WO2007043659A1

WO2007043659A1 - 携帯端末、アクセス制御管理装置及びアクセス制御管理方法

Info

Publication number: WO2007043659A1
Application number: PCT/JP2006/320484
Authority: WO
Inventors: Ken Ohta; Takashi Yoshikawa; Akira Kinno; Hiroshi Inamura
Original assignee: Ntt Docomo, Inc.
Priority date: 2005-10-13
Filing date: 2006-10-13
Publication date: 2007-04-19
Also published as: US20090221266A1; US8135385B2; CN101288084A; EP1950681A4; CN100583118C; JPWO2007043659A1; JP4778970B2; EP1950681A1

Abstract

　携帯端末（２００）は、アプリケーション実行部（２４０）と、アプリケーションプログラムによる端末内の機密リソースへのアクセス権限の有無と決定手段を規定するアクセス制御規則を保持するアクセス制御規則管理部（２７０）と、携帯端末が備えるユーザ識別モジュールの識別子と携帯端末自身の識別子の少なくともいずれか一つを指定して、アクセス制御規則を外部装置から取得し、アクセス制御規則管理部に保存するアクセス制御規則クエリー部（２２０）と、アプリケーションプログラムが機密リソースにアクセスする際、アクセス制御規則クエリー部を呼び出し、アクセス制御規則を更新するか否かを判定するクエリー要否判定部（２６０）と、アクセス制御規則に基づいて、アクセス権限の有無を判定する権限管理部（２３０）と、権限管理部（２３０）の判定結果に基づいて、アプリケーションプログラムの機密リソースへのアクセス要求を許否する機密リソース管理部（２５０）とを備える。

Description

携帯端末、アクセス制御管理装置及びアクセス制御管理方法技術分野

[0001] 本発明は、携帯端末、アクセス制御管理装置及びアクセス制御管理方法に関する背景技術

[0002] 携帯端末の紛失や盗難の際、携帯端末の機密機能を保護するため、遠隔制御によりアクセス制御規則の変更やデータ消去を行うデバイス管理技術が開示されている (例えば、特開平 7— 193865号公報参照。 )₀

[0003] より具体的には、紛失した携帯端末に外部より通信回線を通じてリモート操作データを送信し、それを受信した無線携帯端末がリモート操作データの内容を解析し、所有者が不利になることを排除するための保護処理が実行可能な無線携帯端末の構成方法及びセキュリティを確保する方法が示されて！/ヽる。

[0004] 上述した従来方法に対する第一の課題として、携帯端末が通信サービスの圏外にある場合や携帯端末に想定外のユーザ識別モジュールが装着されて、る場合、遠隔制御要求が不達となって遠隔制御不能となるため、機密データや機密機能 (これらを合わせて、以下において、「機密リソース」と呼ぶ。）に対する不正アクセスを防止できない脅威が存在する。ユーザ識別モジュール (User Identity Module, UIMと略す

)など、カード内にユーザの電話番号や契約している携帯電話事業者の情報などを記録している ICカードであり、 UIMを携帯端末に装着することで、その端末をカード内に記録されてヽる電話番号で利用できる。遠隔制御要求は電話番号などの識別子をあて先として送信されるため、別の UIMが装着されている場合、元の UIMにバインドされたデータはロックされているものの、その消去や機能のロックはできない。

[0005] 又、第二の課題として、管理する携帯端末が多数ある場合、アクセス制御規則の変更の際に一斉に遠隔制御を実行する必要があるため、管理装置やネットワークの負荷により、即座に遠隔制御に反映できない可能性がある。この場合も、遠隔制御が遅れた携帯端末については、不正アクセスを防止できないという脅威が存在する。一括で遠隔制御を行う例としては、特定の携帯端末集合に対して、場所や時間帯などのアクセス制御をネットワーク側で一括して制御する場合やある機密データを削除する必要が生じた際、その機密データを保持して！/ヽるすべての携帯端末に対してデータ削除命令を送信する場合などがある。

[0006] そこで、本発明は、上記の課題に鑑み、圏外にぉ、ても機密リソースへのアクセスをロック可能とし、又、アクセス制御規則の変更時に負荷が集中するのを防止することができる携帯端末、アクセス制御管理装置及びアクセス制御管理方法を提供することを目的とする。

発明の開示

[0007] 上記目的を達成するため、本発明の第 1の特徴は、（a)アプリケーションプログラムを実行するアプリケーション実行部と、 (b)アプリケーションプログラムによる端末内の機密リソースへのアクセス権限の有無と決定手段を規定するアクセス制御規則を保持するアクセス制御規則管理部と、 (c)携帯端末が備えるユーザ識別モジュールの識別子と携帯端末自身の識別子の少なくとも、ずれか一つを指定して、アクセス制御規則を外部装置力取得し、アクセス制御規則管理部に保存するアクセス制御規則クエリー部と、（d)アプリケーションプログラムが機密リソースにアクセスする際、ァクセス制御規則を更新するか否かを判定し、更新を行うタエリー要否判定部と、（e)ァクセス制御規則に基づいて、アクセス権限の有無を判定する権限管理部と、（f)権限管理部の判定結果に基づ、て、アプリケーションプログラムの機密リソースへのアクセス要求を許否する機密リソース管理部とを備える携帯端末であることを要旨とする。

[0008] 第 1の特徴に係る携帯端末によると、携帯端末上のアプリケーションが機密リソースにアクセスする際に、アクセス制御規則の更新の要否を判定し、更新要の場合、ァクセス制御規則を更新して権限管理に反映する。携帯端末のアクセス制御時に、更新されたアクセス制御規則に従って、圏外の場合は機密リソースへのアクセスをブロックしたり、ユーザの認証を行ったり、機密リソースを消去したりすることで、圏外においても機密リソースを保護可能とする。

[0009] 又、第 1の特徴に係る携帯端末において、クエリー要否判定部は、携帯端末が一定時間以上、圏外状態である場合、アクセス制御規則にユーザ認証命令、ロック命令、機密データの削除命令の少なくともいずれか一つを付加して更新してもよい。

[0010] この携帯端末によると、携帯端末が圏外状態であっても、ユーザ認証により一定の安全性を担保しつつ、機密リソースにアクセス可能とし、ユーザの利便性を確保できる。あるいはロック命令や機密データの削除命令によって、圏外状態における機密リソースの保護を向上することができる。

[0011] 又、第 1の特徴に係る携帯端末のクエリー要否判定部は、アクセス制御規則に設定された有効期限をチェックし、期限切れの場合にアクセス制御規則クエリ一部を呼び出すキャッシュ制御部を備えてもょ、。

[0012] この携帯端末によると、機密リソースへのアクセス時に常に、アクセス制御管理装置に照会を行う必要がないため、応答性を向上できる。又、各携帯端末が機密リソースにアクセスする際に、アクセス制御管理装置に照会をすることで、アクセス制御規則の変更時に負荷が集中するのを防止することができ、多数の携帯端末に対してタイムリーなアクセス制御が可能となる。

[0013] 又、第 1の特徴に係る携帯端末のクエリー要否判定部は、権限管理部においてュ一ザ認証が成功した際にアクセス制御規則のユーザ認証を一定時間解除するよう更新してちょい。

[0014] この携帯端末によると、先にユーザ認証が成功した場合に、機密リソースへのァクセス時に一定時間の間、ユーザに照会を行う必要がないため、ユーザの利便性と応答性を向上できる。

[0015] 又、第 1の特徴に係る携帯端末の権限管理部は、機密リソースへのアクセスのログを記録し、外部装置へ送信するログ送信部を備えてもょヽ。

[0016] この携帯端末によると、アクセス制御の動作をアクセス制御管理装置力検証可能とすると共に、携帯端末がユーザの認証やアクセス制御管理装置への照会を行わずに、一部の機密リソースへのアクセスを許可することもできる。更に、万一、機密情報が漏洩した場合も、ログを解析することで、どの情報が漏洩したか、どの機能が操作されたかを把握することができる。

[0017] 又、第 1の特徴に係る携帯端末の機密リソース管理部は、アクセス制御規則クエリ一部が取得した、あるいはクエリー要否判定部によって更新されたアクセス制御規則に機密データの削除命令があった場合に、当該機密データを削除する機密データ削除部を備えてもよい。更に、クエリー要否判定部は、権限管理部においてユーザ認証が失敗した際にアクセス制御規則に機密データの削除命令を付加して更新してちょい。

[0018] この携帯端末によると、盗難や紛失の際の、機密データの漏洩を保護することができる。又、ユーザ認証が失敗した場合、データ消去をすることで情報漏洩のリスクを低減できる。

[0019] 又、第 1の特徴に係る携帯端末のアクセス制御規則タエリー部は、携帯端末が特定のユーザ識別モジュールを装着して、な、状態で、前記特定のユーザ識別モジユールに紐付けされた機密リソースへのアクセスがあった際、携帯端末の識別子を指定してアクセス制御管理装置力もアクセス制御規則を取得してもよい。

[0020] この携帯端末によると、携帯端末に、別のユーザ識別モジュール (UIM)が挿入されている状態であっても、該端末の特定の UIMにバインドされたデータの消去等の遠隔制御を実施することができる。

[0021] 本発明の第 2の特徴は、（a)携帯端末のユーザ情報及び携帯端末に与えるァクセス制御規則を保持するユーザ管理部と、（b)ユーザの認証を行うユーザ認証部と、 (c )携帯端末力の携帯端末が備えるユーザ識別モジュールの識別子と携帯端末自身の識別子の少なくともいずれか一つの指定を含むアクセス制御規則の照会に対して、当該携帯端末のアクセス制御規則を応答するアクセス制御規則応答部と、（d)ュ一ザ力の携帯端末或いは複数の携帯端末に対するアクセス制御規則の登録要求或いは変更要求を受信するアクセス制御要求受信部と、 (e)アクセス制御規則の登録要求或いは変更要求を検証する規則を管理するアクセス制御規則検証管理部と、（f)アクセス制御規則を検証する規則に従って、登録要求或いは変更要求を検証するアクセス制御規則検証部とを備えるアクセス制御管理装置であることを要旨とする。

[0022] 第 2の特徴に係るアクセス制御管理装置によると、携帯端末は携帯端末自身の識別子でアクセス制御規則を照会でき、ユーザ識別モジュールが差し替えられた状態でも、その携帯端末宛のアクセス制御規則を取得して、携帯端末の不正利用を防止することができる。又、アクセス制御規則の検証により、該携帯端末に対して権限を持つていないユーザによるアクセス制御規則の要求の受け入れの防止や、通信オペレータのポリシーの強制を行うことができる。

[0023] 又、第 2の特徴に係るアクセス制御管理装置のアクセス制御要求受信部は、有効期限が含まれた、登録要求或いは変更要求を受信してもよい。

[0024] このアクセス制御管理装置によると、機密リソースの重要度や安全性の要求レベルに応じて、ユーザは適切なセキュリティレベルを設定することができる。

[0025] 又、第 2の特徴に係るアクセス制御管理装置のアクセス制御規則応答部は、ユーザ力のアクセス制御規則の登録要求或いは変更要求にプッシュ要求が含まれる場合、当該携帯端末にアクセス制御規則をプッシュ送信するプッシュ送信部を備えてもよい。

[0026] このアクセス制御管理装置によると、携帯端末からの照会を待つことなぐ遠隔制御を即座に行うことができる。

[0027] 又、第 2の特徴に係るアクセス制御管理装置のアクセス制御規則検証部は、携帯端末カゝらアクセス制御ログを受信し、検証するログ検証部を備えてもょヽ。

[0028] このアクセス制御管理装置によると、ログ中にアクセス制御規則に従わない問題箇所を発見した場合、携帯端末に与えるアクセス制御規則の制限を強化して適用したり、漏洩した機密情報の関連者に通知したりするなどの対策をとることができる。さらに、該携帯端末に対して遠隔制御の権限を持って、な、ユーザによるアクセス制御規則の要求の受け入れの防止が可能となる。例えば、携帯端末が盗難にあった際、ユーザ識別モジュールが入れ替えられてもその携帯端末の遠隔制御の権限を与えないことができる。

[0029] 本発明の第 3の特徴は、アプリケーションプログラムによる携帯端末内の機密リソースへのアクセスを制限するアクセス制御管理方法であって、（a)アプリケーションプログラムが機密リソースにアクセスする際、アプリケーションプログラムによる携帯端末内の機密リソースへのアクセス権限の有無と決定手段を規定するアクセス制御規則を更新する力否かを判定するステップと、 (b)携帯端末が備えるユーザ識別モジュールの識別子と携帯端末自身の識別子の少なくとも、ずれか一つを指定して、アクセス制御規則を外部装置力取得し、保持するステップと、（c)アクセス制御規則に基づいて、アクセス権限の有無を判定するステップと、（d)判定結果に基づいて、アクセス要求に対する応答を行うステップとを含むアクセス制御管理方法であることを要旨とする。

[0030] 第 3の特徴に係るアクセス制御管理方法によると、携帯端末上のアプリケーションが機密リソースにアクセスする際に、アクセス制御管理装置へのアクセス制御規則の更新の要否を判定し、更新要の場合、アクセス制御規則を更新して権限管理に反映する。携帯端末のアクセス制御時に、更新されたアクセス制御規則に従って、圏外の場合は機密リソースへのアクセスをブロックしたり、ユーザの認証を行ったり、機密リソースを消去したりすることで、圏外にぉ、ても機密リソースを保護可能とできる。

図面の簡単な説明

[0031] [図 1]図 1は、第 1の実施の形態に係るアクセス制御システムの構成ブロック図である

[図 2]図 2は、第 1の実施の形態に係るアクセス制御管理装置及び携帯端末の構成ブロック図である。

[図 3]図 3は、第 1の実施の形態に係るアクセス制御規則テーブルの一例である。

[図 4]図 4は、第 1の実施の形態に係るアクセス制御規則の検証規則の一例である。

[図 5]図 5は、第 1の実施の形態に係るユーザ情報テーブルの一例である。

[図 6]図 6は、第 1の実施の形態に係るアクセス制御管理装置におけるアクセス制御規則の登録'変更手順を示すフローチャートである。

[図 7]図 7は、第 1の実施の形態に係る携帯端末におけるアクセス制御手順を示すフローチャートである。

[図 8]図 8は、第 1の実施の形態に係る携帯端末におけるログを利用したアクセス制御手順を示すフローチャートである。

[図 9]図 9は、第 1の実施の形態に係るアクセス制御管理装置におけるログを利用したアクセス制御手順を示すフローチャートである。

[図 10]図 10は、第 1の実施の形態に係るアクセス制御管理装置におけるプッシュによるアクセス制御手順を示すフローチャートである。

[図 11]図 11は、第 1の実施の形態に係る携帯端末におけるプッシュによるアクセス制御手順を示すフローチャートである。

[図 12]図 12は、第 2の実施の形態に係るアクセス制御システムの構成ブロック図である。

[図 13]図 13は、第 2の実施の形態に係るアクセス制御管理装置の構成ブロック図である。

[図 14]図 14は、第 2の実施の形態に係るアクセス制御管理装置 Aの権限委譲及び照会先変更手順を示すフローチャートである。

[図 15]図 15は、第 2の実施の形態に係るアクセス制御管理装置 Bの権限委譲及び照会先変更手順を示すフローチャートである。

[図 16]図 16は、第 3の実施の形態に係るアクセス制御システムの構成ブロック図である。

[図 17]図 17は、第 3の実施の形態に係るアクセス制御管理装置 Aの権限の委譲手順を示すフローチャートである。

[図 18]図 18は、第 3の実施の形態に係るアクセス制御管理装置 Bの権限の委譲手順を示すフローチャートである。

[図 19]図 19は、第 3の実施の形態に係るアクセス制御管理装置 Aのプッシュによるァクセス制御手順を示すフローチャートである。

[図 20]図 20は、第 3の実施の形態に係るアクセス制御管理装置 Bのプッシュによるァクセス制御手順を示すフローチャートである。

[図 21]図 21は、第 1の実施の形態に係る携帯端末におけるユーザ識別モジュールを利用したアクセス制御手順を示すフローチャートである。

発明を実施するための最良の形態

[0032] 次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。

[0033] <第 1の実施の形態 > 第 1の実施形態に係るアクセス制御管理システムは、図 1に示すように、固定網上に設置されたサーバであるアクセス制御管理装置 100と、無線通信網圏内にある携帯端末 200とを備える。

[0034] (携帯端末）

図 2は、第 1の実施の形態に係る携帯端末 200とアクセス制御管理装置 100のプロック図である。携帯端末 200は、例えば、携帯電話や PDA (Personal Digital As sistant)やノートブックパソコンであり、図示しない通信インタフェースを備える。

[0035] 携帯端末 200は、アプリケーション実行部 240、アクセス制御規則管理部 270、ァクセス制御規則クエリ一部 220、クエリー要否判定部 260、権限管理部 230、機密リソース管理部 250、制御部 210を備える。更に、クエリー要否判定部 260は、キャッシュ制御部 261を備え、機密リソース管理部 250は、機密データ削除部 251を備え、権限管理部 230は、ログ送信部 231を備える。

[0036] アプリケーション実行部 240は、携帯端末 200内のデータや機能を利用するアプリケーシヨンプログラムを実行する実行環境を提供する。アプリケーションプログラムとしては、例えば、電話帳アプリケーション、ミュージックプレーヤアプリケーション、カメラアプリケーション、法人アプリケーションなどが挙げられる。

[0037] アクセス制御規則管理部 270は、アプリケーションプログラムによる携帯端末内の機密リソースへのアクセス権限の有無と決定手段を規定するアクセス制御規則をァクセス制御規則テーブルとして保持する。アクセス制御規則テーブルの具体例を図 3〖こ示す。リソースは、機密リソースを指し、この例では、各リソースに対してクエリーの要否と有効期限、消去フラグ、アクセス許可アプリケーション種別がアクセス制御規則として指定されている。例えば、電話帳を参照する機能に関するアクセス制御規則は、アクセス前にユーザにクエリーを出してパスワードの入力や指紋のスキャン等によるユーザ認証が必要であること、アクセス制御規則を更新して力 tlまでそのキヤッシュが有効であること、消去フラグがセットされていないため、データを消去する必要ないことを示している。又、アプリ Aのみが電話帳機能にアクセスできるものと規定している。一方、顧客情報については、参照する機能に関するアクセス制御規則は、ァクセス前のユーザへのクエリーによるユーザ認証が必要であること、 t2まではアクセス制御規則のキャッシュが有効であること、消去フラグがセットされているため、即座に、データを消去する必要があることを示している。又、アプリ Bのみが顧客情報にァクセスできるものと規定して、る。

[0038] アクセス制御規則クエリ一部 220は、携帯端末が備えるユーザ識別モジュールの識別子と携帯端末自身の識別子の少なくとも、ずれか一つを指定して、アクセス制御規則をアクセス制御管理装置 100から通信手段を利用して取得し、アクセス制御規則管理部に保持する。通信手段は、セルラ、無線 LAN、赤外線、 Bluetoothなどが挙げられ、リンク種別は問わない。又、アクセス制御管理装置 100などの外部装置からアクセス制御規則をプッシュで受け取ってもよ 1、。携帯端末自身の識別子は例えば I MEI(International Mobile station Equipment Identity),ユーザ識別モジユーノレ（UIM) の識別子は例えば IMSI (International Mobile Subscriber Identity)を利用できる。更に、アクセス制御規則クエリ一部 220は、携帯端末が特定のユーザ識別モジュールを装着して、な、状態で、前記特定のユーザ識別モジュールに紐付けされた機密リソースへのアクセスがあった際、携帯端末の識別子を指定してアクセス制御管理装置力アクセス制御規則を取得する。

[0039] クエリー要否判定部 260は、アプリケーションプログラムが機密リソースにアクセスする際、アクセス制御規則を更新する否かを判定する。例えば、クエリー要否判定部 26 0は、携帯端末 200がー定時間以上、圏外状態である場合、アクセス制御規則にュ一ザ認証命令、ロック命令、消去命令の少なくともいずれか一つを付加して更新する。図 3の具体例の場合、クエリー要否判定部 260は、ユーザ認証を付加する場合、クエリー要否のフィールドを _yesに設定する。又、クエリー要否判定部 260は、権限管理部においてユーザ認証が成功した際にアクセス制御規則のユーザ認証命令を一定時間解除してもよい。更に、クエリー要否判定部 260は、権限管理部においてユーザ認証が失敗した際にアクセス制御規則に機密データの削除命令を付加して更新してちょい。

[0040] キャッシュ制御部 261は、アクセス制御規則に設定された有効期限をチェックし、期限切れの場合にアクセス制御規則クエリ一部を呼び出す。図 3の具体例の場合、キヤッシュ制御部 261は、有効期限のフィールドを参照して判定を行う。 [0041] 権限管理部 230は、アクセス制御規則を利用して権限の有無を判定する。例えば、図 3の具体例の場合、アクセス要求の対象の機密リソースが指定したアクセス許可ァプリケーシヨン種別に、そのアプリケーションが指定されていれば、権限有りと判定される。また、アクセス制御規則のクエリー要否のフィールドが yesになっている際、ユーザ認証を実行してそれが成功した場合、権限有りと判定する。一方、ユーザ認証が失敗した場合、権限無しと判定する。

[0042] ログ送信部 231は、権限管理部 230が決定したアクセス制御動作のログを記録し、アクセス制御管理装置 100へ送信する。ログに含まれる情報は、アプリケーションの名前や識別子、アクセスした機密リソース、時刻、アクセス制御の判定結果 (許可或いは拒否)などが挙げられ、これらの一部の情報であっても他の情報を含んでもょ、

[0043] 機密リソース管理部 250は、権限管理部 230の判定結果を利用して、アプリケーシヨンプログラムの機密リソースへのアクセス要求を許可、拒否する。

[0044] 機密データ削除部 251は、アクセス制御規則クエリ一部 220が取得したアクセス制御規則に機密データの削除命令があった場合に、当該機密データを削除する。

[0045] 制御部 210は、上述したアプリケーション実行部 240、アクセス制御規則管理部 27 0、アクセス制御規則クエリ一部 220、クエリー要否判定部 260、権限管理部 230、機密リソース管理部 250などを管理 ·制御して、以降で説明する携帯端末 200のァクセス制御手順などを実行する。

[0046] 又、第 1の実施の形態に係る携帯端末 200は、処理制御装置 (CPU)を有し、アブリケーシヨン実行部 240、アクセス制御規則管理部 270、アクセス制御規則タエリー部 220、クエリー要否判定部 260、権限管理部 230、機密リソース管理部 250、制御部 210などをモジュールとして、ハードウェア化や隔離された環境へ配置することで、安全に実行される環境とすることができる。これらのモジュールは、パーソナルコンビユータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。

[0047] 又、図示して、な、が、携帯端末 200は、アプリケーション実行処理、アクセス制御規則管理処理、アクセス制御規則タエリー処理、クエリー要否判定処理、権限管理処理、機密リソース管理処理、制御処理などを処理制御装置 (CPU)に実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、 RAM、 ROM,ハードディスク、フレキシブルディスク、コンパクトディスク、 ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。

[0048] (アクセス制御管理装置）

アクセス制御管理装置 100は、図 2に示すように、アクセス制御規則検証管理部 17 0、ユーザ管理部 140、ユーザ認証部 150、アクセス制御規則応答部 120、アクセス制御要求受信部 130、アクセス制御規則検証部 160、制御部 110を備える。更に、アクセス制御規則応答部 120は、プッシュ送信部 121を備え、アクセス制御規則検証部 160は、ログ検証部 161を備える。

[0049] アクセス制御規則検証管理部 170は、アクセス制御規則を検証するための規則を保持する。アクセス制御規則の検証規則の具体例を図 4に示す。例えば、電話帳機能の消去は、ノックアップがない限り、取り返しが付かないため、特別に契約したュ一ザにのみ許可することなどが挙げられる。又、携帯電話オペレータが、メール機能に不具合があって情報漏洩の危険性がある場合などに、メール機能利用の禁止をァクセス制御規則に反映させることも挙げられる。更に、ユーザ以外の第 3者 (美術館）が美術館の中ではカメラ機能を無効にするアクセス制御規則を要求していて、ユーザが美術館内に位置して、ることが分力つて、る場合に、ユーザによるカメラ機能の設定が有効か無効かに関わらず、アクセス制御規則を強制することも挙げられる。他にも、該携帯端末に対して遠隔制御の権限を持っていないユーザによるアクセス制御規則の要求の受け入れの防止を行うためのアクセス制御規則も挙げられる。

[0050] アクセス制御規則検証部 160は、これらの検証規則により、アクセス制御規則を検查し、検証規則を満たさなヽアクセス制御規則につ!ヽては修正を行う。

[0051] ログ検証部 161は、携帯端末 200からアクセス制御ログを受信し、当該アクセス制御ログを検証する。

[0052] ユーザ管理部 140は、携帯端末 200のアクセス制御規則を変更可能なユーザ情報を登録し、ユーザ情報テーブルに保持する。ユーザは、携帯端末 200の管理者であり、例えば、個人の携帯端末の場合、その所有者が管理者になり、企業が社員に貸与している携帯端末の場合、管理部門の担当者が管理者になる。図 5にユーザ情報テーブルの具体例を示す。ユーザ情報テーブルには、ユーザを一意に識別するためのユニークな ID (識別子）、そのユーザが管理する携帯端末を一意に識別するためのユニークな ID、認証情報、そしてその携帯端末に与えるアクセス制御規則、プッシュ要求が含まれる。例えば、ユーザ IDとして電子メールアドレスや IMSI (International Mobile Subscriber Identity)、携帯端末 IDとして電話番号や端末のシリアル番号 (IM EI)、認証情報としてユーザごとの共有鍵を用いることが挙げられる。ユーザ IDが 3のユーザのように、 1人の管理者は、複数の携帯端末（図 5では C、 D、 E、 F、 G)を管理してもよい。又、各携帯端末に個別のアクセス制御規則を用意してもよいし、一括して同じアクセス制御規則をするようにしてもょ、。

[0053] ユーザ認証部 150は、アクセス制御規則の登録や変更を要求するユーザの正当性を検証し、認証を行う。例えば、ユーザ IDと認証情報の共有鍵を用いて正しいユーザか判定することができる。正当なユーザでない場合、ユーザ認証部はその要求を拒否する。

[0054] アクセス制御規則応答部 120は、携帯端末 200からのアクセス制御規則の照会に

、当該携帯端末のアクセス制御規則を応答する。携帯端末 200に、携帯端末 200の I

Dか管理者の IDを指定して照会をさせることで、アクセス制御管理装置 100は、図 4 のユーザ情報テーブル力も対応するアクセス制御規則を見つけることができる。

[0055] プッシュ送信部 121は、ユーザからのアクセス制御規則の登録要求或いは変更要求にプッシュ要求が含まれる場合、当該携帯端末 200にアクセス制御規則をプッシュ送信する。

[0056] アクセス制御要求受信部 130は、ユーザ力もの携帯端末或いは複数の携帯端末に対するアクセス制御規則の登録要求或いは変更要求を受信する。

[0057] 制御部 110は、上述した、アクセス制御規則検証管理部 170、ユーザ管理部 140、ユーザ認証部 150、アクセス制御規則応答部 120、アクセス制御要求受信部 130、アクセス制御規則検証部 160を管理.制御して、以降で説明するアクセス制御規則の登録手順や変更手順などを実行する。 [0058] 又、第 1の実施の形態に係るアクセス制御管理装置 100は、処理制御装置 (CPU) を有し、アクセス制御規則検証管理部 170、ユーザ管理部 140、ユーザ認証部 150 、アクセス制御規則応答部 120、アクセス制御要求受信部 130、アクセス制御規則検証部 160、制御部 110などをモジュールとして、ハードウェア化や隔離された環境へ配置することで、安全に実行される環境とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。

[0059] 又、図示していないが、アクセス制御管理装置 100は、アクセス制御規則検証管理処理、ユーザ管理処理、ユーザ認証処理、アクセス制御規則応答処理、アクセス制御要求受信処理、アクセス制御規則検証処理、制御処理などを処理制御装置 (CP U)に実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、 RAM, ROM,ハードディスク、フレキシブルディスク、コンパクトディスク、 ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。

[0060] (アクセス制御規則の登録'変更手順）

次に、ユーザが携帯端末 200をアクセス制御管理装置 100に登録 '変更する手順について、図 6を参照して説明する。前提として、ユーザは、アクセス制御管理装置 1 00にユーザ登録済みであり、図 4のユーザ情報におけるユーザ IDと認証情報は設定済みであるものとする。

[0061] まず、ステップ S 101において、アクセス制御管理装置 100は、ユーザからの接続要求を受信すると、ステップ S102において、ユーザ認証部 150は、ユーザ IDと認証情報力そのユーザが正当なユーザであることを検証する。

[0062] 次に、ステップ S103において、認証が成功した場合、ユーザはログインを完了する。認証が失敗した場合は、ステップ S104に進み、再びユーザからの接続要求を待つ

[0063] 次に、ステップ S105において、アクセス制御要求受信部 130は、ユーザから (携帯端末の ID,アクセス制御規則）の組を、アクセス制御要求として受信する。次に、ステップ S106において、アクセス制御規則検証部 160は、（携帯端末 ID,アクセス制御規則)の組を、アクセス制御規則検証管理部 170が持つアクセス制御規則検証情報を参照して、不正な権限が設定されて、な、かを検査する。

[0064] ステップ S107において、不正な場合は、ステップ S109及び S110へ進み、ァクセス制御規則の修正やユーザへの通知を行う。ユーザは修正されたアクセス制御規則を受け入れる力、更に修正したアクセス制御規則の再送を行う。

[0065] そして、ステップ S108において、最終的に、アクセス制御規則検証部 160で検査が通ったものに対して、ユーザ管理部 140は、正当な (携帯端末の ID,アクセス制御規則）の組をユーザ情報テーブルに書き込む。

[0066] なお、上記では、アクセス制御要求受信部 130がユーザから (携帯端末の ID,ァクセス制御規則）の組を、アクセス制御要求として受信する手順を説明したが、（ユーザ識別モジュールの ID,アクセス制御規則）の組をアクセス制御要求として受信してもよい。

(携帯端末のアクセス制御手順）

次に、携帯端末側でアクセス制御を行う手順について、図 7を参照して説明する。ここでは圏外の場合に、機密リソースのアクセスがあった際、ユーザ認証を行う例を説明する。

[0067] まず、ステップ S 201にお!/、て、アプリケーション実行部 240で動作するアプリケーシヨンプログラムが機密リソースにアクセスしょうとすると、ステップ S202において、権限管理部 230は、クエリー要否判定部 260を呼び出し、アクセス制御規則の更新が必要か否かを判定する。

[0068] 次に、ステップ S203において、クエリー要否判定部 260は、アクセス制御規則テーブル中の有効期限のフィールドを参照して有効期限が切れていた場合に、更新が必要であると判定し、ステップ S204へ進む。現在時刻が有効期限の前である場合は、更新が不要であると判定する。

[0069] 次に、ステップ S 204において、アクセス制御規則クエリ一部 220は、アクセス制御管理装置 100に携帯端末 200の IDを指定してアクセス制御規則を要求する。ァクセス制御管理装置 100のアクセス制御要求受信部 130は、携帯端末の IDに対応したアクセス制御規則をユーザ管理テーブル力も抽出し、アクセス制御規則応答部 120 が携帯端末 200に送信する。このとき、アクセス制御要求受信部 130は、携帯端末の認証を行ってもよい。次に、ステップ S205において、クエリー要否判定部 260は、携帯端末が一定時間以上、圏外状態であるかどうかを調べ、ステップ S206において判定し、一定時間以上圏外状態である場合、ステップ S207でアクセス制御規則にユーザ認証命令を付加するため、アクセス制御規則テーブル中のクエリー要否のフィールドを yes (要)として更新する。

[0070] そして、ステップ S208において、権限管理部 230は、アクセス制御規則を利用して権限の有無を判定する。具体的には、例えば、アクセス制御規則テーブルのアクセス許可アプリケーション種別を参照して権限を持ったアプリケーションであるかを検査する。次に、ステップ S210において、その判定結果を利用して、権限がある場合に権限管理部 230はアクセス制御規則テーブル中のクエリー要否のフィールドが yes (要）であるか判定し、否の場合は権限ありと判定する。一方、要の場合はステップ S211 でユーザ認証を実行し、ユーザ認証が成功した場合に権限ありと判定する。ユーザ認証が失敗した場合に権限なしと判定する。

[0071] そして、その判定結果を利用して、機密リソース管理部 250は、権限が有る場合に、ステップ S212へ進み、アプリケーションの機密リソースへのアクセス要求を許可する。一方、権限が無い場合は、ステップ S213へ進み、アプリケーションの機密リソースへのアクセス要求を拒否する。

[0072] 尚、クエリー要否判定部 260は、アクセス制御規則に対してユーザ認証の命令を追加する以外にも、アクセスを拒否するためのロック命令やデータ削除の命令を追加してもよい。ロック命令が追加された場合、権限管理部 230は、アクセス制御規則を利用して権限の有無を判定する際に、権限を持っているアプリケーション種別であってもアクセスを拒否する。又、権限管理部がステップ S211でユーザ認証を行って、失敗した場合にクエリー要否判定部を呼び出してデータ削除の命令を追加し、その後、機密データ削除部がその命令を実行してもよい。

[0073] (ログを利用したアクセス制御手順）

次に、アクセス制御ログを利用した場合のアクセス制御を行う手順について、図 8及び図 9を参照して説明する。図 8は、携帯端末 200の手順であり、図 9は、アクセス制御管理装置 100の手順である。

[0074] まず、図 8のステップ S301〜313は、図 7のステップ S201〜S213と同様であるのでここでは説明を省略する。

[0075] 次に、ステップ S314において、権限管理部 230は、アクセス制御規則管理部 270 が保持するアクセス制御規則に従って、アクセス制御の決定を行う際にアクセス制御動作のログをとる。

[0076] 次に、ステップ S315において、権限管理部 230は、ログを送信するタイミングである力否か判断する。ログを送信するタイミングとしては、例えば、一定時間の経過後、ある回数のアクセス制御の判定を行った後、あるいは通信が圏外から圏内に変化した際、アクセス制御管理装置が要求した際など、任意のタイミングが挙げられる。

[0077] そして、ステップ S316において、権限管理部 230は、アクセス制御管理装置 100 にそのログを送信する。

[0078] 一方、図 9のステップ S401にお!/、て、アクセス制御管理装置 100のアクセス制御要求受信部 130は、携帯端末 200からログを受信する。

[0079] 次に、ステップ S402において、アクセス制御管理装置 100のアクセス制御規則検証部 160は、受信したログを解析し、ステップ S403において、携帯端末 200のァクセス制御ログが正常か否力、検査する。

[0080] ログの検査の結果、不適切なアクセス制御の判定があった場合、ステップ S404へ進み、アクセス制御規則応答部 120は、対処の処理を行う。対処の例として、その機密リソースに対するアクセスにつ、て以後のアクセスを禁止すること、毎回のユーザ認証を義務付けること、キャッシュの有効期間を短くすること、ユーザや管理者に通知することなどが挙げられる。

[0081] 又、変形例として、携帯端末 200が圏外の際にのみログの取得と送信を行う手順、ログの取得を特定の機能やデータへのアクセスに限定する手順、すべてのアクセス制御イベントではなぐある頻度でログを記録する手順が考えられる。

[0082] (プッシュによる携帯端末のアクセス制御手順）

次に、アクセス制御管理装置力ものプッシュ通信によるアクセス制御変更の手順について、図 10及び図 11を参照して説明する。図 10は、アクセス制御管理装置 100 の手順であり、図 11は、携帯端末 200の手順である。

[0083] まず、図 10のステップ S501において、ユーザが、アクセス制御規則を即座に携帯端末 200に反映させるためにプッシュを要求指定した場合、ステップ S502において、アクセス制御管理装置 100のプッシュ送信部 121は、携帯端末 200にアクセス制御規則要求を送信する。

[0084] 次に、図 11のステップ S601において、携帯端末 200のアクセス制御規則タエリー部 220は、アクセス制御規則を受信し、ステップ S602において、アクセス制御規則管理部 270は、アクセス制御規則テーブルに登録する。そして、機密リソース管理部 250は、ステップ S603において、当該アクセス制御規則を検査し、機密データの削除が要求されている場合は、ステップ S604へ進み、機密データ削除部 251を呼び出して当該機密データを削除する。

[0085] 次に、ステップ S605において、アプリケーション実行部 240は、機密機能の実行要求を受信したか否力判断し、受信した場合は、ステップ S606へ進み、機密機能を実行する。

[0086] そして、ステップ S607にお、て、携帯端末 200は、処理結果をアクセス制御管理装置 100へ応答する。

[0087] 次に、図 10のステップ S503において、アクセス制御管理装置 100のアクセス制御要求受信部 130は、携帯端末 200から応答結果を受信する。

[0088] 又、ステップ S504において、プッシュ送信部 121が送信に失敗した場合は、ステツプ S505へ進み、リトライ回数上限以内であれば、ステップ S502の処理に戻り、再度送信する。

[0089] 送信に成功、あるいは、リトライ回数上限を超えて送信に失敗した場合は、ステップ S506において、ユーザのその結果を通知する。

[0090] なお、ここではアクセス制御管理装置 100からアクセス制御規則自身をプッシュ送信する手順を示したが、アクセス制御規則の更新があると、う状態のみをプッシュ送信し、携帯端末はその状態に基づき、アクセス制御管理装置に照会を行ってもよい。

[0091] (ユーザ識別モジュールに基づく携帯端末のアクセス制御手順）

次に、携帯端末のユーザ識別モジュールに基づくアクセス制御手順について、図 2 1を参照して説明する。

まず、ステップ S1301において、アプリケーション実行部 240で動作するアプリケーシヨンプログラムが機密リソースにアクセスしょうとすると、ステップ S1302において、権限管理部 230は、クエリー要否判定部 260を呼び出し、アクセス制御規則の更新が必要カゝ否かを判定する。

[0092] 次に、ステップ S1303において、クエリー要否判定部 260は、アクセス制御規則テ一ブル中の有効期限のフィールドを参照して有効期限が切れていた場合に、更新が必要であると判定し、ステップ S1304へ進む。現在時刻が有効期限の前である場合は、更新が不要であると判定する。次に、ステップ S1320において、アクセス制御規則クエリー部は、該機密リソース力特定 UIMに紐付けされているか調べる。ステップ S1321において、紐づけられていないと判定した場合、ステップ S1305へ進む。一方、紐付けられていると判定した場合、ステップ S 1322において装着されている UIM 1S 前記特定 UIMと同一か調べる。ステップ S1323において、同一であると判定した場合、ステップ S 1305へ進む。一方、同一でないと判定した場合、ステップ S 1304 へ進む。

[0093] 次に、ステップ S1304において、アクセス制御規則クエリ一部 220は、アクセス制御管理装置 100に携帯端末 200の IDを指定してアクセス制御規則を要求する。ステツプ S 1305移行のステップは、ステップ S205移行と同様であるため、説明を省略する

[0094] (作用及び効果）

第 1の実施の形態では、携帯端末 200上のアプリケーションが機密リソースにァクセスする際に、アクセス制御規則の更新の要否を判定し、更新要の場合、アクセス制御規則を更新して権限管理に反映する。このため、携帯端末 200のアクセス制御時に、更新されたアクセス制御規則に従って、圏外の場合は機密リソースへのアクセスをブロックしたり、ユーザの認証を行ったり、機密リソースを消去したりすることで、圏外にお、ても機密リソースを保護可能とする。

[0095] 又、第 1の実施の形態に係る携帯端末 200のクエリー要否判定部 260は、携帯端末 200がー定時間以上、圏外状態である場合、アクセス制御規則にユーザ認証命令、ロック命令、機密データの削除命令の少なくともいずれか一つを付加して更新する。このため、携帯端末が圏外状態であっても、ユーザ認証により一定の安全性を担保しつつ、機密リソースにアクセス可能とし、ユーザの利便性を確保できる。あるいはロック命令や機密データの削除命令によって、圏外状態における機密リソースの保護を向上することができる。

[0096] 又、第 1の実施の形態に係る携帯端末 200のクエリー要否判定部 260は、アクセス制御規則に設定された有効期限をチェックし、期限切れの場合にアクセス制御規則クエリー部を呼び出すキャッシュ制御部 261を備える。このように、キャッシュ制御部 2 61は、照会の際に、アクセス制御規則に設定された有効期限をチェックし、期限切れの場合にそのキャッシュされたアクセス制御規則を廃棄し、最新のアクセス制御規則を取得するため、照会を行う。このため、機密リソースへのアクセス時に常に、ァクセス制御管理装置に照会を行う必要がないため、応答性を向上できる。又、各携帯端末が機密リソースにアクセスする際に、アクセス制御管理装置に照会をすることで、ァクセス制御規則の変更時に負荷が集中するのを防止することができ、多数の携帯端末に対してタイムリーなアクセス制御が可能となる。

[0097] 又、第 1の実施の形態に係る携帯端末 200のクエリー要否判定部 260は、権限管理部においてユーザ認証が成功した際にアクセス制御規則のユーザ認証を一定時間解除するよう更新してもよい。先にユーザ認証が成功した場合に、機密リソースへのアクセス時に一定時間の間、ユーザに照会を行う必要がないため、ユーザの利便性と応答性を向上できる。

[0098] 又、第 1の実施の形態に係る携帯端末 200の権限管理部 230は、機密リソースへのアクセスのログを記録し、外部装置へ送信するログ送信部 231を備える。このため、アクセス制御の動作をアクセス制御管理装置力検証可能とすると共に、携帯端末がアクセス制御管理装置へ照会を行わずに、機密リソースへのアクセスを許可することもできる。更に、万一、機密情報が漏洩した場合も、ログを解析することで、どの情報が漏洩したか、どの機能が操作されたかを把握することができる。

[0099] 又、第 1の実施の形態に係る携帯端末 200の機密リソース管理部 250は、アクセス制御規則クエリ一部 220が取得した、あるいはクエリー要否判定部 260によって更新されたアクセス制御規則に機密データの削除命令があった場合に、当該機密データを削除する機密データ削除部 21を備える。更に、クエリー要否判定部 260は、権限管理部においてユーザ認証が失敗した際にアクセス制御規則に機密データの削除命令を付加して更新してもよい。このため、盗難や紛失の際の、機密データの漏洩を保護することができる。又、ユーザ認証が失敗した場合、データ消去をすることで情報漏洩のリスクを低減できる。

[0100] 又、第 1の実施の形態に係る携帯端末 200のアクセス制御規則クエリ一部 220は、携帯端末が特定のユーザ識別モジュールを装着して、な、状態で、特定のユーザ識別モジュールに紐付けされた機密リソースへのアクセスがあった際、携帯端末の識別子を指定してアクセス制御管理装置力もアクセス制御規則を取得する。このため、携帯端末に、別のユーザ識別モジュール (UIM)が挿入されている状態であっても、該端末の特定の UIMにバインドされたデータの消去等の遠隔制御を実施することができる。

[0101] 第 1の実施に形態に係るアクセス制御管理装置 100は、各携帯端末や携帯端末の集合に対して、携帯端末の管理者であるユーザ情報と各携帯端末のアクセス制御規則情報を保持し、認証されたユーザ力ものアクセス制御規則の変更要求をポリシーに基づき検証した後に登録し、携帯端末からのアクセス制御規則の照会に応答する手段を備える。このため、携帯端末は携帯端末自身の識別子でアクセス制御規則を照会でき、ユーザ識別モジュールが差し替えられた状態でも、その携帯端末宛のァクセス制御規則を取得して、携帯端末の不正利用を防止することができる。又、ァクセス制御規則の検証により、該携帯端末に対して権限を持っていないユーザによるアクセス制御規則の要求の受け入れの防止や、通信オペレータのポリシーの強制を行うことができる。

[0102] 又、第 1の実施の形態に係るアクセス制御管理装置 100のアクセス制御要求受信部 130は、有効期限が含まれた、登録要求或いは変更要求を受信する。このため、機密リソースの重要度や安全性の要求レベルに応じて、ユーザは適切なセキュリティレベルを設定することができる。

[0103] 又、第 1の特徴に係るアクセス制御管理装置 100のアクセス制御規則応答部 120 は、ユーザからのアクセス制御規則の登録要求或いは変更要求にプッシュ要求が含まれる場合、当該携帯端末 200にアクセス制御規則をプッシュ送信するプッシュ送信部 121を備える。このため、携帯端末 200からの照会を待つことなぐ遠隔制御を即座に行うことができる。

[0104] 又、第 1の特徴に係るアクセス制御管理装置 100のアクセス制御規則検証部 160 は、携帯端末 200からアクセス制御ログを受信し、検証するログ検証部 161を備える。このため、ログ中にアクセス制御規則に従わない問題箇所を発見した場合、携帯端末に与えるアクセス制御規則の制限を強化して適用したり、漏洩した機密情報の関連者に通知したりするなどの対策をとることができる。

[0105] 又、第 1の実施の形態に係るアクセス制御管理方法は、携帯端末 200上のアプリケーシヨンが機密リソースにアクセスする際に、アクセス制御管理装置 100へのアクセス制御規則の更新の要否を判定し、更新要の場合、アクセス制御規則を更新して権限管理に反映する。携帯端末のアクセス制御時に、更新されたアクセス制御規則に従つて、圏外の場合は機密リソースへのアクセスをブロックしたり、ユーザの認証を行つたり、機密リソースを消去したりすることで、圏外においても機密リソースを保護可能とできる。

[0106] <第 2の実施の形態 >

次に、第 2の実施の形態として、図 12に示すように、あるアクセス制御管理装置 A 100aの権限を、アクセス制御管理装置 B 100bに委譲するケースを説明する。これは例えば、企業の情報システム部が管理するアクセス制御管理装置 AlOOaから、管理職が保持する携帯機器上に実装されたアクセス制御管理装置 BlOObにアクセス制御管理の権限を委譲し、一般社員の保持する携帯端末のアクセス制御を管理する利用形態に相当する。

図 1に示す第 1の実施の形態では、アクセス制御管理装置 100が固定網上のサーバであることを想定しており、携帯端末 200が通信圏外にいる場合、アクセス制御規則の照会をできず、アプリケーションは最新のアクセス制御規則を取得できな、場合がある。第 2の実施の形態では、アクセス制御管理装置 BlOObは携帯端末と同様に、携帯電話や PDA、ノート PCなどの携帯機器に実装され、携帯端末とアクセス制御管理装置は、無線 LANや Bluetooth, IrDA、 Zigbee、 UWBなどの短距離無線ゃィーサネット (登録商標）などの有線通信で、直接、あるいはマルチホップ通信で通信する

[0107] 携帯端末 200の構成は、第 1の実施の形態と同様であるので、ここでは説明を省略する。

[0108] 又、アクセス制御管理装置 A、 Bは、図 13に示すように、第 1の実施の形態に係るァクセス制御管理装置に加え、権限委譲管理部 180を備える。

[0109] 権限委譲管理部 180は、アクセス制御の権限を与える権限委譲を発行する。又、権限委譲管理部 180は、権限委譲の可否を判断する。

[0110] アクセス制御規則の登録'変更手順、携帯端末のアクセス制御手順は第 1の実施の形態と同様であるので、ここでは説明を省略する。異なる手順は、アクセス制御管理装置 A力アクセス制御管理装置 Bに権限を委譲すると共に、携帯端末がアクセス制御管理装置 Aからアクセス制御管理装置 Bに照会先を変更する手順である。

[0111] (権限の委譲及び照会先変更手順）

次に、アクセス制御管理装置間の権限の委譲と、携帯端末の照会先のアクセス制御管理装置を変更する手順について、図 14及び図 15を参照して説明する。図 12に示すように、アクセス制御管理装置 AlOOaからアクセス制御管理装置 BlOObへ権限を委譲することを想定する。図 14は、アクセス制御管理装置 AlOOaの手順であり、図 15は、アクセス制御管理装置 BlOObの手順である。

[0112] まず、図 15のステップ S801において、ユーザ (管理者）が携帯機器のアクセス制御管理装置 BlOObにアクセス制御の権限を与えたいとアクセス制御管理装置 BlOOb に要求した際、ステップ S802において、アクセス制御管理装置 Bの権限委譲管理部 180は、アクセス制御管理装置 AlOOaの権限委譲管理部 180に権限委譲要求を発行する。

[0113] 次に、図 14のステップ S701において、アクセス制御管理装置 AlOOaのアクセス制御要求受信部 130は、アクセス制御管理装置 BlOObの権限委譲を受信し、ステップ S702〖こおいて、アクセス制御管理装置 AlOOaのユーザ認証部 150によるアクセス制御管理装置 BlOObとその管理者の認証を行う。そして、ステップ S703において、権限委譲管理部 180は、権限委譲の可否を判断する。

[0114] 次に、ステップ S 704において、権限委譲が可の場合、ステップ S705へ進み、ァクセス制御管理装置 BlOObに委譲するアクセス制御規則を作成し、ステップ S706〖こおいて、アクセス制御管理装置 BlOObに、権限委譲を設定したアクセス制御規則を応答する。

[0115] 一方、ステップ S704において、権限委譲が不可の場合、ステップ S709に進み、権限委譲要求の失敗の応答を返す。

[0116] 次に、図 15のステップ S803において、アクセス制御管理装置 BlOObの権限委譲管理部 180は、アクセス制御管理装置 AlOOaから応答を受信する。そして、ステップ S804において、委譲が可の場合は、ステップ S805へ進み、アクセス制御管理装置 BlOObは、管理するアクセス制御規則に反映する。そして、ステップ S806において、アクセス制御管理装置 BlOObは、ユーザ (管理者）に結果を提示する。

[0117] 又、図 14のステップ S707において、アクセス制御管理装置 AlOOaは、照会先をァクセス制御管理装置 BlOObに変更したアクセス制御規則を作成する。

[0118] 更に、ステップ S708において、アクセス制御管理装置 AlOOaのプッシュ送信部 12 1は、携帯端末がアクセス制御管理装置 Aの代わりにアクセス制御管理装置 Bに照会することを指示したアクセス制御規則をプッシュにより携帯端末に配信する。

[0119] 携帯端末はその指示を受けた後、アクセス制御についてアクセス制御管理装置 B に照会するようになる。アクセス制御管理装置 Aが照会先の変更を指示するか、ァクセス制御管理装置 Bが委譲の終了を要求する場合、携帯端末は元のとおり、ァクセス制御管理装置 Aに照会する。

[0120] 変形例として、アクセス制御管理装置 A力プッシュによって、アクセス制御管理装置 Bへ権限委譲の開始をは力る手順や、アクセス制御管理装置 A力時間制限付きで権限委譲を行う手順も挙げられる。

[0121] (作用及び効果）

第 1の実施の形態では、圏外に存在する携帯端末が機密リソースへのアクセスしょうとした場合に、アクセス制御管理装置への照会ができず、最新のアクセス制御規則を取得できない場合があった。それに対して、第 2の実施の形態に係るアクセス制御管理装置によると、短距離無線や近距離通信によって、携帯端末がアクセス制御管理装置に照会が可能になり、圏外の場合でも最新のアクセス制御規則を取得し、機密リソースの保護やユーザの利便性の向上をは力ることができる。又、アクセス制御管理装置の負荷を分散し、応答性を向上できる。

[0122] <第 3の実施の形態 >

次に、第 3の実施形態として、図 16に示すように、アクセス制御管理装置 BlOObが、紛失時の管理権限をあら力じめアクセス制御管理装置 AlOOaに委譲するケースについて説明する。これは例えば、通常時に、携帯機器がアクセス制御管理装置 B10 Obとして外部デバイス (携帯端末 200)を管理し、紛失時にはサーバ (アクセス制御管理装置 AlOOa)から携帯機器 (アクセス制御管理装置 BlOOb)と外部デバイス (携帯端末 200)の権限を制御する利用形態に相当する。

携帯端末 200、アクセス制御管理装置 A100a、アクセス制御管理装置 BlOObの構成は、第 2の実施の形態と同様であるので、ここでは説明を省略する。

[0123] アクセス制御規則の登録'変更手順、携帯端末のアクセス制御手順は第 1の実施の形態と同様であるので、ここでは説明を省略する。異なる手順は、アクセス制御管理装置 BlOObからアクセス制御管理装置 AlOOaに権限を委譲する手順と、アクセス制御管理装置 AlOOaからアクセス制御管理装置 BlOObにアクセス制御規則をプッシュする手順である。

[0124] (権限の委譲手順）

次に、アクセス制御管理装置 BlOObからアクセス制御管理装置 AlOOaに権限を委譲する手順について、図 17及び図 18を参照して説明する。ここでは、図 16に示すように、紛失時の管理権限をあら力じめアクセス制御管理装置 AlOOaに委譲することを想定する。図 17は、アクセス制御管理装置 AlOOaの手順であり、図 18は、ァクセス制御管理装置 BlOObの手順である。

[0125] まず、図 18のステップ S1001において、管理者がアクセス制御管理装置 BlOObからアクセス制御管理装置 AlOOaへの権限委譲を要求した場合、ステップ S1002において、アクセス制御管理装置 Bの権限委譲管理部 180は、紛失時の管理権限を規定したアクセス制御規則を含む委譲要求をアクセス制御管理装置 Aに発行する。 [0126] 次に、図 17のステップ S901において、アクセス制御管理装置 Aのアクセス制御要求受信部 130は、委譲要求を受信した後、ステップ S902において、ユーザ認証部 1 50は、アクセス制御管理装置 BlOObとその管理者の認証を行う。次に、ステップ S9 03において、アクセス制御規則検証部 160は、委譲要求の中に含まれるアクセス制御規則を検証する。

[0127] そして、ステップ S904において、権限委譲が可であれば、ユーザ管理部 140は、委譲要求の中に含まれるアクセス制御規則を保持し、ステップ S905に進み、ァクセス制御規則応答部 120は、アクセス制御管理装置 BlOObに、権限委譲成功の応答をする。一方、ステップ S904において、権限委譲が不可であれば、ステップ S906に進み、アクセス制御規則応答部 120は、アクセス制御管理装置 BlOObに、権限委譲不可の応答をする。

[0128] 一方、図 18のステップ S1003において、アクセス制御管理装置 BlOObは、ァクセス制御管理装置 AlOOaから応答を受信する。そして、ステップ S1004において、委譲が可である場合は、ステップ S 1005へ進み、管理するアクセス制御規則に反映する。そして、ステップ S1006において、アクセス制御管理装置 BlOObは、管理者に結果を提示する。

[0129] (プッシュによるアクセス制御管理装置の制御手順）

次に、アクセス制御管理装置 AlOOaからアクセス制御管理装置 BlOObにアクセス制御規則をプッシュする手順について、図 19及び図 20を参照して説明する。図 19 は、アクセス制御管理装置 AlOOaの手順であり、図 20は、アクセス制御管理装置 B1 00bの手順である。

[0130] まず、図 19のステップ S1101において、携帯端末のユーザ (管理者)は、紛失時に、アクセス制御管理装置 AlOOaに、アクセス制御規則の変更 (機能のロックや機密データの削除)を要求する。アクセス制御管理装置 AlOOaのアクセス制御要求受信部 130は、アクセス制御規則変更要求を受け取り、ユーザ認証部 150によるユーザの認証と、アクセス制御規則検証部 160によるアクセス制御規則の検証を行う。いずれ力が失敗した場合、アクセス制御規則応答部 120は、ユーザに失敗の応答を返す。

[0131] 次に、ステップ S1102において、プッシュ送信部 121は、アクセス制御管理装置 B1 00bにアクセス制御規則をプッシュ送信する。

[0132] そして、図 20のステップ S1201において、アクセス制御管理装置 BlOObのァクセス制御要求受信部 130は、アクセス制御規則を受け取り、アクセス制御規則検証部 1 60が、アクセス制御管理装置 AlOOaの認証とアクセス制御規則自身の検証を行い、それが成功したら、ステップ S1202において、ユーザ管理部 140にアクセス制御規則をアクセス制御規則テーブルとして登録し、以後の携帯端末のアクセス制御に反映する。

[0133] 図 20のステップ S1203〜1207の処理は、図 11のステップ S603〜607の処理と同様であるので、ここでは説明を省略する。

[0134] 又、図 19のステップ S1103〜： L 106の処理は、図 10のステップ S503〜506の処理と同様であるので、ここでは説明を省略する。

[0135] (作用及び効果）

第 3の実施携帯に係るアクセス制御管理装置によると、通常時には、ユーザが携帯機器を通じて、外部デバイスのアクセス制御を自由に管理できる。又、携帯機器の紛失時には、ユーザがサーバを通じて携帯機器を管理することで、外部デバイスについても管理することができ、外部デバイス内の機密リソースを安全に保護できる。産業上の利用の可能性

[0136] 以上のように、本発明に係る携帯端末、アクセス制御管理装置及びアクセス制御管理方法は、圏外においても機密リソースへのアクセスをロック可能とし、又、アクセス制御規則の変更時に負荷が集中するのを防止する技術において有用である。

Claims

請求の範囲

[1] アプリケーションプログラムを実行するアプリケーション実行部と、

前記アプリケーションプログラムによる端末内の機密リソースへのアクセス権限の有無と決定手段を規定するアクセス制御規則を保持するアクセス制御規則管理部と、携帯端末が備えるユーザ識別モジュールの識別子と携帯端末自身の識別子の少なくともいずれか一つを指定して、前記アクセス制御規則を外部装置力取得し、ァクセス制御規則管理部に保存するアクセス制御規則タエリー部と、

前記アプリケーションプログラムが機密リソースにアクセスする際、前記アクセス制御規則を更新する力否かを判定し、更新を行うタエリー要否判定部と、

前記アクセス制御規則に基づいて、アクセス権限の有無を判定する権限管理部と、前記権限管理部の判定結果に基づ!、て、前記アプリケーションプログラムの機密リソースへのアクセス要求を許否する機密リソース管理部と

を備えることを特徴とする携帯端末。

[2] 前記タエリー要否判定部は、携帯端末が一定時間以上、圏外状態である場合、了クセス制御規則にユーザ認証命令、ロック命令、機密データの削除命令の少なくとも

Vヽずれか一つを付加して更新することを特徴とする請求項 1に記載の携帯端末。

[3] 前記タエリー要否判定部は、アクセス制御規則に設定された有効期限をチェックし

、期限切れの場合にアクセス制御規則クエリ一部を呼び出すキャッシュ制御部を備えることを特徴とする請求項 1又は 2に記載の携帯端末。

[4] 前記タエリー要否判定部は、前記権限管理部においてユーザ認証が成功した際にアクセス制御規則のユーザ認証命令を一定時間解除するよう更新することを特徴とする請求項 3に記載の携帯端末。

[5] 前記権限管理部は、機密リソースへのアクセスのログを記録し、外部装置へ送信するログ送信部を備えることを特徴とする請求項 1〜4のいずれ力 1項に記載の携帯端末。

[6] 前記機密リソース管理部は、前記アクセス制御規則クエリー部が取得したアクセス制御規則に機密データの削除命令があった場合に、当該機密データを削除する機密データ削除部を備え、前記タエリー要否判定部は、権限管理部においてユーザ認証が失敗した際にアクセス制御規則に機密データの削除命令を付加して更新することを特徴とする請求項 1〜5のいずれ力 1項に記載の携帯端末。

[7] 前記アクセス制御規則クエリ一部は、携帯端末が特定のユーザ識別モジュールを装着して!/ヽなヽ状態で、前記特定のユーザ識別モジュールに紐付けされた機密リソースへのアクセスがあった際、携帯端末の識別子を指定してアクセス制御管理装置力アクセス制御規則を取得することを特徴とする請求項 1〜6のいずれ力 1項に記載の携帯端末。

[8] 携帯端末のユーザ情報及び前記携帯端末に与えるアクセス制御規則を保持するユーザ管理部と、

ユーザの認証を行うユーザ認証部と、

前記携帯端末力の携帯端末が備えるユーザ識別モジュールの識別子と携帯端末自身の識別子の少なくともいずれか一つの指定を含む照会に対して、当該携帯端末のアクセス制御規則を応答するアクセス制御規則応答部と、

ユーザ力の携帯端末或いは複数の携帯端末に対するアクセス制御規則の登録要求或いは変更要求を受信するアクセス制御要求受信部と、

前記アクセス制御規則の登録要求或いは変更要求を検証する規則を管理するァクセス制御規則検証管理部と、

前記アクセス制御規則を検証する規則に従って、前記登録要求或いは変更要求を検証するアクセス制御規則検証部と

を備えることを特徴とするアクセス制御管理装置。

[9] 前記アクセス制御要求受信部は、有効期限が含まれた、前記登録要求或いは前記変更要求を受信することを特徴とする請求項 8に記載のアクセス制御管理装置。

[10] 前記アクセス制御規則応答部は、ユーザ力のアクセス制御規則の登録要求或いは変更要求にプッシュ要求が含まれる場合、当該携帯端末にアクセス制御規則をプッシュ送信するプッシュ送信部を備えることを特徴とする請求項 8又は 9に記載のァクセス制御管理装置。

[11] 前記アクセス制御規則検証部は、前記携帯端末力アクセス制御ログを受信し、検証するログ検証部を備えることを特徴とする請求項 8〜 10のいずれか 1項に記載のァクセス制御管理装置。

アプリケーションプログラムによる携帯端末内の機密リソースへのアクセスを制限するアクセス制御管理方法であって、

前記アプリケーションプログラムが機密リソースにアクセスする際、前記アプリケーシヨンプログラムによる携帯端末内の機密リソースへのアクセス権限の有無と決定手段を規定するアクセス制御規則を更新する力否かを判定するステップと、

携帯端末が備えるユーザ識別モジュールの識別子と携帯端末自身の識別子の少なくともいずれか一つを指定して、前記アクセス制御規則を外部装置力取得し、保持するステップと、

前記アクセス制御規則に基づ、て、アクセス権限の有無を判定するステップと、前記判定結果に基づ、て、アクセス要求に対する応答を行うステップとを含むことを特徴とするアクセス制御管理方法。