情報通信システム
【課題】セキュリティーソフトウエアーまたはファイアーウォールを用いることなく、不正なデータの受信に耐えうる情報通信システムを実現する。
【解決手段】外部ネットワーク200から送信されてくるデータを通過させる一方で、情報通信システム100本体側からのデータを当該外部ネットワーク200に対して通過させない一方通行チャネル20と、前記一方通行チャネル20を通過したデータの暗号化処理を行う暗号化装置22と、暗号化装置22によって処理されたデータを複数の入出力ポート42,44を持ち、少なくとも1つは読み出し専用ポート44で、少なくとも1つは読み/書きポート42である外部記憶装置40に読み書きポート42を通じて記憶する第1情報処理装置30と、前記外部記憶装置40に記憶されたデータを読み出し専用ポート42を通じて読み出して復号する第2情報処理装置50とを備える。
【解決手段】外部ネットワーク200から送信されてくるデータを通過させる一方で、情報通信システム100本体側からのデータを当該外部ネットワーク200に対して通過させない一方通行チャネル20と、前記一方通行チャネル20を通過したデータの暗号化処理を行う暗号化装置22と、暗号化装置22によって処理されたデータを複数の入出力ポート42,44を持ち、少なくとも1つは読み出し専用ポート44で、少なくとも1つは読み/書きポート42である外部記憶装置40に読み書きポート42を通じて記憶する第1情報処理装置30と、前記外部記憶装置40に記憶されたデータを読み出し専用ポート42を通じて読み出して復号する第2情報処理装置50とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報通信システムに関し、特に、コンピュータウイルスやスパイウエアー等の危険なデータの受信や暗号システムに対する攻撃に耐えうる情報通信システムに関する。
【背景技術】
【0002】
従来、コンピュータウイルスやスパイウエアーなどが計算機に侵入することを防ぐために、それらが含まれているファイルの特徴を利用して、当該コンピュータウイルス等を駆除する、いわゆるセキュリティーソフトウエアーが用いられている(非特許文献1)。また、ファイアーウォールを設けることによって、計算機をコンピュータウイルス等から保護することもある。
【0003】
ところで、インターネット上の電子メール(以下、「eメール」と称する。)自体及びそれに添付されるデータは、BASE64変換によってテキストデータに変換されている。これらは、計算機などの情報処理装置に取り込んだだけではテキストデータのままであるため不活性である。したがって、受信したeメールにコンピュータウイルスが含まれていても、eメールを受信した計算機は、不正侵入の障害は起きない。換言すると、これらをBASE64逆変換すると当該データは活性化するので、計算機への不正侵入の障害が起きる可能性がある。
【0004】
一方、ウェブコンテンツ等のデータは、BASE64変換されていない。したがって、計算機は、コンピュータウイルスを含むウェブコンテンツ等のデータを受信すると、ウイルス感染してしまう。
【0005】
【非特許文献1】http//www.symantech.com/index.htm
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、従来の技術では、セキュリティーソフトウエアーは、その販売後に作成されたウイルス、スパイウエアー等に対応するものではないため、当該コンピュータウイルス等を駆除することができない。したがって、このようなコンピュータウイルス等を駆除しようとする場合には、これらを除去できるセキュリティーソフトウエアーを新たに個別に開発しなければならなかった。しかも、一般的には、新たなセキュリティーソフトウエアーを個別に開発するためには、開発コストなどとの兼ね合いから、そのコンピュータウイルス等が、大量に被害をもたらす可能性がなければならない。
また、通常、計算機は、暗号文が送信されてきても、復号しなければ一切の情報を得ることができない。同様に、ファイアーウォールも、暗号文から不正なアクセスを検出、遮断することができない。このため、データの暗号復号システムが、ネットワークに対して、ファイアーウォールの外側に設置されている。
【0007】
しかし、これでは、ファイアーウォールによって暗号復号システムを護ることが出来ないので、暗号復号システムは、ネットワーク側からの攻撃と、暗号復号時にデータ自体による破壊的行動とに、それ自身で耐えなければならない。しかし、ネットワーク側からの攻撃に耐えられると言うことは考えにくく、したがって、暗号復号システムから復号後の平文または復号鍵が流出する可能性がある。
【0008】
そこで、本発明は、セキュリティーソフトウエアーまたはファイアーウォールを用いることなく、不正なデータの受信に耐えうる情報通信システムを実現することを課題とする。
【課題を解決するための手段】
【0009】
上記課題を解決するために、本発明の情報通信システムは、
外部ネットワークから送信されてくるデータを通過させる一方で、情報通信システム本体側からのデータを当該外部ネットワークに対して通過させない一方通行チャネルと、
前記一方通行チャネルを通過したデータのスクランブル/暗号化処理を行う処理手段と、
前記処理手段によって処理されたデータを複数の入出力ポートを持ち、少なくとも1つは読み出し専用ポートで、少なくとも1つは読み/書きポートである記憶装置に読み書きポートを通じて記憶する第1情報処理装置と、
前記記憶装置に記憶されたデータを読み出し専用ポートを通じて読み出して復号する第2情報処理装置とを備える。
【0010】
換言すると、本発明の情報通信システムは、外部ネットワークのから不活性化されたデータのみが進入でき、且つ、またはデータの侵入のみ許可して不活性化するスクランブルまたは暗号化機能を後端に備えた一方通行チャネルと、
前記チャネルを通して不活性化されたデータを受信して、不活性化されたままで複数 の入出力ポートを持つ外部記憶装置に書き込む第1データ処理装置と、
複数の入出力ポートを持ち、少なくとも一つは読み出し専用ポートである前記外部記憶装置と、
前記外部記憶装置に書き込まれた不活性化されている外部ネットワーク由来のデータを前記読み出し専用ポートから読み出し、ネットワーク接続を持たない第2データ処理装置とを持ち、第2データ処理装置は不活性化された外部ネットワーク由来のデータを活性化して実行あるいは開き、あるいは所定の方法で処理して結果を得るシステムである。
【0011】
なお、前記外部ネットワークと前記一方通行チャネルとの間に接続されている第3情報処理装置を備えてもよい。
【0012】
また、前記暗号データの送信元から予め取得された所定の合い言葉が格納されているリストと、
前記第2情報処理手段で復号されたデータに合い言葉が含まれていることを条件に当該合い言葉と当該合い言葉が含まれるデータの識別子とを第1情報処理装置に伝える伝達手段と、
前記伝達手段によって伝えられた合い言葉と前記合い言葉リストとを照合してこれらが一致しなければ当該合い言葉とともに伝えられた識別子に対応するデータを消去する手段とを備えてもよい。
【0013】
本発明において、第3情報処理装置によって外部ネットワークからeメールやウェブサイトのコンテンツが受信され、接続された一方通行チャネルを通して第1情報処理装置へデータを送る。一方通行チャネルは
1.第1情報処理装置から第3情報処理装置へ一切のデータを伝えない。
2.BASE64形式のデータを通過させ、スクランブルまたは暗号化することも出来る。
3.その他の形式のデータを通す時はスクランブルまたは暗号化する。
【0014】
とするので、第1情報処理装置が外部ネットワーク由来のデータを一方通行チャネルを通して受け取った時、それらは全て第1情報処理装置にとって不活性になっているから安全に取り扱うことが出来る。
【0015】
第1情報処理装置がアンスクランブル鍵または復号鍵を知る事、あるいは第3情報処理装置が前もってスクランブルまたは暗号化を打ち消すような“逆スクランブル”または“逆暗号化”加工を行うのを避けるためにスクランブル鍵または暗号化鍵はスクランブルまたは暗号化装置内に封じ込めておくのが良い。
【0016】
第1情報処理装置は一方通行チャネルから不活性の形になっている外部ネットワーク由来のデータを取り込み、複数の入出力ポートを持つ外部記憶装置に読み出し/書き込みポートから書き込み、保存する。
【0017】
第1情報処理装置はアンスクランブルまたは復号鍵を知る事が出来なければ、そしてBASE64形式のデータもスクランブルまたは暗号化してあれば、誤操作によって不活性なデータを活性化する恐れもないので不正侵入を受けずに、複数の入出力ポートを持つ外部記憶装置にデータを書き込んだり削除したりすることが出来る。
【0018】
複数の入出力ポートを持つ外部記憶装置はハードディスクのようにデータの書き込み/読み出しが可能な記憶装置であり、且つ入出力ポートを2つ以上持っていて、各々が独立に動作し、少なくとも1つは書き込み/読み出しポートで、第1情報処理装置に接続して不活性化された外部ネットワーク由来のデータを書き込まれたり削除されたりし、少なくとも1つは読み出し専用ポートで、第2情報処理装置に接続して書き込まれている不活性化された外部ネットワーク由来のデータを読み出させる。
【0019】
第2情報処理装置は不活性化された情報の活性化手段を持つ。第2情報処理装置は複数の入出力ポートを持つ外部記憶装置の読み出し専用ポートから、不活性化された外部ネットワーク由来のデータを読み出して復元し、これらのデータを解釈して所定の動作を行う。
【0020】
これらが悪意のデータであれば、第2の情報処理装置は攻撃されて正しく動作しなくなるが、しかし複数の入出力ポートを持つ外部記憶装置や第1情報処理装置及び一方通行チャネルに対しては隔離されているので、その影響は第2の情報処理装置のメモリーから外へ出ることは不可能であり、動作させてその振る舞いを観察しても他に影響を及ぼすことは不可能である。
【0021】
スパイウエアーの場合、第2情報処理装置の情報は獲得できるが、外へ送信する方法がないし、踏み台攻撃をするウイルスであっても、外部ネットワーク上の計算機にアクセスする方法がないからである。
【0022】
そして第2情報処理装置を再起動すると、不正なコードを実行した後であっても何の痕跡も残ることがない。この様にして、第2情報処理装置で不正なコードを実行し、その振る舞いを観察しても、全く安全である。
【0023】
【発明を実施するための最良の形態】
【0024】
以下、本発明を実施するための形態について、図面を参照して説明する。
【0025】
図1は、本発明の実施形態の情報通信システム100及びその周辺装置などを含む模式的な構成を示すブロック図である。
【0026】
図1に示す第3情報処理装置10は、アナログ電話、ISDN電話、DSL、CATV、光ファイバ、ether-Net、10BASE-T、100BASE-T、赤外線、無線などの回線を通じてインターネットなど外部ネットワーク200と、一方通行チャネル20の入り口との双方に接続されている。第3情報処理装置10は、主として、外部ネットワーク200に接続される他の情報処理装置(図示せず)からデータを受信するものである。ただし、送信用装置60から出力されたデータを、外部ネットワーク200を通じて他の情報処理装置へ送信することもできる。
【0027】
一方通行チャネル20は、第3情報処理装置10から外部ネットワーク200由来の情報を受け入れて第1情報処理装置30に送り込む、一方、第1情報処理装置30側のデータを第3情報処理装置10に出力されないようにするものである。
【0028】
換言すると、一方通行チャネル20は、外部ネットワーク200側からのデータを通すが、第1情報処理装置30側からのデータを通さないものである。一方通行チャネル20として、LANにおけるタッピングデバイス、または双方向通信機能を持たない(USB方式の)プリンターバッファーなどを用いることができる。
【0029】
また、一方通行チャネル20は、文字データのみ、またはBASE64形式のデータのみ一方通行させるなどといった、所定の種類のデータのみ限定して通過させられるものとしてもよい。
【0030】
一方通行チャネル20は、一方通行性、所定種類のデータの限定的通過性、後述するスクランブルまたは暗号化機能を、維持する必要がある。このため、ハッカーによって、乗っ取られることがないように、電子回路自身の性質や書き換えに特別な物理的操作を要するファームウエアー等で作成されているとよい。
【0031】
本実施形態の情報通信システム100は、一方通行チャネル20を備えているので、第1情報処理装置30側のシステム情報あるいは、これに接続され得るイントラネットの情報が、外部ネットワーク200を通じて漏洩することを防止している。
【0032】
一方通行チャネル20出口には、データのスクランブルまたは暗号化装置22を付加する。暗号化装置等22は、一方通行チャネル20に内蔵されていてもよいし、外付けされていてもよい。スクランブルまたは暗号化方式はアンスクランブルまたは復号可能な方式を採る。外部ネットワーク200由来のデータは、スクランブルまたは暗号化装置22によって不規則に改変され、不活性状態となる。
【0033】
ここで、暗号化装置等22で用いられる暗号鍵等は、一方通行チャネル20の存在により第3情報処理装置10に流出しない。暗号鍵等は、スクランブルまたは暗号化装置22内部で保持し、第3情報処理装置10、第1情報処理装置30には知らせないようにしている。これは、第1情報処理装置30でデータをアンスクランブルまたは復号しないことが安全上重要であるためである。
【0034】
なお、データがBASE64形式であれば不活性であるので、必ずしもスクランブルまたは暗号化しなくてもよい。
【0035】
第1情報処理装置30は、一方通行チャネル20出口から送り出される外部ネットワーク200由来のデータを、外部記憶装置40に読み/書きポート42から書き込む。また、外部ネットワーク由来のデータは、第1情報処理装置30を攻撃するようなデータとなること現実的は不可能である。よって、第1情報処理装置30は、通常のコンピューターを用いる事が出来る。
【0036】
第1情報処理装置30がコンピュータウイルス等に攻撃されることがないし、第1情報処理装置30が暗号を復号することがないので、外部記憶装置40は、保存対象のデータにコンピュータウイルス等が含まれていても、コンピュータウイルスによって攻撃されることもない。
【0037】
なお、BASE64形式のデータは一語6ビット以下なので、通常のCPUの命令セットを構成し得ない。したがって、第1情報処理装置30内部で動作するコードを作ることは不可能である。このため、一方通行チャネル20をBASE64形式のデータのみ通過させるチャネルとすれば、スクランブルまたは暗号化・アンスクランブルまたは復号の仕組みは省いても良い。
【0038】
第1情報処理装置30には、外部記憶装置40が接続される。外部記憶装置40は、ハードディスクのようにデータの書き込み/読み出しが可能な記憶装置である。ただし、本実施形態に係る外部記憶装置40は、入出力ポートを2つ以上持っていてことが必須である。これらの入出力ポートは、各々が独立に動作する。そのうち、少なくとも1つは、読み/書きポート42で、残りの少なくとも一つは、読み出し専用ポート44である。
【0039】
第1情報処理装置30には、読み/書きポート42が接続される。外部記憶装置40は、不活性化された外部ネットワーク200由来のデータが書き込まれたり削除されたりする。
【0040】
読み出し専用ポート44は、第2情報処理装置50に接続される。第2情報処理装置50は、外部記憶装置40に書き込まれている不活性化された外部ネットワーク200由来のデータを読み出すことができる。
【0041】
このポートの読み出し専用の性質は、ハッカーが乗っ取れない方法で保証されているべきであり、「電子回路や書き換えに特別な物理的操作を要するファームウエアー等を搭載することで読み出し専用の性質を実現している2ポート制御装置」を介したハードディスク、メカニカルに独立したヘッドを持つハードディスク等が適している。ハードディスクの代わりにDVD−RAM、ホログラムメモリー、フラッシュメモリー、シリコンディスク等の読み書き可能なその他の記憶媒体を用いても良い。
【0042】
なお、図1に示す情報通信システム100は、第2情報処理装置50によって書き込むことが可能な外部記憶装置を持たない点に留意されたい。
【0043】
また、第1情報処理装置30には、選択的に、送信用装置60が接続される。送信用装置60は、外部記憶装置40と同様のハードウエア構成の外部記憶装置66を備える。送信用装置60は、図示するように、読み/書きポート62が第1情報処理装置30に接続され、読み出し専用ポート64が第3情報処理装置10に接続される。送信用装置60を備えると、外部記憶装置40に記憶されているデータを、第1情報処理装置30で読み出し、送信装置および第3情報処理装置10を通じて、外部ネットワーク200へ送信することができる。
【0044】
第2情報処理装置50は、読み出し専用ポート44を通じて外部記憶装置40に接続されている。第2情報処理装置50は、不活性化された情報の活性化手段を持つ。第2情報処理装置50は、外部記憶装置40の読み出し専用ポート44から、不活性化された外部ネットワーク200由来のデータを読み出すことができる。しかし第2情報処理装置50は、外部記憶装置40に記憶されているデータを、変えることは出来ない。したがって、たとえば、第2情報処理装置50が、この外部記憶装置内のデータを改竄しあるいは活性化してから、第1情報処理装置30に読ませて不正な動作を行わせようとすることは出来ない。なお、第2情報処理装置50は、外部ネットワーク200に直接接続されていない。
【0045】
第2情報処理装置50は、既述のように、書き込み可能な外部記憶装置を備えない様態で使用する。第2情報処理装置50には、外部記憶装置40の読み出し専用ポート44やCD−ROMなど読み出し専用装置が接続される。第2情報処理装置50の起動は、当該専用装置等から行い、使用するソフトもここから読み出すこととしている。
【0046】
第2情報処理装置50は、このデータがBASE64 変換されたデータであれば、BASE64逆変換する。さらに、読み出したデータがスクランブルまたは暗号化装置22でスクランブルまたは暗号化されている場合には、第2情報処理装置50によって、アンスクランブルまたは復号される。
【0047】
この際、当該データにウイルスが含まれていれば、第2情報処理装置50で実行されるソフトウエアーは何らかの改変がなされる場合があるし、第2情報処理装置50がのっとりされる場合もある。また、この段階でのっとりされていなくても、情報通信システム100のユーザが「ファイルを開く」などの指示を入力し、第2情報処理装置50がこれに従って当該処理を実行することで、のっとり等されることがある。
【0048】
しかし、第2情報処理装置50は、読み出し専用ポート44を通じて外部記憶装置40に接続されている。また、第2情報処理装置50は、外部記憶装置40、第1情報処理装置30及び一方通行チャネル20に対して遮断されている。したがって、第2情報処理装置50が正しく動作しなくなっても、悪意のデータが外部記憶装置40等へ出ることは不可能である。結局、第2情報処理装置50は、悪意のデータを読み出しても、その影響は第2情報処理装置50内部メモリーの破壊に留まり、外部記憶装置40に悪影響が及ぶことがない。
【0049】
外部ネットワーク200由来のデータが不正であることが判明すれば、この旨を後述する一方通行合い言葉フィルター70を通じて第1情報処理装置30に報知し、第1情報処理装置30によって不正データを削除し、かつ、第2情報処理装置50のオペレーティングシステムを再起動することで、乗っ取りや第2情報処理装置50自体のソフトウエアーの改変から復旧すればよい。
【0050】
特別に安全を期するなら、外部ネットワーク200由来のデータは、いわゆる“時限爆弾”式のコンピュータウイルスである可能性もあるため、情報通信処理システムのユーザによって一通りの安全が確認されても、繰り返して閲覧するときも、常に第2情報処理装置50を用いると良い。
【0051】
外部ネットワーク200由来のデータがスパイウエアーである場合、第2情報処理装置50が感染する。しかし、第2情報処理装置50から外部記憶装置40へアクセスすることはできないため、外部記憶装置40に記憶されている情報が、外部へ発信されることはない。更に、このようなスパイウエアーを書き込む記憶装置が第2情報処理装置50には備えられていないので、当該スパイウエアーは、第2情報処理装置50の電源断、第2情報処理装置50で使用されているオペレーティングシステムの再起動で消滅する。
【0052】
外部ネットワーク200由来のデータがウイルスである場合、第2情報処理装置50を攻撃するが、第2情報処理装置50はネットワーク接続されていないので、第2情報処理装置50が、情報通信システム100外部に対して悪影響を及ぼすことはない。
【0053】
したがって、たとえば、以下のような典型的効果が得られる。すなわち、外部ネットワーク200由来のデータが暗号文の場合、通常、第2情報処理装置50において、活性化を行い、かつ、その後に復号を行う。前記データが悪意であった場合には、第2情報処理装置50において、復号が出来ない場合がある。しかも、当該データが復号ソフトを攻撃し、例えば復号鍵の奪取を試みる場合もある。ところが、当該データは、たとえ復号鍵を奪取できたとしても、この復号鍵を、第2情報処理装置50の外部へ持ち出すことができない。
【0054】
このように、本発明によると、情報通信システム100のユーザが、外部ネットワーク200由来のいかなるデータを閲覧等しようとも、情報通信システム100内外に、悪影響を及ぼすことがない。換言すると、第2情報処理装置50では暗号の復号が安全に出来る。
【0055】
また、予めデータ送信者とデータ受信者との間で、衝突を無視できる合い言葉を取り決めておけば、この情報通信システム100へのデータ送信者が、“合い言葉”を含ませたデータを暗号して送信すると、そのデータ受信者である情報通信システム100のユーザは、“合い言葉”の適否を確認することで、データ送信者を認証することが出来る。
【0056】
即ち、第2情報処理装置50によって復元された “合い言葉”を、ディスプレイ(図示しない)に表示したり、プリンター(図示しない)によって印字したり、スピーカ(図示しない)から出力すると、ユーザが目視等によって、その合い言葉の適否を確認することができる。
【0057】
合い言葉が正しいということは、暗号文の送信者が正当であり、なおかつデータ送信者とデータ受信者との経路が正常であるということを意味する。
【0058】
第2情報処理装置50には出力経路を設けないのが原則であるが、“合い言葉”と当該合い言葉が含まれるファイルの識別子(ファイル名など)とを第1情報処理装置30に伝える手段を備えてもよい。この場合、さらに、取り決め済みの合い言葉リストと、伝えられた合い言葉と合い言葉リストとを照合してこれらが一致しなければそのファイル名のファイルを外部記憶装置40から消去する手段とを備えていれば、外部記憶装置40に記憶された不正な合い言葉が含まれているデータを削除することができる。
【0059】
つまり、“合い言葉”が一致しなければ当該データを外部記憶装置40から削除する。“合い言葉”が一致した場合は当該データをアンスクランブルまたは復号しても安全であり、第1情報処理装置30が何らかの方法でアンスクランブルまたは復号鍵を入手すればこのデータを第1情報処理装置30で利用することも出来る。
【0060】
“合い言葉”フィルターは、例えば文字データのみを通過させる一方通行のプリンターバッファーを充当することが出来る。“合い言葉”フィルターは、“合い言葉”と当該合い言葉が含まれるファイルの識別子とが、数字だけで構成されている場合には、数字だけを通過させる。
【0061】
この“合い言葉”フィルターは、その一方通行の性質と文字等を通過させる性質を、ハッカーが乗っ取れない方法で保証されているべきであり、電子回路自身の性質や書き換えに特別な物理的操作を要するファームウエアー等を用いるのが適している。
【0062】
第1情報処理装置30などに、一方通行合い言葉フィルター70からの信号が不正な暗号データの処理を伝えてきた時に、第2情報処理装置50で動作しているオペレーティングシステムを再起動する手段を持つと、暗号通信文の連続自動復号が可能になる。受信された外部ネットワーク200由来のデータを到着順に復元・復号処理するソフトウエアーが、乗っ取られたまま動作するのを避けることができるからである。
【産業上の利用可能性】
【0063】
本発明は、主として、通信業に利用することが可能である。
【図面の簡単な説明】
【0064】
【図1】本発明の実施形態の情報通信システム100及びその周辺装置などを含む模式的な構成を示すブロック図である。
【符号の説明】
【0065】
10 第3情報処理装置
20 一方通行チャネル
22 暗号化装置
30 第1情報処理装置
40 外部記憶装置
42 読み/書きポート
44 読み出し専用ポート
50 第2情報処理装置
60 送信用装置
70 一方通行合い言葉フィルター
【技術分野】
【0001】
本発明は、情報通信システムに関し、特に、コンピュータウイルスやスパイウエアー等の危険なデータの受信や暗号システムに対する攻撃に耐えうる情報通信システムに関する。
【背景技術】
【0002】
従来、コンピュータウイルスやスパイウエアーなどが計算機に侵入することを防ぐために、それらが含まれているファイルの特徴を利用して、当該コンピュータウイルス等を駆除する、いわゆるセキュリティーソフトウエアーが用いられている(非特許文献1)。また、ファイアーウォールを設けることによって、計算機をコンピュータウイルス等から保護することもある。
【0003】
ところで、インターネット上の電子メール(以下、「eメール」と称する。)自体及びそれに添付されるデータは、BASE64変換によってテキストデータに変換されている。これらは、計算機などの情報処理装置に取り込んだだけではテキストデータのままであるため不活性である。したがって、受信したeメールにコンピュータウイルスが含まれていても、eメールを受信した計算機は、不正侵入の障害は起きない。換言すると、これらをBASE64逆変換すると当該データは活性化するので、計算機への不正侵入の障害が起きる可能性がある。
【0004】
一方、ウェブコンテンツ等のデータは、BASE64変換されていない。したがって、計算機は、コンピュータウイルスを含むウェブコンテンツ等のデータを受信すると、ウイルス感染してしまう。
【0005】
【非特許文献1】http//www.symantech.com/index.htm
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、従来の技術では、セキュリティーソフトウエアーは、その販売後に作成されたウイルス、スパイウエアー等に対応するものではないため、当該コンピュータウイルス等を駆除することができない。したがって、このようなコンピュータウイルス等を駆除しようとする場合には、これらを除去できるセキュリティーソフトウエアーを新たに個別に開発しなければならなかった。しかも、一般的には、新たなセキュリティーソフトウエアーを個別に開発するためには、開発コストなどとの兼ね合いから、そのコンピュータウイルス等が、大量に被害をもたらす可能性がなければならない。
また、通常、計算機は、暗号文が送信されてきても、復号しなければ一切の情報を得ることができない。同様に、ファイアーウォールも、暗号文から不正なアクセスを検出、遮断することができない。このため、データの暗号復号システムが、ネットワークに対して、ファイアーウォールの外側に設置されている。
【0007】
しかし、これでは、ファイアーウォールによって暗号復号システムを護ることが出来ないので、暗号復号システムは、ネットワーク側からの攻撃と、暗号復号時にデータ自体による破壊的行動とに、それ自身で耐えなければならない。しかし、ネットワーク側からの攻撃に耐えられると言うことは考えにくく、したがって、暗号復号システムから復号後の平文または復号鍵が流出する可能性がある。
【0008】
そこで、本発明は、セキュリティーソフトウエアーまたはファイアーウォールを用いることなく、不正なデータの受信に耐えうる情報通信システムを実現することを課題とする。
【課題を解決するための手段】
【0009】
上記課題を解決するために、本発明の情報通信システムは、
外部ネットワークから送信されてくるデータを通過させる一方で、情報通信システム本体側からのデータを当該外部ネットワークに対して通過させない一方通行チャネルと、
前記一方通行チャネルを通過したデータのスクランブル/暗号化処理を行う処理手段と、
前記処理手段によって処理されたデータを複数の入出力ポートを持ち、少なくとも1つは読み出し専用ポートで、少なくとも1つは読み/書きポートである記憶装置に読み書きポートを通じて記憶する第1情報処理装置と、
前記記憶装置に記憶されたデータを読み出し専用ポートを通じて読み出して復号する第2情報処理装置とを備える。
【0010】
換言すると、本発明の情報通信システムは、外部ネットワークのから不活性化されたデータのみが進入でき、且つ、またはデータの侵入のみ許可して不活性化するスクランブルまたは暗号化機能を後端に備えた一方通行チャネルと、
前記チャネルを通して不活性化されたデータを受信して、不活性化されたままで複数 の入出力ポートを持つ外部記憶装置に書き込む第1データ処理装置と、
複数の入出力ポートを持ち、少なくとも一つは読み出し専用ポートである前記外部記憶装置と、
前記外部記憶装置に書き込まれた不活性化されている外部ネットワーク由来のデータを前記読み出し専用ポートから読み出し、ネットワーク接続を持たない第2データ処理装置とを持ち、第2データ処理装置は不活性化された外部ネットワーク由来のデータを活性化して実行あるいは開き、あるいは所定の方法で処理して結果を得るシステムである。
【0011】
なお、前記外部ネットワークと前記一方通行チャネルとの間に接続されている第3情報処理装置を備えてもよい。
【0012】
また、前記暗号データの送信元から予め取得された所定の合い言葉が格納されているリストと、
前記第2情報処理手段で復号されたデータに合い言葉が含まれていることを条件に当該合い言葉と当該合い言葉が含まれるデータの識別子とを第1情報処理装置に伝える伝達手段と、
前記伝達手段によって伝えられた合い言葉と前記合い言葉リストとを照合してこれらが一致しなければ当該合い言葉とともに伝えられた識別子に対応するデータを消去する手段とを備えてもよい。
【0013】
本発明において、第3情報処理装置によって外部ネットワークからeメールやウェブサイトのコンテンツが受信され、接続された一方通行チャネルを通して第1情報処理装置へデータを送る。一方通行チャネルは
1.第1情報処理装置から第3情報処理装置へ一切のデータを伝えない。
2.BASE64形式のデータを通過させ、スクランブルまたは暗号化することも出来る。
3.その他の形式のデータを通す時はスクランブルまたは暗号化する。
【0014】
とするので、第1情報処理装置が外部ネットワーク由来のデータを一方通行チャネルを通して受け取った時、それらは全て第1情報処理装置にとって不活性になっているから安全に取り扱うことが出来る。
【0015】
第1情報処理装置がアンスクランブル鍵または復号鍵を知る事、あるいは第3情報処理装置が前もってスクランブルまたは暗号化を打ち消すような“逆スクランブル”または“逆暗号化”加工を行うのを避けるためにスクランブル鍵または暗号化鍵はスクランブルまたは暗号化装置内に封じ込めておくのが良い。
【0016】
第1情報処理装置は一方通行チャネルから不活性の形になっている外部ネットワーク由来のデータを取り込み、複数の入出力ポートを持つ外部記憶装置に読み出し/書き込みポートから書き込み、保存する。
【0017】
第1情報処理装置はアンスクランブルまたは復号鍵を知る事が出来なければ、そしてBASE64形式のデータもスクランブルまたは暗号化してあれば、誤操作によって不活性なデータを活性化する恐れもないので不正侵入を受けずに、複数の入出力ポートを持つ外部記憶装置にデータを書き込んだり削除したりすることが出来る。
【0018】
複数の入出力ポートを持つ外部記憶装置はハードディスクのようにデータの書き込み/読み出しが可能な記憶装置であり、且つ入出力ポートを2つ以上持っていて、各々が独立に動作し、少なくとも1つは書き込み/読み出しポートで、第1情報処理装置に接続して不活性化された外部ネットワーク由来のデータを書き込まれたり削除されたりし、少なくとも1つは読み出し専用ポートで、第2情報処理装置に接続して書き込まれている不活性化された外部ネットワーク由来のデータを読み出させる。
【0019】
第2情報処理装置は不活性化された情報の活性化手段を持つ。第2情報処理装置は複数の入出力ポートを持つ外部記憶装置の読み出し専用ポートから、不活性化された外部ネットワーク由来のデータを読み出して復元し、これらのデータを解釈して所定の動作を行う。
【0020】
これらが悪意のデータであれば、第2の情報処理装置は攻撃されて正しく動作しなくなるが、しかし複数の入出力ポートを持つ外部記憶装置や第1情報処理装置及び一方通行チャネルに対しては隔離されているので、その影響は第2の情報処理装置のメモリーから外へ出ることは不可能であり、動作させてその振る舞いを観察しても他に影響を及ぼすことは不可能である。
【0021】
スパイウエアーの場合、第2情報処理装置の情報は獲得できるが、外へ送信する方法がないし、踏み台攻撃をするウイルスであっても、外部ネットワーク上の計算機にアクセスする方法がないからである。
【0022】
そして第2情報処理装置を再起動すると、不正なコードを実行した後であっても何の痕跡も残ることがない。この様にして、第2情報処理装置で不正なコードを実行し、その振る舞いを観察しても、全く安全である。
【0023】
【発明を実施するための最良の形態】
【0024】
以下、本発明を実施するための形態について、図面を参照して説明する。
【0025】
図1は、本発明の実施形態の情報通信システム100及びその周辺装置などを含む模式的な構成を示すブロック図である。
【0026】
図1に示す第3情報処理装置10は、アナログ電話、ISDN電話、DSL、CATV、光ファイバ、ether-Net、10BASE-T、100BASE-T、赤外線、無線などの回線を通じてインターネットなど外部ネットワーク200と、一方通行チャネル20の入り口との双方に接続されている。第3情報処理装置10は、主として、外部ネットワーク200に接続される他の情報処理装置(図示せず)からデータを受信するものである。ただし、送信用装置60から出力されたデータを、外部ネットワーク200を通じて他の情報処理装置へ送信することもできる。
【0027】
一方通行チャネル20は、第3情報処理装置10から外部ネットワーク200由来の情報を受け入れて第1情報処理装置30に送り込む、一方、第1情報処理装置30側のデータを第3情報処理装置10に出力されないようにするものである。
【0028】
換言すると、一方通行チャネル20は、外部ネットワーク200側からのデータを通すが、第1情報処理装置30側からのデータを通さないものである。一方通行チャネル20として、LANにおけるタッピングデバイス、または双方向通信機能を持たない(USB方式の)プリンターバッファーなどを用いることができる。
【0029】
また、一方通行チャネル20は、文字データのみ、またはBASE64形式のデータのみ一方通行させるなどといった、所定の種類のデータのみ限定して通過させられるものとしてもよい。
【0030】
一方通行チャネル20は、一方通行性、所定種類のデータの限定的通過性、後述するスクランブルまたは暗号化機能を、維持する必要がある。このため、ハッカーによって、乗っ取られることがないように、電子回路自身の性質や書き換えに特別な物理的操作を要するファームウエアー等で作成されているとよい。
【0031】
本実施形態の情報通信システム100は、一方通行チャネル20を備えているので、第1情報処理装置30側のシステム情報あるいは、これに接続され得るイントラネットの情報が、外部ネットワーク200を通じて漏洩することを防止している。
【0032】
一方通行チャネル20出口には、データのスクランブルまたは暗号化装置22を付加する。暗号化装置等22は、一方通行チャネル20に内蔵されていてもよいし、外付けされていてもよい。スクランブルまたは暗号化方式はアンスクランブルまたは復号可能な方式を採る。外部ネットワーク200由来のデータは、スクランブルまたは暗号化装置22によって不規則に改変され、不活性状態となる。
【0033】
ここで、暗号化装置等22で用いられる暗号鍵等は、一方通行チャネル20の存在により第3情報処理装置10に流出しない。暗号鍵等は、スクランブルまたは暗号化装置22内部で保持し、第3情報処理装置10、第1情報処理装置30には知らせないようにしている。これは、第1情報処理装置30でデータをアンスクランブルまたは復号しないことが安全上重要であるためである。
【0034】
なお、データがBASE64形式であれば不活性であるので、必ずしもスクランブルまたは暗号化しなくてもよい。
【0035】
第1情報処理装置30は、一方通行チャネル20出口から送り出される外部ネットワーク200由来のデータを、外部記憶装置40に読み/書きポート42から書き込む。また、外部ネットワーク由来のデータは、第1情報処理装置30を攻撃するようなデータとなること現実的は不可能である。よって、第1情報処理装置30は、通常のコンピューターを用いる事が出来る。
【0036】
第1情報処理装置30がコンピュータウイルス等に攻撃されることがないし、第1情報処理装置30が暗号を復号することがないので、外部記憶装置40は、保存対象のデータにコンピュータウイルス等が含まれていても、コンピュータウイルスによって攻撃されることもない。
【0037】
なお、BASE64形式のデータは一語6ビット以下なので、通常のCPUの命令セットを構成し得ない。したがって、第1情報処理装置30内部で動作するコードを作ることは不可能である。このため、一方通行チャネル20をBASE64形式のデータのみ通過させるチャネルとすれば、スクランブルまたは暗号化・アンスクランブルまたは復号の仕組みは省いても良い。
【0038】
第1情報処理装置30には、外部記憶装置40が接続される。外部記憶装置40は、ハードディスクのようにデータの書き込み/読み出しが可能な記憶装置である。ただし、本実施形態に係る外部記憶装置40は、入出力ポートを2つ以上持っていてことが必須である。これらの入出力ポートは、各々が独立に動作する。そのうち、少なくとも1つは、読み/書きポート42で、残りの少なくとも一つは、読み出し専用ポート44である。
【0039】
第1情報処理装置30には、読み/書きポート42が接続される。外部記憶装置40は、不活性化された外部ネットワーク200由来のデータが書き込まれたり削除されたりする。
【0040】
読み出し専用ポート44は、第2情報処理装置50に接続される。第2情報処理装置50は、外部記憶装置40に書き込まれている不活性化された外部ネットワーク200由来のデータを読み出すことができる。
【0041】
このポートの読み出し専用の性質は、ハッカーが乗っ取れない方法で保証されているべきであり、「電子回路や書き換えに特別な物理的操作を要するファームウエアー等を搭載することで読み出し専用の性質を実現している2ポート制御装置」を介したハードディスク、メカニカルに独立したヘッドを持つハードディスク等が適している。ハードディスクの代わりにDVD−RAM、ホログラムメモリー、フラッシュメモリー、シリコンディスク等の読み書き可能なその他の記憶媒体を用いても良い。
【0042】
なお、図1に示す情報通信システム100は、第2情報処理装置50によって書き込むことが可能な外部記憶装置を持たない点に留意されたい。
【0043】
また、第1情報処理装置30には、選択的に、送信用装置60が接続される。送信用装置60は、外部記憶装置40と同様のハードウエア構成の外部記憶装置66を備える。送信用装置60は、図示するように、読み/書きポート62が第1情報処理装置30に接続され、読み出し専用ポート64が第3情報処理装置10に接続される。送信用装置60を備えると、外部記憶装置40に記憶されているデータを、第1情報処理装置30で読み出し、送信装置および第3情報処理装置10を通じて、外部ネットワーク200へ送信することができる。
【0044】
第2情報処理装置50は、読み出し専用ポート44を通じて外部記憶装置40に接続されている。第2情報処理装置50は、不活性化された情報の活性化手段を持つ。第2情報処理装置50は、外部記憶装置40の読み出し専用ポート44から、不活性化された外部ネットワーク200由来のデータを読み出すことができる。しかし第2情報処理装置50は、外部記憶装置40に記憶されているデータを、変えることは出来ない。したがって、たとえば、第2情報処理装置50が、この外部記憶装置内のデータを改竄しあるいは活性化してから、第1情報処理装置30に読ませて不正な動作を行わせようとすることは出来ない。なお、第2情報処理装置50は、外部ネットワーク200に直接接続されていない。
【0045】
第2情報処理装置50は、既述のように、書き込み可能な外部記憶装置を備えない様態で使用する。第2情報処理装置50には、外部記憶装置40の読み出し専用ポート44やCD−ROMなど読み出し専用装置が接続される。第2情報処理装置50の起動は、当該専用装置等から行い、使用するソフトもここから読み出すこととしている。
【0046】
第2情報処理装置50は、このデータがBASE64 変換されたデータであれば、BASE64逆変換する。さらに、読み出したデータがスクランブルまたは暗号化装置22でスクランブルまたは暗号化されている場合には、第2情報処理装置50によって、アンスクランブルまたは復号される。
【0047】
この際、当該データにウイルスが含まれていれば、第2情報処理装置50で実行されるソフトウエアーは何らかの改変がなされる場合があるし、第2情報処理装置50がのっとりされる場合もある。また、この段階でのっとりされていなくても、情報通信システム100のユーザが「ファイルを開く」などの指示を入力し、第2情報処理装置50がこれに従って当該処理を実行することで、のっとり等されることがある。
【0048】
しかし、第2情報処理装置50は、読み出し専用ポート44を通じて外部記憶装置40に接続されている。また、第2情報処理装置50は、外部記憶装置40、第1情報処理装置30及び一方通行チャネル20に対して遮断されている。したがって、第2情報処理装置50が正しく動作しなくなっても、悪意のデータが外部記憶装置40等へ出ることは不可能である。結局、第2情報処理装置50は、悪意のデータを読み出しても、その影響は第2情報処理装置50内部メモリーの破壊に留まり、外部記憶装置40に悪影響が及ぶことがない。
【0049】
外部ネットワーク200由来のデータが不正であることが判明すれば、この旨を後述する一方通行合い言葉フィルター70を通じて第1情報処理装置30に報知し、第1情報処理装置30によって不正データを削除し、かつ、第2情報処理装置50のオペレーティングシステムを再起動することで、乗っ取りや第2情報処理装置50自体のソフトウエアーの改変から復旧すればよい。
【0050】
特別に安全を期するなら、外部ネットワーク200由来のデータは、いわゆる“時限爆弾”式のコンピュータウイルスである可能性もあるため、情報通信処理システムのユーザによって一通りの安全が確認されても、繰り返して閲覧するときも、常に第2情報処理装置50を用いると良い。
【0051】
外部ネットワーク200由来のデータがスパイウエアーである場合、第2情報処理装置50が感染する。しかし、第2情報処理装置50から外部記憶装置40へアクセスすることはできないため、外部記憶装置40に記憶されている情報が、外部へ発信されることはない。更に、このようなスパイウエアーを書き込む記憶装置が第2情報処理装置50には備えられていないので、当該スパイウエアーは、第2情報処理装置50の電源断、第2情報処理装置50で使用されているオペレーティングシステムの再起動で消滅する。
【0052】
外部ネットワーク200由来のデータがウイルスである場合、第2情報処理装置50を攻撃するが、第2情報処理装置50はネットワーク接続されていないので、第2情報処理装置50が、情報通信システム100外部に対して悪影響を及ぼすことはない。
【0053】
したがって、たとえば、以下のような典型的効果が得られる。すなわち、外部ネットワーク200由来のデータが暗号文の場合、通常、第2情報処理装置50において、活性化を行い、かつ、その後に復号を行う。前記データが悪意であった場合には、第2情報処理装置50において、復号が出来ない場合がある。しかも、当該データが復号ソフトを攻撃し、例えば復号鍵の奪取を試みる場合もある。ところが、当該データは、たとえ復号鍵を奪取できたとしても、この復号鍵を、第2情報処理装置50の外部へ持ち出すことができない。
【0054】
このように、本発明によると、情報通信システム100のユーザが、外部ネットワーク200由来のいかなるデータを閲覧等しようとも、情報通信システム100内外に、悪影響を及ぼすことがない。換言すると、第2情報処理装置50では暗号の復号が安全に出来る。
【0055】
また、予めデータ送信者とデータ受信者との間で、衝突を無視できる合い言葉を取り決めておけば、この情報通信システム100へのデータ送信者が、“合い言葉”を含ませたデータを暗号して送信すると、そのデータ受信者である情報通信システム100のユーザは、“合い言葉”の適否を確認することで、データ送信者を認証することが出来る。
【0056】
即ち、第2情報処理装置50によって復元された “合い言葉”を、ディスプレイ(図示しない)に表示したり、プリンター(図示しない)によって印字したり、スピーカ(図示しない)から出力すると、ユーザが目視等によって、その合い言葉の適否を確認することができる。
【0057】
合い言葉が正しいということは、暗号文の送信者が正当であり、なおかつデータ送信者とデータ受信者との経路が正常であるということを意味する。
【0058】
第2情報処理装置50には出力経路を設けないのが原則であるが、“合い言葉”と当該合い言葉が含まれるファイルの識別子(ファイル名など)とを第1情報処理装置30に伝える手段を備えてもよい。この場合、さらに、取り決め済みの合い言葉リストと、伝えられた合い言葉と合い言葉リストとを照合してこれらが一致しなければそのファイル名のファイルを外部記憶装置40から消去する手段とを備えていれば、外部記憶装置40に記憶された不正な合い言葉が含まれているデータを削除することができる。
【0059】
つまり、“合い言葉”が一致しなければ当該データを外部記憶装置40から削除する。“合い言葉”が一致した場合は当該データをアンスクランブルまたは復号しても安全であり、第1情報処理装置30が何らかの方法でアンスクランブルまたは復号鍵を入手すればこのデータを第1情報処理装置30で利用することも出来る。
【0060】
“合い言葉”フィルターは、例えば文字データのみを通過させる一方通行のプリンターバッファーを充当することが出来る。“合い言葉”フィルターは、“合い言葉”と当該合い言葉が含まれるファイルの識別子とが、数字だけで構成されている場合には、数字だけを通過させる。
【0061】
この“合い言葉”フィルターは、その一方通行の性質と文字等を通過させる性質を、ハッカーが乗っ取れない方法で保証されているべきであり、電子回路自身の性質や書き換えに特別な物理的操作を要するファームウエアー等を用いるのが適している。
【0062】
第1情報処理装置30などに、一方通行合い言葉フィルター70からの信号が不正な暗号データの処理を伝えてきた時に、第2情報処理装置50で動作しているオペレーティングシステムを再起動する手段を持つと、暗号通信文の連続自動復号が可能になる。受信された外部ネットワーク200由来のデータを到着順に復元・復号処理するソフトウエアーが、乗っ取られたまま動作するのを避けることができるからである。
【産業上の利用可能性】
【0063】
本発明は、主として、通信業に利用することが可能である。
【図面の簡単な説明】
【0064】
【図1】本発明の実施形態の情報通信システム100及びその周辺装置などを含む模式的な構成を示すブロック図である。
【符号の説明】
【0065】
10 第3情報処理装置
20 一方通行チャネル
22 暗号化装置
30 第1情報処理装置
40 外部記憶装置
42 読み/書きポート
44 読み出し専用ポート
50 第2情報処理装置
60 送信用装置
70 一方通行合い言葉フィルター
【特許請求の範囲】
【請求項1】
外部ネットワークから送信されてくるデータを通過させる一方で、情報通信システム本体側からのデータを当該外部ネットワークに対して通過させない一方通行チャネルと、
前記一方通行チャネルを通過したデータのスクランブル/暗号化処理を行う処理手段と、
前記処理手段によって処理されたデータを、複数の入出力ポートを持ち、少なくとも1つは読み出し専用ポートで、少なくとも1つは読み/書きポートである記憶装置に読み書きポートを通じて記憶する第1情報処理装置と、
前記記憶装置に記憶されたデータを読み出し専用ポートを通じて読み出して復号する第2情報処理装置と、
を備える、情報通信システム。
【請求項2】
前記外部ネットワークと前記一方通行チャネルとの間に接続されている第3情報処理装置を備えることを特徴とする、請求項1記載の情報通信システム。
【請求項3】
前記暗号データの送信元から予め取得された所定の合い言葉が格納されているリストと、
前記第2情報処理手段で復号されたデータに合い言葉が含まれていることを条件に当該合い言葉と当該合い言葉が含まれるデータの識別子とを第1情報処理装置に伝える伝達手段と、
前記伝達手段によって伝えられた合い言葉と前記合い言葉リストとを照合してこれらが一致しなければ当該合い言葉とともに伝えられた識別子に対応するデータを消去する手段とを備える、請求項1または2記載の情報通信システム。
【請求項1】
外部ネットワークから送信されてくるデータを通過させる一方で、情報通信システム本体側からのデータを当該外部ネットワークに対して通過させない一方通行チャネルと、
前記一方通行チャネルを通過したデータのスクランブル/暗号化処理を行う処理手段と、
前記処理手段によって処理されたデータを、複数の入出力ポートを持ち、少なくとも1つは読み出し専用ポートで、少なくとも1つは読み/書きポートである記憶装置に読み書きポートを通じて記憶する第1情報処理装置と、
前記記憶装置に記憶されたデータを読み出し専用ポートを通じて読み出して復号する第2情報処理装置と、
を備える、情報通信システム。
【請求項2】
前記外部ネットワークと前記一方通行チャネルとの間に接続されている第3情報処理装置を備えることを特徴とする、請求項1記載の情報通信システム。
【請求項3】
前記暗号データの送信元から予め取得された所定の合い言葉が格納されているリストと、
前記第2情報処理手段で復号されたデータに合い言葉が含まれていることを条件に当該合い言葉と当該合い言葉が含まれるデータの識別子とを第1情報処理装置に伝える伝達手段と、
前記伝達手段によって伝えられた合い言葉と前記合い言葉リストとを照合してこれらが一致しなければ当該合い言葉とともに伝えられた識別子に対応するデータを消去する手段とを備える、請求項1または2記載の情報通信システム。
【図1】
【公開番号】特開2007−200176(P2007−200176A)
【公開日】平成19年8月9日(2007.8.9)
【国際特許分類】
【出願番号】特願2006−20207(P2006−20207)
【出願日】平成18年1月30日(2006.1.30)
【出願人】(300023730)
【Fターム(参考)】
【公開日】平成19年8月9日(2007.8.9)
【国際特許分類】
【出願日】平成18年1月30日(2006.1.30)
【出願人】(300023730)
【Fターム(参考)】
[ Back to top ]