JPWO2008075580A1 - 通信端末、端末、通信システム、通信方法及びプログラム - Google Patents

通信端末、端末、通信システム、通信方法及びプログラム Download PDF

Info

Publication number
JPWO2008075580A1
JPWO2008075580A1 JP2008550107A JP2008550107A JPWO2008075580A1 JP WO2008075580 A1 JPWO2008075580 A1 JP WO2008075580A1 JP 2008550107 A JP2008550107 A JP 2008550107A JP 2008550107 A JP2008550107 A JP 2008550107A JP WO2008075580 A1 JPWO2008075580 A1 JP WO2008075580A1
Authority
JP
Japan
Prior art keywords
communication
information
terminal
application
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008550107A
Other languages
English (en)
Other versions
JP4968264B2 (ja
Inventor
朝倉 義晴
義晴 朝倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008550107A priority Critical patent/JP4968264B2/ja
Publication of JPWO2008075580A1 publication Critical patent/JPWO2008075580A1/ja
Application granted granted Critical
Publication of JP4968264B2 publication Critical patent/JP4968264B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Abstract

課題 TCP/IPのストリーム通信において通信元アプリケーションを特定する。解決手段 通信先端末20と通信を行う通信元端末10が、通信先端末20に対する通信に関する通信元端末10の情報(通信元IPアドレス及び通信元ポート番号)を、汎用通信路60を介して通信先端末20に送信し、前記通信に関する通信元端末10の情報と通信元端末10上で通信を実行している通信元のアプリケーションの情報とを、汎用通信路60以外の安全性の高い専用通信路30を介して通信先端末20に送信する。

Description

本発明は、TCP/IPのストリーム通信を行う通信端末、端末、通信システム、通信方法及びプログラムに関する。
従来技術として、IETF(Internet Engineering Task Force)におけるRFC(Request For Comments)1413(非特許文献1)に開示されているように、IDENT(Identification Protocol)プロトコルがある。IDENTプロトコルでは、例えば、電子メールの送信において、最初にクライアントがサーバに接続し、次にサーバがクライアントに接続し直してクライアントが誰であるかを確認できるなど、接続元アプリケーションを起動したユーザの情報を接続先アプリケーションが取得できる。
従来の電子メールシステムの例が特開2006−287976号公報(特許文献1)に開示されている。特許文献1は、管理すべき宛先への電子メールを受信蓄積し、要求に応じて電子メールをメールクライアントへ送信するメールサーバーにおいて、受信した電子メールに電子署名がなされているか否かを検知する署名検知部等を備えることによって、メールクライアントが電子メールの暗号化機能を持たない場合でも、電子メールを暗号化して所望の宛先に送信することを可能としつつ、メールサーバーからの公開鍵の取得結果又は公開鍵の有効性の検証結果の通知に基づいて電子メールの暗号化及びその送信について臨機応変な対応を可能とするものである。
特開2006−287976号公報 RFC1413
しかし、従来の技術は、以下に示す問題点を有する。
第1の問題点は、接続元アプリケーションの情報を取得できないことである。
その理由は、同一のユーザが起動したすべてのアプリケーションによる通信から取得できる情報はすべて同一であることから、IDENTプロトコルにおいて、接続元アプリケーションを起動したユーザの情報しか取得できないからである。
第2の問題点は、IDENTプロトコルでは接続元アプリケーションを起動したユーザの情報の正当性が保証できないため、ユーザ情報が通信路の途中で改ざんされても検知できないことである。
その理由は、IDENTプロトコルがアプリケーション間通信の通信路をそのまま用いるためであり、通信路の安全性が確保されていないからである。
第3の問題点は、アプリケーション間通信でIDENTプロトコルに対応する必要があるため、IDENTプロトコルに対応していない既存のアプリケーションを動作させるときに、通信プロトコルを修正してIDENTプロトコルに対応させる必要があることである。
その理由は、IDENTプロトコルを考慮した通信でなければIDENTプロトコルを使用できないからである。
(発明の目的)
本発明の目的は、TCP/IPのストリーム通信における通信元アプリケーションを特定する通信端末、端末、通信システム、通信方法及びプログラムを提供することにある。
本発明による第1の通信端末は、ネットワークを介して他の通信端末と通信を行う通信端末であって、通信先の他の通信端末に対する通信に関する情報を、他の通信端末に送信する通信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して他の通信端末に送信する情報送信手段とを含む。
本発明による第2の通信端末は、ネットワークを介して他の通信端末と通信を行う通信端末であって、通信先の他の通信端末へ通信に関する情報を送信し又は通信元の他の通信端末からの通信に関する情報を受信する通信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して通信先の他の通信端末に送信する情報送信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を専用の通信路を介して通信元の他の通信端末から受信する情報受信手段と、情報受信手段によって受信した通信に関する情報とアプリケーションの情報を対応付けて記録する記録手段と、通信手段で受信した通信に関する情報に対応するアプリケーションの情報を記録手段から取得する問い合わせ手段とを含む。
本発明による通信システムは、ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムであって、通信端末は、通信先の他の通信端末へ通信に関する情報を送信し又は通信元の他の通信端末からの通信に関する情報を受信する通信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して通信先の他の通信端末に送信する情報送信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を専用の通信路を介して通信元の他の通信端末から受信する情報受信手段と、情報受信手段によって受信した通信に関する情報とアプリケーションの情報を対応付けて記録する記録手段と、通信手段で受信した通信に関する情報に対応するアプリケーションの情報を記録手段から取得する問い合わせ手段とを含み、他の通信端末と専用の通信路で接続されている。
本発明による第1の通信方法は、ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムにおける通信方法であって、通信端末において、通信先の他の通信端末に対する通信に関する情報を、他の通信端末に送信する通信ステップと、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信ステップにおいて用いる通信路以外の安全性の高い専用の通信路を介して他の通信端末に送信する情報送信ステップとを含む。
本発明による第2の通信方法は、ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムにおける通信方法であって、通信端末において、送信元の他の通信端末からの通信に関する情報を受信する通信ステップと、通信に関する情報と通信を実行している通信元のアプリケーションの情報を専用の通信路を介して受信する情報受信ステップと、情報受信ステップにおいて受信した通信に関する情報とアプリケーションの情報を対応付けて記録手段に記録する記録ステップと、通信処理において受信した通信に関する情報に対応するアプリケーションの情報を記録手段から取得する問い合わせステップとを含む。
本発明による第1のプログラムは、ネットワークを介して他の通信端末と通信を行う通信端末で実現されるプログラムであって、通信端末に、通信先の他の通信端末に対する通信に関する情報を、他の通信端末に送信する通信処理と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信処理において用いる通信路以外の安全性の高い専用の通信路を介して他の通信端末に送信する情報送信処理とを実行させる。
本発明による第2のプログラムは、ネットワークを介して他の通信端末と通信を行う通信端末で実現されるプログラムであって、通信端末に、送信元の他の通信端末からの通信に関する情報を受信する通信処理と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を専用の通信路を介して受信する情報受信処理と、情報受信処理において受信した通信に関する情報とアプリケーションの情報を対応付けて記録手段に記録する記録処理と、通信処理において受信した通信に関する情報に対応するアプリケーションの情報を記録手段から取得する問い合わせ処理とを実行させる。
第1の効果は、通信元アプリケーションの正当な情報を取得できる点である。
第2の効果は、通信元のアプリケーションの情報が改ざんされない点である。
第3の効果は、通信元のアプリケーションと通信先のアプリケーション間で実行されるTCP/IPのストリーム通信、および、アプリケーション間のプロトコルに修正がいらない点である。
本発明の第1の実施の形態におけるアプリケーション特定システムの構成を示すブロック図である。 第1の実施の形態における識別子対応情報を説明する図である。 第1の実施の形態におけるアプリケーション特定システムの通信元端末のハードウェア構成を示すブロック図である。 第1の実施の形態の通信元アプリケーション40、通信検知装置110、情報取得装置120及び情報送信装置130の動作を示す流れ図である。 第1の実施の形態の情報受信装置210の動作を示す流れ図である。 第1の実施の形態の通信先アプリケーション50及び問い合わせ装置230の動作を示す流れ図である。 本発明の第2の実施の形態におけるアプリケーション特定システムの構成を示すブロック図である。 本発明の第3の実施の形態におけるアプリケーション特定システムの構成を示すブロック図である。
(第1の実施の形態)
本発明による第1の実施の形態のアプリケーション特定システムについて図面を参照して詳細に説明する。
(第1の実施の形態の構成)
図1は、本実施の形態のアプリケーション特定システムの構成を示すブロック図である。
図1を参照すると、本実施の形態のアプリケーション特定システムは、通信元アプリケーション40を有する通信元端末10と、通信先アプリケーション50を有する通信先端末20と、専用通信路30と、一般的な通信路である汎用通信路60とを備えている。
通信元アプリケーション40は、通信元端末10上で動作するアプリケーションである。通信元アプリケーション40には、通信元アプリケーション40を識別する識別子として識別子300(図4参照)が割り当てられている。
通信先アプリケーション50は、通信先端末20上で動作するアプリケーションである。
通信元端末10は、通信装置100と、通信検知装置110と、情報取得装置120と、情報送信装置130とを含む端末である。また、通信端末10には通信元IPアドレスとしてIPアドレス310(図4参照)が割り当てられている。
通信装置100は、汎用通信路60を用いてTCP/IPのストリーム通信を実行する機能と、TCP/IPのストリーム通信のconnect 実行時に、通信元ポート番号としてポート番号320(図示せず)を割り当てる機能とを有する。
通信検知装置110は、通信装置100を監視し、汎用通信路60を用いたTCP/IPのストリーム通信のconnect の実行を検知する機能を有する。なお、本発明において、TCP/IPのストリーム通信のconnect の実行を検知するのは、通信元端末10の通信検知装置110であり、ネットワーク上の機能や、後述する通信先端末20の機能を用いることを要さない。
情報取得装置120は、通信検知装置110が検知したTCP/IPのストリーム通信のconnectを実行中の通信元アプリケーション40の識別子300、通信元端末10のIPアドレスであるIPアドレス310及び通信元ポート番号のポート番号320を取得する機能を有する。すなわち、本発明において、通信元アプリケーション40の識別子300は、まず通信元端末10の情報取得装置120によって取得される。
情報送信装置130は、専用通信路30に接続されており、情報取得装置120が取得した識別子300、IPアドレス310及びポート番号320を専用通信路30を用いて送信する機能を有する。
通信先端末20は、通信装置200と、情報受信装置210と、記憶装置220と、問い合わせ装置230とを含む端末である。
通信装置200は、汎用通信路60を用いてTCP/IPのストリーム通信を行う機能を有する。
情報受信装置210は、専用通信路30に接続されており、情報送信装置130が専用通信路30を用いて送信した識別子300、IPアドレス310及びポート番号320を受信する機能を有する。
記憶装置220は、情報受信装置210が受信した識別子300、IPアドレス310及びポート番号320を、IPアドレス310とポート番号320の組みと識別子300を関連付けて識別子対応情報2200として記録する機能を有する。
図2は、本実施の形態による記憶装置220に記録された識別子対応情報2200の構成を示す図である。
図2を参照すると、本実施の形態による識別子対応情報2200は、情報受信装置210が受信したIPアドレス310とポート番号320の組みと識別子300とが関連付けて記録されている。
通信先アプリケーション50は、通信装置200を用いてTCP/IPのストリーム通信を accept すると、通信元IPアドレス(IPアドレス310)と通信元ポート番号(ポート番号320)をTCP/IPのストリーム通信から取得し、問い合わせ装置230に渡す機能を有する。
問い合わせ装置230は、TCP/IPのストリーム通信通信先アプリケーション50から渡された通信元IPアドレス(IPアドレス310)と通信元ポート番号(ポート番号320)の組みに関連付けられている識別子300を記憶装置220から取得し、通信先アプリケーション50に渡す機能を有する。
専用通信路30は、通信元端末10と通信先端末20間を接続し、情報を暗号化する等によって通信する機能を有する安全性の高い通信路である。
従って、本実施の形態による通信先端末20は、汎用通信路60を用いて実行されるTCP/IPのストリーム通信におけるconnect 実行時に専用通信路30を用いて送信される識別子300、IPアドレス310及びポート番号320を記憶装置220に蓄積する。
上記説明したように、本発明は、通信元端末10が、パケット以外にもセッション情報にも基づいて通信における通信元端末10の情報(通信元アプリケーション40の識別子300、通信元端末10のIPアドレスであるIPアドレス310及び通信元ポート番号のポート番号320)を取得する。また、通信元端末10が、取得した通信における通信元端末10の情報を専用通信路30を用いて通信先端末20に送信するため、通信先端末20が通信元アプリケーション40を正確に特定できる(正規のアプリケーションか不正なアプリケーションかを正確に特定できる)。
ここで、通信元端末10のハードウェア構成の説明をする。
図3は、本実施の形態によるアプリケーション特定システムの通信元端末10のハードウェア構成例を示すブロック図である。
図3を参照すると、本発明による通信元端末10は、一般的なコンピュータ装置と同様のハードウェア構成によって実現することができ、CPU(Central Processing Unit)601、RAM(Random Access Memory)等のメインメモリであり、データの作業領域やデータの一時退避領域に用いられる主記憶部602、インターネットを介してデータの送受信を行う通信制御部603、液晶ディスプレイ、プリンタやスピーカ等の提示部604、キーボードやマウス等の入力部605、周辺機器と接続してデータの送受信を行うインタフェース部606、ROM(Read Only Memory)、磁気ディスク、半導体メモリ等の不揮発性メモリから構成されるハードディスク装置である補助記憶部607、本情報処理装置の上記各構成要素を相互に接続するシステムバス608等を備えている。
本発明による通信元端末10は、その動作を、通信元端末10内部にそのような機能を実現するプログラムを組み込んだ、LSI(Large Scale Integration)等のハードウェア部品からなる回路部品を実装してハードウェア的に実現することは勿論として、上記した各構成要素の各機能を提供するプログラムを、コンピュータ処理装置上のCPU601で実行することにより、ソフトウェア的に実現することができる。
すなわち、CPU601は、補助記憶部607に格納されているプログラムを、主記憶部602にロードして実行し、通信元端末10の動作を制御することにより、上述した各機能をソフトウェア的に実現する。
なお、通信先端末20が上述のような構成を有し、上述した各機能をハードウェア的又はソフトウェア的に実現してもよい。
(第1の実施の形態の動作)
次に、図1〜図6を参照して本実施の形態のアプリケーション特定システムの動作について詳細に説明する。図4〜図6は、アプリケーション特定システムの各構成要素の動作を示す流れ図である
通信元端末10にはあらかじめIPアドレスとしてIPアドレス310が割り当てられているものとする。また、通信元アプリケーション40には、通信元アプリケーション40を識別する識別子として識別子300が割り当てられているものとする。
図4は、本実施の形態の通信元アプリケーション40、通信検知装置110、情報取得装置120及び情報送信装置130の動作を示す流れ図である。
今、通信元アプリケーション40が通信先アプリケーション50に対してTCP/IPのストリーム通信を行うとする。
通信元アプリケーション40は、通信装置100を用いて通信先アプリケーション50に対して汎用通信路60を用いてTCP/IPのストリーム通信を実行する(図4のステップS101)。このTCP/IPのストリーム通信のconnect実行時に、通信元ポート番号としてポート番号320が割り当てられるとする。
通信検知装置110は、通信元アプリケーション40によるTCP/IPのストリーム通信のconnect を検知し、情報取得装置120に通知する(図4のステップS102)。
情報取得装置120は、IPアドレス310、ポート番号320及び識別子300を取得し、情報送信装置130に渡す(図4のステップS103)。
情報送信装置130は、情報取得装置120から渡されたIPアドレス310、ポート番号320及び識別子300を専用通信路30を用いて情報受信装置210に送信する(図4のステップS104)。
以上の通信元端末10動作によって、通信先端末20は、通信元端末10におけるconnect時に専用通信路30を用いて送信されたIPアドレス310、ポート番号320及び識別子300を識別子対応情報2200として記憶装置220に蓄積する。
図5は、本実施の形態の情報受信装置210の動作を示す流れ図である。
情報受信装置210は、専用通信路30からの情報の送信を待って、当該送信の有無を判別する(図5のステップS201)。
送信があった場合、情報受信装置210は、IPアドレス310、ポート番号320及び識別子300を受信し(図5のステップS202)、記憶装置220は、情報受信装置210が受信したIPアドレス310とポート番号320の組みと識別子300を関連付けて識別子対応情報2200として記憶装置220に記録する(図5のステップS203)。
図6は、本実施の形態の通信先アプリケーション50及び問い合わせ装置230の動作を示す流れ図である。
通信先アプリケーション50は、通信元アプリケーション40からのTCP/IPのストリーム通信を通信装置200を用いて待ち、当該通信の有無を判別するつ(図6のステップS301)。
通信装置200がTCP/IPのストリーム通信を accept すると、通信先アプリケーション50は、TCP/IPのストリーム通信から、通信元IPアドレスとしてIPアドレス310を取得し、通信元ポート番号としてポート番号320を取得する(図6のステップS302)。
通信先アプリケーション50は、問い合わせ装置230にIPアドレス310及びポート番号320を渡す(図6のステップS303)。
問い合わせ装置230は、記憶装置220に記録された識別子対応情報2200に基づいて、渡されたIPアドレス310とポート番号320の組みに関連付けられている識別子300を記憶装置220から取得し(図6のステップS304)、取得した識別し300を通信先アプリケーション50に渡す(図6のステップS305)。
(第1の実施の形態の効果)
次に、本実施の形態のアプリケーション特定システムの効果について説明する。
第1に、本実施の形態よれば、通信内容を通信元アプリケーション40の素性に基づいて処理することができる。例えば、データベースに対する問い合わせ要求を、問い合わせ元アプリケーションの素性に基づいて許可又は拒絶することができる。
その理由は、通信先アプリケーション50が、専用通信路30を介し、通信元アプリケーション40を識別する識別子300を取得するため、通信元アプリケーション40を高い信頼度で特定できるからである。
第2に、本実施の形態よれば、通信元アプリケーション40の識別子300の改ざんを考慮する必要がない。
その理由は、通信元端末10が、通信元アプリケーション40の識別子300を通信元端末10内で取得し、取得した通信元アプリケーション40の識別子300を専用通信路30を用いて通信先端末20に送信するからである。
第3に、本実施の形態よれば、通信元アプリケーション40と通信先アプリケーション50とにおけるアプリケーション間の通信プロトコルを修正する必要がない。
その理由は、通信元アプリケーション40の識別子300の取得と送受信を通信元端末10内の装置及び通信先端末20内の装置で行い、識別子300の送受信には上記アプリケーション間の通信路とは異なる専用通信路30を用いるからである。
なお、本実施の形態のアプリケーション特定システムでは、1つの通信元端末10と1つの通信先端末20を備える場合について説明したが、通信元端末10と通信先端末20の数に制限はない。
また、本実施の形態のアプリケーション特定システムでは、通信元端末10と通信先端末20を区別して説明したが、通信元端末10を構成する装置と通信先端末20を構成する装置を1つの端末が含んでもよい。
さらに、本実施の形態のアプリケーション特定システムでは、1つの通信元アプリケーション40と1つの通信先アプリケーション50を備える場合について説明したが、通信元アプリケーション40と通信先アプリケーション50の数に制限はない。
(第2の実施の形態)
次に、本発明による第2の実施の形態のアプリケーション特定システムについて図面を参照して詳細に説明する。本実施の形態は本発明の第1の実施の形態に対応するものであるため、以下、相違点を中心に説明する。
(第2の実施の形態の構成)
本実施の形態は、図7に示すように、通信装置100としてTCP/IPスタックモジュール101を、通信検知装置110としてフック関数111を、情報取得装置120として情報取得モジュール121を、情報送信装置130として情報送信モジュール131を持つ通信元端末10として通信元SELinux(Security−Enhanced Linux)11、通信装置200としてTCP/IPスタックモジュール201を、情報受信装置210として情報受信モジュール211を、記憶装置220としてHDD(ハードディスクドライブ)221を、問い合わせ装置230として問い合わせシステムコール231を持つ通信先端末20として通信先SELinux21、専用通信路30としてSSL(Secure Socket Layer)で暗号化されたTCP/IPのストリーム通信路31、通信元SELinux11上で動作する通信元アプリケーション40として通信元Linuxアプリケーション41、通信先SELinux21上で動作する通信先アプリケーション50として通信先Linuxアプリケーション51を備えている。
ここで、通信元SELinux11のIPアドレス311として、192.168.0.1が割り当てられているものとする。また、通信元Linuxアプリケーション41を識別する識別子301としてSELinux21のセキュリティコンテキスト文字列(system_u:system_r:app_t)が割り当てられているものとする。
(第2の実施の形態の動作)
まず、図4を参照し、本実施の形態の通信元Linuxアプリケーション41、フック関数111、情報取得モジュール121及び情報送信モジュール131の動作を説明する。
今、通信元Linuxアプリケーション41が、通信先Linuxアプリケーション51にTCP/IPスタックモジュール101を用いて汎用通信路60によりTCP/IPのストリーム通信を実行したとする(図4のステップS101)。
このとき、TCP/IPスタックモジュール101は、TCP/IPのストリーム通信のconnectの実行に対して通信元ポート番号(ポート番号321)として3000番を割り当てたとする。
TCP/IPのストリーム通信のconnect が実行されると、フック関数111が呼び出される。フック関数111は、情報取得モジュール121を呼び出す(図4のステップS102)。
情報取得モジュール121は、Linux内部のタスク情報から通信元Linuxアプリケーション41を識別する識別子301としてsystem_u:system_r:app_tを、TCP/IPのストリーム通信における情報から通信元IPアドレス(IPアドレス311)として192.168.0.1と通信元ポート番号(ポート番号321)として3000番を取得し、情報送信モジュール131に渡す(図4のステップS103)。
情報送信モジュール131は、識別子301(system_u:system_r:app_t)、IPアドレス311(192.168.0.1)及びポート番号321(3000番)を、通信元Linuxアプリケーション41と通信先Linuxアプリケーション51間のTCP/IPのストリーム通信路とは異なる SSLで暗号化されたTCP/IPのストリーム通信路31を用いて情報受信モジュール211に送信する(図4のステップS104)。
次いで、図5を参照し、主に本実施の形態の情報受信モジュール211の動作を説明する。
情報受信モジュール211は、SSLで暗号化されたTCP/IPのストリーム通信路31からの情報の送信を待つ(図5のステップS201)。
情報送信モジュール131は、上述したように、識別子301(system_u:system_r:app_t)、IPアドレス311(192.168.0.1)及びポート番号321(3000番)を、通信元Linuxアプリケーション41と通信先Linuxアプリケーション51間のTCP/IPのストリーム通信路とは異なる SSLで暗号化されたTCP/IPのストリーム通信路31を用いて情報受信モジュール211に送信する。
情報受信モジュール211は、SSLで暗号化されたTCP/IPのストリーム通信路31から識別子301(system_u:system_r:app_t)、IPアドレス311(192.168.0.1)及びポート番号321(3000番)を受信し、IPアドレス311とポート番号321の組みと識別子301を関連付けて識別子対応情報2201としてHDD221に記録する(図5のステップS202、S203)。
次いで、図6を参照し、本実施の形態の通信先Linuxアプリケーション51及び問い合わせシステムコール231の動作を説明する。
通信先Linuxアプリケーション51は、通信元Linuxアプリケーション41が実行した汎用通信路60を用いたTCP/IPのストリーム通信をTCP/IPスタック モジュール201を通して accept すると、TCP/IPのストリーム通信から通信元IPアドレス(IPアドレス311)(192.168.0.1)及び通信元ポート番号(ポート番号321)(3000番)を取得する(図6のステップS301、S302)。
次いで、通信先Linuxアプリケーション51は、引数にIPアドレス311(192.168.0.1)とポート番号321(3000番)を渡して問い合わせシステムコール231を呼び出す(図6のステップS303)。
問い合わせシステムコール231は、HDD221に記録された識別子対応情報2201に基づいて、引数で渡されたIPアドレス311とポート番号321に関連付けられている識別子301(system_u:system_r:app_t)をHDD221から取得して通信先Linuxアプリケーション51に渡す(図6のステップS304、S305)。
(第2の実施の形態の効果)
本実施の形態によれば、第1の実施の形態と同様の理由により、通信元Linuxアプリケーション41の素性に基づいて処理することができ、また、通信元Linuxアプリケーション41の識別子301の改ざんを考慮する必要がなく、さらに、通信元Linuxアプリケーション41と通信先Linuxアプリケーション51とにおけるアプリケーション間の通信プロトコルを修正する必要がない。
(第3の実施の形態)
次に、本発明による第3の実施の形態のアプリケーション特定システムについて図面を参照して詳細に説明する。本実施の形態は、本発明の第1の実施の形態における通信元端末10及び通信先端末20の全ての構成要素を単一の端末800内に備えるものであるため、以下、相違点を中心に説明する。
(第3の実施の形態の構成)
図8は、本実施の形態のアプリケーション特定システムの構成を示すブロック図である。
本実施の形態は、図8に示すように、通信装置100としてTCP/IPスタックモジュール102を、通信検知装置110としてフック関数112を、情報取得装置120として情報取得モジュール122を、情報送信装置130として情報送信モジュール132を持つ通信元端末10としてSELinux化されたUML(User Mode Linux)12、通信装置200としてTCP/IPスタックモジュール202を、情報受信装置210として情報受信モジュール212を、記憶装置220としてHDD222を、問い合わせ装置230として問い合わせシステムコール232を持つ通信先端末20としてSELinux22、専用通信路30としてSELinuxが提供する登録システムコール32、UML12上で動作する通信元アプリケーション40として通信元Linuxアプリケーション42、 SELinux22上で動作する通信先アプリケーション50として通信先Linuxアプリケーション52を備えている。なお、UML12はSELinux22上で動作する。
ここで、UML12のIPアドレス312として、192.168.0.1が割り当てられているものとする。また、通信元Linuxアプリケーション42を識別する識別子302としてSELinux22のセキュリティコンテキスト文字列(system_u:system_r:app_t)が割り当てられているものとする。
(第3の実施の形態の動作)
まず、図4を参照し、本実施の形態の通信元Linuxアプリケーション42、フック関数112、情報取得モジュール122、情報送信モジュール132及び情報受信モジュール212の動作を説明する。
今、通信元Linuxアプリケーション42が通信先Linuxアプリケーション52にTCP/IPスタックモジュール101を用いてTCP/IPのストリーム通信を実行したとする(図4のステップS101)。
このとき、TCP/IPスタックモジュール102は、TCP/IPのストリーム通信のconnectの実行に対して通信元ポート番号(ポート番号322)として3000番を割り当てたとする。
TCP/IPのストリーム通信のconnect が実行されると、フック関数112が呼び出される。フック関数112は、情報取得モジュール122を呼び出す(図4のステップS102)。
情報取得モジュール122は、Linux内部のタスク情報から通信元Linuxアプリケーション42の識別子302としてsystem_u:system_r:app_tを、TCP/IPのストリーム通信における情報から通信元IPアドレス(IPアドレス312)として192.168.0.1と通信元ポート番号(ポート番号322)として3000番を取得し、情報送信モジュール132に渡す(図4のステップS103)。
情報送信モジュール132は、識別子302(system_u:system_r:app_t)、IPアドレス312(192.168.0.1)及びポート番号322(3000番)を引数として、登録システムコール32を呼び出す。
情報受信モジュール212は、登録システムコール32の引数から識別子302(system_u:system_r:app_t)、IPアドレス312(192.168.0.1)及びポート番号322(3000番)を取得し(図4のステップS104)、IPアドレス312とポート番号322の組みと識別子302を関連付けてHDD222に記録する。
次いで、図5を参照し、本実施の形態の情報受信モジュール212の動作を説明する。
情報受信モジュール212は、SELinuxが提供する登録システムコール32からの情報の送信を待つ(図5のステップS201)。
情報受信モジュール212は、上述したように、登録システムコール32の引数から識別子302(system_u:system_r:app_t)、IPアドレス312(192.168.0.1)及びポート番号322(3000番)を取得し、IPアドレス312とポート番号322の組みと識別子302を関連付けて識別子対応情報2202としてHDD222に記録する(図5のステップS202、S203)。
次いで、図6を参照し、本実施の形態の通信先Linuxアプリケーション52及び問い合わせシステムコール232の動作を説明する。
通信先Linuxアプリケーション52は、TCP/IPスタック モジュール202を通して通信元Linuxアプリケーション42が実行したTCP/IPのストリーム通信を accept すると、TCP/IPのストリーム通信から通信元IPアドレス(IPアドレス312)(192.168.0.1)及び通信元ポート番号(ポート番号322)(3000番)を取得する(図6のステップS301、S302)。
次いで、通信先Linuxアプリケーション52は、引数にIPアドレス312(192.168.0.1)及びポート番号322(3000番)を渡して問い合わせシステムコール232を呼び出す(図6のステップS303)。
問い合わせシステムコール232は、HDD222に記録された識別子対応情報2202に基づいて、引数で渡されたIPアドレス312とポート番号322に関連付けられている識別子302(system_u:system_r:app_t)をHDD222から取得し、通信先Linuxアプリケーション52に渡す(図6のステップS304、S305)。
(第3の実施の形態の効果)
本実施の形態によれば、第1の実施の形態と同様の理由により、通信元Linuxアプリケーション42の素性に基づいて処理することができ、また、通信元Linuxアプリケーション42の識別子302の改ざんを考慮する必要がなく、さらに、通信元Linuxアプリケーション42と通信先Linuxアプリケーション52とにおけるアプリケーション間の通信プロトコルを修正する必要がない。
以上説明したように、本発明の実施の形態によれば、汎用通信路60を用いてTCP/IPのストリーム通信を行う通信装置(図1の100)と、TCP/IPのストリーム通信のconnectの実行を検知する通信検知装置(図1の110)と、通信とconnetを実行中のアプリケーションの情報を取得する情報取得装置(図1の120)と、取得した通信とアプリケーションの情報を専用通信路(図1の30)を用いて送信する情報送信装置(図1の130)とを備えた通信元端末(図1の10)と、汎用通信路60を用いてTCP/IPのストリーム通信を行う通信装置(図1の200)と、通信とアプリケーションの情報を専用通信路(図1の30)を用いて取得する情報受信装置(図1の210)と、取得した通信とアプリケーションの情報を格納する記憶装置(図1の220)と、記憶装置からアプリケーションの情報を取得する問い合わせ装置(図1の230)とを備えた通信先端末(図1の20)と、通信元端末(図1の10)と通信先端末(図1の20)を接続する専用通信路(図1の30)と、通信元端末(図1の10)上で動作する通信元アプリケーション(図1の40)と、通信先端末(図1の20)上で動作する通信先アプリケーション(図1の50)とを有する。
このような構成を採用し、通信検知装置が、通信元アプリケーションによる通信装置を用いた通信先アプリケーションとのTCP/IPのストリーム通信のconnectの実行を検知した場合、情報取得装置が通信元アプリケーションの識別子と通信元IPアドレスと通信元ポート番号を取得し、取得した識別子とIPアドレスとポート番号を情報送信装置に渡し、情報送信装置は渡された識別子とIPアドレスとポート番号を安全な通信路を用いて情報受信装置に送信し、情報受信装置は受信したIPアドレスとポート番号の組みと識別子を関連付けて記憶装置に記録し、通信先アプリケーションは通信装置を用いて通信元アプリケーションからのTCP/IPのストリーム通信をacceptした場合、通信元IPアドレスと通信元ポート番号を問い合わせ装置に渡し、問い合わせ装置は渡されたIPアドレスとポート番号の組みに関連付けられている識別子を記憶装置から取得し、通信先アプリケーションに渡すことにより、本発明の目的を達成することができる。
上述した本発明の実施の形態よれば、通信元アプリケーションの正当な情報を取得できる効果が達成される。
その理由は、一方において、ネットワークを介して他の通信端末と通信を行う通信端末であって、通信先の他の通信端末に対する通信に関する情報を、他の通信端末に送信する通信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して他の通信端末に送信する情報送信手段とを備えることを特徴とする通信端末を用い、他方において、ネットワークを介して他の通信端末と通信を行う通信端末であって、通信先の他の通信端末へ通信に関する情報を送信し又は通信元の他の通信端末からの通信に関する情報を受信する通信手段と、通信に関する情報と通信を実行している通信元のアプリケーションの情報を、通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して通信先の他の通信端末に送信する情報送信手段と通信に関する情報と通信を実行している通信元のアプリケーションの情報を専用の通信路を介して通信元の他の通信端末から受信する情報受信手段と、情報受信手段によって受信した通信に関する情報とアプリケーションの情報を対応付けて記録する記録手段と、通信手段で受信した通信に関する情報に対応するアプリケーションの情報を記録手段から取得する問い合わせ手段とを備えることを特徴とする通信端末を用いるからである。
また、通信元のアプリケーションの情報が改ざんされないという効果が得られる。
その理由は、通信元の通信端末が通信元のアプリケーションの情報を取得し、取得した情報を安全性の高い専用の通信路を用いて通信先の通信端末に送信するからである。
さらに、通信元のアプリケーションと通信先のアプリケーション間で実行されるTCP/IPのストリーム通信、および、アプリケーション間のプロトコルに修正が不要であるという効果が得られる。
その理由は、通信元の通信端末が、通信元のアプリケーションの情報と通信先の他の通信端末に対する通信に関する情報とを取得し、取得した当該情報を通信手段によって通信が行われる通信路以外の安全性の高い専用の通信路によって通信先の他の通信端末に送信し、通信先のアプリケーションが問い合わせ手段を用いて通信元のアプリケーションの情報を取得するからである。
以上好ましい実施の形態をあげて本発明を説明したが、本発明は必ずしも、上記実施の形態に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。
この出願は、2006年12月20日に出願された日本出願特願2006−342284を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明によれば、別端末上で動作する通信元アプリケーションからのTCP/IPのストリーム通信を受信したときに、通信元アプリケーションの素性を取得する用途に適用できる。

Claims (41)

  1. ネットワークを介して他の通信端末と通信を行う通信端末であって、
    通信先の前記他の通信端末に対する前記通信に関する情報を、前記他の通信端末に送信する通信手段と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を、前記通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して前記他の通信端末に送信する情報送信手段と
    を備えることを特徴とする通信端末。
  2. ネットワークを介して他の通信端末と通信を行う通信端末であって、
    通信先の前記他の通信端末へ通信に関する情報を送信し又は通信元の前記他の通信端末からの通信に関する情報を受信する通信手段と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を、前記通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して通信先の前記他の通信端末に送信する情報送信手段と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を前記専用の通信路を介して通信元の前記他の通信端末から受信する情報受信手段と、
    前記情報受信手段によって受信した前記通信に関する情報と前記アプリケーションの情報を対応付けて記録する記録手段と、
    前記通信手段で受信した前記通信に関する情報に対応する前記アプリケーションの情報を前記記録手段から取得する問い合わせ手段と
    を備えることを特徴とする通信端末。
  3. 通信先の前記他の通信端末に対する前記通信手段による通信を検知する通信検知手段を備え、
    前記情報送信手段は、前記通信検知手段によって検知された前記通信に関する情報と前記アプリケーションの情報を通信先の前記他の通信端末に送信することを特徴とする請求項1又は請求項2に記載の通信端末。
  4. ネットワークを介して他のオペレーティングシステムと通信を行うオペレーティングシステムを有する端末であって、
    通信先の前記他のオペレーティングシステムへ通信に関する情報を送信し又は通信元の前記他のオペレーティングシステムからの通信に関する情報を受信する通信手段と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を、前記通信手段が通信を行う通信路以外の安全性の高い専用のシステムコールを介して通信先の前記他のオペレーティングシステムに送信する情報送信手段と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を前記専用の通信路を介して通信元の前記他のオペレーティングシステムから受信する情報受信手段と、
    前記情報受信手段によって受信した前記通信に関する情報と前記アプリケーションの情報を対応付けて記録する記録手段と、
    前記通信手段で受信した前記通信に関する情報に対応する前記アプリケーションの情報を前記記録手段から取得する問い合わせ手段と
    を備えることを特徴とする通信端末。
  5. 通信先の前記他のオペレーティングシステムに対する前記通信手段による通信を検知する通信検知手段を備え、
    前記情報送信手段は、前記通信検知手段によって検知された前記通信に関する情報と前記アプリケーションの情報を通信先の前記他のオペレーティングシステムに送信することを特徴とする請求項4に記載の通信端末。
  6. 前記通信に関する情報と前記アプリケーションの情報を取得して前記情報送信手段に渡す情報取得手段を備えることを特徴とする請求項1から請求項5のいずれか1項に記載の通信端末。
  7. ネットワークを介して他の通信端末と通信を行う通信端末であって、
    送信元の前記他の通信端末からの通信に関する情報を受信する通信手段と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を前記通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して受信する情報受信手段と、
    前記情報受信手段によって受信した前記通信に関する情報と前記アプリケーションの情報を対応付けて記録する記録手段と、
    前記通信手段で受信した前記通信に関する情報に対応する前記アプリケーションの情報を前記記録手段から取得する問い合わせ手段と
    を備えることを特徴とする通信端末。
  8. ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムであって、
    前記通信端末は、
    通信先の前記他の通信端末に対する前記通信に関する情報を、前記他の通信端末に送信する通信手段と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を、前記通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して前記他の通信端末に送信する情報送信手段と
    を備える第1の通信端末と、
    送信元の前記他の通信端末からの通信に関する情報を受信する通信手段と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を前記通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して受信する情報受信手段と、
    前記情報受信手段によって受信した前記通信に関する情報と前記アプリケーションの情報を対応付けて記録する記録手段と、
    前記通信手段で受信した前記通信に関する情報に対応する前記アプリケーションの情報を前記記録手段から取得する問い合わせ手段と
    を備える第2の通信端末と
    が前記専用の通信路で接続されていることを特徴とする通信システム。
  9. ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムであって、
    前記通信端末は、
    通信先の前記他の通信端末へ通信に関する情報を送信し又は通信元の前記他の通信端末からの通信に関する情報を受信する通信手段と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を、前記通信手段が通信を行う通信路以外の安全性の高い専用の通信路を介して通信先の前記他の通信端末に送信する情報送信手段と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を前記専用の通信路を介して通信元の前記他の通信端末から受信する情報受信手段と、
    前記情報受信手段によって受信した前記通信に関する情報と前記アプリケーションの情報を対応付けて記録する記録手段と、
    前記通信手段で受信した前記通信に関する情報に対応する前記アプリケーションの情報を前記記録手段から取得する問い合わせ手段と
    を備え
    前記他の通信端末と前記専用の通信路で接続されていることを特徴とする通信システム。
  10. 前記通信端末は、通信先の前記他の通信端末に対する前記通信手段による通信を検知する通信検知手段を備え、
    前記情報送信手段は、前記通信検知手段によって検知された前記通信に関する情報と前記アプリケーションの情報を通信先の前記他の通信端末に送信することを特徴とする請求項8又は請求項9に記載の通信システム。
  11. 前記通信端末は、前記通信に関する情報と前記アプリケーションの情報を取得して前記情報送信手段に渡す情報取得手段を備えることを特徴とする請求項8から請求項10のいずれか1項に記載の通信システム。
  12. 前記通信に関する情報は、通信元の前記通信端末のIPアドレス及びポート番号を含み、
    前記通信端末は、前記専用の通信路を用いて取得した前記通信に関する情報の前記IPアドレス及びポート番号を、前記専用の通信路を用いて取得した前記アプリケーション識別情報に関連付けて前記記録手段に記録することを特徴とする請求項8から請求項11のいずれか1項に記載の通信システム。
  13. 通信元及び通信先の各前記通信端末上で1つ以上のアプリケーションが動作することを特徴とする請求項8から請求項12のいずれか1項に記載の通信システム。
  14. 前記通信検知手段が、通信先の前記他の通信端末に対する通信元のアプリケーションによるTCP/IPのストリーム通信 のconnect を検知し、前記情報取得装置に通知することを特徴とする請求項10に記載の通信システム。
  15. アプリケーションが、前記通信端末を用いて通信元の前記他の通信端末からaccept したTCP/IPのストリーム通信から取得した前記IPアドレス及びポート番号を前記問い合わせ手段に通知し、
    前記問い合わせ手段は、通知された前記IPアドレス及び前記ポート番号に対応する通信元の前記アプリケーションの情報を前記記録手段から取得し、当該問い合わせ手段に前記IPアドレス及びポート番号を通知した前記アプリケーションに渡すことを特徴とする請求項12に記載の通信システム。
  16. ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムにおける通信方法であって、
    前記通信端末において、
    通信先の前記他の通信端末に対する前記通信に関する情報を、前記他の通信端末に送信する第1の通信ステップと、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を、前記通信ステップにおいて用いる通信路以外の安全性の高い専用の通信路を介して前記他の通信端末に送信する情報送信ステップと
    を備え、
    通信先の前記他の通信端末において、
    送信元の前記他の通信端末からの通信に関する情報を受信する第2の通信ステップと、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を前記専用の通信路を介して受信する情報受信ステップと、
    前記情報受信ステップにおいて受信した前記通信に関する情報と前記アプリケーションの情報を対応付けて記録手段に記録する記録ステップと、
    前記第2の通信ステップにおいて受信した前記通信に関する情報に対応する前記アプリケーションの情報を前記記録手段から取得する問い合わせステップと
    を備えることを特徴とする通信方法。
  17. 前記通信端末において、
    通信先の前記他の通信端末に対する前記第1の通信ステップにおける通信を検知する通信検知ステップを備え、
    前記情報送信ステップにおいて、前記通信検知ステップにおいて検知された前記通信に関する情報と前記アプリケーションの情報を通信先の前記他の通信端末に送信することを特徴とする請求項16に記載の通信方法。
  18. 前記通信検知ステップにおいて、通信を実行しているアプリケーションによるTCP/IPのストリーム通信 のconnet を検知することを特徴とする請求項17に記載の通信方法。
  19. 前記通信端末において、
    前記通信に関する情報と前記アプリケーションの情報を取得して前記情報送信ステップに渡す情報取得ステップを備えることを特徴とする請求項16から請求項18のいずれか1項に記載の通信方法。
  20. 前記情報取得ステップにおいて、
    通信先の前記他の通信端末とのTCP/IPのストリーム通信における通信元の前記通信端末のIPアドレス及びポート番号と前記アプリケーションの情報を取得することを特徴とする請求項19に記載の通信方法。
  21. 前記情報送信ステップにおいて、
    通信元の前記通信端末のIPアドレス及びポート番号と前記アプリケーションの情報を送信することを特徴とする請求項20に記載の通信方法。
  22. 前記情報受信ステップにおいて、
    通信元の前記通信端末のIPアドレス及びポート番号と前記アプリケーションの情報を受信し、
    前記記録ステップにおいて、
    通信元の前記通信端末のIPアドレス及びポート番号と前記アプリケーションの情報を対応付けて前記記録手段に記録することを特徴とする請求項21に記載の通信方法。
  23. 前記第2の通信ステップにおいて、
    TCP/IPのストリーム通信から通信元の前記通信端末のIPアドレス及びポート番号を受信し、
    前記問い合わせステップにおいて、
    通信元の前記通信端末のIPアドレス及びポート番号に対応する前記アプリケーションの情報を前記記録手段から取得することを特徴とする請求項22に記載の通信方法。
  24. ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムにおける通信方法であって、
    前記通信端末において、
    通信先の前記他の通信端末に対する前記通信に関する情報を、前記他の通信端末に送信する通信ステップと、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を、前記通信ステップにおいて用いる通信路以外の安全性の高い専用の通信路を介して前記他の通信端末に送信する情報送信ステップと
    を備えることを特徴とする通信方法。
  25. 前記通信端末において、
    通信先の前記他の通信端末に対する前記通信ステップにおける通信を検知する通信検知ステップを備え、
    前記情報送信ステップにおいて、
    前記通信検知ステップにおいて検知された前記通信に関する情報と前記アプリケーションの情報を通信先の前記他の通信端末に送信することを特徴とする請求項24に記載の通信方法。
  26. ネットワークを介して他の通信端末と通信を行う通信端末を有する通信システムにおける通信方法であって、
    前記通信端末において、
    送信元の前記他の通信端末からの通信に関する情報を受信する通信ステップと、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を前記専用の通信路を介して受信する情報受信ステップと、
    前記情報受信ステップにおいて受信した前記通信に関する情報と前記アプリケーションの情報を対応付けて記録手段に記録する記録ステップと、
    前記通信処理において受信した前記通信に関する情報に対応する前記アプリケーションの情報を前記記録手段から取得する問い合わせステップと
    を備えることを特徴とする通信方法。
  27. ネットワークを介して他のオペレーティングシステムと通信を行うオペレーティングシステムを有する端末の通信方法であって、
    前記端末において、
    通信先の前記他のオペレーティングシステムに対する前記通信に関する情報を、前記他のオペレーティングシステムに送信する第1の通信ステップと、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を、前記第1の通信ステップにおいて用いる通信路以外の安全性の高い専用のシステムコールを介して前記他のオペレーティングシステムに送信する情報送信ステップと、
    送信元の前記他のオペレーティングシステムからの通信に関する情報を受信する第2の通信ステップと、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を前記専用の通信路を介して受信する情報受信ステップと、
    前記情報受信ステップにおいて受信した前記通信に関する情報と前記アプリケーションの情報を対応付けて記録手段に記録する記録ステップと、
    前記通信ステップにおいて受信した前記通信に関する情報に対応する前記アプリケーションの情報を前記記録手段から取得する問い合わせステップと
    を備えることを特徴とする通信方法。
  28. 前記端末において、
    通信先の前記他のオペレーティングシステムに対する前記通信処理による通信を検知する通信検知ステップを備え、
    前記情報送信ステップにおいて、
    前記通信検知ステップにおいて検知された前記通信に関する情報と前記アプリケーションの情報を通信先の前記他のオペレーティングシステムに送信することを特徴とする請求項27に記載の通信方法。
  29. 前記通信端末又は前記端末において、
    前記通信に関する情報と前記アプリケーションの情報を取得して前記情報送信ステップに渡す情報取得ステップを備えることを特徴とする請求項24から請求項28のいずれか1項に記載の通信方法。
  30. ネットワークを介して他の通信端末と通信を行う通信端末で実現されるプログラムであって、
    前記通信端末に、
    通信先の前記他の通信端末に対する前記通信に関する情報を、前記他の通信端末に送信する第1の通信処理と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を、前記通信処理において用いる通信路以外の安全性の高い専用の通信路を介して前記他の通信端末に送信する情報送信処理とを実行させ、
    通信先の前記他の通信端末に、
    送信元の前記他の通信端末からの通信に関する情報を受信する第2の通信処理と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を前記専用の通信路を介して受信する情報受信処理と、
    前記情報受信ステップにおいて受信した前記通信に関する情報と前記アプリケーションの情報を対応付けて記録手段に記録する記録処理と、
    前記第2の通信ステップにおいて受信した前記通信に関する情報に対応する前記アプリケーションの情報を前記記録手段から取得する問い合わせ処理とを実行させることを特徴とするプログラム。
  31. 前記通信端末に、
    通信先の前記他の通信端末に対する前記第1の通信処理における通信を検知する通信検知処理を実行させ、
    前記情報送信処理において、前記通信検知ステップにおいて検知された前記通信に関する情報と前記アプリケーションの情報を通信先の前記他の通信端末に送信することを特徴とする請求項30に記載のプログラム。
  32. 前記通信検知処理において、通信を実行しているアプリケーションによるTCP/IPのストリーム通信 のconnet を検知することを特徴とする請求項31に記載のプログラム。
  33. 前記通信端末に、
    前記通信に関する情報と前記アプリケーションの情報を取得して前記情報送信処理に渡す情報取得処理を実行させることを特徴とする請求項30から請求項32のいずれか1項に記載のプログラム。
  34. 前記情報取得処理において、
    通信先の前記他の通信端末とのTCP/IPのストリーム通信における通信元の前記通信端末のIPアドレス及びポート番号と前記アプリケーションの情報を取得することを特徴とする請求項33に記載のプログラム。
  35. 前記第1の通信処理において、
    TCP/IPのストリーム通信から通信元の前記通信端末のIPアドレス及びポート番号を送信し、
    前記情報送信処理において、
    通信元の前記通信端末のIPアドレス及びポート番号と前記アプリケーションの情報を送信し、
    前記情報受信処理において、
    通信元の前記通信端末のIPアドレス及びポート番号と前記アプリケーションの情報を受信し、
    前記記録処理において、
    通信元の前記通信端末のIPアドレス及びポート番号と前記アプリケーションの情報を対応付けて前記記録手段に記録し、
    前記第2の通信処理において、
    TCP/IPのストリーム通信から通信元の前記通信端末のIPアドレス及びポート番号を受信し、
    前記問い合わせ処理において、
    通信元の前記通信端末のIPアドレス及びポート番号に対応する前記アプリケーションの情報を前記記録手段から取得することを特徴とする請求項34に記載のプログラム。
  36. ネットワークを介して他の通信端末と通信を行う通信端末で実現されるプログラムであって、
    前記通信端末に、
    通信先の前記他の通信端末に対する前記通信に関する情報を、前記他の通信端末に送信する通信処理と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を、前記通信処理において用いる通信路以外の安全性の高い専用の通信路を介して前記他の通信端末に送信する情報送信処理と
    を実行させることを特徴とするプログラム。
  37. 前記通信端末に、
    通信先の前記他の通信端末に対する前記通信処理における通信を検知する通信検知処理を実行させ、
    前記情報送信処理において、
    前記通信検知処理において検知された前記通信に関する情報と前記アプリケーションの情報を通信先の前記他の通信端末に送信することを特徴とする請求項36に記載のプログラム。
  38. ネットワークを介して他の通信端末と通信を行う通信端末で実現されるプログラムであって、
    前記通信端末に、
    送信元の前記他の通信端末からの通信に関する情報を受信する通信処理と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を前記専用の通信路を介して受信する情報受信処理と、
    前記情報受信処理において受信した前記通信に関する情報と前記アプリケーションの情報を対応付けて記録手段に記録する記録処理と、
    前記通信処理において受信した前記通信に関する情報に対応する前記アプリケーションの情報を前記記録手段から取得する問い合わせ処理とを実行させることを特徴とするプログラム。
  39. ネットワークを介して他のオペレーティングシステムと通信を行うオペレーティングシステムを有する端末で実現されるプログラムであって、
    前記端末に、
    通信先の前記他のオペレーティングシステムに対する前記通信に関する情報を、前記他のオペレーティングシステムに送信する第1の通信処理と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を、前記第1の通信処理において用いる通信路以外の安全性の高い専用のシステムコールを介して前記他のオペレーティングシステムに送信する情報送信処理と、
    送信元の前記他のオペレーティングシステムからの通信に関する情報を受信する第2の通信処理と、
    前記通信に関する情報と前記通信を実行している通信元のアプリケーションの情報を前記専用の通信路を介して受信する情報受信処理と、
    前記情報受信処理において受信した前記通信に関する情報と前記アプリケーションの情報を対応付けて記録手段に記録する記録処理と、
    前記通信処理において受信した前記通信に関する情報に対応する前記アプリケーションの情報を前記記録手段から取得する問い合わせ処理とを実行させることを特徴とするプログラム。
  40. 前記端末に、
    通信先の前記他のオペレーティングシステムに対する前記通信処理による通信を検知する通信検知処理を実行させ、
    前記情報送信処理において、
    前記通信検知処理において検知された前記通信に関する情報と前記アプリケーションの情報を通信先の前記他のオペレーティングシステムに送信することを特徴とする請求項39に記載のプログラム。
  41. 前記通信端末又は前記端末に、
    前記通信に関する情報と前記アプリケーションの情報を取得して前記情報送信処理に渡す情報取得処理を実行させることを特徴とする請求項36から請求項40のいずれか1項に記載のプログラム。
JP2008550107A 2006-12-20 2007-12-10 通信端末、端末、通信システム、通信方法及びプログラム Active JP4968264B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008550107A JP4968264B2 (ja) 2006-12-20 2007-12-10 通信端末、端末、通信システム、通信方法及びプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2006342284 2006-12-20
JP2006342284 2006-12-20
JP2008550107A JP4968264B2 (ja) 2006-12-20 2007-12-10 通信端末、端末、通信システム、通信方法及びプログラム
PCT/JP2007/073785 WO2008075580A1 (ja) 2006-12-20 2007-12-10 通信端末、端末、通信システム、通信方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2008075580A1 true JPWO2008075580A1 (ja) 2010-04-08
JP4968264B2 JP4968264B2 (ja) 2012-07-04

Family

ID=39536212

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008550107A Active JP4968264B2 (ja) 2006-12-20 2007-12-10 通信端末、端末、通信システム、通信方法及びプログラム

Country Status (5)

Country Link
US (1) US20100023641A1 (ja)
EP (1) EP2120404A1 (ja)
JP (1) JP4968264B2 (ja)
CN (1) CN101569145A (ja)
WO (1) WO2008075580A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457537B (zh) * 2010-10-19 2015-11-25 阿里巴巴集团控股有限公司 一种传输控制协议的通信方法及服务器
CN102739644B (zh) * 2012-04-20 2015-11-18 深圳证券通信有限公司 一种金融数据的发送/接收方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001333126A (ja) * 2000-05-23 2001-11-30 Ntt Docomo Inc 通信システム、通信方法および通信ユニット
JP2002314582A (ja) * 2001-04-16 2002-10-25 Oki Electric Ind Co Ltd パケット通信システム
JP2004500785A (ja) * 2000-03-30 2004-01-08 クゥアルコム・インコーポレイテッド 移動局のアプリケーションが指定された状況メッセージを識別するための方法および装置
JP2006277715A (ja) * 2005-03-01 2006-10-12 Bank Of Tokyo-Mitsubishi Ufj Ltd サービス提供装置及びプログラム
JP2008546321A (ja) * 2005-06-01 2008-12-18 クゥアルコム・インコーポレイテッド マルチホーミングマルチモード通信デバイスにおけるデータインターフェースの選択

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7003574B1 (en) * 2000-11-01 2006-02-21 Microsoft Corporation Session load balancing and use of VIP as source address for inter-cluster traffic through the use of a session identifier
US7480707B2 (en) * 2001-05-16 2009-01-20 International Business Machines Corporation Network communications management system and method
US6944678B2 (en) * 2001-06-18 2005-09-13 Transtech Networks Usa, Inc. Content-aware application switch and methods thereof
CN1914872B (zh) * 2003-12-03 2011-02-16 日本电气株式会社 会话中继装置、会话中继方法
WO2006012610A2 (en) * 2004-07-23 2006-02-02 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
JP2006237815A (ja) * 2005-02-23 2006-09-07 Kddi Corp 通信セッション切替方法およびシステム
JP4472566B2 (ja) * 2005-03-23 2010-06-02 エヌ・ティ・ティ・コミュニケーションズ株式会社 通信システム、及び呼制御方法
JP2006342284A (ja) 2005-06-10 2006-12-21 Nippon Polyethylene Kk 燃料タンク用架橋性樹脂及び成形品
US8438281B2 (en) * 2005-07-06 2013-05-07 Cisco Technology, Inc. Techniques for accounting for multiple transactions in a transport control protocol (TCP) payload
US20070226347A1 (en) * 2006-03-23 2007-09-27 Chu Hsiao-Keng J Method and apparatus for dynamically changing the TCP behavior of a network connection
JP2006287976A (ja) 2006-06-22 2006-10-19 Fuji Xerox Co Ltd メールサーバー、メールクライアント及び電子メールシステム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004500785A (ja) * 2000-03-30 2004-01-08 クゥアルコム・インコーポレイテッド 移動局のアプリケーションが指定された状況メッセージを識別するための方法および装置
JP2001333126A (ja) * 2000-05-23 2001-11-30 Ntt Docomo Inc 通信システム、通信方法および通信ユニット
JP2002314582A (ja) * 2001-04-16 2002-10-25 Oki Electric Ind Co Ltd パケット通信システム
JP2006277715A (ja) * 2005-03-01 2006-10-12 Bank Of Tokyo-Mitsubishi Ufj Ltd サービス提供装置及びプログラム
JP2008546321A (ja) * 2005-06-01 2008-12-18 クゥアルコム・インコーポレイテッド マルチホーミングマルチモード通信デバイスにおけるデータインターフェースの選択

Also Published As

Publication number Publication date
CN101569145A (zh) 2009-10-28
US20100023641A1 (en) 2010-01-28
EP2120404A1 (en) 2009-11-18
WO2008075580A1 (ja) 2008-06-26
JP4968264B2 (ja) 2012-07-04

Similar Documents

Publication Publication Date Title
US20140282978A1 (en) Method and apparatus for secure interaction with a computer service provider
US20110225641A1 (en) Token Request Troubleshooting
WO2009087702A1 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
US20130340067A1 (en) Multi-Wrapped Virtual Private Network
JP2006174466A (ja) データ処理における暗号化技術の信用できる信頼性の高い実施
KR20110100952A (ko) 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법
JP2014086821A (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
TW201509151A (zh) 具安全防護連結之遠端診斷的方法與電腦程式產品及實施該方法之資訊設備
JP2010263310A (ja) 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム
CN114598489A (zh) 一种确定信任终端的方法及相关装置
CN114125027B (zh) 一种通信建立方法、装置、电子设备及存储介质
US11258766B2 (en) VNF package signing system and VNF package signing method
JP4968264B2 (ja) 通信端末、端末、通信システム、通信方法及びプログラム
US8583913B1 (en) Securely determining internet connectivity between networks
US20060048217A1 (en) Secure bidirectional cross-system communications framework
TWI546698B (zh) 基於伺服器的登入系統、登入驗證伺服器及其驗證方法
US9143510B2 (en) Secure identification of intranet network
US20100287600A1 (en) Assigning User Requests of Different Types or Protocols to a User by Trust Association Interceptors
WO2022151736A1 (zh) 一种确定信任终端的方法及相关装置
CN114915503A (zh) 基于安全芯片的数据流拆分处理加密方法及安全芯片装置
JP2011525011A (ja) 中間者によるコンピュータのハッキング技法を防止するための方法およびシステム
CN113992734A (zh) 会话连接方法及装置、设备
KR20160086584A (ko) 미리 지정된 url을 이용한 보안 통신 방법 및 장치
JP2009163373A (ja) クライアント端末装置、中継サーバ、情報処理システム、クライアント端末装置の制御方法、中継サーバの制御方法、及び、プログラム
CN105323287B (zh) 第三方应用程序的登录方法及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101104

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120306

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120319

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150413

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4968264

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150