明 細 書
〔発明の名称〕
分散型データベースシステムにおけるセキュ リ テ ィ管理方法
〔技術の分野〕
本発明は, 公衆網などの通信ネ ッ ト ワーク に接続 された分散型データベース システムにおいてその端 末やデータベースなどの資源にアクセスする際のデ 一夕の破壊防止や機密性の保持のためのセキユ リ テ ィ管理方法に閩する。
セキュ リ テ ィ管理には, 端末に対する通信ァ ク セ スのセキ ュ リ テ ィ管理, データベースに対する利用 アク セスのセキ ュ リ テ ィ管理などがあ り , 具体的に は端末やデータ ベースの レベルと利用者のアク セス 権の管理やパスワー ドの管理, データベースのデー タ自体の保護などが行われる。
〔技術の背景〕
従来のデータ ベース システムは, 管理形態から見 た場合, 集中型データベース システム と分散型デ一 タベース システムとに分ける こ とができる。
集中型データベースシステムは, 全てのデータべ ースをセ ンタホス ト で一元管理させ, ネ ッ ト ワーク の各端末はセ ンタホス ト にア ク セス して必要な情報 を検索する ものであり, 管理と検索が容易て'ある反
面, データベースへのアクセスが基本的には開放型 管理となって原則許可, 特別な場合に禁止となるた め複雑なデータベースのセキュ リ ティ管理が容易で ある一方誤処理が起こり易い欠点をもつ。
また分散型ネ ッ トワーク システムは, データべ一 スを分割してネ ッ トワーク内の各端末に分散管理さ せるもので, データベースのアクセスは目的のデー タベースを管理する特定の端末に対して行わなけれ ばならず, データベースの管理及び検索が多元的に なって難しく なる反面, 端末内のデータベースは基 本的に非開放型の管理となり, 他端末からのァクセ ス要求は原則禁止で, 特に許可を受けた場合に認め ることになるため, セキュリ ティ管理が容易である という利点をもつ。 しかし, 各端末での管理が独立 しているため複数の端末からなるグループを単独に データベースへのアクセスを許可 / /不許可にするよ うなセキュ リ ティ管理を行おう とすると, 各端末へ のセキュリ ティ管理情報の設定や更新に手間がかか るという欠点があつた。
特に最近では, 全国規模で公衆網に接続された分 散型データベースシステムが種々構築されるよう に なってきている。 このようなシステムでは, 各端末 がデータを作成すると, 自身で蓄積管理するととも に, その一部あるいは全部を地域ブロ ックや業務系 統别などの特定ターミナルグループ内でのみ相互の
利用を可能にしている場合が多い。 そしてこのよう な複数のタ一 ミ ナルからなるグループ内のデータベ ースを対象とするセキュ リ テ ィ管理を効率的に行う 必要性が高ま つている。
第 43 A図は従来技術説明図である。
第 43 A図において, 137は公衆網, 138及び 139 はグ ループ制ラベル, 140はメ ンバー制ラ ベルである。
従来の公衆網に接続されたシステムにおけるセキ ユ リ ティ保持方式には, 図示の如く , グループ制ラ ベル方式とメ ンバー制ラベル方式とがある。
グループ制ラベル方式は, グループ (会社や学校) のシステムで決定される ラベル (名前) を用いて, 当該グループのシステムを定義する。 例えば, A社 システム(2) はグループ制ラ ベル 138 とされ, B校 のシステム(3) はグループ制ラベル 139 とされる。 そして, 利用者が A社のシステム又はグループ制ラ ベル 138 にアクセスするためには, 利用者のパスヮ 一 ドが当該グループ制ラベル 138 の条件に合致して いる必要がある。
メ ンバー制ラベル方式は, 異なったグループ制ラ ベル 138 , 139間で共通事項を持つた利用者が集合し て定義される ラベルを用いて, グループのシステム とは異なる システムを定義する。 例えば, 異なるグ ループ制ラベル 138 , 139からメ ンバーが集ま つてプ ロジェク ト Xを行う際に, その集合がメ ンバー制ラ
ベル 140 とされる。 そして, 利用者即ちパス ワー ド がメ ンバー制ラベル 140 として定義されていれば, 当該ラベル 139 内でのアクセスが可能となる。
なお, 図中, a ないし hは, 利用者が用いるセキ ユ リ ティ のためのパスワー ド, 又は, 利用者により パスワー ドを入力されたター ミ ナルである (以下, 単にパス ワー ドという ) 。 換言すれば, パス ワー ド を持ち (知り ) , ター ミ ナルを使用する利用者であ る。
これによれば, グループ制ラベル 138 を構成する バスワー ド a , b , c及び d は, 公衆網 137 を介し て, 互いにアクセスすることができる。 同様に, グ ループ制ラベル 138 を構成するパスワー ド e , f , g及び hは, 公衆網 137 を介して, 互いにア ク セス することができる。 また, グループ制ラベル 138 及 び 138 間では通常ァクセスできない力く, メ ンバ一制 ラベル 140 を構成するパスワー ド d, f , g , 及び hは, 公衆網 137 を介して, 互いにアクセスするこ とができる。
ところが, グループ制ラベル 137, 138のいずれに も属していない (定義されていない) パスヮ一 ド i が, 第 5図図示の如く , グループ制ラベル 137 又は 138 のいずれかのパスワー ド, 例えば e との間で通 信する必要が生じた場合 > 次の如き問題がある。 即 ち, ノ、:スワー ド i は, グループ制ラ ベル 137 にァ ク
セスする こ とができない。 また, 仮に, グループ制 ラ ベル 137 ( B校の システム ) にア ク セ スでき た と しても, 当該ラベル 137 内の他のパス ワー ド f , g 及び hに対するセキユ リ ティ を保つこ とができない という問題があった。
また従来から, 公衆網に接続されているパソ コ ン 通信などにおいて個人 I D とパスヮ一 ドとを与えて 通信する方法が知られている。 また専用線をもう け て, 所定の相手との間で閉域接続する L A Nや W A Nなどが知られている。
上記公衆網を用いる場合には, いわば全国内が 1 つのグループであり, 上記パスヮー ドをもって通信 する者すべてに対して, 夫々の端末が所有する資源 がいわば解放される形となる。 また後者の場合には, 専用線をもう ける こ とから, 通信相手が例えば地域 的に限定される こ ととなる。
そして, 公衆網と専用線との間での通信が複雑と なり, また 1 つの専用線で結ばれるネ ッ ト ワーク と 他の専用線で結ばれるネ ッ ト ワーク との間の通信も 複雑となる。 そのため, 通信線の種類に影響される こ とな く , 画像情報などの大量のデータを容易に伝 送できるよう にする こ とが望まれる。
また従来の分散型データベース システムでは, 利 用者の資格検査は,
① 利用者が直接操作する端末の計算機で検査する。
② システム内の特定の端末の計算機で集中的に検 査する,
のいずれかの方法で行っている。
ある利用者がシステムを利用するにあたり, 直接 操作する端末を特定できない場合,
①に対しては, 全利用者の資格情報をシステム内 の全端末で維持する必要があり, 端末間での同一性 の確保が難しいこと, また,
②に対しては, 資格情報を持たない端末の利用者 が資格情報を変更する手続きが複雑になること, と いう問題があつた。
また従来のシステムでは, データベースに貯蔵さ れているプログラム, データ, 業務, その他のデー タベース操作について, その重要度あるいは機密性 に応じたランク付けをしてセキュリ ティを施してい る。
従来のこの種のセキュ リ テ ィ管理方法では, 処理 に対して, その重要度, 機密性, あるいは要/不要 などの評価基準, 組織の行動基準に沿ったラ ンク付 けを施し, ラ ンク付けされた各処理にア ク セスでき るユーザを設定する方法がとられている。
例えば, 上記ラ ンク として, 下位 1から上位 5ま で 5 ラ ンク (1 , 2 , 3 , 4 , 5)を設定し, S 1 , S 2 S 3 , S 4 , S 5 , S 6 , S 7 の処理について,
処 理 SI S2 S3 S4 S5 S6 S7
I
ラ ンク 1 2 4 3 5 l
(下位' - 1 2 3 4 5 - 上位) と し, 利用者である甲さんのラ ンク力く 「 3 」 , 乙さ んのラ ンク力 「 2 」 である とする。
そうする と, 甲さんが実行できる処理はラ ンクが 3以下の S l > S 2 , S 4 , S 7であり, 一方乙さ んの実行可能な処理はラ ンクが 2以下の S I , S 2 S 7 となる。
ところで, 仕事の都合上乙さん (ラ ンク 2 ) に対 してそれより上位の処理 S 3 (ラ ンク 4 ) を実行し ても らわなければならな く なったと したとき, 乙さ んのラ ンクを "4"に上げる と, 乙さんはラ ンク 4以 下の全ての処理 S I , S 2 , S 3 , S 4 , S 6 , S 7にアクセスできるよう になる。 しかし, このう ち の処理 S 3 , S 4 , S 6 は本来, 乙さんに対してァ クセスを禁止されている (プロテク ト されている) 処理であって, 処理 S 3を実行しても らう こ とは可 能となるが, 処理 S 4 , S 6にまでアクセスされて は困る こ とになる。
このよう に, 従来の技術では上位にラ ンク された 処理について必要に投じて選択的にァク セス可能に プロテク トを変更する こ とができないという問題が あった。
また従来のシステムでは, 利用者 I D (利用者識 別コー ド) とパスワー ドとを用いて利用資格をチェ ックすることが行われている。
しかし, I D番号, パスワー ドが第 3者に解読さ れたり漏れた場合, システムへ容易にア ク セスする ことができ, 不当にデータが盗まれる欠点があった。 またバスヮー ドは 1個人に付き 1 パスワー ドの割 り 当てで, システムア ク セス要求時においてそのチ ヱ ックが行われるだけであり, パスワー ドが他人に 盗まれることが非常に多かった。
そして例えば, 何らかの不正な方法によって他人 が利用者 I D及び Z又はパスワー ドを知ったとする と, この他人は, 本来の有資格者である利用者と全 く同様にして, システムに侵入し > データベースに 処理要求することができる。 従って, 利用者 I D及 び/又はバスヮー ドを知られてしまう と > データべ ース及びその内部のデータ (資源) について他人が 勝手に参照等することができるので, これらの安全 性が保てないという問題があつた。
バスヮー ドによる利用資格のチェ ックは, 例えば 利用者と端末装置の間, 利用者とシステム資源の間 等で行われる。 またデータベース システムにおいて は, 例えば利用者とデータベースの間で行われる。 このチユ ックは, 利用者が入力したパスワー ドと, 端末装置, システム資源及びデータベース (の資源)
毎に予め設定されたパスワー ドとを照合するこ とに より行われる。
このパスヮ一 ドの代表的な例が暗証番号である。 この場合, パスワー ドは各利用者個人が, 一連の文 字又ば数字等の列として暗証している。
暗証番号方式によった場合 > チユ ッ クのための装 置は比較的簡単な構成にでき, 安価にできる利点が ある。
しかし, 通常暗証番号には生年月日や電話番号等 の一定の意味を持つものが用いられることが多く , このためパスヮ一 ドが他人から容易に想像できたり, 他人に漏れたりする可能性が高い。 従って, システ ム資源等の安全を十分に図ることができないという 問題が生じる。
この問題は, 分散型データベース システム, 特に 交換網 (公衆網) を介してデータベースターミナル を接続した分散型データべ—スシステムにおいては, 無視できない問題であった。 即ち, 機密性のあるデ —夕ベースについて, 公衆網を利用する無資格者が アクセスし, 利用してしまう可能性があった。
また利用者 I Dとパスワー ドとを用いてデータべ ース等にアクセスするシステムでは, 例えばデータ ベース等を頻繁に利用する者にとって, そのァクセ スの度に I Dとパスワー ドとの両者を入力するので は面倒であるとの理由で, 簡易 I Dでもシステムに
加入できるようになってきている。 しかし従来の簡 易 I D方式では, 同一のものが登録申請されて く る と, 既に当該簡易 I Dが登録されていることを理由 に, その登録申請を拒絶していた。 そのため登録済 の簡易 I Dの内容が知れてしまい, 不正に利用され る危険性があった。
また一般に, フ ァ イ ル装置を用いて構成されてい るデータベースシステムでは, システムの様々な ト ラブルに備えてデータの保全を図ることが要求され, フ ァ イ ルの二重化, すなわちファ イ ルデータの退避 (コ ピー) が行われている。 そして, このフ ァ イ ル データの退避を行うためには退避に必要なフ ァ イ ル 容量より多く の空きフア イル容量が必要である。
そして, それぞれがフ ァ イ ル装置をそなえている 情報処理装置からなる複数の端末が公衆網に接続さ れているネッ トワークシステムにおける従来のファ ィル退避方式は, 第 44図に示すようになつていた。 すなわち, 多数の端末 〜T n が公衆網 U7 に 接続されており, 各端末は現行処理部 145 と予備処 理部 146 とを備えている。 また, これら処理部はそ れぞれ応用プログラム, データベース管理システム オペレーティ ングシステム等からなる 141 , 142とデ ータベースを構成するフ ァ イ ル装置 143 , 144とを持 つている。 そして, 必要に応じてあるいは定期的に 現行処理部 145 のフ ァ イ ル装置 143 に格納されてい
るファ イ ルデータを予備処理部 146 のファ イ ル装置 144 に退避している。
複数の端末が公衆網に接続されているネ ッ ト ヮー ク システムにおける従来のフア イ ル退避方式では, 端末自体に退避のための予備処理部 146 を別途設け ているため, システム全体のコス トが高く なる とい つた問題があつた。
また従来の分散型データベース システムでは, あ る端末からデータベースを管理する端末に対してプ πグラムの転送要求があった場合, 要求元の端未で は, 転送されてきたプログラム (要求プログラムと いう ) を二次記憶装置に格納して, 端末内のシステ ム資源と してィ ンス トールしてから使用していた。 このため, 要求プログラムは, 処理が終了しても要 求元端末の二次記憶装置内にそのまま残されていつ でも再使用可能であるため > プログラムの利用面数 に応じた課金を確実に行う こ とができないという問 題があった。
〔技術的課題〕
本発明は, 特に公衆網などの通信ネ ッ ト ワークに 接続された分散型データベースシステムにおいて. 各端末に分散されたデータベースを対象にター ミ ナ ルのグループレベルでのセキュ リ ティ管理を容易に 行う ことのできる手段を提供する こ とを一つの目的 としている。
本発明は, 通信ネッ トワークの種類に影響される ことなく , 大量のデータを通信ネ ッ トワークを介し て伝送するに当たって, 通信を許容された相手とァ クセスを許容された範囲で交信することを許すよう にする ことを他の一つの目的としている。
本発明は, 通信ネ ッ ト ワークに接続されたシステ ムにおいてグループやメ ンバ一のラベルの一致しな い端末との間の通信をセキュリ ティ を保持しつつ行 う こ とを可能としたセキュ リ ティ管理方法を提供す ることを他の一つの目的としている。
本発明は, 分散型データベースシステムにおいて 利用者の資格情報の登録及び変更が容易であるとと もに, 確実な資格審査が可能な資格情報の管理手段 を提供することを他の一つの目的としている。
本発明は, アクセス元とアクセス対象の間に設定 される階層構造のラ ンク付けによる従来の固定的な ァクセス可否の閬係を超えて柔軟にァクセスできる 手段を提供することを他の一つの目的としている。
本発明は, データベース中のデータの重要度に応 じて, あるいは利用者のラ ンクに応じてデータのセ キユリティを高めることを可能としたセキュリ ティ 管理方法を提供することを他の一つの目的としてい る。
本発明は, システムへの不正な侵入を一層確実に 阻止できる手段を提供することを他の一つの目的と
している。
本発明は, 簡易 I Dの重複登録時に登録を拒絶す ることな く有効な利用を可能にする手段を提供する こ とを他の一つの目的と している。
本発明は, データベースのデータ退避が必要とな つた場合の退避先ファ イ ル装置を効率的に提供する こ とを他の一つの目的と している。
本発明は, データベースのデータ としてプ αグラ ムを利用させる場合に, 利用回数に応じた課金が確 実に行われるようにすることを他の一つの目的とし ている。
〔発明の開示〕
本発明は, 前述した課題を解決するための手段を 以下のように実現する。
本発明は, 公衆網に接続された分散型データべ一 ス システムにおいて, 集中型データベースシステム の管理のしゃすい利点をとり入れるため, 分散され たデータベースを共用する複数の端末をグループ化 して見かけ上集中型データベース システムのように 扱う もので, そのためグループごとにその中の 1 つ の端末にセキュ リ ティ管理機能をもたせ, 任意の端 末のデータベースにアクセス要求がある とき, その 端末から上記管理機能をもった端末に問い合わせて アクセスの許可, 不許可を判断させるようにするも のである。
本発明はまた, 複数のグループにまたがるセキュ リ ティ管理を行わせるため, 各グループのセキユリ ティ管理機能をもった端末の上位に別のセキュリ テ ィ管理機能をもつ端末を置き, セキュリ ティ管理を 階層化することができる。
また本発明は, 分散型デ一タベース システムの各 端未に対応して, ラベル情報保持部と, レベル情報 保持部とをもうけておき, 夫々の端末が相互に通信 するに当たって, 上記ラベルに関して通信が許可さ れかつ上記レベルに関してアクセスが許可されるこ とを条件に通信を行うように構成する。
さ らに本発明は, グループ制ラベルとメ ンバー制 ラベルが定義されているシステムでは, グループ制 ラベルの異なるキーヮ一 ド間, 即ち異なるグループ 間にキーワー ドを定義することによって, 異なるグ ループの端末同士が同じキーワー ドを入力したとき , 相互の通信を可能にすることができる。
さ らに本発明は, システム内の利用者の資格情報 をその利用者が主に利用する端末にのみ登録させ, 利用者の利用者識別コー ド (ユーザ I D ) によって その登録端末を識別できるようにして, 各端末が共 同で資格情報を分散管理し, 必要な場合情報を交換 し合って資格審査が行われるようにすることができ る。
さらに本発明は, ア ク セス対象の各々に与えられ
る階層構造の各ラ ンク の ラ ベルにア ク セス元のキー コー ドを登録しておいて, そのキーコー ドが入力さ れたときァクセス元の本来のラ ンクに拘束されずキ —コー ドで指定される ラ ベルのア ク セス対象を利用 できるようにすることができる。
さらに本発明は, 利用者ごとに, 予め複数のパス ワードを登録しておいて, 時刻あるいは経過時間に 応じて正当とするバスワー ドを切り換え変更し, ァ ク セス要求時あるいは処理途中でパスヮー ドを要求 して, 入力されたパスワー ドがその時点で正当とさ れるバスヮー ドと一致するときにのみア ク セスを有 効とすることができる。
さらに本発明は, データベース中のデータの重要 度に応じた個数のパスワー ドの入力を条件付けして, 利用者識別コ 一 ドとパスヮー ドの入力個数及び入力 された各パスワー ドの内容が全て正当である場合に, データを利用可能にすることができる。
さらに本発明は, 利用者のラ ンク に応じた個数の パスワー ドの入力を条件付けして, 利用者が入力し たバスヮー ドの個数と各パスヮ一 ドの内容が全て正 当である場合に, データを利用可能にすることがで きる。
さらに本発明は, 利用者がパス ワー ドの入力操作 に要した時間をチユ ック条件として追加し, パスヮ — ドの入力に要した時間が, 予め登録されている時
間の長さから大き くずれた場合に異常と判定してァ クセス許可を行わないようにすることができる。 さらに本発明は, 簡易 I Dの登録申請は全てその まま登録し, 簡易 I Dが重複して登録された場合, その重複登録者は簡易 I Dのほか通常 I Dの再入力 が要求されるようにして, データの機密保護を図る こ とができる。
さらに本発明は, ある端末にファ イルデータの退 避要求が発生した場合, ファ イ ルデータの退避を行 う のに必要な空きフアイル容量を持つ端末を探し出 し, この端末を利用してファ イ ルデータの退避を行 わせるようにすることができる。
さらに本発明は, データベースからプログラムが アクセス要求されたとき, アクセス要求元の端末に 転送されたプログラムに消去プログラムあるいは自 動改ざんプログラムを付加し, アクセス要求元端末 において要求プログラムの処理が終了したとき, そ のプログラムを消去あるいは改ざんして以後の使用 を不能にすることができる。
〔図面の簡単な説明〕
第 1 A図乃至第 43 B図は本発明実施例の説明のた めの図であって, 第 1 A図は単一グループのセキュ リ ティ管理を行う実施例の構成図, 第 I B図は階層 化されたセキュ リ ティ管理を行う実施例の構成図, 第 2図は階層化されたグループ間管理端末の実施例
の構成図, 第 3図は端末のグループ化処理の実施例 の説明図, 第 4図は端末間通信手順の実施例の説明 図, 第 5図はラ ベル情報とレベル情報を用いたセキ ユ リ ティ管理の実施例の説明図, 第 6図は第 5図に 示す実施例のフロー図, 第 7 A図, 第 7 B図, 第 7 C図はそれぞれグループ制ラベルとメ ンバ一制ラベ ルとキーワー ドを用いた実施例の概念図, 第 8図は 第 7 A図乃至第 7 C図に示す実施例の詳細構成図, 第 9図は第 8図に示す実施例構成におけるデータ送 受信処理のフロー図, 第 10図は資格情報を分散管理 する実施例の概念図, 第 1 1図は利用者識別コー ドの 実施例の説明図, 第 12図は第 10図に示す実施例の詳 細説明図, 第 13図は階層構造をもつア ク セス元とァ ク セス対象のキーコー ドを任意の組み合わせで対応 させた群ラベルをもつ実施例の説明図, 第 14図は処 理ラ ベルの階層構造説明図, 第 15図は処理ラ ベルの 階層割り付けの説明図, 第 16図は階層メ モ リ の説明 図, 第 17図はセキュ リティ チヱ ック処理のフロー図, 第 18図はプロテク ト ラ ベル決定手順のフ 口一図, 20 第 19図は第 13図の実施例の全体構成図, 第 20図は時 間により有効なパスワー ドを切り換える実施例の構 成図, 第 21図は格納フ ァ イ ルの構成のイ メ ージ図, 第 22図はパスワー ド新規登録処理のフ ロー図, 第 23 図はシステム加入処理のフ ロー図, 第 24図はシステ 25ム加入後の処理のフロー図, 第 25 A図はデータの
重要性に応じてバスワー ド個数を変化させる実施例 の概念図, 第 25 B図は第 25 A図に示す実施例の詳細 構成図, 第 25 C図は個人情報の説明図, 第 25 D図は データ情報の説明図, 第 26図は第 25 A図に示す実施 例構成におけるデータ参照処理のフロー図, 第 27 A 図はデータ と利用者のラ ンクに応じてパスワー ド数 を変化させる実施例の概念図, 第 27 B図は第 27 A図 に示す実施例の詳細構成図, 第 27 C図は個人情報の 説明図, 第 27 D図はデータ情報の説明図, 第 28図は 第 27 B図に示す実施例構成におけるデータ参照処理 のフロー図, 第 29図はバスワード入力時間をチ ッ ク条件として付加した実施例の説明図, 第 30 A図, 第 30 B図, 第 30 C図はそれぞれパスワー ド入力制御 の説明図, 第 31図はパスワー ド入力処理のフ D—図, 第 32図はパスワー ドチユ ック処理のフロー図, 第 33 図は第 31図とは異なる実施例によるパスワー ド入力 処理のフロー図, 第 34図は簡易 I Dの重複登録時の 対応機能をもつ実施例の構成図, 第 35図は I D格納 ファ イ ルの説明図, 第 36図は簡易 I D重複チユ ック ファ イ ルの説明図, 第 37図は簡易 I D登録処理のフ ロー図, 第 38図はシステム加入処理のフロー図, 第 39図はファ ィ ルデータ退避時の端末間空きファ イ ル 利用の実施例の概念図, 第 40図はファ イルデータの 退避手順のフ口一図, 第 41図は使用終了プログラム の消去あるいは自動改ざん機能をもつ実施例の説明
図, 第 42 A図及び第 42 B図は第 4 1図に示す実施例の 詳細フロー図, 第 43 A図及び第 43 B図はグループ制 ラベルを用いる従来のセキュ リ テ ィ管理方法の説明 図, 第 44図は従来のファ イ ルデータ退避方法の説明 図である。
〔発明を実施するための最良の形態〕
第 1 A図は, 本発明による単一グループのセキュ リ ティ管理を行う分散型データベースシステムの実 施例の構成図であり, 第 1 B図は本発明による階層 化されたセキユ リ ティ管理を行う分散型データべ一 スシステムの実施例の構成図である。
第 1 A図において, 1 は公衆網, 2ないし 8 は端 末, 9 は端末 2 , 3 , 5 , 6を要素とするグループ Aである。 各端末 2 ないし 8 は, それぞれ分散され たデータべ—スを有する情報処理装置で構成される < グループ Aに属する端末のデータベースのセキュ リ ティ管理を行うため, 端末 2が選ばれ, 管理機能 を付与される。 以後管理機能をもつ端末は, 管理端 末と呼ばれる。
管理端末 2がもつ管理機能は, グループ内の分散 データベースに対すアクセス要求を, データベース 種別, 情報種別, 通信先などにより許可, 不許可と する機能のほか, 端末間の通信要求を許可あるいは 不許可とする機能, グループ内の分散データベース
を索引等で管理する機能, などを舍むことができる。 第 1 B図は, 第 1 A図の構成において, 端末 2 , 3 , 5 , 6からなるグループ Aのほか端末 4 , 7 , 8からなるグループ Bが設定され, グループ Bでは 端末 4が管理端末となり, さらにグループ Aとグル ープ B との間の分散データベース管理を行うグルー プ間管理端末 11が設けられている。
グループ間管理端末 11は, 各グループの分散デー タベースのう ち, グループ外に公開している情報と そのセキュ リティ情報とを管理し, グループ外の端 末からのァクセス要求が許可できるものであるとき, 要求された情報を送出する。
第 1 A図において, 管理端末 2には, グループ A の各端末からグループ A内の他の端末に公開できる 情報が登録される (①) 。 グループ A内で 1つの端 末から他の端末への分散データベースのアクセスは, まず管理端末 2 へのアク セス許可要求が行われ (②) 管理端末 2 はそのア ク セス要求の妥当性をチェ ック して, ア ク セス権が認められる場合許可する。 ァク セス元の端末はアクセスを許可されると, 相手端末 と通信し, アクセスを行う (③) 。 またグループ A 外の端末からグループ A内の端末へのアク セス要求 があっても, 管理端末 2が承認しない限り, 通信す ることができない。
このようにして, グループ A内では一元的なセキ
ュ リ ティ管理が行われる。 たとえばグループ内での データベース利用を自由に認め, グループ外からの アクセス要求を一律に禁止するこ とができる。
第 I B図の場合は, 管理端末 2 と管理端末 4 とが, それぞれグループ Aとグループ Bについて, 第 1 A 図で述べたようなグループ内の管理機能を果たす。 さらにグループ間管理端末 11には, グループ Aから グループ Bに公開できる情報およびグループ Bから グループ Aに公開できる情報の項目が各管理端末か ら登録され (例えば④) 管理されているので, 例え ばグループ Aの端末 3 とグループ Bの端末 8 との間 でのデータベースのアクセス要求はアクセス元の端 末から管理端末 2を介してグループ間管理端末 11に 対して行われる (⑤) 。
グループ間管理端末 11は, アクセス元端末 3から のアクセス要求内容をチヱ ック し, グループ間ァク セスとして許可できる場合には, その情報を保有す る端末 8のデータベースを検索して (⑥) , 該当す る情報を端末 3 に直接あるいは管理端末 2を介して 送出する。 なおグループ間管理端末 11が情報を送出 する代わりに, アクセスを許可できる場合アクセス 端末に情報を保有している端末のアクセスを通知す るようにしてもよい。
大規模な分散型データベースシステムの場合には, グループ数も多く なり, データベースを共用するグ
ループ同士の関係も複雑になるため, セキュリ ティ 管理を多重の階層構造で実現するのが適当となる場 合がある。
第 2図は, このような階層構造をもつセキユリ テ ィ管理のためのグループ間管理端末の構成を示し, n個のグループに対して, 1次から n次までのグル ープ間管理端末が階層化して設けられる。
第 3図は, 本発明の実施例において管理端末と配 下の端末との間でグループ化を行うための処理を示 す。
第 3図において, T は管理端末, T2 ないし Τ はグループ配下の端末である。 また GT Lはグルー プ内端末リ ス トである。
Τ, ないし Τ5 は基本的には同じ機能をもつ端末 であるが, 1 に管理端末宣言コ マ ン ドを投入し, 管理用プログラムを起動することにより管理端末と して機能するよう になる。
Τ , に管理端末宣言コ マ ン ドを投入するとき, グ ループ内端末のリ ス ト G T Lを入力する。 この場合 リ ス ト GT Lには端末 Τ, ないし Τ5 が設定されて いる。
管理端末 Τ, は, 配下の端末 Τ ないし Τ 5 に管 理端末が であることを通知し その際, グルー ブ内端末リ ス ト GT Lを転送する こ こで G T L内 の Τ, に付されている〇印は, Τ が管理端末であ
る こ とを示す。
配下の各端末 Tz ないし Τ5 は, それぞれ G T L を管理し, 自端末のデータベースにグループ内で公 開できる情報があると, その情報 I D (情報項目) を管理端末 Τ, に転送する。 管理端未 Τ, は各端末 から転送されてきた情報 I Dを転送元の端末の I D とともにセキュ リ ティ管理テーブル S MTに登録す る。
管理端末 1 は, 以後, 配下の端末からのァクセ ス許可要求がある と, セキュ リ ティ管理テーブル S ΜΤを参照して, 要求内容の情報 I Dと端末 I Dと に合致するものがあればアクセス要求を許可し, そ の他の場合は不許可とする。
セキュ リ ティ管理テーブル S Μ Τには, 情報 I D と端末 I Dを登録する代わりに, 公開対象情報種別 と許可できる端末のグループ I Dを登録し, これを 用いてセキュリ ティ管理を行う ことも可能である。 第 4図にその実施例を示す。
第 4図の実施例は公衆網を介して行われる端末間 の通信手順を示す。 図において, Τ, ないし Τ5 が グループ内端末, Τ6 がグループ外端末である。 ま た Τ, は管理端末である。
Τ3 が Τ4 に対してデータを送信するアクセス要 求をもった場合, Τ3 は Τ, に対して回線を確立し, Τ, を宛先とする送信許可要求を Τ, に発信する。
このとき自己のグループ I Dとアクセスしたい情報 の情報種別とを指定する。 T, は, グループ内端末 リ ス ト GT Lによりァクセス元端末が自グループ内 のものであることを確立し, さ らにセキュリ ティ管 理テーブル S M Tで要求された情報種別とグループ I Dが登録されているかどうかを調べ, 登録されて いれば許可する。
T3 は許可を受けると, Τ との間の回線を解放 し, 次の T4 に対して画線を確立した後, データ送 信要求を行って, 確認応答があるとデータを送信し, 終了すれば HI線を解放する。
一方, グループ外の T6 が Τ3 に対してデータを 送信する要求をもつ場合, Τ6 は Τ3 との間で回線 を確立した後, データ送信要求を行う。 Τ3 はこれ により Τ, に対して, Τ6 からのデータを受信する 受信許可要求を行う。 Tt は, グループ内端末リ ス ト GT Lを参照して, T6 が自グループ内のメ ンバ でないことを知り, 不許可を回答する。 Τ3 は, こ れにより Τ6 との間の回線を解放し, Τ6 との間の 通信を拒否する。
これにより, 多数の端末が公衆網に接続されてい る分散型データベースシステムにおいて, グループ 化による部分的な集中管理が行われるため, データ ベースの管理及び検索の効率化が図られ, また柔軟 で信頼性の高いセキユリ ティ管理が可能となる。
第 5図は, 本発明によるラ ベル情報とレベル情報 を用いたセキュ リ ティ管理方法の実施例説明図であ る。 図中の 12は通信網, 13ないし 23は夫々端末, 24 はラベル情報保持部, 25はレベル情報保持部, 26は 資源, 27はラベル照合機能部, 28はレベル照合機能 部を表している。
各端末 13ないし 23は夫々, 例えば電話番号の如き 番号情報をユニークにもっている こ とは言うまでも ないが, 夫々の端末は, ( i ) 必要に応じて縦ラベ ル A , , Α 2 , Α 3 , ……で示す如く第 1 の観点 (例えば地域上近接しているなど) から群に区分さ れて縦ラベルを付与され, ( ii ) また必要に応じて 横ラベル Β , , ……で示す如く第 2 の観点 (例えば 本店と支店など) から群に区分されて横ラベルを付 与され, ( iii ) 更に必要に応じて縦 · 横両群に属し ていない第 3者端末 23と交信を許されるキーワー ド ' ラベルにもとづいて群に区分されてキーワー ド · ラベル C , , ……を付与され, ( iv ) また必要に応 じていずれの端末とも自由に交信できる全体ラベル Dを付与される。
各端末には, ( i ) 自己に支出されたラベルを保 持する ラベル情報保持部 24 , ( ϋ ) 自己がアクセス できる資源を限定するために用いられるレベルが保 持されるレベル情報保持部 25 , ( iii ) 自己が所有す る資源 (図示資源 No. 1 , No. 2の如きに対応してァク
セス許可条件を資源と共に有する資源保持部 26 , ( iv ) 自己が交信する相手端末のラベルと照合する ラベル照合機能部 27 , ( V ) 自己が所有する資源に 対するアクセスを許すか否かを照合するレベル照合 機能部 28がもう けられている。
言うまでもな く , 端末相互間で交信するに当たつ ては, 夫々の端末において, ラベル照合機能部 27が, 自己の端末のラベルと相手端末のラベルとを照合し- 同じラベルを共通する相手端末とのみ交信が許され る。 勿論, 全体ラベル Dを有する端末例えば 22にお いては, すべての相手端末と交信を許される。
上記交信を許された端末相互間において, 相手端 末から自己の所有する資源をアクセスされた場合, 図示のレベル照合機能部 28が当該相手端末に付与さ れている レベルと当該資源に付与されているァクセ ス許可条件とを照合し, アクセス許可であることを 条件にァクセスを許すようにする。
今例えば端末 14にラベル A , , B , のみが与えら れている場合には, 図示端末 13 , 端末 14 , 端末 18 , 端末 19 , 端末 20との交信が許される。 また資源 No. 1 に対しては, 図示の場合, レベル 「 5 」 以上の端末 に対してのみアクセスが許される。 また資源 No. 2に 対しては, 図示の場合, レベル 「 1 」 以上の端末に 対してアクセスが許され.る。
第 6図は第 5図に示すセキュ リ ティ管理の一実施
例フローを示している。
(1) ユーザ端末側で通信要求①を行い自己のラ ベル を送信③することに対応して, データベース側端 末で要求受信②とラベル受信④とが行われる。 (2) ラ ベルを受信したデータベース側端末において ラベル整合の正否を調べ⑤, 否の場合には利用者 端末側に通知し, 正の場合には資源要求を持つ。
(3) ユーザ端末側において, 「ラベル整合否」 か 「否」 かが調べられ⑥, 整合否を受信していると ア ク セス拒否となり, ラ ベル整合否を受信してい なければ資源要求⑦を行う と共にレベルを送信⑨ する。 これに対応して, データベース側端末にお いて, 要求受信⑧とレベル受信⑩とが行われる。
(4) レベルを受信したデータベース側端末において レベル整合の正否を調べ⑪, 否の場合には利用者 端末側に通知し, 正の場合にはコマン ド通信⑬を 行う。
(5) 利用者端末側で, レベル整合否か否かが調べら れ @ , 整合否を受信しているとア ク セス拒否とな り , ラ ベル整合否を受信していなければコ マ ン ド 受信を待つ。 そ して, コ マ ン ドが受信⑭されると, 実データ要求⑩を行う。 なお, 上記コマン ドとは, 画面を表示するために必要な画面の構成要求デー タの集まり と考えてよい。
(6) 実データの要求を受けたデータベース側端末に
おいて当該要求を受信する⑱と, 実データを送信 ⑰する。
(7) 利用者側端末において, 実データを受信⑩する と, 当該実データが C R T上に表示される。
第 5図に示すラベル照合機能部 27は次の如き動作 を行う ものと考えてよい。 即ち, 今第 5図図示の端 末 16から端末 14に対して通信要求があつたとすると, 端末 16は図示の場合にはラベル A z のみをもってい るにすぎないことから, 端末 13のもっているラベル A , とラベル とのいずれにも整合しない。 この ため端末 14はラベル整合否を送出するこ ととなる。 また端末 13 , 15 , 18 , 19 , 20, 22から端末 14に対し て通信要求があった場合には, ラベル 又は B , において整合があるか, ラベル Dが全体ラベルであ ることから整合否となることがない。
また第 5図図示のレベル照合機能部 28は次の如き 動作を行う ものと考えてよい。 即ち, 今端末 20がレ ベル 4をもつものとし, 端末 20から端末 14のもつ資 源 No. 1 に対してアクセス要求があつたとする。 この 場合には, レベル照合機能部 28は, 資源 No. 1 のもつ アクセス許可条件 「≥ 5 _i と端末 20のもつレベル 4 とを照合する。 そして, レベル整合否を送出するこ とになる。 また端末 20が端末 14のもつ資源 No. 2に対 してアクセス要求を発した場合には, 資源 No. 2のも つアクセス許可条件が 「 1 」 であることから, レ
ベル整合否となる こ とがない。
なおアクセス許可条件と しては, 例えば 「 8 で あって≥ 2 」 の如き形で与える こ ともできる こ とは 言うまでもない。
以上説明した如 く , 例えば公衆網のもつ全国的な 規模での自由な相手との通信機能と, 専用線の場合 に利点であった限定された相手とのみの通信機能と の両者を享受する こ とができる。 更に資源に対する ア ク セスに当たっても, ア ク セス許可条件が与えら れる こ とから, 個々の資源毎にア ク セスの可否が調 ベられる。
第 7 A図, 第 7 B図, 第 7 C図は, 本発明による グループ制ラ ベル, メ ンバー制ラベル, キーワー ド を用いるセキュ リ ティ管理方法の概念図である。 第 7 A図乃至第 7 C図において, 1 は公衆網, 2及び 3 はグループ制ラベル, 4 はメ ンバ一制ラベル, 5 はキ一ワー ドラベル, 6 は端末, 7 はデータ格納部, 8 は実データ, 9 は送信データである。 また, a な いし i は, 利用者が用いるセキュ リ ティ のためのパ スワー ド又はキーワー ド, 又は, 利用者によりパス ワー ド又はキーワー ドの入力された端末である (以 下, パス ワー ドという ) 。
グループ制ラベル 30及び 31は, 各々, パスワー ド a ないし d及びパスヮー ド e ないし hによるァクセ スを可能とするよう定義され, これにより各ラ ベル
30および 31内での通信の安全性を保つ。
メ ンバー制ラベル 32は, 互いに異なるグル一プ制 ラベル 30及び 31間での通信を可能とするために, こ れらに舍まれるパスワー ド d > f > g及び hによる ア ク セスを可能とするよう定義され, これにより 当 該ラベル 32内での通信の安全性を保つ。
各ラベル 30 , 31及び 32内での通信は, 各々, 公衆 網 29を介して行われる。 公衆網 29には複数の端末 34 が接続される。 そして, 所定のパスワードが入力さ れた端末 34の間で, 前記通信が行われる。
キーワードラベル 33は, グループ制ラベル 30及び 31の内外での通信を可能とするために, これらの外 とこれらに舍まれるバスヮー ド a ないし hのいずれ 力、 (例えば e ) との間のアク セスを, 予め定めたキ 一ワー ド (例えば 「 A A」 ) により可能とするよう 定義される。
キ一ヮ一 ドラベル 33内での通信は, 公衆網 29を介 して, キーワー ド A Aが入力された端末 34間で行わ れる。
こ の通信は, 次の如く行われる。 即ち, グループ 制ラベル 30及び 31外のタ一ミナル 34に, キーワード A Aが入力される。 以下, このター ミ ナルを端末 T 1 (又はパスワー ド i ) という。 端末 T 1 は, 送信 先であるグループ制ラベル 31内のバスヮー ド eの入 力された端末 34に送信データ 37を送信する。 以下,
この端末を端末 T 2 (又はパス ワー ド e ) という。 送信データ 37は, 実データ 36を端末 T 1 において コー ド化して得たコ マ ン ド G 01に, キーワー ド A A 及び端末 T 1 のナ ンバー T 1 を付したものとされる, 端末 T 2 は, 送信データ 37を受信する と, これに 舍まれたキーワー ド A Aと, 端末 T 2 に入力された キーワー ド ( A A ) とを比較する。 そして, 両者が 一致した場合, 送信データ 37中の端末ナ ンバー T 1 に基づいて, 端末 T 1 に対して実データ 36の送信を 要求する。
端末 T 1 は, この要求を受けて, 実データ 36を端 末 T 2 に送信する。
以上によれば, キーワー ド A Aを予め定める こ と により, グループ制ラベル 31 (及び 30 ) の内外の通 信を可能とする こ とができる。 また, キーワー ド A Aを持たない (知らない) 他のパス ワー ドが実デー タ 36を知る こ とはできないので, 安全性を保つこ と ができ る。
第 8図は第 7図に示すセキュ リ ティ管理方法の実 施例の詳細説明図である。
第 8図において, 38はデータ ' コ マ ン ド及びキー ワー ド管理部 (以下, 管理部という ) , 39は通信制 御部, 40は送信部, 41は受信部, 42はメ ール格納部, 43は入出力制御部, 44は画面表示部, 45はキーボー ド, 46はキーワー ド比較判断部である。
前述の如く, 端末 T 1 は, 公衆網 29に接続された 端末 34であって, キーワー ド 33のキーワー ド A Aを 知るユーザ ( i 氏) によってキーワー ド A Aが入力 され使用されるものである。 従って, 端末 T 1 は, キーヮ一 ドラベル 33をパスヮー ド e と共に定義する パスワー ド i である。 端末 T 1 (又はバスワー ド i ) は, グループ制ラベル 30及び 31 , 更には, メ ンバ一 制ラベル 32のいずれにも属さない。 即ち, これらを 定義するパスワー ド aないし hを持たず (知らず) , これらとは無関係である。
端末 T 2 は, 公衆網 29に接続された端末 6であつ て, グループ制ラベル 31のパスワー ド eを知る利用 者 ( e氏) によつてパスヮー ド eが入力され使用さ れるものである。 端末 T 2 は, グループ制ラベル 31 を定義するパスワー ド eであると共に, キ一ワー ド A Aを知る利用者 ( e氏) によってキーワード A A が入力されキ一ヮ一ドラベル 5を定義するものでも ある。
管理部 38は, 端末 34におけるデータ, コマン ド, キーワー ド, パスワー ド等を管理する。
また, 管理部 38は, 実データ 36からこれを圧縮し たコマン ド G 01を作成する。 なお, 実際には, 「 G 01」 は実データ 36のネーミ ングである。 実データ 36 及びコマン ド G 01は, データ格納部 35に格納され, その位置が, 管理部 38によって管理される。 更に,
管理部 38は, 実データ 36の要求を受ける と, その送 信のための処理を行う。
通信制御部 39は, 送信部 40及び受信部 41からなり: 端末 34間でのデータの送受信を行う。 特に端末 T 1 の通信制御部 39は, キ一ワー ドラベル 33内の通信に おいて, 送信データ 37及び実データ 36の送信を行う < 送信データ 37の送信の際, 通信制御部 39 (又は管理 部 38) において, コマン ド G 01にキ一ワー ド A A及 び端末ナ ンバーが付加され, 送信データ 37が組み立 てられる。 一方, 端末 T 2 の通信制御部 39は, キー ヮー ドラベル 33内の通信において, 送信データ 37を メ ール格納部 42に格納すると共にこれを入出力制御 部 43に通知し, また, 端末 T 1 に対して実データ 36 の要求を行う。
なお, キーワー ドラベル 33内の通信である こ とは, キーワー ド A Aの入力により判別できる。
メール格納部 42は, 端末 34内のメ モ リ の所定の領 域に設けられ, 特に, 他の端末 34からメ ールと して 送出されてきたデータを格納するためのものである。 入出力制御部 43は, 画面表示部 44に所定の画面を 出力し, キーボー ド 45からの入力を受け付ける。 画 面表示部 44には, 送信データ 37の受信通知, 実デー タ 36等が表示される。 キーボー ド 45からは, 利用者 ( e氏) によってバスヮ.一ド, キーワー ド A A等が 入力される。
キーワー ド比較判断部 46は, キーワー ドラベル 33 内の通信において, メール格納部 42内の送信データ 37中のキーワー ド (A A ) と, 当該端末 ( T 2 ) に そのキーボー ド 45から入力されたキ一ヮ一 ド ( A A ) とを比較し, その結果に応じた処理を行う。 即ち, 一致した場合, 通信制御部 39に実データ 36を要求す るようにさせる。 一方, 不一致の場合, 画面表示部 44に実データの表示を拒否する旨を表示させ, 以後 の送信データ 37又はキーヮー ド A Aを用いた通信に ついての一切のアクセスを拒否する。
なお, 端末 T 1及び T 2 は, 送信側及び受信側の 機能を合わせもつものである。
第 9図は, 第 8図の実施例におけるデータ送受信 処理のフ口一である。
① キーワー ド A Aを知る利用者 ( i 氏) 力く, 端末 T 1 にキーワード A Aを入力し, 更に, 端末 T 2 を送信先とした実データ 8 の送信を指示する。 端 末 T 2 は, 同じく キーワー ド A Aを知る利用者 ( e氏) が使用する端末である。
管理部 38は実データ 36をデータ格納部 35に格納 し, コマン ド G 01を作成しその送信を端末 T 1 の 通信制御部 39に依頼する。
通信制御部 39は, コマン ド G 01にキーワー ド A A及び端末ナ ンバー T 1 を付加して送信データ 37— とし, これを端末 T 2に送る。
② 端末 T 2 の通信制御部 39は, 送信データ 37を 受信すると, これをメ ールであると判断してメー ル格納部 42に格納する。
③ 利用者が端末 Τ 2 の使用を開始すると, 入出力 制御部 43が, メール格納部 42を検索してメールを 受信していることを画面表示部 44に出力する。 従 つて, この時点では, メ ールの内容 G 01 , A A , Τ 1 が表示されることはない。
これを見た利用者 ( e氏) 力く, キーボー ド 45か らキーワー ド ( A A ) を入力する。
④ キーボー ド 45から入力されたキーワー ドは, 入 出力制御部 43で受け付けられキーヮー ド比較判断 部 46に送られる。
キーワー ド比較判断部 46は, メ ール格納部 42の 送信データ 37のキーワー ド A Aと, 入力されたキ ーヮー ドとを比較する。
両者が不一致の場合, キーワー ド比較判断部 46 は, 入出力制御部 43に 「アクセス拒否」 を通知す る。 入出力制御部 43は, 画面表示部 44に実データ 36の表示を拒否する旨を表示し, 以後のアクセス を拒否する。
なお, 実際は, 実データの表示を拒否する旨を 表示するのみでな く, メ ールの内容 G 01及び T 1 ( A Aはいうまでもない) を参照できないように し, かつ, 表示しないようにする。 これにより,
キーワー ド A Aが入力されない場合, 端末 T 2か ら端末 T 1 へ接続することは全く不完全となり, 実データ 36の安全が保たれる。 従って, 通常, e 氏が使用する端末 T 2を使用して, 他人が実デー タ 36を知ろう としても, 不可能である。
⑤ 両者が一致する場合, キーワー ド A Aを知る正 当な利用者 ( e氏) が使用しているものと判断し て, キーワー ド比較判断部 46は, 端末 T 2 の通信 制御部 39に, 実データ 36を要求する旨を通知する。
なお, キーワー ド比較判断部 46が, 入出力制御 部 43に対してメ一ルの内容 G 01及び T 1 を画面表 示部 44へ表示するように依頼してもよい。 この場 合, これを見た利用者 ( e氏) 力、', キーボード 45 から, 端末 T 1 へ実データ 36を送信する要求を入 力すると, これが通信制御部 39に通知される。
これを受けて, 通信制御部 39は, メール格納部 42の送信データ 9中の端末ナンバー T 1 に基づい て, 端末 T 1 との間で公衆網 1 を介してデータ リ ンクを確立したうえで, 端末 T 1 に実データ 36を 要求をする。
⑥ 端末 T 1 の通信制御部 39は, この要求を受信す ると, これを管理部 38へ送る。
管理部 38は, データ格納部 35の実データ 36を端 末 T 2 に送信する ことを, 通信制御部 39に依頼す る。
⑦ 通信制御部 39は, 実データ 36を, 端末 T 2 に送 信する。
⑧ 端末 T 2 の通信制御部 39は, 実データ 36を受信 する と, これが実データ 36である こ とを判断した うえでメ ール格納部 42でな く入出力制御部 43に送 る。
⑨ 入出力制御部 43は, 画面表示部 44に実データ 36 を出力する。
以上によれば, 実データ 36を端末 T 2側で受け取 る ことができるのは, キーワー ドラベル 33のキーヮ ー ド A Aを知る利用者 ( e氏) , 即ち, キーワー ド ラベル 33におけるアクセスを可能とされたパスヮ一 ド e のみである。
また端末 T 2 において, 実データ 36はそのデータ 格納部(35)に格納されるが, この時, その管理部(3 8)によってキ一ワー ド A Aと共に管理される。 従つ て, T 2 に取り込まれた実データ 36を参照できるの も, また, キーワー ド A Aを知る利用者 ( e氏) 即 ちパスヮー ド e のみである。
なお, 前述の実施例においては, パスヮ一 ド i が パスワー ド e との間でキーワー ドラベル 33を構成す る例について説明した力、', パスワー ド i 力く, パスヮ 一ド a ないし hのいずれとキーヮー ドラベル 33を構 成するものであってもよい。 また, ノ、'スワー ド a な いし h の複数とキーヮ一 ドラベル 33を構成してもよ
い。 また, パスヮー ド i は, ノ、'スワー ド a ないし h 以外のパスヮー ドとの間でグループ制ラベル又はメ ンバー制ラベルを構成するものであってもよい。 即 ち, ノ、'スワー ド i は, 少な く とも, グループ制ラベ ル 30及び 31とメ ンバ一制ラベル 32のいずれも構成す るパスワー ドではな く, これらのラベル 30 : 31及び 32の外にある (属さない) ものである。
以上説明したように, 公衆網に接続されたシステ ムにおいて, 予め定められたキ一ワー ドを用いるキ 一ワー ドラベルを定義するこ とによって, グループ 制ラベル及びメ ンバー制ラベルの内外での通信のセ キユリ ティを保ちつつ行う ことができるので, 極め て少数のユーザが公衆網を利用して安全に通信を行 う ことが可能となる。
第 10図は, 本発明により資格情報を分散管理する セキュリ ティ管理方法の概念図である。
第 10図において, 47 , 48 , 49はそれぞれ端末 A , 端末 B , 端末 Cであり, 50 , 51 , 52はそれぞれ端末 A , 端末 B , 端末 Cに登録されている利用者資格情 報である。
端末 Aの利用者資格情報 50には, 端末 Aを主に利 用する利用者 A 1 , A 2 , A 3 の資格情報が舍まれ: 同様に端末 Bの利用者資格情報 51には利用者 B 1 の 資格情報が舍まれ, 端末 Cの利用者資格情報 52には' 利用者 C 1 の資格情報が舍まれている。 各端末に対
する利用者の資格検査依頼は, 利用者資格コー ドを 用いて行われる。 利用者識別コー ドには, その利用 者の資格情報が登録されている端末の識別コー ドが 舍まれている。
例えば端末 Aにおいて利用者 A 1 あるいは利用者 A 2 についての資格検査依頼があれば, 端末 Aは利 用者識別コー ドから資格情報の登録端末が自己端末 であることを知り, 利用者資格情報 50を検索して該 当する情報を読み出し, 検査依頼元に結果を通知す る。 しかし, 端末 Bにおいて利用者 A 3 の資格検査 依頼があった場合には, 端末 Bはその利用者識別コ 一ドから資格情報の登録端末が端末 Aであることを 知り, 端末 Aに検査依頼を行う。 端末 Aは, 利用者 資格情報 50から A 3 の資格情報を読み出して結果を 端末 Bに通知し, 端末 Bはそれを検査依頼元に通知 する。
第 11図は, 利用者識別コー ドの実施例説明図であ る。 図示のよう に各利用者識別コー ドは登録端末 (又は計算機) の識別コー ト"と利用者の識別コー ド との組み合わせからなっている。 この例では端末 A の識別コー ドは C 0 M 001 , 端末 Bの識別コー ドは, C O M 002 , 利用者の識別コー ドは I D 0001 , "'で 表されている。
第 12図は, 資格情報を分散管理する端末の処理の 実施例説明図である。
第 12図において, 端末 A ( C O M001)と端末 B ( C O M002)は, 同じ処理機能をもち, 端末 Aの場 合, 53で示す検査依頼の受付 · 回答処理と, 54で示 す登録端末振り分け処理と, 55で示す資格検査処理 と, 56で示す他端末への検査依頼処理とを舍む。
処理の流れ ®〜®は, 利用者識別コー ド ( C O M
001 一 I D 0001 ) の資格検查依頼の場合のもの, そ して処理の流れ ®〜®は利用者識別コード ( C O M
002 - I D 0002) の資格検査依頼の場合のものであ る。
端末 Aは, 利用者識別コー ドが入力されると, 検 查依頼受付回答処理 53で受け付け, 登録端末振り分 け処理 54で利用者識別コ 一ドの中の登録端末コ一ド 部分を見て自己端末か他端末かを識別して振り分け, 自己端末の場合, 資格検査処理 55で利用者資格情報 50を検索し, 該当する利用者 ( I D 0001 ) の資格レ ベル" Γ を読み出して依頼元に面答する。 他方, 他 端末の場合には, 他端末への検査依頼処理 56で端末 Bに資格検査依頼を出す。 端末 Bでは上述した端末 A内の処理と同様な処理を行って結果の資格レベル ( I D 0002 ) に対応する資格レベル "3" を端末 Aに 回答する。 端末 Aはこれを依頼元に画答する。
このようにして, 各端末は, 自己端末に登録され ている利用者の資格情報のみを管理してその資格検 查のみを行えばよ く , 新たな資格情報の登録や登録
内容の変更も一つの端末においてのみ行えばよいか ら, 作業が簡単になり, またエラー発生の可能性も 小さ く なる。
第 13図は, アクセス元のラ ンク と関係な く ァクセ ス対象を利用できるようにする本発明のセキユ リ テ ィ管理方法の原理説明図である。
第 13図において, 57は判断手段, 58は階層記憶手 段 (階層メ モ リ ) , 59はラベル設定手段, 60はラベ ル設定入力, 61はユーザコー ド/処理名入力, 62は 処理許可 (起動) 信号である。
同図において, 階層メ モ リ 58には組織のライ ン等 により区分されたラベル付けされた階層構造のユー ザコード, あるいは処理の重要度, 機密性等の内容 に応じた階層構造のラベルを付けた処理コ一 ドが格 納されている。
ラベル設定手段 59は, ユーザまたは処理のラベル を機動的かつ自由に新設できる機能を備え, 仕事の 都合に沿って上位階層の特定処理を下位の処理に設 定されているユーザでも実行可能となるようにユー ザラベルまたは処理ラベルを新設あるいは変更する c ラベルの新設は, ラベル設定入力 60で指定された 所望の処理コー ド, または処理コー ドの組み合わせ (群) , または所望のユーザコー ド, またはユーザ コー ドの組み合わせ (群) を指定した新ラベルを作 り, これをラベル設定手段 59に登録 (記憶) させる
ことにより行われる。
処理を起動させるか, 否かを指令する処理許可信 号 62は, ユーザが入力するユーザコー ド/処理名 (処理コー ド) 入力 61について, ラベル設定手段 59 の設定内容との一致を判断手段 57で判断し, 一致し た場合に出力される。
ラベルを 1 または 2以上の群として階層構造とし, ユーザにコー ドを持たせる一方, 処理にもラベルを 割り 当て, そのラベルに属するコー ドのユーザ, 又 はそのラベルの下位に位置するラベルに属するコ一 ドを持つユーザが登録されている場合に, 当該処理 が実行可能に設定する。
これにより, 処理側でもユーザを設定でき, プロ テク 卜の対象をユーザ側からのみならず, 処理側か らも自由に設定することができる。
第 14図は処理群ラベルを本発明による階層構造と した場合の実施例説明図であって, 口は処理, 口の 中の英大文字はラベル (ラベル名 : 処理キー) であ る。
同図において > ラベル Aは, 最高階層 (最高ラ ン ク ) 5 の処理で処理コー ド S 5をもつ。
ラベル A Aは, ラ ンク 4 の処理で処理コー ド S 3 6をもつ。
ラベル A A Aは, ラ ンク 3 の処理で処理コー ド S ' 4をもつ。
ラベル AAAAは, ラ ンク 2 の処理で処理コー ド S 2をもつ。
ラベル AAAAAは, ラ ンク 1 の処理で処理コー ド S 1 , S 7 をもつ
以下, 同様。
こ こで, 処理コー ド S 2 の処理 (この場合, 処理 コー ド S 1 , S 7 の処理も可能) に加えて, 処理コ ー ド S 3を同一ラ ンク と して処理可能とするために, ラ ンク Xとしてラベル A A Bを新設し, これに処理 コー ド S I , S 2 , S 3 , S 7をもたせるよう にす る。
これにより, 処理名 (すなわち, 処理コー ド) と して S I , S 2 , S 3 , S 7の何れかと, 後述する ユーザラベルとの一致があれば当該処理が起動でき る。
すなわち, これをさ らに説明するば, 第 14図のラ ベル A, A A , AAA, A AA A, AAA AAの関 係は, ラベル A A A A Aの割り 当ったものは処理コ ー ド S I , S 7 の処理が可能で, ラベル A A A Aの 割り 当ったものは処理コー ド S 2 とそれの下位にあ る A AAA Aに属する S .1 と S 7 の処理が実行可能 となる。
同様に, ラベル A A Aが割り当ったものは処理コ ー ド S I , S 2 , S 4 , S 7が実行可能で, ラベル A Aは S I , S 2 , S 3 , S 4 , S 6 , S 7力 , そ してラベル Aは S I , S 2 , S 3 , S 4 , S 5 , S 6 , S 7 の全てが実行できる。
こ こで, 例えばラベル A A Bとして処理コー ド S 1 , S 2 , S 3 , S 7 を割り付ければよい。 そして ラベル A A Bの割り 当ったものは処理コー ド S 1 , S 2 , S 3 , S 7を実行できるようにすればよい。 第 15図は階層構造にした処理を群ラベルにユーザ コー ドを割り付けた実施例説明図であって, □はュ 一ザ, □内の記号はユーザラベル (ユーザキー) で ある。
同図において, 最上位のユーザ階層は会社 (社長) のラベル◎についてュ一ザコード aをもつ。
その次のユーザ階層 (部長) には〇〇部のラベル を付し, ユーザコー ド bをもつ。
同様に, 以下のユーザ階層について, 〇〇〇課 (課長) はユーザコード dを, 〇〇〇〇班 (班長) はユーザコー ド i を, 〇〇〇〇〇 (班員) はユーザ コー ド n , 0 , pをもつ。
言い方を替えると, a は社長, b , c は部長, d > e , f , g , hは課長, i , j , k , 1 , mは班長, !!〜 z は班員である。
ここで, ある処理に〇〇△△班という ラベルを割
り付けると, その班長 k と班員 s > t , u とがこの 処理を実行可能となる。
課長である e はラベルが〇〇△課の処理のみ実行 可能であるから, 〇〇厶厶班のラベルを付された処 理を実行することはできない。
同様に, 部長 b も社長 a も上記ラベル〇〇厶厶班 の処理にアクセスするこ とはできない。
しかし, こ こで若し, 課長 e にラベル〇〇△△班 の処理を可能にしたい場合には, 〇〇厶厶班または 〇〇△△△のところにユーザコー ドとして eを追加 すればよい。
また, 〇〇〇課〇〇〇〇班の班員 Pが仕事の都合 上どう しても X X X課 X X X X班の処理を必要とす る場合には, X X X X班のところにュ一ザコー ド P を追加すればよい。
第 16図は第 15図で説明した階層構造をもつファ ィ ルについての説明図であって, 第 13図の階層メ モ リ 58に格納されるテーブルである。
同図に示したファ イ ルは, 会社単位, 部単位, 課 単位, 班単位, 班内単位にキーを構成して検索を可 能にしている。
すなわち, 会社キーである社長が◎キーでこれに 対してユーザコー ド aが登録されている。
以下, 部キーは〇〇, X X , 課キーは o〇〇, 〇 〇△, 〇〇□, X X , X X 0 , …, 班キーは〇〇
〇〇, 〇〇△〇, ♦··, 班内キ一は〇〇〇〇〇> 〇〇 △〇〇, …のように割り当てられ, それぞれに許可 されたユーザコー ド, ユーザコー ド群が登録される。 第 17図は, セキュ リ ティ チヱ ッ クの動作を説明す るフローチャー トであって, 以下このフローチヤ一 トを参照してセキュリティチユ ック方法を説明する。 同図において, まず処理名とユーザコー ドとを入 力する ( S — 1 ) 。 ここで, 処理名を " A" , ユー ザコー ドを " u " とする。
階層メ モ リ に登録されている処理ラベル対応表に より処理名 "A " を探す ( S — 2以下) 。 処理名が あるか否かを判断し ( S — 3 ) , 有る場合はそのラ ベルが会社であるか ( S — 4 ) , 部であるか ( S — 五) , 課であるか ( S— 6 ) を順々にサーチしてい
< 。
この例では, 処理 "A " に付いたラベル名が 「〇 〇△課」 となっているので, 「0〇厶課」 を課キー につめ前記第 16図のファ イ ルを読む ( S — 7 ) 。
ファ イ ルを読んだ結果, その登録 ( レコード) の キーが 「〇〇△」 になっている個所に " u " が記述 されているか否かをチェ ックする。 即ち, 第 16図図 示矢印 αの個所にユーザコー ド " u " が記述されて いるか否かを調べる。 無ければ次の矢印 ^の如く 「〇〇△課」 に属する内容をキーが変わるまで ( 「 〇〇△課」 でな く なるまで) ( S — 8 ) , または
" u " が見つかるまで繰り返す ( S — 8 , S — 9 , S -11) 。 キーが変わったときは起動付加としてプ ロテク トする。
ユーザコー ド " u " が見つかると ( S — 9 ) , 該 処理 "A " は処理許可であるとして, その処理を起 動させる ( S — 10) 。
第 18図はプロテク ト ラベルを新設してラベル設定 手段に登録する手順を説明するフローチャー トであ つて, ここでは上記第 16図に示したファ イル構成に 対して, 新たにユーザコー ド " j " , " u " を持つ 二人のユーザに対して或る処理を許容するプロテク ト ラベルの一般的決定手順例である。
同図において, まず, 当該処理のラベルに対応し てユーザ(" j " , " u ")がすでに登録されているか 否かを判断し ( S — 20) , 登録済の場合 ( Y E S ) は新設不要であるから終了する ( E N D ) 。
登録されていないときは ( N O ) , ユーザコー ド ( " j " , " u " ) を共に含む班内キーが有るか否 かを判断し ( S — 21) , 有る場合には当該班内の位 置に新たに班内キ一を新設し ( S —22) , 無ければ ユーザコー ド(" j " , " u " )を共に舍む班キ一が有 るか否かを判断し ( S — 23) , 有る場合には当該班 内の位置に新たに班内キーを新設する ( S — 24) 。
以下, 下位の階層から見ていき ( S — 24以降) , 当該ユーザコー ドが無い場合は上位階層に進んで,
順次班キ一新設 ( S— 26 ) , 課キー新設 ( S — 27 ) , 部キー新設 ( S — 30 ) を行い, これを階層メ モ リ に 登録する。
なお, 最上位階層ラベルに至っても当該ユーザコ ードが無い場合は, 論理ミ スであるとして終了する。
上記のようなプロテク トラベルの新設を行う こと により, 下位階層のユーザが上位階層の特定処理を 実行できる。 即ち, 第 16図図示の場合においてユー ザコー ド(" j " , " u " )に対して実行可能な処理を 新設したい場合には, 第 16図図示の矢印 r の位置に 「〇〇Δ厶 X」 をもつものを新設して, ユーザコ一 ド(" j " , " u " ) を割り付けるようにする。
第 19図は本発明を実施したデータベース利用シス テムの構成例を説明するネッ トワーク図であって, 63は, ネッ トワーク, 64— 1 , 64 - 2 , 64— 3 , 64 — 4 , …, 64— nはユーザ, 10はネッ トワーク交換 網, Lは各ユーザの端末をネッ トワーク変換網に接 続するデ一タライ ン, D Bはデータベースである。
同図におけるデータベース D Bは, ユーザ 3 とュ 一ザ 4の各端末に設置したものとして示した力 , こ のような構成に限らず, 各ユーザ端末にそれぞれデ —タベースを設け, あるいはシステムに唯一のデー タベースを設けるようにしてもよい。
このような構成のシステムにおいて, そのデータ ベース D B の中身 (即ち処理) に上記した階層を施
し, またュ一ザ 64— 1 , 64— 2 , ··' , 64— nを階層 化し, これに本発明による群ラ ベルを付加する こ と でプロテク 卜に自由度を持たせたセキュ リ ティ方式 を備えたデータベース利用システムを得る こ とがで さる。
以上のよう に, プロテク トをかける場合に, 従来 のラ ンク付けによる方式では > そのラ ンクによって プロテク トの対象が決ま ってしまう ためにユーザ又 は処理について個別にプロテク トを指定できないの に比べ, 本発明の群ラベル方式によれば, ユーザま たは処理について個別にも, また集団でも自由にプ ロテク ト範囲を設定でき る。
第 20図は, 複数のパス ワー ドから時間により有効 な一つのバスワー ドを切り換え指定する本発明の実 施例構成図である。
第 20図において, 65は交換網であり, 回線交換網 或いはバケ ツ ト交換網等で構成されているもの, 66 — 1 , 66— 2 , ··· , 66 - i , ·♦· , 66— n は端末装置 であり, 所定の条件を満たしたときに限り通信ネ ッ ト ワーク システムに加入 (アクセス) する こ とがで きる もの, 67は管理セ ンタであり, 通信ネ ッ ト ヮー ク システムへの加入継続時にチェ ッ クする使用者 I D , バスワー ド等の管理を行う もの, 68はバスヮー ド格納部であり I Dにリ ンク したパスヮ一 ドが格納 されている もの, 69は時間管理部であり, システム
加入時又は任意に設定された時間ごとにパスヮ一 ド 格納部 68から時刻対応のパスヮー ドを出力させると 共に, 加入者に継続のパスワー ド投入を要求させる チユ ック用信号を出力するもの, 70はパスワード要 求部であり, 時間管理部 70から入力されるチユ ック 用信号を基にシステム加入時又はその継繞時にパス ワー ドの投入要求を行う もの, 71はパスワー ド判定 部, 72は制御部, 73はア ドレス発生回路である。
パスヮー ド格納部 68に単位時間毎に異なるパスヮ ー ドが格納されている場合, パスワー ド要求 70から パスヮ一 ドの投入要求が出されたとき, I D使用者 はその時刻帯に適合したパスワー ドの投入が要求さ れ, また所定時間経過毎にパスワー ドの再投入が要 求される。 しかもそのパスワー ド ' チェ ッ クの際, パスヮー ド格納部 68から時刻帯毎に異なつたパスヮ 一ドが読み出されパスヮ一ド判定部 71に設定される ようになっているので, 不正 I D使用者のシステム 加入のチヱ ックが厳格となり, またシステムへの加 入ができても所定時間後のチ ック時にはパスヮ一 ドが変わっているので, その加入継続が困難となる, パスヮ一 ド格納部 68に端末番号が格納されている 場合, 所定時間経過毎にパスワー ドの再投入が要求 され, しかもパスヮー ド判定部 71には最初のパスヮ 一ドと異なつた I D使用者の端末番号がバスヮ一ド' 格納部 68から設定されているので, 不正 I D使用者
のシステム加入継続が困難となる。
制御部 72は, 交換網 65を通して管理セ ンタ 67に送 られてきた通信ネ ッ トワーク システムへの加入の際 の使用者 I Dを受け, 当該 I Dに リ ンク したパスヮ ー ドをパスヮー ド格納部 68から読み出させるための アクセス I Dの制御信号と, パスワー ド投入要求の 時間間隔を定めるパスワー ド単位時間の制御信号と, データのアクセス中等で 2つの時刻帯にわたる とき その時刻帯でのパスヮー ドのチヱ ックを行うかどう かを定めるパスワー ド * チユ ック有無の制御信号と をァ ドレス発生回路 73と時間管理部 69とにそれぞれ 出力するようになっている。
ア ドレス発生回路 73は, 制御部 72からのアクセス I Dの制御信号と時間管理部 69からのチェ ック用信 号とを受け, 入力された使用者 I Dについての予め 登録されているバスヮー ドをパスヮ一 ド格納部 68か ら順次読み出すァ ドレスを生成するようになってい る。
なお, 時間管理部 69は制御部 72からパスワー ド · チヱ ック無しの制御信号を受けたとき, チユ ック用 信号を発生しないようになっている。 またパスヮ一 ド · チヱ ック有りの制御信号を受け, かつパスヮー ド単位時間の制御信号を受けたとき, 時間管理部 69 は, バスヮ一ド要求部 70に対してはパスヮ一 ド単位 時間ごとにパスヮー ド再投入を要求させるチヱ ック
信号を出力するようになっており, ア ドレス発生面 路 73に対しては上記パスヮ一 ド要求部 70に出力する チユ ック用信号の発生時刻を基に, 当該チェ ック信 号の出力時刻が, 1 日の 24時間をパスヮ一ド単位時 間で分割したときの何番目の時刻帯に属するかを求 め, その時刻帯に属する番号をチユ ック用信号とし て出力するようになっている。 或いはパスワード要 求部 70に出力する最初のチユ ック用信号の出力時刻 が上記 1 日の 24時間をバスヮ一ド単位時間で分割し たときの何番目の時刻帯に属するかを求めて, その 時刻帯に属する番号を初期値としてァ ドレス発生回 路 73に入力させ, その後はパスワー ド要求部 70に対 しチヱ ック用信号を出力するごとに + 1 カウ ン トァ ップするパルスをチヱ ック用信号として, ア ドレス 発生画路 73へ送出するようにしてもよい。
第 21図は第 20図の実施例に用いられる格納フア イ ルのイ メ ージ図を示している。
使用者 I D番号格納ファ ィ ル 74には使用者 I D番 号の欄 75と共にそのリ ンク ' コー ド欄 76とが設けら れており, 当該リ ンク · コー ド欄 76のコードを引 く こ とにより 当該使用者 I D番号の欄 75に登録されて いる使用者 I D番号の個人情報格納ファ ィ ル 77が読 み出される。 当該個人情報格納ファ イ ル 77には氏名 住所, 電話番号, その他一般個人情報が登録される ようになっており, さらに本発明との係わりのある
上記パス ヮー ド単位時間, パス ワー ド · チヱ ッ ク の 有無が登録されるよ う にな っている。 そ して リ ンク • コ一ド欄 78が設けられている。 当該リ ンク ' コ 一 ド欄 78のコ一 ドを引 く ことによりパスヮー ド格納フ ァィル 79が読み出される。 当該パス ワー ド格納フ ァ ィル 79は第 20図のパスヮ一ド格納部 68に格納されて おり, 制御部 72からア ド レス発生回路 73へ出力され る制御信号のア ク セス I Dは, 上記リ ンク ' コー ド 欄 78のコ一ドを指定している。
パス ワー ド格納フ ァ イ ル 79には再パス ヮー ド · デ —タを登録する欄 80が設けられ, 上記説明の 1 日の 24時間をパスヮー ド単位時間で分割した数のパスヮ 一ド . データを時刻带順に登録するようになつてい る。 例えばバスヮ一ド単位時間が 1時間であれば, 24個のパス ワー ド · データが 0時から 1時までの時 刻帯のパス ワー ドを先頭に, 23時から 24時までの時 刻帯のパスワー ドを最後にした形で登録される。 同 様に, 例えばパスヮ一ド単位時間が 2時間であれば, 0時から 2時までの時刻带のパス ワー ドを先頭に, 22時から 24時までの時刻帯のパスワー ドを最後にし た形で登録される。
当該パスワー ド格納フ ア イ ル 79に登録されるパス ワー ド · データは数字 . 記号等任意の組み合わせの 文字列が使用される。
第 22図は新規登録時の一実施例フ ローチヤ一トを
示しており, 端末装置 66— i から管理センタ 67へ情 報通信ネッ トワーク システムへアクセスするための 新規登録が行われる。 すなわちシステム内で個人識 別のための使用者 I D番号を入力すると (ステップ 1 ) > 使用者 I D番号格納フア イル 74の所定の欄に 当該使用者 I D番号が登録される。
次に時刻変化でのチヱ ック用データとして, パス ワー ドの時間監視用単位時間を入力し (ステップ 2 ) 次いでアクセス中に時刻帯が変化したときにそのァ クセスを中維させバスワード投入の要求を行うかど うかの入力を行う と (ステップ 3 ) , これらのパス ヮ一ド単位時間とパスワー ド . チヱ ックの有無が個 人情報格納ファ ィ ル 77に登録される。
さらに 1 日の 24時間を上記パスヮ一 ド単位時間で 割った数のパスワードを時刻帯の早い順, つまり 0 時から 12時さらに 24時に向かって分割された時刻帯 順に, 登録申請者の好みに応じたパスワー ドを入力 するごとに (ステップ 4 ) , バスワー ド格納フア イ ル 79 , すなわちパスワー ド格納部 68に登録される。
この様にして時刻带毎に変化するパスヮードがパ スヮー ド格納部 68に登録されている使用者 I Dで情 報通信ネッ トワーク システムへの加入があつたとき の動作を, 第 23図のフローチャー トを参照しながら 説明する。
今, 例えば端末装置 66— i が交換網 65を通して管
理セ ンタ 67と接続されたものと して説明する と, 情 報通信ネッ トワーク システムへの加入のため, 端末 装置 66— i から使用者 I Dが管理セ ンタ 67に入力さ れる。 当該使用者 I Dの正否の判断は図示されてい ない別の回路装置によって判別され, 使用者 I Dが 不正使用の場合は管理セ ンタ 67は交換網 65との接続 を直ちに解除する処理を別の装置によって行うよう になっている。
しかしながら本発明について説明すると, 管理セ ンタ 67に送られて来た使用者 I Dは制御部 72に入力 される (ステツプ 11 ) 。 当該制御部 72は使用者 I D 番号格納ファ イ ル 74を参照し, 使用者 I D番号の欄 75から対応のリ ンク ' コ一 ド欄 76に記載されている そのリ ンク · コー ドを求め, 当該リ ンク · コー ドを 引いて当該使用者 I D番号の個人情報格納フア イル 77を読み出す。 そしてそこに登録されているパスヮ ― ド単位時間及びパスワー ド . チ ックの有無の制 御信号を得ると共に, リ ンク ' コー ド欄 78から当該 使用者 I Dに割り付けられているアクセス I Dの制 御信号を得る (ステ ップ 12 ) 。 制御部 72はアクセス I Dの制御信号をァ ドレス発生回路 73へ送出すると 共に, バスヮ一 ド単位時間及びバスワー ド . チヱ ッ クの有無の制御信号を時計管理部 69に送出する。 時計管理部 69は, 上記バスワー ド単位時間等の制 御信号を受信した時, その時刻を 24時間系で取得し
(ステ ップ 13 ) , 上記パスワー ド単位時間を基に当 該取得時刻が何番目の時刻帯に属するかを求めた上 で, その時刻帯の属する番号をア ドレス発生回路 73 へチヱ ック用信号として送る。 またパスワー ド要求 部 70に対しパスヮード投入を要求させるチヱ ック用 信号を出力する。
制御部 72からアクセス I Dの制御信号と時間管理 部 69から時刻帯の属する番号のチ ック用信号とを 受けたア ドレス発生画路 73は, 上記アクセス I Dの 制御信号を基にバスヮー ド格納部 68の当該使用者 I Dの欄を指定するア ドレスを発生させ, また上記時 刻帯の属する番号のチュ ック用信号を基に時刻带対 応に格納されているパスワー ドを指定するァ ドレス を発生させる。 従ってバスワー ド格納部 68から当該 使用者 I Dの現時刻についての該当パスヮ一ドが読 み出される (ステツプ 14 ) 。
このパスワー ドはバスヮ一 ド判定部 71に設定され る。
例えばパスヮード単位時間が 1時間で管理セ ンタ 67にシステム加入依頼の受信時刻が 10時 15分のとき . 現在 10時なのでパスヮ一ド格納ファ ィ ル 79の第 10番 目に格納されているパスワードがパスワー ド判定部 71に設定される。
一方, 時間管理部 69からチェ ック用信号を受けた パスワー ド要求部 70は, 端末装置 66— i にパスヮー
ド投入の要求が出され, 端末装置 66— i からパスヮ 一ド投入要求に応じてパスヮー ドが管理センタ 67に 送られてく る。 こ のパス ワー ドはパス ワー ド判定部 71に入力され (ステ ツ プ 15 ) , パス ヮ一 ド格納部 68 から読み出された時刻帯対応のパスヮ一 ドとの比較 が行われる (ステップ 16 ) 。
使用者 I Dの正当な使用者ならば, 現時刻帯にお ける正しいパスワー ドを投入することができるので, システムへの加入が認められ, そのサービスが開始 される (ステップ 17 ) 。 また例えパスワー ドを入れ 違えても (ステ ッ プ 16 ) , 続いてパスワー ドの再投 入の際, 正しいパスワー ドを投入することができ (ステップ 15 , 16 ) , 加入が許可される。
しかしながら不正使用者によるときには, 3回目 のパス ワー ド投入に際しても正しいパス ワー ドを入 力することができないので, また例え正当使用者で も 3 回目までに正しいパス ワー ドが投入されないと き (ステップ 18 ) , パスヮー ド判定部 71は, 図示さ れていない別の画路装置を介して交換網 65との接続 を解除させる (ステ ッ プ 19 ) 。 つまり端末装置 66— i からのシステムへの加入を認めない。
この様にパスヮー ドが時刻帯によって順次変化す るので, 不正ア ク セスをより堅固に阻止することが できる。
第 24図はシステム加入後の一実施例フローチャー
トを示している。
サービス実施中 (ステップ 21 ) , 例えば上記の 10 時 15分にシステムに加入した場合, パスヮー ド単位 時間 1 の場合であるから 11時 (正確には 11時すぎ) に時間管理部 69からパスヮ一 ド要求部 70へチュ ッ ク 用信号が出力される。 これによりパスワー ド要求部 70はパスヮ一 ドの再投入を端末装置 66— i に要求す る (ステツプ 22 ) 。
このときパスヮ一 ド判定部 71にはパスヮード格納 フア イ ル 79の第 11番目に格納されているパスヮ一 ド が設定されている。
パスワー ド再投入要求に応じ, 端末装置 66— i か ら当該 11時の時刻带として登録されている正しいパ スワードが投入されたとき (ステップ 23 , 24 ) , そ のサービスの鐽続が行われる (ステップ 25 ) 。
一方, 現時刻帯における正しいパスワー ドを投入 するこ とが 3回目までに出来ないときには (ステツ プ 26 ) , 交換網 65との接続が解除され (ステップ 27) サービスの継続が停止される。
なお, バスワード · チユ ック無しが個人情報格納 ファ イ ル 77に登録されている場合には, データ転送 中等のサービス中で時刻帯が変わっても, 上記のパ スワー ドの再投入要求がなされず, データ転送の中 断が避けられる。
また, この他種々の設定の仕方が認められ, 所定
時間毎に, 上記の例では 11時 15分, 12時 15分の如く パス ワー ドの再投入要求するこ とも: 時間管理部 69 に設定することにより 自由にできる。
以上はバスヮー ド格納部 68に経時変化のパスヮ一 ドを登録しておく場合について説明したが, 当該パ ス ヮー ド格納部 68に通常のパスヮ一 ドと端末番号と を格納しておいてもよい。
この場合, 通常のパスワー ドが読み出されるア ド レスを特別に設けて登録しておき, 管理センタ 67へ システム加入依頼があつたとき, こ の特別のァ ド レ スをァ ドレス発生回路 73から発生させるようにして おく。
そして時刻帯毎に上記端末番号を登録しておけば, 最初のパス ワー ド投入に対しては通常のパスヮー ド との一致により システムへの加入が認められ, その 後は時刻帯が変化する毎に, 又は所定時間経過毎に, パスワー ドの再投入が要求され, 当該端末装置 66— i からでなければサービスの継続が受けられないよ うになる。
こ の他パス ワー ド格納部 68に種々の原理, 原則に 基づくパスワー ドを任意に登録することができ, 時 間の経.過と共にチヱ ックされるパスヮー ドを任意に 変えられるので, 不正 I D使用者のシステム加入が 困難となる。 また経時変化するパス ワー ドの再投入 が要求される のでその継続も不正 I D使用者には困
難となる。
なお説明の都合上パスヮー ド格納部 68などの本発 明を構成する回路装置を管理セ ンタ 67へ設けて説明 した力 各端末装置 66— 1 ないし 66— nにそれぞれ 設けてもよいことは言うまでもない。
以上のように, 経時的に有効なパスワー ドが変化 するので, また所定時刻或いは所定時間毎に異なつ たパスワー ドの再投入が要求されるので, システム への加入, 耱続が不正 I D使用者にとって困難とな り, より堅固に阻止することが可能となる。
第 25 A図はデータの重要度に応じて必要なパスヮ ー ドの個数を変えるセキュ リ ティ管理方法の原理構 成図である。
第 25 A図において, 81は端末, 82は偭人情報保持 部, 83はレベル, 84はセキュ リ ティ処理部, 85はデ —タベース, 86はデータ情報保持部, 87はデータ, 88は複数パスワー ド, 89はパスワー ドの個数である c 端末 81は, データベース 85を利用するユーザが, ユーザ I D及びパスワー ド等を入力し, 参照したい データ 87を指定するためのものである。
個人情報保持部 82は, ユーザ I D毎に当該ユーザ I D (即ちユーザ) のレベル 83を格納する。 レベル 83は, 高級なユーザ I D程, 大きい値とされる。
データベース 85は, データ 87とデータ情報保持部 86とを舍む。 データ情報保持部 86は, データ 87毎に
当該データ 87の重要度に応じた数だけの複数パスヮ ー ド 88と, 当該重要度に応じた数 (パスワー ド個数) 89とを格納する。 データ 87が重要である程, パスヮ 一ドの数 89は大きい値とされる。
セキュ リ ティ処理部 84は, データ 87の参照を許す か否かを判断し, 端末 81から所定のユーザ I D及び パスワー ドが入力された場合に, 当該端末 81からの 指定されたデータ 87の参照を許す。
データベース 85内のデータ 87の参照にあたって, 端末 81へのユーザ I Dの入力及びデータ 87の名前 (データ名) の入力による参照したいデータ 87の指 定が行われると, 個人情報保持部 82から入力された ユーザ I Dに対応するレベル 83が取り出され, また, データ情報保持部 86から指定されたデータ 87に対応 するパスヮードの偭数 89が取り出される。
これに応じて, セキュ リ ティ処理部 84が, 取り出 されたレベル 83及びパスヮ一ドの個数 89とに基づい て, 当該データの参照のために入力すべきパスヮ一 ドの数を求める。 これは例えば, パスワー ドの個数 89からレベル 83を差し引 く ことにより, 求められる。
そして, セキュ リ ティ処理部 84は, 前記求めた数 だけのパスヮー ドが端末 81に入力されると, その各 々について, データ情報保持部 86に格納された複数 ノ、'スワー ド 88のいずれかと一致するか否かを調べる。 そして, 入力されたパスワー ドの全てが複数パスヮ
— ド 88と一致した場合に, 指定されたデータ 87につ いて, 当該ユーザ I Dが参照することを許す。
このように, データ 87の重要度に応じてパスヮ一 ドの個数 89を増減するこ とにより, 例えば, パスヮ ― ドを 1つしか持たないような初級のュ一ザのユー ザ I D及びパスヮー ドが他人が知られたとしても ·, 重要度の高いデータ 87の秘密は守ることができる。 従って, データベース 85全体として, そのセキユ リ ティ を高めることができる。
一方, 重要度の高いデータ 87のパスワー ドの個数 89を相当に大き く しても, 高級なユーザは, そのレ ベル 83を高くすることにより (実際は全てのバスヮ ー ドを知っていても) , 少ない数のパスワー ドを入 力すればデータ 87を参照するこ とができる。 従って, ユーザ, 特に高級なユーザの食担を増加することな く , セキュリ ティを向上できる。
第 25 B図は第 25 A図に示したセキユリ ティ管理方 法の一実施例構成図であり, データベースシステム を示している。
第 25 B図において, 90はレベル取出部, 91は入出 力部, 92はデータ表示処理部, 93は入力部, 94は表 示部, 95及び 98は送信部, 96及び 97は受信部, 99は データ情報取出部, 100 は入力数算出部, 101 はパ スワー ドチヱ ック部, 102 はデータ取出部, 103 は システム又は計算機センターである。
レベル取出部 90は, 入出力処理部 91からのユーザ I Dに基づいて個人情報保持部 82を検索して, 対応 するレベル 83を取り出し, 送信部 95へ送る。 こ こで 個人情報保持部 82は, 第 25 C図図示の如き構成とさ れる。 即ち, ユーザ I D毎に, これに対応してその レベル 83が格納される。
入出力処理部 91は, 入力部 93からの入力を受け付 け, また表示部 94への所定の表示を行う。 入力部 93 は, キーボー ドの如き入力装置であり, ユーザ I D > 参照データ名, パスワー ド等を入力するためのもの である。 表示部 94は, C R Tの如き表示装置であり, パスワー ドの入力要求, データ 87等を表示するため のものである。 入出力処理部 91は, 受け付けたユー ザ I Dをレベル取出部 90へ送り, 受け付けた参照デ ータ名 (参照したいデータの指定の入力) 及び (複 数の) パスワー ドを送信部 95へ送り, 一方, 受信部 97から入力すべきパスワー ドの数 (パスワー ド入力 要求) を受信すると, パスワー ドの入力要求を表示 部 94に表示する。
データ表示処理部 92は, 受信部 97からデータ 87を 受信すると, これを表示部 94に表示する。
端末 81の送信部 95は, システム 103 の受信部 96に 対して, レベル, 参照データ名, パスワー ド等を送 信する。 そして受信部 96は, 参照データ名をデータ 情報取出部 99へ, レベルを入力数算出部 1 00 へ, パ
スワー ドをパスワー ドチェ ッ ク部 101 へ, 各々送る。 端末 81の受信部 97は, 受信したパスワー ド入力要 求を入出力処理部 91へ, 受信したデータ 87をデータ 表示処理部 92へ送る。 一方, システム 103 の送信部 98は, パスワー ド入力要求及びデータ 87を受信部 97 へ送る。
データ情報取出部 99は, 受信部 96からの参照デー タ名に基づいてデータ情報保持部 86を検索し, 対応 するパスワー ドの個数 89を取り出し, 入力数算出部 100 へ送る。 こ こで, データ情報保持部 86は, 第 25 D図図示の如き構成とされる。 即ち, データ名 (デ 一夕) 毎に, これに対応してそのパスワー ドの個数 89が格納され, 更にバスヮ一ドとしての文字列が格 納されている。 パスワー ドの個数 89が, 図示の如く , 「 n偭」 とされている場合, n個の文字列 「文字列 1 , ……文字列 n 」 がバスワー ドと して格納されて いる。
なお, パスワー ドの個数 89が 「 0偭」 の場合 (パ スワー ドの設定がない場合) , データ情報取出部 99 は, この旨をデータ取出部 102 に通知する。
入力数算出部 100 は, レベル 83とパスワー ドの個 数 89とに基づいて, 入力すべきパスワー ド個数を求 める。 例えば, レベル 83が L , パスワー ドの個数 89 が nとすると, 入力すべきパスワード偭数 mは, m = n— Lとして求められる。 入力数算出部 100 は-
m個のパスヮー ド入力要求を送信部 98へ送る。
こ こで, 誰もが参照を許されるデータ 87について は, 例えば, n = 0 ( L = 0 ) とされる力、, または, II = 1 ( L - 1 ) とされる。 この場合, ユーザ I D の入力のみで参照が許される こ とになる。 一方 「 n 」 が大きな値であっても, 「 し 」 が 「 ひ 」 より 1 だけ 小さいとすれば, そのラ ンクのユーザ I Dは 1 個の パスヮー ド入力のみで重要なデータ 87を参照できる。
