JP4684198B2 - 基地局装置および情報漏洩防止方法 - Google Patents

基地局装置および情報漏洩防止方法 Download PDF

Info

Publication number
JP4684198B2
JP4684198B2 JP2006260370A JP2006260370A JP4684198B2 JP 4684198 B2 JP4684198 B2 JP 4684198B2 JP 2006260370 A JP2006260370 A JP 2006260370A JP 2006260370 A JP2006260370 A JP 2006260370A JP 4684198 B2 JP4684198 B2 JP 4684198B2
Authority
JP
Japan
Prior art keywords
user information
storage unit
information
unit
base station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006260370A
Other languages
English (en)
Other versions
JP2008085440A (ja
Inventor
孝則 三浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyocera Corp
Original Assignee
Kyocera Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kyocera Corp filed Critical Kyocera Corp
Priority to JP2006260370A priority Critical patent/JP4684198B2/ja
Publication of JP2008085440A publication Critical patent/JP2008085440A/ja
Application granted granted Critical
Publication of JP4684198B2 publication Critical patent/JP4684198B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Description

本発明は、通信端末との無線通信により通信端末と通信網とを中継する基地局装置にかかり、特に、通信端末に関するユーザ情報の漏洩を防止可能な基地局装置および情報漏洩防止方法に関する。
携帯電話等の通信端末から通信網に音声データやパケットデータを送信する場合、まず、通信端末は、通信網の末端として多数地点に張り巡らされた複数の基地局装置の一つと無線通信を確立し、その基地局装置を通じて通信網との通信を開始する。このとき、基地局装置では、通信網との通信接続に当該基地局装置を利用したユーザの識別情報や課金情報といったユーザ情報を蓄積したり、通信網を通じて蓄積したユーザ情報を管理サーバに送信したりすることができ、また、そのようなユーザ情報をコンピュータ等の外部端末に読み出させることも可能である。
しかし、上述したユーザ情報は個人情報や機密情報に当たるため、その取り扱いは慎重に期するべきである。従って、第三者が容易に接触できる位置に配されている基地局装置から、ユーザ情報が漏洩しないように保護する必要が生じてくる。例えば、SIMカード等の外部記憶媒体に個別に割り当てられたIMSI等の特定の識別子を利用し、ユーザ情報を暗号化して情報を読めないようにする技術が知られている(例えば、特許文献1)。
また、通信端末自体が盗難にあったとき、その通信端末が無線通信可能な状態にあれば、外部から通信端末に対してロック指示を与えることで、通信端末内のRAMに記憶されたユーザ情報を所定の転送先に転送させる技術も公開されている(例えば、特許文献2)。
特開2003−188981号公報 特開2003−333656号公報
しかし、ユーザ情報を単に暗号化するのみで、暗号化されたユーザ情報や暗号鍵(IMSI等の識別子)が記憶された記憶媒体を読み出すことが可能な上記の技術では、容易にユーザ情報を復号することが可能となる。
また、上述したユーザ情報を転送させる技術は、外部からの指示をトリガにして漏洩防止対策が遂行される外部指示に依存した技術であって、ユーザ情報を保護しなければならない状況を自局で判断し、ユーザ情報の漏洩を主体的に防止することができなかった。さらに同技術において、ユーザ情報が確実に転送されたかどうかは、ロック指示の受信状況、即ち通信端末の通信状況に依存するので、ユーザ情報の漏洩を実際に防止できたかどうかを把握することができなかった。
本発明は、従来の基地局装置が有する上記問題点に鑑みてなされたものであり、本発明の目的は、廃棄や盗難によって基地局装置が第三者の手に渡った場合に、ユーザ情報を待避すべきかどうかを、外部からの指示を受けることなく自局で判断し、ユーザ情報の漏洩を確実に防止することが可能な、新規かつ改良された基地局装置および情報漏洩防止方法を提供することである。
上記課題を解決するために、本発明のある観点によれば、通信端末との無線通信により通信端末と通信網とを中継する基地局装置であって、通信端末に関するユーザ情報を記憶する情報記憶部と、外部端末から読み取り不能に設けられ、ユーザ情報を記憶可能な補助記憶部と、主電源が切断された場合においても情報記憶部と補助記憶部とに電力を供給可能な補助電源と、ユーザ情報を待避すべきかどうか判断する待避判断部と、待避判断部がユーザ情報を待避すべきと判断した場合、情報記憶部のユーザ情報を補助記憶部に待避し、情報記憶部のユーザ情報を削除するユーザ情報待避部と、外部端末が接続された場合に外部端末の認証を行う認証部と、認証がなされた場合、補助記憶部に待避されたユーザ情報を情報記憶部に復元するユーザ情報復元部と、を備えることを特徴とする、基地局装置が提供される。ここで、ユーザ情報は、ユーザの識別情報(識別ID)や課金情報といった個人情報である。
外部端末が接続されユーザ情報が読み出されるとき、その外部端末が当該管理事業者による正規な端末か、第三者による不正な端末かを判断するのは困難である。従って、基地局装置では、ユーザ情報が不正に読み出される可能性がある状況、即ち、ユーザ情報を待避すべきであることを主体的に判断し、そのユーザ情報を待避、削除することによって、ユーザ情報の漏洩を防止する。また、その外部端末が正規の端末であれば、パスワード等の認証を行って、ユーザ情報を読み取り可能に復元する。かかる構成により、認証を得た正規の外部端末のみがユーザ情報を読み取ることができる。
また、ユーザ情報を、アプリケーションで理論的に保護するのではなく、読み取り不可能な物理的に離隔した位置に待避し、情報記憶部に残っているユーザ情報を削除しているので、アプリケーションが無効な状況においても、ユーザ情報の漏洩を確実に防止することができる。
補助電源から電力供給を受け、主電源が切断されてから再接続されるまでの時間を計時するタイマをさらに含み、待避判断部は、タイマの計時結果が所定時間を経過している場合にユーザ情報を待避すべきと判断するとしてもよい。
主電源が切断される原因は、停電による正常切断と、盗難や廃棄等による異常切断とに分けられる。本発明では、タイマによって電源が切断されていた時間を計時し、その計時結果が所定時間を経過している場合は、異常切断と見なしている。かかる構成により、正常切断と異常切断とが判別され、異常切断時におけるユーザ情報の漏洩を確実に防止することができる。
待避判断部は、外部端末が情報記憶部からユーザ情報読み取り可能に接続された場合にユーザ情報を待避すべきと判断するとしてもよい。
外部端末が情報記憶部からユーザ情報読み取り可能に接続された場合、上述したように、その外部端末が正規な端末か不正な端末か判別することができない。本発明では、その外部端末が正規な端末であるかどうかに拘わらず、ユーザ情報を一旦待避し、認証を得た正規の外部端末のみ事後的にユーザ情報を読み取らせる。かかる構成により、正規な外部端末によるユーザ情報の読み取りを保証すると共に、不正な外部端末によるユーザ情報の読み出しを確実に防止することができる。
ユーザ情報待避部は、情報記憶部のユーザ情報を固有の暗号鍵で暗号化して補助記憶部に待避し、ユーザ情報復元部は、補助記憶部に待避されたユーザ情報を復号して情報記憶部に復元するとしてもよい。
かかる構成により、万が一第三者が補助記憶部から不正にユーザ情報を取得することができたとしても、そのユーザ情報は暗号化されているため、ユーザ情報待避部における固有の暗号鍵が漏洩しない限り、第三者はそのユーザ情報の内容を把握することができない。
上記課題を解決するために、本発明の別の観点によれば、情報記憶部と主電源との接続が切断された場合においても情報記憶部に電力を供給可能な補助電源とを備え、通信端末との無線通信により通信端末と通信網とを中継する基地局装置を用いて、情報記憶部に記憶された通信端末に関するユーザ情報の漏洩を防止する情報漏洩防止方法であって、ユーザ情報を待避すべきかどうか判断する待避判断工程と、待避判断工程においてユーザ情報を待避すべきと判断された場合、情報記憶部のユーザ情報を基地局装置に設けられた補助記憶部に待避し、情報記憶部のユーザ情報を削除するユーザ情報待避工程と、外部端末が接続された場合に外部端末の認証を行う認証工程と、認証がなされた場合、補助記憶部に待避されたユーザ情報を情報記憶部に復元するユーザ情報復元工程と、を含むことを特徴とする、情報漏洩防止方法が提供される。
上述した基地局装置における従属項に対応する構成要素やその説明は、当該情報漏洩防止方法にも適用可能である。
また、コンピュータによって、上記基地局装置として機能するプログラムも提供され得る。
以上説明したように本発明によれば、正規な外部端末によるユーザ情報の取得を支援しつつ、廃棄や盗難に基づく第三者によるユーザ情報の不正な流出を確実に防止することが可能となる。
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
ここでは、まず、本実施形態による基地局装置を含んだ無線通信システム100における各装置の構成およびそれらの関係を説明する。
(無線通信システム100)
図1は、無線通信システムの概略的な構成を示したブロック図である。かかる無線通信システム100は、通信端末110と、基地局装置120と、通信網130と、管理サーバ140とを含んで構成される。
上記通信端末110は、PHS(Personal Handy phone System)端末、携帯電話、PDA(Personal Digital Assistant)、ノート型パーソナルコンピュータ等の無線通信可能な電子機器で構成され、当該通信端末110を利用するユーザの要求に基づいて、音声データやパケットデータを送信および受信する。
上記基地局装置120は、通信網130の末端として多数地点(電柱、ビルの屋上、電話ボックス、地下鉄のホーム、社屋の天井等)に配され、通信端末110と無線通信可能かつ通信網130と通信可能に接続され、通信端末110と通信網130との通信を中継する。通信端末110は、多数地点に配された複数の基地局装置120から電界強度の高い基地局装置120を選択し、その基地局装置120と通信を開始する。また、通信端末110は、選択した基地局装置120と通信しつつ、常に複数の基地局装置120の電界強度を監視し、通信端末110の移動や通信状況の変化によって通信中の基地局装置120からの電波が弱まると、他の基地局装置120に接続を切り換えて(ハンドオーバー)、通信を継続させる。
上記通信網130は、専用網やインターネット網で形成され、管理サーバ140の管理下で通信接続すべき基地局装置120同士の通信を支援する。
このような無線通信システム100によって、ユーザは、固定電話のような音声通話のみならず、電子メールの送受信やWebを通じたサービスを利用でき、近年では、ユーザ認証にも用いられ、電子マネーやクレジット等幅広いサービスに適用されるようになってきた。
また、基地局装置120では、通信網130に通信接続された通信端末110のユーザの識別情報(識別ID)や課金情報といったユーザ情報を蓄積することができる。
図2は、ユーザ情報の一例を示した説明図である。ユーザ情報は、1または複数のファイルで管理され、ユーザ毎に、例えば、ユーザのユーザ名、ユーザの識別ID、通信で利用されたパケットやサービスに対する課金情報、その課金情報の更新日等が記載される。このようなユーザ情報は、基地局装置120に設けられたUART(Universal Asynchronous Receiver Transmitter)等のインターフェースを通じて外部に取り出し、加工することもできるが、かかる機能を利用して、第三者によるユーザ情報の不正取得も許容することになる。
また、基地局装置120は、停電等が起きた場合においても上記ユーザ情報を保持するために、主電源のバックアップを担う補助電源が設けられている。しかし、補助電源はユーザ情報を一ヶ月間に渡って保持するため、廃棄や盗難による主電源の異常切断によってもユーザ情報が消滅せず、第三者によるユーザ情報の不正取得の機会を与えてしまう。
一般に、故障等により必要なくなった基地局装置120は、キャリア業者またはメーカーから廃棄処理業者に産業廃棄物として渡され、廃棄処理業者による基地局装置120の粉砕写真をもって廃棄完了と判断されている。しかし、廃棄処理されないまま放置された基地局装置120や、粉砕漏れの基地局装置120には依然としてユーザ情報が残されたままである。
本発明の実施形態による基地局装置120は、廃棄や盗難によって基地局装置が第三者の手に渡った場合に、ユーザ情報を待避すべきかどうかを、外部からの指示を受けることなく自局で判断し、ユーザ情報の漏洩を確実に防止することが可能である。以下、本実施形態による基地局装置110を詳述する。
(基地局装置120)
図3は、基地局装置120の概略的な構成を示した構成ブロック図である。かかる基地局装置120は、基地局制御部200と、通信制御部210と、情報記憶部212と、補助記憶部214と、主電源216と、補助電源218と、待避判断部220と、タイマ222と、ユーザ情報待避部224と、認証部226と、ユーザ情報復元部228と、JTAG(Joint Test Action Group)230とを含んで構成される。かかる図3においては、単線の矢印が制御信号を、白抜き太線の矢印がデータ移動を示している。
上記基地局制御部200は、中央処理装置(CPU、DSP)を含む半導体集積回路により基地局装置120全体を管理および制御する。基地局制御部200は、情報記憶部212のプログラムを用い、基地局装置120本来の機能である通信端末110と通信網130との中継機能も遂行するが、後述する待避判断部220や認証部226としても機能する。
上記通信制御部210は、基地局制御部200の制御下において、通信端末110と無線通信を行い、その一方で通信網130と無線もしくは有線通信を行う。そして、通信端末110と通信網130との間で、音声データやパケットデータ等の送受信を支援する。例えば、上述したPHSの基地局装置では、複数の通信端末110に対して複数のチャネルをそれぞれ割当て、この複数の通信端末110との間で時分割多重通信(TDMA:Time Division Mutiple Access)が行われる。
上記情報記憶部212は、揮発性のRAM、例えば、外部端末とのデータ送受信に利用されるバスと、後述する補助記憶部214とのデータの送受信に利用されるバスとを独立して設けるDPRAM(Dual Port RAM)等で構成され、基地局制御部200で処理されるプログラムや通信端末110に関するユーザ情報を記憶する。かかる情報記憶部212は、記録/再生速度の関係からRAMが用いられているが、ROM、RAM、EPROM、不揮発性RAM、フラッシュメモリ、HDD(Hard Disk Drive)等の記憶媒体を用いることもできる。
上記補助記憶部214は、情報記憶部212同様、RAMで構成され、ユーザ情報を記憶することができる。しかし情報記憶部212と異なり、外部端末250がデータを読み出せないように、情報記憶部212と位置を異にして設けられ、外部端末250のバスと独立したバスを用いて情報記憶部212とのデータ送受信を行う。従って、外部端末250は、当該基地局装置120の情報記憶部212からユーザ情報を読み取ることはできても、補助記憶部214から読み取ることはできない。
上記主電源216は、当該基地局装置120の設置位置における商用の電源に接続され、基地局装置120の各構成要素全てに電力を供給する。
上記補助電源218は、主電源216と逆流防止のダイオードを介して接続され、図3中点線で囲った領域252にある情報記憶部212、補助記憶部214、および後述するタイマ222に電力を供給する。従って、主電源216が切断された場合においても情報記憶部212、補助記憶部214、タイマ222を動作させることが可能となる。
上記待避判断部220は、当該基地局装置120の置かれた状況に応じて、ユーザ情報を待避すべきかどうか判断する。
当該基地局装置120に外部端末250が接続されユーザ情報が読み出されるとき、その外部端末250が当該管理事業者による正規な端末か、第三者による不正な端末かを判断するのは困難である。従って、基地局装置120の待避判断部220は、ユーザ情報が不正に読み出される可能性がある状況、即ち、ユーザ情報を待避すべきであることを主体的に判断し、そのユーザ情報を待避、削除することによって、ユーザ情報の漏洩を防止している。また、その外部端末250が正規の端末であれば、後述する認証部226で認証を行い、ユーザ情報を読み取り可能に復元する。かかる構成により、認証を得た正規の外部端末250のみがユーザ情報を読み取ることが可能となる。
また、ユーザ情報を、アプリケーションで理論的に保護するのではなく、読み取り不可能な物理的に離隔した補助記憶部214に待避し、情報記憶部212に残っているユーザ情報を削除しているので、不正改造によってアプリケーションが無効化した状況においても、ユーザ情報の漏洩を確実に防止することができる。
上記タイマ222は、主電源216が切断されてから、次に再接続されるまでの時間を計時する。そして、待避判断部220は、タイマ222の計時結果が所定時間を経過している場合にユーザ情報を待避すべきと判断する。かかる所定時間は、正規の外部端末250や通信網130から変更可能であり、初期の設定時間は、例えば、停電復旧の時間として1時間〜6時間の間で設定されるとしてもよい。ここでは、上記所定時間を短くすればするほどユーザ情報のセキュリティが強化されることとなる。
主電源216が切断される原因は、停電による正常切断と、盗難や廃棄等による異常切断とに分けられる。本実施形態では、タイマ222によって電源が切断されていた時間を計時し、その計時結果が所定時間を経過している場合、即ち、長時間主電源216が切断された状態が継続していた場合は、異常切断と見なしている。かかる構成により、正常切断と異常切断とが判別され、異常切断時におけるユーザ情報の漏洩を確実に防止することができる。
また、待避判断部220は、外部端末250が情報記憶部212からユーザ情報読み取り可能に接続された場合、即ち、外部端末250が基地局装置120のUART254に接続され、接続検出部256が、外部端末250が接続されているのを検出した場合に、ユーザ情報を待避すべきと判断する。かかる接続検出部256は、外部端末250が接続された場合にUARTの端子に印加される電圧によって接続を検出してもよいし、押圧による機構的なスイッチによって検出してもよい。
外部端末250が情報記憶部212からユーザ情報読み取り可能に接続された場合、上述したようにその外部端末250が正規な端末か不正な端末か判別することができない。本実施形態では、その外部端末250が正規な端末であるかどうかに拘わらず、ユーザ情報を待避し、認証を得た正規の外部端末250のみ事後的にユーザ情報を読み取らせる。かかる構成により、正規な外部端末250によるユーザ情報の読み取りを保証すると共に、不正な外部端末によるユーザ情報の読み出しを確実に防止することができる。
上記ユーザ情報待避部224は、待避判断部220がユーザ情報を待避すべきと判断した場合に、情報記憶部212のユーザ情報を補助記憶部214に待避し、情報記憶部212のユーザ情報を削除する。かかるユーザ情報の待避時には、ユーザ情報を当該基地局装置120またはユーザ情報待避部224固有の暗号鍵を用いて暗号化してもよい。
上記認証部226は、外部端末250が接続された場合に、その外部端末250が当該管理事業者による正規な端末かどうかを判断するため、接続された外部端末250の認証を行う。接続された外部端末が第三者による不正な端末である場合、端末ID、ユーザID、パスワード等による認証を受けることができない。
上記ユーザ情報復元部228は、認証部226によって認証がなされた場合、補助記憶部214に待避されたユーザ情報を情報記憶部212に復元する。ユーザ情報待避部224がユーザ情報を暗号化している場合、ユーザ情報復元部228は、補助記憶部214に待避されたユーザ情報を復号して情報記憶部212に復元する。この復号に当該基地局装置120またはユーザ情報待避部224固有の暗号鍵を用いるとしてもよい。このユーザ情報復元部228および上述したユーザ情報待避部224はハードウェアで構成されるとしてもよい。
かかる構成により、万が一、第三者が補助記憶部214から不正にユーザ情報を取得することができたとしても、そのユーザ情報は、当該基地局装置120またはユーザ情報待避部224固有の暗号鍵で暗号化されているため、この固有の暗号鍵が漏洩しない限り、第三者はそのユーザ情報の内容を把握することができない。
上記JTAG230は、基地局装置120内の各ICの境界走査試験(Boundary Scan Test)を行うための規格であり、5本の端子からなるインターフェースで構成される。かかるJTAG230は、複数のICをディジーチェーンで結ぶことができ、複数のICを同時に試験することが可能である。
JTAG230は、当該基地局装置120の設計時のデバッグに利用され、量産時にはそのコネクタも実装されないので、当然、かかるJTAG230の端子を外部から利用することはできない。しかし、基地局装置120を開扉し、JTAG230に不正な改造を施すことによって外部端末から直接情報記憶部212にアクセスすることができる。本実施形態では、ユーザ情報が情報記憶部212に残らないので、JTAG230を通じた不正なアクセスによってもユーザ情報は漏洩しない。
また、上述した実施形態では、補助記憶部214が補助電源218によってバックアップされていたが、補助記憶部214は、補助電源218から電力が供給されず、主電源216に接続されているときのみユーザ情報を記憶できるとしてもよい。
このような構成において、揮発性の補助記憶部214は、主電源216に接続されているときのみ動作するので、ユーザ情報待避部224によるユーザ情報の待避が実行された後、第三者が基地局装置120内からユーザ情報を直接取得しようとして主電源216を切断すると、補助記憶部214からもユーザ情報が削除され、ユーザ情報は基地局装置120から完全に削除される。従って、ユーザ情報が漏洩する可能性がなくなる。このとき、ユーザ情報を正規に取得する場合は、主電源を切断する前に待避されたユーザ情報を読み取ればよい。
また、コンピュータによって、上記基地局装置120として機能するプログラムも提供される。
以上、述べたように、本実施形態における基地局装置120は、通信端末110と通信網130とのデータ送受信を中継しつつ、通信端末110に関するユーザ情報の漏洩を防止する。以下に、基地局装置120に蓄積されたユーザ情報の保護に関する具体的な作用を、主電源216が接続されている場合と、切断されている場合に分けて詳述する。
(主電源216が接続されている場合)
図4は、主電源216が接続されている場合におけるユーザ情報の漏洩防止を説明した機能ブロック図である。図4(a)において、基地局装置120の廃棄や盗難により、主電源216の切断期間が所定時間、例えば3時間を超過している場合(1)、情報記憶部212から補助記憶部214にユーザ情報が待避され(2)、情報記憶部212からユーザ情報が削除される(3)。従って、外部端末250は、かかる時点では、ユーザ情報を読み取ることができない。この場合、JTAG230を介してユーザ情報を取得することも不可能である。
また、図4(b)において、外部端末250が接続された場合(1)、その接続に応じて、情報記憶部212から補助記憶部214にユーザ情報が待避され(2)、情報記憶部212からユーザ情報が削除される(3)。従って、この場合も、外部端末250は、かかる時点では、ユーザ情報を読み取ることができない。
接続された外部端末250が正規の端末であれば、図4(c)に示すように、外部端末250が接続された後に認証が行われ(1)、その認証によるパスワード等が正しければ、補助記憶部214から情報記憶部212にユーザ情報が復元され(2)、外部端末250は、ユーザ情報を読み取ることができるようになる。
(主電源216が切断されている場合)
主電源216が切断されている場合、基地局制御部200が動作していないので、外部端末は、UART254やJTAG230を通じてユーザ情報を読み取ることができない。
そこで、基地局装置120内の情報記憶部212の端子から直接ユーザ情報を取得しようとしても、基地局装置120は、耐水構造になっており、その開扉には特殊な専用工具が必要なので、メンテナンス作業者や廃棄業者でもない限り簡単には情報記憶部212に接触できないようになっている。
例え、基地局装置120を開扉できたとしても、上述した切断期間の超過または外部端末250によってユーザ情報が待避されていれば、情報記憶部212にはユーザ情報が残っておらず、補助記憶部214にはモールド等により物理的に接触することができない。
従来でも、情報記憶部212にロジック回路を追加し、基地局制御部200の外部アクセス用アドレスを介さないとユーザ情報を参照できないようにマスクをかけることはできたが、このようなマスクのみでは、情報記憶部212のチップセレクトを強制的にアクティブにすることで、容易にデータを読み取ることができていた。本実施形態では、読み取り不可能な物理的に離隔した位置にユーザ情報が待避され、かつ、情報記憶部212のユーザ情報が削除されているので、アプリケーションやロジックが強制的に無効化された場合においても、ユーザ情報の漏洩を確実に防止することができる。
また、万が一、補助記憶部214を読み出すことができたとしても、待避時においてユーザ情報は、当該基地局装置120またはユーザ情報待避部224固有の暗号鍵で暗号化されているので、ユーザ情報の内容を把握されることはない。
さらに、情報記憶部212や補助記憶部214が載置されたメモリ基板は、その抜脱により主電源216および補助電源218の電力供給が絶たれ、ユーザ情報は完全に削除されてしまう。
上述したように、主電源216が接続されている場合においても切断された場合においても、本実施形態による基地局装置120では、ユーザ情報の漏洩を確実に防止することができる。
(情報漏洩防止方法)
続いて、上記基地局装置120を用いて、ユーザ情報の漏洩を防止する情報漏洩防止方法について詳述する。ここでは、情報漏洩防止方法を、ユーザ情報の待避と復元とに分けて説明している。
図5は、情報漏洩防止方法における特にユーザ情報の待避の流れを示したフローチャート図である。かかる情報漏洩防止方法では、まず、主電源216が投入され、前回主電源216が切断されてからの時間を計時しているタイマ222が、前回主電源216が切断されてからの計時結果を導出する(S400)。そして待避判断部220は、タイマ222の計時結果が、所定時間、例えば、停電復旧の時間としての3時間を経過しているかどうか、または、外部端末250が接続されているかどうかを判断する(S402)。このとき、主電源216の投入が製造後初めてであればタイマ222の計時は開始されないように設定されているので、当該基地局装置120の設置時には以下に示すようなユーザ情報の待避は実行されない。
上記判断(S402)において、計時結果が3時間を超過しているか、もしくは外部端末250が接続されていたら、ユーザ情報待避部224は、情報記憶部212内のユーザ情報を、当該基地局装置120またはユーザ情報待避部224固有の暗号鍵を用いて暗号化し(S404)、暗号化されたユーザ情報を補助記憶部214に待避する(S406)。そして、ユーザ情報の待避が完了しているかどうか確認され(S408)、完了していない場合、完了するまで待避工程(S404,S406)が繰り返される。ユーザ情報の待避が完了すると、ユーザ情報待避部224は、情報記憶部212に残留しているユーザ情報を削除する(S410)。
上記判断(S402)において、計時結果が3時間を超過しておらず、かつ外部端末250が接続されていなかったら、ユーザ情報の待避は行われない。
図6は、情報漏洩防止方法における特にユーザ情報の復元の流れを示したフローチャート図である。かかる情報漏洩防止方法では、まず、認証部226が、外部端末が接続されているかどうか判断し(S450)、接続されていれば、例えばパスワードの入力を要求する等によって、その外部端末が当該管理事業者による正規な端末かどうかの認証を行い(S452)、認証が正しいかどうか判断される(S454)。
認証工程(S454)において外部端末が認証された場合、ユーザ情報復元部228は、補助記憶部214に待避されたユーザ情報を、当該基地局装置120またはユーザ情報待避部224固有の暗号鍵を用いて復号し(S456)、復号されたユーザ情報を情報記憶部212に復元する(S458)。そして、ユーザ情報の復元が完了しているかどうか確認され(S460)、完了していない場合、完了するまで復元工程(S456,S458)が繰り返される。外部端末の認証ができなかった場合、認証回数が上限値を超えているかどうか判断され(S462)、超えていなかったら認証回数をインクリメントして(S464)、認証工程(S452)からやり直す。認証回数が上限値を超えていれば、かかる外部端末は不正な端末と判断され、接続が切断される(S466)。
上記判断(S450)において、外部端末が接続されていなかったら、ユーザ情報の復元は行われない。
以上、述べたような情報漏洩防止方法により、上述した基地局装置120同様、正規な外部端末250によるユーザ情報の取得を支援しつつ、廃棄や盗難に基づく第三者によるユーザ情報の不正な流出を確実に防止することが可能となる。
以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
なお、本明細書の情報漏洩防止方法における各工程は、必ずしもフローチャートとして記載された順序に沿って時系列に処理する必要はなく、並列的あるいは個別に実行される処理(例えば、並列処理あるいはオブジェクトによる処理)も含むとしても良い。
本発明は、通信端末との無線通信により通信端末と通信網とを中継する基地局装置にかかり、特に、通信端末に関するユーザ情報の漏洩を防止可能な基地局装置および情報漏洩防止方法に適用可能である。
無線通信システムの概略的な構成を示したブロック図である。 ユーザ情報の一例を示した説明図である。 基地局装置の概略的な構成を示した構成ブロック図である。 主電源が接続されている場合におけるユーザ情報の漏洩防止を説明した機能ブロック図である。 情報漏洩防止方法における特にユーザ情報の待避の流れを示したフローチャート図である。 情報漏洩防止方法における特にユーザ情報の復元の流れを示したフローチャート図である。
符号の説明
110 通信端末
120 基地局装置
212 情報記憶部
214 補助記憶部
216 主電源
218 補助電源
220 待避判断部
222 タイマ
224 ユーザ情報待避部
226 認証部
228 ユーザ情報復元部
250 外部端末

Claims (5)

  1. 通信端末との無線通信により該通信端末と通信網とを中継する基地局装置であって、
    前記通信端末に関するユーザ情報を記憶する情報記憶部と、
    外部端末から読み取り不能に設けられ、前記ユーザ情報を記憶可能な補助記憶部と、
    主電源が切断された場合においても前記情報記憶部と前記補助記憶部とに電力を供給可能な補助電源と、
    前記ユーザ情報を待避すべきかどうか判断する待避判断部と、
    前記待避判断部がユーザ情報を待避すべきと判断した場合、前記情報記憶部のユーザ情報を前記補助記憶部に待避し、前記情報記憶部のユーザ情報を削除するユーザ情報待避部と、
    外部端末が接続された場合に該外部端末の認証を行う認証部と、
    前記認証がなされた場合、前記補助記憶部に待避されたユーザ情報を前記情報記憶部に復元するユーザ情報復元部と、
    を備えることを特徴とする、基地局装置。
  2. 前記補助電源から電力供給を受け、主電源が切断されてから再接続されるまでの時間を計時するタイマをさらに含み、
    前記待避判断部は、前記タイマの計時結果が所定時間を経過している場合に前記ユーザ情報を待避すべきと判断することを特徴とする、請求項1に記載の基地局装置。
  3. 前記待避判断部は、前記外部端末が前記情報記憶部からユーザ情報読み取り可能に接続された場合に前記ユーザ情報を待避すべきと判断することを特徴とする、請求項1または2に記載の基地局装置。
  4. 前記ユーザ情報待避部は、前記情報記憶部のユーザ情報を固有の暗号鍵で暗号化して前記補助記憶部に待避し、
    前記ユーザ情報復元部は、前記補助記憶部に待避されたユーザ情報を復号して前記情報記憶部に復元することを特徴とする、請求項1〜3のいずれかに記載の基地局装置。
  5. 情報記憶部と主電源との接続が切断された場合においても該情報記憶部に電力を供給可能な補助電源と、前記情報記憶部に記憶されたユーザ情報を補助記憶部に待避すべきかどうか判断する待避判断部と、前記情報記憶部のユーザ情報を前記補助記憶部に待避し、該情報記憶部のユーザ情報を削除するユーザ情報待避部と、外部端末の認証を行う認証部と、前記補助記憶部に待避されたユーザ情報を前記情報記憶部に復元するユーザ情報復元部とを備え、通信端末との無線通信により該通信端末と通信網とを中継する基地局装置を用いて、該情報記憶部に記憶された該通信端末に関するユーザ情報の漏洩を防止する情報漏洩防止方法であって、
    前記待避判断部がユーザ情報を待避すべきかどうか判断する待避判断工程と、
    前記待避判断工程においてユーザ情報を待避すべきと判断された場合、前記ユーザ情報待避部が前記情報記憶部のユーザ情報を前記基地局装置に設けられた補助記憶部に待避し、前記情報記憶部のユーザ情報を削除するユーザ情報待避工程と、
    前記認証部が外部端末が接続された場合に該外部端末の認証を行う認証工程と、
    前記認証がなされた場合、前記ユーザ情報復元部が前記補助記憶部に待避されたユーザ情報を前記情報記憶部に復元するユーザ情報復元工程と、
    を含むことを特徴とする、情報漏洩防止方法。
JP2006260370A 2006-09-26 2006-09-26 基地局装置および情報漏洩防止方法 Expired - Fee Related JP4684198B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006260370A JP4684198B2 (ja) 2006-09-26 2006-09-26 基地局装置および情報漏洩防止方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006260370A JP4684198B2 (ja) 2006-09-26 2006-09-26 基地局装置および情報漏洩防止方法

Publications (2)

Publication Number Publication Date
JP2008085440A JP2008085440A (ja) 2008-04-10
JP4684198B2 true JP4684198B2 (ja) 2011-05-18

Family

ID=39355872

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006260370A Expired - Fee Related JP4684198B2 (ja) 2006-09-26 2006-09-26 基地局装置および情報漏洩防止方法

Country Status (1)

Country Link
JP (1) JP4684198B2 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05197607A (ja) * 1992-01-22 1993-08-06 Fuji Xerox Co Ltd ファイル退避復元装置
JPH07222228A (ja) * 1994-02-01 1995-08-18 N T T Idou Tsuushinmou Kk 加入者情報退避制御方式
JP2001341362A (ja) * 2000-06-01 2001-12-11 Ricoh Co Ltd 印刷装置及び印刷システムにおける印刷制御方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05197607A (ja) * 1992-01-22 1993-08-06 Fuji Xerox Co Ltd ファイル退避復元装置
JPH07222228A (ja) * 1994-02-01 1995-08-18 N T T Idou Tsuushinmou Kk 加入者情報退避制御方式
JP2001341362A (ja) * 2000-06-01 2001-12-11 Ricoh Co Ltd 印刷装置及び印刷システムにおける印刷制御方法

Also Published As

Publication number Publication date
JP2008085440A (ja) 2008-04-10

Similar Documents

Publication Publication Date Title
CN106656476B (zh) 一种密码保护方法、装置及计算机可读存储介质
EP2836052B1 (en) Method and device for data secrecy based on embedded universal integrated circuit card
CN101317380B (zh) 备份和恢复许可证的方法及系统
US7885871B2 (en) Method and system for managing DRM agent in user domain in digital rights management
JP5688458B2 (ja) セキュリティ部品及び携帯通信装置において複数の加入者プロファイルを安全に使用するシステムと方法
TWI223938B (en) Method and apparatus for preventing access to information stored at a node
CN100484159C (zh) 便携式信息终端和数据保护方法
US9106409B2 (en) Method and apparatus for handling keys used for encryption and integrity
EP2357859B1 (en) An authentication method for the mobile terminal and a system thereof
US20120115441A1 (en) Methods and apparatus for access data recovery from a malfunctioning device
EP2549678A1 (en) Method and apparatus for protecting software of mobile terminal
CN102656841A (zh) 凭证转移
JP2010268496A (ja) 安全なハンドオーバーの方法
WO2011147661A1 (en) Redundant credentialed access to a secured network
CN104598831A (zh) 一种数据安全的保护方法及终端
CN101404799A (zh) 提供硬件保护的安全装置、集成电路及方法
CN102577507A (zh) 电信系统中的方法和设备
JP2007249507A (ja) 情報漏洩防止方法、情報漏洩防止システム及び情報端末
WO2002019738A2 (en) Timer triggered authentication method and system for data calls
CN100446017C (zh) 数字版权备份和恢复方法及系统
JP4684198B2 (ja) 基地局装置および情報漏洩防止方法
JP3009878B1 (ja) 暗号通信装置
EP2477134B1 (en) Method and system of license interaction and recovering after its interrupting
JP2009081487A (ja) セキュリティ端末装置、コンピュータプログラムおよび情報通信システム
CN110247877B (zh) 一种离线管理指令的管理方法和终端

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090316

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100908

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100921

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110208

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110208

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140218

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees