クライアント装置、デバイス検証装置及び検証方法
【課題】クライアント装置の安全性とプライバシーを保護しつつ、クライアント装置の動作についてきめ細かな検証を行うクライアント装置、デバイス検証装置及び検証方法を提供する。
【解決手段】デバイス検証装置100は、サービスプログラムに対応した検証ポリシーを保持するポリシー保持部110と、検証ポリシーの安全性を検証するポリシー検証部111と、サービスプログラムを実行するクライアント装置200へ、ポリシー検証部111によって安全性が確認された検証ポリシーを配備するポリシー配備部112と、検証ポリシーを用いて、サービスプログラムを実行する際の自身の動作検証を行うクライアント装置200から取得した、検証結果を保持する検証結果保持部123とを備える。
【解決手段】デバイス検証装置100は、サービスプログラムに対応した検証ポリシーを保持するポリシー保持部110と、検証ポリシーの安全性を検証するポリシー検証部111と、サービスプログラムを実行するクライアント装置200へ、ポリシー検証部111によって安全性が確認された検証ポリシーを配備するポリシー配備部112と、検証ポリシーを用いて、サービスプログラムを実行する際の自身の動作検証を行うクライアント装置200から取得した、検証結果を保持する検証結果保持部123とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クライアント装置、デバイス検証装置及び検証方法に関する。
【背景技術】
【0002】
携帯電話やPCなどのクライアント装置に情報通信サービスを提供する場合、クライアント装置の安全性を検証することが必要となる。
【0003】
例えば、デバイス検証装置が、クライアント装置内の信頼できる装置を利用してその完全性を調査し、サービス提供者(サービスプロバイダ)は、その調査結果を利用してサービス提供の可否を決定する技術が開示されている(例えば、特許文献1参照。)。この技術において、調査結果は、クライアント装置上にあるソフトウェア群のハッシュ値のリストを含み、信頼できる装置によってデジタル署名がされている。サービス提供者は、クライアント装置内のソフトウェア群の正当なハッシュ値のリストを保持しており、調査結果の署名を検証した後、各ハッシュ値を正当なハッシュ値と比較し、改ざんの有無を調べる。サービス提供者は、あるソフトウェアの改ざんを検出した場合や、正当なソフトウェア群以外のソフトウェアのハッシュ値が含まれていた場合、そのクライアント装置に対するサービス提供を拒否することができる。このように、サービス提供者はクライアント装置の安全性を検証した上で、サービス提供を行うことができる。
【特許文献1】特開2003−76585号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上述した従来技術では、サービスごとに異なる検証ポリシーを適用する手段と、検証結果に基づき、サービス対応で提供の可否を決定する手段を持たない。そのため、サービスごとに要求されるクライアント装置の動作や構成情報の検査に基づき、サービス提供の可否を決定することができない。さらに、検証により異常が発生した際に、全てのサービスへのアクセスが禁止され、ユーザのクライアント装置の利用が大きく限定される恐れがある。
【0005】
一方で、上述した従来技術では、検証ポリシー自身の検査の手段も持たないため、不適切な検証ポリシーがクライアント装置に導入されることよって、クライアント装置の安全性やユーザのプライバシーが損なわれる可能性がある。
【0006】
そこで、本発明は、上記の課題に鑑み、各サービスのポリシーをクライアント装置が満たしていることを保証し、安全なサービスプラットフォームを提供すると共に、サービス対応で適切なアクセス制限を行い、端末の安全性とプライバシーを保護するための、クライアント装置、デバイス検証装置及び検証方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明の第1の特徴は、提供されたサービスプログラムを実行することにより、サービスを利用するクライアント装置であって、(a)サービスプログラムに対応した、デバイス検証装置による検証後の検証ポリシーを保持するポリシー保持部と、(b)検証ポリシーを用いて、サービスプログラムを実行する際のクライアント装置自身の動作検証を行う検証部と、(c)検証部による検証結果を保持する検証結果保持部と、(d)検証結果を要求するデバイス検証装置に対して、検証結果を通知する検証結果通知部とを備えるクライアント装置であることを要旨とする。
【0008】
第1の特徴に係るクライアント装置によると、クライアント装置の安全性とプライバシーを保護しつつ、クライアント装置の動作について、サービスプログラムごとにきめ細かな検証を行うことができる。
【0009】
又、第1の特徴に係るクライアント装置のポリシー保持部は、予め定められた特定の装置からのみ取得した検証ポリシーを保持してもよい。
【0010】
又、第1の特徴に係るクライアント装置のポリシー保持部は、前記検証ポリシーの安全性を検証してもよい。
【0011】
又、第1の特徴に係るクライアント装置のポリシー保持部は、前記デバイス検証装置から必要なポリシーを取得して更新してもよい。
【0012】
又、第1の特徴に係るクライアント装置の検証部は、外部装置からの通知を契機に検証を行ってもよい。
【0013】
又、第1の特徴に係るクライアント装置は、クライアント装置の動作及び構成情報を監視し、前記検証部に監視情報を通知する監視部を更に備えてもよい。
【0014】
又、第1の特徴に係るクライアント装置の検証結果通知部は、前記検証ポリシーで指定されたタイミングで、デバイス検証装置に検証結果を通知してもよい。
【0015】
又、第1の特徴に係るクライアント装置において、検証ポリシーは、前記クライアント装置の機能の呼び出し命令を含み、検証部は、検証の結果に従って、前記機能の呼び出しを行ってもよい。
【0016】
本発明の第2の特徴は、(a)サービスプログラムに対応した検証ポリシーを保持するポリシー保持部と、(b)検証ポリシーの安全性を検証するポリシー検証部と、(c)サービスプログラムを実行するクライアント装置へ、ポリシー検証部によって安全性が確認された検証ポリシーを配備するポリシー配備部と、(d)検証ポリシーを用いて、サービスプログラムを実行する際の自身の動作検証を行うクライアント装置から取得した、検証結果を保持する検証結果保持部とを備えるデバイス検証装置であることを要旨とする。
【0017】
第2の特徴に係るデバイス検証装置によると、クライアント装置の安全性とプライバシーを保護しつつ、クライアント装置の動作についてきめ細かな検証を行うことができる。
【0018】
又、第2の特徴に係るデバイス検証装置は、検証結果に基づいて、クライアント装置の、サービスプログラムを提供するサーバ装置へのアクセスの可否を決定するサービス提供制御部とを更に備えてもよい。
【0019】
又、第2の特徴に係るデバイス検証装置は、検証結果に基づいて、クライアント装置の、サービスプログラムの利用に対する課金を行うサービス課金部を更に備えてもよい。
【0020】
又、第2の特徴に係るデバイス検証装置は、検証結果を出力装置に提示する検証結果提示部を更に備えてもよい。
【0021】
又、第2の特徴に係るデバイス検証装置において、ポリシー保持部に保持された検証ポリシーは、サービスプログラムを提供するサーバ装置から取得されてもよい。
【0022】
又、第2の特徴に係るデバイス検証装置のポリシー配備部は、サービスプログラムを提供するサーバ装置から指定されたクライアント装置、あるいは、サービスプログラムを提供するサーバ装置にアクセスするクライアント装置に検証ポリシーを配備してもよい。
【0023】
又、第2の特徴に係るデバイス検証装置は、サービスプログラムを提供するサーバ装置へ検証結果を通知する検証結果通知部を更に備えてもよい。
【0024】
又、第2の特徴に係るデバイス検証装置のポリシー保持部は、前記サービスプログラムを提供するサーバ装置から検証ポリシーを取得し、更新してもよい。
【0025】
又、第2の特徴に係るデバイス検証装置は、クライアント装置に検証結果の報告を要求する検証結果要求部を更に備えてもよい。
【0026】
又、第2の特徴に係るデバイス検証装置の検証結果要求部は、外部装置からの要求を受信して、前記クライアント装置に検証結果の報告を要求してもよい。
【0027】
本発明の第3の特徴は、提供されたサービスプログラムを実行することにより、サービスを利用するクライアント装置を検証する検証方法であって、(a)サービスプログラムに対応した検証ポリシーの安全性を検証するステップと、(b)サービスプログラムを実行するクライアント装置へ、検証するステップによって安全性が確認された検証ポリシーを配備するステップと、(c)検証ポリシーを用いて、サービスプログラムを実行する際のクライアント装置の動作検証を行うステップと、(d)動作検証の結果をデバイス検証装置へ通知するステップとを含む検証方法であることを要旨とする。
【0028】
第3の特徴に係る検証方法によると、クライアント装置の安全性とプライバシーを保護しつつ、クライアント装置の動作についてきめ細かな検証を行うことができる。
【発明の効果】
【0029】
本発明によると、各サービスのポリシーをクライアント装置が満たしていることを保証し、安全なサービスプラットフォームを提供すると共に、サービス対応で適切なアクセス制限を行い、端末の安全性とプライバシーを保護するための、クライアント装置、デバイス検証装置及び検証方法を提供することができる。
【発明を実施するための最良の形態】
【0030】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
【0031】
<第1の実施の形態>
第1の実施の形態では、デバイス検証装置が各サービス提供者の検証ポリシーの安全性を検証した後、検証ポリシーをクライアント装置内の信頼できる検証モジュールに与え、検証モジュールが通知する検証結果に従って、サービス提供の可否の決定を行うことについて説明する。
【0032】
(検証システム)
第1の実施の形態に係る検証システムは、図1に示すように、デバイス検証装置100と、クライアント装置200と、サーバ装置300とを備える。
【0033】
図1では、クライアント装置200とデバイス検証装置100とをそれぞれ1つ記載しているが、第1の実施の形態では、1つのデバイス検証装置100が複数のクライアント装置200と接続する。クライアント装置200とデバイス検証装置100は、ネットワークを通じて接続されるが、その接続形態は有線、無線のいずれかでもよく、パケット、回線交換、シリアル/パラレル通信など方式を問わない。
【0034】
又、デバイス検証装置100やクライアント装置200は、サービスをクライアント装置200に提供するサーバ装置300と上記と同様に任意の接続形態で接続している。サーバ装置300は、サービス提供者(サービスプロバイダ)の管理下にあるサーバであり、コンテンツやデータベース、オンラインショッピング、オンラインゲーム、バンキングなどの情報通信サービスを提供する。情報通信サービスには、例えば、企業イントラネットへのアクセスを提供するVPNサービス、メールサービス、無線LANサービスなども含まれる。
【0035】
クライアント装置200は、サービスプログラム実行部220と、検証部230と、検証結果通知部231と、ポリシー保持部232と、検証結果保持部233とを備える。
【0036】
サービスプログラム実行部220は、サービス提供者のサービスを利用するためのサービスプログラムを実行するものであり、複数のサービスプログラムを同時に実行してもよい。サービスプログラムは、VPNモジュールやメールリーダ、コンテンツやデータベースのビューワやプレーヤ、ブラウザなどの任意のソフトウェアである。
【0037】
ポリシー保持部232は、後述するデバイス検証装置100による検証後のサービスプログラムに対応した検証ポリシーを保持する。又、デバイス検証装置100に対して、クライアント装置200にインストールされているサービスプログラムのリストを送信し、必要な検証ポリシーを要求する。検証ポリシーは、デバイス検証装置100から直接通信を介して取得されることを想定するが、メモリーカードなどの記憶メディアを利用して取得されてもよい。又、サービスプログラムと一緒にサービス提供者のサーバから取得されてもよい。又、ポリシー保持部232は、検証ポリシーの安全性を検証してもよい。例えば、検証ポリシーの安全性を検証するために、デジタル署名を検査したり、検証ポリシー内の規則やコードが不必要な情報の読み込みや書き込みを行わないかを検査したりする。ポリシー保持部232は、検証ポリシーが安全でないと判断した場合は、そのポリシーを破棄し、保持しない。
【0038】
検証部230は、サービスプログラムに対応した、検証ポリシーを用いて、サービスプログラムを実行する際のクライアント装置200自身の動作状態および構成の検証を行う。検証部230は、外部からの通知を契機に、クライアント装置の検証を行ってもよい。複数のサービスプログラムが動作している場合、それぞれに対応したサービスプログラムを実行する。更に、検証ポリシーは、クライアント装置200の機能の呼び出し命令を含んでもよく、検証部230は、検証の結果に従って、当該機能の呼び出しを行ってもよい。クライアント装置200の機能の例としては、課金機能やアクセス制御機能があり、検証の結果に応じて課金に反映したり、アクセス制御機能の呼び出しによって、あるミドルウェアやAPI(Application Programming Interface)をブロックしたりする。検証部230には、外部装置やクライアント装置内のソフトウェアからの検証処理の妨害や検証結果の改ざんなどの攻撃に対して保護する耐タンパ性を持たせる必要があるため、検証部230は、例えば、スマートカード(ICカード)やTrusted Computing Group(www.trustedcomputing)が仕様を規定しているTPM(Trusted Platform Module)を利用して実装することができる。あるいは、クライアント装置200に仮想マシンモニタの機構を導入してクライアント装置上に複数の仮想マシンを構築し、サービスプログラムを実行する仮想マシンと別の仮想マシンで信頼できる検証部を実行してもよい。
【0039】
ここで、検証ポリシーは、デバイス検証装置100やサーバ装置300から取得される。検証ポリシーは、サービスプログラム特有の検証規則を持つものであり、サービスプログラムの、1.動作、2.セキュリティ要求に合わない他プログラムの起動の有無、3.必要とするモジュールの起動の有無、などを検証可能とする。他にも、システム/アプリファイルの完全性や、アンチウィルスのパターンファイルが最新か、ファイアウォールの特定のポートが有効になっているか等を検証してもよい。又、検証ポリシーは、課金やログなどの機能を呼び出してもよい。検証ポリシーの例として、メールサービスのサービスプログラムに対する検証ポリシーと、バンキングサービスに対する検証ポリシーをそれぞれ図2の(a)、(b)に示す。メールサービスの例では、多数のメール送信を検知した際(3、5行目のrate_monitor関数に対応)、その量に応じて、メール送信サービスへのアクセスをブロックするか(4行目のapi_lock関数に対応)、特別な課金を施す(6行目のaccounting関数に対応)という規則が設定されている。一方、バンキングサービスの例では、バンキングプログラムがサーバにアクセスする際、信頼されたパーティによるデジタル署名を持たないアプリが動作していた場合(3行目に対応)、ブロックしてログを送信する(4、5行目に対応)、という規則が設定されている。
【0040】
尚、検証ポリシーは図2のように、規則の形式でもよく、プログラムの形式であってもよい。規則の形式の場合、検証部230は、その規則を解釈して検証を行い、プログラムの形式の場合、検証部230は、その検証ポリシーのプログラムを実行する。
【0041】
検証結果保持部233は、検証部230による検証結果(検証ログ)を保持する。検証結果としては、例えば、図2のメールサービスの例では、メール送信の頻度やメール送信をロックした回数や時刻、バンキングサービスの例では、バンキングサービスをブロックしたというイベント情報や、動作中の非信頼アプリケーションの種別などが挙げられる。他にも、接続中のネットワーク名や種別、接続した外部デバイスの種別などを検証結果に含んでもよい。検証結果保持部233に保持された検証結果は、後述する検証結果通知部231によって通知された場合、削除されてもよい。
【0042】
検証結果通知部231は、検証結果を要求する外部装置に対して、検証結果を通知する。検証結果通知部231は、デバイス検証装置100からの要求に対して検証結果を通知してもよく、検証ポリシーで指定されたタイミングで、デバイス検証装置100に検証結果を通知してもよい。外部装置の例としては、デバイス検証装置100やサーバ装置300などがある。検証結果を通知する際、検証結果の改ざんや検証部230へのなりすましを防ぐため、検証部230は検証結果に対してデジタル署名や暗号化を行ってもよい。
【0043】
監視部240は、クライアント装置200の動作および構成情報を監視し、検証部230に監視情報を通知する。例えば、サービスプログラムの起動や終了、活性(アクティブなウィンドウ状態)や非活性(スリープやバックグラウンドでの実行)などの状態、接続中のネットワークの種別や状態(接続や切断)、接続中の外部デバイスの種別や状態、ファイルの完全性の状態などを監視する。検証部への監視情報の通知のタイミングは、状態の変化や周期的なタイマ、異常の検知などを契機とする。
【0044】
尚、上述したポリシー保持部232や検証結果保持部233は、RAM等の内部記憶装置を用いても良く、ハードディスクやフレキシブルディスク等の外部記憶装置を用いても良い。
【0045】
又、第1の実施の形態に係るクライアント装置200は、サービスプログラム実行部220、検証部230、検証結果通知部231などをモジュールとして、CPUに内蔵する構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0046】
又、図示していないが、クライアント装置200は、サービスプログラム実行処理、検証処理、検証結果通知処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0047】
デバイス検証装置100は、ポリシー保持部110と、ポリシー検証部111と、ポリシー配備部112と、サービス提供制御部120と、サービス課金部121と、検証結果通知部122と、検証結果保持部123と、検証結果提示部124と、検証結果要求部125とを備える。
【0048】
ポリシー保持部110は、サービスプログラムに対応した検証ポリシーを保持する。この検証ポリシーは、サービスプログラムを提供するサーバ装置300から取得される。例えば、サービス提供者やサービスプログラムの開発者、通信業者などによって与えられる。
【0049】
ポリシー検証部111は、検証ポリシーの安全性を検証する。例えば、ポリシー検証部111は、クライアント装置200のユーザのリソースやプライバシー情報を保護するため、検証ポリシー内の規則やコードが不必要な情報の読み込みや書き込みを行わないかを解釈、検査する。安全でないと判断した場合は、ポリシー検証部111は、クライアント装置にそのポリシーを配備することを拒否する。
【0050】
ポリシー配備部112は、サービスプログラムを実行するクライアント装置200の信頼できる検証部230へ、ポリシー検証部111によって安全性が確認された検証ポリシーを配備する。具体的には、ポリシー配備部112は、検証部230とセキュアなチャネルを確立した後、検証ポリシーを送り込む。検証ポリシーの改ざんやデバイス検証装置へのなりすましを防ぐため、検証ポリシーに対してデジタル署名や暗号化を行ってもよい。
【0051】
又、ポリシー配備部112は、サービスプログラムを提供するサーバ装置300から指定されたクライアント装置200、あるいは、サービスプログラムを提供するサーバ装置300にアクセスするクライアント装置200に検証ポリシーを配備してもよい。
【0052】
検証結果保持部123は、クライアント装置200から検証結果を取得し、保持する。検証結果(検証ログ)は、例えば、時刻とイベント情報から構成することができる。
【0053】
又、検証結果保持部123に保持された検証結果は、所定の時間が経過した後、削除されてもよい。
【0054】
サービス提供制御部120は、検証結果に基づいて、クライアント装置200の、サービスプログラムを提供するサーバ装置300へのアクセスの可否を決定する。例えば、サービス提供制御部120は、クライアント装置200が検証ポリシーを侵害する動作を行った場合、クライアント装置200からサーバ装置300へのアクセスを拒否したり、特定の装置(クライアント装置の異常状態を修復する装置など)へアクセスをリダイレクトしたりする。図2の検証ポリシーにおいては、大量のメール送信を行う動作をした場合や、信頼できないプログラムが起動中の場合が、アクセスを拒否するケースに相当する。アクセスの拒否の手段として、デバイス検証装置100自身がクライアント装置からのアクセス要求を受け付け、許可したアクセス要求のみをサーバ装置に渡す手段を用いてもよく、クライアント装置200からサーバ装置300への経路上のアクセス制御装置にブロックの要求を送信し、アクセス制御を行ってもよい。さらに、クライアント装置がサーバ装置に提示する証明書やチケットの無効化や有効化を行うことで、アクセス制御を行ってもよい。
【0055】
検証結果要求部125は、クライアント装置200に検証結果を要求する。検証結果の要求は、クライアント装置200が保持している検証結果の報告でもよく、クライアント装置200が検証結果の要求を受けた段階で検証を行った後の最新の検証結果の報告でもよい。又、検証結果の全体や一部などのフィルタリングの要求を含めてもよい。更に、検証結果要求部125は、外部装置からの要求を受信して、クライアント装置200への報告を要求してもよい。外部装置は、例えば、サーバ装置300やアクセス制御装置などであり、クライアント装置の検証を任意のタイミングで要求することができる。
【0056】
サービス課金部121は、検証結果に基づいて、クライアント装置200の、サービスプログラムの利用に対する課金を行う。例えば、視聴や遊戯回数(ペイパービュー、ペイパープレイなど)に応じた課金をしてもよく、サービス利用時間に応じた課金をしてもよい。又、課金した情報をサーバ装置300へ通知し、代金の支払いや手数料の徴収などの決済を行ってもよい。
【0057】
検証結果通知部122は、サービスプログラムを提供するサーバ装置300へ検証結果を通知する。検証結果通知部122は、複数のクライアント装置の検証結果をまとめて通知してもよく、暗号化や署名を行った検証結果を通知してもよい。
【0058】
検証結果提示部124は、検証結果を出力装置に提示する。出力装置とは、モニタなどの画面を指し、液晶表示装置(LCD)、発光ダイオード(LED)パネル、エレクトロルミネッセンス(EL)パネル等が使用可能である。また、出力装置はプリンターでも構わない。
【0059】
尚、上述したポリシー保持部110や検証結果保持部123は、RAM等の内部記憶装置を用いても良く、ハードディスクやフレキシブルディスク等の外部記憶装置を用いても良い。
【0060】
又、第1の実施の形態に係るデバイス検証装置100は、ポリシー検証部111、ポリシー配備部112、サービス提供制御部120、サービス課金部121、検証結果通知部122などをモジュールとして、CPUに内蔵する構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0061】
又、図示していないが、デバイス検証装置100は、ポリシー検証処理、ポリシー配備処理、サービス提供制御処理、サービス課金処理、検証結果通知処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0062】
(検証方法)
次に、第1の実施の形態に係る検証方法について、図3〜6を用いて説明する。
【0063】
まず、図3を用いて、デバイス検証装置100がクライアント装置からサーバ装置300へのアクセスを受け付けた場合の、サービス提供の可否の決定方法について説明する。
【0064】
まず、ステップS101において、クライアント装置200からサーバ装置300へのアクセスを受け付けると、ポリシー保持部110は当該サービスプログラムに対応した検証ポリシーを保持しているか否か判断する。保持していない場合は、ステップS108へ進み、検証を必要としないサービスであると判断してアクセスを許可する。
【0065】
検証ポリシーを保持している場合、ステップS103へ進み、サービス提供制御部120は、当該クライアント装置200の検証部230に検証結果の通知を要求する。
【0066】
このとき、ステップS104において、検証結果の通知の要求が失敗した場合、ステップS106において、クライアント装置200に検証ポリシーが正しく配備されていないと判断し、検証ポリシーを配備する。通知の要求が失敗した場合とは、クライアント装置から検証結果の応答が返信されずタイムアウトする場合や、応答が壊れている場合、あるいは、検証ポリシーのバージョンが古く、無効な場合が含まれる。一方、検証結果の応答を取得できた場合、ステップS105において、検証結果のデジタル署名を検証し、検証結果を解釈する。
【0067】
次に、ステップS107において、検証結果において検証規則の侵害がなければ、ステップS108へ進み、サーバ装置300へのアクセスを許可する。又、このとき、サービスの課金も行ってもよい。この可否決定手順は、サーバ装置300へのアクセスだけでなく、VPNなどによるインターネットへのアクセスの可否の決定に適用してもよい。
【0068】
一方、検証結果の解釈においてサービスへのアクセスを拒否する場合、例えば図2の検証ポリシーにおいて大量のメール送信があったり、信頼できないアプリケーションが動作していたりした場合、ステップS109へ進み、サーバ装置へのアクセスを拒否する。あるいは、特定の装置(クライアント装置の異常状態を修復する装置など)へアクセスをリダイレクトする。
【0069】
ここで、変形例として、ステップS101において、ポリシー保持部110は、当該サービスプログラムに対応した検証ポリシーを保持していない場合、当該のサーバ装置300に検証ポリシーがあるかを問い合わせてもよい。検証ポリシーがある場合は、ポリシー保持部110は、サーバ装置300から検証ポリシーを取得し、検証ポリシーがない場合は、検証を必要としないサービスであると判断してアクセスを許可してもよい。
【0070】
又、図3に示すフローチャートでは、デバイス検証装置100自身がクライアント装置200からのアクセス要求を受け付け、許可したアクセス要求のみをサーバ装置に渡す例を説明したが、変形例として、アクセス制御を独立して行うアクセス制御装置を、クライアント装置とサーバ装置の間に配置し、アクセス制御装置が、クライアント装置からの要求を受け付けてもよい。この場合、アクセス制御装置は、クライアント装置200からの要求を受け付けた際にデバイス検証装置100にアクセス要求の可否を照会し、その結果にしたがって、アクセス制御を行ってもよい。
【0071】
第2の変形例として、ステップS103で、クライアント装置の検証部は、検証ポリシーに従って、検証を行い、その結果、そのサービスへのアクセスを制限するために、クライアント装置のアクセス制御機能を呼び出したり、課金を行うために、クライアント装置の課金機能を呼び出したりしてもよい。
【0072】
次に、図4を用いて、デバイス検証装置100がサーバ装置300から検証ポリシーを取得した場合の、クライアント装置200への検証ポリシー配備方法について説明する。
【0073】
まず、ステップS201において、ポリシー保持部110がサーバ装置300から検証ポリシーを取得し、保持すると、ステップS202において、ポリシー検証部111が検証ポリシーの安全性を検証する。
【0074】
ステップS203において、ポリシー検証部111が安全でないと判断した場合、ステップS205において、当該サーバ装置300にポリシーの検証結果と共にそのポリシーが受け入れられないことを通知する。一方、検証ポリシーを安全だと判断した場合、ステップS204において、ポリシー保持部110は、当該サービスに対応した検証ポリシーを更新する。
【0075】
そして、ステップS206において、ポリシー配備部112が対象となる各クライアント装置200にその検証ポリシーを配備する。対象となるクライアント装置200のリストは、サーバ装置300から提供されるか、サービス利用者のクライアント装置200のリストを管理するデータベースを参照するなどして獲得する。
【0076】
そして、ステップS207において、すべてのクライアント装置に対して検証ポリシーの配備が完了したら本手順を終了する。ネットワークに接続していない、電源がオフであるなどの理由で、検証ポリシーの配備に失敗したクライアント装置200に対しては、ある時間を経過した後、再度、配備を試みる。ポリシー配備部112は、再配備の回数に上限を設けてもよい。
【0077】
変形例として、上記では、デバイス検証装置が能動的に、クライアント装置と接続してポリシーを配備する手順を説明したが、クライアント装置のポリシー保持部からの要求に基づき、ポリシーを配備してもよい。ポリシー配備部は、クライアント装置上のサービスプログラムのリストを要求に含め、デバイス検証装置に要求し、デバイス検証装置はその要求に基づき、必要な検証ポリシーすべてをクライアント装置に配備する。
【0078】
別の変形例として、図3のステップS104で述べたように、検証結果の応答が古い場合や、無効な場合、あるいは応答がタイムアウト以内に到着しない場合に、ポリシーを更新してもよい。
【0079】
次に、図5を用いて、クライアント装置200がデバイス検証装置100から検証ポリシーの配備要求を受け付けた場合の、検証ポリシー導入方法について説明する。
【0080】
まず、ステップS301において、デバイス検証装置100から検証ポリシーの配備要求を受け付ける。次に、ステップS302において、ポリシー保持部は、検証ポリシーが正当かどうかをデジタル署名の検証や、検証ポリシーの中身のスキャンによって、検査する。
【0081】
そして、正当な検証ポリシーであった場合、ステップS303において、ポリシー保持部は、検証ポリシーを導入、あるいは更新する。一方、検証ポリシーが正当なデバイス検証装置からのものでなかったり、改ざんされていたり、中身にクライアント装置の安全性やプライバシーを侵害するような規則やコードが含まれていて、正当でないと判断した場合は、ステップS304において、ポリシー保持部は、配備要求を拒否する。
【0082】
次に、図6を用いて、クライアント装置200がデバイス検証装置100から検証ポリシーの通知要求を受け付けた場合の、検証結果通知方法について説明する。
【0083】
ステップS401において、クライアント装置200がデバイス検証装置100から検証ポリシーの通知要求を受け付ける。次に、ステップS402において、検証部230は、要求元が正当なデバイス検証装置100から送信されたものかをデジタル署名の検証によって確認する。
【0084】
そして、正当なデバイス検証装置からの要求であれば、ステップS403において、検証結果通知部は、検証結果保持部から検証結果を取得し、デバイス検証装置100へ検証結果を通知する。このとき、通知された検証結果は、検証結果保持部から削除されてもよい。一方、正当なものでないと判断した場合は、ステップS404において、検証結果通知部は、通知要求を拒否する。
【0085】
変形例として、検証ポリシーの通知要求は、通知要求を受けた時点での検証や検証結果の時刻の範囲に関する要求を含んでもよい。検証結果通知部は、検証ポリシーの通知要求を解釈し、必要であれば、ステップS403において、検証結果通知部は、検証部を起動して検証させ、新たな検証結果を得た後、検証結果保持部から検証結果を取得して、デバイス検証装置100へ検証結果を通知してもよい。
【0086】
(作用及び効果)
第1の実施の形態に係るクライアント装置200、デバイス検証装置100及び検証方法によると、クライアント装置200の検証部230が、デバイス検証装置100によって、安全性が確認された検証ポリシーに従って、クライアント装置200を検証することができる。このため、サービス提供者ごとに異なるセキュリティ要求に基づく検証ポリシーを利用して、クライアント装置の動作や設定状態、完全性情報、インストールされたソフトウェアのバージョンなどをきめ細かく検査でき、より安全なサービス提供環境を提供できる。
【0087】
又、デバイス検証装置100で検証ポリシーを集中管理し、検証後にクライアント装置200に配備することで、クライアント装置200の安全性の維持と、サーバ装置300の管理や配備の負担を軽減できる。
【0088】
又、クライアント装置200のポリシー保持部232は、予め定められた特定の装置からのみ取得した検証ポリシーを保持してもよい。任意の装置がクライアント装置200内の検証部230に検証ポリシーを導入可能とすると、クライアント装置の安全性やプライバシーが損なわれる危険性があるが、その危険性を回避できる。
【0089】
又、クライアント装置200は、検証結果保持部233を備えるため、検証結果をまとめてデバイス検証装置100に送信することができ、通信量の削減や、クライアント装置200が一時的にネットワークから切断していても、その後の接続時にデバイス検証装置へ送信することが可能となる。
【0090】
又、クライアント装置200の検証結果保持部233に保持された検証結果は、デバイス検証装置100に通知された後、削除されてもよい。このため、クライアント装置200に保持される検証結果(検証ログ)が増大することによる記憶容量の圧迫や検証ログのあふれを防止することができる。
【0091】
又、クライアント装置200のポリシー保持部232は、検証ポリシーの安全性を検証してもよい。このため、検証ポリシーの安全性をより高めることができる。
【0092】
又、クライアント装置200のポリシー保持部232は、デバイス検証装置100から必要なポリシーを取得して更新してもよい。このため、クライアント装置200は、適切なポリシーを常時保持することができる。
【0093】
又、クライアント装置200の検証部230は、外部装置からの通知を契機に検証を行ってもよい。このため、クライアント装置200は、外部装置の要求に応じて、検証を行うことができる。
【0094】
又、クライアント装置200は、クライアント装置200の動作及び構成情報を監視し、検証部230に監視情報を通知する監視部240を更に備える。このため、クライアント装置200は、常時、監視情報を把握することができる。
【0095】
又、クライアント装置200の検証結果通知部231は、検証ポリシーで指定されたタイミングで、デバイス検証装置に検証結果を通知してもよい。このため、クライアント装置200は、検証ポリシーに従った適切なタイミングでな検証結果を通知できる。
【0096】
又、検証ポリシーは、前記クライアント装置の機能の呼び出し命令を含み、検証部230は、検証の結果に従って、当該機能の呼び出しを行ってもよい。このため、クライアント装置200は、検証ポリシーに従って、課金や機能のロックなどの適切な処理を行うことができる。
【0097】
第1の実施の形態に係るデバイス検証装置100は、クライアント装置200に与えた検証ポリシーに基づく検証結果を取得し、それを解釈した上でサーバ装置300へのアクセスの可否を決定する。このため、サーバ装置300は、クライアント装置200を信頼してサービスを提供することができる。
【0098】
又、デバイス検証装置100のポリシー検証部111は、検証ポリシーの安全性を検証する。このため、クライアント装置の安全性やプライバシーを保護することができる。
【0099】
又、デバイス検証装置100のサービス提供制御部120は、検証結果に基づいて、クライアント装置200の、サービスプログラムを提供するサーバ装置300へのアクセスの可否を決定する。このため、信頼関係を確立したクライアント装置200のみがサーバ装置300へアクセスすることが可能となる。
【0100】
又、デバイス検証装置100のサービス課金部121は、検証結果に基づいて、サービスの利用に対する課金を行う。このため、クライアント装置の検証に基づく、視聴や遊戯回数、時間(ペイパービュー、ペイパープレイなど)に応じた柔軟な課金が可能となる。又、サービス提供者の課金や検証の処理の負担を軽減できる。
【0101】
又、デバイス検証装置100の検証結果保持部123に保持された検証結果、所定の時間が経過した後、削除されてもよい。このため、デバイス検証装置100の検証結果(検証ログ)の増大による記憶容量の圧迫や、検証ログのあふれを防止できる。
【0102】
又、デバイス検証装置100の検証結果提示部124は、検証結果を出力装置に提示する。このため、デバイス検証装置100の運用者は、ユーザに対してサービス課金の根拠や、サービス提供の停止の根拠を示すことができる。
【0103】
又、デバイス検証装置100のポリシー保持部110に保持された検証ポリシーは、サービスプログラムを提供するサーバ装置300から取得されてもよい。このため、各サービス提供者の要求に応じてサービスプログラムを検証することができ、より安全なサービス提供やきめ細かな課金が可能となる。又、サービス提供者の検証ポリシーの変更にも対応できる。
【0104】
又、デバイス検証装置100のポリシー配備部112は、サービスプログラムを提供するサーバ装置300から指定されたクライアント装置、あるいは、サービスプログラムを提供するサーバ装置300にアクセスするクライアント装置に検証ポリシーを配備する。このため、サーバ装置300は、検証ポリシーの配備をデバイス検証装置100に任せることができ、その処理負担を削減できる。又、サーバ装置300にアクセスするクライアント装置200に確実に検証ポリシーを配備して、安全なサービス提供を可能とする。
【0105】
又、デバイス検証装置100の検証結果通知部122は、サービスプログラムを提供するサーバ装置300へ検証結果を通知する。このため、サービス提供者自身が柔軟な課金やサービス提供の可否の選択を行うことができる。
【0106】
又、デバイス検証装置100のポリシー保持部110は、サービスプログラムを提供するサーバ装置300から検証ポリシーを取得し、更新してもよい。このため、デバイス検証装置100は、適切なポリシーを常時保持することができる。
【0107】
又、デバイス検証装置100は、クライアント装置200に検証結果の報告を要求する検証結果要求部125を更に備える。このため、デバイス検証装置100は、クライアント装置200から任意のタイミングで、検証結果を受信することができる。
【0108】
又、検証結果要求部125は、外部装置からの要求を受信して、前記クライアント装置に検証結果の報告を要求してもよい。このため、外部装置の要求に応じて、検証結果を受信することができる。
【0109】
<第2の実施の形態>
第2の実施の形態では、クライアント装置200上で、検証部230などを配置する環境(ドメイン1)から隔離された環境(ドメイン2)に、監視部240とサービスプログラム実行部220を配置する。
【0110】
(検証システム)
第2の実施の形態に係る検証システムは、図7に示すように、クライアント装置200上で、検証部230、ポリシー保持部231、検証結果保持部232、検証結果通知部233を環境(ドメイン1)200aに配置し、監視部240とサービスプログラム実行部220とを、ドメイン1から隔離された環境(ドメイン2)に、配置する構成をとる。検証部230が、サービスプログラムの動作を検証する点以外は、第1の実施の形態と同様であるため、ここでは説明を省略する。
【0111】
(検証方法)
第2の実施の携帯に係る検証方法は、検証部230が、サービスプログラムの動作を検証する手順以外は第1の実施の形態と同様であるため、ここでは説明を省略し、検証手順のみを説明する。
【0112】
監視部240は、図8に示すように、ステップS501において、クライアント装置200の動作および構成情報を監視し、ステップS502において、監視状態の変化を検知した場合、ステップS503において、検証部230に監視結果を通知する。監視部240は、例えば、サービスプログラムの起動や終了、活性(アクティブなウィンドウ状態)や非活性(スリープやバックグラウンドでの実行)などの状態、接続中のネットワークの種別や状態(接続や切断)、接続中の外部デバイスの種別や状態、ファイルの完全性の状態などを監視する。そして、状態の変化が起きた際に、ステップS503において、検証部230を起動する。検証部230は、ステップS504において、検証ポリシーに従って、検証結果をデバイス検証装置の通知や、ログの記録、アクセス制御機能などのクライアント装置の機能の呼び出しなどのアクションを実行する。
【0113】
変形例として、検証部230が監視部240へ監視結果を要求し、監視結果を受け取ってもよい。
【0114】
(作用及び効果)
第2の実施の形態では、監視部240とサービスプログラム実行部220とを隔離した環境に配置することで、第1の実施の形態と比べ、検証部230やクライアント装置のアクセス制御機能や課金機能の保護を強化できる。すなわち、隔離環境にあるサービスプログラムやその他のプログラムの異常動作や攻撃の影響を受けずに、検証やその他のクライアント装置の機能を実行できる。
【0115】
<第3の実施の形態>
第1の実施の形態では、デバイス検証装置100がクライアント装置200からのアクセス要求を受け付け、 検証結果に基づき、許可したアクセス要求のみをサーバ装置に渡す実施例を説明したが、第3の実施形態では、 アクセス制御を独立して行うアクセス制御装置400を、クライアント装置とサーバ装置の間に配置し、アクセス制御装置400にクライアント装置からの要求を受け付ける
(検証システム)
第3の実施の形態に係る検証システムは、図9に示すように、デバイス検証装置100と、クライアント装置200と、サーバ装置300とアクセス制御装置400を備える。第1の実施形態との違いは、クライアント装置200からのサーバ装置300に対するアクセス要求は、アクセス制御装置400に受け付けられ、アクセス制御装置400が、検証が必要なサービスについては、デバイス検証装置100に検証を要求する点と、デバイス検証装置が検証結果に基づき、サーバ装置へのアクセス制限を行う際に、アクセス制御装置400にアクセス制限を要求する点である。
【0116】
その他の点は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0117】
(作用及び効果)
アクセス制御機能を、アクセス制御装置400に分離することで、複数のアクセス制御装置の利用など、より柔軟な構成をとることができ、負荷分散などをはかることができる。
【0118】
<第4の実施の形態>
第1の実施の形態では、デバイス検証装置100が検証結果に基づき、サービス提供の可否の決定や課金を行っていたが、第4の実施の形態では、サーバ装置300(サービス提供者)がその処理を行う。
【0119】
(検証システム)
第2の実施の形態に係る検証システムは、図10に示すように、デバイス検証装置100と、クライアント装置200と、サーバ装置300とを備える。
【0120】
第1の実施の形態においてデバイス検証装置100内に配置されていたサービス提供制御部120及びサービス課金部121が、サーバ装置300内に配置されたこと以外は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0121】
(検証方法)
次に、第4の実施の形態に係る検証方法について、図11を用いて説明する。図11は、デバイス検証装置100がクライアント装置からサーバ装置300へのアクセスを受け付けた場合の、検証結果の通知方法について説明する。
【0122】
まず、ステップS601において、クライアント装置200からサーバ装置300へのアクセスを受け付けると、ステップS602において、ポリシー保持部110は当該サービスプログラムに対応した検証ポリシーを保持しているか否か判断する。保持していない場合は、検証を必要としないサービスであると判断してアクセスを許可する。
【0123】
検証ポリシーを保持している場合、ステップS603へ進み、サービス提供制御部120は、当該クライアント装置200の検証部230に検証結果の通知を要求する。
【0124】
このとき、ステップS604において、検証結果の通知の要求が失敗した場合、ステップS606において、クライアント装置200に検証ポリシーが正しく配備されていないと判断し、検証ポリシーを配備する。一方、検証結果の応答を取得できた場合、ステップS605において、検証結果のデジタル署名を検証し、検証結果を解釈する。
【0125】
次に、ステップS607において、検証結果通知部122は、サーバ装置300へ検証結果を通知する。サーバ装置300は、この検証結果を用いて、サービス提供の可否の決定や課金を行う。
【0126】
(作用及び効果)
第4の実施の形態では、サーバ装置300がサービス提供の可否の決定や課金を行うため、第1の実施の形態と比べ、デバイス検証装置100の処理負担が軽減される。
【0127】
<第5の実施の形態>
第5の実施形態では、デバイス検証装置100が、クライアント装置200だけでなく、サーバ装置300の動作も検証する。
【0128】
(検証システム)
第5の実施の形態に係る検証システムは、図12に示すように、デバイス検証装置100と、クライアント装置200と、サーバ装置300とを備える。デバイス検証装置100及びクライアント装置200の構成は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0129】
サーバ装置300は、サービスプログラム保持部310と、検証部320と、検証結果通知部321と、ポリシー保持部232と、検証結果保持部323とを備える。
【0130】
サービスプログラム保持部310は、サービスプログラムを保持する。
【0131】
検証部320は、ポリシー保持部232に保持された検証ポリシーに基づき、サービスプログラムを検証する。
【0132】
検証結果通知部321は、検証結果をデバイス検証装置100へ通知する。
【0133】
ポリシー保持部322は、検証ポリシーを保持する。
【0134】
検証結果保持部323は、検証部320による検証結果を保持する。
【0135】
即ち、サーバ装置300の検証部320、検証結果通知部321、ポリシー保持部322、検証結果保持部323は、それぞれクライアント装置200の検証部230、検証結果通知部231、ポリシー保持部232、検証結果保持部233と同様の機能を有する。
【0136】
デバイス検証装置100は、検証結果の情報を利用して、クライアント装置200からサーバ装置300へのアクセスやサーバ装置300からデバイス検証装置100へのアクセスの可否を決定する。即ち、サーバ装置300における検証結果が正当であればサーバ装置300は正常と判断できるためアクセスを許可し、そうでなければサーバ装置300に異常があると判断してアクセスを拒否する。
【0137】
尚、上述したポリシー保持部322や検証結果保持部323は、RAM等の内部記憶装置を用いても良く、ハードディスクやフレキシブルディスク等の外部記憶装置を用いても良い。
【0138】
又、第3の実施の形態に係るサーバ装置300は、検証部320と、検証結果通知部321などをモジュールとして、CPUに内蔵する構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0139】
又、図示していないが、サーバ装置300は、検証処理、検証結果通知処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0140】
(作用及び効果)
第5の実施の形態に係るクライアント装置200、デバイス検証装置100、サーバ装置300及び検証方法によると、クライアント装置200及びサーバ装置300の動作を検証することができ、よりきめ細かな動作の検証を行うことができる。
【0141】
<その他の実施の形態>
本発明は上記の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。
【0142】
例えば、上記の実施の形態では、クライアント装置200がサーバ装置300にアクセスする際に毎回、検証結果を受け取ってサービス提供の可否を選択していたが、デバイス検証装置100はクライアント装置200の前回の検証時刻を覚えておき、ある時間内に到着したアクセスの検証を省略してもよい。
【0143】
このように、本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【図面の簡単な説明】
【0144】
【図1】第1の実施の形態に係る検証システムの構成ブロック図である。
【図2】第1の実施の形態に係る検証ポリシーの一例である。
【図3】第1の実施の形態に係る検証方法を示すフローチャートである(その1)。
【図4】第1の実施の形態に係る検証方法を示すフローチャートである(その2)。
【図5】第1の実施の形態に係る検証方法を示すフローチャートである(その3)。
【図6】第1の実施の形態に係る検証方法を示すフローチャートである(その4)。
【図7】第2の実施の形態に係る検証システムの構成ブロック図である。
【図8】第2の実施の形態に係る検証方法を示すフローチャートである。
【図9】第3の実施の形態に係る検証システムの構成ブロック図である。
【図10】第4の実施の形態に係る検証システムの構成ブロック図である。
【図11】第4の実施の形態に係る検証方法を示すフローチャートである。
【図12】第5の実施の形態に係る検証システムの構成ブロック図である。
【符号の説明】
【0145】
100…デバイス検証装置
110…ポリシー保持部
111…ポリシー検証部
112…ポリシー配備部
120…サービス提供制御部
121…サービス課金部
122…検証結果通知部
123…検証結果保持部
124…検証結果提示部
125…検証結果要求部
200…クライアント装置
210…制御部
220…サービスプログラム実行部
230…検証部
231…検証結果通知部
232…ポリシー保持部
233…検証結果保持部
300…サーバ装置
310…サービスプログラム保持部
320…検証部
321…検証結果通知部
322…ポリシー保持部
323…検証結果保持部
330…監視部
【技術分野】
【0001】
本発明は、クライアント装置、デバイス検証装置及び検証方法に関する。
【背景技術】
【0002】
携帯電話やPCなどのクライアント装置に情報通信サービスを提供する場合、クライアント装置の安全性を検証することが必要となる。
【0003】
例えば、デバイス検証装置が、クライアント装置内の信頼できる装置を利用してその完全性を調査し、サービス提供者(サービスプロバイダ)は、その調査結果を利用してサービス提供の可否を決定する技術が開示されている(例えば、特許文献1参照。)。この技術において、調査結果は、クライアント装置上にあるソフトウェア群のハッシュ値のリストを含み、信頼できる装置によってデジタル署名がされている。サービス提供者は、クライアント装置内のソフトウェア群の正当なハッシュ値のリストを保持しており、調査結果の署名を検証した後、各ハッシュ値を正当なハッシュ値と比較し、改ざんの有無を調べる。サービス提供者は、あるソフトウェアの改ざんを検出した場合や、正当なソフトウェア群以外のソフトウェアのハッシュ値が含まれていた場合、そのクライアント装置に対するサービス提供を拒否することができる。このように、サービス提供者はクライアント装置の安全性を検証した上で、サービス提供を行うことができる。
【特許文献1】特開2003−76585号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上述した従来技術では、サービスごとに異なる検証ポリシーを適用する手段と、検証結果に基づき、サービス対応で提供の可否を決定する手段を持たない。そのため、サービスごとに要求されるクライアント装置の動作や構成情報の検査に基づき、サービス提供の可否を決定することができない。さらに、検証により異常が発生した際に、全てのサービスへのアクセスが禁止され、ユーザのクライアント装置の利用が大きく限定される恐れがある。
【0005】
一方で、上述した従来技術では、検証ポリシー自身の検査の手段も持たないため、不適切な検証ポリシーがクライアント装置に導入されることよって、クライアント装置の安全性やユーザのプライバシーが損なわれる可能性がある。
【0006】
そこで、本発明は、上記の課題に鑑み、各サービスのポリシーをクライアント装置が満たしていることを保証し、安全なサービスプラットフォームを提供すると共に、サービス対応で適切なアクセス制限を行い、端末の安全性とプライバシーを保護するための、クライアント装置、デバイス検証装置及び検証方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明の第1の特徴は、提供されたサービスプログラムを実行することにより、サービスを利用するクライアント装置であって、(a)サービスプログラムに対応した、デバイス検証装置による検証後の検証ポリシーを保持するポリシー保持部と、(b)検証ポリシーを用いて、サービスプログラムを実行する際のクライアント装置自身の動作検証を行う検証部と、(c)検証部による検証結果を保持する検証結果保持部と、(d)検証結果を要求するデバイス検証装置に対して、検証結果を通知する検証結果通知部とを備えるクライアント装置であることを要旨とする。
【0008】
第1の特徴に係るクライアント装置によると、クライアント装置の安全性とプライバシーを保護しつつ、クライアント装置の動作について、サービスプログラムごとにきめ細かな検証を行うことができる。
【0009】
又、第1の特徴に係るクライアント装置のポリシー保持部は、予め定められた特定の装置からのみ取得した検証ポリシーを保持してもよい。
【0010】
又、第1の特徴に係るクライアント装置のポリシー保持部は、前記検証ポリシーの安全性を検証してもよい。
【0011】
又、第1の特徴に係るクライアント装置のポリシー保持部は、前記デバイス検証装置から必要なポリシーを取得して更新してもよい。
【0012】
又、第1の特徴に係るクライアント装置の検証部は、外部装置からの通知を契機に検証を行ってもよい。
【0013】
又、第1の特徴に係るクライアント装置は、クライアント装置の動作及び構成情報を監視し、前記検証部に監視情報を通知する監視部を更に備えてもよい。
【0014】
又、第1の特徴に係るクライアント装置の検証結果通知部は、前記検証ポリシーで指定されたタイミングで、デバイス検証装置に検証結果を通知してもよい。
【0015】
又、第1の特徴に係るクライアント装置において、検証ポリシーは、前記クライアント装置の機能の呼び出し命令を含み、検証部は、検証の結果に従って、前記機能の呼び出しを行ってもよい。
【0016】
本発明の第2の特徴は、(a)サービスプログラムに対応した検証ポリシーを保持するポリシー保持部と、(b)検証ポリシーの安全性を検証するポリシー検証部と、(c)サービスプログラムを実行するクライアント装置へ、ポリシー検証部によって安全性が確認された検証ポリシーを配備するポリシー配備部と、(d)検証ポリシーを用いて、サービスプログラムを実行する際の自身の動作検証を行うクライアント装置から取得した、検証結果を保持する検証結果保持部とを備えるデバイス検証装置であることを要旨とする。
【0017】
第2の特徴に係るデバイス検証装置によると、クライアント装置の安全性とプライバシーを保護しつつ、クライアント装置の動作についてきめ細かな検証を行うことができる。
【0018】
又、第2の特徴に係るデバイス検証装置は、検証結果に基づいて、クライアント装置の、サービスプログラムを提供するサーバ装置へのアクセスの可否を決定するサービス提供制御部とを更に備えてもよい。
【0019】
又、第2の特徴に係るデバイス検証装置は、検証結果に基づいて、クライアント装置の、サービスプログラムの利用に対する課金を行うサービス課金部を更に備えてもよい。
【0020】
又、第2の特徴に係るデバイス検証装置は、検証結果を出力装置に提示する検証結果提示部を更に備えてもよい。
【0021】
又、第2の特徴に係るデバイス検証装置において、ポリシー保持部に保持された検証ポリシーは、サービスプログラムを提供するサーバ装置から取得されてもよい。
【0022】
又、第2の特徴に係るデバイス検証装置のポリシー配備部は、サービスプログラムを提供するサーバ装置から指定されたクライアント装置、あるいは、サービスプログラムを提供するサーバ装置にアクセスするクライアント装置に検証ポリシーを配備してもよい。
【0023】
又、第2の特徴に係るデバイス検証装置は、サービスプログラムを提供するサーバ装置へ検証結果を通知する検証結果通知部を更に備えてもよい。
【0024】
又、第2の特徴に係るデバイス検証装置のポリシー保持部は、前記サービスプログラムを提供するサーバ装置から検証ポリシーを取得し、更新してもよい。
【0025】
又、第2の特徴に係るデバイス検証装置は、クライアント装置に検証結果の報告を要求する検証結果要求部を更に備えてもよい。
【0026】
又、第2の特徴に係るデバイス検証装置の検証結果要求部は、外部装置からの要求を受信して、前記クライアント装置に検証結果の報告を要求してもよい。
【0027】
本発明の第3の特徴は、提供されたサービスプログラムを実行することにより、サービスを利用するクライアント装置を検証する検証方法であって、(a)サービスプログラムに対応した検証ポリシーの安全性を検証するステップと、(b)サービスプログラムを実行するクライアント装置へ、検証するステップによって安全性が確認された検証ポリシーを配備するステップと、(c)検証ポリシーを用いて、サービスプログラムを実行する際のクライアント装置の動作検証を行うステップと、(d)動作検証の結果をデバイス検証装置へ通知するステップとを含む検証方法であることを要旨とする。
【0028】
第3の特徴に係る検証方法によると、クライアント装置の安全性とプライバシーを保護しつつ、クライアント装置の動作についてきめ細かな検証を行うことができる。
【発明の効果】
【0029】
本発明によると、各サービスのポリシーをクライアント装置が満たしていることを保証し、安全なサービスプラットフォームを提供すると共に、サービス対応で適切なアクセス制限を行い、端末の安全性とプライバシーを保護するための、クライアント装置、デバイス検証装置及び検証方法を提供することができる。
【発明を実施するための最良の形態】
【0030】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
【0031】
<第1の実施の形態>
第1の実施の形態では、デバイス検証装置が各サービス提供者の検証ポリシーの安全性を検証した後、検証ポリシーをクライアント装置内の信頼できる検証モジュールに与え、検証モジュールが通知する検証結果に従って、サービス提供の可否の決定を行うことについて説明する。
【0032】
(検証システム)
第1の実施の形態に係る検証システムは、図1に示すように、デバイス検証装置100と、クライアント装置200と、サーバ装置300とを備える。
【0033】
図1では、クライアント装置200とデバイス検証装置100とをそれぞれ1つ記載しているが、第1の実施の形態では、1つのデバイス検証装置100が複数のクライアント装置200と接続する。クライアント装置200とデバイス検証装置100は、ネットワークを通じて接続されるが、その接続形態は有線、無線のいずれかでもよく、パケット、回線交換、シリアル/パラレル通信など方式を問わない。
【0034】
又、デバイス検証装置100やクライアント装置200は、サービスをクライアント装置200に提供するサーバ装置300と上記と同様に任意の接続形態で接続している。サーバ装置300は、サービス提供者(サービスプロバイダ)の管理下にあるサーバであり、コンテンツやデータベース、オンラインショッピング、オンラインゲーム、バンキングなどの情報通信サービスを提供する。情報通信サービスには、例えば、企業イントラネットへのアクセスを提供するVPNサービス、メールサービス、無線LANサービスなども含まれる。
【0035】
クライアント装置200は、サービスプログラム実行部220と、検証部230と、検証結果通知部231と、ポリシー保持部232と、検証結果保持部233とを備える。
【0036】
サービスプログラム実行部220は、サービス提供者のサービスを利用するためのサービスプログラムを実行するものであり、複数のサービスプログラムを同時に実行してもよい。サービスプログラムは、VPNモジュールやメールリーダ、コンテンツやデータベースのビューワやプレーヤ、ブラウザなどの任意のソフトウェアである。
【0037】
ポリシー保持部232は、後述するデバイス検証装置100による検証後のサービスプログラムに対応した検証ポリシーを保持する。又、デバイス検証装置100に対して、クライアント装置200にインストールされているサービスプログラムのリストを送信し、必要な検証ポリシーを要求する。検証ポリシーは、デバイス検証装置100から直接通信を介して取得されることを想定するが、メモリーカードなどの記憶メディアを利用して取得されてもよい。又、サービスプログラムと一緒にサービス提供者のサーバから取得されてもよい。又、ポリシー保持部232は、検証ポリシーの安全性を検証してもよい。例えば、検証ポリシーの安全性を検証するために、デジタル署名を検査したり、検証ポリシー内の規則やコードが不必要な情報の読み込みや書き込みを行わないかを検査したりする。ポリシー保持部232は、検証ポリシーが安全でないと判断した場合は、そのポリシーを破棄し、保持しない。
【0038】
検証部230は、サービスプログラムに対応した、検証ポリシーを用いて、サービスプログラムを実行する際のクライアント装置200自身の動作状態および構成の検証を行う。検証部230は、外部からの通知を契機に、クライアント装置の検証を行ってもよい。複数のサービスプログラムが動作している場合、それぞれに対応したサービスプログラムを実行する。更に、検証ポリシーは、クライアント装置200の機能の呼び出し命令を含んでもよく、検証部230は、検証の結果に従って、当該機能の呼び出しを行ってもよい。クライアント装置200の機能の例としては、課金機能やアクセス制御機能があり、検証の結果に応じて課金に反映したり、アクセス制御機能の呼び出しによって、あるミドルウェアやAPI(Application Programming Interface)をブロックしたりする。検証部230には、外部装置やクライアント装置内のソフトウェアからの検証処理の妨害や検証結果の改ざんなどの攻撃に対して保護する耐タンパ性を持たせる必要があるため、検証部230は、例えば、スマートカード(ICカード)やTrusted Computing Group(www.trustedcomputing)が仕様を規定しているTPM(Trusted Platform Module)を利用して実装することができる。あるいは、クライアント装置200に仮想マシンモニタの機構を導入してクライアント装置上に複数の仮想マシンを構築し、サービスプログラムを実行する仮想マシンと別の仮想マシンで信頼できる検証部を実行してもよい。
【0039】
ここで、検証ポリシーは、デバイス検証装置100やサーバ装置300から取得される。検証ポリシーは、サービスプログラム特有の検証規則を持つものであり、サービスプログラムの、1.動作、2.セキュリティ要求に合わない他プログラムの起動の有無、3.必要とするモジュールの起動の有無、などを検証可能とする。他にも、システム/アプリファイルの完全性や、アンチウィルスのパターンファイルが最新か、ファイアウォールの特定のポートが有効になっているか等を検証してもよい。又、検証ポリシーは、課金やログなどの機能を呼び出してもよい。検証ポリシーの例として、メールサービスのサービスプログラムに対する検証ポリシーと、バンキングサービスに対する検証ポリシーをそれぞれ図2の(a)、(b)に示す。メールサービスの例では、多数のメール送信を検知した際(3、5行目のrate_monitor関数に対応)、その量に応じて、メール送信サービスへのアクセスをブロックするか(4行目のapi_lock関数に対応)、特別な課金を施す(6行目のaccounting関数に対応)という規則が設定されている。一方、バンキングサービスの例では、バンキングプログラムがサーバにアクセスする際、信頼されたパーティによるデジタル署名を持たないアプリが動作していた場合(3行目に対応)、ブロックしてログを送信する(4、5行目に対応)、という規則が設定されている。
【0040】
尚、検証ポリシーは図2のように、規則の形式でもよく、プログラムの形式であってもよい。規則の形式の場合、検証部230は、その規則を解釈して検証を行い、プログラムの形式の場合、検証部230は、その検証ポリシーのプログラムを実行する。
【0041】
検証結果保持部233は、検証部230による検証結果(検証ログ)を保持する。検証結果としては、例えば、図2のメールサービスの例では、メール送信の頻度やメール送信をロックした回数や時刻、バンキングサービスの例では、バンキングサービスをブロックしたというイベント情報や、動作中の非信頼アプリケーションの種別などが挙げられる。他にも、接続中のネットワーク名や種別、接続した外部デバイスの種別などを検証結果に含んでもよい。検証結果保持部233に保持された検証結果は、後述する検証結果通知部231によって通知された場合、削除されてもよい。
【0042】
検証結果通知部231は、検証結果を要求する外部装置に対して、検証結果を通知する。検証結果通知部231は、デバイス検証装置100からの要求に対して検証結果を通知してもよく、検証ポリシーで指定されたタイミングで、デバイス検証装置100に検証結果を通知してもよい。外部装置の例としては、デバイス検証装置100やサーバ装置300などがある。検証結果を通知する際、検証結果の改ざんや検証部230へのなりすましを防ぐため、検証部230は検証結果に対してデジタル署名や暗号化を行ってもよい。
【0043】
監視部240は、クライアント装置200の動作および構成情報を監視し、検証部230に監視情報を通知する。例えば、サービスプログラムの起動や終了、活性(アクティブなウィンドウ状態)や非活性(スリープやバックグラウンドでの実行)などの状態、接続中のネットワークの種別や状態(接続や切断)、接続中の外部デバイスの種別や状態、ファイルの完全性の状態などを監視する。検証部への監視情報の通知のタイミングは、状態の変化や周期的なタイマ、異常の検知などを契機とする。
【0044】
尚、上述したポリシー保持部232や検証結果保持部233は、RAM等の内部記憶装置を用いても良く、ハードディスクやフレキシブルディスク等の外部記憶装置を用いても良い。
【0045】
又、第1の実施の形態に係るクライアント装置200は、サービスプログラム実行部220、検証部230、検証結果通知部231などをモジュールとして、CPUに内蔵する構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0046】
又、図示していないが、クライアント装置200は、サービスプログラム実行処理、検証処理、検証結果通知処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0047】
デバイス検証装置100は、ポリシー保持部110と、ポリシー検証部111と、ポリシー配備部112と、サービス提供制御部120と、サービス課金部121と、検証結果通知部122と、検証結果保持部123と、検証結果提示部124と、検証結果要求部125とを備える。
【0048】
ポリシー保持部110は、サービスプログラムに対応した検証ポリシーを保持する。この検証ポリシーは、サービスプログラムを提供するサーバ装置300から取得される。例えば、サービス提供者やサービスプログラムの開発者、通信業者などによって与えられる。
【0049】
ポリシー検証部111は、検証ポリシーの安全性を検証する。例えば、ポリシー検証部111は、クライアント装置200のユーザのリソースやプライバシー情報を保護するため、検証ポリシー内の規則やコードが不必要な情報の読み込みや書き込みを行わないかを解釈、検査する。安全でないと判断した場合は、ポリシー検証部111は、クライアント装置にそのポリシーを配備することを拒否する。
【0050】
ポリシー配備部112は、サービスプログラムを実行するクライアント装置200の信頼できる検証部230へ、ポリシー検証部111によって安全性が確認された検証ポリシーを配備する。具体的には、ポリシー配備部112は、検証部230とセキュアなチャネルを確立した後、検証ポリシーを送り込む。検証ポリシーの改ざんやデバイス検証装置へのなりすましを防ぐため、検証ポリシーに対してデジタル署名や暗号化を行ってもよい。
【0051】
又、ポリシー配備部112は、サービスプログラムを提供するサーバ装置300から指定されたクライアント装置200、あるいは、サービスプログラムを提供するサーバ装置300にアクセスするクライアント装置200に検証ポリシーを配備してもよい。
【0052】
検証結果保持部123は、クライアント装置200から検証結果を取得し、保持する。検証結果(検証ログ)は、例えば、時刻とイベント情報から構成することができる。
【0053】
又、検証結果保持部123に保持された検証結果は、所定の時間が経過した後、削除されてもよい。
【0054】
サービス提供制御部120は、検証結果に基づいて、クライアント装置200の、サービスプログラムを提供するサーバ装置300へのアクセスの可否を決定する。例えば、サービス提供制御部120は、クライアント装置200が検証ポリシーを侵害する動作を行った場合、クライアント装置200からサーバ装置300へのアクセスを拒否したり、特定の装置(クライアント装置の異常状態を修復する装置など)へアクセスをリダイレクトしたりする。図2の検証ポリシーにおいては、大量のメール送信を行う動作をした場合や、信頼できないプログラムが起動中の場合が、アクセスを拒否するケースに相当する。アクセスの拒否の手段として、デバイス検証装置100自身がクライアント装置からのアクセス要求を受け付け、許可したアクセス要求のみをサーバ装置に渡す手段を用いてもよく、クライアント装置200からサーバ装置300への経路上のアクセス制御装置にブロックの要求を送信し、アクセス制御を行ってもよい。さらに、クライアント装置がサーバ装置に提示する証明書やチケットの無効化や有効化を行うことで、アクセス制御を行ってもよい。
【0055】
検証結果要求部125は、クライアント装置200に検証結果を要求する。検証結果の要求は、クライアント装置200が保持している検証結果の報告でもよく、クライアント装置200が検証結果の要求を受けた段階で検証を行った後の最新の検証結果の報告でもよい。又、検証結果の全体や一部などのフィルタリングの要求を含めてもよい。更に、検証結果要求部125は、外部装置からの要求を受信して、クライアント装置200への報告を要求してもよい。外部装置は、例えば、サーバ装置300やアクセス制御装置などであり、クライアント装置の検証を任意のタイミングで要求することができる。
【0056】
サービス課金部121は、検証結果に基づいて、クライアント装置200の、サービスプログラムの利用に対する課金を行う。例えば、視聴や遊戯回数(ペイパービュー、ペイパープレイなど)に応じた課金をしてもよく、サービス利用時間に応じた課金をしてもよい。又、課金した情報をサーバ装置300へ通知し、代金の支払いや手数料の徴収などの決済を行ってもよい。
【0057】
検証結果通知部122は、サービスプログラムを提供するサーバ装置300へ検証結果を通知する。検証結果通知部122は、複数のクライアント装置の検証結果をまとめて通知してもよく、暗号化や署名を行った検証結果を通知してもよい。
【0058】
検証結果提示部124は、検証結果を出力装置に提示する。出力装置とは、モニタなどの画面を指し、液晶表示装置(LCD)、発光ダイオード(LED)パネル、エレクトロルミネッセンス(EL)パネル等が使用可能である。また、出力装置はプリンターでも構わない。
【0059】
尚、上述したポリシー保持部110や検証結果保持部123は、RAM等の内部記憶装置を用いても良く、ハードディスクやフレキシブルディスク等の外部記憶装置を用いても良い。
【0060】
又、第1の実施の形態に係るデバイス検証装置100は、ポリシー検証部111、ポリシー配備部112、サービス提供制御部120、サービス課金部121、検証結果通知部122などをモジュールとして、CPUに内蔵する構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0061】
又、図示していないが、デバイス検証装置100は、ポリシー検証処理、ポリシー配備処理、サービス提供制御処理、サービス課金処理、検証結果通知処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0062】
(検証方法)
次に、第1の実施の形態に係る検証方法について、図3〜6を用いて説明する。
【0063】
まず、図3を用いて、デバイス検証装置100がクライアント装置からサーバ装置300へのアクセスを受け付けた場合の、サービス提供の可否の決定方法について説明する。
【0064】
まず、ステップS101において、クライアント装置200からサーバ装置300へのアクセスを受け付けると、ポリシー保持部110は当該サービスプログラムに対応した検証ポリシーを保持しているか否か判断する。保持していない場合は、ステップS108へ進み、検証を必要としないサービスであると判断してアクセスを許可する。
【0065】
検証ポリシーを保持している場合、ステップS103へ進み、サービス提供制御部120は、当該クライアント装置200の検証部230に検証結果の通知を要求する。
【0066】
このとき、ステップS104において、検証結果の通知の要求が失敗した場合、ステップS106において、クライアント装置200に検証ポリシーが正しく配備されていないと判断し、検証ポリシーを配備する。通知の要求が失敗した場合とは、クライアント装置から検証結果の応答が返信されずタイムアウトする場合や、応答が壊れている場合、あるいは、検証ポリシーのバージョンが古く、無効な場合が含まれる。一方、検証結果の応答を取得できた場合、ステップS105において、検証結果のデジタル署名を検証し、検証結果を解釈する。
【0067】
次に、ステップS107において、検証結果において検証規則の侵害がなければ、ステップS108へ進み、サーバ装置300へのアクセスを許可する。又、このとき、サービスの課金も行ってもよい。この可否決定手順は、サーバ装置300へのアクセスだけでなく、VPNなどによるインターネットへのアクセスの可否の決定に適用してもよい。
【0068】
一方、検証結果の解釈においてサービスへのアクセスを拒否する場合、例えば図2の検証ポリシーにおいて大量のメール送信があったり、信頼できないアプリケーションが動作していたりした場合、ステップS109へ進み、サーバ装置へのアクセスを拒否する。あるいは、特定の装置(クライアント装置の異常状態を修復する装置など)へアクセスをリダイレクトする。
【0069】
ここで、変形例として、ステップS101において、ポリシー保持部110は、当該サービスプログラムに対応した検証ポリシーを保持していない場合、当該のサーバ装置300に検証ポリシーがあるかを問い合わせてもよい。検証ポリシーがある場合は、ポリシー保持部110は、サーバ装置300から検証ポリシーを取得し、検証ポリシーがない場合は、検証を必要としないサービスであると判断してアクセスを許可してもよい。
【0070】
又、図3に示すフローチャートでは、デバイス検証装置100自身がクライアント装置200からのアクセス要求を受け付け、許可したアクセス要求のみをサーバ装置に渡す例を説明したが、変形例として、アクセス制御を独立して行うアクセス制御装置を、クライアント装置とサーバ装置の間に配置し、アクセス制御装置が、クライアント装置からの要求を受け付けてもよい。この場合、アクセス制御装置は、クライアント装置200からの要求を受け付けた際にデバイス検証装置100にアクセス要求の可否を照会し、その結果にしたがって、アクセス制御を行ってもよい。
【0071】
第2の変形例として、ステップS103で、クライアント装置の検証部は、検証ポリシーに従って、検証を行い、その結果、そのサービスへのアクセスを制限するために、クライアント装置のアクセス制御機能を呼び出したり、課金を行うために、クライアント装置の課金機能を呼び出したりしてもよい。
【0072】
次に、図4を用いて、デバイス検証装置100がサーバ装置300から検証ポリシーを取得した場合の、クライアント装置200への検証ポリシー配備方法について説明する。
【0073】
まず、ステップS201において、ポリシー保持部110がサーバ装置300から検証ポリシーを取得し、保持すると、ステップS202において、ポリシー検証部111が検証ポリシーの安全性を検証する。
【0074】
ステップS203において、ポリシー検証部111が安全でないと判断した場合、ステップS205において、当該サーバ装置300にポリシーの検証結果と共にそのポリシーが受け入れられないことを通知する。一方、検証ポリシーを安全だと判断した場合、ステップS204において、ポリシー保持部110は、当該サービスに対応した検証ポリシーを更新する。
【0075】
そして、ステップS206において、ポリシー配備部112が対象となる各クライアント装置200にその検証ポリシーを配備する。対象となるクライアント装置200のリストは、サーバ装置300から提供されるか、サービス利用者のクライアント装置200のリストを管理するデータベースを参照するなどして獲得する。
【0076】
そして、ステップS207において、すべてのクライアント装置に対して検証ポリシーの配備が完了したら本手順を終了する。ネットワークに接続していない、電源がオフであるなどの理由で、検証ポリシーの配備に失敗したクライアント装置200に対しては、ある時間を経過した後、再度、配備を試みる。ポリシー配備部112は、再配備の回数に上限を設けてもよい。
【0077】
変形例として、上記では、デバイス検証装置が能動的に、クライアント装置と接続してポリシーを配備する手順を説明したが、クライアント装置のポリシー保持部からの要求に基づき、ポリシーを配備してもよい。ポリシー配備部は、クライアント装置上のサービスプログラムのリストを要求に含め、デバイス検証装置に要求し、デバイス検証装置はその要求に基づき、必要な検証ポリシーすべてをクライアント装置に配備する。
【0078】
別の変形例として、図3のステップS104で述べたように、検証結果の応答が古い場合や、無効な場合、あるいは応答がタイムアウト以内に到着しない場合に、ポリシーを更新してもよい。
【0079】
次に、図5を用いて、クライアント装置200がデバイス検証装置100から検証ポリシーの配備要求を受け付けた場合の、検証ポリシー導入方法について説明する。
【0080】
まず、ステップS301において、デバイス検証装置100から検証ポリシーの配備要求を受け付ける。次に、ステップS302において、ポリシー保持部は、検証ポリシーが正当かどうかをデジタル署名の検証や、検証ポリシーの中身のスキャンによって、検査する。
【0081】
そして、正当な検証ポリシーであった場合、ステップS303において、ポリシー保持部は、検証ポリシーを導入、あるいは更新する。一方、検証ポリシーが正当なデバイス検証装置からのものでなかったり、改ざんされていたり、中身にクライアント装置の安全性やプライバシーを侵害するような規則やコードが含まれていて、正当でないと判断した場合は、ステップS304において、ポリシー保持部は、配備要求を拒否する。
【0082】
次に、図6を用いて、クライアント装置200がデバイス検証装置100から検証ポリシーの通知要求を受け付けた場合の、検証結果通知方法について説明する。
【0083】
ステップS401において、クライアント装置200がデバイス検証装置100から検証ポリシーの通知要求を受け付ける。次に、ステップS402において、検証部230は、要求元が正当なデバイス検証装置100から送信されたものかをデジタル署名の検証によって確認する。
【0084】
そして、正当なデバイス検証装置からの要求であれば、ステップS403において、検証結果通知部は、検証結果保持部から検証結果を取得し、デバイス検証装置100へ検証結果を通知する。このとき、通知された検証結果は、検証結果保持部から削除されてもよい。一方、正当なものでないと判断した場合は、ステップS404において、検証結果通知部は、通知要求を拒否する。
【0085】
変形例として、検証ポリシーの通知要求は、通知要求を受けた時点での検証や検証結果の時刻の範囲に関する要求を含んでもよい。検証結果通知部は、検証ポリシーの通知要求を解釈し、必要であれば、ステップS403において、検証結果通知部は、検証部を起動して検証させ、新たな検証結果を得た後、検証結果保持部から検証結果を取得して、デバイス検証装置100へ検証結果を通知してもよい。
【0086】
(作用及び効果)
第1の実施の形態に係るクライアント装置200、デバイス検証装置100及び検証方法によると、クライアント装置200の検証部230が、デバイス検証装置100によって、安全性が確認された検証ポリシーに従って、クライアント装置200を検証することができる。このため、サービス提供者ごとに異なるセキュリティ要求に基づく検証ポリシーを利用して、クライアント装置の動作や設定状態、完全性情報、インストールされたソフトウェアのバージョンなどをきめ細かく検査でき、より安全なサービス提供環境を提供できる。
【0087】
又、デバイス検証装置100で検証ポリシーを集中管理し、検証後にクライアント装置200に配備することで、クライアント装置200の安全性の維持と、サーバ装置300の管理や配備の負担を軽減できる。
【0088】
又、クライアント装置200のポリシー保持部232は、予め定められた特定の装置からのみ取得した検証ポリシーを保持してもよい。任意の装置がクライアント装置200内の検証部230に検証ポリシーを導入可能とすると、クライアント装置の安全性やプライバシーが損なわれる危険性があるが、その危険性を回避できる。
【0089】
又、クライアント装置200は、検証結果保持部233を備えるため、検証結果をまとめてデバイス検証装置100に送信することができ、通信量の削減や、クライアント装置200が一時的にネットワークから切断していても、その後の接続時にデバイス検証装置へ送信することが可能となる。
【0090】
又、クライアント装置200の検証結果保持部233に保持された検証結果は、デバイス検証装置100に通知された後、削除されてもよい。このため、クライアント装置200に保持される検証結果(検証ログ)が増大することによる記憶容量の圧迫や検証ログのあふれを防止することができる。
【0091】
又、クライアント装置200のポリシー保持部232は、検証ポリシーの安全性を検証してもよい。このため、検証ポリシーの安全性をより高めることができる。
【0092】
又、クライアント装置200のポリシー保持部232は、デバイス検証装置100から必要なポリシーを取得して更新してもよい。このため、クライアント装置200は、適切なポリシーを常時保持することができる。
【0093】
又、クライアント装置200の検証部230は、外部装置からの通知を契機に検証を行ってもよい。このため、クライアント装置200は、外部装置の要求に応じて、検証を行うことができる。
【0094】
又、クライアント装置200は、クライアント装置200の動作及び構成情報を監視し、検証部230に監視情報を通知する監視部240を更に備える。このため、クライアント装置200は、常時、監視情報を把握することができる。
【0095】
又、クライアント装置200の検証結果通知部231は、検証ポリシーで指定されたタイミングで、デバイス検証装置に検証結果を通知してもよい。このため、クライアント装置200は、検証ポリシーに従った適切なタイミングでな検証結果を通知できる。
【0096】
又、検証ポリシーは、前記クライアント装置の機能の呼び出し命令を含み、検証部230は、検証の結果に従って、当該機能の呼び出しを行ってもよい。このため、クライアント装置200は、検証ポリシーに従って、課金や機能のロックなどの適切な処理を行うことができる。
【0097】
第1の実施の形態に係るデバイス検証装置100は、クライアント装置200に与えた検証ポリシーに基づく検証結果を取得し、それを解釈した上でサーバ装置300へのアクセスの可否を決定する。このため、サーバ装置300は、クライアント装置200を信頼してサービスを提供することができる。
【0098】
又、デバイス検証装置100のポリシー検証部111は、検証ポリシーの安全性を検証する。このため、クライアント装置の安全性やプライバシーを保護することができる。
【0099】
又、デバイス検証装置100のサービス提供制御部120は、検証結果に基づいて、クライアント装置200の、サービスプログラムを提供するサーバ装置300へのアクセスの可否を決定する。このため、信頼関係を確立したクライアント装置200のみがサーバ装置300へアクセスすることが可能となる。
【0100】
又、デバイス検証装置100のサービス課金部121は、検証結果に基づいて、サービスの利用に対する課金を行う。このため、クライアント装置の検証に基づく、視聴や遊戯回数、時間(ペイパービュー、ペイパープレイなど)に応じた柔軟な課金が可能となる。又、サービス提供者の課金や検証の処理の負担を軽減できる。
【0101】
又、デバイス検証装置100の検証結果保持部123に保持された検証結果、所定の時間が経過した後、削除されてもよい。このため、デバイス検証装置100の検証結果(検証ログ)の増大による記憶容量の圧迫や、検証ログのあふれを防止できる。
【0102】
又、デバイス検証装置100の検証結果提示部124は、検証結果を出力装置に提示する。このため、デバイス検証装置100の運用者は、ユーザに対してサービス課金の根拠や、サービス提供の停止の根拠を示すことができる。
【0103】
又、デバイス検証装置100のポリシー保持部110に保持された検証ポリシーは、サービスプログラムを提供するサーバ装置300から取得されてもよい。このため、各サービス提供者の要求に応じてサービスプログラムを検証することができ、より安全なサービス提供やきめ細かな課金が可能となる。又、サービス提供者の検証ポリシーの変更にも対応できる。
【0104】
又、デバイス検証装置100のポリシー配備部112は、サービスプログラムを提供するサーバ装置300から指定されたクライアント装置、あるいは、サービスプログラムを提供するサーバ装置300にアクセスするクライアント装置に検証ポリシーを配備する。このため、サーバ装置300は、検証ポリシーの配備をデバイス検証装置100に任せることができ、その処理負担を削減できる。又、サーバ装置300にアクセスするクライアント装置200に確実に検証ポリシーを配備して、安全なサービス提供を可能とする。
【0105】
又、デバイス検証装置100の検証結果通知部122は、サービスプログラムを提供するサーバ装置300へ検証結果を通知する。このため、サービス提供者自身が柔軟な課金やサービス提供の可否の選択を行うことができる。
【0106】
又、デバイス検証装置100のポリシー保持部110は、サービスプログラムを提供するサーバ装置300から検証ポリシーを取得し、更新してもよい。このため、デバイス検証装置100は、適切なポリシーを常時保持することができる。
【0107】
又、デバイス検証装置100は、クライアント装置200に検証結果の報告を要求する検証結果要求部125を更に備える。このため、デバイス検証装置100は、クライアント装置200から任意のタイミングで、検証結果を受信することができる。
【0108】
又、検証結果要求部125は、外部装置からの要求を受信して、前記クライアント装置に検証結果の報告を要求してもよい。このため、外部装置の要求に応じて、検証結果を受信することができる。
【0109】
<第2の実施の形態>
第2の実施の形態では、クライアント装置200上で、検証部230などを配置する環境(ドメイン1)から隔離された環境(ドメイン2)に、監視部240とサービスプログラム実行部220を配置する。
【0110】
(検証システム)
第2の実施の形態に係る検証システムは、図7に示すように、クライアント装置200上で、検証部230、ポリシー保持部231、検証結果保持部232、検証結果通知部233を環境(ドメイン1)200aに配置し、監視部240とサービスプログラム実行部220とを、ドメイン1から隔離された環境(ドメイン2)に、配置する構成をとる。検証部230が、サービスプログラムの動作を検証する点以外は、第1の実施の形態と同様であるため、ここでは説明を省略する。
【0111】
(検証方法)
第2の実施の携帯に係る検証方法は、検証部230が、サービスプログラムの動作を検証する手順以外は第1の実施の形態と同様であるため、ここでは説明を省略し、検証手順のみを説明する。
【0112】
監視部240は、図8に示すように、ステップS501において、クライアント装置200の動作および構成情報を監視し、ステップS502において、監視状態の変化を検知した場合、ステップS503において、検証部230に監視結果を通知する。監視部240は、例えば、サービスプログラムの起動や終了、活性(アクティブなウィンドウ状態)や非活性(スリープやバックグラウンドでの実行)などの状態、接続中のネットワークの種別や状態(接続や切断)、接続中の外部デバイスの種別や状態、ファイルの完全性の状態などを監視する。そして、状態の変化が起きた際に、ステップS503において、検証部230を起動する。検証部230は、ステップS504において、検証ポリシーに従って、検証結果をデバイス検証装置の通知や、ログの記録、アクセス制御機能などのクライアント装置の機能の呼び出しなどのアクションを実行する。
【0113】
変形例として、検証部230が監視部240へ監視結果を要求し、監視結果を受け取ってもよい。
【0114】
(作用及び効果)
第2の実施の形態では、監視部240とサービスプログラム実行部220とを隔離した環境に配置することで、第1の実施の形態と比べ、検証部230やクライアント装置のアクセス制御機能や課金機能の保護を強化できる。すなわち、隔離環境にあるサービスプログラムやその他のプログラムの異常動作や攻撃の影響を受けずに、検証やその他のクライアント装置の機能を実行できる。
【0115】
<第3の実施の形態>
第1の実施の形態では、デバイス検証装置100がクライアント装置200からのアクセス要求を受け付け、 検証結果に基づき、許可したアクセス要求のみをサーバ装置に渡す実施例を説明したが、第3の実施形態では、 アクセス制御を独立して行うアクセス制御装置400を、クライアント装置とサーバ装置の間に配置し、アクセス制御装置400にクライアント装置からの要求を受け付ける
(検証システム)
第3の実施の形態に係る検証システムは、図9に示すように、デバイス検証装置100と、クライアント装置200と、サーバ装置300とアクセス制御装置400を備える。第1の実施形態との違いは、クライアント装置200からのサーバ装置300に対するアクセス要求は、アクセス制御装置400に受け付けられ、アクセス制御装置400が、検証が必要なサービスについては、デバイス検証装置100に検証を要求する点と、デバイス検証装置が検証結果に基づき、サーバ装置へのアクセス制限を行う際に、アクセス制御装置400にアクセス制限を要求する点である。
【0116】
その他の点は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0117】
(作用及び効果)
アクセス制御機能を、アクセス制御装置400に分離することで、複数のアクセス制御装置の利用など、より柔軟な構成をとることができ、負荷分散などをはかることができる。
【0118】
<第4の実施の形態>
第1の実施の形態では、デバイス検証装置100が検証結果に基づき、サービス提供の可否の決定や課金を行っていたが、第4の実施の形態では、サーバ装置300(サービス提供者)がその処理を行う。
【0119】
(検証システム)
第2の実施の形態に係る検証システムは、図10に示すように、デバイス検証装置100と、クライアント装置200と、サーバ装置300とを備える。
【0120】
第1の実施の形態においてデバイス検証装置100内に配置されていたサービス提供制御部120及びサービス課金部121が、サーバ装置300内に配置されたこと以外は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0121】
(検証方法)
次に、第4の実施の形態に係る検証方法について、図11を用いて説明する。図11は、デバイス検証装置100がクライアント装置からサーバ装置300へのアクセスを受け付けた場合の、検証結果の通知方法について説明する。
【0122】
まず、ステップS601において、クライアント装置200からサーバ装置300へのアクセスを受け付けると、ステップS602において、ポリシー保持部110は当該サービスプログラムに対応した検証ポリシーを保持しているか否か判断する。保持していない場合は、検証を必要としないサービスであると判断してアクセスを許可する。
【0123】
検証ポリシーを保持している場合、ステップS603へ進み、サービス提供制御部120は、当該クライアント装置200の検証部230に検証結果の通知を要求する。
【0124】
このとき、ステップS604において、検証結果の通知の要求が失敗した場合、ステップS606において、クライアント装置200に検証ポリシーが正しく配備されていないと判断し、検証ポリシーを配備する。一方、検証結果の応答を取得できた場合、ステップS605において、検証結果のデジタル署名を検証し、検証結果を解釈する。
【0125】
次に、ステップS607において、検証結果通知部122は、サーバ装置300へ検証結果を通知する。サーバ装置300は、この検証結果を用いて、サービス提供の可否の決定や課金を行う。
【0126】
(作用及び効果)
第4の実施の形態では、サーバ装置300がサービス提供の可否の決定や課金を行うため、第1の実施の形態と比べ、デバイス検証装置100の処理負担が軽減される。
【0127】
<第5の実施の形態>
第5の実施形態では、デバイス検証装置100が、クライアント装置200だけでなく、サーバ装置300の動作も検証する。
【0128】
(検証システム)
第5の実施の形態に係る検証システムは、図12に示すように、デバイス検証装置100と、クライアント装置200と、サーバ装置300とを備える。デバイス検証装置100及びクライアント装置200の構成は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0129】
サーバ装置300は、サービスプログラム保持部310と、検証部320と、検証結果通知部321と、ポリシー保持部232と、検証結果保持部323とを備える。
【0130】
サービスプログラム保持部310は、サービスプログラムを保持する。
【0131】
検証部320は、ポリシー保持部232に保持された検証ポリシーに基づき、サービスプログラムを検証する。
【0132】
検証結果通知部321は、検証結果をデバイス検証装置100へ通知する。
【0133】
ポリシー保持部322は、検証ポリシーを保持する。
【0134】
検証結果保持部323は、検証部320による検証結果を保持する。
【0135】
即ち、サーバ装置300の検証部320、検証結果通知部321、ポリシー保持部322、検証結果保持部323は、それぞれクライアント装置200の検証部230、検証結果通知部231、ポリシー保持部232、検証結果保持部233と同様の機能を有する。
【0136】
デバイス検証装置100は、検証結果の情報を利用して、クライアント装置200からサーバ装置300へのアクセスやサーバ装置300からデバイス検証装置100へのアクセスの可否を決定する。即ち、サーバ装置300における検証結果が正当であればサーバ装置300は正常と判断できるためアクセスを許可し、そうでなければサーバ装置300に異常があると判断してアクセスを拒否する。
【0137】
尚、上述したポリシー保持部322や検証結果保持部323は、RAM等の内部記憶装置を用いても良く、ハードディスクやフレキシブルディスク等の外部記憶装置を用いても良い。
【0138】
又、第3の実施の形態に係るサーバ装置300は、検証部320と、検証結果通知部321などをモジュールとして、CPUに内蔵する構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0139】
又、図示していないが、サーバ装置300は、検証処理、検証結果通知処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0140】
(作用及び効果)
第5の実施の形態に係るクライアント装置200、デバイス検証装置100、サーバ装置300及び検証方法によると、クライアント装置200及びサーバ装置300の動作を検証することができ、よりきめ細かな動作の検証を行うことができる。
【0141】
<その他の実施の形態>
本発明は上記の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。
【0142】
例えば、上記の実施の形態では、クライアント装置200がサーバ装置300にアクセスする際に毎回、検証結果を受け取ってサービス提供の可否を選択していたが、デバイス検証装置100はクライアント装置200の前回の検証時刻を覚えておき、ある時間内に到着したアクセスの検証を省略してもよい。
【0143】
このように、本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【図面の簡単な説明】
【0144】
【図1】第1の実施の形態に係る検証システムの構成ブロック図である。
【図2】第1の実施の形態に係る検証ポリシーの一例である。
【図3】第1の実施の形態に係る検証方法を示すフローチャートである(その1)。
【図4】第1の実施の形態に係る検証方法を示すフローチャートである(その2)。
【図5】第1の実施の形態に係る検証方法を示すフローチャートである(その3)。
【図6】第1の実施の形態に係る検証方法を示すフローチャートである(その4)。
【図7】第2の実施の形態に係る検証システムの構成ブロック図である。
【図8】第2の実施の形態に係る検証方法を示すフローチャートである。
【図9】第3の実施の形態に係る検証システムの構成ブロック図である。
【図10】第4の実施の形態に係る検証システムの構成ブロック図である。
【図11】第4の実施の形態に係る検証方法を示すフローチャートである。
【図12】第5の実施の形態に係る検証システムの構成ブロック図である。
【符号の説明】
【0145】
100…デバイス検証装置
110…ポリシー保持部
111…ポリシー検証部
112…ポリシー配備部
120…サービス提供制御部
121…サービス課金部
122…検証結果通知部
123…検証結果保持部
124…検証結果提示部
125…検証結果要求部
200…クライアント装置
210…制御部
220…サービスプログラム実行部
230…検証部
231…検証結果通知部
232…ポリシー保持部
233…検証結果保持部
300…サーバ装置
310…サービスプログラム保持部
320…検証部
321…検証結果通知部
322…ポリシー保持部
323…検証結果保持部
330…監視部
【特許請求の範囲】
【請求項1】
提供されたサービスプログラムを実行することにより、サービスを利用するクライアント装置であって、
前記サービスプログラムに対応した、デバイス検証装置による検証後の検証ポリシーを保持するポリシー保持部と、
前記検証ポリシーを用いて、前記サービスプログラムを実行する際の前記クライアント装置自身の動作検証を行う検証部と、
前記検証部による検証結果を保持する検証結果保持部と、
前記検証結果を要求する前記デバイス検証装置に対して、前記検証結果を通知する検証結果通知部と
を備えることを特徴とするクライアント装置。
【請求項2】
前記ポリシー保持部は、前記検証ポリシーの安全性を検証することを特徴とする請求項1に記載のクライアント装置。
【請求項3】
前記ポリシー保持部は、前記デバイス検証装置から必要なポリシーを取得して更新することを特徴とする請求項1又は2に記載のクライアント装置。
【請求項4】
前記検証部は、外部装置からの通知を契機に検証を行うことを特徴とする請求項1〜3のいずれか1項に記載のクライアント装置。
【請求項5】
前記クライアント装置の動作及び構成情報を監視し、前記検証部に監視情報を通知する監視部を更に備えることを特徴とする請求項1〜4のいずれか1項に記載のクライアント装置。
【請求項6】
前記検証結果通知部は、前記検証ポリシーで指定されたタイミングで、デバイス検証装置に検証結果を通知することを特徴とする請求項1〜5のいずれか1項に記載のクライアント装置。
【請求項7】
前記検証ポリシーは、前記クライアント装置の機能の呼び出し命令を含み、
前記検証部は、検証の結果に従って、前記機能の呼び出しを行うことを特徴とする請求項1〜6のいずれか1項に記載のクライアント装置。
【請求項8】
サービスプログラムに対応した検証ポリシーを保持するポリシー保持部と、
前記検証ポリシーの安全性を検証するポリシー検証部と、
前記サービスプログラムを実行するクライアント装置へ、前記ポリシー検証部によって安全性が確認された検証ポリシーを配備するポリシー配備部と、
前記検証ポリシーを用いて、前記サービスプログラムを実行する際の自身の動作検証を行うクライアント装置から取得した、前記検証結果を保持する検証結果保持部と
を備えることを特徴とするデバイス検証装置。
【請求項9】
前記検証結果に基づいて、前記クライアント装置の、前記サービスプログラムを提供するサーバ装置へのアクセスの可否を決定するサービス提供制御部とを更に備えることを特徴とする請求項8に記載のデバイス検証装置。
【請求項10】
前記ポリシー保持部は、前記サービスプログラムを提供するサーバ装置から検証ポリシーを取得し、更新することを特徴とする請求項8又は9に記載のデバイス検証装置。
【請求項11】
前記クライアント装置に検証結果の報告を要求する検証結果要求部を更に備えることを特徴とする請求項8〜10のいずれか1項に記載のデバイス検証装置。
【請求項12】
前記検証結果要求部は、外部装置からの要求を受信して、前記クライアント装置に検証結果の報告を要求することを特徴とする請求項11に記載のデバイス検証装置。
【請求項13】
提供されたサービスプログラムを実行することにより、サービスを利用するクライアント装置を検証する検証方法であって、
前記サービスプログラムに対応した検証ポリシーの安全性を検証するステップと、
前記サービスプログラムを実行するクライアント装置へ、前記検証するステップによって安全性が確認された検証ポリシーを配備するステップと、
前記検証ポリシーを用いて、前記サービスプログラムを実行する際の前記クライアント装置の動作検証を行うステップと、
前記動作検証の結果をデバイス検証装置へ通知するステップと
を含むことを特徴とする検証方法。
【請求項1】
提供されたサービスプログラムを実行することにより、サービスを利用するクライアント装置であって、
前記サービスプログラムに対応した、デバイス検証装置による検証後の検証ポリシーを保持するポリシー保持部と、
前記検証ポリシーを用いて、前記サービスプログラムを実行する際の前記クライアント装置自身の動作検証を行う検証部と、
前記検証部による検証結果を保持する検証結果保持部と、
前記検証結果を要求する前記デバイス検証装置に対して、前記検証結果を通知する検証結果通知部と
を備えることを特徴とするクライアント装置。
【請求項2】
前記ポリシー保持部は、前記検証ポリシーの安全性を検証することを特徴とする請求項1に記載のクライアント装置。
【請求項3】
前記ポリシー保持部は、前記デバイス検証装置から必要なポリシーを取得して更新することを特徴とする請求項1又は2に記載のクライアント装置。
【請求項4】
前記検証部は、外部装置からの通知を契機に検証を行うことを特徴とする請求項1〜3のいずれか1項に記載のクライアント装置。
【請求項5】
前記クライアント装置の動作及び構成情報を監視し、前記検証部に監視情報を通知する監視部を更に備えることを特徴とする請求項1〜4のいずれか1項に記載のクライアント装置。
【請求項6】
前記検証結果通知部は、前記検証ポリシーで指定されたタイミングで、デバイス検証装置に検証結果を通知することを特徴とする請求項1〜5のいずれか1項に記載のクライアント装置。
【請求項7】
前記検証ポリシーは、前記クライアント装置の機能の呼び出し命令を含み、
前記検証部は、検証の結果に従って、前記機能の呼び出しを行うことを特徴とする請求項1〜6のいずれか1項に記載のクライアント装置。
【請求項8】
サービスプログラムに対応した検証ポリシーを保持するポリシー保持部と、
前記検証ポリシーの安全性を検証するポリシー検証部と、
前記サービスプログラムを実行するクライアント装置へ、前記ポリシー検証部によって安全性が確認された検証ポリシーを配備するポリシー配備部と、
前記検証ポリシーを用いて、前記サービスプログラムを実行する際の自身の動作検証を行うクライアント装置から取得した、前記検証結果を保持する検証結果保持部と
を備えることを特徴とするデバイス検証装置。
【請求項9】
前記検証結果に基づいて、前記クライアント装置の、前記サービスプログラムを提供するサーバ装置へのアクセスの可否を決定するサービス提供制御部とを更に備えることを特徴とする請求項8に記載のデバイス検証装置。
【請求項10】
前記ポリシー保持部は、前記サービスプログラムを提供するサーバ装置から検証ポリシーを取得し、更新することを特徴とする請求項8又は9に記載のデバイス検証装置。
【請求項11】
前記クライアント装置に検証結果の報告を要求する検証結果要求部を更に備えることを特徴とする請求項8〜10のいずれか1項に記載のデバイス検証装置。
【請求項12】
前記検証結果要求部は、外部装置からの要求を受信して、前記クライアント装置に検証結果の報告を要求することを特徴とする請求項11に記載のデバイス検証装置。
【請求項13】
提供されたサービスプログラムを実行することにより、サービスを利用するクライアント装置を検証する検証方法であって、
前記サービスプログラムに対応した検証ポリシーの安全性を検証するステップと、
前記サービスプログラムを実行するクライアント装置へ、前記検証するステップによって安全性が確認された検証ポリシーを配備するステップと、
前記検証ポリシーを用いて、前記サービスプログラムを実行する際の前記クライアント装置の動作検証を行うステップと、
前記動作検証の結果をデバイス検証装置へ通知するステップと
を含むことを特徴とする検証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2006−244469(P2006−244469A)
【公開日】平成18年9月14日(2006.9.14)
【国際特許分類】
【出願番号】特願2006−19524(P2006−19524)
【出願日】平成18年1月27日(2006.1.27)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
【公開日】平成18年9月14日(2006.9.14)
【国際特許分類】
【出願日】平成18年1月27日(2006.1.27)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
[ Back to top ]