JP5343846B2 - 通信装置、通信制御方法、およびプログラム - Google Patents
通信装置、通信制御方法、およびプログラム Download PDFInfo
- Publication number
- JP5343846B2 JP5343846B2 JP2009519200A JP2009519200A JP5343846B2 JP 5343846 B2 JP5343846 B2 JP 5343846B2 JP 2009519200 A JP2009519200 A JP 2009519200A JP 2009519200 A JP2009519200 A JP 2009519200A JP 5343846 B2 JP5343846 B2 JP 5343846B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- communication
- identification information
- network
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 383
- 238000004891 communication Methods 0.000 title claims abstract description 362
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 title 1
- 238000003860 storage Methods 0.000 claims description 78
- 230000005540 biological transmission Effects 0.000 claims description 63
- 230000004044 response Effects 0.000 claims description 39
- 238000007726 management method Methods 0.000 description 140
- 230000006870 function Effects 0.000 description 40
- 238000010586 diagram Methods 0.000 description 14
- 239000008186 active pharmaceutical agent Substances 0.000 description 13
- 230000000694 effects Effects 0.000 description 4
- 238000000547 structure data Methods 0.000 description 4
- 229920001690 polydopamine Polymers 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Communication Control (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信装置の制御技術に関し、特に複数の通信ネットワークとデータ通信可能な通信装置のセキュリティ技術に関する。
携帯端末やPDA、さらにはパーソナルコンピュータなどの各種通信装置を利用したネットワーク接続の普及に伴い、ユーザがネットワーク経由で携帯端末用のアプリケーションをダウンロードしてきて実行することが一般的になっている。それに伴い、悪意あるアプリケーションが、ユーザの予期しない通信を行うことで情報流出(情報漏洩)を起こすことが問題となっている。
一方、VPN接続と無線LAN接続、キャリア網とホームネットワークのように今後携帯端末は複数のネットワーク環境に接続することが多くなると想定でき、悪意のあるアプリケーションはアプリケーションゲートウェイになることであるネットワークで限定配布されているものを別のネットワークで利用したり、データを流出させることができる。
一方、VPN接続と無線LAN接続、キャリア網とホームネットワークのように今後携帯端末は複数のネットワーク環境に接続することが多くなると想定でき、悪意のあるアプリケーションはアプリケーションゲートウェイになることであるネットワークで限定配布されているものを別のネットワークで利用したり、データを流出させることができる。
このように悪意あるアプリケーションによる情報流出の対策として、ファイルの暗号化が一般的に行われている。ファイルの暗号化による流出防止では、ファイルごとに鍵を設定して暗号化することで鍵を知っているユーザのみがファイルの内容にアクセスできるように制限することも考えられる。
従来、携帯端末が社内LANから切断されたときに、事前に設定された暗号鍵にしたがって記憶部の内容を自動的に暗号化する技術が提案されている(例えば、特開平10−161935号公報など参照)。この技術によれば、携帯端末が社内LANに接続された時に、暗号化時と同じ暗号鍵を利用して記憶部の内容が復号化され、内容にアクセスできるようになる。しかし、記憶部や送信データの暗号化では、ブルートフォース攻撃(brute force attack)による暗号化データの総当たり解読や、秘密鍵の流出(漏洩)などを防ぐことができない。
これに対して、Java(登録商標)などに代表される携帯電話のアプリケーション実行環境では、アプリケーションのダウンロード時に接続可能なネットワークのリストをポリシファイルとしてダウンロードする。ネットワーク接続時にこのリストを参照し、端末がリストに無いネットワークへのアクセス制限を掛けることでデータ流出を防止したり、アプリケーションの利用ネットワークを制限することができる。
しかしながら、このような関連する技術では、情報流出防止の容易性と確実性において問題点があった。
すなわち、関連する技術によれば、ポリシファイルなどを利用してアクセス可能なネットワークを制限する場合、すべてのアクセス可能なネットワークを予め把握し、ポリシファイルに記述しなければならない。このため、接続可能なネットワークのリストをアプリケーション作成者やネットワーク管理者が予め把握しておく必要がある。この際、ユーザごとにアクセスしてよいネットワークが異なる場合などは、ポリシファイルの管理はさらに複雑になる。
すなわち、関連する技術によれば、ポリシファイルなどを利用してアクセス可能なネットワークを制限する場合、すべてのアクセス可能なネットワークを予め把握し、ポリシファイルに記述しなければならない。このため、接続可能なネットワークのリストをアプリケーション作成者やネットワーク管理者が予め把握しておく必要がある。この際、ユーザごとにアクセスしてよいネットワークが異なる場合などは、ポリシファイルの管理はさらに複雑になる。
また、たとえポリシファイルにアクセス可能なすべてのネットワークを記述しても、アクセス可能なネットワーク間でのデータ転送を許可してしまう点にある。この理由は、ネットワークアクセス時に得たデータは、異なるネットワーク上のデータであっても同じメモリ空間、記憶部で管理されるため、アプリケーションのバグなどが原因で異なるネットワークにデータ流出させる場合に対処できないからである。
本発明はこのような課題を解決するためのものであり、情報流出防止の容易性と確実性が得られる通信装置、通信制御方法、およびプログラムを提供することを目的としている。
このような目的を達成するために、本発明にかかる通信装置は、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信処理部と、この通信処理部を制御して少なくともデータ受信またはデータ送信のためのデータ通信を行うプロセスを起動して、所望のアプリケーション処理を実行するアプリケーション処理部と、プロセスに固有のプロセス識別情報と当該プロセスに予め対応付けられている通信網に固有のネットワーク識別情報との組を登録するためのプロセス管理テーブルを記憶する記憶部と、プロセス管理テーブルから当該プロセスのプロセス識別情報に対応するネットワーク識別情報を取得するプロセス管理部と、プロセスにより新たなデータ通信を行う際、当該プロセスのデータ通信で用いる通信網を示す通信対応ネットワーク識別情報と、プロセス管理部で取得した当該プロセスのネットワーク識別情報からなるプロセス対応ネットワーク識別情報とを比較することにより、当該プロセスによる新たなデータ通信の可否を判定する動作判定部とを備えている。
また、本発明にかかる他の通信装置は、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信処理部と、この通信処理部を制御して少なくともデータ受信またはデータ送信のためのデータ通信を行うプロセスを起動して、所望のアプリケーション処理を実行するアプリケーション処理部と、任意のデータが記述されたファイルを記憶するとともに、当該ファイルに固有のファイル識別情報と当該ファイルに対応付けられた通信網に固有のネットワーク識別情報との組を登録するためのファイル管理テーブルを記憶する記憶部と、プロセスからの指示に基づき、記憶部に対して少なくともファイルの読込または書込を行うためのファイルアクセスを行うとともに、ファイル管理テーブルから当該プロセスでファイルアクセスするファイルのファイル識別情報に対応するネットワーク識別情報を取得するファイル管理部と、プロセスにより記憶部に対して新たなファイルアクセスを行う際、当該プロセスのデータ通信で用いる通信網を示すネットワーク識別情報からなるプロセス対応ネットワーク識別情報と、ファイル管理部で取得した当該ファイルのネットワーク識別情報からなるファイル対応ネットワーク識別情報との比較結果に応じて、当該プロセスによる新たなファイルアクセスの可否を判定する動作判定部とを備えている。
また、本発明にかかる通信制御方法は、演算処理部と記憶部とを有し、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信装置の通信制御方法であって、演算処理部により、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信処理ステップと、演算処理部により、通信処理ステップを制御して少なくともデータ受信またはデータ送信のためのデータ通信を行うプロセスを起動して、所望のアプリケーション処理を実行するアプリケーション処理ステップと、記憶部により、プロセスに固有のプロセス識別情報と当該プロセスに予め対応付けられている通信網に固有のネットワーク識別情報との組を登録するためのプロセス管理テーブルを記憶する記憶ステップと、演算処理部により、プロセス管理テーブルから当該プロセスのプロセス識別情報に対応するネットワーク識別情報を取得するプロセス管理ステップと、演算処理部により、プロセスにより新たなデータ通信を行う際、当該プロセスのデータ通信で用いる通信網を示す通信対応ネットワーク識別情報と、プロセス管理部で取得した当該プロセスのネットワーク識別情報からなるプロセス対応ネットワーク識別情報とを比較することにより、当該プロセスによる新たなデータ通信の可否を判定する動作判定ステップとを備えている。
また、本発明にかかる他の通信制御方法は、演算処理部と記憶部とを有し、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信装置の通信制御方法であって、演算処理部により、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信処理ステップと、演算処理部により、通信処理ステップを制御して少なくともデータ受信またはデータ送信のためのデータ通信を行うプロセスを起動して、所望のアプリケーション処理を実行するアプリケーション処理ステップと、記憶部により、任意のデータが記述されたファイルを記憶するとともに、当該ファイルに固有のファイル識別情報と当該ファイルに対応付けられた通信網に固有のネットワーク識別情報との組を登録するためのファイル管理テーブルを記憶する記憶ステップと、演算処理部により、プロセスからの指示に基づき、記憶部に対して少なくともファイルの読込または書込を行うためのファイルアクセスを行うとともに、ファイル管理テーブルから当該プロセスでファイルアクセスするファイルのファイル識別情報に対応するネットワーク識別情報を取得するファイル管理ステップと、プロセスにより記憶部に対して新たなファイルアクセスを行う際、当該プロセスのデータ通信で用いる通信網を示すネットワーク識別情報からなるプロセス対応ネットワーク識別情報と、ファイル管理部で取得した当該ファイルのネットワーク識別情報からなるファイル対応ネットワーク識別情報との比較結果に応じて、当該プロセスによる新たなファイルアクセスの可否を判定する動作判定ステップとを備えている。
また、本発明にかかるプログラムは、演算処理部と記憶部とを有し、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信装置のコンピュータに、前述の通信制御方法を実行させるためのプログラムである。
本発明によれば、プロセスに対してすでに対応付けられている通信網と、当該プロセスによりデータ通信する新たな通信網とが異なる場合、新たな通信網を用いたプロセスによるデータ通信が禁止され、プロセスに通信網が対応付けられていない場合、あるいは新たな通信網が当該プロセスに対応付けられている通信網と一致した場合にのみ、通信網を用いたプロセスによるデータ通信が許可される。これにより、アプリケーションが利用するネットワークに対して制限を設けて、他のネットワークへのデータ転送、すなわち情報流出を防止することができる。
したがって、ポリシファイルなどを利用してアクセス可能なネットワークを制限する場合には、すべてのアクセス可能なネットワークを予め把握し、ポリシファイルに記述しなければならないが、本実施形態によれば、プロセスIDとネットワークIDとの組合せによりデータ通信の可否を判断しているため、ポリシファイルを用いる必要がない。このため、接続可能なネットワークのリストをアプリケーション作成者やネットワーク管理者が予め把握しておく必要がなくなり、ポリシィファイルの管理に要する作業負担発生を抑止することができ、データ受信における情報流出防止の容易性と確実性が得られる。
次に、本発明の実施形態について図面を参照して説明する。
[第1の実施形態]
まず、図1を参照して、本発明の第1の実施形態にかかる通信装置について説明する。図1は、本発明の第1の実施形態にかかる通信装置の構成を示すブロック図である。
通信装置1Aは、携帯端末、PDA、パーソナルコンピュータ、サーバ装置など、コンピュータを搭載する情報処理装置からなり、アプリケーションプログラムを実行することにより、接続可能な複数の通信網のいずれかを介してデータ通信を行う機能を有している。ここでいう通信網は、インターネット、LAN、無線LAN、VNP、W−CDMA、携帯電話網など、各種データ通信に用いられる各種のデータ通信網を想定している。
[第1の実施形態]
まず、図1を参照して、本発明の第1の実施形態にかかる通信装置について説明する。図1は、本発明の第1の実施形態にかかる通信装置の構成を示すブロック図である。
通信装置1Aは、携帯端末、PDA、パーソナルコンピュータ、サーバ装置など、コンピュータを搭載する情報処理装置からなり、アプリケーションプログラムを実行することにより、接続可能な複数の通信網のいずれかを介してデータ通信を行う機能を有している。ここでいう通信網は、インターネット、LAN、無線LAN、VNP、W−CDMA、携帯電話網など、各種データ通信に用いられる各種のデータ通信網を想定している。
この通信装置1Aには、主な機能部として、操作入力部10、画面表示部20、通信I/F部30、記憶部40、および演算処理部50が設けられている。また演算処理部50には、主な処理部として、アプリケーション処理部51、通信処理部52、プロセス管理部53、および動作判定部54が設けられている。
本実施形態は、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信処理部52と、この通信処理部52を制御して少なくともデータ受信またはデータ送信のためのデータ通信を行うプロセスを起動して、所望のアプリケーション処理を実行するアプリケーション処理部51と、プロセスに固有のプロセスID(プロセス識別情報)と当該プロセスに予め対応付けられている通信網に固有のネットワークID(ネットワーク識別情報)との組を登録するためのプロセス管理テーブルを記憶する記憶部40と、プロセス管理テーブルから当該プロセスのプロセスIDに対応するネットワークIDを取得するプロセス管理部53とを設け、動作判定部54において、プロセスにより新たなデータ通信を行う際、当該プロセスのデータ通信で用いる通信網を示す通信対応ネットワークIDと、プロセス管理部53で取得した当該プロセスのネットワークIDからなるプロセス対応ネットワークIDとを比較することにより、当該プロセスによる新たなデータ通信の可否を判定するようにしたものである。
次に、図1を参照して、本発明の第1の実施形態にかかる通信装置の構成について詳細に説明する。
操作入力部10は、キーボードやポインティングデバイスなどの操作入力装置からなり、ユーザの操作を検出して演算処理部50へ入力する機能を有している。
画面表示部20は、LCDやPDPなどの画面表示装置からなり、演算処理部50からの指示に応じて、操作メニュー、文字情報、画像情報などの各種情報を画面表示する機能を有している。
操作入力部10は、キーボードやポインティングデバイスなどの操作入力装置からなり、ユーザの操作を検出して演算処理部50へ入力する機能を有している。
画面表示部20は、LCDやPDPなどの画面表示装置からなり、演算処理部50からの指示に応じて、操作メニュー、文字情報、画像情報などの各種情報を画面表示する機能を有している。
通信インターフェース部(以下、通信I/F部という)30は、異なる複数の通信網ごとに設けられた専用の通信インターフェース回路からなり、演算処理部50からの指示に基づきいずれかの通信網とデータ通信を行う機能を有している。
図1の例では、無線LANとデータ通信を行うための無線LANインターフェース部(以下、無線LANI/F部という)31、W−CDMAとデータ通信を行うためのW−CDMAインターフェース部(以下、W−CDMAI/F部という)32、VPNとデータ通信を行うためのVPNインターフェース部(以下、VPNI/F部という)33が設けられている。
図1の例では、無線LANとデータ通信を行うための無線LANインターフェース部(以下、無線LANI/F部という)31、W−CDMAとデータ通信を行うためのW−CDMAインターフェース部(以下、W−CDMAI/F部という)32、VPNとデータ通信を行うためのVPNインターフェース部(以下、VPNI/F部という)33が設けられている。
この際、無線LANI/F部31では、ESSIDやBSSIDなどの通信属性情報を元にして、接続したネットワークの識別を行うことができる。また、W−CDMAI/F部32では、SIMの通信属性情報などを元にして、接続したキャリアの識別を行うことができる。また、VPNI/F部33では、VPNサーバのIPアドレスや設定情報を元にして、接続したネットワークの識別を行うことができる。
記憶部40は、メモリやハードディスクなどの記憶装置からなり、演算処理部50での各種処理動作に用いる各種処理情報やプログラムを記憶する機能を有している。
記憶部40で記憶する主なプログラムとして、機能処理プログラム40Pとアプリケーションプログラム40Aがある。これらプログラムは、製造時にROMとして搭載されて記憶部40を構成し、あるいは通信I/F部30を介して外部装置から記憶部40に保存される。
記憶部40で記憶する主なプログラムとして、機能処理プログラム40Pとアプリケーションプログラム40Aがある。これらプログラムは、製造時にROMとして搭載されて記憶部40を構成し、あるいは通信I/F部30を介して外部装置から記憶部40に保存される。
機能処理プログラム40Pは、通信装置1Aの起動に応じて演算処理部50に読み込まれて実行されることにより、演算処理部50での各種処理動作を行うための処理部を実現するプログラムである。
アプリケーションプログラム40Aは、ユーザ操作に応じて演算処理部50に読み込まれて実行されて、通信装置1Aに設けられている各種機能部や機能処理プログラム40Pで実現されている各種処理部を用いて情報演算処理やデータ通信を行うことにより、所定の情報処理機能やデータ通信機能をユーザに提供するプログラムである。
アプリケーションプログラム40Aは、ユーザ操作に応じて演算処理部50に読み込まれて実行されて、通信装置1Aに設けられている各種機能部や機能処理プログラム40Pで実現されている各種処理部を用いて情報演算処理やデータ通信を行うことにより、所定の情報処理機能やデータ通信機能をユーザに提供するプログラムである。
記憶部40で記憶する主な処理情報として、プロセス管理テーブル41がある。図2は、プロセス管理テーブルの構成例である。このプロセス管理テーブル41は、各プロセス51Aを識別するための当該プロセスに固有のプロセスIDと、当該プロセス51Aがデータ通信に用いる通信網を識別するための当該通信網に固有のネットワークIDとの組を記憶する機能を有している。
ここでいうプロセス51Aとは、後述のアプリケーション処理部51でアプリケーションプログラム40Aを実行した際に起動されてインスタンスとして実現される小規模の処理部である。
ここでいうプロセス51Aとは、後述のアプリケーション処理部51でアプリケーションプログラム40Aを実行した際に起動されてインスタンスとして実現される小規模の処理部である。
また、プロセス管理テーブル41では、これらプロセス51Aごとの組を公知のプロセス構造体データで管理してもよい。プロセス構造体データとは、これらプロセスを管理するために、当該プロセスごとに集めた管理用データ群からなる。プロセス構造体データは、一般的なオペレーションシステム(演算処理部50)において、所定のデータ構造に基づきプロセス起動時に生成されてテーブル(プロセス管理テーブル41)へ格納される。また、当該プロセスの終了に応じて、対応するプロセス構造体データがテーブルから削除される。
演算処理部50は、CPUなどのマイクロプロセッサとその周辺回路を有し、記憶部40から機能処理プログラム40Pを読み込んで実行することにより、上記ハードウェアと機能処理プログラム40Pと協働させて、各種処理動作を行うための処理部やそのベースとなるオペレーティングシステムを実現する機能を有している。
演算処理部50で実現される主な処理部としては、アプリケーション処理部51、通信処理部52、プロセス管理部53、および動作判定部54がある。
演算処理部50で実現される主な処理部としては、アプリケーション処理部51、通信処理部52、プロセス管理部53、および動作判定部54がある。
