[go: up one dir, main page]

JP2008130051A - 機能ロック制御装置及び機能ロック制御方法 - Google Patents

機能ロック制御装置及び機能ロック制御方法 Download PDF

Info

Publication number
JP2008130051A
JP2008130051A JP2006317824A JP2006317824A JP2008130051A JP 2008130051 A JP2008130051 A JP 2008130051A JP 2006317824 A JP2006317824 A JP 2006317824A JP 2006317824 A JP2006317824 A JP 2006317824A JP 2008130051 A JP2008130051 A JP 2008130051A
Authority
JP
Japan
Prior art keywords
function
lock
request
control device
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006317824A
Other languages
English (en)
Inventor
Hisatoshi Eguchi
悠利 江口
Atsushi Takeshita
敦 竹下
Masaru Ota
賢 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2006317824A priority Critical patent/JP2008130051A/ja
Publication of JP2008130051A publication Critical patent/JP2008130051A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】遠隔サーバや外部機器から特定端末に接続されている周辺デバイス等をロックするシナリオを実現する場合の安全性に関する問題点を解決する。
【解決手段】本発明に係る機能ロック制御装置20は、端末Aにおいて利用可能な機能を特定する機能種別について階層的に管理する機能管理部21と、特定の機能に対するロック制御要求と当該ロック制御要求の要求元とを関連付けて管理するセッション管理部22と、各階層における機能種別により特定される機能のロック状態を管理するロック状態管理部23とを具備し、ロック状態管理部23は、第1階層の機能種別により特定される機能に対するロック制御要求を受信した場合、第1階層の機能種別により特定される機能のロック状態を更新すると共に、第2階層の機能種別により特定される機能のロック状態を更新する。
【選択図】 図1

Description

本発明は、携帯電話やPDA(Personal Digital Assistants)やPC(Personal Computer)等のセキュアドメイン及び非セキュアドメインを具備する端末内に設けられており、かかる端末において利用可能な機能を制御する機能ロック制御装置、及び、かかる端末において利用可能な機能を制御する機能ロック制御方法に関する。
従来、セキュアドメイン及び非セキュアドメインの2つのドメインを持つ端末に接続された周辺デバイスに対するハードウェアベースによるアクセス制御技術が知られている(特許文献1参照)。
図14に示すように、上述のアクセス制御技術によれば、セキュアドメイン(ドメイン1)内の周辺デバイス制御装置20が、非セキュアドメイン(ドメイン2)から周辺デバイス12へのアクセス制限を行うように周辺デバイスアクセス制御装置11Aの設定を変更し、ドメイン2からの周辺デバイス12の利用をロックすることができる。
なお、上述のアクセス制御技術により、ロックされた周辺デバイス12は、ドメイン2からのアクセスを拒否しつつ、ドメイン1からの利用を可能とすることができる。
かかるアクセス制御技術の応用により、遠隔サーバや外部機器から、特定端末に接続された周辺デバイス、例えば、カメラ機能やICカード機能等をロックすることができる。
具体的には、特定端末を管理するサーバから、当該特定端末に対して、カメラ機能のロック要求を含むロック要求メッセージを送信し、ドメイン1内の周辺デバイス制御装置20が、かかるロック要求メッセージを受け付けて、周辺デバイスアクセス制御装置11Aの設定を変更し、ドメイン2からカメラ機能へのアクセスを不可能にすることができる。
上述のアクセス制御技術によれば、ハードウェアによるアクセス制御機構を利用するため、ウィルス等の悪意のあるソフトウェアによるロックの無効化やバイパス等を試みる攻撃に対しても、耐性があり、高い安全性を実現できるといえる。
US20050114616
しかしながら、上述のアクセス制御技術を応用して、遠隔サーバや外部機器から、特定端末に接続されている周辺デバイスをロックするシナリオを実現する場合、以下のような安全性に関する問題点があった。
第1に、上述のアクセス制御技術によれば、多様かつ動的な端末の構成に対するロックの漏れが発生する可能性が高いという問題点があった。
ここで、多様な端末の構成とは、各端末において、カメラを1つ又は2つ(メインカメラとサブカメラ等)を備えているか或いはカメラを備えていないかについてや、3Gセルラや無線LAN(WiFi)やBluetooth(登録商標)やIrDA等といった複数の通信デバイスのうち、いずれの通信デバイスを搭載するかについて、各端末の各機種やカスタマイズの状態によって異なることを意味する。
さらに、多様な端末の構成とは、周辺デバイスだけでなく、各端末に組み込まれているソフトウェアについても、各端末の各機種やカスタマイズの状態によって異なることを意味する。
例えば、位置情報を取得する測位機能についても、GPSによる測位機能を備えている端末もあれば、セルラベースの測位機能やWiFiベースの測位機能を搭載している端末や、全く測位機能を持たない端末や、これらのいずれかの測位機能を備える端末や、複数の測位機能を持つ端末等、多様な構成が考えられる。
ここで,カメラや通信デバイス等の周辺デバイスをロックしたい場合に、メインカメラやセルラだけをロックするだけでは、端末の構成によってはサブカメラや無線LAN等が搭載されているため、ロックの漏れが発生する。
同様に、測位機能をロックする場合、GPSだけでなく、セルラベースの測位機能もロックしなければ、完全なロックとはならず、多様な端末の構成によるロックの漏れの問題点がある。
一方、動的な端末の構成とは、まず,SDIO(Secure Digital Input/Output Card)やUSB(Universal Serial Bus)等の汎用外部インタフェースに、随時、周辺デバイスが装着されるケースを指す。
さらに、周辺デバイスのようにハードウェア的な構成の変化だけでなく,アプリケーションやミドルウェアやOS機能の追加によって端末に新たなソフトウェアが組み込まれるケースも含まれる。
例えば、端末に新たにWiFIベースの測位ソフトウェアをインストールすることで、端末のソフトウェア的な構成が変化する。
ここで、端末内蔵のカメラを、メインカメラとサブカメラを含めてロックしている状態で、新たにSDIOインタフェースに基づくデジタルカメラカードが装着された際、当該周辺デバイスに対してロックが適用されないと、ロックの漏れが発生する問題点がある。
同様に、測位機能をロックしている状態で、WiFiベースの測位ソフトがインストールされた際、この測位機能もロックする必要があるが、かかるロックが漏れるという問題点がある。
第2に、上述のアクセス制御技術によれば、複数の要求元からのロック制御要求の対応付け機能を備えていないことによる不正なロック解除の可能性があるという問題点があった。
すなわち、上述のアクセス制御技術によれば、ある要求元からのロック要求が、別の要求元からのロック解除要求により、無効化される可能性があるという問題点があった。
複数の要求元としては、企業システムに接続する端末の場合、企業サーバや通信オペレータのサーバが想定され、或いは、公共機関が提供するサーバ等が想定される。
一方で、要求元の障害等により、正しくロックが解除されないと、周辺デバイスや端末に組み込まれたソフトウェアがいつまでも利用不可能になって利便性や可用性が損なわれるという安全性の問題点もある。
第3に、上述のアクセス制御技術によれば、端末の再起動による初期化への対策に欠点があるという問題点があった。
すなわち、上述のアクセス制御技術によれば、再起動により、機能のロックの設定が消去される場合、かかるロックが無効化されてしまう可能性があるという問題点があった。
第4に、上述のアクセス制御技術によれば、機能のロックによる障害の可能性があるという問題点があった。
すなわち、上述のアクセス制御技術によれば、アプリケーション等が周辺デバイスやソフトウェア等の機能を利用中の際に当該周辺デバイスや当該ソフトウェア等の機能をロックしてしまうと、当該アプリケーションが異常終了や誤動作等の不具合を起こしてしまう可能性があるという問題点があった。
そこで、本発明は、上述の課題に鑑みてなされたものであり、遠隔サーバや外部機器から、特定端末に接続されている周辺デバイスや当該特定端末に組み込まれたソフトウェア等の機能をロックするシナリオを実現する場合の安全性に関する問題点を解決することができる機能ロック制御装置及び機能ロック制御方法を提供することを目的とする。
本発明の第1の特徴は、セキュアドメイン及び非セキュアドメインを具備する端末内に設けられており、前記端末において利用可能な機能を制御する機能ロック制御装置であって、前記機能を特定する機能種別について、階層的に管理するように構成されている機能管理部と、前記非セキュアドメインから前記機能へのアクセスが制限されているか否かについて示すロック状態を更新するためのロック制御要求と、該ロック制御要求の要求元とを関連付けて管理するように構成されているセッション管理部と、各階層における機能種別により特定される機能のロック状態を管理するように構成されているように構成されているロック状態管理部と、前記ロック状態に応じて、前記機能へのアクセスを制限する機能アクセス制御装置に対する制御コマンドを生成するように構成されている制御コマンド出力部と、前記機能アクセス制御装置に対して、前記制御コマンド出力部により生成された前記制御コマンドを送信するように構成されているアクセス制御装置管理部とを具備し、前記ロック状態管理部は、第1階層の機能種別により特定される機能に対する前記ロック制御要求を受信した場合、該第1階層の機能種別により特定される機能のロック状態を更新すると共に、該第1階層の機能種別に属する第2階層の機能種別により特定される機能のロック状態を更新するように構成されていることを要旨とする。
かかる発明によれば、周辺デバイスやアプリケーションやミドルウェア等の機能を特定する機能種別を階層的に管理しているため、特定の機能に対するロック制御要求(ロック要求又はロック解除要求)を受信した場合に、同じ機能種別により特定される機能に対しても同時に当該ロック制御要求を適用することができる。
例えば、かかる発明によれば、グループ種別「カメラグループ」により特定される周辺デバイス(機能)に対するロック制御要求を受信した場合には、グループ種別「カメラグループ」に属する個別種別「背面カメラ」や「前面カメラ」により特定される複数のカメラ(カメラメインカメラやサブカメラ等)に対して漏れなく当該ロック制御要求を適用し、グループ種別「通信グループ」に属する個別種別「セルラ」や「無線LAN」や「Bluetooth(登録商標)」等により特定される複数の通信デバイスに対して漏れなく当該ロック制御要求を適用することができる。
さらに、かかる発明によれば、グループ種別「位置情報取得機能グループ」により特定されるソフトウェアに対するロック制御要求を受信した場合には、グループ種別「位置情報取得機能グループ」に属する個別種別「GPS」や「NWベース測位機能」や「WiFIベース測位機能」により特定される複数の測位機能に対して漏れなく当該ロック制御要求を適用することができる。
さらに、かかる発明によれば、複数の要求元からの特定の機能に対するロック制御要求を受信した場合であっても、当該ロック制御要求の要求元を管理することができるため、かかる機能のロック状態を正しく設定することができる。
本発明の第1の特徴において、前記ロック状態管理部は、前記ロック状態を永続ストレージに保持するように構成されており、前記制御コマンド出力部は、前記端末の起動時に、前記ロック状態管理部によって管理されている前記機能のロック状態に応じて、前記制御コマンドを生成するように構成されていてもよい。
かかる発明によれば、端末が再起動した場合であっても、各機能のロック状態を正しく反映することができる。
本発明の第1の特徴において、前記アクセス制御装置管理部によって前記制御コマンドが送信される前に、前記機能のロック状態を更新する旨を外部に通知するように構成されている状態通知部を具備してもよい。
かかる発明によれば、状態通知部からの通知を受け取ったオペレーティングシステム(OS)やミドルウェアが、特定の周辺デバイスやソフトウェア等の機能を利用しているアプリケーションを終了して、異常動作の発生を防止することができる。
本発明の第1の特徴において、外部からの前記機能のロック状態に対する問合せに対して応答するように構成されている状態応答部を具備してもよい。
かかる発明によれば、アプリケーションやミドルウェアやOSが、特定の周辺デバイスやソフトウェア等の機能がロックされている(利用可能でない)のか、或いは、かかる周辺デバイスやソフトウェア等の機能が利用可能であるのかについて知ることができると共に、当該周辺デバイスやソフトウェア等の機能がロックされているのか、或いは、当該周辺デバイスやソフトウェア等の機能が異常状態であるのかについて識別することができる。
本発明の第1の特徴において、前記端末において前記機能が利用可能になったことを検出するように構成されている機能監視部を具備し、前記制御コマンド出力部は、前記端末において前記機能が利用可能になったことを検出した際に、前記ロック状態管理部によって管理されている該機能のロック状態に応じて、前記制御コマンドを生成するように構成されていてもよい。
かかる発明によれば、特定の周辺デバイスが端末に装着されたタイミング(又は、特定のアプリケーションやミドルウェアやデバイスドライバが端末に組み込まれたタイミング)で、即座に、当該周辺デバイス(又は、アプリケーションやミドルウェアやデバイスドライバ)のロック状態を反映することができる。
本発明の第1の特徴において、前記非セキュアドメインから前記機能へのアクセス制限の解除を強制的に要求する強制ロック解除要求を受信した場合に、前記セッション管理部により管理されている該機能に対するロック制御要求と該機能に対するロック制御要求の要求元との関連付けを削除するように構成されている強制ロック制御部を具備してもよい。
かかる発明によれば、要求元が、障害等により、特定の機能がロックされている状態を正しく解除できない場合であっても、かかる機能に対するロックを解除することができる。
本発明の第1の特徴において、前記セッション管理部は、受信した前記機能に対するロック制御要求に含まれている時間制限を経過した場合、該機能に対するロック制御要求と該機能に対するロック制御要求の要求元との関連付けを削除するように構成されていてもよい。
かかる発明によれば、端末が通信サービスの圏外にいる場合や、要求元に障害が発生した場合等、要求元からのロック解除要求を受け付けられない場合であっても、特定の機能に対するロックを安全に解除することができ、ユーザに対して利便性と可用性を提供することができる。
本発明の第1の特徴において、前記機能は、前記端末に接続されている周辺デバイス、或いは、前記端末内に組み込まれたソフトウェアであってもよい。
本発明の第2の特徴は、セキュアドメイン及び非セキュアドメインを具備する端末において利用可能な機能を制御する機能制御方法であって、前記機能を特定する機能種別について、第1階層の機能種別及び該第1階層の機能種別に属する第2階層の機能種別ごとに管理する工程と、前記非セキュアドメインから前記機能へのアクセスが制限されているか否かについて示す該機能のロック状態を更新するための該機能に対するロック制御要求と、該機能に対するロック制御要求の要求元とを関連付けて管理する工程と、前記第1階層の機能種別及び前記第2階層の機能種別により特定される機能のロック状態を管理する工程と、前記ロック状態に応じて、前記機能へのアクセスを制限する機能アクセス制御装置に対する制御コマンドを生成する工程と、前記機能アクセス制御装置に対して、前記制御コマンド出力部により生成された前記制御コマンドを送信する工程とを有し、前記ロック状態を管理する工程において、前記第1階層の機能種別により特定される機能に対する前記ロック制御要求を受信した場合、該第1階層の機能種別により特定される機能のロック状態を更新すると共に、該第1階層の機能種別に属する前記第2階層の機能種別により特定される機能のロック状態を更新することを要旨とする。
以上説明したように、本発明によれば、遠隔サーバや外部機器から、特定端末に接続されている周辺デバイスや当該特定端末内に組み込まれたソフトウェアの機能をロックするシナリオを実現する場合の安全性に関する問題点を解決することができる機能ロック制御装置及び機能ロック制御方法を提供することができる。
(本発明の第1の実施形態に係る機能ロック制御装置の構成)
図1及び図2を参照して、本発明の第1の実施形態に係る機能ロック制御装置20の構成について説明する。本実施形態では、周辺デバイスをロックするシナリオを扱う。
本実施形態では、端末Aは、ハードウェアベースの周辺デバイスアクセス制御装置11Aを備えるように構成されている。周辺デバイスアクセス制御装置11Aは、機能アクセス制御装置の一種であり、後述する第2の実施形態では、ソフトウェアベースのアクセス制御装置を扱う。
図1に示すように、本実施形態に係る機能ロック制御装置20を具備する端末Aは、上述の特許文献1の構成と同様に、セキュアドメイン(ドメイン1)及び非セキュアドメイン(ドメイン2)の2つのドメインを有する。
具体的には、機能ロック制御装置20は、端末Aのドメイン1内に配置され、外部のサーバやドメイン2等のロック要求元Bからロック制御要求を受け取り、ハードウェアベースの周辺デバイスアクセス制御装置11Aを制御することによって、ドメイン2に対する周辺デバイス12の利用のロック及びロック解除を行うように構成されている。
図1に示すように、機能ロック制御装置20は、機能管理部21と、セッション管理部22と、ロック状態管理部23と、制御コマンド出力部24と、アクセス制御管理部25と、機能監視部26と、状態通知部28と、状態応答部29と、強制ロック制御部30とを具備している。
また、ロック要求元Bである外部のサーバからのロック制御要求を受信するための通信手段は、セルラ通信や無線LANやBluetooth(登録商標)や赤外線や非接触ICカード(Felica等)等、その通信方式や通信媒体を問わない。
機能管理部21は、端末Aにおいて利用可能な機能を特定する機能種別について、階層的に管理するように構成されている。本実施形態では、機能管理部21は、端末Aに接続されている周辺デバイス12(機能の一種である)を特定する周辺デバイス種別(機能種別の一種である)について、階層的に管理するように構成されている。
例えば、本実施形態では、機能管理部21は、図2に示すロック状態管理テーブルを用いて、周辺デバイス種別として、「カメラグループ」や「ディスプレイグループ」や「通信グループ」等の「グループ種別(第1階層の周辺デバイス種別、上位レベルの周辺デバイス種別)」と、「背面カメラ」や「無線LAN」や「前面ディスプレイ」等の「個別種別(第1階層の周辺デバイス種別に属する第2階層の周辺デバイス種別、下位レベルの周辺デバイス種別)の2つを管理するように構成されている。
なお、機能管理部21は、周辺デバイス種別として、内蔵の無線LANや外付けのBluetooth(登録商標)等の端末Aに対する接続形態についての情報を管理してもよい。
また、図2の例では、階層構造として、「グループ種別」と「個別種別」の2つのレベルが例示されているが、機能管理部21は、更に細分化した階層構造によって周辺デバイス種別を管理するように構成されていてもよい。また、1つの周辺デバイス種別が、複数の上位レベルの周辺デバイス種別に属するように構成されていてもよい。
セッション管理部22は、ドメイン2(非セキュアドメイン)から特定の機能(本実施形態では、周辺デバイス12)へのアクセスが制限されているか否かについて示す「ロック状態」を更新するための「ロック制御要求」と、かかるロック制御要求の要求元(ロック要求元B)とを関連付けて管理するように構成されている。
具体的には、セッション管理部22は、図2に示すロック状態管理テーブルを用いて、周辺デバイス種別の指定を含むロック制御要求(ロック要求又はロック解除要求)を外部のロック要求元Bから受け付け、当該ロック制御要求と当該ロック要求元Bとを対応付けて管理するように構成されている。
具体的には、セッション管理部22は、ロック要求元Bからロック要求を受け付けた場合には、当該ロック要求により指定されている周辺デバイス種別(「グループ種別」又は「個別種別」)に対して当該ロック要求元Bの識別子をロック状態管理テーブルに追加する。ロック要求元Bの識別子は,例えばホスト名やIPアドレス,ロック要求元Bが生成したランダム値などであり,それらの組合せでもよい.
一方、セッション管理部22は、ロック要求元Bからロック解除要求を受け付けた場合には、当該ロック解除要求により指定されている周辺デバイス種別に対して当該ロック要求元Bの識別子をロック状態管理テーブルから削除する。
図2に示すロック状態管理テーブルには、「グループ種別」として「カメラグループ」と「ディスプレイグループ」と「通信グループ」とが含まれており、「個別種別」として「背面カメラ」や「前面カメラ」等の個別の周辺デバイス12の種別が含まれている。
ここで、図2に示すロック状態管理テーブルには、グループ種別「カメラグループ」に対しては、ロック要求元Bとして「要求元1」が登録されており、個別種別「セルラ」に対しては、ロック要求元Bとして「要求元2」及び「要求元4」が登録されており、個別種別「無線LAN」に対しては、ロック要求元Bとして「要求元3」が登録されている。
例えば、セッション管理部22は、ロック要求元Bにより送信されたロック制御要求内で指定されている識別子をキーとして、当該ロック要求元Bを識別することができる。
ここで、かかる識別子は、ロック要求元Bによって決定されてもよいし、セッション管理部22によって決定されてもよい。
また、セッション管理部22は、ロック要求元Bの認証を行ってもよく、登録されていないロック要求元Bからのロック制御要求を拒否してもよい。
さらに、セッション管理部22は、ロック制御要求で指定されている周辺デバイス種別のロック状態を制御する権限を持っていないロック要求元Bからのロック制御要求を拒否してもよい。
例えば、ロック状態管理テーブルにおいて、各周辺デバイス種別に対して権限を持つロック要求元のリストを保持させることで権限の有無を判定してもよい。
ロック制御要求のメッセージ形式は、(識別子,ロック制御要求の種類(ロック要求又はロック解除要求),周辺デバイス種別)の組で表すことができ、例えば、(123,ロック要求、「カメラグループ」)や、(456,ロック解除要求,「無線LAN」)のように指定される。
さらに、ロック制御要求のメッセージ形式は、(124,ロック要求,「カメラグループ,メインスピーカ」)のように、同時に複数の周辺デバイスに対するロック要求を含んでいてもよい。
また、ロック制御要求には、「時間間隔」や「時刻範囲」のような時間制限の指定が付与されていてもよい。
例えば、ロック制御要求において、(123,ロック要求,「カメラグループ」,「120分」)と指定されている場合、「120分(2時間)」という「時間間隔」についての時間制限が、かかるロック制御要求に付与されたことになる。
また、ロック制御要求において、(123,ロック要求,「カメラグループ」,「12:00〜13:00」)や(123,ロック要求,「カメラグループ」,「13:00まで」)と指定されている場合、「12:00〜13:00」又は「13:00まで」という「時刻範囲」についての時間制限が、かかるロック制御要求に付与されたことになる。
かかる場合、セッション管理部22は、受信した周辺デバイス12に対するロック制御要求に含まれている時間制限を経過した場合、図2に示すロック状態管理テーブルから、かかる周辺デバイス12に対するロック制御要求と当該周辺デバイス12に対するロック制御要求の要求元(ロック要求元B)との関連付けを削除するように構成されている。
ロック状態管理部23は、各階層における機能種別により特定される機能のロック状態を管理するように構成されている。本実施形態では、ロック状態管理部23は、各階層における周辺デバイス種別(「グループ種別」又は「個別種別」)により特定される周辺デバイス12のロック状態を管理するように構成されている。
例えば、ロック状態管理部23は、図2に示すロック状態管理テーブルにおいて、ある周辺デバイス種別に対して、少なくとも1つのロック要求元Bからのロック要求が送信されている場合(すなわち、少なくとも1つの「要求元」がリストに登録されている場合)、かかる周辺デバイス種別により特定される周辺デバイス12はロックされている状態にあると設定する(図2では,ロック状態の列の「Set」がこれに対応する)。
一方、ロック状態管理部23は、図2に示すロック状態管理テーブルにおいて、ある周辺デバイス種別に対して、ロック要求元Bからのロック要求が送信されていない場合(すなわち、「要求元」が1つもリストに登録されていない場合)、かかる周辺デバイス種別により特定される周辺デバイスはロックが解除されている状態にあると設定する。
また、ロック状態管理部23は、端末Aの電源がオフにされても記録データ(例えば、ロック状態に係る情報)が保持される永続ストレージ(フラッシュROMやハードディスクや,メモリカード等の外部ストレージ)によって構成されていてもよい。
また、ロック状態管理部23は、第1階層の機能種別(第1階層の周辺デバイス種別である「グループ種別」)により特定される機能(周辺デバイス12)に対するロック制御要求を受信した場合、かかる第1階層の機能種別(「グループ種別」)により特定される機能(周辺デバイス12)のロック状態を更新すると共に、かかる第1階層の機能種別(「グループ種別」)に属する第2階層の機能種別(第2階層の周辺デバイス種別である「個別種別」)により特定される機能(周辺デバイス12)のロック状態を更新するように構成されている。
具体的には、ロック状態管理部23は、各グループ種別に対するロック要求が受信されている場合、当該グループ種別に対応するロック状態を「Set」に設定した後、当該グループ種別に属する個別種別に対応するロック状態を「Set」に設定する。
図2の例では、「カメラグループ」に対するロック要求が受信されているため、「背面カメラ」や「前面カメラ」に対応するロック状態も「Set」に設定されている。
制御コマンド出力部24は、ロック状態管理部23によって管理されている各機能(本実施形態では、周辺デバイス12)に対するロック状態(ロックされている状態、又は、ロックが解除されている状態)に応じて、各機能(本実施形態では、周辺デバイス12)へのアクセスを制限する機能アクセス制御装置(本実施形態では、周辺デバイスアクセス制御装置11A)に対する制御コマンドを生成するように構成されている。
制御コマンド出力部24は、各周辺デバイス12に対するロック状態の全てを設定するための制御コマンドを出力してもよいし、現在の周辺デバイスアクセス制御装置11Aの状態との差分のみを変更するための制御コマンドを出力してもよい。
制御コマンド出力部24は、端末Aの起動時(リセットによる再起動も含む)に、ロック状態管理部23によって管理されている周辺デバイス12のロック状態に応じて、周辺デバイスアクセス制御装置11Aの制御コマンドを生成するように構成されていてもよい。
また、制御コマンド出力部24は、端末Aにおいて特定の機能が利用可能になったことが検出された際に(具体的には、周辺デバイス12の接続が検出された際に)、ロック状態管理部23によって管理されている当該周辺デバイス12のロック状態に応じて、周辺デバイスアクセス制御装置11Aの制御コマンドを生成するように構成されていてもよい。
なお、OSからの通知や、ハードウェア(例えば、周辺デバイスのコントローラ等)からの割込みによって、周辺デバイス12の接続を検出するように構成されていてもよいし、機能監視部26からの通知(オンデマンド又は一定周期)に基づいて、周辺デバイス12の接続を検出するように構成されていてもよい。
アクセス制御装置管理部25は、機能アクセス制御装置(本実施形態では、周辺デバイスアクセス制御装置11A)に対して、制御コマンド出力部24により生成された制御コマンドを送信するように構成されている。
なお、アクセス制御装置管理部25は、周辺デバイスアクセス制御装置11Aによって当該制御コマンドが正しく実行されたことを確認するように構成されていてもよいし、また、かかる制御コマンドの実行が失敗した場合には、かかる制御コマンドを再送するように構成されていてもよい。
機能監視部26は、端末Aにおいて特定の機能が利用可能になったことを検出するように構成されている。本実施形態では、機能監視部26は、端末Aに対する周辺デバイス12の接続を検出するように構成されている。
なお、機能監視部26は、かかる検出結果を、周期的に、制御コマンド出力部24に通知するように構成されていてもよい。
状態通知部28は、アクセス制御装置管理部25によって上述の制御コマンドが送信される前に(すなわち、ある種別により特定される周辺デバイス12に対するロックを実行する前に)、周辺デバイス12のロック状態を更新する旨(ロックの実行予定)を、外部(ドメイン2におけるOS70やミドルウェア60やアプリケーション50等)に通知するように構成されている。
状態応答部29は、外部(OSやミドルウェアやアプリケーション等)からの特定の機能(本実施形態では、周辺デバイス12)のロック状態に対する問合せに対して応答するように構成されている。
強制ロック制御部30は、非セキュアドメイン(ドメイン2)に対する特定の機能(本実施形態では、周辺デバイス12)へのアクセス制限の解除を強制的に要求する強制ロック解除要求を受信した場合に、セッション管理部22により管理されている特定の機能(本実施形態では、周辺デバイス12)に対するロック制御要求と特定の機能(本実施形態では、周辺デバイス12)に対するロック制御要求の要求元(ロック要求元B)との関連付けを削除する(初期化する)ように構成されている。
また、強制ロック制御部30は、強制ロック解除要求を送信したロック要求元の認証を行うように構成されていてもよい。
かかる場合、強制ロック制御部30は、かかる認証結果に応じて、例えば、特定のロック要求元Bからの強制ロック解除要求のみ受け付けるように構成されていてもよい。
例えば、強制ロック制御部30は、通信オペレータからの強制ロック解除要求のみ受け入れるように構成されていてもよい。
また、強制ロック制御部30は、特定の通信手段で送信された強制ロック解除要求のみを受け付けるように構成されていてもよい。
例えば、強制ロック制御部30は、端末Aのシリアルインタフェース等の特定の通信手段で送信された強制ロック解除要求や、特定のキー操作によって入力された強制ロック解除要求等のみを受け付けるように構成されていてもよい。
(本発明の第1の実施形態に係る機能ロック制御装置の動作)
図3乃至図8を参照して、本発明の第1の実施形態に係る機能制御装置20の動作について説明する。
第1に、図3及び図4を参照して、本実施形態に係る機能ロック制御装置20が、外部サーバから受信したロック制御要求に応じて、周辺デバイス12に対するロックを実施する動作について説明する。
図3に示すように、ステップS1001において、セッション管理部22は、受信したロック制御要求が、ロック要求であるか、或いは、ロック解除要求であるかについて判定する。
ロック要求である場合、ステップS1002において、セッション管理部22は、受信したロック要求と、当該ロック要求の要求元(ロック要求元B)とを関連付けて、図2に示すロック状態管理テーブルに保持する。
かかる場合、セッション管理部22は、具体的には、図2に示すロック状態管理テーブルにおいて、受信したロック要求において指定されている周辺デバイス種別(第1階層の周辺デバイス種別の場合、関連する第2階層の周辺デバイス種別を含む)のロック状態を「Set」に設定し、当該ロック要求内で指定されている要求元の識別子を、当該周辺デバイス種別に対応する「要求元リスト」に追加する。
一方、ロック解除要求である場合、ステップS1002において、セッション管理部22は、図2に示すロック状態管理テーブルにおいて、受信したロック解除要求により指定されている周辺デバイス種別(第1階層の周辺デバイス種別の場合、関連する第2階層の周辺デバイス種別を含む)と、当該ロック解除要求の要求元(ロック要求元B)との関連付けを削除する。
かかる場合、セッション管理部22は、具体的には、図2に示すロック状態管理テーブルにおいて、受信したロック解除要求において指定されている周辺デバイス種別(第1階層の周辺デバイス種別の場合、関連する第2階層の周辺デバイス種別を含む)のロック状態を「No」に設定し、当該周辺デバイス種別に対応する「要求元リスト」を削除する。
ステップS1004において、機能ロック制御装置20が、ロック更新手順を実施する。ここで、図4を参照して、かかるロック更新手順について説明する。
図4に示すように、ロック更新手順が開始されると、ステップS2001において、ロック状態管理部23は、ロック状態管理テーブル上で、全ての「グループ種別」及び「個別種別」により特定される周辺デバイス12のロック状態をクリアする。
ステップS2002において、ロック状態管理部23は、「グループ種別」により特定される周辺デバイス12に対するロック要求の有無を検査する。
「グループ種別」により特定される周辺デバイス12に対するロック要求がある場合(ステップS2003)、本動作は、ステップS2004に進み、「グループ種別」により特定される周辺デバイス12に対するロック要求がない場合(ステップS2003)、本動作は、ステップS2006に進む。
ロック状態管理部23は、ステップS2004において、ロック要求があると判定された「グループ種別」により特定される周辺デバイス12のロック状態を「Set」に設定とした後、ステップS2005において、かかる「グループ種別」に属する「個別種別」により特定される周辺デバイス12のロック状態を「Set」に設定する。
ステップS2006において、ロック状態管理部23は、「個別種別」により特定される周辺デバイス12に対するロック要求の有無を検査する。
少なくとも1つの「個別種別」により特定される周辺デバイス12に対するロック要求がある場合(ステップS2007)、本動作は、ステップS2008に進み、「個別種別」により特定される周辺デバイス12に対するロック要求が1つもない場合(ステップS2007)、本動作は、ステップS2009に進む。
ステップS2008において、ロック状態管理部23は、ロック要求があると判定された「個別種別」により特定される周辺デバイス12のロック状態を「Set」に設定とする。
一方、ロック要求がないと判定された「個別種別」により特定される周辺デバイス12のロック状態に対しては、「Set」が設定されず、クリアにされたままとなり、ロックが解除された状態として設定される。
なお、図2の例では、グループ種別「カメラグループ」に対するロック要求があったため、かかるグループ種別「カメラグループ」に属する個別種別「背面カメラ」や「前面カメラ」のロック状態も「Set」に設定されている。
ステップS2009において、状態通知部28は、ロック要求があると判定された周辺デバイス12に対するロックを実行する前に、該当する周辺デバイス12を特定する周辺デバイス種別及び当該ロックの実行予定を、ドメイン2のOS70やミドルウェア60やアプリケーション50に通知する。
OS70やミドルウェア60やアプリケーション50は、これらの通知を利用して、当該周辺デバイス12を利用するアプリケーション50やミドルウェア60やデバイスドライバを終了したりアンロードしたりすることで、異常処理の発生を抑止する。
状態通知部28は、ドメイン2からの確認応答を受け取るか、所定の設定時間が経過した後、ステップ2010に進む。
ステップS2010において、制御コマンド出力部24は、ロック状態管理テーブルに従って、周辺デバイスアクセス制御装置11Aの制御コマンドを生成する。
ステップS2011において、周辺デバイスアクセス制御管理部25は、かかる制御コマンドを、周辺デバイスアクセス制御装置11Aに対して発行する。これにより、ロック要求が発行された周辺デバイス12に対して、ドメイン2からのアクセスが不能となる。
第2に、図5を参照して、本実施形態に係る機能ロック制御装置20が、端末Aに対する着脱可能な周辺デバイス12の装着を契機に、当該周辺デバイス12を特定する周辺デバイス種別に対応するロック状態の設定に従って、当該周辺デバイス12に対するロックを行う動作について説明する。
図5に示すように、ステップS3001において、機能監視部26が、着脱可能な周辺デバイス12が装着されたことを検知する。
ここで、機能監視部26は、ドメイン1のOS40やドメイン2のOS70や周辺デバイス12のデバイスドライバ41、71等からの通知に基づいて、かかる周辺デバイス12の装着を検知してもよいし、周期的に、周辺デバイス12の装着状態を監視してもよい。
ステップS3002において、機能管理部21は、ロック状態管理テーブルに、端末Aに装着された周辺デバイス12を特定する周辺デバイス種別を追加する。例えば、機能管理部21は、USBの無線LANアダプタが接続された場合、グループ種別「通信グループ」に、個別種別「無線LAN」を追加する。
ステップS3003において、ロック状態管理部23は、かかる周辺デバイス12を特定する個別種別に対応するロック状態を、当該個別種別が属するグループ種別に対応するロック状態に従って設定する。
装着された当該周辺デバイス12を特定するグループ種別に対してロックが解除されている状態である場合(ステップS3004)、本動作は、終了し、装着された当該周辺デバイス12を特定するグループ種別に対してロックが行われている状態である場合(ステップS3004)、本動作は、ステップS3005に進む。
ステップS3005乃至S3008の動作は、上述の図4におけるステップS2009乃至S2011の動作と同一である。
第3に、図6を参照して、本実施形態に係る機能ロック制御装置20を具備する端末Aの起動時に、周辺デバイス12に対してロックを行う動作について説明する。
図6に示すように、ステップS4001において、端末Aが起動する。ここで、端末Aの電源オフの状態からの起動や、端末Aのリセットによる再起動等の端末Aの起動時に、端末A側の初期化シーケンスにおいて、機能ロック制御装置20が起動されるものとする。
機能ロック制御装置20は、起動されると、ステップS4002において、図4に示すロック更新手順を行う。
第4に、図7を参照して、本実施形態に係る機能ロック制御装置20が、強制ロック解除要求を受信した場合の周辺デバイス12に対するロック解除を行う動作について説明する。
図7に示すように、ステップS5001において、強制ロック制御部30は、強制的なロック解除を要求する強制ロック解除要求を受け付け、かかる強制ロック解除要求が正しい要求元から送信されたものであるか否かについて検査する。
かかる強制ロック解除要求が正しい要求元から送信されたものであった場合、本動作は、ステップS5002に進み、かかる強制ロック解除要求が正しい要求元から送信されたものでない場合、本動作は、終了する。
ステップS5002において、強制ロック制御部30は、ロック状態管理テーブル上で、強制ロック解除要求によって指定されている周辺デバイス種別に対応する要求元リスト及びロック状態をクリアする。
ステップS5003において、強制ロック制御部30は、ロック状態管理テーブル上で、強制ロック解除要求によって指定されている周辺デバイス12を特定する「グループ種別」及び「個別種別」に対応するロック状態をリセット(解除)する。
ステップS5004において、状態通知部28は、かかる周辺デバイス12に対するロック解除を実行する前に、該当する周辺デバイス12を特定する周辺デバイス種別及び当該ロック解除の実行予定を、ドメイン2のOS70やミドルウェア60やアプリケーション50に通知する。
OS70やミドルウェア60やアプリケーション50は、これらの通知を利用して、アプリケーション50やミドルウェア60やドライバが、かかる周辺デバイス12の利用準備を行う。
状態通知部28は、ドメイン2からの確認応答を受け取るか、所定の設定時間が経過した後、ステップ5005に進む。
ステップS5005において、制御コマンド出力部24は、ロック状態管理テーブルに従って、周辺デバイスアクセス制御装置11Aの制御コマンドを生成する。
ステップS5006において、周辺デバイスアクセス制御管理部25は、かかる制御コマンドを、周辺デバイスアクセス制御装置11Aに対して発行する。これにより、強制ロック解除要求が発行された周辺デバイス12に対して、ドメイン2からのアクセスが可能となる。
第5に、図8を参照して、本実施形態に係る機能ロック制御装置20が、時間制限付きのロック要求を受信した場合の動作について説明する。
図8に示すように、ステップS6001において、セッション管理部22は、周期的に起動されて、ロック状態管理テーブルの要求元リストをスキャンして、時間制限の経過したロック要求が存在するか否かについて検査する。
時間制限の経過したロック要求が存在した場合には(ステップS6002)、本動作は、ステップS6003に進み、時間制限の経過したロック要求が存在しない場合には(ステップS6002)、本動作は、終了する。
ステップS6003において、セッション管理部22は、時間制限の経過したロック要求があった場合、かかるロック要求に対応する要求元の識別子を、要求元リストから削除する。
その後、ステップS6004において、本実施形態に係る機能ロック制御装置20は、図4に示すロック更新手順を実行する。
(本発明の第1の実施形態に係る機能ロック制御装置の作用・効果)
本発明の第1の実施形態に係る機能ロック制御装置20によれば、周辺デバイスやアプリケーションやミドルウェア等の機能を特定する機能種別を階層的に管理しているため、特定の周辺デバイス12(機能)に対するロック制御要求(ロック要求又はロック解除要求)を受信した場合に、同じ周辺デバイス種別により特定される周辺デバイス12に対しても同時に当該ロック制御要求を適用することができる。
例えば、本発明の第1の実施形態に係る機能ロック制御装置20によれば、図2に示すように、グループ種別「カメラグループ」により特定される周辺デバイス12に対するロック制御要求を受信した場合には、グループ種別「カメラグループ」に属する個別種別「背面カメラ」や「前面カメラ」により特定される複数のカメラ(カメラメインカメラやサブカメラ等)に対して漏れなく当該ロック制御要求を適用し、グループ種別「通信グループ」に属する個別種別「セルラ」や「無線LAN」や「Bluetooth(登録商標)」等により特定される複数の通信デバイスに対して漏れなく当該ロック制御要求を適用することができる。
さらに、本発明の第1の実施形態に係る機能ロック制御装置20によれば、グループ種別「位置情報取得機能グループ」により特定されるソフトウェアに対するロック制御要求を受信した場合には、グループ種別「位置情報取得機能グループ」に属する個別種別「GPS」や「NWベース測位機能」や「WiFIベース測位機能」により特定される複数の測位機能に対して漏れなく当該ロック制御要求を適用することができる。
さらに、本発明の第1の実施形態に係る機能ロック制御装置20によれば、複数のロック要求元Bからの特定の機能に対するロック制御要求を受信した場合であっても、当該ロック制御要求の要求元であるロック要求元Bを管理することができるため、かかる周辺デバイス12のロック状態を正しく設定することができる。
本発明の第1の実施形態に係る機能ロック制御装置20によれば、端末Aが再起動した場合であっても、各周辺デバイス12のロック状態を正しく反映することができる。
本発明の第1の実施形態に係る機能ロック制御装置20によれば、状態通知部28からの通知を受け取ったオペレーティングシステム(OS)70やミドルウェア60が、特定の周辺デバイス12やソフトウェア等の機能を利用しているアプリケーション50を終了して、異常動作の発生を防止することができる。
本発明の第1の実施形態に係る機能ロック制御装置20によれば、アプリケーション50やミドルウェア60やOS70が、特定の周辺デバイス12やソフトウェア等の機能がロックされている(利用可能でない)のか、或いは、特定の周辺デバイス12やソフトウェア等の機能が利用可能であるのかについて知ることができると共に、当該周辺デバイス12やソフトウェア等の機能がロックされているのか、或いは、当該周辺デバイス12やソフトウェア等の機能が異常状態であるのかについて識別することができる。
本発明の第1の実施形態に係る機能ロック制御装置20によれば、周辺デバイス12が端末Aに装着されたタイミング(或いは、特定のアプリケーションやミドルウェアやデバイスドライバ等のソフトウェアが端末に組み込まれたタイミング)で、即座に、当該周辺デバイス12(或いは、当該アプリケーションやミドルウェアやデバイスドライバ等のソフトウェア)のロック状態を反映することができる。
本発明の第1の実施形態に係る機能ロック制御装置20によれば、ロック要求元Bが、障害等により、特定の機能がロックされている状態を正しく解除できない場合であっても、当該特定の機能に対するロックを解除することができる。
本発明の第1の実施形態に係る機能ロック制御装置20によれば、端末Aが通信サービスの圏外にいる場合や、ロック要求元Bに障害が発生した場合等、ロック要求元Bからのロック解除要求を受け付けられない場合であっても、特定の機能に対するロックを安全に解除することができ、ユーザに対して利便性と可用性を提供することができる。
(第2の実施形態)
図9乃至図12を参照して、本発明の第2の実施形態に係る機能ロック制御装置20について説明する。以下、本発明の第2の実施形態に係る機能ロック制御装置20について、上述の第1の実施形態に係る機能ロック制御装置20との相違点に着目して説明する。
本実施形態では、端末Aには、1つのドメイン(ドメイン1)だけが備えられており、ソフトウェアベースのアクセス制御装置11Bが備えられている。
アクセス制御装置11Bは、あるアプリケーションやミドルウェアが呼び出すAPI(Application Programming Interface)やシステムコールを受け付け、そのアクセス可否を判定して、アクセス可の場合、その呼び出しを受け付け、アクセス否の場合、その呼出を拒否する装置である。かかるアクセス制御装置11Bの一例としては、Java(登録商標)サンドボックスが挙げられる。
アクセス制御装置11Bは、アクセス可否の判定において、呼び出し元のアプリケーションやミドルウェアの種別によってアクセス可否を判定してもよい。
例えば、アクセス制御装置11Bは、デジタル署名が付与されている又はプリンストールされている「信頼できるアプリケーション」に対しては、アクセス可とし、それ以外のアプリケーションに対しては、ブロックするように構成されていてもよい。
図9では、アクセス制御装置11Bは、OS40の外側に配置されているが、OS40内に組み込まれていてもよいし、デバイスドライバ41やミドルウェア60Aやアプリケーション50Aとして実装されていてもよく、その実装形態は問わない。
図9に示すように、本実施形態に係る機能ロック制御装置20は、アプリケーションやミドルウェアと同じドメイン(ドメイン1)に配置されている。
本実施形態に係る機能ロック制御装置20は、外部のサーバやドメイン1内のアプリケーションやミドルウェアやOSからのロック制御要求を受け取り、受け取ったロック制御要求に応じて、アクセス制御装置11Bを制御することで、周辺デバイス12やアプリケーションやミドルウェアやOSが提供するソフトウェア等の機能に対するロック又はロック解除を行うように構成されている。
例えば、本実施形態では、機能管理部21は、図12に示すロック状態管理テーブルを用いて、ソフトウェアを特定するソフトウェア種別として、「メディアプレーヤグループ」や「位置情報取得機能グループ」等の「グループ種別(第1階層のソフトウェア種別、上位レベルのソフトウェア種別)」と、「音楽プレーヤ」や「ビデオプレーヤ」や「画像ビューア」や「GPS」や「NWベース測位機能」や「WiFiベース測位機能」等の「個別種別(第1階層のソフトウェア種別に属する第2階層のソフトウェア種別、下位レベルのソフトウェア種別)の2つを管理するように構成されている。
なお、本実施形態に係る機能ロック制御装置20における状態通知部28は、アクセス制御装置管理部25によって上述の制御コマンドが送信される前に(すなわち、ある周辺デバイス種別により特定される周辺デバイス12やあるソフトウェア種別により特定されるソフトウェアに対するロックを実行する前に)、周辺デバイス12やソフトウェア等の機能のロック状態を更新する旨(ロックの実行予定)を、外部(ドメイン1のOS40やミドルウェア60Aやアプリケーション50A等)に通知するように構成されている。
その結果、ドメイン1のOS40やミドルウェア60Aやアプリケーション50A等は、これらの通知を利用して、当該周辺デバイス12やソフトウェア等の機能の利用を中止すること等で、異常処理の発生を抑制することができる。
また、アクセス制御装置管理部25が、上述の制御コマンドを周辺デバイスアクセス制御装置11Bに対して発行した後、ロック要求が発行された周辺デバイス12やソフトウェア等の機能は、アクセス制御装置11Bが例外としたドメイン1のアプリケーション50Aやミドルウェア60Aを除き,ドメイン1のミドルウェア60Aやアプリケーション50Aからアクセス不能となる。
(第3の実施形態)
図10を参照して、本発明の第3の実施形態に係る機能ロック制御装置20について説明する。以下、本発明の第3の実施形態に係る機能ロック制御装置20について、上述の第1の実施形態に係る機能ロック制御装置20との相違点に着目して説明する。
本実施形態では、端末Aには、2つのドメインが備えられており、ソフトウェアベースの周辺デバイスアクセス制御装置11Cが備えられている。
図10に示すように、本実施形態では、周辺デバイス12は、ドメイン1内のバックエンドデバイスドライバ41Aからのみ直接アクセス可能である。
また、ドメイン2から周辺デバイス12にアクセスする際は、ドメイン2内のフロントエンドデバイスドライバ71Aを通じて、ドメイン1内のバックエンドデバイスドライバ41Aにアクセスして、間接的にアクセスするものとする。
本実施形態に係る機能ロック制御装置20は、ドメイン1内に配置され、外部のサーバ(ロック要求元B)やドメイン2内のアプリケーション50やミドルウェア60やOS70からロック制御要求を受け取り、受け取ったロック制御要求に応じて、周辺デバイスアクセス制御装置11Cを制御することで、ドメイン2に対する周辺デバイス12のロックを行うように構成されている。
図10では、周辺デバイスアクセス制御装置11Cは、OS40の内側に配置されているが、デバイスドライバやミドルウェアやアプリケーションとして実装されていてもよく、その実装形態は問わない。
周辺デバイスアクセス制御装置11Cは、ドメイン2内のフロントエンドデバイス71Aからのアクセス要求の受付の可否を制御することで、ドメイン2内のアプリケーション50やミドルウェア60からの周辺デバイス12へのアクセス可否を制御する。
(第4の実施形態)
図11及び図12を参照して、本発明の第4の実施形態に係る機能ロック制御装置20について説明する。以下、本発明の第4の実施形態に係る機能ロック制御装置20について、上述の第1の実施形態に係る機能ロック制御装置20との相違点に着目して説明する。
図11に示すように、本実施形態に係る機能ロック制御装置20を具備する端末Aには、第1の実施形態の場合と同様に、セキュアドメイン(ドメイン1)及び非セキュアドメイン(ドメイン2)の2つのドメインが備えられている。
また、かかる端末Aには、第1の実施形態におけるハードウェアベースの周辺デバイスアクセス制御装置11Aの代わりに、ソフトウェアベースのアクセス制御装置40C(機能アクセス制御装置の一種である)が備えられている。
アクセス制御装置40Cは、あるアプリケーションやミドルウェアが呼び出すAPIやシステムコールを受け付け、そのアクセス可否を判定して、アクセス可の場合、その呼び出しを受け付け、アクセス否の場合、その呼出を拒否する装置である。かかるアクセス制御装置40Cの一例としては、Java(登録商標)サンドボックスが挙げられる。
具体的には、機能ロック制御装置20は、端末Aのドメイン1内に配置され、外部のサーバやドメイン2等のロック要求元Bからロック制御要求を受け取り、アクセス制御装置40Cを制御することによって、ドメイン2に対するアプリケーション40A及びミドルウェア40Bが提供するソフトウェアの利用のロック及びロック解除を行うように構成されている。
図11の例では、アクセス制御装置40Cは、OS40の外側に配置されているが、OS40に組み込まれていてもよいし、ミドルウェアやアプリケーション等のソフトウェアとして実装されていてもよく、その実装形態は問わない。
本実施形態では、機能管理部21は、端末Aにおいて利用可能な機能を特定する機能種別として、端末Aに組み込まれているアプリケーション40Aやミドルウェア40B等のソフトウェアを特定するソフトウェア種別について、階層的に管理するように構成されている。
本実施形態では、ドメイン2のアプリケーション50やミドルウェア60やOS70から、ドメイン1のアプリケーション40Aやミドルウェア40Bを利用する際のロックのシナリオについて説明する。
例えば、本実施形態では、機能管理部21は、図12に示すロック状態管理テーブルを用いて、ソフトウェア種別として、「メディアプレーヤグループ」や「位置情報取得機能グループ」等の「グループ種別(第1階層のソフトウェア種別、上位レベルのソフトウェア種別)」と、「音楽プレーヤ」や「ビデオプレーヤ」や「画像ビューア」や「GPS」や「NWベース測位機能」や「WiFiベース測位機能」等の「個別種別(第1階層のソフトウェア種別に属する第2階層のソフトウェア種別、下位レベルのソフトウェア種別)の2つを管理するように構成されている。
また、図12の例では、階層構造として、「グループ種別」と「個別種別」の2つのレベルが例示されているが、機能管理部21は、更に細分化した階層構造によってソフトウェア種別を管理するように構成されていてもよい。また、1つのソフトウェア種別が、複数の上位レベルのソフトウェア種別に属するように構成されていてもよい。
なお、本実施形態に係る機能ロック制御装置20における状態通知部28は、アクセス制御装置管理部25によって上述の制御コマンドが送信される前に(すなわち、あるソフトウェア種別により特定されるソフトウェア(アプリケーション40A又はミドルウェア40B)に対するロックを実行する前に)、当該ソフトウェアのロック状態を更新する旨(ロックの実行予定)を、外部(ドメイン1のOS40やミドルウェア40Bやアプリケーション40Aや、ドメイン2のOS70やアプリケーション50やミドルウェア60等)に通知するように構成されている。
その結果、ドメイン1のOS40やミドルウェア40Bやアプリケーション40Aや、ドメイン2のOS70やミドルウェア60やアプリケーション50等は、これらの通知を利用して、当該ソフトウェアの利用を中止すること等で、異常処理の発生を抑制することができる。
また、アクセス制御装置管理部25が、上述の制御コマンドをアクセス制御装置40Cに対して発行した後、ロック要求が発行されたソフトウェアは、ドメイン2のOS70やミドルウェア60やアプリケーション50からアクセス不能となる。
さらに、アクセス制御装置管理部25が、上述の制御コマンドをアクセス制御装置40Cに対して発行した後、ロック要求が発行されたソフトウェアは、ドメイン1のOS40やミドルウェア40Bやアプリケーション40Aからアクセス不能としてもよい。
(第5の実施形態)
図12及び図13を参照して、本発明の第5の実施形態に係る機能ロック制御装置20について説明する。以下、本発明の第5の実施形態に係る機能ロック制御装置20について、上述の第1の実施形態に係る機能ロック制御装置20との相違点に着目して説明する。
図13に示すように、本実施形態に係る機能ロック制御装置20を具備する端末Aには、第1の実施形態の場合と同様に、セキュアドメイン(ドメイン1)及び非セキュアドメイン(ドメイン2)の2つのドメインが備えられている。
また、かかる端末Aには、第1の実施形態におけるハードウェアベースの周辺デバイスアクセス制御装置11Aの代わりに、ソフトウェアベースのアクセス制御装置80(機能アクセス制御装置の一種である)が備えられている。
アクセス制御装置80は、あるアプリケーションやミドルウェアが呼び出すAPIやシステムコールを受け付け、そのアクセス可否を判定して、アクセス可の場合、その呼び出しを受け付け、アクセス否の場合、その呼出を拒否する装置である。かかるアクセス制御装置80の一例としては、Java(登録商標)サンドボックスが挙げられる。
具体的には、機能ロック制御装置20は、端末Aのドメイン1内に配置され、外部のサーバやドメイン2等のロック要求元Bからロック制御要求を受け取り、アクセス制御装置80を制御することによって、ドメイン2のアプリケーション50及びミドルウェア60から、ドメイン2のアプリケーション50やミドルウェア60やOS70が提供するソフトウェアの利用のロック及びロック解除を行うように構成されている。
図13の例では、アクセス制御装置80は、OS70の外側に配置されているが、OS70に組み込まれていてもよいし、ミドルウェア60やアプリケーション50等のソフトウェアとして実装されていてもよく、その実装形態は問わない。
本実施形態では、機能管理部21は、端末Aにおいて利用可能な機能を特定する機能種別として、端末Aに組み込まれているアプリケーション50やミドルウェア60やOS70等のソフトウェアを特定するソフトウェア種別について、階層的に管理するように構成されている。
例えば、本実施形態では、機能管理部21は、図12に示すロック状態管理テーブルを用いて、ソフトウェア種別として、「メディアプレーヤグループ」や「位置情報取得機能グループ」等の「グループ種別(第1階層のソフトウェア種別、上位レベルのソフトウェア種別)」と、「音楽プレーヤ」や「ビデオプレーヤ」や「画像ビューア」や「GPS」や「NWベース測位機能」や「WiFiベース測位機能」等の「個別種別(第1階層のソフトウェア種別に属する第2階層のソフトウェア種別、下位レベルのソフトウェア種別)の2つを管理するように構成されている。
また、図12の例では、階層構造として、「グループ種別」と「個別種別」の2つのレベルが例示されているが、機能管理部21は、更に細分化した階層構造によってソフトウェア種別を管理するように構成されていてもよい。また、1つのソフトウェア種別が、複数の上位レベルのソフトウェア種別に属するように構成されていてもよい。
なお、本実施形態に係る機能ロック制御装置20における状態通知部28は、アクセス制御装置管理部25によって上述の制御コマンドが送信される前に(すなわち、あるソフトウェア種別により特定されるソフトウェア(アプリケーション50又はミドルウェア60)に対するロックを実行する前に)、当該ソフトウェアのロック状態を更新する旨(ロックの実行予定)を、外部(ドメイン2のOS70やミドルウェア60やアプリケーション50等)に通知するように構成されている。
その結果、ドメイン2のOS70やミドルウェア60やアプリケーション50等は、これらの通知を利用して、当該ソフトウェアの利用を中止すること等で、異常処理の発生を抑制することができる。
また、アクセス制御装置管理部25が、上述の制御コマンドをアクセス制御装置80に対して発行した後、ロック要求が発行されたソフトウェアは、アクセス制御装置80が例外としたドメイン2のアプリケーション50やミドルウェア60を除き、ドメイン2のミドルウェア60やアプリケーション50からアクセス不能となる。
以上、上述の実施形態を用いて本発明について詳細に説明したが、当業者にとっては、本発明が本明細書中に説明した実施形態に限定されるものではないということは明らかである。本発明は、特許請求の範囲の記載により定まる本発明の趣旨及び範囲を逸脱することなく修正及び変更態様として実施することができる。従って、本明細書の記載は、例示説明を目的とするものであり、本発明に対して何ら制限的な意味を有するものではない。
本発明の第1の実施形態に係る機能ロック制御装置の機能ブロック図である。 本発明の第1の実施形態に係る機能ロック制御装置で用いられるロック状態管理テーブルの一例を示す図である。 本発明の第1の実施形態に係る機能ロック制御装置がロック制御要求を受信した際の動作を示すフローチャートである。 本発明の第1の実施形態に係る機能ロック制御装置におけるロック更新手順を示すフローチャートである。 本発明の第1の実施形態に係る機能ロック制御装置が周辺デバイスの装着を検知した際の動作を示すフローチャートである。 本発明の第1の実施形態に係る機能ロック制御装置を具備する端末の起動時の動作を示すフローチャートである。 本発明の第1の実施形態に係る機能ロック制御装置が強制ロック解除要求を受信した際の動作を示すフローチャートである。 本発明の第1の実施形態に係る機能ロック制御装置が時間制限付きのロック要求を受信した際の動作を示すフローチャートである。 本発明の第2の実施形態に係る機能ロック制御装置の機能ブロック図である。 本発明の第3の実施形態に係る機能ロック制御装置の機能ブロック図である。 本発明の第4の実施形態に係る機能ロック制御装置の機能ブロック図である。 本発明の第4の実施形態に係る機能ロック制御装置で用いられるロック状態管理テーブルの一例を示す図である。 本発明の第5の実施形態に係る機能ロック制御装置の機能ブロック図である。 従来の周辺デバイス制御装置を具備する端末について説明するための図である。
符号の説明
A…端末
B…ロック要求元
10…ハードウェア
11A、11C…周辺デバイスアクセス制御装置
11B、40B、80…アクセス制御装置
12…周辺デバイス
20…機能ロック制御装置
21…機能管理部
22…セッション管理部
23…ロック状態管理部
24…制御コマンド出力部
25…アクセス制御装置管理部
26…機能監視部
28…状態通知部
29…状態応答部
30…強制ロック制御部
40、40C、70…OS
41、71…デバイスドライバ
41A…バックエンドデバイスドライバ
40A、50、50A…アプリケーション
40B、60、60A…ミドルウェア
71A…フロントエンドデバイスドライバ

Claims (9)

  1. セキュアドメイン及び非セキュアドメインを具備する端末内に設けられており、前記端末において利用可能な機能を制御する機能ロック制御装置であって、
    前記機能を特定する機能種別について、階層的に管理するように構成されている機能管理部と、
    前記非セキュアドメインから前記機能へのアクセスが制限されているか否かについて示すロック状態を更新するためのロック制御要求と、該ロック制御要求の要求元とを関連付けて管理するように構成されているセッション管理部と、
    各階層における前記機能種別により特定される機能のロック状態を管理するように構成されているロック状態管理部と、
    前記ロック状態に応じて、前記機能へのアクセスを制限する機能アクセス制御装置に対する制御コマンドを生成するように構成されている制御コマンド出力部と、
    前記機能アクセス制御装置に対して、前記制御コマンド出力部により生成された前記制御コマンドを送信するように構成されているアクセス制御装置管理部とを具備し、
    前記ロック状態管理部は、第1階層の機能種別により特定される機能に対する前記ロック制御要求を受信した場合、該第1階層の機能種別により特定される機能のロック状態を更新すると共に、該第1階層の機能種別に属する第2階層の機能種別により特定される機能のロック状態を更新するように構成されていることを特徴とする機能ロック制御装置。
  2. 前記ロック状態管理部は、前記ロック状態を永続ストレージに保持するように構成されており、
    前記制御コマンド出力部は、前記端末の起動時に、前記ロック状態管理部によって管理されている前記機能のロック状態に応じて、前記制御コマンドを生成するように構成されていることを特徴とする請求項1に記載の機能ロック制御装置。
  3. 前記アクセス制御装置管理部によって前記制御コマンドが送信される前に、前記機能のロック状態を更新する旨を外部に通知するように構成されている状態通知部を具備することを特徴とする請求項1又は2に記載の機能ロック制御装置。
  4. 外部からの前記機能のロック状態に対する問合せに対して応答するように構成されている状態応答部を具備することを特徴とする請求項1乃至3のいずれか一項に記載の機能ロック制御装置。
  5. 前記端末において前記機能が利用可能になったことを検出するように構成されている機能監視部を具備し、
    前記制御コマンド出力部は、前記端末において前記機能が利用可能になったことを検出した際に、前記ロック状態管理部によって管理されている該機能のロック状態に応じて、前記制御コマンドを生成するように構成されていることを特徴とする請求項1乃至4のいずれか一項に記載の機能ロック制御装置。
  6. 前記非セキュアドメインから前記機能へのアクセス制限の解除を強制的に要求する強制ロック解除要求を受信した場合に、前記セッション管理部により管理されている該機能に対するロック制御要求と該機能に対するロック制御要求の要求元との関連付けを削除するように構成されている強制ロック制御部を具備することを特徴とする請求項1乃至5のいずれか一項に記載の機能ロック制御装置。
  7. 前記セッション管理部は、受信した前記機能に対するロック制御要求に含まれている時間制限を経過した場合、該機能に対するロック制御要求と該機能に対するロック制御要求の要求元との関連付けを削除するように構成されていることを特徴とする請求項1乃至6のいずれか一項に記載の機能ロック制御装置。
  8. 前記機能は、前記端末に接続されている周辺デバイス、或いは、前記端末に組み込まれたソフトウェアであることを特徴とする請求項1乃至7のいずれか一項に記載の機能ロック制御装置。
  9. セキュアドメイン及び非セキュアドメインを具備する端末において利用可能な機能を制御する機能ロック制御方法であって、
    前記機能を特定する機能種別について、階層的に管理する工程と、
    前記非セキュアドメインから前記機能へのアクセスが制限されているか否かについて示すロック状態を更新するためのロック制御要求と、該ロック制御要求の要求元とを関連付けて管理する工程と、
    各階層における機能種別により特定される機能のロック状態を管理する工程と、
    前記ロック状態に応じて、前記機能へのアクセスを制限する機能アクセス制御装置に対する制御コマンドを生成する工程と、
    前記機能アクセス制御装置に対して、前記制御コマンド出力部により生成された前記制御コマンドを送信する工程とを有し、
    前記ロック状態を管理する工程において、第1階層の機能種別により特定される機能に対する前記ロック制御要求を受信した場合、該第1階層の機能種別により特定される機能のロック状態を更新すると共に、該第1階層の機能種別に属する第2階層の機能種別により特定される機能のロック状態を更新することを特徴とする機能ロック制御方法。
JP2006317824A 2006-11-24 2006-11-24 機能ロック制御装置及び機能ロック制御方法 Pending JP2008130051A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006317824A JP2008130051A (ja) 2006-11-24 2006-11-24 機能ロック制御装置及び機能ロック制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006317824A JP2008130051A (ja) 2006-11-24 2006-11-24 機能ロック制御装置及び機能ロック制御方法

Publications (1)

Publication Number Publication Date
JP2008130051A true JP2008130051A (ja) 2008-06-05

Family

ID=39555765

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006317824A Pending JP2008130051A (ja) 2006-11-24 2006-11-24 機能ロック制御装置及び機能ロック制御方法

Country Status (1)

Country Link
JP (1) JP2008130051A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022517334A (ja) * 2019-01-16 2022-03-08 アシュラント インコーポレイテッド 請求管理デバイスのロックアウトのための装置、方法、およびコンピュータプログラム製品

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022517334A (ja) * 2019-01-16 2022-03-08 アシュラント インコーポレイテッド 請求管理デバイスのロックアウトのための装置、方法、およびコンピュータプログラム製品
JP7196319B2 (ja) 2019-01-16 2022-12-26 アシュラント インコーポレイテッド 請求管理デバイスのロックアウトのための装置、方法、およびコンピュータプログラム製品
JP2023030009A (ja) * 2019-01-16 2023-03-07 アシュラント インコーポレイテッド 請求管理デバイスのロックアウトのための装置、方法、およびコンピュータプログラム製品
JP7497414B2 (ja) 2019-01-16 2024-06-10 アシュラント インコーポレイテッド 請求管理デバイスのロックアウトのための装置、方法、および非一時的なコンピュータ可読記憶媒体
US12216808B2 (en) 2019-01-16 2025-02-04 Assurant, Inc. Apparatus, method, and computer program product for claim management device lockout

Similar Documents

Publication Publication Date Title
US8904523B2 (en) Security module having a secondary agent in coordination with a host agent
US9811682B2 (en) Security policy for device data
EP2497051B1 (en) Approaches for ensuring data security
CA2732831C (en) Secure computing environment using a client heartbeat to address theft and unauthorized access
US8566905B2 (en) Electronic device, use restriction method for electronic device, and computer-readable recording medium
US8402459B2 (en) License management system, license management computer, license management method, and license management program embodied on computer readable medium
US20120192257A1 (en) Image processing apparatus, access control method, and storage medium
US20130237204A1 (en) System and method for uploading location information based on device movement
US20110145932A1 (en) System and Method for Remote Management of Applications Downloaded to a Personal Portable Wireless Appliance
US20080120716A1 (en) System and method for enhancing security of an electronic device
EP2037385B1 (en) Information processing apparatus, authentication control method, and authentication control program
JP2009217820A (ja) ネットワーク画像形成デバイスをリモート管理するための方法及びリモート画像形成デバイス管理アプリケーションソフトウェアツール
JP2007328770A (ja) 情報処理装置、アクセス制御方法、アクセス制御プログラム、記録媒体、及び画像形成装置
JP2009193169A (ja) デバイス管理システム、デバイス管理方法、情報処理装置、情報処理方法、プログラムおよび記憶媒体
JP2009069993A (ja) 情報処理装置、認証制御方法、及び認証制御プログラム
JP2009258917A (ja) プロキシサーバ、認証サーバおよび通信システム
US20080060059A1 (en) Data processor, peripheral device, and recording medium used herewith
JP2011138279A (ja) シンクライアントシステム、シンクライアント端末およびシンクライアントプログラム
US20060064387A1 (en) Systems and methods for software licensing
CN102446258B (zh) 一种附件权限类型扩展的方法、装置及系统
JP2008130051A (ja) 機能ロック制御装置及び機能ロック制御方法
US20110214159A1 (en) Computer system
JP7259597B2 (ja) 情報処理端末及びリモート操作システム
JP5458535B2 (ja) 機器、ライセンス管理方法、プログラム、及びライセンス管理システム
JP2013033486A (ja) 情報処理装置、認証制御方法、プログラム、及び記録媒体