專利名稱:客戶端裝置�、設備檢驗裝置以及檢驗方法
技術(shù)領域:
本發(fā)明涉及客戶端裝置����、設備驗證裝置以及驗證方法。
背景技術(shù):
在向攜帶電話或PC等客戶端裝置提供信息通信服務的情況下����,需要驗證客戶端裝置的安全性。
例如�,公開了這樣一種技術(shù)設備驗證裝置利用客戶端裝置內(nèi)的可信賴的裝置調(diào)查其完整性,服務提供商(服務provider)利用其調(diào)查結(jié)果決定可否提供服務(例如��,參照特開2003-76585號公報)�����。在該技術(shù)中,調(diào)查結(jié)果��,包含在客戶端裝置上的軟件群的Hash值的列表�,由可信賴的裝置進行數(shù)字簽名。服務提供商���,的保存客戶端裝置內(nèi)的軟件群的正當?shù)腍ash值的列表�����,在驗證了調(diào)查結(jié)果的簽名后,將各Hash值和正當?shù)腍ash值進行比較����,調(diào)查有無篡改。服務提供商����,在檢測出某軟件的篡改的情況下,或在包含正當軟件群以外的軟件的Hash值的情況下���,可以拒絕對該客戶端裝置的服務提供��。這樣���,服務提供商在驗證了客戶端裝置的安全性的基礎上���,可以進行服務提供。
但是���,在上述的現(xiàn)有技術(shù)中�,沒有對每個服務適用不同的驗證策略的單元��,和根據(jù)驗證結(jié)果決定在對應服務中可否提供的單元���。因此����,不能根據(jù)對每個服務要求的客戶端裝置的動作或構(gòu)成信息的檢查�,決定可否提供服務。再者���,還有這樣的擔心����,即在通過驗證發(fā)生了異常時�����,禁止向所有的服務的訪問,大大地限定了用戶客戶端裝置的利用��。
另一方面�,在上述的現(xiàn)有技術(shù)中,由于也沒有驗證策略本身的驗證單元���,因此會將不適當?shù)尿炞C策略導入到客戶端裝置���,這樣就有可能破壞客戶端裝置的安全性或用戶的隱私��。
發(fā)明內(nèi)容
因此����,本發(fā)明其目的是,鑒于上述問題�����,提供這樣的客戶端裝置��、設備驗證裝置以及驗證方法��,即保證客戶端裝置滿足各服務的策略,在提供安全的服務平臺的同時�����,在對應服務中進行適當?shù)脑L問限制�,來保護終端的安全性和隱蔽性。
一種客戶端裝置���,其通過執(zhí)行所提供的服務程序來利用服務���,包括保存對應于所述服務程序的、通過設備驗證裝置驗證后的驗證策略的策略保存部�;利用對應于所述服務程序的所述驗證策略,進行執(zhí)行所述服務程序時的所述客戶端裝置自身的動作驗證的驗證部���;保存所述驗證部的驗證結(jié)果的驗證結(jié)果保存部���;和向請求所述驗證結(jié)果的所述設備驗證裝置通知所述驗證結(jié)果的驗證結(jié)果通知部。
一種設備驗證裝置����,包括保存對應于服務程序的驗證策略的策略保存部;驗證所述驗證策略的安全性的策略驗證部�;向執(zhí)行所述服務程序的客戶端裝置配備通過所述策略驗證部已確認安全性的驗證策略的策略配備部�����;和驗證結(jié)果保存部��,其保存從客戶端裝置取得的所述驗證結(jié)果�����,該客戶端裝置利用所述驗證策略�����,進行執(zhí)行所述服務程序時的自身的動作驗證����。
一種驗證方法�����,其用來驗證通過執(zhí)行所提供的服務程序來利用服務的客戶端裝置��,包括驗證對應于所述服務程序的驗證策略的安全性的步驟���;向執(zhí)行所述服務程序的客戶端裝置配備通過所述驗證步驟已確認安全性的驗證策略的步驟�;利用所述驗證策略����,進行執(zhí)行所述服務程序時的所述客戶端裝置的動作驗證的步驟;和將所述動作驗證的結(jié)果通知給設備驗證裝置的步驟����。
圖1是第1實施例的驗證系統(tǒng)的結(jié)構(gòu)框圖;圖2是第1實施例的驗證策略的一例��;圖3是表示第1實施例的驗證方法的流程圖(其1)��;圖4是表示第1實施例的驗證方法的流程圖(其2)��;
圖5是表示第1實施例的驗證方法的流程圖(其3)���;圖6是表示第1實施例的驗證方法的流程圖(其4)����;圖7是第2實施例的驗證系統(tǒng)的結(jié)構(gòu)框圖���;圖8是表示第2實施例的驗證方法的流程圖����;圖9是第3實施例的驗證系統(tǒng)的結(jié)構(gòu)框圖。
圖10是第4實施例的驗證系統(tǒng)的結(jié)構(gòu)框圖��;圖11是表示第4實施例的驗證方法的流程圖�����;圖12是第5實施例的驗證系統(tǒng)的結(jié)構(gòu)框圖參考相應的
本發(fā)明的各種實施例����。應該注意,相同或者相似的參考符號在全部附圖中用于相同或者相似的部件和元件�,同時省略或者簡化對于相同或者相似的部件和元件的說明。
具體實施例方式
《第1實施例》在第1實施例中�����,對下述內(nèi)容進行說明設備驗證裝置驗證各服務提供商的驗證策略的安全性后�,將驗證策略賦予客戶端裝置內(nèi)的可信賴的驗證模塊,驗證模塊按照所通知的驗證結(jié)果��,決定可否提供服務�����。
(驗證系統(tǒng))第1實施例中的驗證系統(tǒng)�,如圖1所示,包括設備驗證裝置100�����、客戶端裝置200和服務器裝置300���。
在圖1中�����,將客戶端裝置200和設備驗證裝置各記載了一個��,但是在第1實施例中���,一個設備驗證裝置100和多個客戶端裝置200連接?����?蛻舳搜b置200和設備驗證裝置100通過網(wǎng)絡連接���,但是其連接方式可以是有線或無線的任意一種���,跟分組���、電路交換、串行/并行通信等方式無關�����。
另外�,設備驗證裝置100或客戶端裝置200,與上述同樣���,以任意的連接方式和向客戶端裝置200提供服務的服務器裝置300連接�����。服務器裝置300���,是在服務提供商(服務provider)的管理下的服務器,提供內(nèi)容或數(shù)據(jù)庫���、網(wǎng)上購物���、網(wǎng)絡游戲、銀行業(yè)等信息通信服務��。在信息通信服務中���,還包含如提供向企業(yè)內(nèi)部網(wǎng)的訪問的VPN服務���、郵件服務、無線LAN服務等��。
客戶端裝置200�����,包括服務程序執(zhí)行部220���、驗證部230�、驗證結(jié)果通知部231���、策略保存部232���、驗證結(jié)果保存部233。
服務程序執(zhí)行部220��,執(zhí)行用來利用服務提供商的服務的服務程序,也可以同時執(zhí)行多個服務程序�����。服務程序��,是VPN模塊或郵件讀入器��、內(nèi)容或數(shù)據(jù)庫的視圖或播放器�����、瀏覽器等的任意的軟件��。
策略保存部232����,保存與后面敘述的設備驗證裝置100的驗證后的服務程序?qū)尿炞C策略。另外���,對于設備驗證裝置100�,發(fā)送安裝在客戶端裝置200的服務程序的列表����,請求必要的驗證策略。假定從設備驗證裝置100通過直接通信取得驗證策略,但是也可以利用內(nèi)存卡等存儲介質(zhì)取得�。另外,也可以和服務程序一起從服務提供商的服務器取得��。另外���,策略保存部232,也可以驗證驗證策略的安全性�����。例如�,為了驗證驗證策略的安全性,檢查數(shù)字簽名或檢查驗證策略內(nèi)的規(guī)則或代碼是否進行不必要的信息的讀入或?qū)懭?����。策略保存?32�,在被判斷為驗證策略不安全的情況下,舍棄該策略�,不保存。
驗證部230�,利用對應于服務程序的驗證策略,進行執(zhí)行服務程序時的客戶端裝置200自身的動作狀態(tài)以及構(gòu)成的驗證����。驗證部230���,可以以來自外部的通知為契機,進行客戶端裝置的驗證�。在多個服務程序被動作的情況下,執(zhí)行對應于各自的服務程序�����。進而���,驗證策略����,可以包含客戶端裝置200的功能的調(diào)用命令��,驗證部230�,也可以根據(jù)驗證結(jié)果進行該功能的調(diào)用。作為客戶端裝置200的功能的例子����,有計費功能或訪問控制功能,根據(jù)驗證結(jié)果反映到計費����,或通過訪問控制功能的調(diào)用�,來閉塞某中間件或API(Application Programming Interface)�����。在驗證部230中����,需要具有對來自外部裝置或客戶端裝置內(nèi)的軟件的驗證處理的妨礙或驗證結(jié)果的篡改等攻擊�,進行保護的防篡改性,因此����,驗證部230,如����,可以利用智能卡(IC卡)或由Trusted Computing Group(www.trustedcomputing)規(guī)定了技術(shù)規(guī)格的TPM(Trusted Platform Module)進行安裝?��;蛘?�,也可以在客戶端裝置200導入虛擬機監(jiān)視器的機構(gòu)�,在客戶端裝置上構(gòu)筑多個虛擬機,用和執(zhí)行服務程序的虛擬機不同的虛擬機執(zhí)行驗證部��。
這里�����,驗證策略���,可以從設備驗證裝置100或服務器裝置300取得�。驗證策略具有服務程序特有的驗證規(guī)則���,可以驗證服務程序的����、1.動作�����;2.有無啟動不符合安全性要求的其他程序��;3.有無啟動必要的模塊等��。除了這些���,還可以驗證系統(tǒng)/應用文件的完整性或抗病毒的病毒模式文件是否最新�,或防火墻的特定的端口是否有效等等。另外�����,驗證策略�,可以調(diào)用計費或記錄等功能。作為驗證策略的一例�,將對于郵件服務的服務程序的驗證策略和對銀行業(yè)服務的驗證策略分別表示在圖2A和圖2B。在郵件服務的例子中��,在檢測到發(fā)送多個郵件時(對應第3�����、5行的rate monitor函數(shù))���,按照其數(shù)量,設定了諸如是否要閉塞向郵件發(fā)送服務的訪問(對應第4行的api lock函數(shù))����,或?qū)嵤┨厥獾挠嬞M(對應第6行的accounting函數(shù))這樣的規(guī)則。另一方面�����,在銀行業(yè)服務的例子中,銀行業(yè)程序訪問服務器時��,在不具有可信賴的用戶的數(shù)字簽名的應用動作的情況下(對應第3行)���,設定了閉塞后發(fā)送記錄(對應第4�����、5行)的規(guī)則�����。
另外��,如圖2所示���,驗證策略可以是規(guī)則形式,也可以是程序的形式���。在規(guī)則的形式的情況下�,驗證部230解釋其規(guī)則來進行驗證�,在程序的形式的情況下���,驗證部230執(zhí)行該驗證策略的程序。
驗證結(jié)果保存部233��,保存驗證部230的驗證結(jié)果(驗證記錄)�。作為驗證結(jié)果,例如��,在圖2的郵件服務的例子中����,可以舉出郵件發(fā)送頻度或閉鎖了發(fā)送郵件的次數(shù)或時刻,在銀行業(yè)服務的例子中���,可以舉出閉塞了銀行業(yè)服務的事件信息或動作中的不可信賴的應用程序的種類等���。除了這些�����,驗證結(jié)果中還可以包含連接中的網(wǎng)絡名或種類�����、所連接的外部設備的種類等等。在通過后面敘述的驗證結(jié)果通知部231通知的情況下�����,可以刪除驗證結(jié)果保存部233中保存的驗證結(jié)果�。
驗證結(jié)果通知部231,向請求驗證結(jié)果的外部設備通知驗證結(jié)果�����。驗證結(jié)果通知部231�,也可以對于來自設備驗證裝置100的請求通知驗證結(jié)果,也可以按照由驗證策略指定的定時�����,向設備驗證裝置100通知驗證結(jié)果�����。作為外部裝置的例子����,有設備驗證裝置100或服務器裝置300等等。在通知驗證結(jié)果時,為了防止驗證結(jié)果的篡改或向驗證部230的冒充����,驗證部230也可以對驗證結(jié)果進行數(shù)字簽名或加密。
監(jiān)視部240��,監(jiān)視客戶端裝置200的動作及構(gòu)成信息����,向驗證部230通知監(jiān)視信息。例如���,監(jiān)視服務程序的啟動或結(jié)束����、活性(工作的窗口狀態(tài))或非活性(休眠或在后臺的執(zhí)行)等狀態(tài)�、連接中的網(wǎng)絡種類或狀態(tài)(連接或斷開)、連接中的外部設備的種類或狀態(tài)�����、文件的完整性的狀態(tài)等等�。向驗證部的監(jiān)視信息的通知定時�,以狀態(tài)變化或周期性的定時器、異常的檢測等等為契機。
此外����,上述的策略保存部232或驗證結(jié)果保存部233,既可以使用RAM等內(nèi)部存儲裝置�����,也可以使用硬盤或軟磁盤等外部存儲裝置��。
另外��,第1實施例中的客戶端裝置200����,可以做成將服務程序執(zhí)行部220、驗證部230����、驗證結(jié)果通知部231等作為模塊后內(nèi)置在CPU的結(jié)構(gòu)。這些模塊���,在個人計算機等通用計算機中�,可以通過執(zhí)行利用規(guī)定的程序語言用的專用程序來實現(xiàn)����。
另外�,未圖示�,而客戶端裝置200,也可以具有儲存用來讓CPU執(zhí)行服務程序執(zhí)行處理����、驗證處理、驗證結(jié)果通知處理等程序的程序保存部����。程序保存部,例如����,是RAM、ROM����、硬盤、軟磁盤����、光盤、IC芯片��、盒式錄音帶等記錄介質(zhì)。采用這樣的記錄介質(zhì)�,可以容易地進行程序的保存����、運輸、銷售等等�����。
設備驗證裝置100�����,包括策略保存部110�����、策略驗證部111�����、策略配備部112�����、服務提供控制部120、服務計費部121�����、驗證結(jié)果通知部122��、驗證結(jié)果保存部123����、驗證結(jié)果提示部124和驗證結(jié)果請求部125。
策略保存部110����,保存對應于服務程序的驗證策略。該驗證策略可以從提供服務程序的服務器裝置300取得���。例如��,由服務提供商或服務程序的開發(fā)商����、運營商提供�。
策略驗證部111,驗證驗證策略的安全性�����。例如,策略驗證部111���,為了保護客戶端裝置200的用戶的資源或隱私信息,解釋并檢查驗證策略內(nèi)的規(guī)則或代碼是否進行不必要的信息的讀入或?qū)懭?��。在判斷為不安全的情況下�,策略驗證部111�,拒絕給客戶端裝置配備該策略。
策略配備部112��,向執(zhí)行服務程序的客戶端裝置200的可信賴的驗證部230��,配備通過策略驗證部111已確認安全性的驗證策略�����。具體地說����,策略配備部112,和驗證部230建立了安全的信道后����,送入驗證策略��。為了防止驗證策略的篡改或向設備驗證裝置的冒充����,也可以對驗證策略進行數(shù)字簽名或加密����。
另外,策略配備部112�����,也可以給由提供服務程序的服務器裝置300指定的客戶端裝置200�����、或訪問提供服務程序的服務器裝置300的客戶端裝置200配備驗證策略����。
驗證結(jié)果保存部123,從客戶端裝置200取得驗證結(jié)果并保存��。驗證結(jié)果(驗證記錄)�,例如��,可以由時刻和事件信息構(gòu)成���。
另外,在經(jīng)過規(guī)定的時間后����,也可以刪除在驗證結(jié)果保存部123中保存的驗證結(jié)果。
服務提供控制部120�,根據(jù)驗證結(jié)果�,決定客戶端裝置200可否訪問提供服務程序的服務器裝置300。例如��,在客戶端裝置200進行了侵害驗證策略的動作的情況下�����,服務提供控制部120�����,拒絕從客戶端裝置200訪問服務器裝置300��,或重定向?qū)μ囟ǖ难b置的訪問(修復客戶端裝置的異常狀態(tài)的裝置等)���。在圖2的驗證策略中���,在進行大量的郵件發(fā)送的動作時����,或不能信賴的程序在啟動中時�,相當于拒絕訪問的情況。作為拒絕訪問的方法�����,可以利用這樣的方法��,即設備驗證裝置100自身受理來自客戶端裝置的訪問請求��,而只將許可的訪問請求傳遞給服務器裝置�����,也可以向從客戶端裝置200到服務器裝置300的通路上的訪問控制裝置發(fā)送閉塞請求���,進行訪問控制���。再者���,通過進行客戶端裝置提示給服務器裝置的證明書或標簽的無效化或有效化,也可以進行訪問控制��。
驗證結(jié)果請求部125��,向客戶端裝置請求驗證結(jié)果����。驗證結(jié)果的請求既可以是客戶端裝置200保存的驗證結(jié)果的報告,也可以是在客戶端裝置200接受驗證結(jié)果的請求的階段進行驗證后的最新的驗證結(jié)果的報告��。另外�,也可以包含驗證結(jié)果的全體或一部分的過濾的請求�����。進而����,驗證結(jié)果請求部125,可以接收來自外部裝置的請求后�,要求向客戶端裝置200的報告。外部裝置,例如���,是服務器裝置300或訪問控制裝置等等�����,可以按照任意的定時請求客戶端裝置的驗證����。
服務計費部121����,根據(jù)驗證結(jié)果,進行客戶端裝置200的��、針對利用服務程序的計費��。例如��,可以進行按照視聽或游戲次數(shù)(pay-per view按收視節(jié)目和時間�,pay-per play按玩的次數(shù)和時間)的計費,也可以進行按照服務利用時間的計費�。另外,將進行了計費的信息通知給服務器裝置300����,可以進行費用的支付或手續(xù)費的征收等結(jié)算�����。
驗證結(jié)果通知部122��,向提供服務程序的服務器裝置300通知驗證結(jié)果���。驗證結(jié)果通知部122,可以匯集多個客戶端裝置的驗證結(jié)果后通知��,也可以通知進行加密或簽名后的驗證結(jié)果���。
驗證結(jié)果提示部124�����,向輸出裝置提示驗證結(jié)果。所謂輸出裝置����,是指顯示器等畫面,可使用液晶顯示裝置(LCD)�����、發(fā)光二極管(LED)面板、電發(fā)光(EL)面板等���。另外�����,輸出裝置也可以是打印機����。
此外��,上述的策略保存部110或驗證結(jié)果保存部123可以使用RAM等內(nèi)部存儲裝置�,也可以使用硬盤或軟磁盤等外部存儲裝置。
另外����,第1實施例的設備驗證裝置100,可以將策略驗證部111�、策略配備部112、服務提供控制部120�、服務計費部121、驗證結(jié)果通知部122等作為模塊�����,內(nèi)置在CPU。這些模塊���,在個人計算機等通用計算機中�����,可以通過運行利用規(guī)定程序語言用的專用程序來實現(xiàn)���。
另外,雖然未圖示����,但是設備驗證裝置100可以具備程序保存部,其儲存用于讓CPU執(zhí)行策略驗證處理���、策略配備處理����、服務提供控制處理�、服務計費處理和驗證結(jié)果通知處理等的程序�����。程序保存部,例如是RAM���、ROM��、硬盤����、軟磁盤�����、光盤���、IC芯片�����、盒式錄音帶等存儲介質(zhì)��。利用這樣的存儲介質(zhì)���,可以容易進行程序的儲存����、運輸�����、銷售等等����。
(驗證方法)接著,利用圖3~6對第1實施例中的驗證方法進行說明��。
首先���,利用圖3���,說明在設備驗證裝置100接收到從客戶端裝置向服務器300的訪問的情況下的、可否提供服務的決定方法��。
首先�����,在步驟S101,當接收到從客戶端裝置200向服務器300的訪問時���,策略保存部110,判斷是否保存有對應于該服務程序的驗證策略����。在未保存的情況下,進入步驟S108��,判斷為是不需要驗證的服務后��,許可訪問�����。
在保存有驗證策略的情況下�����,進入步驟S103�����,服務提供控制部120���,向該客戶端裝置200的驗證部230請求驗證結(jié)果的通知���。
此時��,在步驟S104���,在驗證結(jié)果的通知的請求失敗了的情況下,在步驟S106�,判斷為在客戶端裝置200沒有正確地配備驗證策略,配備驗證策略�����。所謂通知的請求失敗了的情況���,包括從客戶端裝置不能返回驗證結(jié)果的應答而造成超時的情況���,或應答被破壞了的情況,或者驗證策略的版本陳舊而為無效的情況���。
下另一方面���,可取得驗證結(jié)果的應答的情況下,在步驟S105,驗證驗證結(jié)果的數(shù)字簽名����,解釋驗證結(jié)果。
然后����,在步驟S107�,若在驗證結(jié)果中沒有禁止規(guī)則的侵害,則進入步驟S108����,許可訪問服務器300。另外�,此時,還可以進行服務的計費�。該可否決定過程,不僅僅適用于決定可否訪問服務器裝置300���,還適用于決定可否訪問基于VPN等的互聯(lián)網(wǎng)���。
另一方面,在驗證結(jié)果的解釋中拒絕向服務器的訪問的場合��,例如在圖2的驗證策略中有大量的郵件發(fā)送,或不可信賴的應用在動作的場合����,進入步驟S109,拒絕向服務器的訪問�����?��;蛘?���,重定向訪問特定的裝置(修復客戶端裝置的異常狀態(tài)的裝置等)�。
這里,作為變更例���,在步驟S101����,策略保存部110��,在未保存有對應于該服務程序的驗證策略的情況下��,可以詢問在該服務器裝置300中是否有驗證策略。在有驗證策略的情況下�����,策略保存部110����,從服務器裝置300取得驗證策略,在沒有驗證策略的情況下����,可以判斷為是不需要驗證的服務����,許可訪問。
另外���,在圖3所示的流程圖中�,說明了設備驗證裝置100自身接收到來自客戶端裝置200的訪問請求���、而只將許可的訪問請求傳遞給服務器裝置的例子���,但作為變形例�,也可以在客戶端裝置和服務器裝置之間配備獨立進行訪問控制的訪問控制裝置���,訪問控制裝置接收來自客戶端裝置的請求����。這種情況下���,訪問控制裝置�����,在接收到來自客戶端裝置200的請求的情況下���,可以向通路上的訪問控制裝置發(fā)送閉塞的請求,進行訪問控制�。
作為第二變形例,在步驟S103����,客戶端裝置的驗證部,按照驗證策略����,進行驗證��,其結(jié)果����,為了限制對該服務的訪問����,調(diào)用客戶端裝置的訪問控制功能,或為了進行計費�����,也可以調(diào)用客戶端裝置的計費功能���。
接著��,利用圖4對設備驗證裝置100從服務器裝置300取得驗證策略的情況下的、向客戶端裝置200的驗證策略配備方法進行說明����。
首先,在步驟S210��,當策略保存部110��,從服務器裝置300取得驗證策略并保存時,則在步驟S202���,策略驗證部111驗證驗證策略的安全性���。
在步驟S203,在策略驗證部111判斷為是不安全的情況下�,在步驟S205,向該服務器裝置300通知策略驗證結(jié)果的同時通知不能接受該策略�。另一方面,在判斷為驗證策略是安全的情況下����,在步驟S204,策略保存部110�����,更新對應于該服務的驗證策略��。
然后�,在步驟S206,策略配備部112在成為對象的各客戶端裝置200配備該驗證策略�。成為對象的客戶端裝置200的列表,是由服務器裝置300提供�,或通過參照管理服務利用者的客戶端裝置200的列表的數(shù)據(jù)庫取得���。
然后,在步驟S207����,若對所有的客戶端裝置結(jié)束了驗證策略的配備,則結(jié)束本過程�。對于因為未連接到網(wǎng)絡、電源是斷開等理由而驗證策略的配備失敗的客戶端裝置200���,經(jīng)過一些時間后����,再次嘗試配備�。策略配備部112可以設置再次配備的次數(shù)的上限。
作為變形例��,在上述中���,說明了設備驗證裝置主動地與客戶端裝置連接后配備策略的步驟,但也可以根據(jù)來自客戶端裝置的策略保存部的請求�,配備策略。策略配備部�����,將客戶端裝置上的服務程序的列表包含在請求中,請求設備驗證裝置��,設備驗證裝置根據(jù)該請求���,將所有的必要的驗證策略配備給客戶端裝置���。
作為另外的變形例,如在圖3的步驟S104中所述�,在檢驗結(jié)果的應答陳舊的場合,或無效的場合���,或應答在超時范圍以內(nèi)未到達的場合�����,也可以更新策略�。
接著����,利用圖5,對客戶端裝置200從設備驗證裝置100接受驗證策略的配備請求的情況下的、驗證策略導入方法進行說明��。
首先��,在步驟S301��,從設備驗證裝置100接受驗證策略的配備請求����。然后,在步驟S302���,策略保存部���,通過數(shù)字簽名的驗證、驗證策略的內(nèi)部的掃描��,來檢查驗證策略是否是正當?shù)摹?br>
然后��,在是正當?shù)尿炞C策略的場合��,在步驟S303中�,策略保存部,導入驗證策略���,或進行更新�����。另一方面�,由于在驗證策略不是來自正當?shù)脑O備驗證裝置時���,或被篡改過了����,或在內(nèi)容中包含有侵害客戶端裝置的安全性和隱蔽性的規(guī)則或代碼而判斷為非正當時����,在步驟S304,策略保存部���,拒絕配備請求���。
接著,利用圖6����,對客戶端裝置200從設備驗證部100接受驗證策略的通知請求情況下的、驗證結(jié)果通知方法進行說明。
在步驟S401����,客戶端裝置200從設備驗證裝置100接受驗證策略的通知請求。然后�,在步驟S402,驗證部230通過數(shù)字簽名的驗證確認是否是由請求源為正當?shù)脑O備驗證裝置100發(fā)送的��。
然后�,若是來自正當?shù)脑O備驗證裝置的請求,則在步驟S403�,驗證結(jié)果通知部,從驗證結(jié)果保存部取得驗證結(jié)果����,向設備驗證裝置100通知驗證結(jié)果。此時����,也可以從驗證結(jié)果保存部刪除被通知的驗證結(jié)果。另一方面���,在判斷為是不正當?shù)那闆r下�����,在步驟S404����,驗證結(jié)果通知部����,拒絕通知請求。
作為變形例��,驗證策略的通知請求也可以包含接收到通知請求的時刻的驗證或有關驗證結(jié)果的時刻的范圍的請求��。驗證結(jié)果通知部���,解釋驗證策略的通知請求�����,必要的話���,也可以在步驟S403,驗證結(jié)果通知部���,啟動驗證部來進行驗證�,在得到新的驗證結(jié)果后,從驗證結(jié)果保存部取得驗證結(jié)果后�����,將驗證結(jié)果通知設備驗證裝置100���。
(作用及效果)根據(jù)第1實施例中的客戶端裝置200�����、設備驗證裝置100以及驗證方法�����,客戶端裝置200的驗證部230�,可以通過設備驗證裝置100�,按照已確認安全性的驗證策略,驗證客戶端裝置200�。因此,利用基于對每個服務提供商不同的安全要求的驗證策略�����,能夠更精細地檢查客戶端裝置的動作或設定狀態(tài)��、完整性信息、被安裝的軟件的版本等等�����,可以提供更安全的服務提供環(huán)境����。另外����,保證客戶端裝置滿足各服務的策略,在提供安全的服務平臺的同時��,在對應服務中進行適當?shù)脑L問限制����,來保護終端的安全性和隱蔽性。另外����,通過設備驗證裝置100集中管理驗證策略,驗證后配備給客戶端裝置200�����,由此,可以減輕維持客戶端裝置200的安全性和管理或配備服務器裝置300的負擔��。
另外���,客戶端裝置200的策略保存部232�,可以保存只由預先規(guī)定的特定的裝置取得的驗證策略���。若做成任意裝置都可以向客戶端裝置200內(nèi)的驗證部230導入驗證策略�����,則存在損害客戶端裝置的安全性或隱蔽性的危險性�����,但可以回避其危險性����。
另外����,客戶端裝置200,由于具有驗證結(jié)果保存部233�,所以可將驗證結(jié)果集中起來發(fā)送給設備驗證裝置100�����,即使通信量的削減���,或客戶端裝置200暫時從網(wǎng)絡斷開,在其后的連接時也可以向設備驗證裝置進行發(fā)送��。
另外�,將保存在客戶端裝置200的驗證結(jié)果保存部233的驗證結(jié)果,通知給設備驗證裝置100后�,可以刪除。因此����,可以防止保存在客戶端裝置200的驗證結(jié)果(驗證記錄)的增大所引起的存儲容量的壓力或驗證記錄的溢出�。
另外,客戶端裝置200的策略保存部232���,可以驗證驗證策略的安全性����。因此�����,可以進一步提高驗證策略的安全性。
另外�,客戶端裝置200的策略保存部232,可以從設備驗證裝置100取得必要的策略后進行更新����。因此,客戶端裝置200�,可以始終保存適當?shù)牟呗浴?br>
另外,客戶端裝置200的驗證部230�,可以以來自外部裝置的通知為契機進行驗證。因此�,客戶端裝置200,可以按照外部裝置的請求進行驗證����。
另外,客戶端裝置200����,還具備監(jiān)視客戶端裝置200的動作以及構(gòu)成信息、向驗證部230通知監(jiān)視結(jié)果的監(jiān)視部240�。因此,客戶端裝置200始終可以掌握監(jiān)視信息。
另外��,客戶端裝置200的驗證結(jié)果通知部231�,可以按照通過驗證策略被指定的定時,將驗證結(jié)果通知給設備驗證裝置�。因此,客戶端裝置200����,可以用按照驗證策略的適當?shù)亩〞r通知驗證結(jié)果。
另外���,驗證策略�����,包含上述客戶端裝置的功能的調(diào)用命令��,驗證部230,可以按照驗證結(jié)果進行該功能的調(diào)用�。因此,客戶端裝置200�,按照驗證策略,可以進行計費或功能的閉鎖等適當?shù)奶幚怼?br>
第1實施例的設備驗證裝置100�����,取得基于向客戶端裝置200提供的驗證策略的驗證結(jié)果,將其解釋后決定可否訪問服務器裝置300����。因此,服務器裝置300��,可以信賴客戶端裝置200并提供服務�。
另外,設備驗證裝置100的策略驗證部111����,驗證驗證策略的安全性。因此�����,可以保護客戶端裝置的安全性或隱蔽性����。
另外,設備驗證裝置100的服務提供控制部120����,根據(jù)驗證結(jié)果����,決定客戶端裝置200的��、向提供服務程序的服務器裝置300的訪問的可否����。因此,只有確立了信賴關系的客戶端裝置200才可以訪問服務器裝置300�。
另外,設備驗證裝置100的服務計費部121�����,根據(jù)驗證結(jié)果���,進行對服務的利用的計費���。因此,可以進行根據(jù)客戶端裝置的驗證的�����、對應于視聽或游戲的次數(shù)�����、時間(pay-per view按收視節(jié)目和時間����,pay-per play按玩的次數(shù)和時間)的靈活的計費。另外�,還可以減輕服務提供商的計費和驗證處理的負擔。
另外�,經(jīng)過規(guī)定的時間后,可以刪除保存在設備驗證裝置100的驗證結(jié)果保存部123的驗證結(jié)果���。因此���,可以防止設備驗證裝置100的驗證結(jié)果(驗證記錄)的增大所引起的存儲容量的壓力或驗證記錄的溢出。
另外�����,設備驗證裝置100的驗證結(jié)果提示部124�����,將驗證結(jié)果提示給輸出裝置�。因此����,設備驗證裝置100的運用者可以對用戶顯示服務計費的根據(jù)或服務提供的停止的根據(jù)�����。
另外��,保存在設備驗證裝置100的策略保存部110的驗證策略�����,可以從提供服務程序的服務器裝置300取得��。因此����,可以按照各服務提供商的要求驗證服務程序,可實現(xiàn)更安全的服務提供或更精細的計費�。另外,還可應對服務提供商的驗證策略的變更���。
另外����,設備驗證裝置100的策略配備部112,在由提供服務程序的服務器裝置300指定的客戶端裝置��、或訪問提供服務程序的服務器裝置300的客戶端裝置中配備驗證策略�����。因此����,服務器裝置300���,可以將驗證策略的配備委托給設備驗證裝置100�����,可以減輕其處理負擔���。另外,對訪問服務器裝置300的客戶端裝置200可靠地配備驗證策略后�,可實現(xiàn)安全的服務提供。
另外�,設備驗證裝置100的驗證結(jié)果通知部122,將驗證結(jié)果通知給提供服務程序的服務器裝置300�����。因此,服務提供商本身可以進行靈活的計費或可否提供服務的選擇���。
另外����,設備驗證裝置100的策略保存部110��,可以從提供服務程序的服務器裝置300取得驗證策略����、并更新。因此����,設備驗證裝置100可以時常保存適當?shù)牟呗浴?br>
另外,設備驗證裝置100����,還具備向客戶端裝置200請求驗證結(jié)果的報告的驗證結(jié)果請求部125。因此���,設備驗證裝置100�����,可以從客戶端裝置200���,按照任意的定時接收驗證結(jié)果。
另外���,驗證結(jié)果請求部125����,可以接收來自外部裝置的請求后��,向上述客戶端裝置請求驗證結(jié)果的報告�。因此,可以按照外部裝置的請求接收驗證結(jié)果��。
《第2實施例》在第2實施例中�,在客戶端裝置200上,在從配置驗證部230等環(huán)境(域1)隔離的環(huán)境(域2)上����,配置監(jiān)視部240和服務程序執(zhí)行部220。
(驗證系統(tǒng))如圖7所示�,第2實施例中的驗證系統(tǒng)中����,在客戶端裝置200上����,配置成配置驗證部230、策略保存部231����、檢驗結(jié)果保存部232、檢驗結(jié)果通知部233等的環(huán)境(域1)200a�����,將監(jiān)視部240和服務程序執(zhí)行部220配置在與域1隔離的環(huán)境(域2)�。驗證部230,除了驗證服務程序的動作的步驟外���,和第1實施例一樣�����,因此在這里省略說明���。
(驗證方法)在第2實施方式的驗證方法中��,除了驗證服務程序的動作的步驟外�����,和第1實施例一樣����,因此在這里省略說明�,只說明驗證步驟����。
監(jiān)視部240,如圖8所示���,在步驟S501�,監(jiān)視客戶端裝置200的動作和構(gòu)成信息���,在步驟S502�����,當檢測到監(jiān)視狀態(tài)的變化時��,在步驟S503�����,將監(jiān)視結(jié)果信息通知驗證部230�����。監(jiān)視部240����,例如,監(jiān)視服務程序的啟動或結(jié)束����,活性(活動的窗口狀態(tài))或非活性(休眠和后臺執(zhí)行的狀態(tài))等的狀態(tài),連接中的網(wǎng)絡的類別和狀態(tài)(連接或切斷)���,連接中的外部設備的類別和狀態(tài)��,文件的完整性的狀態(tài)等�����。而后�����,當發(fā)生了狀態(tài)變化時�����,在步驟S503�,啟動驗證部230。驗證部230���,在步驟S504�����,按照驗證策略,執(zhí)行設備檢驗裝置的通知驗證結(jié)果���、日志的記錄��、訪問控制功能等客戶端裝置的功能調(diào)用等的動作�。
作為變形例����,也可以由驗證部向監(jiān)視部請求監(jiān)視結(jié)果��,接受監(jiān)視結(jié)果�����。
(作用及效果)在第2實施例中�����,通過配置在隔離了監(jiān)視部240和服務程序執(zhí)行部220的環(huán)境�����,與第1實施例相比����,可以強化驗證部230�、客戶端裝置的訪問控制功能、計費功能的保護���。即�����,不受處于隔離環(huán)境的服務程序或其他的程序的異常動作或攻擊的影響��,可以執(zhí)行驗證或其他的客戶端裝置的功能���。
《第3實施例》在第1實施例中����,對這樣的實施例進行了說明��,即設備驗證裝置100接受來自客戶端裝置200的訪問�����,根據(jù)驗證結(jié)果��,只將許可訪問的請求傳給服務器裝置���。在第3實施例中,將獨立進行訪問控制的訪問控制裝置400���,配置在客戶端裝置和服務器裝置之間�����,在訪問控制裝置400中接受來自客戶端裝置的請求����。
(驗證系統(tǒng))如圖9所示,在第3實施例中的驗證系統(tǒng)中��,具備設備驗證裝置100����、客戶端裝置200、服務器裝置300和訪問控制裝置400���。和第1實施例的區(qū)別�,是以下2點一是來自客戶端裝置200的對服務器裝置300的訪問請求���,被訪問控制裝置400接受���,訪問控制裝置400,對于需要驗證的服務��,向設備驗證裝置100請求驗證�;另一點是,設備驗證裝置根據(jù)驗證結(jié)果����,在進行向服務器裝置的訪問限制時��,向訪問控制裝置400請求訪問限制��。
其他方面�����,和第1實施例相同�����,因此在這里省略說明���。
(作用與效果)通過將訪問控制功能,分離到訪問控制裝置400��,可以采用多個訪問控制裝置的利用等���,更靈活的結(jié)構(gòu)���,能夠?qū)崿F(xiàn)負荷分散等����。
《第4實施例》在第1實施例中�,設備驗證裝置100根據(jù)驗證結(jié)果進行服務提供可否的決定或計費�,但是在第4實施例中,由服務器裝置300(服務提供商)進行該處理��。
(驗證系統(tǒng))如圖10所示�����,第4實施例中的驗證系統(tǒng)具備設備驗證裝置100���、客戶端裝置200和服務器裝置300�。
在第1實施例中配置在設備驗證裝置100內(nèi)的服務提供控制部120以及服務計費部121配置在服務器裝置300內(nèi)��,除了這一點之外和第1實施例一樣���,因此在這里省略說明����。
(驗證方法)接著��,利用圖11對第4實施例中的驗證方法進行說明。圖11對設備驗證裝置100接收到從客戶端裝置向服務器裝置300的訪問的情況下的驗證結(jié)果通知方法進行說明�。
首先,在步驟S601����,接受從客戶端裝置200向服務器裝置300的訪問時,在步驟S602����,判斷策略保存部110是否保存有對應于該服務程序的驗證策略。在未保存的情況下�,判斷為不需要驗證的服務,并許可訪問��。
在保存有驗證策略的情況下��,進入步驟S603���,服務提供控制部120向該客戶端裝置200的驗證部230請求驗證結(jié)果的通知����。
此時���,在步驟S604�,在驗證結(jié)果的通知的請求失敗的情況下,在步驟S606����,判斷為在客戶端裝置200沒有正確地配備驗證策略��,配備驗證策略�。另一方面,可取得驗證結(jié)果的應答的情況下���,在步驟S605���,驗證驗證結(jié)果的數(shù)字簽名,并解釋驗證結(jié)果�。
然后,在步驟S607���,驗證結(jié)果通知部122向服務器裝置300通知驗證結(jié)果�。服務器裝置300利用該驗證結(jié)果進行服務提供可否的決定或計費����。
(作用及效果)在第4實施例中,服務器裝置300進行服務提供可否的決定或計費�,因此與第1實施例相比,可以減輕設備驗證裝置100的處理負擔。
《第5實施例》在第5實施例中���,設備驗證裝置100不僅驗證客戶端裝置200�,還驗證服務器裝置300的動作�。
(驗證系統(tǒng))如圖12所示,第5實施例中的驗證系統(tǒng)具備設備驗證裝置100�����、客戶端裝置200和服務器裝置300��。設備驗證裝置100和客戶端裝置200的結(jié)構(gòu)和第1實施例相同���,因此在這里省略說明����。
服務器裝置300具備服務程序保存部310�、驗證部320、驗證結(jié)果通知部321���、策略保存部232和驗證結(jié)果保存部323�����。
服務程序保存部310保存服務程序��。
驗證部320根據(jù)保存在策略保存部232的驗證策略����,驗證服務程序。
驗證結(jié)果通知部321將驗證結(jié)果通知給設備驗證裝置100�。
策略保存部322保存驗證策略�����。
驗證結(jié)果保存部323保存驗證部320的驗證結(jié)果���。
即��,服務器裝置300的驗證部320��、驗證結(jié)果通知部321����、策略保存部322和驗證結(jié)果通知部231分別具有和客戶端裝置200的驗證部230���、驗證結(jié)果通知部231����、策略保存部232和驗證結(jié)果保存部233相同的功能。
設備驗證裝置100利用驗證結(jié)果的信息����,決定從客戶端裝置200向服務器裝置300的訪問或從服務器裝置300向設備驗證裝置100的訪問可否。即����,若服務器裝置300中的驗證結(jié)果正當,則可以判斷為服務器裝置300正當�����,因此許可訪問����,反之,判斷為服務器裝置300異常���,拒絕訪問�。
此外�����,上述的策略保存部322或驗證結(jié)果保存部323可以使用RAM等內(nèi)部存儲裝置,也可以使用硬盤或軟磁盤等外部存儲裝置����。
此外,第5實施例中的服務器裝置300可以將驗證部320和驗證結(jié)果通知部321等作為模塊�,在CPU內(nèi)置。這些模塊在個人計算機等通用計算機�,可以通過運行利用規(guī)定的程序語言用的專用程序來實現(xiàn)。
另外��,雖然圖中未示��,但服務器裝置300可以具備程序保存部��,其儲存用于讓CPU執(zhí)行驗證處理�����、驗證結(jié)果通知處理等的程序����。程序保存部例如是RAM��、ROM����、硬盤����、軟磁盤���、光盤��、IC芯片和盒式錄音帶等存儲介質(zhì)�����。根據(jù)這樣的存儲介質(zhì)���,可以容易地進行程序的儲存、運輸和銷售等等�。
(作用及效果)根據(jù)第5實施例中的客戶端裝置200、設備驗證裝置100����、服務器裝置300以及驗證方法,可以驗證客戶端裝置200和服務器裝置300的動作����,可以進行更精細的動作的驗證����。
《其他實施例》根據(jù)上述的第一到第五實施例已經(jīng)說明了本發(fā)明����。然而,應該理解��,本發(fā)明公開的說明書和附圖并不限制本發(fā)明����。從該公開出發(fā),各種其他的實施例和操作技術(shù)對于熟悉本技術(shù)領域的人是顯然的���。
例如����,在上述的實施例中��,在客戶端裝置200訪問服務器裝置300時�����,每次���,收到驗證結(jié)果后都要選擇可否提供服務�,但是設備驗證裝置100事先記住客戶端裝置200的上一次的驗證時刻����,也可以省略在某時間內(nèi)到達的訪問的驗證。
熟悉本技術(shù)領域的人員���,在不脫離該公開范圍的情況下��,在接受本公開的指導后�����,可以進行各種修改���。
權(quán)利要求
1.一種客戶端裝置,其特征在于���,該客戶端裝置�����,通過執(zhí)行所提供的服務程序來利用服務���,包括策略保存部����,其保存對應于所述服務程序的�、由設備驗證裝置驗證后的驗證策略;驗證部�����,其利用對應于所述服務程序的所述驗證策略���,進行執(zhí)行所述服務程序時的所述客戶端裝置自身的動作驗證����;驗證結(jié)果保存部�,其保存所述驗證部的驗證結(jié)果;和驗證結(jié)果通知部����,其向請求所述驗證結(jié)果的所述設備驗證裝置通知所述驗證結(jié)果�。
2.根據(jù)權(quán)利要求1所述的客戶端裝置,其特征在于,所述策略保存部����,驗證所述驗證策略的安全性。
3.根據(jù)權(quán)利要求1所述的客戶端裝置�����,其特征在于��,所述策略保存部�,從所述設備驗證裝置取得必要的策略后進行更新。
4.根據(jù)權(quán)利要求1所述的客戶端裝置���,其特征在于�,所述驗證部�,以來自外部裝置的通知為契機進行驗證。
5.根據(jù)權(quán)利要求1所述的客戶端裝置��,其特征在于��,還具備監(jiān)視所述客戶端裝置的動作和構(gòu)成信息��、并向所述驗證部通知監(jiān)視信息的監(jiān)視部��。
6.根據(jù)權(quán)利要求1所述的客戶端裝置,其特征在于����,所述驗證結(jié)果通知部,按照由所述驗證策略指定的定時���,向設備驗證裝置通知驗證結(jié)果���。
7.根據(jù)權(quán)利要求1所述的客戶端裝置,其特征在于����,所述驗證策略,包含所述客戶端裝置的功能的調(diào)用命令�����;所述驗證部�����,根據(jù)驗證結(jié)果進行所述功能的調(diào)用�����。
8.一種設備驗證裝置�����,其特征在于�,包括策略保存部,其保存對應于服務程序的驗證策略�;策略驗證部,其驗證所述驗證策略的安全性�;策略配備部,其向執(zhí)行所述服務程序的客戶端裝置����,配備通過所述策略驗證部已確認安全性的驗證策略;和驗證結(jié)果保存部����,其保存從客戶端裝置取得的所述驗證結(jié)果,該客戶端裝置利用所述驗證策略�����,進行執(zhí)行所述服務程序時的自身的動作驗證�。
9.根據(jù)權(quán)利要求8所述的設備驗證裝置,其特征在于���,還包括服務提供控制部���,其根據(jù)所述驗證結(jié)果��,決定所述客戶端裝置可否訪問提供所述服務程序的服務器裝置���。
10.根據(jù)權(quán)利要求8所述的設備驗證裝置,其特征在于��,所述策略保存部�����,從提供所述服務程序的服務器裝置取得驗證策略并進行更新���。
11.根據(jù)權(quán)利要求8所述的設備驗證裝置�����,其特征在于����,還包括向所述客戶端裝置請求驗證結(jié)果的報告的驗證結(jié)果請求部�����。
12.根據(jù)權(quán)利要求11所述的設備驗證裝置,其特征在于��,所述驗證結(jié)果請求部接收來自外部裝置的請求�,向所述客戶端裝置請求驗證結(jié)果的報告��。
13.一種驗證方法���,其特征在于���,該驗證方法,用來驗證通過執(zhí)行所提供的服務程序來利用服務的客戶端裝置�,包括下述步驟驗證對應于所述服務程序的驗證策略的安全性的步驟;向執(zhí)行所述服務程序的客戶端裝置����,配備通過所述驗證步驟已確認安全性的驗證策略的步驟;利用所述驗證策略����,進行執(zhí)行所述服務程序時的所述客戶端裝置的動作驗證的步驟;和將所述動作驗證的結(jié)果通知給設備驗證裝置的步驟�����。
全文摘要
一種客戶端裝置,其通過執(zhí)行所提供的服務程序來利用服務��,包括保存對應于所述服務程序的���、通過設備驗證裝置驗證后的驗證策略的策略保存部����;利用對應于所述服務程序的所述驗證策略����,進行執(zhí)行所述服務程序時的所述客戶端裝置自身的動作驗證的驗證部;保存基于所述驗證部的驗證結(jié)果的驗證結(jié)果保存部�����;和向請求所述驗證結(jié)果的所述設備驗證裝置通知所述驗證結(jié)果的驗證結(jié)果通知部��。
文檔編號H04L9/00GK1815949SQ20061000332
公開日2006年8月9日 申請日期2006年2月5日 優(yōu)先權(quán)日2005年2月4日
發(fā)明者太田賢, 稻村浩, 竹下敦 申請人:株式會社Ntt都科摩