JP2007116509A - Communication terminal, program, communication system, and method for outputting security information - Google Patents
Communication terminal, program, communication system, and method for outputting security information Download PDFInfo
- Publication number
- JP2007116509A JP2007116509A JP2005307000A JP2005307000A JP2007116509A JP 2007116509 A JP2007116509 A JP 2007116509A JP 2005307000 A JP2005307000 A JP 2005307000A JP 2005307000 A JP2005307000 A JP 2005307000A JP 2007116509 A JP2007116509 A JP 2007116509A
- Authority
- JP
- Japan
- Prior art keywords
- information
- network
- communication terminal
- safety
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、無線通信ネットワークシステムにおけるネットワークのセキュリティ情報の出力に関し、特に複数の無線通信ネットワークのセキュリティ情報を出力する通信端末、プログラム、通信システム及びセキュリティ情報出力方法に関する。 The present invention relates to output of network security information in a wireless communication network system, and more particularly to a communication terminal, a program, a communication system, and a security information output method for outputting security information of a plurality of wireless communication networks.
近年、インターネット上においてフィッシング(Phishing)と呼ばれる、個人情報を盗み出す技術のひとつによる被害が問題視されている。このフィッシングとは、金融機関やオンラインショッピングを装ったWEBサイトにユーザーを誘導し、巧みな記載等でユーザーに対してアカウント、パスワードやクレジットカード番号などを入力させ、それらの個人情報を盗み取るという方法である。 In recent years, damage caused by one of techniques for stealing personal information called phishing on the Internet has been regarded as a problem. This phishing refers to directing users to websites disguised as financial institutions and online shopping, allowing them to enter their accounts, passwords, credit card numbers, etc. with clever descriptions and stealing their personal information. Is the method.
一方、無線通信においては、有線通信と異なり無線であるがゆえに交信可能な範囲であればアクセス可能であり、接続先が見えないために、本来接続していると思われる接続先とは異なるところへ接続してしまっているという状況が考えられる。 On the other hand, in wireless communication, unlike wired communication, because it is wireless, it can be accessed within the communicable range, and since the connection destination is not visible, it is different from the connection destination that is supposed to be connected originally The situation that you have been connected to is considered.
特に無線LAN(Local Area Network)通信においては、本来の無線LANアクセスポイントを識別するためのSSID(Service Set Identity)と呼ばれる識別子と同様のSSIDが設定された不正な無線LANアクセスポイントを、本来の無線LANアクセスポイントの近くにおいてより強力な信号を送るように設定した上で設置することで、容易に無線LAN接続ユーザーを誘導することが可能である。 In particular, in wireless LAN (Local Area Network) communication, an unauthorized wireless LAN access point in which an SSID similar to an identifier called SSID (Service Set Identity) for identifying an original wireless LAN access point is set is used. By installing the wireless LAN access point in the vicinity of the wireless LAN access point, it is possible to easily guide the wireless LAN connection user.
このとき、無線LAN端末は、無線LANアクセスポイントへ接続する際の認証としてIEEE(Institute of Electrical and Electronic Engineers)802.1Xと呼ばれる認証にて電子証明書を用いた方法によって無線LANアクセスポイントと無線LAN端末の両者で相互認証を行う方法を用いるとき以外は、この不正な無線LANアクセスポイントへ接続してしまう状況が考えられる。 At this time, the wireless LAN terminal is connected to the wireless LAN access point by a method using an electronic certificate in authentication called IEEE (Institute of Electrical and Electronic Engineers) 802.1X as authentication when connecting to the wireless LAN access point. Except when using a method of performing mutual authentication between both of the LAN terminals, a situation in which connection to this unauthorized wireless LAN access point is conceivable.
企業における無線LANの運用では、利用者を厳密に認証するために上記のIEEE 802.1Xを使用する状況も十分考えられる。しかし、このIEEE 802.1Xを使用するには別途認証サーバが必要となるため、家庭やSOHO(Small Office / Home Office)などのように認証サーバを用意できないような環境では、変わりにパスフレーズを用いた方式が今後も利用されることが予想される。このパスフレーズを用いた方法では、無線LAN端末と無線LANアクセスポイントにおいて同じ値を共有しているというのみであり、通信相手が唯一であるという意味での認証は行われない。 In the operation of a wireless LAN in a company, a situation where the above IEEE 802.1X is used in order to strictly authenticate a user is also conceivable. However, a separate authentication server is required to use this IEEE 802.1X, so in an environment where an authentication server cannot be prepared such as a home or SOHO (Small Office / Home Office), a passphrase is used instead. The method used is expected to be used in the future. In the method using this passphrase, the wireless LAN terminal and the wireless LAN access point only share the same value, and authentication is not performed in the sense that the communication partner is unique.
最近では、このような不正な無線LANアクセスポイントを意図的に本来の無線LANアクセスポイントの近くに設置することでユーザーを誘導し、ユーザーは本来の無線LANアクセスポイントに接続しているつもりで、ユーザーアカウント、パスワード、及びクレジットカード番号などの重要な情報を入力してしまうことで、個人情報を渡してしまうことが考えられる。なお、このような脅威は「Evil Twins」や「WiPhishing」と呼ばれている。 Recently, such an unauthorized wireless LAN access point is intentionally placed near the original wireless LAN access point to guide the user, and the user intends to connect to the original wireless LAN access point. It is conceivable that personal information is passed by inputting important information such as a user account, a password, and a credit card number. Such threats are called “Evil Twins” and “WiPhishing”.
このとき、ユーザーは本来の無線LANアクセスポイントに接続していると思い込んでしまうが、不正な無線LANアクセスポイントへ接続していることを判断する仕組みは存在しない。 At this time, the user thinks that the user is connected to the original wireless LAN access point, but there is no mechanism for determining that the user is connected to an unauthorized wireless LAN access point.
次に携帯端末において複数の無線インターフェースが搭載されようとしている。現時点でも携帯電話と無線LAN、Bluetooth(登録商標)、及びNFC(Near Field Communication)の組み合わせが存在している。今後はこれ以外にも、IEEE 802.16(WiMAX)などますます増えていくことが考えられる。 Next, a plurality of wireless interfaces are being installed in portable terminals. At present, there are combinations of mobile phones, wireless LANs, Bluetooth (registered trademark), and NFC (Near Field Communication). In the future, it is conceivable that IEEE 802.16 (WiMAX) will increase in addition to this.
また、1つの無線インターフェースにおいても、接続先ネットワークの候補が複数存在する可能性がある。例えば、無線LANにおいては、複数の無線LANアクセスポイントが同時に見え、その中のどれかに接続する可能性が考えられるように、接続先ネットワークの候補が多数存在することになる。 In addition, there may be a plurality of connection destination network candidates even in one wireless interface. For example, in a wireless LAN, there are a large number of connection destination network candidates so that a plurality of wireless LAN access points can be seen simultaneously and connected to any of them.
つまり、無線インターフェースが多数存在し、かつ1つの無線インターフェースにおいても接続先ネットワークの候補が多数存在するなかでユーザーはそれぞれの無線状況を理解し、また利用する無線通信をユーザーが選択するためには、ユーザーに対して高度な知識を要求することになる。 In other words, there are many wireless interfaces, and there are many connection destination network candidates in one wireless interface, so that the user understands each wireless situation and the user selects a wireless communication to use. Will require advanced knowledge from users.
このことから、ユーザーに対して接続先ネットワークの切り替えを意識させずに、複数存在する接続先の中から適切に選択し接続する機能が必要になると考えられる。また、複数同時に接続することも含めて考えられる。 For this reason, it is considered that a function for appropriately selecting and connecting from a plurality of connection destinations is required without making the user aware of switching of the connection destination network. In addition, a plurality of connections can be considered simultaneously.
こうした場合、ユーザーはどこのネットワークに接続しているかを十分に把握し、接続しているネットワークが正しいかどうかを判断しなければ、前述したような不正なネットワークに誘導され、重要な情報が流出してしまう危険性が考えられる。 In such a case, if the user fully understands the network to which the user is connected and does not determine whether the connected network is correct, the user is directed to an unauthorized network as described above, and important information is leaked. There is a risk of doing so.
一般的に、PCなどで動作しているネットワーク接続アプリケーションなどにおいては、現在接続している無線通信状況などを表示する機能を搭載しているものも存在する。しかし、各接続状況の詳細が表示されていたとしても、知識のあるユーザーでなければ理解できないということが考えられる。 In general, some network connection applications running on a PC or the like are equipped with a function for displaying a currently connected wireless communication status. However, even if the details of each connection status are displayed, it is possible that only a knowledgeable user can understand.
また、携帯端末は、通信の接続に関して圏外/圏内という情報をアンテナ表示等によってユーザに示す機能が存在するが、詳細な接続状況をユーザーが理解しやすい適切な形式で表示する機能を備えていない。また、セキュリティという観点から見ると、携帯電話網は携帯電話事業者によって保護されているものであり、ユーザーは意識する必要がなかったとも言える。 In addition, although a mobile terminal has a function of showing information about out-of-service / out-of-service information to a user by an antenna display or the like regarding a communication connection, it does not have a function of displaying a detailed connection status in an appropriate format that is easy for the user to understand . Also, from the viewpoint of security, it can be said that the mobile phone network is protected by a mobile phone operator and the user does not need to be aware of it.
しかし、携帯電話としての無線インターフェース以外の無線インターフェースが携帯電話に搭載され使用されることにより、これまで携帯電話サービス提供者によって保護されていた無線通信区間及び携帯電話サービス提供者のネットワークのセキュリティは、必ずしも保護されているとはいえないことから、ユーザー自身にセキュリティを意識させるようにする必要がある。 However, the wireless interface other than the wireless interface as a mobile phone is installed and used in the mobile phone, so that the security of the wireless communication section and the mobile phone service provider network protected by the mobile phone service provider so far is Because it is not necessarily protected, it is necessary to make the user aware of security.
これに加えて、あるネットワークに対して安全にアクセスするための技術としてVPN(Virtual Private Network)が存在する。VPNが加わると、接続可能とみなすことができるようなネットワークがさらに増えることになる。またVPNの場合、無線インターフェースとは異なるネットワークの特徴を有することとなり、それぞれの接続の特徴を詳細に通知したとしても、現在接続しているネットワークをユーザーが理解することはますます困難になると考えられる。すなわち、ユーザーに対して、接続しているネットワークを十分に理解し、安全に通信を行うように期待することが相変わらず必要であるにも関わらず、実際にはそれは困難であると考えられるからである。
従来の無線通信ネットワークには次のような問題点がある。
第1の問題点は、複数のネットワーク接続候補を有する通信端末において、接続しているネットワークに関するセキュリティ情報を通信端末の利用者が理解するのが困難であるという点である。
The conventional wireless communication network has the following problems.
The first problem is that in a communication terminal having a plurality of network connection candidates, it is difficult for a user of the communication terminal to understand security information regarding the connected network.
その理由は、従来の技術では、各接続ごとに詳細な接続に対する認証方式及び通信路の暗号化方式などを通知するだけであり、利用者に対して容易に理解できることを考慮していないからである。 The reason is that the conventional technology only notifies the authentication method for the detailed connection and the encryption method of the communication path for each connection, and does not consider that it can be easily understood by the user. is there.
第2の問題点は、通信端末の利用者が気づかないうちに通信端末が不正なネットワークに接続してしまう点である。 The second problem is that the communication terminal connects to an unauthorized network without the user of the communication terminal being aware.
その理由は、従来の技術では、各接続ごとに詳細な接続に対する認証方式及び通信路の暗号化方式などを通知するだけであり、利用者に対して容易に理解できることを考慮していないからである。 The reason is that the conventional technology only notifies the authentication method for the detailed connection and the encryption method of the communication path for each connection, and does not consider that it can be easily understood by the user. is there.
第3の問題点は、通信端末が不正なネットワークに接続してしまうことによって、通信端末の利用者が気づかないうちにネットワーク上のサービスへログインするためのアカウントやパスワードなどが漏洩してしまう可能性がある点である。 The third problem is that the account or password for logging in to the service on the network may be leaked without the communication terminal user noticing because the communication terminal is connected to an unauthorized network. This is a point.
その理由は、ネットワークに接続している通信端末において、接続しているネットワークを介してWEBブラウザの情報入力フォームなどにおいてWEBサービスなどへログインするためのアカウントやパスワード、もしくはクレジットカード番号などを入力するかどうかは、利用者の判断に委ねており、通信端末において防ぐ仕組みがないという点である。 The reason is that the communication terminal connected to the network inputs the account, password, credit card number, etc. for logging in to the WEB service etc. on the information input form of the WEB browser via the connected network. Whether or not it is left to the user's judgment, there is no mechanism to prevent in the communication terminal.
また、従来の無線通信ネットワークシステムの技術の1例として、特開2005−065018号公報(特許文献1)には、設定情報配布サーバ2により、無線LAN4へ接続するための設定情報を送信し、無線端末1により、アクセスポイント3からの電波を受信しこの電波よりアクセスポイントIDを取り出すとともに設定情報配布サーバ2より設定情報を受信し、この設定情報とアクセスポイントIDとをアクセスポイント3に送信しこのアクセスポイント3から無線LAN4への接続承認信号を受信する無線LAN接続システムの技術が開示されており、無線端末1が現在接続しているネットワークを無線端末1のユーザーが理解していない場合であっても、安全に通信を行うことができ、特許文献1を1例とする従来技術は、通信端末が接続するネットワークについての接続情報を、ネットワーク上のサーバから通信端末に通知する場合に、サーバ及び通信端末が共に対応する必要があるという問題点がある。
In addition, as an example of the technology of the conventional wireless communication network system, Japanese Patent Laid-Open No. 2005-065018 (Patent Document 1) transmits setting information for connecting to the
その理由は、通信端末が、ネットワーク上のサーバが有するセキュリティ暗号化の鍵等の設定情報を受信して認証を受けることによって、接続するネットワーク上のアクセスポイントから接続の承認を受けることができるからである。 The reason is that the communication terminal can receive connection approval from an access point on the connected network by receiving setting information such as a security encryption key held by a server on the network and receiving authentication. It is.
本発明の目的は、通信端末が現在接続しているネットワーク通信路に対するセキュリティに関する情報を、通信端末のみの対応によって利用者が容易に理解することができる通信端末、プログラム、通信システム及びセキュリティ情報出力方法を提供することにある。 An object of the present invention is to provide a communication terminal, a program, a communication system, and a security information output that enable a user to easily understand information related to security for a network communication path to which the communication terminal is currently connected by handling only the communication terminal. It is to provide a method.
本発明の他の目的は、通信端末が接続しているネットワークのセキュリティレベル(安全性)に応じて、通信端末が有する機能に制限を設けることができる通信端末、プログラム、通信システム及びセキュリティ情報出力方法を提供することにある。 Another object of the present invention is to provide a communication terminal, a program, a communication system, and security information output capable of limiting the functions of the communication terminal according to the security level (safety) of the network to which the communication terminal is connected. It is to provide a method.
上記目的を達成するための本発明は、通信端末から基地局を介してネットワークに接続する通信システムの前記通信端末において、接続している前記ネットワークに関するセキュリティ情報を、情報量が少ない所定の形式で生成して出力することを特徴とする。 In order to achieve the above object, the present invention provides a communication terminal for a communication system connected to a network from a communication terminal via a base station, wherein security information relating to the connected network is expressed in a predetermined format with a small amount of information. Generated and output.
すなわち、本発明は、接続している前記ネットワークに関するセキュリティ情報を、情報量が少ない所定の形式で生成して出力することによって、通信端末のユーザーが容易にネットワークの安全性を判断することができるようにするものである。 That is, according to the present invention, by generating and outputting security information related to the connected network in a predetermined format with a small amount of information, the user of the communication terminal can easily determine the safety of the network. It is what you want to do.
また、上記目的を達成するための本発明は、前記ネットワークの安全性の有無を判定するための安全基準情報に基づいて前記ネットワークの安全性を判定し、前記安全性の判定結果に基づいて情報量が少ない所定の形式の前記セキュリティ情報を生成することを特徴とする。 Further, the present invention for achieving the above object is to determine the safety of the network based on safety standard information for determining the presence or absence of safety of the network, and to perform information based on the safety determination result. The security information in a predetermined format with a small amount is generated.
すなわち、本発明は、ネットワークの安全性の有無を判定するための安全基準情報に基づいてネットワークの安全性を判定し、安全性の判定結果に基づいて情報量が少ない所定の形式のセキュリティ情報を生成することによって、ネットワークの安全性を保持したまま、通信端末のユーザーが容易にネットワークの安全性を判断することができるようにするものである。 That is, the present invention determines the security of the network based on the safety standard information for determining the presence or absence of the network safety, and the security information in a predetermined format with a small amount of information based on the safety determination result. Thus, the user of the communication terminal can easily determine the safety of the network while maintaining the safety of the network.
さらに、上記他の目的を達成するための本発明は、前記カテゴリー又は前記セキュリティ情報の少なくとも何れかに対応してアプリケーションの起動の可否を判定するアプリケーション起動可否判定情報に基づいて、前記アプリケーションが保有する機能の一部又は全部の実行に制限をかけることを特徴とする。 Furthermore, the present invention for achieving the above-mentioned other object is provided by the application based on application activation availability determination information for determining whether the application can be activated according to at least one of the category and the security information. It is characterized by restricting execution of part or all of the function to be performed.
すなわち、本発明は、カテゴリー又はセキュリティ情報の少なくともいずれかに対応して、アプリケーションが保有する機能の一部又は全部の実行に制限をかけることができるようにするものである。 In other words, the present invention makes it possible to limit the execution of some or all of the functions held by the application in correspondence with at least one of the category and the security information.
本発明によれば、通信端末が接続しているネットワークに対する安全性の有無を、通信端末のユーザが複雑なネットワーク接続情報を理解することなく容易に判断できる。 ADVANTAGE OF THE INVENTION According to this invention, the presence or absence of safety | security with respect to the network which the communication terminal is connecting can determine easily without the user of a communication terminal understanding complicated network connection information.
その理由は、接続しているネットワークに関するセキュリティ情報を、情報量が少ない所定の形式で生成して出力するからである。 The reason is that security information related to the connected network is generated and output in a predetermined format with a small amount of information.
また、本発明によれば、ネットワークの安全性を保持したまま、通信端末が接続しているネットワークに対する安全性の有無を、通信端末のユーザーが複雑なネットワーク接続情報を理解することなく容易に判断できる。 In addition, according to the present invention, it is easy for the user of the communication terminal to determine whether or not the network connected to the communication terminal is safe without comprehending complicated network connection information while maintaining the safety of the network. it can.
その理由は、ネットワークの安全性の有無を判定するための安全基準情報に基づいてネットワークの安全性を判定し、安全性の判定結果に基づいて情報量が少ない所定の形式のセキュリティ情報を生成するからである。 The reason is that the security of the network is determined based on the safety standard information for determining whether the network is safe, and the security information of a predetermined format with a small amount of information is generated based on the safety determination result. Because.
(第1の実施の形態)
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
(First embodiment)
Next, the best mode for carrying out the present invention will be described in detail with reference to the drawings.
(第1の実施の形態の構成)
図1は、本発明の第1の実施の形態による無線通信システムの構成を示す図である。
(Configuration of the first embodiment)
FIG. 1 is a diagram showing a configuration of a radio communication system according to the first embodiment of the present invention.
図1を参照すると、本実施の形態による無線通信システムは、通信ネットワークシステムA(同図左側)と、通信ネットワークシステムB(同図右側)と、該通信ネットワークシステムAと該通信ネットワークシステムBの両方へ双方向通信可能な通信回線に接続された通信端末10とから構成される。
Referring to FIG. 1, the wireless communication system according to the present embodiment includes a communication network system A (left side in the figure), a communication network system B (right side in the figure), the communication network system A, and the communication network system B. The
通信ネットワークシステムAは、例えば特定エリア(無線LAN(WLAN)スポット)内での特定サービス及びインターネットアクセスとして利用されているパブリック無線LANシステムである。 The communication network system A is a public wireless LAN system used as a specific service and Internet access in a specific area (wireless LAN (WLAN) spot), for example.
通信ネットワークシステムBは、例えば企業内での社内サービス及びインターネットアクセスして利用されているプライベート無線LANシステムである。 The communication network system B is, for example, a private wireless LAN system used for in-house services within the company and Internet access.
通信ネットワークシステムAである上記パブリック無線LANシステムは、通信端末10との間で無線通信を行うアクセスポイント20と、パブリックネットワーク40とから構成される。
The public wireless LAN system, which is the communication network system A, includes an
通信ネットワークシステムBである上記プライベート無線LANシステムは、通信端末10との間で無線通信を行うアクセスポイント30と、プライベートネットワーク50と、プライベートネットワーク50に接続しようとしている通信端末10に対する接続の可否を判断する認証サーバ60とから構成される。
The private wireless LAN system, which is the communication network system B, determines whether or not the
通信端末10は、パブリックネットワーク40及びプライベートネットワーク50の通信回線にアクセス可能な無線通信インタフェースを備え、該通信回線に接続可能なコンピュータや携帯情報端末、携帯電話などであればよい。
The
アクセスポイント20は、IEEE 802.11で示される技術に基づいて基地局としての機能を保持し、通信端末10と、パブリックネットワーク40に接続された装置との間におけるデータ通信を中継する機能を有する。例えば、アクセスポイント20は、WPA(Wi-Fi Protected Access)でPSK(Pre-Shared Key)を用いて、TKIP(Temporal Key Integrity Protocol)で暗号化通信を行うように設定されていることにより、上記機能を達成してもよい。
The
アクセスポイント30は、IEEE 802.11で示される技術に基づいて基地局としての機能を保持し、通信端末10と、プライベートネットワーク50に接続された装置との間におけるデータ通信を中継する機能を有する。
The
また、アクセスポイント30は、IEEE 802.11i及びIEEE 802.1Xで示される技術に基づくアクセスポイントとしての機能と、IEEE 802.1Xで規定されるオーセンティケータ(Authenticator)の機能とを保持し、通信の接続を試みる通信端末10に対して認証サーバ60と認証情報のやり取りを介して通信端末10に対する接続の可否を判断する機能を要する。例えば、アクセスポイント30は、WPA2(Wi-Fi Protected Access 2)で802.1X認証を用いて、AES(Advanced Encryption Standard)で暗号化通信を行うように設定されており、通信端末10がアクセスポイント30を介して通信することができるように認証サーバ60において通信端末10に対するアクセス権が予め設定されていることにより、上記各機能を達成してもよい。
Further, the
通信端末10は、IEEE 802.11で示される技術に基づく端末の機能を保持し、アクセスポイント20,30を介して、パブリックネットワーク40及びプライベートネットワーク50にそれぞれ接続された各装置とインターネットプロトコル(IP)を用いて通信が可能である。
The
また、通信端末10は、IEEE 802.11i及びIEEE 802.1Xで示される技術に基づく端末としての機能と、IEEE 802.1Xで規定されるサプリカント(Supplicant)の機能とを保持し、データ通信が可能となるために、アクセスポイント20,30と無線物理層を用いて接続ネゴシエーション(接続処理)、IEEE 802.1Xによるユーザー認証、鍵交換、が完了した時点で本ネットワークの一端末として動作する。
Further, the
ここで、IEEE 802.1X認証時には、例えば、識別情報として、ユーザID及びパスワードを必要とするかもしれないし、保持している自身のユーザ証明書を必要とするかもしれないが、いずれの識別情報を必要とするかはネットワーク接続のための認証時に選択される認証方式しだいである。 Here, at the time of IEEE 802.1X authentication, for example, a user ID and a password may be required as identification information, or a user certificate that is held may be required. Depends on the authentication method selected at the time of authentication for network connection.
図2は、図1の通信端末10の構成を示すブロック図である。図2において、通信端末10は、接続設定入力部110、接続設定記憶部120、接続先決定部130、通信制御部140、無線通信インターフェース部150、安全基準記憶部160、安全基準判定部170、安全性表示部180、出力表示部190、記憶媒体200、とから構成されている。
FIG. 2 is a block diagram showing a configuration of the
これら通信端末10の各構成要素は、概略次のような機能を有する。
Each component of the
接続設定入力部110は、通信端末10が無線通信インタフェース150を介してネットワークへ接続するために必要となる情報を設定し、設定した情報を接続設定記憶部120へ渡す機能を有する。
The connection setting
ここで設定する情報は、1つのネットワークに対する設定だけではなく、複数のネットワークへ接続するための情報を設定することが可能である。例えば、設定する情報としては、無線LAN(WLAN)接続のためのESSID(Extended Service Set ID)やWPA、WPA2などの接続方式、802.1X、PSKなどの認証方式、TKIP、CCMPなどのデータの暗号化方式、また認証に使用するパスフレーズ、ユーザーID/パスワード、証明書などの情報を含む。 The information to be set here can be set not only for a single network but also for connecting to a plurality of networks. For example, information to be set includes ESSID (Extended Service Set ID) for wireless LAN (WLAN) connection, connection methods such as WPA and WPA2, authentication methods such as 802.1X and PSK, data such as TKIP and CCMP It includes information such as encryption method, passphrase used for authentication, user ID / password, and certificate.
接続設定記憶部120は、通信端末10が無線インタフェース150を介してがネットワークへ接続するために必要となる情報を記憶する機能を有する。接続設定記憶部120が記憶する情報の内容は、接続設定入力部110から渡される情報によって設定され、接続先決定部130によって読み出される。
The connection
ここで、接続設定記憶部120が記憶する内容は、接続設定入力部110により設定されてもよいし、接続設定記憶部120が予め記憶していてもどちらでもよい。なお、接続設定記憶部120は、複数のネットワークへ接続するための情報を記憶することが可能である。
Here, the content stored in the connection setting
接続先決定部130は、通信端末10が無線インタフェース150を介してどのネットワークへ接続するか、また、いつ接続するかを決定する機能を有する。
The connection
また、接続先決定部130は、通信制御部140に対して現在接続可能なアクセスポイントを要求し、通信制御部140から取得したアクセスポイントのリストと接続設定記憶部120にて保持される設定を比較して、通信の接続に適切なネットワークを判断しネットワークへの接続要求を通信制御部140に対して行う機能を有する。例えば、無線LANの場合、アクセスポイントのスキャン要求を通信制御部140に対して行い、取得したアクセスポイントから自身で保持している設定の中から接続可能なものを選択し、決定した接続に対する接続要求を通信制御部140に対してESSID、接続方式、暗号化方式、認証に必要となる情報などとともに要求を行う機能を有する。
Further, the connection
通信制御部140は、接続先決定部130からの要求に基づきネットワークへの接続処理を行う機能を有する。具体的には、通信制御部140は、アクセスポイントの検索、アクセスポイントとの接続ネゴシエーション、データの暗号化/復号など一連の役割を担う機能と、アクセスポイントの検索結果を接続先決定部130へ通知する機能とを有する。
The
また、通信制御部140は、ネットワーク接続が完了した時には、接続に使用している接続方式、暗号化方式、などの情報と共に完了した旨を安全基準判定部170へ通知する機能を有する。
In addition, when the network connection is completed, the
無線通信インタフェース部150は、通信制御部140から受けとったデータを無線でアクセスポイントに送信する機能と、アクセスポイントから受信したデータを通信制御部140へ渡す機能を有する。すなわち、無線通信インタフェース部150は、主に、アクセスポイントとの通信の際に用いられる。
Wireless
安全基準記憶部160は、接続したネットワークまでの通信路が安全であるかどうか、及び接続したネットワークが信頼できるかどうかを判断するための安全基準情報を格納する機能を有する。なお、安全基準記憶部160に格納されている安全基準情報は、安全基準判定部170によって読み出される。例えば、安全基準記憶部160には、無線LANの場合、様々な方式(WPA2、WPA、802.1X、PSK、オープンシステム認証、シェアードキー認証、CCMP、TKIP、WEP、など)に対する安全性を判定するための値としてそれぞれの組み合わせに対して2値(0,1)で記憶している。例えば、WPA2で802.1Xを使用し、802.1Xの認証にはEAP-TLS(Extended Authentication Protocol - Transport Layer Security)を使用し、暗号化にはCCMPを使用している場合、通信路の安全性の値を1、ネットワークの信頼性の値を1として格納してある。この場合、値が1のときに安全であることを示し、値が0のときに安全ではないことを意味する。
The safety
安全基準判定部170は、接続したネットワークまでの通信路が安全であるかどうか、及び接続したネットワークが信頼できるかどうかを判定する機能を有する。そのため、安全基準判定部170は、安全性や信頼性を判定するための安全基準情報を安全基準記憶部160より読み出す機能を有する。
The safety
また、安全基準判定部170は、通信路の安全性及びネットワークの信頼性の判定結果と共に必要に応じて接続情報を安全性表示部180へ通知する機能を有する。
Further, the safety
さらに、安全基準判定部170は、適宜、安全性表示部180から通知を要求された場合は、記憶している接続情報に基づいて判定した判定結果及び接続情報を安全性表示部180に通知する機能を有する。例えば、無線LANの場合において、例えば、WPA2で802.1Xを、802.1Xの認証にはEAP-TLSを、暗号化にはCCMPを使用している場合、通信路の安全性の値が1、ネットワークの信頼性の値が1であることを通知する。このとき、任意のネットワークの信頼性を提示するために、認証時に使用した認証サーバ側から提示される電子証明書を一緒に通知してもよい。
Further, when the notification is appropriately requested from the
安全性表示部180は、安全性基準判定部170から通知された判定結果及び接続情報に基づいて、接続しているネットワークの安全性を出力表示部190に通知する機能を有する。例えば、安全性表示部180は、接続しているネットワークまでの通信路の安全性の値が1、ネットワークの信頼性の値が1であることに加え、認証に使用された認証サーバ側の電子証明書を通知されると、当該通信路について安全性及び信頼性があるという情報と、電子証明書の内容を示す情報とを出力表示部190に通知する。
The
出力表示部190は、安全性表示部180から通知された当該ネットワークの安全性を情報量が少ない所定の形式でユーザーに見えるように画面に表示する機能を有する。
The
ここで、通信端末10のハードウェア構成の説明をする。
Here, the hardware configuration of the
図3は、本実施の形態によるコンテンツ更新システムの通信端末10のハードウェア構成の1例を示すブロック図である。
FIG. 3 is a block diagram showing an example of the hardware configuration of the
図12を参照すると、本発明による通信端末10は、一般的なコンピュータ装置と同様のハードウェア構成によって実現することができ、CPU(Central Processing Unit:中央処理装置)301、RAM(Random Access Memory)等のメインメモリであり、データの作業領域やデータの一時退避領域に用いられる主記憶部302、インターネット80を介してデータの送受信を行う通信制御部303、液晶ディスプレイ、プリンタやスピーカ等の提示部304、キーボードやマウス等の入力部305、周辺機器と接続してデータの送受信を行うインタフェース部306、ROM(Read Only Memory)、磁気ディスク、半導体メモリ等の不揮発性メモリから構成されるハードディスク装置である補助記憶部307、本情報処理装置の上記各構成要素を相互に接続するシステムバス308等を備えている。
Referring to FIG. 12, a
本発明による通信端末10は、その動作を、通信端末10内部にそのような機能を実現するプログラム400を組み込んだ、LSI(Large Scale Integration)等のハードウェア部品からなる回路部品を実装してハードウェア的に実現することは勿論として、上記した各構成要素の各機能を提供するプログラム400を、コンピュータ処理装置上のCPU301で実行することにより、ソフトウェア的に実現することができる。
The
すなわち、CPU301(制御部31)は、補助記憶部307に格納されているプログラム400を、主記憶部302にロードして実行し、通信端末10の動作を制御することにより、上述した各機能をソフトウェア的に実現する。
That is, the CPU 301 (control unit 31) loads the program 400 stored in the
(第1の実施の形態の動作)
次に、図1及び図2と、図1の通信端末10の動作を示すフローチャート図4と、WLANの場合の図2の安全基準記憶部160での格納形式を表した図5とを参照して本実施の形態の全体の動作の1例について詳細に説明する。尚、図4に示す処理は、通信端末10を構成するコンピュータのCPU301が補助記憶部307のプログラム400を主記憶部302に移して実行することによって実現される。
(Operation of the first embodiment)
Next, refer to FIG. 1 and FIG. 2, FIG. 4 showing the operation of the
データ通信の接続処理は、アクセスポイント20,30を介して通信端末10がネットワークに接続して通信を行うが、これは、通信端末10とアクセスポイント20,30の間でネゴシエーションが行われることによって可能となる。
In the data communication connection process, the
すなわち、まず、通信端末10の接続先決定部130は、通信制御部140から取得したアクセスポイント検索結果と、接続設定記憶部120に格納されている設定とを比較し接続先を決定する。例えば、アクセスポイント検索結果として、パブリックネットワーク40へ接続されたアクセスポイント20とプライベートネットワーク50へ接続されたアクセスポイント30の2つが検出されたとする。このとき、接続設定記憶部120にはプライベートネットワーク50へ接続されたアクセスポイント30に対する接続情報と一致したため、プライベートネットワーク50へアクセスすることを決定する。
That is, first, the connection
次いで、接続先決定部130が、接続することを決定したネットワークへの接続要求を通信制御部140に対して行うことによって(ステップS401)、通信制御部140が、アクセスポイントとの接続ネゴシエーション(接続処理)を行う(ステップS402)。例えば、プライベートネットワーク50へアクセスするためのアクセスポイント30へ接続するためには、WPA2による接続で、802.1Xの認証にはEAP−TLSが利用され、暗号化にはCCMPが使用されているとすると、通信端末10とアクセスポイント間において802.11ネゴシエーション処理、802.1X認証処理、鍵交換ネゴシエーションが成功裏に完了するものとする。
Next, the connection
次いで、通信制御部140は、接続ネゴシエーションが完了すると、接続が完了した旨を接続に使用した情報と共に安全基準判定部170に通知する(ステップS403)。
Next, when the connection negotiation is completed, the
次いで、安全基準判定部170は、通信制御部140から接続が完了した旨の通知(接続完了通知)を受信すると、共に受信する接続に使用した情報と、安全基準記憶部160に格納されている安全基準情報とを比較して(ステップS404)、接続しているネットワークへの通信路の安全性を算出(決定)し(ステップS405)、さらに、ネットワークの信頼性を算出(決定)する(ステップS406)。例えば、前述のプライベートネットワーク50へ接続した場合、WPA2による接続で、802.1Xの認証にはEAP−TLSが利用され、暗号化にはCCMPが使用されているという情報に加え、EAP−TLSの認証時に認証サーバ側から提示された認証サーバ証明書を受け取る。安全基準記憶部160には、例えば、図5に示す安全基準情報161,162が記憶されており、WPA2/802.1X/EAP−TLSが使用されている場合は信頼性の値が1、CCMPが使用されている場合は通信路の安全性の値が1と算出される。
Next, when the safety
次いで、安全基準判定部170は、算出した信頼性と通信路の安全性に加え、信頼性の算出の基礎となる情報を加えて安全性表示部180に通知する(ステップS407)。例えば、安全基準判定部170は、接続したプライベートネットワーク50までの通信路の安全性の値が1、信頼性の値が1であるという情報と、認証時に通信相手から提示された認証サーバ側の電子証明書とを共に安全性表示部180に通知する。
Next, in addition to the calculated reliability and the safety of the communication path, the safety
最後に、安全性表示部180において、通知された情報に基づいて、接続したネットワークへの通信路の安全性、ネットワークの信頼性と、信頼性の基準となる認証サーバ証明書とを提示することにより、出力表示部190において、情報量が少ない所定のユーザーが理解しやすい形式で上記安全性及び信頼性を表示させることが可能となる(ステップS408)。例えば、出力表示部190が、安全性の値が1であることから安全である旨と、信頼性の値が1であることからネットワークは信頼できる旨と、信頼性の基準となる認証サーバ証明書の情報とを表示することにより、ユーザーは、表示された認証サーバ証明書に対するネットワークへ安全に接続されたことを容易に判断することが可能となる。
Finally, the
安全基準判定部170において、安全基準記憶部160に基準となる安全基準の設定が存在しない場合は、不明とする値(例えば−1の値)を設定してもよい。
In the safety
また、本実施の形態のネットワーク構成は図6に示すように、図1に示すアクセスポイント20とアクセスポイント30が物理的には同一であるが、パブリックネットワーク40及びプライベートネットワーク50へそれぞれ接続するための異なるESSIDを識別するためのビーコンを送出し、各ESSIDに対してVLAN(Virtual LAN)を利用してパブリックネットワーク40とプライベートネットワーク50への接続を区別する機能を有するアクセスポイント2030を図1に示すアクセスポイント20とアクセスポイント30の変わりに設置するようなネットワーク構成でもかまわない。
Further, as shown in FIG. 6, the
(第1の実施の形態の効果)
本実施の形態による無線通信システムの構成によれば、以下のような効果が達成される。
(Effects of the first embodiment)
According to the configuration of the wireless communication system according to the present embodiment, the following effects are achieved.
第1の効果は、従来は複数の詳細なネットワーク接続状況が表示されるのに対して、ネットワークの安全性を保ったままセキュリティ情報を簡略化できることである。このため、ネットワーク知識を深く要しないユーザーであっても、容易にネットワーク接続状態の安全性を把握することができ、誤ったネットワークへ接続してしまった場合でも気づくことが可能となる。 The first effect is that while a plurality of detailed network connection statuses are conventionally displayed, security information can be simplified while maintaining network safety. For this reason, even a user who does not require deep network knowledge can easily grasp the safety of the network connection state, and can be aware even if the user is connected to the wrong network.
その理由は、接続したネットワークまでの通信路が安全であるかどうか、及び接続したネットワークが信頼できるかどうかを判定するための安全基準情報161,162を安全基準記憶部160に格納し、格納通信端末10におけるネットワーク接続の接続状況に基づいて、通信路と通信相手という2つの観点での安全性を2値化することによって、情報量が少ない所定の形式でユーザに示すからである。
The reason is that the safety standard information 161 and 162 for determining whether the communication path to the connected network is safe and whether the connected network is reliable is stored in the safety
第2の効果は、新しく定義される認証方式や暗号化方式にも容易に対応することが可能となることである。 The second effect is that it is possible to easily cope with newly defined authentication methods and encryption methods.
その理由は、増加した新しく定義される認証方式や暗号化方式の情報を、安全基準記憶部160に追加するだけで、上記方式に対応できるからである。
The reason is that it is possible to cope with the above-described method by only adding information on the newly defined authentication method and encryption method to the safety
第3の効果は、通信端末10における特性の異なる複数の接続方式、接続設定を保持し、接続しているネットワーク毎に、通信速度、セキュリティ強度、認証方式等が異なるような状況で頻繁に通信端末10が移動する状況においても、ユーザーは現在接続しているネットワークの状況を容易に把握できることである。
The third effect is that a plurality of connection methods and connection settings having different characteristics in the
その理由は、安全基準記憶部160において、通信端末10における特性の異なる複数の接続方式、接続設定等を保持しているからである。
This is because the safety
(第2の実施の形態)
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。
(Second Embodiment)
Next, a second embodiment of the present invention will be described in detail with reference to the drawings.
(第2の実施の形態の構成)
図7を参照すると、本実施の形態は、図1のネットワーク構成に加え、VPN/GW部70及びインターネット80を備える点以外は、本発明の第1の実施の形態の構成と同様の構成となっている。
(Configuration of Second Embodiment)
Referring to FIG. 7, this embodiment has the same configuration as that of the first embodiment of the present invention except that it includes a VPN /
VPN/GW部70は、プライベートネットワーク50とインターネット80に接続されており、インターネット80からプライベートネットワーク50へのアクセスを制御する機能を有する。
The VPN /
インターネット80は、パブリックネットワーク40及びプライベートネットワーク50へはVPN/GW部70を介して接続されている。
The
ここで、VPN/GW部70とインターネット80間の通信において、インターネット80側からVPN/GW部70を介してプライベートネットワーク50に接続するには、VPN/GW部70との認証を必要とし、また、認証完了後のデータ通信においてはVPN/GW部70との間の通信は暗号化され、安全な通信路にてプライベートネットワーク50における認証サーバ、端末などとの通信が可能となる。
Here, in communication between the VPN /
本実施の形態による図7の通信端末10の構成を示すブロック図は、第1の実施の形態のものと同一であるが、次の点において機能が一部追加される。
The block diagram showing the configuration of the
接続設定入力部110は、無線インタフェース150を介してネットワークへ接続するために必要となる情報を設定する機能に加え、VPNで接続するための情報を設定する機能を有する点で、第1の実施の形態による接続設定入力部110の構成と異なる。
The connection setting
接続設定記憶部120は、無線インタフェース150を介してネットワークへ接続するために必要となる情報を記憶する機能に加え、VPNで接続するための情報を記憶する機能を有する点で第1の実施の形態による接続設定記憶部120の構成と異なる。
The connection
接続先決定部130は、無線インタフェース150を介してどのネットワークへ接続するか、またいつ接続するかを決定する機能に加え、VPN接続の判断、VPN接続タイミングを決定する機能を有する点で第1の実施の形態による接続先決定部130の構成と異なる。
The connection
すなわち、接続先決定部130は、通信制御部140に対して接続設定記憶部120にて保持される設定に基づいて、VPNを利用したネットワーク接続の可否を判断してVPN接続要求を通信制御部140に対して行う機能を有する。例えば、IPsecの場合、接続先決定部130は、決定したVPN接続に対する接続要求を、接続方式、認証方式、認証に必要となる情報などとともに通信制御部140に対して要求を行う。
That is, the connection
通信制御部140は、接続先決定部130からの要求に基づいてネットワークへの接続処理を行う機能に加え、VPN接続処理を行う機能を有する点で第1の実施の形態による通信制御部140の構成と異なる。
The
すなわち、通信制御部140は、VPN/GW部70との接続ネゴシエーション、データのカプセル化(暗号化/復号)など一連の機能と、VPN接続が完了した時に、VPN接続に使用している接続方式、暗号化方式、認証方式などの情報と共に完了した旨を安全基準判定部170へ通知する機能とを有する。
That is, the
安全基準記憶部160は、第1の実施の形態と同様の機能を有する。例えば、安全基準記憶部160は、IPsecの場合、様々な方式(EAP認証、RSA鍵認証、PKI認証、PSK認証、DES、3DES、AES、など)に対する安全性を判定するための値として、それぞれの組み合わせを2値(0,1)で記憶している。また、例えば、認証にはRSA鍵方式を使用し、暗号化には3DESを使用している場合、安全基準記憶部160は、通信路の安全性の値を1、ネットワークの信頼性の値を1として格納してある。この場合、1の値が安全であることを示し、0の値が安全ではないことを意味する。
The safety
安全基準判定部170は、利用している複数の接続結果を統合する機能を有する点で第1の実施の形態による安全基準判定部170の構成と異なる。
The safety
すなわち、安全基準判定部170は、例えば、無線LAN接続している上でVPN接続を行うような場合、同時に利用しているにも関わらず2つの判定結果を得ることになるが、この判定結果を安全性を保ったまま結合する機能を有する。
That is, for example, when a VPN connection is made after wireless LAN connection is made, the safety
(第2の実施の形態の動作)
次に、本実施の形態による通信端末10の安全基準判定部170の判断手続きを示すフローチャート図10及び図11と、VPNの場合の図2の安全基準記憶部160での格納形式を表した図9と、図1、図5及び図7とを参照し、本実施の形態の全体の動作を示す図8のフローチャートを用いて、本実施の形態の全体の動作について第1の実施の形態と異なる部分を中心に詳細に説明する。尚、図10及び図11に示す処理は、通信端末10を構成するコンピュータのCPU301が補助記憶部307のプログラム400を主記憶部302に移して実行することによって実現される。
(Operation of Second Embodiment)
Next, FIG. 10 and FIG. 11 showing the determination procedure of the safety
通信端末10は、アクセスポイント20を介してパブリックネットワーク40へ接続し、次に、インターネット80を介してプライベートネットワーク50へアクセスするためにVPN/GW部70とVPN接続処理を行う。
The
次いで、通信端末10とVPN/GW部70の間で接続処理が完了すると、通信端末10及びVPN/GW部70の間でのセキュアな通信が開始される。
Next, when the connection process is completed between the
より具体的には、まず、通信端末10がアクセスポイント20を介してパブリックネットワーク40へ接続する際に、例えば、アクセスポイント20への接続には、WPAでPSKを用いた接続で暗号化にはTKIPを使用しているとする。このとき、図5に示すように、安全基準記憶部160に格納されている安全基準情報に基づいて、通信路の安全性の値が1、ネットワークの信頼性の値が0となり、パブリックネットワーク40に対する結果が得られる(ステップS801〜ステップS806)。
More specifically, first, when the
次いで、通信端末10は、接続中のパブリックネットワーク40を介して、インターネット80へ接続し、インターネット80を介してVPN/GW部70とのVPN接続を行う際に、通信端末10の接続先決定部130は、VPN/GW部70とのVPN接続を行うことを決定すると、通信制御部140に対して接続設定記憶部120の情報に基づいて、VPN接続要求を行う(ステップS807)。VPN接続要求を受けた通信制御部140は、VPN/GW部70とのやり取りを行いVPNのトンネルを生成する(ステップS808)。
Next, when the
ここで、VPNトンネルの生成が完了すると、通信制御部140は、接続が完了した旨を接続に使用した情報と共に安全基準判定部170へ通知する(ステップS809)。
Here, when the generation of the VPN tunnel is completed, the
次いで、安全基準判定部170は、VPN接続に関する通信路の安全性に対する対応表、及びネットワークの信頼性に対する対応表を格納している安全基準記憶部160の安全基準情報163,164(図9参照)と、通信制御部140から通知されたVPN接続情報とを比較し(ステップS810)、接続中のVPN接続についての通信路の安全性を算出(決定)し(ステップS811)、さらに、ネットワークの信頼性を算出(決定)する(ステップS812)。例えば、IPsecを用いて認証にはEAP−AKAを、データの暗号化には3DESを使用していたとする。そのとき、安全性基準記憶部160から通信路の安全性については1、ネットワークの信頼性についても1という値が得られる。ここで、1の値は安全であることを意味し、0の値は安全ではないことを意味している。
Next, the safety
この時点で、通信路の安全性及び信頼性については、無線LAN接続についての通信路の安全性及びネットワークの信頼性と、VPN接続についての通信路の安全性及びネットワークの信頼性の2つが存在することになる。 At this point, there are two types of safety and reliability of the communication channel: safety of the communication channel and network reliability for the wireless LAN connection, and safety of the communication channel and network reliability for the VPN connection. Will do.
ここで、本実施の形態における安全基準判定部170は、図10に示すロジックにしたがって、無線LAN接続とVPN接続を統合した通信路の安全性の値を算出(決定)し(ステップS813)、さらに、図11に示すロジックにしたがって、無線LAN接続とVPN接続を統合したネットワークの信頼性の値を算出(決定)する(ステップS814)。なお、本実施の形態のここまでの段階で、VPN接続に対するネットワークの信頼性の値は1、通信路の安全性の値は1である。
Here, the safety
図10は、ステップS813についての、統合した通信路の安全性の算出手順を示すフローチャートであり、通信路の安全性の値については、無線LAN接続に対する通信路の安全性の値に関わらず(ステップS1001)、VPN接続に対する通信路の安全性の値によって(ステップS1002)決定される(ステップS1003,ステップS1004)ので、統合した通信路の安全性の値は1の値が算出される。 FIG. 10 is a flowchart showing a procedure for calculating the safety of the integrated communication path for step S813. The safety value of the communication path is irrespective of the safety value of the communication path with respect to the wireless LAN connection ( In step S1001), the safety value of the communication path with respect to the VPN connection is determined (step S1002) (step S1003, step S1004). Therefore, the safety value of the integrated communication path is calculated as 1.
図11は、ステップS814についての、統合した通信路の安全性の算出手順を示すフローチャートであり、VPN接続に対するネットワークの信頼性の値がこの例では1の値であるので(ステップS1101)、無線LAN接続に対するネットワークの信頼性の値に関わらず(ステップS1102)、統合したネットワークの信頼性の値は1の値が算出される(ステップS1104)。 FIG. 11 is a flowchart showing a procedure for calculating the safety of the integrated communication path for step S814. Since the network reliability value for the VPN connection is a value of 1 in this example (step S1101), wireless communication is performed. Regardless of the network reliability value for the LAN connection (step S1102), the integrated network reliability value is calculated as 1 (step S1104).
他の例として、無線LAN接続がWPA2でEAP−TLSを用いた接続で暗号化にはCCMPを使用しているとし、VPN接続にはIPsecを用いて認証にはPSKを、データの暗号化にはAESを使用していたとする。 As another example, it is assumed that the wireless LAN connection is WPA2 and EAP-TLS is used and CCMP is used for encryption, IPsec is used for VPN connection, PSK is used for authentication, and data is encrypted. Is using AES.
この場合、無線LAN接続に対するネットワークの信頼性の値は図5より1の値、通信路の安全性の値も同様に1の値となる。 In this case, the network reliability value for the wireless LAN connection is a value of 1 from FIG. 5, and the communication path safety value is also a value of 1.
一方、この場合のVPN接続に対するネットワークの信頼性の値は図9より0の値、通信路の安全性の値は1の値となる。 On the other hand, the network reliability value for the VPN connection in this case is 0 as shown in FIG. 9, and the communication path safety value is 1.
そこで、統合した値をそれぞれ算出すると、通信路の安全性の値については、図10より、VPN接続の値が1であるので(ステップS1004)、前述の例と同様に1の値が算出され、一方、ネットワークの信頼性の値については、図11より、VPN接続の方は値が0であるが(ステップS1101)無線LAN接続の方では値が1であるので(ステップS1102)1の値が算出される(ステップS1104)。 Therefore, when the integrated values are calculated, since the VPN connection value is 1 as shown in FIG. 10 for the safety value of the communication path (step S1004), a value of 1 is calculated as in the above example. On the other hand, as for the reliability value of the network, from FIG. 11, the value for VPN connection is 0 (step S1101), but for wireless LAN connection, the value is 1 (step S1102). Is calculated (step S1104).
以降の動作については(ステップS815,ステップS816)、第1の実施の形態と同様の動作(ステップS407,ステップS408)を行う。 Regarding the subsequent operations (steps S815 and S816), the same operations as those in the first embodiment (steps S407 and S408) are performed.
また、本実施の形態は、上述した第1の実施の形態と組み合わせることが可能である。 Moreover, this embodiment can be combined with the first embodiment described above.
(第2の実施の形態の効果)
次に、本発明を実施するための第2の実施の形態の効果について説明する。
(Effect of the second embodiment)
Next, the effect of the second embodiment for carrying out the present invention will be described.
本実施の形態では、通信端末10が無線LANで接続した上でVPN接続を行うように複数の接続状況が絡んでいる状況においても、接続したネットワークまでの通信路が安全であるかどうか、及び接続したネットワークが信頼できるかどうかを判断するための安全基準情報163,164を安全基準記憶部160に格納し、ネットワーク接続の接続状況を統合して1つの接続として認識し、通信路と通信相手という2つの観点での安全性を2値化することによって、通常は複数の詳細なネットワーク接続状況が表示されるのに対して、ネットワークの安全性を保ったまま情報量が少ない所定の形式で表示することができる。このため、ネットワーク知識を深く要しないユーザーであっても、容易にネットワーク接続状態の安全性を把握することができ、誤ったネットワークへ接続してしまった場合でも気づくことが可能となる。
In the present embodiment, whether or not the communication path to the connected network is safe even in a situation where a plurality of connection situations are involved such that the
(第3の実施の形態)
次に、本発明の第3の実施の形態について図面を参照して詳細に説明する。
(Third embodiment)
Next, a third embodiment of the present invention will be described in detail with reference to the drawings.
(第3の実施の形態の構成)
図12は、本発明の第3の実施の形態である無線通信システムの構成を示す図である。
(Configuration of the third embodiment)
FIG. 12 is a diagram illustrating a configuration of a wireless communication system according to the third embodiment of the present invention.
図12を参照すると、第3の実施の形態によるネットワーク構成は、プライベートネットワーク50の代わりに携帯電話網90を備え、携帯電話網90へ無線を介してアクセスするための基地局(BS)25をアクセスポイント30の代わりに備える点で、第2の実施の形態によるネットワーク構成と異なる。
Referring to FIG. 12, the network configuration according to the third embodiment includes a
通信端末10から携帯電話網90へのアクセスする方法は、基地局25を介す方法以外に、インターネット80及びVPN/GW部70を介してアクセスする方法でもよいし、または、パブリックネットワーク40から直接携帯電話網90へアクセス可能な通信路があるネットワーク構成の場合は、パブリックネットワーク40から直接携帯電話網90へアクセスする方法でもよい。
The method of accessing the
基地局25は、通信端末10と携帯電話網90の間のデータを転送する機能を有する。
The
図13は、本実施の形態による図12の通信端末10の構成を示すブロック図であり、携帯電話網通信インタフェース155を有する点で第1及び第2の実施の形態による通信端末10と異なる。
FIG. 13 is a block diagram showing a configuration of
携帯電話網通信インタフェース155は、図12の携帯電話網90へアクセスするために使用され、基地局25との接続ネゴシエーション、データ通信などのデータの送受信を行う機能を有する。
The cellular phone
本実施の形態による通信制御部140は、第1及び第2の実施の形態による通信制御部140の機能に加え、携帯電話網90へアクセスするための制御を行い、データの送受信や接続処理などに用いるデータの送受信の要求を携帯電話網通信インタフェース155へ要求する機能と、携帯電話網90への接続が完了すると、安全基準判定部170に対して完了した旨とともに携帯電話網90への接続情報を通知する機能とを有する。
The
(第3の実施の形態の動作)
次に、第1及び第2の実施の形態の動作を示す図4、図8と、安全基準判定部170の判断手続きを示すフローチャート図10、図11と、図13の安全基準記憶部160での格納形式を表した図14、及び図1、図5、図9、図12を参照して、本実施の形態の全体の動作について前述の実施の形態の動作と異なる部分を中心に詳細に説明する。尚、図10及び図11に示す処理は通信端末10を構成するコンピュータのCPU301が補助記憶部307のプログラム400を主記憶部302に移して実行することによって実現される。
(Operation of the third embodiment)
4 and 8 showing the operation of the first and second embodiments,
また、本実施の形態では、図4、図8、図10及び図11のフローチャートに対して、無線LANに係る部分をそれぞれ携帯電話網と読み替えることで対応する。 Further, in this embodiment, the flowcharts of FIGS. 4, 8, 10, and 11 are dealt with by replacing the part related to the wireless LAN with the mobile phone network.
まず最初に、通信端末10は、携帯電話網90へ接続するために基地局25との接続ネゴシエーションを行い、接続ネゴシエーションを完了する(ステップS402,ステップS802)。
First, the
接続ネゴシエーションが完了しデータ通信が可能となると、通信端末10の通信制御部140は携帯電話網90への接続が完了した旨を安全基準判定部170へ通知する(ステップS403,ステップS804)。
When the connection negotiation is completed and data communication is possible, the
図14は、本実施の形態による安全基準記憶部160に格納されている安全基準の1例である安全基準情報165の値を示す。
FIG. 14 shows the value of the safety standard information 165 that is an example of the safety standard stored in the safety
この安全基準情報165の場合、携帯電話網90へアクセスしている場合は、常に、ネットワークの信頼性の値が1、通信路の安全性の値が1という値が算出される(ステップS405,ステップS406,ステップS805,ステップS806)。
In the case of this safety standard information 165, when accessing the
以降の動作については、第1又は第2の実施の形態と同様の動作を行い、安全基準判定部170は、算出されたネットワークの信頼性の値及び通信路の安全性の値を安全性表示部180へ通知する(ステップS407,ステップS815)。また、安全記述判定部170は、このとき携帯電話網90へ接続している旨を同時に通知してもよい。
う。
Subsequent operations are the same as those in the first or second embodiment, and the safety
Yeah.
また、本実施の形態は、携帯電話網通信インタフェース155をBluetooth(登録商標)インタフェース、WiMAXインタフェース、UWB(Ultra Wide Band)インターフェースに置き換え、これらのインタフェースに対応するセキュリティ情報判断基準を安全基準記憶部160へ格納することで、それぞれの通信方式にも対応することが可能である。
In the present embodiment, the mobile phone
なお、本実施の形態は、上述した第1及び第2の実施の形態のいずれにも組み合わせることが可能であり、さらに第1及び第2の実施の形態を組み合わせた発明にも組み合わせることが可能である。 Note that this embodiment can be combined with any of the first and second embodiments described above, and can also be combined with an invention combining the first and second embodiments. It is.
(第3の実施の形態の効果)
次に、本発明を実施するための第3の実施の形態の効果について説明する。
(Effect of the third embodiment)
Next, the effect of the third embodiment for carrying out the present invention will be described.
第1及び第2の実施の形態では、単一の無線通信インタフェース部150しか備えていないため単一の通信に関する情報しか提供することができなかったが、本発明の第3の実施の形態では携帯電話網通信インタフェース部155を備えるように構成され、かつ安全基準判定部170にてそれぞれの通信接続に対して接続状態を算出することが可能である。
In the first and second embodiments, since only a single wireless
このため、通信端末10において無線LAN接続方式と携帯電話通信網90への接続方式との2種類の方式を有し、複数の接続インタフェースに係る接続状況が絡んでいる状況においても、それぞれの接続に対する統合した接続情報を通知することができる。
For this reason, the
また、いずれのネットワークに接続しているかをユーザーが意識する/しないに関わらず利用している状況において、容易にネットワーク接続状態の安全性を把握することができる。 In addition, it is possible to easily grasp the safety of the network connection state in a situation where the network is used regardless of whether the user is aware or not.
また、携帯電話網通信インタフェース155の代わりにBluetooth(登録商標)インタフェース、WiMAXインタフェース、UWBインタフェースを備えることにより、これらのネットワーク接続状況にも対応することができ、安全基準記憶部160に格納されている情報を利用して、ネットワークのセキュリティ情報を通知できる効果が得られる。
In addition, by providing a Bluetooth (registered trademark) interface, a WiMAX interface, and a UWB interface instead of the mobile phone
(第4の実施の形態)
次に、本発明の第4の実施の形態について図面を参照して詳細に説明する。
(Fourth embodiment)
Next, a fourth embodiment of the present invention will be described in detail with reference to the drawings.
(第4の実施の形態の構成)
図15は、第4の実施の形態による通信端末10の構成を示すブロック図である。図15を参照すると、第4の実施の形態は、本実施の形態による通信端末10が接続先種別記憶部210及び接続先種別判定部220を備える点で、前述の実施の形態と異なる。
(Configuration of the fourth embodiment)
FIG. 15 is a block diagram illustrating a configuration of the
接続先種別記憶部210は、接続しているネットワークのカテゴリー分けに関する情報を保持している。このカテゴリーは予め設定しておくこともできるし、適宜カテゴリーを追加することも可能である。
The connection destination
図16は、接続先種別を判定するための基準を示す対応図の1例であり、接続先種別記憶部210には、図16に示すカテゴリーを分類するために用いるカテゴリー分類情報211が格納されている。
FIG. 16 is an example of a correspondence diagram showing the criteria for determining the connection destination type, and the category classification information 211 used for classifying the categories shown in FIG. 16 is stored in the connection destination
図16を参照すると、接続先種別記憶部210には、例えば、カテゴリーとしてオフィス、ホーム、無線スポット、プロバイダー、携帯電話網などが登録されており、それぞれカテゴリーを分類するために基準となる情報が格納されている。
Referring to FIG. 16, in the connection destination
また、例えば、カテゴリーを分類するために用いるカテゴリー分類情報は、各種証明書、接続方式、RSA鍵、VPN/GW部70のホスト名やIPアドレスを示す項目から構成されており、これらの項目を各カテゴリー毎に保持している。
Further, for example, the category classification information used for classifying the category includes items indicating various certificates, connection methods, RSA keys, the host name and IP address of the VPN /
より具体的には、上記各種証明書は、オフィス、ホーム、無線スポット、プロバイダーや携帯電話網の各種証明書であって、電子証明書を利用した認証時に認証サーバ側から提示された認証サーバ証明書や、電子証明書の検証に使用した認証局証明書等があり、上記接続方式は、携帯電話網接続を使用しているか、EAP-AKA認証方式を使用しているか等を示す情報によって識別され、これらの情報は、カテゴリーを分類するために用いられる。 More specifically, the various certificates are office, home, wireless spot, provider, and mobile phone network certificates, and the authentication server certificate presented from the authentication server side during authentication using an electronic certificate. Certificate, certificate authority certificate used for verification of electronic certificate, etc. The above connection method is identified by information indicating whether the mobile phone network connection is used or the EAP-AKA authentication method is used These information are used to classify categories.
接続先種別判定部220は、安全基準判定部170より通知されたネットワーク接続情報と、接続先種別記憶部210に格納されているカテゴリー分類情報とに基づいて、接続先の種別を判定する機能と、必要であれば、安全性基準判定部170から通知された情報とともに、判定した接続先のカテゴリーとを安全性表示部180へ通知する機能とを有する。
The connection destination
(第4の実施の形態の動作)
次に、本実施の形態による通信端末10の動作について、図16の接続先種別記憶部210に格納されている対応図を参照し、本実施の形態の動作を示す図17のフローチャートを用いて、前述の実施の形態による通信端末10の動作と異なる部分を中心に詳細に説明する。尚、本実施の形態に示す処理は、通信端末10を構成するコンピュータのCPU301が補助記憶部307のプログラム400を主記憶部302に移して実行することが実現される。
(Operation of the fourth embodiment)
Next, regarding the operation of the
本実施の形態による通信端末10は、まず、接続先決定部130によって決定されたネットワークへ接続され(ステップS1701)、通信制御部140によって接続が完了し、接続完了通知として、接続の完了と共に接続に使用した情報を安全基準判定部170へ通知し(ステップS1702)、通知された情報に基づいて、通信路の安全性に対する値と、ネットワークの信頼性に対する値が求められる(ステップS1703)ところまでは前述の実施の形態と同様である。
The
次に、安全基準判定部170は、通信路の安全性に対する値と、ネットワークの信頼性に対する値と共に、通信制御部140から通知された情報を接続先種別判定部220に通知する(ステップS1704)。例えば、ここで接続先種別判定部220に通知する情報には、ネットワークに接続する際の認証時に認証サーバ側から提示された認証サーバ電子証明書、もしくは認証サーバの電子証明書の検証に使用した認証局証明書に関する情報や、VPN/GW部70との認証時に使用したRSA鍵に関する情報、無線LANの認証方式にEAP―AKA方式を利用したこと、VPN/GW部70のホスト名やIPアドレスなどに関する情報を含む。
Next, the safety
ここで、例えば、図16に示すように、カテゴリーとしてオフィス、ホーム、無線スポット、プロバイダー、携帯電話網、などが接続先種別記憶部210に登録されており、それぞれカテゴリーを分類するために基準となるカテゴリー分類情報211が格納されている。なお、各カテゴリー毎に保持されている情報は適宜、追加及び削除などが可能である。
Here, for example, as shown in FIG. 16, offices, homes, wireless spots, providers, mobile phone networks, and the like are registered in the connection destination
接続先種別判定部220は、安全基準判定部170から通知を受けると接続先種別記憶部210に格納されている図16に示すカテゴリー分類情報211に基づいて、接続したネットワークがいずれのカテゴリーに含まれるかを判定する(ステップS1705)。例えば、WPAを用いて認証にはEAP―TLSを使用し、TKIPでデータ通信の暗号化が行われるとする。このとき、安全基準判定部170からは、ネットワークの信頼性の値が1、通信路の安全性の値が1と共にEAP―TLSの認証時に認証サーバ60側から提示された認証サーバ60の電子証明書(証明書01)が通知されたとする。すると、接続先種別判定部220は、認証サーバ60の電子証明書(証明書01)がどのカテゴリーに含まれるかを接続先種別記憶部210より検索すると、上記証明書01が「オフィス」でカテゴライズされる分類に含まれることを判定する。
Upon receiving the notification from the safety
なお、接続先種別判定部220は、安全基準判定部170から通知された情報がどのカテゴリーにも含まれない場合、例えば、安全基準判定部170から通知された情報が安全性を不明としている場合などは、安全基準判定部170から通知された情報がいずれのカテゴリーにも含まれない旨を安全性表示部180へ通知してもよい。
In addition, when the information notified from the safety
次に、接続先種別判定部220は、必要であれば、判定したカテゴリーを、通信路の安全性、ネットワークの信頼性の値と共に安全性表示部180に通知する(ステップS1706)。
Next, if necessary, the connection destination
次に、通知を受け取った安全性表示部180は、通知された情報を基に接続したネットワークへの通信路の安全性、ネットワークの信頼性とカテゴライズされた分類を提示することにより、出力表示部190を介してユーザーに対し確実にどのネットワークに接続しているかを表示させることが可能となる(ステップS1707)。例えば、安全性の値が1であることから、接続したネットワークへの通信路が安全である旨の表示と、信頼性の値が1であることから、上記ネットワークは信頼できる旨の表示と、分類されたカテゴリーがオフィスであった場合は、オフィスへ接続している旨を表示することにより、ユーザーは、表示された接続先に対するネットワークへ安全に接続されたことを容易に判断することが可能となる。
Next, the
なお、接続先種別記憶部210に格納する情報に対して、カテゴリー及びカテゴリー分類情報211を予め設定することも可能であるが、通信端末10がネットワークに接続している状態で、その時点の接続の状態をあるカテゴリーに登録するという機能を設けることによって、接続先種別記憶部210に対して行う設定を簡単に行うことができる機構を設けてもよい。
Note that the category and category classification information 211 can be set in advance for the information stored in the connection destination
また、第4の実施の形態は、上述した第1の実施の形態、第2の実施の形態及び第3の実施の形態のいずれにも組み合わせることが可能であり、さらに第1の実施の形態から第3の実施の形態までの任意の実施の形態を組み合わせた発明にも組み合わせることが可能である。 Further, the fourth embodiment can be combined with any of the first embodiment, the second embodiment, and the third embodiment described above, and further the first embodiment. It is also possible to combine with the invention which combined arbitrary embodiment from 3 to 3rd Embodiment.
例えば、VPN接続を利用している場合、認証時に使用したRSA鍵やVPN/GW部70のホスト名、IPアドレスなどを使用することが可能であり、また携帯電話網へ接続している場合は、携帯電話網へ接続しているということや、認証方式にEAP―AKAを使用しているといった情報を利用可能である。
For example, when using a VPN connection, it is possible to use the RSA key used at the time of authentication, the host name and IP address of the VPN /
(第4の実施の形態の効果)
次に、本発明を実施するための第4の実施の形態の効果について説明する。
(Effect of the fourth embodiment)
Next, effects of the fourth exemplary embodiment for carrying out the present invention will be described.
前述の実施の形態は、ネットワークの信頼性及び通信路の安全性に加えネットワークの認証時に使用した認証サーバ側が提示した電子証明書を通知する手段しかなかったが、本実施の形態は、接続先の種別を判別する機能を有する接続先種別判定部220と、接続先の種別を判定するための基準であるカテゴリー分類情報211を保持する機能を有する接続先種別記憶部210とを備えていることから、予め設定した接続先の種別を提示することが可能である。このため、ユーザーはどこへ接続されているかを容易に確実に判別することが可能であり、かつ自分で分類の設定をすることができるためカテゴリー分類情報211の拡張は容易であり、そのため接続したネットワークの分類と様々な機能を連携させて動作させることが可能となる。
In the above-described embodiment, in addition to the reliability of the network and the safety of the communication path, there is only a means for notifying the electronic certificate presented by the authentication server used at the time of network authentication. A connection destination
(第5の実施の形態)
次に、本発明の第5の実施の形態について図面を参照して詳細に説明する。
(Fifth embodiment)
Next, a fifth embodiment of the present invention will be described in detail with reference to the drawings.
安全性基準記憶部160に格納されている安全基準情報164〜165,安全基準情報166〜167を示す図18、図19及び、接続先種別記憶部210に格納されているカテゴリー分類情報212を示す図20を参照すると、第5の実施の形態では、通信端末10における構成は前述の第4の実施の形態と同様であるが、安全性基準記憶部160に格納されている安全性基準値の定義方法、接続先種別記憶部210に格納されているカテゴリー分類の基準値の定義方法、安全基準判定部170及び接続先種別判定部220の機能が前述の第4の実施の形態と異なる。
18 and 19 showing safety standard information 164 to 165 and safety standard information 166 to 167 stored in the safety
本実施の形態での安全性基準記憶部160は、図18の安全基準情報166〜167、図19の安全基準168〜169に示すように、0の値から1の値までの所定の数値範囲内のいずれかの値を保持するという点で、0の値か1の値かの2値で格納されていた前述の第4の実施の形態による安全性基準記憶部160と大きく異なる。この値は信頼性もしくは安全性の度合いを数値で表したもので、例えば、1の値が信頼性及び安全性が高いことを示し、0の値が逆に信頼性及び安全性が低いとすると、0.8は信頼性及び安全性が比較的高いことを表し、0.2は信頼性及び安全性が比較的低いことを表す。ここでは0の値から1の値で表現しているが、これは0の値から100の値等、0の値から1の値の範囲とは異なる範囲で表してもよい。
As shown in the safety standard information 166 to 167 in FIG. 18 and the safety standards 168 to 169 in FIG. 19, the safety
安全基準判定部170は、ネットワークの信頼性及び通信路の安全性を0の値から1の値までの数値で表現する点で、ネットワークの信頼性及び通信路の安全性を0の値か1の値かの2値で判定していた前述の実施の形態と大きく異なり、0の値から1の値までの数値で表現した結果を接続先種別判定部220もしくは安全性表示部180へ通知する。
The safety
接続先種別記憶部210は、図20のカテゴリー分類情報212に示すように前述の第4の実施の形態でのカテゴリー分類情報211(図16参照)と比較して、カテゴリーを分類するために用いる情報としてさらにESSIDなどの情報を記憶している。
The connection destination
接続先種別判定部220は、ネットワークの信頼性の値が1ではないときにも、接続しているであろう接続先種別を接続している可能性の割合とともに通知する機能を有している点で、ネットワークの信頼性の値が1、すなわち、あるときのみ接続先種別を判定していた前述の実施の形態と異なる。
The connection destination
(第5の実施の形態の動作)
次に、本実施の形態による通信端末10の動作について、前述の第4の実施の形態による通信端末10の動作を示す図17と、図20の接続先種別記憶部210に格納されている対応図(カテゴリー分類情報211)を参照して、前述の第4の実施の形態による通信端末10の動作と異なる部分を中心に詳細に説明する。尚、本実施の形態に示す処理は、通信端末10を構成するコンピュータのCPU301が補助記憶部307のプログラム400を主記憶部302に移して実行することが実現される。
(Operation of the fifth embodiment)
Next, with respect to the operation of the
安全基準判定部170は、ネットワーク接続完了通知として、通信制御部140から接続完了通知と共に接続に使用した情報を受け取る(ステップS1702)。例えば、WPAによるPSKを用いた認証で、暗号化にはTKIPを使用していたとすると、これらの情報及びESSIDを受け取る。安全基準判定部170は、これらの情報に基づいて、安全基準記憶部160の安全基準情報からネットワークの信頼性の値を0.5、通信路の安全性の値を1と算出(決定)し(ステップS1703)、算出した値と共に通信制御部140から受信した情報を接続先種別判定部220に通知する(ステップS1704)。
The safety
これらの情報を通知された接続先種別判定部220は、接続先種別記憶部210から該当するカテゴリーを検索し取得(判定)する(ステップS1705)。例えば、通知されたESSID(ESSID01)でPSKを用いた認証の場合、ESSID01が登録してある「ホーム」というカテゴリーを取得(判定)する。
The connection destination
カテゴリーを取得した接続先種別判定部220は、カテゴリーと共にネットワークの信頼性及び通信路の安全性を安全性表示部180に通知する(ステップS1706)。上記例では、ネットワークの信頼性の値が0.5、通信路の安全性の値が1及びカテゴリーとして「ホーム」が安全性表示部180に通知されることになる。
The connection destination
なお、通知を受け取った安全性表示部180は、ネットワークの信頼性の値が1ではない場合でも、表示するカテゴリーの信頼性及び通信路の安全性の程度を通知する。すなわち、上記の例では、ネットワークの信頼性の値が0.5であることから、表示するカテゴリーに対して値が0.5の信頼性であること、及び通信路の安全性を安全性表示部180が通知する点において、前述の実施の形態と異なる。このようにすれば、例えば、「ホーム」に50%の信頼性を持って接続していることや、逆に「ホーム」に100%は信頼できない状態で接続しているということを通信端末10のユーザが直感的に判断できるように表している。
The
次いで、安全性表示部180は、前述の内容を出力表示部190に通知し、出力表示部190は、ネットワークの信頼性及び通信路の安全性に対して、それぞれグラフィカルに直感的に理解できるように表示する機能を有し、安全性表示部180から通知された情報を表示する(ステップS1707)。例えば、バーのような形式を用いて何%信頼できるのか、またどの程度暗号化の強度があるのか、また星のようなマークを用いて信頼性や安全性の度合いを星いくつのような形式で表す方法などを備える。
Next, the
また、出力表示部190は、図21の出力表示部191に示すように、表示画面において接続先を示す文字列、接続先に対応して登録してあるアイコン、ネットワークの信頼性や通信路の安全性の強度を示すための鍵のマーク及び数などの接続先の情報を通信端末10が有する表示画面の下部などに表示させてもよい。
Further, as shown in the output display unit 191 in FIG. 21, the
また、通信中を表すマークに加え、無線LANやVPN、携帯電話網への接続である旨の情報を加えた形式で表示してもよい。例えば、図21の出力表示部191に示すように、画面上部右に各種接続情報を表示するような形式でもよい。 Further, in addition to a mark indicating that communication is in progress, information indicating that the connection is to a wireless LAN, VPN, or mobile phone network may be added. For example, as shown in the output display unit 191 in FIG. 21, a format in which various connection information is displayed on the upper right of the screen may be used.
また、出力表示部190は、画面上にはアイコンのみを表示させ、画面上のアイコンがクリックされることで、詳細な説明を表示するという構成を有していてもよい。
Further, the
なお、本発明の第5の実施の形態において、通信端末10がVPN接続を利用している場合、安全基準記憶部160は、図19の安全基準166,167に示されるように前述の第4の実施の形態の0の値、1の値での定義に加えて、0の値から1の値の範囲の値を格納している。
Note that, in the fifth embodiment of the present invention, when the
すなわち、VPN接続を利用している場合、安全基準判定部170は、前述第2の実施の形態と同様に、無線LAN接続に対するネットワークの信頼性及び通信路の安全性と、VPN接続に対するネットワークの信頼性及び通信路の安全性の両方の値を有することになる。
That is, when the VPN connection is used, the safety
しかし、この場合でも、安全基準判定部170は、両方の接続に対して統合した形式でネットワークの信頼性及び通信路の安全性を算出する機能を有する。
However, even in this case, the safety
なお、安全基準判定部170は、通信路の安全性に対しては、図10と同様に、統合されたネットワークの信頼性としてVPN接続の値を採用するアルゴリズムを有し、ネットワークの信頼性に対しては、無線LAN接続とVPN接続の場合の値を比較し、統合されたネットワークの信頼性として、より大きい値を有する接続方式の値を採用するアルゴリズムを有する。
Note that the safety
また、安全基準判定部170は、統合された1つのネットワークの信頼性及び通信路の安全性の組を通知する機能を有する。また、無線LAN及びVPN接続の両接続方式をともに通知する機能を有してもよい。
In addition, the safety
また、安全性表示部180は、安全性基準記憶部160に格納されている信頼性及び安全性のレベルに対応した文字情報を予め設定しておき、接続先種別判定部220から取得したネットワークの信頼性及び通信路の安全性の値に対応する文字情報や図形情報や音声情報等をネットワークの信頼性及び通信路の安全性レベルを示す情報として表示する機能を有する。例えば、通信路の安全性の値が0.8の場合に対しては、「通常利用するには問題ないレベルで通信路は暗号化されています」などを、また、安全性の値が0.2に対しては、「通信路は暗号化されていますが、盗聴される危険性はあります」などを安全性レベルを示す情報として表示し、また、信頼性の値が1の場合に対しては、「接続しているネットワークは信頼できます」などを、また、信頼性の値が0.5の場合に対しては、「接続しているネットワークは意図しているネットワークではない可能性があります」などを信頼性レベルを示す情報として出力表示部190より表示する機能を有する。また、このときに接続先のカテゴリーを含めて通知する機能を有する。
In addition, the
また、本実施の形態は、上述した本発明の第1の実施の形態、第2の実施の形態、第3の実施の形態及び第4の実施の形態のいずれにも組み合わせることが可能であり、さらに第1の実施の形態から第4の実施の形態までの任意の実施の形態を組み合わせた発明にも組み合わせることが可能である。 Further, this embodiment can be combined with any of the first embodiment, the second embodiment, the third embodiment, and the fourth embodiment of the present invention described above. Furthermore, the present invention can be combined with an invention in which any embodiment from the first embodiment to the fourth embodiment is combined.
(第5の実施の形態の効果)
次に、本発明を実施するための第5の実施の形態の効果について説明する。
(Effect of 5th Embodiment)
Next, effects of the fifth exemplary embodiment for carrying out the present invention will be described.
前述の第4の実施の形態は、ネットワークの信頼性及び通信路の安全性を安全か安全ではないかの2値で表すことによって、安全な接続を厳密に表現する手段を有していたが、本実施の形態は、基準値を0の値から1の値などのように所定の数値範囲内において、例えば、百分率(%)で段階を付与できるように構成される安全基準情報164〜167を安全基準記憶部160において格納することから、どの程度安全であるかをレベル付けした形式で算出することを可能とした。このため、ネットワークが安全ではない場合、どの程度安全ではないかをユーザーに提示することによって、その後の処理をユーザーへ委ねるといった、ユーザーへの判断委譲を可能とし、融通を持った表現を可能とした。
The above-described fourth embodiment has means for accurately expressing a secure connection by expressing the reliability of the network and the safety of the communication channel with binary values indicating whether it is safe or not. In the present embodiment, the safety standard information 164 to 167 is configured so that the reference value can be given, for example, as a percentage (%) within a predetermined numerical value range such as a value from 0 to 1. Is stored in the safety
(第6の実施の形態)
次に、本発明の第6の実施の形態について図面を参照して詳細に説明する。
(Sixth embodiment)
Next, a sixth embodiment of the present invention will be described in detail with reference to the drawings.
(第6の実施の形態の構成)
図22は、本発明による第6の実施の形態による通信端末10の構成を示したブロック図である。
(Configuration of the sixth embodiment)
FIG. 22 is a block diagram showing the configuration of the
通信端末10は、処理モード記憶部230及び処理モード判定部240を備える点、及び安全基準判定部170の動作の一部の点が、前述の実施の形態と異なる。
The
本実施の形態の通信端末10の動作についても説明しつつ、前述の実施の形態と異なる点を中心に詳細に説明する。尚、本実施の形態に示す処理は、通信端末10を構成するコンピュータのCPU301が補助記憶部307のプログラム400を主記憶部302に移して実行することによって実現される。
While describing the operation of the
処理モード記憶部230は、前述の第5の実施の形態における安全基準判定部170が、ネットワークの信頼性及び通信路の安全性の値を、0の値、1の値の2値で表す処理を行うのか、もしくは0の値から1の値の範囲の数値で表す処理を行うのか、どちらの処理を行うかを決定するための判断基準を格納しており、処理モード判定部240から読み出される。例えば、処理モード記憶部230には、0の値、1の値の2値で表す処理モードとしてESSIDやVPN/GWの部70のホスト名及びIPアドレス、携帯電話網への接続を利用する、などが対応付けられており、0の値から1の値の範囲の数値で表す処理モードとして同様にESSIDやVPN/GW部70のホスト名及びIPアドレス、携帯電話網への接続を利用する、などが対応付けられている。なお、この判断基準となる値は予め設定されていてもよいし、適宜追加できるような構成でもよい。
The processing
処理モード判定部240は、前述第5の実施の形態における安全基準判定部170が、ネットワークの信頼性及び通信路の安全性の値を、0の値、1の値の2値で表す処理を行うのか、もしくは0の値から1の値の範囲の数値で表す処理を行うのか、どちらの処理を行うかを判定する機能を有し、第5の実施の形態におけるネットワーク接続完了通知(ステップS1702)の後に、安全基準判定部170から提示された情報に基づいて、処理モード記憶部230に格納されている情報から、安全基準判定部170が前述のいずれの処理を行うかを判定し、判定した処理モードを安全基準判定部170に通知する。例えば、接続が完了したESSID01に対して処理モード記憶部230にてネットワークの信頼性及び通信路の安全性を0の値、1の値の2値で表す動作に対応付けられていたとすると、安全基準判定部170に対して2値で表す処理を行うよう通知する。
The processing
安全基準判定部170は、ネットワークの信頼性及び通信路の安全性を0の値、1の値の2値で表す処理と、0の値から1の値の範囲の数値で表す処理の両方の処理を行う2つのモードを備えており、通信制御部140から接続完了した旨を通知されると、前述いずれのモードで処理するかを決定するために、処理モード判定部240へ必要な情報を添えて問い合わせ、処理モード判定部240から通知されたモードに基づいて、その後の処理を行う。
The safety
また、本発明の第6の実施の形態は、上述した本発明の第1の実施の形態から第5の実施の形態のいずれにも組み合わせることが可能であり、さらに第1の実施の形態から第5の実施の形態までの任意の実施の形態を組み合わせた発明にも組み合わせることが可能である。 Further, the sixth embodiment of the present invention can be combined with any of the first to fifth embodiments of the present invention described above, and further from the first embodiment. The present invention can be combined with an invention combining any embodiments up to the fifth embodiment.
(第6の実施の形態の効果)
次に、本発明を実施するための第6の実施の形態の効果について説明する。
(Effect of 6th Embodiment)
Next, effects of the sixth exemplary embodiment for carrying out the present invention will be described.
前述の実施の形態は、ネットワークの信頼性及び通信路の安全性を安全か安全ではないかの2値で表す処理と、例えば、0の値から1の値を百分率(%)で段階を付与できるような処理の2種類の処理モードを備えていたが、通信端末10としては固定的にいずれか一方の処理のみをするように構成されていた。本実施の形態では、接続しているネットワークからこれら2種類の処理モードを判断して処理モードを動的に変更できる機構を設けることで、処理モードを動的に変更可能とした。このため、厳密にセキュリティのあり/なしを判別したい状況と、ユーザーに判断をゆだねるような場合に融通のある情報提供を行いたいという状況を、接続しているネットワークに応じて、より適切な情報の提供方法が可能となる。
In the above-described embodiment, the process of expressing the reliability of the network and the safety of the communication channel with binary values indicating whether the communication is safe or not, and, for example, a value from 0 to 1 is given as a percentage (%). Although two kinds of processing modes that can be performed were provided, the
(第7の実施の形態)
次に、本発明の第7の実施の形態について図面を参照して詳細に説明する。
(Seventh embodiment)
Next, a seventh embodiment of the present invention will be described in detail with reference to the drawings.
(第7の実施の形態の構成)
図23は、本発明の第7の実施の形態による通信端末10の構成を示したブロック図である。第7の実施の形態による通信端末10は、通信アプリケーション250を備える点で、前述の第4の実施の形態による通信端末10と異なる。
(Configuration of the seventh embodiment)
FIG. 23 is a block diagram showing a configuration of
通信アプリケーション250は、通信機能を備えるアプリケーションであって、通信データの送受信を通信制御部140を介して行う機能と、接続しているネットワークのカテゴリーを接続先種別判定部220から通知されたカテゴリーに従って、アプリケーションが備える機能を制限する機能とを有する。
The
第7の実施の形態による通信端末10は、接続先種別記憶部210及び接続先種別判定部220を構成に含まない端末構成で、通信アプリケーション250と安全基準判定部170の間でネットワークの信頼性及び通信路の安全性のやりとりを行うような構成でもかまわない。
The
すなわち、接続先種別記憶部210及び接続先種別判定部220を構成に含まない第1の実施の形態から第3の実施の形態による通信端末10において、通信アプリケーション250を追加し、追加した通信アプリケーション250と安全基準判定部170の間でネットワークの信頼性及び通信路の安全性のやりとりを行うような構成でも構わない。
That is, the
このような場合、通信アプリケーション250は、安全基準判定部170から通知されるネットワークの信頼性及び通信路の安全性を示す情報に従って、アプリケーションが備える機能を制限する。
In such a case, the
(第7の実施の形態の動作)
次に、本実施の形態の通信端末10の動作について、前述の第4の実施の形態と異なる部分を中心に詳細に説明する。
(Operation of the seventh embodiment)
Next, the operation of the
図24は、本実施の形態の通信端末10の動作を示すフローチャートである。尚、本実施の形態に示す処理は、通信端末10を構成するコンピュータのCPU301が補助記憶部307のプログラム400を主記憶部302に移して実行することが実現される。
FIG. 24 is a flowchart showing the operation of the
図24及び第4の実施の形態の動作を示す図17を参照すると、本実施の形態の通信端末10が、まず、ネットワークへ接続し(ステップS2401)、接続状況を示す情報に基づいて、安全性判定部170にてネットワークの信頼性及び通信路の安全性が算出(決定)され(ステップS2403)、接続先種別判定部220及び接続先種別記憶部210に格納されている対応図によって、接続しているネットワークのカテゴリーが判定される(ステップS2405)ところまでは、前述の第4の実施の形態と同様である。
Referring to FIG. 24 and FIG. 17 illustrating the operation of the fourth embodiment, the
通信アプリケーション250は、カテゴリーが通知されると、通知されるカテゴリーによってアプリケーションが有する機能に制限をかける処理を行う(ステップS2406)。
When notified of the category, the
例えば、接続しているネットワークが属するカテゴリーに対して、アプリケーションがメーラーの場合は、ユーザーID及びパスワードが通信経路上をクリアテキストで流れるためPOP3によるメールの取得はできないようになっていることから、上記アプリケーションは、上記カテゴリーに従って機能制限をかけることが可能になる。 For example, if the application is a mailer for the category to which the connected network belongs, the user ID and password flow in clear text on the communication path, so it is not possible to obtain mail by POP3. The application can be restricted according to the category.
また、例えば、接続しているネットワークが属するカテゴリーに対して、アプリケーションがWEBブラウザの場合は、ユーザーID及びパスワードが通信経路上をクリアテキストで流れるためベーシック認証はできないようになっていることから、上記アプリケーションは、上記カテゴリーに従って機能制限をかけることが可能になる。 Also, for example, if the application is a WEB browser for the category to which the connected network belongs, the user ID and password flow in clear text on the communication path, so basic authentication is not possible. The application can be restricted according to the category.
さらに、例えば、暗号化されていないデータは通信しないようになっている、クレジットカード番号などに関する情報をブラウザのフォームなどで送信しようとした場合に警告のためのポップアップが出現する、などの機能をアプリケーションが備えることでカテゴリーに従って、機能制限をかけることが可能になる。 In addition, for example, functions such as non-encrypted data are not communicated, and a warning pop-up appears when information about credit card numbers etc. is sent with a browser form etc. By providing an application, it is possible to restrict functions according to the category.
なお、これ以外にも様々な機能に対して制限を設けることが可能である。 In addition to this, it is possible to limit various functions.
また、通信アプリケーション250は、カテゴリーに対して通信機能以外の機能に対しても制限をかける機能を備える。例えば、アプリケーションが、接続しているネットワークが属するカテゴリーに対して、ファイルの保存処理を制限する、印刷処理を制限するなどの機能を備えることで、カテゴリーに従って、機能制限をかけることが可能になる。これ以外にもさまざまな機能に対して制限を設けることが可能である。また、制限と言う枠組みではなく、逆にあるカテゴリーの場合にはある機能が利用可能とすることも可能である。
In addition, the
本実施の形態では、接続先種別記憶部210及び接続先種別判定部220を構成要素に含まない場合でも実施可能である旨を上記に記述した。この場合、通信アプリケーション250は、ネットワークの信頼性及び通信路の安全性を通知されるが、通信アプリケーション250において通知されたネットワークの信頼性や通信路の安全性の値に応じて、接続しているネットワークのセキュリティに関わる部分に対応して機能制限をかけることも可能である。
In the present embodiment, it has been described above that the connection destination
具体的には、通信アプリケーション250において通知されたネットワークの信頼性の値が1の場合は、ユーザーID及びパスワードを送信することや、クレジットカードに関わる情報を送信することなどを行うが、通信アプリケーション250において通知されたネットワークの信頼性の値が0の場合は、ユーザーID及びパスワードを送信しない、クレジットカードに関わる情報は送信しないなどの機能制限をかけることができる。
Specifically, when the network reliability value notified by the
また、通信アプリケーション250において通知された通信路の安全性の値が1の場合は、アプリケーションレベルでユーザーID及びパスワードをクリアテキストで送信することなどを行うが、通信アプリケーション250において通知された通信路の安全性の値が0の場合は、ユーザーID及びパスワードをクリアテキストでは送信しない、クレジットカードに関わる情報を送信しないなどの機能制限をかけることができる。
Further, when the safety value of the communication path notified in the
以降の動作(ステップS2407〜ステップS2408)については、第4の実施の形態と同様の動作(ステップS1706〜ステップS1707)を行う。 About subsequent operation | movement (step S2407-step S2408), the operation | movement (step S1706-step S1707) similar to 4th Embodiment is performed.
このように、本実施の形態は、判定されたカテゴリーに基づいて、セキュリティ上脆弱性の危険性があるアプリケーションの機能の実行を制限することや、アプリケーションの機能の一部又は全部の実行に制限をかけることや、通知されたミドルウェアを含むアプリケーションの機能の一部又は全部の実行に制限をかけることや、警告を提示することなどを行う。また、アプリケーションの機能の実行の制限を行う旨を出力表示部190から出力してもよい。
As described above, according to the present embodiment, the execution of application functions that are at risk of security vulnerabilities is restricted based on the determined category, or the execution of some or all of the application functions is restricted. , Limiting the execution of some or all of the functions of the application including the notified middleware, and presenting a warning. Further, the
また、本発明の第7の実施の形態は、上述した本発明の第1の実施の形態から第6の実施の形態のいずれにも組み合わせることが可能であり、さらに第1の実施の形態から第6の実施の形態まで任意の発明を組み合わせた発明にも組み合わせることが可能である。 Further, the seventh embodiment of the present invention can be combined with any of the first to sixth embodiments of the present invention described above, and further from the first embodiment. The present invention can be combined with an invention combining any invention up to the sixth embodiment.
(第7の実施の形態の効果)
次に、本発明を実施するための第7の実施の形態の効果について説明する。
(Effect of 7th Embodiment)
Next, effects of the seventh exemplary embodiment for carrying out the present invention will be described.
本発明の第7の実施の形態では、例えば、カテゴリー又はセキュリティ情報に対応してアプリケーションの起動の可否を判定するアプリケーション起動可否判定情報を有することによって、接続しているネットワークが属するカテゴリーもしくはネットワークのセキュリティに関する情報に基づいて、それらを通知された通信アプリケーション250もしくはアプリケーションが有する機能を利用可能にしたり、または、利用不能にする機能をアプリケーションに対して設けた。このため、あるネットワークに接続しているときはある機能を使用させないような必要がある状況や、セキュリティの観点から信頼できないネットワークに接続しているときは、クレジットカード等の個人情報など重要と思われる情報を流出させないような仕組みをアプリケーションで実現することが可能となる。
In the seventh embodiment of the present invention, for example, by having application activation availability determination information for determining whether an application can be activated corresponding to the category or security information, the category or network to which the connected network belongs is included. Based on information related to security, a function for enabling or disabling the function of the
(第8の実施の形態)
次に、本発明の第8の実施の形態について図面を参照して詳細に説明する。
(Eighth embodiment)
Next, an eighth embodiment of the present invention will be described in detail with reference to the drawings.
(第8の実施の形態の構成)
図25は、本発明の第8の実施の形態による通信端末10の構成を示したブロック図である。第8の実施の形態による通信端末10は、アプリケーション起動インタフェース部280、アプリケーション起動管理部260、アプリケーション起動管理記憶部290及びアプリケーション郡270を備える点で、前述の第7の実施の形態による通信端末10と異なる。
(Configuration of the eighth embodiment)
FIG. 25 is a block diagram showing the configuration of the
アプリケーション起動インタフェース部280は、アプリケーション郡270のアプリケーションを起動する際のインタフェースであって、アプリケーション起動管理部260に対してあるアプリケーションを起動することを要求する機能を有する。
The application
アプリケーション起動管理部260は、アプリケーション起動インタフェース部280から要求されたアプリケーションを起動しても良いか否かを判断して、起動してもよい場合は該アプリケーションを起動し、起動してはいけない場合は該アプリケーションを起動しない機能を有する。
The application
また、アプリケーション起動管理部260は、接続先種別判定部220から通知された情報に基づいて、アプリケーション起動管理記憶部290に格納されている情報と比較して、該アプリケーションを起動しても良いか否かの判断をする機能を有する。
Whether the application
アプリケーション起動管理記憶部290は、アプリケーション郡270の各アプリケーションに対して接続先種別記憶部210に記憶されているカテゴリー毎に格納している。
The application activation
図26は、アプリケーション起動管理記憶部290に格納されているアプリケーション毎に対応する接続先に対する起動の可否を判定するための基準表の1例であるアプリケーション起動可否判定基準表291を示している。
FIG. 26 shows an application activation availability determination criterion table 291 that is an example of a criterion table for determining whether or not activation can be performed for a connection destination corresponding to each application stored in the application activation
図26を参照すると、例えば、表中の1の値はアプリケーションを起動しても良いことを意味し、0の値はアプリケーションを起動できないことを意味している。この表により、例えば、アプリケーション01は、いずれの接続先に接続されている場合でも起動できることを意味していることがわかる。また、例えば、アプリケーション02は、オフィスに接続しているときは起動できるが、それ以外の場所では起動できないことがわかる。 Referring to FIG. 26, for example, a value of 1 in the table means that the application may be activated, and a value of 0 means that the application cannot be activated. From this table, for example, it can be understood that the application 01 can be activated when connected to any connection destination. Further, for example, it can be seen that the application 02 can be activated when connected to the office, but cannot be activated at other locations.
アプリケーション郡270は、通信端末10が備えるアプリケーションを含んでおり、アプリケーション起動管理部260からの要求にしたがって起動される。
The
(第8の実施の形態の動作)
次に、本実施の形態による通信端末10の動作について、前述の実施の形態と異なる部分を中心に詳細に説明する。
(Operation of the eighth embodiment)
Next, the operation of the
図27は、本実施の形態の通信端末10の動作を示すフローチャートである。尚、本実施例に示す処理は通信端末10を構成するコンピュータのCPU301が補助記憶部307のプログラム400を主記憶部302に移して実行することが実現される。
FIG. 27 is a flowchart showing the operation of the
図27及び第7の実施の形態の動作を示す図24を参照すると、本実施の形態の通信端末10において、ネットワークへの接続から、接続したネットワークのカテゴリーを接続先種別判定部220で判定するところまでの処理(ステップS2401〜ステップS2405)は前述の第7の実施の形態の動作(ステップS2401〜ステップS2405)と同様である。
Referring to FIG. 27 and FIG. 24 illustrating the operation of the seventh embodiment, the connection destination
次いで、接続先種別判定部220は、取得したカテゴリーを保持しておく(ステップS2706)。
Next, the connection destination
次いで、接続先種別判定部220が、アプリケーション起動インタフェース部280を介してあるアプリケーションを起動するよう試みることによって、アプリケーション起動インタフェース部280が、アプリケーション起動管理部260へ該アプリケーションを起動する要求を行う(ステップS2707)。
Next, when the connection destination
次いで、アプリケーションを起動する旨要求されたアプリケーション起動管理部260は、現在接続を指定されたネットワークでの該アプリケーションの起動の可否を判定する(ステップS2708)。
Next, the application
具体的には、アプリケーション起動管理部260が、該アプリケーション名と、接続先種別判定部220から取得したカテゴリーのそれぞれとに基づいて、該アプリケーションの起動の可否をアプリケーション起動管理記憶部290のアプリケーション起動可否判定基準表291(図26参照)から判断する。例えば、起動しようとしているアプリケーション(アプリケーション01)においてカテゴリーが「オフィス」であったとすると、表中では値が1となっているために起動することが許可される。
Specifically, based on the application name and each of the categories acquired from the connection destination
なお、アプリケーション起動管理部260は、アプリケーション起動管理記憶部290のアプリケーション起動可否判定基準表291に対応するカテゴリーが存在しない場合は、デフォルトの処理として、起動を許可する、許可しないなど、いずれかの処理を行うように予め設定されることが好ましい。
Note that if there is no category corresponding to the application activation availability determination criterion table 291 in the application activation
次いで、アプリケーション起動管理部260は、起動が許可された場合のみ実際にアプリケーション郡270の該アプリケーションを起動する(ステップS2709)。
Next, the application
以降の動作(ステップS2710〜ステップS2711)については、第7の実施の形態と同様の動作(ステップS2407〜ステップS2408)を行う。 About subsequent operation | movement (step S2710-step S2711), the operation | movement (step S2407-step S2408) similar to 7th Embodiment is performed.
本実施の形態では、接続先種別記憶部210及び接続先種別判定部220を備え、カテゴリーの分類を判定してアプリケーションの起動権利を確認するような構成であるが、接続先種別記憶部210及び接続先種別判定部220を備えず、アプリケーション起動管理部260は安全基準判定部170から直接ネットワークの信頼性及び通信路の安全性などに関する情報を通知され、それらに対するアプリケーションの起動条件をアプリケーション起動管理記憶部290にて格納しておくことで、ネットワークの信頼性及び通信路の安全性を示す情報に基づいて、アプリケーションの起動の可否を判断する構成でもかまわない。
In this embodiment, the connection destination
このように、本実施の形態は、判定されたカテゴリー及びアプリケーション起動可否判定基準表に基づいて、セキュリティ上脆弱性の危険性があるアプリケーションの機能の実行を制限することや、アプリケーションの機能の一部又は全部の実行に制限をかけることや、警告を提示することなどを行う。また、アプリケーションの機能の実行の制限を行う旨を出力表示部190から出力してもよい。
As described above, the present embodiment restricts the execution of application functions that are at risk of security vulnerabilities based on the determined category and the application activation availability determination reference table, Limit the execution of all or part of the program, present a warning, etc. Further, the
また、本実施の形態でのアプリケーション郡270の代わりにデバイス装置とする構成も可能である。この場合、例えば、カテゴリーに対応してデバイスの起動の可否を判定するデバイス起動可否判定情報を有することによって、接続しているネットワークごとに例えばカメラ機能を制限したり、音声出力を制限したり、電話機能を制限したりといった構成、処理が可能である。
Further, a configuration in which a device apparatus is used instead of the
また、本発明の第8の実施の形態は、上述した本発明の第1の実施の形態から第7実施の形態のいずれにも組み合わせることが可能であり、さらに第1の実施の形態から第7の実施の形態までの任意の実施の形態を組み合わせた発明にも組み合わせることが可能である。 Further, the eighth embodiment of the present invention can be combined with any of the first to seventh embodiments of the present invention described above, and further, the eighth embodiment to the first embodiment. It is also possible to combine the invention with any embodiment up to the seventh embodiment.
なお、本発明の第8の実施の形態において、アプリケーション起動管理部260の代わりにアプリケーションからのファイルシステムへの書き込み及び読み込みに制限をかける機能を備えてもよい。この場合、判定されたカテゴリーに関連付けて予め設定された、アプリケーションにおけるファイルシステムへの読み込み又は書き込みの可否を判定する読み書き可否判定情報を通信端末10が保持することによって、接続しているネットワークに対応してアプリケーションのファイルシステムへの書き込み及び読み込みを制限することが可能になる。
Note that, in the eighth embodiment of the present invention, a function for restricting writing to and reading from the file system from an application may be provided instead of the application
(第8の実施の形態の効果)
次に、本発明を実施するための第8の実施の形態の効果について説明する。
(Effect of 8th Embodiment)
Next, effects of the eighth exemplary embodiment for carrying out the present invention will be described.
本実施の形態では、アプリケーション起動管理記憶部290に格納されているアプリケーション毎に対応する接続先に対する起動の可否を判定するための基準表であるアプリケーション起動可否判定基準表291をアプリケーション起動管理記憶部290が保持することによって、接続しているネットワークの種別及びネットワークの信頼性、通信路の安全性に応じて通信端末10が備えるアプリケーションの実行可否を判断する機能を設けた。このため、あるネットワークに接続している場合のみ、あるアプリケーションを実行可能とし、また、あるネットワークに接続しているときはあるアプリケーションを実行不能にすることが可能となる。
In the present embodiment, the application activation
また、アプリケーションの代わりにデバイスの制御を行うように構成することによって、ある特定のネットワークに接続しているときのみカメラや音声出力デバイスを利用することができる効果が得られる。 Further, by configuring the device to control the device instead of the application, it is possible to obtain an effect that the camera and the audio output device can be used only when connected to a specific network.
(第9の実施の形態)
次に、本発明の第9の実施の形態について図面を参照して詳細に説明する。
(Ninth embodiment)
Next, a ninth embodiment of the present invention will be described in detail with reference to the drawings.
(第9の実施の形態の構成)
図28は、本発明の第9の実施の形態による通信端末10の構成を示したブロック図である。第9の実施の形態による通信端末10は、通信アプリケーション250と通信制御部140の間のデータ通信パス上にファイアウォール300を備える点及び接続先種別判定部220からの通知はファイアウォール300へ行われる点で、前述の第7の実施の形態による通信端末10と異なる。
(Configuration of the ninth embodiment)
FIG. 28 is a block diagram showing the configuration of the
ファイアウォール300は、通信アプリケーション250と通信制御部140の間で行われるデータ通信の中継を行う機能を有し、ファイアウォール300が保持する方針に基づいて、データを中継する、または、データを中継しない、といったフィルタリング機能と、複数の方針を保有し、接続先種別判定部220からのカテゴリーに基づいて、適用する方針を動的に変更する機能とを有する。
The
接続先種別判定部220は、前述の実施の形態と同様に判定したカテゴリーをファイアウォール300へ通知する機能を有する。
The connection
(第9の実施の形態の動作)
次に、本実施の形態の通信端末10の動作について、前述の第7の実施の形態と異なる部分を中心に詳細に説明する。尚、本実施例に示す処理は通信端末10を構成するコンピュータのCPU301が補助記憶部307のプログラム400を主記憶部302に移して実行することが実現される。
(Operation of the ninth embodiment)
Next, the operation of the
まず、ネットワークへの接続から、接続したネットワークのカテゴリーを接続先種別判定部220で判定するまでの処理(ステップS2401〜ステップS2405)は前述の第7の実施の形態と同様である。
First, the process (step S2401 to step S2405) from the connection to the network to the determination of the category of the connected network by the connection destination
次いで、本実施の形態の接続先種別判定部220は、判定したカテゴリーをファイアウォール300へ通知し、通知を受けたファイアウォール300は、自身で保持する方針のいずれを適用するかを、通知されたカテゴリーに基づいて判断し、適用することとなった方針に基づいて、その後の通信アプリケーション250と通信制御部140間のデータのやり取りに対してフィルタリング処理を実行する。
Next, the connection destination
ファイアウォール300は、適用する方針を自身で予め保持することも可能であるが、別の機能ブロックもしくは認証サーバなどに保持しておき、適宜取得する構成でもよい。
Although it is possible for the
以降の動作については、第7の実施の形態と同様の動作(ステップS2407〜ステップS2408)を行う。 For the subsequent operations, the same operations as in the seventh embodiment (steps S2407 to S2408) are performed.
このように、本実施の形態は、カテゴリーに対応して、無線通信インタフェース部150を介してアプリケーションに行わせるデータ通信の可否を判定する方針(例えば、データ通信可否判定情報)をファイアウォール300に有し、判定されたカテゴリー及び上記方針に基づいて、データ通信の可否を判定する。また、データ通信の可否の判定結果を視覚的に出力表示部190から出力してもよい。
As described above, according to the present embodiment, the
また、本発明の第9の実施の形態は、上述した本発明の第1の実施の形態から第8の実施の形態のいずれにも組み合わせることが可能であり、さらに、第1の実施の形態から第8の実施の形態までの任意の実施の形態を組み合わせた発明にも組み合わせることが可能である。 Further, the ninth embodiment of the present invention can be combined with any of the first to eighth embodiments of the present invention described above, and further, the first embodiment. It is also possible to combine with the invention which combined arbitrary embodiment from 8th to 8th Embodiment.
(第9の実施の形態の効果)
次に、本発明を実施するための第9の実施の形態の効果について説明する。
(Effect of 9th Embodiment)
Next, effects of the ninth exemplary embodiment for carrying out the present invention will be described.
本実施の形態では、通信アプリケーション250と通信制御部140の間に、例えば、カテゴリー又は前記セキュリティ情報に対応して無線通信インタフェース部150を介してアプリケーションに行わせるデータ通信の可否を判定するデータ通信可否判定情報を保持するファイアウォール300を備え、接続先ネットワークに関する情報をファイアウォール300へ通知する構成とした。このため、接続しているネットワークに応じて、例えば、データ通信を行ったり又は行わなかったりすることができるため、ファイアウォール方針の動的な適用が可能となる。
In the present embodiment, for example, data communication between the
また、本実施の形態では、同時に利用可能な無線通信インタフェース部150を複数有し、さらに、ファイアウォール300の代わりにセッション管理部(不図示)を構成要素とし、セッション管理部は、セッション開始時に接続先種別判定部220から適宜カテゴリーを読み出すことにより、通信アプリケーション250からセッションの開始要求を受けた時点で動的にネットワークセキュリティ情報、ネットワークの信頼性、通信路の安全性に関する情報及びカテゴリーを通信アプリケーション250へ通知することとしてもよい。
In this embodiment, a plurality of wireless
通信アプリケーション250は、セッションの開始をセッション管理部に対して要求すると、そのセッションに対応するカテゴリー、もしくはセキュリティ情報を取得できるので、その後、該セッションにて行う通信に対して安全性を考慮することが可能となる。
When the
本発明によれば、無線インタフェースを有する通信端末を要するネットワークシステムにおいて通信端末に適用可能であり、特に通信端末が不正なネットワークに接続してしまうことを防ぎ、通信の安全性を容易に把握することを可能にする。 According to the present invention, the present invention can be applied to a communication terminal in a network system that requires a communication terminal having a wireless interface. In particular, the communication terminal can be prevented from connecting to an unauthorized network, and communication safety can be easily grasped. Make it possible.
10:通信端末
20,30,2030:アクセスポイント(基地局)
25:BS(基地局)
40:パブリックネットワーク
50:プライベートネットワーク
60:認証サーバ
70:VPN/GW部
80:インターネット
90:携帯電話網
110:接続設定入力部
120:接続設定記憶部
130:接続先決定部
140:通信制御部
150:無線通信インタフェース部
155:携帯電話網通信インタフェース部
160:安全基準記憶部
161,162,163,164,165,166,167,168,169:安全基準情報
170:安全基準判定部
180:安全性表示部
190,191:出力表示部
210:接続先種別記憶部
211,212:カテゴリー分類情報
220:接続先種別判定部
230:処理モード記憶部
240:処理モード判定部
250:通信アプリケーション
260:アプリケーション起動管理部
270:アプリケーション郡
280:アプリケーション起動インタフェース部
290:アプリケーション起動管理記憶部
291:アプリケーション起動可否判定基準表
300:ファイアウォール
301:CPU
302:主記憶部
303:通信制御部
304:提示部
305:入力部
306:インタフェース部
307:補助記憶部
308:システムバス
400:プログラム
500:インターネット
10:
25: BS (base station)
40: Public network 50: Private network 60: Authentication server 70: VPN / GW unit 80: Internet 90: Mobile phone network 110: Connection setting input unit 120: Connection setting storage unit 130: Connection destination determination unit 140: Communication control unit 150 : Wireless communication interface unit 155: mobile phone network communication interface unit 160: safety standard storage unit 161, 162, 163, 164, 165, 166, 167, 168, 169: safety standard information 170: safety standard determination unit 180:
302: Main storage unit 303: Communication control unit 304: Presentation unit 305: Input unit 306: Interface unit 307: Auxiliary storage unit 308: System bus 400: Program 500: Internet
Claims (38)
接続している前記ネットワークに関するセキュリティ情報を、情報量が少ない所定の形式で生成して出力することを特徴とする通信端末。 In the communication terminal of the communication system connected to the network from the communication terminal via the base station,
A communication terminal that generates and outputs security information related to the connected network in a predetermined format with a small amount of information.
前記安全性の判定結果に基づいて情報量が少ない所定の形式の前記セキュリティ情報を生成することを特徴とする請求項1に記載の通信端末。 Determining the safety of the network based on safety standard information for determining the presence or absence of safety of the network;
The communication terminal according to claim 1, wherein the security information is generated in a predetermined format with a small amount of information based on the safety determination result.
前記セキュリティ情報と、前記安全基準情報とに基づいて前記ネットワークの安全性を判定し、
前記セキュリティ情報を前記ネットワークが安全か安全ではないかの2値で生成することを特徴とする請求項2に記載の通信端末。 The safety standard information is set for each security information as a binary value indicating whether safety is present or not,
Determining the security of the network based on the security information and the safety standard information;
The communication terminal according to claim 2, wherein the security information is generated as a binary value indicating whether the network is safe or unsafe.
前記セキュリティ情報と、前記安全基準情報とに基づいて前記ネットワークの安全性を判定し、
前記セキュリティ情報を所定の数値範囲内の値で生成することを特徴とする請求項2又は請求項3に記載の通信端末。 The safety standard information is set as a numerical value within a predetermined numerical range for the presence or absence of safety for each security information,
Determining the security of the network based on the security information and the safety standard information;
The communication terminal according to claim 2, wherein the security information is generated with a value within a predetermined numerical range.
前記セキュリティ情報と、前記安全基準情報とに基づいて前記ネットワークの安全性を判定し、
前記セキュリティ情報を前記ネットワークが安全か安全ではないかの2値で生成することと、前記セキュリティ情報を所定の数値範囲内の値で生成することと切り替えることを特徴とする請求項2に記載の通信端末。 The safety standard information is set for each security information as a binary value indicating whether it is safe or not, and for each security information, it is set as a numerical value within a predetermined numerical range. And
Determining the security of the network based on the security information and the safety standard information;
The method according to claim 2, wherein the security information is switched between generation of a binary value indicating whether the network is safe or unsafe and generation of the security information with a value within a predetermined numerical range. Communication terminal.
前記統合安全性の判定結果に基づいて情報量が少ない所定の形式の前記セキュリティ情報を生成することを特徴とする請求項2から請求項5のいずれか1項に記載の通信端末。 Based on the safety determined for each of the security information in each connected communication path on the network, determine the integrated safety that integrates a plurality of the safety,
The communication terminal according to any one of claims 2 to 5, wherein the security information in a predetermined format with a small amount of information is generated based on the determination result of the integrated safety.
前記通信路の暗号化に関する情報と、前記安全基準情報とに基づいて前記安全性を判定することを特徴とする請求項2から請求項6のいずれか1項に記載の通信端末。 The security information includes information related to encryption of a communication path to the network,
The communication terminal according to any one of claims 2 to 6, wherein the safety is determined based on information related to encryption of the communication path and the safety standard information.
前記ネットワークの信頼性に関する情報と、前記安全基準情報とに基づいて前記安全性を判定することを特徴とする請求項2から請求項7のいずれか1項に記載の通信端末。 The security information includes information related to the reliability of the network to be connected,
The communication terminal according to any one of claims 2 to 7, wherein the safety is determined based on information related to reliability of the network and the safety standard information.
アプリケーションが通信を開始するためのセッションを確立する時点で、判定された前記カテゴリーを取得し、
取得した又は通知された前記セキュリティ情報の少なくともいずれかに基づいて、前記セッションに対応するカテゴリー又はセキュリティ情報の少なくともいずれかを生成することを特徴とする請求項9から請求項12のいずれか1項に記載の通信端末。 Has multiple communication interfaces that can be used simultaneously,
When the application establishes a session for initiating communication, the determined category is obtained,
13. The system according to claim 9, further comprising: generating at least one of a category and security information corresponding to the session based on at least one of the acquired or notified security information. The communication terminal described in 1.
受信した前記セキュリティ情報又は判定された前記安全性の少なくともいずれかを前記出力装置を使用して情報量が少ない所定の形式で生成して、視覚的に容易に判断できるような形式で出力することを特徴とする請求項2から請求項17のいずれか1項に記載の通信端末。 Having an output device,
Generating at least one of the received security information or the determined safety in a predetermined format with a small amount of information using the output device, and outputting in a format that can be easily judged visually The communication terminal according to any one of claims 2 to 17, wherein:
接続している前記ネットワークに関するセキュリティ情報を、情報量が少ない所定の形式で生成して出力する機能を前記通信端末に持たせることを特徴とするプログラム。 A program executed on the communication terminal of the communication system connected to the network from the communication terminal via the base station,
A program for causing the communication terminal to have a function of generating and outputting security information related to the connected network in a predetermined format with a small amount of information.
前記安全性の判定結果に基づいて情報量が少ない所定の形式の前記セキュリティ情報を生成する機能とを前記通信端末に持たせることを特徴とする請求項21に記載のプログラム。 A function for determining the safety of the network based on safety standard information for determining the presence or absence of safety of the network;
The program according to claim 21, wherein the communication terminal is provided with a function of generating the security information in a predetermined format with a small amount of information based on the safety determination result.
判定された前記安全性の判定結果に基づいて、複数の前記安全性を統合した統合安全性を判定する機能と、
判定した前記統合安全性の判定結果に基づいて、情報量が少ない所定の形式の前記セキュリティ情報を生成する機能とを前記通信端末に持たせることを特徴とする請求項22に記載のプログラム。 A function for determining the safety for each security information in each communication path to be connected among the information on the network;
Based on the determined safety determination result, a function for determining integrated safety obtained by integrating a plurality of safety,
23. The program according to claim 22, wherein the communication terminal has a function of generating the security information in a predetermined format with a small amount of information based on the determined determination result of the integrated safety.
前記アプリケーションが保有する機能の一部又は全部の実行に制限をかける機能を前記通信端末に持たせることを特徴とする請求項24に記載のプログラム。 Based on application activation availability determination information that determines whether or not an application can be activated corresponding to at least one of the category or the security information,
25. The program according to claim 24, wherein the communication terminal has a function of restricting execution of part or all of the functions held by the application.
前記通信端末が、
接続している前記ネットワークに関するセキュリティ情報を、情報量が少ない所定の形式で生成して出力することを特徴とする通信システム。 In a communication system for connecting to a network from a communication terminal via a base station,
The communication terminal is
A communication system, wherein security information relating to the connected network is generated and output in a predetermined format with a small amount of information.
前記ネットワークの安全性の有無を判定するための安全基準情報に基づいて前記ネットワークの安全性を判定し、
前記安全性の判定結果に基づいて情報量が少ない所定の形式の前記セキュリティ情報を生成することを特徴とする請求項27に記載の通信システム。 The communication terminal is
Determining the safety of the network based on safety standard information for determining the presence or absence of safety of the network;
28. The communication system according to claim 27, wherein the security information in a predetermined format with a small amount of information is generated based on the safety determination result.
前記ネットワーク上の接続する通信路ごとにおける前記セキュリティ情報ごとに判定された安全性に基づいて、複数の前記安全性を統合した統合安全性を判定し、
前記統合安全性の判定結果に基づいて情報量が少ない所定の形式の前記セキュリティ情報を生成することを特徴とする請求項28に記載の通信システム。 The communication terminal is
Based on the safety determined for each of the security information in each connected communication path on the network, determine the integrated safety that integrates a plurality of the safety,
The communication system according to claim 28, wherein the security information in a predetermined format with a small amount of information is generated based on the determination result of the integrated safety.
前記セキュリティ情報のうち、接続する前記ネットワークの信頼性に関する情報ごとに関連付けて予め設定された、接続先のネットワークが属するカテゴリーを判定するカテゴリー判定情報に基づいて前記カテゴリーを判定することを特徴とする請求項28又は請求項29に記載の通信システム。 The communication terminal is
Of the security information, the category is determined based on category determination information for determining a category to which a network of a connection destination belongs, which is set in advance in association with information on reliability of the network to be connected. 30. A communication system according to claim 28 or claim 29.
前記カテゴリー又は前記セキュリティ情報の少なくともいずれかに対応してアプリケーションの起動の可否を判定するアプリケーション起動可否判定情報に基づいて、
前記アプリケーションが保有する機能の一部又は全部の実行に制限をかけることを特徴とする請求項30に記載の通信システム。 The communication terminal is
Based on application activation availability determination information that determines whether or not an application can be activated corresponding to at least one of the category or the security information,
31. The communication system according to claim 30, wherein execution of part or all of the functions possessed by the application is restricted.
判定された前記カテゴリー又は通知された前記セキュリティ情報の少なくともいずれかに関連付けて予め設定された、前記通信端末が有するデバイスの実行の可否を判定するデバイス実行可否判定情報に基づいて、前記通信端末が有するデバイスの実行の可否を判定することを特徴とする請求項30又は請求項31に記載の通信システム。 The communication terminal is
Based on the device execution availability determination information for determining whether or not the device included in the communication terminal is set in advance in association with at least one of the determined category or the notified security information, the communication terminal 32. The communication system according to claim 30, wherein whether or not to execute the device is determined.
前記通信端末が、接続している前記ネットワークに関するセキュリティ情報を、情報量が少ない所定の形式で生成して出力するステップを有することを特徴とするセキュリティ情報出力方法。 In the security information output method of the communication terminal of the communication system connected to the network from the communication terminal via the base station,
A security information output method comprising a step in which the communication terminal generates and outputs security information related to the connected network in a predetermined format with a small amount of information.
前記ネットワークの安全性の有無を判定するための安全基準情報に基づいて前記ネットワークの安全性を判定するステップと、
前記安全性の判定結果に基づいて情報量が少ない所定の形式の前記セキュリティ情報を生成するステップとを有することを特徴とする請求項33に記載のセキュリティ情報出力方法。 The communication terminal is
Determining the safety of the network based on safety standard information for determining the presence or absence of safety of the network;
34. The security information output method according to claim 33, further comprising: generating the security information in a predetermined format with a small amount of information based on the safety determination result.
接続する通信路ごとにおける前記セキュリティ情報ごとに前記安全性を判定するステップと、
判定された前記安全性に基づいて、複数の前記安全性を統合した統合安全性を判定するステップと、
判定した前記統合安全性に基づいて、情報量が少ない所定の形式の前記セキュリティ情報を生成するステップとを有することを特徴とする請求項34に記載のセキュリティ情報出力方法。 The communication terminal is
Determining the safety for each security information in each communication path to be connected;
Determining integrated safety based on the determined safety and integrating a plurality of safety;
35. The security information output method according to claim 34, further comprising: generating the security information in a predetermined format with a small amount of information based on the determined integrated safety.
前記セキュリティ情報のうち、接続する前記ネットワークの信頼性に関する情報ごとに関連付けて予め設定された、接続先のネットワークが属するカテゴリーを判定するカテゴリー判定情報に基づいて前記カテゴリーを判定するステップを有することを特徴とする請求項33から請求項35のいずれか1項に記載のセキュリティ情報出力方法。 The communication terminal is
A step of determining the category based on category determination information for determining a category to which a network of a connection destination belongs, which is set in advance in association with each piece of information related to the reliability of the network to be connected among the security information. 36. The security information output method according to any one of claims 33 to 35, wherein:
前記カテゴリー又は前記セキュリティ情報の少なくともいずれかに対応してアプリケーションの起動の可否を判定するアプリケーション起動可否判定情報に基づいて、
前記アプリケーションが保有する機能の一部又は全部の実行に制限をかけるステップを有することを特徴とする請求項36に記載のセキュリティ情報出力方法。 The communication terminal is
Based on application activation availability determination information that determines whether or not an application can be activated corresponding to at least one of the category or the security information,
37. The security information output method according to claim 36, further comprising a step of restricting execution of part or all of the functions possessed by the application.
判定された前記カテゴリー又は通知された前記セキュリティ情報の少なくともいずれかに関連付けて予め設定された、前記通信端末が有するデバイスの実行の可否を判定するデバイス実行可否判定情報に基づいて、前記通信端末が有するデバイスの実行の可否を判定するステップを有することを特徴とする請求項36又は請求項37に記載のセキュリティ情報出力方法。 The communication terminal is
Based on the device execution availability determination information for determining whether or not the device included in the communication terminal is set in advance in association with at least one of the determined category or the notified security information, the communication terminal 38. The security information output method according to claim 36 or 37, further comprising the step of determining whether or not to execute the device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005307000A JP2007116509A (en) | 2005-10-21 | 2005-10-21 | Communication terminal, program, communication system, and method for outputting security information |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005307000A JP2007116509A (en) | 2005-10-21 | 2005-10-21 | Communication terminal, program, communication system, and method for outputting security information |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007116509A true JP2007116509A (en) | 2007-05-10 |
Family
ID=38098278
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005307000A Withdrawn JP2007116509A (en) | 2005-10-21 | 2005-10-21 | Communication terminal, program, communication system, and method for outputting security information |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007116509A (en) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007142958A (en) * | 2005-11-21 | 2007-06-07 | Canon Inc | Communication device and communication method |
JP2010158006A (en) * | 2008-12-23 | 2010-07-15 | Intel Corp | Method for expanding security protocol of transport layer for improving power efficiency in radio security process |
JP2011204056A (en) * | 2010-03-26 | 2011-10-13 | Nomura Research Institute Ltd | Use management system and use management method |
JP4832604B1 (en) * | 2011-03-28 | 2011-12-07 | 株式会社野村総合研究所 | Usage management system and usage management method |
CN101599954B (en) * | 2008-06-03 | 2012-11-14 | 联想(北京)有限公司 | Safety input system, safety input method and auxiliary display device based on auxiliary display unit |
JP2012235386A (en) * | 2011-05-06 | 2012-11-29 | Pfu Ltd | Information processor, information processing method, and program |
JP2013524567A (en) * | 2010-03-25 | 2013-06-17 | 日本電気株式会社 | Communication device |
WO2014103308A1 (en) * | 2012-12-28 | 2014-07-03 | パナソニック株式会社 | Control method |
JP2014535195A (en) * | 2011-10-14 | 2014-12-25 | ドイッチェ テレコム アーゲー | Method and apparatus for monitoring a mobile radio interface on a mobile terminal |
JP2016152526A (en) * | 2015-02-18 | 2016-08-22 | シャープ株式会社 | Terminal device |
JP2017135622A (en) * | 2016-01-29 | 2017-08-03 | セコム株式会社 | Packet filtering device |
JP2019520726A (en) * | 2016-05-27 | 2019-07-18 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | Method and apparatus for accessing a WiFi network |
US10638320B2 (en) | 2017-06-28 | 2020-04-28 | Alibaba Group Holding Limited | Wireless network type detection method and apparatus, and electronic device |
-
2005
- 2005-10-21 JP JP2005307000A patent/JP2007116509A/en not_active Withdrawn
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007142958A (en) * | 2005-11-21 | 2007-06-07 | Canon Inc | Communication device and communication method |
CN101599954B (en) * | 2008-06-03 | 2012-11-14 | 联想(北京)有限公司 | Safety input system, safety input method and auxiliary display device based on auxiliary display unit |
JP2010158006A (en) * | 2008-12-23 | 2010-07-15 | Intel Corp | Method for expanding security protocol of transport layer for improving power efficiency in radio security process |
US8769257B2 (en) | 2008-12-23 | 2014-07-01 | Intel Corporation | Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing |
US9043936B2 (en) | 2010-03-25 | 2015-05-26 | Lenovo Innovations Limited (Hong Kong) | Communications device |
JP2013524567A (en) * | 2010-03-25 | 2013-06-17 | 日本電気株式会社 | Communication device |
JP2011204056A (en) * | 2010-03-26 | 2011-10-13 | Nomura Research Institute Ltd | Use management system and use management method |
JP4832604B1 (en) * | 2011-03-28 | 2011-12-07 | 株式会社野村総合研究所 | Usage management system and usage management method |
US9716598B2 (en) | 2011-05-06 | 2017-07-25 | Pfu Limited | Information processing device to prevent information from being leaked out |
JP2012235386A (en) * | 2011-05-06 | 2012-11-29 | Pfu Ltd | Information processor, information processing method, and program |
JP2014535195A (en) * | 2011-10-14 | 2014-12-25 | ドイッチェ テレコム アーゲー | Method and apparatus for monitoring a mobile radio interface on a mobile terminal |
WO2014103308A1 (en) * | 2012-12-28 | 2014-07-03 | パナソニック株式会社 | Control method |
JP2016152526A (en) * | 2015-02-18 | 2016-08-22 | シャープ株式会社 | Terminal device |
JP2017135622A (en) * | 2016-01-29 | 2017-08-03 | セコム株式会社 | Packet filtering device |
JP2019520726A (en) * | 2016-05-27 | 2019-07-18 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | Method and apparatus for accessing a WiFi network |
US10849053B2 (en) | 2016-05-27 | 2020-11-24 | Huawei Technologies Co., Ltd. | Method and apparatus for accessing WI-FI Network |
US11330510B2 (en) | 2016-05-27 | 2022-05-10 | Huawei Technologies Co., Ltd. | Method and apparatus for accessing WiFi network to support a terminal connected to two or more WiFi networks at the same time |
US10638320B2 (en) | 2017-06-28 | 2020-04-28 | Alibaba Group Holding Limited | Wireless network type detection method and apparatus, and electronic device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2007116509A (en) | Communication terminal, program, communication system, and method for outputting security information | |
US11349874B2 (en) | Methods and systems for providing a secure connection to a mobile communications device with the level of security based on a context of the communication | |
US9843575B2 (en) | Wireless network authentication method and wireless network authentication apparatus | |
US9553897B2 (en) | Method and computer device for monitoring wireless network | |
EP2767058B1 (en) | Method and apparatus for managing access for trusted and untrusted applications | |
US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
JP6668407B2 (en) | Terminal authentication method and apparatus used in mobile communication system | |
US20070178881A1 (en) | Remotely controlling access to subscriber data over a wireless network for a mobile device | |
JP5497646B2 (en) | System and method for wireless network selection | |
US20230344626A1 (en) | Network connection management method and apparatus, readable medium, program product, and electronic device | |
WO2006107560A2 (en) | Methods, systems, and computer program products for establishing trusted access to a communication network | |
US10362608B2 (en) | Managing wireless client connections via near field communication | |
JP2007538470A (en) | Method for managing access to a virtual private network of a portable device without a VPN client | |
CN113875205A (en) | Suppressing security risks associated with insecure websites and networks | |
US20160330239A1 (en) | Hacking prevention system for mobile terminal and method therefor | |
US9553849B1 (en) | Securing data based on network connectivity | |
KR20140128764A (en) | Method for connectivity information control and an electronic device thereof | |
JP6290044B2 (en) | Authentication system, authentication server, client device, and authentication method | |
US11811817B2 (en) | SSL proxy whitelisting | |
Nguyen et al. | An SDN-based connectivity control system for Wi-Fi devices | |
KR101961714B1 (en) | Service providing system and method for security based on multi-channel authentication with user equipment, and non-transitory computer readable medium having computer program recorded thereon | |
JP5141096B2 (en) | Automatic file encryption apparatus using acquired network connection information, method and program thereof | |
KR20190036741A (en) | Service providing system and method for security supporting multi-channel authentication with user equipment, and non-transitory computer readable medium having computer program recorded thereon | |
JP5775589B2 (en) | Mobile communication terminal, subscriber authentication module, communication system, and communication method | |
JP7045040B2 (en) | Communication terminal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080919 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20100401 |