携帯端末、及び、認証方法
【課題】 ICカードと端末プログラムとの間でメッセージの送受信を行う携帯端末において、メッセージ送信元の詐称、または、メッセージの横取りを防止することで、セキュリティを向上することである。
【解決手段】 携帯端末1は、ICカード2と端末プログラム3とを備える。端末プログラム3は、ICカード2のドメインID“i1”とICカード2にて更新可能なポート番号“1”とから、プログラム識別子(i1:1)を生成する。そして、このプログラム識別子を送信元IDとし、ICカード2の識別子“i1:0”を送信先IDとするメッセージを送信する。ICカード2は、このメッセージを受信すると、その送信元IDに関して、そのドメインIDと、ICカード2の有するドメインIDとを照合する。一致する場合には、上記メッセージの内容に応じた処理を実行する。
【解決手段】 携帯端末1は、ICカード2と端末プログラム3とを備える。端末プログラム3は、ICカード2のドメインID“i1”とICカード2にて更新可能なポート番号“1”とから、プログラム識別子(i1:1)を生成する。そして、このプログラム識別子を送信元IDとし、ICカード2の識別子“i1:0”を送信先IDとするメッセージを送信する。ICカード2は、このメッセージを受信すると、その送信元IDに関して、そのドメインIDと、ICカード2の有するドメインIDとを照合する。一致する場合には、上記メッセージの内容に応じた処理を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、携帯端末の備えるICカードにアクセス可能なプログラムの認証技術に関する。
【背景技術】
【0002】
近年、ユビキタスコンピューティングを実現する手段の一つとして、TRON(The Real-time Operating system Nucleus)の開発が進めらている。e-TRONカード等のIC(IntegratedCircuit)カードを内蔵した携帯端末では、電子チケットを始めとする電子的な権利価値(以下、「電子価値」と記す。)を端末間で授受する際に、双方のICカード間で直接的に電子価値の送受信を行う技術が提案されている。かかる技術を、不足した電子価値のチャージに応用したシステムの例として、特許文献1には、高い安全性と簡易性とを両立する電子価値チャージシステムが開示されている。
【0003】
このようなシステムを実現するために、携帯端末に内蔵されているICカードと、同じく携帯端末に格納されたプログラム(以下、「端末プログラム」と記す。)とが、相互にメッセージの送受信を行うことで、連携して動作する方式が提案されている。かかる方式では、端末プログラムは、携帯端末上に設置されたライブラリに対して、所定のメッセージを与えることにより、ICカードや他の端末プログラムにメッセージを送信する。所定のメッセージとは、例えば、送信元ID(src)、送信先ID(dst)、メッセージの種別(mtype)、メッセージの内容(param)である。
【0004】
上記の方式では、端末プログラムにおいて、メッセージの受信を通知するためのプログラム(ハンドラ)を、受信を希望するメッセージの条件とともに事前に設定しておく。これにより、端末プログラムは、上記条件に合致したメッセージを受信したときに、ハンドラの呼出しに伴ってメッセージの受信を行うことができる。メッセージは、公衆回線などの外部ネットワークを介して、遠隔の端末装置からも送信され得るため、不正な遠隔メッセージが携帯端末宛に送信されることもある。しかし、端末プログラムが、メッセージの受信に上記の条件を設定することで、不正なメッセージを排除することができる。
【特許文献1】特開2003−337887号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記方式によれば、携帯端末の外部から送信された不正なメッセージを排除することはできるが、一旦受信されたメッセージに関して、その送信元を、端末プログラム自体がICカードに詐称する懸念は、未だ解消されない。すなわち、従来は、端末プログラムは、メッセージの送信元IDとして任意のIDを与えることができるため、不正な端末プログラム(若しくはそのユーザ)が、正規の端末プログラムのIDを送信元としたメッセージを送信すること(送信元IDの詐称)も可能である。
【0006】
さらに、不正な端末プログラムを宛先としたメッセージの送信が行われなくとも、正規の端末プログラムが一旦受信したメッセージが、不正な端末プログラムによって横取りされる懸念もある。
これらの理由により、携帯端末のICカードが、本来所望しない相手との間でメッセージの受渡しを行ってしまう可能性があり、このことが、ICカード、ひいては携帯端末のセキュリティを阻害する要因となっていた。
【0007】
そこで、本発明の課題は、ICカードと端末プログラムとの間でメッセージの送受信を行う携帯端末において、メッセージ送信元の詐称、または、メッセージの横取りを防止することで、携帯端末のセキュリティを向上することである。
【課題を解決するための手段】
【0008】
本発明に係る携帯端末は、認証装置と送信元との間でメッセージの送受信を行う携帯端末において、前記送信元は、前記認証装置に対するメッセージの要求に先立ち、前記認証装置のドメイン情報を用いて、前記送信元の識別子を生成する識別子生成手段と、前記識別子生成手段により生成された前記送信元識別子を送信元とし、前記認証装置の識別子を送信先とするメッセージを生成するメッセージ生成手段と、前記認証装置の識別子が保持手段に保持されている場合に、生成された前記メッセージを前記認証装置宛に送信する送信手段とを備え、前記認証装置は、前記送信手段により送信された前記メッセージの送信元識別子に関して、そのドメイン情報と、前記認証装置のドメイン情報とが一致するか否かを判定する認証手段と、前記認証手段により前記一致が判定された場合に、前記メッセージに応じた処理を実行する処理実行手段とを備える。
【0009】
本発明に係る認証方法は、認証装置と送信元との間でメッセージの送受信を行う携帯端末が、前記送信元において、前記認証装置に対するメッセージの要求に先立ち、前記認証装置のドメイン情報を用いて、前記送信元の識別子を生成するステップと、生成された前記送信元識別子を送信元とし、前記認証装置の識別子を送信先とするメッセージを生成するステップと、前記認証装置の識別子が保持手段に保持されている場合に、生成された前記メッセージを前記認証装置宛に送信するステップとを含み、前記認証装置において、送信された前記メッセージの送信元識別子に関して、そのドメイン情報と、前記認証装置のドメイン情報とが一致するか否かを判定するステップと、前記一致が判定された場合に、前記メッセージに応じた処理を実行するステップとを含む。
【0010】
送信元の識別子が、他の送信元(端末プログラムやICカード)によって知り得る状態にある場合には、その送信元による送信元識別子の詐称(例えば、成りすまし)によって、正規の識別子を有する上記送信元が危害を被る可能性がある。本発明に係る携帯端末によれば、送信元識別子は、ドメイン情報を少なくとも含んで構成され、これら双方の一致が図られた場合に限り、メッセージの指示する処理の実行を許可する。すなわち、詐称の可能性を判断する情報として、メッセージの送信先である認証装置から得られた固有の情報が使用されるため、送信元が自発的に他の送信元に該情報を漏らさない限り、他の送信元によって識別子が詐称されることはない。これにより、例えば、認証装置とは異なるドメイン情報を有する送信元からのメッセージ送信は排除され、メッセージ送信元の正当性が担保される。その結果、送信元の詐称は防止され、携帯端末のセキュリティは向上する。
【0011】
また、本発明に係る携帯端末は、認証装置と送信元との間でメッセージの送受信を行う携帯端末において、前記送信元は、前記認証装置から送信されるメッセージの受信に先立ち、前記認証装置から取得されたポート情報と前記認証装置のドメイン情報とを含んで構成される送信元識別子を、前記メッセージの受信に伴って実行される通知プログラム(いわゆるコールバックハンドラ)に対応付けて保持する保持手段と、前記メッセージが受信された際に、当該メッセージの送信先識別子(認証装置からみた送信先である前記送信元の識別子)と、前記保持手段に保持されている前記送信元識別子とが一致するか否かを判定する判定手段と、前記判定手段により前記一致が判定された場合に、前記送信元識別子に対応する通知プログラムを、前記メッセージを用いて実行する処理実行手段とを備える。
【0012】
本発明に係る認証方法は、認証装置と送信元との間でメッセージの送受信を行う携帯端末が、前記送信元において、前記認証装置から送信されるメッセージの受信に先立ち、前記認証装置から取得されたポート情報と前記認証装置のドメイン情報とを含んで構成される送信元識別子を、前記メッセージの受信に伴って実行される通知プログラムに対応付けて保持手段に保持するステップと、前記メッセージが受信された際に、当該メッセージの送信先識別子(認証装置からみた送信先である前記送信元の識別子)と、前記保持手段に保持されている前記送信元識別子とが一致するか否かを判定するステップと、前記一致が判定された場合に、前記送信元識別子に対応する通知プログラムを、前記メッセージを用いて実行するステップとを含む。
【0013】
メッセージが正規の送信元から要求されたとしても、そのメッセージが当該送信元によって使用されるとは限らない。すなわち、正規の送信元へのメッセージの到達前あるいは、メッセージが一旦到達した後に、何らかの理由により、不正な送信元によってそのメッセージが入手(横取り)されてしまう可能性は依然として残る。この場合、その送信元によるメッセージの不正使用によって、正規の送信元が危害を被る可能性がある。かかる懸念は、正規の送信元において上記メッセージが受信されたのみでは解消されず、不正な送信元における上記メッセージの使用を不許可とする手段をさらに講じる必要がある。
【0014】
そこで、本発明に係る携帯端末においては、正規の送信元が自識別子を生成する際に、当該識別子に対応付けて通知プログラムを保持しておく。識別子の生成には、上記メッセージの送信元である認証装置から得られた固有の情報が使用されるため、送信元が自発的に他の送信元に該情報を漏らさない限り、上記識別子に別の通知プログラムが対応付けられることはない。すなわち、受信されたメッセージの送信先識別子(認証装置からみた送信先である前記送信元の識別子)に前記送信元の識別子が指定されている限り、当該メッセージが、当該識別子に対応する通知プログラム以外の通知プログラムを実行させることはない。したがって、メッセージの受信前にその送信先が登録されている送信元以外の送信元(例えば、不正の送信元)が、このメッセージを入手したとしても無意味である。より具体的には、メッセージを横取りした送信元は、識別子の一致する通知プログラムをもたないために、メッセージの受信は認識されず、通知プログラムが実行されることもないことから、横取りは意味を為さない。その結果、メッセージの横取りは抑制され、携帯端末のセキュリティレベルは向上する。
【0015】
本発明に係る携帯端末において好ましくは、携帯端末の遠隔から送信されたメッセージを受信した際に、当該メッセージの送信元識別子のドメイン情報が、当該携帯端末の保持するドメイン情報の中に含まれるか否かを判定する遠隔認証手段と、当該遠隔認証手段による判定の結果、前記送信元識別子のドメイン情報が前記ドメイン情報の中に含まれない場合に、前記メッセージを、その送信先に転送する転送手段とを更に備える。
【0016】
通常、ドメインは、距離的に近接する端末群を単位として形成されるため、携帯端末が、当該携帯端末の遠隔に形成されたドメインに属することは本来あり得ない。したがって、携帯端末の遠隔から受信されたメッセージにも関わらず、携帯端末の保持するドメイン情報と同一のドメイン情報が含まれている場合には、このメッセージは送信元を詐称しているものと判断することが、より高い安全性を確保する上で有効である。本発明によれば、遠隔から送信されたメッセージの送信元識別子のドメイン情報が、携帯端末に保持されていない場合に限り、メッセージが送信先に転送される。換言すれば、遠隔から送信されたメッセージが送信元を詐称している可能性が高い場合には、携帯端末は、このメッセージを転送せずに破棄する。その結果、遠隔端末からのメッセージに関しても、送信元の詐称を防止することが可能となる。
【0017】
さらに、本発明に係る携帯端末においては、前記認証装置が、遠隔送信されたメッセージの種別に関して、その種別と、遠隔送信が許可されているメッセージ種別とが一致するか否かを判定する検証手段を更に備え、前記処理実行手段は、前記ドメイン情報、前記メッセージ種別のうち、少なくとも一方が一致する場合に、前記メッセージに応じた処理を実行するものとしもよい。
【0018】
本発明によれば、メッセージが遠隔送信された場合に、処理の実行に先立ち、当該メッセージの送信元と送信先のドメイン情報の照合に加えて、そのメッセージの遠隔送信が許可されているか否かの判定が為される。そして、双方のドメイン情報が一致しない場合であっても、遠隔送信が許可されていれば、メッセージに応じた処理は実行される。反対に、遠隔送信が許可されていなくとも、ドメイン情報が一致する場合には、メッセージに応じた処理は実行される。
メッセージを排除するための条件は、送信元(例えば、端末プログラム)によって任意に設定可能である。このため、不正な送信元が携帯端末に侵入した場合には、正常に設定されていた遠隔メッセージの排除条件が不正に書き換えられる可能性がある。したがって、携帯端末が、セキュリティレベルを維持するためには、遠隔から送信されたメッセージに対する安全性も考慮しなければならない。本発明によれば、遠隔から携帯端末に送信されたメッセージに関して、不正なメッセージ(例えば、送信元が詐称されているメッセージや遠隔送信が許可されていないメッセージ)を排除しつつ、認証の成功条件を緩和することも可能となる。
【0019】
本発明に係る携帯端末において、より好ましくは、前記送信元の識別子生成手段は、前記認証装置に対するメッセージの要求に先立ち、前記認証装置において更新されたポート情報を取得する。
【0020】
本発明によれば、送信元識別子は、認証装置のドメイン情報のみならず、認証装置において更新されたポート情報をこれに併せて生成される。そして、これら双方の情報が一致しない限り、前記メッセージに応じた処理は実行されない。このため、認証装置とは異なるドメイン情報を有する送信元からのメッセージ送信はもとより、認証装置からポート情報の付与を受けていない送信元によるメッセージの送信を排除することも可能となり、メッセージ送信元の正当性はより確実に担保される。その結果、送信元の詐称は防止され、携帯端末のセキュリティは一層向上する。
なお、送信元詐称防止の確実性をより高める観点から好ましくは、一度設定されたポート情報と同一のポート情報は、一の携帯端末内で複数回設定されることはない。これにより、同一の携帯端末内におけるポート情報の重複を回避する。
【0021】
上記認証装置はICカードであり、上記送信元は端末プログラムであることができる。ICカードと端末プログラムとは、同一の携帯端末が、メッセージの相互通信を可能に備えることができる。当該携帯端末の備えるICカード、端末プログラムはそれぞれ複数でもよいが、単数のとき、携帯端末は、以下のような構成を採ることができる。すなわち、本発明に係る携帯端末は、前記認証装置としてICカードを備え、前記送信元として端末プログラムを更に備え、前記ICカードと前記端末プログラムとの間で、前記メッセージの送受信を行う。かかる構成を有する携帯端末によっても、メッセージの送信元詐称、または、メッセージの横取りを同様に防止できることから、不正プログラムを排除したセキュリティの向上が実現される。
【発明の効果】
【0022】
本発明によれば、認証装置(例えば、ICカード)と送信元(例えば、端末プログラム)との間でメッセージの送受信を行う携帯端末において、メッセージ送信元の詐称、または、メッセージの横取りを防止することで、携帯端末のセキュリティを向上することが可能となる。
【発明を実施するための最良の形態】
【0023】
以下、例示の為に添付された図面を参照しながら、本発明の一実施形態について説明する。
本実施の形態における携帯端末1は、図1に示すように、ICカード2(認証装置に対応)と端末プログラム3(送信元に対応)とを少なくとも備える。携帯端末1は、例えば携帯電話やPDA(Personal Digital Assistance)であるが、通信機能を有する端末装置であれば、その機能や用途による限定を受けるものではない。また、ICカードと端末プログラムは、複数あってもよい。
【0024】
携帯端末1は、遠隔端末4から送信されたメッセージ(遠隔メッセージ)による送信元詐称を防止するために、遠隔接続部11と、遠隔送信元認証部12(遠隔認証手段に対応)と、データ転送部13(転送手段に対応)とを備える。これら各構成要素は、図示しないバスを介して相互に信号の入出力が可能なように接続されている。
【0025】
遠隔接続部11は、基地局Bとの間で無線回線による接続が可能であり、遠隔端末4から送信されたメッセージを、公衆回線網Nと基地局B経由で受信する。
遠隔送信元認証部12は、ドメインマップ12aを有する。ドメインマップ12aには、携帯端末1の備えるICカードの属するドメインの識別子として、ドメインID(ドメイン情報に対応)が登録されている。本実施の形態では、携帯端末1の備えるICカードはICカード2のみであるので、ドメインマップ12aには“i1”が保持されている。遠隔送信元認証部12は、受信されたメッセージに含まれる送信元IDのドメイン部分(上記ドメインID)がドメインマップ12aに登録済であるか否かに基づいて、当該メッセージが送信元を詐称したものでないか否かの判定を行う。詐称と判定された場合には、メッセージを破棄し、詐称でないと判定された場合には、後段のデータ転送部13に当該メッセージを出力する。
【0026】
データ転送部13は、遠隔送信元認証部12より入力されたメッセージに含まれる送信先IDから、その送信先を特定し転送する。送信先IDがICカードの識別子であれば、上記メッセージをICカード2に転送し、端末プログラムの識別子であれば、これを端末プログラム3宛に転送する。
【0027】
ICカード2は、データ送受信部21と、ポート番号生成部22と、送信元認証部23(認証手段に対応)と、メッセージ処理部24(処理実行手段に対応)と、ICカード識別子保持部25と、メッセージ種別検証部26(検証手段に対応)とを備えて構成される。これら各構成要素は、図示しないバスを介して相互に信号の入出力が可能なように接続されている。ICカード2は、外部のプログラムや装置からの高い秘匿性や耐性を確保する観点から、耐タンパー性を有することが望ましい。
【0028】
データ送受信部21は、端末プログラム31との間で、バスを介したデータの送受信を行う。データには、メッセージはもとより、ICカード2の識別子やポート番号(ポート情報に対応)を含む。
本実施の形態において受信または送信されるメッセージは、添付図面を含めて、<送信元ID、送信先ID、メッセージ種別、メッセージ内容>の形式で表記する。また、メッセージ種別における“En(nは自然数)”は、ICカード2における処理が異常終了したことを示す。
【0029】
ポート番号生成部22は、端末プログラム3からのポート番号の要求に伴い、既存のポート番号を取得し、その値に所定数を追加することで、新たなポート番号を生成する。例えば、既存のポート番号が“0”である場合には、所定数として“1”を増加させることで、ポート番号は“1”に更新される。
【0030】
送信元認証部23は、データ送受信部21により受信されたメッセージの送信元IDに関して、そのドメインIDと、ICカード2の識別子のドメイン部分とを照合する。照合の結果、双方の値が一致した場合にのみ、認証を成功とする。成功の認証結果は、メッセージ処理部24に通知される。失敗の認証結果は、メッセージの送信元に通知される。かかる認証処理は、本発明に係る携帯端末1の要諦をなす機能であるため、動作説明において詳述する。
【0031】
メッセージ処理部24は、送信元認証部23による認証処理に成功した旨の通知を契機として、上記メッセージの種別及び内容に応じた処理を実行する。
ICカード識別子保持部25には、ICカード2の識別子が格納されている。本実施の形態では、この識別子は、表記上のセパレータ“:”を用いて[D:P]の形式で表記する。ICカード2には、識別子[i1:0]が割り当てられている。Dに相当する“i1”は、ICカード2の属するドメインのIDであり、Pに相当する“0”は、対応するドメイン内でのポート番号を表す。
【0032】
メッセージ種別検証部26は、遠隔送信許否テーブル261を事前に有する。遠隔送信許否テーブル261には、図3(b)に示すように、遠隔送信の許否がメッセージ種別ごとに保持されている。メッセージ種別検証部26は、データ送受信部21により受信されたメッセージがデータ転送部13から入力されたものである場合に、遠隔からのものであると判断し、上記テーブル261を参照して、遠隔送信の許否を判定する。判定の結果、受信されたメッセージの遠隔送信が許可されている場合には、認証を成功とする。成功の認証結果は、メッセージ処理部24に通知される。失敗の認証結果は、メッセージの送信元に通知される。
【0033】
端末プログラム3は、所定のデータを処理するためのアプリケーションプログラムであるが、初期状態では識別子をもたない。端末プログラム3は、データ送受信部31(送信手段に対応)と、ICカード識別子管理部32と、接続情報保持部33と、プログラム識別子生成部34(識別子生成手段に対応)と、プログラム識別子保持部35と、ハンドラ登録部36(保持手段に対応)と、送信メッセージ生成部37(メッセージ生成手段に対応)と、送信先認証部38(判定手段に対応)と、プログラム実行部39(処理実行手段に対応)とを備える。これら各構成要素は、図示しないバスを介して相互に信号の入出力が可能なように接続されている。
【0034】
データ送受信部31は、ICカード2との間で、バスを介したデータの送受信を行う。データには、メッセージはもとより、ポート番号の生成を依頼する信号を含む。
ICカード識別子管理部32は、ICカード2からその識別子を取得し、これを保持する。上述のように、本実施の形態では、[i1:0]が取得および保持される。
【0035】
接続情報保持部33は、プログラム識別子生成部34によるアクセスが可能であり、端末プログラム3の属するドメインを識別するための情報として、“i1”を保持する。
プログラム識別子生成部34は、接続情報保持部33に保持されているドメインIDと、ICカード2から受信されたポート番号とを組み合わせて、プログラム識別子(送信元識別子に対応)を生成する。すなわち、プログラム識別子は、端末プログラム3の識別子のみならず、ICカード2により端末プログラム毎に個別に割り当てられるポート番号を含む。したがって、端末プログラム3以外の端末プログラムは、このポート番号を得ない限り、端末プログラム3と同一の識別子を生成することはできず、これにより、識別子の詐称は排除される。
【0036】
プログラム識別子保持部35には、プログラム識別子生成部34により接続情報保持部33から取得されたドメインIDが一時的に保持される。また、当該ドメインIDとポート番号とから成るプログラム識別子を、端末プログラム3のハンドラ(通知プログラムに対応)に対応付けて保持する。さらに、プログラム識別子保持部35は、ハンドラにプログラム識別子を割り当てる際にユーザに通知される情報(参照情報)を併せて保持する。これにより、端末プログラム3内に不正なハンドラが存在していても、プログラム識別子の割当ての際に、それを検知することができる。
【0037】
ハンドラ登録部36は、メッセージの受信を通知するプログラムとして、コールバックハンドラを予め有する。そして、このハンドラに、上述のプログラム識別子と参照情報とを対応付けて、プログラム識別子保持部35にこれらの情報を保持させる。
【0038】
送信メッセージ生成部37は、ICカード2宛のメッセージを生成する。生成に際して、送信元IDとしては、プログラム識別子保持部35から取得されたプログラム識別子(本実施の形態では“i1:1”)を使用する。送信先IDとしては、ICカード識別子管理部32に保持されている識別子(本実施の形態では“i1:0”)を使用する。さらに、その目的や機能に応じて、メッセージの種別“tn”や内容“mn”を(nは自然数)これらに対応付けることで、例えば、メッセージ<i1:1,i1:0,tn,mn>を生成する。
【0039】
送信先認証部38は、データ送受信部31により受信されたメッセージの送信先IDと、プログラム識別子保持部35に保持されているプログラム識別子とを照合し、それらの一致・不一致を判定する。一致する場合には、後段のプログラム実行部39に対し、上記識別子に対応するハンドラと併せて、認証成功の旨を通知する。不一致の場合には、「横取りの可能性あり」とのエラーメッセージを出力する。
【0040】
プログラム実行部39は、送信先認証部38より認証成功の旨の通知を受けると、受信メッセージを引数として、併せて通知されたハンドラを実行する。このハンドラは、送信先認証部38による認証の結果、プログラム識別子の一致したハンドラである。
【0041】
次に、添付図面を参照しながら、本実施の形態における携帯端末1の動作、併せて、本発明に係る認証方法を構成する各ステップについて説明する。
【0042】
携帯端末1は、内蔵の端末プログラム3を起動中である。携帯端末1は、端末プログラム3とのメッセージ送受信に先立ち、図2のフローチャートに沿った処理を実行する。
まず、ICカード2は、データ送受信部21により、ICカード識別子保持部25に保持する自識別子[i1:0]を、メッセージの送信相手となる端末プログラム3宛に送信する(図2のS1)。識別子の送信は、ICカード2が自発的に行ってもよいし、端末プログラム3からの送信要求に応じて実行してもよい。
端末プログラム3は、データ送受信部31により上記識別子を受信すると、ICカード識別子管理部32にこれを保持する(S1)。
【0043】
現時点で、接続情報保持部33には、上記識別子のドメイン部分にあたる“i1”が、端末プログラム3のドメインIDとして唯一格納されており、プログラム識別子生成部34は、当該ドメインIDを取得する(S2)。取得されたドメインIDは、プログラム識別子保持部35に一時的に保持される(S3)。その後、プログラム識別子生成部34は、データ送受信部31を介して、S3で保持されたドメインID“i1”に対応するICカード2にポート番号を要求する(S4)。
【0044】
端末プログラム3からポート番号を要求されたICカード2は、ポート番号生成部22により、既存のポート番号である“0”を取得し、現在の値に1を追加することで、新たなポート番号“1”を生成する(S5)。同時に、従前のポート番号“0”は“1”に更新される。ポート番号の更新に関しては、1の増加を例示したが、従前のポート番号と重複しない値であれば、減少やランダムであってもよい。増加や減少の幅に関しても、2ずつ等、任意である。
生成されたポート番号“1”は、S4の要求に対する応答として、データ送受信部21により端末プログラム3に送信される(S6)。
【0045】
端末プログラム3は、ポート番号の受信を契機として、プログラム識別子を生成する。すなわち、プログラム識別子生成部34は、S1でICカード2から受信された“i1”と、S6で受信されたポート番号“1”とから、これらを組み合わせたプログラム識別子(i1:1)を生成する(S7)。さらに、プログラム識別子生成部34は、このプログラム識別子を、そのオブジェクトリファレンスである参照情報“p1”とともに、プログラム識別子保持部35に格納させる(S8)。なお、参照情報“p1”は、プログラム識別子と同一の値であってもよい。
【0046】
S9では、ハンドラ登録部36は、通知プログラムとしてのハンドラ“listener”に、上記参照情報との対応関係を与え、プログラム識別子保持部35に登録する。この結果、プログラム識別子保持部35は、図3(a)に示すデータ格納状態となる。
なお、上記参照情報は、端末プログラム3に対してプログラム識別子の割当てを行う際にユーザに通知される。このように、ハンドラの登録に参照情報を用いることにより、他の端末プログラムが「横取り」のためのハンドラを登録することを防止する。
【0047】
図2に示したメッセージ送受信の準備処理が完了すると、送信元の詐称を防止する処理が実行される。以下、図4を参照しながら、この処理を説明する。
まず、端末プログラム3からICカード2へのメッセージ送信をユーザが指示すると、送信メッセージ生成部37は、送信すべきメッセージの生成を行う。
本実施の形態では、メッセージの生成に際して、参照情報“p1”と、ICカード2の識別子[i1:0]と、メッセージ種別“t1”と、メッセージ内容“m1”とが与えられた場合を想定する(図4のS11)。
【0048】
送信メッセージ生成部37は、参照情報“p1”に対応するプログラム識別子(i1:1)をプログラム識別子保持部35から取得し、これらの情報を、指定されたメッセージ種別と内容に組み合わせることで、メッセージ<i1:1,i1:0,t1,m1>を生成する(S12)。送信メッセージ生成部37は、メッセージの送信先“i1:0”が、S1で保持されたICカード2の識別子である[i1:0]と同一であることを確認した後(S13)、データ送受信部31に対して、上記メッセージの送信を指示する。
【0049】
S14では、S12で生成されたメッセージが、ICカード2を宛先として、端末プログラム3から送信される。
ICカード2は、データ送受信部21により当該メッセージを受信すると、送信元認証部23により、送信元が詐称されていないかを確認する。送信元の確認は、送信元IDを構成するドメインIDが、ICカード2が現在保持する情報と同一であるか否かに基づいて行われる。すなわち、送信元認証部23は、S14にて受信されたメッセージの送信元IDである“i1:1”に関して、そのドメインID“i1”と、自ICカード2の識別子のドメイン部分(ドメインID)とを照合する。そして、これらの一致・不一致を判定する(S15)。
【0050】
本実施の形態では、自ICカード2の識別子は[i1:0]であり、ドメインIDはともに“i1”である(S15;YES)。したがって、ICカード2のメッセージ処理部24は、メッセージの種別“t1”とその内容“m1”に応じた所定の処理を実行する(S16)。処理結果は、出力メッセージとして出力される。
また、両ドメインIDが一致しない場合には(S15;NO)、端末プログラム3を送信先としたエラーメッセージ(例えば、<i1:0,i1:1,“E1”,err>)が返信され(S17)、一連の処理は中断する。
なお、上述のS15では、ドメインIDに併せて、ポート番号の同一性を判定してもよい。この場合、ドメインIDとポート番号の双方が一致した場合に限り、S16の処理が実行される。
【0051】
次いで、図5を参照し、受信メッセージの横取りを防止する処理を説明する。
S16の処理の実行が完了すると、その旨が、メッセージ<i1:0,i1:1,t2,m2>により、端末プログラム3に通知される(図5のS21)。
端末プログラム3は、データ送受信部31により上記メッセージを受信すると、当該メッセージから送信先IDを抽出し、プログラム識別子保持部35を検索する。すなわち、送信先認証部38は、S21で受信されたメッセージの送信先IDである“i1:1”がプログラム識別子としてプログラム識別子保持部35に保持されているか否かを判定する(S22)。
【0052】
再び図3(a)を参照すると、本実施の形態では、領域35bに、プログラム識別子としての(i1:1)が登録されているため(S22;YES)、この時点で認証に成功する。したがって、プログラム実行部39は、上記メッセージを引数として、対応するハンドラ“listener”を実行する(S23)。
なお、S22において、プログラム識別子保持部35内に、対応するプログラム識別子が存在しない場合には(S22;NO)、受信したメッセージは、プログラムの実行に使用されず、その旨を伝えるメッセージがユーザに対して出力される(S24)。
【0053】
S21で受信されたメッセージは、その送信先として指定されているプログラム識別子(i1:1)に対応付けられたハンドラ(本実施の形態では“listener”)によってのみ通知される。換言すれば、“listener”をもたない端末プログラム(すなわち、端末プログラム3以外のプログラム)に対して通知されることはない。このため、他の端末プログラムが、上記メッセージ<i1:0,i1:1,t2,m2>を引数として“listener”を実行することはできず、他の端末プログラムにおいて上記メッセージが取得されることはない。よって、そのユーザに対して出力されることもなく、これにより、メッセージの横取りは防止される。
【0054】
次に、図6と図7のフローチャートを参照し、携帯端末1の外部からのメッセージ送信を想定した場合における、送信元詐称の防止処理を説明する。
遠隔端末4から携帯端末1宛にメッセージ<i2:0,i1:0,t3,m3>が送信されると(図6のS31)、携帯端末1は、遠隔接続部11の受信したメッセージが送信元を詐称したものでないか否かの判定を行う。この判定は、遠隔送信元認証部12が、受信されたメッセージから送信元ID“i2:0”を抽出し、この送信元IDのドメインIDがドメインマップ12aに登録されているか否かに基づいて行われる(S32)。この時点では、遠隔送信元認証部12のドメインマップに保持されているドメインIDは“i1”のみである。
【0055】
登録されている場合には(S32;YES)、遠隔から届いたメッセージにも関わらず、同一のドメインIDが携帯端末1に保持されていることは通常あり得ないため、遠隔送信元認証部12は、メッセージの送信元が詐称されているものと判断する。例えば、遠隔接続部11により受信されたメッセージの送信元IDが“i1:0”の場合には、そのドメインIDである“i1”が上述のドメインマップ12aに登録されていることから、遠隔端末4が、携帯端末1内の何れかのプログラムを送信元として詐称しているものと判断することができる。その結果、S31で受信された上記メッセージは破棄される(S33)。このとき、携帯端末1は、ユーザに異常を通知したり、異常の発生をログに記録してもよい。
【0056】
S32における判定の結果、送信元IDのドメインIDがドメインマップ12aに登録されていない場合(S32;NO)、すなわち、携帯端末1に未登録のドメインからメッセージが送信されてきた場合には、遠隔送信であればドメインが異なるのが通常であるところ、上記メッセージの送信元が、携帯端末1内のプログラム(例えば、端末プログラム3)に成りすましていることはない。このため、現時点では、少なくともドメインIDからは、当該メッセージが送信元を詐称しているとの判断はできない。したがって、次のステップであるS33に移行する。
【0057】
S33では、データ転送部13は、上記メッセージの送信先IDから送信先を特定する。本実施の形態では、送信先IDは“i1:0”であるので、データ転送部13は、識別子[i1:0]を有するICカード2に上記メッセージを転送する(S35)。
送信先IDとして、端末プログラム3の識別子(i1:1)が指定されている場合にはS36に移行し、受信されたメッセージは、端末プログラム3に転送される。以降は、図5に示したS22に移行し、同様の処理が実行される。
【0058】
なお、S33で特定された送信先が、ICカード2、端末プログラム3の何れでもない場合には、転送先が携帯端末1内に存在しないことから、宛先不明として異常終了する。その旨は、S37に示すように、エラーメッセージ<i1:0,i2:0,“E2”,err>を介して、メッセージの本来の送信元である遠隔端末4に通知されるものとしてもよい。
【0059】
図7に移り、S35でデータ転送部13から転送されたICカード2宛のメッセージは、データ送受信部21により受信される(S38)。
S39では、送信元認証部23は、上記メッセージに関して、図4に示したS15の処理と同様に、送信元の認証を行う。すなわち、送信元認証部23は、送信元の詐称を検知すべく、S31で受信されたメッセージの送信元IDである“i2:0”について、そのドメインIDが自識別子のものと同じであるか否かを判定する。ドメインIDが一致すればS40に移行し、不一致であればS41に移行する。このとき、ドメインIDに併せて、ポート番号の同一性を判定してもよい。
【0060】
S39における認証の結果、受信メッセージのドメインIDが自識別子のものと同じである場合には(S39;YES)、送信元認証部23は、当該メッセージが遠隔から送信されていないものと判断し、その旨をメッセージ処理部24に通知する。通知を受けたメッセージ処理部24は、メッセージの種別“t3”とその内容“m3”に応じた処理を実行する(S40)。
【0061】
但し、本実施の形態では、ICカード2の識別子が[i1:0]であるのに対して、受信メッセージの送信元IDは“i2:0”であり、ドメインIDが異なる。このため、ドメインIDを基にした認証処理は失敗する。
S39の認証処理に失敗すると、メッセージ種別検証部26による認証処理、すなわち、受信されたメッセージの遠隔送信の許否判定が実行される(S41)。この判定は、メッセージ種別検証部26が、受信メッセージの種別を基にして行う。本実施の形態では、メッセージ種別は“t3”である。図3(b)を参照すると、遠隔送信許否テーブル261において、種別“t3”を有するメッセージは、遠隔送信が許可されている(S41;YES)。このため、上述のS40に移行する。
【0062】
一方、上記メッセージの種別から遠隔送信が拒否されていると判定された場合には(S41;NO)、S39にて送信元の認証にも失敗していることから、受信メッセージは送信元が詐称されているものと判断され、処理は異常終了する。このとき、遠隔接続部11は、送信元の遠隔端末4宛に、エラーメッセージ<i1:0,i2:0,“E3”,err>を返信することができる(S42)。
【0063】
以上説明したように、ICカード2を備える携帯端末1によれば、ICカード2と端末プログラム3とがそれぞれ保持する情報、少なくともドメインIDが一致しない限りは、メッセージに基づく処理は実行されない。これにより、メッセージの送信元が携帯端末1の内部であるか否かを問わず、送信元IDを詐称したプログラムによる処理の実行を排除する。また、メッセージの送信先IDに対応するハンドラがプログラムに登録されていない限り、そのプログラムによって当該メッセージが受信されることはない。このため、メッセージの横取りは防止される。
【0064】
なお、上記実施の形態に記載の態様は、本発明に係る携帯端末の好適な一例であり、本発明は、かかる態様に限定されるものではない。
例えば、上記実施の形態において、携帯端末1は、メッセージ送信元の詐称を防止するための機能(第一の機能:図4、図6、図7参照)と、メッセージの横取りを防止するための機能(第二の機能:図5参照)とを併せもつものとしたが、これらのうち何れか一方の機能のみをもつものとしてもよい。かかる態様においても、携帯端末1は、自機の有する何れかの機能により、個別の作用効果を奏する。具体的には、第一の機能によれば、本来は端末プログラム3が指示すべきメッセージ内容が、送信元を偽った別のプログラムによって指示された結果、正規の端末プログラム3に不利益が生じたり、不正なプログラムに不当な利益がもたらされたりする、といった不都合を回避することができる。また、第二の機能によれば、本来は端末プログラム3が受け取るべきメッセージを、別のプログラムが横取りした結果、当該メッセージが不正に使用(改竄など)されたり、盗み見されたりする、といった事態を回避することができる。よって、携帯端末1において、メッセージの送受信に関するセキュリティは向上する。
【0065】
また、携帯端末1の各構成要素の配置に関しても、上述の記載及び図示の態様に限らず、所定の構成要素を、ICカード2あるいは端末プログラム3の外部に配設するなど、上記第一または第二の機能を奏する範囲内で適宜変更可能である。例えば、送信元認証部23をICカード2の外部に配置して遠隔送信元認証部12に統合してもよいし、接続情報保持部33とハンドラ登録部36を端末プログラム3の外部に配置することもできる。さらに、遠隔接続部11、遠隔送信元認証部12、データ転送部13のうち、一または複数の構成要素を、ICカード2または端末プログラム3にもたせてもよい。
【図面の簡単な説明】
【0066】
【図1】本発明に係る携帯端末の機能的構成を示す図である。
【図2】携帯端末により実行される、詐称防止処理及び横取り防止処理の準備処理を説明するための図である。
【図3】図3(a)は、プログラム識別子保持部におけるデータ格納例を示す図である。図3(b)は、遠隔送信許否テーブルにおけるデータ格納例を示す図である。
【図4】携帯端末の内部から送信されたメッセージに関する詐称防止処理を説明するための図である。
【図5】携帯端末により実行される横取り防止処理を説明するための図である。
【図6】携帯端末の外部から送信されたメッセージに関する詐称防止処理の前半部分を説明するための図である。
【図7】携帯端末の外部から送信されたメッセージに関する詐称防止処理の後半部分(送信先がICカードの場合)を説明するための図である。
【符号の説明】
【0067】
1…携帯端末、11…遠隔接続部、12…遠隔送信元認証部、13…データ転送部、2…ICカード、21…データ送受信部、22…ポート番号生成部、23…送信元認証部、24…メッセージ処理部、25…ICカード識別子保持部、26…メッセージ種別検証部、261…遠隔送信許否テーブル、3…端末プログラム、31…データ送受信部、32…ICカード識別子管理部、33…接続情報保持部、34…プログラム識別子生成部、35…プログラム識別子保持部、36…ハンドラ登録部、37…送信メッセージ生成部、38…送信先認証部、39…プログラム実行部、4…遠隔端末、B…基地局、D…ドメインID、N…公衆回線網、P…ポート番号
【技術分野】
【0001】
本発明は、携帯端末の備えるICカードにアクセス可能なプログラムの認証技術に関する。
【背景技術】
【0002】
近年、ユビキタスコンピューティングを実現する手段の一つとして、TRON(The Real-time Operating system Nucleus)の開発が進めらている。e-TRONカード等のIC(IntegratedCircuit)カードを内蔵した携帯端末では、電子チケットを始めとする電子的な権利価値(以下、「電子価値」と記す。)を端末間で授受する際に、双方のICカード間で直接的に電子価値の送受信を行う技術が提案されている。かかる技術を、不足した電子価値のチャージに応用したシステムの例として、特許文献1には、高い安全性と簡易性とを両立する電子価値チャージシステムが開示されている。
【0003】
このようなシステムを実現するために、携帯端末に内蔵されているICカードと、同じく携帯端末に格納されたプログラム(以下、「端末プログラム」と記す。)とが、相互にメッセージの送受信を行うことで、連携して動作する方式が提案されている。かかる方式では、端末プログラムは、携帯端末上に設置されたライブラリに対して、所定のメッセージを与えることにより、ICカードや他の端末プログラムにメッセージを送信する。所定のメッセージとは、例えば、送信元ID(src)、送信先ID(dst)、メッセージの種別(mtype)、メッセージの内容(param)である。
【0004】
上記の方式では、端末プログラムにおいて、メッセージの受信を通知するためのプログラム(ハンドラ)を、受信を希望するメッセージの条件とともに事前に設定しておく。これにより、端末プログラムは、上記条件に合致したメッセージを受信したときに、ハンドラの呼出しに伴ってメッセージの受信を行うことができる。メッセージは、公衆回線などの外部ネットワークを介して、遠隔の端末装置からも送信され得るため、不正な遠隔メッセージが携帯端末宛に送信されることもある。しかし、端末プログラムが、メッセージの受信に上記の条件を設定することで、不正なメッセージを排除することができる。
【特許文献1】特開2003−337887号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記方式によれば、携帯端末の外部から送信された不正なメッセージを排除することはできるが、一旦受信されたメッセージに関して、その送信元を、端末プログラム自体がICカードに詐称する懸念は、未だ解消されない。すなわち、従来は、端末プログラムは、メッセージの送信元IDとして任意のIDを与えることができるため、不正な端末プログラム(若しくはそのユーザ)が、正規の端末プログラムのIDを送信元としたメッセージを送信すること(送信元IDの詐称)も可能である。
【0006】
さらに、不正な端末プログラムを宛先としたメッセージの送信が行われなくとも、正規の端末プログラムが一旦受信したメッセージが、不正な端末プログラムによって横取りされる懸念もある。
これらの理由により、携帯端末のICカードが、本来所望しない相手との間でメッセージの受渡しを行ってしまう可能性があり、このことが、ICカード、ひいては携帯端末のセキュリティを阻害する要因となっていた。
【0007】
そこで、本発明の課題は、ICカードと端末プログラムとの間でメッセージの送受信を行う携帯端末において、メッセージ送信元の詐称、または、メッセージの横取りを防止することで、携帯端末のセキュリティを向上することである。
【課題を解決するための手段】
【0008】
本発明に係る携帯端末は、認証装置と送信元との間でメッセージの送受信を行う携帯端末において、前記送信元は、前記認証装置に対するメッセージの要求に先立ち、前記認証装置のドメイン情報を用いて、前記送信元の識別子を生成する識別子生成手段と、前記識別子生成手段により生成された前記送信元識別子を送信元とし、前記認証装置の識別子を送信先とするメッセージを生成するメッセージ生成手段と、前記認証装置の識別子が保持手段に保持されている場合に、生成された前記メッセージを前記認証装置宛に送信する送信手段とを備え、前記認証装置は、前記送信手段により送信された前記メッセージの送信元識別子に関して、そのドメイン情報と、前記認証装置のドメイン情報とが一致するか否かを判定する認証手段と、前記認証手段により前記一致が判定された場合に、前記メッセージに応じた処理を実行する処理実行手段とを備える。
【0009】
本発明に係る認証方法は、認証装置と送信元との間でメッセージの送受信を行う携帯端末が、前記送信元において、前記認証装置に対するメッセージの要求に先立ち、前記認証装置のドメイン情報を用いて、前記送信元の識別子を生成するステップと、生成された前記送信元識別子を送信元とし、前記認証装置の識別子を送信先とするメッセージを生成するステップと、前記認証装置の識別子が保持手段に保持されている場合に、生成された前記メッセージを前記認証装置宛に送信するステップとを含み、前記認証装置において、送信された前記メッセージの送信元識別子に関して、そのドメイン情報と、前記認証装置のドメイン情報とが一致するか否かを判定するステップと、前記一致が判定された場合に、前記メッセージに応じた処理を実行するステップとを含む。
【0010】
送信元の識別子が、他の送信元(端末プログラムやICカード)によって知り得る状態にある場合には、その送信元による送信元識別子の詐称(例えば、成りすまし)によって、正規の識別子を有する上記送信元が危害を被る可能性がある。本発明に係る携帯端末によれば、送信元識別子は、ドメイン情報を少なくとも含んで構成され、これら双方の一致が図られた場合に限り、メッセージの指示する処理の実行を許可する。すなわち、詐称の可能性を判断する情報として、メッセージの送信先である認証装置から得られた固有の情報が使用されるため、送信元が自発的に他の送信元に該情報を漏らさない限り、他の送信元によって識別子が詐称されることはない。これにより、例えば、認証装置とは異なるドメイン情報を有する送信元からのメッセージ送信は排除され、メッセージ送信元の正当性が担保される。その結果、送信元の詐称は防止され、携帯端末のセキュリティは向上する。
【0011】
また、本発明に係る携帯端末は、認証装置と送信元との間でメッセージの送受信を行う携帯端末において、前記送信元は、前記認証装置から送信されるメッセージの受信に先立ち、前記認証装置から取得されたポート情報と前記認証装置のドメイン情報とを含んで構成される送信元識別子を、前記メッセージの受信に伴って実行される通知プログラム(いわゆるコールバックハンドラ)に対応付けて保持する保持手段と、前記メッセージが受信された際に、当該メッセージの送信先識別子(認証装置からみた送信先である前記送信元の識別子)と、前記保持手段に保持されている前記送信元識別子とが一致するか否かを判定する判定手段と、前記判定手段により前記一致が判定された場合に、前記送信元識別子に対応する通知プログラムを、前記メッセージを用いて実行する処理実行手段とを備える。
【0012】
本発明に係る認証方法は、認証装置と送信元との間でメッセージの送受信を行う携帯端末が、前記送信元において、前記認証装置から送信されるメッセージの受信に先立ち、前記認証装置から取得されたポート情報と前記認証装置のドメイン情報とを含んで構成される送信元識別子を、前記メッセージの受信に伴って実行される通知プログラムに対応付けて保持手段に保持するステップと、前記メッセージが受信された際に、当該メッセージの送信先識別子(認証装置からみた送信先である前記送信元の識別子)と、前記保持手段に保持されている前記送信元識別子とが一致するか否かを判定するステップと、前記一致が判定された場合に、前記送信元識別子に対応する通知プログラムを、前記メッセージを用いて実行するステップとを含む。
【0013】
メッセージが正規の送信元から要求されたとしても、そのメッセージが当該送信元によって使用されるとは限らない。すなわち、正規の送信元へのメッセージの到達前あるいは、メッセージが一旦到達した後に、何らかの理由により、不正な送信元によってそのメッセージが入手(横取り)されてしまう可能性は依然として残る。この場合、その送信元によるメッセージの不正使用によって、正規の送信元が危害を被る可能性がある。かかる懸念は、正規の送信元において上記メッセージが受信されたのみでは解消されず、不正な送信元における上記メッセージの使用を不許可とする手段をさらに講じる必要がある。
【0014】
そこで、本発明に係る携帯端末においては、正規の送信元が自識別子を生成する際に、当該識別子に対応付けて通知プログラムを保持しておく。識別子の生成には、上記メッセージの送信元である認証装置から得られた固有の情報が使用されるため、送信元が自発的に他の送信元に該情報を漏らさない限り、上記識別子に別の通知プログラムが対応付けられることはない。すなわち、受信されたメッセージの送信先識別子(認証装置からみた送信先である前記送信元の識別子)に前記送信元の識別子が指定されている限り、当該メッセージが、当該識別子に対応する通知プログラム以外の通知プログラムを実行させることはない。したがって、メッセージの受信前にその送信先が登録されている送信元以外の送信元(例えば、不正の送信元)が、このメッセージを入手したとしても無意味である。より具体的には、メッセージを横取りした送信元は、識別子の一致する通知プログラムをもたないために、メッセージの受信は認識されず、通知プログラムが実行されることもないことから、横取りは意味を為さない。その結果、メッセージの横取りは抑制され、携帯端末のセキュリティレベルは向上する。
【0015】
本発明に係る携帯端末において好ましくは、携帯端末の遠隔から送信されたメッセージを受信した際に、当該メッセージの送信元識別子のドメイン情報が、当該携帯端末の保持するドメイン情報の中に含まれるか否かを判定する遠隔認証手段と、当該遠隔認証手段による判定の結果、前記送信元識別子のドメイン情報が前記ドメイン情報の中に含まれない場合に、前記メッセージを、その送信先に転送する転送手段とを更に備える。
【0016】
通常、ドメインは、距離的に近接する端末群を単位として形成されるため、携帯端末が、当該携帯端末の遠隔に形成されたドメインに属することは本来あり得ない。したがって、携帯端末の遠隔から受信されたメッセージにも関わらず、携帯端末の保持するドメイン情報と同一のドメイン情報が含まれている場合には、このメッセージは送信元を詐称しているものと判断することが、より高い安全性を確保する上で有効である。本発明によれば、遠隔から送信されたメッセージの送信元識別子のドメイン情報が、携帯端末に保持されていない場合に限り、メッセージが送信先に転送される。換言すれば、遠隔から送信されたメッセージが送信元を詐称している可能性が高い場合には、携帯端末は、このメッセージを転送せずに破棄する。その結果、遠隔端末からのメッセージに関しても、送信元の詐称を防止することが可能となる。
【0017】
さらに、本発明に係る携帯端末においては、前記認証装置が、遠隔送信されたメッセージの種別に関して、その種別と、遠隔送信が許可されているメッセージ種別とが一致するか否かを判定する検証手段を更に備え、前記処理実行手段は、前記ドメイン情報、前記メッセージ種別のうち、少なくとも一方が一致する場合に、前記メッセージに応じた処理を実行するものとしもよい。
【0018】
本発明によれば、メッセージが遠隔送信された場合に、処理の実行に先立ち、当該メッセージの送信元と送信先のドメイン情報の照合に加えて、そのメッセージの遠隔送信が許可されているか否かの判定が為される。そして、双方のドメイン情報が一致しない場合であっても、遠隔送信が許可されていれば、メッセージに応じた処理は実行される。反対に、遠隔送信が許可されていなくとも、ドメイン情報が一致する場合には、メッセージに応じた処理は実行される。
メッセージを排除するための条件は、送信元(例えば、端末プログラム)によって任意に設定可能である。このため、不正な送信元が携帯端末に侵入した場合には、正常に設定されていた遠隔メッセージの排除条件が不正に書き換えられる可能性がある。したがって、携帯端末が、セキュリティレベルを維持するためには、遠隔から送信されたメッセージに対する安全性も考慮しなければならない。本発明によれば、遠隔から携帯端末に送信されたメッセージに関して、不正なメッセージ(例えば、送信元が詐称されているメッセージや遠隔送信が許可されていないメッセージ)を排除しつつ、認証の成功条件を緩和することも可能となる。
【0019】
本発明に係る携帯端末において、より好ましくは、前記送信元の識別子生成手段は、前記認証装置に対するメッセージの要求に先立ち、前記認証装置において更新されたポート情報を取得する。
【0020】
本発明によれば、送信元識別子は、認証装置のドメイン情報のみならず、認証装置において更新されたポート情報をこれに併せて生成される。そして、これら双方の情報が一致しない限り、前記メッセージに応じた処理は実行されない。このため、認証装置とは異なるドメイン情報を有する送信元からのメッセージ送信はもとより、認証装置からポート情報の付与を受けていない送信元によるメッセージの送信を排除することも可能となり、メッセージ送信元の正当性はより確実に担保される。その結果、送信元の詐称は防止され、携帯端末のセキュリティは一層向上する。
なお、送信元詐称防止の確実性をより高める観点から好ましくは、一度設定されたポート情報と同一のポート情報は、一の携帯端末内で複数回設定されることはない。これにより、同一の携帯端末内におけるポート情報の重複を回避する。
【0021】
上記認証装置はICカードであり、上記送信元は端末プログラムであることができる。ICカードと端末プログラムとは、同一の携帯端末が、メッセージの相互通信を可能に備えることができる。当該携帯端末の備えるICカード、端末プログラムはそれぞれ複数でもよいが、単数のとき、携帯端末は、以下のような構成を採ることができる。すなわち、本発明に係る携帯端末は、前記認証装置としてICカードを備え、前記送信元として端末プログラムを更に備え、前記ICカードと前記端末プログラムとの間で、前記メッセージの送受信を行う。かかる構成を有する携帯端末によっても、メッセージの送信元詐称、または、メッセージの横取りを同様に防止できることから、不正プログラムを排除したセキュリティの向上が実現される。
【発明の効果】
【0022】
本発明によれば、認証装置(例えば、ICカード)と送信元(例えば、端末プログラム)との間でメッセージの送受信を行う携帯端末において、メッセージ送信元の詐称、または、メッセージの横取りを防止することで、携帯端末のセキュリティを向上することが可能となる。
【発明を実施するための最良の形態】
【0023】
以下、例示の為に添付された図面を参照しながら、本発明の一実施形態について説明する。
本実施の形態における携帯端末1は、図1に示すように、ICカード2(認証装置に対応)と端末プログラム3(送信元に対応)とを少なくとも備える。携帯端末1は、例えば携帯電話やPDA(Personal Digital Assistance)であるが、通信機能を有する端末装置であれば、その機能や用途による限定を受けるものではない。また、ICカードと端末プログラムは、複数あってもよい。
【0024】
携帯端末1は、遠隔端末4から送信されたメッセージ(遠隔メッセージ)による送信元詐称を防止するために、遠隔接続部11と、遠隔送信元認証部12(遠隔認証手段に対応)と、データ転送部13(転送手段に対応)とを備える。これら各構成要素は、図示しないバスを介して相互に信号の入出力が可能なように接続されている。
【0025】
遠隔接続部11は、基地局Bとの間で無線回線による接続が可能であり、遠隔端末4から送信されたメッセージを、公衆回線網Nと基地局B経由で受信する。
遠隔送信元認証部12は、ドメインマップ12aを有する。ドメインマップ12aには、携帯端末1の備えるICカードの属するドメインの識別子として、ドメインID(ドメイン情報に対応)が登録されている。本実施の形態では、携帯端末1の備えるICカードはICカード2のみであるので、ドメインマップ12aには“i1”が保持されている。遠隔送信元認証部12は、受信されたメッセージに含まれる送信元IDのドメイン部分(上記ドメインID)がドメインマップ12aに登録済であるか否かに基づいて、当該メッセージが送信元を詐称したものでないか否かの判定を行う。詐称と判定された場合には、メッセージを破棄し、詐称でないと判定された場合には、後段のデータ転送部13に当該メッセージを出力する。
【0026】
データ転送部13は、遠隔送信元認証部12より入力されたメッセージに含まれる送信先IDから、その送信先を特定し転送する。送信先IDがICカードの識別子であれば、上記メッセージをICカード2に転送し、端末プログラムの識別子であれば、これを端末プログラム3宛に転送する。
【0027】
ICカード2は、データ送受信部21と、ポート番号生成部22と、送信元認証部23(認証手段に対応)と、メッセージ処理部24(処理実行手段に対応)と、ICカード識別子保持部25と、メッセージ種別検証部26(検証手段に対応)とを備えて構成される。これら各構成要素は、図示しないバスを介して相互に信号の入出力が可能なように接続されている。ICカード2は、外部のプログラムや装置からの高い秘匿性や耐性を確保する観点から、耐タンパー性を有することが望ましい。
【0028】
データ送受信部21は、端末プログラム31との間で、バスを介したデータの送受信を行う。データには、メッセージはもとより、ICカード2の識別子やポート番号(ポート情報に対応)を含む。
本実施の形態において受信または送信されるメッセージは、添付図面を含めて、<送信元ID、送信先ID、メッセージ種別、メッセージ内容>の形式で表記する。また、メッセージ種別における“En(nは自然数)”は、ICカード2における処理が異常終了したことを示す。
【0029】
ポート番号生成部22は、端末プログラム3からのポート番号の要求に伴い、既存のポート番号を取得し、その値に所定数を追加することで、新たなポート番号を生成する。例えば、既存のポート番号が“0”である場合には、所定数として“1”を増加させることで、ポート番号は“1”に更新される。
【0030】
送信元認証部23は、データ送受信部21により受信されたメッセージの送信元IDに関して、そのドメインIDと、ICカード2の識別子のドメイン部分とを照合する。照合の結果、双方の値が一致した場合にのみ、認証を成功とする。成功の認証結果は、メッセージ処理部24に通知される。失敗の認証結果は、メッセージの送信元に通知される。かかる認証処理は、本発明に係る携帯端末1の要諦をなす機能であるため、動作説明において詳述する。
【0031】
メッセージ処理部24は、送信元認証部23による認証処理に成功した旨の通知を契機として、上記メッセージの種別及び内容に応じた処理を実行する。
ICカード識別子保持部25には、ICカード2の識別子が格納されている。本実施の形態では、この識別子は、表記上のセパレータ“:”を用いて[D:P]の形式で表記する。ICカード2には、識別子[i1:0]が割り当てられている。Dに相当する“i1”は、ICカード2の属するドメインのIDであり、Pに相当する“0”は、対応するドメイン内でのポート番号を表す。
【0032】
メッセージ種別検証部26は、遠隔送信許否テーブル261を事前に有する。遠隔送信許否テーブル261には、図3(b)に示すように、遠隔送信の許否がメッセージ種別ごとに保持されている。メッセージ種別検証部26は、データ送受信部21により受信されたメッセージがデータ転送部13から入力されたものである場合に、遠隔からのものであると判断し、上記テーブル261を参照して、遠隔送信の許否を判定する。判定の結果、受信されたメッセージの遠隔送信が許可されている場合には、認証を成功とする。成功の認証結果は、メッセージ処理部24に通知される。失敗の認証結果は、メッセージの送信元に通知される。
【0033】
端末プログラム3は、所定のデータを処理するためのアプリケーションプログラムであるが、初期状態では識別子をもたない。端末プログラム3は、データ送受信部31(送信手段に対応)と、ICカード識別子管理部32と、接続情報保持部33と、プログラム識別子生成部34(識別子生成手段に対応)と、プログラム識別子保持部35と、ハンドラ登録部36(保持手段に対応)と、送信メッセージ生成部37(メッセージ生成手段に対応)と、送信先認証部38(判定手段に対応)と、プログラム実行部39(処理実行手段に対応)とを備える。これら各構成要素は、図示しないバスを介して相互に信号の入出力が可能なように接続されている。
【0034】
データ送受信部31は、ICカード2との間で、バスを介したデータの送受信を行う。データには、メッセージはもとより、ポート番号の生成を依頼する信号を含む。
ICカード識別子管理部32は、ICカード2からその識別子を取得し、これを保持する。上述のように、本実施の形態では、[i1:0]が取得および保持される。
【0035】
接続情報保持部33は、プログラム識別子生成部34によるアクセスが可能であり、端末プログラム3の属するドメインを識別するための情報として、“i1”を保持する。
プログラム識別子生成部34は、接続情報保持部33に保持されているドメインIDと、ICカード2から受信されたポート番号とを組み合わせて、プログラム識別子(送信元識別子に対応)を生成する。すなわち、プログラム識別子は、端末プログラム3の識別子のみならず、ICカード2により端末プログラム毎に個別に割り当てられるポート番号を含む。したがって、端末プログラム3以外の端末プログラムは、このポート番号を得ない限り、端末プログラム3と同一の識別子を生成することはできず、これにより、識別子の詐称は排除される。
【0036】
プログラム識別子保持部35には、プログラム識別子生成部34により接続情報保持部33から取得されたドメインIDが一時的に保持される。また、当該ドメインIDとポート番号とから成るプログラム識別子を、端末プログラム3のハンドラ(通知プログラムに対応)に対応付けて保持する。さらに、プログラム識別子保持部35は、ハンドラにプログラム識別子を割り当てる際にユーザに通知される情報(参照情報)を併せて保持する。これにより、端末プログラム3内に不正なハンドラが存在していても、プログラム識別子の割当ての際に、それを検知することができる。
【0037】
ハンドラ登録部36は、メッセージの受信を通知するプログラムとして、コールバックハンドラを予め有する。そして、このハンドラに、上述のプログラム識別子と参照情報とを対応付けて、プログラム識別子保持部35にこれらの情報を保持させる。
【0038】
送信メッセージ生成部37は、ICカード2宛のメッセージを生成する。生成に際して、送信元IDとしては、プログラム識別子保持部35から取得されたプログラム識別子(本実施の形態では“i1:1”)を使用する。送信先IDとしては、ICカード識別子管理部32に保持されている識別子(本実施の形態では“i1:0”)を使用する。さらに、その目的や機能に応じて、メッセージの種別“tn”や内容“mn”を(nは自然数)これらに対応付けることで、例えば、メッセージ<i1:1,i1:0,tn,mn>を生成する。
【0039】
送信先認証部38は、データ送受信部31により受信されたメッセージの送信先IDと、プログラム識別子保持部35に保持されているプログラム識別子とを照合し、それらの一致・不一致を判定する。一致する場合には、後段のプログラム実行部39に対し、上記識別子に対応するハンドラと併せて、認証成功の旨を通知する。不一致の場合には、「横取りの可能性あり」とのエラーメッセージを出力する。
【0040】
プログラム実行部39は、送信先認証部38より認証成功の旨の通知を受けると、受信メッセージを引数として、併せて通知されたハンドラを実行する。このハンドラは、送信先認証部38による認証の結果、プログラム識別子の一致したハンドラである。
【0041】
次に、添付図面を参照しながら、本実施の形態における携帯端末1の動作、併せて、本発明に係る認証方法を構成する各ステップについて説明する。
【0042】
携帯端末1は、内蔵の端末プログラム3を起動中である。携帯端末1は、端末プログラム3とのメッセージ送受信に先立ち、図2のフローチャートに沿った処理を実行する。
まず、ICカード2は、データ送受信部21により、ICカード識別子保持部25に保持する自識別子[i1:0]を、メッセージの送信相手となる端末プログラム3宛に送信する(図2のS1)。識別子の送信は、ICカード2が自発的に行ってもよいし、端末プログラム3からの送信要求に応じて実行してもよい。
端末プログラム3は、データ送受信部31により上記識別子を受信すると、ICカード識別子管理部32にこれを保持する(S1)。
【0043】
現時点で、接続情報保持部33には、上記識別子のドメイン部分にあたる“i1”が、端末プログラム3のドメインIDとして唯一格納されており、プログラム識別子生成部34は、当該ドメインIDを取得する(S2)。取得されたドメインIDは、プログラム識別子保持部35に一時的に保持される(S3)。その後、プログラム識別子生成部34は、データ送受信部31を介して、S3で保持されたドメインID“i1”に対応するICカード2にポート番号を要求する(S4)。
【0044】
端末プログラム3からポート番号を要求されたICカード2は、ポート番号生成部22により、既存のポート番号である“0”を取得し、現在の値に1を追加することで、新たなポート番号“1”を生成する(S5)。同時に、従前のポート番号“0”は“1”に更新される。ポート番号の更新に関しては、1の増加を例示したが、従前のポート番号と重複しない値であれば、減少やランダムであってもよい。増加や減少の幅に関しても、2ずつ等、任意である。
生成されたポート番号“1”は、S4の要求に対する応答として、データ送受信部21により端末プログラム3に送信される(S6)。
【0045】
端末プログラム3は、ポート番号の受信を契機として、プログラム識別子を生成する。すなわち、プログラム識別子生成部34は、S1でICカード2から受信された“i1”と、S6で受信されたポート番号“1”とから、これらを組み合わせたプログラム識別子(i1:1)を生成する(S7)。さらに、プログラム識別子生成部34は、このプログラム識別子を、そのオブジェクトリファレンスである参照情報“p1”とともに、プログラム識別子保持部35に格納させる(S8)。なお、参照情報“p1”は、プログラム識別子と同一の値であってもよい。
【0046】
S9では、ハンドラ登録部36は、通知プログラムとしてのハンドラ“listener”に、上記参照情報との対応関係を与え、プログラム識別子保持部35に登録する。この結果、プログラム識別子保持部35は、図3(a)に示すデータ格納状態となる。
なお、上記参照情報は、端末プログラム3に対してプログラム識別子の割当てを行う際にユーザに通知される。このように、ハンドラの登録に参照情報を用いることにより、他の端末プログラムが「横取り」のためのハンドラを登録することを防止する。
【0047】
図2に示したメッセージ送受信の準備処理が完了すると、送信元の詐称を防止する処理が実行される。以下、図4を参照しながら、この処理を説明する。
まず、端末プログラム3からICカード2へのメッセージ送信をユーザが指示すると、送信メッセージ生成部37は、送信すべきメッセージの生成を行う。
本実施の形態では、メッセージの生成に際して、参照情報“p1”と、ICカード2の識別子[i1:0]と、メッセージ種別“t1”と、メッセージ内容“m1”とが与えられた場合を想定する(図4のS11)。
【0048】
送信メッセージ生成部37は、参照情報“p1”に対応するプログラム識別子(i1:1)をプログラム識別子保持部35から取得し、これらの情報を、指定されたメッセージ種別と内容に組み合わせることで、メッセージ<i1:1,i1:0,t1,m1>を生成する(S12)。送信メッセージ生成部37は、メッセージの送信先“i1:0”が、S1で保持されたICカード2の識別子である[i1:0]と同一であることを確認した後(S13)、データ送受信部31に対して、上記メッセージの送信を指示する。
【0049】
S14では、S12で生成されたメッセージが、ICカード2を宛先として、端末プログラム3から送信される。
ICカード2は、データ送受信部21により当該メッセージを受信すると、送信元認証部23により、送信元が詐称されていないかを確認する。送信元の確認は、送信元IDを構成するドメインIDが、ICカード2が現在保持する情報と同一であるか否かに基づいて行われる。すなわち、送信元認証部23は、S14にて受信されたメッセージの送信元IDである“i1:1”に関して、そのドメインID“i1”と、自ICカード2の識別子のドメイン部分(ドメインID)とを照合する。そして、これらの一致・不一致を判定する(S15)。
【0050】
本実施の形態では、自ICカード2の識別子は[i1:0]であり、ドメインIDはともに“i1”である(S15;YES)。したがって、ICカード2のメッセージ処理部24は、メッセージの種別“t1”とその内容“m1”に応じた所定の処理を実行する(S16)。処理結果は、出力メッセージとして出力される。
また、両ドメインIDが一致しない場合には(S15;NO)、端末プログラム3を送信先としたエラーメッセージ(例えば、<i1:0,i1:1,“E1”,err>)が返信され(S17)、一連の処理は中断する。
なお、上述のS15では、ドメインIDに併せて、ポート番号の同一性を判定してもよい。この場合、ドメインIDとポート番号の双方が一致した場合に限り、S16の処理が実行される。
【0051】
次いで、図5を参照し、受信メッセージの横取りを防止する処理を説明する。
S16の処理の実行が完了すると、その旨が、メッセージ<i1:0,i1:1,t2,m2>により、端末プログラム3に通知される(図5のS21)。
端末プログラム3は、データ送受信部31により上記メッセージを受信すると、当該メッセージから送信先IDを抽出し、プログラム識別子保持部35を検索する。すなわち、送信先認証部38は、S21で受信されたメッセージの送信先IDである“i1:1”がプログラム識別子としてプログラム識別子保持部35に保持されているか否かを判定する(S22)。
【0052】
再び図3(a)を参照すると、本実施の形態では、領域35bに、プログラム識別子としての(i1:1)が登録されているため(S22;YES)、この時点で認証に成功する。したがって、プログラム実行部39は、上記メッセージを引数として、対応するハンドラ“listener”を実行する(S23)。
なお、S22において、プログラム識別子保持部35内に、対応するプログラム識別子が存在しない場合には(S22;NO)、受信したメッセージは、プログラムの実行に使用されず、その旨を伝えるメッセージがユーザに対して出力される(S24)。
【0053】
S21で受信されたメッセージは、その送信先として指定されているプログラム識別子(i1:1)に対応付けられたハンドラ(本実施の形態では“listener”)によってのみ通知される。換言すれば、“listener”をもたない端末プログラム(すなわち、端末プログラム3以外のプログラム)に対して通知されることはない。このため、他の端末プログラムが、上記メッセージ<i1:0,i1:1,t2,m2>を引数として“listener”を実行することはできず、他の端末プログラムにおいて上記メッセージが取得されることはない。よって、そのユーザに対して出力されることもなく、これにより、メッセージの横取りは防止される。
【0054】
次に、図6と図7のフローチャートを参照し、携帯端末1の外部からのメッセージ送信を想定した場合における、送信元詐称の防止処理を説明する。
遠隔端末4から携帯端末1宛にメッセージ<i2:0,i1:0,t3,m3>が送信されると(図6のS31)、携帯端末1は、遠隔接続部11の受信したメッセージが送信元を詐称したものでないか否かの判定を行う。この判定は、遠隔送信元認証部12が、受信されたメッセージから送信元ID“i2:0”を抽出し、この送信元IDのドメインIDがドメインマップ12aに登録されているか否かに基づいて行われる(S32)。この時点では、遠隔送信元認証部12のドメインマップに保持されているドメインIDは“i1”のみである。
【0055】
登録されている場合には(S32;YES)、遠隔から届いたメッセージにも関わらず、同一のドメインIDが携帯端末1に保持されていることは通常あり得ないため、遠隔送信元認証部12は、メッセージの送信元が詐称されているものと判断する。例えば、遠隔接続部11により受信されたメッセージの送信元IDが“i1:0”の場合には、そのドメインIDである“i1”が上述のドメインマップ12aに登録されていることから、遠隔端末4が、携帯端末1内の何れかのプログラムを送信元として詐称しているものと判断することができる。その結果、S31で受信された上記メッセージは破棄される(S33)。このとき、携帯端末1は、ユーザに異常を通知したり、異常の発生をログに記録してもよい。
【0056】
S32における判定の結果、送信元IDのドメインIDがドメインマップ12aに登録されていない場合(S32;NO)、すなわち、携帯端末1に未登録のドメインからメッセージが送信されてきた場合には、遠隔送信であればドメインが異なるのが通常であるところ、上記メッセージの送信元が、携帯端末1内のプログラム(例えば、端末プログラム3)に成りすましていることはない。このため、現時点では、少なくともドメインIDからは、当該メッセージが送信元を詐称しているとの判断はできない。したがって、次のステップであるS33に移行する。
【0057】
S33では、データ転送部13は、上記メッセージの送信先IDから送信先を特定する。本実施の形態では、送信先IDは“i1:0”であるので、データ転送部13は、識別子[i1:0]を有するICカード2に上記メッセージを転送する(S35)。
送信先IDとして、端末プログラム3の識別子(i1:1)が指定されている場合にはS36に移行し、受信されたメッセージは、端末プログラム3に転送される。以降は、図5に示したS22に移行し、同様の処理が実行される。
【0058】
なお、S33で特定された送信先が、ICカード2、端末プログラム3の何れでもない場合には、転送先が携帯端末1内に存在しないことから、宛先不明として異常終了する。その旨は、S37に示すように、エラーメッセージ<i1:0,i2:0,“E2”,err>を介して、メッセージの本来の送信元である遠隔端末4に通知されるものとしてもよい。
【0059】
図7に移り、S35でデータ転送部13から転送されたICカード2宛のメッセージは、データ送受信部21により受信される(S38)。
S39では、送信元認証部23は、上記メッセージに関して、図4に示したS15の処理と同様に、送信元の認証を行う。すなわち、送信元認証部23は、送信元の詐称を検知すべく、S31で受信されたメッセージの送信元IDである“i2:0”について、そのドメインIDが自識別子のものと同じであるか否かを判定する。ドメインIDが一致すればS40に移行し、不一致であればS41に移行する。このとき、ドメインIDに併せて、ポート番号の同一性を判定してもよい。
【0060】
S39における認証の結果、受信メッセージのドメインIDが自識別子のものと同じである場合には(S39;YES)、送信元認証部23は、当該メッセージが遠隔から送信されていないものと判断し、その旨をメッセージ処理部24に通知する。通知を受けたメッセージ処理部24は、メッセージの種別“t3”とその内容“m3”に応じた処理を実行する(S40)。
【0061】
但し、本実施の形態では、ICカード2の識別子が[i1:0]であるのに対して、受信メッセージの送信元IDは“i2:0”であり、ドメインIDが異なる。このため、ドメインIDを基にした認証処理は失敗する。
S39の認証処理に失敗すると、メッセージ種別検証部26による認証処理、すなわち、受信されたメッセージの遠隔送信の許否判定が実行される(S41)。この判定は、メッセージ種別検証部26が、受信メッセージの種別を基にして行う。本実施の形態では、メッセージ種別は“t3”である。図3(b)を参照すると、遠隔送信許否テーブル261において、種別“t3”を有するメッセージは、遠隔送信が許可されている(S41;YES)。このため、上述のS40に移行する。
【0062】
一方、上記メッセージの種別から遠隔送信が拒否されていると判定された場合には(S41;NO)、S39にて送信元の認証にも失敗していることから、受信メッセージは送信元が詐称されているものと判断され、処理は異常終了する。このとき、遠隔接続部11は、送信元の遠隔端末4宛に、エラーメッセージ<i1:0,i2:0,“E3”,err>を返信することができる(S42)。
【0063】
以上説明したように、ICカード2を備える携帯端末1によれば、ICカード2と端末プログラム3とがそれぞれ保持する情報、少なくともドメインIDが一致しない限りは、メッセージに基づく処理は実行されない。これにより、メッセージの送信元が携帯端末1の内部であるか否かを問わず、送信元IDを詐称したプログラムによる処理の実行を排除する。また、メッセージの送信先IDに対応するハンドラがプログラムに登録されていない限り、そのプログラムによって当該メッセージが受信されることはない。このため、メッセージの横取りは防止される。
【0064】
なお、上記実施の形態に記載の態様は、本発明に係る携帯端末の好適な一例であり、本発明は、かかる態様に限定されるものではない。
例えば、上記実施の形態において、携帯端末1は、メッセージ送信元の詐称を防止するための機能(第一の機能:図4、図6、図7参照)と、メッセージの横取りを防止するための機能(第二の機能:図5参照)とを併せもつものとしたが、これらのうち何れか一方の機能のみをもつものとしてもよい。かかる態様においても、携帯端末1は、自機の有する何れかの機能により、個別の作用効果を奏する。具体的には、第一の機能によれば、本来は端末プログラム3が指示すべきメッセージ内容が、送信元を偽った別のプログラムによって指示された結果、正規の端末プログラム3に不利益が生じたり、不正なプログラムに不当な利益がもたらされたりする、といった不都合を回避することができる。また、第二の機能によれば、本来は端末プログラム3が受け取るべきメッセージを、別のプログラムが横取りした結果、当該メッセージが不正に使用(改竄など)されたり、盗み見されたりする、といった事態を回避することができる。よって、携帯端末1において、メッセージの送受信に関するセキュリティは向上する。
【0065】
また、携帯端末1の各構成要素の配置に関しても、上述の記載及び図示の態様に限らず、所定の構成要素を、ICカード2あるいは端末プログラム3の外部に配設するなど、上記第一または第二の機能を奏する範囲内で適宜変更可能である。例えば、送信元認証部23をICカード2の外部に配置して遠隔送信元認証部12に統合してもよいし、接続情報保持部33とハンドラ登録部36を端末プログラム3の外部に配置することもできる。さらに、遠隔接続部11、遠隔送信元認証部12、データ転送部13のうち、一または複数の構成要素を、ICカード2または端末プログラム3にもたせてもよい。
【図面の簡単な説明】
【0066】
【図1】本発明に係る携帯端末の機能的構成を示す図である。
【図2】携帯端末により実行される、詐称防止処理及び横取り防止処理の準備処理を説明するための図である。
【図3】図3(a)は、プログラム識別子保持部におけるデータ格納例を示す図である。図3(b)は、遠隔送信許否テーブルにおけるデータ格納例を示す図である。
【図4】携帯端末の内部から送信されたメッセージに関する詐称防止処理を説明するための図である。
【図5】携帯端末により実行される横取り防止処理を説明するための図である。
【図6】携帯端末の外部から送信されたメッセージに関する詐称防止処理の前半部分を説明するための図である。
【図7】携帯端末の外部から送信されたメッセージに関する詐称防止処理の後半部分(送信先がICカードの場合)を説明するための図である。
【符号の説明】
【0067】
1…携帯端末、11…遠隔接続部、12…遠隔送信元認証部、13…データ転送部、2…ICカード、21…データ送受信部、22…ポート番号生成部、23…送信元認証部、24…メッセージ処理部、25…ICカード識別子保持部、26…メッセージ種別検証部、261…遠隔送信許否テーブル、3…端末プログラム、31…データ送受信部、32…ICカード識別子管理部、33…接続情報保持部、34…プログラム識別子生成部、35…プログラム識別子保持部、36…ハンドラ登録部、37…送信メッセージ生成部、38…送信先認証部、39…プログラム実行部、4…遠隔端末、B…基地局、D…ドメインID、N…公衆回線網、P…ポート番号
【特許請求の範囲】
【請求項1】
認証装置と送信元との間でメッセージの送受信を行う携帯端末において、
前記送信元は、
前記認証装置に対するメッセージの要求に先立ち、前記認証装置のドメイン情報を用いて、前記送信元の識別子を生成する識別子生成手段と、
前記識別子生成手段により生成された前記送信元識別子を送信元とし、前記認証装置の識別子を送信先とするメッセージを生成するメッセージ生成手段と、
前記認証装置の識別子が保持手段に保持されている場合に、生成された前記メッセージを前記認証装置宛に送信する送信手段とを備え、
前記認証装置は、
前記送信手段により送信された前記メッセージの送信元識別子に関して、そのドメイン情報と、前記認証装置のドメイン情報とが一致するか否かを判定する認証手段と、
前記認証手段により前記一致が判定された場合に、前記メッセージに応じた処理を実行する処理実行手段と
を備えることを特徴とする携帯端末。
【請求項2】
認証装置と送信元との間でメッセージの送受信を行う携帯端末において、
前記送信元は、
前記認証装置から送信されるメッセージの受信に先立ち、前記認証装置から取得されたポート情報と前記認証装置のドメイン情報とを含んで構成される送信元識別子を、前記メッセージの受信に伴って実行される通知プログラムに対応付けて保持する保持手段と、
前記メッセージが受信された際に、当該メッセージの送信先識別子と、前記保持手段に保持されている前記送信元識別子とが一致するか否かを判定する判定手段と、
前記判定手段により前記一致が判定された場合に、前記送信元識別子に対応する通知プログラムを、前記メッセージを用いて実行する処理実行手段と
を備えることを特徴とする携帯端末。
【請求項3】
携帯端末の遠隔から送信されたメッセージを受信した際に、当該メッセージの送信元識別子のドメイン情報が、当該携帯端末の保持するドメイン情報の中に含まれるか否かを判定する遠隔認証手段と、
当該遠隔認証手段による判定の結果、前記送信元識別子のドメイン情報が前記ドメイン情報の中に含まれない場合に、前記メッセージを、その送信先に転送する転送手段と
を更に備えることを特徴とする請求項1に記載の携帯端末。
【請求項4】
前記認証装置は、
遠隔送信されたメッセージの種別に関して、その種別と、遠隔送信が許可されているメッセージ種別とが一致するか否かを判定する検証手段を更に備え、
前記処理実行手段は、前記ドメイン情報、前記メッセージ種別のうち、少なくとも一方が一致する場合に、前記メッセージに応じた処理を実行することを特徴とする請求項1に記載の携帯端末。
【請求項5】
前記送信元の識別子生成手段は、前記認証装置に対するメッセージの要求に先立ち、前記認証装置において更新されたポート情報を取得するとともに、当該ポート情報と前記認証装置のドメイン情報とから、前記送信元の識別子を生成することを特徴とする請求項1に記載の携帯端末。
【請求項6】
前記認証装置としてICカードを備え、
前記送信元として端末プログラムを更に備え、
前記ICカードと前記端末プログラムとの間で、前記メッセージの送受信を行うことを特徴とする請求項1または2に記載の携帯端末。
【請求項7】
認証装置と送信元との間でメッセージの送受信を行う携帯端末が、
前記送信元において、
前記認証装置に対するメッセージの要求に先立ち、前記認証装置のドメイン情報を用いて、前記送信元の識別子を生成するステップと、
生成された前記送信元識別子を送信元とし、前記認証装置の識別子を送信先とするメッセージを生成するステップと、
前記認証装置の識別子が保持手段に保持されている場合に、生成された前記メッセージを前記認証装置宛に送信するステップとを含み、
前記認証装置において、
送信された前記メッセージの送信元識別子に関して、そのドメイン情報と、前記認証装置のドメイン情報とが一致するか否かを判定するステップと、
前記一致が判定された場合に、前記メッセージに応じた処理を実行するステップと
を含むことを特徴とする認証方法。
【請求項8】
認証装置と送信元との間でメッセージの送受信を行う携帯端末が、
前記送信元において、
前記認証装置から送信されるメッセージの受信に先立ち、前記認証装置から取得されたポート情報と前記認証装置のドメイン情報とを含んで構成される送信元識別子を、前記メッセージの受信に伴って実行される通知プログラムに対応付けて保持手段に保持するステップと、
前記メッセージが受信された際に、当該メッセージの送信先識別子と、前記保持手段に保持されている前記送信元識別子とが一致するか否かを判定するステップと、
前記一致が判定された場合に、前記送信元識別子に対応する通知プログラムを、前記メッセージを用いて実行するステップと
を含むことを特徴とする認証方法。
【特許請求の範囲】
【請求項1】
認証装置と送信元との間でメッセージの送受信を行う携帯端末において、
前記送信元は、
前記認証装置の識別子のうちドメイン情報を保持する接続情報保持手段と、
前記認証装置に対するメッセージの要求に先立ち、前記接続情報保持手段に保持されている前記認証装置のドメイン情報を用いて、前記送信元を示す送信元識別子を生成する識別子生成手段と、
前記識別子生成手段により生成された前記送信元識別子を送信元とし、前記認証装置のドメイン情報を含んだ識別子を送信先とするメッセージを生成するメッセージ生成手段と、
前記認証装置の識別子が保持手段に保持されている場合に、生成された前記メッセージを前記認証装置宛に送信する送信手段とを備え、
前記認証装置は、
前記送信手段により送信された前記メッセージの前記送信元識別子におけるドメイン情報と、前記認証装置のドメイン情報とが一致するか否かを判定する認証手段と、
前記認証手段により前記一致が判定された場合に、前記メッセージに応じた処理を実行する処理実行手段とを備え、
公衆回線を経由して送信されたメッセージを受信する遠隔接続手段と、
前記遠隔接続手段により、携帯端末の遠隔から送信されたメッセージを受信した際に、当該メッセージの送信元識別子のドメイン情報が、当該携帯端末の保持するドメイン情報の中に含まれるか否かを判定する遠隔認証手段と、
当該遠隔認証手段による判定の結果、前記送信元識別子のドメイン情報が前記ドメイン情報の中に含まれない場合に、前記メッセージを、その送信先にしたがって前記送信元または前記認証装置に転送する転送手段と
を備えることを特徴とする携帯端末。
【請求項2】
認証装置と送信元との間でメッセージの送受信を行う携帯端末において、
前記送信元は、
前記認証装置から送信されるメッセージの送受信に先立ち、前記認証装置から取得されたポート情報と前記認証装置のドメイン情報とを含んで構成される送信元識別子を、前記メッセージの受信に伴って実行される通知プログラムに対応付けて保持する保持手段と、
前記メッセージが受信された際に、当該メッセージの送信先識別子と、前記保持手段に保持されている前記送信元識別子とが一致するか否かを判定する判定手段と、
前記判定手段により前記一致が判定された場合に、前記送信元識別子に対応する通知プログラムを、前記メッセージを用いて実行する処理実行手段と
を備えることを特徴とする携帯端末。
【請求項3】
前記認証装置は、
遠隔送信されたメッセージの種別に関して、その種別と、遠隔送信が許可されているメ
ッセージ種別とが一致するか否かを判定する検証手段を更に備え、
前記処理実行手段は、前記ドメイン情報、前記メッセージ種別のうち、少なくとも一方
が一致する場合に、前記メッセージに応じた処理を実行することを特徴とする請求項1に
記載の携帯端末。
【請求項4】
前記送信元の識別子生成手段は、前記認証装置に対するメッセージの要求に先立ち、前
記認証装置において更新されたポート情報を取得するとともに、当該ポート情報と前記認
証装置のドメイン情報とから、前記送信元の識別子を生成することを特徴とする請求項1
に記載の携帯端末。
【請求項5】
前記認証装置としてICカードを備え、
前記送信元として端末プログラムを更に備え、
前記ICカードと前記端末プログラムとの間で、前記メッセージの送受信を行うことを
特徴とする請求項1または2に記載の携帯端末。
【請求項6】
認証装置と送信元との間でメッセージの送受信を行う携帯端末における前記送信元において、
識別子生成手段が、前記認証装置に対するメッセージの要求に先立ち、前記認証装置の識別子のうちドメイン情報を保持する接続情報保持手段に記憶されている前記認証装置のドメイン情報を用いて、前記送信元を示す送信元識別子を生成するステップと、
メッセージ生成手段が、生成された前記送信元識別子を送信元とし、前記認証装置のドメイン情報を含んだ識別子を送信先とするメッセージを生成するステップと、
