便携终端、访问控制管理装置以及访问控制管理方法

摘要

本发明提供一种便携终端、访问控制管理装置以及访问控制管理方法。便携终端(200)具备：应用执行部(240)；访问控制规则管理部(270)，其保存访问控制规则，该规则规定应用程序向终端内的机密资源的访问权限的有无和决定单元；访问控制规则询问部(220)，其指定便携终端具有的用户识别模块的标识符和便携终端自身的标识符中的至少一个，从外部装置取得访问控制规则，并保存在访问控制规则管理部中；询问要否判断部(260)，其在应用程序访问机密资源时，调出访问控制规则询问部，并判断是否更新访问控制规则；权限管理部(230)，其根据访问控制规则，判断访问权限的有无；以及机密资源管理部(250)，其根据权限管理部(230)的判断结果，许可或拒绝应用程序的向机密资源的访问请求。

说明书

技术领域

本发明涉及一种便携终端、访问控制管理装置以及访问控制管理方法。

背景技术

已公开了在便携终端的遗失或被盗时为了保护便携终端的机密功能，通过远程控制进行访问控制规则的变更或数据删除的设备管理技术(参照例如特开平7-193865号公报)。

更具体地说，公开了：通过通信线路由外部向遗失的便携终端发送遥控操作数据，接收到该数据的无线便携终端解析遥控操作数据的内容，可执行用于排除对所有者不利的情况的保护处理的无线便携终端的构成方法以及确保安全的方法。

作为针对上述现有方法的第一课题，存在如下危险：在便携终端位于通信服务的服务区外时或在便携终端上安装有意想不到的用户识别模块时，远程控制请求未到达而无法进行远程控制，因此无法防止对机密数据或机密功能(下面将这些统称为“机密资源”)的不正当访问。用户识别模块(User IdentityModule，简称为UIM)是指SIM(Subscriber Identity Module)或USIM(UserSubscriber Identity Module)等、在卡内记录有用户的电话号码或契约的便携电话运营商的信息等的IC卡，通过将UIM安装在便携终端，通过记录在卡内的电话号码可以利用该终端。远程控制请求以电话号码等标识符为目的地来发送，因此在安装有别的UIM时，虽然封锁了捆绑在原来的UIM的数据，但是无法进行其删除或功能的封锁。

另外，作为第二课题，在管理的便携终端较多时，在访问控制规则的变更时需要同时执行远程控制，因此存在由于管理装置或网络的负荷而无法立即反应到远程控制的可能性。此时也存在对于远程控制较晚的便携终端无法防止不正当访问的危险。作为统一进行远程控制的例子，存在对于特定的便携终端集合，在网络侧统一控制场所或时间段等的访问控制的情况，或者在需要删除机密数据时，对于保存有该机密数据的所有便携终端发送数据删除命令的情况。

发明内容

因此，本发明是鉴于上述课题而提出的，其目的在于，提供一种即使在服务区外也可以锁定向机密资源的访问，并且可以防止在访问控制规则的变更时负荷集中的便携终端、访问控制管理装置以及访问控制管理方法。

为了达到上述目的，本发明的第一特征是一种便携终端，其具备：(a)应用执行部，其执行应用程序；(b)访问控制规则管理部，其保存访问控制规则，该规则规定所述应用程序向终端内的机密资源的访问权限的有无和决定单元；(c)访问控制规则询问部，其指定便携终端具有的用户识别模块的标识符和便携终端自身的标识符中的至少一个，从外部装置取得所述访问控制规则，并保存在访问控制规则管理部中；(d)询问要否判断部，其在所述应用程序访问机密资源时，判断是否更新所述访问控制规则，并进行更新；(e)权限管理部，其根据所述访问控制规则，判断访问权限的有无；以及(f)机密资源管理部，其根据所述权限管理部的判断结果，许可或不许可所述应用程序向机密资源的访问请求。

根据第一特征中的便携终端，在便携终端上的应用访问机密资源时，判断是否需要更新访问控制规则，在需要更新时，更新访问控制规则并反映给权限管理。在便携终端的访问控制时，按照更新过的访问控制规则，在服务区外时封锁向机密资源的访问，或者进行用户认证，或者删除机密资源，由此在服务区外时也可以保护机密资源。

另外，在第一特征中的便携终端中，所述询问要否判断部，在所述便携终端在一定时间以上处于服务区外状态时，也可以在访问控制规则中附加用户认证命令、封锁命令、机密数据的删除命令中的至少一个来进行更新。

根据该便携终端，在便携终端处于服务区外状态时，也可以通过用户认证来担保一定的安全性，同时可以访问机密资源，可以确保用户的便利性。或者，通过封锁命令或机密数据的删除命令，可以提高服务区外状态下的机密资源的保护。

另外，在第一特征中的便携终端的询问要否判断部也可以具备超高速缓冲存储控制部，其检查在访问控制规则中设定的有效期限，在期限期满时调出访问控制规则询问部。

根据该便携终端，在向机密资源的访问时，始终不需要询问访问控制管理装置，因此可以提高应答性。另外，在各便携终端访问机密资源时，通过询问访问控制管理装置，可以防止访问控制规则的变更时负荷集中，对多个便携终端可以进行适时的访问控制。

另外，第一特征中的便携终端的询问要否判断部，在所述权限管理部中用户认证成功时，也可以更新为将访问控制规则的用户认证命令解除一定时间。

根据该便携终端，在先前用户认证已经成功的情况下，在向机密资源的访问时，一定时间内不需要询问用户，因此可以提高用户的便利性和应答性。

另外，在第一特征中的便携终端的权限管理部，也可以具备日志发送部，其记录向机密资源的访问的日志，并发送给外部装置。

根据该便携终端，由访问控制管理装置可以验证访问控制的动作，同时便携终端不进行用户的认证或向访问控制管理装置的询问，而可以许可向部分机密资源的访问。而且，万一机密信息被泄漏的情况下，也可以通过解析日志，来掌握哪一信息被泄漏了或操作了哪一功能。

另外，第一特征中的便携终端的机密资源管理部，也可以具备机密数据删除部，其在所述访问控制规则询问部所取得的、或者由询问要否判断部所更新过的访问控制规则中有机密数据的删除命令时，删除该机密数据。而且，询问要否判断部在权限管理部中用户认证失败时，也可以在访问控制规则中附加机密数据的删除命令来进行更新。

根据该便携终端，可以保护被盗或遗失时的机密数据的泄漏。另外，在用户认证失败的情况下，通过进行数据删除可以削减信息泄漏的危险性。

另外。第一特征中的便携终端的访问控制规则询问部，在便携终端没有安装特定的用户识别模块的状态下，有向所述特定的用户识别模块所对应的机密资源的访问时，也可以指定便携终端的标识符来从访问控制管理装置取得访问控制规则。

根据该便携终端，在便携终端中插入有其他用户识别模块(UIM)的状态下，也可以实施在该终端的特定UIM上捆绑的数据的删除等远程控制。

本发明的第二特征是一种访问控制管理装置，其具备：(a)用户管理部，其保存便携终端的用户信息以及对所述便携终端赋予的访问控制规则；(b)用户认证部，其进行用户认证；(c)访问控制规则应答部，其对于来自所述便携终端的、包含便携终端所具有的用户识别模块的标识符和便携终端自身的标识符中的至少一个指定的访问控制规则的询问，应答该便携终端的访问控制规则；(d)访问控制请求接收部，其接收来自用户的、对便携终端或多个便携终端的访问控制规则的登录请求或者变更请求；(e)访问控制规则验证管理部，其对验证所述访问控制规则的登录请求或者变更请求的规则进行管理；以及(f)访问控制规则验证部，其按照验证所述访问控制规则的规则，验证所述登录请求或者变更请求。

根据第二特征中的访问控制管理装置，便携终端能够以便携终端自身的标识符来询问访问控制规则，在更换用户识别模块的状态下也能取得向该便携终端的访问控制规则，可以防止便携终端的不正当利用。另外，通过访问控制规则的验证，可以防止接受对该便携终端不具有权限的用户的访问控制规则的请求，可以进行通信运营商的策略的强制。

另外，第二特征中的访问控制管理装置的访问控制请求接收部也可以接收包含有效期限的登录请求或者变更请求。

根据该访问控制管理装置，按照机密资源的重要度或安全性的要求级别，用户可以设定适当的安全级别。

另外，第二特征中的访问控制管理装置的访问控制规则应答部，也可以具备推送发送部，其在来自用户的访问控制规则的登录请求或变更请求中包含推送请求时，向该便携终端推送发送访问控制规则。

根据该访问控制管理装置，无需等待来自便携终端的询问，可以及时进行远程控制。

另外，第二特征中的访问控制管理装置的访问控制规则验证部也可以具备日志验证部，其从所述便携终端接收访问控制日志，并进行验证。

根据该访问控制管理装置，在日志中发现了不遵循访问控制规则的问题处时，可以采取通过强化适用给予便携终端的访问控制规则的限制、或者通知泄漏的机密信息的相关者等的对策。而且，可以防止接受对该便携终端不具有远程控制权限的用户的访问控制规则的请求。例如，在便携终端被盗时，即使更换用户识别模块也可以不给予其便携终端的远程控制的权限。

本发明的第三特征是一种限制应用程序访问便携终端内的机密资源的访问控制管理方法，其包括如下步骤：(a)所述应用程序访问机密资源时，判断是否更新访问控制规则，该规则规定所述应用程序访问便携终端内的机密资源的访问权限的有无以及决定单元；(b)指定便携终端具有的用户识别模块的标识符和便携终端自身的标识符中的至少一个，从外部装置取得所述访问控制规则，并进行保存；(c)根据所述访问控制规则，判断访问权限的有无；以及(d)根据所述判断结果，进行对访问请求的应答。

根据第三特征中的访问控制管理方法，在便携终端上的应用访问机密资源时，判断是否需要更新向访问控制管理装置的访问控制规则，在需要更新时，更新访问控制规则并反映给权限管理。在便携终端的访问控制时，按照更新的访问控制规则，在服务区外时通过封锁向机密资源的访问或者进行用户认证或者删除机密资源，在服务区外时也可以保护机密资源。

附图说明

图1是第一实施方式的访问控制系统的结构框图。

图2是第一实施方式的访问控制管理装置以及便携终端的结构框图。

图3是第一实施方式的访问控制规则表的一例。

图4是第一实施方式的访问控制规则的验证规则的一例。

图5是第一实施方式的用户信息表的一例。

图6是表示第一实施方式的访问控制管理装置中的访问控制规则的登录·变更步骤的流程图。

图7是表示第一实施方式的便携终端中的访问控制步骤的流程图。

图8是表示利用了第一实施方式的便携终端中的日志的访问控制步骤的流程图。

图9是表示利用了第一实施方式的访问控制管理装置中的日志的访问控制步骤的流程图。

图10是表示第一实施方式的访问控制管理装置中的通过推送进行的访问控制步骤的流程图。

图11是表示第一实施方式的便携终端中的通过推送进行的访问控制步骤的流程图。

图12是第二实施方式的访问控制系统的结构框图。

图13是第二实施方式的访问控制管理装置的结构框图。

图14是表示第二实施方式的访问控制管理装置A的权限转让以及询问处变更步骤的流程图。

图15是表示第二实施方式的访问控制管理装置B的权限转让以及询问处变更处理的流程图。

图16是第三实施方式的访问控制系统的结构框图。

图17是表示第三实施方式的访问控制管理装置A的权限转让步骤的流程图。

图18是表示第三实施方式的访问控制管理装置B的权限转让步骤的流程图。

图19是表示第三实施方式的访问控制管理装置A的通过推送进行的访问控制步骤的流程图。

图20是表示第三实施方式的访问控制管理装置B的通过推送进行的访问控制步骤的流程图。

图21是表示利用了第一实施方式的便携终端中的用户识别模块的访问控制步骤的流程图。

具体实施方式

下面，参照附图对本发明的实施方式进行说明。在以下的附图的记载中对相同或类似的部分标注相同或类似的符号。其中，应注意的是，附图是示意性的图。

<第一实施方式>

如图1所示，第一实施方式的访问控制管理系统具备：作为设置在固定网上的服务器的访问控制管理装置100；以及位于无线通信网的服务区内的便携终端200。

(便携终端)

图2是第一实施方式的便携终端200和访问控制管理装置100的框图。便携终端200是例如便携电话或PDA(Personal Digital Assistant)或笔记本电脑，具有未图示的通信接口。

便携终端200具有应用执行部240、访问控制规则管理部270、访问控制规则询问部220、询问要否判断部260、权限管理部230、机密资源管理部250和控制部210。而且，询问要否判断部260具有超高速缓冲存储控制部261，机密资源管理部250具有机密数据删除部251，权限管理部230具有日志发送部231。

应用执行部240提供一种执行利用便携终端200内的数据或功能的应用程序的执行环境。作为应用程序，例如可以列举电话簿应用、音乐播放器应用、摄像机应用和法人应用等。

访问控制规则管理部270保存基于应用程序的、规定向便携终端内的机密资源的访问权限的有无和决定手段的访问控制规则来作为访问控制规则表。图3表示访问控制规则表的具体例。资源是指机密资源，在该例子中，对于各资源，作为访问控制规则指定有询问要否和有效期限、删除标志、访问许可应用种类。例如，关于参照电话簿的功能的访问控制规则表示：在访问前对用户发出询问后需要基于密码输入或指纹扫描等的用户认证；从更新了访问控制规则起到t1为止其超高速缓冲存储有效；由于没有设置删除标志所以不需要删除数据。另外，规定为只有应用A可以访问电话簿。另一方面，关于顾客信息，有关参照的功能的访问控制规则表示：需要在访问前通过向用户询问来进行用户认证；在t2之前访问控制规则的超高速缓冲存储有效；由于设置有删除标志，因此需要立即删除数据。另外，规定只有应用B可以访问顾客信息。

访问控制规则询问部220指定便携终端所具有的用户识别模块的标识符和便携终端自身的标识符中的至少一个，利用通信单元从访问控制管理装置100取得访问控制规则，并保存在访问控制规则管理部中。作为通信单元可以列举蜂窝、无线LAN、红外线、蓝牙等，不限定链路种类。另外，也可以从访问控制管理装置100等外部装置通过推送来接收访问控制规则。便携终端自身的标识符可以利用例如IMEI(International Mobile station EquipmentIdentity)，用户识别模块(UIM)的标识符可以利用例如IMSI(InternationalMobile Subscriber Identity)。而且，访问控制规则询问部220在便携终端中没有安装特定的用户识别模块的状态下发生了向所述特定的用户识别模块所对应的机密资源的访问时，指定便携终端的标识符来从访问控制管理装置取得访问控制规则。

询问要否判断部260在应用程序访问机密资源时，判断是否更新访问控制规则。例如，询问要否判断部260在便携终端200一定时间以上处于服务区外状态时，在访问控制规则中附加用户认证命令、封锁命令、删除命令中的至少一个来进行更新。在图3的具体例的情况下，询问要否判断部260在附加用户认证时将询问要否的字段设定为yes。另外，询问要否判断部260也可以在权限管理部中用户认证成功时将访问控制规则的用户认证命令解除一定时间。而且，询问要否判断部260也可以在权限管理部中用户认证失败时在访问控制规则中附加机密数据的删除命令来进行更新。

超高速缓冲存储控制部261，检查在访问控制规则中设定的有效期限，在期限期满时调出访问控制规则询问部。在图3的具体例的情况下，超高速缓冲存储控制部261参照有效期限的字段来进行判断。

权限管理部230利用访问控制规则来判断权限的有无。例如，在图3的具体例的情况下，在访问请求对象的机密资源所指定的访问许可应用种类中指定了其应用时，判断为有权限。另外，在访问控制规则的询问要否的字段成为yes时，在执行用户认证并成功时判断为有权限。另一方面，在用户认证失败时判断为无权限。

日志发送部231记录权限管理部230决定的访问控制动作的日志，并发送给访问控制管理装置100。作为包含在日志中的信息，可以列举应用的名称或标识符、访问的机密资源、时刻、访问控制的判断结果(许可或拒绝)等，可以包含这些部分信息，也可以包含其他信息。

机密资源管理部250利用权限管理部230的判断结果，许可、拒绝应用程序的向机密资源的访问请求。

机密数据删除部251在访问控制规则询问部220取得的访问控制规则中有机密数据的删除命令时，删除该机密数据。

控制部210对上述应用执行部240、访问控制规则管理部270、访问控制规则询问部220、询问要否判断部260、权限管理部230、机密资源管理部250等进行管理·控制，来执行以后说明的便携终端200的访问控制步骤等。

另外，第一实施方式的便携终端200具有处理控制装置(CPU)，将应用执行部240、访问控制规则管理部270、访问控制规则询问部220、询问要否判断部260、权限管理部230、机密资源管理部250、控制部210等做成模块向硬件化或被隔离的环境配置，由此可以构筑安全执行的环境。这些模块可以在个人计算机等通用计算机中通过执行用于利用规定程序语言的专用程序来实现。

另外，虽然未图示，但是便携终端200也可以具有程序保存部，该程序保存部保存用于使处理控制装置(CPU)执行应用程序执行处理、访问控制规则管理处理、访问控制规则询问处理、询问要否判断处理、权限管理处理、机密资源管理处理、控制处理等的程序。程序保存部例如是RAM、ROM、硬盘、软磁盘、光盘、IC芯片、盒式录音带等记录媒体。根据这样的记录媒体可以容易进行程序的保存、运输、销售等。

(访问控制管理装置)

访问控制管理装置100如图2所示，具有：访问控制规则验证管理部170、用户管理部140、用户认证部150、访问控制规则应答部120、访问控制请求接收部130、访问控制规则验证部160和控制部110。而且，访问控制规则应答部120具有推送发送部121，访问控制规则验证部160具有日志验证部161。

访问控制规则验证管理部170保存用于验证访问控制规则的规则。图4表示访问控制规则的验证规则的具体例。例如可以列举如下情况：电话簿功能的删除是只要没有备份就无法恢复，因此仅许可特别契约的用户。另外，也可以举出在邮件功能状况不好而存在信息泄漏的危险性时便携电话运营商将邮件功能利用的禁止反映给访问控制规则。而且，还可以举出如下情况：在用户以外的第三者(美术馆)要求在美术馆里使摄象机功能无效的访问控制规则并获知了用户位于美术馆里的情况下，与用户将摄象机功能设定为有效还是无效无关地强制访问控制规则。除此之外，还可以举出：防止接受来自不具有对该便携终端的远程控制权限的用户的访问控制规则请求的访问控制规则。

访问控制规则验证部160通过这些验证规则检查访问控制规则，对于不满足验证规则的访问控制规则进行修正。

日志验证部161从便携终端200接收访问控制日志，并验证该访问控制日志。

用户管理部140登录可变更便携终端200的访问控制规则的用户信息，并保存在用户信息表中。用户是便携终端200的管理者，例如个人的便携终端时，其拥有者成为管理者，是企业借给职员的便携终端时，管理部门的担当者成为管理者。图5表示用户信息表的具体例。用户信息表中包含用于唯一识别用户的唯一的ID(标识符)、用于唯一识别该用户所管理的便携终端的唯一的ID、认证信息、对该便携终端赋予的访问控制规则以及推送请求。例如，可以举出：作为用户ID，使用电子邮件地址或IMSI(International Mobile SubscriberIdentity)，作为便携终端ID，使用电话号码或终端的序列号(IMEI)，作为认证信息，使用每一用户的共有密钥。如用户ID为3的用户那样，一个管理者也可以管理多个便携终端(在图5中为C、D、E、F、G)。另外，对各便携终端可以准备专用的访问控制规则，也可以统一准备相同的访问控制规则。

用户认证部150验证请求访问控制规则的登录或变更的用户的正当性，并进行认证。例如，使用用户ID和认证信息的共享密钥可以判断是否为正当的用户。在不是正当用户时，用户认证部拒绝其请求。

访问控制规则应答部120对来自便携终端200的访问控制规则的询问，应答该便携终端的访问控制规则。使便携终端200指定是便携终端200的ID还是管理者的ID来进行询问，由此访问控制管理装置100可以从图4的用户信息表找到对应的访问控制规则。

推送发送部121在来自用户的访问控制规则的登录请求或变更请求中包含推送请求时，向该便携终端200推送发送访问控制规则。

访问控制请求接收部130接收来自用户的、对便携终端或多个便携终端的访问控制规则的登录请求或者变更请求。

控制部110对上述的访问控制规则验证管理部170、用户管理部140、用户认证部150、访问控制规则应答部120、访问控制请求接收部130和访问控制规则验证部160进行管理·控制，来执行以后说明的访问控制规则的登录步骤或变更步骤等。

另外，第一实施方式的访问控制管理装置100具有处理控制装置(CPU)，将访问控制规则验证管理部170、用户管理部140、用户认证部150、访问控制规则应答部120、访问控制请求接收部130、访问控制规则验证部160和控制部110等作为模块向硬件化或隔离的环境进行配置，由此可以构筑安全执行的环境。这些模块在个人计算机等通用计算机中可以通过执行用于利用规定程序语言的专用程序实现。

另外，虽然未图示，但是访问控制管理装置100也可以具有程序保存部，该程序保存部保存用于使处理控制装置(CPU)执行访问控制规则验证管理处理、用户管理处理、用户认证处理、访问控制规则应答处理、访问控制请求接收处理、访问控制规则验证处理、控制处理等的程序。程序保存部例如是RAM、ROM、硬盘、软磁盘、光盘、IC芯片、盒式录音带等记录媒体。根据这样的记录媒体可以容易进行程序的保存、运输、销售等。

(访问控制规则的登录·变更步骤)

下面，参照图6说明用户在访问控制管理装置100中登录·变更便携终端200的步骤。作为前提，用户已经向访问控制管理装置100登录完毕，图4的用户信息中的用户ID和认证信息已设定完毕。

首先，在步骤S101中，访问控制管理装置100在接收到来自用户的连接请求时，在步骤S102中，用户认证部150根据用户ID和认证信息验证该用户是否为正当用户。

接着，在步骤S103中，在认证成功的情况下，用户完成登录。在认证失败的情况下，进入步骤S104，并再次等待来自用户的连接请求。

接着，在步骤S105中，访问控制请求接收部130从用户接收(便携终端的ID，访问控制规则)的组来作为访问控制请求。接着，在步骤S106中，访问控制规则验证部160参照访问控制规则验证管理部170所具有的访问控制规则验证信息检查(便携终端ID，访问控制规则)的组中是否设定有不正当的权限。

在步骤S107中，在不正当的情况下，进入步骤S109以及S110，并进行访问控制规则的修正或通知用户。用户接受修正的访问控制规则或进一步进行修正的访问控制规则的重发。

然后，在步骤S108中，对于最终在访问控制规则验证部160中检查通过的用户，用户管理部140在用户信息表中写入正当的(便携终端ID，访问控制规则)的组。

此外，在上述说明中，说明了访问控制请求接收部130从用户接收(便携终端ID，访问控制规则)的组来作为访问控制请求的步骤，但是也可以接收(用户识别模块的ID，访问控制规则)的组来作为访问控制请求。

(便携终端的访问控制步骤)

下面，参照图7说明在便携终端侧进行访问控制的步骤。这里，说明在服务区外的情况下有机密资源的访问时进行用户认证的例子。

首先，在步骤S201中，在应用执行部240中动作的应用程序要访问机密资源时，在步骤S202中，权限管理部230调出询问要否判断部260，并判断是否需要更新访问控制规则。

接着，在步骤S203中，询问要否判断部260参照访问控制规则表中的有效期限的字段，在有效期限期满时判断为需要更新，并进入步骤S204。在当前时刻为有效期限之前时，判断为不需要更新。

接着，在步骤S204中，访问控制规则询问部220对访问控制管理装置100指定便携终端200的ID并请求访问控制规则。访问控制管理装置100的访问控制请求接收部130从用户管理表中提取与便携终端的ID对应的访问控制规则，并由访问控制规则应答部120发送给便携终端200。此时，访问控制请求接收部130也可以进行便携终端的认证。接着，在步骤S205中，询问要否判断部260检查便携终端是否一定时间以上处于服务区外状态，并在步骤S206中进行判断，在一定时间以上处于服务区外状态时，在步骤S207中在访问控制规则中附加用户认证命令，因此将访问控制规则表中的询问要否的字段更新为yes(要)。

然后，在步骤S208中，权限管理部230利用访问控制规则来判断权限的有无。具体而言，例如参照访问控制规则表的访问许可应用种类，判断是否为具有权限的应用。接着，在步骤S210中，利用其判断结果，在具有权限时，权限管理部230判断访问控制规则表中的询问要否的字段是否为yes(要)，在“否”的情况下判断为有权限。另一方面，在“要”的情况下在步骤S211中执行用户认证，在用户认证成功的情况下判断为有权限。在用户认证失败的情况下判断为没有权限。

然后，利用其判断结果，机密资源管理部250在有权限时进入步骤S212，许可应用程序向机密资源的访问请求。另一方面，在没有权限时进入步骤S213，拒绝应用程序的向机密资源的访问请求。

此外，询问要否判断部260除了对访问控制规则附加用户认证的命令，还也可以附加用于拒绝访问的封锁命令或数据删除命令。在附加了封锁命令的情况下，权限管理部230在利用访问控制规则来判断权限的有无时，即使是具有权限的应用种类也拒绝访问。另外，也可以权限管理部在步骤S211中进行用户认证，在失败时调出询问要否判断部并追加数据删除命令，之后机密数据删除部执行该命令。

(利用了日志的访问控制步骤)

下面，参照图8以及图9说明利用了访问控制日志时的访问控制的步骤。图8是便携终端200的步骤，图9是访问控制管理装置100的步骤。

首先，图8的步骤S301～S313与图7的步骤S201～S213相同，因此，在此省略说明。

接着，在步骤S314中，权限管理部230按照访问控制规则管理部270所保存的访问控制规则，在进行访问控制的决定时记录访问控制动作的日志。

接着，在步骤S315中，权限管理部230判断是否为发送日志的时刻。作为发送日志的时刻，可以举出经过一定时间后、进行了一定次数的访问控制的判断后、或者通信从服务区外变为服务区内时、访问控制管理装置发出了请求时等任意时刻。

然后，在步骤S316中，权限管理部230向访问控制管理装置100发送该日志。

另一方面，在图9的步骤S401中，访问控制管理装置100的访问控制请求接收部130从便携终端200接收日志。

接着，在步骤S402中，访问控制管理装置100的访问控制规则验证部160解析接收到的日志，在步骤S403中检查便携终端200的访问控制日志是否正常。

日志的检查结果，判断为不恰当的访问控制时，进入步骤S404，访问控制规则应答部120进行对付处理。作为对付的例子，可以举出：关于对该功能资源的访问，禁止以后的访问；义务执行每次的用户认证；缩短超高速缓冲存储的有效时间；通知用户或管理者。

另外，作为变形例，可以考虑：便携终端200仅在服务区外时进行日志的取得和发送的步骤；将日志的取得限定在向特定的功能或数据的访问的步骤；不是对所有的访问控制事件记录日志，而是以某一频度记录日志的步骤。

(基于推送的便携终端的访问控制步骤)

下面，参照图10以及图11说明基于来自访问控制管理装置的推送通信的访问控制变更的步骤。图10是访问控制管理装置100的步骤，图11是便携终端200的步骤。

首先，在图10的步骤S501中，用户为了将访问控制规则立即反映给便携终端200而请求指定了推送时，在步骤S502中，访问控制管理装置100的推送发送部121向便携终端200发送访问控制规则请求。

接着，在图11的步骤S601中，便携终端200的访问控制规则询问部220接收访问控制规则，在步骤S602中，访问控制规则管理部270将其登录在访问控制规则表中。然后，机密资源管理部250在步骤S603中检查该访问控制规则，在请求机密数据的删除时，进入步骤S604，调出机密数据删除部251来删除该机密数据。

接着，在步骤S605中，应用执行部240判断是否接收到机密功能的执行请求，在接收到时进入步骤S606，并执行机密功能。

然后，在步骤S607中，便携终端200将处理结果应答给访问控制管理装置100。

接着，在图10的步骤S503中，访问控制管理装置100的访问控制请求接收部130从便携终端200接收应答结果。

接着，在步骤S504中，推送发送部121发送失败的情况下，进入步骤S505，若在重复次数上限以内，则返回到步骤S502的处理，再次发送。

发送成功或者超过重复次数上限而发送失败的情况下，在步骤S506中将其结果通知用户。

此外，在此表示了从访问控制管理装置100推送发送访问控制规则自身的步骤，但是也可以仅推送发送更新访问控制规则的状态，便携终端根据该状态向访问控制管理装置进行询问。

(基于用户识别模块的便携终端的访问控制步骤)

下面，参照图21说明便携终端的基于用户识别模块的访问控制步骤。

首先，在步骤S1301中，在应用执行部240动作的应用程序想要访问机密资源时，在步骤S1302中，权限管理部230调出询问要否判断部260，判断是否需要更新访问控制规则。

然后，在步骤S1303中，询问要否判断部260参照访问控制规则表中的有效期限的字段，在有效期限期满的情况下，判断为需要更新，并进入步骤S1304。在当前时刻为有效期限之前时，判断为不需要更新。然后，在步骤S1320中，访问控制规则询问部调查该机密资源是否与特定UIM对应着。在步骤S1321中，在判断为没有对应着时，进入步骤S1305。另一方面，在判断为对应着时，在步骤S1322中调查安装的UIM是否与所述特定UIM相同。在步骤S1323中，在判断为相同时，进入步骤S1305。另一方面，在判断为不同时，进入步骤S1304。

然后，在步骤S1304中，访问控制规则询问部220执行便携终端200的ID来向访问控制管理装置100请求访问控制规则。在步骤S1305的以下步骤与步骤S205的以下步骤相同，因此省略说明。

(作用以及效果)

在第一实施方式中，在便携终端200上的应用访问机密资源时，判断是否需要更新访问控制规则，在需要更新的情况下，更新访问控制规则并反映给权限管理。因此，在便携终端200的访问控制时，按照更新的访问控制规则，在服务区外时通过封锁向机密资源的访问，或者进行用户认证，或者删除机密资源，在服务区外时也可以保护机密资源。

另外，第一实施方式的便携终端200的询问要否判断部260在便携终端200一定时间以上处于服务区外状态时，在访问控制规则中附加用户认证命令、封锁命令、机密数据的删除命令中的至少一个来进行更新。因此，便携终端处于服务区外状态也可以通过用户认证担保一定的安全性，同时可以访问机密资源，可以确保用户的便利性。或者，通过封锁命令或机密数据的删除命令，可以提高服务区外状态下的机密资源的保护。

另外，第一实施方式的便携终端200的询问要否判断部260具有超高速缓冲存储控制部261，其检查设定在访问控制规则中的有效期限，在期限期满时调出访问控制规则询问部。这样，超高速缓冲存储控制部261在询问时检查设定在访问控制规则中的有效期限，在期限期满时废弃该高速缓存的访问控制规则，为了取得最新的访问控制规则而进行询问。因此，在向机密资源访问时，始终不需要向访问控制管理装置进行询问，因此可以提高应答性。另外，在各便携终端访问机密资源时，通过向访问控制管理装置进行询问，可以防止访问控制规则的变更时负荷集中，可以对很多便携终端进行适时的访问控制。

另外，第一实施方式的便携终端200的询问要否判断部260在权限管理部中用户认证成功时，也可以更新为将访问控制规则的用户认证解除一定时间。在之前用户认证已经成功的情况下，在向机密资源访问时一定时间内不需要向用户进行询问，因此可以提高用户的便利性和应答性。

另外，第一实施方式的便携终端200的权限管理部230具有日志发送部231，其记录向机密资源的访问的日志，并发送给外部装置。因此，使能够从访问控制管理装置验证访问控制的动作，同时便携终端无需向访问控制管理装置进行询问，可以许可向机密资源的访问。而且，万一机密信息被泄漏时也可以通过解析日志来掌握哪一信息被泄漏、哪一功能被操作了。另外，第一实施方式的便携终端200的机密资源管理部250具有机密数据删除部21，其在访问控制规则询问部220取得的、或者由询问要否判断部260更新的访问控制规则中有机密数据的删除命令时，删除该机密数据。而且，询问要否判断部260在权限管理部中用户认证失败时也可以在访问控制规则中附加机密数据的删除命令来进行更新。因此，被盗或遗失时可以保护机密数据的泄漏。另外，在用户认证失败的情况下，通过删除数据来削减信息泄漏的风险。

另外，第一实施方式的便携终端200的访问控制规则询问部220，在便携终端没有安装特定的用户识别模块的状态下有向特定的用户识别模块所对应的机密资源的访问时，指定便携终端的标识符从访问控制管理装置取得访问控制规则。因此，在便携终端中插入有其他用户识别模块(UIM)的状态下也可以实施在该终端的特定的UIM所绑定的数据的删除等远程控制。

第一实施方式的访问控制管理装置100具有如下的单元：对各便携终端或便携终端的集合，保存作为便携终端的管理者的用户信息和各便携终端的访问控制规则信息，对于来自被认证的用户的访问控制规则的变更请求，在根据策略进行验证后登录，应答来自便携终端的访问控制规则的询问。因此，便携终端能够以便携终端自身的标识符询问访问控制规则，在更换用户识别模块的状态下也取得向该便携终端的访问控制规则，可以防止便携终端的不正当利用。另外，通过访问控制规则的验证，可以防止接受对该便携终端不具有权限的用户的访问控制规则的请求，可以进行通信运营商的策略的强制。

另外，第一实施方式的访问控制管理装置100的访问控制请求接收部130，接收包含有效期限的登录请求或变更请求。因此，用户可以按照机密资源的重要度或安全性的请求级别设定适当的安全级别。

另外，第一特征中的访问控制管理装置100的访问控制规则应答部120具有推送发送部121，其在来自用户的访问控制规则的登录请求或者变更请求中包含有推送请求时，向该便携终端200推送发送访问控制规则。因此，无需等待来自用户终端200的询问，可以及时进行远程控制。

另外，第一实施方式的访问控制管理装置100的访问控制规则验证部160具有日志验证部161，其从便携终端200接收访问控制日志，并对其进行验证。因此，在日志中发现了不遵循访问控制规则的问题处时，可以采取通过强化适用给予便携终端的访问控制规则的限制、或者通知泄漏的机密信息的相关者等对策。

另外，第一实施方式的访问控制管理方法，在便携终端200上的应用访问机密资源时，判断是否需要更新向访问控制管理装置100的访问控制规则，在需要更新时，更新访问控制规则并反映给权限管理。在便携终端的访问控制时，按照更新的访问控制规则，在服务区外时通过封锁向机密资源的访问或者进行用户认证或者删除机密资源，在服务区外时也可以保护机密资源。

<第二实施方式>

下面，作为第二实施方式，说明如图12所示，某一访问控制管理装置A100a的权限转让给访问控制管理装置B100b的情况。这相当于如下的利用形态：例如，从企业的信息系统部门管理的访问控制管理装置A100a向管理工作所保存的便携设备上安装的访问控制管理装置B100b转让访问控制管理的权限，管理普通职员保存的便携终端的访问控制。

在图1所示的第一实施方式中，假设访问控制管理装置100为固定网上的服务器，在便携终端200处于通信服务区外时有时无法进行访问控制规则的询问，应用无法取得最新的访问控制规则。在第二实施方式中，访问控制管理装置B100b与便携终端一样安装在便携终端或PDA、笔记本电脑等便携设备上，便携终端和访问控制管理装置通过无线LAN或Bluetooth、IrDA、Zigbee、UWB等短距离无线或以太网(注册商标)等有线通信来直接进行通信或以多中继通信的方式进行通信。

便携终端200的结构与第一实施方式相同，因此在此省略说明。

另外，如图13所示，访问控制管理装置A、B除了第一实施方式的访问控制管理装置的结构以外，还具有权限转让管理部180。

权限转让管理部180发行赋予访问控制的权限的权限转让。另外，权限转让管理部180判断可否转让权限。

访问控制规则的登录·变更步骤、便携终端的访问控制步骤与第一实施方式相同，因此在此省略说明。不同的步骤是，从访问控制管理装置A向访问控制管理装置B转让权限的同时，便携终端将询问处从访问控制管理装置A变更为访问控制管理装置B的步骤。

(权限的转让以及询问处变更步骤)

下面，参照图14以及图15说明访问控制管理装置间的权限转让和变更便携终端的询问处的访问控制管理装置的步骤。如图12所示，假设从访问控制管理装置A100a向访问控制管理装置B100b转让权限。图14是访问控制管理装置A100a的步骤，图15是访问控制管理装置B100b的步骤。

首先，在图15的步骤S801中，在用户(管理者)向访问控制管理装置B100b请求想要给便携设备的访问控制管理装置B100b给予访问控制的权限时，在步骤S802中，访问控制管理装置B的权限转让管理部180对访问控制管理装置A100a的权限转让管理部180发行权限转让请求。

然后，在图14的步骤S701中，访问控制管理装置A100a的访问控制请求接收部130接收访问控制管理装置B100b的权限转让，在步骤S702中，由访问控制管理装置A100a的用户认证部150进行访问控制管理装置B100b及其管理者的认证。然后，在步骤S703中，权限转让管理部180判断可否转让权限。

然后，在步骤S704中，在可转让权限时，进入步骤S705，并制订转让给访问控制管理装置B100b的访问控制规则，在步骤S706中，向访问控制管理装置B100b应答设定了权限转让的访问控制规则。

另一方面，在步骤S704中，在不可转让权限时，进入步骤S709，返回权限转让请求失败的应答。

然后，在步骤S803中，访问控制管理装置B100b的权限转让管理部180从访问控制管理装置A100a接收应答。然后，在步骤S804中，在可转让时，进入步骤S805，访问控制管理装置B100b反映给管理的访问控制规则。然后，在步骤S806中，访问控制管理装置B100b向用户(管理者)提示结果。

另外，在图14的步骤S707中，访问控制管理装置A100a生成将询问目标变更为访问控制管理装置B100b的访问控制规则。

进一步，在步骤S708中，访问控制管理装置A100a的推送发送部121通过推送向便携终端分发指示便携终端不是向访问控制管理装置A询问而是向访问控制管理装置B询问的访问控制规则。

便携终端接收到该指示后，关于访问控制，询问访问控制管理装置B。访问控制管理装置A指示询问目标的变更或访问控制管理装置B请求转让的结束时，便携终端还是和原来一样向访问控制管理装置A进行询问。

作为变形例，还可以列举从访问控制管理装置A通过推送来谋划向访问控制管理装置B的权限转让的开始的步骤、或者从访问控制管理装置A以限制时间来进行权限转让的步骤。

(作用以及效果)

在第一实施方式中，在位于服务区外的便携终端想要访问机密资源时，有时无法向访问控制管理装置进行询问，无法取得最新的访问控制规则。对此，根据第二实施方式的访问控制管理装置，通过短距离无线或近距离通信，便携终端可以向访问控制管理装置进行询问，在服务区外时也可以取得最新的访问控制规则，可以谋求机密资源的保护或用户的便携性的提高。另外，可以分散访问控制管理装置的负荷，提高应答性。

<第三实施方式>

下面，作为第三实施方式，说明如图16所示访问控制管理装置B100b预先将遗失时的管理权限转让给访问控制管理装置A100a的情况。这是相当于如下的利用形态：例如通常便携设备作为访问控制管理装置B100b管理外部设备(便携终端200)，在遗失时由服务器(访问控制管理装置A100a)控制便携设备(访问控制管理装置B100b)和外部设备(便携终端200)的权限。

便携终端200、访问控制管理装置A100a、访问控制管理装置B100b的结构与第二实施方式相同，因此在此省略说明。

访问控制规则的登录·变更步骤、便携终端的访问控制步骤与第一实施方式相同，因此在此省略说明。不同的步骤是，从访问控制管理装置B100b向访问控制管理装置A100a转让权限的步骤、从访问控制管理装置A100a向访问控制管理装置B100b推送访问控制规则的步骤。

(权限的转让步骤)

下面，参照图17以及图18说明从访问控制管理装置B100b向访问控制管理装置A100a转让权限的步骤。在此，如图16所示，假设将遗失时的管理权限预先转让给访问控制管装置A100a。图17是访问控制管理装置A100a的步骤，图18是访问控制管理装置B100b的步骤。

首先，在图18的步骤S1001中，在管理者请求从访问控制管理装置B100b向访问控制管理装置A100a的权限转让时，在步骤S1002中，访问控制管理装置B的权限转让管理部180向访问控制管理装置A发行包含规定了遗失时的管理权限的访问控制规则的转让请求。

然后，在图17的步骤S901中，访问控制管理装置A的访问控制请求接收部130在接收到转让请求时，在步骤S902中，用户认证部150进行访问控制管理装置B100b及其管理者的认证。然后，在步骤S903中，访问控制规则验证部160验证包含在转让请求中的访问控制规则。

然后，在步骤S904中，若可转让权限，则用户管理部140保存包含在转让请求中的访问控制规则，并进入步骤S905，访问控制规则应答部120向访问控制管理装置B100b进行权限转让成功的应答。另一方面，在步骤S904中，若不可转让权限，则进入步骤S906，访问控制规则应答部120向访问控制管理装置B100b进行不可转让权限的应答。

另一方面，在图18的步骤S1003中，访问控制管理装置B100b从访问控制管理装置A100a接收应答。然后，在步骤S1004中，在可以转让时，进入步骤S1005，并反映给管理的访问控制规则。然后，在步骤S1006中，访问控制管理装置B100b向管理者提示结果。

(通过推送进行的访问控制管理装置的控制步骤)

下面，参照图19以及图20说明从访问控制管理装置A100a向访问控制管理装置B100b推送访问控制规则的步骤。图19是访问控制管理装置A100a的步骤，图20是访问控制管理装置B100b的步骤。

首先，在图19的步骤S1101中，便携终端的用户(管理者)在遗失时向访问控制管理装置A100a请求访问控制规则的变更(功能的封锁或机密数据的删除)。访问控制管理装置A100a的访问控制请求接收部130接受访问控制规则变更请求，由用户认证部150进行用户认证，由访问控制规则验证部160进行访问控制规则的验证。在某一个失败时，访问控制规则应答部120向用户返回失败的应答。

然后，在步骤S1102中，推送发送部121向访问控制管理装置B100b推送访问控制规则。

然后，在图20的步骤S1201中，访问控制管理装置B100b的访问控制请求接收部130接受访问控制规则，访问控制规则验证部160进行访问控制管理装置A100a的认证和访问控制规则自身的验证，若成功，则在步骤S1202中，在用户管理部140以访问控制规则表的形式登录访问控制规则，并反映给之后的便携终端的访问控制。

图20的步骤S1203～1207的处理与图11的步骤S603～607的处理相同，因此在此省略说明。

另外，图19的步骤S1103～1106的处理与图10的步骤S503～506的处理相同，因此在此省略说明。

(作用以及效果)

根据第三实施方式的访问控制管理装置，通常用户可以通过便携设备自由地管理外部设备的访问控制。另外，在便携设备的遗失时用户通过服务器管理便携设备，由此也可以管理外部设备，可以安全地保护外部设备内的机密资源。

产业上的可利用性

如上所述，本发明的便携终端、访问控制管理装置以及访问控制管理方法，在服务区外时也可以封锁向机密资源的访问，另外，在防止在访问控制规则的变更时负荷集中的技术中是有用的。