JP2000259567A - Device and method for controlling access and storage medium - Google Patents

Device and method for controlling access and storage medium

Info

Publication number
JP2000259567A
JP2000259567A JP11062353A JP6235399A JP2000259567A JP 2000259567 A JP2000259567 A JP 2000259567A JP 11062353 A JP11062353 A JP 11062353A JP 6235399 A JP6235399 A JP 6235399A JP 2000259567 A JP2000259567 A JP 2000259567A
Authority
JP
Japan
Prior art keywords
access
information
file
terminal
accessor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP11062353A
Other languages
Japanese (ja)
Inventor
Yosuke Watanabe
洋介 渡邊
Hiroshi Shibata
寛 柴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP11062353A priority Critical patent/JP2000259567A/en
Publication of JP2000259567A publication Critical patent/JP2000259567A/en
Withdrawn legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To prevent the leak of secret information due to illegal access performed from a certain terminal to a file under system management in a computer system having plural terminals. SOLUTION: This computer system is provided with a first storage part 12 for storing a file, a second storage part 13 registering access managing tables 14-18 where a user ID, a password, a permitted time zone and a terminal ID are set as the managing information of access to the file and a file access control part 10 for discriminating the propriety of access on the basis of information contained in an access request and the user ID, the password, the permitted time zone and the terminal ID registered in the access managing tables 14-18 when there is the access request to the file and allowing a terminal to access the correspondent file when it is discriminated the access is proper.

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】本発明は、外部への漏洩を防
止したい機密性の高いファイルやデータベースを管理す
るセキュリティ要件の厳しい計算機システムに利用され
るアクセス制御装置、アクセス制御方法および記憶媒体
に関する。
[0001] 1. Field of the Invention [0002] The present invention relates to an access control device, an access control method, and a storage medium used in a computer system having strict security requirements for managing highly confidential files and databases to be prevented from leaking to the outside.

【0002】[0002]

【従来の技術】複数の端末をネットワークで接続した計
算機システムには、システム管理下のファイルあるいは
データベースに対するアクセスを制御する技術が導入さ
れているが、近年、ユーザIDやパスワードなどのログ
イン情報を不正に使用した機密ファイルなどへの不正ア
クセスが行われることもあり、対策を強化する必要があ
る。
2. Description of the Related Art In a computer system in which a plurality of terminals are connected via a network, a technology for controlling access to a file or a database under system management has been introduced. In recent years, login information such as a user ID and a password has been illegally used. Unauthorized access to the confidential files used in the above may be performed, and measures must be strengthened.

【0003】通常、システム管理下のファイルへのアク
セス権は、オペレーティング・システムにより管理され
ており、このアクセス権の変更は、当該ファイルの所有
者および特権ユーザによってのみ可能である。よって、
このファイルの所有者は、ファイルアクセス権を常に有
し、ファイルのアクセスがいつでも可能である。
[0003] Usually, the access right to a file under system management is managed by an operating system, and the change of this access right is possible only by the owner of the file and a privileged user. Therefore,
The owner of this file always has file access rights and can access the file at any time.

【0004】このような状況の中、所有者以外の人、例
えば悪意のユーザがファイルの所有者のログインIDお
よびパスワードを不正に取得し、それを使用して上記フ
ァイルにアクセスすると、そのファイルに含まれる情
報、例えば機密情報などが漏洩してしまう恐れがある。
In such a situation, when a person other than the owner, for example, a malicious user illegally obtains the login ID and password of the owner of the file and accesses the file using the same, the file is accessed. Information contained therein, for example, confidential information, may be leaked.

【0005】[0005]

【発明が解決しようとする課題】このように上述した従
来のファイルアクセス制御方法では、アクセスを許可す
るための認証処理に使用する情報がユーザのログインI
Dとパスワードだけであるため、本人以外の人にログイ
ンIDとパスワードが不正に取得されて使用されると、
機密情報が漏洩する可能性があるという問題があった。
As described above, in the above-described conventional file access control method, the information used for the authentication processing for permitting access is determined by the user's login ID.
Since only D and the password are used, if the login ID and password are illegally acquired and used by anyone other than the person,
There was a problem that confidential information could be leaked.

【0006】本発明はこのような課題を解決するために
なされたもので、機密情報の漏洩を防止することのでき
るアクセス制御装置、アクセス制御方法および記憶媒体
を提供することを目的としている。
The present invention has been made to solve such a problem, and an object of the present invention is to provide an access control device, an access control method, and a storage medium that can prevent leakage of confidential information.

【0007】[0007]

【課題を解決するための手段】上記した目的を達成する
ために、請求項1記載の発明のアクセス制御装置は、フ
ァイルあるいはデータベースを格納する第1の記憶手段
と、前記ファイルあるいはデータベースに対するアクセ
ス許可条件としてアクセス者情報、暗証番号、時間情報
および端末情報が設定された第2の記憶手段と、前記第
1の記憶手段に格納されているファイルあるいはデータ
ベースに対するアクセス要求があった場合、前記第2の
記憶手段に設定されているアクセス者情報、暗証番号、
時間情報および端末情報の少なくとも3つの情報を用い
て認証する認証手段と、前記認証手段が正常に認証した
場合、前記ファイルあるいはデータベースに対するアク
セス許可を与える制御手段とを具備したことを特徴とし
ている。
In order to achieve the above object, an access control apparatus according to the first aspect of the present invention comprises a first storage unit for storing a file or a database, and an access permission for the file or the database. When there is a request for access to a second storage unit in which accessor information, a password number, time information and terminal information are set as conditions and a file or a database stored in the first storage unit, Accessor information, password,
An authentication unit for authenticating using at least three pieces of information of time information and terminal information, and a control unit for granting access permission to the file or the database when the authentication unit has successfully authenticated.

【0008】請求項2記載の発明のアクセス制御装置
は、請求項1記載のアクセス制御装置において、前記認
証手段は、前記第2の記憶手段に設定されているアクセ
ス者情報および暗証番号に基づいて、アクセス者がアク
セス可能なユーザか否かを判断するユーザ認証手段と、
前記第2の記憶手段に設定されている端末情報に基づい
て、前記アクセス者が操作する端末が前記第1の記憶手
段に対してアクセス可能な端末か否かを判断する端末認
証手段と、前記第2の記憶手段に設定されている時間情
報に基づいて、アクセス時間がアクセス可能な時間帯か
否かを判断する時間認証手段とを具備したことを特徴と
している。
According to a second aspect of the present invention, in the access control apparatus according to the first aspect, the authentication means is based on accessor information and a password set in the second storage means. User authentication means for determining whether the accessor is an accessible user,
A terminal authentication unit that determines whether a terminal operated by the accessor is a terminal accessible to the first storage unit, based on terminal information set in the second storage unit; A time authentication unit that determines whether the access time is within an accessible time zone based on the time information set in the second storage unit.

【0009】請求項3記載の発明のアクセス制御装置
は、請求項1,2いずれか記載のアクセス制御装置にお
いて、一般のアクセス者よりも上位の設定権限を持つ第
1の特定者からの指示で、前記第2の記憶手段のアクセ
ス許可条件を設定あるいは変更する条件設定手段を具備
したことを特徴としている。
According to a third aspect of the present invention, in the access control apparatus according to any one of the first and second aspects, the access control apparatus receives an instruction from a first specific person having a higher setting authority than a general access user. A condition setting means for setting or changing an access permission condition of the second storage means.

【0010】請求項4記載の発明のアクセス制御装置
は、請求項3記載のアクセス制御装置において、前記条
件設定手段は、前記第2の記憶手段のアクセス許可条件
を設定あるいは変更する場合、設定権限を持つ第1の特
定者が設定変更を申請し、他に承認権限を持つ第2の特
定者の承認を経て有効とすることを特徴としている。
According to a fourth aspect of the present invention, in the access control apparatus according to the third aspect, the condition setting means sets or changes an access permission condition of the second storage means. A first specific person having a request for setting change is applied, and the setting is made valid after approval of a second specific person having another approval right.

【0011】請求項5記載の発明のアクセス制御装置
は、請求項3記載のアクセス制御装置において、前記条
件設定手段は、前記時間情報としてアクセス者毎にアク
セスを許可する時間帯を設定し、前記認証手段は、アク
セス要求があった時間帯が、アクセスを許可している時
間帯か否かをアクセス者毎に判断することを特徴として
いる。
According to a fifth aspect of the present invention, in the access control apparatus according to the third aspect, the condition setting means sets a time zone in which access is permitted for each accessor as the time information. The authentication means is characterized in that it determines for each accessor whether or not the time zone where the access request is made is a time zone where access is permitted.

【0012】請求項6記載の発明のアクセス制御装置
は、請求項3記載のアクセス制御装置において、前記条
件設定手段は、前記時間情報としてファイル毎あるいは
データベース毎にアクセスを許可する時間帯を設定し、
前記認証手段は、アクセス要求があった時間帯が、アク
セスを許可している時間帯か否かをファイル毎あるいは
データベース毎に判断することを特徴としている。
According to a sixth aspect of the present invention, in the access control device according to the third aspect, the condition setting means sets a time zone in which access is permitted for each file or each database as the time information. ,
The authentication unit is characterized in that it determines, for each file or each database, whether or not the time zone in which the access request is made is the time zone in which access is permitted.

【0013】請求項7記載の発明のアクセス制御装置
は、請求項3記載のアクセス制御装置において、前記条
件設定手段は、前記ファイルあるいはデータベースへア
クセス可能な端末とその端末毎に使用可能な時間帯とを
設定し、前記認証手段は、アクセス要求した端末がアク
セス可能な端末であり、その端末が使用可能な時間帯で
あるという2つの条件を満たした場合にアクセスを許可
することを特徴としている。
According to a seventh aspect of the present invention, in the access control apparatus according to the third aspect, the condition setting means includes a terminal capable of accessing the file or the database and a time zone usable for each terminal. And the authentication means permits access when the terminal that has made the access request is a terminal that can be accessed and the terminal satisfies the two conditions of being in a usable time zone. .

【0014】請求項8記載の発明のアクセス制御装置
は、請求項3記載のアクセス制御装置において、前記条
件設定手段は、前記アクセス者情報として、許可された
アクセス者が出社した時刻および退社した時刻と、前記
許可されたアクセス者の通常の勤務時間帯とを設定し、
前記認証手段は、アクセス要求したアクセス者が、許可
されたアクセス者であり、かつアクセス要求があった時
間帯が前記許可されたアクセス者が出社中であり、かつ
前記通常の勤務時間帯の範囲内であるという3つの条件
を満たした場合にアクセスを許可することを特徴として
いる。
According to an eighth aspect of the present invention, in the access control apparatus according to the third aspect, the condition setting means includes, as the accessor information, a time at which an authorized accessor goes to work and a time at which he leaves. And set the normal working hours of the authorized accessor,
The authentication means may be arranged such that the access requester is an authorized accessor, and the time period at which the access request is made is that the authorized accessor is out of the office, and the normal work time range It is characterized in that the access is permitted when the three conditions of being within are satisfied.

【0015】請求項9記載の発明のアクセス制御装置
は、ファイルあるいはデータベースを格納する第1の記
憶手段と、前記ファイルあるいはデータベースに対する
アクセス許可条件としてアクセス者情報、暗証番号、時
間情報、端末情報、前記ファイルあるいはデータベース
へアクセス可能な端末が設置されている部屋の情報が設
定された第2の記憶手段と、前記部屋へ出入りする人の
情報を取得する入退者情報取得手段と、前記入退者情報
取得手段により取得された人の情報から、アクセス要求
を出したアクセス者が在室しているか否かの在室状況情
報を検知する検知手段と、前記第1の記憶手段に格納さ
れているファイルあるいはデータベースに対するアクセ
ス要求があった場合、前記第2の記憶手段に設定されて
いるアクセス者情報、暗証番号、時間情報、端末情報、
部屋情報の少なくとも3つの情報と前記検知手段により
検知されたアクセス者の在室状況情報を用いて認証する
認証手段と、前記認証手段が正常に認証した場合、前記
ファイルあるいはデータベースに対するアクセス許可を
与える制御手段とを具備したことを特徴としている。請
求項10記載の発明のアクセス制御装置は、請求項1乃
至9いずれか一記載のアクセス制御装置において、前記
時間情報として、平日、土曜日、日曜日、祝日毎にアク
セス許可時間帯を設定したことを特徴としている。
According to a ninth aspect of the present invention, there is provided an access control device comprising: first storage means for storing a file or a database; accessor information, a password, time information, terminal information, A second storage unit in which information of a room in which a terminal capable of accessing the file or the database is installed is set; an entry / exit information acquisition unit for acquiring information of a person entering and leaving the room; Detecting means for detecting, from the information of the person acquired by the person information acquiring means, whether or not the access person who issued the access request is occupied, and information stored in the first storage means; When there is an access request to a file or database that is stored, accessor information set in the second storage means Personal identification number, time information, terminal information,
An authentication unit for performing authentication using at least three pieces of room information and the presence status information of the accessor detected by the detection unit; and when the authentication unit has successfully authenticated, an access permission to the file or the database is given. And control means. An access control device according to a tenth aspect of the present invention is the access control device according to any one of the first to ninth aspects, wherein an access permission time zone is set for each of weekdays, Saturdays, Sundays, and holidays as the time information. Features.

【0016】請求項11記載の発明のアクセス制御装置
は、請求項1乃至9いずれか一記載のアクセス制御装置
において、前記時間情報として、日毎にアクセス許可時
間帯を設定したことを特徴としている。
An access control device according to an eleventh aspect of the present invention is the access control device according to any one of the first to ninth aspects, wherein an access permission time zone is set for each day as the time information.

【0017】請求項12記載の発明のアクセス制御方法
は、記憶手段に格納されたファイルあるいはデータベー
スに対するアクセス許可条件としてアクセス者情報、暗
証番号、時間情報および端末情報を設定する工程と、前
記記憶手段に格納されているファイルあるいはデータベ
ースに対するアクセス要求があった場合、前記アクセス
者情報、暗証番号、時間情報および端末情報の少なくと
も3つの情報を用いて認証する工程と、正常に認証され
た場合、前記ファイルあるいはデータベースに対するア
クセス許可を与える工程とを有することを特徴としてい
る。
According to a twelfth aspect of the invention, there is provided an access control method, comprising the steps of: setting accessor information, a password, time information, and terminal information as access permission conditions for a file or a database stored in a storage means; If there is an access request to a file or database stored in the server, authenticating using at least three pieces of information of the accessor information, personal identification number, time information and terminal information; and Granting access permission to the file or the database.

【0018】請求項13記載の発明の記憶媒体は、ファ
イルあるいはデータベースを記憶したコンピュタを動作
させるためのプログラムを記憶したコンピュータ読み取
り可能な記憶媒体において、前記コンピュータに、前記
ファイルあるいはデータベースに対するアクセス許可条
件としてアクセス者情報、暗証番号、時間情報および端
末情報を設定し、前記ファイルあるいはデータベースに
対するアクセス要求があった場合、前記アクセス者情
報、暗証番号、時間情報および端末情報の少なくとも3
つの情報を用いて認証させ、前記正常に認証した場合、
前記ファイルあるいはデータベースに対するアクセス許
可を与えさせることを特徴としている。
A storage medium according to a thirteenth aspect of the present invention is a computer readable storage medium storing a program for operating a computer storing a file or a database. When the access request to the file or the database is made, at least three of the accessor information, the password, the time information and the terminal information are set.
Authentication using the two pieces of information.
It is characterized in that access permission to the file or the database is given.

【0019】請求項1,12,13記載の発明では、第
1の記憶手段に格納されているファイルあるいはデータ
ベースに対するアクセス許可条件としてアクセス者情
報、暗証番号以外に、時間情報および端末情報を設定
し、ファイルあるいはデータベースに対するアクセス要
求があった場合、アクセス者情報、暗証番号、時間情報
および端末情報の少なくとも3つの情報を用いて認証
し、これらのアクセス許可条件を満たし正常に認証した
場合にファイルあるいはデータベースに対するアクセス
許可を与えるので、端末からのファイルあるいはデータ
ベースへのアクセスを制限し、機密情報の漏洩を防止す
ることができる。
According to the first, twelfth and thirteenth aspects, time information and terminal information are set as access permission conditions for a file or a database stored in the first storage means, in addition to the accessor information and the password. When there is a request for access to a file or a database, authentication is performed using at least three pieces of information of accessor information, a password, time information and terminal information. Since access permission to the database is given, access to the file or the database from the terminal can be restricted, and leakage of confidential information can be prevented.

【0020】請求項2記載の発明では、ユーザ認証以外
に、端末情報に基づく端末認証と時間情報に基づく時間
認証とを行うので、端末および時間帯レベルでのアクセ
ス制限をかけることができ、機密情報の漏洩を防止する
ことができる。
According to the second aspect of the present invention, in addition to the user authentication, the terminal authentication based on the terminal information and the time authentication based on the time information are performed, so that the access can be restricted at the terminal and the time zone level. Leakage of information can be prevented.

【0021】請求項3記載の発明では、一般のアクセス
者よりも上位の設定権限を持つ第1の特定者からの指示
で、第2の記憶手段のアクセス許可条件を設定あるいは
変更するので、不正ユーザが一般のユーザになりすまし
てアクセス許可条件の設定あるいは変更を行うことを防
止できる。
According to the third aspect of the present invention, an access permission condition of the second storage means is set or changed by an instruction from a first specific person having a higher setting authority than a general access person. It is possible to prevent the user from setting or changing the access permission condition by impersonating a general user.

【0022】請求項4記載の発明では、設定権限を持つ
第1の特定者が設定変更を申請し、他に承認権限を持つ
第2の特定者の承認を経て有効とするので、不正ユーザ
が第1の特定者になりすました場合でも、アクセス許可
条件の設定あるいは変更が行えず、機密情報の漏洩を防
止することができる。
According to the fourth aspect of the present invention, the first specific person having the setting authority applies for the setting change, and the setting is made valid after approval by the second specific person having the other approval authority. Even in the case of impersonating the first specific person, setting or changing of the access permission condition cannot be performed, and leakage of confidential information can be prevented.

【0023】請求項5記載の発明では、アクセス者毎に
アクセスを許可する時間帯を設定し、認証手段はアクセ
ス要求があった時間帯がアクセスを許可している時間帯
か否かをアクセス者毎に判断するので、アクセス許可条
件をより詳細に設定できる。
According to the fifth aspect of the present invention, a time zone in which access is permitted is set for each accessor, and the authentication means determines whether or not the time zone requested for access is a time zone in which access is permitted. Since the judgment is made every time, the access permission condition can be set in more detail.

【0024】請求項6記載の発明では、ファイル毎ある
いはデータベース毎にアクセスを許可する時間帯を設定
し、認証手段は、アクセス要求があった時間帯がアクセ
スを許可している時間帯か否かをファイル毎あるいはデ
ータベース毎に判断するので、アクセス許可条件をより
詳細に設定できる。
According to the present invention, a time zone in which access is permitted is set for each file or each database, and the authentication means determines whether the time zone requested for access is a time zone in which access is permitted. Is determined for each file or each database, so that the access permission condition can be set in more detail.

【0025】請求項7記載の発明では、ファイルあるい
はデータベースへアクセス可能な端末とその端末毎に使
用可能な時間帯とを設定し、認証手段は、アクセス要求
した端末がアクセス可能な端末であり、その端末が使用
可能な時間帯であるという2つの条件を満たした場合に
アクセスを許可するので、異なる角度からファイルある
いはデータベースへのアクセスに制限を加えることがで
きる。
According to the present invention, a terminal which can access a file or a database and a time zone which can be used for each terminal are set, and the authentication means is a terminal which can access the terminal which has requested access. Since access is permitted when the two conditions that the terminal can be used are satisfied, access to the file or the database can be restricted from different angles.

【0026】請求項8記載の発明では、許可されたアク
セス者が出社した時刻および退社した時刻と、許可され
たアクセス者の通常の勤務時間帯とを設定し、認証手段
は、アクセス要求したアクセス者が、許可されたアクセ
ス者であり、かつアクセス要求があった時間帯が前記許
可されたアクセス者が出社中であり、かつ通常の勤務時
間帯の範囲内であるという3つの条件を満たした場合に
アクセスを許可する。つまり、正規のアクセス者が通常
の勤務時間帯に勤務していなければアクセス許可しない
ので、所在不明の端末から深夜、休日の時間帯にアクセ
ス要求があってもファイルあるいはデータベースへはア
クセスできず、機密情報の漏洩を防止することができ
る。
[0026] In the invention according to claim 8, the time when the authorized accessor starts and leaves the office, and the normal working hours of the authorized accessor are set. Satisfies the three conditions that the authorized accessor is an authorized accessor, and the time slot requested for access is within the normal working hours and the authorized accessor is in the office. Allow access in case. In other words, access is not allowed unless a legitimate accessor is working during normal working hours, so even if an unknown terminal requests access at midnight or on holidays, it cannot access files or databases, Leakage of confidential information can be prevented.

【0027】請求項9記載の発明では、ファイルあるい
はデータベースへアクセス可能な端末が設置されている
部屋へ出入りする人の情報を取得し、この情報から、ア
クセス要求を出したアクセス者が在室しているか否かの
在室状況情報を検知し、第1の記憶手段に格納されてい
るファイルあるいはデータベースに対するアクセス要求
があった場合、前記第2の記憶手段に設定されているア
クセス者情報、暗証番号、時間情報、端末情報、部屋情
報の少なくとも3つの情報と検知されたアクセス者の在
室状況情報を用いて認証し、認証が正常に行われた場合
に、ファイルあるいはデータベースに対するアクセス許
可を与えるので、正規のアクセス者がファイルあるいは
データベースへアクセス可能な端末が設置されている部
屋に在室していなければ、ファイルあるいはデータベー
スへアクセスできず、機密情報の漏洩を防止することが
できる。
According to the ninth aspect of the present invention, information of a person who enters and exits a room in which a terminal capable of accessing a file or a database is obtained, and from this information, an access person who has issued an access request is present. Is detected, and if there is a request for access to a file or a database stored in the first storage means, the accessor information and password set in the second storage means are detected. Authentication is performed using at least three pieces of information of the number, time information, terminal information, and room information and the presence status information of the detected accessor, and when the authentication is successfully performed, permission to access a file or a database is given. Therefore, if you are not in a room where a terminal that allows authorized access to files or databases is installed Lever can not access the file or database, it is possible to prevent the leakage of confidential information.

【0028】請求項10記載の発明では、平日、土曜
日、日曜日、祝日毎にアクセス許可時間帯を設定するこ
とで、より現実的なアクセス許可条件の設定を行うこと
ができる。
According to the tenth aspect of the present invention, more realistic access permission conditions can be set by setting the access permission time zone for each of weekdays, Saturdays, Sundays, and holidays.

【0029】請求項11記載の発明では、日毎にアクセ
ス許可時間帯を設定することで、不正なユーザが前日に
得た情報が利用できなくなり、機密情報の漏洩を防止す
ることができる。
According to the eleventh aspect of the present invention, by setting the access permission time zone for each day, the information obtained by the unauthorized user on the previous day cannot be used, and leakage of the confidential information can be prevented.

【0030】すなわち、本発明では、計算機システムに
おける記憶手段、例えばハードディスクや媒体メディア
(CD−ROMなど)に格納されているファイルまたは
データベースへのアクセスを管理する上で、ユーザI
D、バスワードと共に時間帯および端末などの情報を用
い、これらの情報を組み合わせてファイルまたはデータ
ベースへのアクセスに制限を加える。
That is, according to the present invention, in managing access to storage means in a computer system, for example, a file or database stored in a hard disk or a medium (such as a CD-ROM), a user I
D. Information such as time zone and terminal is used together with a password, and the information is combined to restrict access to a file or a database.

【0031】したがって、ユーザからのアクセス要求
が、例えば機密ファイルなどに対するものであり、その
アクセス要求にアクセス許可を与える場合、ユーザI
D、バスワードの他に、時間および端末の情報でアクセ
スに制限を加えて管理するので、不正ユーザが正規のユ
ーザのログインIDおよびパスワードを不正に使用して
アクセス要求を出しているような場合にそのような不正
アクセス要求を退け、機密ファイルからの情報漏洩を防
止することができる。これは、不正アクセスが、所在不
明の端末から深夜、休日の時間帯に行われることが多い
点に着目したものである。
Accordingly, when an access request from a user is for a confidential file, for example, and the access request is given an access permission, the user I
D. In addition to the password, access is restricted and managed based on time and terminal information, so that an unauthorized user issues an access request using the login ID and password of an authorized user illegally. Such an unauthorized access request can be rejected to prevent information leakage from a confidential file. This focuses on the fact that unauthorized access is often performed from a terminal whose location is unknown at midnight or on holidays.

【0032】なお、アクセス可否を判断するためのアク
セス許可条件の情報は原則的に全て暗号化されているも
のとするが、暗号化と解読については一般的な技術を使
用するものとしその説明は省略する。
It should be noted that the information of the access permission condition for judging whether access is permitted is basically all encrypted. However, encryption and decryption use a general technique, and the description thereof will be omitted. Omitted.

【0033】[0033]

【発明の実施の形態】以下、本発明の実施の形態を図面
を参照して詳細に説明する。図1は本発明のファイルア
クセス制御装置が用いられている計算機システムの第1
の実施形態を示す図である。
Embodiments of the present invention will be described below in detail with reference to the drawings. FIG. 1 shows a first example of a computer system in which the file access control device of the present invention is used.
It is a figure showing an embodiment.

【0034】同図に示すように、この第1の実施形態の
計算機システムは、出怠勤管理システム1と、端末設置
室2への人の入退室を管理する入退室管理システム3
と、自身の管理下のファイルに対するアクセス要求があ
った場合に入退室管理システム3および出怠勤管理シス
テム1から情報を取得して認証動作を行い、ファイルア
クセスを制御するファイルアクセス制御装置4とから構
成されている。各システムおよび装置はネットワークで
接続されており、情報交換が可能である。
As shown in FIG. 1, the computer system according to the first embodiment has an attendance management system 1 and an entry / exit management system 3 for managing entry / exit of a person into / from the terminal installation room 2.
And a file access control device 4 that obtains information from the entry / exit management system 3 and the attendance management system 1 to perform an authentication operation when there is an access request to a file under its management, and controls file access. It is composed of Each system and device are connected by a network and can exchange information.

【0035】出怠勤管理システム1は、社員が会社に出
社した時刻と退社した時刻を管理し、ファイルアクセス
制御装置4からの問い合わせに対して勤務中か否かを回
答する。アクセス要求には端末ID、ユーザID、パス
ワード、ファイル名などが含まれている。
The attendance and attendance management system 1 manages the time at which an employee goes to the company and the time at which he / she leaves the company, and responds to an inquiry from the file access control device 4 whether or not the employee is working. The access request includes a terminal ID, a user ID, a password, a file name, and the like.

【0036】端末設置室2には、社員が所持するICカ
ードの情報を読み取るカードリーダを備え、得られた社
員情報を入退室管理システム3へ送り、入退室管理シス
テム3から社員認証結果を受け取る入退室検知器5と、
この入退室検知器5により取得されたICカードの情報
から社員認証した結果、許可が降りると自動的に開放す
る扉6と、ファイルアクセス制御装置4に対してアクセ
ス要求を発行し、許可されると、ファイルアクセス制御
装置4の管理下のファイルにアクセスして各種情報を得
るアクセス端末7とが設置されている。入退室検知器5
は入退室管理システム3の一つの構成要素である。
The terminal installation room 2 is provided with a card reader for reading the information of the IC card possessed by the employee, sends the obtained employee information to the entry / exit management system 3 and receives the employee authentication result from the entry / exit management system 3. An entry / exit detector 5;
As a result of employee authentication based on the information of the IC card acquired by the entry / exit detector 5, an access request is issued to the door 6 that automatically opens when permission is granted and the file access control device 4, and permission is granted. And an access terminal 7 that accesses a file managed by the file access control device 4 and obtains various information. Entry and exit detector 5
Is a component of the entry / exit management system 3.

【0037】ファイルアクセス制御装置4は、ファイル
アクセス制御部10、物理入出力部11、第1の記憶部
12および第2の記憶部13などからなる。ファイルア
クセス制御部10は、第1の記憶部12内に格納されて
いるファイルに対するアクセス要求があった場合、他の
システム(出怠勤管理システム1および入退室管理シス
テム3)と連携をとり認証動作を行う。物理入出力部1
1はファイルアクセス制御部10と第1の記憶部12と
の間のI/O(インターフェース)である。
The file access control device 4 comprises a file access control unit 10, a physical input / output unit 11, a first storage unit 12, a second storage unit 13, and the like. When there is a request to access a file stored in the first storage unit 12, the file access control unit 10 performs authentication in cooperation with other systems (the attendance management system 1 and the entry / exit management system 3). Perform the operation. Physical input / output unit 1
Reference numeral 1 denotes an I / O (interface) between the file access control unit 10 and the first storage unit 12.

【0038】第1の記憶部12には社内のユーザが利用
可能な各種ファイルが記憶(格納)されている。なおフ
ァイル以外にデータベースなどが格納されている場合も
ある。第2の記憶部13にはファイルアクセス管理情報
としての複数のアクセス管理テーブル14〜18が記憶
(設定)されている。
Various files that can be used by in-house users are stored (stored) in the first storage unit 12. A database or the like may be stored in addition to the file. The second storage unit 13 stores (sets) a plurality of access management tables 14 to 18 as file access management information.

【0039】図2に示すように、アクセス管理テーブル
14には、ユーザ認証情報として、ユーザID(アクセ
ス者情報)、氏名(アクセス者情報)、パスワード(暗
証番号)、許可端末ID(複数可)、許可時間帯(複数
可)、設定権限などの情報が設定されている。このユー
ザ認証情報はユーザ毎、つまりユーザ数分のテーブルデ
ータとして存在する。
As shown in FIG. 2, the access management table 14 includes, as user authentication information, a user ID (accessor information), a name (accessor information), a password (personal identification number), and an authorized terminal ID (plurality). , Permitted time zone (s), and setting authority. This user authentication information exists for each user, that is, as table data for the number of users.

【0040】図3に示すように、アクセス管理テーブル
15には、端末情報として、端末ID、設置室ID、使
用許可時間帯などが設定されている。
As shown in FIG. 3, in the access management table 15, a terminal ID, an installation room ID, a use permitted time zone, and the like are set as terminal information.

【0041】図4に示すように、アクセス管理テーブル
16には、設置室情報として、設置室ID、設置端末I
D(複数可)、在室者ID(複数可)などが設定されて
いる。なお、このアクセス管理テーブル16は入退室管
理システム3も持っており、在室者の問い合わせに対し
て回答を返すことができる。
As shown in FIG. 4, the access management table 16 includes, as installation room information, an installation room ID and an installation terminal I.
D (plurality), room occupant ID (plurality) and the like are set. Note that the access management table 16 also has the entry / exit management system 3 and can return a response to the inquiry of the occupant.

【0042】図5に示すように、アクセス管理テーブル
17には、ユーザアクセス管理情報として、1つのユー
ザIDに対して複数のファイルID(1),(2)…
(n)がひも付けされ、各ファイルID(1),(2)
…(n)にアクセス権限(R,W,RW)と許可時間帯
(複数可)が設定されている。なおRは読み出しのみ
可,Wは書き込みのみ可,RWは読み出しおよび書き込
み共に可を示す。
As shown in FIG. 5, in the access management table 17, a plurality of file IDs (1), (2)...
(N) is linked to each file ID (1), (2)
.. (N), access authority (R, W, RW) and permitted time zone (plurality) are set. Note that R indicates read only, W indicates write only, and RW indicates both read and write are possible.

【0043】図6に示すように、アクセス管理テーブル
18には、ファイルアクセス管理情報として、複数のフ
ァイル1つ1つに対してファイルID(1),(2)…
(n)が付けられており、各ファイルID(1),
(2)…(n)にアクセス権限(R,W,RW)と許可
時間帯(複数可)が設定されている。なおRは読み出し
のみ可,Wは書き込みのみ可,RWは読み出しおよび書
き込み共に可を示す。
As shown in FIG. 6, the access management table 18 stores file IDs (1), (2)... For each of a plurality of files as file access management information.
(N), each file ID (1),
(2)... (N), access authority (R, W, RW) and permitted time zone (plurality) are set. Note that R indicates read only, W indicates write only, and RW indicates both read and write are possible.

【0044】なお、上記各アクセス管理テーブル14〜
18には、ユーザにアクセス許可時間帯情報がひも付け
されていない場合もあり、その場合には、アクセスする
際にファイルまたはデータベースの属性としてアクセス
許可時間帯が定義(設定)される。定義後、アクセス管
理テーブル14〜18はアクセス許可の判定に使用され
る。
Each of the access management tables 14 to
In some cases, the access permitted time zone information is not linked to the user 18. In such a case, the access permitted time zone is defined (set) as an attribute of the file or database when accessing. After the definition, the access management tables 14 to 18 are used for determining access permission.

【0045】次に、図7、図8を参照してこの第1の実
施形態の計算機システムの動作を説明する。図7はユー
ザ認証動作を示すフローチャート、図8は端末・時間認
証動作を示すフローチャートである。
Next, the operation of the computer system according to the first embodiment will be described with reference to FIGS. FIG. 7 is a flowchart showing the user authentication operation, and FIG. 8 is a flowchart showing the terminal / time authentication operation.

【0046】まず、この計算機システムのユーザ認証動
作を説明する。あるユーザが端末設置室2に入室すると
きに、そのユーザが所持するICカードを入退室検知器
5のカードリーダに通すと、入退室検知器5により入室
者として検知され、その検知情報は入退室管理システム
3に送られ、入退室管理システム3のデータベース(在
室者の情報)が更新される。
First, the user authentication operation of the computer system will be described. When a user enters the terminal installation room 2 and passes the IC card possessed by the user through the card reader of the entry / exit detector 5, the entry / exit detector 5 detects the user as an entry and the detection information is entered. The data is sent to the room exit management system 3, and the database (information on the occupants) of the room entrance / exit management system 3 is updated.

【0047】あるユーザが社内あるいはそれ以外の場所
に設置されたある端末から、ファイルアクセス制御装置
4の管理下の第1の記憶部12に格納されている所望の
ファイルにアクセスする場合、まず、その端末を起動
し、ログイン情報(ユーザIDとパスワード)を入力す
る。すると、その端末からファイルアクセス制御装置4
にユーザIDとパスワードが入力順に送られる。
When a certain user accesses a desired file stored in the first storage unit 12 under the control of the file access control device 4 from a certain terminal installed in the office or another place, first, Activate the terminal and enter login information (user ID and password). Then, the terminal accesses the file access control device 4
The user ID and the password are sent in the input order.

【0048】ユーザIDをファイルアクセス制御装置4
が受け取ると、ファイルアクセス制御装置4のファイル
アクセス制御部10は、受け取ったユーザIDをまず第
2の記憶部13に予め登録されているファイルアクセス
管理情報、つまりアクセス管理テーブル14にてユーザ
IDを照合してチェックする(S101,S102)。
続いて、端末からパスワードを受け取ると、ファイル
アクセス制御部10は、第2の記憶部13に予め登録さ
れているファイルアクセス管理情報、つまりアクセス管
理テーブル14にてパスワードを照合してチェックする
(S103,S104)。
The user ID is stored in the file access control device 4
, The file access control unit 10 of the file access control device 4 first stores the received user ID in the file access management information registered in advance in the second storage unit 13, that is, the user ID in the access management table 14. Check by collation (S101, S102).
Subsequently, upon receiving the password from the terminal, the file access control unit 10 checks and checks the file access management information registered in the second storage unit 13 in advance, that is, the password in the access management table 14 (S103). , S104).

【0049】ここで、アクセス管理テーブル14にユー
ザIDとパスワードとが共にファイルアクセス管理情報
として登録されているものであれば(S104のy)、
続いて、ファイルアクセス制御部10は、端末情報、つ
まりアクセス管理テーブル15に照合して、ログイン情
報が入力された端末が使用許可されている端末であるか
否か、現在時刻が端末の使用許可時間帯であるか否かを
チェックする。
Here, if both the user ID and the password are registered as file access management information in the access management table 14 (y in S104),
Subsequently, the file access control unit 10 checks the terminal information, that is, the access management table 15, to determine whether the terminal to which the login information is input is a permitted terminal, and determines whether the current time is a permitted terminal. Check if it is time zone.

【0050】そのチェックの結果、ログイン情報が入力
された端末が使用許可されている端末であり、かつ現在
時刻がこの端末の使用許可時間帯内であれば、続いて、
ファイルアクセス制御部10は、ユーザIDにて示され
る人物がこの端末の設置されている端末設置室2に在室
しているか否かを入退室管理システム3に問い合わせて
チェックする(S105)。なお、問い合わせチェック
以外の在室チェック方法としては、対応する端末設置室
2の現在の在室者情報をファイルアクセス制御部10が
入退室管理システム3から取得し、図4に示したアクセ
ス管理テーブル16(設置室情報)に照合し自身でチェ
ックしてもよい。
As a result of the check, if the terminal to which the login information is input is a permitted terminal and the current time is within the permitted time period of the terminal, then
The file access control unit 10 inquires of the entry / exit management system 3 whether or not the person indicated by the user ID is present in the terminal installation room 2 where this terminal is installed (S105). As an occupancy check method other than the inquiry check, the file access control unit 10 acquires the current occupant information of the corresponding terminal installation room 2 from the entry / exit management system 3 and the access management table shown in FIG. 16 (installation room information).

【0051】そして、入退室管理システム3からユーザ
が在室中との回答(在室状況情報)が返ってくると(S
105のy)、ファイルアクセス制御部10は、さら
に、出怠勤管理システム1に対してユーザIDで示され
る人物が所定の勤務時間内に勤務中であるか否かを問い
合わせチェックする(S106)。
Then, when a response (occupancy status information) that the user is occupied is returned from the entry / exit management system 3 (S).
In 105 y), the file access control unit 10 further inquires of the time and attendance management system 1 whether or not the person indicated by the user ID is working during a predetermined working time (S106). .

【0052】そして、ユーザIDで示される人物が所定
の勤務時間内に勤務中であるとの回答が返ってくると
(S106のy)、ファイルアクセス制御部10は、ロ
グイン情報を入力したユーザに対して、初めてログイン
を許可し、ユーザ認証OKとする(S107)。
Then, when a reply is received that the person indicated by the user ID is working within a predetermined working time (y in S106), the file access control unit 10 sends a message to the user who has input the login information. On the other hand, login is permitted for the first time, and user authentication is OK (S107).

【0053】上記いずれかの条件が一つでも不成立であ
れば(S102のn,S104のn,S105のn,S
106のn)、ファイルアクセス制御部10は、ログイ
ン情報を入力したユーザに対してログインを許可せずユ
ーザ認証NG(ユーザ不認証)とし(S108)、その
ユーザは認証されずログインできない。
If at least one of the above conditions is not satisfied (n in S102, n in S104, n in S105, S
In 106) n), the file access control unit 10 does not permit the user who has input the login information to log in and sets the user authentication to NG (user is not authenticated) (S108), and the user is not authenticated and cannot log in.

【0054】次に、この計算機システムの端末・時間認
証動作について説明する。ユーザとして認証されたユー
ザが、その端末から、アクセスを希望するファイルのフ
ァイル名(ファイルIDに同じ)を入力すると(S20
1)、ファイルアクセス制御部10は、図5に示したア
クセス管理テーブル17のユーザアクセス管理情報から
ファイル毎に設定されたアクセス権限(R,W,RW)
とアクセス許可時間帯を取り出し(S202)、認証さ
れたユーザおよび端末がアクセスを希望するファイルに
対してアクセス許可を出すか否かをチェックする。つま
り、ファイル属性(許可端末、許可ユーザID、許可時
間帯など)をファイル単位にチェックする。
Next, a terminal / time authentication operation of the computer system will be described. When a user who has been authenticated as a user inputs a file name (same as a file ID) of a file to be accessed from the terminal (S20).
1) The file access control unit 10 sets the access authority (R, W, RW) set for each file from the user access management information of the access management table 17 shown in FIG.
Then, the access permission time zone is extracted (S202), and it is checked whether or not the authenticated user and terminal give access permission to the file desired to be accessed. That is, file attributes (permitted terminal, permitted user ID, permitted time zone, etc.) are checked for each file.

【0055】そして、アクセス端末およびユーザIDが
共に許可されたものであり(S202,S204)、現
在時刻がアクセス許可時間帯内にあり(S205)、か
つアクセス種類(読込、書込)がアクセス権限で許可さ
れている場合に、このファイルアクセスを許可する(S
206)。上記いずれかの条件が一つでも不成立であれ
ば(S203のn,S204のn,S205のn)、フ
ァイルアクセス制御部10は、ファイルアクセスを許可
しない(不許可とする)(S207)。
The access terminal and the user ID are both permitted (S202, S204), the current time is within the access permitted time zone (S205), and the access type (read, write) is the access right. If the file access is permitted, this file access is permitted (S
206). If any one of the above conditions is not satisfied (n in S203, n in S204, n in S205), the file access control unit 10 does not permit (disable) file access (S207).

【0056】上記の結果、ファイルアクセス制御部10
がログインしたユーザおよび端末に対してアクセスを許
可すると、許可された端末からファイルアクセス指示を
出すことにより物理入出力部11を介してファイルの入
出力が実行可能になる。
As a result, the file access control unit 10
When the user permits access to the logged-in user and the terminal, a file access instruction is issued from the permitted terminal, so that file input / output can be executed via the physical input / output unit 11.

【0057】このようにこの第1の実施形態の計算機シ
ステムによれば、第1の記憶部12に格納されているフ
ァイルに対するアクセス管理情報としてユーザID、パ
スワード、許可時間帯および端末IDが設定されたアク
セス管理テーブル14〜18を第2の記憶部13に登録
し、あるユーザが社内のある端末からログインし第1の
記憶部12のファイルへアクセスしようとした場合に、
ログインの時点で、ファイルアクセス制御部10が、ア
クセス管理テーブル14〜18に登録されたユーザI
D、パスワード、許可時間帯および端末IDとを基にユ
ーザ認証し、次にファイルが指定された場合に時間帯と
端末を認証しこの認証動作の中でいずれか一つでも合致
しなかった場合に不認証とするので、ある端末からの不
正アクセスによる機密情報の漏洩を防止することができ
る。
As described above, according to the computer system of the first embodiment, the user ID, the password, the permitted time zone, and the terminal ID are set as the access management information for the file stored in the first storage unit 12. The access management tables 14 to 18 are registered in the second storage unit 13, and when a user logs in from a certain terminal in the company and tries to access a file in the first storage unit 12,
At the time of login, the file access control unit 10 sends the user I registered in the access management tables 14 to 18
User authentication based on D, password, permitted time zone, and terminal ID, and then, when a file is specified, the time zone and the terminal are authenticated, and any one of these authentication operations does not match , The leakage of confidential information due to unauthorized access from a certain terminal can be prevented.

【0058】つまり、通常用いられているユーザID、
パスワード以外に、許可時間帯および端末IDなどの情
報を設定しておき認証動作を行うので、正しいもの以外
の不正アクセスができなくなる。
That is, the user ID which is usually used,
Since the authentication operation is performed by setting information such as the permitted time zone and the terminal ID in addition to the password, unauthorized access other than the correct one cannot be performed.

【0059】次に、図9〜図13を参照して本発明のフ
ァイルアクセス制御装置が用いられている計算機システ
ムの第2の実施形態について説明する。なお、上記第1
実施形態のものと同様の構成については同一の符号を付
しその説明は省略する。この第2実施形態の計算機シス
テムのファイルアクセス制御装置4aは、図9に示すよ
うに、アクセス制御情報設定部19と第2の記憶部13
aとを有している。アクセス制御情報設定部19は、外
部の設定端末20、例えば通常のユーザよりも上位の権
限を持つ権限者Aが操作する端末と接続され、設定端末
20の操作により、第2の記憶部13aの登録内容(フ
ァイルアクセス制御情報)を更新する。
Next, a second embodiment of a computer system using the file access control device of the present invention will be described with reference to FIGS. In addition, the first
The same components as those of the embodiment are denoted by the same reference numerals, and description thereof is omitted. As shown in FIG. 9, the file access control device 4a of the computer system according to the second embodiment includes an access control information setting unit 19 and a second storage unit 13
a. The access control information setting unit 19 is connected to an external setting terminal 20, for example, a terminal operated by an authorized person A having a higher authority than a normal user. Update the registered contents (file access control information).

【0060】第2の記憶部13aにはファイルアクセス
管理情報としての複数のアクセス管理テーブル31〜3
5が登録(設定)されている。これら複数のアクセス管
理テーブル31〜35に登録されている情報は、アクセ
ス制御情報設定部19のみが追加、変更を行える。
The second storage unit 13a stores a plurality of access management tables 31 to 3 as file access management information.
5 are registered (set). Only the access control information setting unit 19 can add or change the information registered in the plurality of access management tables 31 to 35.

【0061】図10に示すように、アクセス管理テーブ
ル31には、ユーザ認証情報として、ユーザID、氏
名、パスワード、許可端末ID(複数可)、許可時間帯
(複数可)、設定権限などの情報が設定されている。こ
のユーザ認証情報はユーザ毎、つまりユーザ数分のテー
ブルデータとして存在する。このアクセス管理テーブル
31は第1の実施形態で示したアクセス管理テーブル1
4と同じものである。
As shown in FIG. 10, the access management table 31 includes, as user authentication information, information such as a user ID, a name, a password, a permitted terminal ID (a plurality), a permitted time zone (a plurality), and setting authority. Is set. This user authentication information exists for each user, that is, as table data for the number of users. This access management table 31 is the access management table 1 shown in the first embodiment.
Same as 4.

【0062】図11に示すように、アクセス管理テーブ
ル32には、カレンダー情報として、ユーザID、開始
年、終了年、カレンダー開始年ポインタなどが設定され
ている。 カレンダー情報は、ユーザ認証情報のユーザ
IDに対応して存在するものである。したがって、全て
のユーザに存在するわけではなく、カレンダー情報を持
たないユーザも存在する。ユーザIDは、ユーザ認証情
報のユーザIDに対応する。 開始年、終了年は、ユー
ザカレンダーの登録数を把握するための情報である。こ
の開始年、終了年によって、各年の日数を計算すること
ができる。開始年ポインタは、ユーザカレンダーを取り
出すためのポインタである。
As shown in FIG. 11, in the access management table 32, a user ID, a start year, an end year, a calendar start year pointer, and the like are set as calendar information. The calendar information exists corresponding to the user ID of the user authentication information. Therefore, not all users exist, and some users do not have calendar information. The user ID corresponds to the user ID of the user authentication information. The start year and the end year are information for grasping the number of registered user calendars. The number of days in each year can be calculated based on the start year and the end year. The start year pointer is a pointer for taking out the user calendar.

【0063】図12に示すように、アクセス管理テーブ
ル33には、ユーザカレンダー(開始年)として、日付
毎(1日,2日…31日など)に、平日、土曜日、日曜
日、祝日などを識別するための平土日祝識別情報と、そ
れぞれの平土日祝識別情報にひも付けされたユーザアク
セス可能時間帯の情報とが設定されている。
As shown in FIG. 12, in the access management table 33, weekdays, Saturdays, Sundays, public holidays, and the like are identified as user calendars (starting years) for each date (eg, 1st, 2nd, 31st, etc.). And weekday, holiday, and holiday identification information, and information on a user accessible time zone associated with each of the weekday, holiday, and holiday identification information.

【0064】このユーザカレンダーは、カレンダー情報
を有するユーザ毎に存在する。ユーザカレンダーには、
カレンダー情報のカレンダー開始年から終了年の期間の
情報が存在する。これにより、各ユーザの日々のアクセ
ス可能時間を指定することができる。なお、参照するフ
ァイルとは無関係である。
This user calendar exists for each user having calendar information. The user calendar contains
There is information on the period from the calendar start year to the end year in the calendar information. Thereby, the daily accessible time of each user can be specified. It is irrelevant to the referenced file.

【0065】図13に示すように、アクセス管理テーブ
ル34には、ファイルカレンダー管理情報として、1つ
の開始年に対して複数のファイルID(1),(2)…
終了コードがひも付けされ、各ファイルID(1),
(2)…終了コードにファイルアクセス可能時間帯が設
定されている。各ファイルID(1),(2)…には、
それぞれの終了年のカレンダーポインタによってファイ
ルカレンダー(開始年)のテーブル35がひも付けされ
ている。
As shown in FIG. 13, in the access management table 34, a plurality of file IDs (1), (2)...
An end code is linked to each file ID (1),
(2)... A file access time zone is set in the end code. Each file ID (1), (2) ...
A file calendar (start year) table 35 is linked to each end year calendar pointer.

【0066】ファイルカレンダー管理情報は、独立して
存在する。つまり、上位に存在する情報はない。ここに
は、ファイル内に存在するファイルIDのファイルカレ
ンダーを取り出すための情報が設定されている。ファイ
ルは増減があるので、最終位置を示す終了コードが存在
する。ファイルカレンダー(開始年)のテーブル35
は、ファイルカレンダー管理情報のファイルID毎に存
在する。ファイルカレンダー(開始年)は、ファイルカ
レンダー管理情報のファイルID(n)のカレンダーポ
インタにより示される。登録数は、ファイルカレンダー
管理情報の開始年、終了年から日数を計算できるので、
終端に終了コードは不要である。開始年、終了年は、フ
ァイル毎ではなく全体として管理するための情報であ
る。つまり、開始年、終了年は、ファイル毎に設定する
のではなく、システム全体として管理しておくものであ
る。これにより、各ファイルの日々のアクセス可能時間
の指定が行える。
The file calendar management information exists independently. That is, there is no information existing at a higher rank. Here, information for extracting the file calendar of the file ID existing in the file is set. Since the file has an increase or decrease, there is an end code indicating the final position. File calendar (start year) table 35
Exists for each file ID of the file calendar management information. The file calendar (start year) is indicated by the calendar pointer of the file ID (n) of the file calendar management information. Since the number of registrations can be calculated from the start year and end year of the file calendar management information,
No end code is required at the end. The start year and the end year are information for managing as a whole, not for each file. In other words, the start year and the end year are not set for each file, but are managed for the entire system. Thereby, the daily accessible time of each file can be specified.

【0067】上記各テーブル31〜35を設定したこと
によって、各ユーザ毎と各ファイル毎の日々のアクセス
可能時間を定めることができるので、これらのアクセス
許可条件を満たした場合に初めてアクセスを許可するこ
とにすれば、不正なアクセスから情報の漏洩を防止する
ことができる。
By setting each of the tables 31 to 35, the daily accessible time for each user and each file can be determined. Therefore, access is permitted only when these access permission conditions are satisfied. In this case, it is possible to prevent information leakage from unauthorized access.

【0068】すなわち、この第2の実施形態は、第1の
実施形態の計算機システムに、カレンダーに基づく時間
帯設定を行う機能と、アクセス条件を設定あるいは変更
する機能とを追加したものである。
That is, in the second embodiment, a function of setting a time zone based on a calendar and a function of setting or changing an access condition are added to the computer system of the first embodiment.

【0069】この第2実施形態の場合、カレンダーを設
定したことで、ユーザにアクセスを許可する時間帯を、
日単位に設定可能である。また、図11に示すように、
アクセス管理テーブル34(カレンダー情報)を設けた
ので、ファイルの属性として、ファイル単位のアクセス
許可時間帯を日単位に設定することができる。このカレ
ンダー情報は、ユーザアクセス許可時間帯に反映され
る。
In the case of the second embodiment, by setting the calendar, the time period during which the user is permitted to access is
It can be set on a daily basis. Also, as shown in FIG.
Since the access management table 34 (calendar information) is provided, it is possible to set the file-permitted access time zone on a daily basis as a file attribute. This calendar information is reflected in the user access permitted time zone.

【0070】ここで、カレンダー情報の設定、変更に関
わるユーザ認証情報について説明する。
Here, user authentication information related to setting and changing of calendar information will be described.

【0071】アクセス管理テーブル31中に設定権限が
あり、この設定権限の欄にはアクセス管理情報を設定あ
るいは変更する設定変更入力者(第1の特定者)iと承
認する人(第2の特定者)aとが設定されている。この
設定権限の情報により、アクセス管理テーブル32(カ
レンダー情報)を含むアクセス管理情報の設定変更入力
者(第1の特定者)iと承認する人(第2の特定者)a
とが決定付けられている。設定権限は、無し、設定入
力、承認の欄のいずれか一つが設定され、設定入力、承
認の欄にはそれぞれにユーザIDが一つ設定されてい
る。設定入力と承認の欄には同じユーザIDは設定でき
ないようになっている。
There is a setting authority in the access management table 31, and in the setting authority column, a setting change inputter (first specific person) i who sets or changes the access management information and a person who approves (second specific person) Person) a is set. According to the information on the setting authority, the setting change input person (first specific person) i of the access management information including the access management table 32 (calendar information) and the person who approves (second specific person) a
Is determined. For the setting authority, any one of the fields of none, setting input, and approval is set, and one user ID is set in each of the setting input and approval fields. The same user ID cannot be set in the setting input and approval fields.

【0072】次に、この第2の実施形態の計算機システ
ムの動作を説明する。この計算機システムの場合、設定
端末20のアクセス制御情報設定の画面にて時間帯の設
定を行う。設定権限のあるものが日毎の許可時間帯をカ
レンダー情報にて設定入力を行い、毎0時に当日の許可
時間帯を、アクセス管理テーブル32(カレンダー情
報)を用いて設定入力すると、アクセス制御情報設定部
19は、カレンダー情報をコピーして仮カレンダー情報
を作成し、そこに設定の変更を加えて、その仮カレンダ
ー情報について変更許可を申請し、承認者(第2の特定
者)によって承認された場合に、元のアクセス管理テー
ブル32(カレンダー情報)をコピーして変更した内容
に入れ替える。これによって日単位のアクセス許可時間
帯を設定することができる。
Next, the operation of the computer system according to the second embodiment will be described. In the case of this computer system, the time zone is set on the access control information setting screen of the setting terminal 20. If a person having the setting authority inputs and sets the permitted time zone for each day using calendar information, and inputs and sets the permitted time zone for the day at 0:00 using the access management table 32 (calendar information), the access control information setting is performed. The unit 19 copies the calendar information to create temporary calendar information, changes the setting, applies for permission to change the temporary calendar information, and is approved by the approver (second specific person). In this case, the original access management table 32 (calendar information) is copied and replaced with the changed contents. As a result, it is possible to set the access permission time zone on a daily basis.

【0073】このようにこの第2の実施形態の計算機シ
ステムによれば、第1の実施形態の機能に加えて、アク
セス管理テーブル32(カレンダー情報)を設定し、ユ
ーザ単位あるいはファイル単位に、日単位のアクセス許
可時間帯を設定する機能を備えたことで、不正アクセス
の機会を減らし、機密漏洩を防止することができる。ま
た、アクセス管理テーブル31の設定権限の欄に設定す
る情報としては、入力者(第1の特定者)iと承認者
(第2の特定者)aとを異ならせることで、何者も単独
では登録内容を書き換えることができなくなり、不正行
為を抑止する効果もある。
As described above, according to the computer system of the second embodiment, in addition to the functions of the first embodiment, the access management table 32 (calendar information) is set, and the date is set for each user or file. By providing a function of setting a unit access permitted time zone, opportunities for unauthorized access can be reduced and confidential leakage can be prevented. The information to be set in the setting authority column of the access management table 31 is such that the input person (first specific person) i and the approver (second specific person) a are different from each other, This makes it impossible to rewrite the registered contents, which has the effect of suppressing fraud.

【0074】この結果、ある端末からの秘匿ファイルの
不正アクセスを抑止することができる。
As a result, unauthorized access of a secret file from a certain terminal can be suppressed.

【0075】なお、本発明は上記各実施形態のみに限定
されるものではない。例えば第1および第2の各実施形
態で示した各テーブルを組み合わせて用いてもよい。ま
た、ユーザIDを同一ユーザに対し唯一化するために、
上記ユーザIDおよびパスワードに、例えば指紋、虹
彩、声紋などの個人の肉体的特徴を加えて登録し、これ
にて唯一化を実現し、認証時に使用するようにしてもよ
い。この唯一化で、同一人物がアクセス管理情報の設定
入力と承認との両方の権限を有することをシステム的に
防ぐことができる。
The present invention is not limited to only the above embodiments. For example, the tables shown in the first and second embodiments may be used in combination. Also, in order to make the user ID unique to the same user,
The user ID and the password may be registered by adding physical characteristics of the individual such as a fingerprint, an iris, and a voiceprint, for example. This unification makes it possible to systematically prevent the same person from having both the authority to input and set the access management information and the authority to approve it.

【0076】また、上記実施形態に記載のファイルアク
セス制御部10は、ソフトウェアとして実現することも
できる。この場合、ソフトウェアは、フロッピーディス
クなどのコンピュータが読み出し可能な記憶媒体に記憶
されていても良く、この場合、記憶媒体に記憶されたソ
フトウェア(プログラム)をコンピュータが読み出すこ
とにより、各実施形態における処理が可能になる。
Further, the file access control section 10 described in the above embodiment can be realized as software. In this case, the software may be stored in a computer-readable storage medium such as a floppy disk. In this case, the computer reads out the software (program) stored in the storage medium, thereby executing the processing in each embodiment. Becomes possible.

【0077】なお、本発明における記憶媒体としては、
磁気ディスク、フロッピーディスク、ハードディスク、
光ディスク(CD−ROM、CD−R、DVDなど)、
光磁気ディスク(MOなど)、半導体メモリなど、プロ
グラムを記憶でき、かつコンピュータが読み取り可能な
記憶媒体であれば、その記憶形式はいずれの形態であっ
ても良い。
The storage medium in the present invention includes:
Magnetic disk, floppy disk, hard disk,
Optical disks (CD-ROM, CD-R, DVD, etc.),
Any storage medium, such as a magneto-optical disk (MO or the like) or a semiconductor memory, which can store a program and can be read by a computer, may have any storage format.

【0078】また、記憶媒体からコンピュータにインス
トールされたプログラムの指示に基づき、コンピュータ
上で稼動しているOS(オペレーティングシステム)
や、データベース管理ソフト、ネットワークソフトなど
のMW(ミドルウェア)などが本実施形態を実現するた
めの各処理の一部を実行しても良い。
Also, an OS (Operating System) running on the computer based on instructions of a program installed in the computer from the storage medium.
Alternatively, MW (middleware) such as database management software and network software may execute a part of each process for realizing the present embodiment.

【0079】さらに、本発明における記憶媒体は、コン
ピュータと独立した媒体に限らず、LANやインターネ
ットなどにより伝送されたプログラムをダウンロードし
て記憶または一時記憶した記憶媒体も含まれる。
Further, the storage medium in the present invention is not limited to a medium independent of a computer, but also includes a storage medium in which a program transmitted via a LAN or the Internet is downloaded and stored or temporarily stored.

【0080】また、記憶媒体は一つに限らず、複数の媒
体から本実施形態における処理が実行される場合も本発
明における記録媒体に含まれ、媒体構成はいずれの構成
であっても良い。
Further, the number of storage media is not limited to one, and the case where the processing in this embodiment is executed from a plurality of media is also included in the recording medium of the present invention, and any media configuration may be used.

【0081】なお、本発明におけるコンピュータは、記
憶媒体に記憶されたプログラムに基づき、本実施形態に
おける各処理を実行するものであって、パソコンなどの
一つからなる装置、複数の装置がネットワーク接続され
たシステムなどのいずれの構成であっても良い。
The computer according to the present invention executes each processing in the present embodiment based on a program stored in a storage medium. An apparatus such as a personal computer and a plurality of apparatuses are connected to a network. Any configuration such as a system performed may be used.

【0082】また、本発明におけるコンピュータとは、
パソコンに限らず、情報処理機器に含まれる演算処理装
置、マイコンなども含み、プログラムによって本発明の
機能を実現することが可能な機器、装置を総称してい
る。
The computer in the present invention is
It is not limited to a personal computer, but also includes an arithmetic processing unit, a microcomputer, and the like included in an information processing device, and collectively refers to devices and devices that can realize the functions of the present invention by a program.

【0083】[0083]

【発明の効果】以上説明したように本発明によれば、フ
ァイルやデータベースの内容、特に機密情報へのアクセ
ス要求に対して、ユーザID、バスワードの他に、時間
情報および端末情報を用いて制限を加えて管理するの
で、アクセス許可者のログインIDやパスワードが不正
ユーザによって取得され使用された場合でもそれだけで
はアクセスが許可されなくなる。
As described above, according to the present invention, in addition to a user ID and a password, time information and terminal information are used in response to an access request to the contents of a file or database, especially confidential information. Since the management is performed with restrictions, even if the login ID and the password of the access permitted person are acquired and used by an unauthorized user, access is not permitted by itself.

【0084】この結果、ある端末からシステム管理下の
ファイルあるいはデータベースに対して行われる不正ア
クセスによる機密情報の漏洩を防止することができる。
As a result, leakage of confidential information due to unauthorized access from a certain terminal to a file or database under system management can be prevented.

【図面の簡単な説明】[Brief description of the drawings]

【図1】本発明の第1の実施形態の計算機システムの構
成を示す図。
FIG. 1 is a diagram showing a configuration of a computer system according to a first embodiment of the present invention.

【図2】この計算機システムにおいてアクセス管理テー
ブル(ユーザ認証情報)を示す図。
FIG. 2 is a view showing an access management table (user authentication information) in the computer system.

【図3】この計算機システムにおいてアクセス管理テー
ブル(端末情報)を示す図。
FIG. 3 is a diagram showing an access management table (terminal information) in this computer system.

【図4】この計算機システムにおいてアクセス管理テー
ブル(設置室情報)を示す図。
FIG. 4 is a diagram showing an access management table (installation room information) in the computer system.

【図5】この計算機システムにおいてアクセス管理テー
ブル(ユーザアクセス管理情報)を示す図。
FIG. 5 is a diagram showing an access management table (user access management information) in the computer system.

【図6】この計算機システムにおいてアクセス管理テー
ブル(ファイルアクセス管理情報)を示す図。
FIG. 6 is a view showing an access management table (file access management information) in the computer system.

【図7】この計算機システムにおいてユーザ認証動作を
示すフローチャート。
FIG. 7 is a flowchart showing a user authentication operation in this computer system.

【図8】この計算機システムにおいて端末・時間認証動
作を示すフローチャート。
FIG. 8 is a flowchart showing a terminal / time authentication operation in the computer system.

【図9】本発明の第2の実施形態の計算機システムの構
成を示す図。
FIG. 9 is a diagram illustrating a configuration of a computer system according to a second embodiment of this invention.

【図10】この計算機システムにおいてアクセス管理テ
ーブル(ユーザ認証情報)を示す図。
FIG. 10 is a view showing an access management table (user authentication information) in the computer system.

【図11】この計算機システムにおいてアクセス管理テ
ーブル(カレンダー情報)を示す図。
FIG. 11 is a diagram showing an access management table (calendar information) in this computer system.

【図12】この計算機システムにおいてアクセス管理テ
ーブル(ユーザカレンダー)(開始年)を示す図。
FIG. 12 is a diagram showing an access management table (user calendar) (start year) in this computer system.

【図13】この計算機システムにおいてアクセス管理テ
ーブル(ファイルカレンダー管理情報)を示す図。
FIG. 13 is a diagram showing an access management table (file calendar management information) in the computer system.

【符号の説明】[Explanation of symbols]

1…出怠勤管理システム、2…端末設置室、3…入退室
管理システム、4,4a…ファイルアクセス制御装置、
5…入退室検知器、6…扉、7…アクセス端末、8…、
9…、10…ファイルアクセス制御部、11…物理入出
力部、12…第1の記憶部、13,13a…第2の記憶
部、14〜18,31〜35…アクセス管理テーブル。
1. Attendance management system, 2. Terminal installation room, 3. Entry / exit management system, 4, 4a. File access control device,
5 Entry / exit detector, 6 Door, 7 Access terminal, 8…
9 ... 10 ... file access control unit, 11 ... physical input / output unit, 12 ... first storage unit, 13, 13a ... second storage unit, 14-18, 31-35 ... access management table.

Claims (13)

【特許請求の範囲】[Claims] 【請求項1】 ファイルあるいはデータベースを格納す
る第1の記憶手段と、 前記ファイルあるいはデータベースに対するアクセス許
可条件としてアクセス者情報、暗証番号、時間情報およ
び端末情報が設定された第2の記憶手段と、 前記第1の記憶手段に格納されているファイルあるいは
データベースに対するアクセス要求があった場合、前記
第2の記憶手段に設定されているアクセス者情報、暗証
番号、時間情報および端末情報の少なくとも3つの情報
を用いて認証する認証手段と、 前記認証手段が正常に認証した場合、前記ファイルある
いはデータベースに対するアクセス許可を与える制御手
段とを具備したことを特徴とするアクセス制御装置。
A first storage unit for storing a file or a database; a second storage unit in which accessor information, a password, time information, and terminal information are set as access permission conditions for the file or the database; When there is an access request to a file or database stored in the first storage means, at least three pieces of information of accessor information, a password, time information, and terminal information set in the second storage means An access control apparatus, comprising: an authentication unit that performs authentication by using the authentication unit; and a control unit that gives an access permission to the file or the database when the authentication unit has successfully authenticated.
【請求項2】 請求項1記載のアクセス制御装置におい
て、 前記認証手段は、 前記第2の記憶手段に設定されているアクセス者情報お
よび暗証番号に基づいて、アクセス者がアクセス可能な
ユーザか否かを判断するユーザ認証手段と、 前記第2の記憶手段に設定されている端末情報に基づい
て、前記アクセス者が操作する端末が前記第1の記憶手
段に対してアクセス可能な端末か否かを判断する端末認
証手段と、 前記第2の記憶手段に設定されている時間情報に基づい
て、アクセス時間がアクセス可能な時間帯か否かを判断
する時間認証手段とを具備したことを特徴とするアクセ
ス制御装置。
2. The access control device according to claim 1, wherein the authentication means determines whether or not the accessor is a user who can access, based on accessor information and a password set in the second storage means. User authentication means for determining whether or not the terminal operated by the accessor is a terminal capable of accessing the first storage means based on the terminal information set in the second storage means Terminal authentication means for determining whether or not the access time is an accessible time zone based on time information set in the second storage means. Access control device.
【請求項3】 請求項1,2いずれか記載のアクセス制
御装置において、 一般のアクセス者よりも上位の設定権限を持つ第1の特
定者からの指示で、前記第2の記憶手段のアクセス許可
条件を設定あるいは変更する条件設定手段を具備したこ
とを特徴とするアクセス制御装置。
3. The access control device according to claim 1, wherein an access from said second storage unit is permitted by an instruction from a first specific person having a higher setting authority than a general access person. An access control device comprising condition setting means for setting or changing conditions.
【請求項4】 請求項3記載のアクセス制御装置におい
て、 前記条件設定手段は、 前記第2の記憶手段のアクセス許可条件を設定あるいは
変更する場合、設定権限を持つ第1の特定者が設定変更
を申請し、他に承認権限を持つ第2の特定者の承認を経
て有効とすることを特徴とするアクセス制御装置。
4. The access control device according to claim 3, wherein the condition setting unit sets or changes an access permission condition of the second storage unit, and the first specific person having setting authority changes the setting. An access control device, wherein the application is made effective after approval of a second specific person who has another approval authority.
【請求項5】 請求項3記載のアクセス制御装置におい
て、 前記条件設定手段は、 前記時間情報としてアクセス者毎にアクセスを許可する
時間帯を設定し、 前記認証手段は、 アクセス要求があった時間帯が、アクセスを許可してい
る時間帯か否かをアクセス者毎に判断することを特徴と
するアクセス制御装置。
5. The access control device according to claim 3, wherein the condition setting unit sets a time zone in which access is permitted for each accessor as the time information, and the authentication unit determines a time when the access request is issued. An access control device for determining, for each accessor, whether or not the band is a time period in which access is permitted.
【請求項6】 請求項3記載のアクセス制御装置におい
て、 前記条件設定手段は、 前記時間情報としてファイル毎あるいはデータベース毎
にアクセスを許可する時間帯を設定し、 前記認証手段は、 アクセス要求があった時間帯が、アクセスを許可してい
る時間帯か否かをファイル毎あるいはデータベース毎に
判断することを特徴とするアクセス制御装置。
6. The access control device according to claim 3, wherein the condition setting means sets a time zone in which access is permitted for each file or each database as the time information, and wherein the authentication means receives an access request. An access control device for determining, for each file or each database, whether or not the set time zone is a time zone in which access is permitted.
【請求項7】 請求項3記載のアクセス制御装置におい
て、 前記条件設定手段は、 前記ファイルあるいはデータベースへアクセス可能な端
末とその端末毎に使用可能な時間帯とを設定し、 前記認証手段は、 アクセス要求した端末がアクセス可能な端末であり、そ
の端末が使用可能な時間帯であるという2つの条件を満
たした場合にアクセスを許可することを特徴とするアク
セス制御装置。
7. The access control device according to claim 3, wherein the condition setting unit sets a terminal that can access the file or the database and a time zone that can be used for each terminal. An access control device, wherein access is permitted when a terminal that has made an access request is an accessible terminal and the terminal satisfies two conditions that the terminal is available for use.
【請求項8】 請求項3記載のアクセス制御装置におい
て、 前記条件設定手段は、 前記アクセス者情報として、許可されたアクセス者が出
社した時刻および退社した時刻と、前記許可されたアク
セス者の通常の勤務時間帯とを設定し、 前記認証手段は、 アクセス要求したアクセス者が、許可されたアクセス者
であり、かつアクセス要求があった時間帯が前記許可さ
れたアクセス者が出社中であり、かつ前記通常の勤務時
間帯の範囲内であるという3つの条件を満たした場合に
アクセスを許可することを特徴とするアクセス制御装
置。
8. The access control apparatus according to claim 3, wherein the condition setting means includes, as the accessor information, a time at which the authorized accessor has left and left the office, and a normal time of the authorized accessor. The authentication means, the access requester is an authorized accessor, and the time of the access request is the authorized accessor is coming to work, An access control device, wherein access is permitted when three conditions are satisfied within the normal working hours.
【請求項9】 ファイルあるいはデータベースを格納す
る第1の記憶手段と、 前記ファイルあるいはデータベースに対するアクセス許
可条件としてアクセス者情報、暗証番号、時間情報、端
末情報、前記ファイルあるいはデータベースへアクセス
可能な端末が設置されている部屋の情報が設定された第
2の記憶手段と、 前記部屋へ出入りする人の情報を取得する入退者情報取
得手段と、 前記入退者情報取得手段により取得された人の情報か
ら、アクセス要求を出したアクセス者が在室しているか
否かの在室状況情報を検知する検知手段と、 前記第1の記憶手段に格納されているファイルあるいは
データベースに対するアクセス要求があった場合、前記
第2の記憶手段に設定されているアクセス者情報、暗証
番号、時間情報、端末情報、部屋情報の少なくとも3つ
の情報と前記検知手段により検知されたアクセス者の在
室状況情報を用いて認証する認証手段と、 前記認証手段が正常に認証した場合、前記ファイルある
いはデータベースに対するアクセス許可を与える制御手
段とを具備したことを特徴とするアクセス制御装置。
9. A first storage means for storing a file or a database, and access terminal information, a personal identification number, time information, terminal information, and a terminal capable of accessing the file or the database as access permission conditions for the file or the database. A second storage unit in which information of the installed room is set; an entry / exit information acquisition unit that acquires information of a person entering and leaving the room; From the information, there is a detecting means for detecting occupancy status information as to whether or not the accessor who issued the access request is occupied, and an access request to a file or database stored in the first storage means. In the case, the accessor information, personal identification number, time information, terminal information, room information set in the second storage means Means for authenticating using at least three pieces of information of the information and the occupant status information of the accessor detected by the detecting means; and control for giving access permission to the file or database when the authenticating means has successfully authenticated. And an access control device.
【請求項10】 請求項1乃至9いずれか一記載のアク
セス制御装置において、 前記時間情報として、平日、土曜日、日曜日、祝日毎に
アクセス許可時間帯を設定したことを特徴とするアクセ
ス制御装置。
10. The access control device according to claim 1, wherein an access permitted time zone is set for each of weekdays, Saturdays, Sundays, and holidays as the time information.
【請求項11】 請求項1乃至9いずれか一記載のアク
セス制御装置において、 前記時間情報として、日毎にアクセス許可時間帯を設定
したことを特徴とするアクセス制御装置。
11. The access control device according to claim 1, wherein an access permitted time zone is set for each day as the time information.
【請求項12】 記憶手段に格納されたファイルあるい
はデータベースに対するアクセス許可条件としてアクセ
ス者情報、暗証番号、時間情報および端末情報を設定す
る工程と、 前記記憶手段に格納されているファイルあるいはデータ
ベースに対するアクセス要求があった場合、前記アクセ
ス者情報、暗証番号、時間情報および端末情報の少なく
とも3つの情報を用いて認証する工程と、 正常に認証された場合、前記ファイルあるいはデータベ
ースに対するアクセス許可を与える工程とを有すること
を特徴とするアクセス制御方法。
12. A step of setting accessor information, a personal identification number, time information and terminal information as access permission conditions for a file or a database stored in a storage means, and for accessing a file or a database stored in the storage means. A step of performing authentication using at least three pieces of information of the accessor information, the password, the time information, and the terminal information when requested; and a step of granting access permission to the file or the database if the authentication is successful. An access control method comprising:
【請求項13】 ファイルあるいはデータベースを記憶
したコンピュタを動作させるためのプログラムを記憶し
たコンピュータ読み取り可能な記憶媒体において、 前記コンピュータに、 前記ファイルあるいはデータベースに対するアクセス許
可条件としてアクセス者情報、暗証番号、時間情報およ
び端末情報を設定し、 前記ファイルあるいはデータベースに対するアクセス要
求があった場合、前記アクセス者情報、暗証番号、時間
情報および端末情報の少なくとも3つの情報を用いて認
証させ、 前記正常に認証した場合、前記ファイルあるいはデータ
ベースに対するアクセス許可を与えさせることを特徴と
する記憶媒体。
13. A computer-readable storage medium storing a program for operating a computer storing a file or a database, wherein the computer stores, as access permission conditions for the file or the database, accessor information, a password, and a time. Information and terminal information are set, and when there is an access request to the file or the database, authentication is performed using at least three pieces of information of the accessor information, password, time information, and terminal information. A storage medium for giving access permission to the file or the database.
JP11062353A 1999-03-09 1999-03-09 Device and method for controlling access and storage medium Withdrawn JP2000259567A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP11062353A JP2000259567A (en) 1999-03-09 1999-03-09 Device and method for controlling access and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP11062353A JP2000259567A (en) 1999-03-09 1999-03-09 Device and method for controlling access and storage medium

Publications (1)

Publication Number Publication Date
JP2000259567A true JP2000259567A (en) 2000-09-22

Family

ID=13197679

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11062353A Withdrawn JP2000259567A (en) 1999-03-09 1999-03-09 Device and method for controlling access and storage medium

Country Status (1)

Country Link
JP (1) JP2000259567A (en)

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002230309A (en) * 2001-01-30 2002-08-16 Daiwa Securities Group Inc Server device and fund transfer information notification system
JP2003140968A (en) * 2001-10-30 2003-05-16 Hitachi Ltd Storage device and management and operation method for it
JP2004110681A (en) * 2002-09-20 2004-04-08 Fuji Xerox Co Ltd Display control device, method, and program
JP2004240645A (en) * 2003-02-05 2004-08-26 Ufj Bank Ltd Personal identification system and method
JP2005215101A (en) * 2004-01-28 2005-08-11 Fuji Xerox Co Ltd Electronic equipment
JP2005275775A (en) * 2004-03-24 2005-10-06 Hitachi Ltd Data protection method and authentication method and program
JP2006020933A (en) * 2004-07-09 2006-01-26 Glory Ltd Game medium counting system
JP2006331042A (en) * 2005-05-26 2006-12-07 Atsumi Electric Co Ltd Control device for guard system
JP2006343886A (en) * 2005-06-07 2006-12-21 Matsushita Electric Works Ltd Network management system
JP2007065777A (en) * 2005-08-29 2007-03-15 Ricoh Co Ltd Electronic data distribution system, electronic data distribution program, recording medium with the program recorded thereon, and input device
JP2007304834A (en) * 2006-05-11 2007-11-22 Hitachi Electronics Service Co Ltd Access control method
JP2007304835A (en) * 2006-05-11 2007-11-22 Hitachi Electronics Service Co Ltd Access control method
JP2008021145A (en) * 2006-07-13 2008-01-31 Seiko Epson Corp Network system, computer, application providing method for network system, and program
JP2008158608A (en) * 2006-12-21 2008-07-10 Dainippon Printing Co Ltd Computer system and method for managing its access right
JP2009020868A (en) * 2007-06-11 2009-01-29 Ricoh Co Ltd Authentication apparatus, authentication method, and program
JP2009093454A (en) * 2007-10-10 2009-04-30 Toshiba Tec Corp Data access management device and information management method
JPWO2007055206A1 (en) * 2005-11-08 2009-04-30 シャープ株式会社 COMMUNICATION DEVICE, COMMUNICATION METHOD, COMMUNICATION SYSTEM, PROGRAM, AND COMPUTER-READABLE RECORDING MEDIUM
JP2010039763A (en) * 2008-08-05 2010-02-18 Nomura Research Institute Ltd Server system
JP2010525471A (en) * 2007-04-27 2010-07-22 インターナショナル・ビジネス・マシーンズ・コーポレーション Stepwise authentication system
JP2011134037A (en) * 2009-12-24 2011-07-07 Fujitsu Ltd Device, program and method for managing file
JP2011180919A (en) * 2010-03-02 2011-09-15 Nec Corp Access control device and control method therefor
JP2012073789A (en) * 2010-09-28 2012-04-12 Fujitsu Fsas Inc Device use management system and device use management program
JP2012221096A (en) * 2011-04-06 2012-11-12 Yokogawa Electric Corp Password management device
US8713665B2 (en) 2007-06-19 2014-04-29 International Business Machines Corporation Systems, methods, and media for firewall control via remote system information
JP2015166966A (en) * 2014-03-04 2015-09-24 株式会社エヌワーク communication management system
JP2016029752A (en) * 2014-07-25 2016-03-03 船井電機株式会社 Multiuser information processing system
US9325722B2 (en) 2013-07-30 2016-04-26 Fujitsu Limited Apparatus, method, and computer-readable medium
JP2016515784A (en) * 2013-04-02 2016-05-30 アヴィジロン パテント ホールディング 2 コーポレーション Self-provisioning access control
JP6257823B1 (en) * 2017-04-28 2018-01-10 株式会社 全日警 Information security system and information security method

Cited By (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002230309A (en) * 2001-01-30 2002-08-16 Daiwa Securities Group Inc Server device and fund transfer information notification system
JP2003140968A (en) * 2001-10-30 2003-05-16 Hitachi Ltd Storage device and management and operation method for it
JP2004110681A (en) * 2002-09-20 2004-04-08 Fuji Xerox Co Ltd Display control device, method, and program
JP2004240645A (en) * 2003-02-05 2004-08-26 Ufj Bank Ltd Personal identification system and method
JP2005215101A (en) * 2004-01-28 2005-08-11 Fuji Xerox Co Ltd Electronic equipment
JP4569806B2 (en) * 2004-01-28 2010-10-27 富士ゼロックス株式会社 Electronics
JP2005275775A (en) * 2004-03-24 2005-10-06 Hitachi Ltd Data protection method and authentication method and program
JP4585213B2 (en) * 2004-03-24 2010-11-24 株式会社日立製作所 Data protection method, authentication method, and program
JP2006020933A (en) * 2004-07-09 2006-01-26 Glory Ltd Game medium counting system
JP4628710B2 (en) * 2004-07-09 2011-02-09 グローリー株式会社 Game media counting system
JP2006331042A (en) * 2005-05-26 2006-12-07 Atsumi Electric Co Ltd Control device for guard system
JP2006343886A (en) * 2005-06-07 2006-12-21 Matsushita Electric Works Ltd Network management system
JP2007065777A (en) * 2005-08-29 2007-03-15 Ricoh Co Ltd Electronic data distribution system, electronic data distribution program, recording medium with the program recorded thereon, and input device
US8305422B2 (en) 2005-11-08 2012-11-06 Sharp Kabushiki Kaisha Communication device, communication method, communication system, program, and computer-readable storage medium
JPWO2007055206A1 (en) * 2005-11-08 2009-04-30 シャープ株式会社 COMMUNICATION DEVICE, COMMUNICATION METHOD, COMMUNICATION SYSTEM, PROGRAM, AND COMPUTER-READABLE RECORDING MEDIUM
JP2007304834A (en) * 2006-05-11 2007-11-22 Hitachi Electronics Service Co Ltd Access control method
JP2007304835A (en) * 2006-05-11 2007-11-22 Hitachi Electronics Service Co Ltd Access control method
JP4699940B2 (en) * 2006-05-11 2011-06-15 日立電子サービス株式会社 Access control method
JP4699939B2 (en) * 2006-05-11 2011-06-15 日立電子サービス株式会社 Access control method
JP2008021145A (en) * 2006-07-13 2008-01-31 Seiko Epson Corp Network system, computer, application providing method for network system, and program
JP4730293B2 (en) * 2006-12-21 2011-07-20 大日本印刷株式会社 Computer system and access right management method thereof
JP2008158608A (en) * 2006-12-21 2008-07-10 Dainippon Printing Co Ltd Computer system and method for managing its access right
US8726347B2 (en) 2007-04-27 2014-05-13 International Business Machines Corporation Authentication based on previous authentications
US9094393B2 (en) 2007-04-27 2015-07-28 International Business Machines Corporation Authentication based on previous authentications
JP2010525471A (en) * 2007-04-27 2010-07-22 インターナショナル・ビジネス・マシーンズ・コーポレーション Stepwise authentication system
US9686262B2 (en) 2007-04-27 2017-06-20 International Business Machines Corporation Authentication based on previous authentications
JP2009020868A (en) * 2007-06-11 2009-01-29 Ricoh Co Ltd Authentication apparatus, authentication method, and program
US8713665B2 (en) 2007-06-19 2014-04-29 International Business Machines Corporation Systems, methods, and media for firewall control via remote system information
JP2009093454A (en) * 2007-10-10 2009-04-30 Toshiba Tec Corp Data access management device and information management method
JP2010039763A (en) * 2008-08-05 2010-02-18 Nomura Research Institute Ltd Server system
JP2011134037A (en) * 2009-12-24 2011-07-07 Fujitsu Ltd Device, program and method for managing file
JP2011180919A (en) * 2010-03-02 2011-09-15 Nec Corp Access control device and control method therefor
JP2012073789A (en) * 2010-09-28 2012-04-12 Fujitsu Fsas Inc Device use management system and device use management program
JP2012221096A (en) * 2011-04-06 2012-11-12 Yokogawa Electric Corp Password management device
JP7051766B2 (en) 2013-04-02 2022-04-11 アヴィジロン アナリティックス コーポレーション Self-provisioning access control
JP2016515784A (en) * 2013-04-02 2016-05-30 アヴィジロン パテント ホールディング 2 コーポレーション Self-provisioning access control
JP2020013591A (en) * 2013-04-02 2020-01-23 アヴィジロン アナリティックス コーポレーション Self-provisioning access control
US10629019B2 (en) 2013-04-02 2020-04-21 Avigilon Analytics Corporation Self-provisioning access control
US9325722B2 (en) 2013-07-30 2016-04-26 Fujitsu Limited Apparatus, method, and computer-readable medium
JP2015166966A (en) * 2014-03-04 2015-09-24 株式会社エヌワーク communication management system
JP2016029752A (en) * 2014-07-25 2016-03-03 船井電機株式会社 Multiuser information processing system
JP2018190051A (en) * 2017-04-28 2018-11-29 株式会社 全日警 Information security system, and information security method
JP6257823B1 (en) * 2017-04-28 2018-01-10 株式会社 全日警 Information security system and information security method

Similar Documents

Publication Publication Date Title
JP2000259567A (en) Device and method for controlling access and storage medium
CA2400940C (en) Controlling access to a resource by a program using a digital signature
CN100474234C (en) Managing secure resources in web resources accessed by multiple portals
US8566908B2 (en) Database application security
JP4806271B2 (en) Information security system, its server, program
US20030018915A1 (en) Method and system for user authentication and authorization of services
US20070185875A1 (en) Extensible role based authorization for manageable resources
US6775668B1 (en) Method and system for enhancing quorum based access control to a database
US20060265598A1 (en) Access to a computing environment by computing devices
JP2004234665A (en) System and method of accuracy and attenuation of authentication
RU2355117C2 (en) Digital rights management
US7210163B2 (en) Method and system for user authentication and authorization of services
JPH09152990A (en) Access control system and its method
KR20010100011A (en) Assuring data integrity via a secure counter
JP4885683B2 (en) Authentication device, authentication method for authentication device, and authentication program for authentication device
JP4578088B2 (en) Information processing apparatus, information processing system, and program
CN114244598B (en) Intranet data access control method, device, equipment and storage medium
JP2002229953A (en) Personal information management system and its method
JP2000194591A (en) Security system
JPWO2004084075A1 (en) Information access control method, access control program, and external recording medium
JPH0784852A (en) Security system for information
JP2007004610A (en) Complex access approval method and device
Koot Introduction to Access Control (v4)
JP2001356835A (en) Method for managing computer and device for conducting the same and recording medium having its processing program recorded thereon
CN117614724B (en) Industrial Internet access control method based on system fine granularity processing

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20060509