JP4968264B2 - 通信端末、端末、通信システム、通信方法及びプログラム - Google Patents

通信端末、端末、通信システム、通信方法及びプログラム Download PDF

Info

Publication number
JP4968264B2
JP4968264B2 JP2008550107A JP2008550107A JP4968264B2 JP 4968264 B2 JP4968264 B2 JP 4968264B2 JP 2008550107 A JP2008550107 A JP 2008550107A JP 2008550107 A JP2008550107 A JP 2008550107A JP 4968264 B2 JP4968264 B2 JP 4968264B2
Authority
JP
Japan
Prior art keywords
communication
information
tcp
stream
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008550107A
Other languages
English (en)
Other versions
JPWO2008075580A1 (ja
Inventor
義晴 朝倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008550107A priority Critical patent/JP4968264B2/ja
Publication of JPWO2008075580A1 publication Critical patent/JPWO2008075580A1/ja
Application granted granted Critical
Publication of JP4968264B2 publication Critical patent/JP4968264B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Description

本発明は、TCP/IPのストリーム通信を行う通信端末、端末、通信システム、通信方法及びプログラムに関する。
従来技術として、IETF(Internet Engineering Task Force)におけるRFC(Request For Comments)1413(非特許文献1)に開示されているように、IDENT(Identification Protocol)プロトコルがある。IDENTプロトコルでは、例えば、電子メールの送信において、最初にクライアントがサーバに接続し、次にサーバがクライアントに接続し直してクライアントが誰であるかを確認できるなど、接続元アプリケーションを起動したユーザの情報を接続先アプリケーションが取得できる。
従来の電子メールシステムの例が特開2006−287976号公報(特許文献1)に開示されている。特許文献1は、管理すべき宛先への電子メールを受信蓄積し、要求に応じて電子メールをメールクライアントへ送信するメールサーバーにおいて、受信した電子メールに電子署名がなされているか否かを検知する署名検知部等を備えることによって、メールクライアントが電子メールの暗号化機能を持たない場合でも、電子メールを暗号化して所望の宛先に送信することを可能としつつ、メールサーバーからの公開鍵の取得結果又は公開鍵の有効性の検証結果の通知に基づいて電子メールの暗号化及びその送信について臨機応変な対応を可能とするものである。
特開2006−287976号公報 RFC1413
しかし、従来の技術は、以下に示す問題点を有する。
第1の問題点は、接続元アプリケーションの情報を取得できないことである。
その理由は、同一のユーザが起動したすべてのアプリケーションによる通信から取得できる情報はすべて同一であることから、IDENTプロトコルにおいて、接続元アプリケーションを起動したユーザの情報しか取得できないからである。
第2の問題点は、IDENTプロトコルでは接続元アプリケーションを起動したユーザの情報の正当性が保証できないため、ユーザ情報が通信路の途中で改ざんされても検知できないことである。
その理由は、IDENTプロトコルがアプリケーション間通信の通信路をそのまま用いるためであり、通信路の安全性が確保されていないからである。
第3の問題点は、アプリケーション間通信でIDENTプロトコルに対応する必要があるため、IDENTプロトコルに対応していない既存のアプリケーションを動作させるときに、通信プロトコルを修正してIDENTプロトコルに対応させる必要があることである。
その理由は、IDENTプロトコルを考慮した通信でなければIDENTプロトコルを使用できないからである。
(発明の目的)
本発明の目的は、TCP/IPのストリーム通信における通信元アプリケーションを特定する通信端末、端末、通信システム、通信方法及びプログラムを提供することにある。
本発明による第1の通信端末は、ネットワークを介して他の通信端末と通信を行う通信端末であって、通信先の他の通信端末に対する通信に関する情報を、他の通信端末に送信する通信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して他の通信端末に送信する情報送信手段とを含む。
本発明による第2の通信端末は、ネットワークを介して他の通信端末と通信を行う通信端末であって、通信先の他の通信端末へ通信に関する情報を送信し又は通信元の他の通信端末からの通信に関する情報を受信する通信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して通信先の他の通信端末に送信する情報送信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を専用の通信路を介して通信元の他の通信端末から受信する情報受信手段と、情報受信手段によって受信した通信に関する情報とアプリケーションの情報を対応付けて記録する記録手段と、通信手段で受信した通信に関する情報に対応するアプリケーションの情報を記録手段から取得する問い合わせ手段とを含む。
本発明による通信システムは、ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムであって、通信端末は、通信先の他の通信端末へ通信に関する情報を送信し又は通信元の他の通信端末からの通信に関する情報を受信する通信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して通信先の他の通信端末に送信する情報送信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を専用の通信路を介して通信元の他の通信端末から受信する情報受信手段と、情報受信手段によって受信した通信に関する情報とアプリケーションの情報を対応付けて記録する記録手段と、通信手段で受信した通信に関する情報に対応するアプリケーションの情報を記録手段から取得する問い合わせ手段とを含み、他の通信端末と専用の通信路で接続されている。
本発明による第1の通信方法は、ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムにおける通信方法であって、通信端末において、通信先の他の通信端末に対する通信に関する情報を、他の通信端末に送信する通信ステップと、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信ステップにおいて用いる通信路以外の安全性の高い専用の通信路を介して他の通信端末に送信する情報送信ステップとを含む。
本発明による第2の通信方法は、ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムにおける通信方法であって、通信端末において、送信元の他の通信端末からの通信に関する情報を受信する通信ステップと、通信に関する情報と通信を実行している通信元のアプリケーションの情報を専用の通信路を介して受信する情報受信ステップと、情報受信ステップにおいて受信した通信に関する情報とアプリケーションの情報を対応付けて記録手段に記録する記録ステップと、通信処理において受信した通信に関する情報に対応するアプリケーションの情報を記録手段から取得する問い合わせステップとを含む。
本発明による第1のプログラムは、ネットワークを介して他の通信端末と通信を行う通信端末で実現されるプログラムであって、通信端末に、通信先の他の通信端末に対する通信に関する情報を、他の通信端末に送信する通信処理と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信処理において用いる通信路以外の安全性の高い専用の通信路を介して他の通信端末に送信する情報送信処理とを実行させる。
本発明による第2のプログラムは、ネットワークを介して他の通信端末と通信を行う通信端末で実現されるプログラムであって、通信端末に、送信元の他の通信端末からの通信に関する情報を受信する通信処理と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を専用の通信路を介して受信する情報受信処理と、情報受信処理において受信した通信に関する情報とアプリケーションの情報を対応付けて記録手段に記録する記録処理と、通信処理において受信した通信に関する情報に対応するアプリケーションの情報を記録手段から取得する問い合わせ処理とを実行させる。
第1の効果は、通信元アプリケーションの正当な情報を取得できる点である。
第2の効果は、通信元のアプリケーションの情報が改ざんされない点である。
第3の効果は、通信元のアプリケーションと通信先のアプリケーション間で実行されるTCP/IPのストリーム通信、および、アプリケーション間のプロトコルに修正がいらない点である。
本発明の第1の実施の形態におけるアプリケーション特定システムの構成を示すブロック図である。 第1の実施の形態における識別子対応情報を説明する図である。 第1の実施の形態におけるアプリケーション特定システムの通信元端末のハードウェア構成を示すブロック図である。 第1の実施の形態の通信元アプリケーション40、通信検知装置110、情報取得装置120及び情報送信装置130の動作を示す流れ図である。 第1の実施の形態の情報受信装置210の動作を示す流れ図である。 第1の実施の形態の通信先アプリケーション50及び問い合わせ装置230の動作を示す流れ図である。 本発明の第2の実施の形態におけるアプリケーション特定システムの構成を示すブロック図である。 本発明の第3の実施の形態におけるアプリケーション特定システムの構成を示すブロック図である。
(第1の実施の形態)
本発明による第1の実施の形態のアプリケーション特定システムについて図面を参照して詳細に説明する。
(第1の実施の形態の構成)
図1は、本実施の形態のアプリケーション特定システムの構成を示すブロック図である。
図1を参照すると、本実施の形態のアプリケーション特定システムは、通信元アプリケーション40を有する通信元端末10と、通信先アプリケーション50を有する通信先端末20と、専用通信路30と、一般的な通信路である汎用通信路60とを備えている。
通信元アプリケーション40は、通信元端末10上で動作するアプリケーションである。通信元アプリケーション40には、通信元アプリケーション40を識別する識別子として識別子300(図4参照)が割り当てられている。
通信先アプリケーション50は、通信先端末20上で動作するアプリケーションである。
通信元端末10は、通信装置100と、通信検知装置110と、情報取得装置120と、情報送信装置130とを含む端末である。また、通信端末10には通信元IPアドレスとしてIPアドレス310(図4参照)が割り当てられている。
通信装置100は、汎用通信路60を用いてTCP/IPのストリーム通信を実行する機能と、TCP/IPのストリーム通信のconnect 実行時に、通信元ポート番号としてポート番号320(図示せず)を割り当てる機能とを有する。
通信検知装置110は、通信装置100を監視し、汎用通信路60を用いたTCP/IPのストリーム通信のconnect の実行を検知する機能を有する。なお、本発明において、TCP/IPのストリーム通信のconnect の実行を検知するのは、通信元端末10の通信検知装置110であり、ネットワーク上の機能や、後述する通信先端末20の機能を用いることを要さない。
情報取得装置120は、通信検知装置110が検知したTCP/IPのストリーム通信のconnectを実行中の通信元アプリケーション40の識別子300、通信元端末10のIPアドレスであるIPアドレス310及び通信元ポート番号のポート番号320を取得する機能を有する。すなわち、本発明において、通信元アプリケーション40の識別子300は、まず通信元端末10の情報取得装置120によって取得される。
情報送信装置130は、専用通信路30に接続されており、情報取得装置120が取得した識別子300、IPアドレス310及びポート番号320を専用通信路30を用いて送信する機能を有する。
通信先端末20は、通信装置200と、情報受信装置210と、記憶装置220と、問い合わせ装置230とを含む端末である。
通信装置200は、汎用通信路60を用いてTCP/IPのストリーム通信を行う機能を有する。
情報受信装置210は、専用通信路30に接続されており、情報送信装置130が専用通信路30を用いて送信した識別子300、IPアドレス310及びポート番号320を受信する機能を有する。
記憶装置220は、情報受信装置210が受信した識別子300、IPアドレス310及びポート番号320を、IPアドレス310とポート番号320の組みと識別子300を関連付けて識別子対応情報2200として記録する機能を有する。
図2は、本実施の形態による記憶装置220に記録された識別子対応情報2200の構成を示す図である。
図2を参照すると、本実施の形態による識別子対応情報2200は、情報受信装置210が受信したIPアドレス310とポート番号320の組みと識別子300とが関連付けて記録されている。
通信先アプリケーション50は、通信装置200を用いてTCP/IPのストリーム通信を accept すると、通信元IPアドレス(IPアドレス310)と通信元ポート番号(ポート番号320)をTCP/IPのストリーム通信から取得し、問い合わせ装置230に渡す機能を有する。
問い合わせ装置230は、TCP/IPのストリーム通信通信先アプリケーション50から渡された通信元IPアドレス(IPアドレス310)と通信元ポート番号(ポート番号320)の組みに関連付けられている識別子300を記憶装置220から取得し、通信先アプリケーション50に渡す機能を有する。
専用通信路30は、通信元端末10と通信先端末20間を接続し、情報を暗号化する等によって通信する機能を有する安全性の高い通信路である。
従って、本実施の形態による通信先端末20は、汎用通信路60を用いて実行されるTCP/IPのストリーム通信におけるconnect 実行時に専用通信路30を用いて送信される識別子300、IPアドレス310及びポート番号320を記憶装置220に蓄積する。
上記説明したように、本発明は、通信元端末10が、パケット以外にもセッション情報にも基づいて通信における通信元端末10の情報(通信元アプリケーション40の識別子300、通信元端末10のIPアドレスであるIPアドレス310及び通信元ポート番号のポート番号320)を取得する。また、通信元端末10が、取得した通信における通信元端末10の情報を専用通信路30を用いて通信先端末20に送信するため、通信先端末20が通信元アプリケーション40を正確に特定できる(正規のアプリケーションか不正なアプリケーションかを正確に特定できる)。
ここで、通信元端末10のハードウェア構成の説明をする。
図3は、本実施の形態によるアプリケーション特定システムの通信元端末10のハードウェア構成例を示すブロック図である。
図3を参照すると、本発明による通信元端末10は、一般的なコンピュータ装置と同様のハードウェア構成によって実現することができ、CPU(Central Processing Unit)601、RAM(Random Access Memory)等のメインメモリであり、データの作業領域やデータの一時退避領域に用いられる主記憶部602、インターネットを介してデータの送受信を行う通信制御部603、液晶ディスプレイ、プリンタやスピーカ等の提示部604、キーボードやマウス等の入力部605、周辺機器と接続してデータの送受信を行うインタフェース部606、ROM(Read Only Memory)、磁気ディスク、半導体メモリ等の不揮発性メモリから構成されるハードディスク装置である補助記憶部607、本情報処理装置の上記各構成要素を相互に接続するシステムバス608等を備えている。
本発明による通信元端末10は、その動作を、通信元端末10内部にそのような機能を実現するプログラムを組み込んだ、LSI(Large Scale Integration)等のハードウェア部品からなる回路部品を実装してハードウェア的に実現することは勿論として、上記した各構成要素の各機能を提供するプログラムを、コンピュータ処理装置上のCPU601で実行することにより、ソフトウェア的に実現することができる。
すなわち、CPU601は、補助記憶部607に格納されているプログラムを、主記憶部602にロードして実行し、通信元端末10の動作を制御することにより、上述した各機能をソフトウェア的に実現する。
なお、通信先端末20が上述のような構成を有し、上述した各機能をハードウェア的又はソフトウェア的に実現してもよい。
(第1の実施の形態の動作)
次に、図1〜図6を参照して本実施の形態のアプリケーション特定システムの動作について詳細に説明する。図4〜図6は、アプリケーション特定システムの各構成要素の動作を示す流れ図である
通信元端末10にはあらかじめIPアドレスとしてIPアドレス310が割り当てられているものとする。また、通信元アプリケーション40には、通信元アプリケーション40を識別する識別子として識別子300が割り当てられているものとする。
図4は、本実施の形態の通信元アプリケーション40、通信検知装置110、情報取得装置120及び情報送信装置130の動作を示す流れ図である。
今、通信元アプリケーション40が通信先アプリケーション50に対してTCP/IPのストリーム通信を行うとする。
通信元アプリケーション40は、通信装置100を用いて通信先アプリケーション50に対して汎用通信路60を用いてTCP/IPのストリーム通信を実行する(図4のステップS101)。このTCP/IPのストリーム通信のconnect実行時に、通信元ポート番号としてポート番号320が割り当てられるとする。
通信検知装置110は、通信元アプリケーション40によるTCP/IPのストリーム通信のconnect を検知し、情報取得装置120に通知する(図4のステップS102)。
情報取得装置120は、IPアドレス310、ポート番号320及び識別子300を取得し、情報送信装置130に渡す(図4のステップS103)。
情報送信装置130は、情報取得装置120から渡されたIPアドレス310、ポート番号320及び識別子300を専用通信路30を用いて情報受信装置210に送信する(図4のステップS104)。
以上の通信元端末10動作によって、通信先端末20は、通信元端末10におけるconnect時に専用通信路30を用いて送信されたIPアドレス310、ポート番号320及び識別子300を識別子対応情報2200として記憶装置220に蓄積する。
図5は、本実施の形態の情報受信装置210の動作を示す流れ図である。
情報受信装置210は、専用通信路30からの情報の送信を待って、当該送信の有無を判別する(図5のステップS201)。
送信があった場合、情報受信装置210は、IPアドレス310、ポート番号320及び識別子300を受信し(図5のステップS202)、記憶装置220は、情報受信装置210が受信したIPアドレス310とポート番号320の組みと識別子300を関連付けて識別子対応情報2200として記憶装置220に記録する(図5のステップS203)。
図6は、本実施の形態の通信先アプリケーション50及び問い合わせ装置230の動作を示す流れ図である。
通信先アプリケーション50は、通信元アプリケーション40からのTCP/IPのストリーム通信を通信装置200を用いて待ち、当該通信の有無を判別するつ(図6のステップS301)。
通信装置200がTCP/IPのストリーム通信を accept すると、通信先アプリケーション50は、TCP/IPのストリーム通信から、通信元IPアドレスとしてIPアドレス310を取得し、通信元ポート番号としてポート番号320を取得する(図6のステップS302)。
通信先アプリケーション50は、問い合わせ装置230にIPアドレス310及びポート番号320を渡す(図6のステップS303)。
問い合わせ装置230は、記憶装置220に記録された識別子対応情報2200に基づいて、渡されたIPアドレス310とポート番号320の組みに関連付けられている識別子300を記憶装置220から取得し(図6のステップS304)、取得した識別し300を通信先アプリケーション50に渡す(図6のステップS305)。
(第1の実施の形態の効果)
次に、本実施の形態のアプリケーション特定システムの効果について説明する。
第1に、本実施の形態よれば、通信内容を通信元アプリケーション40の素性に基づいて処理することができる。例えば、データベースに対する問い合わせ要求を、問い合わせ元アプリケーションの素性に基づいて許可又は拒絶することができる。
その理由は、通信先アプリケーション50が、専用通信路30を介し、通信元アプリケーション40を識別する識別子300を取得するため、通信元アプリケーション40を高い信頼度で特定できるからである。
第2に、本実施の形態よれば、通信元アプリケーション40の識別子300の改ざんを考慮する必要がない。
その理由は、通信元端末10が、通信元アプリケーション40の識別子300を通信元端末10内で取得し、取得した通信元アプリケーション40の識別子300を専用通信路30を用いて通信先端末20に送信するからである。
第3に、本実施の形態よれば、通信元アプリケーション40と通信先アプリケーション50とにおけるアプリケーション間の通信プロトコルを修正する必要がない。
その理由は、通信元アプリケーション40の識別子300の取得と送受信を通信元端末10内の装置及び通信先端末20内の装置で行い、識別子300の送受信には上記アプリケーション間の通信路とは異なる専用通信路30を用いるからである。
なお、本実施の形態のアプリケーション特定システムでは、1つの通信元端末10と1つの通信先端末20を備える場合について説明したが、通信元端末10と通信先端末20の数に制限はない。
また、本実施の形態のアプリケーション特定システムでは、通信元端末10と通信先端末20を区別して説明したが、通信元端末10を構成する装置と通信先端末20を構成する装置を1つの端末が含んでもよい。
さらに、本実施の形態のアプリケーション特定システムでは、1つの通信元アプリケーション40と1つの通信先アプリケーション50を備える場合について説明したが、通信元アプリケーション40と通信先アプリケーション50の数に制限はない。
(第2の実施の形態)
次に、本発明による第2の実施の形態のアプリケーション特定システムについて図面を参照して詳細に説明する。本実施の形態は本発明の第1の実施の形態に対応するものであるため、以下、相違点を中心に説明する。
(第2の実施の形態の構成)
本実施の形態は、図7に示すように、通信装置100としてTCP/IPスタックモジュール101を、通信検知装置110としてフック関数111を、情報取得装置120として情報取得モジュール121を、情報送信装置130として情報送信モジュール131を持つ通信元端末10として通信元SELinux(Security−Enhanced Linux)11、通信装置200としてTCP/IPスタックモジュール201を、情報受信装置210として情報受信モジュール211を、記憶装置220としてHDD(ハードディスクドライブ)221を、問い合わせ装置230として問い合わせシステムコール231を持つ通信先端末20として通信先SELinux21、専用通信路30としてSSL(Secure Socket Layer)で暗号化されたTCP/IPのストリーム通信路31、通信元SELinux11上で動作する通信元アプリケーション40として通信元Linuxアプリケーション41、通信先SELinux21上で動作する通信先アプリケーション50として通信先Linuxアプリケーション51を備えている。
ここで、通信元SELinux11のIPアドレス311として、192.168.0.1が割り当てられているものとする。また、通信元Linuxアプリケーション41を識別する識別子301としてSELinux21のセキュリティコンテキスト文字列(system_u:system_r:app_t)が割り当てられているものとする。
(第2の実施の形態の動作)
まず、図4を参照し、本実施の形態の通信元Linuxアプリケーション41、フック関数111、情報取得モジュール121及び情報送信モジュール131の動作を説明する。
今、通信元Linuxアプリケーション41が、通信先Linuxアプリケーション51にTCP/IPスタックモジュール101を用いて汎用通信路60によりTCP/IPのストリーム通信を実行したとする(図4のステップS101)。
このとき、TCP/IPスタックモジュール101は、TCP/IPのストリーム通信のconnectの実行に対して通信元ポート番号(ポート番号321)として3000番を割り当てたとする。
TCP/IPのストリーム通信のconnect が実行されると、フック関数111が呼び出される。フック関数111は、情報取得モジュール121を呼び出す(図4のステップS102)。
情報取得モジュール121は、Linux内部のタスク情報から通信元Linuxアプリケーション41を識別する識別子301としてsystem_u:system_r:app_tを、TCP/IPのストリーム通信における情報から通信元IPアドレス(IPアドレス311)として192.168.0.1と通信元ポート番号(ポート番号321)として3000番を取得し、情報送信モジュール131に渡す(図4のステップS103)。
情報送信モジュール131は、識別子301(system_u:system_r:app_t)、IPアドレス311(192.168.0.1)及びポート番号321(3000番)を、通信元Linuxアプリケーション41と通信先Linuxアプリケーション51間のTCP/IPのストリーム通信路とは異なる SSLで暗号化されたTCP/IPのストリーム通信路31を用いて情報受信モジュール211に送信する(図4のステップS104)。
次いで、図5を参照し、主に本実施の形態の情報受信モジュール211の動作を説明する。
情報受信モジュール211は、SSLで暗号化されたTCP/IPのストリーム通信路31からの情報の送信を待つ(図5のステップS201)。
情報送信モジュール131は、上述したように、識別子301(system_u:system_r:app_t)、IPアドレス311(192.168.0.1)及びポート番号321(3000番)を、通信元Linuxアプリケーション41と通信先Linuxアプリケーション51間のTCP/IPのストリーム通信路とは異なる SSLで暗号化されたTCP/IPのストリーム通信路31を用いて情報受信モジュール211に送信する。
情報受信モジュール211は、SSLで暗号化されたTCP/IPのストリーム通信路31から識別子301(system_u:system_r:app_t)、IPアドレス311(192.168.0.1)及びポート番号321(3000番)を受信し、IPアドレス311とポート番号321の組みと識別子301を関連付けて識別子対応情報2201としてHDD221に記録する(図5のステップS202、S203)。
次いで、図6を参照し、本実施の形態の通信先Linuxアプリケーション51及び問い合わせシステムコール231の動作を説明する。
通信先Linuxアプリケーション51は、通信元Linuxアプリケーション41が実行した汎用通信路60を用いたTCP/IPのストリーム通信をTCP/IPスタック モジュール201を通して accept すると、TCP/IPのストリーム通信から通信元IPアドレス(IPアドレス311)(192.168.0.1)及び通信元ポート番号(ポート番号321)(3000番)を取得する(図6のステップS301、S302)。
次いで、通信先Linuxアプリケーション51は、引数にIPアドレス311(192.168.0.1)とポート番号321(3000番)を渡して問い合わせシステムコール231を呼び出す(図6のステップS303)。
問い合わせシステムコール231は、HDD221に記録された識別子対応情報2201に基づいて、引数で渡されたIPアドレス311とポート番号321に関連付けられている識別子301(system_u:system_r:app_t)をHDD221から取得して通信先Linuxアプリケーション51に渡す(図6のステップS304、S305)。
(第2の実施の形態の効果)
本実施の形態によれば、第1の実施の形態と同様の理由により、通信元Linuxアプリケーション41の素性に基づいて処理することができ、また、通信元Linuxアプリケーション41の識別子301の改ざんを考慮する必要がなく、さらに、通信元Linuxアプリケーション41と通信先Linuxアプリケーション51とにおけるアプリケーション間の通信プロトコルを修正する必要がない。
(第3の実施の形態)
次に、本発明による第3の実施の形態のアプリケーション特定システムについて図面を参照して詳細に説明する。本実施の形態は、本発明の第1の実施の形態における通信元端末10及び通信先端末20の全ての構成要素を単一の端末800内に備えるものであるため、以下、相違点を中心に説明する。
(第3の実施の形態の構成)
図8は、本実施の形態のアプリケーション特定システムの構成を示すブロック図である。
本実施の形態は、図8に示すように、通信装置100としてTCP/IPスタックモジュール102を、通信検知装置110としてフック関数112を、情報取得装置120として情報取得モジュール122を、情報送信装置130として情報送信モジュール132を持つ通信元端末10としてSELinux化されたUML(User Mode Linux)12、通信装置200としてTCP/IPスタックモジュール202を、情報受信装置210として情報受信モジュール212を、記憶装置220としてHDD222を、問い合わせ装置230として問い合わせシステムコール232を持つ通信先端末20としてSELinux22、専用通信路30としてSELinuxが提供する登録システムコール32、UML12上で動作する通信元アプリケーション40として通信元Linuxアプリケーション42、 SELinux22上で動作する通信先アプリケーション50として通信先Linuxアプリケーション52を備えている。なお、UML12はSELinux22上で動作する。
ここで、UML12のIPアドレス312として、192.168.0.1が割り当てられているものとする。また、通信元Linuxアプリケーション42を識別する識別子302としてSELinux22のセキュリティコンテキスト文字列(system_u:system_r:app_t)が割り当てられているものとする。
(第3の実施の形態の動作)
まず、図4を参照し、本実施の形態の通信元Linuxアプリケーション42、フック関数112、情報取得モジュール122、情報送信モジュール132及び情報受信モジュール212の動作を説明する。
今、通信元Linuxアプリケーション42が通信先Linuxアプリケーション52にTCP/IPスタックモジュール101を用いてTCP/IPのストリーム通信を実行したとする(図4のステップS101)。
このとき、TCP/IPスタックモジュール102は、TCP/IPのストリーム通信のconnectの実行に対して通信元ポート番号(ポート番号322)として3000番を割り当てたとする。
TCP/IPのストリーム通信のconnect が実行されると、フック関数112が呼び出される。フック関数112は、情報取得モジュール122を呼び出す(図4のステップS102)。
情報取得モジュール122は、Linux内部のタスク情報から通信元Linuxアプリケーション42の識別子302としてsystem_u:system_r:app_tを、TCP/IPのストリーム通信における情報から通信元IPアドレス(IPアドレス312)として192.168.0.1と通信元ポート番号(ポート番号322)として3000番を取得し、情報送信モジュール132に渡す(図4のステップS103)。
情報送信モジュール132は、識別子302(system_u:system_r:app_t)、IPアドレス312(192.168.0.1)及びポート番号322(3000番)を引数として、登録システムコール32を呼び出す。
情報受信モジュール212は、登録システムコール32の引数から識別子302(system_u:system_r:app_t)、IPアドレス312(192.168.0.1)及びポート番号322(3000番)を取得し(図4のステップS104)、IPアドレス312とポート番号322の組みと識別子302を関連付けてHDD222に記録する。
次いで、図5を参照し、本実施の形態の情報受信モジュール212の動作を説明する。
情報受信モジュール212は、SELinuxが提供する登録システムコール32からの情報の送信を待つ(図5のステップS201)。
情報受信モジュール212は、上述したように、登録システムコール32の引数から識別子302(system_u:system_r:app_t)、IPアドレス312(192.168.0.1)及びポート番号322(3000番)を取得し、IPアドレス312とポート番号322の組みと識別子302を関連付けて識別子対応情報2202としてHDD222に記録する(図5のステップS202、S203)。
次いで、図6を参照し、本実施の形態の通信先Linuxアプリケーション52及び問い合わせシステムコール232の動作を説明する。
通信先Linuxアプリケーション52は、TCP/IPスタック モジュール202を通して通信元Linuxアプリケーション42が実行したTCP/IPのストリーム通信を accept すると、TCP/IPのストリーム通信から通信元IPアドレス(IPアドレス312)(192.168.0.1)及び通信元ポート番号(ポート番号322)(3000番)を取得する(図6のステップS301、S302)。
次いで、通信先Linuxアプリケーション52は、引数にIPアドレス312(192.168.0.1)及びポート番号322(3000番)を渡して問い合わせシステムコール232を呼び出す(図6のステップS303)。
問い合わせシステムコール232は、HDD222に記録された識別子対応情報2202に基づいて、引数で渡されたIPアドレス312とポート番号322に関連付けられている識別子302(system_u:system_r:app_t)をHDD222から取得し、通信先Linuxアプリケーション52に渡す(図6のステップS304、S305)。
(第3の実施の形態の効果)
本実施の形態によれば、第1の実施の形態と同様の理由により、通信元Linuxアプリケーション42の素性に基づいて処理することができ、また、通信元Linuxアプリケーション42の識別子302の改ざんを考慮する必要がなく、さらに、通信元Linuxアプリケーション42と通信先Linuxアプリケーション52とにおけるアプリケーション間の通信プロトコルを修正する必要がない。
以上説明したように、本発明の実施の形態によれば、汎用通信路60を用いてTCP/IPのストリーム通信を行う通信装置(図1の100)と、TCP/IPのストリーム通信のconnectの実行を検知する通信検知装置(図1の110)と、通信とconnetを実行中のアプリケーションの情報を取得する情報取得装置(図1の120)と、取得した通信とアプリケーションの情報を専用通信路(図1の30)を用いて送信する情報送信装置(図1の130)とを備えた通信元端末(図1の10)と、汎用通信路60を用いてTCP/IPのストリーム通信を行う通信装置(図1の200)と、通信とアプリケーションの情報を専用通信路(図1の30)を用いて取得する情報受信装置(図1の210)と、取得した通信とアプリケーションの情報を格納する記憶装置(図1の220)と、記憶装置からアプリケーションの情報を取得する問い合わせ装置(図1の230)とを備えた通信先端末(図1の20)と、通信元端末(図1の10)と通信先端末(図1の20)を接続する専用通信路(図1の30)と、通信元端末(図1の10)上で動作する通信元アプリケーション(図1の40)と、通信先端末(図1の20)上で動作する通信先アプリケーション(図1の50)とを有する。
このような構成を採用し、通信検知装置が、通信元アプリケーションによる通信装置を用いた通信先アプリケーションとのTCP/IPのストリーム通信のconnectの実行を検知した場合、情報取得装置が通信元アプリケーションの識別子と通信元IPアドレスと通信元ポート番号を取得し、取得した識別子とIPアドレスとポート番号を情報送信装置に渡し、情報送信装置は渡された識別子とIPアドレスとポート番号を安全な通信路を用いて情報受信装置に送信し、情報受信装置は受信したIPアドレスとポート番号の組みと識別子を関連付けて記憶装置に記録し、通信先アプリケーションは通信装置を用いて通信元アプリケーションからのTCP/IPのストリーム通信をacceptした場合、通信元IPアドレスと通信元ポート番号を問い合わせ装置に渡し、問い合わせ装置は渡されたIPアドレスとポート番号の組みに関連付けられている識別子を記憶装置から取得し、通信先アプリケーションに渡すことにより、本発明の目的を達成することができる。
上述した本発明の実施の形態よれば、通信元アプリケーションの正当な情報を取得できる効果が達成される。
その理由は、一方において、ネットワークを介して他の通信端末と通信を行う通信端末であって、通信先の他の通信端末に対する通信に関する情報を、他の通信端末に送信する通信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して他の通信端末に送信する情報送信手段とを備えることを特徴とする通信端末を用い、他方において、ネットワークを介して他の通信端末と通信を行う通信端末であって、通信先の他の通信端末へ通信に関する情報を送信し又は通信元の他の通信端末からの通信に関する情報を受信する通信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して通信先の他の通信端末に送信する情報送信手段と通信に関する情報と通信を実行している通信元のアプリケーションの情報を専用の通信路を介して通信元の他の通信端末から受信する情報受信手段と、情報受信手段によって受信した通信に関する情報とアプリケーションの情報を対応付けて記録する記録手段と、通信手段で受信した通信に関する情報に対応するアプリケーションの情報を記録手段から取得する問い合わせ手段とを備えることを特徴とする通信端末を用いるからである。
また、通信元のアプリケーションの情報が改ざんされないという効果が得られる。
その理由は、通信元の通信端末が通信元のアプリケーションの情報を取得し、取得した情報を安全性の高い専用の通信路を用いて通信先の通信端末に送信するからである。
さらに、通信元のアプリケーションと通信先のアプリケーション間で実行されるTCP/IPのストリーム通信、および、アプリケーション間のプロトコルに修正が不要であるという効果が得られる。
その理由は、通信元の通信端末が、通信元のアプリケーションの情報と通信先の他の通信端末に対する通信に関する情報とを取得し、取得した当該情報を通信手段によって通信が行われる通信路以外の安全性の高い専用の通信路によって通信先の他の通信端末に送信し、通信先のアプリケーションが問い合わせ手段を用いて通信元のアプリケーションの情報を取得するからである。
以上好ましい実施の形態をあげて本発明を説明したが、本発明は必ずしも、上記実施の形態に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。
この出願は、2006年12月20日に出願された日本出願特願2006−342284を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明によれば、別端末上で動作する通信元アプリケーションからのTCP/IPのストリーム通信を受信したときに、通信元アプリケーションの素性を取得する用途に適用できる。

Claims (32)

  1. ネットワークを介して他の通信端末と通信を行う通信端末であって、
    前記他の通信端末に対してTCP/IPのストリーム通信を行う通信手段と、
    通信元のアプリケーションによる通信先の前記他の通信端末に対するTCP/IPのストリーム通信のconnectを検知する通信検知手段と、
    前記通信検知手段によって検知された前記通信元のアプリケーションの情報と前記TCP/IPのストリーム通信に関する情報を取得する情報取得手段と、
    前記情報取得手段によって取得された前記通信元のアプリケーションの情報と前記TCP/IPのストリーム通信に関する情報を、前記通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して前記他の通信端末に送信する情報送信手段と
    を備えることを特徴とする通信端末。
  2. 前記TCP/IPのストリーム通信に関する情報は、前記通信端末のIPアドレス及びポート番号を含み、
    前記通信元のアプリケーションの情報は、前記通信元のアプリケーションの識別子を含むことを特徴とする請求項1記載の通信端末。
  3. 複数のオペレーティングシステムを有する端末であって、
    前記端末が備える第1のオペレーティングシステムと第2のオペレーティングシステムが、
    前記第2のオペレーティングシステムに対してTCP/IPのストリーム通信を行う第1の通信手段と、
    前記第2のオペレーティングシステムに対して通信を実行している通信元のアプリケーションによるTCP/IPのストリーム通信のconnectを検知する通信検知手段と、
    前記通信検知手段によって検知された前記通信元のアプリケーションの情報と前記TCP/IPのストリーム通信に関する情報を取得する情報取得手段と、
    前記情報取得手段によって取得された前記通信元のアプリケーションの情報と前記TCP/IPのストリーム通信に関する情報を、前記第1の通信手段が通信を行う通信路以外の安全性の高い専用のシステムコールを介して前記第2のオペレーティングシステムに送信する情報送信手段と
    を備える前記第1のオペレーティングシステムと、
    前記第1のオペレーティングシステムからのTCP/IPのストリーム通信を受信する第2の通信手段と、
    前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を前記専用の通信路を介して前記第1のオペレーティングシステムから受信する情報受信手段と、
    前記情報受信手段によって受信した前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を対応付けて記録する記録手段と、
    前記第2の通信手段で受信した前記TCP/IPのストリーム通信に関する情報に対応する前記通信元のアプリケーションの情報を前記記録手段から取得する問い合わせ手段と、
    前記第2の通信手段を用いて前記第1のオペレーティングシステムからのTCP/IPのストリーム通信をacceptし、acceptしたTCP/IPのストリーム通信に関する情報を取得し、前記問い合わせ手段に取得した前記TCP/IPのストリーム通信に関する情報を渡し、前記問い合わせ手段から前記TCP/IPのストリーム通信に関する情報に対応する前記通信元のアプリケーションの情報を取得する通信先のアプリケーションと
    を備える前記第2のオペレーティングシステム
    であることを特徴とする通信端末。
  4. 前記TCP/IPのストリーム通信に関する情報は、通信元の前記第1のオペレーティングシステムのIPアドレス及びポート番号を含み、
    前記通信元アプリケーションの情報は、前記通信元のアプリケーションの識別子を含むことを特徴とする請求項3に記載の通信端末。
  5. ネットワークを介して他の通信端末と通信を行う通信端末であって、
    前記他の通信端末からのTCP/IPのストリーム通信を受信する通信手段と、
    通信元のアプリケーションの情報とTCP/IPのストリーム通信に関する情報を前記通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して受信する情報受信手段と、
    前記情報受信手段によって受信した前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を対応付けて記録する記録手段と、
    前記通信手段を用いて前記他の通信端末からacceptしたTCP/IPのストリーム通信からTCP/IPのストリーム通信に関する情報を取得する通信先のアプリケーションと、
    前記通信先のアプリケーションが取得したTCP/IPのストリーム通信に関する情報に対応する前記通信元のアプリケーションの情報を前記記録手段から取得し、前記通信先のアプリケーションに渡す問い合わせ手段と
    を備えることを特徴とする通信端末。
  6. 前記TCP/IPのストリーム通信に関する情報は、前記他の通信端末のIPアドレス及びポート番号を含み、
    前記通信元のアプリケーションの情報は、前記通信元のアプリケーションの識別子を含むことを特徴とする請求項5記載の通信端末。
  7. 前記通信元のアプリケーションの識別子がプロセスIDであることを特徴とする請求項2、4、6のいずれか1項に記載の通信端末。
  8. ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムであって、
    前記通信端末は、前記他の通信端末に対してTCP/IPのストリーム通信を行う通信手段と、
    前記他の通信端末に対して通信を実行している通信元のアプリケーションによるTCP/IPのストリーム通信のconnectを検知する通信検知手段と、
    前記通信検知手段によって検知された前記通信元のアプリケーションの情報と前記TCP/IPのストリーム通信に関する情報を取得する情報取得手段と、
    前記情報取得手段によって取得された前記通信元のアプリケーションの情報と前記TCP/IPのストリーム通信に関する情報を、前記通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して前記他の通信端末に送信する情報送信手段と
    を備える第1の通信端末と、
    前記通信端末からのTCP/IPのストリーム通信を受信する通信手段と、
    前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を前記通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して受信する情報受信手段と、
    前記情報受信手段によって受信した前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を対応付けて記録する記録手段と、
    前記通信手段で受信した前記TCP/IPのストリーム通信に関する情報に対応する前記通信元のアプリケーションの情報を前記記録手段から取得する問い合わせ手段と
    を備える第2の通信端末と
    が前記専用の通信路で接続されていることを特徴とする通信システム。
  9. 前記第2の通信端末上で、
    前記通信手段を用いて前記第1の通信端末からのTCP/IPのストリーム通信をacceptし、acceptしたTCP/IPのストリーム通信に関する情報を取得し、
    前記問い合わせ手段に取得した前記TCP/IPのストリーム通信に関する情報を渡し、
    前記問い合わせ手段から前記TCP/IPのストリーム通信に関する情報に対応する前記通信元のアプリケーションの情報を取得する通信先のアプリケーションが動作することを特徴とする請求項8に記載の通信システム。
  10. 前記TCP/IPのストリーム通信に関する情報は、前記通信端末のIPアドレス及びポート番号を含み、
    前記通信元のアプリケーションの情報は、前記通信元のアプリケーションの識別子を含むことを特徴とする請求項8、9のいずれか1項に記載の通信システム。
  11. 前記通信元のアプリケーションの識別子がプロセスIDであることを特徴とする請求項10に記載の通信システム。
  12. ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムであって、
    前記他の通信端末に対してTCP/IPのストリーム通信を行い又は前記他の通信端末からのTCP/IPのストリーム通信を受信する通信手段と、
    通信先の前記他の通信端末に対して通信を実行している第1のアプリケーションによる第1のTCP/IPのストリーム通信のconnectを検知する通信検知手段と、
    前記通信検知手段によって検知された前記第1のアプリケーションの情報と前記第1のTCP/IPのストリーム通信に関する情報を取得する情報取得手段と、
    前記通信取得手段によって取得された前記第1のアプリケーションの情報と前記第1のTCP/IPのストリーム通信に開する情報を、前記通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して通信先の前記他の通信端末に送信する情報送信手段と
    第2のTCP/IPのストリーム通信に関する情報と第2のアプリケーションの情報を前記専用の通信路を介して前記他の通信端末から受信する情報受信手段と、
    前記情報受信手段によって受信した前記第2のTCP/IPのストリーム通信に関する情報と前記第2のアプリケーションの情報を対応付けて記録する記録手段と、
    前記通信手段で受信した前記第2のTCP/IPのストリーム通信に関する情報に対応する前記第2のアプリケーションの情報を前記記録手段から取得する問い合わせ手段とを備え、
    前記他の通信端末と前記専用の通信路で接続されていることを特徴とする通信システム。
  13. 前記通信端末上で、
    前記通信手段を用いて通信元の前記他の通信端末からacceptした前記第2のTCP/IPのストリーム通信から前記第2のTCP/IPのストリーム通信に関する情報を取得し、
    前記問い合わせ手段に取得した前記第2のTCP/IPのストリーム通信に関する情報を渡し、
    前記問い合わせ手段から前記第2のTCP/IPのストリーム通信に関する情報に対応する前記第2のアプリケーションの情報を取得する第3のアプリケーションが動作することを特徴とする請求項12に記載の通信システム。
  14. 前記第1のTCP/IPのストリーム通信に関する情報は、前記通信端末のIPアドレス及びポート番号を含み、
    前記第1のアプリケーションの情報は前記第1のアプリケーションの識別子を含み、
    前記第2のTCP/IPのストリーム通信に関する情報は、前記他の通信端末のIPアドレス及びポート番号を含み、
    前記第2のアプリケーションの情報は、前記第2のアプリケーションの識別子を含むことを特徴とする請求項12、13のいずれか1項に記載の通信システム。
  15. 前記第1のアプリケーションの識別子と前記第2のアプリケーションの識別子がプロセスIDであることを特徴とする請求項14に記載の通信システム。
  16. 通信元及び通信先の各前記通信端末上で1つ以上のアプリケーションが動作することを特徴とする請求項8から15のいずれか1項に記載の通信システム。
  17. ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムにおける通信方法であって、
    前記通信端末において、
    通信先の前記他の通信端末に対してTCP/IPのストリーム通信を行う通信ステップと、
    前記通信ステップにおいてTCP/IPのストリーム通信のconnectを検知する通信検知ステップと、
    前記通信検知ステップにおいて検知されたTCP/IPのストリーム通信に関する情報と前記TCP/IPのストリーム通信を実行している通信元のアプリケーションの情報を取得する情報取得ステップと、
    前記情報取得ステップにおいて取得されたTCP/IPのストリーム通信に関する情報と前記TCP/IPのストリーム通信を実行している通信元のアプリケーションの情報を、前記通信ステップにおいて用いる通信路以外の安全性の高い専用の通信路を介して前記他の通信端末に送信する情報送信ステップと
    を備えることを特徴とする通信方法。
  18. ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムにおける通信方法であって、
    前記通信端末において、
    通信先の前記他の通信端末に対してTCP/IPのストリーム通信を行う第1の通信ステップと、
    前記第1の通信ステップにおいてTCP/IPのストリーム通信のconnectを検知する通信検知ステップと、
    前記通信検知ステップにおいて検知されたTCP/IPのストリーム通信に関する情報と前記TCP/IPのストリーム通信を実行している通信元のアプリケーションの情報を取得する情報取得ステップと、
    前記情報取得ステップにおいて取得されたTCP/IPのストリーム通信に関する情報と前記TCP/IPのストリーム通信を実行している通信元のアプリケーションの情報を、前記第1の通信ステップにおいて用いる通信路以外の安全性の高い専用の通信路を介して前記他の通信端末に送信する情報送信ステップと
    を備え、
    通信先の前記他の通信端末において、
    通信元の前記通信端末からの前記TCP/IPのストリーム通信をacceptし、前記TCP/IPのストリーム通信に関する情報を取得する第2の通信ステップと、
    前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を前記専用の通信路を介して受信する情報受信ステップと、
    前記情報受信ステップにおいて受信した前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を対応付けて記録手段に記録する記録ステップと、
    前記第2の通信ステップにおいて取得した前記TCP/IPのストリーム通信に関する情報に対応する前記通信元のアプリケーションの情報を前記記録手段から取得する問い合わせステップと
    を備えることを特徴とする通信方法。
  19. 前記TCP/IPのストリーム通信に関する情報は、前記通信端末のIPアドレス及びポート番号を含み、
    前記通信元のアプリケーションの情報は、前記通信元のアプリケーションの識別子を含むことを特徴とする請求項17、18のいずれか1項に記載の通信方法。
  20. ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムにおける通信方法であって、
    前記通信端末において、
    通信元の前記他の通信端末からの前記TCP/IPのストリーム通信をacceptし、前記TCP/IPのストリーム通信に関する情報を取得する通信ステップと、
    通信元のアプリケーションの情報と前記TCP/IPのストリーム通信に関する情報を前記通信ステップで通信を行う通信路以外の安全性の高い専用の通信路を介して受信する情報受信ステップと、
    前記情報受信ステップにおいて受信した前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を対応付けて記録手段に記録する記録ステップと、
    前記通信ステップにおいて取得した前記TCP/IPのストリーム通信に関する情報に対応する前記通信元のアプリケーションの情報を前記記録手段から取得する問い合わせステップと
    を備えることを特徴とする通信方法。
  21. 前記TCP/IPのストリーム通信に関する情報は、前記他の通信端末のIPアドレス及びポート番号を含み、
    前記通信元のアプリケーションの情報は、前記通信元のアプリケーションの識別子を含むことを特徴とする請求項20のいずれか1項に記載の通信方法。
  22. オペレーティングシステム間で通信を行うオペレーティングシステムを複数有する端末の通信方法であって、
    前記端末が備える第1のオペレーティングシステムと第2のオペレーティングシステムにおいて、
    前記第1のオペレーティングシステムが、
    前記第2のオペレーティングシステムに対してTCP/IPのストリーム通信を行う第1の通信ステップと、
    前記第1の通信ステップにおいてTCP/IPのストリーム通信のconnectを検知する通信検知ステップと、
    前記通信検知ステップにおいて検知されたTCP/IPのストリーム通信に関する情報と前記TCP/IPのストリーム通信を実行している通信元のアプリケーションの情報を取得する情報取得ステップと、
    前記情報取得ステップにおいて取得されたTCP/IPのストリーム通信に関する情報と前記TCP/IPのストリーム通信を実行している通信元のアプリケーションの情報を、前記第1の通信ステップにおいて用いる通信路以外の安全性の高い専用のシステムコールを介して前記第2のオペレーティングシステムに送信する情報送信ステップとを備え、
    前記第2のオペレーティングシステムが、
    前記第1のオペレーティングシステムからの前記TCP/IPのストリーム通信をacceptし、前記TCP/IPのストリーム通信に関する情報を取得する第2の通信ステップと、
    前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を前記安全性の高い専用のシステムコールを介して受信する情報受信ステップと、
    前記情報受信ステップにおいて受信した前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を対応付けて記録手段に記録する記録ステップと、
    前記通信ステップにおいて受信した前記TCP/IPのストリーム通信に関する情報に対応する前記通信元のアプリケーションの情報を前記記録手段から取得する問い合わせステップと
    を備えることを特徴とする通信方法。
  23. 前記TCP/IPのストリーム通信に関する情報は、通信元の前記第1のオペレーティングシステムのIPアドレス及びポート番号を含み、
    前記通信元アプリケーションの情報は、前記通信元のアプリケーションの識別子を含むことを特徴とする請求項22に記載の通信方法。
  24. 前記通信元のアプリケーションの識別子が前記通信元のアプリケーションのプロセスIDであることを特徴とする請求項19、21、23のいずれか1項に記載の通信方法。
  25. ネットワークを介して他の通信端末と通信を行う通信端末で実現されるプログラムであって、
    前記通信端末に、
    通信先の前記他の通信端末に対してTCP/IPのストリーム通信を行う通信処理と、
    前記通信処理においてTCP/IPのストリーム通信のconnectを検知する通信検知処理と、
    前記通信検知処理において検知されたTCP/IPのストリーム通信に関する情報と前記TCP/IPのストリーム通信を実行している通信元のアプリケーションの情報を取得する情報取得処理と、
    前記情報取得処理において取得されたTCP/IPのストリーム通信に関する情報と前記TCP/IPのストリーム通信を実行している通信元のアプリケーションの情報を、前記通信処理において用いる通信路以外の安全性の高い専用の通信路を介して前記他の通信端末に送信する情報送信処理と
    を実行させることを特徴とするプログラム。
  26. ネットワークを介して他の通信端末と通信を行う通信端末で実現されるプログラムであって、
    前記通信端末に、
    通信先の前記他の通信端末に対してTCP/IPのストリーム通信を行う第1の通信処理と、
    前記第1の通信処理においてTCP/IPのストリーム通信のconnectを検知する通信検知処理と、
    前記通信検知処理において検知されたTCP/IPのストリーム通信に関する情報と前記TCP/IPのストリーム通信を実行している通信元のアプリケーションの情報を取得する情報取得処理と、
    前記情報取得処理において取得されたTCP/IPのストリーム通信に関する情報と前記TCP/IPのストリーム通信を実行している通信元のアプリケーションの情報を、前記第1の通信処理において用いる通信路以外の安全性の高い専用の通信路を介して前記他の通信端末に送信する情報送信処理と
    を実行させ、
    通信先の前記他の通信端末に、
    通信元の前記通信端末からの前記TCP/IPのストリーム通信をacceptし、前記TCP/IPのストリーム通信に関する情報を取得する第2の通信処理と、
    前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を前記専用の通信路を介して受信する情報受信処理と、
    前記情報受信処理において受信した前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を対応付けて記録手段に記録する記録処理と、
    前記第2の通信処理において受信した前記TCP/IPのストリーム通信に関する情報に対応する前記通信元のアプリケーションの情報を前記記録手段から取得する問い合わせ処理と
    を実行させることを特徴とするプログラム。
  27. 前記TCP/IPのストリーム通信に関する情報は、前記通信端末のIPアドレス及びポート番号を含み、
    前記通信元のアプリケーションの情報は、前記通信元のアプリケーションの識別子を含むことを特徴とする請求項25、26のいずれか1項に記載のプログラム。
  28. ネットワークを介して他の通信端末と通信を行う通信端末で実現されるプログラムであって、
    前記通信端末に、
    通信元の前記他の通信端末からの前記TCP/IPのストリーム通信をacceptし、前記TCP/IPのストリーム通信に関する情報を取得する通信処理と、
    前記TCP/IPのストリーム通信に関する情報と通信元のアプリケーションの情報を前記通信処理で通信を行う通信路以外の安全性の高い専用の通信路を介して受信する情報受信処理と、
    前記情報受信処理において受信した前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を対応付けて記録手段に記録する記録処理と、
    前記通信処理において受信した前記TCP/IPのストリーム通信に関する情報に対応する前記通信元のアプリケーションの情報を前記記録手段から取得する問い合わせ処理と
    を実行させることを特徴とするプログラム。
  29. 前記TCP/IPのストリーム通信に関する情報は、前記他の通信端末のIPアドレス及びポート番号を含み、
    前記通信元のアプリケーションの情報は、前記通信元のアプリケーションの識別子を含むことを特徴とする請求項28に記載のプログラム。
  30. オペレーティングシステム間で通信を行うオペレーティングシステムを複数有する端末で実現されるプログラムであって、
    前記端末が実行する第1のオペレーティングシステムと第2のオペレーティングシステムにおいて、
    前記第1のオペレーティングシステムに、
    前記第2のオペレーティングシステムに対してTCP/IPのストリーム通信を行う第1の通信処理と、
    前記第1の通信処理においてTCP/IPのストリーム通信のconnectを検知する通信検知処理と、
    前記通信検知処理において検知されたTCP/IPのストリーム通信に関する情報と前記TCP/IPのストリーム通信を実行している通信元のアプリケーションの情報を取得する情報取得処理と、
    前記情報取得処理において取得されたTCP/IPのストリーム通信に関する情報と前記TCP/IPのストリーム通信を実行している通信元のアプリケーションの情報を、前記第1の通信処理において用いる通信路以外の安全性の高い専用のシステムコールを介して前記第2のオペレーティングシステムに送信する情報送信処理と
    を実行させ、
    前記第2のオペレーティングシステムに、
    前記第1のオペレーティングシステムからの前記TCP/IPのストリーム通信をacceptし、前記TCP/IPのストリーム通信に関する情報を取得する第2の通信処理と、
    前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を前記安全性の高い専用のシステムコールを介して受信する情報受信処理と、
    前記情報受信処理において受信した前記TCP/IPのストリーム通信に関する情報と前記通信元のアプリケーションの情報を対応付けて記録手段に記録する記録処理と、
    前記第2の通信処理において受信した前記TCP/IPのストリーム通信に関する情報に対応する前記通信元のアプリケーションの情報を前記記録手段から取得する問い合わせ処理と
    を実行させることを特徴とするプログラム。
  31. 前記TCP/IPのストリーム通信に関する情報は、通信元の前記第1のオペレーティングシステムのIPアドレス及びポート番号を含み、
    前記通信元アプリケーションの情報は、前記通信元のアプリケーションの識別子を含むことを特徴とする請求項30に記載のプログラム。
  32. 前記通信元のアプリケーションの識別子が前記通信元のアプリケーションのプロセスIDであることを特徴とする請求項27、29、31に記載のプログラム。
JP2008550107A 2006-12-20 2007-12-10 通信端末、端末、通信システム、通信方法及びプログラム Active JP4968264B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008550107A JP4968264B2 (ja) 2006-12-20 2007-12-10 通信端末、端末、通信システム、通信方法及びプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2006342284 2006-12-20
JP2006342284 2006-12-20
JP2008550107A JP4968264B2 (ja) 2006-12-20 2007-12-10 通信端末、端末、通信システム、通信方法及びプログラム
PCT/JP2007/073785 WO2008075580A1 (ja) 2006-12-20 2007-12-10 通信端末、端末、通信システム、通信方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2008075580A1 JPWO2008075580A1 (ja) 2010-04-08
JP4968264B2 true JP4968264B2 (ja) 2012-07-04

Family

ID=39536212

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008550107A Active JP4968264B2 (ja) 2006-12-20 2007-12-10 通信端末、端末、通信システム、通信方法及びプログラム

Country Status (5)

Country Link
US (1) US20100023641A1 (ja)
EP (1) EP2120404A1 (ja)
JP (1) JP4968264B2 (ja)
CN (1) CN101569145A (ja)
WO (1) WO2008075580A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457537B (zh) * 2010-10-19 2015-11-25 阿里巴巴集团控股有限公司 一种传输控制协议的通信方法及服务器
CN102739644B (zh) * 2012-04-20 2015-11-18 深圳证券通信有限公司 一种金融数据的发送/接收方法及装置

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001333126A (ja) * 2000-05-23 2001-11-30 Ntt Docomo Inc 通信システム、通信方法および通信ユニット
KR20040007214A (ko) * 2000-03-30 2004-01-24 퀄컴 인코포레이티드 이동국 애플리케이션이 특정 상태 메시지들을 식별하는방법 및 장치
US7003574B1 (en) * 2000-11-01 2006-02-21 Microsoft Corporation Session load balancing and use of VIP as source address for inter-cluster traffic through the use of a session identifier
JP4356262B2 (ja) * 2001-04-16 2009-11-04 沖電気工業株式会社 パケット通信システム
US7480707B2 (en) * 2001-05-16 2009-01-20 International Business Machines Corporation Network communications management system and method
US6944678B2 (en) * 2001-06-18 2005-09-13 Transtech Networks Usa, Inc. Content-aware application switch and methods thereof
CN1914872B (zh) * 2003-12-03 2011-02-16 日本电气株式会社 会话中继装置、会话中继方法
WO2006012610A2 (en) * 2004-07-23 2006-02-02 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
JP2006237815A (ja) * 2005-02-23 2006-09-07 Kddi Corp 通信セッション切替方法およびシステム
JP4996085B2 (ja) * 2005-03-01 2012-08-08 株式会社三菱東京Ufj銀行 サービス提供装置及びプログラム
JP4472566B2 (ja) * 2005-03-23 2010-06-02 エヌ・ティ・ティ・コミュニケーションズ株式会社 通信システム、及び呼制御方法
US8526463B2 (en) * 2005-06-01 2013-09-03 Qualcomm Incorporated System and method to support data applications in a multi-homing, multi-mode communication device
JP2006342284A (ja) 2005-06-10 2006-12-21 Nippon Polyethylene Kk 燃料タンク用架橋性樹脂及び成形品
US8438281B2 (en) * 2005-07-06 2013-05-07 Cisco Technology, Inc. Techniques for accounting for multiple transactions in a transport control protocol (TCP) payload
US20070226347A1 (en) * 2006-03-23 2007-09-27 Chu Hsiao-Keng J Method and apparatus for dynamically changing the TCP behavior of a network connection
JP2006287976A (ja) 2006-06-22 2006-10-19 Fuji Xerox Co Ltd メールサーバー、メールクライアント及び電子メールシステム

Also Published As

Publication number Publication date
CN101569145A (zh) 2009-10-28
US20100023641A1 (en) 2010-01-28
JPWO2008075580A1 (ja) 2010-04-08
EP2120404A1 (en) 2009-11-18
WO2008075580A1 (ja) 2008-06-26

Similar Documents

Publication Publication Date Title
JP5029701B2 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
US9043589B2 (en) System and method for safeguarding and processing confidential information
US20140282978A1 (en) Method and apparatus for secure interaction with a computer service provider
US20110225641A1 (en) Token Request Troubleshooting
JP5631940B2 (ja) 情報処理装置、方法、プログラム
JP2006174466A (ja) データ処理における暗号化技術の信用できる信頼性の高い実施
TW201509151A (zh) 具安全防護連結之遠端診斷的方法與電腦程式產品及實施該方法之資訊設備
CN114598489A (zh) 一种确定信任终端的方法及相关装置
CN114125027B (zh) 一种通信建立方法、装置、电子设备及存储介质
US11258766B2 (en) VNF package signing system and VNF package signing method
JP2006094258A (ja) 端末装置、そのポリシー強制方法およびそのプログラム
JP4968264B2 (ja) 通信端末、端末、通信システム、通信方法及びプログラム
US7571464B2 (en) Secure bidirectional cross-system communications framework
US8583913B1 (en) Securely determining internet connectivity between networks
JP2015505626A (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
JP2003258795A (ja) コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム
US20100287600A1 (en) Assigning User Requests of Different Types or Protocols to a User by Trust Association Interceptors
WO2022151736A1 (zh) 一种确定信任终端的方法及相关装置
CN114915503A (zh) 基于安全芯片的数据流拆分处理加密方法及安全芯片装置
JP4874226B2 (ja) クライアント端末装置、中継サーバ、情報処理システム、クライアント端末装置の制御方法、中継サーバの制御方法、及び、プログラム
KR20160086584A (ko) 미리 지정된 url을 이용한 보안 통신 방법 및 장치
CN105323287B (zh) 第三方应用程序的登录方法及系统
US11683196B2 (en) Communication control device and non-transitory computer readable medium
KR101203774B1 (ko) 에이전트 프로그램의 에이알피를 이용한 통신 방법, 네트워크 엑세스 컨트롤 방법 및 네트워크 시스템
JP6948007B2 (ja) セキュリティ監視システム、セキュリティ監視装置、検証用装置、セキュリティ監視プログラム及び検証用プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101104

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120306

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120319

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150413

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4968264

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150