JP2000172565A - Access control system and access control method - Google Patents
Access control system and access control methodInfo
- Publication number
- JP2000172565A JP2000172565A JP10342746A JP34274698A JP2000172565A JP 2000172565 A JP2000172565 A JP 2000172565A JP 10342746 A JP10342746 A JP 10342746A JP 34274698 A JP34274698 A JP 34274698A JP 2000172565 A JP2000172565 A JP 2000172565A
- Authority
- JP
- Japan
- Prior art keywords
- information
- terminal
- access control
- user
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、ネットワークに
分散するコンピュータシステム上のオブジェクト毎また
はメソッド毎に、クライアント端末からのアクセス制御
を行うアクセス制御システム及びアクセス制御方法に関
するものである。[0001] 1. Field of the Invention [0002] The present invention relates to an access control system and an access control method for controlling access from a client terminal for each object or method on a computer system distributed on a network.
【0002】[0002]
【従来の技術】アクセス制御方法の従来例として図5に
示したものがあり、これについて説明する。図5は、従
来のアクセス制御方法の手順を表すフローチャートであ
る。なお、この従来のアクセス制御方法はUNIX上のもの
であり、OSレベルでユーザ毎に割り当てられたユーザI
D、及び当該ユーザが属するグループ毎に割り当てられ
たグループIDにより、希望するファイルへのアクセスを
可能にするものである。2. Description of the Related Art A conventional example of an access control method is shown in FIG. 5, which will be described. FIG. 5 is a flowchart showing a procedure of a conventional access control method. Note that this conventional access control method is based on UNIX, and the user ID assigned to each user at the OS level.
Access to a desired file is enabled by D and a group ID assigned to each group to which the user belongs.
【0003】次に、この従来例に示すアクセス制御方法
について説明する。ステップ(以下、Sとする)1で、
ユーザがファイルにアクセスする。このS1が終了する
とS2へ進む。S2で、OSは、ユーザのユーザID
と、このユーザの属するグループのグループIDとを取
得する。このS2が終了するとS3へ進む。S3で、O
Sは、アクセス制御リストからファイルに対するアクセ
ス権の付与に関する情報を取得する。このS3が終了す
るとS4へ進む。Next, an access control method shown in this conventional example will be described. In step (hereinafter referred to as S) 1,
A user accesses a file. When S1 ends, the process proceeds to S2. In S2, the OS sends the user ID of the user.
And the group ID of the group to which this user belongs. When S2 ends, the process proceeds to S3. In S3, O
S acquires information related to the grant of the access right to the file from the access control list. When S3 ends, the process proceeds to S4.
【0004】S4で、OSは、ユーザID及びグループ
IDと、アクセス制御リストから取得された情報とを比
較する。アクセス制御リストから取得された情報とユー
ザIDとが一致した場合にはS5へ進む。また、アクセ
ス制御リストから取得された情報とグループIDとが一
致した場合にはS6へ進む。それ以外の場合はS7へ進
む。S5で、OSは、ユーザに対し、owner用のアクセ
ス権を付与する。S6で、OSは、ユーザに対し、grou
p用のアクセス権を付与する。S7で、OSは、ユーザ
に対し、others用のアクセス権を付与する。[0004] In S4, the OS compares the user ID and the group ID with information obtained from the access control list. If the information acquired from the access control list matches the user ID, the process proceeds to S5. If the information acquired from the access control list matches the group ID, the process proceeds to S6. Otherwise, the process proceeds to S7. In S5, the OS gives the user an access right for owner. In S6, the OS sends a grou to the user.
Grant access rights for p. In S7, the OS gives the user an access right for others.
【0005】[0005]
【発明が解決しようとする課題】従来のアクセス制御方
法では、LANにつながった端末間でのアクセス制御を
想定していたため、ユーザIDに基づくアクセス制御が
行われていた。しかし、モバイルコンピューティング環
境では、外部ネットワークのユーザがLAN上のコンピ
ュータにアクセスする場合、当該LAN上のコンピュー
タはLAN内のユーザに対してのアクセス権と同じアク
セス権を外部ネットワークのユーザにも与えるため、L
AN上のコンピュータが有する機密情報が外部に漏れる
危険性があった。In the conventional access control method, since access control between terminals connected to a LAN is assumed, access control based on a user ID is performed. However, in a mobile computing environment, when a user on the external network accesses a computer on the LAN, the computer on the LAN gives the same access right to the user on the LAN to the user on the external network. Therefore, L
There is a risk that confidential information of the computer on the AN leaks to the outside.
【0006】この発明は、このような問題点を解決する
ためになされたものであり、ユーザ情報及び端末情報を
用いてアクセスの制御を行うことで、外部ネットワーク
からLAN内へのアクセスを安全に実現できるというア
クセス制御システム及びアクセス制御方法を得ることを
目的とする。The present invention has been made to solve such a problem. By controlling access using user information and terminal information, access from an external network to a LAN can be safely performed. It is an object to obtain an access control system and an access control method that can be realized.
【0007】[0007]
【課題を解決するための手段】この発明にかかるアクセ
ス制御システムは、ユーザ固有のユーザ情報を有するユ
ーザ情報保持手段、及び端末固有の端末情報を有する端
末情報保持手段を有し、ユーザ情報及び端末情報を送信
する端末と、ユーザ情報及び端末情報を有線あるいは無
線によるネットワークを介し受信するアクセス制御手
段、及びユーザ情報及び端末情報の組み合わせとオブジ
ェクトが提供できるサービスとが関連付けられ記録され
たアクセス制御情報を有するアクセス制御情報保持手段
を有し、アクセス制御手段が、受信したユーザ情報及び
端末情報とアクセス制御情報とにより、端末のユーザに
対し、オブジェクトの提供できるサービスに関するアク
セス権を決定するオブジェクトとからなるものである。An access control system according to the present invention includes a user information holding unit having user-specific user information, and a terminal information holding unit having terminal-specific terminal information. A terminal for transmitting information, access control means for receiving user information and terminal information via a wired or wireless network, and access control information in which a combination of the user information and terminal information is associated with a service that can be provided by the object and recorded An access control information holding unit having an access control information, and the access control unit determines, based on the received user information and the terminal information and the access control information, an access right for a user of the terminal with respect to a service that the object can provide. It becomes.
【0008】この発明にかかるアクセス制御システムで
利用する端末情報としては、端末上で利用できる暗号ア
ルゴリズム及びその鍵に関する情報や、端末が使用中の
ネットワークの種類や速度に関する情報がある。[0008] The terminal information used in the access control system according to the present invention includes information on an encryption algorithm and its key that can be used on the terminal, and information on the type and speed of the network used by the terminal.
【0009】この発明にかかるアクセス制御システム
は、アクセス制御手段が、受信したユーザ情報及び端末
情報に、オブジェクトによる提供サービスに関するアク
セス権を決定するために必要な情報が不足している場合
には、当該情報が不足している旨を端末に通知するもの
である。The access control system according to the present invention is characterized in that the access control means, when the received user information and terminal information lack information necessary for determining an access right for a service provided by an object, This is to notify the terminal that the information is insufficient.
【0010】この発明にかかるアクセス制御システム
は、端末がオブジェクトのある特定機能を実行させるオ
ブジェクトが有するメソッドに対し、端末に関するユー
ザ情報及び端末情報を送信し、オブジェクトがアクセス
制御手段により、受信したユーザ情報及び端末情報とア
クセス制御情報とにより、端末のユーザに対し、メソッ
ドの実行に関する関するアクセス権を決定するものであ
る。[0010] An access control system according to the present invention transmits user information and terminal information relating to a terminal to a method possessed by the object which causes the terminal to execute a specific function of the object. Based on the information, the terminal information, and the access control information, an access right relating to the execution of the method is determined for the terminal user.
【0011】この発明にかかるアクセス制御システム
は、ユーザ固有のユーザ情報を有する第1のユーザ情報
保持手段、及び端末固有の端末情報を有する第1の端末
情報保持手段を有し、ユーザ情報及び端末情報を送信す
る端末と、端末から送信されたユーザ情報及び端末情報
を有線あるいは無線によるネットワークを介し受信する
第1のアクセス制御手段、ユーザ情報が記録される第2
のユーザ情報保持手段、端末情報が記録される第2の端
末情報保持手段、及びユーザ情報及び端末情報の組み合
わせと第1のオブジェクトが提供できるサービスとが関
連付けられ記録された第1のアクセス制御情報を有する
第1のアクセス制御情報保持手段を有し、第1のアクセス
制御手段が、受信したユーザ情報及び端末情報と第1の
アクセス制御情報とにより、オブジェクトの提供できる
サービスに関するアクセス権を決定し、ユーザ情報及び
端末情報を送信する第1のオブジェクトと、第1のオブジ
ェクトから送信されたユーザ情報及び端末情報を受信す
る第2のアクセス制御手段、及びユーザ情報及び端末情
報の組み合わせと第2のオブジェクトが提供できるサー
ビスとが関連付けられ記録された第2のアクセス制御情
報を有する第2のアクセス制御情報保持手段を有し、第2
のアクセス制御手段が、受信したユーザ情報及び端末情
報と第2のアクセス制御情報とにより、第1のオブジェク
トを介し、端末のユーザに対し、第2のオブジェクトの
提供できるサービスに関するアクセス権を決定する第2
のオブジェクトとからなるものである。An access control system according to the present invention has first user information holding means having user-specific user information, and first terminal information holding means having terminal-specific terminal information. A terminal for transmitting information, first access control means for receiving user information transmitted from the terminal and the terminal information via a wired or wireless network, and a second on which user information is recorded.
User information holding means, second terminal information holding means in which terminal information is recorded, and first access control information in which a combination of user information and terminal information is associated with a service that can be provided by the first object and recorded Has first access control information holding means having, the first access control means, based on the received user information and terminal information and the first access control information, determines an access right for a service that can be provided by the object A first object for transmitting user information and terminal information, a second access control means for receiving the user information and terminal information transmitted from the first object, and a second combination of the user information and terminal information and Second access control having second access control information recorded in association with a service that the object can provide Has information holding means, the second
Access control means determines, based on the received user information and terminal information and the second access control information, an access right for a service provided by the second object to the terminal user via the first object No. 2
Object.
【0012】この発明にかかるアクセス制御システム
は、ユーザ固有のユーザ情報を有するユーザ情報保持手
段、及び端末固有の端末情報を有する端末情報保持手段
を有し、ユーザ情報及び端末情報を送信する端末と、ユ
ーザ情報及び端末情報を有線あるいは無線によるネット
ワークを介し受信する第1のアクセス制御手段、及びユ
ーザ情報及び端末情報の組み合わせと第1のオブジェク
トが提供できるサービスとが関連付けられ記録された第
1のアクセス制御情報を有する第1のアクセス制御情報保
持手段を有し、第1のアクセス制御手段が、ユーザ情報
及び端末情報と第1のアクセス制御情報とにより、オブ
ジェクトの提供できるサービスに関するアクセス権を決
定し、ユーザ情報及び端末情報に基づく第1のオブジェ
クト固有のオブジェクト情報を送信する第1のオブジェ
クトと、オブジェクト情報を受信する第2のアクセス制
御手段、及びオブジェクト情報と第2のオブジェクトが
提供できるサービスとが関連付けられ記録された第2の
アクセス制御情報を有する第2のアクセス制御情報保持
手段を有し、第2のアクセス制御手段が、受信したオブ
ジェクト情報と第2のアクセス制御情報とにより、第1の
オブジェクトを介し、端末のユーザに対し、第2のオブ
ジェクトの提供できるサービスに関するアクセス権を決
定する第2のオブジェクトとからなるものである。[0012] An access control system according to the present invention includes a user information holding unit having user-specific user information, and a terminal information holding unit having terminal-specific terminal information. A first access control means for receiving user information and terminal information via a wired or wireless network, and a first recorded in which a combination of the user information and the terminal information and a service that the first object can provide are recorded.
First access control information holding means having one access control information, wherein the first access control means uses, based on the user information and the terminal information and the first access control information, an access right relating to a service that can be provided by the object. A first object that transmits object information unique to the first object based on the user information and the terminal information, a second access control unit that receives the object information, and the object information and the second object provide And second access control information holding means having second access control information recorded in association with a service that can be performed, wherein the second access control means uses the received object information and the second access control information in accordance with the received object information and the second access control information. Through the first object, to the service that the second object can provide to the terminal user. It is made of a second object that determines the access rights.
【0013】この発明にかかるアクセス制御方法は、端
末からユーザ固有のユーザ情報及び端末固有の端末情報
が送信され、オブジェクトのアクセス制御手段が、ユー
ザ情報及び端末情報を有線あるいは無線によるネットワ
ークを介して受信し、ユーザ情報及び端末情報の組み合
わせとオブジェクトが提供できるサービスとが関連付け
られたアクセス制御情報を取得し、端末のユーザに対し
て、オブジェクトの提供できるサービスに関するアクセ
ス権を決定するものである。[0013] In the access control method according to the present invention, the terminal transmits user-specific user information and terminal-specific terminal information, and the object access control means transmits the user information and the terminal information via a wired or wireless network. It receives the access control information in which the combination of the user information and the terminal information and the service that the object can provide are associated with each other, and determines the access right to the terminal user regarding the service that the object can provide.
【0014】この発明にかかるアクセス制御方法は、端
末からアクセスを要求するアクセス要求が送信され、オ
ブジェクトのアクセス制御手段が、有線あるいは無線に
よるネットワークを介して受信したアクセス要求に基づ
き、アクセスに必要なユーザ固有のユーザ情報及び端末
固有の端末情報の送信を要求し、端末が、ユーザ情報及
び端末情報の送信要求に対し、当該ユーザ情報及び端末
情報を送信し、オブジェクトのアクセス制御手段が、ユ
ーザ情報及び端末情報の組み合わせとオブジェクトが提
供できるサービスとが関連付けられたアクセス制御情報
を取得し、ユーザ情報及び端末情報に基づき、端末のユ
ーザに対して、オブジェクトの提供できるサービスに関
するアクセス権を決定するものである。[0014] In the access control method according to the present invention, an access request for access is transmitted from a terminal, and the object access control means performs the necessary access based on the access request received via a wired or wireless network. Requests transmission of user-specific user information and terminal-specific terminal information, the terminal transmits the user information and the terminal information in response to the transmission request of the user information and the terminal information, and the access control means of the object transmits the user information. And obtaining access control information in which a combination of terminal information and a service that can be provided by an object are associated with each other, and determining, based on the user information and the terminal information, an access right for a service of the object that can be provided to a user of the terminal. It is.
【0015】この発明にかかるアクセス制御方法は、端
末からユーザ固有のユーザ情報及び端末固有の端末情報
が送信され、第1のオブジェクトの第1のアクセス制御手
段が、端末から送信されたユーザ情報及び端末情報を有
線あるいは無線によるネットワークを介して受信し、ユ
ーザ情報及び端末情報の組み合わせと第1のオブジェク
トが提供できるサービスとが関連付けられた第1のアク
セス制御情報を取得し、第1のオブジェクトの提供でき
るサービスに関するアクセス権を決定し、第2のオブジ
ェクトの第2のアクセス制御手段が、第1のオブジェク
トから送信されたユーザ情報及び端末情報を受信し、ユ
ーザ情報及び端末情報の組み合わせと第2のオブジェク
トが提供できるサービスとが関連付けられた第2のアク
セス制御情報を取得し、第1のオブジェクトを介し、端
末のユーザに対して、第2のオブジェクトの提供できる
サービスに関するアクセス権を決定するものである。[0015] In the access control method according to the present invention, the terminal transmits user-specific user information and terminal-specific terminal information, and the first access control means of the first object transmits the user information and the user information transmitted from the terminal. Terminal information is received via a wired or wireless network, and first access control information in which a combination of user information and terminal information and a service that can be provided by the first object are obtained, and the first object The access right relating to the service that can be provided is determined, the second access control means of the second object receives the user information and the terminal information transmitted from the first object, and the combination of the user information and the terminal information and the second Obtaining second access control information associated with a service that can be provided by another object. Through the first object, the user of the terminal is to determine the access rights for services that can be provided in the second object.
【0016】この発明にかかるアクセス制御方法は、端
末からユーザ固有のユーザ情報及び端末固有の端末情報
が送信され、第1のオブジェクトの第1のアクセス制御手
段が、端末から送信されたユーザ情報及び端末情報を有
線あるいは無線によるネットワークを介して受信し、ユ
ーザ情報及び端末情報の組み合わせと第1のオブジェク
トが提供できるサービスとが関連付けられた第1のアク
セス制御情報を取得し、第1のオブジェクトの提供でき
るサービスに関するアクセス権を決定し、第2のオブジ
ェクトの第2のアクセス制御手段が、第1のオブジェク
トから送信されたユーザ情報及び端末情報に基づくオブ
ジェクト情報を受信し、オブジェクト情報と第2のオブ
ジェクトが提供できるサービスとが関連付けられた第2
のアクセス制御情報を取得し、第1のオブジェクトを介
し、端末のユーザに対して、第2のオブジェクトの提供
できるサービスに関するアクセス権を決定するものであ
る。In the access control method according to the present invention, the terminal transmits user-specific user information and terminal-specific terminal information, and the first access control means of the first object transmits the user information and the user information transmitted from the terminal. Terminal information is received via a wired or wireless network, and first access control information in which a combination of user information and terminal information and a service that can be provided by the first object are obtained, and the first object The access right for the service that can be provided is determined, and the second access control means of the second object receives the object information based on the user information and the terminal information transmitted from the first object, and receives the object information and the second information. Second associated with the service that the object can provide
And determines the access right for the service of the second object to the user of the terminal via the first object.
【0017】[0017]
【発明の実施の形態】実施の形態1.本発明によるアク
セス制御システム及びアクセス制御方法の一実施形態に
ついて図1を用いて説明する。図1は、本実施形態のア
クセス制御システムを説明するためのブロック図であ
る。図1において、1はリクエストを発行するクライア
ント端末である。2はユーザ情報保持手段であり、ユー
ザ固有のユーザ情報が入力され、出力される。3は、ク
ライアント端末1固有の端末情報が格納される端末情報
保持手段である。この端末情報は特に、当該クライアン
ト端末1が、モバイル環境にあるか否かを識別するもの
や、端末上で利用できる暗号化手段を識別するものや、
使用中のネットワークの種類や速度に関するものであ
る。DESCRIPTION OF THE PREFERRED EMBODIMENTS Embodiment 1 An embodiment of an access control system and an access control method according to the present invention will be described with reference to FIG. FIG. 1 is a block diagram for explaining the access control system of the present embodiment. In FIG. 1, reference numeral 1 denotes a client terminal that issues a request. Reference numeral 2 denotes a user information holding unit which inputs and outputs user information unique to the user. Reference numeral 3 denotes a terminal information holding unit in which terminal information unique to the client terminal 1 is stored. This terminal information particularly identifies whether or not the client terminal 1 is in a mobile environment, identifies the encryption means that can be used on the terminal,
It is about the type and speed of the network in use.
【0018】4は、端末情報保持手段3から端末情報を
取得し、ユーザ情報保持手段2からユーザ情報を取得す
る情報取得手段である。5は、情報取得手段4が取得し
た端末情報及びユーザ情報をアクセス制御手段9へ送信
する情報送信手段である。なお、クライアント端末1
は、ユーザ情報保持手段2、端末情報保持手段3、情報
取得手段4、及び情報送信手段5を有する。6は、クラ
イアント端末1からのリクエストを受け付けるサーバオ
ブジェクトである。7は、クライアント端末1から送信
されるユーザ情報と端末情報との組み合わせに対し、サ
ーバオブジェクト6へのアクセスの許認可が示されたア
クセス制御情報を持つアクセス制御情報保持手段であ
る。Reference numeral 4 denotes an information acquisition unit that acquires terminal information from the terminal information holding unit 3 and acquires user information from the user information holding unit 2. Reference numeral 5 denotes an information transmitting unit that transmits the terminal information and the user information acquired by the information acquiring unit 4 to the access control unit 9. The client terminal 1
Has a user information holding unit 2, a terminal information holding unit 3, an information obtaining unit 4, and an information transmitting unit 5. Reference numeral 6 denotes a server object that receives a request from the client terminal 1. Reference numeral 7 denotes an access control information holding unit having access control information indicating permission to access the server object 6 for a combination of the user information and the terminal information transmitted from the client terminal 1.
