JP6328290B2 - 端末、アクセス制限方法およびプログラム - Google Patents
端末、アクセス制限方法およびプログラム Download PDFInfo
- Publication number
- JP6328290B2 JP6328290B2 JP2017074210A JP2017074210A JP6328290B2 JP 6328290 B2 JP6328290 B2 JP 6328290B2 JP 2017074210 A JP2017074210 A JP 2017074210A JP 2017074210 A JP2017074210 A JP 2017074210A JP 6328290 B2 JP6328290 B2 JP 6328290B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- access
- user
- resource
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、端末内にインストールされたアプリケーションが、端末使用者のリソースにアクセスすることを制限する端末、アクセス制限方法およびプログラムに関する。
android(登録商標)OSなどに代表される携帯端末用オープンプラットフォームでは、不適切なリソースへのアクセスを防止するためにパーミッションと呼ばれる機構を用いる。これらのプラットフォーム上では、アプリケーションをインストールする際に、アクセスが必要なリソースの一覧をユーザに提示し、ユーザがそれに了承しない限りアプリケーションのインストールを実行することができない。そのため、ソースファイルをリパッケージングして、アクセスを許可したリソースに対するインタフェースに監視機能を追加し、アクセス毎にユーザに許可を求める技術が提案されている(例えば、非特許文献1参照。)。
Rubin Xu,Hassen Saidi, and Ross Anderson,"Aurasium:Practical Policy Enforcement for Android Applications", USENIX Security’12.
しかしながら、パーミッションは予めプラットフォーム提供者によって定められているため、粒度が不適切な場合に対応できない。例えば、インターネットアクセスを許可したアプリケーションに対して、アクセスが想定される正規のサイトへのアクセスは許可するが、想定外の不正なサイトにアクセスすることは許可しない、といった制限ができないことがある。また、非特許文献1に記載の技術では、アクセス毎にユーザに許可を求めることで利便性が低下してしまうという問題がある。
そこで、本発明は、上述の課題に鑑みてなされたものであり、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことを可能にする端末、アクセス制限方法およびプログラムを提供することを目的とする。
本発明は、上記の課題を解決するために、以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。
(1)本発明は、所望の粒度で自らアクセス制限を行なうアプリケーション(例えば、図1、図2のアプリケーション210に相当)を備えた端末であって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する処理手段(例えば、図1、図2の処理部211に相当)と、前記アプリケーションの独自の処理動作を実行する実行手段(例えば、図1、図2の実行部212に相当)と、該アプリケーションがユーザのリソースにアクセスを行おうとしたことを検知するアクセス検知手段(例えば、図1、図2のアクセス検知部214に相当)と、該アクセス検知手段が、ユーザのリソースへのアクセスを検出したときに、ユーザのアクセスポリシを参照して、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行うアクセス制限手段(例えば、図1、図2のアクセス制限部213に相当)と、を備えるとともに、前記ユーザのアクセスポリシを記憶するアクセスポリシ記憶部(例えば、図1、図4のアクセスポリシ記憶部220に相当)と、前記ユーザのリソースを記憶するリソース記憶部(例えば、図1、図4のリソース記憶部230に相当)と、を備えたことを特徴とする端末を提案している。
この発明によれば、アプリケーションの処理手段は、アプリケーションサーバとの間でのデータ通信を処理する。実行手段は、アプリケーションの独自の処理動作を実行する。アクセス検知手段は、アプリケーションがユーザのリソースにアクセスを行おうとしたことを検知する。アクセス制限手段は、アクセス検知手段が、ユーザのリソースへのアクセスを検出したときに、ユーザのアクセスポリシを参照して、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。
(2)本発明は、(1)の端末について、前記ユーザのリソース、アクセスポリシを記憶する記憶装置(例えば、図2のアクセスポリシサーバ300、リソースサーバ400に相当)を外部に備えたことを特徴とする端末を提案している。
この発明によれば、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えた。これにより、端末外のユーザのリソース、アクセスポリシを利用することができる。
(3)本発明は、アプリケーションと、該アプリケーションのアクセス制限を行なうアクセス制限手段(例えば、図7、図8のアクセス制限部251に相当)とを備え、前記アクセス制限手段が所望の粒度でアプリケーションに対するアクセス制限を行なう端末であって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する処理手段(例えば、図7、図8の処理部211に相当)と、前記アプリケーションの独自の処理動作を実行する実行手段(例えば、図7、図8の実行部212に相当)と、を備え、前記アクセス制限手段が、前記アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かの判定することを特徴とする端末を提案している。
この発明によれば、アプリケーションの処理手段は、アプリケーションサーバとの間でのデータ通信を処理する。実行手段は、アプリケーションの独自の処理動作を実行する。アクセス制限手段は、アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かを判定する。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。
(4)本発明は、自らアクセス制限を行うアプリケーション(例えば、図1、図2のアプリケーション210に相当)と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部と、前記ユーザのリソースを記憶するリソース記憶部とを備え、所望の粒度でアクセス制限を行なう端末におけるアクセス制限方法であって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第1のステップ(例えば、図3のステップS110に相当)と、前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第2のステップ(例えば、図3のステップS120に相当)と、前記アプリケーションが、ユーザのリソースに対するアクセスを検知する第3のステップ(例えば、図3のステップS130に相当)と、前記アプリケーションが、前記ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第4のステップ(例えば、図3のステップS140に相当)と、前記アプリケーションが、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う第5のステップ(例えば、図3のステップS150に相当)と、を備えたことを特徴とするアクセス制限方法を提案している。
この発明によれば、アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理し、アプリケーションの独自の処理動作を実行する。アプリケーションは、ユーザのリソースに対するアクセスを検知し、ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。
(5)本発明は、自らアクセス制限を行うアプリケーションと、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部と、前記ユーザのリソースを記憶するリソース記憶部とを備え、所望の粒度でアクセス制限を行なう端末におけるアクセス制限方法をコンピュータに実行させるためのプログラムであって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第1のステップ(例えば、図3のステップS110に相当)と、前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第2のステップ(例えば、図3のステップS120に相当)と、前記アプリケーションが、ユーザのリソースに対するアクセスを検知する第3のステップ(例えば、図3のステップS130に相当)と、前記アプリケーションが、前記ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第4のステップ(例えば、図3のステップS140に相当)と、前記アプリケーションが、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う第5のステップ(例えば、図3のステップS150に相当)と、をコンピュータに実行させるためのプログラムを提案している。
この発明によれば、アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理し、アプリケーションの独自の処理動作を実行する。アプリケーションは、ユーザのリソースに対するアクセスを検知し、ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。
本発明によれば、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことを可能にするという効果がある。
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
<第1の実施形態>
図1から図3を用いて、本発明の第1の実施形態について説明する。
図1から図3を用いて、本発明の第1の実施形態について説明する。
なお、本発明の端末は、あるプラットフォームに従ってアプリケーションをインストールすることができる。このときプラットフォーム提供者によって定められた粒度においてパーミッションを設定が行われる。設定されたパーミッションによって、アプリケーションがアプリケーション利用者のリソースへアクセスすることを制限するものである。
また、インストールしたアプリケーションは、ユーザにサービスを提供するために、アプリケーションサーバに、取得したアプリケーションユーザのリソースを提出する必要がある場合がある。このように、アプリケーション利用者のリソースが必要な場合には、アプリケーション利用端末にアプリケーションをインストールする際に、アプリケーションユーザの合意を明示的に得る必要がある。以下、上記の処理を実行する実施形態について説明する。
<端末の構成>
本実施形態に係る端末200は、図1に示すように、自らのアクセス制限を行うアプリケーション210と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部220と、ユーザのリソースを記憶するリソース記憶部230とから構成されている。また、外部には、アプリケーションサーバ100が設けられている。なお、アクセスポリシ記憶部220およびリソース記憶部230は、図2に示すように、アクセスポリシサーバ300、リソースサーバ400として、端末の外部に設けてもよい。このように、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えれば、端末外のユーザのリソースやアクセスポリシを利用することができる。また、本実施形態に係る端末は、アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末である。
本実施形態に係る端末200は、図1に示すように、自らのアクセス制限を行うアプリケーション210と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部220と、ユーザのリソースを記憶するリソース記憶部230とから構成されている。また、外部には、アプリケーションサーバ100が設けられている。なお、アクセスポリシ記憶部220およびリソース記憶部230は、図2に示すように、アクセスポリシサーバ300、リソースサーバ400として、端末の外部に設けてもよい。このように、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えれば、端末外のユーザのリソースやアクセスポリシを利用することができる。また、本実施形態に係る端末は、アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末である。
ここで、アクセスポリシは、後述するアプリケーション制限部を提供する事業者によって、プラットフォーム提供者が定めたパーミッション設定とは独立して設定され、アクセスポリシは何等かの条件式として実現される。具体的には、実行する関数、アクセスしようとするリソース、アプリケーション事業者、アクセス用途などの組み合わせに対して、実行許可又は実行拒否を割り当てる。
さらに、アプリケーション210は、処理部211と、実行部212と、アクセス制限部213と、アクセス検知部214とから構成されている。
処理部211は、アプリケーションサーバとの間でのデータ通信を処理する。実行部212は、アプリケーションの独自の処理動作を実行する。
アクセス検知部は、アプリケーションがユーザのリソースにアクセスを行おうとしたことを検知する。アクセス制限部213は、ユーザのリソースへのアクセスを検出したときに、ユーザのアクセスポリシを参照して、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う。なお、アクセス制限部213は、プラットフォーム提供者が定めたパーミッション設定とは独立したアクセスポリシの設定に従って、アプリケーションユーザのリソースへのアクセスを制限する。
<端末の処理>
図3を用いて、本実施形態に係る端末の処理について説明する。
図3を用いて、本実施形態に係る端末の処理について説明する。
アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理し(ステップ110)、アプリケーションの独自の処理動作を実行する(ステップS120)。
次いで、アプリケーションがユーザのリソースに対するアクセスを検知し(ステップS130)、アプリケーションがユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する(ステップS140)。
そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う(ステップS150)。なお、割り込みの方法としては、アプリケーションユーザのリソースを取得する関数を、事前にアプリケーション制限部213へのアクセスを強制する関数に置き換えて、全ての関数が置換されたことを第三者機関等がチェックすることなどによって実現するようにしてもよい。また、具体的な動作としては、例えば、アプリケーションが実行しようとする関数が、アクセスポリシによって実行許可であると定義されていた場合には関数をそのまま実行し、実行拒否であると定義されていた場合にはエラーメッセージを返して動作を停止するようにしてもよい。
以上、説明したように、本実施形態によれば、自らアクセス制限を行うアプリケーションを端末に実装することにより、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。
<第2の実施形態>
図4から図6を用いて、本発明の第2の実施形態について説明する。なお、第1の実施形態と同一の符号を付す構成要素については、同様の機能を有することから、その詳細な説明は、省略する。
図4から図6を用いて、本発明の第2の実施形態について説明する。なお、第1の実施形態と同一の符号を付す構成要素については、同様の機能を有することから、その詳細な説明は、省略する。
<端末の構成>
本実施形態に係る端末200は、図4に示すように、アプリケーション240と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部220と、ユーザのリソースを記憶するリソース記憶部230と、アクセス制限部251を備えたアプリケーションのアクセス制限を行うアクセス制限アプリケーション250とから構成されている。なお、アクセスポリシ記憶部220およびリソース記憶部230は、図5に示すように、アクセスポリシサーバ300、リソースサーバ400として、端末の外部に設けてもよい。このように、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えれば、端末外のユーザのリソースやアクセスポリシを利用することができる。
本実施形態に係る端末200は、図4に示すように、アプリケーション240と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部220と、ユーザのリソースを記憶するリソース記憶部230と、アクセス制限部251を備えたアプリケーションのアクセス制限を行うアクセス制限アプリケーション250とから構成されている。なお、アクセスポリシ記憶部220およびリソース記憶部230は、図5に示すように、アクセスポリシサーバ300、リソースサーバ400として、端末の外部に設けてもよい。このように、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えれば、端末外のユーザのリソースやアクセスポリシを利用することができる。
ここで、アクセスポリシは、後述するアプリケーション制限部を提供する事業者によって、プラットフォーム提供者が定めたパーミッション設定とは独立して設定され、アクセスポリシは何等かの条件式として実現される。具体的には、実行する関数、アクセスしようとするリソース、アプリケーション事業者、アクセス用途などの組み合わせに対して、実行許可又は実行拒否を割り当てる。
アクセス制限部251は、アプリケーションが、ユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かを判定する。
なお、アプリケーションユーザは、アプリケーションをインストールする際に、アプリケーションがアプリケーション制限部251へのアクセス以外のパーミッションを要求していないことを確認する必要がある。
また、アプリケーション制限部251には、制限するアプリケーション群が必要とする全てのパーミッションが与えられる。アプリケーションがアプリケーションユーザのリソースを取得する手続きを実行するときには、アプリケーション制限部251に取得要求を提出する。そして、アプリケーション制限部251は、まず、事前に設定されたアプリケーションユーザのアクセスポリシを参照し、次に、アプリケーションの取得要求がアクセスポリシによって実行許可であると定義されていた場合には、アプリケーション制限部251は、アプリケーションユーザのリソースを取得してアプリケーションに提供する。一方、要求された実行拒否であると定義されていた場合には、エラーメッセージを返して動作を停止する。
<端末の処理>
図6を用いて、本実施形態に係る端末の処理について説明する。
図6を用いて、本実施形態に係る端末の処理について説明する。
まず、アクセス制限アプリケーション250が、アプリケーションによるユーザのリソースに対するアクセスを検知し(ステップS210)、アプリケーションによるユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する(ステップS220)。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かを判定する(ステップS230)。
なお、具体的な動作としては、例えば、アプリケーションの取得要求がアクセスポリシによって実行許可であると定義されていた場合には、アプリケーション制限部251は、アプリケーションユーザのリソースを取得してアプリケーションに提供する。一方、要求された実行拒否であると定義されていた場合には、エラーメッセージを返して動作を停止するようにしてもよい。
以上、説明したように、本実施形態によれば、アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かを判定するアクセス制限アプリケーションを端末に実装することにより、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。
<第3の実施形態>
図7から図9を用いて、本発明の第3の実施形態について説明する。なお、第1の実施形態および第2の実施形態と同一の符号を付す構成要素については、同様の機能を有することから、その詳細な説明は、省略する。なお、本実施形態は、構成要素のすべてをハードウェアで構成したものである。
図7から図9を用いて、本発明の第3の実施形態について説明する。なお、第1の実施形態および第2の実施形態と同一の符号を付す構成要素については、同様の機能を有することから、その詳細な説明は、省略する。なお、本実施形態は、構成要素のすべてをハードウェアで構成したものである。
<端末の構成>
本実施形態に係る端末200は、図7に示すように、処理部211と、実行部212とからなるアプリケーション260と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部220と、ユーザのリソースを記憶するリソース記憶部230と、アクセス制限部251とから構成されている。また、外部には、アプリケーションサーバ100が設けられている。なお、アクセスポリシ記憶部220およびリソース記憶部230は、図8に示すように、アクセスポリシサーバ300、リソースサーバ400として、端末の外部に設けてもよい。このように、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えれば、端末外のユーザのリソースやアクセスポリシを利用することができる。
本実施形態に係る端末200は、図7に示すように、処理部211と、実行部212とからなるアプリケーション260と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部220と、ユーザのリソースを記憶するリソース記憶部230と、アクセス制限部251とから構成されている。また、外部には、アプリケーションサーバ100が設けられている。なお、アクセスポリシ記憶部220およびリソース記憶部230は、図8に示すように、アクセスポリシサーバ300、リソースサーバ400として、端末の外部に設けてもよい。このように、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えれば、端末外のユーザのリソースやアクセスポリシを利用することができる。
ここで、アクセスポリシは、後述するアプリケーション制限部を提供する事業者によって、プラットフォーム提供者が定めたパーミッション設定とは独立して設定され、アクセスポリシは何等かの条件式として実現される。具体的には、実行する関数、アクセスしようとするリソース、アプリケーション事業者、アクセス用途などの組み合わせに対して、実行許可又は実行拒否を割り当てる。
アクセス制限部251は、アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かの判定をする。
なお、アプリケーションユーザは、アプリケーションをインストールする際に、アプリケーションがアプリケーション制限部251へのアクセス以外のパーミッションを要求していないことを確認する必要がある。
また、アプリケーション制限部251には、制限するアプリケーション群が必要とする全てのパーミッションが与えられる。アプリケーションがアプリケーションユーザのリソースを取得する手続きを実行するときには、アプリケーション制限部251に取得要求を提出する。そして、アプリケーション制限部251は、まず、事前に設定されたアプリケーションユーザのアクセスポリシを参照し、次に、アプリケーションの取得要求がアクセスポリシによって実行許可であると定義されていた場合には、アプリケーション制限部251は、アプリケーションユーザのリソースを取得してアプリケーションに提供する。一方、要求された実行拒否であると定義されていた場合には、エラーメッセージを返して動作を停止する。
<端末の処理>
図9を用いて、本実施形態に係る端末の処理について説明する。
図9を用いて、本実施形態に係る端末の処理について説明する。
まず、アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理し(ステップS310)、アプリケーションの独自の処理動作を実行する(ステップS320)。
次いで、アクセス制限部251が、アプリケーションによるユーザのリソースに対するアクセスを検知し(ステップS330)、アプリケーションによるユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する(ステップS340)。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かを判定する(ステップS350)。
なお、具体的な動作としては、例えば、アプリケーションの取得要求がアクセスポリシによって実行許可であると定義されていた場合には、アクセス制限部251は、アプリケーションユーザのリソースを取得してアプリケーションに提供する。一方、要求された実行拒否であると定義されていた場合には、エラーメッセージを返して動作を停止するようにしてもよい。
以上、説明したように、本実施形態によれば、アクセス制限部251をハードウェアとして実装することにより、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。
なお、端末の処理をコンピュータシステムが読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムを端末に読み込ませ、実行することによって本発明の端末を実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
100;アプリケーションサーバ
200;端末
210;アプリケーション
211;処理部
212;実行部
213;アクセス制限部
214;アクセス検知部
220;アクセスポリシ記憶部
230;リソース記憶部
240;アプリケーション
250;アクセス制限アプリケーション
251;アクセス制限部
260;アプリケーション
300;アクセスポリシサーバ
400;リソースサーバ
200;端末
210;アプリケーション
211;処理部
212;実行部
213;アクセス制限部
214;アクセス検知部
220;アクセスポリシ記憶部
230;リソース記憶部
240;アプリケーション
250;アクセス制限アプリケーション
251;アクセス制限部
260;アプリケーション
300;アクセスポリシサーバ
400;リソースサーバ
Claims (5)
- プラットフォーム提供者が定めたパーミッション設定とは独立したアクセスポリシの設定に従って、自らアクセス制限を行なうアプリケーションを備えた端末であって、
前記アプリケーションが、
アプリケーションサーバとの間でのデータ通信を処理する処理手段と、
前記アプリケーションの独自の処理動作を実行する実行手段と、
該アプリケーションがアプリケーションユーザのリソースにアクセスを行おうとしたことを検知するアクセス検知手段と、
該アクセス検知手段が、前記アプリケーションユーザのリソースへのアクセスを検出したときに、前記アプリケーションユーザの前記アクセスポリシを参照して、前記アプリケーションユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行うアクセス制限手段と、
を備えるとともに、
前記アプリケーションユーザの前記アクセスポリシを記憶するアクセスポリシ記憶部と、
前記アプリケーションユーザのリソースを記憶するリソース記憶部と、
を備えたことを特徴とする端末。 - 前記アプリケーションユーザの前記リソース、前記アクセスポリシを記憶する記憶装置を外部に備えたことを特徴とする請求項1に記載の端末。
- アプリケーションと、該アプリケーションのアクセス制限を行なうアクセス制限手段とを備え、前記アクセス制限手段が、プラットフォーム提供者が定めたパーミッション設定とは独立したアクセスポリシの設定に従って、アプリケーションに対するアクセス制限を行なう端末であって、
前記アプリケーションが、
アプリケーションサーバとの間でのデータ通信を処理する処理手段と、
前記アプリケーションの独自の処理動作を実行する実行手段と、
を備え、
前記アクセス制限手段が、前記アプリケーションがアプリケーションユーザのリソースにアクセスを行おうとしたときに、前記アプリケーションユーザの前記アクセスポリシを参照し、前記アプリケーションユーザのリソースに対するアクセスを許可するか否かの判定することを特徴とする端末。 - 自らアクセス制限を行うアプリケーションと、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部と、前記ユーザのリソースを記憶するリソース記憶部とを備え、プラットフォーム提供者が定めたパーミッション設定とは独立した前記アクセスポリシの設定に従って、前記アプリケーションが自らアクセス制限を行なう端末におけるアクセス制限方法であって、
前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第1のステップと、
前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第2のステップと、
前記アプリケーションが、アプリケーションユーザのリソースに対するアクセスを検知する第3のステップと、
前記アプリケーションが、前記アプリケーションユーザのリソースに対するアクセスを検知したときに、前記アプリケーションユーザの前記アクセスポリシを参照する第4のステップと、
前記アプリケーションが、前記参照した前記アプリケーションユーザの前記アクセスポリシに基づいて、前記アプリケーションユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う第5のステップと、
を備えたことを特徴とするアクセス制限方法。 - 自らアクセス制限を行うアプリケーションと、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部と、前記ユーザのリソースを記憶するリソース記憶部とを備え、プラットフォーム提供者が定めたパーミッション設定とは独立した前記アクセスポリシの設定に従って、前記アプリケーションが自らアクセス制限を行なう端末におけるアクセス制限方法をコンピュータに実行させるためのプログラムであって、
前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第1のステップと、
前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第2のステップと、
前記アプリケーションが、アプリケーションユーザのリソースに対するアクセスを検知する第3のステップと、
前記アプリケーションが、前記アプリケーションユーザのリソースに対するアクセスを検知したときに、前記アプリケーションユーザの前記アクセスポリシを参照する第4のステップと、
前記アプリケーションが、前記参照した前記アプリケーションユーザの前記アクセスポリシに基づいて、前記アプリケーションユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う第5のステップと、
をコンピュータに実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017074210A JP6328290B2 (ja) | 2017-04-04 | 2017-04-04 | 端末、アクセス制限方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017074210A JP6328290B2 (ja) | 2017-04-04 | 2017-04-04 | 端末、アクセス制限方法およびプログラム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013050464A Division JP6124627B2 (ja) | 2013-03-13 | 2013-03-13 | 端末、アクセス制限方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017162481A JP2017162481A (ja) | 2017-09-14 |
| JP6328290B2 true JP6328290B2 (ja) | 2018-05-23 |
Family
ID=59854194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017074210A Active JP6328290B2 (ja) | 2017-04-04 | 2017-04-04 | 端末、アクセス制限方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6328290B2 (ja) |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6981281B1 (en) * | 2000-06-21 | 2005-12-27 | Microsoft Corporation | Filtering a permission set using permission requests associated with a code assembly |
| JP4293948B2 (ja) * | 2004-07-09 | 2009-07-08 | 富士通株式会社 | ディスク装置およびディスク装置の制御方法 |
| US9495538B2 (en) * | 2008-09-25 | 2016-11-15 | Symantec Corporation | Graduated enforcement of restrictions according to an application's reputation |
| JP5427600B2 (ja) * | 2009-12-28 | 2014-02-26 | 株式会社エヌ・ティ・ティ・データ | アクセス制御設定装置、方法及びコンピュータプログラム |
| JP2012118842A (ja) * | 2010-12-02 | 2012-06-21 | Nec Corp | アクセス制御システム、アクセス制御装置、及び制御方法 |
| JP5654944B2 (ja) * | 2011-05-02 | 2015-01-14 | Kddi株式会社 | アプリケーション解析装置およびプログラム |
| WO2012161125A1 (ja) * | 2011-05-20 | 2012-11-29 | 日本放送協会 | 受信機、プログラム及び受信方法 |
-
2017
- 2017-04-04 JP JP2017074210A patent/JP6328290B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017162481A (ja) | 2017-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101278786B1 (ko) | 클라이언트에 포함된 샌드박스형 코드에 의한 자원으로의액세스를 관리하기 위한, 컴퓨터 구현 방법, 시스템, 및이들을 구현하는 명령어가 저장된 컴퓨터 판독가능 매체 | |
| EP2740064B1 (en) | Sandboxing technology for webruntime system | |
| KR101882871B1 (ko) | 보안 웹 위젯 런타임 시스템을 위한 방법 및 장치 | |
| US9246918B2 (en) | Secure application leveraging of web filter proxy services | |
| US9223941B2 (en) | Using a URI whitelist | |
| US20220366050A1 (en) | Cyber secure communications system | |
| CN106341234B (zh) | 一种授权方法及装置 | |
| RU2618946C1 (ru) | Способ блокировки доступа к данным на мобильных устройствах с использованием API для пользователей с ограниченными возможностями | |
| EP2939390B1 (en) | Processing device and method of operation thereof | |
| US11386199B2 (en) | Isolating an application running inside a native container application | |
| US7890756B2 (en) | Verification system and method for accessing resources in a computing environment | |
| US9323936B2 (en) | Using a file whitelist | |
| US11741245B2 (en) | Self-management of devices using personal mobile device management | |
| WO2014102526A1 (en) | Processing device and method of operation thereof | |
| RU2626658C2 (ru) | Обработка контента для приложений | |
| KR101932311B1 (ko) | 브라우저 장치 액세스 프록시 | |
| JP6328290B2 (ja) | 端末、アクセス制限方法およびプログラム | |
| US20160150028A1 (en) | Adapter for communication between web applications within a browser | |
| Amrutkar et al. | Short paper: rethinking permissions for mobile web apps: barriers and the road ahead | |
| JP6124627B2 (ja) | 端末、アクセス制限方法およびプログラム | |
| EP2840755A1 (en) | Processing device and method of operation thereof | |
| US20220405410A1 (en) | Secure way to authenticate from file protocol while handling third party cookies and browser inconsistencies | |
| EP2840754A1 (en) | Processing device and method of operation thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180117 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180206 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180402 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180417 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180417 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6328290 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |