移動体通信端末、移動体通信方法、移動体通信プログラム、移動体通信システム
【課題】移動体通信端末は、処理能力が低いこと、電源に制限があること等の問題から、多量の演算を必要とするセキュリティシステムを備えることは実装上難しいという課題があった。
【解決手段】所定データと、この所定データが有効なデータか否かを識別するデータ識別子と、参照機能が有効か否かを示す機能識別子と、を受信する受信部と、所定データが有効なデータであるか否かをデータ識別子により判定するデータ識別判定部と、この所定データが有効なデータでないとデータ識別判定部が判定したとき、参照機能が有効であるか否かを機能識別子で判定する機能識別判定部と、内部データが記憶される内部データ記憶部と、機能識別判定部の判定結果に基づき、移動体通信端末の外部から、移動体通信端末の内部データが参照される可能性をデータ情報として設定する設定部と、を備えることを特徴とする移動体通信端末。
【解決手段】所定データと、この所定データが有効なデータか否かを識別するデータ識別子と、参照機能が有効か否かを示す機能識別子と、を受信する受信部と、所定データが有効なデータであるか否かをデータ識別子により判定するデータ識別判定部と、この所定データが有効なデータでないとデータ識別判定部が判定したとき、参照機能が有効であるか否かを機能識別子で判定する機能識別判定部と、内部データが記憶される内部データ記憶部と、機能識別判定部の判定結果に基づき、移動体通信端末の外部から、移動体通信端末の内部データが参照される可能性をデータ情報として設定する設定部と、を備えることを特徴とする移動体通信端末。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ソフトウェアデータを受信する移動体通信端末に関するものである。
【背景技術】
【0002】
現在、移動体通信端末のサービスにおいて、移動体通信端末は、Java(登録商標)言語により記述されたアプリケーションソフトをサーバからダウンロードすることが出来る。これに対して、ミドルウェア等のJava(登録商標)言語以外の多様なソフトウェアは、ダウンロード用に用意されていない。しかしながら、移動体通信端末のユーザは、ネイティブコードで記述されたネイティブソフトを多種のダウンロードサイトからダウンロードすることで、多様なソフトウェアを移動体通信端末上で実行する仕組みが考えられる。
【0003】
ダウンローしたネイティブソフトを実行する仕組みは、特定のCDMA(Code Division Multiple Access)方式携帯電話向けワイヤレス・アプリケーション・プラットフォームに対応した携帯電話では、実現出来ているものの、このプラットフォーム上で実行しなければならない制限がある。更には多様なネイティブソフトに対応していないのが現状である。
【0004】
このため、制限がない多様なネイティブソフトを実行できる仕組みが、望まれている。しかし、この場合、移動体通信端末は、Java(登録商標)におけるセキュリティ等のチェック機能を有するJava(登録商標) VM(Virtual Machine:仮想マシン)に相当する実行環境を有しておらず、多種のサイトからダウンロードしたネイティブソフトのセキュリティチェックが行われない。このため、ダウンロードしたネイティブソフトの実行時に個人情報漏洩する等の危険性が伴う。
【0005】
そこで、ネイティブソフトのセキュリティシステムとして、セキュリティ認識情報データベースを設けたセキュリティチェックシステムを用いることが開示されている(特許文献1)。
【特許文献1】特開2004−139372号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
ダウンロードしたソフトウェアのセキュリティチェックをするための解析は、Java(登録商標)言語で記述されたソースコードの場合は、比較的容易である一方、バイナリコードで記述されたネイティブコードの場合は、このバイナリコード中から危険なコードを検出することは、困難である。この場合、コード解析に要する演算量は、バイナリコードの場合はJava(登録商標)言語の場合と比較して、著しく多くなる。さらに、移動体通信端末は、演算能力が低いこと、電池駆動のために消費電力に制限があること等の理由により、多量の演算を必要とするセキュリティシステムを備えることは実用的ではない。
【0007】
そこで、本発明は、上記課題を解決したものであり、ネイティブソフトウェアの危険性を簡便な方法によって検出し、管理することで、セキュリティチェックに要する演算量を低減することができる。
【課題を解決するための手段】
【0008】
本発明は上記課題を解決するものであって、所定データが有する機能である他のデータを参照する参照機能が有効であるときに前記他のデータを参照することができる移動体通信端末において、前記所定データと、前記所定データが有効なデータか否かを識別するデータ識別子と、前記参照機能が有効か否かを示す機能識別子と、を受信する受信部と、前記所定データが有効なデータであるか否かを前記データ識別子により判定するデータ識別判定部と、前記所定データが有効なデータでないと前記データ識別判定部により判定されるとき、前記参照機能が有効であるか否かを前記機能識別子により判定する機能識別判定部と、内部データが記憶される内部データ記憶部と、前記機能識別判定部の判定結果に基づき、前記移動体通信端末の外部から前記内部データが参照される可能性をデータ情報として設定する設定部と、を備えることを特徴とする移動体通信端末である。
【0009】
これにより、前記移動体通信端末の外部から前記内部データが参照される可能性をデータ情報として設定することができる。
【発明の効果】
【0010】
本発明の移動体通信端末は、セキュリティチェックに要する演算量を低減することができる。
【発明を実施するための最良の形態】
【0011】
実施の形態1から実施の形態4までに、本発明の移動体通信端末、及び本発明の移動体通信システムについて記載する。
【0012】
本発明は、ネイティブソフトのダウンロード時に、その危険性を簡便な方法によって判別することで、ダウンロード時およびネイティブソフト起動時に要するセキュリティチェックの演算量を減らすことができる移動体通信端末、及び、移動体通信端末システムである。
【0013】
実施の形態1に記載する移動体通信端末では、ダウンロードしたソフトウェアの起動時に、他のデータを参照する機能が有効であるか否かを示すフラグに基づいて、ダウンロードしたソフトウェアの危険度を決定する。これにより、処理能力が低く、電源容量に制限がある等の資源に制限のある移動体通信端末においてもセキュリティチェックの演算量を減らすことができる。
【0014】
実施の形態2に記載する移動体通信端末では、さらに、ダウンロードしたソフトウェアの起動時に他のデータを参照する機能が動作するか否かの結果に基づいて、ダウンロードしたソフトウェアの危険度を決定する。これにより、ダウンロードしたソフトウェアの危険度に対する信頼性をより高めることができる。
【0015】
実施の形態3に記載する移動体通信端末では、ダウンロードしたソフトウェアの起動を行うか否かをあらかじめシステムに設定した条件、あるいはユーザが設定した条件に基づいて決定する。これにより、確実に、危険なソフトウェアの実行を禁止することができる。
【0016】
実施の形態4に記載する移動体通信端末システムでは、外部データベースによりダウンロードしたソフトウェアの危険度を管理し、移動体通信端末の要求によりこの外部データベースに記憶されている危険度を移動体通信端末に通知する。これにより、処理能力が低く、電源容量に制限がある等の資源に制限のある移動体通信端末においてもセキュリティチェックの演算量を減らすことができる。
【0017】
以上の実施の形態1から実施の形態4について、以下の各実施の形態の中で詳述する。
【0018】
(実施の形態1)
実施の形態1について以下詳述する。図1から図4までを用いて説明する本実施の形態1は、ダウンロードしたソフトウェアを起動する際に、他のデータを参照する機能が有効であるか否かを示すフラグに基づき、ダウンロードしたソフトウェアの危険度を決定する移動体通信端末に関するものである。
【0019】
ここで、本願における各実施の形態に記載されているネイティブソフトとは、ハードウェア(CPU(Central Processing Unit:中央処理装置)等)が直接実行できるプログラム(ネイティブコード)のことである。このネイティブソフトの特徴は、Java(登録商標)言語等の非ネイティブソフトと比較した場合、処理速度が速いことである。
【0020】
図1は、本実施の形態に係る移動体通信端末1の構成図である。移動体通信端末1としては、車載用通信装置、PDA、携帯電話等があり、ソフトウェアをサーバから受信することができる機能を有した電子機器が該当する。
【0021】
以下、図1にかかる移動体通信端末1について説明する。
【0022】
移動体通信端末1は、ソフトウェアのデータを受信(ダウンロード)する受信部2と、ダウンロードしたソフトウェアのデータに付随するプロファイル情報を分離する分離部3とを有する。分離部3は、アーカイバによってプロファイル情報とソフトウェア本体とを1つのファイルにまとめた形式でソフトウェアをダウンロードした場合、このアーカイバに対応する展開プログラムによって、プロファイル情報とソフトウェア本体とを分離することに相当する。しかしながら、このアーカイバ以外にも、ダウンロードしたソフトフェアからデータとプロファイル情報とを分離できればよい。
【0023】
図20は、このプロファイル情報の一例を示す図である。ここで、プロファイル情報は、ソフトウェアのデータに付随していなくても良い。具体的には、プロファイル情報のみをデータとして受信してもよい。この場合、分離部3は、受信部2で受信したプロファイル情報、あるいはソフトウェアを、データ識別判定部4、機能識別判定部5、データ記憶部7のいずれかに送る処理を行う。
【0024】
分離部3により分離した後、抽出されたソフトウェアは、そのソフトウェアのIDとともにデータ記憶部7に記憶される。ここでデータ記憶部7に記憶される情報は、ソフトウェアのIDに限定されるものではなく、各ソフトウェアを識別できる情報がデータに付加されて記憶されていればよい。
【0025】
また、移動体通信端末1は、分離部3によって抽出したプロファイル情報に基づき判定を行うデータ識別判定部4と機能識別判定部5、データ識別判定部4と機能識別判定部5との判定結果に基づきソフトウェアの危険度を決定し設定する設定部9と、この危険度を管理する危険度管理部6と、危険度管理部6に記憶された危険度を表示部(図示なし)に提示する実行部8とを有する。
【0026】
ここで、本実施の形態及び本願他の実施の形態に記載されている危険度は、実行するソフトウェアが他の外部データを参照する場合、この他の外部データを管理している機器(または接続先)又はそれ以外の機器(または接続先)が、ソフトウェアを実行している移動体通信端末の内部に記憶されている情報を、参照する可能性に相当し、データ情報として記憶されている。
【0027】
また、移動体通信端末の内部に記憶されている情報は、例えば、電話帳、スケジュール帳などのユーザの個人情報等である。これらの個人情報等のデータは、内部データとして、移動体通信端末1の内部データ記憶部10に記憶されている。
【0028】
データ識別判定部4は、受信したソフトウェアのデータが、信頼あるダウンロードサイトからダウンローされたデータであるか否か判定を行う。この判定は、データ識別判定部4が、分離部3で抽出したプロファイル情報のうち、図20のプロファイル情報の管理サイト情報に基づき行う。
【0029】
データ識別判定部4が受信したソフトウェアのデータを、信頼あるダウンロードサイトからダウンロードされたソフトウェアではないと判定した場合、機能識別判定部5は、このダウンロードしたソフトウェアが、このソフトウェア以外の他のデータを参照する機能を有するか否かを判定する。このとき、機能識別判定部5は、図20のプロファイル情報のユーザデータアクセス機能の値、ネットワーク機能の値がONか否かで判定をする。ここで、機能識別判定部5が判定する条件は、上記ユーザデータアクセス機能、ネットワーク機能の有無だけではなく、他の外部データを参照するような機能の有無でもよい。
【0030】
危険度管理部6は、ソフトウェアとそのソフトウェアの危険度とを対応付けて記憶する。実行部8は、ソフトフェアの実行時に、実行されるソフトウェアに対応した危険度を危険度管理部6から参照し、実行されるソフトウェアの危険度を表示部(図示なし)に提示する。さらに、ユーザがソフトウェアの実行を指示した場合は、このソフトウェアの実行を行う。また、上記移動体通信端末1が有する各構成部は、制御部(図示なし)により最適に制御されている。
【0031】
次に、図1の移動体通信端末1の動作について、図2と図3とを用いて説明する。
【0032】
図2と図3とは、ソフトウェアをダウンロードした後、ダウンロードしたソフトウェアを実行する処理のフロー図である。ソフトウェアをダウンロードする時の移動体通信端末1の動作について、以下説明する。
【0033】
移動体通信端末1のユーザは、図20に示す管理サイトの値がAなるダウンロードサイトから、applicationソフトウェアをダウンロードしている。
【0034】
ステップ20では、分離部3は、ダウンロードしたapplicationソフトウェアのプロファイルを示すプロファイル情報を、ダウンロードしたapplicationソフトウェアから抽出する。
【0035】
ステップ21では、データ識別判定部4は、ステップ20において分離部3が抽出したプロファイル情報の中の管理サイトの値Aが、信頼がおけるサイトの値であるか否かを判定する。
【0036】
ステップ22では、設定部9は、上記データ識別判定部4が管理サイトの値のAを信頼おけるサイトであると判定した(ステップ21でYESの場合)、危険度を0に設定する。ここで示される危険度の値は、例示であり、他にも、完全に安全が保障されている場合に、危険度をマイナスに設定しても良いし、明らかに危険である場合のみ、危険度を設定してもよい。
【0037】
信頼のおけるダウンロードサイトかどうかの判定は、予め記憶されているダウンロード公式サイトの管理サイトURLと一致するか否かにより行っても良いし、過去に利用したダウンロードサイトの中で信頼のおけるサイトのURLを記憶しておき、このURLと一致するか否かにより行っても良い。さらに、インターネット上で普及している認証方式、つまり、信頼できる認証局が発行した証明書を移動体通信端末が受信できた場合は、当該証明書を送信したサイトを信頼できるダウンロードサイトであると判定しても良い。
【0038】
ステップ23では、データ識別判定部4が、管理サイトの値のAを信頼おけるサイトでないと判定した(ステップ21でNO)場合、機能識別判定部5は、プロファイル情報中のユーザデータアクセス機能とネットワーク機能とが有効であるか否かを判定する。具体的には、機能識別判定部5は、図20で示されるプロファイル情報中のユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとがONかOFFかを、判定する。なお、本実施の形態では、機能識別判定部5は、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグに基づき判定をしているが、これ以外にも、ダウンロードしたソフトウェアが、このソフトウェア以外の外部データを参照する機能を有するか否かに基づき判定をしてもよい。
【0039】
また、本実施の形態では、設定部9は、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとがONであるか否かに基づき判定を行ったが、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとのONかOFFかの判定により危険度のレベルを変えてもよい。例えば、設定部9は、上記機能が両方ともOFFの場合、危険度を1に設定し、どちらか一方のみONの場合、危険度を1.5に設定してもよい。
【0040】
ステップ24では、設定部9は、上記ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとの両方がONである場合(ステップ23でYESの場合)、危険度を2に設定する。
【0041】
ステップ25では、設定部9は、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとのいずれか一方がOFFであるとき(ステップ23でNOの場合)、危険度を1に設定する。その後、ダウンロード処理は終了する。
【0042】
ここで、図20に示すように、設定部9は、管理サイト値がAのapplicationソフトウェアの危険度をステップ25に示すように、ネットワーク機能がOFF、ユーザデータアクセス機能がONであるので、危険度を1に設定する。
【0043】
図3は、上記ダウンロード処理終了後、ユーザがソフトウェアを作動させる場合のソフトウェア作動処理のフローである。
【0044】
ユーザは、データ記憶部7に記憶している管理サイトの値がAのapplicationソフトウェアを実行するように指示する。すると、実行部8は、管理サイトの値がAのapplicationソフトウェアのIDである0000bを参照する。
【0045】
ステップ30では、実行部8は、図21に示す対応を用いて、危険度管理部6からapplicationソフトウェアのIDが0000bに対応する危険度を参照する。
【0046】
ステップ31では、実行部8は、ステップ30で参照したサイトAからのapplicationソフトウェアの危険度1を表示部(図示せず)に提示する。そして、表示部は、ユーザに危険度1を提示する。
【0047】
ステップ32では、ユーザは、表示部が提示した危険度1の表示を確認した後、サイトAからダウンロードしたapplicationソフトウェアを実行するか否かを決定する。
【0048】
なお、applicationソフトウェアを実行するか否かの決定は、移動体通信端末1の入力手段(図示せず)、例えばテンキーや、その他決定ボタンで入力を行っても良い。さらにはユーザの入力なく一定時間経過後に、あらかじめ設定した処置(例えば、ユーザの入力を促す画面表示後、一定時間放置した場合、NOを選択したとみなす、等)を行っても良い。
【0049】
ステップ33では、実行部8は、危険度をユーザに提示した後、サイト管理の値がAであるダウンロードサイトからダウンロードしたapplicationソフトウェアをユーザが実行すると決定した場合であり、このapplicationソフトウェアを実行する(ステップ32でYESの場合)。
【0050】
その後、applicationソフトウェアの実行を終了する場合、又は、ユーザがapplicationソフトウェアの実行を行わないと決定した場合(ステップ32でNOの場合)、applicationソフトウェアの作動処理は、終了する。
【0051】
なお、図4は、ダウンロードした後すぐに、applicationソフトウェアの実行を行うフローである。
【0052】
図4に示すソフトウェア作動処理は、ステップ40が、図2に示すダウンロード処理を行い、ステップ41からステップ44が、図3のソフトウェア作動処理を行うものである。ここでは、重複する説明は省略する。
【0053】
以上のような本実施の形態1の移動体通信端末1の構成により、処理能力が低く、電源容量に制限がある等の資源の問題が生じる移動体通信端末においても、多量の演算を必要としないセキュリティシステムを備えることができる。
【0054】
また、本実施の形態1の移動体通信端末1により、多量の計算や解析をすることなく、ユーザに、ソフトウェアの危険度を通知することができる。具体的には、ソフトウェアの実行によって、内部データ記憶部10に記憶されている、電話帳やスケジュール帳などの移動体通信端末1のユーザの個人情報等が、外部の機器や接続先から参照される可能性を、危険度として判定し、ユーザに対して危険度の高いソフトウェアを通知することができる。
【0055】
なお、本実施の形態では、applicationソフトウェアをダウンロードする場合を説明したが、ダウンロードという形式に限定されず、移動体通信端末が、applicationソフトウェアを受信することができればどのような形態でもよい。
【0056】
なお、移動体通信端末が受信する情報やデータは、applicationソフトウェアに限定されず、静止画像(例えば、jpeg、gif等の静止画像)、動画像(MPEG4により圧縮された動画像)等のデータでもよい。特に、本願発明の移動体通信端末は、バイナリコードで記述されたソフトウェアを受信する場合に、有効である。
【0057】
さて、現在のソフトウェアを受信する環境は、定められたダウンロードサイトのみからユーザが望むソフトウェアを受信したり、定められたサイトとの間でのみデータ通信を行う環境である。ここで、定められたサイトとは、移動体通信事業を運営する移動体通信キャリア会社等が提供するサイト(以下、公式サイト)であり、ソフトウェアの受信と、ソフトウェアの実行とを行う上で、個人情報漏洩等が起きないように安全が確保されているサイトである。また、このような公式サイトを利用する場合、受信するソフトウェアは、Java(登録商標)言語で記述されている。そのため、個人情報漏洩が発生する可能性、すなわちソフトウェアの危険性は、Java(登録商標) VM等を利用する限りは、低い。
【0058】
しかしながら、より多様なソフトウェアを望むユーザは、バイナリコードで記述されたソフトウェアもダウンロードできる環境も望んでいる。また、受信したソフトウェアによっては、他のサイトとデータ通信を行う機能があるソフトウェアもありえる。例えば、受信したソフトウェアが対戦ゲームである場合、データ通信を介して他のユーザとデータのやり取りを行うことが考え得る。しかしながら、このような移動体通信キャリア会社等が提供する公式サイトから取得したソフトウェアであれば、個人情報漏洩等の問題は、データ通信を介したデータのやり取りの際にも発生しないと考えられる。
【0059】
しかし、バイナリコードで記述されたソフトウェアを受信、実行する環境下においては、このような移動体通信キャリア会社から提供されるソフトウェアのように、その安全性は保証されていない。そのため、受信したソフトウェアが他のサイト等にアクセスできる機能を有しており、さらに、そのアクセス先が悪意のあるサイトである場合には、ユーザの個人情報の漏洩等の問題は、生じる可能性がある。そこで、本願発明は、バイナリコードで記述されたソフトウェアを受信、実行する環境下においては、特に有用である。
【0060】
また、ネイティブソフトとJava(登録商標)ソフトとが混在した環境も想定される。そこで、本実施の形態の変形例として、ダウンロードしたソフトウェアがどんな種類のソフトウェアか判定する判定部を有する移動体通信端末について以下で詳しく記載する。
【0061】
図5は、本実施の形態の変形例における移動体通信端末を示す図であり、図6は、図5に示す移動体通信端末のダウンロード処理を示す図である。
【0062】
図1の移動体通信端末1との相違点は、受信部で受信したソフトウェアのデータが、データ判定部59を介して、分離部53に入力される点である。
【0063】
データ判定部59は、受信部52が受信したソフトウェアのデータをネイティブソフトであるか否かを判定する。ネイティブソフトの具体的な判定は、ネイティブソフトのプロファイル情報に含まれるIDによりおこなわれる。
【0064】
具体的なダウンロード処理について図6を用いて以下説明する。ダウンロード処理以外については、図1に示す移動体通信端末1の動作と同じであり、重複する説明は省略する。
【0065】
ステップ60では、データ判定部59は、受信部52が受信したソフトウェアのデータを、ネイティブソフトであるか否か判定する。
【0066】
ステップ61では、ソフトウェアのデータがネイティブソフトである場合(ステップ60でYES)、分離部53は、ダウンロードしたソフトウェアのプロファイルを示すプロファイル情報を、ダウンロードしたソフトウェアから抽出する。
【0067】
受信部52で受信したソフトウェアのデータがネイティブソフトで無い場合には(ステップ60でNO)、そのまま終了する。これは、例えばダウンロードしたソフトウェアが、Java(登録商標)ソフトであれば、Java(登録商標) VM等のセキュリティシステムがあるのでセキュリティをチェックする必要性がないためである。
【0068】
ステップ62では、データ識別判定部54は、上記ステップ61において分離部53が抽出したプロファイル情報の中の管理サイト情報を、信頼がおけるサイトであるか否かを判定する。管理サイト情報の一例は、図20に示されている通りである。
【0069】
ステップ63では、上記データ識別判定部4の判定により、ソフトウェアダウンロード先が信頼おけるサイトであると判定された場合(ステップ62でYES)、設定部67は、危険度を0に設定する。ここで示される危険度の値は例示である。例えば、完全に安全が保障されている場合は、危険度をマイナスに設定しても良いし、明らかに危険である場合のみ、危険度を設定するようにしてもよい。
【0070】
ステップ64では、上記データ識別判定部54の判定により、ソフトウェアダウンロード先が信頼おけるサイトでないと判定された場合(ステップ62でNO)であり、機能識別判定部55は、プロファイル情報中のユーザデータアクセス機能とネットワーク機能とが有効か否かを判定する。具体的には、機能識別判定部55は、図20で示されるプロファイル情報中のユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとがONかOFFかを判定する。本実施の形態では、機能識別判定部55は、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグについて判定を行っているが、ダウンロードされたソフトウェアが、このソフトウェアの外部データを参照する機能を有するかどうかを判定できればよい。
【0071】
また、本実施の形態では、機能識別判定部55が、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとがONであるか否かの判定を行っているが、設定部67は、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとのONかOFFかの判定により危険度を可変してもよい。例えば、設定部67は、上記機能が両方ともOFFの場合には危険度を1に、どちらか一方のみONの場合には危険度を1.5に設定する。
【0072】
ステップ65では、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとの両方がONである場合(ステップ64でYES)、設定部67は、危険度を2に設定する。
【0073】
ステップ66では、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとの少なくとも一方がOFFである場合(ステップ64でNO)、設定部67は、危険度を1に設定する。その後、ダウンロード処理は終了する。
【0074】
これにより、ネイティブソフトと、例えばJava(登録商標)ソフトのような高級言語によりコーディングされたソフトとが、混在する環境においても、ネイティブソフトを識別することで、さらに余計なセキュリティチェックに要する演算を減らすことができるとともに、より効率の良いセキュリティシステムを備えることができる。
【0075】
なお、本実施の形態では移動体通信端末について例示的に説明したが、この移動体通信端末の各構成の動作を実行させるように制御するLSI(Large Scale Integration)等の集積回路であっても構わない。この場合、図25に示すように、集積回路261は、少なくともデータ識別判定部254と機能識別判定部255と設定部259とを制御する。また、図25に示す他の構成要素は、例えば制御部(図示なし)や、他の集積回路が制御を行う。これにより、この集積回路261を有する移動体通信端末251は、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0076】
また、プログラムについても上記集積回路261の場合と同様であり、少なくともデータ識別判定部254と機能識別判定部255と設定部259とを制御する様に記述される。このプログラムを有する移動体通信端末251は、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0077】
なお、本実施の形態では、移動体通信端末について記載したが、この移動体通信端末の構成要素が行う動作による移動体通信方法であっても良い。この場合、少なくともデータ識別判定部254と機能識別判定部255と設定部256との動作による移動体通信方法であれば良い。これにより、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0078】
(実施の形態2)
図7から図9までを用いて説明する本実施の形態2は、ダウンロードしたソフトウェアを起動する際に、他のデータを参照する機能が動作するか否かの結果に基づき、ダウンロードしたソフトウェアの危険度を決定する移動体通信端末に関するものである。
【0079】
図7は、本実施の形態に係る移動体通信端末71の構成図である。移動体通信端末71としては、車載用通信装置、PDA、携帯電話等があり、ソフトウェアのデータを受信することができる機能を有した電子機器が該当する。
【0080】
以下、図7の本実施の形態における移動体通信端末71について説明する。
【0081】
図7の基本構成は、図1の移動体通信端末1と同様であるため、重複した説明は省略し、相違する構成について、以下詳述する。図7の移動体通信端末71の構成と図1の移動体通信端末1の構成とで相違する構成は、機能動作判定部79である。
【0082】
すでに、機能識別判定部75は、これらユーザデータアクセス機能とネットワーク機能とが機能しないと判定しているが、これに対して機能動作判定部79は、ユーザデータアクセス機能とネットワーク機能とが実際に起動しないか否かを判定する。具体的には、ユーザデータアクセス機能やネットワーク機能は、動作をする際には、特定のI/F(インターフェイス)を使用している。そして、これらのI/Fは、特定のライブラリにより提供されており、単一的に決定される。したがって、機能動作判定部79は、特定のライブラリが、実際に使用されているか、いないか検知することで、ユーザデータアクセス機能とネットワーク機能とが実際に起動しているか否かを判定する。また、これ以外の方法により、検知しても構わない。ここで、上記I/F(インターフェイス)は、プログラム間でデータをやり取りする手順や形式を定めたものである。特に、OS(Operating System:オペレーティング・システム)やコンポーネント(部品化されたソフトウェア)の機能を外部から呼び出して利用するための規約をAPI(Application Program Interface:アプリケーション・プログラム・インターフェース)という。
【0083】
危険度は、機能動作判定部79の判定結果を基に算出され、危険度管理部76は、ソフトウェアとそのソフトウェアの危険度との対応を記憶する。実行部78は、ソフトフェア実行時に、危険度管理部76から、実行されるソフトウェアに対応する危険度を参照し、実行されるソフトウェアの危険度を表示部(図示なし)に提示する。また、上記移動体通信端末71が有する各構成部は、制御部(図示なし)により最適に制御されている。
【0084】
次に、図8と図9とは、本実施の形態に記載の移動体通信端末の危険度を設定する動作のフロー図である。ソフトウェアを実行する処理は、図3と同じであるため、重複した説明は省略し、ここでは、本実施の形態の特徴であるダウンロード処理を説明する。なお、ここで記載するダウンロード処理は、あくまでも一例示に過ぎず、実施の形態1のダウンロード処理の中で記載のような代替方法等が用いられても良い。
【0085】
移動体通信端末のユーザは、図20に示す管理サイトの値がOであるダウンロードサイトからapplicationソフトウェアのダウンロードをしている。
【0086】
ステップ80では、分離部73は、ダウンロードしたソフトウェアのプロファイルを示すプロファイル情報を、ダウンロードしたソフトウェアから抽出する。
【0087】
ステップ81では、データ識別判定部74は、上記ステップ80において分離部73が抽出したプロファイル情報の中の管理サイトの値のOを、信頼がおけるサイトであるか否かを判定する。
【0088】
ステップ82では、上記データ識別判定部74が、管理サイトの値のOが信頼おけるサイトであると判定した場合(ステップ81でYES)であり、設定部86は、危険度を0に設定する。
【0089】
ステップ83では、上記データ識別判定部74が、サイトOを信頼おけるサイトでないと判定した(ステップ81でNO)場合であり、機能識別判定部75は、プロファイル情報中のユーザデータアクセス機能とネットワーク機能とが、有効か否かを判定する。具体的には、機能識別判定部75は、図20で示されるプロファイル情報中のユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとがONかOFFかを判定する。
【0090】
ステップ84では、設定部86は、上記ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとがONであるとき(ステップ83でYESの場合)、危険度を2に設定する。
【0091】
ステップ85では、機能動作判定部79は、上記ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとの少なくとも一方がOFFである場合(ステップ83でNO)、上記ユーザデータアクセス機能とネットワーク機能が、実際に動作しているか否かを判定する。
【0092】
この機能チェックについては、図9を用いて説明する。
【0093】
ステップ90では、機能動作判定部79は、ユーザデータアクセス機能とネットワーク機能が動作するか否かを判定する。
【0094】
ステップ91では、ユーザデータアクセス機能とネットワーク機能とが動作しないと判定された場合(ステップ90でNO)であり、設定部86は、危険度を1に設定する。
【0095】
ステップ92では、上記ユーザデータアクセス機能とネットワーク機能とが動作すると判定された場合(ステップ90でYES)であり、設定部86は、危険度を3に設定する。
【0096】
図20に示すように、設定部86は、サイトOのapplicationソフトウェアを、ネットワーク機能とユーザデータアクセス機能とがOFFであるため、ステップ85で機能チェックがなされ、さらに、ユーザデータアクセス機能とネットワーク機能とが動作しないと判定された場合、危険度を1に設定する。また、設定部86は、ユーザデータアクセス機能とネットワーク機能が動作すると判定された場合、危険度を3に設定する。
【0097】
なお、本実施の形態で用いている危険度は、あくまで例示であり、この危険度の値に制限されることはない。例えば、プロファイル情報では、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとの両方がOFFであるのに関わらず、これらの機能が、実際は動作するような場合もある。このように、プロファイル情報と、ソフトウェアの実際の動作とが異なっている場合は、ソフトウェア提供者に相当の悪意があるとみなすことができる。そのため、このような場合は危険度を100に設定するというようにしても良い。
【0098】
以上のように、実施の形態2に記載する移動体通信端末では、ダウンロードしたソフトウェアの危険度は、ダウンロードしたソフトウェアの起動時に他のデータを参照する機能が動作するか否かの結果に基づいて決定される。これにより、セキュリティチェックの演算量を減少させることに加え、よりダウンロードしたソフトウェアの危険度に対する信頼性を高めることができる。
【0099】
なお、本実施の形態では移動体通信端末について説明したが、この移動体通信端末の各構成の動作を実行させるように制御するLSI(Large Scale Integration:集積回路)等の集積回路であっても良い。この場合、集積回路は、少なくとも図25に示す、データ識別判定部254と機能識別判定部255と設定部259とに加え、図7に記載の機能動作判定部79を制御する。図25に示す他の構成要素に関しては、例えば制御部(図示なし)や、他の集積回路が制御を行う。これにより、移動体通信端末は、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0100】
また、プログラムについても上記集積回路の場合と同様であり、少なくともデータ識別判定部254と機能識別判定部255と設定部259とに加え、図7に記載の機能動作判定部79を制御する様に記述される。このプログラムを有する移動体通信端末251は、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0101】
なお、本実施の形態では、移動体通信端末について記載したが、この移動体通信端末の構成要素が行う動作による移動体通信方法であっても良い。この場合、少なくともデータ識別判定部254と機能識別判定部255と設定部259とに加え、図7に記載の機能動作判定部79との動作による移動体通信方法であれば良い。これにより、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0102】
(実施の形態3)
図10から図12までを用いて説明する本実施の形態3は、ダウンロードしたソフトウェアを起動する際に、このソフトウェアの起動をするか否かを、決定部が、所定の条件に基づいて決定する移動体通信端末に関するものである。
【0103】
図10は、本実施の形態に係る移動体通信端末101の構成図である。移動体通信端末101としては、車載用通信装置、PDA、携帯電話等があり、ソフトウェアのデータをサーバから受信することができる機能を有した電子機器が該当する。以下、図10にかかる移動体通信端末101について説明する。基本的な構成は、図1の移動体通信端末1と同様であるため、重複した説明は省略し、相違する構成のみについて、以下詳述する。
【0104】
移動体通信端末101は、ソフトウェアを実行するか否かを決定する決定部110を有する。決定部110は、危険度管理部106に記憶されている危険度に基づいてソフトウェアを実行するか否かを決定する。これにより、決定部110は、ユーザがある一定の危険度を有するソフトウェアを実行するのを禁止する。
【0105】
次に、本実施の形態に記載の移動体通信端末のソフトウェア作動処理について図12を用いて説明する。ダウンロード等の処理は、上記実施の形態1または実施の形態2における処理と同じであるため重複した説明は省略し、ここでは、ソフトウェア作動処理のみについて説明する。
【0106】
以下、図12を用いてソフトウェア作動処理を説明する。図12は、ダウンロード処理終了後、ユーザがソフトウェアを作動させる場合のソフトウェア作動処理のフローである。ユーザがデータ記憶部107に記憶している管理サイトの値がAであるダウンロードサイトのapplicationソフトウェアを実行しようとするとき、実行部108は、管理サイトの値がAのapplicationソフトウェアのIDである0000bを参照する。
【0107】
ステップ120では、実行部108は、図21に示すように危険度管理部106からapplicationソフトウェアのIDである0000bに対応する危険度を参照する。
【0108】
ステップ121では、実行部108は、ステップ120で参照した管理サイトの値がAであるダウンロードサイトからのapplicationソフトウェアの危険度の値(この場合、危険度1)を表示部(図示せず)に提示し、表示部は、ユーザに危険度1を提示する。
【0109】
ステップ122では、決定部110は、表示部により提示された危険度の値(この場合危険度1)に基づき、管理サイトの値がAであるダウンロードサイトからのapplicationソフトウェアを実行するか否かを決定する。決定方法については、危険度が3であれば、そのソフトウェアを実行しないという風にしても良いし、危険度が少しでもあるものは、実行しないという風にしても良い。
【0110】
ステップ123では、ユーザが、危険度が提示された管理サイトの値がAであるダウンロードサイトからのapplicationソフトウェアを実行するように決定部110により決定された場合(ステップ122でYES)であり、実行部108は、このapplicationソフトウェアを実行する。その後、ソフトウェア実行を終了するとき、又は、ユーザがソフトウェア実行を行わないと決定部110により決定された場合(ステップ122でNO)、ソフトウェアの作動処理を終了する。
【0111】
以上のように、実施の形態3に記載する移動体通信端末では、決定部が、ダウンロードしたソフトウェアの起動を行うか否かを、危険度に基づいて決定する。これにより、確実に、危険なソフトウェアをユーザに実行させることを禁止できる。
【0112】
また、図11に示す移動体通信端末111では、作動部(図示なし)にソフトウェアを実行させる危険度の閾値をユーザが決定できる。以下、図11を用いながら説明する。ここで、上記実施の形態1から実施の形態3までに示す構成及び動作処理等で共通する部分の説明は重複するために省略し、差異部分についてのみ説明する。
【0113】
ユーザにより予め入力された危険度の閾値は、記憶部120に記憶される。ユーザは、危険度の閾値として、1を入力する。その後、ソフトウェアを作動させるときになって決定部121は、記憶部120の情報に基づいて実行部118がソフトウェアを実行するか否かを決定する。ユーザにより危険度の閾値は、1に設定されているため、実行しようとするソフトウェアの危険度が1以上であれば、そのソフトウェアの実行を行わない。このときのソフトウェア作動処理は、図12のフローと同様であるため省略する。
【0114】
以上の構成により、ある程度の安全性とある程度のソフトウェア実行性とをユーザが決定することができる柔軟なソフトウェア実行処理を行うことができる。
【0115】
なお、本実施の形態では移動体通信端末について説明したが、この移動体通信端末の各構成の動作を実行させるように制御するLSI(Large Scale Integration:集積回路)等の集積回路であっても良い。この場合、集積回路は、少なくとも図25に示す、データ識別判定部254と機能識別判定部255と設定部259とに加え、図7に記載の機能動作判定部79を制御する。図25に示す他の構成要素に関しては、例えば制御部(図示なし)や、他の集積回路が制御を行う。これにより、移動体通信端末は、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0116】
また、プログラムについても上記集積回路の場合と同様であり、少なくともデータ識別判定部254と機能識別判定部255と設定部259とに加え、図7に記載の機能動作判定部79を制御する様に記述される。このプログラムを有する移動体通信端末251は、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0117】
なお、本実施の形態では、移動体通信端末について記載したが、この移動体通信端末の構成要素が行う動作による移動体通信方法であっても良い。この場合、少なくともデータ識別判定部254と機能識別判定部255と設定部259とに加え、図7に記載の機能動作判定部79との動作による移動体通信方法であれば良い。これにより、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0118】
(実施の形態4)
図13から図19を用いて説明する本実施の形態4は、危険度管理サーバがダウンロードしたソフトウェアの危険度を管理し、移動体通信端末からの要求により移動体通信端末に対して危険度を通知する移動体通信システムに関するものである。本実施の形態の移動体通信システムについて、図13を用いて説明する。本実施の形態に示す移動体通信システムは、図13に示すように、移動体通信端末131と、危険度管理サーバ130とからなる。
【0119】
移動体通信端末131は、ダウンロードサーバ132からソフトウェアをダウンロードする際、危険度管理サーバ130と情報の授受をすることでダウンロードするソフトウェアのセキュリティチェックを行うことができる。
【0120】
以下、それぞれの構成要素に関して、具体的に説明する。まず、危険度管理サーバ130について、図14を用いながら説明する。
【0121】
危険度管理サーバ130は、移動体通信端末131からのソフトウェア使用情報を受信する受信部141と、そのソフトウェア使用情報が不具合情報を含んでいるかを判定する判定部142と、判定部142の判定結果により危険度を更新する危険度更新部143と、危険度を設定する設定部147と、危険度を管理する危険度管理部144と、危険度に基づく情報を生成する情報生成部145と、情報生成部145により生成された情報を移動体通信端末131へ送信する送信部146とを有する。
【0122】
次に、移動体通信端末131について、図15を用いながら説明する。移動体通信端末131は、ダウンロードサーバ132からダウンロードするソフトウェアを受信する受信部151と、受信したソフトウェアを保存するデータ記憶部155と、ソフトウェアのデータと、データに付随するプロファイル情報とを分離する分離部152と、ソフトウェア使用情報を送信、又は、危険度情報を危険度管理サーバから受信する危険度情報送受信部153と、危険度情報送受信部153で受信した危険度を管理する危険度管理部154と、実行しようとするソフトの危険度を表示部(図示なし)に表示しようとする実行部156とを有する。
【0123】
以上の構成を有する移動体通信端末の動作について、図16から図19を用いて説明する。図16は、ユーザaがダウンロードしたソフトウェアを作動する際のフローである。
【0124】
まず、ステップ160では、ユーザaは、ダウンロードサーバ132から図20に示すID0000xのMiddlewareをダウンロードする。
【0125】
その後、ステップ161では、ダウンロードしたMiddlewareを実行する。
【0126】
ステップ162では、ユーザaが実行しているMiddlewareに不具合があるか否かをチェックする。ここで、不具合とは、ソフトウェアを実行したときに、移動体通信端末のデータが壊れること、個人情報を他のサイトへ送信すること、移動体通信端末が操作を受け付けなくなるようなフリーズ状態になること等の、ユーザにとって不利益となるような事である。また、ソフトウェアが不具合を起こしたというソフトの不具合情報は、データ記憶部155にソフトウェアのデータと共に記憶しておく。しかしながら、これに限られることなく他に記憶部を設けて、そこに記憶しておいても良い。
【0127】
ステップ163では、実行ソフトウェアに不具合が起きた場合、危険度管理サーバ130へソフトウェアの不具合情報を送信する(ステップ162でYESの場合)。その後、ソフトウェア作動処理を終了する。さらに、図16のステップ163において、危険度管理サーバ130は、移動体通信端末131から送出されたソフトの不具合情報を受信した場合、移動体通信端末131から送出された不具合情報を有するソフトウェアの危険度を更新する。
【0128】
この危険度管理サーバ130によるソフトウェアの危険度の更新処理について図17を用いて説明する。図17は、危険度管理サーバ130による危険度の更新処理のフローである。
【0129】
ステップ170では、受信部141は、移動体通信端末131からソフトウェア使用情報を受信する。ここで、ソフトウェア使用情報とは、例えば、ソフトウェアに不具合がある場合は、「―1」、ソフトウェアに不具合が無い場合は、「1」とする情報が設定される。また、上記形式に限らず、テキスト形式で移動体通信端末131から送出さられた不具合の情報を、危険度管理サーバが保存に適した形式に加工してもよい。また、ソフトウェア使用情報は、ユーザaがそのソフトウェアを一回実行したあと送信してもよい。また、危険度の判定精度をさらに高めるため、所定の期間実行した後、ソフトウェア使用情報を送信するようにしてもよい。
【0130】
ステップ171では、ソフトウェア使用情報がある場合(ステップ170でYES)には、判定部142は、このソフトウェア使用情報に不具合情報が含まれているか否かを判定する。
【0131】
ステップ172では、設定部147は、ソフトウェア使用情報に不具合情報が無い場合(ステップ171でNO)には、危険度に加算する値を―1に設定する。たとえば、管理サイトの値がCであるサイトからダウンロードしたMiddlewareのソフトウェア使用情報に不具合情報がふくまれていなければ、危険度に加算する値をー1に設定する。
【0132】
ステップ173では、設定部147は、ソフトウェア使用情報に不具合情報が含まれている場合(ステップ171でYES)には、危険度に加算する値を1に設定する。たとえば、管理サイトの値がCであるサイトからダウンロードしたMiddlewareのソフトウェア使用情報に不具合情報がふくまれていれば、設定部147は、危険度に加算する値を1に設定する。
【0133】
ステップ174では、上記加算する危険度を加算値分だけインクリメントする。たとえば、管理サイトの値がCであるサイトからダウンロードしたMiddlewareの危険度が5である場合、ソフトウェア使用情報に不具合情報がふくまれていなければ、設定部147は、危険度に加算する値をー1に設定して、危険度を4とする。この後、他のユーザbが、サイトCからMiddlewareをダウンロードする場合、ユーザbは、ダウンロードしたソフトウェアの危険度について、危険度管理サーバ130に問い合わせることができる。これにより、ユーザbは、管理サイトの値がCであるサイトからダウンロードしたMiddlewareの危険度を知ることができる。
【0134】
以下、ユーザbが危険度管理サーバ130に危険度を問い合わせるフローについて、図18を用いて説明する。図18は、危険度管理サーバ130による危険度の提示処理のフローである。
【0135】
ステップ180では、受信部141は、ユーザbの移動体通信端末から危険度情報の問い合わせを受信する。
【0136】
ステップ181では、受信部141は、移動体通信端末からの危険度情報の問い合わせを受信している場合(ステップ180でYES)には、ユーザbから問い合わせられたソフトウェアの危険度が、危険度管理部144に記憶されているかがチェックされる。
【0137】
ステップ182では、問い合わせられたソフトウェアの危険度が危険度管理部144に無い場合(ステップ181でNO)には、その旨をユーザbに送信する。
【0138】
ステップ183では、問い合わせられたソフトウェアの危険度が危険度管理部144にある場合(ステップ181でYES)には、危険度管理部144に記憶されている危険度テーブルを参照する。危険度テーブルに関する例は、図21に示すようになっている。
【0139】
ステップ184では、ステップ183で参照した管理サイトの値がCであるサイトからダウンロードするMiddlewareの危険度の値(この場合、危険度1)をユーザbに対して送信部146から送信する。これにより、ユーザbは、管理サイトの値がCであるサイトからダウンロードするMiddlewareの危険度を知ることができる。
【0140】
以上のように、移動体通信端末131と危険度管理サーバ130とのデータのやり取りにより、ダウンロードするソフトウェアの危険度を管理することができる。
【0141】
上記移動体通信システムにより管理されている危険度を基にユーザbが管理サイトの値がCであるサイトからMiddlewareをダウンロードし、実行するまでの一連の動作について、図19を用いて説明する。
【0142】
ステップ190では、ユーザbは、管理サイトの値がCであるサイトからMiddlewareをダウンロードする。
【0143】
ステップ191では、ユーザbは、管理サイトの値がCであるサイトのMiddlewareに関する危険度情報があるか否かを危険度管理サーバ130に問い合わせる。
【0144】
ステップ192では、危険度情報送受信部153は、問い合わせ結果を受信する。
【0145】
ステップ193では、問い合わせの結果、危険度情報がある場合、その危険度を表示部(図示なし)に表示する。問い合わせの結果、危険度情報が無い場合、その旨を表示部に表示する。
【0146】
ステップ194では、危険度の表示結果、ユーザbは、ソフトウェアを実行するか否かを判断する。
【0147】
ステップ195では、ユーザbがソフトウェアを実行する場合(ステップ194でYES)には、制御部(図示なし)は、ソフトウェアの実行を行う。
【0148】
以上の構成により、外部データベースによりダウンロードするソフトウェアの危険度を管理し、移動体通信端末の要求により危険度を移動体通信端末に通知する。
【0149】
これにより、処理能力が低く、電源容量に制限がある等の資源に制限のある移動体通信端末においてもセキュリティチェックの演算量を減らすことができる。
【0150】
なお、本実施の形態1から実施の形態4までに記載の発明においては、図22に示すように、危険度をユーザに対して光で知らせることも可能である。例えば、現在実行しているソフトウェアの危険度が高い場合には、赤いLEDを点灯させ、危険度が低い場合には、青い光のLEDを点灯させることもできる。危険度が高いほど、赤みの強い色を点灯させ、危険度が低いほど、青みの強い色を点灯させることができる。
【0151】
また、図23に示すように、危険度メータを設け、現在実行しているソフトウェアの危険度を視覚で認知できるように表示することもできる。これにより、危険度が高いにもかかわらず、間違ってユーザが実行した場合でも、ユーザは、現在実行しているソフトウェアの危険度を知ることができ、ソフトウェアの実行可否について再判断を行うこともできる。
【0152】
また、図24に示すように、危険度管理部246に記憶する危険度テーブルを、着脱可能な外部メモリカード等の外部記憶手段に記憶させることもできる。
【0153】
これにより、危険度の更新が簡便になり、処理能力が低く、電源容量に制限がある等の資源の限られた移動体通信端末においてもセキュリティチェックの演算による負荷を軽減することができる。
【0154】
なお、上記実施の形態1から実施の形態4までに示す本願発明の移動体通信端末の構成は、一例であり、本発明はかかる上記実施の形態に限定されるものではなく、本発明の範囲を逸脱することなく種々の変形が可能である。
【産業上の利用可能性】
【0155】
本発明によって、セキュリティチェックの演算量を減らすことができる通信端末を提供できる。
【図面の簡単な説明】
【0156】
【図1】本発明の実施の形態1における移動体通信端末の構成図
【図2】本発明の実施の形態1における移動体通信端末のダウンロード処理のフローの図
【図3】本発明の実施の形態1における移動体通信端末のソフトウェア作動処理のフローの図(1)
【図4】本発明の実施の形態1における移動体通信端末のソフトウェア作動処理のフローの図(2)
【図5】本発明の実施の形態2における移動体通信端末の構成図
【図6】本発明の実施の形態2における移動体通信端末のダウンロード処理のフローの図
【図7】本発明の実施の形態3における移動体通信端末の構成図
【図8】本発明の実施の形態3における移動体通信端末のダウンロード処理のフローの図
【図9】本発明の実施の形態3における移動体通信端末の機能チェック処理のフローの図
【図10】本発明の実施の形態3の変形例における移動体通信端末の構成図(1)
【図11】本発明の実施の形態3の変形例における移動体通信端末の構成図(2)
【図12】本発明の実施の形態3の変形例における移動体通信端末のソフトウェア作動処理のフローの図
【図13】本発明の実施の形態4における移動体通信システムの構成図
【図14】本発明の実施の形態4における危険度管理サーバの構成図
【図15】本発明の実施の形態4における移動体通信端末の構成図
【図16】本発明の実施の形態4における移動体通信端末のソフトウェア作動処理のフローの図(1)
【図17】本発明の実施の形態4における危険度管理サーバの危険度更新のフローの図
【図18】本発明の実施の形態4における危険度管理サーバの危険情報提示処理のフローの図
【図19】本発明の実施の形態4における移動体通信端末のソフトウェア作動処理のフローの図(2)
【図20】本発明のプロファイル情報の図
【図21】本発明の危険度管理テーブルの図
【図22】本発明の移動体通信端末における危険度の提示図(1)
【図23】本発明の移動体通信端末における危険度の提示図(2)
【図24】記録媒体により危険度を更新する移動体通信端末の構成図
【図25】移動体通信端末の構成図
【符号の説明】
【0157】
1、51、71 移動体通信端末
2、52、72 受信部
3、53、73 分離部
4、54、74 データ識別判定部
5、55、75 機能識別判定部
6、56、76 危険度管理部
7、57、77 データ記憶部
8、58、78 実行部
10、68、87 内部データ記憶部
【技術分野】
【0001】
本発明は、ソフトウェアデータを受信する移動体通信端末に関するものである。
【背景技術】
【0002】
現在、移動体通信端末のサービスにおいて、移動体通信端末は、Java(登録商標)言語により記述されたアプリケーションソフトをサーバからダウンロードすることが出来る。これに対して、ミドルウェア等のJava(登録商標)言語以外の多様なソフトウェアは、ダウンロード用に用意されていない。しかしながら、移動体通信端末のユーザは、ネイティブコードで記述されたネイティブソフトを多種のダウンロードサイトからダウンロードすることで、多様なソフトウェアを移動体通信端末上で実行する仕組みが考えられる。
【0003】
ダウンローしたネイティブソフトを実行する仕組みは、特定のCDMA(Code Division Multiple Access)方式携帯電話向けワイヤレス・アプリケーション・プラットフォームに対応した携帯電話では、実現出来ているものの、このプラットフォーム上で実行しなければならない制限がある。更には多様なネイティブソフトに対応していないのが現状である。
【0004】
このため、制限がない多様なネイティブソフトを実行できる仕組みが、望まれている。しかし、この場合、移動体通信端末は、Java(登録商標)におけるセキュリティ等のチェック機能を有するJava(登録商標) VM(Virtual Machine:仮想マシン)に相当する実行環境を有しておらず、多種のサイトからダウンロードしたネイティブソフトのセキュリティチェックが行われない。このため、ダウンロードしたネイティブソフトの実行時に個人情報漏洩する等の危険性が伴う。
【0005】
そこで、ネイティブソフトのセキュリティシステムとして、セキュリティ認識情報データベースを設けたセキュリティチェックシステムを用いることが開示されている(特許文献1)。
【特許文献1】特開2004−139372号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
ダウンロードしたソフトウェアのセキュリティチェックをするための解析は、Java(登録商標)言語で記述されたソースコードの場合は、比較的容易である一方、バイナリコードで記述されたネイティブコードの場合は、このバイナリコード中から危険なコードを検出することは、困難である。この場合、コード解析に要する演算量は、バイナリコードの場合はJava(登録商標)言語の場合と比較して、著しく多くなる。さらに、移動体通信端末は、演算能力が低いこと、電池駆動のために消費電力に制限があること等の理由により、多量の演算を必要とするセキュリティシステムを備えることは実用的ではない。
【0007】
そこで、本発明は、上記課題を解決したものであり、ネイティブソフトウェアの危険性を簡便な方法によって検出し、管理することで、セキュリティチェックに要する演算量を低減することができる。
【課題を解決するための手段】
【0008】
本発明は上記課題を解決するものであって、所定データが有する機能である他のデータを参照する参照機能が有効であるときに前記他のデータを参照することができる移動体通信端末において、前記所定データと、前記所定データが有効なデータか否かを識別するデータ識別子と、前記参照機能が有効か否かを示す機能識別子と、を受信する受信部と、前記所定データが有効なデータであるか否かを前記データ識別子により判定するデータ識別判定部と、前記所定データが有効なデータでないと前記データ識別判定部により判定されるとき、前記参照機能が有効であるか否かを前記機能識別子により判定する機能識別判定部と、内部データが記憶される内部データ記憶部と、前記機能識別判定部の判定結果に基づき、前記移動体通信端末の外部から前記内部データが参照される可能性をデータ情報として設定する設定部と、を備えることを特徴とする移動体通信端末である。
【0009】
これにより、前記移動体通信端末の外部から前記内部データが参照される可能性をデータ情報として設定することができる。
【発明の効果】
【0010】
本発明の移動体通信端末は、セキュリティチェックに要する演算量を低減することができる。
【発明を実施するための最良の形態】
【0011】
実施の形態1から実施の形態4までに、本発明の移動体通信端末、及び本発明の移動体通信システムについて記載する。
【0012】
本発明は、ネイティブソフトのダウンロード時に、その危険性を簡便な方法によって判別することで、ダウンロード時およびネイティブソフト起動時に要するセキュリティチェックの演算量を減らすことができる移動体通信端末、及び、移動体通信端末システムである。
【0013】
実施の形態1に記載する移動体通信端末では、ダウンロードしたソフトウェアの起動時に、他のデータを参照する機能が有効であるか否かを示すフラグに基づいて、ダウンロードしたソフトウェアの危険度を決定する。これにより、処理能力が低く、電源容量に制限がある等の資源に制限のある移動体通信端末においてもセキュリティチェックの演算量を減らすことができる。
【0014】
実施の形態2に記載する移動体通信端末では、さらに、ダウンロードしたソフトウェアの起動時に他のデータを参照する機能が動作するか否かの結果に基づいて、ダウンロードしたソフトウェアの危険度を決定する。これにより、ダウンロードしたソフトウェアの危険度に対する信頼性をより高めることができる。
【0015】
実施の形態3に記載する移動体通信端末では、ダウンロードしたソフトウェアの起動を行うか否かをあらかじめシステムに設定した条件、あるいはユーザが設定した条件に基づいて決定する。これにより、確実に、危険なソフトウェアの実行を禁止することができる。
【0016】
実施の形態4に記載する移動体通信端末システムでは、外部データベースによりダウンロードしたソフトウェアの危険度を管理し、移動体通信端末の要求によりこの外部データベースに記憶されている危険度を移動体通信端末に通知する。これにより、処理能力が低く、電源容量に制限がある等の資源に制限のある移動体通信端末においてもセキュリティチェックの演算量を減らすことができる。
【0017】
以上の実施の形態1から実施の形態4について、以下の各実施の形態の中で詳述する。
【0018】
(実施の形態1)
実施の形態1について以下詳述する。図1から図4までを用いて説明する本実施の形態1は、ダウンロードしたソフトウェアを起動する際に、他のデータを参照する機能が有効であるか否かを示すフラグに基づき、ダウンロードしたソフトウェアの危険度を決定する移動体通信端末に関するものである。
【0019】
ここで、本願における各実施の形態に記載されているネイティブソフトとは、ハードウェア(CPU(Central Processing Unit:中央処理装置)等)が直接実行できるプログラム(ネイティブコード)のことである。このネイティブソフトの特徴は、Java(登録商標)言語等の非ネイティブソフトと比較した場合、処理速度が速いことである。
【0020】
図1は、本実施の形態に係る移動体通信端末1の構成図である。移動体通信端末1としては、車載用通信装置、PDA、携帯電話等があり、ソフトウェアをサーバから受信することができる機能を有した電子機器が該当する。
【0021】
以下、図1にかかる移動体通信端末1について説明する。
【0022】
移動体通信端末1は、ソフトウェアのデータを受信(ダウンロード)する受信部2と、ダウンロードしたソフトウェアのデータに付随するプロファイル情報を分離する分離部3とを有する。分離部3は、アーカイバによってプロファイル情報とソフトウェア本体とを1つのファイルにまとめた形式でソフトウェアをダウンロードした場合、このアーカイバに対応する展開プログラムによって、プロファイル情報とソフトウェア本体とを分離することに相当する。しかしながら、このアーカイバ以外にも、ダウンロードしたソフトフェアからデータとプロファイル情報とを分離できればよい。
【0023】
図20は、このプロファイル情報の一例を示す図である。ここで、プロファイル情報は、ソフトウェアのデータに付随していなくても良い。具体的には、プロファイル情報のみをデータとして受信してもよい。この場合、分離部3は、受信部2で受信したプロファイル情報、あるいはソフトウェアを、データ識別判定部4、機能識別判定部5、データ記憶部7のいずれかに送る処理を行う。
【0024】
分離部3により分離した後、抽出されたソフトウェアは、そのソフトウェアのIDとともにデータ記憶部7に記憶される。ここでデータ記憶部7に記憶される情報は、ソフトウェアのIDに限定されるものではなく、各ソフトウェアを識別できる情報がデータに付加されて記憶されていればよい。
【0025】
また、移動体通信端末1は、分離部3によって抽出したプロファイル情報に基づき判定を行うデータ識別判定部4と機能識別判定部5、データ識別判定部4と機能識別判定部5との判定結果に基づきソフトウェアの危険度を決定し設定する設定部9と、この危険度を管理する危険度管理部6と、危険度管理部6に記憶された危険度を表示部(図示なし)に提示する実行部8とを有する。
【0026】
ここで、本実施の形態及び本願他の実施の形態に記載されている危険度は、実行するソフトウェアが他の外部データを参照する場合、この他の外部データを管理している機器(または接続先)又はそれ以外の機器(または接続先)が、ソフトウェアを実行している移動体通信端末の内部に記憶されている情報を、参照する可能性に相当し、データ情報として記憶されている。
【0027】
また、移動体通信端末の内部に記憶されている情報は、例えば、電話帳、スケジュール帳などのユーザの個人情報等である。これらの個人情報等のデータは、内部データとして、移動体通信端末1の内部データ記憶部10に記憶されている。
【0028】
データ識別判定部4は、受信したソフトウェアのデータが、信頼あるダウンロードサイトからダウンローされたデータであるか否か判定を行う。この判定は、データ識別判定部4が、分離部3で抽出したプロファイル情報のうち、図20のプロファイル情報の管理サイト情報に基づき行う。
【0029】
データ識別判定部4が受信したソフトウェアのデータを、信頼あるダウンロードサイトからダウンロードされたソフトウェアではないと判定した場合、機能識別判定部5は、このダウンロードしたソフトウェアが、このソフトウェア以外の他のデータを参照する機能を有するか否かを判定する。このとき、機能識別判定部5は、図20のプロファイル情報のユーザデータアクセス機能の値、ネットワーク機能の値がONか否かで判定をする。ここで、機能識別判定部5が判定する条件は、上記ユーザデータアクセス機能、ネットワーク機能の有無だけではなく、他の外部データを参照するような機能の有無でもよい。
【0030】
危険度管理部6は、ソフトウェアとそのソフトウェアの危険度とを対応付けて記憶する。実行部8は、ソフトフェアの実行時に、実行されるソフトウェアに対応した危険度を危険度管理部6から参照し、実行されるソフトウェアの危険度を表示部(図示なし)に提示する。さらに、ユーザがソフトウェアの実行を指示した場合は、このソフトウェアの実行を行う。また、上記移動体通信端末1が有する各構成部は、制御部(図示なし)により最適に制御されている。
【0031】
次に、図1の移動体通信端末1の動作について、図2と図3とを用いて説明する。
【0032】
図2と図3とは、ソフトウェアをダウンロードした後、ダウンロードしたソフトウェアを実行する処理のフロー図である。ソフトウェアをダウンロードする時の移動体通信端末1の動作について、以下説明する。
【0033】
移動体通信端末1のユーザは、図20に示す管理サイトの値がAなるダウンロードサイトから、applicationソフトウェアをダウンロードしている。
【0034】
ステップ20では、分離部3は、ダウンロードしたapplicationソフトウェアのプロファイルを示すプロファイル情報を、ダウンロードしたapplicationソフトウェアから抽出する。
【0035】
ステップ21では、データ識別判定部4は、ステップ20において分離部3が抽出したプロファイル情報の中の管理サイトの値Aが、信頼がおけるサイトの値であるか否かを判定する。
【0036】
ステップ22では、設定部9は、上記データ識別判定部4が管理サイトの値のAを信頼おけるサイトであると判定した(ステップ21でYESの場合)、危険度を0に設定する。ここで示される危険度の値は、例示であり、他にも、完全に安全が保障されている場合に、危険度をマイナスに設定しても良いし、明らかに危険である場合のみ、危険度を設定してもよい。
【0037】
信頼のおけるダウンロードサイトかどうかの判定は、予め記憶されているダウンロード公式サイトの管理サイトURLと一致するか否かにより行っても良いし、過去に利用したダウンロードサイトの中で信頼のおけるサイトのURLを記憶しておき、このURLと一致するか否かにより行っても良い。さらに、インターネット上で普及している認証方式、つまり、信頼できる認証局が発行した証明書を移動体通信端末が受信できた場合は、当該証明書を送信したサイトを信頼できるダウンロードサイトであると判定しても良い。
【0038】
ステップ23では、データ識別判定部4が、管理サイトの値のAを信頼おけるサイトでないと判定した(ステップ21でNO)場合、機能識別判定部5は、プロファイル情報中のユーザデータアクセス機能とネットワーク機能とが有効であるか否かを判定する。具体的には、機能識別判定部5は、図20で示されるプロファイル情報中のユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとがONかOFFかを、判定する。なお、本実施の形態では、機能識別判定部5は、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグに基づき判定をしているが、これ以外にも、ダウンロードしたソフトウェアが、このソフトウェア以外の外部データを参照する機能を有するか否かに基づき判定をしてもよい。
【0039】
また、本実施の形態では、設定部9は、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとがONであるか否かに基づき判定を行ったが、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとのONかOFFかの判定により危険度のレベルを変えてもよい。例えば、設定部9は、上記機能が両方ともOFFの場合、危険度を1に設定し、どちらか一方のみONの場合、危険度を1.5に設定してもよい。
【0040】
ステップ24では、設定部9は、上記ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとの両方がONである場合(ステップ23でYESの場合)、危険度を2に設定する。
【0041】
ステップ25では、設定部9は、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとのいずれか一方がOFFであるとき(ステップ23でNOの場合)、危険度を1に設定する。その後、ダウンロード処理は終了する。
【0042】
ここで、図20に示すように、設定部9は、管理サイト値がAのapplicationソフトウェアの危険度をステップ25に示すように、ネットワーク機能がOFF、ユーザデータアクセス機能がONであるので、危険度を1に設定する。
【0043】
図3は、上記ダウンロード処理終了後、ユーザがソフトウェアを作動させる場合のソフトウェア作動処理のフローである。
【0044】
ユーザは、データ記憶部7に記憶している管理サイトの値がAのapplicationソフトウェアを実行するように指示する。すると、実行部8は、管理サイトの値がAのapplicationソフトウェアのIDである0000bを参照する。
【0045】
ステップ30では、実行部8は、図21に示す対応を用いて、危険度管理部6からapplicationソフトウェアのIDが0000bに対応する危険度を参照する。
【0046】
ステップ31では、実行部8は、ステップ30で参照したサイトAからのapplicationソフトウェアの危険度1を表示部(図示せず)に提示する。そして、表示部は、ユーザに危険度1を提示する。
【0047】
ステップ32では、ユーザは、表示部が提示した危険度1の表示を確認した後、サイトAからダウンロードしたapplicationソフトウェアを実行するか否かを決定する。
【0048】
なお、applicationソフトウェアを実行するか否かの決定は、移動体通信端末1の入力手段(図示せず)、例えばテンキーや、その他決定ボタンで入力を行っても良い。さらにはユーザの入力なく一定時間経過後に、あらかじめ設定した処置(例えば、ユーザの入力を促す画面表示後、一定時間放置した場合、NOを選択したとみなす、等)を行っても良い。
【0049】
ステップ33では、実行部8は、危険度をユーザに提示した後、サイト管理の値がAであるダウンロードサイトからダウンロードしたapplicationソフトウェアをユーザが実行すると決定した場合であり、このapplicationソフトウェアを実行する(ステップ32でYESの場合)。
【0050】
その後、applicationソフトウェアの実行を終了する場合、又は、ユーザがapplicationソフトウェアの実行を行わないと決定した場合(ステップ32でNOの場合)、applicationソフトウェアの作動処理は、終了する。
【0051】
なお、図4は、ダウンロードした後すぐに、applicationソフトウェアの実行を行うフローである。
【0052】
図4に示すソフトウェア作動処理は、ステップ40が、図2に示すダウンロード処理を行い、ステップ41からステップ44が、図3のソフトウェア作動処理を行うものである。ここでは、重複する説明は省略する。
【0053】
以上のような本実施の形態1の移動体通信端末1の構成により、処理能力が低く、電源容量に制限がある等の資源の問題が生じる移動体通信端末においても、多量の演算を必要としないセキュリティシステムを備えることができる。
【0054】
また、本実施の形態1の移動体通信端末1により、多量の計算や解析をすることなく、ユーザに、ソフトウェアの危険度を通知することができる。具体的には、ソフトウェアの実行によって、内部データ記憶部10に記憶されている、電話帳やスケジュール帳などの移動体通信端末1のユーザの個人情報等が、外部の機器や接続先から参照される可能性を、危険度として判定し、ユーザに対して危険度の高いソフトウェアを通知することができる。
【0055】
なお、本実施の形態では、applicationソフトウェアをダウンロードする場合を説明したが、ダウンロードという形式に限定されず、移動体通信端末が、applicationソフトウェアを受信することができればどのような形態でもよい。
【0056】
なお、移動体通信端末が受信する情報やデータは、applicationソフトウェアに限定されず、静止画像(例えば、jpeg、gif等の静止画像)、動画像(MPEG4により圧縮された動画像)等のデータでもよい。特に、本願発明の移動体通信端末は、バイナリコードで記述されたソフトウェアを受信する場合に、有効である。
【0057】
さて、現在のソフトウェアを受信する環境は、定められたダウンロードサイトのみからユーザが望むソフトウェアを受信したり、定められたサイトとの間でのみデータ通信を行う環境である。ここで、定められたサイトとは、移動体通信事業を運営する移動体通信キャリア会社等が提供するサイト(以下、公式サイト)であり、ソフトウェアの受信と、ソフトウェアの実行とを行う上で、個人情報漏洩等が起きないように安全が確保されているサイトである。また、このような公式サイトを利用する場合、受信するソフトウェアは、Java(登録商標)言語で記述されている。そのため、個人情報漏洩が発生する可能性、すなわちソフトウェアの危険性は、Java(登録商標) VM等を利用する限りは、低い。
【0058】
しかしながら、より多様なソフトウェアを望むユーザは、バイナリコードで記述されたソフトウェアもダウンロードできる環境も望んでいる。また、受信したソフトウェアによっては、他のサイトとデータ通信を行う機能があるソフトウェアもありえる。例えば、受信したソフトウェアが対戦ゲームである場合、データ通信を介して他のユーザとデータのやり取りを行うことが考え得る。しかしながら、このような移動体通信キャリア会社等が提供する公式サイトから取得したソフトウェアであれば、個人情報漏洩等の問題は、データ通信を介したデータのやり取りの際にも発生しないと考えられる。
【0059】
しかし、バイナリコードで記述されたソフトウェアを受信、実行する環境下においては、このような移動体通信キャリア会社から提供されるソフトウェアのように、その安全性は保証されていない。そのため、受信したソフトウェアが他のサイト等にアクセスできる機能を有しており、さらに、そのアクセス先が悪意のあるサイトである場合には、ユーザの個人情報の漏洩等の問題は、生じる可能性がある。そこで、本願発明は、バイナリコードで記述されたソフトウェアを受信、実行する環境下においては、特に有用である。
【0060】
また、ネイティブソフトとJava(登録商標)ソフトとが混在した環境も想定される。そこで、本実施の形態の変形例として、ダウンロードしたソフトウェアがどんな種類のソフトウェアか判定する判定部を有する移動体通信端末について以下で詳しく記載する。
【0061】
図5は、本実施の形態の変形例における移動体通信端末を示す図であり、図6は、図5に示す移動体通信端末のダウンロード処理を示す図である。
【0062】
図1の移動体通信端末1との相違点は、受信部で受信したソフトウェアのデータが、データ判定部59を介して、分離部53に入力される点である。
【0063】
データ判定部59は、受信部52が受信したソフトウェアのデータをネイティブソフトであるか否かを判定する。ネイティブソフトの具体的な判定は、ネイティブソフトのプロファイル情報に含まれるIDによりおこなわれる。
【0064】
具体的なダウンロード処理について図6を用いて以下説明する。ダウンロード処理以外については、図1に示す移動体通信端末1の動作と同じであり、重複する説明は省略する。
【0065】
ステップ60では、データ判定部59は、受信部52が受信したソフトウェアのデータを、ネイティブソフトであるか否か判定する。
【0066】
ステップ61では、ソフトウェアのデータがネイティブソフトである場合(ステップ60でYES)、分離部53は、ダウンロードしたソフトウェアのプロファイルを示すプロファイル情報を、ダウンロードしたソフトウェアから抽出する。
【0067】
受信部52で受信したソフトウェアのデータがネイティブソフトで無い場合には(ステップ60でNO)、そのまま終了する。これは、例えばダウンロードしたソフトウェアが、Java(登録商標)ソフトであれば、Java(登録商標) VM等のセキュリティシステムがあるのでセキュリティをチェックする必要性がないためである。
【0068】
ステップ62では、データ識別判定部54は、上記ステップ61において分離部53が抽出したプロファイル情報の中の管理サイト情報を、信頼がおけるサイトであるか否かを判定する。管理サイト情報の一例は、図20に示されている通りである。
【0069】
ステップ63では、上記データ識別判定部4の判定により、ソフトウェアダウンロード先が信頼おけるサイトであると判定された場合(ステップ62でYES)、設定部67は、危険度を0に設定する。ここで示される危険度の値は例示である。例えば、完全に安全が保障されている場合は、危険度をマイナスに設定しても良いし、明らかに危険である場合のみ、危険度を設定するようにしてもよい。
【0070】
ステップ64では、上記データ識別判定部54の判定により、ソフトウェアダウンロード先が信頼おけるサイトでないと判定された場合(ステップ62でNO)であり、機能識別判定部55は、プロファイル情報中のユーザデータアクセス機能とネットワーク機能とが有効か否かを判定する。具体的には、機能識別判定部55は、図20で示されるプロファイル情報中のユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとがONかOFFかを判定する。本実施の形態では、機能識別判定部55は、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグについて判定を行っているが、ダウンロードされたソフトウェアが、このソフトウェアの外部データを参照する機能を有するかどうかを判定できればよい。
【0071】
また、本実施の形態では、機能識別判定部55が、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとがONであるか否かの判定を行っているが、設定部67は、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとのONかOFFかの判定により危険度を可変してもよい。例えば、設定部67は、上記機能が両方ともOFFの場合には危険度を1に、どちらか一方のみONの場合には危険度を1.5に設定する。
【0072】
ステップ65では、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとの両方がONである場合(ステップ64でYES)、設定部67は、危険度を2に設定する。
【0073】
ステップ66では、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとの少なくとも一方がOFFである場合(ステップ64でNO)、設定部67は、危険度を1に設定する。その後、ダウンロード処理は終了する。
【0074】
これにより、ネイティブソフトと、例えばJava(登録商標)ソフトのような高級言語によりコーディングされたソフトとが、混在する環境においても、ネイティブソフトを識別することで、さらに余計なセキュリティチェックに要する演算を減らすことができるとともに、より効率の良いセキュリティシステムを備えることができる。
【0075】
なお、本実施の形態では移動体通信端末について例示的に説明したが、この移動体通信端末の各構成の動作を実行させるように制御するLSI(Large Scale Integration)等の集積回路であっても構わない。この場合、図25に示すように、集積回路261は、少なくともデータ識別判定部254と機能識別判定部255と設定部259とを制御する。また、図25に示す他の構成要素は、例えば制御部(図示なし)や、他の集積回路が制御を行う。これにより、この集積回路261を有する移動体通信端末251は、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0076】
また、プログラムについても上記集積回路261の場合と同様であり、少なくともデータ識別判定部254と機能識別判定部255と設定部259とを制御する様に記述される。このプログラムを有する移動体通信端末251は、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0077】
なお、本実施の形態では、移動体通信端末について記載したが、この移動体通信端末の構成要素が行う動作による移動体通信方法であっても良い。この場合、少なくともデータ識別判定部254と機能識別判定部255と設定部256との動作による移動体通信方法であれば良い。これにより、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0078】
(実施の形態2)
図7から図9までを用いて説明する本実施の形態2は、ダウンロードしたソフトウェアを起動する際に、他のデータを参照する機能が動作するか否かの結果に基づき、ダウンロードしたソフトウェアの危険度を決定する移動体通信端末に関するものである。
【0079】
図7は、本実施の形態に係る移動体通信端末71の構成図である。移動体通信端末71としては、車載用通信装置、PDA、携帯電話等があり、ソフトウェアのデータを受信することができる機能を有した電子機器が該当する。
【0080】
以下、図7の本実施の形態における移動体通信端末71について説明する。
【0081】
図7の基本構成は、図1の移動体通信端末1と同様であるため、重複した説明は省略し、相違する構成について、以下詳述する。図7の移動体通信端末71の構成と図1の移動体通信端末1の構成とで相違する構成は、機能動作判定部79である。
【0082】
すでに、機能識別判定部75は、これらユーザデータアクセス機能とネットワーク機能とが機能しないと判定しているが、これに対して機能動作判定部79は、ユーザデータアクセス機能とネットワーク機能とが実際に起動しないか否かを判定する。具体的には、ユーザデータアクセス機能やネットワーク機能は、動作をする際には、特定のI/F(インターフェイス)を使用している。そして、これらのI/Fは、特定のライブラリにより提供されており、単一的に決定される。したがって、機能動作判定部79は、特定のライブラリが、実際に使用されているか、いないか検知することで、ユーザデータアクセス機能とネットワーク機能とが実際に起動しているか否かを判定する。また、これ以外の方法により、検知しても構わない。ここで、上記I/F(インターフェイス)は、プログラム間でデータをやり取りする手順や形式を定めたものである。特に、OS(Operating System:オペレーティング・システム)やコンポーネント(部品化されたソフトウェア)の機能を外部から呼び出して利用するための規約をAPI(Application Program Interface:アプリケーション・プログラム・インターフェース)という。
【0083】
危険度は、機能動作判定部79の判定結果を基に算出され、危険度管理部76は、ソフトウェアとそのソフトウェアの危険度との対応を記憶する。実行部78は、ソフトフェア実行時に、危険度管理部76から、実行されるソフトウェアに対応する危険度を参照し、実行されるソフトウェアの危険度を表示部(図示なし)に提示する。また、上記移動体通信端末71が有する各構成部は、制御部(図示なし)により最適に制御されている。
【0084】
次に、図8と図9とは、本実施の形態に記載の移動体通信端末の危険度を設定する動作のフロー図である。ソフトウェアを実行する処理は、図3と同じであるため、重複した説明は省略し、ここでは、本実施の形態の特徴であるダウンロード処理を説明する。なお、ここで記載するダウンロード処理は、あくまでも一例示に過ぎず、実施の形態1のダウンロード処理の中で記載のような代替方法等が用いられても良い。
【0085】
移動体通信端末のユーザは、図20に示す管理サイトの値がOであるダウンロードサイトからapplicationソフトウェアのダウンロードをしている。
【0086】
ステップ80では、分離部73は、ダウンロードしたソフトウェアのプロファイルを示すプロファイル情報を、ダウンロードしたソフトウェアから抽出する。
【0087】
ステップ81では、データ識別判定部74は、上記ステップ80において分離部73が抽出したプロファイル情報の中の管理サイトの値のOを、信頼がおけるサイトであるか否かを判定する。
【0088】
ステップ82では、上記データ識別判定部74が、管理サイトの値のOが信頼おけるサイトであると判定した場合(ステップ81でYES)であり、設定部86は、危険度を0に設定する。
【0089】
ステップ83では、上記データ識別判定部74が、サイトOを信頼おけるサイトでないと判定した(ステップ81でNO)場合であり、機能識別判定部75は、プロファイル情報中のユーザデータアクセス機能とネットワーク機能とが、有効か否かを判定する。具体的には、機能識別判定部75は、図20で示されるプロファイル情報中のユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとがONかOFFかを判定する。
【0090】
ステップ84では、設定部86は、上記ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとがONであるとき(ステップ83でYESの場合)、危険度を2に設定する。
【0091】
ステップ85では、機能動作判定部79は、上記ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとの少なくとも一方がOFFである場合(ステップ83でNO)、上記ユーザデータアクセス機能とネットワーク機能が、実際に動作しているか否かを判定する。
【0092】
この機能チェックについては、図9を用いて説明する。
【0093】
ステップ90では、機能動作判定部79は、ユーザデータアクセス機能とネットワーク機能が動作するか否かを判定する。
【0094】
ステップ91では、ユーザデータアクセス機能とネットワーク機能とが動作しないと判定された場合(ステップ90でNO)であり、設定部86は、危険度を1に設定する。
【0095】
ステップ92では、上記ユーザデータアクセス機能とネットワーク機能とが動作すると判定された場合(ステップ90でYES)であり、設定部86は、危険度を3に設定する。
【0096】
図20に示すように、設定部86は、サイトOのapplicationソフトウェアを、ネットワーク機能とユーザデータアクセス機能とがOFFであるため、ステップ85で機能チェックがなされ、さらに、ユーザデータアクセス機能とネットワーク機能とが動作しないと判定された場合、危険度を1に設定する。また、設定部86は、ユーザデータアクセス機能とネットワーク機能が動作すると判定された場合、危険度を3に設定する。
【0097】
なお、本実施の形態で用いている危険度は、あくまで例示であり、この危険度の値に制限されることはない。例えば、プロファイル情報では、ユーザデータアクセス機能を示すフラグとネットワーク機能を示すフラグとの両方がOFFであるのに関わらず、これらの機能が、実際は動作するような場合もある。このように、プロファイル情報と、ソフトウェアの実際の動作とが異なっている場合は、ソフトウェア提供者に相当の悪意があるとみなすことができる。そのため、このような場合は危険度を100に設定するというようにしても良い。
【0098】
以上のように、実施の形態2に記載する移動体通信端末では、ダウンロードしたソフトウェアの危険度は、ダウンロードしたソフトウェアの起動時に他のデータを参照する機能が動作するか否かの結果に基づいて決定される。これにより、セキュリティチェックの演算量を減少させることに加え、よりダウンロードしたソフトウェアの危険度に対する信頼性を高めることができる。
【0099】
なお、本実施の形態では移動体通信端末について説明したが、この移動体通信端末の各構成の動作を実行させるように制御するLSI(Large Scale Integration:集積回路)等の集積回路であっても良い。この場合、集積回路は、少なくとも図25に示す、データ識別判定部254と機能識別判定部255と設定部259とに加え、図7に記載の機能動作判定部79を制御する。図25に示す他の構成要素に関しては、例えば制御部(図示なし)や、他の集積回路が制御を行う。これにより、移動体通信端末は、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0100】
また、プログラムについても上記集積回路の場合と同様であり、少なくともデータ識別判定部254と機能識別判定部255と設定部259とに加え、図7に記載の機能動作判定部79を制御する様に記述される。このプログラムを有する移動体通信端末251は、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0101】
なお、本実施の形態では、移動体通信端末について記載したが、この移動体通信端末の構成要素が行う動作による移動体通信方法であっても良い。この場合、少なくともデータ識別判定部254と機能識別判定部255と設定部259とに加え、図7に記載の機能動作判定部79との動作による移動体通信方法であれば良い。これにより、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0102】
(実施の形態3)
図10から図12までを用いて説明する本実施の形態3は、ダウンロードしたソフトウェアを起動する際に、このソフトウェアの起動をするか否かを、決定部が、所定の条件に基づいて決定する移動体通信端末に関するものである。
【0103】
図10は、本実施の形態に係る移動体通信端末101の構成図である。移動体通信端末101としては、車載用通信装置、PDA、携帯電話等があり、ソフトウェアのデータをサーバから受信することができる機能を有した電子機器が該当する。以下、図10にかかる移動体通信端末101について説明する。基本的な構成は、図1の移動体通信端末1と同様であるため、重複した説明は省略し、相違する構成のみについて、以下詳述する。
【0104】
移動体通信端末101は、ソフトウェアを実行するか否かを決定する決定部110を有する。決定部110は、危険度管理部106に記憶されている危険度に基づいてソフトウェアを実行するか否かを決定する。これにより、決定部110は、ユーザがある一定の危険度を有するソフトウェアを実行するのを禁止する。
【0105】
次に、本実施の形態に記載の移動体通信端末のソフトウェア作動処理について図12を用いて説明する。ダウンロード等の処理は、上記実施の形態1または実施の形態2における処理と同じであるため重複した説明は省略し、ここでは、ソフトウェア作動処理のみについて説明する。
【0106】
以下、図12を用いてソフトウェア作動処理を説明する。図12は、ダウンロード処理終了後、ユーザがソフトウェアを作動させる場合のソフトウェア作動処理のフローである。ユーザがデータ記憶部107に記憶している管理サイトの値がAであるダウンロードサイトのapplicationソフトウェアを実行しようとするとき、実行部108は、管理サイトの値がAのapplicationソフトウェアのIDである0000bを参照する。
【0107】
ステップ120では、実行部108は、図21に示すように危険度管理部106からapplicationソフトウェアのIDである0000bに対応する危険度を参照する。
【0108】
ステップ121では、実行部108は、ステップ120で参照した管理サイトの値がAであるダウンロードサイトからのapplicationソフトウェアの危険度の値(この場合、危険度1)を表示部(図示せず)に提示し、表示部は、ユーザに危険度1を提示する。
【0109】
ステップ122では、決定部110は、表示部により提示された危険度の値(この場合危険度1)に基づき、管理サイトの値がAであるダウンロードサイトからのapplicationソフトウェアを実行するか否かを決定する。決定方法については、危険度が3であれば、そのソフトウェアを実行しないという風にしても良いし、危険度が少しでもあるものは、実行しないという風にしても良い。
【0110】
ステップ123では、ユーザが、危険度が提示された管理サイトの値がAであるダウンロードサイトからのapplicationソフトウェアを実行するように決定部110により決定された場合(ステップ122でYES)であり、実行部108は、このapplicationソフトウェアを実行する。その後、ソフトウェア実行を終了するとき、又は、ユーザがソフトウェア実行を行わないと決定部110により決定された場合(ステップ122でNO)、ソフトウェアの作動処理を終了する。
【0111】
以上のように、実施の形態3に記載する移動体通信端末では、決定部が、ダウンロードしたソフトウェアの起動を行うか否かを、危険度に基づいて決定する。これにより、確実に、危険なソフトウェアをユーザに実行させることを禁止できる。
【0112】
また、図11に示す移動体通信端末111では、作動部(図示なし)にソフトウェアを実行させる危険度の閾値をユーザが決定できる。以下、図11を用いながら説明する。ここで、上記実施の形態1から実施の形態3までに示す構成及び動作処理等で共通する部分の説明は重複するために省略し、差異部分についてのみ説明する。
【0113】
ユーザにより予め入力された危険度の閾値は、記憶部120に記憶される。ユーザは、危険度の閾値として、1を入力する。その後、ソフトウェアを作動させるときになって決定部121は、記憶部120の情報に基づいて実行部118がソフトウェアを実行するか否かを決定する。ユーザにより危険度の閾値は、1に設定されているため、実行しようとするソフトウェアの危険度が1以上であれば、そのソフトウェアの実行を行わない。このときのソフトウェア作動処理は、図12のフローと同様であるため省略する。
【0114】
以上の構成により、ある程度の安全性とある程度のソフトウェア実行性とをユーザが決定することができる柔軟なソフトウェア実行処理を行うことができる。
【0115】
なお、本実施の形態では移動体通信端末について説明したが、この移動体通信端末の各構成の動作を実行させるように制御するLSI(Large Scale Integration:集積回路)等の集積回路であっても良い。この場合、集積回路は、少なくとも図25に示す、データ識別判定部254と機能識別判定部255と設定部259とに加え、図7に記載の機能動作判定部79を制御する。図25に示す他の構成要素に関しては、例えば制御部(図示なし)や、他の集積回路が制御を行う。これにより、移動体通信端末は、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0116】
また、プログラムについても上記集積回路の場合と同様であり、少なくともデータ識別判定部254と機能識別判定部255と設定部259とに加え、図7に記載の機能動作判定部79を制御する様に記述される。このプログラムを有する移動体通信端末251は、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0117】
なお、本実施の形態では、移動体通信端末について記載したが、この移動体通信端末の構成要素が行う動作による移動体通信方法であっても良い。この場合、少なくともデータ識別判定部254と機能識別判定部255と設定部259とに加え、図7に記載の機能動作判定部79との動作による移動体通信方法であれば良い。これにより、上記実施の形態で説明したような動作を行うことができ、上記実施の形態で記載の効果を奏することができる。
【0118】
(実施の形態4)
図13から図19を用いて説明する本実施の形態4は、危険度管理サーバがダウンロードしたソフトウェアの危険度を管理し、移動体通信端末からの要求により移動体通信端末に対して危険度を通知する移動体通信システムに関するものである。本実施の形態の移動体通信システムについて、図13を用いて説明する。本実施の形態に示す移動体通信システムは、図13に示すように、移動体通信端末131と、危険度管理サーバ130とからなる。
【0119】
移動体通信端末131は、ダウンロードサーバ132からソフトウェアをダウンロードする際、危険度管理サーバ130と情報の授受をすることでダウンロードするソフトウェアのセキュリティチェックを行うことができる。
【0120】
以下、それぞれの構成要素に関して、具体的に説明する。まず、危険度管理サーバ130について、図14を用いながら説明する。
【0121】
危険度管理サーバ130は、移動体通信端末131からのソフトウェア使用情報を受信する受信部141と、そのソフトウェア使用情報が不具合情報を含んでいるかを判定する判定部142と、判定部142の判定結果により危険度を更新する危険度更新部143と、危険度を設定する設定部147と、危険度を管理する危険度管理部144と、危険度に基づく情報を生成する情報生成部145と、情報生成部145により生成された情報を移動体通信端末131へ送信する送信部146とを有する。
【0122】
次に、移動体通信端末131について、図15を用いながら説明する。移動体通信端末131は、ダウンロードサーバ132からダウンロードするソフトウェアを受信する受信部151と、受信したソフトウェアを保存するデータ記憶部155と、ソフトウェアのデータと、データに付随するプロファイル情報とを分離する分離部152と、ソフトウェア使用情報を送信、又は、危険度情報を危険度管理サーバから受信する危険度情報送受信部153と、危険度情報送受信部153で受信した危険度を管理する危険度管理部154と、実行しようとするソフトの危険度を表示部(図示なし)に表示しようとする実行部156とを有する。
【0123】
以上の構成を有する移動体通信端末の動作について、図16から図19を用いて説明する。図16は、ユーザaがダウンロードしたソフトウェアを作動する際のフローである。
【0124】
まず、ステップ160では、ユーザaは、ダウンロードサーバ132から図20に示すID0000xのMiddlewareをダウンロードする。
【0125】
その後、ステップ161では、ダウンロードしたMiddlewareを実行する。
【0126】
ステップ162では、ユーザaが実行しているMiddlewareに不具合があるか否かをチェックする。ここで、不具合とは、ソフトウェアを実行したときに、移動体通信端末のデータが壊れること、個人情報を他のサイトへ送信すること、移動体通信端末が操作を受け付けなくなるようなフリーズ状態になること等の、ユーザにとって不利益となるような事である。また、ソフトウェアが不具合を起こしたというソフトの不具合情報は、データ記憶部155にソフトウェアのデータと共に記憶しておく。しかしながら、これに限られることなく他に記憶部を設けて、そこに記憶しておいても良い。
【0127】
ステップ163では、実行ソフトウェアに不具合が起きた場合、危険度管理サーバ130へソフトウェアの不具合情報を送信する(ステップ162でYESの場合)。その後、ソフトウェア作動処理を終了する。さらに、図16のステップ163において、危険度管理サーバ130は、移動体通信端末131から送出されたソフトの不具合情報を受信した場合、移動体通信端末131から送出された不具合情報を有するソフトウェアの危険度を更新する。
【0128】
この危険度管理サーバ130によるソフトウェアの危険度の更新処理について図17を用いて説明する。図17は、危険度管理サーバ130による危険度の更新処理のフローである。
【0129】
ステップ170では、受信部141は、移動体通信端末131からソフトウェア使用情報を受信する。ここで、ソフトウェア使用情報とは、例えば、ソフトウェアに不具合がある場合は、「―1」、ソフトウェアに不具合が無い場合は、「1」とする情報が設定される。また、上記形式に限らず、テキスト形式で移動体通信端末131から送出さられた不具合の情報を、危険度管理サーバが保存に適した形式に加工してもよい。また、ソフトウェア使用情報は、ユーザaがそのソフトウェアを一回実行したあと送信してもよい。また、危険度の判定精度をさらに高めるため、所定の期間実行した後、ソフトウェア使用情報を送信するようにしてもよい。
【0130】
ステップ171では、ソフトウェア使用情報がある場合(ステップ170でYES)には、判定部142は、このソフトウェア使用情報に不具合情報が含まれているか否かを判定する。
【0131】
ステップ172では、設定部147は、ソフトウェア使用情報に不具合情報が無い場合(ステップ171でNO)には、危険度に加算する値を―1に設定する。たとえば、管理サイトの値がCであるサイトからダウンロードしたMiddlewareのソフトウェア使用情報に不具合情報がふくまれていなければ、危険度に加算する値をー1に設定する。
【0132】
ステップ173では、設定部147は、ソフトウェア使用情報に不具合情報が含まれている場合(ステップ171でYES)には、危険度に加算する値を1に設定する。たとえば、管理サイトの値がCであるサイトからダウンロードしたMiddlewareのソフトウェア使用情報に不具合情報がふくまれていれば、設定部147は、危険度に加算する値を1に設定する。
【0133】
ステップ174では、上記加算する危険度を加算値分だけインクリメントする。たとえば、管理サイトの値がCであるサイトからダウンロードしたMiddlewareの危険度が5である場合、ソフトウェア使用情報に不具合情報がふくまれていなければ、設定部147は、危険度に加算する値をー1に設定して、危険度を4とする。この後、他のユーザbが、サイトCからMiddlewareをダウンロードする場合、ユーザbは、ダウンロードしたソフトウェアの危険度について、危険度管理サーバ130に問い合わせることができる。これにより、ユーザbは、管理サイトの値がCであるサイトからダウンロードしたMiddlewareの危険度を知ることができる。
【0134】
以下、ユーザbが危険度管理サーバ130に危険度を問い合わせるフローについて、図18を用いて説明する。図18は、危険度管理サーバ130による危険度の提示処理のフローである。
【0135】
ステップ180では、受信部141は、ユーザbの移動体通信端末から危険度情報の問い合わせを受信する。
【0136】
ステップ181では、受信部141は、移動体通信端末からの危険度情報の問い合わせを受信している場合(ステップ180でYES)には、ユーザbから問い合わせられたソフトウェアの危険度が、危険度管理部144に記憶されているかがチェックされる。
【0137】
ステップ182では、問い合わせられたソフトウェアの危険度が危険度管理部144に無い場合(ステップ181でNO)には、その旨をユーザbに送信する。
【0138】
ステップ183では、問い合わせられたソフトウェアの危険度が危険度管理部144にある場合(ステップ181でYES)には、危険度管理部144に記憶されている危険度テーブルを参照する。危険度テーブルに関する例は、図21に示すようになっている。
【0139】
ステップ184では、ステップ183で参照した管理サイトの値がCであるサイトからダウンロードするMiddlewareの危険度の値(この場合、危険度1)をユーザbに対して送信部146から送信する。これにより、ユーザbは、管理サイトの値がCであるサイトからダウンロードするMiddlewareの危険度を知ることができる。
【0140】
以上のように、移動体通信端末131と危険度管理サーバ130とのデータのやり取りにより、ダウンロードするソフトウェアの危険度を管理することができる。
【0141】
上記移動体通信システムにより管理されている危険度を基にユーザbが管理サイトの値がCであるサイトからMiddlewareをダウンロードし、実行するまでの一連の動作について、図19を用いて説明する。
【0142】
ステップ190では、ユーザbは、管理サイトの値がCであるサイトからMiddlewareをダウンロードする。
【0143】
ステップ191では、ユーザbは、管理サイトの値がCであるサイトのMiddlewareに関する危険度情報があるか否かを危険度管理サーバ130に問い合わせる。
【0144】
ステップ192では、危険度情報送受信部153は、問い合わせ結果を受信する。
【0145】
ステップ193では、問い合わせの結果、危険度情報がある場合、その危険度を表示部(図示なし)に表示する。問い合わせの結果、危険度情報が無い場合、その旨を表示部に表示する。
【0146】
ステップ194では、危険度の表示結果、ユーザbは、ソフトウェアを実行するか否かを判断する。
【0147】
ステップ195では、ユーザbがソフトウェアを実行する場合(ステップ194でYES)には、制御部(図示なし)は、ソフトウェアの実行を行う。
【0148】
以上の構成により、外部データベースによりダウンロードするソフトウェアの危険度を管理し、移動体通信端末の要求により危険度を移動体通信端末に通知する。
【0149】
これにより、処理能力が低く、電源容量に制限がある等の資源に制限のある移動体通信端末においてもセキュリティチェックの演算量を減らすことができる。
【0150】
なお、本実施の形態1から実施の形態4までに記載の発明においては、図22に示すように、危険度をユーザに対して光で知らせることも可能である。例えば、現在実行しているソフトウェアの危険度が高い場合には、赤いLEDを点灯させ、危険度が低い場合には、青い光のLEDを点灯させることもできる。危険度が高いほど、赤みの強い色を点灯させ、危険度が低いほど、青みの強い色を点灯させることができる。
【0151】
また、図23に示すように、危険度メータを設け、現在実行しているソフトウェアの危険度を視覚で認知できるように表示することもできる。これにより、危険度が高いにもかかわらず、間違ってユーザが実行した場合でも、ユーザは、現在実行しているソフトウェアの危険度を知ることができ、ソフトウェアの実行可否について再判断を行うこともできる。
【0152】
また、図24に示すように、危険度管理部246に記憶する危険度テーブルを、着脱可能な外部メモリカード等の外部記憶手段に記憶させることもできる。
【0153】
これにより、危険度の更新が簡便になり、処理能力が低く、電源容量に制限がある等の資源の限られた移動体通信端末においてもセキュリティチェックの演算による負荷を軽減することができる。
【0154】
なお、上記実施の形態1から実施の形態4までに示す本願発明の移動体通信端末の構成は、一例であり、本発明はかかる上記実施の形態に限定されるものではなく、本発明の範囲を逸脱することなく種々の変形が可能である。
【産業上の利用可能性】
【0155】
本発明によって、セキュリティチェックの演算量を減らすことができる通信端末を提供できる。
【図面の簡単な説明】
【0156】
【図1】本発明の実施の形態1における移動体通信端末の構成図
【図2】本発明の実施の形態1における移動体通信端末のダウンロード処理のフローの図
【図3】本発明の実施の形態1における移動体通信端末のソフトウェア作動処理のフローの図(1)
【図4】本発明の実施の形態1における移動体通信端末のソフトウェア作動処理のフローの図(2)
【図5】本発明の実施の形態2における移動体通信端末の構成図
【図6】本発明の実施の形態2における移動体通信端末のダウンロード処理のフローの図
【図7】本発明の実施の形態3における移動体通信端末の構成図
【図8】本発明の実施の形態3における移動体通信端末のダウンロード処理のフローの図
【図9】本発明の実施の形態3における移動体通信端末の機能チェック処理のフローの図
【図10】本発明の実施の形態3の変形例における移動体通信端末の構成図(1)
【図11】本発明の実施の形態3の変形例における移動体通信端末の構成図(2)
【図12】本発明の実施の形態3の変形例における移動体通信端末のソフトウェア作動処理のフローの図
【図13】本発明の実施の形態4における移動体通信システムの構成図
【図14】本発明の実施の形態4における危険度管理サーバの構成図
【図15】本発明の実施の形態4における移動体通信端末の構成図
【図16】本発明の実施の形態4における移動体通信端末のソフトウェア作動処理のフローの図(1)
【図17】本発明の実施の形態4における危険度管理サーバの危険度更新のフローの図
【図18】本発明の実施の形態4における危険度管理サーバの危険情報提示処理のフローの図
【図19】本発明の実施の形態4における移動体通信端末のソフトウェア作動処理のフローの図(2)
【図20】本発明のプロファイル情報の図
【図21】本発明の危険度管理テーブルの図
【図22】本発明の移動体通信端末における危険度の提示図(1)
【図23】本発明の移動体通信端末における危険度の提示図(2)
【図24】記録媒体により危険度を更新する移動体通信端末の構成図
【図25】移動体通信端末の構成図
【符号の説明】
【0157】
1、51、71 移動体通信端末
2、52、72 受信部
3、53、73 分離部
4、54、74 データ識別判定部
5、55、75 機能識別判定部
6、56、76 危険度管理部
7、57、77 データ記憶部
8、58、78 実行部
10、68、87 内部データ記憶部
【特許請求の範囲】
【請求項1】
所定データが有する機能である他のデータを参照する参照機能により前記他のデータを参照することができる通信端末において、
前記所定データと、前記所定データが有効なデータか否かを識別するデータ識別子と、前記参照機能が有効か否かを示す機能識別子と、を受信する受信部と、
前記所定データが有効なデータであるか否かを前記データ識別子により判定するデータ識別判定部と、
前記所定データが有効なデータでないと前記データ識別判定部により判定されるとき、前記参照機能が有効であるか否かを前記機能識別子により判定する機能識別判定部と、
内部データが記憶される内部データ記憶部と、
前記機能識別判定部の判定結果に基づき、前記通信端末の外部から前記内部データが参照される可能性をデータ情報として設定する設定部と、
を備えることを特徴とする移動体通信端末。
【請求項2】
前記設定部は、前記機能識別判定部の判定結果に基づき、前記他のデータを有する所から前記内部データが参照される可能性をデータ情報として設定することを備えることを特徴とする請求項1記載の移動体通信端末。
【請求項3】
前記内部データは、ユーザーの個人データであることを特徴とする請求項1又は請求項2記載の移動体通信端末。
【請求項4】
前記参照機能が有効であると前記機能識別判定部により判定されるとき、前記設定部が前記データ情報を第1のデータ情報に設定することを特徴とする請求項1から請求項3までのいずれかに記載の移動体通信端末。
【請求項5】
前記参照機能が有効でないと前記機能識別判定部により判定されるとき、前記設定部が前記データ情報を第2のデータ情報に設定することを特徴とする請求項4記載の移動体通信端末。
【請求項6】
前記第2のデータ情報は、前記第1のデータ情報よりも前記移動体通信端末の外部から前記内部データが参照される可能性が低いことを示すデータ情報として前記設定部により設定されることを特徴とする、請求項5記載の移動体通信端末。
【請求項7】
さらに、前記参照機能が有効でないと前記機能識別判定部により判定されるとき、前記参照機能を動作する際に用いる所定インターフェイス機能が記述されているライブラリデータが前記所定データにより参照されるか否かを判定する機能動作判定部を備え、前記機能動作判定部による判定結果に基づき前記データ情報を設定することを特徴とする請求項1から請求項4までのいずれかに記載の移動体通信端末。
【請求項8】
前記所定インターフェイス機能が記述されているライブラリデータが参照されると前記機能動作判定部により判定されるとき、前記設定部が前記データ情報を第3のデータ情報に設定し、
前記所定インターフェイス機能が記述されているライブラリデータが参照されないと前記機能動作判定部により判定されるとき、前記設定部が前記データ情報を第4のデータ情報に設定することを特徴とする請求項7記載の移動体通信端末。
【請求項9】
前記第3のデータ情報は、前記第4のデータ情報よりも前記移動体通信端末の外部から前記内部データが参照される可能性が低いことを示すデータ情報として前記設定部により設定されることを特徴とする、請求項8記載の移動体通信端末。
【請求項10】
前記所定インターフェイス機能は、前記移動体通信端末と前記移動体通信端末外部とのデータのやり取りを行う機能であることを特徴とする請求項7から請求項9までのいずれかに記載の移動体通信端末。
【請求項11】
前記所定インターフェイス機能は、前記移動体通信端末外部から前記所定データに用いる機能を呼び出す機能であることを特徴とする請求項7から請求項9までのいずれかに記載の移動体通信端末。
【請求項12】
さらに、前記所定データがバイナリデータであるか否かの判定をするデータ判定部と、
前記所定データがバイナリデータであると前記データ判定部により判定されるとき、前記データ情報を提示する提示部と、
を備えることを特徴とする、請求項1から請求項11記載までのいずれかに記載の移動体通信端末。
【請求項13】
さらに、前記所定データを実行させる実行部と、
前記データ情報が、所定値を満たすか否かに基づいて前記実行部を実行させるか否かを決定する決定部と、
を備えることを特徴とする、請求項1から請求項12までのいずれかに記載の移動体通信端末。
【請求項14】
前記所定値を決定する信号が記憶される記憶部を備え、
前記前記データ情報が、前記信号に基づく所定値を満たすか否かに基づいて前記実行部を実行させるか否かを前記決定部により決定することを特徴とする、請求項13記載の移動体通信端末。
【請求項15】
所定データが有する機能である他のデータを参照する参照機能により前記他のデータを参照することができる移動体通信方法において、
前記所定データと、前記所定データが有効なデータか否かを識別するデータ識別子と、前記参照機能が有効か否かを示す機能識別子と、に基づいて、
前記所定データが有効なデータであるか否かを前記データ識別子により判定するデータ識別判定ステップと、
前記所定データが有効なデータでないと前記データ識別判定部により判定されるとき、前記参照機能が有効であるか否かを前記機能識別子により判定する機能識別判定ステップと、
前記機能識別判定部の判定結果に基づき、前記通信端末の外部から内部データに記憶される内部データが参照される可能性をデータ情報として設定する設定ステップと、
からなることを特徴とする移動体通信方法。
【請求項16】
所定データが有する機能である他のデータを参照する参照機能により前記他のデータを参照することを実行させる通信端末プログラムにおいて、
前記所定データと、前記所定データが有効なデータか否かを識別するデータ識別子と、前記参照機能が有効か否かを示す機能識別子と、に基づいて
前記所定データが有効なデータであるか否かを前記データ識別子により判定するデータ識別判定ステップと、
前記所定データが有効なデータでないと前記データ識別判定部により判定されるとき、前記参照機能が有効であるか否かを前記機能識別子により判定する機能識別判定ステップと、
前記機能識別判定部の判定結果に基づき、前記通信端末の外部から内部データに記憶される内部データが参照される可能性をデータ情報として設定する設定ステップと、
を実行させることを特徴とする移動体通信プログラム。
【請求項17】
所定データが有する機能である他のデータを参照する参照機能により前記他のデータを参照する動作を実行させる半導体素子において、
前記所定データと、前記所定データが有効なデータか否かを識別するデータ識別子と、前記参照機能が有効か否かを示す機能識別子と、に基づいて、
前記所定データが有効なデータであるか否かを前記データ識別子により判定するデータ識別判定動作と、
前記所定データが有効なデータでないと前記データ識別判定部により判定されるとき、前記参照機能が有効であるか否かを前記機能識別子により判定する機能識別判定動作と、
前記機能識別判定部の判定結果に基づき、前記通信端末の外部から内部データ記憶部に記憶される内部データが参照される可能性をデータ情報として設定する設定動作と、
を実行させることを特徴とする集積回路。
【請求項18】
第1の通信端末からの所定データに関する情報である所定データ情報を受信する受信部と、
前記所定データ情報に基づく危険度と、前記所定データとの対応が記憶された危険度記憶部と、
第2の通信端末が要求する所定データの危険度を、前記第2の通信端末に送信する送信部と、
を備えることを特徴とする、移動体通信システム。
【請求項1】
所定データが有する機能である他のデータを参照する参照機能により前記他のデータを参照することができる通信端末において、
前記所定データと、前記所定データが有効なデータか否かを識別するデータ識別子と、前記参照機能が有効か否かを示す機能識別子と、を受信する受信部と、
前記所定データが有効なデータであるか否かを前記データ識別子により判定するデータ識別判定部と、
前記所定データが有効なデータでないと前記データ識別判定部により判定されるとき、前記参照機能が有効であるか否かを前記機能識別子により判定する機能識別判定部と、
内部データが記憶される内部データ記憶部と、
前記機能識別判定部の判定結果に基づき、前記通信端末の外部から前記内部データが参照される可能性をデータ情報として設定する設定部と、
を備えることを特徴とする移動体通信端末。
【請求項2】
前記設定部は、前記機能識別判定部の判定結果に基づき、前記他のデータを有する所から前記内部データが参照される可能性をデータ情報として設定することを備えることを特徴とする請求項1記載の移動体通信端末。
【請求項3】
前記内部データは、ユーザーの個人データであることを特徴とする請求項1又は請求項2記載の移動体通信端末。
【請求項4】
前記参照機能が有効であると前記機能識別判定部により判定されるとき、前記設定部が前記データ情報を第1のデータ情報に設定することを特徴とする請求項1から請求項3までのいずれかに記載の移動体通信端末。
【請求項5】
前記参照機能が有効でないと前記機能識別判定部により判定されるとき、前記設定部が前記データ情報を第2のデータ情報に設定することを特徴とする請求項4記載の移動体通信端末。
【請求項6】
前記第2のデータ情報は、前記第1のデータ情報よりも前記移動体通信端末の外部から前記内部データが参照される可能性が低いことを示すデータ情報として前記設定部により設定されることを特徴とする、請求項5記載の移動体通信端末。
【請求項7】
さらに、前記参照機能が有効でないと前記機能識別判定部により判定されるとき、前記参照機能を動作する際に用いる所定インターフェイス機能が記述されているライブラリデータが前記所定データにより参照されるか否かを判定する機能動作判定部を備え、前記機能動作判定部による判定結果に基づき前記データ情報を設定することを特徴とする請求項1から請求項4までのいずれかに記載の移動体通信端末。
【請求項8】
前記所定インターフェイス機能が記述されているライブラリデータが参照されると前記機能動作判定部により判定されるとき、前記設定部が前記データ情報を第3のデータ情報に設定し、
前記所定インターフェイス機能が記述されているライブラリデータが参照されないと前記機能動作判定部により判定されるとき、前記設定部が前記データ情報を第4のデータ情報に設定することを特徴とする請求項7記載の移動体通信端末。
【請求項9】
前記第3のデータ情報は、前記第4のデータ情報よりも前記移動体通信端末の外部から前記内部データが参照される可能性が低いことを示すデータ情報として前記設定部により設定されることを特徴とする、請求項8記載の移動体通信端末。
【請求項10】
前記所定インターフェイス機能は、前記移動体通信端末と前記移動体通信端末外部とのデータのやり取りを行う機能であることを特徴とする請求項7から請求項9までのいずれかに記載の移動体通信端末。
【請求項11】
前記所定インターフェイス機能は、前記移動体通信端末外部から前記所定データに用いる機能を呼び出す機能であることを特徴とする請求項7から請求項9までのいずれかに記載の移動体通信端末。
【請求項12】
さらに、前記所定データがバイナリデータであるか否かの判定をするデータ判定部と、
前記所定データがバイナリデータであると前記データ判定部により判定されるとき、前記データ情報を提示する提示部と、
を備えることを特徴とする、請求項1から請求項11記載までのいずれかに記載の移動体通信端末。
【請求項13】
さらに、前記所定データを実行させる実行部と、
前記データ情報が、所定値を満たすか否かに基づいて前記実行部を実行させるか否かを決定する決定部と、
を備えることを特徴とする、請求項1から請求項12までのいずれかに記載の移動体通信端末。
【請求項14】
前記所定値を決定する信号が記憶される記憶部を備え、
前記前記データ情報が、前記信号に基づく所定値を満たすか否かに基づいて前記実行部を実行させるか否かを前記決定部により決定することを特徴とする、請求項13記載の移動体通信端末。
【請求項15】
所定データが有する機能である他のデータを参照する参照機能により前記他のデータを参照することができる移動体通信方法において、
前記所定データと、前記所定データが有効なデータか否かを識別するデータ識別子と、前記参照機能が有効か否かを示す機能識別子と、に基づいて、
前記所定データが有効なデータであるか否かを前記データ識別子により判定するデータ識別判定ステップと、
前記所定データが有効なデータでないと前記データ識別判定部により判定されるとき、前記参照機能が有効であるか否かを前記機能識別子により判定する機能識別判定ステップと、
前記機能識別判定部の判定結果に基づき、前記通信端末の外部から内部データに記憶される内部データが参照される可能性をデータ情報として設定する設定ステップと、
からなることを特徴とする移動体通信方法。
【請求項16】
所定データが有する機能である他のデータを参照する参照機能により前記他のデータを参照することを実行させる通信端末プログラムにおいて、
前記所定データと、前記所定データが有効なデータか否かを識別するデータ識別子と、前記参照機能が有効か否かを示す機能識別子と、に基づいて
前記所定データが有効なデータであるか否かを前記データ識別子により判定するデータ識別判定ステップと、
前記所定データが有効なデータでないと前記データ識別判定部により判定されるとき、前記参照機能が有効であるか否かを前記機能識別子により判定する機能識別判定ステップと、
前記機能識別判定部の判定結果に基づき、前記通信端末の外部から内部データに記憶される内部データが参照される可能性をデータ情報として設定する設定ステップと、
を実行させることを特徴とする移動体通信プログラム。
【請求項17】
所定データが有する機能である他のデータを参照する参照機能により前記他のデータを参照する動作を実行させる半導体素子において、
前記所定データと、前記所定データが有効なデータか否かを識別するデータ識別子と、前記参照機能が有効か否かを示す機能識別子と、に基づいて、
前記所定データが有効なデータであるか否かを前記データ識別子により判定するデータ識別判定動作と、
前記所定データが有効なデータでないと前記データ識別判定部により判定されるとき、前記参照機能が有効であるか否かを前記機能識別子により判定する機能識別判定動作と、
前記機能識別判定部の判定結果に基づき、前記通信端末の外部から内部データ記憶部に記憶される内部データが参照される可能性をデータ情報として設定する設定動作と、
を実行させることを特徴とする集積回路。
【請求項18】
第1の通信端末からの所定データに関する情報である所定データ情報を受信する受信部と、
前記所定データ情報に基づく危険度と、前記所定データとの対応が記憶された危険度記憶部と、
第2の通信端末が要求する所定データの危険度を、前記第2の通信端末に送信する送信部と、
を備えることを特徴とする、移動体通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【公開番号】特開2008−77548(P2008−77548A)
【公開日】平成20年4月3日(2008.4.3)
【国際特許分類】
【出願番号】特願2006−258564(P2006−258564)
【出願日】平成18年9月25日(2006.9.25)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
【公開日】平成20年4月3日(2008.4.3)
【国際特許分類】
【出願日】平成18年9月25日(2006.9.25)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]