本发明专利技术提供一种便携终端、访问控制管理装置以及访问控制管理方法。便携终端(200)具备:应用执行部(240);访问控制规则管理部(270),其保存访问控制规则,该规则规定应用程序向终端内的机密资源的访问权限的有无和决定单元;访问控制规则询问部(220),其指定便携终端具有的用户识别模块的标识符和便携终端自身的标识符中的至少一个,从外部装置取得访问控制规则,并保存在访问控制规则管理部中;询问要否判断部(260),其在应用程序访问机密资源时,调出访问控制规则询问部,并判断是否更新访问控制规则;权限管理部(230),其根据访问控制规则,判断访问权限的有无;以及机密资源管理部(250),其根据权限管理部(230)的判断结果,许可或拒绝应用程序的向机密资源的访问请求。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种便携终端、访问控制管理装置以及访问控制管理方法。
技术介绍
已公开了在便携终端的遗失或被盗时为了保护便携终端的机密功能,通过远程控制进行访问控制规则的变更或数据删除的设备管理技术(参照例如特开平7-193865号公报)。更具体地说,公开了:通过通信线路由外部向遗失的便携终端发送遥控操作数据,接收到该数据的无线便携终端解析遥控操作数据的内容,可执行用于排除对所有者不利的情况的保护处理的无线便携终端的构成方法以及确保安全的方法。作为针对上述现有方法的第一课题,存在如下危险:在便携终端位于通信服务的服务区外时或在便携终端上安装有意想不到的用户识别模块时,远程控制请求未到达而无法进行远程控制,因此无法防止对机密数据或机密功能(下面将这些统称为“机密资源”)的不正当访问。用户识别模块(User IdentityModule,简称为UIM)是指SIM(Subscriber Identity Module)或USIM(UserSubscriber Identity Module)等、在卡内记录有用户的电话号码或契约的便携电话运营商的信息等的IC卡,通过将UIM安装在便携终端,通过记录在卡内的电话号码可以利用该终端。远程控制请求以电话号码等标识符为目的地来发送,因此在安装有别的UIM时,虽然封锁了捆绑在原来的UIM的数据,但是无法进行其删除或功能的封锁。另外,作为第二课题,在管理的便携终端较多时,在访问控制规则的变更时需要同时执行远程控制,因此存在由于管理装置或网络的负荷而无法立即反应到远程控制的可能性。此时也存在对于远程控制较晚的便携终端无法防止不正当访问的危险。作为统一进行远程控制的例子,存在对于特定的便携终端集合,在网络侧统一控制场所或时间段等的访问控制的情况,或者在需要删除机-->密数据时,对于保存有该机密数据的所有便携终端发送数据删除命令的情况。
技术实现思路
因此,本专利技术是鉴于上述课题而提出的,其目的在于,提供一种即使在服务区外也可以锁定向机密资源的访问,并且可以防止在访问控制规则的变更时负荷集中的便携终端、访问控制管理装置以及访问控制管理方法。为了达到上述目的,本专利技术的第一特征是一种便携终端,其具备:(a)应用执行部,其执行应用程序;(b)访问控制规则管理部,其保存访问控制规则,该规则规定所述应用程序向终端内的机密资源的访问权限的有无和决定单元;(c)访问控制规则询问部,其指定便携终端具有的用户识别模块的标识符和便携终端自身的标识符中的至少一个,从外部装置取得所述访问控制规则,并保存在访问控制规则管理部中;(d)询问要否判断部,其在所述应用程序访问机密资源时,判断是否更新所述访问控制规则,并进行更新;(e)权限管理部,其根据所述访问控制规则,判断访问权限的有无;以及(f)机密资源管理部,其根据所述权限管理部的判断结果,许可或不许可所述应用程序向机密资源的访问请求。根据第一特征中的便携终端,在便携终端上的应用访问机密资源时,判断是否需要更新访问控制规则,在需要更新时,更新访问控制规则并反映给权限管理。在便携终端的访问控制时,按照更新过的访问控制规则,在服务区外时封锁向机密资源的访问,或者进行用户认证,或者删除机密资源,由此在服务区外时也可以保护机密资源。另外,在第一特征中的便携终端中,所述询问要否判断部,在所述便携终端在一定时间以上处于服务区外状态时,也可以在访问控制规则中附加用户认证命令、封锁命令、机密数据的删除命令中的至少一个来进行更新。根据该便携终端,在便携终端处于服务区外状态时,也可以通过用户认证来担保一定的安全性,同时可以访问机密资源,可以确保用户的便利性。或者,通过封锁命令或机密数据的删除命令,可以提高服务区外状态下的机密资源的保护。另外,在第一特征中的便携终端的询问要否判断部也可以具备超高速缓冲存储控制部,其检查在访问控制规则中设定的有效期限,在期限期满时调出访-->问控制规则询问部。根据该便携终端,在向机密资源的访问时,始终不需要询问访问控制管理装置,因此可以提高应答性。另外,在各便携终端访问机密资源时,通过询问访问控制管理装置,可以防止访问控制规则的变更时负荷集中,对多个便携终端可以进行适时的访问控制。另外,第一特征中的便携终端的询问要否判断部,在所述权限管理部中用户认证成功时,也可以更新为将访问控制规则的用户认证命令解除一定时间。根据该便携终端,在先前用户认证已经成功的情况下,在向机密资源的访问时,一定时间内不需要询问用户,因此可以提高用户的便利性和应答性。另外,在第一特征中的便携终端的权限管理部,也可以具备日志发送部,其记录向机密资源的访问的日志,并发送给外部装置。根据该便携终端,由访问控制管理装置可以验证访问控制的动作,同时便携终端不进行用户的认证或向访问控制管理装置的询问,而可以许可向部分机密资源的访问。而且,万一机密信息被泄漏的情况下,也可以通过解析日志,来掌握哪一信息被泄漏了或操作了哪一功能。另外,第一特征中的便携终端的机密资源管理部,也可以具备机密数据删除部,其在所述访问控制规则询问部所取得的、或者由询问要否判断部所更新过的访问控制规则中有机密数据的删除命令时,删除该机密数据。而且,询问要否判断部在权限管理部中用户认证失败时,也可以在访问控制规则中附加机密数据的删除命令来进行更新。根据该便携终端,可以保护被盗或遗失时的机密数据的泄漏。另外,在用户认证失败的情况下,通过进行数据删除可以削减信息泄漏的危险性。另外。第一特征中的便携终端的访问控制规则询问部,在便携终端没有安装特定的用户识别模块的状态下,有向所述特定的用户识别模块所对应的机密资源的访问时,也可以指定便携终端的标识符来从访问控制管理装置取得访问控制规则。根据该便携终端,在便携终端中插入有其他用户识别模块(UIM)的状态下,也可以实施在该终端的特定UIM上捆绑的数据的删除等远程控制。本专利技术的第二特征是一种访问控制管理装置,其具备:(a)用户管理部,-->其保存便携终端的用户信息以及对所述便携终端赋予的访问控制规则;(b)用户认证部,其进行用户认证;(c)访问控制规则应答部,其对于来自所述便携终端的、包含便携终端所具有的用户识别模块的标识符和便携终端自身的标识符中的至少一个指定的访问控制规则的询问,应答该便携终端的访问控制规则;(d)访问控制请求接收部,其接收来自用户的、对便携终端或多个便携终端的访问控制规则的登录请求或者变更请求;(e)访问控制规则验证管理部,其对验证所述访问控制规则的登录请求或者变更请求的规则进行管理;以及(f)访问控制规则验证部,其按照验证所述访问控制规则的规则,验证所述登录请求或者变更请求。根据第二特征中的访问控制管理装置,便携终端能够以便携终端自身的标识符来询问访问控制规则,在更换用户识别模块的状态下也能取得向该便携终端的访问控制规则,可以防止便携终端的不正当利用。另外,通过访问控制规则的验证,可以防止接受对该便携终端不具有权限的用户的访问控制规则的请求,可以进行通信运营商的策略的强制。另外,第二特征中的访问控制管理装置的访问控制请求接收部也可以接收包含有效期限的登录请求或者变更请求。根据该访问控制管理装置,按照机密资源的重要度或安全性的要求级别,用户可以设定适当的安全本文档来自技高网...
【技术保护点】
一种便携终端,其特征在于,具备:应用执行部,其执行应用程序;访问控制规则管理部,其保存访问控制规则,该规则规定所述应用程序向终端内的机密资源的访问权限的有无和决定单元;访问控制规则询问部,其指定便携终端具有的 用户识别模块的标识符和便携终端自身的标识符中的至少一个,从外部装置取得所述访问控制规则,并保存在访问控制规则管理部中;询问要否判断部,其在所述应用程序访问机密资源时,判断是否更新所述访问控制规则,并进行更新;权限管理部,其根 据所述访问控制规则,判断访问权限的有无;以及机密资源管理部,其根据所述权限管理部的判断结果,许可或不许可所述应用程序向机密资源的访问请求。
【技术特征摘要】
【国外来华专利技术】JP 2005-10-13 299232/20051.一种便携终端,其特征在于,具备:应用执行部,其执行应用程序;访问控制规则管理部,其保存访问控制规则,该规则规定所述应用程序向终端内的机密资源的访问权限的有无和决定单元;访问控制规则询问部,其指定便携终端具有的用户识别模块的标识符和便携终端自身的标识符中的至少一个,从外部装置取得所述访问控制规则,并保存在访问控制规则管理部中;询问要否判断部,其在所述应用程序访问机密资源时,判断是否更新所述访问控制规则,并进行更新;权限管理部,其根据所述访问控制规则,判断访问权限的有无;以及机密资源管理部,其根据所述权限管理部的判断结果,许可或不许可所述应用程序向机密资源的访问请求。2.根据权利要求1所述的便携终端,其特征在于,所述询问要否判断部,在所述便携终端在一定时间以上处于服务区外状态时,在访问控制规则中附加用户认证命令、封锁命令、机密数据的删除命令中的至少一个来进行更新。3.根据权利要求1或2所述的便携终端,其特征在于,所述询问要否判断部,具备超高速缓冲存储控制部,其检查在访问控制规则中设定的有效期限,在期限期满时调出访问控制规则询问部。4.根据权利要求3所述的便携终端,其特征在于,所述询问要否判断部,在所述权限管理部中用户认证成功时,更新为将访问控制规则的用户认证命令解除一定时间。5.根据权利要求1至4中任意一项所述的便携终端,其特征在于,所述权限管理部具备日志发送部,其记录向机密资源的访问的日志,并发送给外部装置。6.根据权利要求1至5中任意一项所述的便携终端,其特征在于,所述机密资源管理部具备机密数据删除部,其在所述访问控制规则询问部所取得的访问控制规则中有机密数据的删除命令时,删除该机密数据,所述询问要否判断部在权限管理部中用户认证失败时,在访问控制规则中附加机密数据的删除命令来进行更新。7.根据权利要求1至6中任意一项所述的便携终端,其特征在于...
【专利技术属性】
技术研发人员:太田贤,吉川贵,金野晃,稻村浩,
申请(专利权)人:株式会社NTT都科摩,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。