JP2010134749A - アクセス制御システムおよびアクセス制御方法 - Google Patents
アクセス制御システムおよびアクセス制御方法 Download PDFInfo
- Publication number
- JP2010134749A JP2010134749A JP2008310906A JP2008310906A JP2010134749A JP 2010134749 A JP2010134749 A JP 2010134749A JP 2008310906 A JP2008310906 A JP 2008310906A JP 2008310906 A JP2008310906 A JP 2008310906A JP 2010134749 A JP2010134749 A JP 2010134749A
- Authority
- JP
- Japan
- Prior art keywords
- message
- usage right
- delegation
- usage
- remote
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】利用権被付与者から操作実行者への権限委託内容によらず原権利者が利用権を発行可能とすると共に、遠隔操作可否の検証機能を維持しつつ、利用権被付与者から操作実行者への権限委託を可能とするアクセス制御システムを提供する。
【解決手段】制御対象機器13を遠隔操作するアクセス制御システムにおいて、利用権発行装置2が、制御対象機器13の遠隔操作実行者を特定せずに利用権許諾の利用権電文3を作成する。委託証明発行装置5は、遠隔操作実行者を指定した委託証明電文6を作成する。遠隔制御装置8が、利用権電文3と委託証明電文6とを内包し、遠隔操作のパラメータ具体値を含む利用権行使電文9を作成して遠隔被制御装置11へ送信する。遠隔被制御装置11は、利用権行使電文9を検証して、検証結果が合格の場合のみ制御対象機器13へ操作電文12を出力する。
【選択図】図1
【解決手段】制御対象機器13を遠隔操作するアクセス制御システムにおいて、利用権発行装置2が、制御対象機器13の遠隔操作実行者を特定せずに利用権許諾の利用権電文3を作成する。委託証明発行装置5は、遠隔操作実行者を指定した委託証明電文6を作成する。遠隔制御装置8が、利用権電文3と委託証明電文6とを内包し、遠隔操作のパラメータ具体値を含む利用権行使電文9を作成して遠隔被制御装置11へ送信する。遠隔被制御装置11は、利用権行使電文9を検証して、検証結果が合格の場合のみ制御対象機器13へ操作電文12を出力する。
【選択図】図1
Description
この発明は、遠隔操作において操作対象となる機器に対するアクセス制御システムおよびアクセス制御方法に関するものである。
データおよびサービス等のコンピュータ資源に対するアクセス制御は、使用者・資源・アクセス種別等の組み合わせに対する可否を列挙することにより管理されている。一般には、1つのマトリクス表で管理するもの(例えば、SQLデータベースの権限表)、資源毎の表を資源に添付して管理するもの(例えば、ACL)等が知られている。いずれの場合にも、使用を許諾する際に可否を列挙した表に該当する組み合わせを登録しておき、使用者による資源へのアクセスが発生した時点で可否を列挙した表に問い合わせを行うことで、アクセス可否判定を行っていた。
アクセス制御における資源として遠隔制御の制御対象機器を適用対象とし、アクセス種別として遠隔操作を適用対象とする場合であっても、上記のアクセス制御実現方法における管理方法はコンピュータ資源の場合と同様である。ただしその実現において、1つのマトリクス表で管理している場合には、その表は複数の制御対象機器にまたがって可否情報を格納するために、制御対象機器とは別個の装置に格納されている。そのため、遠隔操作の指示を受けた制御対象機器は表を格納した装置に可否を問い合わせることになる。またACLでは制御対象機器と1対1に表を管理しているので、表の格納装置を制御対象機器に内蔵することができるが、遠隔操作の指示を受ける度に表に可否を問い合わせることには違いがない。さらに、どちらの場合も操作に先立って、使用者を含む許諾内容を表に登録しておく必要がある。
他方、遠隔操作のアクセス制御として、表を用いずに利用権電文の形態で許諾内容(使用者・操作対象機器・操作内容等の組み合わせ)を遠隔制御装置に格納しておき、遠隔操作の度に利用権電文を含む利用権行使電文を操作指示として制御対象機器内蔵または外付けの制御装置に送信し、制御装置で利用権行使電文を検証して操作可否判定を行う方法が知られている(例えば、特許文献1参照)。この場合も操作に先立って、許諾の際に使用者を含む許諾内容を利用権電文に登録しておく必要がある。
ここで、利用権電文を用いたアクセス制御システムについて説明する。図32は、特許文献1に係るアクセス制御システムの構成を示すブロック図である。許諾ステップにおいて、利用権発行装置2は原権利者である機器所有者1により入力される許諾内容から利用権電文3を生成する。利用権電文3は、利用権被付与者4に渡され、遠隔制御装置8に格納される。遠隔操作ステップにおいて、遠隔制御装置8は利用権被付与者4の操作により利用権行使電文9を生成し、操作指示として通信路10経由で遠隔被制御装置11に送信する。操作可否判定ステップにおいて、遠隔被制御装置11は受信した利用権行使電文9を検証し、検証結果が合格であれば利用権行使電文9に内包されているコマンドとパラメータ具体値を取り出して1組の操作電文12を作成し、利用権行使電文9に記載されている制御対象機器13に送信する。操作電文12を受信した制御対象機器13は、そのコマンド(およびパラメータ具体値)で指定された動作を実行する。一方、操作可否判定ステップにおいて検証結果が不合格であれば、遠隔被制御装置11は操作電文12を作成することなく、また制御対象機器13への送信も行わない。
図33は、特許文献1に係るアクセス制御システムにおける利用権電文3の構成を示す説明図である。利用権電文3には、許諾内容として利用権被付与者3a、制御対象機器3b、コマンド3c、パラメータ許容範囲3dおよび利用条件3eが記載されており、機器所有者1の署名3fが設けられている。
また、図34は、特許文献1に係るアクセス制御システムにおける利用権行使電文9の構成を示す説明図である。利用権行使電文9には、利用権電文3およびパラメータ具体値9dが記載されており、利用権被付与者4の署名9fが設けられている。利用権被付与者4は、利用権電文3および利用権行使電文9に記載された利用権被付与者3aを修正不能であるので、使用者を示す利用権被付与者3aの登録は許諾ステップで利用権電文3を作成する際に行っておく必要がある。
また、図34は、特許文献1に係るアクセス制御システムにおける利用権行使電文9の構成を示す説明図である。利用権行使電文9には、利用権電文3およびパラメータ具体値9dが記載されており、利用権被付与者4の署名9fが設けられている。利用権被付与者4は、利用権電文3および利用権行使電文9に記載された利用権被付与者3aを修正不能であるので、使用者を示す利用権被付与者3aの登録は許諾ステップで利用権電文3を作成する際に行っておく必要がある。
事前に登録されていない使用者に操作を許諾する方法としては、例えば特許文献2が知られている。この方法では、操作対象機器は先ず操作に先立って使用者に認証情報を入力させ、この認証情報が自機器に内部登録されているか確認する。操作対象機器は、認証情報が内部登録されていなければ外部認証装置に問い合わせを行い、その結果を以って操作の可否判定を行う。この方法を実現するためには、操作対象機器内に外部認証装置との間で通信を行うための通信装置を必要とすると共に、使用者と操作対象機器と操作に対する可否の組み合わせを外部認証装置に予め登録しておく必要がある。
利用権を改変する方法としては、遠隔操作のアクセス制御システムに関する技術ではないが例えば特許文献3が知られている。この特許文献3は、デジタルコンテンツ利用のライセンス配信システムに関する技術であり、デジタルコンテンツの原権利者がコンテンツプロバイダ経由で使用者にコンテンツ利用を許可するシステムについて開示している。このライセンス配信システムでは、原権利者から発行された利用権をコンテンツプロバイダが編集し、コンテンツ利用端末が編集後の利用権に基づいて使用者のコンテンツ利用可否を判定する。不適正な編集を検出するために、原権利者は利用権発行と共に編集可能範囲を提示し、コンテンツプロバイダは利用権、編集可能範囲および編集内容を全て記載したものを最終的な編集後の利用権として使用者に提示し、コンテンツ利用端末が最終的な編集後の利用権に記載された事項を検証する。
ここで、ライセンス配信システムについて説明する。図35は、特許文献3に係るライセンス配信システムの構成を示すブロック図である。また、図36にXML形式で記載されたオリジナルライセンス211を示し、図37にXML形式で記載されたオリジナル編集許可情報を示し、図38にXML形式で記載された第一編集ライセンス213を示す。ライセンス発行装置201は、原権利者が許諾する利用条件を記したオリジナルライセンス211、およびコンテンツプロバイダにライセンスを編集許可する内容を記したオリジナル編集許可情報212をまとめたライセンス205を発行する。オリジナルライセンス211には改ざんを防ぐために原権利者の署名211sが付与され、オリジナル編集許可情報212にも改ざんを防ぐために原権利者の署名212sが付与される。また、ライセンス205にはコンテンツプロバイダまでの通信路上の改ざんを防ぐために署名205sが付与されている。
第一中間ノード202に位置するコンテンツプロバイダは、オリジナル編集許可情報212で許可されている範囲でオリジナルライセンス211を編集し、第一編集ライセンス213、オリジナルライセンス211およびオリジナル編集許可情報212をまとめたライセンス206を発行する。ライセンス206には、下流のコンテンツプロバイダまたはコンテンツ利用端末までの間の通信路上の改ざんを防ぐために署名206sが付与されている。以降同様に第二中間ノード203等に位置する下流のコンテンツプロバイダによるライセンス編集を受ける度にライセンスに編集ライセンスが追加され、署名が付与される。
使用者のコンテンツ利用端末である端末204では、最終の編集ライセンス(第二編集ライセンス214に相当)をもとに利用可否を判定する。その際、端末204は、最終の編集ライセンスが不正編集されたものか否かをオリジナルライセンス211、オリジナル編集許可情報212、および第一編集ライセンス213の履歴をもとに検証し、不合格であればコンテンツの利用を拒否する。
遠隔制御機能の利用例としては、機器製造業者または保守業者による遠隔保守業務がある。保守業務には、機器の不調時にその稼動状態を診断すること、および定期的に稼動状態を診断することが含まれる。これらの保守業務は機器の所有者と機器製造業者または保守業者との間で保守契約を結ぶことにより遂行可能となり、診断のための遠隔操作は各業者の担当者により実行される。
このように機器製造業者または保守業者が保守業務を遂行するにあたって実際には担当者が診断用の操作をすることになるが、担当者明確化を目的として担当者名の署名を必要とすることは、特に遠隔制御に限らず広く慣行として行われていた。例えば、製品の品質検査証に検査担当者/検査責任者の押印を必要としたり、レシートにレジ担当者の個人名を記載する等の処置を施しておいたりすることである。これは、何らかの問題が発生した後にその原因解明および責任追及等を行えるように準備しておくものであった。
前述の慣行例をアクセス制御で保護されるべき機器の操作に当てはめてみると、権限表およびACL等のように可否を列挙した表を用いてアクセス制御を実現する場合、その表には許諾相手として業者を登録しているにもかかわらず、実際に操作を行うのは担当者名義であるという相違が発生してしまった。この相違は慣行としては許容されるものであったとしても、アクセス制御システムにおいては、許諾相手と実際に操作する者が相違すると成りすましまたは越権行為となり、操作拒否と判定されてしまった。
また、特許文献1のようにアクセス制御を利用権電文を用いて実現した場合であっても、利用権電文内に許諾相手、即ち利用権被付与者として登録されているのは業者であるにもかかわらず、実際に操作を行うのは担当者名義であるという相違が発生してしまう。上記同様、この相違はアクセス制御システムにおいて操作拒否と判定されてしまった。
この相違を解消するために、例えば前述の慣行例をそのまま電子化し、制御対象機器13を操作する際、実際に操作する者が業者名義を提示し、この操作する者を担当者名義とした付帯情報を記録に残すという方法が考えられる。しかしながら、これは業者内の非担当者が操作していたとしても、この越権行為を即時に検出することはできず、問題が露見した後に記録と担当者への職務分掌をつきあわせることでようやく検出できるようになる。これでは操作時点(厳密には操作指示が機器に対して効力を持つ直前)に検出を必要とするアクセス制御システムには用いることができない。
また、特許文献2のように、使用者が操作する際に認証情報を対象機器に入力させ、未登録の使用者であることが判明した場合に外部認証装置に問い合わせる状態は、ACL実装の対象機器および権限表実装の外部認証装置を一体にしたアクセス制御装置においてACL内に未登録かつ権限表に登録済みの状態と何ら変わりがない。即ち、原権利者である機器所有者が、権限表に事前に担当者を登録しておかなくてはならない。なお、権限表に相当するものを業者が所有して、担当者を業者が登録するようにした場合には、業者は機器所有者が望まない操作および別の装置を自由に登録できることになり、越権行為を検出できず、そもそもアクセス制御ができなかった。
さらに、上述した遠隔制御による保守業務の例では、業者が単独の担当者に操作させるとは限らず、職務分担に従って複数の担当者に業務を分割して遂行させることがあった。例えば、一日中24時間の保守操作が必要な業務において、それを単独の従業員に割り振って一日24時間の勤務を強いることは現実的でなく、互いに勤務時間の異なる複数の従業員をそれぞれの時間での担当者とすることが一般的である。
このような業務形態に対応したアクセス制御システムとするためには、例えば操作可否を列挙した表を用いてアクセス制御を実現する場合には、列挙される使用者・資源・アクセス種別の組み合わせに、時間帯等の利用条件を付帯させておき、各時間帯の担当者を登録しておくことが必要となってしまう。しかしながら、このような分割は原権利者である機器所有者には元来与り知らぬことである。また、業者内の従業員の配置変更、利用時間変更等も機器所有者の与り知らぬところで発生しうるにもかかわらず、機器所有者が表の登録内容の修正をしなければならない等、構成配置上妥当性を損なってしまった。
特許文献3のライセンス配信システムを、遠隔制御を行うためのアクセス制御システムに適用した場合には、業者がライセンスを編集して、各担当者にはライセンスに勤務時間を利用条件として追記した最終的な編集ライセンスを付与することとなるが、この場合にも適切な検証を実現させるためには編集可能範囲、即ち利用条件を、ライセンスを発行する原権利者たる機器所有者が事前に提示しておく必要があった。また、業者がライセンスを編集するために、中間ノードでのライセンスの編集ステップが必要となり、さらにライセンス不正編集を検出するための手段を備える必要もあった。
以上のように、従来のアクセス制御システムでは、使用者・資源・アクセス種別等の組み合わせに対する操作可否を一覧表または利用権の形式等で登録しておき、操作可否判定の際にこの登録内容を問い合わせまたは検証することによって実現されていた。そのため、未登録使用者に資源へのアクセスを許可することはできないという課題があった。
しかしながら、遠隔保守等の業務にあたっては、資源利用の許諾相手として保守業者名義で登録し、実際の操作は保守業者の担当者名義で実施することになるため、その差異によりアクセス制御上操作拒否となってしまう課題があった。
また、単純に担当者が保守業者名義で操作することで上記差異を埋めようとすると、非担当の従業員による不正操作を防ぐことができないという課題があった。
さらに、保守業者内での複数担当者への保守業務分担は、この保守業者内の都合で行われるものであり、原権利者である資源所有者が登録・作成する操作可否の一覧表または利用権に、業務分担に応じた各担当者を登録することは事実上困難であるという課題があった。
しかしながら、遠隔保守等の業務にあたっては、資源利用の許諾相手として保守業者名義で登録し、実際の操作は保守業者の担当者名義で実施することになるため、その差異によりアクセス制御上操作拒否となってしまう課題があった。
また、単純に担当者が保守業者名義で操作することで上記差異を埋めようとすると、非担当の従業員による不正操作を防ぐことができないという課題があった。
さらに、保守業者内での複数担当者への保守業務分担は、この保守業者内の都合で行われるものであり、原権利者である資源所有者が登録・作成する操作可否の一覧表または利用権に、業務分担に応じた各担当者を登録することは事実上困難であるという課題があった。
この発明は、上記のような課題を解決するためになされたもので、利用権被付与者から操作実行者への権限委託内容によらず原権利者が利用権を発行可能とすると共に、遠隔操作可否の検証機能を維持しつつ、利用権被付与者から操作実行者への権限委託を可能とするアクセス制御システムを提供することを目的とする。
この発明に係るアクセス制御システムは、機器使用に関する利用権の許諾内容を表記した利用権電文を作成する利用権発行装置と、機器使用に関する利用権の委託内容を表記した委託証明電文を作成する委託証明発行装置と、利用権電文と委託証明電文とを内包する利用権行使電文を機器に対する指示として作成して送信する遠隔制御装置と、利用権行使電文を機器に対する指示として受信して検証することにより、当該指示の可否を判定する遠隔被制御装置とを備えるようにしたものである。
また、この発明に係るアクセス制御方法は、利用権発行装置が、機器使用に関する利用権の許諾内容を表記した利用権電文を発行する許諾ステップと、委託証明発行装置が、機器使用に関する利用権の委託内容を表記した委託証明電文を発行する委託ステップと、遠隔制御装置が、許諾ステップで発行した利用権電文と委託ステップで発行した委託証明電文とを内包する利用権行使電文を機器に対する指示として作成して送信する遠隔操作ステップと、遠隔被制御装置が、遠隔制御装置から機器に対する指示として受信した利用権行使電文を検証することにより、当該指示の可否を判定する操作可否判定ステップとを備えるようにしたものである。
また、この発明に係るアクセス制御システムは、機器使用に関する利用権の許諾内容を表記した利用権電文を作成する利用権発行装置と、利用権電文を内包すると共に、機器使用に関する利用権の委譲内容を表記した利用権委譲電文を作成する利用権委譲発行装置と、利用権委譲電文を内包する利用権行使電文を機器に対する指示として作成して送信する遠隔制御装置と、利用権行使電文を機器に対する指示として受信して検証することにより、当該指示の可否を判定する遠隔被制御装置とを備えるようにしたものである。
また、この発明に係るアクセス制御方法は、利用権発行装置が、機器使用に関する利用権の許諾内容を表記した利用権電文を発行する許諾ステップと、利用権委譲発行装置が、許諾ステップで発行した利用権電文を内包すると共に、機器使用に関する利用権の委譲内容を表記した利用権委譲電文を発行する委譲ステップと、遠隔制御装置が、委譲ステップで発行した利用権委譲電文を内包する利用権行使電文を機器に対する指示として作成して送信する遠隔操作ステップと、遠隔被制御装置が、遠隔制御装置から機器に対する指示として受信した利用権行使電文を検証することにより、当該指示の可否を判定する操作可否判定ステップとを備えるようにしたものである。
この発明によれば、遠隔制御装置が、機器使用に関する利用権の許諾内容を表記した利用権電文と委託内容を表記した委託証明電文とを内包する利用権行使電文を機器に対する指示として作成して送信し、遠隔被制御装置が、この利用権行使電文を検証することにより、当該指示の可否を判定するようにしたので、利用権被付与者から操作実行者への権限委託内容によらず原権利者が利用権を発行可能とすると共に、遠隔操作可否の検証機能を維持しつつ、利用権被付与者から操作実行者への権限委託を可能とするアクセス制御システムを提供することができる。
また、この発明によれば、遠隔操作ステップで、機器使用に関する利用権の許諾内容を表記した利用権電文と委託内容を表記した委託証明電文とを内包する利用権行使電文を機器に対する指示として作成して送信し、操作可否判定ステップで、この利用権行使電文を検証することにより当該指示の可否を判定するようにしたので、利用権被付与者から操作実行者への権限委託内容によらず原権利者が利用権を発行可能とすると共に、遠隔操作可否の検証機能を維持しつつ、利用権被付与者から操作実行者への権限委託を可能とするアクセス制御方法を提供することができる。
また、この発明によれば、遠隔制御装置が、機器使用に関する利用権の許諾内容を表記した利用権電文と委譲内容とを内包した利用権委譲電文を内包する利用権行使電文を機器に対する指示として作成して送信し、遠隔被制御装置が、この利用権行使電文を検証することにより当該指示の可否を判定するようにしたので、遠隔操作可否の検証機能を実施しつつ、原権利者から利用権被付与者が得た利用権の許諾内容を改変させないままの操作実行者への委託、即ち利用権の委譲を可能とするアクセス制御システムを提供することができる。
また、この発明によれば、遠隔操作ステップで、機器使用に関する利用権の許諾内容を表記した利用権電文と委譲内容とを内包した利用権委譲電文を内包する利用権行使電文を機器に対する指示として作成して送信し、操作可否判定ステップで、この利用権行使電文を検証することにより当該指示の可否を判定するようにしたので、遠隔操作可否の検証機能を維持しつつ、原権利者から利用権被付与者が得た利用権の許諾内容を改変させないままの操作実行者への委託、即ち利用権の委譲を可能とするアクセス制御方法を提供することができる。
実施の形態1.
図1は、この発明の実施の形態1に係るアクセス制御システムの構成を示すブロック図である。アクセス制御システムは、制御対象機器13の操作を許諾する内容の利用権電文3を発行する利用権発行装置2、委託証明電文6を発行する委託証明発行装置5、利用権電文3および委託証明電文6を用いて操作指示となる利用権行使電文9を発行する遠隔制御装置8、通信路10を経由して利用権行使電文9を受信し、利用権行使電文9を検証して操作電文12を発行する遠隔被制御装置11、操作電文12に従って動作する制御対象機器13を備える。
図1は、この発明の実施の形態1に係るアクセス制御システムの構成を示すブロック図である。アクセス制御システムは、制御対象機器13の操作を許諾する内容の利用権電文3を発行する利用権発行装置2、委託証明電文6を発行する委託証明発行装置5、利用権電文3および委託証明電文6を用いて操作指示となる利用権行使電文9を発行する遠隔制御装置8、通信路10を経由して利用権行使電文9を受信し、利用権行使電文9を検証して操作電文12を発行する遠隔被制御装置11、操作電文12に従って動作する制御対象機器13を備える。
図1に示すアクセス制御システムを、許諾ステップ、委託ステップ、遠隔操作ステップ、操作可否判定ステップに分けて説明する。
許諾ステップにおいて、原権利者である機器所有者1が、保守業務を行う業者である利用権被付与者4に対して、資源である制御対象機器13の操作、即ち利用権を許諾する。このとき、利用権発行装置2は機器所有者1が入力する許諾内容に基づいて利用権電文3を作成し、利用権被付与者4に渡す。
許諾ステップにおいて、原権利者である機器所有者1が、保守業務を行う業者である利用権被付与者4に対して、資源である制御対象機器13の操作、即ち利用権を許諾する。このとき、利用権発行装置2は機器所有者1が入力する許諾内容に基づいて利用権電文3を作成し、利用権被付与者4に渡す。
委託ステップにおいて、利用権被付与者4は、実際の遠隔操作の実行者である担当者7に対して制御対象機器13の操作、即ち利用権を委託する。このとき、委託証明発行装置5は利用権被付与者4が入力する委託内容に基づいて委託証明電文6を作成し、委託証明電文6と利用権電文3とを担当者7に渡す。
なお、機器所有者1から利用権被付与者4へ利用権電文3を渡す手段、および利用権被付与者4から担当者7へ利用権電文3と委託証明電文6を渡す手段に可搬媒体を用いてもよいし、通信路を経由してもよい。図1では、可搬媒体を用いる際の読み出しおよび書き込み装置、または通信路を経由する際の受信および送信装置の図示を省略する。
また、利用権電文3および委託証明電文6を遠隔制御装置8へ渡すタイミングは、後述の遠隔操作ステップの前であればいつでもよく、遠隔操作ステップ開始までに利用権電文3と委託証明電文6とが遠隔制御装置8に格納されていればよい。よって、例えば先ず許諾ステップで利用権発行装置2が利用権電文3を遠隔制御装置8へ渡し、次に委託ステップで委託証明発行装置5が委託証明電文6を遠隔制御装置8へ渡すようにしてもよい。また例えば、先ず委託ステップで委託証明発行装置5が委託証明電文6を遠隔制御装置8へ渡しておき、後から許諾ステップを行って利用権発行装置2が利用権電文3を遠隔制御装置8へ渡してもよい。さらに、利用権発行装置2は利用権電文3を委託証明発行装置5を経由して遠隔制御装置8へ渡すようにしてもよい。
遠隔操作ステップにおいて、担当者7は、制御対象機器13に対する遠隔操作の制御指示を出す。このとき、遠隔制御装置8は、既に格納されている利用権電文3と委託証明電文6とを用いて利用権行使電文9を作成し、さらに担当者7の指示する遠隔操作の制御指示内容(パラメータ具体値等)を付与する。そして、遠隔制御装置8は、制御指示である利用権行使電文9を通信路10を経由して遠隔被制御装置11へ送信する。
操作可否判定ステップにおいて、遠隔被制御装置11は通信路10を経由して受信した利用権行使電文9を検証する。検証結果が合格であれば、遠隔被制御装置11は利用権行使電文9に内包されているコマンドとパラメータ具体値を取り出して1組の操作電文12を作成し、利用権行使電文9に記載されている制御対象機器13へ操作電文12を送信する。制御対象機器13は、操作電文12を受信するとそのコマンドおよびパラメータ具体値で指定された動作を実行する。これにより、担当者7は制御対象機器13を遠隔操作したこととなる。
他方、検証結果が不合格であれば、遠隔被制御装置11は操作電文12を作成せず、制御対象機器13への送信も行わない。これにより、担当者7の制御対象機器13に対する遠隔操作が拒否されたこととなる。
他方、検証結果が不合格であれば、遠隔被制御装置11は操作電文12を作成せず、制御対象機器13への送信も行わない。これにより、担当者7の制御対象機器13に対する遠隔操作が拒否されたこととなる。
次に、許諾ステップにおいて利用権発行装置2が発行する利用権電文3を説明する。図2は、この発明の実施の形態1に係るアクセス制御システムの利用権発行装置2が発行する利用権電文3の一例を示す説明図である。利用権電文3には、利用権被付与者3a、制御対象機器3b、コマンド3c、パラメータ許容範囲3d、利用条件3eそれぞれを指定する電文が含まれ、また、機器所有者1の署名3fが付与されている。利用権電文3において、利用権被付与者3aとは利用権被付与者4を指し、制御対象機器3bとは制御対象機器13を指し、コマンド3cとは制御対象機器13の遠隔操作を指定する情報であり、パラメータ許容範囲3dとはコマンド3cに対応したパラメータ具体値の範囲であり、利用条件3eとは使用時間帯等の条件である。
利用権電文3に署名3fが付与されているため、利用権発行装置2で作成されてから遠隔制御装置8へ届けられるまでの間に利用権電文3が改ざんされていたとしても、遠隔制御装置8が署名3fを検証することによって改ざんを検出することができる。
利用権電文3に署名3fが付与されているため、利用権発行装置2で作成されてから遠隔制御装置8へ届けられるまでの間に利用権電文3が改ざんされていたとしても、遠隔制御装置8が署名3fを検証することによって改ざんを検出することができる。
次に、委託ステップにおいて委託証明発行装置5が発行する委託証明電文6を説明する。図3は、この発明の実施の形態1に係るアクセス制御システムの委託証明発行装置5が発行する委託証明電文6の一例を示す説明図である。委託証明電文6には、利用権被付与者6a、制御対象機器6b、委託先実行者6gそれぞれを指定する電文が含まれ、また、利用権被付与者6a(即ち利用権被付与者4)の署名6fが付与されている。委託証明電文6において、利用権被付与者6aとは利用権電文3の利用権被付与者3aと同一で利用権被付与者4を指し、制御対象機器6bとは利用権電文3の制御対象機器3bと同一で制御対象機器13を指し、委託先実行者6gとは担当者7を指す。
委託証明電文6に署名6fが付与されているため、委託証明発行装置5で作成されてから遠隔制御装置8へ届けられるまでの間に委託証明電文6が改ざんされていたとしても、遠隔制御装置8が署名6fを検証することによって改ざんを検出することができる。
委託証明電文6に署名6fが付与されているため、委託証明発行装置5で作成されてから遠隔制御装置8へ届けられるまでの間に委託証明電文6が改ざんされていたとしても、遠隔制御装置8が署名6fを検証することによって改ざんを検出することができる。
次に、遠隔操作ステップにおいて遠隔制御装置8が発行する利用権行使電文9を説明する。図4は、この発明の実施の形態1に係るアクセス制御システムの遠隔制御装置8が発行する利用権行使電文9の一例を示す説明図である。利用権行使電文9には、利用権電文3および委託証明電文6が内包され、パラメータ具体値9dを指定する電文が追記され、また、担当者7の署名9fが付与されている。利用権行使電文9において、パラメータ具体値9dとは、担当者7がパラメータ許容範囲3dの内から制御指示として選択した値を指す。
利用権行使電文9に内包されている利用権電文3には署名3fが付与されたままなので、利用権発行装置2で作成されてから遠隔被制御装置11に届くまでの間に利用権被付与者4、担当者7、通信路10等によって利用権電文3が改ざんされていたとしても、遠隔被制御装置11が署名3fを検証することによって改ざんを検出することができる。よって、利用権行使電文9に内包された利用権被付与者3a、制御対象機器3b、コマンド3c、パラメータ許容範囲3d、利用条件3eは確かに機器所有者1によって許諾されたものであることを、遠隔被制御装置11は以後の判断処理の礎とすることができる。
また、利用権行使電文9に内包されている委託証明電文6には署名6fが付与されたままなので、委託証明発行装置5で作成されてから遠隔被制御装置11に届くまでの間に担当者7、通信路10等によって委託証明電文6が改ざんされていたとしても、遠隔被制御装置11が署名6fを検証することによって改ざんを検出することができる。よって、利用権行使電文9に内包された利用権被付与者6a、委託先実行者6g、制御対象機器6bは確かに利用権被付与者4によって委託されたものであることを、遠隔被制御装置11は以後の判断処理の礎とすることができる。
さらに、利用権行使電文9に署名9fが付与されているため、遠隔制御装置8で作成されてから遠隔被制御装置11へ届けられるまでの間に利用権行使電文9が改ざんされていたとしても、遠隔被制御装置11が署名9fを検証することによって改ざんを検出することができる。よって、利用権電文3と委託証明電文6とパラメータ具体値9dの組み合わせは確かに担当者7によって指示されたものであることを、遠隔被制御装置11は以後の判断処理の礎とすることができる。
署名3f,6f,9fを検証した後、遠隔被制御装置11は、利用権行使電文9に内包されたパラメータ許容範囲3dとパラメータ具体値9dとを照らし合わせることにより、パラメータ具体値9dに関する担当者7の越権行為がないかどうかを検出することができる。また、遠隔被制御装置11は、利用条件3eを遠隔被制御装置11の環境状況に照らし合わせることにより、利用条件3eに関する担当者7の越権行為がないかどうかを検出することができる。また、遠隔被制御装置11は、利用権被付与者3aと利用権被付与者6aとを照らし合わせることにより、他の利用権被付与者からの委託証明を担当者7が不正流用していないかどうか、他の利用権被付与者宛の利用権を担当者7または利用権被付与者4が不正流用していないかどうかを検出することができる。また、遠隔被制御装置11は、委託先実行者6gと署名9fの署名者とを照らし合わせることにより、利用権被付与者4から他の担当者へ委託した委託証明を不正流用していないかどうかを検出することができる。
また、遠隔被制御装置11は、制御対象機器3bと制御対象機器6bとを照らし合わせることにより、担当者7が委託外の制御対象機器を不正操作しようとしていないかどうかを検出することができる。
なお、署名3f,6f,9fの署名付与と検証に公開鍵暗号アルゴリズムを用いる場合には、利用権発行装置2には機器所有者1の秘密鍵を予め備えておく。また、委託証明発行装置5には利用権被付与者4の秘密鍵を予め備えておく。また、遠隔制御装置8には担当者7の秘密鍵を予め備えておく。それぞれの秘密鍵と対になる各公開鍵は、公開鍵証明書によって機器所有者1、利用権被付与者4、担当者7とそれぞれ紐付いているものとする。
この構成の場合には、少なくとも遠隔操作ステップ開始前までに、遠隔制御装置8に機器所有者1の公開鍵と利用権被付与者4の公開鍵を備えておく。これらは許諾ステップおよび委託ステップのタイミングで利用権電文3および委託証明電文6と一緒に遠隔制御装置8へ渡される構成でもよい。
また、少なくとも操作可否判定ステップ開始前までに、遠隔被制御装置11に機器所有者1の公開鍵と利用権被付与者4の公開鍵と担当者7の公開鍵を備えておく。機器所有者1の公開鍵は遠隔被制御装置11の設置時に、利用権被付与者4の公開鍵は許諾ステップの前後に、遠隔被制御装置11へ予め渡される構成でもよい。担当者7の公開鍵は、利用権行使電文9と一緒に遠隔被制御装置11へ渡される構成でもよい。
また、少なくとも操作可否判定ステップ開始前までに、遠隔被制御装置11に機器所有者1の公開鍵と利用権被付与者4の公開鍵と担当者7の公開鍵を備えておく。機器所有者1の公開鍵は遠隔被制御装置11の設置時に、利用権被付与者4の公開鍵は許諾ステップの前後に、遠隔被制御装置11へ予め渡される構成でもよい。担当者7の公開鍵は、利用権行使電文9と一緒に遠隔被制御装置11へ渡される構成でもよい。
以上のように、実施の形態1によれば、許諾ステップにおいて制御対象機器13の利用権許諾内容を表記した利用権電文3を発行する利用権発行装置2と、委託ステップにおいて制御対象機器13の利用権委託内容を表記した委託証明電文6を発行する委託証明発行装置5と、遠隔操作ステップにおいて利用権電文3と委託証明電文6とを内包する利用権行使電文9を制御対象機器13に対する指示として作成して送信する遠隔制御装置8と、操作可否判定ステップにおいて通信路10を経由して遠隔制御装置8から受信した利用権行使電文9を検証することにより指示の可否を判定する遠隔被制御装置11とを備えるように構成した。
そのため、利用権発行装置2が利用権電文3を作成し、委託証明発行装置5が利用権委託先の遠隔操作実行者である委託先実行者6gを指定する電文を含む委託証明電文6を作成するので、利用権所有者たる機器所有者1は委託内容に関わることなく利用権を発行することができる。さらに、委託証明発行装置5が委託証明電文6を作成し、遠隔制御装置8が利用権電文3と委託証明電文6を内包する利用権行使電文9を作成するので、利用権許諾先の利用権被付与者4と遠隔操作実行者である担当者7とを分けることができる。
よって、利用権被付与者から操作実行者への権限委託内容によらず原権利者が利用権を発行可能とすると共に、遠隔操作可否の検証機能を維持しつつ、利用権被付与者から操作実行者への権限委託を可能とするアクセス制御システムを提供することが可能となる。
そのため、利用権発行装置2が利用権電文3を作成し、委託証明発行装置5が利用権委託先の遠隔操作実行者である委託先実行者6gを指定する電文を含む委託証明電文6を作成するので、利用権所有者たる機器所有者1は委託内容に関わることなく利用権を発行することができる。さらに、委託証明発行装置5が委託証明電文6を作成し、遠隔制御装置8が利用権電文3と委託証明電文6を内包する利用権行使電文9を作成するので、利用権許諾先の利用権被付与者4と遠隔操作実行者である担当者7とを分けることができる。
よって、利用権被付与者から操作実行者への権限委託内容によらず原権利者が利用権を発行可能とすると共に、遠隔操作可否の検証機能を維持しつつ、利用権被付与者から操作実行者への権限委託を可能とするアクセス制御システムを提供することが可能となる。
また、実施の形態1によれば、委託証明電文6が、制御対象機器13を特定する情報である制御対象機器6bを指定する電文を含むように構成したので、利用権被付与者4が担当者7に委託する制御対象機器13を指定することができる。
なお、業者4が担当者7に委託する対象の制御機器を何ら制限しない、即ち「全権委託」してもよい。以下、業者4が担当者7に委託する対象の制御機器を何ら制限しない「全権委託」する状況を例として説明する。この例では図1に示すアクセス制御システムと図2に示す利用権電文を援用して、委託証明電文6と利用権行使電文9を説明する。
図5は、全権委託の例に係るアクセス制御システムの委託証明発行装置5が発行する委託証明電文6の一例を示す説明図である。図5に示す委託証明電文6には、利用権被付与者6a、委託先実行者6gをそれぞれ指定する電文が含まれ、また、利用権被付与者6a(即ち利用権被付与者4)の署名6fが付与されている。実施の形態1と異なり、制御対象機器を示す電文は含まれていない。
図6は、全権委託の例に係るアクセス制御システムの遠隔制御装置8が発行する利用権行使電文9の一例を示す説明図である。図6に示す利用権行使電文9には、利用権電文3および委託証明電文6が内包され、パラメータ具体値9dを指定する電文が追加され、また、担当者7の署名9fが付与されている。
利用権行使電文9に内包されている委託証明電文6には署名6fが付与されたままなので、委託証明発行装置5で作成されてから遠隔被制御装置11に届くまでの間に担当者7、通信路10などによって委託証明電文6が改竄されていたとしても、遠隔被制御装置11が署名6fを検証することによって改竄を検出することができる。よって、利用権行使電文に内包された利用権被付与者6aと委託先実行者6gは確かに利用権被付与者4によって委託されたものであることと、委託内容が制御対象機器を特定していないこととを、遠隔被制御装置11は以後の判断処理の礎とすることができる。なお、利用権行使電文9に内包された利用権電文3に記載されている利用権被付与者3aは、既に説明したとおり、遠隔被制御装置11が判断処理の礎とすることができる。
署名3f,6f,9fを検証した後、遠隔被制御装置11は、利用権被付与者3aと利用権被付与者6aとを照らし合わせることにより、他の利用権被付与者からの委託証明を担当者7が不正流用していないかどうかを検出することができる。なお、委託証明電文6には制御対象機器を特定していないので、実施の形態1と異なり遠隔被制御装置11は制御対象機器3bを委託証明電文6の内容と照らし合わせることはないので、利用権被付与者4に許諾された任意の利用権を用いることができる。
実施の形態2.
本実施の形態では、利用権被付与者4が担当者7に対して、制御対象機器のうちの特定の機種に対する全ての操作を委託していて、担当者7は該当機種である制御対象機器13に関して機器所有者1が利用権被付与者4に許諾した全ての利用権に基づく操作を行う状況に適用したアクセス制御システムを説明する。
以下、本実施の形態では、図1に示すアクセス制御システムを援用して、上記状況において発行される利用権電文3、委託証明電文6、および利用権行使電文9の一例をそれぞれ説明する。
本実施の形態では、利用権被付与者4が担当者7に対して、制御対象機器のうちの特定の機種に対する全ての操作を委託していて、担当者7は該当機種である制御対象機器13に関して機器所有者1が利用権被付与者4に許諾した全ての利用権に基づく操作を行う状況に適用したアクセス制御システムを説明する。
以下、本実施の形態では、図1に示すアクセス制御システムを援用して、上記状況において発行される利用権電文3、委託証明電文6、および利用権行使電文9の一例をそれぞれ説明する。
図7は、この発明の実施の形態2に係るアクセス制御システムの利用権発行装置2が発行する利用権電文3の一例を示す説明図である。図7に示す利用権電文3には、図2に示す利用権電文3に新たに制御対象機器の機種3hを指定する電文が追加されている。よって、機器所有者1は利用権被付与者4に操作を許諾した制御対象機器が特定の機種に属することを示すことができる。
図8は、この発明の実施の形態2に係るアクセス制御システムの委託証明発行装置5が発行する委託証明電文6の一例を示す説明図である。図8に示す委託証明電文6には、図3に示す委託証明電文6に新たに制御対象機器の機種6hを指定する電文が追加されている。よって、利用権被付与者4は担当者7に対して、特定の機種に属する制御対象機器の操作を委託することができる。
図9は、この発明の実施の形態2に係るアクセス制御システムの遠隔制御装置8が発行する利用権行使電文9の一例を示す説明図である。図9に示す利用権行使電文9には、図7に示す利用権電文3と図8に示す委託証明電文6が内包されている。
遠隔被制御装置11は、操作可否判定ステップにおいて、利用権行使電文9に内包された署名3fを検証することにより、制御対象機器の機種3hが確かに機器所有者1によって許諾されたものであることを確認することができる。また、遠隔被制御装置11は、利用権行使電文9に内包された署名6fを検証することにより、制御対象機器の機種6hが確かに利用権被付与者4によって委託されたものであることを確認することができる。
また、遠隔被制御装置11は、署名3f,6f,9f検証後、制御対象機器の機種3hと制御対象機器の機種6hとを照らし合わせることにより、担当者7が委託外の制御対象機器の機種を不正操作しようとしていないかどうかを検出することができる。
以上のように、実施の形態2によれば、利用権電文3が、制御対象機器3bおよび制御対象機器の機種3hを指定する電文を含むように構成した。そのため、上記実施の形態1で述べた効果のうち、利用権委託先の遠隔操作実行者が委託外の制御対象機器を不正操作しようとしていないかどうかを検出できることに代えて、利用権委託先の遠隔操作実行者が委託外の機種の制御対象機器を不正操作しようとしていないかどうかを検出することが可能となる。
実施の形態3.
本実施の形態では、利用権被付与者4が担当者7に対して、特定のコマンド毎に委託可否を区別している状況に適用したアクセス制御システムを説明する。この状況としては、例えば、ある担当者に対しては定常運転のためのオン/オフ操作等が委託され、別のある担当者に対しては保守用のプログラム更新操作等が委託されるような状況がある。
以下、本実施の形態では、図1に示すアクセス制御システムを援用して、上記状況において発行される委託証明電文6および利用権行使電文9の一例をそれぞれ説明する。なお、本実施の形態の利用権発行装置2が発行する利用権電文3は、上記実施の形態1のそれと同一であるので図2を援用する。
本実施の形態では、利用権被付与者4が担当者7に対して、特定のコマンド毎に委託可否を区別している状況に適用したアクセス制御システムを説明する。この状況としては、例えば、ある担当者に対しては定常運転のためのオン/オフ操作等が委託され、別のある担当者に対しては保守用のプログラム更新操作等が委託されるような状況がある。
以下、本実施の形態では、図1に示すアクセス制御システムを援用して、上記状況において発行される委託証明電文6および利用権行使電文9の一例をそれぞれ説明する。なお、本実施の形態の利用権発行装置2が発行する利用権電文3は、上記実施の形態1のそれと同一であるので図2を援用する。
図10は、この発明の実施の形態3に係るアクセス制御システムの委託証明発行装置5が発行する委託証明電文6の一例を示す説明図である。図10に示す委託証明電文6には、図5に示す委託証明電文6に新たにコマンド6cを指定する電文が追加されている。よって、利用権被付与者4は担当者7に対して、特定の操作のみ委託することができる。
図11は、この発明の実施の形態3に係るアクセス制御システムの遠隔制御装置8が発行する利用権行使電文9の一例を示す説明図である。図11に示す利用権行使電文9には、図2に示す利用権電文3と図10に示す委託証明電文6が内包されている。
コマンド6cを含めた委託証明電文に署名6fが付与されているので、コマンド6cの改ざんを検出することができる。故に遠隔被制御装置11はコマンド6cを判断の礎とすることができる。また実施の形態1で説明した通り、遠隔被制御装置11はコマンド3cを判断の礎とすることができる。よって遠隔被制御装置11は、操作可否判定ステップにおいて、利用権行使電文9に内包されたコマンド3cとコマンド6cとを照らし合わせることにより、担当者7が委託外の不正操作を行っていないかどうかを検出することができる。
以上のように、実施の形態3によれば、利用権電文3が操作のコマンド3cを含み、委託証明電文6が操作のコマンド6cを指定する電文を含むように構成した。そのため、利用権委託先の遠隔操作の実行者が委託外の不正操作を行っていないかどうかを検出することが可能となる。なお、委託証明電文6が、実施の形態3に加えて実施の形態1と同様の制御対象機器6bを含む場合には両方の効果を兼ね備えることができる。また利用権電文3が実施の形態3に加えて実施の形態2と同様の制御対象機器の機種3hを含み、委託証明電文6が実施の形態3に加えて実施の形態2と同様の制御対象機器の機種6hを含む場合には、両方の効果を兼ね備えることができる。
実施の形態4.
本実施の形態では、利用権被付与者4が担当者7に対して、特定のコマンドに関するパラメータ範囲毎に委託可否を区別している状況に適用したアクセス制御システムを説明する。この状況としては、例えばエアコンの温度設定操作に関してその設定温度がパラメータとなっている場合で、ある担当者に対しては定常運転用の温度範囲での温度設定操作が委託され、別のある担当者に対しては保守点検用試運転の温度範囲での温度設定操作が委託されるような状況がある。
以下、本実施の形態では、図1に示すアクセス制御システムを援用して、上記状況において発行される委託証明電文6および利用権行使電文9の一例をそれぞれ説明する。なお、本実施の形態の利用権発行装置2が発行する利用権電文3は、上記実施の形態1のそれと同一であるので、図2を援用する。
本実施の形態では、利用権被付与者4が担当者7に対して、特定のコマンドに関するパラメータ範囲毎に委託可否を区別している状況に適用したアクセス制御システムを説明する。この状況としては、例えばエアコンの温度設定操作に関してその設定温度がパラメータとなっている場合で、ある担当者に対しては定常運転用の温度範囲での温度設定操作が委託され、別のある担当者に対しては保守点検用試運転の温度範囲での温度設定操作が委託されるような状況がある。
以下、本実施の形態では、図1に示すアクセス制御システムを援用して、上記状況において発行される委託証明電文6および利用権行使電文9の一例をそれぞれ説明する。なお、本実施の形態の利用権発行装置2が発行する利用権電文3は、上記実施の形態1のそれと同一であるので、図2を援用する。
図12は、この発明の実施の形態4に係るアクセス制御システムの委託証明発行装置5が発行する委託証明電文6の一例を示す説明図である。図12に示す委託証明電文6には、上記実施の形態3の図10に示す委託証明電文6に新たにパラメータ許容範囲’6dを指定する電文が追加されている。よって、利用権被付与者4は担当者7に対して、特定の操作の、特定のパラメータ範囲に限定した操作のみ委託することができる。
図13は、この発明の実施の形態4に係るアクセス制御システムの遠隔制御装置8が発行する利用権行使電文9の一例を示す説明図である。図13に示す利用権行使電文9には、利用権電文3と委託証明電文6とパラメータ具体値9dが内包されている。
遠隔被制御装置11は、操作可否判定ステップにおいて、利用権行使電文9に内包された利用権電文3に付与された署名3fを検証することにより、パラメータ許容範囲3dが確かに機器所有者によって許諾されたものであることを確認することができる。また、遠隔被制御装置11は、利用権行使電文9に内包された委託証明電文6に付与された署名6fを検証することにより、パラメータ許容範囲’6dが確かに利用権被付与者によって委託されたものであることを確認することができる。また、遠隔被制御装置11は、利用権行使電文に付与された署名9fを検証することにより、パラメータ具体値9dが確かに担当者7によって指定されたものであることを確認できる。
また、遠隔被制御装置11は、署名3f,6f,9f検証後、パラメータ許容範囲’6dとパラメータ具体値9dを照らし合わせて範囲逸脱の有無を検査することにより、担当者7による遠隔操作が委託外であったかどうかを検出することができる。
なお、パラメータ許容範囲3dとパラメータ具体値9dを照らし合わせることにより、遠隔操作が許諾外であったかどうかを検出できることは、特許文献1と同様である。
なお、パラメータ許容範囲3dとパラメータ具体値9dを照らし合わせることにより、遠隔操作が許諾外であったかどうかを検出できることは、特許文献1と同様である。
以上のように、実施の形態4によれば、委託証明電文6が、担当者7の委託業務内容に沿ったパラメータ許容範囲’6dを含むように構成したので、実施の形態3の効果に加えて、利用権被付与者の委託行為のうち特にパラメータ許容範囲に関して越権委託がないかどうか、利用権委託先の遠隔操作の実行者の遠隔操作のパラメータ具体値に関して越権行為がないかどうかを検出することができる。
なお、委託証明電文6が、実施の形態3に加えて実施の形態1と同様の制御対象機器6bを含む場合には両方の効果を兼ね備えることができる。また利用権電文3が実施の形態3に加えて実施の形態2と同様の制御対象機器の機種3hを含み、委託証明電文6が実施の形態3に加えて実施の形態2と同様の制御対象機器の機種6hを含む場合には、両方の効果を兼ね備えることができる。
なお、委託証明電文6が、実施の形態3に加えて実施の形態1と同様の制御対象機器6bを含む場合には両方の効果を兼ね備えることができる。また利用権電文3が実施の形態3に加えて実施の形態2と同様の制御対象機器の機種3hを含み、委託証明電文6が実施の形態3に加えて実施の形態2と同様の制御対象機器の機種6hを含む場合には、両方の効果を兼ね備えることができる。
実施の形態5.
本実施の形態では、利用権被付与者4が担当者7に対して、担当者の勤務時間帯にのみ操作を委託し、勤務時間外の操作をさせない状況に適用したアクセス制御システムを説明する。
以下、本実施の形態では、図1に示すアクセス制御システムを援用して、上記状況において発行される委託証明電文6および利用権行使電文9の一例をそれぞれ説明する。なお、本実施の形態の利用権発行装置2が発行する利用権電文3は、上記実施の形態1のそれと同一であるので図2を援用する。
本実施の形態では、利用権被付与者4が担当者7に対して、担当者の勤務時間帯にのみ操作を委託し、勤務時間外の操作をさせない状況に適用したアクセス制御システムを説明する。
以下、本実施の形態では、図1に示すアクセス制御システムを援用して、上記状況において発行される委託証明電文6および利用権行使電文9の一例をそれぞれ説明する。なお、本実施の形態の利用権発行装置2が発行する利用権電文3は、上記実施の形態1のそれと同一であるので図2を援用する。
図2に示す利用権電文3には、機器所有者1が許諾する利用条件3eを指定した電文が内包されている。この利用条件3eには、制御対象機器13の操作可能な時間帯が記載されている。
図14は、この発明の実施の形態5に係るアクセス制御システムの委託証明発行装置5が発行する委託証明電文6の一例を示す説明図である。図14に示す委託証明電文6には、利用権被付与者6a、委託先実行者6g、利用条件’6eそれぞれを指定する電文が含まれ、また、署名6fが付与されている。委託証明電文6において、利用条件’6eとは委託先実行者6gである担当者7の勤務時間帯を指す。よって、利用権被付与者4は担当者7に対して、担当者7の勤務時間帯に応じた時間帯のみ操作を委託することができる。
図15は、この発明の実施の形態5に係るアクセス制御システムの遠隔制御装置8が発行する利用権行使電文9の一例を示す説明図である。図15に示す利用権行使電文9には、図2に示す利用権電文3と図14に示す委託証明電文6が内包されている。
利用条件’6eを含めた委託証明電文に署名6fが付与されているので、利用条件’6eの改ざんを検出することができる。故に遠隔被制御装置11は利用条件’6eを判断の礎とすることができる。遠隔被制御装置11は、操作可否判定ステップにおいて、利用権行使電文9に内包された利用条件’6eを遠隔被制御装置11の環境状況に照らし合わせることにより、利用条件’6eに関する担当者7の越権行為がないかどうかを検出することができる。
利用条件’6eを含めた委託証明電文に署名6fが付与されているので、利用条件’6eの改ざんを検出することができる。故に遠隔被制御装置11は利用条件’6eを判断の礎とすることができる。遠隔被制御装置11は、操作可否判定ステップにおいて、利用権行使電文9に内包された利用条件’6eを遠隔被制御装置11の環境状況に照らし合わせることにより、利用条件’6eに関する担当者7の越権行為がないかどうかを検出することができる。
なお、利用条件3eには原権利者である機器所有者1の都合に基づく条件が記載され、利用条件’6eには利用権被付与者4と担当者7との間の都合に基づく条件が記載され、遠隔被制御装置11がそれぞれの条件を自機の環境状況に照らし合わせるだけでよいので、アクセス制御システムは遠隔制御装置8と遠隔被制御装置11(または遠隔制御装置8と制御対象機器13)との間に、特許文献3の中間ノードでの編集ステップに相当する手段を必要としない。
以上のように、実施の形態3によれば、委託証明電文6が、担当者7の勤務時間である利用条件’6eを指す電文を含むように構成した。そのため、上記実施の形態1で述べた効果に加えて、利用権委託先の遠隔操作の実行者の機器利用時間に関して越権行為がないかどうかを検出することができる。
なお、上述した説明では、上記実施の形態1で示した構成に対して上記実施の形態5を適用する場合を示したが、これに限らず、上記実施の形態2および3の構成を適宜組み合わせたものであってもかまわない。これらを組み合わせた構成の場合には、上記実施の形態5の効果に加えて該当する実施の形態に述べた効果が得られることは言うまでもない。
実施の形態6.
図16は、この発明の実施の形態6に係るアクセス制御システムの構成を示すブロック図である。本実施の形態のアクセス制御システムは、委託証明発行装置5に代えて、利用権委譲電文15を発行する利用権委譲発行装置14を新たに備える。なお、図16において図1と同一または相当の部分については同一の符号を付し説明を省略する。
図16は、この発明の実施の形態6に係るアクセス制御システムの構成を示すブロック図である。本実施の形態のアクセス制御システムは、委託証明発行装置5に代えて、利用権委譲電文15を発行する利用権委譲発行装置14を新たに備える。なお、図16において図1と同一または相当の部分については同一の符号を付し説明を省略する。
図16に示すアクセス制御システムを、許諾ステップ、委譲ステップ、遠隔操作ステップ、操作可否判定ステップに分けて説明する。なお本実施の形態では、例えば遠隔保守の特別な顧客から特別にカスタマイズされた遠隔操作を依頼された場合のように、特定の利用権の許諾内容に限って担当者に委託する状況、即ち該当利用権の委譲となる状況を例に、アクセス制御システムを説明する。
許諾ステップにおいて、上記実施の形態1と同様に、利用権発行装置2が機器所有者1の入力する許諾内容に基づいて、図2に示す利用権電文3を作成し、利用権被付与者4へ渡す。
委譲ステップにおいて、利用権被付与者4は、操作の実行者である担当者7に対して制御対象機器13の操作、即ち利用権を委譲する。このとき、利用権委譲発行装置14は、利用権発行装置2から入力された利用権電文3と利用権被付与者4が入力する委譲先実行者等の委譲内容とに基づいて利用権委譲電文15を作成し、担当者7へ渡す。
なお、利用権電文3を渡す手段、および利用権委譲電文15を渡す手段には、上記実施の形態1と同様に可搬媒体を用いてもよいし、通信路を経由してもよい。
遠隔操作ステップにおいて、遠隔制御装置8が利用権委譲発行装置14から入力された利用権委譲電文15を用いて利用権行使電文9を作成し、さらに担当者7の指示する遠隔操作の制御指示内容(パラメータ具体値等)を付与する。そして、遠隔制御装置8はこの利用権行使電文9を通信路10を経由して遠隔被制御装置11へ送信する。
操作可否判定ステップにおいて、上記実施の形態1と同様に、遠隔被制御装置11が通信路10を経由して受信した利用権行使電文9を検証し、検証結果が合格であった場合のみ操作電文12を作成して制御対象機器13へ送信する。
次に、委譲ステップにおいて利用権委譲発行装置14が発行する利用権委譲電文15を説明する。図17は、この発明の実施の形態6に係るアクセス制御システムの利用権委譲発行装置14が発行する利用権委譲電文15の一例を示す説明図である。利用権委譲電文15には、利用権発行装置2が発行した利用権電文3が内包され、利用権被付与者15aおよび委譲先実行者15gそれぞれを指定する電文が追記され、また、利用権被付与者4の署名15fが付与されている。利用権委譲電文15において、利用権被付与者15aとは利用権被付与者4を指し、委譲先実行者15gとは担当者7を指す。
利用権委譲電文15に署名15fが付与されているため、利用権委譲発行装置14で作成されてから遠隔制御装置8へ届けられるまでの間に利用権委譲電文15が改ざんされていたとしても、遠隔制御装置8が署名15fを検証することによって改ざんを検出することができる。
利用権委譲電文15に署名15fが付与されているため、利用権委譲発行装置14で作成されてから遠隔制御装置8へ届けられるまでの間に利用権委譲電文15が改ざんされていたとしても、遠隔制御装置8が署名15fを検証することによって改ざんを検出することができる。
次に、遠隔操作ステップにおいて遠隔制御装置8が発行する利用権行使電文9を説明する。図18は、この発明の実施の形態6に係るアクセス制御システムの遠隔制御装置8が発行する利用権行使電文9の一例を示す説明図である。利用権行使電文9には、利用権電文3を内包した利用権委譲電文15が内包され、パラメータ具体値9dを指定する電文が追記され、また、担当者7の署名9fが付与されている。
利用権行使電文9に内包された利用権委譲電文15に内包されている利用権電文3には署名3fが付与されたままなので、利用権発行装置2で作成されてから遠隔被制御装置11に届くまでの間に利用権被付与者4、担当者7、通信路10等によって利用権電文3が改ざんされていたとしても、遠隔被制御装置11が署名3fを検証することによって改ざんを検出することができる。よって、利用権行使電文9に内包された利用権被付与者3a、制御対象機器3b、コマンド3c、パラメータ許容範囲3d、利用条件3eは確かに機器所有者1によって許諾されたものであることを、遠隔被制御装置11は以降の判断処理の礎とすることができる。
また、利用権行使電文9に内包された利用権委譲電文15には署名15fが付与されたままなので、利用権委譲発行装置14で作成されてから遠隔被制御装置11に届くまでの間に担当者7、通信路10等によって利用権委譲電文15が改ざんされていたとしても、遠隔被制御装置11が署名15fを検証することによって改ざんを検出することができる。よって、利用権委譲電文15に内包された利用権被付与者15a、委譲先実行者15gは確かに利用権被付与者4によって委譲されたものであることを、遠隔被制御装置11は以後の判断処理の礎とすることができる。
さらに、利用権行使電文9に署名9fが付与されているため、遠隔制御装置8で作成されてから遠隔被制御装置11に届くまでの間に利用権行使電文9が改ざんされていたとしても、遠隔被制御装置11が署名9fを検証することによって改ざんを検出することができる。よって、利用権電文3とパラメータ具体値9dの組み合わせは確かに担当者7によって指示されたものであることを、遠隔被制御装置11は以後の判断処理の礎とすることができる。
署名3f,9f,15fを検証した後、遠隔被制御装置11は、利用権行使電文9に内包されたパラメータ許容範囲3dとパラメータ具体値9dとを照らし合わせることにより、パラメータ具体値9dに担当者7の越権行為がないかどうかを検査することができる。また、遠隔被制御装置11は、利用条件3eを遠隔被制御装置11の環境条件に照らし合わせることにより、利用条件3eに関する担当者7の越権行為がないかどうかを検出することができる。また、遠隔被制御装置11は、利用権被付与者3aと利用権被付与者15aとを照らし合わせることにより、他の利用権被付与者からの委譲証明を担当者7が不正流用していないかどうかを検出することができる。また、遠隔被制御装置11は、委譲先実行者15gと署名9fの署名者とを照らし合わせることにより、利用権被付与者4から他の担当者へ委譲した委譲証明を不正流用していないかどうかを検出することができる。
なお、署名3f,9f,15fの署名付与と検証に公開鍵暗号アルゴリズムを用いる場合には、利用権発行装置2には機器所有者1の秘密鍵を予め備えておく。また、利用権委譲発行装置14には利用権被付与者4の秘密鍵を予め備えておく。また、遠隔制御装置8には担当者7の秘密鍵を予め備えておく。それぞれの秘密鍵と対になる各公開鍵は、公開鍵証明書によって機器所有者1、利用権被付与者4、担当者7とそれぞれ紐付いているものとする。
この構成の場合には、少なくとも遠隔操作ステップ開始前までに、遠隔制御装置8に機器所有者1の公開鍵と利用権被付与者4の公開鍵を備えておく。これらは許諾ステップおよび委譲ステップのタイミングで利用権電文3および利用権委譲電文15と一緒に遠隔制御装置8へ渡される構成でもよい。
また、少なくとも操作可否判定ステップ開始前までに、遠隔被制御装置11に機器所有者1の公開鍵と利用権被付与者4の公開鍵と担当者7の公開鍵を備えておく。機器所有者1の公開鍵は遠隔被制御装置11の設置時に、利用権被付与者4の公開鍵は許諾ステップの前後に、遠隔被制御装置11へ予め渡される構成でもよい。担当者7の公開鍵は、利用権行使電文9と一緒に遠隔被制御装置11へ渡される構成でもよい。
また、少なくとも操作可否判定ステップ開始前までに、遠隔被制御装置11に機器所有者1の公開鍵と利用権被付与者4の公開鍵と担当者7の公開鍵を備えておく。機器所有者1の公開鍵は遠隔被制御装置11の設置時に、利用権被付与者4の公開鍵は許諾ステップの前後に、遠隔被制御装置11へ予め渡される構成でもよい。担当者7の公開鍵は、利用権行使電文9と一緒に遠隔被制御装置11へ渡される構成でもよい。
以上のように、実施の形態6によれば、許諾ステップにおいて制御対象機器13の利用権許諾内容を表記した利用権電文3を作成する利用権発行装置2と、委譲ステップにおいて利用権電文9を内包すると共に、制御対象機器13の利用権委譲内容を表記した利用権委譲電文15を作成する利用権委譲発行装置14と、遠隔操作ステップにおいて利用権委譲電文14を内包する利用権行使電文9を制御対象機器13に対する指示として作成して送信する遠隔制御装置8と、操作可否判定ステップにおいて通信路10を経由して遠隔制御装置8から受信した利用権行使電文9を検証することにより指示の可否を判定する遠隔被制御装置11とを備えるように構成した。そのため、利用権被付与者から操作実行者へ委譲された許諾内容は、原権利者が利用権被付与者に与えた許諾内容と同一なので、利用権被付与者による越権委託の発生を防ぐと共に、遠隔操作可否の検証機能を実施しつつ、利用権被付与者から操作実行者への権限委譲を可能とするアクセス制御システムを提供することができる。
実施の形態7.
本実施の形態では、機器所有者1が利用権被付与者4に対して許諾を行う際に、利用権被付与者とは別人への委託・委譲の可否を許諾内容に含む状況に適用したアクセス制御システムを説明する。この状況としては、例えば家庭内機器の保守業務を請け負う業者を利用権被付与者として許諾する場合には担当者への委託・委譲を認める一方で、緊急時等の遠隔操作を家族など特定個人に許諾する場合には更なる他者への委託・委譲を認めないような状況がある。
以下、本実施の形態で、特に委託を行うものについて図1に示すアクセス制御システムを援用して、上記状況において発行される利用権電文3、利用権行使電文9の一例をそれぞれ説明する。なお委託証明発行装置5が発行する委託証明電文6については実施の形態1と同一なので図3を援用する。
本実施の形態では、機器所有者1が利用権被付与者4に対して許諾を行う際に、利用権被付与者とは別人への委託・委譲の可否を許諾内容に含む状況に適用したアクセス制御システムを説明する。この状況としては、例えば家庭内機器の保守業務を請け負う業者を利用権被付与者として許諾する場合には担当者への委託・委譲を認める一方で、緊急時等の遠隔操作を家族など特定個人に許諾する場合には更なる他者への委託・委譲を認めないような状況がある。
以下、本実施の形態で、特に委託を行うものについて図1に示すアクセス制御システムを援用して、上記状況において発行される利用権電文3、利用権行使電文9の一例をそれぞれ説明する。なお委託証明発行装置5が発行する委託証明電文6については実施の形態1と同一なので図3を援用する。
図19は、この発明の実施の形態7に係るアクセス制御システムの利用権発行装置2が発行する利用権電文3の一例を示す説明図である。図19に示す利用権電文3には、実施の形態1の図2に示す利用権電文3に新たに委託可否を指定する電文、委託可否3iが追加されている。よって、機器所有者1は利用権被付与者4に対して、委託可否の別を指定して許諾することができる。
図20は、この発明の実施の形態7に係るアクセス制御システムの遠隔制御装置8が発行する利用権行使電文9の一例を示す説明図である。図20に示す利用権行使電文9には、利用権電文3と委託証明電文6とパラメータ具体値9dが内包されており、委託先実行者である担当者7の署名9fが付与されている。利用権電文の委託可否3iには、委託可である旨が示されている。
図21は、この発明の実施の形態7に係るアクセス制御システムの遠隔制御装置8が発行する利用権行使電文9の一例を示す説明図である。図21に示す利用権行使電文9には、利用権電文3とパラメータ具体値9dが内包されており、利用権被付与者の署名9fが付与されている。利用権電文の委託可否3iには、委託否である旨が示されている。
許諾ステップで委託可否3iに「可」と示されている利用権電文3を受け取った利用権被付与者4は、委託先実行者である担当者7に利用権電文3と委託証明電文6を渡し、担当者7に遠隔制御装置8を使用させて図20の利用権行使電文9を発行させる。担当者7が遠隔制御装置8を用いるので、利用権行使電文に付与される署名9fは担当者7のものになっている。
許諾ステップで委託可否3iに「否」と示されている利用権電文を受け取った利用権被付与者4は、図1のブロック図の通り委託を行うと、遠隔被制御装置11によって許諾外操作と判定される(後述)。これを避けるために、利用権被付与者4自身が遠隔操作を行うブロック図を図22に示す。
許諾ステップで委託可否3iに「否」と示されている利用権電文を受け取った利用権被付与者4は、利用権電文を遠隔制御装置8に入力し、自ら遠隔制御装置8を使用して図21の利用権行使電文9を発行する。利用権被付与者4が自ら遠隔制御装置8を用いるので、利用権行使電文に付与される署名9fは利用権被付与者4のものになっている。なお利用権被付与者4は、図32に示された特許文献1の遠隔制御装置8に相当する装置が委託可否3iの影響を受けないならばこれを流用して、図21の利用権行使電文9を発行してもよい。
許諾ステップで委託可否3iに「否」と示されている利用権電文を受け取った利用権被付与者4は、図1のブロック図の通り委託を行うと、遠隔被制御装置11によって許諾外操作と判定される(後述)。これを避けるために、利用権被付与者4自身が遠隔操作を行うブロック図を図22に示す。
許諾ステップで委託可否3iに「否」と示されている利用権電文を受け取った利用権被付与者4は、利用権電文を遠隔制御装置8に入力し、自ら遠隔制御装置8を使用して図21の利用権行使電文9を発行する。利用権被付与者4が自ら遠隔制御装置8を用いるので、利用権行使電文に付与される署名9fは利用権被付与者4のものになっている。なお利用権被付与者4は、図32に示された特許文献1の遠隔制御装置8に相当する装置が委託可否3iの影響を受けないならばこれを流用して、図21の利用権行使電文9を発行してもよい。
遠隔被制御装置11は、操作可否判定ステップにおいて、利用権行使電文9に内包された利用権電文3に付与された署名3fを検証することにより、委託可否3iが確かに機器所有者によって許諾されたものであることを確認することができる。また、遠隔被制御装置11は図20の利用権行使電文9を受信した場合には、操作可否判定ステップにおいて、利用権行使電文9に付与された署名9fを検証することにより、利用権電文3と委託証明電文6の組合せが確かに担当者7によって指示されたものであることを、遠隔被制御装置11は確認することができる。また、遠隔被制御装置11は図21の利用権行使電文9を受信した場合には、操作可否判定ステップにおいて、利用権行使電文9に付与された署名9fを検証することにより、委託証明電文を内包しない利用権行使電文9が、確かに利用権被付与者4によって指示されたものであることを検査することができる。
署名3f,6f,9fを検証した後、遠隔被制御装置11は、利用権電文3の委託可否3iに示された「可」と委託証明電文6の存在とを照らし合わせることにより、委託行為が許諾されていたものであることを検査することができる。委託可否3iに「否」と示されていた場合には、委託証明電文6の存在と照らし合わせた結果、委託行為が許諾されていなかったことを検査することができる
実施の形態8.
本実施の形態でも、機器所有者1が利用権被付与者4に対して許諾を行う際に、利用権被付与者とは別人への委託・委譲の可否を許諾内容に含む状況に適用したアクセス制御システムを説明する。この状況としては、例えば家庭内機器の保守業務を請け負う業者を利用権被付与者として許諾する場合には担当者への委託・委譲を認める一方で、緊急時等の遠隔操作を家族など特定個人に許諾する場合には更なる他者への委託・委譲を認めないような状況がある。
以下、本実施の形態で、特に委譲を行うものについて図16に示すアクセス制御システムを援用して、上記状況において発行される利用権電文3、利用権委譲電文15、利用権行使電文9の一例をそれぞれ説明する。
本実施の形態でも、機器所有者1が利用権被付与者4に対して許諾を行う際に、利用権被付与者とは別人への委託・委譲の可否を許諾内容に含む状況に適用したアクセス制御システムを説明する。この状況としては、例えば家庭内機器の保守業務を請け負う業者を利用権被付与者として許諾する場合には担当者への委託・委譲を認める一方で、緊急時等の遠隔操作を家族など特定個人に許諾する場合には更なる他者への委託・委譲を認めないような状況がある。
以下、本実施の形態で、特に委譲を行うものについて図16に示すアクセス制御システムを援用して、上記状況において発行される利用権電文3、利用権委譲電文15、利用権行使電文9の一例をそれぞれ説明する。
図23は、この発明の実施の形態8に係るアクセス制御システムの利用権発行装置2が発行する利用権電文3の一例を示す説明図である。図23に示す利用権電文3には、実施の形態1の図2に示す利用権電文3に新たに委譲可否を指定する電文、委譲可否3jが追加されている。よって、機器所有者1は利用権被付与者4に対して、委譲可否の別を指定して許諾することができる。
図24は、この発明の実施の形態8に係るアクセス制御システムの利用権委譲発行装置14が発行する利用権委譲電文15の一例を示す説明図である。図24に示す利用権委譲電文15には、利用権電文3と利用権被付与者15aと委譲先実行者15gが内包され、利用権被付与者4の署名15fが付与されている。
図25は、この発明の実施の形態8に係るアクセス制御システムの遠隔制御装置11が発行する利用権行使電文9の一例を示す説明図である。図25に示す利用権行使電文15には、利用権委譲電文15とパラメータ具体値9dが内包され、担当者7の署名9fが付与されている。利用権行使電文9が利用権委譲電文15を経由して間接的に内包している利用権電文3の委譲可否3jには、委譲可である旨が示されている。
図26は、この発明の実施の形態8に係るアクセス制御システムの遠隔制御装置8が発行する利用権行使電文9の一例を示す説明図である。図26に示す利用権行使電文9には、利用権電文3とパラメータ具体値9dが内包され、利用権被付与者4の署名9fが付与されている。利用権行使電文9が内包している利用権電文3の委譲可否3jには、委譲否である旨が示されている。
許諾ステップで委譲可否3jに「可」と示されている利用権電文3を受け取った利用権被付与者4は、委譲ステップで利用権委譲装置14を使用して図24の利用権委譲電文15を発行し、担当者7に利用権委譲電文15を渡す。遠隔操作ステップで担当者7は遠隔制御装置8を操作して図25の利用権行使電文9を発行する。担当者7が遠隔制御装置8を用いるので、利用権行使電文9に付与されている署名9fは担当者7のものになっている。
許諾ステップで委譲可否3jに「否」と示されている利用権電文3を受け取った利用権被付与者4は、図16のブロック図の通り委譲を行うと、遠隔被制御装置11によって許諾外操作と判定される(後述)。これを避けるために、利用権被付与者4自身が遠隔操作を行うブロック図を図27に示す。
許諾ステップで委譲可否3jに「否」と示されている利用権電文3を受け取った利用権被付与者4は、利用権電文3を遠隔制御装置8に入力し、自ら遠隔制御装置8を使用して図26の利用権行使電文9を発行する。利用権被付与者4が自ら遠隔制御装置8を用いるので、利用権行使電文9に付与される署名9fは利用権被付与者4のものになっている。なお利用権被付与者4は、図32に示された特許文献1の遠隔制御装置8に相当する装置が委譲可否3jの影響を受けないならばこれを流用して、図26の利用権行使電文9を発行してもよい。
許諾ステップで委譲可否3jに「否」と示されている利用権電文3を受け取った利用権被付与者4は、図16のブロック図の通り委譲を行うと、遠隔被制御装置11によって許諾外操作と判定される(後述)。これを避けるために、利用権被付与者4自身が遠隔操作を行うブロック図を図27に示す。
許諾ステップで委譲可否3jに「否」と示されている利用権電文3を受け取った利用権被付与者4は、利用権電文3を遠隔制御装置8に入力し、自ら遠隔制御装置8を使用して図26の利用権行使電文9を発行する。利用権被付与者4が自ら遠隔制御装置8を用いるので、利用権行使電文9に付与される署名9fは利用権被付与者4のものになっている。なお利用権被付与者4は、図32に示された特許文献1の遠隔制御装置8に相当する装置が委譲可否3jの影響を受けないならばこれを流用して、図26の利用権行使電文9を発行してもよい。
遠隔被制御装置11は、操作可否判定ステップにおいて、利用権行使電文9に内包された利用権電文3に付与された署名3fを検証することにより、委譲可否3jが確かに機器所有者1によって許諾されたものであることを確認することができる。
また、遠隔被制御装置11は図25の利用権行使電文9を受信した場合には、操作可否判定ステップにおいて、利用権委譲電文15に付与された署名15fを検証することにより、利用権電文3と利用権被付与者15aと委譲先実行者15gの組み合せが確かに利用権被付与者4によって指示されたものであることを、遠隔被制御装置11は確認することができる。また、遠隔被制御装置11は図26の利用権行使電文9を受信した場合には、操作可否判定ステップにおいて、利用権行使電文9に付与された署名9fを検証することにより、利用権委譲電文を内包しない利用権行使電文9が、確かに利用権被付与者4によって指示されたものであることを検査することができる。
署名3f,15f,9fを検証した後、遠隔被制御装置11は、利用権電文3の委譲可否3jに示された「可」と利用権委譲電文15の存在とを照らし合わせることにより、委譲行為が許諾されていたものであることを検査することができる。委譲可否3jに「否」と示されていた場合には、利用権委譲電文15の存在と照らし合わせた結果、委譲行為が許諾されていなかったことを検査することができる
なお利用権電文3が実施の形態7の委託可否と実施の形態8の委譲可否を共に含むように構成し、遠隔制御装置が実施の形態7の検査と実施の形態8の検査とを共に行うように構成した場合には、両方の効果を兼ね備えることができる。
なお利用権電文3が実施の形態7の委託可否と実施の形態8の委譲可否を共に含むように構成し、遠隔制御装置が実施の形態7の検査と実施の形態8の検査とを共に行うように構成した場合には、両方の効果を兼ね備えることができる。
実施の形態9.
本実施の形態では、担当者7の署名9fを遠隔被制御装置11が検証するために必要とする公開鍵と委託先実行者の組み合せを、利用権被付与者が保証し配布する状況に適用したアクセス制御システムを説明する。この状況としては、例えば保守業者内で担当者を変更したために、新担当者の公開鍵が操作可否判定ステップの時点以前には遠隔被制御装置11に保有されておらず、操作可否判定ステップと同時に新担当者の公開鍵を遠隔被制御装置11に組み込まなければならないような状況がある。
以下、本実施の形態では、図1に示すアクセス制御システムを援用して、上記状況において発行される委託証明電文6および利用権行使電文9の一例をそれぞれ説明する。なお、本実施の形態の利用権発行装置2が発行する利用権電文3は、上記実施の形態1のそれと同一であるので、図2を援用する。
本実施の形態では、担当者7の署名9fを遠隔被制御装置11が検証するために必要とする公開鍵と委託先実行者の組み合せを、利用権被付与者が保証し配布する状況に適用したアクセス制御システムを説明する。この状況としては、例えば保守業者内で担当者を変更したために、新担当者の公開鍵が操作可否判定ステップの時点以前には遠隔被制御装置11に保有されておらず、操作可否判定ステップと同時に新担当者の公開鍵を遠隔被制御装置11に組み込まなければならないような状況がある。
以下、本実施の形態では、図1に示すアクセス制御システムを援用して、上記状況において発行される委託証明電文6および利用権行使電文9の一例をそれぞれ説明する。なお、本実施の形態の利用権発行装置2が発行する利用権電文3は、上記実施の形態1のそれと同一であるので、図2を援用する。
図28は、この発明の実施の形態9に係るアクセス制御システムの委託証明発行装置5が発行する委託証明電文6の一例を示す説明図である。図28に示す委託証明電文6には、上記実施の形態1の図5に示す委託証明電文6に新たに委託先実行者の公開鍵6kが追加されている。利用権被付与者4の署名6fは委託先実行者6gと公開鍵6kを共に含む委託証明電文6に付与されている。
図29は、この発明の実施の形態9に係るアクセス制御システムの遠隔制御装置8が発行する利用権行使電文9の一例を示す説明図である。図29に示す利用権行使電文9には、利用権電文3と委託証明電文6とパラメータ具体値9dが内包されている。
遠隔被制御装置11は、操作可否判定ステップにおいて、利用権行使電文9に内包された委託証明電文6に付与された署名6fを検証することにより、委託先実行者6gと公開鍵6kの組み合せが確かに利用権被付与者4によって保証されたものであることを確認することができる。遠隔被制御装置11は、公開鍵6kを用いて利用権行使電文9に付与された電子署名9fを検証することができる。
以上のように、実施の形態9によれば、委託証明電文6が委託先実行者の公開鍵6kを含むように構成したので、実施の形態1の効果に加えて、委託先実行者と公開鍵の組み合せを確認した上で署名検証に供することができる。
実施の形態10.
本実施の形態では、担当者7の署名9fを遠隔被制御装置11が検証するために必要とする公開鍵と委譲先実行者の組み合せを、利用権被付与者が保証し配布する状況に適用したアクセス制御システムを説明する。この状況としては、例えば保守業者内で担当者を変更したために、新担当者の公開鍵が操作可否判定ステップの時点以前には遠隔被制御装置11に保有されておらず、操作可否判定ステップと同時に新担当者の公開鍵を遠隔被制御装置11に組み込まなければならないような状況がある。
以下、本実施の形態では、図16に示すアクセス制御システムを援用して、上記状況において発行される利用権委譲電文15および利用権行使電文9の一例をそれぞれ説明する。なお、本実施の形態の利用権発行装置2が発行する利用権電文3は、上記実施の形態1のそれと同一であるので、図2を援用する。
本実施の形態では、担当者7の署名9fを遠隔被制御装置11が検証するために必要とする公開鍵と委譲先実行者の組み合せを、利用権被付与者が保証し配布する状況に適用したアクセス制御システムを説明する。この状況としては、例えば保守業者内で担当者を変更したために、新担当者の公開鍵が操作可否判定ステップの時点以前には遠隔被制御装置11に保有されておらず、操作可否判定ステップと同時に新担当者の公開鍵を遠隔被制御装置11に組み込まなければならないような状況がある。
以下、本実施の形態では、図16に示すアクセス制御システムを援用して、上記状況において発行される利用権委譲電文15および利用権行使電文9の一例をそれぞれ説明する。なお、本実施の形態の利用権発行装置2が発行する利用権電文3は、上記実施の形態1のそれと同一であるので、図2を援用する。
図30は、この発明の実施の形態10に係るアクセス制御システムの利用権委譲発行装置14が発行する利用権委譲電文15の一例を示す説明図である。図30に示す利用権委譲電文15には、実施の形態6の図17に示す利用権委譲電文15に新たに委譲先実行者の公開鍵15kが追加されている。利用権被付与者4の署名15fは委譲先実行者15gと公開鍵15kを共に含む利用権委譲電15文に付与されている。
図31は、この発明の実施の形態10に係るアクセス制御システムの遠隔制御装置8が発行する利用権行使電文9の一例を示す説明図である。図31に示す利用権行使電文9には、利用権委譲電文15とパラメータ具体値9dが内包されている。
遠隔被制御装置11は、操作可否判定ステップにおいて、利用権行使電文9に内包された利用権委譲電文15に付与された署名15fを検証することにより、委譲先実行者15gと公開鍵15kの組み合せが確かに利用権被付与者4によって保証されたものであることを確認することができる。遠隔被制御装置11は、公開鍵15kを用いて利用権行使電文9に付与された電子署名9fを検証することができる。
以上のように、実施の形態10によれば、利用権委譲電文15が委譲先実行者の公開鍵15kを含むように構成したので、実施の形態1の効果に加えて、委譲先実行者と公開鍵の組み合せを確認した上で署名検証に供することができる。
このように、上記実施の形態1〜10によれば、慣例として行われていた業務委託および権限委譲に適合したアクセス制御システムを、遠隔制御システムに導入することができる。上記実施の形態1〜10は主として遠隔保守を請け負った業者とその従業員の間の関係を例にしたが、これら業務委託および権限委譲は業者間で行われる構成であってもよい。また、業務種別も遠隔保守に限定されず、ホームセキュリティ、省エネ制御、遠隔ヘルスケア等、機器の遠隔操作を伴うものであれば適用できることは言うまでもない。
1 機器所有者、2 利用権発行装置、3 利用権電文、4 利用権被付与者、5 委託証明発行装置、6 委託証明電文、7 担当者、8 遠隔制御装置、9 利用権行使電文、10 通信路、11 遠隔被制御装置、12 操作電文、13 制御対象機器、14 利用権委譲発行装置、15 利用権委譲電文。
Claims (14)
- 機器使用に関する利用権の許諾内容を表記した利用権電文を作成する利用権発行装置と、
前記機器使用に関する利用権の委託内容を表記した委託証明電文を作成する委託証明発行装置と、
前記利用権電文と前記委託証明電文とを内包する利用権行使電文を機器に対する指示として作成して送信する遠隔制御装置と、
前記利用権行使電文を機器に対する指示として受信して検証することにより、当該指示の可否を判定する遠隔被制御装置とを備えるアクセス制御システム。 - 利用権発行装置が、機器使用に関する利用権の許諾内容を表記した利用権電文を発行する許諾ステップと、
委託証明発行装置が、前記機器使用に関する利用権の委託内容を表記した委託証明電文を発行する委託ステップと、
遠隔制御装置が、前記許諾ステップで発行した前記利用権電文と前記委託ステップで発行した前記委託証明電文とを内包する利用権行使電文を機器に対する指示として作成して送信する遠隔操作ステップと、
遠隔被制御装置が、前記遠隔制御装置から機器に対する指示として受信した前記利用権行使電文を検証することにより、当該指示の可否を判定する操作可否判定ステップとを備えるアクセス制御方法。 - 委託証明電文は、委託内容として、利用権委託先の遠隔操作実行者を特定する情報を含むことを特徴とする請求項2記載のアクセス制御方法。
- 委託証明電文は、委託内容として、機器を特定する識別情報を含むことを特徴とする請求項2または請求項3記載のアクセス制御方法。
- 利用権電文は、許諾内容として、機器を特定する識別情報と、当該機器の機種を特定する識別情報を含み、
委託証明電文は、委託内容として、前記機器の機種を特定する識別情報を含むことを特徴とする請求項2または請求項3記載のアクセス制御方法。 - 委託証明電文は、委託内容として、機器に対する操作を特定する情報を含むことを特徴とする請求項2から請求項5のうちのいずれか1項記載のアクセス制御方法。
- 委託証明電文は、委託内容として、機器に対する操作を特定する情報と、操作のパラメータ許容範囲を示す情報を含むことを特徴とする請求項2から請求項5のうちのいずれか1項記載のアクセス制御方法。
- 委託証明電文は、委託内容として、委託時間帯を特定する情報を含むことを特徴とする請求項2から請求項7のうちのいずれか1項記載のアクセス制御方法。
- 許諾ステップでは、利用権発行装置が利用権の所有者の電子署名を利用権電文に付与し、
委託ステップでは、委託証明発行装置が前記利用権の許諾先である利用権被付与者の電子署名を委託証明電文に付与し、
遠隔操作ステップでは、遠隔制御装置が前記利用権の委託先である遠隔操作実行者の電子署名を利用権行使電文に付与すると共に、前記利用権電文および前記委託証明電文に付与された各電子署名を当該利用権行使電文に内包させ、
操作可否判定ステップでは、遠隔被制御装置が前記利用権行使電文に含まれる全ての電子署名を検証することを特徴とする請求項2から請求項8のうちのいずれか1項記載のアクセス制御方法。 - 機器使用に関する利用権の許諾内容を表記した利用権電文を作成する利用権発行装置と、
前記利用権電文を内包すると共に、前記機器使用に関する利用権の委譲内容を表記した利用権委譲電文を作成する利用権委譲発行装置と、
前記利用権委譲電文を内包する利用権行使電文を機器に対する指示として作成して送信する遠隔制御装置と、
前記利用権行使電文を機器に対する指示として受信して検証することにより、当該指示の可否を判定する遠隔被制御装置とを備えるアクセス制御システム。 - 利用権発行装置が、機器使用に関する利用権の許諾内容を表記した利用権電文を発行する許諾ステップと、
利用権委譲発行装置が、前記許諾ステップで発行した前記利用権電文を内包すると共に、前記機器使用に関する利用権の委譲内容を表記した利用権委譲電文を発行する委譲ステップと、
遠隔制御装置が、前記委譲ステップで発行した前記利用権委譲電文を内包する利用権行使電文を機器に対する指示として作成して送信する遠隔操作ステップと、
遠隔被制御装置が、前記遠隔制御装置から機器に対する指示として受信した前記利用権行使電文を検証することにより、当該指示の可否を判定する操作可否判定ステップとを備えるアクセス制御方法。 - 許諾ステップでは、利用権発行装置が利用権の所有者の電子署名を利用権電文に付与し、
委譲ステップでは、利用権委譲発行装置が前記利用権の許諾先である利用権被付与者の電子署名を利用権委譲電文に付与し、
遠隔操作ステップでは、遠隔制御装置が前記利用権の委譲先である遠隔操作実行者の電子署名を利用権行使電文に付与すると共に、前記利用権電文および前記利用権委譲電文に付与された各電子署名を当該利用権行使電文に内包させ、
操作可否判定ステップでは、遠隔被制御装置が前記利用権行使電文に含まれる全ての電子署名を検証することを特徴とする請求項11記載のアクセス制御方法。 - 電子署名の付与には公開鍵暗号方式の秘密鍵を用い、電子署名の検証には公開鍵暗号方式の公開鍵を用い、
委託ステップでは、委託証明発行装置が委託証明電文に利用権の委託先である遠隔操作実行者の公開鍵を内包させ、利用権被付与者の秘密鍵を用いて電子署名を付与し、
あるいは委譲ステップでは、利用権委譲発行装置が利用権委譲電文に利用権の委譲先である遠隔操作実行者の公開鍵を内包させ、利用権被付与者の秘密鍵を用いて電子署名を付与し、
操作可否判定ステップでは、前記委託証明電文あるいは前記利用権委譲電文に内包された公開鍵によって、利用権行使電文に付与された署名を検証することを特徴とする請求項9または請求項12に記載のアクセス制御方法。 - 利用権電文は、許諾内容として、委託可否または委譲可否を示す情報を含むことを特徴とする請求項2から請求項9または請求項11から請求項13のうちのいずれか1項記載のアクセス制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008310906A JP2010134749A (ja) | 2008-12-05 | 2008-12-05 | アクセス制御システムおよびアクセス制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008310906A JP2010134749A (ja) | 2008-12-05 | 2008-12-05 | アクセス制御システムおよびアクセス制御方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010134749A true JP2010134749A (ja) | 2010-06-17 |
Family
ID=42345979
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008310906A Pending JP2010134749A (ja) | 2008-12-05 | 2008-12-05 | アクセス制御システムおよびアクセス制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010134749A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012203516A (ja) * | 2011-03-24 | 2012-10-22 | Kobe Digital Labo Inc | 属性委譲システム、属性委譲方法、及び、属性委譲プログラム |
WO2013150186A1 (en) * | 2012-04-05 | 2013-10-10 | Tosibox Oy | Secure method for remote grant of operating rights |
WO2016092911A1 (ja) * | 2014-12-09 | 2016-06-16 | ソニー株式会社 | 情報処理装置、情報処理方法、プログラム、および情報処理システム |
JP7348404B2 (ja) | 2019-12-31 | 2023-09-20 | 華為技術有限公司 | デバイス共有方法および電子デバイス |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000122973A (ja) * | 1998-10-16 | 2000-04-28 | Fujitsu Ltd | 資格管理方法および装置 |
JP2002163235A (ja) * | 2000-11-28 | 2002-06-07 | Mitsubishi Electric Corp | アクセス権限譲渡装置、共有リソース管理システム及びアクセス権限設定方法 |
JP2005071339A (ja) * | 2003-08-21 | 2005-03-17 | Samsung Electronics Co Ltd | ユーザ間のコンテンツに対する権限情報の共有方法 |
JP2007295188A (ja) * | 2006-04-24 | 2007-11-08 | Mitsubishi Electric Corp | 遠隔制御システム |
JP2008254464A (ja) * | 2007-03-30 | 2008-10-23 | Nissin Kogyo Co Ltd | 車両用ブレーキ装置 |
-
2008
- 2008-12-05 JP JP2008310906A patent/JP2010134749A/ja active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000122973A (ja) * | 1998-10-16 | 2000-04-28 | Fujitsu Ltd | 資格管理方法および装置 |
JP2002163235A (ja) * | 2000-11-28 | 2002-06-07 | Mitsubishi Electric Corp | アクセス権限譲渡装置、共有リソース管理システム及びアクセス権限設定方法 |
JP2005071339A (ja) * | 2003-08-21 | 2005-03-17 | Samsung Electronics Co Ltd | ユーザ間のコンテンツに対する権限情報の共有方法 |
JP2007295188A (ja) * | 2006-04-24 | 2007-11-08 | Mitsubishi Electric Corp | 遠隔制御システム |
JP2008254464A (ja) * | 2007-03-30 | 2008-10-23 | Nissin Kogyo Co Ltd | 車両用ブレーキ装置 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012203516A (ja) * | 2011-03-24 | 2012-10-22 | Kobe Digital Labo Inc | 属性委譲システム、属性委譲方法、及び、属性委譲プログラム |
WO2013150186A1 (en) * | 2012-04-05 | 2013-10-10 | Tosibox Oy | Secure method for remote grant of operating rights |
KR101524659B1 (ko) * | 2012-04-05 | 2015-06-01 | 토시박스 오와이 | 운영 권리들의 원격 승인을 위한 보안 방법 |
JP2015518316A (ja) * | 2012-04-05 | 2015-06-25 | トシボックス・オイ | 操作の権利をリモート付与するためのセキュアな方法 |
US9385870B2 (en) | 2012-04-05 | 2016-07-05 | Tosibox Oy | Secure method for remote grant of operating rights |
WO2016092911A1 (ja) * | 2014-12-09 | 2016-06-16 | ソニー株式会社 | 情報処理装置、情報処理方法、プログラム、および情報処理システム |
US10055913B2 (en) | 2014-12-09 | 2018-08-21 | Sony Corporation | Information processing apparatus, information processing method, program, and information processing system |
US10347059B2 (en) | 2014-12-09 | 2019-07-09 | Sony Corporation | Information processing apparatus, information processing method, program, and information processing system |
JP7348404B2 (ja) | 2019-12-31 | 2023-09-20 | 華為技術有限公司 | デバイス共有方法および電子デバイス |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10367796B2 (en) | Methods and apparatus for recording a change of authorization state of one or more authorization agents | |
JP4350549B2 (ja) | デジタル著作権管理のための情報処理装置 | |
US11645593B2 (en) | Use of identity and access management for service provisioning | |
TW201923639A (zh) | 用於管理數位身份之間的關係的系統和方法 | |
JP5404463B2 (ja) | 制御装置及び管理装置 | |
CN101866404B (zh) | 软件系统模块独立授权控制方法和装置 | |
CN101512962A (zh) | 控制权限的委托 | |
US20100023758A1 (en) | Document authentication using electronic signature | |
JP5360192B2 (ja) | 個人認証システムおよび個人認証方法 | |
CN105900398A (zh) | 用于燃料分配器安全的系统和方法 | |
Dobaj et al. | Towards a security‐driven automotive development lifecycle | |
US20150095971A1 (en) | Authentication in computer networks | |
CN111327618B (zh) | 一种基于区块链的精准访问控制方法、装置及系统 | |
JP2010134749A (ja) | アクセス制御システムおよびアクセス制御方法 | |
Oka | Building secure cars: assuring the automotive software development lifecycle | |
JP2009205230A (ja) | 認証・認可システム、認証・認可方法 | |
KR101979323B1 (ko) | 소프트웨어 저작권 인증 관리 방법 | |
JP4826449B2 (ja) | 情報処理システム、電子許可情報発行装置、権利発行装置 | |
Kasinathan et al. | Securing emergent IoT applications | |
JP4764614B2 (ja) | 情報処理装置、操作許否情報生成方法、操作許否情報生成プログラム及び記録媒体 | |
JP4757644B2 (ja) | アクセス制御システム及びアクセス制御方法 | |
KR102055888B1 (ko) | 정보 보호를 위한 파일 암복호화 방법 | |
Ramasamy et al. | Utilizing Blockchain for a Decentralized Database of Educational Credentials | |
JP2009181598A (ja) | デジタル著作権管理のための情報処理装置 | |
JP2008090701A (ja) | 認証アクセス制御システム及びこれに使用するアドインモジュール |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110316 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121212 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121218 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130409 |