プレゼンスベースのアクセスコントロール
【課題】システム内のデバイスにおけるサービスに対するアクセスを保護するためにフレキシブルかつ安全な手段を提供する。
【解決手段】アクセスマネージャ110とプラグ140とトランスポンダ150が設けられている。トランスポンダ150はプラグ140と通信を行う。プラグ140はデバイス120,130へ挿入されるように構成されている。アクセスマネージャ110は、プラグ140がデバイス120,130へ挿入されていること、トランスポンダ150がプラグ140の存在している状態にあること、トランスポンダに対しサービス121,131へのアクセスの権限が付与されていることを照合し、照合に成功すればサービス121,131へのアクセスを提供する。さらにアクセスマネージャ110は、プラグ140に対しサービス121,131へのアクセスの権限が付与されていることを照合する。
【解決手段】アクセスマネージャ110とプラグ140とトランスポンダ150が設けられている。トランスポンダ150はプラグ140と通信を行う。プラグ140はデバイス120,130へ挿入されるように構成されている。アクセスマネージャ110は、プラグ140がデバイス120,130へ挿入されていること、トランスポンダ150がプラグ140の存在している状態にあること、トランスポンダに対しサービス121,131へのアクセスの権限が付与されていることを照合し、照合に成功すればサービス121,131へのアクセスを提供する。さらにアクセスマネージャ110は、プラグ140に対しサービス121,131へのアクセスの権限が付与されていることを照合する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は全般的にいえばアクセスコントロールに関し、殊にアクセスマネージャによりコントロールされるネットワークにおけるデバイスに対するアクセスコントロールに関する。
【背景技術】
【0002】
コンピュータネットワークにおいて、アクセスコントロールは以前から最も重要な事柄である。この問題に対する解決策は、ときにはオーバラップする少なくとも2つのカテゴリーのうちの1つに該当する。すなわちそれらのカテゴリーとは、ネットワーク内に格納されているコンテンツに対するアクセスの保護と、端末および/またはコンピュータ自体に対するアクセスの保護とである。
【0003】
第1のカテゴリーすなわちコンテンツに対するアクセスの保護としてのソリューションのうち、ネットワーク上のファイルに対するアクセス権すなわち所定のユーザはいくつかのファイルにアクセスできるが他のユーザはアクセスできないということと、ハッキング防止のための暗号化ファイルとを挙げることができる。
【0004】
ただし本発明は第2のカテゴリーすなわちコンピュータに対するアクセス保護に係わるものであって、このカテゴリーのうちいくつかの従来技術を以下に挙げておく:
−コンピュータにアクセス可能にするためユーザにパスワードを要求
−コンピュータにアクセスするためユーザにスマートカードの存在を要求するスマートカードリーダ
−ユーザが指紋によって本人であることを確認することを要求する等バイオメトリックセキュリティ。この種の解決策の1つはDEFCON(登録商標)指紋認証装置(登録商標)であり、これはUSB(汎用シリアルバス)と接続され、パスワードの代わりに使用される。
−DeviceLock(登録商標)によって、ユーザがどのインタフェースを使用できるのか、たとえばUSBポート、Bluetoothアダプタ、CD−ROMデバイスのいずれのインタフェースを使用できるのかを、アドミニストレータが決定することができる。
【0005】
従来技術の解決策は、いくつかの固有の問題点を有している。ユーザが忘れてしまわないようパスワードが書き留められることが多いし、あるいはユーザのペットや子供の名前などパスワードは推測されやすい。しかも、たとえばプリントアウトをしているときなど、ユーザがコンピュータをロックし忘れてしまうことが多い。これによって、コンピュータにアクセスしてはならない人に対しコンピュータへのアクセスが、少なくともその特定のユーザと同様に開放されたままになってしまう。
【0006】
スマートカードリーダの場合、パスワードの問題点の1つが生じる。すなわち、ユーザはたとえばプリントアウトをしているときなどに、自身のスマートカードを取り出さない傾向にあることが多い。これによってやはり、コンピュータにアクセスしてはならない人に対しコンピュータへのアクセスが、少なくともその特定のユーザと同様に開放されたままになってしまう。
【0007】
バイオメトリックセキュリティの場合にも、やはりこの問題点が発生する。一例として指紋の場合にユーザは、自身が適正な指紋をもっていることを示すようにはするけれども、検出器に自身の指を置いたままにしておかなくてもよい。上述の場合と同様、これによってもやはり、コンピュータにアクセスしてはならない人に対しコンピュータへのアクセスが、少なくとも特定のユーザと同様に開放されたままになってしまう。
【0008】
DeviceLock(登録商標)によってたしかにインタフェースは保護されるけれども、これによっても依然として、たとえばプリンタのところへ行くなどの理由でユーザが実際にはそこにいなくても、あるユーザに対しアクセスが与えられてしまうという問題点が発生する。この場合、プリンタの不調、用紙切れやトナー切れ等が起こった場合に、ユーザはときにはプリンタのところでかなり時間を費やさなければならない可能性がある。
【発明の開示】
【発明が解決しようとする課題】
【0009】
したがって本発明の課題は、アクセスコントロールを可能にする柔軟な解決策を提供することにあり、殊に上述の従来技術の欠点を克服できるようにしたインタフェースを提供することにある。
【課題を解決するための手段】
【0010】
本発明によればこの課題は、システムはアクセスマネージャとプラグとトランスポンダを有しており、該トランスポンダは、前記プラグと通信を行うように構成されており、該プラグは、前記デバイスへ挿入されるように構成されており、前記アクセスマネージャは、前記プラグが前記デバイスへ挿入されていること、前記トランスポンダが前記プラグの存在している状態にあること、および前記トランスポンダに対し前記サービスへのアクセスの権限が付与されていることの照合の成功に応答して、前記サービスへのアクセスを提供するように構成されており、該アクセスマネージャは、前記プラグに対し前記サービスへのアクセスの権限が付与されていることにより解決される。
【発明を実施するための最良の形態】
【0011】
第1の観点によれば本発明は、アクセスマネージャとプラグとトランスポンダを有するシステム内のデバイスにおけるサービスに対するアクセスをコントロールするシステムに関する。この場合、トランスポンダはプラグと通信を行うように構成されており、さらにプラグはデバイスへ挿入されるように構成されている。この場合、アクセスマネージャは、プラグがデバイスに挿入されていること、トランスポンダがプラグの存在している状態にあること、サービスへのアクセスの権限がプラグに付与されていること、およびサービスへのアクセスの権限がトランスポンダに付与されていることについての照合の成功に応答して、サービスに対するアクセスを提供するように構成されている。
【0012】
第2の観点によれば本発明は、アクセスマネージャとプラグとトランスポンダを有するシステム内のデバイスにおけるサービスに対するアクセスをコントロールする方法に関する。この場合、トランスポンダはプラグと通信を行うように構成されている。アクセスマネージャは、プラグがデバイスに挿入されていること、トランスポンダがプラグの存在している状態にあること、サービスへのアクセスの権限がプラグに付与されていること、およびサービスへのアクセスの権限がトランスポンダに付与されていることについて照合する。照合の成功に応答して、アクセスマネージャはサービスに対するアクセスを提供する。
【0013】
第3の観点によれば本発明は、プラグとトランスポンダを有するシステム内のデバイスにおけるサービスに対するアクセスをコントロールするアクセスマネージャに関する。アクセスマネージャは、プラグがデバイスに挿入されていること、サービスへのアクセスの権限がトランスポンダに付与されていること、およびトランスポンダがプラグの存在している状態にあることを照合する。アクセスマネージャはさらに、この照合の成功に応答してサービスに対するアクセスを提供するように構成されている。
【0014】
1つの有利な実施形態によればアクセスマネージャはサービスに対するアクセスを提供する前に、そのサービスへのアクセスの権限がプラグに付与されていることについて照合するように構成されている。
【0015】
