JP7629333B2 - Dynamic access authorization system and dynamic access authorization method - Google Patents
Dynamic access authorization system and dynamic access authorization method Download PDFInfo
- Publication number
- JP7629333B2 JP7629333B2 JP2021067334A JP2021067334A JP7629333B2 JP 7629333 B2 JP7629333 B2 JP 7629333B2 JP 2021067334 A JP2021067334 A JP 2021067334A JP 2021067334 A JP2021067334 A JP 2021067334A JP 7629333 B2 JP7629333 B2 JP 7629333B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- behavior information
- terminal
- authorization
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、端末からリソースへのアクセスに対して動的認可を行う動的アクセス認可システム及び動的アクセス認可方法に適用して好適なものである。 The present invention is suitable for use in a dynamic access authorization system and a dynamic access authorization method that dynamically authorizes access from a terminal to a resource.
近年、情報漏洩や不正アクセスなどの脅威をもたらすコンピュータウイルス、スパイウェア、またはボットプログラムといった悪意ある不正プログラム(マルウェア)が増加しており、また、国家や企業を狙った高度標的型攻撃もますます高度化している。また、組織内部犯行者による情報漏洩も大きな社会問題となっている。 In recent years, there has been an increase in malicious programs (malware) such as computer viruses, spyware, and bot programs that pose threats such as information leaks and unauthorized access, and targeted attacks against nations and companies are becoming increasingly sophisticated. Information leaks caused by perpetrators within organizations have also become a major social issue.
このような情勢に対処するため、組織の内外を問わず通信相手の端末及びユーザは悪意を有する可能性があると捉え、サーバやデータベースといった組織が持つ重要なリソースへのアクセスに対して、リスクの観点を踏まえ、様々な観点から慎重な認可を行う「ゼロトラスト」の考え方が注目されている。従来主流だったサイバーセキュリティの考え方は、如何に迅速にサイバー攻撃を検知して対処するかという「事後対処」であったが、ゼロトラストの考え方は、アクセス要求主体(サブジェクト)とリソースとの間における権限、重要度、関係性、または状況などに基づいてアクセス可否を判定することによって、攻撃発生リスクを低減する「事前対処」に属するものである。 To deal with this situation, the idea of "zero trust" has been gaining attention. It considers that communication partners' devices and users, whether inside or outside an organization, may have malicious intent, and carefully approves access to important resources owned by an organization, such as servers and databases, from various perspectives, taking into account the risks. The conventional mainstream approach to cybersecurity has been to "deal after the fact" with how quickly cyber attacks can be detected and dealt with, but the idea of zero trust belongs to "deal before the fact" which reduces the risk of an attack occurring by determining whether or not access should be granted based on the authority, importance, relationship, or situation between the access requesting subject and the resource.
ゼロトラストの詳細な定義はなされていないが、米国政府のセキュリティ政策を管轄するNIST(National Institute of Standards and Technology)は、ガイドライン「NIST SP800-207」のなかで、ゼロトラストに資するアクセス認可の指針として、「認可をセッション単位で実施すること」、及び「認可の際は、端末、ユーザ、及びリソースの識別子などの静的情報に加えて、挙動などの動的情報を活用すること」を示している。 Although there is no detailed definition of zero trust, the National Institute of Standards and Technology (NIST), which oversees security policy for the US government, has stated in its guidelines "NIST SP800-207" that, as a guideline for access authorization that contributes to zero trust, "authorization should be performed on a session-by-session basis," and "when granting authorization, in addition to static information such as identifiers of terminals, users, and resources, dynamic information such as behavior should be utilized."
ここで、特許文献1に開示された技術では、端末とサーバのセッションが開始する直前に、ユーザの認証または認可情報を含む認可要求パケットが端末より送信され、サーバ、若しくは端末とサーバとの間に設置された認可装置によって、認可処理が行われる。そして、上記認可処理によって認可が下りた場合に限り、セッションが確立される。また、特許文献2には、端末の異常な振る舞いを検知した場合に、その旨を電子メールに記録しアクセス制御機器に送信することで、アクセス遮断を行う技術が開示されている。
In the technology disclosed in
ところで、昨今のサイバー攻撃やマルウェアの高速化、及び内部犯行の増加を考えると、端末及び/またはユーザが突然、悪意を持つ攻撃主体に転換する可能性は常にある。このため、リソースを悪意あるアクセスから守るには、いわゆる「端末識別子やユーザ識別子」といった静的情報に加え、「アクセス時のサブジェクトの挙動(プロセスやユーザアクション)」という動的情報を考慮したうえで、リスクを算出し認可を行う必要がある。しかし、現行の認可技術では、このような「セッション単位で、ユーザや端末の挙動に基づく動的認可」を実現することができない、という課題があった。 However, considering the recent increase in the speed of cyber attacks and malware, as well as the increase in internal crimes, there is always the possibility that a terminal and/or user may suddenly turn into a malicious attacker. For this reason, in order to protect resources from malicious access, it is necessary to calculate risks and grant authorization by taking into account dynamic information, such as "subject behavior at the time of access (process or user action)," in addition to static information, such as so-called "terminal identifiers and user identifiers." However, current authorization technology has the problem that it is not possible to realize such "dynamic authorization based on user or terminal behavior on a session-by-session basis."
例えば、特許文献1には、「通信セッション開始の前の事前認可」を実現する技術は開示されているが、通信セッション開始の直前の端末及び/またはユーザの挙動に基づいた「動的認可」の実現方法は開示されていない。また、特許文献2に開示された技術は、電子メールの送受信に掛かる時間を考慮すると、リアルタイム性がある制御は望めない。また、特許文献2に開示された技術は、端末側で異常な振る舞いを検知することが前提とされるため、アクセス先リソースの重要性や属性、リスクなどを取り込んだアクセス制御を実行することができない。すなわち、特許文献1及び特許文献2には、サブジェクトからリソースへのアクセス開始要求のタイミングで、端末及び/またはユーザの直近の挙動情報を収集及び分析して、動的認可を実現する技術は開示されていない。
For example,
また、「セッション単位で、ユーザや端末の挙動に基づく動的認可」を、リアルタイム性を維持し、かつ、端末またはネットワークへの負荷を低減しながら実現するためには、特許文献1に開示されたように、1若しくは少数のIPパケットに、認可に資する挙動情報を全て格納することが望ましい。しかし、ユーザや端末の挙動情報は多岐に亘り、特に端末内で動作しているプロセスの一覧といった情報を1若しくは少数のパケットにそのまま格納することは困難であった。
Furthermore, in order to achieve "dynamic authorization based on the behavior of users or terminals on a session-by-session basis" while maintaining real-time performance and reducing the load on terminals or networks, it is desirable to store all behavior information that contributes to authorization in one or a small number of IP packets, as disclosed in
本発明は以上の点を考慮してなされたもので、ネットワーク及び端末への負荷を抑制しながら、端末及び/またはユーザの直近の挙動に基づいて、リソースへのアクセス要求の動的認可を実現することが可能な動的アクセス認可システム及び動的アクセス認可方法を提案しようとするものである。 The present invention has been made in consideration of the above points, and aims to propose a dynamic access authorization system and a dynamic access authorization method that can realize dynamic authorization of access requests to resources based on the most recent behavior of the terminal and/or user while reducing the load on the network and terminal.
かかる課題を解決するため本発明においては、ユーザ使用する端末からリソース装置が有するリソースへのアクセス要求に対して、前記端末及び/または当該端末のユーザに関する動的な情報に基づいてアクセス要求の認可判定を行う動的アクセス認可システムであって、前記端末に保持される、端末側プログラム及び当該端末側プログラムが参照する端末側データと、前記端末と前記リソース装置との間のネットワークに配置されたアクセス制御装置に保持される、制御装置側プログラム及び当該制御装置側プログラムが参照する制御装置側データと、を備え、前記端末側プログラムは、前記ユーザ及び/または前記端末に関する複数種類の挙動を監視し、定期的に最新の挙動情報を出力する複数の挙動監視部と、前記複数の挙動監視部から出力された複数の前記挙動情報に対して、合計のデータサイズが所定の制限範囲に収まるように調整して、1以上の前記挙動情報を組み合わせた挙動情報一覧を作成する挙動情報調整部と、前記アクセス要求の生成を捕捉し、前記挙動情報調整部によって調整された前記挙動情報一覧を含む認可要求メッセージを作成し、前記認可要求メッセージ及び前記アクセス要求を前記アクセス制御装置に送信する認可要求制御部と、を有し、前記制御装置側プログラムは、前記挙動監視部が出力する前記挙動情報を要素に用いた論理式が記述されたアクセスポリシースクリプトを管理するポリシー管理部と、前記端末から送信された前記認可要求メッセージを受信する認可要求メッセージ受信部と、前記認可要求メッセージを前記アクセスポリシースクリプトに規定された論理式に適用することによって前記認可判定を行うアクセス判定部と、前記アクセス判定部による判定結果に応じて、所定時間内に前記認可要求制御部から受信した前記アクセス要求を前記リソースに通過させるか遮断するかを制御するアクセス制御部と、を有する動的アクセス認可システムが提供される。 In order to solve such problems, the present invention provides a dynamic access authorization system that performs authorization judgment for an access request from a terminal used by a user to a resource owned by a resource device based on dynamic information related to the terminal and/or the user of the terminal, the dynamic access authorization system comprising: a terminal-side program and terminal-side data referenced by the terminal-side program, which are stored in the terminal; and a control device-side program and control device-side data referenced by the control device-side program, which are stored in an access control device disposed in a network between the terminal and the resource device, the terminal-side program comprising: a plurality of behavior monitoring units that monitor a plurality of types of behavior related to the user and/or the terminal and periodically output the latest behavior information; and a behavior information list that combines one or more of the behavior information by adjusting the total data size of the plurality of behavior information output from the plurality of behavior monitoring units so that it falls within a predetermined limit range. A dynamic access authorization system is provided that includes a behavior information adjustment unit that creates an authorization request message including a list of the behavior information adjusted by the behavior information adjustment unit, and an authorization request control unit that captures the generation of the access request, creates an authorization request message including a list of the behavior information adjusted by the behavior information adjustment unit, and transmits the authorization request message and the access request to the access control device, and the control device side program includes a policy management unit that manages an access policy script in which a logical formula using the behavior information output by the behavior monitoring unit as an element is described, an authorization request message receiving unit that receives the authorization request message transmitted from the terminal, an access determination unit that performs the authorization determination by applying the authorization request message to the logical formula defined in the access policy script, and an access control unit that controls whether to pass or block the access request received from the authorization request control unit within a predetermined time to the resource depending on the determination result by the access determination unit.
また、かかる課題を解決するため本発明においては、ユーザ使用する端末からリソース装置が有するリソースへのアクセス要求に対して、前記端末及び/または当該端末のユーザに関する動的な情報に基づいてアクセス要求の認可判定を行う動的アクセス認可システムによる動的アクセス認可方法であって、前記動的アクセス認可システムは、前記端末に保持される、端末側プログラム及び当該端末側プログラムが参照する端末側データと、前記端末と前記リソース装置との間のネットワークに配置されたアクセス制御装置に保持される、制御装置側プログラム及び当該制御装置側プログラムが参照する制御装置側データと、を有し、前記端末側プログラムが、前記ユーザ及び/または前記端末に関する複数種類の挙動を監視し、定期的に最新の挙動情報を出力する挙動監視ステップと、前記端末側プログラムが、前記挙動監視ステップで出力された複数の前記挙動情報に対して、合計のデータサイズが所定の制限範囲に収まるように調整して、1以上の前記挙動情報を組み合わせた挙動情報一覧を作成する挙動情報調整ステップと、前記端末側プログラムが、前記アクセス要求の生成を捕捉し、前記挙動情報調整ステップで調整された前記挙動情報一覧を含む認可要求メッセージを作成し、前記認可要求メッセージ及び前記アクセス要求を前記アクセス制御装置に送信する認可要求制御ステップと、前記制御装置側プログラムが、前記挙動監視ステップで出力される前記挙動情報を要素に用いた論理式が記述されたアクセスポリシースクリプトを管理するポリシー管理ステップと、前記制御装置側プログラムが、前記認可要求制御ステップで前記端末から送信された前記認可要求メッセージを受信する認可要求メッセージ受信ステップと、前記制御装置側プログラムが、前記認可要求メッセージ受信ステップで受信された前記認可要求メッセージを前記アクセスポリシースクリプトに規定された論理式に適用することによって前記認可判定を行うアクセス判定ステップと、前記制御装置側プログラムが、前記アクセス判定ステップの判定結果に応じて、所定時間内に前記認可要求制御ステップで送信された前記アクセス要求を前記リソースに通過させるか遮断するかを制御するアクセス制御ステップと、を備える動的アクセス認可方法が提供される。 In addition, in order to solve such problems, the present invention provides a dynamic access authorization method using a dynamic access authorization system that performs authorization judgment for an access request from a terminal used by a user to a resource owned by a resource device based on dynamic information related to the terminal and/or the user of the terminal, the dynamic access authorization system having a terminal-side program and terminal-side data referenced by the terminal-side program that are held in the terminal, and a control device-side program and control device-side data referenced by the control device-side program that are held in an access control device disposed in a network between the terminal and the resource device, the dynamic access authorization system having a behavior monitoring step in which the terminal-side program monitors multiple types of behavior related to the user and/or the terminal and periodically outputs the latest behavior information, a behavior information adjustment step in which the terminal-side program adjusts the multiple pieces of behavior information output in the behavior monitoring step so that the total data size falls within a predetermined limited range, and creates a behavior information list combining one or more pieces of behavior information, and the terminal-side program generates a behavior information list for the access request, The dynamic access authorization method includes an authorization request control step of capturing the generation of a request, creating an authorization request message including the list of behavior information adjusted in the behavior information adjustment step, and transmitting the authorization request message and the access request to the access control device; a policy management step of the control device side program managing an access policy script in which a logical expression using the behavior information output in the behavior monitoring step as an element is described; an authorization request message reception step of the control device side program receiving the authorization request message transmitted from the terminal in the authorization request control step; an access determination step of the control device side program applying the authorization request message received in the authorization request message reception step to the logical expression defined in the access policy script to perform the authorization determination; and an access control step of the control device side program controlling whether to pass or block the access request transmitted in the authorization request control step to the resource within a predetermined time period depending on the determination result of the access determination step.
本発明によれば、ネットワーク及び端末への負荷を抑制しながら、端末及び/またはユーザの直近の挙動に基づいて、リソースへのアクセス要求の動的認可を実現することができる。 The present invention makes it possible to dynamically authorize requests to access resources based on the most recent behavior of the terminal and/or user while minimizing the load on the network and terminal.
以下、図面を参照して、本発明の実施形態を詳述する。なお、本説明においては断りのない限り、端末からリソースへのアクセス要求はTCP(Transfer Control Protocol)通信により実現されるものとする。また、セッションとは、端末からリソースに対して一定の短期間内に発生する1以上のアクセス要求の集合を示す。例えば、一定の短期間を1秒とした場合、あるアクセス要求R1と、R1が発生してから1秒以内に発生した別のアクセス要求R2とは、同一のセッションに属するものとする。 Below, an embodiment of the present invention will be described in detail with reference to the drawings. In this description, unless otherwise specified, it is assumed that an access request from a terminal to a resource is realized by TCP (Transfer Control Protocol) communication. Furthermore, a session refers to a set of one or more access requests that occur from a terminal to a resource within a certain short period of time. For example, if the certain short period is one second, an access request R1 and another access request R2 that occurs within one second after R1 occurs belong to the same session.
(1)システム構成
図1は、本発明の一実施形態に係る動的アクセス認可システム1の構成例を示す図である。動的アクセス認可システム1は、ユーザが操作する端末10からリソース30に対してアクセスの要求が行われる際に、端末10及び/またはユーザに関する挙動情報を含む認可要求メッセージ510に基づいて、アクセス制御装置20がアクセス要求520をリソース30に通過させるか遮断するかの認可判定を行うことにより、アクセス要求520の動的認可を実現するシステムである。
(1) System Configuration Fig. 1 is a diagram showing an example of the configuration of a dynamic
図1において、動的アクセス認可システム1は、端末側プログラム100、端末設定DB310、挙動監視部装置DB320、認可要求メッセージ履歴DB330、制御装置側プログラム200、アクセス制御設定DB410、アクセスポリシースクリプトDB420、及びアクセス認可情報DB430を備えて構成される。以下、動的アクセス認可システム1の構成を中心に、図1に示した各要素について詳しく説明する。
In FIG. 1, the dynamic
図1に示したように、端末10とアクセス制御装置20との間は通信ネットワーク41で接続され、アクセス制御装置20とリソース30との間は通信ネットワーク42で接続される。通信ネットワーク41,42はそれぞれ、例えばLAN(Local Area Network)であるが、WAN(Wide Area Network)、携帯電話、またはPHSなどの公衆回線網でもよい。通信ネットワーク41には、1以上の端末10及び1以上のアクセス制御装置20が接続され、通信ネットワーク42には、1以上のアクセス制御装置20及び1以上のリソース30が接続される。なお、通信ネットワーク41と通信ネットワーク42は、実体としては同一のネットワークであってもよい。
As shown in FIG. 1, the
詳細は後述するが、動的アクセス認可システム1においては、端末10またはそのユーザがリソース30に対するアクセス要求を作成し実行しようとする際には、端末10から通信ネットワーク41を介してアクセス制御装置20にアクセス要求520が送信される。このとき、端末10は、アクセス要求の作成を捕捉し、アクセス要求の認可判定が必要とされる場合には、アクセス要求520をアクセス制御装置20に送信する前に、端末10及び/またはユーザの挙動情報を載せた認可要求メッセージ510をアクセス制御装置20に送信し、認可判定を依頼する。そしてアクセス制御装置20において、認可要求メッセージ510に基づいてアクセス要求の認可判定が行われ、アクセス要求が認可された場合には、アクセス制御装置20は、端末10から受信して一時的にバッファリングしていたアクセス要求520を、通信ネットワーク42を介して宛先のリソース30に転送する。一方、認可判定の結果、アクセス要求の認可が得られなかった場合には、アクセス制御装置20は、アクセス要求520のリソース30への送信を遮断する。またこのとき、アクセス制御装置20は、管理用端末40に対して管理者通知メッセージ530を送信することができる。
In the dynamic
認可要求メッセージ510は、通信ネットワーク41を介して、端末10からアクセス制御装置20に送信される電信文であり、端末10及び/またはユーザの直近の挙動が暗号化されて格納されている。アクセス制御装置20は、認可要求メッセージ510に基づいてアクセス要求520の通信可否を判断する。本発明では、認可要求メッセージ510は、通信プロトコルとして、TCPとは異なり、通信確立のための制御パケットを必要としないUDP(User Datagram Packet)を使用するものとする。UDPは一般的にTCPより軽量であり、計算機やネットワーク側の負担が小さくリアルタイム性が高い通信を実現する。一方で、パケットロスが発生した場合のリカバリー方法が無いという欠点がある。また、ゼロトラストに資するアクセス認可の指針を満足させるためには、認可要求メッセージ510の送信は、セッション単位で実施されることが好ましい。後述する図9には、認可要求メッセージ510のデータフォーマットの具体例が示される。
The
アクセス要求520は、通信ネットワーク41を介して端末10からアクセス制御装置20に送信され、アクセス制御装置20が通信を許可した場合は、通信ネットワーク42を介してリソース30へと送信される電信文である。前述した通り、本発明で想定するアクセスはTCPであり、アクセス要求520としては、TCPの開始に送信されるTCP SYNパケットを想定する。
The
管理者通知メッセージ530は、アクセス制御装置20における通信制御状況を管理者に通達する電信文であり、管理用端末40を介してその内容が表示される。後述する図10には、管理者通知メッセージ530の具体例として、管理者通知メッセージ530A,530Bが示される。
The
(1-1)端末10
端末10は、パーソナルコンピュータやサーバといった一般的な計算機であり、例えば端末10を使用するユーザの業務において、リソース30へのアクセスを要求するものである。端末10は、OS/アプリケーション11、端末側プログラム100、端末設定DB310、挙動監視部装置DB320、及び認可要求メッセージ履歴DB330を備える。
(1-1)
The terminal 10 is a general-purpose computer such as a personal computer or a server, and requests access to a
OS/アプリケーション11は、一般的なオペレーティングシステム(OS)、及びOS上で動作する一般的なアプリケーション(例えばドキュメント作成ソフト、Webブラウザ、データベースクライアントなど)である。
OS/
端末側プログラム100は、OS/アプリケーション11がリソース30へのアクセスを要求するタイミングにおいて、端末10及び/またはそのユーザの直近の挙動を収集し、認可要求メッセージ510を、端末10とリソース30との通信経路上に位置するアクセス制御装置20に対して送信することで、動的認可を実現する。端末側プログラム100には、1以上の挙動監視部110、挙動情報調整部120、認可要求制御部130、及び認可要求メッセージ送信部140が含まれ、挙動情報調整部120にはさらに、挙動情報圧縮部121及び挙動情報優先付け部122が含まれる。
The terminal-
挙動監視部110は、端末10やそのユーザの挙動を監視し、定期的に、その結果を挙動監視部管理DB320に出力するプログラムである。挙動監視部110は、監視対象となる挙動の種類に応じて複数存在する。例えば、プロセス起動及びネットワーク通信の2種類を監視したい場合、挙動監視部110の個数は2となる。
The
挙動情報調整部120は、挙動監視部110が出力する複数の挙動監視結果を、その価値の損失を出来る限り抑えながら、認可要求メッセージ510に格納可能なデータサイズに収まる形に調整する役割を持つ。挙動情報調整部120には、挙動情報圧縮部121及び挙動情報優先付け部122の2つの機能部が含まれる。
The behavior
挙動情報圧縮部121は、挙動監視部110が出力した「リスト型」の挙動情報のデータサイズを圧縮する機能を有する。リスト型の挙動情報の例としては、端末10上で起動している全ての実行プログラムのハッシュ値の一覧、実行中のサービスプログラムの一覧、一定時間内に通信を行ったことがある端末の識別子の一覧、端末10にインストールされているアプリケーションの一覧などが考えられる。圧縮の方法としては、ZIPなどの可逆型圧縮方式、または後述するBloomFilterに代表される非可逆圧縮方式がある。ハッシュ値など乱数性が高いデータを圧縮するには、非可逆圧縮方式の方が大きな圧縮効果が認められる。
The behavior
挙動情報優先付け部122は、複数種類の挙動情報が与えられた場合に、個々の情報の価値とサイズとを基に、決められたデータサイズに収まるかたちで価値の総和を最大化する挙動情報の組み合わせを決定する機能を有する。
When multiple types of behavior information are given, the behavior
認可要求制御部130は、端末10からリソース30へのアクセス要求を捕捉すると、認可要求メッセージ送信部140に対して認可要求メッセージ510の発行を要求する。また、認可要求制御部130は、アクセス制御装置20における認可要求メッセージ510の処理時間を基に、アクセス要求520を一定時間バッファリングした後、リソース30へ送信する。
When the authorization
認可要求メッセージ送信部140は、認可要求制御部130の指示に基づいて認可要求メッセージ510を作成し、アクセス制御装置20へと送信する。なお、以下の説明では、アクセス要求520を送信する認可要求制御部130と、認可要求メッセージ510を送信する認可要求メッセージ送信部140とを、別の機能部として説明するが、本実施形態に係る動的アクセス認可システム1では、例えば、認可要求制御部130が認可要求メッセージ送信部140による機能を含むように構成されてもよい。
The authorization request
端末設定DB310、挙動監視部管理DB320、及び認可要求メッセージ履歴DB330は、端末10において端末側プログラム100が動作する際に参照される各種情報を格納するデータ保持部である。
The terminal setting DB310, the behavior monitoring unit management DB320, and the authorization request message history DB330 are data storage units that store various information referenced when the
端末設定DB310は、端末側プログラム100の種々の設定に関する情報として、端末設定情報を格納する。後述する図3には、端末設定情報の具体例が示される。
The
挙動監視部管理DB320は、挙動監視部110に関するパラメータ、及び端末10で観測された挙動情報に関連する情報として、挙動監視部管理情報を格納する。後述する図4には、挙動監視部管理情報の具体例が示される。
The behavior monitoring
認可要求メッセージ履歴DB330は、端末10が過去に発行した認可要求メッセージ510の送信日時などに関する情報として、認可要求メッセージ履歴情報を格納する。後述する図5には、認可要求メッセージ履歴情報の具体例が示される。
The authorization request
(1-2)アクセス制御装置20
アクセス制御装置20は、認可要求メッセージ510に対して認可の可否を判定し、その判定結果を基に、アクセス要求520の通過/遮断の処理を実施する計算機であって、例えば、パーソナルコンピュータやサーバといった一般的な計算機で実現することができる。アクセス制御装置20は、制御装置側プログラム200、アクセス制御設定DB410、アクセスポリシースクリプトDB420、及びアクセス認可情報DB430を備える。なお、図1には不図示であるが、アクセス制御装置20も、端末10と同様にOS/アプリケーションを備えると考えてよい。
(1-2)
The
制御装置側プログラム200は、端末10から受信した認可要求メッセージ510に対して、端末10で観測された動的情報(具体的には例えば挙動情報)に基づいてアクセスの認可判定を行い、その判定結果を基に、アクセス要求520を通過あるいは遮断する通過/遮断処理を実施する。制御装置側プログラム200には、ポリシー管理部210、認可要求メッセージ受信部220、挙動情報伸長部230、アクセス判定部240、及びアクセス制御部250が含まれる。
The control
ポリシー管理部210は、アクセス認可を行うためのアクセスポリシースクリプトを管理する。アクセスポリシースクリプトは、XML(eXtensible Markup Language)、JSON(JavaScript Object Notation)、またはテキスト形式で論理式が記述される文書である。アクセスポリシースクリプトは、例えば管理者によって管理用端末40で記述されてアクセス制御装置20に送信され、ポリシー管理部210によってアクセスポリシースクリプトDB420に格納される。
The
認可要求メッセージ受信部220は、端末10から送信された認可要求メッセージ510を受信する機能を有する。
The authorization request
挙動情報伸長部230は、挙動情報圧縮部121によって圧縮された挙動情報を伸長する役割を持つ。なお、本実施形態において挙動情報伸長部230が実行する伸長処理は、挙動情報がZIPなどの可逆圧縮形式で圧縮されている場合は、いわゆる解凍処理にあたる。一方、挙動情報が非可逆圧縮形式で圧縮されている場合は、圧縮された挙動情報内にある特定データ(本実施形態では、後述する「キーワード」及び「圧縮挙動情報キーワード」に相当)が記録されているかどうかを判定し、記録されている場合は特定データを用いて挙動情報を置き換える処理を、伸長処理とする。
The behavior
具体的には例えば、圧縮された挙動情報XにプロセスA,プロセスB,プロセスCなどのプロセスのリストが記録されている場合、挙動情報伸長部230は特定のプロセス(例えばプロセスB)が当該の挙動情報Xに記録されているか否かを判定する。もしプロセスBが記録されていると判定された場合、挙動情報XをプロセスBで置き換える。これにより、後段のアクセス判定部240によるアクセス可否の判定処理(図14のステップS242に示す認可判定)において、アクセスポリシースクリプトと挙動情報との対応を基に、アクセスの可否を判定することができる。
Specifically, for example, if a list of processes such as process A, process B, and process C is recorded in the compressed behavior information X, the behavior
アクセス判定部240は、挙動情報伸長部230により伸長された認可要求メッセージ510を、ポリシー管理部210が管理し、アクセスポリシースクリプトDB420に格納されたアクセスポリシースクリプトに適用することにより、アクセス可否を判定する。
The
アクセス制御部250は、アクセス判定部240による認可判定の判定結果に応じて、アクセス要求520の通過/遮断処理を実施する。
The
アクセス制御設定DB410、アクセスポリシースクリプトDB420、及びアクセス認可情報DB430は、アクセス制御装置20において制御装置側プログラム200が動作する際に参照される各種情報を格納するデータ保持部である。
The access control setting DB410, the access policy script DB420, and the access authorization information DB430 are data storage units that store various information referenced when the control
アクセス制御設定DB410は、アクセス制御装置20の設定に関する情報として、アクセス制御設定情報を格納する。後述する図6には、アクセス制御設定情報の具体例が示される。
The access
アクセスポリシースクリプトDB420は、アクセス認可を行うためのアクセスポリシースクリプトを記録する。前述したように、アクセスポリシースクリプトはポリシー管理部210によって管理される。後述する図7には、アクセスポリシースクリプトの具体例が示される。
The access
アクセス認可情報DB430は、アクセス判定部240によって実行された認可判定の判定結果を示す情報として、アクセス認可情報を記録する。アクセス認可情報は、アクセス制御部250によって利用される。後述する図8には、アクセス認可情報の具体例が示される。
The access
(1-3)リソース30、管理用端末40
リソース30は、端末10からのアクセス要求の対象となるリソースを保持する計算機であって、Webサーバ、データベースサーバ、計算用サーバ、アカウント管理サーバ、またはメールサーバなど、業務で使用される様々な計算機がその対象となる。本説明では、簡略のため、特段の断りがある場合を除き、アクセス要求520でアクセスが要求されるデータとしてのリソースと、当該リソースを保持するリソース装置とを区別することなく、リソース30として記載する。
(1-3)
The
管理用端末40は、管理者が使用する計算機である。先述した通り、管理者は管理用端末40を通じて、アクセス制御装置20のポリシー管理部210にアクセスし、アクセスポリシースクリプトの作成や編集を行う。また、アクセス制御部250によるアクセス要求520の制御結果は、管理者通知メッセージ530として管理用端末40に送信され、管理用端末40のディスプレイ等に表示される。
The
(2)ハードウェア構成
図2は、端末10、アクセス制御装置20、リソース30、及び管理用端末40のハードウェア構成例を示すブロック図である。上記の各装置は、例えば、図2に示したハードウェア構成を有する情報処理装置50によって実現することができる。図2に示した情報処理装置50は、一般的な情報処理装置であって、CPU51、メモリ52、外部記憶装置53、インタフェース(IF)54、及び入出力装置55が、バス56によって互いに接続されて構成される。
(2) Hardware Configuration Fig. 2 is a block diagram showing an example of the hardware configuration of the terminal 10, the
CPU51は、演算処理を行うプロセッサの一例であって、例えばCPU(Central Processing Unit)である。情報処理装置50では、CPU51がメモリ52に記憶されたプログラムを実行することにより、当該装置が有する所定の機能が実現される。具体的には例えば、情報処理装置50が端末10である場合、CPU51は、メモリ52に記憶された端末側プログラム100を実行することにより、各機能の処理ルーチン(挙動監視部110、挙動情報調整部120、認可要求制御部130、認可要求メッセージ送信部140)を具現化する。また例えば、情報処理装置50がアクセス制御装置20である場合、CPU51は、メモリ52に記憶された制御装置側プログラム200を実行することにより、各機能の処理ルーチン(ポリシー管理部210、認可要求メッセージ受信部220、挙動情報伸長部230、アクセス判定部240、アクセス制御部250)を具現化する。
The
メモリ52は、主記憶装置であって、当該装置における各機能部を実現するために必要な実行プログラム(例えば、端末側プログラム100)を記憶する。メモリ52は、上記プログラムの実行に係るデータの短期記憶を行うためにも用いられる。
外部記憶装置53は、HDD(Hard Disk Drive)やSSD(Solid State Drive)等の非一時的な記憶装置であって、主にデータの長期記憶を行うために用いられる。具体的には例えば、情報処理装置50が端末10である場合、端末設定DB310、挙動監視部管理DB320、及び認可要求メッセージ履歴DB330は、当該情報処理装置50の外部記憶装置53によって実現することができる。また例えば、情報処理装置50がアクセス制御装置20である場合、アクセス制御設定DB410、アクセスポリシースクリプトDB420、及びアクセス認可情報DB430は、当該情報処理装置50の外部記憶装置53によって実現することができる。
The
IF54は、通信インタフェース及び入出力インタフェース等の各種インタフェースである。例えば、情報処理装置50が端末10である場合、通信インタフェースとしてのIF54は、端末10を通信ネットワーク41に接続する。また例えば、情報処理装置50がアクセス制御装置20である場合、通信インタフェースとしてのIF54は、アクセス制御装置20を通信ネットワーク41及び通信ネットワーク42に接続する。
IF54 is a variety of interfaces such as a communication interface and an input/output interface. For example, if the
入出力装置55は、ユーザ等による情報処理装置50への各種情報の入力を受け付ける入力装置、及び、情報処理装置50に格納されている情報の外部への出力を行う出力装置である。入力装置としての入出力装置55は、例えば、キーボード、マウス、またはタッチパネルなどである。出力装置としての入出力装置55は、例えば、液晶表示装置、有機EL(Electro Luminescence)ディスプレイ、またはプリンタなどである。
The input/
バス56は、通信線であって、情報処理装置50を構成する各装置(CPU51、メモリ52、外部記憶装置53、IF54、入出力装置55)を接続し、これらの装置間における情報のやり取りを実現する。
The
なお、情報処理装置50においてCPU51が実行するプログラムや当該プログラムが参照するデータの一部または全ては、メモリ52または外部記憶装置53に予め格納されていてもよいし、必要に応じて、IF54を介して、ネットワークで接続された他の装置の非一時的記憶装置から、または非一時的な記憶媒体から、情報処理装置50の外部記憶装置53に格納されるように構成されてもよい。
In addition, some or all of the programs executed by the
(3)データ構成
(3-1)端末設定DB310
図3は、端末設定情報の一例を示す図である。図3の端末設定情報3100は、端末設定DB310に格納される端末設定情報の一例であり、端末側プログラム100における種々の設定項目の情報が記録される。図3に示したように、端末設定情報3100は、ID3101、項目3102、及び値3103の項目を有する。
(3) Data Configuration (3-1)
Fig. 3 is a diagram showing an example of terminal setting information.
ID3101は、データベース内でレコードを一意に識別するための符号である。項目3102は、設定項目を指し示す符号であり、例えば文字列で表される。値3103は、項目3102に対応する値を示すものであり、その値は文字列や数値など任意である。
以下、図3の端末設定情報3100における具体的な記録内容を説明する。
The specific contents recorded in the
ID3101=「1」の項目3102に示す「最大許容データサイズ」は、認可要求メッセージ510に格納可能な挙動情報の最大データサイズを規定する。図3の場合、当該レコードの値3103には「1000byte」が設定されている。
The "maximum allowed data size" shown in
ID3101=「2」の項目3102に示す「挙動情報圧縮方式」は、挙動情報圧縮部121が実行する情報圧縮アルゴリズムを規定する。図3の場合、当該レコードの値3103には「BloomFilter」が設定されている。BloomFilterは、非可逆圧縮アルゴリズムの一種であり、複数のデータをビット配列に登録し、後で任意のデータがビット配列に登録されているかどうかを、一定の誤識別率の下で判定することができる。BloomFilterでは、データのビット配列への登録処理において、登録対象データに複数種類のハッシュ関数を適用して得られたハッシュ値に該当するビット配列の要素を「1」に設定する。そして、データがビット配列に登録されているか否かの判定処理において、判定対象データのハッシュ値に対応するビット配列の要素が全て「1」であるか否かを確認する。なお、BloomFilterは、一般的な可逆圧縮方式よりも高い圧縮率を実現するが、その仕組み上、判定処理において、ビット配列に実際には入っていない(登録されていない)データが、当該ビット配列に登録されている、と誤識別される場合がある。
The "behavior information compression method" shown in
ID3101=「3」の項目3102に示す「最大許容誤識別率」は、ID3101=「2」で述べたBloomFilterの誤識別率の許容値を規定するパラメータである。図3の場合、当該レコードの値3103には「0.0001」が設定されている。
The "Maximum Tolerable Misclassification Rate" shown in
ID3101=「4」の項目3102に示す「推定平均検証時間」は、アクセス制御装置20が認可要求メッセージ510の検証処理に要する時間の推定値を規定する。この推定値は、認可要求制御部130がアクセス要求520のパケットをバッファリングする時間を求める際に使用される。図3の場合、当該レコードの値3103には「200msec」が設定されている。
The "Estimated average verification time" shown in
ID3101=「5」の項目3102に示す「推定通信許可時間」は、アクセス制御装置20が、認可要求メッセージ510を検証した結果、アクセス要求520を許可すると判断した場合に、その判断結果が継続する時間の推定最小値を規定する。図3の場合、当該レコードの値3103には「10sec」が設定されている。
The "Estimated communication permission time" shown in
ID3101=「6」の項目3102に示す「挙動情報圧縮部フラグ」は、認可要求メッセージ510を作成する際に、挙動情報圧縮部121の機能を使用するか否かを規定する。図3の場合、当該レコードの値3103には、使用を意味する「On」が設定されている。
The "behavior information compression unit flag" shown in
ID3101=「7」の項目3102に示す「挙動情報優先付け部フラグ」は、認可要求メッセージ510を作成する際に、挙動情報優先付け部122の機能を使用するか否かを規定する。図3の場合、当該レコードの値3103には、使用を意味する「On」が設定されている。
The "Behavior information prioritization unit flag" shown in
ID3101=「8」の項目3102に示す「挙動更新間隔」は、挙動監視部110が最新の挙動情報を挙動監視部管理DB320(挙動監視部管理情報)に反映する時間間隔を規定する。図3の場合、当該レコードの値3103には「10sec」が設定されている。
The "Behavior update interval" shown in
ID3101=「9」の項目3102に示す「想定最大パケットロス率」は、通信ネットワーク41で発生するパケットロス率の想定される最大値を設定する。図3の場合、当該レコードの値3103には「20%」が設定されている。
The "Expected maximum packet loss rate" shown in
ID3101=「10」の項目3102に示す「自端末秘密鍵」は、認可要求メッセージ510に付与する電子署名の作成に必要な鍵を規定する。図3の場合、当該レコードの値3103には「fa31cf31...」が設定されている。
The "own terminal private key" shown in
ID3101=「11」~「13」の各レコードは、アクセス制御装置20の公開鍵に関する情報であり、認可要求メッセージ510はこれらの公開鍵で暗号化される。本実施形態に係る動的アクセス認可システム1では、端末10がアクセスを要求するリソース30に依存して、認可要求メッセージ510の送信先となるアクセス制御装置20も変わる。図3の場合は、一例として、3台のアクセス制御装置20(個別には、アクセス制御装置X,Y,Z)が通信ネットワーク41に存在すると仮定している。なお、リソース30とアクセス制御装置20との対応付けは、データベースで予め定めて管理するとしてもよいし、リソース30のIPアドレスに基づいて、対応するアクセス制御装置20のIPアドレスを一意に特定するとしてもよい。具体的には例えば、リソース30のIPアドレスが「A.B.C.D」である場合に、対応するアクセス制御装置20のIPアドレスを「A.B.C.1」とすることなどが考えられる。
Each record with ID3101="11" to "13" is information related to the public key of the
ID3101=「11」の項目3102に示す「アクセス制御装置X公開鍵」は、アクセス制御装置Xの公開鍵を規定する。図3の場合、当該レコードの値3103には「a381f13...」が設定されている。
The "Access control device X public key" shown in
ID3101=「12」の項目3102に示す「アクセス制御装置Y公開鍵」は、アクセス制御装置Yの公開鍵を規定する。図3の場合、当該レコードの値3103には「c39ddff1...」が設定されている。
The "Access control device Y public key" shown in
ID3101=「13」の項目3102に示す「アクセス制御装置Z公開鍵」は、アクセス制御装置Zの公開鍵を規定する。図3の場合、当該レコードの値3103には「e390413...」が設定されている。
The "Access control device Z public key" shown in
(3-2)挙動監視部管理DB320
図4は、挙動監視部管理情報の一例を示す図である。図4の挙動監視部管理情報3200は、挙動監視部管理DB320に格納される挙動監視部管理情報の一例であり、挙動監視部110のパラメータ、及び端末10で観測し出力された挙動情報の管理に関する情報が記録される。図4に示したように、挙動監視部管理情報3200は、ID3201、挙動監視部名称3202、タイプ3203、価値3204、出力形式3205、圧縮対象3206、最新挙動情報3207、出力サイズ3208、圧縮後サイズ3209、及び採用フラグ3210の項目を有する。
(3-2) Behavior monitoring
Fig. 4 is a diagram showing an example of behavior monitoring unit management information. Behavior monitoring
ID3201は、データベース内でレコードを一意に識別するための符号である。挙動監視部名称3202は、個々の挙動監視部110の名称を示す。
タイプ3203は、監視対象を基に、挙動監視部110を分類する識別子である。図4では、一例として、「プロセス」、「通信」、「センサ」、「内部犯行」、及び「通信」の5種類の識別子が示されている。
The
価値3204は、挙動監視部110が出力する挙動情報の価値を示す値であり、値が大きいほど価値が高いことを表す。価値3204の値は、端末側プログラム100が端末10にインストールされる前に、管理者によって予め定められる。但し、動的アクセス認可システム1では、システムの運用中に価値3204の値を変更するようにしてもよい。
The
出力形式3205は、挙動監視部110が出力する挙動情報の形式である。図4では、一例として、「整数値」、「リスト」、及び「二値」の3種類の形式が示されている。
The
圧縮対象3206は、挙動監視部110による挙動監視によって出力される挙動情報が、挙動情報圧縮部121による圧縮処理の対象であるか否かを判断するためのフラグである。圧縮対象3206の値が「YES」の場合は、圧縮処理の対象であることを表し、「NO」の場合は圧縮処理の対象ではないことを表す。但し、圧縮対象3206=「YES」の挙動情報であっても、当該挙動情報のデータサイズが、端末設定情報3100のID3101=「1」で示される最大許容データサイズと比べて余裕がある場合には、実際には圧縮処理が行われないこともある。
最新挙動情報3207は、挙動監視部110が出力する最新の挙動情報を記録する。なお、挙動情報圧縮部121によって挙動情報に圧縮処理が実施された後は、最新挙動情報3207には、圧縮後の挙動情報の値が記録される。
The
出力サイズ3208は、最新挙動情報3207のデータサイズを示す。但し、挙動情報圧縮部121による圧縮処理が施された挙動情報については、出力サイズ3208には、圧縮前の挙動情報のデータサイズが記録される。なお、挙動監視部110の仕組みによっては、挙動情報は可変長となるが、その場合、出力サイズ3208の値は、その時々で変化してもよい。
The
圧縮後サイズ3209は、圧縮処理が施された後の挙動情報のデータサイズを示す。なお、挙動情報が圧縮処理の対象外である場合、圧縮後サイズ3209には、「n/a」のように無効を表す値が記録される。
The
採用フラグ3210は、複数の挙動情報の組み合わせを決定する挙動情報優先付け部122による処理の対象であるか否かを示すフラグであり、言い換えれば、当該レコードの挙動情報を要求メッセージ510に載せるか否かの判断結果を示すフラグである。図4では、採用フラグ3210には、「On」または「Off」の値が記録されている。
The
以下、図4の挙動監視部管理情報3200における具体的な記録内容を説明する。
The specific contents recorded in the behavior monitoring
ID3201=「1」のレコードは、挙動監視部名称3202が「不審プロセス起動数」である挙動監視部110に関する情報を保持する。この監視挙動部100は、過去に発生したことがないプロセスが、直近の一定時間以内に発生した回数を、挙動情報として記録する。なお、上記「過去」とは、厳密には、上記「直近の一定時間」よりも前、を意味するものであり、これは、挙動監視部管理情報3200における他のレコードについて後述する際の「過去」についても同様である。また、上記「直近の一定時間」とは、現在時刻を基点とする一定の時間幅を指す。時間幅の具体的な値としては、例えば「10秒」、「1分」、「1時間」など、数秒~数時間の範囲が考えられる。時間幅の値は複数の挙動監視部110で共通の値を設定しても良いし、各挙動監視部110の特性に合わせ個別の値を設定しても良い。また、運用中に設定ファイルなどを通じて値を変更してもよい。挙動情報の記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「プロセス」、価値3204は「5」、出力形式3205は「整数値」、圧縮対象3206は「NO」、最新挙動情報3207は「1」、出力サイズ3208は「4byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「On」が記録されている。
The record with
ID3201=「2」のレコードは、挙動監視部名称3202が「不審通信先数」である挙動監視部110に関する情報を保持する。この監視挙動部100は、端末10が過去に通信した実績は無いが、直近一定時間以内に初めて通信が行われた宛先のユニーク数を、挙動情報として記録する。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「通信」、価値3204は「5」、出力形式3205は「整数値」、圧縮対象3206は「NO」、最新挙動情報3207は「3」、出力サイズ3208は「4byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「On」が記録されている。
The record with
ID3201=「3」のレコードは、挙動監視部名称3202が「プロセスハッシュ値一覧」である挙動監視部110に関する情報を保持する。この監視挙動部100は、端末10で動作しているプロセスのハッシュ値の一覧を、挙動情報として記録する。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「プロセス」、価値3204は「5」、出力形式3205は「リスト」、圧縮対象3206は「YES」、最新挙動情報3207は「83af,321d,415f,...」、出力サイズ3208は「2000byte」、圧縮後サイズ3209は「150byte」、採用フラグ3210は「On」が記録されている。
The record with
ID3201=「4」のレコードは、挙動監視部名称3202が「起動サービス一覧」である挙動監視部110に関する情報を保持する。この監視挙動部100は、端末10内で起動されているサービスの名称一覧を、挙動情報として記録する。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「サービス」、価値3204は「3」、出力形式3205は「リスト」、圧縮対象3206は「YES」、最新挙動情報3207は「a.service,b.service,...」、出力サイズ3208は「1500byte」、圧縮後サイズ3209は「400byte」、採用フラグ3210は「Off」が記録されている。
The record with
ID3201=「5」のレコードは、挙動監視部名称3202が「カメラ有効有無」である挙動監視部110に関する情報を保持する。この監視挙動部100は、端末10の中でカメラ機能が有効化されているか否かを、挙動情報として記録する。具体的には例えば、有効化されている場合は最新挙動情報3207に「True」が記録され、有効化されていない(無効化されている)場合は最新挙動情報3207に「False」が記録される。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「センサ」、価値3204は「2」、出力形式3205は「二値」、圧縮対象3206は「NO」、最新挙動情報3207は「False」、出力サイズ3208は「1byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「On」が記録されている。
The record with
ID3201=「6」のレコードは、挙動監視部名称3202が「マイク有効有無」である挙動監視部110に関する情報を保持する。この監視挙動部100は、端末10の中でマイク機能が有効化されているか否かを、挙動情報として記録する。具体的には例えば、有効化されている場合は最新挙動情報3207に「True」が記録され、有効化されていない(無効化されている)場合は最新挙動情報3207に「False」が記録される。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「センサ」、価値3204は「2」、出力形式3205は「二値」、圧縮対象3206は「NO」、最新挙動情報3207は「True」、出力サイズ3208は「1byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「On」が記録されている。
The record with
ID3201=「7」のレコードは、挙動監視部名称3202が「ユーザアイドル時間」である挙動監視部110に関する情報を保持する。この監視挙動部100は、端末10に対してユーザがキーボードやマウスなどのインタフェースを通じた操作を最後に行った日時と現在日時との差を、挙動情報として記録する。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「ユーザ」、価値3204は「2」、出力形式3205は「二値」、圧縮対象3206は「NO」、最新挙動情報3207は「450」、出力サイズ3208は「4byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「Off」が記録されている。
The record with
ID3201=「8」のレコードは、挙動監視部名称3202が「印刷実行回数」である挙動監視部110に関する情報を保持する。この監視挙動部100は、一定時間内にユーザが印刷を行った回数を、挙動情報として記録する。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「内部犯行」、価値3204は「3」、出力形式3205は「整数値」、圧縮対象3206は「NO」、最新挙動情報3207は「30」、出力サイズ3208は「4byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「On」が記録されている。
The record with
ID3201=「9」のレコードは、挙動監視部名称3202が「USBメモリ挿入有無」である挙動監視部110に関する情報を保持する。この監視挙動部100は、一定時間以内に、従来使用されたことがないUSBメモリが端末10に挿入されたか否かを、挙動情報として記録する。具体的には例えば、従来使用されたことがないUSBメモリが端末10に挿入された場合は最新挙動情報3207に「True」が記録され、上記USBメモリが端末10に挿入されなかった場合は最新挙動情報3207に「False」が記録される。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「内部犯行」、価値3204は「4」、出力形式3205は「二値」、圧縮対象3206は「NO」、最新挙動情報3207は「False」、出力サイズ3208は「1byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「Off」が記録されている。
The record with
ID3201=「10」のレコードは、挙動監視部名称3202が「アップロード通信量」である挙動監視部110に関する情報を保持する。この監視挙動部100は、一定時間内に発生した、インターネット上の計算機へのデータ送信量の最大値を、挙動情報として記録する。記録には、OS/アプリケーション11が提供するAPIを利用する。図4の場合、当該レコードにおいて、タイプ3203は「通信」、価値3204は「5」、出力形式3205は「」、圧縮対象3206は「NO」、最新挙動情報3207は「1310」、出力サイズ3208は「4byte」、圧縮後サイズ3209は「n/a」、採用フラグ3210は「On」が記録されている。
The record with
(3-3)認可要求メッセージ履歴DB330
図5は、認可要求メッセージ履歴情報の一例を示す図である。図5の認可要求メッセージ履歴情報3300は、認可要求メッセージ履歴DB330に格納される認可要求メッセージ履歴情報の一例であり、端末10が過去に発行した認可要求メッセージ510について、送信先や送信日時などの情報が記録される。図5に示したように、認可要求メッセージ履歴情報3300は、ID3301、宛先アクセス制御装置3302、及び認可要求メッセージ送信日時3303の項目を有する。
(3-3) Authorization Request
Fig. 5 is a diagram showing an example of authorization request message history information. The authorization request
ID3301は、データベース内でレコードを一意に識別するための符号である。宛先アクセス制御装置3302は、認可要求メッセージ510の宛先とされたアクセス制御装置20を示す情報である。認可要求メッセージ送信日時3303は、宛先アクセス制御装置3302で指定されたアクセス制御装置20に対して認可要求メッセージ510を送信した日時である。
The
以下、図5の認可要求メッセージ履歴情報3300における具体的な記録内容を説明する。
The specific contents recorded in the authorization request
ID3301=「1」のレコードは、アクセス制御装置Xを宛先として、「2021-03-08 15:00:00」、「2021-03-08 15:00:01」、及び「2021-03-08 15:00:02」の日時に、認可要求メッセージ510が送信されたことを意味する。
The record with
ID3301=「2」のレコードは、アクセス制御装置Yを宛先として、「2021-03-08 13:00:00」及び「2021-03-08 14:00:00」の日時に、認可要求メッセージ510が送信されたことを意味する。
The record with
ID3301=「3」のレコードは、アクセス制御装置Zを宛先として、「2021-03-08 16:00:00」及び「2021-03-08 16:00:10」の日時に、認可要求メッセージ510が送信されたことを意味する。
The record with
(3-4)アクセス制御設定DB410
図6は、アクセス制御設定情報の一例を示す図である。図6のアクセス制御設定情報4100は、アクセス制御設定DB410に格納されるアクセス制御設定情報の一例であり、アクセス制御装置20における種々の設定項目の情報が記録される。図6に示したように、アクセス制御設定情報4100は、ID4101、項目4102、及び値4103の項目を有する。
(3-4) Access
Fig. 6 is a diagram showing an example of access control setting information. Access
ID4101は、データベース内でレコードを一意に識別するための符号である。項目4102は、設定項目を指し示す符号であり、例えば文字列で表される。値4103は、項目4102に対応する値を示すものであり、その値は文字列や数値など任意である。
The
以下、図6のアクセス制御設定情報4100における具体的な記録内容を説明する。
The specific contents recorded in the access
ID4101=「1」の項目4102に示す「制御装置秘密鍵」は、アクセス制御設定情報4100を保持するアクセス制御装置20が管理する秘密鍵を規定する。図6の場合、当該レコードの値4103には「1cf32d31...」が設定されている。
The "control device private key" shown in
ID4101=「2」~「4」の各レコードは、アクセス制御装置20にアクセスする可能性がある端末10の公開鍵に関する情報である。具体的には、ID4101=「2」の項目4102に示す「端末A公開鍵」は、端末Aの公開鍵を規定しており、図6の場合、当該レコードの値4103は「1deaf13...」である。また、ID4101=「3」の項目4102に示す「端末B公開鍵」は、端末Bの公開鍵を規定しており、図6の場合、当該レコードの値4103は「f3932cf1...」である。また、ID4101=「4」の項目4102に示す「端末C公開鍵」は、端末Cの公開鍵を規定しており、図6の場合、当該レコードの値4103は「c3d0436...」である。
Each record with ID4101="2" to "4" is information related to the public key of a terminal 10 that may access the
ID4101=「5」の項目4102に示す「情報伸長対象監視部」は、圧縮処理が行われる可能性がある挙動監視部110の挙動監視部名称3202を規定する。本説明の構成では、図6に示したように、値4103に「プロセスハッシュ値一覧」及び「起動サービス一覧」が規定されている。
The "information decompression target monitoring unit" shown in
ID4101=「6」の項目4102に示す「遮断モード」は、アクセス判定部240によるアクセスの認可判定の結果、通信遮断が決定された場合に設定される遮断モードを規定する。当該レコードの値4103には、選択可能な遮断モードのフラグが記録される。具体的には例えば、通信遮断が決定された以後のアクセス要求520を完全に遮断する遮断モードのフラグを「完全遮断」とし、通信遮断が決定された以後の一定の遮断期間の後に、無条件にアクセス要求520を許可する期間を設ける遮断モードのフラグを「一時遮断」とする。「一時遮断」の遮断モードが選択された場合は、正常な通信が誤判断によって遮断されてしまった場合でも、その後の一定の通信許可期間を設けることにより、上記正常な通信の遮断によって業務が完全に停止することを回避することが可能となる。
The "shutdown mode" shown in
ID4101=「7」の項目4102に示す「通信遮断間隔」は、「一時遮断」の遮断モードが行われる場合の遮断期間の長さを規定する。図6の場合、当該レコードの値4103の値は「30sec」である。
The "Communication cutoff interval" shown in
ID4101=「8」の項目4102に示す「通信通過間隔」は、アクセス判定部240によりアクセス要求520の通信通過が許可された場合、あるいはアクセス要求520の通信が一時遮断されて通信遮断期間が過ぎた場合に、無条件にアクセス要求520の通過が許可される期間(通信許可期間)の長さを規定する。この通信許可期間が経過した後は、再び認可要求メッセージ510が認可されるまで、アクセス要求520は遮断される。図6の場合、当該レコードの値4103の値は「40sec」である。なお、一旦、認可要求メッセージ510が認可された通信は、通信通過間隔の規定に拘わらず、通信終了まで遮断されることはないとする。
The "communication passing interval" shown in
(3-5)アクセスポリシースクリプトDB420
図7は、アクセスポリシースクリプトの一例を示す図である。図7のアクセスポリシースクリプト4200は、アクセスポリシースクリプトDB420に格納されるアクセスポリシースクリプトの一例であり、アクセス制御部250が認可要求メッセージ510に対する認可判定の処理を行う際に参照される。図7に示したように、アクセスポリシースクリプト4200は、ID4201、スクリプト4202、及び圧縮挙動情報キーワード4203の項目を有する。
(3-5) Access
Fig. 7 is a diagram showing an example of an access policy script. An
ID4201は、データベース内でレコードを一意に識別するための符号である。 ID4201 is a code that uniquely identifies a record within the database.
スクリプト4202には、アクセスポリシーのスクリプトが記述される。アクセスポリシースクリプトには、アクセス元である端末10の属性を示す“subject”、アクセス先であるリソース30の属性を示す“resource”、及び端末10で観測された挙動情報である“behavior”の3つの観点から論理式が記述される。そして、認可要求メッセージ510に含まれる内容が全ての論理式が満たしている場合に限り、“judgement”の記載に従って、通過または遮断の判定を行う。“subject”の属性としては、端末10のIPアドレスや識別子、端末10を操作しているユーザ名やアカウントID、あるいはユーザの職位、所属組織名、与えられたセキュリティクリアランスなどが考えられる。“resource”の属性としては、リソース30のIPアドレス、提供するサービスのタイプなどが考えられる。
The
圧縮挙動情報キーワード4203は、挙動情報伸長部230による圧縮挙動情報伸長化処理(後述する図15参照)において、非可逆圧縮処理が施された挙動情報内に記録されているか否かの確認対象とされる「キーワード」を示す。圧縮挙動情報キーワード4203に記載されるキーワードは、スクリプト4202の記述から、アクセス制御設定情報4100のID4101=「5」で指定された情報伸長対象監視部の値4103に該当する値を抽出したものである。
The compressed
以下、図7のアクセスポリシースクリプト4200における具体的な記録内容を説明する。
The specific contents recorded in the
ID4201=「1」であるレコードのスクリプト4202は、“judgement”=「通過」となるアクセスポリシースクリプトの一例である。subjectが満たす要件として、端末10を操作しているユーザ名が“Alice”であることが規定されている。次に“resource”が満たす要件として、リソース30のIPアドレスが“10.0.0.8/8”に含まれることが規定されている。次に“behavior”としては3つの挙動情報に関する論理式が規定されている。複数の論理式が規定されている場合、その中の1つ以上あるいは全てを満たす必要がある。ここでは“AND”により全ての論理式を満たす必要があることを規定している。1つ目の論理式は、挙動監視部管理情報3200のID3201=「1」で指定された「不審プロセス起動数」が20未満であることが規定されている。2つ目の論理式は、挙動監視部管理情報3200のID3201=「7」で指定された「ユーザアイドル時間」が120秒以内であることが規定されている。3つ目の論理式は、挙動監視部管理情報3200のID3201=「4」で指定された「起動サービス一覧」に、“アンチウイルスX”及び“セキュリティサービスY”が含まれることを規定している。そして、当該レコードにおける圧縮挙動情報キーワード4203には、“アンチウイルスX”及び“セキュリティサービスY”が記載されている。
ID4201=「2」であるレコードのスクリプト4202は、“judgement”=「遮断」となるアクセスポリシースクリプトの一例である。“subject”が満たす要件として、端末10を操作しているユーザのセキュリティクリアランスが“H”であることが規定されている。次に“resource”が満たす要件として、リソース30が提供するサービスのタイプが“データベース”であることが規定されている。次に“behavior”では、挙動監視部管理情報3200のID3201=「3」で指定された「プロセスハッシュ値一覧」の中に“3abe4b2”または“ffa3bf23”が含まれることが規定されている。そして、当該レコードにおける圧縮挙動情報キーワード4203には、“3abe4b2”及び“ffa3bf23”が記載されている。
(3-6)アクセス認可情報DB430
図8は、アクセス認可情報の一例を示す図である。図8のアクセス認可情報4300は、アクセス認可情報DB430に格納されるアクセス認可情報の一例であり、アクセス判定部240によって実行された認可判定の判定結果を示す情報が記録される。アクセス制御部250は、アクセス認可情報に従って、アクセス要求520の通過/遮断処理を行う。図8に示したように、アクセス認可情報4300は、ID4301、端末IPアドレス4302、リソースIPアドレス4303、メッセージタイムスタンプ4304、通信遮断期間4305、及び通信通過期間4306の項目を有する。
(3-6) Access
Fig. 8 is a diagram showing an example of access authorization information.
ID4301は、データベース内でレコードを一意に識別するための符号である。端末IPアドレス4302は、通過若しくは遮断の対象となる端末10のIPアドレスを示す。リソースIPアドレス4303は、端末10がアクセス要求するリソース30のIPアドレスを示す。メッセージタイムスタンプ4304は、認可要求メッセージ510の認可判定が行われた日時を示す。
The
通信遮断期間4305は、認可判定の判定結果が「一時遮断」となった場合に、通信を遮断する期間を示す。認可判定の結果が「完全遮断」または「通過」となった場合は、通信遮断期間4305には「N/A」が記載される。なお、通信遮断期間の開始日時と終了日時との差分は、アクセス制御設定情報4100においてID4101=「7」の「通信遮断間隔」レコードで規定される。
The
通信通過期間4306は、端末IPアドレス4302からリソースIPアドレス4303に対してアクセス要求520の通過を許可する期間を示す。この期間を過ぎた場合、アクセス要求520は須らく遮断される。なお、通信通過期間の開始日時と終了日時との差分は、アクセス制御設定情報4100においてID4101=「8」の「通信通過間隔」レコードで規定される。
The
なお、図8に例示したアクセス認可情報4300では、リソース30の宛先ポート番号が項目に含まれていないが、変形例として、アクセス認可情報に宛先ポート番号を含むようにして、宛先のポート番号によって通信の通過/遮断の制御を実行可能にしてもよい。このようにする場合、例えば、80番ポートへの通信は許可するが、443番ポートへの通信は遮断するといった制御も可能である。
In the
以下、図8のアクセス認可情報4300における具体的な記録内容を説明する。
The specific contents recorded in the
ID4301=「1」のレコードは、端末IPアドレス4302=「10.0.0.1」、リソースIPアドレス4303=「20.0.0.1」、メッセージタイムスタンプ4304=「20:23:10」、通信遮断期間4305=「20:23:10~20:23:40」、通信通過期間4306=「20:23:40~20:24:20」である。
The record with
ID4301=「2」のレコードは、端末IPアドレス4302=「10.0.0.1」、リソースIPアドレス4303=「20.0.0.2」、メッセージタイムスタンプ4304=「21:00:00」、通信遮断期間4305=「N/A」、通信通過期間4306=「21:00:00~21:00:40」である。
The record with
ID4301=「3」のレコードは、端末IPアドレス4302=「10.0.0.2」、リソースIPアドレス4303=「20.0.0.2」、メッセージタイムスタンプ4304=「22:12:03」、通信遮断期間4305=「22:12:03~22:12:33」、通信通過期間4306=「22:12:33~22:13:13」である。
The record with
(3-7)各種メッセージ
図9は、認可要求メッセージ510のデータフォーマットの一例を示す図である。図9に示すデータフォーマット5100は、認可要求メッセージ510のデータフォーマットの一例であり、データフォーマット5100は、ID5101及び項目5102を有して構成される。
(3-7) Various Messages Fig. 9 is a diagram showing an example of the data format of the
ID5101は、認可要求メッセージ510内の各項目5102を一意に識別するための符号である。項目5102は、各項目を指し示す符号であり、例えば文字列で表される。
The
以下、図9のデータフォーマット5100における各項目の詳細な内容を説明する。
The following describes the details of each item in the
ID5101=「1」の項目5102に示す「タイムスタンプ」は、認可要求メッセージ510が作成された日時を示す。この情報は、攻撃者が、盗聴した認可要求メッセージ510を何度もアクセス制御装置20に送信して不正な認可を行おうとするリプレイアタックを防ぐために用いられる。
The "timestamp" shown in
ID5101=「2」の項目5102に示す「端末識別子・属性」は、端末10を識別するための端末識別子、及び端末10の属性情報を示す。端末識別子には、例えばIPアドレスや計算機名称などを用いることができ、属性情報には、例えば端末10の種類や用途などに関する情報を用いることができる。
The "Terminal Identifier/Attributes" shown in
ID5101=「3」の項目5102に示す「ユーザ識別子・属性」は、端末10を操作するユーザを識別するためのユーザ識別子、及びユーザの属性情報を示す。ユーザ識別子には、例えばユーザ名や従業員番号などを用いることができ、属性情報には、例えばユーザのセキュリティクリアランスや所属などを用いることができる。
The "User Identifier/Attributes" shown in
ID5101=「4」の項目5102に示す「アクセス先リソース識別子・属性」は、認可要求メッセージ510に対応するアクセス要求520がアクセスを要求するリソース30(アクセス先リソース)を識別するためのアクセス先リソース識別子、及び当該アクセス先リソースの属性情報を示す。アクセス先リソース識別子には、例えば、アクセス先リソースのIPアドレスや計算機名称などを用いることができる。また、当該リソース30のサービスが提供しているポート番号をアクセス先リソース識別子に含めてもよい。属性情報には、例えば、当該リソース30の種類や用途などに関する情報を用いることができる。
The "destination resource identifier/attributes" shown in
ID5101=「5」の項目5102に示す「挙動情報一覧」には、認可要求メッセージ510に含まれる挙動情報の一覧が記載される。言い換えれば、ID5101=「5」の項目5102に示す「挙動情報一覧」には、挙動監視部管理情報3200においてあるタイミングで採用フラグ3210が「On」となる挙動情報が記載される。なお、「挙動情報一覧」に記載される挙動情報は、挙動監視部110の識別子ごとに記載されており、後から特定の挙動監視部110に関わる挙動情報のみを抜き出すことができるものとする。
The "Behavior Information List" shown in
ID5101=「6」の項目5102に示す「共通鍵」には、ID5101=「1」~「5」の各項目を暗号化するための共通鍵暗号が記載される。また、共通鍵自体は、端末設定情報3100のID3101=「11」~「13」に記録された、アクセス制御装置20の公開鍵で暗号化される。
The "shared key" shown in
ID5101=「7」の項目5102に示す「端末側の電子署名」には、端末設定情報3100のID3101=「10」に記録された自端末秘密鍵を用いて計算された電子署名が記載される。
The "Terminal side electronic signature" shown in
なお、認可要求メッセージ510の送信においては、ID5101=「1」~「6」の項目は、全て暗号化された状態で送信されることが好ましい。
When transmitting the
図10は、管理者通知メッセージ530の一例を示す図である。図10には、管理者通知メッセージ530の具体例として、管理者通知メッセージ530A及び管理者通知メッセージ530Bが示されている。
Figure 10 is a diagram showing an example of an
管理者通知メッセージ530A,530では、端末10からリソース30へのアクセス要求が「完全遮断」されるに至った判断理由が、端末10若しくはユーザの挙動の観点から述べられている。より具体的には、管理者通知メッセージ530Aでは、挙動監視部管理情報3200のID3201=「7」で指定される「ユーザアイドル時間」の挙動情報が規定の値を上回ったことが理由として述べられている。一方、管理者通知メッセージ530Aでは、挙動監視部管理情報3200のID3201=「4」で指定される「起動サービス一覧」の挙動情報が条件を満たさなかったことが理由として述べられている。
In
(4)処理
以下では、ユーザによる操作などに応じて端末10からリソース30へのアクセス要求が行われる際に、動的アクセス認可システム1が実行する処理について、詳しく説明する。
(4) Processing The following describes in detail the processing executed by the dynamic
(4-1)端末10による処理
図11は、端末10側で実施される処理手順例を示すシーケンス図である。なお、図11では、挙動情報圧縮部121及び挙動情報優先付け部122による処理は、挙動情報調整部120による処理として記載されている。
(4-1) Processing by the terminal 10 Fig. 11 is a sequence diagram showing an example of a processing procedure performed on the terminal 10 side. Note that in Fig. 11, the processing by the behavior
図11に示した挙動監視部110は、挙動監視部管理DB320に保持される挙動監視部管理情報3200の各レコードに記載された挙動監視部に相当する。図11に示すように、これらの挙動監視部110はそれぞれ、端末10やユーザの挙動を監視する(ステップS101)。
The
そして、挙動監視部110は、ステップS101の監視結果に基づいて、挙動監視部管理情報3200の最新挙動情報3207を更新するとともに、定期的に、挙動情報調整部120に対して挙動情報の更新通知を行う(ステップS102)。挙動監視部110は、ステップS102で更新通知を行った後は、ステップS101に戻り、挙動監視を繰り返す。
Then, the
なお、ステップS102における挙動監視部管理情報3200の更新間隔は、端末設定DB310に保持される端末設定情報3100におけるID3101=「8」のレコードに記載された挙動更新間隔に従う。これらの構成により、端末側プログラム100に掛かる演算負荷と、挙動情報のリアルタイム性とのバランスを調整することができる。
The update interval of the behavior monitoring
挙動情報調整部120は、ステップS102で挙動監視部110から送信された挙動情報の更新通知を受信する(ステップS111)。次いで、挙動情報調整部120は、挙動監視部管理情報3200の出力サイズ3208に記載されている各挙動情報のデータサイズを合計し、その合計値が最大許容データサイズ(端末設定情報3100のID=「1」のレコードを参照)を超えるか否かを確認する(ステップS112)。ステップS112において、挙動情報の合計値が最大許容データサイズを超える場合は(ステップS112のYES)、ステップS113に進み、挙動情報の合計値が最大許容データサイズ以下である場合は(ステップS112のNO)、ステップS115に進む。
The behavior
ステップS113では、挙動情報調整部120の一部である挙動情報圧縮部121が、以下に説明する所定の条件を満足する挙動情報に対して圧縮処理を行う。詳しくは、挙動情報圧縮部121は、端末設定情報3100のID3101=「6」で指定された「挙動情報圧縮部フラグ」を確認し、当該フラグが「On」である場合に、圧縮処理の対象となる挙動情報(挙動監視部管理情報3200において圧縮対象3206=「YES」となっている挙動情報)の最新挙動情報3207に対して、端末設定情報3100のID3101=「2」で指定された圧縮方式に従って、圧縮処理を行う。一方、「挙動情報圧縮部フラグ」が「Off」である場合には、挙動情報圧縮部121は、ステップS113の処理を終了してステップS114に進む。
In step S113, the behavior
また、ステップS113において挙動情報圧縮部121は、圧縮処理の結果を最新挙動情報3207及び圧縮後サイズ3209に反映する。そして、圧縮処理後も挙動情報のデータサイズの合計値が最大許容データサイズを超える場合には、ステップS114に進む。
In addition, in step S113, the behavior
なお、ステップS113における圧縮処理の仕組みは、端末設定情報3100のID3101=「2」で指定される「挙動情報圧縮方式」に依存する。ここで、挙動情報圧縮方式としてBloomFilerを使う場合は、各挙動情報のハッシュ値に対応する位置にあるビット配列の要素を「1」に設定する。例えば、圧縮対象の挙動情報に対応する挙動監視部110が、挙動監視部管理情報3200のID3201=「4」に示された「起動サービスの一覧」である場合は、「a.service」及び「b.service」のハッシュ値を基に、ビット配列を操作する。
The mechanism of the compression process in step S113 depends on the "behavior information compression method" specified by
ステップS114では、挙動情報調整部120の一部である挙動情報優先付け部122が、以下に詳述する手順によって、認可要求メッセージ510に載せる挙動情報の組み合わせを算出する優先付け処理を行う。
In step S114, the behavior
優先付け処理ではまず、挙動情報優先付け部122は、端末設定情報3100のID3101=「7」で指定された「挙動情報優先付け部フラグ」を確認する。「挙動情報優先付け部フラグ」が「Off」である場合には、実質的な優先付け処理が不要であることを意味するため、挙動情報優先付け部122は、全ての採用フラグ3210を「On」に設定し、ステップS115に進む。
In the prioritization process, the behavior
「挙動情報優先付け部フラグ」が「On」である場合には、挙動情報優先付け部122は、送信対象となる挙動情報の合計値が最大許容データサイズ以下になる制約の中で、送信対象とする挙動情報の価値3204の合計値が最大化する挙動情報の組み合わせを導出する。上記組み合わせの導出後は、ステップS115に進む。
When the "behavior information prioritization unit flag" is "On", the behavior
上記の挙動情報の組み合わせ導出には、遺伝的アルゴリズムや線形計画法などの数理処理を用いることができる。例えば、遺伝的アルゴリズムを使用した場合、送信対象とする挙動情報の組み合わせ(集合)の候補をランダムに一定数、生成する。そして、その中で合計サイズが最大許容データサイズ以下で、価値3204の合計値が比較的高い集合に対して、ランダムな操作や他の集合との掛け合わせなどの操作を繰り返し行い、より価値が高い集合を逐次的に求めていく。そして、繰り返し回数が規定回数を超えた時点で、最も価値が高い集合に含まれる最新挙動情報3207を送信対象として、挙動情報の組み合わせを導出する。
Mathematical processing such as genetic algorithms and linear programming can be used to derive the above combinations of behavior information. For example, when using a genetic algorithm, a fixed number of candidates for combinations (sets) of behavior information to be transmitted are randomly generated. Then, among these, operations such as random operations and multiplication with other sets are repeatedly performed on sets whose total size is equal to or less than the maximum allowable data size and whose
また、様々な観点で動的認可を行うという点では、出来る限り異なるタイプ3203の挙動情報を含む集合を組み合わせることが望ましい。そこで、集合に含まれるタイプの種類を、最適な集合を導出する際のパラメータとして用いてもよい。例えば、遺伝的アルゴリズムの例では、価値3204の合計値に、集合に含まれるタイプ3203の種類を掛け合わせたものを、集合の価値として使用してもよい。具体的には例えば、挙動監視部管理情報3200のID3201=「2」,「10」の挙動情報を組み合わせた場合、タイプ3203の種類は同一であることから、この組み合わせによる価値は(5+5)×1=10となり、出力サイズ3208の合計値は8byteとなる。一方、ID3201=「1」,「2」の挙動情報を組み合わせた場合には、タイプ3203の種類が異なることから、この組み合わせによる価値は(5+5)×2=20となり、出力サイズ3208の合計値は8byteとなる。したがって、この場合は、出力サイズの合計値が同じでも、ID3201=「1」,「2」の挙動情報を組み合わせた方が、価値が高く望ましいといえる。
In addition, in terms of performing dynamic authorization from various viewpoints, it is desirable to combine sets including behavior information of
ステップS115では、挙動情報調整部120が、ステップS112~S114の処理結果に基づいて、認可要求メッセージ510に採用する挙動情報を確定する。詳しくは、ステップS112の判定結果が「NO」である場合(言い換えると、ステップS114の優先付け処理が実施されなかった場合)、挙動情報調整部120は、挙動監視部管理情報3200における全てのレコードの採用フラグ3210を「On」に設定し、全ての挙動情報を認可要求メッセージ510による送信対象とする。一方、ステップS112の判定結果が「YES」である場合(言い換えると、ステップS114の優先付け処理が実施された場合)、挙動情報調整部120は、挙動監視部管理情報3200において、ステップS114で選択された集合に含まれる挙動情報に対応する採用フラグ3210を「On」に設定し、その他の挙動情報に対応する採用フラグ3210を「Off」に設定する。
In step S115, the behavior
以上ステップS111~S115の処理が行われることにより、最終的に挙動監視部管理情報3200において採用フラグ3210が「On」に設定されたレコードの挙動情報が、認可要求メッセージ510に含めて送信される挙動情報として決定される。そして、ステップS115の処理の完了後は、ステップS111に戻り、挙動情報調整部120は、挙動情報の更新通知を待機する。
By carrying out the above processing of steps S111 to S115, the behavior information of the record in which the
認可要求制御部130は、端末10やユーザによるアクセス要求520の作成を監視し、アクセス要求520が作成されたときにはこれを捕捉する(ステップS121)。
The authorization
認可要求制御部130は、ステップS121でアクセス要求520の作成を捕捉すると、当該アクセス要求520に対して認可要求メッセージ510の作成が必要であるか否かを判定する(ステップS122)。
When the authorization
ここで、認可要求メッセージ510の作成要否を判定する最も簡素な方法は、捕捉したすべてのアクセス要求520に対して、それぞれ認可要求メッセージ510を作成する方法である。一方、短時間のうちに多数のアクセス要求520が作成される場合には、必ずしもすべてのアクセス要求520に対して認可要求メッセージ510を作成する必要はない。また、通信ネットワーク41上においてはパケットロスが発生する可能性が常に存在するため、過去に端末10から送信したすべての認可要求メッセージがアクセス制御装置20によって受理されるとは限らない、という問題もある。そこで、本実施形態の認可要求制御部130は、ステップS122において、図12に詳述する認可要求メッセージ要否判定処理を実行することによって、認可要求メッセージ510の作成要否を判定する。
The simplest method for determining whether or not an
図12は、認可要求メッセージ要否判定処理の処理手順例を示すフローチャートである。上述したように、認可要求メッセージ要否判定処理は、認可要求制御部130によって実行される。
Figure 12 is a flowchart showing an example of the processing procedure for determining whether an authorization request message is necessary. As described above, the authorization request message necessity determination process is executed by the authorization
図12によればまず、認可要求制御部130は、現在日時を基点に、端末設定情報3100においてID3101=「5」で指定される「推定通信許可時間」以内の過去に、アクセス要求520の送信先のリソース30に対応するアクセス制御装置20に向けて認可要求メッセージ510を送信した送信回数をカウントし、送信の有無を判定する(ステップS141)。上記送信回数は、認可要求メッセージ履歴DB330に保持されている認可要求メッセージ履歴情報3300を参照することによって計数できる。送信回数が「0」以外である場合は(ステップS141のYES)、ステップS142に進む。一方、送信回数が「0」である場合は(ステップS141のNO)、ステップS143に進む。
According to FIG. 12, first, the authorization
ステップS142では、認可要求制御部130は、ステップS141でカウントした送信回数(認可要求メッセージ送信回数)と、端末設定情報3100においてID3101=「9」で指定される「想定最大パケットロス率」と、を引数とする所定の関数によって、「送信確率」を算出する。この算出値は、「送信確率」を示す内部パラメータにセットされる。送信確率を算出する関数の一例としては、「想定最大パケットロス率」に対して、認可要求メッセージ送信回数をべき乗する関数が考えられる。ステップS142の処理後はステップS144に進む。
In step S142, the authorization
一方、ステップS143に進んだ場合、認可要求制御部130は、「送信確率」の内部パラメータに「1.0」を設定し、ステップS144に進む。
On the other hand, if the process proceeds to step S143, the authorization
ステップS144では、認可要求制御部130は、ステップS142またはステップS143で設定された「送信確率」に比例する形で、認可要求メッセージ510の送信要否を判定する。例えば、「送信確率」=「1.0」の場合は、必ず認可要求メッセージ510を送信する必要があると判定されるため、後述するステップS132で認可要求メッセージ510が必ず送信されることになる。
In step S144, the authorization
以上、ステップS141~S144の処理が実行されることにより、認可要求制御部130は、捕捉したアクセス要求520に対して認可要求メッセージ510の作成が必要であるか否かを判定することができる。
By executing the processes in steps S141 to S144, the authorization
図11の説明に戻る。ステップS122の処理が終了した後、認可要求制御部130は、ステップS122において認可要求メッセージ510の作成が必要と判定されたか否か(言い換えれば、認可要求メッセージ510の送信が決定されたか否か)を確認する(ステップS123)。認可要求メッセージ510の作成が必要と判定された場合は(ステップS123のYES)、ステップS124に進み、認可要求メッセージ510の作成が不要と判定された場合は(ステップS123のNO)、ステップS121に戻る。
Returning to the explanation of FIG. 11, after the processing of step S122 is completed, the authorization
ステップS124では、認可要求制御部130は、認可要求メッセージ510の作成要求を認可要求メッセージ送信部140に送信する。認可要求メッセージ送信部140側の処理は後述する。
In step S124, the authorization
ステップS124の処理後、認可要求制御部130は、最後に認可要求メッセージ510を送信してから、ステップS121で捕捉したアクセス要求520を送信するまでに待機する時間間隔(送信間隔)を計算する(ステップS125)。
After processing step S124, the authorization
ここで、上記の送信間隔が短すぎると、アクセス制御装置20における認可要求メッセージ510に対する認可判定が完了する前に、アクセス要求520が端末10から送信されてアクセス制御装置20に到着してしまい、アクセス制御装置20において正常に通信を確立できなくなる。一方、上記送信間隔が長すぎると、通信効率が悪化してしまう。そこで、本実施形態の認可要求制御部130は、ステップS125において、図13に詳述する送信間隔演算処理を実行することによって、アクセス要求520を送信するまでの待機時間に相当する「送信間隔」を算出する。
Here, if the transmission interval is too short, the
図13は、送信間隔演算処理の処理手順例を示すフローチャートである。上述したように、送信間隔演算処理は、認可要求制御部130によって実行される。
Figure 13 is a flowchart showing an example of the processing procedure for the transmission interval calculation process. As described above, the transmission interval calculation process is executed by the authorization
図13によればまず、認可要求制御部130は、端末設定情報3100においてID3101=「5」で指定される「推定通信許可時間」以内の過去に、認可要求メッセージ510を送信したか否かを判定する(ステップS151)。過去の認可要求メッセージ510の送信履歴は、認可要求メッセージ履歴DB330に保持されている認可要求メッセージ履歴情報330を参照することによって確認できる。推定通信許可時間以内の過去に認可要求メッセージ510を送信した履歴が存在する場合は(ステップS151のYES)、ステップS152に進む。一方、推定通信許可時間以内の過去に認可要求メッセージ510を送信した履歴が存在しない場合は(ステップS151のNO)、ステップS153に進む。
According to FIG. 13, first, the authorization
ステップS152では、認可要求制御部130は、端末設定情報3100においてID3101=「4」で指定される「推定平均検証時間」と、最後に認可要求メッセージ510を送信した日時から現在日時までの経過時間と、を引数とする所定の関数によって、「送信間隔」を算出する。この算出値は、「送信間隔」を示す内部パラメータにセットされる。送信間隔を算出する関数の一例としては、待ち行列理論では処理時間の分布は指数分布で示されることが多いことを利用して、「送信間隔=経過時間×EXP(-1×経過時間/推定平均検証時間)」の算出式から送信間隔を算出するようにしてもよい。ステップS152の処理が完了すると、認可要求制御部130は送信間隔演算処理を終了する。
In step S152, the authorization
一方、ステップS153に進んだ場合、認可要求制御部130は、「送信間隔」の内部パラメータに「推定平均検証時間」を設定し、送信間隔演算処理を終了する。
On the other hand, if the process proceeds to step S153, the authorization
以上、ステップS151~S153の処理が実行されることにより、認可要求制御部130は、捕捉したアクセス要求520を送信するまでに待機する時間間隔(送信間隔)を算出することができる。
By executing the processes of steps S151 to S153 as described above, the authorization
図11の説明に戻る。ステップS125の処理が終了した後、認可要求制御部130は、ステップS125で計算された送信間隔が経過するまで、処理を待機する(ステップS126)。
Returning to the explanation of FIG. 11, after the processing of step S125 is completed, the authorization
そして、送信間隔が経過した後は、認可要求制御部130は、ステップS121で捕捉して待機させていたアクセス要求520をアクセス制御装置20に送信し、その後はステップS121に戻る。
After the transmission interval has elapsed, the authorization
次に、認可要求メッセージ送信部140の処理を説明する。認可要求メッセージ送信部140は、まず、ステップS124で認可要求制御部130から送信された認可要求メッセージ510の作成要求を受信する(ステップS131)。
Next, the processing of the authorization request
次いで、認可要求メッセージ送信部140は、挙動監視部管理情報3200において採用フラグ3210が「On」に設定されている挙動情報を、図9に示したデータフォーマット5100に載せて、認可要求メッセージ510を作成し、アクセス制御装置20に送信する(ステップS132)。なお、ステップS132における認可要求メッセージ510の作成において、挙動情報は、データフォーマット5100のID5101=「5」で指定される「挙動情報一覧」のレコードに記載される。このとき、より具体的には、採用フラグ3210が「On」に設定されたそれぞれの挙動情報は、挙動監視部管理情報3200における該当レコードのID3210及び最新挙動情報3207のペアで表され、該当する全ての挙動情報をまとめた情報が、「挙動情報一覧」として、認可要求メッセージ510に組み込まれる。
Then, the authorization request
そして、認可要求メッセージ510の送信後、認可要求メッセージ送信部140は、認可要求メッセージ履歴DB330に保持される認可要求メッセージ履歴情報3300を更新し、具体的には、該当するレコードにおいて、上記認可要求メッセージ510の送信日時を認可要求メッセージ送信日時3303に追記する。以上の処理が終了した後、認可要求メッセージ送信部140は、ステップS131の処理に戻る。
After transmitting the
(4-2)アクセス制御装置20による処理
図14は、アクセス制御装置20側で実施される処理手順例を示すシーケンス図である。図14に示したシーケンスは、アクセス要求の認可処理を行うための準備を行う設定フェイズと、実際に認可処理を行う運用フェイズとに分かれており、少なくとも運用フェイズが開始される前の時点で設定フェイズが完了される。
(4-2) Processing by the
まず、設定フェイズに含まれる処理として、ポリシー管理部210によって実行されるステップS201~S202の処理、及び挙動情報伸長部230によって実行されるステップS211~S212の処理について説明する。
First, we will explain the processes included in the setting phase, namely, steps S201 to S202 executed by the
設定フェイズにおいて、ポリシー管理部210は、アクセスポリシースクリプト4200を作成するためのユーザインタフェースを管理者に対して提供する(ステップS201)。上記ユーザインタフェースでは、管理者は、スクリプト4202に記載されるスクリプト文を直接作成してもよいし、既知の自動入力支援などを用いて、より簡易な形でスクリプトの作成を行うとしてもよい。
In the setting phase, the
そして、ポリシー管理部210は、ステップS201で提供されたユーザインタフェースを利用して管理者が作成したアクセスポリシースクリプトを、アクセスポリシースクリプトDB420に保存する(ステップS202)。
Then, the
設定フェイズにおいて、挙動情報伸長部230は、アクセスポリシースクリプトDB420に保持されたアクセスポリシースクリプト4200の各レコードを読み込む(ステップS211)。
In the setting phase, the behavior
そして、挙動情報伸長部230は、ステップS211で読み込んだアクセスポリシースクリプト4200(スクリプト4202)のうちから、アクセス制御設定情報4100においてID4101=「5」で指定される「情報伸長対象監視部」に関する記述を探し、アクセス制御に用いられる要素を抽出し、当該レコードの圧縮挙動情報キーワード4203に記録する(ステップS212)。具体的には、図7におけるID4201=「1」のレコードの場合は、「情報伸長対象監視部」に記載された「起動サービス一覧」に含まれる「アンチウイルスX」及び「セキュリティサービスY」が該当する。同様に、ID4201=「2」のレコードの場合は、「プロセスハッシュ値一覧」に含まれる「3abe4b2...」及び「ffa3bf23...」が該当する。
Then, the behavior
以下では、運用フェイズに含まれる処理として、認可要求メッセージ受信部220によって実行されるステップS221~S225の処理、挙動情報伸長部230によって実行されるステップS231~S233の処理、アクセス判定部240によって実行されるステップS241~S243の処理、及びアクセス制御部250によって実行されるステップS251~S252の処理について説明する。
Below, the processes included in the operation phase are described as steps S221 to S225 executed by the authorization request
まず、認可要求メッセージ受信部220は、図11のステップS132において端末10の認可要求メッセージ送信部140から送信された認可要求メッセージ510を、受信する(ステップS221)。
First, the authorization request
次に、認可要求メッセージ受信部220は、ステップS221で受信した認可要求メッセージ510を、アクセス制御設定情報4100においてID4101=「1」に示される「制御装置秘密鍵」と、認可要求メッセージ510のID5101=「6」に示される「共通鍵」とを使って復号するとともに、認可要求メッセージ510のID5101=「7」に示される「端末側の電子署名」を検証し、改ざんがないことを確認する(ステップS222)。さらに、ステップS222において、認可要求メッセージ受信部220は、認可要求メッセージ510のID5101=「1」に示される「タイムスタンプ」を現在日時と比較して、認可要求メッセージ510がリプレイアタックに類するものではないことを確認する。
Next, the authorization request
次に、認可要求メッセージ受信部220は、ステップS222で復号化された認可要求メッセージ510に含まれるID5101=「5」の「挙動情報一覧」を挙動情報伸長部230に送信し、圧縮されている挙動情報の伸長化を依頼する(ステップS223)。
Next, the authorization request
次に、認可要求メッセージ受信部220は、ステップS223で依頼した挙動情報の伸長化が行われた後の挙動情報(挙動情報一覧)を挙動情報伸長部230から受信して、認可要求メッセージ510におけるID5101=「5」の「挙動情報一覧」の値を、伸長化された挙動情報に置き換える(ステップS224)。
Next, the authorization request
次に、認可要求メッセージ受信部220は、ステップS224の処理後の認可要求メッセージ510をアクセス判定部240に送信し、認可判定を依頼する(ステップS225)。ステップS225の処理後は、ステップS221に戻る。
Next, the authorization request
挙動情報伸長部230は、ステップS223で認可要求メッセージ受信部220から挙動情報一覧の伸長化が依頼されたとき、この挙動情報一覧を受信する(ステップS231)。なお、以下では、ステップS231で受信する挙動情報一覧には、圧縮処理が施された挙動情報が含まれているとして説明するが、必ずしもすべての挙動情報について圧縮処理が施されている必要はなく、また、すべての挙動情報が圧縮処理されていない場合もあり得る。但し、挙動情報一覧に含まれるすべての挙動情報が圧縮処理されていない場合は、ステップS231~S233の処理は実質的に不要であることから、例えば認可要求メッセージ受信部220がステップS223~S224の処理をスキップするようにしてもよい。
When the behavior
次に、挙動情報伸長部230は、ステップS231で受信した挙動情報一覧に含まれる1以上の挙動情報に対して、圧縮されている挙動情報を伸長化する圧縮挙動情報伸長化処理を実行する(ステップS232)。
Next, the behavior
図15は、圧縮挙動情報伸長化処理の処理手順例を示すフローチャートである。上述したように、圧縮挙動情報伸長化処理は、挙動情報伸長部230によって実行される。
Figure 15 is a flowchart showing an example of the processing procedure for the compressed behavior information decompression process. As described above, the compressed behavior information decompression process is executed by the behavior
図15によればまず、挙動情報伸長部230は、アクセスポリシースクリプトDB420に保持されているアクセスポリシースクリプト4200にアクセスし、圧縮挙動情報キーワード4203を収集する(ステップS261)。
According to FIG. 15, first, the behavior
次に、挙動情報伸長部230は、認可要求メッセージ受信部220から受け取った「挙動情報一覧」に含まれる挙動情報のうちから、アクセス制御設定情報4100のID4101=「5」に指定された「情報伸長対象監視部」に該当する挙動監視部110による挙動情報を1つずつ選択し、以下のステップS263~S265の処理を行う(ステップS262)。
Next, the behavior
ステップS263では、挙動情報伸長部230は、ステップS261で収集した圧縮挙動情報キーワード4203から、ステップS262で選択した挙動情報に該当するキーワードのそれぞれについて、1つずつキーワードを選択してステップS264~S265の処理を行う。図7に示したアクセスポリシースクリプト4200を用いる場合、「アンチウイルスX」、「セキュリティサービスY」、「3abe4b2...」、及び「ffa3bf3bf23...」が、上記キーワードに該当する。
In step S263, the behavior
ステップS264では、挙動情報伸長部230は、ステップS262で選択した挙動情報に、ステップS263で選択したキーワードが含まれているか否かを確認する。上記挙動情報に上記キーワードが含まれている場合は(ステップS264のYES)、ステップS265に進む。一方、上記挙動情報に上記キーワードが含まれていない場合は(ステップS264のNO)、ステップS263に戻り、次のキーワードが選択される。
In step S264, the behavior
ステップS264においてキーワードを確認する方法は、端末設定情報3100のID3101=「2」で指定された「挙動情報圧縮方式」によって異なる。例えば、挙動情報圧縮方式がBloomFilterである場合、圧縮された挙動情報はビット配列である。このため、ステップS264において挙動情報伸長部230は、図11のステップS113において挙動情報調整部120がBloomFilterを使って挙動情報を圧縮するときの処理と同様に、キーワードのハッシュ値に該当する要素が「1」であるか否かを判断することによって、挙動情報のビット配列にキーワードが含まれるか否かを判断することができる。具体的には例えば、「挙動サービス一覧」に該当する挙動情報がビット配列であり、「アンチウイルスX」という文字列のハッシュ値に対応する要素が「1」であれば、当該挙動情報には「アンチウイルスX」が含まれることになる。
The method of checking the keyword in step S264 differs depending on the "behavior information compression method" specified by
ステップS265では、挙動情報伸長部230は、ステップS262で選択した挙動情報に、ステップS263で選択したキーワードを、例えば平文で追記する。
In step S265, the behavior
そして、ステップS265の処理後は、ステップS263に戻り、次のキーワードが選択される。また、すべてのキーワードに対してステップS264~S265の処理が完了すると、ステップS262に戻り、次の挙動情報が選択される。さらに、すべての挙動情報に対してステップS263~S265の処理が完了すると、挙動情報伸長部230は、圧縮挙動情報伸長化処理を終了する。
After processing in step S265, the process returns to step S263, and the next keyword is selected. When the processes in steps S264 to S265 are completed for all keywords, the process returns to step S262, and the next behavior information is selected. When the processes in steps S263 to S265 are completed for all behavior information, the behavior
以上のように圧縮挙動情報伸長化処理が行われることにより、非可逆圧縮方式で圧縮処理された挙動情報からは含まれるキーワードを直接参照できなかったところを、ステップS265でキーワードが追加されることによって、伸長化処理後の挙動情報からは含まれるキーワードを直接参照できるようになる。 By performing the compressed behavior information decompression process as described above, the keywords contained in the behavior information compressed using a lossy compression method cannot be directly referenced, but by adding the keywords in step S265, the keywords contained in the behavior information after decompression can be directly referenced.
図14の説明に戻る。ステップS232の処理が終了した後、挙動情報伸長部230は、ステップS232で伸長化した挙動情報一覧(詳述すれば、キーワードを追加した挙動情報からなる挙動情報一覧)を認可要求メッセージ受信部220に返信する(ステップS233)。ステップS233の終了後は、ステップS231に戻る。
Returning to the explanation of FIG. 14, after the processing of step S232 is completed, the behavior
アクセス判定部240は、ステップS225で認可要求メッセージ受信部220から送信された認可要求メッセージ510に対する認可判定の依頼を受信する(ステップS241)。
The
次に、アクセス判定部240は、アクセスポリシースクリプトDB420に保持されたアクセスポリシースクリプト4200のスクリプト4202に基づいて、ステップS241で受信した認可要求メッセージ510の内容を判定し、アクセスの可否を判定する認可判定を行う(ステップS242)。
Next, the
ステップS242において、アクセス判定部240は、アクセスポリシースクリプト4200においてID4201の値が小さいスクリプトから順々に適用する。そして、認可要求メッセージ510が、スクリプト4202内の“subject”、“resource”、及び“behavior”の全ての条件を満たす場合に、“judgement”の記載内容が最終的に、アクセスの認可判定の判定結果とされる。なお、アクセスポリシースクリプト4200において、上記した全ての条件を満たすスクリプト4202が存在しない場合には、予め定められたデフォルトの判定結果が適用される。デフォルトの判定結果は、「通過」または「遮断」の何れかとする。
In step S242, the
次に、アクセス判定部240は、ステップS242の判定結果に基づいて、アクセス認可情報DB430に保持されるアクセス認可情報4300を更新する(ステップS243)。
Next, the
ステップS243において、認可判定の判定結果が「通過」である場合は、図8のアクセス認可情報4300のID4301=「2」に示されたように、通信遮断期間4305が指定されずに(N/Aが設定されて)、通信通過期間4306が設定される。
In step S243, if the result of the authorization decision is "pass," as shown in
一方、ステップS243において、認可判定の判定結果が「遮断」である場合は、アクセス認可情報4300のID4301=「6」に指定される「遮断モード」の設定内容(「完全遮断」または「一時遮断」)に応じて、異なる内容でアクセス認可情報4300が更新される。具体的には、遮断モードが「一時遮断」の場合、図8のアクセス認可情報4300のID4301=「1」または「3」に示されたように、通信遮断期間4305及び通信通過期間4306が設定される。また、遮断モードが「完全遮断」の場合には、少なくとも通信遮断期間4305が設定される。このとき、通信通過期間4306は、所定の長期間が設定されるとしてもよいが、特に期間が指定されない(N/Aが設定される)としてもよい。
On the other hand, in step S243, if the result of the authorization decision is "blocked", the
また、ステップS243において、認可判定の判定結果が「遮断」で、遮断モードが「完全遮断」の場合には、アクセス判定部240は、アクセスを遮断する旨の認可判定が下された旨を通知する管理者通知メッセージ530を作成し(図10参照)、これを管理用端末40に送信する。この結果、管理者は管理用端末40を介して管理者通知メッセージ530を閲覧することにより、アクセス遮断の判定が行われたことを認知することができる。
In addition, in step S243, if the result of the authorization decision is "blocked" and the blocking mode is "complete blocking," the
以上のようにステップS243の処理が行われた後は、ステップS241に戻る。 After the processing of step S243 has been performed as described above, the process returns to step S241.
アクセス制御部250は、図11のステップS127において端末10の認可要求制御部130から送信されたアクセス要求520を、受信する(ステップS251)。
The
次に、アクセス制御部250は、ステップS251で受信したアクセス要求520と、アクセス認可情報DB430に保持されているアクセス認可情報4300における各レコードとを比較し、アクセス要求520を通過させるべきか遮断するべきかを決定し、当該決定の結果に従って、アクセス要求520に対する制御を行う(ステップS252)。
Next, the
ステップS252における通過/遮断の決定について詳しく説明すると、アクセス制御部250は、アクセス認可情報4300の各レコードのうちから、端末IPアドレス4302及びリソースIPアドレス4303に基づいて、アクセス要求520の送信元の端末10と宛先のリソース30との組み合わせに合致するレコードを選別し、さらに、アクセス要求520の送信日時(あるいは現在日時)と、上記選別したレコードにおける通信遮断期間4305または通信通過期間4306とを比較することによって、アクセス要求520に対する通過/遮断の決定を行うことができる。すなわち、アクセス要求520の送信日時(あるいは現在日時)が、選別したレコードにおける通信通過期間4306に含まれる場合は、アクセス要求520を通過させると決定する。一方、アクセス要求520の送信日時(あるいは現在日時)が、選別したレコードにおける通信遮断期間4305に含まれる場合は、アクセス要求520を遮断すると決定する。
To explain in detail the pass/block decision in step S252, the
そして、ステップS252において、アクセス制御部250は、アクセス要求520を通過させると決定した場合は、宛先のリソース30に向けてアクセス要求520を転送する。一方、アクセス要求520を遮断すると決定した場合は、アクセス要求520のリソース30への転送を行わない。以上、ステップS252の処理が終了した後は、再びステップS251に戻る。
Then, in step S252, if the
以上、図11~図15に示した処理が行われることにより、動的アクセス認可システム1では、端末10からリソース30へのアクセス要求が発生したとき、セッション単位で、端末10からアクセス制御装置20に、ユーザや端末10の挙動情報を含む認可要求メッセージ510が送信され、アクセス制御装置20において、認可要求メッセージ510をアクセスポリシースクリプト4200と比較することによって、アクセス要求をリソース30に通過させるか遮断するかの認可判定が行われ、その判定結果に基づいてアクセス要求520の制御が行われる。また、アクセス制御装置20に送信される認可要求メッセージ510は、端末10において圧縮処理や優先付け処理が行われることで、適切なセキュリティレベル及びデータサイズとすることができる。これらの結果、本実施形態に係る動的アクセス認可システム1によれば、通信ネットワーク41,42及び端末10への負荷を抑制しながら、端末10及び/またはユーザの直近の挙動に基づいて、リアルタイムに、リソース30へのアクセス要求520の動的認可を実現することができる。
As described above, in the dynamic
(5)変形例
なお、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。
(5) Modifications The present invention is not limited to the above-described embodiment, but includes various modifications.
(5-1)変形例1
図1では、アクセス制御装置20をリソース30とは別に独立した装置として示したが、動的アクセス認可システム1の一変形例として、アクセス制御装置20は、リソース30に内包される形態で実現してもよい。この場合、図1に示した制御装置側プログラム200はソフトウェアの形態をとってリソース30に備えられ、端末10からリソース30に送信される認可要求メッセージ510及びアクセス要求520を受信して、上述した制御装置側プログラム20としての処理を行う。
(5-1)
1, the
(5-2)変形例2
図11では、挙動情報調整部120内の処理として、ステップS113で挙動情報圧縮部121が挙動情報の圧縮処理を行った後に、ステップS114において挙動情報優先付け部122が認可要求メッセージ510に載せる挙動情報の組み合わせを算出する優先付け処理を行うとしたが、動的アクセス認可システム1の一変形例として、挙動情報調整部120は、ステップS113の圧縮処理とステップS114の優先付け処理の何れか一方だけを実行するとしてもよい。また、圧縮処理及び優先付け処理の両方を実行するとした場合には、処理の実行順番を入れ替えてもよい。すなわち、挙動情報優先付け部122による優先付け処理(ステップS114)を、挙動情報圧縮部121による圧縮処理(ステップS113)よりも先に実行するようにしてもよい。
(5-2)
11, as the processing in the behavior
図11に示したように圧縮処理の後に優先付け処理を行う場合には、端末設定情報3100のID3101=「6」で指定された「挙動情報圧縮部フラグ」が「On」である挙動情報を圧縮した後で優先付け処理を行うことから、挙動情報の合計値のデータサイズに拘わらず、最終的に認可要求メッセージ510に載せられる挙動情報一覧のデータサイズを可能な限り小さくする効果に期待できる。一方、上記変形例のように圧縮処理よりも前に優先付け処理を行う場合には、例えば、優先付け処理の終了時点で挙動情報のデータサイズの合計値を計算し、この合計値が最大許容データサイズ(端末設定情報3100のID=「1」のレコードを参照)に収まる場合(十分に小さい場合)には圧縮処理をスキップしてもよい。また、優先付け処理の終了時点で最大許容データサイズを超える場合には、圧縮処理を実行し、圧縮処理後に最大許容データサイズに収まる範囲で挙動情報を選択する(優先付け処理の結果を考慮する)ことにより、挙動情報認可要求メッセージ510に載せられる挙動情報一覧を決定することができる。上記のように、圧縮処理がスキップされるときには、圧縮処理による処理負荷の増大を抑制できるだけでなく、伸長化処理も不要になることで、処理負荷の更なる抑制効果にも期待できる。
When the prioritization process is performed after the compression process as shown in FIG. 11, the behavior information whose "behavior information compression unit flag" specified by
(5-3)変形例3
図7では、アクセス要求時に認可要求メッセージ510に対する認可判定において比較されるアクセスポリシースクリプト4200が例示され、スクリプト4202には「不要プロセス起動数」や「ユーザアイドル時間」などといった挙動に関する動的情報が判断基準として記述されていたが、動的アクセス認可システム1の一変形例として、認可判定において比較される要素は、上述した挙動に関する情報に限定されず、その他の種別の情報を含むものであってもよい。具体的には例えば、日時、曜日、または休日/平日などの要素もスクリプト4202に記述されてよい。
(5-3)
7 illustrates an
また、上述した実施形態では、図4で挙動監視部管理情報3200の挙動監視部名称3202で指定される挙動監視部110による挙動情報を、認可要求メッセージ510に記載される可能性がある情報(言い換えると、認可判定において比較される情報)としたが、動的アクセス認可システム1の一変形例として、端末10の中にインストールされているパッチプログラムやOS/アプリケーションのバージョン情報といった比較的静的な情報を認可要求メッセージ510に載せるようにしてもよく(上述した動的な挙動情報と組み合わせて載せるようにしてもよい)、これらを参照してアクセス制御を行うようにしてもよい。この場合、例えばアクセスポリシースクリプト4200において、上記静的な情報を要素に用いた論理式が記述されておくことにより、アクセス判定部240が静的な情報も考慮した認可判定を実行することができる。かくして、動的アクセス認可システム1は、動的情報だけでなく、既存技術で用いられる静的情報とも組み合わせて、アクセス要求に対する認可判定及びアクセス制御を実現することができる。
In the above embodiment, the behavior information by the
なお、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 The above-mentioned embodiment has been described in detail to clearly explain the present invention, and is not necessarily limited to having all of the configurations described. In addition, it is possible to add, delete, or replace part of the configuration of the embodiment with other configurations.
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計するなどによりハードウェアで実現してもよい。また、上記の各構成及び機能などは、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイルなどの情報は、メモリや、ハードディスク、SSD(Solid State Drive)などの記録装置、または、ICカード、SDカード、DVDなどの記録媒体に置くことができる。 Furthermore, the above-mentioned configurations, functions, processing units, processing means, etc. may be realized in hardware, in part or in whole, for example by designing them as integrated circuits. Furthermore, the above-mentioned configurations and functions, etc. may be realized in software, by a processor interpreting and executing a program that realizes each function. Information such as the programs, tables, and files that realize each function can be stored in a memory, a recording device such as a hard disk or SSD (Solid State Drive), or a recording medium such as an IC card, SD card, or DVD.
また、図面において制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際にはほとんど全ての構成が相互に接続されていると考えてもよい。 In addition, the control lines and information lines shown in the drawings are those that are considered necessary for explanation, and do not necessarily show all control lines and information lines on the product. In reality, it can be assumed that almost all components are interconnected.
1 動的アクセス認可システム
10 端末
11 OS/アプリケーション
20 アクセス制御装置
30 リソース
40 管理用端末
41,42 通信ネットワーク
50 情報処理装置
51 CPU
52 メモリ
53 外部記憶装置
54 インタフェース(IF)
55 入出力装置
56 バス
100 端末側プログラム
110 挙動監視部
120 挙動情報調整部
121 挙動情報圧縮部
122 挙動情報優先付け部
130 認可要求制御部
140 認可要求メッセージ送信部
200 制御装置側プログラム
210 ポリシー管理部
220 認可要求メッセージ受信部
230 挙動情報伸長部
240 アクセス判定部
250 アクセス制御部
310 端末設定DB
320 挙動監視部管理DB
330 認可要求メッセージ履歴DB
410 アクセス制御設定DB
420 アクセスポリシースクリプトDB
430 アクセス認可情報DB
510 認可要求メッセージ
520 アクセス要求
530,530A,530B 管理者通知メッセージ
3100 端末設定情報
3200 挙動監視部管理情報
3300 認可要求メッセージ履歴情報
4100 アクセス制御設定情報
4200 アクセスポリシースクリプト
4300 アクセス認可情報
5100 データフォーマット
REFERENCE SIGNS
52
55 Input/
320 Behavior monitoring unit management DB
330 Authorization request message history DB
410 Access control setting DB
420 Access policy script DB
430 Access authorization information DB
510
Claims (13)
前記端末に保持される、端末側プログラム及び当該端末側プログラムが参照する端末側データと、
前記端末と前記リソース装置との間のネットワークに配置されたアクセス制御装置に保持される、制御装置側プログラム及び当該制御装置側プログラムが参照する制御装置側データと、
を備え、
前記端末側プログラムは、
前記ユーザ及び/または前記端末に関する複数種類の挙動を監視し、定期的に最新の挙動情報を出力する複数の挙動監視部と、
前記複数の挙動監視部から出力された複数の前記挙動情報のうちから、合計のデータサイズが所定の制限範囲以内で、各前記挙動情報に付与される価値の合計値を最大化する前記挙動情報の組み合わせを算出する、優先付け処理を実行する挙動情報優先付け部を有し、前記合計値を最大化する前記挙動情報を組み合わせた挙動情報一覧を作成する挙動情報調整部と、
前記アクセス要求の生成を捕捉し、前記挙動情報調整部によって調整された前記挙動情報一覧を含む認可要求メッセージを作成し、前記認可要求メッセージ及び前記アクセス要求を前記アクセス制御装置に送信する認可要求制御部と、
を有し、
前記制御装置側プログラムは、
前記挙動監視部が出力する前記挙動情報を要素に用いた論理式が記述されたアクセスポリシースクリプトを管理するポリシー管理部と、
前記端末から送信された前記認可要求メッセージを受信する認可要求メッセージ受信部と、
前記認可要求メッセージを前記アクセスポリシースクリプトに規定された論理式に適用することによって前記認可判定を行うアクセス判定部と、
前記アクセス判定部による前記認可判定で前記アクセス要求が認可されなかった場合に、前記アクセス要求を第1の所定時間に亘って遮断した後、第2の所定時間に亘って前記アクセス要求の通過を許可する一時遮断のアクセス制御を実行可能とするアクセス制御部と、
を有する
ことを特徴とする動的アクセス認可システム。 1. A dynamic access authorization system for determining authorization of an access request from a terminal used by a user to a resource owned by a resource device, based on dynamic information related to the terminal and/or a user of the terminal, comprising:
A terminal-side program and terminal-side data referenced by the terminal-side program, both of which are stored in the terminal;
A control device side program and control device side data referenced by the control device side program, which are held in an access control device disposed in a network between the terminal and the resource device;
Equipped with
The terminal side program is
A plurality of behavior monitoring units that monitor a plurality of types of behavior related to the user and/or the terminal and periodically output the latest behavior information;
a behavior information prioritization unit that performs a prioritization process to calculate a combination of the behavior information output from the behavior information output from the behavior monitoring units that maximizes a total value of a value assigned to each of the behavior information within a predetermined limit range of total data size, and a behavior information adjustment unit that creates a behavior information list combining the behavior information that maximizes the total value ;
an authorization request control unit that captures generation of the access request, creates an authorization request message including the list of behavior information adjusted by the behavior information adjustment unit, and transmits the authorization request message and the access request to the access control device;
having
The control device side program
a policy management unit that manages an access policy script in which a logical expression using the behavior information output by the behavior monitoring unit as an element is written;
an authorization request message receiving unit that receives the authorization request message transmitted from the terminal;
an access decision unit that makes the authorization decision by applying the authorization request message to a logical expression defined in the access policy script;
an access control unit that is capable of executing a temporary blocking access control for blocking the access request for a first predetermined time and then permitting passage of the access request for a second predetermined time when the access request is not authorized in the authorization determination by the access determination unit;
A dynamic access authorization system comprising:
非可逆圧縮方式で前記挙動情報の前記データサイズを圧縮する圧縮処理を実行する挙動情報圧縮部をさらに有し、
前記制御装置側プログラムは、
前記認可要求メッセージ受信部が受信した前記認可要求メッセージに含まれる前記挙動情報一覧を構成する1以上の前記挙動情報に対して、前記挙動情報圧縮部によって圧縮された前記挙動情報のなかに前記アクセスポリシースクリプトで指定されるキーワードが記録されているか否かを判断する伸長化処理を実行する挙動情報伸長部をさらに有する
ことを特徴とする請求項1に記載の動的アクセス認可システム。 The behavior information adjustment unit is
A behavior information compression unit that performs a compression process to compress the data size of the behavior information using a lossy compression method,
The control device side program
2. The dynamic access authorization system according to claim 1, further comprising a behavior information decompression unit that executes a decompression process for determining whether or not a keyword specified in the access policy script is recorded in the behavior information compressed by the behavior information compression unit, for one or more of the behavior information constituting the behavior information list included in the authorization request message received by the authorization request message receiving unit.
前記伸長化処理において、前記挙動情報圧縮部によって圧縮された前記挙動情報のなかに前記アクセスポリシースクリプトで指定されるキーワードが記録されているか否かを判断した結果、前記キーワードが記録されていると判断した場合には、当該キーワードを当該挙動情報に追加する
ことを特徴とする請求項2に記載の動的アクセス認可システム。 The behavior information decompression unit
3. The dynamic access authorization system according to claim 2, wherein in the decompression process, as a result of judging whether or not a keyword specified in the access policy script is recorded in the behavior information compressed by the behavior information compression unit, if it is judged that the keyword is recorded, the keyword is added to the behavior information.
前記複数の挙動監視部から出力された前記複数の挙動情報に対して、前記挙動情報圧縮部による前記圧縮処理を行った後、前記挙動情報優先付け部による前記優先付け処理を実行することにより、前記挙動情報一覧を作成する
ことを特徴とする請求項3に記載の動的アクセス認可システム。 The behavior information adjustment unit is
The dynamic access authorization system according to claim 3, characterized in that the behavior information list is created by performing the compression process by the behavior information compression unit on the plurality of behavior information output from the plurality of behavior monitoring units, and then performing the prioritization process by the behavior information prioritization unit on the plurality of behavior information output from the plurality of behavior monitoring units.
前記複数の挙動監視部から出力された前記複数の挙動情報に対して、前記挙動情報優先付け部による前記優先付け処理を実行し、当該処理後のすべての前記複数の挙動情報の合計のデータサイズが前記所定の制限範囲を超える場合に、前記挙動情報圧縮部による前記圧縮処理を実行して、前記挙動情報一覧を作成する
ことを特徴とする請求項3に記載の動的アクセス認可システム。 The behavior information adjustment unit is
The dynamic access authorization system according to claim 3, characterized in that the behavior information prioritization unit performs the prioritization process on the plurality of pieces of behavior information output from the plurality of behavior monitoring units, and if a total data size of all of the plurality of pieces of behavior information after the prioritization process exceeds the predetermined limit range, the behavior information compression unit performs the compression process to create the behavior information list.
前記認可要求メッセージに対する前記制御装置側プログラムによる処理に要する時間を推定し、当該推定した時間が経過するまで、前記アクセス要求の前記アクセス制御装置への送信を遅延させる
ことを特徴とする請求項1に記載の動的アクセス認可システム。 The authorization request control unit,
2. The dynamic access authorization system according to claim 1, further comprising: estimating a time required for the control device side program to process the authorization request message; and delaying transmission of the access request to the access control device until the estimated time has elapsed.
前記認可要求制御部は、
同一の前記アクセス制御装置に対して一定時間内に送信した前記認可要求メッセージの個数を基に、新たな前記認可要求メッセージを送信するか否かを判定する
ことを特徴とする請求項1に記載の動的アクセス認可システム。 a plurality of the access control devices are provided corresponding to a plurality of the resource devices;
The authorization request control unit,
The dynamic access authorization system according to claim 1 , wherein the determination as to whether or not to transmit a new authorization request message is made based on the number of authorization request messages transmitted to the same access control device within a certain period of time.
ことを特徴とする請求項1に記載の動的アクセス認可システム。 2. The dynamic access authorization system according to claim 1, wherein when a determination result of complete block that completely blocks the access request thereafter is obtained in the authorization determination, the access determination unit creates an administrator notification message notifying that the access request will be blocked, and transmits the message to an administration terminal used by an administrator.
前記ポリシー管理部は、前記挙動情報及び前記所定の静的な情報を要素に用いた論理式が記述されたアクセスポリシースクリプトを管理する
ことを特徴とする請求項1に記載の動的アクセス認可システム。 the authorization request control unit creates the authorization request message including predetermined static information regarding the terminal and/or the user in addition to the behavior information list, and transmits the created authorization request message to the access control device;
2. The dynamic access authorization system according to claim 1, wherein the policy management unit manages an access policy script in which a logical expression using the behavior information and the predetermined static information as elements is written.
ことを特徴とする請求項1に記載の動的アクセス認可システム。 The dynamic access authorization system according to claim 1 , wherein the behavior information prioritization unit calculates the combination of the behavior information by using a genetic algorithm.
ことを特徴とする請求項2に記載の動的アクセス認可システム。 The dynamic access authorization system according to claim 2 , wherein the lossy compression method is a BloomFilter algorithm.
ことを特徴とする請求項1に記載の動的アクセス認可システム。 The dynamic access authorization system according to claim 1 , wherein the access control device is configured to be included in the resource device.
前記動的アクセス認可システムは、
前記端末に保持される、端末側プログラム及び当該端末側プログラムが参照する端末側データと、
前記端末と前記リソース装置との間のネットワークに配置されたアクセス制御装置に保持される、制御装置側プログラム及び当該制御装置側プログラムが参照する制御装置側データと、
を有し、
前記端末が前記端末側プログラムを実行することにより、前記ユーザ及び/または前記端末に関する複数種類の挙動を監視し、定期的に最新の挙動情報を出力する挙動監視ステップと、
前記端末が前記端末側プログラムを実行することにより、前記挙動監視ステップで出力された複数の前記挙動情報のうちから、合計のデータサイズが所定の制限範囲以内で、各前記挙動情報に付与される価値の合計値を最大化する前記挙動情報の組み合わせを算出する、優先付け処理を実行し、前記合計値を最大化する前記挙動情報を組み合わせた挙動情報一覧を作成する挙動情報調整ステップと、
前記端末が前記端末側プログラムを実行することにより、前記アクセス要求の生成を捕捉し、前記挙動情報調整ステップで調整された前記挙動情報一覧を含む認可要求メッセージを作成し、前記認可要求メッセージ及び前記アクセス要求を前記アクセス制御装置に送信する認可要求制御ステップと、
前記動的アクセス認可システムが前記制御装置側プログラムを実行することにより、前記挙動監視ステップで出力される前記挙動情報を要素に用いた論理式が記述されたアクセスポリシースクリプトを管理するポリシー管理ステップと、
前記動的アクセス認可システムが前記制御装置側プログラムを実行することにより、前記認可要求制御ステップで前記端末から送信された前記認可要求メッセージを受信する認可要求メッセージ受信ステップと、
前記動的アクセス認可システムが前記制御装置側プログラムを実行することにより、前記認可要求メッセージ受信ステップで受信された前記認可要求メッセージを前記アクセスポリシースクリプトに規定された論理式に適用することによって前記認可判定を行うアクセス判定ステップと、
前記動的アクセス認可システムが前記制御装置側プログラムを実行することにより、前記アクセス判定ステップによる前記認可判定で前記アクセス要求が認可されなかった場合に、前記アクセス要求を第1の所定時間に亘って遮断した後、第2の所定時間に亘って前記アクセス要求の通過を許可する一時遮断のアクセス制御を実行可能とするアクセス制御ステップと、
を備えることを特徴とする動的アクセス認可方法。 A dynamic access authorization method for a dynamic access authorization system that performs authorization decision for an access request from a terminal used by a user to a resource owned by a resource device, based on dynamic information related to the terminal and/or a user of the terminal, comprising:
The dynamic access authorization system includes:
A terminal-side program and terminal-side data referenced by the terminal-side program, both of which are stored in the terminal;
A control device side program and control device side data referenced by the control device side program, which are held in an access control device disposed in a network between the terminal and the resource device;
having
a behavior monitoring step of monitoring a plurality of types of behavior related to the user and/or the terminal by executing the terminal-side program by the terminal , and periodically outputting the latest behavior information;
a behavior information adjustment step in which the terminal executes the terminal-side program to calculate a combination of the behavior information outputted in the behavior monitoring step that maximizes the total value of the value assigned to each of the behavior information while keeping the total data size within a predetermined limit range, and to create a behavior information list combining the behavior information that maximizes the total value ;
an authorization request control step of the terminal executing the terminal-side program to capture generation of the access request, create an authorization request message including the list of behavior information adjusted in the behavior information adjustment step, and transmit the authorization request message and the access request to the access control device;
a policy management step of managing an access policy script in which a logical expression using the behavior information outputted in the behavior monitoring step as an element is described by the dynamic access authorization system executing the control device side program;
an authorization request message receiving step of receiving the authorization request message transmitted from the terminal in the authorization request control step by the dynamic access authorization system executing the control device side program;
an access determination step of performing the authorization determination by applying the authorization request message received in the authorization request message receiving step to a logical expression defined in the access policy script by the dynamic access authorization system executing the control device-side program;
an access control step in which, when the access request is not authorized in the authorization decision made by the access decision step, the dynamic access authorization system executes the control device-side program , thereby enabling execution of a temporary blocking access control in which the access request is blocked for a first predetermined time and then permitted to pass for a second predetermined time;
A dynamic access authorization method comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021067334A JP7629333B2 (en) | 2021-04-12 | 2021-04-12 | Dynamic access authorization system and dynamic access authorization method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021067334A JP7629333B2 (en) | 2021-04-12 | 2021-04-12 | Dynamic access authorization system and dynamic access authorization method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022162461A JP2022162461A (en) | 2022-10-24 |
| JP7629333B2 true JP7629333B2 (en) | 2025-02-13 |
Family
ID=83720943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021067334A Active JP7629333B2 (en) | 2021-04-12 | 2021-04-12 | Dynamic access authorization system and dynamic access authorization method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7629333B2 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132198B (en) * | 2023-04-07 | 2023-07-25 | 杭州海康威视数字技术股份有限公司 | Internet of things privacy behavior sensing method and device based on lightweight context semantics |
| CN116846642A (en) * | 2023-07-06 | 2023-10-03 | 北京交通大学 | Dynamic access control method and system based on programmable network |
| CN117459320B (en) * | 2023-12-20 | 2024-03-26 | 新华三网络信息安全软件有限公司 | Data access control method and device |
| CN119182644B (en) * | 2024-09-13 | 2025-11-18 | 中国电信股份有限公司 | An authorization method, system, device, and medium based on a microservice architecture. |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005018186A (en) | 2003-06-24 | 2005-01-20 | Hitachi Ltd | Access management method and apparatus, and processing program therefor |
| JP2014518021A (en) | 2011-05-23 | 2014-07-24 | 日本電気株式会社 | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM |
| JP2016039427A (en) | 2014-08-06 | 2016-03-22 | 富士通株式会社 | Determination device, terminal device, determination program, terminal program, and communication system |
-
2021
- 2021-04-12 JP JP2021067334A patent/JP7629333B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005018186A (en) | 2003-06-24 | 2005-01-20 | Hitachi Ltd | Access management method and apparatus, and processing program therefor |
| JP2014518021A (en) | 2011-05-23 | 2014-07-24 | 日本電気株式会社 | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM |
| JP2016039427A (en) | 2014-08-06 | 2016-03-22 | 富士通株式会社 | Determination device, terminal device, determination program, terminal program, and communication system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022162461A (en) | 2022-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7629333B2 (en) | Dynamic access authorization system and dynamic access authorization method | |
| US10652016B2 (en) | Methods, apparatus, and systems for controlling internet-connected devices having embedded systems with dedicated functions | |
| US10382200B2 (en) | Probabilistic key rotation | |
| US10073971B2 (en) | Traffic processing for network performance and security | |
| US9985994B2 (en) | Enforcing compliance with a policy on a client | |
| US7987242B2 (en) | Caching of private data for a configurable time period | |
| CN114008977B (en) | SIEM systems and methods for exfiltration event data | |
| KR102866657B1 (en) | Processing requests to control information stored on multiple servers | |
| US20160119360A1 (en) | Method and System for Remote Data Access Using a Mobile Device | |
| US20180234234A1 (en) | System for describing and tracking the creation and evolution of digital files | |
| US11329992B2 (en) | Security measures for extended sessions | |
| US12137097B1 (en) | Security measures for extended sessions using multi-domain data | |
| CN113424188A (en) | Protecting browser COOKIE | |
| CN117874789B (en) | A dynamic privacy data encryption method and system | |
| CN115801292A (en) | Access request authentication method and device, storage medium and electronic equipment | |
| CN118316718B (en) | Data processing methods, apparatus, storage media and computer equipment | |
| EP1897325B1 (en) | Secure data communications in web services | |
| CN113438299A (en) | File transmission method and transmission device | |
| US20200389435A1 (en) | Auditing smart bits | |
| EP4611312A1 (en) | Dynamic rate limiting for digital traffic | |
| Sravan et al. | Building a Secure and High-Performance HMAC Processor Based on SHA-3 for the Cloud-Based Financial Sector | |
| CN116010961A (en) | A cloud device, terminal device and cloud computer system | |
| KR20240118315A (en) | A method and an appratus for mail security firewall | |
| Schear | The Design and Implementation of Glavlit: A Transparent Data Confinement System | |
| Chaitanya | Addressing performance challenges in secure storage systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240222 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240826 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240903 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20241030 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250128 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20250131 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7629333 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |