説明

ネットワークシステム、移動通信端末及びプログラム

【課題】移動通信端末に保存された情報がネットワーク経由で漏洩することを防止する。
【解決手段】認証サーバと共にネットワークシステムを構成する移動通信端末に、自端末の物理的な位置情報及び/又はネットワーク上の位置情報の変化を検知する機能部と、変化の検出時、認証サーバに対し、自端末の位置情報及び/又はネットワーク上の位置情報を送信する機能部と、自端末の位置情報及び/又はネットワーク上の位置情報に対応した通信制御ポリシを認証サーバから受信し、自端末に適用する機能部とを搭載する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、移動通信端末の通信制御方法技術に関する。例えば移動通信端末と認証サーバとで構成されるネットワークシステム、移動通信端末及びその通信制御プログラムに関する。
【背景技術】
【0002】
近年、スマートフォンやタブレット端末に代表される移動通信端末の普及に伴い、移動通信端末の業務への利用が検討され始めている。例えばフィールドワークを行う社員が、移動通信端末を用い、社外から社内のイントラネットワークに接続し、業務に必要な資料を移動通信端末に保存する利用形態やメールを送受信する利用形態が検討されている。移動通信端末を業務に利用できれば、本来は社内でしか行うことができなかった業務を、フィールドワークの合間等に社外で行うことが可能となり、業務効率を向上させることができると考えられている。
【0003】
移動通信端末を、社外から社内のイントラネットワークに接続する技術としては、VPN(Virtual Private Network)技術が一般的である。例えば非特許文献1に示すIPsec(IP Security)と呼ばれる通信プロトコルが用いられている。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】馬場達也著、「マスタリングIPsec 第2版」、オライリー・ジャパン、2006年8月23日
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、従来のVPN技術は、社員が、移動通信端末を用いて社内イントラネットワークから業務情報をVPN経由で保存した後に、VPNを利用することなく、インターネット等の社外ネットワークに直接接続するような使い方を防ぐことができない。このため、業務情報が、インターネット経由で漏洩するリスクがある。このリスクのため、現在、移動通信端末の業務活用が妨げられている。
【0006】
業務情報が移動通信端末から漏洩する事態を防止するためには、移動通信端末から送信される通信データを、VPN経由で社内イントラネットワークに確実に経由させることを保証する必要がある。例えば、移動通信端末がインターネット上のWebページ等にアクセスする場合、その通信を社内イントラネットワーク経由にすれば、社内に設置したファイアウォール等によりWebページに業務情報をアップロードする等の行為を禁止することができ、情報漏洩を防止することができる。つまり、業務に使用する移動通信端末については、社内に設置したVPN装置等の特定の装置としか通信できないようにできる仕組みが求められる。
【課題を解決するための手段】
【0007】
前述した通信制御方法の実現のため、本発明者は、移動通信端末と認証サーバを含むネットワークシステムにおいて、以下に示す機能を移動通信端末と認証サーバにそれぞれ搭載することを提案する。
【0008】
まず、移動通信端末には、(1)自端末の物理的な位置情報及び/又はネットワーク上の位置情報を検知する機能部と、(2)変化の検出時、認証サーバに対し、自端末の位置情報及び/又はネットワーク上の位置情報を送信する機能部と、(3)自端末の位置情報及び/又はネットワーク上の位置情報に対応した通信制御ポリシを認証サーバから受信し、自端末に適用する機能部とを搭載する。
【0009】
また、認証サーバには、(1)移動通信端末からその位置情報及び/又はネットワーク上の位置情報を受信する機能部と、(2)受信した位置情報及び/又はネットワーク上の位置情報に対応した通信制御ポリシを管理テーブルから検索する機能部と、(3)検索された通信制御ポリシを対応する移動通信端末に送信する機能部とを搭載する。
【発明の効果】
【0010】
本発明によれば、移動通信端末からの通信は、その物理的な位置又はネットワーク上の位置情報に対して認証サーバが定めた通信制御ポリシに基づいて制御される。例えば通信制御ポリシにおいて、社外での通信を認証サーバ経由に固定することにより、移動通信端末からの業務情報の漏洩を防止することができる。上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【0011】
【図1】実施の形態に係るネットワークシステムの概念図。
【図2】実施の形態に係る移動通信端末の機能構成図。
【図3】実施の形態に係る認証サーバの機能構成図。
【図4】実施の形態に係るポリシデータベースの概念構成図。
【図5】実施の形態に係るポリシデータベースの作成手順を示すフローチャート。
【図6】実施の形態に係る移動通信端末の電源投入時の処理手順を示すフローチャート。
【図7】実施の形態に係る認証サーバにおいて実行されるポリシ情報の選択手順を示すフローチャート。
【図8】実施の形態に係る移動通信端末におけるポリシ情報の再適用手順を示すフローチャート。
【発明を実施するための形態】
【0012】
以下、図面に基づいて、本発明の実施の形態を説明する。なお、本発明の実施態様は、後述する形態例に限定されるものではなく、その技術思想の範囲において、種々の変形が可能である。また、実施の形態を説明するための全図において、同一の機能を有する部材には同一または関連する符号を付し、その繰り返しの説明は省略する。
【0013】
[システム構成]
図1に、実施の形態に係るネットワークシステムの概念構成例を示す。同システムは、移動通信端末101と、ネットワーク102と、認証サーバ103と、DNSサーバ104とにより構成される。図に示すように、移動通信端末101、認証サーバ103及びDNSサーバ104は、ネットワーク102を介して相互に接続されている。
【0014】
本実施例では、ネットワーク102を詳細には図示しないが、情報の伝達が可能であれば、任意の物理ネットワーク、任意の接続形態を含んで良い。また、ネットワーク102は、有線ネットワークと無線ネットワークのどちらか一方又は両方で構成されていても良い。
【0015】
なお、図1では、説明を簡単にするために、移動通信端末101、認証サーバ103、DNSサーバ104をそれぞれ1つだけ記載しているが、いずれも1つ以上であれば任意の個数でよい。
【0016】
以下では、図1に示したネットワークシステムを構成する個々の要素について説明する。
【0017】
[移動通信端末101の構成]
図2に、移動通信端末101の機能ブロック構成を示す。移動通信端末101は、端末位置情報変化検知部202、パケットフィルタリング部203、ポリシ取得部204、VPN接続部205、ネットワーク接続部206、記憶部207から構成されている。記憶部207以外の各部は、ハードウェアとして構成されても良いし、ソフトウェア上の機能として実現しても良い。
【0018】
本実施例の場合、移動通信端末101は、例えばスマートフォンやタブレット端末を想定する。もっとも、これらの端末に限るものではなく、ノート型のコンピュータ端末や携帯型の専用端末も含むものとする。なお、移動通信端末101には、不図示ではあるが、移動通信端末に一般的な装置が必要に応じて搭載されている。例えばCPU、メモリ、入力指示装置(タッチパネル)、GPS(Global Positioning System)受信装置、Wi−Fi(商標)に準拠した無線通信装置などが搭載されている。
【0019】
ネットワーク接続部206は、移動通信端末101とネットワーク102とを接続する装置であり、例えば無線LAN(Local Area Network)装置や3G(第3世代移動通信システム)無線装置が相当する。
【0020】
端末位置情報変化検知部202は、移動通信端末101の位置変化を検知するための処理を実行するデバイス又はプログラムである。本明細書において、この「位置」は、移動通信端末101のネットワーク的な位置や物理的な位置、又はこれらの組み合わせを意味するものとする。例えばネットワーク接続部206に割り当てられたIPアドレスによるネットワーク的な位置、移動通信端末101が備えるGPS装置により検出された移動通信端末101の地球における物理的な位置、移動通信端末101が接続している無線LANのアクセスポイントのSSID(Service Set ID)、MACアドレス等の情報に基づいたネットワーク的及び物理的な位置、又はこれらの位置の組み合わせ等が相当する。
【0021】
なお、以下の説明では、説明を簡単にするために、移動通信端末101のネットワーク接続部206に割り当てられたIPアドレスによるネットワーク的な位置と、GPSによる物理的な位置を用いて説明する。
【0022】
端末位置情報変化検知部202は、記憶部207に格納される端末位置変化閾値情報208を参照し、自端末の位置の変化を検知する。すなわち、端末位置情報変化検知部202は、IPアドレスによるネットワーク的な位置とGPSによる物理的な位置のそれぞれを端末位置変化閾値情報208と比較し、いずれかの位置が端末位置変化閾値情報208に記載されている条件を満たさなくなった場合に、位置が変化したと検知する。端末位置変化閾値情報208については後述する。
【0023】
パケットフィルタリング部203は、記憶部207に格納されるポリシ情報211に基づいて、特定のIPアドレスを有する装置との通信のみを許可若しくは拒否する等の通信制御を実現するデバイス又はプログラムである。
【0024】
ポリシ取得部204は、認証サーバ103のポリシ送受信部302(図3)からポリシ情報211を取得する処理を実行するデバイス又はプログラムである。
【0025】
VPN接続部205は、認証サーバ103のVPN接続部305(図3)に接続し、VPN通信に必要な処理を実行するデバイス又はプログラムである。
【0026】
[移動通信端末101の記憶部207の構成]
記憶部207は、本実施例に係る通信制御の実現に必要とされる情報の記憶に使用される。例えば端末位置変化閾値情報208、端末識別情報209、認証サーバアドレス情報210、ポリシ情報211が記憶される。なお、記憶部207には、不図示の任意の情報が格納されていてもよい。
【0027】
端末位置変化閾値情報208は、端末位置情報変化検知部202が移動通信端末101(自端末)の位置に変化が発生したか否かを判断するために使用する情報である。端末位置変化閾値情報208には、例えば(1) 企業の建屋が含まれる緯度・経度の範囲、(2) 社内ネットワークにおいて移動通信端末101のネットワーク接続部206に割り当てられるIPアドレスの範囲、(3)その両方などが記憶される。
【0028】
例えば端末位置変化閾値情報208に、企業等ユーザが所属する組織の建屋が含まれる緯度・経度の範囲が記憶されている場合、移動通信端末101が備えるGPSの観測値が記憶されている所定の緯度・経度の範囲を外れたとき、端末位置情報変化検知部202は、移動通信端末101(自端末)の社内から社外への移動を検知する。
【0029】
端末識別情報209は、移動通信端末101を一意に特定する情報であり、例えば移動通信端末101の端末固有番号、ユーザ名とパスワードの組、移動通信端末101のネットワーク接続部206のMACアドレス、これら情報の組み合わせ等が相当する。
【0030】
認証サーバアドレス情報210は、認証サーバ103のIPアドレス又はドメイン名で与えられる。
【0031】
ポリシ情報211の詳細は後述するが、移動通信端末101の通信制御に適用される条件が相当する。
【0032】
[認証サーバ103の構成]
図3に、認証サーバ103の構成を示す。認証サーバ103は、ポリシ送受信部302、ポリシ検索部303、ポリシ設定部304、VPN接続部305、ネットワーク接続部306、記憶部307から構成される。
【0033】
ポリシ送受信部302は、移動通信端末101のポリシ取得部204から接続され、ポリシ取得部204にポリシ情報211を送信するデバイス又はプログラムである。
【0034】
ポリシ検索部303は、移動通信端末101の端末識別情報209と端末位置情報変化検知部202が検知した端末位置情報とに基づいて、ポリシ情報211が複数格納されるポリシデータベース308から対応するポリシ情報211を検索する処理を実行するデバイス又はプログラムである。
【0035】
ポリシ設定部304は、ユーザインタフェースを通じ、認証サーバ103の管理者からポリシ情報211の追加・修正・削除といった指示を受け取ると、ポリシデータベース308内にポリシ情報211を追加・修正・削除する処理を実行するデバイス又はプログラムである。
【0036】
VPN接続部305は、移動通信端末101のVPN接続部205から接続され、VPN通信に必要な処理を実行するデバイス又はプログラムである。
【0037】
ネットワーク接続部306は、移動通信端末101等と接続する装置であり、例えばNIC(ネットワーク・インタフェース・カード)が相当する。
【0038】
[認証サーバ103の記憶部307の構成]
記憶部307は、ポリシ情報211を格納するポリシデータベース308から構成される。なお、記憶部307には図示していないが、ポリシデータベース308以外の任意の情報が格納されていてもよい。
【0039】
図3においては、認証サーバ103内にVPN接続部305を設けているが、必ずしもこの構成に限らない。例えばVPN接続部305を認証サーバ103とは別のサーバ内に設け、認証サーバ103とVPNサーバの二つに分けてもよい。
【0040】
[ポリシデータベース308の構成]
図4に、ポリシデータベース308の構成例を示す。ポリシデータベース308は、端末識別情報401と、ネットワーク的位置範囲402と、物理的位置範囲403と、フィルタリングポリシ404とで構成されるポリシ情報211を複数格納している。図4では、例として3つのポリシ情報405〜407を示している。
【0041】
ポリシ情報405は、端末識別情報401が「11111」の移動通信端末101に対するものであり、ネットワーク接続部206に割り当てられたIPアドレスがネットワーク的位置範囲402「192.168.0.0/24」に含まれ、かつ、移動通信端末101のGPSによる物理的な位置が物理的位置範囲403「建屋が含まれる緯度・経度の範囲」に含まれる場合に、フィルタリングポリシ404の「全て許可」を適用すること、すなわち端末識別情報401が「11111」の移動通信端末101からの通信を全て許可することを示している。
【0042】
ポリシ情報405が当てはまる状況としては、例えば社内において、移動通信端末101が利用されており、移動通信端末101が社内のWi−Fiアクセスポイントに接続している場合が挙げられる。このような状況では、移動通信端末101からインターネットへの通信は、社内ネットワーク経由で行われるため、通信を社内ネットワークに設置されたウェブやメール等に関するフィルタリング装置を経由させることができる。
【0043】
ポリシ情報406は、端末識別情報401が「11111」の移動通信端末101に対するものであり、ネットワーク接続部206に割り当てられたIPアドレスがネットワーク的位置範囲402「10.0.0.0/8」に含まれ、かつ、移動通信端末101のGPSによる物理的な位置が物理的位置範囲403「建屋が含まれる緯度・経度の範囲」に含まれる場合に、フィルタリングポリシ404の「認証サーバのみ許可」を適用すること、すなわち端末識別情報401が「11111」の移動通信端末101からの通信は認証サーバとの間でのみ許可することを示している。
【0044】
ポリシ情報406が当てはまる状況としては、例えば社内で移動通信端末101を利用しているが、3G無線通信によりインターネットに直接接続する場合が挙げられる。この場合、移動通信端末101からインターネットへの通信は、社内ネットワークを経由しない。すなわち、ウェブやメール等に関するフィルタリングを行うことができない。この状態は、移動通信端末101は、物理的には社内に位置するものの、ネットワーク的には社外に位置することに相当する。従って、このような状況では、移動通信端末101からの通信を認証サーバ103との間でのみに許可し、通信経路を強制的に社内ネットワーク経由に設定するフィルタリングポリシ404を適用する。
【0045】
ポリシ情報407は、端末識別情報401が「22222」の移動通信端末101に対応するものであり、ネットワーク接続部206に割り当てられたIPアドレスによるネットワーク的な位置及びGPSによる物理的な位置に関わらず、その移動通信端末101からの通信は認証サーバとの間でのみ許可することを示している。
【0046】
ポリシ情報407が当てはまる状況としては、セキュリティ強度を最大限高めることを目的として、移動通信端末101からの通信を確実に認証サーバ経由にさせたい場合が相当する。
【0047】
なお、どのポリシ情報にも該当しない場合の扱いは規定しないが、例えば認証サーバ103の間でのみ通信を許可とするという動作をさせても良い。
【0048】
[DNSサーバ104の構成]
DNSサーバ104は、ドメイン名とIPアドレスの対応付け等が可能な装置であれば何でもよく、例えば「BIND」と呼ばれるプログラムを備えた装置が相当する。
【0049】
[通信制御手順]
次に、前述したネットワークシステムにおいて、移動通信端末101の通信を制御するための処理手順を説明する。まず、移動通信端末101の通信を制御するための事前設定として、認証サーバ103の管理者が、ポリシデータベース308を作成する手順について説明する。続いて、移動通信端末101が認証サーバ103からポリシ情報211を取得し、その通信を制御する手順について説明する。最後に、移動通信端末101が移動し、位置の変化が検知された場合に、ポリシ情報211を再度取得し、通信制御をやり直す手順について説明する。
【0050】
[ポリシデータベースの作成手順]
図5に、認証サーバ103の管理者がポリシデータベース308を作成する手順を示す。
【0051】
認証サーバ103の管理者が、認証サーバ103と接続する移動通信端末101(数は任意)のポリシ情報を作成する(S501)。ポリシ情報の例としては、前述した図4の405〜407が相当する。
【0052】
次に、認証サーバ103の管理者が、ステップS501で作成したポリシ情報を、ポリシ設定部304に入力し、ポリシデータベース308への追加を指示する(S502)。
【0053】
最後に、ポリシ設定部304は、ステップS502で受取ったポリシ情報を、ポリシデータベース308に追加する(S503)。
【0054】
図5は、ポリシ情報の新規に追加する場合の手順を示しているが、ポリシデータベース308内のポリシ情報を削除・修正する場合も同様の手順により行うことができる。
【0055】
[移動通信端末101の電源投入時の処理手順]
図6に、移動通信端末101の電源が投入されてシステムが起動された後、ポリシが適用されるまでの手順を説明する。
【0056】
移動通信端末101の電源投入後、まず端末位置情報変化検知部202が、移動通信端末101のネットワーク接続部206からIPアドレス及びDNSサーバアドレスを取得する(S601)。ここで、ネットワーク接続部206が機能しておらず、IPアドレス及びDNSサーバアドレスの取得に失敗した場合には、任意の時間間隔を経てからステップS601を繰り返す。
【0057】
ステップS601でIPアドレス及びDNSサーバアドレスの取得に成功した場合、パケットフィルタリング部203が、移動通信端末101の通信がDNSサーバアドレスで表わされるDNSサーバ104としか通信できないように制御する(S602)。通信制御の方法としては、例えばLinuxにおける「iptables」が相当する。
【0058】
次に、移動通信端末101のVPN接続部205が、認証サーバアドレス情報212に記載されている認証サーバ103のドメイン名に対応するIPアドレスを取得するため、DNSサーバ104に問合せ、認証サーバ103のIPアドレスを取得する(S603)。なお、認証サーバアドレス情報210に認証サーバ103のドメイン名ではなくIPアドレスが記載されていた場合は、ステップS603の処理は省略する。
【0059】
次に、移動通信端末101のパケットフィルタリング部203が、ステップS603で取得した認証サーバ103のIPアドレスに基づき、移動通信端末101が認証サーバ103とのみ通信できるように制御する(S604)。
【0060】
移動通信端末101のポリシ取得部204が、認証サーバ103に対し、端末識別情報209と移動通信端末101のIPアドレス及びGPSの観測値を送信し、ポリシ情報211の取得要求をする(S605)。なお、認証サーバ103がポリシ情報211を要求された場合の処理手順(図7)は後述する。
【0061】
この後、移動通信端末101のポリシ取得部204が、認証サーバ103のポリシ送受信部302からポリシ情報211を受信する(S606)。
【0062】
次に、移動通信端末101のポリシ取得部204が、ポリシ情報211をパケットフィルタリング部203に入力してポリシの適用を指示する(S607)。
【0063】
移動通信端末101のパケットフィルタリング203は、受け取ったポリシ情報211のフィルタリングポリシ404に基づき、通信を制御する(S608)。
【0064】
[ポリシ選択手順]
図7に、認証サーバ103が、移動通信端末101からポリシ情報211の送信を要求された場合の処理手順を示す。
【0065】
まず、認証サーバ103のポリシ送受信部302が、移動通信端末101から端末識別情報209と、移動通信端末101のIPアドレスと、GPSの観測値とを受信する(S701)。
【0066】
認証サーバ103のポリシ送受信部302が、ポリシ検索部303に対し、端末識別情報209と、移動通信端末101のIPアドレスと、GPSの観測値とに該当するポリシ情報211の検索を指示する(S702)。
【0067】
次に、認証サーバ103のポリシ検索部303が、ポリシデータベース308から端末識別情報209が一致し、さらに、移動通信端末101のIPアドレスがネットワーク的位置範囲402に含まれ、さらに、移動通信端末101のGPSの観測値が物理的位置範囲403に含まれるポリシ情報211を検索する(S703)。
【0068】
認証サーバ103のポリシ検索部303が、検索されたポリシ情報211をポリシ送受信部302に入力する(S704)。
【0069】
認証サーバ103のポリシ送受信部302が、ポリシ情報211を移動通信端末101のポリシ取得部204に送信する(S705)。
【0070】
以上により、移動通信端末101には、その位置に応じたポリシ情報211が適用される。この結果、移動通信端末101からの通信は、フィルタリングポリシ404に記載された条件を満たすことが保証される。
【0071】
例えばフィルタリングポリシ404が「認証サーバのみ許可」となっていた場合、移動通信端末101は、直接インターネット上の各種サーバ等と通信することはできなくなる。これらのサーバ等に接続するには、移動通信端末101のVPN接続部205と認証サーバ103のVPN接続部305とがVPN接続し、認証サーバ103を経由する必要がある。ここで、認証サーバ103からサーバ等の間にファイアウォール等を置くことで、移動通信端末101からの通信を適宜フィルタリングすることが可能となる。
【0072】
[移動通信端末101の位置変化時のポリシ再適用手順]
図8に、移動通信端末101のネットワーク的位置や物理的位置が変化した場合に、ポリシを再適用する場合の手順を示す。
【0073】
移動通信端末101の端末位置情報変化検知部202が、端末位置変化閾値情報208に基づいて位置変化を検知する(S801)。
【0074】
ステップS801で変化が検知されなかった場合は、任意の時間間隔を経てからステップS801を繰り返す。
【0075】
ステップS801で変化が検知された場合は、図6のステップS605〜S608の手順を行う。
【0076】
図8の手順が想定する状況を以下に示す。移動通信端末101が社内のWi−Fiアクセスポイントに接続し、フィルタリングポリシ404が「全て許可」だったと仮定する。さらに、移動通信端末101からの通信は、社内ネットワークを経由するため、社内ネットワークに設置されたウェブやメールのフィルタリング装置による通信のフィルタリングが行われているものとする。
【0077】
この条件のもと、移動通信端末101の利用者がWi−Fiの利用をやめ、3G通信を行おうとしたとする。フィルタリングポリシ404が「全て許可」のままだと、3G通信により、インターネット上のサーバとの直接通信が実現されてしまう。これでは、通信をフィルタリングできず、業務情報の漏洩を防止することができない。
【0078】
従って、このように移動通信端末101のネットワーク的位置が変化した場合には、適切なフィルタリングポリシ404を適用できるようにする必要がある。そこで、図8の手順を用意し、例えばWi−Fiから3Gに切り替わった場合に、移動通信端末101がフィルタリングポリシ404を再取得し、通信を「全て許可」から「認証サーバのみ許可」に制御し自動再設定する仕組みを導入する。
【0079】
[効果]
以上説明したように、本実施例に係るネットワークシステムの場合には、移動通信端末101からの通信は、その物理的な位置又はIPアドレスに対して認証サーバ103が定めたポリシ情報211に基づいて制御させることができる。例えばポリシ情報211において、社外での通信を、社内の認証サーバ103経由に固定することができる。また、物理的な位置としては社内からの通信であったとしても、社内ネットワークを経由しない外部ネットワークへのネットワーク的位置の変更を伴う場合には、社外の場合と同様に、認証サーバ103経由での通信を強制することができる。これにより、移動通信端末101から業務情報が漏洩する事態を効果的に防止することができる。
【0080】
[他の形態例]
本発明は上述した形態例に限定されるものでなく、様々な変形例が含まれる。例えば、上述した形態例は、本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある形態例の一部を他の形態例の構成に置き換えることが可能であり、また、ある形態例の構成に他の形態例の構成を加えることも可能である。また、各形態例の構成の一部について、他の構成を追加、削除又は置換することも可能である。
【0081】
また、上述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路その他のハードウェアとして実現しても良い。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することにより実現しても良い。すなわち、ソフトウェアとして実現しても良い。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD(Solid State Drive)等の記憶装置、ICカード、SDカード、DVD等の記憶媒体に格納することができる。
【0082】
また、制御線や情報線は、説明上必要と考えられるものを示すものであり、製品上必要な全ての制御線や情報線を表すものでない。実際にはほとんど全ての構成が相互に接続されていると考えて良い。
【符号の説明】
【0083】
101…移動通信端末
102…ネットワーク
103…認証サーバ
104…DNSサーバ
202…端末位置情報変化検知部
203…パケットフィルタリング部
204…ポリシ取得部
205…VPN接続部
206…ネットワーク接続部
207…記憶部
208…端末位置変化閾値情報
209…端末識別情報
210…認証サーバアドレス情報
211…ポリシ情報
302…ポリシ送受信部
303…ポリシ検索部
304…ポリシ設定部
305…VPN接続部
306…ネットワーク接続部
307…記憶部
308…ポリシデータベース
401…端末識別情報
402…ネットワーク的位置範囲
403…物理的位置範囲
404…フィルタリングポリシ
405…ポリシ情報の一例
406…ポリシ情報の一例
407…ポリシ情報の一例

【特許請求の範囲】
【請求項1】
移動通信端末と認証サーバを含むネットワークシステムであって、
前記移動通信端末は、
自端末の物理的な位置情報及び/又はネットワーク上の位置情報の変化を検知する機能部と、
前記変化の検出時、認証サーバに対し、自端末の位置情報及び/又はネットワーク上の位置情報を送信する機能部と、
自端末の位置情報及び/又はネットワーク上の位置情報に対応した通信制御ポリシを認証サーバから受信し、自端末に適用する機能部とを有し、
前記認証サーバは、
移動通信端末からその位置情報及び/又はネットワーク上の位置情報を受信する機能部と、
受信した位置情報及び/又はネットワーク上の位置情報に対応した通信制御ポリシを管理テーブルから検索する機能部と、
検索された通信制御ポリシを対応する移動通信端末に送信する機能部とを有する
ことを特徴とするネットワークシステム。
【請求項2】
請求項1に記載のネットワークシステムにおいて、
前記移動通信端末は、前記ネットワーク上の位置情報の変化を、IPアドレスの変化により検出する
ことを特徴とするネットワークシステム。
【請求項3】
請求項1に記載のネットワークシステムにおいて、
前記移動通信端末は、前記ネットワーク上の位置情報の変化を、無線アクセスポイントのSSIDの変化により検出する
ことを特徴とするネットワークシステム。
【請求項4】
請求項1に記載のネットワークシステムにおいて、
前記移動通信端末は、前記ネットワーク上の位置情報の変化を、無線アクセスポイントのMACアドレスの変化により検出する
ことを特徴とするネットワークシステム。
【請求項5】
請求項1に記載のネットワークシステムにおいて、
前記移動通信端末は、前記物理的な位置情報の変化を、前記移動通信端末が備えるGPSの観測値が所定の緯度・経度の範囲を外れたことにより検出する
ことを特徴とするネットワークシステム。
【請求項6】
認証サーバと共にネットワークシステムを構成する移動通信端末であって、
自端末の物理的な位置情報及び/又はネットワーク上の位置情報の変化を検知する機能部と、
前記変化の検出時、認証サーバに対し、自端末の位置情報及び/又はネットワーク上の位置情報を送信する機能部と、
自端末の位置情報及び/又はネットワーク上の位置情報に対応した通信制御ポリシを認証サーバから受信し、自端末に適用する機能部と
を有することを特徴とする移動通信端末。
【請求項7】
認証サーバと共にネットワークシステムを構成する移動通信端末に搭載されるコンピュータに、
自端末の物理的な位置情報及び/又はネットワーク上の位置情報の変化を検知する機能と、
認証サーバに対し、変化を検出した自端末の位置情報及び/又はネットワーク上の位置情報を送信する機能と、
自端末の位置情報及び/又はネットワーク上の位置情報に対応した通信制御ポリシを認証サーバから受信し、自端末に適用する機能と
を実行させるためのプログラム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate


【公開番号】特開2013−38716(P2013−38716A)
【公開日】平成25年2月21日(2013.2.21)
【国際特許分類】
【出願番号】特願2011−175295(P2011−175295)
【出願日】平成23年8月10日(2011.8.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】