[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2017162481A - Terminal, access control method, and program - Google Patents

Terminal, access control method, and program Download PDF

Info

Publication number
JP2017162481A
JP2017162481A JP2017074210A JP2017074210A JP2017162481A JP 2017162481 A JP2017162481 A JP 2017162481A JP 2017074210 A JP2017074210 A JP 2017074210A JP 2017074210 A JP2017074210 A JP 2017074210A JP 2017162481 A JP2017162481 A JP 2017162481A
Authority
JP
Japan
Prior art keywords
access
application
user
resource
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017074210A
Other languages
Japanese (ja)
Other versions
JP6328290B2 (en
Inventor
中村 徹
Toru Nakamura
徹 中村
清本 晋作
Shinsaku Kiyomoto
晋作 清本
渡辺 龍
Tatsu Watanabe
龍 渡辺
三宅 優
Masaru Miyake
優 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2017074210A priority Critical patent/JP6328290B2/en
Publication of JP2017162481A publication Critical patent/JP2017162481A/en
Application granted granted Critical
Publication of JP6328290B2 publication Critical patent/JP6328290B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephone Function (AREA)

Abstract

PROBLEM TO BE SOLVED: To perform access restriction with predetermined granularity without modifying a permission mechanism itself in a certain open platform.SOLUTION: An application processes data communication with an application server, and executes a unique processing operation of the application. The application detects user access to a resource. When detecting the user access to the resource, the application refers to an access policy of a user. Then, on the basis of the referred user access policy, determination processing is performed as to whether to permit the user to access the resource, as interrupt processing.SELECTED DRAWING: Figure 3

Description

本発明は、端末内にインストールされたアプリケーションが、端末使用者のリソースにアクセスすることを制限する端末、アクセス制限方法およびプログラムに関する。   The present invention relates to a terminal, an access restriction method, and a program for restricting an application installed in a terminal from accessing a resource of a terminal user.

android(登録商標)OSなどに代表される携帯端末用オープンプラットフォームでは、不適切なリソースへのアクセスを防止するためにパーミッションと呼ばれる機構を用いる。これらのプラットフォーム上では、アプリケーションをインストールする際に、アクセスが必要なリソースの一覧をユーザに提示し、ユーザがそれに了承しない限りアプリケーションのインストールを実行することができない。そのため、ソースファイルをリパッケージングして、アクセスを許可したリソースに対するインタフェースに監視機能を追加し、アクセス毎にユーザに許可を求める技術が提案されている(例えば、非特許文献1参照。)。   In an open platform for a portable terminal represented by android (registered trademark) OS, a mechanism called permission is used to prevent access to inappropriate resources. On these platforms, when installing an application, a list of resources that need to be accessed is presented to the user, and the application cannot be installed unless the user approves it. For this reason, a technique has been proposed in which a source file is repackaged, a monitoring function is added to an interface for a resource for which access is permitted, and permission is requested from the user for each access (see, for example, Non-Patent Document 1).

Rubin Xu,Hassen Saidi, and Ross Anderson,“Aurasium:Practical Policy Enforcement for Android Applications”, USENIX Security’12.Rubin Xu, Hassen Saidi, and Ross Anderson, “Aurasium: Practical Policy for Android Applications”, USENIX Security'12.

しかしながら、パーミッションは予めプラットフォーム提供者によって定められているため、粒度が不適切な場合に対応できない。例えば、インターネットアクセスを許可したアプリケーションに対して、アクセスが想定される正規のサイトへのアクセスは許可するが、想定外の不正なサイトにアクセスすることは許可しない、といった制限ができないことがある。また、非特許文献1に記載の技術では、アクセス毎にユーザに許可を求めることで利便性が低下してしまうという問題がある。   However, since the permission is determined in advance by the platform provider, it cannot cope with a case where the granularity is inappropriate. For example, it may not be possible to restrict an application that has permitted Internet access to allow access to a legitimate site that is supposed to be accessed, but not to allow access to an unexpected illegal site. Further, the technique described in Non-Patent Document 1 has a problem that convenience is reduced by asking the user for permission for each access.

そこで、本発明は、上述の課題に鑑みてなされたものであり、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことを可能にする端末、アクセス制限方法およびプログラムを提供することを目的とする。   Therefore, the present invention has been made in view of the above-described problems, and a terminal and an access restriction method capable of performing access restriction with a desired granularity without modifying the permission mechanism itself in an open platform. And to provide a program.

本発明は、上記の課題を解決するために、以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。   The present invention proposes the following matters in order to solve the above problems. In addition, in order to make an understanding easy, although the code | symbol corresponding to embodiment of this invention is attached | subjected and demonstrated, it is not limited to this.

(1)本発明は、所望の粒度で自らアクセス制限を行なうアプリケーション(例えば、図1、図2のアプリケーション210に相当)を備えた端末であって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する処理手段(例えば、図1、図2の処理部211に相当)と、前記アプリケーションの独自の処理動作を実行する実行手段(例えば、図1、図2の実行部212に相当)と、該アプリケーションがユーザのリソースにアクセスを行おうとしたことを検知するアクセス検知手段(例えば、図1、図2のアクセス検知部214に相当)と、該アクセス検知手段が、ユーザのリソースへのアクセスを検出したときに、ユーザのアクセスポリシを参照して、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行うアクセス制限手段(例えば、図1、図2のアクセス制限部213に相当)と、を備えるとともに、前記ユーザのアクセスポリシを記憶するアクセスポリシ記憶部(例えば、図1、図4のアクセスポリシ記憶部220に相当)と、前記ユーザのリソースを記憶するリソース記憶部(例えば、図1、図4のリソース記憶部230に相当)と、を備えたことを特徴とする端末を提案している。   (1) The present invention is a terminal provided with an application (for example, equivalent to the application 210 in FIGS. 1 and 2) that restricts access at a desired granularity, and the application is connected to an application server. Processing means for processing data communication (for example, equivalent to the processing unit 211 in FIGS. 1 and 2) and execution means for executing unique processing operations of the application (for example, equivalent to the execution unit 212 in FIGS. 1 and 2) ), An access detection unit (for example, equivalent to the access detection unit 214 in FIGS. 1 and 2) for detecting that the application has attempted to access the user resource, and the access detection unit to the user resource. Whether to allow access to user resources by referring to the user's access policy An access restriction means (for example, equivalent to the access restriction unit 213 in FIGS. 1 and 2) that performs the determination process as an interrupt process, and an access policy storage unit (for example, FIG. 1, FIG. 1) that stores the access policy of the user. 4 and an access policy storage unit 220 in FIG. 4 and a resource storage unit (for example, corresponding to the resource storage unit 230 in FIGS. 1 and 4) for storing the user's resources. Has proposed.

この発明によれば、アプリケーションの処理手段は、アプリケーションサーバとの間でのデータ通信を処理する。実行手段は、アプリケーションの独自の処理動作を実行する。アクセス検知手段は、アプリケーションがユーザのリソースにアクセスを行おうとしたことを検知する。アクセス制限手段は、アクセス検知手段が、ユーザのリソースへのアクセスを検出したときに、ユーザのアクセスポリシを参照して、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。   According to this invention, the processing means of the application processes data communication with the application server. The execution means executes a unique processing operation of the application. The access detection means detects that the application tried to access the user's resource. When the access detection means detects access to the user's resource, the access restriction means refers to the user's access policy and determines whether to permit access to the user's resource as an interrupt process. . Therefore, it is possible to perform access restriction with a desired granularity without modifying the permission mechanism itself in a certain open platform.

(2)本発明は、(1)の端末について、前記ユーザのリソース、アクセスポリシを記憶する記憶装置(例えば、図2のアクセスポリシサーバ300、リソースサーバ400に相当)を外部に備えたことを特徴とする端末を提案している。   (2) The present invention includes a storage device (for example, equivalent to the access policy server 300 and the resource server 400 in FIG. 2) for storing the user resource and access policy for the terminal of (1). A terminal with features is proposed.

この発明によれば、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えた。これにより、端末外のユーザのリソース、アクセスポリシを利用することができる。   According to the present invention, a storage device for storing user resources and access policies is provided outside. This makes it possible to use resources and access policies of users outside the terminal.

(3)本発明は、アプリケーションと、該アプリケーションのアクセス制限を行なうアクセス制限手段(例えば、図7、図8のアクセス制限部251に相当)とを備え、前記アクセス制限手段が所望の粒度でアプリケーションに対するアクセス制限を行なう端末であって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する処理手段(例えば、図7、図8の処理部211に相当)と、前記アプリケーションの独自の処理動作を実行する実行手段(例えば、図7、図8の実行部212に相当)と、を備え、前記アクセス制限手段が、前記アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かの判定することを特徴とする端末を提案している。   (3) The present invention includes an application and access restriction means (for example, equivalent to the access restriction unit 251 in FIGS. 7 and 8) for restricting access to the application, and the access restriction means has an application with a desired granularity. And a processing means (for example, corresponding to the processing unit 211 in FIG. 7 and FIG. 8) for processing data communication with the application server, and a unique application of the application. Execution means (e.g., corresponding to the execution unit 212 in FIGS. 7 and 8) for executing processing operations, and when the access restriction means tries to access the user's resources, Refer to the access policy to determine whether to allow access to the user's resources. It has proposed a terminal, wherein the door.

この発明によれば、アプリケーションの処理手段は、アプリケーションサーバとの間でのデータ通信を処理する。実行手段は、アプリケーションの独自の処理動作を実行する。アクセス制限手段は、アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かを判定する。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。   According to this invention, the processing means of the application processes data communication with the application server. The execution means executes a unique processing operation of the application. When the application tries to access the user's resource, the access restriction means refers to the user's access policy and determines whether to permit access to the user's resource. Therefore, it is possible to perform access restriction with a desired granularity without modifying the permission mechanism itself in a certain open platform.

(4)本発明は、自らアクセス制限を行うアプリケーション(例えば、図1、図2のアプリケーション210に相当)と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部と、前記ユーザのリソースを記憶するリソース記憶部とを備え、所望の粒度でアクセス制限を行なう端末におけるアクセス制限方法であって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第1のステップ(例えば、図3のステップS110に相当)と、前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第2のステップ(例えば、図3のステップS120に相当)と、前記アプリケーションが、ユーザのリソースに対するアクセスを検知する第3のステップ(例えば、図3のステップS130に相当)と、前記アプリケーションが、前記ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第4のステップ(例えば、図3のステップS140に相当)と、前記アプリケーションが、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う第5のステップ(例えば、図3のステップS150に相当)と、を備えたことを特徴とするアクセス制限方法を提案している。   (4) The present invention provides an application that restricts access by itself (for example, equivalent to the application 210 in FIGS. 1 and 2), an access policy storage unit that stores a user access policy, and a resource that stores the user resource. And a storage unit, and an access restriction method in a terminal that restricts access at a desired granularity, wherein the application processes data communication with an application server (for example, step of FIG. 3). S110), a second step in which the application executes a unique processing operation of the application (for example, equivalent to step S120 in FIG. 3), and a first step in which the application detects access to a user resource. 3 step (for example, in step S130 of FIG. And a fourth step (for example, corresponding to step S140 in FIG. 3) of referring to the access policy of the user when the application detects access to the resource of the user, and the application And a fifth step (for example, corresponding to step S150 in FIG. 3) of performing, as an interrupt process, a process for determining whether to permit access to the user's resource based on the user's access policy. Proposed access restriction method.

この発明によれば、アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理し、アプリケーションの独自の処理動作を実行する。アプリケーションは、ユーザのリソースに対するアクセスを検知し、ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。   According to the present invention, the application processes data communication with the application server, and executes an original processing operation of the application. The application detects access to the user's resource, and refers to the user's access policy when detecting access to the user's resource. Then, based on the access policy of the referred user, a process for determining whether to permit access to the user's resource is performed as an interrupt process. Therefore, it is possible to perform access restriction with a desired granularity without modifying the permission mechanism itself in a certain open platform.

(5)本発明は、自らアクセス制限を行うアプリケーションと、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部と、前記ユーザのリソースを記憶するリソース記憶部とを備え、所望の粒度でアクセス制限を行なう端末におけるアクセス制限方法をコンピュータに実行させるためのプログラムであって、前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第1のステップ(例えば、図3のステップS110に相当)と、前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第2のステップ(例えば、図3のステップS120に相当)と、前記アプリケーションが、ユーザのリソースに対するアクセスを検知する第3のステップ(例えば、図3のステップS130に相当)と、前記アプリケーションが、前記ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第4のステップ(例えば、図3のステップS140に相当)と、前記アプリケーションが、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う第5のステップ(例えば、図3のステップS150に相当)と、をコンピュータに実行させるためのプログラムを提案している。   (5) The present invention includes an application that limits access by itself, an access policy storage unit that stores a user's access policy, and a resource storage unit that stores the user's resources, and performs access limitation at a desired granularity. A program for causing a computer to execute an access restriction method in a terminal, wherein the application processes data communication with an application server (for example, corresponding to step S110 in FIG. 3); A second step (for example, corresponding to step S120 in FIG. 3) in which the application performs a unique processing operation of the application, and a third step (for example, in which the application detects access to a user resource) Equivalent to step S130 in FIG. 3), When the application detects access to the resource of the user, a fourth step of referring to the user's access policy (for example, corresponding to step S140 in FIG. 3) and the access of the user referred to by the application A program for causing a computer to execute a fifth step (e.g., corresponding to step S150 in FIG. 3) of performing, as an interrupt process, a process for determining whether to permit access to a user resource based on a policy. is suggesting.

この発明によれば、アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理し、アプリケーションの独自の処理動作を実行する。アプリケーションは、ユーザのリソースに対するアクセスを検知し、ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う。したがって、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。   According to the present invention, the application processes data communication with the application server, and executes an original processing operation of the application. The application detects access to the user's resource, and refers to the user's access policy when detecting access to the user's resource. Then, based on the access policy of the referred user, a process for determining whether to permit access to the user's resource is performed as an interrupt process. Therefore, it is possible to perform access restriction with a desired granularity without modifying the permission mechanism itself in a certain open platform.

本発明によれば、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことを可能にするという効果がある。   According to the present invention, there is an effect that it is possible to perform access restriction with a desired granularity without modifying the permission mechanism itself in a certain open platform.

本発明の第1の実施形態に係る端末の構成を示す図である。It is a figure which shows the structure of the terminal which concerns on the 1st Embodiment of this invention. 本発明の第1の実施形態の変形例に係る端末の構成を示す図である。It is a figure which shows the structure of the terminal which concerns on the modification of the 1st Embodiment of this invention. 本発明の第1の実施形態に係る端末の処理を示す図である。It is a figure which shows the process of the terminal which concerns on the 1st Embodiment of this invention. 本発明の第2の実施形態に係る端末の構成を示す図である。It is a figure which shows the structure of the terminal which concerns on the 2nd Embodiment of this invention. 本発明の第2の実施形態の変形例に係る端末の構成を示す図である。It is a figure which shows the structure of the terminal which concerns on the modification of the 2nd Embodiment of this invention. 本発明の第2の実施形態に係る端末の処理を示す図である。It is a figure which shows the process of the terminal which concerns on the 2nd Embodiment of this invention. 本発明の第3の実施形態に係る端末の構成を示す図である。It is a figure which shows the structure of the terminal which concerns on the 3rd Embodiment of this invention. 本発明の第3の実施形態の変形例に係る端末の構成を示す図である。It is a figure which shows the structure of the terminal which concerns on the modification of the 3rd Embodiment of this invention. 本発明の第3の実施形態に係る端末の処理を示す図である。It is a figure which shows the process of the terminal which concerns on the 3rd Embodiment of this invention.

以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
Note that the constituent elements in the present embodiment can be appropriately replaced with existing constituent elements and the like, and various variations including combinations with other existing constituent elements are possible. Therefore, the description of the present embodiment does not limit the contents of the invention described in the claims.

<第1の実施形態>
図1から図3を用いて、本発明の第1の実施形態について説明する。 <First Embodiment>
A first embodiment of the present invention will be described with reference to FIGS.

なお、本発明の端末は、あるプラットフォームに従ってアプリケーションをインストールすることができる。このときプラットフォーム提供者によって定められた粒度においてパーミッションを設定が行われる。設定されたパーミッションによって、アプリケーションがアプリケーション利用者のリソースへアクセスすることを制限するものである。   The terminal of the present invention can install an application according to a certain platform. At this time, the permission is set at a granularity determined by the platform provider. The set permission restricts the application from accessing the application user's resources.

また、インストールしたアプリケーションは、ユーザにサービスを提供するために、アプリケーションサーバに、取得したアプリケーションユーザのリソースを提出する必要がある場合がある。このように、アプリケーション利用者のリソースが必要な場合には、アプリケーション利用端末にアプリケーションをインストールする際に、アプリケーションユーザの合意を明示的に得る必要がある。以下、上記の処理を実行する実施形態について説明する。   In addition, the installed application may need to submit the acquired application user resource to the application server in order to provide services to the user. Thus, when an application user's resource is required, when installing an application in an application utilization terminal, it is necessary to obtain an agreement of an application user explicitly. Hereinafter, an embodiment for executing the above processing will be described.

<端末の構成>
本実施形態に係る端末200は、図1に示すように、自らのアクセス制限を行うアプリケーション210と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部220と、ユーザのリソースを記憶するリソース記憶部230とから構成されている。また、外部には、アプリケーションサーバ100が設けられている。なお、アクセスポリシ記憶部220およびリソース記憶部230は、図2に示すように、アクセスポリシサーバ300、リソースサーバ400として、端末の外部に設けてもよい。このように、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えれば、端末外のユーザのリソースやアクセスポリシを利用することができる。また、本実施形態に係る端末は、アプリケーションのインストール時に、プラットフォーム上で、予め定められた粒度でのみポリシーの設定が可能な端末である。 <Terminal configuration>
As illustrated in FIG. 1, the terminal 200 according to the present embodiment includes an application 210 that restricts its own access, an access policy storage unit 220 that stores user access policies, and a resource storage unit 230 that stores user resources. It consists of and. An application server 100 is provided outside. The access policy storage unit 220 and the resource storage unit 230 may be provided outside the terminal as the access policy server 300 and the resource server 400, as shown in FIG. As described above, if a storage device for storing user resources and access policies is provided outside, it is possible to use resources and access policies of users outside the terminal. In addition, the terminal according to the present embodiment is a terminal capable of setting a policy only with a predetermined granularity on the platform when an application is installed.

ここで、アクセスポリシは、後述するアプリケーション制限部を提供する事業者によって、プラットフォーム提供者が定めたパーミッション設定とは独立して設定され、アクセスポリシは何等かの条件式として実現される。具体的には、実行する関数、アクセスしようとするリソース、アプリケーション事業者、アクセス用途などの組み合わせに対して、実行許可又は実行拒否を割り当てる。   Here, the access policy is set independently of the permission setting determined by the platform provider by the provider providing the application restriction unit described later, and the access policy is realized as some conditional expression. Specifically, an execution permission or an execution denial is assigned to a combination of a function to be executed, a resource to be accessed, an application provider, an access use, and the like.

さらに、アプリケーション210は、処理部211と、実行部212と、アクセス制限部213と、アクセス検知部214とから構成されている。   Further, the application 210 includes a processing unit 211, an execution unit 212, an access restriction unit 213, and an access detection unit 214.

処理部211は、アプリケーションサーバとの間でのデータ通信を処理する。実行部212は、アプリケーションの独自の処理動作を実行する。   The processing unit 211 processes data communication with the application server. The execution unit 212 executes a unique processing operation of the application.

アクセス検知部は、アプリケーションがユーザのリソースにアクセスを行おうとしたことを検知する。アクセス制限部213は、ユーザのリソースへのアクセスを検出したときに、ユーザのアクセスポリシを参照して、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う。なお、アクセス制限部213は、プラットフォーム提供者が定めたパーミッション設定とは独立したアクセスポリシの設定に従って、アプリケーションユーザのリソースへのアクセスを制限する。   The access detection unit detects that the application tried to access the user's resource. When the access restriction unit 213 detects an access to the user's resource, the access restriction unit 213 refers to the user's access policy and performs a determination process as to whether or not to permit the access to the user's resource as an interrupt process. The access restriction unit 213 restricts access to the resource of the application user according to the access policy setting independent of the permission setting determined by the platform provider.

<端末の処理>
図3を用いて、本実施形態に係る端末の処理について説明する。 <Terminal processing>
Processing of the terminal according to the present embodiment will be described using FIG.

アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理し(ステップ110)、アプリケーションの独自の処理動作を実行する(ステップS120)。   The application processes data communication with the application server (step 110), and executes an original processing operation of the application (step S120).

次いで、アプリケーションがユーザのリソースに対するアクセスを検知し(ステップS130)、アプリケーションがユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する(ステップS140)。   Next, the application detects access to the user's resource (step S130), and when the application detects access to the user's resource, the user's access policy is referred to (step S140).

そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う(ステップS150)。なお、割り込みの方法としては、アプリケーションユーザのリソースを取得する関数を、事前にアプリケーション制限部213へのアクセスを強制する関数に置き換えて、全ての関数が置換されたことを第三者機関等がチェックすることなどによって実現するようにしてもよい。また、具体的な動作としては、例えば、アプリケーションが実行しようとする関数が、アクセスポリシによって実行許可であると定義されていた場合には関数をそのまま実行し、実行拒否であると定義されていた場合にはエラーメッセージを返して動作を停止するようにしてもよい。   Then, based on the access policy of the referred user, a process for determining whether to permit access to the user's resource is performed as an interrupt process (step S150). In addition, as a method of interruption, a function for obtaining the resource of the application user is replaced with a function forcing access to the application restriction unit 213 in advance, and a third party or the like indicates that all functions have been replaced. You may make it implement | achieve by checking. In addition, as a specific operation, for example, when a function to be executed by an application is defined as being permitted by the access policy, the function is executed as it is and is defined as being rejected. In that case, an error message may be returned to stop the operation.

以上、説明したように、本実施形態によれば、自らアクセス制限を行うアプリケーションを端末に実装することにより、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。   As described above, according to the present embodiment, by implementing an application that restricts access to a terminal on a terminal, access restriction with a desired granularity is performed without modifying the permission mechanism itself in a certain open platform. be able to.

<第2の実施形態>
図4から図6を用いて、本発明の第2の実施形態について説明する。なお、第1の実施形態と同一の符号を付す構成要素については、同様の機能を有することから、その詳細な説明は、省略する。 <Second Embodiment>
A second embodiment of the present invention will be described with reference to FIGS. In addition, about the component which attaches | subjects the same code | symbol as 1st Embodiment, since it has the same function, the detailed description is abbreviate | omitted.

<端末の構成>
本実施形態に係る端末200は、図4に示すように、アプリケーション240と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部220と、ユーザのリソースを記憶するリソース記憶部230と、アクセス制限部251を備えたアプリケーションのアクセス制限を行うアクセス制限アプリケーション250とから構成されている。なお、アクセスポリシ記憶部220およびリソース記憶部230は、図5に示すように、アクセスポリシサーバ300、リソースサーバ400として、端末の外部に設けてもよい。このように、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えれば、端末外のユーザのリソースやアクセスポリシを利用することができる。 <Terminal configuration>
As illustrated in FIG. 4, the terminal 200 according to the present embodiment includes an application 240, an access policy storage unit 220 that stores user access policies, a resource storage unit 230 that stores user resources, and an access restriction unit 251. And an access restriction application 250 for restricting the access of the application having. The access policy storage unit 220 and the resource storage unit 230 may be provided outside the terminal as the access policy server 300 and the resource server 400 as shown in FIG. As described above, if a storage device for storing user resources and access policies is provided outside, it is possible to use resources and access policies of users outside the terminal.

ここで、アクセスポリシは、後述するアプリケーション制限部を提供する事業者によって、プラットフォーム提供者が定めたパーミッション設定とは独立して設定され、アクセスポリシは何等かの条件式として実現される。具体的には、実行する関数、アクセスしようとするリソース、アプリケーション事業者、アクセス用途などの組み合わせに対して、実行許可又は実行拒否を割り当てる。   Here, the access policy is set independently of the permission setting determined by the platform provider by the provider providing the application restriction unit described later, and the access policy is realized as some conditional expression. Specifically, an execution permission or an execution denial is assigned to a combination of a function to be executed, a resource to be accessed, an application provider, an access use, and the like.

アクセス制限部251は、アプリケーションが、ユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かを判定する。   When the application tries to access the user resource, the access restriction unit 251 refers to the user access policy and determines whether to permit access to the user resource.

なお、アプリケーションユーザは、アプリケーションをインストールする際に、アプリケーションがアプリケーション制限部251へのアクセス以外のパーミッションを要求していないことを確認する必要がある。   Note that the application user needs to confirm that the application does not request permission other than access to the application restriction unit 251 when installing the application.

また、アプリケーション制限部251には、制限するアプリケーション群が必要とする全てのパーミッションが与えられる。アプリケーションがアプリケーションユーザのリソースを取得する手続きを実行するときには、アプリケーション制限部251に取得要求を提出する。そして、アプリケーション制限部251は、まず、事前に設定されたアプリケーションユーザのアクセスポリシを参照し、次に、アプリケーションの取得要求がアクセスポリシによって実行許可であると定義されていた場合には、アプリケーション制限部251は、アプリケーションユーザのリソースを取得してアプリケーションに提供する。一方、要求された実行拒否であると定義されていた場合には、エラーメッセージを返して動作を停止する。   Further, the application restriction unit 251 is granted all permissions required by the application group to be restricted. When the application executes a procedure for acquiring the resource of the application user, an acquisition request is submitted to the application restriction unit 251. Then, the application restriction unit 251 first refers to the access policy of the application user set in advance, and then, if the application acquisition request is defined to be executable by the access policy, the application restriction The unit 251 acquires the application user resource and provides it to the application. On the other hand, if it is defined that the requested execution is rejected, an error message is returned and the operation is stopped.

<端末の処理>
図6を用いて、本実施形態に係る端末の処理について説明する。 <Terminal processing>
Processing of the terminal according to the present embodiment will be described using FIG.

まず、アクセス制限アプリケーション250が、アプリケーションによるユーザのリソースに対するアクセスを検知し(ステップS210)、アプリケーションによるユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する(ステップS220)。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かを判定する(ステップS230)。   First, the access restriction application 250 detects access to the user's resource by the application (step S210), and refers to the user's access policy when detecting access to the user's resource by the application (step S220). Then, based on the access policy of the referred user, it is determined whether or not access to the user resource is permitted (step S230).

なお、具体的な動作としては、例えば、アプリケーションの取得要求がアクセスポリシによって実行許可であると定義されていた場合には、アプリケーション制限部251は、アプリケーションユーザのリソースを取得してアプリケーションに提供する。一方、要求された実行拒否であると定義されていた場合には、エラーメッセージを返して動作を停止するようにしてもよい。   As a specific operation, for example, when an application acquisition request is defined as an execution permission by an access policy, the application restriction unit 251 acquires the application user resource and provides it to the application. . On the other hand, if it is defined that the requested execution is rejected, an error message may be returned to stop the operation.

以上、説明したように、本実施形態によれば、アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かを判定するアクセス制限アプリケーションを端末に実装することにより、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。   As described above, according to the present embodiment, when an application tries to access a user resource, the user access policy is referred to and whether or not access to the user resource is permitted is determined. By installing the access restriction application in the terminal, it is possible to restrict access with a desired granularity without modifying the permission mechanism itself in an open platform.

<第3の実施形態>
図7から図9を用いて、本発明の第3の実施形態について説明する。なお、第1の実施形態および第2の実施形態と同一の符号を付す構成要素については、同様の機能を有することから、その詳細な説明は、省略する。なお、本実施形態は、構成要素のすべてをハードウェアで構成したものである。 <Third Embodiment>
A third embodiment of the present invention will be described with reference to FIGS. In addition, about the component which attaches | subjects the same code | symbol as 1st Embodiment and 2nd Embodiment, since it has the same function, the detailed description is abbreviate | omitted. In the present embodiment, all of the components are configured by hardware.

<端末の構成>
本実施形態に係る端末200は、図7に示すように、処理部211と、実行部212とからなるアプリケーション260と、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部220と、ユーザのリソースを記憶するリソース記憶部230と、アクセス制限部251とから構成されている。また、外部には、アプリケーションサーバ100が設けられている。なお、アクセスポリシ記憶部220およびリソース記憶部230は、図8に示すように、アクセスポリシサーバ300、リソースサーバ400として、端末の外部に設けてもよい。このように、ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えれば、端末外のユーザのリソースやアクセスポリシを利用することができる。 <Terminal configuration>
As illustrated in FIG. 7, the terminal 200 according to the present embodiment stores an application 260 including a processing unit 211 and an execution unit 212, an access policy storage unit 220 that stores a user access policy, and a user resource. Resource storage section 230 and access restriction section 251. An application server 100 is provided outside. The access policy storage unit 220 and the resource storage unit 230 may be provided outside the terminal as the access policy server 300 and the resource server 400, as shown in FIG. As described above, if a storage device for storing user resources and access policies is provided outside, it is possible to use resources and access policies of users outside the terminal.

ここで、アクセスポリシは、後述するアプリケーション制限部を提供する事業者によって、プラットフォーム提供者が定めたパーミッション設定とは独立して設定され、アクセスポリシは何等かの条件式として実現される。具体的には、実行する関数、アクセスしようとするリソース、アプリケーション事業者、アクセス用途などの組み合わせに対して、実行許可又は実行拒否を割り当てる。   Here, the access policy is set independently of the permission setting determined by the platform provider by the provider providing the application restriction unit described later, and the access policy is realized as some conditional expression. Specifically, an execution permission or an execution denial is assigned to a combination of a function to be executed, a resource to be accessed, an application provider, an access use, and the like.

アクセス制限部251は、アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かの判定をする。   When the application tries to access the user's resource, the access restriction unit 251 refers to the user's access policy and determines whether to permit access to the user's resource.

なお、アプリケーションユーザは、アプリケーションをインストールする際に、アプリケーションがアプリケーション制限部251へのアクセス以外のパーミッションを要求していないことを確認する必要がある。   Note that the application user needs to confirm that the application does not request permission other than access to the application restriction unit 251 when installing the application.

また、アプリケーション制限部251には、制限するアプリケーション群が必要とする全てのパーミッションが与えられる。アプリケーションがアプリケーションユーザのリソースを取得する手続きを実行するときには、アプリケーション制限部251に取得要求を提出する。そして、アプリケーション制限部251は、まず、事前に設定されたアプリケーションユーザのアクセスポリシを参照し、次に、アプリケーションの取得要求がアクセスポリシによって実行許可であると定義されていた場合には、アプリケーション制限部251は、アプリケーションユーザのリソースを取得してアプリケーションに提供する。一方、要求された実行拒否であると定義されていた場合には、エラーメッセージを返して動作を停止する。   Further, the application restriction unit 251 is granted all permissions required by the application group to be restricted. When the application executes a procedure for acquiring the resource of the application user, an acquisition request is submitted to the application restriction unit 251. Then, the application restriction unit 251 first refers to the access policy of the application user set in advance, and then, if the application acquisition request is defined to be executable by the access policy, the application restriction The unit 251 acquires the application user resource and provides it to the application. On the other hand, if it is defined that the requested execution is rejected, an error message is returned and the operation is stopped.

<端末の処理>
図9を用いて、本実施形態に係る端末の処理について説明する。 <Terminal processing>
The processing of the terminal according to the present embodiment will be described using FIG.

まず、アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理し(ステップS310)、アプリケーションの独自の処理動作を実行する(ステップS320)。   First, the application processes data communication with the application server (step S310), and executes an original processing operation of the application (step S320).

次いで、アクセス制限部251が、アプリケーションによるユーザのリソースに対するアクセスを検知し(ステップS330)、アプリケーションによるユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する(ステップS340)。そして、参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かを判定する(ステップS350)。   Next, the access restriction unit 251 detects access to the user's resource by the application (step S330), and refers to the user's access policy when detecting access to the user's resource by the application (step S340). Then, based on the access policy of the referred user, it is determined whether or not access to the user resource is permitted (step S350).

なお、具体的な動作としては、例えば、アプリケーションの取得要求がアクセスポリシによって実行許可であると定義されていた場合には、アクセス制限部251は、アプリケーションユーザのリソースを取得してアプリケーションに提供する。一方、要求された実行拒否であると定義されていた場合には、エラーメッセージを返して動作を停止するようにしてもよい。   As a specific operation, for example, when an application acquisition request is defined to be permitted by the access policy, the access restriction unit 251 acquires the application user resource and provides it to the application. . On the other hand, if it is defined that the requested execution is rejected, an error message may be returned to stop the operation.

以上、説明したように、本実施形態によれば、アクセス制限部251をハードウェアとして実装することにより、あるオープンプラットフォームにおけるパーミッション機構そのものに手を加えることなく、所望の粒度のアクセス制限を行うことができる。   As described above, according to this embodiment, by implementing the access restriction unit 251 as hardware, it is possible to restrict access with a desired granularity without modifying the permission mechanism itself in a certain open platform. Can do.

なお、端末の処理をコンピュータシステムが読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムを端末に読み込ませ、実行することによって本発明の端末を実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。   The terminal of the present invention can be realized by recording the processing of the terminal on a recording medium readable by the computer system, causing the terminal to read and execute the program recorded on the recording medium. The computer system here includes an OS and hardware such as peripheral devices.

また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。   Further, the “computer system” includes a homepage providing environment (or display environment) if a WWW (World Wide Web) system is used. The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.

また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。   The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, what is called a difference file (difference program) may be sufficient.

以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。   The embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the embodiments, and includes designs and the like that do not depart from the gist of the present invention.

100;アプリケーションサーバ
200;端末
210;アプリケーション
211;処理部
212;実行部
213;アクセス制限部
214;アクセス検知部
220;アクセスポリシ記憶部
230;リソース記憶部
240;アプリケーション
250;アクセス制限アプリケーション
251;アクセス制限部
260;アプリケーション
300;アクセスポリシサーバ
400;リソースサーバ 100; Application server 200; Terminal 210; Application 211; Processing unit 212; Execution unit 213; Access restriction unit 214; Access detection unit 220; Access policy storage unit 230; Resource storage unit 240; Application 250; Access restriction application 251; Restriction unit 260; application 300; access policy server 400; resource server

Claims (5)

所望の粒度で自らアクセス制限を行なうアプリケーションを備えた端末であって、
前記アプリケーションが、
アプリケーションサーバとの間でのデータ通信を処理する処理手段と、
前記アプリケーションの独自の処理動作を実行する実行手段と、
該アプリケーションがユーザのリソースにアクセスを行おうとしたことを検知するアクセス検知手段と、
該アクセス検知手段が、ユーザのリソースへのアクセスを検出したときに、ユーザのアクセスポリシを参照して、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行うアクセス制限手段と、
を備えるとともに、
前記ユーザのアクセスポリシを記憶するアクセスポリシ記憶部と、
前記ユーザのリソースを記憶するリソース記憶部と、
を備えたことを特徴とする端末。 A terminal with an application that restricts access at a desired granularity,
The application
Processing means for processing data communication with the application server;
Execution means for executing a unique processing operation of the application;
Access detection means for detecting that the application tried to access the user's resource;
An access restriction unit that, when the access detection unit detects access to the user's resource, refers to the user's access policy and performs a determination process as to whether or not to permit access to the user's resource as an interrupt process; ,
With
An access policy storage unit for storing the access policy of the user;
A resource storage unit for storing the resource of the user;
A terminal comprising: 前記ユーザのリソース、アクセスポリシを記憶する記憶装置を外部に備えたことを特徴とする請求項1に記載の端末。   The terminal according to claim 1, further comprising a storage device for storing the user resource and access policy. アプリケーションと、該アプリケーションのアクセス制限を行なうアクセス制限手段とを備え、前記アクセス制限手段が所望の粒度でアプリケーションに対するアクセス制限を行なう端末であって、
前記アプリケーションが、
アプリケーションサーバとの間でのデータ通信を処理する処理手段と、
前記アプリケーションの独自の処理動作を実行する実行手段と、
を備え、
前記アクセス制限手段が、前記アプリケーションがユーザのリソースにアクセスを行おうとしたときに、ユーザのアクセスポリシを参照し、ユーザのリソースに対するアクセスを許可するか否かの判定することを特徴とする端末。 An application and access restriction means for restricting access of the application, wherein the access restriction means is a terminal for restricting access to the application at a desired granularity;
The application
Processing means for processing data communication with the application server;
Execution means for executing a unique processing operation of the application;
With
The terminal, wherein when the application tries to access a user resource, the access restriction unit refers to a user access policy and determines whether to permit access to the user resource. 自らアクセス制限を行うアプリケーションと、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部と、前記ユーザのリソースを記憶するリソース記憶部とを備え、所望の粒度で前記アプリケーションが自らアクセス制限を行なう端末におけるアクセス制限方法であって、
前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第1のステップと、
前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第2のステップと、
前記アプリケーションが、ユーザのリソースに対するアクセスを検知する第3のステップと、
前記アプリケーションが、前記ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第4のステップと、
前記アプリケーションが、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う第5のステップと、
を備えたことを特徴とするアクセス制限方法。 Access in a terminal that includes an application that restricts access by itself, an access policy storage unit that stores a user's access policy, and a resource storage unit that stores the resource of the user, and in which the application restricts access at a desired granularity Restriction method,
A first step in which the application processes data communication with an application server;
A second step in which the application performs a unique processing operation of the application;
A third step in which the application detects access to a user's resources;
A fourth step of referring to a user's access policy when the application detects access to the user's resource;
A fifth step in which the application performs, as an interrupt process, a process for determining whether to permit access to a user's resource based on the referred user's access policy;
An access restriction method comprising: 自らアクセス制限を行うアプリケーションと、ユーザのアクセスポリシを記憶するアクセスポリシ記憶部と、前記ユーザのリソースを記憶するリソース記憶部とを備え、所望の粒度でアクセス制限を行なう端末におけるアクセス制限方法をコンピュータに実行させるためのプログラムであって、
前記アプリケーションが、アプリケーションサーバとの間でのデータ通信を処理する第1のステップと、
前記アプリケーションが、前記アプリケーションの独自の処理動作を実行する第2のステップと、
前記アプリケーションが、ユーザのリソースに対するアクセスを検知する第3のステップと、
前記アプリケーションが、前記ユーザのリソースに対するアクセスを検知したときに、ユーザのアクセスポリシを参照する第4のステップと、
前記アプリケーションが、前記参照したユーザのアクセスポリシに基づいて、ユーザのリソースに対するアクセスを許可するか否かの判断処理を割り込み処理として行う第5のステップと、
をコンピュータに実行させるためのプログラム。 An access restriction method in a terminal for restricting access at a desired granularity, comprising: an application that restricts access by itself; an access policy storage unit that stores user access policies; and a resource storage unit that stores user resources. A program for executing
A first step in which the application processes data communication with an application server;
A second step in which the application performs a unique processing operation of the application;
A third step in which the application detects access to a user's resources;
A fourth step of referring to a user's access policy when the application detects access to the user's resource;
A fifth step in which the application performs, as an interrupt process, a process for determining whether to permit access to a user's resource based on the referred user's access policy;
A program that causes a computer to execute.
JP2017074210A 2017-04-04 2017-04-04 Terminal, access restriction method and program Active JP6328290B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017074210A JP6328290B2 (en) 2017-04-04 2017-04-04 Terminal, access restriction method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017074210A JP6328290B2 (en) 2017-04-04 2017-04-04 Terminal, access restriction method and program

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2013050464A Division JP6124627B2 (en) 2013-03-13 2013-03-13 Terminal, access restriction method and program

Publications (2)

Publication Number Publication Date
JP2017162481A true JP2017162481A (en) 2017-09-14
JP6328290B2 JP6328290B2 (en) 2018-05-23

Family

ID=59854194

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017074210A Active JP6328290B2 (en) 2017-04-04 2017-04-04 Terminal, access restriction method and program

Country Status (1)

Country Link
JP (1) JP6328290B2 (en)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004501467A (en) * 2000-06-21 2004-01-15 マイクロソフト コーポレイション Filtering permission sets using permission requests related to code assembly
JP2006024336A (en) * 2004-07-09 2006-01-26 Fujitsu Ltd Disk device and control method thereof
JP2010079901A (en) * 2008-09-25 2010-04-08 Symantec Corp Method for graduated enforcement of restriction according to application reputation and computer program thereof
JP2011138299A (en) * 2009-12-28 2011-07-14 Ntt Data Corp Access control setting device, method, and computer program
JP2012118842A (en) * 2010-12-02 2012-06-21 Nec Corp Access control system, access control device, and control method
JP2012234401A (en) * 2011-05-02 2012-11-29 Kddi Corp Application analysis device and program
WO2012161125A1 (en) * 2011-05-20 2012-11-29 日本放送協会 Receiver, program and receiving method

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004501467A (en) * 2000-06-21 2004-01-15 マイクロソフト コーポレイション Filtering permission sets using permission requests related to code assembly
JP2006024336A (en) * 2004-07-09 2006-01-26 Fujitsu Ltd Disk device and control method thereof
JP2010079901A (en) * 2008-09-25 2010-04-08 Symantec Corp Method for graduated enforcement of restriction according to application reputation and computer program thereof
JP2011138299A (en) * 2009-12-28 2011-07-14 Ntt Data Corp Access control setting device, method, and computer program
JP2012118842A (en) * 2010-12-02 2012-06-21 Nec Corp Access control system, access control device, and control method
JP2012234401A (en) * 2011-05-02 2012-11-29 Kddi Corp Application analysis device and program
WO2012161125A1 (en) * 2011-05-20 2012-11-29 日本放送協会 Receiver, program and receiving method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
大津 真: "注目の新機能を徹底解説 ここが変わった!Fedora Core 3 PART 3", LINUX WORLD, vol. 第4巻 第1号, JPN6018004244, 1 January 2005 (2005-01-01), JP, pages 113 - 119, ISSN: 0003777732 *

Also Published As

Publication number Publication date
JP6328290B2 (en) 2018-05-23

Similar Documents

Publication Publication Date Title
KR101278786B1 (en) Resource based dynamic security authorization
US20230308451A1 (en) Data security
CN111522595B (en) Transient application
US9246918B2 (en) Secure application leveraging of web filter proxy services
US9223941B2 (en) Using a URI whitelist
RU2618946C1 (en) Method to lock access to data on mobile device with api for users with disabilities
EP2939390B1 (en) Processing device and method of operation thereof
CN113711563A (en) Fine-grained token-based access control
KR20130040692A (en) Method and apparatus for secure web widget runtime system
US10298586B2 (en) Using a file whitelist
US11386199B2 (en) Isolating an application running inside a native container application
US20180152434A1 (en) Virtual content repository
US11741245B2 (en) Self-management of devices using personal mobile device management
RU2626658C2 (en) Processing of content for applications
US20170126662A1 (en) Federating Devices to Improve User Experience with Adaptive Security
KR101932311B1 (en) Browser device access proxy
US9871873B2 (en) Adapter for communication between web applications within a browser
US20170277885A1 (en) Password hint policies on a user provided device
JP6328290B2 (en) Terminal, access restriction method and program
Amrutkar et al. Short paper: rethinking permissions for mobile web apps: barriers and the road ahead
JP6124627B2 (en) Terminal, access restriction method and program
EP2840755A1 (en) Processing device and method of operation thereof
EP2840754A1 (en) Processing device and method of operation thereof

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180402

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180417

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180417

R150 Certificate of patent or registration of utility model

Ref document number: 6328290

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150