JP2007094493A - Access control system and method - Google Patents
Access control system and method Download PDFInfo
- Publication number
- JP2007094493A JP2007094493A JP2005279615A JP2005279615A JP2007094493A JP 2007094493 A JP2007094493 A JP 2007094493A JP 2005279615 A JP2005279615 A JP 2005279615A JP 2005279615 A JP2005279615 A JP 2005279615A JP 2007094493 A JP2007094493 A JP 2007094493A
- Authority
- JP
- Japan
- Prior art keywords
- access
- access control
- unit
- information
- approval
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、クライアントコンピュータからサーバコンピュータが管理するネットワーク資源へのアクセスを制御するアクセス制御子機と、アクセスの許否をアクセス制御子機に与えるアクセス制御親機とを備えるアクセス制御システム及びアクセス制御方法に関する。 The present invention relates to an access control system and an access control method comprising: an access control slave unit that controls access from a client computer to a network resource managed by a server computer; and an access control master unit that grants access permission to the access control slave unit About.
近年の通信技術等の発達により、コンピュータやプリンタ等の複数の機器が無線又は有線の伝送路によって相互に通信可能に接続され、サーバコンピュータによって管理されるフォルダ(ディレクトリ)やファイル及びプリンタサーバによって管理されるプリンタ等のネットワーク資源が共有可能となっている。このようなネットワーク資源は、通常、総てのクライアントコンピュータに対し一様にアクセス可能ではなく、ネットワーク資源の内容に照らしてネットワーク資源ごとにアクセス権が設定されており、クライアントコンピュータに応じてアクセス可能なネットワーク資源とアクセス不可能なネットワーク資源とに区分されている。例えばウィンドウズ(登録商標)の共有レベルのセキュリティの場合では、ネットワークに公開するネットワーク資源ごとにパスワード文字列が予め設定、記憶され、正しいパスワードを入力したクライアントコンピュータだけがネットワーク資源を利用することができるようになっている。 Due to recent developments in communication technology, multiple devices such as computers and printers are connected so that they can communicate with each other via wireless or wired transmission paths, and are managed by folders (directories), files managed by server computers, and printer servers. Network resources such as printers can be shared. Such network resources are usually not uniformly accessible to all client computers, but access rights are set for each network resource according to the contents of the network resources, and can be accessed according to the client computer. Network resources and inaccessible network resources. For example, in the case of Windows (registered trademark) share level security, a password character string is preset and stored for each network resource to be disclosed to the network, and only the client computer that has entered the correct password can use the network resource. It is like that.
一方、ネットワークが外部のネットワークと通信可能に接続されている場合に、セキュリティの確保を目的として、外部のネットワークからのアクセスを制御するファイアウォールと呼ばれる装置がネットワークと外部のネットワークとの境界に配置。このファイアウォールでは、外部のネットワークからのパケットは、そのIPアドレス及び/又はポート番号がファイアウォールに予め設定、記憶されているIPアドレス及び/又はポート番号である場合のみ、ファイアウォールを通過することができるようになっている(例えば非特許文献1)。
ところで、ネットワーク資源の内容とクライアントコンピュータとによっては、通常は、アクセス不可能な状態(アクセス権のない状態)に設定し、必要な都度、クライアントコンピュータにネットワーク資源へのアクセスを認めたい場合がある。上記のアクセス権の設定やファイアウォールの設定は、固定的であるため、このような場合に対応することができないという不都合がある。 By the way, depending on the contents of the network resource and the client computer, it is usually set to an inaccessible state (a state without access right), and the client computer may be allowed to access the network resource whenever necessary. . Since the access right setting and the firewall setting described above are fixed, there is an inconvenience that such a case cannot be dealt with.
本発明は、上記事情に鑑みて為された発明であり、動的にアクセス権を変更し得るアクセス制御システム及びアクセス制御方法を提供することを目的とする。 The present invention has been made in view of the above circumstances, and an object thereof is to provide an access control system and an access control method capable of dynamically changing an access right.
本発明者は、種々検討した結果、上記目的は、以下の本発明により達成されることを見出した。即ち、本発明に係る一態様では、共有されるネットワーク資源を管理するサーバコンピュータと前記サーバコンピュータのクライアントコンピュータとの間に通信可能に配置され前記クライアントコンピュータから前記ネットワーク資源へのアクセスを制御するアクセス制御子機と、前記アクセス制御子機と通信可能であって前記アクセスの許否を前記アクセス制御子機に与えるアクセス制御親機とを備えるアクセス制御システムにおいて、前記アクセス制御子機は、所定のクライアントコンピュータから予め設定された所定のネットワーク資源へのアクセスがあった場合に前記アクセスを前記アクセス制御親機に通知し、該通知に対するアクセスの承認が前記アクセス制御親機から通知された場合に前記アクセスを認め、前記アクセス制御親機は、前記アクセス制御子機から前記アクセスの通知があった場合に前記アクセスの許否を調べる許否処理を実行し、前記許否処理の結果がアクセスの承認である場合に前記通知に対するアクセスの承認を前記アクセス制御子機に通知することを特徴とする。 As a result of various studies, the present inventor has found that the above object is achieved by the present invention described below. That is, according to one aspect of the present invention, an access that is arranged to be communicable between a server computer that manages a shared network resource and a client computer of the server computer and that controls access from the client computer to the network resource. An access control system comprising: a control slave unit; and an access control master unit that is communicable with the access control slave unit and gives the access control slave unit whether the access is permitted or not, wherein the access control slave unit is a predetermined client The access is notified to the access control master when there is an access to a predetermined network resource set in advance from the computer, and the access is notified when the access control master is notified of the access to the notification. Admit the access control The access control unit executes permission / rejection processing for checking permission / inhibition of access when there is a notification of access from the access control slave unit, and approves access for the notification when the result of the permission / refusal processing is access approval. The access control slave unit is notified.
そして、上述のアクセス制御システムにおいて、以下の態様が好ましい。まず、上述のアクセス制御システムにおいて、前記通知に対するアクセスの許否を判断する権限を有する承認者が使用する承認者用ネットワーク端末と、前記所定のクライアントコンピュータに対応するネットワークカメラとをさらに備え、前記アクセス制御親機は、前記許否処理として、前記所定のクライアントコンピュータから前記所定のネットワーク資源へアクセスがあったこと及び前記ネットワークカメラで撮像した前記所定のクライアントコンピュータを使用する利用者に係る画像を前記承認者用ネットワーク端末の提示部に提示させ、前記承認者用ネットワーク端末の入力部から前記アクセスの承認及び不承認の何れか一方が入力された場合に該入力された前記アクセスの承認及び不承認の何れか一方を前記承認者用ネットワーク端末から受信し、該受信を前記許否処理の結果として受付けることを特徴とする。 And in the above-mentioned access control system, the following aspects are preferable. First, in the above-described access control system, the access control system further includes an approver network terminal used by an approver having the authority to determine whether to permit access to the notification, and a network camera corresponding to the predetermined client computer. As the permission / refusal processing, the control master unit recognizes that the predetermined client computer has accessed the predetermined network resource and that the image relating to the user who uses the predetermined client computer captured by the network camera is approved. One of the approval and disapproval of the input when the access approval or disapproval is input from the input unit of the approver network terminal. One side of the network for the approver Received from the terminal, characterized in that accepting the received as a result of the admission process.
また、上述のアクセス制御システムにおいて、前記通知に対するアクセスの許否を判断する権限を有する承認者が使用する承認者用ネットワーク端末をさらに備え、前記アクセス制御親機は、前記許否処理として、前記所定のクライアントコンピュータから前記所定のネットワーク資源へアクセスがあったことを前記承認者用ネットワーク端末の提示部に提示させ、前記承認者用ネットワーク端末の入力部から前記アクセスの承認及び不承認の何れか一方が入力された場合に該入力された前記アクセスの承認及び不承認の何れか一方を前記承認者用ネットワーク端末から受信し、該受信を前記許否処理の結果として受付けることを特徴とする。 The access control system may further include an approver network terminal used by an approver having an authority to determine whether to permit access to the notification. The presentation unit of the approver network terminal indicates that the client computer has accessed the predetermined network resource, and either one of approval or disapproval of the access is input from the input unit of the approver network terminal. If the access is accepted, either the approval or disapproval of the inputted access is received from the network terminal for the approver, and the reception is accepted as a result of the permission / rejection process.
さらに、上述のアクセス制御システムにおいて、前記通知に対するアクセスの許否を判断する権限を有する承認者が使用する承認者用ネットワーク端末をさらに備え、前記アクセス制御親機は、前記許否処理として、前記所定のクライアントコンピュータから前記所定のネットワーク資源へアクセスがあったこと及び前記所定のクライアントコンピュータを使用する利用者に係る電話機の電話番号を前記承認者用ネットワーク端末の提示部に提示させ、前記承認者用ネットワーク端末の入力部から前記アクセスの承認及び不承認の何れか一方が入力された場合に該入力された前記アクセスの承認及び不承認の何れか一方を前記承認者用ネットワーク端末から受信し、該受信を前記許否処理の結果として受付けることを特徴とする。 The access control system further includes an approver network terminal used by an approver having an authority to determine whether to permit access to the notification, and the access control master unit performs the predetermined processing as the predetermined processing. The presentation unit of the network terminal for the approver is made to present the telephone number of the telephone related to the user who uses the predetermined client computer that the client computer has accessed the predetermined network resource, and the network for the approver When either one of access approval or disapproval is input from the input unit of the terminal, the access approval or disapproval is input from the approver network terminal, and the reception is received It is characterized in that it is accepted as a result of permission / denial processing.
そして、上述のアクセス制御システムにおいて、前記通知に対するアクセスの許否を判断する権限を有する承認者が使用する承認者用ネットワーク端末をさらに備え、前記アクセス制御親機は、前記所定のクライアントコンピュータから前記所定のネットワーク資源へアクセスを承認するか否かの許否情報を前記承認者用ネットワーク端末から受信して記憶部にさらに記憶し、該許否情報に基づいて前記許否処理を実行することを特徴とする。 The access control system further includes an approver network terminal used by an approver having an authority to determine whether or not to permit access to the notification, and the access control master unit receives the predetermined client computer from the predetermined client computer. The permission / refusal information indicating whether or not to approve the access to the network resource is received from the approver network terminal, further stored in the storage unit, and the permission / refusal processing is executed based on the permission / rejection information.
また、これら上述のアクセス制御システムにおいて、前記アクセス制御親機は、前記アクセス制御子機から前記アクセスの通知があった場合に前記アクセスの許否を調べる許否処理を実行する許否処理部と、前記許否処理の結果がアクセスの承認である場合に前記通知に対するアクセスの承認を前記アクセス制御子機に通知する通知処理部とを備えることを特徴とする。 Further, in these access control systems described above, the access control master unit includes a permission / rejection processing unit that executes permission / rejection processing for checking permission / inhibition of access when the access control slave device receives the access notification, and the permission / rejection unit. And a notification processing unit for notifying the access control slave device of access approval for the notification when the result of the processing is access approval.
さらに、これら上述のアクセス制御システムにおいて、前記アクセス制御親機は、前記アクセスの通知に係るログ及び前記通知に対するアクセスの承認に係るログを記憶するログ情報記憶部と、前記アクセス制御子機から前記アクセスの通知があった場合に前記ログ情報記憶部にログを記憶すると共に、前記通知に対するアクセスの承認を前記アクセス制御子機に通知した場合に前記ログ情報記憶部にログを記憶するログ処理部とをさらに備えることを特徴とする。 Further, in these access control systems described above, the access control master unit includes a log information storage unit that stores a log related to the access notification and a log related to the approval of access to the notification, and the access control slave unit Log processing unit that stores a log in the log information storage unit when there is an access notification, and stores a log in the log information storage unit when an access approval for the notification is notified to the access control slave unit And further comprising.
そして、これら上述のアクセス制御システムにおいて、前記アクセス制御子機は、前記所定のクライアントコンピュータを識別するための第1識別情報及び前記所定のネットワーク資源を識別するための第2識別情報を予め記憶する情報記憶部と、前記クライアントコンピュータから受信した通信信号の中から前記情報記憶部に予め記憶されている第1識別情報及び第2識別情報に基づいて前記所定のクライアントコンピュータから前記所定のネットワーク資源へのアクセスを検出し、前記所定のクライアントコンピュータから前記所定のネットワーク資源へのアクセスを検出した場合に前記アクセスを前記アクセス制御親機に通知すると共に、該通知に対するアクセスの承認が前記アクセス制御親機から通知された場合に前記アクセスを認めるアクセス処理部とを備えることを特徴とする。 In these access control systems, the access control slave stores in advance first identification information for identifying the predetermined client computer and second identification information for identifying the predetermined network resource. From the predetermined client computer to the predetermined network resource based on the first identification information and the second identification information stored in advance in the information storage unit from among the information storage unit and the communication signal received from the client computer When the access to the predetermined network resource is detected from the predetermined client computer, the access is notified to the access control master unit, and the access to the notification is approved. The access is granted when notified by Characterized in that it comprises a that access processing unit.
また、これら上述のアクセス制御システムにおいて、前記アクセス制御子機は、前記クライアントコンピュータから前記サーバコンピュータへのアクセスがあった場合に前記アクセスを前記アクセス制御親機に通知する通信信号収集処理部をさらに備え、前記アクセス制御親機は、情報を提示する提示部と、情報を入力する入力部と、前記アクセスの通知に係る情報を記憶する支援情報記憶部と、前記アクセス制御子機の前記通信信号収集処理部から前記アクセスの通知があった場合に前記支援情報記憶部に前記アクセスの通知に係る情報を記憶すると共に、前記所定のクライアントコンピュータを識別するための第1識別情報及び前記所定のネットワーク資源を識別するための第2識別情報を前記入力部より入力する場合に、前記支援情報記憶部に記録した情報に基づいて前記第1識別情報及び前記第2識別情報を前記提示部に提示する支援処理部とをさらに備えることを特徴とする。 In these access control systems, the access control slave unit further includes a communication signal collection processing unit that notifies the access control master unit of the access when the client computer accesses the server computer. The access control master unit includes a presentation unit for presenting information, an input unit for inputting information, a support information storage unit for storing information related to the notification of access, and the communication signal of the access control slave unit When there is an access notification from the collection processing unit, the support information storage unit stores information related to the access notification, and first identification information for identifying the predetermined client computer and the predetermined network When the second identification information for identifying the resource is input from the input unit, the support information And further comprising a support processor for presenting the first identification information and the second identification information to the presentation unit on the basis of the information recorded in the 憶部.
