JP5110082B2 - 通信制御システム、通信制御方法および通信端末 - Google Patents

通信制御システム、通信制御方法および通信端末 Download PDF

Info

Publication number
JP5110082B2
JP5110082B2 JP2009519281A JP2009519281A JP5110082B2 JP 5110082 B2 JP5110082 B2 JP 5110082B2 JP 2009519281 A JP2009519281 A JP 2009519281A JP 2009519281 A JP2009519281 A JP 2009519281A JP 5110082 B2 JP5110082 B2 JP 5110082B2
Authority
JP
Japan
Prior art keywords
communication
network
application
communication application
acquired
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009519281A
Other languages
English (en)
Other versions
JPWO2008153069A1 (ja
Inventor
玄 奥山
卓弥 村上
嘉昭 奥山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2009519281A priority Critical patent/JP5110082B2/ja
Publication of JPWO2008153069A1 publication Critical patent/JPWO2008153069A1/ja
Application granted granted Critical
Publication of JP5110082B2 publication Critical patent/JP5110082B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Description

この発明は、通信端末とサーバとの間のネットワークを介する通信を制御する通信制御システム、通信制御方法および通信端末に関するものである。
近年、通信端末が複数の無線通信手段を持ち、必要に応じて接続ネットワークを切り替えて使うことが増えてきている。例えば、セルラ網に接続する手段と無線LANに接続する手段を持ち、屋外ではセルラ網に接続し、室内では無線LANに接続するというような通信端末が実用化されている。
このような場合、通信端末はさまざまなネットワークを切り替え、あるいは同時に使用することになる。接続するネットワークにはさまざまなものがあり、またそれぞれのネットワークの運用ポリシは大きく異なる。例えば、セルラ網事業者のIPネットワークや、企業網イントラネットは、認証や暗号化手段が導入されており、非常にセキュアなネットワークであるといえる。対して、無料の無線LANスポットの場合には、認証や暗号化手段がなく、セキュアでないネットワークも存在する。
以下、本明細書では、上記セルラ網事業者のIPネットワークや企業網イントラネットなどのネットワークを高セキュアネットワークといい、WebサーバやDNSが詐称されている可能性があるネットワーク、あるいは暗号化されていないために通信内容が解析されてしまう可能性があるネットワークを低セキュアネットワークという。
最近の通信端末は、ネットワークを介してサーバから通信アプリケーションをダウンロードし、このアプリケーションを使用してさまざまなサービスを受けることができる。たとえば、携帯電話におけるJava(登録商標)アプリケーションなどである。このような通信端末が、高セキュアネットワークと低セキュアネットワークを切り替えたり同時に使う場合には、セキュリティ上の脅威が発生する。
例えば、低セキュアネットワーク上に悪意のあるアプリケーションが存在したとする。
通信端末がこのようなアプリケーションをダウンロードし、このアプリケーションを高セキュアネットワークに接続しているときに実行したとする。すると、この悪意のあるアプリケーションが高セキュアネットワークを攻撃し、情報を盗み取ったり、ネットワーク内で破壊行為を行うことが考えられる。
以下、Javaアプレットアプリケーションの場合を考える。Javaアプレットアプリケーションの場合、通常このアプリケーションはダウンロードを行ったサイトとしか通信できないようになっている。例えば、「http://www.example.com」からダウンロードしたアプリケーションは「www.example.com」としか通信できないように「Java VM 」により制限がかかっている。
上記の場合、高セキュアネットワークにおけるDNSは信頼できるため、アプリケーションは意図したサーバ(www.example.com)と通信ができる。しかしながら、低セキュアネットワークの場合には、アプリケーションやWebサーバのみならず、DNSまでもが信頼できない。悪意のあるネットワーク管理者が悪意のあるDNSサーバを立て、詐称されたサーバからアプリケーションをダウンロードさせるように仕向けることは可能である。
例えば、「http://www.some-secure-server.com」という詐称されたWebサーバから通信端末がアプリケーションをダウンロードしたとする。このアプリケーションは「www.some-secure-server.com」との通信が許可される。もし高セキュアネットワーク上にこれと同一のDNS名を持つサーバが存在した場合、悪意を持つアプリケーションはこのサーバと通信できてしまい、サーバを攻撃できてしまう。すなわち、低セキュアネットワーク上のアプリケーションが高セキュアネットワーク上のサーバを攻撃できてしまう。これは大きな問題である。
また逆に、高セキュアネットワーク上の「http://www.some-secure-server.com」から正当なアプリケーションをダウンロードしたとしよう。この通信端末が先の悪意のあるネットワークに接続した場合、このアプリケーションは詐称されたサーバと接続してしまうので、通信内容が解析されてしまう恐れがある。すなわち、高セキュアネットワーク上のアプリケーションの通信内容が、低セキュアネットワーク上に誘導されて通信解析される恐れがある。これは、特に高セキュアネットワーク環境に閉じたアプリケーションでは大きな問題となりうる。
これを解決する手段として、例えば特許文献1に、アプリケーションに対応付けられた通信網と、接続中の通信網とを比較し、これが異なっているときにアプリケーションの機能を制限する方法が提示されている。
このように、アプリケーションと使用する通信網とを対応づければ、低セキュアネットワーク上のアプリケーションが高セキュアネットワークにアクセスすることができず、逆に高セキュアネットワーク上のアプリケーションが低セキュアネットワークにアクセスすることができなくなる。これにより、上記のセキュリティの問題は解決できる。
しかしながら、高セキュア/低セキュアネットワークのどちらを使っても問題のないアプリケーションもある。具体的には、高セキュア/低セキュアネットワークいずれを経由してもアクセス可能なサーバ上に置かれた通信アプリケーションである。このようなアプリケーションは、高セキュアネットワークを経由してアクセスできるので少なくともDNSは信用できる。また、低セキュアネットワークを経由してアクセスできるので高セキュアネットワーク環境に閉じたアプリケーションでもない。このため、このようなアプリケーションは本来上記制限は不要である。しかし、上記の解決方法では、このようなアプリケーションに両方のネットワークを使用させることはできなくなってしまう。
特開2004−320369号公報
以上から、セキュリティを保ちつつ、複数のネットワークからアクセス可能なサーバ上に置かれた通信アプリケーションに対して複数のネットワークを使用させるためには、サーバを認証するための仕組みが必要となる。すなわち、アプリケーションの出自確認を行い、サーバが詐称されていないことを証明できれば、複数のネットワークの使用を許可しても問題ない。しかし、従来は、複数ネットワークからアクセス可能なサーバを認証するための仕組みが存在しなかった。
本発明は、このような課題を解決するためになされたもので、その目的とするところは、ダウンロード元のサーバが正しいことを確認することが可能な通信制御システム、通信制御方法および通信端末を提供することにある。
また、アプリケーションに対して複数のネットワークの使用を許可することが可能な通信制御システム、通信制御方法および通信端末を提供することにある。
このような目的を達成するために、本発明は、第1のネットワークと、第2のネットワークと、この第1および第2のネットワークを介してサーバに接続される通信端末とを備えた通信制御システムにおける通信端末に、第1のネットワークから取得した通信アプリケーションの照合情報と第2のネットワークから取得した通信アプリケーションとを照合する照合手段と、この照合手段により照合が一致した場合、通信アプリケーションに対して、第1のネットワークと第2のネットワークの少なくとも何れか一方の通信を許可する通信制御手段とを設けたものである。
この発明によれば、通信端末において、第1のネットワーク(例えば、高セキュアネットワーク)から取得した通信アプリケーションの照合情報と第2のネットワーク(例えば、低セキュアネットワーク)から取得した通信アプリケーションとが照合され、照合が一致した場合、通信アプリケーションに対して、第1のネットワークと第2のネットワークの少なくとも何れか一方の通信が許可される。
例えば、第1の例として、本発明では、第1のネットワークから取得した通信アプリケーションのハッシュ値と第2のネットワークから取得した通信アプリケーションのハッシュ値とを比較し、両者が一致していた場合に、その通信アプリケーションを信頼できるものと判断する。ここで、アプリケーションを信頼できるとは、詐称されていない(信頼できる)サーバからダウンロードしたアプリケーションということである。上記の際、通信アプリケーションとその通信アプリケーションの取得に使用したネットワークとを対応づけて記憶するようにすると、信頼できると判断された通信アプリケーションについては、第1のネットワークと第2のネットワークの2つが対応づけて記憶されることになり、この記憶内容から第1のネットワークと第2のネットワークの両方での使用を許可することが可能となる。
これにより、信頼できると判断された通信アプリケーションについてのみ、第1のネットワークと第2のネットワークの両方での使用を許可し、改ざんされた通信アプリケーションがユーザの意図とは異なるネットワーク上で動作することを防止することが可能となる。また、複数のネットワークを使用して、通信アプリケーションを動作させることが可能となる。
例えば、第2の例として、本発明では、第1のネットワークから取得した通信アプリケーションの属性情報に含まれるハッシュ値と第2のネットワークから取得した通信アプリケーションから生成されるハッシュ値とを照合し、両者が一致していた場合に、その通信アプリケーションを信頼できるものと判断する。ここで、アプリケーションを信頼できるとは、詐称されていない(信頼できる)サーバからダウンロードしたアプリケーションということである。上記の際、通信アプリケーションとその通信アプリケーションの属性情報の取得に使用したネットワークとその通信アプリケーションの取得に使用したネットワークとを対応づけて記憶するようにすると、信頼できると判断された通信アプリケーションについては、第1のネットワークと第2のネットワークの2つが対応づけて記憶されることになり、この記憶内容から第1のネットワークと第2のネットワークの両方での使用を許可することが可能となる。
これにより、信頼できると判断された通信アプリケーションについてのみ、第1のネットワークと第2のネットワークの両方での使用を許可し、改ざんされた通信アプリケーションがユーザの意図とは異なるネットワーク上で動作することを防止することが可能となる。また、複数のネットワークを使用して、通信アプリケーションを動作させることが可能となる。
本発明によれば、通信端末において、第1のネットワークから取得した通信アプリケーションの照合情報と第2のネットワークから取得した通信アプリケーションとを照合するようにしたので、ダウンロード元のサーバが正しいことを確認することが可能となる。また、アプリケーションに対して複数のネットワークの使用を許可することが可能となる。
図1は、本発明に係る通信制御システムの一実施例(実施例1)の構成を示 す図である。 図2は、本発明に係る通信制御システムの他の実施例(実施例2)の構成を 示す図である。 図3は、実施例2の通信制御システムにおける通信端末内での処理動作を示 すフローチャートである。 図4は、本発明に係る通信制御システムの他の実施例(実施例3)の構成を 示す図である。 図5は、実施例3の通信制御システムにおける通信端末内での処理動作を示 すフローチャートである。 図6は、実施例3の通信制御システムにおける属性ファイルを例示する図で ある。 図7は、実施例3の通信制御システムにおける照合処理の具体例を示す図で ある。 図8は、実施例3の通信制御システムにおけるアプリケーション識別子およ びネットワーク識別子の格納処理の具体例を示す図である。
以下、本発明を図面に基づいて詳細に説明する。
〔実施例1〕
図1はこの発明に係る通信制御システムの一実施例(実施例1)の構成を示す図である。同図において、1は通信端末であり、2はダウンロードサーバである。通信端末1は照合手段12を有し、ダウンロードサーバ2は通信アプリケーション16と照合情報17を有する。ダウンロードサーバ2は、高セキュアネットワーク4および低セキュアネットワーク5に接続されており、通信端末1は、高セキュアネットワーク4および低セキュアネットワーク5の少なくともいずれか一方を使用してダウンロードサーバ2へアクセス可能となっている。
ネットワークにはさまざまなものがあるが、大別すると信頼性の高い高セキュアネットワーク4と低セキュアネットワーク5の2種類がある。高セキュアネットワーク4はセキュリティがある程度担保されたネットワークで、例えばセルラ網事業者のIPネットワークや、企業内LANなどである。これらのネットワークでは、ネットワーク内部に存在するサーバ、例えばDNSサーバやProxyサーバなどは信頼できるものと考えて良い。
これに対し、低セキュアネットワーク5は、無料の無線LANスポットなどがある。このようなネットワークでは、ネットワーク内のサーバは信頼性が低いものと考えられる。
例えば、悪意のある者が故意にDNS名を詐称したDNSサーバを設置した無料無線LANスポットを設置することは容易に可能である。
この実施例1の通信制御システムにおいて、通信端末1は、ダウンロードサーバ2から、低セキュアネットワーク5を通じて通信アプリケーション16をダウンロードし、高セキュアネットワーク4を通じて照合情報17をダウンロードする。通信端末1の照合手段12は、ダウンロードした通信アプリケーション16と照合情報17とを照合する。
通信端末1では、照合手段12での照合により、低セキュアネットワーク5を経由した通信アプリケーション16の出自確認ができ、低セキュアネットワーク5からアクセスしたダウンロードサーバ2が詐称されているか否かが分かる。また、低セキュアネットワーク5を経由してもダウンロードサーバ2が詐称されていないと判断できれば、通信アプリケーション16に対して高セキュアネットワーク4の使用を許可できる。これにより通信アプリケーション16は、高セキュアネットワーク4と低セキュアネットワーク5が使用可能となる。
なお、本実施例では、通信アプリケーション16の照合情報17は高セキュアネットワーク4を経由してダウンロードすることとしているがこれに限らない。低セキュアネットワーク5を通じて照合情報17をダウンロードした場合においても、高セキュアネットワーク4を通じてダウンロードした通信アプリケーション16と照合することにより、低セキュアネットワーク5からアクセスしたダウンロードサーバ2が詐称されているか否かが分かる。
〔実施例2〕
図2はこの発明に係る通信制御システムの他の実施例(実施例2)の構成を示す図である。この実施例2では、後述する実施例3の通信制御システムで使用する通信端末と区別するために、通信端末1を1Aとする。通信端末1Aは、通信制御部11、照合手段12、アプリ/NW識別子対応データベース13、記憶手段15、アプリケーション制御手段14を持つ。
この実施例2の通信制御システムにおいて、通信端末1Aの通信制御部11は、ネットワークに接続して通信を行う制御部であり、通信手段111とダウンロード手段112を持つ。
通信手段111はネットワークに接続して通信を行う手段である。例えば、3G無線、Ethernet(登録商標)、無線LAN(IEEE802.11)、Bluetooth(登録商標)などが挙げられる。また、通信手段111は、通信端末1Aが接続しているネットワークを識別し、高セキュアネットワーク4なのか低セキュアネットワーク5なのか判断する手段も持つ。
例として、どの無線通信手段を使用しているか、3G無線であれば接続中のネットワーク名、無線LANであれば接続しているアクセスポイントのBSSIDおよびESSID、などを識別手段として使用できる。
ダウンロード手段112は通信アプリケーション(以下、単にアプリケーションという)16をダウンロードする手段である。アプリケーション16はダウンロードサーバ2で配布されており、ダウンロード手段112はこれを高セキュアネットワーク4、低セキュアネットワーク5いずれかを経由して通信端末1Aにダウンロードする。
ダウンロード手段112は、ダウンロードしたアプリケーション16をそのアプリケーション16の識別子(アプリケーション識別子)と経由したネットワークの識別子(NW識別子)と共に照合手段12に引き渡す。ここでアプリケーション識別子とは、アプリケーションを一意に識別するためのものである。例えばアプリケーションのダウンロードURLを用いて「http://www.example.com/application.jar」などを識別子とすることができる。
