JP4123733B2 - アクセス制御機器 - Google Patents
アクセス制御機器 Download PDFInfo
- Publication number
- JP4123733B2 JP4123733B2 JP2001105369A JP2001105369A JP4123733B2 JP 4123733 B2 JP4123733 B2 JP 4123733B2 JP 2001105369 A JP2001105369 A JP 2001105369A JP 2001105369 A JP2001105369 A JP 2001105369A JP 4123733 B2 JP4123733 B2 JP 4123733B2
- Authority
- JP
- Japan
- Prior art keywords
- access control
- control device
- access
- information
- determination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
- G05B19/0425—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24167—Encryption, password, user access privileges
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、データの保存やプログラムを処理する機能と、通信機能を持った1つまたは複数のプロセッサを組み込んだ機器を相互に連携させて動作させる分散システムに関する。その中でも特に、連携する機器の構成が変化する環境において、相互にデータの送受信を行う機能と任意の実行する(例えば、プログラムを実行する機能とを持った)機器が、機器間のデータの送受信を相互に公開し、連携するか否かを判断する方法に関しビル・ホームオートメーションシステム、プラント制御や製造、物流などの社会システム、交通システムなどの制御システムに好適に適合しうる。
【0002】
【従来の技術】
半導体の高性能高密度化に伴うダウンサイジングの進行に合わせ、計算能力を持つプロセッサは、もはや専用の計算機にのみ存在するのではなくなり、あらゆる機器に組み込まれつつある。さらにインターネットに代表されるように、これらの機器を介して計算機システムと通信を行う手段も整いつつある。このような通信機能を持った機器間を連携動作させる場合に、相手機器を認証する方法としては、例えばアクセスコントロールリストを用いる方法がある。これは、連携する相手機器の識別子、または相手機器のユーザより入力されたユーザ識別子と、自機器に格納されたアクセスコントロールリストを比較・照合し、連携するか否かを判断するものである。また、複数の機器を経由して連携する場合に、複数の機器の認証結果を統合する方法として、Delegationのような方法がある。これらの技術は、例えばUNISYS技報55号「CORBAセキュリティサービス−概要と実装」に記載されている。
【0003】
【発明が解決しようとする課題】
上記の従来技術によると、各機器にアクセスできる機器、またはできない機器は、アクセスコントロールリスト中に定義しておく必要があった。すなわち、相手機器またはユーザを想定し、アクセス権を決定しておく必要があった。しかし、判断基準となる情報の所在が利用者から容易に解かるため、改ざんなどの攻撃を受けやすいという問題があった。また、運用上の観点では、機器が多数存在し、その構成が時間とともに変化する環境においては、こうした事前定義による方法では全ての機器を事前に想定することに限界があるため、新しい機器と柔軟に連携できないといった問題があった。あるいは、機器の構成の変化にあわせてアクセスコントロールリストを再定義する必要があり、手間がかかっていた。さらに、機器の性能や処理内容が変化した場合にも、機器の識別子のみで認証した後、該機器の誤動作の影響を受けてしまうといった問題もあった。
【0004】
【課題を解決するための手段】
本発明は上記課題を鑑みてなされたもので、機器のアクセス制御を行う判断を、アクセス要求元機器から匿名化するために、
機器間のインタラクション(送受信データ、処理要求及び結果)を他の機器に公開する手段を有し、複数の機器によりアクセス可否の判断を行うことで、アクセス制御の判断を行う機器をアクセス要求元の機器より特定化困難にするものである。公開には、情報の提示を含まれる。また、データを送信することも含まれる。また、公開には、自機器が有する情報に対して、他の機器がアクセスしてきた場合に、そのアクセスを許容することも含まれる。
【0005】
さらに、
該公開されたインタラクションの履歴を用いて、自機器が連携するか否かを判断する手段を有し、静的に定義された機器の識別子のみでなく、ある機器のシステムにおける挙動を認識し、これを用いて連携するか否かを判断させるものである。連携とは、複数の機器により所定の機能を実行することが含まれる。
【0006】
【発明の実施の形態】
以下に、本発明の実施の形態を説明する。特に、機器間でのデータの送受信であるインタラクションを公開してアクセス可否の判断を行う機器を匿名化する方法について、以下の例について説明する。
(1)各機器が、ブロードキャストされたデータを受け付けるよう制限する方法
次に、ある機器のシステムにおける挙動である、公開された機器間のインタラクションを認識してアクセス制御することにより、アクセス可否の判断基準を匿名化する方法の例として、以下の例について説明する。
(2)ある機器が、アクセス制御する相手機器と他の機器とのインタラクションを監視し、インタラクションのあった機器の順序で判定する方法
(3)ある機器が、アクセス制御する相手機器から自機器または他の機器へ要求された処理の履歴を監視し、処理の結果の履歴で判定する方法
(4)ある機器が、他の機器の状態を監視し、アクセス制御する相手機器の挙動を間接的に推定することでアクセス可否を判定する方法
また、他の機器でのアクセス制御の結果を用いて、自機器のアクセス制御ポリシーを更新する場合の例として、以下の例につてい説明する。
(5)ある機器が、他の機器でのアクセス制御の結果を用いて、不正な挙動を行った機器からのアクセスを拒絶するようポリシー変更する方法
図1は、本発明を適用した機器の構成例である。機器101内の処理は、自機器内の処理プログラムと他機器の処理プログラム間、または他機器の処理プログラム間で送受信されるデータを監視する挙動監視処理111と、他の機器との間でのデータ送受信を行う通信処理112、連携する相手の認証を行う認証処理113、及び機器の制御を行う処理プログラム114から構成される。挙動監視処理111は、通信処理112より自機器及び他機器から送信されたデータを受け取り、システム内で連携動作している機器及び処理プログラムの動作を監視する。監視には、処理プログラムがどのような処理を実行している(もしくは機器にさせているか)を示す情報を受信もしくは生成することが含まれる。監視された送受信データは、挙動履歴121に格納される。認証処理113では、認証ポリシー122と、挙動履歴121より取得した他機器の挙動を照合し、連携相手機器を認証する。
【0007】
処理プログラム114は、外部入出力部132を介して情報の入出力や機器の制御を行う。ここで、外部入出力部とは、センサやアクチュエータなどの処理プログラム114から制御されるデバイスであったり、液晶パネルやキーボード、タッチパネル等のマンマシンインタフェ−スを介して機器上で実行される処理プログラム114の制御や出力値参照を行う機能を有するものである。ただし、このことは必須ではなく、外部入出力部を持たない機器があってもよい。
【0008】
処理プログラムは、通信処理112を介して、他の機器の処理プログラムへデータの送信、及び他の機器の処理プログラムからのデータ取得を行い、連携動作する。ここで、処理プログラム間のデータ送受信は、本発明の第1の実施例で示すブロードキャスト通信のような方法を用いて他の任意の機器から取得可能とすることができる。
【0009】
図6は、通信処理112により機器間で送受信されるメッセージデータの構成例を示す図である。ヘッダ611、宛先612、送信元613、メッセージ識別子614、データ615から構成される。ヘッダ611は通信処理のための種々のフラグを格納したヘッダである。宛先612はメッセージの宛先機器の識別子が格納されるかまたは、ブロードキャスト通信のような複数の機器への同報を用いる場合は、ネットワークアドレスやマルチキャストグループのような送信範囲を示す識別子が格納される。送信元613は該メッセージの送信元機器の識別子が格納される。メッセージ識別子614にはメッセージデータの内容や、宛先の機器にて呼び出す処理の識別子が格納され、該メッセージを受信した機器にて呼び出す処理プログラムの判定に用いられる。呼び出された処理プログラムには、データ615が渡され、処理される。
(実施例1)
図12は、本発明の第1の実施例における通信処理の流れを示す図である。まず、データの受信を待つ(ステップ1211)、次に、データを受信すると宛先612を取得し、他の機器へもブロードキャストされるアドレスが指定されているかどうかを判断する(ステップ1212)。ブロードキャストされるアドレスが指定されていない場合は、受信データを破棄し、データ受信待ちとなる。ブロードキャストされているデータの場合は、挙動監視処理およびアクセス制御処理へ受信データを渡す(ステップ1213)。
【0010】
本実施例ではブロードキャストされるデータを受け付ける例を示したが、1対1通信により受信したデータを受け付けてもよい。この場合、ステップ1212においてブロードキャストされていないと判断し、受信した機器が他の機器へブロードキャスト通信により転送し、データの公開を行う。
【0011】
図13は、本発明の第1の実施例におけるアクセス制御処理の流れを示す図である。通信処理からデータを受け取り、自機器へのアクセス要求に対する他の機器からの判断結果であるかを判断する(ステップ1311)。判断結果でない場合、すなわち任意の機器へのアクセス要求である場合は、相手機器の情報を用いてアクセス許可すべきか判断し(ステップ1312)、結果を他の機器へも公開する(ステップ1313)。ここで、アクセス許可すべきか否かの判断には、従来技術のアクセスコントロールリストを用いる方法や、認証局に問い合わせて相手機器を認証するなどの方法を用いることができる。あるいは、アクセス履歴の蓄積により監視を行ってもよい。この場合許可するか否かの判断はしなくともよい。もしくは、許可すると判断するよう制御してもよい。また、判断した結果は、どの機器が認証しているかを隠すため、全ての機器で公開してもよい。一部の機器では公開しなくともよい。
【0012】
次に、通信処理より受け取ったデータが自機器へのアクセス要求であるかを判断し(ステップ1314)、自機器へのアクセス要求でなかった場合は終了し、自機器へのアクセス要求であった場合は、アクセス許可の判断待ちとなる(ステップ1315)。ステップ1315においては、自機器の判断結果に加えて、他の機器においてステップ1312、1313で判断され、公開された結果を、ステップ1311より受け取り、自機器へのアクセスを許可するか否かを判断する。ステップ1315の判断においては、多数決などの判断を用いてもよいし、一定時間内にアクセス拒絶の判断結果を受信しなければ許可するといった方法を用いてもよい。ステップ1315での判断の結果、アクセスを許可するか否かを判定し(ステップ1316)、許可する場合は処理プログラムにデータを渡す(ステップ1318)。許可しない場合はアクセス要求元の機器に対して要求を拒絶する(ステップ1317)。
【0013】
本実施例によれば、アクセス要求データが、アクセス先の機器以外の機器へも公開される。さらにアクセスを許可するか否かの判断も公開されるため、アクセス要求を発行する機器からアクセス許可を判断する機器が解かりにくいといった効果がある。このため、不正アクセスを行う場合に、例えば改ざんを行うアクセスコントロールリストの所在が解かりにくいといった効果がある。また、アクセスが公開されるため、不正なアクセスを行うまでの過程やアクセス内容が、匿名の何れかの機器で監視できるため、アクセス履歴を改ざんし証拠を隠滅することが困難であるといった効果もある。アクセスリストの公開は、全てのアクセスリストを公開してもよい。
(実施例2)
図2は、本発明の第2の実施例におけるシステム構成の例を示す図である。住環境における例を示す。部屋201にドア221、照明222、テレビ223、金庫225が、部屋202に空調226、照明227、監視装置228がそれぞれ設置されている。また利用者が携帯端末224を保持している。ここで、設備221〜228には本発明の機器が搭載され、無線などの通信媒体を用いて相互にデータ送受信を行って連携するとともに、各機器間のデータ送受信の履歴は任意の機器より監視可能である。
【0014】
図3は、本発明の第2の実施例における挙動履歴テーブルの構成例を示す図である。挙動履歴テーブルは、送信機器311、宛先312、要求処理313、データ314で構成される。アクセス制御を行う機器は、通信処理112より各機器間で送受信されるメッセージデータを取得し、該メッセージデータの送信元、宛先をそれぞれフィールド311、312へ、該メッセージデータの要求する処理の識別子とパラメータとなるデータをそれぞれフィールド313、314に格納する。ここで、格納するレコードは受信データについて格納してもよいし、図4にて説明するポリシーにて監視する機器が決まっている場合は、当該機器が宛先または送信元となっているメッセージデータを選択して格納してもよい。この場合、メッセージデータのみを選択してもよい。
【0015】
図4は、本発明の第2の実施例におけるアクセス制御ポリシーの構成例を示す図である。アクセス制御ポリシーは、相手機器411、タイプ412、判定順序413から構成される。相手機器411はアクセス制御を行う相手機器の識別子を格納する。タイプ412は判定順序413の判定基準を示すフィールドであり、完全に一致すべきか、順序一致すれば途中に他の機器とのアクセスがあってもよいか、などといった判定基準が格納される。順序の一致は順序のみの一致を考慮してもよい。判定順序413は、判定に用いられる機器の順序が格納される。ここで、レコード421には、金庫225(機器「SB:31」)のアクセス制御ポリシーの構成例を示している。ここでは、連携相手となる任意の機器(「*」にて指定)は、自機器へアクセスする前に機器「DOOR:11」及び機器「LIGHT:21」にアクセスしておく必要があり、かつ他の機器とのアクセス順序は完全に一致(「EQ」)していなければならないと指定されている。これは例えば、利用者がドアから部屋に入り、照明を付け、金庫へアクセスする場合は許可し、別な進入路から部屋へ入るなどして正規の経路を通っていない場合にはアクセスを許可しないことを意味している。
【0016】
図5は、本発明の第2の実施例におけるアクセス制御処理の流れを示す図である。他の機器から自機器の処理プログラムへのアクセス要求、または自機器の処理プログラムから他機器へのアクセス要求を受け取り(ステップ511)、該当する他機器に対してアクセス制御するよう設定されているかどうかポリシーを検索する(ステップ512)。ここで、ポリシーの相手機器411に登録されているかどうかを判定し(ステップ513)、登録されている場合は挙動履歴テーブルを検索し、当該機器のアクセスした他機器の履歴を取得してポリシーと照合する(ステップ514)。ポリシーのタイプ及び判定順序を用いてアクセスを許可するか判定し(ステップ515)、アクセスを許可しない場合はアクセス要求を拒絶する(ステップ516)。ステップ513にてアクセス制御するよう設定されていない場合、またはステップ515にてアクセスを許可する場合は、処理を継続する(ステップ517)。すなわち、自機器の処理プログラムから他機器への処理要求の判定を行った場合は、該要求を通信処理112に渡し、他機器の処理プログラムから自機器の処理プログラムへの処理要求を判定した場合は、該当する処理プログラム114に該要求を渡す。
【0017】
本実施例においては、各機器が能動的に他の機器にアクセスした履歴を監視する例を示したが、例えばファクトリ・オートメーション(95年2月)P51〜P57「IDシステムと応用事例」にあるような手段を用いて、能動的に他の機器にアクセスしない機器の挙動を間接的に監視してもよい。図8に示す例では、利用者側に付与されたタグ811を読み取り装置812が認識し、該読み取り装置812に接続された本発明の機器813が、タグ811から機器813へのアクセスがあったように擬似的に他の機器に対してメッセージ送信する。このような方法で、間接的にタグ811の挙動を他の機器に公開することができる。また、本実施例ではアクセス要求を受信する機器、または発行する機器でのアクセス制御処理の例を示したが、アクセス制御サーバを設置して該サーバが判定を行ってもよい。
【0018】
このようなアクセス制御を用いることで、自機器にアクセス可能な機器を事前に定義したり、アクセスできない機器を事前に定義したりせずとも、当初想定していない機器との間のアクセス制御を柔軟に行うことができる。また、機器間のアクセス履歴を用いてアクセス制御を行うため、どのような判定が行われるかが解かりにくいという効果がある。さらに、複数の機器とのアクセスを判定基準として用いることができるため、アクセス制御を多段階に用いることが容易となる。
(実施例3)
図7は、本発明の第3の実施例における、アクセス制御ポリシーの構成例を示す図である。相手機器711、タイプ712、判定基準713で構成されている。相手機器711はアクセス制御する相手機器の識別子が格納され、タイプ712は本発明の第1の実施例にて説明した例と同様に判定基準を示すフィールドである。判定内容713は、判定に用いる機器や要求処理及びそのデータの条件を格納するフィールドである。
【0019】
ここで、レコード721には、金庫225(機器「SB:31」)のアクセス制御ポリシーの構成例を示している。ここでは、連携相手となる任意の機器(「*」にて指定)は、自機器へアクセスする前に監視カメラ「MON:11」の処理「stop」にアクセスし、処理結果が正すなわち成功し、その後自機器「SB:31」の処理「open」にアクセスした場合は、処理を許可しない(「N-EQ」)と指定されている。これは例えば、利用者が監視カメラを付けたまま金庫へアクセスする場合は許可し、監視カメラを意図的に止めてアクセスしようとした場合はアクセスを許可しないことを意味している。また、監視カメラが何らかの理由で止められなかった場合にはアクセスを許可することを意味する。
【0020】
図7において示したアクセス制御ポリシーと、図3にて示した挙動履歴テーブル、及び図5にて示したアクセス制御処理を用いることにより、機器間のアクセス制御を、処理プログラムの呼び出しレベルできめ細かに制御することが可能となる。このようなアクセス制御を用いることで、第2の実施例と同様に自機器にアクセス可能な機器を事前に定義したり、アクセスできない機器を事前に定義したりせずとも、当初想定していない機器との間のアクセス制御を柔軟に行うことができる。また、どのような判定が行われるかが解かりにくいことに加え、複数の機器とのアクセスを判定基準として用いることができるため、アクセス制御を多段階に用いることが容易となる。さらに、機器間のアクセスが、相手機器を特定しないマルチキャスト通信によるものである場合でも、アクセス判定を行うことができる。
(実施例4)
図9は、本発明の第4の実施例における、挙動履歴テーブルの構成例を示す図である。本実施例においては、挙動履歴テーブルは、送信機器911、宛先912、要求処理913、データ914で構成される。レコード921〜924は、格納された挙動履歴の例を示している。レコード921は、機器「DOOR:11」から、マルチキャストグループ1に属する他の機器に同報された(「*1」)、状態変化イベント(「COS_Notify」)の内容が「Opened」であったことを示している。同様にレコード922は、機器「LIGHT:21」から、マルチキャストグループ1に同報された、状態変化イベント「ON」、レコード923は機器「DOOR:11」から、マルチキャストグループ1に同報された、状態変化イベント「Locked」をそれぞれ示している。また、レコード924は、機器「TV:11」がシャットダウン(「SHUTDOWN」)されたことを示している。このような機器の停止は、各機器よりシャットダウン通知を他の機器へ送信してもよいし、ポーリングのような方法で各機器の状態を他の機器より検出してもよい。状態には、機器の動作(どのような処理を実行しているか)を示す情報を含む。また、
ここで示した挙動履歴は、ある機器が他の機器に対して通信処理を経由してアクセスした履歴ではなくともよい。つまり、物理的なスイッチ開閉や、各機器の処理プログラムが、物理的な外部変化を、外部入出力部132を介して検出し、他の機器に同報したものであってもよい。本実施例においては、このような物理的な変化を用いて周辺機器の挙動を推定し、アクセス制御を行う例を示す。
【0021】
図10は、本発明の第4の実施例におけるアクセス制御ポリシーの構成例を示す図である。本実施例においては、アクセス制御ポリシーは、相手機器1011、タイプ1012、判定内容1013から構成される。相手機器1011、タイプ1012は、本発明の第1、第2の実施例同様、それぞれアクセス制御を行う相手機器の識別子、判定基準を示すフィールドである。判定内容1013は、アクセス制御の判定を行うための機器やメッセージデータの判定条件を格納するフィールドである。
ここで、レコード1021には、金庫225(機器「SB:31」)のアクセス制御ポリシーの構成例を示している。ここでは、連携相手となる任意の機器(「*」にて指定)が自機器へアクセスした際に、ドア「DOOR:11」が開かれ(「COS_Notify=Opened」)、その後ドア「DOOR:11」がロックされた(「COS_Notify=Locked」)場合は、アクセスを許可する(「EQ」)と指定されている。これは例えば、利用者が、ドアがロックされることを回避するために開いたまま金庫にアクセスしようとした場合はアクセスを許可しないことを意味している。
【0022】
図11は、本発明の第4の実施例における、アクセス制御処理の処理521の流れを示した図である。アクセスのあった機器がポリシーの相手機器に登録されている場合は、該ポリシーに従い挙動履歴テーブルを検索し、ポリシーと照合する(ステップ1111)。ここで、例えば図10のレコード1021を用いて照合する場合は、判定内容1013に規定された送信機器と処理を挙動履歴テーブルより検索し、合致するものがあるかどうかを検索する。その後、ポリシーのタイプを用いてアクセスを許可するか判定し(ステップ1112)、アクセスを許可しない場合はアクセス要求を拒絶する(ステップ1113)。
【0023】
本実施例に示した方法によれば、各機器の挙動を、他の機器の挙動を介して推定し、アクセス制御に用いることができる。このため、機器の識別子を指定してアクセス制御基準を事前に定義したりせずとも、機器間のアクセス制御を柔軟に行うことができる。また、間接的に挙動を監視するため、アクセス制御にどのような判定が行われるかが解かりにくいという効果がある。つまり、アクセス制御に対する不正を防止しやすくなる。
(実施例5)
図14は、本発明の第5の実施例における挙動監視処理の流れを示す図である。通信処理から受け取ったデータを挙動履歴テーブルに格納し(ステップ1411)、受信データがアクセス制御判断結果であるかどうかを判定する(ステップ1412)。ここで、各機器でのアクセス制御結果は、本発明の第1の実施例において説明した方法で公開されているものを用いることができる。受信データがアクセス制御判断結果であり、アクセス拒否判定している場合は、受信データより該アクセス要求元の機器の識別子を取得し(ステップ1413)、自機器に格納しているアクセス制御ポリシーから該当する機器のレコードを選択し、アクセスできないよう変更する(ステップ1414)。該当するレコードが無い場合は、追加する。
【0024】
図15は、本発明の第5の実施例におけるアクセス制御ポリシーの設定例を示す図である。レコード721が挙動監視処理により設定されたレコードで、他の機器においてアクセス拒否された機器(QXZZE:33)がフィールド711に格納され、判定タイプ712にはアクセスを許可しない(「REJECT」)ことが指定されている。本設定内容と、図6または図11において説明したアクセス制御処理を用いて、機器「QXZZE:33」から以後アクセスがあった場合には、アクセスを拒絶することができる。
【0025】
本実施例によれば、事前にアクセス制御する相手機器を設定しておかずとも、他の機器の判断結果を用いて設定することができる。また、本発明の第2〜4の実施例において説明した方法と組合せて用いることで、未知の機器の挙動を監視し、不正な挙動をした機器を自然選択してアクセス制御することができるようになる。さらに、システムの運用中に障害などのために不正な挙動をするようになった機器を、連携する相手機器側で自然選択してアクセス制御し、誤動作などの影響が波及しないようにすることができるといった効果がある。
【0026】
以上の各実施例によれば、機器間のインタラクションが公開されるため、複数かつ匿名の機器でアクセス制御を行うことができ、不正アクセスを行いにくくすることができる。また、各機器が、ある機器のシステムにおける挙動を用いて自機器との間のアクセス制御を行うことができるため、事前に相手機器を指定せずとも柔軟にアクセス制御を行うことができる。さらに、他機器でのアクセス制御の結果を用いて自機器のアクセス制御ポリシーを更新できるため、不正な機器を事前定義せずとも、自然選択的に各機器が不正な機器からアクセスさせないようにすることができる。
【0027】
【発明の効果】
本発明によれば、機器に対する不正なアクセスを制限することが可能になる。
【図面の簡単な説明】
【図1】本発明を適用した機器の構成例である。
【図2】本発明の第2の実施例におけるシステム構成の例を示す図である。
【図3】本発明の第2の実施例における挙動履歴テーブルの構成例を示す図である。
【図4】本発明の第2の実施例におけるアクセス制御ポリシーの構成例を示す図である。
【図5】本発明の第2の実施例におけるアクセス制御処理の流れを示す図である。
【図6】本発明の通信処理により機器間で送受信されるメッセージデータの構成例を示す図である。
【図7】本発明の第3の実施例におけるアクセス制御ポリシーの構成例を示す図である。
【図8】本発明の第2の実施例において機器の挙動を間接的に監視する場合のシステム構成例を示す図である。
【図9】本発明の第4の実施例における挙動履歴テーブルの構成例を示す図である。
【図10】本発明の第4の実施例におけるアクセス制御ポリシーの構成例を示す図である。
【図11】本発明の第4の実施例におけるアクセス制御処理の流れを示す図である。
【図12】本発明の第1の実施例における通信処理の流れを示す図である。
【図13】本発明の第1の実施例におけるアクセス制御処理の流れを示す図である。
【図14】本発明の第5の実施例における挙動監視処理の流れを示す図である。
【図15】本発明の第5の実施例におけるアクセス制御ポリシーの設定例を示す図である。
【符号の説明】
101:機器、111:挙動監視処理、112:通信処理、113:アクセス制御処理、114:処理プログラム、121:挙動履歴、122:アクセス制御ポリシー、132:外部入出力部
【発明の属する技術分野】
本発明は、データの保存やプログラムを処理する機能と、通信機能を持った1つまたは複数のプロセッサを組み込んだ機器を相互に連携させて動作させる分散システムに関する。その中でも特に、連携する機器の構成が変化する環境において、相互にデータの送受信を行う機能と任意の実行する(例えば、プログラムを実行する機能とを持った)機器が、機器間のデータの送受信を相互に公開し、連携するか否かを判断する方法に関しビル・ホームオートメーションシステム、プラント制御や製造、物流などの社会システム、交通システムなどの制御システムに好適に適合しうる。
【0002】
【従来の技術】
半導体の高性能高密度化に伴うダウンサイジングの進行に合わせ、計算能力を持つプロセッサは、もはや専用の計算機にのみ存在するのではなくなり、あらゆる機器に組み込まれつつある。さらにインターネットに代表されるように、これらの機器を介して計算機システムと通信を行う手段も整いつつある。このような通信機能を持った機器間を連携動作させる場合に、相手機器を認証する方法としては、例えばアクセスコントロールリストを用いる方法がある。これは、連携する相手機器の識別子、または相手機器のユーザより入力されたユーザ識別子と、自機器に格納されたアクセスコントロールリストを比較・照合し、連携するか否かを判断するものである。また、複数の機器を経由して連携する場合に、複数の機器の認証結果を統合する方法として、Delegationのような方法がある。これらの技術は、例えばUNISYS技報55号「CORBAセキュリティサービス−概要と実装」に記載されている。
【0003】
【発明が解決しようとする課題】
上記の従来技術によると、各機器にアクセスできる機器、またはできない機器は、アクセスコントロールリスト中に定義しておく必要があった。すなわち、相手機器またはユーザを想定し、アクセス権を決定しておく必要があった。しかし、判断基準となる情報の所在が利用者から容易に解かるため、改ざんなどの攻撃を受けやすいという問題があった。また、運用上の観点では、機器が多数存在し、その構成が時間とともに変化する環境においては、こうした事前定義による方法では全ての機器を事前に想定することに限界があるため、新しい機器と柔軟に連携できないといった問題があった。あるいは、機器の構成の変化にあわせてアクセスコントロールリストを再定義する必要があり、手間がかかっていた。さらに、機器の性能や処理内容が変化した場合にも、機器の識別子のみで認証した後、該機器の誤動作の影響を受けてしまうといった問題もあった。
【0004】
【課題を解決するための手段】
本発明は上記課題を鑑みてなされたもので、機器のアクセス制御を行う判断を、アクセス要求元機器から匿名化するために、
機器間のインタラクション(送受信データ、処理要求及び結果)を他の機器に公開する手段を有し、複数の機器によりアクセス可否の判断を行うことで、アクセス制御の判断を行う機器をアクセス要求元の機器より特定化困難にするものである。公開には、情報の提示を含まれる。また、データを送信することも含まれる。また、公開には、自機器が有する情報に対して、他の機器がアクセスしてきた場合に、そのアクセスを許容することも含まれる。
【0005】
さらに、
該公開されたインタラクションの履歴を用いて、自機器が連携するか否かを判断する手段を有し、静的に定義された機器の識別子のみでなく、ある機器のシステムにおける挙動を認識し、これを用いて連携するか否かを判断させるものである。連携とは、複数の機器により所定の機能を実行することが含まれる。
【0006】
【発明の実施の形態】
以下に、本発明の実施の形態を説明する。特に、機器間でのデータの送受信であるインタラクションを公開してアクセス可否の判断を行う機器を匿名化する方法について、以下の例について説明する。
(1)各機器が、ブロードキャストされたデータを受け付けるよう制限する方法
次に、ある機器のシステムにおける挙動である、公開された機器間のインタラクションを認識してアクセス制御することにより、アクセス可否の判断基準を匿名化する方法の例として、以下の例について説明する。
(2)ある機器が、アクセス制御する相手機器と他の機器とのインタラクションを監視し、インタラクションのあった機器の順序で判定する方法
(3)ある機器が、アクセス制御する相手機器から自機器または他の機器へ要求された処理の履歴を監視し、処理の結果の履歴で判定する方法
(4)ある機器が、他の機器の状態を監視し、アクセス制御する相手機器の挙動を間接的に推定することでアクセス可否を判定する方法
また、他の機器でのアクセス制御の結果を用いて、自機器のアクセス制御ポリシーを更新する場合の例として、以下の例につてい説明する。
(5)ある機器が、他の機器でのアクセス制御の結果を用いて、不正な挙動を行った機器からのアクセスを拒絶するようポリシー変更する方法
図1は、本発明を適用した機器の構成例である。機器101内の処理は、自機器内の処理プログラムと他機器の処理プログラム間、または他機器の処理プログラム間で送受信されるデータを監視する挙動監視処理111と、他の機器との間でのデータ送受信を行う通信処理112、連携する相手の認証を行う認証処理113、及び機器の制御を行う処理プログラム114から構成される。挙動監視処理111は、通信処理112より自機器及び他機器から送信されたデータを受け取り、システム内で連携動作している機器及び処理プログラムの動作を監視する。監視には、処理プログラムがどのような処理を実行している(もしくは機器にさせているか)を示す情報を受信もしくは生成することが含まれる。監視された送受信データは、挙動履歴121に格納される。認証処理113では、認証ポリシー122と、挙動履歴121より取得した他機器の挙動を照合し、連携相手機器を認証する。
【0007】
処理プログラム114は、外部入出力部132を介して情報の入出力や機器の制御を行う。ここで、外部入出力部とは、センサやアクチュエータなどの処理プログラム114から制御されるデバイスであったり、液晶パネルやキーボード、タッチパネル等のマンマシンインタフェ−スを介して機器上で実行される処理プログラム114の制御や出力値参照を行う機能を有するものである。ただし、このことは必須ではなく、外部入出力部を持たない機器があってもよい。
【0008】
処理プログラムは、通信処理112を介して、他の機器の処理プログラムへデータの送信、及び他の機器の処理プログラムからのデータ取得を行い、連携動作する。ここで、処理プログラム間のデータ送受信は、本発明の第1の実施例で示すブロードキャスト通信のような方法を用いて他の任意の機器から取得可能とすることができる。
【0009】
図6は、通信処理112により機器間で送受信されるメッセージデータの構成例を示す図である。ヘッダ611、宛先612、送信元613、メッセージ識別子614、データ615から構成される。ヘッダ611は通信処理のための種々のフラグを格納したヘッダである。宛先612はメッセージの宛先機器の識別子が格納されるかまたは、ブロードキャスト通信のような複数の機器への同報を用いる場合は、ネットワークアドレスやマルチキャストグループのような送信範囲を示す識別子が格納される。送信元613は該メッセージの送信元機器の識別子が格納される。メッセージ識別子614にはメッセージデータの内容や、宛先の機器にて呼び出す処理の識別子が格納され、該メッセージを受信した機器にて呼び出す処理プログラムの判定に用いられる。呼び出された処理プログラムには、データ615が渡され、処理される。
(実施例1)
図12は、本発明の第1の実施例における通信処理の流れを示す図である。まず、データの受信を待つ(ステップ1211)、次に、データを受信すると宛先612を取得し、他の機器へもブロードキャストされるアドレスが指定されているかどうかを判断する(ステップ1212)。ブロードキャストされるアドレスが指定されていない場合は、受信データを破棄し、データ受信待ちとなる。ブロードキャストされているデータの場合は、挙動監視処理およびアクセス制御処理へ受信データを渡す(ステップ1213)。
【0010】
本実施例ではブロードキャストされるデータを受け付ける例を示したが、1対1通信により受信したデータを受け付けてもよい。この場合、ステップ1212においてブロードキャストされていないと判断し、受信した機器が他の機器へブロードキャスト通信により転送し、データの公開を行う。
【0011】
図13は、本発明の第1の実施例におけるアクセス制御処理の流れを示す図である。通信処理からデータを受け取り、自機器へのアクセス要求に対する他の機器からの判断結果であるかを判断する(ステップ1311)。判断結果でない場合、すなわち任意の機器へのアクセス要求である場合は、相手機器の情報を用いてアクセス許可すべきか判断し(ステップ1312)、結果を他の機器へも公開する(ステップ1313)。ここで、アクセス許可すべきか否かの判断には、従来技術のアクセスコントロールリストを用いる方法や、認証局に問い合わせて相手機器を認証するなどの方法を用いることができる。あるいは、アクセス履歴の蓄積により監視を行ってもよい。この場合許可するか否かの判断はしなくともよい。もしくは、許可すると判断するよう制御してもよい。また、判断した結果は、どの機器が認証しているかを隠すため、全ての機器で公開してもよい。一部の機器では公開しなくともよい。
【0012】
次に、通信処理より受け取ったデータが自機器へのアクセス要求であるかを判断し(ステップ1314)、自機器へのアクセス要求でなかった場合は終了し、自機器へのアクセス要求であった場合は、アクセス許可の判断待ちとなる(ステップ1315)。ステップ1315においては、自機器の判断結果に加えて、他の機器においてステップ1312、1313で判断され、公開された結果を、ステップ1311より受け取り、自機器へのアクセスを許可するか否かを判断する。ステップ1315の判断においては、多数決などの判断を用いてもよいし、一定時間内にアクセス拒絶の判断結果を受信しなければ許可するといった方法を用いてもよい。ステップ1315での判断の結果、アクセスを許可するか否かを判定し(ステップ1316)、許可する場合は処理プログラムにデータを渡す(ステップ1318)。許可しない場合はアクセス要求元の機器に対して要求を拒絶する(ステップ1317)。
【0013】
本実施例によれば、アクセス要求データが、アクセス先の機器以外の機器へも公開される。さらにアクセスを許可するか否かの判断も公開されるため、アクセス要求を発行する機器からアクセス許可を判断する機器が解かりにくいといった効果がある。このため、不正アクセスを行う場合に、例えば改ざんを行うアクセスコントロールリストの所在が解かりにくいといった効果がある。また、アクセスが公開されるため、不正なアクセスを行うまでの過程やアクセス内容が、匿名の何れかの機器で監視できるため、アクセス履歴を改ざんし証拠を隠滅することが困難であるといった効果もある。アクセスリストの公開は、全てのアクセスリストを公開してもよい。
(実施例2)
図2は、本発明の第2の実施例におけるシステム構成の例を示す図である。住環境における例を示す。部屋201にドア221、照明222、テレビ223、金庫225が、部屋202に空調226、照明227、監視装置228がそれぞれ設置されている。また利用者が携帯端末224を保持している。ここで、設備221〜228には本発明の機器が搭載され、無線などの通信媒体を用いて相互にデータ送受信を行って連携するとともに、各機器間のデータ送受信の履歴は任意の機器より監視可能である。
【0014】
図3は、本発明の第2の実施例における挙動履歴テーブルの構成例を示す図である。挙動履歴テーブルは、送信機器311、宛先312、要求処理313、データ314で構成される。アクセス制御を行う機器は、通信処理112より各機器間で送受信されるメッセージデータを取得し、該メッセージデータの送信元、宛先をそれぞれフィールド311、312へ、該メッセージデータの要求する処理の識別子とパラメータとなるデータをそれぞれフィールド313、314に格納する。ここで、格納するレコードは受信データについて格納してもよいし、図4にて説明するポリシーにて監視する機器が決まっている場合は、当該機器が宛先または送信元となっているメッセージデータを選択して格納してもよい。この場合、メッセージデータのみを選択してもよい。
【0015】
図4は、本発明の第2の実施例におけるアクセス制御ポリシーの構成例を示す図である。アクセス制御ポリシーは、相手機器411、タイプ412、判定順序413から構成される。相手機器411はアクセス制御を行う相手機器の識別子を格納する。タイプ412は判定順序413の判定基準を示すフィールドであり、完全に一致すべきか、順序一致すれば途中に他の機器とのアクセスがあってもよいか、などといった判定基準が格納される。順序の一致は順序のみの一致を考慮してもよい。判定順序413は、判定に用いられる機器の順序が格納される。ここで、レコード421には、金庫225(機器「SB:31」)のアクセス制御ポリシーの構成例を示している。ここでは、連携相手となる任意の機器(「*」にて指定)は、自機器へアクセスする前に機器「DOOR:11」及び機器「LIGHT:21」にアクセスしておく必要があり、かつ他の機器とのアクセス順序は完全に一致(「EQ」)していなければならないと指定されている。これは例えば、利用者がドアから部屋に入り、照明を付け、金庫へアクセスする場合は許可し、別な進入路から部屋へ入るなどして正規の経路を通っていない場合にはアクセスを許可しないことを意味している。
【0016】
図5は、本発明の第2の実施例におけるアクセス制御処理の流れを示す図である。他の機器から自機器の処理プログラムへのアクセス要求、または自機器の処理プログラムから他機器へのアクセス要求を受け取り(ステップ511)、該当する他機器に対してアクセス制御するよう設定されているかどうかポリシーを検索する(ステップ512)。ここで、ポリシーの相手機器411に登録されているかどうかを判定し(ステップ513)、登録されている場合は挙動履歴テーブルを検索し、当該機器のアクセスした他機器の履歴を取得してポリシーと照合する(ステップ514)。ポリシーのタイプ及び判定順序を用いてアクセスを許可するか判定し(ステップ515)、アクセスを許可しない場合はアクセス要求を拒絶する(ステップ516)。ステップ513にてアクセス制御するよう設定されていない場合、またはステップ515にてアクセスを許可する場合は、処理を継続する(ステップ517)。すなわち、自機器の処理プログラムから他機器への処理要求の判定を行った場合は、該要求を通信処理112に渡し、他機器の処理プログラムから自機器の処理プログラムへの処理要求を判定した場合は、該当する処理プログラム114に該要求を渡す。
【0017】
本実施例においては、各機器が能動的に他の機器にアクセスした履歴を監視する例を示したが、例えばファクトリ・オートメーション(95年2月)P51〜P57「IDシステムと応用事例」にあるような手段を用いて、能動的に他の機器にアクセスしない機器の挙動を間接的に監視してもよい。図8に示す例では、利用者側に付与されたタグ811を読み取り装置812が認識し、該読み取り装置812に接続された本発明の機器813が、タグ811から機器813へのアクセスがあったように擬似的に他の機器に対してメッセージ送信する。このような方法で、間接的にタグ811の挙動を他の機器に公開することができる。また、本実施例ではアクセス要求を受信する機器、または発行する機器でのアクセス制御処理の例を示したが、アクセス制御サーバを設置して該サーバが判定を行ってもよい。
【0018】
このようなアクセス制御を用いることで、自機器にアクセス可能な機器を事前に定義したり、アクセスできない機器を事前に定義したりせずとも、当初想定していない機器との間のアクセス制御を柔軟に行うことができる。また、機器間のアクセス履歴を用いてアクセス制御を行うため、どのような判定が行われるかが解かりにくいという効果がある。さらに、複数の機器とのアクセスを判定基準として用いることができるため、アクセス制御を多段階に用いることが容易となる。
(実施例3)
図7は、本発明の第3の実施例における、アクセス制御ポリシーの構成例を示す図である。相手機器711、タイプ712、判定基準713で構成されている。相手機器711はアクセス制御する相手機器の識別子が格納され、タイプ712は本発明の第1の実施例にて説明した例と同様に判定基準を示すフィールドである。判定内容713は、判定に用いる機器や要求処理及びそのデータの条件を格納するフィールドである。
【0019】
ここで、レコード721には、金庫225(機器「SB:31」)のアクセス制御ポリシーの構成例を示している。ここでは、連携相手となる任意の機器(「*」にて指定)は、自機器へアクセスする前に監視カメラ「MON:11」の処理「stop」にアクセスし、処理結果が正すなわち成功し、その後自機器「SB:31」の処理「open」にアクセスした場合は、処理を許可しない(「N-EQ」)と指定されている。これは例えば、利用者が監視カメラを付けたまま金庫へアクセスする場合は許可し、監視カメラを意図的に止めてアクセスしようとした場合はアクセスを許可しないことを意味している。また、監視カメラが何らかの理由で止められなかった場合にはアクセスを許可することを意味する。
【0020】
図7において示したアクセス制御ポリシーと、図3にて示した挙動履歴テーブル、及び図5にて示したアクセス制御処理を用いることにより、機器間のアクセス制御を、処理プログラムの呼び出しレベルできめ細かに制御することが可能となる。このようなアクセス制御を用いることで、第2の実施例と同様に自機器にアクセス可能な機器を事前に定義したり、アクセスできない機器を事前に定義したりせずとも、当初想定していない機器との間のアクセス制御を柔軟に行うことができる。また、どのような判定が行われるかが解かりにくいことに加え、複数の機器とのアクセスを判定基準として用いることができるため、アクセス制御を多段階に用いることが容易となる。さらに、機器間のアクセスが、相手機器を特定しないマルチキャスト通信によるものである場合でも、アクセス判定を行うことができる。
(実施例4)
図9は、本発明の第4の実施例における、挙動履歴テーブルの構成例を示す図である。本実施例においては、挙動履歴テーブルは、送信機器911、宛先912、要求処理913、データ914で構成される。レコード921〜924は、格納された挙動履歴の例を示している。レコード921は、機器「DOOR:11」から、マルチキャストグループ1に属する他の機器に同報された(「*1」)、状態変化イベント(「COS_Notify」)の内容が「Opened」であったことを示している。同様にレコード922は、機器「LIGHT:21」から、マルチキャストグループ1に同報された、状態変化イベント「ON」、レコード923は機器「DOOR:11」から、マルチキャストグループ1に同報された、状態変化イベント「Locked」をそれぞれ示している。また、レコード924は、機器「TV:11」がシャットダウン(「SHUTDOWN」)されたことを示している。このような機器の停止は、各機器よりシャットダウン通知を他の機器へ送信してもよいし、ポーリングのような方法で各機器の状態を他の機器より検出してもよい。状態には、機器の動作(どのような処理を実行しているか)を示す情報を含む。また、
ここで示した挙動履歴は、ある機器が他の機器に対して通信処理を経由してアクセスした履歴ではなくともよい。つまり、物理的なスイッチ開閉や、各機器の処理プログラムが、物理的な外部変化を、外部入出力部132を介して検出し、他の機器に同報したものであってもよい。本実施例においては、このような物理的な変化を用いて周辺機器の挙動を推定し、アクセス制御を行う例を示す。
【0021】
図10は、本発明の第4の実施例におけるアクセス制御ポリシーの構成例を示す図である。本実施例においては、アクセス制御ポリシーは、相手機器1011、タイプ1012、判定内容1013から構成される。相手機器1011、タイプ1012は、本発明の第1、第2の実施例同様、それぞれアクセス制御を行う相手機器の識別子、判定基準を示すフィールドである。判定内容1013は、アクセス制御の判定を行うための機器やメッセージデータの判定条件を格納するフィールドである。
ここで、レコード1021には、金庫225(機器「SB:31」)のアクセス制御ポリシーの構成例を示している。ここでは、連携相手となる任意の機器(「*」にて指定)が自機器へアクセスした際に、ドア「DOOR:11」が開かれ(「COS_Notify=Opened」)、その後ドア「DOOR:11」がロックされた(「COS_Notify=Locked」)場合は、アクセスを許可する(「EQ」)と指定されている。これは例えば、利用者が、ドアがロックされることを回避するために開いたまま金庫にアクセスしようとした場合はアクセスを許可しないことを意味している。
【0022】
図11は、本発明の第4の実施例における、アクセス制御処理の処理521の流れを示した図である。アクセスのあった機器がポリシーの相手機器に登録されている場合は、該ポリシーに従い挙動履歴テーブルを検索し、ポリシーと照合する(ステップ1111)。ここで、例えば図10のレコード1021を用いて照合する場合は、判定内容1013に規定された送信機器と処理を挙動履歴テーブルより検索し、合致するものがあるかどうかを検索する。その後、ポリシーのタイプを用いてアクセスを許可するか判定し(ステップ1112)、アクセスを許可しない場合はアクセス要求を拒絶する(ステップ1113)。
【0023】
本実施例に示した方法によれば、各機器の挙動を、他の機器の挙動を介して推定し、アクセス制御に用いることができる。このため、機器の識別子を指定してアクセス制御基準を事前に定義したりせずとも、機器間のアクセス制御を柔軟に行うことができる。また、間接的に挙動を監視するため、アクセス制御にどのような判定が行われるかが解かりにくいという効果がある。つまり、アクセス制御に対する不正を防止しやすくなる。
(実施例5)
図14は、本発明の第5の実施例における挙動監視処理の流れを示す図である。通信処理から受け取ったデータを挙動履歴テーブルに格納し(ステップ1411)、受信データがアクセス制御判断結果であるかどうかを判定する(ステップ1412)。ここで、各機器でのアクセス制御結果は、本発明の第1の実施例において説明した方法で公開されているものを用いることができる。受信データがアクセス制御判断結果であり、アクセス拒否判定している場合は、受信データより該アクセス要求元の機器の識別子を取得し(ステップ1413)、自機器に格納しているアクセス制御ポリシーから該当する機器のレコードを選択し、アクセスできないよう変更する(ステップ1414)。該当するレコードが無い場合は、追加する。
【0024】
図15は、本発明の第5の実施例におけるアクセス制御ポリシーの設定例を示す図である。レコード721が挙動監視処理により設定されたレコードで、他の機器においてアクセス拒否された機器(QXZZE:33)がフィールド711に格納され、判定タイプ712にはアクセスを許可しない(「REJECT」)ことが指定されている。本設定内容と、図6または図11において説明したアクセス制御処理を用いて、機器「QXZZE:33」から以後アクセスがあった場合には、アクセスを拒絶することができる。
【0025】
本実施例によれば、事前にアクセス制御する相手機器を設定しておかずとも、他の機器の判断結果を用いて設定することができる。また、本発明の第2〜4の実施例において説明した方法と組合せて用いることで、未知の機器の挙動を監視し、不正な挙動をした機器を自然選択してアクセス制御することができるようになる。さらに、システムの運用中に障害などのために不正な挙動をするようになった機器を、連携する相手機器側で自然選択してアクセス制御し、誤動作などの影響が波及しないようにすることができるといった効果がある。
【0026】
以上の各実施例によれば、機器間のインタラクションが公開されるため、複数かつ匿名の機器でアクセス制御を行うことができ、不正アクセスを行いにくくすることができる。また、各機器が、ある機器のシステムにおける挙動を用いて自機器との間のアクセス制御を行うことができるため、事前に相手機器を指定せずとも柔軟にアクセス制御を行うことができる。さらに、他機器でのアクセス制御の結果を用いて自機器のアクセス制御ポリシーを更新できるため、不正な機器を事前定義せずとも、自然選択的に各機器が不正な機器からアクセスさせないようにすることができる。
【0027】
【発明の効果】
本発明によれば、機器に対する不正なアクセスを制限することが可能になる。
【図面の簡単な説明】
【図1】本発明を適用した機器の構成例である。
【図2】本発明の第2の実施例におけるシステム構成の例を示す図である。
【図3】本発明の第2の実施例における挙動履歴テーブルの構成例を示す図である。
【図4】本発明の第2の実施例におけるアクセス制御ポリシーの構成例を示す図である。
【図5】本発明の第2の実施例におけるアクセス制御処理の流れを示す図である。
【図6】本発明の通信処理により機器間で送受信されるメッセージデータの構成例を示す図である。
【図7】本発明の第3の実施例におけるアクセス制御ポリシーの構成例を示す図である。
【図8】本発明の第2の実施例において機器の挙動を間接的に監視する場合のシステム構成例を示す図である。
【図9】本発明の第4の実施例における挙動履歴テーブルの構成例を示す図である。
【図10】本発明の第4の実施例におけるアクセス制御ポリシーの構成例を示す図である。
【図11】本発明の第4の実施例におけるアクセス制御処理の流れを示す図である。
【図12】本発明の第1の実施例における通信処理の流れを示す図である。
【図13】本発明の第1の実施例におけるアクセス制御処理の流れを示す図である。
【図14】本発明の第5の実施例における挙動監視処理の流れを示す図である。
【図15】本発明の第5の実施例におけるアクセス制御ポリシーの設定例を示す図である。
【符号の説明】
101:機器、111:挙動監視処理、112:通信処理、113:アクセス制御処理、114:処理プログラム、121:挙動履歴、122:アクセス制御ポリシー、132:外部入出力部
Claims (10)
- システムを構成する複数の情報機器の1つであるアクセス制御機器であって、
前記アクセス制御機器と通信する通信元の情報機器の、前記アクセス制御機器及び該アクセス制御機器以外の情報機器に対して送信したデータに対して、該送信したデータを受信した情報機器が行った、前記通信元の情報機器の前記アクセス制御機器に対するアクセスの可否の判断である第1の判断を受信し、
前記第1の判断の結果から、前記通信元の情報機器の前記アクセス制御機器へのアクセスの可否の判断である第2の判断をすることを特徴とするアクセス制御機器。 - 請求項 1 記載のアクセス制御機器において、
前記第 1 の判断は、前記送信したデータを受信した情報機器が、該送信したデータを受信した情報機器の持つアクセスコントロールリストにより、又は認証局に問い合わせることにより行うことを特徴とするアクセス制御機器。 - 請求項 2 記載のアクセス制御機器において、
前記第 2 の判断は、前記第 1 の判断の結果の多数決処理により行われることを特徴とするアクセス制御機器。 - 請求項 2 記載のアクセス制御機器において、
前記第 2 の判断は、前記第 1 の判断の結果の、一定時間における予め定めた可否の数により行われることを特徴とするアクセス制御機器。 - 請求項 3 又は 4 記載のアクセス制御機器において、
前記通信元の情報機器が送信したデータは、ブロードキャストされたものであることを特徴とするアクセス制御機器。 - 請求項 1 記載のアクセス制御機器において、
前記情報機器は、該情報機器へのアクセスに対するポリシー及び前記情報機器へアクセスした情報機器の履歴情報を有し、
前記アクセス制御機器は、
前記情報機器の履歴情報から、前記通信元の情報機器のアクセス履歴を求め、
前記ポリシーと前記アクセス履歴を照合することにより、前記通信元の情報機器の前記アクセス制御機器に対するアクセスの可否をさらに判断することを特徴とするアクセス制御機器。 - 請求項 6 記載のアクセス制御機器において、
前記ポリシーは、前記通信元の情報機器が、他の情報機器へアクセスした順序を含むことを特徴とするアクセス制御機器。 - 請求項 7 記載のアクセス制御機器において、
前記ポリシーは、前記情報機器について予め定めた挙動をさせた情報機器に対して、前記情報機器に対するアクセスを許可又は拒絶することを含むことを特徴とするアクセス制御機器。 - 請求項 7 又は 8 記載のアクセス制御機器において、
前記情報機器の履歴情報は、該情報機器の物理的な挙動を含むことを特徴とするアクセス制御機器。 - 請求項 9 記載のアクセス制御機器において、
前記第 1 の判断の結果によって、前記ポリシーを更新することを特徴とするアクセス制御機器。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001105369A JP4123733B2 (ja) | 2001-04-04 | 2001-04-04 | アクセス制御機器 |
| US10/109,896 US7228561B2 (en) | 2001-04-04 | 2002-04-01 | Open information based access control method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001105369A JP4123733B2 (ja) | 2001-04-04 | 2001-04-04 | アクセス制御機器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002304377A JP2002304377A (ja) | 2002-10-18 |
| JP4123733B2 true JP4123733B2 (ja) | 2008-07-23 |
Family
ID=18958074
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001105369A Expired - Fee Related JP4123733B2 (ja) | 2001-04-04 | 2001-04-04 | アクセス制御機器 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7228561B2 (ja) |
| JP (1) | JP4123733B2 (ja) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2004086328A1 (ja) | 2003-03-25 | 2006-06-29 | 笹倉 豊喜 | ホームセキュリティシステム |
| US7249263B2 (en) * | 2003-07-25 | 2007-07-24 | International Business Machines Corporation | Method and system for user authentication and identification using behavioral and emotional association consistency |
| US7620983B1 (en) * | 2004-03-16 | 2009-11-17 | Symantec Corporation | Behavior profiling |
| US7908663B2 (en) | 2004-04-20 | 2011-03-15 | Microsoft Corporation | Abstractions and automation for enhanced sharing and collaboration |
| KR100791297B1 (ko) * | 2006-04-06 | 2008-01-04 | 삼성전자주식회사 | 이벤트 정보를 관리하는 장치, 방법 및 시스템 |
| EP2023572B1 (en) * | 2007-08-08 | 2017-12-06 | Oracle International Corporation | Method, computer program and apparatus for controlling access to a computer resource and obtaining a baseline therefor |
| US8793781B2 (en) * | 2007-10-12 | 2014-07-29 | International Business Machines Corporation | Method and system for analyzing policies for compliance with a specified policy using a policy template |
| US20090205018A1 (en) * | 2008-02-07 | 2009-08-13 | Ferraiolo David F | Method and system for the specification and enforcement of arbitrary attribute-based access control policies |
| US8825473B2 (en) | 2009-01-20 | 2014-09-02 | Oracle International Corporation | Method, computer program and apparatus for analyzing symbols in a computer system |
| US8666731B2 (en) * | 2009-09-22 | 2014-03-04 | Oracle International Corporation | Method, a computer program and apparatus for processing a computer message |
| US9363464B2 (en) * | 2010-06-21 | 2016-06-07 | Echostar Technologies L.L.C. | Systems and methods for history-based decision making in a television receiver |
| US9143509B2 (en) * | 2011-05-20 | 2015-09-22 | Microsoft Technology Licensing, Llc | Granular assessment of device state |
| CN103092118A (zh) * | 2011-10-31 | 2013-05-08 | 鸿富锦精密工业(深圳)有限公司 | 家电安全检查系统及方法 |
| US8588111B1 (en) * | 2012-09-15 | 2013-11-19 | Zoom International S.R.O. | System and method for passive communication recording |
| CN105095200B (zh) * | 2014-04-16 | 2018-06-29 | 北大方正集团有限公司 | 以瀑布流方式显示图片的方法和设备 |
| CN110376925A (zh) * | 2018-04-13 | 2019-10-25 | 珠海格力电器股份有限公司 | 一种控制家用电器执行控制指令的方法及装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5341375A (en) * | 1992-11-12 | 1994-08-23 | Motorola, Inc. | Transmission of broadcast packets in an RF system |
| US5862480A (en) * | 1995-12-26 | 1999-01-19 | Motorola, Inc. | Method and apparatus for managing service accessibility between differing radio telecommunication networks |
| JP2957551B2 (ja) * | 1997-12-12 | 1999-10-04 | 株式会社リコー | 分散型データベースシステムの一貫性管理方法およびコンピュータ読み取り可能な記録媒体 |
| JP2000163617A (ja) | 1998-11-26 | 2000-06-16 | Mitsubishi Electric Corp | 通行管理装置 |
| US6785287B1 (en) * | 1999-11-16 | 2004-08-31 | Nokia Ip, Inc. | Integrated IP telephony and cellular communication system and method of operation |
| US6286523B1 (en) * | 2000-01-25 | 2001-09-11 | Cae Ransohoff Inc. | Parts transport mechanism for a rotary style parts treating machine |
| US7388918B2 (en) * | 2000-03-13 | 2008-06-17 | Texas Instruments Incorporated | Apparatus and method for the transparent upgrading of technology and applications in digital radio systems using programmable transmitters and receivers |
| US6772209B1 (en) * | 2000-04-06 | 2004-08-03 | International Business Machines Corporation | Efficient method for rule-based distribution and management of content in a distributed hierarchy of storage devices |
| US20020010789A1 (en) * | 2000-05-04 | 2002-01-24 | Lord Frank H. | Broadcast multimedia delivery system |
-
2001
- 2001-04-04 JP JP2001105369A patent/JP4123733B2/ja not_active Expired - Fee Related
-
2002
- 2002-04-01 US US10/109,896 patent/US7228561B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US7228561B2 (en) | 2007-06-05 |
| JP2002304377A (ja) | 2002-10-18 |
| US20020147509A1 (en) | 2002-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4123733B2 (ja) | アクセス制御機器 | |
| US9882912B2 (en) | System and method for providing authentication service for internet of things security | |
| Bezawada et al. | Securing home IoT environments with attribute-based access control | |
| JP4441249B2 (ja) | ネットワークコンピューティング環境においてコンテキストプロパティメタデータを利用するための装置 | |
| US7493487B2 (en) | Portable computing environment | |
| AU2013100355A4 (en) | Device-specific content delivery | |
| US9148435B2 (en) | Establishment of a trust index to enable connections from unknown devices | |
| KR101940086B1 (ko) | 분산 이벤트를 처리하는 시스템, 디바이스 및 방법 | |
| MX2011000019A (es) | Sistema y metodo de cognicion de datos incorporando proteccion de seguridad autonoma. | |
| US9474011B2 (en) | Method and apparatus for providing access controls for a resource | |
| US9635017B2 (en) | Computer network security management system and method | |
| CN108111334B (zh) | 一种网络应用节点的集成系统和方法 | |
| JP2005234729A (ja) | 不正アクセス防御システム及びその方法 | |
| Goyal et al. | Securing smart home iot systems with attribute-based access control | |
| US11902278B2 (en) | Authorising operations for devices in a network | |
| EP3846031A1 (en) | Modular control system | |
| JP2021012648A (ja) | IoT機器のアクセス権管理 | |
| CN113411289B (zh) | 一种摄像头分权访问管控的系统和方法 | |
| EP3846139B1 (en) | Dynamic transport in a modular physical access control system | |
| EP3846061B1 (en) | Link selector in a modular physical access control system | |
| KR101445817B1 (ko) | 서비스 이용 제어 방법 및 장치 | |
| KR20090009416A (ko) | 홈네트워크에서 홈기기 침입탐지 방법 | |
| KR20090123868A (ko) | 네트워크를 동작시키기 위한 방법, 로컬 네트워크, 및 네트워크 성분 | |
| Sametinger | Securing Smart Homes | |
| CN110879886A (zh) | 用于运行网络服务器的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040330 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20060418 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070131 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070306 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070417 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080219 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080325 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080415 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080428 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 4123733 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110516 Year of fee payment: 3 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070417 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110516 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120516 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120516 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130516 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130516 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |