Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7629333B2 - Dynamic access authorization system and dynamic access authorization method - Google Patents
[go: Go Back, main page]

JP7629333B2 - Dynamic access authorization system and dynamic access authorization method - Google Patents

Dynamic access authorization system and dynamic access authorization method Download PDF

Info

Publication number
JP7629333B2
JP7629333B2 JP2021067334A JP2021067334A JP7629333B2 JP 7629333 B2 JP7629333 B2 JP 7629333B2 JP 2021067334 A JP2021067334 A JP 2021067334A JP 2021067334 A JP2021067334 A JP 2021067334A JP 7629333 B2 JP7629333 B2 JP 7629333B2
Authority
JP
Japan
Prior art keywords
access
behavior information
terminal
authorization
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021067334A
Other languages
Japanese (ja)
Other versions
JP2022162461A (en
Inventor
信隆 川口
倫宏 重本
克哉 西嶋
一貴 安間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2021067334A priority Critical patent/JP7629333B2/en
Publication of JP2022162461A publication Critical patent/JP2022162461A/en
Application granted granted Critical
Publication of JP7629333B2 publication Critical patent/JP7629333B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、端末からリソースへのアクセスに対して動的認可を行う動的アクセス認可システム及び動的アクセス認可方法に適用して好適なものである。 The present invention is suitable for use in a dynamic access authorization system and a dynamic access authorization method that dynamically authorizes access from a terminal to a resource.

近年、情報漏洩や不正アクセスなどの脅威をもたらすコンピュータウイルス、スパイウェア、またはボットプログラムといった悪意ある不正プログラム(マルウェア)が増加しており、また、国家や企業を狙った高度標的型攻撃もますます高度化している。また、組織内部犯行者による情報漏洩も大きな社会問題となっている。 In recent years, there has been an increase in malicious programs (malware) such as computer viruses, spyware, and bot programs that pose threats such as information leaks and unauthorized access, and targeted attacks against nations and companies are becoming increasingly sophisticated. Information leaks caused by perpetrators within organizations have also become a major social issue.

このような情勢に対処するため、組織の内外を問わず通信相手の端末及びユーザは悪意を有する可能性があると捉え、サーバやデータベースといった組織が持つ重要なリソースへのアクセスに対して、リスクの観点を踏まえ、様々な観点から慎重な認可を行う「ゼロトラスト」の考え方が注目されている。従来主流だったサイバーセキュリティの考え方は、如何に迅速にサイバー攻撃を検知して対処するかという「事後対処」であったが、ゼロトラストの考え方は、アクセス要求主体(サブジェクト)とリソースとの間における権限、重要度、関係性、または状況などに基づいてアクセス可否を判定することによって、攻撃発生リスクを低減する「事前対処」に属するものである。 To deal with this situation, the idea of "zero trust" has been gaining attention. It considers that communication partners' devices and users, whether inside or outside an organization, may have malicious intent, and carefully approves access to important resources owned by an organization, such as servers and databases, from various perspectives, taking into account the risks. The conventional mainstream approach to cybersecurity has been to "deal after the fact" with how quickly cyber attacks can be detected and dealt with, but the idea of zero trust belongs to "deal before the fact" which reduces the risk of an attack occurring by determining whether or not access should be granted based on the authority, importance, relationship, or situation between the access requesting subject and the resource.

ゼロトラストの詳細な定義はなされていないが、米国政府のセキュリティ政策を管轄するNIST(National Institute of Standards and Technology)は、ガイドライン「NIST SP800-207」のなかで、ゼロトラストに資するアクセス認可の指針として、「認可をセッション単位で実施すること」、及び「認可の際は、端末、ユーザ、及びリソースの識別子などの静的情報に加えて、挙動などの動的情報を活用すること」を示している。 Although there is no detailed definition of zero trust, the National Institute of Standards and Technology (NIST), which oversees security policy for the US government, has stated in its guidelines "NIST SP800-207" that, as a guideline for access authorization that contributes to zero trust, "authorization should be performed on a session-by-session basis," and "when granting authorization, in addition to static information such as identifiers of terminals, users, and resources, dynamic information such as behavior should be utilized."

ここで、特許文献1に開示された技術では、端末とサーバのセッションが開始する直前に、ユーザの認証または認可情報を含む認可要求パケットが端末より送信され、サーバ、若しくは端末とサーバとの間に設置された認可装置によって、認可処理が行われる。そして、上記認可処理によって認可が下りた場合に限り、セッションが確立される。また、特許文献2には、端末の異常な振る舞いを検知した場合に、その旨を電子メールに記録しアクセス制御機器に送信することで、アクセス遮断を行う技術が開示されている。 In the technology disclosed in Patent Document 1, an authorization request packet containing user authentication or authorization information is sent from the terminal immediately before a session between the terminal and the server starts, and authorization processing is performed by the server or an authorization device installed between the terminal and the server. Then, the session is established only if authorization is granted by the above authorization processing. Patent Document 2 also discloses a technology in which, when abnormal behavior of a terminal is detected, this is recorded in an email and sent to an access control device, thereby blocking access.

米国特許第8413248号明細書U.S. Pat. No. 8,413,248 特開2018-191121号公報JP 2018-191121 A

ところで、昨今のサイバー攻撃やマルウェアの高速化、及び内部犯行の増加を考えると、端末及び/またはユーザが突然、悪意を持つ攻撃主体に転換する可能性は常にある。このため、リソースを悪意あるアクセスから守るには、いわゆる「端末識別子やユーザ識別子」といった静的情報に加え、「アクセス時のサブジェクトの挙動(プロセスやユーザアクション)」という動的情報を考慮したうえで、リスクを算出し認可を行う必要がある。しかし、現行の認可技術では、このような「セッション単位で、ユーザや端末の挙動に基づく動的認可」を実現することができない、という課題があった。 However, considering the recent increase in the speed of cyber attacks and malware, as well as the increase in internal crimes, there is always the possibility that a terminal and/or user may suddenly turn into a malicious attacker. For this reason, in order to protect resources from malicious access, it is necessary to calculate risks and grant authorization by taking into account dynamic information, such as "subject behavior at the time of access (process or user action)," in addition to static information, such as so-called "terminal identifiers and user identifiers." However, current authorization technology has the problem that it is not possible to realize such "dynamic authorization based on user or terminal behavior on a session-by-session basis."

例えば、特許文献1には、「通信セッション開始の前の事前認可」を実現する技術は開示されているが、通信セッション開始の直前の端末及び/またはユーザの挙動に基づいた「動的認可」の実現方法は開示されていない。また、特許文献2に開示された技術は、電子メールの送受信に掛かる時間を考慮すると、リアルタイム性がある制御は望めない。また、特許文献2に開示された技術は、端末側で異常な振る舞いを検知することが前提とされるため、アクセス先リソースの重要性や属性、リスクなどを取り込んだアクセス制御を実行することができない。すなわち、特許文献1及び特許文献2には、サブジェクトからリソースへのアクセス開始要求のタイミングで、端末及び/またはユーザの直近の挙動情報を収集及び分析して、動的認可を実現する技術は開示されていない。 For example, Patent Document 1 discloses a technology for realizing "pre-authorization before the start of a communication session," but does not disclose a method for realizing "dynamic authorization" based on the behavior of the terminal and/or user immediately before the start of a communication session. Furthermore, the technology disclosed in Patent Document 2 does not provide real-time control, considering the time it takes to send and receive e-mail. Furthermore, the technology disclosed in Patent Document 2 is premised on detecting abnormal behavior on the terminal side, and therefore cannot execute access control that incorporates the importance, attributes, and risks of the accessed resource. In other words, Patent Documents 1 and 2 do not disclose a technology for realizing dynamic authorization by collecting and analyzing the most recent behavior information of the terminal and/or user at the time of a request from a subject to start access to a resource.

また、「セッション単位で、ユーザや端末の挙動に基づく動的認可」を、リアルタイム性を維持し、かつ、端末またはネットワークへの負荷を低減しながら実現するためには、特許文献1に開示されたように、1若しくは少数のIPパケットに、認可に資する挙動情報を全て格納することが望ましい。しかし、ユーザや端末の挙動情報は多岐に亘り、特に端末内で動作しているプロセスの一覧といった情報を1若しくは少数のパケットにそのまま格納することは困難であった。 Furthermore, in order to achieve "dynamic authorization based on the behavior of users or terminals on a session-by-session basis" while maintaining real-time performance and reducing the load on terminals or networks, it is desirable to store all behavior information that contributes to authorization in one or a small number of IP packets, as disclosed in Patent Document 1. However, user and terminal behavior information is diverse, and it is particularly difficult to store information such as a list of processes running within a terminal as is in one or a small number of packets.

本発明は以上の点を考慮してなされたもので、ネットワーク及び端末への負荷を抑制しながら、端末及び/またはユーザの直近の挙動に基づいて、リソースへのアクセス要求の動的認可を実現することが可能な動的アクセス認可システム及び動的アクセス認可方法を提案しようとするものである。 The present invention has been made in consideration of the above points, and aims to propose a dynamic access authorization system and a dynamic access authorization method that can realize dynamic authorization of access requests to resources based on the most recent behavior of the terminal and/or user while reducing the load on the network and terminal.

かかる課題を解決するため本発明においては、ユーザ使用する端末からリソース装置が有するリソースへのアクセス要求に対して、前記端末及び/または当該端末のユーザに関する動的な情報に基づいてアクセス要求の認可判定を行う動的アクセス認可システムであって、前記端末に保持される、端末側プログラム及び当該端末側プログラムが参照する端末側データと、前記端末と前記リソース装置との間のネットワークに配置されたアクセス制御装置に保持される、制御装置側プログラム及び当該制御装置側プログラムが参照する制御装置側データと、を備え、前記端末側プログラムは、前記ユーザ及び/または前記端末に関する複数種類の挙動を監視し、定期的に最新の挙動情報を出力する複数の挙動監視部と、前記複数の挙動監視部から出力された複数の前記挙動情報に対して、合計のデータサイズが所定の制限範囲に収まるように調整して、1以上の前記挙動情報を組み合わせた挙動情報一覧を作成する挙動情報調整部と、前記アクセス要求の生成を捕捉し、前記挙動情報調整部によって調整された前記挙動情報一覧を含む認可要求メッセージを作成し、前記認可要求メッセージ及び前記アクセス要求を前記アクセス制御装置に送信する認可要求制御部と、を有し、前記制御装置側プログラムは、前記挙動監視部が出力する前記挙動情報を要素に用いた論理式が記述されたアクセスポリシースクリプトを管理するポリシー管理部と、前記端末から送信された前記認可要求メッセージを受信する認可要求メッセージ受信部と、前記認可要求メッセージを前記アクセスポリシースクリプトに規定された論理式に適用することによって前記認可判定を行うアクセス判定部と、前記アクセス判定部による判定結果に応じて、所定時間内に前記認可要求制御部から受信した前記アクセス要求を前記リソースに通過させるか遮断するかを制御するアクセス制御部と、を有する動的アクセス認可システムが提供される。 In order to solve such problems, the present invention provides a dynamic access authorization system that performs authorization judgment for an access request from a terminal used by a user to a resource owned by a resource device based on dynamic information related to the terminal and/or the user of the terminal, the dynamic access authorization system comprising: a terminal-side program and terminal-side data referenced by the terminal-side program, which are stored in the terminal; and a control device-side program and control device-side data referenced by the control device-side program, which are stored in an access control device disposed in a network between the terminal and the resource device, the terminal-side program comprising: a plurality of behavior monitoring units that monitor a plurality of types of behavior related to the user and/or the terminal and periodically output the latest behavior information; and a behavior information list that combines one or more of the behavior information by adjusting the total data size of the plurality of behavior information output from the plurality of behavior monitoring units so that it falls within a predetermined limit range. A dynamic access authorization system is provided that includes a behavior information adjustment unit that creates an authorization request message including a list of the behavior information adjusted by the behavior information adjustment unit, and an authorization request control unit that captures the generation of the access request, creates an authorization request message including a list of the behavior information adjusted by the behavior information adjustment unit, and transmits the authorization request message and the access request to the access control device, and the control device side program includes a policy management unit that manages an access policy script in which a logical formula using the behavior information output by the behavior monitoring unit as an element is described, an authorization request message receiving unit that receives the authorization request message transmitted from the terminal, an access determination unit that performs the authorization determination by applying the authorization request message to the logical formula defined in the access policy script, and an access control unit that controls whether to pass or block the access request received from the authorization request control unit within a predetermined time to the resource depending on the determination result by the access determination unit.

また、かかる課題を解決するため本発明においては、ユーザ使用する端末からリソース装置が有するリソースへのアクセス要求に対して、前記端末及び/または当該端末のユーザに関する動的な情報に基づいてアクセス要求の認可判定を行う動的アクセス認可システムによる動的アクセス認可方法であって、前記動的アクセス認可システムは、前記端末に保持される、端末側プログラム及び当該端末側プログラムが参照する端末側データと、前記端末と前記リソース装置との間のネットワークに配置されたアクセス制御装置に保持される、制御装置側プログラム及び当該制御装置側プログラムが参照する制御装置側データと、を有し、前記端末側プログラムが、前記ユーザ及び/または前記端末に関する複数種類の挙動を監視し、定期的に最新の挙動情報を出力する挙動監視ステップと、前記端末側プログラムが、前記挙動監視ステップで出力された複数の前記挙動情報に対して、合計のデータサイズが所定の制限範囲に収まるように調整して、1以上の前記挙動情報を組み合わせた挙動情報一覧を作成する挙動情報調整ステップと、前記端末側プログラムが、前記アクセス要求の生成を捕捉し、前記挙動情報調整ステップで調整された前記挙動情報一覧を含む認可要求メッセージを作成し、前記認可要求メッセージ及び前記アクセス要求を前記アクセス制御装置に送信する認可要求制御ステップと、前記制御装置側プログラムが、前記挙動監視ステップで出力される前記挙動情報を要素に用いた論理式が記述されたアクセスポリシースクリプトを管理するポリシー管理ステップと、前記制御装置側プログラムが、前記認可要求制御ステップで前記端末から送信された前記認可要求メッセージを受信する認可要求メッセージ受信ステップと、前記制御装置側プログラムが、前記認可要求メッセージ受信ステップで受信された前記認可要求メッセージを前記アクセスポリシースクリプトに規定された論理式に適用することによって前記認可判定を行うアクセス判定ステップと、前記制御装置側プログラムが、前記アクセス判定ステップの判定結果に応じて、所定時間内に前記認可要求制御ステップで送信された前記アクセス要求を前記リソースに通過させるか遮断するかを制御するアクセス制御ステップと、を備える動的アクセス認可方法が提供される。 In addition, in order to solve such problems, the present invention provides a dynamic access authorization method using a dynamic access authorization system that performs authorization judgment for an access request from a terminal used by a user to a resource owned by a resource device based on dynamic information related to the terminal and/or the user of the terminal, the dynamic access authorization system having a terminal-side program and terminal-side data referenced by the terminal-side program that are held in the terminal, and a control device-side program and control device-side data referenced by the control device-side program that are held in an access control device disposed in a network between the terminal and the resource device, the dynamic access authorization system having a behavior monitoring step in which the terminal-side program monitors multiple types of behavior related to the user and/or the terminal and periodically outputs the latest behavior information, a behavior information adjustment step in which the terminal-side program adjusts the multiple pieces of behavior information output in the behavior monitoring step so that the total data size falls within a predetermined limited range, and creates a behavior information list combining one or more pieces of behavior information, and the terminal-side program generates a behavior information list for the access request, The dynamic access authorization method includes an authorization request control step of capturing the generation of a request, creating an authorization request message including the list of behavior information adjusted in the behavior information adjustment step, and transmitting the authorization request message and the access request to the access control device; a policy management step of the control device side program managing an access policy script in which a logical expression using the behavior information output in the behavior monitoring step as an element is described; an authorization request message reception step of the control device side program receiving the authorization request message transmitted from the terminal in the authorization request control step; an access determination step of the control device side program applying the authorization request message received in the authorization request message reception step to the logical expression defined in the access policy script to perform the authorization determination; and an access control step of the control device side program controlling whether to pass or block the access request transmitted in the authorization request control step to the resource within a predetermined time period depending on the determination result of the access determination step.

本発明によれば、ネットワーク及び端末への負荷を抑制しながら、端末及び/またはユーザの直近の挙動に基づいて、リソースへのアクセス要求の動的認可を実現することができる。 The present invention makes it possible to dynamically authorize requests to access resources based on the most recent behavior of the terminal and/or user while minimizing the load on the network and terminal.

本発明の一実施形態に係る動的アクセス認可システム1の構成例を示す図である。1 is a diagram showing an example of a configuration of a dynamic access authorization system 1 according to an embodiment of the present invention. 端末10、アクセス制御装置20、リソース30、及び管理用端末40のハードウェア構成例を示すブロック図である。2 is a block diagram showing an example of the hardware configuration of a terminal 10, an access control device 20, a resource 30, and a management terminal 40. 端末設定情報の一例を示す図である。FIG. 11 is a diagram illustrating an example of terminal setting information. 挙動監視部管理情報の一例を示す図である。FIG. 11 is a diagram illustrating an example of behavior monitoring unit management information. 認可要求メッセージ履歴情報の一例を示す図である。FIG. 13 illustrates an example of authorization request message history information. アクセス制御設定情報の一例を示す図である。FIG. 4 is a diagram illustrating an example of access control setting information. アクセスポリシースクリプトの一例を示す図である。FIG. 13 illustrates an example of an access policy script. アクセス認可情報の一例を示す図である。FIG. 11 is a diagram illustrating an example of access authorization information. 認可要求メッセージ510のデータフォーマットの一例を示す図である。FIG. 5 is a diagram showing an example of a data format of an authorization request message 510. 管理者通知メッセージ530の一例を示す図である。FIG. 5 is a diagram showing an example of an administrator notification message 530. 端末10側で実施される処理手順例を示すシーケンス図である。11 is a sequence diagram showing an example of a processing procedure performed on the terminal 10 side. FIG. 認可要求メッセージ要否判定処理の処理手順例を示すフローチャートである。13 is a flowchart illustrating an example of a processing procedure for determining whether an authorization request message is necessary. 送信間隔演算処理の処理手順例を示すフローチャートである。13 is a flowchart illustrating an example of a processing procedure for a transmission interval calculation process. アクセス制御装置20側で実施される処理手順例を示すシーケンス図である。11 is a sequence diagram showing an example of a processing procedure performed on the access control device 20 side. FIG. 圧縮挙動情報伸長化処理の処理手順例を示すフローチャートである。13 is a flowchart illustrating an example of a processing procedure for a compression behavior information decompression process.

以下、図面を参照して、本発明の実施形態を詳述する。なお、本説明においては断りのない限り、端末からリソースへのアクセス要求はTCP(Transfer Control Protocol)通信により実現されるものとする。また、セッションとは、端末からリソースに対して一定の短期間内に発生する1以上のアクセス要求の集合を示す。例えば、一定の短期間を1秒とした場合、あるアクセス要求R1と、R1が発生してから1秒以内に発生した別のアクセス要求R2とは、同一のセッションに属するものとする。 Below, an embodiment of the present invention will be described in detail with reference to the drawings. In this description, unless otherwise specified, it is assumed that an access request from a terminal to a resource is realized by TCP (Transfer Control Protocol) communication. Furthermore, a session refers to a set of one or more access requests that occur from a terminal to a resource within a certain short period of time. For example, if the certain short period is one second, an access request R1 and another access request R2 that occurs within one second after R1 occurs belong to the same session.

(1)システム構成
図1は、本発明の一実施形態に係る動的アクセス認可システム1の構成例を示す図である。動的アクセス認可システム1は、ユーザが操作する端末10からリソース30に対してアクセスの要求が行われる際に、端末10及び/またはユーザに関する挙動情報を含む認可要求メッセージ510に基づいて、アクセス制御装置20がアクセス要求520をリソース30に通過させるか遮断するかの認可判定を行うことにより、アクセス要求520の動的認可を実現するシステムである。
(1) System Configuration Fig. 1 is a diagram showing an example of the configuration of a dynamic access authorization system 1 according to an embodiment of the present invention. The dynamic access authorization system 1 is a system that, when an access request is made from a terminal 10 operated by a user to a resource 30, an access control device 20 performs an authorization decision as to whether to pass or block the access request 520 to the resource 30 based on an authorization request message 510 including behavior information related to the terminal 10 and/or the user, thereby realizing dynamic authorization of the access request 520.

図1において、動的アクセス認可システム1は、端末側プログラム100、端末設定DB310、挙動監視部装置DB320、認可要求メッセージ履歴DB330、制御装置側プログラム200、アクセス制御設定DB410、アクセスポリシースクリプトDB420、及びアクセス認可情報DB430を備えて構成される。以下、動的アクセス認可システム1の構成を中心に、図1に示した各要素について詳しく説明する。 In FIG. 1, the dynamic access authorization system 1 is configured to include a terminal side program 100, a terminal setting DB 310, a behavior monitoring unit device DB 320, an authorization request message history DB 330, a control device side program 200, an access control setting DB 410, an access policy script DB 420, and an access authorization information DB 430. Below, the components shown in FIG. 1 will be described in detail, focusing on the configuration of the dynamic access authorization system 1.

図1に示したように、端末10とアクセス制御装置20との間は通信ネットワーク41で接続され、アクセス制御装置20とリソース30との間は通信ネットワーク42で接続される。通信ネットワーク41,42はそれぞれ、例えばLAN(Local Area Network)であるが、WAN(Wide Area Network)、携帯電話、またはPHSなどの公衆回線網でもよい。通信ネットワーク41には、1以上の端末10及び1以上のアクセス制御装置20が接続され、通信ネットワーク42には、1以上のアクセス制御装置20及び1以上のリソース30が接続される。なお、通信ネットワーク41と通信ネットワーク42は、実体としては同一のネットワークであってもよい。 As shown in FIG. 1, the terminal 10 and the access control device 20 are connected by a communication network 41, and the access control device 20 and the resource 30 are connected by a communication network 42. Each of the communication networks 41 and 42 is, for example, a LAN (Local Area Network), but may also be a WAN (Wide Area Network), a mobile phone, or a public line network such as a PHS. One or more terminals 10 and one or more access control devices 20 are connected to the communication network 41, and one or more access control devices 20 and one or more resources 30 are connected to the communication network 42. Note that the communication network 41 and the communication network 42 may be the same network in actuality.

詳細は後述するが、動的アクセス認可システム1においては、端末10またはそのユーザがリソース30に対するアクセス要求を作成し実行しようとする際には、端末10から通信ネットワーク41を介してアクセス制御装置20にアクセス要求520が送信される。このとき、端末10は、アクセス要求の作成を捕捉し、アクセス要求の認可判定が必要とされる場合には、アクセス要求520をアクセス制御装置20に送信する前に、端末10及び/またはユーザの挙動情報を載せた認可要求メッセージ510をアクセス制御装置20に送信し、認可判定を依頼する。そしてアクセス制御装置20において、認可要求メッセージ510に基づいてアクセス要求の認可判定が行われ、アクセス要求が認可された場合には、アクセス制御装置20は、端末10から受信して一時的にバッファリングしていたアクセス要求520を、通信ネットワーク42を介して宛先のリソース30に転送する。一方、認可判定の結果、アクセス要求の認可が得られなかった場合には、アクセス制御装置20は、アクセス要求520のリソース30への送信を遮断する。またこのとき、アクセス制御装置20は、管理用端末40に対して管理者通知メッセージ530を送信することができる。 In the dynamic access authorization system 1, when the terminal 10 or its user creates and executes an access request for the resource 30, the terminal 10 transmits an access request 520 to the access control device 20 via the communication network 41. At this time, the terminal 10 captures the creation of the access request, and if an authorization decision is required for the access request, before transmitting the access request 520 to the access control device 20, transmits an authorization request message 510 carrying behavior information of the terminal 10 and/or the user to the access control device 20 and requests an authorization decision. Then, in the access control device 20, an authorization decision for the access request is made based on the authorization request message 510, and if the access request is authorized, the access control device 20 transfers the access request 520 received from the terminal 10 and temporarily buffered to the destination resource 30 via the communication network 42. On the other hand, if the authorization decision results in the access request not being authorized, the access control device 20 blocks the transmission of the access request 520 to the resource 30. At this time, the access control device 20 can also transmit an administrator notification message 530 to the management terminal 40.

認可要求メッセージ510は、通信ネットワーク41を介して、端末10からアクセス制御装置20に送信される電信文であり、端末10及び/またはユーザの直近の挙動が暗号化されて格納されている。アクセス制御装置20は、認可要求メッセージ510に基づいてアクセス要求520の通信可否を判断する。本発明では、認可要求メッセージ510は、通信プロトコルとして、TCPとは異なり、通信確立のための制御パケットを必要としないUDP(User Datagram Packet)を使用するものとする。UDPは一般的にTCPより軽量であり、計算機やネットワーク側の負担が小さくリアルタイム性が高い通信を実現する。一方で、パケットロスが発生した場合のリカバリー方法が無いという欠点がある。また、ゼロトラストに資するアクセス認可の指針を満足させるためには、認可要求メッセージ510の送信は、セッション単位で実施されることが好ましい。後述する図9には、認可要求メッセージ510のデータフォーマットの具体例が示される。 The authorization request message 510 is a telegram sent from the terminal 10 to the access control device 20 via the communication network 41, and the latest behavior of the terminal 10 and/or the user is encrypted and stored. The access control device 20 judges whether or not the access request 520 can be communicated based on the authorization request message 510. In the present invention, the authorization request message 510 uses UDP (User Datagram Packet) as a communication protocol, which is different from TCP and does not require a control packet for establishing communication. UDP is generally lighter than TCP, and realizes communication with a small burden on the computer and network side and high real-time performance. On the other hand, it has a disadvantage that there is no recovery method when packet loss occurs. In addition, in order to satisfy the access authorization guidelines that contribute to zero trust, it is preferable that the authorization request message 510 is transmitted on a session-by-session basis. FIG. 9, which will be described later, shows a specific example of the data format of the authorization request message 510.

アクセス要求520は、通信ネットワーク41を介して端末10からアクセス制御装置20に送信され、アクセス制御装置20が通信を許可した場合は、通信ネットワーク42を介してリソース30へと送信される電信文である。前述した通り、本発明で想定するアクセスはTCPであり、アクセス要求520としては、TCPの開始に送信されるTCP SYNパケットを想定する。 The access request 520 is a telegram sent from the terminal 10 to the access control device 20 via the communication network 41, and if the access control device 20 permits communication, it is sent to the resource 30 via the communication network 42. As described above, the access assumed in this invention is TCP, and the access request 520 is assumed to be a TCP SYN packet sent at the start of TCP.

管理者通知メッセージ530は、アクセス制御装置20における通信制御状況を管理者に通達する電信文であり、管理用端末40を介してその内容が表示される。後述する図10には、管理者通知メッセージ530の具体例として、管理者通知メッセージ530A,530Bが示される。 The administrator notification message 530 is a telegram that notifies the administrator of the communication control status in the access control device 20, and its contents are displayed via the management terminal 40. In FIG. 10, which will be described later, administrator notification messages 530A and 530B are shown as specific examples of the administrator notification message 530.

(1-1)端末10
端末10は、パーソナルコンピュータやサーバといった一般的な計算機であり、例えば端末10を使用するユーザの業務において、リソース30へのアクセスを要求するものである。端末10は、OS/アプリケーション11、端末側プログラム100、端末設定DB310、挙動監視部装置DB320、及び認可要求メッセージ履歴DB330を備える。
(1-1) Terminal 10
The terminal 10 is a general-purpose computer such as a personal computer or a server, and requests access to a resource 30, for example, in the course of a user's work using the terminal 10. The terminal 10 includes an OS/application 11, a terminal side program 100, a terminal setting DB 310, a behavior monitoring device DB 320, and an authorization request message history DB 330.

OS/アプリケーション11は、一般的なオペレーティングシステム(OS)、及びOS上で動作する一般的なアプリケーション(例えばドキュメント作成ソフト、Webブラウザ、データベースクライアントなど)である。 OS/application 11 is a general operating system (OS) and general applications that run on the OS (e.g., document creation software, web browser, database client, etc.).

端末側プログラム100は、OS/アプリケーション11がリソース30へのアクセスを要求するタイミングにおいて、端末10及び/またはそのユーザの直近の挙動を収集し、認可要求メッセージ510を、端末10とリソース30との通信経路上に位置するアクセス制御装置20に対して送信することで、動的認可を実現する。端末側プログラム100には、1以上の挙動監視部110、挙動情報調整部120、認可要求制御部130、及び認可要求メッセージ送信部140が含まれ、挙動情報調整部120にはさらに、挙動情報圧縮部121及び挙動情報優先付け部122が含まれる。 The terminal-side program 100 realizes dynamic authorization by collecting the most recent behavior of the terminal 10 and/or its user at the timing when the OS/application 11 requests access to the resource 30 and transmitting an authorization request message 510 to the access control device 20 located on the communication path between the terminal 10 and the resource 30. The terminal-side program 100 includes one or more behavior monitoring units 110, a behavior information adjustment unit 120, an authorization request control unit 130, and an authorization request message transmission unit 140, and the behavior information adjustment unit 120 further includes a behavior information compression unit 121 and a behavior information prioritization unit 122.

挙動監視部110は、端末10やそのユーザの挙動を監視し、定期的に、その結果を挙動監視部管理DB320に出力するプログラムである。挙動監視部110は、監視対象となる挙動の種類に応じて複数存在する。例えば、プロセス起動及びネットワーク通信の2種類を監視したい場合、挙動監視部110の個数は2となる。 The behavior monitoring unit 110 is a program that monitors the behavior of the terminal 10 and its user, and periodically outputs the results to the behavior monitoring unit management DB 320. There are multiple behavior monitoring units 110 depending on the type of behavior to be monitored. For example, if it is desired to monitor two types of behavior, process startup and network communication, the number of behavior monitoring units 110 will be two.

挙動情報調整部120は、挙動監視部110が出力する複数の挙動監視結果を、その価値の損失を出来る限り抑えながら、認可要求メッセージ510に格納可能なデータサイズに収まる形に調整する役割を持つ。挙動情報調整部120には、挙動情報圧縮部121及び挙動情報優先付け部122の2つの機能部が含まれる。 The behavior information adjustment unit 120 has the role of adjusting the multiple behavior monitoring results output by the behavior monitoring unit 110 to fit within a data size that can be stored in the authorization request message 510 while minimizing loss of value as much as possible. The behavior information adjustment unit 120 includes two functional units: a behavior information compression unit 121 and a behavior information prioritization unit 122.

挙動情報圧縮部121は、挙動監視部110が出力した「リスト型」の挙動情報のデータサイズを圧縮する機能を有する。リスト型の挙動情報の例としては、端末10上で起動している全ての実行プログラムのハッシュ値の一覧、実行中のサービスプログラムの一覧、一定時間内に通信を行ったことがある端末の識別子の一覧、端末10にインストールされているアプリケーションの一覧などが考えられる。圧縮の方法としては、ZIPなどの可逆型圧縮方式、または後述するBloomFilterに代表される非可逆圧縮方式がある。ハッシュ値など乱数性が高いデータを圧縮するには、非可逆圧縮方式の方が大きな圧縮効果が認められる。 The behavior information compression unit 121 has a function of compressing the data size of "list-type" behavior information output by the behavior monitoring unit 110. Examples of list-type behavior information include a list of hash values of all executable programs running on the terminal 10, a list of running service programs, a list of identifiers of terminals that have communicated within a certain period of time, and a list of applications installed on the terminal 10. Compression methods include lossless compression methods such as ZIP, and lossy compression methods such as BloomFilter, which will be described later. When compressing data with a high degree of randomness, such as hash values, lossy compression methods are seen to have a greater compression effect.

挙動情報優先付け部122は、複数種類の挙動情報が与えられた場合に、個々の情報の価値とサイズとを基に、決められたデータサイズに収まるかたちで価値の総和を最大化する挙動情報の組み合わせを決定する機能を有する。 When multiple types of behavior information are given, the behavior information prioritization unit 122 has the function of determining a combination of behavior information that maximizes the sum of values within a determined data size based on the value and size of each piece of information.

認可要求制御部130は、端末10からリソース30へのアクセス要求を捕捉すると、認可要求メッセージ送信部140に対して認可要求メッセージ510の発行を要求する。また、認可要求制御部130は、アクセス制御装置20における認可要求メッセージ510の処理時間を基に、アクセス要求520を一定時間バッファリングした後、リソース30へ送信する。 When the authorization request control unit 130 captures an access request from the terminal 10 to the resource 30, it requests the authorization request message sending unit 140 to issue an authorization request message 510. In addition, the authorization request control unit 130 buffers the access request 520 for a certain period of time based on the processing time of the authorization request message 510 in the access control device 20, and then sends it to the resource 30.

認可要求メッセージ送信部140は、認可要求制御部130の指示に基づいて認可要求メッセージ510を作成し、アクセス制御装置20へと送信する。なお、以下の説明では、アクセス要求520を送信する認可要求制御部130と、認可要求メッセージ510を送信する認可要求メッセージ送信部140とを、別の機能部として説明するが、本実施形態に係る動的アクセス認可システム1では、例えば、認可要求制御部130が認可要求メッセージ送信部140による機能を含むように構成されてもよい。 The authorization request message sending unit 140 creates an authorization request message 510 based on an instruction from the authorization request control unit 130, and sends it to the access control device 20. Note that in the following description, the authorization request control unit 130 that sends the access request 520 and the authorization request message sending unit 140 that sends the authorization request message 510 are described as separate functional units, but in the dynamic access authorization system 1 according to this embodiment, for example, the authorization request control unit 130 may be configured to include the function of the authorization request message sending unit 140.

端末設定DB310、挙動監視部管理DB320、及び認可要求メッセージ履歴DB330は、端末10において端末側プログラム100が動作する際に参照される各種情報を格納するデータ保持部である。 The terminal setting DB310, the behavior monitoring unit management DB320, and the authorization request message history DB330 are data storage units that store various information referenced when the terminal side program 100 runs on the terminal 10.

端末設定DB310は、端末側プログラム100の種々の設定に関する情報として、端末設定情報を格納する。後述する図3には、端末設定情報の具体例が示される。 The terminal setting DB 310 stores terminal setting information as information related to various settings of the terminal side program 100. A specific example of terminal setting information is shown in FIG. 3 described later.

挙動監視部管理DB320は、挙動監視部110に関するパラメータ、及び端末10で観測された挙動情報に関連する情報として、挙動監視部管理情報を格納する。後述する図4には、挙動監視部管理情報の具体例が示される。 The behavior monitoring unit management DB 320 stores behavior monitoring unit management information as parameters related to the behavior monitoring unit 110 and information related to behavior information observed by the terminal 10. A specific example of behavior monitoring unit management information is shown in FIG. 4, which will be described later.

認可要求メッセージ履歴DB330は、端末10が過去に発行した認可要求メッセージ510の送信日時などに関する情報として、認可要求メッセージ履歴情報を格納する。後述する図5には、認可要求メッセージ履歴情報の具体例が示される。 The authorization request message history DB 330 stores authorization request message history information as information related to the transmission date and time of authorization request messages 510 issued by the terminal 10 in the past. A specific example of authorization request message history information is shown in FIG. 5, which will be described later.

(1-2)アクセス制御装置20
アクセス制御装置20は、認可要求メッセージ510に対して認可の可否を判定し、その判定結果を基に、アクセス要求520の通過/遮断の処理を実施する計算機であって、例えば、パーソナルコンピュータやサーバといった一般的な計算機で実現することができる。アクセス制御装置20は、制御装置側プログラム200、アクセス制御設定DB410、アクセスポリシースクリプトDB420、及びアクセス認可情報DB430を備える。なお、図1には不図示であるが、アクセス制御装置20も、端末10と同様にOS/アプリケーションを備えると考えてよい。
(1-2) Access control device 20
The access control device 20 is a computer that judges whether to grant authorization for an authorization request message 510 and performs a process of passing/blocking an access request 520 based on the result of the judgment, and can be realized by a general computer such as a personal computer or a server. The access control device 20 includes a control device side program 200, an access control setting DB 410, an access policy script DB 420, and an access authorization information DB 430. Although not shown in FIG. 1, the access control device 20 may be considered to include an OS/applications like the terminal 10.

制御装置側プログラム200は、端末10から受信した認可要求メッセージ510に対して、端末10で観測された動的情報(具体的には例えば挙動情報)に基づいてアクセスの認可判定を行い、その判定結果を基に、アクセス要求520を通過あるいは遮断する通過/遮断処理を実施する。制御装置側プログラム200には、ポリシー管理部210、認可要求メッセージ受信部220、挙動情報伸長部230、アクセス判定部240、及びアクセス制御部250が含まれる。 The control device side program 200 makes an access authorization decision for the authorization request message 510 received from the terminal 10 based on dynamic information (specifically, for example, behavior information) observed by the terminal 10, and performs pass/block processing to pass or block the access request 520 based on the decision result. The control device side program 200 includes a policy management unit 210, an authorization request message receiving unit 220, a behavior information decompression unit 230, an access decision unit 240, and an access control unit 250.

ポリシー管理部210は、アクセス認可を行うためのアクセスポリシースクリプトを管理する。アクセスポリシースクリプトは、XML(eXtensible Markup Language)、JSON(JavaScript Object Notation)、またはテキスト形式で論理式が記述される文書である。アクセスポリシースクリプトは、例えば管理者によって管理用端末40で記述されてアクセス制御装置20に送信され、ポリシー管理部210によってアクセスポリシースクリプトDB420に格納される。 The policy management unit 210 manages the access policy script for access authorization. The access policy script is a document in which a logical expression is written in XML (eXtensible Markup Language), JSON (JavaScript Object Notation), or text format. The access policy script is written by an administrator on the management terminal 40, for example, and transmitted to the access control device 20, and is stored in the access policy script DB 420 by the policy management unit 210.

認可要求メッセージ受信部220は、端末10から送信された認可要求メッセージ510を受信する機能を有する。 The authorization request message receiving unit 220 has the function of receiving an authorization request message 510 sent from the terminal 10.

挙動情報伸長部230は、挙動情報圧縮部121によって圧縮された挙動情報を伸長する役割を持つ。なお、本実施形態において挙動情報伸長部230が実行する伸長処理は、挙動情報がZIPなどの可逆圧縮形式で圧縮されている場合は、いわゆる解凍処理にあたる。一方、挙動情報が非可逆圧縮形式で圧縮されている場合は、圧縮された挙動情報内にある特定データ(本実施形態では、後述する「キーワード」及び「圧縮挙動情報キーワード」に相当)が記録されているかどうかを判定し、記録されている場合は特定データを用いて挙動情報を置き換える処理を、伸長処理とする。 The behavior information decompression unit 230 has the role of decompressing the behavior information compressed by the behavior information compression unit 121. In this embodiment, the decompression process executed by the behavior information decompression unit 230 corresponds to a so-called decompression process when the behavior information is compressed in a lossless compression format such as ZIP. On the other hand, when the behavior information is compressed in a lossy compression format, the decompression process determines whether specific data (corresponding to "keywords" and "compressed behavior information keywords" described later in this embodiment) in the compressed behavior information is recorded, and if so, replaces the behavior information with the specific data.

具体的には例えば、圧縮された挙動情報XにプロセスA,プロセスB,プロセスCなどのプロセスのリストが記録されている場合、挙動情報伸長部230は特定のプロセス(例えばプロセスB)が当該の挙動情報Xに記録されているか否かを判定する。もしプロセスBが記録されていると判定された場合、挙動情報XをプロセスBで置き換える。これにより、後段のアクセス判定部240によるアクセス可否の判定処理(図14のステップS242に示す認可判定)において、アクセスポリシースクリプトと挙動情報との対応を基に、アクセスの可否を判定することができる。 Specifically, for example, if a list of processes such as process A, process B, and process C is recorded in the compressed behavior information X, the behavior information decompression unit 230 determines whether or not a specific process (e.g., process B) is recorded in the behavior information X. If it is determined that process B is recorded, the behavior information X is replaced with process B. This allows the access determination unit 240 in the subsequent process of determining whether or not access is permitted (the authorization determination shown in step S242 in FIG. 14) to determine whether or not access is permitted based on the correspondence between the access policy script and the behavior information.

アクセス判定部240は、挙動情報伸長部230により伸長された認可要求メッセージ510を、ポリシー管理部210が管理し、アクセスポリシースクリプトDB420に格納されたアクセスポリシースクリプトに適用することにより、アクセス可否を判定する。 The access determination unit 240 determines whether or not access is permitted by applying the authorization request message 510 decompressed by the behavior information decompression unit 230 to the access policy script managed by the policy management unit 210 and stored in the access policy script DB 420.

アクセス制御部250は、アクセス判定部240による認可判定の判定結果に応じて、アクセス要求520の通過/遮断処理を実施する。 The access control unit 250 performs a pass/block process for the access request 520 depending on the result of the authorization decision made by the access decision unit 240.

アクセス制御設定DB410、アクセスポリシースクリプトDB420、及びアクセス認可情報DB430は、アクセス制御装置20において制御装置側プログラム200が動作する際に参照される各種情報を格納するデータ保持部である。 The access control setting DB410, the access policy script DB420, and the access authorization information DB430 are data storage units that store various information referenced when the control device side program 200 runs in the access control device 20.

アクセス制御設定DB410は、アクセス制御装置20の設定に関する情報として、アクセス制御設定情報を格納する。後述する図6には、アクセス制御設定情報の具体例が示される。 The access control setting DB 410 stores access control setting information as information related to the settings of the access control device 20. A specific example of the access control setting information is shown in FIG. 6, which will be described later.

アクセスポリシースクリプトDB420は、アクセス認可を行うためのアクセスポリシースクリプトを記録する。前述したように、アクセスポリシースクリプトはポリシー管理部210によって管理される。後述する図7には、アクセスポリシースクリプトの具体例が示される。 The access policy script DB 420 records the access policy script for granting access authorization. As described above, the access policy script is managed by the policy management unit 210. A specific example of an access policy script is shown in FIG. 7, which will be described later.

アクセス認可情報DB430は、アクセス判定部240によって実行された認可判定の判定結果を示す情報として、アクセス認可情報を記録する。アクセス認可情報は、アクセス制御部250によって利用される。後述する図8には、アクセス認可情報の具体例が示される。 The access authorization information DB 430 records access authorization information as information indicating the result of the authorization decision performed by the access decision unit 240. The access authorization information is used by the access control unit 250. A specific example of the access authorization information is shown in FIG. 8, which will be described later.

(1-3)リソース30、管理用端末40
リソース30は、端末10からのアクセス要求の対象となるリソースを保持する計算機であって、Webサーバ、データベースサーバ、計算用サーバ、アカウント管理サーバ、またはメールサーバなど、業務で使用される様々な計算機がその対象となる。本説明では、簡略のため、特段の断りがある場合を除き、アクセス要求520でアクセスが要求されるデータとしてのリソースと、当該リソースを保持するリソース装置とを区別することなく、リソース30として記載する。
(1-3) Resource 30, Management Terminal 40
The resource 30 is a computer that holds a resource that is the target of an access request from the terminal 10, and can be a variety of computers used in business, such as a web server, a database server, a calculation server, an account management server, or a mail server. For simplicity, in this description, unless otherwise specified, the resource as data to which access is requested in the access request 520 and the resource device that holds the resource are not distinguished and are referred to as the resource 30.

管理用端末40は、管理者が使用する計算機である。先述した通り、管理者は管理用端末40を通じて、アクセス制御装置20のポリシー管理部210にアクセスし、アクセスポリシースクリプトの作成や編集を行う。また、アクセス制御部250によるアクセス要求520の制御結果は、管理者通知メッセージ530として管理用端末40に送信され、管理用端末40のディスプレイ等に表示される。 The management terminal 40 is a computer used by the administrator. As described above, the administrator accesses the policy management unit 210 of the access control device 20 through the management terminal 40 and creates and edits the access policy script. In addition, the control result of the access request 520 by the access control unit 250 is transmitted to the management terminal 40 as an administrator notification message 530 and is displayed on the display of the management terminal 40, etc.

(2)ハードウェア構成
図2は、端末10、アクセス制御装置20、リソース30、及び管理用端末40のハードウェア構成例を示すブロック図である。上記の各装置は、例えば、図2に示したハードウェア構成を有する情報処理装置50によって実現することができる。図2に示した情報処理装置50は、一般的な情報処理装置であって、CPU51、メモリ52、外部記憶装置53、インタフェース(IF)54、及び入出力装置55が、バス56によって互いに接続されて構成される。
(2) Hardware Configuration Fig. 2 is a block diagram showing an example of the hardware configuration of the terminal 10, the access control device 20, the resource 30, and the management terminal 40. Each of the above devices can be realized, for example, by an information processing device 50 having the hardware configuration shown in Fig. 2. The information processing device 50 shown in Fig. 2 is a general information processing device, and is configured by connecting a CPU 51, a memory 52, an external storage device 53, an interface (IF) 54, and an input/output device 55 to each other via a bus 56.

CPU51は、演算処理を行うプロセッサの一例であって、例えばCPU(Central Processing Unit)である。情報処理装置50では、CPU51がメモリ52に記憶されたプログラムを実行することにより、当該装置が有する所定の機能が実現される。具体的には例えば、情報処理装置50が端末10である場合、CPU51は、メモリ52に記憶された端末側プログラム100を実行することにより、各機能の処理ルーチン(挙動監視部110、挙動情報調整部120、認可要求制御部130、認可要求メッセージ送信部140)を具現化する。また例えば、情報処理装置50がアクセス制御装置20である場合、CPU51は、メモリ52に記憶された制御装置側プログラム200を実行することにより、各機能の処理ルーチン(ポリシー管理部210、認可要求メッセージ受信部220、挙動情報伸長部230、アクセス判定部240、アクセス制御部250)を具現化する。 The CPU 51 is an example of a processor that performs arithmetic processing, and is, for example, a CPU (Central Processing Unit). In the information processing device 50, the CPU 51 executes a program stored in the memory 52 to realize a predetermined function of the device. Specifically, for example, when the information processing device 50 is a terminal 10, the CPU 51 executes a terminal side program 100 stored in the memory 52 to realize the processing routines of each function (behavior monitoring unit 110, behavior information adjustment unit 120, authorization request control unit 130, authorization request message transmission unit 140). Also, for example, when the information processing device 50 is an access control device 20, the CPU 51 executes a control device side program 200 stored in the memory 52 to realize the processing routines of each function (policy management unit 210, authorization request message reception unit 220, behavior information decompression unit 230, access determination unit 240, access control unit 250).

メモリ52は、主記憶装置であって、当該装置における各機能部を実現するために必要な実行プログラム(例えば、端末側プログラム100)を記憶する。メモリ52は、上記プログラムの実行に係るデータの短期記憶を行うためにも用いられる。 Memory 52 is a main storage device that stores the execution programs (e.g., terminal-side program 100) necessary to realize each functional unit of the device. Memory 52 is also used for short-term storage of data related to the execution of the above programs.

外部記憶装置53は、HDD(Hard Disk Drive)やSSD(Solid State Drive)等の非一時的な記憶装置であって、主にデータの長期記憶を行うために用いられる。具体的には例えば、情報処理装置50が端末10である場合、端末設定DB310、挙動監視部管理DB320、及び認可要求メッセージ履歴DB330は、当該情報処理装置50の外部記憶装置53によって実現することができる。また例えば、情報処理装置50がアクセス制御装置20である場合、アクセス制御設定DB410、アクセスポリシースクリプトDB420、及びアクセス認可情報DB430は、当該情報処理装置50の外部記憶装置53によって実現することができる。 The external storage device 53 is a non-transient storage device such as a hard disk drive (HDD) or a solid state drive (SSD), and is mainly used for long-term storage of data. Specifically, for example, when the information processing device 50 is a terminal 10, the terminal setting DB 310, the behavior monitoring unit management DB 320, and the authorization request message history DB 330 can be realized by the external storage device 53 of the information processing device 50. Also, for example, when the information processing device 50 is an access control device 20, the access control setting DB 410, the access policy script DB 420, and the access authorization information DB 430 can be realized by the external storage device 53 of the information processing device 50.

IF54は、通信インタフェース及び入出力インタフェース等の各種インタフェースである。例えば、情報処理装置50が端末10である場合、通信インタフェースとしてのIF54は、端末10を通信ネットワーク41に接続する。また例えば、情報処理装置50がアクセス制御装置20である場合、通信インタフェースとしてのIF54は、アクセス制御装置20を通信ネットワーク41及び通信ネットワーク42に接続する。 IF54 is a variety of interfaces such as a communication interface and an input/output interface. For example, if the information processing device 50 is a terminal 10, IF54 as a communication interface connects the terminal 10 to the communication network 41. Also, for example, if the information processing device 50 is an access control device 20, IF54 as a communication interface connects the access control device 20 to the communication network 41 and the communication network 42.

入出力装置55は、ユーザ等による情報処理装置50への各種情報の入力を受け付ける入力装置、及び、情報処理装置50に格納されている情報の外部への出力を行う出力装置である。入力装置としての入出力装置55は、例えば、キーボード、マウス、またはタッチパネルなどである。出力装置としての入出力装置55は、例えば、液晶表示装置、有機EL(Electro Luminescence)ディスプレイ、またはプリンタなどである。 The input/output device 55 is an input device that accepts various information input to the information processing device 50 by a user or the like, and an output device that outputs information stored in the information processing device 50 to the outside. The input/output device 55 as an input device is, for example, a keyboard, a mouse, or a touch panel. The input/output device 55 as an output device is, for example, a liquid crystal display device, an organic EL (Electro Luminescence) display, or a printer.

バス56は、通信線であって、情報処理装置50を構成する各装置(CPU51、メモリ52、外部記憶装置53、IF54、入出力装置55)を接続し、これらの装置間における情報のやり取りを実現する。 The bus 56 is a communication line that connects each device that constitutes the information processing device 50 (CPU 51, memory 52, external storage device 53, IF 54, input/output device 55) and enables the exchange of information between these devices.

なお、情報処理装置50においてCPU51が実行するプログラムや当該プログラムが参照するデータの一部または全ては、メモリ52または外部記憶装置53に予め格納されていてもよいし、必要に応じて、IF54を介して、ネットワークで接続された他の装置の非一時的記憶装置から、または非一時的な記憶媒体から、情報処理装置50の外部記憶装置53に格納されるように構成されてもよい。 In addition, some or all of the programs executed by the CPU 51 in the information processing device 50 and the data referenced by the programs may be stored in advance in the memory 52 or the external storage device 53, or may be configured to be stored in the external storage device 53 of the information processing device 50 from a non-transient storage device of another device connected via a network or from a non-transient storage medium via the IF 54, as necessary.

(3)データ構成
(3-1)端末設定DB310
図3は、端末設定情報の一例を示す図である。図3の端末設定情報3100は、端末設定DB310に格納される端末設定情報の一例であり、端末側プログラム100における種々の設定項目の情報が記録される。図3に示したように、端末設定情報3100は、ID3101、項目3102、及び値3103の項目を有する。
(3) Data Configuration (3-1) Terminal Setting DB 310
Fig. 3 is a diagram showing an example of terminal setting information. Terminal setting information 3100 in Fig. 3 is an example of terminal setting information stored in the terminal setting DB 310, and records information on various setting items in the terminal-side program 100. As shown in Fig. 3, the terminal setting information 3100 has items of ID 3101, item 3102, and value 3103.

ID3101は、データベース内でレコードを一意に識別するための符号である。項目3102は、設定項目を指し示す符号であり、例えば文字列で表される。値3103は、項目3102に対応する値を示すものであり、その値は文字列や数値など任意である。 ID 3101 is a code for uniquely identifying a record within the database. Item 3102 is a code indicating a setting item, and is expressed, for example, as a character string. Value 3103 indicates a value corresponding to item 3102, and the value can be any value, such as a character string or a numeric value.

以下、図3の端末設定情報3100における具体的な記録内容を説明する。 The specific contents recorded in the terminal setting information 3100 in Figure 3 are explained below.

ID3101=「1」の項目3102に示す「最大許容データサイズ」は、認可要求メッセージ510に格納可能な挙動情報の最大データサイズを規定する。図3の場合、当該レコードの値3103には「1000byte」が設定されている。 The "maximum allowed data size" shown in item 3102 of ID 3101 = "1" specifies the maximum data size of behavior information that can be stored in the authorization request message 510. In the case of Figure 3, the value 3103 of the record is set to "1000 bytes."

ID3101=「2」の項目3102に示す「挙動情報圧縮方式」は、挙動情報圧縮部121が実行する情報圧縮アルゴリズムを規定する。図3の場合、当該レコードの値3103には「BloomFilter」が設定されている。BloomFilterは、非可逆圧縮アルゴリズムの一種であり、複数のデータをビット配列に登録し、後で任意のデータがビット配列に登録されているかどうかを、一定の誤識別率の下で判定することができる。BloomFilterでは、データのビット配列への登録処理において、登録対象データに複数種類のハッシュ関数を適用して得られたハッシュ値に該当するビット配列の要素を「1」に設定する。そして、データがビット配列に登録されているか否かの判定処理において、判定対象データのハッシュ値に対応するビット配列の要素が全て「1」であるか否かを確認する。なお、BloomFilterは、一般的な可逆圧縮方式よりも高い圧縮率を実現するが、その仕組み上、判定処理において、ビット配列に実際には入っていない(登録されていない)データが、当該ビット配列に登録されている、と誤識別される場合がある。 The "behavior information compression method" shown in item 3102 of ID 3101 = "2" specifies the information compression algorithm executed by the behavior information compression unit 121. In the case of FIG. 3, "BloomFilter" is set in the value 3103 of the record. BloomFilter is a type of lossy compression algorithm, which registers multiple pieces of data in a bit array and can later determine whether any data is registered in the bit array under a certain error rate. In BloomFilter, in the process of registering data in a bit array, the elements of the bit array corresponding to the hash value obtained by applying multiple types of hash functions to the data to be registered are set to "1". Then, in the process of determining whether data is registered in the bit array, it is confirmed whether all the elements of the bit array corresponding to the hash value of the data to be determined are "1". Although BloomFilter achieves a higher compression rate than typical lossless compression methods, due to its mechanism, data that is not actually included (registered) in the bit array may be mistakenly identified as being registered in the bit array during the determination process.

ID3101=「3」の項目3102に示す「最大許容誤識別率」は、ID3101=「2」で述べたBloomFilterの誤識別率の許容値を規定するパラメータである。図3の場合、当該レコードの値3103には「0.0001」が設定されている。 The "Maximum Tolerable Misclassification Rate" shown in item 3102 of ID 3101 = "3" is a parameter that specifies the tolerable value of the misclassification rate of the BloomFilter described in ID 3101 = "2". In the case of Figure 3, the value 3103 of the record in question is set to "0.0001".

ID3101=「4」の項目3102に示す「推定平均検証時間」は、アクセス制御装置20が認可要求メッセージ510の検証処理に要する時間の推定値を規定する。この推定値は、認可要求制御部130がアクセス要求520のパケットをバッファリングする時間を求める際に使用される。図3の場合、当該レコードの値3103には「200msec」が設定されている。 The "Estimated average verification time" shown in item 3102 for ID 3101 = "4" specifies an estimate of the time required for the access control device 20 to perform verification processing of the authorization request message 510. This estimate is used when the authorization request control unit 130 calculates the time required to buffer the packet of the access request 520. In the case of Figure 3, the value 3103 of the record in question is set to "200 msec."

ID3101=「5」の項目3102に示す「推定通信許可時間」は、アクセス制御装置20が、認可要求メッセージ510を検証した結果、アクセス要求520を許可すると判断した場合に、その判断結果が継続する時間の推定最小値を規定する。図3の場合、当該レコードの値3103には「10sec」が設定されている。 The "Estimated communication permission time" shown in item 3102 for ID 3101 = "5" specifies the estimated minimum time that the result of the judgment made by the access control device 20 to permit the access request 520 will continue if the access control device 20 verifies the authorization request message 510. In the case of FIG. 3, the value 3103 of the record is set to "10 sec."

ID3101=「6」の項目3102に示す「挙動情報圧縮部フラグ」は、認可要求メッセージ510を作成する際に、挙動情報圧縮部121の機能を使用するか否かを規定する。図3の場合、当該レコードの値3103には、使用を意味する「On」が設定されている。 The "behavior information compression unit flag" shown in item 3102 of ID 3101 = "6" specifies whether or not to use the function of the behavior information compression unit 121 when creating the authorization request message 510. In the case of Figure 3, the value 3103 of the record is set to "On", which means that it is used.

ID3101=「7」の項目3102に示す「挙動情報優先付け部フラグ」は、認可要求メッセージ510を作成する際に、挙動情報優先付け部122の機能を使用するか否かを規定する。図3の場合、当該レコードの値3103には、使用を意味する「On」が設定されている。 The "Behavior information prioritization unit flag" shown in item 3102 of ID 3101 = "7" specifies whether or not to use the function of the behavior information prioritization unit 122 when creating the authorization request message 510. In the case of Figure 3, the value 3103 of the record is set to "On", which means that it is used.

ID3101=「8」の項目3102に示す「挙動更新間隔」は、挙動監視部110が最新の挙動情報を挙動監視部管理DB320(挙動監視部管理情報)に反映する時間間隔を規定する。図3の場合、当該レコードの値3103には「10sec」が設定されている。 The "Behavior update interval" shown in item 3102 of ID 3101 = "8" specifies the time interval at which the behavior monitoring unit 110 reflects the latest behavior information in the behavior monitoring unit management DB 320 (behavior monitoring unit management information). In the case of Figure 3, the value 3103 of the record is set to "10 sec."

ID3101=「9」の項目3102に示す「想定最大パケットロス率」は、通信ネットワーク41で発生するパケットロス率の想定される最大値を設定する。図3の場合、当該レコードの値3103には「20%」が設定されている。 The "Expected maximum packet loss rate" shown in item 3102 for ID 3101 = "9" sets the expected maximum packet loss rate that may occur in communication network 41. In the case of Figure 3, the value 3103 of the record in question is set to "20%."

ID3101=「10」の項目3102に示す「自端末秘密鍵」は、認可要求メッセージ510に付与する電子署名の作成に必要な鍵を規定する。図3の場合、当該レコードの値3103には「fa31cf31...」が設定されている。 The "own terminal private key" shown in item 3102 of ID 3101 = "10" specifies the key required to create the electronic signature to be attached to the authorization request message 510. In the case of FIG. 3, the value 3103 of the record is set to "fa31cf31...".

ID3101=「11」~「13」の各レコードは、アクセス制御装置20の公開鍵に関する情報であり、認可要求メッセージ510はこれらの公開鍵で暗号化される。本実施形態に係る動的アクセス認可システム1では、端末10がアクセスを要求するリソース30に依存して、認可要求メッセージ510の送信先となるアクセス制御装置20も変わる。図3の場合は、一例として、3台のアクセス制御装置20(個別には、アクセス制御装置X,Y,Z)が通信ネットワーク41に存在すると仮定している。なお、リソース30とアクセス制御装置20との対応付けは、データベースで予め定めて管理するとしてもよいし、リソース30のIPアドレスに基づいて、対応するアクセス制御装置20のIPアドレスを一意に特定するとしてもよい。具体的には例えば、リソース30のIPアドレスが「A.B.C.D」である場合に、対応するアクセス制御装置20のIPアドレスを「A.B.C.1」とすることなどが考えられる。 Each record with ID3101="11" to "13" is information related to the public key of the access control device 20, and the authorization request message 510 is encrypted with these public keys. In the dynamic access authorization system 1 according to this embodiment, the access control device 20 to which the authorization request message 510 is sent also changes depending on the resource 30 to which the terminal 10 requests access. In the case of FIG. 3, as an example, it is assumed that three access control devices 20 (individually, access control devices X, Y, and Z) exist in the communication network 41. Note that the correspondence between the resource 30 and the access control device 20 may be predetermined and managed in a database, or the IP address of the corresponding access control device 20 may be uniquely identified based on the IP address of the resource 30. Specifically, for example, when the IP address of the resource 30 is "A.B.C.D", the IP address of the corresponding access control device 20 may be "A.B.C.1".

ID3101=「11」の項目3102に示す「アクセス制御装置X公開鍵」は、アクセス制御装置Xの公開鍵を規定する。図3の場合、当該レコードの値3103には「a381f13...」が設定されている。 The "Access control device X public key" shown in item 3102 for ID 3101 = "11" specifies the public key of the access control device X. In the case of FIG. 3, the value 3103 of the record is set to "a381f13...".

ID3101=「12」の項目3102に示す「アクセス制御装置Y公開鍵」は、アクセス制御装置Yの公開鍵を規定する。図3の場合、当該レコードの値3103には「c39ddff1...」が設定されている。 The "Access control device Y public key" shown in item 3102 for ID 3101 = "12" specifies the public key of the access control device Y. In the case of Figure 3, the value 3103 of the record is set to "c39ddff1...".

ID3101=「13」の項目3102に示す「アクセス制御装置Z公開鍵」は、アクセス制御装置Zの公開鍵を規定する。図3の場合、当該レコードの値3103には「e390413...」が設定されている。 The "Access control device Z public key" shown in item 3102 of ID 3101 = "13" specifies the public key of the access control device Z. In the case of Figure 3, the value 3103 of the record is set to "e390413...".

(3-2)挙動監視部管理DB320
図4は、挙動監視部管理情報の一例を示す図である。図4の挙動監視部管理情報3200は、挙動監視部管理DB320に格納される挙動監視部管理情報の一例であり、挙動監視部110のパラメータ、及び端末10で観測し出力された挙動情報の管理に関する情報が記録される。図4に示したように、挙動監視部管理情報3200は、ID3201、挙動監視部名称3202、タイプ3203、価値3204、出力形式3205、圧縮対象3206、最新挙動情報3207、出力サイズ3208、圧縮後サイズ3209、及び採用フラグ3210の項目を有する。
(3-2) Behavior monitoring unit management DB 320
Fig. 4 is a diagram showing an example of behavior monitoring unit management information. Behavior monitoring unit management information 3200 in Fig. 4 is an example of behavior monitoring unit management information stored in the behavior monitoring unit management DB 320, and records information related to the parameters of the behavior monitoring unit 110 and management of behavior information observed and output by the terminal 10. As shown in Fig. 4, the behavior monitoring unit management information 3200 has the following items: ID 3201, behavior monitoring unit name 3202, type 3203, value 3204, output format 3205, compression target 3206, latest behavior information 3207, output size 3208, post-compression size 3209, and adoption flag 3210.

ID3201は、データベース内でレコードを一意に識別するための符号である。挙動監視部名称3202は、個々の挙動監視部110の名称を示す。 ID 3201 is a code for uniquely identifying a record within the database. Behavior monitoring unit name 3202 indicates the name of each behavior monitoring unit 110.

タイプ3203は、監視対象を基に、挙動監視部110を分類する識別子である。図4では、一例として、「プロセス」、「通信」、「センサ」、「内部犯行」、及び「通信」の5種類の識別子が示されている。 The type 3203 is an identifier that classifies the behavior monitoring unit 110 based on the monitored object. In FIG. 4, five types of identifiers are shown as examples: "Process", "Communication", "Sensor", "Insider Crime", and "Communication".

価値3204は、挙動監視部110が出力する挙動情報の価値を示す値であり、値が大きいほど価値が高いことを表す。価値3204の値は、端末側プログラム100が端末10にインストールされる前に、管理者によって予め定められる。但し、動的アクセス認可システム1では、システムの運用中に価値3204の値を変更するようにしてもよい。 The value 3204 is a value indicating the value of the behavior information output by the behavior monitoring unit 110, with a larger value indicating a higher value. The value of the value 3204 is determined in advance by an administrator before the terminal-side program 100 is installed on the terminal 10. However, in the dynamic access authorization system 1, the value of the value 3204 may be changed during operation of the system.

出力形式3205は、挙動監視部110が出力する挙動情報の形式である。図4では、一例として、「整数値」、「リスト」、及び「二値」の3種類の形式が示されている。 The output format 3205 is the format of the behavior information output by the behavior monitoring unit 110. In FIG. 4, three types of formats are shown as examples: "integer value", "list", and "binary value".

圧縮対象3206は、挙動監視部110による挙動監視によって出力される挙動情報が、挙動情報圧縮部121による圧縮処理の対象であるか否かを判断するためのフラグである。圧縮対象3206の値が「YES」の場合は、圧縮処理の対象であることを表し、「NO」の場合は圧縮処理の対象ではないことを表す。但し、圧縮対象3206=「YES」の挙動情報であっても、当該挙動情報のデータサイズが、端末設定情報3100のID3101=「1」で示される最大許容データサイズと比べて余裕がある場合には、実際には圧縮処理が行われないこともある。 Compression target 3206 is a flag for determining whether or not the behavior information output by behavior monitoring by the behavior monitoring unit 110 is a target for compression processing by the behavior information compression unit 121. When the value of compression target 3206 is "YES", it indicates that it is a target for compression processing, and when the value is "NO", it indicates that it is not a target for compression processing. However, even if the behavior information has compression target 3206 = "YES", if the data size of the behavior information is larger than the maximum allowable data size indicated by ID 3101 = "1" in the terminal setting information 3100, compression processing may not actually be performed.

最新挙動情報3207は、挙動監視部110が出力する最新の挙動情報を記録する。なお、挙動情報圧縮部121によって挙動情報に圧縮処理が実施された後は、最新挙動情報3207には、圧縮後の挙動情報の値が記録される。 The latest behavior information 3207 records the latest behavior information output by the behavior monitoring unit 110. After the behavior information compression unit 121 performs a compression process on the behavior information, the latest behavior information 3207 records the value of the compressed behavior information.

出力サイズ3208は、最新挙動情報3207のデータサイズを示す。但し、挙動情報圧縮部121による圧縮処理が施された挙動情報については、出力サイズ3208には、圧縮前の挙動情報のデータサイズが記録される。なお、挙動監視部110の仕組みによっては、挙動情報は可変長となるが、その場合、出力サイズ3208の値は、その時々で変化してもよい。 The output size 3208 indicates the data size of the latest behavior information 3207. However, for behavior information that has been compressed by the behavior information compression unit 121, the data size of the behavior information before compression is recorded in the output size 3208. Note that depending on the mechanism of the behavior monitoring unit 110, the behavior information may be of variable length, in which case the value of the output size 3208 may change from time to time.

圧縮後サイズ3209は、圧縮処理が施された後の挙動情報のデータサイズを示す。なお、挙動情報が圧縮処理の対象外である場合、圧縮後サイズ3209には、「n/a」のように無効を表す値が記録される。 The compressed size 3209 indicates the data size of the behavior information after compression processing has been performed. Note that if the behavior information is not subject to compression processing, a value indicating invalidity, such as "n/a", is recorded in the compressed size 3209.

採用フラグ3210は、複数の挙動情報の組み合わせを決定する挙動情報優先付け部122による処理の対象であるか否かを示すフラグであり、言い換えれば、当該レコードの挙動情報を要求メッセージ510に載せるか否かの判断結果を示すフラグである。図4では、採用フラグ3210には、「On」または「Off」の値が記録されている。 The adoption flag 3210 is a flag indicating whether or not the record is subject to processing by the behavior information prioritization unit 122, which determines a combination of multiple pieces of behavior information. In other words, it is a flag indicating the result of the determination as to whether or not the behavior information of the record is to be included in the request message 510. In FIG. 4, the adoption flag 3210 is recorded with a value of "On" or "Off."

以下、図4の挙動監視部管理情報3200における具体的な記録内容を説明する。 The specific contents recorded in the behavior monitoring unit management information 3200 in Figure 4 are explained below.

ID3201=「1」のレコードは、挙動監視部名称3202が「不審プロセス起動数」である挙動監視部110に関する情報を保持する。この監視挙動部100は、過去に発生したことがないプロセスが、直近の一定時間以内に発生した回数を、挙動情報として記録する。なお、上記「過去」とは、厳密には、上記「直近の一定時間」よりも前、を意味するものであり、これは、挙動監視部管理情報3200における他のレコードについて後述する際の「過去」についても同様である。また、上記「直近の一定時間」とは、現在時刻を基点とする一定の時間幅を指す。時間幅の具体的な値としては、例えば「10秒」、「1分」、「1時間」など、数秒~数時間の範囲が考えられる。時間幅の値は複数の挙動監視部110で共通の値を設定しても良いし、各挙動監視部110の特性に合わせ個別の値を設定しても良い。また、運用中に設定ファイルなどを通じて値を変更してもよい。挙動情報の記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「プロセス」、価値3204は「5」、出力形式3205は「整数値」、圧縮対象3206は「NO」、最新挙動情報3207は「1」、出力サイズ3208は「4byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「On」が記録されている。 The record with ID 3201 = "1" holds information about the behavior monitoring unit 110 whose behavior monitoring unit name 3202 is "number of suspicious process launches". This monitoring behavior unit 100 records the number of times a process that has never occurred in the past occurred within a certain period of time as behavior information. Note that the above "past" strictly means before the above "certain period of time". This also applies to "past" when other records in the behavior monitoring unit management information 3200 are described later. The above "certain period of time" refers to a certain period of time based on the current time. Specific values of the period of time can be in the range of several seconds to several hours, such as "10 seconds", "1 minute", and "1 hour". The value of the period of time may be set to a common value for multiple behavior monitoring units 110, or may be set to an individual value according to the characteristics of each behavior monitoring unit 110. The value may also be changed during operation through a configuration file or the like. An API provided by the OS/application 11 is used to record the behavior information. In the case of FIG. 4, in the record, the type 3203 is "Process", the value 3204 is "5", the output format 3205 is "Integer value", the compression target 3206 is "NO", the latest behavior information 3207 is "1", the output size 3208 is "4 bytes", the compressed size 3209 is "n/a", and the adoption flag 3210 is "On".

ID3201=「2」のレコードは、挙動監視部名称3202が「不審通信先数」である挙動監視部110に関する情報を保持する。この監視挙動部100は、端末10が過去に通信した実績は無いが、直近一定時間以内に初めて通信が行われた宛先のユニーク数を、挙動情報として記録する。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「通信」、価値3204は「5」、出力形式3205は「整数値」、圧縮対象3206は「NO」、最新挙動情報3207は「3」、出力サイズ3208は「4byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「On」が記録されている。 The record with ID 3201 = "2" holds information about the behavior monitoring unit 110 whose behavior monitoring unit name 3202 is "Number of suspicious communication destinations". This monitoring behavior unit 100 records, as behavior information, the number of unique destinations with which the terminal 10 has not communicated in the past but has communicated for the first time within a certain period of time. For recording, an API provided by the OS/application 11 is used. In the case of FIG. 4, in the record, the type 3203 is "communication", the value 3204 is "5", the output format 3205 is "integer value", the compression target 3206 is "NO", the latest behavior information 3207 is "3", the output size 3208 is "4 bytes", the compressed size 3209 is "n/a", and the adoption flag 3210 is "On".

ID3201=「3」のレコードは、挙動監視部名称3202が「プロセスハッシュ値一覧」である挙動監視部110に関する情報を保持する。この監視挙動部100は、端末10で動作しているプロセスのハッシュ値の一覧を、挙動情報として記録する。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「プロセス」、価値3204は「5」、出力形式3205は「リスト」、圧縮対象3206は「YES」、最新挙動情報3207は「83af,321d,415f,...」、出力サイズ3208は「2000byte」、圧縮後サイズ3209は「150byte」、採用フラグ3210は「On」が記録されている。 The record with ID 3201 = "3" holds information about the behavior monitoring unit 110 whose behavior monitoring unit name 3202 is "Process hash value list". This monitoring behavior unit 100 records a list of hash values of processes running on the terminal 10 as behavior information. For recording, an API provided by the OS/application 11 is used. In the case of FIG. 4, in the record, the type 3203 is "Process", the value 3204 is "5", the output format 3205 is "List", the compression target 3206 is "YES", the latest behavior information 3207 is "83af, 321d, 415f,...", the output size 3208 is "2000 bytes", the compressed size 3209 is "150 bytes", and the adoption flag 3210 is "On".

ID3201=「4」のレコードは、挙動監視部名称3202が「起動サービス一覧」である挙動監視部110に関する情報を保持する。この監視挙動部100は、端末10内で起動されているサービスの名称一覧を、挙動情報として記録する。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「サービス」、価値3204は「3」、出力形式3205は「リスト」、圧縮対象3206は「YES」、最新挙動情報3207は「a.service,b.service,...」、出力サイズ3208は「1500byte」、圧縮後サイズ3209は「400byte」、採用フラグ3210は「Off」が記録されている。 The record with ID 3201 = "4" holds information about the behavior monitoring unit 110 whose behavior monitoring unit name 3202 is "List of running services". This monitoring behavior unit 100 records a list of the names of services running in the terminal 10 as behavior information. For recording, an API provided by the OS/application 11 is used. In the case of FIG. 4, in the record, the type 3203 is "Service", the value 3204 is "3", the output format 3205 is "List", the compression target 3206 is "YES", the latest behavior information 3207 is "a.service, b.service, ...", the output size 3208 is "1500 bytes", the compressed size 3209 is "400 bytes", and the adoption flag 3210 is "Off".

ID3201=「5」のレコードは、挙動監視部名称3202が「カメラ有効有無」である挙動監視部110に関する情報を保持する。この監視挙動部100は、端末10の中でカメラ機能が有効化されているか否かを、挙動情報として記録する。具体的には例えば、有効化されている場合は最新挙動情報3207に「True」が記録され、有効化されていない(無効化されている)場合は最新挙動情報3207に「False」が記録される。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「センサ」、価値3204は「2」、出力形式3205は「二値」、圧縮対象3206は「NO」、最新挙動情報3207は「False」、出力サイズ3208は「1byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「On」が記録されている。 The record with ID 3201 = "5" holds information about the behavior monitoring unit 110 whose behavior monitoring unit name 3202 is "camera enabled or not". This monitoring behavior unit 100 records whether the camera function is enabled in the terminal 10 as behavior information. Specifically, for example, if it is enabled, "True" is recorded in the latest behavior information 3207, and if it is not enabled (disabled), "False" is recorded in the latest behavior information 3207. For recording, an API provided by the OS/application 11 is used. In the case of FIG. 4, in the record, the type 3203 is "sensor", the value 3204 is "2", the output format 3205 is "binary", the compression target 3206 is "NO", the latest behavior information 3207 is "False", the output size 3208 is "1 byte", the compressed size 3209 is "n/a", and the adoption flag 3210 is "On".

ID3201=「6」のレコードは、挙動監視部名称3202が「マイク有効有無」である挙動監視部110に関する情報を保持する。この監視挙動部100は、端末10の中でマイク機能が有効化されているか否かを、挙動情報として記録する。具体的には例えば、有効化されている場合は最新挙動情報3207に「True」が記録され、有効化されていない(無効化されている)場合は最新挙動情報3207に「False」が記録される。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「センサ」、価値3204は「2」、出力形式3205は「二値」、圧縮対象3206は「NO」、最新挙動情報3207は「True」、出力サイズ3208は「1byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「On」が記録されている。 The record with ID 3201 = "6" holds information about the behavior monitoring unit 110 whose behavior monitoring unit name 3202 is "microphone enabled or not". This monitoring behavior unit 100 records whether the microphone function is enabled in the terminal 10 as behavior information. Specifically, for example, if it is enabled, "True" is recorded in the latest behavior information 3207, and if it is not enabled (disabled), "False" is recorded in the latest behavior information 3207. For recording, an API provided by the OS/application 11 is used. In the case of FIG. 4, in the record, the type 3203 is "sensor", the value 3204 is "2", the output format 3205 is "binary", the compression target 3206 is "NO", the latest behavior information 3207 is "True", the output size 3208 is "1 byte", the compressed size 3209 is "n/a", and the adoption flag 3210 is "On".

ID3201=「7」のレコードは、挙動監視部名称3202が「ユーザアイドル時間」である挙動監視部110に関する情報を保持する。この監視挙動部100は、端末10に対してユーザがキーボードやマウスなどのインタフェースを通じた操作を最後に行った日時と現在日時との差を、挙動情報として記録する。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「ユーザ」、価値3204は「2」、出力形式3205は「二値」、圧縮対象3206は「NO」、最新挙動情報3207は「450」、出力サイズ3208は「4byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「Off」が記録されている。 The record with ID 3201 = "7" holds information related to the behavior monitoring unit 110 whose behavior monitoring unit name 3202 is "user idle time". This monitoring behavior unit 100 records the difference between the date and time when the user last operated the terminal 10 through an interface such as a keyboard or mouse and the current date and time as behavior information. For recording, an API provided by the OS/application 11 is used. In the case of FIG. 4, in the record, the type 3203 is "user", the value 3204 is "2", the output format 3205 is "binary", the compression target 3206 is "NO", the latest behavior information 3207 is "450", the output size 3208 is "4 bytes", the compressed size 3209 is "n/a", and the adoption flag 3210 is "Off".

ID3201=「8」のレコードは、挙動監視部名称3202が「印刷実行回数」である挙動監視部110に関する情報を保持する。この監視挙動部100は、一定時間内にユーザが印刷を行った回数を、挙動情報として記録する。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「内部犯行」、価値3204は「3」、出力形式3205は「整数値」、圧縮対象3206は「NO」、最新挙動情報3207は「30」、出力サイズ3208は「4byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「On」が記録されている。 The record with ID 3201 = "8" holds information related to the behavior monitoring unit 110, whose behavior monitoring unit name 3202 is "Number of print executions". This monitoring behavior unit 100 records the number of times a user prints within a certain period of time as behavior information. For recording, an API provided by the OS/application 11 is used. In the case of FIG. 4, in the record, the type 3203 is "internal crime", the value 3204 is "3", the output format 3205 is "integer value", the compression target 3206 is "NO", the latest behavior information 3207 is "30", the output size 3208 is "4 bytes", the compressed size 3209 is "n/a", and the adoption flag 3210 is "On".

ID3201=「9」のレコードは、挙動監視部名称3202が「USBメモリ挿入有無」である挙動監視部110に関する情報を保持する。この監視挙動部100は、一定時間以内に、従来使用されたことがないUSBメモリが端末10に挿入されたか否かを、挙動情報として記録する。具体的には例えば、従来使用されたことがないUSBメモリが端末10に挿入された場合は最新挙動情報3207に「True」が記録され、上記USBメモリが端末10に挿入されなかった場合は最新挙動情報3207に「False」が記録される。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「内部犯行」、価値3204は「4」、出力形式3205は「二値」、圧縮対象3206は「NO」、最新挙動情報3207は「False」、出力サイズ3208は「1byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「Off」が記録されている。 The record with ID 3201 = "9" holds information related to the behavior monitoring unit 110 whose behavior monitoring unit name 3202 is "Whether USB memory is inserted". This monitoring behavior unit 100 records, as behavior information, whether or not a USB memory that has never been used before has been inserted into the terminal 10 within a certain period of time. Specifically, for example, if a USB memory that has never been used before is inserted into the terminal 10, "True" is recorded in the latest behavior information 3207, and if the USB memory has not been inserted into the terminal 10, "False" is recorded in the latest behavior information 3207. For recording, an API provided by the OS/application 11 is used. In the case of FIG. 4, in the record, the type 3203 is "internal crime", the value 3204 is "4", the output format 3205 is "binary", the compression target 3206 is "NO", the latest behavior information 3207 is "False", the output size 3208 is "1 byte", the compressed size 3209 is "n/a", and the adoption flag 3210 is "Off".

ID3201=「10」のレコードは、挙動監視部名称3202が「アップロード通信量」である挙動監視部110に関する情報を保持する。この監視挙動部100は、一定時間内に発生した、インターネット上の計算機へのデータ送信量の最大値を、挙動情報として記録する。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「通信」、価値3204は「5」、出力形式3205は「」、圧縮対象3206は「NO」、最新挙動情報3207は「1310」、出力サイズ3208は「4byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「On」が記録されている。 The record with ID 3201 = "10" holds information about the behavior monitoring unit 110 whose behavior monitoring unit name 3202 is "upload traffic volume". This monitoring behavior unit 100 records the maximum amount of data sent to a computer on the Internet within a certain period of time as behavior information. For recording, an API provided by the OS/application 11 is used. In the case of FIG. 4, in the record, the type 3203 is "communication", the value 3204 is "5", the output format 3205 is "", the compression target 3206 is "NO", the latest behavior information 3207 is "1310", the output size 3208 is "4 bytes", the compressed size 3209 is "n/a", and the adoption flag 3210 is "On".

(3-3)認可要求メッセージ履歴DB330
図5は、認可要求メッセージ履歴情報の一例を示す図である。図5の認可要求メッセージ履歴情報3300は、認可要求メッセージ履歴DB330に格納される認可要求メッセージ履歴情報の一例であり、端末10が過去に発行した認可要求メッセージ510について、送信先や送信日時などの情報が記録される。図5に示したように、認可要求メッセージ履歴情報3300は、ID3301、宛先アクセス制御装置3302、及び認可要求メッセージ送信日時3303の項目を有する。
(3-3) Authorization Request Message History DB 330
Fig. 5 is a diagram showing an example of authorization request message history information. The authorization request message history information 3300 in Fig. 5 is an example of authorization request message history information stored in the authorization request message history DB 330, and records information such as a transmission destination and a transmission date and time for an authorization request message 510 issued in the past by the terminal 10. As shown in Fig. 5, the authorization request message history information 3300 has items of an ID 3301, a destination access control device 3302, and an authorization request message transmission date and time 3303.

ID3301は、データベース内でレコードを一意に識別するための符号である。宛先アクセス制御装置3302は、認可要求メッセージ510の宛先とされたアクセス制御装置20を示す情報である。認可要求メッセージ送信日時3303は、宛先アクセス制御装置3302で指定されたアクセス制御装置20に対して認可要求メッセージ510を送信した日時である。 The ID 3301 is a code for uniquely identifying a record in the database. The destination access control device 3302 is information indicating the access control device 20 that is the destination of the authorization request message 510. The authorization request message transmission date and time 3303 is the date and time when the authorization request message 510 is transmitted to the access control device 20 specified by the destination access control device 3302.

以下、図5の認可要求メッセージ履歴情報3300における具体的な記録内容を説明する。 The specific contents recorded in the authorization request message history information 3300 in Figure 5 are explained below.

ID3301=「1」のレコードは、アクセス制御装置Xを宛先として、「2021-03-08 15:00:00」、「2021-03-08 15:00:01」、及び「2021-03-08 15:00:02」の日時に、認可要求メッセージ510が送信されたことを意味する。 The record with ID 3301 = "1" means that an authorization request message 510 was sent to access control device X on the dates and times "2021-03-08 15:00:00", "2021-03-08 15:00:01", and "2021-03-08 15:00:02".

ID3301=「2」のレコードは、アクセス制御装置Yを宛先として、「2021-03-08 13:00:00」及び「2021-03-08 14:00:00」の日時に、認可要求メッセージ510が送信されたことを意味する。 The record with ID 3301 = "2" means that an authorization request message 510 was sent to access control device Y on the dates and times "2021-03-08 13:00:00" and "2021-03-08 14:00:00".

ID3301=「3」のレコードは、アクセス制御装置Zを宛先として、「2021-03-08 16:00:00」及び「2021-03-08 16:00:10」の日時に、認可要求メッセージ510が送信されたことを意味する。 The record with ID 3301 = "3" means that an authorization request message 510 was sent to access control device Z on the dates and times "2021-03-08 16:00:00" and "2021-03-08 16:00:10".

(3-4)アクセス制御設定DB410
図6は、アクセス制御設定情報の一例を示す図である。図6のアクセス制御設定情報4100は、アクセス制御設定DB410に格納されるアクセス制御設定情報の一例であり、アクセス制御装置20における種々の設定項目の情報が記録される。図6に示したように、アクセス制御設定情報4100は、ID4101、項目4102、及び値4103の項目を有する。
(3-4) Access control setting DB 410
Fig. 6 is a diagram showing an example of access control setting information. Access control setting information 4100 in Fig. 6 is an example of access control setting information stored in the access control setting DB 410, and records information on various setting items in the access control device 20. As shown in Fig. 6, the access control setting information 4100 has items of ID 4101, item 4102, and value 4103.

ID4101は、データベース内でレコードを一意に識別するための符号である。項目4102は、設定項目を指し示す符号であり、例えば文字列で表される。値4103は、項目4102に対応する値を示すものであり、その値は文字列や数値など任意である。 The ID 4101 is a code for uniquely identifying a record within the database. The item 4102 is a code indicating a setting item, and is expressed, for example, as a character string. The value 4103 indicates a value corresponding to the item 4102, and the value can be any value, such as a character string or a numeric value.

以下、図6のアクセス制御設定情報4100における具体的な記録内容を説明する。 The specific contents recorded in the access control setting information 4100 in Figure 6 are explained below.

ID4101=「1」の項目4102に示す「制御装置秘密鍵」は、アクセス制御設定情報4100を保持するアクセス制御装置20が管理する秘密鍵を規定する。図6の場合、当該レコードの値4103には「1cf32d31...」が設定されている。 The "control device private key" shown in item 4102 of ID 4101 = "1" specifies the private key managed by the access control device 20 that holds the access control setting information 4100. In the case of Figure 6, the value 4103 of the record is set to "1cf32d31...".

ID4101=「2」~「4」の各レコードは、アクセス制御装置20にアクセスする可能性がある端末10の公開鍵に関する情報である。具体的には、ID4101=「2」の項目4102に示す「端末A公開鍵」は、端末Aの公開鍵を規定しており、図6の場合、当該レコードの値4103は「1deaf13...」である。また、ID4101=「3」の項目4102に示す「端末B公開鍵」は、端末Bの公開鍵を規定しており、図6の場合、当該レコードの値4103は「f3932cf1...」である。また、ID4101=「4」の項目4102に示す「端末C公開鍵」は、端末Cの公開鍵を規定しており、図6の場合、当該レコードの値4103は「c3d0436...」である。 Each record with ID4101="2" to "4" is information related to the public key of a terminal 10 that may access the access control device 20. Specifically, the "Terminal A Public Key" shown in item 4102 with ID4101="2" specifies the public key of terminal A, and in the case of FIG. 6, the value 4103 of the record is "1deaf13...". The "Terminal B Public Key" shown in item 4102 with ID4101="3" specifies the public key of terminal B, and in the case of FIG. 6, the value 4103 of the record is "f3932cf1...". The "Terminal C Public Key" shown in item 4102 with ID4101="4" specifies the public key of terminal C, and in the case of FIG. 6, the value 4103 of the record is "c3d0436...".

ID4101=「5」の項目4102に示す「情報伸長対象監視部」は、圧縮処理が行われる可能性がある挙動監視部110の挙動監視部名称3202を規定する。本説明の構成では、図6に示したように、値4103に「プロセスハッシュ値一覧」及び「起動サービス一覧」が規定されている。 The "information decompression target monitoring unit" shown in item 4102 with ID 4101 = "5" specifies the behavior monitoring unit name 3202 of the behavior monitoring unit 110 for which compression processing may be performed. In the configuration described here, as shown in Figure 6, the value 4103 specifies a "list of process hash values" and a "list of launched services."

ID4101=「6」の項目4102に示す「遮断モード」は、アクセス判定部240によるアクセスの認可判定の結果、通信遮断が決定された場合に設定される遮断モードを規定する。当該レコードの値4103には、選択可能な遮断モードのフラグが記録される。具体的には例えば、通信遮断が決定された以後のアクセス要求520を完全に遮断する遮断モードのフラグを「完全遮断」とし、通信遮断が決定された以後の一定の遮断期間の後に、無条件にアクセス要求520を許可する期間を設ける遮断モードのフラグを「一時遮断」とする。「一時遮断」の遮断モードが選択された場合は、正常な通信が誤判断によって遮断されてしまった場合でも、その後の一定の通信許可期間を設けることにより、上記正常な通信の遮断によって業務が完全に停止することを回避することが可能となる。 The "shutdown mode" shown in item 4102 of ID 4101 = "6" specifies the shutdown mode that is set when the access determination unit 240 determines whether to allow access and the communication is to be shut down. The value 4103 of the record records a selectable shutdown mode flag. Specifically, for example, a shutdown mode flag that completely shuts down access requests 520 after a decision to shut down communication is set to "complete shutdown," and a shutdown mode flag that provides a period during which access requests 520 are unconditionally permitted after a certain shutdown period after a decision to shut down communication is set to "temporary shutdown." When the "temporary shutdown" shutdown mode is selected, even if normal communication is shut down due to an erroneous decision, by providing a certain period of communication permission thereafter, it is possible to avoid a complete stop in business due to the shutdown of the normal communication.

ID4101=「7」の項目4102に示す「通信遮断間隔」は、「一時遮断」の遮断モードが行われる場合の遮断期間の長さを規定する。図6の場合、当該レコードの値4103の値は「30sec」である。 The "Communication cutoff interval" shown in item 4102 of ID 4101 = "7" specifies the length of the cutoff period when the "temporary cutoff" cutoff mode is performed. In the case of Figure 6, the value of value 4103 of the relevant record is "30 sec."

ID4101=「8」の項目4102に示す「通信通過間隔」は、アクセス判定部240によりアクセス要求520の通信通過が許可された場合、あるいはアクセス要求520の通信が一時遮断されて通信遮断期間が過ぎた場合に、無条件にアクセス要求520の通過が許可される期間(通信許可期間)の長さを規定する。この通信許可期間が経過した後は、再び認可要求メッセージ510が認可されるまで、アクセス要求520は遮断される。図6の場合、当該レコードの値4103の値は「40sec」である。なお、一旦、認可要求メッセージ510が認可された通信は、通信通過間隔の規定に拘わらず、通信終了まで遮断されることはないとする。 The "communication passing interval" shown in item 4102 of ID 4101 = "8" specifies the length of the period (communication permission period) during which the access request 520 is unconditionally permitted to pass when the access determination unit 240 permits the access request 520 to pass, or when the communication of the access request 520 is temporarily blocked and the communication blocking period has passed. After this communication permission period has passed, the access request 520 is blocked until the authorization request message 510 is approved again. In the case of FIG. 6, the value of the value 4103 of the record is "40 sec". Note that once the authorization request message 510 has been approved for communication, it will not be blocked until the communication ends, regardless of the specification of the communication passing interval.

(3-5)アクセスポリシースクリプトDB420
図7は、アクセスポリシースクリプトの一例を示す図である。図7のアクセスポリシースクリプト4200は、アクセスポリシースクリプトDB420に格納されるアクセスポリシースクリプトの一例であり、アクセス制御部250が認可要求メッセージ510に対する認可判定の処理を行う際に参照される。図7に示したように、アクセスポリシースクリプト4200は、ID4201、スクリプト4202、及び圧縮挙動情報キーワード4203の項目を有する。
(3-5) Access Policy Script DB 420
Fig. 7 is a diagram showing an example of an access policy script. An access policy script 4200 in Fig. 7 is an example of an access policy script stored in the access policy script DB 420, and is referenced when the access control unit 250 performs an authorization decision process for an authorization request message 510. As shown in Fig. 7, the access policy script 4200 has items of an ID 4201, a script 4202, and a compression behavior information keyword 4203.

ID4201は、データベース内でレコードを一意に識別するための符号である。 ID4201 is a code that uniquely identifies a record within the database.

スクリプト4202には、アクセスポリシーのスクリプトが記述される。アクセスポリシースクリプトには、アクセス元である端末10の属性を示す“subject”、アクセス先であるリソース30の属性を示す“resource”、及び端末10で観測された挙動情報である“behavior”の3つの観点から論理式が記述される。そして、認可要求メッセージ510に含まれる内容が全ての論理式が満たしている場合に限り、“judgement”の記載に従って、通過または遮断の判定を行う。“subject”の属性としては、端末10のIPアドレスや識別子、端末10を操作しているユーザ名やアカウントID、あるいはユーザの職位、所属組織名、与えられたセキュリティクリアランスなどが考えられる。“resource”の属性としては、リソース30のIPアドレス、提供するサービスのタイプなどが考えられる。 The script 4202 describes the access policy script. In the access policy script, logical expressions are described from three perspectives: "subject" indicating the attribute of the terminal 10 that is the access source, "resource" indicating the attribute of the resource 30 that is the access destination, and "behavior" which is behavior information observed by the terminal 10. Then, only if the contents included in the authorization request message 510 satisfy all of the logical expressions, a decision is made to pass or block according to the description of "judgment". Possible attributes of "subject" include the IP address or identifier of the terminal 10, the user name or account ID of the user operating the terminal 10, or the user's job title, the name of the organization to which the user belongs, and the security clearance given. Possible attributes of "resource" include the IP address of the resource 30, the type of service provided, and the like.

圧縮挙動情報キーワード4203は、挙動情報伸長部230による圧縮挙動情報伸長化処理(後述する図15参照)において、非可逆圧縮処理が施された挙動情報内に記録されているか否かの確認対象とされる「キーワード」を示す。圧縮挙動情報キーワード4203に記載されるキーワードは、スクリプト4202の記述から、アクセス制御設定情報4100のID4101=「5」で指定された情報伸長対象監視部の値4103に該当する値を抽出したものである。 The compressed behavior information keyword 4203 indicates a "keyword" that is checked for whether it is recorded in the behavior information that has been subjected to lossy compression processing during the compressed behavior information decompression processing by the behavior information decompression unit 230 (see FIG. 15 described later). The keyword written in the compressed behavior information keyword 4203 is a value extracted from the description of the script 4202 that corresponds to the value 4103 of the information decompression target monitoring unit specified by ID 4101 = "5" in the access control setting information 4100.

以下、図7のアクセスポリシースクリプト4200における具体的な記録内容を説明する。 The specific contents recorded in the access policy script 4200 in Figure 7 are explained below.

ID4201=「1」であるレコードのスクリプト4202は、“judgement”=「通過」となるアクセスポリシースクリプトの一例である。subjectが満たす要件として、端末10を操作しているユーザ名が“Alice”であることが規定されている。次に“resource”が満たす要件として、リソース30のIPアドレスが“10.0.0.8/8”に含まれることが規定されている。次に“behavior”としては3つの挙動情報に関する論理式が規定されている。複数の論理式が規定されている場合、その中の1つ以上あるいは全てを満たす必要がある。ここでは“AND”により全ての論理式を満たす必要があることを規定している。1つ目の論理式は、挙動監視部管理情報3200のID3201=「1」で指定された「不審プロセス起動数」が20未満であることが規定されている。2つ目の論理式は、挙動監視部管理情報3200のID3201=「7」で指定された「ユーザアイドル時間」が120秒以内であることが規定されている。3つ目の論理式は、挙動監視部管理情報3200のID3201=「4」で指定された「起動サービス一覧」に、“アンチウイルスX”及び“セキュリティサービスY”が含まれることを規定している。そして、当該レコードにおける圧縮挙動情報キーワード4203には、“アンチウイルスX”及び“セキュリティサービスY”が記載されている。 Script 4202 of record with ID 4201 = "1" is an example of an access policy script with "judgment" = "pass". The requirement that the subject must satisfy is stipulated that the user name operating the terminal 10 is "Alice". Next, the requirement that the "resource" must satisfy is stipulated that the IP address of the resource 30 is included in "10.0.0.8/8". Next, logical expressions related to three behavior information are stipulated as "behavior". If multiple logical expressions are stipulated, one or more or all of them must be satisfied. Here, "AND" is used to stipulate that all logical expressions must be satisfied. The first logical expression stipulates that the "number of suspicious process startups" specified by ID 3201 = "1" in the behavior monitoring unit management information 3200 is less than 20. The second logical expression specifies that the "user idle time" specified by ID 3201 = "7" in the behavior monitoring unit management information 3200 is within 120 seconds. The third logical expression specifies that the "list of launched services" specified by ID 3201 = "4" in the behavior monitoring unit management information 3200 includes "antivirus X" and "security service Y." The compressed behavior information keyword 4203 in the record contains "antivirus X" and "security service Y."

ID4201=「2」であるレコードのスクリプト4202は、“judgement”=「遮断」となるアクセスポリシースクリプトの一例である。“subject”が満たす要件として、端末10を操作しているユーザのセキュリティクリアランスが“H”であることが規定されている。次に“resource”が満たす要件として、リソース30が提供するサービスのタイプが“データベース”であることが規定されている。次に“behavior”では、挙動監視部管理情報3200のID3201=「3」で指定された「プロセスハッシュ値一覧」の中に“3abe4b2”または“ffa3bf23”が含まれることが規定されている。そして、当該レコードにおける圧縮挙動情報キーワード4203には、“3abe4b2”及び“ffa3bf23”が記載されている。 Script 4202 of record with ID 4201 = "2" is an example of an access policy script with "judgment" = "blocked". The requirement satisfied by "subject" specifies that the security clearance of the user operating terminal 10 is "H". Next, the requirement satisfied by "resource" specifies that the type of service provided by resource 30 is "database". Next, "behavior" specifies that "3abe4b2" or "ffa3bf23" is included in the "process hash value list" specified by ID 3201 = "3" in behavior monitoring unit management information 3200. And, "3abe4b2" and "ffa3bf23" are written in compression behavior information keyword 4203 in the record.

(3-6)アクセス認可情報DB430
図8は、アクセス認可情報の一例を示す図である。図8のアクセス認可情報4300は、アクセス認可情報DB430に格納されるアクセス認可情報の一例であり、アクセス判定部240によって実行された認可判定の判定結果を示す情報が記録される。アクセス制御部250は、アクセス認可情報に従って、アクセス要求520の通過/遮断処理を行う。図8に示したように、アクセス認可情報4300は、ID4301、端末IPアドレス4302、リソースIPアドレス4303、メッセージタイムスタンプ4304、通信遮断期間4305、及び通信通過期間4306の項目を有する。
(3-6) Access Authorization Information DB 430
Fig. 8 is a diagram showing an example of access authorization information. Access authorization information 4300 in Fig. 8 is an example of access authorization information stored in the access authorization information DB 430, and information indicating the determination result of the authorization determination performed by the access determination unit 240 is recorded. The access control unit 250 performs a pass/block process for the access request 520 in accordance with the access authorization information. As shown in Fig. 8, the access authorization information 4300 has the following items: ID 4301, terminal IP address 4302, resource IP address 4303, message timestamp 4304, communication blockage period 4305, and communication pass period 4306.

ID4301は、データベース内でレコードを一意に識別するための符号である。端末IPアドレス4302は、通過若しくは遮断の対象となる端末10のIPアドレスを示す。リソースIPアドレス4303は、端末10がアクセス要求するリソース30のIPアドレスを示す。メッセージタイムスタンプ4304は、認可要求メッセージ510の認可判定が行われた日時を示す。 The ID 4301 is a code for uniquely identifying a record in the database. The terminal IP address 4302 indicates the IP address of the terminal 10 that is to be passed or blocked. The resource IP address 4303 indicates the IP address of the resource 30 to which the terminal 10 requests access. The message timestamp 4304 indicates the date and time when the authorization decision for the authorization request message 510 was made.

通信遮断期間4305は、認可判定の判定結果が「一時遮断」となった場合に、通信を遮断する期間を示す。認可判定の結果が「完全遮断」または「通過」となった場合は、通信遮断期間4305には「N/A」が記載される。なお、通信遮断期間の開始日時と終了日時との差分は、アクセス制御設定情報4100においてID4101=「7」の「通信遮断間隔」レコードで規定される。 The communication cutoff period 4305 indicates the period for which communication is cut off if the result of the authorization decision is "temporary cutoff". If the result of the authorization decision is "complete cutoff" or "pass", "N/A" is entered in the communication cutoff period 4305. The difference between the start date and time and the end date and time of the communication cutoff period is specified in the "communication cutoff interval" record with ID 4101 = "7" in the access control setting information 4100.

通信通過期間4306は、端末IPアドレス4302からリソースIPアドレス4303に対してアクセス要求520の通過を許可する期間を示す。この期間を過ぎた場合、アクセス要求520は須らく遮断される。なお、通信通過期間の開始日時と終了日時との差分は、アクセス制御設定情報4100においてID4101=「8」の「通信通過間隔」レコードで規定される。 The communication passing period 4306 indicates the period during which an access request 520 is permitted to pass from the terminal IP address 4302 to the resource IP address 4303. If this period has elapsed, the access request 520 is necessarily blocked. The difference between the start date and time and the end date and time of the communication passing period is specified in the "communication passing interval" record with ID 4101 = "8" in the access control setting information 4100.

なお、図8に例示したアクセス認可情報4300では、リソース30の宛先ポート番号が項目に含まれていないが、変形例として、アクセス認可情報に宛先ポート番号を含むようにして、宛先のポート番号によって通信の通過/遮断の制御を実行可能にしてもよい。このようにする場合、例えば、80番ポートへの通信は許可するが、443番ポートへの通信は遮断するといった制御も可能である。 In the access authorization information 4300 illustrated in FIG. 8, the destination port number of the resource 30 is not included as an item. However, as a modified example, the access authorization information may include the destination port number, making it possible to control whether communication passes or is blocked depending on the destination port number. In this case, it is possible to control communication to port 80, for example, but to block communication to port 443.

以下、図8のアクセス認可情報4300における具体的な記録内容を説明する。 The specific contents recorded in the access authorization information 4300 in Figure 8 are explained below.

ID4301=「1」のレコードは、端末IPアドレス4302=「10.0.0.1」、リソースIPアドレス4303=「20.0.0.1」、メッセージタイムスタンプ4304=「20:23:10」、通信遮断期間4305=「20:23:10~20:23:40」、通信通過期間4306=「20:23:40~20:24:20」である。 The record with ID 4301 = "1" has terminal IP address 4302 = "10.0.0.1", resource IP address 4303 = "20.0.0.1", message timestamp 4304 = "20:23:10", communication cutoff period 4305 = "20:23:10 to 20:23:40", and communication pass period 4306 = "20:23:40 to 20:24:20".

ID4301=「2」のレコードは、端末IPアドレス4302=「10.0.0.1」、リソースIPアドレス4303=「20.0.0.2」、メッセージタイムスタンプ4304=「21:00:00」、通信遮断期間4305=「N/A」、通信通過期間4306=「21:00:00~21:00:40」である。 The record with ID 4301 = "2" has terminal IP address 4302 = "10.0.0.1", resource IP address 4303 = "20.0.0.2", message timestamp 4304 = "21:00:00", communication cutoff period 4305 = "N/A", and communication pass period 4306 = "21:00:00 to 21:00:40".

ID4301=「3」のレコードは、端末IPアドレス4302=「10.0.0.2」、リソースIPアドレス4303=「20.0.0.2」、メッセージタイムスタンプ4304=「22:12:03」、通信遮断期間4305=「22:12:03~22:12:33」、通信通過期間4306=「22:12:33~22:13:13」である。 The record with ID 4301 = "3" has terminal IP address 4302 = "10.0.0.2", resource IP address 4303 = "20.0.0.2", message timestamp 4304 = "22:12:03", communication cutoff period 4305 = "22:12:03 to 22:12:33", and communication pass period 4306 = "22:12:33 to 22:13:13".

(3-7)各種メッセージ
図9は、認可要求メッセージ510のデータフォーマットの一例を示す図である。図9に示すデータフォーマット5100は、認可要求メッセージ510のデータフォーマットの一例であり、データフォーマット5100は、ID5101及び項目5102を有して構成される。
(3-7) Various Messages Fig. 9 is a diagram showing an example of the data format of the authorization request message 510. A data format 5100 shown in Fig. 9 is an example of the data format of the authorization request message 510, and the data format 5100 is configured to have an ID 5101 and items 5102.

ID5101は、認可要求メッセージ510内の各項目5102を一意に識別するための符号である。項目5102は、各項目を指し示す符号であり、例えば文字列で表される。 The ID 5101 is a code for uniquely identifying each item 5102 in the authorization request message 510. The items 5102 are codes indicating each item and are represented, for example, by a character string.

以下、図9のデータフォーマット5100における各項目の詳細な内容を説明する。 The following describes the details of each item in the data format 5100 in Figure 9.

ID5101=「1」の項目5102に示す「タイムスタンプ」は、認可要求メッセージ510が作成された日時を示す。この情報は、攻撃者が、盗聴した認可要求メッセージ510を何度もアクセス制御装置20に送信して不正な認可を行おうとするリプレイアタックを防ぐために用いられる。 The "timestamp" shown in item 5102 for ID 5101 = "1" indicates the date and time when the authorization request message 510 was created. This information is used to prevent a replay attack in which an attacker attempts to perform fraudulent authorization by repeatedly transmitting an intercepted authorization request message 510 to the access control device 20.

ID5101=「2」の項目5102に示す「端末識別子・属性」は、端末10を識別するための端末識別子、及び端末10の属性情報を示す。端末識別子には、例えばIPアドレスや計算機名称などを用いることができ、属性情報には、例えば端末10の種類や用途などに関する情報を用いることができる。 The "Terminal Identifier/Attributes" shown in item 5102 of ID 5101 = "2" indicates a terminal identifier for identifying the terminal 10 and attribute information of the terminal 10. For example, an IP address or a computer name can be used as the terminal identifier, and for example, information regarding the type or use of the terminal 10 can be used as the attribute information.

ID5101=「3」の項目5102に示す「ユーザ識別子・属性」は、端末10を操作するユーザを識別するためのユーザ識別子、及びユーザの属性情報を示す。ユーザ識別子には、例えばユーザ名や従業員番号などを用いることができ、属性情報には、例えばユーザのセキュリティクリアランスや所属などを用いることができる。 The "User Identifier/Attributes" shown in item 5102 for ID 5101 = "3" indicates a user identifier for identifying the user operating the terminal 10, and the user's attribute information. The user identifier may be, for example, a user name or an employee number, and the attribute information may be, for example, the user's security clearance or affiliation.

ID5101=「4」の項目5102に示す「アクセス先リソース識別子・属性」は、認可要求メッセージ510に対応するアクセス要求520がアクセスを要求するリソース30(アクセス先リソース)を識別するためのアクセス先リソース識別子、及び当該アクセス先リソースの属性情報を示す。アクセス先リソース識別子には、例えば、アクセス先リソースのIPアドレスや計算機名称などを用いることができる。また、当該リソース30のサービスが提供しているポート番号をアクセス先リソース識別子に含めてもよい。属性情報には、例えば、当該リソース30の種類や用途などに関する情報を用いることができる。 The "destination resource identifier/attributes" shown in item 5102 for ID 5101 = "4" indicates the destination resource identifier for identifying the resource 30 (destination resource) to which access request 520 corresponding to authorization request message 510 requests access, and the attribute information of the destination resource. For example, the destination resource identifier may be the IP address or computer name of the destination resource. The destination resource identifier may also include the port number provided by the service of the resource 30. For example, information regarding the type or use of the resource 30 may be used as the attribute information.

ID5101=「5」の項目5102に示す「挙動情報一覧」には、認可要求メッセージ510に含まれる挙動情報の一覧が記載される。言い換えれば、ID5101=「5」の項目5102に示す「挙動情報一覧」には、挙動監視部管理情報3200においてあるタイミングで採用フラグ3210が「On」となる挙動情報が記載される。なお、「挙動情報一覧」に記載される挙動情報は、挙動監視部110の識別子ごとに記載されており、後から特定の挙動監視部110に関わる挙動情報のみを抜き出すことができるものとする。 The "Behavior Information List" shown in item 5102 of ID 5101 = "5" lists the behavior information included in the authorization request message 510. In other words, the "Behavior Information List" shown in item 5102 of ID 5101 = "5" lists behavior information for which the adoption flag 3210 becomes "On" at a certain timing in the behavior monitoring unit management information 3200. Note that the behavior information listed in the "Behavior Information List" is listed for each identifier of the behavior monitoring unit 110, and it is possible to extract only the behavior information related to a specific behavior monitoring unit 110 later.

ID5101=「6」の項目5102に示す「共通鍵」には、ID5101=「1」~「5」の各項目を暗号化するための共通鍵暗号が記載される。また、共通鍵自体は、端末設定情報3100のID3101=「11」~「13」に記録された、アクセス制御装置20の公開鍵で暗号化される。 The "shared key" shown in item 5102 of ID 5101 = "6" describes the shared key code for encrypting each item of ID 5101 = "1" to "5". In addition, the shared key itself is encrypted with the public key of the access control device 20 recorded in ID 3101 = "11" to "13" of the terminal setting information 3100.

ID5101=「7」の項目5102に示す「端末側の電子署名」には、端末設定情報3100のID3101=「10」に記録された自端末秘密鍵を用いて計算された電子署名が記載される。 The "Terminal side electronic signature" shown in item 5102 of ID 5101 = "7" contains an electronic signature calculated using the terminal's own private key recorded in ID 3101 = "10" of the terminal setting information 3100.

なお、認可要求メッセージ510の送信においては、ID5101=「1」~「6」の項目は、全て暗号化された状態で送信されることが好ましい。 When transmitting the authorization request message 510, it is preferable that all items ID 5101 = "1" to "6" are transmitted in an encrypted state.

図10は、管理者通知メッセージ530の一例を示す図である。図10には、管理者通知メッセージ530の具体例として、管理者通知メッセージ530A及び管理者通知メッセージ530Bが示されている。 Figure 10 is a diagram showing an example of an administrator notification message 530. In Figure 10, administrator notification message 530A and administrator notification message 530B are shown as specific examples of administrator notification message 530.

管理者通知メッセージ530A,530では、端末10からリソース30へのアクセス要求が「完全遮断」されるに至った判断理由が、端末10若しくはユーザの挙動の観点から述べられている。より具体的には、管理者通知メッセージ530Aでは、挙動監視部管理情報3200のID3201=「7」で指定される「ユーザアイドル時間」の挙動情報が規定の値を上回ったことが理由として述べられている。一方、管理者通知メッセージ530Aでは、挙動監視部管理情報3200のID3201=「4」で指定される「起動サービス一覧」の挙動情報が条件を満たさなかったことが理由として述べられている。 In administrator notification messages 530A and 530, the reason for the determination that the access request from terminal 10 to resource 30 was "completely blocked" is stated from the perspective of the behavior of terminal 10 or the user. More specifically, administrator notification message 530A states that the reason is that the behavior information for "user idle time" specified by ID 3201 = "7" in behavior monitoring unit management information 3200 exceeded a prescribed value. On the other hand, administrator notification message 530A states that the behavior information for "startup service list" specified by ID 3201 = "4" in behavior monitoring unit management information 3200 did not satisfy the conditions.

(4)処理
以下では、ユーザによる操作などに応じて端末10からリソース30へのアクセス要求が行われる際に、動的アクセス認可システム1が実行する処理について、詳しく説明する。
(4) Processing The following describes in detail the processing executed by the dynamic access authorization system 1 when a request for access to the resource 30 is made from the terminal 10 in response to a user operation or the like.

(4-1)端末10による処理
図11は、端末10側で実施される処理手順例を示すシーケンス図である。なお、図11では、挙動情報圧縮部121及び挙動情報優先付け部122による処理は、挙動情報調整部120による処理として記載されている。
(4-1) Processing by the terminal 10 Fig. 11 is a sequence diagram showing an example of a processing procedure performed on the terminal 10 side. Note that in Fig. 11, the processing by the behavior information compression unit 121 and the behavior information prioritization unit 122 is described as processing by the behavior information adjustment unit 120.

図11に示した挙動監視部110は、挙動監視部管理DB320に保持される挙動監視部管理情報3200の各レコードに記載された挙動監視部に相当する。図11に示すように、これらの挙動監視部110はそれぞれ、端末10やユーザの挙動を監視する(ステップS101)。 The behavior monitoring units 110 shown in FIG. 11 correspond to the behavior monitoring units described in each record of the behavior monitoring unit management information 3200 stored in the behavior monitoring unit management DB 320. As shown in FIG. 11, each of these behavior monitoring units 110 monitors the behavior of the terminal 10 and the user (step S101).

そして、挙動監視部110は、ステップS101の監視結果に基づいて、挙動監視部管理情報3200の最新挙動情報3207を更新するとともに、定期的に、挙動情報調整部120に対して挙動情報の更新通知を行う(ステップS102)。挙動監視部110は、ステップS102で更新通知を行った後は、ステップS101に戻り、挙動監視を繰り返す。 Then, the behavior monitoring unit 110 updates the latest behavior information 3207 of the behavior monitoring unit management information 3200 based on the monitoring result in step S101, and periodically notifies the behavior information adjustment unit 120 of the behavior information update (step S102). After notifying the update in step S102, the behavior monitoring unit 110 returns to step S101 and repeats behavior monitoring.

なお、ステップS102における挙動監視部管理情報3200の更新間隔は、端末設定DB310に保持される端末設定情報3100におけるID3101=「8」のレコードに記載された挙動更新間隔に従う。これらの構成により、端末側プログラム100に掛かる演算負荷と、挙動情報のリアルタイム性とのバランスを調整することができる。 The update interval of the behavior monitoring unit management information 3200 in step S102 follows the behavior update interval described in the record with ID 3101 = "8" in the terminal setting information 3100 stored in the terminal setting DB 310. With these configurations, it is possible to adjust the balance between the computational load on the terminal side program 100 and the real-time nature of the behavior information.

挙動情報調整部120は、ステップS102で挙動監視部110から送信された挙動情報の更新通知を受信する(ステップS111)。次いで、挙動情報調整部120は、挙動監視部管理情報3200の出力サイズ3208に記載されている各挙動情報のデータサイズを合計し、その合計値が最大許容データサイズ(端末設定情報3100のID=「1」のレコードを参照)を超えるか否かを確認する(ステップS112)。ステップS112において、挙動情報の合計値が最大許容データサイズを超える場合は(ステップS112のYES)、ステップS113に進み、挙動情報の合計値が最大許容データサイズ以下である場合は(ステップS112のNO)、ステップS115に進む。 The behavior information adjustment unit 120 receives the update notification of the behavior information sent from the behavior monitoring unit 110 in step S102 (step S111). Next, the behavior information adjustment unit 120 sums up the data size of each piece of behavior information listed in the output size 3208 of the behavior monitoring unit management information 3200, and checks whether the sum exceeds the maximum allowable data size (see the record with ID = "1" in the terminal setting information 3100) (step S112). In step S112, if the sum of the behavior information exceeds the maximum allowable data size (YES in step S112), the process proceeds to step S113, and if the sum of the behavior information is equal to or smaller than the maximum allowable data size (NO in step S112), the process proceeds to step S115.

ステップS113では、挙動情報調整部120の一部である挙動情報圧縮部121が、以下に説明する所定の条件を満足する挙動情報に対して圧縮処理を行う。詳しくは、挙動情報圧縮部121は、端末設定情報3100のID3101=「6」で指定された「挙動情報圧縮部フラグ」を確認し、当該フラグが「On」である場合に、圧縮処理の対象となる挙動情報(挙動監視部管理情報3200において圧縮対象3206=「YES」となっている挙動情報)の最新挙動情報3207に対して、端末設定情報3100のID3101=「2」で指定された圧縮方式に従って、圧縮処理を行う。一方、「挙動情報圧縮部フラグ」が「Off」である場合には、挙動情報圧縮部121は、ステップS113の処理を終了してステップS114に進む。 In step S113, the behavior information compression unit 121, which is a part of the behavior information adjustment unit 120, performs compression processing on behavior information that satisfies the predetermined conditions described below. In detail, the behavior information compression unit 121 checks the "behavior information compression unit flag" specified by ID 3101 = "6" in the terminal setting information 3100, and if the flag is "On", performs compression processing on the latest behavior information 3207 of the behavior information to be compressed (behavior information for which compression target 3206 = "YES" in the behavior monitoring unit management information 3200) according to the compression method specified by ID 3101 = "2" in the terminal setting information 3100. On the other hand, if the "behavior information compression unit flag" is "Off", the behavior information compression unit 121 ends the processing of step S113 and proceeds to step S114.

また、ステップS113において挙動情報圧縮部121は、圧縮処理の結果を最新挙動情報3207及び圧縮後サイズ3209に反映する。そして、圧縮処理後も挙動情報のデータサイズの合計値が最大許容データサイズを超える場合には、ステップS114に進む。 In addition, in step S113, the behavior information compression unit 121 reflects the results of the compression process in the latest behavior information 3207 and the compressed size 3209. Then, if the total value of the data size of the behavior information after the compression process exceeds the maximum allowable data size, the process proceeds to step S114.

なお、ステップS113における圧縮処理の仕組みは、端末設定情報3100のID3101=「2」で指定される「挙動情報圧縮方式」に依存する。ここで、挙動情報圧縮方式としてBloomFilerを使う場合は、各挙動情報のハッシュ値に対応する位置にあるビット配列の要素を「1」に設定する。例えば、圧縮対象の挙動情報に対応する挙動監視部110が、挙動監視部管理情報3200のID3201=「4」に示された「起動サービスの一覧」である場合は、「a.service」及び「b.service」のハッシュ値を基に、ビット配列を操作する。 The mechanism of the compression process in step S113 depends on the "behavior information compression method" specified by ID 3101 = "2" in the terminal setting information 3100. Here, when BloomFiler is used as the behavior information compression method, the bit array element at the position corresponding to the hash value of each piece of behavior information is set to "1". For example, when the behavior monitoring unit 110 corresponding to the behavior information to be compressed is the "list of launched services" indicated by ID 3201 = "4" in the behavior monitoring unit management information 3200, the bit array is manipulated based on the hash values of "a.service" and "b.service".

ステップS114では、挙動情報調整部120の一部である挙動情報優先付け部122が、以下に詳述する手順によって、認可要求メッセージ510に載せる挙動情報の組み合わせを算出する優先付け処理を行う。 In step S114, the behavior information prioritization unit 122, which is part of the behavior information adjustment unit 120, performs a prioritization process to calculate a combination of behavior information to be included in the authorization request message 510, using the procedure described in detail below.

優先付け処理ではまず、挙動情報優先付け部122は、端末設定情報3100のID3101=「7」で指定された「挙動情報優先付け部フラグ」を確認する。「挙動情報優先付け部フラグ」が「Off」である場合には、実質的な優先付け処理が不要であることを意味するため、挙動情報優先付け部122は、全ての採用フラグ3210を「On」に設定し、ステップS115に進む。 In the prioritization process, the behavior information prioritization unit 122 first checks the "behavior information prioritization unit flag" specified by ID 3101 = "7" in the terminal setting information 3100. If the "behavior information prioritization unit flag" is "Off", this means that no actual prioritization process is required, so the behavior information prioritization unit 122 sets all adoption flags 3210 to "On" and proceeds to step S115.

「挙動情報優先付け部フラグ」が「On」である場合には、挙動情報優先付け部122は、送信対象となる挙動情報の合計値が最大許容データサイズ以下になる制約の中で、送信対象とする挙動情報の価値3204の合計値が最大化する挙動情報の組み合わせを導出する。上記組み合わせの導出後は、ステップS115に進む。 When the "behavior information prioritization unit flag" is "On", the behavior information prioritization unit 122 derives a combination of behavior information that maximizes the total value of the value 3204 of the behavior information to be transmitted, under the constraint that the total value of the behavior information to be transmitted is equal to or less than the maximum allowable data size. After deriving the above combination, proceed to step S115.

上記の挙動情報の組み合わせ導出には、遺伝的アルゴリズムや線形計画法などの数理処理を用いることができる。例えば、遺伝的アルゴリズムを使用した場合、送信対象とする挙動情報の組み合わせ(集合)の候補をランダムに一定数、生成する。そして、その中で合計サイズが最大許容データサイズ以下で、価値3204の合計値が比較的高い集合に対して、ランダムな操作や他の集合との掛け合わせなどの操作を繰り返し行い、より価値が高い集合を逐次的に求めていく。そして、繰り返し回数が規定回数を超えた時点で、最も価値が高い集合に含まれる最新挙動情報3207を送信対象として、挙動情報の組み合わせを導出する。 Mathematical processing such as genetic algorithms and linear programming can be used to derive the above combinations of behavior information. For example, when using a genetic algorithm, a fixed number of candidates for combinations (sets) of behavior information to be transmitted are randomly generated. Then, among these, operations such as random operations and multiplication with other sets are repeatedly performed on sets whose total size is equal to or less than the maximum allowable data size and whose total value 3204 is relatively high, to sequentially find sets with higher value. Then, when the number of repetitions exceeds a prescribed number, a combination of behavior information is derived with the latest behavior information 3207 included in the most valuable set as the transmission target.

また、様々な観点で動的認可を行うという点では、出来る限り異なるタイプ3203の挙動情報を含む集合を組み合わせることが望ましい。そこで、集合に含まれるタイプの種類を、最適な集合を導出する際のパラメータとして用いてもよい。例えば、遺伝的アルゴリズムの例では、価値3204の合計値に、集合に含まれるタイプ3203の種類を掛け合わせたものを、集合の価値として使用してもよい。具体的には例えば、挙動監視部管理情報3200のID3201=「2」,「10」の挙動情報を組み合わせた場合、タイプ3203の種類は同一であることから、この組み合わせによる価値は(5+5)×1=10となり、出力サイズ3208の合計値は8byteとなる。一方、ID3201=「1」,「2」の挙動情報を組み合わせた場合には、タイプ3203の種類が異なることから、この組み合わせによる価値は(5+5)×2=20となり、出力サイズ3208の合計値は8byteとなる。したがって、この場合は、出力サイズの合計値が同じでも、ID3201=「1」,「2」の挙動情報を組み合わせた方が、価値が高く望ましいといえる。 In addition, in terms of performing dynamic authorization from various viewpoints, it is desirable to combine sets including behavior information of different types 3203 as much as possible. Therefore, the types of types included in the set may be used as parameters when deriving the optimal set. For example, in the example of a genetic algorithm, the total value of value 3204 may be multiplied by the types of types 3203 included in the set and used as the value of the set. Specifically, for example, when behavior information of IDs 3201 = "2" and "10" in the behavior monitoring unit management information 3200 is combined, the types of types 3203 are the same, so the value of this combination is (5 + 5) x 1 = 10, and the total value of output size 3208 is 8 bytes. On the other hand, when behavior information of IDs 3201 = "1" and "2" is combined, the types of types 3203 are different, so the value of this combination is (5 + 5) x 2 = 20, and the total value of output size 3208 is 8 bytes. Therefore, in this case, even if the total output size is the same, it is more valuable and desirable to combine the behavior information for ID3201="1" and "2".

ステップS115では、挙動情報調整部120が、ステップS112~S114の処理結果に基づいて、認可要求メッセージ510に採用する挙動情報を確定する。詳しくは、ステップS112の判定結果が「NO」である場合(言い換えると、ステップS114の優先付け処理が実施されなかった場合)、挙動情報調整部120は、挙動監視部管理情報3200における全てのレコードの採用フラグ3210を「On」に設定し、全ての挙動情報を認可要求メッセージ510による送信対象とする。一方、ステップS112の判定結果が「YES」である場合(言い換えると、ステップS114の優先付け処理が実施された場合)、挙動情報調整部120は、挙動監視部管理情報3200において、ステップS114で選択された集合に含まれる挙動情報に対応する採用フラグ3210を「On」に設定し、その他の挙動情報に対応する採用フラグ3210を「Off」に設定する。 In step S115, the behavior information adjustment unit 120 determines the behavior information to be adopted in the authorization request message 510 based on the processing results of steps S112 to S114. In more detail, if the judgment result of step S112 is "NO" (in other words, if the prioritization processing of step S114 was not performed), the behavior information adjustment unit 120 sets the adoption flag 3210 of all records in the behavior monitoring unit management information 3200 to "On" and sets all behavior information to be transmitted by the authorization request message 510. On the other hand, if the judgment result of step S112 is "YES" (in other words, if the prioritization processing of step S114 was performed), the behavior information adjustment unit 120 sets the adoption flag 3210 corresponding to the behavior information included in the set selected in step S114 in the behavior monitoring unit management information 3200 to "On" and sets the adoption flag 3210 corresponding to the other behavior information to "Off".

以上ステップS111~S115の処理が行われることにより、最終的に挙動監視部管理情報3200において採用フラグ3210が「On」に設定されたレコードの挙動情報が、認可要求メッセージ510に含めて送信される挙動情報として決定される。そして、ステップS115の処理の完了後は、ステップS111に戻り、挙動情報調整部120は、挙動情報の更新通知を待機する。 By carrying out the above processing of steps S111 to S115, the behavior information of the record in which the adoption flag 3210 is set to "On" in the behavior monitoring unit management information 3200 is finally determined as the behavior information to be included in and sent in the authorization request message 510. Then, after the processing of step S115 is completed, the process returns to step S111, and the behavior information adjustment unit 120 waits for a notification of an update to the behavior information.

認可要求制御部130は、端末10やユーザによるアクセス要求520の作成を監視し、アクセス要求520が作成されたときにはこれを捕捉する(ステップS121)。 The authorization request control unit 130 monitors the creation of an access request 520 by the terminal 10 or a user, and captures the access request 520 when it is created (step S121).

認可要求制御部130は、ステップS121でアクセス要求520の作成を捕捉すると、当該アクセス要求520に対して認可要求メッセージ510の作成が必要であるか否かを判定する(ステップS122)。 When the authorization request control unit 130 captures the creation of an access request 520 in step S121, it determines whether or not an authorization request message 510 needs to be created for the access request 520 (step S122).

ここで、認可要求メッセージ510の作成要否を判定する最も簡素な方法は、捕捉したすべてのアクセス要求520に対して、それぞれ認可要求メッセージ510を作成する方法である。一方、短時間のうちに多数のアクセス要求520が作成される場合には、必ずしもすべてのアクセス要求520に対して認可要求メッセージ510を作成する必要はない。また、通信ネットワーク41上においてはパケットロスが発生する可能性が常に存在するため、過去に端末10から送信したすべての認可要求メッセージがアクセス制御装置20によって受理されるとは限らない、という問題もある。そこで、本実施形態の認可要求制御部130は、ステップS122において、図12に詳述する認可要求メッセージ要否判定処理を実行することによって、認可要求メッセージ510の作成要否を判定する。 The simplest method for determining whether or not an authorization request message 510 needs to be created is to create an authorization request message 510 for each of the captured access requests 520. On the other hand, when a large number of access requests 520 are created in a short period of time, it is not necessary to create an authorization request message 510 for each of the access requests 520. In addition, since there is always a possibility of packet loss occurring on the communication network 41, there is also the problem that not all authorization request messages previously transmitted from the terminal 10 are necessarily accepted by the access control device 20. Therefore, in step S122, the authorization request control unit 130 of this embodiment determines whether or not an authorization request message 510 needs to be created by executing an authorization request message necessity determination process described in detail in FIG. 12.

図12は、認可要求メッセージ要否判定処理の処理手順例を示すフローチャートである。上述したように、認可要求メッセージ要否判定処理は、認可要求制御部130によって実行される。 Figure 12 is a flowchart showing an example of the processing procedure for determining whether an authorization request message is necessary. As described above, the authorization request message necessity determination process is executed by the authorization request control unit 130.

図12によればまず、認可要求制御部130は、現在日時を基点に、端末設定情報3100においてID3101=「5」で指定される「推定通信許可時間」以内の過去に、アクセス要求520の送信先のリソース30に対応するアクセス制御装置20に向けて認可要求メッセージ510を送信した送信回数をカウントし、送信の有無を判定する(ステップS141)。上記送信回数は、認可要求メッセージ履歴DB330に保持されている認可要求メッセージ履歴情報3300を参照することによって計数できる。送信回数が「0」以外である場合は(ステップS141のYES)、ステップS142に進む。一方、送信回数が「0」である場合は(ステップS141のNO)、ステップS143に進む。 According to FIG. 12, first, the authorization request control unit 130 counts the number of times that the authorization request message 510 was sent to the access control device 20 corresponding to the resource 30 to which the access request 520 was sent within the "estimated communication permission time" specified by ID 3101 = "5" in the terminal setting information 3100, starting from the current date and time, and determines whether or not a transmission was made (step S141). The number of transmissions can be counted by referring to the authorization request message history information 3300 held in the authorization request message history DB 330. If the number of transmissions is other than "0" (YES in step S141), the process proceeds to step S142. On the other hand, if the number of transmissions is "0" (NO in step S141), the process proceeds to step S143.

ステップS142では、認可要求制御部130は、ステップS141でカウントした送信回数(認可要求メッセージ送信回数)と、端末設定情報3100においてID3101=「9」で指定される「想定最大パケットロス率」と、を引数とする所定の関数によって、「送信確率」を算出する。この算出値は、「送信確率」を示す内部パラメータにセットされる。送信確率を算出する関数の一例としては、「想定最大パケットロス率」に対して、認可要求メッセージ送信回数をべき乗する関数が考えられる。ステップS142の処理後はステップS144に進む。 In step S142, the authorization request control unit 130 calculates the "transmission probability" by a predetermined function that takes as arguments the number of transmissions (number of authorization request message transmissions) counted in step S141 and the "expected maximum packet loss rate" specified by ID 3101 = "9" in the terminal setting information 3100. This calculated value is set in an internal parameter indicating the "transmission probability." One example of a function for calculating the transmission probability is a function that raises the number of authorization request message transmissions to the power of the "expected maximum packet loss rate." After processing in step S142, the process proceeds to step S144.

一方、ステップS143に進んだ場合、認可要求制御部130は、「送信確率」の内部パラメータに「1.0」を設定し、ステップS144に進む。 On the other hand, if the process proceeds to step S143, the authorization request control unit 130 sets the internal parameter "transmission probability" to "1.0" and proceeds to step S144.

ステップS144では、認可要求制御部130は、ステップS142またはステップS143で設定された「送信確率」に比例する形で、認可要求メッセージ510の送信要否を判定する。例えば、「送信確率」=「1.0」の場合は、必ず認可要求メッセージ510を送信する必要があると判定されるため、後述するステップS132で認可要求メッセージ510が必ず送信されることになる。 In step S144, the authorization request control unit 130 determines whether or not it is necessary to transmit the authorization request message 510 in proportion to the "transmission probability" set in step S142 or step S143. For example, if the "transmission probability" = "1.0", it is determined that it is necessary to transmit the authorization request message 510, and therefore the authorization request message 510 is always transmitted in step S132, which will be described later.

以上、ステップS141~S144の処理が実行されることにより、認可要求制御部130は、捕捉したアクセス要求520に対して認可要求メッセージ510の作成が必要であるか否かを判定することができる。 By executing the processes in steps S141 to S144, the authorization request control unit 130 can determine whether or not it is necessary to create an authorization request message 510 for the captured access request 520.

図11の説明に戻る。ステップS122の処理が終了した後、認可要求制御部130は、ステップS122において認可要求メッセージ510の作成が必要と判定されたか否か(言い換えれば、認可要求メッセージ510の送信が決定されたか否か)を確認する(ステップS123)。認可要求メッセージ510の作成が必要と判定された場合は(ステップS123のYES)、ステップS124に進み、認可要求メッセージ510の作成が不要と判定された場合は(ステップS123のNO)、ステップS121に戻る。 Returning to the explanation of FIG. 11, after the processing of step S122 is completed, the authorization request control unit 130 checks whether it has been determined in step S122 that the authorization request message 510 needs to be created (in other words, whether it has been decided to transmit the authorization request message 510) (step S123). If it has been determined that the authorization request message 510 needs to be created (YES in step S123), the process proceeds to step S124, and if it has been determined that the authorization request message 510 does not need to be created (NO in step S123), the process returns to step S121.

ステップS124では、認可要求制御部130は、認可要求メッセージ510の作成要求を認可要求メッセージ送信部140に送信する。認可要求メッセージ送信部140側の処理は後述する。 In step S124, the authorization request control unit 130 sends a request to create the authorization request message 510 to the authorization request message sending unit 140. The processing on the authorization request message sending unit 140 side will be described later.

ステップS124の処理後、認可要求制御部130は、最後に認可要求メッセージ510を送信してから、ステップS121で捕捉したアクセス要求520を送信するまでに待機する時間間隔(送信間隔)を計算する(ステップS125)。 After processing step S124, the authorization request control unit 130 calculates the time interval (transmission interval) to wait from the last transmission of the authorization request message 510 until the transmission of the access request 520 captured in step S121 (step S125).

ここで、上記の送信間隔が短すぎると、アクセス制御装置20における認可要求メッセージ510に対する認可判定が完了する前に、アクセス要求520が端末10から送信されてアクセス制御装置20に到着してしまい、アクセス制御装置20において正常に通信を確立できなくなる。一方、上記送信間隔が長すぎると、通信効率が悪化してしまう。そこで、本実施形態の認可要求制御部130は、ステップS125において、図13に詳述する送信間隔演算処理を実行することによって、アクセス要求520を送信するまでの待機時間に相当する「送信間隔」を算出する。 Here, if the transmission interval is too short, the access request 520 will be transmitted from the terminal 10 and will arrive at the access control device 20 before the authorization decision for the authorization request message 510 in the access control device 20 is completed, and communication will not be established normally in the access control device 20. On the other hand, if the transmission interval is too long, communication efficiency will deteriorate. Therefore, in step S125, the authorization request control unit 130 of this embodiment executes a transmission interval calculation process described in detail in FIG. 13 to calculate a "transmission interval" equivalent to the waiting time until the access request 520 is transmitted.

図13は、送信間隔演算処理の処理手順例を示すフローチャートである。上述したように、送信間隔演算処理は、認可要求制御部130によって実行される。 Figure 13 is a flowchart showing an example of the processing procedure for the transmission interval calculation process. As described above, the transmission interval calculation process is executed by the authorization request control unit 130.

図13によればまず、認可要求制御部130は、端末設定情報3100においてID3101=「5」で指定される「推定通信許可時間」以内の過去に、認可要求メッセージ510を送信したか否かを判定する(ステップS151)。過去の認可要求メッセージ510の送信履歴は、認可要求メッセージ履歴DB330に保持されている認可要求メッセージ履歴情報330を参照することによって確認できる。推定通信許可時間以内の過去に認可要求メッセージ510を送信した履歴が存在する場合は(ステップS151のYES)、ステップS152に進む。一方、推定通信許可時間以内の過去に認可要求メッセージ510を送信した履歴が存在しない場合は(ステップS151のNO)、ステップS153に進む。 According to FIG. 13, first, the authorization request control unit 130 judges whether or not the authorization request message 510 has been transmitted within the "estimated communication permitted time" specified by ID 3101 = "5" in the terminal setting information 3100 (step S151). The transmission history of the past authorization request message 510 can be confirmed by referring to the authorization request message history information 330 held in the authorization request message history DB 330. If there is a history of transmitting the authorization request message 510 within the estimated communication permitted time (YES in step S151), the process proceeds to step S152. On the other hand, if there is no history of transmitting the authorization request message 510 within the estimated communication permitted time (NO in step S151), the process proceeds to step S153.

ステップS152では、認可要求制御部130は、端末設定情報3100においてID3101=「4」で指定される「推定平均検証時間」と、最後に認可要求メッセージ510を送信した日時から現在日時までの経過時間と、を引数とする所定の関数によって、「送信間隔」を算出する。この算出値は、「送信間隔」を示す内部パラメータにセットされる。送信間隔を算出する関数の一例としては、待ち行列理論では処理時間の分布は指数分布で示されることが多いことを利用して、「送信間隔=経過時間×EXP(-1×経過時間/推定平均検証時間)」の算出式から送信間隔を算出するようにしてもよい。ステップS152の処理が完了すると、認可要求制御部130は送信間隔演算処理を終了する。 In step S152, the authorization request control unit 130 calculates the "transmission interval" by a predetermined function that takes as arguments the "estimated average verification time" specified by ID 3101 = "4" in the terminal setting information 3100 and the elapsed time from the date and time of the last transmission of the authorization request message 510 to the current date and time. This calculated value is set in an internal parameter indicating the "transmission interval". As an example of a function for calculating the transmission interval, the transmission interval may be calculated from the formula "transmission interval = elapsed time x EXP (-1 x elapsed time / estimated average verification time)" by utilizing the fact that the distribution of processing time is often represented by an exponential distribution in queuing theory. When the processing of step S152 is completed, the authorization request control unit 130 ends the transmission interval calculation processing.

一方、ステップS153に進んだ場合、認可要求制御部130は、「送信間隔」の内部パラメータに「推定平均検証時間」を設定し、送信間隔演算処理を終了する。 On the other hand, if the process proceeds to step S153, the authorization request control unit 130 sets the internal parameter of the "transmission interval" to the "estimated average verification time" and terminates the transmission interval calculation process.

以上、ステップS151~S153の処理が実行されることにより、認可要求制御部130は、捕捉したアクセス要求520を送信するまでに待機する時間間隔(送信間隔)を算出することができる。 By executing the processes of steps S151 to S153 as described above, the authorization request control unit 130 can calculate the time interval (transmission interval) to wait before transmitting the captured access request 520.

図11の説明に戻る。ステップS125の処理が終了した後、認可要求制御部130は、ステップS125で計算された送信間隔が経過するまで、処理を待機する(ステップS126)。 Returning to the explanation of FIG. 11, after the processing of step S125 is completed, the authorization request control unit 130 waits until the transmission interval calculated in step S125 has elapsed (step S126).

そして、送信間隔が経過した後は、認可要求制御部130は、ステップS121で捕捉して待機させていたアクセス要求520をアクセス制御装置20に送信し、その後はステップS121に戻る。 After the transmission interval has elapsed, the authorization request control unit 130 transmits the access request 520 that was captured and kept waiting in step S121 to the access control device 20, and then returns to step S121.

次に、認可要求メッセージ送信部140の処理を説明する。認可要求メッセージ送信部140は、まず、ステップS124で認可要求制御部130から送信された認可要求メッセージ510の作成要求を受信する(ステップS131)。 Next, the processing of the authorization request message sending unit 140 will be described. The authorization request message sending unit 140 first receives a request to create the authorization request message 510 sent from the authorization request control unit 130 in step S124 (step S131).

次いで、認可要求メッセージ送信部140は、挙動監視部管理情報3200において採用フラグ3210が「On」に設定されている挙動情報を、図9に示したデータフォーマット5100に載せて、認可要求メッセージ510を作成し、アクセス制御装置20に送信する(ステップS132)。なお、ステップS132における認可要求メッセージ510の作成において、挙動情報は、データフォーマット5100のID5101=「5」で指定される「挙動情報一覧」のレコードに記載される。このとき、より具体的には、採用フラグ3210が「On」に設定されたそれぞれの挙動情報は、挙動監視部管理情報3200における該当レコードのID3210及び最新挙動情報3207のペアで表され、該当する全ての挙動情報をまとめた情報が、「挙動情報一覧」として、認可要求メッセージ510に組み込まれる。 Then, the authorization request message sending unit 140 creates an authorization request message 510 by placing the behavior information for which the adoption flag 3210 is set to "On" in the behavior monitoring unit management information 3200 in the data format 5100 shown in FIG. 9, and sends the created message to the access control device 20 (step S132). Note that when creating the authorization request message 510 in step S132, the behavior information is written in a record of the "behavior information list" specified by ID 5101 = "5" in the data format 5100. More specifically, each piece of behavior information for which the adoption flag 3210 is set to "On" is represented by a pair of the ID 3210 of the corresponding record in the behavior monitoring unit management information 3200 and the latest behavior information 3207, and information summarizing all the corresponding behavior information is incorporated into the authorization request message 510 as the "behavior information list".

そして、認可要求メッセージ510の送信後、認可要求メッセージ送信部140は、認可要求メッセージ履歴DB330に保持される認可要求メッセージ履歴情報3300を更新し、具体的には、該当するレコードにおいて、上記認可要求メッセージ510の送信日時を認可要求メッセージ送信日時3303に追記する。以上の処理が終了した後、認可要求メッセージ送信部140は、ステップS131の処理に戻る。 After transmitting the authorization request message 510, the authorization request message transmitting unit 140 updates the authorization request message history information 3300 stored in the authorization request message history DB 330, and specifically, in the corresponding record, adds the transmission date and time of the authorization request message 510 to the authorization request message transmission date and time 3303. After the above processing is completed, the authorization request message transmitting unit 140 returns to the processing of step S131.

(4-2)アクセス制御装置20による処理
図14は、アクセス制御装置20側で実施される処理手順例を示すシーケンス図である。図14に示したシーケンスは、アクセス要求の認可処理を行うための準備を行う設定フェイズと、実際に認可処理を行う運用フェイズとに分かれており、少なくとも運用フェイズが開始される前の時点で設定フェイズが完了される。
(4-2) Processing by the Access Control Device 20 Fig. 14 is a sequence diagram showing an example of a processing procedure performed by the access control device 20. The sequence shown in Fig. 14 is divided into a setting phase in which preparations are made for performing authorization processing of an access request, and an operation phase in which the authorization processing is actually performed, and the setting phase is completed at least before the operation phase is started.

まず、設定フェイズに含まれる処理として、ポリシー管理部210によって実行されるステップS201~S202の処理、及び挙動情報伸長部230によって実行されるステップS211~S212の処理について説明する。 First, we will explain the processes included in the setting phase, namely, steps S201 to S202 executed by the policy management unit 210, and steps S211 to S212 executed by the behavior information decompression unit 230.

設定フェイズにおいて、ポリシー管理部210は、アクセスポリシースクリプト4200を作成するためのユーザインタフェースを管理者に対して提供する(ステップS201)。上記ユーザインタフェースでは、管理者は、スクリプト4202に記載されるスクリプト文を直接作成してもよいし、既知の自動入力支援などを用いて、より簡易な形でスクリプトの作成を行うとしてもよい。 In the setting phase, the policy management unit 210 provides the administrator with a user interface for creating the access policy script 4200 (step S201). In the above user interface, the administrator may directly create the script text written in the script 4202, or may create the script in a simpler manner using known automatic input assistance, etc.

そして、ポリシー管理部210は、ステップS201で提供されたユーザインタフェースを利用して管理者が作成したアクセスポリシースクリプトを、アクセスポリシースクリプトDB420に保存する(ステップS202)。 Then, the policy management unit 210 stores the access policy script created by the administrator using the user interface provided in step S201 in the access policy script DB 420 (step S202).

設定フェイズにおいて、挙動情報伸長部230は、アクセスポリシースクリプトDB420に保持されたアクセスポリシースクリプト4200の各レコードを読み込む(ステップS211)。 In the setting phase, the behavior information decompression unit 230 reads each record of the access policy script 4200 stored in the access policy script DB 420 (step S211).

そして、挙動情報伸長部230は、ステップS211で読み込んだアクセスポリシースクリプト4200(スクリプト4202)のうちから、アクセス制御設定情報4100においてID4101=「5」で指定される「情報伸長対象監視部」に関する記述を探し、アクセス制御に用いられる要素を抽出し、当該レコードの圧縮挙動情報キーワード4203に記録する(ステップS212)。具体的には、図7におけるID4201=「1」のレコードの場合は、「情報伸長対象監視部」に記載された「起動サービス一覧」に含まれる「アンチウイルスX」及び「セキュリティサービスY」が該当する。同様に、ID4201=「2」のレコードの場合は、「プロセスハッシュ値一覧」に含まれる「3abe4b2...」及び「ffa3bf23...」が該当する。 Then, the behavior information decompression unit 230 searches for a description related to the "information decompression target monitoring unit" specified by ID 4101 = "5" in the access control setting information 4100 from the access policy script 4200 (script 4202) read in step S211, extracts elements used for access control, and records them in the compressed behavior information keyword 4203 of the record (step S212). Specifically, in the case of the record with ID 4201 = "1" in Figure 7, "antivirus X" and "security service Y" included in the "startup service list" described in the "information decompression target monitoring unit" are applicable. Similarly, in the case of the record with ID 4201 = "2", "3abe4b2..." and "ffa3bf23..." included in the "process hash value list" are applicable.

以下では、運用フェイズに含まれる処理として、認可要求メッセージ受信部220によって実行されるステップS221~S225の処理、挙動情報伸長部230によって実行されるステップS231~S233の処理、アクセス判定部240によって実行されるステップS241~S243の処理、及びアクセス制御部250によって実行されるステップS251~S252の処理について説明する。 Below, the processes included in the operation phase are described as steps S221 to S225 executed by the authorization request message receiving unit 220, steps S231 to S233 executed by the behavior information decompression unit 230, steps S241 to S243 executed by the access determination unit 240, and steps S251 to S252 executed by the access control unit 250.

まず、認可要求メッセージ受信部220は、図11のステップS132において端末10の認可要求メッセージ送信部140から送信された認可要求メッセージ510を、受信する(ステップS221)。 First, the authorization request message receiving unit 220 receives the authorization request message 510 sent from the authorization request message sending unit 140 of the terminal 10 in step S132 of FIG. 11 (step S221).

次に、認可要求メッセージ受信部220は、ステップS221で受信した認可要求メッセージ510を、アクセス制御設定情報4100においてID4101=「1」に示される「制御装置秘密鍵」と、認可要求メッセージ510のID5101=「6」に示される「共通鍵」とを使って復号するとともに、認可要求メッセージ510のID5101=「7」に示される「端末側の電子署名」を検証し、改ざんがないことを確認する(ステップS222)。さらに、ステップS222において、認可要求メッセージ受信部220は、認可要求メッセージ510のID5101=「1」に示される「タイムスタンプ」を現在日時と比較して、認可要求メッセージ510がリプレイアタックに類するものではないことを確認する。 Next, the authorization request message receiving unit 220 decrypts the authorization request message 510 received in step S221 using the "control device private key" indicated by ID 4101 = "1" in the access control setting information 4100 and the "common key" indicated by ID 5101 = "6" in the authorization request message 510, and verifies the "terminal side electronic signature" indicated by ID 5101 = "7" in the authorization request message 510 to confirm that it has not been tampered with (step S222). Furthermore, in step S222, the authorization request message receiving unit 220 compares the "timestamp" indicated by ID 5101 = "1" in the authorization request message 510 with the current date and time to confirm that the authorization request message 510 is not a replay attack.

次に、認可要求メッセージ受信部220は、ステップS222で復号化された認可要求メッセージ510に含まれるID5101=「5」の「挙動情報一覧」を挙動情報伸長部230に送信し、圧縮されている挙動情報の伸長化を依頼する(ステップS223)。 Next, the authorization request message receiving unit 220 sends the "behavior information list" for ID 5101 = "5" contained in the authorization request message 510 decrypted in step S222 to the behavior information decompression unit 230, requesting decompression of the compressed behavior information (step S223).

次に、認可要求メッセージ受信部220は、ステップS223で依頼した挙動情報の伸長化が行われた後の挙動情報(挙動情報一覧)を挙動情報伸長部230から受信して、認可要求メッセージ510におけるID5101=「5」の「挙動情報一覧」の値を、伸長化された挙動情報に置き換える(ステップS224)。 Next, the authorization request message receiving unit 220 receives from the behavior information decompression unit 230 the behavior information (behavior information list) after the behavior information requested in step S223 has been decompressed, and replaces the value of the "behavior information list" for ID 5101 = "5" in the authorization request message 510 with the decompressed behavior information (step S224).

次に、認可要求メッセージ受信部220は、ステップS224の処理後の認可要求メッセージ510をアクセス判定部240に送信し、認可判定を依頼する(ステップS225)。ステップS225の処理後は、ステップS221に戻る。 Next, the authorization request message receiving unit 220 transmits the authorization request message 510 after the processing of step S224 to the access determination unit 240 and requests an authorization determination (step S225). After the processing of step S225, the process returns to step S221.

挙動情報伸長部230は、ステップS223で認可要求メッセージ受信部220から挙動情報一覧の伸長化が依頼されたとき、この挙動情報一覧を受信する(ステップS231)。なお、以下では、ステップS231で受信する挙動情報一覧には、圧縮処理が施された挙動情報が含まれているとして説明するが、必ずしもすべての挙動情報について圧縮処理が施されている必要はなく、また、すべての挙動情報が圧縮処理されていない場合もあり得る。但し、挙動情報一覧に含まれるすべての挙動情報が圧縮処理されていない場合は、ステップS231~S233の処理は実質的に不要であることから、例えば認可要求メッセージ受信部220がステップS223~S224の処理をスキップするようにしてもよい。 When the behavior information decompression unit 230 is requested to decompress the behavior information list by the authorization request message receiving unit 220 in step S223, the behavior information decompression unit 230 receives the behavior information list (step S231). Note that in the following description, the behavior information list received in step S231 is assumed to include behavior information that has been subjected to compression processing, but compression processing is not necessarily required for all behavior information, and it is also possible that not all behavior information has been compressed. However, if not all behavior information included in the behavior information list has been compressed, the processing of steps S231 to S233 is substantially unnecessary, and therefore, for example, the authorization request message receiving unit 220 may skip the processing of steps S223 to S224.

次に、挙動情報伸長部230は、ステップS231で受信した挙動情報一覧に含まれる1以上の挙動情報に対して、圧縮されている挙動情報を伸長化する圧縮挙動情報伸長化処理を実行する(ステップS232)。 Next, the behavior information decompression unit 230 executes a compressed behavior information decompression process for one or more pieces of behavior information included in the behavior information list received in step S231 to decompress the compressed behavior information (step S232).

図15は、圧縮挙動情報伸長化処理の処理手順例を示すフローチャートである。上述したように、圧縮挙動情報伸長化処理は、挙動情報伸長部230によって実行される。 Figure 15 is a flowchart showing an example of the processing procedure for the compressed behavior information decompression process. As described above, the compressed behavior information decompression process is executed by the behavior information decompression unit 230.

図15によればまず、挙動情報伸長部230は、アクセスポリシースクリプトDB420に保持されているアクセスポリシースクリプト4200にアクセスし、圧縮挙動情報キーワード4203を収集する(ステップS261)。 According to FIG. 15, first, the behavior information decompression unit 230 accesses the access policy script 4200 stored in the access policy script DB 420 and collects the compressed behavior information keywords 4203 (step S261).

次に、挙動情報伸長部230は、認可要求メッセージ受信部220から受け取った「挙動情報一覧」に含まれる挙動情報のうちから、アクセス制御設定情報4100のID4101=「5」に指定された「情報伸長対象監視部」に該当する挙動監視部110による挙動情報を1つずつ選択し、以下のステップS263~S265の処理を行う(ステップS262)。 Next, the behavior information decompression unit 230 selects, one by one, from among the behavior information included in the "behavior information list" received from the authorization request message receiving unit 220, behavior information by the behavior monitoring unit 110 corresponding to the "information decompression target monitoring unit" specified in ID 4101 = "5" of the access control setting information 4100, and performs the processing of the following steps S263 to S265 (step S262).

ステップS263では、挙動情報伸長部230は、ステップS261で収集した圧縮挙動情報キーワード4203から、ステップS262で選択した挙動情報に該当するキーワードのそれぞれについて、1つずつキーワードを選択してステップS264~S265の処理を行う。図7に示したアクセスポリシースクリプト4200を用いる場合、「アンチウイルスX」、「セキュリティサービスY」、「3abe4b2...」、及び「ffa3bf3bf23...」が、上記キーワードに該当する。 In step S263, the behavior information decompression unit 230 selects one keyword for each of the keywords corresponding to the behavior information selected in step S262 from the compressed behavior information keywords 4203 collected in step S261, and performs the processes of steps S264 to S265. When the access policy script 4200 shown in FIG. 7 is used, "antivirus X", "security service Y", "3abe4b2...", and "ffa3bf3bf23..." correspond to the above keywords.

ステップS264では、挙動情報伸長部230は、ステップS262で選択した挙動情報に、ステップS263で選択したキーワードが含まれているか否かを確認する。上記挙動情報に上記キーワードが含まれている場合は(ステップS264のYES)、ステップS265に進む。一方、上記挙動情報に上記キーワードが含まれていない場合は(ステップS264のNO)、ステップS263に戻り、次のキーワードが選択される。 In step S264, the behavior information decompression unit 230 checks whether the behavior information selected in step S262 includes the keyword selected in step S263. If the behavior information includes the keyword (YES in step S264), the process proceeds to step S265. On the other hand, if the behavior information does not include the keyword (NO in step S264), the process returns to step S263, and the next keyword is selected.

ステップS264においてキーワードを確認する方法は、端末設定情報3100のID3101=「2」で指定された「挙動情報圧縮方式」によって異なる。例えば、挙動情報圧縮方式がBloomFilterである場合、圧縮された挙動情報はビット配列である。このため、ステップS264において挙動情報伸長部230は、図11のステップS113において挙動情報調整部120がBloomFilterを使って挙動情報を圧縮するときの処理と同様に、キーワードのハッシュ値に該当する要素が「1」であるか否かを判断することによって、挙動情報のビット配列にキーワードが含まれるか否かを判断することができる。具体的には例えば、「挙動サービス一覧」に該当する挙動情報がビット配列であり、「アンチウイルスX」という文字列のハッシュ値に対応する要素が「1」であれば、当該挙動情報には「アンチウイルスX」が含まれることになる。 The method of checking the keyword in step S264 differs depending on the "behavior information compression method" specified by ID 3101 = "2" in the terminal setting information 3100. For example, if the behavior information compression method is BloomFilter, the compressed behavior information is a bit array. Therefore, in step S264, the behavior information decompression unit 230 can determine whether the keyword is included in the bit array of the behavior information by determining whether the element corresponding to the hash value of the keyword is "1", similar to the process when the behavior information adjustment unit 120 compresses the behavior information using BloomFilter in step S113 of FIG. 11. Specifically, for example, if the behavior information corresponding to the "behavior service list" is a bit array and the element corresponding to the hash value of the character string "antivirus X" is "1", then the behavior information includes "antivirus X".

ステップS265では、挙動情報伸長部230は、ステップS262で選択した挙動情報に、ステップS263で選択したキーワードを、例えば平文で追記する。 In step S265, the behavior information extension unit 230 adds the keyword selected in step S263, for example in plain text, to the behavior information selected in step S262.

そして、ステップS265の処理後は、ステップS263に戻り、次のキーワードが選択される。また、すべてのキーワードに対してステップS264~S265の処理が完了すると、ステップS262に戻り、次の挙動情報が選択される。さらに、すべての挙動情報に対してステップS263~S265の処理が完了すると、挙動情報伸長部230は、圧縮挙動情報伸長化処理を終了する。 After processing in step S265, the process returns to step S263, and the next keyword is selected. When the processes in steps S264 to S265 are completed for all keywords, the process returns to step S262, and the next behavior information is selected. When the processes in steps S263 to S265 are completed for all behavior information, the behavior information decompression unit 230 ends the compressed behavior information decompression process.

以上のように圧縮挙動情報伸長化処理が行われることにより、非可逆圧縮方式で圧縮処理された挙動情報からは含まれるキーワードを直接参照できなかったところを、ステップS265でキーワードが追加されることによって、伸長化処理後の挙動情報からは含まれるキーワードを直接参照できるようになる。 By performing the compressed behavior information decompression process as described above, the keywords contained in the behavior information compressed using a lossy compression method cannot be directly referenced, but by adding the keywords in step S265, the keywords contained in the behavior information after decompression can be directly referenced.

図14の説明に戻る。ステップS232の処理が終了した後、挙動情報伸長部230は、ステップS232で伸長化した挙動情報一覧(詳述すれば、キーワードを追加した挙動情報からなる挙動情報一覧)を認可要求メッセージ受信部220に返信する(ステップS233)。ステップS233の終了後は、ステップS231に戻る。 Returning to the explanation of FIG. 14, after the processing of step S232 is completed, the behavior information decompression unit 230 returns the behavior information list decompressed in step S232 (more specifically, the behavior information list consisting of the behavior information to which the keyword has been added) to the authorization request message receiving unit 220 (step S233). After the processing of step S233 is completed, the process returns to step S231.

アクセス判定部240は、ステップS225で認可要求メッセージ受信部220から送信された認可要求メッセージ510に対する認可判定の依頼を受信する(ステップS241)。 The access determination unit 240 receives a request for authorization determination for the authorization request message 510 sent from the authorization request message receiving unit 220 in step S225 (step S241).

次に、アクセス判定部240は、アクセスポリシースクリプトDB420に保持されたアクセスポリシースクリプト4200のスクリプト4202に基づいて、ステップS241で受信した認可要求メッセージ510の内容を判定し、アクセスの可否を判定する認可判定を行う(ステップS242)。 Next, the access determination unit 240 determines the contents of the authorization request message 510 received in step S241 based on the script 4202 of the access policy script 4200 stored in the access policy script DB 420, and performs an authorization determination to determine whether access is permitted (step S242).

ステップS242において、アクセス判定部240は、アクセスポリシースクリプト4200においてID4201の値が小さいスクリプトから順々に適用する。そして、認可要求メッセージ510が、スクリプト4202内の“subject”、“resource”、及び“behavior”の全ての条件を満たす場合に、“judgement”の記載内容が最終的に、アクセスの認可判定の判定結果とされる。なお、アクセスポリシースクリプト4200において、上記した全ての条件を満たすスクリプト4202が存在しない場合には、予め定められたデフォルトの判定結果が適用される。デフォルトの判定結果は、「通過」または「遮断」の何れかとする。 In step S242, the access judgment unit 240 applies the scripts in the access policy script 4200 in order starting from the script with the smallest ID 4201 value. Then, if the authorization request message 510 satisfies all the conditions of "subject", "resource", and "behavior" in the script 4202, the contents of "judgment" are finally used as the judgment result of the access authorization judgment. Note that if there is no script 4202 in the access policy script 4200 that satisfies all of the above conditions, a predetermined default judgment result is applied. The default judgment result is either "pass" or "block".

次に、アクセス判定部240は、ステップS242の判定結果に基づいて、アクセス認可情報DB430に保持されるアクセス認可情報4300を更新する(ステップS243)。 Next, the access determination unit 240 updates the access authorization information 4300 stored in the access authorization information DB 430 based on the determination result of step S242 (step S243).

ステップS243において、認可判定の判定結果が「通過」である場合は、図8のアクセス認可情報4300のID4301=「2」に示されたように、通信遮断期間4305が指定されずに(N/Aが設定されて)、通信通過期間4306が設定される。 In step S243, if the result of the authorization decision is "pass," as shown in ID 4301 = "2" of the access authorization information 4300 in Figure 8, the communication cutoff period 4305 is not specified (N/A is set) and the communication pass period 4306 is set.

一方、ステップS243において、認可判定の判定結果が「遮断」である場合は、アクセス認可情報4300のID4301=「6」に指定される「遮断モード」の設定内容(「完全遮断」または「一時遮断」)に応じて、異なる内容でアクセス認可情報4300が更新される。具体的には、遮断モードが「一時遮断」の場合、図8のアクセス認可情報4300のID4301=「1」または「3」に示されたように、通信遮断期間4305及び通信通過期間4306が設定される。また、遮断モードが「完全遮断」の場合には、少なくとも通信遮断期間4305が設定される。このとき、通信通過期間4306は、所定の長期間が設定されるとしてもよいが、特に期間が指定されない(N/Aが設定される)としてもよい。 On the other hand, in step S243, if the result of the authorization decision is "blocked", the access authorization information 4300 is updated with different contents according to the setting contents ("complete block" or "temporary block") of the "blocking mode" specified in ID 4301 = "6" of the access authorization information 4300. Specifically, when the blocking mode is "temporary block", the communication blocking period 4305 and the communication passing period 4306 are set as shown in ID 4301 = "1" or "3" of the access authorization information 4300 in FIG. 8. Also, when the blocking mode is "complete block", at least the communication blocking period 4305 is set. At this time, the communication passing period 4306 may be set to a predetermined long period, or may not be specified (N/A is set).

また、ステップS243において、認可判定の判定結果が「遮断」で、遮断モードが「完全遮断」の場合には、アクセス判定部240は、アクセスを遮断する旨の認可判定が下された旨を通知する管理者通知メッセージ530を作成し(図10参照)、これを管理用端末40に送信する。この結果、管理者は管理用端末40を介して管理者通知メッセージ530を閲覧することにより、アクセス遮断の判定が行われたことを認知することができる。 In addition, in step S243, if the result of the authorization decision is "blocked" and the blocking mode is "complete blocking," the access decision unit 240 creates an administrator notification message 530 notifying that an authorization decision to block access has been made (see FIG. 10) and sends this to the management terminal 40. As a result, the administrator can view the administrator notification message 530 via the management terminal 40 and recognize that a decision to block access has been made.

以上のようにステップS243の処理が行われた後は、ステップS241に戻る。 After the processing of step S243 has been performed as described above, the process returns to step S241.

アクセス制御部250は、図11のステップS127において端末10の認可要求制御部130から送信されたアクセス要求520を、受信する(ステップS251)。 The access control unit 250 receives the access request 520 sent from the authorization request control unit 130 of the terminal 10 in step S127 of FIG. 11 (step S251).

次に、アクセス制御部250は、ステップS251で受信したアクセス要求520と、アクセス認可情報DB430に保持されているアクセス認可情報4300における各レコードとを比較し、アクセス要求520を通過させるべきか遮断するべきかを決定し、当該決定の結果に従って、アクセス要求520に対する制御を行う(ステップS252)。 Next, the access control unit 250 compares the access request 520 received in step S251 with each record in the access authorization information 4300 stored in the access authorization information DB 430, determines whether the access request 520 should be passed or blocked, and controls the access request 520 according to the result of the determination (step S252).

ステップS252における通過/遮断の決定について詳しく説明すると、アクセス制御部250は、アクセス認可情報4300の各レコードのうちから、端末IPアドレス4302及びリソースIPアドレス4303に基づいて、アクセス要求520の送信元の端末10と宛先のリソース30との組み合わせに合致するレコードを選別し、さらに、アクセス要求520の送信日時(あるいは現在日時)と、上記選別したレコードにおける通信遮断期間4305または通信通過期間4306とを比較することによって、アクセス要求520に対する通過/遮断の決定を行うことができる。すなわち、アクセス要求520の送信日時(あるいは現在日時)が、選別したレコードにおける通信通過期間4306に含まれる場合は、アクセス要求520を通過させると決定する。一方、アクセス要求520の送信日時(あるいは現在日時)が、選別したレコードにおける通信遮断期間4305に含まれる場合は、アクセス要求520を遮断すると決定する。 To explain in detail the pass/block decision in step S252, the access control unit 250 selects from each record of the access authorization information 4300 a record that matches the combination of the terminal 10 that is the sender of the access request 520 and the resource 30 that is the destination, based on the terminal IP address 4302 and the resource IP address 4303, and further compares the transmission date and time (or the current date and time) of the access request 520 with the communication cutoff period 4305 or the communication pass period 4306 in the selected record, thereby making a pass/block decision for the access request 520. That is, if the transmission date and time (or the current date and time) of the access request 520 is included in the communication pass period 4306 in the selected record, it is decided to pass the access request 520. On the other hand, if the transmission date and time (or the current date and time) of the access request 520 is included in the communication cutoff period 4305 in the selected record, it is decided to block the access request 520.

そして、ステップS252において、アクセス制御部250は、アクセス要求520を通過させると決定した場合は、宛先のリソース30に向けてアクセス要求520を転送する。一方、アクセス要求520を遮断すると決定した場合は、アクセス要求520のリソース30への転送を行わない。以上、ステップS252の処理が終了した後は、再びステップS251に戻る。 Then, in step S252, if the access control unit 250 decides to pass the access request 520, it forwards the access request 520 to the destination resource 30. On the other hand, if it decides to block the access request 520, it does not forward the access request 520 to the resource 30. After the processing of step S252 is completed, the process returns to step S251.

以上、図11~図15に示した処理が行われることにより、動的アクセス認可システム1では、端末10からリソース30へのアクセス要求が発生したとき、セッション単位で、端末10からアクセス制御装置20に、ユーザや端末10の挙動情報を含む認可要求メッセージ510が送信され、アクセス制御装置20において、認可要求メッセージ510をアクセスポリシースクリプト4200と比較することによって、アクセス要求をリソース30に通過させるか遮断するかの認可判定が行われ、その判定結果に基づいてアクセス要求520の制御が行われる。また、アクセス制御装置20に送信される認可要求メッセージ510は、端末10において圧縮処理や優先付け処理が行われることで、適切なセキュリティレベル及びデータサイズとすることができる。これらの結果、本実施形態に係る動的アクセス認可システム1によれば、通信ネットワーク41,42及び端末10への負荷を抑制しながら、端末10及び/またはユーザの直近の挙動に基づいて、リアルタイムに、リソース30へのアクセス要求520の動的認可を実現することができる。 As described above, in the dynamic access authorization system 1, when an access request to the resource 30 occurs from the terminal 10, the terminal 10 transmits an authorization request message 510 including behavior information of the user and the terminal 10 to the access control device 20 on a session basis. The access control device 20 compares the authorization request message 510 with the access policy script 4200 to determine whether to allow the access request to pass through to the resource 30 or block it, and controls the access request 520 based on the determination result. In addition, the authorization request message 510 transmitted to the access control device 20 can be compressed and prioritized in the terminal 10 to have an appropriate security level and data size. As a result, the dynamic access authorization system 1 according to this embodiment can realize dynamic authorization of the access request 520 to the resource 30 in real time based on the most recent behavior of the terminal 10 and/or the user while suppressing the load on the communication networks 41, 42 and the terminal 10.

(5)変形例
なお、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。
(5) Modifications The present invention is not limited to the above-described embodiment, but includes various modifications.

(5-1)変形例1
図1では、アクセス制御装置20をリソース30とは別に独立した装置として示したが、動的アクセス認可システム1の一変形例として、アクセス制御装置20は、リソース30に内包される形態で実現してもよい。この場合、図1に示した制御装置側プログラム200はソフトウェアの形態をとってリソース30に備えられ、端末10からリソース30に送信される認可要求メッセージ510及びアクセス要求520を受信して、上述した制御装置側プログラム20としての処理を行う。
(5-1) Modification 1
1, the access control device 20 is shown as an independent device separate from the resource 30, but as a modified example of the dynamic access authorization system 1, the access control device 20 may be realized in a form that is included in the resource 30. In this case, the control device-side program 200 shown in FIG. 1 takes the form of software and is provided in the resource 30, receives an authorization request message 510 and an access request 520 transmitted from the terminal 10 to the resource 30, and performs processing as the control device-side program 20 described above.

(5-2)変形例2
図11では、挙動情報調整部120内の処理として、ステップS113で挙動情報圧縮部121が挙動情報の圧縮処理を行った後に、ステップS114において挙動情報優先付け部122が認可要求メッセージ510に載せる挙動情報の組み合わせを算出する優先付け処理を行うとしたが、動的アクセス認可システム1の一変形例として、挙動情報調整部120は、ステップS113の圧縮処理とステップS114の優先付け処理の何れか一方だけを実行するとしてもよい。また、圧縮処理及び優先付け処理の両方を実行するとした場合には、処理の実行順番を入れ替えてもよい。すなわち、挙動情報優先付け部122による優先付け処理(ステップS114)を、挙動情報圧縮部121による圧縮処理(ステップS113)よりも先に実行するようにしてもよい。
(5-2) Modification 2
11, as the processing in the behavior information adjustment unit 120, the behavior information compression unit 121 performs a compression process of the behavior information in step S113, and then the behavior information prioritization unit 122 performs a prioritization process of calculating a combination of behavior information to be included in the authorization request message 510 in step S114. However, as a modified example of the dynamic access authorization system 1, the behavior information adjustment unit 120 may execute only one of the compression process in step S113 and the prioritization process in step S114. In addition, when both the compression process and the prioritization process are executed, the order of execution of the processes may be interchanged. In other words, the prioritization process by the behavior information prioritization unit 122 (step S114) may be executed before the compression process by the behavior information compression unit 121 (step S113).

図11に示したように圧縮処理の後に優先付け処理を行う場合には、端末設定情報3100のID3101=「6」で指定された「挙動情報圧縮部フラグ」が「On」である挙動情報を圧縮した後で優先付け処理を行うことから、挙動情報の合計値のデータサイズに拘わらず、最終的に認可要求メッセージ510に載せられる挙動情報一覧のデータサイズを可能な限り小さくする効果に期待できる。一方、上記変形例のように圧縮処理よりも前に優先付け処理を行う場合には、例えば、優先付け処理の終了時点で挙動情報のデータサイズの合計値を計算し、この合計値が最大許容データサイズ(端末設定情報3100のID=「1」のレコードを参照)に収まる場合(十分に小さい場合)には圧縮処理をスキップしてもよい。また、優先付け処理の終了時点で最大許容データサイズを超える場合には、圧縮処理を実行し、圧縮処理後に最大許容データサイズに収まる範囲で挙動情報を選択する(優先付け処理の結果を考慮する)ことにより、挙動情報認可要求メッセージ510に載せられる挙動情報一覧を決定することができる。上記のように、圧縮処理がスキップされるときには、圧縮処理による処理負荷の増大を抑制できるだけでなく、伸長化処理も不要になることで、処理負荷の更なる抑制効果にも期待できる。 When the prioritization process is performed after the compression process as shown in FIG. 11, the behavior information whose "behavior information compression unit flag" specified by ID 3101 = "6" in the terminal setting information 3100 is "On" is compressed before the prioritization process, so that the effect of making the data size of the behavior information list finally included in the authorization request message 510 as small as possible can be expected regardless of the data size of the total value of the behavior information. On the other hand, when the prioritization process is performed before the compression process as in the above modified example, for example, the total value of the data size of the behavior information is calculated at the end of the prioritization process, and if this total value falls within the maximum allowable data size (see the record with ID = "1" in the terminal setting information 3100) (if it is sufficiently small), the compression process may be skipped. Also, if the maximum allowable data size is exceeded at the end of the prioritization process, the compression process is performed, and the behavior information within the range of the maximum allowable data size after the compression process is selected (taking into account the result of the prioritization process), so that the behavior information list to be included in the behavior information authorization request message 510 can be determined. As described above, when compression processing is skipped, not only can the increase in processing load due to compression processing be suppressed, but decompression processing is also unnecessary, which is expected to further suppress the processing load.

(5-3)変形例3
図7では、アクセス要求時に認可要求メッセージ510に対する認可判定において比較されるアクセスポリシースクリプト4200が例示され、スクリプト4202には「不要プロセス起動数」や「ユーザアイドル時間」などといった挙動に関する動的情報が判断基準として記述されていたが、動的アクセス認可システム1の一変形例として、認可判定において比較される要素は、上述した挙動に関する情報に限定されず、その他の種別の情報を含むものであってもよい。具体的には例えば、日時、曜日、または休日/平日などの要素もスクリプト4202に記述されてよい。
(5-3) Modification 3
7 illustrates an access policy script 4200 to be compared in the authorization decision for the authorization request message 510 at the time of an access request, and the script 4202 describes dynamic information related to behavior such as "number of unnecessary processes running" and "user idle time" as a judgment criterion, but as a modified example of the dynamic access authorization system 1, the elements to be compared in the authorization decision are not limited to the information related to the behavior described above, and may include other types of information. Specifically, for example, elements such as date and time, day of the week, or holiday/weekday may also be described in the script 4202.

また、上述した実施形態では、図4で挙動監視部管理情報3200の挙動監視部名称3202で指定される挙動監視部110による挙動情報を、認可要求メッセージ510に記載される可能性がある情報(言い換えると、認可判定において比較される情報)としたが、動的アクセス認可システム1の一変形例として、端末10の中にインストールされているパッチプログラムやOS/アプリケーションのバージョン情報といった比較的静的な情報を認可要求メッセージ510に載せるようにしてもよく(上述した動的な挙動情報と組み合わせて載せるようにしてもよい)、これらを参照してアクセス制御を行うようにしてもよい。この場合、例えばアクセスポリシースクリプト4200において、上記静的な情報を要素に用いた論理式が記述されておくことにより、アクセス判定部240が静的な情報も考慮した認可判定を実行することができる。かくして、動的アクセス認可システム1は、動的情報だけでなく、既存技術で用いられる静的情報とも組み合わせて、アクセス要求に対する認可判定及びアクセス制御を実現することができる。 In the above embodiment, the behavior information by the behavior monitoring unit 110 specified by the behavior monitoring unit name 3202 of the behavior monitoring unit management information 3200 in FIG. 4 is information that may be written in the authorization request message 510 (in other words, information to be compared in the authorization decision). However, as a modified example of the dynamic access authorization system 1, relatively static information such as patch programs and OS/application version information installed in the terminal 10 may be written in the authorization request message 510 (or may be written in combination with the dynamic behavior information described above), and access control may be performed by referring to these. In this case, for example, by describing a logical expression using the static information as an element in the access policy script 4200, the access decision unit 240 can execute an authorization decision that also takes the static information into consideration. Thus, the dynamic access authorization system 1 can realize authorization decision and access control for an access request by combining not only dynamic information but also static information used in existing technologies.

なお、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 The above-mentioned embodiment has been described in detail to clearly explain the present invention, and is not necessarily limited to having all of the configurations described. In addition, it is possible to add, delete, or replace part of the configuration of the embodiment with other configurations.

また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計するなどによりハードウェアで実現してもよい。また、上記の各構成及び機能などは、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイルなどの情報は、メモリや、ハードディスク、SSD(Solid State Drive)などの記録装置、または、ICカード、SDカード、DVDなどの記録媒体に置くことができる。 Furthermore, the above-mentioned configurations, functions, processing units, processing means, etc. may be realized in hardware, in part or in whole, for example by designing them as integrated circuits. Furthermore, the above-mentioned configurations and functions, etc. may be realized in software, by a processor interpreting and executing a program that realizes each function. Information such as the programs, tables, and files that realize each function can be stored in a memory, a recording device such as a hard disk or SSD (Solid State Drive), or a recording medium such as an IC card, SD card, or DVD.

また、図面において制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際にはほとんど全ての構成が相互に接続されていると考えてもよい。 In addition, the control lines and information lines shown in the drawings are those that are considered necessary for explanation, and do not necessarily show all control lines and information lines on the product. In reality, it can be assumed that almost all components are interconnected.

1 動的アクセス認可システム
10 端末
11 OS/アプリケーション
20 アクセス制御装置
30 リソース
40 管理用端末
41,42 通信ネットワーク
50 情報処理装置
51 CPU
52 メモリ
53 外部記憶装置
54 インタフェース(IF)
55 入出力装置
56 バス
100 端末側プログラム
110 挙動監視部
120 挙動情報調整部
121 挙動情報圧縮部
122 挙動情報優先付け部
130 認可要求制御部
140 認可要求メッセージ送信部
200 制御装置側プログラム
210 ポリシー管理部
220 認可要求メッセージ受信部
230 挙動情報伸長部
240 アクセス判定部
250 アクセス制御部
310 端末設定DB
320 挙動監視部管理DB
330 認可要求メッセージ履歴DB
410 アクセス制御設定DB
420 アクセスポリシースクリプトDB
430 アクセス認可情報DB
510 認可要求メッセージ
520 アクセス要求
530,530A,530B 管理者通知メッセージ
3100 端末設定情報
3200 挙動監視部管理情報
3300 認可要求メッセージ履歴情報
4100 アクセス制御設定情報
4200 アクセスポリシースクリプト
4300 アクセス認可情報
5100 データフォーマット
REFERENCE SIGNS LIST 1 Dynamic access authorization system 10 Terminal 11 OS/application 20 Access control device 30 Resource 40 Management terminal 41, 42 Communication network 50 Information processing device 51 CPU
52 Memory 53 External storage device 54 Interface (IF)
55 Input/Output device 56 Bus 100 Terminal side program 110 Behavior monitoring unit 120 Behavior information adjustment unit 121 Behavior information compression unit 122 Behavior information prioritization unit 130 Authorization request control unit 140 Authorization request message transmission unit 200 Control device side program 210 Policy management unit 220 Authorization request message reception unit 230 Behavior information decompression unit 240 Access determination unit 250 Access control unit 310 Terminal setting DB
320 Behavior monitoring unit management DB
330 Authorization request message history DB
410 Access control setting DB
420 Access policy script DB
430 Access authorization information DB
510 Authorization request message 520 Access request 530, 530A, 530B Administrator notification message 3100 Terminal setting information 3200 Behavior monitoring unit management information 3300 Authorization request message history information 4100 Access control setting information 4200 Access policy script 4300 Access authorization information 5100 Data format

Claims (13)

ユーザ使用する端末からリソース装置が有するリソースへのアクセス要求に対して、前記端末及び/または当該端末のユーザに関する動的な情報に基づいてアクセス要求の認可判定を行う動的アクセス認可システムであって、
前記端末に保持される、端末側プログラム及び当該端末側プログラムが参照する端末側データと、
前記端末と前記リソース装置との間のネットワークに配置されたアクセス制御装置に保持される、制御装置側プログラム及び当該制御装置側プログラムが参照する制御装置側データと、
を備え、
前記端末側プログラムは、
前記ユーザ及び/または前記端末に関する複数種類の挙動を監視し、定期的に最新の挙動情報を出力する複数の挙動監視部と、
前記複数の挙動監視部から出力された複数の前記挙動情報のうちから、合計のデータサイズが所定の制限範囲以内で、各前記挙動情報に付与される価値の合計値を最大化する前記挙動情報の組み合わせを算出する、優先付け処理を実行する挙動情報優先付け部を有し、前記合計値を最大化する前記挙動情報を組み合わせた挙動情報一覧を作成する挙動情報調整部と、
前記アクセス要求の生成を捕捉し、前記挙動情報調整部によって調整された前記挙動情報一覧を含む認可要求メッセージを作成し、前記認可要求メッセージ及び前記アクセス要求を前記アクセス制御装置に送信する認可要求制御部と、
を有し、
前記制御装置側プログラムは、
前記挙動監視部が出力する前記挙動情報を要素に用いた論理式が記述されたアクセスポリシースクリプトを管理するポリシー管理部と、
前記端末から送信された前記認可要求メッセージを受信する認可要求メッセージ受信部と、
前記認可要求メッセージを前記アクセスポリシースクリプトに規定された論理式に適用することによって前記認可判定を行うアクセス判定部と、
前記アクセス判定部による前記認可判定で前記アクセス要求が認可されなかった場合に、前記アクセス要求を第1の所定時間に亘って遮断した後、第2の所定時間に亘って前記アクセス要求の通過を許可する一時遮断のアクセス制御を実行可能とするアクセス制御部と、
を有する
ことを特徴とする動的アクセス認可システム。
1. A dynamic access authorization system for determining authorization of an access request from a terminal used by a user to a resource owned by a resource device, based on dynamic information related to the terminal and/or a user of the terminal, comprising:
A terminal-side program and terminal-side data referenced by the terminal-side program, both of which are stored in the terminal;
A control device side program and control device side data referenced by the control device side program, which are held in an access control device disposed in a network between the terminal and the resource device;
Equipped with
The terminal side program is
A plurality of behavior monitoring units that monitor a plurality of types of behavior related to the user and/or the terminal and periodically output the latest behavior information;
a behavior information prioritization unit that performs a prioritization process to calculate a combination of the behavior information output from the behavior information output from the behavior monitoring units that maximizes a total value of a value assigned to each of the behavior information within a predetermined limit range of total data size, and a behavior information adjustment unit that creates a behavior information list combining the behavior information that maximizes the total value ;
an authorization request control unit that captures generation of the access request, creates an authorization request message including the list of behavior information adjusted by the behavior information adjustment unit, and transmits the authorization request message and the access request to the access control device;
having
The control device side program
a policy management unit that manages an access policy script in which a logical expression using the behavior information output by the behavior monitoring unit as an element is written;
an authorization request message receiving unit that receives the authorization request message transmitted from the terminal;
an access decision unit that makes the authorization decision by applying the authorization request message to a logical expression defined in the access policy script;
an access control unit that is capable of executing a temporary blocking access control for blocking the access request for a first predetermined time and then permitting passage of the access request for a second predetermined time when the access request is not authorized in the authorization determination by the access determination unit;
A dynamic access authorization system comprising:
前記挙動情報調整部は、
非可逆圧縮方式で前記挙動情報の前記データサイズを圧縮する圧縮処理を実行する挙動情報圧縮部をさらに有し、
前記制御装置側プログラムは、
前記認可要求メッセージ受信部が受信した前記認可要求メッセージに含まれる前記挙動情報一覧を構成する1以上の前記挙動情報に対して、前記挙動情報圧縮部によって圧縮された前記挙動情報のなかに前記アクセスポリシースクリプトで指定されるキーワードが記録されているか否かを判断する伸長化処理を実行する挙動情報伸長部をさらに有する
ことを特徴とする請求項に記載の動的アクセス認可システム。
The behavior information adjustment unit is
A behavior information compression unit that performs a compression process to compress the data size of the behavior information using a lossy compression method,
The control device side program
2. The dynamic access authorization system according to claim 1, further comprising a behavior information decompression unit that executes a decompression process for determining whether or not a keyword specified in the access policy script is recorded in the behavior information compressed by the behavior information compression unit, for one or more of the behavior information constituting the behavior information list included in the authorization request message received by the authorization request message receiving unit.
前記挙動情報伸長部は、
前記伸長化処理において、前記挙動情報圧縮部によって圧縮された前記挙動情報のなかに前記アクセスポリシースクリプトで指定されるキーワードが記録されているか否かを判断した結果、前記キーワードが記録されていると判断した場合には、当該キーワードを当該挙動情報に追加する
ことを特徴とする請求項に記載の動的アクセス認可システム。
The behavior information decompression unit
3. The dynamic access authorization system according to claim 2, wherein in the decompression process, as a result of judging whether or not a keyword specified in the access policy script is recorded in the behavior information compressed by the behavior information compression unit, if it is judged that the keyword is recorded, the keyword is added to the behavior information.
前記挙動情報調整部は、
前記複数の挙動監視部から出力された前記複数の挙動情報に対して、前記挙動情報圧縮部による前記圧縮処理を行った後、前記挙動情報優先付け部による前記優先付け処理を実行することにより、前記挙動情報一覧を作成する
ことを特徴とする請求項に記載の動的アクセス認可システム。
The behavior information adjustment unit is
The dynamic access authorization system according to claim 3, characterized in that the behavior information list is created by performing the compression process by the behavior information compression unit on the plurality of behavior information output from the plurality of behavior monitoring units, and then performing the prioritization process by the behavior information prioritization unit on the plurality of behavior information output from the plurality of behavior monitoring units.
前記挙動情報調整部は、
前記複数の挙動監視部から出力された前記複数の挙動情報に対して、前記挙動情報優先付け部による前記優先付け処理を実行し、当該処理後のすべての前記複数の挙動情報の合計のデータサイズが前記所定の制限範囲を超える場合に、前記挙動情報圧縮部による前記圧縮処理を実行して、前記挙動情報一覧を作成する
ことを特徴とする請求項に記載の動的アクセス認可システム。
The behavior information adjustment unit is
The dynamic access authorization system according to claim 3, characterized in that the behavior information prioritization unit performs the prioritization process on the plurality of pieces of behavior information output from the plurality of behavior monitoring units, and if a total data size of all of the plurality of pieces of behavior information after the prioritization process exceeds the predetermined limit range, the behavior information compression unit performs the compression process to create the behavior information list.
前記認可要求制御部は、
前記認可要求メッセージに対する前記制御装置側プログラムによる処理に要する時間を推定し、当該推定した時間が経過するまで、前記アクセス要求の前記アクセス制御装置への送信を遅延させる
ことを特徴とする請求項1に記載の動的アクセス認可システム。
The authorization request control unit,
2. The dynamic access authorization system according to claim 1, further comprising: estimating a time required for the control device side program to process the authorization request message; and delaying transmission of the access request to the access control device until the estimated time has elapsed.
複数の前記リソース装置に対応して複数の前記アクセス制御装置が設けられ、
前記認可要求制御部は、
同一の前記アクセス制御装置に対して一定時間内に送信した前記認可要求メッセージの個数を基に、新たな前記認可要求メッセージを送信するか否かを判定する
ことを特徴とする請求項1に記載の動的アクセス認可システム。
a plurality of the access control devices are provided corresponding to a plurality of the resource devices;
The authorization request control unit,
The dynamic access authorization system according to claim 1 , wherein the determination as to whether or not to transmit a new authorization request message is made based on the number of authorization request messages transmitted to the same access control device within a certain period of time.
前記アクセス判定部は、前記認可判定において、以後の前記アクセス要求を完全に遮断する完全遮断の判定結果を得た場合に、前記アクセス要求を遮断する旨を通知する管理者通知メッセージを作成し、管理者が使用する管理用端末に送信する
ことを特徴とする請求項1に記載の動的アクセス認可システム。
2. The dynamic access authorization system according to claim 1, wherein when a determination result of complete block that completely blocks the access request thereafter is obtained in the authorization determination, the access determination unit creates an administrator notification message notifying that the access request will be blocked, and transmits the message to an administration terminal used by an administrator.
前記認可要求制御部は、前記挙動情報一覧に加え、前記端末及び/またはユーザに関する所定の静的な情報を含めて前記認可要求メッセージを作成して前記アクセス制御装置に送信し、
前記ポリシー管理部は、前記挙動情報及び前記所定の静的な情報を要素に用いた論理式が記述されたアクセスポリシースクリプトを管理する
ことを特徴とする請求項1に記載の動的アクセス認可システム。
the authorization request control unit creates the authorization request message including predetermined static information regarding the terminal and/or the user in addition to the behavior information list, and transmits the created authorization request message to the access control device;
2. The dynamic access authorization system according to claim 1, wherein the policy management unit manages an access policy script in which a logical expression using the behavior information and the predetermined static information as elements is written.
前記挙動情報優先付け部は、遺伝的アルゴリズムを用いて前記挙動情報の組み合わせを算出する
ことを特徴とする請求項に記載の動的アクセス認可システム。
The dynamic access authorization system according to claim 1 , wherein the behavior information prioritization unit calculates the combination of the behavior information by using a genetic algorithm.
前記非可逆圧縮方式は、BloomFilterアルゴリズムである
ことを特徴とする請求項に記載の動的アクセス認可システム。
The dynamic access authorization system according to claim 2 , wherein the lossy compression method is a BloomFilter algorithm.
前記アクセス制御装置は、前記リソース装置に内包されて構成される
ことを特徴とする請求項1に記載の動的アクセス認可システム。
The dynamic access authorization system according to claim 1 , wherein the access control device is configured to be included in the resource device.
ユーザ使用する端末からリソース装置が有するリソースへのアクセス要求に対して、前記端末及び/または当該端末のユーザに関する動的な情報に基づいてアクセス要求の認可判定を行う動的アクセス認可システムによる動的アクセス認可方法であって、
前記動的アクセス認可システムは、
前記端末に保持される、端末側プログラム及び当該端末側プログラムが参照する端末側データと、
前記端末と前記リソース装置との間のネットワークに配置されたアクセス制御装置に保持される、制御装置側プログラム及び当該制御装置側プログラムが参照する制御装置側データと、
を有し、
前記端末が前記端末側プログラムを実行することにより、前記ユーザ及び/または前記端末に関する複数種類の挙動を監視し、定期的に最新の挙動情報を出力する挙動監視ステップと、
前記端末が前記端末側プログラムを実行することにより、前記挙動監視ステップで出力された複数の前記挙動情報のうちから、合計のデータサイズが所定の制限範囲以内で、各前記挙動情報に付与される価値の合計値を最大化する前記挙動情報の組み合わせを算出する、優先付け処理を実行し、前記合計値を最大化する前記挙動情報を組み合わせた挙動情報一覧を作成する挙動情報調整ステップと、
前記端末が前記端末側プログラムを実行することにより、前記アクセス要求の生成を捕捉し、前記挙動情報調整ステップで調整された前記挙動情報一覧を含む認可要求メッセージを作成し、前記認可要求メッセージ及び前記アクセス要求を前記アクセス制御装置に送信する認可要求制御ステップと、
前記動的アクセス認可システムが前記制御装置側プログラムを実行することにより、前記挙動監視ステップで出力される前記挙動情報を要素に用いた論理式が記述されたアクセスポリシースクリプトを管理するポリシー管理ステップと、
前記動的アクセス認可システムが前記制御装置側プログラムを実行することにより、前記認可要求制御ステップで前記端末から送信された前記認可要求メッセージを受信する認可要求メッセージ受信ステップと、
前記動的アクセス認可システムが前記制御装置側プログラムを実行することにより、前記認可要求メッセージ受信ステップで受信された前記認可要求メッセージを前記アクセスポリシースクリプトに規定された論理式に適用することによって前記認可判定を行うアクセス判定ステップと、
前記動的アクセス認可システムが前記制御装置側プログラムを実行することにより前記アクセス判定ステップによる前記認可判定で前記アクセス要求が認可されなかった場合に、前記アクセス要求を第1の所定時間に亘って遮断した後、第2の所定時間に亘って前記アクセス要求の通過を許可する一時遮断のアクセス制御を実行可能とするアクセス制御ステップと、
を備えることを特徴とする動的アクセス認可方法。
A dynamic access authorization method for a dynamic access authorization system that performs authorization decision for an access request from a terminal used by a user to a resource owned by a resource device, based on dynamic information related to the terminal and/or a user of the terminal, comprising:
The dynamic access authorization system includes:
A terminal-side program and terminal-side data referenced by the terminal-side program, both of which are stored in the terminal;
A control device side program and control device side data referenced by the control device side program, which are held in an access control device disposed in a network between the terminal and the resource device;
having
a behavior monitoring step of monitoring a plurality of types of behavior related to the user and/or the terminal by executing the terminal-side program by the terminal , and periodically outputting the latest behavior information;
a behavior information adjustment step in which the terminal executes the terminal-side program to calculate a combination of the behavior information outputted in the behavior monitoring step that maximizes the total value of the value assigned to each of the behavior information while keeping the total data size within a predetermined limit range, and to create a behavior information list combining the behavior information that maximizes the total value ;
an authorization request control step of the terminal executing the terminal-side program to capture generation of the access request, create an authorization request message including the list of behavior information adjusted in the behavior information adjustment step, and transmit the authorization request message and the access request to the access control device;
a policy management step of managing an access policy script in which a logical expression using the behavior information outputted in the behavior monitoring step as an element is described by the dynamic access authorization system executing the control device side program;
an authorization request message receiving step of receiving the authorization request message transmitted from the terminal in the authorization request control step by the dynamic access authorization system executing the control device side program;
an access determination step of performing the authorization determination by applying the authorization request message received in the authorization request message receiving step to a logical expression defined in the access policy script by the dynamic access authorization system executing the control device-side program;
an access control step in which, when the access request is not authorized in the authorization decision made by the access decision step, the dynamic access authorization system executes the control device-side program , thereby enabling execution of a temporary blocking access control in which the access request is blocked for a first predetermined time and then permitted to pass for a second predetermined time;
A dynamic access authorization method comprising:
JP2021067334A 2021-04-12 2021-04-12 Dynamic access authorization system and dynamic access authorization method Active JP7629333B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021067334A JP7629333B2 (en) 2021-04-12 2021-04-12 Dynamic access authorization system and dynamic access authorization method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021067334A JP7629333B2 (en) 2021-04-12 2021-04-12 Dynamic access authorization system and dynamic access authorization method

Publications (2)

Publication Number Publication Date
JP2022162461A JP2022162461A (en) 2022-10-24
JP7629333B2 true JP7629333B2 (en) 2025-02-13

Family

ID=83720943

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021067334A Active JP7629333B2 (en) 2021-04-12 2021-04-12 Dynamic access authorization system and dynamic access authorization method

Country Status (1)

Country Link
JP (1) JP7629333B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116132198B (en) * 2023-04-07 2023-07-25 杭州海康威视数字技术股份有限公司 Internet of things privacy behavior sensing method and device based on lightweight context semantics
CN116846642A (en) * 2023-07-06 2023-10-03 北京交通大学 Dynamic access control method and system based on programmable network
CN117459320B (en) * 2023-12-20 2024-03-26 新华三网络信息安全软件有限公司 Data access control method and device
CN119182644B (en) * 2024-09-13 2025-11-18 中国电信股份有限公司 An authorization method, system, device, and medium based on a microservice architecture.

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005018186A (en) 2003-06-24 2005-01-20 Hitachi Ltd Access management method and apparatus, and processing program therefor
JP2014518021A (en) 2011-05-23 2014-07-24 日本電気株式会社 COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM
JP2016039427A (en) 2014-08-06 2016-03-22 富士通株式会社 Determination device, terminal device, determination program, terminal program, and communication system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005018186A (en) 2003-06-24 2005-01-20 Hitachi Ltd Access management method and apparatus, and processing program therefor
JP2014518021A (en) 2011-05-23 2014-07-24 日本電気株式会社 COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM
JP2016039427A (en) 2014-08-06 2016-03-22 富士通株式会社 Determination device, terminal device, determination program, terminal program, and communication system

Also Published As

Publication number Publication date
JP2022162461A (en) 2022-10-24

Similar Documents

Publication Publication Date Title
JP7629333B2 (en) Dynamic access authorization system and dynamic access authorization method
US10652016B2 (en) Methods, apparatus, and systems for controlling internet-connected devices having embedded systems with dedicated functions
US10382200B2 (en) Probabilistic key rotation
US10073971B2 (en) Traffic processing for network performance and security
US9985994B2 (en) Enforcing compliance with a policy on a client
US7987242B2 (en) Caching of private data for a configurable time period
CN114008977B (en) SIEM systems and methods for exfiltration event data
KR102866657B1 (en) Processing requests to control information stored on multiple servers
US20160119360A1 (en) Method and System for Remote Data Access Using a Mobile Device
US20180234234A1 (en) System for describing and tracking the creation and evolution of digital files
US11329992B2 (en) Security measures for extended sessions
US12137097B1 (en) Security measures for extended sessions using multi-domain data
CN113424188A (en) Protecting browser COOKIE
CN117874789B (en) A dynamic privacy data encryption method and system
CN115801292A (en) Access request authentication method and device, storage medium and electronic equipment
CN118316718B (en) Data processing methods, apparatus, storage media and computer equipment
EP1897325B1 (en) Secure data communications in web services
CN113438299A (en) File transmission method and transmission device
US20200389435A1 (en) Auditing smart bits
EP4611312A1 (en) Dynamic rate limiting for digital traffic
Sravan et al. Building a Secure and High-Performance HMAC Processor Based on SHA-3 for the Cloud-Based Financial Sector
CN116010961A (en) A cloud device, terminal device and cloud computer system
KR20240118315A (en) A method and an appratus for mail security firewall
Schear The Design and Implementation of Glavlit: A Transparent Data Confinement System
Chaitanya Addressing performance challenges in secure storage systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240903

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20241030

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250128

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250131

R150 Certificate of patent or registration of utility model

Ref document number: 7629333

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150