JP2006324980A - 通信端末および通信端末制御方法 - Google Patents

通信端末および通信端末制御方法 Download PDF

Info

Publication number
JP2006324980A
JP2006324980A JP2005146707A JP2005146707A JP2006324980A JP 2006324980 A JP2006324980 A JP 2006324980A JP 2005146707 A JP2005146707 A JP 2005146707A JP 2005146707 A JP2005146707 A JP 2005146707A JP 2006324980 A JP2006324980 A JP 2006324980A
Authority
JP
Japan
Prior art keywords
connection
communication terminal
network
profile
policy information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005146707A
Other languages
English (en)
Other versions
JP4031489B2 (ja
Inventor
Shuichi Karasawa
秀一 唐澤
Yutaka Watanabe
裕 渡邉
Sukeaki Iwamura
相哲 岩村
Toshinobu Inutsuka
敏信 犬束
Yoshitake Tajima
佳武 田島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005146707A priority Critical patent/JP4031489B2/ja
Publication of JP2006324980A publication Critical patent/JP2006324980A/ja
Application granted granted Critical
Publication of JP4031489B2 publication Critical patent/JP4031489B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】 プロファイルを用いてネットワークと接続する際に通信端末およびネットワークに係るセキュリティを高めることができる通信端末および通信端末制御方法を提供すること。
【解決手段】 所望のネットワークと接続するための接続情報を組み合わせて構成されたプロファイルを格納するプロファイル格納手段11と、ネットワークの接続に関わるポリシ情報を含むプロファイルを用いて所望のネットワークと接続する接続手段12と、接続手段12が所望のネットワークに接続をしようとするときポリシ情報に従ってネットワーク接続を制御する接続制御手段13とを備えるように構成する。
【選択図】 図2

Description

本発明は、複数のネットワークを介して所望のネットワークまたはサーバと通信するための通信端末および通信端末制御方法に関する。
近年、社内はもとより、自宅内、店内、空港や駅のような公共施設など様々な場所で通信端末を使用する機会が増えており、インターネット、またはインターネットを介して企業網に通信端末を容易に接続するために、ネットワークを介して所望のネットワークと接続するための情報であるプロファイルを通信端末に設定し、通信端末がプロファイルを用いて所望のネットワークと接続する技術が普及している。
例えば、特許文献1においては、無線デジタルカメラが、ダウンロードしたプロファイルを解析し、解析したプロファイルに指定された認証方式に従い、アクセスポイントを介してホットスポットのサービスエリアを提供する事業者が設置する認証サーバとの間でホットスポット固有の認証処理を実施して、ネットワークに接続する技術が記載されている。
また、特許文献2においては、無線機能を持つ電子機器が、所定のプロファイルを用いてネットワーク設定を行い、その設定に従い通信接続を行う通信手段と、この通信手段によるアクセスポイントとの通信接続の成否を判断し、接続に成功しないとき、複数のプロファイルから現在のアクセスポイントに最適なプロファイルを選択し、選択したプロファイルを用いて前記通信手段がアクセスポイントを介して通信接続を行う技術が記載されている。
特開2004−128886号公報(第30段落目−第50段落目、第2、4図) 特開2004−94736号公報(第50段落目−第52段落目、第4図)
しかしながら、上述した通信端末に係る技術では、ネットワークの接続に関する制限やウィルス対策等に係るセキュリティの管理を利用者が行う必要があり、セキュリティの管理については個々の利用者の作業に任されるため、ネットワーク管理者または通信事業者等がセキュリティの管理を徹底することが困難であるという問題があった。
本発明は、従来の問題を解決するためになされたもので、プロファイルを用いてネットワークと接続する際に通信端末およびネットワークに係るセキュリティを高めることができる通信端末および通信端末制御方法を提供することを目的とする。
本発明の通信端末は、所望のネットワークと接続するための接続情報を組み合わせて構成されたプロファイルを格納するプロファイル格納手段と、ネットワークの接続に関わるポリシ情報を含む前記プロファイルを用いて前記所望のネットワークと接続する接続手段と、前記接続手段が前記所望のネットワークに接続をしようとするとき前記ポリシ情報に従ってネットワーク接続を制御する接続制御手段とを備えた構成を有している。
この構成により、所望のネットワークに接続をしようとするときポリシ情報に従ってネットワーク接続を制御するため、プロファイルを用いてネットワークと接続する際に、柔軟に設定できるポリシ情報に応じて、通信端末およびネットワークに係るセキュリティを高めることができる。
本発明の通信端末は、前記ポリシ情報には、特定のネットワークに接続することを制限するための制限情報が含まれており、前記接続制御手段は、前記ポリシ情報に含まれる制御情報が示すネットワークに接続することを制限する構成を有している。
この構成により、ポリシ情報に含まれる制限情報が示すネットワークに接続することが制限されるため、通信端末が信頼の無いネットワークに接続することを防止できる。
本発明の通信端末は、前記通信端末のセキュリティを確認するセキュリティ確認手段を備え、前記ポリシ情報には、前記セキュリティをサーバに確認するための情報が含まれており、前記接続制御手段は、前記接続手段が前記所望のネットワークに接続をしようとするとき前記ポリシ情報に含まれる情報に従って前記サーバに接続し、前記セキュリティ確認手段は、前記サーバを通じて前記通信端末のセキュリティを確認する構成を有している。
この構成により、所望のネットワークに接続をしようとするとき通信端末のセキュリティを確認するため、通信端末が不正なものである場合、ネットワークへの侵入を防止することができる。
本発明の通信端末は、前記通信端末の脆弱性を有する機能を更新する更新手段を備え、前記ポリシ情報には、更新サーバから前記機能を更新するための情報が含まれており、前記接続制御手段は、前記セキュリティ確認手段が確認した結果が異常であったとき前記ポリシ情報に含まれる情報に従って前記更新サーバに接続し、前記更新手段は、前記更新サーバを通じて前記機能を更新する構成を有している。
この構成により、セキュリティを確認した結果が異常であったとき、通信端末の脆弱性を有する機能を更新するため、通信端末の安全性を確保することができる。
本発明の通信端末は、前記ポリシ情報には、前記プロファイルで指定された回線種別毎に、前記機能全てを更新する、前記機能のうち一部の機能を更新する、または前記機能全てを更新しないことを判断するための情報が含まれており、前記更新サーバを通じて前記機能を更新するとき前記更新手段は、前記ポリシ情報に含まれる情報に従って前記機能を更新し、更新しない機能に係るプロトコルの使用を制限する構成を有している。
この構成により、プロファイルで指定された回線種別に応じて、通信端末の脆弱性を有する機能における更新を判断するため、脆弱性を有する機能の更新を適切に行うことができる。
本発明の通信端末は、前記プロファイルが暗号化されており、前記接続手段は、暗号化されたプロファイルを復号すると共に、前記接続制御手段が正当か否かを確認し、確認した結果が正当である場合、復号したプロファイルを用いて前記所望のネットワークと接続する構成を有している。
プロファイルを復号した情報の利用は,前記接続手段内部に限定されており、ユーザはこのネットワークの接続情報へアクセスできないようになっているため、所望の接続を実現するためには、本発明の通信端末の利用が必須となる。
さらに、この構成により、プロファイルを復号する接続手段が接続制御手段の正当性を確認するため、プロファイルを管理するネットワーク管理者等は、正当である接続制御手段を利用者に強制的に使用させることができる。その結果、従来個々の利用者の作業に任されていたセキュリティ管理を、漏れなく徹底することができる。さらに、本接続手段が正当性を確認する対象を変える、あるいは、追加することにより、通信端末上の様々な機能を利用者に強制することが可能である。
本発明の通信端末制御方法は、所望のネットワークと接続するための接続情報を組み合わせて構成されたプロファイルを格納するプロファイル格納手段を備えた通信端末に接続手段と接続制御手段が設けられ、前記接続手段がネットワークの接続に関わるポリシ情報を含む前記プロファイルを用いて前記所望のネットワークと接続するとき前記接続制御手段が前記ポリシ情報に従ってネットワーク接続を制御する構成を有している。
この構成により、所望のネットワークに接続をしようとするときポリシ情報に従ってネットワーク接続を制御するため、プロファイルを用いてネットワークと接続する際に、柔軟に設定できるポリシ情報に応じて、通信端末およびネットワークに係るセキュリティを高めることができる。
本発明の通信端末制御方法は、前記ポリシ情報には、特定のネットワークに接続することを制限するための制限情報が含まれており、前記接続制御手段は、前記ポリシ情報に含まれる制限情報が示すネットワークに接続することを制限する構成を有している。
この構成により、ポリシ情報に含まれる制限情報が示すネットワークに接続することが制限されるため、通信端末が信頼の無いネットワークに接続することを防止できる。
本発明の通信端末制御方法は、前記通信端末は、自身のセキュリティを確認するセキュリティ確認手段を備え、前記ポリシ情報には、前記セキュリティをサーバに確認するための情報が含まれており、前記接続制御手段は、前記接続手段が前記所望のネットワークに接続をしようとするとき前記ポリシ情報に含まれる情報に従って前記サーバに接続し、前記セキュリティ確認手段は、前記サーバを通じて前記通信端末のセキュリティを確認する構成を有している。
この構成により、所望のネットワークに接続をしようとするとき通信端末のセキュリティを確認するため、通信端末が不正なものである場合、ネットワークへの侵入を防止することができる。
本発明の通信端末制御方法は、前記通信端末は、自身の脆弱性を有する機能を更新する更新手段を備え、前記ポリシ情報には、更新サーバから前記機能を更新するための情報が含まれており、前記接続制御手段は、前記セキュリティ確認手段が確認した結果が異常であったとき前記ポリシ情報に含まれる情報に従って前記更新サーバに接続し、前記更新手段は、前記更新サーバを通じて前記機能を更新する構成を有している。
この構成により、セキュリティを確認した結果が異常であったとき、通信端末の脆弱性を有する機能を更新するため、通信端末の安全性を確保することができる。
本発明の通信端末制御方法は、前記ポリシ情報には、前記プロファイルで指定された回線種別毎に、前記機能全てを更新する、前記機能のうち一部の機能を更新する、または前記機能全てを更新しないことを判断するための情報が含まれており、前記更新サーバを通じて前記機能を更新するとき前記更新手段は、前記ポリシ情報に含まれる情報に従って前記機能を更新し、更新しない機能に係るプロトコルの使用を制限する構成を有している。
この構成により、プロファイルで指定された回線種別に応じて、通信端末の脆弱性を有する機能における更新を判断するため、脆弱性を有する機能の更新を適切に行うことができる。
本発明の通信端末制御方法は、前記プロファイルは、暗号化されており、前記接続手段は、暗号化されたプロファイルを復号すると共に、前記接続制御手段が正当か否かを確認し、確認した結果が正当である場合、復号したプロファイルを用いて前記所望のネットワークと接続する構成を有している。
プロファイルを復号した情報の利用は,前記接続手段内部に限定されており、ユーザはこのネットワークの接続情報へアクセスできないようになっているため、所望の接続を実現するためには、本発明の通信端末の利用が必須となる。
さらに、この構成により、プロファイルを復号する接続手段が接続制御手段の正当性を確認するため、プロファイルを管理するネットワーク管理者等は、正当である接続制御手段を利用者に強制的に使用させることができる。その結果、従来個々の利用者の作業に任されていたセキュリティ管理を、漏れなく徹底することができる。さらに、本接続手段が正当性を確認する対象を変える、あるいは、追加することにより、通信端末上の様々な機能を利用者に強制することが可能である。
以上のように本発明は、プロファイルを用いてネットワークと接続する際に通信端末およびネットワークに係るセキュリティを高めることができる通信端末を提供するものである。
以下、図面を参照して、本発明の通信端末および通信端末制御方法の実施の形態について詳細に説明する。
(本発明の第1の実施の形態)
図1は、本発明の第1の実施の形態に係る通信システムのシステム構成図である。図1に示す通信システムは、通信端末10、ネットワーク31からネットワーク33、およびサーバ41からサーバ43までを備えた構成を有している。
通信端末10は、ネットワークと接続するためのプロファイルを用いて、所望のネットワークと接続することができる。より詳細には、通信端末10が、ネットワークの入口となるアクセスポイント、ゲートウエイ、またはファイアウォール等に、プロファイルを構成する接続情報を用いて接続することによってネットワークと接続する。
なお、接続情報は、種々のプロトコルに関する情報であって、各プロトコルに準拠した認証情報、各プロトコルのための設定情報、各プロトコルに準拠した接続手順に関する情報などを含む。また、接続情報は、ネットワークと同様にサーバと接続するための情報であってもよい。接続情報は、プロファイルを構成する部品であるため、以下、接続情報をプロファイル部品という。
通信端末10は、パソコン、携帯電話、またはPDA(Personal Digital Assistant)でもよく、ネットワークを介してサーバと通信可能なものであれば如何なるものでもよい。また、サーバは、ファイルサーバ、Webサーバ、またはメールサーバなどであり、サーバの種類は問わない。
本発明の第1の実施の形態では、通信端末10が、ネットワーク31をアクセスポイントとして接続する形態を示しているが、他の形態では、他のネットワークをアクセスポイントとして接続するようにしてもよい。
なお、本発明の第1の実施の形態においては、説明の便宜を図ってサーバがネットワーク33だけに接続されているが、本発明では、サーバが他のネットワークにも接続されていてもよい。また、各ネットワークは、LANでもよく、ISP(Internet Service Provider)が管理するネットワークでもよく、企業が管理するイントラネットでもよく、インターネットでもよい。
図2は、本発明の第1の実施の形態に係る通信端末のブロック構成図である。通信端末10は、図2(a)に示すような、CPU(Central Processing Unit)、メモリ、通信インタフェース、画面、キー操作等をさせる入力部等のハードウエアを有しており、図2(b)に示すように、メモリからなるプロファイル格納手段11、接続手段12、および接続制御手段13によって構成される。
なお、接続手段12および接続制御手段13は、CPUによって実行されるプログラムのモジュール等で実現してもよい。詳細には、接続手段12は、ネットワークの接続に関わるポリシ情報を含むプロファイルを用いて所望のネットワークと接続するためのソフトウエアで実現され、接続制御手段13は、接続手段12が所望のネットワークに接続をしようとするときポリシ情報に従ってネットワーク接続を制御するソフトウエア、例えばパーソナルファイアウォール等で実現される。なお、ポリシ情報については後述する。
また、プロファイル格納手段11は、1つ以上のプロファイル部品を組み合わせて構成されたプロファイルを格納するようになっている。なお、プロファイルは、ISPやネットワーク管理者などによって作成、提供されたデータである。ここで、プロファイルの一例を図3に示す。
図3(a)に示すプロファイルは、プロファイル部品AからCまでによって構成されている。
プロファイル部品Aは、ネットワーク31に接続するためのものであり、IEEE802.1xおよびEAP−TPS(PPP Extensible Authentication Protocol−Transport Layer Security)に準拠した通信および認証を行うための情報を有している。
プロファイル部品Bは、ネットワーク32に接続するためのものであり、IPアドレス等の設定に関する情報を有している。
プロファイル部品Cは、ネットワークの接続に関わるポリシ情報であり、ネットワーク33に接続することを制限、ここでは、許可しない制限情報を有している。なお、ネットワーク33に対する接続の制限として、ネットワーク33に接続することを許可しないことを例示しているが、ネットワーク33だけに接続するように限定するようにしてもよい。 また、プロファイル部品Cでは、ネットワークに接続することを制限することを示したが、一般的なポリシ情報には、ネットワークに接続することを制限する他に、セキュリティに係るセキュリティポリシが表されている。
図3(b)に示すプロファイルは、プロファイル部品A、B、D、E、Fによって構成されている。
プロファイル部品Dは、ネットワーク33に接続するためのものであり、IPSec(SECurity architecture for the Internet Protocol)に準拠した通信および認証を行うための情報を有している。
プロファイル部品Eは、サーバの接続に関わるポリシ情報であり、サーバ42、サーバ43に接続することを制限、すなわち許可しない制限情報を有している。プロファイル部品Fは、WEBサービスを提供するサーバ41にログインするためのものであり、ユーザ名およびそのパスワードが含まれる。
なお、図3に示したプロファイルは秘匿化されていてもよい。例えば、プロファイル作成者が、通信端末10を利用する利用者に、暗号鍵などで暗号化されたプロファイルを提供し、利用者は、プロファイルの内容を確認することができない。また、秘匿化されたプロファイルは、接続手段12が復号することができる。
また、接続手段12は、暗号化されたプロファイルを復号すると共に接続制御手段13が正当か否かを確認し、確認した結果が正当である場合、プロファイルを用いて所望のネットワークと接続する。接続制御手段13の正当性を確認する方法としては、例えば、接続制御手段13が提供する所定のAPI(Application Programming Interface)を介して、正当性の確認についてやり取りする方法が用いられる。
以上のように構成された本発明の第1の実施の形態に係る通信端末の動作について、図面を参照して説明する。
図4は、本発明の第1の実施の形態に係る通信端末の動作を示すフローチャートである。
まず、利用者は、入力部を操作しながら所望のネットワークまたはサーバと接続するための接続要求を行い、接続手段12は、接続要求を受け付ける(S11)。接続手段12は、この接続要求に応じたプロファイルをプロファイル格納手段11から取得する(S12)。ここで、取得したプロファイルが、図3(a)に示すプロファイルであった場合を具体例にとって以下に説明する。
図3(a)に示すプロファイルを用いて接続手段12がネットワーク32に接続をしようとするとき、このプロファイルを接続制御手段13に設定し(S13)、ネットワーク32との接続を試行する。接続制御手段13は、設定されたプロファイルに従ってネットワーク32までのネットワークとの接続に係るプロトコル処理を行うと共に、プロファイルの一部であるプロファイル部品Cが示すネットワーク33に接続することを制限する(S14)。
具体的には、接続制御手段13は、ネットワーク32行きのパケットを通過させ、ネットワーク33行きのパケットをフィルタ(遮断)する。このため、仮に、利用者は、通信端末10とネットワーク32とが接続している状態で、ネットワーク33との接続を試みても接続を行うことができない。
その後、接続手段12は、接続が終了するか否かを確認し(S15)、利用者は、入力部を操作しながら所望のネットワークと切断するための切断要求を行い、接続手段12は、切断要求を受け付けたとき、接続制御手段13に対してプロファイルを解除を行う(S15)。
また、S12で、取得したプロファイルが、図3(b)に示すプロファイルであった場合を具体例にとって以下に説明する。S13で、図3(b)に示すプロファイルを用いて接続手段12がネットワーク32に接続をしようとするとき、このプロファイルを接続制御手段13に設定し、ネットワーク33を介してサーバ41との接続を試行する。
S14で、接続制御手段13は、設定されたプロファイルに従ってサーバ41までのネットワークとの接続に係るプロトコル処理を行うと共に、プロファイルの一部であるプロファイル部品Eが示すサーバ42およびサーバ43に接続することを制限する。
このため、仮に、利用者は、通信端末10とサーバ41とが接続している状態で、サーバ41からログアウトしてサーバ42またはサーバ43とのログインを試みても接続を行うことができない。
尚、S12で接続要求に応じたプロファイルが複数存在する場合には、あらかじめ優先順位付けを行い、優先順位の高いプロファイルから順に接続に成功するまで上述のS13、S14の動作を行うような実施形態となる。
以上説明したように、本発明の第1の実施の形態に係る通信端末は、所望のネットワークに接続をしようとするときポリシ情報に従ってネットワーク接続を制御するため、プロファイルを用いてネットワークと接続する際に、柔軟に設定できるポリシ情報に応じて、通信端末10およびネットワークに係るセキュリティを高めることができる。
また、ポリシ情報に含まれる制限情報が示すネットワークに接続することが制限されるため、通信端末10が信頼性の低いネットワークに接続することを防止できる。
(本発明の第2の実施の形態)
図5は、本発明の第2の実施の形態に係る通信システムのシステム構成図である。図5に示す通信システムは、通信端末20、ネットワーク34およびネットワーク35、並びにネットワーク34に接続された検疫サーバ44、認証サーバ45、および更新サーバ46を備えた構成を有している。
通信端末20は、本発明の第1の実施の形態と同様に、ネットワークと接続するためのプロファイルを用いて、所望のネットワークと接続するものである。なお、プロファイルには、ネットワークの接続に関わるポリシ情報が含まれており、ポリシ情報は、通信端末20のセキュリティを検疫サーバ44に確認するための情報である。
この他、ポリシ情報には、更新サーバ46から、通信端末20の脆弱性を有する機能を更新するための情報や、プロファイルで指定された回線種別に応じてこの機能を更新するか否かを判断するための情報が含まれる。
通信端末20は、パソコン、携帯電話、またはPDA(Personal Digital Assistant)でもよく、ネットワークを介してこれらのサーバと通信可能なものであれば如何なるものでもよい。また、ネットワーク34は、例えば、社内のLANであり、ネットワーク35は、ISP(Internet Service Provider)が管理するネットワークまたはインターネットである。
図6は、本発明の第2の実施の形態に係る通信端末のブロック構成図である。通信端末20は、通信端末10と同様に、CPU(Central Processing Unit)、メモリ、通信インタフェース、画面、キー操作等をさせる入力部等のハードウエアを有しており、図6に示すように、メモリからなるプロファイル格納手段21、接続手段12、接続制御手段13、セキュリティ確認手段24、および更新手段25によって構成される。
なお、本発明の第2の実施の形態に係る通信端末を構成する構成要素のうち、本発明の第1の実施の形態に係る通信端末を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
なお、接続手段12、接続制御手段13、セキュリティ確認手段24、および更新手段25は、CPUによって実行されるプログラムのモジュール等で実現しもよい。詳細には、セキュリティ確認手段24は、通信端末20のセキュリティを確認するためのソフトウエア、例えばウィルスチェックを行うクライアントソフト等で実現され、更新手段25は、通信端末20の脆弱性を有する機能を更新するためのソフトウエア等で実現される。
また、プロファイル格納手段21は、本発明の第1の実施の形態で説明したように1つ以上のプロファイル部品を組み合わせて構成されたプロファイルを格納するようになっている。なお、このプロファイルは、例えば、通信端末20が従うポリシ情報が含まれ、その一例を図7に示す。
図7に示したポリシ情報には、ネットワークの接続に係る動作に対するルールが含まれている。このポリシ情報によれば、通信端末20は、ネットワーク接続前に、検疫サーバ44および認証サーバ45だけに接続可能であり、認証サーバ45に対して認証を行い、検疫サーバ44に対して検疫を受けることになる。なお、ポリシ情報に、通信端末20がネットワーク接続前に全てのアドレスに接続ができない旨、あるいは、管理者が必要だと考えるアドレス以外には接続できない旨を設定するようにしてもよい。また、接続開始から検疫完了まで、通信端末20が接続できるサーバ等が制限される。
さらに、検疫の結果が正常であれば、通信端末20は、プロファイルに従って所望のネットワークと接続できる。なお、検疫の結果が正常であっても、図7に示すように接続できるネットワークを制限するようにしてもよい。一方、検疫の結果が異常であれば、通信端末20は、通信端末20の脆弱性を有する機能を更新サーバ46を通じて更新するようになる。
以上のように構成された本発明の第2の実施の形態に係る通信端末の動作について、図面を参照して説明する。
図8は、本発明の第2の実施の形態に係る通信端末の動作を示すフローチャートである。
まず、利用者は、入力部を操作しながら所望のネットワークまたはサーバと接続するための接続要求を行い、接続手段12は、接続要求を受け付ける(図8(a)、S11)。接続手段12は、この接続要求に応じたプロファイルをプロファイル格納手段21から取得する(S12)。なお、本発明の第2の実施の形態に係る通信端末の動作においては、所望のネットワークをネットワーク35とし、ネットワーク35と接続する動作例について説明する。
接続手段12が、取得したプロファイルを用いてネットワーク35に接続をしようとするとき、このプロファイルを接続制御手段13に設定し(S13)、ネットワーク35との接続を試行する。このとき、接続手段12が取得したプロファイルには、図7に示したポリシ情報が含まれるものとする。
接続制御手段13は、設定されたプロファイルに含まれる、図7に示したポリシ情報に従ってセキュリティを確認するための制御を行う(S24)。なお、一般的には、S24における動作は、図7に示したポリシ情報に限定されず、ネットワーク管理者などが作成したポリシ情報に従って行われる。
ここで、図7に示したポリシ情報に従った動作について説明する。まず、接続制御手段13は、プロファイルに設定されている接続情報に従ってネットワーク34に接続し、その後、プロファイルに設定されている認証情報等を認証サーバ45に対して送信して認証を要求し、認証結果が正常である場合には、さらに、検疫サーバ44に対して検疫を要求する(図8(b)、S31)。なお、検疫とは、ウィルスチェックソフトウェアで使用されるウィルス情報ファイルのバージョンのチェックや、オペレーティングシステム、アプリケーションソフトウエアのバージョンの確認などを行うものである。
ウィルス有無をチェックするときには、セキュリティ確認手段24が、検疫サーバ44と連携してウィルスチェックを行う。なお、ネットワーク接続前かつ、認証中または検疫中には、接続できるサーバやネットワークは、図7に示したポリシ情報に従って制限される。
接続制御手段13は、検疫結果が正常か否かを判定し(S32)、正常であった場合、接続制御手段13は、プロファイルに従ってネットワーク35と接続する(S33)。なお、接続制御手段13は、検疫の結果が正常であっても、図7に示すように接続できるネットワークを制限する。
検疫の結果が正常でない場合、更新手段25は、通信端末20の脆弱性を有する機能を更新サーバ46を通じて更新する(S34)。なお、図8に示したフローチャートでは、S34が処理された後に終了するが、本発明の他の実施の形態では、S34が処理された後に続いてS33の動作を行い、ネットワーク35と接続するようにしてもよい。
さらに、図7に示したポリシ情報には、プロファイルで指定された回線種別毎に、通信端末20の脆弱性を有する機能全てを更新する、通信端末20の脆弱性を有する機能のうち一部の機能を更新する、または通信端末20の脆弱性を有する機能全てを更新しないことを判断するための情報が含まれていてもよい。この判断情報は、プロファイルで指定された回線種別の回線帯域毎に、脆弱性を有する機能を更新するか否かを表す情報である。
例えば、プロファイルのポリシ情報には、IEEE802.11g等の広帯域回線を用いる場合、通信端末20の脆弱性を有する機能全てを更新し、IEEE802.11b等の比較的広帯域の回線を用いる場合、通信端末20の脆弱性を有する機能のうち比較的サイズの小さなパッチのダウンロードにより改善できる機能、たとえば、特定のアプリケーションのセキュリティだけを更新し、大きなパッチの適用が必要な機能、たとえば、オペレーティングシステムの脆弱性に関わる機能の更新等は行わず、PHS等の通信帯域の狭い回線を用いる場合、通信端末20の脆弱性を有する機能を更新をしない旨の判断情報が含まれており、更新手段25はこの判断情報に従って更新する。
また、更新手段25は、判断情報に従って更新する際、更新しない機能に係るプロトコルの使用を制限する。上述した例において、IEEE802.11b等の回線を用いる場合では、特定のアプリケーションソフトウエアの脆弱性を有する機能以外が更新されないため、更新されないアプリケーションソフトウエアやオペレーティングシステムの脆弱性に係るプロトコルの使用を制限する。
尚、S12で接続要求に応じたプロファイルが複数存在する場合には、あらかじめ優先順位付けを行い、優先順位の高いプロファイルから順に接続に成功するまで上述のS13、S24の動作を行うような実施形態となる。
ところで、図7に示したポリシ情報に従った動作が終了した後、接続手段12は、接続が終了するか否かを確認し(図8(a)、S15)、利用者は、入力部を操作しながら所望のネットワークと切断するための切断要求を行い、接続手段12は、切断要求を受け付けたとき、接続制御手段13に対してプロファイルを解除を行う(S16)。
なお、通信端末20の利用環境がPHS等の通信帯域の狭い回線であり、更新されなかった場合、更新する際には、利用者は、通信帯域の広い回線のある所に移動する。または、通信帯域の広い回線を使うなどして、通信帯域の広い回線を用いるときのプロファイルを使用して通信端末20の脆弱性を有する機能を更新すればよい。
以上説明したように、本発明の第2の実施の形態に係る通信端末は、所望のネットワークに接続をしようとするとき通信端末のセキュリティを確認するため、通信端末20が不正なものである場合、ネットワークへの侵入を防止することができる。
また、セキュリティを確認した結果が異常であったとき、通信端末20の脆弱性を有する機能を更新するため、通信端末20の安全性を確保することができる。また、プロファイルで指定された回線種別に応じて、通信端末20の脆弱性を有する機能における更新を判断するため、脆弱性を有する機能の更新を適切に行うことができる。
以上のように、本発明の実施の形態に係る通信端末は、プロファイルを用いてネットワークと接続する際に通信端末およびネットワークに係るセキュリティを高めることができるという効果を有し、複数のネットワークを介して所望のネットワークまたはサーバと通信するためのパソコン、携帯電話、またはPDA等として有用である。
本発明の第1の実施の形態に係る通信システムのシステム構成図。 本発明の第1の実施の形態に係る通信端末のブロック構成図。 本発明の実施の形態に係るプロファイルの一例を示す図。 本発明の第1の実施の形態に係る通信端末の動作を示すフローチャート。 本発明の第2の実施の形態に係る通信システムのシステム構成図。 本発明の第2の実施の形態に係る通信端末のブロック構成図。 本発明の実施の形態に係るポリシ情報の一例を示す図。 本発明の第2の実施の形態に係る通信端末の動作を示すフローチャート。
符号の説明
10、20 通信端末
11、21 プロファイル格納手段
12 接続手段
13 接続制御手段
24 セキュリティ確認手段
25 更新手段
31、32、33、34、35 ネットワーク
41、42、43 サーバ
44 検疫サーバ
45 認証サーバ
46 更新サーバ

Claims (12)

  1. 所望のネットワークと接続するための接続情報を組み合わせて構成されたプロファイルを格納するプロファイル格納手段と、
    ネットワークの接続に関わるポリシ情報を含む前記プロファイルを用いて前記所望のネットワークと接続する接続手段と、
    前記接続手段が前記所望のネットワークに接続をしようとするとき前記ポリシ情報に従ってネットワーク接続を制御する接続制御手段とを備えたことを特徴とする通信端末。
  2. 前記ポリシ情報には、特定のネットワークに接続することを制限するための制限情報が含まれており、
    前記接続制御手段は、前記ポリシ情報に含まれる制限情報が示すネットワークに接続することを制限することを特徴とする請求項1に記載の通信端末。
  3. 前記通信端末のセキュリティを確認するセキュリティ確認手段を備え、
    前記ポリシ情報には、前記セキュリティをサーバに確認するための情報が含まれており、
    前記接続制御手段は、前記接続手段が前記所望のネットワークに接続をしようとするとき前記ポリシ情報に含まれる情報に従って前記サーバに接続し、
    前記セキュリティ確認手段は、前記サーバを通じて前記通信端末のセキュリティを確認することを特徴とする請求項1または請求項2に記載の通信端末。
  4. 前記通信端末の脆弱性を有する機能を更新する更新手段を備え、
    前記ポリシ情報には、更新サーバから前記機能を更新するための情報が含まれており、
    前記接続制御手段は、前記セキュリティ確認手段が確認した結果が異常であったとき前記ポリシ情報に含まれる情報に従って前記更新サーバに接続し、
    前記更新手段は、前記更新サーバを通じて前記機能を更新することを特徴とする請求項3に記載の通信端末。
  5. 前記ポリシ情報には、前記プロファイルで指定された回線種別毎に、前記機能全てを更新する、前記機能のうち一部の機能を更新する、または前記機能全てを更新しないことを判断するための情報が含まれており、
    前記更新サーバを通じて前記機能を更新するとき前記更新手段は、前記ポリシ情報に含まれる情報に従って前記機能を更新し、更新しない機能に係るプロトコルの使用を制限することを特徴とする請求項4に記載の通信端末。
  6. 前記プロファイルは、暗号化されており、
    前記接続手段は、暗号化されたプロファイルを復号すると共に、前記接続制御手段が正当か否かを確認し、確認した結果が正当である場合、復号したプロファイルを用いて前記所望のネットワークと接続することを特徴とする請求項1ないし請求項5の何れかに記載の通信端末。
  7. 所望のネットワークと接続するための接続情報を組み合わせて構成されたプロファイルを格納するプロファイル格納手段を備えた通信端末に接続手段と接続制御手段が設けられ、前記接続手段がネットワークの接続に関わるポリシ情報を含む前記プロファイルを用いて前記所望のネットワークと接続するとき前記接続制御手段が前記ポリシ情報に従ってネットワーク接続を制御することを特徴とする通信端末制御方法。
  8. 前記ポリシ情報には、特定のネットワークに接続することを制限するための制限情報が含まれており、
    前記接続制御手段は、前記ポリシ情報に含まれる制限情報が示すネットワークに接続することを制限することを特徴とする請求項7に記載の通信端末制御方法。
  9. 前記通信端末は、自身のセキュリティを確認するセキュリティ確認手段を備え、
    前記ポリシ情報には、前記セキュリティをサーバに確認するための情報が含まれており、
    前記接続制御手段は、前記接続手段が前記所望のネットワークに接続をしようとするとき前記ポリシ情報に含まれる情報に従って前記サーバに接続し、
    前記セキュリティ確認手段は、前記サーバを通じて前記通信端末のセキュリティを確認することを特徴とする請求項7または請求項8に記載の通信端末制御方法。
  10. 前記通信端末は、自身の脆弱性を有する機能を更新する更新手段を備え、
    前記ポリシ情報には、更新サーバから前記機能を更新するための情報が含まれており、
    前記接続制御手段は、前記セキュリティ確認手段が確認した結果が異常であったとき前記ポリシ情報に含まれる情報に従って前記更新サーバに接続し、
    前記更新手段は、前記更新サーバを通じて前記機能を更新することを特徴とする請求項9に記載の通信端末制御方法。
  11. 前記ポリシ情報には、前記プロファイルで指定された回線種別毎に、前記機能全てを更新する、前記機能のうち一部の機能を更新する、または前記機能全てを更新しないことを判断するための情報が含まれており、
    前記更新サーバを通じて前記機能を更新するとき前記更新手段は、前記ポリシ情報に含まれる情報に従って前記機能を更新し、更新しない機能に係るプロトコルの使用を制限することを特徴とする請求項10に記載の通信端末制御方法。
  12. 前記プロファイルは、暗号化されており、
    前記接続手段は、暗号化されたプロファイルを復号すると共に、前記接続制御手段が正当か否かを確認し、確認した結果が正当である場合、復号したプロファイルを用いて前記所望のネットワークと接続することを特徴とする請求項7ないし請求項11の何れかに記載の通信端末制御方法。
JP2005146707A 2005-05-19 2005-05-19 通信端末および通信端末制御方法 Active JP4031489B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005146707A JP4031489B2 (ja) 2005-05-19 2005-05-19 通信端末および通信端末制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005146707A JP4031489B2 (ja) 2005-05-19 2005-05-19 通信端末および通信端末制御方法

Publications (2)

Publication Number Publication Date
JP2006324980A true JP2006324980A (ja) 2006-11-30
JP4031489B2 JP4031489B2 (ja) 2008-01-09

Family

ID=37544317

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005146707A Active JP4031489B2 (ja) 2005-05-19 2005-05-19 通信端末および通信端末制御方法

Country Status (1)

Country Link
JP (1) JP4031489B2 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008226046A (ja) * 2007-03-14 2008-09-25 Nippon Telegr & Teleph Corp <Ntt> デジタル証明書検索装置、方法及びプログラム
JP2009260783A (ja) * 2008-04-18 2009-11-05 Nec Corp ネットワーク接続装置、接続設定方法、及び接続設定用プログラム
JP2011048549A (ja) * 2009-08-26 2011-03-10 Nec Corp データ同期システム、データ同期装置、データ同期方法及びデータ同期用プログラム
JP2013048397A (ja) * 2011-02-17 2013-03-07 Panasonic Corp ネットワーク接続装置および方法
JP2013537760A (ja) * 2010-08-05 2013-10-03 ジェムアルト エスアー セキュリティ部品及び携帯通信装置において複数の加入者プロファイルを安全に使用するシステムと方法
JP2015142267A (ja) * 2014-01-29 2015-08-03 日本電気株式会社 無線lan装置、無線lanアクセスポイントへの接続方法及びプログラム
JP2018067804A (ja) * 2016-10-19 2018-04-26 大日本印刷株式会社 電子情報記憶装置、プロファイル変換方法、及びプロファイル変換プログラム

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008226046A (ja) * 2007-03-14 2008-09-25 Nippon Telegr & Teleph Corp <Ntt> デジタル証明書検索装置、方法及びプログラム
JP4584276B2 (ja) * 2007-03-14 2010-11-17 日本電信電話株式会社 デジタル証明書検索装置、方法及びプログラム
JP2009260783A (ja) * 2008-04-18 2009-11-05 Nec Corp ネットワーク接続装置、接続設定方法、及び接続設定用プログラム
JP2011048549A (ja) * 2009-08-26 2011-03-10 Nec Corp データ同期システム、データ同期装置、データ同期方法及びデータ同期用プログラム
JP2013537760A (ja) * 2010-08-05 2013-10-03 ジェムアルト エスアー セキュリティ部品及び携帯通信装置において複数の加入者プロファイルを安全に使用するシステムと方法
JP2013048397A (ja) * 2011-02-17 2013-03-07 Panasonic Corp ネットワーク接続装置および方法
JP2013048398A (ja) * 2011-02-17 2013-03-07 Panasonic Corp ネットワーク接続装置および方法
US8904491B2 (en) 2011-02-17 2014-12-02 Panasonic Corporation Network connecting device and method
US9276770B2 (en) 2011-02-17 2016-03-01 Panasonic Intellectual Property Management Co., Ltd. Network connecting device and method
JP2015142267A (ja) * 2014-01-29 2015-08-03 日本電気株式会社 無線lan装置、無線lanアクセスポイントへの接続方法及びプログラム
JP2018067804A (ja) * 2016-10-19 2018-04-26 大日本印刷株式会社 電子情報記憶装置、プロファイル変換方法、及びプロファイル変換プログラム

Also Published As

Publication number Publication date
JP4031489B2 (ja) 2008-01-09

Similar Documents

Publication Publication Date Title
US8799441B2 (en) Remote computer management when a proxy server is present at the site of a managed computer
CN102047262B (zh) 用于分布式安全内容管理系统的认证
KR101047641B1 (ko) 보안 장치용 보안 및 프라이버시 강화
US9923878B2 (en) Primitive functions for use in remote computer management
US8645520B2 (en) Remote computer management using network communications protocol that enables communication through a firewall and/or gateway
US8086858B2 (en) Secure method of termination of service notification
US20050132229A1 (en) Virtual private network based on root-trust module computing platforms
US20110078676A1 (en) Use of a dynamicaly loaded library to update remote computer management capability
US20070055752A1 (en) Dynamic network connection based on compliance
US20090019134A1 (en) Remote Access System and Method for Enabling a User to Remotely Access Terminal Equipment from a Subscriber Terminal
US8732789B2 (en) Portable security policy and environment
US20130276060A1 (en) Methods and systems for fallback modes of operation within wireless computer networks
JP4031489B2 (ja) 通信端末および通信端末制御方法
WO2004015958A2 (en) Fine grained access control for wireless networks
KR20000016949A (ko) 이동성장치의국소서비스에대한액세스제어를제공하기위한방법및장치
WO2004110026A1 (en) Methods and systems of remote authentication for computer networks
US20070226782A1 (en) System for updating software in a terminal when access of the terminal is authenticated
JP4536051B2 (ja) 無線lan端末を認証する認証システム、認証方法、認証サーバ、無線lan端末、及びプログラム
US20130262650A1 (en) Management of a device connected to a remote computer using the remote computer to effect management actions
KR100582553B1 (ko) 3g인증에서 생성된 암호키를 이용한 공중 무선랜 및 휴대인터넷의 접속 인증 방법
CN115567310A (zh) 零信任模式下基于网络隐身的客户端安全分发方法
JP2007235853A (ja) ネットワーク機器
US7484094B1 (en) Opening computer files quickly and safely over a network
Vacca Types Of Wireless Network Security Technology
CN112398805A (zh) 在客户机和服务机之间建立通信通道的方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070731

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070918

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071009

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071018

R150 Certificate of patent or registration of utility model

Ref document number: 4031489

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101026

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101026

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111026

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111026

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121026

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121026

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131026

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350