アクセスコントロール装置および方法
【課題】デバイスの情報伝達力と周囲ユーザとに応じたデータ出力制御を可能とする。
【解決手段】デバイスの情報伝達力値を取得し、数量化された静的ポリシと、数量化されたアクションフラグと、デバイスの情報伝達力値を乗算する(ステップ11)。ステップ11で算出された各値を、あらかじめ任意に決めてある閾値と比較し、動的ポリシを決定する(ステップ13)。
【解決手段】デバイスの情報伝達力値を取得し、数量化された静的ポリシと、数量化されたアクションフラグと、デバイスの情報伝達力値を乗算する(ステップ11)。ステップ11で算出された各値を、あらかじめ任意に決めてある閾値と比較し、動的ポリシを決定する(ステップ13)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、出力するリソースとデバイス及び周囲の状況に応じてアクセスコントロールポリシを動的に算出し、それに従って制御を行なうことで、煩雑な設定を行なうこと無くユーザのプライバシーを保護する技術に属する。
【背景技術】
【0002】
アクセスコントロールポリシ(以降、単にポリシと記す)は、アクセスコントロールを行なう上でのルールを規定するものであり、基本的には「何が(Subject)」、「何に対して(Resource)」「何をするのを(Action)」「許可/禁止する(Effect)」という形で記述されている。このようなポリシの記述方式を定めたものには、XACML(非特許文献1)などがある。XACMLでは、1つのポリシの中に1つ以上のRuleが存在し、個々のRuleの中で上記のSubject、Resource、Action、Effectを指定する記述形式になっている。
【0003】
本発明は、上記ポリシの設定を簡易化するものであるが、従来の方法としては、非特許文献2のRole-Based Access Control(RBAC)のようにユーザをRoleと呼ばれる論理的な中間体でグループ化し、アクセスコントロールを行うための設定や制御を簡略化できる方法が存在している。
【0004】
また、非特許文献3は上記RBACを拡張し、環境条件に応じてRoleへのユーザとポリシの割当を動的に変更する方法を提案している。これにより、条件が変化するような環境においても、動的なポリシの決定を可能としている。
【非特許文献1】OASIS, eXtensive Acoess Cnotrol Markup Language Version 2.0 Committee draft 04,6 Dec 2004
【非特許文献2】R.S. Sandhu, E.J. Coyne, H.L. Feinstein and C.E. Youman,Role-Based Access Control Models, IEEE Computer,1996, 29(2), pp.38-47
【非特許文献3】Guangsen Zhang and Manish Parashar,Dynamic Context-aware Access Control for Grid Applications,IEEE 4th International Workshop on Grid Computing, 2003, pp.101-108
【発明の開示】
【発明が解決しようとする課題】
【0005】
家庭内には、そこで生活するユーザが個人で所有する機器やプライバシーに係わる情報などが存在する。上記家庭内で、ホームネットワークなどを利用したサービスを提供する場合、各ユーザの情報や機器などのリソースへのアクセスをコントロールし、プライバシーを保護する必要がある。
【0006】
そのためには、各ユーザのリソースに対するアクセスコントロールポリシを事前に詳細に設定しておく必要があるが、家庭などのようなユーザが日常的に生活するコミュニティでは、ユーザやリソースなどの環境が多様であるため、コミュニティに属するユーザ自身がポリシを決定する必要がある。
【0007】
しかし、家庭のようなユーザの日常生活に係わるコミュニティでは、煩雑なポリシの設定の負担に耐えられるユーザは一般的に少ないと考えられ、ポリシの設定に手間をかけられることを期待できない。従って、リソースに対するポリシを少ない労力で設定できる方法が必要である。
【0008】
また、実際の家庭のようなユーザが操作を行なう環境では、誰が何にアクセスするのを許可/禁止するか、という単純なポリシではプライバシーを守れない。現実の世界では、情報は何らかのデバイスによって出力されるため、情報が特定のユーザのみに伝達されるとは限らない。つまり、テレビの画面などでプライバシーに関わる情報を表示した場合、周囲にいる人にも情報が伝達され、プライバシーが侵害されてしまう。しかも、上記の周囲にいる人の位置やデバイスの位置などの環境条件は、刻々と変化する。
【0009】
従って、現実の家庭などの環境でプライバシーを保護するには、「リソースを、どのような状態の時に、どのようなデバイスを利用してアクセスを許可/禁止するか」という環境条件を考慮した様々なパターンに対してポリシを決定し、それに応じた適切な制御を行なう必要がある。しかし、上記の多くのパターンに対してユーザがポリシを設定するとなると、ポリシ設定の負荷が高くなってしまう。
【0010】
非特許文献2のRBACを利用すると、リソースに対するポリシを少ない労力で設定することが可能となるが、現実の家庭では上記のように、使用するデバイスや周囲にいる人などの環境条件に応じてポリシを変更する必要があるため、RBACでは決定できない。また、非特許文献3では、RBACを拡張して動的にポリシを変更できるが、環境条件に応じたポリシ変更方法のルールを設定する必要があり、ユーザの設定負荷が高くなってしまうという問題がある。
【0011】
本発明は、上記のような環境条件を考慮したポリシを、デバイスの種類やユーザの情報の受取り方を加味することで自動的に算出することで、ユーザに負担をかけることなくアクセスコントロールポリシを決定し、それに応じて適切に制御を行なうことを可能とすることを目的とする。
【0012】
より具体的には、第1の目的は、デバイスの情報伝達力と周囲ユーザとに応じたデータ出力制御を可能とすることである。また、第2の目的は、その具体的方法を提供することである。また、第3の目的は、データの出力が能動的なものかまたは受動的なものかの違いに応じたデータ出力制御を可能とすることである。また、第4の目的は、ユーザについての重みに応じたデータ出力制御を可能とすることである。また、第5の目的は、デバイスの場所についての重みに応じたデータ出力制御を可能とすることである。また、第6の目的は、実際の周囲ユーザが特定されていなくても、デバイスの情報伝達力と周囲ユーザとに応じたデータ出力制御を可能とすることである。
【課題を解決するための手段】
【0013】
本発明では、プログラムであるサービスが、リソースの一種である個人情報やスケジュールなどのプライバシーに関わるデータを、家庭内のユーザに対して提供することを前提とする。従って、リソースはサービスによって取得され、サービスはデバイスを介してユーザに対してリソースを出力する。
【0014】
本発明では、アクセスする主体はユーザであり、アクセスされる客体はスケジュール情報などのリソースとする。リソースの所有者は、上記ユーザと、リソースの組合せごとに、アクセスを許可するか禁止するかのポリシを設定する。
【0015】
本発明では、環境条件を考慮したポリシの決定については、後述するように、上記設定されたポリシに、利用するデバイスや、サービスの動作や、デバイスの周囲にいる人などを加味して、自動的に算出して決定する。
【0016】
まず、リソースの出力に利用するデバイスは、画像を表示するための画面や、音を出す為のスピーカなど、ユーザに情報を通知するためのいくつかの機能から成っている。この機能ごとに、情報を伝達する強さを決定し、デバイスの機能ごとに設定する。
【0017】
ユーザのリソースの受取り方には、ユーザが能動的にリソースを取得しようと操作した結果としてリソースを受取る場合と、サービスがユーザにリソースを通知した結果としてユーザが受動的にリソースを受取る場合があり、各サービスの動作について能動的か受動的かを決定する。
【0018】
本発明では、上記でユーザが決定したポリシに、上記の情報を伝達する強さと、上記の能動的な受取り方か受動的な受取り方か、を加味して計算することで、実際にリソースをデバイスから出力する際のポリシを動的に決定する。
【0019】
そして、決定したポリシを利用して制御を行なう際には、デバイスごとに出力が許可されるリソースを決定し、サービスは当該リソースを当該デバイスに出力する。
【0020】
また、ユーザの位置が取得できない場合は、デバイスの存在する場所の機能に応じて、周囲にいる人を決定することで、本発明を適用する。
【0021】
上記のように、本発明ではユーザが設定したポリシを基にして、リソースを出力するデバイスの種類やサービスの動作からポリシを自動的に算出し、出力デバイスの周囲にいる人に応じた適切な制御を行なうことで、ポリシ設定の負荷を増やすことなく、条件が変化する家庭のような環境においても、ユーザのプライバシーを保護できる。
【0022】
第1の本発明に係るアクセスコントロール装置は、1のデータと1のユーザの組のそれぞれにつき、その組のユーザへその組のデータが伝達されることについての許可または拒否を示す静的ポリシが記憶される静的ポリシ記憶手段と、いずれかのデータを出力しうるデバイスのそれぞれの情報伝達力値が記憶される情報伝達力値記憶手段と共に用いられ、ユーザである使用者と、その使用者への伝達が目的の1以上のデータと、そのデータのいずれかを出力しうる1以上のデバイスとが特定され、その各デバイスにつき、そのデバイスの周囲にいる使用者以外の1以上のユーザである周囲ユーザとが特定されているときに、1のデータと1の周囲ユーザの組のそれぞれにつき、その組に対応する静的ポリシを静的ポリシ記憶手段から取得する静的ポリシ取得手段と、当該各デバイスの情報伝達力値を情報伝達力値記憶手段から取得する情報伝達力値取得手段と、1のデータと1の情報伝達力値と1の静的ポリシの組のそれぞれにつき、その組の情報伝達力値および静的ポリシから動的ポリシを決定する動的ポリシ決定手段と、決定された動的ポリシを用いて、1のデータと1のデバイスの組のそれぞれにつき、その組のデータがその組のデバイスから出力されることを許可または拒否するデータ出力制御手段とを備える。
【0023】
第1の本発明によれば、1のデータと1の周囲ユーザの組のそれぞれにつき、その組に対応する静的ポリシを前記静的ポリシ記憶手段から取得する静的ポリシ取得手段と、当該各デバイスの情報伝達力値を前記情報伝達力値記憶手段から取得する情報伝達力値取得手段と、1のデータと1の情報伝達力値と1の静的ポリシの組のそれぞれにつき、その組の情報伝達力値および静的ポリシから動的ポリシを決定する動的ポリシ決定手段と、決定された動的ポリシを用いて、1のデータと1のデバイスの組のそれぞれにつき、その組のデータがその組のデバイスから出力されることを許可または拒否するデータ出力制御手段とを備えるので、デバイスの情報伝達力と周囲ユーザとに応じたデータ出力制御が可能となる。
【0024】
また、第2の本発明に係るアクセスコントロール装置は、さらに、データ出力制御手段は、1のデータと1のデバイスとからなる組のそれぞれにつき、その組のデバイスの情報伝達力値から決定された1つ以上の動的ポリシを1つの集約ポリシに集約し、各デバイスにつき、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシの合計数を計算し、当該合計数の中の最大のものに対応するデバイスを選択し、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシに対応するデータを選択し、当該データが当該デバイスから出力されることを許可することを特徴とする。
【0025】
第2の本発明によれば、データ出力制御手段は、1のデータと1のデバイスとからなる組のそれぞれにつき、その組のデバイスの情報伝達力値から決定された1つ以上の動的ポリシを1つの集約ポリシに集約し、各デバイスにつき、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシの合計数を計算し、当該合計数の中の最大のものに対応するデバイスを選択し、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシに対応するデータを選択し、当該データが当該デバイスから出力されることを許可するので、デバイスの情報伝達力と周囲ユーザとに応じたデータ出力制御が可能となる。
【0026】
また、第3の本発明に係るアクセスコントロール装置は、さらに、各データの出力が能動的なものかまたは受動的なものかを示すアクションフラグが記憶されるアクションフラグ記憶手段とともに用いられ、動的ポリシ決定手段は、アクションフラグ記憶手段からアクションフラグを取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該アクションフラグから動的ポリシを決定することを特徴とする。
【0027】
第3の本発明によれば、動的ポリシ決定手段は、アクションフラグ記憶手段からアクションフラグを取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該アクションフラグから動的ポリシを決定するので、データの出力が能動的なものかまたは受動的なものかの違いに応じたデータ出力制御が可能となる。
【0028】
また、第4の本発明に係るアクセスコントロール装置は、さらに、各ユーザについての重みが記憶される重み記憶手段とともに用いられ、動的ポリシ決定手段は、特定されたユーザについての重みを当該重み記憶手段から取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該静的ポリシに対応するユーザについて取得した重みから動的ポリシを決定することを特徴とする。
【0029】
第4の本発明によれば、動的ポリシ決定手段は、特定されたユーザについての重みを当該重み記憶手段から取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該静的ポリシに対応するユーザについて取得した重みから動的ポリシを決定するので、ユーザについての重みに応じたデータ出力制御が可能となる。
【0030】
また、第5の本発明に係るアクセスコントロール装置は、さらに、各場所についての重みが記憶される重み記憶手段とともに用いられ、動的ポリシ決定手段は、取得された情報伝達力値をもつデバイスが配置される場所についての重みを当該重み記憶手段から取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該情報伝達力値をもつデバイスが配置される場所について取得した重みから動的ポリシを決定することを特徴とする。
【0031】
第5の本発明によれば、動的ポリシ決定手段は、取得された情報伝達力値をもつデバイスが配置される場所についての重みを当該重み記憶手段から取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該情報伝達力値をもつデバイスが配置される場所について重みから動的ポリシを決定するので、場所についての重みに応じたデータ出力制御が可能となる。
【0032】
また、第6の本発明に係るアクセスコントロール装置は、さらに、特定されたデバイスが配置される場所にいることに予めされたユーザを周囲ユーザとすることを特徴とする。 第6の本発明によれば、特定されたデバイスが配置される場所にいることに予めされたユーザを周囲ユーザとするので、実際の周囲ユーザが特定されていなくても、デバイスの情報伝達力と周囲ユーザとに応じたデータ出力制御が可能となる。
【発明の効果】
【0033】
本発明により、ユーザが簡単な設定を行なうのみで、リソースや出力デバイスに応じて適切なポリシを算出し、それに従った制御を行うことで、環境条件の変化に応じたプライバシーを保護することが可能となる。また、ユーザの位置が取得できないような場合においても、場所の機能から存在するユーザを決定することで、本発明を適用することが可能となる。
【発明を実施するための最良の形態】
【0034】
本発明は、家庭内のようなコミュニティ内でプライバシーを守ることを想定している。想定する環境には、複数のユーザとリソースが存在している。ユーザは、家庭で生活している家族と、家庭外から訪れる客のような外部の人間が考えられる。ユーザの間には、例えば親子、家族と客、性別など、様々な関係が存在する。リソースは、家庭内でユーザが利用するもの全てが含まれ、スケジュールの情報やアドレス帳の情報などのデータと、テレビや電話やオーディオなどのデバイスが含まれる。各リソースには所有者が存在しており、個人的なスケジュールや個人の所有する携帯電話など、他のユーザからのアクセスを禁止して、プライバシーを守りたいものが存在する。データは、ホームサーバやパーソナルコンピュータなどの何らかのデータ記憶装置の中に記録されており、データを取得する際には上記デバイスを介して行なう。また、一部のデバイスは、ユーザとのインタフェースとなり、データはデバイスを介してユーザに出力されたり、ユーザから入力されたりする。本発明ではプライバシー保護を対象とするため、実施例では保護すべきリソースとしてデータを想定する。
【0035】
図1に、上記で想定している理想的な本発明を適用する環境を示す。上記家庭内には、様々なリソースを接続するホームネットワークが存在し、ユーザは家庭内のデバイスを介してデータを利用することが可能である。家庭内には、ホームネットワークの制御装置1が存在し、データやデバイスは制御装置1を中心として接続され、制御装置1によって適切にコントロールされる。
【0036】
制御装置1内には、オペレーションシステムなどが存在し、その上で動作するソフトウェアであるサービス(図1のスケジュールサービス及び電話サービス)が存在する。サービスは用途に応じて様々な種類のものが存在し、必要なリソースを適宜用いて、データをユーザの要求に応じてデバイスまで伝達したり、データを加工して付加情報を付けて出力したり、データへのアクセスをコントロールしたりする。また制御装置1内には、制御装置1からデータへアクセスする際に利用する、データを記録しているデバイスへのインタフェースとなるデバイスドライバ(図1のアドレス帳ドライバ及びスケジュールドライバ)や、データを入出力するデバイスへ制御装置からアクセスする際のインタフェースとなるデバイスドライバ(図1の電話ドライバ及びテレビドライバ)などのソフトウェアが存在する。
【0037】
上記サービスは、データを記録しているデバイスへのデバイスドライバ(図1のアドレス帳ドライバ及びスケジュールドライバ)を利用してデータを取得し、当該データを加工した後に、ユーザへのインタフェースとなるデバイスのデバイスドライバ(図1の電話ドライバ及びテレビドライバ)を利用して、結果をユーザに出力する。この際、サービスから出力先デバイスのデバイスドライバに処理後のデータを渡す部分(図1のスケジュールサービス、電話サービスと、電話ドライバ、テレビドライバの間)に、ソフトウェアであるアクセスコントローラが存在し、当該データをユーザに出力して良いかどうか判断する。従って、データの取得から出力までの間に、複数のサービスを経由することも可能であるが、サービス間のデータの移動についてはアクセスコントロールを行なわず、最後にユーザへ出力する段階でアクセスコントロールを行なう。
【0038】
図2に、本実施の形態の構成を示す。本実施の形態は、ユーザへのサービスを提供や、アクセスコントロールを行なう制御装置1と、データを蓄積する装置であるデータ記憶装置100と、ポリシを蓄積する装置であるポリシ記憶装置100内のポリシを記憶する部位であるポリシ記憶部201と、データを出力あるいは入力するデバイスDV1、DV2から成る。制御装置1が、その中でもアクセスコントローラAが、本発明のアクセスコントロール装置を構成し、ポリシ記憶部201が、本発明の静的ポリシ記憶手段を構成する。
【0039】
ポリシ記憶部201はポリシ記憶装置200内にあり、データごとに設定されたポリシをまとめてポリシ集合として記憶している。データに対するポリシは、データに付随する動作である「read」「write」等ごとに、各ユーザに該当する動作を「許可」するか、「禁止」するかを指定する。データに付随する動作は、「read」「write」「create」「delete」などが存在するが、任意の動作を指定して良い。本発明の理想的な実施例として、XACML(非特許文献1)に準拠してポリシを記述することとする。
【0040】
制御装置1は、ユーザにホームオートメーションやホームセキュリティなどを提供するプログラムにより構成されるサービスS1、S2などと、デバイスへの制御を仲介するデバイスドライバDD1、DD2、DD3などと、サービスからデバイスへのアクセスの許可/禁止の判断を行なうアクセスコントローラAから成る。デバイスドライバのうち出力を行なうものは、当該デバイスの情報を発信した際の伝達力の強さを示す情報伝達力値を記憶する。サービスは、ユーザから見た場合の動作のタイプである、アクションフラグを記憶する。
【0041】
データ記憶装置100は、データを蓄積しており、データが複数種類ある場合は、データ記憶装置100も複数存在する場合がある。各データは、種類に応じたデータ構造を持ち、複数のデータが集合してひとつのリソースを構成する場合もある。
【0042】
符号DV1やDV2を付したデバイスには、テレビやスピーカなどユーザに情報を出力するためのものと、リモコンやキーボードなどユーザが情報を入力するためのものがある。また、出力と入力の両方の機能を持つデバイスも存在する。上記デバイスは、制御装置1からデバイスドライバを介して、サービスによって利用される。
【0043】
また、上記の各装置を利用したサービスを提供されるユーザが存在する。ユーザは複数人存在しており、特に本実施の形態で想定している家庭においては、リソースの所有者と、前記所有者の家族が数名と、家庭以外の外部の客など、に種別される。ユーザの位置情報は、本発明の範囲外の既存の方法、例えばセンサーやRFIDタグなどによって、検知することとする。
【0044】
またユーザは、サービスの使用者と、サービスが利用するデバイスの周囲にいる人と、それ以外の人に分類される。使用者はサービスを受取るユーザであり、周囲にいる人は物理的に近くにいたためにサービスの影響を受けるユーザである。例えば、テレビを見ているユーザは使用者であり、当該テレビと同じ部屋にいてテレビが見えるユーザは周囲にいる人となる。
【0045】
また、上記以外にポリシ記憶部201のポリシを設定するポリシ設定装置300があっても良い。ポリシ設定装置300は、ユーザインタフェースを持ち、ユーザがポリシを設定する仕組みを提供する。
【0046】
図3に、ポリシ記憶部201に記録されるポリシの構成例を示す。ポリシは、1つ以上のRuleを持ち、Ruleはそれぞれ1つ以上のSubject、Resource、Actionという属性と、その組合せによって表現される操作を許可/禁止するEffectという属性を持つ。これは、XACML(非特許文献1)に準拠した形式である。
【0047】
図4に、ポリシ記憶部201に記録されているポリシをデータごとに集合とし、縦軸にデータの種類、横軸に対象とするユーザをとり、上記データとユーザの交点に該当するEffectを入力した、アクセスコントロールマトリクスの例を示す。データは、複数のデータを含むグループとして、ポリシを設定しても良く、図4の最下層の行の「グループ1」のようになる。また、ユーザも、複数のユーザを含むグループとして、ポリシを設定しても良く、図4の最も右の列の「家族」のようになる。
【0048】
図5に、情報の伝達力を表した情報伝達力値を出力用のデバイスごとに示す。情報を発信した際の伝達力の強さとは、例えば大型のテレビのディスプレイやスピーカなどの場合は、同じ部屋にいる人は全員当該情報を受取ることが出来るため、伝達力が強いと判断される。また、携帯電話のディスプレイや受話口などの場合は、当該デバイスのユーザしか情報を受取れないように出来るため、伝達力が弱いと判断される。デバイスは物理的な機器の単位ではなく、個々の機器が持つ機能単位に定義される。例えば、テレビの場合はディスプレイとスピーカに分けて、携帯電話の場合はディスプレイと受話口とスピーカに分けて、デバイスと定義される。そして、情報伝達力値は、図5に示すように、上記デバイス単位で設定される。
【0049】
図5に示す例では、情報伝達力値は、0〜1の間を取る値であり、情報を伝達する力が強いほど大きい値を取るものとしている。しかし、情報を伝達する強さを表現できるならば、整数でも、どのような形式でも構わない。また、値の大きさは、ユーザあるいはそれ以外のものが任意に決定して良い。
【0050】
図6に情報伝達力値の記録方法を示す。情報伝達力値は、図6(a)のように、デバイスドライバに記録しておいても良いし、あるいは別途情報伝達力値を記録する情報伝達力値記録装置2を作成し、図6(b)のようにまとめて記録しても良い。
【0051】
いずれにしても、情報伝達力値を記憶している部分が、本発明の情報伝達力値記憶手段を構成する。
【0052】
図7に、制御装置1内のサービスの動作についての分類方法を示す。サービスには、ユーザの要求を受けて行なわれる動作と、サービスが自発的にユーザに働きかける動作の2種類が存在する。ユーザの立場から見て分類し、前者を能動的アクション、後者を受動的アクションと呼ぶ。上記、能動的アクション及び受動的アクションは、サービスの動作から分類する。また同一のサービスの動作が、状況によって能動的アクションとして動作したり、受動的アクションとして動作する場合は、動作がユーザの要求を受けて開始されたのか、サービスが自発的に開始したのかを遡って確認し、能動的アクションか受動的アクションかを分類する。
【0053】
図8に、上記能動的アクション及び受動的アクションを示す、アクションフラグの記憶方法を示す。アクションフラグは、図8(a)のように、サービスに記録しておいても良いし、あるいは別途アクションフラグを記録する装置を作成し、図8(b)のように、その装置(アクションフラグ記録装置3)にまとめて記録しても良い。また上記のように、同一のサービスの動作が、状況によって能動的アクションとして動作したり、受動的アクションとして動作する場合は、状況に応じて適切なアクションフラグを設定する。
【0054】
図9に、あらかじめ設定しておくべき情報を示す。リソースの所有者は、図9(a)に例示する各ユーザと各リソースの間のアクセスコントロールポリシ(静的ポリシ)と、図9(b)に例示する各出力デバイスの情報伝達力値を、あらかじめ設定しておく必要がある。また、サービスの提供者あるいは各ユーザは、図9(c)に例示するアクションフラグを設定しておく必要がある。
【0055】
図10に、リソースをデバイスから出力する際のアクセスコントロールを決定するフロー図を示す。最初に制御装置1内のサービスは、自分が提供するサービスを受け取る使用者を決定する(図10、ステップ1)。サービスが能動的アクションの場合は、サービスを利用する際に、ユーザを識別するIDを入力させるなどして認証を行なう、あるいは各ユーザにタグを持たせて自動認識するなどして使用者を決定する。サービスが受動的アクションの場合は、サービス側から特定のユーザに対してサービスを提供するので、自ずと使用者は決定できる。
【0056】
次にサービスは、ユーザにサービスを提供する上で必要となるデータをデータ記憶装置100から取得し、サービスの目的に応じて加工等の必要な処理を行なう(図10、ステップ2)。この際、データは複数の可能性もあり、この場合のデータの集合をデータ群と表記する。また、データ群を取得したサービスから、使用者にデータ群を出力するサービスまで、複数のサービスが介在していても良い。各データには、対応するポリシ記憶部201の静的ポリシが対応しており、各データからその静的ポリシを取得することができる。データから静的ポリシを取得する方法は、例えばデータと静的ポリシをひとまとめにした構造体をサービス間で渡していく方法や、データにIDをつけておき、当該IDを基にポリシ記憶部に問い合わせて対応する静的ポリシを取得する方法などが考えられる。
【0057】
使用者にデータ群を出力するサービスは、上記処理後のデータ群を、どのデバイスドライバを用いてデバイスから使用者へ出力することが許可されるかを、アクセスコントローラAに問い合わせる。この際、まずサービスは、特定のデバイスを用いて出力する必要があるかを判断する(図10、ステップ3)。上記判断は、サービスごとに任意に決定して良い。
【0058】
特定のデバイスを利用する必要がある場合、サービスはその利用したいデバイスを選択する(図10、ステップ4)。利用したいデバイスは複数あっても良く、この場合の複数のデバイスをデバイス群と表記する。デバイスは、IDや名称などで識別される。そして次に、サービスは、そのサービスの動作に対応するアクションフラグを取得し、そのアクションフラグと、ステップ1で決定した使用者と、ステップ2で取得したデータ群と、ステップ4で選択したデバイス群を、アクセスコントローラAに通知して、出力を許可されるかを問い合わせる(図10、ステップ5)。
【0059】
一方、特定のデバイスを利用しない場合、サービスは、サービスの動作に対応するアクションフラグを取得し、そのアクションフラグと、ステップ1で決定した使用者と、ステップ2で取得したデータ群を、アクセスコントローラAに通知して、どのデバイスに出力が許可されるかを問い合わせる(図10、ステップ6)。アクセスコントローラAは、通知された使用者が利用可能なデバイスを選択する(図10、ステップ7)。デバイスは複数でもよく、使用者に情報が届くデバイス、あるいはデフォルトで決まっているデバイスなど、任意の仕組みで選択して良い。
【0060】
次に、デバイス群の各デバイスについて、その周囲にいる人を決定する(図10、ステップ8)。周囲にいる人の範囲は、音が聞こえる範囲にいるユーザ、画面から5m以内にいるユーザ、同じ部屋にいるユーザなど、任意に決定して良い。また、ユーザの位置をセンサーなどで取得できない場合の代替方法については、後述する。また、上記図10のステップ8をここでは行なわずに図10のステップ9に進み、図10のステップ8は、後述する図11のステップ6の位置に置き換えて実行しても良い。
【0061】
次に、アクセスコントローラAは、各データを出力する際の、各デバイスの周囲にいる人を考慮したアクセスコントロールポリシ(以降、動的ポリシと呼ぶ)を決定する(図10、ステップ9)。ここでは、データ群、デバイス群、アクションフラグ、使用者、周囲にいる人の情報を利用し、静的ポリシと組み合わせることで動的ポリシを決定する。詳細な方法は後述する。
【0062】
そして、アクセスコントローラAは、上記で決定された動的ポリシを集約し、集約したポリシ(集約ポリシ)が許可になるものが最も多いデバイスと、許可になるデータ群の組合せをサービスに通知する(図10、ステップ10)。詳細なデバイスとデータの選択方法は後述する。
【0063】
サービスは、上記で通知された当該デバイスのデバイスドライバを利用して、上記で通知された当該データ群を当該デバイスに出力する(図10、ステップ11)。
【0064】
図11に、データをデバイスから出力する際の、第一の動的ポリシの算出のフロー図を示す。当該フロー図は、図10、ステップ9〜ステップ10の、具体的なフロー図にあたる。以下のフロー図では、既にアクセスコントローラAは、出力したいデータ群、デバイス群、アクションフラグ、使用者、周囲にいる人を特定しているものとする。
【0065】
まず、アクセスコントローラAは、後述する使用者、データ、デバイス、および後述するフロー図で計算される値を記録するためのマトリクスを作成する(図11、ステップ1)。マトリクスを作成する場所は、アクセスコントローラA内でも、他の制御装置1内でも、任意に決めて良い。図12に、図11のステップ1で作成され、図11のステップ12で情報を追加されるマトリクスの例を示す。
【0066】
アクセスコントローラAは、受け取った、出力したいデータ群の各データを順番に後述する処理に回していく(図11、ステップ2)。次に、当該データに対する使用者の静的ポリシを参照し、使用者のアクセスが許可されているか確認する(図11、ステップ3)。許可されている場合は、次のステップに進む。禁止されている場合は、図11のステップ2に戻り、次のデータを選択する。
【0067】
図13(a)、(b)に具体的な例を示す。図13の例では、使用者がユーザAで、周囲にいる人がユーザB、ユーザC、ユーザDであり、図13(a)は、あらかじめポリシ記憶部201に設定されている静的ポリシである。この場合、図13(b)に示すように、ユーザAはデータ1およびデータ2については許可のため、次のステップ4に進み、データ3については禁止のためステップ2に戻る。
【0068】
使用者のアクセスが許可の場合は、デバイス群を全て未処理のものとする(図11、ステップ4)。そして、デバイス群の各デバイスを順番に後述の処理に回していく(図11、ステップ5)。次に、周囲にいる人(ユーザ)を全て未処理のものとする(図11、ステップ6)。そして、周囲にいる人の各人を順番に後述の処理に回していく(図11、ステップ7)。
【0069】
次に、当該データに対する当該周囲にいる人の静的ポリシを取得し、数量化する(図11、ステップ8)。ポリシの数量化は、本実施例では、許可を0、禁止を1としているが、後述する手順に差し支えがなければ任意に決定して良い。図11のステップ8が、本発明の静的ポリシ取得手段を構成する。
【0070】
次に、アクションフラグの値を数量化する(図11、ステップ9)。本実施例では、能動を0.7、受動を0.9としているが、後述する手順に差し支えがなければ、任意に決定して良い。また、ユーザが任意に調整できるようにしても良い。
【0071】
そして、当該デバイスの情報伝達力値を取得し(本発明の情報伝達力値取得手段を構成する)、上記数量化された静的ポリシと、数量化されたアクションフラグと、当該デバイスの情報伝達力値を乗算する(図11、ステップ11)。当該デバイスの情報伝達力値は、あらかじめ設定されており、本実施例では図13(c)に示すようになっているとする。本実施例では、許可を0、禁止を1、アクションフラグと情報伝達力値を0〜1の間の値としているため、静的ポリシが許可の場合は0のまま、禁止の場合は値が小さくなる。上記処理により、静的ポリシが禁止の場合は、アクションフラグが受動よりも能動の方が、情報伝達力値が弱い方が、より値が小さくなり許可に近づくことになる。図13(d)に具体的な算出例を示す。この例では、図13(a)の静的ポリシと図13(c)のデバイスの情報伝達力値を基に計算をしており、周囲にいる人はユーザB、ユーザC、ユーザDの3人である。図13(d)の各セルには対応する値が記述されており、上記図11、ステップ11の処理を行った結果は、図14(d)の値の列に示されるようになる。
【0072】
上記の値が算出されたら、図11のステップ1で作成したマトリクスに、上記当該データ、当該ユーザ、当該デバイス、当該算出された値を、当該のセルを追加して記録する(図11、ステップ12)。
【0073】
上記図11、ステップ2〜ステップ7までの繰り返しのフロー図が全て終了し、図11、ステップ2で未処理のデータが無くなったら、マトリクス内に記録されている上記図11、ステップ11で算出された各値を、あらかじめ任意に決めてある閾値と比較し、動的ポリシを決定する(図11、ステップ13:動的ポリシ決定手段に相当する)。本実施例では、閾値を0.5とし、上記算出された値が0.5以上のものを禁止のポリシ、0.5未満のものを許可のポリシとしているが、任意の適切な値として構わない。また、ユーザが任意に調整できるようにしても良い。図13(d)に具体的な例を示す。図13(d)の値の列を閾値と比較し、図13(d)の動的ポリシの列のようにポリシが決定される。
【0074】
次に、各データと各デバイスの組み合わせごとに、上記動的ポリシを集約する(図11、ステップ14)。つまり、各データと各デバイスの組み合わせの動的ポリシを1つの集約ポリシに集約する。当該動的ポリシの集合中に1つ以上禁止のポリシが存在する場合は、集約ポリシを禁止とする。全て許可の場合は、集約ポリシを許可とする。図13(e)に具体的な集約結果の例を示す。図13(d)の動的ポリシの列を基に、上記の手順で集約を行うと、図13(e)のようになり、デバイスAとデータ1の組み合わせの集約ポリシは禁止、デバイスAとデータ2の組み合わせの集約ポリシは禁止、デバイスBとデータ1の組み合わせの集約ポリシは許可、デバイスBとデータ2の組み合わせの集約ポリシは許可となる。
【0075】
次に、上記で集約した集約ポリシを基に、最も多くのデータについて集約ポリシが許可になるデバイスを選択する(図11、ステップ15)。つまり、許可を示す集約ポリシの合計数を計算し、当該合計数の中の最大のものに対応するデバイスを選択する。図13(e)の例では、デバイスAは許可の集約ポリシが0であり、デバイスBは許可の集約ポリシが2つのため、デバイスBが選択される。
【0076】
次に、図11のステップ15で選択したデバイスについて、集約ポリシが許可のデータを選択する(図11、ステップ16)。図13(e)の例では、図11のステップ15で選択されたデバイスBについて、集約ポリシが許可のものは、データ1とデータ2のため、当該2つのデータを選択する。
【0077】
最後に、アクセスコントローラAは、上記図11のステップ15およびステップ16で選択した当該デバイスと当該データを、問い合わせ元のサービスに通知する(図11、ステップ17)。図13(f)に、サービスに通知されるデバイスとデータの具体例を示す。本例では、選択されたデバイスがデバイスBであり、選択されたデータがデータ1およびデータ2のため、図13(f)のような内容がサービスに通知される。
【0078】
また、図11のステップ15で、集約ポリシが許可になる数が最も多いデバイスが複数存在する場合は、上記の許可になる数が同じになった複数のデバイスを選択しても良いし、情報伝達力の大きさや、周囲にいる人の数を基に、1つだけを選択するようにしても良い。そして、複数のデバイスを選択した場合は、図11のステップ16で、それぞれについて許可になるデータを選択し、図11のステップ17で、各デバイスについての組み合わせをサービスに通知しても良い。なお、ステップ14〜ステップ17が、本発明のデータ出力制御手段を構成する。
【0079】
図14に、上記図11のフロー図を利用した、アクションフラグが受動の場合のポリシの算出例を示す。アクションフラグが受動の場合、図11のステップ9でアクションフラグを数量化する場合、本実施例では0.9となり、能動の場合よりも値が大きくなる。このため、図14(d)に示すように、最終的に算出される値も大きくなり、結果として能動ポリシが禁止になる場合が増える。図13と比較して、同じデバイスBにおいても、図14ではデータ1もデータ2も図14(e)に示すように禁止になる。そして、図14(e)に示すように、より情報伝達力値の小さいデバイスCが、データ1とデータ2の両方について許可となり、選択されることになる。最終的には、図14(f)に示すような内容がサービスに通知される。
【0080】
図15に、上記図11のポリシ算出方法に、各ユーザに重み付けを行った第2の方法のフロー図を示す。図15の各ユーザに重み付けを行ったフロー図では、図11のフロー図と比べて、図15のステップ10の当該ユーザの重みを取得するステップが追加され、図15のステップ11の計算処理において、上記ユーザの重みも乗算する部分が異なる。上記以外の部分は図11のフロー図と同様である。
【0081】
図15のステップ10で取得する当該ユーザの重みは、あらかじめ設定されているものとし、図16(g)のようなテーブルが制御装置1内、あるいは任意の場所に記録されているものとする。ユーザの重みは任意の値に決めてよく、またユーザが任意に調整できるようにしても良い。いずれにしても、ユーザについての重みを記憶している部分が、本発明のユーザについての重み記憶手段を構成する。
【0082】
図15のステップ11では、上記当該ユーザの重みを、数量化された静的ポリシ、数量化されたアクションフラグ、当該デバイスの情報伝達力値に乗算することで、値を算出する。
【0083】
図16(d)に具体的な例を示す。図16(d)は、図13(d)などと比較して、重みの列が増えており、値はこの重みも乗算して算出される。このため、図13など例と同じユーザ群とデータ群とデバイス群を用いても、計算結果が異なる。従って、図15のステップ14の集約の結果、図16(e)に示すように、デバイスBとデータ1の組み合わせの集約ポリシも禁止となる。このため、最終的に図15のステップ17でサービスに通知される内容は、図16(f)のようになる。
【0084】
図15の、ユーザの重みを加えたフロー図により、例えば家族とそれ以外で守りたいプライバシーの強さが異なるような場合にも、効果的にプライバシーを保護することができる。
【0085】
図17に、上記図11のポリシ算出方法に、各場所の重み付けを行った第3の方法のフロー図を示す。図17の、各場所に重み付けを行ったフロー図では、図11のフロー図と比べて、図17のステップ10の当該場所の重みを取得するステップが追加され、図17のステップ11の計算処理において、上記場所の重みも乗算する部分が異なる。上記以外の部分は図11のフロー図と同様である。
【0086】
図17のステップ10で取得する当該場所の重みは、あらかじめ設定されているものとし、図18(g)のようなテーブルが制御装置1内、あるいは任意の場所に記録されているものとする。場所の重みは任意の値に決めてよく、またユーザが任意に調整できるようにしても良い。いずれにしても、場所の重みを記憶している部分が、本発明の場所についての重み記憶手段を構成する。場所の重みは、当該デバイスの存在する場所の重みである。場所の分類方法としては、例えば部屋などの単位で設定することが考えられ、任意に決めてよい。
【0087】
図17のステップ11では、上記当該場所の重みを、数量化された静的ポリシ、数量化されたアクションフラグ、当該デバイスの情報伝達力値に乗算することで、値を算出する。図18(d)に具体的な例を示す。図18(d)は、図13(d)などと比較して、重みの列が増えており、値はこの重みも乗算して算出される。従って、図17のステップ14の集約の結果、図18(e)に示すように、デバイスBとデータ1、デバイスBとデータ2の両方の組み合わせの集約ポリシが禁止となる。このため、最終的に図17のステップ17でサービスに通知される内容は、図18(f)のようになる。
【0088】
図17に示す場所の重みを加えたフロー図により、モバイル機器など部屋を移動するデバイスや、同種類のデバイスが異なる場所に配置されている場合についても、効果的にプライバシーを保護することが可能となる。
【0089】
なお、図15に示した第2の方法と、図17に示した第3の方法を組み合わせて使用しても良い。
【0090】
本発明は、全てのユーザが各ユーザを識別し位置を検出するためのRFIDタグなどを持ち歩いているか、あるいはあらゆる場所にユーザを識別するセンサーなどが設置してある場合には、上記の方法で動作することができる。しかし、実際には各ユーザを識別した上で位置を検出することは困難な場合もあり得る。そこで次に、ユーザの位置を検出できない場合の代替方法を示す。
【0091】
上記代替方法では、各ユーザを直接検出するのではなく、デバイスの場所に応じて周囲にいる人を決定する。家庭の場合、場所は主に部屋によって決定され、部屋にはそれぞれ固有の機能があり、利用するユーザもある程度限定することができる。本代替方法は、上記の特徴を利用し、あらかじめ場所に応じて周囲にいる人を決定するというものである。この場合、デバイスに場所を対応づけ、その場所にユーザを対応づけ、かかる対応づけをデバイス、場所、ユーザのIDなどにより記憶しておけばよい。
【0092】
図19に本代替方法の例を示す。図19には、使用者の自室、リビング、風呂、洗面所、玄関、廊下などが存在し、それぞれ周囲にいる人の存在確率が異なる。例えば、使用者の自室および風呂などは、ほぼ常に周囲の人は存在せず、自分のみの可能性が高い。一方、リビングや玄関や廊下などは、使用者以外の周囲の人が存在する可能性が高い。上記の各場所における周囲にいる人の存在確率を、各デバイスの位置と結びつけ、図10、ステップ8で出力する各デバイスの周囲にいる人を決定する際に利用する。すなわち、家庭の場合を考えると、出力するデバイスがリビングにある場合は、周囲の人として家族全員を選択し、出力するデバイスが自室にある場合は、周囲の人はいないものとして選択しない。上記の方法により、例え各ユーザの位置が取得できない場合においても、周囲にいる人を出力するデバイスの場所に応じて決定して、本発明を適用することが可能となる。
【0093】
またさらに、本発明を適用する場所が家庭の場合、家族かそれ以外の外部から来た客かを識別し、図15に示す本発明第2の方法を適用したい場合がある。この場合、家族とそれ以外の外部からの客でユーザの重みを変えたくても、各ユーザを識別できない限り本発明の第2の方法を適用することができない。この場合は、図19に示す来客モードボタンを玄関などに設置し、家族以外の外部の客が来た場合は、上記ボタンを押すことで、図10、ステップ8で周囲にいる人を選択する際に、家族以外の外部の客もいるものとして選択する。このようにすることで、家庭において家族以外の外部から来た客の存在に応じて、本発明を適用することが可能となる。
【0094】
なお、アクセスコントローラAとしてコンピュータを機能させるコンピュータプログラムは、半導体メモリ、磁気ディスク、光ディスク、光磁気ディスク、磁気テープなどのコンピュータ読み取り可能な記録媒体に格納したり、インターネットなどの通信網を介して伝送させて、広く流通させることができる。
【図面の簡単な説明】
【0095】
【図1】本発明を適用する理想的な環境
【図2】本実施の形態の構成図
【図3】XACMLに準拠したポリシの構成例
【図4】ポリシ記憶部のポリシのアクセスコントロールマトリクスの例
【図5】デバイスの情報伝達力値の例
【図6】デバイスの情報伝達力値の記録方法の構成図
【図7】サービスの動作の分類
【図8】アクションフラグの記録方法の構成例
【図9】あらかじめ設定しておくべき情報
【図10】リソースをデバイスから出力する際のアクセスコントロールを決定するフロー図
【図11】アクセスコントローラにおけるポリシの算出のフロー図
【図12】図11等のフロー図で利用するマトリクスの例
【図13】アクションフラグが能動の場合のポリシの算出例
【図14】アクションフラグが受動の場合のポリシの算出例
【図15】ユーザに重み付けを行なったポリシの算出のフロー図
【図16】ユーザの重み付けを加えたポリシの算出例
【図17】場所に重み付けを行なったポリシの算出のフロー図
【図18】場所の重み付けを加えたポリシの算出例
【図19】ユーザの位置が取得できない場合の代替方法
【符号の説明】
【0096】
1 制御装置
2 情報伝達力値記録装置
3 アクションフラグ記録装置
100 データ記憶装置
200 ポリシ記憶装置
300 ポリシ設定装置
A アクセスコントローラ
DD1、DD2、DD3 デバイスドライバ
DV1、DV2 デバイス
S1、S2 サービス
【技術分野】
【0001】
本発明は、出力するリソースとデバイス及び周囲の状況に応じてアクセスコントロールポリシを動的に算出し、それに従って制御を行なうことで、煩雑な設定を行なうこと無くユーザのプライバシーを保護する技術に属する。
【背景技術】
【0002】
アクセスコントロールポリシ(以降、単にポリシと記す)は、アクセスコントロールを行なう上でのルールを規定するものであり、基本的には「何が(Subject)」、「何に対して(Resource)」「何をするのを(Action)」「許可/禁止する(Effect)」という形で記述されている。このようなポリシの記述方式を定めたものには、XACML(非特許文献1)などがある。XACMLでは、1つのポリシの中に1つ以上のRuleが存在し、個々のRuleの中で上記のSubject、Resource、Action、Effectを指定する記述形式になっている。
【0003】
本発明は、上記ポリシの設定を簡易化するものであるが、従来の方法としては、非特許文献2のRole-Based Access Control(RBAC)のようにユーザをRoleと呼ばれる論理的な中間体でグループ化し、アクセスコントロールを行うための設定や制御を簡略化できる方法が存在している。
【0004】
また、非特許文献3は上記RBACを拡張し、環境条件に応じてRoleへのユーザとポリシの割当を動的に変更する方法を提案している。これにより、条件が変化するような環境においても、動的なポリシの決定を可能としている。
【非特許文献1】OASIS, eXtensive Acoess Cnotrol Markup Language Version 2.0 Committee draft 04,6 Dec 2004
【非特許文献2】R.S. Sandhu, E.J. Coyne, H.L. Feinstein and C.E. Youman,Role-Based Access Control Models, IEEE Computer,1996, 29(2), pp.38-47
【非特許文献3】Guangsen Zhang and Manish Parashar,Dynamic Context-aware Access Control for Grid Applications,IEEE 4th International Workshop on Grid Computing, 2003, pp.101-108
【発明の開示】
【発明が解決しようとする課題】
【0005】
家庭内には、そこで生活するユーザが個人で所有する機器やプライバシーに係わる情報などが存在する。上記家庭内で、ホームネットワークなどを利用したサービスを提供する場合、各ユーザの情報や機器などのリソースへのアクセスをコントロールし、プライバシーを保護する必要がある。
【0006】
そのためには、各ユーザのリソースに対するアクセスコントロールポリシを事前に詳細に設定しておく必要があるが、家庭などのようなユーザが日常的に生活するコミュニティでは、ユーザやリソースなどの環境が多様であるため、コミュニティに属するユーザ自身がポリシを決定する必要がある。
【0007】
しかし、家庭のようなユーザの日常生活に係わるコミュニティでは、煩雑なポリシの設定の負担に耐えられるユーザは一般的に少ないと考えられ、ポリシの設定に手間をかけられることを期待できない。従って、リソースに対するポリシを少ない労力で設定できる方法が必要である。
【0008】
また、実際の家庭のようなユーザが操作を行なう環境では、誰が何にアクセスするのを許可/禁止するか、という単純なポリシではプライバシーを守れない。現実の世界では、情報は何らかのデバイスによって出力されるため、情報が特定のユーザのみに伝達されるとは限らない。つまり、テレビの画面などでプライバシーに関わる情報を表示した場合、周囲にいる人にも情報が伝達され、プライバシーが侵害されてしまう。しかも、上記の周囲にいる人の位置やデバイスの位置などの環境条件は、刻々と変化する。
【0009】
従って、現実の家庭などの環境でプライバシーを保護するには、「リソースを、どのような状態の時に、どのようなデバイスを利用してアクセスを許可/禁止するか」という環境条件を考慮した様々なパターンに対してポリシを決定し、それに応じた適切な制御を行なう必要がある。しかし、上記の多くのパターンに対してユーザがポリシを設定するとなると、ポリシ設定の負荷が高くなってしまう。
【0010】
非特許文献2のRBACを利用すると、リソースに対するポリシを少ない労力で設定することが可能となるが、現実の家庭では上記のように、使用するデバイスや周囲にいる人などの環境条件に応じてポリシを変更する必要があるため、RBACでは決定できない。また、非特許文献3では、RBACを拡張して動的にポリシを変更できるが、環境条件に応じたポリシ変更方法のルールを設定する必要があり、ユーザの設定負荷が高くなってしまうという問題がある。
【0011】
本発明は、上記のような環境条件を考慮したポリシを、デバイスの種類やユーザの情報の受取り方を加味することで自動的に算出することで、ユーザに負担をかけることなくアクセスコントロールポリシを決定し、それに応じて適切に制御を行なうことを可能とすることを目的とする。
【0012】
より具体的には、第1の目的は、デバイスの情報伝達力と周囲ユーザとに応じたデータ出力制御を可能とすることである。また、第2の目的は、その具体的方法を提供することである。また、第3の目的は、データの出力が能動的なものかまたは受動的なものかの違いに応じたデータ出力制御を可能とすることである。また、第4の目的は、ユーザについての重みに応じたデータ出力制御を可能とすることである。また、第5の目的は、デバイスの場所についての重みに応じたデータ出力制御を可能とすることである。また、第6の目的は、実際の周囲ユーザが特定されていなくても、デバイスの情報伝達力と周囲ユーザとに応じたデータ出力制御を可能とすることである。
【課題を解決するための手段】
【0013】
本発明では、プログラムであるサービスが、リソースの一種である個人情報やスケジュールなどのプライバシーに関わるデータを、家庭内のユーザに対して提供することを前提とする。従って、リソースはサービスによって取得され、サービスはデバイスを介してユーザに対してリソースを出力する。
【0014】
本発明では、アクセスする主体はユーザであり、アクセスされる客体はスケジュール情報などのリソースとする。リソースの所有者は、上記ユーザと、リソースの組合せごとに、アクセスを許可するか禁止するかのポリシを設定する。
【0015】
本発明では、環境条件を考慮したポリシの決定については、後述するように、上記設定されたポリシに、利用するデバイスや、サービスの動作や、デバイスの周囲にいる人などを加味して、自動的に算出して決定する。
【0016】
まず、リソースの出力に利用するデバイスは、画像を表示するための画面や、音を出す為のスピーカなど、ユーザに情報を通知するためのいくつかの機能から成っている。この機能ごとに、情報を伝達する強さを決定し、デバイスの機能ごとに設定する。
【0017】
ユーザのリソースの受取り方には、ユーザが能動的にリソースを取得しようと操作した結果としてリソースを受取る場合と、サービスがユーザにリソースを通知した結果としてユーザが受動的にリソースを受取る場合があり、各サービスの動作について能動的か受動的かを決定する。
【0018】
本発明では、上記でユーザが決定したポリシに、上記の情報を伝達する強さと、上記の能動的な受取り方か受動的な受取り方か、を加味して計算することで、実際にリソースをデバイスから出力する際のポリシを動的に決定する。
【0019】
そして、決定したポリシを利用して制御を行なう際には、デバイスごとに出力が許可されるリソースを決定し、サービスは当該リソースを当該デバイスに出力する。
【0020】
また、ユーザの位置が取得できない場合は、デバイスの存在する場所の機能に応じて、周囲にいる人を決定することで、本発明を適用する。
【0021】
上記のように、本発明ではユーザが設定したポリシを基にして、リソースを出力するデバイスの種類やサービスの動作からポリシを自動的に算出し、出力デバイスの周囲にいる人に応じた適切な制御を行なうことで、ポリシ設定の負荷を増やすことなく、条件が変化する家庭のような環境においても、ユーザのプライバシーを保護できる。
【0022】
第1の本発明に係るアクセスコントロール装置は、1のデータと1のユーザの組のそれぞれにつき、その組のユーザへその組のデータが伝達されることについての許可または拒否を示す静的ポリシが記憶される静的ポリシ記憶手段と、いずれかのデータを出力しうるデバイスのそれぞれの情報伝達力値が記憶される情報伝達力値記憶手段と共に用いられ、ユーザである使用者と、その使用者への伝達が目的の1以上のデータと、そのデータのいずれかを出力しうる1以上のデバイスとが特定され、その各デバイスにつき、そのデバイスの周囲にいる使用者以外の1以上のユーザである周囲ユーザとが特定されているときに、1のデータと1の周囲ユーザの組のそれぞれにつき、その組に対応する静的ポリシを静的ポリシ記憶手段から取得する静的ポリシ取得手段と、当該各デバイスの情報伝達力値を情報伝達力値記憶手段から取得する情報伝達力値取得手段と、1のデータと1の情報伝達力値と1の静的ポリシの組のそれぞれにつき、その組の情報伝達力値および静的ポリシから動的ポリシを決定する動的ポリシ決定手段と、決定された動的ポリシを用いて、1のデータと1のデバイスの組のそれぞれにつき、その組のデータがその組のデバイスから出力されることを許可または拒否するデータ出力制御手段とを備える。
【0023】
第1の本発明によれば、1のデータと1の周囲ユーザの組のそれぞれにつき、その組に対応する静的ポリシを前記静的ポリシ記憶手段から取得する静的ポリシ取得手段と、当該各デバイスの情報伝達力値を前記情報伝達力値記憶手段から取得する情報伝達力値取得手段と、1のデータと1の情報伝達力値と1の静的ポリシの組のそれぞれにつき、その組の情報伝達力値および静的ポリシから動的ポリシを決定する動的ポリシ決定手段と、決定された動的ポリシを用いて、1のデータと1のデバイスの組のそれぞれにつき、その組のデータがその組のデバイスから出力されることを許可または拒否するデータ出力制御手段とを備えるので、デバイスの情報伝達力と周囲ユーザとに応じたデータ出力制御が可能となる。
【0024】
また、第2の本発明に係るアクセスコントロール装置は、さらに、データ出力制御手段は、1のデータと1のデバイスとからなる組のそれぞれにつき、その組のデバイスの情報伝達力値から決定された1つ以上の動的ポリシを1つの集約ポリシに集約し、各デバイスにつき、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシの合計数を計算し、当該合計数の中の最大のものに対応するデバイスを選択し、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシに対応するデータを選択し、当該データが当該デバイスから出力されることを許可することを特徴とする。
【0025】
第2の本発明によれば、データ出力制御手段は、1のデータと1のデバイスとからなる組のそれぞれにつき、その組のデバイスの情報伝達力値から決定された1つ以上の動的ポリシを1つの集約ポリシに集約し、各デバイスにつき、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシの合計数を計算し、当該合計数の中の最大のものに対応するデバイスを選択し、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシに対応するデータを選択し、当該データが当該デバイスから出力されることを許可するので、デバイスの情報伝達力と周囲ユーザとに応じたデータ出力制御が可能となる。
【0026】
また、第3の本発明に係るアクセスコントロール装置は、さらに、各データの出力が能動的なものかまたは受動的なものかを示すアクションフラグが記憶されるアクションフラグ記憶手段とともに用いられ、動的ポリシ決定手段は、アクションフラグ記憶手段からアクションフラグを取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該アクションフラグから動的ポリシを決定することを特徴とする。
【0027】
第3の本発明によれば、動的ポリシ決定手段は、アクションフラグ記憶手段からアクションフラグを取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該アクションフラグから動的ポリシを決定するので、データの出力が能動的なものかまたは受動的なものかの違いに応じたデータ出力制御が可能となる。
【0028】
また、第4の本発明に係るアクセスコントロール装置は、さらに、各ユーザについての重みが記憶される重み記憶手段とともに用いられ、動的ポリシ決定手段は、特定されたユーザについての重みを当該重み記憶手段から取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該静的ポリシに対応するユーザについて取得した重みから動的ポリシを決定することを特徴とする。
【0029】
第4の本発明によれば、動的ポリシ決定手段は、特定されたユーザについての重みを当該重み記憶手段から取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該静的ポリシに対応するユーザについて取得した重みから動的ポリシを決定するので、ユーザについての重みに応じたデータ出力制御が可能となる。
【0030】
また、第5の本発明に係るアクセスコントロール装置は、さらに、各場所についての重みが記憶される重み記憶手段とともに用いられ、動的ポリシ決定手段は、取得された情報伝達力値をもつデバイスが配置される場所についての重みを当該重み記憶手段から取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該情報伝達力値をもつデバイスが配置される場所について取得した重みから動的ポリシを決定することを特徴とする。
【0031】
第5の本発明によれば、動的ポリシ決定手段は、取得された情報伝達力値をもつデバイスが配置される場所についての重みを当該重み記憶手段から取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該情報伝達力値をもつデバイスが配置される場所について重みから動的ポリシを決定するので、場所についての重みに応じたデータ出力制御が可能となる。
【0032】
また、第6の本発明に係るアクセスコントロール装置は、さらに、特定されたデバイスが配置される場所にいることに予めされたユーザを周囲ユーザとすることを特徴とする。 第6の本発明によれば、特定されたデバイスが配置される場所にいることに予めされたユーザを周囲ユーザとするので、実際の周囲ユーザが特定されていなくても、デバイスの情報伝達力と周囲ユーザとに応じたデータ出力制御が可能となる。
【発明の効果】
【0033】
本発明により、ユーザが簡単な設定を行なうのみで、リソースや出力デバイスに応じて適切なポリシを算出し、それに従った制御を行うことで、環境条件の変化に応じたプライバシーを保護することが可能となる。また、ユーザの位置が取得できないような場合においても、場所の機能から存在するユーザを決定することで、本発明を適用することが可能となる。
【発明を実施するための最良の形態】
【0034】
本発明は、家庭内のようなコミュニティ内でプライバシーを守ることを想定している。想定する環境には、複数のユーザとリソースが存在している。ユーザは、家庭で生活している家族と、家庭外から訪れる客のような外部の人間が考えられる。ユーザの間には、例えば親子、家族と客、性別など、様々な関係が存在する。リソースは、家庭内でユーザが利用するもの全てが含まれ、スケジュールの情報やアドレス帳の情報などのデータと、テレビや電話やオーディオなどのデバイスが含まれる。各リソースには所有者が存在しており、個人的なスケジュールや個人の所有する携帯電話など、他のユーザからのアクセスを禁止して、プライバシーを守りたいものが存在する。データは、ホームサーバやパーソナルコンピュータなどの何らかのデータ記憶装置の中に記録されており、データを取得する際には上記デバイスを介して行なう。また、一部のデバイスは、ユーザとのインタフェースとなり、データはデバイスを介してユーザに出力されたり、ユーザから入力されたりする。本発明ではプライバシー保護を対象とするため、実施例では保護すべきリソースとしてデータを想定する。
【0035】
図1に、上記で想定している理想的な本発明を適用する環境を示す。上記家庭内には、様々なリソースを接続するホームネットワークが存在し、ユーザは家庭内のデバイスを介してデータを利用することが可能である。家庭内には、ホームネットワークの制御装置1が存在し、データやデバイスは制御装置1を中心として接続され、制御装置1によって適切にコントロールされる。
【0036】
制御装置1内には、オペレーションシステムなどが存在し、その上で動作するソフトウェアであるサービス(図1のスケジュールサービス及び電話サービス)が存在する。サービスは用途に応じて様々な種類のものが存在し、必要なリソースを適宜用いて、データをユーザの要求に応じてデバイスまで伝達したり、データを加工して付加情報を付けて出力したり、データへのアクセスをコントロールしたりする。また制御装置1内には、制御装置1からデータへアクセスする際に利用する、データを記録しているデバイスへのインタフェースとなるデバイスドライバ(図1のアドレス帳ドライバ及びスケジュールドライバ)や、データを入出力するデバイスへ制御装置からアクセスする際のインタフェースとなるデバイスドライバ(図1の電話ドライバ及びテレビドライバ)などのソフトウェアが存在する。
【0037】
上記サービスは、データを記録しているデバイスへのデバイスドライバ(図1のアドレス帳ドライバ及びスケジュールドライバ)を利用してデータを取得し、当該データを加工した後に、ユーザへのインタフェースとなるデバイスのデバイスドライバ(図1の電話ドライバ及びテレビドライバ)を利用して、結果をユーザに出力する。この際、サービスから出力先デバイスのデバイスドライバに処理後のデータを渡す部分(図1のスケジュールサービス、電話サービスと、電話ドライバ、テレビドライバの間)に、ソフトウェアであるアクセスコントローラが存在し、当該データをユーザに出力して良いかどうか判断する。従って、データの取得から出力までの間に、複数のサービスを経由することも可能であるが、サービス間のデータの移動についてはアクセスコントロールを行なわず、最後にユーザへ出力する段階でアクセスコントロールを行なう。
【0038】
図2に、本実施の形態の構成を示す。本実施の形態は、ユーザへのサービスを提供や、アクセスコントロールを行なう制御装置1と、データを蓄積する装置であるデータ記憶装置100と、ポリシを蓄積する装置であるポリシ記憶装置100内のポリシを記憶する部位であるポリシ記憶部201と、データを出力あるいは入力するデバイスDV1、DV2から成る。制御装置1が、その中でもアクセスコントローラAが、本発明のアクセスコントロール装置を構成し、ポリシ記憶部201が、本発明の静的ポリシ記憶手段を構成する。
【0039】
ポリシ記憶部201はポリシ記憶装置200内にあり、データごとに設定されたポリシをまとめてポリシ集合として記憶している。データに対するポリシは、データに付随する動作である「read」「write」等ごとに、各ユーザに該当する動作を「許可」するか、「禁止」するかを指定する。データに付随する動作は、「read」「write」「create」「delete」などが存在するが、任意の動作を指定して良い。本発明の理想的な実施例として、XACML(非特許文献1)に準拠してポリシを記述することとする。
【0040】
制御装置1は、ユーザにホームオートメーションやホームセキュリティなどを提供するプログラムにより構成されるサービスS1、S2などと、デバイスへの制御を仲介するデバイスドライバDD1、DD2、DD3などと、サービスからデバイスへのアクセスの許可/禁止の判断を行なうアクセスコントローラAから成る。デバイスドライバのうち出力を行なうものは、当該デバイスの情報を発信した際の伝達力の強さを示す情報伝達力値を記憶する。サービスは、ユーザから見た場合の動作のタイプである、アクションフラグを記憶する。
【0041】
データ記憶装置100は、データを蓄積しており、データが複数種類ある場合は、データ記憶装置100も複数存在する場合がある。各データは、種類に応じたデータ構造を持ち、複数のデータが集合してひとつのリソースを構成する場合もある。
【0042】
符号DV1やDV2を付したデバイスには、テレビやスピーカなどユーザに情報を出力するためのものと、リモコンやキーボードなどユーザが情報を入力するためのものがある。また、出力と入力の両方の機能を持つデバイスも存在する。上記デバイスは、制御装置1からデバイスドライバを介して、サービスによって利用される。
【0043】
また、上記の各装置を利用したサービスを提供されるユーザが存在する。ユーザは複数人存在しており、特に本実施の形態で想定している家庭においては、リソースの所有者と、前記所有者の家族が数名と、家庭以外の外部の客など、に種別される。ユーザの位置情報は、本発明の範囲外の既存の方法、例えばセンサーやRFIDタグなどによって、検知することとする。
【0044】
またユーザは、サービスの使用者と、サービスが利用するデバイスの周囲にいる人と、それ以外の人に分類される。使用者はサービスを受取るユーザであり、周囲にいる人は物理的に近くにいたためにサービスの影響を受けるユーザである。例えば、テレビを見ているユーザは使用者であり、当該テレビと同じ部屋にいてテレビが見えるユーザは周囲にいる人となる。
【0045】
また、上記以外にポリシ記憶部201のポリシを設定するポリシ設定装置300があっても良い。ポリシ設定装置300は、ユーザインタフェースを持ち、ユーザがポリシを設定する仕組みを提供する。
【0046】
図3に、ポリシ記憶部201に記録されるポリシの構成例を示す。ポリシは、1つ以上のRuleを持ち、Ruleはそれぞれ1つ以上のSubject、Resource、Actionという属性と、その組合せによって表現される操作を許可/禁止するEffectという属性を持つ。これは、XACML(非特許文献1)に準拠した形式である。
【0047】
図4に、ポリシ記憶部201に記録されているポリシをデータごとに集合とし、縦軸にデータの種類、横軸に対象とするユーザをとり、上記データとユーザの交点に該当するEffectを入力した、アクセスコントロールマトリクスの例を示す。データは、複数のデータを含むグループとして、ポリシを設定しても良く、図4の最下層の行の「グループ1」のようになる。また、ユーザも、複数のユーザを含むグループとして、ポリシを設定しても良く、図4の最も右の列の「家族」のようになる。
【0048】
図5に、情報の伝達力を表した情報伝達力値を出力用のデバイスごとに示す。情報を発信した際の伝達力の強さとは、例えば大型のテレビのディスプレイやスピーカなどの場合は、同じ部屋にいる人は全員当該情報を受取ることが出来るため、伝達力が強いと判断される。また、携帯電話のディスプレイや受話口などの場合は、当該デバイスのユーザしか情報を受取れないように出来るため、伝達力が弱いと判断される。デバイスは物理的な機器の単位ではなく、個々の機器が持つ機能単位に定義される。例えば、テレビの場合はディスプレイとスピーカに分けて、携帯電話の場合はディスプレイと受話口とスピーカに分けて、デバイスと定義される。そして、情報伝達力値は、図5に示すように、上記デバイス単位で設定される。
【0049】
図5に示す例では、情報伝達力値は、0〜1の間を取る値であり、情報を伝達する力が強いほど大きい値を取るものとしている。しかし、情報を伝達する強さを表現できるならば、整数でも、どのような形式でも構わない。また、値の大きさは、ユーザあるいはそれ以外のものが任意に決定して良い。
【0050】
図6に情報伝達力値の記録方法を示す。情報伝達力値は、図6(a)のように、デバイスドライバに記録しておいても良いし、あるいは別途情報伝達力値を記録する情報伝達力値記録装置2を作成し、図6(b)のようにまとめて記録しても良い。
【0051】
いずれにしても、情報伝達力値を記憶している部分が、本発明の情報伝達力値記憶手段を構成する。
【0052】
図7に、制御装置1内のサービスの動作についての分類方法を示す。サービスには、ユーザの要求を受けて行なわれる動作と、サービスが自発的にユーザに働きかける動作の2種類が存在する。ユーザの立場から見て分類し、前者を能動的アクション、後者を受動的アクションと呼ぶ。上記、能動的アクション及び受動的アクションは、サービスの動作から分類する。また同一のサービスの動作が、状況によって能動的アクションとして動作したり、受動的アクションとして動作する場合は、動作がユーザの要求を受けて開始されたのか、サービスが自発的に開始したのかを遡って確認し、能動的アクションか受動的アクションかを分類する。
【0053】
図8に、上記能動的アクション及び受動的アクションを示す、アクションフラグの記憶方法を示す。アクションフラグは、図8(a)のように、サービスに記録しておいても良いし、あるいは別途アクションフラグを記録する装置を作成し、図8(b)のように、その装置(アクションフラグ記録装置3)にまとめて記録しても良い。また上記のように、同一のサービスの動作が、状況によって能動的アクションとして動作したり、受動的アクションとして動作する場合は、状況に応じて適切なアクションフラグを設定する。
【0054】
図9に、あらかじめ設定しておくべき情報を示す。リソースの所有者は、図9(a)に例示する各ユーザと各リソースの間のアクセスコントロールポリシ(静的ポリシ)と、図9(b)に例示する各出力デバイスの情報伝達力値を、あらかじめ設定しておく必要がある。また、サービスの提供者あるいは各ユーザは、図9(c)に例示するアクションフラグを設定しておく必要がある。
【0055】
図10に、リソースをデバイスから出力する際のアクセスコントロールを決定するフロー図を示す。最初に制御装置1内のサービスは、自分が提供するサービスを受け取る使用者を決定する(図10、ステップ1)。サービスが能動的アクションの場合は、サービスを利用する際に、ユーザを識別するIDを入力させるなどして認証を行なう、あるいは各ユーザにタグを持たせて自動認識するなどして使用者を決定する。サービスが受動的アクションの場合は、サービス側から特定のユーザに対してサービスを提供するので、自ずと使用者は決定できる。
【0056】
次にサービスは、ユーザにサービスを提供する上で必要となるデータをデータ記憶装置100から取得し、サービスの目的に応じて加工等の必要な処理を行なう(図10、ステップ2)。この際、データは複数の可能性もあり、この場合のデータの集合をデータ群と表記する。また、データ群を取得したサービスから、使用者にデータ群を出力するサービスまで、複数のサービスが介在していても良い。各データには、対応するポリシ記憶部201の静的ポリシが対応しており、各データからその静的ポリシを取得することができる。データから静的ポリシを取得する方法は、例えばデータと静的ポリシをひとまとめにした構造体をサービス間で渡していく方法や、データにIDをつけておき、当該IDを基にポリシ記憶部に問い合わせて対応する静的ポリシを取得する方法などが考えられる。
【0057】
使用者にデータ群を出力するサービスは、上記処理後のデータ群を、どのデバイスドライバを用いてデバイスから使用者へ出力することが許可されるかを、アクセスコントローラAに問い合わせる。この際、まずサービスは、特定のデバイスを用いて出力する必要があるかを判断する(図10、ステップ3)。上記判断は、サービスごとに任意に決定して良い。
【0058】
特定のデバイスを利用する必要がある場合、サービスはその利用したいデバイスを選択する(図10、ステップ4)。利用したいデバイスは複数あっても良く、この場合の複数のデバイスをデバイス群と表記する。デバイスは、IDや名称などで識別される。そして次に、サービスは、そのサービスの動作に対応するアクションフラグを取得し、そのアクションフラグと、ステップ1で決定した使用者と、ステップ2で取得したデータ群と、ステップ4で選択したデバイス群を、アクセスコントローラAに通知して、出力を許可されるかを問い合わせる(図10、ステップ5)。
【0059】
一方、特定のデバイスを利用しない場合、サービスは、サービスの動作に対応するアクションフラグを取得し、そのアクションフラグと、ステップ1で決定した使用者と、ステップ2で取得したデータ群を、アクセスコントローラAに通知して、どのデバイスに出力が許可されるかを問い合わせる(図10、ステップ6)。アクセスコントローラAは、通知された使用者が利用可能なデバイスを選択する(図10、ステップ7)。デバイスは複数でもよく、使用者に情報が届くデバイス、あるいはデフォルトで決まっているデバイスなど、任意の仕組みで選択して良い。
【0060】
次に、デバイス群の各デバイスについて、その周囲にいる人を決定する(図10、ステップ8)。周囲にいる人の範囲は、音が聞こえる範囲にいるユーザ、画面から5m以内にいるユーザ、同じ部屋にいるユーザなど、任意に決定して良い。また、ユーザの位置をセンサーなどで取得できない場合の代替方法については、後述する。また、上記図10のステップ8をここでは行なわずに図10のステップ9に進み、図10のステップ8は、後述する図11のステップ6の位置に置き換えて実行しても良い。
【0061】
次に、アクセスコントローラAは、各データを出力する際の、各デバイスの周囲にいる人を考慮したアクセスコントロールポリシ(以降、動的ポリシと呼ぶ)を決定する(図10、ステップ9)。ここでは、データ群、デバイス群、アクションフラグ、使用者、周囲にいる人の情報を利用し、静的ポリシと組み合わせることで動的ポリシを決定する。詳細な方法は後述する。
【0062】
そして、アクセスコントローラAは、上記で決定された動的ポリシを集約し、集約したポリシ(集約ポリシ)が許可になるものが最も多いデバイスと、許可になるデータ群の組合せをサービスに通知する(図10、ステップ10)。詳細なデバイスとデータの選択方法は後述する。
【0063】
サービスは、上記で通知された当該デバイスのデバイスドライバを利用して、上記で通知された当該データ群を当該デバイスに出力する(図10、ステップ11)。
【0064】
図11に、データをデバイスから出力する際の、第一の動的ポリシの算出のフロー図を示す。当該フロー図は、図10、ステップ9〜ステップ10の、具体的なフロー図にあたる。以下のフロー図では、既にアクセスコントローラAは、出力したいデータ群、デバイス群、アクションフラグ、使用者、周囲にいる人を特定しているものとする。
【0065】
まず、アクセスコントローラAは、後述する使用者、データ、デバイス、および後述するフロー図で計算される値を記録するためのマトリクスを作成する(図11、ステップ1)。マトリクスを作成する場所は、アクセスコントローラA内でも、他の制御装置1内でも、任意に決めて良い。図12に、図11のステップ1で作成され、図11のステップ12で情報を追加されるマトリクスの例を示す。
【0066】
アクセスコントローラAは、受け取った、出力したいデータ群の各データを順番に後述する処理に回していく(図11、ステップ2)。次に、当該データに対する使用者の静的ポリシを参照し、使用者のアクセスが許可されているか確認する(図11、ステップ3)。許可されている場合は、次のステップに進む。禁止されている場合は、図11のステップ2に戻り、次のデータを選択する。
【0067】
図13(a)、(b)に具体的な例を示す。図13の例では、使用者がユーザAで、周囲にいる人がユーザB、ユーザC、ユーザDであり、図13(a)は、あらかじめポリシ記憶部201に設定されている静的ポリシである。この場合、図13(b)に示すように、ユーザAはデータ1およびデータ2については許可のため、次のステップ4に進み、データ3については禁止のためステップ2に戻る。
【0068】
使用者のアクセスが許可の場合は、デバイス群を全て未処理のものとする(図11、ステップ4)。そして、デバイス群の各デバイスを順番に後述の処理に回していく(図11、ステップ5)。次に、周囲にいる人(ユーザ)を全て未処理のものとする(図11、ステップ6)。そして、周囲にいる人の各人を順番に後述の処理に回していく(図11、ステップ7)。
【0069】
次に、当該データに対する当該周囲にいる人の静的ポリシを取得し、数量化する(図11、ステップ8)。ポリシの数量化は、本実施例では、許可を0、禁止を1としているが、後述する手順に差し支えがなければ任意に決定して良い。図11のステップ8が、本発明の静的ポリシ取得手段を構成する。
【0070】
次に、アクションフラグの値を数量化する(図11、ステップ9)。本実施例では、能動を0.7、受動を0.9としているが、後述する手順に差し支えがなければ、任意に決定して良い。また、ユーザが任意に調整できるようにしても良い。
【0071】
そして、当該デバイスの情報伝達力値を取得し(本発明の情報伝達力値取得手段を構成する)、上記数量化された静的ポリシと、数量化されたアクションフラグと、当該デバイスの情報伝達力値を乗算する(図11、ステップ11)。当該デバイスの情報伝達力値は、あらかじめ設定されており、本実施例では図13(c)に示すようになっているとする。本実施例では、許可を0、禁止を1、アクションフラグと情報伝達力値を0〜1の間の値としているため、静的ポリシが許可の場合は0のまま、禁止の場合は値が小さくなる。上記処理により、静的ポリシが禁止の場合は、アクションフラグが受動よりも能動の方が、情報伝達力値が弱い方が、より値が小さくなり許可に近づくことになる。図13(d)に具体的な算出例を示す。この例では、図13(a)の静的ポリシと図13(c)のデバイスの情報伝達力値を基に計算をしており、周囲にいる人はユーザB、ユーザC、ユーザDの3人である。図13(d)の各セルには対応する値が記述されており、上記図11、ステップ11の処理を行った結果は、図14(d)の値の列に示されるようになる。
【0072】
上記の値が算出されたら、図11のステップ1で作成したマトリクスに、上記当該データ、当該ユーザ、当該デバイス、当該算出された値を、当該のセルを追加して記録する(図11、ステップ12)。
【0073】
上記図11、ステップ2〜ステップ7までの繰り返しのフロー図が全て終了し、図11、ステップ2で未処理のデータが無くなったら、マトリクス内に記録されている上記図11、ステップ11で算出された各値を、あらかじめ任意に決めてある閾値と比較し、動的ポリシを決定する(図11、ステップ13:動的ポリシ決定手段に相当する)。本実施例では、閾値を0.5とし、上記算出された値が0.5以上のものを禁止のポリシ、0.5未満のものを許可のポリシとしているが、任意の適切な値として構わない。また、ユーザが任意に調整できるようにしても良い。図13(d)に具体的な例を示す。図13(d)の値の列を閾値と比較し、図13(d)の動的ポリシの列のようにポリシが決定される。
【0074】
次に、各データと各デバイスの組み合わせごとに、上記動的ポリシを集約する(図11、ステップ14)。つまり、各データと各デバイスの組み合わせの動的ポリシを1つの集約ポリシに集約する。当該動的ポリシの集合中に1つ以上禁止のポリシが存在する場合は、集約ポリシを禁止とする。全て許可の場合は、集約ポリシを許可とする。図13(e)に具体的な集約結果の例を示す。図13(d)の動的ポリシの列を基に、上記の手順で集約を行うと、図13(e)のようになり、デバイスAとデータ1の組み合わせの集約ポリシは禁止、デバイスAとデータ2の組み合わせの集約ポリシは禁止、デバイスBとデータ1の組み合わせの集約ポリシは許可、デバイスBとデータ2の組み合わせの集約ポリシは許可となる。
【0075】
次に、上記で集約した集約ポリシを基に、最も多くのデータについて集約ポリシが許可になるデバイスを選択する(図11、ステップ15)。つまり、許可を示す集約ポリシの合計数を計算し、当該合計数の中の最大のものに対応するデバイスを選択する。図13(e)の例では、デバイスAは許可の集約ポリシが0であり、デバイスBは許可の集約ポリシが2つのため、デバイスBが選択される。
【0076】
次に、図11のステップ15で選択したデバイスについて、集約ポリシが許可のデータを選択する(図11、ステップ16)。図13(e)の例では、図11のステップ15で選択されたデバイスBについて、集約ポリシが許可のものは、データ1とデータ2のため、当該2つのデータを選択する。
【0077】
最後に、アクセスコントローラAは、上記図11のステップ15およびステップ16で選択した当該デバイスと当該データを、問い合わせ元のサービスに通知する(図11、ステップ17)。図13(f)に、サービスに通知されるデバイスとデータの具体例を示す。本例では、選択されたデバイスがデバイスBであり、選択されたデータがデータ1およびデータ2のため、図13(f)のような内容がサービスに通知される。
【0078】
また、図11のステップ15で、集約ポリシが許可になる数が最も多いデバイスが複数存在する場合は、上記の許可になる数が同じになった複数のデバイスを選択しても良いし、情報伝達力の大きさや、周囲にいる人の数を基に、1つだけを選択するようにしても良い。そして、複数のデバイスを選択した場合は、図11のステップ16で、それぞれについて許可になるデータを選択し、図11のステップ17で、各デバイスについての組み合わせをサービスに通知しても良い。なお、ステップ14〜ステップ17が、本発明のデータ出力制御手段を構成する。
【0079】
図14に、上記図11のフロー図を利用した、アクションフラグが受動の場合のポリシの算出例を示す。アクションフラグが受動の場合、図11のステップ9でアクションフラグを数量化する場合、本実施例では0.9となり、能動の場合よりも値が大きくなる。このため、図14(d)に示すように、最終的に算出される値も大きくなり、結果として能動ポリシが禁止になる場合が増える。図13と比較して、同じデバイスBにおいても、図14ではデータ1もデータ2も図14(e)に示すように禁止になる。そして、図14(e)に示すように、より情報伝達力値の小さいデバイスCが、データ1とデータ2の両方について許可となり、選択されることになる。最終的には、図14(f)に示すような内容がサービスに通知される。
【0080】
図15に、上記図11のポリシ算出方法に、各ユーザに重み付けを行った第2の方法のフロー図を示す。図15の各ユーザに重み付けを行ったフロー図では、図11のフロー図と比べて、図15のステップ10の当該ユーザの重みを取得するステップが追加され、図15のステップ11の計算処理において、上記ユーザの重みも乗算する部分が異なる。上記以外の部分は図11のフロー図と同様である。
【0081】
図15のステップ10で取得する当該ユーザの重みは、あらかじめ設定されているものとし、図16(g)のようなテーブルが制御装置1内、あるいは任意の場所に記録されているものとする。ユーザの重みは任意の値に決めてよく、またユーザが任意に調整できるようにしても良い。いずれにしても、ユーザについての重みを記憶している部分が、本発明のユーザについての重み記憶手段を構成する。
【0082】
図15のステップ11では、上記当該ユーザの重みを、数量化された静的ポリシ、数量化されたアクションフラグ、当該デバイスの情報伝達力値に乗算することで、値を算出する。
【0083】
図16(d)に具体的な例を示す。図16(d)は、図13(d)などと比較して、重みの列が増えており、値はこの重みも乗算して算出される。このため、図13など例と同じユーザ群とデータ群とデバイス群を用いても、計算結果が異なる。従って、図15のステップ14の集約の結果、図16(e)に示すように、デバイスBとデータ1の組み合わせの集約ポリシも禁止となる。このため、最終的に図15のステップ17でサービスに通知される内容は、図16(f)のようになる。
【0084】
図15の、ユーザの重みを加えたフロー図により、例えば家族とそれ以外で守りたいプライバシーの強さが異なるような場合にも、効果的にプライバシーを保護することができる。
【0085】
図17に、上記図11のポリシ算出方法に、各場所の重み付けを行った第3の方法のフロー図を示す。図17の、各場所に重み付けを行ったフロー図では、図11のフロー図と比べて、図17のステップ10の当該場所の重みを取得するステップが追加され、図17のステップ11の計算処理において、上記場所の重みも乗算する部分が異なる。上記以外の部分は図11のフロー図と同様である。
【0086】
図17のステップ10で取得する当該場所の重みは、あらかじめ設定されているものとし、図18(g)のようなテーブルが制御装置1内、あるいは任意の場所に記録されているものとする。場所の重みは任意の値に決めてよく、またユーザが任意に調整できるようにしても良い。いずれにしても、場所の重みを記憶している部分が、本発明の場所についての重み記憶手段を構成する。場所の重みは、当該デバイスの存在する場所の重みである。場所の分類方法としては、例えば部屋などの単位で設定することが考えられ、任意に決めてよい。
【0087】
図17のステップ11では、上記当該場所の重みを、数量化された静的ポリシ、数量化されたアクションフラグ、当該デバイスの情報伝達力値に乗算することで、値を算出する。図18(d)に具体的な例を示す。図18(d)は、図13(d)などと比較して、重みの列が増えており、値はこの重みも乗算して算出される。従って、図17のステップ14の集約の結果、図18(e)に示すように、デバイスBとデータ1、デバイスBとデータ2の両方の組み合わせの集約ポリシが禁止となる。このため、最終的に図17のステップ17でサービスに通知される内容は、図18(f)のようになる。
【0088】
図17に示す場所の重みを加えたフロー図により、モバイル機器など部屋を移動するデバイスや、同種類のデバイスが異なる場所に配置されている場合についても、効果的にプライバシーを保護することが可能となる。
【0089】
なお、図15に示した第2の方法と、図17に示した第3の方法を組み合わせて使用しても良い。
【0090】
本発明は、全てのユーザが各ユーザを識別し位置を検出するためのRFIDタグなどを持ち歩いているか、あるいはあらゆる場所にユーザを識別するセンサーなどが設置してある場合には、上記の方法で動作することができる。しかし、実際には各ユーザを識別した上で位置を検出することは困難な場合もあり得る。そこで次に、ユーザの位置を検出できない場合の代替方法を示す。
【0091】
上記代替方法では、各ユーザを直接検出するのではなく、デバイスの場所に応じて周囲にいる人を決定する。家庭の場合、場所は主に部屋によって決定され、部屋にはそれぞれ固有の機能があり、利用するユーザもある程度限定することができる。本代替方法は、上記の特徴を利用し、あらかじめ場所に応じて周囲にいる人を決定するというものである。この場合、デバイスに場所を対応づけ、その場所にユーザを対応づけ、かかる対応づけをデバイス、場所、ユーザのIDなどにより記憶しておけばよい。
【0092】
図19に本代替方法の例を示す。図19には、使用者の自室、リビング、風呂、洗面所、玄関、廊下などが存在し、それぞれ周囲にいる人の存在確率が異なる。例えば、使用者の自室および風呂などは、ほぼ常に周囲の人は存在せず、自分のみの可能性が高い。一方、リビングや玄関や廊下などは、使用者以外の周囲の人が存在する可能性が高い。上記の各場所における周囲にいる人の存在確率を、各デバイスの位置と結びつけ、図10、ステップ8で出力する各デバイスの周囲にいる人を決定する際に利用する。すなわち、家庭の場合を考えると、出力するデバイスがリビングにある場合は、周囲の人として家族全員を選択し、出力するデバイスが自室にある場合は、周囲の人はいないものとして選択しない。上記の方法により、例え各ユーザの位置が取得できない場合においても、周囲にいる人を出力するデバイスの場所に応じて決定して、本発明を適用することが可能となる。
【0093】
またさらに、本発明を適用する場所が家庭の場合、家族かそれ以外の外部から来た客かを識別し、図15に示す本発明第2の方法を適用したい場合がある。この場合、家族とそれ以外の外部からの客でユーザの重みを変えたくても、各ユーザを識別できない限り本発明の第2の方法を適用することができない。この場合は、図19に示す来客モードボタンを玄関などに設置し、家族以外の外部の客が来た場合は、上記ボタンを押すことで、図10、ステップ8で周囲にいる人を選択する際に、家族以外の外部の客もいるものとして選択する。このようにすることで、家庭において家族以外の外部から来た客の存在に応じて、本発明を適用することが可能となる。
【0094】
なお、アクセスコントローラAとしてコンピュータを機能させるコンピュータプログラムは、半導体メモリ、磁気ディスク、光ディスク、光磁気ディスク、磁気テープなどのコンピュータ読み取り可能な記録媒体に格納したり、インターネットなどの通信網を介して伝送させて、広く流通させることができる。
【図面の簡単な説明】
【0095】
【図1】本発明を適用する理想的な環境
【図2】本実施の形態の構成図
【図3】XACMLに準拠したポリシの構成例
【図4】ポリシ記憶部のポリシのアクセスコントロールマトリクスの例
【図5】デバイスの情報伝達力値の例
【図6】デバイスの情報伝達力値の記録方法の構成図
【図7】サービスの動作の分類
【図8】アクションフラグの記録方法の構成例
【図9】あらかじめ設定しておくべき情報
【図10】リソースをデバイスから出力する際のアクセスコントロールを決定するフロー図
【図11】アクセスコントローラにおけるポリシの算出のフロー図
【図12】図11等のフロー図で利用するマトリクスの例
【図13】アクションフラグが能動の場合のポリシの算出例
【図14】アクションフラグが受動の場合のポリシの算出例
【図15】ユーザに重み付けを行なったポリシの算出のフロー図
【図16】ユーザの重み付けを加えたポリシの算出例
【図17】場所に重み付けを行なったポリシの算出のフロー図
【図18】場所の重み付けを加えたポリシの算出例
【図19】ユーザの位置が取得できない場合の代替方法
【符号の説明】
【0096】
1 制御装置
2 情報伝達力値記録装置
3 アクションフラグ記録装置
100 データ記憶装置
200 ポリシ記憶装置
300 ポリシ設定装置
A アクセスコントローラ
DD1、DD2、DD3 デバイスドライバ
DV1、DV2 デバイス
S1、S2 サービス
【特許請求の範囲】
【請求項1】
1のデータと1のユーザの組のそれぞれにつき、その組のユーザへその組のデータが伝達されることについての許可または拒否を示す静的ポリシが記憶される静的ポリシ記憶手段と、いずれかのデータを出力しうるデバイスのそれぞれの情報伝達力値が記憶される情報伝達力値記憶手段と共に用いられ、
ユーザである使用者と、その使用者への伝達が目的の1以上のデータと、そのデータのいずれかを出力しうる1以上のデバイスとが特定され、その各デバイスにつき、そのデバイスの周囲にいる使用者以外の1以上のユーザである周囲ユーザとが特定されているときに、1のデータと1の周囲ユーザの組のそれぞれにつき、その組に対応する静的ポリシを前記静的ポリシ記憶手段から取得する静的ポリシ取得手段と、
当該各デバイスの情報伝達力値を前記情報伝達力値記憶手段から取得する情報伝達力値取得手段と、
1のデータと1の情報伝達力値と1の静的ポリシの組のそれぞれにつき、その組の情報伝達力値および静的ポリシから動的ポリシを決定する動的ポリシ決定手段と、
決定された動的ポリシを用いて、1のデータと1のデバイスの組のそれぞれにつき、その組のデータがその組のデバイスから出力されることを許可または拒否するデータ出力制御手段と
を備えることを特徴とするアクセスコントロール装置。
【請求項2】
前記データ出力制御手段は、1のデータと1のデバイスとからなる組のそれぞれにつき、その組のデバイスの情報伝達力値から決定された1つ以上の動的ポリシを1つの集約ポリシに集約し、各デバイスにつき、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシの合計数を計算し、当該合計数の中の最大のものに対応するデバイスを選択し、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシに対応するデータを選択し、当該データが当該デバイスから出力されることを許可する
ことを特徴とする請求項1記載のアクセスコントロール装置。
【請求項3】
各データの出力が能動的なものかまたは受動的なものかを示すアクションフラグが記憶されるアクションフラグ記憶手段とともに用いられ、
前記動的ポリシ決定手段は、前記アクションフラグ記憶手段からアクションフラグを取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該アクションフラグから動的ポリシを決定する
ことを特徴とする請求項1または2記載のアクセスコントロール装置。
【請求項4】
各ユーザについての重みが記憶される重み記憶手段とともに用いられ、
前記動的ポリシ決定手段は、特定されたユーザについての重みを当該重み記憶手段から取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該静的ポリシに対応するユーザについて取得した重みから動的ポリシを決定する
ことを特徴とする請求項1または2記載のアクセスコントロール装置。
【請求項5】
各場所についての重みが記憶される重み記憶手段とともに用いられ、
前記動的ポリシ決定手段は、取得された情報伝達力値をもつデバイスが配置される場所についての重みを当該重み記憶手段から取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該情報伝達力値をもつデバイスが配置される場所について取得した重みから動的ポリシを決定する
ことを特徴とする請求項1または2記載のアクセスコントロール装置。
【請求項6】
前記特定されたデバイスが配置される場所にいることに予めされたユーザを前記周囲ユーザとすることを特徴とする請求項1ないし5のいずれかに記載のアクセスコントロール装置。
【請求項7】
1のデータと1のユーザの組のそれぞれにつき、その組のユーザへその組のデータが伝達されることについての許可または拒否を示す静的ポリシが記憶される静的ポリシ記憶手段と、いずれかのデータを出力しうるデバイスのそれぞれの情報伝達力値が記憶される情報伝達力値記憶手段と共に用いられるアクセスコントロール装置において、
アクセスコントロール装置の静的ポリシ取得手段が、ユーザである使用者と、その使用者への伝達が目的の1以上のデータと、そのデータのいずれかを出力しうる1以上のデバイスと特定され、その各デバイスにつき、そのデバイスの周囲にいる使用者以外の1以上のユーザである周囲ユーザとが特定されているときに、1のデータと1の周囲ユーザの組のそれぞれにつき、その組に対応する静的ポリシを前記静的ポリシ記憶手段から取得するステップと、
アクセスコントロール装置の情報伝達力値取得手段が、当該各デバイスの情報伝達力値を前記情報伝達力値記憶手段から取得するステップと、
アクセスコントロール装置の動的ポリシ決定手段が、1のデータと1の情報伝達力値と1の静的ポリシの組のそれぞれにつき、その組の情報伝達力値および静的ポリシから動的ポリシを決定するステップと、
アクセスコントロール装置のデータ出力制御手段が、決定された動的ポリシを用いて、1のデータと1のデバイスの組のそれぞれにつき、その組のデータがその組のデバイスから出力されることを許可または拒否するステップと
を備えることを特徴とするアクセスコントロール方法。
【請求項8】
前記データ出力制御手段は、1のデータと1のデバイスとからなる組のそれぞれにつき、その組のデバイスの情報伝達力値から決定された1つ以上の動的ポリシを1つの集約ポリシに集約し、各デバイスにつき、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシの合計数を計算し、当該合計数の中の最大のものに対応するデバイスを選択し、そのデバイスの情報伝達力値から計算された動的ポリシから集約され且つ許可を示す集約ポリシに対応するデータを選択し、当該データが当該デバイスから出力されることを許可する
ことを特徴とする請求項7記載のアクセスコントロール方法。
【請求項1】
1のデータと1のユーザの組のそれぞれにつき、その組のユーザへその組のデータが伝達されることについての許可または拒否を示す静的ポリシが記憶される静的ポリシ記憶手段と、いずれかのデータを出力しうるデバイスのそれぞれの情報伝達力値が記憶される情報伝達力値記憶手段と共に用いられ、
ユーザである使用者と、その使用者への伝達が目的の1以上のデータと、そのデータのいずれかを出力しうる1以上のデバイスとが特定され、その各デバイスにつき、そのデバイスの周囲にいる使用者以外の1以上のユーザである周囲ユーザとが特定されているときに、1のデータと1の周囲ユーザの組のそれぞれにつき、その組に対応する静的ポリシを前記静的ポリシ記憶手段から取得する静的ポリシ取得手段と、
当該各デバイスの情報伝達力値を前記情報伝達力値記憶手段から取得する情報伝達力値取得手段と、
1のデータと1の情報伝達力値と1の静的ポリシの組のそれぞれにつき、その組の情報伝達力値および静的ポリシから動的ポリシを決定する動的ポリシ決定手段と、
決定された動的ポリシを用いて、1のデータと1のデバイスの組のそれぞれにつき、その組のデータがその組のデバイスから出力されることを許可または拒否するデータ出力制御手段と
を備えることを特徴とするアクセスコントロール装置。
【請求項2】
前記データ出力制御手段は、1のデータと1のデバイスとからなる組のそれぞれにつき、その組のデバイスの情報伝達力値から決定された1つ以上の動的ポリシを1つの集約ポリシに集約し、各デバイスにつき、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシの合計数を計算し、当該合計数の中の最大のものに対応するデバイスを選択し、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシに対応するデータを選択し、当該データが当該デバイスから出力されることを許可する
ことを特徴とする請求項1記載のアクセスコントロール装置。
【請求項3】
各データの出力が能動的なものかまたは受動的なものかを示すアクションフラグが記憶されるアクションフラグ記憶手段とともに用いられ、
前記動的ポリシ決定手段は、前記アクションフラグ記憶手段からアクションフラグを取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該アクションフラグから動的ポリシを決定する
ことを特徴とする請求項1または2記載のアクセスコントロール装置。
【請求項4】
各ユーザについての重みが記憶される重み記憶手段とともに用いられ、
前記動的ポリシ決定手段は、特定されたユーザについての重みを当該重み記憶手段から取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該静的ポリシに対応するユーザについて取得した重みから動的ポリシを決定する
ことを特徴とする請求項1または2記載のアクセスコントロール装置。
【請求項5】
各場所についての重みが記憶される重み記憶手段とともに用いられ、
前記動的ポリシ決定手段は、取得された情報伝達力値をもつデバイスが配置される場所についての重みを当該重み記憶手段から取得し、動的ポリシの決定が行われる組のそれぞれにつき、その組の静的ポリシおよび情報伝達力値ならびに当該情報伝達力値をもつデバイスが配置される場所について取得した重みから動的ポリシを決定する
ことを特徴とする請求項1または2記載のアクセスコントロール装置。
【請求項6】
前記特定されたデバイスが配置される場所にいることに予めされたユーザを前記周囲ユーザとすることを特徴とする請求項1ないし5のいずれかに記載のアクセスコントロール装置。
【請求項7】
1のデータと1のユーザの組のそれぞれにつき、その組のユーザへその組のデータが伝達されることについての許可または拒否を示す静的ポリシが記憶される静的ポリシ記憶手段と、いずれかのデータを出力しうるデバイスのそれぞれの情報伝達力値が記憶される情報伝達力値記憶手段と共に用いられるアクセスコントロール装置において、
アクセスコントロール装置の静的ポリシ取得手段が、ユーザである使用者と、その使用者への伝達が目的の1以上のデータと、そのデータのいずれかを出力しうる1以上のデバイスと特定され、その各デバイスにつき、そのデバイスの周囲にいる使用者以外の1以上のユーザである周囲ユーザとが特定されているときに、1のデータと1の周囲ユーザの組のそれぞれにつき、その組に対応する静的ポリシを前記静的ポリシ記憶手段から取得するステップと、
アクセスコントロール装置の情報伝達力値取得手段が、当該各デバイスの情報伝達力値を前記情報伝達力値記憶手段から取得するステップと、
アクセスコントロール装置の動的ポリシ決定手段が、1のデータと1の情報伝達力値と1の静的ポリシの組のそれぞれにつき、その組の情報伝達力値および静的ポリシから動的ポリシを決定するステップと、
アクセスコントロール装置のデータ出力制御手段が、決定された動的ポリシを用いて、1のデータと1のデバイスの組のそれぞれにつき、その組のデータがその組のデバイスから出力されることを許可または拒否するステップと
を備えることを特徴とするアクセスコントロール方法。
【請求項8】
前記データ出力制御手段は、1のデータと1のデバイスとからなる組のそれぞれにつき、その組のデバイスの情報伝達力値から決定された1つ以上の動的ポリシを1つの集約ポリシに集約し、各デバイスにつき、そのデバイスの情報伝達力値から決定された動的ポリシから集約され且つ許可を示す集約ポリシの合計数を計算し、当該合計数の中の最大のものに対応するデバイスを選択し、そのデバイスの情報伝達力値から計算された動的ポリシから集約され且つ許可を示す集約ポリシに対応するデータを選択し、当該データが当該デバイスから出力されることを許可する
ことを特徴とする請求項7記載のアクセスコントロール方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2007−199857(P2007−199857A)
【公開日】平成19年8月9日(2007.8.9)
【国際特許分類】
【出願番号】特願2006−15469(P2006−15469)
【出願日】平成18年1月24日(2006.1.24)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成19年8月9日(2007.8.9)
【国際特許分類】
【出願日】平成18年1月24日(2006.1.24)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]