アプリケーション処理部51は、記憶部40からアプリケーションプログラム40Aを読み込んで実行することにより各種プロセス51Aを起動することにより、所望のアプリケーション処理を実行する機能を有している。プロセス51Aの具体例としては、通信処理部52を制御して、文書データ、画像データ、アプリケーションプログラムなどのデータの送受信のためのデータ通信を行うプロセスや、データ通信により得たデータの表示、編集、実行などの処理を行うプロセスがある。
通信処理部52は、例えばSocketなどに代表される各種APIで実現され、通信I/F部30に設けられている、無線LANI/F部31、W−CDMAI/F部32、VPNI/F部33など、通信網ごとの通信インターフェースを制御して、接続可能な複数の通信網のいずれかを介してデータ通信を行う機能を有している。この通信処理部52には、ネットワーク管理部52A、受信部52R、および送信部52Sが設けられている。
ネットワーク管理部52Aは、通信I/F部30を監視してプロセス51Aがデータ通信に用いている通信網を通信I/F部30から確認する機能と、当該通信網に固有のネットワークIDを出力する機能とを有している。
受信部52Rは、例えばsocket通信方式のrecv(),read()などのAPIで実現され、通信I/F部30の無線LANI/F部31、W−CDMAI/F部32、VPNI/F部33のいずれかを介して接続した通信網を介して、所定の通信プロトコルに基づき通信相手装置からデータを受信する機能と、ネットワーク管理部52Aから当該プロセス51Aのデータ通信で用いる通信網を示す通信対応ネットワークIDを取得する機能と、この通信対応ネットワークIDを含む動作判定要求に応じて得られた動作判定部54からのデータ通信可否判定に基づきプロセス51Aへの受信データの受け渡しの制御を行う機能とを有している。
送信部52Sは、例えばsocket通信方式のsend(),write()などのAPIで実現され、通信I/F部30の無線LANI/F部31、W−CDMAI/F部32、VPNI/F部33のいずれかを介して接続した通信網を介して、所定の通信プロトコルに基づき通信相手装置へデータを送信する機能と、プロセス51Aから指定された送信先情報に基づき、例えば記憶部40のルーティングテーブル(図示せず)を参照して、当該プロセス51Aのデータ通信で用いる通信網のネットワーク名を導出する機能と、導出したネットワーク名に関連するネットワークIDをネットワーク管理部52Aから通信対応ネットワークIDとして取得する機能と、この通信対応ネットワークIDを含む動作判定要求に応じて得られた動作判定部54からのデータ通信可否判定に基づき通信I/F部30への送信データの受け渡しの制御を行う機能とを有している。
プロセス管理部53は、プロセス管理テーブル41にプロセス51AのプロセスIDとネットワークIDとを組として登録する機能と、プロセス管理テーブル41からプロセス51AのプロセスIDに対応するネットワークIDをプロセス対応ネットワークIDとして取得する機能とを有している。
動作判定部54は、データ受信用の機能として、アプリケーション処理部51から通信処理部52に対してデータ受信を指示したプロセス51AのプロセスIDを取得する機能と、プロセス管理部53からこのプロセスIDに対応するプロセス対応ネットワークIDを取得する機能と、受信部52Rからの動作判定要求に応じて通信対応ネットワークIDとプロセス対応ネットワークIDとを比較することにより、当該プロセスによるデータ受信の可否を判定し、受信部52Rへ通知する機能とを有している。
また、動作判定部54は、データ送信用の機能として、アプリケーション処理部51から通信処理部52に対してデータ送信を指示したプロセス51AのプロセスIDを取得する機能と、プロセス管理部53からこのプロセスIDに対応するプロセス対応ネットワークIDを取得する機能と、送信部52Sからの動作判定要求に応じて通信対応ネットワークIDとプロセス対応ネットワークIDとを比較することにより、当該プロセスによるデータ送信の可否を判定し、送信部52Sへ通知する機能とを有している。
[第1の実施形態の動作]
次に、図3および図4を参照して、本発明の第1の実施形態にかかる通信装置の動作について説明する。図3は、本発明の第1の実施形態にかかる通信装置のデータ受信動作を示すシーケンス図である。図4は、本発明の第1の実施形態にかかる通信装置のデータ送信動作を示すシーケンス図である。
次に、図3および図4を参照して、本発明の第1の実施形態にかかる通信装置の動作について説明する。図3は、本発明の第1の実施形態にかかる通信装置のデータ受信動作を示すシーケンス図である。図4は、本発明の第1の実施形態にかかる通信装置のデータ送信動作を示すシーケンス図である。
[データ受信動作]
まず、図3を参照して、本発明の第1の実施形態にかかる通信装置のデータ受信動作について説明する。
通信装置1Aの演算処理部50は、アプリケーション処理部51で実行しているアプリケーションにおいて、通信網からデータを受信する際、プロセス51Aを起動して、図3のようなデータ受信動作を実行する。
まず、図3を参照して、本発明の第1の実施形態にかかる通信装置のデータ受信動作について説明する。
通信装置1Aの演算処理部50は、アプリケーション処理部51で実行しているアプリケーションにおいて、通信網からデータを受信する際、プロセス51Aを起動して、図3のようなデータ受信動作を実行する。
まず、プロセス51Aは、データ受信用のバッファと長さなどを引数として受信用APIを呼び出すことにより、通信処理部52に対して受信要求を出力する(ステップ100)。これに応じて、通信処理部52の受信部52Rは、通信I/F部30から受信データが届くまでデータ受信待機を行う。通信I/F部30は、任意の通信網からデータを受信した場合、その受信データにデータ受信を行った受信通信インターフェース名を付加して受信部52Rへ出力する(ステップ101)。
受信部52Rは、通信I/F部30から受信データと受信通信インターフェース名を受け取り、その受信通信インターフェース名をキーとして、データ受信に用いた通信対応ネットワークIDをネットワーク管理部52Aから取得する(ステップ102)。この際、ネットワーク管理部52Aは、無線LANI/F部31、W−CDMAI/F部32、VPNI/F部33を監視し、これら通信インターフェース部がネットワーク接続を行った際に問い合わせを行うことにより、これら通信インターフェース部のインターフェース名と通信網との対応関係を管理している。
この後、受信部52Rは、このようにして得られた通信対応ネットワークIDを含む動作判定要求を動作判定部54へ通知する(ステップ103)。
この後、受信部52Rは、このようにして得られた通信対応ネットワークIDを含む動作判定要求を動作判定部54へ通知する(ステップ103)。
受信部52Rからの動作判定要求に応じて、動作判定部54は、受信部52Rへ受信要求を行ったプロセス51AのプロセスIDをアプリケーション処理部51から取得する(ステップ110)。
続いて、動作判定部54は、このプロセスIDに対応するネットワークIDの検索要求をプロセス管理部53へ出力する(ステップ111)。
続いて、動作判定部54は、このプロセスIDに対応するネットワークIDの検索要求をプロセス管理部53へ出力する(ステップ111)。
これに応じて、プロセス管理部53は、記憶部40のプロセス管理テーブル41を参照して、当該検索要求で指定されたプロセスIDをキーとして検索し(ステップ112)、プロセスIDに対応付けられているプロセス対応ネットワークIDを検索結果として動作判定部54へ通知する(ステップ113)。この際、ネットワークIDが未登録の場合には、その旨が通知される。
この後、動作判定部54は、プロセス管理部53からの検索結果を判定する(ステップ114)。ここで、検索結果がネットワークIDの未登録を示す場合、すなわちプロセス51Aによる最初のデータ受信である場合、動作判定部54は、プロセス51AのプロセスIDと通信対応ネットワークIDとの組に関する登録指示をプロセス管理部53へ通知する(ステップ120)。これに応じて、プロセス管理部53は、プロセス管理テーブル41の当該プロセスIDに対応付けて通信対応ネットワークIDを記録することにより、プロセスIDと通信対応ネットワークIDとの組を登録する(ステップ121)。
また、検索結果がネットワークIDの未登録を示す場合、あるいは検索結果で通知されたプロセス対応ネットワークIDと通信対応ネットワークIDが一致する場合、動作判定部54は、受信部52Rに対して受信許可を示す動作判定結果を通知する(ステップ130)。
これに応じて、受信部52Rは、通信I/F部30から受け取った受信データをデータ受信用バッファに書き込み、プロセス51Aへ渡し(ステップ131)、一連のデータ受信動作を終了する。これにより、プロセス51Aによる最初のデータ受信である場合、あるいはプロセス51Aで過去にデータ受信した通信網と、今回データ受信した通信網とが一致する場合、当該通信網からの受信データがプロセス51Aに渡されることになる。
一方、検索結果で通知されたプロセス対応ネットワークIDと通信対応ネットワークIDとが一致しない場合、すなわちプロセス51Aで過去にデータ受信した通信網と、今回データ受信した通信網とが異なる場合、動作判定部54は、受信部52Rに対して受信不可を示す動作判定結果を通知する(ステップ140)。
これに応じて、受信部52Rは、通信I/F部30から受け取った受信データを破棄することにより(ステップ141)、通信対応ネットワークIDに対応する通信網を用いたプロセス51Aによるデータ受信を禁止し、一連のデータ受信動作を終了する。
これに応じて、受信部52Rは、通信I/F部30から受け取った受信データを破棄することにより(ステップ141)、通信対応ネットワークIDに対応する通信網を用いたプロセス51Aによるデータ受信を禁止し、一連のデータ受信動作を終了する。
これにより、プロセス51Aで過去にデータ受信した通信網と、今回データ受信した通信網とが異なる場合、当該通信網からの受信データがプロセス51Aに渡さずに破棄され、通信対応ネットワークIDに対応する通信網を用いたプロセス51Aによるデータ受信が禁止されることになる。
[データ送信動作]
次に、図4を参照して、本発明の第1の実施形態にかかる通信装置のデータ送信動作について説明する。
通信装置1Aの演算処理部50は、アプリケーション処理部51で実行しているアプリケーションにおいて、通信網へデータを送信する際、プロセス51Aを起動して、図5のようなデータ送信動作を実行する。
次に、図4を参照して、本発明の第1の実施形態にかかる通信装置のデータ送信動作について説明する。
通信装置1Aの演算処理部50は、アプリケーション処理部51で実行しているアプリケーションにおいて、通信網へデータを送信する際、プロセス51Aを起動して、図5のようなデータ送信動作を実行する。
まず、プロセス51Aは、データ送信用のバッファと長さなどを引数として送信用APIを呼び出すことにより、通信処理部52に対して送信データと送信先情報を含む送信要求を出力する(ステップ200)。
これに応じて、通信処理部52の送信部52Sは、送信要求で指定された送信先情報から、当該データ送信に用いる通信網のネットワーク名を導出し(ステップ201)、導出したネットワーク名に関連するネットワークIDをネットワーク管理部52Aから通信対応ネットワークIDとして取得する(ステップ202)。
その後、送信部52Sは、このようにして得られた通信対応ネットワークIDを含む動作判定要求を動作判定部54へ通知する(ステップ203)。
その後、送信部52Sは、このようにして得られた通信対応ネットワークIDを含む動作判定要求を動作判定部54へ通知する(ステップ203)。
送信部52Sからの動作判定要求に応じて、動作判定部54は、送信部52Sへ送信要求を行ったプロセス51AのプロセスIDをアプリケーション処理部51から取得する(ステップ210)。
続いて、動作判定部54は、このプロセスIDに対応するネットワークIDの検索要求をプロセス管理部53へ出力する(ステップ211)。
続いて、動作判定部54は、このプロセスIDに対応するネットワークIDの検索要求をプロセス管理部53へ出力する(ステップ211)。
これに応じて、プロセス管理部53は、記憶部40のプロセス管理テーブル41を参照して、当該検索要求で指定されたプロセスIDをキーとして検索し(ステップ212)、そのプロセスIDと対応付けられているプロセス対応ネットワークIDを検索結果として動作判定部54へ通知する(ステップ213)。この際、ネットワークIDが未登録の場合には、その旨が通知される。
この後、動作判定部54は、プロセス管理部53からの検索結果を判定する(ステップ214)。ここで、検索結果がネットワークIDの未登録を示す場合、すなわちプロセス51Aによる最初のデータ送信である場合、動作判定部54は、プロセス51AのプロセスIDと通信対応ネットワークIDとの組に関する登録指示をプロセス管理部53へ通知する(ステップ220)。
これにより、プロセス管理部53は、プロセス管理テーブル41の当該プロセスIDに対応付けて通信対応ネットワークIDを記録することにより、プロセスIDと通信対応ネットワークIDとの組を登録する(ステップ221)。
これにより、プロセス管理部53は、プロセス管理テーブル41の当該プロセスIDに対応付けて通信対応ネットワークIDを記録することにより、プロセスIDと通信対応ネットワークIDとの組を登録する(ステップ221)。
また、検索結果がネットワークIDの未登録を示す場合、あるいは検索結果で通知されたプロセス対応ネットワークIDと通信対応ネットワークIDが一致する場合、動作判定部54は、送信部52Sに対して送信許可を示す動作判定結果を通知する(ステップ230)。
これに応じて、送信部52Sは、プロセス51Aから受け取った送信データをデータ送信用バッファに書き込み、通信I/F部30へ送信指示を通知する(ステップ231)。そして、通信I/F部30での送信完了に応じてプロセス51Aへ送信完了を通知し(ステップ232)、一連のデータ送信動作を終了する。
これに応じて、送信部52Sは、プロセス51Aから受け取った送信データをデータ送信用バッファに書き込み、通信I/F部30へ送信指示を通知する(ステップ231)。そして、通信I/F部30での送信完了に応じてプロセス51Aへ送信完了を通知し(ステップ232)、一連のデータ送信動作を終了する。
これにより、プロセス51Aによる最初のデータ送信である場合、あるいはプロセス51Aで過去にデータ送信した通信網と、今回データ送信する通信網とが一致する場合、当該プロセス51Aからの送信データが通信I/F部30に渡されて、対応する通信網へ送信されることになる。
一方、検索結果で通知されたプロセス対応ネットワークIDに通信対応ネットワークIDが一致しない場合、すなわちプロセス51Aで過去にデータ送信した通信網と、今回データ送信した通信網とが異なる場合、動作判定部54は、送信部52Sに対して送信不可を示す動作判定結果を通知する(ステップ240)。
これに応じて、送信部52Sは、プロセス51Aから受け取った送信データを破棄することにより(ステップ241)、通信対応ネットワークIDに対応する通信網を用いたプロセス51Aによるデータ送信を禁止し、一連のデータ送信動作を終了する。
これに応じて、送信部52Sは、プロセス51Aから受け取った送信データを破棄することにより(ステップ241)、通信対応ネットワークIDに対応する通信網を用いたプロセス51Aによるデータ送信を禁止し、一連のデータ送信動作を終了する。
これにより、プロセス51Aで過去にデータ送信した通信網と、今回データ送信した通信網とが異なる場合、プロセス51Aからの送信データが通信I/F部30に渡さずに破棄され、通信対応ネットワークIDに対応する通信網を用いたプロセス51Aによるデータ送信が禁止されることになる。
[第1の実施形態の効果]
このように、本実施形態は、プロセス51Aにより新たなデータ通信を行う際、動作判定部54において、当該プロセスのデータ通信で用いる通信網を示す通信対応ネットワークIDと、プロセス管理部53で取得した当該プロセスのプロセス対応ネットワークIDとを比較することにより、当該プロセスによる新たなデータ通信の可否を判定している。
具体的には、動作判定部54において、通信対応ネットワークIDとプロセス対応ネットワークIDとが一致しない場合にはデータ通信不可と判定し、通信処理部52により、動作判定部54でのデータ通信不可の判定に応じて、当該プロセスによる通信対応ネットワークIDに対応する通信網を用いたデータ通信を禁止する。
このように、本実施形態は、プロセス51Aにより新たなデータ通信を行う際、動作判定部54において、当該プロセスのデータ通信で用いる通信網を示す通信対応ネットワークIDと、プロセス管理部53で取得した当該プロセスのプロセス対応ネットワークIDとを比較することにより、当該プロセスによる新たなデータ通信の可否を判定している。
具体的には、動作判定部54において、通信対応ネットワークIDとプロセス対応ネットワークIDとが一致しない場合にはデータ通信不可と判定し、通信処理部52により、動作判定部54でのデータ通信不可の判定に応じて、当該プロセスによる通信対応ネットワークIDに対応する通信網を用いたデータ通信を禁止する。
これにより、プロセス51Aに対応付けられている通信網と、データ通信用の今回の通信網とが異なる場合、今回の通信網を用いたプロセス51Aによるデータ通信が禁止され、プロセス51Aに通信網が対応付けられていない場合、あるいは今回の通信網がプロセス51Aに対応付けられている通信網であった場合にのみ、今回の通信網を用いたプロセス51Aによるデータ通信が許可される。
したがって、ポリシファイルなどを利用してアクセス可能なネットワークを制限する場合には、すべてのアクセス可能なネットワークを予め把握し、ポリシファイルに記述しなければならないが、本実施形態によれば、プロセスIDとネットワークIDとの組合せによりデータ通信の可否を判断しているため、ポリシファイルを用いる必要がない。このため、接続可能なネットワークのリストをアプリケーション作成者やネットワーク管理者が予め把握しておく必要がなくなり、ポリシィファイルの管理に要する作業負担発生を抑止することができ、データ受信における情報流出防止の容易性と確実性が得られる。
[第2の実施形態]
次に、図5を参照して、本発明の第2の実施形態にかかる通信装置について説明する。図5は、本発明の第2の実施形態にかかる通信装置の構成を示すブロック図であり、前述した図1と同じまたは同等部分には同一符号を付してある。
次に、図5を参照して、本発明の第2の実施形態にかかる通信装置について説明する。図5は、本発明の第2の実施形態にかかる通信装置の構成を示すブロック図であり、前述した図1と同じまたは同等部分には同一符号を付してある。
第1の実施形態では、プロセス51Aにより任意の通信網を介してデータ受信またはデータ送信を行う場合の情報流出防止について説明した。本実施形態では、プロセス51Aにより記憶部40に格納されているファイル42を読み込む場合の情報流出防止について説明する。
本実施形態にかかる通信装置1Bでは、第1の実施形態と比較して、演算処理部50にファイル管理部55が設けられ、記憶部40に、処理情報として、ファイル管理テーブル43が記憶されている。その他の構成については、第1の実施形態と同様であり、ここでの説明は省略する。
本実施形態にかかる通信装置1Bでは、第1の実施形態と比較して、演算処理部50にファイル管理部55が設けられ、記憶部40に、処理情報として、ファイル管理テーブル43が記憶されている。その他の構成については、第1の実施形態と同様であり、ここでの説明は省略する。
図6は、ファイル管理テーブルの構成例である。ファイル管理テーブル43は、ファイル42ごとに、例えば格納場所情報を含むファイル名などのファイルに固有のファイルID(ファイル識別情報)と、当該ファイルに関連する通信網に固有のファイル対応ネットワークIDとの組を管理している。
ファイル管理部55は、write(),fputs(),fprintf()などのファイル書込用APIからなり、記憶部40に対して任意のデータをファイル42として書き込む機能と、記憶部40に保存されているファイル42を読み込む機能と、open(),read(),fgets(),fscanf()などのファイル読込用APIで実現され、プロセス51Aからの指示に応じてファイル42を読み込む際に、当該ファイル42のファイルIDと組を成すファイル対応ネットワークIDをファイル管理テーブル43から取得する機能と、このファイル対応ネットワークIDを含む動作判定要求に応じて得られた動作判定部54からのファイル読込可否判定に基づきプロセス51Aへのファイルデータの受け渡しの制御を行う機能とを有している。
動作判定部54は、アプリケーション処理部51からファイル管理部55に対してファイル読込を指示したプロセス51AのプロセスIDを取得する機能と、プロセス管理部53からこのプロセスIDに対応するプロセス対応ネットワークIDを取得する機能と、ファイル管理部55からの動作判定要求に応じて、ファイル対応ネットワークIDとプロセス対応ネットワークIDとを比較することにより、当該プロセスによるファイル読込の可否を判定し、ファイル管理部55へ通知する機能とを有している。
[第2の実施形態の動作]
次に、図7〜図9を参照して、本発明の第2の実施形態にかかる通信装置の動作について説明する。図7は、本発明の第2の実施形態にかかる通信装置のファイル読込動作を示すシーケンス図である。図8は、本発明の第2の実施形態にかかる通信装置のファイル書込動作を示すシーケンス図である。図9は、本発明の第2の実施形態にかかる通信装置のファイル更新動作を示すシーケンス図である。
次に、図7〜図9を参照して、本発明の第2の実施形態にかかる通信装置の動作について説明する。図7は、本発明の第2の実施形態にかかる通信装置のファイル読込動作を示すシーケンス図である。図8は、本発明の第2の実施形態にかかる通信装置のファイル書込動作を示すシーケンス図である。図9は、本発明の第2の実施形態にかかる通信装置のファイル更新動作を示すシーケンス図である。
[ファイル読込動作]
まず、図7を参照して、本発明の第2の実施形態にかかる通信装置のファイル読込動作について説明する。
通信装置1Bの演算処理部50は、アプリケーション処理部51で実行しているアプリケーションにおいて、記憶部40からファイルを読み込む際、プロセス51Aを起動して、図7のようなファイル読込動作を実行する。
まず、図7を参照して、本発明の第2の実施形態にかかる通信装置のファイル読込動作について説明する。
通信装置1Bの演算処理部50は、アプリケーション処理部51で実行しているアプリケーションにおいて、記憶部40からファイルを読み込む際、プロセス51Aを起動して、図7のようなファイル読込動作を実行する。
まず、プロセス51Aは、ファイル読込用APIを呼び出すことにより、ファイル管理部55に対して、読込対象であるファイル42の格納場所情報付きファイル名を含む読込要求を出力する(ステップ300)。
これに応じて、ファイル管理部55は、記憶部40のファイル管理テーブル43からファイル42に予め対応付けられているファイル対応ネットワークIDを取得する(ステップ301)。この際、ネットワークIDが未登録の場合には、ファイル対応ネットワークIDを未登録とする。
その後、ファイル管理部55は、このようにして得られたファイル対応ネットワークIDを含む動作判定要求を動作判定部54へ通知する(ステップ302)。
これに応じて、ファイル管理部55は、記憶部40のファイル管理テーブル43からファイル42に予め対応付けられているファイル対応ネットワークIDを取得する(ステップ301)。この際、ネットワークIDが未登録の場合には、ファイル対応ネットワークIDを未登録とする。
その後、ファイル管理部55は、このようにして得られたファイル対応ネットワークIDを含む動作判定要求を動作判定部54へ通知する(ステップ302)。
ファイル管理部55からの動作判定要求に応じて、動作判定部54は、ファイル管理部55へ読込要求を行ったプロセス51AのプロセスIDをアプリケーション処理部51から取得する(ステップ310)。
続いて、動作判定部54は、このプロセスIDに対応するネットワークIDの検索要求をプロセス管理部53へ出力する(ステップ311)。
続いて、動作判定部54は、このプロセスIDに対応するネットワークIDの検索要求をプロセス管理部53へ出力する(ステップ311)。
これに応じて、プロセス管理部53は、記憶部40のプロセス管理テーブル41を参照して、当該検索要求で指定されたプロセスIDをキーとして検索し(ステップ312)、そのプロセスIDに対応付けられているプロセス対応ネットワークIDを検索結果として動作判定部54へ通知する(ステップ313)。この際、ネットワークIDが未登録の場合には、その旨が通知される。
この後、動作判定部54は、プロセス管理部53からの検索結果を判定する(ステップ314)。ここで、検索結果がネットワークIDの未登録を示す場合、すなわちプロセス51Aによる最初のファイル読込である場合、動作判定部54は、プロセス51AのプロセスIDとファイル対応ネットワークIDとの組に関する登録指示をプロセス管理部53へ通知する(ステップ320)。
これに応じて、プロセス管理部53は、プロセス管理テーブル41の当該プロセスIDに対応付けてファイル対応ネットワークIDを記録することにより、プロセスIDとファイル対応ネットワークIDとの組を登録する(ステップ321)。これにより、プロセス51Aでのデータ通信で用いる通信網が読込対象ファイルに対応する通信網に限定され、プロセス51Aが読込対象ファイルで汚染されたことになる。
また、検索結果で通知されたプロセス対応ネットワークIDとファイル対応ネットワークIDが一致する場合、またはプロセス対応ネットワークIDとファイル対応ネットワークIDのいずれか一方が未登録の場合、動作判定部54は、ファイル管理部55に対して読込許可を示す動作判定結果を通知する(ステップ330)。
これに応じて、ファイル管理部55は、プロセス対応ネットワークIDとファイル対応ネットワークIDのいずれか一方が未登録の場合、ファイルIDとネットワークIDと対応関係をファイル管理テーブル43に登録する(ステップ331)。また、ファイル管理部55は、読込許可の通知に応じて、ファイル42の読み込みが許可されたことをプロセス51Aへ通知し(ステップ332)、一連のファイル読込動作を終了する。
これにより、ファイル42にネットワークIDが対応付けられていない場合、あるいはプロセス51Aによりデータ通信がまだ行われていない場合、ファイル42の読み込みが許可されることになる。
これにより、ファイル42にネットワークIDが対応付けられていない場合、あるいはプロセス51Aによりデータ通信がまだ行われていない場合、ファイル42の読み込みが許可されることになる。
一方、プロセス対応ネットワークIDとファイル対応ネットワークIDが一致せず、プロセス対応ネットワークIDおよびファイル対応ネットワークIDのいずれも未登録でない場合、ファイル管理部55は、ファイル管理部55に対して読込不可を示す動作判定結果を通知する(ステップ340)。
これに応じて、ファイル管理部55は、記憶部40からファイル42を読み込まず、プロセス51Aに対してファイルの読込失敗を通知し(ステップ341)、一連のファイル読込動作を終了する。
これにより、ファイル42とプロセス51Aの両方にネットワークIDが対応付けられており、両者が異なる場合、ファイル42の読み込みが禁止されることになる。
これに応じて、ファイル管理部55は、記憶部40からファイル42を読み込まず、プロセス51Aに対してファイルの読込失敗を通知し(ステップ341)、一連のファイル読込動作を終了する。
これにより、ファイル42とプロセス51Aの両方にネットワークIDが対応付けられており、両者が異なる場合、ファイル42の読み込みが禁止されることになる。
[ファイル書込動作]
次に、図8を参照して、本発明の第2の実施形態にかかる通信装置のファイル書込動作について説明する。
通信装置1Bの演算処理部50は、アプリケーション処理部51で実行しているアプリケーションにおいて、記憶部40へファイルを書き込む際、プロセス51Aを起動して、図8のようなファイル書込動作を実行する。
次に、図8を参照して、本発明の第2の実施形態にかかる通信装置のファイル書込動作について説明する。
通信装置1Bの演算処理部50は、アプリケーション処理部51で実行しているアプリケーションにおいて、記憶部40へファイルを書き込む際、プロセス51Aを起動して、図8のようなファイル書込動作を実行する。
まず、プロセス51Aは、書込対象であるファイル42の格納場所情報付きファイル名、さらにはバッファと長さなどを引数として、ファイル書込用APIまたは書込ファイルオープン用APIを呼び出すことにより、ファイル管理部55に対して書込要求を出力する(ステップ400)。
これに応じて、ファイル管理部55は、ネットワーク管理部52Aから、現在プロセス51Aのデータ通信用として接続中の通信網を示す通信対応ネットワークIDを取得する(ステップ401)。
これに応じて、ファイル管理部55は、ネットワーク管理部52Aから、現在プロセス51Aのデータ通信用として接続中の通信網を示す通信対応ネットワークIDを取得する(ステップ401)。
次に、ファイル管理部55は、プロセス51Aから指定された格納場所情報付きファイル名で、ファイル42を記憶部40に作成し、指定された長さ分のデータをバッファから読み出してファイルに書き込む(ステップ402)。この際、プロセス51Aから呼び出されたAPIが書込ファイルオープン用APIであった場合、ファイル管理部55は、ステップ402においてファイルだけをオープン(書込準備)すればよい。
この後、ファイル管理部55は、ファイル42のファイルIDにネットワーク管理部52Aから取得した通信対応ネットワークIDをファイル対応ネットワークIDとして対応付けて、記憶部40のファイル管理テーブル43へ登録して(ステップ403)、プロセス51Aに対してファイル書込完了または書込許可の旨を通知し(ステップ404)、一連のファイル書込動作を終了する。
[ファイル更新動作]
次に、図9を参照して、本発明の第2の実施形態にかかる通信装置のファイル更新動作について説明する。
通信装置1Bの演算処理部50は、アプリケーション処理部51で実行しているアプリケーションにおいて、記憶部40へファイルを更新する際、プロセス51Aを起動して、図9のようなファイル更新動作を実行する。
次に、図9を参照して、本発明の第2の実施形態にかかる通信装置のファイル更新動作について説明する。
通信装置1Bの演算処理部50は、アプリケーション処理部51で実行しているアプリケーションにおいて、記憶部40へファイルを更新する際、プロセス51Aを起動して、図9のようなファイル更新動作を実行する。
まず、プロセス51Aは、ファイル42の書き換えや書き足しなどのファイル更新を行う場合、更新対象であるファイル42の格納場所情報付きファイル名、さらにはバッファと長さなどを引数として、ファイル更新用APIを呼び出すことにより、ファイル管理部55に対して更新要求を出力する(ステップ500)。
これに応じて、ファイル管理部55は、記憶部40のファイル管理テーブル43からファイル42に対応付けられているファイル対応ネットワークIDを取得し(ステップ501)、このファイル対応ネットワークIDを含む動作判定要求を動作判定部54へ出力する(ステップ502)。
これに応じて、ファイル管理部55は、記憶部40のファイル管理テーブル43からファイル42に対応付けられているファイル対応ネットワークIDを取得し(ステップ501)、このファイル対応ネットワークIDを含む動作判定要求を動作判定部54へ出力する(ステップ502)。
ファイル管理部55からの動作判定要求に応じて、動作判定部54は、ファイル管理部55へ更新要求を行ったプロセス51AのプロセスIDをアプリケーション処理部51から取得する(ステップ510)。
続いて、動作判定部54は、このプロセスIDに対応するプロセス対応ネットワークIDの検索要求をプロセス管理部53へ出力する(ステップ511)。
続いて、動作判定部54は、このプロセスIDに対応するプロセス対応ネットワークIDの検索要求をプロセス管理部53へ出力する(ステップ511)。
これに応じて、プロセス管理部53は、記憶部40のプロセス管理テーブル41を参照して、当該検索要求で指定されたプロセスIDをキーとして検索し(ステップ512)、そのプロセスIDに対応付けられているプロセス対応ネットワークIDを検索結果として動作判定部54へ通知する(ステップ513)。この際、ネットワークIDが未登録の場合には、その旨が通知される。
この後、動作判定部54は、プロセス管理部53からの検索結果を判定する(ステップ514)。ここで、検索結果がネットワークIDの未登録を示す場合、すなわちプロセス51Aによる最初のファイル更新である場合、動作判定部54は、プロセス51AのプロセスIDとファイル対応ネットワークIDとの組に関する登録指示をプロセス管理部53へ通知する(ステップ520)。
これに応じて、プロセス管理部53は、プロセス管理テーブル41の当該プロセスIDに対応付けてファイル対応ネットワークIDを記録することにより、プロセスIDと通信対応ネットワークIDとの組を登録する(ステップ521)。これにより、プロセス51Aでのデータ通信で用いる通信網が更新対象ファイルに対応する通信網に限定され、プロセス51Aが更新対象ファイルで汚染されたことになる。
また、検索結果で通知されたプロセス対応ネットワークIDとファイル対応ネットワークIDが一致する場合、またはプロセス対応ネットワークIDとファイル対応ネットワークIDのいずれか一方が未登録の場合、動作判定部54は、ファイル管理部55に対して更新許可を示す動作判定結果を通知する(ステップ530)。
これに応じて、ファイル管理部55は、プロセス対応ネットワークIDとファイル対応ネットワークIDのいずれか一方が未登録の場合、ファイルIDとネットワークIDと対応関係をファイル管理テーブル43に登録する(ステップ531)。また、ファイル管理部55は、読込許可の通知に応じて、ファイル42の更新が許可されたことをプロセス51Aへ通知し(ステップ532)、一連のファイル更新動作を終了する。
これにより、ファイル42にネットワークIDが対応付けられていない場合、あるいはプロセス51Aによりデータ通信がまだ行われていない場合、ファイル42の更新が許可されることになる。
これにより、ファイル42にネットワークIDが対応付けられていない場合、あるいはプロセス51Aによりデータ通信がまだ行われていない場合、ファイル42の更新が許可されることになる。
一方、プロセス対応ネットワークIDとファイル対応ネットワークIDが一致せず、プロセス対応ネットワークIDおよびファイル対応ネットワークIDのいずれも未登録でない場合、ファイル管理部55は、ファイル管理部55に対して更新不可を示す動作判定結果を通知する(ステップ540)。
これに応じて、ファイル管理部55は、記憶部40のファイル42に対して更新を行わず、プロセス51Aに対してファイルの更新失敗を通知し(ステップ541)、一連のファイル更新動作を終了する。
これにより、ファイル42とプロセス51Aの両方にネットワークIDが対応付けられており、かつ両者が異なる場合、ファイル42の更新が禁止されることになる。
これに応じて、ファイル管理部55は、記憶部40のファイル42に対して更新を行わず、プロセス51Aに対してファイルの更新失敗を通知し(ステップ541)、一連のファイル更新動作を終了する。
これにより、ファイル42とプロセス51Aの両方にネットワークIDが対応付けられており、かつ両者が異なる場合、ファイル42の更新が禁止されることになる。
[第2の実施形態の効果]
このように、本実施形態は、プロセス51Aからの要求に応じて、ファイル管理部55によりファイル42を読み込む際、動作判定部54において、ファイル42に対応付けられているファイル対応ネットワークIDと、プロセス管理部53で取得したプロセス51Aのプロセス対応ネットワークIDとを比較して、当該プロセス51Aによるファイル読込可否を判定している。
このように、本実施形態は、プロセス51Aからの要求に応じて、ファイル管理部55によりファイル42を読み込む際、動作判定部54において、ファイル42に対応付けられているファイル対応ネットワークIDと、プロセス管理部53で取得したプロセス51Aのプロセス対応ネットワークIDとを比較して、当該プロセス51Aによるファイル読込可否を判定している。
また、プロセス51Aからの要求に応じてファイル42を書き込む際、ファイル管理部55において、ネットワーク管理部52Aから取得した当該プロセス51Aで用いる通信網を示す通信対応ネットワークIDを、当該ファイル42のファイルIDと対応付けてファイル管理テーブル43へ登録するようにしたものである。
また、プロセス51Aからの要求に応じてファイル管理部55によりファイル42を更新する際、動作判定部54において、ファイル42に対応付けられているファイル対応ネットワークIDと、プロセス管理部53で取得したプロセス51Aのプロセス対応ネットワークIDとを比較して、当該プロセス51Aによるファイル更新可否を判定している。
また、プロセス51Aからの要求に応じてファイル管理部55によりファイル42を更新する際、動作判定部54において、ファイル42に対応付けられているファイル対応ネットワークIDと、プロセス管理部53で取得したプロセス51Aのプロセス対応ネットワークIDとを比較して、当該プロセス51Aによるファイル更新可否を判定している。
これにより、プロセス51Aに対応付けられている通信網と、ファイル42の読込時の通信網、あるいはファイル42の書込または更新時の通信網とが異なる場合、ファイル42の読込、書込、あるいは更新を禁止することができる。
したがって、ポリシファイルでは禁止できないような、例えばアプリケーションのバグなどが原因となる、ネットワークアクセス時に生成したデータに関する他のネットワークへの転送についても、厳密に禁止することができる。
したがって、ポリシファイルでは禁止できないような、例えばアプリケーションのバグなどが原因となる、ネットワークアクセス時に生成したデータに関する他のネットワークへの転送についても、厳密に禁止することができる。
[実施形態の拡張]
以上の各実施形態では、通信処理部52に受信部52Rと送信部52Sを設けて、データ受信およびデータ送信の両方を行う場合を例として説明したが、これに限定されるものではない。
例えば、通信処理部52に少なくとも受信部52Rを設け、動作判定部54において、当該プロセスのデータ受信で用いる通信網を示す通信対応ネットワークIDと、プロセス管理部53で取得したプロセス対応ネットワークIDとを比較することにより、データ受信の可否のみを判定してもよい。
あるいは、通信処理部52に少なくとも送信部52Sを設け、動作判定部54において、当該プロセスのデータ送信で用いる通信網を示す通信対応ネットワークIDと、プロセス管理部53で取得したプロセス対応ネットワークIDとを比較することにより、データ送信の可否のみを判定してもよい。
以上の各実施形態では、通信処理部52に受信部52Rと送信部52Sを設けて、データ受信およびデータ送信の両方を行う場合を例として説明したが、これに限定されるものではない。
例えば、通信処理部52に少なくとも受信部52Rを設け、動作判定部54において、当該プロセスのデータ受信で用いる通信網を示す通信対応ネットワークIDと、プロセス管理部53で取得したプロセス対応ネットワークIDとを比較することにより、データ受信の可否のみを判定してもよい。
あるいは、通信処理部52に少なくとも送信部52Sを設け、動作判定部54において、当該プロセスのデータ送信で用いる通信網を示す通信対応ネットワークIDと、プロセス管理部53で取得したプロセス対応ネットワークIDとを比較することにより、データ送信の可否のみを判定してもよい。
また、第2の実施形態では、第1の実施形態の構成をベースとして説明したが、これに限定されるものではなく、第1の実施形態の特徴部分、すなわち動作判定部54によりデータ通信可否判定を行う構成、を持たない通信装置に対しても、前述と同様に第2の実施形態を適用可能であり、前述と同様の作用効果が得られる。
また、各実施形態では、プロセス起動後、当該プロセスが最初にデータ通信を行った通信網に固有のネットワークIDを、当該プロセスのプロセスIDと対応付けてプロセス管理テーブルへ登録する場合を例として説明したが、これに限定されるものではなく、プロセスの処理内容やアプリケーションごとに使用可能な通信網を、プロセス管理テーブルに予め登録しておいてもよい。これにより、プロセスの処理内容やアプリケーションごとに使用可能な通信網を制限することができる。
また、各実施形態では、動作判定部54やプロセス管理部53を通信処理部52やファイル管理部55とは独立した処理部で実現した場合を例として説明したが、これに限定されるものではなく、必要に応じて、通信処理部52やファイル管理部55内の1つの処理部として実現してもよい。
また、各実施形態では、プロセス管理テーブル41をプロセス管理部53で管理し、ファイル管理テーブル43をファイル管理部55で管理する場合を例として説明したが、これに限定されるものではなく、プロセス管理テーブル41およびファイル管理テーブル43を1つの管理部、例えば識別情報管理部で一括管理してもよい。
また、各実施形態では、プロセス管理テーブル41をプロセス管理部53で管理し、ファイル管理テーブル43をファイル管理部55で管理する場合を例として説明したが、これに限定されるものではなく、プロセス管理テーブル41およびファイル管理テーブル43を1つの管理部、例えば識別情報管理部で一括管理してもよい。
また、第2の実施形態では、ファイル42さらにはファイル管理テーブル43を、他の処理情報と同じ記憶部40で記憶する場合を例として説明したが、これに限定されるものではなく、記憶部40とは別個の記憶装置からなるストレージでファイル42さらにはファイル管理テーブル43を記憶する構成についても、前述と同様に第2の実施形態を適用可能であり、前述と同様の作用効果が得られる。
本発明は、携帯端末、PDA、さらにはパーソナルコンピュータなど、通信網を用いてデータ通信を行う各種通信装置における情報流出防止技術に利用できる。
Claims (9)
- 接続可能な複数の通信網のいずれかを介してデータ通信を行う通信処理部と、
この通信処理部を制御して少なくともデータ受信またはデータ送信のためのデータ通信を行うプロセスを起動して、所望のアプリケーション処理を実行するアプリケーション処理部と、
前記プロセスに固有のプロセス識別情報と当該プロセスに予め対応付けられている通信網に固有のネットワーク識別情報との組を登録するためのプロセス管理テーブルを記憶する記憶部と、
前記プロセス管理テーブルから前記プロセスのプロセス識別情報に対応するネットワーク識別情報を取得するプロセス管理部と、
前記プロセスにより新たなデータ通信を行う際、当該プロセスのデータ通信で用いる通信網を示す通信対応ネットワーク識別情報と、前記プロセス管理部で取得した当該プロセスのネットワーク識別情報からなるプロセス対応ネットワーク識別情報とを比較することにより、当該プロセスによる前記新たなデータ通信の可否を判定する動作判定部と
を備え、
前記記憶部は、任意のデータが記述されたファイルを記憶するとともに、当該ファイルに固有のファイル識別情報と当該ファイルに対応付けられた通信網に固有のネットワーク識別情報との組を登録するためのファイル管理テーブルを記憶し、
前記プロセスからの指示に基づき、前記記憶部に対して少なくとも前記ファイルの読込または書込を行うためのファイルアクセスを行うとともに、前記ファイル管理テーブルから当該プロセスでファイルアクセスするファイルのファイル識別情報に対応するネットワーク識別情報を取得するファイル管理部をさらに備え、
前記動作判定部は、前記プロセスにより前記記憶部に対して新たなファイルアクセスを行う際、当該プロセスに対応する前記プロセス対応ネットワーク識別情報と、前記ファイル管理部で取得した当該ファイルのネットワーク識別情報からなるファイル対応ネットワーク識別情報との比較結果に応じて、当該プロセスによる前記新たなファイルアクセスの可否を判定する
ことを特徴とする通信装置。 - 請求項1に記載の通信装置において、
前記動作判定部は、前記プロセス対応ネットワーク識別情報と前記ファイル対応ネットワーク識別情報とが一致しない場合にはファイルアクセス不可と判定し、
前記ファイル管理部は、前記動作判定部でのファイルアクセス不可の判定に応じて、当該プロセスによる前記新たなファイルアクセスを禁止する
ことを特徴とする通信装置。 - 請求項1に記載の通信装置において、
前記ファイル管理部は、前記プロセスが任意のファイルについて新規にファイルアクセスを行う際、当該ファイルに固有のファイル識別情報と、当該プロセスのデータ通信で用いる通信網を示すネットワーク識別情報とを組として前記ファイル管理テーブルへ登録する
ことを特徴とする通信装置。 - 接続可能な複数の通信網のいずれかを介してデータ通信を行う通信処理部と、
この通信処理部を制御して少なくともデータ受信またはデータ送信のためのデータ通信を行うプロセスを起動して、所望のアプリケーション処理を実行するアプリケーション処理部と、
任意のデータが記述されたファイルを記憶するとともに、当該ファイルに固有のファイル識別情報と当該ファイルに対応付けられた通信網に固有のネットワーク識別情報との組を登録するためのファイル管理テーブルを記憶する記憶部と、
前記プロセスからの指示に基づき、前記記憶部に対して少なくともファイルの読込または書込を行うためのファイルアクセスを行うとともに、前記ファイル管理テーブルから当該プロセスでファイルアクセスするファイルのファイル識別情報に対応するネットワーク識別情報を取得するファイル管理部と、
前記プロセスにより前記記憶部に対して新たなファイルアクセスを行う際、当該プロセスのデータ通信で用いる通信網を示すネットワーク識別情報からなるプロセス対応ネットワーク識別情報と、前記ファイル管理部で取得した当該ファイルのネットワーク識別情報からなるファイル対応ネットワーク識別情報との比較結果に応じて、当該プロセスによる前記新たなファイルアクセスの可否を判定する動作判定部と
を備えることを特徴とする通信装置。 - 演算処理部と記憶部とを有し、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信装置の通信制御方法であって、
前記演算処理部により、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信処理ステップと、
前記演算処理部により、前記通信処理ステップを制御して少なくともデータ受信またはデータ送信のためのデータ通信を行うプロセスを起動して、所望のアプリケーション処理を実行するアプリケーション処理ステップと、
前記記憶部により、前記プロセスに固有のプロセス識別情報と当該プロセスに予め対応付けられている通信網に固有のネットワーク識別情報との組を登録するためのプロセス管理テーブルを記憶する記憶ステップと、
前記演算処理部により、前記プロセス管理テーブルから前記プロセスのプロセス識別情報に対応するネットワーク識別情報を取得するプロセス管理ステップと、
前記演算処理部により、前記プロセスにより新たなデータ通信を行う際、当該プロセスのデータ通信で用いる通信網を示す通信対応ネットワーク識別情報と、前記プロセス管理部で取得した当該プロセスのネットワーク識別情報からなるプロセス対応ネットワーク識別情報とを比較することにより、当該プロセスによる前記新たなデータ通信の可否を判定する動作判定ステップと
を備え、
前記記憶部により、任意のデータが記述されたファイルを記憶するとともに、当該ファイルに固有のファイル識別情報と当該ファイルに対応付けられた通信網に固有のネットワーク識別情報との組を登録するためのファイル管理テーブルを記憶し、
前記プロセスからの指示に基づき、前記記憶部に対して少なくとも前記ファイルの読込または書込を行うためのファイルアクセスを行うとともに、前記ファイル管理テーブルから当該プロセスでファイルアクセスするファイルのファイル識別情報に対応するネットワーク識別情報を取得するファイル管理ステップをさらに備え、
前記動作判定ステップは、前記プロセスにより前記記憶部に対して新たなファイルアクセスを行う際、当該プロセスに対応する前記プロセス対応ネットワーク識別情報と、前記ファイル管理ステップで取得した当該ファイルのネットワーク識別情報からなるファイル対応ネットワーク識別情報との比較結果に応じて、当該プロセスによる前記新たなファイルアクセスの可否を判定する
ことを特徴とする通信制御方法。 - 請求項5に記載の通信制御方法において、
前記動作判定ステップは、前記プロセス対応ネットワーク識別情報と前記ファイル対応ネットワーク識別情報とが一致しない場合にはファイルアクセス不可と判定し、
前記ファイル管理ステップは、前記動作判定ステップでのファイルアクセス不可の判定に応じて、当該プロセスによる前記新たなファイルアクセスを禁止する
ことを特徴とする通信制御方法。 - 請求項5に記載の通信制御方法において、
前記ファイル管理ステップは、前記プロセスが任意のファイルについて新規にファイルアクセスを行う際、当該ファイルに固有のファイル識別情報と、当該プロセスのデータ通信で用いる通信網を示すネットワーク識別情報とを組として前記ファイル管理テーブルへ登録する
ことを特徴とする通信制御方法。 - 演算処理部と記憶部とを有し、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信装置の通信制御方法であって、
前記演算処理部により、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信処理ステップと、
前記演算処理部により、前記通信処理ステップを制御して少なくともデータ受信またはデータ送信のためのデータ通信を行うプロセスを起動して、所望のアプリケーション処理を実行するアプリケーション処理ステップと、
前記記憶部により、任意のデータが記述されたファイルを記憶するとともに、当該ファイルに固有のファイル識別情報と当該ファイルに対応付けられた通信網に固有のネットワーク識別情報との組を登録するためのファイル管理テーブルを記憶する記憶ステップと、
前記演算処理部により、前記プロセスからの指示に基づき、前記記憶部に対して少なくともファイルの読込または書込を行うためのファイルアクセスを行うとともに、前記ファイル管理テーブルから当該プロセスでファイルアクセスするファイルのファイル識別情報に対応するネットワーク識別情報を取得するファイル管理ステップと、
前記プロセスにより前記記憶部に対して新たなファイルアクセスを行う際、当該プロセスのデータ通信で用いる通信網を示すネットワーク識別情報からなるプロセス対応ネットワーク識別情報と、前記ファイル管理部で取得した当該ファイルのネットワーク識別情報からなるファイル対応ネットワーク識別情報との比較結果に応じて、当該プロセスによる前記新たなファイルアクセスの可否を判定する動作判定ステップと
を備えることを特徴とする通信制御方法。 - 演算処理部と記憶部とを有し、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信装置のコンピュータに、
前記演算処理部により、接続可能な複数の通信網のいずれかを介してデータ通信を行う通信処理ステップと、
前記演算処理部により、前記通信処理ステップを制御して少なくともデータ受信またはデータ送信のためのデータ通信を行うプロセスを起動して、所望のアプリケーション処理を実行するアプリケーション処理ステップと、
前記記憶部により、前記プロセスに固有のプロセス識別情報と当該プロセスに予め対応付けられている通信網に固有のネットワーク識別情報との組を登録するためのプロセス管理テーブルを記憶する第1の記憶ステップと、
前記演算処理部により、前記プロセス管理テーブルから前記プロセスのプロセス識別情報に対応するネットワーク識別情報を取得するプロセス管理ステップと、
前記演算処理部により、前記プロセスにより新たなデータ通信を行う際、当該プロセスのデータ通信で用いる通信網を示す通信対応ネットワーク識別情報と、前記プロセス管理部で取得した当該プロセスのネットワーク識別情報からなるプロセス対応ネットワーク識別情報とを比較することにより、当該プロセスによる前記新たなデータ通信の可否を判定する第1の動作判定ステップと、
前記記憶部により、任意のデータが記述されたファイルを記憶するとともに、当該ファイルに固有のファイル識別情報と当該ファイルに対応付けられた通信網に固有のネットワーク識別情報との組を登録するためのファイル管理テーブルを記憶する第2の記憶ステップと、
前記プロセスからの指示に基づき、前記記憶部に対して少なくとも前記ファイルの読込または書込を行うためのファイルアクセスを行うとともに、前記ファイル管理テーブルから当該プロセスでファイルアクセスするファイルのファイル識別情報に対応するネットワーク識別情報を取得するファイル管理ステップと、
前記プロセスにより前記記憶部に対して新たなファイルアクセスを行う際、当該プロセスに対応する前記プロセス対応ネットワーク識別情報と、前記ファイル管理ステップで取得した当該ファイルのネットワーク識別情報からなるファイル対応ネットワーク識別情報との比較結果に応じて、当該プロセスによる前記新たなファイルアクセスの可否を判定する第2の動作判定ステップと
を実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009519200A JP5343846B2 (ja) | 2007-06-12 | 2008-05-16 | 通信装置、通信制御方法、およびプログラム |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007155771 | 2007-06-12 | ||
| JP2007155771 | 2007-06-12 | ||
| PCT/JP2008/059052 WO2008152882A1 (ja) | 2007-06-12 | 2008-05-16 | 通信装置、通信制御方法、およびプログラム |
| JP2009519200A JP5343846B2 (ja) | 2007-06-12 | 2008-05-16 | 通信装置、通信制御方法、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2008152882A1 JPWO2008152882A1 (ja) | 2010-08-26 |
| JP5343846B2 true JP5343846B2 (ja) | 2013-11-13 |
Family
ID=40129495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009519200A Expired - Fee Related JP5343846B2 (ja) | 2007-06-12 | 2008-05-16 | 通信装置、通信制御方法、およびプログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100186068A1 (ja) |
| JP (1) | JP5343846B2 (ja) |
| TW (1) | TW200917088A (ja) |
| WO (1) | WO2008152882A1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5511332B2 (ja) * | 2009-11-30 | 2014-06-04 | キヤノン株式会社 | 通信装置及び方法、並びにプログラム |
| US20110239270A1 (en) * | 2010-03-26 | 2011-09-29 | Nokia Corporation | Method and apparatus for providing heterogeneous security management |
| US9392439B2 (en) | 2011-07-20 | 2016-07-12 | Mediatek Inc. | Methods for providing serving network information and communications apparatuses utilizing the same |
| US9992605B2 (en) * | 2011-07-20 | 2018-06-05 | Mediatek Inc. | Methods for providing serving network information and communications apparatuses utilizing the same |
| US9626304B2 (en) * | 2014-10-21 | 2017-04-18 | Sandisk Technologies Llc | Storage module, host, and method for securing data with application information |
| JP6668835B2 (ja) * | 2016-03-10 | 2020-03-18 | 富士ゼロックス株式会社 | 情報処理装置及び情報処理プログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0887440A (ja) * | 1994-09-16 | 1996-04-02 | Toshiba Corp | データ入出力管理装置及びデータ入出力管理方法 |
| JP2002527841A (ja) * | 1998-10-15 | 2002-08-27 | コンピューター アソシエイツ シンク インコーポレーテッド | 実行可能オブジェクトの好ましくない動作を防止するための方法およびシステム |
| JP2003140972A (ja) * | 2001-11-08 | 2003-05-16 | Nec Corp | プログラム実行装置及びプログラム実行方法並びにそれを用いた携帯端末及び情報提供システム |
| JP2006525562A (ja) * | 2003-01-23 | 2006-11-09 | ヴァーダシス・インコーポレーテッド | ディジタル資産の管理された配布 |
| JP2007043483A (ja) * | 2005-08-03 | 2007-02-15 | Nec Corp | 情報処理装置、通信制御方法および通信制御用プログラム |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NZ253663A (en) * | 1992-07-20 | 1996-05-28 | Nestle Sa | Coffee extraction from sachet; method and apparatus, sachet holder |
| US6868450B1 (en) * | 2000-05-17 | 2005-03-15 | Hewlett-Packard Development Company, L.P. | System and method for a process attribute based computer network filter |
| US7516198B1 (en) * | 2001-10-30 | 2009-04-07 | Cisco Technology, Inc. | Arrangement for providing content-based quality of service for a service flow based on parsing XML tags detected from a server response to a client request |
| US7406709B2 (en) * | 2002-09-09 | 2008-07-29 | Audiocodes, Inc. | Apparatus and method for allowing peer-to-peer network traffic across enterprise firewalls |
| CN1324490C (zh) * | 2003-07-01 | 2007-07-04 | 联想(新加坡)私人有限公司 | 面向应用的自动连接系统和方法 |
| JP4576965B2 (ja) * | 2004-07-14 | 2010-11-10 | 日本電気株式会社 | 通信端末装置及びそれに用いるネットワーク選択方法並びにそのプログラム |
| EP1708526A1 (en) * | 2005-03-29 | 2006-10-04 | BRITISH TELECOMMUNICATIONS public limited company | Network selection |
| DE602005004554T2 (de) * | 2005-10-14 | 2009-02-19 | Nestec S.A. | Verfahren zur Herstellung eines Getränkes aus einer Kapsel |
| JP2007282142A (ja) * | 2006-04-12 | 2007-10-25 | Nec Corp | 通信装置及びそれに用いるネットワーク選択方法並びにそのプログラム |
| US8099774B2 (en) * | 2006-10-30 | 2012-01-17 | Microsoft Corporation | Dynamic updating of firewall parameters |
-
2008
- 2008-05-16 US US12/602,543 patent/US20100186068A1/en not_active Abandoned
- 2008-05-16 WO PCT/JP2008/059052 patent/WO2008152882A1/ja active Application Filing
- 2008-05-16 JP JP2009519200A patent/JP5343846B2/ja not_active Expired - Fee Related
- 2008-06-05 TW TW097120923A patent/TW200917088A/zh unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0887440A (ja) * | 1994-09-16 | 1996-04-02 | Toshiba Corp | データ入出力管理装置及びデータ入出力管理方法 |
| JP2002527841A (ja) * | 1998-10-15 | 2002-08-27 | コンピューター アソシエイツ シンク インコーポレーテッド | 実行可能オブジェクトの好ましくない動作を防止するための方法およびシステム |
| JP2003140972A (ja) * | 2001-11-08 | 2003-05-16 | Nec Corp | プログラム実行装置及びプログラム実行方法並びにそれを用いた携帯端末及び情報提供システム |
| JP2006525562A (ja) * | 2003-01-23 | 2006-11-09 | ヴァーダシス・インコーポレーテッド | ディジタル資産の管理された配布 |
| JP2007043483A (ja) * | 2005-08-03 | 2007-02-15 | Nec Corp | 情報処理装置、通信制御方法および通信制御用プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| TW200917088A (en) | 2009-04-16 |
| WO2008152882A1 (ja) | 2008-12-18 |
| JPWO2008152882A1 (ja) | 2010-08-26 |
| US20100186068A1 (en) | 2010-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9230085B1 (en) | Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services | |
| US10291631B2 (en) | System for testing computer application | |
| EP2767058B1 (en) | Method and apparatus for managing access for trusted and untrusted applications | |
| US10440111B2 (en) | Application execution program, application execution method, and information processing terminal device that executes application | |
| JP5343846B2 (ja) | 通信装置、通信制御方法、およびプログラム | |
| JP6582554B2 (ja) | シンクライアントシステム、サーバ装置、ポリシー管理装置、制御方法及び制御プログラム | |
| US9807112B2 (en) | Methods, apparatuses, and computer program products for facilitating randomized port allocation | |
| JP2007188184A (ja) | アクセス制御プログラム、アクセス制御方法およびアクセス制御装置 | |
| JP2007043483A (ja) | 情報処理装置、通信制御方法および通信制御用プログラム | |
| JPWO2015049825A1 (ja) | 端末認証登録システム、端末認証登録方法およびプログラム | |
| JP2006318292A (ja) | 通信端末及びセキュアデバイス並びに集積回路 | |
| EP2533150B1 (en) | Methods and devices for controlling access to computing resources | |
| JP2009217556A (ja) | 情報処理システム、情報端末、および、プログラム | |
| JP2014106690A (ja) | 端末装置、サーバ、コンテンツ配信システム、コンテンツ配信方法、およびプログラム | |
| JP2006202259A (ja) | 情報処理システム及び方法並びに情報処理用プログラム | |
| TWI239219B (en) | A method for managing data sharing among application programs | |
| US20140156952A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| JP5949552B2 (ja) | アクセス制御情報生成システム | |
| JP5388226B2 (ja) | 携帯端末、情報管理システム、情報管理方法、及びプログラム | |
| JP5682181B2 (ja) | 通信制御機能を有する通信装置、方法、プログラム | |
| JP2013084115A (ja) | 判定プログラム及び判定装置 | |
| JP5382778B2 (ja) | ネットワーク端末装置及びプログラム | |
| JP6375235B2 (ja) | 情報処理装置、プログラムに対するデータの引渡し方法及びプログラム | |
| US9497194B2 (en) | Protection of resources downloaded to portable devices from enterprise systems | |
| JP2013186487A (ja) | 情報処理装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110408 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130521 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130607 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130716 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130729 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5343846 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |