(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024112623
(43)【公開日】2024-08-21
(54)【発明の名称】移動通信ネットワークの制御システム
(51)【国際特許分類】
H04W 12/37 20210101AFI20240814BHJP
H04W 48/16 20090101ALI20240814BHJP
【FI】
H04W12/37
H04W48/16 130
【審査請求】有
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2023017805
(22)【出願日】2023-02-08
(11)【特許番号】
(45)【特許公報発行日】2024-01-23
(71)【出願人】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】110003281
【氏名又は名称】弁理士法人大塚国際特許事務所
(72)【発明者】
【氏名】星野 友紀男
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA33
5K067EE02
5K067EE10
5K067EE16
5K067HH21
(57)【要約】
【課題】ユーザ装置のセキュリティの低下を抑える技術を提供する。
【解決手段】移動通信ネットワークの制御システムは、対象ユーザ装置による対象通信のパケットを検出する検出手段と、前記対象ユーザ装置による前記対象通信のパケットを前記検出手段が検出した場合、前記対象ユーザ装置に前記対象通信で使用するスライスを通知し、前記対象ユーザ装置が当該スライスに送信する前記対象通信のパケットが所定装置に転送される様に前記移動通信ネットワークを制御する制御手段と、を備えている。
【選択図】図1
【解決手段】移動通信ネットワークの制御システムは、対象ユーザ装置による対象通信のパケットを検出する検出手段と、前記対象ユーザ装置による前記対象通信のパケットを前記検出手段が検出した場合、前記対象ユーザ装置に前記対象通信で使用するスライスを通知し、前記対象ユーザ装置が当該スライスに送信する前記対象通信のパケットが所定装置に転送される様に前記移動通信ネットワークを制御する制御手段と、を備えている。
【選択図】図1
【特許請求の範囲】
【請求項1】
移動通信ネットワークの制御システムであって、
対象ユーザ装置による対象通信のパケットを検出する検出手段と、
前記対象ユーザ装置による前記対象通信のパケットを前記検出手段が検出した場合、前記対象ユーザ装置に前記対象通信で使用するスライスを通知し、前記対象ユーザ装置が当該スライスに送信する前記対象通信のパケットが所定装置に転送される様に前記移動通信ネットワークを制御する制御手段と、
を備えている制御システム。
対象ユーザ装置による対象通信のパケットを検出する検出手段と、
前記対象ユーザ装置による前記対象通信のパケットを前記検出手段が検出した場合、前記対象ユーザ装置に前記対象通信で使用するスライスを通知し、前記対象ユーザ装置が当該スライスに送信する前記対象通信のパケットが所定装置に転送される様に前記移動通信ネットワークを制御する制御手段と、
を備えている制御システム。
【請求項2】
前記所定装置は、前記対象ユーザ装置から受信する前記対象通信のパケットに基づき、前記対象通信における前記対象ユーザ装置の通信先装置と、前記対象ユーザ装置が前記通信先装置に要求しているコンテンツを判定し、前記判定したコンテンツを前記通信先装置から取得し、前記取得したコンテンツの無害化を行って前記対象ユーザ装置に送信する、請求項1に記載の制御システム。
【請求項3】
前記所定装置を含む、請求項1に記載の制御システム。
【請求項4】
前記対象通信は、ハイパーテキスト転送プロトコル(HTTP)を使用する通信である、請求項1に記載の制御システム。
【請求項5】
前記対象通信は、前記対象ユーザ装置で動作するブラウザアプリケーションが行う通信である、請求項1に記載の制御システム。
【請求項6】
前記対象ユーザ装置の識別情報と、前記対象ユーザ装置による前記対象通信を特定する情報と、前記対象ユーザ装置による前記対象通信のパケットを前記検出手段が検出した場合に前記対象ユーザ装置に通知する前記スライスの種別を示す情報と、を格納する格納手段をさらに備えている、請求項1から5のいずれか1項に記載の制御システム。
【請求項7】
前記スライスの種別を示す情報は、単一ネットワークスライス選択アシスタンス情報(S-NSSAI)のスライス/サービスタイプ(SST)の値である、請求項6に記載の制御システム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、移動通信ネットワークの制御システムに関する。
【背景技術】
【0002】
特許文献1は、端末がインターネットから取得するコンテンツを無害化する無害化技術を開示している。特許文献1によると、端末は、インターネットからコンテンツを取得する際、マスタサーバにアクセスする様に構成される。マスタサーバは、複数のスレーブサーバから1つのスレーブサーバを選択し、選択したスレーブサーバに、アクセスした端末に対応する仮想端末を生成させる。また、マスタサーバは、選択したスレーブサーバに接続するための情報を端末に通知する。端末は、スレーブサーバに生成された、当該端末に対応する仮想端末を介してインターネットにコンテンツを要求する。仮想端末は、インターネットから取得するコンテンツを無害化して端末に転送する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特許第6205013号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
スマートフォンや、タブレット端末といった、移動通信ネットワークのユーザ装置(UE)は、個人的な使用のみならず、ビジネスにおいても使用される。例えば、企業は、そのビジネスにおいて必要なUEを従業員に貸与して使用させている。この様なUEのセキュリティを確保するため、例えば、特許文献1の構成を適用することができる。この場合、UEには、マスタサーバを介してインターネットに接続する様に、プロキシ設定等の必要な設定を行う必要がある。しかしながら、その様な設定は、UEを使用している従業員によって容易に変更され得るため、UEのセキュリティが低下し得る。
【0005】
本開示は、ユーザ装置のセキュリティの低下を抑える技術を提供するものである。
【課題を解決するための手段】
【0006】
本開示の一態様によると、移動通信ネットワークの制御システムは、対象ユーザ装置による対象通信のパケットを検出する検出手段と、前記対象ユーザ装置による前記対象通信のパケットを前記検出手段が検出した場合、前記対象ユーザ装置に前記対象通信で使用するスライスを通知し、前記対象ユーザ装置が当該スライスに送信する前記対象通信のパケットが所定装置に転送される様に前記移動通信ネットワークを制御する制御手段と、を備えている。
【発明の効果】
【0007】
本開示によると、ユーザ装置のセキュリティの低下を抑えることができる。
【図面の簡単な説明】
【0008】
【発明を実施するための形態】
【0009】
以下、添付図面を参照して実施形態を詳しく説明する。なお、以下の実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態で説明されている特徴の組み合わせの全てが発明に必須のものとは限らない。実施形態で説明されている複数の特徴のうちの二つ以上の特徴が任意に組み合わされてもよい。また、同一若しくは同様の構成には同一の参照番号を付し、重複した説明は省略する。
【0010】
図1は、本実施形態の説明に使用するシステムの構成図である。UE1は、移動通信ネットワーク2が提供する移動通信サービスを利用する無線デバイスである。移動通信ネットワーク2は、インターネット3に接続される。UE1は、移動通信ネットワーク2を介してインターネット3上のサーバ4にアクセスして、サーバ4からコンテンツを取得することができる。
【0011】
移動通信ネットワーク2は、制御システム200と、無害化装置23と、を有する。制御システム200の制御装置22は、移動通信ネットワーク2において、UE1のモビリティを管理するアクセス及びモビリティ管理機能(AMF)、PDU(Protocol Data Unit)セッションを管理するセッション管理機能(SMF)、ポリシーを制御するポリシー制御機能(PCF)、スライスのSMFを選択するネットワークスライス選択機能(NSSF)といった、制御プレーンの1つ以上のネットワーク機能(NF)を実装する1つ以上の装置の総称である。なお、上記NFの用語は、第5世代(5G)の移動通信ネットワークで使用されている用語であるが、移動通信ネットワーク2は、スライスを設定可能である限り、第5世代の移動通信ネットワークに限定されない。検出装置21は、UE1が送受信するデータ(パケット)を監視し、所定条件を満たす通信を検出する機能を有する。
【0012】
無害化装置23は、移動通信ネットワーク2のオペレータが、例えば、オプションで提供する無害化サービスにおいて使用される。UE1の契約者が無害化サービスに加入している場合、無害化装置23は、UE1が所定のアプリケーション又は所定の通信プロトコルによりサーバ4から取得するコンテンツを無害化してUE1に送信する。なお、図1では、無害化装置23を移動通信ネットワーク2のコアネットワーク内の装置としている。しかしながら、無害化装置23は、例えば、モバイルエッジコンピューティング(MEC)の装置とすることができる。つまり、移動通信ネットワーク2のユーザプレーン機能(UPF)に接続する、インターネット3とは別のデータネットワーク(DN)内に無害化装置23を配置する構成とすることができる。さらに、無害化装置23を、インターネット3上の装置とすることもできる。無害化装置23を、移動通信ネットワーク2のコアネットワーク内に配置する場合、無害化装置23は、制御システム200内の装置と見做され得る。
【0013】
図2は、無害化サービス提供のために制御装置22に格納されるサービス提供情報の例を示している。サービス提供情報は、無害化サービスが適用される対象ユーザ装置と、無害化サービスが適用される対象通信と、無害化サービスに使用されるスライスの種別と、の関係を示す情報である。対象ユーザ装置は、無害化サービスが適用されるUE1の"識別情報"によって特定され得る。識別情報は、例えば、国際移動体加入者識別番号(IMSI)である。対象通信は、例えば、通信の"プロトコル"によって特定され得る。或いは、対象通信は、対象ユーザ装置で動作して通信を行っている"アプリケーションの種別"で特定され得る。対象通信は、例えば、ブラウザアプリケーションが行う通信であり得る。図2によると、対象通信は、ハイパーテキスト転送プロトコル(HTTP)を使用する通信である。
【0014】
図2によると、無害化サービスに使用されるスライスの種別は"無害化用"スライスである。"スライス種別"は、例えば、単一ネットワークスライス選択アシスタンス情報(S-NSSAI)のスライス/サービスタイプ(SST)の値により示され得る。
【0015】
以下、UE1を無害化サービスの対象ユーザ装置であるもの、つまり、その識別情報が図2のサービス提供情報に含まれる装置であるものとし、UE1で動作しているWebブラウザ(ブラウザアプリケーション)が、サーバ4からコンテンツを取得する処理を例にして説明を行う。なお、対象通信をHTTPとし、無害化サービスに使用されるスライス種別を無害化用スライスとする。
【0016】
まず、検出装置21は、サービス提供情報に従い、対象ユーザ装置による対象通信、つまり、UE1によるHTTPを使用した通信を監視している。UE1がサーバ4からコンテンツを取得するため、Webブラウザによる通信、つまり、HTTPによる通信をサーバ4との間で開始すると、当該通信は、検出装置21によって検出される。検出装置21は、UE1がHTTPによる通信を開始したことを制御装置22に通知する。
【0017】
制御装置22は、サービス提供情報に従い、HTTPの通信には、無害化用スライスを使用することを、高次レイヤのシグナリングでUE1に通知する。この通知は、URSP(User equipment Route Selection Policies)に基づき得る。また、制御装置22は、UE1と無害化装置23とが接続される様に無害化用スライスを設定する。この結果、UE1がサーバ4に送信するパケットは無害化装置23に転送される。無害化装置23は、UE1からのパケットに基づき、UE1の通信先装置(通信相手装置)であるサーバ4と、UE1がサーバ4に対して要求しているコンテンツを判定する。無害化装置23は、判定結果に基づき、サーバ4にアクセスして、UE1がサーバ4に対して要求しているコンテンツを取得する。無害化装置23は、UE1に代わって取得したコンテンツを無害化の上、UE1に送信する。なお、例えば、制御装置22が、UE1に対応する仮想端末を無害化装置23に生成させる構成とすることができる。この場合、無害化装置23に生成された仮想端末が、UE1に代わってサーバ4からコンテンツを取得して無害化の上、UE1に送信する。
【0018】
図3(A)は、UE1がサーバ4にアクセスを開始した状態を示している。図3(B)は、無害化用スライスが設定された後の状態を示している。なお、図3(A)でTCPコネクションがUE1とサーバ4との間に一旦設定されるため、図3(A)の状態から図3(B)の状態に移行するに当たり、一旦、TCPコネクションが切断され、通信が中断されるが、UE1と無害化装置23との間のTCPコネクションが設定されることで、通信は再開される。
【0019】
なお、UE1が送信するIPパケットの宛先アドレスは、図3(B)の状態においてもサーバ4のアドレスとなる。例えば、無害化装置23をインターネット3や、インターネット3とは異なるDNに設ける場合、サーバ4のアドレスを宛先とするIPパケットをインターネット3又はDNにおいて無害化装置23にルーティングさせる必要がある。これは、例えば、透過型プロキシ技術によりUE1とは無関係にネットワーク側で行うことができる。
【0020】
以上、所定のUE1(対象ユーザ装置)が行う所定通信(対象通信)については、UE1における設定によらず、無害化装置23を介して行われる様に移動通信ネットワーク側で制御する。この構成により、UE1のセキュリティの低下を抑えることができる。
【0021】
以上の構成により、ユーザ装置のセキュリティの低下を抑えることができる。したがって、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。
【0022】
発明は上記の実施形態に制限されるものではなく、発明の要旨の範囲内で、種々の変形・変更が可能である。
【符号の説明】
【0023】
21:検出装置、22:制御装置、23:無害化装置
【図1】
【図2】
【図3】
【手続補正書】
【提出日】2023-12-12
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
移動通信ネットワークの制御システムであって、
前記移動通信ネットワークに接続する対象ユーザ装置が前記移動通信ネットワークの外部の通信先装置と行う通信のうちの対象通信のパケットを検出する検出手段と、
前記対象ユーザ装置による前記対象通信のパケットを前記検出手段が検出した場合、前記対象ユーザ装置に前記対象通信で使用するスライスを通知し、前記対象ユーザ装置によって当該スライスに送信される前記対象通信のパケットが所定装置に転送される様に前記移動通信ネットワークを制御する制御手段と、
を備え、
前記所定装置は、前記対象ユーザ装置が前記対象通信で要求しているコンテンツを前記通信先装置から取得し、当該コンテンツの無害化を行って前記対象ユーザ装置に送信する様に構成されている制御システム。
前記移動通信ネットワークに接続する対象ユーザ装置が前記移動通信ネットワークの外部の通信先装置と行う通信のうちの対象通信のパケットを検出する検出手段と、
前記対象ユーザ装置による前記対象通信のパケットを前記検出手段が検出した場合、前記対象ユーザ装置に前記対象通信で使用するスライスを通知し、前記対象ユーザ装置によって当該スライスに送信される前記対象通信のパケットが所定装置に転送される様に前記移動通信ネットワークを制御する制御手段と、
を備え、
前記所定装置は、前記対象ユーザ装置が前記対象通信で要求しているコンテンツを前記通信先装置から取得し、当該コンテンツの無害化を行って前記対象ユーザ装置に送信する様に構成されている制御システム。
【請求項2】
前記所定装置は、前記対象ユーザ装置から受信する前記対象通信のパケットに基づき、前記通信先装置と、前記対象ユーザ装置が前記通信先装置に要求している前記コンテンツを判定する、請求項1に記載の制御システム。
【請求項3】
前記所定装置を含む、請求項1に記載の制御システム。
【請求項4】
前記対象通信は、ハイパーテキスト転送プロトコル(HTTP)を使用する通信である、請求項1に記載の制御システム。
【請求項5】
前記対象通信は、前記対象ユーザ装置で動作するブラウザアプリケーションが行う通信である、請求項1に記載の制御システム。
【請求項6】
前記対象ユーザ装置の識別情報と、前記対象ユーザ装置による前記対象通信を特定する情報と、前記対象ユーザ装置による前記対象通信のパケットを前記検出手段が検出した場合に前記対象ユーザ装置に通知する前記スライスの種別を示す情報と、を格納する格納手段をさらに備えている、請求項1から5のいずれか1項に記載の制御システム。
【請求項7】
前記スライスの種別を示す情報は、単一ネットワークスライス選択アシスタンス情報(S-NSSAI)のスライス/サービスタイプ(SST)の値である、請求項6に記載の制御システム。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0006
【補正方法】変更
【補正の内容】
【0006】
本開示の一態様によると、移動通信ネットワークの制御システムは、前記移動通信ネットワークに接続する対象ユーザ装置が前記移動通信ネットワークの外部の通信先装置と行う通信のうちの対象通信のパケットを検出する検出手段と、前記対象ユーザ装置による前記対象通信のパケットを前記検出手段が検出した場合、前記対象ユーザ装置に前記対象通信で使用するスライスを通知し、前記対象ユーザ装置によって当該スライスに送信される前記対象通信のパケットが所定装置に転送される様に前記移動通信ネットワークを制御する制御手段と、を備え、前記所定装置は、前記対象ユーザ装置が前記対象通信で要求しているコンテンツを前記通信先装置から取得し、当該コンテンツの無害化を行って前記対象ユーザ装置に送信する様に構成されている。