ホーム > 特許ランキング > 日本電信電話株式会社
知財求人 - 知財ポータルサイト「IP Force」
特許6619690処理装置、アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6619690
(24)【登録日】2019年11月22日
(45)【発行日】2019年12月11日
(54)【発明の名称】処理装置、アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
(51)【国際特許分類】
G06F 12/14 20060101AFI20191202BHJP
G06F 13/00 20060101ALI20191202BHJP
G06F 21/79 20130101ALI20191202BHJP
G06F 21/62 20130101ALI20191202BHJP
【FI】
G06F12/14 510D
G06F13/00 351Z
G06F21/79
G06F21/62 327
【請求項の数】7
【全頁数】13
(21)【出願番号】特願2016-100388(P2016-100388)
(22)【出願日】2016年5月19日
(65)【公開番号】特開2017-207952(P2017-207952A)
(43)【公開日】2017年11月24日
【審査請求日】2018年6月18日
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】100083806
【弁理士】
【氏名又は名称】三好 秀和
(74)【代理人】
【識別番号】100129230
【弁理士】
【氏名又は名称】工藤 理恵
(72)【発明者】
【氏名】干川 尚人
(72)【発明者】
【氏名】池邉 隆
【審査官】
宮司 卓佳
(56)【参考文献】
【文献】
特開2013−161299(JP,A)
【文献】
特開2007−334432(JP,A)
【文献】
特表2013−538379(JP,A)
【文献】
特開2015−035155(JP,A)
【文献】
特開2013−120430(JP,A)
【文献】
特開2015−022344(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 12/14
G06F 13/00
G06F 21/62
G06F 21/79
(57)【特許請求の範囲】
【請求項1】
機器に接続するとともに、前記機器を利用するアプリケーションを実行する処理装置であって、
前記アプリケーションは、前記処理装置のメモリにアクセスして前記機器を利用し、
前記アプリケーションが前記機器を利用する際にアクセスするメモリ上のアドレス、アクセス種別およびアクセス有効期限を対応づけたポリシーデータを記憶する記憶装置と、
前記アプリケーションによる前記メモリへのアクセスの試みが検知されると、前記アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、前記ポリシーデータに記憶されたアドレスおよびアクセス種別と一致するか否か、およびアクセス有効期限に一致するか否かを判定し、一致する場合にアクセスを許可し、一致しない場合にアクセスを拒否するアクセス制御手段
を備えることを特徴とする処理装置。
前記アプリケーションは、前記処理装置のメモリにアクセスして前記機器を利用し、
前記アプリケーションが前記機器を利用する際にアクセスするメモリ上のアドレス、アクセス種別およびアクセス有効期限を対応づけたポリシーデータを記憶する記憶装置と、
前記アプリケーションによる前記メモリへのアクセスの試みが検知されると、前記アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、前記ポリシーデータに記憶されたアドレスおよびアクセス種別と一致するか否か、およびアクセス有効期限に一致するか否かを判定し、一致する場合にアクセスを許可し、一致しない場合にアクセスを拒否するアクセス制御手段
を備えることを特徴とする処理装置。
【請求項2】
前記ポリシーデータは、前記機器が前記処理装置に接続する際に用いられうるインタフェースの識別子に、前記インタフェースに対応するメモリ上のアドレスおよびアクセス種別を対応づけたデータであって、
前記アクセス制御手段は、前記メモリへのアクセスの試みが検知されると、前記アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、前記ポリシーデータにおいて、前記機器が接続されたインタフェースに対応づけられたアドレスおよびアクセス種別と一致するか否かを判定する
ことを特徴とする請求項1に記載の処理装置。
前記アクセス制御手段は、前記メモリへのアクセスの試みが検知されると、前記アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、前記ポリシーデータにおいて、前記機器が接続されたインタフェースに対応づけられたアドレスおよびアクセス種別と一致するか否かを判定する
ことを特徴とする請求項1に記載の処理装置。
【請求項3】
機器に接続するとともに、前記機器を利用するアプリケーションを実行する複数の処理装置と、前記処理装置に接続するポリシー提供サーバを備えるアクセス制御システムであって、
前記アプリケーションは、前記処理装置のメモリにアクセスして前記機器を利用し、
前記処理装置は、
前記アプリケーションが前記機器を利用する際にアクセスするメモリ上のアドレスおよびアクセス種別を対応づけたポリシーデータを記憶する記憶装置と、
前記アプリケーションによる前記メモリへのアクセスの試みが検知されると、前記アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、前記ポリシーデータに記憶されたアドレスおよびアクセス種別と一致するか否かを判定し、一致する場合にアクセスを許可し、一致しない場合にアクセスを拒否するアクセス制御手段と、
前記ポリシー提供サーバから後記新たなポリシーデータを取得して、前記記憶装置に記憶されたポリシーデータを、後記新たなポリシーデータに更新する更新手段を備え、
前記ポリシー提供サーバは、
前記アプリケーションと、前記アプリケーションが利用するインタフェースの識別子およびアクセス種別を対応づけた利用リソースデータと、各処理装置におけるインタフェースの識別子と、前記インタフェースに割り当てられるアドレスを対応づけるアドレスマップデータを記憶する記憶装置と、
前記利用リソースデータおよび前記アドレスマップデータから、前記各処理装置のための新たなポリシーデータを生成する生成手段と、
前記新たなポリシーデータを、前記各処理装置に配信する配信手段を備える
ことを特徴とするアクセス制御システム。
前記アプリケーションは、前記処理装置のメモリにアクセスして前記機器を利用し、
前記処理装置は、
前記アプリケーションが前記機器を利用する際にアクセスするメモリ上のアドレスおよびアクセス種別を対応づけたポリシーデータを記憶する記憶装置と、
前記アプリケーションによる前記メモリへのアクセスの試みが検知されると、前記アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、前記ポリシーデータに記憶されたアドレスおよびアクセス種別と一致するか否かを判定し、一致する場合にアクセスを許可し、一致しない場合にアクセスを拒否するアクセス制御手段と、
前記ポリシー提供サーバから後記新たなポリシーデータを取得して、前記記憶装置に記憶されたポリシーデータを、後記新たなポリシーデータに更新する更新手段を備え、
前記ポリシー提供サーバは、
前記アプリケーションと、前記アプリケーションが利用するインタフェースの識別子およびアクセス種別を対応づけた利用リソースデータと、各処理装置におけるインタフェースの識別子と、前記インタフェースに割り当てられるアドレスを対応づけるアドレスマップデータを記憶する記憶装置と、
前記利用リソースデータおよび前記アドレスマップデータから、前記各処理装置のための新たなポリシーデータを生成する生成手段と、
前記新たなポリシーデータを、前記各処理装置に配信する配信手段を備える
ことを特徴とするアクセス制御システム。
【請求項4】
機器に接続するとともに、前記機器を利用するアプリケーションを実行する処理装置に用いられるアクセス制御方法であって、
前記アプリケーションは、前記処理装置のメモリにアクセスして前記機器を利用し、
前記アクセス制御方法は、
前記処理装置が、記憶装置に、前記アプリケーションが前記機器を利用する際にアクセスするメモリ上のアドレス、アクセス種別およびアクセス有効期限を対応づけたポリシーデータを記憶する記憶ステップと、
前記処理装置が、前記アプリケーションによる前記メモリへのアクセスの試みを検知する検知ステップと、
前記処理装置が、前記アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、前記ポリシーデータに記憶されたアドレスおよびアクセス種別と一致するか否か、およびアクセス有効期限に一致するか否かを判定し、一致する場合にアクセスを許可し、一致しない場合にアクセスを拒否する判定ステップ
を備えることを特徴とするアクセス制御方法。
前記アプリケーションは、前記処理装置のメモリにアクセスして前記機器を利用し、
前記アクセス制御方法は、
前記処理装置が、記憶装置に、前記アプリケーションが前記機器を利用する際にアクセスするメモリ上のアドレス、アクセス種別およびアクセス有効期限を対応づけたポリシーデータを記憶する記憶ステップと、
前記処理装置が、前記アプリケーションによる前記メモリへのアクセスの試みを検知する検知ステップと、
前記処理装置が、前記アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、前記ポリシーデータに記憶されたアドレスおよびアクセス種別と一致するか否か、およびアクセス有効期限に一致するか否かを判定し、一致する場合にアクセスを許可し、一致しない場合にアクセスを拒否する判定ステップ
を備えることを特徴とするアクセス制御方法。
【請求項5】
前記ポリシーデータは、前記機器が前記処理装置に接続する際に用いられうるインタフェースの識別子に、前記インタフェースに対応するメモリ上のアドレスおよびアクセス種別を対応づけたデータであって、
前記判定ステップは、前記アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、前記ポリシーデータにおいて、前記機器が接続されたインタフェースに対応づけられたアドレスおよびアクセス種別と一致するか否かを判定する
ことを特徴とする請求項4に記載のアクセス制御方法。
前記判定ステップは、前記アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、前記ポリシーデータにおいて、前記機器が接続されたインタフェースに対応づけられたアドレスおよびアクセス種別と一致するか否かを判定する
ことを特徴とする請求項4に記載のアクセス制御方法。
【請求項6】
機器に接続するとともに、前記機器を利用するアプリケーションを実行する複数の処理装置と、前記処理装置に接続するポリシー提供サーバを備えるアクセス制御システムに用いられるアクセス制御方法であって、
前記アプリケーションは、前記処理装置のメモリにアクセスして前記機器を利用し、
前記アクセス制御方法は、
前記処理装置が、記憶装置に、前記アプリケーションが前記機器を利用する際にアクセスするメモリ上のアドレスおよびアクセス種別を対応づけたポリシーデータを記憶する記憶ステップと、
前記処理装置が、前記アプリケーションによる前記メモリへのアクセスの試みを検知する検知ステップと、
前記処理装置が、前記アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、前記ポリシーデータに記憶されたアドレスおよびアクセス種別と一致するか否かを判定し、一致する場合にアクセスを許可し、一致しない場合にアクセスを拒否する判定ステップと、
前記ポリシー提供サーバが、記憶装置に、前記アプリケーションと、前記アプリケーションが利用するインタフェースの識別子およびアクセス種別を対応づけた利用リソースデータと、各処理装置におけるインタフェースの識別子と、前記インタフェースに割り当てられるアドレスを対応づけるアドレスマップデータを記憶する記憶ステップと、
前記ポリシー提供サーバが、前記利用リソースデータおよび前記アドレスマップデータから、前記各処理装置のための新たなポリシーデータを生成する生成ステップと、
前記ポリシー提供サーバが、前記新たなポリシーデータを、前記各処理装置に配信する配信ステップと、
前記処理装置が、前記ポリシー提供サーバから前記新たなポリシーデータを取得して、前記記憶装置に記憶されたポリシーデータを、前記新たなポリシーデータに更新する更新ステップ
を備えることを特徴とするアクセス制御方法。
前記アプリケーションは、前記処理装置のメモリにアクセスして前記機器を利用し、
前記アクセス制御方法は、
前記処理装置が、記憶装置に、前記アプリケーションが前記機器を利用する際にアクセスするメモリ上のアドレスおよびアクセス種別を対応づけたポリシーデータを記憶する記憶ステップと、
前記処理装置が、前記アプリケーションによる前記メモリへのアクセスの試みを検知する検知ステップと、
前記処理装置が、前記アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、前記ポリシーデータに記憶されたアドレスおよびアクセス種別と一致するか否かを判定し、一致する場合にアクセスを許可し、一致しない場合にアクセスを拒否する判定ステップと、
前記ポリシー提供サーバが、記憶装置に、前記アプリケーションと、前記アプリケーションが利用するインタフェースの識別子およびアクセス種別を対応づけた利用リソースデータと、各処理装置におけるインタフェースの識別子と、前記インタフェースに割り当てられるアドレスを対応づけるアドレスマップデータを記憶する記憶ステップと、
前記ポリシー提供サーバが、前記利用リソースデータおよび前記アドレスマップデータから、前記各処理装置のための新たなポリシーデータを生成する生成ステップと、
前記ポリシー提供サーバが、前記新たなポリシーデータを、前記各処理装置に配信する配信ステップと、
前記処理装置が、前記ポリシー提供サーバから前記新たなポリシーデータを取得して、前記記憶装置に記憶されたポリシーデータを、前記新たなポリシーデータに更新する更新ステップ
を備えることを特徴とするアクセス制御方法。
【請求項7】
機器に接続するとともに、前記機器を利用するアプリケーションを実行するコンピュータを、請求項1ないし2のいずれか1項に記載の処理装置として機能させるためのアクセス制御プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機器に接続するとともに、機器を利用するアプリケーションを実行する処理装置、アクセス制御システム、アクセス制御方法およびアクセス制御プログラムに関する。
【背景技術】
【0002】
近年の情報機器の発達に伴って、セキュリティ確保が問題になっている。例えば、アプリケーションによって利用されるコンピュータのリソースは、そのアプリケーションに必要な範囲に制限されることが好ましい。
【0003】
例えばUnix系のオペレーションシステムにおいて、任意アクセス制御(DAC:Discretion Access Control)が行われている。しかしながら任意アクセス制御では、権限設定ミスなどによる情報流出や脆弱性による管理者権限奪取などのセキュリティ面での問題があるので、この問題を解決するために、強制アクセス制御(MAC:Mandatory Access Control)が用いられる場合がある(例えば、非特許文献1参照)。
【0004】
強制アクセス制御は、OSへのシステムコールを全てフックし、予め定めたポリシーに基づいて、リソースへのアクセスの許可または拒否を判定する。強制アクセス制御においては、定めたポリシーに基づいたアクセス権限しか許可しない。従って、強制アクセス制御によれば、仮に攻撃者からアプリケーションの脆弱性によって予期せぬ問題が発生したとしても、ポリシーで規定されないアクセスは排除され、ポリシーで許可されていないリソースへのアクセスを防御することができる。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】C. Wright, “Linux Security Modules: General Security Support for the Linux Kernel,” Proceedings of the 11th USENIX Security Symposium, August 5-9, 2002.
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、非特許文献1に記載されたアクセス制御方法は、下位アドレスに展開されるシステム領域の保護を目的としているため、任意のアドレスに対してアクセス制御を行うことができない。具体的には、システム領域を保護するために、「0x0000FFFFより小さいアドレス帯域へのアクセスを規制する」と、制限対象のアドレス帯域のアドレスの上限値を設定する。従って、非特許文献1に記載された方法では、特定のアドレスに対してアクセス制限をかけることができない。
【0007】
また、アプリケーションが、メモリ上の特定のアドレスを介して、コンピュータに接続される機器を利用する。しかしながら、従来のアクセス制御方法においては、アドレス帯域のアドレスの上限値を設定するので、機器を利用する際に参照する特定のアドレスのみにアクセスを許可し、それ以外のアドレスへのアクセスを拒否するなど、適切にアクセスを制御することができない。その結果、アプリケーションの脆弱性に起因して、機器を利用する際に参照するアドレス以外のアドレスへのアクセスが許容され、セキュリティを担保できない可能性がある。
【0008】
従って本発明の目的は、機器を接続する処理装置において、機器を利用するアプリケーションによるアクセスを適切に制御することのできる処理装置、アクセス制御システム、アクセス制御方法およびアクセス制御プログラムを提供することである。
【課題を解決するための手段】
【0009】
上記課題を解決するために、本発明の第1の特徴は、機器に接続するとともに、機器を利用するアプリケーションを実行する処理装置に関する。ここでアプリケーションは、処理装置のメモリにアクセスして機器を利用する。第1の特徴に係る処理装置は、アプリケーションが機器を利用する際にアクセスするメモリ上のアドレスおよびアクセス種別を対応づけたポリシーデータを記憶する記憶装置と、アプリケーションによるメモリへのアクセスの試みが検知されると、アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、ポリシーデータに記憶されたアドレスおよびアクセス種別と一致するか否かを判定し、一致する場合にアクセスを許可し、一致しない場合にアクセスを拒否するアクセス制御手段を備える。
【0010】
ここでポリシーデータは、機器が処理装置に接続する際に用いられうるインタフェースの識別子に、インタフェースに対応するメモリ上のアドレスおよびアクセス種別を対応づけたデータであって、アクセス制御手段は、メモリへのアクセスの試みが検知されると、アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、ポリシーデータにおいて、機器が接続されたインタフェースに対応づけられたアドレスおよびアクセス種別と一致するか否かを判定しても良い。
【0011】
また処理装置は、ポリシー提供サーバに接続し、ポリシー提供サーバは、処理装置のための新たなポリシーデータを生成し、新たなポリシーデータを、処理装置に配信し、処理装置は、ポリシー提供サーバから新たなポリシーデータを取得して、記憶装置に記憶されたポリシーデータを、新たなポリシーデータに更新する更新手段を備えても良い。
【0012】
本発明の第2の特徴は、機器に接続するとともに、機器を利用するアプリケーションを実行する処理装置に用いられるアクセス制御方法に関する。ここでアプリケーションは、処理装置のメモリにアクセスして機器を利用する。第2の特徴に係るアクセス制御方法は、処理装置が、記憶装置に、アプリケーションが機器を利用する際にアクセスするメモリ上のアドレスおよびアクセス種別を対応づけたポリシーデータを記憶する記憶ステップと、処理装置が、アプリケーションによるメモリへのアクセスの試みを検知する検知ステップと、処理装置が、アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、ポリシーデータに記憶されたアドレスおよびアクセス種別と一致するか否かを判定し、一致する場合にアクセスを許可し、一致しない場合にアクセスを拒否する判定ステップを備える。
【0013】
ここでポリシーデータは、機器が処理装置に接続する際に用いられうるインタフェースの識別子に、インタフェースに対応するメモリ上のアドレスおよびアクセス種別を対応づけたデータであって、判定ステップは、アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、ポリシーデータにおいて、機器が接続されたインタフェースに対応づけられたアドレスおよびアクセス種別と一致するか否かを判定しても良い。
【0014】
また処理装置は、ポリシー提供サーバに接続し、ポリシー提供サーバは、処理装置のための新たなポリシーデータを生成し、新たなポリシーデータを、処理装置に配信し、アクセス制御方法は、ポリシー提供サーバから新たなポリシーデータを取得して、記憶装置に記憶されたポリシーデータを、新たなポリシーデータに更新する更新ステップを備えても良い。
【0015】
本発明の第3の特徴は、コンピュータを、本発明の第1の特徴に記載の処理装置として機能させるためのアクセス制御プログラムに関する。
【発明の効果】
【0016】
本発明によれば、機器を接続する処理装置において、機器を利用するアプリケーションによるアクセスを適切に制御することのできる処理装置、アクセス制御システム、アクセス制御方法およびアクセス制御プログラムを提供することができる。
【図面の簡単な説明】
【0017】
【図1】本発明の実施の形態に係る処理装置のハードウエア構成と機能ブロックを説明する図である。
【図2】本発明の実施の形態に係る処理装置の階層構造を説明する図である。
【図3】本発明の実施の形態に係る処理装置のメモリ構成の一例である。
【図4】本発明の実施の形態に係るポリシーデータのデータ構造とデータの一例を説明する図である。
【図5】本発明の実施の形態に係るアクセス制御方法を説明するフローチャートである。
【図6】本発明の変形例に係るアクセス制御システムのシステム構成を説明する図である。
【図7】本発明の変形例に係る処理装置のハードウエア構成と機能ブロックを説明する図である。
【図8】本発明の変形例に係るポリシー提供サーバのハードウエア構成と機能ブロックを説明する図である。
【図9】本発明の変形例に係る利用リソースデータの概念を説明する図である。
【図10】本発明の変形例に係るアドレスマップデータの概念を説明する図である。
【発明を実施するための形態】
【0018】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一または類似の部分には同一または類似の符号を付している。
【0019】
(実施の形態)図1を参照して、本発明の実施の形態に係る処理装置1を説明する。処理装置1は、記憶装置10、処理制御装置20、および機器インタフェース30を備える一般的なコンピュータである。ここで処理装置1は、パーソナルコンピュータやスマートフォンに限らず、例えば、カメラ等であっても良い。処理装置1は、このような一般的なコンピュータが、所定の機能を実現させるためのプログラムを実行することにより、処理制御装置20に、図1に示す各手段が実装される。
【0020】
処理装置1は、機器インタフェース30を介して、機器2に接続する。この機器2は、例えば、処理装置1で実行されるアプリケーションによって利用されるセンサやアクチュエーター等である。処理装置1は、少なくとも一つの機器2を接続すればよく、接続される機器2の数は問わない。
【0021】
機器インタフェース30は、例えば図2に示すように、機器2とのデータの入出力のインタフェースとなるGPIO(General Purpose Input/Output)である。機器インタフェース30は、GPIOに限らず、一般的なポートなどのインタフェースでも良いし、入力および出力のいずれかのみに用いられるインタフェースであっても良い。
【0022】
このような処理装置1において、アプリケーションは、処理装置1内のメモリにアクセスして機器2を利用する。アプリケーションは、機器2に直接アクセスするのではなく、機器2を利用するためにメモリに展開されたメモリ領域を介して、機器を利用する。ここで、機器2を利用するためのメモリ領域は、図3に示すように、0x000A0000などのアドレスで特定される。例えば、GPIO等のインタフェースを介して機器2が接続される場合、各GPIOについて、アプリケーションからアクセスされるメモリ領域のアドレスと、ReadまたはWriteなどのアクセス種別とが、予め定められている。アプリケーションは、予め定められたアドレスに対して、予め定められたアクセス種別でアクセスすることにより、GPIOを介して機器2を利用することができる。
【0023】
記憶装置10は、処理装置1で実行させるアプリケーションのプログラムや、オペレーションシステムのプログラムを記憶するとともに、ポリシーデータ11を記憶する。
【0024】
ポリシーデータ11は、アプリケーションが機器2を利用する際にアクセスするメモリ上のアドレスおよびアクセス種別を対応づけたデータである。ポリシーデータ11において特定される、機器2を利用するためのアドレスは、制御用レジスタのアドレスを特定可能な情報であればよく、物理アドレスであっても良いし、アドレス空間内の仮想アドレスであっても良い。
【0025】
ポリシーデータ11は、例えば図4に示すように、アクセス元のアプリケーションの識別子に、このアプリケーションに許可するリソースの情報、アクセス権限およびアクセス有効期限を対応づける。
【0026】
リソースの情報は、アクセス元のアプリケーションに許可されたリソースを特定する情報である。リソースの情報は、メモリ上のアドレスのみで特定されても良いし、インタフェースの識別子とこのインタフェースに対応するアドレスとで特定されても良い。インタフェースの識別子は、例えばGPIOやポートの識別子である。
【0027】
アクセス種別は、アクセス元のアプリケーションに許可されたリソースに対して許可されたアクセスの種別である。アクセス種別に、Readのみ、Writeのみ、またはReadおよびWriteの両方のうちの、いずれかが設定される。アクセス有効期限は、アクセス元のアプリケーションに許可されたリソースに対して、アクセス可能な期間を特定する情報が設定される。
【0028】
処理制御装置20は、アプリケーション実行手段21a、21bおよび21cと、アクセス制御手段22を備える。
【0029】
アプリケーション実行手段21a、21bおよび21cは、異なるアプリケーションA、アプリケーションBおよびアプリケーションCをそれぞれ実行する。各アプリケーションは、図2に示すように、ミドルウエアより上位のアプリケーションレイヤにおいて実行される。
【0030】
これに対しアクセス制御手段22は、図2に示すように、OSレイヤにおいて実行される。アクセス制御手段22は、検知手段23と判定手段24を備える。
【0031】
検知手段23は、アプリケーションがメモリを介して機器2を利用しようとする際に、アプリケーションによるメモリへのアクセスの試みを検知する。検知手段23は、システムコール機能などによって、アプリケーションがメモリを介して機器2を利用しようとする際にAPIが呼び出されることを検知し、判定手段24に通知する。
【0032】
判定手段24は、アプリケーションによるメモリへのアクセスの試みが検知されると、アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別が、ポリシーデータ11に記憶されたアドレスおよびアクセス種別と一致するか否かを判定する。判定手段24は、一致する場合にアクセスを許可し、一致しない場合にアクセスを拒否する。判定手段24は、図4に参照するポリシーデータ11を参照して、アプリケーションが利用しようとする機器2が接続されたGPIOに対応づけられたアドレスおよびアクセス種別が、アプリケーションがアクセスを試みたメモリ上のアドレスおよびアクセス種別と一致するか否かを判定しても良い。
【0033】
また判定手段24は、アドレスおよびアクセス種別のみならず、アクセス元のアプリケーションの識別子およびアクセス有効期限が、ポリシーデータ11で定めるポリシーに一致しているか否かを判定しても良い。
【0034】
本発明の実施の形態においてポリシーデータ11には、許可されるアクセスの条件が設定される。従って検知手段23が検知したアプリケーションによるアクセスがポリシーデータ11に反する場合、判定手段24は、そのアクセスを拒否し、アプリケーションに、ポリシーデータ11で許可されたアクセスのみを実行させるよう制御する。
【0035】
図5を参照して、本発明の実施の形態に係るアクセス制御手段22によるアクセス制御方法を説明する。
【0036】
まずステップS1において、アクセス制御手段22が、アプリケーションが機器2を利用するためにメモリへのアクセスを試みることを検知すると、ステップS2に進む。ステップS2においてアクセス制御手段22は、ポリシーデータ11から、ステップS1で検知されたアクセス元のアプリケーションに関するポリシーを抽出する。
【0037】
ステップS3においてアクセス制御手段22は、ステップS3においてポリシーデータ11から抽出されたポリシーと、ステップS1で検知されたアクセスとが一致するか否かが判定される。一致する場合、ステップS4においてアクセス制御手段22は、ステップS1で検知されたアクセスを許可し、アプリケーションにメモリへアクセスさせる。一方一致しない場合、ステップS5においてアクセス制御手段22は、ステップS1で検知されたアクセスを拒否し、アプリケーションにメモリへアクセスさせない。
【0038】
このように、本発明の実施の形態に係る処理装置1は、アプリケーションが処理装置1のメモリにアクセスして機器2を利用する場合に用いられるアドレスおよびアクセス種別を予め保持する。これにより、アプリケーションの脆弱性によって予期せぬ問題が発生したとしても、予め定めたアドレスおよびアクセス権限しか許可しない。従って、本発明の実施の形態に係る処理装置1によれば、アドレス単位でアクセス規制を実現することができるので、アプリケーションに、広いアドレス範囲へのアクセスを許可することなく、適切にアクセス制御を実行することができる。
【0039】
(変形例)本発明の実施の形態においては、ポリシーデータ11が予め記憶装置10に記憶される場合を説明したが、変形例においては、ポリシーデータ11が更新される場合を説明する。オペレーションシステムの更新等に伴って、アプリケーションが機器2を利用する際にアクセスするメモリ上のアドレスおよびアクセス種別が変更する場合がある。
【0040】
そこで変形例に係るアクセス制御システム5は、図6に示すように、通信ネットワークNを介して、ポリシー提供サーバ3と、第1の処理装置1a、第2の処理装置1bおよび第3の処理装置1cとが、相互に通信可能に接続する。
【0041】
図7を参照して、第1の処理装置1aを説明する。なお、第2の処理装置1bおよび第3の処理装置1cは、第1の処理装置1aと同様の構成を備える。
【0042】
変形例に係る第1の処理装置1aは、図1に示す実施の形態に係る処理装置1と比べて、更新手段25および通信制御装置40を備えている点が異なる。通信制御装置40は、第1の処理装置1aが通信ネットワークNに接続するためのインタフェースである。
【0043】
更新手段25は、ポリシー提供サーバ3から新たなポリシーデータを取得して、記憶装置10に記憶されたポリシーデータ11を、新たなポリシーデータに更新する。更新手段25は、例えば、定期的に、或いは、ポリシーデータ11で設定されるいずれかのアクセス有効期限が満了した際に、ポリシー提供サーバ3にポリシーデータ11の更新を問い合わせ、更新があったときに新たなポリシーデータをダウンロードして、記憶装置10に記憶する。
【0044】
ポリシー提供サーバ3は、第1の処理装置1a等のための新たなポリシーデータを生成し、新たなポリシーデータを、第1の処理装置1a等に配信する。
【0045】
図8に示すように、ポリシー提供サーバ3は、記憶装置50、処理制御装置60および通信制御装置70を備える一般的なコンピュータである。一般的なコンピュータが、所定の処理を実行するためのポリシー提供プログラムを実行することにより、図8に示す各手段が実装される。
【0046】
記憶装置50は、利用リソースデータ51、アドレスマップデータ52、第1の処理装置用ポリシーデータ53a、第2の処理装置用ポリシーデータ53b、第3の処理装置用ポリシーデータ53cを記憶する。
【0047】
第1の処理装置用ポリシーデータ53a、第2の処理装置用ポリシーデータ53bおよび第3の処理装置用ポリシーデータ53cはそれぞれ、第1の処理装置1a、第2の処理装置1bおよび第3の処理装置1cに配信されるポリシーデータである。
【0048】
利用リソースデータ51は、アプリケーションと、アプリケーションが利用するリソースを対応づけたデータである。アプリケーションが利用するリソースは、インタフェースの識別子およびアクセス種別によって特定される。図9に示すように利用リソースデータ51において、アプリケーションが利用するリソースとして、GPIOの識別子とアクセス種別を対応づけて記憶している。ここで、GPIOは例示に過ぎず、利用リソースデータ51は、インタフェースの識別子とアクセス種別を対応づければ良い。
【0049】
アドレスマップデータ52は、各処理装置におけるインタフェースの識別子と、そのインタフェースに割り当てられるアドレスを対応づけるデータである。図10に示すように、アドレスマップデータ52は、第1の処理装置1aにおけるGPIOの識別子と、そのGPIOに割り当てられるアドレスが対応づけるデータを含む。第2の処理装置1bおよび第3の処理装置1cについても、アドレスマップデータ52は、同様のデータを含む。
【0050】
処理制御装置60は、生成手段61および配信手段62を備える。
【0051】
生成手段61は、利用リソースデータ51およびアドレスマップデータ52から、図4に示すような、各処理装置用のポリシーデータを生成する。このとき生成手段61は、各レコードの有効期限、他のアクセス条件等を設定しても良い。
【0052】
配信手段62は、生成手段61が生成した各処理装置用のポリシーデータを、各装置に配信する。例えば配信手段62は、第1の処理装置1aから更新の問い合わせを受け、更新があったタイミングで、第1の処理装置用ポリシーデータ53aを第1の処理装置1aに配信する。
【0053】
このような変形例によれば、ポリシーデータ11の陳腐化を回避し、最新のポリシーデータ11に自動的に更新することができる。
【0054】
(その他の実施の形態)上記のように、本発明の実施の形態とその変形例によって記載したが、この開示の一部をなす論述および図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例および運用技術が明らかとなる。
【0055】
例えば、本発明の実施の形態においてポリシーデータ11は、許可されるアクセスの条件を設定する場合を説明するが、拒否されるアクセスの条件が設定されても良い。
【0056】
本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【符号の説明】
【0057】
1 処理装置2 機器
3 ポリシー提供サーバ
5 アクセス制御システム
10、50 記憶装置
11 ポリシーデータ
20、60 処理制御装置
21a、21b、21c アプリケーション実行手段
22 アクセス制御手段
23 検知手段
24 判定手段
25 更新手段
30 機器インタフェース
40、70 通信制御装置
51 利用リソースデータ
52 アドレスマップデータ
61 生成手段
62 配信手段
N 通信ネットワーク