WO2001082086A1 - Dispositif de definition de droit d'acces et terminal gestionnaire - Google Patents

Description

明 細 書 アクセス権設定装置及び管理者端末 技術分野

本発明は、 ネットワーク上に存在する制限的に利用可能な資源を利用 する利用者からの要求によるアクセス権の設定が可能なアクセス権設定 装置及びそのシステムに関する。 背景技

従来、 ネットワーク上の資源を複数の利用者がアクセスする場合、 そ の資源を管理しているコンピュータに、 利用者のアクセス権の情報が保 持されており、この情報を基にアクセス制御を行うことになる。ここで、 利用者とは、 人間、 プログラム、 プロセス （実際は、 人間がプログラム やプロセスを作成し実行することになる） などを表し、 資源とは、 ファ ィル、 メモリ、 プログラム、 プロセス、 機器などを表す。

アクセス権情報は一般的に、 各利用者単位、 又は、 利用者が属するグ ループ単位で、参照（資源の存在の確認）、読み出し（資源の内容を見る）、 書き込み （資源の内容を書き変える）、 消去 （資源を記録媒体から消去す る）、 実行 （プログラムを実行する） などのアクセス形態に関し、 ァクセ スを許可するか否かの記述をする。

一般的なネットヮ一ク O S (オペレーティング ' システム） でのァク セス権の設定方法を説明する。ネットワークの管理者により、ユーザ（利 用者） に対し、 ネットワークへアクセスするのに必要なユーザ I D (利 用者識別子） の登録が行われ、 リモート ·アクセスの許可設定を行うこ とで、 アクセスが可能となる。 その他、 ネットワークの管理者は、 ァク セス期間や、 ュ一ザのグループ化なども設定できる。 ユーザがアクセス 可能な資源は、 主に自らが管理しているマシン内の資源や、 それぞれの マシンの管理者が外部ユーザからのアクセスを許可した資源などである < このようなアクセス権の設定内容は、 通常資源の管理者が設定を行う もので、 資源の利用者は設定できない。 もし資源の利用者がアクセス権 のない資源へアクセスする場合は、 何らかの手段でアクセス権変更の要 求を管理者に伝えることになる。

又、 ネットワークのユーザ I Dを持っていないュ一ザがアクセスする 手段として、 ゲスト I Dという概念がある。 一般的に、 ゲスト I Dでネ ットワークへログインするために必要なパスワードは公知であり、 だれ でもネットワークへアクセスできるのだが、 セキュリティ上、 ネットヮ ークに障害が起きないように、 アクセス可能な資源が極めて限定されて いる。 いずれにしても、 利用者がアクセス権の設定をすることはできな い。

利用者が管理者へネットワーク経由でアクセス要求を伝え、 アクセス 権の設定を行う方式として、 特開平 5— 0 0 6 3 2 2号公報がある。 利 用者がアクセス権を有しない資源へのアクセスを行った場合、 アクセス 権の変更依頼が管理者へ通知され、 管理者がアクセスを許可するような アクセス権の変更を行う、 といったアクセス権の設定方式である。

本発明では、 特に一般の家庭で構築される、 ネットワーク家電機器を 繋いだホームネットワークでの実現を考える。 通常ホームネットワーク で資源 （ネットワーク家電機器） を管理する管理者 （家庭の人） は、 ネ ッ卜ワークの知識がない人が多く、 複雑な条件のアクセス権の設定の処 理が困難であると言える。 又、 資源の利用者としては、 家庭内の人はも ちろんだが、 外部の事業者がサービスを提供するために資源を利用する 場合が考えられる。 サービス例としては、 遠隔医療、 遠隔監視、 遠隔保 守などが挙げられる。 上述の通り、 管理者である家庭の人はアクセス権 の設定が困難なため、 利用者である外部の事業者がアクセス権の設定内 容を提示し、 家庭の人はアクセス権情報として登録するかの判断、 又は 簡単な作業を行うのみ、 という簡易な設定方式を考える。

以上のようなホームネットワークを利用した上で、 従来の技術におけ る課題を挙げる。

第 1の課題として、 アクセス権の設定内容 （アクセス権を適用する期 間、 アクセス内容、 その他アクセスできる条件など)' の指定を、 管理者 ではなく利用者の方で行うことができない。

第 2の課題として、 アクセス権設定の要求は、 利用者主導でアクセス 権を管理している装置へ送信しなければならない。

第 3の課題として、 アクセス権の管理をするのは人間でなければなら ず、 その場にいない場合はアクセス権の設定処理が滞り、 又、 頻繁にァ クセス権設定の要求が投げられる場合は面倒である。

第 4の課題として、 利用したい資源（以下、 アクセス対象資源という） を保持するネットワークに対して、 資源へアクセスするための通信がで きない （以下、 ログインできないという） 利用者は、 アクセス権設定の 要求を出すことができない。 又、 管理者は、 ログインするためのユーザ

I Dの設定という特殊な知識が必要になる。

第 5の課題として、 利用者が、 利用したい資源を一意に特定する識別 子を知らない場合、 アクセス要求情報に、 アクセスを許可して欲しいァ クセス対象資源を指定することができない。

第 6の課題として、 第 3の課題を解決した場合、 指定されたアクセス 対象資源を、 利用者側で選択することができない。

第 7の課題として、 第 1の課題を解決した場合、 利用者によるァクセ ス権の設定内容の指定はできるが、 更に、 管理者により詳細な指定を行 いたい場合もでてくる。

第 8の課題として、 利用者が、 ネットヮ一クにどういう資源が存在す るか知りたい場合がある。

第 9の課題として、 第 1の課題を解決した場合、 利用者がアクセス要 求情報を不正に作成することで、 管理者 （人間） へ表示した内容とは別 の設定が行われる可能性がある。

第 1 0の課題として、 第 1の課題を解決した場合、 利用者が指定した アクセス権の設定内容が信頼できるものか、 客観的な判断が難しい。 第 1 1の課題として、 管理者の端末が携帯端末である場合でも、 第 1 又は、 第 2の課題を解決したい。

第 1 2の課題として、 管理者の端末が携帯端末である場合でも、 第 6 の課題を解決したい。

第 1 3の課題として、 管理者の端末が携帯端末である場合でも、 第 7 の課題を解決したい。 発明の開示

本発明は、 以上の課題を解決するために、 ネットワークのユーザ I D を持たない利用者により、 存在や識別子を知らないネットワークの資源 に対して、 アクセス権の設定内容 （以下、 利用者がアクセス権の設定要 求のために指定するアクセス権の設定内容を 「アクセス要求情報」 と言 う） を指定を行うものである。 これにより、 管理者に負担をかけずにァ クセス権の設定が可能になり、 又、 利用者、 並びにアクセス要求情報が 信頼でき、 管理者に知られずに不正にアクセス権の変更が行われないし くみも実現する。 さらに、 管理者により、 利用者が指定したアクセス要 求情報の変更が行えるしくみも実現する。

なお、 特開平 5— 0 0 6 3 2 2号公報記載のアクセス権の設定方式で は、 利用者が利用したい資源の識別子を知らない場合や、 利用者がネッ 卜ワークのユーザ I Dを持たない場合の解決手段について言及していな レ^ 又、 管理者により詳細なアクセス権の設定が行われるが、 利用者に はそのアクセス権の指定内容が制限されている。

この課題を解決するために本発明は、 第 1に利用者が指定したいァク セス要求情報を作成する手段と、 利用者が指定したアクセス要求情報を 受け取る手段と、 アクセス要求情報を管理者へ転送する手段と、 ァクセ ス要求情報を基に管理者が設定の可否判定を行う手段と、 管理者の許可 判断により、 利用者が指定したァクセス要求情報をァクセス権情報とし て設定する手段とを備えたことより、 管理者による.アクセス権の複雑な 設定が必要なくなると共に、 利用者によるアクセス権の設定内容の指定 が可能となる。

第 2に、 利用者が、 作成したアクセス荽求情報を管理者側から見える 塲所に一旦保存する手段と、 管理者側からこのアクセス要求情報を取得 する手段を備えたことにより、 管理者主導でアクセス権の設定が容易に できる。

第 3に、 アクセス要求情報をアクセス権情報として設定するかの可否 判定を機械により自動で行う手段を、管理者の端末に備えたことにより、 人間が、利用者の端末にいない場合でも、機械が自動で判定を行い、又、 アクセス要求情報が頻繁に投げられる場合のような煩わしい作業も、 機 械での自動化で解消できる。

第 4に、 ネットワークへログインする際のユーザ認証で必要な利用者 のユーザ I Dを作成し、 アクセス権情報の一部として登録する手段を備 えたことにより、 ネットワークへログインできず、 ユーザ I Dを持たな い利用者からでも、 管理者へアクセス権設定の要求が可能となる。

第 5に、 利用者、 管理者双方で既知である、 資源を抽象化した種別情 報でのアクセス対象資源の記述が行えることにより、 ネットワークへ口 グィンできない利用者などが具体的な資源の識別子を知らない場合でも. アクセス権設定の要求が可能になる。

第 6に、 第 3の解決手段で記載した、 利用者が利用したいアクセス対 象資源を種別の情報で指定した場合に、 管理者により利用を許可する資 源を選択する手段を備えたことにより、 アクセス対象資源を一意に決定 できるのと共に、 管理者の意志が尊重されたアクセス権の設定が可能と なる。

第 7に、 アクセス要求情報を転送する手段で管理者に提示されたァク セス要求情報に記述された内容を、 管理者からも変更ができる手段を備 えたことにより、 利用者だけに一方的にアクセス権の設定内容が指定さ れることなく、 管理者の意志が尊重された、 より柔軟なアクセス情報の 設定が可能になる。

第 8に、 ネットワークが備えたアクセス可能な資源の情報を、 利用者 が取得できる手段を備えたことにより、 資源の識別子を知らない利用者 でも、 資源の存在や、 その情報を取得することができ、 アクセス要求情 報へ盛り込むことが可能となる。

第 9に、 利用者が作成したアクセス要求情報を基に、 人間である管理 者に提示する自然言語による表示情報を作成する手段を備えたことによ り、 悪意のある利用者が不正に作成したアクセス要求情報にて、 不正に アクセス権を設定されることなく、 正確にアクセス要求情報の内容を管 理者へ伝えることが可能となる。

以下、 機械が理解できるように人間によって作られたプログラムゃコ ードなどの表現を人工言語、 人間が理解できる、 音声、 画像、 文字など の U I (ユーザ 'インターフエ一ス） 情報の元となる表現を自然言語と 呼ぶ。 第 1 0に、 受け取った、 信頼のおける C A (認証局） によるデジタル 署名が施されてるアクセス要求情報の認証を行う手段を備えたことによ り、 利用者、 又はアクセス要求情報が信頼のおけるもので、 且つ改ざん や、 なりすましの恐れがないかの判断が可能となる。

第 1 1に、携帯端末へ受け取ったアクセス要求情報を転送する手段と、 アクセス要求情報をアクセス権情報として設定してもよいかの可否判定 を、 携帯端末にて行うことができる手段をアクセス権設定装置に備えた ことにより、 管理者が管理者の端末にいなく、 外出をしているような場 合でも、 容易にアクセス権の設定を行うことが可能となる。

第 1 2に、 利用者が、 利用したいアクセス対象資源を種別の情報で指 定した場合、 携帯端末にて利用を許可する資源を選択する手段をァクセ ス権設定装置に備えたことにより、 管理者が管理者の端末にいなく、 外 出をしているような場合でも、 容易に対象資源の選択を行うことが可能 となる。

第 1 3に、 携帯端末用のアクセス要求情報を転送する手段で管理者に提 示されたアクセス要求情報の内容を、 携帯端末にて変更ができる手段を 備えたことにより、 管理者が管理者の端末にいなく、 外出をしているよ うな場合でも、 容易にアクセス要求情報に記述されている内容の変更を 行うことが可能となる。 図面の簡単な説明

図 1は、 本発明の第 1の実施の形態におけるアクセス権設定： の全体構成を示す図、

図 2は、 図 1のアクセス要求情報の一例を表す図、

図 3は、 本発明の第 1の実施の形態におけるアクセス権設定の一連の 動作例を表すシーケンス図、 図 4は、本発明の第 1の実施の形態における判定画面の一例を表す図、 図 5は、 本発明の第 1の実施の形態における判定結果の通知画面の一 例を表す図、

図 6は、 本発明の第 1の実施の形態におけるアクセス権設定の一連の 動作例を表すフローチヤ一卜図、

図 7は、 本発明の第 2の実施の形態におけるアクセス権設定システム の全体構成を示す図、

図 8は、 図 7のアクセス要求情報の一例を表す図、

図 9は、 本発明の第 2の実施の形態におけるアクセス権設定の一連の 動作例を表すシーケンス図、

図 1 0は、 本発明の第 2の実施の形態におけるサービス一覧画面の一 例を表す図、

図 1 1は、 本発明の第 3の実施の形態におけるアクセス権設定システ ムの内、 管理者の端末の構成を示す図、

図 1 2は、 本発明の第 3の実施の形態におけるアクセス権設定の一連 の動作例を表すフローチャート図、

図 1 3は、 本発明の第 4の実施の形態におけるアクセス権設定システ ムの全体構成を示す図、

図 1 4は、 図 1 3のアクセス要求情報に記述するアクセス対象資源の 種別情報の一例を表す図、

図 1 5は、 本発明の第 4の実施の形態におけるアクセス権設定の一連 の動作例を表すシーケンス図、

図 1 6は、 本発明の第 5の実施の形態におけるアクセス権設定システ ムの内、 管理者の端末の構成を示す図、 ，

図 1 7は、 本発明の第 5の実施の形態におけるアクセス権設定の一連 の動作例を表すシーケンス図、 図 1 8は、 本発明の第 5の実施の形態におけるアクセス要求情報の内 容表示画面の一例を表す図、

図 1 9は、 本発明の第 5の実施の形態における選択画面の一例を表す 図、

図 2 0は、 本発明の第 6の実施の形態におけるアクセス権設定システ ムの全体構成を示す図、

図 2 1は、 図 2 0の公開資源情報の一例を表す図、

図 2 2は、 図 2 0の公開資源の種別情報の一例を表す図、

図 2 3は、 本発明の第 6の実施の形態におけるアクセス権設定の一連 の動作例を表すシーケンス図、

図 2 4は、 本発明の第 7の実施の形態におけるアクセス権設定システ ムの全体構成を示す図、

図 2 5は、 本発明の第 7の実施の形態における不正に作成されたァク セス要求情報の一例を表す図、

図 2 6は、 本発明の第 7の実施の形態における変換テーブルの一例を 表す図、 ' 図 2 7は、 本発明の第 7の実施の形態におけるアクセス権設定の一連 の動作例を表すシーケンス図、

図 2 8は、 本発明の第 7の実施の形態におけるアクセス権設定の一連 の動作例を表すフローチャート図、

図 2 9は、 本発明の第 8の実施の形態におけるアクセス権設定システ ムの全体構成を示す図、

図 3 0は、 本発明の第 8の実施の形態におけるアクセス権設定装置と 携帯端末間の一連の動作例を表すシーケンス図である。 発明を実施するための最良の形態 以下、 本発明の実施の形態について、 図 1から図 3 0を用いて説明す る。 なお、 本発明はこれら実施の形態に何ら限定されるものではなく、 その要旨を逸脱しない範囲において、 種々なる態様で実施し得る。

(実施の形態 1 )

図 1は、 本発明のアクセス権設定装置及び管理者端末を含むネットヮ ークシステム全体の第 1の実施の形態の構成を表すものである。 第 1の 実施の形態では、 アクセス権の設定内容を利用者が指定できると共に、 管理者はその指定内容で適切なものか判別するだけで、 簡易にアクセス 権の設定を行えるようにするのが目的である。

本発明のネットワークシステムは大きく、アクセス権設定装置 1 0 0、 管理者の端末 2 0 0、 利用者の端末 3 0 0、 といった装置群から構成さ れる。 アクセス権設定装置 1 0 0は、 管理している資源へのアクセスを 制限するためのアクセス権の設定及び管理を行う装置である。 管理者の 端末 2 0 0は、 利用者から要求されるアクセス権の設定内容の確認及び アクセス権の設定を行うための管理者用の端末である。 なお、 管理者の 端末 2 0 0はリモートの端末と限定せず、 アクセス権設定装置 1 0 0そ のものと考えてもよいものとする。 利用者の端末 3 0 0は、 利用者がァ クセス権設定の要求を出したり、 実際にアクセスする際に用いる端末で ある。 利用者の端末 3 0 0を用いてアクセスする利用者からは、 ァクセ ス権設定装置で管理されているネッ卜ワーク資源へ自由にアクセスでき るわけではなく、アクセス権情報 1 0 4に基づいた.アクセス制御により、 利用者からのアクセスが制限されることになる。 なお、 これらの端末群 及び装置は同一機器としてもよく、 その形態は特に限定しない。 また、 アクセス権設定装置 1 0 0にて管理されるアクセス権を用いてのァクセ ス制御が行われる場所も、 アクセス設定装置 1 0 0のみならず、 特に限 定しない。 なお、 本発明で用いる利用者とは、 人間とは限らず、 機械が 自動で動く場合でもよいものとする。 '

まず、 利用者の端末 3 0 0内の構成要素について説明する。 アクセス 要求情報作成手段 3 0 1は、 利用者が利用したい資源へのアクセスを許 可してもらうための要求情報であるアクセス要求情報 3 0 3を作成する 手段である。 このアクセス要求情報 3 0 3は、 アクセス要求情報送信手 段 3 0 2にて、 アクセス権設定装置 1 0 0へ送信されることになる。 次に、 アクセス権設定装置 1 0 0内の各冓成要素について説明する。 アクセス要求情報受付手段 1 0 1は、 利用者が作成したアクセス要求情 報 3 0 3を受け付けるための手段である。 アクセス要求情報転送手段 1 0 2は、 アクセス要求情報受付手段 1 0 1で受け付けたアクセス要求情 報 3 0 3の内容を管理者の端末へ転送する手段である。 なお、 内容の転 送は図 1のようにリモートの端末だけではなく、 アクセス権設定装置 1 0 0内の口一カルでの転送でもよく、以後ローカル転送の例を説明する。 アクセス要求情報設定手段 1 0 3は、 管理者がアクセス要求情報の内容 を許可した場合に、 アクセス権情報 1 0 4として設定を行うための手段 である。

アクセス要求情報判定手段 1 0 5は、 アクセス権設定装置 1 0 0のァ クセス要求情報転送手段 1 0 2により転送されたアクセス要求情報 3 0 3の内容を、 アクセス権情報 1 0 4として設定するかどうかの判定を行 うための手段である。 この手段で設定が許可されれば、 アクセス要求情 報設定手段 1 0 3により、 アクセス権情報 1 0 4として設定されること になる。 なお、 アクセス要求情報判定手段 1 0 5は、 アクセス権設定装 置 1 0 0ではなく、 リモートの端末にあってもよいものとする。

利用者により作成されるアクセス要求情報 3 0 3の一例を図 2に示す。 アクセス要求情報 3 0 3は、 利用者とアクセス権設定装置 1 0 0同士で 通信を可能にするため、双方で理解し得る共通の通信規約（プロトコル） に則って作成されるものであり、 コンピュータが理解できる人為的に作 られた例えば X M L (Extens ible Markup Language) のような人工言語 として記述される。

図 2に示される各項目の説明を行う。 「利用者」はネットワークを利用 する利用者を一意に識別する識別子 （ネットワークのユーザ I Dのこと を言う） を表し、 利用者がネットワークへのアクセスを許可されている かどうかの判断 （ユーザ認証） を行う場合、 又は管理者へどの利用者か らの要求かを通知したい場合などに用いられる。 「利用端末」 は、利用者 が資源へアクセスする際に使用する端末の場所（ネットワークアドレス） を表しており、 該当する端末からのみアクセス可能と、 制限を加える場 合に用いる。 「期間」 は、 アクセスが可能となる期間を表し、 期間の制限 を加えたい場合に用いる。 「アクセス対象資源」は、利用者がアクセスを 許可して欲しい資源を表す。 「アクセス内容」は、利用者がアクセスを許 可して欲しい内容を表す。 以上の項目から、 利用者によるアクセス権の 設定内容の指定が可能となる。 図 2で挙げた項目は一例であり、 この他 に必要な項目があれば、 アクセス要求情報の一部として追加しても構わ ないものとする。 又、 図 2記載の項目は任意であり、 すべてが必要とい う訳ではない。

以上のように構成されたネットワークシステムにおける、 アクセス権 設定装置及びそのシステムについて、 その動作を説明する。

図 3に、 アクセス権設定装置 1 0 0、 管理者の端末 2 0 0、 利用者の 端末 3 0 0間での動作例を示す。 利用者が、 アクセス要求情報作成手段 3 0 1により、 前記通信規約に則って、 アクセス要求情報 3 0 3が作成 される （1 0 0 1 )。利用者によって作成されたアクセス要求情報 3 0 3 は、 アクセス要求情報送信手段 3 0 2により、 アクセス権設定装置 1 0 0へ向けて 信される。 ここで、 アクセス権設定装置 1 0 0へ送信する 際に必要なァドレスなどの情報は、 利用者側であらかじめ既知であるも のとする。 送信されたアクセス要求情報 3 0 3は、 アクセス権設定装置 1 0 0のアクセス要求情報受付手段 1 0 1により受け付けられる。 ァク セス要求情報 3 0 3を単独で送信してもよいし、 アクセス権設定装置 1 0 0内で動作させるためのアプリケーション · プログラムなどと一緒に 送信してもよいものとする。なお、アクセス要求情報受付手段 1 0 1は、 アクセス要求情報 3 0 3に記載された通信規約を知っており、 理解する ことができるものとする。 ただし、 アクセス要求情報 3 0 3は、 不正に アクセス権情報 1 0 4として設定されないように、 信頼のおける情報と する （ 1 0 0 2 )。

受け取ったアクセス要求情報 3 0 3は、 アクセス要求情報受付手段 1 0 1からアクセス要求情報転送手段 1 0 2に渡され、 アクセス要求情報 判定手段 1 0 5へその内容が転送される。 アクセス要求情報転送手段 1 0 2は、 あらかじめ転送先を知っているものとし、 ネットワークで繋が つていて転送可能であれば、 コンピュータ、 ネットワーク家電など、'種 類、 及び数量は特に限定しない。 なお、 特にあらかじめ転送先を知らな くても、 利用者がアクセス要求情報 3 0 3に転送先 （管理者の指定、 又 は転送端末の指定） を記述することで、 転送先の指定も可能とする （1 0 0 3 )。

転送されたアクセス要求情報 3 0 3の内容は、 アクセス権設定装置 1 0 0のアクセス要求情報判定手段 1 0 5により、 アクセス権情報 1 0 4 として設定するかどうかの判定が行われる。 判定は管理者である人間に より行われるもので、 例えば、 管理者の端末 2 0 0上に、 アクセス要求 情報 3 0 3の内容が表示され、 その表示内容を参照し判定を行うことに なる。 なお、 表示形式としては、 利用者がアクセス要求情報に盛り込ん だ、 文字、 音声、 画像などの、 人が理解し易い自然言語の表示形式、 又 は、 機械向けの人工言語の内容をそのまま表示することになる。

図 4に、 管理者の端末 2 0 0に表示される判定画面の例を示す。 図 4 は、 図 2に示すアクセス要求情報 3 0 3の内容を表示したもので、 文字 及びポタンなどの U I (ユーザー ·インタ一フェース） 情報を用いた自 然言語による表現となる。

この自然言語は、 利用者によりアクセス要求情報の一部として記述さ れるか、 又は別に画面表示用のプログラムを用意するなどして表示され る。 管理者としては、 表示された内容に対して許可判定を行う （図 4の では、 許可、 不許可のどちらかのボタンを押す作業） だけなので、 ァ クセス権の細かな指定をする必要がなくなり、 簡易に設定を行うことが できる。 ただし、 利用者の身元及びアクセス権の指定内容は、 あまり知 識のない管理者では判定が難しいかもしれないので、 この場合は、 熟練 した専門家に判定を依頼するような、判定代行のモデルも考えられる（ 1 0 0 4 )。アクセス要求情報 3 0 3が許可された場合、その情報がァクセ ス権設定装置 1 0 0のアクセス要求情報受付手段 1 0 1まで返る （1 0 0 5 )。判定結果を受けたアクセス要求情報受付手段 1 0 1はアクセス要 求情報設定手段 1 0 3へアクセス権情報 1 0 4への設定を依頼すること で、 結果としてアクセス要求情報 3 0 3が、 アクセス権情報 1 0 4とし て設定される （ 1 0 0 6 )。 無事に設定された旨を、 設定内容と共に、 禾 IJ 用者の端末へ通知する。

図 5に、 利用者への通知画面の例を示す。 なお、 図 5のようにァクセ ス権の設定内容の詳細まで通知しなくてもよく、 設定可否の旨だけを通 知してもよい （ 1 0 0 7 )。

以下に説明する構成要素は図 1に示していないが、 設定されたァクセ ス権情報 1 0 4を基に、 どのようにアクセス制御が行われるかの説明を 行う。 なお、 例としてアクセス制御はアクセス権設定装置 1 0 0内で行 われているとするが、 特にアクセス制御が行われる場所は問わない。 ま ず、 利用者の端末から対象資源へのアクセスが起こる。 なお、 1002 のアクセス要求の動作で説明した通り、 アクセス要求情報 303は、 ァ クセス権設定装置 100内で動作するアプリケーション · プログラムな どと送信してもよく、 この場合は、 アクセス制御による資源の利用制限 を受ける利用者をアプリケーシヨン · プログラムに置き換えることがで きる （ 1.008 )。アクセス権情報 104として設定されているユーザ I D情報を基に、 利用者がネヅ トワークへのアクセスを許可されているか どうかの判断であるュ一ザ認証を行う。 認証の手段としては、 パスヮ一 ドを利用した手段などが考えられる （ 1009 )。アクセス権情報 104 として設定された、 「利用端末」、 「期間」、 「アクセス対象資源」、 「ァク セス内容」 などを基に、 アクセス権設定装置 100により、 アクセス対 象資源へのアクセス可否の判定をするアクセス権のチェックが行われる

(10 10)。 この結果、 アクセスが許可された場合には、 対象資源への アクセスが可能となる （101 1)。

図 6に、 アクセス権の設定が行われるまでのフローチャートを示す。 利用者が作成したアクセス要求情報 303を受け付ける （ 1101)。ァ クセス要求情報 303を理解し、 管理者の端末 200へ転送する （1 1 02)。管理者がアクセス要求情報 303の許可判定を行う（1103)。 許可された場合は、 アクセス要求情報 303を設定し （ 1 104)、 その 結果が利用者へ通知される （1 105)。許可されない場合は、 アクセス 要求情報 303は設定されず（ 1 106)、不許可の結果が利用者へ通知 される。 図 6に利用者への通知の例を示す （ 1 107)。

上述のように構成された本発明の第 1の実施の形態によれば、 従来は 管理者によって決められて.いたアクセス権が、 利用者によって指定でき るようになり、逆に、管理者は煩わしいアクセス権の設定がなくなって、 管理者の負担が軽減される。 特に、 ネットワーク対応の家電 · A V機器 を繋いで構成されるホームネットワークについて考えると、 管理者であ る家庭の人はネットワークの知識があまりないことから、 アクセス権の 設定が簡易に可能になる本発明は有効な方式であると言える。 又、 ホ一 ムネットワークと外部のインタ一ネット網とを接続することで、 不特定 多数の利用者から、 頻繁に複雑な設定が必要とされる点が考えられ、 有 効なシステムであるといえる。

(実施の形態 2 )

図 7は、 本発明第 2の実施の形態におけるネットヮ一クシステム全体 の構成を表すものである。 第 2の実施の形態では、 利用者の端末からァ クセス要求情報を送信しなくても、 アクセス権設定装置側からアクセス 要求情報を取得することを目的とする。

図 1に示す第 1の実施の形態では、 利用者の端末 3 0 0からアクセス 要求情報 3 0 3を送信し、 アクセス権設定装置 1 0 0へ伝えていたが、 本実施の形態では管理者の依頼により、 アクセス権設定装置 1 0 0が、 ある場所に保存されているアクセス要求情報 3 0 3を取得しにいく手段 を備えた点が異なる。

本実施の形態の構成を図 7を用いて説明する。 ただし、 実施の形態に 記載のネットワークシステムと同様に、 アクセス権設定装置 1 0 0、 管 理者の端末 2 0 0、 利用者の端末 3 0 0にて構成されており、 一部の機 能は同じものであるので、 異なる点についてのみ説明する。 なお、 以下 管理者の端末 2 0 0はリモートの端末と限定せず、 アクセス権設定装置 1 0 0そのものと考えてもよいものとする。

利用者の端末 3 0 0には、 アクセス要求情報作成手段 3 0 1により作 成したアクセス要求情報 3 0 3を保存するために用いるアクセス要求情 報保存手段 3 0 4を備える。 保存先として、 利用者の端末から通信可能 なネットワーク上にアクセス要求情報蓄積装置 4 0 0が存在する。 ァク セス権設定装置 1 0 0には、 アクセス要求情報蓄積装置 4 0 0に蓄積さ れているアクセス要求情報 3 0 3を取得し、 受け付けるために用いるァ クセス要求情報受付手段 1 0 1を備える。 又、 アクセス権設定装置 1 0 0には、 アクセス要求情報 3 0 3の取得処理をアクセス要求情報判定手 段 1 0 5へ依頼するアクセス要求情報取得依頼手段 1 1 4を備える。 な お、 アクセス要求情報取得依頼手段 1 1 4は、 アクセス権設定装置 1 0 0ではなく、 リモー卜の端末にあってもよいものとする。

ホ一ムネットワークには、 ネットワークに対応した家電 · A V機器が 接続されており、 この機器を外部から制限的に利用可能な資源と仮定す る。 利用者を警備会社とし、 ホームネットワークに接続されているビデ ォカメラへアクセスすることで、 留守宅の映像を取得する遠隔監視サー ビスの例を考える。 この例は言い換えれば、 ホームネットワークへサー ビスを提供していると言うことができる。 一般的に、 ホームネットヮー クの管理者 （家庭の人を意味する） は、 コンピュータ及びネットワーク の知識を有レていないと考えられ、 複雑なアクセス権の設定は困難であ る。 又、 提供されるサ一ビスも多種多様であり、 ホームネットワークの 家庭の人とは異なる部外者 （コンピュータネットワークで言うところの ゲスト） が資源の利用者となり、 より一時的なアクセスが要求される。 以上の点からも、ホームネットワークへサービスを提供する利用者（事 業者） へのアクセス権の付与を考えた場合、 通常のコンピュータネット ワークのアクセス権の設定よりも多種多様な用途が考えられ、 更に複雑 な設定が必要となる。従って、第 1の実施の形態に記載の、 「管理者に複 雑な設定を行わせず」に、 「利用者によるアクセス権の設定内容の指定が 可能」 な、 アクセス権の設定のしくみの必要性が高まると言える。

ホ一ムネットワークへ提供されるサービスの一例として、 上述した警 備会社による遠隔監視サービスを用いて以下説明する。

遠隔監視サービスの場合のアクセス要求情報 3 0 3の例を図 8に示す 「利用者」 は、 利用者を特定するための識別子であるユーザ I Dを示し ており、 ネットワークへ口グインする際の認証時に利用者を識別するた めに用いられるものである。 警備会社 Aが複数のサービスを提供する場 合も考えらるので、 利用者を識別するュ一ザ I Dを、 利用者毎というよ りは、 サービス毎に作成した方が望ましい。 「属性」 は、 利用者、 又はサ 一ビスが属するグループを示しており、 グループ単位でのアクセス制御 を行う場合に必要となる。 「利用端末」、 「期間」、 「アクセス内容」は、第 1の実施の形態での説明と同じであるため、ここでは省略する。 「ァクセ ス対象資源」 は、 利用者が利用したい資源を表しており、 ここで 「ビデ ォカメラ B」 は、 ホームネットワークに接続されている機器を一意に特 定できる識別子 （ネットワークアドレス、 具体的な資源名など） を指定 して表している。 最後に 「条件」 は、 その他の時間的に変化の伴う要因 に依存したアクセス権情報 1 0 4で、 例えば 「警報センサ反応時」 の場 合は、 侵入物に ^:よるセンサ反応時のみ監視を行わせるためにアクセスを 許可し、 それ以外の正常時にはアクセスを許可しないといった、 詳細で 柔軟な設定も可能になる。

以上のように構成されたネットワークシステムにおける、 アクセス権 設定装置及びそのシステムについて、 その動作を説明する。

図 9に、 アクセス権設定装置 1 0 0、 管理者の端末 2 0 0、 利用者の 端末 3 0 0、 アクセス要求情報蓄積装置 4 0 0間での動作例を示す。 こ の例では、 アクセス要求情報判定手段 1 0 5、 及ぴアクセス要求情報取 得依頼手段 1 1 4が管理者の端末 2 0 0にある場合として説明する。 図 9は、 図 1に示す第 1の実施の形態における動作例に新たな動作 1 2 0 2〜 1 2 0 5を加えたものであり、 残りの 1 2 0 1は、 1 0 0 1に、 1 2 0 6〜 1 2 1 3は 1 0 0 4〜 1 0 1 1にそれぞれ対応しているため、 ここでは説明を省略する。

利用者がアクセス要求情報作成手段 3 0 1にて作成したアクセス要求 情報 3 0 3を、 アクセス要求情報保存手段 3 0 4を用いてアクセス要求 情報蓄積装置 4 0 0へ保 する （ 1 2 0 2 )。

なお、 アクセス要求情報蓄積装置 4 0 0は、 利用者の端末 3 0 0及び アクセス権設定装置 1 0 0から通信可能であればよく、 特に設置されて いる場所は限定しない。 管理者は、 管理者の端末 2 0 0からアクセス権 設定装置 1 0 0のアクセス要求情報取得依頼手段 1 1 4へアクセスし、 アクセス権設定装置 1 0 0のアクセス要求情報取得手段へ向けて、 ァク セス要求情報蓄積装置 4 0 0に蓄積してあるアクセス要求情報 3 0 3の 取得の依頼を行う。 なお、 管理者は、 アクセス要求情報蓄積装置 4 0 0 に存在するアクセス要求情報 3 0 3の一覧を見るなどして、 あらかじめ 取得したいアクセス要求情報 3 0 3を知っているものとする。

図 1 0にホームネットヮ一クに導入するサービス一覧画面の例を示す。 各サービスに対応するアクセス要求情報 3 0 3が、 アクセス要求情報蓄 積装置に存在することを意味する。 図 1 0の例で、 もし管理者である家 庭内の人が、 サービス一覧から遠隔監視サービスを選択した場合、 遠隔 監視サービスのアクセス要求情報 3 0 3を取得するための依頼コマンド が、 アクセス権設定装置 1 0 0のアクセス要求情報取得手段まで投げら れることになる （1 2 0 3 )。管理者から依頼されたアクセス要求情報受 付手段 1 0 1は、 該当するアクセス要求情報 3 0 3をアクセス要求情報 蓄積装置 4 0 0から取得する。 この際、 アクセス要求情報 3 0 3を単独 で取得してもよいし、 アクセス権設定装置 1 0 0内で動作させるための アプリケーション 'プログラムなどと一緒に取得してもよいものとする。 アプリケーション ·プログラムと一緒に取得した場合、 アクセス要求 情報 3 0 3に記述されたアクセス権設定の内容は、 利用者及びアプリケ —シヨン ·プログラムに対する利用したい資源へのアクセス権の内容と なる （1 2 0 4 )。 アクセス要求情報受付手段 1 0 1は、 取得したァクセ ス要求情報 3 0 3をアクセス要求情報転送手段 1 0 2へ渡され、 管理者 の端末 2 0 0へその内容が転送される （ 1 2 0 5 )。

上逑のように構成された本発明の第 2の実施の形態によれば、 利用者 がアクセス権設定の要求を投げることなく、 管理者側からアクセス要求 情報を取得できることで、 上述のホームネットワークのサービスを導入 する例のように、 管理者が希望するときに、 簡易にアクセス権の設定を 行うことが可能になる。 又、 利用者から一方的に送信されることなく、 管理者の意思に従ってアクセス要求情報を取得しにいくので、 不正ァク セスを招く可能性が低くなるという効果もある。

(実施の形態 3 )

図 1 1は、 本発明第 3の実施の形態におけるネットワークシステム全 体の構成のうち、 新たに手段を追加した管理者の端末の構成を表すもの である。 第 3の実施の形態では、 管理者が人間ではなく、 機械により自 動で、 アクセス要求情報をアクセス権情報 1 0 4として設定するかの可 否判定を行うことを目的とする。

図 1に示す第 1の実施の形態におけるアクセス権設定装置 1 0 0の構 成と異なり、 図 1 1では、 機械によりアクセス要求情報をアクセス権情 報 1 0 4として設定する可否判定を行うアクセス要求情報自動判定手段 2 0 3を管理者の端末 2 0 0に備えている。

以上のように構成されたネットワークシステムにおける、 アクセス権 設定装置及びそのシステムについて、 その動作を説明する。

図 1 2に、アクセス権の設定が行われるまでのフローチヤ一トを示す。 アクセス要求情報 3 0 3を受け付ける及び取得する動作は、 第 1及ぴ第 2の実施の形態にて説明した通りであるので、ここでは説明を省略する。 アクセス要求情報 3 0 3を管理者の端末へ転送する （1 3 0 1 )。転送 する際、 判定モードの確認を行う （ 1 3 0 2 )。 この判定モードは、 人間 による判定と機械による判定のどちらで行うかを示しているもので、 管 理者によりあらかじめ設定されているものとする。 なお、 設定がされて いない場合でも、デフオルト値があらかじめ設定されているものとする。 もし判定モードが自動であれば、 アクセス要求情報自動判定手段 2 0 3 にてアクセス要求情報 3 0 3の可否判定が行われる。 機械による判定の 場合は、 判定基準となるアルゴリズムが、 あらかじめアクセス要求情報 自動判定手段 2 0 3に登録されていることになり、 このアルゴリズムに より、 転送されてきたアクセス要求情報 3 0 3に記述されている内容を 把握し、 自動でアクセス権情報 1 0 4として設定するかの可否判定が行 えるものとする （ 1 3 0 3 )。 なお、 この判定基準となるアルゴリズムに ついては特に限定しないので、 ここでは触れない。 もし判定モードが自 動でない場合は、 アクセス要求情報判定手段 2 0 1にてアクセス要求情 報 3 0 3の可否判定が行われる （ 1 3 0 4 )。 仮に、 管理者が端末にログ インしていない場合、又は端末が起動していなかった場合などのように、 管理者が判定をできる状態ではないとアクセス権設定装置 1 0 0が判断 できれば、 判定の処理をアクセス要求情報自動判定手段 2 0 3に切り替 える処置を取ってもいいものとする。 アクセス要求情報判定手段 2 0 1 による可否判定処理は第 1の実施の形態で説明しているので、' ここでは 省略する。 又、 アクセス要求情報自動判定手段 2 0 3及びアクセス要求 情報判定手段 2 0 1の双方で判定した結果の処理 1 3 0 5 ~ 1 3 0 8は、 第 1の実施の形態の図 6のフローチヤ一卜の 1 1 0 4〜 1 1 0 7にて説 明しているので、 ここでは省略する。

上述のように構成された本発明の第 3の実施の形態によれば、 ァクセ ス要求情報に記述された内容をアクセス権情報として設定するかの可否 判定を、 機械により自動で行うことにより、 管理者が端末にいない場合 でも自動でアクセス権の設定が行える。 又、 複雑なアクセス権の内容の アクセス要求情報を頻繁に判定しなけらばならない場合には、 判定を自 動モードに切り替えることにより、 管理者に手間がかからずにアクセス 権の設定を行うことも可能になる。

(実施の形態 4 ) .

図 1 3は、 本発明第 4の実施の形態におけるネットワークシステム全 体の構成を表すものである。 第 4の実施の形態では、 ネットワークへ口 グィンすることのできない利用者からでも、 アクセス権設定の要求を受 け付け、 ログインするために必要な利用者を一意に確定する識別子 （以 下、 ユーザ I Dと言う） を発行することを目的とする。

図 1に示す第 1の実施の形態の構成図と異なり、 図 1 3に示すネット ワークシステムでは、 ローカルネットワーク 5 0 0に口グインするため に必要なユーザ I Dを持たない利用者 （の端末） からのアクセス要求を 考え、 アクセス権設定装置 1 0 0内に、 利用者の識別子 （ユーザ I D ) を発行し、 アクセス権情報 1 0 4の一部として登録する利用者識別子登 録手段 1 0 6を備えている。 なお、 管理者の端末 2 0 0及び利用者の端 末 3 0 0の構成は変わっていない。

以下、 分かり易く説明するために、 ローカルネットワーク 5 0 0の例 として、 第 3の実施の形態でも触れたホームネットワークの遠隔監視サ

—ビスの例を用いて説明をする。

外部のネットワークと接続されているホームネットワークは、 外部か らの不正アクセスを防ぐためにアクセス権の設定によるアクセス制御、 又は、 アクセスの拒否などの制限が必要である。 以下、 図 1 3に示す口 一カルネットワーク 5 0 0をホームネッ卜ワークと置き換え、 外部のネ ットワークの利用者が利用者の端末 3 0 0を用いてホームネットワーク の資源を利用すると考える。 つまり、 外部の利用者が、 遠隔監視サ一ビ スを提供する警備会社とする。 サービスを導入する前の警備会社は部外 者であり、 通常ホ一ムネットワークへのログイン及び資源へのアクセス が許可されておらず、 ホームネットワークへログインするためのユーザ I Dを持っていない状態であるといえる。 利用者からの要求によるァク セス権の設定を実現するためには、 このようなユーザ I Dをあらかじめ 持っていない利用者からでも、 アクセス要求情報 3 0 3によるアクセス 権の設定要求が行える枠組みをつくる必要がある。

利用者がネットワークのユーザ I Dを持っていない部外者である場合、 ネッ卜ワークにログインできずに、 ネットワークがどういう資源を保持 しているのか分からないケースが多いといえる。 つまり、 ネットワーク を一意に特定する識別子が分からないことになるので、 図 8に示すよう に、 アクセス要求情報 3 0 3に記述するアクセス対象資源を指定するこ とができない。：この問題を解決するために、 アクセス対象資源の識別子 を抽象化した種別の情報で指定可能とする。 分かり易い例として、 ホー ムネッ トワークに対応したビデオカメラの指定の仕方を図 1 4に示す。 「アクセス対象資源」 を 「ビデオカメラ全部」、 「ビデオカメラ 1台」、 rPanasonic 製のビデオカメラ」 のように抽象化して種別 （以下、 種別 情報という） での指定を行うものとする。 ただし、 利用者側で指定され た資源が、 管理者 （アクセス権設定装置） 側で理解されなければいけな いため、 種別情報による指定は、 その資源の表記が規格化され一般的に (又は、 利用者と管理者の間で） 認知されている場合に用いることがで きる。 例えば、 あるホ一ムネットワークの規格では、 ビデオカメラはあ るコードで規格化されているので、 利用者が記述した資源のコードを管 理者側で理解することができ、 アクセス要求情報 3 0 3の一記述形態と して用いることができる。 但し、 ホームネットワーク内に、 例えば 「ビ デォカメラ B 「ビデオカメラ C」 というように、 複数の同一規格の機 器が存在する場合は、 「ビデオカメラ全部」の指定では 2台のビデオカメ ラともアクセス権設定の対象になり、 「ビデオカメラ 1台」 の指定では、 どちらか 1台が対象となり、 その対象を決定するアルゴリズムは特に限 定しない。

以上のように構成されたネッ卜ワークシステムにおける、 アクセス権 設定装置及びそのシステムについて、 その動作を説明する。

図 1 5に、 アクセス権設定装置 1 00、 管理者の端末 20 0、 利用者 の端末 300間での動作例を示す。 この例では、 アクセス要求情報判定 手段 1 0 5が管理者の端末 20 0にある場合として説明する。図 1 5は、 図 3に示す第 1の実施の形態における動作例に新たな動作 1406〜 1 408を加えたものであり、 残りの 140 1〜 140 5は、 1 00 1〜 1 00 5に、 140 9〜 14 1 2は1 0 08〜 1 0 1 1にそれぞれ対応 しているため、 ここでは説明を省略する。 なお、 1 40 2でのアクセス 要求で、 利用者がアクセス権設定装置 1 00のアクセス要求情報受付手 段 1 0 1へ要求を送信する場合は、 ユーザ I Dを持たない利用者からで もアクセス要求情報受付手段 1 0 1にて受け付け可能とする。

管理者の端末 200からアクセス権設定装置 1 00内のアクセス要求 情報判定手段 1 0 5を用いて、 管理者に許可されたアクセス要求情報 3 0 3は、 アクセス権情報 1 04として設定されるが、 利用者はネットヮ ークのユーザ I Dを持っていないため、 アクセス権情報 1 04の一部と して、 ユーザ I Dの登録が必要になる。 このユーザ I Dは、 次回資源へ アクセスする際に、 ユーザ認証を受け口グイン可能とするために必要と なる。 又、 アクセス制御を行う際、 このユーザ I Dをキーにしてァクセ ス権の確認を行う際にも必要になる。 アクセス権設定装置 1 00内の利 • 用者識別子登録手段 1 0 6は、 アクセス要求情報 3 0 3の 「利用者」 の 情報、 又は独自の方式で利用者の識別子 （ユーザ I D ) を決定し、 ァク セス権情報 1 0 4の一部として登録する。 この際、 管理者は特にユーザ I Dの作成を意識することなく、 利用者識別子登録手段 1 0 6により自 動で行われてもよいし、 管理者自らュ一ザ I Dを決定してもよい （ 1 4 0 6 )。 アクセス要求情報設定手段により、 アクセス要求情報 3 0 3が、 アクセス権情報 1 0 4として設定される （1 4 0 7 )。無事に設定された 旨を、 設定された内容、 ユーザ I Dと共に （もしパスワードによってュ 一ザ認証を行う場合は、 パスワードも）、 利用者の端末へ通知する （1 4 0 8 )。

上述のように構成された本発明の第 4の実施の形態によれば、 従来は ネットワークのユーザ I Dを持たない利用者からはネットワークにログ インできず、 アクセス要求を行う解決策が存在していなかつたが、 本発 明により課題が解決されることで、 サービスを提供する部外者からの一 時的なアクセスが考えられるホームネットワークでは、 特に効果的であ ると言える。 又、 通常管理者によりユーザ I Dを決定し登録する煩雑な 作業も無くなる。 更に図 1 4に示すように、 アクセス対象資源を規格化 されたコ一ドで指定ができるので、 利用者は資源の識別子情報を知る必 要がなくなり、 管理者も利用者に識別子を伝える必要がなくプライバシ —の保護に役立つといった効果がある。

(実施の形態 5 )

図 1 6は、 本発明第 5の実施の形態におけるネットワークシステム全 体の構成を表すものである。 第 5の実施の形態では、 利用者により指定 されたアクセス要求情報に対して、 管理者でも変更を可能にし、 又、 利 用者がアクセス対象資源を種別情報で指定した場合でも、 管理者が複数 のアクセス対象資源の中からアクセス対象資源を決定することを目的と する。

図 1 6に示す構成図は、 図 1 1に示す第 3の実施の形態の構成図に新 たな構成を加えたものである。 第 3の実施の形態の構成とは、 管理者の 端末 2 00内に、 利用者が作成したアクセス要求情報 3 0 3を管理者の 都合のいいように変更することが可能なアクセス要求情報変更手段 20 5と、 利用者が資源の種別情報でアクセス対象資源を指定し、 該当する 資源のうちどれにアクセス権を与えるか選択することが可能なアクセス 対象資源選択手段 204を備えた点が異なる。

以上のように構成されたネットワークシステムにおける、 アクセス権 設定装置及びそのシステムについて、 その動作を説明する。

図 1 7に、 アクセス権設定装置 1 00、 管理者の端末 200、 利用者 の端末 300間での動作例を示す。 図 1 7は、 図 1 5に示す第 2の実施 の形態における動作例に、 新たな動作 1 504〜1 50 7を加えたもの であり、 残りの 1 50 1〜 1 50 3は、 140 1〜 140 3に、 1 50 8〜 1 514は、 1406〜 14 1 2にそれぞれ対応しているため、 こ こでは説明を省略する。

利用者により作成されたアクセス要求情報 3 0 3が、 管理者の端末 2 0 0へ転送される。 転送されてきたアクセス要求情報 3 0 3に対して変 更が必要な場合は、 アクセス要求情報変更手段 20 5にて変更を行う。 例として、 第 2の実施の形態にて説明を行った図 8に示すアクセス要 求情報 30 3が転送された場合について説明する。管理者が人の場合は、 管理者の端末 20 0に表示されるアクセス要求情報 30 3の内容を確認 し、 「期間」、 「アクセス対象資源」、 「アクセス内容」、 「条件」の変更、追 加、 削除などを行うことが可能である。 図 1 8に管理者の端末 20 0に アクセス要求情報 3 03に記述された内容の表示画面の例を示す。 管理 者は、 画面の変更ポタンを押すことで、 アクセス要求情報変更手段 20 5にて、 各アクセス要求情報の内容の変更が可能になる。 変更は、 利用 者と管理者が相互に交渉しながら行う形態でもよい （ 1 5 0 4 )。 もし、 利用者がアクセス対象資源を規格化された資源の種別情報で指定した場 合、 複数の資源がアクセス対象資源として設定されることになる。 利用 者は、 利用したい資源の識別子が分からないために資源の種別情報を用 いてアクセス対象資源を指定していると考えられるので、 指定された種 別に当てはまる全ての資源をアクセス対象資源として許可するというこ とは、本来利用を許可する資源以外のものも許可してしまう恐れもあり、 アクセス範囲を広げてしまうかもしれないという問題が発生する。 そこ で管理者の意思で、 利用者からの利用を許可する資源の選択を行うのが 望ましい。アクセス対象資源を資源の種別情報にて記述した例を挙げる。 単純に 「ビデオカメラ」 と指定された場合は、 管理者の判断で利用を許 可する資源を選択する必要がある。なお許可する数量は特に限定しない。 「ビデオカメラ全部」 という指定の場合は、 特に管理者が利用を許可す る資源を選択しなくても、 該当するビデオカメラを全てアクセス対象資 源となる （実際には、 全ての資源の識別子がアクセス権情報のアクセス 対象資源として登録される）。状況に応じて利用を許可する資源を絞り込 んで選択してもよい。 「ビデオカメラ 1台」 という指定の場合は、 どのビ デォカメラの利用を許可するか選択しなければならない。 図 1 9に 「ビ デォカメラ 1台」 と指定された場合の、 アクセス対象資源の選択画面の 例を示す。 アクセス対象資源選択手段 2 0 4により、 指定された種別情 報に該当する資源がピックアツプされる。

管理者はこの中からアクセスを許可する資源を 1つ以上選択する。 た だし許可しない場合は選択しなくてもよい。 なお、 選択を自動化するた めに、 あらかじめ選択される資源の優先度の指定を行ってもよいものと する（1 5 0 5 )。管理者が、アクセス権の設定を許可する判定を行う（1 5 0 6 )。アクセス要求情報 3 0 3が許可された場合、その情報がァクセ ス権設定装置 1 0 0のアクセス要求情報受付手段 1 0 1まで返る。但し、 1 5 0 4にて要求情報の変更を行っている場合は、変更した情報が返り、 更に 1 5 0 5にてアクセス対象資源の絞込み選択を行っている場合は、 選択されたアクセス対象資源の識別子情報も返る （ 1 5 0 7 )。 なお、 1 5 0 4の変更処理、 1 5 0 5の選択処理及び 1 5 0 6の判定処理の順序 は特に限定しない。 又、 ホームネットワークの家庭の人が管理者だと仮 定すると、 あまり知識がないことから、 1 5 0 6のアクセス要求情報 3 0 3の判定が、 困難になるかもしれない。 この場合は、 1 5 0 6の判定 処理は専門家 （設定代行業） に委託し、 1 5 0 4の変更処理及び 1 5 0 5の選択処理は、 家庭内の人が行う、 といった処理の分担を行ってもよ レ すなわち、 アクセス要求情報判定手段 2 0 1、 アクセス要求情報変 更手段 2 0 5及びアクセス対象資源選択手段 2 0 4は同一端末上ではな く、 分散環境としても構わないものとする。

上述のように構成された本発明の第 5の実施の形態によれば、 利用者 により指定されるアクセス要求情報 3 0 3を、 管理者の意志で柔軟に設 定できる。 又、 資源の識別子を知らない利用者が、 資源の種別情報を用 いてアクセス対象資源の指定を行った場合でも、 管理者により利用を許 可する資源の選択を行うことで、 余計なアクセス対象資源の設定を防ぐ ことができる。 特にホームネットワークの例のように、 ネットワークの 知識が乏しい管理者であっても、 簡易にアクセス権の設定内容の変更及 びアクセス対象資源の指定ができ、 効果的であるといえる。

(実施の形態 6 )

図 2 0は、 本発明第 6の実施の形態におけるネットワークシステム全 体の構成を表すものである。 第 6の実施の形態では、 ネットワークの口 グィンできない利用者のように、 ネッ卜ワークに存在する資源の識別子 及びネッ卜ワークに存在する資源の種別情報を知らない場合に、 これら の情報の取得を可能にすることを目的とする。

図 1 3に示す第 4の実施の形態の構成図と異なり、 図 2 0に示す構成 では、 口一カルネヅトヮ一ク 5 0 0で保持している資源の識別子情報、 又は種別情報の中で、 外部のネットワーク向けに公開している情報と、 この公開している情報を取得する公開資源情報取得手段 3 0 5を利用者 の端末 3 0 0に備えている。 なお、 管理者の端末 2 0 0の構成は変わつ ていない。

公開資源情報記憶装置に 1 0 7に記憶されている情報の例を図 2 1に 示す。 公開資源情報記憶装置に 1 0 7に記憶されている情報は、 管理者 の意志により、 自由にログインできない、 ュ一ザ I Dを持たない利用者 向けに公開している情報であり、 ローカルネッ卜ワーク 5 0 0内の資源 の識別子及ぴ種別の一覧情報である。 この情報は、 必ずしもすべての資 源の情報でなく、 管理者が外部のネットワークへ公開してもよいと判断 した資源やそのアクセス内容に限っているものとする。 言い換えると、 管理者があまり外部へ公表したくない資源に関しては、 公開しなくても よいといえる。

特に図 2 1では、 ホームネットワークの機器の例として、 対象資源の 項目で、 ビデオカメラが 2台、 デジタルテレビが 1台あることを表して おり、 それぞれ機器 （資源） を一意に特定できる識別子の情報である。 アクセス内容の項目では、 それぞれの機器でアクセス可能な内容である ことを表している。 図 2 2は図 2 1の公開資源情報記憶装置に 1 0 7に 記憶されている情報を抽象化した例を示している。図 2 2では、機器（資 源） の識別子ではなく、 種別の情報であるので、 仮にビデオカメラが複 数台存在する場合でも、 1通りの表現で表されることになる。 なお、 こ の公開資源情報記憶装置に 1 0 7に記憶されている情報は、 管理者及び 利用者からの通信が可能であれば、 特に存在する場所は限定しない。 通常、 管理者からの告知がない限り、 資源の存在を知ることが困難な ネットワークに口グインできない利用者でも、 利用者の端末 3 0 0内の 公開資源情報取得手段 3 0 5を用いて公開資源情報記憶装置に 1 0 7に 記憶されている情報を取得することができる。 取得した公開資源情報記 憶装置に 1 0 7に記憶されている情報は、 アクセス要求情報 3 0 3とし て、 利用したい資源やアクセス内容を指定するときに用いることができ る。

以上のように構成されたネットヮ一クシステムにおける、 アクセス権 設定装置及びそのシステムについて、 その動作を説明する。

図 2 3に、 アクセス権設定装置 1 0 0、 管理者の端末 2 0 0、 利用者 の端末 3 0 0間での動作例を示す。 この例では、 図 1 6に示す管理者の 端末 2 0 0を利用するものとして説明する。 図 1 8は、 図 1 3に示す第 4の実施の形態における動作例に新たな動作 1 6 0 1、 1 6 0 2を加え たものであり、 残りの 1 6 0 3〜 1 6 1 5は、 1 5 0 2〜 1 5 1 4に対 応しているため、 ここでは説明を省略する。

ネットワークへ口グインできない利用者、 又はネットワークの資源の 情報を知らない利用者が、 利用者の端末 3 0 0内の公開資源情報取得手 段 3 0 5を用いて、 公開資源情報記憶装置 1 0 7から資源の識別子、 又 は種別情報などの情報を取得する。 もし、 公開資源情報記憶装置 1 0 7 がアクセス権設定装置 1 0 0内に存在する場合でも、 ネットワークへ口 グインするために必要なュ一ザ I Dを持たない利用者から、 ある通信規 約 （プロトコル） を用いてアクセスできるものとする （1 6 0 1 )。 取得 した公開資源情報記憶装置 1 0 7に記憶されている情報を基にアクセス 対象資源を指定ができるので、 結果として利用者の端末 3 0 0内のァク セス要求情報作成手段 3 0 1を用いて、 アクセス要求情報 3 0 3を作成 することが可能となる （ 1 6 0 2 )。

上述のように構成された本発明の第 6の実施の形態によれば、 資源の 識別子を知らない場合でも、 オンラインで即時に情報を取得することが できる。 特にネットワークのユーザ I Dを持たず口グインできない利用 者は、 あらかじめ資源の識別子を知らないことがほとんどであると考え られる。 この点からも、 識別子情報及び種別情報の取得は有効な手段で あるといえる。

(実施の形態 7 )

図 2 4は、 本発明第 7の実施の形態におけるネットワークシステム全 体の構成を表すものである。 第 7の実施の形態では、 利用者が作成した アクセス要求情報 3 0 3が信頼のおけるものかの確認と、 管理者である 人間に知られないように、 不正にアクセス権の設定を行わせないように することが目的となる。

図 2 0に示す第 6の実施の形態の構成図と異なり、 図 2 4に示す構成 では、 アクセス権設定装置 1 0 0内に、 利用者が作成したアクセス要求 情報 3 0 3が ί 信頼できる情報かどうかの認証を行うアクセス要求情報 認証手段 1 0 8と、 利用者が作成したアクセス要求情報に記述された内 容を、 人が視覚的に理解し易い自然言語へと変換し表示情報を作成する 表示情報作成手段 1 0 9を備えている。 なお、 管理者の端末 2 0 0及び 利用者の端末 3 0 0の構成は変わっていない。

以上のように構成されたネットワークシステムにおける、 アクセス権 設定装置及びそのシステムについて、 その動作を説明する。

まず第 1に、 アクセス要求情報 3 0 3が信頼のおける情報かを認証する 仕組みを説明する。

例としてホームネットワークに導入するサービスを考えた場合、 第 3 者により作成されているものであれば、 すべてのサービスが信頼できる 訳ではなく、 中には不正行為を働くサービスも存在するかもしれない。 信頼できるサービスかの判断を行う手段として、 デジタル署名の仕組み があり、 本実施の形態では、 この仕組みを利用し、 サービスの信頼性を 確認する。

以下、 例として公開鍵暗号方式を利用したデジタル署名の基づく、 ュ —ザ認証について説明する。 デジタル署名の仕組みをアクセス要求情報 3 0 3に利用すると、 不正利用者が名前を偽る 「なりすましの防止」、 不 正利用者によるアクセス要求情報 3 0 3の書き換えなどの 「改ざんの防 止」、 又は、 利用者が公的な認証機関によって認証された事実による 「信 頼度の向上」 などを図ることができる。

まず 「なりすましの防止」 の説明を行う。 利用者が作成したデジタル 署名を施したアクセス要求情報 3 0 3を不正利用者が何らかの手段で入 手し、 これを送信した場合を考える。 通常管理者が入手した利用者の公 開鍵を利用して、 間違いなく利用者から送信されたものかのユーザ認証 を行う。しかし、 この場合、不正利用者はユーザ認証を行う際に必要な、 利用者の公開鍵のペアとなる秘密鍵を持っていないため、 ユーザ認証が 失敗する。 従って、 なりすましを防止することできる。

次に 「改ざんの防止」 の説明を行う。 利用者が作成したデジタル署名 を施したアクセス要求情報 3 0 3を不正利用者が何らかの手段で入手し、 これを改ざんを行った場合を考える。 本当は利用者の秘密鍵で暗号化し なければならないところ、 不正利用者は、 この秘密鍵を持っていないた め、 別の秘密鍵で暗号化するしかない。 しかし、 管理者は利用者の公開 鍵にて復号化を行い、 うまくアクセス要求情報 3 0 3が復号化できず、 不正に改ざんされたことが分かる。 従って、 改ざんを防止することがで きる。

最後に 「利用者の信頼度の向上」 の説明を行う。 信頼のできる第 3者 認証機閑である C A (Cert i f icat ion Authori ty：認証局） を利用する例 である。 なお、 C Aは公正、 中立な立場であり、 絶対的に信頼できる機 関であることが前提となる。 利用者は、 自分専用の公開鍵、 秘密鍵のぺ ァを自ら作成するか C Aで作成してもらレ それを C Aへ登録申請する。 このとき、 C Aにより利用者の身元照会が行わる。 C Aは利用者の身 照会により登録を許可すると、 利用者の公開鍵を C Aのデ一夕ベースに 登録し保管する。 そして、 登録者の情報を C Aの秘密鍵で暗号化した証 明書を利用者に渡す。 すなわち、 この証明書が C Aの公開鍵で複号化で きれば、 C Aに認定された信頼のおける利用者と判断することができる。 第 2に、 管理者である人間に知られないように、 不正にアクセス権の 設定を行わせないようにする仕組みを説明する。

まず課題を分かり易く説明する。例として第 3者が作成したソフトを、 自分のコンピュータで実行する場合を考える。人に見える動作としては、 画面に表示されている映像や音があるが、 これ以外の人に見えないとこ ろでは、 ソフトが何を行っているか分からない。 つまり、 人に見える範 囲では特に問題ないような動きをし、 人に見えないところで気付かれな いように、 不正にアクセス権の設定を行うようなソフトを作成すること が可能である。本発明の内容で具体的な例として、悪意のある利用者が、 特に問題のない表現で記述された人間が理解し易い自然言語情報と、 不 正を働く記述がされた人工言語情報とでアクセス要求情報 3 0 3を作成 し、 管理者に不正であることを気付かせずにアクセス要求情報 3 0 3を 許可させ、 人工言語で記述された不正な内容でアクセス権の設定を行え ることが挙げられる。

利用者が不正に作成したアクセス要求情報 3 0 3の例を図 2 5に示す。 図 2 5では例として、 アクセス要求情報 3 0 3に人工言語、 自然言語を 記述しており、 人工言語を X M Lにて記述している。 ここで問題になる のは、 機械が理解できる人工言語では、 資源を利用できる 「期間」 が 「2000/1/1〜2000/2/29」、 「アクセス対象資源」 が 「0x0004 (=ビデオ力 メラ）」 （図 2 6の変換テ一ブル記載のコードの定義を参照）、 「アクセス 内容」 が 「0x 1020 (=すべての動作）」 となっているが、 一方、 管理者で ある人が理解できる自然言語では、 それぞれ 「1999/12/ 1〜2000/5/3 1」、 「ビデオカメラ」、 「映像取得」 と異なった内容の記述がされている。 本 来、 人工言語と自然言語は同じ意味の記述をしなければならないが、 こ の例だと、 利用者が管理者を騙して、 不正なアクセス権の設定を行う可 能性があると言える。

一旦不正にアクセス権が設定されると、 資源への不正アクセスが起こ る恐れがあり、 セキュリティ上問題になる。 第 2の実施の形態などで説 明したホームネットワークで導入するサービスの例だと、 当然すべてが 信頼できるサービスとは言えず、 中には不正な設定を行い、 家庭の機器 へ不正にアクセスしたり、 家庭の情報を盗み出すサ一ビスが存在する可 能性もあり、 これを解決する仕組みが必要となる。 なお、 管理者が機械 の場合は、 もともと自然言語を理解することができないため、 この仕組 みは適用できない。

このような不正行為を防止するためには、 必ずしも信頼できないので 利用者が作成した自然言語情報を利用せずに、 信頼できるアクセス権設 定装置の一手段が自然言語情報を作成する方式を考案する。 利用者によ つて作成された人工言語情報を含むアクセス要求情報 3 0 3を基に、 人 ェ言語と自然言語を対応させて変換を行い、 表示情報作成手段 1 0 9に て、 自然言語形式の表示情報を作成する。

人工言語から自然言語へ翻訳する際の対応を取った変換テーブルの例 を図 2 6に示す。

図 2 6には、 第 2の実施の形態にて説明した図 8に示す 「アクセス対 象資源」、 「アクセス内容」、 「条件」 などの各人工言語に対応した自然言 語が記載されている。 例えば、 利用者により 「対象資源」 が 「0x0004」 で 「アクセス内容」 が 「0x1020」 と指定された場合、 アクセス権設定装 置 1 0 0の表示情報作成手段 1 0 9にて、 「ビデオカメラのすべての動 作」というように、文字列による自然言語への変換を可能にする。但し、 この人工言語はある規約により定められたもので、 利用者、 管理者、 双 方で既知であることが前提となる。 なお、 図 2 6には例として自然言語 を文字列の形で表しているが、 他にも画像、 音声などがあり、 どの形式 を使用してもよい。 又、 図 2 6の変換テーブルを用いた自然言語の作成 アルゴリズムは一例であり、 作成方式は特に限定しない。

図 2 7に、 アクセス権設定装置 1 00、 管理者の端末 200、 利用者 の端末 300間での動作例を示す。 この例では、 図 1 6に示す管理者の 端末 2 00を利用するものとして説明する。 図 27は、 図 23に示す第 6の実施の形態における動作例に、 新たな動作 1 7 04：〜 1 7 0 6を加 えたものであり、残りの 1 7 0 1〜 1 7 0 3は、 1 60 1〜 1 6 0 3に、 1 70 6〜 1 7 1 7は、 1 6 04〜 1 6 1 5にそれぞれ対応しているた め、 ここでは説明を省略する。

アクセス要求情報受付手段 1 0 1が、 暗号化されたアクセス要求情報 3 03とそれに付随する C Aが発行した証明書、 又はデジタル署名を受 け付け、 アクセス要求情報認証手段 1 0 8へアクセス要求情報 3 0 3の 認証を依頼する。 復号化に必要な CA、 又は利用者の公開鍵は、 ァクセ ス要求情報 3 03と共に送信されるか、 又はネットワーク上のアクセス 可能な DB (データベース） から取得できる。 該当する公開鍵で暗号化 されているアクセス要求情報 3 0 3、 又は証明書を復号化し、 利用者の ユーザ認証を行うと共に、 公開鍵、 秘密鍵を、 用いて認証を行う （ 1 7 04)。認証が通った場合、利用者により人工言語のみで記述されたァク セス要求情報 3 0 3は、 表示情報作成手段 1 0 9にて人工言語を読み取 られ、 アクセス要求情報 3 0 3を適切な自然言語へと変換され、 結果と して人間が理解し易い表示情報が作成される （ 1 7 0 5 )。表示情報作成 手段 1 0 9にて作成された表示情報が、 アクセス要求情報転送手段 1 0 2により、 管理者の端末 2 0 0へ転送される （ 1 7 0 6 )。

図 2 8に、 第 7の実施の形態のアクセス要求情報 3 0 3の認証手段及 びアクセス要求情報 3 0 3から自然言語を作成する手段を加えたフロー チャートを示す。

利用者が作成したアクセス要求情報 3 0 3を受け付ける （ 1 8 0 1 )。 アクセス要求情報 3 0 3のデジタル署名を参照して信頼できる情報かの 認証を行う （ 1 8 0 2 )。 認証されない場合は、 アクセス要求情報 3 0 3 は設定されず（ 1 8 0 8 )、 不許可の結果が利用者へ通知される （ 1 8 0 9 )。 認証された場合は、 表示情報作成手段 1 0 9にて、 アクセス要求情 報の内容を自然言語に変換し、 管理者に提示するための表示情報を作成 する （ 1 8 0 3 )。 以降の 1 8 0 4〜 1 8 0 7は、 図 6に示す 1 1 0 2〜 1 1 0 5と同じ'フローなので、 ここでは説明を省略する。

上述のように構成された本発明の第 7の実施の形態によれば、 デジ夕 ル署名を利用した認証の仕組みを利用することで、 利用者が信頼でき、 更にアクセス要求情報 3 0 3も信頼できるものか確認を行うことが可能 である。特に多種多様なサービスが考えられるホ一ムネットワークでは、 ネットワーク上に散在している信頼できないサービスの存在も懸念され るので、 このような認証の仕組みを利用することで、 不正なサービスの 導入を防ぐ効果がある。

又、 利用者が用意する管理者へアクセス要求情報の内容を理解しても らうための自然言語情報で、 実際の設定内容を誤魔化される恐れがある という課題に対し、 信頼できるアクセス権設定装置が、 人間が理解でき る自然言語を用いた表示情報を作成する機能を持つことで、 利用者が指 定した内容を忠実に管理者へ伝えることができ、 利用者による不正なァ クセス権の設定を防ぐことが可能となり、 セキュリティ向上の効果があ る。

(実施の形態 8 )

図 2 9は、 本発明第 8の実施の形態におけるネットワークシステム全 体の構成を表すものである。 第 8の実施の形態では、 管理者の端末にて 行っていた、 アクセス要求情報の判定、 対象資源の絞込み選択、 ァクセ ス要求情報記述の Λ容の変更を、 携帯端末にて行わせることが目的とな る。

図 2 4に示す第 7の実施の形態の構成図と異なり、 図 2 9に示す構成 では、 アクセス権設定装置 1 0 0内に、 管理者がアクセス権の設定を行 うために用いる携帯端末 6 0 0と、 携帯端末 6 0 0へアクセス要求情報 3 0 3を転送する携帯端末用要求情報転送手段 1 1 0と、 携帯端末 6 0 0にて、 アクセス要求情報 3 0 3をアクセス権情報 1 0 4として設定す るかの可否判定を行う携帯端末用要求情報判定手段 1 1 1と、 携帯端末 6 0 0にて、 複数のアクセスの対象となる資源の候補の中から絞込み選 択を行う携帯端末用対象資源選択手段 1 1 2と、 携帯端末 6 0 0にて、 アクセス要求情報 3 0 3に記述された内容の変更を行う携帯端末用要求 情報変更手段 1 1 3を備えている。 なお、 ここで記述している携帯端末 6 0 0とは、 人間により比較的自由に持ち運びができ、 且つ、 ネットヮ —クとの接続手段を備えているものと仮定する。 又、 管理者の端末 2 0 0及び利用者の端末 3 0 0の構成は変わっていない。

上述の 1 1 0、 1 1 1、 1 1 2、 1 1 3、 の各手段は、 図 1 6に示す 管理者の端末 2 0 0内にある 2 0 2、 2 0 1、 2 0 4、 2 0 5の各手段 を携帯端末用に拡張したもので、 目的は同じものと考えてよい。 以上のように構成されたネットワークシステムにおける、 アクセス権 設定装置及びそのシステムについて、 その動作を説明する。

図 3 0に、 アクセス権設定装置 1 0 0、 携帯端末 6 0 0.間での動作例 を示す。 図 3 0では、 第 7の実施の形態以前のアクセス要求情報 3 0 3 を受け取る処理及び取得する処理と、 管理者からの判定結果を受けての アクセス権の設定処理について、 動作が同じであるため省略しており、 アクセス権設定装置 1 0 0と携帯端末 6 0 0間の動作についてのみ説明 する。

アクセス要求情報 3 0 3を受け付けた、 又は取得したアクセス権設定 装置 1 0 0は、 携帯端末用要求情報転送手段 1 1 0により携帯端末 6 0 0へ転送する。 転送された画面の例は図 1 8の通りである （1 9 0 1 )。 管理者が携帯端末 6 0 0の画面上で、 図 1 8に示されるような変更ボタ ンを押すことで、 アクセス要求情報 3 0 3の内容の変更要求を行う （1 9 0 2 )。 この要求を受け取った携帯端末用要求情報変更手段 1 1 3は、 管理者の指定レた変更画面を携帯端末 6 0 0へ送信し表示させる （ 1 9 0 3 )。受け取うた管理者は、変更画面にてアクセス要求情報 3 0 3の記 述内容の変更を行う （ 1 9 0 4 )。管理者が指定した変更内容を受け取つ た携帯端末用要求情報変更手段 1 1 3は、 その変更内容を反映させた変 更結果を携帯端末 6 0 0へ送信し表示させる（1 9 0 5 )。次に管理者は、 アクセス対象資源の候補が複数ある場合に、 アクセス対象資源の絞込み のために対象資源の選択要求を行う。 この選択は、 第 4の実施の形態で 説明した通り、 利用者がアクセス要求情報 3 0 3のアクセス対象資源の 項目に資源の種別を記述した場合に起こり得る処理である （ 1 9 0 6 )。 この要求を受け取った携帯端末用対象資源選択手段 1 1 2は、 管理者の 指定した図 1 9に示されるような資源の選択画面を携帯端末 6 0 0へ送 信し表示させる。 （ 1 9 0 7 )。 受け取った管理者は、 選択画面にてァク セス対象資源の候補の中から、 実際にアクセス権の設定を行う資源の選 択を行う （ 1 9 0 8 )。管理者が指定した選択資源の情報を受け取った携 帯端末用対象資源選択手段 1 1 2は、 その選択資源を反映させた選択結 果を携帯端末 6 0 0へ送信し表示させる （ 1 9 0 9 )。 管理者が、 ァクセ ス権の設定を許可する判定を行う （1 9 1 0 )。アクセス要求情報 3 0 3 が許可された場合、 その情報が携帯端末用要求情報判定手段 1 1 1まで 返る （1 9 1 1 )。 なお、 1 9 0 2〜 1 9 0 5の変更処理、 1 9 0 6〜 1 9 0 9の選択処理及び 1 9 1 0、 1 9 1 1の判定処理の順序は特に限定 しない。 · 上述のように構成された本発明の第 8の実施の形態によれば、 ァクセ ス権設定装置 1 0 0から携帯端末 6 0 0へアクセス要求情報 3 0 3の内 容を転送し、 アクセス要求情報 3 0 3の許可判定、 アクセス対象資源の 選択、 アクセス要求情報 3 0 3に記述された内容の変更といった処理が 行えることによ.り、 管理者が外出している場合でも、 携帯端末 6 0 0を 持って外出している場合などでも、.管理者の端末 2 0 0で行える処理を 携帯端末 6 0 0で行うことができる。 利用者の端末に常にいる必要がな く、 又アクセス要求情報 3 0 3が送信されたり、 取得した場合でも、 即 時に携帯端末まで転送されるので、 リアルタイムな設定が可能になる。 産業上の利用可能性

以上のように本発明によれば、 第 1に、 利用者による、 アクセス権の 設定の要求と設定内容の指定ができることにより、 ネットワークの知識 のない管理者でも簡易にアクセス権の設定が可能になると共に、 利用者 も希望通りのアクセス権の設定が可能となる。 又、 ホームネットワーク にサービスを導入するような、 頻繁にアクセス権の設定が伴うネットヮ ークでは、 アクセス権の設定が簡易なことから特に有効である。 第 2に、 利用者側からアクセス要求情報を取得できることにより、 管 理者が希望するときに簡易にアクセス権の設定を行うことができ、更に、 利用者から一方的にアクセス要求情報を送信されることもなくなるので、 不正アクセスの危険度を低くする効果がある。

第 3に、 アクセス要求情報に記述された内容をアクセス権情報として 設定してもよいかの可否判定を、 機械により自動で行えることにより、 通常人間が行っていた煩雑な作業を無くすことができ、 人間がいない場 合でもアクセス権の設定が可能になる効果がある。

第 4に、 受け取ったアクセス要求情報から、 ユーザ I Dを発行し、 ァ クセス権情報.の一部として登録できることにより、 ネットワークのユー ザ I Dを持たずログインできない利用者からも、 アクセス要求情報を受 け付けることが可能になる。

第 5に、 利用者が作成するアクセス要求情報に記述するアクセス対象 資源を、抽象化した種別の情報で指定することを可能にしたことにより、 利用者はあらかじめ資源の存在や識別子を知つておく必要がなくなり、 又管理者は、 自分が管理する機密資源の情報を利用者へ知らせる必要が なくなるという効果がある。

第 6に、 利用者が種別情報でアクセス要求情報に記述するアクセス対 象資源を指定した場合に、 複数の対象資源の候補の中から、 管理者が自 由にアクセスを許可する資源を選択できることにより、 管理者の好みに 応じて数を絞り込むことができ、 余分にアクセス権の設定をしなくても よいという効果がある。

第 7に、 利用者が指定したアクセス要求情報に対し、 管理者がその内 容の変更ができることにより、 一方的に指定されるばかりではなく、 管 理者の意思を尊重した柔軟な設定や、 利用者との交渉をすることで、 よ り的確な設定が可能という効果がある。 第 8に、 管理者が外部のネットワークに公開した資源の識別子及び種 別の情報を、 利用者が取得できることにより、 資源の情報を知らない利 用者でも、アクセス要求情報にアクセス対象資源を記述することができ、 アクセス権の設定要求をすることが可能になる。

第 9に、 利用者が作成したアクセス要求情報の内容を、 人間である管 理者が理解し易い自然言語へ忠実に変換し、 管理者の端末で表示する情 報を作成することにより、 利用者が管理者に嘘をついて、 不正にァクセ ス権の設定を行わせるのを防ぐ効果がある。

第 1 0に、 デジタル署名を利用したアクセス要求情報の認証を行うこ とにより、 不正行為を働こうとしている利用者から、 他人のアクセス要 求情報を使う成りすましの防止、 他人のアクセス要求情報の書き換え防 止、 並びにアクセス要求情報の信頼性の確認を行うことができる。

第 1 1に、 管理者が利用する携帯端末にアクセス要求情報に記述され た内容を転送させ、 更にアクセス権情報として設定するかの判定も可能 にしたことにより、 管理者が遠隔地にいる場合や、 アクセス要求情報を 受け付け、 即時に対応したい場合などに効果がある。

第 1 2に、 第 6の効果に記載した内容を、 管理者が利用する携帯端末 でも奏することができる。

第 1 3に、 第 7の効果に記載した内容を、 管理者が利用する携帯端末 でも奏することができる。

Claims

請 求 の 範 囲

1. アクセス権の設定により利用の制限が可能な資源に対し、 前 記資源の利用を制限するためのアクセス権情報の設定を行うことができ るアクセス権設定装置において、

前記資源へのアクセス権設定を要求するための情報が記述されたァク セス要求情報を受け付けるアクセス要求情報受付手段と、

前記アクセス要求情報受付手段により受け付けた前記アクセス要求情 報の内容の判定を行うアクセス要求情報判定手段と、

前記アクセス要求情報判定手段により判定した前記アクセス要求情報 の内容を、 前記アクセス権情報として設定を行うアクセス要求情報設定 手段を備えたことを特徴とするアクセス権設定装置。

2 . アクセス権の設定により利用の制限が可能な資源に対し、 前 記資源の利用を制限するためのアクセス権情報の設定を行うことができ るアクセス権設定装置において、

前記資源へのアクセス権設定を要求するための情報が記述されたァク セス要求情報の取得を依頼するアクセス要求情報取得依頼手段と、 前記アクセス要求情報取得依頼手段により指定された前記アクセス要 求情報の取得を行うアクセス要求倩報受付手段と、

前記アクセス要求情報受付手段により取得した前記アクセス要求情報 の内容の可否判定を行うアクセス要求情報判定手段と、

前記ァクセス要求情報判定手段により判定した前記アクセス要求情報 の内容を、 前記アクセス権情報として設定を行うアクセス要求情報設定 手段を備えたことを特徴とするアクセス権設定装置。

3 . アクセス権の設定により利用の制限が可能な資源に対し、 前 記資源の利用を制限するためのアクセス権情報の設定を行うことができ るアクセス権設定装置であって、

前記資源へのアクセス権設定を要求するための情報が記述されたァク セス要求情報を受け付けるアクセス要求情報受付手段と、

前記アクセス要求情報受付手段により受け付けた前記 7クセス要求情 報の内容の判定を行うアクセス要求情報判定手段と、

前記アクセス要求情報判定手段により判定した前記アクセス要求情報 の内容を、 前記アクセス権情報として設定を行うアクセス要求情報設定 手段を備えたアクセス権設定装置とネットワークにて接続された管理者 端末において、

前記資源へのアクセス権設定を要求するための情報が記述されたァク セス要求情報の取得を依頼するアクセス要求情報取得依頼手段と、 前記アクセス権設定装置より前記アクセス要求情報を受け取り、 前記 アクセス要求情報の内容の可否判定を行うアクセス要求情報判定手段と、 自動的に可否判定を行うアクセス要求情報自動判定手段を備えたこと を特徴とする管理者端末。

4 . アクセス権の設定により利用の制限が可能な資源に対し、 前 記資源の利用を制限するためのアクセス権情報の設定を行うことができ るアクセス権設定装置であって、

前記資源へのアクセス権設定を要求するための情報が記述されたァク セス要求情報の取得を依頼するアクセス要求情報取得依頼手段と、 前記アクセス要求情報取得依頼手段により指定された前記アクセス要 求情報の取得を行うァクセス要求情報受付手段と、

前記アクセス要求情報受付手段により取得した前記アクセス要求情報 の内容の可否判定を行うアクセス要求情報判定手段と、 前記アクセス要求情報判定手段により判定した前記アクセス要求情報 の内容を、 前記アクセス権情報として設定を行うアクセス要求情報設定 手段を備えたアクセス権設定装置とネットワークにて接続された管理者 端未にぉレ て、

前記資源へのアクセス権設定を要求するための情報が記述されたァク セス要求情報の取得を依頼するアクセス要求情報取得依頼手段と、 前記アクセス権設定装置より前記アクセス要求情報を受け取り、 前記 アクセス要求情報の内容の可否判定を行うアクセス要求情報判定手段と、 自動的に可否判定を行うアクセス要求情報自動判定手段を備えたこと を特徴とする管理者端末。

5 . 請求項 1又は 2に記載のアクセス権設定装置において、 前記資源へアクセスするための前記アクセス権設定装置への接続がで きない利用者向けに、 前記接続を可能にするためのユーザ認証を行うの に必要な利用者を一意に特定する識別子を発行し、 前記アクセス権情報 の一部として登録する利用者識別子登録手段を備えたことを特徴とする アクセス権設定装置。

6 . 請求項 1、 2及び 5のいずれか 1つに記載のアクセス権設定 装置において、

前記アクセス要求情報に記述するアクセス権設定の対象となる前記資 源の指定について、 前記資源を一意に特定する識別子ではなく、 前記資 源の種別の識別子で指定された前記アクセス要求情報を受け付けること が可能なアクセス要求情報受付手段を備えたことを特徵とするアクセス

7 . 請求項 3又は 4記載の管理者端末において、

前記アクセス要求情報に記述するアクセス権設定の対象となる前記資 源を、 前記アクセス要求情報に記述するアクセス権設定の対象となる前 記資源の指定について、 前記資源を一意に特定する識別子ではなく、 前 記資源の種別の識別子にて指定したときに、 該当する前記資源が複数存 在する場合、 前記管理者が前記複数の資源の中から利用の対象となる前 記資源を選択できるアクセス対象資源選択手段を備えたことを特徴とす る管理者端末。

8 . 請求項 3、 4及び 7のいずれか 1つに記載の管理者端末にお いて、

前記アクセス権設定装置より受け取った前記アクセス要求情報に記述 された内容の変更が可能な、 アクセス要求情報変更手段を備えたことを 特徴とする管理者端末。

9 . 請求項 1、 2、 5及び 6のいずれか 1つに記載のアクセス権 設定装置において、 .

前記アクセス要求情報に記述するアクセス権設定の対象となる前記資 源の指定について、 前記資源を一意に特定する識別子ではなく、 前記資 源の種別の識別子の情報の内、 前記資源のアクセス元に対して公開する 情報として記憶可能な公開資源情報記憶装置を備えたことを特徴とする アクセス権設定装置。

1 0 . 請求項 1、 2、 5、 6及び 9のいずれか 1つに記載のァク セス権設定装置において、 前記アクセス要求情報を正確に前記管理者へ通知するために、 前記ァ クセス要求情報に記述された内容を、 視覚的に理解し易い自然言語へ変 換することが可能な表示情報作成手段を備えたことを特徴とするァクセ ス権設定装置。

1 1 . 請求項 1、 2、 5、 6、 9及び 1 0のいずれか 1つに記載 のアクセス権設定装置において、

前記アクセス要求情報が、 改ざん、 又は成りすましに代表される不正 行為によって作成されていないこと確認するため、 前記アクセス要求情 報の認証を行うアクセス要求情報認証手段を備えたことを特徴とするァ クセス権設定装置。

1 2 . 請求項 1、 2、 5、 6、 9、 1 0及び 1 1のいずれか 1つ に記載のアクセス権設定装置において、

前記アクセス要求情報に記述された内容を遠隔地で把握するために携 帯端末へ転送する携帯端末用要求情報転送手段と、

前記アクセス要求情報の可否判定を前記携帯端末から行うための携帯 端末用要求情報判定手段を備えたことを特徴とするアクセス権設定装置。

1 3 . 請求項 1 2に記載のアクセス権設定装置において、

前記アクセス要求情報に記述するアクセス権設定の対象となる前記資 源を、 前記アクセス要求情報に記述するアクセス権設定の対象となる前 記資源の指定について、 前記資源を一意に特定する識別子ではなく、 前 記資源の種別の識別子にて指定したときに、 該当する前記資源が複数存 在する場合、 前記管理者が前記複数の資源の中から利用の対象となる前 記資源を選択できるアクセス対象資源選択手段にて行う前記アクセス対 象の資源の選択を、 前記携帯端末から行うための携帯端末用対象資源選 択手段を備えたことを特徴とするアクセス権設定装置。

1 4 . 請求項 1 2又は 1 3に記載のアクセス権設定装置において、 前記アクセス要求情報に記述された内容の変更を、 前記携帯端末から 行うための携帯端末用要求情報変更手段を備えたことを特徴とするァク セス権設定装置。