JP2003263418A - Security system, security server and program - Google Patents
Security system, security server and programInfo
- Publication number
- JP2003263418A JP2003263418A JP2002064206A JP2002064206A JP2003263418A JP 2003263418 A JP2003263418 A JP 2003263418A JP 2002064206 A JP2002064206 A JP 2002064206A JP 2002064206 A JP2002064206 A JP 2002064206A JP 2003263418 A JP2003263418 A JP 2003263418A
- Authority
- JP
- Japan
- Prior art keywords
- security
- information
- connection
- terminal
- destination address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、ネットワーク上に
存在する情報システム及び当該システムで取り扱う情報
のセキュリティを確保するセキュリティシステム、セキ
ュリティサーバ及びプログラムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an information system existing on a network and a security system, a security server and a program for ensuring the security of information handled by the system.
【0002】[0002]
【従来の技術】高度情報化社会においては、情報処理シ
ステムおよびそのシステムが取り扱う情報内容に対する
セキュリティの確保が強く求められている。2. Description of the Related Art In an advanced information society, there is a strong demand for security of information processing systems and information contents handled by the systems.
【0003】近年、セキュリティ確保の観点から、特定
のユーザだけにシステムの接続先アドレス(IP宛先ア
ドレス)を通知して使用を認めることにより、外部の一
般的なユーザによるアクセスを制限したり、認証を条件
に特定のユーザだけに使用権限を与えるなどの対策がと
られている。In recent years, from the viewpoint of ensuring security, only a specific user is notified of the connection destination address (IP destination address) of the system so that the user can use the system, thereby restricting access by general external users and performing authentication. Under such conditions, measures are taken such as granting usage rights only to specific users.
【0004】また、インターネットに企業内ネットワー
クであるイントラネットを接続するネットワークシステ
ムも増えてきているが、この場合にはイントラネット用
IPアドレスの他、外部に接続可能なグローバルなIP
宛先アドレス(以下、イントラネット用IPアドレス、
IP宛先アドレスを接続先アドレスと呼ぶ)を有し、外
部のネットワークから不正に侵入されるのを未然に回避
するために、イントラネットとインターネットとの間に
ファィア・ウオールが設けられ、特定のユーザだけが使
用可能としている。In addition, a network system for connecting an intranet, which is a corporate network, to the Internet is also increasing. In this case, in addition to the IP address for the intranet, a global IP that can be connected to the outside is also used.
Destination address (hereinafter, IP address for intranet,
The IP destination address is called a connection destination address), and a firewall is provided between the intranet and the Internet to prevent unauthorized intrusion from an external network, and only a specific user is provided. Is available.
【0005】[0005]
【発明が解決しようとする課題】しかしながら、以上の
ようなネットワークシステムでは、一般のユーザが種々
の不正な手段を用いて企業内の情報システムなどの接続
先アドレスを入手し、外部からシステム内情報の不正な
入手や破壊行為だけでなく、社外に持ち出し禁止とされ
る情報がネットワークを介して取り出されてしまう問題
がある。これはファィア・ウオールが設けられたネット
ワークシステムであっても同様である。However, in the above network system, a general user obtains a connection destination address of an information system in a company by using various illegal means, and the information in the system is externally supplied. In addition to the illegal acquisition and vandalism of the above, there is a problem that information that is prohibited to be taken outside the company is taken out through the network. This is the same even in a network system provided with a fire wall.
【0006】また、特定端末に特定の識別データを発生
するセキュリティカードを挿入し、当該端末から送られ
てくる識別データを認証し、使用許可を与えるネットワ
ークシステムもあるが、企業内部の情報システムへの接
続先アドレスまでも隠蔽するものでなく、外部の一般的
ユーザから容易に侵入されたり、外部から障害を受けて
しまう問題がある。これは、セキュリティ認証のプロセ
スと使用したいシステムへの接続先アドレスを取得する
プロセスが一連の中で連携を取りながら処理されていな
い為である。There is also a network system in which a security card for generating specific identification data is inserted into a specific terminal, the identification data sent from the terminal is authenticated, and use is permitted. Even the connection destination address is not concealed, and there is a problem that an external general user can easily invade or receive an external failure. This is because the process of security authentication and the process of acquiring the connection destination address to the system you want to use are not processed while cooperating in a series.
【0007】本発明は上記事情にかんがみてなされたも
ので、外部から侵入・攻撃を受け難い高セキュリティを
確保するセキュリティシステム、セキュリティサーバ及
びプログラムを提供することを目的とする。The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a security system, a security server, and a program that ensure high security that is not easily intruded or attacked from the outside.
【0008】また、本発明の他の目的は、各ユーザごと
にきめ細かい運用管理を実現するセキュリティサーバを
提供することにある。Another object of the present invention is to provide a security server which realizes fine operation management for each user.
【0009】[0009]
【課題を解決するための手段】(1) 上記課題を解決
するために、本発明に係わるセキュリティシステムは、
セキュリティカードが装填された端末と、セキュリティ
サーバと、少なくとも1台の情報システムとがネットワ
ークに接続され、前記セキュリティカードは、セキュリ
ティ情報を送信する手段、このセキュリティ情報の送信
のもとに前記セキュリティサーバから送信されてくる前
記情報システムに関する接続メニュー、接続先アドレス
を格納する手段及び所要の情報システムを選択させるた
めに前記接続メニューを表示する手段が設けられ、前記
セキュリティサーバは、前記各端末ごとに発行される判
定用セキュリティ情報の他、接続メニュー、接続先アド
レスが記憶され、前記端末からのセキュリティ情報に基
づき前記判定用セキュリティ情報を参照し、正当な使用
権限を有すると認証された場合に前記接続メニュー、接
続先アドレスを含む許可情報を前記端末に送信する手段
を設けた構成である。[Means for Solving the Problems] (1) In order to solve the above problems, a security system according to the present invention comprises:
A terminal loaded with a security card, a security server, and at least one information system are connected to a network, and the security card is means for transmitting security information, and the security server is based on the transmission of the security information. A connection menu relating to the information system transmitted from the device, means for storing a connection destination address, and means for displaying the connection menu for selecting a required information system are provided, and the security server is provided for each terminal. In addition to the issued security information for determination, a connection menu and a connection destination address are stored, the security information for determination is referred to based on the security information from the terminal, and when it is authenticated that the user has an authorized use right, Includes connection menu and destination address Is a structure in which a means for transmitting authorization information to the terminal.
【0010】本発明は以上のような構成とすることによ
り、端末にセキュリティカードを装填すると、自動的ま
たは所定の指示のもとに既にカードに記憶されるセキュ
リティ情報を読み出してセキュリティサーバに送信す
る。According to the present invention having the above-mentioned configuration, when the security card is loaded in the terminal, the security information already stored in the card is automatically read out according to a predetermined instruction and transmitted to the security server. .
【0011】このセキュリティサーバは、端末からのセ
キュリティ情報を受信し、予め登録されている判定用セ
キュリティ情報を参照し、正当な使用権限を有する端末
と認証された場合、予め登録される情報システムに関す
る接続メニュー及び接続先アドレスを許可情報として要
求元端末に操作する。This security server is related to an information system which is pre-registered when it receives the security information from the terminal, refers to the pre-registered security information for judgment, and is authenticated as a terminal having a proper use authority. The request source terminal is operated with the connection menu and the connection destination address as the permission information.
【0012】この要求元端末は、受信した接続メニュー
及び接続先アドレスを格納し、そのうちユーザに選択さ
れる為に情報システムに関する接続メニューを表示す
る。そして、ユーザが接続メニューの中から1つを選択
すると、対応する接続先アドレスを用いて情報システム
にアクセスするので、セキュリティ認証のプロセスと使
用したいシステムへの接続先アドレスを取得するプロセ
スが一連の中で連携をとりつつ処理でき、しかも直接情
報システムにアクセスできないので、外部の一般的ユー
ザから容易に侵入されたり、外部から障害を受けること
を未然に回避できる。The request source terminal stores the received connection menu and connection destination address, and displays the connection menu related to the information system to be selected by the user. Then, when the user selects one from the connection menu, the information system is accessed using the corresponding connection destination address, so the process of security authentication and the process of acquiring the connection destination address of the system to use Since the processing can be performed in cooperation with each other and the information system cannot be directly accessed, it is possible to prevent an intruder from an outside general user or an obstacle from the outside.
【0013】また、接続メニュー及び接続先アドレスが
セキュリティサーバで管理しており、また要求元端末に
は接続メニューだけが表示されること等により、ユーザ
に隠蔽した状態で情報システムに接続可能となるので、
外部からの侵入・攻撃を受ける可能性が激減され、より
高いセキュリティを確保できる。Further, since the connection menu and the connection destination address are managed by the security server, and only the connection menu is displayed on the request source terminal, it is possible to connect to the information system while being hidden from the user. So
The possibility of being intruded or attacked from outside is dramatically reduced, and higher security can be secured.
【0014】なお、前記(1)項の構成に新たに、端末
自体または前記セキュリティカードに、表示された接続
メニューに基づいて選択指示を受けた場合、前記選択さ
れた接続メニューに対応する前記接続先アドレスを用い
て前記所要の情報システムにアクセスする手段と、この
アクセスにより接続される前記情報システムとの間で所
要とする処理を実行し、その実行終了後に前記セキュリ
ティカードに格納される接続メニュー、接続先アドレス
を消去する手段とを設けることにより、隠蔽された状態
の接続先アドレスのもとに情報システムと接続でき、処
理終了後には接続メニュー及び接続先アドレスを消去す
るので、ユーザに接続先アドレスが知られる心配を少な
くできる。When the terminal or the security card receives a selection instruction based on the displayed connection menu, the connection corresponding to the selected connection menu is newly added to the configuration of the above item (1). A connection menu stored in the security card after executing required processing between the means for accessing the required information system using the destination address and the information system connected by this access. By providing a means for erasing the connection destination address, it is possible to connect to the information system based on the connection destination address in the hidden state, and after the processing is completed, the connection menu and the connection destination address are erased, so the user can connect. It is possible to reduce the worry that the destination address is known.
【0015】(2) 本発明に係わるセキュリティサー
バは、セキュリティカードが装填された端末および少な
くとも1台の情報システムが設置されたネットワークに
接続され、機能的には、各端末ごとに発行される判定用
セキュリティ情報の他、情報システムに関する接続メニ
ュー、接続先アドレスを記憶する記憶手段と、前記端末
から送信されてくるセキュリティ情報に基づき前記判定
用セキュリティ情報を参照し、正当な使用権限を有する
か否かを認証する認証処理手段と、正当な使用権限を有
すると認証された場合に前記接続メニュー、接続先アド
レスを含む許可情報を前記端末に送信する手段とを設け
たので、各端末ごとに情報システムに関する接続メニュ
ー、接続先アドレスの使用権限を異ならせることが可能
となり、きめ細かい運用管理を実現することが可能とな
る。(2) The security server according to the present invention is connected to a network in which a terminal equipped with a security card and at least one information system are installed, and functionally, a determination issued for each terminal In addition to the security information for connection, a connection menu related to the information system, a storage unit for storing the connection destination address, and the security information for determination based on the security information transmitted from the terminal are referred to to determine whether or not the user has a proper use authority. Since there is provided an authentication processing means for authenticating whether or not, and a means for transmitting the permission information including the connection menu and the connection destination address to the terminal when it is authenticated that the terminal has the proper use authority, the information for each terminal is provided. It is possible to change the connection menu related to the system and the authority to use the connection destination address, and it is possible to make detailed adjustments. Operation management can be realized.
【0016】(3) なお、前記(1)に記載する端末
及びセキュリティサーバが行う各機能をプログラムによ
って実現することも容易である。(3) It is also easy to realize each function performed by the terminal and the security server described in (1) above by a program.
【0017】[0017]
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して説明する。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below with reference to the drawings.
【0018】図1は本発明に係わるセキュリティシステ
ムの一実施の形態を示す系統構成図である。FIG. 1 is a system configuration diagram showing an embodiment of a security system according to the present invention.
【0019】このセキュリティシステムは、例えばイン
ターネット、イントラネットなどのネットワーク1が設
けられ、このネットワーク1には、複数の端末2,…
と、各端末2から送信されてくるセキュリティ情報を認
証するセキュリティサーバ3と、所要とする情報処理を
行う少なくとも1台の情報システム4が接続されてい
る。This security system is provided with a network 1 such as the Internet or an intranet, and a plurality of terminals 2, ...
A security server 3 that authenticates security information transmitted from each terminal 2 and at least one information system 4 that performs required information processing are connected.
【0020】この端末2は、企業内外を含む多数のユー
ザが所持する一般的なユーザ端末でなく、セキュリティ
用カード21の装填のもとに所定のセキュリティ情報を
発生し、セキュリティサーバ3から許可情報を受けたと
きに所要の情報システム4の使用権限をもつ特定端末で
あると言える。The terminal 2 is not a general user terminal possessed by a large number of users, both inside and outside the company, but generates predetermined security information when the security card 21 is loaded, and the security server 3 gives permission information. It can be said that the terminal is a specific terminal having the required authority to use the information system 4 when receiving the information.
【0021】この特定端末2に装填されるセキュリティ
用カード21は、個人の識別データ、パスワード等のセ
キュリティ情報を記憶し、カード装填時または入力手段
からの送信指示に従い、セキュリティ情報を送信するセ
キュリティ情報発生手段22と、このセキュリティ情報
の発生後、セキュリティサーバ3から送信されてくる情
報システムに関する接続メニュー、接続先アドレス等の
許可情報を受信し格納する許可情報格納手段23と、こ
の許可情報格納手段23に格納された許可情報のうち、
情報システムに関する接続メニューの表示のもとに特定
ユーザに選択を促し、接続メニューの中から1つを選択
する指示を受けたとき、許可情報格納手段23に格納さ
れる1つの選択メニューに対応する接続先アドレスを送
出し、所要とする情報システム4をアクセスする接続先
表示選択手段24とが設けられている。The security card 21 loaded in the specific terminal 2 stores security information such as personal identification data and password, and transmits the security information when the card is loaded or according to a transmission instruction from the input means. The generation means 22, the permission information storage means 23 for receiving and storing the permission information such as the connection menu and the connection destination address relating to the information system transmitted from the security server 3 after the generation of this security information, and the permission information storage means. Of the permission information stored in 23,
When a specific user is prompted to make a selection based on the display of the connection menu related to the information system and an instruction to select one from the connection menus is received, the selection menu corresponding to one selection menu stored in the permission information storage unit 23 is obtained. A connection destination display selecting means 24 for transmitting the connection destination address and accessing the required information system 4 is provided.
【0022】また、端末本体2またはセキュリティ用カ
ード21には、情報システム4の取り扱う情報に基づい
て必要な処理を実行する情報処理手段および処理終了に
伴って許可情報格納手段23に格納される接続メニュ
ー、接続先アドレスを消去する消去手段が設けられてい
る。Further, the terminal body 2 or the security card 21 is connected to the information processing means for executing necessary processing based on the information handled by the information system 4 and the connection stored in the permission information storing means 23 upon completion of the processing. An erasing means for erasing the menu and the connection destination address is provided.
【0023】25は特定端末2側にて処理するプログラ
ムを格納するプログラムメモリである。Reference numeral 25 is a program memory for storing a program to be processed on the specific terminal 2 side.
【0024】セキュリティサーバ3は、特定端末2ごと
に発行されるセキュリティ情報の他、各個人ごとに割当
られる情報システム4に関連する情報,例えば接続メニ
ュー、接続先アドレス等を記憶する接続先情報テーブル
31、特定端末2から送信されてくるセキュリティ情報
および許可情報を送受信する送受信手段32、特定端末
2から送信されてくるセキュリティ情報に基づき、接続
先情報テーブル31の予め設定されている判定用セキュ
リティ情報を参照し、特定端末2である各個人ごとに何
れの情報処理システムを使用できるかのクラス分けに従
って正当な使用権限を有する特定端末2である否かを認
証し、使用権限有りと認証されたとき、各端末ごとの接
続メニュー、接続先アドレス等の許可情報を要求元特定
端末2に送信し、許可情報格納手段23に格納するセキ
ュリティ許可手段33およびプログラムメモリ34によ
って構成されている。The security server 3 is a connection destination information table that stores security information issued for each specific terminal 2 as well as information related to the information system 4 assigned to each individual, such as a connection menu and connection destination address. 31, security means 32 for transmitting and receiving security information and permission information transmitted from the specific terminal 2, security information for determination in the connection destination information table 31, which is preset based on the security information transmitted from the specific terminal 2. Referring to the above, according to the classification of which information processing system can be used for each individual who is the specific terminal 2, it is authenticated whether or not the specific terminal 2 has the proper usage right, and it is authenticated that the specific terminal 2 has the usage right. At this time, permission information such as a connection menu for each terminal and a connection destination address is transmitted to the request source specific terminal 2, It is constituted by security permissions means 33 and program memory 34 stores the variable information storage means 23.
【0025】次に、以上のようなセキュリティシステム
の動作について図2および図3を参照して説明する。Next, the operation of the above security system will be described with reference to FIGS.
【0026】(1) 特定端末側の処理について(図2
参照)。(1) Processing on the side of a specific terminal (see FIG. 2)
reference).
【0027】特定端末2は、動作の開始に伴い、プログ
ラムメモリ34に格納されるプログラムに基づき、以下
のような一連の処理を実行する。The specific terminal 2 executes the following series of processing based on the program stored in the program memory 34 when the operation is started.
【0028】すなわち、特定端末2は、セキュリティカ
ード21が特定端末2の所定挿入部に装填されたか否か
を判断する(S1)。ここで、セキュリティカード21
が装填されたと判断したとき、セキュリティ情報発生手
段22に保持されている個人識別データまたはパスワー
ド等のセキュリティ情報をセキュリティサーバ3に送信
する(S2)。That is, the specific terminal 2 determines whether or not the security card 21 is loaded in the predetermined insertion portion of the specific terminal 2 (S1). Here, the security card 21
When it is determined that the password has been loaded, the security information such as the personal identification data or the password held in the security information generating means 22 is transmitted to the security server 3 (S2).
【0029】このセキュリティ情報の送信後、所定周期
ごとに接続メニュー、接続先アドレス等の許可情報有り
かを判断し(S3)、有りの場合には許可情報を許可情
報格納手段23に格納する(S4)。After the transmission of the security information, it is determined whether or not there is permission information such as a connection menu and a connection destination address at predetermined intervals (S3), and if there is permission information, the permission information is stored in the permission information storage means 23 ( S4).
【0030】しかる後、許可情報格納手段23に格納さ
れる許可情報のうち、情報システムと関連付けられた接
続メニューを読み出して端末表示部(図示せず)に表示
し(S5)、特定ユーザに接続メニューの中から1つの
接続先を選択することを促す(S6)。ここで、選択指
示があると、許可情報格納手段23から選択された1つ
の接続先に対応する接続先アドレスを取出し情報システ
ム4にアクセスする(S7)。Thereafter, of the permission information stored in the permission information storage means 23, the connection menu associated with the information system is read out and displayed on the terminal display section (not shown) (S5) to connect to the specific user. It is urged to select one connection destination from the menu (S6). Here, when there is a selection instruction, a connection destination address corresponding to one connection destination selected from the permission information storage means 23 is fetched and the information system 4 is accessed (S7).
【0031】特定端末2は、情報システム4と接続され
ると、所要とする情報処理を実行し(S8)、その処理
終了後、引き続き、接続メニューを表示し、次の情報シ
ステム4を選択するかを繰り返し(S9)、次の接続先
を選択しない場合には処理終了と判断し、許可情報格納
手段23に格納されている許可情報情を消去する(S1
0)。When the specific terminal 2 is connected to the information system 4, it executes the required information processing (S8), and after the processing is completed, the connection menu is continuously displayed and the next information system 4 is selected. This is repeated (S9), and if the next connection destination is not selected, it is determined that the process is complete, and the permission information information stored in the permission information storage means 23 is erased (S1).
0).
【0032】(2) セキュリティサーバ3側の処理に
ついて(図3参照)。(2) Processing on the security server 3 side (see FIG. 3).
【0033】セキュリティサーバ3においては、動作の
開始に伴い、プログラムメモリ34に格納されるプログ
ラムに基づいて以下の一連の処理を実行する。At the start of operation, the security server 3 executes the following series of processing based on the program stored in the program memory 34.
【0034】セキュリティサーバ3は、所定の周期ごと
に端末2側からセキュリティ情報が受信されたか否かを
判断し(S11)、セキュリティ情報受信有りと判断さ
れると、当該セキュリティ情報を適宜なメモリに一時格
納した後(S12)、認証処理を実行する(S13)。The security server 3 judges whether or not the security information is received from the terminal 2 side every predetermined period (S11), and when it is judged that the security information is received, the security information is stored in an appropriate memory. After the temporary storage (S12), the authentication process is executed (S13).
【0035】この認証処理は、特定端末2からのセキュ
リティ情報に基づき、接続先情報テーブル31のセキュ
リティ情報を参照し、特定端末2である各個人ごとに何
れの情報処理システムを使用できるかのクラス分けに従
って正当な使用権限を有する特定端末2である否かを認
証し(S14)、使用権限有りと認証されたとき、各個
人ごとの接続メニュー、接続先アドレス等の許可情報を
要求元特定端末2に送信し(S15)、許可情報格納手
段23に格納する。This authentication processing refers to the security information of the connection destination information table 31 based on the security information from the specific terminal 2 and classifies which information processing system can be used for each individual who is the specific terminal 2. According to the division, it is authenticated whether or not the specific terminal 2 has the proper use authority (S14), and when it is authenticated that the use authority is available, the connection menu for each individual, the permission information such as the connection destination address, etc. 2 (S15) and stored in the permission information storage means 23.
【0036】認証処理結果、正当な端末2からのセキュ
リティ情報でないとか、或いはセキュリティ情報が正常
であるが、当該個人に接続メニュー、接続先アドレス等
が割当てられていない場合、許可依頼を棄却する情報を
要求元特定端末2に送信する(S16)従って、以上の
ような実施の形態によれば、特定端末2に装填されるセ
キュリティカード21に少なくともセキュリティ情報発
生手段22および許可情報格納手段23、さらに接続先
表示選択手段24を設け、ネットワーク1に接続される
セキュリティサーバ3側には認証処理を実行するセキュ
リティ許可手段33を設け、このセキュリティ許可手段
33が特定端末2から送られてくるセキュリティ情報発
生手段22に保持されるセキュリティ情報と接続先情報
テーブル31に格納される各端末ごとに発行された判定
用セキュリティ情報とに基づいて、正当な使用権限を有
する特定端末2(個人)か否かを判断し、正当な特定端
末2であれば、各情報システム4に関するごとに割当て
られた接続メニュー、接続先アドレス等の許可情報を要
求元特定端末2に送信し、許可情報格納手段23に格納
するようにしたので、セキュリティ認証のプロセスと使
用したいシステムへの接続先を取得するプロセスとが一
連の処理の中で行うことから、セキュリティカード21
が無い限り、またセキュリティカード21にセキュリテ
ィ情報が存在しない限り、さらにセキュリティサーバ3
の接続先情報テーブル31にセキュリティ情報が発行元
として記憶されていない限り、正当な使用権限を有する
特定端末2と認証しないので、高いセキュリティを確保
することができる。As a result of the authentication process, if the security information is not valid from the terminal 2, or if the security information is normal, but the connection menu, connection destination address, etc. are not assigned to the individual, information for rejecting the permission request is given. Is transmitted to the request source specific terminal 2 (S16). Therefore, according to the above-described embodiment, at least the security information generating means 22 and the permission information storing means 23 in the security card 21 loaded in the specific terminal 2, A connection destination display selection means 24 is provided, and a security permission means 33 for executing an authentication process is provided on the side of the security server 3 connected to the network 1. This security permission means 33 generates security information sent from the specific terminal 2. Stored in the security information held in the means 22 and the connection destination information table 31 Based on the judgment security information issued for each terminal, it is judged whether or not the terminal is a specific terminal 2 (individual) having a legitimate usage right. Since permission information such as a connection menu and connection destination address assigned for each is transmitted to the request source specific terminal 2 and stored in the permission information storage means 23, the process of security authentication and connection to the system to be used Since the process of acquiring the destination is performed in a series of processing, the security card 21
Unless there is security information on the security card 21, the security server 3
Unless the security information is stored in the connection destination information table 31 as the issuer, high security can be ensured because the specific terminal 2 having the proper use authority is not authenticated.
【0037】また、セキュリティサーバ3から特定端末
2に接続メニュー、接続先アドレス等の許可情報が送信
されるが、特定端末2の表示部には接続メニューしか表
示されないので、ユーザから接続先アドレスを隠蔽する
ことができ、また外部から情報システム4への直接的な
侵入・攻撃を回避することができる。Although the security server 3 transmits permission information such as a connection menu and a connection destination address to the specific terminal 2, only the connection menu is displayed on the display unit of the specific terminal 2, so that the user can input the connection destination address. It can be concealed, and direct invasion / attack to the information system 4 from the outside can be avoided.
【0038】さらに、セキュリティサーバ3のセキュリ
ティ許可手段33が各特定端末2ごとに割り振りされた
情報システムの接続メニューと接続先アドレスを許可依
頼要請があったときに受け取るようにしたので、各特定
端末2に応じたシステム使用権限のコントロールやシス
テム接続先アドレスの変更管理を効率的・集中的に行う
ことができ、運用管理工数を大幅に低減化することが可
能である。Further, since the security permitting means 33 of the security server 3 receives the connection menu and connection destination address of the information system assigned to each specific terminal 2 when a permission request is made, each specific terminal is received. It is possible to efficiently and centrally control the system usage authority and change the system connection destination address according to 2, and it is possible to significantly reduce the operation management man-hours.
【0039】その他、本願発明は、上記実施の形態に限
定されるものでなく、その要旨を逸脱しない範囲で種々
変形して実施できる。また、各実施の形態は可能な限り
組み合わせて実施することが可能であり、その場合には
組み合わせによる効果が得られる。さらに、上記各実施
の形態には種々の上位,下位段階の発明が含まれてお
り、開示された複数の構成要素の適宜な組み合わせによ
り種々の発明が抽出され得るものである。例えば問題点
を解決するための手段に記載される全構成要件から幾つ
かの構成要件が省略されうることで発明が抽出された場
合には、その抽出された発明を実施する場合には省略部
分が周知慣用技術で適宜補われるものである。In addition, the present invention is not limited to the above-described embodiment, and various modifications can be carried out without departing from the scope of the invention. Further, the respective embodiments can be implemented in combination as much as possible, and in that case, the effect of the combination can be obtained. Furthermore, each of the above-described embodiments includes various inventions of higher and lower stages, and various inventions can be extracted by appropriately combining a plurality of disclosed constituent elements. For example, when the invention is extracted by omitting some of the constituent elements from all the constituent elements described in the means for solving the problem, the omitted part when implementing the extracted invention. Are appropriately supplemented by well-known techniques.
【0040】[0040]
【発明の効果】以上説明したように本発明によれば、外
部から侵入・攻撃を受け難い高いセキュリティを確保す
るセキュリティシステム、セキュリティサーバ及びプロ
グラムを提供できる。As described above, according to the present invention, it is possible to provide a security system, a security server, and a program that ensure a high level of security against external intrusions and attacks.
【0041】また、本発明によるセキュリティサーバに
よれば、各ユーザごとにきめ細かい運用管理を実現する
ことができる。Further, according to the security server of the present invention, fine operation management can be realized for each user.
【図1】 本発明に係わるセキュリティシステムの一実
施の形態を示す系統構成図。FIG. 1 is a system configuration diagram showing an embodiment of a security system according to the present invention.
【図2】 図1に示す特定端末の一連の処理動作を説明
するフローチャート。FIG. 2 is a flowchart illustrating a series of processing operations of the specific terminal shown in FIG.
【図3】 図1に示すセキュリティサーバの一連の処理
動作を説明するフローチャート。FIG. 3 is a flowchart illustrating a series of processing operations of the security server shown in FIG.
1…ネットワーク 2…特定端末 3…セキュリティサーバ 4…情報システム 21…セキュリティカード 22…セキュリティ発生手段 23…許可情報格納手段 24…接続先表示選択手段 25,34…プログラムメモリ 31…接続先情報テーブル 33…セキュリティ許可手段 1 ... Network 2 ... Specific terminal 3 ... Security server 4 ... Information system 21 ... Security card 22. Security generation means 23 ... Permission information storage means 24 ... Connection destination display selection means 25, 34 ... Program memory 31 ... Connection destination information table 33 ... Security permission means
Claims (5)
と、セキュリティサーバと、少なくとも1台の情報シス
テムとがネットワークに接続され、 前記セキュリティカードは、セキュリティ情報を送信す
る手段、このセキュリティ情報の送信のもとに前記セキ
ュリティサーバから送信されてくる前記情報システムに
関する接続メニュー、接続先アドレスを格納する手段及
び所要の情報システムを選択させるために前記接続メニ
ューを表示する手段が設けられ、 前記セキュリティサーバは、前記各端末ごとに発行され
る判定用セキュリティ情報の他、接続メニュー、接続先
アドレスが記憶され、前記端末からのセキュリティ情報
に基づき前記判定用セキュリティ情報を参照し、正当な
使用権限を有すると認証された場合に前記接続メニュ
ー、接続先アドレスを含む許可情報を前記端末に送信す
る手段を設けたことを特徴とするセキュリティシステ
ム。1. A terminal in which a security card is loaded, a security server, and at least one information system are connected to a network, and the security card is a means for transmitting security information and a means for transmitting this security information. And a connection menu relating to the information system transmitted from the security server, means for storing a connection destination address, and means for displaying the connection menu for selecting a required information system are provided, and the security server is In addition to the judgment security information issued for each terminal, a connection menu and a connection destination address are stored, and the judgment security information is referred to based on the security information from the terminal, and it is authenticated that the user has an authorized use right. Connection menu, if connected Security system characterized in that a means for transmitting authorization information including the address to the terminal.
において、 前記端末自体または前記セキュリティカードは、表示さ
れた接続メニューに基づいて選択指示を受けた場合、前
記選択された接続メニューに対応する前記接続先アドレ
スを用いて前記所要の情報システムにアクセスする手段
と、このアクセスにより接続される前記情報システムと
の間で所要とする処理を実行し、その実行終了後に前記
セキュリティカードに格納される接続メニュー、接続先
アドレスを消去する手段とを設けたことを特徴とするセ
キュリティシステム。2. The security system according to claim 1, wherein, when the terminal itself or the security card receives a selection instruction based on a displayed connection menu, the connection corresponding to the selected connection menu. A connection menu stored in the security card after executing required processing between the means for accessing the required information system using the destination address and the information system connected by this access. , A security system provided with means for erasing a connection destination address.
よび少なくとも1台の情報システムが設置されたネット
ワークに接続されるセキュリティサーバであって、 前記各端末ごとに発行される判定用セキュリティ情報の
他、情報システムに関する接続メニュー、接続先アドレ
スを記憶する記憶手段と、前記端末から送信されてくる
セキュリティ情報に基づき前記判定用セキュリティ情報
を参照し、正当な使用権限を有するか否かを認証する認
証処理手段と、正当な使用権限を有すると認証された場
合に前記接続メニュー、接続先アドレスを含む許可情報
を前記端末に送信する手段とを備えたことを特徴とする
セキュリティサーバ。3. A security server connected to a network in which a security card is loaded and at least one information system is installed, the security server including a determination security information issued for each terminal, and information. A storage unit that stores a connection menu and a connection destination address related to the system, and an authentication processing unit that authenticates whether or not the user has a proper use authority by referring to the determination security information based on the security information transmitted from the terminal. And a means for transmitting permission information including the connection menu and a connection destination address to the terminal when it is authenticated that the terminal has a proper use right.
ークに設置されるセキュリティサーバからの許可情報に
基づいて当該ネットワーク上の少なくとも1台の制御シ
ステムを使用する権限を得るユーザ側コンピュータに、 前記セキュリティ情報を読出し送信する機能と、このセ
キュリティ情報の送信後、セキュリティサーバから送信
されてくる接続メニュー、接続先アドレスを受信し格納
する許可情報格納機能と、この格納された接続メニュ
ー、接続先アドレスのうち、接続メニューを表示し、所
要とする情報システムの選択を促す表示選択機能と、外
部からの選択指示のもとに選択された接続メニューに対
応する接続先アドレスを用いて前記所要の情報システム
をアクセスする機能と、このアクセスにより接続された
前記所要の情報システムを使用し、その終了後に前記格
納された接続メニュー、接続先アドレスを消去する機能
を実現させることを特徴とする前記ユーザ側コンピュー
タ読取り可能なプログラム。4. The security information is stored in a user-side computer that stores the security information and is authorized to use at least one control system on the network based on permission information from a security server installed on the network. The function to read and send, the connection menu sent from the security server after sending this security information, the permission information storage function to receive and store the connection destination address, and the stored connection menu and connection destination address Display the connection menu and access the required information system using the display selection function that prompts you to select the required information system and the connection destination address that corresponds to the connection menu selected under the selection instruction from the outside. Function and the required information system connected by this access. Using the beam, the stored connected menu after its termination, the user side computer readable program for causing to realize the function of erasing the destination address.
ュリティ情報の他、接続メニュー、接続先アドレスが記
憶され、ネットワーク上に設置される端末から送信され
てくるセキュリティ情報に基づいて認証処理するセキュ
リティサーバ側コンピュータに、 前記端末から送信されるセキュリティ情報を受信する機
能と、この受信されたセキュリティ情報に基づいて前記
判定用セキュリティ情報を参照し、正当な使用権限を有
するか否かを判断する認証処理機能と、この認証処理機
能により正当な使用権限を有すると判断された場合、前
記ネットワーク上に設置される情報システムに関する接
続メニュー、接続先アドレスを送信する機能とを実現さ
せることを特徴とする前記セキュリティサーバ側コンピ
ュータ読取り可能なプログラム。5. In addition to the determination security information issued for each terminal, a connection menu and a connection destination address are stored, and authentication processing is performed based on the security information transmitted from the terminal installed on the network. A function of receiving security information transmitted from the terminal to the security server side computer, and referring to the determination security information based on the received security information, determines whether or not the user has an authorized use right. An authentication processing function and a function of transmitting a connection menu and a connection destination address related to an information system installed on the network when it is determined that the user has a proper use right by the authentication processing function. The computer program readable by the security server.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002064206A JP2003263418A (en) | 2002-03-08 | 2002-03-08 | Security system, security server and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002064206A JP2003263418A (en) | 2002-03-08 | 2002-03-08 | Security system, security server and program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003263418A true JP2003263418A (en) | 2003-09-19 |
Family
ID=29197111
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002064206A Pending JP2003263418A (en) | 2002-03-08 | 2002-03-08 | Security system, security server and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003263418A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008090494A (en) * | 2006-09-29 | 2008-04-17 | Hitachi Ltd | Environment conversion system, terminal equipment, information processor, management server and portable storage medium |
-
2002
- 2002-03-08 JP JP2002064206A patent/JP2003263418A/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008090494A (en) * | 2006-09-29 | 2008-04-17 | Hitachi Ltd | Environment conversion system, terminal equipment, information processor, management server and portable storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3787226B1 (en) | A multi-user strong authentication token | |
| CA2968051C (en) | Systems and methods for authentication using multiple devices | |
| US7899187B2 (en) | Domain-based digital-rights management system with easy and secure device enrollment | |
| EP2071883B1 (en) | Apparatus, method, program and recording medium for protecting data in a wireless communication terminal | |
| US7174458B2 (en) | Method of and apparatus for authenticating client terminal by making use of port access | |
| US20190026456A1 (en) | Methods and Apparatus for Authentication of Joint Account Login | |
| JP2004185623A (en) | Method and system for authenticating user associated with sub-location in network location | |
| CN106161348B (en) | Single sign-on method, system and terminal | |
| JP2005196776A (en) | Safe data communication method and its system between communication terminal and communication equipment | |
| CN101355556A (en) | Authentication information processing device, authentication information processing method, storage medium, and data signal | |
| CN110838195A (en) | Method for authorizing others to unlock | |
| CN110415414A (en) | The unlocking method and device of dynamic puzzle-lock based on both sides' verifying | |
| US20170201528A1 (en) | Method for providing trusted service based on secure area and apparatus using the same | |
| CN109767530A (en) | Smart lock control method, apparatus and system based on block chain | |
| CN110932951B (en) | Intelligent household control method and device | |
| CN105787319A (en) | Iris recognition-based portable terminal and method for same | |
| US8464941B2 (en) | Method and terminal for providing controlled access to a memory card | |
| US9473936B2 (en) | Method and device for protecting privacy information | |
| US9794261B2 (en) | Method and apparatus for controlling access to a server | |
| CN105451225A (en) | An access authentication method and an access authentication device | |
| JP2003263418A (en) | Security system, security server and program | |
| CN114357398A (en) | Terminal access right processing method and device and electronic equipment | |
| CN109617898A (en) | Remote authentication method and device thereof, equipment and storage medium | |
| US20220222997A1 (en) | Electronic access pass | |
| CN109474576B (en) | Information security transmission method and computer terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050308 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080409 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080422 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080826 |