JP2021012648A - MANAGEMENT OF RIGHT TO ACCESS TO IoT APPARATUS - Google Patents

MANAGEMENT OF RIGHT TO ACCESS TO IoT APPARATUS Download PDF

Info

Publication number
JP2021012648A
JP2021012648A JP2019127773A JP2019127773A JP2021012648A JP 2021012648 A JP2021012648 A JP 2021012648A JP 2019127773 A JP2019127773 A JP 2019127773A JP 2019127773 A JP2019127773 A JP 2019127773A JP 2021012648 A JP2021012648 A JP 2021012648A
Authority
JP
Japan
Prior art keywords
user
work
authentication
normal area
area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019127773A
Other languages
Japanese (ja)
Inventor
篤浩 佐橋
Atsuhiro Sahashi
篤浩 佐橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2019127773A priority Critical patent/JP2021012648A/en
Publication of JP2021012648A publication Critical patent/JP2021012648A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

To provide a system that permits remote access to an IoT apparatus and maintains security while improving convenience.SOLUTION: An access management system 100 authenticates a user in a secure area, and when succeeding in the authentication, transmits, to a normal area, authority information in which an operation permitted to the user is specified. A user application monitoring processing module 12 executed in the normal area performs collation as to whether an operation the user is to perform in relation to the apparatus matches the operation specified as the authority information on the user, and when the operations do not match, disables the operation that the user is to perform. A normal area monitoring processing module 36 in the secure area monitors, while the user works on the operation, that the details of processing performed by the user application monitoring processing module 12 executed in the normal area are not changed.SELECTED DRAWING: Figure 1

Description

本発明は、IoT(Internet of Things)機器のアクセス権を管理するシステム及び方法に関する。 The present invention relates to a system and a method for managing access rights of IoT (Internet of Things) devices.

市場ニーズや物流状況など、さまざまな外部環境の変化に柔軟に対応し、開発や製造、生産管理などのプロセスを最適化するスマート工場化が進んでいる。実現手段として、センサや設備を含めたあらゆる機器をネットワークに接続して、稼動状況を可視化したり設備同士を協調動作させたりすることが検討されている。また、ネットワークの脆弱性をつくサイバー攻撃に対しては、特許文献1のように、サイバー攻撃を抑制してセキュリティレベルを向上させることが提案されている。 Smart factories are being developed that flexibly respond to various changes in the external environment such as market needs and distribution conditions, and optimize processes such as development, manufacturing, and production management. As a means of realization, it is being studied to connect all devices including sensors and equipment to a network to visualize the operating status and to cooperate with each other. Further, as in Patent Document 1, it is proposed to suppress cyber attacks and improve the security level against cyber attacks that create network vulnerabilities.

特開2019−61538号JP-A-2019-61538

しかしながら、工場内の機器をネットワークに接続することで、セキュリティ上のリスクは高くなり、十分なセキュリティ機能を維持するためには定期的なアップデートなどのメンテナンスが必須となる。この点、コスト削減のため、できるだけメンテナンスはリモートで実施したいというニーズがある。また、作業の複雑化から、今後はメンテナンス業務を外部業者に委託するというニーズが想定される。この場合、外部業者が機器にリモートアクセスしようとする際に、セキュリティ環境を確保することが必要となる。また、複数の外部業者にリモートアクセスを許可する場合にも、セキュリティ環境を確保することが必要となる。 However, connecting the equipment in the factory to the network increases the security risk, and maintenance such as regular updates is essential to maintain sufficient security functions. In this regard, in order to reduce costs, there is a need to perform maintenance remotely as much as possible. In addition, due to the complexity of work, it is expected that there will be a need to outsource maintenance work to an outside contractor in the future. In this case, it is necessary to secure a security environment when an outside contractor tries to remotely access the device. It is also necessary to ensure a security environment when allowing remote access to a plurality of external vendors.

したがって、IoT機器に対するリモートアクセスを許可し利便性を向上しつつ、セキュリティ性を保つことが望ましい。 Therefore, it is desirable to maintain security while allowing remote access to IoT devices to improve convenience.

本発明は、上記の課題に鑑みてなされたものであり、以下のような特徴を有するものである。すなわち、本発明の1つの特徴によれば、複数のユーザがネットワークを介して機器に関して作業を行う際のアクセス管理システムであって、
第1のオペレーティングシステムで動作するノーマル領域と、
前記第1のオペレーティングシステムよりセキュリティレベルの高い第2のオペレーティングシステムで動作するセキュア領域と、
前記ノーマル領域と前記セキュア領域の間での通信を可能にするハイパーバイザーとを備え、
前記ノーマル領域は、
ネットワークを介してユーザから受信した認証に必要な認証情報を前記セキュア領域に送信すると共に、前記セキュア領域内において前記ユーザの認証が成功した場合に前記ユーザに許可される機器に関する作業が特定された権限情報を前記セキュア領域から受信し、前記機器に関して前記ユーザが行おうとする作業が、前記ユーザの前記権限情報として特定された作業と一致しているか否かを照合し、一致しない場合には、前記ユーザが行おうとする作業を動作不能にする処理を実行するユーザアプリケーション監視処理部を有し、
前記セキュア領域は、
前記ノーマル領域から送信された前記認証情報を受信したときに、前記認証情報に基づいて前記ユーザを認証し、前記ユーザの認証に成功した場合には、前記ユーザに許可される作業が特定された前記権限情報を前記ノーマル領域に送信する認証処理部と、
前記ノーマル領域内で実行される前記ユーザアプリケーション監視処理部の処理内容が変更されていないことを前記ユーザの前記作業の稼働中に監視するノーマル領域監視処理部とを有する、
システムが提供される。 The present invention has been made in view of the above problems, and has the following features. That is, according to one feature of the present invention, it is an access management system when a plurality of users work on a device via a network.
The normal area that runs on the first operating system,
A secure area that operates in a second operating system with a higher security level than the first operating system,
It is equipped with a hypervisor that enables communication between the normal area and the secure area.
The normal region is
The authentication information required for authentication received from the user via the network is transmitted to the secure area, and the work related to the device permitted to the user when the authentication of the user is successful in the secure area is specified. The authority information is received from the secure area, and it is collated whether or not the work that the user intends to perform with respect to the device matches the work specified as the authority information of the user, and if they do not match, it is checked. It has a user application monitoring processing unit that executes processing that renders the work that the user intends to perform inoperable.
The secure area is
When the authentication information transmitted from the normal area is received, the user is authenticated based on the authentication information, and when the authentication of the user is successful, the work permitted to the user is specified. An authentication processing unit that transmits the authority information to the normal area,
It has a normal area monitoring processing unit that monitors that the processing content of the user application monitoring processing unit executed in the normal area has not been changed during the operation of the user.
The system is provided.

本発明において、前記ノーマル領域監視処理部は、前記ノーマル領域内のメモリ領域に記憶された前記ユーザアプリケーション監視処理部の情報を定期的に読み出し、前記ユーザアプリケーション監視処理部の前記情報が変更されている場合には前記作業を実行不能にすることもできる。 In the present invention, the normal area monitoring processing unit periodically reads out the information of the user application monitoring processing unit stored in the memory area in the normal area, and the information of the user application monitoring processing unit is changed. If so, the work can be disabled.

本発明において、前記認証処理部は、
前記ノーマル領域から送信された前記認証情報を受信したときに、前記認証情報に基づいてユーザを認証し、前記ユーザの認証に成功した場合には、前記ユーザに許可される前記作業としてプロセス及び前記プロセスに利用されるリソースが紐づけられた権限情報を前記ノーマル領域に送信し、
前記ユーザアプリケーション監視処理部は、
前記セキュア領域から前記ユーザの認証が成功した場合に、前記ユーザに許可される前記作業としてプロセス及び前記プロセスに利用されるリソースが紐づけられた権限情報を受信すると、前記機器に関して前記ユーザが行おうとするプロセスと前記プロセスに利用されるリソースが、前記ユーザの前記権限情報として紐づけられた前記プロセスと前記リソースと一致しているか否かを照合し、一致しない場合には、前記機器に関して前記ユーザが行おうとするプロセスを停止する処理を実行することもできる。 In the present invention, the authentication processing unit is
When the authentication information transmitted from the normal area is received, the user is authenticated based on the authentication information, and if the authentication of the user is successful, the process and the operation permitted to the user are described. The authority information associated with the resources used in the process is transmitted to the normal area, and
The user application monitoring processing unit
When the authentication of the user is successful from the secure area, when the authority information associated with the process and the resource used for the process is received as the work permitted to the user, the user performs a row regarding the device. It is checked whether or not the process to be attempted and the resource used for the process match the process associated with the authority information of the user and the resource, and if they do not match, the device is described. You can also perform a process to stop the process the user is trying to do.

本発明において、前記ユーザアプリケーション監視処理部は、前記権限情報として、前記複数のユーザのユーザ毎に稼働中又は稼働予定のプロセスの一覧を取得し、プロセス毎に使用中又は使用予定のリソース一覧を取得し、各ユーザに対する各プロセス及び各リソースが、前記権限情報として紐づけられた前記プロセス及び前記リソースと一致しているか否かを照合することもできる。 In the present invention, the user application monitoring processing unit acquires a list of processes in operation or scheduled to be operated for each user of the plurality of users as the authority information, and obtains a list of resources in use or scheduled to be used for each process. It is also possible to acquire and collate whether or not each process and each resource for each user matches the process and the resource associated with the authority information.

本発明において、前記機器に関して作業する前記複数のユーザが第1のユーザと第2のユーザを含む場合、前記権限情報は、第1の権限情報と第2の権限情報を含み、
前記第1の権限情報は、前記第1のユーザが、前記機器に関する作業として1又は複数のプロセスに使用する1又は複数のリソースに対する権限を有するように特定されており、
前記第2の権限情報は、前記第2のユーザが、前記機器に関する作業として1又は複数のプロセスに使用する1又は複数のリソースに対する権限を有するように特定されており、
前記ユーザアプリケーション監視処理部は、前記第1のユーザが行おうとする作業が、前記第1のユーザに許可される前記第1の権限情報に一致しているか否かを照合した後に、前記第2のユーザが行おうとしている作業が、前記第2のユーザに許可される前記第2の権限情報に一致しているか否かを照合するように構成することもできる。 In the present invention, when the plurality of users working on the device include a first user and a second user, the authority information includes a first authority information and a second authority information.
The first authority information is specified so that the first user has authority over one or more resources used for one or more processes as work related to the device.
The second authority information is specified so that the second user has authority over one or more resources used for one or more processes as work related to the device.
The user application monitoring processing unit collates whether or not the work to be performed by the first user matches the first authority information permitted to the first user, and then the second user application monitoring processing unit collates. It can also be configured to match whether or not the work that the user is trying to perform matches the second authority information granted to the second user.

また、本発明の別の特徴によれば、複数のユーザがネットワークを介して機器に関して作業を行う際のアクセスを管理する方法であって、
第1のオペレーティングシステムで動作するノーマル領域と、前記第1のオペレーティングシステムよりセキュリティレベルの高い第2のオペレーティングシステムで動作するセキュア領域との間でハイパーバイザーを介して通信が行われ、
前記ノーマル領域において、ネットワークを介してユーザから受信した認証に必要な認証情報を前記セキュア領域に送信するステップと、
前記セキュア領域において、前記ノーマル領域から送信された前記認証情報を受信したときに、前記認証情報に基づいて前記ユーザを認証し、前記ユーザの認証に成功した場合には、前記ユーザに許可される作業が特定された前記権限情報を前記ノーマル領域に送信するステップと、
前記ノーマル領域において、前記ユーザの認証が成功した場合に前記ユーザに許可される機器に関する作業が特定された権限情報を前記セキュア領域から受信するステップと、
前記ノーマル領域において、ユーザアプリケーション監視処理部により、前記機器に関して前記ユーザが行おうとする作業が、前記ユーザの前記権限情報として特定された作業と一致しているか否かを照合し、一致しない場合には、前記ユーザが行おうとする作業を動作不能にするステップと、
前記セキュア領域において、前記ノーマル領域内で実行される前記ユーザアプリケーション監視処理部の処理内容が変更されていないことを前記ユーザの前記作業の稼働中に監視するステップと
を備えた方法が提供される。 Further, according to another feature of the present invention, it is a method of managing access when a plurality of users work on a device via a network.
Communication is performed via a hypervisor between the normal area operating in the first operating system and the secure area operating in the second operating system having a higher security level than the first operating system.
In the normal area, a step of transmitting the authentication information required for authentication received from the user via the network to the secure area, and
In the secure area, when the authentication information transmitted from the normal area is received, the user is authenticated based on the authentication information, and if the authentication of the user is successful, the user is permitted. A step of transmitting the authority information for which work is specified to the normal area, and
In the normal area, a step of receiving authority information from the secure area in which work related to a device permitted to the user when the user is successfully authenticated is received from the secure area.
In the normal area, the user application monitoring processing unit collates whether or not the work that the user intends to perform with respect to the device matches the work specified as the authority information of the user, and if they do not match. Is a step that disables the work that the user is trying to do,
Provided is a method including a step of monitoring that the processing content of the user application monitoring processing unit executed in the normal area has not been changed in the secure area during the operation of the user. ..

また、本発明の更に別の特徴によれば、第1のオペレーティングシステムで動作するノーマル領域と、前記第1のオペレーティングシステムよりセキュリティレベルの高い第2のオペレーティングシステムで動作するセキュア領域との間の通信を用いて、複数のユーザがネットワークを介して機器に関して作業を行う際のアクセスを管理するためのプログラムであって、
コンピュータに、
前記ノーマル領域において、ネットワークを介してユーザから受信した認証に必要な認証情報を前記セキュア領域に送信するステップと、
前記セキュア領域において、前記ノーマル領域から送信された前記認証情報を受信したときに、前記認証情報に基づいて前記ユーザを認証し、前記ユーザの認証に成功した場合には、前記ユーザに許可される作業が特定された権限情報を前記ノーマル領域に送信するステップと、
前記ノーマル領域において、前記ユーザの認証が成功した場合に前記ユーザに許可される機器に関する作業が特定された前記権限情報を前記セキュア領域から受信するステップと、
前記ノーマル領域において、ユーザアプリケーション監視処理部により、前記機器に関して前記ユーザが行おうとする作業が、前記ユーザの前記権限情報として特定された作業と一致しているか否かを照合し、一致しない場合には、前記ユーザが行おうとする作業を動作不能にするステップと、
前記セキュア領域において、前記ノーマル領域内で実行される前記ユーザアプリケーション監視処理部の処理内容が変更されていないことを前記ユーザの前記作業の稼働中に監視するステップと
を実行させるプログラムが提供される。 Further, according to still another feature of the present invention, between the normal area operating in the first operating system and the secure area operating in the second operating system having a higher security level than the first operating system. A program for managing access when multiple users work on a device over a network using communication.
On the computer
In the normal area, a step of transmitting the authentication information required for authentication received from the user via the network to the secure area, and
In the secure area, when the authentication information transmitted from the normal area is received, the user is authenticated based on the authentication information, and if the authentication of the user is successful, the user is permitted. The step of transmitting the authority information for which the work is specified to the normal area, and
In the normal area, a step of receiving the authority information from the secure area in which work related to a device permitted to the user when the user is successfully authenticated is specified.
In the normal area, the user application monitoring processing unit collates whether or not the work that the user intends to perform with respect to the device matches the work specified as the authority information of the user, and if they do not match. Is a step that disables the work that the user is trying to do,
In the secure area, a program for executing a step of monitoring that the processing content of the user application monitoring processing unit executed in the normal area has not been changed during the operation of the user is provided. ..

本発明によれば、IoT機器に対するリモートアクセスを許可し利便性を向上しつつ、セキュリティ性を保つことが可能となる。 According to the present invention, it is possible to maintain security while allowing remote access to an IoT device to improve convenience.

本発明の一実施形態に係るアクセス管理システム100の構成を示す図である。It is a figure which shows the structure of the access control system 100 which concerns on one Embodiment of this invention. 本発明の一実施形態であるアクセス管理システム100の動作フローの一例を示す図である。It is a figure which shows an example of the operation flow of the access management system 100 which is one Embodiment of this invention. ユーザ(業者)の認証処理の際にユーザアプリケーション監視処理モジュールと認証モジュールとの間で送受信されるデータの一例を示す図である。It is a figure which shows an example of the data which is sent and received between the user application monitoring processing module and the authentication module at the time of the user (contractor) authentication processing. セキュアデータメモリにおいて記憶されている認証情報と権限情報のデータ構造の一例を示す図である。It is a figure which shows an example of the data structure of the authentication information and authority information stored in a secure data memory. 図2のステップ200からステップ210の動作フローの詳細を示す図である。It is a figure which shows the detail of the operation flow of steps 200 to 210 of FIG.

[システムの構成]
図1は、本発明の一実施形態に係るアクセス管理システム100の構成を示すものである。 [System configuration]
FIG. 1 shows the configuration of the access management system 100 according to the embodiment of the present invention.

アクセス管理システム100は、ネットワーク1を介してユーザ(業者)が利用する外部端末装置200に接続されている。 The access management system 100 is connected to the external terminal device 200 used by the user (trader) via the network 1.

アクセス管理システム100 では、仮想化技術を実現するハイパーバイザー51によって、仮想的に分離された複数の実行環境が提供されている。図1では、二つの実行環境が図示されている。一の実行環境は、ノーマル領域10(ノーマル実行環境、ノーマルドメインとも称する)であり、他の実行環境は、セキュア領域30(セキュア実行環境、セキュアドメインとも称する) である。 In the access management system 100, a plurality of virtually separated execution environments are provided by the hypervisor 51 that realizes the virtualization technology. In FIG. 1, two execution environments are illustrated. One execution environment is a normal area 10 (also referred to as a normal execution environment or a normal domain), and the other execution environment is a secure area 30 (also referred to as a secure execution environment or a secure domain).

すなわち、ハイパーバイザー51 は、CPU50上で動作し、ノーマル領域10の仮想コンピュータ及びセキュア領域30の仮想コンピュータをアクセス管理システム100上で構築している。ノーマル領域10とセキュア領域30との間では、メモリ空間、入出力装置などが分離されている。 That is, the hypervisor 51 operates on the CPU 50, and the virtual computer in the normal area 10 and the virtual computer in the secure area 30 are constructed on the access management system 100. A memory space, an input / output device, and the like are separated between the normal area 10 and the secure area 30.

ノーマル領域10は、広く一般的に利用されているOSの実行環境であり、セキュア領域30へのアクセスが制限される以外、特段の機能制約がない実行環境である。 The normal area 10 is an execution environment of an OS that is widely and generally used, and is an execution environment that has no particular functional restrictions other than restricting access to the secure area 30.

セキュア領域30は、例えば、セキュリティ機能を隔離する目的で、1つのCPUを用いたシステム上でノーマル領域10とは別に提供される独立した実行環境である。セキュア領域30は、ノーマル領域10からのアクセスが制限されている。 The secure area 30 is, for example, an independent execution environment provided separately from the normal area 10 on a system using one CPU for the purpose of isolating the security function. Access to the secure area 30 from the normal area 10 is restricted.

上述のように、ノーマル領域10からセキュア領域30にはアクセスできないように制限されるので、ノーマル領域10からセキュア領域30で実行する処理を呼び出すためには、ハイパーバイザー51を経由することになる。 As described above, since the access to the secure area 30 is restricted from the normal area 10, the hypervisor 51 is used to call the process to be executed from the normal area 10 to the secure area 30.

[ノーマル領域10の構成]
ノーマル領域10には、ノーマルOS11、アプリケーション13、アプリケーション14及びユーザアプリケーション監視処理モジュール12が存在する。なお、図示していないが、これらを記憶する所定のメモリなども存在する。ユーザアプリケーション監視処理モジュール12は、ユーザがIoT機器に対して実行するアプリケーション13やアプリケーション14などのアプリケーションを監視する。ユーザアプリケーション監視処理モジュール12は、ROM等の不揮発性メモリに記憶されるものであり、その内容が改変されていないかをセキュア領域30から監視できるように構成される。 [Structure of normal area 10]
In the normal area 10, the normal OS 11, the application 13, the application 14, and the user application monitoring processing module 12 are present. Although not shown, there is also a predetermined memory for storing these. The user application monitoring processing module 12 monitors applications such as application 13 and application 14 that the user executes on the IoT device. The user application monitoring processing module 12 is stored in a non-volatile memory such as a ROM, and is configured to be able to monitor from the secure area 30 whether or not its contents have been modified.

アプリケーション13やアプリケーション14は、ユーザがIoT機器のリソースに対して実行するプロセスなどであり、例えば、ユーザが、IoT機器に関するファームウェアなどのリソースをアップデートするプロセスである。 The application 13 and the application 14 are processes that the user executes for the resources of the IoT device, for example, a process in which the user updates resources such as firmware related to the IoT device.

(ユーザアプリケーション監視処理モジュール12の構成)
ユーザアプリケーション監視処理モジュール12は、外部からのアクセス管理システム100に対する通信の全てを仲介する。すなわち、アクセス管理システム100において、ユーザアプリケーション監視処理モジュール12以外に接続するためのポートは基本的に閉じられている。 (Configuration of User Application Monitoring Processing Module 12)
The user application monitoring processing module 12 mediates all communication to the access management system 100 from the outside. That is, in the access management system 100, the port for connecting to other than the user application monitoring processing module 12 is basically closed.

ユーザアプリケーション監視処理モジュール12は、ユーザがノーマル領域10内のアプリケーション13やアプリケーション14等のアプリケーションを実行しようとする場合において、ユーザが実行しようとするアプリケーション13やアプリケーション14等のアプリケーションによって行われるプロセスやそのプロセスに利用されるリソースについて、そのユーザに権限があるか否かを監視する。 The user application monitoring processing module 12 is a process performed by an application such as application 13 or application 14 that the user intends to execute when the user intends to execute an application such as application 13 or application 14 in the normal area 10. Monitor whether the user has permission for the resources used by the process.

具体的には、ユーザアプリケーション監視処理モジュール12は、外部端末装置200のユーザインターフェースを介してリモートアクセスするユーザ(業者)により入力された認証情報を取得し、セキュア領域30側の認証モジュール32と通信し、ユーザ(業者)の認証要求を行う。認証に成功した場合には、そのユーザ(業者)がアクセス可能なリソースとそのリソースに対する作業として許可されるプロセスを示したホワイトリストを取得する。そして、認証時に取得したホワイトリストに基づいて、リソースへのアクセスを監視し、アクセス違反を検知した場合には、予め策定した動作として、警告、通信遮断、再起動などの動作を実行する。認証時に取得したホワイトリストに基づいて、リソースへのアクセスを監視し、アクセス違反を検知しない場合には、そのユーザ(業者)は実際に作業が行えるようになるが、この場合、ユーザ(業者)が行う作業として許可されるプロセスは、外部からのアクセス管理システム100に対する通信であるため、ユーザアプリケーション監視処理モジュール12が中継することにより実現される。 Specifically, the user application monitoring processing module 12 acquires the authentication information input by the user (trader) who remotely accesses through the user interface of the external terminal device 200, and communicates with the authentication module 32 on the secure area 30 side. Then, make an authentication request for the user (trader). If the authentication is successful, a whitelist is obtained that shows the resources that the user (trader) can access and the processes that are allowed to work on the resources. Then, based on the whitelist acquired at the time of authentication, access to the resource is monitored, and when an access violation is detected, actions such as warning, communication interruption, and restart are executed as predetermined actions. Based on the whitelist obtained at the time of authentication, access to the resource is monitored, and if no access violation is detected, the user (trader) can actually work. In this case, the user (trader) Since the process permitted as the work performed by is communication to the access management system 100 from the outside, it is realized by relaying by the user application monitoring processing module 12.

また、ユーザアプリケーション監視処理モジュール12は、ユーザアプリケーション監視処理モジュール12を介して送受信されたユーザ(業者)との通信内容の全てを証拠として保存するように構成してもよい。 Further, the user application monitoring processing module 12 may be configured to store all the communication contents with the user (trader) transmitted / received via the user application monitoring processing module 12 as evidence.

ノーマル領域10で実行されるユーザアプリケーション監視処理モジュール12 を用いることにより、通常のOSであるノーマルOS11 上で動作する従来のソフトウェア資産を活用することができる。しかしながら、ユーザアプリケーション監視処理モジュール12に脆弱性があると、認証機能をバイパスされることや、セキュリティ対策が回避されることがあり得てしまうため、起動時にソフトウェア署名を確認することや、メモリ上に展開されたユーザアプリケーション監視処理モジュール12の実行形式のデータを監視するなどの措置を講じるように構成される。 By using the user application monitoring processing module 12 executed in the normal area 10, it is possible to utilize the conventional software assets running on the normal OS 11 which is a normal OS. However, if the user application monitoring processing module 12 is vulnerable, the authentication function may be bypassed or security measures may be circumvented. Therefore, it is necessary to confirm the software signature at startup or in memory. It is configured to take measures such as monitoring the data of the executable format of the user application monitoring processing module 12 deployed in.

[セキュア領域30の構成]
セキュア領域30には、セキュアOS31、認証モジュール32、セキュアデータメモリ33及びノーマル領域監視処理モジュール36などが存在する。 [Configuration of secure area 30]
The secure area 30 includes a secure OS 31, an authentication module 32, a secure data memory 33, a normal area monitoring processing module 36, and the like.

セキュアデータメモリ33には、IoT機器にアクセスできるユーザ(業者)の情報として認証情報/権限情報34、35が格納されている。認証情報は、IDとパスワードの組合せなどの情報であり、権限情報は、そのユーザ(業者)がアクセスできるリソース及びプロセスを一覧化したホワイトリストである。また、セキュアデータメモリ33には、外部端末装置200のユーザインターフェースを介してユーザを認証するための認証情報に加えて鍵情報( 例えば、秘密鍵、共通鍵) を格納するようにしてもよい。 The secure data memory 33 stores authentication information / authority information 34, 35 as information of a user (trader) who can access the IoT device. The authentication information is information such as a combination of ID and password, and the authority information is a white list listing resources and processes that the user (trader) can access. Further, the secure data memory 33 may store key information (for example, a private key, a common key) in addition to the authentication information for authenticating the user via the user interface of the external terminal device 200.

セキュアOS31は、ノーマルOS11などの一般のOSよりアカウント管理機能・アクセス制御機能が厳密に設計されており、例えば、MAC(Mandatory Access Control)によりファイルやデバイスなどに対して強制的なアクセスをコントロールする。一般のOSでは、アクセス権限を与えられた利用者は、自ら管理できるアクセス対象に対して、アクセス権限を変更することができる。しかし、強制アクセスコントロールではセキュリティ管理者のみがアクセス権限を持っており、アクセス権限を与えられた利用者、システム管理者にはアクセス権限を変更することができないようになっている。アカウント管理については、工場等の施設のオーナーが最も大きな特権を持ち、他のユーザの追加や削除を実行できるようになっている。 The secure OS 31 has a stricter account management function and access control function than a general OS such as the normal OS 11. For example, a MAC (Mandatory Access Control) controls forced access to files and devices. .. In a general OS, a user who has been given access authority can change the access authority for an access target that can be managed by himself / herself. However, in forced access control, only the security administrator has the access authority, and the access authority cannot be changed by the user or system administrator who has the access authority. With regard to account management, the owner of a facility such as a factory has the greatest privilege and can add or delete other users.

(認証モジュール32の構成)
認証モジュール32は、ノーマル領域10内のユーザアプリケーション監視処理モジュール12からのユーザ(業者)の認証要求を受けて、セキュアデータメモリ33内の認証情報と照合し、認証に成功した場合、そのユーザ(業者)の権限情報をユーザアプリケーション監視処理モジュール12に返送する。 (Configuration of authentication module 32)
The authentication module 32 receives a user (trader) authentication request from the user application monitoring processing module 12 in the normal area 10, collates it with the authentication information in the secure data memory 33, and if the authentication is successful, the user (the user (trader)). The authority information of the vendor) is returned to the user application monitoring processing module 12.

具体的には、認証モジュール32は、例えば、外部端末装置200を介して入力されたユーザ(業者)の認証情報を受信したユーザアプリケーション監視処理モジュール12から当該認証情報を受信する。この場合、ユーザアプリケーション監視処理モジュール12は、認証情報を鍵( 例えば、公開鍵、共通鍵)で暗号化した情報(データ)を認証モジュール32に送信するように構成してもよい。 Specifically, the authentication module 32 receives the authentication information from the user application monitoring processing module 12 that has received the user (trader) authentication information input via the external terminal device 200, for example. In this case, the user application monitoring processing module 12 may be configured to transmit information (data) encrypted with a key (for example, a public key or a common key) to the authentication module 32.

認証モジュール32は、受信した情報を鍵( 例えば、秘密鍵) で復号してセッション鍵を取得することができる。認証モジュール32 は、取得した情報を所定の鍵(例えば、秘密鍵、共通鍵)で復号して認証情報を取得すると、取得した認証情報とセキュアデータメモリ33に格納した認証情報とを照合する。両方の認証情報が一致する場合、ユーザアプリケーション監視処理モジュール12から取得した認証情報は正当であると判定することができる。また、両方の認証情報が一致しない場合、ユーザアプリケーション監視処理モジュール12から取得した認証情報は正当でないと判定することができる。両方の認証情報が一致する場合、セキュアデータメモリ33に格納された各ユーザ(業者)に対応する権限情報34、35をユーザアプリケーション監視処理モジュール12に送信する。上記の構成により、各ユーザ(業者)を認証した上で各ユーザ(業者)に対応する権限情報を提供することになり、ネットワークから侵入するサイバー攻撃を防止することができる。 The authentication module 32 can obtain a session key by decrypting the received information with a key (for example, a private key). When the authentication module 32 decrypts the acquired information with a predetermined key (for example, a private key or a common key) to acquire the authentication information, the authentication module 32 collates the acquired authentication information with the authentication information stored in the secure data memory 33. When both authentication information match, it can be determined that the authentication information acquired from the user application monitoring processing module 12 is valid. If both authentication information do not match, it can be determined that the authentication information acquired from the user application monitoring processing module 12 is not valid. When both authentication information match, the authority information 34, 35 corresponding to each user (trader) stored in the secure data memory 33 is transmitted to the user application monitoring processing module 12. With the above configuration, after authenticating each user (trader), the authority information corresponding to each user (trader) is provided, and it is possible to prevent a cyber attack that invades from the network.

セキュア領域30で実行される認証モジュール32がユーザの認証を行うので、ノーマル領域10内に侵入したサイバー攻撃をセキュア領域30で阻止することができ、サイバー攻撃を抑制してセキュリティを向上することができる。 Since the authentication module 32 executed in the secure area 30 authenticates the user, the cyber attack that has invaded the normal area 10 can be stopped in the secure area 30, and the cyber attack can be suppressed to improve the security. it can.

(ノーマル領域監視処理モジュール36の構成)
上述の通り、ユーザアプリケーション監視処理モジュール12は、外部からのアクセス管理システム100に対する通信の全てを仲介するように構成されており、また、ユーザ(業者)の作業内容に対して権限を有するかどうかを監視するものである。したがって、その機能を考慮すると、ユーザアプリケーション監視処理モジュール12は、その処理内容が真正であることを保障することが必須である。 (Configuration of normal area monitoring processing module 36)
As described above, the user application monitoring processing module 12 is configured to mediate all communications to the access management system 100 from the outside, and whether or not it has authority over the work contents of the user (contractor). Is to monitor. Therefore, considering its function, it is essential that the user application monitoring processing module 12 guarantees that the processing content is authentic.

この点、ノーマル領域監視処理モジュール36は、メモリ上に展開されたユーザアプリケーション監視処理モジュール12の実行形式のデータを読み出して監視し、データの改ざんなどを検知した場合は、予め策定した動作として再起動などを実行する。ユーザアプリケーション監視処理モジュール12に対する当該監視は、ユーザ(業者)のログインからログアウトまでの任意のタイミングでのデータの改ざんを検知するために、少なくとも1回、望ましくは、ユーザ(業者)のログインからログアウトまでの時間等に応じて定期的に行うように構成できる。 In this regard, the normal area monitoring processing module 36 reads and monitors the data in the execution format of the user application monitoring processing module 12 expanded on the memory, and when it detects tampering with the data, it re-executes as a predetermined operation. Execute startup etc. The monitoring of the user application monitoring processing module 12 is performed at least once, preferably from the user (trader) login to logout, in order to detect data tampering at any time from the user (trader) login to logout. It can be configured to be performed regularly according to the time until.

ノーマル領域監視処理モジュール36は、セキュア領域30内に存在しており、ノーマル領域10内のメモリの読み出し権限を有するアプリケーションであることから、上述の通り、ユーザアプリケーション監視処理モジュール12の実行形式のデータを読み出すことができる。 Since the normal area monitoring processing module 36 exists in the secure area 30 and is an application having read authority of the memory in the normal area 10, as described above, the data in the execution format of the user application monitoring processing module 12 Can be read.

[動作フロー]
図2は、本発明の一実施形態であるアクセス管理システム100の動作フローの一例を示すものである。 [Operation flow]
FIG. 2 shows an example of the operation flow of the access management system 100 according to the embodiment of the present invention.

ステップ100では、ユーザ(業者)がネットワークを介して機器への作業等を行おうとする場合に、ユーザ(業者)は、外部端末装置200を介して機器へのログイン要求を行う。例えば、外部端末装置200のユーザインターフェースを介して、ユーザ(業者)は、ログイン要求を行うことができ、ユーザ(業者)により入力されたログイン要求のデータはユーザアプリケーション監視処理モジュール12に送信される。なお、ログイン要求のデータには、ユーザ(業者)がアクセスしようとする機器と当該機器に対する作業を指定することを含むように構成してもよい。 In step 100, when the user (trader) intends to work on the device via the network, the user (trader) requests to log in to the device via the external terminal device 200. For example, the user (trader) can make a login request via the user interface of the external terminal device 200, and the login request data input by the user (trader) is transmitted to the user application monitoring processing module 12. .. The login request data may be configured to include specifying the device to be accessed by the user (trader) and the work for the device.

ステップ105では、ノーマル領域監視処理モジュール36は、ユーザアプリケーション監視処理モジュール12の実行形式データの監視を開始する。この監視は、例えば、ユーザ(業者)のログイン要求を受けて開始され、ログアウトまで任意のタイミングで定期的に行われる。この監視により、後述するユーザ(業者)の認証処理、ユーザ(業者)の作業内容が権限を有するものであるかの監視処理、ユーザ(業者)の実際の作業等の中継処理などを行うユーザアプリケーション監視処理モジュール12の処理内容自体が改ざんされていないことを保障することができる。ユーザアプリケーション監視処理モジュール12の処理内容自体が権限のない第三者によって変更されていることが検知されれば、予め策定した動作として再起動などにより、ユーザアプリケーション監視処理モジュール12の動作を停止させて、ユーザ(業者)の作業を中断させることができるように構成される。 In step 105, the normal area monitoring processing module 36 starts monitoring the executable data of the user application monitoring processing module 12. This monitoring is started in response to a login request of a user (trader), for example, and is periodically performed at an arbitrary timing until log-out. By this monitoring, a user application that performs user (trader) authentication processing, which will be described later, monitoring processing of whether the user (trader)'s work content has authority, relay processing of the actual work of the user (trader), etc. It is possible to guarantee that the processing content itself of the monitoring processing module 12 has not been tampered with. If it is detected that the processing content of the user application monitoring processing module 12 itself has been changed by an unauthorized third party, the operation of the user application monitoring processing module 12 is stopped by restarting or the like as a predetermined operation. It is configured so that the work of the user (contractor) can be interrupted.

ステップ110では、ユーザアプリケーション監視処理モジュール12がユーザ(業者)のログイン要求を受信し、外部端末装置200を介してユーザ(業者)に対して認証情報を要求する。 In step 110, the user application monitoring processing module 12 receives the login request of the user (trader) and requests the user (trader) for authentication information via the external terminal device 200.

ステップ120では、外部端末装置200を介してユーザ(業者)に対して認証情報を入力するように促し、ユーザ(業者)に認証情報を入力させる。 In step 120, the user (trader) is urged to input the authentication information via the external terminal device 200, and the user (trader) is made to input the authentication information.

ステップ130では、ユーザアプリケーション監視処理モジュール12は、ユーザ(業者)によって入力された認証情報を受信すると、認証モジュール32に対して認証要求を行う。この場合において、ユーザアプリケーション監視処理モジュール12から認証モジュール32への認証要求信号の送信は、ノーマル領域10からセキュア領域30へのアクセスになるため、ハイパーバイザー51を経由して行われる。また、ユーザアプリケーション監視処理モジュール12は、認証情報を鍵( 例えば、公開鍵、共通鍵)で暗号化した情報(データ)を認証モジュール32に送信するように構成してもよい。 In step 130, when the user application monitoring processing module 12 receives the authentication information input by the user (trader), the user application monitoring processing module 12 makes an authentication request to the authentication module 32. In this case, the transmission of the authentication request signal from the user application monitoring processing module 12 to the authentication module 32 is performed via the hypervisor 51 because the access is from the normal area 10 to the secure area 30. Further, the user application monitoring processing module 12 may be configured to transmit information (data) encrypted with a key (for example, a public key or a common key) to the authentication module 32.

ステップ140では、認証モジュール32が認証要求信号を受信すると、受信した認証情報をセキュアデータメモリ33内の認証情報と照合する。認証モジュール32は、受信した情報を鍵( 例えば、秘密鍵)で復号してセッション鍵を取得することができる。この場合、認証モジュール32 は、取得した情報を所定の鍵( 例えば、秘密鍵、共通鍵) で復号して認証情報を取得すると、取得した認証情報とセキュアデータメモリ33に格納した認証情報とを照合する。 In step 140, when the authentication module 32 receives the authentication request signal, the received authentication information is collated with the authentication information in the secure data memory 33. The authentication module 32 can obtain a session key by decrypting the received information with a key (for example, a private key). In this case, when the authentication module 32 decrypts the acquired information with a predetermined key (for example, a private key or a common key) and acquires the authentication information, the acquired authentication information and the authentication information stored in the secure data memory 33 are combined. Match.

ステップ150では、取得した認証情報とセキュアデータメモリ33に格納した認証情報が一致する場合、ユーザアプリケーション監視処理モジュール12から取得した認証情報は正当であると判定する(図面のOKの場合に相当)。また、両者の認証情報が一致しない場合、ユーザアプリケーション監視処理モジュール12から取得した認証情報は正当でないと判定する信号をユーザアプリケーション監視処理モジュール12に送信する(図面のNGの場合に相当)。 In step 150, if the acquired authentication information and the authentication information stored in the secure data memory 33 match, it is determined that the authentication information acquired from the user application monitoring processing module 12 is valid (corresponding to the case where the drawing is OK). .. If the authentication information of both does not match, a signal for determining that the authentication information acquired from the user application monitoring processing module 12 is not valid is transmitted to the user application monitoring processing module 12 (corresponding to the case of NG in the drawing).

ステップ160では、取得した認証情報とセキュアデータメモリ33に格納した認証情報が一致する場合に、セキュアデータメモリ33に格納した権限情報を参照する。 In step 160, when the acquired authentication information and the authentication information stored in the secure data memory 33 match, the authority information stored in the secure data memory 33 is referred to.

ステップ170では、ユーザアプリケーション監視処理モジュール12から取得した認証情報は正当でないと判定する場合に、ユーザアプリケーション監視処理モジュール12は、外部端末装置200に対して認証が失敗した旨の信号を送信する。 In step 170, when it is determined that the authentication information acquired from the user application monitoring processing module 12 is not valid, the user application monitoring processing module 12 transmits a signal to the external terminal device 200 that the authentication has failed.

ステップ180では、ユーザアプリケーション監視処理モジュール12から取得した認証情報は正当であると判定する場合に、セキュアデータメモリ33に格納された各ユーザに対応する権限情報をユーザアプリケーション監視処理モジュール12に返送する。なお、権限情報は、そのユーザ(業者)に許可される作業として、プロセス及び当該プロセスに利用されるリソースが紐づけられた情報について、ユーザ(業者)毎に一覧化したホワイトリストである。 In step 180, when it is determined that the authentication information acquired from the user application monitoring processing module 12 is valid, the authority information corresponding to each user stored in the secure data memory 33 is returned to the user application monitoring processing module 12. .. The authority information is a white list for each user (trader) about information associated with a process and resources used in the process as work permitted to the user (trader).

ステップ190では、ユーザアプリケーション監視処理モジュール12は、ユーザ(業者)、リソース及びプロセスの組み合わせをユーザ(業者)毎に一覧化したホワイトリストである権限情報を取得する。 In step 190, the user application monitoring processing module 12 acquires authority information which is a white list listing combinations of users (traders), resources, and processes for each user (trader).

ステップ200では、ユーザ(業者)が行おうとする作業について、そのユーザ(業者)に対して権限として与えられているリソース及びプロセスであるかどうかをホワイトリストに基づいて監視する処理を開始する。ステップ200は、後述する通り、ログインした各ユーザに対してリソース毎及びプロセス毎に行われる。 In step 200, the process of monitoring the work that the user (trader) intends to perform is started based on the whitelist whether or not the resources and processes are authorized to the user (trader). Step 200 is performed for each resource and each process for each logged-in user, as will be described later.

ユーザ(業者)が行おうとする作業について、リソース及びプロセスは、具体的には、以下の通りである。すなわち、例えば、「ユーザ(業者)」がカメラ自体の保守を委託するカメラメーカなどの業者である場合には、「リソース」とは、例えば、カメラのファームウェアやメーカ独自のアプリケーション等であり、「プロセス」とは、例えば、アップデートなどの処理に相当する。また、例えば、「ユーザ(業者)」が工場内への侵入者監視などの警備業務を委託する警備会社などの業者である場合には、「リソース」とは、例えば、カメラによって取得した映像データ等であり、「プロセス」とは、例えば、映像データを読み出すなどのアクセスに相当する。 Specifically, the resources and processes for the work that the user (trader) intends to perform are as follows. That is, for example, when the "user (contractor)" is a contractor such as a camera manufacturer that outsources the maintenance of the camera itself, the "resource" is, for example, the firmware of the camera, the application unique to the manufacturer, or the like. The "process" corresponds to, for example, a process such as an update. Further, for example, when the "user (contractor)" is a contractor such as a security company that outsources security operations such as monitoring intruders into the factory, the "resource" is, for example, video data acquired by a camera. And so on, the "process" corresponds to, for example, an access such as reading video data.

ここで、図3は、ユーザ(業者)の認証処理の際にユーザアプリケーション監視処理モジュール12と認証モジュール32との間で送受信されるデータの一例を示している。図3(a)は、上記のステップ130において、ユーザ(業者)による認証要求時にユーザアプリケーション監視処理モジュール12からハイパーバイザー51を介して認証モジュール32に送付されるデータの一例を示している。図3(b)は、上記のステップ180において、認証モジュール32からユーザアプリケーション監視処理モジュール12に送付されるデータの一例を示している。 Here, FIG. 3 shows an example of data transmitted and received between the user application monitoring processing module 12 and the authentication module 32 during the authentication processing of the user (trader). FIG. 3A shows an example of data sent from the user application monitoring processing module 12 to the authentication module 32 via the hypervisor 51 when an authentication request is made by the user (trader) in the above step 130. FIG. 3B shows an example of the data sent from the authentication module 32 to the user application monitoring processing module 12 in the above step 180.

また、図4は、セキュアデータメモリ33において事前に記憶されている認証情報と権限情報のデータ構造の一例を示している。図4(a)は、認証情報として、ユーザIDと対応するパスワードが登録されている様子を示している。図4(b)は、権限情報として、ユーザに許可されるプロセス、リソース及びアクセス条件が紐づけられて登録されている様子が示されている。上記のステップ140では、図3(a)の認証要求時に送付されたユーザIDとパスワードが、図4(a)の登録済のユーザIDとパスワードと一致しているか否かを照合する。上記のステップ160では、図3(a)の認証されたユーザ(業者)に対応する権限情報として、図4(b)の登録済の許可プロセス、許可リソース及びアクセス条件を読み出して参照する。すなわち、この例では、ユーザID「0123456」に対する権限情報として、許可プロセス「updater」、許可リソース「firmware」及びアクセス条件「書き込み可能」、並びに、許可プロセス「updater」、許可リソース「application01」及びアクセス条件「書き込み可能」を参照する。その後、上記のステップ180では、図4(b)を参照して、ユーザID「0123456」に対する権限情報として、許可プロセス「updater」、許可リソース「firmware」及びアクセス条件「書き込み可能」、並びに、許可プロセス「updater」、許可リソース「application01」及びアクセス条件「書き込み可能」を返送する。 Further, FIG. 4 shows an example of the data structure of the authentication information and the authority information stored in advance in the secure data memory 33. FIG. 4A shows a state in which a password corresponding to a user ID is registered as authentication information. FIG. 4B shows how the processes, resources, and access conditions permitted to the user are linked and registered as the authority information. In step 140 described above, it is collated whether or not the user ID and password sent at the time of the authentication request in FIG. 3A match the registered user ID and password in FIG. 4A. In step 160 above, the registered authorization process, authorization resource, and access condition of FIG. 4B are read and referred to as the authority information corresponding to the authenticated user (trader) of FIG. 3A. That is, in this example, as the authority information for the user ID "0123456", the authorization process "updater", the authorization resource "firmware" and the access condition "writable", and the authorization process "updater", the authorization resource "application01" and the access Refer to the condition "Writable". After that, in step 180 described above, with reference to FIG. 4B, the permission process “updater”, the permission resource “firmware”, the access condition “writable”, and the permission are used as the authority information for the user ID “0123456”. Returns the process "updater", the authorized resource "application01" and the access condition "writable".

ステップ200の監視する処理の開始後において、ユーザ(業者)が行おうとする作業について、ユーザ(業者)と、当該ユーザ(業者)に対して権限として与えられているプロセスと、当該プロセスに利用されるリソースがホワイトリストに存在する場合には、そのユーザ(業者)は、当該リソースに対する当該プロセスを行う作業の実行が許可される状況になる。したがって、ステップ210では、そのユーザ(業者)に対して実際に許可された作業が行えるように作業の操作受付開始を通知する。操作受付開始の通知として、ユーザ(業者)とプロセスとリソースが紐づけられたセットの情報が外部端末装置200に送信されるように構成してもよい。一方、当該ユーザ(業者)に対して権限として与えられているプロセスと、当該プロセスに利用されるリソースがホワイトリストに存在しない場合には、当該プロセスを停止するなどに当該プロセスを動作不能にする。 After the start of the monitoring process in step 200, the work to be performed by the user (contractor) is used by the user (contractor), the process authorized to the user (contractor), and the process. If a resource is on the whitelist, the user (trader) is allowed to perform the work of performing the process on the resource. Therefore, in step 210, the user (contractor) is notified of the start of operation acceptance of the work so that the actually permitted work can be performed. As a notification of the start of operation acceptance, the information of the set in which the user (trader), the process, and the resource are linked may be transmitted to the external terminal device 200. On the other hand, if the process given as authority to the user (trader) and the resources used by the process do not exist in the whitelist, the process is disabled by stopping the process. ..

なお、ステップ200からステップ210におけるユーザ(業者)毎のリソース及びプロセスを監視する処理の詳細は後述する。 The details of the process of monitoring resources and processes for each user (trader) in steps 200 to 210 will be described later.

ステップ220では、外部端末装置200において、ユーザ(業者)は、当該ユーザ(業者)に許可された作業についてリソースに対するプロセスを実際に開始する指示を行うことができる。 In step 220, in the external terminal device 200, the user (trader) can instruct the user (trader) to actually start a process for the resource for the work permitted.

ステップ220での開始指示を受けて、ユーザ(業者)に対して許可された作業として所定のリソースに対して所定のプロセスが行われることになる。ステップ230では、当該プロセスは、ユーザアプリケーション監視処理モジュール12を介して行われ、ユーザアプリケーション監視処理モジュール12は、ユーザ(業者)が行おうとする作業に関するログ情報の全てを保存すると共に、当該作業に関してノーマル領域10内に記憶されるアプリケーションに対して当該作業が実行可能である旨を通知する。 In response to the start instruction in step 220, a predetermined process is performed on a predetermined resource as a work permitted to the user (contractor). In step 230, the process is performed via the user application monitoring processing module 12, which stores all log information about the work that the user (trader) intends to perform, and also regarding the work. Notify the application stored in the normal area 10 that the work can be executed.

ステップ300では、ノーマル領域10内に記憶される当該作業に関係するアプリケーションが応答し、実際に作業を行うことが可能となる。 In step 300, the application related to the work stored in the normal area 10 responds, and the work can be actually performed.

[ステップ200及びステップ210(リソース監視及び操作受付開始処理)の詳細]
図5は、図2のステップ200からステップ210の処理の詳細を示している。図5の各ステップは、ユーザアプリケーション監視処理モジュール12の内部処理である。 [Details of Step 200 and Step 210 (Resource Monitoring and Operation Acceptance Start Processing)]
FIG. 5 shows the details of the processes of steps 200 to 210 of FIG. Each step in FIG. 5 is an internal process of the user application monitoring process module 12.

ここでは、図4(b)に示されるように、既に、ユーザ(業者)である「0123456」及び「1234567」と各ユーザ(業者)に対するホワイトリストが登録されている状況において、これらユーザ(業者)が行おうとしている作業が権限を有するものであるか否かを監視するフローを説明する。すなわち、具体的には、ユーザ(業者)である「0123456」が、リソースである「firmware(ファームウェア)」に対するプロセスとして「updater(データ更新)」を行うと共に、リソースである「application01(アプリケーション01)」に対するプロセスとして「updater(データ更新)」を行う場合の監視を行い、また、ユーザ(業者)である「1234567」が、リソースである「camera(カメラ)」に対するプロセス「camera_viewer(カメラの映像データへのアクセス)」を行う場合の監視を行う。 Here, as shown in FIG. 4B, in a situation where the users (traders) "0123456" and "1234567" and the whitelist for each user (trader) are already registered, these users (traders) ) Explains the flow of monitoring whether or not the work to be performed is authorized. That is, specifically, the user (trader) "0123456" performs "updater (data update)" as a process for the resource "firmware", and the resource "application01 (application 01)". Monitors when performing "updater (data update)" as a process for "", and the user (trader) "1234567" is the process "camera_viewer (camera video data)" for the resource "camera". (Access to) ”is performed.

まず、ステップ10では、ログイン中のユーザ(業者)の一覧を取得する。この例では、ユーザ(業者)として、「0123456」及び「01234567」を取得する。 First, in step 10, a list of logged-in users (traders) is acquired. In this example, "0123456" and "01234567" are acquired as users (traders).

ステップ12では、ユーザの一人が特定される。この例では、まず、最初のユーザとして、「0123456」が特定される。 In step 12, one of the users is identified. In this example, first, "0123456" is specified as the first user.

ステップ14では、ステップ12で特定されたユーザが作業として稼働させる予定のプロセス(他のユーザの操作等により既に稼働している場合には稼働中のプロセス)の一覧を取得する。この例では、ユーザ「0123456」に対して稼働予定のプロセスとして、「updater(データ更新)」を取得する。 In step 14, a list of processes (processes that are already running if they are already running due to an operation of another user or the like) that the user specified in step 12 is scheduled to run as work is acquired. In this example, "updater (data update)" is acquired for the user "0123456" as a process scheduled to be operated.

ステップ16では、ステップ14で取得したプロセスの一覧のうち、1つのプロセスが特定される。この例では、ユーザ「0123456」に対するプロセスは、「updater(データ更新)」だけであり、プロセスとして「updater(データ更新)」が特定され、ステップ18に進む。 In step 16, one process is specified from the list of processes acquired in step 14. In this example, the process for the user "0123456" is only "updater (data update)", and "updater (data update)" is specified as the process, and the process proceeds to step 18.

ステップ18では、ステップ16で特定された1つのプロセスに対して使用中のリソースの一覧を取得する。この例では、ユーザ「0123456」のプロセス「updater(データ更新)」に対して使用予定(使用中)のリソースとして、「firmware(ファームウェア)」及び「application01(アプリケーション01)」を一覧として取得する。 In step 18, a list of resources in use for one process identified in step 16 is acquired. In this example, "firmware" and "application01" are acquired as a list as resources to be used (in use) for the process "updater (data update)" of the user "0123456".

ステップ20では、ステップ18で取得したリソースのうち、1つのリソースが特定される。この例では、最初のリソースとして、「firmware(ファームウェア)」が特定される。 In step 20, one of the resources acquired in step 18 is specified. In this example, "firmware" is identified as the first resource.

ステップ22では、ステップ12、ステップ16及びステップ20により特定された一人のユーザ、当該ユーザが行うプロセス、当該プロセスに使用するリソースの組み合わせが、図2のステップ190で取得した権限情報に示されるユーザ(業者)がアクセスできるリソース及びプロセスの一覧に存在するか否かが判別される。当該組み合わせが一覧に存在しない場合には、ステップ24に進み、当該組み合わせが一覧に存在する場合には、ステップ26に進む。 In step 22, the combination of one user identified by step 12, step 16 and step 20, the process performed by the user, and the resources used for the process is shown in the authority information acquired in step 190 of FIG. It is determined whether or not it exists in the list of resources and processes that the (trader) can access. If the combination is not in the list, the process proceeds to step 24, and if the combination is present in the list, the process proceeds to step 26.

ステップ24では、ステップ22において当該組み合わせが一覧に存在しない場合に、該当プロセスを停止するなど既定の動作を実行する。これにより、ログイン中のユーザ(業者)が行おうとする作業に権限がない場合には、当該作業を行わせないようにすることができる。 In step 24, when the combination does not exist in the list in step 22, a default operation such as stopping the corresponding process is executed. As a result, if the logged-in user (trader) is not authorized to perform the work, the work can be prevented from being performed.

ステップ26では、ステップ22において当該組み合わせが一覧に存在する場合に、当該組み合わせについては実際の作業を行うことを可能にすべく、ステップ26、28、30及び32と進む。加えて、他にリソースがあればステップ20に戻る処理を行う。 In step 26, when the combination is present in the list in step 22, the process proceeds to steps 26, 28, 30 and 32 so that the actual work can be performed on the combination. In addition, if there are other resources, the process of returning to step 20 is performed.

ステップ22からステップ26に関して、この例では、ユーザ「0123456」、プロセス「updater」、リソース「firmware」の組み合わせは、図4(b)に示される通り、ホワイトリストとして一覧に存在していることから、ステップ26に進むことになる。ステップ26では、次のリソースとして「application01」が存在するので、ステップ20に戻ることになる。ステップ20に戻ると、リソースとして「application01」が特定され、ステップ22に進む。ステップ22では、ユーザ「0123456」、プロセス「updater」、リソース「application01」の組み合わせが、図4(b)に示される通り、ホワイトリストとして一覧に存在していることから、当該組み合わせに関する実際の作業を行うことを可能にすべく、ステップ26、28、30及び32と進む。この例では、ステップ26では、更なるリソースが存在しないため、ステップ16に戻ることはない。 Regarding steps 22 to 26, in this example, the combination of the user "0123456", the process "updater", and the resource "firmware" is listed as a whitelist as shown in FIG. 4B. , Step 26 will be taken. In step 26, since “application01” exists as the next resource, the process returns to step 20. Returning to step 20, "application01" is specified as a resource, and the process proceeds to step 22. In step 22, since the combination of the user “0123456”, the process “updater”, and the resource “application01” is listed as a white list as shown in FIG. 4 (b), the actual work related to the combination is performed. Steps 26, 28, 30 and 32 to make it possible to do this. In this example, step 26 does not return to step 16 because there are no more resources.

ステップ28では、更に他のプロセスが存在すればステップ16に戻る処理を行い、これと並行してステップ30に進む。この例では、ユーザ「0123456」に対して更なるプロセスは存在しないため、ステップ16に戻ることはない。 In step 28, if there is another process, the process returns to step 16, and in parallel with this, the process proceeds to step 30. In this example, there is no further process for user "0123456", so there is no return to step 16.

ステップ30では、更に他のユーザ(業者)が存在すればステップ12に戻り、他のユーザ(業者)が存在しなければステップ32に進む。この例では、他のユーザ(業者)として、ユーザ「1234567」が存在するので、ステップ12に戻る。ステップ12からステップ20において、ユーザ「1234567」、プロセス「camera_viewer」、リソース「camera」の組み合わせが特定される。ステップ22では、当該組み合わせは、図4(b)に示される通り、ホワイトリストとして一覧に存在していることから、当該組み合わせについては実際の作業を行うことを可能にすべく、ステップ26、28、30及び32に進むことになる。ユーザ「1234567」については、他のリソースも他のプロセスも存在しないことから、ステップ26からステップ20に戻ることや、ステップ28からステップ16に戻ることはない。ステップ30において、この例では、他のユーザ(業者)も存在しないことから、ステップ12に戻ることはなく、ステップ32に進むだけになる。 In step 30, if there is another user (trader), the process returns to step 12, and if there is no other user (trader), the process proceeds to step 32. In this example, since the user "1234567" exists as another user (trader), the process returns to step 12. In steps 12 to 20, the combination of the user "12345467", the process "camera_viewer", and the resource "camera" is specified. In step 22, since the combination is listed as a white list as shown in FIG. 4 (b), steps 26 and 28 are made so that the actual work can be performed on the combination. , 30 and 32. As for the user "1234567", since there are no other resources or other processes, the user does not return from step 26 to step 20 or from step 28 to step 16. In step 30, in this example, since there is no other user (trader), the process does not return to step 12, but only proceeds to step 32.

ステップ32では、ステップ22で順次ホワイトリストに存在することが認められたユーザ、当該ユーザが行うプロセス、当該プロセスに使用するリソースの組み合わせについて、それぞれのユーザに対して実際に作業が行えるように順次作業の操作受付開始を通知する。また、新たなユーザがログインしてくるまで一時待機すると共に、新たなユーザのログインされた場合には、ステップ10に戻る。 In step 32, the user who is sequentially recognized as being on the whitelist in step 22, the process performed by the user, and the combination of resources used in the process are sequentially subjected to work for each user. Notify the start of accepting work operations. Further, it temporarily waits until a new user logs in, and when the new user logs in, the process returns to step 10.

上述の通り、上記のステップ10からステップ32によれば、最初に、ユーザ(業者)である「0123456」が、リソース「firmware」に対するプロセス「updater」を行う場合の監視を行い、次に、ユーザ(業者)である「0123456」が、リソース「application01」に対するプロセス「updater」を行う場合の監視を行い、次に、ユーザ(業者)である「1234567」が、リソース「camera」に対するプロセス「camera_viewer」を行う場合の監視を行う処理を実現することが可能となる。各ユーザが機器に対して行おうとしている各作業に関して、ユーザ、プロセス及びリソースのそれぞれの組み合わせに対する権限が存在するかどうかを順次監視することにより、各ユーザ(業者)が、事前に登録された作業以外を実行できないように機器内のリソースへのアクセスを確実に制限することができる。 As described above, according to the above steps 10 to 32, first, the user (trader) "0123456" monitors the case where the process "updater" is performed on the resource "firmware", and then the user. Monitoring when the (trader) "0123456" performs the process "updater" for the resource "application01", then the user (trader) "1234567" performs the process "camera_viewer" for the resource "camera". It is possible to realize the process of monitoring when performing. Each user (trader) was pre-registered by sequentially monitoring whether each user, process, and resource combination had authority for each task that each user was trying to perform on the device. Access to resources within the device can be reliably restricted so that only work can be performed.

このように、図2のステップ200及びステップ210(リソース監視及び操作受付開始処理)について、図5の詳細フローにより、各ユーザ(業者)が機器に対して行おうとしている各作業に権限があると認められる場合には、図2のステップ210からステップ220、ステップ230、及びステップ300を経て、各ユーザは機器への各作業を実際に行うことができる。 As described above, with respect to step 200 and step 210 (resource monitoring and operation acceptance start processing) of FIG. 2, each user (contractor) has authority for each work to be performed on the device according to the detailed flow of FIG. If it is recognized that, each user can actually perform each work on the device through steps 210 to 220, 230, and 300 in FIG.

また、上述の通り、図5のステップ10からステップ32のユーザアプリケーション監視処理モジュール12による監視処理により、各ユーザ(業者)が、事前に登録された作業以外を実行できないように機器に関するリソースへのアクセスを確実に制限することができるが、図2のステップ105により、このユーザアプリケーション監視処理モジュール12による監視処理自体を更に監視するように構成されている。セキュア領域30は、高いセキュリティレベルを維持するために機能を最小限化して設計されており、ユーザアプリケーション監視処理モジュール12は、セキュア領域30ではなく、ノーマル領域10に存在するものである。すなわち、ユーザアプリケーション監視処理モジュール12の監視処理は、ノーマル領域10で行われるものであり、セキュリティレベルは十分ではないところ、本発明は、この監視処理の内容に対して改ざんがないかをセキュア領域30から更に監視するシステムを採用することにより、セキュリティレベルを向上させるものである。 Further, as described above, by the monitoring process by the user application monitoring processing module 12 in steps 10 to 32 of FIG. 5, each user (contractor) can perform the work other than the pre-registered work to the resource related to the device. Although access can be reliably restricted, the monitoring process itself by the user application monitoring processing module 12 is further monitored by step 105 of FIG. The secure area 30 is designed with the functions minimized in order to maintain a high security level, and the user application monitoring processing module 12 exists in the normal area 10 instead of the secure area 30. That is, the monitoring process of the user application monitoring process module 12 is performed in the normal area 10, and the security level is not sufficient. However, the present invention determines whether the content of the monitoring process has been tampered with in the secure area. The security level is improved by adopting a system for further monitoring from 30.

本発明に係るアクセス管理システムにおける処理は、一般的なコンピュータ端末及びその周辺機器、そして、このコンピュータ端末上で実行されるコンピュータプログラムを用いて実現可能である。本システムの中心的な役割を果たすのは、コンピュータプログラムから成るアクセス管理に係るソフトウェアの部分である。本ソフトウェアは、ノーマル領域10及びセキュア領域30における処理について機能ごとに別個のものとしてもよいが、その場合、上記の動作フローの各処理に対応して、各ソフトウェアは互いに協働するように構成される。 The processing in the access control system according to the present invention can be realized by using a general computer terminal and its peripheral devices, and a computer program executed on the computer terminal. The central role of this system is the software part related to access control consisting of computer programs. The software may be separate for each function regarding the processing in the normal area 10 and the secure area 30, but in that case, the software is configured to cooperate with each other in response to each processing in the above operation flow. Will be done.

また、上記の例はユーザ(業者)が2者である場合の監視について説明したが、3者以上の場合等にも適用可能である。例えば、監視カメラ(IPカメラ)に対して、3つの業者として、カメラメーカ(業者1)、警備会社(業者2)及び稼働状況監視業者(業者3)にリモートアクセスを許可する場合も想定可能である。この場合、カメラメーカ(業者1)は、カメラ自体の保守を委託されており、カメラのファームウェアやメーカ独自のアプリケーションのアップデートなどの作業が許可され得る。警備会社(業者2)は、工場内への侵入者監視などの警備業務を委託されており、カメラの取得した映像データへのアクセスによる監視などの作業が許可され得る。稼働状況監視業者(業者3)は、カメラが正常に動作しているかを監視する業務を委託されており、ネットワークの状態、プロセスの状態を確認する作業が許可され得る。 Further, although the above example has described monitoring when there are two users (traders), it can also be applied to cases where there are three or more users. For example, it is possible to assume that the surveillance camera (IP camera) is allowed remote access to the camera manufacturer (contractor 1), the security company (contractor 2), and the operation status monitoring contractor (contractor 3) as three vendors. is there. In this case, the camera maker (contractor 1) is entrusted with the maintenance of the camera itself, and work such as updating the camera firmware and the maker's own application may be permitted. The security company (contractor 2) is entrusted with security operations such as monitoring intruders into the factory, and operations such as monitoring by accessing the video data acquired by the camera may be permitted. The operation status monitoring contractor (contractor 3) is entrusted with the work of monitoring whether the camera is operating normally, and the work of checking the network status and the process status may be permitted.

以上のように、本発明に係る工場内のIoT機器のアクセス管理の実施の一形態及び実施例について説明してきたが、本発明は、上記の実施例に限定されるものではなく、これに種々の変更を加え得るものであり、例えば、集合住宅等に設置されるIoT機器のアクセス管理などに適応可能であることは容易に理解される。そして、それらが特許請求の範囲の各請求項に記載した事項、及びそれと均等な事項の範囲内にある限り、当然に本発明の技術的範囲に含まれる。上記の実施例は、監視カメラに対する特定の作業に関する場合のアクセス管理についてのものであったが、これはあくまでも一例であり、本発明がこの特定の具体例に限定されるものではない。 As described above, an embodiment and an embodiment of access control of the IoT device in the factory according to the present invention have been described, but the present invention is not limited to the above-mentioned embodiment, and various examples thereof. It is easily understood that the above can be changed and, for example, it can be applied to access control of IoT devices installed in apartment houses and the like. And, as long as they are within the scope of the matters stated in each claim of the claims and the matters equivalent thereto, they are naturally included in the technical scope of the present invention. The above embodiment has been made for access control in the case of a specific work for a surveillance camera, but this is only an example, and the present invention is not limited to this specific specific example.

本発明は、IoT機器に対するリモートアクセスを監視するために利用することが可能である。 The present invention can be used to monitor remote access to IoT devices.

1 ネットワーク
10 ノーマル領域
11 ノーマルOS
12 ユーザアプリケーション監視処理モジュール
13 14 アプリケーション
30 セキュア領域
31 セキュアOS
32 認証モジュール
33 セキュアデータ
34 35 認証情報/権限情報
36 ノーマル領域監視処理モジュール
50 CPU
51 ハイパーバイザー
200 ユーザ(業者)外部端末 1 network 10 normal area 11 normal OS
12 User application monitoring processing module 13 14 Application 30 Secure area 31 Secure OS
32 Authentication module 33 Secure data 34 35 Authentication information / authority information 36 Normal area monitoring processing module 50 CPU
51 Hypervisor 200 User (trader) External terminal

Claims (7)

複数のユーザがネットワークを介して機器に関して作業を行う際のアクセス管理システムであって、
第1のオペレーティングシステムで動作するノーマル領域と、
前記第1のオペレーティングシステムよりセキュリティレベルの高い第2のオペレーティングシステムで動作するセキュア領域と、
前記ノーマル領域と前記セキュア領域の間での通信を可能にするハイパーバイザーとを備え、
前記ノーマル領域は、
ネットワークを介してユーザから受信した認証に必要な認証情報を前記セキュア領域に送信すると共に、前記セキュア領域内において前記ユーザの認証が成功した場合に前記ユーザに許可される機器に関する作業が特定された権限情報を前記セキュア領域から受信し、前記機器に関して前記ユーザが行おうとする作業が、前記ユーザの前記権限情報として特定された作業と一致しているか否かを照合し、一致しない場合には、前記ユーザが行おうとする作業を動作不能にする処理を実行するユーザアプリケーション監視処理部を有し、
前記セキュア領域は、
前記ノーマル領域から送信された前記認証情報を受信したときに、前記認証情報に基づいて前記ユーザを認証し、前記ユーザの認証に成功した場合には、前記ユーザに許可される作業が特定された前記権限情報を前記ノーマル領域に送信する認証処理部と、
前記ノーマル領域内で実行される前記ユーザアプリケーション監視処理部の処理内容が変更されていないことを前記ユーザの作業の稼働中に監視するノーマル領域監視処理部とを有する、
システム。 An access management system for multiple users to work on devices over a network.
The normal area that runs on the first operating system,
A secure area that operates in a second operating system with a higher security level than the first operating system,
It is equipped with a hypervisor that enables communication between the normal area and the secure area.
The normal region is
The authentication information required for authentication received from the user via the network is transmitted to the secure area, and the work related to the device permitted to the user when the authentication of the user is successful in the secure area is specified. The authority information is received from the secure area, and it is collated whether or not the work that the user intends to perform with respect to the device matches the work specified as the authority information of the user, and if they do not match, it is checked. It has a user application monitoring processing unit that executes processing that disables the work that the user intends to perform.
The secure area is
When the authentication information transmitted from the normal area is received, the user is authenticated based on the authentication information, and when the authentication of the user is successful, the work permitted to the user is specified. An authentication processing unit that transmits the authority information to the normal area,
It has a normal area monitoring processing unit that monitors that the processing content of the user application monitoring processing unit executed in the normal area has not been changed during the operation of the user's work.
system. 前記ノーマル領域監視処理部は、前記ノーマル領域内のメモリ領域に記憶された前記ユーザアプリケーション監視処理部の情報を定期的に読み出し、前記ユーザアプリケーション監視処理部の前記情報が変更されている場合には前記作業を実行不能にする、請求項1に記載のシステム。 The normal area monitoring processing unit periodically reads out the information of the user application monitoring processing unit stored in the memory area in the normal area, and when the information of the user application monitoring processing unit is changed, the information is changed. The system according to claim 1, which makes the work infeasible. 前記認証処理部は、
前記ノーマル領域から送信された前記認証情報を受信したときに、前記認証情報に基づいてユーザを認証し、前記ユーザの認証に成功した場合には、前記ユーザに許可される前記作業としてプロセス及び前記プロセスに利用されるリソースが紐づけられた権限情報を前記ノーマル領域に送信し、
前記ユーザアプリケーション監視処理部は、
前記セキュア領域から前記ユーザの認証が成功した場合に、前記ユーザに許可される前記作業としてプロセス及び前記プロセスに利用されるリソースが紐づけられた権限情報を受信すると、前記機器に関して前記ユーザが行おうとするプロセスと前記プロセスに利用されるリソースが、前記ユーザの前記権限情報として紐づけられた前記プロセスと前記リソースと一致しているか否かを照合し、一致しない場合には、前記機器に関して前記ユーザが行おうとするプロセスを停止する処理を実行する、
請求項1又は2に記載のシステム。 The authentication processing unit
When the authentication information transmitted from the normal area is received, the user is authenticated based on the authentication information, and if the authentication of the user is successful, the process and the operation permitted to the user are described. The authority information associated with the resources used in the process is transmitted to the normal area, and
The user application monitoring processing unit
When the authentication of the user is successful from the secure area, when the authority information associated with the process and the resource used for the process is received as the work permitted to the user, the user performs a row regarding the device. It is checked whether or not the process to be attempted and the resource used for the process match the process associated with the authority information of the user and the resource, and if they do not match, the device is described. Performs a process to stop the process the user is trying to do,
The system according to claim 1 or 2. 前記ユーザアプリケーション監視処理部は、前記権限情報として、前記複数のユーザのユーザ毎に稼働中又は稼働予定のプロセスの一覧を取得し、プロセス毎に使用中又は使用予定のリソース一覧を取得し、各ユーザに対する各プロセス及び各リソースが、前記権限情報として紐づけられた前記プロセス及び前記リソースと一致しているか否かを照合する、請求項3に記載のシステム。 The user application monitoring processing unit acquires a list of processes in operation or scheduled to be operated for each user of the plurality of users as the authority information, and acquires a list of resources in use or scheduled to be used for each process. The system according to claim 3, wherein each process and each resource for the user collates whether or not the process and the resource associated with the authority information match. 前記機器に関して作業する前記複数のユーザが第1のユーザと第2のユーザを含む場合、前記権限情報は、第1の権限情報と第2の権限情報を含み、
前記第1の権限情報は、前記第1のユーザが、前記機器に関する作業として1又は複数のプロセスに使用する1又は複数のリソースに対する権限を有するように特定されており、
前記第2の権限情報は、前記第2のユーザが、前記機器に関する作業として1又は複数のプロセスに使用する1又は複数のリソースに対する権限を有するように特定されており、
前記ユーザアプリケーション監視処理部は、前記第1のユーザが行おうとする作業が、前記第1のユーザに許可される前記第1の権限情報に一致しているか否かを照合した後に、前記第2のユーザが行おうとしている作業が、前記第2のユーザに許可される前記第2の権限情報に一致しているか否かを照合するように構成される、
請求項4に記載のシステム。 When the plurality of users working on the device include a first user and a second user, the authority information includes a first authority information and a second authority information.
The first authority information is specified so that the first user has authority over one or more resources used for one or more processes as work related to the device.
The second authority information is specified so that the second user has authority over one or more resources used for one or more processes as work related to the device.
The user application monitoring processing unit collates whether or not the work to be performed by the first user matches the first authority information permitted to the first user, and then the second user application monitoring processing unit collates. Is configured to match whether the work that the user is trying to do matches the second authorization information granted to the second user.
The system according to claim 4. 複数のユーザがネットワークを介して機器に関して作業を行う際のアクセスを管理する方法であって、
第1のオペレーティングシステムで動作するノーマル領域と、前記第1のオペレーティングシステムよりセキュリティレベルの高い第2のオペレーティングシステムで動作するセキュア領域との間でハイパーバイザーを介して通信が行われ、
前記ノーマル領域において、ネットワークを介してユーザから受信した認証に必要な認証情報を前記セキュア領域に送信するステップと、
前記セキュア領域において、前記ノーマル領域から送信された前記認証情報を受信したときに、前記認証情報に基づいて前記ユーザを認証し、前記ユーザの認証に成功した場合には、前記ユーザに許可される作業が特定された権限情報を前記ノーマル領域に送信するステップと、
前記ノーマル領域において、前記ユーザの認証が成功した場合に前記ユーザに許可される機器に関する作業が特定された前記権限情報を前記セキュア領域から受信するステップと、
前記ノーマル領域において、ユーザアプリケーション監視処理部により、前記機器に関して前記ユーザが行おうとする作業が、前記ユーザの前記権限情報として特定された作業と一致しているか否かを照合し、一致しない場合には、前記ユーザが行おうとする作業を動作不能にするステップと、
前記セキュア領域において、前記ノーマル領域内で実行される前記ユーザアプリケーション監視処理部の処理内容が変更されていないことを前記ユーザの前記作業の稼働中に監視するステップと
を備えた方法。 A way to manage access when multiple users work on a device over a network.
Communication is performed via a hypervisor between the normal area operating in the first operating system and the secure area operating in the second operating system having a higher security level than the first operating system.
In the normal area, a step of transmitting the authentication information required for authentication received from the user via the network to the secure area, and
In the secure area, when the authentication information transmitted from the normal area is received, the user is authenticated based on the authentication information, and if the authentication of the user is successful, the user is permitted. The step of transmitting the authority information for which the work is specified to the normal area, and
In the normal area, a step of receiving the authority information from the secure area in which work related to a device permitted to the user when the user is successfully authenticated is specified.
In the normal area, the user application monitoring processing unit collates whether or not the work that the user intends to perform with respect to the device matches the work specified as the authority information of the user, and if they do not match. Is a step that disables the work that the user is trying to do,
A method including a step of monitoring during the operation of the user that the processing content of the user application monitoring processing unit executed in the normal area has not been changed in the secure area. 第1のオペレーティングシステムで動作するノーマル領域と、前記第1のオペレーティングシステムよりセキュリティレベルの高い第2のオペレーティングシステムで動作するセキュア領域との間の通信を用いて、複数のユーザがネットワークを介して機器に関して作業を行う際のアクセスを管理するためのプログラムであって、
コンピュータに、
前記ノーマル領域において、ネットワークを介してユーザから受信した認証に必要な認証情報を前記セキュア領域に送信するステップと、
前記セキュア領域において、前記ノーマル領域から送信された前記認証情報を受信したときに、前記認証情報に基づいて前記ユーザを認証し、前記ユーザの認証に成功した場合には、前記ユーザに許可される作業が特定された権限情報を前記ノーマル領域に送信するステップと、
前記ノーマル領域において、前記ユーザの認証が成功した場合に前記ユーザに許可される機器に関する作業が特定された前記権限情報を前記セキュア領域から受信するステップと、
前記ノーマル領域において、ユーザアプリケーション監視処理部により、前記機器に関して前記ユーザが行おうとする作業が、前記ユーザの前記権限情報として特定された作業と一致しているか否かを照合し、一致しない場合には、前記ユーザが行おうとする作業を動作不能にするステップと、
前記セキュア領域において、前記ノーマル領域内で実行される前記ユーザアプリケーション監視処理部の処理内容が変更されていないことを前記ユーザの前記作業の稼働中に監視するステップと
を実行させるプログラム。 Using communication between the normal area operating in the first operating system and the secure area operating in the second operating system having a higher security level than the first operating system, a plurality of users can use the communication over the network. A program for managing access when working on a device
On the computer
In the normal area, a step of transmitting the authentication information required for authentication received from the user via the network to the secure area, and
In the secure area, when the authentication information transmitted from the normal area is received, the user is authenticated based on the authentication information, and if the authentication of the user is successful, the user is permitted. The step of transmitting the authority information for which the work is specified to the normal area, and
In the normal area, a step of receiving the authority information from the secure area in which work related to a device permitted to the user when the user is successfully authenticated is specified.
In the normal area, the user application monitoring processing unit collates whether or not the work that the user intends to perform with respect to the device matches the work specified as the authority information of the user, and if they do not match. Is a step that disables the work that the user is trying to do,
A program for executing a step of monitoring in the secure area that the processing content of the user application monitoring processing unit executed in the normal area has not been changed during the operation of the user.
JP2019127773A 2019-07-09 2019-07-09 MANAGEMENT OF RIGHT TO ACCESS TO IoT APPARATUS Pending JP2021012648A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019127773A JP2021012648A (en) 2019-07-09 2019-07-09 MANAGEMENT OF RIGHT TO ACCESS TO IoT APPARATUS

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019127773A JP2021012648A (en) 2019-07-09 2019-07-09 MANAGEMENT OF RIGHT TO ACCESS TO IoT APPARATUS

Publications (1)

Publication Number Publication Date
JP2021012648A true JP2021012648A (en) 2021-02-04

Family

ID=74227439

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019127773A Pending JP2021012648A (en) 2019-07-09 2019-07-09 MANAGEMENT OF RIGHT TO ACCESS TO IoT APPARATUS

Country Status (1)

Country Link
JP (1) JP2021012648A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022163050A1 (en) 2021-01-29 2022-08-04 Thk株式会社 Linear motion guide device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022163050A1 (en) 2021-01-29 2022-08-04 Thk株式会社 Linear motion guide device

Similar Documents

Publication Publication Date Title
KR102137773B1 (en) System for transmitting secure data via security application and method thereof
US9389898B2 (en) System and method for enforcement of security controls on virtual machines throughout life cycle state changes
US8556991B2 (en) Approaches for ensuring data security
US10325095B2 (en) Correlating a task with a command to perform a change ticket in an it system
US8347359B2 (en) Encryption sentinel system and method
TWI494785B (en) System and method for providing a system management command
US11398896B2 (en) Building device with blockchain based verification of building device files
US8775808B2 (en) System and method for performing a management operation
US9154299B2 (en) Remote management of endpoint computing device with full disk encryption
US11652840B1 (en) System for evaluating and improving the security status of a local network
US11537732B2 (en) Unlocking access of information responsive to validation of program codes of virtual entities
JP4123733B2 (en) Access control equipment
JP2012502338A (en) Server system and method for providing at least one service
JP2021012648A (en) MANAGEMENT OF RIGHT TO ACCESS TO IoT APPARATUS
JP6282204B2 (en) System and method for monitoring access to network in secure site
US11822648B2 (en) Systems and methods for remote anomaly data scanner for cyber-physical systems
US20220107834A1 (en) Task engine
WO2016177051A1 (en) Security authentication method and device
JP2008065693A (en) Information processor, and its method and program for controlling installation
KR101908428B1 (en) Method, center apparatus and system for blocking accessing device through virtual private network
KR100469647B1 (en) Method for authenticating the right to use a computer and protecting data of a computer based on network
CN110879886A (en) Method for operating a network server
KR20240124506A (en) PC login security method and device for ransomware prevention in AD environment
Turnbull Security and Administration