送信手段が、前記認証装置の識別子が保持手段に保持されている場合に、生成された前記メッセージを前記認証装置宛に送信するステップとを含み、
前記認証装置において、
認証手段が、送信された前記メッセージの前記送信元識別子におけるドメイン情報と、前記認証装置のドメイン情報とが一致するか否かを判定するステップと、
処理実行手段が、前記一致が判定された場合に、前記メッセージに応じた処理を実行するステップと
を含み、
遠隔接続手段が、公衆回線を経由して送信されたメッセージを受信する遠隔接続ステップと、
遠隔認証手段が、前記遠隔接続ステップにより、携帯端末の遠隔から送信されたメッセージを受信した際に、当該メッセージの送信元識別子のドメイン情報が、当該携帯端末の保持するドメイン情報の中に含まれるか否かを判定する遠隔認証ステップと、
転送手段が、当該遠隔認証ステップによる判定の結果、前記送信元識別子のドメイン情報が前記ドメイン情報の中に含まれない場合に、前記メッセージを、その送信先にしたがって前記送信元または前記認証装置に転送する転送ステップと
を含むことを特徴とする認証方法。
【請求項7】
認証装置と送信元との間でメッセージの送受信を行う携帯端末における前記送信元において、
保持手段が、前記認証装置から送信されるメッセージの送受信に先立ち、前記認証装置から取得されたポート情報と前記認証装置のドメイン情報とを含んで構成される送信元識別子を、前記メッセージの受信に伴って実行される通知プログラムに対応付けて保持手段に保持するステップと、
判定手段が、前記メッセージが受信された際に、当該メッセージの送信先識別子と、前記保持手段に保持されている前記送信元識別子とが一致するか否かを判定するステップと、
処理実行手段が、前記一致が判定された場合に、前記送信元識別子に対応する通知プログラムを、前記メッセージを用いて実行するステップと
を含むことを特徴とする認証方法。
【請求項1】
認証装置と送信元との間でメッセージの送受信を行う携帯端末において、
前記送信元は、
前記認証装置に対するメッセージの要求に先立ち、前記認証装置のドメイン情報を用いて、前記送信元の識別子を生成する識別子生成手段と、
前記識別子生成手段により生成された前記送信元識別子を送信元とし、前記認証装置の識別子を送信先とするメッセージを生成するメッセージ生成手段と、
前記認証装置の識別子が保持手段に保持されている場合に、生成された前記メッセージを前記認証装置宛に送信する送信手段とを備え、
前記認証装置は、
前記送信手段により送信された前記メッセージの送信元識別子に関して、そのドメイン情報と、前記認証装置のドメイン情報とが一致するか否かを判定する認証手段と、
前記認証手段により前記一致が判定された場合に、前記メッセージに応じた処理を実行する処理実行手段と
を備えることを特徴とする携帯端末。
【請求項2】
認証装置と送信元との間でメッセージの送受信を行う携帯端末において、
前記送信元は、
前記認証装置から送信されるメッセージの受信に先立ち、前記認証装置から取得されたポート情報と前記認証装置のドメイン情報とを含んで構成される送信元識別子を、前記メッセージの受信に伴って実行される通知プログラムに対応付けて保持する保持手段と、
前記メッセージが受信された際に、当該メッセージの送信先識別子と、前記保持手段に保持されている前記送信元識別子とが一致するか否かを判定する判定手段と、
前記判定手段により前記一致が判定された場合に、前記送信元識別子に対応する通知プログラムを、前記メッセージを用いて実行する処理実行手段と
を備えることを特徴とする携帯端末。
【請求項3】
携帯端末の遠隔から送信されたメッセージを受信した際に、当該メッセージの送信元識別子のドメイン情報が、当該携帯端末の保持するドメイン情報の中に含まれるか否かを判定する遠隔認証手段と、
当該遠隔認証手段による判定の結果、前記送信元識別子のドメイン情報が前記ドメイン情報の中に含まれない場合に、前記メッセージを、その送信先に転送する転送手段と
を更に備えることを特徴とする請求項1に記載の携帯端末。
【請求項4】
前記認証装置は、
遠隔送信されたメッセージの種別に関して、その種別と、遠隔送信が許可されているメッセージ種別とが一致するか否かを判定する検証手段を更に備え、
前記処理実行手段は、前記ドメイン情報、前記メッセージ種別のうち、少なくとも一方が一致する場合に、前記メッセージに応じた処理を実行することを特徴とする請求項1に記載の携帯端末。
【請求項5】
前記送信元の識別子生成手段は、前記認証装置に対するメッセージの要求に先立ち、前記認証装置において更新されたポート情報を取得するとともに、当該ポート情報と前記認証装置のドメイン情報とから、前記送信元の識別子を生成することを特徴とする請求項1に記載の携帯端末。
【請求項6】
前記認証装置としてICカードを備え、
前記送信元として端末プログラムを更に備え、
前記ICカードと前記端末プログラムとの間で、前記メッセージの送受信を行うことを特徴とする請求項1または2に記載の携帯端末。
【請求項7】
認証装置と送信元との間でメッセージの送受信を行う携帯端末が、
前記送信元において、
前記認証装置に対するメッセージの要求に先立ち、前記認証装置のドメイン情報を用いて、前記送信元の識別子を生成するステップと、
生成された前記送信元識別子を送信元とし、前記認証装置の識別子を送信先とするメッセージを生成するステップと、
前記認証装置の識別子が保持手段に保持されている場合に、生成された前記メッセージを前記認証装置宛に送信するステップとを含み、
前記認証装置において、
送信された前記メッセージの送信元識別子に関して、そのドメイン情報と、前記認証装置のドメイン情報とが一致するか否かを判定するステップと、
前記一致が判定された場合に、前記メッセージに応じた処理を実行するステップと
を含むことを特徴とする認証方法。
【請求項8】
認証装置と送信元との間でメッセージの送受信を行う携帯端末が、
前記送信元において、
前記認証装置から送信されるメッセージの受信に先立ち、前記認証装置から取得されたポート情報と前記認証装置のドメイン情報とを含んで構成される送信元識別子を、前記メッセージの受信に伴って実行される通知プログラムに対応付けて保持手段に保持するステップと、
前記メッセージが受信された際に、当該メッセージの送信先識別子と、前記保持手段に保持されている前記送信元識別子とが一致するか否かを判定するステップと、
前記一致が判定された場合に、前記送信元識別子に対応する通知プログラムを、前記メッセージを用いて実行するステップと
を含むことを特徴とする認証方法。
【特許請求の範囲】
【請求項1】
認証装置と送信元との間でメッセージの送受信を行う携帯端末において、
前記送信元は、
前記認証装置の識別子のうちドメイン情報を保持する接続情報保持手段と、
前記認証装置に対するメッセージの要求に先立ち、前記接続情報保持手段に保持されている前記認証装置のドメイン情報を用いて、前記送信元を示す送信元識別子を生成する識別子生成手段と、
前記識別子生成手段により生成された前記送信元識別子を送信元とし、前記認証装置のドメイン情報を含んだ識別子を送信先とするメッセージを生成するメッセージ生成手段と、
前記認証装置の識別子が保持手段に保持されている場合に、生成された前記メッセージを前記認証装置宛に送信する送信手段とを備え、
前記認証装置は、
前記送信手段により送信された前記メッセージの前記送信元識別子におけるドメイン情報と、前記認証装置のドメイン情報とが一致するか否かを判定する認証手段と、
前記認証手段により前記一致が判定された場合に、前記メッセージに応じた処理を実行する処理実行手段とを備え、
公衆回線を経由して送信されたメッセージを受信する遠隔接続手段と、
前記遠隔接続手段により、携帯端末の遠隔から送信されたメッセージを受信した際に、当該メッセージの送信元識別子のドメイン情報が、当該携帯端末の保持するドメイン情報の中に含まれるか否かを判定する遠隔認証手段と、
当該遠隔認証手段による判定の結果、前記送信元識別子のドメイン情報が前記ドメイン情報の中に含まれない場合に、前記メッセージを、その送信先にしたがって前記送信元または前記認証装置に転送する転送手段と
を備えることを特徴とする携帯端末。
【請求項2】
認証装置と送信元との間でメッセージの送受信を行う携帯端末において、
前記送信元は、
前記認証装置から送信されるメッセージの送受信に先立ち、前記認証装置から取得されたポート情報と前記認証装置のドメイン情報とを含んで構成される送信元識別子を、前記メッセージの受信に伴って実行される通知プログラムに対応付けて保持する保持手段と、
前記メッセージが受信された際に、当該メッセージの送信先識別子と、前記保持手段に保持されている前記送信元識別子とが一致するか否かを判定する判定手段と、
前記判定手段により前記一致が判定された場合に、前記送信元識別子に対応する通知プログラムを、前記メッセージを用いて実行する処理実行手段と
を備えることを特徴とする携帯端末。
【請求項3】
前記認証装置は、
遠隔送信されたメッセージの種別に関して、その種別と、遠隔送信が許可されているメ
ッセージ種別とが一致するか否かを判定する検証手段を更に備え、
前記処理実行手段は、前記ドメイン情報、前記メッセージ種別のうち、少なくとも一方
が一致する場合に、前記メッセージに応じた処理を実行することを特徴とする請求項1に
記載の携帯端末。
【請求項4】
前記送信元の識別子生成手段は、前記認証装置に対するメッセージの要求に先立ち、前
記認証装置において更新されたポート情報を取得するとともに、当該ポート情報と前記認
証装置のドメイン情報とから、前記送信元の識別子を生成することを特徴とする請求項1
に記載の携帯端末。
【請求項5】
前記認証装置としてICカードを備え、
前記送信元として端末プログラムを更に備え、
前記ICカードと前記端末プログラムとの間で、前記メッセージの送受信を行うことを
特徴とする請求項1または2に記載の携帯端末。
【請求項6】
認証装置と送信元との間でメッセージの送受信を行う携帯端末における前記送信元において、
識別子生成手段が、前記認証装置に対するメッセージの要求に先立ち、前記認証装置の識別子のうちドメイン情報を保持する接続情報保持手段に記憶されている前記認証装置のドメイン情報を用いて、前記送信元を示す送信元識別子を生成するステップと、
メッセージ生成手段が、生成された前記送信元識別子を送信元とし、前記認証装置のドメイン情報を含んだ識別子を送信先とするメッセージを生成するステップと、
送信手段が、前記認証装置の識別子が保持手段に保持されている場合に、生成された前記メッセージを前記認証装置宛に送信するステップとを含み、
前記認証装置において、
認証手段が、送信された前記メッセージの前記送信元識別子におけるドメイン情報と、前記認証装置のドメイン情報とが一致するか否かを判定するステップと、
処理実行手段が、前記一致が判定された場合に、前記メッセージに応じた処理を実行するステップと
を含み、
遠隔接続手段が、公衆回線を経由して送信されたメッセージを受信する遠隔接続ステップと、
遠隔認証手段が、前記遠隔接続ステップにより、携帯端末の遠隔から送信されたメッセージを受信した際に、当該メッセージの送信元識別子のドメイン情報が、当該携帯端末の保持するドメイン情報の中に含まれるか否かを判定する遠隔認証ステップと、
転送手段が、当該遠隔認証ステップによる判定の結果、前記送信元識別子のドメイン情報が前記ドメイン情報の中に含まれない場合に、前記メッセージを、その送信先にしたがって前記送信元または前記認証装置に転送する転送ステップと
を含むことを特徴とする認証方法。
【請求項7】
認証装置と送信元との間でメッセージの送受信を行う携帯端末における前記送信元において、
保持手段が、前記認証装置から送信されるメッセージの送受信に先立ち、前記認証装置から取得されたポート情報と前記認証装置のドメイン情報とを含んで構成される送信元識別子を、前記メッセージの受信に伴って実行される通知プログラムに対応付けて保持手段に保持するステップと、
判定手段が、前記メッセージが受信された際に、当該メッセージの送信先識別子と、前記保持手段に保持されている前記送信元識別子とが一致するか否かを判定するステップと、
処理実行手段が、前記一致が判定された場合に、前記送信元識別子に対応する通知プログラムを、前記メッセージを用いて実行するステップと
を含むことを特徴とする認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2006−252441(P2006−252441A)
【公開日】平成18年9月21日(2006.9.21)
【国際特許分類】
【出願番号】特願2005−71328(P2005−71328)
【出願日】平成17年3月14日(2005.3.14)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
【公開日】平成18年9月21日(2006.9.21)
【国際特許分類】
【出願日】平成17年3月14日(2005.3.14)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
[ Back to top ]