さらに別の有利な実施形態によればアクセスマネージャは、トランスポンダがプラグの存在している状態にあることの照合をプラグから受け取るように構成されている。
【0016】
さらに別の有利な実施形態によればアクセスマネージャはサービスに対するアクセスを提供する前に、権限の付与されている複数のトランスポンダの存在を照合するように構成されている。
【0017】
次に、例示の目的で図面を参照しながら本発明の有利な特徴について説明する。
【実施例】
【0018】
図1には、本発明によるプレゼンスベースすなわち存在確認に基づくアクセスコントロールのためのシステムが描かれている。システム100には、アクセスマネージャ110とデバイスA 120とデバイスB 130といわゆるプラグ140とトランスポンダ150が含まれている。
【0019】
システム100においてアクセスマネージャ110は、ユーザのためにサービス121,131に対するアクセス権を割り当てる役割を果たす。ユーザがアクセス権をもつサービス121,131は許可済みサービスと呼ばれ、これは所定のユーザが対応するデバイス120,131を用いて何をすることが許可されているのかを表す。サービス121,131をたとえばUSBポートの使用、所定のディレクトリへのアクセス、デバイス自体を利用することなどとすることができる。なお、ユーザの所定の許可済みサービスをデバイスごとに異ならせることができる。また、それぞれ異なるユーザが1つまたは複数のデバイスに対してそれぞれ異なるアクセス権をもつことができる。さらにアクセス権を制限形restrictiveとすることができ、すなわちある一人のユーザだけが特別に許可されたアクセス権をもつことができ、他のすべてを禁止することができる。あるいは許容形permissiveとすることができ、すなわちある一人のユーザに対し特別に禁止されたサービスだけが許可されず、そのユーザは他のすべてのサービスにはアクセスできる。
【0020】
デバイスA 120やデバイスB 130のようなデバイスをたとえばパーソナルコンピュータまたはワークステーションとすることができるが、それらの実施形態に限定されるものではない。本発明によればデバイス120,130は、あとで説明するプラグ140とのインタフェースを成す少なくとも1つのプラグインタフェース122,132と、ユーザがアクセスを望む少なくとも1つのサービス121,131を有している。
【0021】
プラグインタフェース122,132はプラグ140とのインタフェースを成すよう整合されており、プラグ140は1つの有利な実施形態によればプラグインタフェース122,132に挿入される。プラグ140はプラグキー141とプロセッサ143と通信ユニット142を有しており、通信ユニット142はトランスポンダ150における通信ユニット152との通信用であり、トランスポンダ150もトランスポンダキー151とプロセッサ153を有している。
【0022】
プラグキー141とトランスポンダキー151を、プラグ140とトランスポンダ150との通信の暗号化に用いることができる。さらにキー141,151を、当業者に周知の何らかの方式に従いデバイス140,150間のペアリングを保証するために用いることもできる。また、キー141,151をマネージャ110との通信時に用いることができる。
【0023】
プラグ140を様々な形式あるいは様々なユーザモードとすることができる。一般的なプラグは特定の特徴を有しておらず、どのようなトランスポンダとも接続することができる。標準のプラグはアクセスマネージャ110によって識別される。ペアリングされたプラグは1つまたは複数のトランスポンダとペアとして対応づけられており、その1つまたは複数のトランスポンダとのみ接続されることになり、つまりユーザはプラグおよびそれとペアとして対応づけられている1つ(または少なくとも1つ)のトランスポンダの双方を必要とする。
【0024】
トランスポンダ150は、邪魔されず面倒にならずにユーザ自身がいつも携行できるのに十分に小さい機器であると有利である。トランスポンダ150をたとえばユーザの鍵といっしょにキーホルダーで携行できるもの、またはユーザのバッジに取り付けられるものとすることができるし、あるいはバッジそのものとしてもよい。
【0025】
トランスポンダ150は、プラグ140とトランスポンダ150との間で有利には電磁的な(殊に無線による)コネクション160が確立されているときに、プラグ140が存在している状態にあるとされ、これとは逆にプラグ140とトランスポンダ150との間でコネクションが確立されていなければ、プラグ140が不在の状態にあるとされる。トランスポンダ150がプラグ140の存在している状態にあるか否かを照合するやり方の一例は、プラグ140に対してタイマをセットし、トランスポンダ150からの信号を待つようにすることである。タイマが経過してしまう前に信号が到達すれば、トランスポンダ150はプラグ140が存在する状態となり、そうでなければトランスポンダ150はプラグ140が存在しない状態となる。プラグ140は有利にはこのプロセスを繰り返し、たとえばプラグ140が取り除かれるまで繰り返される(必ずしもタイマが同じ値にセットされなくてもよい)。有利には応答リミットをセットするためにタイマを使用して、トランスポンダ150がプラグ140の存在の指示に応答して信号を送信するよう、プラグ140が要求することもできる。
【0026】
「存在」状態と「不在」状態(それぞれ「存在している」「不在である」とも称する)を、トランスポンダ状態と呼ぶ。コネクションの最大範囲はインプリメンテーションに依存するけれども、1つの有利な実施形態によればこの範囲は、妨害が比較的ない環境で約3mに制限される。トランスポンダ150とプラグ140との間の通信のためには、持続的に「存在状態」が確立されている必要はない。いくつかの実施形態によれば、規則的または不規則とすることのできるインターバルで、たとえば平均でたとえば5秒ごとに、トランスポンダが信号を送信すれば十分である。
【0027】
使用に先だって、アクセスマネージャ110はデバイス120,130、サービストランスポンダ150、プラグ140(汎用のプラグを除く)およびトランスポンダとプラグとの何らかのペアリング関係を識別する。これを行う目的は、アクセス権を適切に割り当てることができるようにするためである。
【0028】
この段階においてアクセスマネージャ110は、有利にはサービスアクセスリスト内の各トランスポンダ150に対し以下のように権限を与える:
−トランスポンダがアクセス権を有するデバイス;
−これらのデバイス各々について:
○権限の与えられたプラグ;
○権限の与えられたプラグごとに:
■トランスポンダがプラグとのペアリングを必要とするか否か;
■許可されたサービス
あとでさらに説明するように、これまで述べてきた要素は以下の関係をもっている。
−プラグ140はデバイス120,130に挿入される;
−プラグ140はトランスポンダ150の存在または不在を検出する;
−プラグ140はトランスポンダ状態をデバイス120,130へ送信し、これらのデバイスは状態をアクセスマネージャ110へ転送する。
−アクセスマネージャ110はトランスポンダ150に権限を与え、デバイス120,130のサービス121,131に対するアクセス権を与えるかまたは拒絶する。
−プラグ140はトランスポンダ150が存在していることを規則的に照合する。
【0029】
トランスポンダの存在を照合する目的でプラグ140はたとえば、所定期間経過前にトランスポンダから信号を受信していることを規則的に照合することができるが、実装形態によってはプラグ140は、トランスポンダが自身の存在を示す信号によって応答するよう要求することもできる。
【0030】
すでに述べたようにプラグの形態に依存して、以下の関係を加えることができる:
−アクセスマネージャ110がプラグ140に権限を与える;
−プラグ140はトランスポンダの状態をフィルタリングすることができる。すなわちたとえばペアリングされているプラグだけが、自身とペアになっている1つまたは複数のトランスポンダに関するトランスポンダ状態を送信することができる。
【0031】
図2には、本発明による携行可能なセキュリティ機器の実施形態が略示されている。携行可能なセキュリティ機器170は2つの部分すなわちプラグ140とトランスポンダ150から成る。1つの有利な実施形態によれば、プラグ140とトランスポンダ150をユーザにとって容易に携行できる機器170を形成するためにセキュアに結合することができるが、それらを容易に切り離することもでき、それによってプラグ140をデバイス120,130にプラグ接続することができる一方、トランスポンダ150はユーザのところにとどまる。
【0032】
プラグ140は既述の通信ユニット142およびプロセッサ143と、プラグキー141を格納するためのメモリ144とUSBプラグ146を有している。この場合、USBプラグ146はデバイス120,130の(図示されていない)USBポートにプラグ接続されるように構成されており、これについて図3を参照しながら説明する。
【0033】
トランスポンダ150は既述の通信ユニット152およびプロセッサ153と、トランスポンダキー151を格納するためのメモリ154を有している。
【0034】
1つの有利な実施形態によれば、トランスポンダ150はさらに識別インタフェース155を有している。この実施形態によればトランスポンダ150は作動させるために、何らかの種類の識別動作から成るユーザによる起動動作を必要とする。この識別動作は、たとえばバイオメトリックなものとすることができ、たとえば指紋または網膜スキャンを利用してもよいし、あるいはパスワードを利用してもよい。このユーザ識別は、有利にはプラグが取り外されるまで有効である。これに加えてユーザ識別情報を、さらに別の確認を行うためにサーバへ転送することもできる。なお、識別インタフェース155を物理的にはプラグ140内に配置することもできる。
【0035】
この有利な実施形態の適用例は、バーチャルプライベートネットワーク(Virtual Private Network VPN)セキュアコネクションである。VPNに接続するため、ユーザは個人識別番号(Personal Identification Number PIN)とセキュアトークンにより与えられた一時的な値とを入力する。有利な実施形態によれば上述の一時的な値はトランスポンダにより与えられ、この場合、トランスポンダは、すでに詳述したとおりユーザが識別されるとその値をサーバに送信する。
【0036】
さらに別の実施形態によればトランスポンダ150はさらに留め具159を有しており、これはたとえば金属製リングなどであって、この留め具はトランスポンダ150または携行可能なセキュリティデバイス170を取り付けるように構成されていて、キーリングなどユーザが通常携行するものに取り付けるとよい。
【0037】
通信ユニット142,153は双方向通信が可能であると有利である。ただし択一的な実施形態によれば、トランスポンダ150の通信ユニット152は送信機であり、プラグ140の通信ユニットは受信機である。この実施形態の場合、いずれの通信もトランスポンダ150からプラグ140への方向で行われる。
【0038】
図3には、本発明によるUSB部分の一形態が描かれている。USBプラグ146は本体1461とコネクタ1462から成り、このコネクタはUSBプラグ146が(図示されていない)デバイスのUSBポートにプラグ接続されるように構成されている。
【0039】
図4には本発明による方法の1つの実施形態に関するフローチャートが描かれており、この場合、ユーザはあるデバイスにおけるサービスへのアクセスを求めている。ステップ401においてこの方法がスタートした後、ステップ402においてこのデバイスのサービスに対し何らかのアクセス権制限が存在するか否かが照合される。アクセス制限が存在しないのであれば、このサービスに対するアクセス制限がないことからステップ403においてアクセス権が与えられる。ただし何らかの制限があるならば、この方法はステップ404においてプラグが挿入されるまで待機する。
【0040】
ステップ405において、プラグが汎用のものであるか否かが照合される。汎用のものでない場合、ステップ406においてアクセスマネージャに対し要求が出され、ステップ407においてそのプラグがデバイスに対し許可されているか否かが照合される。許可されていないのであれば、デバイスに対しそのプラグに権限が与えられていない理由でステップ408においてアクセスが拒否される。他方、そのプラグが許可されているか(ステップ407)またはプラグが汎用のものであるならば(ステップ405)、この方法は次に進み、ステップ409においてトランスポンダを検出する。
【0041】
ステップ410において、プラグが識別されているか否かが照合される。識別されていないのであれば、ステップ411においてアクセスマネージャに対しさらに交信が行われ、アクセス権を通すか否かが調べられる。アクセスマネージャがアクセス権を通さないならば、ステップ414においてアクセスが拒否され、識別されたトランスポンダがアクセスのために必要とされる。しかしながらアクセスマネージャがアクセス権を通すならば、ステップ413においていかなる特定の権限も必要とされないサービスに対しアクセスが提供される。
【0042】
ステップ410においてトランスポンダが識別されたならば、アクセスのためにペアリングが必要とされるか否かがステップ415において照合される。ペアリングが必要とされないならば、ステップ416においてアクセスマネージャに対し交信が行われ、サービスのアクセスに対しトランスポンダが許可されているか否か(必要なアクセス権をトランスポンダがもっているか否か)がステップ417において照合される。トランスポンダがアクセスを許可されているならば、ステップ419においてアクセス権が与えられ、そうでなければステップ418においてアクセスが拒否される。
【0043】
ステップ415においてペアリングが必要であると判定されたならば、ステップ420においてペアリングが検出される。ステップ421において整合が見出されなければ(すなわちプラグとトランスポンダが適切なペアではなければ)、ステップ422においてアクセスが拒否される。これに対しプラグとトランスポンダが適切にペアリングされているならば、ステップ423においてアクセスマネージャに対し交信が行われ、ステップ424においてトランスポンダが適切な権限をもっているか否かが照合される。トランスポンダがアクセスを許可されているならば、ステップ425においてアクセス権が与えられ、そうでなければステップ426においてアクセスが拒否される。
【0044】
図5には、本発明の有利な実施形態によるシステムの状態図500が示されている。最初の非セキュア状態501では、システム内には本発明によるセキュリティが存在していない。ステップ511においてアドミニストレータは、システム内のすべてのデバイスまたはその一部分あるいはデバイスのサービスに対するアクセスをすべて禁止する(ただし必要であれば変更を実施する目的でシステムに対するアドミニストレータ自身のアクセスは例外とする)。デバイスのサービスをたとえば以下のものとすることができる:ディスクドライブの利用、ディジタルインタフェース(たとえばUSBインタフェース、WIFI(登録商標カード、Bluetooth(登録商標)アダプタカード)の利用、所定のプログラムに対するアクセス、あるいはこれらの組み合わせ。この時点においてアクセスなし状態502では、サービスに対するアクセス権を誰も所有していない。
【0045】
アクセスなし状態502から出発して、アドミニストレータはステップ514においてアクセスを再び許可して非セキュア状態501に戻ることもできるし、あるいはアクセス権512を付与することもでき、それ以降、システムはセキュア状態503となる。この時点では、サービスに対するアクセス権の付与されたユーザだけがそのサービスにアクセスできる。
【0046】
さらにステップ513において、付与されたアクセス権を取り消すためにアドミニストレータに対しセキュア状態503からの脱出経路が設けられている。ただしここで述べておくと、セキュア状態503から離れることなく、個々のユーザごとにアクセス権を変更することができる(あるいは新たなユーザを追加することなどもできる)。
【0047】
図6には、本発明の有利な実施形態によるサービスアアクセス状態図600が示されている。(図5のセキュア状態503に対応する)初期状態601において、ユーザがアクセス権をもつサービスに対するアクセスを望むならば、ステップ611においてそのユーザは自身のプラグ140をデバイス120,130にプラグ接続する。これによってシステムは中間状態602におかれる。ユーザが自身のプラグ140を取り外すと、状態は初期状態601へと戻るけれども、トランスポンダ150が(有利にはユーザ本人のところに)存在しており、ステップ612においてプラグ140によりそのトランスポンダに権限が与えられているならば、アクセス状態603においてユーザは自身が権限をもつサービスにアクセスできる。ステップ614においてユーザがプラグ140を取り外して初期状態601になるまで、そのユーザはサービスを継続して利用することができるし、あるいはステップ613においてトランスポンダ150がプラグ140からすっかり遠くに離れてしまい、コネクション160が中断されて中間状態601になるまで、そのユーザはサービスを利用し続けることができる。
【0048】
権限付与は、たとえばセキュアソケットレイヤSecure Sockets Layer SSLアルゴリズムなど当業者に周知の何らかの適切な権限付与アルゴリズムを利用して実行することができ、有利にはプラグ140とトランスポンダ150のメモリ144,154にそれぞれ格納されているキー141,151が使用される。
【0049】
さらにプラグ140がアクセスマネージャ110により識別されると、プラグ140に対しアクセスマネージャ110により権限が付与され、その際、トランスポンダ150によるプラグ140の権限付与と同じ(または異なる)権限付与アルゴリズムが用いられる。
【0050】
図7には、トランスポンダとプラグがペアリングされペアとして対応づけられている場合の本発明のいくつかの実施形態が略示されている。
【0051】
第1の実施形態701の場合、アクセスマネージャ110はプラグ140とトランスポンダ150に関する情報を受け取り、これによってこれら2つの識別および/または権限付与を行うことができる。その後、アクセスマネージャ110は、プラグ140とトランスポンダ150がペアリングされているか否かを照合し、これはたとえばペアリングされているプラグとトランスポンダのリストを参照することによって、あるいは双方によってそれらが(たとえばキー141,151のような)機密を共有していることが立証されるのかについて照合することによって行われる。つまりアクセスマネージャ110は、対応しないプラグ140によって転送されたデータをもつトランスポンダ150に対しては権限を付与しないことになる。
【0052】
第2の実施形態702によれば、プラグ140はトランスポンダ状態をフィルタリングし、ペアリングされているトランスポンダ150に関する情報のみを転送する。その後、アクセスマネージャ110はトランスポンダ150に対し権限を付与する。
【0053】
第3の実施形態703によれば、プラグ140は自身がトランスポンダ150とペアリングされていることを照合し、照合が成功したときのみアクセスマネージャ110に対し情報を転送する。したがってプラグ140はトランスポンダ150に対し権限を付与する一方、アクセスマネージャ110により権限が与えられる。
【0054】
第4の実施形態704によれば、トランスポンダ150は自身に権限のみを付与するアクセスマネージャ110により権限が付与される前に、プラグ140に対して権限を付与する。
【0055】
付加的なセキュリティが要求される場合、アクセスマネージャ110は2つ以上のトランスポンダ150に対し、何らかのアクセス権が与えられる前に、存在していることおよび権限が付与されていることを要求することができる。この場合、ただ1つのプラグ140を複数のトランスポンダ150と通信させることができ、1つのトランスポンダに対応する複数のプラグをデバイス120,130に挿入することができ、あるいはこれらのことを組み合わせることができる。
【0056】
さらにトレーサビリティが得られるようにし追跡を可能にする目的で、アクセスマネージャ110がたとえば以下のようなイベントのログを保持することができる。
−トランスポンダの存在/不在、権限付与失敗を含む
−プラグの挿入/取り外し、場合によっては権限付与の失敗を含む
−ペアリングの問題
−権限付与された許可済みのサービス
−許可済みサービスの利用、たとえば認可済みインタフェースを介して伝送されたファイルのリスト
なお、本発明についてこれまで単に例示のために説明してきたが、本発明の範囲を逸脱することなく詳細な点を変更できることは自明である。殊に当業者には自明であるように、本発明はコンピュータに限定されるものではなく、アクセス権が論点となるたとえば以下のような実質的にあらゆる種類の機器によって利用することができる:
−自動車、この場合、ドライバが自動車から一瞬離れた状況において窃盗に対抗するため、ユーザがイグニッションにプラグを挿入し、トランスポンダを自身が保持する。さらにセキュリティを高めるために、窃盗犯人がドライバに対しトランスポンダの引き渡しを強いるような窃盗、あるいは窃盗犯人が侵入してトランスポンダを奪うような窃盗に対処する何らかの措置を働かせるために、トランスポンダがバイオメトリック識別を要求することができる。
−プラグが電話機自身に組み込まれている移動電話機、盗難された電話機の使用を何らかのかたちでいっそう困難にする。
−権限の与えられた看護師だけしか利用すべきでない医療機器。
−動作中、権限の与えられた人の存在を要求する何らかの専用リモートシステムのメンテナンス。
【0057】
明細書、特許請求の範囲ならびに図面に開示されている個々の特徴を互いに別個に設けることもできるし、あらゆる適切な組み合わせによって設けることもできる。なお、ハードウェアとして実装されるよう記載されている特徴をソフトウェアとして実装することもできるし、またその逆も可能である。さらに適用可能な状況においてコネクションをワイヤレスコネクションとして実装してもよいし、ライン結線してもよく、それらは必ずしもダイレクトなコネクションあるいは専用コネクションでなくてもよい。
【0058】
特許請求の範囲中の参照符号は例示のためだけであって、特許請求の範囲の限定を意図するものではない。
【図面の簡単な説明】
【0059】
【図1】本発明によるプレゼンスベースアクセスコントロールのためのシステムを示す図
【図2】本発明による携行可能なセキュリティ機器の実施形態の概略図
【図3】本発明によるUSB部分の一形態を示す図
【図4】本発明による方法の1つの実施形態を示すフローチャート
【図5】本発明の有利な実施形態によるシステムの状態図
【図6】本発明の有利な実施形態によるサービスアアクセス状態図
【図7】トランスポンダとプラグがペアリングされ場合の本発明のいくつかの実施形態の概略図
【技術分野】
【0001】
本発明は全般的にいえばアクセスコントロールに関し、殊にアクセスマネージャによりコントロールされるネットワークにおけるデバイスに対するアクセスコントロールに関する。
【背景技術】
【0002】
コンピュータネットワークにおいて、アクセスコントロールは以前から最も重要な事柄である。この問題に対する解決策は、ときにはオーバラップする少なくとも2つのカテゴリーのうちの1つに該当する。すなわちそれらのカテゴリーとは、ネットワーク内に格納されているコンテンツに対するアクセスの保護と、端末および/またはコンピュータ自体に対するアクセスの保護とである。
【0003】
第1のカテゴリーすなわちコンテンツに対するアクセスの保護としてのソリューションのうち、ネットワーク上のファイルに対するアクセス権すなわち所定のユーザはいくつかのファイルにアクセスできるが他のユーザはアクセスできないということと、ハッキング防止のための暗号化ファイルとを挙げることができる。
【0004】
ただし本発明は第2のカテゴリーすなわちコンピュータに対するアクセス保護に係わるものであって、このカテゴリーのうちいくつかの従来技術を以下に挙げておく:
−コンピュータにアクセス可能にするためユーザにパスワードを要求
−コンピュータにアクセスするためユーザにスマートカードの存在を要求するスマートカードリーダ
−ユーザが指紋によって本人であることを確認することを要求する等バイオメトリックセキュリティ。この種の解決策の1つはDEFCON(登録商標)指紋認証装置(登録商標)であり、これはUSB(汎用シリアルバス)と接続され、パスワードの代わりに使用される。
−DeviceLock(登録商標)によって、ユーザがどのインタフェースを使用できるのか、たとえばUSBポート、Bluetoothアダプタ、CD−ROMデバイスのいずれのインタフェースを使用できるのかを、アドミニストレータが決定することができる。
【0005】
従来技術の解決策は、いくつかの固有の問題点を有している。ユーザが忘れてしまわないようパスワードが書き留められることが多いし、あるいはユーザのペットや子供の名前などパスワードは推測されやすい。しかも、たとえばプリントアウトをしているときなど、ユーザがコンピュータをロックし忘れてしまうことが多い。これによって、コンピュータにアクセスしてはならない人に対しコンピュータへのアクセスが、少なくともその特定のユーザと同様に開放されたままになってしまう。
【0006】
スマートカードリーダの場合、パスワードの問題点の1つが生じる。すなわち、ユーザはたとえばプリントアウトをしているときなどに、自身のスマートカードを取り出さない傾向にあることが多い。これによってやはり、コンピュータにアクセスしてはならない人に対しコンピュータへのアクセスが、少なくともその特定のユーザと同様に開放されたままになってしまう。
【0007】
バイオメトリックセキュリティの場合にも、やはりこの問題点が発生する。一例として指紋の場合にユーザは、自身が適正な指紋をもっていることを示すようにはするけれども、検出器に自身の指を置いたままにしておかなくてもよい。上述の場合と同様、これによってもやはり、コンピュータにアクセスしてはならない人に対しコンピュータへのアクセスが、少なくとも特定のユーザと同様に開放されたままになってしまう。
【0008】
DeviceLock(登録商標)によってたしかにインタフェースは保護されるけれども、これによっても依然として、たとえばプリンタのところへ行くなどの理由でユーザが実際にはそこにいなくても、あるユーザに対しアクセスが与えられてしまうという問題点が発生する。この場合、プリンタの不調、用紙切れやトナー切れ等が起こった場合に、ユーザはときにはプリンタのところでかなり時間を費やさなければならない可能性がある。
【発明の開示】
【発明が解決しようとする課題】
【0009】
したがって本発明の課題は、アクセスコントロールを可能にする柔軟な解決策を提供することにあり、殊に上述の従来技術の欠点を克服できるようにしたインタフェースを提供することにある。
【課題を解決するための手段】
【0010】
本発明によればこの課題は、システムはアクセスマネージャとプラグとトランスポンダを有しており、該トランスポンダは、前記プラグと通信を行うように構成されており、該プラグは、前記デバイスへ挿入されるように構成されており、前記アクセスマネージャは、前記プラグが前記デバイスへ挿入されていること、前記トランスポンダが前記プラグの存在している状態にあること、および前記トランスポンダに対し前記サービスへのアクセスの権限が付与されていることの照合の成功に応答して、前記サービスへのアクセスを提供するように構成されており、該アクセスマネージャは、前記プラグに対し前記サービスへのアクセスの権限が付与されていることにより解決される。
【発明を実施するための最良の形態】
【0011】
第1の観点によれば本発明は、アクセスマネージャとプラグとトランスポンダを有するシステム内のデバイスにおけるサービスに対するアクセスをコントロールするシステムに関する。この場合、トランスポンダはプラグと通信を行うように構成されており、さらにプラグはデバイスへ挿入されるように構成されている。この場合、アクセスマネージャは、プラグがデバイスに挿入されていること、トランスポンダがプラグの存在している状態にあること、サービスへのアクセスの権限がプラグに付与されていること、およびサービスへのアクセスの権限がトランスポンダに付与されていることについての照合の成功に応答して、サービスに対するアクセスを提供するように構成されている。
【0012】
第2の観点によれば本発明は、アクセスマネージャとプラグとトランスポンダを有するシステム内のデバイスにおけるサービスに対するアクセスをコントロールする方法に関する。この場合、トランスポンダはプラグと通信を行うように構成されている。アクセスマネージャは、プラグがデバイスに挿入されていること、トランスポンダがプラグの存在している状態にあること、サービスへのアクセスの権限がプラグに付与されていること、およびサービスへのアクセスの権限がトランスポンダに付与されていることについて照合する。照合の成功に応答して、アクセスマネージャはサービスに対するアクセスを提供する。
【0013】
第3の観点によれば本発明は、プラグとトランスポンダを有するシステム内のデバイスにおけるサービスに対するアクセスをコントロールするアクセスマネージャに関する。アクセスマネージャは、プラグがデバイスに挿入されていること、サービスへのアクセスの権限がトランスポンダに付与されていること、およびトランスポンダがプラグの存在している状態にあることを照合する。アクセスマネージャはさらに、この照合の成功に応答してサービスに対するアクセスを提供するように構成されている。
【0014】
1つの有利な実施形態によればアクセスマネージャはサービスに対するアクセスを提供する前に、そのサービスへのアクセスの権限がプラグに付与されていることについて照合するように構成されている。
【0015】
さらに別の有利な実施形態によればアクセスマネージャは、トランスポンダがプラグの存在している状態にあることの照合をプラグから受け取るように構成されている。
【0016】
さらに別の有利な実施形態によればアクセスマネージャはサービスに対するアクセスを提供する前に、権限の付与されている複数のトランスポンダの存在を照合するように構成されている。
【0017】
次に、例示の目的で図面を参照しながら本発明の有利な特徴について説明する。
【実施例】
【0018】
図1には、本発明によるプレゼンスベースすなわち存在確認に基づくアクセスコントロールのためのシステムが描かれている。システム100には、アクセスマネージャ110とデバイスA 120とデバイスB 130といわゆるプラグ140とトランスポンダ150が含まれている。
【0019】
システム100においてアクセスマネージャ110は、ユーザのためにサービス121,131に対するアクセス権を割り当てる役割を果たす。ユーザがアクセス権をもつサービス121,131は許可済みサービスと呼ばれ、これは所定のユーザが対応するデバイス120,131を用いて何をすることが許可されているのかを表す。サービス121,131をたとえばUSBポートの使用、所定のディレクトリへのアクセス、デバイス自体を利用することなどとすることができる。なお、ユーザの所定の許可済みサービスをデバイスごとに異ならせることができる。また、それぞれ異なるユーザが1つまたは複数のデバイスに対してそれぞれ異なるアクセス権をもつことができる。さらにアクセス権を制限形restrictiveとすることができ、すなわちある一人のユーザだけが特別に許可されたアクセス権をもつことができ、他のすべてを禁止することができる。あるいは許容形permissiveとすることができ、すなわちある一人のユーザに対し特別に禁止されたサービスだけが許可されず、そのユーザは他のすべてのサービスにはアクセスできる。
【0020】
デバイスA 120やデバイスB 130のようなデバイスをたとえばパーソナルコンピュータまたはワークステーションとすることができるが、それらの実施形態に限定されるものではない。本発明によればデバイス120,130は、あとで説明するプラグ140とのインタフェースを成す少なくとも1つのプラグインタフェース122,132と、ユーザがアクセスを望む少なくとも1つのサービス121,131を有している。
【0021】
プラグインタフェース122,132はプラグ140とのインタフェースを成すよう整合されており、プラグ140は1つの有利な実施形態によればプラグインタフェース122,132に挿入される。プラグ140はプラグキー141とプロセッサ143と通信ユニット142を有しており、通信ユニット142はトランスポンダ150における通信ユニット152との通信用であり、トランスポンダ150もトランスポンダキー151とプロセッサ153を有している。
【0022】
プラグキー141とトランスポンダキー151を、プラグ140とトランスポンダ150との通信の暗号化に用いることができる。さらにキー141,151を、当業者に周知の何らかの方式に従いデバイス140,150間のペアリングを保証するために用いることもできる。また、キー141,151をマネージャ110との通信時に用いることができる。
【0023】
プラグ140を様々な形式あるいは様々なユーザモードとすることができる。一般的なプラグは特定の特徴を有しておらず、どのようなトランスポンダとも接続することができる。標準のプラグはアクセスマネージャ110によって識別される。ペアリングされたプラグは1つまたは複数のトランスポンダとペアとして対応づけられており、その1つまたは複数のトランスポンダとのみ接続されることになり、つまりユーザはプラグおよびそれとペアとして対応づけられている1つ(または少なくとも1つ)のトランスポンダの双方を必要とする。
【0024】
トランスポンダ150は、邪魔されず面倒にならずにユーザ自身がいつも携行できるのに十分に小さい機器であると有利である。トランスポンダ150をたとえばユーザの鍵といっしょにキーホルダーで携行できるもの、またはユーザのバッジに取り付けられるものとすることができるし、あるいはバッジそのものとしてもよい。
【0025】
トランスポンダ150は、プラグ140とトランスポンダ150との間で有利には電磁的な(殊に無線による)コネクション160が確立されているときに、プラグ140が存在している状態にあるとされ、これとは逆にプラグ140とトランスポンダ150との間でコネクションが確立されていなければ、プラグ140が不在の状態にあるとされる。トランスポンダ150がプラグ140の存在している状態にあるか否かを照合するやり方の一例は、プラグ140に対してタイマをセットし、トランスポンダ150からの信号を待つようにすることである。タイマが経過してしまう前に信号が到達すれば、トランスポンダ150はプラグ140が存在する状態となり、そうでなければトランスポンダ150はプラグ140が存在しない状態となる。プラグ140は有利にはこのプロセスを繰り返し、たとえばプラグ140が取り除かれるまで繰り返される(必ずしもタイマが同じ値にセットされなくてもよい)。有利には応答リミットをセットするためにタイマを使用して、トランスポンダ150がプラグ140の存在の指示に応答して信号を送信するよう、プラグ140が要求することもできる。
【0026】
「存在」状態と「不在」状態(それぞれ「存在している」「不在である」とも称する)を、トランスポンダ状態と呼ぶ。コネクションの最大範囲はインプリメンテーションに依存するけれども、1つの有利な実施形態によればこの範囲は、妨害が比較的ない環境で約3mに制限される。トランスポンダ150とプラグ140との間の通信のためには、持続的に「存在状態」が確立されている必要はない。いくつかの実施形態によれば、規則的または不規則とすることのできるインターバルで、たとえば平均でたとえば5秒ごとに、トランスポンダが信号を送信すれば十分である。
【0027】
使用に先だって、アクセスマネージャ110はデバイス120,130、サービストランスポンダ150、プラグ140(汎用のプラグを除く)およびトランスポンダとプラグとの何らかのペアリング関係を識別する。これを行う目的は、アクセス権を適切に割り当てることができるようにするためである。
【0028】
この段階においてアクセスマネージャ110は、有利にはサービスアクセスリスト内の各トランスポンダ150に対し以下のように権限を与える:
−トランスポンダがアクセス権を有するデバイス;
−これらのデバイス各々について:
○権限の与えられたプラグ;
○権限の与えられたプラグごとに:
■トランスポンダがプラグとのペアリングを必要とするか否か;
■許可されたサービス
あとでさらに説明するように、これまで述べてきた要素は以下の関係をもっている。
−プラグ140はデバイス120,130に挿入される;
−プラグ140はトランスポンダ150の存在または不在を検出する;
−プラグ140はトランスポンダ状態をデバイス120,130へ送信し、これらのデバイスは状態をアクセスマネージャ110へ転送する。
−アクセスマネージャ110はトランスポンダ150に権限を与え、デバイス120,130のサービス121,131に対するアクセス権を与えるかまたは拒絶する。
−プラグ140はトランスポンダ150が存在していることを規則的に照合する。
【0029】
トランスポンダの存在を照合する目的でプラグ140はたとえば、所定期間経過前にトランスポンダから信号を受信していることを規則的に照合することができるが、実装形態によってはプラグ140は、トランスポンダが自身の存在を示す信号によって応答するよう要求することもできる。
【0030】
すでに述べたようにプラグの形態に依存して、以下の関係を加えることができる:
−アクセスマネージャ110がプラグ140に権限を与える;
−プラグ140はトランスポンダの状態をフィルタリングすることができる。すなわちたとえばペアリングされているプラグだけが、自身とペアになっている1つまたは複数のトランスポンダに関するトランスポンダ状態を送信することができる。
【0031】
図2には、本発明による携行可能なセキュリティ機器の実施形態が略示されている。携行可能なセキュリティ機器170は2つの部分すなわちプラグ140とトランスポンダ150から成る。1つの有利な実施形態によれば、プラグ140とトランスポンダ150をユーザにとって容易に携行できる機器170を形成するためにセキュアに結合することができるが、それらを容易に切り離することもでき、それによってプラグ140をデバイス120,130にプラグ接続することができる一方、トランスポンダ150はユーザのところにとどまる。
【0032】
プラグ140は既述の通信ユニット142およびプロセッサ143と、プラグキー141を格納するためのメモリ144とUSBプラグ146を有している。この場合、USBプラグ146はデバイス120,130の(図示されていない)USBポートにプラグ接続されるように構成されており、これについて図3を参照しながら説明する。
【0033】
トランスポンダ150は既述の通信ユニット152およびプロセッサ153と、トランスポンダキー151を格納するためのメモリ154を有している。
【0034】
1つの有利な実施形態によれば、トランスポンダ150はさらに識別インタフェース155を有している。この実施形態によればトランスポンダ150は作動させるために、何らかの種類の識別動作から成るユーザによる起動動作を必要とする。この識別動作は、たとえばバイオメトリックなものとすることができ、たとえば指紋または網膜スキャンを利用してもよいし、あるいはパスワードを利用してもよい。このユーザ識別は、有利にはプラグが取り外されるまで有効である。これに加えてユーザ識別情報を、さらに別の確認を行うためにサーバへ転送することもできる。なお、識別インタフェース155を物理的にはプラグ140内に配置することもできる。
【0035】
この有利な実施形態の適用例は、バーチャルプライベートネットワーク(Virtual Private Network VPN)セキュアコネクションである。VPNに接続するため、ユーザは個人識別番号(Personal Identification Number PIN)とセキュアトークンにより与えられた一時的な値とを入力する。有利な実施形態によれば上述の一時的な値はトランスポンダにより与えられ、この場合、トランスポンダは、すでに詳述したとおりユーザが識別されるとその値をサーバに送信する。
【0036】
さらに別の実施形態によればトランスポンダ150はさらに留め具159を有しており、これはたとえば金属製リングなどであって、この留め具はトランスポンダ150または携行可能なセキュリティデバイス170を取り付けるように構成されていて、キーリングなどユーザが通常携行するものに取り付けるとよい。
【0037】
通信ユニット142,153は双方向通信が可能であると有利である。ただし択一的な実施形態によれば、トランスポンダ150の通信ユニット152は送信機であり、プラグ140の通信ユニットは受信機である。この実施形態の場合、いずれの通信もトランスポンダ150からプラグ140への方向で行われる。
【0038】
図3には、本発明によるUSB部分の一形態が描かれている。USBプラグ146は本体1461とコネクタ1462から成り、このコネクタはUSBプラグ146が(図示されていない)デバイスのUSBポートにプラグ接続されるように構成されている。
【0039】
図4には本発明による方法の1つの実施形態に関するフローチャートが描かれており、この場合、ユーザはあるデバイスにおけるサービスへのアクセスを求めている。ステップ401においてこの方法がスタートした後、ステップ402においてこのデバイスのサービスに対し何らかのアクセス権制限が存在するか否かが照合される。アクセス制限が存在しないのであれば、このサービスに対するアクセス制限がないことからステップ403においてアクセス権が与えられる。ただし何らかの制限があるならば、この方法はステップ404においてプラグが挿入されるまで待機する。
【0040】
ステップ405において、プラグが汎用のものであるか否かが照合される。汎用のものでない場合、ステップ406においてアクセスマネージャに対し要求が出され、ステップ407においてそのプラグがデバイスに対し許可されているか否かが照合される。許可されていないのであれば、デバイスに対しそのプラグに権限が与えられていない理由でステップ408においてアクセスが拒否される。他方、そのプラグが許可されているか(ステップ407)またはプラグが汎用のものであるならば(ステップ405)、この方法は次に進み、ステップ409においてトランスポンダを検出する。
【0041】
ステップ410において、プラグが識別されているか否かが照合される。識別されていないのであれば、ステップ411においてアクセスマネージャに対しさらに交信が行われ、アクセス権を通すか否かが調べられる。アクセスマネージャがアクセス権を通さないならば、ステップ414においてアクセスが拒否され、識別されたトランスポンダがアクセスのために必要とされる。しかしながらアクセスマネージャがアクセス権を通すならば、ステップ413においていかなる特定の権限も必要とされないサービスに対しアクセスが提供される。
【0042】
ステップ410においてトランスポンダが識別されたならば、アクセスのためにペアリングが必要とされるか否かがステップ415において照合される。ペアリングが必要とされないならば、ステップ416においてアクセスマネージャに対し交信が行われ、サービスのアクセスに対しトランスポンダが許可されているか否か(必要なアクセス権をトランスポンダがもっているか否か)がステップ417において照合される。トランスポンダがアクセスを許可されているならば、ステップ419においてアクセス権が与えられ、そうでなければステップ418においてアクセスが拒否される。
【0043】
ステップ415においてペアリングが必要であると判定されたならば、ステップ420においてペアリングが検出される。ステップ421において整合が見出されなければ(すなわちプラグとトランスポンダが適切なペアではなければ)、ステップ422においてアクセスが拒否される。これに対しプラグとトランスポンダが適切にペアリングされているならば、ステップ423においてアクセスマネージャに対し交信が行われ、ステップ424においてトランスポンダが適切な権限をもっているか否かが照合される。トランスポンダがアクセスを許可されているならば、ステップ425においてアクセス権が与えられ、そうでなければステップ426においてアクセスが拒否される。
【0044】
図5には、本発明の有利な実施形態によるシステムの状態図500が示されている。最初の非セキュア状態501では、システム内には本発明によるセキュリティが存在していない。ステップ511においてアドミニストレータは、システム内のすべてのデバイスまたはその一部分あるいはデバイスのサービスに対するアクセスをすべて禁止する(ただし必要であれば変更を実施する目的でシステムに対するアドミニストレータ自身のアクセスは例外とする)。デバイスのサービスをたとえば以下のものとすることができる:ディスクドライブの利用、ディジタルインタフェース(たとえばUSBインタフェース、WIFI(登録商標カード、Bluetooth(登録商標)アダプタカード)の利用、所定のプログラムに対するアクセス、あるいはこれらの組み合わせ。この時点においてアクセスなし状態502では、サービスに対するアクセス権を誰も所有していない。
【0045】
アクセスなし状態502から出発して、アドミニストレータはステップ514においてアクセスを再び許可して非セキュア状態501に戻ることもできるし、あるいはアクセス権512を付与することもでき、それ以降、システムはセキュア状態503となる。この時点では、サービスに対するアクセス権の付与されたユーザだけがそのサービスにアクセスできる。
【0046】
さらにステップ513において、付与されたアクセス権を取り消すためにアドミニストレータに対しセキュア状態503からの脱出経路が設けられている。ただしここで述べておくと、セキュア状態503から離れることなく、個々のユーザごとにアクセス権を変更することができる(あるいは新たなユーザを追加することなどもできる)。
【0047】
図6には、本発明の有利な実施形態によるサービスアアクセス状態図600が示されている。(図5のセキュア状態503に対応する)初期状態601において、ユーザがアクセス権をもつサービスに対するアクセスを望むならば、ステップ611においてそのユーザは自身のプラグ140をデバイス120,130にプラグ接続する。これによってシステムは中間状態602におかれる。ユーザが自身のプラグ140を取り外すと、状態は初期状態601へと戻るけれども、トランスポンダ150が(有利にはユーザ本人のところに)存在しており、ステップ612においてプラグ140によりそのトランスポンダに権限が与えられているならば、アクセス状態603においてユーザは自身が権限をもつサービスにアクセスできる。ステップ614においてユーザがプラグ140を取り外して初期状態601になるまで、そのユーザはサービスを継続して利用することができるし、あるいはステップ613においてトランスポンダ150がプラグ140からすっかり遠くに離れてしまい、コネクション160が中断されて中間状態601になるまで、そのユーザはサービスを利用し続けることができる。
【0048】
権限付与は、たとえばセキュアソケットレイヤSecure Sockets Layer SSLアルゴリズムなど当業者に周知の何らかの適切な権限付与アルゴリズムを利用して実行することができ、有利にはプラグ140とトランスポンダ150のメモリ144,154にそれぞれ格納されているキー141,151が使用される。
【0049】
さらにプラグ140がアクセスマネージャ110により識別されると、プラグ140に対しアクセスマネージャ110により権限が付与され、その際、トランスポンダ150によるプラグ140の権限付与と同じ(または異なる)権限付与アルゴリズムが用いられる。
【0050】
図7には、トランスポンダとプラグがペアリングされペアとして対応づけられている場合の本発明のいくつかの実施形態が略示されている。
【0051】
第1の実施形態701の場合、アクセスマネージャ110はプラグ140とトランスポンダ150に関する情報を受け取り、これによってこれら2つの識別および/または権限付与を行うことができる。その後、アクセスマネージャ110は、プラグ140とトランスポンダ150がペアリングされているか否かを照合し、これはたとえばペアリングされているプラグとトランスポンダのリストを参照することによって、あるいは双方によってそれらが(たとえばキー141,151のような)機密を共有していることが立証されるのかについて照合することによって行われる。つまりアクセスマネージャ110は、対応しないプラグ140によって転送されたデータをもつトランスポンダ150に対しては権限を付与しないことになる。
【0052】
第2の実施形態702によれば、プラグ140はトランスポンダ状態をフィルタリングし、ペアリングされているトランスポンダ150に関する情報のみを転送する。その後、アクセスマネージャ110はトランスポンダ150に対し権限を付与する。
【0053】
第3の実施形態703によれば、プラグ140は自身がトランスポンダ150とペアリングされていることを照合し、照合が成功したときのみアクセスマネージャ110に対し情報を転送する。したがってプラグ140はトランスポンダ150に対し権限を付与する一方、アクセスマネージャ110により権限が与えられる。
【0054】
第4の実施形態704によれば、トランスポンダ150は自身に権限のみを付与するアクセスマネージャ110により権限が付与される前に、プラグ140に対して権限を付与する。
【0055】
付加的なセキュリティが要求される場合、アクセスマネージャ110は2つ以上のトランスポンダ150に対し、何らかのアクセス権が与えられる前に、存在していることおよび権限が付与されていることを要求することができる。この場合、ただ1つのプラグ140を複数のトランスポンダ150と通信させることができ、1つのトランスポンダに対応する複数のプラグをデバイス120,130に挿入することができ、あるいはこれらのことを組み合わせることができる。
【0056】
さらにトレーサビリティが得られるようにし追跡を可能にする目的で、アクセスマネージャ110がたとえば以下のようなイベントのログを保持することができる。
−トランスポンダの存在/不在、権限付与失敗を含む
−プラグの挿入/取り外し、場合によっては権限付与の失敗を含む
−ペアリングの問題
−権限付与された許可済みのサービス
−許可済みサービスの利用、たとえば認可済みインタフェースを介して伝送されたファイルのリスト
なお、本発明についてこれまで単に例示のために説明してきたが、本発明の範囲を逸脱することなく詳細な点を変更できることは自明である。殊に当業者には自明であるように、本発明はコンピュータに限定されるものではなく、アクセス権が論点となるたとえば以下のような実質的にあらゆる種類の機器によって利用することができる:
−自動車、この場合、ドライバが自動車から一瞬離れた状況において窃盗に対抗するため、ユーザがイグニッションにプラグを挿入し、トランスポンダを自身が保持する。さらにセキュリティを高めるために、窃盗犯人がドライバに対しトランスポンダの引き渡しを強いるような窃盗、あるいは窃盗犯人が侵入してトランスポンダを奪うような窃盗に対処する何らかの措置を働かせるために、トランスポンダがバイオメトリック識別を要求することができる。
−プラグが電話機自身に組み込まれている移動電話機、盗難された電話機の使用を何らかのかたちでいっそう困難にする。
−権限の与えられた看護師だけしか利用すべきでない医療機器。
−動作中、権限の与えられた人の存在を要求する何らかの専用リモートシステムのメンテナンス。
【0057】
明細書、特許請求の範囲ならびに図面に開示されている個々の特徴を互いに別個に設けることもできるし、あらゆる適切な組み合わせによって設けることもできる。なお、ハードウェアとして実装されるよう記載されている特徴をソフトウェアとして実装することもできるし、またその逆も可能である。さらに適用可能な状況においてコネクションをワイヤレスコネクションとして実装してもよいし、ライン結線してもよく、それらは必ずしもダイレクトなコネクションあるいは専用コネクションでなくてもよい。
【0058】
特許請求の範囲中の参照符号は例示のためだけであって、特許請求の範囲の限定を意図するものではない。
【図面の簡単な説明】
【0059】
【図1】本発明によるプレゼンスベースアクセスコントロールのためのシステムを示す図
【図2】本発明による携行可能なセキュリティ機器の実施形態の概略図
【図3】本発明によるUSB部分の一形態を示す図
【図4】本発明による方法の1つの実施形態を示すフローチャート
【図5】本発明の有利な実施形態によるシステムの状態図
【図6】本発明の有利な実施形態によるサービスアアクセス状態図
【図7】トランスポンダとプラグがペアリングされ場合の本発明のいくつかの実施形態の概略図
【特許請求の範囲】
【請求項1】
システム(100)内のデバイス(120,130)におけるサービス(121,131)に対するアクセスをコントロールするシステム(100)において、
該システム(100)はアクセスマネージャ(110)とプラグ(140)とトランスポンダ(150)を有しており、
該トランスポンダ(150)は、前記プラグ(140)と通信を行うように構成されており、
該プラグ(140)は、前記デバイス(120,130)へ挿入されるように構成されており、
前記アクセスマネージャ(110)は、前記プラグ(140)が前記デバイス(120,130)へ挿入されていること、前記トランスポンダ(150)が前記プラグ(140)の存在している状態にあること、および前記トランスポンダ(150)に対し前記サービス(121,131)へのアクセスの権限が付与されていることの照合の成功に応答して、前記サービス(121,131)へのアクセスを提供するように構成されており、
該アクセスマネージャ(110)は、前記プラグ(140)に対し前記サービス(121,131)へのアクセスの権限が付与されていることを照合することを特徴とするシステム。
【請求項2】
システム(100)内のデバイス(120,130)におけるサービス(121,131)に対するアクセスをコントロールする方法において、
アクセスマネージャ(110)とプラグ(140)とトランスポンダ(150)が設けられており、
前記トランスポンダ(150)は、前記プラグ(140)と通信を行うように構成されていて、
前記アクセスマネージャ(110)のところで、前記プラグ(140)が前記デバイス(120,130)へ挿入されていること、前記トランスポンダ(150)がプラグ(140)の存在している状態にあること、および前記サービス(121,131)へのアクセスの権限が前記トランスポンダ(150)に付与されていることを照合し、該照合の成功に応答して前記サービス(121,131)に対するアクセスを提供するステップと、
前記アクセスマネージャ(110)により、前記サービス(121,131)に対するアクセスを提供する前に、該サービス(121,131)へのアクセスの権限が前記プラグ(140)に付与されていることを照合するステップが設けられていることを特徴とする方法。
【請求項3】
システム(100)内のデバイス(120,130)におけるサービス(121,131)に対するアクセスをコントロールするアクセスマネージャ(110)において、前記システムはプラグ(140)とトランスポンダ(150)を有しており、
前記プラグ(140)が前記デバイス(120,130)に挿入されていること、前記サービス(121,131)へのアクセスの権限が前記トランスポンダ(150)に付与されていること、および前記トランスポンダ(150)がプラグ(140)の存在している状態にあることを照合し、該照合の成功に応答して前記サービス(121,131)に対するアクセスを提供し、
該サービス(121,131)に対するアクセスを提供する前に、該サービス(121,131)へのアクセスの権限が前記プラグ(140)に付与されていることを照合することを特徴とするアクセスマネージャ。
【請求項1】
システム(100)内のデバイス(120,130)におけるサービス(121,131)に対するアクセスをコントロールするシステム(100)において、
該システム(100)はアクセスマネージャ(110)とプラグ(140)とトランスポンダ(150)を有しており、
該トランスポンダ(150)は、前記プラグ(140)と通信を行うように構成されており、
該プラグ(140)は、前記デバイス(120,130)へ挿入されるように構成されており、
前記アクセスマネージャ(110)は、前記プラグ(140)が前記デバイス(120,130)へ挿入されていること、前記トランスポンダ(150)が前記プラグ(140)の存在している状態にあること、および前記トランスポンダ(150)に対し前記サービス(121,131)へのアクセスの権限が付与されていることの照合の成功に応答して、前記サービス(121,131)へのアクセスを提供するように構成されており、
該アクセスマネージャ(110)は、前記プラグ(140)に対し前記サービス(121,131)へのアクセスの権限が付与されていることを照合することを特徴とするシステム。
【請求項2】
システム(100)内のデバイス(120,130)におけるサービス(121,131)に対するアクセスをコントロールする方法において、
アクセスマネージャ(110)とプラグ(140)とトランスポンダ(150)が設けられており、
前記トランスポンダ(150)は、前記プラグ(140)と通信を行うように構成されていて、
前記アクセスマネージャ(110)のところで、前記プラグ(140)が前記デバイス(120,130)へ挿入されていること、前記トランスポンダ(150)がプラグ(140)の存在している状態にあること、および前記サービス(121,131)へのアクセスの権限が前記トランスポンダ(150)に付与されていることを照合し、該照合の成功に応答して前記サービス(121,131)に対するアクセスを提供するステップと、
前記アクセスマネージャ(110)により、前記サービス(121,131)に対するアクセスを提供する前に、該サービス(121,131)へのアクセスの権限が前記プラグ(140)に付与されていることを照合するステップが設けられていることを特徴とする方法。
【請求項3】
システム(100)内のデバイス(120,130)におけるサービス(121,131)に対するアクセスをコントロールするアクセスマネージャ(110)において、前記システムはプラグ(140)とトランスポンダ(150)を有しており、
前記プラグ(140)が前記デバイス(120,130)に挿入されていること、前記サービス(121,131)へのアクセスの権限が前記トランスポンダ(150)に付与されていること、および前記トランスポンダ(150)がプラグ(140)の存在している状態にあることを照合し、該照合の成功に応答して前記サービス(121,131)に対するアクセスを提供し、
該サービス(121,131)に対するアクセスを提供する前に、該サービス(121,131)へのアクセスの権限が前記プラグ(140)に付与されていることを照合することを特徴とするアクセスマネージャ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2006−209762(P2006−209762A)
【公開日】平成18年8月10日(2006.8.10)
【国際特許分類】
【出願番号】特願2006−12370(P2006−12370)
【出願日】平成18年1月20日(2006.1.20)
【出願人】(501263810)トムソン ライセンシング (2,848)
【氏名又は名称原語表記】Thomson Licensing
【住所又は居所原語表記】46 Quai A. Le Gallo, F−92100 Boulogne−Billancourt, France
【Fターム(参考)】
【公開日】平成18年8月10日(2006.8.10)
【国際特許分類】
【出願日】平成18年1月20日(2006.1.20)
【出願人】(501263810)トムソン ライセンシング (2,848)
【氏名又は名称原語表記】Thomson Licensing
【住所又は居所原語表記】46 Quai A. Le Gallo, F−92100 Boulogne−Billancourt, France
【Fターム(参考)】
[ Back to top ]