JPS6272049A - Resource using control method in information processing system - Google Patents
Resource using control method in information processing systemInfo
- Publication number
- JPS6272049A JPS6272049A JP60210923A JP21092385A JPS6272049A JP S6272049 A JPS6272049 A JP S6272049A JP 60210923 A JP60210923 A JP 60210923A JP 21092385 A JP21092385 A JP 21092385A JP S6272049 A JPS6272049 A JP S6272049A
- Authority
- JP
- Japan
- Prior art keywords
- usage
- information
- resource
- usage authority
- authority information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【発明の詳細な説明】
〔発明の利用分野〕
本発明は、複数のユーザに共用される情報処理システム
における、ユーザによるリソースの利用の管理に関し、
特に、異なる利用権限情報に基づいて利用の許否が判定
される複数のリソースを含む共用情報処理システムにお
ける、リソースの利用の管理に関する。[Detailed Description of the Invention] [Field of Application of the Invention] The present invention relates to the management of resource usage by users in an information processing system shared by a plurality of users.
In particular, the present invention relates to the management of resource usage in a shared information processing system including a plurality of resources whose usage is determined based on different usage authority information.
〔発明の背景〕
複数のユーザにより共用され、そして、個々のユーザに
よるリソースの利用の管理が重視される情報処理システ
ムの代表は、データベース・システムである。データベ
ース・システムにとっては、利用権限のないユーザによ
る情報の不正利用や故意の情報破壊を防止するために、
利用権限のないユーザを排除する機密保護機構が不可欠
であり、この機密保護機構によるチェックの対象として
、利用権限を持つ各ユーザに与えられたユーザ識別コー
ドや、各情報群ごとに予め設定された情報利用コード(
例えば、データセット・パスワード)などが用いられる
。[Background of the Invention] A database system is a typical information processing system that is shared by a plurality of users and where management of resource usage by individual users is important. For database systems, in order to prevent unauthorized use of information or intentional destruction of information by users without usage authority,
It is essential to have a security mechanism that excludes users who do not have usage rights, and this security system checks the user identification code given to each user with usage rights, and the information set in advance for each information group. Information usage code (
For example, a data set password) is used.
最近、データベースの利用が活発化するにつれて、同種
又は異種の複数のデータベースの総合利用への要請が高
まりつつある。この要請に応する一つの有効な方法は、
既設の複数のデータベース・システムを統合して一つの
複合システムを構築することである。このような複合シ
ステムは、一般に、複数のデータベース・サブシステム
(すなわち、データベース管理システム)、並びにこれ
らのデータベース・サブシステムと多数のユーザの間の
メツセージ授受を管理する複数のメツセージ・サブシス
テムを含み、しかも、これらのサブシステムは、別個独
立に設計、開発されたものである。したがって、各サブ
システムは、独自のユーザ識別コードや情報利用コード
を使用する独自の機密保護機構を持つ、その結果、この
複合システムのユーザは、各サブシステムごとに別々の
ユーザ識別コードや情報利用コードを持ち、利用しよう
とするサブシステムのそれぞれについて、適正なユーザ
識別コードや情報利用コードを選択して入力しなければ
ならず、甚だ煩わしい。Recently, as the use of databases has become more active, there is an increasing demand for integrated use of multiple databases of the same type or different types. One effective way to meet this request is to
It is the construction of a single complex system by integrating multiple existing database systems. Such complex systems typically include multiple database subsystems (i.e., database management systems) and multiple messaging subsystems that manage message exchange between these database subsystems and numerous users. Moreover, these subsystems were designed and developed independently. Therefore, each subsystem has its own security mechanism using its own user identification code and information access code, so that users of the complex have separate user identification codes and information access codes for each subsystem. For each subsystem that has a code and is to be used, an appropriate user identification code or information use code must be selected and input, which is extremely troublesome.
オンライン業務提携関係にある銀行群のような、協働す
る複数の機関が存在する複合システムにおける機密保護
については、特開昭54−124653号公報に、各機
関が発行したそれぞれのクレジット・カードを受付けて
、そこに保持されたユーザ認証のためのユーザ識別番号
を安全に処理しうる取引端末装置が、記載されている。Regarding security protection in a complex system in which there are multiple institutions collaborating, such as a group of banks that have an online business partnership, Japanese Patent Application Laid-open No. 124653/1983 describes how to protect the security of each credit card issued by each institution. A transaction terminal is described that is capable of receiving and securely processing user identification numbers held therein for user authentication.
しかし、この装置を使用するユーザは、利用する各機関
ごとに別々のクレジット・カードを保持せねばならず、
更に。However, users of this device must maintain separate credit cards for each institution they use.
Furthermore.
それぞれの機関に登録したユーザ識別番号を覚えておく
必要がある。It is necessary to remember the user identification number registered with each institution.
前記の事情は、複合データベース・システムにおける機
密保護に限らず、一般に、諸リソース(サブシステム、
データ等)の個々のユーザによる利用の許否が、異なる
利用権限情報(ユーザ識別コード、パスワード等)に基
づいて判定される共用システムについて、同様である。The above circumstances are not limited to security protection in complex database systems, but are generally applicable to various resources (subsystems,
The same applies to shared systems in which permission or disapproval of use of data, etc.) by individual users is determined based on different usage authority information (user identification codes, passwords, etc.).
本発明の目的は、それぞれが別個の利用権限情報に基づ
いて個々のユーザによる利用の許否が判定される複数の
リソースを含む情報処理システムにおいて、各リソース
のための利用許否判定機能をそのまま維持しつつ、それ
に応するための個々のユーザの負担を軽減することにあ
る。An object of the present invention is to maintain the usage permission determination function for each resource in an information processing system that includes a plurality of resources, each of which is determined to be permitted to be used by an individual user based on separate usage authority information. At the same time, the aim is to reduce the burden on individual users in responding to such demands.
本発明に従えば、各ユーザが利用できる諸リソース(サ
ブシステム、データ等)に対する利用権限情報(ユーザ
識別コード、パスワード等)は、一枚のカード(磁気カ
ード、ICカード等)に−括して記録される。ユーザが
いずれかのリソースを利用しようとする時、このカード
が端末装置に挿入されて、利用権限情報が読出される。According to the present invention, usage authority information (user identification code, password, etc.) for various resources (subsystems, data, etc.) that can be used by each user is stored in one card (magnetic card, IC card, etc.). recorded. When a user wants to use any resource, this card is inserted into a terminal device and usage authority information is read out.
読出された利用権限情報は、すべてシステム内(例えば
、システム・コントローラ内又は端末装置内)に保存さ
れる。その後、ユーザが端末装置を操作してリソースを
指定してその利用を要求すると、要求されたリソースに
対する利用権限情報が保存されていた利用権限情報から
選択され、それに基づいて利用の許否が判定される。各
リソースが利用許否判定機構を備えている場合には、選
択された利用権限情報は対応するリソースに送られて、
そこで利用許否の判定が行われる。All of the read usage authority information is stored within the system (for example, within the system controller or within the terminal device). After that, when the user operates the terminal device to specify a resource and requests its use, usage authority information for the requested resource is selected from the stored usage authority information, and permission or disapproval of usage is determined based on it. Ru. If each resource is equipped with a usage permission determination mechanism, the selected usage authority information is sent to the corresponding resource,
There, a determination is made as to whether or not the use is permitted.
第2図は、複数のサブシステムからなる情報処理システ
ムの一例として、データベース・システムを、機能の観
点から模式的に表わす。システムの全体を制御・管理す
るシステム・コントローラ11の管理下に、システムと
ユーザの間のメツセージの授受を管理するメツセージ・
サブシステム12(サブシステム名MA、MB、・・・
)の一群と、データベースを管理するデータベース・サ
ブシステム(いわゆるデータベース管理システム)13
(サブシステム名DA、DB、DC,・・・)の一群が
存在する。これらのサブシステムは、それぞれ、機密保
護のための利用許否判定機構14.15を備える。FIG. 2 schematically represents a database system from a functional perspective as an example of an information processing system consisting of a plurality of subsystems. Under the management of the system controller 11 that controls and manages the entire system, a message controller 11 that manages the sending and receiving of messages between the system and the user
Subsystem 12 (subsystem name MA, MB,...
) and a database subsystem that manages the database (so-called database management system)13
A group of (subsystem names DA, DB, DC, . . . ) exists. Each of these subsystems includes a usage permission determination mechanism 14.15 for security protection.
第3図は、本発明に従って第2図のシステムにアクセス
するために用いられる、機密保護機能付端末装置の一例
の外観を示す。この端末装置!21は、ディスプレイ・
スクリーン22.カード挿入口23.電源スィッチ24
及びキーボード25を備える。システムに接続された端
末装置l!21は、一群のメツセージ・サブシステム1
2の選択された一つにより管理される。ユーザは、この
端末装置!21を用いて第2図のシステムにアクセスす
る時には、所定形式のメモリ・カードをカード挿入口2
3に挿入しなければならない。FIG. 3 shows an external appearance of an example of a secure terminal device used to access the system of FIG. 2 in accordance with the present invention. This terminal device! 21 is the display
Screen 22. Card insertion slot 23. Power switch 24
and a keyboard 25. Terminal device connected to the system! 21 is a group of message subsystems 1
managed by a selected one of 2. The user uses this terminal device! 21 to access the system shown in FIG.
3 must be inserted.
このメモリ・カードは、磁気カード、ICカードなどの
、情報を機械で読取れる形式で記録しろるカードである
。各ユーザは自分のカードを保有し、そこには、そのユ
ーザが利用しうるいくつかのサブシステムの名前、これ
らのサブシステムのそれぞれに関するそのユーザのユー
ザ識別コード、これらのサブシステムの管理下にある情
報に対する利用権限を示す情報利用コードなどからなる
。This memory card is a card such as a magnetic card or an IC card that can record information in a machine-readable format. Each user has his or her own card, which contains the names of several subsystems available to him, his user identification code for each of these subsystems, and the control of these subsystems. It consists of an information usage code that indicates usage authority for certain information.
各ユーザに個有の利用権限情報の群が記録されている(
第5図参照)、前記のユーザ識別コードとしては、例え
ば、個々のユーザを識別するためのユーザ識別名、及び
/又はそのユーザを確認するためにそれぞれのサブシス
テムがそのユーザに与えた秘密番号(パスワード)を用
いることができる。また、前記の情報利用コードとして
は、例えば、利用が許されているいくつかの情報群の名
前(例えばファイル名)と、これらの情報群の利用に関
してそれらを管理するサブシステムがそのユーザに与え
た秘密番号(パスワード)とを用いることができる。情
報の利用許諾は、ファイル(データセット)ごと、記憶
媒体ごとなどの、管理に便利な適宜の情報単位ごとに設
定すればよい。A group of usage authority information unique to each user is recorded (
5), the user identification code may be, for example, a user identification name for identifying an individual user and/or a secret number given to the user by the respective subsystem to verify the user. (password) can be used. In addition, the above-mentioned information usage code may include, for example, the names (for example, file names) of some information groups that are allowed to be used, and the information given to the user by the subsystem that manages the use of these information groups. A secret number (password) can be used. The permission to use information may be set for each file (data set), each storage medium, or any other suitable information unit that is convenient for management.
第4図は、後で説明する利用管理過程の例が前提とする
システムの構成を示す、このシステムは。FIG. 4 shows the configuration of a system on which an example of the usage management process to be explained later is based.
メツセージ・サブシステム12a(サブシステム名MA
)、データベース・サブシステム13b(サブシステム
名DB)及び13c(サブシステム名DC)、並びにこ
れらのサブシステムを管理するシステム・コントローラ
11からなる。データベース・サブシステム13bは、
データセット41a(データセット名DSIA)及び4
1b(データセット名DSIB)を管理し、データベー
ス・サブシステム13cは、データセット42a (デ
ータセット名DS2A)、42b (データセット名D
S2B)及び42c(データセット名D82C)を管理
する。情報群の利用許諾は、データセットごとに設定さ
れる。サブシステム12a、13b、13cは、それぞ
れ、機密保護のための利用許否判定機構14a、15b
、15cを備える。Message subsystem 12a (subsystem name MA
), database subsystems 13b (subsystem name DB) and 13c (subsystem name DC), and a system controller 11 that manages these subsystems. The database subsystem 13b is
Dataset 41a (dataset name DSIA) and 4
1b (dataset name DSIB), and the database subsystem 13c manages datasets 42a (dataset name DS2A) and 42b (dataset name D
S2B) and 42c (data set name D82C). Permission to use information groups is set for each dataset. The subsystems 12a, 13b, and 13c have usage permission/denial determination mechanisms 14a, 15b, respectively, for security protection.
, 15c.
第5図は、第4図のシステムを利用するあるユーザのメ
モリ・カードに記録されている利用権限情報群を示す。FIG. 5 shows a group of usage authority information recorded on a memory card of a certain user who uses the system of FIG.
メモリ・カード31上に記録された利用権限情報群32
は、このユーザが利用権限を持つ各サブシステムごとに
、権限情報の組5゜(al b、Q)を含む、各権限情
報の組50(a。Usage authority information group 32 recorded on memory card 31
For each subsystem that this user has authority to use, each authority information set 50(a) includes an authority information set 5°(al b, Q).
b、c)は、対応するサブシステム名51と、このサブ
システムの利用に関するそのユーザのユーザ識別コード
52を含み、更に、データベース・サブシステムに対す
る権限情報の組50 (b、c)I:
は、そのサブシステムの管理下機あってこのユーザが利
用できるデータセットに関する情報利用コード53を含
む、ユーザ識別コード5λは、ユーザ識別名521とパ
スワード522からなる。情報利用コード53は、利用
可能なデータセット名531とパスワード532からな
る。データベース・サブシステムに対する各権限情報の
組は、複数の情報利用コード53を含みうる。第5図に
示されたメモリ・カード上の利用権限情報群32は、こ
のカードの所持者が、メツセージ・サブシステムMA並
びにデータベース・サブシステムDB及びDCを、ユー
ザ識別名/パスワードとして、それぞれUIDA/MP
A、UIDB/DPB、及びUIDC/DPCを使用し
て、利用できることを示している。それは、また、この
ユーザが、データベース・サブシステムDBに属するデ
ータセとができ、かつ、データベース・サブシステムD
Cに属するデータセットDS2A及びD32Bを、それ
ぞれパスワードDSPCI及びDSPC2を用いて利用
することができることを示している。b, c) contain the corresponding subsystem name 51 and the user identification code 52 of that user regarding the use of this subsystem, and furthermore a set of authorization information for the database subsystem 50 (b, c) I: , the user identification code 5λ, which includes an information usage code 53 regarding the data set that can be used by this user under the management of the subsystem, consists of a user identification name 521 and a password 522. The information usage code 53 consists of an available data set name 531 and a password 532. Each set of authorization information for a database subsystem may include multiple information usage codes 53. The usage authority information group 32 on the memory card shown in FIG. /MP
A, UIDB/DPB, and UIDC/DPC are used to indicate that it can be used. It also means that this user can create datasets belonging to the database subsystem DB, and
This shows that data sets DS2A and D32B belonging to C can be used using passwords DSPCI and DSPC2, respectively.
第1図A、Bは1本発明による利用管理過程の一例を示
す、第1図Aを参照して、ユーザは、システムを利用し
ようとする時、メモリ・カード31を端末装置21(第
3図)のカード挿入口23に挿入し、次いで、キーボー
ド25により、システム利用開始のためのログオン(L
OGON)コマンドを入力し、かつ、利用したいメツセ
ージ・サブシステム名(この例ではrMAJ )を指定
する(60)、端末装置!21は、ログオン・コマンド
に応じて、挿入されたメモリ・カード31から、利用権
限情報群32を読出して、システム・コントローラ11
に送る(61)、システム・コントローラ11は、受取
った利用権限情報群32を内部形式で記憶し、そして、
この情報群32から、ログオン・コマンドで指定された
メツセージ・サブシステム名rMAJに対応する権限情
報の組50 (a)を選択して、これを該当するメツセ
ージ・サブシステムMA(12a)に送る(62)。1A and 1B show an example of the usage management process according to the present invention. Referring to FIG. 1A, when the user wants to use the system, the user transfers the memory card 31 to the terminal device (Figure), and then use the keyboard 25 to log on (L) to start using the system.
OGON) command and specify the name of the message subsystem you wish to use (rMAJ in this example) (60), terminal device! 21 reads the usage authority information group 32 from the inserted memory card 31 in response to the logon command, and sends it to the system controller 11.
(61), the system controller 11 stores the received usage authority information group 32 in an internal format, and
From this information group 32, the authority information set 50 (a) corresponding to the message subsystem name rMAJ specified in the logon command is selected and sent to the corresponding message subsystem MA (12a). 62).
メツセージ・サブシステムMAは、その利用許否判定機
構(図示省略)を用いて、受取った権限情報の組50
(a)の中のユーザ識別コード52を登録されているユ
ーザ識別コードと比較して、ユーザの認証を行い、その
ユーザにメツセージ・サブシステムMAの利用権限があ
ると判断されれば、利用許可をシステム・コントローラ
11に報告する(63)とともに、端末装置21に、そ
のユーザからのメツセージを受付ける旨のメツセージを
送り(64)、端末装置21は、これを表示する。The message subsystem MA uses its usage permission/denial determination mechanism (not shown) to determine the received authority information set 50.
The user identification code 52 in (a) is compared with the registered user identification code to authenticate the user, and if it is determined that the user has the authority to use the message subsystem MA, the user is permitted to use the message subsystem MA. is reported to the system controller 11 (63), and a message is sent to the terminal device 21 indicating that it accepts a message from the user (64), and the terminal device 21 displays this.
以降、このユーザは、システム利用の終了を宣言するロ
グオフ(LOGOFF)コマンドを端末装置21から入
力するまで、端末装置21とメツセージ・サブシステム
MA(12a)を介して、メツセージの送受信を行うこ
とができる。From then on, this user will be unable to send and receive messages via the terminal device 21 and the message subsystem MA (12a) until the user inputs a logoff (LOGOFF) command from the terminal device 21 to declare the end of using the system. can.
他方、メツセージ・サブシステムMAにおけるユーザ認
証において、そのユーザにそのメツセージ・サブシステ
ムMAを利用する権限がないと判断されたときには、メ
ツセージ・サブシステムMAは、システム・コントロー
ラ11にその旨を報告しく63)、これを受けたシステ
ム・コントローラ11は、端末装置21に、メツセージ
・サブシステムMAは利用できない旨のメツセージを送
る(65)。On the other hand, when it is determined in the user authentication in the message subsystem MA that the user does not have the authority to use the message subsystem MA, the message subsystem MA must report this to the system controller 11. 63), upon receiving this, the system controller 11 sends a message to the terminal device 21 to the effect that the message subsystem MA is unavailable (65).
次に、第1図Bを参照して、メツセージ・サブシステム
MAを介する通信を許されたユーザが、その後、データ
ベース・サブシステムの利用開始宣言のためのコネクト
(CONNECT)コマンドを、利用したいデータベー
ス・サブシステム名・サブシステムMAは、このコマン
ドをシステム°コントローラ11に転送する(71)。Next, referring to FIG. 1B, the user who is permitted to communicate via the message subsystem MA then issues a CONNECT command to declare the start of use of the database subsystem to the database he or she wishes to use. - Subsystem name - Subsystem MA transfers this command to the system controller 11 (71).
システム・コントローラ11は、端末装置21がら受取
って保持してあった利用権限情報群32がら、コマンド
で指定されたデータベース・サブシステム名rDBJに
対応する権限情報の組50 (b)を選択し、これを該
当するデータベース・サブシステムDBに送る(72)
、データベース・サブシステムDBは、その利用許否判
定機構(図示省略)を用いて、受取った権限情報の組5
0 (b)の中のユーザ識別コード52を調べて、ユー
ザ認証を行い、そのユーザにデータベース・サブシステ
ムDBを利用する権限があると判断されたならば。The system controller 11 selects the authority information set 50 (b) corresponding to the database subsystem name rDBJ specified by the command from the usage authority information group 32 received and held by the terminal device 21, Send this to the relevant database subsystem DB (72)
, the database subsystem DB uses its usage permission/denial determination mechanism (not shown) to determine the set of authority information 5 it has received.
0 (b), the user is authenticated, and it is determined that the user has the authority to use the database subsystem DB.
利用許可をシステム・コントローラ11に報告する(7
3)、これを受けたシステム・コントローラ11は、そ
のユーザにデータベース・サブシステムDBの利用を許
可する旨のメツセージを、メツセージ・サブシステムM
Aを介して、端末装置21に送る(74)。しかし、そ
のユーザに利用権限がないと判断されれば、データベー
ス・サブシステムDBは利用できない旨のメツセージが
、前記と同じ径路を経て、端末装置21に送られる。Report usage permission to system controller 11 (7
3) Upon receiving this, the system controller 11 sends a message to the message subsystem M to permit the user to use the database subsystem DB.
It is sent to the terminal device 21 via A (74). However, if it is determined that the user does not have usage authority, a message indicating that the database subsystem DB cannot be used is sent to the terminal device 21 via the same route as described above.
その後、ユーザがデータセット名を指定してそれへのア
クセスを要求した時には、データベース・サブシステム
DBは、その利用許否判定機構を用いて、さきにシステ
ム・コントローラ11から受取った権限情報の組50
(b)の中の情報利用コード53を調べて、そのユーザ
にそのデータセットの利用権限があるか否かを判断する
。そして、そのユーザに利用権限があると判断された場
合に限り、要求されたアクセスを実行する。Thereafter, when the user specifies the data set name and requests access to it, the database subsystem DB uses its usage permission determination mechanism to obtain the set of authority information 50 previously received from the system controller 11.
The information use code 53 in (b) is checked to determine whether the user has the right to use the data set. Then, the requested access is executed only if it is determined that the user has usage authority.
第6図A、Bは、本発明による利用管理過程の他の例を
示す、この型の利用管理過程は、メモリ・カード31か
ら読出された利用権限情報群32が、システム・コント
ローラ11ではなく、端末装置21の内部に保持される
点に、第1図の過程との基本的な相違がある。ユーザが
ログオン・コマンドを入力するまでの手順は、第1図の
過程と同じである。第6図Aを参照して、ユーザが、利
用したいメツセージ・サブシステム名rMAJを指定し
て、ログオン・コマンドを入力する(60)と、端末装
置21は、挿入されたメモリ・カード31から利用権限
情報群32を読出して、内蔵メモリの予め定められた領
域に格納し、そして、この情報群32から、ログオン・
コマンドで指定されたメツセージ・サブシステム各rM
AJに対応する権限情報の組50 (a)を選択し、こ
れを、システム・コントローラ11を介して、指定され
たメツセージ・サブシステムMA(12a)に送る(6
1)、メツセージ・サブシステムMAは。6A and 6B show another example of the usage management process according to the present invention. In this type of usage management process, the usage authority information group 32 read from the memory card 31 is not stored in the system controller 11 The basic difference from the process shown in FIG. 1 is that the process is held inside the terminal device 21. The procedure until the user inputs the logon command is the same as the process shown in FIG. Referring to FIG. 6A, when the user specifies the message subsystem name rMAJ that he/she wishes to use and inputs a logon command (60), the terminal device 21 uses the memory card 31 inserted. The authority information group 32 is read out and stored in a predetermined area of the built-in memory, and the logon and
Each message subsystem rM specified in the command
Selects the authority information set 50 (a) corresponding to AJ and sends it to the designated message subsystem MA (12a) via the system controller 11 (6
1), message subsystem MA.
その利用許否判定機構(図示省略)を用いて、受取った
権限情報の組50 (a)の中のユーザ識別コード52
を調べて、ユーザの認証を行い、そのユーザにメツセー
ジ・サブシステムMAを利用する権限があると判断され
れば、利用許可をシステム・コントローラ11に報告す
る(62)とともに、端末袋[21に、そのユーザから
のメツセージを受付ける旨のメツセージを送り(63)
、端末装置21は、これを表示する。以降、このユーザ
は、システム利用の終了を宣言するログオフ・コマンド
を端末袋v121から入力するまで、端末装置21とメ
ツセージ・サブシステムMA(12a)を介して、メツ
セージの送受信を行うことができる。Using the usage permission/denial determination mechanism (not shown), the user identification code 52 in the received authority information set 50 (a) is
If it is determined that the user has the authority to use the message subsystem MA, the usage permission is reported to the system controller 11 (62), and the user is sent to the terminal bag [21]. , sends a message indicating that it accepts messages from that user (63)
, the terminal device 21 displays this. Thereafter, this user can send and receive messages via the terminal device 21 and the message subsystem MA (12a) until he inputs a logoff command from the terminal bag v121 to declare the end of using the system.
他方、メツセージ・サブシステムMAにおけるユーザ認
証において、そのユーザにそのメツセージ・サブシステ
ムMAを利用する権限がないと判断されたときには、メ
ツセージ・サブシステムMAは、システム・コントロー
ラ11にその旨を報告しく62)、これを受けたシステ
ム・コントローラ11は、端末装置21に、メツセージ
・サブシステムMAは利用できない旨のメツセージを送
る(64)。On the other hand, when it is determined in the user authentication in the message subsystem MA that the user does not have the authority to use the message subsystem MA, the message subsystem MA must report this to the system controller 11. 62), upon receiving this, the system controller 11 sends a message to the terminal device 21 to the effect that the message subsystem MA is unavailable (64).
次に、第6図Bを参照して、メツセージ・サブシステム
MAを介する通信を許されたユーザが、その後、データ
ベース・サブシステムの利用開始宣言のためのコネクト
・コマンドを、利用したいデータベース・サブシステム
名rDBJと共に、端末装置21のキーボード25によ
り入力する(70)と、端末装置21は、カードから読
出されてメモリに格納されていた利用権限情報群32か
ら、コマンドで指定されたデータベース・サブシステム
名rDF3Jに対応する権限情報の組50(b)を選択
し、これを、メツセージ・サブシステムMAとシステム
・コントローラ11を介して、該当するデータベース・
サブシステムDBに送る(71)、データベース・サブ
システムDBは、その利用許否判定機構(図示省略)を
用いて、受取った権限情報の組50 (b)の中のユー
ザ識別コード52を調べて、ユーザ認証を行い、そのユ
ーザにデータベース・サブシステムDBを利用する権限
があると判断されたならば、利用許可をシステム・コン
トローラ11に報告する(72)、これを受けたシステ
ム・コントローラ11は、そのユーザにデータベース・
サブシステムDBの利用を許可する旨のメツセージを、
メツセージ・サブシステムMAを介して、端末装置21
に送る(73)、L、かし、そのユーザに利用権限がな
いと判断されれば、データベース・サブシステムDBは
利用できない旨のメツセージが、前記と同じ径路を経て
端末装置21に送られる。Next, referring to FIG. 6B, the user who is permitted to communicate via the message subsystem MA then sends the connect command for declaring the start of use of the database subsystem to the database subsystem that he/she wishes to use. When inputting the system name rDBJ together with the keyboard 25 of the terminal device 21 (70), the terminal device 21 selects the database subsystem specified by the command from the usage authority information group 32 read from the card and stored in the memory. The authority information set 50(b) corresponding to the system name rDF3J is selected and sent to the corresponding database via the message subsystem MA and the system controller 11.
The database subsystem DB uses its usage permission determination mechanism (not shown) to check the user identification code 52 in the received authority information set 50 (b) (71). If the user is authenticated and it is determined that the user has the authority to use the database subsystem DB, the system controller 11 reports the usage permission to the system controller 11 (72). That user has a database
A message indicating permission to use the subsystem DB,
The terminal device 21 via the message subsystem MA
(73) If it is determined that the user does not have usage authority, a message indicating that the database subsystem DB cannot be used is sent to the terminal device 21 via the same route as described above.
その後、ユーザがデータセット名を指定してそれへのア
クセスを要求した時には、データベース・サブシステム
DBは、その利用許否判定機構を用いて、さきに端末装
置21から受取った権限情報の組50 (b)の中の情
報利用コード53を調べて、そのユーザにそのデータセ
ットの利用権限があるか否かを判断する。そして、その
ユーザに利用権限があると判断された場合に限り、要求
されたアクセスを実行する。Thereafter, when the user specifies the data set name and requests access to it, the database subsystem DB uses its usage permission determination mechanism to use the authority information set 50 ( The information usage code 53 in b) is checked to determine whether the user is authorized to use the data set. Then, the requested access is executed only if it is determined that the user has usage authority.
第1図A、Bに示された実施例は、同時にシステムを利
用す・る諸ユーザの利用権限情報群をすべて収容するに
足りるメモリ・スペースが、システム・コントローラ内
に予め用意されることを必要とする。そのような必要は
、第6図A、Bに示された実施例にはない。The embodiments shown in FIGS. 1A and 1B require that memory space sufficient to accommodate all of the usage authority information of various users simultaneously using the system be prepared in advance in the system controller. I need. Such a requirement is not present in the embodiment shown in FIGS. 6A and 6B.
本発明によれば、ユーザは、リソースごとに異なるユー
ザ識別コードやパスワードをすべて完えて使殊分ける面
倒から解放され、しかも、各リソースに対する利用許否
機能は完全に維持され、システムの安全は保たれる。ま
た、独自の利用許否機構を備えた既存のシステムをサブ
システムとしてシステ11中に組込むことが、容易にな
る。According to the present invention, the user is freed from the trouble of having to create and use different user identification codes and passwords for each resource, and furthermore, the use permission/denial function for each resource is completely maintained, and the security of the system is maintained. It will be done. Furthermore, it becomes easy to incorporate an existing system with its own usage permission/denial mechanism into the system 11 as a subsystem.
図面のfFA惧な説明
第1図A、l”lは本発明の一実施例の模式図、第2図
は本発明が適用されうる情報処理システムの一例のブロ
ックダイヤグラム、第3図は本発明に使用される端末装
置の一例の外観図、第4図は本発明の実施例が適用され
る情報処理システムのブロックダイヤグラム、第5図は
本発明の実施例で使用されるカードに記録された情報を
示す図、第6図A、Bは本発明の他の実施例の模式図で
ある。fFA of the drawings Fig. 1A and l"l are schematic diagrams of an embodiment of the present invention, Fig. 2 is a block diagram of an example of an information processing system to which the present invention can be applied, and Fig. 3 is a diagram of an embodiment of the present invention. FIG. 4 is a block diagram of an information processing system to which an embodiment of the present invention is applied, and FIG. 5 is an external view of an example of a terminal device used in an embodiment of the present invention. Figures 6A and 6B showing information are schematic diagrams of other embodiments of the present invention.
11 ・システム・コントローラ、12.12a・・・
リソースとしてのメツセージ・サブシステム。11 ・System controller, 12.12a...
Message subsystem as a resource.
13 、 13 b 、 13 c−リソースとしての
データベース・サブシステム、21・・・端末装置、2
3・・・カード挿入口、31・・・カード、32・・・
利用権限情報群。13, 13b, 13c-database subsystem as resource, 21...terminal device, 2
3...Card insertion slot, 31...Card, 32...
Usage authority information group.
Claims (1)
ザによる利用の許否が判定される複数のリソースが、シ
ステム・コントローラにより管理され、端末装置を介し
て複数のユーザにより共用される情報処理システムにお
いて、あるユーザに利用可能なすべての前記リソースに
対する利用権限情報が記録されたカードを前記端末装置
で受入れて読取るステップと、前記カードから読取られ
たすべての利用権限情報を前記システム内に保存するス
テップと、前記カードを受入れた端末装置を介するリソ
ース利用要求に応じて対応するリソースに対する利用権
限情報を前記保存された利用権限情報から選択するステ
ップと、前記選択された利用権限情報に基づいて前記リ
ソース利用要求の当否を判定するステップとを有する、
リソース利用管理方法。 2、特許請求の範囲1において、そのリソースのそれぞ
れは利用要求当否判定機構を備え、その選択ステップは
選択された利用権限情報を対応するリソースに転送する
ステップを含み、その判定ステップは前記選択された利
用権限情報が転送されたリソースの内部で行われる、リ
ソース利用管理方法。 3、特許請求の範囲2において、その保存ステップは前
記利用権限情報を前記システム・コントローラ中に保存
する、リソース利用管理方法。 4、特許請求の範囲2において、その保存ステップは前
記利用権限情報を前記端末装置中に保存し、その転送ス
テップは前記システム・コントローラを介して行われる
、リソース利用管理方法。 5、特許請求の範囲3又は4において、その複数のリソ
ースは少なくとも一つのデータベース・サブシステムを
含み、そして、前記データベース・サブシステムは少な
くとも一つの情報群を管理し、前記データベース・サブ
システムに対する利用権限情報はデータベース・サブシ
ステム自体に対する第1利用権限部分とそのデータベー
ス・サブシステムの管理下にある情報群に対する第2利
用権限部分を含み、その判定ステップは、前記転送され
た利用権限情報の前記第1利用権限部分に基づいてデー
タベース・サブシステム自体に対する利用要求の当否を
判定するステップと、情報群に対するその後の利用要求
の当否を転送されていた前記利用権限情報の前記第2利
用権限部分に基づいて判定するステップとを含む、機密
保護のためのリソース利用管理方法。[Scope of Claims] 1. A plurality of resources, whose use is determined to be permitted or disallowed by each user based on individual usage authority information, are managed by a system controller and shared by a plurality of users via a terminal device. In the information processing system, the terminal device accepts and reads a card in which usage authority information for all of the resources available to a certain user is recorded; a step of storing the card in a system; a step of selecting usage authority information for a corresponding resource from the stored usage authority information in response to a resource usage request via a terminal device that accepts the card; and a step of selecting the usage authority information for the corresponding resource from the stored usage authority information; and determining whether the resource usage request is appropriate based on the information.
Resource usage management method. 2. In claim 1, each of the resources is provided with a usage request propriety determination mechanism, the selection step includes a step of transferring the selected usage authority information to the corresponding resource, and the determination step includes the step of transferring the selected usage authority information to the corresponding resource. A resource usage management method that is performed within the resource to which usage authority information has been transferred. 3. The resource usage management method according to claim 2, wherein the storing step stores the usage authority information in the system controller. 4. The resource usage management method according to claim 2, wherein the storage step stores the usage authority information in the terminal device, and the transfer step is performed via the system controller. 5. In claim 3 or 4, the plurality of resources include at least one database subsystem, and the database subsystem manages at least one information group and provides information for use by the database subsystem. The authority information includes a first usage authority part for the database subsystem itself and a second usage authority part for a group of information under the management of the database subsystem, and the determination step includes a first usage authority part for the database subsystem itself and a second usage authority part for the information group under the management of the database subsystem. a step of determining whether or not a usage request for the database subsystem itself is appropriate based on the first usage authority portion; and determining whether or not a subsequent usage request for the information group is appropriate or not based on the second usage authority portion of the usage authority information that has been transferred; a method for managing resource usage for security protection, comprising: determining based on the method;
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60210923A JPS6272049A (en) | 1985-09-26 | 1985-09-26 | Resource using control method in information processing system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60210923A JPS6272049A (en) | 1985-09-26 | 1985-09-26 | Resource using control method in information processing system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPS6272049A true JPS6272049A (en) | 1987-04-02 |
Family
ID=16597310
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP60210923A Pending JPS6272049A (en) | 1985-09-26 | 1985-09-26 | Resource using control method in information processing system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPS6272049A (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02242435A (en) * | 1989-03-16 | 1990-09-26 | Fujitsu Ltd | Security method for information processing system |
| JPH03188550A (en) * | 1989-12-19 | 1991-08-16 | Oki Electric Ind Co Ltd | Process screen control system for business work processing system |
| JPH03237551A (en) * | 1989-10-06 | 1991-10-23 | Internatl Business Mach Corp <Ibm> | Transaction system security method and device |
| US6370647B1 (en) | 1998-01-08 | 2002-04-09 | Fujitsu Limited | Information storage system |
| US7738980B2 (en) | 2004-03-04 | 2010-06-15 | Yamaha Corporation | Apparatus for editing configuration data of digital mixer |
| US7810164B2 (en) | 2004-11-11 | 2010-10-05 | Yamaha Corporation | User management method, and computer program having user authorization management function |
| US8392835B2 (en) | 2004-05-17 | 2013-03-05 | Yamaha Corporation | Parameter supply apparatus for audio mixing system |
-
1985
- 1985-09-26 JP JP60210923A patent/JPS6272049A/en active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH02242435A (en) * | 1989-03-16 | 1990-09-26 | Fujitsu Ltd | Security method for information processing system |
| JPH03237551A (en) * | 1989-10-06 | 1991-10-23 | Internatl Business Mach Corp <Ibm> | Transaction system security method and device |
| JPH03188550A (en) * | 1989-12-19 | 1991-08-16 | Oki Electric Ind Co Ltd | Process screen control system for business work processing system |
| US6370647B1 (en) | 1998-01-08 | 2002-04-09 | Fujitsu Limited | Information storage system |
| US6477653B2 (en) | 1998-01-08 | 2002-11-05 | Fujitsu Limited | Information storage system |
| US7738980B2 (en) | 2004-03-04 | 2010-06-15 | Yamaha Corporation | Apparatus for editing configuration data of digital mixer |
| US8175731B2 (en) | 2004-03-04 | 2012-05-08 | Yamaha Corporation | Apparatus for editing configuration data of digital mixer |
| US8392835B2 (en) | 2004-05-17 | 2013-03-05 | Yamaha Corporation | Parameter supply apparatus for audio mixing system |
| US7810164B2 (en) | 2004-11-11 | 2010-10-05 | Yamaha Corporation | User management method, and computer program having user authorization management function |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10223695B2 (en) | Centralized identity authentication for electronic communication networks | |
| US5987232A (en) | Verification server for use in authentication on networks | |
| JPH0981518A (en) | Authentication method on network | |
| CN1612518A (en) | User authentication system and method for controlling same | |
| JPH0981519A (en) | Authentication method on network | |
| US6173282B1 (en) | Electronic sealed envelope | |
| US7281263B1 (en) | System and method for managing security access for users to network systems | |
| US20120066349A1 (en) | Method and system using two or more storage devices for authenticating multiple users for a single transaction | |
| JP2001014276A (en) | Personal authentication system and method therefor | |
| EP0762261A2 (en) | A verification server and authentication method for use in authentication on networks | |
| US20090133111A1 (en) | System for centralizing personal identification verification and access control | |
| JPS6272049A (en) | Resource using control method in information processing system | |
| US11341268B2 (en) | System and method for storing digital data with enhanced privacy | |
| US20100198721A1 (en) | Management of Dematerialized Safes | |
| JP2004280245A (en) | Information record carrier, password input system, and authentication system | |
| US20040236941A1 (en) | Method for secure transfer of information | |
| JPH0981520A (en) | Collation server used for authentication on network | |
| JP2002324050A (en) | Personal authentication data providing system and method | |
| JP2000259802A (en) | Ic card, ic card access device and recording medium stored with ic card program and ic card access program | |
| JPS63298681A (en) | Card device | |
| JPS63273151A (en) | Access management system | |
| JP2002004662A (en) | Entering and leaving management system and entering and leaving management method | |
| JP2000112989A (en) | Visiting card management system and computer readable recording medium | |
| JPH02242435A (en) | Security method for information processing system | |
| JP2002259225A (en) | Ic card system and ic card |