【0019】8は、アクセス制御情報保持手段7からア
クセス制御情報を取得する情報取得手段である。9は、
情報送信手段5から送られた端末情報及びユーザ情報
と、情報取得手段8を介してアクセス情報取得手段7に
より取得されたアクセス制御情報とにより、サーバオブ
ジェクト6へのアクセスの許認可に関するアクセス権に
ついて判断するアクセス制御手段である。このアクセス
権については特に、サーバオブジェクト6のアクセス制
御手段9に送信されてきた端末情報がモバイル環境にあ
ることを示す端末情報である時には、情報の漏洩が問題
にならない程度にそのアクセスが制限される。若しく
は、情報が漏れないように暗号化の処理が付加されるよ
うなアクセスが許可される。なお、サーバオブジェクト
6は、アクセス制御情報保持手段7、情報取得手段8、
及びアクセス制御手段9を有する。Reference numeral 8 denotes an information acquisition unit for acquiring access control information from the access control information holding unit 7. 9 is
Based on the terminal information and the user information transmitted from the information transmitting unit 5 and the access control information acquired by the access information acquiring unit 7 via the information acquiring unit 8, an access right regarding permission to access the server object 6 is determined. Access control means. Regarding this access right, especially when the terminal information transmitted to the access control means 9 of the server object 6 is terminal information indicating that the terminal is in a mobile environment, the access is restricted to such an extent that information leakage does not become a problem. You. Alternatively, access is permitted such that encryption processing is added so that information is not leaked. The server object 6 includes an access control information holding unit 7, an information obtaining unit 8,
And access control means 9.
【0020】次に、実施形態1に示すアクセス制御シス
テムのアクセス制御方法について図2を用いて説明す
る。図2は、アクセス制御方法の手順を表すフローチャ
ートである。まず、S101において、クライアント端
末1は、サーバオブジェクト6上のファイルへリクエス
トを送信し、例えば読み込みといったアクセスを要求す
る。このS101が終了するとS102へ進む。S10
2で、クライアント端末1の情報取得手段4は、ユーザ
情報保持手段2からユーザ情報を取得し、端末情報保持
手段3より端末情報を取得する。このS102が終了す
るとS103へ進む。Next, an access control method of the access control system according to the first embodiment will be described with reference to FIG. FIG. 2 is a flowchart illustrating a procedure of the access control method. First, in S101, the client terminal 1 transmits a request to a file on the server object 6, and requests access such as reading, for example. When S101 ends, the process proceeds to S102. S10
In step 2, the information acquisition unit 4 of the client terminal 1 acquires user information from the user information holding unit 2 and acquires terminal information from the terminal information holding unit 3. When S102 ends, the process proceeds to S103.
【0021】S103で、クライアント端末1の情報送
信手段5は、情報取得手段4からユーザ情報及び端末情
報を取得し、これらの情報をサーバオブジェクト6のア
クセス制御手段9に送信する。このS103が終了する
とS104へ進む。S104で、サーバオブジェクト6
のアクセス制御手段9が、あるクライアント端末の情報
送信手段5より、ユーザ情報及び端末情報を受け取る
と、当該サーバオブジェクト6の情報取得手段8は、ア
クセス制御情報を、アクセス制御情報保持手段7より取
得する。このS104が終了するとS105へ進む。In step S103, the information transmitting means 5 of the client terminal 1 acquires the user information and the terminal information from the information acquiring means 4, and transmits these information to the access control means 9 of the server object 6. When S103 ends, the process proceeds to S104. In S104, the server object 6
When the access control means 9 receives the user information and the terminal information from the information transmission means 5 of a certain client terminal, the information acquisition means 8 of the server object 6 acquires the access control information from the access control information holding means 7. I do. When S104 ends, the process proceeds to S105.
【0022】S105でアクセス制御手段9は、サーバ
オブジェクト6上のファイルに対するアクセス権の付与
に関するアクセス制御情報の中の分類に、クライアント
端末1から送信されたユーザ情報及び端末情報が合致す
るかどうか判断する。アクセス制御情報の中の分類にユ
ーザ情報及び端末情報が合致しない場合にはS106へ
進む。また、アクセス制御情報の中の分類にユーザ情報
及び端末情報が合致する場合にはS108へ進む。S1
06でアクセス制御手段9は、サーバオブジェクト6上
のファイルに対するデフォルトのアクセス権の付与が可
能か、クライアント端末1から送信されたユーザ情報及
び端末情報について判断する。当該ユーザ情報及び端末
情報に対し、デフォルトのアクセス権を付与できない場
合にはS107へ進む。また、デフォルトのアクセス権
を付与できる場合にはS108へ進む。In step S105, the access control means 9 determines whether the user information and the terminal information transmitted from the client terminal 1 match the classification in the access control information relating to the grant of the access right to the file on the server object 6. I do. If the user information and the terminal information do not match the classification in the access control information, the process proceeds to S106. If the user information and the terminal information match the classification in the access control information, the process proceeds to S108. S1
At 06, the access control means 9 determines whether the default access right to the file on the server object 6 can be granted, based on the user information and the terminal information transmitted from the client terminal 1. If the default access right cannot be granted to the user information and the terminal information, the process proceeds to S107. If the default access right can be granted, the process proceeds to S108.
【0023】S107でアクセス制御手段9は、当該ユ
ーザ情報及び端末情報を送信してきたクライアント端末
1に対し、アクセスを拒否する旨のアクセス権を設定す
る。この処理を終了すると、一連の処理は終了する。S
108でアクセス制御手段は、当該ユーザ情報及び端末
情報を送信してきたクライアント端末1に対し、アクセ
ス制御情報に基づく程度のアクセスを許可する旨のアク
セス権や、デフォルトのアクセスを許可する旨のアクセ
ス権を設定する。この処理を終了すると、一連の処理は
終了する。In S107, the access control means 9 sets an access right to deny access to the client terminal 1 which has transmitted the user information and the terminal information. When this process ends, a series of processes ends. S
At 108, the access control means accesses the client terminal 1 that has transmitted the user information and the terminal information to the client terminal 1 based on the access control information. Set. When this process ends, a series of processes ends.
【0024】次に、本実施形態1に示すアクセス制御シ
ステム及びアクセス制御方法を、社外からメールを読む
システムに当てはめた場合について説明する。ユーザ情
報として、ユーザ名及びメールサーバ名を持つ。また、
端末情報として、暗号化のアルゴリズム及び鍵の情報を
持つ。これらの情報をクライアント端末1からサーバオ
ブジェクト6のアクセス制御手段9へ送信すると、ユー
ザ名及びメールサーバ名より当該サーバオブジェクト6
であるメールサーバに、クライアント端末1のユーザに
関するアカウントが存在するかどうか確認される。ま
た、暗号化のアルゴリズム及び鍵の情報により、メール
サーバとクライアント端末1との間でメールサーバに蓄
積されたメールを暗号化してクライアント端末1に通信
できるかといった点からアクセスの許可を出すことがで
きるかどうかのアクセス制御を行うことができる。Next, a case will be described in which the access control system and the access control method shown in the first embodiment are applied to a system for reading mail from outside the company. The user information has a user name and a mail server name. Also,
The terminal information has encryption algorithm and key information. When this information is transmitted from the client terminal 1 to the access control means 9 of the server object 6, the server object 6 is obtained from the user name and the mail server name.
It is confirmed whether or not an account relating to the user of the client terminal 1 exists in the mail server of. Also, it is possible to issue an access permission from the point that the mail stored in the mail server can be encrypted and communicated with the client terminal 1 between the mail server and the client terminal 1 by using the encryption algorithm and the key information. Access control as to whether or not it is possible can be performed.
【0025】これらのことから、ユーザ情報と端末情報
との組み合わせにより、クライアント端末1のユーザに
対するアクセス権を変化させることができる。特に、モ
バイル環境にあるクライアント端末1とサーバオブジェ
クト6との間での情報の漏れを防ぐことができる。ま
た、本実施形態によるアクセス制御方法は、企業名や職
務などのユーザ情報によりアクセスを許可することがで
きる。From these, the access right to the user of the client terminal 1 can be changed by the combination of the user information and the terminal information. In particular, leakage of information between the client terminal 1 and the server object 6 in a mobile environment can be prevented. Further, the access control method according to the present embodiment can permit access based on user information such as a company name and a duty.
【0026】さらに、このアクセス制御方法は、端末の
ユーザがアクセスする場所や、ユーザの使用する端末に
より、同じユーザのアクセスであっても、異なるアクセ
ス権が与えられるような制御が行われる。なお、端末を
利用するユーザがアクセスする場所としては、アクセス
するサーバと同じLAN内、アクセスするサーバに対し
てプロバイダを経由した外部、同じ企業内ではあるがア
クセスするサーバとは異なる他のイントラネット内など
が考えられる。また、ユーザが使用する端末としては、
暗号化をサポートするか否かにより区別されるものが考
えられる。また、モバイル端末を使用してインターネッ
トプロバイダ経由でLANにアクセスしようとする場
合、プロバイダのユーザ名はLANでのユーザ名とは違
う可能性が高いが、このような場合でも、ユーザ情報で
制御を行うことにより、ユーザがLAN上のリソースを
利用できるようにしてもよい。Further, in this access control method, control is performed such that different access rights are granted even if the same user accesses, depending on the place where the user of the terminal accesses and the terminal used by the user. The location where the user using the terminal accesses may be in the same LAN as the server to be accessed, outside the server via the provider, or in another intranet within the same company but different from the server to be accessed. And so on. Also, as the terminal used by the user,
One that can be distinguished depending on whether encryption is supported or not is considered. Also, when attempting to access a LAN via an Internet provider using a mobile terminal, the user name of the provider is likely to be different from the user name on the LAN, but even in such a case, control is performed using user information. By doing so, the user may be able to use resources on the LAN.
【0027】また、本実施形態1に示すアクセス制御シ
ステム及びアクセス制御方法を、電子商取引のシステム
に当てはめた場合について、以下に説明する。ユーザ情
報としては、通常、電子商取引にて使用する支払方法
(以下、ec.methodとする)をクライアント端末1のユ
ーザ情報保持手段2に指定する。なお、ec.methodとし
ては、例えばクレジットカードや、デジタルキャッシュ
といったものがある。中でも、クレジットカードを支払
方法とするのであれば、Visa あるいは Masterといった
名称(以下、ec.nameとする)も併せてユーザ情報保持
手段2に指定する。また、ec.methodをクレジットカー
ドとするのであれば、カード番号(以下、ec.numberと
する)も併せてユーザ情報保持手段2に指定する。ま
た、ec.methodをデジタルキャッシュとするのであれ
ば、その保存場所(以下、ec.cashとする)を併せてユ
ーザ情報保持手段2に指定する。なお、これらの情報
(ec.methodとec.nameとec.numberや、ec.methodとec.c
ash等)をユーザ情報保持手段に2に保存する際には、
暗号化してもよい。The case where the access control system and the access control method shown in the first embodiment are applied to an electronic commerce system will be described below. As the user information, a payment method (hereinafter, referred to as ec.method) used in electronic commerce is usually specified in the user information holding means 2 of the client terminal 1. The ec.method includes, for example, a credit card and a digital cash. In particular, if the payment method is a credit card, a name such as Visa or Master (hereinafter referred to as ec.name) is also specified in the user information holding means 2. If ec.method is a credit card, a card number (hereinafter referred to as ec.number) is also specified in the user information holding means 2. If the ec.method is a digital cache, the storage location (hereinafter referred to as ec.cash) is also specified in the user information holding means 2. This information (ec.method, ec.name, ec.number, ec.method, ec.c
ash, etc.) in the user information storage means 2
It may be encrypted.
【0028】また、端末情報としては、暗号化アルゴリ
ズム及びその鍵の情報を持つ。この暗号化アルゴリズム
を、クライアント端末1及びサーバオブジェクト6で共
有している場合には、これらクライアント端末1及びサ
ーバオブジェクト6間の通信を許可する。そうでない場
合、サーバオブジェクト6は、クライアント端末1から
のアクセスを却下する。なお、クライアント端末1及び
サーバオブジェクト6間で共用できる他の暗号化アルゴ
リズムがある場合には、その暗号化アルゴリズムに切り
替えてもよい。The terminal information includes information on an encryption algorithm and its key. When the encryption algorithm is shared between the client terminal 1 and the server object 6, the communication between the client terminal 1 and the server object 6 is permitted. Otherwise, the server object 6 rejects access from the client terminal 1. If there is another encryption algorithm that can be shared between the client terminal 1 and the server object 6, the encryption algorithm may be switched.
【0029】クライアント端末1のユーザが電子商取引
を行う際、サーバオブジェクト6ではクライアント端末
1から送信されるユーザ情報及び端末情報を参照し、当
該ユーザに購入の許可を与えるかどうか決定する。サー
バオブジェクト6が有する、情報を見るというメソッド
(以下、browseとする)に対するアクセスは、サーバオ
ブジェクト6から発せられるユーザ情報に関わらずサー
バオブジェクト6側で許可する。When the user of the client terminal 1 conducts electronic commerce, the server object 6 refers to the user information and the terminal information transmitted from the client terminal 1 and determines whether or not to give the user permission to purchase. Access to the method of viewing information (hereinafter referred to as browse) of the server object 6 is permitted on the server object 6 side regardless of the user information issued from the server object 6.
【0030】しかし、当該ユーザが購入ボタンを押すな
どして、購入するためのメソッド(以下、purchaseとす
る)が呼ばれると、サーバオブジェクト6は上述のユー
ザ情報をチェックし、当該サーバオブジェクト6が保持
するアクセス制御情報と比較する。なお、purchaseもサ
ーバオブジェクト6が有する。ユーザ情報であるec.met
hodやec.nameが受け付けられない場合、サーバオブジェ
クト6は購入できない旨をクライアント端末1のユーザ
に返答し、代替手段があるかどうかをたずねる。However, when the user presses a purchase button or the like and a method for purchase (hereinafter referred to as purchase) is called, the server object 6 checks the above user information, and the server object 6 holds To the access control information to be compared. The server object 6 also has a purchase. Ec.met which is user information
If hod or ec.name is not accepted, the server object 6 replies to the user of the client terminal 1 that purchase is not possible, and asks whether there is an alternative.
【0031】一方、ec.methodやec.nameが受け付けられ
ても、ec.numberをクレジットカード会社に照会したと
ころ、無効である場合にも、サーバオブジェクト6は購
入できない旨をクライアント端末1のユーザに返答し、
代替手段があるかどうかをたずねる。なお、ec.number
が有効である場合には、当該クライアント端末1のユー
ザに対してアクセス許可が与えられる。また、ec.metho
dがサーバオブジェクト6に受け付けられても、ec.cash
に指定された場所に十分な貨幣がない場合には、ユー
ザにその旨が通知される。また、その場合、クライアン
ト端末1のユーザは、他に使用できるデジタルキャッシ
ュあるいはクレジットカードがないか尋ねられる。On the other hand, even if ec.method or ec.name is accepted, when the ec.number is referred to the credit card company, the user of the client terminal 1 is informed that the server object 6 cannot be purchased even if the ec.number is invalid. Reply to
Ask if there is an alternative. Ec.number
Is valid, access permission is given to the user of the client terminal 1. Also, ec.metho
Even if d is accepted by server object 6, ec.cash
If there is not enough money at the location specified in, the user is notified. In this case, the user of the client terminal 1 is asked whether there is another digital cash or credit card that can be used.
【0032】これらのことから、ユーザ情報により購入
メソッドへのアクセス権を制御でき、電子商取引を行え
るかどうか制御することができる。From these facts, it is possible to control the access right to the purchase method based on the user information, and to control whether the electronic commerce can be performed.
【0033】実施の形態2.次に、本発明によるアクセ
ス制御システム及びアクセス制御方法の他の実施形態に
ついて図3を用いて説明する。図3は、本実施形態のア
クセス制御システムを説明するためのブロック図であ
る。図3において、21はリクエストを発行するクライ
アント端末である。22はユーザ情報保持手段であり、
ユーザ固有のユーザ情報が入力され、出力される。23
は、クライアント端末21固有の端末情報が格納される
端末情報保持手段である。24は、端末情報保持手段2
3から端末情報を取得し、ユーザ情報保持手段22から
ユーザ情報を取得する情報取得手段である。Embodiment 2 FIG. Next, another embodiment of the access control system and the access control method according to the present invention will be described with reference to FIG. FIG. 3 is a block diagram for explaining the access control system of the present embodiment. In FIG. 3, reference numeral 21 denotes a client terminal that issues a request. 22 is a user information holding means,
User-specific user information is input and output. 23
Is a terminal information holding unit in which terminal information unique to the client terminal 21 is stored. 24 is terminal information holding means 2
3 is an information acquisition unit that acquires terminal information from the storage device 3 and user information from the user information holding unit 22.
【0034】25は、情報取得手段24が取得した端末
情報及びユーザ情報をアクセス制御手段30へ送信する
情報送信手段である。26はクライアント端末21で実
行するアプリケーションである。なお、クライアント端
末21は、ユーザ情報保持手段22、端末情報保持手段
23、情報取得手段24、情報送信手段25、及びアプ
リケーション26を有する。27は、クライアント端末
21からのリクエストを受け付けるサーバオブジェクト
である。28は、クライアント端末21から送信される
ユーザ情報と端末情報との組み合わせに対し、サーバオ
ブジェクト27上のメソッド31へのアクセスの許認可
が示されたアクセス制御情報を持つアクセス制御情報保
持手段である。29は、アクセス制御情報保持手段28
からアクセス制御情報を取得する情報取得手段である。Reference numeral 25 denotes an information transmitting unit for transmitting the terminal information and the user information acquired by the information acquiring unit 24 to the access control unit 30. Reference numeral 26 denotes an application executed on the client terminal 21. Note that the client terminal 21 includes a user information holding unit 22, a terminal information holding unit 23, an information obtaining unit 24, an information transmitting unit 25, and an application 26. Reference numeral 27 denotes a server object that receives a request from the client terminal 21. Reference numeral 28 denotes access control information holding means having access control information indicating permission / permission of access to the method 31 on the server object 27 for a combination of user information and terminal information transmitted from the client terminal 21. 29 is an access control information holding means 28
It is an information acquisition unit that acquires access control information from the server.
【0035】30は、情報送信手段25から送られた端
末情報及びユーザ情報と、情報取得手段29を介してア
クセス情報取得手段28により取得されたアクセス制御
情報とにより、サーバオブジェクト27上のメソッド3
1へのアクセスの許認可に関するアクセス権について判
断するアクセス制御手段である。31はアプリケーショ
ン26から呼ばれるサーバオブジェクト27内のメソッ
ドである。32はユーザ情報保持手段であり、メソッド
31の実行時にアクセス制御手段30から取得したクラ
イアント端末21のユーザ固有のユーザ情報が入力さ
れ、出力される。33は、メソッド31の実行時にアク
セス制御手段30から取得したクライアント端末21固
有の端末情報が格納される端末情報保持手段である。Reference numeral 30 denotes a method 3 on the server object 27 based on the terminal information and user information transmitted from the information transmitting means 25 and the access control information acquired by the access information acquiring means 28 via the information acquiring means 29.
Access control means for judging an access right relating to permission of access to No. 1. Reference numeral 31 denotes a method in the server object 27 called from the application 26. Reference numeral 32 denotes a user information holding unit, which inputs and outputs user information unique to the user of the client terminal 21 acquired from the access control unit 30 when the method 31 is executed. A terminal information holding unit 33 stores terminal information unique to the client terminal 21 acquired from the access control unit 30 when the method 31 is executed.
【0036】34は、端末情報保持手段33から端末情
報を取得し、ユーザ情報保持手段32からユーザ情報を
取得する情報取得手段である。35は、情報取得手段3
4が取得した端末情報及びユーザ情報をアクセス制御手
段40へ送信する情報送信手段である。なお、サーバオ
ブジェクト27は、アクセス制御情報保持手段28、情
報取得手段29、アクセス制御手段30、メソッド3
1、ユーザ情報保持手段32、端末情報保持手段33、
情報取得手段34、及び情報送信手段35を有する。Numeral 34 denotes an information acquiring means for acquiring terminal information from the terminal information retaining means 33 and acquiring user information from the user information retaining means 32. 35 is information acquisition means 3
4 is an information transmitting means for transmitting the acquired terminal information and user information to the access control means 40. The server object 27 includes an access control information holding unit 28, an information acquisition unit 29, an access control unit 30, a method 3
1, user information holding means 32, terminal information holding means 33,
It has an information acquisition unit 34 and an information transmission unit 35.
【0037】36は、サーバオブジェクト27のメソッ
ド31からアクセスされるサーバオブジェクトである。
37はサーバオブジェクト27のメソッド31から呼ば
れるサーバオブジェクト36内のメソッドである。38
は、サーバオブジェクト27から送信されるユーザ情報
と端末情報との組み合わせに対し、サーバオブジェクト
36上のメソッド37へのアクセスの許認可が示された
アクセス制御情報を持つアクセス制御情報保持手段であ
る。39は、アクセス制御情報保持手段38からアクセ
ス制御情報を取得する情報取得手段である。Reference numeral 36 denotes a server object accessed from the method 31 of the server object 27.
Reference numeral 37 denotes a method in the server object 36 which is called from the method 31 of the server object 27. 38
Is access control information holding means having access control information indicating permission / permission of access to the method 37 on the server object 36 for a combination of user information and terminal information transmitted from the server object 27. 39 is an information acquisition unit for acquiring access control information from the access control information holding unit 38.
【0038】40は、情報送信手段35から送られた端
末情報及びユーザ情報と、情報取得手段39を介してア
クセス情報取得手段38により取得されたアクセス制御
情報とにより、サーバオブジェクト36上のメソッド3
7へのアクセスの許認可に関するアクセス権について判
断するアクセス制御手段である。なお、サーバオブジェ
クト36は、メソッド37、アクセス制御情報保持手段
38、情報取得手段39、及びアクセス制御手段40を
有する。Reference numeral 40 denotes a method 3 on the server object 36 based on the terminal information and user information transmitted from the information transmitting means 35 and the access control information obtained by the access information obtaining means 38 via the information obtaining means 39.
Access control means for judging an access right relating to permission / access of access to the server 7. The server object 36 has a method 37, an access control information holding unit 38, an information acquisition unit 39, and an access control unit 40.
【0039】次に、実施形態2に示すアクセス制御シス
テムのアクセス制御方法について説明する。クライアン
ト端末21上のアプリケーション26がサーバオブジェ
クト27のメソッド31を呼び出す場合、クライアント
端末21の情報取得手段24はユーザ情報保持手段22
よりユーザ情報を取得し、また端末情報保持手段23よ
り端末情報を取得する。そして、クライアント端末21
の情報送信手段25は、情報取得手段24よりこれらユ
ーザ情報及び端末情報を取得し、これらユーザ情報及び
端末情報をサーバオブジェクト27のアクセス制御手段
30に送信する。サーバオブジェクト27のアクセス制
御手段30は、クライアント端末21から受信したユー
ザ情報を、サーバオブジェクト27内のユーザ情報保持
手段32に保存する。また、クライアント端末21から
受信した端末情報は、サーバオブジェクト27内の端末
情報保持手段33に保存する。Next, an access control method of the access control system according to the second embodiment will be described. When the application 26 on the client terminal 21 calls the method 31 of the server object 27, the information acquiring unit 24 of the client terminal 21
More user information is obtained, and terminal information is obtained from the terminal information holding means 23. And the client terminal 21
The information transmitting unit 25 acquires the user information and the terminal information from the information acquiring unit 24 and transmits the user information and the terminal information to the access control unit 30 of the server object 27. The access control unit 30 of the server object 27 stores the user information received from the client terminal 21 in the user information holding unit 32 in the server object 27. The terminal information received from the client terminal 21 is stored in the terminal information holding unit 33 in the server object 27.
【0040】そして、アクセス制御手段30は、情報取
得手段29を介してアクセス制御情報保持手段28から
アクセス制御情報を取得する。アクセス制御情報を取得
したアクセス制御手段30は、当該アクセス制御情報の
記録に当該ユーザ情報及び端末情報が合致した場合、当
該クライアント端末21のユーザに対して、サーバオブ
ジェクト27のメソッド31に対するアクセス制御情報
に基づく所定のアクセス権を付与する。このアクセス権
が付与された場合には、メソッド31の実行が開始す
る。また、アクセス制御手段30は、受信したユーザ情
報及び端末情報がアクセス制御情報の記録に該当しなか
った場合、当該クライアント端末21のユーザに対し
て、所定の基準に基づき、デフォルトのアクセス権を付
与する。なお、クライアント端末1からサーバオブジェ
クト27のメソッド31に対するアクセスが却下された
場合には、その旨がアプリケーション26に通知され
る。The access control means 30 acquires the access control information from the access control information holding means 28 via the information acquisition means 29. The access control unit 30 that has acquired the access control information gives the user of the client terminal 21 access control information for the method 31 of the server object 27 when the user information and the terminal information match the record of the access control information. A predetermined access right based on is given. When the access right is granted, the execution of the method 31 starts. If the received user information and terminal information do not correspond to the record of the access control information, the access control unit 30 grants a default access right to the user of the client terminal 21 based on a predetermined standard. I do. If access from the client terminal 1 to the method 31 of the server object 27 is rejected, the application 26 is notified of this fact.
【0041】サーバオブジェクト27内のユーザ情報保
持手段32及び端末情報保持手段33に保存されたユー
ザ情報及び端末情報は、サーバオブジェクト27内の他
のメソッド、あるいは、他のサーバオブジェクト36の
メソッド37を実行させる時に利用される。The user information and the terminal information stored in the user information holding means 32 and the terminal information holding means 33 in the server object 27 are transmitted to another method in the server object 27 or a method 37 of another server object 36. Used when running.
【0042】クライアント端末21のユーザがサーバオ
ブジェクト27のメソッド31を実行させている時、こ
のメソッド31が別のサーバオブジェクト36のメソッ
ド37を呼び出す場合、サーバオブジェクト27の情報
取得手段34は、ユーザ情報保持手段32からユーザ情
報を取得し、端末情報保持手段33から端末情報を取得
する。そして、サーバオブジェクト27の情報送信手段
35は、情報取得手段34からユーザ情報及び端末情報
を取得し、サーバオブジェクト36のアクセス制御手段
40に送信する。サーバオブジェクト36のアクセス制
御手段40は、情報取得手段39を介してアクセス制御
情報保持手段38からアクセス制御情報を取得し、この
アクセス制御情報の記録内容とサーバオブジェクト27
の情報送信手段35から送信され受信したユーザ情報及
び端末情報とを比較し、サーバオブジェクト27のメソ
ッド31によるサーバオブジェクト36のメソッド37
へのアクセス権の付与を決定する。When the user of the client terminal 21 executes the method 31 of the server object 27 and the method 31 calls the method 37 of another server object 36, the information acquisition means 34 of the server object 27 User information is acquired from the holding unit 32, and terminal information is acquired from the terminal information holding unit 33. Then, the information transmitting unit 35 of the server object 27 acquires the user information and the terminal information from the information acquiring unit 34, and transmits the user information and the terminal information to the access control unit 40 of the server object 36. The access control means 40 of the server object 36 obtains the access control information from the access control information holding means 38 via the information obtaining means 39, and stores the recorded content of the access control information and the server object 27.
The user information and the terminal information transmitted and received from the information transmitting means 35 are compared with each other, and the method 37 of the server object 36
Decide to grant access to.
【0043】なお、クライアント端末21の情報送信手
段25からサーバオブジェクト27のメソッド31への
アクセス制御方法においては、クライアント端末21が
サーバオブジェクト27のメソッド31を呼んだ時点で
このクライアント端末21からユーザ情報及び端末情報
を送信するのではなく、クライアント端末21がサーバ
オブジェクト27のメソッド31を呼ぶと、サーバオブ
ジェクト27からクライアント端末21に対しユーザ情
報及び端末情報の送信が要求され、このサーバオブジェ
クト27からの要求に基づき、クライアント端末21の
情報送信手段25は、ユーザ情報及び端末情報をサーバ
オブジェクト27に送信するとしてもよい。In the method of controlling access to the method 31 of the server object 27 from the information transmitting means 25 of the client terminal 21, the client terminal 21 calls the method 31 of the server object 27 when the client terminal 21 calls the method 31 of the server object 27. When the client terminal 21 calls the method 31 of the server object 27 instead of transmitting the terminal information and the terminal information, the server object 27 requests the client terminal 21 to transmit the user information and the terminal information. Based on the request, the information transmitting unit 25 of the client terminal 21 may transmit the user information and the terminal information to the server object 27.
【0044】また、サーバオブジェクト27が受信した
ユーザ情報及び端末情報では、メソッド31へのアクセ
ス権を決定するのに、不足するユーザ情報及び端末情報
があるという場合には、呼び出し元のクライアント端末
21上のアプリケーション26に、その不足しているユ
ーザ情報及び端末情報の送信を要求するようにしてもよ
い。また、サーバオブジェクト36が受信したユーザ情
報及び端末情報では、メソッド37へのアクセス権を決
定するのに、不足するユーザ情報及び端末情報があると
いう場合には、呼び出し元のメソッド31に、その不足
しているユーザ情報及び端末情報の送信を要求するよう
にしてもよい。In the user information and terminal information received by the server object 27, if there is insufficient user information and terminal information to determine the access right to the method 31, the client terminal 21 of the caller is required. The above application 26 may be requested to transmit the missing user information and terminal information. Also, if the user information and terminal information received by the server object 36 indicate that there is insufficient user information and terminal information to determine the access right to the method 37, the method 31 of the calling source will supply the insufficient information. The transmission of the user information and the terminal information may be requested.
【0045】このように、メソッド毎にアクセス制御を
行う際に、メソッド毎に何度もクライアント端末からユ
ーザ情報及び端末情報を送信する必要が無いため、効率
的にアクセス制御を行うことができる。As described above, when performing access control for each method, it is not necessary to transmit user information and terminal information from the client terminal many times for each method, so that access control can be performed efficiently.
【0046】このアクセス制御方法は、OSの機能を利用
するのではなく、言語によりアクセス制御機能を備える
ため、言語レベルでアクセス制御を実現することができ
る。言語レベルでアクセス制御を行うことにより、OSの
機能に依存しないで、アクセス制御を行うことができ
る。言語レベルでアクセス制御が行えるということは、
OSに依存しない言語を使用すれば、プラットフォームに
依存しないアクセス制御が可能となる。In this access control method, an access control function is provided according to a language instead of using the function of the OS, so that access control can be realized at a language level. By performing access control at the language level, access control can be performed without depending on the functions of the OS. Being able to control access at the language level means that
Using an OS-independent language allows platform-independent access control.
【0047】実施の形態3.次に、本発明によるアクセ
ス制御システム及びアクセス制御方法の他の実施形態に
ついて図4を用いて説明する。図4は、本実施形態のア
クセス制御システムを説明するためのブロック図であ
る。図4において、51はリクエストを発行するクライ
アント端末である。52はユーザ情報保持手段であり、
ユーザ固有のユーザ情報が入力され、出力される。53
は、クライアント端末51固有の端末情報が格納される
端末情報保持手段である。54は、端末情報保持手段5
3から端末情報を取得し、ユーザ情報保持手段52から
ユーザ情報を取得する情報取得手段である。55は、情
報取得手段54が取得した端末情報及びユーザ情報をア
クセス制御手段59へ送信する情報送信手段である。な
お、クライアント端末51は、ユーザ情報保持手段5
2、端末情報保持手段53、情報取得手段54、及び情
報送信手段55を有する。Embodiment 3 Next, another embodiment of the access control system and the access control method according to the present invention will be described with reference to FIG. FIG. 4 is a block diagram for explaining the access control system according to the present embodiment. In FIG. 4, reference numeral 51 denotes a client terminal that issues a request. 52 is a user information holding means,
User-specific user information is input and output. 53
Is terminal information holding means for storing terminal information unique to the client terminal 51. 54 is terminal information holding means 5
3 is an information acquisition unit that acquires terminal information from the user information storage unit 3 and acquires user information from the user information holding unit 52. Reference numeral 55 denotes an information transmitting unit that transmits the terminal information and the user information acquired by the information acquiring unit 54 to the access control unit 59. Note that the client terminal 51 is connected to the user information holding unit 5.
2. It has a terminal information holding unit 53, an information acquisition unit 54, and an information transmission unit 55.
【0048】56は、クライアント端末51からレジス
トリ・オブジェクト63へアクセスするためのツールで
あるレジストリ・アクセス・オブジェクトである。57
は、クライアント端末51から送信されるユーザ情報と
端末情報との組み合わせに対し、レジストリ・アクセス
・オブジェクト56へのアクセスの許認可が示されたア
クセス制御情報を持つアクセス制御情報保持手段であ
る。58は、アクセス制御情報保持手段57からアクセ
ス制御情報を取得する情報取得手段である。Reference numeral 56 denotes a registry access object which is a tool for accessing the registry object 63 from the client terminal 51. 57
Is access control information holding means having access control information indicating permission to access the registry access object 56 for a combination of user information and terminal information transmitted from the client terminal 51. Reference numeral 58 denotes an information acquisition unit that acquires access control information from the access control information holding unit 57.
【0049】59は、情報送信手段55から送られた端
末情報及びユーザ情報と、情報取得手段58を介してア
クセス情報取得手段57により取得されたアクセス制御
情報とにより、レジストリ・アクセス・オブジェクト5
6へのアクセスの許認可に関するアクセス権について判
断するアクセス制御手段である。60は、レジストリ・
アクセス・オブジェクト56に関するオブジェクト情報
を保持するオブジェクト情報保持手段である。61は、
オブジェクト情報保持手段60からオブジェクト情報を
取得する情報取得手段である。Reference numeral 59 denotes a registry access object 5 based on the terminal information and user information sent from the information transmitting means 55 and the access control information obtained by the access information obtaining means 57 via the information obtaining means 58.
6 is an access control means for determining an access right related to permission for access to the access control 6. 60 is a registry
Object information holding means for holding object information on the access object 56. 61 is
This is an information acquisition unit that acquires object information from the object information holding unit 60.
【0050】62は、情報取得手段61が取得したオブ
ジェクト情報をレジストリ・オブジェクト63のアクセ
ス制御手段66へ送信する情報送信手段である。なお、
レジストリ・アクセス・オブジェクト56は、アクセス
制御情報保持手段57、情報取得手段58、アクセス制
御手段59、オブジェクト情報保持手段60、情報取得
手段61、及び情報送信手段62を有する。Reference numeral 62 denotes information transmitting means for transmitting the object information acquired by the information acquiring means 61 to the access control means 66 of the registry object 63. In addition,
The registry access object 56 includes an access control information holding unit 57, an information acquisition unit 58, an access control unit 59, an object information holding unit 60, an information acquisition unit 61, and an information transmission unit 62.
【0051】63はレジストリを保存するレジストリ・
オブジェクトである。64は、レジストリ・アクセス・
オブジェクト56から送信されるオブジェクト情報に対
し、レジストリ・オブジェクト63へのアクセスの許認
可が示されたアクセス制御情報を持つアクセス制御情報
保持手段である。65は、アクセス制御情報保持手段6
4からアクセス制御情報を取得する情報取得手段であ
る。Reference numeral 63 denotes a registry for storing the registry.
Object. 64 is a registry access
This is access control information holding means having access control information indicating permission to access the registry object 63 with respect to the object information transmitted from the object 56. 65 is access control information holding means 6
4 is an information acquisition unit that acquires access control information from the control unit 4.
【0052】66は、レジストリ・アクセス・オブジェ
クト56の情報送信手段62から送られたオブジェクト
情報と、情報取得手段65を介してアクセス情報取得手
段64により取得されたアクセス制御情報とにより、レ
ジストリ・オブジェクト63へのアクセスの許認可に関
するアクセス権について判断するアクセス制御手段であ
る。なお、レジストリ・オブジェクト63は、アクセス
制御情報保持手段64、情報取得手段65、及びアクセ
ス制御手段66を有する。Reference numeral 66 denotes a registry object based on the object information transmitted from the information transmitting means 62 of the registry access object 56 and the access control information obtained by the access information obtaining means 64 via the information obtaining means 65. Access control means for judging an access right for permitting access to the access 63. The registry object 63 has an access control information holding unit 64, an information acquisition unit 65, and an access control unit 66.
【0053】次に、実施形態3に示すアクセス制御シス
テムのアクセス制御方法について説明する。クライアン
ト端末51からレジストリ・アクセス・オブジェクト5
6へユーザ情報及び端末情報を送信するのは、他の実施
形態と同様であり、その説明を省略する。レジストリ・
アクセス・オブジェクト56のアクセス制御手段59
で、レジストリ・アクセス・オブジェクト56に対する
アクセスが、クライアント端末51のユーザに対して許
されると、レジストリ・アクセス・オブジェクト56の
情報取得手段61は、オブジェクト情報保持手段60か
らオブジェクト情報を取得する。そして、レジストリ・
アクセス・オブジェクト56の情報送信手段62は、情
報取得手段61より当該オブジェクト情報を取得し、レ
ジストリ・オブジェクト63のアクセス制御手段66へ
送信する。Next, an access control method of the access control system according to the third embodiment will be described. Registry access object 5 from client terminal 51
The transmission of the user information and the terminal information to 6 is the same as in the other embodiments, and a description thereof will be omitted. Registry
Access control means 59 of access object 56
When access to the registry access object 56 is permitted to the user of the client terminal 51, the information acquisition unit 61 of the registry access object 56 acquires object information from the object information holding unit 60. And the registry
The information transmitting unit 62 of the access object 56 acquires the object information from the information acquiring unit 61 and transmits the object information to the access control unit 66 of the registry object 63.
【0054】レジストリ・オブジェクト63のアクセス
制御手段66は、レジストリ・アクセス・オブジェクト
56の情報送信手段62よりオブジェクト情報を受け取
ると、情報取得手段65を介してアクセス制御情報保持
手段64からアクセス制御情報を取得し、これら受け取
ったオブジェクト情報とアクセス制御情報との比較結果
に基づき、クライアント端末51のユーザに対してアク
セス権を付与する。Upon receiving the object information from the information transmitting means 62 of the registry access object 56, the access control means 66 of the registry object 63 transmits the access control information from the access control information holding means 64 via the information obtaining means 65. The access right is granted to the user of the client terminal 51 based on the obtained and compared results of the received object information and the access control information.
【0055】なお、クライアント端末51からレジスト
リ・オブジェクト63へのアクセスは、レジストリ・ア
クセス・オブジェクト56を介してのみ許可され、当該
クライアント端末51から直接レジストリ・オブジェク
ト63に対してアクセスしようとしても、レジストリ・
オブジェクト63のアクセス制御手段66によりそのア
クセスは拒否される。Access to the registry object 63 from the client terminal 51 is permitted only through the registry access object 56. Even if the client terminal 51 attempts to access the registry object 63 directly,・
The access is rejected by the access control means 66 of the object 63.
【0056】つまり、レジストリ・オブジェクト63の
アクセス制御手段66は、クライアント端末51から送
信されるユーザ情報及び端末情報に基づきアクセス権を
付与するのではなく、レジストリ・アクセス・オブジェ
クト56で付け替えられたオブジェクト情報に基づき、
レジストリ・オブジェクト63へのアクセスを実現して
いる。なお、レジストリ・アクセス・オブジェクト56
のみが、レジストリ・オブジェクト63へのアクセスの
特権を有するものとする。That is, the access control means 66 of the registry object 63 does not grant the access right based on the user information and the terminal information transmitted from the client terminal 51, but the object replaced by the registry access object 56. Based on the information,
Access to the registry object 63 is realized. Note that the registry access object 56
Only one has the privilege to access the registry object 63.
【0057】また、レジストリ・オブジェクト63への
アクセスの特権を、特定のレジストリ・アクセス・オブ
ジェクト56のメソッドからのアクセスのみに限定して
もよい。例えば、レジストリ・オブジェクト63のアク
セス制御情報保持手段64が、あるメソッド(以下、lo
okupとする)に関するアクセス制御情報を持つとすれ
ば、上述の例ではlookupを介してレジストリ・オブジェ
クト63へアクセスしたクライアント端末51のみ、ア
クセス可能となる。The privilege of accessing the registry object 63 may be limited to only access from a method of the specific registry access object 56. For example, when the access control information holding unit 64 of the registry object 63 has a method (hereinafter referred to as lo
okup), only the client terminal 51 that has accessed the registry object 63 via lookup in the above example can be accessed.
【0058】また、レジストリ・アクセス・オブジェク
ト56からレジストリ・オブジェクト63へのアクセス
に際して、オブジェクト情報と共にユーザ情報及び端末
情報を用いてもよい。これによると、あるユーザに対し
ては、レジストリ・アクセス・オブジェクト56でオブ
ジェクト情報が得られれば、広範なメソッドに対して実
行許可が与えられる。それに対し、別のユーザに対して
は、レジストリ・アクセス・オブジェクト56でオブジ
ェクト情報が得られたとしても、一部の限定されたメソ
ッドのみしか実行できないように設定することができ
る。When accessing the registry object 63 from the registry access object 56, user information and terminal information may be used together with the object information. According to this, for a certain user, if object information is obtained in the registry access object 56, execution permission is given to a wide range of methods. On the other hand, for another user, even if the object information is obtained in the registry access object 56, it can be set so that only some limited methods can be executed.
【0059】このように、直接にはアクセスできないオ
ブジェクトあるいはオブジェクトのメソッドに対して、
特定のオブジェクトを介してアクセスすることにより、
特権モードを行使してアクセスを許可するように設定す
ることができる。As described above, for an object or a method of an object that cannot be directly accessed,
By accessing through a specific object,
It can be set to exercise privileged mode to allow access.
【0060】[0060]
【発明の効果】以上のように、この発明にかかるアクセ
ス制御システムは、ユーザ固有のユーザ情報を有するユ
ーザ情報保持手段、及び端末固有の端末情報を有する端
末情報保持手段を有し、ユーザ情報及び端末情報を送信
する端末と、ユーザ情報及び端末情報を無線によるネッ
トワークを介し受信するアクセス制御手段、及びユーザ
情報及び端末情報の組み合わせとオブジェクトが提供で
きるサービスとが関連付けられ記録されたアクセス制御
情報を有するアクセス制御情報保持手段を有し、アクセ
ス制御手段が、受信したユーザ情報及び端末情報とアク
セス制御情報とにより、端末のユーザに対し、オブジェ
クトの提供できるサービスに関するアクセス権を決定す
るオブジェクトとからなるものであり、ユーザIDにと
らわれないアクセス制御が可能であり、動的に変化する
端末情報によりアクセス権を変化させることができるの
で、社外から社内のシステムにアクセスするといったモ
バイル環境に対応したアクセス制御を行うことができ
る。As described above, the access control system according to the present invention has user information holding means having user-specific user information and terminal information holding means having terminal-specific terminal information. A terminal for transmitting terminal information, access control means for receiving user information and terminal information via a wireless network, and access control information in which a combination of the user information and terminal information is associated with a service that can be provided by the object and recorded. Access control information holding means, the access control means comprising an object for determining an access right for a service that the object can provide to the user of the terminal based on the received user information and terminal information and the access control information. Access that is not restricted by the user ID. Control is possible, it is possible to change the access right by the terminal information that changes dynamically, it is possible to perform access control corresponding to the mobile environment, such that access to corporate systems from outside the company.
【図1】 この発明の実施形態1のアクセス制御システ
ム及びアクセス制御方法を説明するためのブロック図で
ある。FIG. 1 is a block diagram illustrating an access control system and an access control method according to a first embodiment of the present invention.
【図2】 この発明の実施形態1のアクセス制御方法の
手順を表すフローチャートである。FIG. 2 is a flowchart illustrating a procedure of an access control method according to the first embodiment of the present invention.
【図3】 この発明の実施形態2のアクセス制御システ
ム及びアクセス制御方法を説明するためのブロック図で
ある。FIG. 3 is a block diagram illustrating an access control system and an access control method according to a second embodiment of the present invention.
【図4】 この発明の実施形態3のアクセス制御システ
ム及びアクセス制御方法を説明するためのブロック図で
ある。FIG. 4 is a block diagram for explaining an access control system and an access control method according to a third embodiment of the present invention.
【図5】 従来のアクセス制御方法の手順を表すフロー
チャートである。FIG. 5 is a flowchart showing a procedure of a conventional access control method.
1 クライアント端末、2 ユーザ情報保持手段、3
端末情報保持手段、4情報取得手段、5 情報送信手
段、6 サーバオブジェクト、7 アクセス制御情報保
持手段、8 情報取得手段、9 アクセス制御手段、2
1 クライアント端末、22 ユーザ情報保持手段、2
3 端末情報保持手段、24 情報取得手段、25 情
報送信手段、26 アプリケーション、27サーバオブ
ジェクト、28 アクセス制御情報保持手段、29 情
報取得手段、30 アクセス制御手段、31 メソッ
ド、32 ユーザ情報保持手段、33端末情報保持手
段、34 情報取得手段、35 情報送信手段、36
サーバオブジェクト、37 メソッド、38 アクセス
制御情報保持手段、39 情報取得手段、40 アクセ
ス制御手段、51 クライアント端末、52 ユーザ情
報保持手段、53 端末情報保持手段、54 情報取得
手段、55 情報送信手段、56 レジストリアクセス
オブジェクト、57 アクセス制御情報保持手段、58
情報取得手段、59 アクセス制御手段、60 オブ
ジェクト情報保持手段、61 情報取得手段、62 情
報送信手段、63 レジストリオブジェクト、64 ア
クセス制御情報保持手段、65 情報取得手段、66
アクセス制御手段。1 client terminal, 2 user information holding means, 3
Terminal information holding means, 4 information acquisition means, 5 information transmission means, 6 server object, 7 access control information holding means, 8 information acquisition means, 9 access control means, 2
1 client terminal, 22 user information holding means, 2
3 terminal information holding means, 24 information acquisition means, 25 information transmission means, 26 application, 27 server object, 28 access control information holding means, 29 information acquisition means, 30 access control means, 31 method, 32 user information holding means, 33 Terminal information holding means, 34 information acquisition means, 35 information transmission means, 36
Server object, 37 method, 38 access control information holding means, 39 information acquisition means, 40 access control means, 51 client terminal, 52 user information holding means, 53 terminal information holding means, 54 information acquisition means, 55 information transmission means, 56 Registry access object, 57 access control information holding means, 58
Information acquisition means, 59 access control means, 60 object information holding means, 61 information acquisition means, 62 information transmission means, 63 registry object, 64 access control information holding means, 65 information acquisition means, 66
Access control means.
Claims (11)
情報保持手段、及び端末固有の端末情報を有する端末情
報保持手段を有し、上記ユーザ情報及び端末情報を送信
する上記端末と、上記ユーザ情報及び端末情報を有線あ
るいは無線によるネットワークを介し受信するアクセス
制御手段、及びユーザ情報及び端末情報の組み合わせと
オブジェクトが提供できるサービスとが関連付けられ記
録されたアクセス制御情報を有するアクセス制御情報保
持手段を有し、上記アクセス制御手段が、受信した上記
ユーザ情報及び端末情報とアクセス制御情報とにより、
上記端末のユーザに対し、上記オブジェクトの提供でき
るサービスに関するアクセス権を決定する上記オブジェ
クトとからなることを特徴とするアクセス制御システ
ム。1. A terminal having user information holding means having user information unique to a user, and terminal information holding means having terminal information unique to the terminal, the terminal transmitting the user information and the terminal information, Access control means for receiving terminal information via a wired or wireless network, and access control information holding means having recorded access control information in which a combination of user information and terminal information and a service that can be provided by an object are associated with each other The access control means, by the received user information and terminal information and the access control information,
An access control system, comprising: an object that determines an access right for a service that the object can provide to a user of the terminal.
に関する情報であることを特徴とする請求項1に記載の
アクセス制御システム。2. The access control system according to claim 1, wherein the terminal information is information on an encryption algorithm and its key.
の種類や速度に関する情報であることを特徴とする請求
項1に記載のアクセス制御システム。3. The access control system according to claim 1, wherein the terminal information is information on the type and speed of a network used by the terminal.
報及び端末情報に、オブジェクトによる提供サービスに
関するアクセス権を決定するために必要な情報が不足し
ている場合には、当該情報が不足している旨を上記端末
に通知することを特徴とする請求項1〜3のいずれかに
記載のアクセス制御システム。4. The access control means, if the received user information and terminal information lack information necessary to determine an access right for a service provided by an object, the information is insufficient. The access control system according to any one of claims 1 to 3, wherein the terminal is notified of the fact.
行させる上記オブジェクトが有するメソッドに対し、上
記端末に関するユーザ情報及び端末情報を送信し、上記
オブジェクトはアクセス制御手段により、受信した上記
ユーザ情報及び端末情報とアクセス制御情報とにより、
上記端末のユーザに対し、上記メソッドの実行に関する
関するアクセス権を決定することを特徴とする請求項1
〜4のいずれかに記載のアクセス制御システム。5. The terminal transmits user information and terminal information relating to the terminal to a method of the object for executing a specific function of the object, and the object receives the user information and the terminal received by the access control means. Information and access control information,
2. The method according to claim 1, further comprising: determining an access right for executing the method for a user of the terminal.
5. The access control system according to any one of claims 4 to 4.
ユーザ情報保持手段、及び端末固有の端末情報を有する
第1の端末情報保持手段を有し、上記ユーザ情報及び端
末情報を送信する上記端末と、上記端末から送信された
ユーザ情報及び端末情報を有線あるいは無線によるネッ
トワークを介し受信する第1のアクセス制御手段、上記
ユーザ情報が記録される第2のユーザ情報保持手段、上
記端末情報が記録される第2の端末情報保持手段、及び
ユーザ情報及び端末情報の組み合わせと第1のオブジェ
クトが提供できるサービスとが関連付けられ記録された
第1のアクセス制御情報を有する第1のアクセス制御情報
保持手段を有し、上記第1のアクセス制御手段が、受信
した上記ユーザ情報及び端末情報と第1のアクセス制御
情報とにより、上記オブジェクトの提供できるサービス
に関するアクセス権を決定し、上記ユーザ情報及び端末
情報を送信する上記第1のオブジェクトと、上記第1のオ
ブジェクトから送信されたユーザ情報及び端末情報を受
信する第2のアクセス制御手段、及びユーザ情報及び端
末情報の組み合わせと第2のオブジェクトが提供できる
サービスとが関連付けられ記録された第2のアクセス制
御情報を有する第2のアクセス制御情報保持手段を有
し、上記第2のアクセス制御手段が、受信した上記ユー
ザ情報及び端末情報と第2のアクセス制御情報とによ
り、上記第1のオブジェクトを介し、上記端末のユーザ
に対し、上記第2のオブジェクトの提供できるサービス
に関するアクセス権を決定する上記第2のオブジェクト
とからなることを特徴とするアクセス制御システム。6. The terminal, comprising: first user information holding means having user-specific user information; and first terminal information holding means having terminal-specific terminal information, and transmitting the user information and the terminal information. And first access control means for receiving the user information and terminal information transmitted from the terminal via a wired or wireless network, second user information holding means for recording the user information, and recording the terminal information. Second terminal information holding means, and first access control information holding means having first access control information in which a combination of user information and terminal information and a service that can be provided by the first object are recorded in association with each other The first access control means, the first access control information and the user information and terminal information received, the object A first object that determines an access right for a service that can be provided by the user and transmits the user information and the terminal information; and a second access control that receives the user information and the terminal information transmitted from the first object. Means, and a combination of user information and terminal information and a service that can be provided by the second object are associated with second access control information having second access control information recorded and have second access control information holding means, The access control means, based on the received user information and terminal information and the second access control information, provides an access right for a service of the second object to the user of the terminal via the first object. And an access control system comprising: the second object for determining
情報保持手段、及び端末固有の端末情報を有する端末情
報保持手段を有し、上記ユーザ情報及び端末情報を送信
する上記端末と、上記ユーザ情報及び端末情報を有線あ
るいは無線によるネットワークを介し受信する第1のア
クセス制御手段、及びユーザ情報及び端末情報の組み合
わせと第1のオブジェクトが提供できるサービスとが関
連付けられ記録された第1のアクセス制御情報を有する
第1のアクセス制御情報保持手段を有し、上記第1のアク
セス制御手段が、上記ユーザ情報及び端末情報と第1の
アクセス制御情報とにより、上記オブジェクトの提供で
きるサービスに関するアクセス権を決定し、上記ユーザ
情報及び端末情報に基づく上記第1のオブジェクト固有
のオブジェクト情報を送信する上記第1のオブジェクト
と、上記オブジェクト情報を受信する第2のアクセス制
御手段、及びオブジェクト情報と第2のオブジェクトが
提供できるサービスとが関連付けられ記録された第2の
アクセス制御情報を有する第2のアクセス制御情報保持
手段を有し、上記第2のアクセス制御手段が、受信した
上記オブジェクト情報と第2のアクセス制御情報とによ
り、上記第1のオブジェクトを介し、上記端末のユーザ
に対し、上記第2のオブジェクトの提供できるサービス
に関するアクセス権を決定する上記第2のオブジェクト
とからなることを特徴とするアクセス制御システム。7. A terminal having user information holding means having user-specific user information, and terminal information holding means having terminal-specific terminal information, wherein the terminal transmits the user information and the terminal information; First access control means for receiving terminal information via a wired or wireless network, and first access control information in which a combination of user information and terminal information and a service that can be provided by the first object are associated and recorded. Having first access control information holding means, wherein the first access control means determines an access right for a service that can be provided by the object, based on the user information and terminal information and the first access control information. Transmits object information unique to the first object based on the user information and the terminal information A second access control means for receiving the object information, a second access control means for receiving the object information, and a second access control information in which the object information is associated with a service which the second object can provide. The second access control means, the received object information and the second access control information, via the first object, for the user of the terminal, An access control system, comprising: the second object that determines an access right for a service that can be provided by a second object.
末固有の端末情報が送信され、オブジェクトのアクセス
制御手段は、上記ユーザ情報及び端末情報を有線あるい
は無線によるネットワークを介して受信し、ユーザ情報
及び端末情報の組み合わせと上記オブジェクトが提供で
きるサービスとが関連付けられたアクセス制御情報を取
得し、上記端末のユーザに対して、上記オブジェクトの
提供できるサービスに関するアクセス権を決定すること
を特徴とするアクセス制御方法。8. A terminal transmits user-specific user information and terminal-specific terminal information, and an object access control unit receives the user information and the terminal information via a wired or wireless network, and outputs the user information and the user information. An access control method comprising: obtaining access control information in which a combination of terminal information is associated with a service that can be provided by the object; and determining an access right for a service that can be provided by the object to a user of the terminal. Method.
求が送信され、オブジェクトのアクセス制御手段は、有
線あるいは無線によるネットワークを介して受信した上
記アクセス要求に基づき、上記アクセスに必要なユーザ
固有のユーザ情報及び端末固有の端末情報の送信を要求
し、上記端末は、上記ユーザ情報及び端末情報の送信要
求に対し、当該ユーザ情報及び端末情報を送信し、上記
オブジェクトのアクセス制御手段は、ユーザ情報及び端
末情報の組み合わせと上記オブジェクトが提供できるサ
ービスとが関連付けられたアクセス制御情報を取得し、
上記ユーザ情報及び端末情報に基づき、上記端末のユー
ザに対して、上記オブジェクトの提供できるサービスに
関するアクセス権を決定することを特徴とするアクセス
制御方法。9. An access request for requesting access is transmitted from a terminal, and the object access control means performs, based on the access request received via a wired or wireless network, user information unique to a user required for the access. And requesting transmission of terminal information specific to the terminal, wherein the terminal transmits the user information and the terminal information in response to the transmission request of the user information and the terminal information, and the access control means of the object includes the user information and the terminal Obtain access control information in which a combination of information is associated with a service that the object can provide,
An access control method comprising: determining an access right for a service that the object can provide to a user of the terminal based on the user information and the terminal information.
端末固有の端末情報が送信され、第1のオブジェクトの
第1のアクセス制御手段は、上記端末から送信された上
記ユーザ情報及び端末情報を有線あるいは無線によるネ
ットワークを介して受信し、ユーザ情報及び端末情報の
組み合わせと上記第1のオブジェクトが提供できるサー
ビスとが関連付けられた第1のアクセス制御情報を取得
し、上記第1のオブジェクトの提供できるサービスに関
するアクセス権を決定し、第2のオブジェクトの第2の
アクセス制御手段は、上記第1のオブジェクトから送信
された上記ユーザ情報及び端末情報を受信し、ユーザ情
報及び端末情報の組み合わせと上記第2のオブジェクト
が提供できるサービスとが関連付けられた第2のアクセ
ス制御情報を取得し、上記第1のオブジェクトを介し、
上記端末のユーザに対して、上記第2のオブジェクトの
提供できるサービスに関するアクセス権を決定すること
を特徴とするアクセス制御方法。10. A terminal transmits user-specific user information and terminal-specific terminal information, and the first access control means of the first object transmits the user information and the terminal information transmitted from the terminal by wire or terminal. Received via a wireless network, obtains first access control information in which a combination of user information and terminal information is associated with a service that can be provided by the first object, and provides a service that can provide the first object. The second access control means of the second object receives the user information and the terminal information transmitted from the first object, and determines a combination of the user information and the terminal information with the second object. Acquiring second access control information associated with a service that can be provided by the object of Via one of the objects,
An access control method, comprising: determining an access right for a service provided by the second object to a user of the terminal.
端末固有の端末情報が送信され、第1のオブジェクトの
第1のアクセス制御手段は、上記端末から送信された上
記ユーザ情報及び端末情報を有線あるいは無線によるネ
ットワークを介して受信し、ユーザ情報及び端末情報の
組み合わせと上記第1のオブジェクトが提供できるサー
ビスとが関連付けられた第1のアクセス制御情報を取得
し、上記第1のオブジェクトの提供できるサービスに関
するアクセス権を決定し、第2のオブジェクトの第2の
アクセス制御手段は、上記第1のオブジェクトから送信
された上記ユーザ情報及び端末情報に基づくオブジェク
ト情報を受信し、オブジェクト情報と上記第2のオブジ
ェクトが提供できるサービスとが関連付けられた第2の
アクセス制御情報を取得し、上記第1のオブジェクトを
介し、上記端末のユーザに対して、上記第2のオブジェ
クトの提供できるサービスに関するアクセス権を決定す
ることを特徴とするアクセス制御方法。11. A terminal transmits user-specific user information and terminal-specific terminal information, and the first access control means of the first object transmits the user information and the terminal information transmitted from the terminal by wire or Received via a wireless network, obtains first access control information in which a combination of user information and terminal information is associated with a service that can be provided by the first object, and provides a service that can provide the first object. The second access control means of the second object receives the object information based on the user information and the terminal information transmitted from the first object, and determines the object information and the second Obtain second access control information associated with a service that the object can provide The through the first object, to a user of the terminal, the access control method characterized by determining the access rights for services that can be provided in the second object.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10342746A JP2000172565A (en) | 1998-12-02 | 1998-12-02 | Access control system and access control method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10342746A JP2000172565A (en) | 1998-12-02 | 1998-12-02 | Access control system and access control method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000172565A true JP2000172565A (en) | 2000-06-23 |
Family
ID=18356180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10342746A Pending JP2000172565A (en) | 1998-12-02 | 1998-12-02 | Access control system and access control method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000172565A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008204468A (en) * | 2000-03-22 | 2008-09-04 | Hitachi Omron Terminal Solutions Corp | Access control system |
| JP2016062434A (en) * | 2014-09-19 | 2016-04-25 | 富士ゼロックス株式会社 | Image forming apparatus and program |
-
1998
- 1998-12-02 JP JP10342746A patent/JP2000172565A/en active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008204468A (en) * | 2000-03-22 | 2008-09-04 | Hitachi Omron Terminal Solutions Corp | Access control system |
| JP2016062434A (en) * | 2014-09-19 | 2016-04-25 | 富士ゼロックス株式会社 | Image forming apparatus and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3497342B2 (en) | Client / server system, server, client processing method, and server processing method | |
| US8819784B2 (en) | Method for managing access to protected resources and delegating authority in a computer network | |
| US8838986B2 (en) | Invocation of third party's service | |
| US9769137B2 (en) | Extensible mechanism for securing objects using claims | |
| US6035404A (en) | Concurrent user access control in stateless network computing service system | |
| JP5509334B2 (en) | Method for managing access to protected resources in a computer network, and physical entity and computer program therefor | |
| EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| JP2002505459A (en) | Specify security requirements for each method | |
| EP2149102A1 (en) | Request-specific authentication for accessing web service resources | |
| US9959395B2 (en) | Hybrid digital rights management system and related document access authorization method | |
| US20040260949A1 (en) | Chaining of services | |
| JP2728033B2 (en) | Security method in computer network | |
| US20150341362A1 (en) | Method and system for selectively permitting non-secure application to communicate with secure application | |
| CN113271289A (en) | Method, system and computer storage medium for resource authorization and access | |
| WO2003065235A1 (en) | Virtual terminal for mobile network interface between mobile terminal and software applications node | |
| JP2003248659A (en) | Method for controlling access to content and system for controlling access to content | |
| Erdos et al. | Extending the OSF DCE authorization system to support practical delegation | |
| JP2000172565A (en) | Access control system and access control method | |
| JP3528065B2 (en) | Inherited access control method on computer network | |
| EP1639420B1 (en) | User access to a registry of business entity definitions | |
| KR100848321B1 (en) | Method and Apparatus for controlling the access of personal information between privacy domains | |
| JP4183072B2 (en) | Database access control method and program | |
| CN117729036A (en) | Cloud resource access method, system, equipment and medium | |
| JP4391568B2 (en) | Database access control method | |
| JPH09319715A (en) | Security control system for computer network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20040623 |