特許6124627 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ ＫＤＤＩ株式会社の特許一覧

特許6124627端末、アクセス制限方法およびプログラム

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8
9

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6124627

(24)【登録日】2017年4月14日

(45)【発行日】2017年5月10日

(54)【発明の名称】端末、アクセス制限方法およびプログラム

(51)【国際特許分類】

G06F 21/62 20130101AFI20170424BHJP

【ＦＩ】

G06F21/62 390

【請求項の数】5

【全頁数】16

(21)【出願番号】特願2013-50464(P2013-50464)

(22)【出願日】2013年3月13日

(65)【公開番号】特開2014-178727(P2014-178727A)

(43)【公開日】2014年9月25日

【審査請求日】2015年8月28日

(73)【特許権者】

【識別番号】000208891

【氏名又は名称】ＫＤＤＩ株式会社

(74)【代理人】

【識別番号】100122426

【弁理士】

【氏名又は名称】加藤清志

(72)【発明者】

【氏名】中村徹

(72)【発明者】

【氏名】清本晋作

(72)【発明者】

【氏名】渡辺龍

(72)【発明者】

【氏名】三宅優

【審査官】青木重徳

(56)【参考文献】

【文献】特開２０１０−０７９９０１（ＪＰ，Ａ）

【文献】特開２０１２−２３４４０１（ＪＰ，Ａ）

【文献】特開２０１１−１３８２９９（ＪＰ，Ａ）

【文献】特開２００６−０２４３３６（ＪＰ，Ａ）

【文献】特開２０１２−１１８８４２（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ２１／６２

(57)【特許請求の範囲】

【請求項1】

自らアクセス制限を行うアプリケーションを備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末であって、
前記アプリケーションが、
アプリケーションサーバとの間でのデータ通信を処理する処理手段と、
前記アプリケーションの独自の処理動作を実行する実行手段と、
該アプリケーションがユーザのリソースにアクセスを行おうとしたことを検知するアクセス検知手段と、
該アクセス検知手段が、ユーザのリソースへのアクセスを検出したときに、ユーザのアクセスポリシを参照して、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行うアクセス制限手段と、
を備えるとともに、
前記ユーザのアクセスポリシを記憶するアクセスポリシ記憶部と、
前記ユーザのリソースを記憶するリソース記憶部と、
を備えたことを特徴とする端末。

【請求項2】

前記ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えたことを特徴とする請求項１に記載の端末。

【請求項3】

アプリケーションと該アプリケーションのアクセス制限を行うアクセス制限手段とを備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能なアプリケーションのアクセス制限を行う端末であって、
前記アプリケーションが、
アプリケーションサーバとの間でのデータ通信を処理する処理手段と、
前記アプリケーションの独自の処理動作を実行する実行手段と、
を備え、
前記アクセス制限手段が、前記アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かの判定することを特徴とする端末。

【請求項4】

自らアクセス制限を行うアプリケーションと、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部と、前記ユーザのリソースを記憶するリソース記憶部とを備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末おけるアクセス制限方法であって、
前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第１のステップと、
前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第２のステップと、
前記アプリケーションが、ユーザのリソースに対するアクセスを検知する第３のステップと、
前記アプリケーションが、前記ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第４のステップと、
前記アプリケーションが、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う第５のステップと、
を備えたことを特徴とするアクセス制限方法。

【請求項5】

自らアクセス制限を行うアプリケーションと、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部と、前記ユーザのリソースを記憶するリソース記憶部とを備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末おけるアクセス制限方法をコンピュータに実行させるためのプログラムであって、
前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第１のステップと、
前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第２のステップと、
前記アプリケーションが、ユーザのリソースに対するアクセスを検知する第３のステップと、
前記アプリケーションが、前記ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第４のステップと、
前記アプリケーションが、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う第５のステップと、
をコンピュータに実行させるためのプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、端末内にインストールされたアプリケーションが、端末使用者のリソースにアクセスすることを制限する端末、アクセス制限方法およびプログラムに関する。

【背景技術】

【0002】

ａｎｄｒｏｉｄ（登録商標）ＯＳなどに代表される携帯端末用オープンプラットフォームでは、不適切なリソースへのアクセスを防止するためにパーミッションと呼ばれる機構を用いる。これらのプラットフォーム上では、アプリケーションをインストールする際に、アクセスが必要なリソースの一覧をユーザに提示し、ユーザがそれに了承しない限りアプリケーションのインストールを実行することができない。そのため、ソースファイルをリパッケージングして、アクセスを許可したリソースに対するインタフェースに監視機能を追加し、アクセス毎にユーザに許可を求める技術が提案されている（例えば、非特許文献１参照。）。

【先行技術文献】

【非特許文献】

【0003】

【非特許文献1】ＲｕｂｉｎＸｕ，ＨａｓｓｅｎＳａiｄｉ，ａｎｄＲｏｓｓＡｎｄｅｒｓｏｎ，“Ａｕｒａｓｉｕｍ：ＰｒａｃｔｉｃａｌＰｏｌｉｃｙＥｎｆｏｒｃｅｍｅｎｔｆｏｒＡｎｄｒｏｉｄＡｐｐｌｉｃａｔｉｏｎｓ”，ＵＳＥＮＩＸＳｅｃｕｒｉｔｙ’１２．

【発明の概要】

【発明が解決しようとする課題】

【0004】

しかしながら、パーミッションは予めプラットフォーム提供者によって定められているため、粒度が不適切な場合に対応できない。例えば、インターネットアクセスを許可したアプリケーションに対して、アクセスが想定される正規のサイトへのアクセスは許可するが、想定外の不正なサイトにアクセスすることは許可しない、といった制限ができないことがある。また、非特許文献１に記載の技術では、アクセス毎にユーザに許可を求めることで利便性が低下してしまうという問題がある。

【0005】

そこで、本発明は、上述の課題に鑑みてなされたものであり、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことを可能にする端末、アクセス制限方法およびプログラムを提供することを目的とする。

【課題を解決するための手段】

【0006】

本発明は、上記の課題を解決するために、以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。

【0007】

（１）本発明は、自らアクセス制限を行うアプリケーション（例えば、図１、図２のアプリケーション２１０に相当）を備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末であって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する処理手段（例えば、図１、図２の処理部２１１に相当）と、前記アプリケーションの独自の処理動作を実行する実行手段（例えば、図１、図２の実行部２１２に相当）と、該アプリケーションがユーザのリソースにアクセスを行おうとしたことを検知するアクセス検知手段（例えば、図１、図２のアクセス検知部２１４に相当）と、該アクセス検知手段が、ユーザのリソースへのアクセスを検出したときに、ユーザのアクセスポリシを参照して、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行うアクセス制限手段（例えば、図１、図２のアクセス制限部２１３に相当）と、を備えたことを特徴とする端末を提案している。

【0008】

この発明によれば、アプリケーションの処理手段は、アプリケーションサーバとの間でのデータ通信を処理する。実行手段は、アプリケーションの独自の処理動作を実行する。アクセス検知手段は、アプリケーションがユーザのリソースにアクセスを行おうとしたことを検知する。アクセス制限手段は、アクセス検知手段が、ユーザのリソースへのアクセスを検出したときに、ユーザのアクセスポリシを参照して、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。

【0009】

（２）本発明は、（１）の端末について、前記ユーザのリソース、アクセスポリシを記憶する記憶装置（例えば、図２のアクセスポリシサーバ３００、リソースサーバ４００に相当）を外部に備えたことを特徴とする端末を提案している。

【0010】

この発明によれば、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えた。これにより、端末外のユーザのリソース、アクセスポリシを利用することができる。

【0011】

（３）本発明は、アプリケーション（例えば、図４、図５のアプリケーション２４０に相当）と、該アプリケーションのアクセス制限を行うアクセス制限アプリケーション（例えば、図４、図５のアクセス制限アプリケーション２５０に相当）とを備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末であって、前記アクセス制限アプリケーションが、アクセス制限手段を備え、該アクセス制限手段は、前記アプリケーションが、ユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かを判定することを特徴とする端末を提案している。

【0012】

この発明によれば、アクセス制限手段が、アプリケーションが、ユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かを判定する。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。

【0013】

（４）本発明は、（３）の端末について、前記ユーザのリソース、アクセスポリシを記憶する記憶装置（例えば、図５のアクセスポリシサーバ３００、リソースサーバ４００に相当）を外部に備えたことを特徴とする端末を提案している。

【0014】

【0015】

（５）本発明は、アプリケーションと該アプリケーションのアクセス制限を行うアクセス制限手段とを備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能なアプリケーションのアクセス制限を行う端末であって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する処理手段（例えば、図７、図８の処理部２１１に相当）と、前記アプリケーションの独自の処理動作を実行する実行手段（例えば、図７、図８の実行部２１２に相当）と、前記アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かの判定するアクセス制限手段（例えば、図７、図８のアクセス制限部２５１に相当）と、を備えたことを特徴とする端末を提案している。

【0016】

この発明によれば、アプリケーションの処理手段は、アプリケーションサーバとの間でのデータ通信を処理する。実行手段は、アプリケーションの独自の処理動作を実行する。アクセス制限手段は、アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かを判定する。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。

【0017】

（６）本発明は、（５）の端末について、前記ユーザのリソース、アクセスポリシを記憶する記憶装置（例えば、図７のアクセスポリシサーバ３００、リソースサーバ４００に相当）を外部に備えたことを特徴とする端末を提案している。

【0018】

【0019】

（７）本発明は、自らアクセス制限を行うアプリケーション（例えば、図１、図２のアプリケーション２１０に相当）を備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末おけるアクセス制限方法であって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第１のステップ（例えば、図３のステップＳ１１０に相当）と、前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第２のステップ（例えば、図３のステップＳ１２０に相当）と、前記アプリケーションが、ユーザのリソースに対するアクセスを検知する第３のステップ（例えば、図３のステップＳ１３０に相当）と、前記アプリケーションが、前記ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第４のステップ（例えば、図３のステップＳ１４０に相当）と、前記アプリケーションが、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う第５のステップ（例えば、図３のステップＳ１５０に相当）と、を備えたことを特徴とするアクセス制限方法を提案している。

【0020】

この発明によれば、アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理し、アプリケーションの独自の処理動作を実行する。アプリケーションは、ユーザのリソースに対するアクセスを検知し、ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。

【0021】

（８）本発明は、アプリケーション（例えば、図４、図５のアプリケーション２４０に相当）と、該アプリケーションのアクセス制限を行うアクセス制限アプリケーション（例えば、図４、図５のアクセス制限アプリケーション２５０に相当）とを備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末におけるアクセス制限方法であって、前記アクセス制限アプリケーションが、前記アプリケーションによるユーザのリソースに対するアクセスを検知する第１のステップ（例えば、図６のステップＳ２１０に相当）と、前記アクセス制限アプリケーションが、前記アプリケーションによるユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第２のステップ（例えば、図６のステップＳ２２０に相当）と、前記アクセス制限アプリケーションが、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かを判定する第３のステップ（例えば、図６のステップＳ２３０に相当）と、を備えたことを特徴とするアクセス制限方法を提案している。

【0022】

この発明によれば、アクセス制限アプリケーションが、アプリケーションによるユーザのリソースに対するアクセスを検知し、アプリケーションによるユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かを判定する。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。

【0023】

（９）本発明は、アプリケーションと該アプリケーションのアクセス制限を行うアクセス制限手段とを備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能なアプリケーションのアクセス制限を行う端末におけるアクセス制限方法であって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第１のステップ（例えば、図９のステップＳ３１０に相当）と、前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第２のステップ（例えば、図９のステップＳ３２０に相当）と、前記アクセス制限手段が、前記アプリケーションによるユーザのリソースに対するアクセスを検知する第３のステップ（例えば、図９のステップＳ３３０に相当）と、前記アクセス制限手段が、前記アプリケーションによるユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第４のステップ（例えば、図９のステップＳ３４０に相当）と、前記アクセス制限手段が、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かを判定する第５のステップ（例えば、図９のステップＳ３５０に相当）と、を備えたことを特徴とするアクセス制限方法を提案している。

【0024】

この発明によれば、アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理し、アプリケーションの独自の処理動作を実行する。アクセス制限手段は、アプリケーションによるユーザのリソースに対するアクセスを検知し、アプリケーションによるユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かを判定する。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。

【0025】

（１０）本発明は、自らアクセス制限を行うアプリケーション（例えば、図１、図２のアプリケーション２１０に相当）を備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末おけるアクセス制限方法をコンピュータに実行させるためのプログラムであって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第１のステップ（例えば、図３のステップＳ１１０に相当）と、前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第２のステップ（例えば、図３のステップＳ１２０に相当）と、前記アプリケーションが、ユーザのリソースに対するアクセスを検知する第３のステップ（例えば、図３のステップＳ１３０に相当）と、前記アプリケーションが、前記ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第４のステップ（例えば、図３のステップＳ１４０に相当）と、前記アプリケーションが、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う第５のステップ（例えば、図３のステップＳ１５０に相当）と、をコンピュータに実行させるためのプログラムを提案している。

【0026】

【0027】

（１１）本発明は、アプリケーション（例えば、図４、図５のアプリケーション２４０に相当）と、該アプリケーションのアクセス制限を行うアクセス制限アプリケーション（例えば、図４、図５のアクセス制限アプリケーション２５０に相当）とを備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末におけるアクセス制限方法をコンピュータに実行させるためのプログラムであって、前記アクセス制限アプリケーションが、前記アプリケーションによるユーザのリソースに対するアクセスを検知する第１のステップ（例えば、図６のステップＳ２１０に相当）と、前記アクセス制限アプリケーションが、前記アプリケーションによるユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第２のステップ（例えば、図６のステップＳ２２０に相当）と、前記アクセス制限アプリケーションが、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かを判定する第３のステップ（例えば、図６のステップＳ２３０に相当）と、をコンピュータに実行させるためのプログラムを提案している。

【0028】

【0029】

（１２）本発明は、アプリケーションと該アプリケーションのアクセス制限を行うアクセス制限手段とを備え、前記アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能なアプリケーションのアクセス制限を行う端末におけるアクセス制限方法をコンピュータに実行させるためのプログラムであって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第１のステップ（例えば、図９のステップＳ３１０に相当）と、前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第２のステップ（例えば、図９のステップＳ３２０に相当）と、前記アクセス制限手段が、前記アプリケーションによるユーザのリソースに対するアクセスを検知する第３のステップ（例えば、図９のステップＳ３３０に相当）と、前記アクセス制限手段が、前記アプリケーションによるユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第４のステップ（例えば、図９のステップＳ３４０に相当）と、前記アクセス制限手段が、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かを判定する第５のステップ（例えば、図９のステップＳ３５０に相当）と、をコンピュータに実行させるためのプログラムを提案している。

【0030】

【発明の効果】

【0031】

本発明によれば、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことを可能にするという効果がある。

【図面の簡単な説明】

【0032】

【図1】本発明の第１の実施形態に係る端末の構成を示す図である。

【図2】本発明の第１の実施形態の変形例に係る端末の構成を示す図である。

【図3】本発明の第１の実施形態に係る端末の処理を示す図である。

【図4】本発明の第２の実施形態に係る端末の構成を示す図である。

【図5】本発明の第２の実施形態の変形例に係る端末の構成を示す図である。

【図6】本発明の第２の実施形態に係る端末の処理を示す図である。

【図7】本発明の第３の実施形態に係る端末の構成を示す図である。

【図8】本発明の第３の実施形態の変形例に係る端末の構成を示す図である。

【図9】本発明の第３の実施形態に係る端末の処理を示す図である。

【発明を実施するための形態】

【0033】

以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。

【0034】

＜第１の実施形態＞
図１から図３を用いて、本発明の第１の実施形態について説明する。

【0035】

なお、本発明の端末は、あるプラットフォームに従ってアプリケーションをインストールすることができる。このときプラットフォーム提供者によって定められた粒度においてパーミッションを設定が行われる。設定されたパーミッションによって、アプリケーションがアプリケーション利用者のリソースへアクセスすることを制限するものである。

【0036】

また、インストールしたアプリケーションは、ユーザにサービスを提供するために、アプリケーションサーバに、取得したアプリケーションユーザのリソースを提出する必要がある場合がある。このように、アプリケーション利用者のリソースが必要な場合には、アプリケーション利用端末にアプリケーションをインストールする際に、アプリケーションユーザの合意を明示的に得る必要がある。以下、上記の処理を実行する実施形態について説明する。

【0037】

＜端末の構成＞
本実施形態に係る端末２００は、図１に示すように、自らのアクセス制限を行うアプリケーション２１０と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部２２０と、ユーザのリソースを記憶するリソース記憶部２３０とから構成されている。また、外部には、アプリケーションサーバ１００が設けられている。なお、アクセスポリシ記憶部２２０およびリソース記憶部２３０は、図２に示すように、アクセスポリシサーバ３００、リソースサーバ４００として、端末の外部に設けてもよい。このように、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えれば、端末外のユーザのリソースやアクセスポリシを利用することができる。また、本実施形態に係る端末は、アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末である。

【0038】

ここで、アクセスポリシは、後述するアプリケーション制限部を提供する事業者によって、プラットフォーム提供者が定めたパーミッション設定とは独立して設定され、アクセスポリシは何等かの条件式として実現される。具体的には、実行する関数、アクセスしようとするリソース、アプリケーション事業者、アクセス用途などの組み合わせに対して、実行許可又は実行拒否を割り当てる。

【0039】

さらに、アプリケーション２１０は、処理部２１１と、実行部２１２と、アクセス制限部２１３と、アクセス検知部２１４とから構成されている。

【0040】

処理部２１１は、アプリケーションサーバとの間でのデータ通信を処理する。実行部２１２は、アプリケーションの独自の処理動作を実行する。

【0041】

アクセス検知部は、アプリケーションがユーザのリソースにアクセスを行おうとしたことを検知する。アクセス制限部２１３は、ユーザのリソースへのアクセスを検出したときに、ユーザのアクセスポリシを参照して、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う。なお、アクセス制限部２１３は、プラットフォーム提供者が定めたパーミッション設定とは独立したアクセスポリシの設定に従って、アプリケーションユーザのリソースへのアクセスを制限する。

【0042】

＜端末の処理＞
図３を用いて、本実施形態に係る端末の処理について説明する。

【0043】

アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理し（ステップ１１０）、アプリケーションの独自の処理動作を実行する（ステップＳ１２０）。

【0044】

次いで、アプリケーションがユーザのリソースに対するアクセスを検知し（ステップＳ１３０）、アプリケーションがユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する（ステップＳ１４０）。

【0045】

そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う（ステップＳ１５０）。なお、割り込みの方法としては、アプリケーションユーザのリソースを取得する関数を、事前にアプリケーション制限部２１３へのアクセスを強制する関数に置き換えて、全ての関数が置換されたことを第三者機関等がチェックすることなどによって実現するようにしてもよい。また、具体的な動作としては、例えば、アプリケーションが実行しようとする関数が、アクセスポリシによって実行許可であると定義されていた場合には関数をそのまま実行し、実行拒否であると定義されていた場合にはエラーメッセージを返して動作を停止するようにしてもよい。

【0046】

以上、説明したように、本実施形態によれば、自らアクセス制限を行うアプリケーションを端末に実装することにより、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。

【0047】

＜第２の実施形態＞
図４から図６を用いて、本発明の第２の実施形態について説明する。なお、第１の実施形態と同一の符号を付す構成要素については、同様の機能を有することから、その詳細な説明は、省略する。

【0048】

＜端末の構成＞
本実施形態に係る端末２００は、図４に示すように、アプリケーション２４０と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部２２０と、ユーザのリソースを記憶するリソース記憶部２３０と、アクセス制限部２５１を備えたアプリケーションのアクセス制限を行うアクセス制限アプリケーション２５０とから構成されている。なお、アクセスポリシ記憶部２２０およびリソース記憶部２３０は、図５に示すように、アクセスポリシサーバ３００、リソースサーバ４００として、端末の外部に設けてもよい。このように、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えれば、端末外のユーザのリソースやアクセスポリシを利用することができる。

【0049】

【0050】

アクセス制限部２５１は、アプリケーションが、ユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かを判定する。

【0051】

なお、アプリケーションユーザは、アプリケーションをインストールする際に、アプリケーションがアプリケーション制限部２５１へのアクセス以外のパーミッションを要求していないことを確認する必要がある。

【0052】

また、アプリケーション制限部２５１には、制限するアプリケーション群が必要とする全てのパーミッションが与えられる。アプリケーションがアプリケーションユーザのリソースを取得する手続きを実行するときには、アプリケーション制限部２５１に取得要求を提出する。そして、アプリケーション制限部２５１は、まず、事前に設定されたアプリケーションユーザのアクセスポリシを参照し、次に、アプリケーションの取得要求がアクセスポリシによって実行許可であると定義されていた場合には、アプリケーション制限部２５１は、アプリケーションユーザのリソースを取得してアプリケーションに提供する。一方、要求された実行拒否であると定義されていた場合には、エラーメッセージを返して動作を停止する。

【0053】

＜端末の処理＞
図６を用いて、本実施形態に係る端末の処理について説明する。

【0054】

まず、アクセス制限アプリケーション２５０が、アプリケーションによるユーザのリソースに対するアクセスを検知し（ステップＳ２１０）、アプリケーションによるユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する（ステップＳ２２０）。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かを判定する（ステップＳ２３０）。

【0055】

なお、具体的な動作としては、例えば、アプリケーションの取得要求がアクセスポリシによって実行許可であると定義されていた場合には、アプリケーション制限部２５１は、アプリケーションユーザのリソースを取得してアプリケーションに提供する。一方、要求された実行拒否であると定義されていた場合には、エラーメッセージを返して動作を停止するようにしてもよい。

【0056】

以上、説明したように、本実施形態によれば、アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かを判定するアクセス制限アプリケーションを端末に実装することにより、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。

【0057】

＜第３の実施形態＞
図７から図９を用いて、本発明の第３の実施形態について説明する。なお、第１の実施形態および第２の実施形態と同一の符号を付す構成要素については、同様の機能を有することから、その詳細な説明は、省略する。なお、本実施形態は、構成要素のすべてをハードウェアで構成したものである。

【0058】

＜端末の構成＞
本実施形態に係る端末２００は、図７に示すように、処理部２１１と、実行部２１２とからなるアプリケーション２６０と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部２２０と、ユーザのリソースを記憶するリソース記憶部２３０と、アクセス制限部２５１とから構成されている。また、外部には、アプリケーションサーバ１００が設けられている。なお、アクセスポリシ記憶部２２０およびリソース記憶部２３０は、図８に示すように、アクセスポリシサーバ３００、リソースサーバ４００として、端末の外部に設けてもよい。このように、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えれば、端末外のユーザのリソースやアクセスポリシを利用することができる。

【0059】

【0060】

アクセス制限部２５１は、アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かの判定をする。

【0061】

【0062】

【0063】

＜端末の処理＞
図９を用いて、本実施形態に係る端末の処理について説明する。

【0064】

まず、アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理し（ステップＳ３１０）、アプリケーションの独自の処理動作を実行する（ステップＳ３２０）。

【0065】

次いで、アクセス制限部２５１が、アプリケーションによるユーザのリソースに対するアクセスを検知し（ステップＳ３３０）、アプリケーションによるユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する（ステップＳ３４０）。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かを判定する（ステップＳ３５０）。

【0066】

なお、具体的な動作としては、例えば、アプリケーションの取得要求がアクセスポリシによって実行許可であると定義されていた場合には、アクセス制限部２５１は、アプリケーションユーザのリソースを取得してアプリケーションに提供する。一方、要求された実行拒否であると定義されていた場合には、エラーメッセージを返して動作を停止するようにしてもよい。

【0067】

以上、説明したように、本実施形態によれば、アクセス制限部２５１をハードウェアとして実装することにより、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。

【0068】

なお、端末の処理をコンピュータシステムが読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムを端末に読み込ませ、実行することによって本発明の端末を実現することができる。ここでいうコンピュータシステムとは、ＯＳや周辺装置等のハードウェアを含む。

【0069】

また、「コンピュータシステム」は、ＷＷＷ（ＷｏｒｌｄＷｉｄｅＷｅｂ）システムを利用している場合であれば、ホームページ提供環境（あるいは表示環境）も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク（通信網）や電話回線等の通信回線（通信線）のように情報を伝送する機能を有する媒体のことをいう。

【0070】

また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル（差分プログラム）であってもよい。

【0071】

以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。

【符号の説明】

【0072】

１００；アプリケーションサーバ
２００；端末
２１０；アプリケーション
２１１；処理部
２１２；実行部
２１３；アクセス制限部
２１４；アクセス検知部
２２０；アクセスポリシ記憶部
２３０；リソース記憶部
２４０；アプリケーション
２５０；アクセス制限アプリケーション
２５１；アクセス制限部
２６０；アプリケーション
３００；アクセスポリシサーバ
４００；リソースサーバ

【図1】