JPWO2019059034A1 - アクセス管理装置及びアクセス管理方法 - Google Patents
アクセス管理装置及びアクセス管理方法 Download PDFInfo
- Publication number
- JPWO2019059034A1 JPWO2019059034A1 JP2019543565A JP2019543565A JPWO2019059034A1 JP WO2019059034 A1 JPWO2019059034 A1 JP WO2019059034A1 JP 2019543565 A JP2019543565 A JP 2019543565A JP 2019543565 A JP2019543565 A JP 2019543565A JP WO2019059034 A1 JPWO2019059034 A1 JP WO2019059034A1
- Authority
- JP
- Japan
- Prior art keywords
- access
- source
- access management
- management
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
Abstract
本発明によれば、複数の処理系のプロトコルに依存せずに設定されたアクセス管理ポリシーに基づいて一元的なアクセス管理を実現することができるアクセス管理装置を提供する。本発明のアクセス管理装置は、アクセス元(AS)と複数の処理系(PS)との間に接続され、アクセス元(AS)からのアクセス要求を受信し、設定されたアクセス管理ポリシーに基づいて、アクセス要求の制御を行なうアクセス管理機能部(22)を有するゲートウェイ(11)とを具備する。
Description
本発明は、アクセス管理装置及びアクセス管理方法に関する。
IoT(Internet of Things)サービスを容易に構築可能とする基盤(IoT基盤)が注目を集めている。IoT基盤においては、多様なサービスを実現するため、異種の処理系(データ管理、データ配信等)を備え、また、これら処理系に適した異種のプロトコル(Hypertext Transfer Protocol(HTTP)、Message Queueing Telemetry Transport(MQTT)等)に対応することが想定されている。
従って、これら処理系に入出力されるデータを管理するニーズが存在する。ここで、「管理」とは、アクセス制御、同時アクセス制限、優先制御などを含む。また、処理系に入出力されるデータには、機微なデータが含まれ得る。機微なデータとしては、例えば、製造業における生産工程に関するデータ、個人のバイタルデータなどである。
従来、IoT基盤では、各処理系がそれぞれ、アプリケーションプログラム(以下、「アプリ」という。)やデバイスに対応するインターフェイスを備えている。このため、これらインターフェイス毎に、個別にアクセス管理機構を実装する(=個別対応)ことで、アクセス管理を実現することが可能である。図7は、従来のIoT基盤Sのアクセス管理装置の概要を示す図である。同図に示すように、アクセス元AS−1〜AS−Nに対応するIoT基盤Sの各処理系PS−1〜PS−Nは、アクセス管理機構を有している。
図5は、アクセス元であるアプリAP−1〜AP−3及びデバイスDB−1〜DB−5と各処理系PS−1〜PS−4との関係を示す図である。
同図において、アクセス元であるアプリAP−1〜AP−3及びデバイスDB−1〜DB−5は、IoT基盤Sのデータ処理系PS−1〜PS−4にアクセス可能である。各データ処理系PS−1〜PS−4は、アクセス元であるアプリAP−1〜AP−3及びデバイスDB−1〜DB−5に対応するインターフェイスを備えており、各インターフェイス毎にアクセス管理機構を実装している。
ここで、データ処理系PS−1はデータ管理に関する処理、データ処理系PS−2はデータ配信に関する処理、データ処理系PS−3はデータ分析に関する処理、データ処理系PS−4はデバイス制御に関する処理を行なう。また、デバイスDB−1は車、デバイスDB−2、デバイスDB−3はスマートフォン、デバイスDB−4はオシロスコープ、デバイスDB−5はアクチュエータを示す。
プロトコルと処理系の組み合わせ毎にアクセス管理機構を用意するものとして、例えば、非特許文献1には、REST APIに関する市中のアクセス制御技術が開示されており、非特許文献2には、MQTTブローカに関する市中のアクセス制御技術が開示されている。
"What is Kong" 、[online]、Kong−Open−source API Mnagement and Microservice Management、[平成29年5月1日検索]、インターネット<URL:https://getkong.org/about/>
"mosquitto.conf−the configuration file for mosquitto"、[平成29年5月1日検索]、インターネット<URL:http://mosquitto.org/man/mosquitto−conf−5.html>
しかしながら、従来のアクセス管理機構では、アクセス管理機構毎に設定管理が必要となり、運用コストが大きくなってしまうという問題がある。また、アプリ側でアクセス管理機構毎の対応が必要となり、アプリ開発の負担が大きい。さらに、アクセス管理機構間の管理ポリシー(アクセス制御ルール等)の不整合などのリスクも増大する。
さらに、上述のように、アクセス管理機構は、機微なデータを取り扱うため、アプリやデバイスから各処理系へのアクセスに対し、IoT基盤を導入するユーザ(例えば、製造業では、工場管理者)のセキュリティポリシーに基づいて、アクセスの可否等を制御する必要がある。
本発明は、上記実情に鑑みてなされたものであり、アクセス管理機構を処理系やプロトコルから独立したゲートウェイとして構成できるようにし、設定されたアクセス管理ポリシーに基づいて一元的なアクセス管理を実現することができるアクセス管理装置及びアクセス管理方法を提供することを目的とする。
本発明の第1態様は、アクセス管理装置が、アクセス元と、前記アクセス元からのアクセス要求に対する処理を行なう複数の処理系との間に接続され、前記アクセス元からのアクセス要求を受信し、前記複数の処理系のプロトコルに依存せずに設定されたアクセス管理ポリシーに基づいて、前記アクセス要求の制御を行なうアクセス管理機能部を有するゲートウェイを具備するようにしたものである。
本発明の第2態様は、前記ゲートウェイが、前記アクセス元のIPアドレスに基づいて、前記アクセス元の識別情報を取得し、前記取得したアクセス元の識別情報を前記アクセス管理機能部に送信するアクセス元識別機能部をさらに具備するようにしたものである。
本発明の第3態様は、前記アクセス管理ポリシーを、前記ゲートウェイのキャッシュメモリ上に記憶するようにしたものである。
本発明の第4態様は、前記ゲートウェイは、前記アクセス管理機能部によってアクセス要求が認められた場合、前記複数の処理系と前記アクセス元との間のプロトコル変換を行なうプロトコル中継機能部をさらに具備するようにしたものである。
この発明の第1の態様によれば、複数の処理系に対して、ゲートウェイによりアクセス管理を一元的に管理することにより、運用コストを低減することができるとともに、アクセス管理ポリシーの不整合リスクを防ぐことができる。
この発明の第2の態様によれば、低レイヤプロトコル情報(IPアドレス)を用いてアクセス元IDを取得することで、上位レイヤプロトコルに依存しないアクセス元識別情報を実現することができる。
この発明の第3の態様によれば、アクセス管理ポリシーをオンメモリでキャッシュするため、高速なアクセス管理処理を実現することができる。
この発明の第4の態様によれば、プロトコル中継機能部は、アクセス管理機能部とは別に設けられているので、アクセス管理のみを一元的に管理することができる。
本発明の各態様によれば、アクセス管理機構を処理系やプロトコルから独立したゲートウェイとして構成することができ、設定されたアクセス管理ポリシーに基づいて一元的なアクセス管理を実現することができるアクセス管理装置及びアクセス管理方法を提供できる。
以下、図面を参照して、本発明の実施形態について説明する。なお、実施形態において、構成要素を区別して説明する必要がない場合には、ハイフンを省略して説明する。例えば、アクセス元AS−1、AS−2、…、AS−nを区別して説明する必要がない場合には、ハイフンを省略して「AS」として説明する。他の構成要素についても同様に説明する。
図1は、本発明の実施形態のIoT基盤Sの構成を説明するための図である。同図に示すように、IoT基盤Sは、複数の処理系PS−1〜PS−N、複数の処理系PS−1〜PS−Nに対応して設けられたプロトコルインターフェイスIF−1〜IF−N、アクセス管理ゲートウェイ11、アクセス管理ポリシーDB31を有する。
アクセス管理ゲートウェイ11は、アプリやデバイスなどの複数のアクセス元AS−1〜AS−Nと、複数の処理系PS−1〜PS−Nとの間に配置され、プロトコル中継機能部21、アクセス管理機能部22、キャッシュ部23及びアクセス元識別機能部24を有する。
プロトコル中継機能部21は、処理系PS−1〜PS−Nと、プロトコルの組み合わせ毎に存在する。アプリやデバイスからのアクセスを処理系PS−1〜PS−Nに中継する。
アクセス管理機能部22は、アクセス管理機能毎に存在する。アクセス管理機能部22は、プロトコル中継機能部21に対し、中継時に挿入するアクセス管理処理を提供する機能である。例えば、アクセス制御の場合、プロトコル中継機能部21はアクセスの中継可否をアクセス管理機能部22に問い合わせてから中継を行なう。
キャッシュ部23は、アクセス管理ポリシーDB31の情報をメモリ上にキャッシュする機能である。
アクセス元識別機能部24は、低レイヤプロトコル情報(IPアドレス、MACアドレス等)を用いて、アクセス元AS−1〜AS−Nの識別子(アプリID、デバイスID)を取得する機能である。
アクセス管理ポリシーDB31は、アクセス制御のルールなどのアクセス管理ポリシーを格納するデータベースである。アクセス管理ポリシーは、システム運用者のコンピュータ41から設定される。
図2は、アクセス管理ポリシーDB31に格納されるアクセス管理ポリシーの一例を示す図である。
同図に示すように、「アクセス制御のポリシー」としては、アクセス元、アクセス先及び可能な操作の種類が関連付けて記憶されている。例えば、アクセス元がアプリAP−1、アクセス先が処理系PS−1のデータXである場合、可能な操作は参照、更新の操作のみが許可される。また、アクセス元がアプリAP−1、アクセス先が処理系PS−1のデータYである場合、可能な操作は参照の操作のみが許可される。アクセス元がアプリAP−1、アクセス先が処理系PS−2のデータZである場合、可能な操作は参照、更新、削除の操作が許可される。
「同時アクセス数制限のポリシー」としては、アクセス先、アクセス元及び同時アクセス数上限が関連付けて記憶されている。例えば、アクセス先が処理系PS−1、アクセス元がアプリAP−1、アプリAP−2である場合、同時アクセス上限は5リクエスト/秒である。アクセス先が処理系PS−1、アクセス元がデバイスDB−3である場合、同時アクセス上限は10リクエスト/秒である。アクセス先が処理系PS−1、アクセス元がアプリAP−4、AP−5である場合、同時アクセス上限は15リクエスト/秒である。
「優先制御のポリシー」としては、アクセス元及び優先度が関連付けて記憶されている。例えば、アクセス元がアプリAP−1の場合、優先度は「高」であり、アクセス元がアプリAP−2の場合、優先度は「中」である。
次に、実施形態に係るIoT基盤Sのアクセス管理の第1動作について、図3のタイミングチャートを参照して説明する。なお、アクセス管理の動作の説明に際し、以下の環境を想定する。
・ アプリAPやデバイスDBとアクセス管理ゲートウェイ11がそれぞれDockerコンテナであり、同一のDocker定義ネットワーク上に配置されている。
・ 各アプリやデバイスを一意に表わすIDが、各アプリやデバイスのコンテナ名として設定されている。
・ この時、アクセス管理ゲートウェイ11は、アプリAPやデバイスDBからのアクセスを受信時、それらアクセス元のIPアドレスをDNS逆引きすることでコンテナ名(=アクセス元ID)を取得することが可能である。
このような想定のもと、あるアプリAPがREST APIサーバに対してアクセスする際の、アクセス制御のシーケンスを説明する。なお、図3においては、アプリAPからAPIリクエストをする場合について示しているが、デバイスDBの場合であっても、同様のシーケンスとなる。
まず、システム管理者のコンピュータ41からアクセス管理ポリシーDB31に、図2に示したアクセス管理ポリシーが投入される(T1)。なお、アクセス管理ポリシーには、図2に示したアクセス制御ポリシー、同時アクセス数制限のポリシー、優先制御のポリシーなどが含まれる。アクセス管理ポリシーは、アクセス管理ポリシーDB31に記憶される。
アクセス管理ポリシーDB31に記憶されたアクセス管理ポリシーは、キャッシュ部23に読み込まれ(T2)、読み込まれたアクセス管理ポリシーはキャッシュ部23のメモリに記憶される(T3)。
次に、アプリAPから処理系PSへのAPIリクエストがプロトコル中継機能部21に送信される(T11)。このAPIリクエストは、例えば、HTTPのPOSTメソッドによるデータ送信である。
プロトコル中継機能部21は、APIリクエストを受け付けると、アプリAPのアクセス権の問い合わせをアクセス管理機能部22に問い合わせる(T12)。このアクセス権の問い合わせの際には、アクセス元のIPアドレスと、アクセス先のURLとを伝える。
アクセス管理機能部22は、プロトコル中継機能部21からアクセス権の問い合わせを受信すると、アクセス元ID取得要求をアクセス元識別機能部24に出力する(T13)。
アクセス元識別機能部24は、アクセス元のIPアドレスを使用して、DNSサーバ51にホスト名の問い合わせを行ない(T14)、ホスト名をDNSサーバ51から取得し(T15)、ホスト名からアクセス元IDを取得する(T16)。
このようなDNSサーバ51によるアクセス元の特定は、IPアドレスとアクセス元IDとが1対1の関係であるような環境でのみ実施可能である。実施形態では、アプリAPとアクセス管理ゲートウェイ11とが同一のDocker定義ネットワークに属するコンテナである、という前提であるため、このようなアクセス元の特定が可能となる。
次に、アクセス元識別機能部24は、取得したアクセス元IDをアクセス管理機能部22に送信する(T17)。アクセス管理機能部22は、アクセス元識別機能部24から取得したアクセス元IDに基づいて、当該アクセス元IDのアクセス管理ポリシーの取得要求をキャッシュ部23に送信する(T18)。
キャッシュ部23は、アクセス管理ポリシーDB31から読み込まれたアクセス管理ポリシーのうち、当該アクセス元IDのアクセス管理ポリシーをアクセス管理機能部22に送信する(T19)。
アクセス管理機能部22は、受信した当該アクセス元IDのアクセス管理ポリシーに基づいて、アクセス権限のチェックを行なう(T20)。そして、アクセス権限の有無をプロトコル中継機能部21に送信する(T21)。
アクセス権限がある場合、プロトコル中継機能部21はAPIリクエストを送信先の処理系PSに転送し(T31)、APIリクエストに対するAPIレスポンスを受信する(T32)。そして、プロトコル中継機能部21は受信したAPIレスポンスをアクセス元のアプリAPに転送する(T33)。アクセス権限がない場合、プロトコル中継機能部21はアクセス不可であることをアクセス元のアプリAPに転送する(T41)。
次に、実施形態に係るIoT基盤Sのアクセス管理の第2動作について、図4のタイミングチャートを参照して説明する。第2動作は、第1動作と異なり、低レイヤプロトコル情報を用いてアクセス元IDを取得しない場合のアクセス管理の動作を示すものである。
まず、システム管理者のコンピュータ41からアクセス管理ポリシーDB31に、図2に示したアクセス管理ポリシーが投入される(T1)。なお、アクセス管理ポリシーには、図2に示したアクセス制御ポリシー、同時アクセス数制限のポリシー、優先制御のポリシーなどが含まれる。アクセス管理ポリシーは、アクセス管理ポリシーDB31に記憶される。
アクセス管理ポリシーDB31に記憶されたアクセス管理ポリシーは、キャッシュ部23に読み込まれ(T2)、読み込まれたアクセス管理ポリシーはキャッシュ部23のメモリに記憶される(T3)。
次に、アプリAPから処理系PSへのAPIリクエストがプロトコル中継機能部21に送信される(T51)。このAPIリクエストは、例えば、HTTPのPOSTメソッドによるデータ送信である。
プロトコル中継機能部21は、APIリクエストを受け付けると、アプリAPのアクセス権の問い合わせをアクセス管理機能部22に問い合わせる(T52)。このアクセス権の問い合わせの際には、アクセス元のIPアドレスと、アクセス先のURLとを伝える。
アクセス管理機能部22は、プロトコル中継機能部21からアクセス権の問い合わせを受信すると、アクセス元IDの抽出を行なう(S53)。この抽出は、例えば、HTTPのヘッダにアクセス元IDを記載しておき、アクセス管理機能部22がそれを取得する。このように、低レイヤプロトコル情報を用いてアクセス元IDを取得しない場合、プロトコル毎に、アクセス元IDを通信内容のどこに記載するかを設計する必要がある。
アクセス管理機能部22は、抽出したアクセス元IDに基づいて、当該アクセス元IDのアクセス管理ポリシーの取得要求をキャッシュ部23に送信する(T54)。
キャッシュ部23は、アクセス管理ポリシーDB31から読み込まれたアクセス管理ポリシーのうち、当該アクセス元IDのアクセス管理ポリシーをアクセス管理機能部22に送信する(T55)。
アクセス管理機能部22は、受信した当該アクセス元IDのアクセス管理ポリシーに基づいて、アクセス権限のチェックを行なう(T56)。そして、アクセス権限の有無をプロトコル中継機能部21に送信する(T57)。
アクセス権限がある場合、プロトコル中継機能部21はAPIリクエストを送信先の処理系PSに転送し(T31)、APIリクエストに対するAPIレスポンスを受信する(T32)。そして、プロトコル中継機能部21は受信したAPIレスポンスをアクセス元のアプリAPに転送する(T33)。アクセス権限がない場合、プロトコル中継機能部21はアクセス不可であることをアクセス元のアプリAPに転送する(T41)。
従って、実施形態に係るIoT基盤Sのアクセス管理装置によれば、図6に示すように各種機能へのアクセスを一元的に中継するゲートウェイ11を配し、アクセス管理を行なうので、図7に示すように従来の機能毎に個別にアクセス管理を行なう場合と比較して、省リソース、低運用コストでアクセス管理を実現することができる。
図8は、従来の個別対応のアクセス管理と、本発明の一元管理のアクセス管理との効果を説明するための図である。
同図に示すように、実施形態によれば、個別対応のアクセス管理に比して、アクセス管理の運用コストを低減することができる。ポリシーを個別のアクセス管理機構に投入する必要がなく、一元的に追加、更新、削除等をすることができるからである。従って、ポリシーの不整合リスクは、実施形態のアクセス管理では存在しない。
また、メモリなどの消費リソースを低減することができる。複数の処理系PSやプロトコルに対し、アクセス管理に用いるリソースを共通化するためである。
さらに、アプリAPやデバイスDBの開発負担を軽減することができる。統一的な方式でアクセス管理が行なわれるため、アプリAPやデバイスDBの開発者の学習コストが低減されるからである。
さらに、処理系PSやプロトコルの追加が容易になる。個別のアクセス管理機構を用意する必要がなく、アクセス管理機能部22は共通化されているため、プロトコル中継機能部21だけ用意すれば良いからである。
さらに、アクセス元ID(識別情報)を上位プロトコル情報に依存せずに取得するため、プロトコル毎に「アクセス元IDを通信内容のどこに記載するか」を設計する必要がない。
さらに、アクセス管理ポリシーをオンメモリでキャッシュするため、高速なアクセス管理処理を実現することができる。
従って、実施形態によれば、アクセス管理機構を処理系やプロトコルから独立したゲートウェイとして構成し、設定されたアクセス管理ポリシーに基づいて一元的なアクセス管理を実現することができるアクセス管理装置及びアクセス管理方法を提供できる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
Claims (15)
- アクセス元と、前記アクセス元からのアクセス要求に対する処理を行なう複数の処理系との間に接続され、前記アクセス元からのアクセス要求を受信し、前記複数の処理系のプロトコルに依存せずに設定されたアクセス管理ポリシーに基づいて、前記アクセス要求の制御を行なうアクセス管理機能部を有するゲートウェイを具備するアクセス管理装置。
- 前記ゲートウェイは、
前記アクセス元のIPアドレスに基づいて、前記アクセス元の識別情報を取得し、前記取得したアクセス元の識別情報を前記アクセス管理機能部に送信するアクセス元識別機能部をさらに具備する、請求項1記載のアクセス管理装置。 - 前記アクセス管理ポリシーは、前記ゲートウェイのキャッシュメモリ上に記憶される、請求項1記載のアクセス管理装置。
- 前記ゲートウェイは、前記アクセス管理機能部によってアクセス要求が認められた場合、前記複数の処理系と前記アクセス元との間のプロトコル変換を行なうプロトコル中継機能部をさらに具備する、請求項1記載のアクセス管理装置。
- 前記アクセス管理ポリシーは、
前記アクセス元と、前記アクセス元のアクセス先と、前記アクセス元の前記アクセス先への可能な操作とが関連付けられたアクセス制御ポリシーを有する、請求項1記載のアクセス管理装置。 - 前記アクセス管理ポリシーは、
前記アクセス元のアクセス先と、前記アクセス元と、前記アクセス元の前記アクセス先への同時アクセス数情報とが関連付けられた同時アクセス数制限ポリシーを有する、請求項1記載のアクセス管理装置。 - 前記アクセス管理ポリシーは、
前記アクセス元と、前記アクセス元の前記優先度とが関連付けられた優先制御ポリシーを有する、請求項1記載のアクセス管理装置。 - アクセス元と、前記アクセス元からのアクセス要求に対する処理を行なう複数の処理系との間に接続され、前記アクセス元からのアクセス要求を受信し、
前記複数の処理系のプロトコルに依存せずに設定されたアクセス管理ポリシーに基づいて、前記アクセス要求の制御を行なうアクセス管理機能部を有するゲートウェイを具備するアクセス管理装置におけるアクセス管理方法において、
前記アクセス管理機能部は、
前記アクセス元からのアクセス要求を受信し、
前記記憶部に記憶されたアクセス管理ポリシーに基づいて、前記アクセス要求の制御を行なう、アクセス管理方法。 - 前記アクセス元のIPアドレスに基づいて、前記アクセス元の識別情報を取得し、前記取得したアクセス元の識別情報を前記アクセス管理機能部に送信する処理を、さらに行う、請求項8記載のアクセス管理方法。
- 前記ゲートウェイのキャッシュメモリ上に前記アクセス管理ポリシーを記憶する処理を、さらに行う、請求項8記載のアクセス管理方法。
- 前記アクセス管理機能部によってアクセス要求が認められた場合、前記複数の処理系と、前記アクセス元との間のプロトコル変換を、さらに行なう、請求項8記載のアクセス管理方法。
- 前記アクセス管理ポリシーは、
前記アクセス元と、前記アクセス元のアクセス先と、前記アクセス元の前記アクセス先への可能な操作とが関連付けられたアクセス制御ポリシーを有する、請求項8記載のアクセス管理方法。 - 前記アクセス管理ポリシーは、
前記アクセス元のアクセス先と、前記アクセス元と、前記アクセス元の前記アクセス先への同時アクセス数情報とが関連付けられた同時アクセス数制限ポリシーを有する、請求項8記載のアクセス管理方法。 - 前記アクセス管理ポリシーは、
前記アクセス元と、前記アクセス元の前記優先度とが関連付けられた優先制御ポリシーを有する、請求項8記載のアクセス管理方法。 - アクセス元と、前記アクセス元からのアクセス要求に対する処理を行なう複数の処理系との間に接続されたアクセス管理機能部を有するゲートウェイを具備するアクセス管理装置におけるアクセス管理方法を実行するプログラムにおいて、
前記プログラムは、前記アクセス機能管理部に、
前記アクセス元からのアクセス要求を受信させ、
前記複数の処理系のプロトコルに依存せずに設定されたアクセス管理ポリシーに基づいて、前記アクセス要求の制御を行なわせる、
プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017181526 | 2017-09-21 | ||
| JP2017181526 | 2017-09-21 | ||
| PCT/JP2018/033559 WO2019059034A1 (ja) | 2017-09-21 | 2018-09-11 | アクセス管理装置及びアクセス管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2019059034A1 true JPWO2019059034A1 (ja) | 2020-03-26 |
| JP6830161B2 JP6830161B2 (ja) | 2021-02-17 |
Family
ID=65810181
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019543565A Active JP6830161B2 (ja) | 2017-09-21 | 2018-09-11 | アクセス管理装置、アクセス管理方法、及びプログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11356298B2 (ja) |
| EP (1) | EP3687122B1 (ja) |
| JP (1) | JP6830161B2 (ja) |
| CN (1) | CN111108726B (ja) |
| WO (1) | WO2019059034A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11979334B2 (en) | 2019-07-22 | 2024-05-07 | International Business Machines Corporation | Internet activity compartmentalization |
| RU2767714C1 (ru) * | 2021-03-15 | 2022-03-18 | Акционерное общество "Лаборатория Касперского" | Способ применения политик обработки личных данных для IoT-устройства |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009021759A (ja) * | 2007-07-11 | 2009-01-29 | Hitachi Ltd | サービス毎通信制御装置、システム及び方法 |
| US20130250968A1 (en) * | 2010-11-24 | 2013-09-26 | Huawei Technologies Co.,Ltd. | Method and network entity for obtaining ip address of user |
| JP2014522163A (ja) * | 2011-08-16 | 2014-08-28 | 聯發科技股▲ふん▼有限公司 | Lteアドバンストシステムにおける強化型アクセス制御方法 |
| JP2015210785A (ja) * | 2014-04-30 | 2015-11-24 | エヌ・ティ・ティ・コムウェア株式会社 | 通信制御装置、通信制御方法、及びプログラム |
| JP2017016189A (ja) * | 2015-06-26 | 2017-01-19 | 株式会社リコー | 情報処理装置、プログラム、及び情報処理システム |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6697811B2 (en) * | 2002-03-07 | 2004-02-24 | Raytheon Company | Method and system for information management and distribution |
| JP4575219B2 (ja) * | 2005-04-12 | 2010-11-04 | 株式会社東芝 | セキュリティゲートウェイシステムとその方法およびプログラム |
| WO2008082441A1 (en) * | 2006-12-29 | 2008-07-10 | Prodea Systems, Inc. | Display inserts, overlays, and graphical user interfaces for multimedia systems |
| US20110047610A1 (en) * | 2009-08-19 | 2011-02-24 | Keypair Technologies, Inc. | Modular Framework for Virtualization of Identity and Authentication Processing for Multi-Factor Authentication |
| US9554276B2 (en) * | 2010-10-29 | 2017-01-24 | F5 Networks, Inc. | System and method for on the fly protocol conversion in obtaining policy enforcement information |
| US8813174B1 (en) * | 2011-05-03 | 2014-08-19 | Symantec Corporation | Embedded security blades for cloud service providers |
| US8681803B2 (en) * | 2011-09-20 | 2014-03-25 | Nec Corporation | Communication system, policy management apparatus, communication method, and program |
| US8484711B1 (en) * | 2012-10-31 | 2013-07-09 | Fmr Llc | System and method for providing access to a software application |
| US10671760B2 (en) * | 2015-02-27 | 2020-06-02 | Arash Esmailzadeh | Secure and private data storage |
| US10075443B2 (en) * | 2015-06-09 | 2018-09-11 | Intel Corporation | System, apparatus and method for stateful application of control data in a device |
-
2018
- 2018-09-11 EP EP18858107.8A patent/EP3687122B1/en active Active
- 2018-09-11 WO PCT/JP2018/033559 patent/WO2019059034A1/ja unknown
- 2018-09-11 US US16/644,588 patent/US11356298B2/en active Active
- 2018-09-11 JP JP2019543565A patent/JP6830161B2/ja active Active
- 2018-09-11 CN CN201880060844.1A patent/CN111108726B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009021759A (ja) * | 2007-07-11 | 2009-01-29 | Hitachi Ltd | サービス毎通信制御装置、システム及び方法 |
| US20130250968A1 (en) * | 2010-11-24 | 2013-09-26 | Huawei Technologies Co.,Ltd. | Method and network entity for obtaining ip address of user |
| JP2014522163A (ja) * | 2011-08-16 | 2014-08-28 | 聯發科技股▲ふん▼有限公司 | Lteアドバンストシステムにおける強化型アクセス制御方法 |
| JP2015210785A (ja) * | 2014-04-30 | 2015-11-24 | エヌ・ティ・ティ・コムウェア株式会社 | 通信制御装置、通信制御方法、及びプログラム |
| JP2017016189A (ja) * | 2015-06-26 | 2017-01-19 | 株式会社リコー | 情報処理装置、プログラム、及び情報処理システム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019059034A1 (ja) | 2019-03-28 |
| CN111108726A (zh) | 2020-05-05 |
| EP3687122A1 (en) | 2020-07-29 |
| EP3687122B1 (en) | 2024-01-24 |
| EP3687122A4 (en) | 2021-05-19 |
| JP6830161B2 (ja) | 2021-02-17 |
| CN111108726B (zh) | 2022-08-12 |
| US20210067379A1 (en) | 2021-03-04 |
| US11356298B2 (en) | 2022-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10554607B2 (en) | Heterogeneous cloud controller | |
| US10959089B2 (en) | Data management microservice in a microservice domain | |
| JP2008283670A (ja) | 機器およびサービスのアクセス、接続性および相互運用性 | |
| WO2015051184A1 (en) | Systems and methods for caching content with notification-based invalidation | |
| US20150324152A1 (en) | Network Printing System and Printing Method | |
| KR20130111531A (ko) | 운송수단과 원격 애플리케이션 서버 간의 통신을 위한 방법 및 시스템 | |
| US8655946B2 (en) | Authenticating method, conversion device, and relay device | |
| EP3226518B1 (en) | Content delivery across heterogeneous networks | |
| Lj | FIWARE: A web of things development platform | |
| KR20120107022A (ko) | 개인 정보 동기화 방법 및 장치 | |
| EP3226516B1 (en) | Unified data networking across heterogeneous networks | |
| CN108287894A (zh) | 数据处理方法、装置、计算设备及存储介质 | |
| JPWO2013046336A1 (ja) | グループ定義管理システム | |
| JP6830161B2 (ja) | アクセス管理装置、アクセス管理方法、及びプログラム | |
| JP2020534605A (ja) | 通信ネットワークにおけるサービス層メッセージテンプレート | |
| US9237206B2 (en) | Method and apparatus for updating personal information in communication system | |
| CN111726400A (zh) | 反向连接的方法、装置和服务端系统 | |
| US20150047009A1 (en) | Access control method, access control system and access control device | |
| US11582027B1 (en) | Secure communication with individual edge devices of remote networks that use local security credentials | |
| US20140019417A1 (en) | Method and apparatus for managing personal information in a communication system | |
| US20140040188A1 (en) | Method and apparatus for updating personal information in communication system | |
| Cavalieri et al. | Towards Interoperability of oneM2M and OPC UA. | |
| JP6632394B2 (ja) | ネットワークシステム、情報処理装置、情報処理装置における制御方法、及びプログラム | |
| JP2012048284A (ja) | メッセージ交換システム、メッセージ交換方法およびメッセージ交換プログラム | |
| JP2015015668A (ja) | 名前解決装置及び方法、名前解決システム、並びにコンピュータ・プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A527 Effective date: 20191112 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191112 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200929 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201126 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210119 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210125 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6830161 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |