JP4232355B2 - 分散システムにおけるサービス提供方法 - Google Patents
分散システムにおけるサービス提供方法 Download PDFInfo
- Publication number
- JP4232355B2 JP4232355B2 JP2001174981A JP2001174981A JP4232355B2 JP 4232355 B2 JP4232355 B2 JP 4232355B2 JP 2001174981 A JP2001174981 A JP 2001174981A JP 2001174981 A JP2001174981 A JP 2001174981A JP 4232355 B2 JP4232355 B2 JP 4232355B2
- Authority
- JP
- Japan
- Prior art keywords
- service
- information
- access level
- peripheral
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 70
- 230000002093 peripheral effect Effects 0.000 claims description 181
- 238000012545 processing Methods 0.000 claims description 46
- 230000010365 information processing Effects 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 5
- 230000009471 action Effects 0.000 claims description 3
- 230000008520 organization Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 36
- 230000008569 process Effects 0.000 description 36
- 230000006854 communication Effects 0.000 description 20
- 238000001514 detection method Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 15
- 239000000047 product Substances 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000000691 measurement method Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00182—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/28—Individual registration on entry or exit involving the use of a pass the pass enabling tracking or indicating presence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/005—Discovery of network devices, e.g. terminals
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、所定の機能を実行するデバイスの制御に関するものである。この中でも、アクセスコントロールリスト(ACL)などの情報を用いて各デバイスをアクセス制御する方式のセキュリティ分野を対象としている。また、さらに、入退出管理や盗難防止、物品管理等において適用可能な技術に関する。
【0002】
【従来の技術】
従来、デバイスが複数存在する分散システムにおけるアクセス制御方法として、例えば特開2000−112891号公報に記載されている方法がある。これによると、システム内の各デバイスに分散アクセスコントロールリスト(ACL)を個別に持たせることによって、ユーザ属性に応じたアクセス制御を行っていた。また、設定対象の計算機にその都度ログインすることなしに当該設定を可能とすることで、設定の手間を軽減し設定ミスを防止していた。
【0003】
【発明が解決しようとする課題】
上記従来技術においては、様々なユーザが訪問するオフィスビル等において、制限区域内に重要物が存在する場合には入室を禁止し、そうでない場合は許可するような場面を想定した時、従来の画一的なアクセス制御では運用/管理者のアクセスレベルの設定変更作業やユーザの設定変更要求からの時間的な遅れという点で限界があった。
【0004】
本発明は、分散システムにおいてユーザ及びサービスデバイスの状況に応じて、より柔軟なアクセス制御を実現することを目的とする。
【0005】
【課題を解決するための手段】
上記目的を達成するために、本発明は、デバイスの周辺情報に応じて、アクセス制御を含むサービス提供のための情報処理を行うものである。周辺情報は、デバイスの所定範囲内の状況を示す情報であり、サービス提供の条件となるものである。周辺情報には、所定デバイスから所定の範囲内にある他のデバイスの状態を示す情報が含まれる。他のデバイスの状態には、他のデバイス(予め定められた)が存在するか否か、他のデバイスの運転状況が含まれる。また、周辺情報には、デバイスから所定範囲内に、サービスを受ける者が存在するか、またその者がサービスを受ける権利を有する者かを示す情報が含まれる。
【0006】
本発明は、所定のサービスを提供するサービスデバイスから所定範囲内に、サービスを要求する要求デバイスと、サービスデバイスもしくは要求デバイスから所定範囲内に、要求デバイスにサービスを受ける権限を与える周辺デバイスが存在するか否かに従って、サービスデバイスが所定のサービスを提供するかどうかを制御する。サービスデバイスが入出場を制御するドア等で、要求デバイスが携帯電話で、周辺デバイスが電子的に個人または組織を識別する情報が格納されたIDカードである場合の例を説明する。この例では、所定の部屋に入場するためにドアの鍵を開ける指示を、携帯電話からドアに送信する。ドアの鍵の開閉を制御する制御装置は、指示を受付けるとドアもしくは携帯電話から所定範囲内に、当該部屋への入場が許可される個人を識別するIDカードが存在すれば、携帯電話からの要求に対応してドアの鍵を開ける。IDカードの存在の検出は、制御装置から電波を発して行ってもよい。
【0007】
また、本発明には、サービスデバイスへアクセス可能なデバイス(サービスを受けることが可能な利用者)を、周辺情報に応じて変えることも含まれる。
【0008】
【発明の実施の形態】
以下、本発明の実施例を図1により説明する。
図1は、本発明におけるアクセス制御システムの適用形態例を示す。主な構成要素としては、サービスデバイス(電子錠)0114に対してサービスを要求するユーザ0110、ユーザインタフェースを提供する携帯端末0111、携帯端末0111の周辺に存在する同伴者0112が所有するユーザ周辺デバイス(IDカード、携帯端末等)0113、ユーザの要求するサービスを提供するサービスデバイス(電子錠)0114、サービスデバイス(電子錠)0114の周辺に存在する不審者0115が所有する機器周辺デバイス(未登録IDカード、携帯端末等)0116等からなる。
【0009】
図2は、本発明におけるアクセス制御システムの構成図である。主な構成要素としてユーザ0210、携帯端末0211、サービスデバイス0220、ユーザ周辺デバイス0218、機器周辺デバイス0228から構成される。このシステムは環境中に複数デバイスが分散して存在し、各サービスデバイス0220のハードディスク領域には拡張アクセスコントロールリスト(Extended Access Control List:EACL)0223が格納され、共通通信プロトコルを用いた無線通信モジュール(所定の通信技術を用いることができる)を有する。ユーザ0210は携帯端末0211(携帯電話/PDA等)を介して必要なサービスを要求し、サービスデバイス0220よりサービスを受信する。ユーザ0210は携帯端末0211を用いて、個人認証情報(ユーザID:676001027、グループID:105u)/サービス情報(要求サービスID:応接室開錠)をサービスデバイスに対して送信する。
【0010】
ただし、個人認証情報は携帯端末0211に記憶、サービス情報はネットワーク経由で入手したサービス一覧より選択する。携帯端末0211上の周辺デバイス検出処理0216は、携帯端末0211上の通信処理0217に対して周辺デバイス検索信号を送信する。通信処理0217は、周辺デバイスに対してデバイス情報配信要求信号を同報配信する。無線通信内に存在するユーザ周辺デバイス0218はデバイス情報配信要求信号を受信すると、通信処理0219によって周辺デバイス固有のグローバルユニークなID(周辺デバイスID:F0032A8)や周辺デバイスの状態(稼動中、スリープ等)を携帯端末上の通信処理0217に対して送信する。周辺デバイス情報を受信した通信処理0217は、周辺デバイス検出処理0216に情報を配信する。周辺デバイス情報を受信した周辺デバイス検出処理0216は、ユーザ周辺デバイス情報DB0214内のテーブルに周辺デバイス情報を書き込む。
【0011】
さらに、周辺デバイス検出処理0216はユーザ0210から最初に送信された個人認証情報/要求サービス情報に周辺デバイス情報を併せて、サービスデバイス0220に送信する。周辺デバイス検出処理0216は常時起動しており、一定周期でユーザ周辺デバイス0218の検出を行う。ユーザ情報/ユーザ周辺情報を受信したサービスデバイス0220上のアクセス制御処理0222は、サービスデバイス0220の周辺デバイス0228の情報収集を自身の機器周辺デバイス検出処理0224に対して要求する。要求を受信した機器周辺デバイス検出処理0224は、前記の携帯端末0211上のユーザ周辺デバイス検出処理0216と同様の処理によって、機器周辺デバイス0228の情報を獲得する。併せて、周辺デバイス情報DB0226内のテーブルに獲得した周辺デバイス情報を書き込む。機器周辺デバイス検出処理0224は、獲得した周辺デバイス情報をアクセス制御処理0222に配信する。
【0012】
周辺デバイス情報を受信したアクセス制御処理0222は、サービスデバイス0220上に記憶されたEACL0223を参照する。その際、携帯端末0211から受信したユーザ情報/ユーザ周辺情報及び前記のサービスデバイス周辺情報を利用する。アクセス制御処理0222は、受信した情報(ユーザID、グループID、要求サービスID、ユーザ周辺デバイス情報、機器周辺デバイス情報)とEACL0223を照合することによって、アクセスレベルを決定する。但し、ユーザ0210やユーザ周辺デバイス0218の履歴情報0230を参照してアクセスレベルを決定する場合もある。その際は、EACL0223を参照して決定されたアクセスレベルと比較を行い、ある政策(例えば、アクセスレベルの低い方を採用する等)に従ってアクセスレベルを決定する。アクセス制御処理0222は決定されたアクセスレベルのモードでサービスデバイス0220を制御し、ユーザ0210にサービスを提供する。その際の情報/サービスの流れについては、図3から図9で詳述する。
【0013】
尚、サービスデバイス0220は、ユーザ0210からのサービス要求時のみならず、上記ユーザ個人情報及びユーザ周辺情報を任意のタイミングで送信要求することが可能であることを付記する。
【0014】
図3は、本発明におけるシステム全体の処理を示すフローチャートである。ST0310において、ユーザ0210は携帯端末0211を介してサービスデバイス0220に対してサービスを要求する。その際、ユーザ0210は携帯端末0211を介して明示的にユーザID、グループID及び要求サービスIDを入力するか、携帯端末0211に予め記憶された各項目を選択しサービスデバイス0220に対してメッセージを送信する。ST0311においては、ユーザ情報のメッセージ送信要求を受けた携帯端末0211はユーザ周辺デバイス0218の検索を開始する。携帯端末0211は、ユーザ周辺デバイス0218よりデバイス情報を受信する。
【0015】
また、他に周辺デバイスが存在しないかどうかチェックを行い、ユーザ周辺デバイス0218が存在すれば処理を繰り返す。ユーザ周辺デバイス0218が存在しなければ、ST0312に進む。ST0312においては、ユーザ0210から入力あるいは携帯端末0211上に記憶されたユーザID、グループID、要求サービスIDと、ST0311で獲得したユーザ周辺デバイス情報を併せて、サービスデバイス0220に送信する。
【0016】
ST0313においては、携帯端末0211からサービス要求メッセージを受信すると、機器周辺デバイス0228の探索を開始する。サービスデバイス0220は、機器周辺デバイス0228よりデバイス情報を受信する。また、他に周辺デバイスが存在しないかどうかチェックを行い、機器周辺デバイス0228が存在すれば処理を繰り返す。機器周辺デバイス0228が存在しなければ、ST0314に進む。ST0314においては、携帯端末0211より受信した情報とST0313で獲得した機器周辺デバイス情報を利用してEACLの参照を行い、アクセスレベルを決定する。ST0315においては、ST0314で決定したアクセスレベルに基づいてユーザ0210に対してサービスを提供する。
【0017】
図27は、本発明における履歴情報データベースを用いた場合のシステム全体の処理を示すフローチャートである。ST2710乃至ST2714においては、ST0310乃至ST0314と同一の処理を行う。ST2715は、履歴情報DB0230を参照してアクセスレベルを決定する。決定したアクセスレベルとST2714で決定されたアクセスレベルをある政策(例えば、アクセスレベルの低い方を選択する等)に従ってアクセスレベルを決定する。ST2716においては、ST2715で決定したアクセスレベルに基づいてユーザ0210に対してサービスを提供する。
【0018】
図4は、本発明における携帯端末上の周辺デバイス検出処理を示すフローチャートである。ST0410において、ユーザ0210からI/O0212、アプリケーション0213を介してユーザ情報及びサービス要求を受信する。ST0411においては、通信処理0217に対して周辺デバイス検索要求を送信する。具体的には、各デバイスに対して同報メッセージを送信する要求を出す。ST0412においては、ユーザ周辺デバイス0218から通信処理0217へ送信された周辺デバイス情報を受信する。ST0413においては、機器構成管理処理0215にユーザ周辺デバイス0218の情報取得要求を送信する。ST0414においては、ユーザ情報及び機器構成管理処理0215から受信した情報をサービスデバイス0220に送信する。
【0019】
図5は、本発明における携帯端末上の機器構成管理処理を示すフローチャートである(非常駐処理)。ST0510において、周辺デバイス検出処理0216からユーザ周辺デバイス情報データベース0214への参照要求を受信する。ST0511においては、ユーザ周辺デバイス情報を元にユーザ周辺デバイス情報データベース0214を参照する。ST0512においては、ST0511で得られた参照結果を周辺デバイス検出処理0216に送信する。
【0020】
図6は、本発明における携帯端末上の機器構成管理処理を示すフローチャートである(常駐処理)。ST0610において、通信処理0217からユーザ周辺デバイス情報を受信する。ST0611において、ユーザ周辺機器情報を元にユーザ周辺デバイス情報データベース0214を参照する。ST0612においては、周辺デバイス検出処理0216にユーザ周辺デバイス0218の状態変更を通知する。次に、ST0610に戻る。
【0021】
図7は、本発明におけるサービスデバイス上の周辺デバイス検出処理を示すフローチャートである。ST0710において、携帯端末0211からサービス要求を受信する。ST0711においては、通信処理0227に対して周辺デバイス検索要求を送信する。具体的には、各デバイスに対して同報メッセージを送信する要求を出す。ST0712においては、機器周辺デバイス0228から通信処理0227へ送信された周辺デバイス情報を受信する。ST0713においては、機器構成管理処理0225に機器周辺デバイス0228の情報取得要求を送信する。ST0714においては、ユーザ情報及び機器構成管理処理0225から受信した情報をアクセス制御処理0222に送信する。
【0022】
図8は、本発明におけるサービスデバイス上の機器構成管理処理を示すフローチャートである(非常駐処理)。ST0810において、周辺デバイス検出処理0224から機器周辺デバイス情報データベース0226への参照要求を受信する。ST0811においては、機器周辺デバイス情報を元に機器周辺デバイス情報データベース0226を参照する。ST0812においては、ST0811で得られた参照結果を周辺デバイス検出処理0224に送信する。
【0023】
図9は、本発明におけるサービスデバイス上の機器構成管理処理を示すフローチャートである(常駐処理)。ST0910において、通信処理0227から機器周辺デバイス情報を受信する。ST0911において、機器周辺機器情報を元に機器周辺デバイス情報データベース0226を参照する。ST0912においては、アクセス制御処理0222に機器周辺デバイス0228の状態変更を通知する。次に、ST0910に戻る。
【0024】
図10は、本発明においてユーザが携帯端末を介してサービスを要求する際に送信するメッセージを示した図である。上記メッセージは、通信ヘッダ1010及びデータ1014からなり、その主な構成要素としては、ユーザの個人認証に用いられるユーザID1011、ユーザが属するグループID1012、ユーザがサービスデバイスに対して要求する要求サービス1013等からなる。また、データ1014の主な構成要素としては、ユーザ周辺デバイスに関する周辺機器構成1015、要求サービス1016等からなる。
【0025】
図11は、本発明におけるユーザから送信の情報を示す図である。主な構成要素としては、ユーザからデータが送信された時間を表すデータ送信日時1110、ユーザ個人を特定するユーザID1111、ユーザが属するグループID1112、ユーザ0210がサービスデバイス0220に対して要求する要求サービスID1113等からなる。
【0026】
図12は、本発明におけるユーザ周辺デバイス情報を示す図である。主な構成要素としては、周辺を検索してデータが得られた時間を表すデータ受信日時1210、ユーザ周辺に存在するユーザ周辺デバイス情報1211等(ID、状態値等)からなる。但し、ユーザ周辺デバイス情報1211は、ユーザ周辺デバイス0218が存在した場合のみ有効である。
【0027】
図13は、本発明における周辺デバイス情報を利用したEACLを示す図である。主な構成要素として、ユーザが本EACLを有するサービスデバイスに対して許可されるアクセスレベル1310、ユーザの属するグループID1311、ユーザ周辺に存在する機器のユーザ周辺デバイス情報(ID、状態値等)1312、サービスデバイス周辺に存在する機器周辺デバイス情報(ID、状態値等)1313からなる。但し、ユーザ周辺情報1312及び機器周辺デバイス情報1313は、ユーザ周辺デバイス0218及び機器周辺デバイス0228が存在した場合のみ有効である。
【0028】
図23は、本発明におけるサービス要求/提供時の時間(帯)によってアクセスレベルが変化するEACLを示す図である。主な構成要素として、受信情報2310、時間(帯)2311、アクセスレベル2312等から構成される。受信情報2310は、上記ユーザから受信したグループID1311、ユーザ周辺デバイス情報(ID、状態値等)1312、上記サービスデバイス周辺に存在する機器周辺デバイス情報(ID、状態値等)1313からなる。時間(帯)は、サービス要求あるいはサービス提供時のある時刻あるいはある時間帯を示す。アクセスレベル2312は、上記アクセスレベル1310と同値である。同一の情報を受信した場合でも、サービス要求/提供時刻によって異なったアクセスレベルを提供するものである。
【0029】
図14は、本発明におけるアクセスレベルと実行許可処理との関係を示す図である。主な構成要素として、上記アクセス制御処理において決定されたアクセスレベル1410、サービスデバイスで実行され得る実行処理1411、各アクセスレベルにおける実行処理を行うか行わないかを示したアクセス権限1412等からなる。
【0030】
図15は、本発明における周辺デバイスの判定基準を示す図である。携帯端末0211やサービスデバイス0212のように周辺デバイス検出処理0214を備えたデバイスi1514を中心とした半径dL1511の円を想定する。ここで、dLはデバイス固有の近傍距離閾値である。このとき、その円周を近傍境界線1510として、デバイスi1514と周辺デバイスj1513、非周辺デバイスk1515間の距離を赤外線近接センサ等を用いて測定する。デバイスi1514と周辺デバイスj、非周辺デバイスkとの距離をそれぞれdij1512、dik1512とする。このとき、不等式1516を用いて対象とするデバイスが、デバイスi1514の周辺デバイスj1513であるか、あるいは非周辺デバイスk1515であるかを判定する。
【0031】
図16は、本発明における周辺閾値(近傍距離閾値)の規定方法を示す図である。主な構成要素としては、ユーザ1610、ユーザ周辺デバイス1611、サービスデバイス1612、周辺閾値情報1613、ユーザ情報1614、周辺閾値1615等からなる。ユーザ1610は、携帯端末0211を通じてユーザ情報1614(ユーザID、グループID、要求サービスID等)をサービスデバイス1612に送信する。上記ユーザ情報1614を受信したサービスデバイス1612は、周辺閾値情報DBの参照を行い周辺閾値1615を決定する。
【0032】
その際、利用する情報は、上記ユーザ情報1614及びサービスデバイス1612情報である。決定された周辺閾値1615は、ユーザの所有する携帯端末1610に送信される。携帯端末1610は、受信した周辺閾値1615内を検索範囲1616としてユーザ周辺デバイス1611の探索を行う。但し、ユーザ周辺デバイス1611が同時にサービスデバイス1612の周辺デバイスと認識される場合は、ある政策(例えば、アクセスレベルが下がる方の周辺デバイスと認識する等)に従って処理を行う。
【0033】
図17は、本発明におけるサービスによる異なる周辺距離の例を示す概略図である。主な構成要素としては、サービス1710、周辺距離1711等からなる。サービスデバイス0220の提供するサービスに応じて、ユーザ0210が探索すべき周辺距離1711(周辺円領域の半径)を規定する。例えば、「ドアの開錠」サービスに対する周辺距離は、「10m」、「ドアの施錠」サービスに対する周辺距離は、「0m」等である。
【0034】
図18は、本発明におけるアクセス制御方法を適用した実施例1を示す概略図である。主な構成要素として、部長1810、課長1811、制限区域(金庫)1812、不審者1813等から構成される。課長1811は、携帯端末0211としてPDAを所有している。また、部長1810はユーザ周辺デバイス0218として、自身の情報を登録したIDカードを所有している。また、この適用例のサービスデバイス0220としては、金庫の電子錠1812を想定している。また、機器周辺デバイス0228としては、不審者1813が所持する未登録品(IDカード等)を考える。そこで、本発明における周辺デバイス情報を用いたアクセス制御システムの適用例における概略は以下に示す通りである。『課長1811一人では開錠禁止の金庫1812であるが、部長1810同伴の場合は開錠が許可される。ただし、金庫1812付近に不審者1813が検知された場合開錠されない。』さらに詳述すると、以下のようである。
【0035】
1.課長1811はPDAを用いて、個人認証情報(ユーザID:usr_676001027、グループID:grp_105)/サービス情報(要求サービスID:金庫開錠)1814を送信する。ただし、個人認証情報はPDAに記憶、サービス情報は、ネットワーク経由で入手可能なサービス一覧を用いて、ユーザ0210が携帯端末0211から選択する。但し、個人認証情報のPDAの記憶に際しては、メモリ及びSIM/WIMカードを用いた記憶方法等を想定している。
2.送信データにPDAの周辺デバイス情報であるIDカード情報(周辺デバイス情報:[info_udev]:{id.udev_001, stat.udev_001, ...})を加えて電子錠1812に送信する。尚、部長1810が偶然、課長1811のそばを通りかかった場合を回避するために、部長1810は明示的にリーダにIDカードをかざす。3.ユーザ周辺デバイス情報(ユニークなID、状態値等)は共通化された通信プロトコル(BT等)を利用して、PDAが獲得する。
4.PDAからメッセージ(ユーザID、グループID、要求サービスID、ユーザ周辺デバイス情報)1814を受信した電子錠1812は、機器周辺デバイスである未登録品情報(機器周辺デバイス情報:[info_ddev]:{id.ddev_001, stat.ddev_001, ...})を獲得する。尚、不審者1813の特定方法については、不審者1813の所有する通信機器(IDカード等も含む)への要求に対して、通信そのものは確立されているにも関わらず、応答がない(機器情報を送信しない等)などの場合に対象物を不審者1813とみなす方法等も含む。
【0036】
5.データ(ユーザID、グループID、要求サービスID、ユーザ周辺デバイス情報、機器周辺デバイス情報)と電子錠上のEACLとで照合を行い、アクセスレベルを決定する。
6.決定されたアクセスレベルのモードで電子錠1812を制御する。
7.課長1811にサービス(金庫を開錠しないというサービス)を提供する。8.尚、補足として、金庫内に重要物品がある場合セキュリティシステムが作動し、そうでない場合は複数(例えば、登録された全て)のユーザからの入室許可を認める等の実施例も含むことを付記する。
【0037】
図19は、本発明におけるアクセス制御方法を適用した実施例2を示す概略図である。主な構成要素として、客1910、店員1911、商品(CD等)1912、店入口1913等から構成される。店員1911は、携帯端末0211として店員カードを所有している。また、ユーザ周辺デバイス0218としては、店頭に並ぶタグ付き商品(CD等)を想定している。
【0038】
さらに、この適用例のサービスデバイス0220としては、未精算の商品(CD等)持ち出しをチェックする警報機付きタグリーダを常設した店入口1913を考える。具体的には、精算時商品(CD等)に貼付されたタグに精算済み情報を書き込み、店入口1913にてそのタグを読みとる。読み取った情報に精算済み情報が含まれておらず、かつ商品(CD等)を所持している者が店員でない場合警報を鳴らすものである。そこで、本発明における周辺デバイス情報を用いたアクセス制御システムの適用例における概略は以下に示す通りである。『未清算の商品(CD等)1912を所持した客1910が店入口1913に差し掛かると警報機が鳴るが、店員1911が商品(CD等)1912を所持して店入口を通過しても警報機は鳴らない。』さらに詳述すると、以下のようである。
【0039】
1.客1910が未清算のまま店入口1913を通過しようとすると、商品(CD等)タグ(未清算情報を含む)が入口付近に常設されたリーダによって読み取られる。
2.読み取られた情報が、商品の未清算情報である場合、リーダの警報機が作動する。
3.店員1910が未清算の商品(CD等)1912を所持したまま店入口1913を通過しようとした場合は、店員1911の所有する店員カード及び商品(CD等)タグ(未清算情報を含む)が入口付近に常設されたリーダによって読み取られる。
4.読み取られた情報が、店員情報である場合商品(CD等)1912のタグ情報に書き込まれた精算/未清算情報に依らずリーダの警報機は作動しない。
【0040】
図21は、本発明におけるアクセス制御方法を適用した実施例3を示す概略図である。主な構成要素として、社員A2110、社員B2111、エレベータ2112等から構成される。社員A2110及び社員B2111は、携帯端末等を用いてエレベータ2112を要求する階に呼び出す。社員Aは、エレベータ2112からある一定の距離(近傍距離閾値)2113以上の場所からサービスを要求し、社員Bは、近傍距離閾値2113を半径とする円内からサービスを要求する。そこで、本発明における周辺デバイス情報を用いたアクセス制御システムの適用例における概略は以下に示す通りである。『エレベータから遠くの場所(近傍距離閾値2113以上離れた場所)に居る社員A2110はエレベータ2112を呼び出せないが、近く(近傍距離閾値2113を半径とする円内領域)に居る社員Bはエレベータ2112を呼び出すことができる。』さらに詳述すると、以下のようである。
【0041】
1.社員A2110は、携帯端末等を用いてエレベータ2112に対してエレベータ呼び出しの要求メッセージを送信する。
2.携帯端末からメッセージが送信された時間とエレベータ2112で受信した時間差等を用いて、エレベータと社員Aの携帯端末等との距離を測定する。但し、距離の測定方法に関しては他の方法でもよい。
3.上記の測定距離が近傍距離閾値1213以上の場合、エレベータはアクセスを許可しない。
4.逆に、社員B1211のように、測定距離が近傍距離閾値以下の場合は、エレベータはアクセスを許可し社員B2111に対してサービスを提供する。
【0042】
図22は、本発明におけるアクセス制御方法を適用した実施例4のシステムの構成図である。主な構成要素は、社員2210、不審者2211、社員所有の携帯端末2212、不審者所有の携帯端末2213、正門2214、履歴情報DB2215、持出物2216等から構成される。
【0043】
そこで、本発明における周辺デバイス情報を用いたアクセス制御システムの適用例における概略は以下に示す通りである。『携帯端末2212を所持した社員Aは正門を通過できるが、携帯端末2213を所持しているにも関わらず積極的に個人情報を送信しようとせず、持出物2216を持ち出そうとしている不審者2211が正門を通過しようとするとチェックがかかる。周辺機器構成と併せて、持出物2216の履歴情報DB2215を用いることで、不審者2211は正門を通過できない。』さらに詳述すると、以下のようである。
【0044】
1.携帯端末2212を所持した社員A2210が正門を通過しようとすると、上記携帯端末2212から個人情報を獲得する。
2.社内DB等の参照を行い、上記社員Aが社員であることを確認し正門を通過させる。
3.携帯端末2213、持出物2216を所持する不審者2211が正門を通過しようとすると、携帯端末2213から個人情報が取り出せない。通信は確立されているが、意図的に個人情報等のデータを送信しないようにしている場合等である。
4.持出物2216の履歴情報DB2215を参照する。
5.対象機器2611を持出物2216、参照開始点2612を図書、参照終了点2613を正門、履歴情報2614を不審者2211の行動履歴情報(時刻2510、状態(値)2511、周辺機器2512)としてアクセスレベルを決定する。
6.周辺機器構成を用いて得られるアクセスレベルと上記アクセスレベルを比較して、ある政策(例えば、アクセスレベルの低い方を優先する等)に従ってアクセスレベルを決定する。
7.決定されたアクセスレベルに従ってアクセス制御を行う。
【0045】
図25は、本発明におけるユーザ/機器の履歴情報データベースの構成図である。主な構成要素として、時刻2510、状態(値)2511、周辺機器2512等から構成される。時刻2510は、ある対象となるユーザ/機器の履歴情報を採取した時刻(日付情報等含む)である。状態(値)2511は、時刻2510における対象ユーザ/機器の状態値である。例えば、対象が図書の書籍であるような場合は、「貸出未申請」「貸出既申請」等である。周辺機器2512は、時刻2510、状態(値)2511時における対象物ユーザ/機器の周辺に存在する機器である。
【0046】
図26は、本発明における履歴情報データベースを用いた場合のEACLを示す図である。主な構成要素として、アクセスレベル2610、対象機器2611、参照開始点2612、参照終了点2613、履歴情報2614等から構成される。アクセスレベル2610は、本EACLにおいて決定される対象機器2611のアクセスレベルである。参照開始点2612は、図書である。参照終了点2613は、正門である。履歴情報2614は、対象機器2611の参照開始点2612から参照終了点2613間における、ある対象者の行動履歴情報(状態(値)2510、時刻2511、周辺機器2512)である。
【0047】
図24は、本発明におけるアクセス制御方法を適用した実施例5のシステム構成図である。主な構成要素は、午前にサービスを要求する社員A2410、午後にサービスを要求する社員A2411、部屋のドア2412等から構成される。そこで、本発明における周辺デバイス情報を用いたアクセス制御システムの適用例における概略は以下に示す通りである。『社員A2410及び2411は、午前中に申請すれば部屋に入ることができるが、午後に申請すると入れない。』さらに詳述すると、以下のようである。
【0048】
1.午前中に社員A2410が部屋への入室許可申請メッセージを送信する。
2.上記メッセージは、上記実施例1乃至4と同様に周辺機器構成、周辺機器状態等を含んでいる。
3.社員A2410が午前中に申請を行った場合、部屋への入室が許可される。
4.社員A2411が午後から申請を行った場合、上記周辺機器情報等が同一でも、部屋への入室は許可されない。
5.また、社員A2410及び2411が申請を行った時間に関わらず、サービス提供時の時間(帯)(部屋の利用時間等)によって入室許可を発行するという実施例も含む。
【0049】
図20は、本発明におけるアクセス制御方法を適用した実施例6のシステムの構成図である。主な構成要素として、サービス要求デバイス2010、アクセスレベル認証局2012、サービス配信デバイス2013等から構成される。サービス要求デバイスは、サービス配信デバイス2013に対してサービス要求を送信する。この場合、ユーザ0210及びユーザ周辺デバイス0218の情報とともにサービス要求を送信する。上記要求を受信したサービス配信デバイス2013は、アクセスレベル照会処理2014を用いてアクセス認証局2012にアクセスレベルの照会を行う。その際、サービス要求デバイス2010から受信した情報及び機器周辺デバイス0228情報を送信する。上記情報を受信したアクセスレベル認証局2012は、EACLを用いてアクセスレベルを決定し、サービス配信デバイス2013に送信する。上記アクセスレベル情報を受信したサービス配信デバイス2013は、受信したアクセスレベルに応じたサービスを提供する。本構成を用いたシステムにおける実施例は、上記実施例1乃至5に該当する。
【0050】
上述した実施例は、以上詳述したように構成されており、次のような効果を奏する。(1)サービス受信側と送信側の周辺状態を含めたきめの細かいアクセス制御が可能となる。(2)ユーザ/サービスデバイスの周辺状態の変更に対して柔軟なアクセス制御が可能となる。
【0051】
【発明の効果】
本発明によれば、アクセス制御などのサービス提供を、きめ細かく実行することが可能になる。
【図面の簡単な説明】
【図1】本発明におけるアクセス制御システムの適用形態例を示した図である。
【図2】本発明におけるアクセス制御システムの構成図である。
【図3】本発明におけるシステム全体の処理を示すフローチャートである。
【図4】本発明における携帯端末上の周辺デバイス検出処理を示すフローチャートである。
【図5】本発明における携帯端末上の機器構成管理処理を示すフローチャートである(非常駐処理)。
【図6】本発明における携帯端末上の機器構成管理処理を示すフローチャートである(常駐処理)。
【図7】本発明におけるサービスデバイス上の周辺デバイス検出処理を示すフローチャートである。
【図8】本発明におけるサービスデバイス上の機器構成管理処理を示すフローチャートである(非常駐処理)。
【図9】本発明におけるサービスデバイス上の機器構成管理処理を示すフローチャートである(常駐処理)。
【図10】本発明においてユーザが携帯端末を介してサービスを要求する際に送信するメッセージを示した図である。
【図11】本発明におけるユーザから送信の情報を示す図である。
【図12】本発明におけるユーザ周辺デバイス情報を示す図である。
【図13】本発明における周辺デバイス情報を利用したEACLを示す図である。
【図14】本発明におけるアクセスレベルと実行許可処理との関係を示す図である。
【図15】本発明における周辺デバイスの判定基準を示す図である。
【図16】本発明における周辺閾値(近傍距離閾値)の既定方法を示す図である。
【図17】本発明におけるサービスによる異なる周辺距離の例を示す概略図である。
【図18】本発明におけるアクセス制御方法を適用した実施例1を示す概略図である。
【図19】本発明におけるアクセス制御方法を適用した実施例2を示す概略図である。
【図20】本発明におけるアクセス制御方法を適用した実施例6のシステムの構成図である。
【図21】本発明におけるアクセス制御方法を適用した実施例3のシステム構成図である。
【図22】本発明におけるアクセス制御方法を適用した実施例4のシステム構成図である。
【図23】本発明におけるサービス要求/提供時の時間(帯)によってアクセスレベルが変化するEACLを示す図である。
【図24】本発明におけるアクセス制御方法を適用した実施例5のシステム構成図である。
【図25】本発明におけるユーザ/機器の履歴情報データベースの構成図である。
【図26】本発明における履歴情報データベースを用いた場合のEACLを示す図である。
【図27】本発明における履歴情報データベースを用いた場合のシステム全体の処理を示すフローチャートである。
【符号の説明】
0210…システムサービスの対象となるユーザ、0211…携帯端末、0212…携帯端末のI/O、0213…アプリケーションプログラム、0214…データベース、0218…周辺デバイス、0220…サービスデバイス、0221…アプリケーションプログラム、0223…EACLのファイル本体、0226…データベース、0228…周辺デバイス。
【発明の属する技術分野】
本発明は、所定の機能を実行するデバイスの制御に関するものである。この中でも、アクセスコントロールリスト(ACL)などの情報を用いて各デバイスをアクセス制御する方式のセキュリティ分野を対象としている。また、さらに、入退出管理や盗難防止、物品管理等において適用可能な技術に関する。
【0002】
【従来の技術】
従来、デバイスが複数存在する分散システムにおけるアクセス制御方法として、例えば特開2000−112891号公報に記載されている方法がある。これによると、システム内の各デバイスに分散アクセスコントロールリスト(ACL)を個別に持たせることによって、ユーザ属性に応じたアクセス制御を行っていた。また、設定対象の計算機にその都度ログインすることなしに当該設定を可能とすることで、設定の手間を軽減し設定ミスを防止していた。
【0003】
【発明が解決しようとする課題】
上記従来技術においては、様々なユーザが訪問するオフィスビル等において、制限区域内に重要物が存在する場合には入室を禁止し、そうでない場合は許可するような場面を想定した時、従来の画一的なアクセス制御では運用/管理者のアクセスレベルの設定変更作業やユーザの設定変更要求からの時間的な遅れという点で限界があった。
【0004】
本発明は、分散システムにおいてユーザ及びサービスデバイスの状況に応じて、より柔軟なアクセス制御を実現することを目的とする。
【0005】
【課題を解決するための手段】
上記目的を達成するために、本発明は、デバイスの周辺情報に応じて、アクセス制御を含むサービス提供のための情報処理を行うものである。周辺情報は、デバイスの所定範囲内の状況を示す情報であり、サービス提供の条件となるものである。周辺情報には、所定デバイスから所定の範囲内にある他のデバイスの状態を示す情報が含まれる。他のデバイスの状態には、他のデバイス(予め定められた)が存在するか否か、他のデバイスの運転状況が含まれる。また、周辺情報には、デバイスから所定範囲内に、サービスを受ける者が存在するか、またその者がサービスを受ける権利を有する者かを示す情報が含まれる。
【0006】
本発明は、所定のサービスを提供するサービスデバイスから所定範囲内に、サービスを要求する要求デバイスと、サービスデバイスもしくは要求デバイスから所定範囲内に、要求デバイスにサービスを受ける権限を与える周辺デバイスが存在するか否かに従って、サービスデバイスが所定のサービスを提供するかどうかを制御する。サービスデバイスが入出場を制御するドア等で、要求デバイスが携帯電話で、周辺デバイスが電子的に個人または組織を識別する情報が格納されたIDカードである場合の例を説明する。この例では、所定の部屋に入場するためにドアの鍵を開ける指示を、携帯電話からドアに送信する。ドアの鍵の開閉を制御する制御装置は、指示を受付けるとドアもしくは携帯電話から所定範囲内に、当該部屋への入場が許可される個人を識別するIDカードが存在すれば、携帯電話からの要求に対応してドアの鍵を開ける。IDカードの存在の検出は、制御装置から電波を発して行ってもよい。
【0007】
また、本発明には、サービスデバイスへアクセス可能なデバイス(サービスを受けることが可能な利用者)を、周辺情報に応じて変えることも含まれる。
【0008】
【発明の実施の形態】
以下、本発明の実施例を図1により説明する。
図1は、本発明におけるアクセス制御システムの適用形態例を示す。主な構成要素としては、サービスデバイス(電子錠)0114に対してサービスを要求するユーザ0110、ユーザインタフェースを提供する携帯端末0111、携帯端末0111の周辺に存在する同伴者0112が所有するユーザ周辺デバイス(IDカード、携帯端末等)0113、ユーザの要求するサービスを提供するサービスデバイス(電子錠)0114、サービスデバイス(電子錠)0114の周辺に存在する不審者0115が所有する機器周辺デバイス(未登録IDカード、携帯端末等)0116等からなる。
【0009】
図2は、本発明におけるアクセス制御システムの構成図である。主な構成要素としてユーザ0210、携帯端末0211、サービスデバイス0220、ユーザ周辺デバイス0218、機器周辺デバイス0228から構成される。このシステムは環境中に複数デバイスが分散して存在し、各サービスデバイス0220のハードディスク領域には拡張アクセスコントロールリスト(Extended Access Control List:EACL)0223が格納され、共通通信プロトコルを用いた無線通信モジュール(所定の通信技術を用いることができる)を有する。ユーザ0210は携帯端末0211(携帯電話/PDA等)を介して必要なサービスを要求し、サービスデバイス0220よりサービスを受信する。ユーザ0210は携帯端末0211を用いて、個人認証情報(ユーザID:676001027、グループID:105u)/サービス情報(要求サービスID:応接室開錠)をサービスデバイスに対して送信する。
【0010】
ただし、個人認証情報は携帯端末0211に記憶、サービス情報はネットワーク経由で入手したサービス一覧より選択する。携帯端末0211上の周辺デバイス検出処理0216は、携帯端末0211上の通信処理0217に対して周辺デバイス検索信号を送信する。通信処理0217は、周辺デバイスに対してデバイス情報配信要求信号を同報配信する。無線通信内に存在するユーザ周辺デバイス0218はデバイス情報配信要求信号を受信すると、通信処理0219によって周辺デバイス固有のグローバルユニークなID(周辺デバイスID:F0032A8)や周辺デバイスの状態(稼動中、スリープ等)を携帯端末上の通信処理0217に対して送信する。周辺デバイス情報を受信した通信処理0217は、周辺デバイス検出処理0216に情報を配信する。周辺デバイス情報を受信した周辺デバイス検出処理0216は、ユーザ周辺デバイス情報DB0214内のテーブルに周辺デバイス情報を書き込む。
【0011】
さらに、周辺デバイス検出処理0216はユーザ0210から最初に送信された個人認証情報/要求サービス情報に周辺デバイス情報を併せて、サービスデバイス0220に送信する。周辺デバイス検出処理0216は常時起動しており、一定周期でユーザ周辺デバイス0218の検出を行う。ユーザ情報/ユーザ周辺情報を受信したサービスデバイス0220上のアクセス制御処理0222は、サービスデバイス0220の周辺デバイス0228の情報収集を自身の機器周辺デバイス検出処理0224に対して要求する。要求を受信した機器周辺デバイス検出処理0224は、前記の携帯端末0211上のユーザ周辺デバイス検出処理0216と同様の処理によって、機器周辺デバイス0228の情報を獲得する。併せて、周辺デバイス情報DB0226内のテーブルに獲得した周辺デバイス情報を書き込む。機器周辺デバイス検出処理0224は、獲得した周辺デバイス情報をアクセス制御処理0222に配信する。
【0012】
周辺デバイス情報を受信したアクセス制御処理0222は、サービスデバイス0220上に記憶されたEACL0223を参照する。その際、携帯端末0211から受信したユーザ情報/ユーザ周辺情報及び前記のサービスデバイス周辺情報を利用する。アクセス制御処理0222は、受信した情報(ユーザID、グループID、要求サービスID、ユーザ周辺デバイス情報、機器周辺デバイス情報)とEACL0223を照合することによって、アクセスレベルを決定する。但し、ユーザ0210やユーザ周辺デバイス0218の履歴情報0230を参照してアクセスレベルを決定する場合もある。その際は、EACL0223を参照して決定されたアクセスレベルと比較を行い、ある政策(例えば、アクセスレベルの低い方を採用する等)に従ってアクセスレベルを決定する。アクセス制御処理0222は決定されたアクセスレベルのモードでサービスデバイス0220を制御し、ユーザ0210にサービスを提供する。その際の情報/サービスの流れについては、図3から図9で詳述する。
【0013】
尚、サービスデバイス0220は、ユーザ0210からのサービス要求時のみならず、上記ユーザ個人情報及びユーザ周辺情報を任意のタイミングで送信要求することが可能であることを付記する。
【0014】
図3は、本発明におけるシステム全体の処理を示すフローチャートである。ST0310において、ユーザ0210は携帯端末0211を介してサービスデバイス0220に対してサービスを要求する。その際、ユーザ0210は携帯端末0211を介して明示的にユーザID、グループID及び要求サービスIDを入力するか、携帯端末0211に予め記憶された各項目を選択しサービスデバイス0220に対してメッセージを送信する。ST0311においては、ユーザ情報のメッセージ送信要求を受けた携帯端末0211はユーザ周辺デバイス0218の検索を開始する。携帯端末0211は、ユーザ周辺デバイス0218よりデバイス情報を受信する。
【0015】
また、他に周辺デバイスが存在しないかどうかチェックを行い、ユーザ周辺デバイス0218が存在すれば処理を繰り返す。ユーザ周辺デバイス0218が存在しなければ、ST0312に進む。ST0312においては、ユーザ0210から入力あるいは携帯端末0211上に記憶されたユーザID、グループID、要求サービスIDと、ST0311で獲得したユーザ周辺デバイス情報を併せて、サービスデバイス0220に送信する。
【0016】
ST0313においては、携帯端末0211からサービス要求メッセージを受信すると、機器周辺デバイス0228の探索を開始する。サービスデバイス0220は、機器周辺デバイス0228よりデバイス情報を受信する。また、他に周辺デバイスが存在しないかどうかチェックを行い、機器周辺デバイス0228が存在すれば処理を繰り返す。機器周辺デバイス0228が存在しなければ、ST0314に進む。ST0314においては、携帯端末0211より受信した情報とST0313で獲得した機器周辺デバイス情報を利用してEACLの参照を行い、アクセスレベルを決定する。ST0315においては、ST0314で決定したアクセスレベルに基づいてユーザ0210に対してサービスを提供する。
【0017】
図27は、本発明における履歴情報データベースを用いた場合のシステム全体の処理を示すフローチャートである。ST2710乃至ST2714においては、ST0310乃至ST0314と同一の処理を行う。ST2715は、履歴情報DB0230を参照してアクセスレベルを決定する。決定したアクセスレベルとST2714で決定されたアクセスレベルをある政策(例えば、アクセスレベルの低い方を選択する等)に従ってアクセスレベルを決定する。ST2716においては、ST2715で決定したアクセスレベルに基づいてユーザ0210に対してサービスを提供する。
【0018】
図4は、本発明における携帯端末上の周辺デバイス検出処理を示すフローチャートである。ST0410において、ユーザ0210からI/O0212、アプリケーション0213を介してユーザ情報及びサービス要求を受信する。ST0411においては、通信処理0217に対して周辺デバイス検索要求を送信する。具体的には、各デバイスに対して同報メッセージを送信する要求を出す。ST0412においては、ユーザ周辺デバイス0218から通信処理0217へ送信された周辺デバイス情報を受信する。ST0413においては、機器構成管理処理0215にユーザ周辺デバイス0218の情報取得要求を送信する。ST0414においては、ユーザ情報及び機器構成管理処理0215から受信した情報をサービスデバイス0220に送信する。
【0019】
図5は、本発明における携帯端末上の機器構成管理処理を示すフローチャートである(非常駐処理)。ST0510において、周辺デバイス検出処理0216からユーザ周辺デバイス情報データベース0214への参照要求を受信する。ST0511においては、ユーザ周辺デバイス情報を元にユーザ周辺デバイス情報データベース0214を参照する。ST0512においては、ST0511で得られた参照結果を周辺デバイス検出処理0216に送信する。
【0020】
図6は、本発明における携帯端末上の機器構成管理処理を示すフローチャートである(常駐処理)。ST0610において、通信処理0217からユーザ周辺デバイス情報を受信する。ST0611において、ユーザ周辺機器情報を元にユーザ周辺デバイス情報データベース0214を参照する。ST0612においては、周辺デバイス検出処理0216にユーザ周辺デバイス0218の状態変更を通知する。次に、ST0610に戻る。
【0021】
図7は、本発明におけるサービスデバイス上の周辺デバイス検出処理を示すフローチャートである。ST0710において、携帯端末0211からサービス要求を受信する。ST0711においては、通信処理0227に対して周辺デバイス検索要求を送信する。具体的には、各デバイスに対して同報メッセージを送信する要求を出す。ST0712においては、機器周辺デバイス0228から通信処理0227へ送信された周辺デバイス情報を受信する。ST0713においては、機器構成管理処理0225に機器周辺デバイス0228の情報取得要求を送信する。ST0714においては、ユーザ情報及び機器構成管理処理0225から受信した情報をアクセス制御処理0222に送信する。
【0022】
図8は、本発明におけるサービスデバイス上の機器構成管理処理を示すフローチャートである(非常駐処理)。ST0810において、周辺デバイス検出処理0224から機器周辺デバイス情報データベース0226への参照要求を受信する。ST0811においては、機器周辺デバイス情報を元に機器周辺デバイス情報データベース0226を参照する。ST0812においては、ST0811で得られた参照結果を周辺デバイス検出処理0224に送信する。
【0023】
図9は、本発明におけるサービスデバイス上の機器構成管理処理を示すフローチャートである(常駐処理)。ST0910において、通信処理0227から機器周辺デバイス情報を受信する。ST0911において、機器周辺機器情報を元に機器周辺デバイス情報データベース0226を参照する。ST0912においては、アクセス制御処理0222に機器周辺デバイス0228の状態変更を通知する。次に、ST0910に戻る。
【0024】
図10は、本発明においてユーザが携帯端末を介してサービスを要求する際に送信するメッセージを示した図である。上記メッセージは、通信ヘッダ1010及びデータ1014からなり、その主な構成要素としては、ユーザの個人認証に用いられるユーザID1011、ユーザが属するグループID1012、ユーザがサービスデバイスに対して要求する要求サービス1013等からなる。また、データ1014の主な構成要素としては、ユーザ周辺デバイスに関する周辺機器構成1015、要求サービス1016等からなる。
【0025】
図11は、本発明におけるユーザから送信の情報を示す図である。主な構成要素としては、ユーザからデータが送信された時間を表すデータ送信日時1110、ユーザ個人を特定するユーザID1111、ユーザが属するグループID1112、ユーザ0210がサービスデバイス0220に対して要求する要求サービスID1113等からなる。
【0026】
図12は、本発明におけるユーザ周辺デバイス情報を示す図である。主な構成要素としては、周辺を検索してデータが得られた時間を表すデータ受信日時1210、ユーザ周辺に存在するユーザ周辺デバイス情報1211等(ID、状態値等)からなる。但し、ユーザ周辺デバイス情報1211は、ユーザ周辺デバイス0218が存在した場合のみ有効である。
【0027】
図13は、本発明における周辺デバイス情報を利用したEACLを示す図である。主な構成要素として、ユーザが本EACLを有するサービスデバイスに対して許可されるアクセスレベル1310、ユーザの属するグループID1311、ユーザ周辺に存在する機器のユーザ周辺デバイス情報(ID、状態値等)1312、サービスデバイス周辺に存在する機器周辺デバイス情報(ID、状態値等)1313からなる。但し、ユーザ周辺情報1312及び機器周辺デバイス情報1313は、ユーザ周辺デバイス0218及び機器周辺デバイス0228が存在した場合のみ有効である。
【0028】
図23は、本発明におけるサービス要求/提供時の時間(帯)によってアクセスレベルが変化するEACLを示す図である。主な構成要素として、受信情報2310、時間(帯)2311、アクセスレベル2312等から構成される。受信情報2310は、上記ユーザから受信したグループID1311、ユーザ周辺デバイス情報(ID、状態値等)1312、上記サービスデバイス周辺に存在する機器周辺デバイス情報(ID、状態値等)1313からなる。時間(帯)は、サービス要求あるいはサービス提供時のある時刻あるいはある時間帯を示す。アクセスレベル2312は、上記アクセスレベル1310と同値である。同一の情報を受信した場合でも、サービス要求/提供時刻によって異なったアクセスレベルを提供するものである。
【0029】
図14は、本発明におけるアクセスレベルと実行許可処理との関係を示す図である。主な構成要素として、上記アクセス制御処理において決定されたアクセスレベル1410、サービスデバイスで実行され得る実行処理1411、各アクセスレベルにおける実行処理を行うか行わないかを示したアクセス権限1412等からなる。
【0030】
図15は、本発明における周辺デバイスの判定基準を示す図である。携帯端末0211やサービスデバイス0212のように周辺デバイス検出処理0214を備えたデバイスi1514を中心とした半径dL1511の円を想定する。ここで、dLはデバイス固有の近傍距離閾値である。このとき、その円周を近傍境界線1510として、デバイスi1514と周辺デバイスj1513、非周辺デバイスk1515間の距離を赤外線近接センサ等を用いて測定する。デバイスi1514と周辺デバイスj、非周辺デバイスkとの距離をそれぞれdij1512、dik1512とする。このとき、不等式1516を用いて対象とするデバイスが、デバイスi1514の周辺デバイスj1513であるか、あるいは非周辺デバイスk1515であるかを判定する。
【0031】
図16は、本発明における周辺閾値(近傍距離閾値)の規定方法を示す図である。主な構成要素としては、ユーザ1610、ユーザ周辺デバイス1611、サービスデバイス1612、周辺閾値情報1613、ユーザ情報1614、周辺閾値1615等からなる。ユーザ1610は、携帯端末0211を通じてユーザ情報1614(ユーザID、グループID、要求サービスID等)をサービスデバイス1612に送信する。上記ユーザ情報1614を受信したサービスデバイス1612は、周辺閾値情報DBの参照を行い周辺閾値1615を決定する。
【0032】
その際、利用する情報は、上記ユーザ情報1614及びサービスデバイス1612情報である。決定された周辺閾値1615は、ユーザの所有する携帯端末1610に送信される。携帯端末1610は、受信した周辺閾値1615内を検索範囲1616としてユーザ周辺デバイス1611の探索を行う。但し、ユーザ周辺デバイス1611が同時にサービスデバイス1612の周辺デバイスと認識される場合は、ある政策(例えば、アクセスレベルが下がる方の周辺デバイスと認識する等)に従って処理を行う。
【0033】
図17は、本発明におけるサービスによる異なる周辺距離の例を示す概略図である。主な構成要素としては、サービス1710、周辺距離1711等からなる。サービスデバイス0220の提供するサービスに応じて、ユーザ0210が探索すべき周辺距離1711(周辺円領域の半径)を規定する。例えば、「ドアの開錠」サービスに対する周辺距離は、「10m」、「ドアの施錠」サービスに対する周辺距離は、「0m」等である。
【0034】
図18は、本発明におけるアクセス制御方法を適用した実施例1を示す概略図である。主な構成要素として、部長1810、課長1811、制限区域(金庫)1812、不審者1813等から構成される。課長1811は、携帯端末0211としてPDAを所有している。また、部長1810はユーザ周辺デバイス0218として、自身の情報を登録したIDカードを所有している。また、この適用例のサービスデバイス0220としては、金庫の電子錠1812を想定している。また、機器周辺デバイス0228としては、不審者1813が所持する未登録品(IDカード等)を考える。そこで、本発明における周辺デバイス情報を用いたアクセス制御システムの適用例における概略は以下に示す通りである。『課長1811一人では開錠禁止の金庫1812であるが、部長1810同伴の場合は開錠が許可される。ただし、金庫1812付近に不審者1813が検知された場合開錠されない。』さらに詳述すると、以下のようである。
【0035】
1.課長1811はPDAを用いて、個人認証情報(ユーザID:usr_676001027、グループID:grp_105)/サービス情報(要求サービスID:金庫開錠)1814を送信する。ただし、個人認証情報はPDAに記憶、サービス情報は、ネットワーク経由で入手可能なサービス一覧を用いて、ユーザ0210が携帯端末0211から選択する。但し、個人認証情報のPDAの記憶に際しては、メモリ及びSIM/WIMカードを用いた記憶方法等を想定している。
2.送信データにPDAの周辺デバイス情報であるIDカード情報(周辺デバイス情報:[info_udev]:{id.udev_001, stat.udev_001, ...})を加えて電子錠1812に送信する。尚、部長1810が偶然、課長1811のそばを通りかかった場合を回避するために、部長1810は明示的にリーダにIDカードをかざす。3.ユーザ周辺デバイス情報(ユニークなID、状態値等)は共通化された通信プロトコル(BT等)を利用して、PDAが獲得する。
4.PDAからメッセージ(ユーザID、グループID、要求サービスID、ユーザ周辺デバイス情報)1814を受信した電子錠1812は、機器周辺デバイスである未登録品情報(機器周辺デバイス情報:[info_ddev]:{id.ddev_001, stat.ddev_001, ...})を獲得する。尚、不審者1813の特定方法については、不審者1813の所有する通信機器(IDカード等も含む)への要求に対して、通信そのものは確立されているにも関わらず、応答がない(機器情報を送信しない等)などの場合に対象物を不審者1813とみなす方法等も含む。
【0036】
5.データ(ユーザID、グループID、要求サービスID、ユーザ周辺デバイス情報、機器周辺デバイス情報)と電子錠上のEACLとで照合を行い、アクセスレベルを決定する。
6.決定されたアクセスレベルのモードで電子錠1812を制御する。
7.課長1811にサービス(金庫を開錠しないというサービス)を提供する。8.尚、補足として、金庫内に重要物品がある場合セキュリティシステムが作動し、そうでない場合は複数(例えば、登録された全て)のユーザからの入室許可を認める等の実施例も含むことを付記する。
【0037】
図19は、本発明におけるアクセス制御方法を適用した実施例2を示す概略図である。主な構成要素として、客1910、店員1911、商品(CD等)1912、店入口1913等から構成される。店員1911は、携帯端末0211として店員カードを所有している。また、ユーザ周辺デバイス0218としては、店頭に並ぶタグ付き商品(CD等)を想定している。
【0038】
さらに、この適用例のサービスデバイス0220としては、未精算の商品(CD等)持ち出しをチェックする警報機付きタグリーダを常設した店入口1913を考える。具体的には、精算時商品(CD等)に貼付されたタグに精算済み情報を書き込み、店入口1913にてそのタグを読みとる。読み取った情報に精算済み情報が含まれておらず、かつ商品(CD等)を所持している者が店員でない場合警報を鳴らすものである。そこで、本発明における周辺デバイス情報を用いたアクセス制御システムの適用例における概略は以下に示す通りである。『未清算の商品(CD等)1912を所持した客1910が店入口1913に差し掛かると警報機が鳴るが、店員1911が商品(CD等)1912を所持して店入口を通過しても警報機は鳴らない。』さらに詳述すると、以下のようである。
【0039】
1.客1910が未清算のまま店入口1913を通過しようとすると、商品(CD等)タグ(未清算情報を含む)が入口付近に常設されたリーダによって読み取られる。
2.読み取られた情報が、商品の未清算情報である場合、リーダの警報機が作動する。
3.店員1910が未清算の商品(CD等)1912を所持したまま店入口1913を通過しようとした場合は、店員1911の所有する店員カード及び商品(CD等)タグ(未清算情報を含む)が入口付近に常設されたリーダによって読み取られる。
4.読み取られた情報が、店員情報である場合商品(CD等)1912のタグ情報に書き込まれた精算/未清算情報に依らずリーダの警報機は作動しない。
【0040】
図21は、本発明におけるアクセス制御方法を適用した実施例3を示す概略図である。主な構成要素として、社員A2110、社員B2111、エレベータ2112等から構成される。社員A2110及び社員B2111は、携帯端末等を用いてエレベータ2112を要求する階に呼び出す。社員Aは、エレベータ2112からある一定の距離(近傍距離閾値)2113以上の場所からサービスを要求し、社員Bは、近傍距離閾値2113を半径とする円内からサービスを要求する。そこで、本発明における周辺デバイス情報を用いたアクセス制御システムの適用例における概略は以下に示す通りである。『エレベータから遠くの場所(近傍距離閾値2113以上離れた場所)に居る社員A2110はエレベータ2112を呼び出せないが、近く(近傍距離閾値2113を半径とする円内領域)に居る社員Bはエレベータ2112を呼び出すことができる。』さらに詳述すると、以下のようである。
【0041】
1.社員A2110は、携帯端末等を用いてエレベータ2112に対してエレベータ呼び出しの要求メッセージを送信する。
2.携帯端末からメッセージが送信された時間とエレベータ2112で受信した時間差等を用いて、エレベータと社員Aの携帯端末等との距離を測定する。但し、距離の測定方法に関しては他の方法でもよい。
3.上記の測定距離が近傍距離閾値1213以上の場合、エレベータはアクセスを許可しない。
4.逆に、社員B1211のように、測定距離が近傍距離閾値以下の場合は、エレベータはアクセスを許可し社員B2111に対してサービスを提供する。
【0042】
図22は、本発明におけるアクセス制御方法を適用した実施例4のシステムの構成図である。主な構成要素は、社員2210、不審者2211、社員所有の携帯端末2212、不審者所有の携帯端末2213、正門2214、履歴情報DB2215、持出物2216等から構成される。
【0043】
そこで、本発明における周辺デバイス情報を用いたアクセス制御システムの適用例における概略は以下に示す通りである。『携帯端末2212を所持した社員Aは正門を通過できるが、携帯端末2213を所持しているにも関わらず積極的に個人情報を送信しようとせず、持出物2216を持ち出そうとしている不審者2211が正門を通過しようとするとチェックがかかる。周辺機器構成と併せて、持出物2216の履歴情報DB2215を用いることで、不審者2211は正門を通過できない。』さらに詳述すると、以下のようである。
【0044】
1.携帯端末2212を所持した社員A2210が正門を通過しようとすると、上記携帯端末2212から個人情報を獲得する。
2.社内DB等の参照を行い、上記社員Aが社員であることを確認し正門を通過させる。
3.携帯端末2213、持出物2216を所持する不審者2211が正門を通過しようとすると、携帯端末2213から個人情報が取り出せない。通信は確立されているが、意図的に個人情報等のデータを送信しないようにしている場合等である。
4.持出物2216の履歴情報DB2215を参照する。
5.対象機器2611を持出物2216、参照開始点2612を図書、参照終了点2613を正門、履歴情報2614を不審者2211の行動履歴情報(時刻2510、状態(値)2511、周辺機器2512)としてアクセスレベルを決定する。
6.周辺機器構成を用いて得られるアクセスレベルと上記アクセスレベルを比較して、ある政策(例えば、アクセスレベルの低い方を優先する等)に従ってアクセスレベルを決定する。
7.決定されたアクセスレベルに従ってアクセス制御を行う。
【0045】
図25は、本発明におけるユーザ/機器の履歴情報データベースの構成図である。主な構成要素として、時刻2510、状態(値)2511、周辺機器2512等から構成される。時刻2510は、ある対象となるユーザ/機器の履歴情報を採取した時刻(日付情報等含む)である。状態(値)2511は、時刻2510における対象ユーザ/機器の状態値である。例えば、対象が図書の書籍であるような場合は、「貸出未申請」「貸出既申請」等である。周辺機器2512は、時刻2510、状態(値)2511時における対象物ユーザ/機器の周辺に存在する機器である。
【0046】
図26は、本発明における履歴情報データベースを用いた場合のEACLを示す図である。主な構成要素として、アクセスレベル2610、対象機器2611、参照開始点2612、参照終了点2613、履歴情報2614等から構成される。アクセスレベル2610は、本EACLにおいて決定される対象機器2611のアクセスレベルである。参照開始点2612は、図書である。参照終了点2613は、正門である。履歴情報2614は、対象機器2611の参照開始点2612から参照終了点2613間における、ある対象者の行動履歴情報(状態(値)2510、時刻2511、周辺機器2512)である。
【0047】
図24は、本発明におけるアクセス制御方法を適用した実施例5のシステム構成図である。主な構成要素は、午前にサービスを要求する社員A2410、午後にサービスを要求する社員A2411、部屋のドア2412等から構成される。そこで、本発明における周辺デバイス情報を用いたアクセス制御システムの適用例における概略は以下に示す通りである。『社員A2410及び2411は、午前中に申請すれば部屋に入ることができるが、午後に申請すると入れない。』さらに詳述すると、以下のようである。
【0048】
1.午前中に社員A2410が部屋への入室許可申請メッセージを送信する。
2.上記メッセージは、上記実施例1乃至4と同様に周辺機器構成、周辺機器状態等を含んでいる。
3.社員A2410が午前中に申請を行った場合、部屋への入室が許可される。
4.社員A2411が午後から申請を行った場合、上記周辺機器情報等が同一でも、部屋への入室は許可されない。
5.また、社員A2410及び2411が申請を行った時間に関わらず、サービス提供時の時間(帯)(部屋の利用時間等)によって入室許可を発行するという実施例も含む。
【0049】
図20は、本発明におけるアクセス制御方法を適用した実施例6のシステムの構成図である。主な構成要素として、サービス要求デバイス2010、アクセスレベル認証局2012、サービス配信デバイス2013等から構成される。サービス要求デバイスは、サービス配信デバイス2013に対してサービス要求を送信する。この場合、ユーザ0210及びユーザ周辺デバイス0218の情報とともにサービス要求を送信する。上記要求を受信したサービス配信デバイス2013は、アクセスレベル照会処理2014を用いてアクセス認証局2012にアクセスレベルの照会を行う。その際、サービス要求デバイス2010から受信した情報及び機器周辺デバイス0228情報を送信する。上記情報を受信したアクセスレベル認証局2012は、EACLを用いてアクセスレベルを決定し、サービス配信デバイス2013に送信する。上記アクセスレベル情報を受信したサービス配信デバイス2013は、受信したアクセスレベルに応じたサービスを提供する。本構成を用いたシステムにおける実施例は、上記実施例1乃至5に該当する。
【0050】
上述した実施例は、以上詳述したように構成されており、次のような効果を奏する。(1)サービス受信側と送信側の周辺状態を含めたきめの細かいアクセス制御が可能となる。(2)ユーザ/サービスデバイスの周辺状態の変更に対して柔軟なアクセス制御が可能となる。
【0051】
【発明の効果】
本発明によれば、アクセス制御などのサービス提供を、きめ細かく実行することが可能になる。
【図面の簡単な説明】
【図1】本発明におけるアクセス制御システムの適用形態例を示した図である。
【図2】本発明におけるアクセス制御システムの構成図である。
【図3】本発明におけるシステム全体の処理を示すフローチャートである。
【図4】本発明における携帯端末上の周辺デバイス検出処理を示すフローチャートである。
【図5】本発明における携帯端末上の機器構成管理処理を示すフローチャートである(非常駐処理)。
【図6】本発明における携帯端末上の機器構成管理処理を示すフローチャートである(常駐処理)。
【図7】本発明におけるサービスデバイス上の周辺デバイス検出処理を示すフローチャートである。
【図8】本発明におけるサービスデバイス上の機器構成管理処理を示すフローチャートである(非常駐処理)。
【図9】本発明におけるサービスデバイス上の機器構成管理処理を示すフローチャートである(常駐処理)。
【図10】本発明においてユーザが携帯端末を介してサービスを要求する際に送信するメッセージを示した図である。
【図11】本発明におけるユーザから送信の情報を示す図である。
【図12】本発明におけるユーザ周辺デバイス情報を示す図である。
【図13】本発明における周辺デバイス情報を利用したEACLを示す図である。
【図14】本発明におけるアクセスレベルと実行許可処理との関係を示す図である。
【図15】本発明における周辺デバイスの判定基準を示す図である。
【図16】本発明における周辺閾値(近傍距離閾値)の既定方法を示す図である。
【図17】本発明におけるサービスによる異なる周辺距離の例を示す概略図である。
【図18】本発明におけるアクセス制御方法を適用した実施例1を示す概略図である。
【図19】本発明におけるアクセス制御方法を適用した実施例2を示す概略図である。
【図20】本発明におけるアクセス制御方法を適用した実施例6のシステムの構成図である。
【図21】本発明におけるアクセス制御方法を適用した実施例3のシステム構成図である。
【図22】本発明におけるアクセス制御方法を適用した実施例4のシステム構成図である。
【図23】本発明におけるサービス要求/提供時の時間(帯)によってアクセスレベルが変化するEACLを示す図である。
【図24】本発明におけるアクセス制御方法を適用した実施例5のシステム構成図である。
【図25】本発明におけるユーザ/機器の履歴情報データベースの構成図である。
【図26】本発明における履歴情報データベースを用いた場合のEACLを示す図である。
【図27】本発明における履歴情報データベースを用いた場合のシステム全体の処理を示すフローチャートである。
【符号の説明】
0210…システムサービスの対象となるユーザ、0211…携帯端末、0212…携帯端末のI/O、0213…アプリケーションプログラム、0214…データベース、0218…周辺デバイス、0220…サービスデバイス、0221…アプリケーションプログラム、0223…EACLのファイル本体、0226…データベース、0228…周辺デバイス。
Claims (16)
- 所定のサービスを提供するための情報処理を実行するサービスデバイスと、前記サービスデバイスに対して前記サービスの要求を示す要求情報を送信する要求デバイスとからなる分散システムにおけるサービス提供方法において、
前記サービスデバイスが、前記要求デバイスから送信される前記要求情報を受信するステップと、
前記サービスデバイスが、当該サービスデバイスの所定範囲に所定の信号を無線で発信し、発信された前記所定の信号に対する応答を受信することにより、前記所定範囲内に予め定められた周辺デバイスが存在するか否か示す情報を含む周辺情報を収集するステップと、
前記サービスデバイスが、前記周辺情報に基づいて、前記要求情報で要求されるサービスを提供可能な場合は、提供可能な前記サービスを提供するための情報処理を実行するステップとを有し、
前記情報処理を実行するステップは、前記周辺情報に基づいて第1のアクセスレベルを決定し、前記要求デバイスのユーザの過去の行動を示す履歴情報に基づいて第2のアクセスレベルを決定し、前記第1のアクセスレベルと前記第2のアクセスレベルを比較し、比較結果に基づいてアクセスレベルを決定し、決定した前記アクセスレベルに従って前記情報処理を実行することを特徴とする分散システムにおけるサービス提供方法。 - 請求項1に記載の分散システムにおけるサービス提供方法において、
前記周辺デバイスは、前記サービスを受ける権限を有することを示す識別情報を記憶することを特徴とする分散システムにおけるサービス提供方法。 - 請求項1または2に記載の分散システムにおけるサービス提供方法において、
前記サービスデバイスは、サービス毎に当該サービスを提供する場合の条件を対応付けた拡張アクセスコントロールリストを記憶する記憶装置と接続し、
前記情報処理を実行するステップは、収集された前記周辺情報および前記履歴情報と前記拡張アクセスコントロールリストを照合することによって、前記第1のアクセスレベルおよび前記第2のアクセスレベルをそれぞれ決定することを特徴とする分散システムにおけるサービス提供方法。 - 請求項3に記載の分散システムにおけるサービス提供方法において、
前記拡張アクセスコントロールリストには、前記条件が、前記周辺情報に応じて、前記サービスを受けることが可能な利用者もしくは要求デバイスを変更されて格納されることを特徴とする分散システムにおけるサービス提供方法。 - 請求項1乃至4のいずれか1つに記載の分散システムにおけるサービス提供方法において、
前記サービスを提供するための情報処理には、前記要求デバイスから前記サービスデバイスへのアクセスが含まれることを特徴とする分散システムにおけるサービス提供方法。 - 請求項1乃至5のいずれか1つに記載の分散システムにおけるサービス提供方法において、
前記情報処理を実行するステップは、前記第1のアクセスレベルと前記第2のアクセスレベルのうち低いアクセスレベルに従って前記情報処理を実行することを特徴とする分散システムにおけるサービス提供方法。 - 所定のサービスを提供するための情報処理を実行するサービス提供装置において、
前記サービスの要求を示す要求情報を送信する要求デバイスから前記要求情報を受信する受信装置と、
前記受信装置と接続され、記憶装置に格納されたプログラムに従って、当該サービス提供装置の所定範囲に所定の信号を無線で発信し、発信された前記所定の信号に対する応答を受信することにより、前記所定範囲内に予め定められた周辺デバイスが存在するか否か示す情報を含む周辺情報を収集し、前記周辺情報に基づいて、前記要求情報で要求されるサービスを提供可能な場合は、提供可能な前記サービスを提供するための情報処理を実行する処理装置とを有し、
前記処理装置は、前記周辺情報に基づいて第1のアクセスレベルを決定し、前記要求デバイスのユーザの過去の行動を示す履歴情報に基づいて第2のアクセスレベルを決定し、前記第1のアクセスレベルと前記第2のアクセスレベルを比較し、比較結果に基づいてアクセスレベルを決定し、決定した前記アクセスレベルに従って前記情報処理を実行することを特徴とするサービス提供装置。 - 請求項7に記載のサービス提供装置において、
前記周辺デバイスは、前記サービスを受ける権限を有することを示す識別情報を記憶することを特徴とするサービス提供装置。 - 請求項7または8に記載のサービス提供装置において、
サービス毎に当該サービスを提供する場合の条件を対応付けた拡張アクセスコントロールリストを記憶する記憶装置をさらに有し、
前記処理装置は、収集された前記周辺情報および前記履歴情報と前記拡張アクセスコントロールリストを照合することによって、前記第1のアクセスレベルおよび前記第2のアクセスレベルをそれぞれ決定することを特徴とするサービス提供装置。 - 請求項9に記載のサービス提供装置において、
前記処理装置は、前記記憶装置に、前記条件を、前記周辺情報に応じて、前記サービスを受けることが可能な利用者もしくは要求デバイスを変更して格納することを特徴とするサービス提供装置。 - 請求項7乃至10のいずれか1つに記載のサービス提供装置において、
前記サービスを提供するための情報処理には、前記要求デバイスから前記処理装置へのアクセスが含まれることを特徴とするサービス提供装置。 - 請求項7乃至11のいずれか1つに記載のサービス提供装置において、
前記処理装置は、前記処理装置と前記要求デバイスとの距離を測定し、前記距離が所定の閾値以下の場合に前記情報処理を実行することを特徴とするサービス提供装置。 - 請求項12に記載のサービス提供装置において、
前記処理装置は、前記要求デバイスより前記要求情報が送信された第1の時刻と、前記処理装置が前記要求情報を受信した第2の時刻の時間差を用いて、前記処理装置と前記要求デバイスとの距離を測定することを特徴とするサービス提供装置。 - 請求項7乃至13のいずれか1つに記載のサービス提供装置において、
前記処理装置は、前記第1のアクセスレベルと前記第2のアクセスレベルのうち低いアクセスレベルに従って前記情報処理を実行することを特徴とするサービス提供装置。 - 所定の領域外への機器の帯出を管理する機器管理システムにおいて、
前記領域外への前記機器の帯出を物理的に制限する制限装置と、
前記制限装置と接続する手段と、前記制限装置の所定範囲に所定の信号を無線で発信し、発信された前記所定の信号に対する応答を受信することにより、前記所定範囲内に予め 定められた周辺デバイスが存在するか否かを示す情報を含む周辺情報を収集する手段と、前記機器を帯出しようとする者が所持する携帯端末に格納された個人または組織の識別情報を前記携帯端末より取得する手段と、取得した前記識別情報に基づいて、前記制限装置に対し、前記領域外への前記機器の帯出を許容する制御を実行する手段とを有する制御装置とを備え、
前記制御装置は、前記携帯端末より前記識別情報が取得できない場合には、前記機器の過去の情報を示す履歴情報を参照し、前記周辺情報に基づいて第1のアクセスレベルを決定し、前記履歴情報に基づいて第2のアクセスレベルを決定し、前記第1のアクセスレベルと前記第2のアクセスレベルを比較し、比較結果に基づいてアクセスレベルを決定し、決定した前記アクセスレベルに従って前記制御を実行することを特徴とする機器管理システム。 - 請求項15に記載の機器管理システムにおいて、
前記履歴情報は、前記履歴情報を採取した時刻、前記時刻の前記機器の状態、および前記時刻に前記機器の周辺に存在したデバイスの情報を含むことを特徴とする機器管理システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001174981A JP4232355B2 (ja) | 2001-06-11 | 2001-06-11 | 分散システムにおけるサービス提供方法 |
| US10/052,282 US7212097B2 (en) | 2001-06-11 | 2002-01-17 | Service provision method and apparatus in a distributed system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001174981A JP4232355B2 (ja) | 2001-06-11 | 2001-06-11 | 分散システムにおけるサービス提供方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002366530A JP2002366530A (ja) | 2002-12-20 |
| JP4232355B2 true JP4232355B2 (ja) | 2009-03-04 |
Family
ID=19016193
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001174981A Expired - Fee Related JP4232355B2 (ja) | 2001-06-11 | 2001-06-11 | 分散システムにおけるサービス提供方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7212097B2 (ja) |
| JP (1) | JP4232355B2 (ja) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9558475B2 (en) * | 2002-05-06 | 2017-01-31 | Avaya Inc. | Location based to-do list reminders |
| DE602004004129T2 (de) * | 2003-06-13 | 2007-10-04 | Sap Ag | Datenverarbeitungssystem |
| JP4657619B2 (ja) * | 2004-03-31 | 2011-03-23 | 富士通株式会社 | 情報処理装置及びアクセス権管理方法 |
| WO2005110208A1 (en) * | 2004-05-13 | 2005-11-24 | Philips Intellectual Property & Standards Gmbh | Location dependent access control |
| US8571541B2 (en) | 2004-07-15 | 2013-10-29 | Avaya Inc. | Proximity-based authorization |
| US8050698B2 (en) * | 2004-07-15 | 2011-11-01 | Avaya Inc. | Peer-to-peer neighbor detection for proximity-based command execution |
| TWM264589U (en) * | 2004-07-21 | 2005-05-11 | Ind Tech Res Inst | Flexible display device |
| EP1708528A1 (en) * | 2005-03-31 | 2006-10-04 | BRITISH TELECOMMUNICATIONS public limited company | Location based authentication |
| JP4806954B2 (ja) * | 2005-04-15 | 2011-11-02 | オムロン株式会社 | 情報処理装置、情報処理装置の制御方法、情報処理装置の制御プログラム、および情報処理装置の制御プログラムを記録した記録媒体 |
| US20070043950A1 (en) * | 2005-08-16 | 2007-02-22 | Sony Corporation | Target apparatus, certification device, and certification method |
| JP2007052514A (ja) * | 2005-08-16 | 2007-03-01 | Sony Corp | 対象装置および認証方法 |
| DE102005057101A1 (de) * | 2005-11-30 | 2007-06-06 | Siemens Ag | Verfahren und zentrale Einrichtung für Zugangskontrollen zu gesicherten Bereichen oder Einrichtungen |
| WO2007108072A1 (ja) * | 2006-03-17 | 2007-09-27 | Fujitsu Limited | 端末処理方法、端末処理プログラムおよび端末処理装置 |
| US7847727B2 (en) * | 2006-08-29 | 2010-12-07 | Pinpoint Productions LLC | Object identity and location tracking system |
| JP4910602B2 (ja) * | 2006-09-28 | 2012-04-04 | Kddi株式会社 | データ伝送システム及びサーバ |
| US8165598B2 (en) | 2006-10-02 | 2012-04-24 | Mobitv, Inc. | Methods and apparatus for providing media on mobile devices |
| JP4987459B2 (ja) * | 2006-12-25 | 2012-07-25 | フェリカネットワークス株式会社 | 情報処理端末およびコンピュータプログラム |
| US20090206985A1 (en) * | 2008-02-19 | 2009-08-20 | Advanced Connection Technology Inc. | Control method and system for controlling access through an automated door |
| US7969302B2 (en) * | 2008-06-09 | 2011-06-28 | Honeywell International Inc. | System and method for dynamic association of security levels and enforcement of physical security procedures |
| JP2010092172A (ja) * | 2008-10-06 | 2010-04-22 | Fujitsu Ltd | セキュリティシステム、セキュリティプログラム及びセキュリティ方法 |
| JP4747218B2 (ja) * | 2009-04-15 | 2011-08-17 | 東芝テック株式会社 | Rfidシステムおよび制御プログラム |
| US8374127B2 (en) * | 2009-10-26 | 2013-02-12 | Lg Electronics Inc. | Digital broadcasting system and method of processing data in digital broadcasting system |
| JP4915463B2 (ja) * | 2010-05-06 | 2012-04-11 | 富士通株式会社 | 情報処理装置 |
| CN103620612B (zh) * | 2011-07-12 | 2016-04-13 | 惠普发展公司,有限责任合伙企业 | 包括端口和来宾域的计算设备 |
| US9019071B1 (en) * | 2011-09-06 | 2015-04-28 | George Mallard | Method and apparatus for integrating a plurality of legacy access control systems with partitionable resources |
| US9077756B1 (en) * | 2012-03-05 | 2015-07-07 | Symantec Corporation | Limiting external device access to mobile computing devices according to device type and connection context |
| KR101881926B1 (ko) * | 2012-12-13 | 2018-07-26 | 삼성전자주식회사 | 주변 기기의 디바이스 정보를 등록하기 위한 디바이스 제어 방법, 디바이스 및 그 시스템 |
| WO2014092441A1 (en) * | 2012-12-13 | 2014-06-19 | Samsung Electronics Co., Ltd. | Device control method for registering device information of peripheral device, and device and system thereof |
| JP6481203B2 (ja) * | 2014-12-26 | 2019-03-13 | キヤノンマーケティングジャパン株式会社 | 情報処理システム、情報処理装置、サーバ、制御方法及びプログラム |
| CN104636645B (zh) * | 2015-01-27 | 2018-04-27 | 腾讯科技(深圳)有限公司 | 数据访问的控制方法及装置 |
| US10360746B1 (en) * | 2016-12-30 | 2019-07-23 | Alarm.Com Incorporated | Controlled indoor access using smart indoor door knobs |
| US10412736B2 (en) | 2017-05-08 | 2019-09-10 | T-Mobile Usa, Inc. | Internet of things (IoT) device firewalling |
| CN110047174A (zh) * | 2019-03-11 | 2019-07-23 | 利智华(北京)智能科技有限公司 | 一种轨道交通全网多功能平台管理系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6823244B2 (en) * | 1995-06-07 | 2004-11-23 | Automotive Technologies International, Inc. | Vehicle part control system including electronic sensors |
| US5550547A (en) * | 1994-09-12 | 1996-08-27 | International Business Machines Corporation | Multiple item radio frequency tag identification protocol |
| JPH08138018A (ja) * | 1994-11-10 | 1996-05-31 | Rikagaku Kenkyusho | データ・キャリア・システム |
| US5886634A (en) * | 1997-05-05 | 1999-03-23 | Electronic Data Systems Corporation | Item removal system and method |
| IL138224A0 (en) * | 1998-03-02 | 2001-10-31 | Konisa Ltd | A security system |
| JP3576008B2 (ja) | 1998-10-09 | 2004-10-13 | 株式会社東芝 | アクセス制御設定システム及び記憶媒体 |
| US6567486B1 (en) * | 1999-07-26 | 2003-05-20 | Lucent Technologies Inc. | Apparatus and method for finding location of a mobile unit |
| US6600418B2 (en) * | 2000-12-12 | 2003-07-29 | 3M Innovative Properties Company | Object tracking and management system and method using radio-frequency identification tags |
-
2001
- 2001-06-11 JP JP2001174981A patent/JP4232355B2/ja not_active Expired - Fee Related
-
2002
- 2002-01-17 US US10/052,282 patent/US7212097B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| US7212097B2 (en) | 2007-05-01 |
| US20020186121A1 (en) | 2002-12-12 |
| JP2002366530A (ja) | 2002-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4232355B2 (ja) | 分散システムにおけるサービス提供方法 | |
| US9437063B2 (en) | Methods and systems for multi-unit real estate management | |
| US8620269B2 (en) | Defining a boundary for wireless network using physical access control systems | |
| US7616091B2 (en) | Actuating a security system using a wireless device | |
| CA2632770C (en) | Mobile based identification in security and asset management | |
| US20200329037A1 (en) | Security system with a wireless security device | |
| JP6081859B2 (ja) | 入退域管理システム及び入退域管理方法 | |
| US9471757B2 (en) | Radio frequency identifiers for providing user access to computing resources | |
| US7567176B2 (en) | Location-based anti-theft and security system and method | |
| JP6897536B2 (ja) | 認証情報制御システム、認証情報制御方法、及び、認証情報制御プログラム | |
| US9230377B2 (en) | Mobile device security | |
| JP4320781B2 (ja) | 入退室管理システム | |
| WO2006134971A1 (ja) | 書類管理システム | |
| US20180005469A1 (en) | Wearable security apparatus | |
| JPH09152990A (ja) | アクセス制御システムおよびアクセス制御方法 | |
| JP2000311024A (ja) | 企業環境におけるモバイル・コンピュータ・システムの安全保護 | |
| US8613049B2 (en) | Network system, its control method, and program | |
| JP2004246553A (ja) | 管理機器及び管理システム及び管理方法及び管理プログラム | |
| JP5769843B1 (ja) | 入場管理システム | |
| KR20200125110A (ko) | 도어락 시스템 및 이의 제어 방법 | |
| JP2008144531A (ja) | 電子錠制御システム | |
| KR102397042B1 (ko) | 출입 관리 시스템 및 그 방법 | |
| JP2005223864A (ja) | 無線通信中継装置と無線通信中継システム | |
| JP2017010415A (ja) | 入室管理システム、及びプログラム | |
| JP2002123803A (ja) | 個人識別システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041112 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20060418 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080206 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080219 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080417 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081118 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081201 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111219 Year of fee payment: 3 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 4232355 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111219 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121219 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131219 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |