JP2003132030A - Information processing device and method, recording medium and program - Google Patents
Information processing device and method, recording medium and programInfo
- Publication number
- JP2003132030A JP2003132030A JP2001325781A JP2001325781A JP2003132030A JP 2003132030 A JP2003132030 A JP 2003132030A JP 2001325781 A JP2001325781 A JP 2001325781A JP 2001325781 A JP2001325781 A JP 2001325781A JP 2003132030 A JP2003132030 A JP 2003132030A
- Authority
- JP
- Japan
- Prior art keywords
- service
- information
- access
- user
- access right
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は情報処理装置および
方法、記録媒体、並びにプログラムに関し、特に、複数
のサーバやサービスに対するアクセスを一括して制御す
る際に用いて好適な情報処理装置および方法、記録媒
体、並びにプログラムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an information processing apparatus and method, a recording medium, and a program, and more particularly, an information processing apparatus and method suitable for collectively controlling access to a plurality of servers and services, The present invention relates to a recording medium and a program.
【0002】[0002]
【従来の技術】近年、インターネットなどに代表される
ネットワークの普及にともない、そのネットワークに接
続されている装置(サーバ)の数も増加しつつある。そ
れらのサーバなかの所定のサーバに、ネットワークに接
続されている他のサーバがアクセスすることは可能であ
るが、そのようなことが簡便に行われることは好ましく
ないことが多い。換言すれば、アクセスの許可がないサ
ーバにアクセスされないような仕組みを設ける必要性が
ある。そのような仕組みとして、ファイアウォールやA
CL(アクセスコントロールリスト)に基づく、サービ
ス独自のアクセス制御が、必要に応じて行われている。2. Description of the Related Art In recent years, with the spread of networks such as the Internet, the number of devices (servers) connected to the networks is also increasing. Although it is possible for another server connected to the network to access a predetermined server among those servers, it is often not preferable that such a thing be performed simply. In other words, it is necessary to provide a mechanism that prevents a server without access permission from being accessed. As such a mechanism, a firewall or A
Service-specific access control based on CL (access control list) is performed as necessary.
【0003】[0003]
【発明が解決しようとする課題】ACLに基づくサービ
ス独自のアクセス制御は、サービス毎に独立して行われ
ている。一方、ファイアウォールによるアクセス制御
は、ネットワークの中継点であるゲートウェイ上で行わ
れている。従って、複数のサーバや、複数のサービスを
管理している管理者は、サービス毎に、ゲートウェイ上
のファイアウォールの設定や、ACLの設定を行わなく
てはならず、手間がかかるといった問題があった。Access control unique to a service based on ACL is performed independently for each service. On the other hand, access control by a firewall is performed on a gateway that is a relay point of the network. Therefore, an administrator who manages a plurality of servers and a plurality of services has to set firewalls on the gateway and ACLs for each service, which is troublesome. .
【0004】また、ファイアウォールやACLが設定さ
れている環境において、管理者が、所定のサービスへの
アクセス権を、期間を限定して、所定のユーザに与える
ように所望した場合、ファイアウォールのパケットの通
過に関する設定を変更するとともに、サービス毎のAC
Lの変更を行わなくてはならず、そのような処理を行う
のは、手順が繁雑になってしまい、面倒であるという問
題があった。In an environment in which a firewall or ACL is set, if an administrator desires to give a predetermined user access to a predetermined service for a limited period of time, the firewall packet AC for each service as well as changing the settings for passage
There is a problem in that it is necessary to change L, and it is troublesome to perform such processing because the procedure becomes complicated.
【0005】しかしながら、ファイアウォールに対して
パケットの通過を禁止する設定のみを行い、ACLの変
更を行わないと、例えば、アクセスが許可されたユーザ
が、サービスを利用することによってファイアウォール
の通過設定が一旦なされているときに、何らかの手段
で、アクセスが許可されていない別のユーザが不正にサ
ービスを利用してしまう危険性があるという問題があっ
た。However, if only the setting for prohibiting the passage of packets to the firewall is made and the ACL is not changed, for example, a user who is permitted to access can temporarily set the passage setting of the firewall by using the service. There is a problem that another user who is not permitted to access may illegally use the service by some means while being performed.
【0006】また、複数のサービスに共通したアクセス
権を与えるような設定は、それぞれのサービス毎の、独
立したACLに対して設定を行わなくてはならないた
め、やはり繁雑で、面倒な操作を必要とするといった問
題があった。[0006] In addition, in order to give a common access right to a plurality of services, it is necessary to make settings for an independent ACL for each service, so that a complicated and troublesome operation is required. There was a problem such as.
【0007】特開2000-244481号公報には、ローカルネ
ットワークに接続された装置に対する、別なネットワー
クに接続された端末からのアクセスが、利用者の認証が
行なわれ、ファイアウォールで制御され、端末で入力さ
れた端末固有の認証情報が、認証サーバで変換されるこ
とにより、ファイアウォールが扱える形式の認証情報に
されることにより、各種装置へのアクセス制御機構が提
供されることが開示されている。In Japanese Unexamined Patent Publication No. 2000-244481, access to a device connected to a local network from a terminal connected to another network is authenticated by a user, controlled by a firewall, and controlled by the terminal. It is disclosed that an input server-specific authentication information is converted by an authentication server to be converted into authentication information in a format that a firewall can handle, thereby providing an access control mechanism to various devices.
【0008】この方法によると、ユーザ毎にローカルネ
ットワーク内の装置のアクセス権をまとめて制御するこ
とができず、個別に制御しなくてはならないので、制御
のための設定などが、面倒であり、手間がかかるといっ
た問題がある。According to this method, it is not possible to collectively control the access rights of the devices in the local network for each user, and it is necessary to control them individually. Therefore, setting for control is troublesome. However, there is a problem that it takes time.
【0009】特開平11-338799号公報には、インターネ
ット上のクライアントからLAN(Local Area Network)
内のサービスへのアクセス時に、認証サーバによりユー
ザ認証が行われ、その結果からリソース管理サーバが、
LANのリソースに対するアクセス権を算定する。LAN内の
サービスは、インターネットを介したリクエストおよび
アクセス権情報をうけとった時点で、リクエスト対象の
リソースが、移動オブジェクトコードにされ、リクエス
トしてきたクライアントに対して送信される。クライア
ントがコードを実行することで、LAN内のリソースへの
アクセスが制御されつつ、通信が行なえることについて
開示されている。Japanese Laid-Open Patent Publication No. 11-338799 discloses that a client on the Internet uses a LAN (Local Area Network).
When accessing the service inside the server, the user is authenticated by the authentication server, and as a result, the resource management server
Calculate access rights to LAN resources. When the service in the LAN receives the request and the access right information via the Internet, the requested resource is converted into a mobile object code and transmitted to the requesting client. It is disclosed that the client executes code to allow communication while controlling access to resources in the LAN.
【0010】この方法によると、クライアントに移動コ
ードを実行するなんらかの環境が必要になる上、各サー
ビスに対しても移動コードの生成メカニズムを用意しな
くてはならないなど、既存の環境からの移行に多大な労
力が必要であるという問題がある。According to this method, some environment for executing the mobile code is required for the client, and a mobile code generation mechanism must be prepared for each service. There is a problem that a lot of labor is required.
【0011】本発明はこのような状況に鑑みてなされた
ものであり、複数のサーバに対するアクセスや、複数の
サービスに対するアクセスを一括して制御することを課
題とし、その制御の為の設定などにかかる処理は簡便に
行えるようにすることを課題とする。The present invention has been made in view of such circumstances, and an object thereof is to collectively control access to a plurality of servers and access to a plurality of services, and to make settings for the control. It is an object of the present invention to facilitate such processing.
【0012】[0012]
【課題を解決するための手段】上記課題を解決すべく、
本発明の情報処理装置は、第1にユーザを識別するため
のユーザ識別情報と、アクセスを許可するサービスに関
するサービス情報を関連付けて記憶する記憶手段と、ユ
ーザから所定のサービスに対してアクセス要求があった
場合、ユーザに対応するユーザ識別情報に関連付けられ
ているサービス情報を記憶手段から読み出す読み出し手
段と、サービスに対するアクセスを制限するためのアク
セス権情報であって、読み出し手段により読み出された
サービス情報を含む情報を生成する生成手段と、生成手
段により生成されたアクセス権情報をユーザに対して供
給する供給手段とを含むことを要旨とする。[Means for Solving the Problems] In order to solve the above problems,
The information processing apparatus of the present invention firstly stores a user identification information for identifying a user and a storage unit that stores service information relating to a service to which access is permitted in association with each other. If there is, the read means for reading the service information associated with the user identification information corresponding to the user from the storage means, and the access right information for restricting access to the service, the service read by the read means The gist is to include a generation unit that generates information including information, and a supply unit that supplies the access right information generated by the generation unit to the user.
【0013】第2に、前記第1の要旨に加え、前記生成
手段は、電子署名を含めた前記アクセス権情報を生成す
ることを要旨とする。Secondly, in addition to the first gist, the gist is to generate the access right information including an electronic signature.
【0014】第3に、前記第1の要旨に加え、前記生成
手段は、前記サービスに対してアクセスを許可する期間
に関する情報を含む前記アクセス権情報を生成すること
を要旨とする。Thirdly, in addition to the first gist, the gist is to generate the access right information including information on a period during which access to the service is permitted.
【0015】第4に、前記第1の要旨に加え、前記読み
出し手段により読み出された前記サービス情報に基づ
き、ファイアウォールに対して指示を出す指示手段をさ
らに含むことを要旨とする。Fourthly, in addition to the first gist, the gist further includes an instruction means for giving an instruction to a firewall based on the service information read by the reading means.
【0016】第5に、前記第1の要旨に加え、前記ユー
ザ識別情報は、IPv6により規定されるアドレスのう
ちのインタフェースIDを含むようにすることを要旨と
する。Fifth, in addition to the first aspect, the gist is that the user identification information includes an interface ID of an address defined by IPv6.
【0017】本発明の情報処理方法は、ユーザを識別す
るためのユーザ識別情報と、アクセスを許可するサービ
スに関するサービス情報の関連付けた記憶を制御する記
憶制御ステップと、ユーザから所定のサービスに対して
アクセス要求があった場合、ユーザに対応するユーザ識
別情報に関連付けられているサービス情報を記憶制御ス
テップによる処理で記憶が制御された情報内から読み出
し、その読み出されたサービス情報を少なくとも含む、
サービスに対するアクセスを制限するためのアクセス権
情報を生成する生成ステップと、生成ステップの処理で
生成されたアクセス権情報をユーザに対して供給する供
給ステップとを含むことを要旨とする。According to the information processing method of the present invention, user identification information for identifying a user, a storage control step of controlling storage of associated service information regarding a service to which access is permitted, and a predetermined service from the user are performed. When there is an access request, the service information associated with the user identification information corresponding to the user is read from the information whose storage is controlled by the process of the storage control step, and at least the read service information is included.
It is summarized as including a generation step of generating access right information for restricting access to a service, and a supply step of supplying the access right information generated by the processing of the generation step to a user.
【0018】本発明の記録媒体のプログラムは、ユーザ
を識別するためのユーザ識別情報と、アクセスを許可す
るサービスに関するサービス情報の関連付けた記憶を制
御する記憶制御ステップと、ユーザから所定のサービス
に対してアクセス要求があった場合、ユーザに対応する
ユーザ識別情報に関連付けられているサービス情報を記
憶制御ステップによる処理で記憶が制御された情報内か
ら読み出し、その読み出されたサービス情報を少なくと
も含む、サービスに対するアクセスを制限するためのア
クセス権情報を生成する生成ステップと、生成ステップ
の処理で生成されたアクセス権情報をユーザに対して供
給する供給ステップとを含むことを要旨とする。The program of the recording medium according to the present invention includes a user control information for identifying a user, a storage control step for controlling storage associated with service information relating to a service to which access is permitted, and a predetermined service from the user. When there is an access request from the user, the service information associated with the user identification information corresponding to the user is read from the information whose storage is controlled by the process of the storage control step, and at least the read service information is included. It is summarized as including a generation step of generating access right information for restricting access to a service, and a supply step of supplying the access right information generated by the processing of the generation step to a user.
【0019】本発明のプログラムは、ユーザを識別する
ためのユーザ識別情報と、アクセスを許可するサービス
に関するサービス情報の関連付けた記憶を制御する記憶
制御ステップと、ユーザから所定のサービスに対してア
クセス要求があった場合、ユーザに対応するユーザ識別
情報に関連付けられているサービス情報を記憶制御ステ
ップによる処理で記憶が制御された情報内から読み出
し、その読み出されたサービス情報を少なくとも含む、
サービスに対するアクセスを制限するためのアクセス権
情報を生成する生成ステップと、生成ステップの処理で
生成されたアクセス権情報をユーザに対して供給する供
給ステップとをコンピュータに実行させることを要旨と
する。The program of the present invention includes a user identification information for identifying a user, a storage control step for controlling storage associated with service information regarding a service to which access is permitted, and an access request from a user to a predetermined service. If there is, read the service information associated with the user identification information corresponding to the user from the information whose storage is controlled by the process of the storage control step, and at least include the read service information,
The gist is to cause a computer to execute a generation step of generating access right information for limiting access to a service and a supply step of supplying the access right information generated by the processing of the generation step to a user.
【0020】本発明の情報処理装置および方法、並びに
プログラムにおいては、ユーザから所定のサービスに対
してアクセス要求があった場合、ユーザに対応するユー
ザ識別情報に関連付けられているサービス情報が読み出
され、その読み出されたサービス情報を少なくとも含
む、サービスに対するアクセスを制限するためのアクセ
ス権情報が生成される。In the information processing apparatus and method, and the program of the present invention, when the user makes an access request to a predetermined service, the service information associated with the user identification information corresponding to the user is read out. , Access right information for limiting access to the service is generated including at least the read service information.
【0021】[0021]
【発明の実施の形態】以下に本発明の実施の形態を説明
するが、請求項に記載の構成要件と、発明の実施の形態
における具体例との対応関係を例示すると、次のように
なる。この記載は、請求項に記載されている発明をサポ
ートする具体例が、発明の実施の形態に記載されている
ことを確認するためのものである。従って、発明の実施
の形態中に記載されているが、構成要件に対応するもの
として、ここには記載されていない具体例があったとし
ても、そのことは、その具体例が、その構成要件に対応
するものではないことを意味するものではない。逆に、
具体例が構成要件に対応するものとしてここに記載され
ていたとしても、そのことは、その具体例が、その構成
要件以外の構成要件には対応しないものであることを意
味するものではない。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below, and the correspondence between the constituent elements described in the claims and specific examples in the embodiments of the invention will be illustrated as follows. . This description is for confirming that the specific examples supporting the invention described in the claims are described in the embodiments of the invention. Therefore, although described in the embodiment of the invention, even if there is a specific example not described here as a component corresponding to the configuration requirement, that is, It does not mean that it does not correspond to. vice versa,
Even if a specific example is described here as corresponding to a constituent element, that does not mean that the specific example does not correspond to constituent elements other than the constituent element.
【0022】さらに、この記載は、発明の実施の形態に
記載されている具体例に対応する発明が、請求項に全て
記載されていることを意味するものではない。換言すれ
ば、この記載は、発明の実施の形態に記載されている具
体例に対応する発明であって、この出願の請求項には記
載されていない発明の存在、すなわち、将来、分割出願
されたり、補正により追加される発明の存在を否定する
ものではない。Further, this description does not mean that the inventions corresponding to the concrete examples described in the embodiments of the invention are all described in the claims. In other words, this description is an invention that corresponds to the specific examples described in the embodiments of the invention and is not included in the claims of this application, that is, in the future, a divisional application will be filed. It does not deny the existence of an invention added by amendment.
【0023】本発明の情報処理装置(例えば、図4に示
したゲートウェイ3)は、ユーザを識別するためのユー
ザ識別情報(例えば、図7に示したアクセス権データベ
ース73に記憶されるユーザID)と、アクセスを許可
するサービスに関するサービス情報(例えば、図7に示
したアクセス権データベース73に記憶されるHTTPサー
ビス81、FTPサービス82)を関連付けて記憶する
記憶手段(例えば、図4に示したアクセス権データベー
ス73)と、ユーザから所定のサービスに対してアクセ
ス要求があった場合、ユーザに対応するユーザ識別情報
に関連付けられているサービス情報を記憶手段から読み
出す読み出し手段(例えば、図6に示したゲートウェイ
3のアクセス制御部72がステップS22において行う
処理)と、サービスに対するアクセスを制限するための
アクセス権情報であって、読み出し手段により読み出さ
れたサービス情報を含む情報を生成する生成手段(例え
ば、図6に示したゲートウェイ3のアクセス制御部72
がステップS22において行う処理)と、生成手段によ
り生成されたアクセス権情報をユーザに対して供給する
供給手段(例えば、図6に示したゲートウェイ3のアク
セス制御部72がステップS22において行う処理)と
を含むことを特徴とする。The information processing apparatus of the present invention (for example, the gateway 3 shown in FIG. 4) has user identification information for identifying the user (for example, user ID stored in the access right database 73 shown in FIG. 7). And a storage means (for example, the access shown in FIG. 4) that stores the service information (for example, the HTTP service 81 and the FTP service 82 stored in the access right database 73 shown in FIG. 7) related to the access-permitted Authority database 73) and read-out means for reading out the service information associated with the user identification information corresponding to the user from the storage means when the user makes an access request to the predetermined service (for example, shown in FIG. 6). Access control unit 72 of gateway 3 performs processing in step S22) and services Generating means for generating access right information for restricting access to the information including the service information read by the reading means (for example, the access control unit 72 of the gateway 3 shown in FIG. 6).
Performed in step S22) and a supply unit that supplies the access right information generated by the generation unit to the user (for example, the process performed by the access control unit 72 of the gateway 3 shown in FIG. 6 in step S22). It is characterized by including.
【0024】前記読み出し手段により読み出された前記
サービス情報に基づき、ファイアウォールに対して指示
を出す指示手段(例えば、図6に示したゲートウェイ3
のアクセス制御部72がステップS23において行う処
理)をさらに含むようにすることができる。Based on the service information read by the reading means, an instruction means for giving an instruction to the firewall (eg, the gateway 3 shown in FIG. 6).
Access control section 72) in step S23) may be further included.
【0025】以下に、本発明の実施の形態について図面
を参照して説明する。図1は、本発明を適用した情報処
理システムの一実施の形態の構成を示す図である。ネッ
トワーク1は、インターネットなどから構成されるネッ
トワークである。ネットワーク1には、サーバ2−1と
サーバ2−2が接続されている。さらに、ネットワーク
1には、ゲートウェイ3を介してサーバ4−1とサーバ
4−2も接続されている。Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a diagram showing the configuration of an embodiment of an information processing system to which the present invention is applied. The network 1 is a network including the Internet and the like. A server 2-1 and a server 2-2 are connected to the network 1. Further, a server 4-1 and a server 4-2 are also connected to the network 1 via the gateway 3.
【0026】ゲートウェイ3、サーバ4−1、およびサ
ーバ4−2は、例えば、1つの家庭内や会社内で構築さ
れたネットワーク(例えば、LAN(Local Area Netwo
rk))5に接続され、互いにデータの授受が行えるよう
に構成されていると共に、ゲートウェイ3とネットワー
ク1を介して、サーバ2−1やサーバ2−2ともデータ
の授受が行えるように構成されている。The gateway 3, the server 4-1 and the server 4-2 are, for example, a network (for example, a LAN (Local Area Network)) constructed in one home or company.
rk)) 5 and are configured to exchange data with each other, and are also configured to exchange data with the server 2-1 and the server 2-2 via the gateway 3 and the network 1. ing.
【0027】以下の説明において、サーバ2−1やサー
バ2−2を個々に区別する必要がない場合、単に、サー
バ2と記述する。また、他の装置に対しても同様に記述
する。サーバ2は、ゲートウェイ3またはゲートウェイ
3に相当する装置を介さずに、ネットワーク1に接続さ
れる装置とし、サーバ4は、ゲートウェイ3の管理のも
と、ネットワーク1に接続される装置とする。In the following description, when it is not necessary to individually distinguish the server 2-1 and the server 2-2, they are simply described as the server 2. The same applies to other devices. The server 2 is a device connected to the network 1 without going through the gateway 3 or a device corresponding to the gateway 3, and the server 4 is a device connected to the network 1 under the control of the gateway 3.
【0028】サーバ2やサーバ4は、パーソナルコンピ
ュータや携帯電話などの、一般的に、ネットワーク1に
接続する機能を有し、ホームページなどを閲覧できる機
能を有する装置を含むことは勿論であるが、いわゆるネ
ット家電などと称される、家電製品などでも良い。ネッ
ト家電とは、ネットワーク1と接続する機能を有し、サ
ーバ2などからデータを取得したり、サーバ2に対して
データを提供するといった機能を有する、例えば、冷蔵
庫やテレビジョン受像機などである。Of course, the server 2 and the server 4 include devices such as a personal computer and a mobile phone which have a function of connecting to the network 1 and a function of browsing a homepage. It may be a home appliance such as a so-called internet home appliance. The internet home appliance is, for example, a refrigerator or a television receiver having a function of connecting to the network 1 and having a function of acquiring data from the server 2 or providing data to the server 2. .
【0029】図2は、サーバ2の内部構成を示す図であ
る。サーバ2のCPU(Central Processing Unit)2
1は、ROM(Read Only Memory)22に記憶されてい
るプログラムに従って各種の処理を実行する。RAM
(Random Access Memory)23には、CPU21が各種
の処理を実行する上において必要なデータやプログラム
などが適宜記憶される。入出力インタフェース25は、
キーボードやマウスから構成される入力部26が接続さ
れ、入力部26に入力された信号をCPU21に出力す
る。また、入出力インタフェース25には、ディスプレ
イやスピーカなどから構成される出力部27も接続され
ている。FIG. 2 shows the internal structure of the server 2. CPU (Central Processing Unit) 2 of server 2
1 executes various processes according to a program stored in a ROM (Read Only Memory) 22. RAM
The (Random Access Memory) 23 appropriately stores data and programs necessary for the CPU 21 to execute various processes. The input / output interface 25 is
An input unit 26 including a keyboard and a mouse is connected, and a signal input to the input unit 26 is output to the CPU 21. Further, the input / output interface 25 is also connected to an output unit 27 including a display and a speaker.
【0030】さらに、入出力インタフェース25には、
ハードディスクなどから構成される記憶部28、およ
び、ネットワーク1を介して他の装置(例えば、サーバ
4)とデータの授受を行う通信部29も接続されてい
る。ドライブ30は、磁気ディスク41、光ディスク4
2、光磁気ディスク43、半導体メモリ44などの記録
媒体からデータを読み出したり、データを書き込んだり
するときに用いられる。Further, the input / output interface 25 includes
A storage unit 28 including a hard disk and a communication unit 29 that exchanges data with another device (for example, the server 4) via the network 1 are also connected. The drive 30 includes a magnetic disk 41 and an optical disk 4.
2. Used when reading or writing data from a recording medium such as the magneto-optical disk 43 and the semiconductor memory 44.
【0031】ゲートウェイ3やサーバ4も、基本的に図
2に示したサーバ2の内部構成と同様の構成とすること
ができる。ただし、ゲートウェイ3やサーバ4は、その
機能に応じて、その機能を実現できる構成とすることが
できる。The gateway 3 and the server 4 can also have basically the same internal configuration as the server 2 shown in FIG. However, the gateway 3 and the server 4 can be configured to realize the function according to the function.
【0032】図3は、サーバ2の機能ブロック図であ
る。サーバ2は、アクセス権処理クライアント61、HT
TP(HyperText Transfer Protocol)クライアント6
2、および、FTP(File Transfer Protocol)クライ
アント63から構成される機能を有する。FIG. 3 is a functional block diagram of the server 2. The server 2 uses the access right processing client 61, HT
TP (HyperText Transfer Protocol) client 6
2 and a function composed of an FTP (File Transfer Protocol) client 63.
【0033】アクセス権処理クライアント61は、ゲー
トウェイ3を介してサーバ4へのアクセスに関する処理
を実行する。アクセス権処理クライアント61は、詳細
は後述するが、例えば、ユーザの操作に対応し、サーバ
4(ゲートウェイ3)に対してアクセスの要求を送信す
る、ゲートウェイ3側からのレスポンスを受信し、その
レスポンスに含まれるアクセス権情報を、HTTPクライア
ント62やFTPクライアント63に渡して、HTTPクラ
イアント62やFTPクライアント63が、サービスの
提供を受けられる状態にするなどの処理を実行する。The access right processing client 61 executes processing relating to access to the server 4 via the gateway 3. The access right processing client 61, which will be described in detail later, receives, for example, a response from the gateway 3 side that transmits an access request to the server 4 (gateway 3) in response to a user operation, and the response The access right information included in is passed to the HTTP client 62 and the FTP client 63, and the HTTP client 62 and the FTP client 63 perform processing such as making the service available.
【0034】アクセス権処理クライアント61における
処理が終了すると、HTTPクライアント62またはFTP
クライアント63により、サーバ4とのデータの授受が
開始される。HTTPクライアント62は、ホームページな
どのデータの授受に係る処理を実行する。FTPクライ
アント63は、ファイル転送に係る処理を実行する。When the processing in the access right processing client 61 is completed, the HTTP client 62 or FTP
The client 63 starts exchanging data with the server 4. The HTTP client 62 executes a process related to data transfer such as a home page. The FTP client 63 executes processing related to file transfer.
【0035】図3に示したサーバ2における各クライア
ントは、ハードウェアで実現されても良いし、ソフトウ
ェアで実現されても良い。ソフトウェアで実現される場
合、例えば、ROM22や記憶部28(図2)に記憶さ
れているプログラムが起動され、CPU21が、その起
動されたプログラムを実行することにより実現される。
以下に示すゲートウェイ3やサーバ4に関する機能ブロ
ック図においても、同様に、その機能は、ハードウェア
で実現されても良いし、ソフトウェアで実現されても良
い。Each client in the server 2 shown in FIG. 3 may be realized by hardware or software. In the case of being realized by software, for example, the program stored in the ROM 22 or the storage unit 28 (FIG. 2) is activated, and the CPU 21 is realized by executing the activated program.
In the functional block diagrams relating to the gateway 3 and the server 4 shown below, similarly, the function may be realized by hardware or software.
【0036】図4は、ゲートウェイ3の機能ブロック図
である。ゲートウェイ3は、ファイアウォール71とア
クセス制御部72から構成される。ファイアウォール7
1は、外部から勝手に内部のネットワークに入り込めな
いような制御を行うために設けられており、通過しよう
とするIP(Internet Protocol)パケットの、送信元
のIPアドレス、送信元のポート、送信先のIPアドレス、
送信先のポートを参照することにより、そのIPパケット
を通過させるか否かを判断することによりアクセスを制
御する。FIG. 4 is a functional block diagram of the gateway 3. The gateway 3 includes a firewall 71 and an access control unit 72. Firewall 7
1 is provided to perform control so that an internal network cannot be arbitrarily entered from the outside. The source IP address, source port, and transmission of an IP (Internet Protocol) packet to be passed Destination IP address,
Access is controlled by referring to the destination port to determine whether or not to pass the IP packet.
【0037】アクセス制御部72は、アクセス権データ
ベース73に記憶されているアクセス権に関するデータ
に基づく制御を行う。例えば、アクセス権データベース
73に記憶されているデータから、アクセスを要求して
きた利用者の認証を行い、その利用者の権限を調べ、ア
クセス権情報を発行して送信するとともに、ファイアウ
ォール71に対して、その利用者がアクセス可能にする
ための通過設定を行う。The access control unit 72 performs control based on the access right data stored in the access right database 73. For example, from the data stored in the access right database 73, the user requesting access is authenticated, the authority of the user is checked, the access right information is issued and transmitted, and the firewall 71 is sent. , Make pass settings to make the user accessible.
【0038】図5は、サーバ4の機能ブロック図であ
る。図5Aに示すように、サーバ4−1は、HTTPサービ
ス81から構成され、HTTPで記述されたデータ(サービ
ス)を提供する。図5Bに示すように、サーバ4−2
は、FTPサービス82から構成され、FTPで記述さ
れたデータ(サービス)を提供する。HTTPサービス81
とFTPサービス82は、アクセスしてきたサーバ2か
らのアクセス権情報の正当性を検証する機能を有する。FIG. 5 is a functional block diagram of the server 4. As shown in FIG. 5A, the server 4-1 includes an HTTP service 81 and provides data (service) described in HTTP. As shown in FIG. 5B, the server 4-2
Is composed of an FTP service 82 and provides data (service) described in FTP. HTTP service 81
The FTP service 82 has a function of verifying the legitimacy of the access right information from the accessing server 2.
【0039】図6のフローチャートを参照して、図1に
示した情報処理システムの動作について説明する。以下
の説明においては、サーバ4−1のHTTPサービス81と
のデータの授受を例に挙げて説明する。FTPサービス
82とデータが授受される場合も、以下の説明と同様に
処理される。The operation of the information processing system shown in FIG. 1 will be described with reference to the flowchart of FIG. In the following description, data will be exchanged with the HTTP service 81 of the server 4-1 as an example. When data is exchanged with the FTP service 82, the same processing as described below is performed.
【0040】サーバ2のアクセス権処理クライアント6
1は、ステップS11において、サーバ4に対してアク
セス要求を送信する。この処理は、例えば、ユーザがサ
ーバ2に対して所定の処理を行うことにより、サーバ4
のアドレスを入力し、その入力したアドレスに接続する
ように指示を出した時点で行われる。サーバ4に対して
されたアクセス要求は、サーバ4よりネットワーク1側
に備えられているゲートウェイ3により受信される。Access right processing client 6 of server 2
1 transmits an access request to the server 4 in step S11. This processing is performed by, for example, the user performing predetermined processing on the server 2,
This is done at the time when the user inputs the address of, and instructs to connect to the input address. The access request made to the server 4 is received by the gateway 3 provided on the network 1 side of the server 4.
【0041】ゲートウェイ3のアクセス制御部72は、
ステップS21において、アクセス要求を出してきたサ
ーバ2(ユーザ)に対する認証処理を実行する。認証処
理は、例えば、サーバ2側のアクセス権処理クライアン
ト61が、秘密鍵による電子署名を付加してX509形式
(ISOによる規定に従った証明書の形式)の公開鍵証明
書を提示し、アクセス制御部72がそれを検証すること
により行なわれる。The access control unit 72 of the gateway 3 is
In step S21, the authentication process for the server 2 (user) that has issued the access request is executed. In the authentication processing, for example, the access right processing client 61 on the server 2 side presents a public key certificate in X509 format (certificate format conforming to the regulations of ISO) with an electronic signature by a private key, and access This is performed by the control unit 72 verifying it.
【0042】認証処理に関わる他の方式としては、サー
バ2側から、暗号化されたユーザ名とパスワードを送信
し、そのユーザ名とパスワードにより、アクセス制御部
72が認証を行うようにしても良い。As another method related to the authentication process, the server 2 side may transmit an encrypted user name and password, and the access control unit 72 may perform authentication using the user name and password. .
【0043】どのような方式により認証が行われるよう
にしても良いが、ステップS21において、認証が終了
し、その認証が成功した場合、アクセス制御部72は、
そのアクセス要求してきたユーザを識別するのに用いる
ユーザIDを、サーバ2側から送信された情報を取得す
る。The authentication may be performed by any method, but when the authentication is completed and the authentication is successful in step S21, the access control section 72
The information transmitted from the server 2 side is acquired as the user ID used to identify the user who has made the access request.
【0044】ステップS22において、アクセス制御部
72は、認証されたユーザのユーザIDに従って、アクセ
ス権を発行する。この場合、ステップS21における認
証が成功したので、サーバ4のHTTPサービス81が提供
するサービスを受ける権利を与えるアクセス権である。
このアクセス権の発行は、HTTPサービス81に対するア
クセス権の算定をおこない、その算定に基づくアクセス
権情報を発行することにより行われる。In step S22, the access control section 72 issues an access right according to the user ID of the authenticated user. In this case, since the authentication in step S21 is successful, the access right gives the right to receive the service provided by the HTTP service 81 of the server 4.
This access right is issued by calculating the access right to the HTTP service 81 and issuing the access right information based on the calculation.
【0045】アクセス権の算定とアクセス権情報の発行
は、例えば、以下のような手順によって行なわれる。ア
クセス制御部72は、アクセス権データベース73か
ら、ステップS21における認証処理により取得された
ユーザIDをキーにして、アクセス権情報を発行するため
のデータを検索し読み出す。The calculation of the access right and the issuance of the access right information are performed, for example, by the following procedure. The access control unit 72 retrieves and reads out the data for issuing the access right information from the access right database 73 by using the user ID acquired by the authentication processing in step S21 as a key.
【0046】ここで、図7を参照して、アクセス権デー
タベース73に記憶されているデータについて説明す
る。アクセス権データベース73は、ユーザID、HTTP
サービス81のサービス毎(ディレクトリ毎)のアクセ
ス権、および、FTPサービス82のサービス毎(ディ
レクトリ毎)のアクセス権が、それぞれ関連付けられて
記憶(管理)されている。Here, the data stored in the access right database 73 will be described with reference to FIG. The access right database 73 is user ID, HTTP
The access right of each service (each directory) of the service 81 and the access right of each service (each directory) of the FTP service 82 are stored (managed) in association with each other.
【0047】ゲートウェイ3とサーバ4を管理する管理
者は、このようなアクセス権データベース73により管
理されるデータを作成する。すなわち管理者は、各サー
バ4の各サービス(ディレクトリ)毎に、アプリケーシ
ョン層のリクエストの種類と対応する型で、どのような
アクセス権を与えるかをアクセス権データベース73に
設定する。An administrator who manages the gateway 3 and the server 4 creates data managed by such an access right database 73. That is, the administrator sets, for each service (directory) of each server 4, in the access right database 73 what kind of access right is to be given in a type corresponding to the type of request in the application layer.
【0048】図6のフローチャートの説明に戻り、ステ
ップS22におけるアクセス権発行の処理について説明
する。まず、ステップS21における認証の処理の結果
得られたユーザIDをキーとして、そのユーザIDに関
連付けられている情報を、図7に示したようなアクセス
権データベース73内から読み出す。Returning to the explanation of the flow chart of FIG. 6, the access right issuance processing in step S22 will be described. First, using the user ID obtained as a result of the authentication process in step S21 as a key, the information associated with the user ID is read from the access right database 73 as shown in FIG.
【0049】ここでは、ユーザIDがuserAの場合を例
に挙げて説明する。図7を参照するに、userAには、HT
TPサービス81のサービスとして、/doc/public/, /doc
/private/userA/ という2つのサービス(ディレクト
リ)へのアクセスが許可され、FTPサービス82のサー
ビスとして、/pub/, /home/userA/ という2つのサー
ビス(ディレクトリ)へのアクセスが許可されるという
情報が関連付けられて管理されている。Here, the case where the user ID is userA will be described as an example. As shown in FIG. 7, userA has HT
As a service of TP service 81, / doc / public /, / doc
Access to the two services (directory) / private / userA / is permitted, and access to the two services (directory) / pub / and / home / userA / is permitted as the FTP service 82 service. Information is associated and managed.
【0050】これらの情報を基に発行されるアクセス権
情報の記述の一例を以下に示す。以下に示すアクセス権
情報は、前述のuserAに対する権限を記述したものであ
る。An example of the description of access right information issued based on these pieces of information is shown below. The access right information shown below describes the authority for the user A described above.
【0051】 1 <service> 2 <type>http</type> 3 <permit> 4 <direcitory>/doc/public/</direcitory> 5 <direcitory>/doc/private/userA/</direcitory> 6 </permit> 7 </service> 8 <service> 9 <permit> 10 <type>ftp</type> 11 <direcitory>/pub/</direcitory> 12 <direcitory>/home/userA/</direcitory> 13 </permit> 14 </service>[0051] 1 <service> 2 <type> http </ type> 3 <permit> 4 <direcitory> / doc / public / </ direcitory> 5 <direcitory> / doc / private / userA / </ direcitory> 6 </ permit> 7 </ service> 8 <service> 9 <permit> 10 <type> ftp </ type> 11 <direcitory> / pub / </ direcitory> 12 <direcitory> / home / userA / </ direcitory> 13 </ permit> 14 </ service>
【0052】このアクセス権情報においては、2行目乃
至5行目で、プロトコルのタイプがHTTPにおけるサービ
ス、すなわち、HTTPサービス81が提供するサービスの
うち、4行目に記載があるように、/doc/public/という
サービスと、5行目に記載があるように、/doc/private
/userA/というサービスに対してのアクセス権が与えら
れていることが示されている。In this access right information, as described in the 2nd to 5th lines, in the 4th line among the services provided by the HTTP service 81, that is, the service whose protocol type is HTTP, A service called doc / public / and, as described in line 5, / doc / private
It shows that access is granted to the service named / userA /.
【0053】また、このアクセス権情報においては、1
0行目乃至12行目で、プロトコルのタイプがFTPに
おけるサービス、すなわち、FTPサービス82が提供
するサービスのうち、11行目に記載があるように、/p
ub/というサービスと、12行目に記載があるように、/
home/userA/というサービスに対してのアクセス権が与
えられていることが示されている。Also, in this access right information, 1
From line 0 to line 12, as described in line 11 among services provided by the FTP service whose protocol type is FTP, that is, / p
A service called ub / and, as described on line 12, /
It is shown that access is granted to the service home / userA /.
【0054】このように、アクセス権データベース73
で管理されている情報が用いられて、アクセス権情報が
作成される。上記したアクセス権情報は、一例であり、
限定を示すものではない。上記したように、HTTPサービ
ス81に対する接続要求に対して、HTTPサービス81と
FTPサービス82の両方のアクセス権限を、1つのアク
セス権情報として含ませても良い。そのようにした場
合、HTTPサービス81上のWWWページから、FTPサービス
82へのリンクが記述されているような場合に必要にな
る2つのサービスに対するアクセス権情報を一度にアク
セス権処理クライアント61に渡す事ができる。In this way, the access right database 73
The access right information is created by using the information managed in. The above access right information is an example,
It does not represent a limitation. As described above, in response to the connection request for the HTTP service 81, the HTTP service 81
Both access rights of the FTP service 82 may be included as one access right information. In such a case, the access right information for the two services required when the link to the FTP service 82 is described from the WWW page on the HTTP service 81 is passed to the access right processing client 61 at once. I can do things.
【0055】勿論、HTTPサービス81に対する接続要求
に対しては、HTTPサービス81へのアクセス権限のみを
含むアクセス権情報が発行されるようにしても良い。Of course, in response to the connection request to the HTTP service 81, access right information including only the access right to the HTTP service 81 may be issued.
【0056】アクセス制御部72は、上述したようなア
クセス情報に対して、アクセス制御部72の持つ秘密鍵
を用いて電子署名を行ない、正式なアクセス権情報とし
て発行する。また、アクセス権情報を記述する際に、必
要ならば、アクセス権に付随する情報を付加する。その
情報としては、例えば、アクセス権情報の有効期間を示
す情報である。The access control unit 72 digitally signs the above-mentioned access information using the secret key of the access control unit 72, and issues it as formal access right information. In addition, when writing the access right information, if necessary, information accompanying the access right is added. The information is, for example, information indicating the valid period of the access right information.
【0057】また、アクセス権情報をネットワーク1上
で送受信する場合、上述したアクセス権情報に対し、デ
ータの量を減らすなどの目的で、所定の圧縮方式を用い
て圧縮処理を施すようにしても良い。When the access right information is transmitted / received on the network 1, the access right information may be compressed using a predetermined compression method for the purpose of reducing the amount of data. good.
【0058】アクセス制御部72は、上述したようなア
クセス権情報を生成すると、そのアクセス権情報を、サ
ーバ2に対して送信する。そのような送信を行う一方
で、アクセス制御部72は、ステップS23において、
ファイアウォール71に対し、サーバ2のアクセス権処
理クライアント61が要求したHTTPサービス81へのア
クセスに必要な通過設定を行なうよう指示を出す。When the access control section 72 generates the access right information as described above, it sends the access right information to the server 2. While performing such transmission, the access control unit 72, in step S23,
The firewall 71 is instructed to perform the pass setting necessary for accessing the HTTP service 81 requested by the access right processing client 61 of the server 2.
【0059】ファイアウォール71は、ステップS31
において、アクセス制御部72からの指示に対応し、通
過設定を行う。この際、期限に関する設定が含まれてい
る場合、その設定も行われる。期限に関する設定が行わ
れた場合、その時点からタイマが起動され、設定された
期限の経過が監視されるようにしても良い。The firewall 71 operates in step S31.
At, the passage setting is performed in response to the instruction from the access control unit 72. At this time, if the setting related to the deadline is included, the setting is also performed. When the setting related to the deadline is performed, a timer may be started from that point and the elapse of the set deadline may be monitored.
【0060】サーバ2のアクセス権処理クライアント6
1は、ステップS12において、ゲートウェイ3のアク
セス制御部72のステップS22の処理として発行(送
信)されたアクセス権情報を受信し、その受信したアク
セス権情報を、HTTPクライアント62に提供する。Access right processing client 6 of server 2
1 receives the access right information issued (transmitted) as the process of step S22 of the access control unit 72 of the gateway 3 in step S12, and provides the received access right information to the HTTP client 62.
【0061】ステップS41において、HTTPクライアン
ト62は、提供されたアクセス権情報をHTTPリクエスト
に含める形でネットワーク1を介して接続されているHT
TPサービス81へ接続を開始する。例えば、HTTPプロト
コルのヘッダにアクセス権情報を含めて送信する。In step S41, the HTTP client 62 is connected via the network 1 by including the provided access right information in the HTTP request.
The connection to the TP service 81 is started. For example, the access right information is included in the header of the HTTP protocol and transmitted.
【0062】ステップS51において、サーバ2のHTTP
クライアント62からのアクセス権情報を含んだHTTPリ
クエストを受信したHTTPサービス81は、アクセス権情
報の正当性を、署名者であるアクセス制御部72の公開
鍵を用いて検証する。上述したように、アクセス制御部
72は、ステップS22の処理として、アクセス権情報
を発行する際、そのアクセス権情報の一部として、アク
セス制御部72の持つ秘密鍵を用いて電子署名を行って
いる。そこで、その電子署名の正当性を、HTTPサービス
81は、ステップS51において検証する。In step S51, the HTTP of the server 2
Upon receiving the HTTP request including the access right information from the client 62, the HTTP service 81 verifies the validity of the access right information by using the public key of the access control unit 72 which is the signer. As described above, when issuing the access right information, the access control unit 72 uses the private key of the access control unit 72 as a part of the access right information to perform the electronic signature as the processing of step S22. There is. Therefore, the HTTP service 81 verifies the validity of the electronic signature in step S51.
【0063】また、HTTPサーバ81は、ステップS51
において、アクセス権情報の有効期限も検証する。検証
に成功した場合は、ステップS51以降の処理が実行さ
れるが、検証に失敗した場合、換言すれば、正当なアク
セスではないという検証結果の場合、ステップS51以
降の処理は実行されない。正当なアクセスではないとい
う検証結果が出されるのは、電子署名が署名者の公開鍵
で復号できなかった場合、有効期限が切れている場合な
どである。Also, the HTTP server 81 uses the step S51.
At, the expiration date of the access right information is also verified. If the verification is successful, the processing after step S51 is executed, but if the verification is unsuccessful, in other words, if the verification result is that the access is not valid, the processing after step S51 is not executed. The verification result indicating that the access is not valid is issued when the electronic signature cannot be decrypted by the signer's public key or when the expiration date has expired.
【0064】ステップS52において、アクセス権の検
証を行う。まず、HTTPサービス81は、受信したHTTPリ
クエストに含まれるサービスへのアプリケーション層の
リクエストを解釈する。解釈の結果、サーバ2が出した
リクエスト内容が、アクセス権情報に含まれる、アクセ
スが許可されるサービスの情報と一致するか否かを検証
する。In step S52, the access right is verified. First, the HTTP service 81 interprets an application layer request for a service included in the received HTTP request. As a result of the interpretation, it is verified whether or not the request content issued by the server 2 matches the information of the service permitted to be accessed, which is included in the access right information.
【0065】例えば、サーバ2からのリクエストが、
“GET /doc/private/userA/index.html”であった場
合、そのサーバ2からのHTTPリクエストに含まれるアク
セス権情報に記載されている情報が、ファイル“/doc/p
rivate/userA/index.html”へのアクセス権限を含んで
いるか否かを検証する。アクセス権限が含まれていた場
合には、リクエストを実行し、含まれていない場合に
は、そのリクエストを認めないという処理を実行する。For example, the request from the server 2 is
When it is "GET /doc/private/userA/index.html", the information described in the access right information included in the HTTP request from the server 2 is the file "/ doc / p
Verify whether or not the access right to “rivate / userA / index.html” is included. If the access right is included, execute the request, and if the access right is not included, accept the request. Performs the process of not having.
【0066】ステップS53において、HTTPサービス8
1は、リクエストを実行した結果のレスポンスを返す。
この場合、ファイル“/doc/private/userA/index.htm
l”の内容が、HTTPクライアント62へ送信される。In step S53, the HTTP service 8
1 returns the response of the result of executing the request.
In this case, the file “/doc/private/userA/index.htm
The content of “l” is transmitted to the HTTP client 62.
【0067】HTTPクライアント62は、ステップS42
において、HTTPサービス81から送信されたファイル
“/doc/private/userA/index.html”の内容を受信し、
その受信した内容に従った処理を実行することにより、
ユーザに対してサービスを提供する。その結果、例え
ば、出力部27としてのディスプレイ上に所定の画像や
文章が表示され、その表示された画像や文章をユーザは
閲覧することができる。The HTTP client 62 executes step S42.
In, the contents of the file "/doc/private/userA/index.html" sent from the HTTP service 81 are received,
By executing the processing according to the received contents,
Providing services to users. As a result, for example, a predetermined image or text is displayed on the display as the output unit 27, and the user can browse the displayed image or text.
【0068】HTTPクライアント62におけるステップS
41の処理と、HTTPサービス81におけるステップS5
1乃至S53の処理が繰り返し実行されることにより、
ユーザは、HTTPサービス81からのサービスを定められ
た範囲内で閲覧することができる。Step S in HTTP Client 62
41 and the step S5 in the HTTP service 81
By repeating the processing from 1 to S53,
The user can browse the services from the HTTP service 81 within a predetermined range.
【0069】ステップS23における処理として設定さ
れたファイアウォール71におけるパケットの通過が許
可された期間が経過すると、ファイアウォール71は、
ステップS32において、通過禁止の設定を実行する。
この通過禁止の設定が実行されることにより、ステップ
S43において、サーバ2のHTTPクライアント62か
ら、ステップS41と同様に、アクセス権情報をHTTPリ
クエストに含めたサービス要求が出されても、ファイア
ウォール71の処理により、そのリクエスト(要求)は
拒否される。After the passage of the packet through the firewall 71 set as the processing in step S23 is permitted, the firewall 71
In step S32, passage prohibition is set.
By executing the setting of the prohibition of passage, in step S43, even if the HTTP client 62 of the server 2 issues a service request including the access right information in the HTTP request in the same manner as in step S41, the firewall 71 of the firewall 71 The request is rejected by the processing.
【0070】ステップS33において、ファイアウォー
ル71は、サービス要求に対して、アクセスを拒否する
応答をHTTPクライアント62に対して送信する。そのよ
うな応答をHTTPサーバ81が受信し、処理することによ
り、ユーザは、アクセスが拒否されたことを認識するこ
とができる。In step S33, the firewall 71 transmits a response to the service request, which denies access to the HTTP client 62. When the HTTP server 81 receives and processes such a response, the user can recognize that the access is denied.
【0071】この後、例えば、別なユーザが同じサービ
スに不正にアクセスしようとしたとしても、ファイアウ
ォール71が、パケットを通過させないため、その不正
なアクセスを防ぐことが可能となる。Thereafter, for example, even if another user tries to access the same service illegally, the firewall 71 does not pass the packet, so that the unauthorized access can be prevented.
【0072】上述した説明においては、アクセス制御部
72においてアクセスを許可するアクセス権情報が発行
される場合を説明したが、アクセスを禁止するアクセス
権情報が発行される場合について、図8のフローチャー
トを参照して説明する。サーバ2のアクセス権処理クラ
イアント61が、ステップS61において、ステップS
11と同様の処理により、サーバ4に対してアクセスを
要求する。その要求は、サーバ4に接続されているゲー
トウェイ3のアクセス制御部72に受信される。In the above description, the case where the access right information for permitting access is issued in the access control unit 72 has been described. However, regarding the case where the access right information for prohibiting access is issued, the flowchart of FIG. It will be described with reference to FIG. In step S61, the access right processing client 61 of the server 2 executes step S
The same process as 11 requests access to the server 4. The request is received by the access control unit 72 of the gateway 3 connected to the server 4.
【0073】アクセス要求が受信されることにより、ア
クセス制御部72は、ステップS71において認証を行
うわけだが、この認証の処理の結果、アクセスを要求し
てきたユーザのユーザIDが、アクセス権データベース
73に記憶されていないと判断された場合、ステップS
72において、アクセスを禁止するという情報を含むア
クセス権情報が発行される。When the access request is received, the access control unit 72 authenticates in step S71. As a result of the authentication process, the user ID of the user who has requested the access is stored in the access right database 73. If it is determined that it is not stored, step S
At 72, access right information including information that access is prohibited is issued.
【0074】または、アクセスを要求してきたユーザの
ユーザIDが、アクセス権データベース73に記憶され
ていない場合、サーバ4の管理者が、そのようなユーザ
は、ゲスト(guest)として扱うとして、図7に示した
ように設定してあった場合、そのguestに与えられたア
クセス権の範囲内で、アクセス権情報が発行される。こ
の際、図7に示して例では、guestというユーザIDに
は、HTTPサービス81とFTPサービス82に関して、
それぞれ1つのサービスがアクセスを許可するとして関
連付けられているが、関連付けられているサービスが存
在しない場合、アクセスを禁止するという情報を含むア
クセス権情報が発行される。Alternatively, when the user ID of the user who has requested the access is not stored in the access right database 73, the administrator of the server 4 treats such a user as a guest, and FIG. If it is set as shown in, the access right information is issued within the range of the access right given to the guest. At this time, in the example shown in FIG. 7, the user ID “guest” is associated with the HTTP service 81 and the FTP service 82.
Each one service is associated as permitting access, but if there is no associated service, access right information including information for prohibiting access is issued.
【0075】このようにしてアクセスを禁止するという
アクセス権情報が発行されると、そのアクセス権情報
は、サーバ2に対して送信される。ゲートウェイ3のア
クセス制御部72は、ステップS73において、ファイ
アウォール71に対して、通過禁止の設定を行うように
指示を出す。ファイアウォール71は、その指示に従っ
て、ステップS81において、設定を行う。When access right information for prohibiting access is issued in this way, the access right information is transmitted to the server 2. In step S73, the access control unit 72 of the gateway 3 instructs the firewall 71 to set the passage prohibition. The firewall 71 performs the setting in step S81 according to the instruction.
【0076】一方、サーバ2のアクセス権処理クライア
ント61は、ステップS62において、HTTPクライアン
ト62に、受信されたアクセス権情報を供給する。HTTP
クライアント62は、ステップS91において、供給さ
れたアクセス権情報を含むHTTPリクエストをサーバ4に
対して送信する。その要求は、ゲートウェイ3のファイ
アウォール71で受信されるが、ファイアウォール71
は、通過禁止の設定が行われているため、ステップS8
2において、サーバ2に対して接続拒否の応答を行う。On the other hand, the access right processing client 61 of the server 2 supplies the received access right information to the HTTP client 62 in step S62. HTTP
The client 62 transmits an HTTP request including the supplied access right information to the server 4 in step S91. The request is received by the firewall 71 of the gateway 3, but the firewall 71
Indicates that passage is prohibited, so step S8
At 2, the server 2 responds to the connection refusal.
【0077】このような接続拒否の応答を受信したサー
バ2のHTTPサーバ81は、ステップS92において、所
定の処理を行うことにより、ユーザが、接続を拒否され
たことを認識できるような画面を表示する。The HTTP server 81 of the server 2, which has received such a connection refusal response, displays a screen which allows the user to recognize that the connection is refused by performing a predetermined process in step S92. To do.
【0078】このようにして、ゲートウェイ3におい
て、ユーザを識別することにより、ゲートウェイ3に接
続されている複数のサーバや複数のサービスに対するア
クセスを、一括して制御することが可能となる。In this way, by identifying the user in the gateway 3, it becomes possible to collectively control access to a plurality of servers and a plurality of services connected to the gateway 3.
【0079】サーバ2からのサービス要求が、仮にファ
イアウォール71を通過したとしても、サーバ4のHTTP
サービス81が、ステップS51(図6)における正当
性の検証を行うことにより、正当性がないと判断され、
結果として、サーバ2のアクセス要求は禁止される。さ
らに、HTTPサービス81において、正当性があると判断
されても、ステップS52におけるアクセス権の検証に
おいて、提供が許可されているサービスは存在していな
いと判断され、結果として、サーバ2のアクセス要求は
禁止されたことになる。Even if the service request from the server 2 passes through the firewall 71, the HTTP of the server 4
When the service 81 verifies the validity in step S51 (FIG. 6), it is determined that the service 81 is not valid,
As a result, the access request of the server 2 is prohibited. Further, even if the HTTP service 81 determines that there is legitimacy, it is determined in the access right verification in step S52 that no service is permitted to be provided, and as a result, the access request of the server 2 is issued. Is banned.
【0080】以上のような手順により、インターネット
などのグローバルなネットワーク1からローカルネット
ワークであるネットワーク5上のサービスに対して、通
信を可能にすると同時に、サービスに対するアクセス権
を制御することが可能になる。With the above-described procedure, it becomes possible to enable communication from the global network 1 such as the Internet to a service on the network 5, which is a local network, and at the same time control the access right to the service. .
【0081】上述した実施の形態においては、ローカル
ネットワークであるネットワーク5に接続されているHT
TPサービス81に対するネットワーク1からのアクセス
を制御する例を説明したが、本発明は、このような形態
に限定されるわけではなく、他のサービスに対するアク
セス制御に関しても同様に適用することが可能である。In the above-described embodiment, the HT connected to the network 5 which is a local network.
Although the example of controlling the access from the network 1 to the TP service 81 has been described, the present invention is not limited to such a form, and can be similarly applied to the access control to other services. is there.
【0082】次に、本実施の形態の他の形態について説
明する。図1における全体の構成は同一である。また、
サーバ2−1,2−2とサーバ4−1,4−2は、それ
ぞれ、図2と図5に示した構成と同一である。ゲートウ
ェイ3の構成は、図9に示したように、図4に示したゲ
ートウェイ3からファイアウォール71を削除した構成
とされている。Next, another mode of this embodiment will be described. The overall configuration in FIG. 1 is the same. Also,
The servers 2-1 and 2-2 and the servers 4-1 and 4-2 have the same configurations as those shown in FIGS. 2 and 5, respectively. As shown in FIG. 9, the gateway 3 has a configuration in which the firewall 71 is removed from the gateway 3 shown in FIG.
【0083】このような構成における動作について、図
10のフローチャートを参照して説明する。ここでは、
サーバ2、ゲートウェイ3、およびサーバ4は、それぞ
れ一意に区別できる識別子を保持しているとする。その
識別子としては、IPv6(Internet Protocol Versio
n 6)で規定されているアドレスを用いることが可能で
ある。The operation of such a configuration will be described with reference to the flowchart of FIG. here,
It is assumed that each of the server 2, the gateway 3, and the server 4 holds an identifier that can be uniquely distinguished. As the identifier, IPv6 (Internet Protocol Versio
It is possible to use the address specified in n 6).
【0084】IPv6に規定されているアドレスは、1
28ビットで構成され、その下位64ビットがインタフ
ェースIDとして、装置毎に割り当てられた固有のものと
されている。以下の説明においては、この下位64ビッ
トのインタフェースIDを用いた場合を例に挙げて説明す
るが、装置を一意に区別できる他の情報を用いても勿論
良い。The address specified in IPv6 is 1
It is composed of 28 bits, and the lower 64 bits thereof are a unique ID assigned to each device as an interface ID. In the following description, the case of using the lower 64-bit interface ID will be described as an example, but other information that can uniquely identify the device may be used.
【0085】サーバ4の管理者は、図7に示したような
アクセス権データベース73を、予め作成しておく。こ
こでは、ユーザIDとして、上述したインタフェースI
Dが用いられ、そのインターフェースIDと、HTTPサー
ビス81とFTPサービス82において、それぞれ提供
されるサービスとが関連付けられて作成される。The administrator of the server 4 creates the access right database 73 as shown in FIG. 7 in advance. Here, as the user ID, the interface I described above is used.
D is used, and its interface ID is created in association with the services provided by the HTTP service 81 and the FTP service 82, respectively.
【0086】サーバ2のアクセス権処理クライアント6
1がステップS101とステップS102で行う処理
は、図6のフローチャートにおけるステップS11とス
テップS12の処理と基本的に同様であり、ゲートウェ
イ3のアクセス制御部72がステップS111とステッ
プS112で行う処理は、図6のフローチャートにおけ
るステップS21とステップS22の処理と基本的に同
様であるので、その詳細な説明は省略する。Access right processing client 6 of server 2
The processing performed by step 1 in steps S101 and S102 is basically the same as the processing in steps S11 and S12 in the flowchart of FIG. 6, and the processing performed by the access control unit 72 of the gateway 3 in steps S111 and S112 is Since it is basically the same as the processing of steps S21 and S22 in the flowchart of FIG. 6, its detailed description is omitted.
【0087】ステップS112において、ステップS1
11の処理において認証されたユーザのユーザID(イン
タフェースID)によって、HTTPサーバ81やFTPサー
バ82から提供されるサービスに対するアクセス権を記
述したアクセス権情報が発行される。ここでは、サーバ
2のIPv6により規定されるアドレスを“2001:298:2
00:b87:2d0:b7ff:fead:d26c”とした場合、その下位6
4bit の“0x02d0b7fffeadd26c”がサーバ2に固有のイ
ンタフェースID(ユーザID)として取得される。取得さ
れたインタフェースIDは、発行されるアクセス権情報に
含まれる。この際、期限に関する制限が加えられる場
合、その期限に関する情報も、アクセス権情報に含めら
れる。In step S112, step S1
The access right information describing the access right to the service provided from the HTTP server 81 and the FTP server 82 is issued by the user ID (interface ID) of the user authenticated in the process of 11. Here, the address specified by IPv6 of the server 2 is "2001: 298: 2".
00: b87: 2d0: b7ff: fead: d26c ”, the lower 6
4-bit “0x02d0b7fffeadd26c” is acquired as an interface ID (user ID) unique to the server 2. The acquired interface ID is included in the issued access right information. At this time, when a restriction regarding the time limit is added, the information regarding the time limit is also included in the access right information.
【0088】ステップS121において、サーバ2のHT
TPクライアント62は、サービス要求をサーバ4に対し
て送信する。サーバ4のHTTPサービス81は、ステップ
S131において、受信したアクセス権情報を含むHTTP
リクエストの正当性を、署名者であるゲートウェイ3の
アクセス制御部72の公開鍵を用いて検証する。また、
アクセス権情報の有効期限を同時に検証する。検証に成
功した場合、ステップS131以降の処理が実行され、
検証に失敗した場合、ステップS131以降の処理は実
行されない。In step S121, the HT of the server 2
The TP client 62 sends a service request to the server 4. The HTTP service 81 of the server 4 uses the HTTP including the received access right information in step S131.
The validity of the request is verified by using the public key of the access control unit 72 of the gateway 3 which is the signer. Also,
Verify the expiration date of access right information at the same time. If the verification is successful, the processing from step S131 is executed,
If the verification has failed, the processes in and after step S131 are not executed.
【0089】ステップS132において、HTTPサービス
81は、アクセス権情報のなかに含まれたユーザIDとし
てのインタフェースIDと、リクエストを送付したHTTPク
ライアント62のIPアドレスから取得したインタフェー
スIDを比較し、一致したら、それ以降の処理が実行さ
れ、一致しなかったら、アクセス権情報は無効とみなさ
れ、それ以降の処理は実行されず、エラーがサーバ2に
対して返される。In step S132, the HTTP service 81 compares the interface ID as the user ID included in the access right information with the interface ID acquired from the IP address of the HTTP client 62 that sent the request, and if they match. , And the subsequent processing is executed and if they do not match, the access right information is considered invalid, the subsequent processing is not executed, and an error is returned to the server 2.
【0090】この場合、ステップS132におけるIDの
検証は、サーバ2に与えられた、IPv6で規定された
アドレス“2001:298:200:b87::2d0:b7ff:fead:d26c”の
下位64bitの“0x02d0b7fffeadd26c”と、アクセス権情
報のなかに含まれているユーザIDとが比較される。In this case, the verification of the ID in step S132 is performed by checking the lower 64 bits of the address "2001: 298: 200: b87 :: 2d0: b7ff: fead: d26c" specified by IPv6, which is given to the server 2. 0x02d0b7fffeadd26c ”is compared with the user ID included in the access right information.
【0091】HTTPサービス81で行われるステップS1
33とステップS134の処理は、図6のフローチャー
トのステップS52とステップS53の処理と同様であ
るので、その説明は省略する。Step S1 performed by the HTTP service 81
The processing of 33 and step S134 is the same as the processing of step S52 and step S53 of the flowchart of FIG. 6, so description thereof will be omitted.
【0092】サーバ2からのサービスの要求と、サーバ
4からのサービスの提供が、繰り返し行われることによ
り、サーバ4へのアクセスが許可された期間が経過した
後に、サーバ2からサービス要求が出されると(ステッ
プS123)、ステップS135において、HTTPサービ
ス81は、正当性の検証を行った際、有効期限が切れて
いると判断し、その結果として、ステップS136にお
いて、サービスの提供を要求してきたサーバ2に対し
て、エラー応答を実行する。By repeatedly performing the service request from the server 2 and the service provision from the server 4, the service request is issued from the server 2 after the period in which the access to the server 4 is permitted has elapsed. Then (step S123), in step S135, the HTTP service 81 determines that the validity period has expired when the validity is verified, and as a result, in step S136, the server requesting the provision of the service. For 2, the error response is executed.
【0093】上述した第2の実施の形態においては、サ
ービスを提供するサーバ4とサービスを受けるサーバ2
の中間に位置するゲートウェイ3が、サービスを実行す
るための制御に関係しないという点が第1の実施の形態
と異なり、家庭内ネットワークなどのローカルネットワ
ークとインターネットなどの広域ネットワークとの接続
形態に対する制限が少なくなるという利点がある。例え
ば、2つのゲートウェイによってローカルネットワーク
とインターネットがつながっている場合への、本発明の
適用が容易になる。In the above-described second embodiment, the server 4 that provides the service and the server 2 that receives the service.
Different from the first embodiment in that the gateway 3 located in the middle of is not related to the control for executing the service, the restriction on the connection form between the local network such as the home network and the wide area network such as the Internet. Has the advantage that For example, the present invention can be easily applied to the case where a local network and the Internet are connected by two gateways.
【0094】このように、本発明によれば、ローカルネ
ットワークで提供されているサービスに対して、ローカ
ルネットワークの管理者が、一括してアクセス権を設定
することが可能になる。一括してアクセスに関する制御
が行えるので、例えば、サービスの利用期間を限定する
といった制御に対する処理が簡便に行える。また、家庭
内に複数のサーバソフトを動作させるような環境におい
て、サービス一つ一つ毎のコントロールだけでなく、い
くつかのサービスに共通してアクセス権を与えるなどの
制御を容易に行なうこと可能となる。As described above, according to the present invention, the administrator of the local network can collectively set the access right to the services provided on the local network. Since access control can be performed collectively, for example, processing for control such as limiting the service usage period can be performed easily. In addition, in an environment where multiple server software are operated in the home, it is possible not only to control each service individually but also to easily control access to some services in common. Becomes
【0095】上述した一連の処理は、ハードウェアによ
り実行させることもできるが、ソフトウェアにより実行
させることもできる。一連の処理をソフトウェアにより
実行させる場合には、そのソフトウェアを構成するプロ
グラムが専用のハードウェアに組み込まれているコンピ
ュータ、または、各種のプログラムをインストールする
ことで、各種の機能を実行することが可能な、例えば汎
用のパーソナルコンピュータなどに、記録媒体からイン
ストールされる。The series of processes described above can be executed by hardware, but can also be executed by software. When a series of processes is executed by software, it is possible to execute various functions by installing a computer in which the programs that make up the software are built into dedicated hardware, or by installing various programs. The recording medium is installed in a general-purpose personal computer, for example.
【0096】記録媒体は、図2に示すように、パーソナ
ルコンピュータとは別に、ユーザにプログラムを提供す
るために配布される、プログラムが記録されている磁気
ディスク41(フレキシブルディスクを含む)、光ディ
スク42(CD-ROM(CompactDisc-Read Only Memory),
DVD(Digital Versatile Disc)を含む)、光磁気ディ
スク43(MD(Mini-Disc)(登録商標)を含む)、若
しくは半導体メモリ44などよりなるパッケージメディ
アにより構成されるだけでなく、コンピュータに予め組
み込まれた状態でユーザに提供される、プログラムが記
憶されているROM22や記憶部28が含まれるハード
ディスクなどで構成される。As shown in FIG. 2, the recording medium is a magnetic disk 41 (including a flexible disk) and an optical disk 42 on which the program is recorded, which is distributed in order to provide the program to the user, separately from the personal computer. (CD-ROM (Compact Disc-Read Only Memory),
Not only is it configured by a package medium such as a DVD (including a Digital Versatile Disc), a magneto-optical disc 43 (including an MD (Mini-Disc) (registered trademark)), or a semiconductor memory 44, but is also incorporated in a computer in advance. It is configured by a ROM 22 in which a program is stored, which is provided to the user in a stored state, and a hard disk including a storage unit 28.
【0097】なお、本明細書において、媒体により提供
されるプログラムを記述するステップは、記載された順
序に従って、時系列的に行われる処理は勿論、必ずしも
時系列的に処理されなくとも、並列的あるいは個別に実
行される処理をも含むものである。In the present specification, the steps for describing the program provided by the medium are not limited to the processing performed in time series according to the order described, but may be performed in parallel even if the processing is not necessarily performed in time series. Alternatively, it also includes processes that are individually executed.
【0098】また、本明細書において、システムとは、
複数の装置により構成される装置全体を表すものであ
る。In this specification, the system means
It represents the entire apparatus composed of a plurality of devices.
【0099】[0099]
【発明の効果】以上の如く、本発明の情報処理装置およ
び方法、並びにプログラムによれば、ユーザから所定の
サービスに対してアクセス要求があった場合、ユーザに
対応するユーザ識別情報に関連付けられているサービス
情報を読み出し、その読み出したサービス情報を少なく
とも含む、サービスに対するアクセスを制限するための
アクセス権情報を生成するようにしたので、サービスを
管理する側においては、そのアクセス権情報を正当性や
内容を検証することにより、不正なアクセスを防ぐこと
ができるとともに、アクセスに対する設定を簡便に行う
ことが可能となる。As described above, according to the information processing apparatus, method, and program of the present invention, when the user makes an access request to a predetermined service, the information is associated with the user identification information corresponding to the user. Since the access right information for reading out the service information that is present and limiting the access to the service including at least the read out service information is generated, the service management side verifies that the access right information is valid or not. By verifying the contents, it is possible to prevent unauthorized access and to easily set the access.
【図1】本発明の情報処理システムの一実施の形態の構
成を示す図である。FIG. 1 is a diagram showing a configuration of an embodiment of an information processing system of the present invention.
【図2】サーバ2の内部構成を示す図である。FIG. 2 is a diagram showing an internal configuration of a server 2.
【図3】サーバ2の機能ブロック図である。FIG. 3 is a functional block diagram of a server 2.
【図4】ゲートウェイ3の機能ブロック図である。FIG. 4 is a functional block diagram of a gateway 3.
【図5】サーバ4の機能ブロック図である。FIG. 5 is a functional block diagram of a server 4.
【図6】図1に示した情報処理システムの動作を説明す
るフローチャートである。FIG. 6 is a flowchart illustrating an operation of the information processing system shown in FIG.
【図7】アクセス権データベース73に記憶されている
データについて説明する図である。FIG. 7 is a diagram illustrating data stored in an access right database 73.
【図8】図1に示した情報処理システムの他の動作を説
明するフローチャートである。8 is a flowchart illustrating another operation of the information processing system shown in FIG.
【図9】ゲートウェイ3の他の機能ブロック図である。9 is another functional block diagram of the gateway 3. FIG.
【図10】図1に示した情報処理システムの他の動作を
説明するフローチャートである。10 is a flowchart illustrating another operation of the information processing system shown in FIG.
1 ネットワーク, 2 サーバ, 3 ゲートウェ
イ, 4 サーバ, 61 アクセス権処理クライアン
ト, 62 HTTPクライアント, 63 FTPクライ
アント, 71 ファイアウォール, 72 アクセス
制御部, 73アクセス権データベース, 81 HTTP
サービス, 82 FTPサービス1 network, 2 servers, 3 gateways, 4 servers, 61 access right processing client, 62 HTTP client, 63 FTP client, 71 firewall, 72 access control unit, 73 access right database, 81 HTTP
Services, 82 FTP services
Claims (8)
と、アクセスを許可するサービスに関するサービス情報
を関連付けて記憶する記憶手段と、 前記ユーザから所定の前記サービスに対してアクセス要
求があった場合、前記ユーザに対応する前記ユーザ識別
情報に関連付けられている前記サービス情報を前記記憶
手段から読み出す読み出し手段と、 前記サービスに対するアクセスを制限するためのアクセ
ス権情報であって、前記読み出し手段により読み出され
た前記サービス情報を含めた情報を生成する生成手段
と、 前記生成手段により生成された前記アクセス権情報を前
記ユーザに対して供給する供給手段とを含むことを特徴
とする情報処理装置。1. A storage unit for storing user identification information for identifying a user and service information relating to a service permitted to be accessed in association with the user, and an access request to the predetermined service from the user, Read out means for reading out the service information associated with the user identification information corresponding to the user from the storage means, and access right information for restricting access to the service, which is read out by the read out means. An information processing apparatus comprising: a generating unit that generates information including the service information; and a supplying unit that supplies the access right information generated by the generating unit to the user.
アクセス権情報を生成することを特徴とする請求項1に
記載の情報処理装置。2. The information processing apparatus according to claim 1, wherein the generation unit generates the access right information including an electronic signature.
アクセスを許可する期間に関する情報を含む前記アクセ
ス権情報を生成することを特徴とする請求項1に記載の
情報処理装置。3. The information processing apparatus according to claim 1, wherein the generation unit generates the access right information including information regarding a period in which access to the service is permitted.
記サービス情報に基づき、ファイアウォールに対して指
示を出す指示手段をさらに含むことを特徴とする請求項
1に記載の情報処理装置。4. The information processing apparatus according to claim 1, further comprising an instruction unit that issues an instruction to a firewall based on the service information read by the reading unit.
規定されるアドレスのうちのインタフェースIDを含む
ことを特徴とする請求項1に記載の情報処理装置。5. The information processing apparatus according to claim 1, wherein the user identification information includes an interface ID of an address defined by IPv6.
と、アクセスを許可するサービスに関するサービス情報
の関連付けた記憶を制御する記憶制御ステップと、 前記ユーザから所定の前記サービスに対してアクセス要
求があった場合、前記ユーザに対応する前記ユーザ識別
情報に関連付けられている前記サービス情報を前記記憶
制御ステップによる処理で記憶が制御された情報内から
読み出し、その読み出された前記サービス情報を少なく
とも含む、前記サービスに対するアクセスを制限するた
めのアクセス権情報を生成する生成ステップと、 前記生成ステップの処理で生成された前記アクセス権情
報を前記ユーザに対して供給する供給ステップとを含む
ことを特徴とする情報処理方法。6. A storage control step of controlling associated storage of user identification information for identifying a user and service information relating to a service to which access is permitted, the user requesting access to the predetermined service. In that case, the service information associated with the user identification information corresponding to the user is read from within the information whose storage is controlled by the storage control step, and at least the read service information is included. A generating step of generating access right information for limiting access to the service; and a supplying step of supplying the access right information generated in the processing of the generating step to the user. Information processing method.
と、アクセスを許可するサービスに関するサービス情報
の関連付けた記憶を制御する記憶制御ステップと、 前記ユーザから所定の前記サービスに対してアクセス要
求があった場合、前記ユーザに対応する前記ユーザ識別
情報に関連付けられている前記サービス情報を前記記憶
制御ステップによる処理で記憶が制御された情報内から
読み出し、その読み出された前記サービス情報を少なく
とも含む、前記サービスに対するアクセスを制限するた
めのアクセス権情報を生成する生成ステップと、 前記生成ステップの処理で生成された前記アクセス権情
報を前記ユーザに対して供給する供給ステップとを含む
ことを特徴とするコンピュータが読み取り可能なプログ
ラムが記録されている記録媒体。7. A storage control step of controlling storage of associated user identification information for identifying a user and service information regarding a service to which access is permitted, the user requesting access to the predetermined service. In that case, the service information associated with the user identification information corresponding to the user is read from within the information whose storage is controlled by the process of the storage control step, and at least the read service information is included. A generating step of generating access right information for limiting access to the service; and a supplying step of supplying the access right information generated by the processing of the generating step to the user. A recording medium that stores a computer-readable program .
と、アクセスを許可するサービスに関するサービス情報
の関連付けた記憶を制御する記憶制御ステップと、 前記ユーザから所定の前記サービスに対してアクセス要
求があった場合、前記ユーザに対応する前記ユーザ識別
情報に関連付けられている前記サービス情報を前記記憶
制御ステップによる処理で記憶が制御された情報内から
読み出し、その読み出された前記サービス情報を少なく
とも含む、前記サービスに対するアクセスを制限するた
めのアクセス権情報を生成する生成ステップと、 前記生成ステップの処理で生成された前記アクセス権情
報を前記ユーザに対して供給する供給ステップとをコン
ピュータに実行させるプログラム。8. A storage control step of controlling storage in which user identification information for identifying a user and service information regarding a service to which access is permitted are associated with each other; In that case, the service information associated with the user identification information corresponding to the user is read from within the information whose storage is controlled by the storage control step, and at least the read service information is included. A program for causing a computer to execute a generation step of generating access right information for limiting access to the service, and a supply step of supplying the user with the access right information generated in the processing of the generation step.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001325781A JP2003132030A (en) | 2001-10-24 | 2001-10-24 | Information processing device and method, recording medium and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001325781A JP2003132030A (en) | 2001-10-24 | 2001-10-24 | Information processing device and method, recording medium and program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003132030A true JP2003132030A (en) | 2003-05-09 |
Family
ID=19142275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001325781A Withdrawn JP2003132030A (en) | 2001-10-24 | 2001-10-24 | Information processing device and method, recording medium and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003132030A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006113624A (en) * | 2004-10-12 | 2006-04-27 | Hitachi Ltd | Access control system, authentication server, application server, and packet transfer device |
| JPWO2006040812A1 (en) * | 2004-10-12 | 2008-05-15 | 富士通株式会社 | Operation management program, operation management method, and operation management apparatus |
| JP2009514050A (en) * | 2003-07-11 | 2009-04-02 | インターナショナル・ビジネス・マシーンズ・コーポレーション | System and method for authenticating a client in a client-server environment |
| US7551986B2 (en) | 2004-02-24 | 2009-06-23 | Denso Corporation | Program distribution system, program distribution device, and in-vehicle gateway device |
| US8370903B2 (en) | 2007-05-10 | 2013-02-05 | Konica Minolta Business Technologies, Inc | Image forming apparatus unifying management for use of image forming apparatus and use of web service |
| KR101874879B1 (en) * | 2016-11-23 | 2018-07-05 | 엘에스웨어(주) | System for management database and method thereof |
-
2001
- 2001-10-24 JP JP2001325781A patent/JP2003132030A/en not_active Withdrawn
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009514050A (en) * | 2003-07-11 | 2009-04-02 | インターナショナル・ビジネス・マシーンズ・コーポレーション | System and method for authenticating a client in a client-server environment |
| US7551986B2 (en) | 2004-02-24 | 2009-06-23 | Denso Corporation | Program distribution system, program distribution device, and in-vehicle gateway device |
| JP2006113624A (en) * | 2004-10-12 | 2006-04-27 | Hitachi Ltd | Access control system, authentication server, application server, and packet transfer device |
| JPWO2006040812A1 (en) * | 2004-10-12 | 2008-05-15 | 富士通株式会社 | Operation management program, operation management method, and operation management apparatus |
| US7660995B2 (en) | 2004-10-12 | 2010-02-09 | Hitachi, Ltd. | Access control system, authentication server, application server, and packet transmission device |
| JP4701670B2 (en) * | 2004-10-12 | 2011-06-15 | 株式会社日立製作所 | Access control system, authentication server, application server, and packet transfer apparatus |
| JP4843499B2 (en) * | 2004-10-12 | 2011-12-21 | 富士通株式会社 | Control program, control method, and control apparatus |
| US8341705B2 (en) | 2004-10-12 | 2012-12-25 | Fujitsu Limited | Method, apparatus, and computer product for managing operation |
| US8370903B2 (en) | 2007-05-10 | 2013-02-05 | Konica Minolta Business Technologies, Inc | Image forming apparatus unifying management for use of image forming apparatus and use of web service |
| KR101874879B1 (en) * | 2016-11-23 | 2018-07-05 | 엘에스웨어(주) | System for management database and method thereof |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4129783B2 (en) | Remote access system and remote access method | |
| EP2842258B1 (en) | Multi-factor certificate authority | |
| KR101534890B1 (en) | Trusted device-specific authentication | |
| JP5680548B2 (en) | Apparatus and method for granting access rights to apparatus | |
| CN101331731B (en) | Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider | |
| JP6061633B2 (en) | Device apparatus, control method, and program thereof. | |
| US20080222416A1 (en) | Secure Network Connection | |
| US6785729B1 (en) | System and method for authorizing a network user as entitled to access a computing node wherein authenticated certificate received from the user is mapped into the user identification and the user is presented with the opprtunity to logon to the computing node only after the verification is successful | |
| US20060149967A1 (en) | User authentication method and system for a home network | |
| JP5604176B2 (en) | Authentication cooperation apparatus and program thereof, device authentication apparatus and program thereof, and authentication cooperation system | |
| JP2004046430A5 (en) | ||
| JP2004185623A (en) | Method and system for authenticating user associated with sub-location in network location | |
| JP2008015936A (en) | Service system and service system control method | |
| WO2010075768A1 (en) | Method, device and system for implementing resource sharing | |
| JP5602165B2 (en) | Method and apparatus for protecting network communications | |
| KR101873991B1 (en) | Method of delegating access right between IoT devices | |
| JP5992535B2 (en) | Apparatus and method for performing wireless ID provisioning | |
| JP2005276122A (en) | Access source authentication method and system | |
| CN112532599A (en) | Dynamic authentication method, device, electronic equipment and storage medium | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| KR20070009490A (en) | System and method for authenticating a user based on the internet protocol address | |
| JP2003132030A (en) | Information processing device and method, recording medium and program | |
| JP2002245008A (en) | Method and device for verifying right by using certificate, program, and recording medium | |
| KR101074068B1 (en) | Authentication method and apparatus for home network service | |
| JP2005018421A (en) | Management device, service providing device, and communication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20050104 |