2つの装置間の通信方法および該方法を用いる端末
第1の装置(2)は、アプリケーションの第1および第2のファミリーのそれぞれに属するアプリケーション(3、4)を具備する。第2のファミリーは、第1のファミリーより経験的に低い信用のレベルを有する。第2のファミリーに属するアプリケーション(4)を送信元とし、第2の装置を宛先としてネットワーク(R)を介して送信される各々のリクエストは、アプリケーションの第2のファミリーに関係づけられたマークを含むか、あるいは、第1のファミリーに関係づけられたマークを含まないか、のいずれかでなければならず、第1のファミリーに関係づけられたマークは、ネットワークを介して送信され、第1のファミリーに属するアプリケーション(3)を送信元とするリクエストうち少なくともいくつかに含まれる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークブラウザ型の活用ができるとともに、ユーザにアプリケーションのインストールを可能とするコンピュータ端末に関する。
【背景技術】
【0002】
上記のような端末は、特に、WAP(Wireless Application Protocol)を用いた電話機、オフィス用のコンピュータ、携帯型のコンピュータ、あるいは、PDA(Personal Digital Assistants)であり得る。これらは、実際多くの場合はIPプロトコル(Internet Protocol)に基づいて運用されるデジタルデータネットワーク、特に、インターネットに接続されるという共通の特性を有する。
【0003】
“クローズ”端末(例えばMinitel)の場合は、端末に存在するアプリケーションは知られており、その端末が存在する間は変更することはできない。
端末のオープン性は、ユーザがその端末自身によって実行しようとする新たなアプリケーションをインストールし、かつ多くの場合ダウンロードするために提供される機能とされる。この機能を組み込んだ“オープン”端末の例は、
・例えば、Java(登録商標)MIDP型(Mobile Information Device Profile、
サンマイクロシステムズ(登録商標)社)のアプリケーションダウンロード電話機
・例えば、WMLスクリプト型(「WAP WMLスクリプト言語仕様」、バージョン
1.1、WAPフォーラム、2001年11月を参照)またはECMAスクリプト
型(Java(登録商標)スクリプトとも呼ばれる。「ECMAスクリプト言語仕様」、
ECMA−262標準、第3版、1999年12月を参照)のスクリプト処理機能
を有するブラウザ、または、アプレットを実行可能なブラウザ
・Palm(登録商標)OS、Windows(登録商標)CE、Symbian
(登録商標)等のオペレーティングシステムのもとで運用される大多数のPDA
・オフィス用または携帯型のコンピュータ
【0004】
“セミオープン”端末は、ある機能がユーザによってインストールまたはダウンロードされたアプリケーションに直接利用可能でないオープン端末である。例えば、唯一“オープン”であるのはECMAスクリプトである端末において、ダウンロードされたアプリケーションは全てのネットワーク機能を利用できるわけではない(例えば、最も一般的なトランスポートプロトコル、すわなち、TCP(Transmission Control Protocol)またはUDP(User Datagram Protocol)のフォーマットに準拠していないIPパケットの送信)。これらの機能は間接的でかつ制御された方法で利用可能となりうる。例えば、ECMAスクリプトの関数はHTTP(Hypertext Transfer Protocol)によりページの読み込みを命令することができ、これはネットワークを利用するが制御された方法である。
“セミオープン”端末には次のようなものが共存している。
・例えば、端末メーカによって工場でインストールされたため、または、アプリケー
ションへの電子署名のような手法で獲得された保証のため、等、“信用できる”アプ
リケーションとみなされるアプリケーション、
・ユーザ自身によってユーザ自身の判断で端末にインストールされたが、信用できる
アプリケーションと同じ利用権限は有しないその他のアプリケーション。
【0005】
一方、“フルオープン”端末は、ダウンロードされたアプリケーションに全ての機能が利用可能であるオープン端末である。端末のオープン性の概念は、それが生じる状況に大きく依存する。例えば、OSIモデル(データリンク層、ネットワーク層、セッション層、トランスポート層、等)の異なる階層においては、オープン性の程度も異なる。
【0006】
ここで、サーバから遠隔で監視することができる機能、すなわち、ネットワーク機能に着目する。この状況においては、端末の“セミオープン”の特性は、一般に遠隔から監視することができかつ信用できるアプリケーションを利用できる実行権限が、信用できないアプリケーションを利用できないことを意味する(例えば、IPネットワークにおいてHTTP以外のリクエストを送信する権限)。これによりサーバは、受信したリクエストのうち信用できるアプリケーションを送信元とするリクエストと、その他のアプリケーションを送信元とするリクエストとを区別することができる。特に、ダウンロードされたアプリケーションを送信元とするリクエストと、最初から端末に存在するアプリケーションを送信元とするリクエストとを区別することができる。
【0007】
オープン端末においては、プログラムがユーザをだますように振舞う可能性(トロイの木馬)を考慮しなければならない。したがって、リクエストが本当にユーザを送信元とするものであり、かつネットワークにおいてユーザの承諾を装うプログラムを送信元とするものでないことは、サーバに対して何も保証しない。このリスクは、クライアントから受信したデータに対するサーバの信用を低下させる。トロイの木馬がユーザの代わりにリクエストを送信する機能を有するならば、サーバ宛に送信されたリクエストがユーザの行動を反映するという前提は理にかなっていない。
【0008】
したがって、端末に存在するアプリケーションは下記のように区別される。
・信用できるアプリケーション:サーバは、これらのアプリケーションがトロイの
木馬でないことを前提とする。例えば、WAP電話機のWAPブラウザは信用でき
るアプリケーションである。他の例は、署名付きでダウンロードされたJava
(登録商標)MIDPアプリケーションである。
・信用できないアプリケーション:サーバは、これらのアプリケーションはトロイの
木馬である可能性があると判断する。例えば、署名なしで端末にダウンロードされ
たJava(登録商標)MIDPアプリケーションは信用できないアプリケーショ
ンの可能性がある。
【0009】
トロイの木馬のリスクに対する従来の対応は、信用できないアプリケーションの能力を制限することである。
セミオープン端末からのフレーム送信の制限は、通常は極めて厳しい方法が強いられている。(端末のオペレーティングシステムとともに提供された)システムアプリケーションのみ、所定のフレーム送信が許可される。
【発明の開示】
【発明が解決しようとする課題】
【0010】
したがって、そのアプリケーションが送信したフレームの内容(例えば、署名されたデータの送信)あるいはアプリケーションの特性(例えば、アプリケーションの内容に関係づけられた署名)によってサーバの信用を得る他の情報源による手段を有しているとしても、(信用できるかまたは信用できない)ダウンロードされたアプリケーションはサーバへフレームを送信することは不可能となる。
【0011】
本発明の目的は、アプリケーションに対して柔軟であるにもかかわらず受信するサーバが識別可能な、“信用できる”アプリケーションと“信用できない”アプリケーションの間で、新たな種類の、リクエストを送信する能力の区別をすることである。信用の概念は様々な基準(署名、情報交換のタイプ、アプリケーションがダウンロードされるURL等)に依存する。
【課題を解決するための手段】
【0012】
したがって、本発明は、第1の装置は、第1のファミリーと、第1のファミリーより経験的に信用度が低い第2のファミリーとのそれぞれに属する第1および第2のアプリケーションを具備する、通信ネットワークを介した第1の装置と第2の装置との間での通信方法を提案する。本発明の1つの側面によれば、第2のファミリーに属するアプリケーションを送信元とし、ネットワークを介して第2の装置へ送信される各々のリクエストは、アプリケーションの第2のファミリーに関係づけられたマークを含むことを強制される。本発明のもう1つの側面によれば、第2のファミリーに属するアプリケーションを送信元とし、ネットワークを介して第2の装置へ送信される各々のリクエストは、第1のファミリーに関係づけられたマークを除外することを強制され、マークは、ネットワークを介して送信され、第1のファミリーに属するアプリケーションを送信元とするリクエストのうち少なくともいくつかに含まれる。また、本発明は、第1の装置としてそのような通信方法を用いる手段を具備する通信端末を提案する。
【発明の効果】
【0013】
この通信方法によれば、第1の装置で実行されるある特定の(“信用できる”)アプリケーションは、この第2の装置に対するこれらのフレームの信頼できる送信元の保証とともに、通常は遠隔のサーバである第2の装置の注意を喚起するためのフレームを送信することができる。第2のファミリーに属する経験的に信用できないアプリケーションへ強制的にマークを付与(あるいは対称的にはそれを除外)することによって、送信する場合に、これらの経験的に信用できないアプリケーションによって送信されたフレームと、信用できるアプリケーションから送信されたフレームとを区別する。これによりサーバは、信用でき受信すべきリクエストと拒否すべきリクエストとを区別することができる。
【0014】
付与されるマークは完全に“隙のない(watertight)”ものでなければならない。すなわち、経験的に信用できないアプリケーションが、最も下位のレイヤ(例えばTCP接続要求)を攻撃することによって、あるレベル(例えば、HTTPリクエスト関数)で行われる検査を免れることが不可能でなければならない。
【0015】
この通信方法の一実施形態において、ネットワークを介して送信され、かつ第2のファミリーに属するアプリケーションを送信元とするリクエストに含まれるマークは、第2のファミリーに属するアプリケーションの特質および/または送信元の表示を含むことを強制される。この表示は例えば署名されたアプリケーションの署名の証明書、または、ネットワークを介してダウンロードされたアプリケーションのダウンロードアドレスに関するデータ中に存在する。これは、第1の装置によって、経験的に信用できないアプリケーションにすぎないと判断される可能性のあるアプリケーションが信用を有するか否かを評価するために遠隔の装置によって用いられる。
【0016】
この通信方法によれば、ダウンロード機能(端末の“オープン性”)に本来備わっているリスクにもかかわらず、アプリケーションのダウンロードをサポートする端末は、サーバと完全に信用してデータを交換することができる。したがって、この通信方法はトロイの木馬に対して簡単で効果的な防御を提供する。
本発明の他の特徴及び利点は、添付図面を参照して限定のない典型的な実施形態について以下のように記載される。添付図面における唯一の図は本発明を用いたシステムの概要である。
【発明を実施するための最良の形態】
【0017】
サーバ1のような遠隔の装置が、安全で柔軟な方法で、セミオープン端末2から通信ネットワークRを介して受信したリクエストにおける信用を獲得させることを目的とするものである。この端末は、一方で例えばウェブブラウザのような信用できるアプリケーション3と、他方で特に端末のユーザがネットワークRを介してダウンロードした経験的に信用できないアプリケーション4とを有する。
【0018】
経験的に信用できないアプリケーション4は、ネットワークRを介して送信するフレームまたはリクエストについて、図において、ネットワークにアクセスするために端末2に設けられたリソース6の一部を構成する制御レイヤ5の符号で表された制約がされる。
【0019】
前記制御レイヤ5は、経験的に信用できないアプリケーション4によって送信されるフレームが満たす所定の属性を検証する。これらの属性が満たされれば、制御レイヤ5はフレームを通過させる。そうでない場合は、そのフレームをネットワークRへ通過させずにそれらを送信したアプリケーション4に通知するか、あるいは、経験的に信用できないアプリケーションの要求条件を満たすようにフレームを修正する。後者の場合、そのフレームはサーバ1における信用を失い、サーバ1はそのフレームを利用することができない。
前述の制約は、あるアプリケーションからネットワークRを介して送信されるリクエストに含まれる特定のマークの存否に関係する。
【0020】
本発明の第1実施形態において制御レイヤ5は、経験的に信用できないアプリケーション4を送信元とするリクエストが、このアプリケーションのファミリーに関係づけられたマークを含むことを強制する。信用できるアプリケーション3は制御レイヤ5を迂回しかつマークが付与されていないリクエストを送信することを許可する機能を利用することができる。一方、ネットワークRへアクセスするためのリソース6は、経験的に信用できないアプリケーション4の処理においてこの機能を有しない。
【0021】
この第1実施形態の図示例において、端末2(例えば携帯電話機)は、図のモジュール6に対応するJava(登録商標)仮想マシンを有する。仮想マシンはサンマイクロシステムズ(登録商標)社によって開発されたJava(登録商標)プログラミング言語で記述されダウンロードされたアプリケーションを実行するために用いることができる。Java(登録商標)言語の全ての命令は所定の検査の後、システム関数を呼び出す仮想マシンによって実行される。検査せずにシステム関数を呼び出すことはないので、Java(登録商標)アプリケーションは明らかにセミオープン環境である。この端末2は、Java(登録商標)コードのみをダウンロードすることができ、ユーザによってインストールされうるその他の種類のアプリケーションはダウンロードすることはできない。
経験的に信用できないアプリケーション4は、Java(登録商標)言語で記述されている。
【0022】
この実施形態において、ネットワークRを介した端末2における情報交換に用いられるプロトコルは、HTTPプロトコル(1996年5月にIETF(Internet Engineering Task Force)によって発行されたRFC(Request For Comment)1945)、TCP(RFC 793、IETF、1981年9月)およびIP(RFC 791、IETF、1981年9月)である。
【0023】
前記サービスは、ユーザに属するコンテンツを格納するHTTPサーバ1によって提供される。リクエスト(例えば全てのファイルの削除をリクエスト)は、事実上ユーザから送信され、かつ悪意のあるJava(登録商標)プログラムから送信されたものでないという条件を満たさなければならない。このサービスはもちろん一例であり、他のどのようなサービス(電子商取引、出版、メッセージング等)もこの技術を用いることができる。
【0024】
前記マークは、HTTPリクエストの”user-agent”ヘッダ領域(前述のRFC 1945の10.15節を参照)に含まれる。このマークは”Non-confidence application: VM Java 1.2”のような特定の文字列に含まれ、それが存在することによってリクエストは経験的に信用できるアプリケーションから送信されていないことを示す。この文字列はアプリケーション4によって生成されたリクエストに既に存在していてもよい。その場合、仮想マシン6の制御レイヤ5はその存在を検証するのみである。そうでない場合、この制御レイヤ5はリクエストに正しくマークが付与されるようにその文字列を挿入する。
【0025】
前記仮想マシン6によって付与されるマークの完璧さは、経験的に信用できないアプリケーション4がこの特定の文字列を含まないHTTPリクエストをネットワークRを介して送信することが不可能であるという事実に基づく。特に、アプリケーション4は、HTTPより下位のプロトコルレイヤ、特にTCPソケットに接続することによってネットワークRにアクセスすることはできない。マークは、経験的に信用できないアプリケーションが実行を強制され、どのような方法においても回避することができない仮想マシン6において直接実施される。
【0026】
したがって、前記サーバ1は受信するリクエストの中から、経験的に信用できないアプリケーション4を送信元とするリクエストと、ウェブブラウザのような信用できるアプリケーション3を送信元とするリクエストとを区別する。
【0027】
あるサイトについてのみ信用できるアプリケーションも存在する。例えば、Java(登録商標)アプレットは、通常は、ダウンロードされたサイトからは信用できるアプレットであると判断されるが、その他のサイトからは信用できるアプレットであるとは判断されない。したがって、このダウンロードサイトへ送信されるリクエストにおいては、マークは必要であるとは限らない。すなわち、仮想マシン6は、そのようなアプレットを送信元とするとともに、ダウンロードされたサイト以外のサイトへ送信されるリクエストにマークを強制し、かつアプレットがそのソースサイトへ送信するリクエストにマークを含めるか除外するかはそのアプレットの自由に任せてもよい。もう1つの可能性は、そのようなアプレットから送信されるどのようなリクエストにも、送信先に関係なくマークを強制することである。
【0028】
信用できないリクエストへのマーク付与の変形例として、これらのリクエストのいくつかを禁止してもよい。例えば、所定のサーバからダウンロードされた信用できないアプリケーションに対して、異なるサーバへ向けたリクエストを禁止してもよい。ソースサーバへのリクエストはマークを付与して可能なままとする。
他の実施形態においては、リクエストの送信元となる経験的に信用できないアプリケーション4の特質および/または送信元の表示をマークに補足すると効果的である。
【0029】
この経験的に信用できないアプリケーション4は署名してもよい。それを送信元とするリクエストは、このアプリケーションにおいて遠隔のサーバの信用を確立するために適した次の構成要素のうち少なくとも1つを含むヘッダを有するマークが付与される。
・アプリケーションの署名者の証明書またはその証明書のダイジェスト
・アプリケーションの署名者の証明書から始まる証明列またはその証明書のダイジェ
スト
・この目的のためにアプリケーションのコードに含まれる特定の文字列
・動的な方法でアプリケーションを識別する可変要素
【0030】
このような本発明の実施形態は、特に証明書によって署名されたJava(登録商標)アプリケーションの場合に適用できる。
この場合、仮想マシン6は、リクエストの送信前にJava(登録商標)アプリケーションの署名を検証しなければならない。実際、この検証はアプリケーション4が実行される前に行われる。
【0031】
マークは、例えば”Confidence content - Application signed by <C>”のような特定の文字列をHTTPヘッダに付加して構成してもよい。ここで<C>はアプリケーションの署名者の証明書またはその証明書のダイジェストの値である。このヘッダはその存在によりリクエストがユーザから直接送信され、出所の知られたソフトウェアプログラムによって生成されたことを示す。
この方法により、サーバ1が証明書<C>に対応付けられた秘密鍵の所有者を信用するならば、この特定のヘッダにマークが付与されたリクエストがユーザの有効な同意に正しく対応するものであることがサーバ1に保証される。マーク付与の要求条件は、アプリケーションがサーバに対し実際の署名者以外の署名者の権限を主張することができないことを意味する。
【0032】
ダウンロードされたJava(登録商標)アプレットの場合、仮想マシン6はアプリケーションのダウンロードアドレスを識別することができる。したがって、そのようなアプレットを送信元とする経験的に信用できないリクエストに、そのダウンロードアドレスまたはそのアドレスに関するデータを含むことを強制してもよい。
【0033】
本発明のもう1つの実施形態は、マークの構文を逆にする。制御レイヤ5は、経験的に信用できないアプリケーション4を送信元とするリクエストに、信用できるアプリケーション3に特有のマークを除外することを強制する。
サーバ1に対してそれ自身が信用できるアプリケーションであることを明らかにするために、アプリケーション3は、アプリケーション3がサーバ1へ送信するリクエストにマークを含める。制御レイヤ5は経験的に信用できないアプリケーション4を送信元とする各々のリクエストにこのマークが存在しないことを確認し、信用できない特性は前述のようにリクエストの送信先サイトに従って判断することができる。経験的に信用できないアプリケーション4を送信元とするリクエストにこのマークが存在する場合は、次のように、そのリクエストは送信されない。そのマークは制御レイヤ5によって削除され、制御レイヤ5はネットワークRを介して“マークが削除された”リクエストを送信してもよいし送信しなくてもよく、アプリケーション4に通知してもよいし、通知しなくてもよい。
マークの構文に用いられる規約は、もちろん、端末とサーバで共通であり、送受信前に双方が知らなければならない。
【図面の簡単な説明】
【0034】
【図1】本発明の実施形態によるシステムの構成を示すブロック図である。
【符号の説明】
【0035】
1 サーバ
2 セミオープン端末
3 信用できるアプリケーション
4 信用できないアプリケーション
5 制御レイヤ
6 仮想マシン
R ネットワーク
【技術分野】
【0001】
本発明は、ネットワークブラウザ型の活用ができるとともに、ユーザにアプリケーションのインストールを可能とするコンピュータ端末に関する。
【背景技術】
【0002】
上記のような端末は、特に、WAP(Wireless Application Protocol)を用いた電話機、オフィス用のコンピュータ、携帯型のコンピュータ、あるいは、PDA(Personal Digital Assistants)であり得る。これらは、実際多くの場合はIPプロトコル(Internet Protocol)に基づいて運用されるデジタルデータネットワーク、特に、インターネットに接続されるという共通の特性を有する。
【0003】
“クローズ”端末(例えばMinitel)の場合は、端末に存在するアプリケーションは知られており、その端末が存在する間は変更することはできない。
端末のオープン性は、ユーザがその端末自身によって実行しようとする新たなアプリケーションをインストールし、かつ多くの場合ダウンロードするために提供される機能とされる。この機能を組み込んだ“オープン”端末の例は、
・例えば、Java(登録商標)MIDP型(Mobile Information Device Profile、
サンマイクロシステムズ(登録商標)社)のアプリケーションダウンロード電話機
・例えば、WMLスクリプト型(「WAP WMLスクリプト言語仕様」、バージョン
1.1、WAPフォーラム、2001年11月を参照)またはECMAスクリプト
型(Java(登録商標)スクリプトとも呼ばれる。「ECMAスクリプト言語仕様」、
ECMA−262標準、第3版、1999年12月を参照)のスクリプト処理機能
を有するブラウザ、または、アプレットを実行可能なブラウザ
・Palm(登録商標)OS、Windows(登録商標)CE、Symbian
(登録商標)等のオペレーティングシステムのもとで運用される大多数のPDA
・オフィス用または携帯型のコンピュータ
【0004】
“セミオープン”端末は、ある機能がユーザによってインストールまたはダウンロードされたアプリケーションに直接利用可能でないオープン端末である。例えば、唯一“オープン”であるのはECMAスクリプトである端末において、ダウンロードされたアプリケーションは全てのネットワーク機能を利用できるわけではない(例えば、最も一般的なトランスポートプロトコル、すわなち、TCP(Transmission Control Protocol)またはUDP(User Datagram Protocol)のフォーマットに準拠していないIPパケットの送信)。これらの機能は間接的でかつ制御された方法で利用可能となりうる。例えば、ECMAスクリプトの関数はHTTP(Hypertext Transfer Protocol)によりページの読み込みを命令することができ、これはネットワークを利用するが制御された方法である。
“セミオープン”端末には次のようなものが共存している。
・例えば、端末メーカによって工場でインストールされたため、または、アプリケー
ションへの電子署名のような手法で獲得された保証のため、等、“信用できる”アプ