ノ スワー ドチヱ ッ ク部 101 は, 受信部 96からのパ スワー ドについてチェ ッ クする。 即ちその個数が, 先に入力数算出部 100 において求めた個数 mだけあ るか否かをチェ ッ クする。 そして更に, 入力された パスワー ドの各々が, データ情報保持部 86内のパス ワー ドと しての文字列 (第 25 D図参照) のいずれか と一致するか否かをチヱ ッ クする。 このチェ ッ クの 結果, 入力されたパスワー ドが全てパスワー ドと し ての文字列と一致した場合, パスワー ドチヱ ッ ク部
101 は, この旨をデータ取出部 102 に通知する。
データ取出部 102 は, データ情報取出部 99又はパ スワー ドチヱ ッ ク部 101 からの通知を受ける と, 参 照データ名に基づいてデータベース 85を検索して, 当該データ名のデータ 87を取り出し, 送信部 98へ送 る。 このために例えば, 前記通知には, 参照データ 名が舍まれる。
なお, セキュ リ ティ処理部 84は, データ情報取出
部 99 > 入力数算出部 100 及びパスワー ドチュ ック部 101 からなる力、, 又はこれらにレベル取出部 90を加 えたものからなる。
また, レベル取出部 90は, システム 103 側に存在 してもよ く, この場合, レベル 83についての情報も, システム 103 側に存在してもよい。
第 26図は第 25 B図の実施例のデータ参照処理フロ 一 ある
① ユーザが, 入力部 93からユーザ I D及び参照デ 一タ名を入力する。
これに応じて, レベル取出部 90がユーザ I Dに 基づいて対応するレベル Lを求め, 端末 81が参照 データ名にレベル Lを付してシステム 103 に対し てのデータ要求を行う。
② システム 103 がこのデータ要求を受信すると, まず, データ情報取出部 99がデータベース 85のデ ータ情報保持部 86を検索する。
検索の結果, パスワー ドが存在しない場合, こ の旨を, データ取出部 102 に通知する。
③ パスワー ドが存在する場合, 入力数算出部 100 が, 入力すべきパスワー ドの個数 mを求める。
これに基づいて, システム 103 が m偭のパスヮ ード入力要求を端末 81に対して行う。
④ 端末 81がこの入力要求を受信すると, 入出力処' 理部 91が, 表示部 94に, m個のパスワー ドの入力
要求を表示する。
⑤ ユーザが, 入力部 93から (m個の) パスワー ド を入力する。
これに応じて, 端末 81が, 入力されたパスヮー ドをシステム 103 に送る。
⑥ システム 103 が入力されたパスワー ドを受信す ると, パスワー ドチェ ッ ク部 101 が, データ情報 保持部 86を参照して, 入力されたパスワー ドと予 め格納された (定められた) パスヮ一 ド 88とが一 致するか否かを調べる。
m個の入力パスヮー ドの一部にでも定められた パスヮー ド 88と一致しないものが存在する場合, 処理③以下を繰り返す。 そして, 所定回数操り返 しても一致しない場合, 当該データ要求には応じ ない。
⑦ m個の入力バスヮー ドの全てがバスヮー ド 88と 一致した場合, この旨をデータ取出部 102 に通知 する。
データ取出部 102 は, データ情報取出部 99又は バスワー ドチェ ック部 101 からの通知を受けると, 参照データ名に対応するデータ 87を取り出す。 そ して, システム 103 から端末 81に対してデータ 87 が送信される。
⑧ 端末 81がデータ 87を受信すると, データ表示処 理部 92が当該データ 87を表示部 94に表示する。
以上說明したように, データの重要度に応じた複 数のパスワー ドとユーザ I Dのレベルを用いる こ と により, 仮にあるユーザのユーザ I D及びパスヮー ドが他人に知られた場合であっても, 重要度の高い データの参照を許さないようにすることができ, ま た, レベルの高いユーザ I Dは少ない負担で重要度 の高いデータを参照するこ とができる。
第 27 A図は利用者のラ ンクに応じた個数のパスヮ 一ドの保持を要求するセキュリティ管理方法の実施 例の概念図である。
第 27 A図において, 81は端末, 82は個人情報保持 部, 83' はパスワー ド数, 84はセキュ リ ティ処理部, 85はデータベース, 86はデータ情報保持部, 87はデ —タ, 88はユーザ I D , 89は複数のパスワードであ り, 83' を除き, 第 25 A図の実施例と要素名が同じ 要素には共通の参照番号が与えられている。
端末 81では, データべ一ス 85を利用するユーザが, ユーザ I D 88及びパスワー ド等を入力し, 参照した いデータ 87を指定することができる。
個人情報保持部 82は, ユーザ I D 88毎に当該ユー ザ I D 88 (即ちユーザ) に対応する複数のパスヮー ド 89を保持する。 複数のバスワー ド 89の個数は, 高 級なユーザ I D 88程, 大きい値とされる (多数持つ ことを許される) 。
データベース 85は, データ 87とデータ情報保持部
86とを舍む。 データ情報保持部 86は, データ 87毎に 当該データ 87の重要度に応じたパスヮー ド数 83を格 納する。 データ 87が重要である程, パスワー ド数 83 は大きい値とされる。
セキュ リ ティ処理部 84は, データ 87の参照を許す か否かを判断し, 端末 81から所定のユーザ I D 88及 びパスワー ドが入力された場合に, 当該端末 81から の指定されたデータ 87の参照を許す。 また, セキュ リ ティ処理部 84は, ユーザ I D 88のラ ンクの高低に 応じて, これに対応する複数のバスワー ド 89の数を, その格納の際に条件付ける。
データベース 85内のデータ 87の参照にあたって, 端末 81へのユーザ I D 88の入力, 及びデータ 87の名 前 (データ名) の入力による参照したいデータ 87の 指定が行われる と, データ情報保持部 86から指定さ れたデータ 87に対応するパスワー ド数 83 ' が取り出 される。
そして, セキュ リ ティ処理部 84は, パスワー ド 83 ' の分だけのパスヮー ドが端末 81に入力される と, そ の各々について個人情報保持部 82に格納されたパス ヮー ド 89であって, 先に入力されたユーザ I D 88に 対応する複数のパスワー ド 89のいずれかと一致する か否かを調べる。 そして, 入力されたパスワー ドの 全てが複数のバスワー ド 89と一致した場合に, 指定 されたデータ 87について, 当該ユーザ I D 88が参照
することを許す。
このよう に, データ 87の重要度に応じてパスヮ一 ド数を増滅するこ とにより, 例えば, パスワー ドを 1つしか持たない (持つことを許されない) ような 初級のユーザのユーザ I D 88及びパスヮ一ドが他人 に知られたとしても, 重要度の高いデータ 87の秘密 は守ることができる。 従って, データベース 85全体 として, そのセキュリ ティ を高めることができる。 一方, 重要度の高いデータ 87のパスワー ド 83を相 当に大き く しても, 高級なユーザは, そのラ ンクに 応じて相当数のパスワー ド 89を有する (持つことを 許される) ので, 支障な く 当該データ 87を参照する ことができる。
第 27 B図は第 27 A図の実施例の詳細構成図である ( 第 27 B図において, 90' はパスワー ド取出部, 91 は入出力処理部, 92はデータ表示処理部, 93は入力 部, 94は表示部, 95及び 98は送信部, 96及び 97は受 信部, 99はデータ情報取出部, 101 はパスワードチ エ ック部, 102 はデータ取出部, 103 はシステム又 は計算機センターである。 90 ' を除き, 第 25 B図の 実施例と要素名が同じ要素には共通の参照番号が与 えられている。
バスワー ド取出部 90' は, 入出力処理部 91からの ユーザ I D 88に基づいて個人情報保持部 82を検索じ て, 対応する複数のバスワー ド 89を取り出し, パス
ワードチユ ック部 101 へ送る。 こ こで, 個人情報保 持部 82は, 第 27 C図図示の如き構成とされる。 即ち, ユーザ I D 88毎に, これに対応する複数のパスヮー ド 89 , 即ち, 複数のパスワー ドと しての複数 ( n個) の文字列 「文字列 1 , …文字列 n」 が格納されてい る。 これらの文字列は, 対応するユーザ I D 88を持 つユーザによって予め設定される。 この時, 文字列 の個人がセキュ リ ティ処理部 84によって制限される。 このために, 個人情報保持部 82において, ユーザ I D 88毎に, そのラ ンクについての情報 (例えば設定 を許すパスワー ド 89の数) を備えるよう にしてもよ い。 即ち, セキュ リ ティ処理部 84は, パスワー ド 89 の設定時に > 個人情報保持部 82を参照して, 文字列 の個数の上限を求め, 個数を制限する。
なお, 複数のパスワード 89の取り出しは, 例えば, 入力部 93からのバスヮー ドの送信があつた後に行わ れる。
入出力処理部 91は, 入力部 93からの入力を受け付 け, また表示部 94へ所定の表示を行う。 入力部 93は, キーボー ドの如き入力装置であり, ユーザ I D 88 , 参照データ名, パスワー ド等を入力するためのもの である。 表示部 94は, C R Tの如き表示装置であり, バスワー ドの入力要求, データ 87等を表示するため のものである。 入出力処理部 91は, 受け付けたユー ザ I D 88をパスワー ド取出部 90へ送る。 受け付けた
参照データ名 (参照したいデータの指定の入力) を 送信部 95へ送り, 入力部 93から入力され受け付けら れたパスワー ドをパスヮー ドチェ ック部 101 へ送り, 一方, 受信部 97から入力すべきパスヮ一 ド数 83 ( パ スワー ド入力要求) を受信する と, パスワー ドの入 力要求を表示部 94に表示する。
データ表示処理部 92は, 受信部 97からデータ 87を 受信すると > これを表示部 94に表示する。
端末 81の送信部 95は, システム 103 の受信部 96に 対して, 参照データ名 (データ要求) > データ再要 求を送信する。 そして, 受信部 96は, 参照データ名 をデータ情報取出部 99へ, データ再要求をデータ取 出部 102 へ, 各々送る。
端末 81の受信部 97は, 受信したパスワード入力要 求を入出力処理部 91へ, 受信したデータ 87をデータ 表示処理部 92へ送る。 一方, システム 103 の送信部 98は, バスワー ド入力要求及びデータ 87を受信部 97 へ送る。
データ情報取出部 99は, 受信部 96からの参照デー タ名に基づいてデータ情報保持部 86を検索し, 対応 するパスワー ド数 83を取り出し, 送信部 98へ送る。 ここで, データ情報保持部 86は, 第 27 D図の如き構 成とされる。 即ち, データ名 (データ) 毎に, これ に対応してそのパスヮー ド数 83 (例えば 「 m個」' ) が格納される。
なお, ノ スワー ド数 83が 「 0個」 の場合 (パス ヮ ー ドの設定がない場合) , データ情報取出部 99は, この旨をデータ取出部 102 に通知する。 例えば, 誰 もが参照を許されるデータ 87については, m = 0 と され, ユーザ 〗 Dの入力のみで参照が許される こ と になる。
またパスヮ一 ド数 83の m個より少数のパスヮ一 ド 89しか持たない (初級の) ユーザ I D 88は, 当該デ ータ 87の参照手段を持たないこ とになる。
パスワー ドチユ ッ ク部 101 は, 入出力処理部 91か らの入力されたパスヮー ドについてチェ ッ クする。 即ち, その個数が先にデータ情報取出部 99において 取り出した数 mだけあるか否かをチヱ ッ クする。 そ して, 更に入力されたパスワー ドの各々が, 個人情 報保持部 82内のパスワー ド 89と しての文字列 (第 27 C図参照) のいずれかと一致するか否かをチェ ッ ク する。 このチヱ ッ クの結果, 入力されたバスワー ド が, 全てパスヮ一 ド 89と しての文字列と一致した場 合, パスワー ドチヱ ッ ク部 101 は, 送信部 95を介し て, システム 103 に対して, データ 87の再要求を通 知する。
データ取出部 102 は, データ情報取出部 99又はパ スワー ドチヱ ッ ク部 101 からの通知を受けると, 参 照データ名に基づいてデータベース 85を検索して, 当該データ名のデータ 87を取り出し, 送信部 98へ送
る。 このために例えば, 前記通知には, 参照データ 名が含まれる。
なお, セキ ュ リ テ ィ処理鄯 84は, データ情報取出 部 99 , バスワー ドチヱ ック部 101 からなるか, 又は これらにパスワー ド取出部 90 ' を加えたものからな る。
また, パスワー ド取出部 90 ' は, システム 103 側 に存在してもよ く, この場合, ノ、'スワー ドチヱ ック 部 101 も, システム 103 側に存在してもよい。
第 28図は第 27 B図の実施例のデータ参照処理フ α —である。
① ユーザが, 入力部 93からユーザ I D 88及び参照 データ名を入力する。
これに応じて, 端末 81が参照データ名を付して システム 103 に対してのデータ要求を行う。
② システム 103 がこのデータ要求を受信すると, まず, データ情報取出部 99がデータベース 85のデ ータ情報保持部 86を検索する。
検索の結果 パスヮー ド数 83が 「 0 」 である (パスワー ドが存在しない) 場合, この旨を, デ 一タ取出部 102 に通知する。
③ パスヮー ド数 83が 0でない (パスワー ドが存在 する) 場合, データ情報取出部 99がパスワー ド数 83を取り出し, これに基づいて, システム 103 が m個のバスヮー ド入力要求を端末 81に対して行う
④ 端末 81がこ の入力要求を受信すると, 入出力処 理部 91が, 表示部 94に, m個のパス ワー ドの入力 要求を表示する。
⑤ ユーザが, 入力部 93から ( m個の) パス ワー ド を入力する。
この入力を待って, パスワー ド取出部 90がユー ザ I D 88に基づいて対応する複数のパスヮ一 ド 89 を全て取り出し, パス ワー ドチユ ッ ク部 101 へ送 る
⑥ パスワー ドチェ ッ ク部 101 力く, 入力されたパス ワー ドと予め格納された (定められた) パス ヮ一 ド 89とが一致するか否かを調べる。
m個の入力バスヮー ドの一部にでも一致しない ものが存在する場合, 処理⑤以下を繰り返す。 そ して, 所定回数繰り返しても一致しない場合, 当 該ユーザ I D 88の要求には応じない。
m個の入力パスヮー ドの全てが一致した場合, パスワー ドチヱ ック部 101 は, データ 87の再要求 をシステム 103 に通知する。
⑦ データ取出部 102 は, データ情報取出部 99から の通知を受けるか又はパスヮ一 ドチヱ ック部 101 からの通知を受けると ( システム 103 がデータ 87 の再要求を受信すると) , 参照データ名に対応す るデータ 87を取り出す。 そして, システム 103 力、 ら端末 81に対してデータ 87が送信される。
⑧ 端末 81がデータ 87を受信すると, データ表示処 理部 92が当該データ 89を表示部 94に表示する。 以上のように, データの重要度に応じたパスヮ一 ド個数と複数のバスワー ドとをチェ ッ ク条件に用い るこ とにより, 仮にあるユーザのユーザ I D及びパ スワー ドが他人に知られた場合であっても, 重要度 の高いデータの参照を許さないようにすることがで き, 一方, レベルの高いュ一ザ I Dは全く支障な く 重要度の高いデータを参照することができる。
第 29図は本発明によるパスヮー ドの入力に要する 時間をチユ ック条件とするセキュ リ ティ管理方法の 実施例構成図である。
第 29図において, 104 は入出力装置, 105 は処理 装置, 106 はバスワー ドチヱ ック処理部, 107 はパ スワー ド格納領域, 108 はパスワー ド文字列, 109 はパスワー ド入力時間, 110 ( 110 一 1 ないし 110 一 4 ) は端末, 111 は交換網 (又は公衆網) , 112 はデータベース (の資源) である。
パスワー ドチユ ッ ク処理部 106 は, 中央処理装置 及びメ モ リからなる処理装置 105 内に設けられ, 利 用者の資格をチヱ ックするためにパスワー ドを用い たチユ ックを行う。 このチヱ ックは, 利用者が入力 したパスワー ドと, 予め定められたパスワー ドとを 比較するこ とにより行われる。
入出力装置 104 は, バスワー ドを入力するために
用いられる。
パスワー ド格納領域 107 は, 予め定められたパス ワー ドとして, 当該パスワー ドを構成する文字列 (パスワー ド文字列) 108 と, 当該パスヮー ドにつ いての入力時間についての情報 (パスヮー ド入力時 間) 109 とを格納する。
パスワー ドチユ ック処理部 10G は, 入出力装置 10 4 から利用者によりパスワー ドが入力されると > こ れに応じて以下の処理を行う。
即ち, 当該入力されたパスワー ドを構成する文字 列を記憶する (セーブする) と共に, 当該パスヮー ドについての入力時間についての情報を抽出しセ一 ブする。 この情報は, 例えば文字列を構成する各文 字間の入力時間間隔からなる。
次に, パスヮー ド格納領域 107 からパスヮー ド文 字列 108 及びパスワー ド入力時間 109 とを読み出す c そして入力された (セーブされた) バスワー ド (の 文字列) と, パスワー ド文字列 108 とを照合する。 また抽出された (セ一ブされた) 入力パスヮ一 ドの 入力時間についての情報と, パスワー ド入力時間 10 9 とを照合する。
この 2重の照合の結果, 文字列及び入力時間の双 方が一致した場合にのみ, 利用資格があるものとさ れ, それ以外の場合は; 利用資格がないものとされ "&。
このよう に, 1 つのパスヮ一 ドを用いて多重のチ ユ ン'クを行う こ とにより, 比較的簡単な構成で利用 者資格を確実にチヱ ックすることができる。
端未 110 — 1 ないし i i O — 4 は, 各々が独立した 計算機であり, 入出力装置 104 , 処理装置 105 等を 備える。 端末 11 ϋ 一 1 ないし 110 - 4 は, 交換網 11 1 を介して相互に接続され, 計算機ネ ッ トワークを 構成する。
また端末 1 10 — 1 ないし 110 — 4 は, 必要に応じ て, データベース 112 又はその資源を分散して備え, 交換網 111 を介して相互に接続されることによって 分散型データベースシステムを構成する。
分散型データベースシステムにおいて, 所定の 1 つの端末 110 — 2が, データべ一ス 112 の管理のた めのセ ンタ一として機能する。 即ち機密性のあるデ- ータベース 112 についてアクセスがあった場合, パ スヮ一 ドにより, アクセス した利用者の資格チヱ ッ クを行う。 このために端末 110 — 2 のパスワー ド格 納領域 107 には, システム又はグループ内の全ての ノ、'スヮ一 ド ( P W 1 ないし P W η ) について, その パスヮ一 ト文字列 108 及びパスヮ一 ド入力時間 109 が, 互いに対応させられて格納されている。 パスヮ ー ド格納領域 107 は, セ ンターである端末 110 - 2 のみが備える。
これに対して, パスヮー ドチェ ノ ク処理部 106 t
各端末 110 — 1 ないし 110 — 4 に備えられる。 そし て各端末 110 — 1 ないし 110 — 4 において, 入力さ れたパスヮ一 ドの文字列をセーブし, またそ Ο入力 時間についての情報を抽出しセーブする。 セ ンタ一 以外の各端末 110 — 1 , 110 3及び 110 — 4 にお いてセーブされた文字列及び入力時間についての情 報は, 交換網 111 を介して, 端末 110 — 2 のパスヮ ー ドチヱ ック処理部 106 に送信される。 従ってこの 文字列及び入力時間についての情報を用いたチ ッ クは, 端末 110 — 2 のパスワー ドチヱ ッ ク処理部 10 6 が行う。 このために, パスワー ド格納領域 107 は, 端末 110 — 2 のみが持つ。
またパスヮ一 ドチェ ック処理部 106 は, パスヮ一 ド格納領域 107 へのバスワー ド文字列 108 及びパス ワー ド入力時間 109 の格納を行う。 即ち利用者又は システム管理者が端末 110 — 1 ないし 110 — 4から 申請 (入力) したパスワー ドについて, そのパスヮ ー ド文字列 108 及びパスワー ド入力時間 109 を, パ スワー ド格納領域 107 に登録し, パスワー ドを予め 設定する。
このために, 各端末 110 — 1 ないし 110 — 4 にお いて, パスワー ドチヱ ック処理部 106 は, 入力され たパスヮ一ドの文字列及び入力時間をセーブする。 セ ンター以外の各端末 110 - 1 , 110 — 3及び 11ϋ ― 4 においてセーブされた文字列及び入力時間は,
交換網 111 を介して, 端末 110 - 2 へ送られる。 端 末 110 — 2 のパスワー ドチヱ ッ ク処理部 106 が, 各 端末 110 — 1 ないし 110 — 4から入力されたパスヮ 一 ドについてのパスヮ一 ド格納領域 107 への登録を 行つ。
なお, セ ンターである端末 — 2 は, パスヮ一 ドによるチェ ックの他, 個人 I D , キーワー ド等に よるチェ ッ クをも行う ものであってよい。 また必ず しもデータべ一ス 112 を備える必要はない。
第 30 Α図, 第 30 B図, 第 30 C図はパスワー ド入力 説明図である。
第 30 A図ないし第 30 C図において, 113 は入力画 面, 113 — 1 は P W入力域, 113 - 2 は時間表示域 > 114 は初期画面, 114 — 1 は I D入力域, 114 一 2 は P W入力域, 114 一 3 は時間表示域, 115 は文字 セーブ域, 116 はタイマ値セーブ域, 117 はタイマ である。
利用者が端未 110 の入出力装置 104 からパスヮー ド申請の指示入力を行う と > 当該端末 110 のパスヮ ー ドチユ ック処理部 106 が, 第 30 A図図示の如き
(パスワー ド) 入力画面 113 を, 当該入出力装置 10 4 に表示する。 入出力画面 113 は, P W (パスヮ一 ド) 入力域 113 — 1 と時間表示域 113 - - 2 とを備え る。 利用者は P W入力域 113 — 1 に, 所定のパスヮ — ド (の文字列) を入力する。 こ Ο時, 時間表示域
δ l
113 一 2を参照する こ とによ り , パス ワー ドの入力 時間をどのように設定したかを確認できる。
一方, データベース 1 12 の運用時等に, 利用者が 端末 110 の入出力装置 104 からパス ワー ドによ るデ ータベ一ス 112 のア ク セスの指示入力を行う と, 第 30 Β図図示の如き初期画面 114 が, 当該入出力装置 10 に表示される。 こ の処理は, 当該端末 1 10 のパ ス ワー ドチ ッ ク処理部 106 が行う。 初期画面 1 1 4 は, I D (個人 I D ) 入力域 114 一 i , P W入力域 114 一 2及び時間表示域 1 14 一 3を備える。 利用者 は I D入力域 114 一 1 に自己の個人 I Dを入力した 後, P W入力域 114 一 2 に, ア ク セ ス したいデータ ベース 112 のパス ワー ド (の文字列) を入力する。 この時, 時間表示域 114 — 3を参照する こ とによ り , パスワー ドの入力時間を意識し, 正確に入力できる。 時間表示部 113 — 2及び 114 一 3を設けるこ とに より, 一般的な時間の概念による入力時間の規定の 他, 計算機における (口一カル又はグローバル) 時 間に従って規定が可能となる。 一方, 時間表示域 11 3 — 2及び 114 一 3を省略した場合, 不正な利用者 に, 入力時間までがチヱ ッ ク対象であることを知ら れずに済むので, 安全性をより高めることができる。
P W入力域 113 — 1及び 114 一 2 へのパスワー ド の入力は, 第 30 C図図示の如く に行われる。
まず利用者により入力開始指示が入力されると,
タイ マ 117 がク リ アされ, リ スター トされる。
こ の指示から 1 秒後に, パスヮ一 ドの L又 2以 上の文字からなる文字列の先頭の文字 (文字, 数字, 記号等) , 例えば 「 A j が入力されたとする。 これ に応じ, 文字 Α」 が文字セーブ域 115 の所定の位 置にセーブされる。 またこの時のタイマ 11 ? の値 ( 「 1 」 秒) がタイ マ値セーブ域 116 の所定の位置 にセーブされると共に, タ イ マ 117 がク リ アされ, リ スター トされる。
この処理は, 文字列の各数字の入力毎に行われる。 最後に入力終了指示が入力されると, この時のタ イ マ 117 の値 (例えば 「 4 」 秒) がタィマ値セーブ 域 116 にセーブされると共に, タイ マ 117 がク リア される。
従って文字列が η個である時, タイマ値セーブ域 116 には η + 1個の時間データが蓄積される。
なお, 本実施例では, パスワー ド入力時間 109 と して, パスワー ドの文字列の各文字間の入力時間間 隔を用いているが, 例えば入力開始指示からの経過 時間等, 他の時間データを用いてもよい。 また入力 開始及び終了指示を省略して η -- 1 個の時間データ を得るようにしてもよい。 また人間の入力による誤 差を考えて例えば現実のタイマ値が 1 土 0. 5 秒であ る時は 1秒としてこれをセーブするようにされる。 以上の処理は, パス ワー ドチユ ック処理部 106 が
行う。 こ のために文字セーブ域 115 , タ イ マ値セ一 ブ域 116 及びタイ マ i l 7 は, パス ワ ー ドチヱ ノ ク処 理部 106' が備える。
第 31図は第 29図の実施例のパスヮー ド入力処理フ ローである。
① ある端末 110 ( 110 — 1 とする) から入力画面 1 13 又は初期画面 114 へのパス ワー ドの入力開始 指示がある と, パスヮ一 ド入力待ちの状態にあつ た当該端末 110 - 1 のパス ヮー ドチ ッ ク処理部 116 は, そのタ イ マ 117 をスター ト させ, その文 字カ ウ ンタを 「 0 」 にリ セ ッ トする。
② パスワー ドの文字列の文字が, P W入力域 113 一 1 又は 114 一 2 に入力される。
③ パスワー ドチユ ッ ク処理部 116 力 当該文字を 文字セーブ域 115 にセーブし, タイ マ値をタ イ マ 値セーブ域 116 にセーブし, タイ マ 117 をク リ ア ( リ スター ト) させる。 文字及びタ イ マ値は, 文 字セーブ域 115 及びタ イ マ値セーブ域 116 におい て, 文字カウ ンタの示す値に対応する位置にセ一 ブされる。
④ パスワー ドチ ッ ク処理部 106 は, 次入力が入 力終了指示 (終了キー, 実行キー又はエ ンターキ 一) かを調べる。
⑤ 入力終了指示でない場合 > 文字カ ウ ンタを ÷ 1 カ ウ ン ト ア ッ プして, 処理③以下を行う。
⑥ 入力終了指示である場合, (文字カウ ンタが更 に十 1 カウ ン トア ップされ) タ ンマ値をタ イ マ値 セーブ域 116 にセーブし, タ イ マ 1 17 をク リ アす る。 これにより, 文字セーブ域 1 15 にはパスヮ一 ド文字列 108 力く, タイマ値セーブ域 116 にはパス ヮー ド入力時間が得られる。
この後, 当該パスワー ドチユ ック処理部 106 は, セ ンタ一である端末 1 10 - 2 のパスヮ一 ドチェ ン ク処理部 106 に対し, 交換網 11 1 を介し, 入力さ れたパスワー ド文字列及び入力時間 108 及び 109 をデータ転送する。
⑦ 端末 110 — 2 のパスワー ドチヱ ッ ク処理部 3 が > 転送を受けたデータがパスヮー ド格納領域 4 へ格 納 (登録) すべきものか, パスワー ドチェ ッ クを 行うべきものかを調べる。 即ち, 入力画面 113 又 は初期画面 114 のいずれに対する入力かを調べる (
⑧ パスワー ドチェ ックを行うべきものである場合, パスワー ド格納領域 107 を用いてチェ ッ クを行う
(第 32図参照) 。
⑨ 登録すべきものである場合, バスワー ド格納頟 域 107 への登録を行う。
第 32図は端末 1 10 — 2 のパスワー ドチヱ ッ ク処理 部 106 の行うバスヮー ドチヱ ック処理フ 一てある, ① 検索用力 ゥ ンタの値 Nを初期値 = 0 とする。 ② バスワー ド文字列 5 の Ντ文字目について, 入力
された文字列の文字と, パスヮー ド格納領域 107 の文字列の文字とを照合する。
不一致の場合, パスワー ドエ ラ一と して再入力 依頼が行われる。 これは端末 1 10 - 2 のパス ヮー ドチヱ 'ン ク処理部 1 06 から交換網 1 1 1 を介して, ア ク セス元の端末 1 1 0 — 1 のパス ワー ドチ ユ ッ ク 処理部 1 06 に対して行われる。
③ 一致の場合, パス ワー ド入力時間 109 の N番目 の時間データについて, 入力から抽出された入力 時間間隔と, パス ワー ド格納領域 107 の入力時間 間隔とを照合する。
不一致の場合, 処理②と同様に, パス ワー ドェ ラーと して再入力依頼が行われる。
④ 一致の場合, 検索用カ ウ ンタ の値 Nを十 i カ ウ ン トア ップした後, ノ、:スワー ドの N 屮 1 番目の文' 字及び入力時間について > 入力されたデータ とパ スワー ド格納領域 107 内のデータ とを取得する。 入力されたデータが無 く , パス ワー ド格納領域 107 内にデータが有る場合, 処理②と同様にパス ワー ドエラーと して再入力依頼が行われる。
また両者とも無い場合, チユ ッ クを正常終了す る。
また両者とも有る場合, 処理②以下を行う。
なおチ ッ クを正常終了した場合, 資格が有る ものと して, データベース 1 1 2 が参照される。 即
ち , セ ンタ一である端末 1 10 — 2力 , パスワー ド に基づいて当該データべ一ス 1 12 が例えば端末 1 1 0 一 4 にあること (格納位置) を知る。 これに基 づいて端末 1 10 — 1 (ア ク セス元) 又は端末 110 — 2 (セ ンター) が, 交換網 111 を介して, 端末 1 10 — 4 をアクセスする。 これに応じて, データ ベース 1 12 の内容が, 端末 1 10 4から交換網 11 1 を介して端末 1 10 — i に送られ, 例えばその入 出力装置 104 に表示される。
前述の実施例においては, パス ワー ドの格納/'チ ユ ック (処理⑦) を, i つのパスワー ドの文字列全 ての入力が終了した時点で行っている力 第 33図図 示の如く, 各文字毎に行うようにしてもよい。
第 33図は他の実施例のパスヮ一 ド入力処理フ 口― を示し, 第 31図に対応している。
第 33図図示の如く, 処理①ないし③と同様の処理 ⑩ないし⑫を行った後, 1個の文字及びタイ マ値が, 交換網 1 1 1 を介して, セ ンタ 一である。 端末 110 - 2へデータ転送される (処理⑬) 。 次に処理⑦ない し⑨と同様の処理⑭ないし⑱が行われる。 この場合 パス ヮー ドエラ一があったならば, 例えばその時点 で再入力依頼がなされる。 次に処理④及び⑤と同様 の処理⑰及び⑮が行われる。 処理 ©においては, 処 理⑮と同様に, 入力終了指示に応じてタイ マ値をセ ーブする。
また本発明は, 交換網 11 1 を舍まないシステム, 例 えば独立したデータ処理システムにおけるパスヮ一 ドチヱ ッ クにも有効である。
またパスヮ一 ドの文字列のみによるチヱ ッ ク (従 来のパスワー ドチヱ ッ ク ) と, 本発明によるパスヮ 一ドの文字列及び入力時間による多重チ ッ ク とを 併用してもよい。 この場合, いずれのチユ ッ クを行 うかは, 例えばシステム管理者又はデータベース 1丄 2 を作成した利用者等が, 予め設定してお く よう に することができる。
また本実施例は, パスワー ドチユ ッ ク の他, キー ワー ド等を用いたセキュ リ ティ チヱ ッ クにも, 広 く 使用する こ とができる。 即ち, 入力されたデータ と 予め定められ登録されたデータ とを照合する こ とに よって, 入力元の利用資格をチ ッ ク して資源のセ キユ リ ティ を保つようなシステムにおいて, 当該デ —夕の入力時間を用いて多重チェ ッ クを行い, セキ ユ リ ティ を高める こ とができる。
以上説明したよう に, パスワー ドチヱ ッ ク処理に おいて, パスワー ド自体及びその入力時間を予め定 めてお く こ とにより, 入力されたパスワー ド自体及 びその入力時間の双方を多重にチヱ ッ クする こ とが できるので, 比較的簡単な構成で利用者の資格を確 実にチユ ッ クでき, システムの安全性を高める こ と ができる。 特に, 交換網を介してデータベースター
ミナルを接続した分散型データベースシステムにお いて, 不特定多数の者が交換網を利用するこ とに対 応し, 簡単かつ確実に利用資格をチ ック し, デ一 タベースの安全性を高めるこ とができる。
第 34図は > ·簡易 I D重複登録時の対応機能をもつ 本発明実施例の構成図である。
第 34図において, 118 は簡易 I D処理装置であり, 簡易 I Dの新規の登録及び簡易 I D利用時の重複登 録のチユ ックを行う もの, 119 は記憶装置であり, 正当利用者が簡易 I Dでシステムに加入できるよう に, そのための情報データが格納されている もの, 120 は入出力装置であり, 簡易 I D又は I D番号が 入力されるもの, 121 は簡易 I D重複チヱ ック部で あり, 簡易 I Dの登録又はシステムへの加入の際, 入出力装置 120 から入力された簡易 I Dの重複をチ' ヱ ックするもの, 122 は通常 I D要求部であり, 簡 易 I Dが重複しているとき, 簡易 I D利用者に当該 簡易 I Dだけではシステムへの加入が認められず, さらに通常 I Dの入力要求を行う もの, 123 は簡易 I D検出部, 124 は通常 I D検出部, 125 は I D管 理ファ イ ルであり, 簡易 I Dの登録申請順に通常 I Dと簡易 I Dとを格納するメ モ リ領域, 126 は簡易 I D重複チヱ ックファ イ ルであり, 簡易 I Dが使用 者の登録申請によりそのまま登録されるので重複す る場合があり, その重複状況を格納しておく メ モ リ
領域を表している。
なお入出力装置 120 は通信回線, すなわち交換網 を含め電子計算機で構築されてなる システムに加入 する場合と, 直接システムに加入する場合の両者が ある。
入出力装置 120 から新規の簡易 I D登録申請があ つたとき, 任意に決定された簡易 I D と通常 I D の I D番号とが登録申請者順に I D管理ファ ィ ル 125 に登録される。 こ の I D管理フ ァ イ ル 125 への登録 と同時に簡易 I Dの重複度が簡易 I D重複チ ッ ク 部 121 で簡易 I D重複チヱ ッ ク フア イ ル 126 を参照 してチヱ ッ ク される。 当該簡易 I Dが重複している とき, その欄の重複数を 1 つカウ ン トア ップし, そ の結果の重複数とその I D番号等重複した利用者と が簡易 I D重複チヱ ッ ク フ ァ イ ル 126 に格納される。
システム加入への簡易 I Dが入出力装置 120 から 簡易 I D処理装置 118 に入力される と, 簡易 I D重 複チヱ ッ ク部 121 は簡易 I D重複チヱ ッ ク フ ァ イ ル 126 を参照してその簡易 〖 Dが重複していないかを チヱ 'ン クする。 当該簡易 I Dが重複していないとき システム加入承認への処理がと られ, 重複している とき通常 I D要求部 122 へ通知して, 通常 I D要求 部 122 に入出力装置 120 へ通常 I Dの入力要求を求 める処理を行わせる。 - 簡易 I D検出部 123 は入出力装置 120 から入力さ
れて く る簡易 I Dを検出し, 通常 I D検出部 124 は 通常 I Dを検出する。 この I Dの識別は, 例えば入 力されて く る I Dのビッ ト数等を検出するこ とによ つて 亍われる。
通常 I Dが通常 I D検出部 124 によって検出され たときには, 通常 I Dによる システム加入のものと して通常 I D処理装置 (図示せず) へ送られ, そこ て I D番号とパスヮ一ドとの一致を確認の上, シス テムへの加入が承認されることになる。
一方, 入出力装置 120 から新規の簡易 I D登録申 請があつたとき, 簡易 I D重複チヱ ック部 121 は次 の様にして当該簡易 I Dの如何にかかわらず記憶装 置 119 へ登録する。 すなわち第 37図の簡易 I D登録 の実施例フ口一チヤ一トを参照しながら説明すると, 簡易 I D重複チュ ック部 121 は簡易 I D登録申請者 の I D番号と任意に選定された簡易 I Dとを受け (第 37図ステップ①) , I D管理フア イル 125 を検 索し, 当該 I D番号とその簡易 I D との組み合わせ が既に登録されていないかチユ ックする (ステ ップ ②) 。 既に登録されているときには二重登録を避け るため, その登録申請を拒絶し (ステップ⑧) , 登 録されていないときには I D管理フ ァ ィ ル 125 に, 第 35図図示の如く登録申請順で I D番号とその簡易 I Dとが登録される (ステツプ③) 。
例えば D D D D D D D D」 の I D番号を有
する利用者が 「 a a a 」 を簡易 I D と して登録申請 してきたとき, 当該 〗 D番号とその簡易 I D との組 み合わせは I D管理ファ イ ル 125 に登録されていな いので, 登録申請順, すなわち管理 No. 4 の欄に I D 番号とその簡易 I D とが第 35図図示の如く 登録され 簡易 I D重複チュ ッ ク部 121 は, 続いて簡易 I D 重複チヱ ッ ク フア イ ル 126 を検索し (ステ ツプ④) , 当該簡易 I Dが登録されていないかどうかをチヱ ッ クする (ステ ップ⑤) 。 チユ ッ クの結果当該簡易 I Dが登録されていないときには, その簡易 I D と重 複していないこ とを示す Γ 1 」 の重複数と I D管理 フア イル 125 に登録された I D番号格納 No.とが新規 に簡易 I D重複チユ ック フア イ ル 126 に登録され (ステ ップ⑥) , 当該簡易 I Dが既に登録されてい るときには, その簡易 I Dの欄の重複数を 1 カウ ン トァ ップした値に置換する と共に, I D番号格納 No, の所にその格納 No.の値が記入される (ステ ップ⑦) 。 上記の 「 a a a 」 の簡易 I D登録申請例では, 「 a a a 」 の欄の重複数が 「 1 」 から 「 2 」 に置換され る と共に, I D番号格納 No. 「 4 」 が第 36図図示の如 く記入される。
この様に, 通常 I Dが同一で, かつ同一簡易 I D の二重登録申請の場合を除き, 通常 〖 Dの I D番号 が異なる同一簡易 I Dの登録申請があつたときには,
簡易 I Dが重複していても記憶装置 119 に登録され る。
入出力装置 120 から簡易 I Dによるシステムへの 加入要求が簡易 I D処理装置 118 に入力されたとき , 簡易 I D処理装置 118 は次のように処理する。 すな わち第 38図のシステム加入の一実施例フローチヤ一 トを参照しながら説明すると, 入出力装置 120 から 入力された簡易 I Dは簡易 I D検出部 123 で検出さ. れ, 簡易 I D重複チ ック部 121 に当該簡易 I Dを 入力させる (第 38図ステッブ⑪) 。 簡易 I D重複チ エ ッ ク部 121 は簡易 I D重複チェ ッ クフア イル 126 を検索し, 当該簡易 I Dが簡易 I D重複チユ ックフ ア イル 126 に存在するかをチェ ックする (ステップ ⑬) 。 チユ ックの結果, 当該簡易 I Dが存在しない 場合, すなわち当該簡易 I Dが記憶装置 119 に登録 されていない場合は入出力装置 120 へ再度簡易 I D 入力を要求し, 当該簡易 I Dが存在する場合はその 簡易 I Dについての重複数の数が 「 2 」 以上かをチ エ ックする (ステップ⑩) 。 つまり重複した簡易 I Dによるシステムへの加入かどうかの判断が行われ る。 当該簡易 I Dの重複数が 「 1 」 のとき, 簡易 1 Dによるシステムへの加入が承認され (ステップ ⑮) 。 当該簡易 I Dの重複数が 「 2 」 以上のとき, 簡易 I D重複チ ック部 121 は通常 I D要求部 122 を介して入出力装置 120 へ通常 I Dの再入力を要求
する (ステ ップ⑭) 。 つまり簡易 I Dが重複して記 憶装置 119 に登録されている場合には, 簡易 I Dと しての効力が消失する。
入出力装置 120 から通常 I Dの再入力が送られて きたとき (ステップ⑮) 。 簡易 I D重複チヱ ック部 121 は I D管理ファ イ ル 125 を検索しその I D番号 の存否をチユ ックする (ステップ⑱) と共に, 当該 I D番号と簡易 I Dとの組み合わせが一致している かどうかのチヱ ックが行われる (ステップ⑰) 。 I D管理ファ ィル 125 に当該 I D番号と簡易 I D との 組み合わせが登録されているとき, システムへの加 入が承認され (ステツプ⑱) , I D管理ファ ィ ル 12 5 に当該 I D番号が存在しないとき及び当該 I D番 号と簡易 I Dとの組み合わせが登録されていないと き, 簡易 I D重複チユ ック部 121 は入出力装置 120 へ簡易 I Dからの再入力を要求する (ステ ップ⑱, ⑰) 。
この様にして簡易 I D利用の場合の不正ァクセス を防止している。
なお入出力装置 120 から簡易 I Dに替え通常 I D . がその応答として再入力されて来たときには, 当該 通常 I Dが通常 I D検出部 124 で検出され, 通常 I D処理装置へ送られてシステムへの加入条件の処理 が行われる。
簡易 I Dが重複している場合の例を挙げて説明す
ると, 通常 I Dの I D番号力く 「 D D D D D D D D」 を有する利用者が, その簡易 I D 「 a a a j を人出 力装置 120 から入力した場合, 簡易 I D処理装置 11 8 の簡易 I D検出部 123 はその簡易 I Dのビッ ト数 から簡易 I Dによるシステムへの加入承認を求めて きていることを検出する。 簡易 I D検出部 123 は簡 易 I D重複チユ ッ ク部 121 へ当該簡易 I D 「 a a a」 を受け入れその簡易 I Dのチユ ックを依頼する。 簡 易 I D重複チヱ ック部 121 は簡易 I D 「 a a a」 が 簡易 I D重複チヱ ッ ク ファ イ ル 126 に登録されてい る力、, また登録されているときその重複数をチヱ ッ クする。 この場合, 簡易 I D 「 a a a」 は簡易 I D 重複チヱ 'ンクファ イ ル 126 に登録されており, かつ 重複数が 「 2」 であるので, 直ちにシステムへの加 入を承認することができず, 簡易 I D重複チユ ック 部 121 は通常 I D要求部 122 を介して入出力装置 12 0 へ通常 I Dの再入力を要求する。 入出力装置 120 から I D番号 「 D D D D D D D D」 が再入力された とき, 簡易 I D重複チェ ック部 121 は I D管理ファ ィ ル 125 に当該 I D番号が存在し > かつ先の簡易 I D 「 a a a 」 との組み合わせが存在することを確認 の上, システム加入の承認を行う。
こ こで, 簡易 I Dが 2以上登録されている場合, その重複した簡易 I Dの変更や削除を受け付けない ようになつている。 つまり簡易 I Dが重複しても記
憶装置 119 への登録はされるが, 上記説明の如く 通 常 I Dの再入力が要求されるので, 重複した簡易 1 Dによる システムへの加入が実質的に認められない よう に処理される。
重複した簡易 I Dは簡易 I D と しての機能が消失 しているので, 簡単にシステムに入り込めないもの となる。 この実施例は交換網を舎んでいるネ ッ ト ヮ —ク システムにおいて容易に実現できる。
第 39図は, ネ ッ ト ワーク内の端末間でデータ退避 時の格納フ ァ イ ルを提供可能とするセキュ リ ティ管 理方法の実施例の原理説明図である。
第 39図において, Τ , 〜 Τ η はネ ッ ト ワーク シス テムを構成する端末 (情報処理装置) である。 127 は応用プログラム, フア イ ル管理プログラム, デ一 タベース管理システム, オペレーテ ィ ングシステム 等からなるデータ処理部である。 128 はデータべ一 スを構成するファ イ ル装置である。 129 は空き ファ ィ ルである。 130 は各端末が接続される公衆網であ る。 131 は端末 Τ η から端末 Τ 3 の空きフ ァ イ ル 12 9 へフ ァ イ ルデータの退避を行っているときのデ一 タの流れである。
こ こで, 端末 Τ η のファ イ ルデータの退避要求が 発生した場合, 端未 Τ η はファ イ ルデータの退避に 必要なファ ィ ル容量を確認し, このファ イ ル容量と 退避要求とを他の端末に発信し, 公衆網 130 を介し
てこの退避要求を受信した端耒は自己の空きフア イ ル容量を確認し, この空きフ ァ イ ル容量と前記退避 ファ イ ル容量とを比較するこ とにより端末 T n の退 避要求に応じられるかどうかを判断し, その結果を 公衆網 130 を介して要求元端末 Τ η に回答する。 そ して, 要求元端末 Τ η は, 回答結果をみて, 要求受 諾であれば回答端末に公衆網 130 を介してフ ァ イ ル データを送信し, そのフ ァ イ ル装置へフ ァ イ ルデー タの退避を行う。 また, 前記回答結果が 「受諾しな い」 のときは他の回答端末からの回答結果を選択し, 同じ処理を行っていく。
第 39図において, 端末は自己の空きフ ァ イ ル容量 を確認する手段を持ち, 退避要求を受信したとき, こ の空きフ ア イ ル容量と退避フ ア イ ル容量とを比較 することにより前記退避要求に応じられるかどうか の判断をすることができる。 また, 各端末のフア イ ル管理プログラムは, 前記の退避が行われたフア イ ルについてはその旨を確認して記憶している。 この よう にして, 公衆網に接続されている各端末のファ ィ ルは効率的に利用される。
なお, 本発明は, 分散された個々のデータベース をそれぞれ有する情報処理装置からなり, 地理的も し く は機能的に分散された複数の端末が公衆網に接 続されている分散型データベースシステムの場合に も用いることができる。
第 40図は第 39図の実施例のファ ィルデータの退避 手順を示す。
① 任意の端未 Tで フ ァ イ ルデータの退避要求が発 生したかどうかを判断し, 「 Y E S 」 の場合はス テツプ②に進み, 「 N 0」 の場合はこの判断を繰 り返す。
② 要求元端末 Tはフ ァ イ ルデータの退避に必要な フア イ ル容量 aを確認する。
③ 要求元端末 Tは, この退避フ ァ イ ル容量 a と退 避要求とを他の端末に発信する。
④ 他の端末は, 公衆網を介して退避ファ イ ル容量 a と退避要求とを受信する。
⑤ 退避要求等を受信した要求先端末は自己の空き ファ イ ル容量 b と受信した退避ファ イ ル容量 a と の間に aくく bが成立するかどうかを判断し, その 結果を要求元端末 Tに画答する。
⑥ 要求元端未 Tはこの面答内容が 「成立する」 で あるかどうかを判断し, 「 Y E S 」 の場合はステ ップ⑦に進み, 「 N 0」 の場合はステップ⑧に進 む。
⑦ 要求元端末 Tは自己のフ ァ イ ルデータの要求先 端末に転送し, またフ ァ イ ルデータを受信した要 求先端末はこのフ ァ ィ ルデータを自己のファ ィ ル 装置に格納する。 また, 要求元, 要求先の両端末 のファ イ ル管理プログラムによって, それぞれの
端末番号, 関係するファ イ ル領域等を確認して記 憶する。
⑧ 要求元端末 Tは他の要求先端末に対してフア イ ルデータの退避を試みる。 この手順で, ファ イ ル データの退避が行われる。
なお, ステップ⑧の処理においては, ステップ③ に戻ってもよいし, また, ステップ⑥において複数 の要求先端末からそれぞれの回答内容を受信し, 要 求先端末ごとの回答内容リ ス トを作成しておいて, このリ ス トに基づいて要求受諾端末を探してもよい。 以上のよう して多数の端末が公衆網に接続されて いるネ ッ トワーク システムにおいて, ファ イ ルデ一 タの退避のために必要な空きフア イル容量を持つ端 末を公衆網を介して探し出しこの端末にファ ィルデ —タの退避を行うため, 各端末のファ イ ルの効率的 利用が図れ, また各端末を二重化する必要がな く分 散型データベースシステム全体のコス 卜の低減を図 るこ とができる。
第 41図は, データベースから利用者に提供するプ πグラムを利用終了時に消去あるいは改ざんして利 用不能にするセキュ リ ティ管理方法の実施例の概念 図である。
第 41図において, 132 は公衆網, 133 乃至 135 は 分散型データベースシステムの一つのグループを構 成する端末であって, そのう ち 133 はプログラム要
求元端末, 134 はプログラム所有端末, 135 はダル ープ内のプロ グラ ム等の資源とセキ ュ リ テ ィ を管理 し, プログラムの消去あるいは改ざんを指示する機 能をもつグループ管理端末, 136 は他の一般の端末 である。
動作は次のよう な手順①〜⑦で行われる。
① プロ グラ ム要求元端末 1 13 でプログラ ムの使用 要求が発生する と, グループ管理端末 1 35 にプロ グラムの使用要求を通知する。
② グループ管理端末 135 はプロ グラム資源の管理 情報をもっており, 要求されたプログラムを所有 する端末の I D ( 134 ) をプロ グラ ム要求元端末 13 3 に通知する。
③ プログラム要求元端末 133 は, 通知されたプロ グラ ム所有端末 134 にプロ グラ ム使用を要求する。
④ プログラム所有端末 134 は, 要求されたプログ ラムを要求元端末 133 へ伝達する。
⑤ グループ管理端末 135 は, 要求プロ グラ ムに消 去プロ グラムあるいは自動改ざんプロ グラ ムを付 加する。
⑥ プロ グラ ム要求元端末 133 は, 要求プロ グラ ム を実行し, 処理終了時にグループ管理端末 135 へ 通知する。
⑦ グループ管理端末 1 35 は, プログラム要求元端 末 133 に要求プログラムの消去あるいは改ざんを
i 0 0 実行させる。
第 42 A図及び第 42 B図は, 第 41図に示す実施例の 全体動作の詳細フロー図である。 以下にステップ
( S— 1 ) 〜 ( S— 19 ) にしたがって動作を説明す る。
( S - 1 ) 任意の端末において使用したいプログ ラムを要求する。
( S - 2 ) 要求元端末とグループ管理端末との間 を接続する。
( S - 3 ) グループ管理端末は要求プログラムを プログラム資源管理情報中で検索する。
( S— 4 ) 要求プログラムが存在しない場合は ( S— 9 ) を実行し, 存在する場合 ( S— 5 ) を実 τする。
( S - 5 ) グループ管理端末はプログラム要求端 末へプログラム所有端末 I Dを通知し, プログラム 所有端末へプログラム要求を行わせる。 それにより プログラム所有端末は要求プログラムを自己の 2次 記憶装置に格納するィ ンス トール処理を実行する。 これは要求元端末におけるイ ンス トール処理を不要 にするためである。
( S— 6 ) プログラム所有端末は, 要求元端末へ 要求プログラムを伝達する。
( S - 7 ) 要求プログラムを一時使用する場合は ( S - 8 ) を実行し, 永久使用する場合は ( S - 11 )
を実行する。
( S - 8 ) グループ管理端末は ( S — 6 ) て伝達 されたプ口グラムの伝達先の端末ァ ド レス等を確認 する。
( S — 9 ) プログラムが無いこ とを要求元端末へ 通知する。
( S - 10) プログラムの再検索を行う必要がある ときには ( S — 1 ) へ戻り, 必要が無いときは終了 する。
( S -11) 一時使用の場合, グループ管理端末は: 消丟プロ グラ ムまたは自動改ざんプログラ ムを要求 元端未へ追加伝達する。
( S -12) 要求元端末は要求プログラムを使用す る処理を行う。
( S — 13) 要求元端末は, プログラム使用終了後, グループ管理端末へ終了を通知する。
( S -14) グループ管理端末は使用終了した要求 プログラムが一時使用のものか永久使用のものかを 識別し, 永久使用の場合終了し > 一時使用の場合に ( S — 15) を実行する。
( S — 15) 消去プログラ ムまたは自動改ざんプロ グラム力; > 付加されているかどうかを調べ, 付加さ れている場合に ( S -16) を実行し, 付加されてい ない場合には ( S - 19) を実行する。
( S - 16) 付加されている ものか消去ブ口 グラ厶
の場合に ( S - 17) を実行し, 自動改ざんプロダラ ムの場合に ( S — 18) を実行する。
( S -17) 消去プログラムを実行して, 要求元端 末にある要求プログラムを消去して終了する。
( S -18) 自動改ざんプログラムを実行して, 要 求元端末にある要求プログラムを改ざんし, 再使用 不能にして終了する。
( S - 19) グループ管理端末は, 要求元端末のィ ンス トールテーブル及び 2次記憶装置を操作して, 要求プログラムを再使用不能にする。
以上のようにして, ネッ トワーク内の端末から使 用要求のあったプログラムは, 一時使用である場合 要求元端末内において消丟あるいは改ざんされるた め再使用することができず, 使用回数に応じた課金 を行う場合などには効果が大きい。