そして、本発明に係る他の一態様では、共有されるネットワーク資源を管理するサーバコンピュータと前記サーバコンピュータのクライアントコンピュータとの間に通信可能に配置され前記クライアントコンピュータから前記ネットワーク資源へのアクセスを制御するアクセス制御子機と、前記アクセス制御子機と通信可能であって前記アクセスの許否を前記アクセス制御子機に与えるアクセス制御親機とを備えるアクセス制御システムのアクセス制御方法において、前記アクセス制御子機が所定のクライアントコンピュータから予め設定された所定のネットワーク資源へのアクセスがあった場合に前記アクセスを前記アクセス制御親機に通知するステップと、前記アクセス制御親機が前記アクセス制御子機から前記アクセスの通知があった場合に前記アクセスの許否を調べる許否処理を実行するステップと、前記アクセス制御親機が前記許否処理の結果がアクセスの承認である場合に前記通知に対するアクセスの承認を前記アクセス制御子機に通知するステップと、前記アクセス制御子機が該通知に対するアクセスの承認が前記アクセス制御親機から通知された場合に前記アクセスを認めるステップとを備えることを特徴とする。 In another aspect of the present invention, communication is arranged between a server computer that manages a shared network resource and a client computer of the server computer, and access to the network resource from the client computer is controlled. In the access control method of an access control system, comprising: an access control slave device that communicates with the access control slave device, and an access control master device that gives the access control slave device permission of access to the access control slave device. A step of notifying the access control master device of the access when the device has accessed a predetermined network resource set in advance from a predetermined client computer, and the access control master device from the access control slave device to the access control master device There was access notification A step of executing permission / refusal processing for checking permission / inhibition of access, and when the result of the permission / refusal processing is approval of access, the access control parent device notifies the access control slave device of access approval for the notification. And a step of allowing the access control slave device to grant the access when the access control master device is notified of the approval of access to the notification.
このような構成のアクセス制御システム及びアクセス制御方法では、所定のクライアントコンピュータからサーバコンピュータの所定のネットワーク資源へアクセスがあった場合に、アクセス制御子機は、アクセス制御親機に該アクセスを通知し、該アクセスの承認をアクセス制御親機から得た場合に該アクセスを認めるので、通常、アクセスが拒否されているクライアントコンピュータからサーバコンピュータのネットワーク資源へのアクセスでも、アクセスを認め、動的にアクセス権を変更することができる。 In the access control system and the access control method configured as described above, when a predetermined client computer accesses a predetermined network resource of the server computer, the access control slave unit notifies the access control master unit of the access. Since the access is granted when the access approval is obtained from the access control master unit, the access is normally permitted even when accessing the network resource of the server computer from the client computer to which the access is denied. The right can be changed.
以下、本発明に係る実施形態を図面に基づいて説明する。なお、各図において同一の符号を付した構成は、同一の構成であることを示し、その説明を省略する。
(実施形態の構成)
図1は、実施形態に係るネットワークの構成を示す図である。図2は、実施形態に係るアクセス制御子機の構成を示すブロック図である。図3は、実施形態に係るアクセス制御親機の構成を示すブロック図である。図4は、実施形態に係る承認者マスタ情報テーブルの構成を示す図である。図5は、実施形態に係るアクティブ承認者情報テーブルの構成を示す図である。図6は、ログ情報テーブルの構成を示す図である。図7は、承認者が利用するコンピュータの構成を示す図である。図8は、利用者確認情報テーブルの構成を示す図である。
Embodiments according to the present invention will be described below with reference to the drawings. In addition, the structure which attached | subjected the same code | symbol in each figure shows that it is the same structure, The description is abbreviate | omitted.
(Configuration of the embodiment)
FIG. 1 is a diagram illustrating a configuration of a network according to the embodiment. FIG. 2 is a block diagram illustrating a configuration of the access control slave device according to the embodiment. FIG. 3 is a block diagram illustrating a configuration of the access control master according to the embodiment. FIG. 4 is a diagram illustrating a configuration of the approver master information table according to the embodiment. FIG. 5 is a diagram illustrating a configuration of an active approver information table according to the embodiment. FIG. 6 is a diagram showing the configuration of the log information table. FIG. 7 is a diagram illustrating a configuration of a computer used by an approver. FIG. 8 is a diagram showing the configuration of the user confirmation information table.
図1において、ネットワーク1は、アクセス制御親機11と、アクセス制御子機12と、ファイルサーバ(FS)13と、コンピュータ14、16と、確認装置15と、DHCP(Dynamic Host Configuration Protocol)サーバ17と、DNS(Domain Name System)サーバ18と、PDC(Primary Domain Controller)サーバ19とを備え、これらアクセス制御親機11、アクセス制御子機12、コンピュータ14、16、確認装置15、DHCPサーバ17、DNSサーバ18及びPDCサーバ19は、有線又は無線の伝送路20によって相互に通信可能に接続され、アクセス制御子機12及びファイルサーバ13は、有線又は無線の伝送路21によって相互に通信可能に接続される。これらアクセス制御親機11とアクセス制御子機12とは、アクセス制御システムを構成する。
In FIG. 1, a network 1 includes an access
DHCPサーバ17は、IPアドレス等のネットワーク1に接続するために必要な情報を管理して、コンピュータ14、16等のDHCPサーバ17にとってのクライアントコンピュータに、ネットワーク1への接続時に動的にIPアドレス等の必要な情報を割り当てると共に終了時にIPアドレスを回収するサーバコンピュータである。
The DHCP
DNSサーバ18は、ホスト名とIPアドレスの対応関係を記述したデータベースを管理して、コンピュータ14、16等のDNSサーバ18にとってのクライアントコンピュータからの要求に応じてホスト名からそのIPアドレスを検索し、検索結果をクライアントコンピュータに返信するサーバコンピュータである。
The
PDCサーバ19は、ネットワーク1のユーザやセキュリティに関する情報を管理し、ユーザ認証を行うサーバコンピュータである。
The
ファイルサーバ13は、ファイルを管理して、コンピュータ16からの要求に応じてコンピュータ16にファイルの利用を提供するサーバコンピュータである。ファイルの利用には、ファイルの閲覧、コンピュータ16へのファイルのダウンロード(送信)、コンピュータ16からのファイルのアップロード(受信)及びファイルの書換え等の各サービスが含まれ、ネットワーク1の運用に応じて1又は複数のサービスが適宜に選択される。
The
コンピュータ16は、ファイルサーバ13からファイルの利用の提供を受けるファイルサーバ13にとってのクライアントコンピュータであり、ファイルサーバ13におけるファイルの利用を望む利用者によって使用され得る。コンピュータ16は、1又は複数が伝送路20に接続されており、図1に示す例では、利用者Aが使用するコンピュータ(PCA)16−A、及び、利用者Bが使用するコンピュータ(PCB)16−Bが示されている。
The
ここで、本明細書において、総称する場合には添え字を省略した参照符号で示し、個別の構成を指す場合には添え字を付した参照符号で示す。 Here, in this specification, when referring generically, it shows with the reference symbol which abbreviate | omitted the suffix, and when referring to an individual structure, it shows with the reference symbol which attached the suffix.
確認装置15は、ファイルの利用の承認を要求している利用者が本人であるか否かを承認者が確認するための装置であり、利用者に対応させて設けられている。図1に示す例では、利用者Aに対応して確認装置A15−Aが設けられ、そして、利用者Bに対応して確認装置B15−Bが設けられている。確認装置15は、本実施形態では、例えば、被写体を撮像する撮像部とこの撮像部で撮像した被写体の画像を管理しネットワーク1を介して配信するウェブサーバ部とを備えるネットワークカメラ(PCカメラ)であり、ネットワークカメラによって撮像された画像(静止画又は動画)が承認者が利用するコンピュータ14に例えばウェブブラウザ(Web Browser)によって表示されるようになっている。
The
なお、例えば、被写体を撮像する撮像部とコンピュータ16と通信するための通信インタフェース部とを備えるウェブカメラを用意すると共に、このウェブカメラと通信するための通信インタフェース部とウェブカメラで撮像した被写体の画像を管理しネットワーク1を介して配信するウェブサーバ部とをコンピュータ16に備えさせることによって、ウェブカメラとコンピュータ16とによってネットワークカメラを構成してもよい。
For example, a web camera including an imaging unit that captures an image of a subject and a communication interface unit for communicating with the
アクセス制御子機12は、コンピュータ16のファイルサーバ13へのアクセスを検出し、この検出したアクセスが予め定められた種類のアクセスである場合にこのアクセスをアクセス制御親機11に通知すると共に、この通知に対しアクセス制御親機11から通知されたアクセスの承認及び不承認の指示に応じてその通過及び遮断を行うことにより、コンピュータ16のファイルサーバ13へのアクセスを制御する装置である。アクセス制御子機12は、例えば、図2に示すように、演算処理部201と、記憶部202と、第1通信インタフェース部203と、第2通信インタフェース部204とを備える。
The access
第1通信インタフェース部203は、伝送路20に接続され、伝送路20を介してコンピュータ16及びアクセス制御親機11等との間で通信信号をそれぞれ送受信するためのインタフェース回路であり、演算処理部201からのデータに基づいて伝送路20の通信プロトコルに従った通信信号を作成すると共に伝送路20からの通信信号を演算処理部201が処理可能な形式のデータに変換する。第2通信インタフェース部204は、伝送路21に接続され、伝送路21を介してファイルサーバ13との間で通信信号をそれぞれ送受信するためのインタフェース回路であり、演算処理部201からのデータに基づいて伝送路21の通信プロトコルに従った通信信号を作成すると共に伝送路21からの通信信号を演算処理部201が処理可能な形式のデータに変換する。通信プロトコルには、例えばTCP/IP(Transmission Control Protocol/Internet Protocol)等が用いられる。
The first
記憶部202は、機能的に、MAC情報を記憶するMAC情報記憶部221と、IPアドレス情報を記憶するIPアドレス情報記憶部222と、ポート番号情報を記憶するポート番号情報記憶部223と、コマンド情報を記憶するコマンド情報記憶部224と、パラメータ情報を記憶するパラメータ情報記憶部225とを備え、コンピュータ16からファイルサーバ13への通信信号を検出すると共にその通信信号の通過及び遮断を制御するアクセス制御プログラム等の各種プログラム、及び、各種プログラムの実行に必要なデータやその実行中に生じるデータ等の各種データを記憶する。記憶部202は、例えば、演算処理部201の所謂ワーキングメモリとなるRAM(Random Access Memory)等の揮発性の記憶素子、ROM(Read Only Memory)等の不揮発性の記憶素子、及び、MAC情報やIPアドレス情報やポート番号情報等の書換える可能性のあるデータを記憶するために充分な容量に応じた、書換え可能な不揮発性の記憶素子であるEEPROM(Electrically Erasable Programmable Read Only Memory)等を備えて構成される。
The
MAC情報は、コンピュータ16からアクセス制御子機12を介してファイルサーバ13へ送信される通信信号のうち、アクセス制御子機12を通過する場合にアクセス制御親機11の許可が必要な通信信号のMACアドレス(Media Access Control Address)を表す情報である。本実施形態では、MAC情報としてMACアドレスがそのままMAC情報記憶部221に記憶される。
The MAC information is a communication signal that is transmitted from the
IPアドレス情報は、コンピュータ16からアクセス制御子機12を介してファイルサーバ13へ送信される通信信号のうち、アクセス制御子機12を通過する場合にアクセス制御親機11の許可が必要な通信信号のIPアドレス(Internet Protocol Address)を表す情報である。本実施形態では、IPアドレス情報としてIPアドレスがそのままIPアドレス情報記憶部222に記憶される。
The IP address information is a communication signal transmitted from the
ポート番号情報は、コンピュータ16からアクセス制御子機12を介してファイルサーバ13へ送信される通信信号のうち、アクセス制御子機12を通過する場合にアクセス制御親機11の許可が必要な通信信号のポート番号を表す情報である。本実施形態では、ポート番号情報としてポート番号がそのままポート番号情報記憶部223に記憶される。ポート番号情報は、ネットワーク1で用いられるファイル共有プロトコルに応じて設定され、例えば、本実施形態のように、ファイル共有プロトコルとしてSMB(Server Message Block)が用いられる場合では「137」、「138」及び「139」であり、また例えば、ファイル共有プロトコルとしてCIFS(Common Internet File System)が用いられNetBIOS over TCP/IPの場合では「139」及び「445」であり、また例えば、ファイル共有プロトコルとしてCIFS(Common Internet File System)が用いられDirect Hosting of SMBの場合では「445」である。
The port number information is a communication signal that is transmitted from the
コマンド情報は、コンピュータ16からアクセス制御子機12を介してファイルサーバ13へ送信される通信信号のうち、アクセス制御子機12を通過する場合にアクセス制御親機11の許可が必要な通信信号のコマンドを表す情報である。本実施形態では、コマンド情報としてSMBのコマンドがそのままコマンド情報記憶部224に記憶される。SMBのコマンドのうち、どのようなコマンドがコマンド情報として扱われるかは、ネットワーク1の運用によって適宜設定される。例えば、SMBのコマンドのうち、フォルダの作成(SMB_COM_CREATE_DIRECTORY)やフォルダの削除(SMB_COM_DELETE_DIRECTORY)やファイルのオープン(SMB_COM_OPEN)やファイルの名前変更(SMB_COM_RENAME)等のフォルダ及びファイルの操作に関するコマンドがコマンド情報とされる。
The command information is a communication signal transmitted from the
パラメータ情報は、コンピュータ16からアクセス制御子機12を介してファイルサーバ13へ送信される通信信号のうち、アクセス制御子機12を通過する場合にアクセス制御親機11の許可が必要な通信信号のパラメータを表す情報である。本実施形態では、SMBが用いられるので、パラメータ情報としてSMBのコマンドにおけるパラメータがそのままパラメータ情報記憶部225に記憶される。SMBのコマンドにおけるパラメータのうち、どのようなパラメータがパラメータ情報として扱われるかは、ネットワーク1の運用によって適宜設定される。パラメータ情報は、本実施形態では、例えば、コンピュータ16の利用者がアクセスする場合に承認者の承認を必要とするフォルダ名やファイル名である。
The parameter information is a communication signal that is transmitted from the
演算処理部201は、例えば、マイクロプロセッサ及びその周辺回路等を備えて構成され、コンピュータ16のファイルサーバ13へのアクセスを検出し、この検出したアクセスが予め定められた種類のアクセスである場合にこのアクセスをアクセス制御親機11に通知し、この通知に対しアクセス制御親機11から通知されたアクセスの承認及び不承認の指示に応じてその通過及び遮断を行うと共に、制御プログラムに従って記憶部202、第1及び第2通信インタフェース部203、204を当該機能に応じてそれぞれ制御する。演算処理部201は、コンピュータ16のファイルサーバ13へのアクセスを検出し、この検出したアクセスが予め定められた種類のアクセスである場合にこのアクセスをアクセス制御親機11に通知し、この通知に対しアクセス制御親機11から通知されたアクセスの承認及び不承認の指示に応じてその通過及び遮断を行うために、機能的に、通過遮断処理部211と、MAC比較部212と、IPアドレス比較部213と、ポート番号比較部214と、コマンド比較部215と、パラメータ比較部216と、タイマ部217とを備える。
The
通過遮断処理部211は、第1通信インタフェース部203から通信信号を受信すると、この受信した通信信号を記憶部202に一時的に記憶し、この記憶部202におけるこの通信信号の記憶位置を示す位置情報をMAC比較部212に通知する。通過遮断処理部211は、MAC比較部212、IPアドレス比較部213、ポート番号比較部214、コマンド比較部215、パラメータ比較部216及びタイマ部217の何れかからこの通信信号に対する通過を指示する旨の通知(通過指示通知)を受けた場合にこの受信した通信信号を通過させる(ファイルサーバ13へ転送する)と共にログを記録するためにこの通過させた通信信号の複製を第1通信インタフェース部203を介してアクセス制御親機11に送信する。そして、通過遮断処理部211は、タイマ部217から承認者による通過の承認が必要である旨の通知(承認要求通知)を受けた場合に、この受信した通信信号における通過の許否を問い合せる通信信号(通過問合せ信号)を第1通信インタフェース部203を用いてアクセス制御親機11に送信し、第1通信インタフェース部203を介して受信したアクセス制御親機11の承認及び不承認の指示に応じてその通過及び遮断を行う。
When the passage blocking
MAC比較部212は、受信した通信信号に係る位置情報が通過遮断処理部211から通知されると、この通知された位置情報に基づいて記憶部202に記憶されている通信信号を特定して送信元のMACアドレスを取り出し、この取り出した送信元のMACアドレスとMAC情報記憶部221に記憶されているMAC情報とを比較し、この比較の結果に応じて通過遮断処理部211に対する通過指示通知の通知及びIPアドレス比較部213に対するこの通信信号に係る位置情報の通知のうちの何れかを行う。
When the location information related to the received communication signal is notified from the passage blocking
IPアドレス比較部213は、受信した通信信号に係る位置情報がMAC比較部212から通知されると、この通知された位置情報に基づいて記憶部202に記憶されている通信信号を特定して送信元のIPアドレスを取り出し、この取り出した送信元のIPアドレスとIPアドレス情報記憶部222に記憶されているIPアドレス情報とを比較し、この比較の結果に応じて通過遮断処理部211に対する通過指示通知の通知及びポート番号比較部214に対するこの通信信号に係る位置情報の通知のうちの何れかを行う。
When the location information related to the received communication signal is notified from the
ポート番号比較部214は、受信した通信信号に係る位置情報がIPアドレス比較部213から通知されると、この通知された位置情報に基づいて記憶部202に記憶されている通信信号を特定して送信先のポート番号を取り出し、この取り出した送信先のポート番号とポート番号情報記憶部223に記憶されているポート番号情報とを比較し、この比較の結果に応じて通過遮断処理部211に対する通過指示通知の通知及びコマンド比較部215に対するこの通信信号に係る位置情報の通知のうちの何れかを行う。
When the location information related to the received communication signal is notified from the IP
コマンド比較部215は、受信した通信信号に係る位置情報がポート番号比較部214から通知されると、この通知された位置情報に基づいて記憶部202に記憶されている通信信号を特定してSMBのコマンドを取り出し、この取り出したSMBのコマンドとコマンド情報記憶部224に記憶されているコマンド情報とを比較し、この比較の結果に応じて通過遮断処理部211に対する通過指示通知の通知及びパラメータ比較部216に対するこの通信信号に係る位置情報の通知のうちの何れかを行う。
When the position information related to the received communication signal is notified from the port
パラメータ比較部216は、受信した通信信号に係る位置情報がコマンド比較部215から通知されると、この通知された位置情報に基づいて記憶部202に記憶されている通信信号を特定してSMBにおけるコマンドのパラメータを取り出し、この取り出したSMBにおけるコマンドのパラメータとパラメータ情報記憶部225に記憶されているパラメータ情報とを比較し、この比較の結果に応じて通過遮断処理部211に対する通過指示通知の通知及びタイマ部217に対するこの通信信号に係る位置情報の通知のうちの何れかを行う。
When the position information related to the received communication signal is notified from the
タイマ部217は、アクセス制御親機11から自機の通過を許可された通信信号ごとに該許可の通知を受信した時点から所定時間の計時を行う。そして、タイマ部217は、受信した通信信号に係る位置情報がパラメータ比較部216から通知されると、この通知された位置情報に基づいてこの通信信号を特定して、この通信信号に対応する計時が行われている場合には、通過遮断処理部211に通過指示通知を通知し、この通知された通信信号に対応する計時が行われていない場合には、この通知された通信信号に対する承認要求通知を通過遮断処理部211に通知する。例えば、タイマ部217は、この通知された位置情報に基づいて記憶部202に記憶されている通信信号を特定して送信元のMACアドレス及び/又は送信元のIPアドレスとSMBのコマンドにおけるパラメータとの組に対応させて所定時間の計時を行う個別のタイマを生成し、そして、受信した通信信号に係る位置情報がパラメータ比較部216から通知されると、この通知された位置情報に基づいてこの通信信号を特定して送信元のMACアドレス及び/又は送信元のIPアドレスとSMBのコマンドにおけるパラメータとを取り出し、この取り出した送信元のMACアドレス及び/又は送信元のIPアドレスとSMBのコマンドにおけるパラメータとの組に対応するタイマを検索することによって、この通信信号に対応する計時が行われているか否かを判断し、判断の結果に応じて通過遮断処理部211に通過指示通知又は承認要求通知を通知する。
The
ここで、請求項のクライアントコンピュータを識別するための第1識別情報は、上記送信元のMACアドレス及び/又は送信元のIPアドレスがその一例に相当し、請求項のネットワーク資源を識別するための第2識別情報は、上記SMBのコマンドにおけるパラメータがその一例に相当し、請求項の情報記憶部は、上記MAC情報記憶部221、IPアドレス情報記憶部222、ポート番号情報記憶部223、コマンド情報記憶部224及びパラメータ情報記憶部225がその一例に相当し、請求項のアクセス処理部は、上記通過遮断処理部211、MAC比較部212、IPアドレス比較部213、ポート番号比較部214、コマンド比較部215、パラメータ比較部216及びタイマ部217がその一例に相当する。
Here, the first identification information for identifying the client computer of the claim corresponds to an example of the MAC address of the transmission source and / or the IP address of the transmission source, and for identifying the network resource of the claim The second identification information corresponds to an example of a parameter in the SMB command. The information storage unit of the claims includes the MAC
図1に戻って、アクセス制御親機11は、アクセス制御子機12から通過問合せ信号を受信すると、通過問合せ信号に係る通信信号における通過の許否を調べる許否処理を実行し、この許否処理の結果をアクセス制御子機12に返信する処理を実行する装置である。本実施形態では、アクセス制御親機11は、アクセス制御子機12から通過問合せ信号を受信すると、通過問合せ信号に係る通信信号の通過の許否を判断する権限を有する承認者が利用するコンピュータ14に当該通信信号の通過の承認を要求する通信信号(承認要求信号)を送信し、この承認要求信号に対する返信を受信することによって、通過問合せ信号に係る通信信号における通過の許否を調べ、この結果をアクセス制御子機12に返信する。アクセス制御親機11は、例えば、図3に示すように、演算処理部101と、記憶部102と、通信インタフェース部103と、入力部104と、出力部105とを備える。
Returning to FIG. 1, when the access
通信インタフェース部103は、伝送路20に接続され、伝送路20を介してアクセス制御子機12及びコンピュータ14等との間で通信信号をそれぞれ送受信するためのインタフェース回路であり、演算処理部101からのデータに基づいて伝送路20の通信プロトコルに従った通信信号を作成すると共に伝送路20からの通信信号を演算処理部101が処理可能な形式のデータに変換する。
The
記憶部102は、機能的に、環境情報を記憶する環境情報記憶部121と、承認者マスタ情報を記憶する承認者マスタ情報記憶部122と、アクティブ承認者情報を記憶するアクティブ承認者情報記憶部123と、ログ情報を記憶するログ情報記憶部124とを備え、アクセス制御子機12からの通過問合せ信号に応じてこの通過問合せ信号に係る通信信号における通過の許否を調べる処理する許否処理プログラム等の各種プログラム、及び、各種プログラムの実行に必要なデータやその実行中に生じるデータ等の各種データを記憶する。記憶部102は、例えば、演算処理部101の所謂ワーキングメモリとなるRAM等の揮発性の記憶素子、ROM等の不揮発性の記憶素子、及び、環境情報、承認者マスタ情報、アクティブ承認者情報及びログ情報等の書換える可能性のあるデータを記憶するために充分な容量に応じた、書換え可能な不揮発性の記憶素子であるEEPROMや比較的大容量の記憶装置であるハードディスク等を備えて構成される。
The
環境情報は、DHCPサーバ17やDNSサーバ18やPDCサーバ等のIPアドレス及びワークグループ名等のネットワーク1で通信を行うために必要な情報である。
The environment information is information necessary for communication on the network 1 such as the IP address and work group name of the
承認者マスタ情報は、利用者によるコンピュータ16からファイルサーバ13のフォルダやファイルへのアクセスを承認する権限を有する承認者の情報であり、利用者を特定する利用者情報と、アクセスの対象であるフォルダやファイルを特定するネットワーク資源情報と、当該利用者のアクセスを承認する権限を有する承認者を特定する承認者情報とを備えて構成される。承認者マスタ情報は、本実施形態では、テーブル形式で承認者マスタ情報記憶部122に記憶されており、承認者マスタ情報を登録する承認者マスタ情報テーブル130は、例えば図4に示すように、利用者が利用するコンピュータを特定し識別する識別子であるアクセス装置識別子を登録するアクセス装置情報フィールド131、ネットワーク資源情報を登録するネットワーク資源情報フィールド132、及び、承認者が利用するコンピュータを特定し識別する識別子である承認装置識別子を登録する承認装置情報サブフィールド1331と承認者が当該コンピュータを利用して承認を実行し得る状況にあるか否かの情報(承認装置状態情報)を登録する承認装置状態サブフィールド1332とから構成される承認情報フィールド133の各フィールドを備えて構成され、アクセス装置識別子とネットワーク資源情報との組に応じてレコードが作成される。承認情報フィールド133には、1個のアクセス装置識別子とネットワーク資源情報との組に対し、複数の承認者からの承認を得てアクセス可能とする観点から、承認装置情報サブフィールド1331と承認装置状態サブフィールド1332との組が複数備えられる。
The approver master information is information of an approver who has the authority to approve the user's access to the folders and files of the
アクセス装置識別子は、利用者情報として用いられ、コンピュータ16を特定し識別することができれば、任意の符号列(1符号も含む)でよいが、コンピュータ16にアクセス装置識別子を新たに組み込んだり、通信信号にアクセス装置識別子を新たに組み込んだりする必要がないことから、既存の例えばMACアドレスやIPアドレス等が好適であり、本実施形態ではIPアドレスが利用される。ネットワーク資源情報は、本実施形態では、フォルダ名(ディレクトリ名)やファイル名が利用される。承認装置識別子は、承認者情報として用いられ、コンピュータ14を特定し識別することができれば、任意の符号列(1符号も含む)でよいが、上記と同様の理由から既存の例えばMACアドレスやIPアドレス等が好適であり、本実施形態ではIPアドレスが利用される。承認装置状態情報は、本実施形態では、承認者が当該コンピュータを利用して承認を実行し得る状況にあることを表す符号(例えば「アクティブ」、あるいは「在席」等)、及び、承認者が当該コンピュータを利用して承認を実行し得る状況にないことを表す符号(例えば、「スリープ」、あるいは「不在」等)によって示される。
The access device identifier is used as user information, and may be an arbitrary code string (including one code) as long as the
アクティブ承認者情報は、例えば欠勤や不在等の理由で承認者がコンピュータ14を利用し得ない状況にあるために承認を実行できない場合に対処するために、承認者マスタ情報のうち当該時点において承認を実行し得る状況にある承認者の情報である。アクティブ承認者情報は、本実施形態では、テーブル形式でアクティブ承認者情報記憶部123に記憶されており、アクティブ承認者情報を登録するアクティブ承認者情報テーブル140は、例えば図5に示すように、アクセス装置識別子を登録するアクセス装置情報フィールド141、ネットワーク資源情報を登録するネットワーク資源情報フィールド142、及び、承認装置識別子を登録する承認装置情報フィールド143の各フィールドを備えて構成され、アクセス装置識別子とネットワーク資源情報との組に応じてレコードが作成される。承認装置情報フィールド143は、承認者マスタ情報テーブル130の承認装置情報サブフィールド1331(又は承認装置状態サブフィールド1332)の個数に応じた個数のサブフィールドから構成される。
The active approver information is approved at that time in the approver master information in order to cope with the case where the approver cannot be executed because the approver cannot use the
ログ情報は、コンピュータ16がファイルサーバ13へアクセスした記録に関する情報である。ログ情報は、本実施形態では、コンピュータ14がファイルサーバ13へアクセスした時刻を示すアクセス時刻情報、利用者を特定する利用者情報、承認者を特定する承認者情報、アクセスの対象となったネットワーク資源を示すネットワーク資源情報、及び、アクセスの内容を示すアクセス内容である。ログ情報は、本実施形態では、テーブル形式でログ情報記憶部124に記憶されており、ログ情報を登録するログ情報テーブル150は、例えば図6に示すように、アクセス時刻情報を登録するアクセス時刻情報フィールド151、アクセス装置識別子を登録するアクセス装置情報フィールド152、承認装置識別子を登録する承認装置情報フィールド153、ネットワーク資源情報を登録するネットワーク資源情報フィールド154、及び、アクセスの内容を登録するアクセス内容フィールド155の各フィールドを備えて構成され、アクセスごとにレコードが作成される。
The log information is information relating to the recording that the
アクセスの内容は、本実施形態では、例えば、コンピュータ16がファイルサーバ13にネットワーク資源のアクセスを要求したこと(この場合、アクセス内容フィールド155には例えば「アクセス要求」が登録される。)や、コンピュータ16がファイルサーバ13のネットワーク資源に実際にアクセスしたこと(この場合、アクセス内容フィールド155には例えば「アクセス実行」が登録される)等である。なお、「アクセス実行」の代わりに、ファイルの利用形態(例えば「閲覧」、「ダウンロード」、「アップロード」及び「書換え」等)でもよい。
In this embodiment, for example, the
このような各フィールドを備えることによって、ログ情報テーブル150には、誰が何時どのようなネットワーク資源に対しアクセス要求をしたのか(図6のレコード(A))、アクセス要求に対し誰が承認したのか(図6のレコード(B))、及び、誰が何時どのようなネットワーク資源に対しアクセスを実行したのか(図6のレコード(C))が記録される。 By providing each of these fields, the log information table 150 shows who made an access request to what network resource at what time (record (A) in FIG. 6) and who approved the access request ( The record (B) in FIG. 6 and who accessed what network resource at what time (record (C) in FIG. 6) are recorded.
演算処理部101は、例えば、マイクロプロセッサ及びその周辺回路等を備えて構成され、アクセス制御子機12から通過問合せ信号を受信すると、通過問合せ信号に係る通信信号における通過の許否を調べる許否処理を実行し、この許否処理の結果をアクセス制御子機12に返信する処理を実行し、そして、入力部104からアクセス制御子機12のMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報が入力されると、通信インタフェース部103を用いてこれら情報をアクセス制御子機12に登録すると共に、制御プログラムに従って記憶部102、通信インタフェース部103、入力部104及び出力部105を当該機能に応じてそれぞれ制御する。演算処理部101は、アクセス制御子機12から通過問合せ信号を受信すると、通過問合せ信号に係る通信信号における通過の許否を判断し、この判断結果をアクセス制御子機12に返信する処理を実行するために、機能的に、初期設定処理部111と、承認要求処理部112と、承認プロセストリガ部113と、承認プロセス処理部114と、承認要求応答処理部115と、アクティブ承認者処理部118とを備え、入力部104からアクセス制御子機12のMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報が入力されると、通信インタフェース部103を用いてこれら情報をアクセス制御子機12に登録する処理を実行するために、機能的に、初期設定処理部111を備え、そして、コンピュータ16からファイルサーバ13へのログを記録するために、機能的に、カレンダ部116とログ処理部(ロガー)117とを備える。
The
初期設定処理部111は、入力部104から環境情報が入力されるとこの環境情報を記憶部102の環境情報記憶部121に記憶し、入力部104から承認者マスタ情報が入力されるとこの承認者マスタ情報を記憶部102の承認者マスタ情報記憶部122に記憶し、コンピュータ14から承認装置状態の変更要求を受付けると承認装置状態を変更すると共にアクティブ承認者処理部118を起動するトリガをアクティブ承認者処理部118に通知し、そして、入力部104からアクセス制御子機12のMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報が入力されると、通信インタフェース部103を用いてこれら情報をアクセス制御子機12に登録する処理を実行する。
When the environment information is input from the
承認要求処理部112は、通信インタフェース部103で受信した通信信号の中から通過問合せ信号を検出し、通過問合せ信号が検出されると、キューと呼ばれるファイルに一旦蓄積し、順次に通過問合せ信号を検出した旨を承認プロセストリガ部113に通知する。承認プロセストリガ部113は、承認要求処理部112から通過問合せ信号を検出した旨の通知を受けると、承認プロセスを起動する。承認プロセス処理部114は、通過問合せ信号に係る通信信号における通過の許否を判断し、この判断結果を承認要求応答処理部115に通知する。承認要求応答処理部115は、この判断結果をキューに一旦蓄積し、順次にこの判断結果をアクセス制御子機12に返信する処理を実行する。アクティブ承認者処理部118は、初期設定処理部111から起動のトリガを受付けると、承認者マスタ情報記憶部122に記憶されている承認者マスタ情報に基づいてアクティブ承認者情報を生成し、この生成したアクティブ承認者情報をアクティブ承認者情報記憶部123に記憶し、更新する。
The approval
カレンダ部116は、年月日時分秒の計時を行い、ログ処理部117から時刻の問合せを受けると現在の年月日時分秒をログ処理部117に通知する。ログ処理部117は、カレンダ部116に現在時刻の問合せを行って、ログ情報をログ情報記憶部124に記憶する。
The
入力部104は、運用開始コマンド等の各種コマンド、及び、承認者マスタ情報等の各種データをアクセス制御親機11に入力すると共に、アクセス制御子機12のMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報を入力する機器であり、例えば、キーボードやマウス等である。出力部105は、入力部104から入力されたコマンドやデータ等を出力する機器であり、例えばCRTディスプレイ、LCD、有機ELディスプレイ又はプラズマディスプレイ等の表示装置やプリンタ等の印字装置等である。
The
ここで、請求項の通信部は、請求項の許否処理部は、承認要求処理部112、承認プロセストリガ部113及び承認プロセス処理部114がその一例に相当し、請求項の通知処理部は、承認要求応答処理部115がその一例に相当する。
Here, the communication unit of the claim corresponds to the approval
コンピュータ14は、承認者によって使用され得、アクセス制御親機11の要求に応じて、承認者から利用者による利用を承認するか否かを示す情報を受付け、受付けた情報をアクセス制御親機11に通知するネットワーク端末である。コンピュータ14は、1又は複数が伝送路20に接続されており、図1に示す例では、承認者Xが使用するコンピュータ(PCX)14−X、及び、承認者Yが使用するコンピュータ(PCY)14−Yが示されている。
The
コンピュータ14は、例えば、図7に示すように、演算処理部401と、記憶部402と、通信インタフェース部403と、入力部404と、出力部405とを備える。
For example, as illustrated in FIG. 7, the
通信インタフェース部403は、伝送路20に接続され、伝送路20を介してアクセス制御親機11及び確認装置15等との間で通信信号をそれぞれ送受信するためのインタフェース回路であり、演算処理部401からのデータに基づいて伝送路20の通信プロトコルに従った通信信号を作成すると共に伝送路20からの通信信号を演算処理部401が処理可能な形式のデータに変換する。
The
記憶部402は、機能的に、利用者確認情報を記憶する利用者確認情報記憶部421を備え、各種プログラム、及び、各種プログラムの実行に必要なデータやその実行中に生じるデータ等の各種データを記憶する。記憶部402は、例えば、演算処理部401の所謂ワーキングメモリとなるRAM等の揮発性の記憶素子、ROM等の不揮発性の記憶素子、及び、利用者情報等の書換える可能性のあるデータを記憶するために充分な容量に応じた、書換え可能な不揮発性の記憶素子であるEEPROMや比較的大容量の記憶装置であるハードディスク等を備えて構成される。
The
利用者確認情報は、承認を求めている利用者が利用者本人であるか否かを確認するための情報であり、本実施形態では、例えば、利用者の利用者名と、当該利用者名の利用者が利用するコンピュータ16のアクセス装置識別子(本実施形態ではIPアドレス)と、当該利用者名の利用者が利用者本人であるか否かを確認する確認装置15を特定し識別する識別子(確認装置識別子)とを備える。確認装置識別子は、確認装置15を特定し識別することができれば、任意の符号列(1符号も含む)でよいが、本実施形態では確認装置15がネットワークカメラであるのでIPアドレスが利用される。利用者確認情報は、本実施形態では、テーブル形式で利用者確認情報記憶部421に記憶されており、利用者確認情報を登録する利用者確認情報テーブル160は、例えば図8に示すように、コンピュータ16のアクセス装置識別子を登録するアクセス装置情報フィールド161、利用者名を登録する利用者名フィールド162、及び、確認装置識別子(確認装置15のIPアドレス)を登録する確認装置情報フィールド163の各フィールドを備えて構成され、コンピュータ16のIPアドレスごとにレコードが作成される。
The user confirmation information is information for confirming whether the user who is requesting approval is the user himself / herself. In this embodiment, for example, the user name of the user and the user name Identifier identifying and identifying the access device identifier (IP address in this embodiment) of the
演算処理部401は、例えば、マイクロプロセッサ及びその周辺回路等を備えて構成され、機能的に、アクセス制御親機11から承認要求信号を受信するとウェブブラウザ部412を起動するPush受信サービス部411と、利用者を確認し、承認又は不承認を行うべく、後述の承認要求ページを出力部405に表示するウェブブラウザ部412とを備え、制御プログラムに従って記憶部402、通信インタフェース部403、入力部404及び出力部405を当該機能に応じてそれぞれ制御する。
The
入力部404は、各種コマンド及び各種データをコンピュータ14に入力する機器であり、例えば、キーボードやマウス等である。出力部405は、入力部404から入力されたコマンドやデータ等を出力する機器であり、例えばCRTディスプレイ、LCD、有機ELディスプレイ又はプラズマディスプレイ等の表示装置やプリンタ等の印字装置等である。
The
次に、本実施形態の動作について説明する。
(実施形態の動作)
まず、アクセス制御親機11及びアクセス制御子機12を運用する前に、システム管理者等のユーザは、アクセス制御親機11の入力部104を用いて、環境情報及び承認者マスタ情報を入力する。これら環境情報及び承認者マスタ情報の各情報が入力されると、演算処理部101の初期設定処理部111は、これら環境情報及び承認者マスタ情報を記憶部102の環境情報記憶部121及び承認者マスタ情報記憶部122にそれぞれ記憶する。
Next, the operation of this embodiment will be described.
(Operation of the embodiment)
First, before operating the access
そして、ユーザは、アクセス制御親機11の入力部104を用いて、アクセス制御子機12のMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報を入力する。これらMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報の各情報が入力されると、演算処理部101の初期設定処理部111は、これらMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報の各情報とこれら各情報を記憶部202に登録する指示とを収容した通信信号(設定情報信号)を作成し、この設定情報信号を通信インタフェース部103を用いてアクセス制御子機12に送信する。この設定情報信号を伝送路20を介して第1通信インタフェース部203で受信すると、アクセス制御子機12の演算処理部201はこれらMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報を記憶部202のMAC情報記憶部221、IPアドレス情報記憶部222、ポート番号情報記憶部223、コマンド情報記憶部224及びパラメータ情報記憶部225にそれぞれ記憶する。このようにアクセス制御子機12のMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報は、アクセス制御親機11を介して記憶部202に記憶されるので、アクセス制御子機12に入力部や出力部を必ずしも備える必要がなく、コストを削減することができ、小型化することができる。
Then, the user inputs the MAC information, IP address information, port number information, command information, and parameter information of the access
このような各情報がアクセス制御親機11及びアクセス制御子機12にそれぞれ記憶されると、これらアクセス制御親機11及びアクセス制御子機12の運用が開始される。
When such information is stored in the access
承認者は、コンピュータ14を利用して承認を実行し得る状況になると、承認可能である旨を収容した通信信号(承認可能通知信号)をアクセス制御親機11に送信する。アクセス制御親機11の演算処理部101における初期設定処理部111は、この承認可能通知信号を受信すると、承認可能通知信号のIPアドレスを取り出し、この取り出したIPアドレスを承認情報フィールド133の承認装置情報サブフィールド1331に登録するレコードを検索し、検索したレコードにおける承認装置状態サブフィールド1332に本実施形態では「アクティブ」を登録する。そして、初期設定処理部111は、アクティブ承認者処理部118を起動するトリガをアクティブ承認者処理部118に通知する。この通知を受付けると、承認者マスタ情報記憶部122に記憶されている承認者マスタ情報に基づいてアクティブ承認者情報を生成し、この生成したアクティブ承認者情報をアクティブ承認者情報記憶部123に記憶する。
When the approver is in a situation where the approval can be executed using the
一方、承認者は、コンピュータ14を利用して承認を実行し得ない状況になると、承認不可能である旨を収容した通信信号(承認不可通知信号)をアクセス制御親機11に送信する。アクセス制御親機11の演算処理部101における初期設定処理部111は、この承認不可通知信号を受信すると、承認不可通知信号のIPアドレスを取り出し、この取り出したIPアドレスを承認情報フィールド133の承認装置情報サブフィールド1331に登録するレコードを検索し、検索したレコードにおける承認装置状態サブフィールド1332に本実施形態では「スリープ」を登録する。そして、初期設定処理部111は、アクティブ承認者処理部118を起動するトリガをアクティブ承認者処理部118に通知する。この通知を受付けると、承認者マスタ情報記憶部122に記憶されている承認者マスタ情報に基づいてアクティブ承認者情報を生成し、この生成したアクティブ承認者情報をアクティブ承認者情報記憶部123に記憶する。
On the other hand, if the approver becomes unable to execute approval using the
このように初期設定処理部111及びアクティブ承認者処理部118は、動作するので、承認者が承認を実行し得るか否かの状況に合わせて、略リアルタイムにアクティブ承認者情報記憶部123のアクティブ承認者情報を更新することができる。
Since the initial
図9は、利用者のコンピュータ、確認装置、承認者のコンピュータ、アクセス制御親機、アクセス制御子機及びファイルサーバの動作を説明するためのシーケンスを示す図である。図10及び図11は、アクセス制御子機の動作を示すフローチャートである。図12は、アクセス制御親機の動作を示すフローチャートである。 FIG. 9 is a diagram illustrating a sequence for explaining operations of the user computer, the confirmation device, the approver computer, the access control master, the access control slave, and the file server. 10 and 11 are flowcharts showing the operation of the access control slave unit. FIG. 12 is a flowchart showing the operation of the access control master unit.
図9において、利用者のコンピュータ16は、ファイルサーバ13のネットワーク資源、例えばファイルを利用するために、ファイルサーバ13へアクセス要求を送信する(C11)。このアクセス要求の通信信号は、伝送路20を介してアクセス制御子機12に受信される。
In FIG. 9, the user's
通信信号を受信すると、図10及び図11において、アクセス制御子機12の演算処理部201における通過遮断処理部211は、この受信した通信信号を記憶部202に一時的に記憶し、この記憶部202におけるこの通信信号の記憶部202における記憶位置を示す位置情報をMAC比較部212に通知する(S11)。
When the communication signal is received, in FIG. 10 and FIG. 11, the passage blocking
次に、アクセス制御子機12の演算処理部201は、通過の承認を受けるべきMACアドレスを持つ通信信号であるか否かを判断する(S12)。判断の結果、通過の承認を受けるべきMACアドレスを持つ通信信号であると判断した場合(Yes)には、アクセス制御子機12の演算処理部201は、処理S13を実行し、一方、この判断の結果、通過の承認を受けるべきMACアドレスを持つ通信信号ではないと判断した場合(No)には、アクセス制御子機12の演算処理部201は、処理S23を実行する。
Next, the
より具体的には、本実施形態では、受信した通信信号に係る位置情報の通知を受けると、アクセス制御子機12の演算処理部201におけるMAC比較部212は、この通知を受けた位置情報に基づいて記憶部202に記憶されている通信信号を特定して通信信号における送信元のMACアドレスを取り出し、この取り出したMACアドレスとMAC情報記憶部221に記憶されているMAC情報とを比較し、MAC情報にこの取り出したMACアドレスと一致するMAC情報があるか否かを判断する。この判断の結果、一致するMAC情報がある場合には、MAC比較部212は、この受信した通信信号が通過の承認を受けるべきMACアドレスを持つ通信信号であると判断し、IPアドレス比較部213にこの通信信号に係る位置情報を通知する。一方、この判断の結果、一致するMAC情報がない場合には、MAC比較部212は、この受信した通信信号が通過の承認を受けるべきMACアドレスを持つ通信信号ではないと判断し、通信信号の通過を指示する旨と通信信号に係る位置情報との通知(通過指示通知)を通過遮断処理部211に行う。
More specifically, in this embodiment, when receiving the notification of the position information related to the received communication signal, the
処理S23において、アクセス制御子機12の演算処理部201は、通信信号を第2通信インタフェース部204を用いてファイルサーバ13に転送し、通信信号を通過させる。より具体的には、通過指示通知を受付けると、通過遮断処理部211は、通信信号に係る位置情報に基づいて記憶部202に記憶しておいた通信信号を取り出し、この通信信号を第2通信インタフェース部204を用いてファイルサーバ13に転送する。
In process S23, the
処理S13において、アクセス制御子機12の演算処理部201は、通過の承認を受けるべきIPアドレスを持つ通信信号であるか否かを判断する。判断の結果、通過の承認を受けるべきIPアドレスを持つ通信信号であると判断した場合(Yes)には、アクセス制御子機12の演算処理部201は、処理S14を実行し、一方、この判断の結果、通過の承認を受けるべきIPアドレスを持つ通信信号ではないと判断した場合(No)には、アクセス制御子機12の演算処理部201は、処理S23を実行する。
In step S13, the
より具体的には、本実施形態では、受信した通信信号に係る位置情報の通知を受けると、アクセス制御子機12の演算処理部201におけるIPアドレス比較部213は、この通知を受けた位置情報に基づいて記憶部202に記憶されている通信信号を特定して通信信号における送信元のIPアドレスを取り出し、この取り出したIPアドレスとIPアドレス情報記憶部222に記憶されているIPアドレス情報とを比較し、IPアドレス情報にこの取り出したIPアドレスと一致するIPアドレス情報があるか否かを判断する。この判断の結果、一致するIPアドレス情報がある場合には、IPアドレス比較部213は、この受信した通信信号が通過の承認を受けるべきIPアドレスを持つ通信信号であると判断し、ポート番号比較部214にこの通信信号に係る位置情報を通知する。一方、この判断の結果、一致するIPアドレス情報がない場合には、IPアドレス比較部213は、この受信した通信信号が通過の承認を受けるべきIPアドレスを持つ通信信号ではないと判断し、通過遮断処理部211に通過指示通知を通知する。
More specifically, in the present embodiment, upon receiving the notification of the position information related to the received communication signal, the IP
処理S14において、アクセス制御子機12の演算処理部201は、通過の承認を受けるべきポート番号を持つ通信信号であるか否かを判断する。判断の結果、通過の承認を受けるべきポート番号を持つ通信信号であると判断した場合(Yes)には、アクセス制御子機12の演算処理部201は、処理S15を実行し、一方、この判断の結果、通過の承認を受けるべきポート番号を持つ通信信号ではないと判断した場合(No)には、アクセス制御子機12の演算処理部201は、処理S23を実行する。
In process S14, the
より具体的には、本実施形態では、受信した通信信号に係る位置情報の通知を受けると、アクセス制御子機12の演算処理部201におけるポート番号比較部214は、この通知を受けた位置情報に基づいて記憶部202に記憶されている通信信号を特定して通信信号における送信先のポート番号を取り出し、この取り出したポート番号とポート番号情報記憶部223に記憶されているポート番号情報とを比較し、ポート番号情報にこの取り出したポート番号と一致するポート番号情報があるか否かを判断する。この判断の結果、一致するポート番号情報がある場合には、ポート番号比較部214は、この受信した通信信号が通過の承認を受けるべきポート番号を持つ通信信号であると判断し、コマンド比較部215にこの通信信号に係る位置情報を通知する。一方、この判断の結果、一致するポート番号情報がない場合には、ポート番号比較部214は、この受信した通信信号が通過の承認を受けるべきポート番号を持つ通信信号ではないと判断し、通過遮断処理部211に通過指示通知を通知する。
More specifically, in the present embodiment, upon receiving the notification of the position information related to the received communication signal, the port
処理S15において、アクセス制御子機12の演算処理部201は、通過の承認を受けるべきSMBのコマンドを持つ通信信号であるか否かを判断する。判断の結果、通過の承認を受けるべきSMBのコマンドを持つ通信信号であると判断した場合(Yes)には、アクセス制御子機12の演算処理部201は、処理S16を実行し、一方、この判断の結果、通過の承認を受けるべきSMBのコマンドを持つ通信信号ではないと判断した場合(No)には、アクセス制御子機12の演算処理部201は、処理S23を実行する。
In process S15, the
より具体的には、本実施形態では、受信した通信信号に係る位置情報の通知を受けると、アクセス制御子機12の演算処理部201におけるコマンド比較部215は、この通知を受けた位置情報に基づいて記憶部202に記憶されている通信信号を特定して通信信号におけるSMBのコマンドを取り出し、この取り出したSMBのコマンドとコマンド情報記憶部224に記憶されているコマンド情報とを比較し、コマンド情報にこの取り出したSMBのコマンドと一致するコマンド情報があるか否かを判断する。この判断の結果、一致するコマンド情報がある場合には、コマンド比較部215は、この受信した通信信号が通過の承認を受けるべきSMBのコマンドを持つ通信信号であると判断し、パラメータ比較部216にこの通信信号に係る位置情報を通知する。一方、この判断の結果、一致するコマンド情報がない場合には、コマンド比較部215は、この受信した通信信号が通過の承認を受けるべきSMBのコマンドを持つ通信信号ではないと判断し、通過遮断処理部211に通過指示通知を通知する。
More specifically, in the present embodiment, when receiving the notification of the position information related to the received communication signal, the
処理S16において、アクセス制御子機12の演算処理部201は、通過の承認を受けるべきSMBのコマンドにおけるパラメータを持つ通信信号であるか否かを判断する。判断の結果、通過の承認を受けるべきSMBのコマンドにおけるパラメータを持つ通信信号であると判断した場合(Yes)には、アクセス制御子機12の演算処理部201は、処理S17を実行し、一方、この判断の結果、通過の承認を受けるべきSMBのコマンドにおけるパラメータを持つ通信信号ではないと判断した場合(No)には、アクセス制御子機12の演算処理部201は、処理S23を実行する。
In process S16, the
より具体的には、本実施形態では、受信した通信信号に係る位置情報の通知を受けると、アクセス制御子機12の演算処理部201におけるパラメータ比較部216は、この通知を受けた位置情報に基づいて記憶部202に記憶されている通信信号を特定して通信信号におけるSMBのコマンドにおけるパラメータを取り出し、この取り出したパラメータとパラメータ情報記憶部225に記憶されているパラメータ情報とを比較し、パラメータ情報にこの取り出したSMBのコマンドにおけるパラメータと一致するパラメータ情報があるか否かを判断する。この判断の結果、一致するパラメータ情報がある場合には、パラメータ比較部216は、この受信した通信信号が通過の承認を受けるべきSMBのコマンドにおけるパラメータを持つ通信信号であると判断し、タイマ部217にこの通信信号に係る位置情報を通知する。一方、この判断の結果、一致するパラメータ情報がない場合には、パラメータ比較部216は、この受信した通信信号が通過の承認を受けるべきSMBのコマンドにおけるパラメータを持つ通信信号ではないと判断し、通過遮断処理部211に通過指示通知を通知する。
More specifically, in the present embodiment, when receiving the notification of the position information related to the received communication signal, the
処理S17において、アクセス制御子機12の演算処理部201は、通過の承認を受けてから所定の時間内であるか否かを判断する。判断の結果、所定の時間を越えている場合(No)には、アクセス制御子機12の演算処理部201は、処理S18を実行し、一方、この判断の結果、所定の時間内である場合(Yes)には、アクセス制御子機12の演算処理部201は、処理S23を実行する。
In process S17, the
より具体的には、本実施形態では、受信した通信信号に係る位置情報の通知を受けると、タイマ部217は、この通知された位置情報に基づいて通信信号を特定して、この通信信号に対応するタイマが計時中であるか否かを判断する。この判断の結果、計時中ではない場合には、タイマ部217は、所定の時間を越えていると判断し、この位置情報で特定される通信信号に対する承認要求通知を通過遮断処理部211に通知する。一方、この判断の結果、計時中である場合には、タイマ部217は、所定の時間内であると判断し、通過遮断処理部211に通過指示通知を通知する。これによって承認者による承認を得てから所定の時間内では、承認者による承認を得ることなく、コンピュータ16は、ファイルサーバ13へアクセスすることができ、承認者の承認の手間を省き、また、利用者が承認を得るまで時間待ちを逐一する必要がなく、利用者のストレスが緩和される。この所定の時間は、利用者の業務内容やネットワーク資源の内容等によって適宜設定され、例えば、5分、10分、30分、60分等に設定される。
More specifically, in the present embodiment, upon receiving the notification of the position information related to the received communication signal, the
処理S18(図9のC12)において、アクセス制御子機12の演算処理部201は、この通信信号に対する通過問合せ信号をアクセス制御親機11に第1通信インタフェース部203を用いて送信する。より具体的には、承認要求通知の通知を受けると、アクセス制御子機12の演算処理部201における通過遮断処理部211は、通過問合せ信号作成し、通過問合せ信号を第1通信インタフェース部203を用いてアクセス制御親機11に送信する。この通過問合せ信号は、通過遮断処理部211によって承認要求通知に係る通信信号から取り出された送信元のIPアドレス及びSMBのコマンドにおけるパラメータ、通過を問い合わせる旨、並びに、当該通過問合せ信号を特定し識別するための識別子(通過問合せ信号識別子)を収容する。この通過問合せ信号識別子は、例えば、所定桁数の乱数が利用される。
In process S18 (C12 in FIG. 9), the
このように、アクセス制御子機12は、コンピュータ16からファイルサーバ13へアクセスする通信信号の中から、通信信号に収容されている送信元のMACアドレス及び送信元のIPアドレスに基づいてMAC情報記憶部221のMAC情報及びIPアドレス情報記憶部222のIPアドレス情報をそれぞれ参照することで、予め設定されているコンピュータ16からの通信信号を抽出し、さらに、通信信号に収容されている送信先のポート番号、SMBのコマンド及びSMBのコマンドにおけるパラメータに基づいてポート番号情報記憶部223のポート番号情報、コマンド情報記憶部224のコマンド情報及びパラメータ情報記憶部225のパラメータ情報をそれぞれ参照することで、予め設定されているネットワーク資源へアクセスする通信信号を抽出することができる。このため、アクセス制御子機12は、承認者の承認が必要なコンピュータ16からファイルサーバ13へのアクセスを自動的に検出することができ、このようなアクセスを検出した場合に、アクセス制御子機12は、受信した通信信号における通過の許否をアクセス制御親機11へ問い合わせることができる。
As described above, the access
一方、アクセス制御親機11は、通信インタフェース部103で通信信号を受信すると、演算処理部101の承認要求処理部112を用いて、通信信号が通過問合せ信号であるか否かを判断する。判断の結果、通信信号が通過問合せ信号ではない場合には、承認要求処理部112は、当該通信信号に応じたプロセストリガ部(不図示)に当該通信信号を受信した旨及び当該通信信号を通知して当該通信信号に応じた処理を行わせ、一方、判断の結果、通信信号が通過問合せ信号である場合には、承認要求処理部112は、通過問合せ信号を受信した旨及び通過問合せ信号を承認プロセストリガ部113に通知する。
On the other hand, when the
この通知を受けると、承認プロセストリガ部113は、通過問合せ信号に収容されている通過問合せに係る通信信号から送信元のIPアドレス、SMBのコマンドにおけるパラメータ及び通過問合せ信号識別子等の必要な各情報を取り出す。そして、承認プロセストリガ部113は、承認プロセス処理部114を起動し、この取り出した各情報を承認プロセス処理部114に通知する。
Upon receipt of this notification, the approval
起動され、各情報の通知を受けると、承認プロセス処理部114は、通過問合せに係る通信信号に対しアクセス制御子機12を通過させファイルサーバ13へアクセスする承認を得るべく、次のように動作する。
Upon being notified and notified of each information, the approval
即ち、図9及び図12において、アクセス制御親機11の演算処理部101における承認プロセス処理部114は、まず、アクティブ承認者の中から通過問合せに係る通信信号に対する通過を承認する権限を有する承認者の特定を行う(S31)。
That is, in FIG. 9 and FIG. 12, the approval
より具体的には、承認プロセス処理部114は、通知を受けたIPアドレス及びSMBのコマンドにおけるパラメータを、アクティブ承認者情報記憶部123に記憶されているアクティブ承認者情報テーブル140におけるアクセス装置情報フィールド141及びネットワーク資源情報142にそれぞれに登録するレコードを検索し、検索したレコードにおける承認装置情報サブフィールド143から承認装置情報を取り出す。この取り出された承認装置情報は、通過問合せに係る通信信号に対する通過を承認する権限を有する承認者が利用するコンピュータ14の承認装置識別子である。
More specifically, the approval
このようにアクティブ承認者情報記憶部123のアクティブ承認者情報を用いることによって、所定のコンピュータ16からファイルサーバ13の所定のネットワーク資源へアクセスがあった時点において、実際にアクセスの許否を判断し得る承認者を抽出し、特定することができる。
By using the active approver information in the active approver
次に、承認プロセス処理部114は、特定したアクティブな承認者が存在するか否かを判断する(S32)。
Next, the approval
この処理S32における判断の結果、アクティブな承認者が存在しない場合(No)には、承認プロセス処理部114は、通過を承認しない旨、即ち、遮断する旨及び承認プロセストリガ部113から通知を受けた通過問合せ信号識別子を承認要求応答処理部115に通知する(S36)。このように動作することによって、所定のコンピュータ16からファイルサーバ13の所定のネットワーク資源へアクセスがあった時点において実際にアクセスの許否を判断し得る承認者が一人もいない場合に、コンピュータ16からファイルサーバ13の所定のネットワーク資源へのアクセスが禁止され、ネットワーク資源が保護され得る。
If there is no active approver as a result of the determination in the process S32 (No), the approval
一方、処理S32における判断の結果、アクティブな承認者が存在する場合(Yes)には、承認プロセス処理部114は、この特定した総ての承認者から承認を取得したか否かを判断する(S33)。
On the other hand, if the result of determination in step S32 is that there is an active approver (Yes), the
この処理S33における判断の結果、総ての承認者から承認を取得した場合(Yes)には、承認プロセス処理部114は、通過を承認する旨及び承認プロセストリガ部113から通知を受けた通過問合せ信号識別子を承認要求応答処理部115に通知し(S37)、処理を終了する。このように動作することによって、所定のコンピュータ16からファイルサーバ13の所定のネットワーク資源へアクセスがあった時点において実際にアクセスの許否を判断し得る承認者の全員の承認を得てから、所定のコンピュータ16からファイルサーバ13の所定のネットワーク資源へのアクセスが認められる。このため、ネットワーク資源が適切に保護され得、通常、ネットワーク資源へのアクセス権が認められていないコンピュータ16(利用者)であっても、そのネットワーク資源の利用が認められ、アクセス権が動的に変更され得る。
If approval is obtained from all the approvers as a result of the determination in step S33 (Yes), the approval
一方、処理S33における判断の結果、総ての承認者から承認を取得していない場合(No)には、承認プロセス処理部114は、アクティブな承認者から承認を取得すべく、承認要求処理を行う(S34)。
On the other hand, as a result of the determination in step S33, if approval has not been obtained from all the approvers (No), the approval
より具体的には、承認プロセス処理部114は、承認装置識別子を用いて承認を求める承認者が利用するコンピュータ14を宛て先(送信先)として、通過問合せに係る通信信号における送信元のIPアドレス、SMBのコマンドにおけるパラメータ及び承認を求める旨を収容した通信信号(承認要求信号)を作成し、通信インタフェース部103を用いて承認を求める承認者が利用するコンピュータ14に送信する(C13)。
More specifically, the approval
この承認要求信号を受信すると、コンピュータ14は、承認を求める利用者名、アクセスを求めているネットワーク資源、承認を求める利用者に対応する確認装置15からの情報を表示する。より具体的には、演算処理部401のPush受信サービス部411は、承認要求信号を受信すると、演算処理部401のウェブブラウザ部412を起動し、例えば、図13に示す承認要求ページを表示する。図13は、承認要求ページの構成を示す図である。
When this approval request signal is received, the
図13において、承認要求ページ501は、例えば「承認要求がありました。承認又は不承認を行ってください。」等の如き承認者に承認又は不承認を促す旨のメッセージを表示するメッセージ表示領域511と、承認を求めている利用者を承認者に認識させるための、承認を求めている利用者名を表示する利用者名表示領域512と、承認を求めているネットワーク資源を承認者に認識させるための、承認を求めているネットワーク資源を表示するネットワーク資源表示領域513と、承認を求めている利用者が利用者本人であるか否かを承認者に認証させるための、確認装置15からの情報を表示する確認装置情報表示領域514と、利用者によるネットワーク資源の利用を承認する場合における承認用のチェックボックス515と、利用者によるネットワーク資源の利用を承認しない場合における不承認用のチェックボックス516と、チェックボックス515、516のチェックに応じて承認信号及び不承認信号の何れか一方をアクセス制御親機11に送信するための送信ボタン517とを備えて構成される。
In FIG. 13, an
ウェブブラウザ部412は、承認要求ページ501を表示する際に、受信した承認要求信号に収容されているIPアドレス(アクセス装置識別子)に基づいて利用者確認情報記憶部421に記憶されている利用者確認情報テーブル160を参照することによって、このIPアドレスから利用者名を求め、利用者名を利用者名表示領域512に表示する。ウェブブラウザ部412は、承認要求ページ501を表示する際に、受信した承認要求信号に収容されているSMBのコマンドにおけるパラメータに基づいてネットワーク資源をネットワーク資源表示領域513に表示する。そして、ウェブブラウザ部412は、承認要求ページ501を表示する際に、受信した承認要求信号に収容されているIPアドレス(アクセス装置識別子)に基づいて利用者確認情報記憶部421に記憶されている利用者確認情報テーブル160を参照することによって、このIPアドレスから確認装置情報を取り出し、この取り出した確認装置情報に基づいて確認装置15にアクセスし、確認装置15から情報を取得し、この取得した情報を確認装置情報表示領域514に表示する。本実施形態では、確認装置15は、ネットワークカメラであるので、確認装置情報は、ネットワークカメラのIPアドレスであり、ウェブブラウザ部412は、このIPアドレスを用いてネットワークカメラにアクセスし、ネットワークカメラから撮像した画像を取得し、この取得した画像を確認装置情報表示領域514に表示する(C14)。
When the
承認者は、承認要求ページ501における利用者名表示領域512に表示されている利用者名と確認装置情報表示領域514に表示されている情報とを比較し、確認装置情報表示領域514に表示されている情報から利用者名の利用者を確認する。このように承認要求ページ501に承認を求めている利用者名と、この利用者名の利用者に対応する確認装置15で取得した情報とを表示するので、承認者は、承認を求めている利用者が利用者本人であるか否か確認することができ、利用者本人であることを認証した上で、承認又は不承認の判断を行うことができる。
The approver compares the user name displayed in the user
なお、本実施形態では、所定のクライアントコンピュータとしてのコンピュータ16から所定のネットワーク資源へアクセスがあったことを、承認要求ページ501の利用者名表示領域512及びネットワーク資源表示領域513で出力部405に表示したが、コンピュータ14に例えばスピーカ等の音を出力する発音部等をさらに備えさせ、音声等によって別途報知してもよい。
In the present embodiment, the fact that there is access to a predetermined network resource from the
さらに、承認者は、ネットワーク資源表示領域513に表示されているネットワーク資源を参照して、当該利用者による当該ネットワーク資源の利用を承認する場合には、入力部404を用いて承認用のチェックボックス515をチェックし、一方、当該利用者による当該ネットワーク資源の利用を承認しない場合には、入力部404を用いて不承認用のチェックボックス516をチェックする。そして、承認者は、送信ボタン517を入力部404を用いて操作する。
Further, when the approver refers to the network resource displayed in the network
送信ボタン517が入力部404によって操作されると、ウェブブラウザ部412は、承認用のチェックボックスにチェックが為されている場合には、承認信号を作成してアクセス制御親機11に送信し、一方、不承認用のチェックボックスにチェックが為されている場合には、不承認信号を作成してアクセス制御親機11に送信する(C15)。
When the
このように動作することによって、処理S33における承認要求処理が実行され、アクセス制御親機11は、コンピュータ14を介して承認者から承認又は不承認を得ることができる。
By operating in this way, the approval request process in the process S33 is executed, and the
コンピュータ14から返信の通信信号を受信すると、承認プロセス処理部114は、承認を取得したか否かを判断する(S34)。この受信した通信信号が承認信号である場合には、承認プロセス処理部114は、承認を取得したと判断し、一方、この受信した通信信号が不承認信号である場合には、承認プロセス処理部114は、承認を取得しないと判断する。
Upon receiving a reply communication signal from the
この処理S34における判断の結果、承認を取得したと判断する場合(Yes)には、承認プロセス処理部114は、処理を処理S32に戻し、一方、承認を取得しないと判断する場合(No)には、承認プロセス処理部114は、遮断する旨及び承認プロセストリガ部113から通知を受けた通過問合せ信号識別子を承認要求応答処理部115に通知し(S35)、処理を終了する。
As a result of the determination in the process S34, when it is determined that the approval is acquired (Yes), the approval
遮断する旨を受けると、承認要求応答処理部115は、遮断する旨及び通過問合せ信号識別子を収容する通信信号(不許可通知信号)を作成し、この作成した不許可通知信号を通信インタフェース部103を用いてアクセス制御子機12に送信する(C16)。一方、承認する旨を受けると、承認要求応答処理部115は、通過を承認する旨及び通過問合せ信号識別子を収容する通信信号(許可通知信号)を作成し、この作成した許可通知信号を通信インタフェース部103を用いてアクセス制御子機12に送信する(C16)。
Upon receiving the notification of blocking, the approval request
このように動作することによって、コンピュータ14を介して取得した承認者の承認又は不承認は、アクセス制御親機11からアクセス制御子機12へ送信される。
By operating in this way, the approval or disapproval of the approver obtained through the
そして、図9及び図11において、通過問合せ信号に対する返信を受信すると(S19)、アクセス制御子機12の演算処理部201における通過遮断処理部211は、通過問合せ信号の返信が不許可通知信号であるか許可通知信号であるかを判断する(S20)。
9 and 11, when a reply to the passage inquiry signal is received (S19), the passage blocking
この処理S20における判断の結果、不許可通知信号である場合(不許可通知信号)には、通過遮断処理部211は、通過問合せ信号に係る通信信号を破棄する通信信号の遮断処理を行い(S21、C17)、処理を終了する。これによってコンピュータ16からファイルサーバ13へのアクセスが拒否され、ファイルサーバ13のネットワーク資源が守られる。ここで、さらに、通過遮断処理部211は、この通過問合せ信号に係る通信信号の送信元のコンピュータ16にファイルサーバ13へのアクセスが拒否された旨を通知する通信信号を送信するように構成してもよい。これによってファイルサーバ13のファイルが守られるだけでなく、ファイルサーバ13へアクセスしようとしたコンピュータ16の利用者は、アクセスが拒否されたことを認識することができる。そして、単にこのアクセスが拒否された旨を通知するだけでなく、承認者の不在や承認者の不承認等のアクセスが拒否された原因も併せて通知するように構成してもよい。アクセス拒否の原因を利用者に通知することによって、利用者は、時間をおいた後に再アクセスしたり、承認者を説得したり等の原因に応じた対策を講じることができる。
If the result of determination in step S20 is a non-permission notification signal (non-permission notification signal), the passage blocking
一方、この処理S20における判断の結果、許可通知信号である場合(許可通知信号)には、通過遮断処理部211は、通過問合せ信号に係る通信信号に対応させてタイマ部217のタイマをセットし(S22)、通過問合せ信号に係る通信信号を第2通信インタフェース部204を用いてファイルサーバ13に転送する通信信号の通過処理を行い(S23、C17)、処理を終了する。これによって承認者による承認を得た上でコンピュータ16からファイルサーバ13のネットワーク資源へアクセス可能となる。このため、通常、ネットワーク資源へのアクセス権が認められていないコンピュータ16(利用者)であっても、そのネットワーク資源の利用が認められ、アクセス権が動的に変更され得る。
On the other hand, if the result of determination in step S20 is a permission notification signal (permission notification signal), the passage blocking
なお、上述の実施形態では、アクセス制御子機12のMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報の各情報をアクセス制御親機11の入力部104から入力し、アクセス制御親機11からアクセス制御子機12に送信し、これら各情報をアクセス制御子機12に記憶するように構成したが、アクセス制御子機12に例えばキーボード等の入力部をさらに備えさせ、このアクセス制御子機12の入力部からMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報の各情報を入力し、これら各情報をアクセス制御子機12に記憶するように構成してもよい。あるいは、ネットワーク1に通信可能に接続しているコンピュータ、例えばコンピュータ14からMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報の各情報を入力し、このコンピュータ14からアクセス制御子機12に送信し、これら各情報をアクセス制御子機12に記憶するように構成してもよい。あるいは、これらMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報の各情報をアクセス制御子機12に記憶させる専用の設定ツールをアクセス制御子機12に直接又はネットワーク1を介して接続し、これら各情報をアクセス制御子機12に記憶するように構成してもよい。
In the above-described embodiment, the MAC information, IP address information, port number information, command information, and parameter information of the access
そして、上述の実施形態では、アクセス制御子機12のMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報の各情報をアクセス制御親機11の入力部104から一から入力するように構成したが、これら各情報をアクセス制御親機11及びアクセス制御子機12を用いて作成するように構成してもよい。
In the above-described embodiment, the MAC information, IP address information, port number information, command information, and parameter information of the access
より詳細に説明すると、アクセス制御子機12は、ネットワーク1の運用開始後、所定の期間(例えば1週間や1月程度の期間)、コンピュータ16からファイルサーバ13への通信信号を総て通過させ、この通過させた通信信号の複製をアクセス制御親機11に送信するように構成される。例えば、第1通信インタフェース部203から通信信号を受信するとこの受信した通信信号の複製を作成してアクセス制御親機11に第1通信インタフェース部203を用いて送信すると共にこの受信した通信信号をファイルサーバ13に第2通信インタフェース部204を用いて転送する通信信号収集処理部218(図2に破線で示す)を演算処理部201に機能的にさらに備えさせる。
More specifically, the
アクセス制御親機11は、アクセス制御子機12から受信した通信信号に基づいてコンピュータ16からファイルサーバ13への通信信号における送信元のMACアドレス、送信元のIPアドレス、送信先のポート番号、SMBのコマンド及びSMBのコマンドにおけるパラメータを記憶部102に記憶する。例えば、図3に破線で示すように、このような機能を持つ支援処理部119を演算処理部101に機能的にさらに備えさせ、これら各情報を記憶する支援情報記憶部125を記憶部102に機能的にさらに備えさせる。ユーザがアクセス制御子機12のMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報の各情報をアクセス制御親機11の入力部104から入力する場合に、支援処理部119は、記憶部102の支援情報記憶部125に記憶されているMACアドレスをMAC情報として、送信元のIPアドレスをIPアドレス情報として、送信先のポート番号をポート番号情報として、SMBのコマンドをコマンド情報として、SMBのコマンドにおけるパラメータをパラメータ情報としてそれぞれ出力部105に提示する。支援処理部119は、ユーザから入力部104により、この提示したMAC情報からMACアドレスの取捨選択及び必要に応じて追加を受付け、この提示したIPアドレス情報からIPアドレスの取捨選択及び必要に応じて追加を受付け、この提示したポート番号情報からポート番号の取捨選択及び必要に応じて追加を受付け、この提示したコマンド情報からSMBのコマンドの取捨選択及び必要に応じて追加を受付け、この提示したパラメータ情報からSMBのコマンドにおけるオアらメータの取捨選択及び必要に応じて追加を受付け、取捨選択及び追加の受付け結果に応じて、アクセス制御子機12に設定するためのMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報の各情報を生成する。そして、支援処理部119は、この生成した各情報に基づいて設定情報信号を作成し、この設定情報信号を通信インタフェース部103を用いてアクセス制御子機12に送信する。
Based on the communication signal received from the access
アクセス制御子機12は、このアクセス制御親機11から設定情報信号を受信すると、記憶部202に記憶し、上述したように、コンピュータ16からファイルサーバ13への通信信号に対し通過及び遮断の制御を開始する。
When the access
このようにアクセス制御子機12に通信信号収集処理部218をさらに設けると共にアクセス制御親機11に支援処理部119及び支援情報記憶部125をさらに設けることによって、ユーザは、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報の各情報をアクセス制御親機11の入力部104から一から入力する必要がなくなり、入力の手間を省くことができ、また、入力ミスを軽減することができる。
Thus, by providing the access
また、上述の実施形態では、環境情報及び承認者マスタ情報をアクセス制御親機11の入力部104から入力し、アクセス制御親機11に記憶するように構成したが、ネットワーク1に通信可能に接続しているコンピュータ、例えばコンピュータ14から環境情報及び承認者マスタ情報の各情報を入力し、このコンピュータ14からアクセス制御親機11に送信し、これら各情報をアクセス制御親機11に記憶するように構成してもよい。このように構成することによって、アクセス制御子機12のMAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報の各情報をコンピュータ14から入力及び設定する上記構成と併せて、入力部104及び出力部105を省くことができ、アクセス制御親機11のコストを下げることができる。あるいは、環境情報及び承認者マスタ情報をアクセス制御親機11に記憶させる専用の設定ツールをアクセス制御親機11に直接又はネットワーク1を介して接続し、これら各情報をアクセス制御親機11に記憶するように構成してもよい。
In the above-described embodiment, the environment information and the approver master information are input from the
さらに、上述の実施形態では、アクティブ承認者処理部118は、初期設定処理部111からのトリガに応じて承認者マスタ情報からアクティブ承認者情報を生成するように構成したが、カレンダ部116を予め設定されている時刻になるとその旨をアクティブ承認者処理部118に通知するように構成し、アクティブ承認者処理部118をカレンダ部116から設定時刻となった旨の通知を受けると承認者マスタ情報からアクティブ承認者情報を生成するように構成してもよい。設定時刻は、出勤時間に応じた時刻や所定の時間間隔(例えば1時間や2時間)を空けた時刻である。このように構成することによって演算処理部101の承認者マスタ情報からアクティブ承認者情報を生成する負荷を一定にすることができる。また、このため、演算処理部101の情報処理能力を見積もることができ、適切な情報処理能力を持った演算処理部101を選択することができるから、アクセス制御親機11の動作を安定させることができる。
Further, in the above-described embodiment, the active approver processing unit 118 is configured to generate the active approver information from the approver master information in response to the trigger from the initial
そして、上述の実施形態では、確認装置15を備えてこの確認装置15からの情報をコンピュータ14に提示するように構成され、コンピュータ14を使用する承認者は、この確認装置15からの情報に基づいて承認を求めている利用者が利用者本人であるか否かを確認したが、承認者と利用者とが同一フロアに在席している等、承認者が目視で利用者が利用者本人であるか否かを確認することができる場合には、確認装置15を省いてもよい。この場合、利用者確認情報テーブル160は、確認装置情報フィールド163を備えず、アクセス装置情報フィールド161及び利用者名フィールド162を備えて構成され、そして、承認要求ページ501は、確認装置情報表示領域514を備えず、メッセージ表示領域511と、利用者名表示領域512と、ネットワーク資源表示領域513と、承認用のチェックボックス515と、不承認用のチェックボックス516と、送信ボタン517とを備えて構成される。このようにコンピュータ14は、アクセス制御親機11の承認要求信号に応じて、コンピュータ16からファイルサーバ13のネットワーク資源へアクセスがあった旨を表示可能なように構成され、このアクセスの承認及び不承認の何れか一方が入力可能なように構成される。そして、コンピュータ14は、上述の実施形態と同様に、アクセスの承認及び不承認の何れか一方が入力された場合にこの入力されたアクセスの承認及び不承認の何れか一方をアクセス制御親機11に返信するように構成される。
And in the above-mentioned embodiment, it is comprised so that the
確認装置15を省くことによって、コストを下げることができ、また、コンピュータ14をより簡易に構成することができる。
By omitting the
また、上述の実施形態では、確認装置15がネットワークカメラである場合について説明したが、ネットワークカメラの代わりに、確認装置15は、電話機でもよい。この場合、利用者確認情報テーブル160は、確認装置情報フィールド163に、確認装置識別子として、コンピュータ16を使用する利用者に係る電話機の電話番号が用いられる。そして、ウェブブラウザ部412は、承認要求ページ501を表示する際に、確認装置15としてのネットワークカメラから画像を取得して画像を確認装置情報表示領域514に表示する代わりに、承認要求信号に収容されているIPアドレス(アクセス装置識別子)に基づいて利用者確認情報記憶部421に記憶されている利用者確認情報テーブル160を参照することによって、このIPアドレスから利用者に係る電話機の電話番号を求め、この電話番号を確認装置情報表示領域514に表示する。このようにコンピュータ14は、アクセス制御親機11の承認要求信号に応じて、コンピュータ16からファイルサーバ13のネットワーク資源へアクセスがあった旨及びコンピュータ116を使用する利用者に係る電話機の電話番号を表示可能なように構成され、このアクセスの承認及び不承認の何れか一方が入力可能なように構成される。そして、コンピュータ14は、上述の実施形態と同様に、アクセスの承認及び不承認の何れか一方が入力された場合にこの入力されたアクセスの承認及び不承認の何れか一方をアクセス制御親機11に返信するように構成される。
In the above-described embodiment, the case where the
承認者は、この電話番号の電話機に発呼を行って、承認を求めている利用者が利用者本人であるか否かを電話機を介して確認する。 The approver makes a call to the telephone having the telephone number, and checks whether or not the user who is requesting approval is the user himself / herself.
オフィス等では、通常、利用者に相当する社員に電話機を割り当てているので、このように構成することによって既存の電話機を利用することができ、確認装置15を新設する必要がないので、コストを下げることができる。
In offices and the like, since telephones are usually assigned to employees corresponding to users, it is possible to use existing telephones by configuring in this way, and it is not necessary to newly install a
そして、電話機の電話番号を表示することに加えて、あるいは、電話機の電話番号を表示することに代えて、承認者の利用する電話機から承認を求めている利用者に係る電話機へコンピュータ14が自動的に発呼するように構成してもよい。この場合、利用者確認情報テーブル160は、確認装置情報フィールド163に、確認装置識別子として、コンピュータ16を使用する利用者に係る電話機の電話番号が用いられる。そして、ウェブブラウザ部412は、承認要求ページ501を表示する際に、確認装置15としてのネットワークカメラから画像を取得して画像を確認装置情報表示領域514に表示する代わりに、承認要求信号に収容されているIPアドレス(アクセス装置識別子)に基づいて利用者確認情報記憶部421に記憶されている利用者確認情報テーブル160を参照することによって、このIPアドレスから利用者に係る電話機の電話番号を求め、この電話番号を確認装置情報表示領域514に表示すると共に、承認者の利用する電話機からこの電話番号で発呼する。あるいは、この電話番号を確認装置情報表示領域514に表示する代わりに、承認者の利用する電話機からこの電話番号で発呼する。
In addition to displaying the telephone number of the telephone, or instead of displaying the telephone number of the telephone, the
このようにコンピュータ14は、アクセス制御親機11の承認要求信号に応じて、コンピュータ16からファイルサーバ13のネットワーク資源へアクセスがあった旨を表示可能なように構成され、このアクセスの承認及び不承認の何れか一方が入力可能なように構成され、コンピュータ116を使用する利用者に係る電話機の電話番号へ自動的に発呼を行うように構成される。そして、コンピュータ14は、上述の実施形態と同様に、アクセスの承認及び不承認の何れか一方が入力された場合にこの入力されたアクセスの承認及び不承認の何れか一方をアクセス制御親機11に返信するように構成される。
As described above, the
このように構成することによって、承認者が誤った電話番号に発呼することを防止することができ、承認者の発呼の手間を省くことができる。 By configuring in this way, it is possible to prevent the approver from making a call to an incorrect telephone number, and to save the approver from making a call.
さらに、上述の実施形態では、アクセス制御親機11は、アクセス制御子機12から通過問合せ信号を受信するたびに、コンピュータ14へ承認要求信号を送信しコンピュータ14から承認信号及び不承認信号の何れか一方の返信を受信するように構成したが、承認者がコンピュータ14を用いて、コンピュータ16からファイルサーバ13のネットワーク資源へアクセスを承認するか否かの許否情報をアクセス制御親機11の記憶部102における許否情報記憶部126(図3に破線で示す)に予め記憶させ、アクセス制御親機11は、アクセス制御子機12から通過問合せ信号を受信すると、この記憶部102の許否情報に基づいてコンピュータ16からファイルサーバ13のネットワーク資源へアクセスを承認するか否かを判断し、判断の結果に応じて許可通知信号及び不許可通知信号の何れか一方をアクセス制御子機12へ返信するように構成してもよい。許否情報は、例えば、コンピュータ16を特定し識別するための識別子(例えばコンピュータ16のMACアドレス及び/又はIPアドレス)と、ネットワーク資源を特定し識別するための識別子(例えばSMBのコマンドにおけるパラメータ)と、アクセスの承認又は不承認を示す情報とを備え、相互に対応付けられて構成される。そして、許否情報を許否情報記憶部126に記憶するために、例えば、図3に破線で示すように、演算処理部101に機能的に許否情報設定処理部120がさらに備えられる。例えば、許否情報がコンピュータ14の入力部404から入力され、演算処理部401によってアクセス制御親機11に送信されると、許否情報設定処理部120は、通信インタフェース部103で受信した許否情報を許否情報記憶部126に記憶する。また例えば、許否情報設定処理部120は、入力部104から許否情報が入力されると、この入力された許否情報を許否情報記憶部126に記憶する。また例えば、許否情報をアクセス制御親機11に記憶させる専用の設定ツールをアクセス制御親機11にネットワーク1を介して接続し、許否情報が設定ツールに入力されアクセス制御親機11に送信されると、許否情報設定処理部120は、通信インタフェース部103で受信した許否情報を許否情報記憶部126に記憶する。
Further, in the above-described embodiment, every time the access
このように構成することによって、承認者は、アクセス制御親機11から承認要求信号をコンピュータ14が受信するたびに、上述の実施形態で説明したようなコンピュータ16からファイルサーバ13のネットワーク資源へアクセスを承認するか否かの手続きを行う必要がなく、承認者の手間を省くことができる。その一方で、承認者は、例えばコンピュータ14を用いて、コンピュータ16からファイルサーバ13のネットワーク資源へアクセスを承認するか否かを容易に変更することができる。
With this configuration, each time the
そして、上述の実施形態では、アクセス制御親機11とアクセス制御子機12とを別体で構成したが一体に構成してもよい。
In the embodiment described above, the access
また、上述の実施形態では、MAC情報、IPアドレス情報、ポート番号情報、コマンド情報及びパラメータ情報の各情報は、アクセス制御子機12の記憶部202に記憶されるように構成したが、これら各情報を管理するサーバコンピュータをネットワーク1に設け、アクセス制御子機12は、このサーバコンピュータからこれら各情報の提供を受けるように構成してもよい。さらに、このようなサーバコンピュータをアクセス制御親機11に設けてもよい。
In the above-described embodiment, the MAC information, the IP address information, the port number information, the command information, and the parameter information are configured to be stored in the
さらに、上述の実施形態では、承認者マスタ情報は、アクセス制御親機11の記憶部102に記憶されるように構成したが、この情報を管理するサーバコンピュータをネットワーク1に設け、アクセス制御親機11は、このサーバコンピュータからこの情報の提供を受けるように構成してもよい。
Further, in the above-described embodiment, the approver master information is configured to be stored in the
そして、上述の実施形態では、利用者確認情報は、コンピュータ14の利用者確認情報記憶部421に記憶するように構成したが、アクセス制御親機11の記憶部102に記憶し、アクセス制御親機11がコンピュータ14に承認要求信号を送信する際に利用者確認情報を併せて送信するように構成してもよい。あるいは、利用者確認情報を管理するサーバコンピュータをネットワーク1に設け、コンピュータ14は、このサーバコンピュータから利用者確認情報の提供を受けるように構成してもよい。さらに、このようなサーバコンピュータをアクセス制御親機11に設けてもよい。
In the above-described embodiment, the user confirmation information is configured to be stored in the user confirmation information storage unit 421 of the
また、上述の実施形態では、アクセス制御親機11は、アクセス制御子機12から通過問合せ信号を受信すると、自動的に、図12に示す処理S31乃至処理S35を実行し、その処理結果に応じて処理S36又は処理S37を実行するように構成したが、クライアントコンピュータとしてのコンピュータ16にいわゆるアクセスレベルを設定し、アクセス権を持っている場合には処理S31乃至処理S35を実行することなく処理S37を実行し、アクセス権を持っていない場合には処理S31乃至処理S35を実行しその処理結果に応じて処理S36又は処理S37を実行するというように、アクセスレベルに応じて処理S31乃至処理S37を実行するように構成してもよい。このように構成することによって、例えば、会社役員は、処理S31乃至処理S35の承認フローを経ることなく、所定のネットワーク資源にアクセスできる。また、派遣社員のみ、上記承認フローを経て、承認者のアクセスの可否判断を行うことも可能であり、実情に即した運用が可能となる。
Further, in the above-described embodiment, when the access
ここで、エミット(EMIT:Embedded Micro Internetworking Technology)のような機器組み込み型ネットワーク技術(機器に簡単にミドルウェアを組み込んでネットワーク
に接続できる機能を備えるネットワーク技術。以降、EMITシステムと称する。)は、携帯電話、PC(Personal Computer)、PDA(Personal Digital Assistant)等の外部端末からIP(Internet Protocol)ベースで、様々な設備機器(照明装置、空調装置、動力装置、センサ、電気錠、ウェブカメラ等、以降、EMIT端末と称する。)にアクセスして、EMIT端末を遠隔監視・制御することができる。例えば、建物(戸建住宅、マンション、ビル、工場用等)内に上述のEMIT端末を分散配置させて、外部端末からEMIT端末の状態を遠隔から監視することにより、建物全体のエネルギー管理を行ったり、建物内のガス、水道、電気の遠隔検針を行うことができる。なお、EMIT端末は、マイコン搭載の組み込み機器であり、EMITソフトウェアが搭載されている。EMITソフトウェアは、機器組み込み型のネット接続用ミドルウェアであり、プログラムサイズが非常に小さく高速なプロセッサを必要としないことから、ネット接続機能の低コスト化が可能となる。またEMITシステムは,端末の自動発見など各種自動設定機能を有し,また組込み環境に適した暗号化,認証,アクセス制御などのセキュリティ機能をも兼ね備えている。本実施形態に係る親機,子機は共に、上記EMIT端末であり,その設置時の通信環境設定はEMIT技術に基づく自動設定機能により,専門技術者の作業を省くことが可能であってもよい。また、当該親機,当該子機間の通信は、本システムの提供機能からして秘匿されるべきものであるが、EMITミドルウェアに備わった組込みセキュリティ機能により、システム内の協調動作の為の通信は全て安全に秘匿するシステムであっても、もちろん良い。
Here, an embedded network technology such as EMIT (Embedded Micro Internetworking Technology) (a network technology having a function capable of easily incorporating middleware into a device and connecting to the network; hereinafter referred to as an EMIT system) is portable. IP (Internet Protocol) based external equipment such as telephone, PC (Personal Computer), PDA (Personal Digital Assistant), etc., various equipment (lighting device, air conditioner, power unit, sensor, electric lock, webcam, etc. Hereinafter, the EMIT terminal can be remotely monitored and controlled by accessing the EMIT terminal. For example, by distributing the above-mentioned EMIT terminals in buildings (for detached houses, condominiums, buildings, factories, etc.) and remotely monitoring the status of the EMIT terminals from an external terminal, energy management of the entire building is performed. Or remote meter reading of gas, water and electricity in the building. The EMIT terminal is a built-in device with a microcomputer, and EMIT software is installed. The EMIT software is a built-in type middleware for network connection and does not require a high-speed processor with a very small program size, so that the cost of the network connection function can be reduced. The EMIT system also has various automatic setting functions such as automatic discovery of terminals, and also has security functions such as encryption, authentication, and access control suitable for an embedded environment. Both the parent device and the child device according to the present embodiment are the above-mentioned EMIT terminals, and the communication environment setting at the time of installation can be omitted by an automatic setting function based on the EMIT technology. Good. In addition, communication between the parent device and the child device should be concealed from the functions provided by the system. However, communication for cooperative operation in the system is performed by the built-in security function provided in the EMIT middleware. Of course, even if it is a system that keeps everything safe, it is good.
11 アクセス制御親機
12 アクセス制御子機
13 ファイルサーバ
14 コンピュータ
15 確認装置
101、201、401 演算処理部
102、202、402 記憶部
103、403 通信インタフェース部
104、404 入力部
105、405 出力部
112 承認要求処理部
113 承認プロセストリガ部
114 承認プロセス処理部
115 承認要求応答処理部
116 カレンダ部
117 ログ処理部
118 アクティブ承認者処理部
122 承認者マスタ情報記憶部
123 アクティブ承認者情報記憶部
124 ログ情報記憶部
203 第1通信インタフェース部
204 第2通信インタフェース部
211 通過遮断処理部
212 MAC比較部
213 IPアドレス比較部
214 ポート番号比較部
215 コマンド比較部
216 パラメータ比較部
217 タイマ部
221 MAC情報記憶部
222 IPアドレス情報記憶部
223 ポート番号情報記憶部
224 コマンド情報記憶部
225 パラメータ情報記憶部
411 Push受信サービス部
412 ウェブブラウザ部
421 利用者確認情報記憶部
11 Access
Claims (10)
前記アクセス制御子機は、所定のクライアントコンピュータから予め設定された所定のネットワーク資源へのアクセスがあった場合に前記アクセスを前記アクセス制御親機に通知し、該通知に対するアクセスの承認が前記アクセス制御親機から通知された場合に前記アクセスを認め、
前記アクセス制御親機は、前記アクセス制御子機から前記アクセスの通知があった場合に前記アクセスの許否を調べる許否処理を実行し、前記許否処理の結果がアクセスの承認である場合に前記通知に対するアクセスの承認を前記アクセス制御子機に通知すること
を特徴とするアクセス制御システム。 An access control slave unit that is arranged to be communicable between a server computer that manages a shared network resource and a client computer of the server computer, and that controls access to the network resource from the client computer, and the access control slave unit In an access control system comprising an access control master unit that can communicate with the access control slave unit and is capable of communicating with the access control slave unit,
The access control slave unit notifies the access control master unit of the access when a predetermined client computer accesses a predetermined network resource set in advance, and the approval of access to the notification is the access control. The access is granted when notified from the parent machine,
The access control master unit executes permission / rejection processing for checking permission / inhibition of access when the access control slave device is notified of the access, and when the result of the permission / refusal processing is approval of access, An access control system that notifies access approval to the access control slave unit.
前記所定のクライアントコンピュータに対応するネットワークカメラとをさらに備え、
前記アクセス制御親機は、前記許否処理として、前記所定のクライアントコンピュータから前記所定のネットワーク資源へアクセスがあったこと及び前記ネットワークカメラで撮像した前記所定のクライアントコンピュータを使用する利用者に係る画像を前記承認者用ネットワーク端末の提示部に提示させ、前記承認者用ネットワーク端末の入力部から前記アクセスの承認及び不承認の何れか一方が入力された場合に該入力された前記アクセスの承認及び不承認の何れか一方を前記承認者用ネットワーク端末から受信し、該受信を前記許否処理の結果として受付けること
を特徴とする請求項1に記載のアクセス制御システム。 An approver network terminal used by an approver having the authority to determine whether to permit access to the notification;
A network camera corresponding to the predetermined client computer,
The access control master unit, as the permission / rejection process, displays an image relating to a user using the predetermined client computer captured by the network camera and that the predetermined network resource has been accessed from the predetermined client computer. When the approver network terminal for approver is presented, and either one of the access approval and disapproval is input from the input unit of the approver network terminal, the access approval and disapproval of the input The access control system according to claim 1, wherein either one is received from the approver network terminal and the reception is accepted as a result of the permission / rejection processing.
前記アクセス制御親機は、前記許否処理として、前記所定のクライアントコンピュータから前記所定のネットワーク資源へアクセスがあったことを前記承認者用ネットワーク端末の提示部に提示させ、前記承認者用ネットワーク端末の入力部から前記アクセスの承認及び不承認の何れか一方が入力された場合に該入力された前記アクセスの承認及び不承認の何れか一方を前記承認者用ネットワーク端末から受信し、該受信を前記許否処理の結果として受付けること
を特徴とする請求項1に記載のアクセス制御システム。 Further comprising an approver network terminal used by an approver having the authority to determine whether to permit access to the notification;
The access control master unit causes the presentation unit of the approver network terminal to present that the predetermined client computer has accessed the predetermined network resource as the permission / rejection process, and When either one of approval or disapproval of the access is input from the input unit, the access approval or disapproval of the input is received from the network terminal for the approver, and the acceptance process is performed. The access control system according to claim 1, wherein the access control system is received as a result of the following.
前記アクセス制御親機は、前記許否処理として、前記所定のクライアントコンピュータから前記所定のネットワーク資源へアクセスがあったこと及び前記所定のクライアントコンピュータを使用する利用者に係る電話機の電話番号を前記承認者用ネットワーク端末の提示部に提示させ、前記承認者用ネットワーク端末の入力部から前記アクセスの承認及び不承認の何れか一方が入力された場合に該入力された前記アクセスの承認及び不承認の何れか一方を前記承認者用ネットワーク端末から受信し、該受信を前記許否処理の結果として受付けること
を特徴とする請求項1に記載のアクセス制御システム。 Further comprising an approver network terminal used by an approver having the authority to determine whether to permit access to the notification;
The access control master device, as the permission / rejection process, determines that the predetermined client computer has accessed the predetermined network resource and the telephone number of the telephone set relating to the user who uses the predetermined client computer. One of the access approval and disapproval of the input when the access approval or disapproval is input from the input unit of the approver network terminal. The access control system according to claim 1, wherein the access control system is received from the approver network terminal and the reception is accepted as a result of the permission / rejection processing.
前記アクセス制御親機は、前記所定のクライアントコンピュータから前記所定のネットワーク資源へアクセスを承認するか否かの許否情報を前記承認者用ネットワーク端末から受信して記憶部にさらに記憶し、該許否情報に基づいて前記許否処理を実行すること
を特徴とする請求項1に記載のアクセス制御システム。 Further comprising an approver network terminal used by an approver having the authority to determine whether to permit access to the notification;
The access control master unit receives permission information on whether to approve access to the predetermined network resource from the predetermined client computer from the approver network terminal, and further stores the permission information in a storage unit. The access control system according to claim 1, wherein the permission / refusal processing is executed based on the access control system.
前記アクセス制御子機から前記アクセスの通知があった場合に前記アクセスの許否を調べる許否処理を実行する許否処理部と、
前記許否処理の結果がアクセスの承認である場合に前記通知に対するアクセスの承認を前記アクセス制御子機に通知する通知処理部とを備えること
を特徴とする請求項1乃至請求項5の何れか1項に記載のアクセス制御システム。 The access control master is
A permission / rejection processing unit that executes permission / rejection processing to check permission / rejection of access when the access notification is received from the access control slave unit;
6. A notification processing unit that notifies the access control slave unit of access approval for the notification when the result of the permission / refusal processing is access approval. 6. The access control system according to item.
前記アクセスの通知に係るログ及び前記通知に対するアクセスの承認に係るログを記憶するログ情報記憶部と、
前記アクセス制御子機から前記アクセスの通知があった場合に前記ログ情報記憶部にログを記憶すると共に、前記通知に対するアクセスの承認を前記アクセス制御子機に通知した場合に前記ログ情報記憶部にログを記憶するログ処理部とをさらに備えること
を特徴とする請求項1乃至請求項6の何れか1項に記載のアクセス制御システム。 The access control master is
A log information storage unit for storing a log related to the notification of access and a log related to approval of access to the notification;
When there is a notification of the access from the access control slave unit, the log is stored in the log information storage unit, and when the access control slave unit is notified of the access approval to the access control slave unit, the log information storage unit The access control system according to any one of claims 1 to 6, further comprising a log processing unit that stores a log.
前記所定のクライアントコンピュータを識別するための第1識別情報及び前記所定のネットワーク資源を識別するための第2識別情報を予め記憶する情報記憶部と、
前記クライアントコンピュータから受信した通信信号の中から前記情報記憶部に予め記憶されている第1識別情報及び第2識別情報に基づいて前記所定のクライアントコンピュータから前記所定のネットワーク資源へのアクセスを検出し、前記所定のクライアントコンピュータから前記所定のネットワーク資源へのアクセスを検出した場合に前記アクセスを前記アクセス制御親機に通知すると共に、該通知に対するアクセスの承認が前記アクセス制御親機から通知された場合に前記アクセスを認めるアクセス処理部とを備えること
を特徴とする請求項1乃至請求項7の何れか1項に記載のアクセス制御システム。 The access control slave is
An information storage unit for storing first identification information for identifying the predetermined client computer and second identification information for identifying the predetermined network resource;
An access from the predetermined client computer to the predetermined network resource is detected based on first identification information and second identification information stored in advance in the information storage unit from among communication signals received from the client computer. When the access to the predetermined network resource is detected from the predetermined client computer, the access is notified to the access control master unit, and access approval for the notification is notified from the access control master unit The access control system according to any one of claims 1 to 7, further comprising: an access processing unit that permits the access.
前記クライアントコンピュータから前記サーバコンピュータへのアクセスがあった場合に前記アクセスを前記アクセス制御親機に通知する通信信号収集処理部をさらに備え、
前記アクセス制御親機は、
情報を提示する提示部と、
情報を入力する入力部と、
前記アクセスの通知に係る情報を記憶する支援情報記憶部と、
前記アクセス制御子機の前記通信信号収集処理部から前記アクセスの通知があった場合に前記支援情報記憶部に前記アクセスの通知に係る情報を記憶すると共に、前記所定のクライアントコンピュータを識別するための第1識別情報及び前記所定のネットワーク資源を識別するための第2識別情報を前記入力部より入力する場合に、前記支援情報記憶部に記録した情報に基づいて前記第1識別情報及び前記第2識別情報を前記提示部に提示する支援処理部とをさらに備えること
を特徴とする請求項1乃至請求項8の何れか1項に記載のアクセス制御システム。 The access control slave is
A communication signal collection processing unit for notifying the access control master unit of the access when the client computer is accessed from the server computer;
The access control master is
A presentation unit for presenting information;
An input unit for inputting information;
A support information storage unit for storing information related to the notification of access;
When the access signal is notified from the communication signal collection processing unit of the access control slave unit, information related to the access notification is stored in the support information storage unit, and the predetermined client computer is identified. When the first identification information and the second identification information for identifying the predetermined network resource are input from the input unit, the first identification information and the second identification information are stored based on the information recorded in the support information storage unit. The access control system according to any one of claims 1 to 8, further comprising a support processing unit that presents identification information to the presenting unit.
前記アクセス制御子機が所定のクライアントコンピュータから予め設定された所定のネットワーク資源へのアクセスがあった場合に前記アクセスを前記アクセス制御親機に通知するステップと、
前記アクセス制御親機が前記アクセス制御子機から前記アクセスの通知があった場合に前記アクセスの許否を調べる許否処理を実行するステップと、
前記アクセス制御親機が前記許否処理の結果がアクセスの承認である場合に前記通知に対するアクセスの承認を前記アクセス制御子機に通知するステップと、
前記アクセス制御子機が該通知に対するアクセスの承認が前記アクセス制御親機から通知された場合に前記アクセスを認めるステップとを備えること
を特徴とするアクセス制御方法。 An access control slave unit that is arranged to be communicable between a server computer that manages a shared network resource and a client computer of the server computer, and that controls access to the network resource from the client computer, and the access control slave unit In an access control method of an access control system comprising: an access control master that is communicable with the access control and gives the access control slave to the access control slave,
Notifying the access control master device of the access when the access control slave device has accessed a predetermined network resource set in advance from a predetermined client computer;
A step of executing permission / refusal processing for checking permission / inhibition of access when the access control master is notified of the access from the access control slave;
The access control master device notifying the access control slave device of access approval for the notification when the result of the permission / refusal processing is access approval;
And a step of allowing the access control slave unit to grant the access when the access control master unit is notified of access approval for the notification.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005279615A JP2007094493A (en) | 2005-09-27 | 2005-09-27 | Access control system and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005279615A JP2007094493A (en) | 2005-09-27 | 2005-09-27 | Access control system and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007094493A true JP2007094493A (en) | 2007-04-12 |
Family
ID=37980185
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005279615A Pending JP2007094493A (en) | 2005-09-27 | 2005-09-27 | Access control system and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007094493A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009237997A (en) * | 2008-03-27 | 2009-10-15 | Chugoku Electric Power Co Inc:The | Data management system |
JP2011523822A (en) * | 2008-05-29 | 2011-08-18 | ハンドリームネット カンパニー リミテッド | Access level security device and security system |
US9619026B2 (en) | 2009-07-29 | 2017-04-11 | Kyocera Corporation | Input apparatus for providing a tactile sensation and a control method thereof |
US9904363B2 (en) | 2008-12-22 | 2018-02-27 | Kyocera Corporation | Input apparatus for generating tactile sensations and control method of input apparatus |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10240690A (en) * | 1997-02-27 | 1998-09-11 | Hitachi Ltd | Client/server system, server and client terminals |
WO2001082086A1 (en) * | 2000-04-24 | 2001-11-01 | Matsushita Electric Industrial Co., Ltd. | Access right setting device and manager terminal |
JP2003273868A (en) * | 2002-03-15 | 2003-09-26 | Nippon Telegr & Teleph Corp <Ntt> | Authentication access control server device, gateway device, authentication access control method, gateway control method, authentication access control program and recording medium with the program stored, and gateway control program and recording medium with the program stored |
JP2004213475A (en) * | 2003-01-07 | 2004-07-29 | Nri & Ncc Co Ltd | Login request reception device and access management device |
JP2005222100A (en) * | 2004-02-03 | 2005-08-18 | Fuji Xerox Co Ltd | Client server system, server device and communication control method |
-
2005
- 2005-09-27 JP JP2005279615A patent/JP2007094493A/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10240690A (en) * | 1997-02-27 | 1998-09-11 | Hitachi Ltd | Client/server system, server and client terminals |
WO2001082086A1 (en) * | 2000-04-24 | 2001-11-01 | Matsushita Electric Industrial Co., Ltd. | Access right setting device and manager terminal |
JP2003273868A (en) * | 2002-03-15 | 2003-09-26 | Nippon Telegr & Teleph Corp <Ntt> | Authentication access control server device, gateway device, authentication access control method, gateway control method, authentication access control program and recording medium with the program stored, and gateway control program and recording medium with the program stored |
JP2004213475A (en) * | 2003-01-07 | 2004-07-29 | Nri & Ncc Co Ltd | Login request reception device and access management device |
JP2005222100A (en) * | 2004-02-03 | 2005-08-18 | Fuji Xerox Co Ltd | Client server system, server device and communication control method |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009237997A (en) * | 2008-03-27 | 2009-10-15 | Chugoku Electric Power Co Inc:The | Data management system |
JP2011523822A (en) * | 2008-05-29 | 2011-08-18 | ハンドリームネット カンパニー リミテッド | Access level security device and security system |
US9904363B2 (en) | 2008-12-22 | 2018-02-27 | Kyocera Corporation | Input apparatus for generating tactile sensations and control method of input apparatus |
US9619026B2 (en) | 2009-07-29 | 2017-04-11 | Kyocera Corporation | Input apparatus for providing a tactile sensation and a control method thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10917408B2 (en) | Secure document management through verification of security states of information processing apparatuses in peer-to-peer transmission of encrypted documents | |
US8310704B2 (en) | Print control mechanism for controlling printing of print data associated with short-range wireless terminal | |
US8433780B2 (en) | Systems and methods for automatically configuring a client for remote use of a network-based service | |
JP3610341B2 (en) | Network device and remote control relay server | |
US8867059B2 (en) | Image forming apparatus and method of transferring administrative authority of authentication print data | |
JP4511525B2 (en) | Access control system, access control device used therefor, and resource providing device | |
JP2005085090A (en) | Remote processor | |
US7861090B2 (en) | Electric conference system and control method thereof | |
US8335828B2 (en) | Access by data communication of an E-mail addressed to storage device | |
CN101103354A (en) | Providing a service based on an access right to a shared data | |
JP2006244321A (en) | Image forming device, server, and client | |
US10938863B2 (en) | Secure document management through verification of security states of information processing apparatuses in the peer-to-peer transmission of encrypted documents | |
JP2007188184A (en) | Access control program, access control method, and access control device | |
US20040250129A1 (en) | Systems and methods for managing a network-based service | |
KR100351682B1 (en) | System and Method for remote control of computer using wireless communication equipment | |
JP4927583B2 (en) | File sharing system, file sharing method, server, and computer program | |
JP2007094493A (en) | Access control system and method | |
JP4712196B2 (en) | Authentication apparatus and method, network system, recording medium, and computer program | |
US7962173B2 (en) | Portable personal server device with biometric user authentication | |
JP2008217449A (en) | Remote control device, remote control method, and remote control program | |
JP2020047222A (en) | Document management system | |
JP2009260913A (en) | Remote control apparatus, remote control program, remote control method, and, remote control system | |
KR100538924B1 (en) | Method for providing Web Service, Remote Storage Service and Remote Control Service based on Peer-to-Peer between a Plurality of Client Terminals and Personal Computers Operated as Server | |
JP2005151497A (en) | Information processing apparatus and system, and control program therefor | |
JP2020017308A (en) | Information processing apparatus and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080703 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110421 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110510 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110913 |