通信端末装置及び計算機装置
【課題】計算機を使用する際に、その計算機が信頼できるものであるかを、容易、継続的、かつ確実に検証できる通信端末装置を提供する。
【解決手段】通信端末装置100は、無線通信手段104と、他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段102と、他の計算機装置との通信に関する暗号処理を行う暗号処理手段103と、インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段101とを備える。
【解決手段】通信端末装置100は、無線通信手段104と、他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段102と、他の計算機装置との通信に関する暗号処理を行う暗号処理手段103と、インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段101とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信端末装置及び計算機装置に関し、特に、計算機のポインティングデバイスとして用いられているマウスと同等の機能があり、且つ、計算機の信頼性を検証できる携帯型通信端末装置に関する。
【背景技術】
【0002】
外出先等で自分の所有物でない計算機を使用する際に、その計算機が信頼できるものであるか検証することができれば、電子商取引や企業のプライベートネットワークへのアクセス等、セキュリティ的にクリティカルな用途にも使用でき、ユーザの利便性が高まる。
【0003】
計算機が信頼できる状態にあることを立証するための仕様がTCPA(TCG)より提案されている(例えば、非特許文献1参照。)が、同仕様は暗号処理をベースとしているため、計算機にその信頼性をチャレンジする実体も暗号処理能力を有するものでなければならない。つまり、外出先等でユーザが計算機の信頼性を検証する際には、暗号処理能力を有する何らかの機器を保持していなければならない。ここで、該機器は携帯性に優れ、かつ、ユーザにとって信頼できるものでなければならない。
【0004】
このため、ユーザがスマートカードを用いて計算機の信頼性を検証する手法が開示されている(例えば、非特許文献2参照。)。スマートカードは携帯性に優れ、かつ、耐タンパー性も有しておりユーザにとって信頼できる機器であるが、I/O機能が無いので、計算機の信頼性検証結果をユーザに伝達する際に工夫が必要である。非特許文献2では、ユーザが予め本人だけが知りうる秘密情報(特定の画像や文言)をスマートカードに保存しておき、スマートカードが計算機にチャレンジして、信頼できるという結果が得られたときのみ、該秘密情報を該計算機に送信し、該計算機のディスプレイに表示させることで、ユーザが該計算機の信頼性を検証することができるようにしている。
【非特許文献1】Compaq Computer Corporation, Hewlett-Packard Company, IBM Corporation, Intel Corporation, Microsoft Corporation、「Trusted Computing Platform Alliance (TCPA) Main Specification Version 1.1b」、22 February 2002、http://www.trustedcomputing.org/docs/main%20v1 1b.pdf
【非特許文献2】Siani Pearson, et al, 「Trusted Computing Platforms: TCPA technology in context」, Published July, 2002 by Prentice Hall PTR, ISBN 0-13-009220-7
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、この手法では、ユーザが計算機使用開始前にその信頼性を検証することはできても、使用開始後に計算機の信頼性が継続していることを容易に認識する仕組みが提供されないので、例えば、使用開始後に計算機がウイルスに侵されてもそのことに気づかず、セキュリティ的に危険な操作をしてしまう可能性が高い。又、本人だけが知りうる秘密情報を繰り返して使用する場合、過去に使用した秘密情報が計算機に残っているので、悪意のある者が該秘密情報を利用して信頼性の無い計算機に該秘密情報を表示させユーザを欺くことができるという問題もある。
【0006】
そこで、本発明は、上記の課題に鑑み、計算機を使用する際に、その計算機が信頼できるものであるかを、容易、継続的、かつ確実に検証できる通信端末装置及び計算機装置を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明の第1の特徴は、無線通信手段を有する通信端末装置であって、(a)他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、(b)暗号処理を行う暗号処理手段と、(c)インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段とを備える通信端末装置であることを要旨とする。ここで、暗号処理手段は、例えば、他の計算機との通信メッセージやインテグリティ測定の検証結果などの暗号処理を行う。
【0008】
第1の特徴に係る通信端末装置によると、計算機を使用する際に、その計算機が信頼できるものであるかを、容易、継続的、かつ確実に検証できる。
【0009】
又、第1の特徴に係る通信端末装置は、インテグリティの測定結果が予め定めた条件を満たす場合、秘密情報を送信する秘密情報送信手段を更に備えてもよい。
【0010】
この通信端末装置によると、計算機において、受信した秘密情報をディスプレイに表示することにより、計算機が信頼できることをより明示的に知覚することができる。
【0011】
又、第1の特徴に係る通信端末装置は、秘密情報を編集する秘密情報編集手段を更に備えてもよい。
【0012】
この通信端末装置によると、秘密情報を任意に編集することができる。
【0013】
又、第1の特徴に係る通信端末装置は、インテグリティを測定するインテグリティ測定手段を更に備えてもよい。
【0014】
この通信端末装置によると、通信端末装置を信頼できることを確信した上で、計算機の信頼を検証することができるので、より安全性が高まる。
【0015】
又、第1の特徴に係る通信端末装置は、インテグリティの検証結果を表示するインテグリティ検証結果表示手段を更に備えてもよい。
【0016】
この通信端末装置によると、通信端末装置を信頼できることをポインティング手段による確認だけでなく、インテグリティ検証結果表示手段を見て2重に確認できるので、より信頼性が高まる。
【0017】
又、第1の特徴に係る通信端末装置は、インテグリティの検証結果を音で示すスピーカ手段を更に備えてもよい。
【0018】
この通信端末装置によると、通信端末装置を信頼できることをポインティング手段による確認だけでなく、スピーカ手段による音で2重に確認できるので、より信頼性が高まる。
【0019】
又、第1の特徴に係る通信端末装置は、インテグリティの検証結果を振動で示す振動発生手段を更に備えてもよい。
【0020】
この通信端末装置によると、通信端末装置を信頼できることをポインティング手段による確認だけでなく、振動発生手段による振動で2重に確認できるので、より信頼性が高まる。
【0021】
又、第1の特徴に係る通信端末装置は、マウスクリックに相当する操作を契機として、他の計算機装置にインテグリティの測定を要求してもよい。
【0022】
この通信端末装置によると、重要なコマンドに相当するマウスクリックを、インテグリティ測定の契機とすることにより、計算機の信頼性をより効果的に検証することができる。
【0023】
又、第1の特徴に係る通信端末装置は、他の計算機装置から電力の供給を受ける電池を更に備えてもよい。
【0024】
この通信端末装置によると、通信端末装置の電池が消耗してインテグリティの検証ができなくなるという事態を回避することが可能となる。又、携帯電話機としての充電機能としても活用できる。
【0025】
又、第1の特徴に係る通信端末装置は、他の計算機装置の実行ログデータを受信するログデータ受信手段と、ログデータを保存する記憶手段とを更に備えてもよい。
【0026】
この通信端末装置によると、計算機で行った操作の履歴を後で検証することができる。
【0027】
本発明の第2の特徴は、無線通信手段を有する通信端末装置であって、(a)他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、(b)暗号処理を行う暗号処理手段と、(c)インテグリティの測定結果が予め定めた条件を満たす場合、キー情報を取得するキー入力手段とを備える通信端末装置であることを要旨とする。
【0028】
第2の特徴に係る通信端末装置によると、計算機を使用する際に、その計算機が信頼できるものであるかを、容易、継続的、かつ確実に検証できる。
【0029】
本発明の第3の特徴は、無線通信手段を有する通信端末装置であって、(a)他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、(b)他の計算機装置との通信に関する暗号処理を行う暗号処理手段と、(c)インテグリティの測定結果が予め定めた条件を満たす場合、他の計算機装置を遠隔操作するための機能を有効にする遠隔操作手段とを備える通信端末装置であることを要旨とする。
【0030】
第3の特徴に係る通信端末装置によると、計算機を使用する際に、その計算機が信頼できるものであるかを、容易、継続的、かつ確実に検証できる。
【0031】
又、第3の特徴に係る通信端末装置の遠隔操作手段は、インテグリティの測定結果が予め定めた条件を満たさない場合、他の計算機装置を遠隔操作するための機能の一部を無効にしてもよい。
【0032】
この通信端末装置によると、信頼性のない計算機装置と通信することを防ぐことができる。
【0033】
又、第1〜第3の特徴に係る通信端末装置は、他の計算機装置に対してユーザ固有の認証情報を送信するユーザ認証情報送信手段を更に備えてもよい。
【0034】
この通信端末装置によると、ユーザがログインのためのキー操作等を行う手間を省くことができる。
【0035】
本発明の第4の特徴は、(a)無線通信手段と、他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、暗号処理を行う暗号処理手段と、インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段とを備える通信端末装置からの要求に応じて、インテグリティを測定するインテグリティ測定手段と、(b)通信端末装置より受信した秘密情報を表示する表示手段とを備える計算機装置であることを要旨とする。
【0036】
第4の特徴に係る計算機装置によると、計算機装置を使用する際に、その計算機装置が信頼できるものであるかを、容易、継続的、かつ確実に検証できる。又、受信した秘密情報をディスプレイに表示することにより、計算機装置が信頼できることをより明示的に知覚することができる。
【0037】
又、第4の特徴に係る計算機装置は、使用終了時に、履歴を抹消する履歴抹消手段を更に備えてもよい。
【0038】
この計算機装置によると、履歴を抹消することで、使用後に他のユーザから操作履歴や秘密情報(ユーザのパスワードや作成した文書等)を盗まれる危険を回避可能となる。
【0039】
本発明の第5の特徴は、(a)無線通信手段と、他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、他の計算機装置の通信に関する暗号処理を行う暗号処理手段と、インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段とを備える通信端末装置からの要求に応じて、インテグリティを測定するインテグリティ測定手段と、(b)通信端末装置から受信したユーザ認証情報を検証し、インテグリティ測定手段が測定するインテグリティをユーザ認証情報に応じて可変させるユーザ認証情報検証手段とを備える計算機装置であることを要旨とする。
【0040】
第5の特徴に係る計算機装置によると、ユーザ毎に異なるセキュリティ要求に動的に対処することができる。
【発明の効果】
【0041】
本発明によると、計算機を使用する際に、その計算機が信頼できるものであるかを、容易、継続的、かつ確実に検証できる通信端末装置及び計算機装置を提供することができる。
【発明を実施するための最良の形態】
【0042】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
【0043】
<第1の実施の形態>
(通信システム)
第1の実施の形態に係る通信システムは、図1に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0044】
通信端末装置100は、通信機能を付加されたPDAや携帯電話やPHS等のような携帯型の無線通信機器であり、計算機装置110のポインティングデバイスとして用いられているマウスと同等の機能があり、且つ、計算機装置110の信頼性を検証できる。
【0045】
通信端末装置100は、図1に示すように、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109を備える。
【0046】
ポインティング手段101は、既存の計算機のマウス(入力装置)と同じ機能を有し、インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得する(詳細は後述)。
【0047】
インテグリティ測定要求手段102は(外部の)計算機に対してインテグリティの測定を要求するコマンドを生成する(詳細は後述)。このコマンドは、ポインティング手段101(の接続ケーブル)を経由して、計算機装置110に送信される。
【0048】
暗号処理手段103は、通信端末装置100と計算機間の認証や計算機の署名データ検証等に用いる各種暗号処理機能を有する。暗号処理手段103は専用のプロセッサとして実現してもよいし、暗号処理をソフトウエアとして記述して、CPU105を用いて実際の処理を行うように実現してもよい。
【0049】
無線通信手段104は、携帯電話網やPHS網や無線LAN等の無線網を介して通信を行う。
【0050】
CPU105は、通信端末装置としての各種処理演算を行う機能を有する。
【0051】
メモリ手段106は、各種データを記憶するためのものであり、磁気ディスクやフラッシュメモリ等によって構成される。例えば、メモリ手段106は、通信端末装置100を制御するソフトウエア(通信ソフトウエアやオペレーティングシステム)やインテグリティ測定処理用ソフトウエアやインテグリティ測定用データ(計算機の製造者が発行した公開鍵等)を記憶する。
【0052】
表示手段107は、液晶ディスプレイ等によって構成され、携帯電話としての表示ユーザインターフェースやインテグリティ測定処理用の表示ユーザインターフェースを提供する手段として用いる。
【0053】
入力手段108は、キーパッド等によって構成され、携帯電話としての入力ユーザインターフェースやインテグリティ測定処理用の入力ユーザインターフェースを提供する手段として用いる。
【0054】
電池109は、通信端末装置100を動作させるために必要な電力を供給するものである。
【0055】
又、変形例として、通信端末装置100の電池109が接続ケーブル203(図2参照)を経由して計算機装置110から電力の供給を受けるようにしてもよい。このようにすると、通信端末装置100の電池109が消耗してインテグリティの検証ができなくなるという事態を回避することが可能となる。又、携帯電話機としての充電機能としても活用できる。
【0056】
計算機装置110は、外部の計算機であり、本発明によりその信頼性を検証する対象である。又、計算機装置110は、通信端末装置100からインテグリティ測定の要求を受けると、インテグリティを測定するインテグリティ測定手段111を備える。測定結果は、接続ケーブルなどを経由して、通信端末装置100に送信される。
【0057】
信頼できる第3者のサーバ装置120は、外部のサーバであり、本発明の変形例(後述)で第3者にインテグリティ測定結果の検証を委ねる際に使用する。
【0058】
次に、通信端末装置100の外観を例示する図2を用いて、ポインティング手段101を詳細に説明する。通信端末装置100は、計算機のマウスと同じ機能を有しており、形状は人間の手のひらに収まるものである。図2に示した例では、近年普及してきた折り畳み型携帯電話の形状をベースとして、マウスとしての機能を付加しているが、折り畳み型でなくてもよいことは勿論である。
【0059】
図2に示すように、折り畳んで使用したときの上面にはクリック操作用のクリックボタン201が2つ配置され、下面には光学センサ202が配置されている。尚、クリックボタン201は1つでもよく、更にスクロール用のホイールを付加してもよい。又、光学センサ202は、ボール型の移動センサでもよい。
【0060】
接続ケーブル203は、通信端末装置100と計算機装置110を接続するもので、USBやPS/2等のコネクタ規格により実現される。尚、接続ケーブル203を有さない、赤外線や電波による無線マウスとして実現してもよい。接続ケーブル203は着脱可能であり、計算機装置110と接続しないときには通信端末装置100から取り外してもよい。
【0061】
クリックボタン201は通常のマウスのクリックボタンに相当するもので、当該ボタンをクリックすることで、ユーザは通信端末装置100と接続された計算機装置110に対してコマンドを発行する。
【0062】
光学センサ202は、発光器と受光器を備え、移動の量・方向・速度を光学的に読み取ることができ、これらのデータが接続ケーブル203を経由して計算機装置110に送信されて、計算機装置110のカーソル移動を指定する。
【0063】
(信頼性検証方法)
次に、図3を用いて、ユーザが信頼できる通信端末装置100(ユーザが所有者であり、常時使用しているので改ざんされていないことを確信できる)を使って、計算機(他人の所有物であり、常時使用していないので、悪意のあるソフトウエアやハードウエアモジュールが付加されていないことを確信できない)の信頼性を検証する処理の流れの一例を説明する。
【0064】
前提として、通信端末装置100は予め計算機装置110が内部の耐タンパー記憶装置(例えばTrusted Platform Module:TPM)に保持している秘密鍵と対をなす公開鍵をメモリ手段106に保持しており、既存の暗号通信プロトコルにより、インテグリティ検証対象である通信相手が間違いなく計算機装置110であることを識別できるものとする。
【0065】
まず、ステップS101において、ユーザは、接続ケーブル203を用いて通信端末装置100と計算機装置110を接続する。
【0066】
次に、ステップS102において、通信端末装置100が計算機装置110に、接続ケーブル203経由でインテグリティ測定を要求する。本発明では、インテグリティ測定要求のプロトコルを特定のものに限定するものではないが、例えば、非特許参考文献2に記載の方法により実現できる。
【0067】
次に、ステップS103において、計算機装置110は、インテグリティ測定の要求を受けると、インテグリティを測定し、測定結果を、接続ケーブル203経由で通信端末装置100に送信する。このインテグリティ測定は、例えば、非特許参考文献2に記載の方法により実現できる。
【0068】
次に、ステップS104において、通信端末装置100は、インテグリティ測定結果が予め定めた条件(例えば、計算機装置110のブートプロセスやOSローダーやOSが想定通りであることを条件としたり、デバイスドライバーや応用ソフトも含めた計算機構成が想定通りであることを条件としたりする)を満たすか検証する。ここで、計算機装置110に、(ユーザの入力情報を盗んだりデータを破壊したりするような)悪意のあるソフトウエアやハードウエアが含まれているとインテグリティ測定結果は予め定めた条件を満たさなくなる。
【0069】
次に、ステップS105において、通信端末装置100は、インテグリティ検証結果を判定する。検証結果がYES(つまり計算機装置110を信頼できる)のときはステップS106に進み、NoのときはステップS107に進む。
【0070】
ステップS106において、通信端末装置100は、ポインティング手段101を機能させ、計算機装置110のマウスとして作用し、この後、計算機の信頼性検証フローは終了する。ここで、ユーザは(自分が信頼する)通信端末装置100が計算機装置110のマウスとして機能することを知覚することで、計算機装置110が信頼できることを確信できる。本発明では、マウスとしての通信端末装置100の動作(カーソル移動方向、距離、速さ)は悪意のある攻撃者にとって予測不可能なので、通信端末装置100がマウスとして機能しているように見せかけてインテグリティ検証結果を偽るような攻撃は実現できない。
【0071】
一方、ステップS107では、計算機装置110が信頼できないので、通信端末装置100のポインティング手段101を機能させずに計算機の信頼性検証フローを終了させる。ここで、ユーザはマウスとしての通信端末装置100の動作に計算機装置110のカーソルが反応しないので、計算機装置110が信頼できないことがわかる。ユーザは、信頼できないことを理解した上で計算機装置110を使用してもよいし(マウスは計算機に付属のものを使う)、使用を取りやめてもよい。
【0072】
(作用及び効果)
第1の実施の形態によると、ユーザは通常所持している携帯電話(通信端末装置100)以外の機器を持たずに外出し、外出先の(他人の)計算機を信頼して使用することが可能となる(計算機が信頼できないときは確実に知覚できる)。又、信頼を確認するために、携帯電話をマウスとして使用すること以外に特別な操作は不要である。
【0073】
(変形例)
第1の実施の形態の変形例として、信頼できる第3者のサーバ装置120(例えば、携帯電話事業者が運営する)を用いて、サーバ装置120にインテグリティ測定結果の検証を委ねることとしてもよい。図4は本変形例の処理の流れの一例を示す図である。図4を用いて、本変形例を説明する。尚、図4中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0074】
前提として、サーバ装置120は、予め計算機装置110が内部の耐タンパー記憶装置(例えばTrusted Platform Module:TPM)に保持している秘密鍵と対をなす公開鍵を保持しており、インテグリティ測定対象が計算機装置110であることを識別できるものとする。
【0075】
本変形例では、図3のステップS104をステップS201、202、203で置き換える。
【0076】
つまり、ステップS201において、通信端末装置100は、計算機装置110から送られてきたインテグリティ測定結果を、無線通信手段104を用いて、サーバ装置120に送信する。
【0077】
次に、ステップS202において、サーバ装置120は、インテグリティ測定結果が予め定めた条件を満たすか検証する。
【0078】
次に、ステップS203において、サーバ装置120は、無線通信手段104を経由して、検証結果を通信端末装置100に送信する。
【0079】
そして、通信端末装置100は、ステップS105〜107の既述の処理を行う。
【0080】
本変形により、通信端末装置100が予め計算機装置110の公開鍵を保持していなくても計算機装置110を信頼して使用することが可能となる。又、インテグリティ測定結果の検証処理をサーバ装置120に委ねることで、通信端末装置100の計算リソース(演算処理や検証条件の記憶領域)を節約できるという利点もある。
【0081】
又、別の変形例として、インテグリティ測定をウイルス検査やセキュリティパッチファイルの更新状況検査と置き換えてもよい。その際、通信端末装置100がウイルス定義ファイルのバージョンやセキュリティパッチファイルの組み合わせを指定するようにしてもよい。この変形により、上述の方法よりも簡易な方法(計算機装置110がTPM を内蔵しなくてもよい)で、計算機装置110が信頼できるか検証できるようになる。但し、基本ソフトを含む計算機構成の改ざんは検知できない。
【0082】
更に、別の変形例として、計算機装置110(ここでは、ポインティング用パッドやボタンがついたノートPCを想定)がステップS103で自身のポインティング機能を無効化するようにしてもよい。本変形により、通信端末装置100をマウスとして使うのではなく、計算機装置110のポインティング機能を使うことで、信頼性がない計算機装置110を誤って使用する危険を回避することができる。
【0083】
<第2の実施の形態>
(通信システム)
第2の実施の形態に係る通信システムは、図5に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0084】
第2の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、秘密情報送信手段501、秘密情報編集手段502を備える。
【0085】
メモリ手段106は、通信端末装置100のユーザ本人だけが知り得るような秘密情報を予め記憶する。
【0086】
秘密情報編集手段502は、秘密情報を編集する。秘密情報編集手段502の詳細については、後述する。
【0087】
秘密情報送信手段501は、計算機装置110のインテグリティ検証結果が予め定めた条件を満たしたときのみ、秘密情報を計算機装置110に送信する。
【0088】
通信端末装置100のその他の手段は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0089】
計算機装置110は、インテグリティ測定手段111、表示手段112、履歴抹消手段113を備える。
【0090】
表示手段112は、通信端末装置100から送信された秘密情報を表示する。このとき、ユーザは、本人だけが知り得る秘密情報が表示されることを確認することで、計算機装置110を信頼することができる。
【0091】
履歴抹消手段113は、計算機装置110の使用を中止するとき(ログオフやシャットダウンコマンド発行時)に、使用前の状態(ログオンやブート前)に各種設定やデータを戻す、即ち履歴を抹消する。履歴抹消機能は、既存技術で容易に実現できる。例えば、使用前に各種設定やデータのスナップショットを記憶しておき、使用を中止するときに各種設定やデータをスナップショットと置き換えればよい。このように履歴を抹消することで、使用後に他のユーザから操作履歴や秘密情報(ユーザのパスワードや作成した文書等)を盗まれる危険を回避可能となる。
【0092】
計算機装置110のその他の手段、サーバ装置120については、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0093】
(信頼性検証方法)
図6は、第2の実施形態に係る処理の流れの一例を示す図である。図6を用いて本実施例をより詳細に説明する。尚、図6中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0094】
前提として、通信端末装置100のメモリ手段106には予めユーザだけが知りうる任意の秘密情報が記憶されているものとする。秘密情報は例えば、任意の色でもよいし、任意の文字列でもよいし、任意の画像でもよい。又、秘密情報は複数あってもよい。更に、秘密情報をインテグリティ検証結果が予め定めた条件を満たすときに使用するものと、条件を満たさないときに使用するものの2通りに分類しておいてもよい(後者の用途は後述する)。ここで、秘密情報編集手段502を用いて、ユーザが好みの秘密情報を登録したり、変更したりできるようにしてもよい。秘密情報編集手段502は、表示手段107及び入力手段108にその機能を持たせるように実現してもよい。例えば、液晶をディスプレイ(表示手段107)を確認しながらキーパッド(秘密情報編集手段502)を用いて任意の文字列を入力し、文字列を登録する。又、編集用プログラムをメモリ手段106に保持しておき、CPU 105で処理するように実現してもよい。更に、近年の携帯電話で普及してきたカメラ機能を用いて実現することで、ユーザが撮影した任意の画像を秘密情報として登録できるようにしてもよい。更に、無線通信手段104を用いて、ネットワーク上の任意のサーバ(WEBサイト)から好みの情報(例えば画像)をダウンロードして、それを秘密情報として登録できるようにしてもよい。
【0095】
第2の実施の形態では、図3のステップS106以降に、ステップS301、S302の処理が付加される。
【0096】
ステップS106において、通信端末装置100は、ポインティング手段101を機能させ、計算機装置110のマウスとして作用するが、その直後に(同時でもよいし、その直前でもよい) ステップS301において、秘密情報送信手段501を用いて、計算機装置110に接続ケーブル203経由で秘密情報を送信する。
【0097】
秘密情報送信手段501は、インテグリティ検証結果に応じて送信する秘密情報の選択等の管理を行うものであり、例えば、プログラムとして記述されCPU105によって処理される。
【0098】
次に、ステップS302で、計算機装置110は、受信した秘密情報をディスプレイに表示して、処理を終了する。例えば、秘密情報がカーソル色=緑色とされていたら、計算機装置110のディスプレイ上のカーソル(これは通信端末装置100のポインティング手段101で操作される)が緑色で表示される。
【0099】
(作用及び効果)
第2の実施の形態では、計算機装置110において、受信した秘密情報をディスプレイに表示することにより、ユーザは計算機装置110が信頼できることをより明示的に知覚することができる。第1の実施の形態では、マウスとして機能することで知覚できるのでそれでも十分であるが、秘密情報の表示が追加されることでユーザの安心感がより高まる。これは、特に、通信端末装置100にインテグリティ検証機能をオフにする機能が備わっていて単にマウスとして使用できるときに、ユーザが誤ってオフのまま計算機装置110を信頼して使用するリスクを回避することに有用である。
【0100】
(変形例)
上述した、秘密情報送信手段501は、インテグリティ検証結果に応じて送信する秘密情報の選択等の管理を行うが、変形例として、秘密情報送信手段501が、過去に送信した秘密情報を繰り返して使わないように管理してもよい。ここで、使用禁止とする繰り返しの回数を任意の値に設定できるようにしてもよいし、同一の計算機装置110に対して同一の秘密情報を繰り返して使わないように設定してもよい。又、現在使用している秘密情報を通信端末装置100の表示手段107に表示して、計算機装置110のディスプレイ上に表示されているものと同一であるか、ユーザに知覚させるようにしてもよい
一度使用した秘密情報は計算機装置110に記憶されて(悪意のある)第3者に盗まれる可能性がある。又、ディスプレイ上に表示されている秘密情報は第3者に覗き見されて盗まれる可能性がある。本変形により、たとえ秘密情報が第3者に盗まれても、次回は異なる秘密情報用いるので、より安全性が高まる。
【0101】
<第3の実施の形態>
(通信システム)
第3の実施の形態に係る通信システムは、図7に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0102】
第3の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、インテグリティ測定手段701を備える。
【0103】
インテグリティ測定手段701は、既存の手法により実現でき、例えば、耐タンパー性を有するTPMを使用することで機能する(非特許文献2参照)。
【0104】
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0105】
(信頼性検証方法)
第3の実施の形態では、図3のフローを開始する前の準備として、先ず、ユーザが通信端末装置100の入力手段108を用いて通信端末装置100自身のインテグリティ測定コマンドを発行する。このコマンドを受け、通信端末装置100は、自身のインテグリティを測定し、インテグリティ測定結果をTPM内に封印された秘密鍵を用いて暗号化し、サーバ装置120(これは、例えば、携帯電話事業者が運営するもので、通信端末装置100を識別することが可能であり、かつ、当該秘密鍵に対応する公開鍵を保持している)に送信する。サーバ装置120は、当該秘密鍵に対応する公開鍵を用いてインテグリティ測定結果を検証し、検証結果をサーバ装置120上(他のサーバでもよい)に保存し、そのネットワークアドレス(例えばURL)を通信端末装置100に送信する。ユーザは、通信端末装置100の無線通信手段104を用いて、ネットワークアドレスにアクセスし、検証結果を知ることができる。検証結果が予め定めた条件を満たしていれば、通信端末装置100を信頼することができ、図3のフローを開始する。
【0106】
(作用及び効果)
第1及び第2の実施の形態では、通信端末装置100が信頼できるという前提があったが、第3の実施の形態では、ユーザが通信端末装置100を信頼できることを確信した上で、計算機装置110の信頼を検証することができるので、より安全性が高まる。
【0107】
<第4の実施の形態>
(通信システム)
第4の実施の形態に係る通信システムは、図8に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0108】
第4の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、インテグリティ検証結果表示手段801を備える。
【0109】
インテグリティ検証結果表示手段801はLEDや液晶ディスプレイで実現され、インテグリティ検証結果を表示する。
【0110】
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0111】
図9は、第4の実施の形態に係る通信端末装置100の外観を例示する図であり、同図にあるように液晶ディスプレイ901(=インテグリティ検証結果表示手段801)をマウスとして使用する際の上面に配置すると使い勝手が向上するが、他の配置でもよいことは勿論である。又、携帯電話としてのディスプレイ(=表示手段107)に機能を兼務させてもよい。
【0112】
(信頼性検証方法)
図10は、第4の実施の形態に係る処理の流れの一例を示す図である。図10を用いて本実施例をより詳細に説明する。尚、図10中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0113】
ステップS105の検証結果がYESのときは、ステップS401において、インテグリティ検証結果表示手段801に検証結果が成功であることを表示して、ステップS106に進む(表示例は図9の「OK」)。
【0114】
一方、ステップS105の検証結果がNoのときは、ステップS402において、インテグリティ検証結果表示手段801に検証結果が失敗であることを表示して、ステップS107に進む(表示例は図9の「OK」を「NG」で置き換える)。但し、ステップS402は省略してもよい。
【0115】
(作用及び効果)
第4の実施の形態では、ユーザが通信端末装置100を信頼できることをマウス機能による確認だけでなく、通信端末装置100のインテグリティ検証結果表示手段801を見て2重に確認できるので、より信頼性が高まる。第1〜第3の実施の形態で説明したように、マウスとして機能することで知覚できるのでそれでも十分であるが、信頼できる通信端末装置100に検証結果の表示が追加されることでユーザの安心感がより高まる。これは、特に、通信端末装置100にインテグリティ検証機能をオフにする機能が備わっていて単にマウスとして使用できるときに、ユーザが誤ってオフのまま計算機装置110を信頼して使用するリスクを回避することに有用である。
【0116】
<第5の実施の形態>
(通信システム)
第5の実施の形態に係る通信システムは、図11に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0117】
第5の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、スピーカ手段1101を備える。
【0118】
スピーカ手段1101は、既存のスピーカであり、携帯電話としてのスピーカに機能を兼務させてもよい。スピーカ手段1101は、インテグリティ検証結果を音で示す機能を有する。
【0119】
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0120】
(信頼性検証方法)
第5の実施の形態では、図10のステップS401を「検証結果の表示」ではなく「検証結果を音(予め成功を示すために決めていた音)で示す」と置き換えることで実現できる。同様にステップS402も「検証結果の表示」ではなく「検証結果を音(予め失敗を示すために決めていた音)で示す」と置き換える。
【0121】
(作用及び効果)
第5の実施の形態では、ユーザが通信端末装置100を信頼できることをマウス機能による確認だけでなく、通信端末装置100のスピーカ手段1101からの音によって2重に確認できるので、より信頼性が高まる。第1〜第3の実施の形態で説明したように、マウスとして機能することで知覚できるのでそれでも十分であるが、信頼できる通信端末装置100に検証結果の表示が追加されることでユーザの安心感がより高まる。これは、特に、通信端末装置100にインテグリティ検証機能をオフにする機能が備わっていて単にマウスとして使用できるときに、ユーザが誤ってオフのまま計算機装置110を信頼して使用するリスクを回避することに有用である。
【0122】
<第6の実施の形態>
(通信システム)
第6の実施の形態に係る通信システムは、図12に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0123】
第6の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、振動発生手段1201を備える。
【0124】
振動発生手段1201は既存の振動発生器であり、携帯電話としての振動発生器に機能を兼務させてもよい。振動発生手段1201は、インテグリティ検証結果を振動で示す機能を有する。
【0125】
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0126】
(信頼性検証方法)
第6の実施の形態では、図10のステップS401を「検証結果の表示」ではなく「検証結果を振動(予め成功を示すために決めていたパターン)で示す」と置き換えることで実現できる。同様にステップS402も「検証結果の表示」ではなく「検証結果を振動(予め失敗を示すために決めていたパターン)で示す」と置き換える。又、検証結果を示す際に、表示、音、振動を任意に組み合わせてもよい。
【0127】
(作用及び効果)
第6の実施の形態では、ユーザが通信端末装置100を信頼できることをマウス機能による確認だけでなく、通信端末装置100振動発生手段1201からの振動によって2重に確認できるので、より信頼性が高まる。第1〜第3の実施の形態で説明したように、マウスとして機能することで知覚できるのでそれでも十分であるが、信頼できる通信端末装置100に検証結果の表示が追加されることでユーザの安心感がより高まる。これは、特に、通信端末装置100にインテグリティ検証機能をオフにする機能が備わっていて単にマウスとして使用できるときに、ユーザが誤ってオフのまま計算機装置110を信頼して使用するリスクを回避することに有用である。
【0128】
<第7の実施の形態>
(通信システム)
第7の実施の形態に係る通信システムは、図1に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。通信端末装置100、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0129】
(信頼性検証方法)
第7の実施の形態では、計算機装置110の信頼性を継続的に検証する他の方法を説明する。
【0130】
図13は、本実施例の処理の流れの一例を示す図である。尚、図13中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0131】
図13のステップS106において、通信端末装置100は、ポインティング手段を機能させ、計算機装置110のマウスとして作用する。
【0132】
次に、ステップS501において、マウスのクリックボタン201をユーザがクリックすると、ステップS102に戻り、以降の処理を繰り返す。尚、図13のフローは計算機装置110の信頼性が継続している間は終了しないこととする。
【0133】
(作用及び効果)
第7の実施の形態では、計算機装置110の使用開始時には信頼性を検証できても、使用中に(ウイルスに感染したり他の計算機装置から攻撃を受けたりして)信頼性が損なわれても、それを検知できるので安全性が高まる。ここで、インテグリティ測定の契機をマウスクリックとしたのは(多くのアプリケーションで)それが、重要なコマンド(例えば、電子商取引の実行であったり、新しいプログラムの実行であったりする)に相当するからであり、そのようなコマンド発行時に計算機装置110の信頼性を検証することは効果的である。尚、コマンド発行後に信頼性が損なわていることが判明しても困るが、重要なコマンドは確認のために再度コマンド発行(=マウスクリック)を求めることとすれば(プログラムをそのように書く)、自己を未然に防ぐこともできる(2回目の確認コマンド発行前にステップS107に進み、通信端末装置100のポインティング手段101が機能しなくなる)。
【0134】
(変形例)
ここで、変形例としてマウスクリックを左ボタンだけに限定したり、マウスクリックを契機としたりするのではなく、予め定めた時間間隔で自動的にステップS102に戻るようにしてもよい。又、ステップS107を変形して、秘密情報送信手段501を用いて計算機装置110に接続ケーブル203経由で検証失敗を示す秘密情報を送信し、計算機装置110が秘密情報をディスプレイに表示してフローを終了してもよい。
【0135】
<第8の実施の形態>
(通信システム)
第8の実施の形態に係る通信システムは、図14に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0136】
第8の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、ログデータ受信手段1401、記憶手段1402を備える。
【0137】
ログデータ受信手段1401は、接続ケーブル203を経由して計算機装置110のログデータ(操作ログや実行ログ等)を受信する。
【0138】
記憶手段1402は、メモリ手段106に機能を兼務させるように実現してもよいし、専用のフラッシュメモリやハードディスク等の記憶手段により実現してもよく、ログデータ受信手段1401で得たログデータを記憶する。
【0139】
ログデータは、計算機装置110で行った操作の履歴を後で検証する必要が生じたときに使用する。例えば、電子商取引の実行を行ったのに、取引先から実行が行われなかったという指摘をされても、実行を主張するための証拠として利用できる。ログデータ送信の実行契機は計算機装置110の使用を中止するとき(ログオフやシャットダウンコマンド発行時)でもよいし、予め定めた時間間隔で繰り返してもよいし(ログの増分のみを送るようにしてもよい)、ログのデータ量が予め定めた値に達したときに繰り返してもよい(ログの増分のみを送るようにしてもよい)。
【0140】
又、記憶手段1402に保存したログデータを無線通信手段104経由でサーバ装置120に送信するように変形してもよい。この変形により、(計算機としてのリソースに余裕がある)サーバでログを解析して、計算機装置110で適切な実行がなされたのか監査することが可能となる。
【0141】
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0142】
(作用及び効果)
第8の実施の形態によると、計算機装置110で行った操作の履歴を後で検証することができる。
【0143】
<第9の実施の形態>
(通信システム)
第9の実施の形態に係る通信システムは、図1に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0144】
第9の実施の形態では、通信端末装置100のポインティング手段101をキー入力手段と置き換える。キー入力手段は、計算機装置110のキーボードと同等の操作機能を有し、インテグリティの測定結果が予め定めた条件を満たす場合、キー情報を取得する
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0145】
(信頼性検証方法)
第9の実施の形態では、図3のステップS106は、「ポインティング手段を機能させ、マウスとして作用する」のではなく「キー入力手段を機能させ、(接続ケーブル203経由で)計算機キーボードとして作用する」となる。
【0146】
(作用及び効果)
第9の実施の形態によると、第1の実施の形態と同様に、ユーザは通常所持している携帯電話(通信端末装置100)以外の機器を持たずに外出し、外出先の(他人の)計算機を信頼して使用することが可能となる(計算機が信頼できないときは確実に知覚できる)。
【0147】
<第10の実施の形態>
(通信システム)
第10の実施の形態に係る通信システムは、図15に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0148】
第10の実施の形態では、第1の実施形態における通信端末装置100のポインティング手段101の代わりに、遠隔操作手段1501を備える。
【0149】
遠隔操作手段1501は、計算機装置110のリモコンと同等の操作機能を有し、インテグリティの測定結果が予め定めた条件を満たす場合、(ユーザからの)遠隔操作情報を取得し、遠隔操作するための機能を有効にする。又、遠隔操作手段1501は、インテグリティの測定結果が予め定めた条件を満たさない場合、遠隔操作するための機能の一部を無効にする。
【0150】
ここで、リモコンとは、例えば、計算機を使用したエンターテイメント(ゲーム、音楽鑑賞、動画視聴等)を手元で操作するための携帯機器を指す。このような携帯機器として、「Media Center PC Features(http://www.microsoft.com/windowsxp/mediacenter/evaluation/features.mspx)」に製品の一例に関する情報を示す。また、リモコンと計算機装置110の通信は有線でも無線でもよい。
【0151】
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。但し、計算機装置110はパソコンに限定するものではなく、メディアサーバー、ゲーム機器、DVD再生/録画機器、音響機器等、CPUを有するものであればいかなるデバイスであってもよい。
【0152】
(信頼性検証方法)
図16は、第10の実施形態に係る処理の流れの一例を示す図である。図16を用いて本実施例をより詳細に説明する。尚、図16中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0153】
図16のステップS601において、通信端末装置100は、遠隔操作手段1501を機能させ、計算機リモコンとして作用する。
【0154】
(変形例)
ここで変形例として、インテグリティ測定を計算機装置110の(特定の)コンテンツ著作権保護仕様対応状況と置き換えてもよい。例えば、Content Protection for Recordable Media(CPRM)対応デバイス(計算機装置110に相当)はユニークなデバイス鍵を保持するが、図3のステップS104において、デバイス鍵が現在有効かつ本物であることを検証することをインテグリティ検証とする。
【0155】
(作用及び効果)
第10の実施の形態によると、第1の実施の形態と同様に、ユーザは通常所持している携帯電話(通信端末装置100)を用いて、他の計算機を信頼して使用することが可能となる(計算機が信頼できないときは確実に知覚できる)。又、遠隔操作手段1501は、インテグリティの測定結果が予め定めた条件を満たさない場合、遠隔操作するための機能の一部を無効にすることにより、信頼性のない計算機装置110と通信することを防ぐことができる。
【0156】
また、変形例の形態によると、コンテンツ著作権保護仕様に準拠していないデバイスの誤使用を防ぐことも可能となる。
【0157】
<第11の実施の形態>
(通信システム)
第11の実施の形態に係る通信システムは、図15に示す第10の実施の形態と同様であるので、ここでは説明を省略する。
【0158】
(信頼性検証方法)
図17は、本実施例の処理の流れの一例を示す図である。尚、図17中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0159】
図17のステップS701において、通信端末装置100は、遠隔操作手段の一部を機能させ、リモコンとして作用する。ここで、機能の一部をコンテンツ著作権保護に関わらない部分に限定する。例えば、ディスプレイのオンオフ、音量調整、画質調整、対象が無料コンテンツであるときのコンテンツ切り替え(チャンネル)、時間情報表示のオンオフ等、に限定する。
【0160】
(作用及び効果)
第11の実施の形態によると、計算機装置110のインテグリティ検証に失敗しても、通信端末装置100は、コンテンツ著作権保護を侵害することなく、リモコンの基本機能の提供は継続することが可能になる。
【0161】
<第12の実施の形態>
(通信システム)
第12の実施の形態に係る通信システムは、図18に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0162】
第12の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、ユーザ認証情報送信手段1801を備える。
【0163】
メモリ手段106は、ユーザ固有のユーザ認証情報を予め記憶する。
【0164】
ユーザ認証情報送信手段1801は、計算機装置110のインテグリティ検証結果が予め定めた条件を満たしたときのみ、ユーザ認証情報を計算機装置110に送信する。
【0165】
通信端末装置100のその他の手段は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0166】
計算機装置110は、インテグリティ測定手段111とユーザ認証情報検証手段114を備える。
【0167】
ユーザ認証情報検証手段114は、通信端末装置100から受信したユーザ認証情報を検証し、インテグリティ測定手段111が測定するインテグリティをユーザ認証情報に応じて可変させる。
【0168】
第12の実施の形態に関わるインテグリティ測定手段111の詳細については、後述する。計算機装置110のその他の手段、及び、サーバ装置120については、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0169】
(信頼性検証方法)
図19は、第12の実施形態に係る処理の流れの一例を示す図である。図19を用いて本実施例をより詳細に説明する。尚、図19中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0170】
前提として、通信端末装置100のメモリ手段106には予めユーザを識別できるユーザ認証情報が記憶されているものとする。ユーザ認証情報は例えば、任意の文字列(ユーザIDとパスワードの組)でもよいし、指紋等の生体情報でもよい。また、ユーザ認証情報は、通信事業会社が発行する契約者情報でもよい。この場合、メモリ手段106をUser Identity Module(UIM)等の着脱式ICカードで代替させてもよい。
【0171】
第12の実施形態では、図3のステップS106以降に、ステップS801 、S802 の処理が付加される。ステップS106において、通信端末装置100は、ポインティング手段101を機能させ、計算機装置110のマウスとして作用するが、その直後に(同時でもよいし、その直前でもよい) ステップS801において、ユーザ認証情報送信手段1801を用いて、計算機装置110に接続ケーブル203経由でユーザ認証情報を送信する。次に、ステップS802で、計算機装置110は、受信したユーザ認証情報を検証して、処理を終了する。
【0172】
(作用及び効果)
第12の実施の形態によると、ステップS802におけるユーザ認証情報の検証結果は、様々な用途に利用可能であり、例えば、検証に成功したときはユーザ情報を用いて自動的に計算機装置110にログインできるようにすることで、ユーザがログインのためのキー操作等を行う手間を省くことができる。また、ユーザ認証情報が契約者情報である場合は、検証に成功したときは、計算機装置110の利用料金課金または計算機装置110で受けるサービス(例えば、電子商取引)の利用料金課金を通信事業会社経由で行うことも可能になる。従来の計算機装置には課金のために信頼できるハードウエアモジュールが存在しなかったが、通信端末装置100(またはUIM)を信頼できるハードウエアモジュールとして利用することで安全な課金サービスが実現できる。
【0173】
(変形例)
ここで、変形例として、ユーザを識別できるユーザ認証情報を予めメモリ手段106に記憶させておくのではなく、必要なときに(例えばステップS801において)、ユーザに入力を促すようにしてもよい。ユーザは、例えば、入力手段108のキーパッドを用いてユーザIDとパスワードを入力する。また、他の例として、入力手段108(の一部)を指紋読取り手段で代替させて、ユーザは指紋読取り手段に指紋情報を入力する。
【0174】
このように、必要なときにユーザ認証情報を入力することで、通信端末装置100が盗難(または紛失)に遭っても、正規のユーザではない者が通信端末装置100を悪用して計算機装置110を使用するという事態を回避することが可能になる。
【0175】
<第13の実施の形態>
(通信システム)
第13の実施の形態に係る通信システムは、図18に示す第12の実施の形態と同様であるので、ここでは説明を省略する。
【0176】
(信頼性検証方法)
図20は、第13の実施形態に係る処理の流れの一例を示す図である。図20を用いて本実施例をより詳細に説明する。尚、図20中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0177】
第13の実施形態では、図3のステップS102以降に、ステップS901 、S902、S903 の処理が付加される。ステップS901において、通信端末装置100は、ユーザ認証情報送信手段1801を用いて、計算機装置110に接続ケーブル203経由でユーザ認証情報を送信する。尚、本発明では、ステップS102とステップS901は同時に処理してもよいし、ステップS901とステップS102の処理の順序を入れ替えてもよい。次に、ステップS902で、計算機装置110は、受信したユーザ認証情報を検証し、ステップS903に進む。ステップS903において、計算機装置110は、ユーザ認証情報に応じてインテグリティ測定対象を決定する。例えば、一般ユーザであればウイルス検査やセキュリティパッチファイルの更新状況検査を実行することとし、管理者権限を有するユーザや計算機装置110の所有者であれば基本ソフトを含む計算機構成の改ざん検査を実行することとする。
【0178】
(作用及び効果)
第13の実施の形態によると、ステップS902におけるユーザ認証情報の検証結果を利用することで、ユーザ毎に異なるセキュリティ要求に動的に対処することができる。例えば、一般ユーザであれば簡易なインテグリティ測定を実施することで、計算機装置110の処理を待つ時間(ステップS103 に要する時間)を短縮可能となり、利便性が向上する。一方、電子著作権管理や電子商取引や企業情報システムへのアクセス等、高度な安全性が求められる処理を行うユーザはそのユーザ認証情報によって特定される(企業の社員識別番号や電子商取引プロバイダへのアカウント情報で特定される)ので、それに見合ったより厳密なインテグリティ測定を実施することで安全性を高めることができる。
【図面の簡単な説明】
【0179】
【図1】第1の実施の形態に係る通信システムの構成ブロック図である。
【図2】第1の実施の形態に係るポインティング手段の外観図である。
【図3】第1の実施の形態に係る信頼性検証方法を示すフローチャートである(その1)。
【図4】第1の実施の形態に係る信頼性検証方法を示すフローチャートである(その2)。
【図5】第2の実施の形態に係る通信システムの構成ブロック図である。
【図6】第2の実施の形態に係る信頼性検証方法を示すフローチャートである。
【図7】第3の実施の形態に係る通信システムの構成ブロック図である。
【図8】第4の実施の形態に係る通信システムの構成ブロック図である。
【図9】第4の実施の形態に係るポインティング手段の外観図である。
【図10】第4の実施の形態に係る信頼性検証方法を示すフローチャートである。
【図11】第5の実施の形態に係る通信システムの構成ブロック図である。
【図12】第6の実施の形態に係る通信システムの構成ブロック図である。
【図13】第7の実施の形態に係る信頼性検証方法を示すフローチャートである。
【図14】第8の実施の形態に係る通信システムの構成ブロック図である。
【図15】第10の実施の形態に係る通信システムの構成ブロック図である。
【図16】第10の実施の形態に係る信頼性検証方法を示すフローチャートである。
【図17】第11の実施の形態に係る信頼性検証方法を示すフローチャートである。
【図18】第12の実施の形態に係る通信システムの構成ブロック図である。
【図19】第12の実施の形態に係る信頼性検証方法を示すフローチャートである。
【図20】第13の実施の形態に係る信頼性検証方法を示すフローチャートである。
【符号の説明】
【0180】
100…通信端末装置
101…ポインティング手段
102…インテグリティ測定要求手段
103…暗号処理手段
104…無線通信手段
105…CPU
106…メモリ手段
107…表示手段
108…入力手段
109…電池
110…計算機装置
111…インテグリティ測定手段
112…表示手段
113…履歴抹消手段
120…サーバ装置
201…クリックボタン
202…光学センサ
203…接続ケーブル
501…秘密情報送信手段
502…秘密情報編集手段
701…インテグリティ測定手段
801…インテグリティ検証結果表示手段
901…液晶ディスプレイ
1101…スピーカ手段
1201…振動発生手段
1401…ログデータ受信手段
1402…記憶手段
【技術分野】
【0001】
本発明は、通信端末装置及び計算機装置に関し、特に、計算機のポインティングデバイスとして用いられているマウスと同等の機能があり、且つ、計算機の信頼性を検証できる携帯型通信端末装置に関する。
【背景技術】
【0002】
外出先等で自分の所有物でない計算機を使用する際に、その計算機が信頼できるものであるか検証することができれば、電子商取引や企業のプライベートネットワークへのアクセス等、セキュリティ的にクリティカルな用途にも使用でき、ユーザの利便性が高まる。
【0003】
計算機が信頼できる状態にあることを立証するための仕様がTCPA(TCG)より提案されている(例えば、非特許文献1参照。)が、同仕様は暗号処理をベースとしているため、計算機にその信頼性をチャレンジする実体も暗号処理能力を有するものでなければならない。つまり、外出先等でユーザが計算機の信頼性を検証する際には、暗号処理能力を有する何らかの機器を保持していなければならない。ここで、該機器は携帯性に優れ、かつ、ユーザにとって信頼できるものでなければならない。
【0004】
このため、ユーザがスマートカードを用いて計算機の信頼性を検証する手法が開示されている(例えば、非特許文献2参照。)。スマートカードは携帯性に優れ、かつ、耐タンパー性も有しておりユーザにとって信頼できる機器であるが、I/O機能が無いので、計算機の信頼性検証結果をユーザに伝達する際に工夫が必要である。非特許文献2では、ユーザが予め本人だけが知りうる秘密情報(特定の画像や文言)をスマートカードに保存しておき、スマートカードが計算機にチャレンジして、信頼できるという結果が得られたときのみ、該秘密情報を該計算機に送信し、該計算機のディスプレイに表示させることで、ユーザが該計算機の信頼性を検証することができるようにしている。
【非特許文献1】Compaq Computer Corporation, Hewlett-Packard Company, IBM Corporation, Intel Corporation, Microsoft Corporation、「Trusted Computing Platform Alliance (TCPA) Main Specification Version 1.1b」、22 February 2002、http://www.trustedcomputing.org/docs/main%20v1 1b.pdf
【非特許文献2】Siani Pearson, et al, 「Trusted Computing Platforms: TCPA technology in context」, Published July, 2002 by Prentice Hall PTR, ISBN 0-13-009220-7
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、この手法では、ユーザが計算機使用開始前にその信頼性を検証することはできても、使用開始後に計算機の信頼性が継続していることを容易に認識する仕組みが提供されないので、例えば、使用開始後に計算機がウイルスに侵されてもそのことに気づかず、セキュリティ的に危険な操作をしてしまう可能性が高い。又、本人だけが知りうる秘密情報を繰り返して使用する場合、過去に使用した秘密情報が計算機に残っているので、悪意のある者が該秘密情報を利用して信頼性の無い計算機に該秘密情報を表示させユーザを欺くことができるという問題もある。
【0006】
そこで、本発明は、上記の課題に鑑み、計算機を使用する際に、その計算機が信頼できるものであるかを、容易、継続的、かつ確実に検証できる通信端末装置及び計算機装置を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明の第1の特徴は、無線通信手段を有する通信端末装置であって、(a)他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、(b)暗号処理を行う暗号処理手段と、(c)インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段とを備える通信端末装置であることを要旨とする。ここで、暗号処理手段は、例えば、他の計算機との通信メッセージやインテグリティ測定の検証結果などの暗号処理を行う。
【0008】
第1の特徴に係る通信端末装置によると、計算機を使用する際に、その計算機が信頼できるものであるかを、容易、継続的、かつ確実に検証できる。
【0009】
又、第1の特徴に係る通信端末装置は、インテグリティの測定結果が予め定めた条件を満たす場合、秘密情報を送信する秘密情報送信手段を更に備えてもよい。
【0010】
この通信端末装置によると、計算機において、受信した秘密情報をディスプレイに表示することにより、計算機が信頼できることをより明示的に知覚することができる。
【0011】
又、第1の特徴に係る通信端末装置は、秘密情報を編集する秘密情報編集手段を更に備えてもよい。
【0012】
この通信端末装置によると、秘密情報を任意に編集することができる。
【0013】
又、第1の特徴に係る通信端末装置は、インテグリティを測定するインテグリティ測定手段を更に備えてもよい。
【0014】
この通信端末装置によると、通信端末装置を信頼できることを確信した上で、計算機の信頼を検証することができるので、より安全性が高まる。
【0015】
又、第1の特徴に係る通信端末装置は、インテグリティの検証結果を表示するインテグリティ検証結果表示手段を更に備えてもよい。
【0016】
この通信端末装置によると、通信端末装置を信頼できることをポインティング手段による確認だけでなく、インテグリティ検証結果表示手段を見て2重に確認できるので、より信頼性が高まる。
【0017】
又、第1の特徴に係る通信端末装置は、インテグリティの検証結果を音で示すスピーカ手段を更に備えてもよい。
【0018】
この通信端末装置によると、通信端末装置を信頼できることをポインティング手段による確認だけでなく、スピーカ手段による音で2重に確認できるので、より信頼性が高まる。
【0019】
又、第1の特徴に係る通信端末装置は、インテグリティの検証結果を振動で示す振動発生手段を更に備えてもよい。
【0020】
この通信端末装置によると、通信端末装置を信頼できることをポインティング手段による確認だけでなく、振動発生手段による振動で2重に確認できるので、より信頼性が高まる。
【0021】
又、第1の特徴に係る通信端末装置は、マウスクリックに相当する操作を契機として、他の計算機装置にインテグリティの測定を要求してもよい。
【0022】
この通信端末装置によると、重要なコマンドに相当するマウスクリックを、インテグリティ測定の契機とすることにより、計算機の信頼性をより効果的に検証することができる。
【0023】
又、第1の特徴に係る通信端末装置は、他の計算機装置から電力の供給を受ける電池を更に備えてもよい。
【0024】
この通信端末装置によると、通信端末装置の電池が消耗してインテグリティの検証ができなくなるという事態を回避することが可能となる。又、携帯電話機としての充電機能としても活用できる。
【0025】
又、第1の特徴に係る通信端末装置は、他の計算機装置の実行ログデータを受信するログデータ受信手段と、ログデータを保存する記憶手段とを更に備えてもよい。
【0026】
この通信端末装置によると、計算機で行った操作の履歴を後で検証することができる。
【0027】
本発明の第2の特徴は、無線通信手段を有する通信端末装置であって、(a)他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、(b)暗号処理を行う暗号処理手段と、(c)インテグリティの測定結果が予め定めた条件を満たす場合、キー情報を取得するキー入力手段とを備える通信端末装置であることを要旨とする。
【0028】
第2の特徴に係る通信端末装置によると、計算機を使用する際に、その計算機が信頼できるものであるかを、容易、継続的、かつ確実に検証できる。
【0029】
本発明の第3の特徴は、無線通信手段を有する通信端末装置であって、(a)他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、(b)他の計算機装置との通信に関する暗号処理を行う暗号処理手段と、(c)インテグリティの測定結果が予め定めた条件を満たす場合、他の計算機装置を遠隔操作するための機能を有効にする遠隔操作手段とを備える通信端末装置であることを要旨とする。
【0030】
第3の特徴に係る通信端末装置によると、計算機を使用する際に、その計算機が信頼できるものであるかを、容易、継続的、かつ確実に検証できる。
【0031】
又、第3の特徴に係る通信端末装置の遠隔操作手段は、インテグリティの測定結果が予め定めた条件を満たさない場合、他の計算機装置を遠隔操作するための機能の一部を無効にしてもよい。
【0032】
この通信端末装置によると、信頼性のない計算機装置と通信することを防ぐことができる。
【0033】
又、第1〜第3の特徴に係る通信端末装置は、他の計算機装置に対してユーザ固有の認証情報を送信するユーザ認証情報送信手段を更に備えてもよい。
【0034】
この通信端末装置によると、ユーザがログインのためのキー操作等を行う手間を省くことができる。
【0035】
本発明の第4の特徴は、(a)無線通信手段と、他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、暗号処理を行う暗号処理手段と、インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段とを備える通信端末装置からの要求に応じて、インテグリティを測定するインテグリティ測定手段と、(b)通信端末装置より受信した秘密情報を表示する表示手段とを備える計算機装置であることを要旨とする。
【0036】
第4の特徴に係る計算機装置によると、計算機装置を使用する際に、その計算機装置が信頼できるものであるかを、容易、継続的、かつ確実に検証できる。又、受信した秘密情報をディスプレイに表示することにより、計算機装置が信頼できることをより明示的に知覚することができる。
【0037】
又、第4の特徴に係る計算機装置は、使用終了時に、履歴を抹消する履歴抹消手段を更に備えてもよい。
【0038】
この計算機装置によると、履歴を抹消することで、使用後に他のユーザから操作履歴や秘密情報(ユーザのパスワードや作成した文書等)を盗まれる危険を回避可能となる。
【0039】
本発明の第5の特徴は、(a)無線通信手段と、他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、他の計算機装置の通信に関する暗号処理を行う暗号処理手段と、インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段とを備える通信端末装置からの要求に応じて、インテグリティを測定するインテグリティ測定手段と、(b)通信端末装置から受信したユーザ認証情報を検証し、インテグリティ測定手段が測定するインテグリティをユーザ認証情報に応じて可変させるユーザ認証情報検証手段とを備える計算機装置であることを要旨とする。
【0040】
第5の特徴に係る計算機装置によると、ユーザ毎に異なるセキュリティ要求に動的に対処することができる。
【発明の効果】
【0041】
本発明によると、計算機を使用する際に、その計算機が信頼できるものであるかを、容易、継続的、かつ確実に検証できる通信端末装置及び計算機装置を提供することができる。
【発明を実施するための最良の形態】
【0042】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
【0043】
<第1の実施の形態>
(通信システム)
第1の実施の形態に係る通信システムは、図1に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0044】
通信端末装置100は、通信機能を付加されたPDAや携帯電話やPHS等のような携帯型の無線通信機器であり、計算機装置110のポインティングデバイスとして用いられているマウスと同等の機能があり、且つ、計算機装置110の信頼性を検証できる。
【0045】
通信端末装置100は、図1に示すように、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109を備える。
【0046】
ポインティング手段101は、既存の計算機のマウス(入力装置)と同じ機能を有し、インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得する(詳細は後述)。
【0047】
インテグリティ測定要求手段102は(外部の)計算機に対してインテグリティの測定を要求するコマンドを生成する(詳細は後述)。このコマンドは、ポインティング手段101(の接続ケーブル)を経由して、計算機装置110に送信される。
【0048】
暗号処理手段103は、通信端末装置100と計算機間の認証や計算機の署名データ検証等に用いる各種暗号処理機能を有する。暗号処理手段103は専用のプロセッサとして実現してもよいし、暗号処理をソフトウエアとして記述して、CPU105を用いて実際の処理を行うように実現してもよい。
【0049】
無線通信手段104は、携帯電話網やPHS網や無線LAN等の無線網を介して通信を行う。
【0050】
CPU105は、通信端末装置としての各種処理演算を行う機能を有する。
【0051】
メモリ手段106は、各種データを記憶するためのものであり、磁気ディスクやフラッシュメモリ等によって構成される。例えば、メモリ手段106は、通信端末装置100を制御するソフトウエア(通信ソフトウエアやオペレーティングシステム)やインテグリティ測定処理用ソフトウエアやインテグリティ測定用データ(計算機の製造者が発行した公開鍵等)を記憶する。
【0052】
表示手段107は、液晶ディスプレイ等によって構成され、携帯電話としての表示ユーザインターフェースやインテグリティ測定処理用の表示ユーザインターフェースを提供する手段として用いる。
【0053】
入力手段108は、キーパッド等によって構成され、携帯電話としての入力ユーザインターフェースやインテグリティ測定処理用の入力ユーザインターフェースを提供する手段として用いる。
【0054】
電池109は、通信端末装置100を動作させるために必要な電力を供給するものである。
【0055】
又、変形例として、通信端末装置100の電池109が接続ケーブル203(図2参照)を経由して計算機装置110から電力の供給を受けるようにしてもよい。このようにすると、通信端末装置100の電池109が消耗してインテグリティの検証ができなくなるという事態を回避することが可能となる。又、携帯電話機としての充電機能としても活用できる。
【0056】
計算機装置110は、外部の計算機であり、本発明によりその信頼性を検証する対象である。又、計算機装置110は、通信端末装置100からインテグリティ測定の要求を受けると、インテグリティを測定するインテグリティ測定手段111を備える。測定結果は、接続ケーブルなどを経由して、通信端末装置100に送信される。
【0057】
信頼できる第3者のサーバ装置120は、外部のサーバであり、本発明の変形例(後述)で第3者にインテグリティ測定結果の検証を委ねる際に使用する。
【0058】
次に、通信端末装置100の外観を例示する図2を用いて、ポインティング手段101を詳細に説明する。通信端末装置100は、計算機のマウスと同じ機能を有しており、形状は人間の手のひらに収まるものである。図2に示した例では、近年普及してきた折り畳み型携帯電話の形状をベースとして、マウスとしての機能を付加しているが、折り畳み型でなくてもよいことは勿論である。
【0059】
図2に示すように、折り畳んで使用したときの上面にはクリック操作用のクリックボタン201が2つ配置され、下面には光学センサ202が配置されている。尚、クリックボタン201は1つでもよく、更にスクロール用のホイールを付加してもよい。又、光学センサ202は、ボール型の移動センサでもよい。
【0060】
接続ケーブル203は、通信端末装置100と計算機装置110を接続するもので、USBやPS/2等のコネクタ規格により実現される。尚、接続ケーブル203を有さない、赤外線や電波による無線マウスとして実現してもよい。接続ケーブル203は着脱可能であり、計算機装置110と接続しないときには通信端末装置100から取り外してもよい。
【0061】
クリックボタン201は通常のマウスのクリックボタンに相当するもので、当該ボタンをクリックすることで、ユーザは通信端末装置100と接続された計算機装置110に対してコマンドを発行する。
【0062】
光学センサ202は、発光器と受光器を備え、移動の量・方向・速度を光学的に読み取ることができ、これらのデータが接続ケーブル203を経由して計算機装置110に送信されて、計算機装置110のカーソル移動を指定する。
【0063】
(信頼性検証方法)
次に、図3を用いて、ユーザが信頼できる通信端末装置100(ユーザが所有者であり、常時使用しているので改ざんされていないことを確信できる)を使って、計算機(他人の所有物であり、常時使用していないので、悪意のあるソフトウエアやハードウエアモジュールが付加されていないことを確信できない)の信頼性を検証する処理の流れの一例を説明する。
【0064】
前提として、通信端末装置100は予め計算機装置110が内部の耐タンパー記憶装置(例えばTrusted Platform Module:TPM)に保持している秘密鍵と対をなす公開鍵をメモリ手段106に保持しており、既存の暗号通信プロトコルにより、インテグリティ検証対象である通信相手が間違いなく計算機装置110であることを識別できるものとする。
【0065】
まず、ステップS101において、ユーザは、接続ケーブル203を用いて通信端末装置100と計算機装置110を接続する。
【0066】
次に、ステップS102において、通信端末装置100が計算機装置110に、接続ケーブル203経由でインテグリティ測定を要求する。本発明では、インテグリティ測定要求のプロトコルを特定のものに限定するものではないが、例えば、非特許参考文献2に記載の方法により実現できる。
【0067】
次に、ステップS103において、計算機装置110は、インテグリティ測定の要求を受けると、インテグリティを測定し、測定結果を、接続ケーブル203経由で通信端末装置100に送信する。このインテグリティ測定は、例えば、非特許参考文献2に記載の方法により実現できる。
【0068】
次に、ステップS104において、通信端末装置100は、インテグリティ測定結果が予め定めた条件(例えば、計算機装置110のブートプロセスやOSローダーやOSが想定通りであることを条件としたり、デバイスドライバーや応用ソフトも含めた計算機構成が想定通りであることを条件としたりする)を満たすか検証する。ここで、計算機装置110に、(ユーザの入力情報を盗んだりデータを破壊したりするような)悪意のあるソフトウエアやハードウエアが含まれているとインテグリティ測定結果は予め定めた条件を満たさなくなる。
【0069】
次に、ステップS105において、通信端末装置100は、インテグリティ検証結果を判定する。検証結果がYES(つまり計算機装置110を信頼できる)のときはステップS106に進み、NoのときはステップS107に進む。
【0070】
ステップS106において、通信端末装置100は、ポインティング手段101を機能させ、計算機装置110のマウスとして作用し、この後、計算機の信頼性検証フローは終了する。ここで、ユーザは(自分が信頼する)通信端末装置100が計算機装置110のマウスとして機能することを知覚することで、計算機装置110が信頼できることを確信できる。本発明では、マウスとしての通信端末装置100の動作(カーソル移動方向、距離、速さ)は悪意のある攻撃者にとって予測不可能なので、通信端末装置100がマウスとして機能しているように見せかけてインテグリティ検証結果を偽るような攻撃は実現できない。
【0071】
一方、ステップS107では、計算機装置110が信頼できないので、通信端末装置100のポインティング手段101を機能させずに計算機の信頼性検証フローを終了させる。ここで、ユーザはマウスとしての通信端末装置100の動作に計算機装置110のカーソルが反応しないので、計算機装置110が信頼できないことがわかる。ユーザは、信頼できないことを理解した上で計算機装置110を使用してもよいし(マウスは計算機に付属のものを使う)、使用を取りやめてもよい。
【0072】
(作用及び効果)
第1の実施の形態によると、ユーザは通常所持している携帯電話(通信端末装置100)以外の機器を持たずに外出し、外出先の(他人の)計算機を信頼して使用することが可能となる(計算機が信頼できないときは確実に知覚できる)。又、信頼を確認するために、携帯電話をマウスとして使用すること以外に特別な操作は不要である。
【0073】
(変形例)
第1の実施の形態の変形例として、信頼できる第3者のサーバ装置120(例えば、携帯電話事業者が運営する)を用いて、サーバ装置120にインテグリティ測定結果の検証を委ねることとしてもよい。図4は本変形例の処理の流れの一例を示す図である。図4を用いて、本変形例を説明する。尚、図4中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0074】
前提として、サーバ装置120は、予め計算機装置110が内部の耐タンパー記憶装置(例えばTrusted Platform Module:TPM)に保持している秘密鍵と対をなす公開鍵を保持しており、インテグリティ測定対象が計算機装置110であることを識別できるものとする。
【0075】
本変形例では、図3のステップS104をステップS201、202、203で置き換える。
【0076】
つまり、ステップS201において、通信端末装置100は、計算機装置110から送られてきたインテグリティ測定結果を、無線通信手段104を用いて、サーバ装置120に送信する。
【0077】
次に、ステップS202において、サーバ装置120は、インテグリティ測定結果が予め定めた条件を満たすか検証する。
【0078】
次に、ステップS203において、サーバ装置120は、無線通信手段104を経由して、検証結果を通信端末装置100に送信する。
【0079】
そして、通信端末装置100は、ステップS105〜107の既述の処理を行う。
【0080】
本変形により、通信端末装置100が予め計算機装置110の公開鍵を保持していなくても計算機装置110を信頼して使用することが可能となる。又、インテグリティ測定結果の検証処理をサーバ装置120に委ねることで、通信端末装置100の計算リソース(演算処理や検証条件の記憶領域)を節約できるという利点もある。
【0081】
又、別の変形例として、インテグリティ測定をウイルス検査やセキュリティパッチファイルの更新状況検査と置き換えてもよい。その際、通信端末装置100がウイルス定義ファイルのバージョンやセキュリティパッチファイルの組み合わせを指定するようにしてもよい。この変形により、上述の方法よりも簡易な方法(計算機装置110がTPM を内蔵しなくてもよい)で、計算機装置110が信頼できるか検証できるようになる。但し、基本ソフトを含む計算機構成の改ざんは検知できない。
【0082】
更に、別の変形例として、計算機装置110(ここでは、ポインティング用パッドやボタンがついたノートPCを想定)がステップS103で自身のポインティング機能を無効化するようにしてもよい。本変形により、通信端末装置100をマウスとして使うのではなく、計算機装置110のポインティング機能を使うことで、信頼性がない計算機装置110を誤って使用する危険を回避することができる。
【0083】
<第2の実施の形態>
(通信システム)
第2の実施の形態に係る通信システムは、図5に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0084】
第2の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、秘密情報送信手段501、秘密情報編集手段502を備える。
【0085】
メモリ手段106は、通信端末装置100のユーザ本人だけが知り得るような秘密情報を予め記憶する。
【0086】
秘密情報編集手段502は、秘密情報を編集する。秘密情報編集手段502の詳細については、後述する。
【0087】
秘密情報送信手段501は、計算機装置110のインテグリティ検証結果が予め定めた条件を満たしたときのみ、秘密情報を計算機装置110に送信する。
【0088】
通信端末装置100のその他の手段は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0089】
計算機装置110は、インテグリティ測定手段111、表示手段112、履歴抹消手段113を備える。
【0090】
表示手段112は、通信端末装置100から送信された秘密情報を表示する。このとき、ユーザは、本人だけが知り得る秘密情報が表示されることを確認することで、計算機装置110を信頼することができる。
【0091】
履歴抹消手段113は、計算機装置110の使用を中止するとき(ログオフやシャットダウンコマンド発行時)に、使用前の状態(ログオンやブート前)に各種設定やデータを戻す、即ち履歴を抹消する。履歴抹消機能は、既存技術で容易に実現できる。例えば、使用前に各種設定やデータのスナップショットを記憶しておき、使用を中止するときに各種設定やデータをスナップショットと置き換えればよい。このように履歴を抹消することで、使用後に他のユーザから操作履歴や秘密情報(ユーザのパスワードや作成した文書等)を盗まれる危険を回避可能となる。
【0092】
計算機装置110のその他の手段、サーバ装置120については、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0093】
(信頼性検証方法)
図6は、第2の実施形態に係る処理の流れの一例を示す図である。図6を用いて本実施例をより詳細に説明する。尚、図6中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0094】
前提として、通信端末装置100のメモリ手段106には予めユーザだけが知りうる任意の秘密情報が記憶されているものとする。秘密情報は例えば、任意の色でもよいし、任意の文字列でもよいし、任意の画像でもよい。又、秘密情報は複数あってもよい。更に、秘密情報をインテグリティ検証結果が予め定めた条件を満たすときに使用するものと、条件を満たさないときに使用するものの2通りに分類しておいてもよい(後者の用途は後述する)。ここで、秘密情報編集手段502を用いて、ユーザが好みの秘密情報を登録したり、変更したりできるようにしてもよい。秘密情報編集手段502は、表示手段107及び入力手段108にその機能を持たせるように実現してもよい。例えば、液晶をディスプレイ(表示手段107)を確認しながらキーパッド(秘密情報編集手段502)を用いて任意の文字列を入力し、文字列を登録する。又、編集用プログラムをメモリ手段106に保持しておき、CPU 105で処理するように実現してもよい。更に、近年の携帯電話で普及してきたカメラ機能を用いて実現することで、ユーザが撮影した任意の画像を秘密情報として登録できるようにしてもよい。更に、無線通信手段104を用いて、ネットワーク上の任意のサーバ(WEBサイト)から好みの情報(例えば画像)をダウンロードして、それを秘密情報として登録できるようにしてもよい。
【0095】
第2の実施の形態では、図3のステップS106以降に、ステップS301、S302の処理が付加される。
【0096】
ステップS106において、通信端末装置100は、ポインティング手段101を機能させ、計算機装置110のマウスとして作用するが、その直後に(同時でもよいし、その直前でもよい) ステップS301において、秘密情報送信手段501を用いて、計算機装置110に接続ケーブル203経由で秘密情報を送信する。
【0097】
秘密情報送信手段501は、インテグリティ検証結果に応じて送信する秘密情報の選択等の管理を行うものであり、例えば、プログラムとして記述されCPU105によって処理される。
【0098】
次に、ステップS302で、計算機装置110は、受信した秘密情報をディスプレイに表示して、処理を終了する。例えば、秘密情報がカーソル色=緑色とされていたら、計算機装置110のディスプレイ上のカーソル(これは通信端末装置100のポインティング手段101で操作される)が緑色で表示される。
【0099】
(作用及び効果)
第2の実施の形態では、計算機装置110において、受信した秘密情報をディスプレイに表示することにより、ユーザは計算機装置110が信頼できることをより明示的に知覚することができる。第1の実施の形態では、マウスとして機能することで知覚できるのでそれでも十分であるが、秘密情報の表示が追加されることでユーザの安心感がより高まる。これは、特に、通信端末装置100にインテグリティ検証機能をオフにする機能が備わっていて単にマウスとして使用できるときに、ユーザが誤ってオフのまま計算機装置110を信頼して使用するリスクを回避することに有用である。
【0100】
(変形例)
上述した、秘密情報送信手段501は、インテグリティ検証結果に応じて送信する秘密情報の選択等の管理を行うが、変形例として、秘密情報送信手段501が、過去に送信した秘密情報を繰り返して使わないように管理してもよい。ここで、使用禁止とする繰り返しの回数を任意の値に設定できるようにしてもよいし、同一の計算機装置110に対して同一の秘密情報を繰り返して使わないように設定してもよい。又、現在使用している秘密情報を通信端末装置100の表示手段107に表示して、計算機装置110のディスプレイ上に表示されているものと同一であるか、ユーザに知覚させるようにしてもよい
一度使用した秘密情報は計算機装置110に記憶されて(悪意のある)第3者に盗まれる可能性がある。又、ディスプレイ上に表示されている秘密情報は第3者に覗き見されて盗まれる可能性がある。本変形により、たとえ秘密情報が第3者に盗まれても、次回は異なる秘密情報用いるので、より安全性が高まる。
【0101】
<第3の実施の形態>
(通信システム)
第3の実施の形態に係る通信システムは、図7に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0102】
第3の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、インテグリティ測定手段701を備える。
【0103】
インテグリティ測定手段701は、既存の手法により実現でき、例えば、耐タンパー性を有するTPMを使用することで機能する(非特許文献2参照)。
【0104】
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0105】
(信頼性検証方法)
第3の実施の形態では、図3のフローを開始する前の準備として、先ず、ユーザが通信端末装置100の入力手段108を用いて通信端末装置100自身のインテグリティ測定コマンドを発行する。このコマンドを受け、通信端末装置100は、自身のインテグリティを測定し、インテグリティ測定結果をTPM内に封印された秘密鍵を用いて暗号化し、サーバ装置120(これは、例えば、携帯電話事業者が運営するもので、通信端末装置100を識別することが可能であり、かつ、当該秘密鍵に対応する公開鍵を保持している)に送信する。サーバ装置120は、当該秘密鍵に対応する公開鍵を用いてインテグリティ測定結果を検証し、検証結果をサーバ装置120上(他のサーバでもよい)に保存し、そのネットワークアドレス(例えばURL)を通信端末装置100に送信する。ユーザは、通信端末装置100の無線通信手段104を用いて、ネットワークアドレスにアクセスし、検証結果を知ることができる。検証結果が予め定めた条件を満たしていれば、通信端末装置100を信頼することができ、図3のフローを開始する。
【0106】
(作用及び効果)
第1及び第2の実施の形態では、通信端末装置100が信頼できるという前提があったが、第3の実施の形態では、ユーザが通信端末装置100を信頼できることを確信した上で、計算機装置110の信頼を検証することができるので、より安全性が高まる。
【0107】
<第4の実施の形態>
(通信システム)
第4の実施の形態に係る通信システムは、図8に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0108】
第4の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、インテグリティ検証結果表示手段801を備える。
【0109】
インテグリティ検証結果表示手段801はLEDや液晶ディスプレイで実現され、インテグリティ検証結果を表示する。
【0110】
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0111】
図9は、第4の実施の形態に係る通信端末装置100の外観を例示する図であり、同図にあるように液晶ディスプレイ901(=インテグリティ検証結果表示手段801)をマウスとして使用する際の上面に配置すると使い勝手が向上するが、他の配置でもよいことは勿論である。又、携帯電話としてのディスプレイ(=表示手段107)に機能を兼務させてもよい。
【0112】
(信頼性検証方法)
図10は、第4の実施の形態に係る処理の流れの一例を示す図である。図10を用いて本実施例をより詳細に説明する。尚、図10中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0113】
ステップS105の検証結果がYESのときは、ステップS401において、インテグリティ検証結果表示手段801に検証結果が成功であることを表示して、ステップS106に進む(表示例は図9の「OK」)。
【0114】
一方、ステップS105の検証結果がNoのときは、ステップS402において、インテグリティ検証結果表示手段801に検証結果が失敗であることを表示して、ステップS107に進む(表示例は図9の「OK」を「NG」で置き換える)。但し、ステップS402は省略してもよい。
【0115】
(作用及び効果)
第4の実施の形態では、ユーザが通信端末装置100を信頼できることをマウス機能による確認だけでなく、通信端末装置100のインテグリティ検証結果表示手段801を見て2重に確認できるので、より信頼性が高まる。第1〜第3の実施の形態で説明したように、マウスとして機能することで知覚できるのでそれでも十分であるが、信頼できる通信端末装置100に検証結果の表示が追加されることでユーザの安心感がより高まる。これは、特に、通信端末装置100にインテグリティ検証機能をオフにする機能が備わっていて単にマウスとして使用できるときに、ユーザが誤ってオフのまま計算機装置110を信頼して使用するリスクを回避することに有用である。
【0116】
<第5の実施の形態>
(通信システム)
第5の実施の形態に係る通信システムは、図11に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0117】
第5の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、スピーカ手段1101を備える。
【0118】
スピーカ手段1101は、既存のスピーカであり、携帯電話としてのスピーカに機能を兼務させてもよい。スピーカ手段1101は、インテグリティ検証結果を音で示す機能を有する。
【0119】
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0120】
(信頼性検証方法)
第5の実施の形態では、図10のステップS401を「検証結果の表示」ではなく「検証結果を音(予め成功を示すために決めていた音)で示す」と置き換えることで実現できる。同様にステップS402も「検証結果の表示」ではなく「検証結果を音(予め失敗を示すために決めていた音)で示す」と置き換える。
【0121】
(作用及び効果)
第5の実施の形態では、ユーザが通信端末装置100を信頼できることをマウス機能による確認だけでなく、通信端末装置100のスピーカ手段1101からの音によって2重に確認できるので、より信頼性が高まる。第1〜第3の実施の形態で説明したように、マウスとして機能することで知覚できるのでそれでも十分であるが、信頼できる通信端末装置100に検証結果の表示が追加されることでユーザの安心感がより高まる。これは、特に、通信端末装置100にインテグリティ検証機能をオフにする機能が備わっていて単にマウスとして使用できるときに、ユーザが誤ってオフのまま計算機装置110を信頼して使用するリスクを回避することに有用である。
【0122】
<第6の実施の形態>
(通信システム)
第6の実施の形態に係る通信システムは、図12に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0123】
第6の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、振動発生手段1201を備える。
【0124】
振動発生手段1201は既存の振動発生器であり、携帯電話としての振動発生器に機能を兼務させてもよい。振動発生手段1201は、インテグリティ検証結果を振動で示す機能を有する。
【0125】
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0126】
(信頼性検証方法)
第6の実施の形態では、図10のステップS401を「検証結果の表示」ではなく「検証結果を振動(予め成功を示すために決めていたパターン)で示す」と置き換えることで実現できる。同様にステップS402も「検証結果の表示」ではなく「検証結果を振動(予め失敗を示すために決めていたパターン)で示す」と置き換える。又、検証結果を示す際に、表示、音、振動を任意に組み合わせてもよい。
【0127】
(作用及び効果)
第6の実施の形態では、ユーザが通信端末装置100を信頼できることをマウス機能による確認だけでなく、通信端末装置100振動発生手段1201からの振動によって2重に確認できるので、より信頼性が高まる。第1〜第3の実施の形態で説明したように、マウスとして機能することで知覚できるのでそれでも十分であるが、信頼できる通信端末装置100に検証結果の表示が追加されることでユーザの安心感がより高まる。これは、特に、通信端末装置100にインテグリティ検証機能をオフにする機能が備わっていて単にマウスとして使用できるときに、ユーザが誤ってオフのまま計算機装置110を信頼して使用するリスクを回避することに有用である。
【0128】
<第7の実施の形態>
(通信システム)
第7の実施の形態に係る通信システムは、図1に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。通信端末装置100、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0129】
(信頼性検証方法)
第7の実施の形態では、計算機装置110の信頼性を継続的に検証する他の方法を説明する。
【0130】
図13は、本実施例の処理の流れの一例を示す図である。尚、図13中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0131】
図13のステップS106において、通信端末装置100は、ポインティング手段を機能させ、計算機装置110のマウスとして作用する。
【0132】
次に、ステップS501において、マウスのクリックボタン201をユーザがクリックすると、ステップS102に戻り、以降の処理を繰り返す。尚、図13のフローは計算機装置110の信頼性が継続している間は終了しないこととする。
【0133】
(作用及び効果)
第7の実施の形態では、計算機装置110の使用開始時には信頼性を検証できても、使用中に(ウイルスに感染したり他の計算機装置から攻撃を受けたりして)信頼性が損なわれても、それを検知できるので安全性が高まる。ここで、インテグリティ測定の契機をマウスクリックとしたのは(多くのアプリケーションで)それが、重要なコマンド(例えば、電子商取引の実行であったり、新しいプログラムの実行であったりする)に相当するからであり、そのようなコマンド発行時に計算機装置110の信頼性を検証することは効果的である。尚、コマンド発行後に信頼性が損なわていることが判明しても困るが、重要なコマンドは確認のために再度コマンド発行(=マウスクリック)を求めることとすれば(プログラムをそのように書く)、自己を未然に防ぐこともできる(2回目の確認コマンド発行前にステップS107に進み、通信端末装置100のポインティング手段101が機能しなくなる)。
【0134】
(変形例)
ここで、変形例としてマウスクリックを左ボタンだけに限定したり、マウスクリックを契機としたりするのではなく、予め定めた時間間隔で自動的にステップS102に戻るようにしてもよい。又、ステップS107を変形して、秘密情報送信手段501を用いて計算機装置110に接続ケーブル203経由で検証失敗を示す秘密情報を送信し、計算機装置110が秘密情報をディスプレイに表示してフローを終了してもよい。
【0135】
<第8の実施の形態>
(通信システム)
第8の実施の形態に係る通信システムは、図14に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0136】
第8の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、ログデータ受信手段1401、記憶手段1402を備える。
【0137】
ログデータ受信手段1401は、接続ケーブル203を経由して計算機装置110のログデータ(操作ログや実行ログ等)を受信する。
【0138】
記憶手段1402は、メモリ手段106に機能を兼務させるように実現してもよいし、専用のフラッシュメモリやハードディスク等の記憶手段により実現してもよく、ログデータ受信手段1401で得たログデータを記憶する。
【0139】
ログデータは、計算機装置110で行った操作の履歴を後で検証する必要が生じたときに使用する。例えば、電子商取引の実行を行ったのに、取引先から実行が行われなかったという指摘をされても、実行を主張するための証拠として利用できる。ログデータ送信の実行契機は計算機装置110の使用を中止するとき(ログオフやシャットダウンコマンド発行時)でもよいし、予め定めた時間間隔で繰り返してもよいし(ログの増分のみを送るようにしてもよい)、ログのデータ量が予め定めた値に達したときに繰り返してもよい(ログの増分のみを送るようにしてもよい)。
【0140】
又、記憶手段1402に保存したログデータを無線通信手段104経由でサーバ装置120に送信するように変形してもよい。この変形により、(計算機としてのリソースに余裕がある)サーバでログを解析して、計算機装置110で適切な実行がなされたのか監査することが可能となる。
【0141】
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0142】
(作用及び効果)
第8の実施の形態によると、計算機装置110で行った操作の履歴を後で検証することができる。
【0143】
<第9の実施の形態>
(通信システム)
第9の実施の形態に係る通信システムは、図1に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0144】
第9の実施の形態では、通信端末装置100のポインティング手段101をキー入力手段と置き換える。キー入力手段は、計算機装置110のキーボードと同等の操作機能を有し、インテグリティの測定結果が予め定めた条件を満たす場合、キー情報を取得する
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0145】
(信頼性検証方法)
第9の実施の形態では、図3のステップS106は、「ポインティング手段を機能させ、マウスとして作用する」のではなく「キー入力手段を機能させ、(接続ケーブル203経由で)計算機キーボードとして作用する」となる。
【0146】
(作用及び効果)
第9の実施の形態によると、第1の実施の形態と同様に、ユーザは通常所持している携帯電話(通信端末装置100)以外の機器を持たずに外出し、外出先の(他人の)計算機を信頼して使用することが可能となる(計算機が信頼できないときは確実に知覚できる)。
【0147】
<第10の実施の形態>
(通信システム)
第10の実施の形態に係る通信システムは、図15に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0148】
第10の実施の形態では、第1の実施形態における通信端末装置100のポインティング手段101の代わりに、遠隔操作手段1501を備える。
【0149】
遠隔操作手段1501は、計算機装置110のリモコンと同等の操作機能を有し、インテグリティの測定結果が予め定めた条件を満たす場合、(ユーザからの)遠隔操作情報を取得し、遠隔操作するための機能を有効にする。又、遠隔操作手段1501は、インテグリティの測定結果が予め定めた条件を満たさない場合、遠隔操作するための機能の一部を無効にする。
【0150】
ここで、リモコンとは、例えば、計算機を使用したエンターテイメント(ゲーム、音楽鑑賞、動画視聴等)を手元で操作するための携帯機器を指す。このような携帯機器として、「Media Center PC Features(http://www.microsoft.com/windowsxp/mediacenter/evaluation/features.mspx)」に製品の一例に関する情報を示す。また、リモコンと計算機装置110の通信は有線でも無線でもよい。
【0151】
通信端末装置100のその他の手段、計算機装置110、サーバ装置120は、第1の実施の形態と同様であるので、ここでは説明を省略する。但し、計算機装置110はパソコンに限定するものではなく、メディアサーバー、ゲーム機器、DVD再生/録画機器、音響機器等、CPUを有するものであればいかなるデバイスであってもよい。
【0152】
(信頼性検証方法)
図16は、第10の実施形態に係る処理の流れの一例を示す図である。図16を用いて本実施例をより詳細に説明する。尚、図16中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0153】
図16のステップS601において、通信端末装置100は、遠隔操作手段1501を機能させ、計算機リモコンとして作用する。
【0154】
(変形例)
ここで変形例として、インテグリティ測定を計算機装置110の(特定の)コンテンツ著作権保護仕様対応状況と置き換えてもよい。例えば、Content Protection for Recordable Media(CPRM)対応デバイス(計算機装置110に相当)はユニークなデバイス鍵を保持するが、図3のステップS104において、デバイス鍵が現在有効かつ本物であることを検証することをインテグリティ検証とする。
【0155】
(作用及び効果)
第10の実施の形態によると、第1の実施の形態と同様に、ユーザは通常所持している携帯電話(通信端末装置100)を用いて、他の計算機を信頼して使用することが可能となる(計算機が信頼できないときは確実に知覚できる)。又、遠隔操作手段1501は、インテグリティの測定結果が予め定めた条件を満たさない場合、遠隔操作するための機能の一部を無効にすることにより、信頼性のない計算機装置110と通信することを防ぐことができる。
【0156】
また、変形例の形態によると、コンテンツ著作権保護仕様に準拠していないデバイスの誤使用を防ぐことも可能となる。
【0157】
<第11の実施の形態>
(通信システム)
第11の実施の形態に係る通信システムは、図15に示す第10の実施の形態と同様であるので、ここでは説明を省略する。
【0158】
(信頼性検証方法)
図17は、本実施例の処理の流れの一例を示す図である。尚、図17中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0159】
図17のステップS701において、通信端末装置100は、遠隔操作手段の一部を機能させ、リモコンとして作用する。ここで、機能の一部をコンテンツ著作権保護に関わらない部分に限定する。例えば、ディスプレイのオンオフ、音量調整、画質調整、対象が無料コンテンツであるときのコンテンツ切り替え(チャンネル)、時間情報表示のオンオフ等、に限定する。
【0160】
(作用及び効果)
第11の実施の形態によると、計算機装置110のインテグリティ検証に失敗しても、通信端末装置100は、コンテンツ著作権保護を侵害することなく、リモコンの基本機能の提供は継続することが可能になる。
【0161】
<第12の実施の形態>
(通信システム)
第12の実施の形態に係る通信システムは、図18に示すように、通信端末装置100と、計算機装置110と、信頼できる第3者のサーバ装置120とを備える。
【0162】
第12の実施の形態に係る通信端末装置100は、ポインティング手段101、インテグリティ測定要求手段102、暗号処理手段103、無線通信手段104、CPU105、メモリ手段106、表示手段107、入力手段108、電池109、ユーザ認証情報送信手段1801を備える。
【0163】
メモリ手段106は、ユーザ固有のユーザ認証情報を予め記憶する。
【0164】
ユーザ認証情報送信手段1801は、計算機装置110のインテグリティ検証結果が予め定めた条件を満たしたときのみ、ユーザ認証情報を計算機装置110に送信する。
【0165】
通信端末装置100のその他の手段は、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0166】
計算機装置110は、インテグリティ測定手段111とユーザ認証情報検証手段114を備える。
【0167】
ユーザ認証情報検証手段114は、通信端末装置100から受信したユーザ認証情報を検証し、インテグリティ測定手段111が測定するインテグリティをユーザ認証情報に応じて可変させる。
【0168】
第12の実施の形態に関わるインテグリティ測定手段111の詳細については、後述する。計算機装置110のその他の手段、及び、サーバ装置120については、第1の実施の形態と同様であるので、ここでは説明を省略する。
【0169】
(信頼性検証方法)
図19は、第12の実施形態に係る処理の流れの一例を示す図である。図19を用いて本実施例をより詳細に説明する。尚、図19中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0170】
前提として、通信端末装置100のメモリ手段106には予めユーザを識別できるユーザ認証情報が記憶されているものとする。ユーザ認証情報は例えば、任意の文字列(ユーザIDとパスワードの組)でもよいし、指紋等の生体情報でもよい。また、ユーザ認証情報は、通信事業会社が発行する契約者情報でもよい。この場合、メモリ手段106をUser Identity Module(UIM)等の着脱式ICカードで代替させてもよい。
【0171】
第12の実施形態では、図3のステップS106以降に、ステップS801 、S802 の処理が付加される。ステップS106において、通信端末装置100は、ポインティング手段101を機能させ、計算機装置110のマウスとして作用するが、その直後に(同時でもよいし、その直前でもよい) ステップS801において、ユーザ認証情報送信手段1801を用いて、計算機装置110に接続ケーブル203経由でユーザ認証情報を送信する。次に、ステップS802で、計算機装置110は、受信したユーザ認証情報を検証して、処理を終了する。
【0172】
(作用及び効果)
第12の実施の形態によると、ステップS802におけるユーザ認証情報の検証結果は、様々な用途に利用可能であり、例えば、検証に成功したときはユーザ情報を用いて自動的に計算機装置110にログインできるようにすることで、ユーザがログインのためのキー操作等を行う手間を省くことができる。また、ユーザ認証情報が契約者情報である場合は、検証に成功したときは、計算機装置110の利用料金課金または計算機装置110で受けるサービス(例えば、電子商取引)の利用料金課金を通信事業会社経由で行うことも可能になる。従来の計算機装置には課金のために信頼できるハードウエアモジュールが存在しなかったが、通信端末装置100(またはUIM)を信頼できるハードウエアモジュールとして利用することで安全な課金サービスが実現できる。
【0173】
(変形例)
ここで、変形例として、ユーザを識別できるユーザ認証情報を予めメモリ手段106に記憶させておくのではなく、必要なときに(例えばステップS801において)、ユーザに入力を促すようにしてもよい。ユーザは、例えば、入力手段108のキーパッドを用いてユーザIDとパスワードを入力する。また、他の例として、入力手段108(の一部)を指紋読取り手段で代替させて、ユーザは指紋読取り手段に指紋情報を入力する。
【0174】
このように、必要なときにユーザ認証情報を入力することで、通信端末装置100が盗難(または紛失)に遭っても、正規のユーザではない者が通信端末装置100を悪用して計算機装置110を使用するという事態を回避することが可能になる。
【0175】
<第13の実施の形態>
(通信システム)
第13の実施の形態に係る通信システムは、図18に示す第12の実施の形態と同様であるので、ここでは説明を省略する。
【0176】
(信頼性検証方法)
図20は、第13の実施形態に係る処理の流れの一例を示す図である。図20を用いて本実施例をより詳細に説明する。尚、図20中の各ステップについて、図3と同一のものについては既述の通りであり、説明を省略する。
【0177】
第13の実施形態では、図3のステップS102以降に、ステップS901 、S902、S903 の処理が付加される。ステップS901において、通信端末装置100は、ユーザ認証情報送信手段1801を用いて、計算機装置110に接続ケーブル203経由でユーザ認証情報を送信する。尚、本発明では、ステップS102とステップS901は同時に処理してもよいし、ステップS901とステップS102の処理の順序を入れ替えてもよい。次に、ステップS902で、計算機装置110は、受信したユーザ認証情報を検証し、ステップS903に進む。ステップS903において、計算機装置110は、ユーザ認証情報に応じてインテグリティ測定対象を決定する。例えば、一般ユーザであればウイルス検査やセキュリティパッチファイルの更新状況検査を実行することとし、管理者権限を有するユーザや計算機装置110の所有者であれば基本ソフトを含む計算機構成の改ざん検査を実行することとする。
【0178】
(作用及び効果)
第13の実施の形態によると、ステップS902におけるユーザ認証情報の検証結果を利用することで、ユーザ毎に異なるセキュリティ要求に動的に対処することができる。例えば、一般ユーザであれば簡易なインテグリティ測定を実施することで、計算機装置110の処理を待つ時間(ステップS103 に要する時間)を短縮可能となり、利便性が向上する。一方、電子著作権管理や電子商取引や企業情報システムへのアクセス等、高度な安全性が求められる処理を行うユーザはそのユーザ認証情報によって特定される(企業の社員識別番号や電子商取引プロバイダへのアカウント情報で特定される)ので、それに見合ったより厳密なインテグリティ測定を実施することで安全性を高めることができる。
【図面の簡単な説明】
【0179】
【図1】第1の実施の形態に係る通信システムの構成ブロック図である。
【図2】第1の実施の形態に係るポインティング手段の外観図である。
【図3】第1の実施の形態に係る信頼性検証方法を示すフローチャートである(その1)。
【図4】第1の実施の形態に係る信頼性検証方法を示すフローチャートである(その2)。
【図5】第2の実施の形態に係る通信システムの構成ブロック図である。
【図6】第2の実施の形態に係る信頼性検証方法を示すフローチャートである。
【図7】第3の実施の形態に係る通信システムの構成ブロック図である。
【図8】第4の実施の形態に係る通信システムの構成ブロック図である。
【図9】第4の実施の形態に係るポインティング手段の外観図である。
【図10】第4の実施の形態に係る信頼性検証方法を示すフローチャートである。
【図11】第5の実施の形態に係る通信システムの構成ブロック図である。
【図12】第6の実施の形態に係る通信システムの構成ブロック図である。
【図13】第7の実施の形態に係る信頼性検証方法を示すフローチャートである。
【図14】第8の実施の形態に係る通信システムの構成ブロック図である。
【図15】第10の実施の形態に係る通信システムの構成ブロック図である。
【図16】第10の実施の形態に係る信頼性検証方法を示すフローチャートである。
【図17】第11の実施の形態に係る信頼性検証方法を示すフローチャートである。
【図18】第12の実施の形態に係る通信システムの構成ブロック図である。
【図19】第12の実施の形態に係る信頼性検証方法を示すフローチャートである。
【図20】第13の実施の形態に係る信頼性検証方法を示すフローチャートである。
【符号の説明】
【0180】
100…通信端末装置
101…ポインティング手段
102…インテグリティ測定要求手段
103…暗号処理手段
104…無線通信手段
105…CPU
106…メモリ手段
107…表示手段
108…入力手段
109…電池
110…計算機装置
111…インテグリティ測定手段
112…表示手段
113…履歴抹消手段
120…サーバ装置
201…クリックボタン
202…光学センサ
203…接続ケーブル
501…秘密情報送信手段
502…秘密情報編集手段
701…インテグリティ測定手段
801…インテグリティ検証結果表示手段
901…液晶ディスプレイ
1101…スピーカ手段
1201…振動発生手段
1401…ログデータ受信手段
1402…記憶手段
【特許請求の範囲】
【請求項1】
無線通信手段を有する通信端末装置であって、
他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、
前記他の計算機装置との通信に関する暗号処理を行う暗号処理手段と、
前記インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段と
を備えることを特徴とする通信端末装置。
【請求項2】
前記インテグリティの測定結果が予め定めた条件を満たす場合、秘密情報を送信する秘密情報送信手段を更に備えることを特徴とする請求項1に記載の通信端末装置。
【請求項3】
前記秘密情報を編集する秘密情報編集手段を更に備えることを特徴とする請求項2に記載の通信端末装置。
【請求項4】
インテグリティを測定するインテグリティ測定手段を更に備えることを特徴とする請求項1〜3のいずれか1項に記載の通信端末装置。
【請求項5】
インテグリティの検証結果を表示するインテグリティ検証結果表示手段を更に備えることを特徴とする請求項1〜4のいずれか1項に記載の通信端末装置。
【請求項6】
インテグリティの検証結果を音で示すスピーカ手段を更に備えることを特徴とする請求項1〜4のいずれか1項に記載の通信端末装置。
【請求項7】
インテグリティの検証結果を振動で示す振動発生手段を更に備えることを特徴とする請求項1〜4のいずれか1項に記載の通信端末装置。
【請求項8】
マウスクリックに相当する操作を契機として、前記他の計算機装置にインテグリティの測定を要求することを特徴とする請求項1〜7いずれか1項に記載の通信端末装置。
【請求項9】
前記他の計算機装置から電力の供給を受ける電池を更に備えることを特徴とする請求項1〜8のいずれか1項に記載の通信端末装置。
【請求項10】
前記他の計算機装置の実行ログデータを受信するログデータ受信手段と、
該ログデータを保存する記憶手段と
を更に備えることを特徴とする請求項1〜9のいずれか1項に記載の通信端末装置。
【請求項11】
無線通信手段を有する通信端末装置であって、
他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、
前記他の計算機装置との通信に関する暗号処理を行う暗号処理手段と、
前記インテグリティの測定結果が予め定めた条件を満たす場合、キー情報を取得するキー入力手段と
を備えることを特徴とする通信端末装置。
【請求項12】
無線通信手段を有する通信端末装置であって、
他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、
前記他の計算機装置との通信に関する暗号処理を行う暗号処理手段と、
前記インテグリティの測定結果が予め定めた条件を満たす場合、前記他の計算機装置を遠隔操作するための機能を有効にする遠隔操作手段と
を備えることを特徴とする通信端末装置。
【請求項13】
前記遠隔操作手段は、前記インテグリティの測定結果が予め定めた条件を満たさない場合、前記他の計算機装置を遠隔操作するための機能の一部を無効にすることを特徴とする請求項12に記載の通信端末装置。
【請求項14】
前記他の計算機装置に対してユーザ固有の認証情報を送信するユーザ認証情報送信手段を更に備えることを特徴とする請求項1〜13のいずれか1項に記載の通信端末装置。
【請求項15】
無線通信手段と、他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、前記他の計算機装置の通信に関する暗号処理を行う暗号処理手段と、前記インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段とを備える通信端末装置からの要求に応じて、インテグリティを測定するインテグリティ測定手段と、
前記通信端末装置より受信した秘密情報を表示する表示手段と
を備えることを特徴とする計算機装置。
【請求項16】
使用終了時に、履歴を抹消する履歴抹消手段を更に備えることを特徴とする請求項15に記載の計算機装置。
【請求項17】
無線通信手段と、他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、前記他の計算機装置の通信に関する暗号処理を行う暗号処理手段と、前記インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段とを備える通信端末装置からの要求に応じて、インテグリティを測定するインテグリティ測定手段と、
前記通信端末装置から受信したユーザ認証情報を検証し、前記インテグリティ測定手段が測定するインテグリティをユーザ認証情報に応じて可変させるユーザ認証情報検証手段と
を備えることを特徴とする計算機装置。
【請求項1】
無線通信手段を有する通信端末装置であって、
他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、
前記他の計算機装置との通信に関する暗号処理を行う暗号処理手段と、
前記インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段と
を備えることを特徴とする通信端末装置。
【請求項2】
前記インテグリティの測定結果が予め定めた条件を満たす場合、秘密情報を送信する秘密情報送信手段を更に備えることを特徴とする請求項1に記載の通信端末装置。
【請求項3】
前記秘密情報を編集する秘密情報編集手段を更に備えることを特徴とする請求項2に記載の通信端末装置。
【請求項4】
インテグリティを測定するインテグリティ測定手段を更に備えることを特徴とする請求項1〜3のいずれか1項に記載の通信端末装置。
【請求項5】
インテグリティの検証結果を表示するインテグリティ検証結果表示手段を更に備えることを特徴とする請求項1〜4のいずれか1項に記載の通信端末装置。
【請求項6】
インテグリティの検証結果を音で示すスピーカ手段を更に備えることを特徴とする請求項1〜4のいずれか1項に記載の通信端末装置。
【請求項7】
インテグリティの検証結果を振動で示す振動発生手段を更に備えることを特徴とする請求項1〜4のいずれか1項に記載の通信端末装置。
【請求項8】
マウスクリックに相当する操作を契機として、前記他の計算機装置にインテグリティの測定を要求することを特徴とする請求項1〜7いずれか1項に記載の通信端末装置。
【請求項9】
前記他の計算機装置から電力の供給を受ける電池を更に備えることを特徴とする請求項1〜8のいずれか1項に記載の通信端末装置。
【請求項10】
前記他の計算機装置の実行ログデータを受信するログデータ受信手段と、
該ログデータを保存する記憶手段と
を更に備えることを特徴とする請求項1〜9のいずれか1項に記載の通信端末装置。
【請求項11】
無線通信手段を有する通信端末装置であって、
他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、
前記他の計算機装置との通信に関する暗号処理を行う暗号処理手段と、
前記インテグリティの測定結果が予め定めた条件を満たす場合、キー情報を取得するキー入力手段と
を備えることを特徴とする通信端末装置。
【請求項12】
無線通信手段を有する通信端末装置であって、
他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、
前記他の計算機装置との通信に関する暗号処理を行う暗号処理手段と、
前記インテグリティの測定結果が予め定めた条件を満たす場合、前記他の計算機装置を遠隔操作するための機能を有効にする遠隔操作手段と
を備えることを特徴とする通信端末装置。
【請求項13】
前記遠隔操作手段は、前記インテグリティの測定結果が予め定めた条件を満たさない場合、前記他の計算機装置を遠隔操作するための機能の一部を無効にすることを特徴とする請求項12に記載の通信端末装置。
【請求項14】
前記他の計算機装置に対してユーザ固有の認証情報を送信するユーザ認証情報送信手段を更に備えることを特徴とする請求項1〜13のいずれか1項に記載の通信端末装置。
【請求項15】
無線通信手段と、他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、前記他の計算機装置の通信に関する暗号処理を行う暗号処理手段と、前記インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段とを備える通信端末装置からの要求に応じて、インテグリティを測定するインテグリティ測定手段と、
前記通信端末装置より受信した秘密情報を表示する表示手段と
を備えることを特徴とする計算機装置。
【請求項16】
使用終了時に、履歴を抹消する履歴抹消手段を更に備えることを特徴とする請求項15に記載の計算機装置。
【請求項17】
無線通信手段と、他の計算機装置に対してインテグリティの測定を要求するコマンドを生成するインテグリティ測定要求手段と、前記他の計算機装置の通信に関する暗号処理を行う暗号処理手段と、前記インテグリティの測定結果が予め定めた条件を満たす場合、位置情報を取得するポインティング手段とを備える通信端末装置からの要求に応じて、インテグリティを測定するインテグリティ測定手段と、
前記通信端末装置から受信したユーザ認証情報を検証し、前記インテグリティ測定手段が測定するインテグリティをユーザ認証情報に応じて可変させるユーザ認証情報検証手段と
を備えることを特徴とする計算機装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【公開番号】特開2007−12029(P2007−12029A)
【公開日】平成19年1月18日(2007.1.18)
【国際特許分類】
【出願番号】特願2006−131080(P2006−131080)
【出願日】平成18年5月10日(2006.5.10)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
【公開日】平成19年1月18日(2007.1.18)
【国際特許分類】
【出願日】平成18年5月10日(2006.5.10)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
[ Back to top ]