JP4757644B2 - アクセス制御システム及びアクセス制御方法 - Google Patents

アクセス制御システム及びアクセス制御方法 Download PDF

Info

Publication number
JP4757644B2
JP4757644B2 JP2006021319A JP2006021319A JP4757644B2 JP 4757644 B2 JP4757644 B2 JP 4757644B2 JP 2006021319 A JP2006021319 A JP 2006021319A JP 2006021319 A JP2006021319 A JP 2006021319A JP 4757644 B2 JP4757644 B2 JP 4757644B2
Authority
JP
Japan
Prior art keywords
usage right
usage
exercise
access control
remote
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006021319A
Other languages
English (en)
Other versions
JP2007206743A (ja
Inventor
学 道下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2006021319A priority Critical patent/JP4757644B2/ja
Publication of JP2007206743A publication Critical patent/JP2007206743A/ja
Application granted granted Critical
Publication of JP4757644B2 publication Critical patent/JP4757644B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

この発明は、遠隔操作において操作対象となる機器に対して利用権と利用権行使によるアクセス制御システム及び方法に関するものである。
データやサービスなどのコンピュータ資源に対するアクセス制御は、使用者・資源・アクセス種別などの組み合わせに対する可否を列挙することにより管理されている。一般には、1つのマトリクス表で管理するもの(例えば、SQLデータベースの権限表)、資源毎の表を資源に添付して管理するもの(例えば、ACL)、使用者毎の表をカタログで管理し上記組み合わせを指すIDを使用者が提示するもの(例えば、ケーパビリティ)が知られている。
いずれの場合にも、使用を許諾する際に可否を列挙した表に該当する組み合わせを登録しておき、使用者による資源へのアクセスが発生した時点で可否を列挙した表に問い合わせを行うことで、アクセス可否判定を行っている。
アクセス制御における資源として遠隔制御の制御対象機器を適用対象とし、アクセス種別として遠隔操作を適用対象とする場合であっても、上記のアクセス制御実現方式における管理方法はコンピュータ資源の場合と同様である。但し、その実現においては、1つのマトリクス表もしくは使用者毎の表で管理している場合には、その表は複数の制御対象機器に跨って可否情報を格納するために、制御対象機器とは別個の装置に格納されており、遠隔操作の指示を受けた制御対象機器は表を格納した装置に可否を問い合わせることになる。また、ACLでは制御対象機器と1対1に表を管理しているので、表の格納装置を制御対象機器に内蔵することができるが、遠隔操作の指示を受ける度に表に可否を問い合わせることには違いがない。
制御対象機器は、その種類によって操作が多種多様に異なることが多い。例えば、エアコンであれば暖房開始/冷房開始/停止/温度設定などの種別の操作を備えているが、VTRであれば再生/録画/停止/予約設定などの種別の操作を備えている。これらに対する操作指示を電文として表現したコマンドにおいては、エアコンの設定温度やVTRの予約録画時刻などパラメータのデータ型や表記方法はそれぞれ異なっている。これらを同一の表で管理することは困難で、個別のパラメータについては管理しないこともある。更に、使用を許諾する際にはこれらのコマンドを指定するだけではなくパラメータにも許容範囲を指定する必要があるけれども、同一の表で管理することは更に困難になる。
多様な保護対象物に対するアクセス制御が知られている(例えば、特許文献1参照)。これは保護対象となる資源(同文献ではドキュメント)の種類毎にACLのテンプレートを定めてワークフローのサーバ内に格納しておき、ワークフローで個別のドキュメントを新規作成する度に該当ドキュメント用のACLを生成するものである。個々のACLは資源・使用者などが異なったものになっているが、ワークフローに基づいて統一的なパターンのACLが生成される。そのため、アクセス種別は変わらず、固定的な操作しか許諾できない。
遠隔制御機能の利用例としては、機器製造業者や保守業者による遠隔保守業務がある。保守業務には機器の不調時にその稼動状態を診断することや、定期的に稼動状態を診断することが含まれる。これらの遠隔操作をアクセス制御の観点からみると、機器製造業者や保守業者に対して一時的にのみ使用を許諾したり、定期的な保守時間のみに使用を許諾したりする必要がある。しかし、上記のような表で使用の可否情報を管理している場合には、使用の直前に表中の該当項目を可とし、使用の直後に否としなければならないので、一時的な使用許諾の後に否に設定し忘れたり、定期的な使用の前に可に設定し忘れたりするなどの誤りを誘発しやすい。
表を用いないで資源使用の可否を制御する方法としては、デジタルコンテンツに対する利用権が知られている。これは許諾内容を示す電文で、予め利用者に渡しておき、デジタルコンテンツを視聴する際に利用者から提示され、その正当性を検証して合格ならば視聴を許可するものである。
利用権の正当性を検証しようとする先行技術が知られている(例えば、特許文献2参照)。これはPKIを用いて利用権を証明書として発行し、証明書正当性検証を用いて利用権正当性検証を実現するものである。許諾内容をどの様に記述しどの様に操作の指示と照らし合わせてアクセス可否を判定するかについては特に指定されていないので、アクセス制御として適用するのに十分であるとは言えない。
また、パラメータの許容範囲を限定して許諾されていた場合、機器を使用する際の操作指示にはパラメータの具体値を特定して、機器に対して発行する必要がある。操作指示の電文を1つの電子文書としての観点でみると、不確定な要素を排除した確定した文書でなければ、指示として曖昧性を残してしまう。利用権の様に操作内容の許諾を示す電文は、操作指示を表わす電子文書としてはパラメータの許容範囲という不確定要素を含んでいるため不完全である。更にパラメータの許容範囲を含むか否かにかかわらず、利用権には「指示を出す」または「指示を出さない」という選択肢をも暗黙の内に含んでいるため、操作指示を示す電子文書としては曖昧性を持ち不完全である。
許諾された許容範囲を更に限定しようとする先行技術が知られている(例えば、特許文献3参照)。これはコンテンツ視聴のペアレンタルコントロールを利用権で実現するもので、親が購入した利用権に対して更に制限を追記して新たな利用権を作成し、実際に視聴する子供に授与するものである。許諾内容を限定するものではあるが特定できていないので、遠隔操作の指示の様に確定した電子文書を必要とする用途には適用することができない。
また、遠隔操作を行うにあたって、その通信路としてインターネットなどの公開された通信路を用いる場合には、操作指示は途中で改竄(かいざん)される危険性に曝されている。許諾内容を示す電文としての利用権は、不正な利用を試みる利用者自身によって改竄される危険性に曝されている。
操作指示に対する改竄を検出しようとする先行技術が知られている(例えば、特許文献4参照)。これは操作指示を表わす電文に電子署名を付与して機器に送り、操作指示を受け取った機器が署名検証により改竄を検出するものである。この技術には利用権もしくはアクセス制御一般との係わり合いについて何ら言及されておらず、利用権の改竄もしくは許諾内容の無視を招くおそれがある。
特開2004−133816号公報 特開2004−302835号公報 特開2003−131751号公報 特開平11−175202号公報
従来のように使用者・資源・アクセス種別の組み合わせに対する可否情報を表に纏めて管理する方法では、機器の遠隔操作に対するアクセス制御を実現する場合に、必要となる多種多様なコマンドとそれぞれに異なるパラメータの指定方法と許諾毎に異なるパラメータ許容範囲について、同一の表に纏めることが困難であるため、ACLなどの表を用いる従来のアクセス制御技術では管理が困難であった。
また、ワークフロー用に個別ドキュメント毎のACLを生成する方法を機器の遠隔操作に流用しても、使用者に対して固定的な操作しか許諾しないので、使用者毎に別の操作を許諾したり、あるいは使用者毎に操作の許容範囲を設けてその範囲内での操作選択の自由度を与えることが困難であった。
また、遠隔制御を用いた機器の遠隔保守業務において機器不調時の保守などのような際に一時的に使用を許諾したり定期的な保守時間のみに使用を許諾したりする場合に、一時的な使用の後に使用の可否情報を否に設定し忘れたり、定期的な使用の前に使用の可否情報を可に設定し忘れたりする問題があった。
従来のように利用権に基づいてアクセス可否を判定する方法では、機器の遠隔操作に対するアクセス制御を実現する場合に、利用権が正当であることを検証するだけではなく、利用権内に記述された許諾内容に操作指示を照らし合わせる方法を、別途設けなければならないという問題があった。
また、利用権自体は操作指示を示す電子文書として不完全であるため、利用権を提示するだけでは機器の遠隔操作を行うには不十分だった。利用権に示された許諾された許容範囲を限定する方法があるとしても、その結果として得られた電子文書が利用権である限り使用者に選択肢を与えており、操作指示になり得なかった。
また、操作指示は通信路において改竄されるおそれがあり、利用権は利用者によって改竄されるおそれがあった。
この発明は、上述のような課題を解決するためになされたもので、第1の目的は、機器の遠隔操作において機器の使用の許諾内容として操作の許容範囲を設けた上で、使用者に操作選択の自由度を与えて操作指示を作成させることができる様にし、かつ使用者の作成した操作指示に対しては、許諾内容に基づいた検証を行うことによりアクセス可否を判定する、アクセス制御システム及び方法を得るものである。
また、第2の目的は、許諾内容の使用者による改竄もしくは操作指示の通信経路における改竄によって発生しうる不正使用を防ぐことができるアクセス制御システム及び方法を得るものである。
また、第3の目的は、機器操作に用いる多種多様なコマンドとそれぞれに異なるパラメータの指定方法と許諾毎に異なるパラメータ許容範囲について、管理を容易にしたアクセス制御システム及び方法を得るものである。
さらに、第4の目的は、許諾内容として使用者・資源・アクセス種別に加えて、使用可能な時間などを含む利用条件を加味できるアクセス制御システム及び方法を得るものである。
この発明に係るアクセス制御システムは、機器所有者が許諾の際に、利用権被付与者、制御対象機器、コマンド、パラメータ許容範囲、利用条件、及び機器所有者の署名を含む利用権を発行する利用権発行装置と、前記利用権発行装置から前記利用権を受け取って格納し、機器使用者が制御対象機器を操作する際に、前記利用権、パラメータ具体値、及び機器使用者の署名を含む利用権行使を発行する遠隔制御装置と、前記遠隔制御装置から前記利用権行使を受信し、前記利用権行使に含まれる全ての項目について正当性を検証し、全ての項目が合格したとき、前記利用権行使に関する検証結果が合格となりアクセス可と判定して、前記利用権行使からコマンドとパラメータ具体値を抽出し、全ての項目のうち1つでも不合格であれば、前記利用権行使に関する検証結果が不合格となりアクセス不可と判定して、制御対象機器の操作を拒絶する遠隔被制御装置と、コマンドとパラメータ具体値を実行する制御対象機器の操作入力装置とを設けたものである。
この発明に係るアクセス制御システムは、使用許諾内容を表記した利用権を制御指示である利用権行使に内包しているので、許諾内容を機器に保存しておく必要がないという効果がある。また、使用可否を列挙する表内に、機器毎に異なるコマンドのそれぞれで異なるパラメータ指定方法にもとづくパラメータ許容範囲を、纏めて管理する必要がないという効果がある。
実施の形態1.
この発明の実施の形態1に係るアクセス制御システムについて図1から図5までを参照しながら説明する。図1は、この発明の実施の形態1に係るアクセス制御システムの許諾フェーズにおける構成を示す図である。なお、以降では、各図中、同一符号は同一又は相当部分を示す。
図1において、この実施の形態1に係るアクセス制御システムの許諾フェーズには、利用権3を発行する機器所有者1の利用権発行装置2と、利用権3を受け取る機器使用者4の遠隔制御装置5とが設けられている。
機器所有者1は、許諾の際に、利用権発行装置2に許諾内容を入力し、利用権3を発行する。機器使用者4は、利用権3を遠隔制御装置5に格納する。利用権発行装置2によって発行された利用権3は、接続された通信路などによって遠隔制御装置5に直に送付されてもよい。あるいは、図に示していない記憶媒体に一旦格納され、その記憶媒体を機器所有者1から機器使用者4へ手渡し、機器使用者4がその記憶媒体から遠隔制御装置5に格納してもよい。
図2は、この発明の実施の形態1に係るアクセス制御システムの利用権の電文の構成を示す図である。
図2において、利用権3には、利用権被付与者3aを指定する電文と、制御対象機器3bを指定する電文と、コマンド3cと、パラメータ許容範囲3dと、利用条件3eと、機器所有者1の署名3fとが設けられている。
利用権3は、許諾内容として電文3a〜3eを含み、署名3fが付与されている。機器所有者1の署名3fが付与されているので、利用権3が利用権発行装置2で発行されてから遠隔制御装置5に格納されるまでの間に改竄(かいざん)されていたとしても、遠隔制御装置5は署名3fを検証することによって検出することができる。また、利用権被付与者3aが機器使用者4を指しているかどうかを検証することによって、他人用の利用権でないことを検出できる。
図3は、この発明の実施の形態1に係るアクセス制御システムの利用フェーズにおける構成を示す図である。
図3において、この実施の形態1に係るアクセス制御システムの許諾フェーズには、利用権行使6を発行する機器使用者4の遠隔制御装置5と、通信路7を経由して利用権行使6を受信し、利用権行使6からコマンドとパラメータ具体値9を抽出する遠隔被制御装置8と、コマンドとパラメータ具体値9を実行する制御対象機器の操作入力装置10とが設けられている。
機器使用者4は、機器使用の際に遠隔制御装置5を操作して利用権行使6を発行し、制御指示として遠隔被制御装置8に向けて送信する。利用権行使6は、通信路7を経由して遠隔被制御装置8に受信され、その正当性を検証される。検証結果が合格ならばアクセス可と判定して、利用権行使6に内包されたコマンドとパラメータ具体値9を抽出し、制御対象機器の操作入力装置10に伝え、該当コマンドを実行する。検証結果が不合格ならばアクセス不可と判定して、コマンドとパラメータ具体値9を抽出せず、操作を拒絶する。
なお、説明上、遠隔被制御装置8を制御対象機器の外部に持つかの様に記述したが、制御対象装置が遠隔被制御装置8を内蔵している場合であっても同様である。
図4は、この発明の実施の形態1に係るアクセス制御システムの利用権行使の電文の構成を示す図である。
図4において、利用権行使6には、利用権3と、パラメータ具体値6dと、機器使用者4の署名6fとが設けられている。
利用権行使6は、電文3と6dを含み、署名6fが付与されている。機器使用者4の署名6fが付与されているので、利用権行使6が遠隔制御装置5で発行されてから遠隔被制御装置8に到着するまでの間の通信路7等で改竄されていたとしても、遠隔被制御装置8は署名6fを検証することによって検出することができる。また、署名3fが利用権3に付与されたままなので、利用権3が利用権発行装置2で発行されてから遠隔被制御装置8に到着するまでの間の機器使用者4や遠隔制御装置5や通信路7などで改竄されていたとしても、遠隔被制御装置8は署名3fを検証することによって検出することができる。
よって、利用権行使6に内包された利用権被付与者3a、制御対象機器3b、コマンド3c、パラメータ許容範囲3d、利用条件3eは、確かに機器所有者1によって許諾されたものであることを、遠隔被制御装置8は以後の判断処理の礎とすることができる。また、利用権3とパラメータ具体値6dの組み合わせは、確かに機器使用者4によって指示されたものであることを、遠隔被制御装置8は以後の判断処理の礎とすることができる。また、パラメータ許容範囲3dに基づいてパラメータ具体値6dを照らし合わせることにより、パラメータ具体値6dに関する機器所有者1の越権行為がないかどうかを検査することができる。また、利用条件3eを遠隔被制御装置8の環境状況に照らし合わせることにより、利用条件3eに関する機器所有者1の越権行為がないかどうかを検査することができる。これらの検査に全て合格したとき、利用権行使6に関する検証結果が合格となり、アクセス可能と判定されることになる。逆に1つでも不合格であったならば、利用権行使6に関する検証結果が不合格となり、アクセス不可と判定されることになる。
つぎに、この実施の形態1に係るアクセス制御システムの動作について図面を参照しながら説明する。図5は、この発明の実施の形態1に係るアクセス制御システムにおける正当行為と越権行為の相違を示す図である。
この図5は、実施の形態1をビル管理サービスでのエアコン遠隔制御に適用した例を示すものである。
ビルオーナー(機器所有者)1は、ビル内のエアコン(制御対象機器の操作入力装置)10の遠隔制御をビル管理サービスの提供者(機器使用者)4に任せているが、度を越した操作を行わせないために、エアコン遠隔操作に関する利用権3を用いて、許諾する操作を限定している。
図5の上段の許諾フェーズでは、エアコンに対する冷房開始・停止・温度設定27〜30℃の3操作を、ビル管理サービス提供者4に許諾しており、それぞれに対応する利用権3をビル管理サービスの提供者4に渡している。ビル管理サービス提供者4は、利用権3を集中管理装置(遠隔制御装置)5に格納しておく。
図5の下段の利用フェーズでは、ビル管理サービス提供者4は、集中管理装置5を用いて利用権行使6を発行し、エアコン10に対する制御指示として送る。このとき、温度設定27〜30℃の利用権3を内包する利用権行使6にパラメータ具体値27℃を採用して発行した利用権行使6の場合には、エアコン10に内蔵された遠隔被制御装置8でその正当性を検証され、合格となるので、エアコン10は設定温度を27℃にする。
しかし、温度設定27〜30℃の利用権3を内包する利用権行使6にパラメータ具体値25℃を採用して発行したとしても、遠隔被制御装置8は、パラメータ具体値25℃が越権行為であることを検出し、不合格となるので、エアコン10は設定温度を変更しない。
実施の形態2.
この発明の実施の形態2に係るアクセス制御システムについて図6及び図7を参照しながら説明する。図6は、この発明の実施の形態2に係るアクセス制御システムの利用フェーズにおける構成を示す図である。
図6において、機器使用者4〜制御対象機器の操作入力装置10は、図3と同様である。機器使用者4は、遠隔制御装置5を1台のみ保有しているものとする。遠隔制御装置5は、シーケンス番号カウンタ11を制御対象機器の個数分保有している。また、遠隔被制御装置8は、最新シーケンス番号記録装置12を機器使用者4の人数分保有している。
シーケンス番号カウンタ11は、該当の制御対象機器に利用権行使6を発行するたびにシーケンス番号を増やす。この時、発行された利用権行使6は、新しいシーケンス番号を内包する。
最新シーケンス番号記録装置12は、該当の機器使用者4からの利用権行使6を受信するたびに、利用権行使6に内包されたシーケンス番号を格納済みのシーケンス番号と比較する。利用権行使6に内包されたシーケンス番号の方が小さいかまたは等しいならば、検査不合格とし、大きいならば、シーケンス番号に関する検査は合格とする。利用権行使6の検証結果が合格であるとき、最新シーケンス番号記録装置12に記録されていたシーケンス番号を、利用権行使6に内包されていたシーケンス番号で更新する。
図7は、この発明の実施の形態2に係るアクセス制御システムの利用権行使の電文の構成を示す図である。
図7において、利用権3、利用権被付与者3a〜機器所有者1の署名3f、利用権行使6、パラメータ具体値6d、機器使用者4の署名6fは、図4と同様である。シーケンス番号6gが追加されている。
利用権行使6は、シーケンス番号6gを内包したまま署名6fを付与されているので、通信路7においてシーケンス番号6gが改竄されたとしても遠隔被制御装置8で検出することができる。よって、通信路7において利用権行使6を盗聴・隠匿していた第三者が遠隔被制御装置8に対して再送を行ったり、正当な機器使用者4が発行する前にシーケンス番号6gを予測して偽造の利用権行使6を送信したとしても、遠隔被制御装置8で検出され制御指示は拒絶される。
また、再送・偽造は、通信路7において行われたものに限らず、例えば機器使用者4が事業体を表わして正規の担当者のみが正規のシーケンス番号6gの利用権行使6を持っており、不正担当者が過去のシーケンス番号6gの利用権行使6を隠匿している場合にも発生しうる。しかし、この場合でも、正規担当者による遠隔操作のみがアクセス許可となり、不正担当者による遠隔操作がアクセス不可となる
実施の形態3.
この発明の実施の形態3に係るアクセス制御システムについて図8を参照しながら説明する。図8は、この発明の実施の形態3に係るアクセス制御システムの利用権における利用条件の種類例を示す図である。
これらの利用条件は、図4の説明で示したように改竄を受けた場合に検出できるので、機器所有者1が許諾した内容であると、遠隔被制御装置8は判断処理の礎にすることができる。これらの利用条件と、遠隔被制御装置8が有する時計・カレンダーの値を照らし合わせることにより、利用条件に関する機器使用者4の越権行為がなかったかどうかを検査することができる。
また、利用条件については、日時に限らず、遠隔被制御装置8がセンサー等によって得ることのできる計測値に関する条件を利用権3に記載することも可能であり、この場合にも遠隔被制御装置8では越権行為がなかったかどうかを検査することができる。
すなわち、この発明に係るアクセス制御システム及び方法においては、機器所有者1が機器使用者4に使用を許諾する際には、許諾内容を表記した電文である利用権3を機器使用者4に付与する。利用権3に表記される許諾内容としては、許諾される利用者となる利用権被付与者3aと、許諾される資源であるところの制御対象機器3bと、許諾されるアクセス種別であるところのコマンド3cと、そのコマンドに対するパラメータの許諾される許容範囲3dと、利用可能時間などの利用条件3eが記載される。機器使用者4が機器を使用する際には、利用権3に記載されたパラメータの許容範囲の中で、所望のパラメータ具体値を採用し、利用権3にパラメータ具体値6dを付記した電文である利用権行使6を作成し、制御指示として機器に送る。遠隔制御では、制御指示は機器使用者4と機器の間の通信路7を経由して送られる。利用権行使6に内包される利用権3に表記された利用権被付与者は、遠隔制御においては使用者として扱われ、利用権行使6に内包される利用権3に表記された機器は、遠隔制御においては制御対象機器として扱われ、利用権行使6に内包される利用権3に表記されたコマンドと利用権行使6に内包されるパラメータは、遠隔制御における制御対象機器への操作として扱われる。制御指示を受け取った機器は、遠隔制御における前述の使用者・制御対象機器・操作、および時刻などの環境状況を、制御指示である利用権行使6に内包される利用権3に表記されている許諾内容に照らし合わせることにより、利用権行使6の正当性を検証する。検証結果が合格ならばアクセス可と判定して、操作に従う。検証結果が不合格ならばアクセス不可と判定して、操作を拒絶する。
パラメータの許容範囲は、許諾された値を列挙することで示してもよいし、許諾された上限と下限の値を指定することで示してもよい。また、元来パラメータをとらないコマンドであっても、利用権と利用権行使が紛れずに区別され、利用権行使を制御指示として用いていればよい。
利用権3は、機器所有者1から機器使用者4へ渡される途中で第三者による改竄を受けないように、機器所有者1の署名を付与しておく。更に、機器使用者4から機器に送られる利用権行使6に内包される利用権3は、機器使用者4による改竄がないことを示すために、機器所有者1の署名を付与したままにしておく。また、利用権3とパラメータ具体値6dを内包する利用権行使6は、機器使用者4から機器へ送られる途中で第三者による改竄を受けないように、機器使用者4の署名を付与しておく。通信路7を経由して制御指示を受け取った機器は、利用権行使6に対する署名と署名者(=機器使用者4)を検証し、利用権行使6に内包される利用権3の署名と署名者(=機器所有者1)を検証し、パラメータの具体値6dを利用権3に表記されたパラメータの許容範囲に照らし合わせて検証することにより、制御指示が許諾内容に沿ったものであるか否かを判別し、許諾内容に沿ったものであるならばその制御指示を実行する。
なお、上記においては機器所有者1が許諾を行う場合を想定して手段を説明したものであるが、機器管理者が許諾を行う場合であっても同様である。
この発明に係るアクセス制御システムにおいては、遠隔制御装置5は、機器に対する指示として利用権行使6の電文を作成し送信し、遠隔被制御装置8は、利用権行使6の電文を受信し検証するので、操作可否を判定することができるという効果がある。
遠隔制御装置5は、機器使用者4の操作の際に利用権行使6の電文を作成し送信する場合には、制御指示を即時に送信しているので、機器使用者4の操作の後に利用権行使6の電文を保管しておく必要がないという効果がある。
遠隔制御装置5は、発行日の欄に発行予定日時を記入して予め作成しておいた利用権行使6の電文を、その発行予定日時に自動送信する。利用権行使6の発行時刻に先立って予め作成されていた利用権行使6の電文を、利用権行使6の発行時刻に自動送信する場合には、予め定めておいた時刻に制御指示を送っているので、遠隔操作をスケジュールすることができるという効果がある。
遠隔被制御装置8は、利用権3に付与された署名の検証のために公開鍵を保有し、利用権発行装置2は、利用権3に署名を付与するために秘密鍵を保有している。利用権発行装置2と遠隔被制御装置8を同一の筐体に格納する場合には、本来一対のものである公開鍵と秘密鍵を同一の筐体に格納することになるので、管理が容易になるという効果がある。
遠隔被制御装置8は、利用権3に付与された署名の検証のために公開鍵を保有し、利用権発行装置2は、利用権3に署名を付与するために秘密鍵を保有している。公開鍵と秘密鍵の格納先は必ずしも同一でなくてもよいので、遠隔被制御装置8を格納する筐体は利用権発行装置2を格納しない分だけ小さくすることができるという効果がある。なお、利用権発行装置2は、望ましくは、利用権3に記載される許諾内容を表示する手段と、許諾内容を入力する手段もしくは他所で作成された許諾内容に同意するか否かを入力する手段を備えるので、視認性確保と誤操作回避できる程度には大きさを備えていなければならないと想定される。
また、この発明に係るアクセス制御方法においては、使用許諾内容を表記した利用権3を制御指示である利用権行使6に内包しているので、許諾内容を機器に保存しておく必要がないという効果がある。また、使用可否を列挙する表内に、機器毎に異なるコマンドのそれぞれで異なるパラメータ指定方法にもとづくパラメータ許容範囲を、纏めて管理する必要がないという効果がある。
また、利用権行使6の電文に内包された利用権3の電文には、遠隔操作のコマンドのパラメータ許容範囲を表記しており、かつ利用権行使6の電文にはパラメータ具体値6dが内包されているので、制御指示として用いられている利用権行使6の電文のみで、パラメータ具体値6dを許容範囲に照らし合わせた検証を行うことができるという効果がある。また、利用権行使6にパラメータ許容範囲3dを表記することで、利用者に操作選択の自由度を与えることができるという効果がある。
特に、利用権3の電文に表記されたパラメータ許容範囲3dとして、許諾された値を列挙する場合には、機器使用者4は利用権行使6の電文を作成する際に、パラメータ具体値6dとして、許諾された離散値のいずれかを選択することができる。
また、利用権3の電文に表記されたパラメータ許容範囲3dとして、許諾された値の上限と下限を指定する場合には、機器使用者4は利用権行使6の電文を作成する際に、パラメータ具体値6dとして、許諾された連続値のいずれかを選択することができる。
また、利用権3の電文には機器所有者1による電子署名3fを付与しており、かつ制御指示である利用権行使6の電文には電子署名3fを付与したままの利用権3の電文を含んでいるので、機器使用者4による利用権改竄の有無を検証できるという効果がある。また、利用権行使6の電文には機器使用者4による電子署名6fを付与しているので、通信路7における利用権行使改竄の有無を検証できるという効果がある。それぞれの電子署名は一般に署名付与者を特定できることは言うまでもない。
また、利用権行使6の発行間隔よりも短い時刻精度で利用権行使6の発行時刻表記を定め、利用権行使6の電文に利用権行使の発行時刻を内包する場合には、利用権行使6の電文は機器使用の各々を特定する電文となっているので、同一電文の複数回受信が発生したとしてもそれらが重複であること検出できる。これは制御指示を通信路7上の第三者が取得し、再送攻撃を行っていたとしても、正しく1つの制御指示のみを実行できるという効果がある。
また、利用権行使6の電文に利用権行使のシーケンス番号6gを内包する場合には、利用権行使6の電文は機器使用の各々を特定する電文となっているので、同一電文の複数回受信が発生したとしてもそれらが重複であること検出できる。これは制御指示を通信路7上の第三者が取得し、再送攻撃を行っていたとしても、正しく1つの制御指示のみを実行できるという効果がある。
また、利用権3の電文に利用条件3eを内包する場合には、制御指示である利用権行使6の電文は利用権3電文を介して利用条件を内包しているので、制御指示は操作可否を判定される際に利用条件を供することができるという効果がある。
特に、利用権3の電文に内包された利用条件3eが、一時的な使用可能日、使用可能時間を表わす場合には、遠隔保守業務で機器の不調時の遠隔診断などの様な一時的な遠隔操作に対しても許諾を行うことができる。この許諾は、使用可能日・時間が過ぎれば自動的に遠隔操作不可となるので、殊更に撤回のためのアクセス制御管理操作を行う必要がないという効果がある。
また、利用権3の電文に内包された利用条件3eが、定期的な使用可能日、使用可能時間を表わす場合には、遠隔保守業務で機器の稼動状態の点検などの様な定期的な遠隔操作に対しても許諾を行うことができる。この許諾は、使用可能日・時間になれば自動的に遠隔操作可能となり、過ぎれば自動的に遠隔操作不可となるので、定期点検の度にアクセス制御管理操作を行う必要がないという効果がある。
また、利用権3の電文に内包された利用条件3eが、利用権行使6の発行回数の上限を表わし、制御指示を受信する装置に利用権毎の受信回数を記録する場合には、利用権行使6の受信回数と利用権3の電文に内包された発行回数の上限とを照らし合わせることにより、操作可否を判定することができるという効果がある。
また、利用権3の電文に内包された利用条件3eが、機器の内部もしくは外部のセンサの計測値に対する許容範囲を表わし、制御指示を受信する装置でそのセンサの計測値を得られる場合には、その計測値と利用権3の電文に内包された計測値の許容範囲とを照らし合わせることにより、操作可否を判定することができるという効果がある。
この発明は、主として遠隔制御における機器使用者4の不正使用を防ぐ目的と、通信路7上の第三者からの不正使用を防ぐ目的に適うものである。実施の形態に例示したビルエアコンやビル管理サービスや保守業務に限定されるものではなく、プラント・製造機械・家電機器・PC・ネットワーク機器などの他の機器類、省エネやサービス間連携などの他の役務にも利用可能である。
この発明の実施の形態1に係るアクセス制御システムの許諾フェーズにおける構成を示す図である。 この発明の実施の形態1に係るアクセス制御システムの利用権の電文の構成を示す図である。 この発明の実施の形態1に係るアクセス制御システムの利用フェーズにおける構成を示す図である。 この発明の実施の形態1に係るアクセス制御システムの利用権行使の電文の構成を示す図である。 この発明の実施の形態1に係るアクセス制御システムにおける正当行為と越権行為の相違を示す図である。 この発明の実施の形態2に係るアクセス制御システムの利用フェーズにおける構成を示す図である。 この発明の実施の形態2に係るアクセス制御システムの利用権行使の電文の構成を示す図である。 この発明の実施の形態3に係るアクセス制御システムの利用権における利用条件の種類例を示す図である。
符号の説明
1 機器所有者、2 利用権発行装置、3 利用権、4 機器使用者、5 遠隔制御装置、6 利用権行使、7 通信路、8 遠隔被制御装置、9 コマンドとパラメータ具体値、10 制御対象機器の操作入力装置、11 シーケンス番号カウンタ、12 最新シーケンス番号記録装置。

Claims (14)

  1. 機器所有者が許諾の際に、利用権被付与者、制御対象機器、コマンド、パラメータ許容範囲、利用条件、及び機器所有者の署名を含む利用権を発行する利用権発行装置と、
    前記利用権発行装置から前記利用権を受け取って格納し、機器使用者が制御対象機器を操作する際に、前記利用権、パラメータ具体値、及び機器使用者の署名を含む利用権行使を発行する遠隔制御装置と、
    前記遠隔制御装置から前記利用権行使を受信し、前記利用権行使に含まれる全ての項目について正当性を検証し、全ての項目が合格したとき、前記利用権行使に関する検証結果が合格となりアクセス可と判定して、前記利用権行使からコマンドとパラメータ具体値を抽出し、全ての項目のうち1つでも不合格であれば、前記利用権行使に関する検証結果が不合格となりアクセス不可と判定して、制御対象機器の操作を拒絶する遠隔被制御装置と
    コマンドとパラメータ具体値を実行する制御対象機器の操作入力装置と
    を備えたことを特徴とするアクセス制御システム。
  2. 前記遠隔制御装置は、機器使用者の手動操作の時点で前記利用権行使を作成し送信する
    ことを特徴とする請求項1記載のアクセス制御システム。
  3. 前記遠隔制御装置は、発行日の欄に発行予定日時を記入して予め作成しておいた利用権行使を、前記発行予定日時に自動送信する
    ことを特徴とする請求項1記載のアクセス制御システム。
  4. 前記利用権発行装置による利用権の署名付与処理には公開鍵暗号方式の秘密鍵による暗号化を含み、
    前記遠隔被制御装置による利用権の署名検証処理には公開鍵暗号方式の公開鍵による暗号化を含み、
    かつ前記利用権発行装置と前記遠隔被制御装置は、同一の筐体内に格納されている
    ことを特徴とする請求項1から請求項3までのいずれかに記載のアクセス制御システム。
  5. 前記利用権発行装置による利用権の署名付与処理には公開鍵暗号方式の秘密鍵による暗号化を含み、
    前記遠隔被制御装置による利用権の署名検証処理には公開鍵暗号方式の公開鍵による暗号化を含み、
    かつ前記利用権発行装置と前記遠隔被制御装置は、異なる筐体内に格納されている
    ことを特徴とする請求項1から請求項3までのいずれかに記載のアクセス制御システム。
  6. 利用権発行装置により、機器所有者が許諾の際に、利用権被付与者、制御対象機器、コマンド、パラメータ許容範囲、利用条件、及び機器所有者の署名を含む利用権を発行する使用許諾ステップと、
    遠隔制御装置により、前記利用権発行装置から前記利用権を受け取って格納し、機器使用者が制御対象機器を操作する際に、前記利用権、パラメータ具体値、及び機器使用者の署名を含む利用権行使を発行する遠隔操作ステップと、
    遠隔被制御装置により、前記遠隔制御装置から前記利用権行使を受信し、前記利用権行使に含まれる全ての項目について正当性を検証し、全ての項目が合格したとき、前記利用権行使に関する検証結果が合格となりアクセス可と判定して、前記利用権行使からコマンドとパラメータ具体値を抽出し、全ての項目のうち1つでも不合格であれば、前記利用権行使に関する検証結果が不合格となりアクセス不可と判定して、制御対象機器の操作を拒絶する操作可否判定ステップと
    制御対象機器の操作入力装置により、コマンドとパラメータ具体値を実行する実行ステップと
    を含むことを特徴とするアクセス制御方法。
  7. 前記パラメータ許容範囲として、許諾された値を列挙した
    ことを特徴とする請求項6記載のアクセス制御方法。
  8. 前記パラメータ許容範囲として、許諾された値の上限と下限を指定した
    ことを特徴とする請求項6記載のアクセス制御方法。
  9. 前記制御対象機器の操作の各々を特定する電文として、前記利用権行使に行使の発行時刻を内包させた
    ことを特徴とする請求項6記載のアクセス制御方法。
  10. 前記制御対象機器の操作の各々を特定する電文として、前記利用権行使にシーケンス番号を内包させた
    ことを特徴とする請求項6記載のアクセス制御方法。
  11. 前記利用条件として、一時的な使用可能日、又は使用可能時間を表記した
    ことを特徴とする請求項6記載のアクセス制御方法。
  12. 前記利用条件として、定期的な使用可能日、又は使用可能時間を表記した
    ことを特徴とする請求項6記載のアクセス制御方法。
  13. 前記利用条件として、同一利用権を基にして利用権行使を発行する回数上限を表記した
    ことを特徴とする請求項6記載のアクセス制御方法。
  14. 前記利用条件として、前記遠隔被制御装置の内部もしくは外部のセンサの計測値に対する許容範囲を表記した
    ことを特徴とする請求項6記載のアクセス制御方法。
JP2006021319A 2006-01-30 2006-01-30 アクセス制御システム及びアクセス制御方法 Expired - Fee Related JP4757644B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006021319A JP4757644B2 (ja) 2006-01-30 2006-01-30 アクセス制御システム及びアクセス制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006021319A JP4757644B2 (ja) 2006-01-30 2006-01-30 アクセス制御システム及びアクセス制御方法

Publications (2)

Publication Number Publication Date
JP2007206743A JP2007206743A (ja) 2007-08-16
JP4757644B2 true JP4757644B2 (ja) 2011-08-24

Family

ID=38486207

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006021319A Expired - Fee Related JP4757644B2 (ja) 2006-01-30 2006-01-30 アクセス制御システム及びアクセス制御方法

Country Status (1)

Country Link
JP (1) JP4757644B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201335787A (zh) * 2012-02-23 2013-09-01 Hon Hai Prec Ind Co Ltd 虛擬機安全操作系統及方法
JP6005576B2 (ja) * 2013-04-12 2016-10-12 株式会社日立産機システム 位置情報発信装置および位置情報発信装置の認証システム
JP6186261B2 (ja) * 2013-12-06 2017-08-23 日本電信電話株式会社 開示度制御装置、開示度制御方法及びプログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08153072A (ja) * 1994-09-30 1996-06-11 Toshiba Corp 計算機システム及び計算機システム管理方法
JP3651998B2 (ja) * 1996-02-20 2005-05-25 キヤノン株式会社 カメラ制御装置、カメラ制御方法及びカメラシステム
JP2001051948A (ja) * 1999-08-16 2001-02-23 Matsushita Electric Ind Co Ltd アクセス制御装置及びアクセス制御システム

Also Published As

Publication number Publication date
JP2007206743A (ja) 2007-08-16

Similar Documents

Publication Publication Date Title
CN106031086B (zh) 用于生成设备证书和检验设备证书的有效性的方法和系统
US20180315055A1 (en) Blockchain For Issue/Defect Tracking System
CN108370314B (zh) 使用数据的安全存储和检索的装置
US10438170B2 (en) Blockchain for program code credit and programmer contribution in a collective
US7748042B2 (en) Security vulnerability determination in a computer system
EP0999490A2 (en) Security monitoring apparatus based on access log and method thereof
JP5964077B2 (ja) 制御プログラム管理システム、及び制御プログラムの変更方法
CN107210919A (zh) 在设备与装置之间建立信任的方法
CN105900398B (zh) 用于燃料分配器安全的系统、安全服务器和燃料分配器
EA007089B1 (ru) Система и способ для передачи, хранения и извлечения аутентифицированных документов
CN101816006A (zh) 用于web服务的安全性策略验证
CN116057524A (zh) 用于验证工业控制系统的部件的系统和方法
Richter et al. Security digital evidence
CN109274650A (zh) 一种电子影像调阅的管理系统及方法
JP4757644B2 (ja) アクセス制御システム及びアクセス制御方法
CN114925141B (zh) 一种基于区块链的云原生自动化部署管理系统及方法
US20130268764A1 (en) Data event authentication and verification system
Weldemariam et al. Formal specification and analysis of an e-voting system
JP2016199842A (ja) 紡績機の装置機能の許可方法
JP5730735B2 (ja) セキュリティ管理システム及び方法並びにプログラム
JP2007220108A (ja) 動作データを安全に伝送する方法
CN115983724B (zh) 一种产品质量验收方法和系统
Shirtz et al. Enhancing Energy Sector Resilience: Integrating Security by Design Principles
JP7517723B2 (ja) 電子署名システム、電子署名方法及び、電子署名プログラム
KR102378989B1 (ko) 산업제어시스템 운영 환경을 고려한 취약점 시험 결과 확인 시스템 및 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080612

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110531

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110601

R150 Certificate of patent or registration of utility model

Ref document number: 4757644

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140610

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees