034】
フェムトセル基地局は、当該フェムトセル基地局を利用する移動端末の識別番号(IMSI)が登録されると、判断装置のIPアドレス(又はURL)を用い、移動通信網に位置する判断装置に対して、登録された移動端末の識別番号(IMSI)がアクセス制限対象であるか否かを問い合わせる(2−3)。
【0035】
判断装置はこの問い合わせに応答し、当該移動端末の識別番号(IMSI)がアクセス制限対象であるか否かを、該移動端末の識別番号(IMSI)と共にフェムトセル基地局に通知する(2−4)。フェムトセル基地局では、判断装置から取得した情報を基に、アクセス制限対象の移動端末の識別番号(IMSI)のリストを作成する(2−5)。
【0036】
図3はフェムトセル基地局経由でインターネット上のウェブサーバにアクセスするシーケンス例を示している。フェムトセル基地局と判断装置との間で図2に示したシーケンスでアクセス制限有無の設定を行った後、移動端末は、アクセスしようとするウェブサーバのIPアドレスを取得するため、DNSクエリをフェムトセル基地局に送信する(3−1)。
【0037】
フェムトセル基地局は、該DNSクエリを送信した移動端末の識別番号(IMSI)が、当該フェムトセル基地局で記憶しているアクセス制限対象であるか否かをチェックする(3−2)。アクセス制限対象でない場合、フェムトセル基地局は、該DNSクエリをブロードバンドルータに送信し、その応答を移動端末に返す(3−3)。
【0038】
アクセス制限対象である場合、判断装置に該移動端末の識別番号(IMSI)及び要求アクセスのURLを通知する(3−4)。移動端末の識別番号(IMSI)及びURLを受け取った判断装置は、該移動端末の識別番号(IMSI)からアクセス制限レベルを認識し、該アクセス制限レベルに対応するURLリストを検索し、要求されたURLがアクセス可能か否かを判断する(3−5)。
【0039】
アクセス可能である場合には、移動通信網のDNSに該URLを問い合わせてそのIPアドレスを受け取り(3−6,3−7)、フェムトセル基地局に該URL及び該移動端末の識別番号(IMSI)と共に該IPアドレスを通知する(3−8)。アクセス不可である場合には、該URL及び該移動端末の識別番号(IMSI)と共に、アクセス不可である旨を示すメッセージを通知する(3−8)。
【0040】
フェムトセル基地局は、判断装置から受け取った情報を、タイムスタンプを付して記憶する(3−9)。また、DNS応答を作成し、アクセス可能である場合には、受け取ったIPアドレスを移動端末に通知する(3−10)。移動端末は、IPアドレスを取得することができた場合には、該IPアドレスを用い、例えば、HTTP GETメッセージをインターネットサービスプロバイダ(ISP)に送信することにより、ウェブサーバにアクセスする(3−11)。
【0041】
図4にフェムトセル基地局及び判断装置の構成例を示す。フェムトセル基地局1−1において、無線通信部4−11は、移動端末16−1との無線通信の機能を有し、例えば、3GPPプロトコルを終端する。記憶部4−12は、DNS処理部4−13から通知される情報(移動端末の識別番号(IMSI)、アクセス制限対象の設定の有無、URLリスト、タイムスタンプ、生存期間、URL有効フラグ等)を記憶し、また、記憶している情報を読み出し、DNS処理部4−13に出力する。
【0042】
DNS処理部4−13は、DNSメッセージの終端・作成、スヌーピング(覗き見)を行う。また、DNS処理部4−13は、URLリスト制御部4−131と制御対象判定部4−132とを備える。URLリスト制御部4−131は、記憶部4−12の記憶情報を管理し、記憶部4−12で記憶しているURLの有効フラグの設定を制御する。制御対象判定部4−132は、アクセスを要求した移動端末の識別番号(IMSI)が、アクセス制限対象か否かを判定する。
【0043】
メッセージ終端部4−14は、判断装置1−2との間で通知メッセージを送受する機能部で、メッセージパラメータ(移動端末の識別番号(IMSI)、URL等)を通知メッセージに格納し、通知メッセージを作成する機能を有する。有線通信部4−15は、判断装置1−2と物理的な信号フレームを送受し、例えば、イーサネット(登録商標)等のプロトコルにより通信を行う機能を有する。
【0044】
判断装置1−2は、フェムトセル基地局1−1と通信を行うための有線通信部4−21と、メッセージ終端部4−22と、判断部4−23とを備える。メッセージ終端部4−22は、フェムトセル基地局1−1に通知するパラメータ(移動端末の識別番号(IMSI)、URL、IPアドレス、アクセス不可情報等)を通知メッセージに格納し、通知メッセージを生成する機能を有する。
【0045】
判断部4−23は、移動端末の識別番号(IMSI)をレベル管理部4−24に問い合わせ、そのアクセス制限レベルを認識し、該アクセス制限レベル及び要求されたURLをリスト管理部4−25に送出し、該URLがアクセス制限対象か否かを問い合わせる。
【0046】
リスト管理部4−25は、アクセス制限レベル毎のURLリストを記憶している。該URLリストは、アクセスを許可するURLのリスト、又はアクセスを拒否するURLのリストの何れの種類であってもよい。一般に前者はホワイトリスト、後者はブラックリストと呼ばれている。
【0047】
判断部4−23は、リスト管理部4−25からの応答により、当該URLがアクセスを許可されるURLであると判断された場合、DNS部1−3に該URLのIPアドレスを問い合わせ、当該URLのIPアドレスを取得する。
【0048】
判断装置1−2における判断部4−23、レベル管理部4−24及びリスト管理部4−25は、移動通信網における既存のURLフィルタリング部を用いることができる。図5は、既存のURLフィルタリング部16−4を用いた構成例を示す。なお、図5において、図4の構成と同一の構成要素には同一の符号を付し、重複した説明は省略する。
【0049】
図4の判断装置1−2の動作について詳述する。判断装置1−2は、フェムトセル基地局1−1からの問い合わせをメッセージ終端部4−22で受信すると、そのメッセージに含まれる移動端末16−1の識別番号(IMSI)及びURLを判断部4−23に通知する。判断部4−23は、レベル管理部4−24に対してアクセス制限レベルの問い合わせを行う。
【0050】
レベル管理部4−24では、移動端末16−1の識別番号(IMSI)毎にアクセス制限レベルを設定したリストを有し、問い合わせの有った移動端末16−1の識別番号(IMSI)のアクセス制限レベルを回答する。判断部4−23は、回答されたアクセス制限レベルを、問い合わせ対象のURLと共にリスト管理部4−25に送出する。
【0051】
リスト管理部4−25は、問い合わせを受けたURLについて、アクセス制限対象であるか否かを確認し、アクセス制限対象である場合には、そのURLへのアクセスが不可である旨を回答する。アクセス制限対象でない場合には、アクセス可能である旨を回答する。
【0052】
判断部4−23は、リスト管理部4−25からの回答を受けると、その回答結果がアクセス可能であれば、DNS部1−3に対してDNSクエリを発行し、その応答を受け取る。該応答で受け取ったIPアドレスは、メッセージ終端部4−22を介してフェムトセル基地局1−1に通知する。
【0053】
アクセス可能のURLである場合、フェムトセル基地局1−1は、判断装置1−2から、移動端末16−1の識別番号(IMSI)、URL、IPアドレスが通知される。アクセス不可のURLである場合には、判断部4−23にてアクセス不可である旨のメッセージを生成し、メッセージ終端部4−22を介してフェムトセル基地局1−1に該メッセージを通知する。
【0054】
図6の(a),(b)に判断装置におけるフィルタ情報の例を示す。同図の(a)は、レベル管理部における移動端末の識別番号(IMSI)毎の制限レベルリストの例を示し、同図の(b)はリスト管理部における制限レベル毎のURLリストの例を示している。
【0055】
図6(a)に示すように制限レベルリストは、例えば、識別番号(IMSI)#0の移動端末は制限レベルがレベル1であり、識別番号(IMSI)#1の移動端末は制限レベルがレベル4であることを示す。また、図6(b)に示すように、URLリストは、例えば、レベル1の制限レベルに対してURLリスト#1を適用し、レベル4の制限レベルに対してURLリスト#4を適用することを示す。
【0056】
また、図6(c)に通知メッセージの内容の一例を示す。該通知メッセージは、メッセージ終端部4−14,4−22間で遣り取りされるメッセージである。同図に示すように、通知メッセージのパラメータは、移動端末の識別番号(IMSI)、URL、IPアドレスである。更に、アクセス不可の通知、及び生存期間満了要求の通知を格納する領域を設けることができる。
【0057】
生存期間満了要求の通知メッセージを送信することにより、過去にフェムトセル基地局1−1に通知し、フェムトセル基地局1−1に記憶保持されている通知内容(アクセス制限の問い合わせ結果)の生存期間を満了させ、過去に通知した通知内容を無効にすることを要求することができる。
【0058】
移動通信網で管理しているURLのアクセス制限レベルに変更があった場合、フェムトセル基地局1−1に過去に通知した内容を無効化することで、アクセス制限レベルの変更に対して柔軟に対応することができる。これにより、屋外基地局経由ではアクセスすることができるが、フェムトセル基地局経由では一定期間アクセスすることができなくなるといった事態を回避することができる。
【0059】
図7にフェムトセル基地局1−1の記憶部4−12に記憶保持されたアクセス制限情報の例を示す。同図に示すように、移動端末の識別番号(IMSI)毎に、該移動端末がアクセス制限対象か否かを示す対象フラグ7−1を記憶保持し、また、アクセス制限の問い合わせ結果の格納領域を示すDNSポインタ7−2を記憶保持する。更に、該DNSポインタ7−2が有効か否かを示すポインタ有効フラグ7−3を記憶保持する。
【0060】
DNSポインタで示される格納領域には、各アクセス制限の問い合わせ結果のURLについて、該情報が有効か否かを示す有効フラグ7−4、URL7−5、そのIPアドレス7−6、生存期間7−7、及びタイムスタンプ7−8の情報を格納する。
【0061】
次に、フェムトセル基地局の動作について詳述する。フェムトセル基地局の動作フローの例を図8に示す。フェムトセル基地局は、移動端末からのDNSクエリを受信すると(8−1)、該移動端末の識別番号(IMSI)を元に記憶部(図7)を参照し(8−2)、当該識別番号(IMSI)がアクセス制限対象か否かを確認する(対象フラグが“1”に設定されているか否かを判定する)(8−3)。
【0062】
該端末識別番号(IMSI)がアクセス制限対象でない場合、デフォルトゲートウェイであるブロードバンドルータのDNSにDNSクエリを転送し(8−4)、ブロードバンドルータからDNS応答を受領し、移動端末に該DNS応答を転送する(8−5)。
【0063】
該端末識別番号(IMSI)がアクセス制限対象である場合、要求されたURLが記憶部に既に登録されているか否かを確認する(8−6)。登録されている場合、該URLの情報が有効期間外か否かを確認する(8−7)。有効期間内であれば、記憶部に登録されたIPアドレスを取得し、DNS応答を作成し、移動端末に通知する(8−8)。
【0064】
要求されたURLが記憶部に登録されていない場合、又は、該URLの記憶情報が有効期間外で有った場合、メッセージ終端部により、DNSクエリに搭載されているURLを、移動端末の識別番号(IMSI)と共に、問い合わせ用の通信メッセージに格納して通信メッセージを生成し(8−9)、該通信メッセージを判断装置へ送信する(8−10)。
【0065】
アクセス制限対象の識別番号(IMSI)の移動端末から要求されたURLがアクセス制限対象外である場合、判断装置から該移動端末の識別番号(IMSI)及びURLと共にそのIPアドレスが通知される(8−11)。フェムトセル基地局は、この通知情報を記憶部に通知し記憶させる(8−12)、移動端末に対してDNS応答メッセージを生成し、送信する(8−13)。
【0066】
ここで記憶部に格納される情報には、URL情報の有効フラグと生存期間の情報とが含まれ、タイムスタンプを付した時点から該生存期間が満了した情報には、次回は参照しないよう、有効フラグを無効にする。生存期間満了の判断は、次回アクセスされた際に、DNS処理部が記憶部を参照するときに行う。
【0067】
DNS処理部は、移動端末の識別番号(IMSI)がアクセス制限対象であり、要求されたURLが記憶部に登録されている場合、その有効期限を生存期間とタイムスタンプとから確認する。有効期限を超過していた場合は、前述の通り、有効フラグを無効にする。超過していない場合は、DNS処理部にてDNS応答を生成し、移動端末にIPアドレス又はアクセス不可の旨を通知する(8−8)。また、フェムトセル基地局では、判断装置からの通知メッセージに生存期間満了要求が格納されていた場合、記憶部で記憶しているURLリスト(図7のポインタ有効フラグ)を無効にする。
【0068】
次に、アクセス制限レベルの変更の対応について説明する。この処理シーケンス例を図9に示す。フェムトセル基地局で記憶しているアクセス可能なURLは、過去の時点でアクセス可能なものであって、指定された生存期間の間、保証されるものである。従って、移動通信網側のアクセス制限ポリシーが変更され、過去にアクセス可能であったURLをアクセス禁止にしたり、その逆に過去にアクセス不可であったURLをアクセス可能にしたりすることが発生する。
【0069】
判断装置では、制限対象のURLリストを管理しており、アクセス制限ポリシーの変更(アクセス禁止URLの追加、アクセス禁止URLのアクセス許可への変更等)が発生した場合には、フェムトセル基地局に対して、有効フラグの強制無効化(生存期間のクリア)等のURLリストの変更を要求する(9−1)。該要求を受けたフェムトセル基地局は、該要求に従って、記憶部で記憶しているURLリストの該当URLの有効フラグを無効状態にするなど、URLリストを変更する。
【0070】
上述の実施例において、フェムトセル基地局から移動通信網を経由せずにインターネットへ直接アクセスする所謂データオフロードを実施する場合には、該アクセスが制限対象であるか否かを判定する機構が必要となる。これは、3GPPの場合にはAPN(Access Point Name)を用いて識別することができる。APNは通信経路確立の際に決定されるため、このAPNによってデータルートがオフロードであるか否かを識別することができる。
【0071】
APNによってGGSN(Gateway GPRS Support Node;パケット・データ網との相互接続点)が決定されるため、データオフロードを実施する場合には、オフロードのルートがユーザーデータのルートとして設定される。しかし、上述のアクセス制限を実施する場合には、このままでは移動通信網に有る判断装置(URLフィルタリング部)にアクセスさせることができない。よって、フェムトセル基地局でデータルートを判断装置(URLフィルタリング部)へのアクセスルートとするための機構を確保しなければならない。
【0072】
図10に判断装置へのルートとウェブサーバへのルートとの切り替えの機構の構成例を示す。同図に示すように、フェムトセル基地局は、移動端末16−1からGGSN10−1を通してDNSクエリのメッセージを受け取った後、ユーザーデータ振り分け部10−2において、該メッセージがDNS関連メッセージであるか否かをチェックする。つまり、ユーザーデータ振り分け部10−2では、DNS関連メッセージかそうでないかを見分ける機能を具備する。
【0073】
この機能は、例えば、メッセージのTCPポート番号に基づいて、DNS関連メッセージであるか否かを判別することにより実現できる。DNS関連メッセージであった場合には、該メッセージをDNS関連機能部10−3に転送する。そうでない場合(例えばHTTPのポート番号等)には、ウェブサーバ16−6(実際にはISP16−10経由)にデータを送信する。
【0074】
なお、DNS関連機能部10−3は、図4に示した記憶部4−12、DNS処理部4−13、URLリスト制御部4−131、制御対象判定部4−132、メッセージ終端部4−14、及び有線通信部4−15に相当する機能部である。
【0075】
以上のように、通常は、通信経路が確立された後、これを利用するユーザーデータは、APNで指定された宛先に送信されるが、このフェムトセル基地局ではGGSN機能相当を通過したユーザーデータに対し、内容のチェック(例えばTCPポート番号チェック)を経ることにより、DNSクエリはDNS関連機能部10−3に転送される。それ以外はAPNで指定される宛先に送信される。
【0076】
図11にメッセージチェックを行う実施例のシーケンス例を示す。同図に示すように、このシーケンス例では、移動端末がDNSクエリのメッセージをフェムトセル基地局に送信(3−1)した後、フェムトセル基地局で該メッセージがDNS関連メッセージであるか否かをチェックするシーケンスが追加され、その他のシーケンスは図3に示したシーケンスと同様である。
【0077】
また、図12にDNSメッセージの振り分けのフローの例を示す。同図に示すように、移動端末からDNS要求が発さられ、フェムトセル基地局で該DNSメッセージを受信すると(12−1)、該メッセージのTCPポート番号が、DSN関連メッセージを示す例えば53であるか否かをチェックする(12−2)。
【0078】
TCPポート番号が、DSN関連メッセージを示す例えば53でなければ、APN指定あて先へ該メッセージを転送する(12−3)。TCPポート番号が、DSN関連メッセージを示す例えば53である場合、記憶部を参照し、該DNSクエリを送信した移動端末の識別番号(IMSI)が、当該フェムトセル基地局で記憶しているアクセス制限対象であるか否かをチェックする(12−4)。以下は、図3及び図11に示したシーケンス3−2以下と同様である。
【0079】
なお、パケットの接続設定時に、フェムトセル基地局でのデータオフロードを実施しない場合、上述のフェムトセル基地局における一切のアクセス制限機能を非アクティブにして、移動通信網の判断装置(URLフィルタリング部)によるアクセス制限に依存するようにしてもよい。しかし、フェムトセル基地局は数百万台の家庭への設置が想定されるため、上述のフェムトセル基地局のアクセス制限機能を適用することが好ましい。
【0080】
つまり、図10〜図12の実施例において、DNS関連機能部10−3とAPNの示す宛先とが同一であった場合には、図10のユーザーデータ振り分け部10−2の機能を非アクティブにする構成としても良い。この実施例の動作シーケンスを図13に示す。同図に示すように、移動端末とフェムトセル基地局との間で無線アクセス回線が設定された後、要求されたアクセスがデータオフロードであるか否かを、APNを基に判定する(13−1)。
【0081】
データオフロードでない場合、即ち、移動通信網を経由するデータルートの場合、上述のユーザーデータ振り分け部10−2の機能を非アクティブにする。データオフロードの場合、前述の図11に示したシーケンス3−1以降のシーケンスを実施する。
【0082】
図14にデータオフロードの判定を行う実施例の処理フローを示す。同図に示すように、移動端末との無線アクセス回線の設定の後、要求されたアクセスがデータオフロード対象であるか否かを判定する(14−1)。データオフロード対象でなければ、ユーザーデータ振り分け部10−2の機能を非アクティブにし(14−2)、データオフロード対象であれば、ユーザーデータ振り分け部10−2の機能をアクティブにする(14−3)。
【0083】
前述の実施例は、移動端末からのウェブサイトへのアクセスにおいて、該ウェブサイトのIPアドレスが分からない場合に、DNSクエリによるIPアドレスの取得を行うことを前提としていた。しかし、ウェブサイトへのアクセスの際に、IPアドレス解決を移動通信網に依存する場合は、DNSクエリを送信する必要が無く、例えば、移動通信網のウェブサイトアクセスのために用意されたゲートウェイのIPアドレスを用いて、直接ウェブサイトへのアクセスを試みることが技術的に可能である。このような場合でもこの以下の実施例によるアクセス制限を実現することができる。
【0084】
ウェブサイトへのアクセスのために、移動端末が例えば移動通信網のウェブサイトアクセスのためのゲートウェイのIPアドレスを宛先に用いて、HTTP GETのメッセージを送信したとする。このとき該メッセージにはURLが格納されている。フェムトセル基地局は、該メッセージを受け付けたときに、該URLを基にアクセス制限対象であるかを判断する。
【0085】
アクセス制限対象の場合には、この移動端末のために確立されている通信経路が、移動通信網経由かデータオフロードのインターネットアクセスかを確認する。移動通信網経由であった場合には、移動端末からのHTTP GETメッセージを移動通信網に転送する。その後のアクセス制限処理は移動通信網に依る。
【0086】
データオフロードのインターネットアクセスを行う場合には、図3に示した実施例のように、移動端末の識別番号(IMSI)をURLと共に格納したメッセージを作成(DNSクエリ相当)して移動通信網に問い合わせる。問い合わせの結果、アクセス許可であった場合には、フェムトセル基地局がHTTP GETメッセージの宛先IPアドレスを該DNS回等のIPアドレスに付け替えて送信する。
【0087】
図15に上述の実施例の動作シーケンスを示す。フェムトセル基地局は、移動端末からURLを含むHTTP GETメッセージを受信すると(15−1)、フェムトセル基地局で記憶しているアクセス制限対象であるか否かをチェックする(3−2)。このシーケンスは図3に示したシーケンスと同様である。
【0088】
上記HTTP GETメッセージが移動通信網のウェブサイトアクセスのためのゲートウェイのIPアドレスを宛先に用いている場合、該HTTP GETメッセージを移動通信網に転送する。該HTTP GETメッセージを送信した移動端末がアクセス制限対象でない場合、DNSクエリをブロードバンドルータに送信し(3−3)、取得したIPアドレスを付け替えた該HTTP GETメッセージをISPに送信する(15−3)。
【0089】
該HTTP GETメッセージが、アクセス制限対象のURLを含み、データオフロードのインターネットアクセスである場合、図3に示したシーケンスと同様の処理によりアクセス制限を行う(3−4〜3−5)。アクセス許可であった場合には、フェムトセル基地局がHTTP GETメッセージの宛先IPアドレスを該DNS回等のIPアドレスに付け替えて送信する(15−3)。
【0090】
図10〜図12の実施例では、メッセージがDNS要求か否かで移動通信網へ問い合わせるか、データオフロードのルートに転送させるかの振り分け先を決定していたが、上述のようにDNSクエリを使用しない場合には、移動通信網に設置される特定のゲートウェイがDNSサーバを代理(プロキシ)することでIPアドレスの解決を図ることができる。このような場合では、該ゲートウェイのIPアドレスをフェムトセル基地局で記憶しておき、該当するIPアドレスを含むHTTP GETメッセージであった場合に、図10〜図12の実施例と同様の振り分けを実施することができる。
【図面の簡単な説明】
【0091】
【図1】ウェブサーバへのアクセス制限を行うネットワーク構成例を示す図である。
【図2】アクセス制限の設定のシーケンス例を示す図である。
【図3】フェムトセル基地局経由でウェブサーバにアクセスするシーケンス例を示す図である。
【図4】フェムトセル基地局及び判断装置の構成例を示す図である。
【図5】判断装置にURLフィルタリング部を用いた構成例を示す図である。
【図6】判断装置におけるフィルタ情報の例及び通知メッセージの内容の一例を示す図である。
【図7】フェムトセル基地局の記憶部に記憶保持されたアクセス制限情報の例を示す図である。
【図8】フェムトセル基地局の動作フローの例を示す図である。
【図9】アクセス制限レベルの変更の対応の処理シーケンス例を示す図である。
【図10】判断装置へのルートとウェブサーバへのルートとの切り替えの機構の例を示す図である。
【図11】メッセージチェックを行う実施例のシーケンス例を示す図である。
【図12】DNSメッセージの振り分けのフローの例を示す図である。
【図13】DNS関連機能部とAPNの示す宛先とが同一であった場合のシーケンス例を示す図である。
【図14】データオフロードの判定を行う処理フローの例を示す図である。
【図15】移動通信網のゲートウェイのIPアドレスを宛先に用いてHTTP GETのメッセージを送信する実施例のシーケンス例を示す図である。
【図16】移動通信網における従来のアクセス制限の態様を示す図である。
【図17】移動端末が直接インターネットに接続される従来の態様を示す図である。
【符号の説明】
【0092】
1−1 フェムトセル基地局装置
1−2 判断装置
1−3 DNS
16−1 移動端末
16−3 移動通信網
16−5 インターネット
16−6 ウェブサーバ
16−8 ブロードバンドルータ
16−9 アクセス回線
16−10 インターネットサービスプロバイダ
【技術分野】
【0001】
本発明は、ウェブサーバへのアクセス制限方法、フェムトセル基地局装置及びアクセス制限判断装置に関する。本発明は、例えば、フェムトセル基地局装置を介して移動端末からアクセスされるウェブページをフィルタリングし、有害サイトへのアクセスを制限するアクセス制限方法、フェムトセル基地局装置及びアクセス制限判断装置に適用することもできる。
【背景技術】
【0002】
移動通信の基地局の多くは、半径数百m〜十数Kmのマクロセルと呼ばれる通信エリアをカバーするが、マクロセルの境界領域やビルの奥、地下等では電波強度が微弱となり、通信環境の悪い場所が生まれる。このような状況を改善するために、より小さな通信エリアの小型基地局を設置することで対応してきたが、それでもまだ通信不能となる小さな場所が存在するため、フェムトセルと呼ばれる更に狭い範囲の通信エリアで弱い電波を出力する小型基地局の設置が提唱され、また一部で実現化されている。
【0003】
このような小型基地局には、利用形態としても従来と異なる幾つかの利点があるため、個人の宅内や小企業、小店舗等での簡易な設置と運用が見込まれ、その場合、フェムトセルの小型基地局(以下、フェムトセル基地局という)は、FTTH(Fiber To The Home)やADSL(Asymmetric Digital Subscriber Line)等のブロードバンド回線のアクセス回線によって、広域網に接続することが提案されている。
【0004】
フェムトセルの導入により、移動端末と家庭内LAN(Local Area Network)との親和性、及び移動端末とインターネットとの親和性が強まることとなる。前者に関しては、フェムトセル基地局をアクセスポイントとしてLANに設置することにより、移動端末は、LAN上の例えばパーソナルコンピュータ等と直接通信することができる。また、後者に関しては、フェムトセルによる無線周波数の利用効率の向上及び移動通信事業者のパケット定額制の拡充等により、移動端末からインターネットへのアクセスがより一層容易なものとなる。
【0005】
移動電話は、近年、青少年から児童に至るまで広い年齢層のユーザによって所持され、その所持率の高まりは、若年層の有害サイトへのアクセスを懸念させる。移動通信事業者は、有害なインターネットサイトへのアクセスを制限するサービスを自主的に実施しているが、教育上の観点から有害サイトへのアクセスを制限するフィルタリング・サービスの義務化が提唱されている。
【0006】
フィルタリング・サービスは、一般に、有害サイトのURL(Uniform Resource Locator)リスト情報を提供する事業者から、移動通信事業者がライセンス契約により有害サイトURLリストを取得する。そして、該有害サイトURLリストを用いて、有害サイトURLへのアクセスのフィルタリングを実現している。
【0007】
図16に示すように、移動端末16−1’が屋外基地局16−2を経由して移動通信事業者網(以下、移動通信網という)16−3と接続した後、インターネット16−5上の閲覧したいウェブページのウェブサーバ16−6のURL(Uniform Resource Locator)を通知する。
【0008】
移動通信網16−3では、URLフィルタリング部16−4により、ウェブページ閲覧要求を行った移動端末16−1’のアクセス制限情報を参照し、該アクセス制限情報に基づいてURLフィルタリングを実施し、アクセスを許可する場合に、該URLのIPアドレスを移動端末16−1’に通知する。
【0009】
これは、これは通常の屋外基地局16−2からウェブサーバ16−6へアクセスする場合、及びフェムトセル基地局16−7からブロードバンドルータ16−8及びアクセス回線16−9を介してウェブサーバ16−6へアクセスする場合の何れの場合であっても、ウェブサーバ16−6へのアクセス経路が、移動通信網16−3を経由する場合には、移動通信網16−3のURLフィルタリング部16−4によるURLフィルタリング・サービスを受けることができる。
【0010】
例えば、移動通信事業者によるウェブページ閲覧サービスであるi−mode(登録商標)サービス等は、移動通信網に位置するゲートウェイシステムを経由して提供されるため、該サービスへのアクセス経路は常に移動通信網16−3を経由することとなる。しかし、フェムトセル基地局16−7からは、常に移動通信網16−3を経由するとは限らず、フェムトセル基地局16−7と無線で接続された移動端末16−1は、アクセス回線16−9から直接インターネットサービスプロバイダ(ISP)16−10を介してインターネット16−5上のウェブサーバ16−6へアクセスすることが可能となる。
【0011】
即ち、フェムトセル基地局16−7は、移動通信網16−3を経由せず、インターネット16−5へ直接アクセスするデータルートを提供する。これは、一般にデータオフロードといわれる。図17は移動端末16−1が直接インターネット16−5に接続される態様の例を示している。
【0012】
図17に示すように、フェムトセル基地局16−7は、移動端末16−1から要求されたパケット呼接続処理を完了し、インターネット16−5へのアクセスルートを確立すると、移動端末16−1からは、移動通信網16−3を経由せずに、ISP16−10を経由してインターネット16−5との間でパケットを送受することができる。
【0013】
なお、上述のフェムトセル基地局16−7からインターネット16−5へのアクセスルートの確立は、例えば、3GPPで定義されるGiインタフェース(インターネットやPDN(Packet Data Network)との境界を定義;3GPP TS23.060Fig1又はFig2参照)を提供することにより実施することができる。
【0014】
フェムトセルについては、下記の特許文献1等によって知られている。また、移動端末が無線LAN等のアクセスネットワークを介してインターネットと接続される構成例は、下記の特許文献2等によって知られている。
【特許文献1】特許第2828826号公報
【特許文献2】特表2004−507905号公報
【発明の開示】
【発明が解決しようとする課題】
【0015】
現在、移動端末16−1、16−1’に対して行われているウェブサーバ16−6へのアクセス制限サービスは、移動通信網16−3のURLフィルタリング部16−4によるサービスとして実施されているが、フェムトセル基地局16−7の導入によって、移動通信網16−3を介さない通信経路で、ウェブサーバ16−6へのアクセスが可能になると、移動通信網16−3のURLフィルタリング部16−4による一元的なアクセス制限サービスを提供することができなくなり、移動端末16−1は、フェムトセル基地局16−7を介して、どのウェブサイトにも制限なくアクセスすることができるようになってしまう。
【0016】
本発明は、フェムトセル基地局による通信サービス提供時において、移動通信網を経由せずにインターネットへアクセスする場合でも、ウェブサーバへのアクセス制限サービスを提供することができるアクセス制限方法、フェムトセル基地局装置及びアクセス制限判断装置を提供することを目的の1つとする。
【課題を解決するための手段】
【0017】
このアクセス制限方法は、アクセス回線を介して移動通信網と接続され、かつ、該移動通信網を経由することなく前記アクセス回線を介してインターネット上のウェブサーバに接続されるフェムトセル基地局装置を経由し、移動端末から要求される前記ウェブサーバへのアクセスを制限するアクセス制限方法であって、前記フェムトセル基地局装置において、前記移動端末から送出される前記ウェブサーバへアクセスするためのURLを受け取ると、該URLのDNSクエリ及び前記移動端末の識別番号を、前記アクセス回線を介して移動通信網のアクセス制限判断装置に送信するステップと、前記移動通信網のアクセス制限判断装置において、前記移動端末の識別番号に基づいて、前記DNSクエリのURLがアクセス制限対象か否かを判断し、該判断結果、及びアクセス可能である場合には該URLのIPアドレスを、前記アクセス回線を介して前記フェムトセル基地局装置に回答するステップと、前記フェムトセル基地局装置において、前記アクセス制限判断装置からの回答に基づいて、アクセス制限対象のURLのウェブサーバへのアクセスを禁止し、アクセス可能なURLのIPアドレスを前記移動端末に通知するステップと、を含むものである。
【0018】
また、このフェムトセル基地局装置は、移動端末と無線で接続されるとともに、アクセス回線を介して移動通信網に接続され、かつ、該移動通信網を経由することなく前記アクセス回線を介してインターネット上のウェブサーバに接続されるフェムトセル基地局装置において、前記移動端末から送出される、前記ウェブサーバへアクセスするためのURLを受け取ると、該URLのDNSクエリを、前記アクセス回線を介して移動通信網のアクセス制限判断装置に送信する手段と、前記アクセス制限判断装置で判断された前記URLについてのアクセス制限判断結果及び該URLのDNSクエリに対する回答を前記アクセス制限判断装置から取得し、該回答を基に、アクセス制限対象のURLのウェブサーバへのアクセスを禁止し、アクセス可能なURLのIPアドレスを前記移動端末に通知する手段と、を備えたものである。
【0019】
また、このアクセス制限判断装置は、フェムトセル基地局装置とアクセス回線を介して接続され、移動通信網内に設置されるアクセス制限判断装置であって、前記フェムトセル基地局装置と無線で接続された移動端末から該フェムトセル基地局装置を経由してインターネット上のウェブサーバへアクセスするためのURLのDNSクエリ及び該移動端末の識別番号を、前記フェムトセル基地局装置から前記アクセス回線を介して受信する手段と、前記移動端末の識別番号対応に記憶したアクセス制限レベルリスト、及び該アクセス制限レベル毎に記憶したアクセス制限対象URLリストを参照し、前記DNSクエリのURLがアクセス制限対象か否かを判断し、該判断の結果、及びアクセス可能である場合には該URLのIPアドレスを、前記アクセス回線を介して前記フェムトセル基地局装置に回答する手段と、を備えたものである。
【発明の効果】
【0020】
このアクセス制限方法により、移動通信網による一元的なURLアクセス制限サービスを、フェムトセル基地局利用の移動端末に対しても提供することができる。
【0021】
また、フェムトセル基地局にアクセス可能なURLを記憶しておくことにより、再度、同一のURLへのアクセスが要求された場合に、移動通信網へのアクセスが不要となり、移動通信網へのトラフィックを抑制し、または、判断装置の負荷を低減することができる。
【発明を実施するための最良の形態】
【0022】
図1はウェブサーバへのアクセス制限を行うネットワーク構成例を示している。同図において、1−1はフェムトセル基地局装置(以下、フェムトセル基地局という)、1−2はアクセス制限判断装置(以下、判断装置という)、1−3はDNS(Domain Name System)である。他の構成要素は、図16に示した構成要素と同一であり、同一の構成要素には同一の符号を付し、重複した説明は省略する。
【0023】
一般家庭の宅内等に設置されたフェムトセル基地局1−1を通じて移動端末16−1に通信サービスを提供する場合、該移動端末16−1がウェブサーバ16−6にアクセスする際に、フェムトセル基地局1−1により該アクセスのチェックを行う。フェムトセル基地局1−1は、当該フェムトセル基地局1−1を利用することができる移動端末16−1の識別番号(IMSI:International Mobile Subscriber Identity)を管理すると共に、移動端末16−1の識別番号(IMSI)毎にウェブサーバ16−6へのアクセス制限を管理する。
【0024】
フェムトセル基地局1−1を利用することができ、ウェブサーバ16−6へのアクセス制限対象となっている識別番号(IMSI)の移動端末16−1から、ウェブサーバ16−6へのアクセス要求が送出されると、フェムトセル基地局1−1は、該アクセス要求されたウェブサーバ16−6のURLのIPアドレスを問い合わせるDNSクエリを、該移動端末16−1の識別番号(IMSI)と共に、移動通信網16−3の判断装置1−2に送信する。
【0025】
判断装置1−2は、予め登録されたアクセス制限対象の移動端末の識別番号(IMSI)を基にフィルタリングレベルを認識し、該フィルタリングレベルを基に、要求されたウェブサーバ16−6のURLへのアクセスを許容するか否かを判断し、その判断結果をフェムトセル基地局1−1に通知する。
【0026】
また、判断装置1−2は、この判断結果の通知と共に、該URLへのアクセスを許容する場合には、該URLのIPアドレスを問い合わせるDNSクエリを、移動通信網16−3のDNS(Domain Name System)1−3に送信し、該DNS1−3から回答されたIPアドレスをフェムトセル基地局1−1に通知する。
【0027】
フェムトセル基地局1−1は、移動通信網16−3の判断装置1−2からの判断結果の通知に基づいて、該URLへのアクセスを禁止し、又は該URLへのアクセスを許可する場合には該URLのIPアドレスを移動端末16−1に通知する。
【0028】
また、フェムトセル基地局1−1は、アクセスが許可されたURLを記憶しておき、再度、同一識別番号(IMSI)の移動端末16−1から同一URLへのアクセスが発生した場合には、移動通信網16−3の判断装置1−2に問い合わせることなく、ローカルエリアネットワーク内のDNS(Domain Name System)に該URLのDSNクエリを転送する。
【0029】
或いは、アクセスが許可されたURLとそのDSNクエリの回答のIPアドレスとを組み合わせたリストをフェムトセル基地局1−1内の記憶部に記憶しておき、再度、同一識別番号(IMSI)の移動端末16−1から該URLへのアクセスがあった場合には、該記憶部から読み出したIPアドレスをDNS応答メッセージとして移動端末16−1に返す。
【0030】
こうすることにより、再度、同一のURLへのアクセスが要求された場合には、該URLのIPアドレスを問い合わせるDNSクエリを移動通信網へ送信することなく、DNS応答メッセージを移動端末に返すため、移動通信網へのトラフィックの発生を抑制し、また、移動通信網の判断装置の負荷を低減させることができる。
【0031】
移動端末16−1は、アクセス要求したウェブサーバ16−6のURLのIPアドレスを取得することができたとき、該IPアドレスを用い、例えば、HTTP GETメッセージを送信することにより、ウェブサーバ16−6にアクセスする。
【0032】
図2はアクセス制限の設定のシーケンス例を示している。同図に示すように、フェムトセル基地局が移動通信網に接続された際に、フェムトセル管理装置により、判断装置のIPアドレス又はURLをフェムトセル基地局に通知する(2−1)。なお、このフェムトセル基地局に判断装置のIPアドレス又はURLを通知する手法は上述の手法に限定されず、種々の手法を用いることができ、図示の手法は一例に過ぎない。
【0033】
また、フェムトセル基地局に予め当該フェムトセル基地局を経由する通信サービスを利用することができる移動端末の識別番号(IMSI)が登録されているものとする(2−2)。更に、判断装置には、アクセス制限関連情報として、アクセス制限サービス対象の移動端末の識別番号(IMSI)及び該識別番号(IMSI)毎の制限の有無等の情報が設定されているものとする(2−3)。
【0034】
フェムトセル基地局は、当該フェムトセル基地局を利用する移動端末の識別番号(IMSI)が登録されると、判断装置のIPアドレス(又はURL)を用い、移動通信網に位置する判断装置に対して、登録された移動端末の識別番号(IMSI)がアクセス制限対象であるか否かを問い合わせる(2−3)。
【0035】
判断装置はこの問い合わせに応答し、当該移動端末の識別番号(IMSI)がアクセス制限対象であるか否かを、該移動端末の識別番号(IMSI)と共にフェムトセル基地局に通知する(2−4)。フェムトセル基地局では、判断装置から取得した情報を基に、アクセス制限対象の移動端末の識別番号(IMSI)のリストを作成する(2−5)。
【0036】
図3はフェムトセル基地局経由でインターネット上のウェブサーバにアクセスするシーケンス例を示している。フェムトセル基地局と判断装置との間で図2に示したシーケンスでアクセス制限有無の設定を行った後、移動端末は、アクセスしようとするウェブサーバのIPアドレスを取得するため、DNSクエリをフェムトセル基地局に送信する(3−1)。
【0037】
フェムトセル基地局は、該DNSクエリを送信した移動端末の識別番号(IMSI)が、当該フェムトセル基地局で記憶しているアクセス制限対象であるか否かをチェックする(3−2)。アクセス制限対象でない場合、フェムトセル基地局は、該DNSクエリをブロードバンドルータに送信し、その応答を移動端末に返す(3−3)。
【0038】
アクセス制限対象である場合、判断装置に該移動端末の識別番号(IMSI)及び要求アクセスのURLを通知する(3−4)。移動端末の識別番号(IMSI)及びURLを受け取った判断装置は、該移動端末の識別番号(IMSI)からアクセス制限レベルを認識し、該アクセス制限レベルに対応するURLリストを検索し、要求されたURLがアクセス可能か否かを判断する(3−5)。
【0039】
アクセス可能である場合には、移動通信網のDNSに該URLを問い合わせてそのIPアドレスを受け取り(3−6,3−7)、フェムトセル基地局に該URL及び該移動端末の識別番号(IMSI)と共に該IPアドレスを通知する(3−8)。アクセス不可である場合には、該URL及び該移動端末の識別番号(IMSI)と共に、アクセス不可である旨を示すメッセージを通知する(3−8)。
【0040】
フェムトセル基地局は、判断装置から受け取った情報を、タイムスタンプを付して記憶する(3−9)。また、DNS応答を作成し、アクセス可能である場合には、受け取ったIPアドレスを移動端末に通知する(3−10)。移動端末は、IPアドレスを取得することができた場合には、該IPアドレスを用い、例えば、HTTP GETメッセージをインターネットサービスプロバイダ(ISP)に送信することにより、ウェブサーバにアクセスする(3−11)。
【0041】
図4にフェムトセル基地局及び判断装置の構成例を示す。フェムトセル基地局1−1において、無線通信部4−11は、移動端末16−1との無線通信の機能を有し、例えば、3GPPプロトコルを終端する。記憶部4−12は、DNS処理部4−13から通知される情報(移動端末の識別番号(IMSI)、アクセス制限対象の設定の有無、URLリスト、タイムスタンプ、生存期間、URL有効フラグ等)を記憶し、また、記憶している情報を読み出し、DNS処理部4−13に出力する。
【0042】
DNS処理部4−13は、DNSメッセージの終端・作成、スヌーピング(覗き見)を行う。また、DNS処理部4−13は、URLリスト制御部4−131と制御対象判定部4−132とを備える。URLリスト制御部4−131は、記憶部4−12の記憶情報を管理し、記憶部4−12で記憶しているURLの有効フラグの設定を制御する。制御対象判定部4−132は、アクセスを要求した移動端末の識別番号(IMSI)が、アクセス制限対象か否かを判定する。
【0043】
メッセージ終端部4−14は、判断装置1−2との間で通知メッセージを送受する機能部で、メッセージパラメータ(移動端末の識別番号(IMSI)、URL等)を通知メッセージに格納し、通知メッセージを作成する機能を有する。有線通信部4−15は、判断装置1−2と物理的な信号フレームを送受し、例えば、イーサネット(登録商標)等のプロトコルにより通信を行う機能を有する。
【0044】
判断装置1−2は、フェムトセル基地局1−1と通信を行うための有線通信部4−21と、メッセージ終端部4−22と、判断部4−23とを備える。メッセージ終端部4−22は、フェムトセル基地局1−1に通知するパラメータ(移動端末の識別番号(IMSI)、URL、IPアドレス、アクセス不可情報等)を通知メッセージに格納し、通知メッセージを生成する機能を有する。
【0045】
判断部4−23は、移動端末の識別番号(IMSI)をレベル管理部4−24に問い合わせ、そのアクセス制限レベルを認識し、該アクセス制限レベル及び要求されたURLをリスト管理部4−25に送出し、該URLがアクセス制限対象か否かを問い合わせる。
【0046】
リスト管理部4−25は、アクセス制限レベル毎のURLリストを記憶している。該URLリストは、アクセスを許可するURLのリスト、又はアクセスを拒否するURLのリストの何れの種類であってもよい。一般に前者はホワイトリスト、後者はブラックリストと呼ばれている。
【0047】
判断部4−23は、リスト管理部4−25からの応答により、当該URLがアクセスを許可されるURLであると判断された場合、DNS部1−3に該URLのIPアドレスを問い合わせ、当該URLのIPアドレスを取得する。
【0048】
判断装置1−2における判断部4−23、レベル管理部4−24及びリスト管理部4−25は、移動通信網における既存のURLフィルタリング部を用いることができる。図5は、既存のURLフィルタリング部16−4を用いた構成例を示す。なお、図5において、図4の構成と同一の構成要素には同一の符号を付し、重複した説明は省略する。
【0049】
図4の判断装置1−2の動作について詳述する。判断装置1−2は、フェムトセル基地局1−1からの問い合わせをメッセージ終端部4−22で受信すると、そのメッセージに含まれる移動端末16−1の識別番号(IMSI)及びURLを判断部4−23に通知する。判断部4−23は、レベル管理部4−24に対してアクセス制限レベルの問い合わせを行う。
【0050】
レベル管理部4−24では、移動端末16−1の識別番号(IMSI)毎にアクセス制限レベルを設定したリストを有し、問い合わせの有った移動端末16−1の識別番号(IMSI)のアクセス制限レベルを回答する。判断部4−23は、回答されたアクセス制限レベルを、問い合わせ対象のURLと共にリスト管理部4−25に送出する。
【0051】
リスト管理部4−25は、問い合わせを受けたURLについて、アクセス制限対象であるか否かを確認し、アクセス制限対象である場合には、そのURLへのアクセスが不可である旨を回答する。アクセス制限対象でない場合には、アクセス可能である旨を回答する。
【0052】
判断部4−23は、リスト管理部4−25からの回答を受けると、その回答結果がアクセス可能であれば、DNS部1−3に対してDNSクエリを発行し、その応答を受け取る。該応答で受け取ったIPアドレスは、メッセージ終端部4−22を介してフェムトセル基地局1−1に通知する。
【0053】
アクセス可能のURLである場合、フェムトセル基地局1−1は、判断装置1−2から、移動端末16−1の識別番号(IMSI)、URL、IPアドレスが通知される。アクセス不可のURLである場合には、判断部4−23にてアクセス不可である旨のメッセージを生成し、メッセージ終端部4−22を介してフェムトセル基地局1−1に該メッセージを通知する。
【0054】
図6の(a),(b)に判断装置におけるフィルタ情報の例を示す。同図の(a)は、レベル管理部における移動端末の識別番号(IMSI)毎の制限レベルリストの例を示し、同図の(b)はリスト管理部における制限レベル毎のURLリストの例を示している。
【0055】
図6(a)に示すように制限レベルリストは、例えば、識別番号(IMSI)#0の移動端末は制限レベルがレベル1であり、識別番号(IMSI)#1の移動端末は制限レベルがレベル4であることを示す。また、図6(b)に示すように、URLリストは、例えば、レベル1の制限レベルに対してURLリスト#1を適用し、レベル4の制限レベルに対してURLリスト#4を適用することを示す。
【0056】
また、図6(c)に通知メッセージの内容の一例を示す。該通知メッセージは、メッセージ終端部4−14,4−22間で遣り取りされるメッセージである。同図に示すように、通知メッセージのパラメータは、移動端末の識別番号(IMSI)、URL、IPアドレスである。更に、アクセス不可の通知、及び生存期間満了要求の通知を格納する領域を設けることができる。
【0057】
生存期間満了要求の通知メッセージを送信することにより、過去にフェムトセル基地局1−1に通知し、フェムトセル基地局1−1に記憶保持されている通知内容(アクセス制限の問い合わせ結果)の生存期間を満了させ、過去に通知した通知内容を無効にすることを要求することができる。
【0058】
移動通信網で管理しているURLのアクセス制限レベルに変更があった場合、フェムトセル基地局1−1に過去に通知した内容を無効化することで、アクセス制限レベルの変更に対して柔軟に対応することができる。これにより、屋外基地局経由ではアクセスすることができるが、フェムトセル基地局経由では一定期間アクセスすることができなくなるといった事態を回避することができる。
【0059】
図7にフェムトセル基地局1−1の記憶部4−12に記憶保持されたアクセス制限情報の例を示す。同図に示すように、移動端末の識別番号(IMSI)毎に、該移動端末がアクセス制限対象か否かを示す対象フラグ7−1を記憶保持し、また、アクセス制限の問い合わせ結果の格納領域を示すDNSポインタ7−2を記憶保持する。更に、該DNSポインタ7−2が有効か否かを示すポインタ有効フラグ7−3を記憶保持する。
【0060】
DNSポインタで示される格納領域には、各アクセス制限の問い合わせ結果のURLについて、該情報が有効か否かを示す有効フラグ7−4、URL7−5、そのIPアドレス7−6、生存期間7−7、及びタイムスタンプ7−8の情報を格納する。
【0061】
次に、フェムトセル基地局の動作について詳述する。フェムトセル基地局の動作フローの例を図8に示す。フェムトセル基地局は、移動端末からのDNSクエリを受信すると(8−1)、該移動端末の識別番号(IMSI)を元に記憶部(図7)を参照し(8−2)、当該識別番号(IMSI)がアクセス制限対象か否かを確認する(対象フラグが“1”に設定されているか否かを判定する)(8−3)。
【0062】
該端末識別番号(IMSI)がアクセス制限対象でない場合、デフォルトゲートウェイであるブロードバンドルータのDNSにDNSクエリを転送し(8−4)、ブロードバンドルータからDNS応答を受領し、移動端末に該DNS応答を転送する(8−5)。
【0063】
該端末識別番号(IMSI)がアクセス制限対象である場合、要求されたURLが記憶部に既に登録されているか否かを確認する(8−6)。登録されている場合、該URLの情報が有効期間外か否かを確認する(8−7)。有効期間内であれば、記憶部に登録されたIPアドレスを取得し、DNS応答を作成し、移動端末に通知する(8−8)。
【0064】
要求されたURLが記憶部に登録されていない場合、又は、該URLの記憶情報が有効期間外で有った場合、メッセージ終端部により、DNSクエリに搭載されているURLを、移動端末の識別番号(IMSI)と共に、問い合わせ用の通信メッセージに格納して通信メッセージを生成し(8−9)、該通信メッセージを判断装置へ送信する(8−10)。
【0065】
アクセス制限対象の識別番号(IMSI)の移動端末から要求されたURLがアクセス制限対象外である場合、判断装置から該移動端末の識別番号(IMSI)及びURLと共にそのIPアドレスが通知される(8−11)。フェムトセル基地局は、この通知情報を記憶部に通知し記憶させる(8−12)、移動端末に対してDNS応答メッセージを生成し、送信する(8−13)。
【0066】
ここで記憶部に格納される情報には、URL情報の有効フラグと生存期間の情報とが含まれ、タイムスタンプを付した時点から該生存期間が満了した情報には、次回は参照しないよう、有効フラグを無効にする。生存期間満了の判断は、次回アクセスされた際に、DNS処理部が記憶部を参照するときに行う。
【0067】
DNS処理部は、移動端末の識別番号(IMSI)がアクセス制限対象であり、要求されたURLが記憶部に登録されている場合、その有効期限を生存期間とタイムスタンプとから確認する。有効期限を超過していた場合は、前述の通り、有効フラグを無効にする。超過していない場合は、DNS処理部にてDNS応答を生成し、移動端末にIPアドレス又はアクセス不可の旨を通知する(8−8)。また、フェムトセル基地局では、判断装置からの通知メッセージに生存期間満了要求が格納されていた場合、記憶部で記憶しているURLリスト(図7のポインタ有効フラグ)を無効にする。
【0068】
次に、アクセス制限レベルの変更の対応について説明する。この処理シーケンス例を図9に示す。フェムトセル基地局で記憶しているアクセス可能なURLは、過去の時点でアクセス可能なものであって、指定された生存期間の間、保証されるものである。従って、移動通信網側のアクセス制限ポリシーが変更され、過去にアクセス可能であったURLをアクセス禁止にしたり、その逆に過去にアクセス不可であったURLをアクセス可能にしたりすることが発生する。
【0069】
判断装置では、制限対象のURLリストを管理しており、アクセス制限ポリシーの変更(アクセス禁止URLの追加、アクセス禁止URLのアクセス許可への変更等)が発生した場合には、フェムトセル基地局に対して、有効フラグの強制無効化(生存期間のクリア)等のURLリストの変更を要求する(9−1)。該要求を受けたフェムトセル基地局は、該要求に従って、記憶部で記憶しているURLリストの該当URLの有効フラグを無効状態にするなど、URLリストを変更する。
【0070】
上述の実施例において、フェムトセル基地局から移動通信網を経由せずにインターネットへ直接アクセスする所謂データオフロードを実施する場合には、該アクセスが制限対象であるか否かを判定する機構が必要となる。これは、3GPPの場合にはAPN(Access Point Name)を用いて識別することができる。APNは通信経路確立の際に決定されるため、このAPNによってデータルートがオフロードであるか否かを識別することができる。
【0071】
APNによってGGSN(Gateway GPRS Support Node;パケット・データ網との相互接続点)が決定されるため、データオフロードを実施する場合には、オフロードのルートがユーザーデータのルートとして設定される。しかし、上述のアクセス制限を実施する場合には、このままでは移動通信網に有る判断装置(URLフィルタリング部)にアクセスさせることができない。よって、フェムトセル基地局でデータルートを判断装置(URLフィルタリング部)へのアクセスルートとするための機構を確保しなければならない。
【0072】
図10に判断装置へのルートとウェブサーバへのルートとの切り替えの機構の構成例を示す。同図に示すように、フェムトセル基地局は、移動端末16−1からGGSN10−1を通してDNSクエリのメッセージを受け取った後、ユーザーデータ振り分け部10−2において、該メッセージがDNS関連メッセージであるか否かをチェックする。つまり、ユーザーデータ振り分け部10−2では、DNS関連メッセージかそうでないかを見分ける機能を具備する。
【0073】
この機能は、例えば、メッセージのTCPポート番号に基づいて、DNS関連メッセージであるか否かを判別することにより実現できる。DNS関連メッセージであった場合には、該メッセージをDNS関連機能部10−3に転送する。そうでない場合(例えばHTTPのポート番号等)には、ウェブサーバ16−6(実際にはISP16−10経由)にデータを送信する。
【0074】
なお、DNS関連機能部10−3は、図4に示した記憶部4−12、DNS処理部4−13、URLリスト制御部4−131、制御対象判定部4−132、メッセージ終端部4−14、及び有線通信部4−15に相当する機能部である。
【0075】
以上のように、通常は、通信経路が確立された後、これを利用するユーザーデータは、APNで指定された宛先に送信されるが、このフェムトセル基地局ではGGSN機能相当を通過したユーザーデータに対し、内容のチェック(例えばTCPポート番号チェック)を経ることにより、DNSクエリはDNS関連機能部10−3に転送される。それ以外はAPNで指定される宛先に送信される。
【0076】
図11にメッセージチェックを行う実施例のシーケンス例を示す。同図に示すように、このシーケンス例では、移動端末がDNSクエリのメッセージをフェムトセル基地局に送信(3−1)した後、フェムトセル基地局で該メッセージがDNS関連メッセージであるか否かをチェックするシーケンスが追加され、その他のシーケンスは図3に示したシーケンスと同様である。
【0077】
また、図12にDNSメッセージの振り分けのフローの例を示す。同図に示すように、移動端末からDNS要求が発さられ、フェムトセル基地局で該DNSメッセージを受信すると(12−1)、該メッセージのTCPポート番号が、DSN関連メッセージを示す例えば53であるか否かをチェックする(12−2)。
【0078】
TCPポート番号が、DSN関連メッセージを示す例えば53でなければ、APN指定あて先へ該メッセージを転送する(12−3)。TCPポート番号が、DSN関連メッセージを示す例えば53である場合、記憶部を参照し、該DNSクエリを送信した移動端末の識別番号(IMSI)が、当該フェムトセル基地局で記憶しているアクセス制限対象であるか否かをチェックする(12−4)。以下は、図3及び図11に示したシーケンス3−2以下と同様である。
【0079】
なお、パケットの接続設定時に、フェムトセル基地局でのデータオフロードを実施しない場合、上述のフェムトセル基地局における一切のアクセス制限機能を非アクティブにして、移動通信網の判断装置(URLフィルタリング部)によるアクセス制限に依存するようにしてもよい。しかし、フェムトセル基地局は数百万台の家庭への設置が想定されるため、上述のフェムトセル基地局のアクセス制限機能を適用することが好ましい。
【0080】
つまり、図10〜図12の実施例において、DNS関連機能部10−3とAPNの示す宛先とが同一であった場合には、図10のユーザーデータ振り分け部10−2の機能を非アクティブにする構成としても良い。この実施例の動作シーケンスを図13に示す。同図に示すように、移動端末とフェムトセル基地局との間で無線アクセス回線が設定された後、要求されたアクセスがデータオフロードであるか否かを、APNを基に判定する(13−1)。
【0081】
データオフロードでない場合、即ち、移動通信網を経由するデータルートの場合、上述のユーザーデータ振り分け部10−2の機能を非アクティブにする。データオフロードの場合、前述の図11に示したシーケンス3−1以降のシーケンスを実施する。
【0082】
図14にデータオフロードの判定を行う実施例の処理フローを示す。同図に示すように、移動端末との無線アクセス回線の設定の後、要求されたアクセスがデータオフロード対象であるか否かを判定する(14−1)。データオフロード対象でなければ、ユーザーデータ振り分け部10−2の機能を非アクティブにし(14−2)、データオフロード対象であれば、ユーザーデータ振り分け部10−2の機能をアクティブにする(14−3)。
【0083】
前述の実施例は、移動端末からのウェブサイトへのアクセスにおいて、該ウェブサイトのIPアドレスが分からない場合に、DNSクエリによるIPアドレスの取得を行うことを前提としていた。しかし、ウェブサイトへのアクセスの際に、IPアドレス解決を移動通信網に依存する場合は、DNSクエリを送信する必要が無く、例えば、移動通信網のウェブサイトアクセスのために用意されたゲートウェイのIPアドレスを用いて、直接ウェブサイトへのアクセスを試みることが技術的に可能である。このような場合でもこの以下の実施例によるアクセス制限を実現することができる。
【0084】
ウェブサイトへのアクセスのために、移動端末が例えば移動通信網のウェブサイトアクセスのためのゲートウェイのIPアドレスを宛先に用いて、HTTP GETのメッセージを送信したとする。このとき該メッセージにはURLが格納されている。フェムトセル基地局は、該メッセージを受け付けたときに、該URLを基にアクセス制限対象であるかを判断する。
【0085】
アクセス制限対象の場合には、この移動端末のために確立されている通信経路が、移動通信網経由かデータオフロードのインターネットアクセスかを確認する。移動通信網経由であった場合には、移動端末からのHTTP GETメッセージを移動通信網に転送する。その後のアクセス制限処理は移動通信網に依る。
【0086】
データオフロードのインターネットアクセスを行う場合には、図3に示した実施例のように、移動端末の識別番号(IMSI)をURLと共に格納したメッセージを作成(DNSクエリ相当)して移動通信網に問い合わせる。問い合わせの結果、アクセス許可であった場合には、フェムトセル基地局がHTTP GETメッセージの宛先IPアドレスを該DNS回等のIPアドレスに付け替えて送信する。
【0087】
図15に上述の実施例の動作シーケンスを示す。フェムトセル基地局は、移動端末からURLを含むHTTP GETメッセージを受信すると(15−1)、フェムトセル基地局で記憶しているアクセス制限対象であるか否かをチェックする(3−2)。このシーケンスは図3に示したシーケンスと同様である。
【0088】
上記HTTP GETメッセージが移動通信網のウェブサイトアクセスのためのゲートウェイのIPアドレスを宛先に用いている場合、該HTTP GETメッセージを移動通信網に転送する。該HTTP GETメッセージを送信した移動端末がアクセス制限対象でない場合、DNSクエリをブロードバンドルータに送信し(3−3)、取得したIPアドレスを付け替えた該HTTP GETメッセージをISPに送信する(15−3)。
【0089】
該HTTP GETメッセージが、アクセス制限対象のURLを含み、データオフロードのインターネットアクセスである場合、図3に示したシーケンスと同様の処理によりアクセス制限を行う(3−4〜3−5)。アクセス許可であった場合には、フェムトセル基地局がHTTP GETメッセージの宛先IPアドレスを該DNS回等のIPアドレスに付け替えて送信する(15−3)。
【0090】
図10〜図12の実施例では、メッセージがDNS要求か否かで移動通信網へ問い合わせるか、データオフロードのルートに転送させるかの振り分け先を決定していたが、上述のようにDNSクエリを使用しない場合には、移動通信網に設置される特定のゲートウェイがDNSサーバを代理(プロキシ)することでIPアドレスの解決を図ることができる。このような場合では、該ゲートウェイのIPアドレスをフェムトセル基地局で記憶しておき、該当するIPアドレスを含むHTTP GETメッセージであった場合に、図10〜図12の実施例と同様の振り分けを実施することができる。
【図面の簡単な説明】
【0091】
【図1】ウェブサーバへのアクセス制限を行うネットワーク構成例を示す図である。
【図2】アクセス制限の設定のシーケンス例を示す図である。
【図3】フェムトセル基地局経由でウェブサーバにアクセスするシーケンス例を示す図である。
【図4】フェムトセル基地局及び判断装置の構成例を示す図である。
【図5】判断装置にURLフィルタリング部を用いた構成例を示す図である。
【図6】判断装置におけるフィルタ情報の例及び通知メッセージの内容の一例を示す図である。
【図7】フェムトセル基地局の記憶部に記憶保持されたアクセス制限情報の例を示す図である。
【図8】フェムトセル基地局の動作フローの例を示す図である。
【図9】アクセス制限レベルの変更の対応の処理シーケンス例を示す図である。
【図10】判断装置へのルートとウェブサーバへのルートとの切り替えの機構の例を示す図である。
【図11】メッセージチェックを行う実施例のシーケンス例を示す図である。
【図12】DNSメッセージの振り分けのフローの例を示す図である。
【図13】DNS関連機能部とAPNの示す宛先とが同一であった場合のシーケンス例を示す図である。
【図14】データオフロードの判定を行う処理フローの例を示す図である。
【図15】移動通信網のゲートウェイのIPアドレスを宛先に用いてHTTP GETのメッセージを送信する実施例のシーケンス例を示す図である。
【図16】移動通信網における従来のアクセス制限の態様を示す図である。
【図17】移動端末が直接インターネットに接続される従来の態様を示す図である。
【符号の説明】
【0092】
1−1 フェムトセル基地局装置
1−2 判断装置
1−3 DNS
16−1 移動端末
16−3 移動通信網
16−5 インターネット
16−6 ウェブサーバ
16−8 ブロードバンドルータ
16−9 アクセス回線
16−10 インターネットサービスプロバイダ
【特許請求の範囲】
【請求項1】
アクセス回線を介して移動通信網と接続され、かつ、該移動通信網を経由することなく前記アクセス回線を介してインターネット上のウェブサーバに接続可能なフェムトセル基地局装置を経由し、移動端末から要求される前記ウェブサーバへのアクセスを制限するアクセス制限方法であって、
前記フェムトセル基地局装置において、前記移動端末から送出される前記ウェブサーバへアクセスするためのURLを受け取ると、該URLのDNSクエリ及び前記移動端末の識別番号を、前記アクセス回線を介して移動通信網のアクセス制限判断装置に送信するステップと、
前記移動通信網のアクセス制限判断装置において、前記移動端末の識別番号に基づいて、前記DNSクエリのURLがアクセス制限対象か否かを判断し、該判断結果、及びアクセス可能である場合には該URLのIPアドレスを、前記アクセス回線を介して前記フェムトセル基地局装置に回答するステップと、
前記フェムトセル基地局装置において、前記アクセス制限判断装置からの回答に基づいて、アクセス制限対象のURLのウェブサーバへのアクセスを禁止し、アクセス可能なURLのIPアドレスを前記移動端末に通知するステップと、
を含むことを特徴とするウェブサーバへのアクセス制限方法。
【請求項2】
移動端末と無線で接続されるとともに、アクセス回線を介して移動通信網に接続され、かつ、該移動通信網を経由することなく前記アクセス回線を介してインターネット上のウェブサーバに接続可能なフェムトセル基地局装置において、
前記移動端末から送出される、前記ウェブサーバへアクセスするためのURLを受け取ると、該URLのDNSクエリを、前記アクセス回線を介して移動通信網のアクセス制限判断装置に送信する手段と、
前記アクセス制限判断装置で判断された前記URLについてのアクセス制限判断結果及び該URLのDNSクエリに対する回答を前記アクセス制限判断装置から取得し、該回答を基に、アクセス制限対象のURLのウェブサーバへのアクセスを禁止し、アクセス可能なURLのIPアドレスを前記移動端末に通知する手段と
を備えたことを特徴とするフェムトセル基地局装置。
【請求項3】
フェムトセル基地局装置とアクセス回線を介して接続され、移動通信網内に設置されるアクセス制限判断装置であって、
前記フェムトセル基地局装置と無線で接続された移動端末から該フェムトセル基地局装置を経由してインターネット上のウェブサーバへアクセスするためのURLのDNSクエリ及び該移動端末の識別番号を、前記フェムトセル基地局装置から前記アクセス回線を介して受信する手段と、
前記移動端末の識別番号対応に記憶したアクセス制限レベルリスト、及び該アクセス制限レベル毎に記憶したアクセス制限対象URLリストを参照し、前記DNSクエリのURLがアクセス制限対象か否かを判断し、該判断の結果、及びアクセス可能である場合には該URLのIPアドレスを、前記アクセス回線を介して前記フェムトセル基地局装置に回答する手段と、
を備えたアクセス制限判断装置。
【請求項4】
前記アクセス制限判断装置から取得した前記URLについてのアクセス制限判断結果及び該URLのDNSクエリに対する回答を、前記移動端末の識別番号対応に記憶部に記憶する手段と、
前記移動端末から送出される前記ウェブサーバへアクセスするためのURLを受け取ったとき、該移動端末の識別番号対応のアクセス制限判断結果及び該URLのDNSクエリに対する回答が前記記憶部に記憶されているか否かを検索し、記憶されている場合、前記URLのDNSクエリを、前記アクセス制限判断装置に送信することなく、前記記憶部に記憶されたアクセス制限判断結果及び該URLのDNSクエリに対する回答に基づいて、該URLのウェブサーバへのアクセスを禁止し、又は該URLのIPアドレスを前記移動端末に通知する手段と、
を備えたことを特徴とする請求項2に記載のフェムトセル基地局装置。
【請求項5】
前記URLについてのアクセス制限判断結果及び該URLのDNSクエリに対する回答を前記記憶部に記憶する際に、該記憶時点のタイムスタンプ及び所定時間の生存期間を示す情報と共に記憶する手段と、
前記移動端末から送出される前記ウェブサーバへアクセスするためのURLを受け取り、該移動端末の識別番号対応のアクセス制限判断結果及び該URLのDNSクエリに対する回答が前記記憶部に記憶されているか否かを検索する際に、前記タイムスタンプ及び生存期間を参照し、該生存期間が満了していない場合に、前記記憶部に記憶されたアクセス制限判断結果及び該URLのDNSクエリに対する回答に基づいて、該URLのウェブサーバへのアクセスを禁止し、又は該URLのIPアドレスを前記移動端末に通知し、該生存期間が満了している場合に、前記URLのDNSクエリを、前記アクセス制限判断装置に送信する手段と、
を備えたことを特徴とする請求項4に記載のフェムトセル基地局装置。
【請求項1】
アクセス回線を介して移動通信網と接続され、かつ、該移動通信網を経由することなく前記アクセス回線を介してインターネット上のウェブサーバに接続可能なフェムトセル基地局装置を経由し、移動端末から要求される前記ウェブサーバへのアクセスを制限するアクセス制限方法であって、
前記フェムトセル基地局装置において、前記移動端末から送出される前記ウェブサーバへアクセスするためのURLを受け取ると、該URLのDNSクエリ及び前記移動端末の識別番号を、前記アクセス回線を介して移動通信網のアクセス制限判断装置に送信するステップと、
前記移動通信網のアクセス制限判断装置において、前記移動端末の識別番号に基づいて、前記DNSクエリのURLがアクセス制限対象か否かを判断し、該判断結果、及びアクセス可能である場合には該URLのIPアドレスを、前記アクセス回線を介して前記フェムトセル基地局装置に回答するステップと、
前記フェムトセル基地局装置において、前記アクセス制限判断装置からの回答に基づいて、アクセス制限対象のURLのウェブサーバへのアクセスを禁止し、アクセス可能なURLのIPアドレスを前記移動端末に通知するステップと、
を含むことを特徴とするウェブサーバへのアクセス制限方法。
【請求項2】
移動端末と無線で接続されるとともに、アクセス回線を介して移動通信網に接続され、かつ、該移動通信網を経由することなく前記アクセス回線を介してインターネット上のウェブサーバに接続可能なフェムトセル基地局装置において、
前記移動端末から送出される、前記ウェブサーバへアクセスするためのURLを受け取ると、該URLのDNSクエリを、前記アクセス回線を介して移動通信網のアクセス制限判断装置に送信する手段と、
前記アクセス制限判断装置で判断された前記URLについてのアクセス制限判断結果及び該URLのDNSクエリに対する回答を前記アクセス制限判断装置から取得し、該回答を基に、アクセス制限対象のURLのウェブサーバへのアクセスを禁止し、アクセス可能なURLのIPアドレスを前記移動端末に通知する手段と
を備えたことを特徴とするフェムトセル基地局装置。
【請求項3】
フェムトセル基地局装置とアクセス回線を介して接続され、移動通信網内に設置されるアクセス制限判断装置であって、
前記フェムトセル基地局装置と無線で接続された移動端末から該フェムトセル基地局装置を経由してインターネット上のウェブサーバへアクセスするためのURLのDNSクエリ及び該移動端末の識別番号を、前記フェムトセル基地局装置から前記アクセス回線を介して受信する手段と、
前記移動端末の識別番号対応に記憶したアクセス制限レベルリスト、及び該アクセス制限レベル毎に記憶したアクセス制限対象URLリストを参照し、前記DNSクエリのURLがアクセス制限対象か否かを判断し、該判断の結果、及びアクセス可能である場合には該URLのIPアドレスを、前記アクセス回線を介して前記フェムトセル基地局装置に回答する手段と、
を備えたアクセス制限判断装置。
【請求項4】
前記アクセス制限判断装置から取得した前記URLについてのアクセス制限判断結果及び該URLのDNSクエリに対する回答を、前記移動端末の識別番号対応に記憶部に記憶する手段と、
前記移動端末から送出される前記ウェブサーバへアクセスするためのURLを受け取ったとき、該移動端末の識別番号対応のアクセス制限判断結果及び該URLのDNSクエリに対する回答が前記記憶部に記憶されているか否かを検索し、記憶されている場合、前記URLのDNSクエリを、前記アクセス制限判断装置に送信することなく、前記記憶部に記憶されたアクセス制限判断結果及び該URLのDNSクエリに対する回答に基づいて、該URLのウェブサーバへのアクセスを禁止し、又は該URLのIPアドレスを前記移動端末に通知する手段と、
を備えたことを特徴とする請求項2に記載のフェムトセル基地局装置。
【請求項5】
前記URLについてのアクセス制限判断結果及び該URLのDNSクエリに対する回答を前記記憶部に記憶する際に、該記憶時点のタイムスタンプ及び所定時間の生存期間を示す情報と共に記憶する手段と、
前記移動端末から送出される前記ウェブサーバへアクセスするためのURLを受け取り、該移動端末の識別番号対応のアクセス制限判断結果及び該URLのDNSクエリに対する回答が前記記憶部に記憶されているか否かを検索する際に、前記タイムスタンプ及び生存期間を参照し、該生存期間が満了していない場合に、前記記憶部に記憶されたアクセス制限判断結果及び該URLのDNSクエリに対する回答に基づいて、該URLのウェブサーバへのアクセスを禁止し、又は該URLのIPアドレスを前記移動端末に通知し、該生存期間が満了している場合に、前記URLのDNSクエリを、前記アクセス制限判断装置に送信する手段と、
を備えたことを特徴とする請求項4に記載のフェムトセル基地局装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2009−271842(P2009−271842A)
【公開日】平成21年11月19日(2009.11.19)
【国際特許分類】
【出願番号】特願2008−123524(P2008−123524)
【出願日】平成20年5月9日(2008.5.9)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成21年11月19日(2009.11.19)
【国際特許分類】
【出願日】平成20年5月9日(2008.5.9)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]