JP4393911B2 - ポリシー管理装置、ポリシー管理システム、通信端末、識別子管理装置、及び、ネットワークサービスアクセス制御方法 - Google Patents
ポリシー管理装置、ポリシー管理システム、通信端末、識別子管理装置、及び、ネットワークサービスアクセス制御方法 Download PDFInfo
- Publication number
- JP4393911B2 JP4393911B2 JP2004122065A JP2004122065A JP4393911B2 JP 4393911 B2 JP4393911 B2 JP 4393911B2 JP 2004122065 A JP2004122065 A JP 2004122065A JP 2004122065 A JP2004122065 A JP 2004122065A JP 4393911 B2 JP4393911 B2 JP 4393911B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- identifier
- administrator
- access
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Description
本発明は、ユーザに関わる各種ネットワークサービスへのアクセスに用いる情報を発信者に提供するポリシー管理装置、ポリシー管理システム、通信端末、識別子管理装置、及び、ネットワークサービスアクセス制御方法に関するものである。
通信キャリアやサービス提供事業者(xSP;x Service Provider)が提供する各種ネットワークサービス(通話、メール、WWW(World Wide Web)、IM(Instant Messaging)等)における通信チャネルの形成方法には、従来より主に次の二つが存在する。一つは、前記各種ネットワークサービス毎に、電話番号、メールアドレス、URL(Uniform Resource Locator)等の通信先を特定する識別子情報を使い分ける方法である。もう一つは、ニックネームなどの、通信相手を指定する一つの識別子情報に基づき、オンライン上のユーザ間で、メール/チャット/メッセンジャ等の複数の通信チャネルを形成する方法である。上記の方法はいずれも現在一般的な通信チャネルの形成方法として定着している。
このような従来方式においては、次のことが問題となる。まず、通信チャネル毎に識別子情報を使い分ける方法においては、ユーザが通信相手であるユーザの識別子情報を予め知っていることが前提となる。しかし、近年においては、ユーザが保有する識別子情報は急増している。ユーザが保有する識別子情報には、例えば、電話番号の他に、自宅/職場/携帯電話のメールアドレス、自分のHP(home page)やblog(Weblog;http://www.myprofile.ne.jp等)のURL、また、掲示板/チャット上のハンドルネーム等が存在する。このため、情報を共有したいユーザ間でこれらの多数の識別子情報を事前に共有することが困難になってきている。また、各種ネットワークサービス毎にこれらの多数の識別子を使い分けるのもユーザにとって負担が大きい。また、オンライン上のユーザが、一つのハンドルネームで全ての通信チャネルを形成する方法においては、ユーザ双方がインターネットにアクセスしていることが前提となっているため、インターネットにアクセスしていないユーザは相手から情報を受信することができず、リアルタイム性が求められる通信には適していない。
特許文献1には、ユーザが通信相手の識別子情報を使い分けることによる負担を軽減する技術が開示されている。特許文献1に開示されている技術によれば、発信者の携帯電話機が、被呼者が加入する複数の通信サービスの中から任意の通信サービスの識別子情報を選択して発呼した場合に、被呼者が加入する他の通信サービスに関する情報を受信することができる。
この技術を実現するための具体的な仕組みとしては、被呼者が在圏するVLR(在圏位置登録レジスタ)やHLR(ホーム位置レジスタ)において、予め、代表の加入者識別子であるIMSI(International Mobile Subscriber Identity)と他の通信サービスの識別子情報とを対応付けて管理しておく。
この技術を実現するための具体的な仕組みとしては、被呼者が在圏するVLR(在圏位置登録レジスタ)やHLR(ホーム位置レジスタ)において、予め、代表の加入者識別子であるIMSI(International Mobile Subscriber Identity)と他の通信サービスの識別子情報とを対応付けて管理しておく。
発信側の携帯電話機が、任意の通信サービスの識別子情報を選択して発呼した場合に、当該任意の通信サービスの識別子情報がIMSIに変換されて、IMSIをキーに検索が行われ、被呼者の情報を管理しているHLRに呼が到達する。HLRは、管理している被呼者の情報に基づいて、IMSIに対応する他の通信サービスの識別子情報を取得する。さらに、HLRは、返送可能なサービス一覧や返送可能相手識別子の情報を保持している場合には、これらの情報に従って、被呼者の他の通信サービスの識別子情報を発信者の携帯電話機に送信する。
特開2001−333188号公報(段落0066〜0077)
このように、特許文献1においてはIMSIを検索用の識別子として使用しているため、被呼者は携帯電話機を必ず保有する必要がある。また、発信者の在圏する交換機は、複数存在するHLRの中から被呼者の加入者情報を管理しているHLRを探し出す必要があるため、処理に時間がかかるという問題点がある。
また、特許文献1においては、被呼者が発信者に対してアクセスを許可するネットワークサービスのポリシーを設定する際に、発信者の任意の識別子情報を入力することができる仕組みにはなっていないため、被呼者は、特定の発信者の識別子情報を知っていなければ、ポリシーを設定することができない。
また、特許文献1においては、被呼者が発信者に対してアクセスを許可するネットワークサービスのポリシーを設定する際に、発信者の任意の識別子情報を入力することができる仕組みにはなっていないため、被呼者は、特定の発信者の識別子情報を知っていなければ、ポリシーを設定することができない。
また、特許文献1においてHLRが管理する情報は、データ構成が複雑であり、被呼者の発信者に対するポリシーを効率的に管理、検索することのできるデータ構成とはなっていない。例えば、上述した、返送可能なサービス一覧や返送可能相手識別子の情報を用いてポリシーを管理した場合には、データ量が増加して効率的な検索を行うことができず、さらに処理に時間がかかるという問題点がある。
本発明は、上記のような課題に鑑みてなされたものであり、ユーザに関わる各種ネットワークサービスのアクセスに用いる情報を発信者に提供する際に、アクセス制御に用いるポリシーを効率的に検索するポリシー管理装置、ポリシー管理システム、通信端末、識別子管理装置、及び、ネットワークサービスアクセス制御方法を提供することを目的とする。
本発明は、上記のような課題に鑑みてなされたものであり、ユーザに関わる各種ネットワークサービスのアクセスに用いる情報を発信者に提供する際に、アクセス制御に用いるポリシーを効率的に検索するポリシー管理装置、ポリシー管理システム、通信端末、識別子管理装置、及び、ネットワークサービスアクセス制御方法を提供することを目的とする。
上記課題を解決するために、請求項1に記載の発明は、複数のネットワークサービスへのアクセスに関するポリシーを管理するポリシー管理装置において、前記ポリシーの管理者に関わる各種ネットワークサービスのうち、前記管理者が管理対象者に対してアクセスを許可するネットワークサービスを表す許可サービス情報と、前記管理者に関する情報を検索するための識別子として統一的に定められた管理者統一識別子情報と、前記管理対象者に関する情報を検索するための識別子として統一的に定められた管理対象者統一識別子情報とを対応付けてポリシーとして記憶するポリシー記憶手段と、前記管理者統一識別子情報又は前記管理対象者統一識別子情報に対応する、前記ネットワークサービスとは無関係の文字列であるユーザ統一識別子情報と、前記管理者又は前記管理対象者であるユーザに関わるネットワークサービスを表すサービス情報と、前記ユーザに関わるネットワーク
サービスのアクセスに用いるユーザ識別子情報と、を対応付けて記憶する識別子記憶手段と、を備えたことを特徴とするポリシー管理装置を提供する。
サービスのアクセスに用いるユーザ識別子情報と、を対応付けて記憶する識別子記憶手段と、を備えたことを特徴とするポリシー管理装置を提供する。
本発明によれば、ポリシー管理装置は、管理者統一識別子情報と管理対象者統一識別子情報と許可サービス情報とを対応付けて管理しているため、データ構成がシンプルであり管理するのが容易である。また、ネットワークサービスに関するポリシーを検索する際には、常に管理者統一識別子情報と管理対象者統一識別子情報とに基づいて検索を行うことができるため、効率的にポリシーの検索を行うことができる。このため、管理者が複数の管理対象者それぞれに対して、アクセスを許可するネットワークサービスに関するポリシーを設定したとしても、短時間で該当するポリシーを検索することができ、ポリシーによるネットワークサービスへのアクセス制御を効率的に行うことが可能となる。
請求項2に記載の発明は、請求項1に記載のポリシー管理装置において、前記管理者に関わるネットワークサービスのアクセスに用いる情報を要求するためのアクセス情報要求データであって、かつ、該管理対象者の識別子情報と、任意に選択された、前記管理者の識別子情報と、を含むアクセス情報要求データを、前記管理対象者の通信端末から受信するアクセス情報要求受信手段と、前記アクセス情報要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方をユーザ識別子情報として前記識別子記憶手段に問い合わせ、このユーザ識別子情報と対応付けられているユーザ統一識別子情報を取得することで、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得するアクセス情報要求時変換手段と、前記アクセス情報要求時変換手段により取得された、前記管理者統一識別子情報と前記管理対象者統一識別子情報と、に対応付けて記憶されている許可サービス情報を、前記ポリシー記憶手段から取得する許可サービス情報取得手段と、前記許可サービス情報取得手段により取得された許可サービス情報と、前記管理者統一識別子情報とに基づき、前記許可サービス情報を前記サービス情報として、かつ、前記管理者統一識別子情報をユーザ統一識別子情報として前記識別子記憶手段に問い合わせることで、前記ユーザ識別子情報を、前記ネットワークサービスへのアクセスに用いるアクセス情報として取得するアクセス情報取得手段と、前記アクセス情報取得手段により取得されたアクセス情報を、前記管理対象者の通信端末に送信するアクセス情報送信手段とをさらに備えることを特徴とする。
本発明によれば、アクセス情報要求時変換手段は、アクセス情報要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得し、該管理者統一識別子情報と該管理対象者統一識別子情報とに対応付けられて記憶されている許可サービス情報をポリシー記憶手段から取得するため、常に管理者統一識別子情報と管理対象者統一識別子情報とに基づいて許可サービス情報を取得することができる。このため、効率的に短時間でポリシーの検索を行い、アクセスに用いる情報の要求に即座に応答することができる。
請求項3に記載の発明は、請求項1又は2に記載のポリシー管理装置において、前記管理者の識別子情報と、任意に選択された、前記管理対象者の識別子情報と、前記許可サービス情報と、を含むポリシー登録要求データを、前記管理者の通信端末から受信するポリシー登録要求受信手段と、前記ポリシー登録要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方をユーザ識別子情報として前記識別子記憶手段に問い合わせ、このユーザ識別子情報と対応付けられているユーザ統一識別子情報を取得することで、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得する登録時変換手段とをさらに備え、前記ポリシー記憶手段は、前記登録時変換手段により取得された、前記管理者統一識別子情報と前記管理対象者統一識別子情報と、前記ポリシー登録要求受信手段により受信した許可サービス情報とを対応付けて記憶することを特徴とする。
本発明によれば、登録時変換手段は、ポリシー登録要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得し、ポリシー記憶手段は、前記管理者統一識別子情報と前記管理対象者統一識別子情報と前記許可サービス情報とを対応付けてポリシーとして記憶するため、その後、ポリシー記憶手段よりポリシーを検索する場合に、常に管理対象者統一識別子情報と管理者統一識別子情報とに基づいて検索を行うことができるため、短時間で効率的にポリシーを検索することができる。
請求項4に記載の発明は、ユーザに関わる各種ネットワークサービスへのアクセスに関
するポリシーを管理するポリシー管理システムにおいて、前記ユーザに関する情報を検索するための識別子として統一的に定められた前記ネットワークサービスとは無関係の文字列である統一識別子情報と、前記ユーザに関わるネットワークサービスのアクセスに用いる識別子情報と、を対応付けて記憶する識別子記憶手段と、前記ポリシーの管理者の通信端末から、前記管理者の識別子情報と、任意に選択された、前記管理対象者の識別子情報と、前記管理者に関わる各種ネットワークサービスのうち前記管理者が管理対象者に対してアクセスを許可するネットワークサービスを表す許可サービス情報と、を含むポリシー登録要求データを受信するポリシー登録要求受信手段と、前記識別子記憶手段により記憶されている情報に基づいて、前記ポリシー登録要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得する登録時変換手段と、前記登録時変換手段により取得された、前記管理者統一識別子情報と前記管理対象者統一識別子情報と、前記ポリシー登録要求受信手段により受信した許可サービス情報とを対応付けてポリシーとして記憶するポリシー記憶手段とを備えることを特徴とするポリシー管理システムを提供する。
するポリシーを管理するポリシー管理システムにおいて、前記ユーザに関する情報を検索するための識別子として統一的に定められた前記ネットワークサービスとは無関係の文字列である統一識別子情報と、前記ユーザに関わるネットワークサービスのアクセスに用いる識別子情報と、を対応付けて記憶する識別子記憶手段と、前記ポリシーの管理者の通信端末から、前記管理者の識別子情報と、任意に選択された、前記管理対象者の識別子情報と、前記管理者に関わる各種ネットワークサービスのうち前記管理者が管理対象者に対してアクセスを許可するネットワークサービスを表す許可サービス情報と、を含むポリシー登録要求データを受信するポリシー登録要求受信手段と、前記識別子記憶手段により記憶されている情報に基づいて、前記ポリシー登録要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得する登録時変換手段と、前記登録時変換手段により取得された、前記管理者統一識別子情報と前記管理対象者統一識別子情報と、前記ポリシー登録要求受信手段により受信した許可サービス情報とを対応付けてポリシーとして記憶するポリシー記憶手段とを備えることを特徴とするポリシー管理システムを提供する。
本発明によれば、登録時変換手段は、ポリシー登録要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得し、ポリシー記憶手段は、前記管理者統一識別子情報と前記管理対象者統一識別子情報と前記許可サービス情報とを対応付けてポリシーとして記憶するため、その後、ポリシー記憶手段よりポリシーを検索する場合に、常に管理対象者統一識別子情報と管理者統一識別子情報とに基づいて検索を行うことができるため、短時間で効率的にポリシーを検索することができる。
請求項5に記載の発明は、請求項4に記載のポリシー管理システムにおいて、前記管理者に関わるネットワークサービスへのアクセスに用いる情報を要求するためのアクセス情報要求データであって、かつ、前記管理対象者の識別子情報と、任意に選択された、前記管理者の識別子情報とを含むアクセス情報要求データを、前記管理対象者の通信端末から受信するアクセス情報要求受信手段と、前記識別子記憶手段に記憶されている情報に基づいて、前記アクセス情報要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得するアクセス情報要求時変換手段と、前記アクセス情報要求時変換手段により取得された、前記管理者統一識別子情報と前記管理対象者統一識別子情報と、に対応付けられて記憶されている許可サービス情報を前記ポリシー記憶手段から取得する許可サービス情報取得手段と、前記許可サービス情報取得手段により取得された許可サービス情報と、前記管理者統一識別子情報とに基づき、前記ネットワークサービスへのアクセスに用いるアクセス情報を取得するアクセス情報取得手段と、前記アクセス情報取得手段により取得されたアクセス情報を、前記管理対象者の通信端末に送信するアクセス情報送信手段とをさらに備えることを特徴とする。
本発明によれば、アクセス情報要求時変換手段は、アクセス情報要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得し、該管理者統一識別子情報と該管理対象者統一識別子情報とに対応付けられて記憶されている許可サービス情報をポリシー記憶手段から取得するため、常に管理者統一識別子情報と管理対象者統一識別子情報とに基づいて許可サービス情報を取得することができる。このため、効率的に短時間でポリシーの検索を行い、アクセスに用いる情報の要求に即座に応答することができる。
請求項6に記載の発明は、請求項5に記載のポリシー管理システムにおいて、前記アクセス情報は、前記管理対象者の通信端末に、前記管理者の識別子情報自体を提示する代わりに、前記許可サービス情報で表されるネットワークサービスの種類を示す提示情報を提示するための情報であることを特徴とする。
本発明によれば、ポリシー管理システムは、前記管理対象者の通信端末に、管理者の識別子情報自体を提示する代わりに、許可サービス情報で表されるネットワークサービスの種類を示す提示情報を提示するため、識別子情報自体をユーザに対して隠蔽することができ、管理者の識別子情報の漏洩を防ぐことができる。
本発明によれば、ポリシー管理システムは、前記管理対象者の通信端末に、管理者の識別子情報自体を提示する代わりに、許可サービス情報で表されるネットワークサービスの種類を示す提示情報を提示するため、識別子情報自体をユーザに対して隠蔽することができ、管理者の識別子情報の漏洩を防ぐことができる。
請求項7に記載の発明は、請求項5又は6に記載のポリシー管理システムにおいて、前記提示情報の選択によって行われる前記ネットワークサービスへのアクセスを制限する利用制限手段をさらに備え、前記利用制限手段は、前記ネットワークサービスへのアクセス回数と、所定の経過時間との少なくとも一方が所定の閾値を超えた場合に、前記提示情報の選択を禁止することを特徴とする。
本発明によれば、ポリシー管理システムは、提示情報の選択によって行われるネットワークサービスへのアクセスを制限する利用制限手段を備えているため、管理対象者が永遠に管理者に関わるネットワークサービスに対してアクセス可能となるのを防ぐことができ、セキュリティを高めることができる。
本発明によれば、ポリシー管理システムは、提示情報の選択によって行われるネットワークサービスへのアクセスを制限する利用制限手段を備えているため、管理対象者が永遠に管理者に関わるネットワークサービスに対してアクセス可能となるのを防ぐことができ、セキュリティを高めることができる。
請求項8に記載の発明は、ネットワークサービスのアクセスに関するポリシーの管理対象者が保有する通信端末において、前記ポリシーの管理者に関わるネットワークサービスへのアクセスに用いる情報を要求するためのアクセス情報要求データであって、かつ、前記管理対象者の識別子情報と、任意に選択された、前記管理者の識別子情報とを含むアクセス情報要求データを送信するアクセス情報要求送信手段と、前記アクセス情報要求送信手段により送信されたアクセス情報要求データに応答して受信した、前記管理者が管理対象者に対してアクセスを許可するネットワークサービスに関するアクセス情報に基づいて、前記アクセス情報要求データに含まれる前記管理者の識別子情報とは異なる前記管理者の識別子情報自体を提示する代わりに、前記アクセスを許可するネットワークサービスの種類を示す提示情報を提示するアクセス情報提示手段と、前記アクセス情報提示手段により提示された提示情報の選択によって行われる前記ネットワークサービスへのアクセスを制限する利用制限手段とを備え、前記利用制限手段は、前記ネットワークサービスへのアクセス回数と、所定の経過時間との少なくとも一方が所定の閾値を超えた場合に、前記提示情報の選択を禁止することを特徴とする通信端末を提供する。
本発明によれば、通信端末は、管理者に関わるネットワークサービスへのアクセスに用いられるアクセス情報を受信した場合に、管理者の識別子情報自体を提示する代わりに、許可サービス情報で表されるネットワークサービスの種類を示す提示情報を提示するため、管理者の識別子情報自体を管理対象者に対して隠蔽し、管理者の識別子情報の漏洩を防ぐことができる。また、通信端末は、提示情報の選択によって行われるネットワークサービスへのアクセスを制限する利用制限手段を備えているため、管理対象者が永遠に管理者に関わるネットワークサービスに対してアクセス可能となるのを防ぐことができ、セキュリティを高めることができる。
請求項9に記載の発明は、ユーザに関する情報を検索するための識別子として統一的に定められた前記ネットワークサービスとは無関係の文字列である統一識別子情報と、前記ユーザに関わる各種ネットワークサービスへのアクセスに用いる識別子情報と、を対応付けて記憶する識別子記憶手段と、前記識別子記憶手段に記憶されている情報に基づいて、ユーザに関わる任意の前記識別子情報を前記統一識別子情報に変換する識別子変換手段とを備えることを特徴とする識別子管理装置を提供する。
本発明によれば、識別子管理装置は、ユーザに関わる任意の前記識別子情報を前記統一識別子情報に変換するため、ポリシー管理装置で管理すべき、管理者の識別子情報と管理対象者の識別子情報とを、管理者統一識別子情報と管理対象者統一識別子情報とに変換す
ることができるため、ポリシー管理装置は、ポリシーを統一的な識別子情報により管理し、効率的、短時間にポリシーを検索することができる。
本発明によれば、識別子管理装置は、ユーザに関わる任意の前記識別子情報を前記統一識別子情報に変換するため、ポリシー管理装置で管理すべき、管理者の識別子情報と管理対象者の識別子情報とを、管理者統一識別子情報と管理対象者統一識別子情報とに変換す
ることができるため、ポリシー管理装置は、ポリシーを統一的な識別子情報により管理し、効率的、短時間にポリシーを検索することができる。
請求項10に記載の発明は、ネットワークサービスのアクセスに関するポリシーの管理者が保有する通信端末が、該管理者の識別子情報と、任意に選択された、管理対象者を識別するための識別子情報と、前記管理者に関わる各種ネットワークサービスのうち、前記管理者が管理対象者に対してアクセスを許可するネットワークサービスを表す許可サービス情報と、を含むポリシー登録要求データを送信するポリシー登録要求送信ステップと、ポリシー管理システムが、前記ポリシー登録要求送信ステップにおいて送信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者に関する情報を検索するための識別子として統一的に定められた前記ネットワークサービスとは無関係の文字列である管理者統一識別子情報と、前記管理対象者に関する情報を検索するための識別子として統一的に定められた前記ネットワークサービスとは無関係の文字列である管理対象者統一識別子情報とを取得する登録時変換ステップと、前記ポリシー管理システムが、前記登録時変換ステップにおいて取得された、前記管理者統一識別子情報と前記管理対象者統一識別子情報と、前記ポリシー登録要求データに含まれる許可サービス情報と、を対応付けてポリシーとして記憶するポリシー記憶ステップと、前記管理対象者の通信端末が、前記管理者に関わるネットワークサービスにアクセスするための情報を要求するためのアクセス情報要求データであって、かつ、該管理対象者の識別子情報と、任意に選択された、前記管理者の識別子情報とを含むアクセス情報要求データを送信するアクセス情報要求送信ステップと、前記ポリシー管理システムが、前記アクセス情報要求送信ステップにおいて送信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得するアクセス情報要求時変換ステップと、前記ポリシー管理システムが、前記アクセス情報要求時変換ステップにおいて取得された、前記管理者統一識別子情報と前記管理対象者統一識別子情報と、に対応付けられた許可サービス情報を、前記ポリシー記憶ステップにおいて記憶された情報の中から取得する許可サービス情報取得ステップと、前記ポリシー管理システムが、前記許可サービス情報取得ステップにおいて取得された許可サービス情報と、前記管理者統一識別子情報とに基づき、前記ネットワークサービスへのアクセスに用いるアクセス情報を取得するアクセス情報取得ステップと、前記ポリシー管理システムが、前記アクセス情報取得手段により取得されたアクセス情報を、前記管理対象者の通信端末に送信するアクセス情報送信ステップと、前記管理対象者の通信端末が、前記アクセス情報送信ステップにおいて送信されたアクセス情報に基づいて、前記管理者の識別子情報自体を提示する代わりに、前記許可サービス情報で表されるネットワークサービスの種類を示す提示情報を提示するアクセス情報提示ステップとを有するネットワークサービスアクセス制御方法を提供する。
本発明に係るネットワークサービスアクセス制御方法によれば、ポリシー登録要求データに含まれる、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得し、該管理対象者統一識別子情報と該管理者統一識別子情報と許可サービス情報とを対応付けて記憶するため、シンプルな検索し易いデータ構成でポリシー管理を行うことができる。また、アクセス情報要求データに含まれる、前記管理者の識別子情報と前記管理対象者の識別子情報の少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得し、該管理者統一識別子情報と該管理対象者統一識別子情報とに対応付けられて記憶されている許可サービス情報を取得するため、常に管理者統一識別子情報と管理対象者統一識別子情報とに基づいて許可サービス情報を取得することができる。このため、効率的に短時間でポリシーの検索を行うことができる。
本発明によれば、ポリシー管理装置は、管理者統一識別子情報と管理対象者統一識別子情報と許可サービス情報とを対応付けて管理しているため、データ構成がシンプルであり管理が容易である。また、ネットワークサービスに関するポリシーを検索する際には、常に管理者統一識別子情報と管理対象者統一識別子情報とに基づいて検索を行うことができるため、効率的にポリシーの検索を行うことができる。このため、ポリシー記憶手段に多くのポリシーが記憶されていたとしても、短時間で該当するポリシーを検索することができ、ポリシーによるネットワークサービスへのアクセス制御を効率的に行うことが可能となる。
次に、図面を参照しながら、本発明を実施するための最良の形態について説明する。なお、以下の説明において参照する各図においては、他の図と同等部分に同一符号が付されている。
[1.構成]
[1.1.全体構成]
図1は、本発明に係るポリシー管理システム1の構成を示すブロック図である。同図に示すように、ポリシー管理システム1は、複数のネットワークサービスへのアクセスに関するポリシーを管理するポリシー管理装置10、識別子情報を管理・変換する識別子管理装置20、管理対象者に対するポリシーを設定する管理者が使用する通信端末30a、及び、ポリシーの管理対象者が使用する通信端末30bを含んで構成される。
[1.構成]
[1.1.全体構成]
図1は、本発明に係るポリシー管理システム1の構成を示すブロック図である。同図に示すように、ポリシー管理システム1は、複数のネットワークサービスへのアクセスに関するポリシーを管理するポリシー管理装置10、識別子情報を管理・変換する識別子管理装置20、管理対象者に対するポリシーを設定する管理者が使用する通信端末30a、及び、ポリシーの管理対象者が使用する通信端末30bを含んで構成される。
ここで、複数のネットワークサービスには、通信キャリアが管理運営するネットワークを介した通話やメールの送受信、及び、xSPが管理・運営するストレージに格納されている情報(HP、blog、予定表、アルバム等)の閲覧/書き込み等が含まれる。
ポリシー管理装置10と識別子管理装置20とは、xSPが管理運営するサーバであり、通信キャリアのネットワーク上に存在する。通信端末30a,30bは、以下では携帯電話機として説明するが、用途に応じた通信機能を有している装置であればよい。なお、以下では、通信端末30a,30bを特に区別して説明しない場合には、「通信端末30」と記述する。
ポリシー管理装置10と識別子管理装置20とは、xSPが管理運営するサーバであり、通信キャリアのネットワーク上に存在する。通信端末30a,30bは、以下では携帯電話機として説明するが、用途に応じた通信機能を有している装置であればよい。なお、以下では、通信端末30a,30bを特に区別して説明しない場合には、「通信端末30」と記述する。
[1.2.識別子管理装置]
次に、識別子管理装置20の構成について説明する。識別子管理装置20は、一般的なコンピュータのハードウェア構成を備えている。具体的には、識別子管理装置20は、識別子管理装置20全体を制御するCPU(Central Processing Unit)と、ROM(Read Only Memory)、RAM(Random Access Memory)、及び、ハードディスクを含む記憶装置と、通信ネットワークを介してデータの授受を制御する通信インターフェースとを備えている。
次に、識別子管理装置20の構成について説明する。識別子管理装置20は、一般的なコンピュータのハードウェア構成を備えている。具体的には、識別子管理装置20は、識別子管理装置20全体を制御するCPU(Central Processing Unit)と、ROM(Read Only Memory)、RAM(Random Access Memory)、及び、ハードディスクを含む記憶装置と、通信ネットワークを介してデータの授受を制御する通信インターフェースとを備えている。
識別子管理装置20の記憶装置には、各種データが記憶されている。例えば、識別子管理装置20のハードディスクには、図2に示す識別子管理データベース(以下「識別子管理DB」という)が設けられている。当該識別子管理DBは、ネットワークサービスにアクセスするための識別子情報を統一的な識別子情報に変換するためのデータが格納されるデータベースである。
同図に示す「統一識別子情報」は、ユーザに関する情報を検索するための識別子として統一的に定められた識別子である。この「統一識別子情報」は、例えば、ユーザがポリシー管理システム1により提供されるサービスへの加入申込を行う際に、ユーザが決定し、識別子管理DBに登録される情報である。このため、「統一識別子情報」は、ユーザによって体系が異なる場合もあり、例えば、あるユーザの統一識別子情報が電話番号であって、他のユーザの統一識別子情報がメールアドレスである場合もある。また、「統一識別子情報」は、ユーザに関わるネットワークサービスにアクセスするための識別子情報のうちのいずれか1つであってもよいし、ネットワークサービスとは全く関係ない番号や記号であってもよい。例えば、図2に示すように、ユーザXの統一的な識別子情報は、ネットワークサービスとは関係のない識別子情報“ID-X”である。
また、同図に示す「識別子情報」は、ユーザに関わる各種ネットワークサービスへのアクセスに用いられる識別子情報である。例えば、同図に示す、「識別子情報」“090-8016-****”は、移動通信網を介してユーザAの携帯電話機に着信するために用いる電話番号である。また、「識別子情報」“userA@mail.com”は、移動パケット通信網を介してユーザAの携帯電話機にメールを送信するために用いるメールアドレスである。また、「識別子情報」“http://www.userA.com”は、インターネットを介して、ユーザAのホームページの画面を表示するHTMLファイル等の情報が格納されているストレージにアクセスするために用いるURLである。
以上のように、ユーザAは識別子情報として、電話番号“090-8016-****”と、メールアドレス“userA@mail.com”と、ホームページのURL“http://www.userA.com”とを有しているが、ここでは、ユーザAの統一識別子情報として電話番号“090-8016-****”が統一的に定められている。
また、識別子管理装置20のハードディスクには各種プログラムが記憶されている。識別子管理装置20が備えるこれらのソフトウェアとハードウェアとが協働して動作することにより、識別子管理装置20は図3に示す機能部として機能する。
また、識別子管理装置20のハードディスクには各種プログラムが記憶されている。識別子管理装置20が備えるこれらのソフトウェアとハードウェアとが協働して動作することにより、識別子管理装置20は図3に示す機能部として機能する。
識別子記憶部21は、ハードディスクに設けられた識別子管理DBと、識別子管理DBに格納されたデータと、識別子管理DBに対するデータ登録、データ検索及び抽出を行うソフトウェアとを含んで構成される。
識別子変換部22は、識別子記憶部21に記憶されている情報に基づいて、ユーザに関わる任意の識別子情報を統一識別子情報に変換する。具体的には、識別子変換部22は、ポリシー管理装置10よりユーザの任意の識別子情報を受信した場合に、識別子記憶部21に対して、ユーザの任意の識別子情報に対応する統一識別子情報の検索依頼を行い、取得した検索結果をポリシー管理装置10に返信する。
識別子変換部22は、識別子記憶部21に記憶されている情報に基づいて、ユーザに関わる任意の識別子情報を統一識別子情報に変換する。具体的には、識別子変換部22は、ポリシー管理装置10よりユーザの任意の識別子情報を受信した場合に、識別子記憶部21に対して、ユーザの任意の識別子情報に対応する統一識別子情報の検索依頼を行い、取得した検索結果をポリシー管理装置10に返信する。
識別子記憶部21が識別子変換部22より検索依頼を受けた場合には、ユーザの任意の識別子情報と一致する「識別子情報」を識別子管理DBより検索する。識別子記憶部21は、当該検索された「識別子情報」と対応付けられて記憶されている「統一識別子情報」を識別子管理DBより抽出し、当該抽出した「統一識別子情報」を検索結果として識別子変換部22に通知する。なお、検索依頼を受けたユーザの任意の識別子情報が「統一識別子情報」と等しい場合には、識別子記憶部21はその旨を識別子変換部22に通知する。または、ユーザの任意の識別子情報が「統一識別子情報」と等しくない場合とを区別せずに、識別子記憶部21は、一律、識別子変換部22に「統一識別子情報」を通知するようにしてもよい。
また、識別子変換部22は、ネットワークサービスヘのアクセスに用いる識別子情報を検索する機能を備えている。具体的には、識別子変換部22は、ポリシー管理装置10から、ユーザに関わるネットワークサービスのアクセスに用いる識別子情報の問合せを受けた場合に、識別子記憶部21より、問合せを受けたユーザに関わるネットワークサービスに該当する「ユーザ」と「ネットワークサービス」とを検索し、当該検索された「ユーザ」と「ネットワークサービス」とに対応する「識別子情報」を抽出し、当該抽出した識別子情報をポリシー管理装置10に返信する。
[1.3.ポリシー管理装置]
次に、ポリシー管理装置10の構成について説明する。ポリシー管理装置10も識別子管理装置20と同様に、一般的なコンピュータのハードウェア構成を備えている。ポリシー管理装置10のハードディスクには、各種データが記憶されている。例えば、ポリシー管理装置10のハードディスクには、図4に示すポリシーデータベース(以下「ポリシーDB」という)が設けられている。このポリシーDBには、管理者と管理対象者との間のネットワークサービスのアクセスに関するポリシーが格納されている。ここで「ポリシー」とは、管理者に関わる各種ネットワークサービスのうち、管理者が管理対象者に対してどのネットワークサービスについてのアクセスを許可するかを表す情報である。
次に、ポリシー管理装置10の構成について説明する。ポリシー管理装置10も識別子管理装置20と同様に、一般的なコンピュータのハードウェア構成を備えている。ポリシー管理装置10のハードディスクには、各種データが記憶されている。例えば、ポリシー管理装置10のハードディスクには、図4に示すポリシーデータベース(以下「ポリシーDB」という)が設けられている。このポリシーDBには、管理者と管理対象者との間のネットワークサービスのアクセスに関するポリシーが格納されている。ここで「ポリシー」とは、管理者に関わる各種ネットワークサービスのうち、管理者が管理対象者に対してどのネットワークサービスについてのアクセスを許可するかを表す情報である。
ポリシーDBには、図4に示すように「管理者統一識別子情報」と「管理対象者統一識別子情報」と「許可するサービス」とが格納されている。
「管理者統一識別子情報」は、管理者に関する情報を検索するための識別子として統一的に定められた識別子である。また、「管理対象者統一識別子情報」は、管理対象者に関する情報を検索するための情報として統一的に定められた識別子情報である。なお、ここで、「管理者」と「管理対象者」とは、ポリシー管理における役割を表しており、例えば、ユーザAがユーザBに対して管理者となる場合も管理対象者となる場合もある。ユーザAが管理者である場合には、「管理者統一識別子情報」はユーザAの統一識別子である“090-8016-****”となり、ユーザAが管理対象者である場合には、「管理対象者統一識別子情報」は同様にユーザAの統一識別子である“090-8016-****”となる。
「管理者統一識別子情報」は、管理者に関する情報を検索するための識別子として統一的に定められた識別子である。また、「管理対象者統一識別子情報」は、管理対象者に関する情報を検索するための情報として統一的に定められた識別子情報である。なお、ここで、「管理者」と「管理対象者」とは、ポリシー管理における役割を表しており、例えば、ユーザAがユーザBに対して管理者となる場合も管理対象者となる場合もある。ユーザAが管理者である場合には、「管理者統一識別子情報」はユーザAの統一識別子である“090-8016-****”となり、ユーザAが管理対象者である場合には、「管理対象者統一識別子情報」は同様にユーザAの統一識別子である“090-8016-****”となる。
「許可するサービス」は、管理者に関わる各種ネットワークサービスのうち、管理者が管理対象者に対してアクセスを許可するネットワークサービスを表す許可サービス情報である。
また、ポリシー管理装置10のハードディスクには、各種プログラムが記憶されている。上述した、ポリシー管理装置10が備えるハードウェアと、データと、CPUがプログラムを実行することにより実現される機能とが協働して動作することにより、ポリシー管理装置10は図5に示す機能部として機能する。
また、ポリシー管理装置10のハードディスクには、各種プログラムが記憶されている。上述した、ポリシー管理装置10が備えるハードウェアと、データと、CPUがプログラムを実行することにより実現される機能とが協働して動作することにより、ポリシー管理装置10は図5に示す機能部として機能する。
ポリシー記憶部11は、ハードディスクに設けられているポリシーDBと、ポリシーDBに格納されるポリシーと、ポリシーDBに対してポリシーを登録したり、ポリシーを検索、抽出するためのソフトウェアとを含んで構成される。
ポリシー登録要求受信部12は、管理者の通信端末30aから、管理対象者に対するポリシーの登録を要求するためのポリシー登録要求データを受信する。当該ポリシー登録要求データには、管理者の識別子情報と、管理者により任意に選択され入力された管理対象者の識別子情報と、管理者により入力された許可サービス情報と、が含まれている。
ポリシー登録要求受信部12は、管理者の通信端末30aから、管理対象者に対するポリシーの登録を要求するためのポリシー登録要求データを受信する。当該ポリシー登録要求データには、管理者の識別子情報と、管理者により任意に選択され入力された管理対象者の識別子情報と、管理者により入力された許可サービス情報と、が含まれている。
登録時変換部13は、ポリシー登録要求受信部12が受信した、管理者の識別子情報と管理対象者の識別子情報との少なくとも一方に基づき、管理者統一識別子情報と管理対象者統一識別子情報とを取得する。具体的には、登録時変換部13は、管理者により任意に選択された、管理対象者の識別子情報に対応する管理対象者統一識別子情報の検索依頼を、識別子管理装置20に対して行うことにより、管理対象者統一識別子情報を取得する。また、登録時変換部13は、受信した管理者の識別子情報が管理者統一識別子情報でない場合には、管理者の識別子情報に対応する管理者統一識別子情報の検索依頼を識別子管理装置20に対して行うことにより、管理者統一識別子情報を取得する。なお、通信端末30aから送信されてくるポリシー登録要求データに含まれる管理者の識別子が、常に管理者統一識別子情報である場合には、登録時変換部13は、ポリシー登録要求受信部12が受信した管理者の識別子情報を変換せずに、そのまま管理者統一識別子情報として取得する。
アクセス情報要求受信部14は、管理対象者の通信端末30bより、管理者に関わるネットワークサービスへのアクセスに用いる情報を要求するためのアクセス情報要求データを受信する。当該アクセス情報要求データには、管理対象者の識別子情報と、管理対象者により任意に選択され入力された、管理者の識別子情報と、が含まれている。
アクセス情報要求時変換部15は、アクセス情報要求受信部14が受信した、管理者の識別子情報と管理対象者の識別子情報との少なくとも一方に基づき、管理者統一識別子情報と管理対象者統一識別子情報とを取得する。具体的には、アクセス情報要求時変換部15は、管理対象者により任意に選択された、管理者の識別子情報に対応する管理者統一識別子情報の検索依頼を、識別子管理装置20に対して行うことにより、管理者統一識別子情報を取得する。また、アクセス情報要求時変換部15は、受信した管理対象者の識別子情報が管理対象者統一識別子情報でない場合には、管理対象者の識別子情報に対応する管理対象者統一識別子情報の検索依頼を、識別子管理装置20に対して行うことにより、管理対象者統一識別子情報を取得する。なお、通信端末30bから送信されてくるアクセス情報要求データに含まれる管理対象者の識別子が、常に管理対象者統一識別子情報である場合には、アクセス情報要求時変換部15はアクセス情報要求受信部14が受信した管理対象者の識別子情報を変換せずに、そのまま管理対象者統一識別子情報として取得する。
許可サービス情報取得部16は、アクセス情報要求時変換部15が取得した、管理者統一識別子情報と管理対象者統一識別子情報と、に対応付けられて記憶されている許可サービス情報を、ポリシー記憶部11から取得する。
アクセス情報取得部17は、許可サービス情報取得部16が取得した許可サービス情報と、アクセス情報要求時変換部15が取得した管理者統一識別子情報とに基づき、管理者に関するネットワークサービスへのアクセスに用いるアクセス情報を取得する。ここで、アクセス情報は、ネットワークサービスへのアクセスに用いることができる情報であれば何でもよく、ここでは、アクセス情報は、識別子管理装置20より取得した、許可サービス情報に対応する管理者の識別子情報が含まれる情報であるが、図6に示すアクセスメニュー画面G1を表示するためのHTMLファイルであってもよい。
アクセス情報送信部18は、アクセス情報取得部17が取得したアクセス情報を、管理対象者の通信端末30bに送信する。
アクセス情報取得部17は、許可サービス情報取得部16が取得した許可サービス情報と、アクセス情報要求時変換部15が取得した管理者統一識別子情報とに基づき、管理者に関するネットワークサービスへのアクセスに用いるアクセス情報を取得する。ここで、アクセス情報は、ネットワークサービスへのアクセスに用いることができる情報であれば何でもよく、ここでは、アクセス情報は、識別子管理装置20より取得した、許可サービス情報に対応する管理者の識別子情報が含まれる情報であるが、図6に示すアクセスメニュー画面G1を表示するためのHTMLファイルであってもよい。
アクセス情報送信部18は、アクセス情報取得部17が取得したアクセス情報を、管理対象者の通信端末30bに送信する。
[1.4.通信端末]
次に、通信端末30の構成について説明する。通信端末30は、一般的な携帯電話機のハードウェア構成を備えている。具体的には、通信端末30は、通信端末30全体を制御するCPUと、ネットワークを介してデータの授受を制御する無線通信インターフェースと、SRAM(Static Random Access Memory)やDRAM(Dynamic Random Access Memory)等の揮発性メモリと、フラッシュ・メモリ等の不揮発性メモリと、各種画面を表示するディスプレイとを備えている。
次に、通信端末30の構成について説明する。通信端末30は、一般的な携帯電話機のハードウェア構成を備えている。具体的には、通信端末30は、通信端末30全体を制御するCPUと、ネットワークを介してデータの授受を制御する無線通信インターフェースと、SRAM(Static Random Access Memory)やDRAM(Dynamic Random Access Memory)等の揮発性メモリと、フラッシュ・メモリ等の不揮発性メモリと、各種画面を表示するディスプレイとを備えている。
通信端末30の不揮発性メモリには、各種データやプログラムが記憶されている。例えば、不揮発性メモリには、通信端末30の電話番号と、メールアドレスと、アクセス情報を受信した日付と、アクセス情報を保管可能な期間と、ネットワークサービスにアクセス可能な回数と、ネットワークへの接続を継続している時間と、を表す情報や、ディスプレイに各種画面を表示するためのHTMLファイルや、HTMLファイルを解釈して画面を表示するWebブラウザが記憶されている。
また、通信端末30の不揮発性メモリには、ポリシー管理用の各種画面を表示したり、ネットワークサービスへのアクセスに用いるアクセス情報を取得したり、アクセスメニュー画面G1を生成したり、アクセス情報の利用を制限するためのポリシー管理プログラムが記憶されている。このポリシー管理プログラムは、図示せぬサーバよりダウンロードされたものである。通信端末30のCPUがこのポリシー管理プログラムを実行することにより、図7に示す機能が通信端末30に実現される。
ポリシー登録要求送信部31は、ポリシーの登録を要求するためのポリシー登録要求データをポリシー管理装置10に対して送信する。具体的には、管理者が管理対象者の識別子情報を任意に選択して通信端末30に入力し、かつ、管理者に関わる各種ネットワークサービスのうち、管理者が管理対象者に対してアクセスを許可するネットワークサービスの情報を入力した場合に、ポリシー登録要求送信部31は、ポリシー登録要求データを生成して送信する。当該ポリシー登録要求データには、管理者により任意に入力された管理対象者の識別子情報と、許可するネットワークサービスを表す許可サービス情報と、管理者の識別子情報とが含まれている。ここで、管理者の識別子情報は、通信端末30に記憶されている情報であればよく、例えば、電話番号でも、メールアドレスでも、機体番号でもよく、また、予め通信端末30に記憶しておいた管理者統一識別子情報であってもよい。
管理者の識別子情報を管理者統一識別子情報とする場合には、識別子管理装置20は、管理者の識別子情報を管理者統一識別子情報に変換する必要がないため、処理効率を一層高めることができる。
アクセス情報要求送信部32は、管理対象者が通信端末30を操作して、管理者の識別子情報を任意に選択して入力した場合に、管理者に関わるネットワークサービスへのアクセスに用いる情報を要求するためのアクセス情報要求データを送信する。このアクセス情報要求データには、管理対象者により任意に入力された管理者の識別子情報と、管理対象者の識別子情報とが含まれている。
ここで、管理対象者の識別子情報は、ポリシー登録要求データに含まれる管理者の識別子情報と同様に、通信端末30に記憶されている電話番号でも、メールアドレスでも、管理対象者統一識別子情報でもよい。
アクセス情報要求送信部32は、管理対象者が通信端末30を操作して、管理者の識別子情報を任意に選択して入力した場合に、管理者に関わるネットワークサービスへのアクセスに用いる情報を要求するためのアクセス情報要求データを送信する。このアクセス情報要求データには、管理対象者により任意に入力された管理者の識別子情報と、管理対象者の識別子情報とが含まれている。
ここで、管理対象者の識別子情報は、ポリシー登録要求データに含まれる管理者の識別子情報と同様に、通信端末30に記憶されている電話番号でも、メールアドレスでも、管理対象者統一識別子情報でもよい。
アクセス情報提示部33は、アクセス情報要求送信部32が送信したアクセス情報要求データに応答してアクセス情報を受信した場合に、当該アクセス情報に基づいて、ネットワークサービスに対応する管理者の識別子情報自体を表示する代わりに、管理者に許可されたネットワークサービスの種類を表す提示情報を提示する。具体的には、アクセス情報提示部33は、「TEL」と「Mail」と「個人HP」等のネットワークサービスの種類を表す文字が描かれたアイコンを通信端末30のディスプレイに表示する。図6には、アクセス情報提示部33が表示するアクセスメニュー画面G1の一例を示す。ここでは、提示情報は、アクセスメニュー画面G1上のアイコンに対応する。当該アイコンがユーザの通信端末30操作により選択された場合には、該当するネットワークサービスにアクセスするための管理者の識別子情報を含んだアクセス情報要求データが送信される。
このように、管理者の識別子情報を直接提示しないことで、管理者の識別情報が漏洩するのを防ぐことができる。なお、提示情報はアイコンに限定されず、例えば、通信端末30が固定電話機である場合には、提示情報はネットワークサービスの種類を通知する音声ガイダンスとなる。
利用制限部34は、アクセスメニュー画面G1上のアイコンの選択によって行われるネットワークサービスへのアクセスを制限する。具体的には、利用制限部34は、ネットワークサービスへのアクセス回数と、所定の経過時間との少なくとも一方が、不揮発性メモリに予め記憶されている所定の閾値を超えた場合に、アイコンの選択を禁止する。
利用制限部34は、アクセスメニュー画面G1上のアイコンの選択によって行われるネットワークサービスへのアクセスを制限する。具体的には、利用制限部34は、ネットワークサービスへのアクセス回数と、所定の経過時間との少なくとも一方が、不揮発性メモリに予め記憶されている所定の閾値を超えた場合に、アイコンの選択を禁止する。
ここで、所定の経過時間とは、アクセス情報が通信端末30において保管されている期間であってもよいし、通信端末30が許可されたネットワークと接続し続けている時間であってもよいし、通信端末30が許可されたネットワークと接続した累積時間であってもよい。また、アクセス回数とは、アイコンを選択する操作を行うことによりネットワークに接続した回数である。また、「アイコンの選択を禁止する」ことには、アクセス情報に含まれる管理者識別子情報を削除することや、アクセスメニュー画面G1を表示するためのHTMLファイルを削除することや、アイコンが選択されたときにエラーメッセージを表示することや発信データを送信しないことが含まれる。
[1.5.ポリシー登録時の処理フロー]
次に、図8を参照しながら、通信端末30aの保有者である管理者が、通信端末30bの保有者である管理対象者に対するポリシーを登録する手順について説明する。
ここでは、予め、通信端末30aの不揮発性メモリに管理者統一識別子情報が記憶されており、通信端末30bの不揮発性メモリに管理対象者統一識別子情報が記憶されているものとする。
まず、管理者は通信端末30aを操作して、ポリシーを登録するための指示を行う。これにより、通信端末30aのCPUは、不揮発性メモリに記憶されているポリシー管理プログラムを起動して、ポリシーを登録するための画面をディスプレイにする。そして、通信端末30aには、図7に示す機能が実現される。
次に、図8を参照しながら、通信端末30aの保有者である管理者が、通信端末30bの保有者である管理対象者に対するポリシーを登録する手順について説明する。
ここでは、予め、通信端末30aの不揮発性メモリに管理者統一識別子情報が記憶されており、通信端末30bの不揮発性メモリに管理対象者統一識別子情報が記憶されているものとする。
まず、管理者は通信端末30aを操作して、ポリシーを登録するための指示を行う。これにより、通信端末30aのCPUは、不揮発性メモリに記憶されているポリシー管理プログラムを起動して、ポリシーを登録するための画面をディスプレイにする。そして、通信端末30aには、図7に示す機能が実現される。
次に、管理者は、通信端末30aを操作して、自分が知っている管理対象者の識別子情報を入力し、さらに、管理対象者に許可するサービスを入力した後、ポリシーを登録する指示を行う。
これにより、通信端末30aは、不揮発性メモリに記憶されている管理者統一識別子情報と、入力された、管理対象者の識別子情報と許可するサービスとが記述されたポリシーを生成する。ポリシー登録要求送信部31はポリシーを含んだポリシー登録要求データを生成し、当該生成したポリシー登録要求データをポリシー管理装置10に送信する(ステップS1)。
これにより、通信端末30aは、不揮発性メモリに記憶されている管理者統一識別子情報と、入力された、管理対象者の識別子情報と許可するサービスとが記述されたポリシーを生成する。ポリシー登録要求送信部31はポリシーを含んだポリシー登録要求データを生成し、当該生成したポリシー登録要求データをポリシー管理装置10に送信する(ステップS1)。
ポリシー管理装置10のポリシー登録要求受信部12は、ポリシー登録要求データを受信すると、ポリシー登録要求データに含まれるポリシーより、管理対象者の任意の識別子情報を抽出する。ポリシー管理装置10の登録時変換部13は、管理対象者の任意の識別子情報に対応する管理対象者統一識別子情報を検索する依頼を、識別子管理装置20に送信する(ステップS2)。
識別子管理装置20は依頼を受信すると、識別子変換部22は管理対象者の任意の識別子情報に対応する統一識別子情報の取得要求を識別子記憶部21に対して行う。識別子記憶部21は、管理対象者の任意の識別子情報と一致する「識別子情報」を識別子管理DBより検索し、一致する「識別子情報」に対応付けられている「統一識別子情報」を抽出して、識別子変換部22に返信する。識別子変換部22は、受信した統一識別子情報を検索結果としてポリシー管理装置10に送信する(ステップS3)。
ポリシー管理装置10の登録時変換部13は、通信端末30aより受信したポリシーに記述されている管理対象者の任意の識別子情報を、識別子管理装置20より受信した統一識別子情報に置き換えることにより、ポリシーを変換する(ステップS4)。ポリシー管理装置10は、変換したポリシーの格納要求をポリシー記憶部11に行う。ポリシー記憶部11は、ポリシーをポリシーDBに格納する(ステップS5)。
なお、上述した処理においては、管理者の通信端末30aは、予め通信端末30aに記憶された管理者統一識別子情報と、任意に入力された管理対象者識別子情報とをポリシー管理装置10に送信するとして説明したが、通信端末30aは、任意の管理者識別子情報と任意の管理者識別子情報と、をポリシー管理装置10に送信するようにしてもよい。この場合には、ポリシー管理装置10の登録時変換部13は、任意の管理者識別子情報と任意の管理対象者識別子情報との両方について識別子管理装置20に検索依頼を行い、管理者統一識別子情報と管理対象者統一識別子情報とを取得することとなる。
このように、ポリシー管理装置10は、通信端末30aより送信されてくる、種々の識別子情報で記載されているポリシーを、統一的な識別子情報で記載したシンプルなデータ構成のポリシーとして管理することができるため、以降のユーザ認証時/ポリシー検索時/ポリシー検証時などにおける処理フローの効率化が可能となる。
このように、ポリシー管理装置10は、通信端末30aより送信されてくる、種々の識別子情報で記載されているポリシーを、統一的な識別子情報で記載したシンプルなデータ構成のポリシーとして管理することができるため、以降のユーザ認証時/ポリシー検索時/ポリシー検証時などにおける処理フローの効率化が可能となる。
[1.6.アクセス情報要求時の処理フロー]
次に、図9を参照しながら、管理対象者が管理者に関わるネットワークサービスにアクセスするのに必要な情報を要求する時の処理について説明する。
ここでも、通信端末30aの不揮発性メモリに管理者統一識別子情報が記憶されており、通信端末30bの不揮発性メモリに管理対象者統一識別子情報が記憶されているものとする。
まず、管理対象者は、通信端末30bを操作して、アクセスに必要な情報を要求するため指示を行う。これにより、通信端末30aのCPUは、不揮発性メモリに記憶されているポリシー管理プログラムを起動して、アクセスに必要な情報を要求するための画面をディスプレイにする。そして、通信端末30bには、図7に示す機能が実現される。
次に、図9を参照しながら、管理対象者が管理者に関わるネットワークサービスにアクセスするのに必要な情報を要求する時の処理について説明する。
ここでも、通信端末30aの不揮発性メモリに管理者統一識別子情報が記憶されており、通信端末30bの不揮発性メモリに管理対象者統一識別子情報が記憶されているものとする。
まず、管理対象者は、通信端末30bを操作して、アクセスに必要な情報を要求するため指示を行う。これにより、通信端末30aのCPUは、不揮発性メモリに記憶されているポリシー管理プログラムを起動して、アクセスに必要な情報を要求するための画面をディスプレイにする。そして、通信端末30bには、図7に示す機能が実現される。
次に、管理対象者は、自己が知っているユーザAに関わる識別子情報を通信端末30bに入力し、ユーザAの通信端末30a、または、ユーザAに属する情報(サーバのストレージに格納されているblog、HP、予定表、アルバム等の情報)へアクセスするのに必要な情報を要求する指示を行う。
これにより、通信端末30bのアクセス情報要求送信部32は、入力された、管理者の任意の識別子情報と、不揮発性メモリに予め記憶されている管理対象者統一識別子とを含んだアクセス情報要求データを、ポリシー管理装置10へ送信する(ステップS11)。
これにより、通信端末30bのアクセス情報要求送信部32は、入力された、管理者の任意の識別子情報と、不揮発性メモリに予め記憶されている管理対象者統一識別子とを含んだアクセス情報要求データを、ポリシー管理装置10へ送信する(ステップS11)。
ポリシー管理装置10のアクセス情報要求受信部14はアクセス情報要求データを受信すると、アクセス情報要求データに含まれる、管理者の任意の識別子情報を抽出する。
アクセス情報要求時変換部15は、抽出された、管理者の任意の識別子情報に対応する管理者統一識別子情報についての検索依頼を行う(ステップS12)。
識別子管理装置20が検索依頼を受信すると、識別子変換部22は管理者の任意の識別子情報に対応付けられた管理者統一識別子情報の問合せを識別子記憶部21に対して行う。識別子記憶部21は、管理者の任意の識別子情報と一致する「識別子情報」を識別子管理DBより検索し、一致する「識別子情報」に対応付けられている「統一識別子情報」を抽出して、識別子変換部22に返信する。識別子変換部22は、受信した統一識別子情報を検索結果としてポリシー管理装置10に送信する(ステップS13)。
アクセス情報要求時変換部15は、抽出された、管理者の任意の識別子情報に対応する管理者統一識別子情報についての検索依頼を行う(ステップS12)。
識別子管理装置20が検索依頼を受信すると、識別子変換部22は管理者の任意の識別子情報に対応付けられた管理者統一識別子情報の問合せを識別子記憶部21に対して行う。識別子記憶部21は、管理者の任意の識別子情報と一致する「識別子情報」を識別子管理DBより検索し、一致する「識別子情報」に対応付けられている「統一識別子情報」を抽出して、識別子変換部22に返信する。識別子変換部22は、受信した統一識別子情報を検索結果としてポリシー管理装置10に送信する(ステップS13)。
ポリシー管理装置10が管理者統一識別子情報を受信すると、許可サービス情報取得部16は、受信した管理者統一識別子情報と、アクセス情報要求データに含まれる管理対象者統一識別子情報とを検索キーとして、ポリシーの検索依頼をポリシー記憶部11に対して行う(ステップS14)。
ポリシー記憶部11は、管理者統一識別子情報と管理対象者統一識別子情報とをキーとして、ポリシーDBを検索する。ポリシー記憶部11は、一致する「管理者統一識別子情報」と「管理対象者統一識別子情報」とに対応する許可サービス情報をポリシーDBより抽出して、許可サービス情報取得部16に通知する(ステップS15)。
ポリシー記憶部11は、管理者統一識別子情報と管理対象者統一識別子情報とをキーとして、ポリシーDBを検索する。ポリシー記憶部11は、一致する「管理者統一識別子情報」と「管理対象者統一識別子情報」とに対応する許可サービス情報をポリシーDBより抽出して、許可サービス情報取得部16に通知する(ステップS15)。
ポリシー管理装置10のアクセス情報取得部17は、許可サービス情報取得部16が取得した、管理者の許可サービス情報に対応する識別子情報の検索依頼を、識別子管理装置20に送信する(ステップS16)。
識別子管理装置20の識別子変換部22は、管理者の許可サービス情報に対応する管理者識別子情報の検索依頼を識別子記憶部21に行う。識別子記憶部21は、管理者統一識別子情報と許可サービス情報とをキーとして、一致する「統一識別子情報」と「ネットワークサービス」とを識別子管理DBより検索する。識別子記憶部21は、一致する「統一識別子情報」と「ネットワークサービス」とに対応する「識別子情報」を抽出する。この抽出された「識別子情報」が、管理対象者が管理者から許可されているネットワークへのアクセスに用いる管理者識別子情報となる。識別子管理装置20は、この管理者識別子情報を検索結果として、ポリシー管理装置10に送信する(ステップS17)。
識別子管理装置20の識別子変換部22は、管理者の許可サービス情報に対応する管理者識別子情報の検索依頼を識別子記憶部21に行う。識別子記憶部21は、管理者統一識別子情報と許可サービス情報とをキーとして、一致する「統一識別子情報」と「ネットワークサービス」とを識別子管理DBより検索する。識別子記憶部21は、一致する「統一識別子情報」と「ネットワークサービス」とに対応する「識別子情報」を抽出する。この抽出された「識別子情報」が、管理対象者が管理者から許可されているネットワークへのアクセスに用いる管理者識別子情報となる。識別子管理装置20は、この管理者識別子情報を検索結果として、ポリシー管理装置10に送信する(ステップS17)。
ポリシー管理装置10のアクセス情報取得部17は、受信した管理者識別子情報を含むアクセス情報を生成する。アクセス情報送信部18は、アクセス情報を通信端末30bに送信する(ステップS18)。
通信端末30bのアクセス情報提示部33は、受信したアクセス情報に基づいて、アクセスメニュー画面G1を表示するためのHTMLファイルを生成する。そして、アクセス情報提示部33は、管理者の識別子情報自体を表示する代わりに、アクセスを許可するネットワークサービスの種類を示すアイコンを含むアクセスメニュー画面G1をディスプレイに表示する。
通信端末30bのアクセス情報提示部33は、受信したアクセス情報に基づいて、アクセスメニュー画面G1を表示するためのHTMLファイルを生成する。そして、アクセス情報提示部33は、管理者の識別子情報自体を表示する代わりに、アクセスを許可するネットワークサービスの種類を示すアイコンを含むアクセスメニュー画面G1をディスプレイに表示する。
管理対象者は、通信端末30bを操作してアクセスメニュー画面G1のいずれかのアイコンを選択する。これにより、通信端末30bは、アイコンに対応するネットワークサービスの管理者識別子情報を含んだ発信データを送信する(ステップS19)。
このように、通信端末30bは管理対象者に各種ネットワークサービスへのアクセスに用いる識別子情報を隠蔽したままネットワークサービスへのアクセスのみ許可することができ、意図する相手以外に識別子情報が漏洩するのを防止することができる。また、管理者統一識別子情報と管理対象者統一識別子情報とをキーにしてポリシーDBを検索することができるため、効率的に短時間でポリシーの検索を行うことができ、通信端末30bはアクセスメニュー画面G1を速く表示することができる。
このように、通信端末30bは管理対象者に各種ネットワークサービスへのアクセスに用いる識別子情報を隠蔽したままネットワークサービスへのアクセスのみ許可することができ、意図する相手以外に識別子情報が漏洩するのを防止することができる。また、管理者統一識別子情報と管理対象者統一識別子情報とをキーにしてポリシーDBを検索することができるため、効率的に短時間でポリシーの検索を行うことができ、通信端末30bはアクセスメニュー画面G1を速く表示することができる。
なお、上述した処理においては、管理対象者の通信端末30bは、予め通信端末30bに記憶されている管理対象者統一識別子情報と、任意に入力された管理者識別子情報と、をポリシー管理装置10に送信するとして説明したが、通信端末30bは、任意の管理対象者識別子情報と任意の管理者識別子情報と、をポリシー管理装置10に送信するようにしてもよい。この場合には、ポリシー管理装置10のアクセス情報要求時変換部15は、任意の管理者識別子情報と任意の管理対象者識別子情報との両方について識別子管理装置20に検索依頼を行い、管理者統一識別子情報と管理対象者統一識別子情報とを取得することとなる。
[2.動作]
次に、上記構成における動作について説明する。
ここでは、一実施形態として、ユーザAが通信端末30aを用いて、ポリシー管理装置10にユーザBに対するポリシーを登録した後、ユーザBの通信端末30bが、ユーザAの保有するホームページのサーバにアクセスする場合を挙げる。ユーザAの通信端末30a、ユーザBの通信端末30bは共に同一通信キャリアによるネットワークサービスを利用しているものとする。また、識別子管理DBには図2に示す情報が格納されており、ポリシーDBには図4に示すポリシーが格納されているものとする。また、通信端末30aの不揮発性メモリには、予め管理者統一識別子情報090-8016-****”が記憶されており、通信端末30bの不揮発性メモリには、予め管理対象者統一識別子情報“090-9827-****”が記憶されているものとする。また、ユーザAはユーザBを指定する識別子情報としてメールアドレスのみ知っているものとする。
次に、上記構成における動作について説明する。
ここでは、一実施形態として、ユーザAが通信端末30aを用いて、ポリシー管理装置10にユーザBに対するポリシーを登録した後、ユーザBの通信端末30bが、ユーザAの保有するホームページのサーバにアクセスする場合を挙げる。ユーザAの通信端末30a、ユーザBの通信端末30bは共に同一通信キャリアによるネットワークサービスを利用しているものとする。また、識別子管理DBには図2に示す情報が格納されており、ポリシーDBには図4に示すポリシーが格納されているものとする。また、通信端末30aの不揮発性メモリには、予め管理者統一識別子情報090-8016-****”が記憶されており、通信端末30bの不揮発性メモリには、予め管理対象者統一識別子情報“090-9827-****”が記憶されているものとする。また、ユーザAはユーザBを指定する識別子情報としてメールアドレスのみ知っているものとする。
まず、ユーザAは通信端末30aを操作して、ポリシーを登録するための指示を行う。これにより、通信端末30aのCPUは、ポリシー管理プログラムを起動することにより、ポリシーを登録するための画面G2をディスプレイに表示する。
ユーザAは、画面G2より、管理対象者であるユーザBの識別子情報“userB@mail.com”と、ユーザAがユーザBに対してアクセスを許可するサービス“通話、メール、ホームページの閲覧”を入力する。そして、ユーザAは、通信端末30aを操作して、画面上の登録を示すアイコンを選択する。
ユーザAは、画面G2より、管理対象者であるユーザBの識別子情報“userB@mail.com”と、ユーザAがユーザBに対してアクセスを許可するサービス“通話、メール、ホームページの閲覧”を入力する。そして、ユーザAは、通信端末30aを操作して、画面上の登録を示すアイコンを選択する。
これにより、通信端末30aは、不揮発性メモリに記憶されているユーザAの統一識別子情報“090-8016-****”と、入力された、ユーザBの識別子情報“userB@mail.com”と、入力された許可するサービス“通話、メール、ホームページの閲覧”とを含んだポリシーを生成する。通信端末30aのポリシー登録要求送信部31は、当該ポリシーを含んだポリシー登録要求データを生成し、当該生成したポリシー登録要求データをポリシー管理装置10に送信する(ステップS21)。
ポリシー管理装置10のポリシー登録要求受信部12は、ポリシー登録要求データを受信する。登録時変換部13は、受信したポリシーに記述されているユーザBの識別子情報“userB@mail.com”を基に、ユーザBの統一識別子情報の検索を識別子管理装置20に対して依頼する(ステップS22)。
識別子管理装置20の識別子変換部22は、識別子記憶部21が管理している識別子管理DBを基に、ユーザBの識別子情報“userB@mail.com”に対応するユーザBの統一識別子情報“090-9827-****”を検索し、ポリシー管理装置10に返信する。
識別子管理装置20の識別子変換部22は、識別子記憶部21が管理している識別子管理DBを基に、ユーザBの識別子情報“userB@mail.com”に対応するユーザBの統一識別子情報“090-9827-****”を検索し、ポリシー管理装置10に返信する。
ポリシー管理装置10は、識別子管理装置20より受信した返信結果を基に、通信端末30aより受信したポリシーを、ユーザBの統一的な識別子情報である電話番号“090-9827-****”を用いた記述に変換し、これをポリシー記憶部11に格納するよう依頼する(ステップS23)。ポリシー記憶部11は、ポリシーをポリシーDBに格納する。
次に、ユーザBが、ユーザAから許可されている各種ネットワークサービスヘのアクセスに用いる情報を要求するときの動作について説明する。この際、ユーザBはユーザAを指定する情報としてメールアドレス“userA@mail.com”のみ知っているものとする。
次に、ユーザBが、ユーザAから許可されている各種ネットワークサービスヘのアクセスに用いる情報を要求するときの動作について説明する。この際、ユーザBはユーザAを指定する情報としてメールアドレス“userA@mail.com”のみ知っているものとする。
まず、ユーザBは、通信端末30bを操作して、ユーザAに関わる各種ネットワークサービスヘのアクセスに用いる情報を要求する指示を行う。これにより、通信端末30aのCPUは、ポリシー管理プログラムを起動することにより、ディスプレイにアクセスメニューの表示を指示するための画面G3を表示する。
ユーザBは、画面G3から自己が知っているユーザAの識別子情報“userA@mail.com”を入力し、アクセスメニュー画面G1を表示する指示を行う。
ユーザBは、画面G3から自己が知っているユーザAの識別子情報“userA@mail.com”を入力し、アクセスメニュー画面G1を表示する指示を行う。
これにより、通信端末30bのアクセス情報要求送信部32は、入力されたユーザAの識別子情報“userA@mail.com”と、不揮発性メモリに予め記憶されているユーザBの統一識別子情報“090-9827-****”とを含んだアクセス情報要求データを、ポリシー管理装置10へ送信する(ステップS24)。
ポリシー管理装置10のアクセス情報要求受信部14は、アクセス情報要求データを受信する。アクセス情報要求時変換部15は、受信したアクセス情報要求データに含まれるユーザAの識別子情報“userA@mail.com”に対応するユーザAの統一識別子情報の検索を、識別子管理装置20に対して依頼する(ステップS25)。
ポリシー管理装置10のアクセス情報要求受信部14は、アクセス情報要求データを受信する。アクセス情報要求時変換部15は、受信したアクセス情報要求データに含まれるユーザAの識別子情報“userA@mail.com”に対応するユーザAの統一識別子情報の検索を、識別子管理装置20に対して依頼する(ステップS25)。
識別子管理装置20の識別子変換部22は、識別子記憶部21が保持している識別子管理DBを基に、ユーザAの識別子情報“userA@mail.com”からユーザAの統一識別子情報である電話番号“090-8016-****”を検索し、検索結果をポリシー管理装置10に返信する。
ポリシー管理装置10は検索結果を受信すると、許可サービス情報取得部16は、ポリシー記憶部11に対して、ユーザAのユーザBに対するポリシーの取得要求を行う(ステップS26)。ポリシー記憶部11は、識別子管理装置20より受信した、ユーザAの統一識別子情報“090-8016-****”、及び、アクセスを要求しているユーザBの統一識別子情報“090-9827-****”を用いて、ポリシーDBに格納されている、ユーザAが登録したユーザBに対するポリシーを検索する。ポリシー記憶部11は、検索したポリシーから、ユーザBに対して許可されているサービス“電話番号、メールアドレス、ホームページのURL”を抽出する。
ポリシー管理装置10は検索結果を受信すると、許可サービス情報取得部16は、ポリシー記憶部11に対して、ユーザAのユーザBに対するポリシーの取得要求を行う(ステップS26)。ポリシー記憶部11は、識別子管理装置20より受信した、ユーザAの統一識別子情報“090-8016-****”、及び、アクセスを要求しているユーザBの統一識別子情報“090-9827-****”を用いて、ポリシーDBに格納されている、ユーザAが登録したユーザBに対するポリシーを検索する。ポリシー記憶部11は、検索したポリシーから、ユーザBに対して許可されているサービス“電話番号、メールアドレス、ホームページのURL”を抽出する。
ポリシー管理装置10のアクセス情報取得部17は、ユーザAの電話番号“090-8016-****”及び許可されているサービス“電話番号、メールアドレス、ホームページのURL”を基に、これらのサービスヘアクセスするのに用いる識別子情報の検索を、識別子管理装置20に対して依頼する(ステップS27)。
識別子管理装置20の識別子変換部22は、ポリシー管理装置10からの依頼を受けると、該当するサービスヘアクセスするのに必要なユーザAの識別子情報を識別子記憶部21より検索し抽出して、これらの識別子情報をポリシー管理装置10に返信する。
識別子管理装置20の識別子変換部22は、ポリシー管理装置10からの依頼を受けると、該当するサービスヘアクセスするのに必要なユーザAの識別子情報を識別子記憶部21より検索し抽出して、これらの識別子情報をポリシー管理装置10に返信する。
ポリシー管理装置10のアクセス情報取得部17は、受信したユーザAの識別子情報を含むアクセス情報を生成し、アクセス情報送信部18はアクセス情報を通信端末30bに送信する(ステップS28)。
通信端末30bのアクセス情報提示部33は、ポリシー管理装置10より受信したアクセス情報に基づいて、アクセスメニュー画面G1を表示するためのHTMLファイルを生成する。アクセス情報提示部33は、アクセスメニュー画面G1をディスプレイに表示する。
通信端末30bのアクセス情報提示部33は、ポリシー管理装置10より受信したアクセス情報に基づいて、アクセスメニュー画面G1を表示するためのHTMLファイルを生成する。アクセス情報提示部33は、アクセスメニュー画面G1をディスプレイに表示する。
ユーザBは、アクセスメニュー画面G1において表示されたネットワークサービスの種類を示すアイコンの中から、アクセスしたいネットワークサービスに対応するアイコン「個人HP」を選択する操作を行う。
これにより、通信端末30bは、“http://www.userA.com”を含んだ発信データを送信し(ステップS29)、目的のサービスであるユーザAのホームページを管理するサーバへアクセスする。
これにより、通信端末30bは、“http://www.userA.com”を含んだ発信データを送信し(ステップS29)、目的のサービスであるユーザAのホームページを管理するサーバへアクセスする。
ここで、図11に示すように、通信端末30bの利用制限部34は、アクセス情報を受信してから通信端末30bに保存されている期間が所定の期間を経過した場合や、ネットワークに接続した回数が所定の閾値を超えた場合に、アクセス情報に含まれる識別子情報を削除する(ステップS30)。
これにより、ユーザBが、アクセスメニュー画面G1に表示されているアイコンを選択する操作を行ったとしても通信端末30bから発信データが送信されることはない(ステップS31)。
これにより、ユーザBが、アクセスメニュー画面G1に表示されているアイコンを選択する操作を行ったとしても通信端末30bから発信データが送信されることはない(ステップS31)。
このように、ポリシー管理装置10は、常に管理者統一識別子情報と管理対象者統一識別子情報とをキーにして検索することが可能なため、ユーザが入力した任意の識別子情報を変換せずにそのままポリシーDBに登録した場合に比較して、検索に要する時間を大幅に削減することができる。また、従来のように、複雑な検索処理を行うことなく、効率的に速く検索することができる。
また、ネットワークサービスやネットワークサービス以外の任意の識別子情報を統一識別子情報とすることができるため、携帯電話機を保有していないユーザであっても、ポリシー管理システム1を利用したサービスを受けることができる。
また、ネットワークサービスやネットワークサービス以外の任意の識別子情報を統一識別子情報とすることができるため、携帯電話機を保有していないユーザであっても、ポリシー管理システム1を利用したサービスを受けることができる。
[3.変形例]
以上、本発明の実施形態について説明したが、本発明は係る実施形態に限定されるものではなく、その技術思想の範囲内で様々な変形が可能である。変形例としては、例えば、以下のようなものが考えられる。
(1)上述した実施形態におけるポリシー管理システム1の装置構成は一例であり、例えば、ポリシー管理装置10と識別子管理装置20とを別の装置としたが、ポリシー管理装置10と識別子管理装置20とを1つの装置としてもよい。
(2)上述した実施形態においては、発信者の通信端末30より、予め記憶された発信者の統一識別子情報が送信されるとして説明したが、これに限定されず、発信者が通信端末30に入力した統一識別子情報や、発信者が入力した任意の識別子情報が送信されるようにしてもよい。
以上、本発明の実施形態について説明したが、本発明は係る実施形態に限定されるものではなく、その技術思想の範囲内で様々な変形が可能である。変形例としては、例えば、以下のようなものが考えられる。
(1)上述した実施形態におけるポリシー管理システム1の装置構成は一例であり、例えば、ポリシー管理装置10と識別子管理装置20とを別の装置としたが、ポリシー管理装置10と識別子管理装置20とを1つの装置としてもよい。
(2)上述した実施形態においては、発信者の通信端末30より、予め記憶された発信者の統一識別子情報が送信されるとして説明したが、これに限定されず、発信者が通信端末30に入力した統一識別子情報や、発信者が入力した任意の識別子情報が送信されるようにしてもよい。
(3)上述した実施形態における、各DBのデータ内容は一例である。例えば、ポリシーDBの許可サービス情報として、サービス名自体を記憶したが、サービスの識別子情報を記憶するようにしてもよい。
(4)上述した実施形態においては、管理者の通信端末30aは携帯電話機であるとして説明したが、ポリシーを登録するためのポリシー登録要求データを送信する機能があれば、パーソナルコンピュータでも、PDA(Personal Digital Assistance)でも、固定電話機でもよい。また、通管理対象者の信端末30bは、管理対象者がホームページを閲覧したい場合にはパーソナルコンピュータでもよいし、通話を行いたい場合には固定電話機でもよい。
(4)上述した実施形態においては、管理者の通信端末30aは携帯電話機であるとして説明したが、ポリシーを登録するためのポリシー登録要求データを送信する機能があれば、パーソナルコンピュータでも、PDA(Personal Digital Assistance)でも、固定電話機でもよい。また、通管理対象者の信端末30bは、管理対象者がホームページを閲覧したい場合にはパーソナルコンピュータでもよいし、通話を行いたい場合には固定電話機でもよい。
(5)上述した実施形態においては、アクセス情報に管理者の識別子情報が含まれているとして説明したが、アクセス情報に管理者の識別子情報が含まれていなくても良い。例えば、アクセス情報は、管理者が管理対象者に対して許可するネットワークサービスの名称のみを表す情報であってもよい。この場合には、通信端末30bが、管理者に関わるネットワークサービスへのアクセスを要求する場合には、ネットワークサービスの名称を示す情報を含む発信データを、例えば、識別子管理装置20に送信する。識別子管理装置20は、発信データに含まれるネットワークサービスの名称に対応する識別子情報を識別子管理DBから取得し、当該識別子情報を用いて該当するネットワークサービスにアクセスするようにしてもよい。
1 ポリシー管理システム
10 ポリシー管理装置
11 ポリシー記憶部
12 ポリシー登録要求受信部
13 登録時変換部
14 アクセス情報要求受信部
15 アクセス情報要求時変換部
16 許可サービス情報取得部
17 アクセス情報取得部
18 アクセス情報送信部
20 識別子管理装置
21 識別子記憶部
22 識別子変換部
30,30a,30b 通信端末
31 ポリシー登録要求送信部
32 アクセス情報要求送信部
33 アクセス情報提示部
34 利用制限部
10 ポリシー管理装置
11 ポリシー記憶部
12 ポリシー登録要求受信部
13 登録時変換部
14 アクセス情報要求受信部
15 アクセス情報要求時変換部
16 許可サービス情報取得部
17 アクセス情報取得部
18 アクセス情報送信部
20 識別子管理装置
21 識別子記憶部
22 識別子変換部
30,30a,30b 通信端末
31 ポリシー登録要求送信部
32 アクセス情報要求送信部
33 アクセス情報提示部
34 利用制限部
Claims (10)
- 複数のネットワークサービスへのアクセスに関するポリシーを管理するポリシー管理装置において、
前記ポリシーの管理者に関わる各種ネットワークサービスのうち、前記管理者が管理対象者に対してアクセスを許可するネットワークサービスを表す許可サービス情報と、
前記管理者に関する情報を検索するための識別子として統一的に定められた管理者統一識別子情報と、
前記管理対象者に関する情報を検索するための識別子として統一的に定められた管理対象者統一識別子情報と
を対応付けてポリシーとして記憶するポリシー記憶手段と、
前記管理者統一識別子情報又は前記管理対象者統一識別子情報に対応する、前記ネットワークサービスとは無関係の文字列であるユーザ統一識別子情報と、前記管理者又は前記管理対象者であるユーザに関わるネットワークサービスを表すサービス情報と、前記ユーザに関わるネットワークサービスのアクセスに用いるユーザ識別子情報と、を対応付けて記憶する識別子記憶手段と、
を備えたことを特徴とするポリシー管理装置。 - 前記管理者に関わるネットワークサービスのアクセスに用いる情報を要求するためのアクセス情報要求データであって、かつ、該管理対象者の識別子情報と、任意に選択された、前記管理者の識別子情報と、を含むアクセス情報要求データを、前記管理対象者の通信端末から受信するアクセス情報要求受信手段と、
前記アクセス情報要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方をユーザ識別子情報として前記識別子記憶手段に問い合わせ、このユーザ識別子情報と対応付けられているユーザ統一識別子情報を取得することで、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得するアクセス情報要求時変換手段と、
前記アクセス情報要求時変換手段により取得された、前記管理者統一識別子情報と前記管理対象者統一識別子情報と、に対応付けて記憶されている許可サービス情報を、前記ポリシー記憶手段から取得する許可サービス情報取得手段と、
前記許可サービス情報取得手段により取得された許可サービス情報と、前記管理者統一
識別子情報とに基づき、前記許可サービス情報を前記サービス情報として、かつ、前記管理者統一識別子情報をユーザ統一識別子情報として前記識別子記憶手段に問い合わせることで、前記ユーザ識別子情報を、前記ネットワークサービスへのアクセスに用いるアクセス情報として取得するアクセス情報取得手段と、
前記アクセス情報取得手段により取得されたアクセス情報を、前記管理対象者の通信端末に送信するアクセス情報送信手段と
をさらに備えることを特徴とする請求項1に記載のポリシー管理装置。 - 前記管理者の識別子情報と、任意に選択された、前記管理対象者の識別子情報と、前記許可サービス情報と、を含むポリシー登録要求データを、前記管理者の通信端末から受信するポリシー登録要求受信手段と、
前記ポリシー登録要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方をユーザ識別子情報として前記識別子記憶手段に問い合わせ、このユーザ識別子情報と対応付けられているユーザ統一識別子情報を取得することで、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得する登録時変換手段とをさらに備え、
前記ポリシー記憶手段は、
前記登録時変換手段により取得された、前記管理者統一識別子情報と前記管理対象者統一識別子情報と、前記ポリシー登録要求受信手段により受信した許可サービス情報とを対応付けて記憶することを特徴とする
請求項1又は2に記載のポリシー管理装置。 - ユーザに関わる各種ネットワークサービスへのアクセスに関するポリシーを管理するポリシー管理システムにおいて、
前記ユーザに関する情報を検索するための識別子として統一的に定められた前記ネットワークサービスとは無関係の文字列である統一識別子情報と、前記ユーザに関わるネットワークサービスのアクセスに用いる識別子情報と、を対応付けて記憶する識別子記憶手段と、
前記ポリシーの管理者の通信端末から、前記管理者の識別子情報と、任意に選択された、前記管理対象者の識別子情報と、前記管理者に関わる各種ネットワークサービスのうち前記管理者が管理対象者に対してアクセスを許可するネットワークサービスを表す許可サービス情報と、を含むポリシー登録要求データを受信するポリシー登録要求受信手段と、
前記識別子記憶手段により記憶されている情報に基づいて、前記ポリシー登録要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得する登録時変換手段と、
前記登録時変換手段により取得された、前記管理者統一識別子情報と前記管理対象者統一識別子情報と、前記ポリシー登録要求受信手段により受信した許可サービス情報とを対応付けてポリシーとして記憶するポリシー記憶手段と
を備えることを特徴とするポリシー管理システム。 - 前記管理者に関わるネットワークサービスへのアクセスに用いる情報を要求するためのアクセス情報要求データであって、かつ、前記管理対象者の識別子情報と、任意に選択された、前記管理者の識別子情報とを含むアクセス情報要求データを、前記管理対象者の通信端末から受信するアクセス情報要求受信手段と、
前記識別子記憶手段に記憶されている情報に基づいて、前記アクセス情報要求受信手段により受信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得するアクセス情報要求時変換手段と、
前記アクセス情報要求時変換手段により取得された、前記管理者統一識別子情報と前記
管理対象者統一識別子情報と、に対応付けられて記憶されている許可サービス情報を前記ポリシー記憶手段から取得する許可サービス情報取得手段と、
前記許可サービス情報取得手段により取得された許可サービス情報と、前記管理者統一識別子情報とに基づき、前記ネットワークサービスへのアクセスに用いるアクセス情報を取得するアクセス情報取得手段と、
前記アクセス情報取得手段により取得されたアクセス情報を、前記管理対象者の通信端末に送信するアクセス情報送信手段と
をさらに備えることを特徴とする請求項4に記載のポリシー管理システム。 - 前記アクセス情報は、前記管理対象者の通信端末に、前記管理者の識別子情報自体を提示する代わりに、前記許可サービス情報で表されるネットワークサービスの種類を示す提示情報を提示するための情報であることを特徴とする
請求項5に記載のポリシー管理システム。 - 前記提示情報の選択によって行われる前記ネットワークサービスへのアクセスを制限する利用制限手段をさらに備え、
前記利用制限手段は、前記ネットワークサービスへのアクセス回数と、所定の経過時間との少なくとも一方が所定の閾値を超えた場合に、前記提示情報の選択を禁止することを特徴とする
請求項5又は6に記載のポリシー管理システム。 - ネットワークサービスのアクセスに関するポリシーの管理対象者が保有する通信端末において、
前記ポリシーの管理者に関わるネットワークサービスへのアクセスに用いる情報を要求するためのアクセス情報要求データであって、かつ、前記管理対象者の識別子情報と、任意に選択された、前記管理者の識別子情報とを含むアクセス情報要求データを送信するアクセス情報要求送信手段と、
前記アクセス情報要求送信手段により送信されたアクセス情報要求データに応答して受信した、前記管理者が管理対象者に対してアクセスを許可するネットワークサービスに関するアクセス情報に基づいて、前記アクセス情報要求データに含まれる前記管理者の識別子情報とは異なる前記管理者の識別子情報自体を提示する代わりに、前記アクセスを許可するネットワークサービスの種類を示す提示情報を提示するアクセス情報提示手段と、
前記アクセス情報提示手段により提示された提示情報の選択によって行われる前記ネットワークサービスへのアクセスを制限する利用制限手段と
を備え、
前記利用制限手段は、前記ネットワークサービスへのアクセス回数と、所定の経過時間との少なくとも一方が所定の閾値を超えた場合に、前記提示情報の選択を禁止することを特徴とする通信端末。 - ユーザに関する情報を検索するための識別子として統一的に定められた前記ネットワークサービスとは無関係の文字列である統一識別子情報と、前記ユーザに関わる各種ネットワークサービスへのアクセスに用いる識別子情報と、を対応付けて記憶する識別子記憶手段と、
前記識別子記憶手段に記憶されている情報に基づいて、ユーザに関わる任意の前記識別子情報を前記統一識別子情報に変換する識別子変換手段と
を備えることを特徴とする識別子管理装置。 - ネットワークサービスのアクセスに関するポリシーの管理者が保有する通信端末が、該管理者の識別子情報と、任意に選択された、管理対象者を識別するための識別子情報と、前記管理者に関わる各種ネットワークサービスのうち、前記管理者が管理対象者に対して
アクセスを許可するネットワークサービスを表す許可サービス情報と、を含むポリシー登録要求データを送信するポリシー登録要求送信ステップと、
ポリシー管理システムが、前記ポリシー登録要求送信ステップにおいて送信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者に関する情報を検索するための識別子として統一的に定められた前記ネットワークサービスとは無関係の文字列である管理者統一識別子情報と、前記管理対象者に関する情報を検索するための識別子として統一的に定められた前記ネットワークサービスとは無関係の文字列である管理対象者統一識別子情報とを取得する登録時変換ステップと、
前記ポリシー管理システムが、前記登録時変換ステップにおいて取得された、前記管理者統一識別子情報と前記管理対象者統一識別子情報と、前記ポリシー登録要求データに含まれる許可サービス情報と、を対応付けてポリシーとして記憶するポリシー記憶ステップと、
前記管理対象者の通信端末が、前記管理者に関わるネットワークサービスにアクセスするための情報を要求するためのアクセス情報要求データであって、かつ、該管理対象者の識別子情報と、任意に選択された、前記管理者の識別子情報とを含むアクセス情報要求データを送信するアクセス情報要求送信ステップと、
前記ポリシー管理システムが、前記アクセス情報要求送信ステップにおいて送信された、前記管理者の識別子情報と前記管理対象者の識別子情報との少なくとも一方に基づき、前記管理者統一識別子情報と前記管理対象者統一識別子情報とを取得するアクセス情報要求時変換ステップと、
前記ポリシー管理システムが、前記アクセス情報要求時変換ステップにおいて取得された、前記管理者統一識別子情報と前記管理対象者統一識別子情報と、に対応付けられた許可サービス情報を、前記ポリシー記憶ステップにおいて記憶された情報の中から取得する許可サービス情報取得ステップと、
前記ポリシー管理システムが、前記許可サービス情報取得ステップにおいて取得された許可サービス情報と、前記管理者統一識別子情報とに基づき、前記ネットワークサービスへのアクセスに用いるアクセス情報を取得するアクセス情報取得ステップと、
前記ポリシー管理システムが、前記アクセス情報取得手段により取得されたアクセス情報を、前記管理対象者の通信端末に送信するアクセス情報送信ステップと、
前記管理対象者の通信端末が、前記アクセス情報送信ステップにおいて送信されたアクセス情報に基づいて、前記管理者の識別子情報自体を提示する代わりに、前記許可サービス情報で表されるネットワークサービスの種類を示す提示情報を提示するアクセス情報提示ステップと
を有するネットワークサービスアクセス制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004122065A JP4393911B2 (ja) | 2004-04-16 | 2004-04-16 | ポリシー管理装置、ポリシー管理システム、通信端末、識別子管理装置、及び、ネットワークサービスアクセス制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004122065A JP4393911B2 (ja) | 2004-04-16 | 2004-04-16 | ポリシー管理装置、ポリシー管理システム、通信端末、識別子管理装置、及び、ネットワークサービスアクセス制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005311462A JP2005311462A (ja) | 2005-11-04 |
| JP4393911B2 true JP4393911B2 (ja) | 2010-01-06 |
Family
ID=35439769
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004122065A Expired - Fee Related JP4393911B2 (ja) | 2004-04-16 | 2004-04-16 | ポリシー管理装置、ポリシー管理システム、通信端末、識別子管理装置、及び、ネットワークサービスアクセス制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4393911B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8150371B2 (en) | 2007-05-03 | 2012-04-03 | Qualcomm Incorporated | Interactive control of access to services and capabilities of a mobile device |
| KR101134144B1 (ko) | 2010-05-24 | 2012-04-09 | (주)지오메디칼 | 콘택트렌즈 제조용 몰드절단장치 |
-
2004
- 2004-04-16 JP JP2004122065A patent/JP4393911B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005311462A (ja) | 2005-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6269395B1 (en) | Method and system in a computer-based system for providing access to services associated with different access points | |
| US20120266107A1 (en) | Systems and methods for personal information management and contact picture synchronization and distribution | |
| US20140164959A1 (en) | Server-Client Interaction and Information Management System | |
| EP1418773A2 (en) | Method of transferrring data being stored in a database | |
| US20080270613A1 (en) | Method of Processing a Contact for a Mobile Device and Related Device | |
| CA2782005C (en) | System and method for a global directory service | |
| WO2011010276A1 (en) | Exchange of service capabilities in communication networks | |
| JP3902574B2 (ja) | 個人情報管理システム、個人情報管理方法及びそのプログラム | |
| EP1531641A2 (en) | A server apparatus | |
| US20040203350A1 (en) | Wireless communication device and method for information retrieval using a universal identity metatag | |
| KR100757757B1 (ko) | 무선 인터넷 정보 검색 방법 및 무선 인터넷 정보 검색장치 | |
| KR100556530B1 (ko) | 무선 인터넷 정보 검색 방법 | |
| JP4393911B2 (ja) | ポリシー管理装置、ポリシー管理システム、通信端末、識別子管理装置、及び、ネットワークサービスアクセス制御方法 | |
| JP2007096570A (ja) | 電話接続方法 | |
| JP2005348327A (ja) | 通信システム、アドレス帳管理サーバ、通信端末、通信方法 | |
| US20150065103A1 (en) | Device and Method for Enhancing a Call | |
| JP4726284B2 (ja) | Wwwサーバー、友人情報をユーザ端末に閲覧させる方法、及びプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| JP2007028217A (ja) | 通信システム、端末装置、およびコンピュータプログラム | |
| JP4098728B2 (ja) | ツールバー構成情報提供サーバ及びツールバー構成情報提供システム | |
| KR20040096822A (ko) | 인터넷 메신저, 개인 홈페이지 및 통신네트워크를 이용한개인 컨텐츠 정보 제공 시스템 및 제공방법 | |
| JP2009217521A (ja) | サービス提供システム、サービス提供方法、情報管理サーバ装置、情報管理方法および情報管理プログラム | |
| KR100736275B1 (ko) | 정보통신망 내 개인전용페이지를 이용한 정보제공방법 | |
| JP2008181532A (ja) | ツールバー構成情報提供サーバでの処理を実行させるためのプログラム及び利用者端末 | |
| KR101258508B1 (ko) | 단말기 식별을 통한 공통 경로 접속 시스템 및 그 방법 | |
| EP1172976A1 (en) | Method of transferring data being stored in a database |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070404 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090316 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090707 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090901 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091006 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091014 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4393911 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121023 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131023 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |