JP2004062241A - Controller and method for controlling user access right - Google Patents
Controller and method for controlling user access right Download PDFInfo
- Publication number
- JP2004062241A JP2004062241A JP2002215674A JP2002215674A JP2004062241A JP 2004062241 A JP2004062241 A JP 2004062241A JP 2002215674 A JP2002215674 A JP 2002215674A JP 2002215674 A JP2002215674 A JP 2002215674A JP 2004062241 A JP2004062241 A JP 2004062241A
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- status
- logged
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、ユーザがネットワーク環境を介して接続されているどの端末からログインしても、アプリケーション等に対するアクセス権を適切に制御することができるユーザアクセス権制御装置及び方法に関する。
【0002】
【従来の技術】
インターネットを初めとする通信環境が急速に整備されるに伴って、ネットワークを通じて一台のコンピュータに複数のユーザが容易にアクセスすることができるようになってきた。かかる状況においては、セキュリティポリシーの一貫した強固な情報セキュリティを確立することが必要不可欠となる。
【0003】
特に、企業にとっては、情報へのアクセスの利便性を図ることと、相反する条件である情報のセキュリティの確保とを、高度のバランスを保ちながら実現することが経営上重要な課題の一つとなっており、ユーザにおける使用可能なアプリケーション等へのアクセス権管理の重要性はますます高まっているものと考えられる。
【0004】
従来は、かかる要望に応えるために、ユーザIDごとに権限ファイルを設定し、ユーザがログインするごとにセキュリティサーバに保存されている権限ファイルを照会することによって、当該ユーザが実行することができるアプリケーションや閲覧可能なファイル等を限定するように工夫されている。
【0005】
【発明が解決しようとする課題】
しかし、上述したような従来のアクセス権の制御方法では、アクセス権がユーザIDに依存していることから、ユーザID自体が外部に漏洩した場合においては、セキュリティは全く無意味になってしまうという問題点があった。これは、社内からのアクセスに限定すること、あるいは使用可能端末を特定することによって、ある程度まで被害の発生を限定することができる。また、一般に外部からアクセスに対して二重・三重の使用者確認を行ったり、情報へのアクセス経路に応じて動的にアクセス権を変更することによっても、セキュリティを効果的に確保することが可能となると考えられる。
【0006】
また、企業において人事異動や組織の改編等が行われると、権限ファイルを個人ごとに再作成する必要があることから、更新作業が非常に繁雑となり、特に人事異動や組織の改編が頻繁に行われる企業においては、権限ファイルのメンテナンスに相当の時間を要することから、実際上、詳細な権限設定を行うこと自体が困難であるという問題点もあった。
【0007】
本発明は、上記問題点を解決するために、同一のユーザIDを使用する場合であっても、様々な条件に応じてアクセス権を動的に変更することができるユーザアクセス権制御装置及び方法を提供することを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するために本発明にかかるユーザアクセス権制御装置は、ログインしたユーザの少なくともユーザIDとパスワード情報を受信するログイン情報受信部と、自動的に検出されたログインしたユーザが使用するユーザ端末の使用状況に関する情報を、ユーザ端末から受信する使用状況情報受信部と、ログインしたユーザが登録済みユーザであるか否かをユーザIDとパスワード情報に基づいて参照するユーザ情報参照部と、ユーザIDとパスワード情報に基づいて職務区分を特定し、職務区分に基づいて使用可能なアプリケーションを特定するアプリケーション情報取得部と、職務区分に基づいて、使用状況を表す状況要素ごとに処理可能か否かを特定する処理可能状況パターンを取得する処理可能状況パターン取得部と、ログインしたユーザが使用するユーザ端末の使用状況に関する情報と、処理可能状況パターンとをマッチングすることによって、アプリケーション及びアプリケーション関連ファイルへのアクセス権の有無を確定するアクセス権確定部とを含むことを特徴とする。
【0009】
かかる構成により、同一のユーザであっても、その使用状況に応じて動的にアクセス権を変更することができ、セキュリティを効果的に確保することが可能となる。
【0010】
また、人事異動や組織の改編等が行われた場合であっても、権限ファイルを個人ごとに再作成する必要がなく、最小限の工数でアクセス権の更新が可能であり、セキュリティの確保を容易に行うことが可能となる。
【0011】
また、本発明にかかるユーザアクセス権制御装置は、アクセス権確定部において、職務区分ごとに特定されている処理可能状況パターンによって処理可能であると判断されている項目が、ログインしたユーザが使用するユーザ端末の使用状況に関する情報に基づいて定められた条件下においてすべて処理可能である場合に、職務区分に定められているアプリケーションが使用可能であると判断することが好ましい。ログインしたユーザの使用状況をアクセス権の確定に反映させることができるからである。
【0012】
また、本発明は、上記のようなユーザアクセス権制御装置の機能をコンピュータの処理ステップとして実行するソフトウェアを特徴とするものであり、具体的には、ログインしたユーザの少なくともユーザIDとパスワード情報を受信する工程と、自動的に検出されたログインしたユーザが使用するユーザ端末の使用状況に関する情報を、ユーザ端末から受信する工程と、ログインしたユーザが登録済みユーザであるか否かをユーザIDとパスワード情報に基づいて参照する工程と、ユーザIDとパスワード情報に基づいて職務区分を特定し、職務区分に基づいて使用可能なアプリケーションを特定する工程と、職務区分に基づいて、使用状況を表す状況要素ごとに処理可能か否かを特定する処理可能状況パターンを取得する工程と、ログインしたユーザが使用するユーザ端末の使用状況に関する情報と、処理可能状況パターンとをマッチングすることによって、アプリケーション及びアプリケーション関連ファイルへのアクセス権の有無を確定する工程とを含むユーザアクセス権制御方法並びにそのような工程を具現化するコンピュータ実行可能なプログラムであることを特徴とする。
【0013】
かかる構成により、コンピュータ上へ当該プログラムをロードさせ実行することで、同一のユーザであっても、その使用状況に応じて動的にアクセス権を変更することができ、セキュリティを効果的に確保することができるとともに、人事異動や組織の改編等が行われた場合であっても、権限ファイルを個人ごとに再作成する必要がなく、最小限の工数でアクセス権の更新が可能であり、セキュリティの確保を容易に行うことができるユーザアクセス権制御装置を実現することが可能となる。
【0014】
【発明の実施の形態】
以下、本発明の実施の形態にかかるユーザアクセス権制御装置について、図面を参照しながら説明する。図1は本発明の実施の形態にかかるユーザアクセス権制御装置の構成図である。
【0015】
図1において、ユーザアクセス権制御装置1は、ユーザ端末においてユーザがログインした時点で、ログイン情報と、使用されている端末の位置や使用状況に関する情報等を、それぞれログイン情報受信部11及び使用状況情報受信部12で受信する。
【0016】
ログイン情報受信部11で受信するログイン情報としては、少なくともユーザが入力したユーザIDと対応するパスワード情報が考えられる。これらの情報に基づいて、ユーザ情報参照部13において当該ユーザが使用者として登録されているか否かについて記憶しているユーザ情報記憶部14を参照することになる。受信したユーザID及び対応するパスワード情報がユーザ情報記憶部14に記憶されていない場合には、当該ユーザは使用権限のないユーザであると判断され、以下の処理を実行することなく当該ユーザによるアクセスを拒絶することになる。
【0017】
また、使用状況情報受信部12で受信する使用されている端末の位置や使用状況に関する情報としては、例えば使用端末の設置場所や利用時間帯、使用端末の機種名等、使用可能なアプリケーションに対して何らかの制約を付与することが可能な情報が考えられる。これらの情報をAND条件あるいはOR条件で結びつけることによって、より使用状況に応じたアプリケーションに対するアクセス権を設定することができる。
【0018】
そこで、本実施の形態にかかるユーザアクセス権制御装置は、使用されている端末の位置等に代表されるユーザの使用状況に関する情報として「状況要素」という概念を導入し、状況要素の論理結合を制御することによって、使用状況に応じたアプリケーションあるいあh当該アプリケーションで使用されているファイル等に対するアクセス権を制御する点に特徴を有している。
【0019】
具体的には、まずユーザ情報記憶部14において、ユーザIDとパスワードを管理するのみならず、ユーザIDごとに各ユーザが担当する職務区分についても登録しておく。例えば図2に示すように、ユーザ情報記憶部14では、ユーザがどのような職務を担当しているのかを職務区分として登録することになる。なお、一ユーザについて職務区分は必ずしも一つである必要はなく、職務の分類方法にも依るが、一ユーザが複数の職務区分を保有するものであっても良い。
【0020】
そして、アプリケーション情報取得部15において、各職務区分別に、アプリケーションとしてどのような処理を行うことができるのか、使用可能なアプリケーション情報を取得する。例えば図3に、本発明の実施の形態にかかるユーザアクセス権制御装置におけるアプリケーション情報記憶部16のデータ構成の例示図を示す。なお、図3においてはアプリケーションについて説明しているが、アプリケーション情報記憶部16への記憶対象としては、当該アプリケーションにおいて使用されるファイル等も含まれる。
【0021】
図3においては、○印が使用できるアプリケーションを示しており、×印が使用できないアプリケーションを示している。このように、職務区分ごとに使用できるアプリケーションを設定しておくことで、ユーザが人事異動等によって職制を変更された場合であっても、職務区分に応じて使用できるアプリケーションが特定でき、人事異動があってもアクセス権の設定を更新するための工数を大幅に軽減することが可能となる。
【0022】
次に、処理可能状況パターン取得部17において、状況要素の論理結合パターンを記憶している処理可能状況パターン記憶部18を照会し、職務区分別に各々の状況要素に対してどの処理可能状況パターンが適用可能であるのかを抽出する。
【0023】
さらに、アクセス権確定部19において、使用状況情報受信部12で受信した現在の使用状況に関する情報と、ユーザIDから抽出できる処理可能な状況パターンとを照合し、アクセス可能なアプリケーションを確定する。
【0024】
具体的には、以下のような処理となる。まず図4に示すように、処理可能状況パターンを状況要素ごとに特定しておく。すなわち、図4において○印は処理可能である、すなわちアクセス権を有することを示しており、空欄は処理することができない、すなわちアクセス権を有さないことを示している。そして、各状況要素に含まれている構成要素ごとに、処理可能か否かを定めることになる。
【0025】
例えば、状況要素「マシンの設置場所」について、「フロアA」、「マシン室」、「フロアB」、「役員室」の4つの構成要素が定義されている場合を考えると、(24−1)個の処理可能状況パターンを構成することができる。すなわち、n個の構成要素がある場合、当該状況要素における処理可能状況パターンは(2n−1)個生成されることになる。
【0026】
そして、各パターンにパターン番号を割り付け、処理可能状況パターン記憶部18においては、図5に示すように、各職務区分について状況要素ごとに処理可能パターン番号を記憶しておくことになる。
【0027】
さらに、アクセス権確定部19においては、使用状況情報受信部12で受信した現在の使用状況に関する情報と、抽出された処理可能状況パターンとを照合し、アクセス可能なアプリケーションを確定する。すなわち、図6に示すように、職務区分ごと選択されている処理可能状況パターンと現在の使用状況に関する情報とをマッチングして、現在の使用状況においてアクセス権を有するか否かを判定することになる。
【0028】
例えば、ユーザIDが‘X0001’であるユーザAが「夜間にマシン室のマシンa」からログインを試みた場合、図6における各構成要素「マシン室」、「夜間」、「マシンa」の処理可能状況と、各々の職務区分における処理可能状況パターンとをマッチングする。まず状況要素「マシンの設置場所」についての処理可能状況パターンは、図5に示すように職務区分ごとに、1、4、2である。このうち、構成要素「マシン室」に関しては処理可能状況パターンが‘2’の場合、すなわち職務区分が「システム管理担当」の場合にのみ使用可能であると判断できる。
【0029】
次に状況要素「マシンの利用時間帯」についての処理可能状況パターンは、図5に示すように職務区分ごとに、1、1、2である。このうち、構成要素「夜間」に関しては処理可能状況パターンが‘2’の場合、すなわち職務区分が「システム管理担当」の場合にのみ使用可能であると判断できる。
【0030】
また状況要素「マシンの機種」についての処理可能状況パターンは、図5に示すように職務区分ごとに、3、5、7である。このうち、構成要素「マシンa」に関しては処理可能状況パターンが‘3’、‘5’、‘7’全ての場合、すなわち職務区分がいずれの場合であっても使用可能であると判断できる。
【0031】
以上のマッチング結果より、現在の使用状況においては、ユーザAの保有職務区分「システム管理担当」のみがアクセス権を有することができ、アプリケーションを実行することができることがわかる。仮に、ユーザIDが‘X0002’であるユーザBがログインした場合においては、ユーザBが職務区分「システム管理担当」を保有していないことから、ユーザBによるアクセスは拒否され、アプリケーションを実行することができないことになる。
【0032】
次に、本発明の実施の形態にかかるユーザアクセス権制御装置を実現するプログラムの処理の流れについて説明する。図7に本発明の実施の形態にかかるユーザアクセス権制御装置を実現するプログラムの処理の流れ図を示す。
【0033】
図7において、まずログインしたユーザのユーザID及びパスワードを受信し(ステップS701)、受信したユーザID及びパスワードに基づいて当該ユーザが登録済みユーザであるか否かを判定する(ステップS702)。
【0034】
ユーザID及びパスワードが一致することによって当該ユーザが登録済みユーザであると判定された場合には(ステップS702:Yes)、当該ログインしたユーザが使用するユーザ端末の使用状況に関する情報を受信し(ステップS703)、ユーザIDに基づいて当該ユーザの職務区分を取得する(ステップS704)。
【0035】
次に、職務区分に基づいて、状況要素ごとに処理可能か否かを定めている処理可能状況パターンを取得する(ステップS705)。
【0036】
そして、受信した当該ログインしたユーザが使用するユーザ端末の使用状況に関する情報と、取得した処理可能状況パターンとをマッチングすることによって(ステップS706)、使用状況に応じたアプリケーション等に対するアクセス権の有無を判定する(ステップS707)。アクセス権を有すると判定された場合には(ステップS707:Yes)、処理可能なアプリケーションをメニュー表示することによって、ユーザ処理を開始する(ステップS708)。
【0037】
なお、当該ユーザが登録済みユーザではないと判定された場合(ステップS702:No)、及びアクセス権を有すると判定された場合には(ステップS707:No)、当該ユーザによるアクセスは拒絶されることになる(ステップS709)。
【0038】
以上のように本実施の形態によれば、同一のユーザであっても、その使用状況に応じて動的にアクセス権を変更することができ、セキュリティを効果的に確保することが可能となる。
【0039】
また、人事異動や組織の改編等が行われた場合であっても、権限ファイルを個人ごとに再作成する必要がなく、最小限の工数でアクセス権の更新が可能であり、セキュリティの確保を容易に行うことが可能となる。
【0040】
なお、本発明の実施の形態にかかるユーザアクセス権制御装置を実現するプログラムは、図8に示すように、CD−ROM82−1やフレキシブルディスク82−2等の可搬型記録媒体82だけでなく、通信回線の先に備えられた他の記憶装置81や、コンピュータ83のハードディスクやRAM等の記録媒体84のいずれに記憶されるものであっても良く、プログラム実行時には、プログラムはローディングされ、主メモリ上で実行される。
【0041】
また、本発明の実施の形態にかかるユーザアクセス権制御装置により使用される処理可能状況パターンデータ等についても、図8に示すように、CD−ROM82−1やフレキシブルディスク82−2等の可搬型記録媒体82だけでなく、通信回線の先に備えられた他の記憶装置81や、コンピュータ83のハードディスクやRAM等の記録媒体84のいずれに記憶されるものであっても良く、例えば本発明にかかるユーザアクセス権制御装置を利用する際にコンピュータ83により読み取られる。
【0042】
【発明の効果】
以上のように本発明にかかるユーザアクセス権制御装置によれば、同一のユーザであっても、その使用状況に応じて動的にアクセス権を変更することができ、セキュリティを効果的に確保することが可能となる。
【0043】
また、人事異動や組織の改編等が行われた場合であっても、権限ファイルを個人ごとに再作成する必要がなく、最小限の工数でアクセス権の更新が可能であり、セキュリティの確保を容易に行うことが可能となる。
【図面の簡単な説明】
【図1】本発明の実施の形態にかかるユーザアクセス権制御装置の構成図
【図2】本発明の実施の形態にかかるユーザアクセス権制御装置におけるユーザ情報記憶部のデータ構成例示図
【図3】本発明の実施の形態にかかるユーザアクセス権制御装置におけるアプリケーション情報記憶部のデータ構成例示図
【図4】本発明の実施の形態にかかるユーザアクセス権制御装置における処理可能状況パターンの例示図
【図5】本発明の実施の形態にかかるユーザアクセス権制御装置における処理可能状況パターン記憶部におけるデータ構成例示図
【図6】本発明の実施の形態にかかるユーザアクセス権制御装置におけるマッチング処理の説明図
【図7】本発明の実施の形態にかかるユーザアクセス権制御装置における処理の流れ図
【図8】コンピュータ環境の例示図
【符号の説明】
1 ユーザアクセス権制御装置
11 ログイン情報受信部
12 使用状況情報受信部
13 ユーザ情報参照部
14 ユーザ情報記憶部
15 アプリケーション情報取得部
16 アプリケーション情報記憶部
17 処理可能状況パターン取得部
18 処理可能状況パターン記憶部
19 アクセス権確定部
81 回線先の記憶装置
82 CD−ROMやフレキシブルディスク等の可搬型記録媒体
82−1 CD−ROM
82−2 フレキシブルディスク
83 コンピュータ
84 コンピュータ上のRAM/ハードディスク等の記録媒体[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a user access right control device and method capable of appropriately controlling an access right to an application or the like even if a user logs in from any terminal connected via a network environment.
[0002]
[Prior art]
With the rapid development of communication environments including the Internet, a plurality of users can easily access one computer through a network. In such a situation, it is indispensable to establish a strong information security with a consistent security policy.
[0003]
In particular, it is one of the most important management issues for companies to achieve the convenience of access to information and to ensure the security of information, which is a conflicting condition, while maintaining a high level of balance. Therefore, it is considered that the management of the access right to the applications and the like that can be used by the user is more and more important.
[0004]
Conventionally, in order to respond to such a demand, an application executable by the user by setting an authority file for each user ID and referencing the authority file stored in the security server every time the user logs in. And the files that can be viewed are limited.
[0005]
[Problems to be solved by the invention]
However, in the conventional access right control method as described above, since the access right depends on the user ID, if the user ID leaks to the outside, the security becomes completely meaningless. There was a problem. This can limit the occurrence of damage to a certain extent by limiting access from within the company or by specifying usable terminals. In general, security can be effectively secured by performing double / triple user confirmation for access from outside and dynamically changing access rights according to the access route to information. It is considered possible.
[0006]
In addition, when personnel changes or organizational reorganizations are performed in a company, the authority file must be recreated for each individual, which makes updating work very complicated.In particular, personnel changes and organizational reorganizations are performed frequently. In such companies, it takes a considerable amount of time to maintain the authority file, so that it is actually difficult to perform detailed authority setting itself.
[0007]
SUMMARY OF THE INVENTION In order to solve the above problems, the present invention provides a user access right control apparatus and method that can dynamically change an access right according to various conditions even when using the same user ID. The purpose is to provide.
[0008]
[Means for Solving the Problems]
In order to achieve the above object, a user access right control device according to the present invention comprises: a login information receiving unit that receives at least a user ID and password information of a logged-in user; and a user automatically detected by the logged-in user. A usage information receiving unit that receives information on the usage status of the terminal from the user terminal, a user information reference unit that determines whether the logged-in user is a registered user based on the user ID and the password information, An application information acquisition unit that specifies a duty category based on the ID and password information, and specifies an application that can be used based on the duty category, and whether or not it can be processed for each status element that indicates the usage status based on the duty category A processable status pattern obtaining unit for obtaining a processable status pattern for specifying An access right determination unit that determines whether or not the user has an access right to the application and the application-related file by matching information on the usage status of the user terminal used by the user who has used the application and the processable status pattern. And
[0009]
With this configuration, even for the same user, the access right can be dynamically changed according to the usage status, and security can be effectively secured.
[0010]
Also, even when personnel changes or organizational reorganizations are performed, there is no need to recreate the authority file for each individual, and access rights can be updated with a minimum number of man-hours, ensuring security. This can be easily performed.
[0011]
Further, in the user access right control device according to the present invention, in the access right determination unit, the items determined to be processable by the processable status pattern specified for each job category are used by the logged-in user. It is preferable to determine that the application defined in the duty category is usable when all the processes can be performed under the conditions determined based on the information on the usage status of the user terminal. This is because the usage status of the logged-in user can be reflected in the determination of the access right.
[0012]
Further, the present invention is characterized by software that executes the function of the user access right control device as a processing step of a computer as described above. Specifically, at least the user ID and password information of the logged-in user are stored. A step of receiving, from the user terminal, information on the use state of the user terminal used by the automatically logged-in user, and a step of receiving a user ID indicating whether the logged-in user is a registered user. A step of referring to the password information; a step of specifying a duty category based on the user ID and the password information; and a step of specifying an available application based on the duty category. Obtaining a processable status pattern that specifies whether or not the process can be performed for each element; User access right control method including a step of determining the presence or absence of an access right to an application and an application-related file by matching information on the use state of a user terminal used by the user and a processable state pattern, and It is a computer-executable program that implements such a process.
[0013]
With such a configuration, by loading and executing the program on a computer, even the same user can dynamically change the access right according to the usage status, and effectively secure security. In addition, even if personnel changes or organizational changes are made, there is no need to recreate the authority file for each individual, and access rights can be updated with a minimum number of man-hours. It is possible to realize a user access right control device that can easily secure the user access right.
[0014]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, a user access right control device according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a configuration diagram of a user access right control device according to an embodiment of the present invention.
[0015]
In FIG. 1, when a user logs in at a user terminal, a user access
[0016]
As the login information received by the login information receiving unit 11, at least password information corresponding to the user ID input by the user can be considered. Based on these pieces of information, the user
[0017]
The information on the position of the terminal being used and the usage status received by the usage status
[0018]
Therefore, the user access right control device according to the present embodiment introduces the concept of “situation element” as information on the usage state of the user represented by the position of the terminal being used, etc. The feature is that, by controlling, the access right to the application or the like used in the application depending on the use situation is controlled.
[0019]
Specifically, first, in the user
[0020]
Then, the application
[0021]
In FIG. 3, a circle indicates an application that can be used, and a cross indicates an application that cannot be used. In this way, by setting applications that can be used for each job category, even if the user has changed the job system due to personnel changes, applications that can be used according to job categories can be specified, and personnel changes can be made. Even if there is, the man-hour for updating the setting of the access right can be greatly reduced.
[0022]
Next, the processable status pattern acquisition unit 17 refers to the processable status
[0023]
Further, the access
[0024]
Specifically, the processing is as follows. First, as shown in FIG. 4, a processable status pattern is specified for each status element. That is, in FIG. 4, a circle indicates that processing is possible, that is, the user has an access right, and a blank indicates that processing is not possible, that is, the user does not have an access right. Then, it is determined whether or not processing is possible for each component included in each status element.
[0025]
For example, the situation element "Site Machine", "floor A", "Machine room", "floor B", considering the case where four components of the "executive room" is defined, (2 4 - 1) One processable situation pattern can be configured. That is, when there are n components, (2 n -1) processable situation patterns in the situation element are generated.
[0026]
Then, a pattern number is allocated to each pattern, and the processable status
[0027]
Further, the access
[0028]
For example, when the user A whose user ID is “X0001” attempts to log in from “Machine a in the machine room at night”, processing of each of the components “Machine room”, “Night time”, and “Machine a” in FIG. The possible situation is matched with the processable situation pattern in each job category. First, the processable situation patterns for the situation element “machine installation place” are 1, 4, and 2 for each duty category as shown in FIG. Among them, it can be determined that the component “machine room” can be used only when the processable status pattern is “2”, that is, when the job classification is “system administrator”.
[0029]
Next, the processable situation patterns for the situation element “machine use time zone” are 1, 1, and 2 for each duty category as shown in FIG. Among them, it can be determined that the component “night” can be used only when the processable status pattern is “2”, that is, when the job classification is “system administrator”.
[0030]
Further, the processable status patterns for the status element “machine model” are 3, 5, and 7 for each duty category as shown in FIG. Among them, it can be determined that the component “machine a” can be used when the processable situation pattern is all “3”, “5”, and “7”, that is, regardless of the job classification.
[0031]
From the above matching results, it can be seen that, in the current usage status, only the possessed job classification “system administrator” of the user A can have the access right and can execute the application. If the user B whose user ID is “X0002” logs in, since the user B does not have the job classification “system administrator”, the access by the user B is denied and the application is executed. Can not do.
[0032]
Next, a flow of processing of a program for realizing the user access right control device according to the embodiment of the present invention will be described. FIG. 7 shows a flowchart of processing of a program for realizing the user access right control device according to the embodiment of the present invention.
[0033]
7, first, the user ID and password of the logged-in user are received (step S701), and it is determined whether or not the user is a registered user based on the received user ID and password (step S702).
[0034]
When it is determined that the user is a registered user because the user ID and the password match (step S702: Yes), information on the use status of the user terminal used by the logged-in user is received (step S702). S703), and obtains the job classification of the user based on the user ID (step S704).
[0035]
Next, a processable status pattern that determines whether or not the process can be performed for each status element based on the job classification is acquired (step S705).
[0036]
Then, by matching the received information on the usage status of the user terminal used by the logged-in user with the acquired processable status pattern (step S706), the presence or absence of the access right to the application or the like according to the usage status is determined. A determination is made (step S707). If it is determined that the user has the access right (step S707: Yes), the user process is started by displaying a processable application on a menu (step S708).
[0037]
When it is determined that the user is not a registered user (Step S702: No), and when it is determined that the user has the access right (Step S707: No), the access by the user is rejected. (Step S709).
[0038]
As described above, according to the present embodiment, even for the same user, the access right can be dynamically changed according to the usage status, and security can be effectively secured. .
[0039]
Also, even when personnel changes or organizational reorganizations are performed, there is no need to recreate the authority file for each individual, and access rights can be updated with a minimum number of man-hours, ensuring security. This can be easily performed.
[0040]
As shown in FIG. 8, the program for realizing the user access right control device according to the embodiment of the present invention includes not only the
[0041]
Further, as shown in FIG. 8, processable status pattern data and the like used by the user access right control device according to the embodiment of the present invention are also portable, such as a CD-ROM 82-1 and a flexible disk 82-2. Not only the
[0042]
【The invention's effect】
As described above, according to the user access right control device according to the present invention, even for the same user, the access right can be dynamically changed according to the usage status, and security is effectively ensured. It becomes possible.
[0043]
Also, even when personnel changes or organizational reorganizations are performed, there is no need to recreate the authority file for each individual, and access rights can be updated with a minimum number of man-hours, ensuring security. This can be easily performed.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a user access right control device according to an embodiment of the present invention; FIG. 2 is an exemplary data configuration diagram of a user information storage unit in the user access right control device according to the embodiment of the present invention; FIG. 4 is a diagram showing an example of a data structure of an application information storage unit in the user access right control device according to the embodiment of the present invention. FIG. 4 is a view showing an example of a processable status pattern in the user access right control device according to the embodiment of the present invention. FIG. 5 is a diagram illustrating an example of a data configuration in a processable status pattern storage unit in the user access right control device according to the embodiment of the present invention. FIG. 6 is a diagram illustrating a matching process in the user access right control device according to the embodiment of the present invention. FIG. 7 is a flowchart of processing in the user access right control device according to the embodiment of the present invention. Illustration of chromatography data environment [Description of symbols]
1 User Access Right Control Device 11 Login
82-2
Claims (4)
自動的に検出された前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報を、前記ユーザ端末から受信する使用状況情報受信部と、
ログインしたユーザが登録済みユーザであるか否かを前記ユーザIDとパスワード情報に基づいて参照するユーザ情報参照部と、
前記ユーザIDとパスワード情報に基づいて職務区分を特定し、前記職務区分に基づいて使用可能なアプリケーションを特定するアプリケーション情報取得部と、
前記職務区分に基づいて、使用状況を表す状況要素ごとに処理可能か否かを特定する処理可能状況パターンを取得する処理可能状況パターン取得部と、
前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報と、前記処理可能状況パターンとをマッチングすることによって、前記アプリケーション及び前記アプリケーション関連ファイルへのアクセス権の有無を確定するアクセス権確定部とを含むことを特徴とするユーザアクセス権制御装置。A login information receiving unit that receives at least a user ID and password information of a logged-in user;
A usage status information receiving unit that receives information on the usage status of the user terminal used by the automatically detected logged-in user from the user terminal,
A user information reference unit that refers to whether the logged-in user is a registered user based on the user ID and the password information;
An application information acquisition unit that identifies a duty category based on the user ID and the password information, and identifies an application that can be used based on the duty category;
A processable status pattern acquisition unit that obtains a processable status pattern that specifies whether or not it can be processed for each status element that represents a usage status, based on the job classification,
An access right determination unit that determines whether or not there is access to the application and the application-related file by matching information on the usage status of the user terminal used by the logged-in user with the processable status pattern. A user access right control device characterized by including:
自動的に検出された前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報を、前記ユーザ端末から受信する工程と、
ログインしたユーザが登録済みユーザであるか否かを前記ユーザIDとパスワード情報に基づいて参照する工程と、
前記ユーザIDとパスワード情報に基づいて職務区分を特定し、前記職務区分に基づいて使用可能なアプリケーションを特定する工程と、
前記職務区分に基づいて、使用状況を表す状況要素ごとに処理可能か否かを特定する処理可能状況パターンを取得する工程と、
前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報と、前記処理可能状況パターンとをマッチングすることによって、前記アプリケーション及び前記アプリケーション関連ファイルへのアクセス権の有無を確定する工程とを含むことを特徴とするユーザアクセス権制御方法。Receiving at least the user ID and password information of the logged-in user;
A step of receiving from the user terminal information on the usage status of the user terminal used by the automatically logged-in user,
Referencing whether the logged-in user is a registered user based on the user ID and password information,
Specifying a job category based on the user ID and password information, and specifying an available application based on the job category;
A step of acquiring a processable status pattern that specifies whether or not the process can be performed for each status element representing the usage status, based on the job classification;
Determining the presence or absence of access to the application and the application-related file by matching information on the usage status of the user terminal used by the logged-in user with the processable status pattern. Characteristic user access right control method.
自動的に検出された前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報を、前記ユーザ端末から受信するステップと、
ログインしたユーザが登録済みユーザであるか否かを前記ユーザIDとパスワード情報に基づいて参照するステップと、
前記ユーザIDとパスワード情報に基づいて職務区分を特定し、前記職務区分に基づいて使用可能なアプリケーションを特定するステップと、
前記職務区分に基づいて、使用状況を表す状況要素ごとに処理可能か否かを特定する処理可能状況パターンを取得するステップと、
前記ログインしたユーザが使用するユーザ端末の使用状況に関する情報と、前記処理可能状況パターンとをマッチングすることによって、前記アプリケーション及び前記アプリケーション関連ファイルへのアクセス権の有無を確定するステップとを含むことを特徴とするユーザアクセス権制御方法を具現化するコンピュータ実行可能なプログラム。Receiving at least the user ID and password information of the logged-in user;
Receiving from the user terminal information on the use status of the user terminal used by the automatically logged-in user,
Referencing whether the logged-in user is a registered user based on the user ID and password information;
Identifying a duty category based on the user ID and password information, and identifying an available application based on the duty category;
A step of acquiring a processable status pattern that specifies whether or not the process can be performed for each status element representing the usage status, based on the job classification;
Determining the presence or absence of access to the application and the application-related file by matching information on the usage status of the user terminal used by the logged-in user with the processable status pattern. A computer-executable program that embodies a user access right control method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002215674A JP4093811B2 (en) | 2002-07-24 | 2002-07-24 | User access right control apparatus and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002215674A JP4093811B2 (en) | 2002-07-24 | 2002-07-24 | User access right control apparatus and method |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2004062241A true JP2004062241A (en) | 2004-02-26 |
JP2004062241A5 JP2004062241A5 (en) | 2005-03-17 |
JP4093811B2 JP4093811B2 (en) | 2008-06-04 |
Family
ID=31937645
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002215674A Expired - Lifetime JP4093811B2 (en) | 2002-07-24 | 2002-07-24 | User access right control apparatus and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4093811B2 (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006202009A (en) * | 2005-01-20 | 2006-08-03 | Toshiba Corp | Medical equipment and access control program |
JP2008117316A (en) * | 2006-11-07 | 2008-05-22 | Nomura Research Institute Ltd | Business information protection device |
JP2008117317A (en) * | 2006-11-07 | 2008-05-22 | Nomura Research Institute Ltd | Business information protection device |
JP2008210117A (en) * | 2007-02-26 | 2008-09-11 | Mizuho Information & Research Institute Inc | Information management system and user information management method |
US7461135B2 (en) | 2004-10-29 | 2008-12-02 | Hitachi, Ltd. | Computer and access control method in a computer |
JP2008305253A (en) * | 2007-06-08 | 2008-12-18 | Toshiba Tec Corp | Information access management device |
JP2010205263A (en) * | 2009-02-06 | 2010-09-16 | Kanamic Network Co Ltd | Nursing care support system and nursing care support program |
JP2014119962A (en) * | 2012-12-17 | 2014-06-30 | Mitsubishi Electric Corp | Information communication system, authentication device, access control method of information communication system, and access control program |
US20210150047A1 (en) * | 2017-08-24 | 2021-05-20 | Data Republic Pty Ltd | Systems and methods to control data access and usage |
WO2022149226A1 (en) * | 2021-01-07 | 2022-07-14 | 三菱電機株式会社 | Access determination device, access determination method, and access determination program |
-
2002
- 2002-07-24 JP JP2002215674A patent/JP4093811B2/en not_active Expired - Lifetime
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7461135B2 (en) | 2004-10-29 | 2008-12-02 | Hitachi, Ltd. | Computer and access control method in a computer |
US7984133B2 (en) | 2004-10-29 | 2011-07-19 | Hitachi, Ltd. | Computer and access control method in a computer |
JP2006202009A (en) * | 2005-01-20 | 2006-08-03 | Toshiba Corp | Medical equipment and access control program |
JP2008117316A (en) * | 2006-11-07 | 2008-05-22 | Nomura Research Institute Ltd | Business information protection device |
JP2008117317A (en) * | 2006-11-07 | 2008-05-22 | Nomura Research Institute Ltd | Business information protection device |
JP2008210117A (en) * | 2007-02-26 | 2008-09-11 | Mizuho Information & Research Institute Inc | Information management system and user information management method |
JP4617325B2 (en) * | 2007-02-26 | 2011-01-26 | みずほ情報総研株式会社 | Information management system and user information management method |
JP4709181B2 (en) * | 2007-06-08 | 2011-06-22 | 東芝テック株式会社 | Information access management device |
JP2008305253A (en) * | 2007-06-08 | 2008-12-18 | Toshiba Tec Corp | Information access management device |
JP4658225B2 (en) * | 2009-02-06 | 2011-03-23 | 株式会社カナミックネットワーク | Care support system and care support program |
JP2010205263A (en) * | 2009-02-06 | 2010-09-16 | Kanamic Network Co Ltd | Nursing care support system and nursing care support program |
JP2014119962A (en) * | 2012-12-17 | 2014-06-30 | Mitsubishi Electric Corp | Information communication system, authentication device, access control method of information communication system, and access control program |
US20210150047A1 (en) * | 2017-08-24 | 2021-05-20 | Data Republic Pty Ltd | Systems and methods to control data access and usage |
US11720701B2 (en) * | 2017-08-24 | 2023-08-08 | Ixup Ip Pty Ltd | Systems and methods to control data access and usage |
WO2022149226A1 (en) * | 2021-01-07 | 2022-07-14 | 三菱電機株式会社 | Access determination device, access determination method, and access determination program |
JP7229446B1 (en) * | 2021-01-07 | 2023-02-27 | 三菱電機株式会社 | Access determination device, access determination method, and access determination program |
Also Published As
Publication number | Publication date |
---|---|
JP4093811B2 (en) | 2008-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7380267B2 (en) | Policy setting support tool | |
US8539604B2 (en) | Method, system and program product for versioning access control settings | |
US8255355B2 (en) | Adaptive method and system with automatic scanner installation | |
US6928439B2 (en) | Computer system with access control mechanism | |
EP3133507A1 (en) | Context-based data classification | |
US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
JP3670965B2 (en) | Client / server system for maintaining application preferences in a hierarchical data structure according to user and user group or terminal and terminal group context | |
US6718386B1 (en) | Methods, system, and article for displaying privilege state data | |
MXPA06001211A (en) | End user data activation. | |
US20060015499A1 (en) | Method, data processing system, and computer program product for sectional access privileges of plain text files | |
HU220825B1 (en) | Method of operating a computer system and the computer system operated by the method, as well as method and apparatus for limiting the number of the copies of a file used by a computer system | |
JP2011526387A (en) | Granting least privilege access for computing processes | |
JP2016507839A (en) | Using free-form metadata for access control | |
EP1794662B1 (en) | A method and apparatus for assigning access control levels in providing access to networked content files | |
US20090077086A1 (en) | Policy-based method for configuring an access control service | |
JP2004158007A (en) | Computer access authorization | |
JP2004062241A (en) | Controller and method for controlling user access right | |
US20020129041A1 (en) | Function/service based automatic import/distribution of data | |
JP4560531B2 (en) | E-mail system | |
US20070199072A1 (en) | Control of application access to system resources | |
CN117499124A (en) | Access control method and device | |
US6983486B1 (en) | Method and apparatus for establishing security scanner attributes in a computer system | |
CN106796644B (en) | Access control system and access control method | |
JP2006244177A (en) | Database device | |
JP2004054779A (en) | Access right management system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040409 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040409 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070320 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070521 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080221 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080304 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110314 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4093811 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110314 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120314 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130314 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140314 Year of fee payment: 6 |
|
EXPY | Cancellation because of completion of term |