リケーションとみなされるアプリケーション、
・ユーザ自身によってユーザ自身の判断で端末にインストールされたが、信用できる
アプリケーションと同じ利用権限は有しないその他のアプリケーション。
【0005】
一方、“フルオープン”端末は、ダウンロードされたアプリケーションに全ての機能が利用可能であるオープン端末である。端末のオープン性の概念は、それが生じる状況に大きく依存する。例えば、OSIモデル(データリンク層、ネットワーク層、セッション層、トランスポート層、等)の異なる階層においては、オープン性の程度も異なる。
【0006】
ここで、サーバから遠隔で監視することができる機能、すなわち、ネットワーク機能に着目する。この状況においては、端末の“セミオープン”の特性は、一般に遠隔から監視することができかつ信用できるアプリケーションを利用できる実行権限が、信用できないアプリケーションを利用できないことを意味する(例えば、IPネットワークにおいてHTTP以外のリクエストを送信する権限)。これによりサーバは、受信したリクエストのうち信用できるアプリケーションを送信元とするリクエストと、その他のアプリケーションを送信元とするリクエストとを区別することができる。特に、ダウンロードされたアプリケーションを送信元とするリクエストと、最初から端末に存在するアプリケーションを送信元とするリクエストとを区別することができる。
【0007】
オープン端末においては、プログラムがユーザをだますように振舞う可能性(トロイの木馬)を考慮しなければならない。したがって、リクエストが本当にユーザを送信元とするものであり、かつネットワークにおいてユーザの承諾を装うプログラムを送信元とするものでないことは、サーバに対して何も保証しない。このリスクは、クライアントから受信したデータに対するサーバの信用を低下させる。トロイの木馬がユーザの代わりにリクエストを送信する機能を有するならば、サーバ宛に送信されたリクエストがユーザの行動を反映するという前提は理にかなっていない。
【0008】
したがって、端末に存在するアプリケーションは下記のように区別される。
・信用できるアプリケーション:サーバは、これらのアプリケーションがトロイの
木馬でないことを前提とする。例えば、WAP電話機のWAPブラウザは信用でき
るアプリケーションである。他の例は、署名付きでダウンロードされたJava
(登録商標)MIDPアプリケーションである。
・信用できないアプリケーション:サーバは、これらのアプリケーションはトロイの
木馬である可能性があると判断する。例えば、署名なしで端末にダウンロードされ
たJava(登録商標)MIDPアプリケーションは信用できないアプリケーショ
ンの可能性がある。
【0009】
トロイの木馬のリスクに対する従来の対応は、信用できないアプリケーションの能力を制限することである。
セミオープン端末からのフレーム送信の制限は、通常は極めて厳しい方法が強いられている。(端末のオペレーティングシステムとともに提供された)システムアプリケーションのみ、所定のフレーム送信が許可される。
【発明の開示】
【発明が解決しようとする課題】
【0010】
したがって、そのアプリケーションが送信したフレームの内容(例えば、署名されたデータの送信)あるいはアプリケーションの特性(例えば、アプリケーションの内容に関係づけられた署名)によってサーバの信用を得る他の情報源による手段を有しているとしても、(信用できるかまたは信用できない)ダウンロードされたアプリケーションはサーバへフレームを送信することは不可能となる。
【0011】
本発明の目的は、アプリケーションに対して柔軟であるにもかかわらず受信するサーバが識別可能な、“信用できる”アプリケーションと“信用できない”アプリケーションの間で、新たな種類の、リクエストを送信する能力の区別をすることである。信用の概念は様々な基準(署名、情報交換のタイプ、アプリケーションがダウンロードされるURL等)に依存する。
【課題を解決するための手段】
【0012】
したがって、本発明は、第1の装置は、第1のファミリーと、第1のファミリーより経験的に信用度が低い第2のファミリーとのそれぞれに属する第1および第2のアプリケーションを具備する、通信ネットワークを介した第1の装置と第2の装置との間での通信方法を提案する。本発明の1つの側面によれば、第2のファミリーに属するアプリケーションを送信元とし、ネットワークを介して第2の装置へ送信される各々のリクエストは、アプリケーションの第2のファミリーに関係づけられたマークを含むことを強制される。本発明のもう1つの側面によれば、第2のファミリーに属するアプリケーションを送信元とし、ネットワークを介して第2の装置へ送信される各々のリクエストは、第1のファミリーに関係づけられたマークを除外することを強制され、マークは、ネットワークを介して送信され、第1のファミリーに属するアプリケーションを送信元とするリクエストのうち少なくともいくつかに含まれる。また、本発明は、第1の装置としてそのような通信方法を用いる手段を具備する通信端末を提案する。
【発明の効果】
【0013】
この通信方法によれば、第1の装置で実行されるある特定の(“信用できる”)アプリケーションは、この第2の装置に対するこれらのフレームの信頼できる送信元の保証とともに、通常は遠隔のサーバである第2の装置の注意を喚起するためのフレームを送信することができる。第2のファミリーに属する経験的に信用できないアプリケーションへ強制的にマークを付与(あるいは対称的にはそれを除外)することによって、送信する場合に、これらの経験的に信用できないアプリケーションによって送信されたフレームと、信用できるアプリケーションから送信されたフレームとを区別する。これによりサーバは、信用でき受信すべきリクエストと拒否すべきリクエストとを区別することができる。
【0014】
付与されるマークは完全に“隙のない(watertight)”ものでなければならない。すなわち、経験的に信用できないアプリケーションが、最も下位のレイヤ(例えばTCP接続要求)を攻撃することによって、あるレベル(例えば、HTTPリクエスト関数)で行われる検査を免れることが不可能でなければならない。
【0015】
この通信方法の一実施形態において、ネットワークを介して送信され、かつ第2のファミリーに属するアプリケーションを送信元とするリクエストに含まれるマークは、第2のファミリーに属するアプリケーションの特質および/または送信元の表示を含むことを強制される。この表示は例えば署名されたアプリケーションの署名の証明書、または、ネットワークを介してダウンロードされたアプリケーションのダウンロードアドレスに関するデータ中に存在する。これは、第1の装置によって、経験的に信用できないアプリケーションにすぎないと判断される可能性のあるアプリケーションが信用を有するか否かを評価するために遠隔の装置によって用いられる。
【0016】
この通信方法によれば、ダウンロード機能(端末の“オープン性”)に本来備わっているリスクにもかかわらず、アプリケーションのダウンロードをサポートする端末は、サーバと完全に信用してデータを交換することができる。したがって、この通信方法はトロイの木馬に対して簡単で効果的な防御を提供する。
本発明の他の特徴及び利点は、添付図面を参照して限定のない典型的な実施形態について以下のように記載される。添付図面における唯一の図は本発明を用いたシステムの概要である。
【発明を実施するための最良の形態】
【0017】
サーバ1のような遠隔の装置が、安全で柔軟な方法で、セミオープン端末2から通信ネットワークRを介して受信したリクエストにおける信用を獲得させることを目的とするものである。この端末は、一方で例えばウェブブラウザのような信用できるアプリケーション3と、他方で特に端末のユーザがネットワークRを介してダウンロードした経験的に信用できないアプリケーション4とを有する。
【0018】
経験的に信用できないアプリケーション4は、ネットワークRを介して送信するフレームまたはリクエストについて、図において、ネットワークにアクセスするために端末2に設けられたリソース6の一部を構成する制御レイヤ5の符号で表された制約がされる。
【0019】
前記制御レイヤ5は、経験的に信用できないアプリケーション4によって送信されるフレームが満たす所定の属性を検証する。これらの属性が満たされれば、制御レイヤ5はフレームを通過させる。そうでない場合は、そのフレームをネットワークRへ通過させずにそれらを送信したアプリケーション4に通知するか、あるいは、経験的に信用できないアプリケーションの要求条件を満たすようにフレームを修正する。後者の場合、そのフレームはサーバ1における信用を失い、サーバ1はそのフレームを利用することができない。
前述の制約は、あるアプリケーションからネットワークRを介して送信されるリクエストに含まれる特定のマークの存否に関係する。
【0020】
本発明の第1実施形態において制御レイヤ5は、経験的に信用できないアプリケーション4を送信元とするリクエストが、このアプリケーションのファミリーに関係づけられたマークを含むことを強制する。信用できるアプリケーション3は制御レイヤ5を迂回しかつマークが付与されていないリクエストを送信することを許可する機能を利用することができる。一方、ネットワークRへアクセスするためのリソース6は、経験的に信用できないアプリケーション4の処理においてこの機能を有しない。
【0021】
この第1実施形態の図示例において、端末2(例えば携帯電話機)は、図のモジュール6に対応するJava(登録商標)仮想マシンを有する。仮想マシンはサンマイクロシステムズ(登録商標)社によって開発されたJava(登録商標)プログラミング言語で記述されダウンロードされたアプリケーションを実行するために用いることができる。Java(登録商標)言語の全ての命令は所定の検査の後、システム関数を呼び出す仮想マシンによって実行される。検査せずにシステム関数を呼び出すことはないので、Java(登録商標)アプリケーションは明らかにセミオープン環境である。この端末2は、Java(登録商標)コードのみをダウンロードすることができ、ユーザによってインストールされうるその他の種類のアプリケーションはダウンロードすることはできない。
経験的に信用できないアプリケーション4は、Java(登録商標)言語で記述されている。
【0022】
この実施形態において、ネットワークRを介した端末2における情報交換に用いられるプロトコルは、HTTPプロトコル(1996年5月にIETF(Internet Engineering Task Force)によって発行されたRFC(Request For Comment)1945)、TCP(RFC 793、IETF、1981年9月)およびIP(RFC 791、IETF、1981年9月)である。
【0023】
前記サービスは、ユーザに属するコンテンツを格納するHTTPサーバ1によって提供される。リクエスト(例えば全てのファイルの削除をリクエスト)は、事実上ユーザから送信され、かつ悪意のあるJava(登録商標)プログラムから送信されたものでないという条件を満たさなければならない。このサービスはもちろん一例であり、他のどのようなサービス(電子商取引、出版、メッセージング等)もこの技術を用いることができる。
【0024】
前記マークは、HTTPリクエストの”user-agent”ヘッダ領域(前述のRFC 1945の10.15節を参照)に含まれる。このマークは”Non-confidence application: VM Java 1.2”のような特定の文字列に含まれ、それが存在することによってリクエストは経験的に信用できるアプリケーションから送信されていないことを示す。この文字列はアプリケーション4によって生成されたリクエストに既に存在していてもよい。その場合、仮想マシン6の制御レイヤ5はその存在を検証するのみである。そうでない場合、この制御レイヤ5はリクエストに正しくマークが付与されるようにその文字列を挿入する。
【0025】
前記仮想マシン6によって付与されるマークの完璧さは、経験的に信用できないアプリケーション4がこの特定の文字列を含まないHTTPリクエストをネットワークRを介して送信することが不可能であるという事実に基づく。特に、アプリケーション4は、HTTPより下位のプロトコルレイヤ、特にTCPソケットに接続することによってネットワークRにアクセスすることはできない。マークは、経験的に信用できないアプリケーションが実行を強制され、どのような方法においても回避することができない仮想マシン6において直接実施される。
【0026】
したがって、前記サーバ1は受信するリクエストの中から、経験的に信用できないアプリケーション4を送信元とするリクエストと、ウェブブラウザのような信用できるアプリケーション3を送信元とするリクエストとを区別する。
【0027】
あるサイトについてのみ信用できるアプリケーションも存在する。例えば、Java(登録商標)アプレットは、通常は、ダウンロードされたサイトからは信用できるアプレットであると判断されるが、その他のサイトからは信用できるアプレットであるとは判断されない。したがって、このダウンロードサイトへ送信されるリクエストにおいては、マークは必要であるとは限らない。すなわち、仮想マシン6は、そのようなアプレットを送信元とするとともに、ダウンロードされたサイト以外のサイトへ送信されるリクエストにマークを強制し、かつアプレットがそのソースサイトへ送信するリクエストにマークを含めるか除外するかはそのアプレットの自由に任せてもよい。もう1つの可能性は、そのようなアプレットから送信されるどのようなリクエストにも、送信先に関係なくマークを強制することである。
【0028】
信用できないリクエストへのマーク付与の変形例として、これらのリクエストのいくつかを禁止してもよい。例えば、所定のサーバからダウンロードされた信用できないアプリケーションに対して、異なるサーバへ向けたリクエストを禁止してもよい。ソースサーバへのリクエストはマークを付与して可能なままとする。
他の実施形態においては、リクエストの送信元となる経験的に信用できないアプリケーション4の特質および/または送信元の表示をマークに補足すると効果的である。
【0029】
この経験的に信用できないアプリケーション4は署名してもよい。それを送信元とするリクエストは、このアプリケーションにおいて遠隔のサーバの信用を確立するために適した次の構成要素のうち少なくとも1つを含むヘッダを有するマークが付与される。
・アプリケーションの署名者の証明書またはその証明書のダイジェスト
・アプリケーションの署名者の証明書から始まる証明列またはその証明書のダイジェ
スト
・この目的のためにアプリケーションのコードに含まれる特定の文字列
・動的な方法でアプリケーションを識別する可変要素
【0030】
このような本発明の実施形態は、特に証明書によって署名されたJava(登録商標)アプリケーションの場合に適用できる。
この場合、仮想マシン6は、リクエストの送信前にJava(登録商標)アプリケーションの署名を検証しなければならない。実際、この検証はアプリケーション4が実行される前に行われる。
【0031】
マークは、例えば”Confidence content - Application signed by <C>”のような特定の文字列をHTTPヘッダに付加して構成してもよい。ここで<C>はアプリケーションの署名者の証明書またはその証明書のダイジェストの値である。このヘッダはその存在によりリクエストがユーザから直接送信され、出所の知られたソフトウェアプログラムによって生成されたことを示す。
この方法により、サーバ1が証明書<C>に対応付けられた秘密鍵の所有者を信用するならば、この特定のヘッダにマークが付与されたリクエストがユーザの有効な同意に正しく対応するものであることがサーバ1に保証される。マーク付与の要求条件は、アプリケーションがサーバに対し実際の署名者以外の署名者の権限を主張することができないことを意味する。
【0032】
ダウンロードされたJava(登録商標)アプレットの場合、仮想マシン6はアプリケーションのダウンロードアドレスを識別することができる。したがって、そのようなアプレットを送信元とする経験的に信用できないリクエストに、そのダウンロードアドレスまたはそのアドレスに関するデータを含むことを強制してもよい。
【0033】
本発明のもう1つの実施形態は、マークの構文を逆にする。制御レイヤ5は、経験的に信用できないアプリケーション4を送信元とするリクエストに、信用できるアプリケーション3に特有のマークを除外することを強制する。
サーバ1に対してそれ自身が信用できるアプリケーションであることを明らかにするために、アプリケーション3は、アプリケーション3がサーバ1へ送信するリクエストにマークを含める。制御レイヤ5は経験的に信用できないアプリケーション4を送信元とする各々のリクエストにこのマークが存在しないことを確認し、信用できない特性は前述のようにリクエストの送信先サイトに従って判断することができる。経験的に信用できないアプリケーション4を送信元とするリクエストにこのマークが存在する場合は、次のように、そのリクエストは送信されない。そのマークは制御レイヤ5によって削除され、制御レイヤ5はネットワークRを介して“マークが削除された”リクエストを送信してもよいし送信しなくてもよく、アプリケーション4に通知してもよいし、通知しなくてもよい。
マークの構文に用いられる規約は、もちろん、端末とサーバで共通であり、送受信前に双方が知らなければならない。
【図面の簡単な説明】
【0034】
【図1】本発明の実施形態によるシステムの構成を示すブロック図である。
【符号の説明】
【0035】
1 サーバ
2 セミオープン端末
3 信用できるアプリケーション
4 信用できないアプリケーション
5 制御レイヤ
6 仮想マシン
R ネットワーク
【特許請求の範囲】
【請求項1】
通信ネットワーク(R)を介した第1の装置(2)と第2の装置(1)との間の通信方法であって、
前記第1の装置は、第1のファミリーと、前記第1のファミリーより経験的に低い信用度を有する第2のファミリーとのそれぞれに属するアプリケーション(3、4)を具備する通信方法において、
前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記ネットワークを介して前記第2の装置へ送信される各々のリクエストは、アプリケーションの第2のファミリーに関係づけられたマークを含むことを強制されることを特徴とする通信方法。
【請求項2】
前記マークは、前記ネットワーク(R)を介して送信され、かつ前記第2のファミリーに属するアプリケーション(4)を送信元とする各々のリクエストに含まれることを特徴とする請求項1に記載の通信方法。
【請求項3】
前記ネットワーク(R)を介して送信され、かつ前記第2のファミリーに属するアプリケーション(4)を送信元とするリクエストに含まれるマークは、前記第2のファミリーに属するアプリケーションの特質および/または送信元の表示を含むことを強制されることを特徴とする請求項1または2に記載の通信方法。
【請求項4】
前記第2のファミリーに属するアプリケーション(4)は署名され、前記アプリケーションを送信元とするリクエストに含まれるマークは、署名の証明書に関するデータを含むことを強制されることを特徴とする請求項3に記載の通信方法。
【請求項5】
前記第2のファミリーに属するアプリケーション(4)は、ある1つのダウンロードアドレスから前記ネットワーク(R)を介してダウンロードされ、前記アプリケーションを送信元とするリクエストに含まれるマークは、前記アプリケーションのダウンロードアドレスに関するデータを含むことを強制されることを特徴とする請求項3または4に記載の通信方法。
【請求項6】
通信ネットワーク(R)を介した第1の装置(2)と第2の装置(1)との間の通信方法であって、
前記第1の装置は、第1のファミリーと、前記第1のファミリーより経験的に低い信用度を有する第2のファミリーとのそれぞれに属するアプリケーション(3、4)を具備する通信方法において、
前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記ネットワークを介して前記第2の装置へ送信される各々のリクエストは、前記第1のファミリーに関係づけられたマークを除外することを強制され、前記マークは前記ネットワークを介して送信され、かつ前記第1のファミリーに属するアプリケーション(3)を送信元とするリクエストのうち少なくともいくつかに含まれることを特徴とする通信方法。
【請求項7】
前記第2の装置(1)は、そのリクエストに付与された信用度を評価するため、前記第1の装置(2)から前記ネットワーク(R)を介して受信したリクエストに前記マークが存在するか否かを検査することを特徴とする請求項1から6のいずれか1項に記載の通信方法。
【請求項8】
前記リクエストに前記マークが存在するときには、前記第2の装置(1)は前記リクエストに付与された信用度を評価するため、前記マークに含まれるデータを検査することを特徴とする請求項7に記載の通信方法。
【請求項9】
前記第2の装置(1)によって検査されるデータは、前記リクエストの送信元であるアプリケーションの署名の証明書に関するデータを有することを特徴とする請求項8に記載の通信方法。
【請求項10】
前記第2の装置(1)によって検査されるデータは、前記リクエストの送信元であるアプリケーションのダウンロードアドレスに関するデータを有することを特徴とする請求項8に記載の通信方法。
【請求項11】
前記リクエストはHTTPリクエストであり、かつ前記マークは前記HTTPリクエストのヘッダに挿入されることを特徴とする請求項1から10のいずれか1項に記載の通信方法。
【請求項12】
前記マークに関する要求条件は、前記第1の装置(2)に備えられた仮想マシン(6)に属するソフトウェアレイヤ(5)によって制御され、前記第2のファミリーに属するアプリケーション(4)が前記仮想マシンと前記ソフトウェアレイヤとを介してのみ前記ネットワーク(R)にアクセス可能であることを特徴とする請求項1から11のいずれか1項に記載の通信方法。
【請求項13】
前記仮想マシン(6)は、Java(登録商標)仮想マシンであることを特徴とする請求項12に記載の通信方法。
【請求項14】
第1の装置として請求項1から13のいずれか1項に記載の通信方法を用いる手段を具備する通信端末(2)。
【特許請求の範囲】
【請求項1】
通信ネットワーク(R)を介した第1の装置(2)と第2の装置(1)との間の通信方法であって、
前記第1の装置は、第1のファミリーと、前記第1のファミリーより経験的に低い信用度を有する第2のファミリーとのそれぞれに属するアプリケーション(3、4)を具備する通信方法において、
前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記ネットワークを介して前記第2の装置へ送信されるリクエストのうち少なくとも1つは、アプリケーションの第2のファミリーに関係づけられたマークを含むことを強制されることを特徴とする通信方法。
【請求項2】
前記マークは、前記ネットワーク(R)を介して送信され、かつ前記第2のファミリーに属するアプリケーション(4)を送信元とするリクエストのうち少なくとも1つに含まれることを特徴とする請求項1に記載の通信方法。
【請求項3】
前記ネットワーク(R)を介して送信され、かつ前記第2のファミリーに属するアプリケーション(4)を送信元とするリクエストに含まれるマークは、前記第2のファミリーに属するアプリケーションの特質および/または送信元の表示を含むことを強制されることを特徴とする請求項1または2に記載の通信方法。
【請求項4】
前記第2のファミリーに属するアプリケーション(4)は署名され、前記アプリケーションを送信元とするリクエストに含まれるマークは、署名の証明書に関するデータを含むことを強制されることを特徴とする請求項3に記載の通信方法。
【請求項5】
前記第2のファミリーに属するアプリケーション(4)は、ある1つのダウンロードアドレスから前記ネットワーク(R)を介してダウンロードされ、前記アプリケーションを送信元とするリクエストに含まれるマークは、前記アプリケーションのダウンロードアドレスに関するデータを含むことを強制されることを特徴とする請求項3または4に記載の通信方法。
【請求項6】
前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記ネットワークを介して前記第2の装置へ送信される各々のリクエストは、アプリケーションの第2のファミリーに関係づけられたマークを含むことを強制されることを特徴とする請求項1から5のいずれか1項に記載の通信方法。
【請求項7】
通信ネットワーク(R)を介した第1の装置(2)と第2の装置(1)との間の通信方法であって、
前記第1の装置は、第1のファミリーと、前記第1のファミリーより経験的に低い信用度を有する第2のファミリーとのそれぞれに属するアプリケーション(3、4)を具備する通信方法において、
前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記ネットワークを介して前記第2の装置へ送信されるリクエストのうち少なくとも1つは、前記第1のファミリーに関係づけられたマークを除外することを強制され、前記マークは前記ネットワークを介して送信され、かつ前記第1のファミリーに属するアプリケーション(3)を送信元とするリクエストのうち少なくともいくつかに含まれることを特徴とする通信方法。
【請求項8】
前記第2の装置(1)は、そのリクエストに付与された信用度を評価するため、前記第1の装置(2)から前記ネットワーク(R)を介して受信したリクエストに前記マークが存在するか否かを検査することを特徴とする請求項1から7のいずれか1項に記載の通信方法。
【請求項9】
前記リクエストに前記マークが存在するときには、前記第2の装置(1)は前記リクエストに付与された信用度を評価するため、前記マークに含まれるデータを検査することを特徴とする請求項8に記載の通信方法。
【請求項10】
前記第2の装置(1)によって検査されるデータは、前記リクエストの送信元であるアプリケーションの署名の証明書に関するデータを有することを特徴とする請求項9に記載の通信方法。
【請求項11】
前記第2の装置(1)によって検査されるデータは、前記リクエストの送信元であるアプリケーションのダウンロードアドレスに関するデータを有することを特徴とする請求項9に記載の通信方法。
【請求項12】
前記リクエストはHTTPリクエストであり、かつ前記マークは前記HTTPリクエストのヘッダに挿入されることを特徴とする請求項1から11のいずれか1項に記載の通信方法。
【請求項13】
前記マークに関する要求条件は、前記第1の装置(2)に備えられた仮想マシン(6)に属するソフトウェアレイヤ(5)によって制御され、前記第2のファミリーに属するアプリケーション(4)が前記仮想マシンと前記ソフトウェアレイヤとを介してのみ前記ネットワーク(R)にアクセス可能であることを特徴とする請求項1から12のいずれか1項に記載の通信方法。
【請求項14】
前記仮想マシン(6)は、Java(登録商標)仮想マシンであることを特徴とする請求項13に記載の通信方法。
【請求項15】
前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記ネットワークを介して前記第2の装置へ送信される各々のリクエストは、前記第1のファミリーに関係づけられたマークを除外することを強制され、前記マークは前記ネットワークを介して送信され、かつ前記第1のファミリーに属するアプリケーション(3)を送信元とするリクエストのうち少なくともいくつかに含まれることを特徴とする請求項7から14のいずれか1項に記載の通信方法。
【請求項16】
第1の装置として請求項1から15のいずれか1項に記載の通信方法を用いる手段を具備する通信端末(2)。
【請求項17】
通信ネットワーク(R)を介して第1の装置(2)によって第2の装置(1)へ送信されるリクエストであって、
前記第1の装置は、第1のファミリーと、前記第1のファミリーより経験的に低い信用度を有する第2のファミリーとのそれぞれに属するアプリケーション(3、4)を具備し、
前記リクエストは、前記第2のファミリーに属するアプリケーション(4)を送信元とし、アプリケーションの第2のファミリーに関係づけられたマークを含み、前記第1の装置と前記第2の装置との間で、請求項1から6および8から14のいずれか1項に記載の通信方法において用いられるリクエスト。
【請求項18】
通信ネットワーク(R)を介して第1の装置(2)によって第2の装置(1)へ送信されるリクエストであって、
前記第1の装置は、第1のファミリーと、前記第1のファミリーより経験的に低い信用度を有する第2のファミリーとのそれぞれに属するアプリケーション(3、4)を具備し、
前記リクエストは、前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記第1のファミリーに関係づけられたマークを除外し、前記第1の装置と前記第2の装置との間で、請求項7から15のいずれか1項に記載の通信方法において用いられるリクエスト。
【請求項1】
通信ネットワーク(R)を介した第1の装置(2)と第2の装置(1)との間の通信方法であって、
前記第1の装置は、第1のファミリーと、前記第1のファミリーより経験的に低い信用度を有する第2のファミリーとのそれぞれに属するアプリケーション(3、4)を具備する通信方法において、
前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記ネットワークを介して前記第2の装置へ送信される各々のリクエストは、アプリケーションの第2のファミリーに関係づけられたマークを含むことを強制されることを特徴とする通信方法。
【請求項2】
前記マークは、前記ネットワーク(R)を介して送信され、かつ前記第2のファミリーに属するアプリケーション(4)を送信元とする各々のリクエストに含まれることを特徴とする請求項1に記載の通信方法。
【請求項3】
前記ネットワーク(R)を介して送信され、かつ前記第2のファミリーに属するアプリケーション(4)を送信元とするリクエストに含まれるマークは、前記第2のファミリーに属するアプリケーションの特質および/または送信元の表示を含むことを強制されることを特徴とする請求項1または2に記載の通信方法。
【請求項4】
前記第2のファミリーに属するアプリケーション(4)は署名され、前記アプリケーションを送信元とするリクエストに含まれるマークは、署名の証明書に関するデータを含むことを強制されることを特徴とする請求項3に記載の通信方法。
【請求項5】
前記第2のファミリーに属するアプリケーション(4)は、ある1つのダウンロードアドレスから前記ネットワーク(R)を介してダウンロードされ、前記アプリケーションを送信元とするリクエストに含まれるマークは、前記アプリケーションのダウンロードアドレスに関するデータを含むことを強制されることを特徴とする請求項3または4に記載の通信方法。
【請求項6】
通信ネットワーク(R)を介した第1の装置(2)と第2の装置(1)との間の通信方法であって、
前記第1の装置は、第1のファミリーと、前記第1のファミリーより経験的に低い信用度を有する第2のファミリーとのそれぞれに属するアプリケーション(3、4)を具備する通信方法において、
前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記ネットワークを介して前記第2の装置へ送信される各々のリクエストは、前記第1のファミリーに関係づけられたマークを除外することを強制され、前記マークは前記ネットワークを介して送信され、かつ前記第1のファミリーに属するアプリケーション(3)を送信元とするリクエストのうち少なくともいくつかに含まれることを特徴とする通信方法。
【請求項7】
前記第2の装置(1)は、そのリクエストに付与された信用度を評価するため、前記第1の装置(2)から前記ネットワーク(R)を介して受信したリクエストに前記マークが存在するか否かを検査することを特徴とする請求項1から6のいずれか1項に記載の通信方法。
【請求項8】
前記リクエストに前記マークが存在するときには、前記第2の装置(1)は前記リクエストに付与された信用度を評価するため、前記マークに含まれるデータを検査することを特徴とする請求項7に記載の通信方法。
【請求項9】
前記第2の装置(1)によって検査されるデータは、前記リクエストの送信元であるアプリケーションの署名の証明書に関するデータを有することを特徴とする請求項8に記載の通信方法。
【請求項10】
前記第2の装置(1)によって検査されるデータは、前記リクエストの送信元であるアプリケーションのダウンロードアドレスに関するデータを有することを特徴とする請求項8に記載の通信方法。
【請求項11】
前記リクエストはHTTPリクエストであり、かつ前記マークは前記HTTPリクエストのヘッダに挿入されることを特徴とする請求項1から10のいずれか1項に記載の通信方法。
【請求項12】
前記マークに関する要求条件は、前記第1の装置(2)に備えられた仮想マシン(6)に属するソフトウェアレイヤ(5)によって制御され、前記第2のファミリーに属するアプリケーション(4)が前記仮想マシンと前記ソフトウェアレイヤとを介してのみ前記ネットワーク(R)にアクセス可能であることを特徴とする請求項1から11のいずれか1項に記載の通信方法。
【請求項13】
前記仮想マシン(6)は、Java(登録商標)仮想マシンであることを特徴とする請求項12に記載の通信方法。
【請求項14】
第1の装置として請求項1から13のいずれか1項に記載の通信方法を用いる手段を具備する通信端末(2)。
【特許請求の範囲】
【請求項1】
通信ネットワーク(R)を介した第1の装置(2)と第2の装置(1)との間の通信方法であって、
前記第1の装置は、第1のファミリーと、前記第1のファミリーより経験的に低い信用度を有する第2のファミリーとのそれぞれに属するアプリケーション(3、4)を具備する通信方法において、
前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記ネットワークを介して前記第2の装置へ送信されるリクエストのうち少なくとも1つは、アプリケーションの第2のファミリーに関係づけられたマークを含むことを強制されることを特徴とする通信方法。
【請求項2】
前記マークは、前記ネットワーク(R)を介して送信され、かつ前記第2のファミリーに属するアプリケーション(4)を送信元とするリクエストのうち少なくとも1つに含まれることを特徴とする請求項1に記載の通信方法。
【請求項3】
前記ネットワーク(R)を介して送信され、かつ前記第2のファミリーに属するアプリケーション(4)を送信元とするリクエストに含まれるマークは、前記第2のファミリーに属するアプリケーションの特質および/または送信元の表示を含むことを強制されることを特徴とする請求項1または2に記載の通信方法。
【請求項4】
前記第2のファミリーに属するアプリケーション(4)は署名され、前記アプリケーションを送信元とするリクエストに含まれるマークは、署名の証明書に関するデータを含むことを強制されることを特徴とする請求項3に記載の通信方法。
【請求項5】
前記第2のファミリーに属するアプリケーション(4)は、ある1つのダウンロードアドレスから前記ネットワーク(R)を介してダウンロードされ、前記アプリケーションを送信元とするリクエストに含まれるマークは、前記アプリケーションのダウンロードアドレスに関するデータを含むことを強制されることを特徴とする請求項3または4に記載の通信方法。
【請求項6】
前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記ネットワークを介して前記第2の装置へ送信される各々のリクエストは、アプリケーションの第2のファミリーに関係づけられたマークを含むことを強制されることを特徴とする請求項1から5のいずれか1項に記載の通信方法。
【請求項7】
通信ネットワーク(R)を介した第1の装置(2)と第2の装置(1)との間の通信方法であって、
前記第1の装置は、第1のファミリーと、前記第1のファミリーより経験的に低い信用度を有する第2のファミリーとのそれぞれに属するアプリケーション(3、4)を具備する通信方法において、
前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記ネットワークを介して前記第2の装置へ送信されるリクエストのうち少なくとも1つは、前記第1のファミリーに関係づけられたマークを除外することを強制され、前記マークは前記ネットワークを介して送信され、かつ前記第1のファミリーに属するアプリケーション(3)を送信元とするリクエストのうち少なくともいくつかに含まれることを特徴とする通信方法。
【請求項8】
前記第2の装置(1)は、そのリクエストに付与された信用度を評価するため、前記第1の装置(2)から前記ネットワーク(R)を介して受信したリクエストに前記マークが存在するか否かを検査することを特徴とする請求項1から7のいずれか1項に記載の通信方法。
【請求項9】
前記リクエストに前記マークが存在するときには、前記第2の装置(1)は前記リクエストに付与された信用度を評価するため、前記マークに含まれるデータを検査することを特徴とする請求項8に記載の通信方法。
【請求項10】
前記第2の装置(1)によって検査されるデータは、前記リクエストの送信元であるアプリケーションの署名の証明書に関するデータを有することを特徴とする請求項9に記載の通信方法。
【請求項11】
前記第2の装置(1)によって検査されるデータは、前記リクエストの送信元であるアプリケーションのダウンロードアドレスに関するデータを有することを特徴とする請求項9に記載の通信方法。
【請求項12】
前記リクエストはHTTPリクエストであり、かつ前記マークは前記HTTPリクエストのヘッダに挿入されることを特徴とする請求項1から11のいずれか1項に記載の通信方法。
【請求項13】
前記マークに関する要求条件は、前記第1の装置(2)に備えられた仮想マシン(6)に属するソフトウェアレイヤ(5)によって制御され、前記第2のファミリーに属するアプリケーション(4)が前記仮想マシンと前記ソフトウェアレイヤとを介してのみ前記ネットワーク(R)にアクセス可能であることを特徴とする請求項1から12のいずれか1項に記載の通信方法。
【請求項14】
前記仮想マシン(6)は、Java(登録商標)仮想マシンであることを特徴とする請求項13に記載の通信方法。
【請求項15】
前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記ネットワークを介して前記第2の装置へ送信される各々のリクエストは、前記第1のファミリーに関係づけられたマークを除外することを強制され、前記マークは前記ネットワークを介して送信され、かつ前記第1のファミリーに属するアプリケーション(3)を送信元とするリクエストのうち少なくともいくつかに含まれることを特徴とする請求項7から14のいずれか1項に記載の通信方法。
【請求項16】
第1の装置として請求項1から15のいずれか1項に記載の通信方法を用いる手段を具備する通信端末(2)。
【請求項17】
通信ネットワーク(R)を介して第1の装置(2)によって第2の装置(1)へ送信されるリクエストであって、
前記第1の装置は、第1のファミリーと、前記第1のファミリーより経験的に低い信用度を有する第2のファミリーとのそれぞれに属するアプリケーション(3、4)を具備し、
前記リクエストは、前記第2のファミリーに属するアプリケーション(4)を送信元とし、アプリケーションの第2のファミリーに関係づけられたマークを含み、前記第1の装置と前記第2の装置との間で、請求項1から6および8から14のいずれか1項に記載の通信方法において用いられるリクエスト。
【請求項18】
通信ネットワーク(R)を介して第1の装置(2)によって第2の装置(1)へ送信されるリクエストであって、
前記第1の装置は、第1のファミリーと、前記第1のファミリーより経験的に低い信用度を有する第2のファミリーとのそれぞれに属するアプリケーション(3、4)を具備し、
前記リクエストは、前記第2のファミリーに属するアプリケーション(4)を送信元とし、前記第1のファミリーに関係づけられたマークを除外し、前記第1の装置と前記第2の装置との間で、請求項7から15のいずれか1項に記載の通信方法において用いられるリクエスト。
【図1】
【公表番号】特表2006−511890(P2006−511890A)
【公表日】平成18年4月6日(2006.4.6)
【国際特許分類】
【出願番号】特願2004−566968(P2004−566968)
【出願日】平成15年10月27日(2003.10.27)
【国際出願番号】PCT/FR2003/003181
【国際公開番号】WO2004/066580
【国際公開日】平成16年8月5日(2004.8.5)
【出願人】(591034154)フランス・テレコム (290)
【Fターム(参考)】
【公表日】平成18年4月6日(2006.4.6)
【国際特許分類】
【出願日】平成15年10月27日(2003.10.27)
【国際出願番号】PCT/FR2003/003181
【国際公開番号】WO2004/066580
【国際公開日】平成16年8月5日(2004.8.5)
【出願人】(591034154)フランス・テレコム (290)
【Fターム(参考)】
[ Back to top ]