JP2004118433A - Operation control method for outside program, operation control program, operation controller, and operation control program providing device - Google Patents
Operation control method for outside program, operation control program, operation controller, and operation control program providing device Download PDFInfo
- Publication number
- JP2004118433A JP2004118433A JP2002279395A JP2002279395A JP2004118433A JP 2004118433 A JP2004118433 A JP 2004118433A JP 2002279395 A JP2002279395 A JP 2002279395A JP 2002279395 A JP2002279395 A JP 2002279395A JP 2004118433 A JP2004118433 A JP 2004118433A
- Authority
- JP
- Japan
- Prior art keywords
- document data
- program
- external program
- data
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、Java(登録商標)アプレットに代表される、HTML文書と同時にWWWサーバからダウンロードされ、WWWブラウザ上で動作するプログラム(以下、「Webプログラム」と称する)が、WWWブラウザが動作するクライアントコンピュータ上に接続されている記憶装置や周辺装置に格納されている情報、及び、クライアントコンピュータやその周辺装置の機能(以下、「クライアントリソース」と称する)へ不正にアクセスすることを防止する方法、プログラム、装置、及び、当該プログラムの提供装置に関する。
【0002】
【従来の技術】
従来、Webプログラムは、クライアントリソースの利用が制限されていたが、一方で近年、Webプログラムによるクライアントリソースに対するアクセスを実現する方式も開発されている(例えば、特許文献1参照)。
【0003】
特許文献1のJava(登録商標)アプレットによる周辺装置の制御方法及び装置、記憶媒体は、図5に示すように、PC端末10と、PC端末10に接続されたR/W装置20と、R/W装置20に接続されたICカード30と、PC端末10にIPネットワークを介して接続されたWWWサーバ40とから構成されている。そして、PC端末10は、WWWブラウザ11と、メモリ制御部12と、OS13と、I/Oポート14とを保持し、WWWブラウザ11は、Java(登録商標)インタプリタ110を、メモリ制御部12は、データ等格納領域120、及び、Java(登録商標)インタプリタ用ライブラリ格納領域121を有している。また、Java(登録商標)インタプリタ用ライブラリ格納領域121は、R/W装置ドライバ122を有している。
【0004】
このような構成を有する従来のJava(登録商標)アプレットによる周辺装置の制御方法及び装置、記憶媒体は、概略次のように動作する。
【0005】
すなわち、Java(登録商標)インタプリタ110が、Java(登録商標)アプレット410を翻訳する際に、ライブラリ呼出コードに従ってライブラリ格納領域121からR/W装置ドライバ122を呼び出し、このR/W装置ドライバ122に従ってI/Oポート14を介してR/W装置20を制御することで、ICカード30のデータ操作を行う。
【0006】
【特許文献1】
特開2000−112864号公報
【0007】
【発明が解決しようとする課題】
しかしながら、上記従来技術を用いて、Webプログラムによるクライアントリソースへのアクセスを実現した場合、次のような問題点があった。
【0008】
第1の問題点は、このWebプログラムを第三者が自身の作成するHTML文書内で参照し埋め込むことにより、そのWebプログラムの作成者が意図していないHTML文書上においてもそのWebプログラムを動作させることでき、結果として、クライアントリソースへの不正なアクセスが可能になる、ということである。一般にWebプログラムは、WWWサーバの記憶領域上に格納されており、任意のHTML文書から参照することができる。従って、第三者が、自身の作成するHTML文書内で、このWebプログラムを参照するとともに、このWebプログラムを自身の作成する別のWebプログラムを用いて操作することにより、クライアントリソースに不正にアクセスすることが可能となり、クライアント計算機上の秘密情報の不正取得を許してしまう危険性がある。上記従来技術では、WWWブラウザ、及び、Webプログラムの実行環境に、Webプログラムを参照し埋め込んでいるHTML文書を認証する手段がなく、任意のHTML文書上でのWebプログラムの動作を許しているからである。
【0009】
この第1の問題点について、図6を参照して詳細に説明する。図6において、WWWサーバ2a上のWebプログラム22aは、正規HTML文書21a内で参照されることにより、クライアントリソース14aに正当にアクセスすることを意図したものであるとする。しかし、第三者WWWサーバ3a上の不正HTML文書31a内でWebプログラム22aを参照することも可能であり、この不正HTML文書31aがクライアントPC1aにダウンロードされると、WWWブラウザ11aは、Webプログラム22aの不正HTML文書31a上での動作を許し、結果として、クライアントリソース14aへの不正なアクセスを許してしまう。例えば、Webプログラム22aが、入力された文書に対し、クライアントリソース14aを利用して電子書名を施し、電子署名の施された文書を出力する機能を提供するものだとすると、第三者が不正HTML文書31aでWebプログラム22aを参照し埋め込むことにより、他人の電子署名を偽造することも可能になるのである。
【0010】
第2の問題点は、WWWサーバにWebプログラムとともに保存されているHTML文書を改竄し、そのWebプログラムを不正操作する別のWebプログラムを埋め込むことにより、クライアントリソースへの不正なアクセスが可能になる、ということである。一般にWebプログラムは、外部の別のプログラムから操作可能な場合が多いため、HTML文書を改竄し、クライアントリソースへのアクセスを行うWebプログラムを操作する別のWebプログラムを埋め込むことにより、Webプログラムを経由してクライアント計算機上の秘密情報を不正に取得することが可能となってしまう。上記従来技術では、WWWブラウザ、及び、Webプログラムの実行環境に、Webプログラムを参照しているHTML文書の改竄を検出する手段、及び、改竄を検出した結果、Webプログラムの動作を停止させる手段がないためである。
【0011】
この第2の問題点について、図7を参照して詳細に説明する。図7において、WWWサーバ2bでは、クライアントリソース14bに正当にアクセスすることを意図する正規HTML文書が第三者に改竄され、改竄されたHTML文書21bが、Webプログラム22bを参照している。このような改竄されたHTML文書21bがクライアントPC1bにダウンロードされると、WWWブラウザ11bは、Webプログラム22bの改竄されたHTML文書21b上での動作を許し、結果として、クライアントリソース14aへの不正なアクセスを許してしまう。
【0012】
本発明は、以上のような従来技術の問題点に鑑みてなされたものであって、その目的は、Webプログラムを経由したクライアント計算機上の秘密情報の流出を防止することができる方法、プログラム、装置、及び、当該プログラムの提供装置を提供することにある。
【0013】
本発明の他の目的は、Webプログラムの作成者が意図していないHTMLページ上でのWebプログラムの不正利用を防止することができる方法、プログラム、装置、及び、当該プログラムの提供装置を提供することにある。
【0014】
本発明のさらに他の目的は、改竄されたHTMLページ上でのWebプログラムの不正利用を防止することができる方法、プログラム、装置、及び、当該プログラムの提供装置を提供することにある。
【0015】
【課題を解決するための手段】
本発明の第1の外部プログラムの動作制御方法は、文書データに対する署名データから当該文書データの作成者を特定するための認証情報を取得する第1のステップと、前記第1のステップで取得した認証情報に基づき、前記文書データが当該文書データで参照する外部プログラムを実行することが許可されているかどうかを判定する第2のステップと、前記第2のステップで前記文書データが前記外部プログラムを実行することが許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する第3のステップとを含んでいる。
【0016】
本発明の第2の外部プログラムの動作制御方法は、文書データに対する署名データを検証する第4のステップと、前記第4のステップでの検証の結果に基づき、前記文書データが改竄されているかどうかを判定する第5のステップと、前記第5のステップで前記文書データが改竄されていると判定された場合に、前記文書データで参照する外部プログラムが動作しないよう制御する第6のステップとを含んでいる。
【0017】
本発明の第3の外部プログラムの動作制御方法は、文書データに対する署名データを検証するとともに、当該署名データから当該文書データの作成者を特定するための認証情報を取得する第7のステップと、前記第7のステップでの検証の結果に基づき、前記文書データが改竄されているかどうかを判定する第8のステップと、前記第8のステップで前記文書データが改竄されていないと判定された場合に、前記第7のステップで取得した認証情報に基づき、前記文書データが当該文書データで参照する外部プログラムを実行することが許可されているかどうかを判定する第9のステップと、前記第9のステップで前記文書データが前記外部プログラムを実行することが許可されていると判定された場合に、当該外部プログラムが動作するよう制御する第10のステップと、前記第8のステップで前記文書データが改竄されていると判定された場合、又は、前記第9のステップで前記文書データが前記外部プログラムを実行することが許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する第11のステップとを含んでいる。
【0018】
本発明の第1の外部プログラムの動作制御プログラムは、文書データに対する署名データから当該文書データの作成者を特定するための認証情報を取得する第1の処理と、前記第1の処理で取得した認証情報に基づき、前記文書データが当該文書データで参照する外部プログラムを実行することが許可されているかどうかを判定する第2の処理と、前記第2の処理で前記文書データが前記外部プログラムを実行することが許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する第3の処理とをコンピュータに実行させるためのものである。
【0019】
本発明の第2の外部プログラムの動作制御プログラムは、文書データに対する署名データを検証する第4の処理と、前記第4の処理での検証の結果に基づき、前記文書データが改竄されているかどうかを判定する第5の処理と、前記第5の処理で前記文書データが改竄されていると判定された場合に、前記文書データで参照する外部プログラムが動作しないよう制御する第6の処理とをコンピュータに実行させるためのものである。
【0020】
本発明の第3の外部プログラムの動作制御プログラムは、文書データに対する署名データを検証するとともに、当該署名データから当該文書データの作成者を特定するための認証情報を取得する第7の処理と、前記第7の処理での検証の結果に基づき、前記文書データが改竄されているかどうかを判定する第8の処理と、前記第8の処理で前記文書データが改竄されていないと判定された場合に、前記第7の処理で取得した認証情報に基づき、前記文書データが当該文書データで参照する外部プログラムを実行することが許可されているかどうかを判定する第9の処理と、前記第9の処理で前記文書データが前記外部プログラムを実行することが許可されていると判定された場合に、当該外部プログラムが動作するよう制御する第10の処理と、前記第8の処理で前記文書データが改竄されていると判定された場合、又は、前記第9の処理で前記文書データが前記外部プログラムを実行することが許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する第11の処理とをコンピュータに実行させるためのものである。
【0021】
本発明の第1の外部プログラムの動作制御装置は、文書データと当該文書データで参照する外部プログラムとをサーバコンピュータから取得するデータ取得手段と、前記データ取得手段により取得した文書データに対する署名データから当該文書データの作成者を特定するための認証情報を取得する署名検証手段と、前記署名検証手段により取得した認証情報に基づき、前記文書データが前記データ取得手段により取得した外部プログラムを実行することが許可されているかどうかを判定し、許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する外部プログラム実行制御手段とを備えている。
【0022】
本発明の第2の外部プログラムの動作制御装置は、文書データと当該文書データで参照する外部プログラムとをサーバコンピュータから取得するデータ取得手段と、前記データ取得手段により取得した文書データに対する署名データを検証する署名検証手段と、前記署名検証手段による検証の結果に基づき、前記文書データが改竄されているかどうかを判定し、改竄されていると判定された場合に、前記データ取得手段により取得した外部プログラムが動作しないよう制御する外部プログラム実行制御手段とを備えている。
【0023】
本発明の第3の外部プログラムの動作制御装置は、文書データと当該文書データで参照する外部プログラムとをサーバコンピュータから取得するデータ取得手段と、前記データ取得手段により取得した文書データに対する署名データを検証するとともに、当該署名データから当該文書データの作成者を特定するための認証情報を取得する署名検証手段と、前記署名検証手段による検証の結果に基づき、前記文書データが改竄されているかどうかを判定し、改竄されていないと判定された場合に、前記署名検証手段により取得した認証情報に基づき、前記データ取得手段により取得した外部プログラムを実行することが許可されているかどうかを判定し、許可されていると判定された場合に、当該外部プログラムが動作するよう制御し、一方、前記文書データが改竄されていると判定された場合、又は、前記文書データが前記外部プログラムを実行することが許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する外部プログラム実行制御手段とを備えている。
【0024】
本発明の第1の外部プログラムの動作制御プログラムの提供装置は、文書データを記憶する第1の記憶手段と、前記文書データで参照する外部プログラムを記憶する第2の記憶手段と、前記文書データに対する署名データから当該文書データの作成者を特定するための認証情報を取得する機能を実現する署名検証プログラムを記憶する第3の記憶手段と、前記署名検証プログラムが実現する機能により取得される認証情報に基づき、前記文書データが前記外部プログラムを実行することが許可されているかどうかを判定し、許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する機能を実現する外部プログラム実行制御プログラムを記憶する第4の記憶手段とを備え、クライアントコンピュータからの前記文書データの取得要求に応じて、前記文書データに加え、前記外部プログラム、前記署名検証プログラム、及び、前記外部プログラム実行制御プログラムを当該クライアントコンピュータに提供することを特徴とする。
【0025】
本発明の第2の外部プログラムの動作制御プログラムの提供装置は、文書データを記憶する第5の記憶手段と、前記文書データで参照する外部プログラムを記憶する第6の記憶手段と、前記文書データに対する署名データを検証する機能を実現する署名検証プログラムを記憶する第7の記憶手段と、前記署名検証プログラムが実現する機能による検証の結果に基づき、前記文書データが改竄されているかどうかを判定し、改竄されていると判定された場合に、前記外部プログラムが動作しないよう制御する機能を実現する外部プログラム実行制御プログラムを記憶する第8の記憶手段とを備え、クライアントコンピュータからの前記文書データの取得要求に応じて、前記文書データに加え、前記外部プログラム、前記署名検証プログラム、及び、前記外部プログラム実行制御プログラムを当該クライアントコンピュータに提供することを特徴とする。
【0026】
本発明の第3の外部プログラムの動作制御プログラムの提供装置は、文書データを記憶する第9の記憶手段と、前記文書データで参照する外部プログラムを記憶する第10の記憶手段と、前記文書データに対する署名データを検証するとともに、当該署名データから当該文書データの作成者を特定するための認証情報を取得する機能を実現する署名検証プログラムを記憶する第11の記憶手段と、前記署名検証プログラムが実現する機能による検証の結果に基づき、前記文書データが改竄されているかどうかを判定し、改竄されていないと判定された場合に、前記署名検証プログラムが実現する機能により取得される認証情報に基づき、前記文書データが前記外部プログラムを実行することが許可されているかどうかを判定し、許可されていると判定された場合に、当該外部プログラムが動作するよう制御し、一方、前記文書データが改竄されていると判定された場合、又は、前記文書データが前記外部プログラムを実行することが許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する機能を実現する外部プログラム実行制御プログラムを記憶する第12の記憶手段とを備え、クライアントコンピュータからの前記文書データの取得要求に応じて、前記文書データに加え、前記外部プログラム、前記署名検証プログラム、及び、前記外部プログラム実行制御プログラムを当該クライアントコンピュータに提供することを特徴とする。
【0027】
【発明の実施の形態】
次に、本発明の第1の実施の形態について図面を参照して詳細に説明する。
【0028】
図1を参照すると、本発明の第1の実施の形態は、クライアント計算機1と、WWWサーバ2とから構成されている。
【0029】
クライアント計算機1は、WWWブラウザ11と、HTML署名検証手段12と、Webプログラム実行制御手段13とを含む。Webプログラム実行制御手段13は、アクセス制御リスト131を保持する。
【0030】
これらの手段はそれぞれ概略次のように動作する。
【0031】
WWWブラウザ11は、WWWサーバ2からHTML文書21をダウンロードするとともに、HTML文書21中の記述に従い、Webプログラム22をダウンロードする。すなわち、WWWサーバ2から所望のデータを取得する手段として機能する。
【0032】
HTML署名検証手段12は、クライアント計算機1のCPUが補助記憶装置に記憶されたHTML署名検証プログラムを主記憶装置に読み込むことにより実現されるものである。まず、WWWブラウザ11によりダウンロードされたHTML文書21に含まれるHTML署名211を検証し、HTML文書21が改竄されていないことを確認する。さらに、HTML署名211に含まれるHTML文書21の作成者の公開鍵証明書を検証することにより、HTML文書21の作成者を認証する。最後に、HTML文書21の検証結果をWebプログラム実行制御手段13に通知する。
【0033】
Webプログラム実行制御手段13は、クライアント計算機1のCPUが補助記憶装置に記憶されたWebプログラム実行制御プログラムを主記憶装置に読み込むことにより実現されるものである。HTML署名検証手段12から検証成功の結果を受け取った場合、アクセス制御リスト131を参照し、Webプログラム22がHTML文書21上で動作を許可されているかを確認する。許可されていれば、Webプログラム22に対して動作を許可する通知を行い、そうでなければ、Webプログラム22に対して動作を停止させる通知を行う。
【0034】
WWWサーバ2は、HTML文書21と、Webプログラム22とを含み、クライアント計算機の要求により、それらを送出する。HTML文書21は、HTML署名211を保持する。なお、図1は、HTML署名211がHTML文書21上に記述されるようなされるような図になっているが、HTML文書21上にはHTML署名211のURLを記述しておき、HTML署名211は、そのURLで示される記憶領域に記憶するようにしてもよい。
【0035】
次に、図2のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。
【0036】
クライアント計算機1の利用者の操作に応じて、WWWブラウザ11は、HTML文書をダウンロードする(ステップA1)。この際、WWWブラウザ11は、HTML文書21の記述に従い、Webプログラム22、HTML署名211もダウンロードする。ここで、HTML署名211としては、例えば、特願2002−146410号に記載した方法により作成したものを用いる。すなわち、HTML署名211には、HTML文書21のURL情報と、HTML文書21のダイジェスト値と、Webプログラム22のURL情報と、Webプログラム22のダイジェスト値と、HTML文書21の作成者の公開鍵証明書と、それら全てを含むデータのダイジェスト値をHTML文書21の作成者の秘密鍵で暗号化して得られた電子署名値とが記述される。
【0037】
次に、HTML署名検証手段12は、HTML文書21が改竄されていないかを確認するために、HTML署名211を検証する(ステップA2)。この検証は、HTML署名211として上記のものを用いた場合、以下のように行われる。すなわち、まず、ダウンロードしたHTML文書21のダイジェスト値を計算し、それがHTML署名211中に記述されているHTML文書21のダイジェスト値と同一であることを確認する。次に、ダウンロードしたWebプログラム22のダイジェスト値を計算し、それがHTML署名211中に記述されているWebプログラム22のダイジェスト値と同一であることを確認する。最後に、HTML署名211中に含まれる、HTML文書21のURL情報、HTML文書21のダイジェスト値、Webプログラム22のURL情報、Webプログラム22のダイジェスト値、公開鍵証明書の全てを含むデータのダイジェスト値を計算し、HTML署名211中に含まれる電子署名値を公開鍵証明書に対する公開鍵で復号化して得られた値と等しいかどうかを確認する。
【0038】
また、HTML署名検証手段12は、HTML文書21の作成者を認証するため、公開鍵証明書に対する認証情報を取得する。この認証情報の取得は、HTML署名211として上記のものを用いた場合、HTML署名211中に含まれる公開鍵証明書に基づき、HTML文書21の作成者を特定するための何らかの情報(メールアドレスその他の情報)を取得することにより行う。
【0039】
最後に、HTML署名検証手段12は、検証結果をWebプログラム実行制御手段13へ通知する。すなわち、HTML文書21のダイジェスト値が一致し、かつ、Webプログラム22のダイジェスト値が一致し、かつ、HTML文書21のURL情報、HTML文書21のダイジェスト値、Webプログラム22のURL情報、Webプログラム22のダイジェスト値、公開鍵証明書の全てを含むデータのダイジェスト値が一致した場合、検証成功を通知し、いずれか一つでも一致しなかった場合、検証失敗を通知する。また、認証情報も通知する。
【0040】
Webプログラム実行制御手段13は、HTML署名211の検証が成功したか、検証結果を判断する(ステップA3)。HTML署名の検証が成功した場合、Webプログラム実行制御手段13は、検証結果からHTML文書21の認証情報を取得し、アクセス制御リスト131の一覧にその認証情報が含まれるかを確認する(ステップA4、A5)。
【0041】
アクセス制御リスト131の一覧に認証情報が含まれている場合、Webプログラム実行制御手段13は、アクセス制御リスト131内に、Webプログラム22がHTML文書21上で動作することが許可されていることを示す情報があるかどうかを確認する(ステップA6、A7)。動作許可の確認は、HTML文書21の認証情報と、Webプログラム22のURLと、動作許可を示す情報との組み合わせが、アクセス制御リスト131に格納されていることを確認することにより行う。
【0042】
Webプログラム22がHTML文書21上で動作することが許可されていることを確認すると、Webプログラム実行制御手段13は、Webプログラム22に対して動作許可を通知する。通知された動作許可の情報は、Webプログラム22に設定され、これにより、Webプログラム22は機能するようになる。
【0043】
一方、ステップA3でHTML署名211の検証に失敗した場合、ステップA5でアクセス制御リスト131からのHTML文書21の認証情報の取得に失敗した場合や、ステップA7でWebプログラム22のHTML文書21上での動作許可を確認できなかった場合は、Webプログラム実行制御手段13は、Webプログラム22に対して動作不許可を通知する(ステップA9)。通知された動作不許可の情報は、Webプログラム22に設定され、これにより、Webプログラム22は機能しないようになる。なお、Webプログラム22を動作許可が通知されない限り機能しないように設定しておき、Webプログラム22の動作が許可されていることが確認された場合に動作許可を通知し、Webプログラム22の動作が許可されていないことが確認された場合には何も通知しないようにしてもよい。
【0044】
次に、本実施の形態について、具体例を用いて説明する。
【0045】
図3に示すように、WWWサーバ3にあるHTML文書31が、WWWサーバ2上のWebプログラム22を参照し、Webプログラム22の不正使用を試みる場合を考える。
【0046】
HTML文書31は、Webブラウザ11により、Webプログラム22と、HTML署名311とともにクライアント計算機1にダウンロードされる。HTML署名検証手段12は、HTML署名311の署名検証を試みる。HTML文書31が、HTML署名311を持っていない場合、あるいは、HTML署名311を持っていながら、HTML署名の検証に失敗した場合、HTML署名検証手段12は、Webプログラム実行制御手段13に検証結果として署名検証失敗を通知する。Webプログラム実行制御手段13は、この署名検証失敗の通知を受け、Webプログラム22に動作不許可を通知する。一方、HTML署名検証手段12により、HTML署名311の検証に成功した場合、HTML署名検証手段12は、検証結果として、署名検証に成功した旨と、HTML文書31の認証情報とを、Webプログラム実行制御手段13に通知する。
【0047】
Webプログラム実行制御手段13は、上記の検証結果を受け取り、自らが保持するアクセス制御リスト131に対して、HTML文書31の認証情報の記述があるか検索を行う。HTML文書31の認証情報が、アクセス制御リスト131に含まれない場合、Webプログラム実行制御手段13は、Webプログラム22のHTML文書31上での実行が許可されていないと判断し、Webプログラム22に対して動作不許可の通知を行う。
【0048】
以上のように、本発明の第1の実施の形態では、HTML署名検証手段を用いてHTMLページの作成者の認証を行い、その認証情報を用いて、Webプログラム実行制御手段によりWebプログラムの動作を制御するようにしたことにより、Webプログラムの作成者が意図していないHTMLページ上でのWebプログラムの不正利用を防止することができ、結果として、Webプログラムを経由したクライアント計算機上の秘密情報の流出を防止できる、という効果が得られる。
【0049】
また、本発明の第1の実施の形態では、HTML署名検証手段を用いてHTMLページの改竄検出を行い、その結果を用いて、Webプログラム実行制御手段によりWebプログラムの動作を制御するようにしたことにより、改竄されたHTMLページ上でのWebプログラムの不正利用を防止することができ、結果として、Webプログラムを経由したクライアント計算機上の秘密情報の流出を防止できる、という効果も得られる。
【0050】
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。
【0051】
図4を参照すると、本発明の第2の実施の形態は、クライアント計算機1と、WWWサーバ2とから構成されている。
【0052】
クライアント計算機1は、WWWブラウザ11を含む。
【0053】
WWWサーバ2は、HTML文書21と、Webプログラム22と、HTML検証手段23と、Webプログラム実行制御手段24とを含む。Webプログラム実行制御手段13は、アクセス制御リスト241を保持しており、クライアント計算機1の要求により、それらを送出する。HTML文書21は、HTML署名211を保持する。なお、図4は、HTML署名211がHTML文書21上に記述されるようなされるような図になっているが、HTML文書21上にはHTML署名211のURLを記述しておき、HTML署名211は、そのURLで示される記憶領域に記憶するようにしてもよい。
【0054】
これらの手段はそれぞれ概略次のように動作する。
【0055】
WWWブラウザ11は、WWWサーバ2からHTML文書21をダウンロードするとともに、HTML文書21中の記述に従い、Webプログラム22と、HTML署名検証手段23と、Webプログラム実行制御手段24とをダウンロードする。すなわち、WWWサーバ2から所望のデータを取得する手段として機能する。
【0056】
HTML署名検証手段23は、上記第1の実施の形態におけるHTML署名検証プログラムに相当し、WWWサーバ2の補助記憶装置に記憶されているものである。まず、WWWブラウザ11によりダウンロードされたHTML文書21に含まれるHTML署名211を検証し、HTML文書21が改竄されていないことを確認する。さらに、HTML署名211に含まれるHTML文書21の作成者の公開鍵証明書を検証することにより、HTML文書21の作成者を認証する。最後に、HTML文書21の検証結果をWebプログラム実行制御手段24に通知する。
【0057】
Webプログラム実行制御手段24は、上記第1の実施の形態におけるWebプログラム実行制御プログラムに相当し、WWWサーバ2の補助記憶装置に記憶されているものである。HTML署名検証手段23から検証成功の結果を受け取った場合、アクセス制御リスト241を参照し、Webプログラム22が、HTML文書21上で動作を許可されているかを確認する。許可されていれば、Webプログラム22に対して動作を許可する通知を行い、そうでなければ、Webプログラム22に対して動作を停止させる通知を行う。
【0058】
以上のように、本発明の第2の実施の形態では、HTML署名検証手段23と、Webプログラム実行制御手段24を、Webプログラム22とともに、WWWサーバ2側に保持し、実行時にWWWブラウザ11上にダウンロードすることとし、上記第1の実施の形態と同様の効果が得られる。
【0059】
なお、上記第1及び第2の実施の形態においては、HTML文書21で参照されるWebプログラム22の動作の制御に限定して説明してきたが、HTML文書に限らず、ある文書データで参照される外部プログラムがある場合に、その外部プログラムの動作の制御について、本発明は適用可能である。
【0060】
【発明の効果】
本発明には、Webプログラムを経由したクライアント計算機上の秘密情報の流出を防止することができるという効果がある。
【0061】
また、本発明には、Webプログラムの作成者が意図していないHTMLページ上でのWebプログラムの不正利用を防止することができるという効果もある。
【0062】
さらに、本発明には、改竄されたHTMLページ上でのWebプログラムの不正利用を防止することができるという効果もある。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態の構成を示すブロック図である。
【図2】本発明の第1の実施の形態の動作を示す流れ図である。
【図3】本発明の第1の実施の形態の具体例を示すブロック図である。
【図4】本発明の第2の実施の形態の構成を示すブロック図である。
【図5】従来技術の構成を示すブロック図である。
【図6】従来技術の第1の問題点を示すブロック図である。
【図7】従来技術の第2の問題点を示すブロック図である。
【符号の説明】
1 クライアント計算機
11 WWWブラウザ
12 HTML署名検出手段
13 Webプログラム実行制御手段
131 アクセス制御リスト
2 WWWサーバ
21 HTML文書
211 HTML署名
22 Webプログラム
23 HTML署名検出手段
24 Webプログラム実行制御手段
241 アクセス制御リスト
3 WWWサーバ
31 HTML文書
311 HTML署名
22 Webプログラム[0001]
TECHNICAL FIELD OF THE INVENTION
According to the present invention, a program (hereinafter, referred to as a “Web program”) that is downloaded from a WWW server at the same time as an HTML document and runs on a WWW browser, such as a Java (registered trademark) applet, is a client that runs a WWW browser. Information stored in a storage device or a peripheral device connected to a computer, and a method of preventing unauthorized access to a function of a client computer or a peripheral device thereof (hereinafter, referred to as “client resource”); The present invention relates to a program, an apparatus, and an apparatus for providing the program.
[0002]
[Prior art]
Conventionally, the use of client resources in a Web program has been restricted. On the other hand, in recent years, a method for realizing access to client resources by the Web program has been developed (for example, see Patent Document 1).
[0003]
As shown in FIG. 5, a method and an apparatus for controlling a peripheral device using a Java (registered trademark) applet and a storage medium include a
[0004]
A conventional method and apparatus for controlling peripheral devices using a Java (registered trademark) applet having such a configuration, and a storage medium generally operate as follows.
[0005]
That is, when the Java (registered trademark) interpreter 110 translates the Java (registered trademark) applet 410, it calls the R /
[0006]
[Patent Document 1]
JP-A-2000-112864
[0007]
[Problems to be solved by the invention]
However, when accessing a client resource by a Web program using the above-described conventional technology, there are the following problems.
[0008]
The first problem is that a third party refers to and embeds this Web program in an HTML document created by the third party, so that the Web program can operate on an HTML document that is not intended by the creator of the Web program. And, as a result, unauthorized access to client resources is possible. Generally, a Web program is stored in a storage area of a WWW server and can be referred to from any HTML document. Therefore, a third party refers to this Web program in an HTML document created by the third party, and operates the Web program using another Web program created by the third party, thereby illegally accessing the client resource. And there is a risk that illegal acquisition of secret information on the client computer is permitted. In the above-described conventional technology, the WWW browser and the execution environment of the Web program have no means for authenticating the embedded HTML document with reference to the Web program, and allow the operation of the Web program on an arbitrary HTML document. It is.
[0009]
This first problem will be described in detail with reference to FIG. In FIG. 6, it is assumed that the Web program 22a on the WWW server 2a is intended to legitimately access the client resource 14a by being referred to in the regular HTML document 21a. However, it is also possible to refer to the Web program 22a in the malicious HTML document 31a on the third-party WWW server 3a, and when the malicious HTML document 31a is downloaded to the client PC 1a, the WWW browser 11a starts the Web program 22a. The operation on the unauthorized HTML document 31a is permitted, and as a result, the unauthorized access to the client resource 14a is permitted. For example, if the Web program 22a provides a function of giving an electronic signature to an input document by using the client resource 14a and outputting a digitally signed document, a third party may use an unauthorized HTML document. By referring to and embedding the Web program 22a at 31a, it is possible to forge an electronic signature of another person.
[0010]
The second problem is that, by falsifying an HTML document stored together with a Web program in a WWW server and embedding another Web program that illegally operates the Web program, unauthorized access to client resources becomes possible. ,That's what it means. In general, a Web program can be operated from another external program in many cases. Therefore, the HTML document is falsified, and another Web program that operates a Web program that accesses a client resource is embedded. As a result, it becomes possible to illegally obtain secret information on the client computer. In the above-mentioned conventional technology, a WWW browser and a means for detecting falsification of an HTML document referencing the Web program and a means for stopping the operation of the Web program as a result of the detection of the falsification are provided in the execution environment of the Web program. Because there is no.
[0011]
This second problem will be described in detail with reference to FIG. In FIG. 7, in the WWW server 2b, a regular HTML document intended to legitimately access the client resource 14b is falsified by a third party, and the falsified HTML document 21b refers to the Web program 22b. When such a falsified HTML document 21b is downloaded to the client PC 1b, the WWW browser 11b allows the Web program 22b to operate on the falsified HTML document 21b, and as a result, an unauthorized access to the client resource 14a is made. Allow access.
[0012]
The present invention has been made in view of the above-described problems of the related art, and has as its object to provide a method, a program, and a program that can prevent leakage of secret information on a client computer via a Web program. It is an object to provide a device and a device for providing the program.
[0013]
Another object of the present invention is to provide a method, a program, an apparatus, and an apparatus for providing the program, which can prevent unauthorized use of the Web program on an HTML page not intended by the creator of the Web program. It is in.
[0014]
Still another object of the present invention is to provide a method, a program, an apparatus, and an apparatus for providing the program, which can prevent unauthorized use of a Web program on a falsified HTML page.
[0015]
[Means for Solving the Problems]
According to a first operation control method of an external program of the present invention, a first step of obtaining authentication information for specifying a creator of document data from signature data of the document data, and a step of obtaining authentication information in the first step A second step of determining whether or not the document data is permitted to execute an external program referred to by the document data based on the authentication information; and A third step of controlling the external program not to operate when it is not determined that the external program is permitted to be executed.
[0016]
According to a second operation control method of an external program of the present invention, a fourth step of verifying signature data for document data, and whether or not the document data has been falsified based on a result of the verification in the fourth step A fifth step of determining whether the document data has been falsified in the fifth step, and a sixth step of controlling so that an external program referred to by the document data does not operate when it is determined that the document data has been tampered with. Contains.
[0017]
A third method of controlling operation of an external program according to the present invention includes a seventh step of verifying signature data for document data and acquiring authentication information for identifying a creator of the document data from the signature data; An eighth step of determining whether the document data has been tampered based on the result of the verification in the seventh step, and a case in which the document data is determined not to have been tampered in the eighth step A ninth step of determining whether the document data is permitted to execute an external program referred to by the document data based on the authentication information obtained in the seventh step; If it is determined in step that the document data is permitted to execute the external program, the external program operates. If it is determined in the tenth step of controlling and the eighth step that the document data has been tampered with, or in the ninth step, the document data is permitted to execute the external program. And determining that the external program does not operate when it is not determined that the external program has been executed.
[0018]
The operation control program of the first external program of the present invention obtains authentication information for identifying a creator of the document data from signature data for the document data, and obtains the authentication information in the first processing. A second process for determining whether or not the document data is permitted to execute an external program referenced by the document data based on the authentication information; and If the execution of the external program is not determined to be permitted, the third process of controlling the external program to be inactive is performed by the computer.
[0019]
An operation control program of a second external program according to the present invention includes a fourth process for verifying the signature data for the document data, and whether or not the document data has been falsified based on a result of the verification in the fourth process. And a sixth process for controlling, when the fifth process determines that the document data has been tampered with, an external program referenced by the document data so as not to operate. It is intended to be executed by a computer.
[0020]
An operation control program of a third external program of the present invention verifies signature data for the document data, and obtains authentication information for identifying a creator of the document data from the signature data; Eighth processing for determining whether the document data has been falsified based on the result of the verification in the seventh processing, and when it is determined in the eighth processing that the document data has not been falsified A ninth process for determining whether or not the document data is permitted to execute an external program referred to by the document data based on the authentication information acquired in the seventh process; A tenth process for controlling the operation of the external program when it is determined in the process that the document data is permitted to execute the external program; If it is determined in the eighth process that the document data has been tampered with, or it is not determined in the ninth process that the document data is permitted to execute the external program In this case, the computer is configured to execute an eleventh process for controlling the external program not to operate.
[0021]
A first external program operation control device according to the present invention includes: a data acquisition unit that acquires document data and an external program referenced by the document data from a server computer; and a signature data for the document data acquired by the data acquisition unit. A signature verification unit for obtaining authentication information for identifying a creator of the document data; and executing the external program in which the document data is obtained by the data obtaining unit based on the authentication information obtained by the signature verification unit. External program execution control means for judging whether or not the external program is permitted, and controlling the external program not to operate when it is not determined that the external program is permitted.
[0022]
An operation control device for a second external program according to the present invention includes a data acquisition unit that acquires document data and an external program referenced by the document data from a server computer, and a signature data for the document data acquired by the data acquisition unit. A signature verification unit for verifying the document data, determining whether the document data has been tampered with based on a result of the verification by the signature verification unit; External program execution control means for controlling the operation of the program.
[0023]
An operation control device for a third external program according to the present invention includes a data acquisition unit that acquires document data and an external program referred to by the document data from a server computer, and a signature data for the document data acquired by the data acquisition unit. A signature verification unit that verifies and obtains authentication information for identifying a creator of the document data from the signature data; and, based on a result of the verification by the signature verification unit, determines whether the document data has been tampered with. If it is determined that the external program has not been tampered with, it is determined whether the execution of the external program acquired by the data acquisition unit is permitted based on the authentication information acquired by the signature verification unit. If it is determined that the external program is operated, the external program is controlled to operate. If the document data is determined to be falsified, or if it is not determined that the document data is permitted to execute the external program, an external device that controls the external program to operate does not operate. Program execution control means.
[0024]
An apparatus for providing an operation control program for a first external program according to the present invention includes: a first storage unit for storing document data; a second storage unit for storing an external program to be referred to by the document data; Storage means for storing a signature verification program for realizing a function of acquiring authentication information for identifying the creator of the document data from signature data for the third party, and authentication obtained by a function realized by the signature verification program Based on the information, it is determined whether or not the document data is permitted to execute the external program, and if it is not determined that the document data is permitted to be executed, a function of controlling the external program to operate is realized. A fourth storage unit for storing an external program execution control program, wherein In response to an acquisition request for writing data, in addition to the document data, the external program, the signature verification program, and, and providing the external program execution control program to the client computer.
[0025]
An apparatus for providing an operation control program for a second external program according to the present invention includes a fifth storage unit for storing document data, a sixth storage unit for storing an external program referenced by the document data, And a seventh storage unit for storing a signature verification program for realizing a function of verifying the signature data with respect to the document data. And an eighth storage means for storing an external program execution control program for realizing a function of controlling the external program so as not to operate when it is determined that the document data has been tampered with. In response to the acquisition request, in addition to the document data, the external program, the signature verification program, , And providing said external program execution control program to the client computer.
[0026]
According to a third aspect of the present invention, there is provided an apparatus for providing an operation control program of an external program, comprising: ninth storage means for storing document data; tenth storage means for storing an external program referred to by the document data; An eleventh storage unit for storing a signature verification program for realizing a function of verifying the signature data of the document data and obtaining authentication information for identifying the creator of the document data from the signature data, Based on the result of the verification by the function to be realized, it is determined whether or not the document data has been tampered with. If it is determined that the document data has not been tampered with, based on the authentication information obtained by the function to be realized by the signature verification program, Determining whether the document data is permitted to execute the external program; When it is determined that the external program is operated, on the other hand, when it is determined that the document data is falsified, or when the document data is allowed to execute the external program, Twelfth storage means for storing an external program execution control program for realizing a function of controlling the operation of the external program when it is not determined that the external program is not operated. Accordingly, in addition to the document data, the external program, the signature verification program, and the external program execution control program are provided to the client computer.
[0027]
BEST MODE FOR CARRYING OUT THE INVENTION
Next, a first embodiment of the present invention will be described in detail with reference to the drawings.
[0028]
Referring to FIG. 1, the first embodiment of the present invention includes a
[0029]
The
[0030]
Each of these means operates roughly as follows.
[0031]
The
[0032]
The HTML signature verification means 12 is realized by the CPU of the
[0033]
The Web program execution control means 13 is realized by the CPU of the
[0034]
The
[0035]
Next, the overall operation of the present embodiment will be described in detail with reference to the flowchart of FIG.
[0036]
In response to a user operation of the
[0037]
Next, the HTML
[0038]
Further, the HTML
[0039]
Finally, the HTML
[0040]
The Web program
[0041]
If the authentication information is included in the list of the
[0042]
When confirming that the
[0043]
On the other hand, if the verification of the
[0044]
Next, the present embodiment will be described using a specific example.
[0045]
As shown in FIG. 3, a case is considered where an
[0046]
The
[0047]
The Web program execution control means 13 receives the above verification result, and searches the
[0048]
As described above, in the first embodiment of the present invention, the creator of the HTML page is authenticated by using the HTML signature verification unit, and the Web program execution control unit is used to execute the operation of the Web program by using the authentication information. , It is possible to prevent unauthorized use of the Web program on an HTML page that is not intended by the creator of the Web program, and as a result, the secret information on the client computer via the Web program can be prevented. The effect that the outflow of water can be prevented is obtained.
[0049]
Further, in the first embodiment of the present invention, the falsification of the HTML page is detected by using the HTML signature verification means, and the operation of the Web program is controlled by the Web program execution control means using the result. As a result, it is possible to prevent unauthorized use of the Web program on the falsified HTML page, and as a result, it is possible to prevent leakage of secret information on the client computer via the Web program.
[0050]
Next, a second embodiment of the present invention will be described in detail with reference to the drawings.
[0051]
Referring to FIG. 4, the second embodiment of the present invention includes a
[0052]
The
[0053]
The
[0054]
Each of these means operates as follows.
[0055]
The
[0056]
The HTML signature verification means 23 corresponds to the HTML signature verification program in the first embodiment, and is stored in the auxiliary storage device of the
[0057]
The Web program execution control means 24 corresponds to the Web program execution control program in the first embodiment, and is stored in the auxiliary storage device of the
[0058]
As described above, in the second embodiment of the present invention, the HTML
[0059]
In the first and second embodiments, the description has been given of the case where the control of the operation of the
[0060]
【The invention's effect】
The present invention has an effect that leakage of secret information on a client computer via a Web program can be prevented.
[0061]
Further, the present invention has an effect that illegal use of a Web program on an HTML page not intended by the creator of the Web program can be prevented.
[0062]
Further, the present invention has an effect that illegal use of a Web program on a falsified HTML page can be prevented.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a first exemplary embodiment of the present invention.
FIG. 2 is a flowchart showing an operation of the first exemplary embodiment of the present invention.
FIG. 3 is a block diagram illustrating a specific example of the first exemplary embodiment of the present invention.
FIG. 4 is a block diagram showing a configuration of a second exemplary embodiment of the present invention.
FIG. 5 is a block diagram showing a configuration of a conventional technique.
FIG. 6 is a block diagram showing a first problem of the related art.
FIG. 7 is a block diagram showing a second problem of the related art.
[Explanation of symbols]
1 Client computer
11 WWW Browser
12. HTML signature detecting means
13 Web program execution control means
131 access control list
2 WWW server
21 HTML documents
211 HTML signature
22 Web program
23 HTML signature detecting means
24 Web program execution control means
241 access control list
3 WWW server
31 HTML document
311 HTML signature
22 Web program
Claims (12)
前記第1のステップで取得した認証情報に基づき、前記文書データが当該文書データで参照する外部プログラムを実行することが許可されているかどうかを判定する第2のステップと、
前記第2のステップで前記文書データが前記外部プログラムを実行することが許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する第3のステップとを含むことを特徴とする外部プログラムの動作制御方法。A first step of acquiring authentication information for identifying a creator of the document data from signature data for the document data;
A second step of determining, based on the authentication information obtained in the first step, whether or not the document data is permitted to execute an external program referenced by the document data;
A third step of controlling the external program not to operate if it is not determined in the second step that the document data is permitted to execute the external program. To control the operation of external programs.
前記第4のステップでの検証の結果に基づき、前記文書データが改竄されているかどうかを判定する第5のステップと、
前記第5のステップで前記文書データが改竄されていると判定された場合に、前記文書データで参照する外部プログラムが動作しないよう制御する第6のステップとを含むことを特徴とする外部プログラムの動作制御方法。A fourth step of verifying the signature data for the document data;
A fifth step of determining whether or not the document data has been falsified based on the result of the verification in the fourth step;
And controlling the external program referenced by the document data so that the external program does not operate when it is determined in the fifth step that the document data has been tampered with. Operation control method.
前記第7のステップでの検証の結果に基づき、前記文書データが改竄されているかどうかを判定する第8のステップと、
前記第8のステップで前記文書データが改竄されていないと判定された場合に、前記第7のステップで取得した認証情報に基づき、前記文書データが当該文書データで参照する外部プログラムを実行することが許可されているかどうかを判定する第9のステップと、
前記第9のステップで前記文書データが前記外部プログラムを実行することが許可されていると判定された場合に、当該外部プログラムが動作するよう制御する第10のステップと、
前記第8のステップで前記文書データが改竄されていると判定された場合、又は、前記第9のステップで前記文書データが前記外部プログラムを実行することが許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する第11のステップとを含むことを特徴とする外部プログラムの動作制御方法。A seventh step of verifying the signature data for the document data and acquiring authentication information for identifying a creator of the document data from the signature data;
An eighth step of determining whether the document data has been tampered with, based on a result of the verification in the seventh step;
When it is determined in the eighth step that the document data has not been tampered with, executing an external program that the document data refers to in the document data based on the authentication information obtained in the seventh step. A ninth step of determining whether is authorized;
A tenth step of controlling the external program to operate when it is determined in the ninth step that the document data is permitted to execute the external program;
When it is determined in the eighth step that the document data is falsified, or when it is not determined in the ninth step that the document data is permitted to execute the external program. And an eleventh step of controlling the external program so as not to operate.
前記第1の処理で取得した認証情報に基づき、前記文書データが当該文書データで参照する外部プログラムを実行することが許可されているかどうかを判定する第2の処理と、
前記第2の処理で前記文書データが前記外部プログラムを実行することが許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する第3の処理とをコンピュータに実行させるためのプログラム。A first process of acquiring authentication information for identifying a creator of the document data from signature data for the document data;
A second process for determining whether or not the document data is permitted to execute an external program referenced by the document data based on the authentication information acquired in the first process;
And causing the computer to execute a third process of controlling the external program not to operate when the document data is not determined to be permitted to execute the external program in the second process. Program.
前記第4の処理での検証の結果に基づき、前記文書データが改竄されているかどうかを判定する第5の処理と、
前記第5の処理で前記文書データが改竄されていると判定された場合に、前記文書データで参照する外部プログラムが動作しないよう制御する第6の処理とをコンピュータに実行させるためのプログラム。A fourth process for verifying the signature data for the document data;
A fifth process of determining whether or not the document data has been falsified based on a result of the verification in the fourth process;
A program for causing a computer to execute, when it is determined in the fifth process that the document data has been tampered with, a sixth process of controlling an external program referred to by the document data not to operate.
前記第7の処理での検証の結果に基づき、前記文書データが改竄されているかどうかを判定する第8の処理と、
前記第8の処理で前記文書データが改竄されていないと判定された場合に、前記第7の処理で取得した認証情報に基づき、前記文書データが当該文書データで参照する外部プログラムを実行することが許可されているかどうかを判定する第9の処理と、
前記第9の処理で前記文書データが前記外部プログラムを実行することが許可されていると判定された場合に、当該外部プログラムが動作するよう制御する第10の処理と、
前記第8の処理で前記文書データが改竄されていると判定された場合、又は、前記第9の処理で前記文書データが前記外部プログラムを実行することが許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する第11の処理とをコンピュータに実行させるためのプログラム。A seventh process of verifying the signature data for the document data and acquiring authentication information for identifying a creator of the document data from the signature data;
An eighth process of determining whether or not the document data has been falsified based on a result of the verification in the seventh process;
When it is determined in the eighth process that the document data has not been tampered with, executing an external program that the document data refers to in the document data based on the authentication information acquired in the seventh process. Ninth processing for determining whether or not is permitted;
A tenth process for controlling the operation of the external program when it is determined in the ninth process that the document data is permitted to execute the external program;
When it is determined in the eighth process that the document data has been tampered with, or when it is not determined in the ninth process that the document data is permitted to execute the external program And an eleventh process for controlling the external program so as not to operate.
前記データ取得手段により取得した文書データに対する署名データから当該文書データの作成者を特定するための認証情報を取得する署名検証手段と、
前記署名検証手段により取得した認証情報に基づき、前記文書データが前記データ取得手段により取得した外部プログラムを実行することが許可されているかどうかを判定し、許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する外部プログラム実行制御手段とを備えたことを特徴とする外部プログラムの動作制御装置。Data acquisition means for acquiring document data and an external program referred to by the document data from a server computer;
Signature verification means for obtaining authentication information for identifying a creator of the document data from signature data for the document data obtained by the data obtaining means;
Based on the authentication information acquired by the signature verification unit, determine whether the document data is permitted to execute the external program acquired by the data acquisition unit.If the document data is not determined to be authorized, And an external program execution control means for controlling the external program not to operate.
前記データ取得手段により取得した文書データに対する署名データを検証する署名検証手段と、
前記署名検証手段による検証の結果に基づき、前記文書データが改竄されているかどうかを判定し、改竄されていると判定された場合に、前記データ取得手段により取得した外部プログラムが動作しないよう制御する外部プログラム実行制御手段とを備えたことを特徴とする外部プログラムの動作制御装置。Data acquisition means for acquiring document data and an external program referred to by the document data from a server computer;
Signature verification means for verifying signature data for the document data acquired by the data acquisition means;
Based on the result of the verification by the signature verifying unit, it is determined whether the document data has been tampered with. An operation control apparatus for an external program, comprising: an external program execution control unit.
前記データ取得手段により取得した文書データに対する署名データを検証するとともに、当該署名データから当該文書データの作成者を特定するための認証情報を取得する署名検証手段と、
前記署名検証手段による検証の結果に基づき、前記文書データが改竄されているかどうかを判定し、改竄されていないと判定された場合に、前記署名検証手段により取得した認証情報に基づき、前記データ取得手段により取得した外部プログラムを実行することが許可されているかどうかを判定し、許可されていると判定された場合に、当該外部プログラムが動作するよう制御し、一方、前記文書データが改竄されていると判定された場合、又は、前記文書データが前記外部プログラムを実行することが許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する外部プログラム実行制御手段とを備えたことを特徴とする外部プログラムの動作制御装置。Data acquisition means for acquiring document data and an external program referred to by the document data from a server computer;
Signature verification means for verifying signature data for the document data acquired by the data acquisition means, and acquiring authentication information for identifying a creator of the document data from the signature data;
Determining whether the document data has been tampered with based on the result of the verification by the signature verifying unit; and determining that the document data has not been tampered with. Determining whether the execution of the external program obtained by the means is permitted, and if it is determined that the execution is permitted, controls the external program to operate. External program execution control means for controlling the external program not to operate when it is determined that the external program is executed or when it is not determined that the document data is permitted to execute the external program. An operation control device for an external program.
前記文書データで参照する外部プログラムを記憶する第2の記憶手段と、
前記文書データに対する署名データから当該文書データの作成者を特定するための認証情報を取得する機能を実現する署名検証プログラムを記憶する第3の記憶手段と、
前記署名検証プログラムが実現する機能により取得される認証情報に基づき、前記文書データが前記外部プログラムを実行することが許可されているかどうかを判定し、許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する機能を実現する外部プログラム実行制御プログラムを記憶する第4の記憶手段とを備え、
クライアントコンピュータからの前記文書データの取得要求に応じて、前記文書データに加え、前記外部プログラム、前記署名検証プログラム、及び、前記外部プログラム実行制御プログラムを当該クライアントコンピュータに提供することを特徴とする外部プログラムの動作制御プログラムの提供装置。First storage means for storing document data;
Second storage means for storing an external program referred to by the document data;
Third storage means for storing a signature verification program for realizing a function of acquiring authentication information for identifying a creator of the document data from signature data for the document data;
Based on the authentication information obtained by the function realized by the signature verification program, determine whether the document data is allowed to execute the external program, if not determined to be allowed, A fourth storage unit that stores an external program execution control program that realizes a function of controlling the external program not to operate,
Providing an external program, the signature verification program, and the external program execution control program to the client computer in addition to the document data in response to an acquisition request for the document data from the client computer. An apparatus for providing a program operation control program.
前記文書データで参照する外部プログラムを記憶する第6の記憶手段と、
前記文書データに対する署名データを検証する機能を実現する署名検証プログラムを記憶する第7の記憶手段と、
前記署名検証プログラムが実現する機能による検証の結果に基づき、前記文書データが改竄されているかどうかを判定し、改竄されていると判定された場合に、前記外部プログラムが動作しないよう制御する機能を実現する外部プログラム実行制御プログラムを記憶する第8の記憶手段とを備え、
クライアントコンピュータからの前記文書データの取得要求に応じて、前記文書データに加え、前記外部プログラム、前記署名検証プログラム、及び、前記外部プログラム実行制御プログラムを当該クライアントコンピュータに提供することを特徴とする外部プログラムの動作制御プログラムの提供装置。Fifth storage means for storing document data,
Sixth storage means for storing an external program referred to by the document data,
Seventh storage means for storing a signature verification program for realizing a function of verifying signature data for the document data;
Based on the result of the verification by the function realized by the signature verification program, it is determined whether or not the document data has been tampered with. If it is determined that the document data has been tampered with, the function of controlling the external program not to operate is controlled. Eighth storage means for storing an external program execution control program to be realized,
Providing an external program, the signature verification program, and the external program execution control program to the client computer in addition to the document data in response to an acquisition request for the document data from the client computer. An apparatus for providing a program operation control program.
前記文書データで参照する外部プログラムを記憶する第10の記憶手段と、
前記文書データに対する署名データを検証するとともに、当該署名データから当該文書データの作成者を特定するための認証情報を取得する機能を実現する署名検証プログラムを記憶する第11の記憶手段と、
前記署名検証プログラムが実現する機能による検証の結果に基づき、前記文書データが改竄されているかどうかを判定し、改竄されていないと判定された場合に、前記署名検証プログラムが実現する機能により取得される認証情報に基づき、前記文書データが前記外部プログラムを実行することが許可されているかどうかを判定し、許可されていると判定された場合に、当該外部プログラムが動作するよう制御し、一方、前記文書データが改竄されていると判定された場合、又は、前記文書データが前記外部プログラムを実行することが許可されていると判定されなかった場合に、当該外部プログラムが動作しないよう制御する機能を実現する外部プログラム実行制御プログラムを記憶する第12の記憶手段とを備え、
クライアントコンピュータからの前記文書データの取得要求に応じて、前記文書データに加え、前記外部プログラム、前記署名検証プログラム、及び、前記外部プログラム実行制御プログラムを当該クライアントコンピュータに提供することを特徴とする外部プログラムの動作制御プログラムの提供装置。Ninth storage means for storing document data;
Tenth storage means for storing an external program referred to by the document data;
An eleventh storage unit that stores a signature verification program that verifies signature data for the document data and realizes a function of acquiring authentication information for specifying a creator of the document data from the signature data;
Based on the result of the verification by the function implemented by the signature verification program, it is determined whether the document data has been tampered with.If it is determined that the document data has not been tampered, the document data is acquired by the function realized by the signature verification program. Based on the authentication information, determines whether the document data is permitted to execute the external program, and if it is determined that the document data is permitted, controls the external program to operate. A function of controlling the external program not to operate when it is determined that the document data has been tampered with or when it is not determined that the document data is permitted to execute the external program. Twelfth storage means for storing an external program execution control program for realizing
Providing an external program, the signature verification program, and the external program execution control program to the client computer in addition to the document data in response to a request to acquire the document data from a client computer. An apparatus for providing a program operation control program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002279395A JP3888273B2 (en) | 2002-09-25 | 2002-09-25 | External program operation control method, operation control program, operation control apparatus, and operation control program providing apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002279395A JP3888273B2 (en) | 2002-09-25 | 2002-09-25 | External program operation control method, operation control program, operation control apparatus, and operation control program providing apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004118433A true JP2004118433A (en) | 2004-04-15 |
JP3888273B2 JP3888273B2 (en) | 2007-02-28 |
Family
ID=32274419
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002279395A Expired - Fee Related JP3888273B2 (en) | 2002-09-25 | 2002-09-25 | External program operation control method, operation control program, operation control apparatus, and operation control program providing apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3888273B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008059550A (en) * | 2006-08-01 | 2008-03-13 | Nippon Telegr & Teleph Corp <Ntt> | Information browsing system and method thereof |
JP2008547111A (en) * | 2005-06-27 | 2008-12-25 | マイクロソフト コーポレーション | Active content trust model |
JP2010033563A (en) * | 2008-06-30 | 2010-02-12 | Intel Corp | Method and system for platform-based trust verifying service for multi-party verification |
JP2010530097A (en) * | 2007-06-07 | 2010-09-02 | アルカテル−ルーセント | Web page authenticity verification |
-
2002
- 2002-09-25 JP JP2002279395A patent/JP3888273B2/en not_active Expired - Fee Related
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008547111A (en) * | 2005-06-27 | 2008-12-25 | マイクロソフト コーポレーション | Active content trust model |
JP2008059550A (en) * | 2006-08-01 | 2008-03-13 | Nippon Telegr & Teleph Corp <Ntt> | Information browsing system and method thereof |
JP2010530097A (en) * | 2007-06-07 | 2010-09-02 | アルカテル−ルーセント | Web page authenticity verification |
JP2010033563A (en) * | 2008-06-30 | 2010-02-12 | Intel Corp | Method and system for platform-based trust verifying service for multi-party verification |
Also Published As
Publication number | Publication date |
---|---|
JP3888273B2 (en) | 2007-02-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10333967B2 (en) | Method and system for dynamic platform security in a device operating system | |
JP5190800B2 (en) | Program execution control system, execution control method, and computer program for execution control | |
JP4745238B2 (en) | Java applet, JAR file generation method, JAR file generation program, JAR file generation apparatus | |
JP5185820B2 (en) | Safe machine count | |
US9118666B2 (en) | Computing device integrity verification | |
EP1443381B1 (en) | System and method for secure software activation with volume licenses | |
JP4744106B2 (en) | Secure device, information processing terminal, communication system, and communication method | |
EP1776799B1 (en) | Enhanced security using service provider authentication | |
JP4975127B2 (en) | Apparatus for providing tamper evidence to executable code stored on removable media | |
JP2003330365A (en) | Method for distributing/receiving contents | |
CN102855274A (en) | Method and device for detecting suspicious progresses | |
JP2009054165A (en) | Safe application distribution and execution in wireless environment | |
JP2003507785A (en) | Computer platform and its operation method | |
JP2004265286A (en) | Management of mobile device according to security policy selected in dependence on environment | |
JP2010182196A (en) | Information processing apparatus and file verification system | |
JP2007148962A (en) | Subprogram, information processor for executing subprogram, and program control method in information processor for executing subprogram | |
US9665711B1 (en) | Managing and classifying states | |
JP4754299B2 (en) | Information processing device | |
JPH10260939A (en) | Client machine authentication method of computer network, client machine, host machine and computer system | |
JP4711824B2 (en) | Business administrator terminal, environmental management station terminal, network operator terminal, business operator terminal, business administrator terminal control method, environmental management station terminal control method, network operator terminal control method, and business operator program | |
KR100458515B1 (en) | System and method that can facilitate secure installation of JAVA application for mobile client through wireless internet | |
JP3888273B2 (en) | External program operation control method, operation control program, operation control apparatus, and operation control program providing apparatus | |
Maruyama et al. | Linux with TCPA integrity measurement | |
JP4497450B2 (en) | Program authentication system | |
JP2002333927A (en) | Data distribution method, program for data distribution method, data processing method and recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040419 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20050308 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060808 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061010 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20061107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20061120 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091208 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101208 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101208 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111208 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111208 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121208 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121208 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131208 Year of fee payment: 7 |
|
LAPS | Cancellation because of no payment of annual fees |