JP4845467B2 - デバイス管理装置、デバイス及びデバイス管理方法 - Google Patents

デバイス管理装置、デバイス及びデバイス管理方法 Download PDF

Info

Publication number
JP4845467B2
JP4845467B2 JP2005292389A JP2005292389A JP4845467B2 JP 4845467 B2 JP4845467 B2 JP 4845467B2 JP 2005292389 A JP2005292389 A JP 2005292389A JP 2005292389 A JP2005292389 A JP 2005292389A JP 4845467 B2 JP4845467 B2 JP 4845467B2
Authority
JP
Japan
Prior art keywords
module
unit
management apparatus
information
configuration information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005292389A
Other languages
English (en)
Other versions
JP2006155583A (ja
Inventor
賢 太田
徹 江頭
浩 稲村
敦 竹下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2005292389A priority Critical patent/JP4845467B2/ja
Priority to EP05024203.1A priority patent/EP1655978B1/en
Priority to CN2005101156018A priority patent/CN1773937B/zh
Priority to US11/267,380 priority patent/US7913290B2/en
Publication of JP2006155583A publication Critical patent/JP2006155583A/ja
Application granted granted Critical
Publication of JP4845467B2 publication Critical patent/JP4845467B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/1305Software aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13098Mobile subscriber
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13109Initializing, personal profile
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13196Connection circuit/link/trunk/junction, bridge, router, gateway
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13339Ciphering, encryption, security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、デバイス管理装置、デバイス及びデバイス管理方法に関する。
携帯電話サービスやバンキングサービス、コンテンツ配信、企業データベースなどの情報通信サービスを安全に提供するため、サービス提供者は加入者のデバイス(携帯電話やPDA、PCなど)が、なりすましのデバイスでないことを認証によって確認すると共に、不正な動作を行わないように動作及び状態の検査や、権限の制御をしたいという要求がある。デバイスの不正な動作とは、例えば、ユーザのプライバシ情報(電話番号や預金情報)、著作権付きのコンテンツ、企業の秘密情報などのセンシティブなデータを外部にコピーするような情報漏えい行為や、デバイス内ソフトウェアやデータの不正改ざんや消去、他のデバイスへの攻撃である。デバイスの不正な動作を防止するため、従来、デバイス上にウィルス検査、改ざん検査、ファイアウォール、権限制御、侵入検知、ログ管理などのセキュリティモジュールに基づき、設定がなされて、各種の攻撃や委譲の検出や防御を行う。
サービス提供者は、デバイスやサービスの安全性と信頼性のため、デバイスに適切なモジュールを組み込み、適切に設定し、その状態が正常化を確認したい要求がある。このため、例えば、デバイス上のセキュリティ関連のイベントの発生(ある操作の実行やオブジェクトの変化)を検知して、監査や情報収集、異常検出、対処に関するセキュリティポリシーを更新するデバイス管理技術が開示されている(例えば、特許文献1参照。)。セキュリティポリシーの更新は、例えば、監査や情報収集の範囲、異常検出の閾値、対処の種別(シャットダウンや権限の制限等)など、セキュリティのモジュールの設定を変更することで行われる。一方、モジュールの追加や修正、設定のためのソフトウェア更新において、デバイスの購入や譲渡時におけるデバイスのSIM差し替えを検出して、管理サーバに(管理者ID,デバイスID)とプロファイル(メータ,モデル,ファームウェアのバージョン,加入サービス等)を登録するデバイス管理システムが開示されている(例えば、特許文献2参照)。
US6,530,024号公報 WO2005/036916号公報
現在のコンピュータネットワークには多様なデバイスやネットワーク、サービスが存在するが、デバイスのオペレーティングシステム(OS)の種別、接続ネットワークの種別、実行するサービス利用プログラム(アプリケーション)の種別、接続される外部デバイスの種別によって、デバイスに要求されるセキュリティポリシー(セキュリティモジュールの種別やその設定)は異なるものと考えられる。又、外部デバイスやアプリケーション、OS、ネットワークは新たなものが開発され、提供され得るものである。そのため、新たなセキュリティポリシーが規定される可能性があり、デバイスはそのセキュリティポリシーに従う必要がある。
しかしながら、特許文献1で開示されているデバイス管理技術は、セキュリティポリシーの更新に応じてモジュールを動的に組み込むソフトウェア更新手段を備えていないため、そのデバイスの想定外の新たなコンピューティング環境に対応することが困難であった。即ち、新しい外部デバイスの接続や、新しいアプリケーションの起動、新たなネットワークへの接続などの環境の変化が起きた際に、必要なモジュールを導入できず、安全性や信頼性を保証することができなかった。一方、特許文献2で開示されているデバイス管理システムは、デバイス上での異種OSや複数OSの起動、外部デバイスの接続、接続先ネットワークの変化、特定のアプリケーション起動等のデバイス構成の変化を管理する手段を持たないため、セキュリティポリシーに従って、デバイス側で適切なモジュールの導入や設定が行えず、デバイス管理装置側でも、その導入や設定状態を検査することが困難であった。
そこで、本発明は、上記の課題に鑑み、適切なモジュールを適切な設定で動作させ、安全な情報通信サービス提供を可能とするデバイス管理装置、デバイス及びデバイス管理方法を提供することを目的とする。
上記目的を達成するため、本発明の第1の特徴は、(a)デバイスの構成情報を保持するデバイス構成情報保持部と、(b)サービスの加入者情報を保持する加入者情報保持部と、(c)構成情報あるいは加入者情報に基づいて設定されるセキュリティポリシーを保持するセキュリティポリシー保持部と、(d)デバイスから取得したモジュールの状態情報を保持するモジュール状態保持部と、(e)セキュリティポリシーとモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス診断部とを備えるデバイス管理装置であることを要旨とする。
第1の特徴に係るデバイス管理装置によると、デバイスの構成情報と加入者情報を管理し、デバイスから取得したモジュールの状態情報とセキュリティポリシーを比較して、デバイスの構成の診断をすることができる。これにより、サービス提供者は、当該デバイスの構成に必要とされるモジュールが正しい設定で動作していることを確認した上で、サービスを提供することができる。
又、第1の特徴に係るデバイス管理装置のデバイス構成情報保持部は、構成情報として、デバイス識別子と、デバイス識別子に対応したオペレーティングシステム、ハードウェア、通信リンク種別、接続先ネットワーク、外部デバイス、実行中のアプリケーション、モジュールの状態情報の少なくともいずれか1とを含むことが好ましい。
このデバイス管理装置によると、サービス提供者は、デバイス構成情報に対してきめ細かにモジュールやその設定を選択し、安全にサービスを提供することができる。
又、第1の特徴に係るデバイス管理装置のデバイス構成情報保持部の加入者情報保持部は、加入者情報として、加入者識別子と、加入者識別子に対応した加入サービスの種別、加入サービスの設定の少なくともいずれか1とを含むことが好ましい。
このデバイス管理装置によると、加入者が利用するデバイスを切り替えたり、加入者間でデバイスを交換しても一意に加入者デバイスを特定したりすることを可能とする。又、高度な安全性を要求するサービスや加入者に対して高機能なセキュリティのモジュールを選択したり、動作の軽快さを望む加入者に対して検査頻度を落としたセキュリティのモジュールを選択したりするなど、きめ細かな制御ができる。
又、第1の特徴に係るデバイス管理装置は、モジュール、あるいは、セキュリティポリシーをデバイスへ送信するモジュール・ポリシー提供部を更に備えてもよい。
このデバイス管理装置によると、デバイス構成情報や加入者情報が変化した際も、適切なモジュールやセキュリティポリシーをデバイスに導入できる。
又、第1の特徴に係るデバイス管理装置は、デバイス上のモジュールに状態を問い合わせるモジュールテスト部を更に備えてもよい。
このデバイス管理装置によると、デバイス管理装置の任意のタイミングでデバイス上のモジュールの状態を確認でき、安全なサービス提供が可能となる。
本発明の第2の特徴は、デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーと、デバイスから取得したモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス管理装置の管理下にあるデバイスであって、(a)構成情報あるいは加入者情報をデバイス管理装置へ送信するデバイス登録部と、(b)デバイス管理装置からモジュール、あるいは、セキュリティポリシーを取得するモジュール・ポリシー取得部と、(c)セキュリティポリシーを利用して、モジュールを管理するモジュール管理部と、(d)モジュールの動作あるいは状態をテストするモジュールテスト部と、(e)モジュールのテスト結果を、モジュールの状態情報として、デバイス管理装置へ送信する診断応答部とを備えるデバイスであることを要旨とする。
第2の特徴に係るデバイスによると、デバイス構成情報や加入者情報を管理し、デバイス管理装置に登録すると共に、セキュリティポリシーを保持し、それに従ってモジュールの導入、設定、起動、テスト、さらにテスト結果の通知を行うことができる。このため、カスタマイズされるデバイスのセキュリティ状態を適切に保つと共に、デバイス管理装置がデバイスのセキュリティを診断・管理可能とする。
又、第2の特徴に係るデバイスのモジュールテスト部は、デバイスの電源がオン又はリセット、あるいはデバイス管理装置からの問い合わせを契機として、テストを行ってもよい。
このデバイスによると、デバイス購入時や再起動の際に確実にテストを行い、デバイスを安全な状態に保つことができる。又、デバイス管理装置は所望のタイミングでデバイス側のモジュールをテストできるため、テストの頻度やタイミングの設定について、柔軟な運用ができる。
又、第2の特徴に係るデバイスは、モジュールテスト部によるテストにおいて、テストが失敗した場合、当該モジュールの修復を行うモジュール復旧部を更に備えてもよい。
このデバイスによると、モジュールの不具合があった場合も停止することなく、復旧可能とする。
又、第2の特徴に係るデバイスは、複数の仮想マシンを管理する仮想マシン管理部を更に備え、デバイス構成情報保持部は、一つ以上の仮想シンのデバイス構成情報を保持し、デバイス登録部は、一つ以上の仮想マシンのデバイス構成情報と加入者情報とをデバイス管理装置へ送信し、モジュール管理部は、適切な仮想マシンを選択して、モジュールを導入あるいは設定してもよい。
このデバイスによると、サービス実行用の仮想マシンをユーザ用の環境と独立して構築するなど、仮想マシン単位でデバイス構成情報をデバイス管理装置に登録することができる。このように、仮想マシンごとに異なるモジュールを導入することができるため、例えば、サービス実行用の仮想マシンではサービスの安全性を確保し、ユーザ用の環境ではユーザの利便性を確保することができる。又、複数の仮想マシンのデバイス構成情報を集約して送信することで、トラフィックや負荷を軽減することもできる。更に、デバイス管理装置は、仮想マシン単位でデバイスセキュリティを管理できる。
又、上記のデバイスは、仮想マシンにプログラムを導入する場合、仮想マシンに認定されたプログラム以外の導入を拒否する導入プログラム制限部を更に備えてもよい。
このデバイスによると、サービス用の仮想マシンに、不正なプログラムが導入されるのを防止し、当該仮想マシンを安全な状態に維持することができる。
本発明の第3の特徴は、(a)デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーを保持するステップと、(b)デバイスから取得したモジュールの状態情報を保持するステップと、(c)セキュリティポリシーとモジュールの状態情報とを比較して、デバイスの構成を診断するステップとを含むデバイス管理方法であることを要旨とする。
第3の特徴に係るデバイス管理方法によると、デバイスの構成情報と加入者情報を管理し、デバイスから取得したモジュールの状態情報とセキュリティポリシーを比較して、デバイスの構成を診断することができる。これにより、サービス提供者は、当該デバイスの構成に必要とされるモジュールが正しい設定で動作していることを確認した上で、サービスを提供することができる。
本発明によると、適切なモジュールを適切な設定で動作させ、安全な情報通信サービス提供を可能とするデバイス管理装置、デバイス及びデバイス管理方法を提供することができる。
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
<第1の実施の形態>
(デバイス管理装置)
本実施の形態に係るデバイス管理装置は、デバイスの構成の診断と設定を行うものであり、例えば、サーバやワークステーション、パーソナルコンピュータなどの装置を利用して実装される。
デバイス管理装置10は、図1に示すように、制御部11、セキュリティポリシー保持部12、加入者情報保持部13、デバイス構成情報保持部14、モジュール状態保持部15、デバイス診断部16、モジュール・ポリシー提供部17、モジュールテスト部18を備える。
制御部11は、デバイスやアクセス制御サーバなどの外部システム20と情報のやりとりを行う。又、制御部11は、セキュリティポリシー保持部12、加入者情報保持部13、デバイス構成情報保持部14、モジュール状態保持部15、デバイス診断部16、モジュール・ポリシー提供部17、モジュールテスト部18を管理、制御する。
セキュリティポリシー保持部12は、あるデバイス構成のデバイスに必要とされるモジュールやデバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーを保持する。具体的なセキュリティポリシーの例として、図2に、Monta Vista Linux, Symbian, ITRONと異なるオペレーティングシステムを持つデバイスに対して、あるサービス提供者が必要と判断するモジュールの例を示す。ここでは、モジュールの例として、ウィルス検査、改ざん検出、ファイアウォール、権限制御、侵入検知、ログ管理が挙げられ、それぞれのモジュールの導入が必須かオプションか、そして、必須の場合、任意の同種のモジュールでよいか、あるいは指定の製品やソフトウェアがあるかどうかが記述されている。
又、図3に、あるデバイスが接続するネットワークが、加入先のセルラ網(ホームセルラ網)、公衆のホットスポット、企業内イントラネット、の場合のセキュリティポリシーの例を示す。ここでは、モジュールの種別だけでなく、検査頻度や検査範囲をセキュリティポリシーとして設定している。
又、図4に、バンキングサービス、企業データベースアクセスサービス、オンラインゲームサービスを実行するデバイスに対して、あるサービス提供者が必要と判断するモジュールとその設定の例を示す。
又、図5に、外部キーボード、外部スピーカ、外部マイクを外部デバイスとして接続するデバイスに対するセキュリティポリシーの設定例を示す。
例えば、セキュリティポリシー保持部12は、別のデータベースからセキュリティポリシーを読み込むことで、セキュリティポリシーを保持する。
加入者情報保持部13は、図6に示すように、加入者情報として、加入者識別子と、当該加入者識別に対応する加入サービスの種別、セキュリティのプレファレンス設定(加入サービスの設定)などを保持する。加入者情報を利用することで、プレミアムセキュリティサービスに加入している加入者識別子SID_Aのユーザには高機能なセキュリティのモジュールを提供し、速度を重視するSID_Bのユーザのモジュールに軽量なポリシーや設定を与えることができる。又、バンキングサービスを利用している加入者に対して特殊なモジュールを要求するという設定も可能である。尚、加入者情報を外部のサービス管理や加入者管理のデータベースから入力、あるいは同期をとることとしてもよい。
デバイス構成情報保持部14は、図7に示すように、デバイス構成情報として、デバイス識別子と、当該デバイス識別子に対応するオペレーティングシステム、ハードウェア、通信リンク種別、接続先ネットワーク、モジュールのテスト結果とテスト時刻、実行中のサービスプログラム(アプリケーション)などとを保持する。図示していないが、更に接続している外部デバイスの種別や識別子を保持してもよい。ここでは、デバイス構成情報保持部14が情報を保持する領域をデバイス管理テーブルと呼ぶ。加入者は、SIM(Subscriber Identity Module)を入れ替えるなどして、複数のデバイスを利用する可能性がある。一方で、あるデバイスは複数の加入者によって利用される可能性があるため、加入者識別子とデバイス識別子でデバイスを一意に管理している。図7では、SID_Aの加入者は、DID_123、DID_456の2つのデバイスを利用しており、SID_Bの加入者は前者のDID_123のデバイスを使用していたことを示す。これは、例えば、SID_Bの加入者がDID_123のデバイスをSID_Aの加入者に譲渡し、SID_Aの加入者がDID_456のデバイスからDID_123のデバイスにSIMを入れ替えたことを示す。尚、デバイス構成情報保持部14は、テーブルの肥大化を防止するために、古いデバイスのエントリや退会した加入者のエントリを削除してもよい。
モジュール状態保持部15は、デバイス上のモジュールから、状態情報を受信して保持する。状態情報はモジュールの種別やそのテスト結果、テスト時刻を含む。
デバイス診断部16は、セキュリティポリシーとモジュールの状態情報を利用してデバイスの構成を診断し、デバイス管理テーブルに記録する。例えば、セキュリティポリシーにおいて必須とされるモジュールの状態がすべてOKであれば、診断結果を「OK」とマークする。あるいは、すべての必須モジュールの状態がOKでなくとも、「OK」としたり、構成を段階的に判定して数値を与えたりするなどのセキュリティポリシーも挙げられる。
又、デバイス診断部16は、セキュリティポリシーとモジュールの状態情報を利用してデバイスへのサービス提供の可否を決定し、デバイス管理テーブルに記録してもよい。例えば、セキュリティポリシーにおいて必須とされるモジュールの状態がすべてOKであれば、サービスの提供可否を「許諾」とマークする。あるいは、すべての必須モジュールの状態がOKでなくとも、一部のサービス提供を許諾するセキュリティポリシーも考えられる。
外部システム20の例として、アクセス制御サーバは、デバイス管理テーブルのサービス提供可否を参照して、加入者のサービスへのアクセスを制限することができる。
モジュール・ポリシー提供部17は、デバイスが要求したモジュールやその設定を規定したセキュリティポリシー、デバイスに導入が必要とされるモジュールやその設定を規定したセキュリティポリシーを送信する。
モジュールテスト部18は、デバイス上のモジュールに状態を問い合わせる。例えば、加入者が新しいサービスに加入した際、デバイスが別のネットワークにローミングした際、前回のモジュールのテスト結果の通知から長時間が経過した際、外部のサーバからテストを要求された際などに、デバイス上のモジュールに状態を問い合わせる。
尚、デバイス管理装置10のセキュリティポリシー保持部12、加入者情報保持部13、デバイス構成情報保持部14、モジュール状態保持部15は、RAM、ROM等の内部記憶装置でも良く、ハードディスク、フレキシブルディスク、コンパクトディスク等の外部記憶装置でも良い。
又、第1の実施の形態に係るデバイス管理装置10は、処理制御装置(CPU)を有し、上述した制御部11、デバイス診断部16、モジュール・ポリシー提供部17、モジュールテスト部18などをモジュールとして、ハードウェア化や隔離された環境へ配置することで、安全に実行される環境とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
又、図示していないが、デバイス管理装置10は、制御処理、デバイス診断処理、モジュール・ポリシー提供処理、モジュールテスト処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
(デバイス)
本実施の形態に係るデバイス30は、デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーと、デバイスから取得したモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス管理装置10の管理下にある。
デバイス30は、例えば、携帯電話機やPC、情報家電などであり、図8に示すように、デバイスセキュリティ管理部40を備える。その他、サービスを利用するためのサービス利用プログラム51や、モジュール50、加入者情報を保持するSIM54が存在する。以下、デバイスセキュリティ管理部40の各部分について説明する。
デバイスセキュリティ管理部40は、制御部41、加入者情報保持部42、デバイス構成情報保持部43、デバイス登録部44、モジュール・ポリシー取得部45、モジュール管理部46、モジュールテスト部47、診断応答部48、モジュール復旧部49、構成変化検知部410を備える。
制御部41は、デバイス管理装置などの外部装置と情報のやりとりを行う。又、制御部41は、加入者情報保持部42、デバイス構成情報保持部43、デバイス登録部44、モジュール・ポリシー取得部45、モジュール管理部46、モジュールテスト部47、診断応答部48、モジュール復旧部49、構成変化検知部410を管理、制御する。
加入者情報保持部42は、加入者識別子と、当該加入者識別子に対応する加入サービスの種別、加入サービス設定などとを含む加入者情報を保持するものであり、好ましくはSIM54やUSIMなどのICカードに保持する。加入者情報として、例えば、図6に示す情報を保持する。
デバイス構成情報保持部43は、デバイス固有の識別子と、当該デバイス識別子に対応するデバイスのオペレーティングシステム、CPUなどのハードウェア、通信リンク種別、接続先ネットワーク、モジュールの状態情報、接続中の外部デバイス、実行中のサービスプログラムなどとを含むデバイス構成情報を保持する。デバイス構成情報として、例えば、図7に示す情報を保持する。デバイス固有の識別子は、製造時にメーカによって与えられる一意の識別子や、仮想マシンの構築時に生成される一意の識別子である。サービス提供者やユーザ、管理者が設定したホスト名や番号などでもよい。
デバイス登録部44は、加入者情報保持部42やデバイス構成情報保持部43にアクセスして、加入者情報およびデバイス構成情報を取得し、デバイス管理装置へ送信する。
モジュール・ポリシー取得部45は、デバイス管理装置から当該デバイスに必要とされるモジュールやその設定を規定したセキュリティポリシーを取得する。取得したセキュリティポリシーは保持しておき、モジュール管理部46などがアクセス可能にする。
モジュール管理部46は、セキュリティポリシーを利用して、モジュールを管理する。具体的には、モジュール管理部46は、モジュールの導入や設定、起動を行う。例えば、セキュリティポリシーに従い、実行中のサービスや接続中のネットワーク、接続中の外部デバイスにおいて必要なモジュールを起動する。
モジュールテスト部47は、モジュールの動作あるいは状態をテストし、テスト結果をデバイス構成情報保持部43へ出力する。テスト方法として、例えば、モジュール内部の自己テスト手続の呼び出しや、デバイス内ソフトウェアの実行イメージの改ざん検査、デバイス内ソフトウェアの動作監査、モジュールが出力するログの検査、モジュールに対応するプロセスの検査などがある。又、不正な動作や異常動作を行うテストプログラムをデバイス上で動作させてモジュールの反応を確認してもよい。
診断応答部48は、デバイス構成情報保持部43が保持するモジュールのテスト結果を、モジュールの状態情報として、デバイス管理装置10へ送信する。
モジュール復旧部49は、モジュールテスト部47において、動作あるいは状態のテストが失敗した際に当該モジュールの回復を行う。例えば、当該モジュールや代替のモジュールを再度ロードして導入することで復旧する。
構成変化検知部410は、デバイスの構成変化を検知して、構成情報をデバイス管理装置に送信するか、あるいは保持しているセキュリティポリシーに基づきモジュールの起動及び設定を行う。デバイス構成情報の変化として、接続先ネットワークの変更や外部デバイスの脱着、サービスプログラムの起動・終了、仮想マシンの起動・終了、SIMの脱着などのイベントを、オペレーティングシステムなどが提供する機能を利用して取得するか、構成変化検知部410自身が周期的に構成情報を監視することにより、変化を検知する。そして構成の変化を検知した際に、デバイス登録部44を起動してデバイス管理装置に構成情報を送信するかどうかを決定する。例えば、デバイスの構成変化の種別が新規であって、その構成に対するセキュリティポリシーをモジュール・ポリシー取得部45が保持していない場合や、通知を必要とするとポリシーで規定された構成種別の場合、構成情報の送信を決定する。一方、モジュール・ポリシー取得部45がすでにその構成情報に対するポリシーを保持している場合や、通知を必要としないと規定された構成種別の場合、モジュール管理部46を呼び出して、保持しているセキュリティポリシーに基づきモジュールの起動及び設定を行う。
尚、デバイス30の加入者情報保持部42、デバイス構成情報保持部43は、RAM、ROM等の内部記憶装置でも良く、ハードディスク、フレキシブルディスク、コンパクトディスク等の外部記憶装置でも良い。
又、第1の実施の形態に係るデバイス30は、処理制御装置(CPU)を有し、上述した制御部41、デバイス登録部44、モジュール・ポリシー取得部45、モジュール管理部46、モジュールテスト部47、診断応答部48、モジュール復旧部49、構成変化検知部410などをモジュールとして、ハードウェア化や隔離された環境へ配置することで、安全に実行される環境とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
又、図示していないが、デバイス30は、制御処理、デバイス登録処理、モジュール・ポリシー取得処理、モジュール管理処理、モジュールテスト処理、診断応答処理、モジュール復旧処理、構成変化検知処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
(デバイス管理方法)
次に、第1の実施形態に係るデバイス管理方法について、図9〜13を用いて説明する。
=デバイス登録処理=
デバイス管理装置10におけるデバイス30の登録処理を、図9を参照して説明する。
まず、ステップS101において、制御部11は、デバイス30から加入者情報及びデバイス構成情報を受信する。
このとき、ステップS102において、新しい加入者識別子とデバイス識別子の組のデバイス登録であった場合、ステップS103へ進み、制御部11は、デバイス構成情報保持部14に新たなエントリを作成する。
次に、ステップS104において、制御部11は、取得した加入者情報及びデバイス構成情報デバイスを用いて、デバイス構成情報保持部14の構成管理テーブルを更新する。
次に、ステップS105において、制御部11は、加入者情報とデバイス構成情報を利用して、そのデバイスに必要とされるモジュールのリストと設定を規定するセキュリティポリシーをセキュリティポリシー保持部12から取得する。そして、ステップS106において、当該セキュリティポリシーを用いて、デバイス構成管理テーブルを更新する。
=サービス提供可否の決定処理=
次に、デバイス管理装置10におけるデバイスの構成診断処理を、図10を参照して説明する。
まず、ステップS201において、制御部11は、デバイス上のモジュールから、状態情報を受信して、モジュール状態保持部15に保持する。
次に、ステップS202において、制御部11は、状態情報に含まれるモジュールのテスト結果を用いて、デバイス構成情報保持部14に保持されるデバイス構成管理テーブルを更新する。
次に、ステップS203において、デバイス診断部16は、デバイス管理テーブルのテスト結果を参照して、セキュリティポリシー保持部12に保持されたセキュリティポリシーに基づき、デバイスの構成を診断する。例えば、必要とされるモジュールの全てのテスト結果がOKであることを要求するポリシーの場合、1つでもNGのテスト結果があった場合、ステップS205へ進み、診断結果を「NG」と判断する。そして、デバイス構成管理テーブルの診断結果フィールドにはNGを書き込み、処理を終了する。一方、セキュリティポリシーを満足した場合は、ステップS204へ進み、診断結果を「OK」と判断し、デバイス構成管理テーブルの診断結果フィールドにOKを書き込み、処理を終了する。
このデバイス構成の診断結果の情報は、例えば外部システム20のアクセス制御サーバによって利用される。デバイス30がサービスにアクセスする際、外部のアクセス制御サーバは、デバイス管理装置10にその診断結果を問い合わせ、OKの場合にアクセスを許可し、NGの場合はアクセスを拒否する。尚、デバイス管理装置10自身がこのようなアクセス制御を行ってもよいし、デバイス管理装置10から外部のサーバに対して、サービス提供の可否を通知してもよい。
尚、ステップS203において、デバイス診断部16は、デバイス管理テーブルのテスト結果を参照して、セキュリティポリシー保持部12に保持されたセキュリティポリシーに基づき、サービス提供の可否を決定してもよい。例えば、必要とされるモジュールの全てのテスト結果がOKであることを要求するポリシーの場合、1つでもNGのテスト結果があった場合、ステップS205へ進み、サービス提供を「停止」と判断する。そして、デバイス構成管理テーブルのサービス提供可否には停止を書き込み、処理を終了する。一方、セキュリティポリシーを満足した場合は、ステップS204へ進み、サービス提供を「許諾」と判断し、デバイス構成管理テーブルのサービス提供可否に許諾を書き込み、処理を終了する。
このサービス提供の許諾、停止の情報は、例えば外部システム20のアクセス制御サーバによって利用される。デバイス30がサービスにアクセスする際、外部のアクセス制御サーバは、デバイス管理装置10にそのサービス提供の可否を問い合わせ、許諾の場合にアクセスを許可し、停止の場合はアクセス拒否する。尚、デバイス管理装置10自身がこのようなアクセス制御を行ってもよいし、デバイス管理装置10から外部のサーバに対して、サービス提供の可否を通知してもよい。
=デバイスの起動処理=
次に、デバイス30の起動処理を、図11を参照して説明する。
まず、ステップS301において、デバイス30が電源オンまたはリセットされると、ステップS302において、システムソフトが起動し、ステップS303において、無線基地局やアクセスポイントを通じて無線リンクを確立した後、SIM54による端末認証の手順を実行する。
そして、ステップS304において、制御部41は、SIM54から加入者識別子や加入サービス種別、加入サービス設定などを加入者情報保持部42にロードする。
次に、ステップS305において、制御部41は、SIM54内にデバイス30に対応したデバイス構成情報があるか否か判断し、ある場合は、ステップS306へ進み、SIM54から、そのデバイスのデバイス識別子に対応したデバイス構成情報をデバイス構成情報保持部43にロードする。一方、SIM54内にそのデバイス識別子に対応したデバイス構成情報が存在しない場合、ステップS307へ進み、新しいデバイスであると判断して、SIM54にそのデバイス識別子に対応したデバイス構成情報用の領域を作成する。
次に、ステップS308において、制御部41は、実際のデバイスのデバイス識別子や、オペレーティングシステム、通信リンク種別、接続先ネットワーク、モジュールのインストール情報、接続中の外部デバイス、実行中のサービスプログラムなどを検出し、デバイス構成情報保持部43のデバイス構成情報を更新する。
その際、ステップS309において、制御部41は、デバイス構成が変化したか否かを判断する。そして、ステップS310において、SIM54からロードした情報と異なる場合、あるいは新しいデバイスの場合、SIM54内のデバイス構成情報を更新する。
更に、ステップS311において、デバイス登録部44は、加入者情報とデバイス構成情報を、デバイス管理装置10へ送信する。SIM54からロードしたデバイス構成情報と検出したものが一致している場合、この登録を行わないことで通信量を削減する。
次に、ステップS312において、モジュール・ポリシー取得部45は、デバイス管理装置10に問い合わせて、セキュリティポリシーを取得する。そして、ステップS313において、モジュール管理部46は、適切なモジュールを適切な設定で起動する。その際、モジュール管理部46は、必要であればモジュールをロードして導入する。
=デバイスのテスト処理=
次に、デバイス30のテスト処理を、図12を参照して説明する。デバイスは起動の完了後、あるいはデバイス管理装置から問い合わせを受けた際に、テスト処理を行う。
まず、ステップS401において、デバイス30は、システムソフトの起動を完了する。
次に、ステップS402において、モジュールテスト部47は、デバイス30内のモジュールのテストを実行する。
ステップS403において、このテストが成功した場合、ステップS404において、診断応答部48は、デバイス管理装置10に結果を通知し、テスト処理を完了する。
一方、ステップS403において、このテストが失敗した場合、ステップS405において、モジュール復旧部49は、修復処理を行い、ステップS402へ戻り、再度テストを行う。尚、復旧を試みる回数に上限を設けて、失敗回数が上限に達した際に当該モジュールの実行を停止するように判断してもよい。
又、変形例として、デバイス登録と一緒にモジュールのテスト結果の通知を行ってもよい。これにより、デバイスとデバイス管理装置間の通信量を削減することができる。
=デバイスの構成変更処理=
次に、デバイス30の構成変更処理を、図13を参照して説明する。
まず、ステップS501において、デバイス30の構成変化検知部410は、構成情報の変化を検知した場合、ステップS502において、構成変化検知部410は、モジュール・ポリシー取得部45にアクセスして、その構成情報に対するセキュリティポリシーを保持しているか検査する。
ステップS503において、保持している場合は、ステップS504に進み、構成変化検知部410は、更にその構成情報は通知が必要とされているセキュリティポリシーであるか検査する。ステップS505において、通知が必要である場合は、ステップS506に進む。ステップS506〜509は、デバイスの起動処理(図11)のステップS310〜313と同様の処理であり、デバイス管理装置に登録してセキュリティポリシーを受け取った後に、モジュールの導入・設定を行って、手順を終了する。
一方、ステップS503においてセキュリティポリシーを保持していて、ステップS505において通知が必要とされていない場合は、ステップS510において、セキュリティポリシーに従って、モジュールの導入・設定を行う。そして、ステップS511において、構成情報とポリシーをログに記録し、手順を終了する。
(作用及び効果)
従来のデバイスセキュリティ管理システムは、デバイス構成情報やデバイス上のサービスの種別を管理する手段を持たないため、そのセキュリティポリシーをデバイス側で実施すること、デバイス管理装置側でその実施を検査することが困難であった。あるデバイス構成で、あるサービス利用プログラムを実行するデバイスに安全にサービスを提供するため、適切なモジュールを適切な設定で動作していることと、デバイス管理装置において適切なモジュールが適切な設定で動作していることを検査することが第一の課題であった。
第1の実施の形態に係るデバイス管理装置10、デバイス30及びデバイス管理方法によると、デバイス構成情報と加入者情報を管理し、デバイス上で適切なモジュールを適切な設定で動作させ、デバイス管理装置において適切なモジュールが適切な設定で動作していることを検査することができる。サービス提供者は、デバイスの構成に必要とされるモジュールが正しい設定で動作されることを確認した上で、安全にサービスを提供することができる。デバイス構成情報や加入者情報が変化した際も、適切なモジュールを適切に設定、動作させることでデバイスを安全な状態に保つことができる。このように、オープンなデバイスのセキュリティを適切に管理し、ユーザの自由度を確保しつつ、安全な情報通信サービス提供を可能とする。
又、第1の実施の形態に係るデバイス管理装置10では、構成情報として、デバイス識別子と、デバイス識別子に対応したオペレーティングシステム、ハードウェア、通信リンク種別、接続先ネットワーク、外部デバイス、モジュールの状態情報の少なくともいずれか1とを含む。このデバイス管理装置10によると、サービス提供者は、デバイス構成情報に対してきめ細かにモジュールを選択し、安全にサービスを提供することができる。
又、第1の実施の形態に係るデバイス管理装置10では、加入者情報として、加入者識別子と、加入者識別子に対応した加入サービスの種別、加入サービスの設定の少なくともいずれか1とを含む。このデバイス管理装置10によると、加入者が利用するデバイスを切り替えたり、加入者間でデバイスを交換しても一意に加入者デバイスを特定したりすることを可能とする。又、高度な安全性を要求するサービスや加入者に対して高機能なセキュリティのモジュールを選択したり、動作の軽快さを望む加入者に対して検査頻度を落としたセキュリティのモジュールを選択したりするなど、きめ細かな制御ができる。
又、第1の実施の形態に係るデバイス管理装置10は、モジュール、あるいは、セキュリティポリシーをデバイスへ送信するモジュール・ポリシー提供部17を備える。このため、デバイス構成情報や加入者情報が変化した際も、適切なモジュールやセキュリティポリシーをデバイスに導入できる。
又、第1の実施の形態に係るデバイス管理装置10は、デバイス上のモジュールに状態を問い合わせるモジュールテスト部18を備える。このため、デバイス管理装置10の任意のタイミングでデバイス上のモジュールの状態を確認でき、安全なサービス提供が可能となる。
又、第1の実施の形態に係るデバイス30によると、デバイス構成情報や加入者情報を管理し、デバイス管理装置に登録すると共に、セキュリティポリシーを保持し、それに従ってモジュールの導入、設定、起動、テスト、さらにテスト結果の通知を行うことができる。このため、デバイスのセキュリティ状態を適切に保つと共に、デバイス管理装置がデバイスのセキュリティを管理可能とする。
又、第1の実施の形態に係るデバイス30のモジュールテスト部47は、デバイスの電源がオン又はリセット、あるいはデバイス管理装置からの問い合わせを契機として、テストを行う。このため、デバイス購入時や再起動の際に確実にテストを行い、デバイスを安全な状態に保つことができる。又、デバイス管理装置は所望のタイミングでデバイス側のモジュールをテストできるため、テストの頻度やタイミングの設定について、柔軟な運用ができる。
又、第1の特徴に係るに係るデバイス30では、モジュールテスト部47によるテストにおいて、テストが失敗した場合、当該モジュールの修復を行うモジュール復旧部49を備える。このため、モジュールの不具合があった場合も停止することなく、復旧可能とする。
<第2の実施の形態>
第2の実施の形態では、デバイス30が仮想マシン管理部(一般的に、仮想マシンモニタと呼ばれる)を備えた場合について説明する。デバイス管理装置10については、第1の実施の形態と同様であるので、ここでは説明を省略する。
(デバイス)
第2の実施の形態に係るデバイス30は、図14に示すように、仮想マシン管理部52を備える。仮想マシンモニタは、単一の計算機上に複数の仮想的な計算機環境(仮想マシン60a、60b、60c)を構築し、管理するためのソフトウェアであり、独立した仮想マシンに別々のOSやアプリケーションを導入して利用することや、仮想マシン間のメモリやファイルシステム等のリソースのアクセス制御を可能とする。即ち、ある仮想マシン1内のプログラムから仮想マシン2のリソースへのアクセスを許諾するが、逆の仮想マシン2から1へのリソースへのアクセスをブロックすることができる。
この仮想マシンモニタの機能を行うことで、デバイス30上にユーザ用とサービス用の計算機環境を独立に構築できると共に、サービス1用仮想マシン60aにセキュリティモジュール50aを配置し、別のサービス2用仮想マシン60b内のプログラム51bを監視させることもできる。
仮想マシン管理部52は、複数の仮想マシンを管理する。具体的には、仮想マシン管理部52は、仮想マシンの生成、起動、終了、削除の機能を提供する。
プログラム導入制限部61a、61bは、仮想マシンに認定されたプログラム以外の導入を拒否するものである。例えば、仮想マシンの設定ファイル内の認定された信頼できるプログラムリストを参照して、そのリストに含まれない信頼できないプログラムの導入操作をブロックすることで、当該仮想マシンを安全な状態に維持する。
又、デバイスセキュリティ管理部40a、40bは、図8に示すデバイスセキュリティ管理部40と同様の構成を有し、同様の動作を行うが、以下に、第2の実施の形態に特有の機能を示す。
デバイス構成情報保持部43は、少なくとも一つの仮想マシンのデバイス構成情報を保持する。
デバイス登録部44は、サービス実行用の少なくとも一つの仮想マシンのデバイス構成情報をデバイス管理装置へ送信する。
モジュール管理部46は、適切な仮想マシンを選択して、モジュールを導入する。例えば、モジュール管理部46は、モジュールに付属した設定に従って仮想マシンを選択することができる。
図14では、仮想マシン管理部52がデバイス30上にサービス用仮想マシン60a、60bとユーザ用仮想マシン60cの3つの仮想マシンを構築している。図14では、セキュリティモジュール50a、50bやデバイスセキュリティ管理部40a、40b、プログラム導入制限部61a、61bは仮想マシン内のオペレーティングシステムの外側に配置されているが、オペレーティングシステムの中に組み込んでもよいし、仮想マシン管理部52に組み込んでもよい。
(デバイス管理方法)
次に、第2の実施形態に係るデバイス管理方法について、図15を用いて説明する。
=デバイスの起動処理=
仮想マシンモニタを備えたデバイス30の起動処理を、図15を参照して説明する。
まず、ステップS601において、デバイス30が電源オンまたはリセットされると、ステップS602において、システムソフト(仮想マシンモニタ)が起動し、ステップ6503において、無線基地局やアクセスポイントを通じて無線リンクを確立した後、SIM54による端末認証の手順を実行する。
そして、ステップS604において、制御部41は、SIM54から加入者識別子や加入サービス種別、加入サービス設定などを加入者情報保持部42にロードする。
次に、ステップS605において、仮想マシン管理部52は、SIM54内にデバイス30に対応したデバイス構成情報があるか否か判断し、ある場合は、ステップS606へ進み、SIM54から、そのデバイスのデバイス識別子に対応したデバイス構成情報をデバイス構成情報保持部43にロードする。一方、SIM54内にそのデバイス識別子に対応したデバイス構成情報が存在しない場合、ステップS607へ進み、新しいデバイスであると判断して、SIM54にそのデバイス識別子に対応したデバイス構成情報用の領域を作成する。
次に、ステップS608において、デバイス上に起動可能な仮想マシンが複数、存在している場合、ステップS610において、仮想マシン管理部52は、SIM54内の設定に基づき、自動的に起動する仮想マシンを選択する。あるいは、ユーザが選択してもよい。ユーザがデフォルトで起動する仮想マシンの設定を行い、SIMに保存することも考えられる。又、起動する仮想マシンは1つでもよく、複数でもよい。ここで、例えば、仮想マシン2を加入者識別子SID_Aのユーザ用、仮想マシン3を加入者識別子SID_Bのユーザ用と仮定すると、SID_AのユーザがSIMをデバイスに差した際は仮想マシン2、SID_Bの場合は仮想マシン3が起動する。このように、デバイスでSIMを入れ替えて利用する際、加入者が変わっても仮想マシンの切り替えだけで、加入者情報に対応したセキュリティのモジュールを備えた計算機環境を起動することができる。
一方、ステップS608において、起動する仮想マシンがデバイスに存在しない場合、ステップS609において、仮想マシン管理部52は、少なくとも1つのサービス用の仮想マシンを構築し、デバイスセキュリティ管理部40をその中に導入する。このとき、ユーザ用の仮想マシンやサービス用の仮想マシンを一緒に複数構築してもよい。又、仮想マシン管理部52は、ユーザに仮想マシンのプラットフォームやメモリ、ストレージなどのパラメータを指定させて、仮想マシンを構築してもよい。更に、他のサーバから仮想マシンのイメージをロードして、仮想マシンを構築してもよい。
仮想マシン管理部52が仮想マシンを起動した後、即ち、ステップS611以降のステップは、図11のステップS308以降のステップと同様であるので、ここでは説明を省略する。
=デバイスのテスト処理=
次に、第2の実施の形態に係るデバイス30のテスト処理を、図12を参照して説明する。このテスト手順は、第1の実施の形態と同様である。
まず、ステップS401において、デバイス30は、システムソフト(仮想マシンモニタ)の起動を完了する。
次に、ステップS402において、モジュールテスト部47は、仮想マシン60a、60b、60c内のセキュリティモジュールのテストを実行する。
ステップS403において、このテストが成功した場合、ステップS404において、診断応答部48は、デバイス管理装置10に結果を通知し、テスト処理を完了する。
一方、ステップS403において、このテストが失敗した場合、ステップS405において、モジュール復旧部49は、修復処理を行い、ステップS402へ戻り、再度テストを行う。尚、復旧を試みる回数に上限を設けて、失敗回数が上限に達した際に当該モジュールの実行を停止するように判断してもよい。
又、モジュールテスト部47は、仮想マシン60a、60b、60c外のモジュールのテスト部を呼び出してもよい。例えば、図14の仮想マシン60a内のモジュールテスト部47は、仮想マシン60b内のモジュールを呼び出し、仮想マシン60a自身をテストしてもらうことで、仮想マシン60a内のモジュールが検出できない異常を検出できる可能性がある。又、仮想マシン60bのモジュールテスト部47が、仮想マシン60b内のモジュールを起動し、仮想マシン60aをテストさせてもよい。この場合、仮想マシン60aがウィルスや攻撃によって障害を受けていても、仮想マシン60bのモジュールは、ウィルスや悪意のある攻撃者から保護されるため、仮想マシン60aの異常の検出や権限の制限を行うことができる。
(作用及び効果)
従来のデバイスセキュリティ管理システムでは、デバイス上で動作する様々なセキュリティモジュールによって、ユーザの自由なプログラム実行が妨げられること、プログラム動作が低下するという課題があった。権限制御やファイアウォールのセキュリティモジュールによって、ユーザのプログラムの動作が制限されたり、ログ管理のセキュリティモジュールによって処理速度が低下したりする可能性もあった。
第2の実施の形態では、デバイス30上に仮想マシンを構築し、サービス利用プログラム用の環境と、ユーザ用の環境とを独立して構築し、仮想マシン単位でデバイス構成情報をデバイス管理装置10に登録する。これにより、仮想マシンごとに異なるセキュリティのモジュールを導入することができるため、サービス実行用の仮想マシンではサービスの安全性を確保し、ユーザ用の環境ではユーザの利便性を確保することができる。又、デバイス管理装置10は、仮想マシン単位でデバイスセキュリティを管理できる。
又、第2の実施の形態に係るデバイス30は、プログラム導入制限部61a、61bを備える。このため、仮想マシンに認定されたプログラム以外の導入を防止することができる。このため、サービス用の仮想マシンに、不正なプログラムが導入されるのを防止し、当該仮想マシンを安全な状態に維持することができる。
(その他の実施形態)
本発明は上記の実施形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
例えば、デバイス管理装置10が保持するデバイス構成情報は、デバイス30から受信してもよく、外部システムあるいはユーザから登録されてもよい。同様に、デバイス30が保持するデバイス構成情報は、デバイス管理装置10から受信してもよく、外部システムあるいはユーザから登録されてもよい。デバイス管理装置10が保持する加入者情報及びデバイス30が保持する加入者情報についても、同様である。
このように、本発明はここでは記載していない様々な実施形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
第1及び第2の実施の形態に係るデバイス管理装置の構成ブロック図である。 デバイスのOS種別を構成情報とするセキュリティポリシーの一例である。 接続先ネットワーク種別を構成情報とするセキュリティポリシーの一例である。 アプリケーション種別を構成情報とするセキュリティポリシーの一例である。 外部デバイス種別を構成情報とするセキュリティポリシーの一例である。 加入者情報の一例である。 デバイス構成情報の一例である。 第1の実施の形態に係るデバイスの構成ブロック図である。 第1の実施の形態に係るデバイス管理方法(デバイスの登録処理)を示すフローチャートである。 第1の実施の形態に係るデバイス管理方法(サービス提供可否の決定処理)を示すフローチャートである。 第1の実施の形態に係るデバイス管理方法(デバイスの起動処理)を示すフローチャートである。 第1の実施の形態に係るデバイス管理方法(デバイスのテスト処理)を示すフローチャートである。 第1の実施の形態に係るデバイス管理方法(デバイスの構成変更処理)を示すフローチャートである。 第2の実施の形態に係るデバイスの構成ブロック図である。 第2の実施の形態に係るデバイス管理方法(デバイスの起動処理)を示すフローチャートである。
符号の説明
10…デバイス管理装置
11…制御部
12…セキュリティポリシー保持部
13…加入者情報保持部
14…デバイス構成情報保持部
15…モジュール状態保持部
16…デバイス診断部
17…モジュール・ポリシー提供部
18…モジュールテスト部
20…外部システム
30…デバイス
40、40a、40b…デバイスセキュリティ管理部
41…制御部
42…加入者情報保持部
43…デバイス構成情報保持部
44…デバイス登録部
45…モジュール・ポリシー取得部
46…モジュール管理部
47…モジュールテスト部
48…診断応答部
49…モジュール復旧部
50、50a、50b…セキュリティモジュール
51、51a、51b…サービス利用プログラム
52…仮想マシン管理部
54…SIM
60a、60b、60c…仮想マシン
61a、61b…プログラム導入制限部

Claims (9)

  1. デバイスの構成情報を保持するデバイス構成情報保持部と、
    サービスの加入者情報を保持する加入者情報保持部と、
    前記構成情報あるいは前記加入者情報に基づいて設定されるセキュリティポリシーを保持するセキュリティポリシー保持部と、
    デバイスから取得したモジュールの状態情報を保持するモジュール状態保持部と、
    前記デバイス上のモジュールに状態を問い合わせるモジュールテスト部と、
    前記セキュリティポリシーと、前記モジュールテスト部による問い合わせによって前記デバイスのモジュールから受信した前記モジュールの状態情報とを比較して、デバイスの構成を診断するデバイス診断部と
    備え、
    前記モジュールテスト部は、加入者が新しいサービスに加入した際、前記デバイスが別のネットワークにローミングした際、前回のモジュールのテスト結果の通知から所定の時間が経過した際、または外部のサーバからテストを要求された際の少なくとも何れかの場合に、前記デバイス上のモジュールに状態を問い合わせることを特徴とするデバイス管理装置。
  2. 前記デバイス構成情報保持部は、前記構成情報として、デバイス識別子と、該デバイス識別子に対応したオペレーティングシステム、ハードウェア、通信リンク種別、接続先ネットワーク、外部デバイス、実行中のアプリケーション、モジュールの状態情報の少なくともいずれか1とを含むことを特徴とする請求項1に記載のデバイス管理装置。
  3. 前記加入者情報保持部は、前記加入者情報として、加入者識別子と、該加入者識別子に対応した加入サービスの種別、加入サービスの設定の少なくともいずれか1とを含むことを特徴とする請求項1又は2に記載のデバイス管理装置。
  4. モジュール、あるいは、前記セキュリティポリシーを前記デバイスへ送信するモジュール・ポリシー提供部を更に備えることを特徴とする請求項1〜3のいずれか1項に記載のデバイス管理装置。
  5. デバイスの構成情報あるいはサービスの加入者情報に基づいて設定されるセキュリティポリシーと、デバイスから取得したモジュールの状態情報とを比較して、デバイスの構成を診断するデバイス管理装置の管理下にある前記デバイスであって、
    前記構成情報の変化を検知する構成変化検知部と、
    前記構成情報あるいは前記加入者情報を前記デバイス管理装置へ送信するデバイス登録部と、
    前記デバイス管理装置から前記モジュール、あるいは、前記セキュリティポリシーを取得するモジュール・ポリシー取得部と、
    前記セキュリティポリシーを利用して、モジュールの導入あるいは設定を行うモジュール管理部と、
    前記モジュールの動作あるいは状態をテストするモジュールテスト部と、
    前記モジュールのテスト結果を、前記モジュールの状態情報として、前記デバイス管理装置へ送信する診断応答部と
    を備え、
    前記モジュールテスト部は、前記モジュール内部の自己テスト手続の呼び出し、前記デバイス内ソフトウェアの実行イメージの改ざん検査、前記デバイス内ソフトウェアの動作監査、前記モジュールが出力するログの検査、または前記モジュールに対応するプロセスの検査の少なくとも何れか方法によって、前記モジュールの動作あるいは状態をテストすることを特徴とするデバイス。
  6. 前記モジュールテスト部は、デバイスの電源がオン又はリセット、あるいは前記デバイス管理装置からの問い合わせを契機として、テストを行うことを特徴とする請求項5に記載のデバイス。
  7. 前記モジュールテスト部によるテストにおいて、前記テストが失敗した場合、当該モジュールの修復を行うモジュール復旧部を更に備えることを特徴とする請求項5又は6に記載のデバイス。
  8. 複数の仮想マシンを管理する仮想マシン管理部を更に備え、
    前記デバイス構成情報保持部は、少なくとも一つの前記仮想マシンのデバイス構成情報を保持し、
    前記デバイス登録部は、少なくとも一つの前記仮想マシンのデバイス構成情報と加入者情報を前記デバイス管理装置へ送信し、
    前記モジュール管理部は、適切な前記仮想マシンを選択して、モジュールの導入及び設定を行うことを特徴とする請求項6又は7に記載のデバイス。
  9. 前記仮想マシンにプログラムを導入する場合、仮想マシンに認定されたプログラム以外の導入を拒否する導入プログラム制限部を更に備えることを特徴とする請求項8に記載のデバイス。
JP2005292389A 2004-11-08 2005-10-05 デバイス管理装置、デバイス及びデバイス管理方法 Expired - Fee Related JP4845467B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2005292389A JP4845467B2 (ja) 2004-11-08 2005-10-05 デバイス管理装置、デバイス及びデバイス管理方法
EP05024203.1A EP1655978B1 (en) 2004-11-08 2005-11-07 Device management apparatus and method, and associated device
CN2005101156018A CN1773937B (zh) 2004-11-08 2005-11-07 设备管理装置、设备以及设备管理方法
US11/267,380 US7913290B2 (en) 2004-11-08 2005-11-07 Device management apparatus, device, and device management method

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2004324193 2004-11-08
JP2004324193 2004-11-08
JP2005292389A JP4845467B2 (ja) 2004-11-08 2005-10-05 デバイス管理装置、デバイス及びデバイス管理方法

Publications (2)

Publication Number Publication Date
JP2006155583A JP2006155583A (ja) 2006-06-15
JP4845467B2 true JP4845467B2 (ja) 2011-12-28

Family

ID=35462250

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005292389A Expired - Fee Related JP4845467B2 (ja) 2004-11-08 2005-10-05 デバイス管理装置、デバイス及びデバイス管理方法

Country Status (4)

Country Link
US (1) US7913290B2 (ja)
EP (1) EP1655978B1 (ja)
JP (1) JP4845467B2 (ja)
CN (1) CN1773937B (ja)

Families Citing this family (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006102515A1 (en) * 2005-03-23 2006-09-28 Belarc, Inc. Security control verification and monitoring subsystem for use in a computer information database system
US8745184B1 (en) * 2007-05-18 2014-06-03 Jasper Wireless, Inc. Wireless communication provisioning using state transition rules
US9226151B2 (en) 2006-04-04 2015-12-29 Jasper Wireless, Inc. System and method for enabling a wireless device with customer-specific services
US9307397B2 (en) 2005-04-29 2016-04-05 Jasper Technologies, Inc. Method for enabling a wireless device with customer-specific services
US7752436B2 (en) * 2005-08-09 2010-07-06 Intel Corporation Exclusive access for secure audio program
JP4815938B2 (ja) * 2005-08-16 2011-11-16 ソニー株式会社 情報処理装置および方法、並びにプログラム
US8045958B2 (en) * 2005-11-21 2011-10-25 Research In Motion Limited System and method for application program operation on a wireless device
US7836303B2 (en) 2005-12-09 2010-11-16 University Of Washington Web browser operating system
KR20070108432A (ko) * 2006-01-23 2007-11-12 엘지전자 주식회사 장치관리 스케줄링 방법
US8196205B2 (en) * 2006-01-23 2012-06-05 University Of Washington Through Its Center For Commercialization Detection of spyware threats within virtual machine
KR101349805B1 (ko) 2006-01-25 2014-01-10 엘지전자 주식회사 트랩 메커니즘을 이용한 장치관리 스케줄링 방법 및 그단말
EP1826944B1 (en) 2006-02-27 2009-05-13 Research In Motion Limited Method of customizing a standardized IT policy
ATE504448T1 (de) * 2006-04-28 2011-04-15 Telecom Italia Spa Tintenstrahldruckkopfplatte und herstellungsverfahren dafür
FR2901941A1 (fr) * 2006-06-06 2007-12-07 France Telecom Procede, dispositif et systeme de diagnostique d'un poste de travail informatique banalise
US8839451B1 (en) * 2006-08-07 2014-09-16 Moka5, Inc. Activation and security of software
EP2074807A4 (en) * 2006-10-03 2012-03-28 Nuance Communications Inc SYSTEMS AND METHODS FOR STORING OR PERFORMING FUNCTIONS IN REMOVABLE MEMORY, SUCH AS THE SUBSCRIBER IDENTITY MODULE OF A MOBILE DEVICE
US20080229382A1 (en) * 2007-03-14 2008-09-18 Motorola, Inc. Mobile access terminal security function
JP4874908B2 (ja) * 2007-09-20 2012-02-15 株式会社東芝 情報処理システム、および監視方法
US8276137B2 (en) 2007-10-16 2012-09-25 International Business Machines Corporation Creating a virtual machine containing third party code
JP5116447B2 (ja) * 2007-11-16 2013-01-09 Kddi株式会社 ポリシ生成システム、プログラム、および記録媒体
WO2009067713A1 (en) 2007-11-21 2009-05-28 Motive, Incorporated Application and method for generating automated offers of service and service management system incorporating the same
JP5111073B2 (ja) * 2007-11-27 2012-12-26 Kddi株式会社 ポリシ生成システム、プログラム、および記録媒体
WO2009081530A1 (ja) * 2007-12-26 2009-07-02 Nec Corporation 仮想計算機システム、ポリシ強制システム、ポリシ強制方法及び仮想計算機制御用プログラム
WO2009110448A1 (ja) * 2008-03-04 2009-09-11 日本電気株式会社 Icチップを搭載した携帯端末、アプリケーション領域制御方法及びアプリケーション領域制御プログラム
US9264441B2 (en) * 2008-03-24 2016-02-16 Hewlett Packard Enterprise Development Lp System and method for securing a network from zero-day vulnerability exploits
US8032739B2 (en) 2008-04-14 2011-10-04 Dell Products L.P. Manufacturing information handling systems
US20090276774A1 (en) * 2008-05-01 2009-11-05 Junji Kinoshita Access control for virtual machines in an information system
US20100030874A1 (en) * 2008-08-01 2010-02-04 Louis Ormond System and method for secure state notification for networked devices
US8505066B2 (en) * 2008-10-28 2013-08-06 Ricoh Company, Ltd. Security audit system and method
US8156388B2 (en) 2008-11-24 2012-04-10 Symbol Technologies, Inc. Analysis leading to automatic action
US7607174B1 (en) 2008-12-31 2009-10-20 Kaspersky Lab Zao Adaptive security for portable information devices
US7584508B1 (en) 2008-12-31 2009-09-01 Kaspersky Lab Zao Adaptive security for information devices
US8782755B2 (en) 2009-03-20 2014-07-15 Citrix Systems, Inc. Systems and methods for selecting an authentication virtual server from a plurality of virtual servers
JP4895405B2 (ja) * 2009-05-15 2012-03-14 株式会社オプティム 機器のレピュテーションに基づいたセキュリティ管理方法、ネットワーク管理装置、プログラム
EP2256658A1 (en) * 2009-05-26 2010-12-01 Gemalto SA Method of executing an application embedded in a portable electronic device
US8955108B2 (en) * 2009-06-17 2015-02-10 Microsoft Corporation Security virtual machine for advanced auditing
US8336080B2 (en) * 2009-06-26 2012-12-18 Symbol Technologies, Inc. Methods and apparatus for rating device security and automatically assessing security compliance
US8627456B2 (en) * 2009-12-14 2014-01-07 Citrix Systems, Inc. Methods and systems for preventing access to display graphics generated by a trusted virtual machine
JP5310617B2 (ja) * 2010-03-19 2013-10-09 富士通株式会社 通信装置
US9552478B2 (en) 2010-05-18 2017-01-24 AO Kaspersky Lab Team security for portable information devices
US8010992B1 (en) * 2010-07-14 2011-08-30 Domanicom Corp. Devices, systems, and methods for providing increased security when multiplexing one or more services at a customer premises
JP5588781B2 (ja) * 2010-08-10 2014-09-10 富士通株式会社 セキュアモジュールおよび情報処理装置
JP5921446B2 (ja) * 2011-01-07 2016-05-24 三菱電機株式会社 通信システム
JP5425117B2 (ja) * 2011-01-26 2014-02-26 株式会社日立製作所 計算機システム、及びその管理方法、並びにプログラム
WO2013126442A1 (en) * 2012-02-20 2013-08-29 Virtustream Canada Holdings, Inc. Systems involving firewall of virtual machine traffic and methods of processing information associated with same
RU2477520C1 (ru) * 2012-03-14 2013-03-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ динамической адаптации функционала антивирусного приложения на основе конфигурации устройства
CN102694820B (zh) * 2012-06-13 2015-01-21 华为技术有限公司 签名规则的处理方法、服务器及入侵防御***
JP5439559B2 (ja) * 2012-08-10 2014-03-12 株式会社日立製作所 セキュリティ管理装置及び方法並びにプログラム
US10129242B2 (en) * 2013-09-16 2018-11-13 Airwatch Llc Multi-persona devices and management
JP6320073B2 (ja) * 2014-02-19 2018-05-09 キヤノン株式会社 情報処理装置、情報処理方法及びプログラム
US9497223B2 (en) * 2014-09-20 2016-11-15 Kaspersky Lab, Zao System and method for configuring a computer system according to security policies
US11113086B1 (en) * 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10395029B1 (en) 2015-06-30 2019-08-27 Fireeye, Inc. Virtual system and method with threat protection
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10216927B1 (en) 2015-06-30 2019-02-26 Fireeye, Inc. System and method for protecting memory pages associated with a process using a virtualization layer
US10033759B1 (en) 2015-09-28 2018-07-24 Fireeye, Inc. System and method of threat detection under hypervisor control
US10785278B2 (en) * 2016-11-04 2020-09-22 Google Llc Network management interface
JP6841703B2 (ja) * 2017-03-29 2021-03-10 アドソル日進株式会社 コンピュータ装置
CN107894950A (zh) * 2017-10-30 2018-04-10 北京奇虎科技有限公司 一种设备检测方法、装置、服务器及存储介质
CA3129378A1 (en) * 2019-02-07 2020-08-13 Thomas Stachura Privacy device for smart speakers
CN109992971B (zh) * 2019-04-03 2023-05-02 昆仑太科(北京)技术股份有限公司 局域网内计算机批量固件安全检测方法及***

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0756636B2 (ja) * 1985-12-11 1995-06-14 株式会社日立製作所 データ処理方法
US6275938B1 (en) 1997-08-28 2001-08-14 Microsoft Corporation Security enhancement for untrusted executable code
US6530024B1 (en) 1998-11-20 2003-03-04 Centrax Corporation Adaptive feedback security system and method
GB2366691B (en) 2000-08-31 2002-11-06 F Secure Oyj Wireless device management
US20020078380A1 (en) * 2000-12-20 2002-06-20 Jyh-Han Lin Method for permitting debugging and testing of software on a mobile communication device in a secure environment
JP4227728B2 (ja) * 2000-12-22 2009-02-18 日本電気株式会社 データ提供方法、上位処理装置および方法、下位処理装置および方法、データ通信システム、情報記憶媒体
JP4137468B2 (ja) * 2002-02-27 2008-08-20 富士通株式会社 プログラム使用認証方法
US7213246B1 (en) * 2002-03-28 2007-05-01 Veritas Operating Corporation Failing over a virtual machine
JP3804585B2 (ja) * 2002-07-03 2006-08-02 株式会社日立製作所 ネットワーク構築システムおよび構築方法
US7899900B1 (en) 2002-08-22 2011-03-01 Ricoh Company, Ltd. Method and system for monitoring network connected devices with multiple protocols
US6836657B2 (en) * 2002-11-12 2004-12-28 Innopath Software, Inc. Upgrading of electronic files including automatic recovery from failures and errors occurring during the upgrade
US7694277B2 (en) * 2003-05-14 2010-04-06 Microsoft Corporation Cross version customization of design environment
US7613479B2 (en) * 2003-09-15 2009-11-03 At&T Mobility Ii Llc Automatic device configuration to receive network services
ATE539567T1 (de) 2003-10-03 2012-01-15 Hewlett Packard Development Co Netzwerk und verfahren zur anmeldung mobiler geräte und zur verwaltung der mobilen geräte
US20050085222A1 (en) * 2003-10-17 2005-04-21 Nokia Corporation Software updating process for mobile devices
US20050101310A1 (en) * 2003-11-12 2005-05-12 Ixi Mobile (R&D) Ltd. Real time system update in a mobile communication network
US8230480B2 (en) * 2004-04-26 2012-07-24 Avaya Inc. Method and apparatus for network security based on device security status

Also Published As

Publication number Publication date
EP1655978A1 (en) 2006-05-10
US20060112416A1 (en) 2006-05-25
CN1773937B (zh) 2010-11-17
JP2006155583A (ja) 2006-06-15
EP1655978B1 (en) 2014-04-30
CN1773937A (zh) 2006-05-17
US7913290B2 (en) 2011-03-22

Similar Documents

Publication Publication Date Title
JP4845467B2 (ja) デバイス管理装置、デバイス及びデバイス管理方法
US11966464B2 (en) Security techniques for device assisted services
US11507450B2 (en) Systems and methods to reprogram mobile devices via a cross-matrix controller to port connection
US20200322802A1 (en) Security Techniques for Device Assisted Services
US10291631B2 (en) System for testing computer application
JP4376233B2 (ja) クライアント装置、デバイス検証装置及び検証方法
US20130333039A1 (en) Evaluating Whether to Block or Allow Installation of a Software Application
US20090125755A1 (en) System and method for detection and recovery of malfunction in mobile devices
JP2012084159A5 (ja)
US20030208694A1 (en) Network security system and method
EP2392088B1 (en) Security techniques for device assisted services
US9294865B2 (en) Enhanced system and method for custom programming of large groups of phones without requiring additional equipment
JP4616183B2 (ja) 冗長化装置
CN117675318A (zh) 内网漏洞快速验证以及资产聚合方法和***
JP2013200589A (ja) 複数ネットワークによる認証装置、認証方法、認証システム、及びそのためのプログラム
Schmidt et al. Evolution of Trust Systems from PCs to Mobile Devices

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081002

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110419

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110617

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110912

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111004

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111011

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141021

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees