JP2004062241A - Controller and method for controlling user access right - Google Patents

Controller and method for controlling user access right Download PDF

Info

Publication number
JP2004062241A
JP2004062241A JP2002215674A JP2002215674A JP2004062241A JP 2004062241 A JP2004062241 A JP 2004062241A JP 2002215674 A JP2002215674 A JP 2002215674A JP 2002215674 A JP2002215674 A JP 2002215674A JP 2004062241 A JP2004062241 A JP 2004062241A
Authority
JP
Japan
Prior art keywords
user
information
status
logged
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002215674A
Other languages
Japanese (ja)
Other versions
JP2004062241A5 (en
JP4093811B2 (en
Inventor
Kinji Kawamura
川村 錦二
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2002215674A priority Critical patent/JP4093811B2/en
Publication of JP2004062241A publication Critical patent/JP2004062241A/en
Publication of JP2004062241A5 publication Critical patent/JP2004062241A5/ja
Application granted granted Critical
Publication of JP4093811B2 publication Critical patent/JP4093811B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To dynamically change an access right in response to various conditions, even when the same user ID is used. <P>SOLUTION: At least the user ID and a password of a log-in user is received, information about a using condition of a user terminal used by the detected log-in user is received from the user terminal, whether the log-in user is a registered user or not is referred based the user ID and the password, a duty section is specified to specify a usable application, a processible condition pattern for specifying the processability is acquired in every conditional element for expressing the using condition, and information as to the using condition of the user terminal used by the log-in user is matched with the processible condition pattern to settle the presence of the access right to the application or the like. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、ユーザがネットワーク環境を介して接続されているどの端末からログインしても、アプリケーション等に対するアクセス権を適切に制御することができるユーザアクセス権制御装置及び方法に関する。
【0002】
【従来の技術】
インターネットを初めとする通信環境が急速に整備されるに伴って、ネットワークを通じて一台のコンピュータに複数のユーザが容易にアクセスすることができるようになってきた。かかる状況においては、セキュリティポリシーの一貫した強固な情報セキュリティを確立することが必要不可欠となる。
【0003】
特に、企業にとっては、情報へのアクセスの利便性を図ることと、相反する条件である情報のセキュリティの確保とを、高度のバランスを保ちながら実現することが経営上重要な課題の一つとなっており、ユーザにおける使用可能なアプリケーション等へのアクセス権管理の重要性はますます高まっているものと考えられる。
【0004】
従来は、かかる要望に応えるために、ユーザIDごとに権限ファイルを設定し、ユーザがログインするごとにセキュリティサーバに保存されている権限ファイルを照会することによって、当該ユーザが実行することができるアプリケーションや閲覧可能なファイル等を限定するように工夫されている。
【0005】
【発明が解決しようとする課題】
しかし、上述したような従来のアクセス権の制御方法では、アクセス権がユーザIDに依存していることから、ユーザID自体が外部に漏洩した場合においては、セキュリティは全く無意味になってしまうという問題点があった。これは、社内からのアクセスに限定すること、あるいは使用可能端末を特定することによって、ある程度まで被害の発生を限定することができる。また、一般に外部からアクセスに対して二重・三重の使用者確認を行ったり、情報へのアクセス経路に応じて動的にアクセス権を変更することによっても、セキュリティを効果的に確保することが可能となると考えられる。
【0006】
また、企業において人事異動や組織の改編等が行われると、権限ファイルを個人ごとに再作成する必要があることから、更新作業が非常に繁雑となり、特に人事異動や組織の改編が頻繁に行われる企業においては、権限ファイルのメンテナンスに相当の時間を要することから、実際上、詳細な権限設定を行うこと自体が困難であるという問題点もあった。
【0007】
本発明は、上記問題点を解決するために、同一のユーザIDを使用する場合であっても、様々な条件に応じてアクセス権を動的に変更することができるユーザアクセス権制御装置及び方法を提供することを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するために本発明にかかるユーザアクセス権制御装置は、ログインしたユーザの少なくともユーザIDとパスワード情報を受信するログイン情報受信部と、自動的に検出されたログインしたユーザが使用するユーザ端末の使用状況に関する情報を、ユーザ端末から受信する使用状況情報受信部と、ログインしたユーザが登録済みユーザであるか否かをユーザIDとパスワード情報に基づいて参照するユーザ情報参照部と、ユーザIDとパスワード情報に基づいて職務区分を特定し、職務区分に基づいて使用可能なアプリケーションを特定するアプリケーション情報取得部と、職務区分に基づいて、使用状況を表す状況要素ごとに処理可能か否かを特定する処理可能状況パターンを取得する処理可能状況パターン取得部と、ログインしたユーザが使用するユーザ端末の使用状況に関する情報と、処理可能状況パターンとをマッチングすることによって、アプリケーション及びアプリケーション関連ファイルへのアクセス権の有無を確定するアクセス権確定部とを含むことを特徴とする。
【0009】
かかる構成により、同一のユーザであっても、その使用状況に応じて動的にアクセス権を変更することができ、セキュリティを効果的に確保することが可能となる。
【0010】
また、人事異動や組織の改編等が行われた場合であっても、権限ファイルを個人ごとに再作成する必要がなく、最小限の工数でアクセス権の更新が可能であり、セキュリティの確保を容易に行うことが可能となる。
【0011】
また、本発明にかかるユーザアクセス権制御装置は、アクセス権確定部において、職務区分ごとに特定されている処理可能状況パターンによって処理可能であると判断されている項目が、ログインしたユーザが使用するユーザ端末の使用状況に関する情報に基づいて定められた条件下においてすべて処理可能である場合に、職務区分に定められているアプリケーションが使用可能であると判断することが好ましい。ログインしたユーザの使用状況をアクセス権の確定に反映させることができるからである。
【0012】
また、本発明は、上記のようなユーザアクセス権制御装置の機能をコンピュータの処理ステップとして実行するソフトウェアを特徴とするものであり、具体的には、ログインしたユーザの少なくともユーザIDとパスワード情報を受信する工程と、自動的に検出されたログインしたユーザが使用するユーザ端末の使用状況に関する情報を、ユーザ端末から受信する工程と、ログインしたユーザが登録済みユーザであるか否かをユーザIDとパスワード情報に基づいて参照する工程と、ユーザIDとパスワード情報に基づいて職務区分を特定し、職務区分に基づいて使用可能なアプリケーションを特定する工程と、職務区分に基づいて、使用状況を表す状況要素ごとに処理可能か否かを特定する処理可能状況パターンを取得する工程と、ログインしたユーザが使用するユーザ端末の使用状況に関する情報と、処理可能状況パターンとをマッチングすることによって、アプリケーション及びアプリケーション関連ファイルへのアクセス権の有無を確定する工程とを含むユーザアクセス権制御方法並びにそのような工程を具現化するコンピュータ実行可能なプログラムであることを特徴とする。
【0013】
かかる構成により、コンピュータ上へ当該プログラムをロードさせ実行することで、同一のユーザであっても、その使用状況に応じて動的にアクセス権を変更することができ、セキュリティを効果的に確保することができるとともに、人事異動や組織の改編等が行われた場合であっても、権限ファイルを個人ごとに再作成する必要がなく、最小限の工数でアクセス権の更新が可能であり、セキュリティの確保を容易に行うことができるユーザアクセス権制御装置を実現することが可能となる。
【0014】
【発明の実施の形態】
以下、本発明の実施の形態にかかるユーザアクセス権制御装置について、図面を参照しながら説明する。図1は本発明の実施の形態にかかるユーザアクセス権制御装置の構成図である。
【0015】
図1において、ユーザアクセス権制御装置1は、ユーザ端末においてユーザがログインした時点で、ログイン情報と、使用されている端末の位置や使用状況に関する情報等を、それぞれログイン情報受信部11及び使用状況情報受信部12で受信する。
【0016】
ログイン情報受信部11で受信するログイン情報としては、少なくともユーザが入力したユーザIDと対応するパスワード情報が考えられる。これらの情報に基づいて、ユーザ情報参照部13において当該ユーザが使用者として登録されているか否かについて記憶しているユーザ情報記憶部14を参照することになる。受信したユーザID及び対応するパスワード情報がユーザ情報記憶部14に記憶されていない場合には、当該ユーザは使用権限のないユーザであると判断され、以下の処理を実行することなく当該ユーザによるアクセスを拒絶することになる。
【0017】
また、使用状況情報受信部12で受信する使用されている端末の位置や使用状況に関する情報としては、例えば使用端末の設置場所や利用時間帯、使用端末の機種名等、使用可能なアプリケーションに対して何らかの制約を付与することが可能な情報が考えられる。これらの情報をAND条件あるいはOR条件で結びつけることによって、より使用状況に応じたアプリケーションに対するアクセス権を設定することができる。
【0018】
そこで、本実施の形態にかかるユーザアクセス権制御装置は、使用されている端末の位置等に代表されるユーザの使用状況に関する情報として「状況要素」という概念を導入し、状況要素の論理結合を制御することによって、使用状況に応じたアプリケーションあるいあh当該アプリケーションで使用されているファイル等に対するアクセス権を制御する点に特徴を有している。
【0019】
具体的には、まずユーザ情報記憶部14において、ユーザIDとパスワードを管理するのみならず、ユーザIDごとに各ユーザが担当する職務区分についても登録しておく。例えば図2に示すように、ユーザ情報記憶部14では、ユーザがどのような職務を担当しているのかを職務区分として登録することになる。なお、一ユーザについて職務区分は必ずしも一つである必要はなく、職務の分類方法にも依るが、一ユーザが複数の職務区分を保有するものであっても良い。
【0020】
そして、アプリケーション情報取得部15において、各職務区分別に、アプリケーションとしてどのような処理を行うことができるのか、使用可能なアプリケーション情報を取得する。例えば図3に、本発明の実施の形態にかかるユーザアクセス権制御装置におけるアプリケーション情報記憶部16のデータ構成の例示図を示す。なお、図3においてはアプリケーションについて説明しているが、アプリケーション情報記憶部16への記憶対象としては、当該アプリケーションにおいて使用されるファイル等も含まれる。
【0021】
図3においては、○印が使用できるアプリケーションを示しており、×印が使用できないアプリケーションを示している。このように、職務区分ごとに使用できるアプリケーションを設定しておくことで、ユーザが人事異動等によって職制を変更された場合であっても、職務区分に応じて使用できるアプリケーションが特定でき、人事異動があってもアクセス権の設定を更新するための工数を大幅に軽減することが可能となる。
【0022】
次に、処理可能状況パターン取得部17において、状況要素の論理結合パターンを記憶している処理可能状況パターン記憶部18を照会し、職務区分別に各々の状況要素に対してどの処理可能状況パターンが適用可能であるのかを抽出する。
【0023】
さらに、アクセス権確定部19において、使用状況情報受信部12で受信した現在の使用状況に関する情報と、ユーザIDから抽出できる処理可能な状況パターンとを照合し、アクセス可能なアプリケーションを確定する。
【0024】
具体的には、以下のような処理となる。まず図4に示すように、処理可能状況パターンを状況要素ごとに特定しておく。すなわち、図4において○印は処理可能である、すなわちアクセス権を有することを示しており、空欄は処理することができない、すなわちアクセス権を有さないことを示している。そして、各状況要素に含まれている構成要素ごとに、処理可能か否かを定めることになる。
【0025】
例えば、状況要素「マシンの設置場所」について、「フロアA」、「マシン室」、「フロアB」、「役員室」の4つの構成要素が定義されている場合を考えると、(2−1)個の処理可能状況パターンを構成することができる。すなわち、n個の構成要素がある場合、当該状況要素における処理可能状況パターンは(2−1)個生成されることになる。
【0026】
そして、各パターンにパターン番号を割り付け、処理可能状況パターン記憶部18においては、図5に示すように、各職務区分について状況要素ごとに処理可能パターン番号を記憶しておくことになる。
【0027】
さらに、アクセス権確定部19においては、使用状況情報受信部12で受信した現在の使用状況に関する情報と、抽出された処理可能状況パターンとを照合し、アクセス可能なアプリケーションを確定する。すなわち、図6に示すように、職務区分ごと選択されている処理可能状況パターンと現在の使用状況に関する情報とをマッチングして、現在の使用状況においてアクセス権を有するか否かを判定することになる。
【0028】
例えば、ユーザIDが‘X0001’であるユーザAが「夜間にマシン室のマシンa」からログインを試みた場合、図6における各構成要素「マシン室」、「夜間」、「マシンa」の処理可能状況と、各々の職務区分における処理可能状況パターンとをマッチングする。まず状況要素「マシンの設置場所」についての処理可能状況パターンは、図5に示すように職務区分ごとに、1、4、2である。このうち、構成要素「マシン室」に関しては処理可能状況パターンが‘2’の場合、すなわち職務区分が「システム管理担当」の場合にのみ使用可能であると判断できる。
【0029】
次に状況要素「マシンの利用時間帯」についての処理可能状況パターンは、図5に示すように職務区分ごとに、1、1、2である。このうち、構成要素「夜間」に関しては処理可能状況パターンが‘2’の場合、すなわち職務区分が「システム管理担当」の場合にのみ使用可能であると判断できる。
【0030】
また状況要素「マシンの機種」についての処理可能状況パターンは、図5に示すように職務区分ごとに、3、5、7である。このうち、構成要素「マシンa」に関しては処理可能状況パターンが‘3’、‘5’、‘7’全ての場合、すなわち職務区分がいずれの場合であっても使用可能であると判断できる。
【0031】
以上のマッチング結果より、現在の使用状況においては、ユーザAの保有職務区分「システム管理担当」のみがアクセス権を有することができ、アプリケーションを実行することができることがわかる。仮に、ユーザIDが‘X0002’であるユーザBがログインした場合においては、ユーザBが職務区分「システム管理担当」を保有していないことから、ユーザBによるアクセスは拒否され、アプリケーションを実行することができないことになる。
【0032】
次に、本発明の実施の形態にかかるユーザアクセス権制御装置を実現するプログラムの処理の流れについて説明する。図7に本発明の実施の形態にかかるユーザアクセス権制御装置を実現するプログラムの処理の流れ図を示す。
【0033】
図7において、まずログインしたユーザのユーザID及びパスワードを受信し(ステップS701)、受信したユーザID及びパスワードに基づいて当該ユーザが登録済みユーザであるか否かを判定する(ステップS702)。
【0034】
ユーザID及びパスワードが一致することによって当該ユーザが登録済みユーザであると判定された場合には(ステップS702:Yes)、当該ログインしたユーザが使用するユーザ端末の使用状況に関する情報を受信し(ステップS703)、ユーザIDに基づいて当該ユーザの職務区分を取得する(ステップS704)。
【0035】
次に、職務区分に基づいて、状況要素ごとに処理可能か否かを定めている処理可能状況パターンを取得する(ステップS705)。
【0036】
そして、受信した当該ログインしたユーザが使用するユーザ端末の使用状況に関する情報と、取得した処理可能状況パターンとをマッチングすることによって(ステップS706)、使用状況に応じたアプリケーション等に対するアクセス権の有無を判定する(ステップS707)。アクセス権を有すると判定された場合には(ステップS707:Yes)、処理可能なアプリケーションをメニュー表示することによって、ユーザ処理を開始する(ステップS708)。
【0037】
なお、当該ユーザが登録済みユーザではないと判定された場合(ステップS702:No)、及びアクセス権を有すると判定された場合には(ステップS707:No)、当該ユーザによるアクセスは拒絶されることになる(ステップS709)。
【0038】
以上のように本実施の形態によれば、同一のユーザであっても、その使用状況に応じて動的にアクセス権を変更することができ、セキュリティを効果的に確保することが可能となる。
【0039】
また、人事異動や組織の改編等が行われた場合であっても、権限ファイルを個人ごとに再作成する必要がなく、最小限の工数でアクセス権の更新が可能であり、セキュリティの確保を容易に行うことが可能となる。
【0040】
なお、本発明の実施の形態にかかるユーザアクセス権制御装置を実現するプログラムは、図8に示すように、CD−ROM82−1やフレキシブルディスク82−2等の可搬型記録媒体82だけでなく、通信回線の先に備えられた他の記憶装置81や、コンピュータ83のハードディスクやRAM等の記録媒体84のいずれに記憶されるものであっても良く、プログラム実行時には、プログラムはローディングされ、主メモリ上で実行される。
【0041】
また、本発明の実施の形態にかかるユーザアクセス権制御装置により使用される処理可能状況パターンデータ等についても、図8に示すように、CD−ROM82−1やフレキシブルディスク82−2等の可搬型記録媒体82だけでなく、通信回線の先に備えられた他の記憶装置81や、コンピュータ83のハードディスクやRAM等の記録媒体84のいずれに記憶されるものであっても良く、例えば本発明にかかるユーザアクセス権制御装置を利用する際にコンピュータ83により読み取られる。
【0042】
【発明の効果】
以上のように本発明にかかるユーザアクセス権制御装置によれば、同一のユーザであっても、その使用状況に応じて動的にアクセス権を変更することができ、セキュリティを効果的に確保することが可能となる。
【0043】
また、人事異動や組織の改編等が行われた場合であっても、権限ファイルを個人ごとに再作成する必要がなく、最小限の工数でアクセス権の更新が可能であり、セキュリティの確保を容易に行うことが可能となる。
【図面の簡単な説明】
【図1】本発明の実施の形態にかかるユーザアクセス権制御装置の構成図
【図2】本発明の実施の形態にかかるユーザアクセス権制御装置におけるユーザ情報記憶部のデータ構成例示図
【図3】本発明の実施の形態にかかるユーザアクセス権制御装置におけるアプリケーション情報記憶部のデータ構成例示図
【図4】本発明の実施の形態にかかるユーザアクセス権制御装置における処理可能状況パターンの例示図
【図5】本発明の実施の形態にかかるユーザアクセス権制御装置における処理可能状況パターン記憶部におけるデータ構成例示図
【図6】本発明の実施の形態にかかるユーザアクセス権制御装置におけるマッチング処理の説明図
【図7】本発明の実施の形態にかかるユーザアクセス権制御装置における処理の流れ図
【図8】コンピュータ環境の例示図
【符号の説明】
1 ユーザアクセス権制御装置
11 ログイン情報受信部
12 使用状況情報受信部
13 ユーザ情報参照部
14 ユーザ情報記憶部
15 アプリケーション情報取得部
16 アプリケーション情報記憶部
17 処理可能状況パターン取得部
18 処理可能状況パターン記憶部
19 アクセス権確定部
81 回線先の記憶装置
82 CD−ROMやフレキシブルディスク等の可搬型記録媒体
82−1 CD−ROM
82−2 フレキシブルディスク
83 コンピュータ
84 コンピュータ上のRAM/ハードディスク等の記録媒体[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a user access right control device and method capable of appropriately controlling an access right to an application or the like even if a user logs in from any terminal connected via a network environment.
[0002]
[Prior art]
With the rapid development of communication environments including the Internet, a plurality of users can easily access one computer through a network. In such a situation, it is indispensable to establish a strong information security with a consistent security policy.
[0003]
In particular, it is one of the most important management issues for companies to achieve the convenience of access to information and to ensure the security of information, which is a conflicting condition, while maintaining a high level of balance. Therefore, it is considered that the management of the access right to the applications and the like that can be used by the user is more and more important.
[0004]
Conventionally, in order to respond to such a demand, an application executable by the user by setting an authority file for each user ID and referencing the authority file stored in the security server every time the user logs in. And the files that can be viewed are limited.
[0005]
[Problems to be solved by the invention]
However, in the conventional access right control method as described above, since the access right depends on the user ID, if the user ID leaks to the outside, the security becomes completely meaningless. There was a problem. This can limit the occurrence of damage to a certain extent by limiting access from within the company or by specifying usable terminals. In general, security can be effectively secured by performing double / triple user confirmation for access from outside and dynamically changing access rights according to the access route to information. It is considered possible.
[0006]
In addition, when personnel changes or organizational reorganizations are performed in a company, the authority file must be recreated for each individual, which makes updating work very complicated.In particular, personnel changes and organizational reorganizations are performed frequently. In such companies, it takes a considerable amount of time to maintain the authority file, so that it is actually difficult to perform detailed authority setting itself.
[0007]
SUMMARY OF THE INVENTION In order to solve the above problems, the present invention provides a user access right control apparatus and method that can dynamically change an access right according to various conditions even when using the same user ID. The purpose is to provide.
[0008]
[Means for Solving the Problems]
In order to achieve the above object, a user access right control device according to the present invention comprises: a login information receiving unit that receives at least a user ID and password information of a logged-in user; and a user automatically detected by the logged-in user. A usage information receiving unit that receives information on the usage status of the terminal from the user terminal, a user information reference unit that determines whether the logged-in user is a registered user based on the user ID and the password information, An application information acquisition unit that specifies a duty category based on the ID and password information, and specifies an application that can be used based on the duty category, and whether or not it can be processed for each status element that indicates the usage status based on the duty category A processable status pattern obtaining unit for obtaining a processable status pattern for specifying An access right determination unit that determines whether or not the user has an access right to the application and the application-related file by matching information on the usage status of the user terminal used by the user who has used the application and the processable status pattern. And
[0009]
With this configuration, even for the same user, the access right can be dynamically changed according to the usage status, and security can be effectively secured.
[0010]
Also, even when personnel changes or organizational reorganizations are performed, there is no need to recreate the authority file for each individual, and access rights can be updated with a minimum number of man-hours, ensuring security. This can be easily performed.
[0011]
Further, in the user access right control device according to the present invention, in the access right determination unit, the items determined to be processable by the processable status pattern specified for each job category are used by the logged-in user. It is preferable to determine that the application defined in the duty category is usable when all the processes can be performed under the conditions determined based on the information on the usage status of the user terminal. This is because the usage status of the logged-in user can be reflected in the determination of the access right.
[0012]
Further, the present invention is characterized by software that executes the function of the user access right control device as a processing step of a computer as described above. Specifically, at least the user ID and password information of the logged-in user are stored. A step of receiving, from the user terminal, information on the use state of the user terminal used by the automatically logged-in user, and a step of receiving a user ID indicating whether the logged-in user is a registered user. A step of referring to the password information; a step of specifying a duty category based on the user ID and the password information; and a step of specifying an available application based on the duty category. Obtaining a processable status pattern that specifies whether or not the process can be performed for each element; User access right control method including a step of determining the presence or absence of an access right to an application and an application-related file by matching information on the use state of a user terminal used by the user and a processable state pattern, and It is a computer-executable program that implements such a process.
[0013]
With such a configuration, by loading and executing the program on a computer, even the same user can dynamically change the access right according to the usage status, and effectively secure security. In addition, even if personnel changes or organizational changes are made, there is no need to recreate the authority file for each individual, and access rights can be updated with a minimum number of man-hours. It is possible to realize a user access right control device that can easily secure the user access right.
[0014]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, a user access right control device according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a configuration diagram of a user access right control device according to an embodiment of the present invention.
[0015]
In FIG. 1, when a user logs in at a user terminal, a user access right control device 1 transmits login information and information about the location and use status of a terminal being used to a login information receiving unit 11 and a use status, respectively. The information is received by the information receiving unit 12.
[0016]
As the login information received by the login information receiving unit 11, at least password information corresponding to the user ID input by the user can be considered. Based on these pieces of information, the user information reference unit 13 refers to the user information storage unit 14 that stores whether the user is registered as a user. If the received user ID and the corresponding password information are not stored in the user information storage unit 14, the user is determined to be a user who does not have use authority, and the access by the user without executing the following processing is performed. Will be rejected.
[0017]
The information on the position of the terminal being used and the usage status received by the usage status information receiving unit 12 includes, for example, the location of the used terminal, the time of use, the model name of the used terminal, and the like. Information that can provide some kind of restriction. By linking these pieces of information with an AND condition or an OR condition, it is possible to set an access right to the application according to the usage status.
[0018]
Therefore, the user access right control device according to the present embodiment introduces the concept of “situation element” as information on the usage state of the user represented by the position of the terminal being used, etc. The feature is that, by controlling, the access right to the application or the like used in the application depending on the use situation is controlled.
[0019]
Specifically, first, in the user information storage unit 14, not only the user ID and the password are managed, but also the duties classified by each user for each user ID are registered. For example, as shown in FIG. 2, in the user information storage unit 14, what kind of job the user is in charge of is registered as a job category. It should be noted that one user does not necessarily have to have a single job division, and although it depends on the job classification method, one user may have a plurality of job divisions.
[0020]
Then, the application information acquiring unit 15 acquires usable application information as to what kind of processing can be performed as an application for each duty category. For example, FIG. 3 shows an exemplary diagram of a data configuration of the application information storage unit 16 in the user access right control device according to the embodiment of the present invention. Although an application is described in FIG. 3, files to be stored in the application information storage unit 16 include files used in the application.
[0021]
In FIG. 3, a circle indicates an application that can be used, and a cross indicates an application that cannot be used. In this way, by setting applications that can be used for each job category, even if the user has changed the job system due to personnel changes, applications that can be used according to job categories can be specified, and personnel changes can be made. Even if there is, the man-hour for updating the setting of the access right can be greatly reduced.
[0022]
Next, the processable status pattern acquisition unit 17 refers to the processable status pattern storage unit 18 that stores the logical combination pattern of the status elements, and determines which processable status pattern for each status element for each job category. Extract what is applicable.
[0023]
Further, the access right determination unit 19 collates the information on the current usage status received by the usage status information receiving unit 12 with a processable status pattern that can be extracted from the user ID, and determines an accessible application.
[0024]
Specifically, the processing is as follows. First, as shown in FIG. 4, a processable status pattern is specified for each status element. That is, in FIG. 4, a circle indicates that processing is possible, that is, the user has an access right, and a blank indicates that processing is not possible, that is, the user does not have an access right. Then, it is determined whether or not processing is possible for each component included in each status element.
[0025]
For example, the situation element "Site Machine", "floor A", "Machine room", "floor B", considering the case where four components of the "executive room" is defined, (2 4 - 1) One processable situation pattern can be configured. That is, when there are n components, (2 n -1) processable situation patterns in the situation element are generated.
[0026]
Then, a pattern number is allocated to each pattern, and the processable status pattern storage unit 18 stores a processable pattern number for each status element for each job category, as shown in FIG.
[0027]
Further, the access right determination unit 19 collates the information on the current usage status received by the usage status information receiving unit 12 with the extracted processable status pattern, and determines an accessible application. That is, as shown in FIG. 6, by matching the processable status pattern selected for each job category with the information on the current usage status, it is determined whether or not the user has the access right in the current usage status. Become.
[0028]
For example, when the user A whose user ID is “X0001” attempts to log in from “Machine a in the machine room at night”, processing of each of the components “Machine room”, “Night time”, and “Machine a” in FIG. The possible situation is matched with the processable situation pattern in each job category. First, the processable situation patterns for the situation element “machine installation place” are 1, 4, and 2 for each duty category as shown in FIG. Among them, it can be determined that the component “machine room” can be used only when the processable status pattern is “2”, that is, when the job classification is “system administrator”.
[0029]
Next, the processable situation patterns for the situation element “machine use time zone” are 1, 1, and 2 for each duty category as shown in FIG. Among them, it can be determined that the component “night” can be used only when the processable status pattern is “2”, that is, when the job classification is “system administrator”.
[0030]
Further, the processable status patterns for the status element “machine model” are 3, 5, and 7 for each duty category as shown in FIG. Among them, it can be determined that the component “machine a” can be used when the processable situation pattern is all “3”, “5”, and “7”, that is, regardless of the job classification.
[0031]
From the above matching results, it can be seen that, in the current usage status, only the possessed job classification “system administrator” of the user A can have the access right and can execute the application. If the user B whose user ID is “X0002” logs in, since the user B does not have the job classification “system administrator”, the access by the user B is denied and the application is executed. Can not do.
[0032]
Next, a flow of processing of a program for realizing the user access right control device according to the embodiment of the present invention will be described. FIG. 7 shows a flowchart of processing of a program for realizing the user access right control device according to the embodiment of the present invention.
[0033]
7, first, the user ID and password of the logged-in user are received (step S701), and it is determined whether or not the user is a registered user based on the received user ID and password (step S702).
[0034]
When it is determined that the user is a registered user because the user ID and the password match (step S702: Yes), information on the use status of the user terminal used by the logged-in user is received (step S702). S703), and obtains the job classification of the user based on the user ID (step S704).
[0035]
Next, a processable status pattern that determines whether or not the process can be performed for each status element based on the job classification is acquired (step S705).
[0036]
Then, by matching the received information on the usage status of the user terminal used by the logged-in user with the acquired processable status pattern (step S706), the presence or absence of the access right to the application or the like according to the usage status is determined. A determination is made (step S707). If it is determined that the user has the access right (step S707: Yes), the user process is started by displaying a processable application on a menu (step S708).
[0037]
When it is determined that the user is not a registered user (Step S702: No), and when it is determined that the user has the access right (Step S707: No), the access by the user is rejected. (Step S709).
[0038]
As described above, according to the present embodiment, even for the same user, the access right can be dynamically changed according to the usage status, and security can be effectively secured. .
[0039]
Also, even when personnel changes or organizational reorganizations are performed, there is no need to recreate the authority file for each individual, and access rights can be updated with a minimum number of man-hours, ensuring security. This can be easily performed.
[0040]
As shown in FIG. 8, the program for realizing the user access right control device according to the embodiment of the present invention includes not only the portable recording medium 82 such as the CD-ROM 82-1 and the flexible disk 82-2, but also The program may be stored in any of another storage device 81 provided at the end of the communication line or a recording medium 84 such as a hard disk or a RAM of a computer 83. When the program is executed, the program is loaded and the main memory is stored. Run on
[0041]
Further, as shown in FIG. 8, processable status pattern data and the like used by the user access right control device according to the embodiment of the present invention are also portable, such as a CD-ROM 82-1 and a flexible disk 82-2. Not only the recording medium 82 but also any other storage device 81 provided at the end of the communication line or a recording medium 84 such as a hard disk or a RAM of a computer 83 may be used. It is read by the computer 83 when using such a user access right control device.
[0042]
【The invention's effect】
As described above, according to the user access right control device according to the present invention, even for the same user, the access right can be dynamically changed according to the usage status, and security is effectively ensured. It becomes possible.
[0043]
Also, even when personnel changes or organizational reorganizations are performed, there is no need to recreate the authority file for each individual, and access rights can be updated with a minimum number of man-hours, ensuring security. This can be easily performed.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a user access right control device according to an embodiment of the present invention; FIG. 2 is an exemplary data configuration diagram of a user information storage unit in the user access right control device according to the embodiment of the present invention; FIG. 4 is a diagram showing an example of a data structure of an application information storage unit in the user access right control device according to the embodiment of the present invention. FIG. 4 is a view showing an example of a processable status pattern in the user access right control device according to the embodiment of the present invention. FIG. 5 is a diagram illustrating an example of a data configuration in a processable status pattern storage unit in the user access right control device according to the embodiment of the present invention. FIG. 6 is a diagram illustrating a matching process in the user access right control device according to the embodiment of the present invention. FIG. 7 is a flowchart of processing in the user access right control device according to the embodiment of the present invention. Illustration of chromatography data environment [Description of symbols]
1 User Access Right Control Device 11 Login Information Receiving Unit 12 Usage Information Receiving Unit 13 User Information Reference Unit 14 User Information Storage Unit 15 Application Information Acquisition Unit 16 Application Information Storage Unit 17 Processable Status Pattern Acquisition Unit 18 Processable Status Pattern Storage Unit 19 Access Right Determining Unit 81 Line Destination Storage Device 82 Portable Recording Medium 82-1 CD-ROM such as CD-ROM or Flexible Disk
82-2 Flexible disk 83 Computer 84 Recording medium such as RAM / hard disk on computer

Claims (4)

ログインしたユーザの少なくともユーザIDとパスワード情報を受信するログイン情報受信部と、
自動的に検出された前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報を、前記ユーザ端末から受信する使用状況情報受信部と、
ログインしたユーザが登録済みユーザであるか否かを前記ユーザIDとパスワード情報に基づいて参照するユーザ情報参照部と、
前記ユーザIDとパスワード情報に基づいて職務区分を特定し、前記職務区分に基づいて使用可能なアプリケーションを特定するアプリケーション情報取得部と、
前記職務区分に基づいて、使用状況を表す状況要素ごとに処理可能か否かを特定する処理可能状況パターンを取得する処理可能状況パターン取得部と、
前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報と、前記処理可能状況パターンとをマッチングすることによって、前記アプリケーション及び前記アプリケーション関連ファイルへのアクセス権の有無を確定するアクセス権確定部とを含むことを特徴とするユーザアクセス権制御装置。A login information receiving unit that receives at least a user ID and password information of a logged-in user;
A usage status information receiving unit that receives information on the usage status of the user terminal used by the automatically detected logged-in user from the user terminal,
A user information reference unit that refers to whether the logged-in user is a registered user based on the user ID and the password information;
An application information acquisition unit that identifies a duty category based on the user ID and the password information, and identifies an application that can be used based on the duty category;
A processable status pattern acquisition unit that obtains a processable status pattern that specifies whether or not it can be processed for each status element that represents a usage status, based on the job classification,
An access right determination unit that determines whether or not there is access to the application and the application-related file by matching information on the usage status of the user terminal used by the logged-in user with the processable status pattern. A user access right control device characterized by including: 前記アクセス権確定部において、前記職務区分ごとに特定されている前記処理可能状況パターンによって処理可能であると判断されている項目が、前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報に基づいて定められた条件下においてすべて処理可能である場合に、前記職務区分に定められている前記アプリケーションが使用可能であると判断する請求項1に記載のユーザアクセス権制御装置。In the access right determination unit, the items determined to be processable by the processable status pattern specified for each duty category are based on information on the usage status of the user terminal used by the logged-in user. 2. The user access right control device according to claim 1, wherein when all of the applications can be processed under predetermined conditions, it is determined that the application defined in the duty category is usable. ログインしたユーザの少なくともユーザIDとパスワード情報を受信する工程と、
自動的に検出された前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報を、前記ユーザ端末から受信する工程と、
ログインしたユーザが登録済みユーザであるか否かを前記ユーザIDとパスワード情報に基づいて参照する工程と、
前記ユーザIDとパスワード情報に基づいて職務区分を特定し、前記職務区分に基づいて使用可能なアプリケーションを特定する工程と、
前記職務区分に基づいて、使用状況を表す状況要素ごとに処理可能か否かを特定する処理可能状況パターンを取得する工程と、
前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報と、前記処理可能状況パターンとをマッチングすることによって、前記アプリケーション及び前記アプリケーション関連ファイルへのアクセス権の有無を確定する工程とを含むことを特徴とするユーザアクセス権制御方法。Receiving at least the user ID and password information of the logged-in user;
A step of receiving from the user terminal information on the usage status of the user terminal used by the automatically logged-in user,
Referencing whether the logged-in user is a registered user based on the user ID and password information,
Specifying a job category based on the user ID and password information, and specifying an available application based on the job category;
A step of acquiring a processable status pattern that specifies whether or not the process can be performed for each status element representing the usage status, based on the job classification;
Determining the presence or absence of access to the application and the application-related file by matching information on the usage status of the user terminal used by the logged-in user with the processable status pattern. Characteristic user access right control method. ログインしたユーザの少なくともユーザIDとパスワード情報を受信するステップと、
自動的に検出された前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報を、前記ユーザ端末から受信するステップと、
ログインしたユーザが登録済みユーザであるか否かを前記ユーザIDとパスワード情報に基づいて参照するステップと、
前記ユーザIDとパスワード情報に基づいて職務区分を特定し、前記職務区分に基づいて使用可能なアプリケーションを特定するステップと、
前記職務区分に基づいて、使用状況を表す状況要素ごとに処理可能か否かを特定する処理可能状況パターンを取得するステップと、
前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報と、前記処理可能状況パターンとをマッチングすることによって、前記アプリケーション及び前記アプリケーション関連ファイルへのアクセス権の有無を確定するステップとを含むことを特徴とするユーザアクセス権制御方法を具現化するコンピュータ実行可能なプログラム。Receiving at least the user ID and password information of the logged-in user;
Receiving from the user terminal information on the use status of the user terminal used by the automatically logged-in user,
Referencing whether the logged-in user is a registered user based on the user ID and password information;
Identifying a duty category based on the user ID and password information, and identifying an available application based on the duty category;
A step of acquiring a processable status pattern that specifies whether or not the process can be performed for each status element representing the usage status, based on the job classification;
Determining the presence or absence of access to the application and the application-related file by matching information on the usage status of the user terminal used by the logged-in user with the processable status pattern. A computer-executable program that embodies a user access right control method.
JP2002215674A 2002-07-24 2002-07-24 User access right control apparatus and method Expired - Lifetime JP4093811B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002215674A JP4093811B2 (en) 2002-07-24 2002-07-24 User access right control apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002215674A JP4093811B2 (en) 2002-07-24 2002-07-24 User access right control apparatus and method

Publications (3)

Publication Number Publication Date
JP2004062241A true JP2004062241A (en) 2004-02-26
JP2004062241A5 JP2004062241A5 (en) 2005-03-17
JP4093811B2 JP4093811B2 (en) 2008-06-04

Family

ID=31937645

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002215674A Expired - Lifetime JP4093811B2 (en) 2002-07-24 2002-07-24 User access right control apparatus and method

Country Status (1)

Country Link
JP (1) JP4093811B2 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006202009A (en) * 2005-01-20 2006-08-03 Toshiba Corp Medical equipment and access control program
JP2008117316A (en) * 2006-11-07 2008-05-22 Nomura Research Institute Ltd Business information protection device
JP2008117317A (en) * 2006-11-07 2008-05-22 Nomura Research Institute Ltd Business information protection device
JP2008210117A (en) * 2007-02-26 2008-09-11 Mizuho Information & Research Institute Inc Information management system and user information management method
US7461135B2 (en) 2004-10-29 2008-12-02 Hitachi, Ltd. Computer and access control method in a computer
JP2008305253A (en) * 2007-06-08 2008-12-18 Toshiba Tec Corp Information access management device
JP2010205263A (en) * 2009-02-06 2010-09-16 Kanamic Network Co Ltd Nursing care support system and nursing care support program
JP2014119962A (en) * 2012-12-17 2014-06-30 Mitsubishi Electric Corp Information communication system, authentication device, access control method of information communication system, and access control program
US20210150047A1 (en) * 2017-08-24 2021-05-20 Data Republic Pty Ltd Systems and methods to control data access and usage
WO2022149226A1 (en) * 2021-01-07 2022-07-14 三菱電機株式会社 Access determination device, access determination method, and access determination program

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7461135B2 (en) 2004-10-29 2008-12-02 Hitachi, Ltd. Computer and access control method in a computer
US7984133B2 (en) 2004-10-29 2011-07-19 Hitachi, Ltd. Computer and access control method in a computer
JP2006202009A (en) * 2005-01-20 2006-08-03 Toshiba Corp Medical equipment and access control program
JP2008117316A (en) * 2006-11-07 2008-05-22 Nomura Research Institute Ltd Business information protection device
JP2008117317A (en) * 2006-11-07 2008-05-22 Nomura Research Institute Ltd Business information protection device
JP2008210117A (en) * 2007-02-26 2008-09-11 Mizuho Information & Research Institute Inc Information management system and user information management method
JP4617325B2 (en) * 2007-02-26 2011-01-26 みずほ情報総研株式会社 Information management system and user information management method
JP4709181B2 (en) * 2007-06-08 2011-06-22 東芝テック株式会社 Information access management device
JP2008305253A (en) * 2007-06-08 2008-12-18 Toshiba Tec Corp Information access management device
JP4658225B2 (en) * 2009-02-06 2011-03-23 株式会社カナミックネットワーク Care support system and care support program
JP2010205263A (en) * 2009-02-06 2010-09-16 Kanamic Network Co Ltd Nursing care support system and nursing care support program
JP2014119962A (en) * 2012-12-17 2014-06-30 Mitsubishi Electric Corp Information communication system, authentication device, access control method of information communication system, and access control program
US20210150047A1 (en) * 2017-08-24 2021-05-20 Data Republic Pty Ltd Systems and methods to control data access and usage
US11720701B2 (en) * 2017-08-24 2023-08-08 Ixup Ip Pty Ltd Systems and methods to control data access and usage
WO2022149226A1 (en) * 2021-01-07 2022-07-14 三菱電機株式会社 Access determination device, access determination method, and access determination program
JP7229446B1 (en) * 2021-01-07 2023-02-27 三菱電機株式会社 Access determination device, access determination method, and access determination program

Also Published As

Publication number Publication date
JP4093811B2 (en) 2008-06-04

Similar Documents

Publication Publication Date Title
US7380267B2 (en) Policy setting support tool
US8539604B2 (en) Method, system and program product for versioning access control settings
US8255355B2 (en) Adaptive method and system with automatic scanner installation
US6928439B2 (en) Computer system with access control mechanism
EP3133507A1 (en) Context-based data classification
US9767280B2 (en) Information processing apparatus, method of controlling the same, information processing system, and information processing method
JP3670965B2 (en) Client / server system for maintaining application preferences in a hierarchical data structure according to user and user group or terminal and terminal group context
US6718386B1 (en) Methods, system, and article for displaying privilege state data
MXPA06001211A (en) End user data activation.
US20060015499A1 (en) Method, data processing system, and computer program product for sectional access privileges of plain text files
HU220825B1 (en) Method of operating a computer system and the computer system operated by the method, as well as method and apparatus for limiting the number of the copies of a file used by a computer system
JP2011526387A (en) Granting least privilege access for computing processes
JP2016507839A (en) Using free-form metadata for access control
EP1794662B1 (en) A method and apparatus for assigning access control levels in providing access to networked content files
US20090077086A1 (en) Policy-based method for configuring an access control service
JP2004158007A (en) Computer access authorization
JP2004062241A (en) Controller and method for controlling user access right
US20020129041A1 (en) Function/service based automatic import/distribution of data
JP4560531B2 (en) E-mail system
US20070199072A1 (en) Control of application access to system resources
CN117499124A (en) Access control method and device
US6983486B1 (en) Method and apparatus for establishing security scanner attributes in a computer system
CN106796644B (en) Access control system and access control method
JP2006244177A (en) Database device
JP2004054779A (en) Access right management system

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040409

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040409

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070320

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070521

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080304

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110314

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4093811

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110314

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120314

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130314

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140314

Year of fee payment: 6

EXPY Cancellation because of completion of term