アプリ/NW識別子対応データベース13は、アプリケーション識別子毎に、そのアプリケーションがどのネットワークを使用して動作してよいかという対応付けを記憶するデータベースである。
照合手段12は、ダウンロード手段112から受け取ったアプリケーション16、アプリケーション識別子、NW識別子を元に、アプリケーションの照合を行う。具体的には、すでにダウンロードされているアプリケーションと一致するかどうかを照合し、一致していた場合はアプリ/NW識別子対応データベース13にNW識別子を追加する。一致していなかった場合は、これを別のアプリケーションとみなしてアプリケーション識別子を新たに割り当て、アプリケーションを記憶手段15に保存し、アプリ/NW識別子対応データベース13に対応を追加する。
アプリケーション制御手段14はアプリケーション16の動作を制御するための手段である。アプリケーション制御手段14は、アプリケーション16の起動時にアプリ/NW識別子対応データベース13を検索し、アプリケーション16が使用を許可されたネットワークのNW識別子を取得する。
通信手段111は、アプリケーション制御手段14から指示を受け、アプリケーション16が通信を行うネットワークの制限を行うことができる機能を持つ。例としてはファイヤウォールなどである。通信手段111は接続中のネットワークを識別できるので、アプリケーション制御手段14はアプリケーションの機能制限を行うことができる。
また、アプリケーション制御手段14は、動作許可されたネットワークのNW識別子の一覧を通信手段111に通知することで、アプリケーション16が通信を行うことができるネットワークを制限させる。
次に、図3に示すフローチャートを参照して、ユーザが通信端末1Aを用いて、ダウンロードサーバ2からアプリケーション16をダウンロードする場合の動作を説明する。
2を用いてダウンロードサーバ2からアプリケーション16をダウンロードする(ステップS101)。そして、ダウンロードされたアプリケーション16とアプリケーション識別子、NW識別子を照合手段12に引き渡す。
照合手段12は、記憶手段15およびアプリ/NW識別子対応データベース13を検索し、同一のアプリケーション識別子を持つアプリケーションが既に存在するかどうかを調べる(ステップS102)。最初にアプリケーションをダウンロードしたときは、記憶手段15およびアプリ/NW識別子対応データベース13にはアプリケーション識別子に対応する情報はまだ格納されていない。この場合、ステップS103のNOに応じて、照合手段12はアプリケーション16を記憶手段15に保存する(ステップS104)。また、アプリケーション識別子とNW識別子をアプリ/NW識別子対応データベース13に新たに保存する(ステップS105)。
最初にアプリケーションをダウンロードしたときに、これをネットワークと対応づけるということは、アプリケーションは「ダウンロードに使用した」ネットワークを使用して動作してよい、ということを表す。逆に言えば、ダウンロードに使用したネットワーク以外のネットワークに接続中にアプリケーションの動作を制限(通信拒否など)する、ということになる。これにより、悪意のあるネットワーク(低セキュアネットワーク5)上からダウンロードしたアプリケーションが高セキュアネットワーク4上で通信することを防止することができる。また、高セキュアネットワーク4上でダウンロードしたアプリケーションが低セキュアネットワーク5上で通信することも防止できる。
この後、ユーザがアプリケーション16を起動すると(ステップS109)、アプリケーション制御手段14がアプリ/NW識別子対応データベース13を検索し(ステップS110)、アプリケーション16に対して動作を許可するネットワークのNW識別子の一覧を得る。アプリケーション制御手段14はこれを用いてアプリケーションの機能制限を行い、またそのNW識別子の一覧を通信手段111に引き渡し、通信手段111は通信制限を開始する(ステップS111)。これにより、アプリケーション16は許可されたネットワークに接続されているときに通信を含めた動作を行うことが可能となり、許可されていないネットワークでの動作は制限される。
次に、同じアプリケーション(同じアプリケーション識別子を持つもの)を2回目以降ダウンロードした場合を説明する。この場合も、ダウンロード手段112はアプリケーション、アプリケーションの識別子、NW識別子を照合手段12に引き渡す。
照合手段12は、記憶手段15およびアプリ/NW識別子対応データベース13を検索し、同一のアプリケーション識別子を持つアプリケーションが既に存在するかどうかを調べる(ステップS102)。今回は2回目のダウンロードなので同一のアプリケーション識別子を持つアプリケーションが見つかる。
照合手段12は、ステップS103のYESに応じ、記憶手段15に保存されている同一のアプリケーション識別子を持つアプリケーション(前回ダウンロードしたアプリケーション)と今回ダウンロードしたアプリケーションが同一であるか否かを照合する(ステップS106)。これには例えば、ファイルが一致するかどうかをバイト単位で比較したり、ハッシュ値を比較するなどの方法が考えられる。
これは、前回ダウンロードしたアプリケーションと今回ダウンロードしたアプリケーションとを照合していることに他ならない。すなわち、前回のダウンロードに使用したネットワークを高セキュアネットワーク4とし、今回のダウンロードに使用したネットワークを低セキュアネットワーク5とした場合、高セキュアネットワーク4から取得したアプリケーションと低セキュアネットワーク5から取得したアプリケーションとを照合していることに他ならない。
この照合において、完全に一致した場合は(ステップS107のYES)、今回ダウンロードしたアプリケーションは前回ダウンロードしたアプリケーションと全く同一のものであることが保証できる。これはすなわち、前回ダウンロードしたサーバと同一のサーバからダウンロードしたといえる。この場合、照合手段12は今回ダウンロードしたアプリケーションのアプリケーション識別子と今回ダウンロードに使用したネットワークのNW識別子だけをアプリ/NW識別子対応データベース13に追加する(ステップS105)。これにより、アプリケーション16は今回ダウンロードしたネットワークでも動作できるようになる。
この方法によると、アプリケーション16を高セキュアネットワーク4と低セキュアネットワーク5の2箇所からそれぞれ1回ずつ計2回ダウンロードするようにすれば、このアプリケーションは高セキュアネットワーク4と低セキュアネットワーク5のどちらを使っても動作することが可能である。すなわち、高セキュアネットワーク4と低セキュアネットワーク5を同時に、あるいは切り替えて使用することが可能となる。
なお、ダウンロードしたアプリケーションが一致しなかった場合は(ステップS107のNO)、これは別のアプリケーションとして扱う。この場合、前回ダウンロードしたアプリケーションとは異なるアプリケーション識別子を新たに振りなおす(ステップS108)。例として、前回ダウンロードしたアプリケーション識別子が「http://www.example.com/application.jar」ならば、今回ダウンロードしたものは「http://www.example.com/application.jar#2」などとする。そして、ダウンロードしたアプリケーションを記憶手段15へ保存し(ステップS104)、新しいアプリケーション識別子とNW識別子を対応づけてアプリ/NW識別子対応データベース13に保存する(ステップS105)。このようにすることで、悪意を持って改ざんされたアプリケーションが別のネットワークで動作してしまうことを防止できる。
次に、この実施例2の効果について説明する。
第1の効果は、アプリケーションの通信において、このアプリケーションのダウンロードに使用したネットワークのみを自動的に指定して通信制限することができるという点である。これにより、低セキュアネットワーク上にある悪意のあるアプリケーションが別のネットワークを攻撃することを防止できる。また、高セキュアネットワーク上のアプリケーションが悪意の低セキュアネットワークを使って通信することを防止し、通信内容が悪意のある者に解析されることを防止できる。
第2の効果は、複数のネットワークからそれぞれアプリケーションをダウンロードすることにより、アプリケーションが複数のネットワークを使用して通信することを自動的に許可することができる。これは、複数のネットワークからダウンロードしたアプリケーションが完全に同一のものかどうか照合することで、アプリケーションが改ざんされていないことを確認でき、同時に正しいサーバからダウンロードしていることを確認できるためである。
第3の効果は、本方式はネットワーク装置やアプリケーションには一切変更なく実施できるという点である。これは、アプリケーションの照合を通信端末内でのみ実施し、さらに照合をアプリケーションのバイナリ一致で実施するためで、ネットワーク側装置やアプリケーションには変更を必要としない。
〔実施例3〕
次に、実施例3について、図面を参照して詳細に説明する。実施例2では、アプリケーションのダウンロード時に記憶手段15およびアプリ/NW識別子対応データベース13を検索し、アプリケーション識別子が同じアプリケーションが存在する場合は図3のステップS106において同一のアプリケーションか否かを判定していた。しかし、実施例3では、アプリケーションの一部を異なるネットワークからダウンロードし、照合することで同一アプリケーションであることを判定する。
図4は実施例3の通信制御システムの構成を示す図である。この実施例3では使用する通信端末1を1Bとする。この通信端末1Bには、通信制御部11に属性解析手段113が追加され、照合手段12に照合データ生成手段121とデータ照合手段122が追加されている。
ダウンロード手段112は、高セキュアネットワーク4を経由してダウンロードサーバ2からアプリケーション16の属性ファイル18をダウンロードする(図5のステップS201)。属性解析手段113は、ダウンロードした属性ファイル18内に照合データが含まれているか否かを判定する(ステップS202)。
この実施例3において、照合データとは、アプリケーションを特定するデータであり、ダウンロード元が発行する鍵であってもよいし、前述したようなアプリケーションのハッシュ値でもよい。また、ハッシュ値のように一方向関数によって導き出された不可逆な値でもよいが特に規定しない。ここではアプリケーションのハッシュ値とする。
ここで、照合データが含まれていない場合(ステップS203のNO)、高セキュアネットワーク4からアプリケーション16の本体をダウンロードする(ステップS204)。照合データが含まれている場合は(ステップS203のYES)、属性ファイル18内に記載されているURLよりアプリケーション16の本体を異なるネットワーク経由でダウンロードする(ステップS205)。この例では、属性ファイル18内に含まれている使用するネットワークの記載(後述)に応じ、低セキュアネットワーク5よりダウンロードする。
次に、アプリケーションの照合処理へ遷移する。照合データ生成手段121は、ダウンロードしたアプリケーション16を基に照合データを生成する(ステップS206)。ここでは、先述したように、アプリケーション16のハッシュ値を計算する。
生成したハッシュ値とステップS202で取得したハッシュ値とを照合する(ステップS207)。これは、高セキュアネットワーク4から取得したアプリケーションと低セキュアネットワーク5から取得したアプリケーションとを照合していることに他ならない。
ここで、ハッシュ値が一致しない場合は(ステップS208のNO)、意図しないサーバからダウンロードしたとみなし、ダウンロードを中断する(ステップS209)。
ハッシュ値が一致する場合は(ステップS208のYES)、同じサーバからダウンロードしたアプリケーションであるとみなす。すなわち、低セキュアネットワーク5上の詐称されたサーバからダウンロードしたアプリケーションではないと判断する。その後の処理は図3のステップS104からの処理と同じである。
この実施例3では、ステップS207,S208において、照合データ生成手段121が生成した照合データとダウンロードした属性ファイル18内に含まれていた照合データとの一致を比較していたがこれに限らない。すなわち、例えばステップS206によって生成した照合データをアプリ/NW識別子対応データベース13へ格納しておき、アプリケーション通信時にアプリケーション制御手段14が照合データの一致を確認することで通信を許可するという方法でもよい。
次に、この実施例3の効果について説明する。
この実施例3によると、複数ネットワークからアプリケーションの一部をダウンロードすることにより、アプリケーションが複数のネットワークを使用して通信することを自動的に許可することができる。これは、アプリケーションの属性ファイルをダウンロードしたネットワークと異なるネットワークよりアプリケーション本体をダウンロードし、属性ファイル内の照合データとアプリケーション本体から生成される照合データとを照合することで、アプリケーションが改ざんされていないことを確認でき、同時に正しいサーバからダウンロードしていることを確認できるためである。
次に、実施例3の動作について、さらに具体的に説明する。この例では、携帯端末(通信端末)におけるJavaアプリケーションのダウンロードを例として説明する。携帯端末は、高セキュアネットワークであるセルラネットワークと低セキュアネットワークである無線LANネットワークに接続されているものとする。ダウンロードしたJavaアプリケーションは、実行中にいずれかの前記ネットワークを使用して図3のダウンロードサーバ2と通信を行うことを想定している。
まず、Javaアプリケーションのダウンロード処理について説明する。通常、Javaアプリケーションのダウンロードは、ADFファイルまたはJADファイルと呼ばれる属性ファイルをダウンロードするところから始まる。携帯端末では、Javaアプリケーションのサイズや作成元などの属性の検証を行い、必要であれば携帯端末のユーザにダウンロードしてよいかの確認を行う。ダウンロードすることが決定すると、携帯端末にJavaアプリケーションの本体をダウンロードする。以下では、この流れに沿って説明する。
図4において、通信端末1Bのユーザは、図示しない入力装置などからダウンロードしたいJavaアプリケーションを選択する。この際、通信端末1Bのダウンロード手段112は、選択されたJavaアプリケーションの属性ファイル18をダウンロードサーバ2よりダウンロードする。前述のように、無線LANネットワーク5は信頼できないため、属性ファイル18はセルラネットワーク4経由でダウンロードを行う。
ダウンロードした属性ファイル18は属性解析手段113へと渡る。本実施例における属性ファイル18を図6に示す。属性ファイル18には、アプリケーション名のほか、アプリケーション本体のURL、および使用するネットワークの種類(この例では、セルラ/無線LAN)が記載されている。さらに、アプリケーション本体のハッシュ値が記載されている。ここでハッシュ値を生成するためのハッシュ関数は特に規定しないが、ダウンロードサーバ2と通信端末1Bにてあらかじめ決められているものでもよいし、セルラネットワーク4を管理する通信事業者が規定するものでもよい。また、属性ファイル18内に記載されていてもよい。
属性解析手段113は、属性ファイル18の検証を行い、無線LANネットワーク5を使用するか否かを判定する。本実施例では、図6に示すようにハッシュ値(照合データ)が記載され、かつ使用するネットワークとして無線LANが記載されているので、無線LANネットワーク5を使用するJavaアプリケーションと判定する。ダウンロードした属性ファイル18は、ダウンロード手段112によって記憶手段15へと格納される。
次に、属性ファイル18内のアプリケーションURLに基づき無線LANネットワーク5経由でアプリケーション16の本体(アプリA)をダウンロードする。照合データ生成手段121は、ダウンロードしたアプリAのハッシュ値を計算し、データ照合手段122は属性ファイル18内のハッシュ値との照合を行う。この様子を図7に示す。
データ照合手段122は、属性ファイル18内のハッシュ値と算出されたハッシュ値とが一致した場合、ダウンロードしたアプリAは改ざんされておらず、信頼ができるものと判断し、セルラネットワーク4および無線LANネットワーク5の両方のネットワークに接続することを許可する。
すなわち、アプリ/NW識別子対応データベース13に、アプリAのアプリケーション識別子に対応づけて、セルラネットワーク4のNW識別子および無線LANネットワーク5のNW識別子を記憶させる。この様子を図8に示す。また、ダウンロードしたアプリAを記憶手段15に記憶させる。これにより、セルラネットワーク4および無線LANネットワーク5を同時に、あるいは切り替えて使用することが可能となる。
次に、ダウンロードしたアプリAの実行時の処理について説明する。アプリケーション制御手段14はアプリAからの通信要求を受け、アプリAのアプリケーション識別子を基にアプリ/NW識別子対応データベース13を検索し、対応するNW識別子を取得する。
アプリケーション制御手段14は取得したNW識別子を通信手段111に引き渡し、通信手段111は通信先のネットワークを決定する。ここで、通信先のネットワークは現在使用可能なネットワークとNW識別子から決定してもよい。
なお、本実施例では、ダウンロードした通信アプリケーション16はダウンロードサーバ2のみと通信を行うこととしているがこれに限らない。すなわち、ダウンロードサーバ2が信頼できると判定された場合、同じサブネット内やドメイン内のサーバであれば信頼できると判断し通信を許可してもよい。この場合、通信アプリケーション16は複数のサーバと通信ができる。
また、ダウンロードサーバ2とは別のサーバが信頼できると判定された場合、そのサーバとの通信を許可してもよい。この場合、通信アプリケーション16は、ダウンロードサーバ2だけでなく複数のサーバと通信ができる。
本発明によれば、通信アプリケーションをダウンロードして実行する通信端末や、前記通信端末においてアプリケーションを安全に実行するための方法といった用途に適用できる。

Claims (26)

  1. 第1のネットワークと、
    第2のネットワークと、
    前記第1および第2のネットワークに接続されるサーバと、
    通信端末とを備え、
    前記通信端末は、
    前記第1のネットワークから取得した通信アプリケーションの照合情報と前記第2のネットワークから取得した通信アプリケーションとを照合する照合手段と、
    前記照合手段により照合が一致した場合、前記通信アプリケーションに対して、前記第1のネットワークと前記第2のネットワークの少なくとも何れか一方の通信を許可する通信制御手段と
    を備えることを特徴とする通信制御システム。
  2. 請求項1に記載された通信制御システムにおいて、
    前記第1のネットワークから取得した通信アプリケーションの照合情報はその通信アプリケーションの本体である
    ことを特徴とする通信制御システム。
  3. 請求項2に記載された通信制御システムにおいて、
    前記通信端末の照合手段は、
    前記第1のネットワークから取得した通信アプリケーションと前記第2のネットワークから取得した通信アプリケーションとを比較し、両者が一致していた場合にその通信アプリケーションを信頼できるものと判断する
    ことを特徴とする通信制御システム。
  4. 請求項2に記載された通信制御システムにおいて、
    前記通信端末は、さらに、
    前記通信アプリケーションとその通信アプリケーションの取得に使用したネットワークとを対応づけて記憶する記憶手段
    を備えることを特徴とする通信制御システム。
  5. 請求項1に記載された通信制御システムにおいて、
    前記第1のネットワークから取得した通信アプリケーションの照合情報はその通信アプリケーションの属性情報である
    ことを特徴とする通信制御システム。
  6. 請求項5に記載された通信制御システムにおいて、
    前記通信端末の照合手段は、
    前記第1のネットワークから取得した通信アプリケーションの属性情報に含まれる照合データと前記第2のネットワークから取得した通信アプリケーションから生成される照合データとを照合し、両者が一致していた場合にその通信アプリケーションを信頼できるものと判断する
    ことを特徴とする通信制御システム。
  7. 請求項5に記載された通信制御システムにおいて、
    前記通信端末は、さらに、
    前記通信アプリケーションとその通信アプリケーションの取得およびその通信アプリケーションの属性情報の取得に使用したネットワークとを対応づけて記憶する記憶手段
    を備えることを特徴とする通信制御システム。
  8. 請求項5に記載された通信制御システムにおいて、
    前記通信端末は、さらに、
    前記第1のネットワークから取得した通信アプリケーションの属性情報を解析し、その属性情報に前記第2のネットワークを使用する旨の情報および照合データが含まれていた場合、前記第2のネットワークからの前記通信アプリケーションの取得を指示する属性解析手段
    を備えることを特徴とする通信制御システム。
  9. メモリに格納されているプログラムに従うコンピュータの処理動作によってネットワークにおける通信を制御する通信制御方法において
    前記コンピュータは、
    第1のネットワークから通信アプリケーションの照合情報を取得するステップと、
    第2のネットワークから通信アプリケーションを取得するステップと、
    前記第1のネットワークから取得した通信アプリケーションの照合情報と前記第2のネットワークから取得した通信アプリケーションとを照合するステップと、
    照合が一致した場合、前記通信アプリケーションに対して、前記第1のネットワークと前記第2のネットワークの少なくとも何れか一方の通信を許可する通信制御ステップと
    を備えることを特徴とする通信制御方法。
  10. 請求項9に記載された通信制御方法において、
    前記第1のネットワークから取得した通信アプリケーションの照合情報はその通信アプリケーションの本体である
    ことを特徴とする通信制御方法。
  11. 請求項10に記載された通信制御方法において、
    前記照合するステップは、
    前記第1のネットワークから取得した通信アプリケーションと前記第2のネットワークから取得した通信アプリケーションとを比較し、両者が一致していた場合にその通信アプリケーションを信頼できるものと判断する
    ことを特徴とする通信制御方法。
  12. 請求項10に記載された通信制御方法において、さらに、
    前記コンピュータは、
    前記通信アプリケーションとその通信アプリケーションの取得に使用したネットワークとを対応づけて記憶するステップ
    を備えることを特徴とする通信制御方法。
  13. 請求項9に記載された通信制御方法において、
    前記第1のネットワークから取得した通信アプリケーションの照合情報はその通信アプリケーションの属性情報である
    ことを特徴とする通信制御方法。
  14. 請求項13に記載された通信制御方法において、
    前記照合するステップは、
    前記第1のネットワークから取得した通信アプリケーションの属性情報に含まれる照合データと前記第2のネットワークから取得した通信アプリケーションから生成される照合データとを照合し、両者が一致していた場合にその通信アプリケーションを信頼できるものと判断する
    ことを特徴とする通信制御方法。
  15. 請求項13に記載された通信制御方法において、さらに、
    前記コンピュータは、
    前記通信アプリケーションとその通信アプリケーションの取得およびその通信アプリケーションの属性情報の取得に使用したネットワークとを対応づけて記憶するステップ
    を備えることを特徴とする通信制御方法。
  16. 請求項13に記載された通信制御方法において、さらに、
    前記コンピュータは、
    前記第1のネットワークから取得した通信アプリケーションの属性情報を解析し、その属性情報に前記第2のネットワークを使用する旨の情報および照合データが含まれていた場合、前記第2のネットワークからの前記通信アプリケーションの取得を指示するステップ
    を備えることを特徴とする通信制御方法。
  17. 第1のネットワークから通信アプリケーションの照合情報を取得する手段と、
    第2のネットワークから通信アプリケーションを取得する手段と、
    前記第1のネットワークから取得した通信アプリケーションの照合情報と前記第2のネットワークから取得した通信アプリケーションとを照合する照合手段と
    前記照合手段により照合が一致した場合、前記通信アプリケーションに対して、前記第1のネットワークと前記第2のネットワークの少なくとも何れか一方の通信を許可する通信制御手段と
    を備えることを特徴とする通信端末。
  18. 請求項17に記載された通信端末において、
    前記第1のネットワークから取得した通信アプリケーションの照合情報はその通信アプリケーションの本体である
    ことを特徴とする通信端末。
  19. 請求項18に記載された通信端末において、
    前記照合手段は、
    前記第1のネットワークから取得した通信アプリケーションと前記第2のネットワークから取得した通信アプリケーションとを比較し、両者が一致していた場合にその通信アプリケーションを信頼できるものと判断する
    ことを特徴とする通信端末。
  20. 請求項18に記載された通信端末において、さらに、
    前記通信アプリケーションとその通信アプリケーションの取得に使用したネットワークとを対応づけて記憶する記憶手段
    を備えることを特徴とする通信端末。
  21. 請求項17に記載された通信端末において、
    前記第1のネットワークから取得した通信アプリケーションの照合情報はその通信アプリケーションの属性情報である
    ことを特徴とする通信端末。
  22. 請求項21に記載された通信端末において、
    前記照合手段は、
    前記第1のネットワークから取得した通信アプリケーションの属性情報に含まれる照合データと前記第2のネットワークから取得した通信アプリケーションから生成される照合データとを照合し、両者が一致していた場合にその通信アプリケーションを信頼できるものと判断する
    ことを特徴とする通信端末。
  23. 請求項21に記載された通信端末において、さらに、
    前記通信アプリケーションとその通信アプリケーションの取得およびその通信アプリケーションの属性情報の取得に使用したネットワークとを対応づけて記憶する記憶手段
    を備えることを特徴とする通信端末。
  24. 請求項21に記載された通信端末において、さらに、
    前記第1のネットワークから取得した通信アプリケーションの属性情報を解析し、その属性情報に前記第2のネットワークを使用する旨の情報および照合データが含まれていた場合、前記第2のネットワークからの前記通信アプリケーションの取得を指示する属性解析手段
    を備えることを特徴とする通信端末。
  25. 請求項1に記載された通信制御システムにおいて、
    前記通信端末の照合手段は、
    前記第1のネットワークから取得した通信アプリケーションのハッシュ値と前記第2のネットワークから取得した通信アプリケーションのハッシュ値とを照合する
    ことを特徴とする通信制御システム。
  26. 請求項5に記載された通信制御システムにおいて、
    前記通信端末の照合手段は、
    前記第1のネットワークから取得した通信アプリケーションの属性情報に含まれるハッシュ値と前記第2のネットワークから取得した通信アプリケーションから生成されるハッシュ値とを照合し、両者が一致していた場合にその通信アプリケーションを信頼できるものと判断する
    ことを特徴とする通信制御システム。
JP2009519281A 2007-06-12 2008-06-11 通信制御システム、通信制御方法および通信端末 Expired - Fee Related JP5110082B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009519281A JP5110082B2 (ja) 2007-06-12 2008-06-11 通信制御システム、通信制御方法および通信端末

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2007155770 2007-06-12
JP2007155770 2007-06-12
PCT/JP2008/060697 WO2008153069A1 (ja) 2007-06-12 2008-06-11 通信制御システム、通信制御方法および通信端末
JP2009519281A JP5110082B2 (ja) 2007-06-12 2008-06-11 通信制御システム、通信制御方法および通信端末

Publications (2)

Publication Number Publication Date
JPWO2008153069A1 JPWO2008153069A1 (ja) 2010-08-26
JP5110082B2 true JP5110082B2 (ja) 2012-12-26

Family

ID=40129674

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009519281A Expired - Fee Related JP5110082B2 (ja) 2007-06-12 2008-06-11 通信制御システム、通信制御方法および通信端末

Country Status (2)

Country Link
JP (1) JP5110082B2 (ja)
WO (1) WO2008153069A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102172063B (zh) * 2008-09-30 2014-09-17 日本电气株式会社 访问控制系统、访问控制方法和通信终端
US20110030039A1 (en) * 2009-07-31 2011-02-03 Eric Bilange Device, method and apparatus for authentication on untrusted networks via trusted networks
JP5701715B2 (ja) 2011-08-12 2015-04-15 株式会社東芝 エネルギー管理装置、電力管理システムおよびプログラム
JP2015038667A (ja) * 2011-10-18 2015-02-26 株式会社ベーシック アプリケーションマネージャ及びネットワークアクセス制御システム
JP7318264B2 (ja) * 2019-03-28 2023-08-01 オムロン株式会社 コントローラシステム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007034810A (ja) * 2005-07-28 2007-02-08 Ntt Docomo Inc コンテンツダウンロードシステム、コンテンツサーバ、移動通信端末及びコンテンツダウンロード方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004166090A (ja) * 2002-11-14 2004-06-10 Toshiba Corp 近接通信装置、携帯端末、近接通信装置の制御プログラム、携帯端末の制御プログラム及び通信システム
JP4475377B2 (ja) * 2002-12-27 2010-06-09 日本電気株式会社 無線通信システム、共通鍵管理サーバ、および無線端末装置
JP4157079B2 (ja) * 2004-08-04 2008-09-24 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報処理システム、通信方法、プログラム、記録媒体、及びアクセス中継サービスシステム
WO2006025241A1 (ja) * 2004-08-31 2006-03-09 Sharp Kabushiki Kaisha データ送信装置、データ受信装置、サーバ、データ共有システム、データ送信プログラム、データ受信プログラム、データ共有プログラムおよびコンピュータ読取り可能な記録媒体
JP2006135466A (ja) * 2004-11-04 2006-05-25 Seiko Epson Corp 携帯情報端末

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007034810A (ja) * 2005-07-28 2007-02-08 Ntt Docomo Inc コンテンツダウンロードシステム、コンテンツサーバ、移動通信端末及びコンテンツダウンロード方法

Also Published As

Publication number Publication date
WO2008153069A1 (ja) 2008-12-18
JPWO2008153069A1 (ja) 2010-08-26

Similar Documents

Publication Publication Date Title
US10652226B2 (en) Securing communication over a network using dynamically assigned proxy servers
JP6231054B2 (ja) 無線装置のプラットフォームの検証と管理
US8924577B2 (en) Peer-to-peer remediation
CN110311929B (zh) 一种访问控制方法、装置及电子设备和存储介质
EP1776799B1 (en) Enhanced security using service provider authentication
EP1741045A2 (en) Dynamic executable
US10873497B2 (en) Systems and methods for maintaining communication links
JP5110082B2 (ja) 通信制御システム、通信制御方法および通信端末
JP5397380B2 (ja) アクセス制御システム、アクセス制御方法および通信端末
WO2010038726A1 (ja) 情報通知システム、情報通知方法、通信端末およびプログラム
CN117061140A (zh) 一种渗透防御方法和相关装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110511

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120626

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120808

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120911

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120924

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151019

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5110082

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees