JP2004070757A - Reference authority management system and method and program for the system - Google Patents
Reference authority management system and method and program for the system Download PDFInfo
- Publication number
- JP2004070757A JP2004070757A JP2002230569A JP2002230569A JP2004070757A JP 2004070757 A JP2004070757 A JP 2004070757A JP 2002230569 A JP2002230569 A JP 2002230569A JP 2002230569 A JP2002230569 A JP 2002230569A JP 2004070757 A JP2004070757 A JP 2004070757A
- Authority
- JP
- Japan
- Prior art keywords
- access ticket
- server
- information
- request
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 46
- 238000007726 management method Methods 0.000 claims description 173
- 238000012790 confirmation Methods 0.000 claims description 41
- 238000004891 communication Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 2
- 208000019901 Anxiety disease Diseases 0.000 description 1
- 230000036506 anxiety Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、例えばインターネットなどのネットワークに情報サーバが接続される際に、その情報サーバに格納された情報をネットワークを介して参照する権限を管理する参照権限管理システム、方法、及びシステムのプログラムに関する。
【0002】
【従来の技術】
近年、インターネットなどのネットワークの利用や常時接続が広く普及するのに伴い、各ユーザのパソコンなどをネットワークに常時接続して情報サーバとして外部に公開することが、日常的に行われるようになっている。
しかし、サーバを外部に公開するということは、全世界からアタックされる可能性をもっていることを意味する。このため、IDとパスワードとを情報サーバに登録することにより、その情報サーバへの参照権限の管理が行われている。
【0003】
また、こうしたパスワードを用いるシステムとして、特開2002−82910号公報に開示されたユーザ認証システムがある。このシステムは、ユーザが第1端末装置からネットワークを介して情報サーバのデータを参照する際に、携帯端末などの第2端末装置からその情報サーバにアクセスしてパスワードを取得し、取得したパスワードをユーザが第1端末装置から入力し、その入力されたパスワードにより認証サーバがユーザ認証を行うものである。
このことにより、比較的簡単な構成で特定のユーザ以外のものが端末装置から情報サーバにアクセスすることを排除することができる、としている。
【0004】
【発明が解決しようとする課題】
しかしながら、従来のIDとパスワードとによる参照権限の管理では、そのIDとパスワードとが何者かに盗まれた場合、ユーザがパスワードを変更しない限り不正にアクセスされてしまう虞があり、セキュリティの確保として不安を残す問題がある。
【0005】
また、ネットワークへの常時接続が普及しつつあると言っても、固定的なIPアドレス(Internet Protocol Address )などのアドレス情報が割り当てられた情報サーバを所有しているユーザは少なく、動的にISP(Internet Service Provider )事業者などの接続事業者から割り当てられたIPアドレスを利用しているユーザが多数を占めている。このことにより、情報サーバにネットワークを介してアクセスする場合には、あらかじめその情報サーバのIPアドレスを知っている場合しかアクセスすることができない。
よって、個人ユーザで自宅のパソコンなどの情報サーバを外部に公開できるのは、ファイヤウォールなどを自分で構築でき、また、固定的なIPアドレスを割り当てられた情報サーバを持った技術力のある一部のユーザのみとなっていた。
【0006】
また、上記した特開2002−82910号公報に開示されたユーザ認証システムは、パスワードを第2端末装置により情報サーバから取得することとしてユーザ認証を行っているが、そのために情報サーバとデータのやりとりを行う第1端末装置とは別に第2端末装置を用いる必要が生じてしまっていた。
また、第2端末装置からアクセスしてパスワードを取得した後、そのパスワードをユーザが第1端末装置に入力し直す必要が生じるものであり、ユーザによる操作の容易さについて問題を有している。
【0007】
本発明はこのような状況に鑑みてなされたもので、以下の目的を有する。
第1の目的は、セキュリティを高精度に確保しながらも、別装置やその別装置のための操作を必要とすることなく情報サーバをネットワークに公開することができる参照権限管理システム、方法、及びシステムのプログラムを提供することである。
【0008】
第2の目的は、ファイヤウォールなどを構築できる技術力を要求されることなく情報サーバをネットワークに公開することができる参照権限管理システム、方法、及びシステムのプログラムを提供することである。
【0009】
第3の目的は、情報サーバを特定するアドレス情報がネットワークの接続事業者などから動的に割り当てられたアドレス情報である場合でも、情報サーバをネットワークに公開することができる参照権限管理システム、方法、及びシステムのプログラムを提供することである。
【0010】
【課題を解決するための手段】
かかる目的を達成するために、本発明は以下の特徴を有する。
請求項1記載の発明は、情報サーバと、クライアント端末と、情報サーバへのアクセス権を示すアクセスチケットを発行するアクセスチケット発行手段を備えた管理サーバと、がネットワークを介して接続されてなるシステムであって、クライアント端末は、管理サーバにアクセスチケットを要求するアクセスチケット要求手段と、アクセスチケット発行手段により発行されたアクセスチケットを情報サーバに送付すると共に該情報サーバに情報参照要求を発する情報参照要求手段とを備え、情報サーバは、送付されたアクセスチケットの正当性の確認を管理サーバに要求する確認要求手段を備え、管理サーバは、確認要求手段から確認要求を出されたアクセスチケットが正当か否かを確認するアクセスチケット確認手段を備えたことを特徴とする。
【0011】
請求項2記載の発明は、上記したアクセスチケット発行手段が、有効期限を持つアクセスチケットを要求される度に新規に発行し、管理サーバが、アクセスチケット発行手段により発行されたアクセスチケットに当該アクセスチケットの有効期限を関連付けて格納する有効期限管理手段を備え、上記したアクセスチケット確認手段は、有効期限管理手段を参照してアクセスチケットが正当か否かの確認を行うことを特徴とする。
【0012】
請求項3記載の発明は、情報サーバが、当該情報サーバのアドレス情報を予め定められた時間毎に管理サーバに登録要求するアドレス情報登録要求手段を備え、管理サーバは、アドレス情報登録要求手段からの登録要求により情報サーバのアドレス情報を格納するアドレス情報格納手段を備え、クライアント端末の上記したアクセスチケット要求手段は、アクセスチケットを管理サーバに要求する際にアドレス情報格納手段に情報サーバのアドレス情報も要求し、上記情報参照要求手段は、アクセスチケット要求手段からの要求により取得した情報サーバのアドレス情報に対して情報参照要求を発することを特徴とする。
【0013】
請求項4記載の発明は、管理サーバが、利用権限の登録を該利用権限を与えるユーザのIDにより受ける利用権限登録手段を備え、上記した利用権限登録手段は、登録を受けたIDを有効期限管理手段に格納し、上記アクセスチケット発行手段は、発行の要求を該要求を行ったユーザのIDと共に受けてから有効期限管理手段を参照し、要求を行ったユーザの該IDが有効期限管理手段に格納されている場合に、アクセスチケットと当該アクセスチケットの有効期限とを該IDに関連付けて格納することを特徴とする。
【0014】
請求項5記載の発明は、情報サーバと、クライアント端末と、管理サーバとがネットワークを介して接続されてなるシステムにおける参照権限管理方法であって、クライアント端末が管理サーバにアクセスチケットを要求するアクセスチケット要求工程と、管理サーバが情報サーバへのアクセス権を示すアクセスチケットを発行するアクセスチケット発行工程と、アクセスチケット発行工程で発行されたアクセスチケットを情報サーバに送付すると共に該情報サーバに情報参照要求を発する情報参照要求工程と、情報サーバが送付されたアクセスチケットの正当性の確認を管理サーバに要求する確認要求工程と、確認要求工程で確認要求を出されたアクセスチケットが正当か否かを管理サーバが確認するアクセスチケット確認工程と、を備えたことを特徴とする。
【0015】
請求項6記載の発明は、上記アクセスチケット発行工程では、有効期限を持つアクセスチケットが要求される度に新規に発行され、管理サーバは、アクセスチケット発行工程で発行されたアクセスチケットに当該アクセスチケットの有効期限を関連付けて格納する有効期限管理手段を備え、上記アクセスチケット確認工程では、有効期限管理手段を参照してアクセスチケットが正当か否かの確認を行うことを特徴とする。
【0016】
請求項7記載の発明は、情報サーバが当該情報サーバのアドレス情報を管理サーバに登録要求するアドレス情報登録要求工程を予め定められた時間毎に行い、管理サーバがアドレス情報登録要求工程での登録要求により情報サーバのアドレス情報を格納するアドレス情報格納工程を備え、アクセスチケット要求工程では、クライアント端末がアクセスチケットを管理サーバに要求する際にアドレス情報格納工程で格納された情報サーバのアドレス情報も要求し、情報参照要求工程では、アクセスチケット要求工程での要求により取得した情報サーバのアドレス情報に対して情報参照要求を発することを特徴とする。
【0017】
請求項8記載の発明は、管理サーバが利用権限の登録を該利用権限を与えるユーザのIDにより受ける利用権限登録工程をアクセスチケット要求工程より前に行い、上記した利用権限登録工程では、登録を受けたIDを有効期限管理手段に格納し、上記アクセスチケット要求工程では、発行の要求を該要求を行ったユーザのIDと共に管理サーバが受け、上記アクセスチケット発行工程では、有効期限管理手段を参照し、要求を行ったユーザの該IDが有効期限管理手段に格納されている場合に、アクセスチケットと当該アクセスチケットの有効期限とを該IDに関連付けて格納することを特徴とする。
【0018】
請求項9記載の発明は、情報サーバと、クライアント端末と、管理サーバとがネットワークを介して接続されてなる参照権限管理システムのプログラムであって、クライアント端末に、管理サーバにアクセスチケットを要求するアクセスチケット要求処理を実行させ、管理サーバに、情報サーバへのアクセス権を示すアクセスチケットを発行するアクセスチケット発行処理を実行させ、クライアント端末に、アクセスチケット発行処理で発行されたアクセスチケットを情報サーバに送付すると共に該情報サーバに情報参照要求を発する情報参照要求処理を実行させ、情報サーバに、送付されたアクセスチケットの正当性の確認を管理サーバに要求する確認要求処理を実行させ、管理サーバに、確認要求処理で確認要求を出されたアクセスチケットが正当か否かを確認するアクセスチケット確認処理を実行させることを特徴とする。
【0019】
請求項10記載の発明は、上記したアクセスチケット発行処理では、有効期限を持つアクセスチケットが要求される度に新規に発行され、管理サーバは、アクセスチケット発行処理で発行されたアクセスチケットに当該アクセスチケットの有効期限を関連付けて格納する有効期限管理手段を備え、上記アクセスチケット確認処理では、有効期限管理手段を参照してアクセスチケットが正当か否かの確認が行われることを特徴とする。
【0020】
請求項11記載の発明は、情報サーバに、当該情報サーバのアドレス情報を管理サーバに登録要求するアドレス情報登録要求処理を予め定められた時間毎に実行させ、管理サーバに、アドレス情報登録要求処理での登録要求により情報サーバのアドレス情報を格納するアドレス情報格納処理を実行させ、アクセスチケット要求処理では、クライアント端末がアクセスチケットを管理サーバに要求する際にアドレス情報格納処理で格納された情報サーバのアドレス情報も要求し、情報参照要求処理では、アクセスチケット要求処理での要求により取得した情報サーバのアドレス情報に対して情報参照要求を発することを特徴とする。
【0021】
請求項12記載の発明は、管理サーバに、利用権限の登録を該利用権限を与えるユーザのIDにより受ける利用権限登録処理をアクセスチケット要求処理より前に実行させ、上記利用権限登録処理では、登録を受けたIDを有効期限管理手段に格納し、上記アクセスチケット要求処理では、発行の要求を該要求を行ったユーザのIDと共に管理サーバが受け、上記アクセスチケット発行処理では、有効期限管理手段を参照し、要求を行ったユーザの該IDが有効期限管理手段に格納されている場合に、アクセスチケットと当該アクセスチケットの有効期限とを該IDに関連付けて格納することを特徴とする。
【0022】
【発明の実施の形態】
次に、本発明に係る参照権限管理システム、方法、及びシステムのプログラムを図1から図12を用いて詳細に説明する。
【0023】
本発明の第1の実施形態としての参照権限管理システムは、図1(a)に示すように、ホームサーバ(情報サーバ)11と、アドレスサービスサーバ(管理サーバ)12と、クライアント端末13とがそれぞれインターネットを介して互いに接続されて構成される。
なお、クライアント端末13からのインターネットへの接続は、図1(a)に示す常時接続に限定されず、例えば図1(b)に示すように、このクライアント端末13からアクセスする場合のみモデムなどを用いて電話回線を介してダイヤルアップにより接続してもよい。すなわち、ユーザがクライアント端末13からアドレスサービスサーバ12にアクセスする際には、クライアント端末13から上記のダイヤルアップなどによりインターネットを介してアドレスサービスサーバ12に接続し、クライアント端末13からホームサーバ11にアクセスする際には、クライアント端末13から上記のダイヤルアップなどによりインターネットを介してホームサーバ11に接続することとしてもよい。
【0024】
ホームサーバ(情報サーバ)11は、図2に示すように、定期的にアドレスサービスサーバ12にアクセスして、このホームサーバ11のIPアドレスを登録するIPアドレス登録要求部(アドレス情報登録要求部)111と、クライアント端末13からの情報参照要求を受け付けてアクセスチケット確認要求部112を呼び出す情報参照部113と、クライアント端末13から受け取ったアクセスチケットの正当性を確認するアクセスチケット確認要求部112とを備えて構成される。
【0025】
また、アドレスサービスサーバ(管理サーバ)12は、ホームサーバ11を公開する公開権限や利用(参照)する利用権限があるかどうかを登録する利用権限登録部121と、ホームサーバ11から定期的にアクセスされてそのアクセスによりホームサーバ11のIPアドレスを登録するIPアドレス登録部(アドレス情報登録部)122と、クライアント端末13からID/PW(ユーザIDとパスワードとの組み合わせ)を受け取りそのクライアント端末13にホームサーバ11のIPアドレスを返却するIPアドレス照会部(アドレス情報照会部)123と、ホームサーバ11へのアクセスを許可する(ホームサーバへのアクセス権を示す)有効期限を持ったアクセスチケットを要求される度に新規に発行するアクセスチケット発行部124と、クライアント端末13からアクセスチケットを受け取りその正当性を確認する(アクセスチケットが正当か否かを確認する)ためのアクセスチケット確認部125とを備えて構成される。
【0026】
また、クライアント端末13は、ホームサーバ11のIPアドレスをアドレスサービスサーバ12に照会するためのIPアドレス照会要求部(アドレス情報照会要求部)131と、ホームサーバ11に対して情報参照を要求するための情報参照要求部132とを備えて構成される。
【0027】
上記したホームサーバ11と、アドレスサービスサーバ12と、クライアント端末13とは、CPUなどの制御部(不図示)と、HDDなどの記憶部(不図示)と、イーサネット(登録商標)などによる通信部とを備えてなり、その記憶部に所定のプログラムが格納され、そのプログラムにより上記制御部が処理動作を行うことにより、上記したホームサーバ11とアドレスサービスサーバ12とクライアント端末13とが、上述した各機能により構成されることとなる。
【0028】
次に、本実施形態としての参照権限管理システムで、ユーザがクライアント端末13からホームサーバ11の情報へアクセスする場合の動作の概要について、図2、図3を参照して説明する。
この参照権限管理システムは、以下に示すように、ユーザの自宅のパソコンなどをホームサーバとしてセキュアに外部に公開する方法を提供するものである。
【0029】
まず、ユーザAは、アドレスサービスサーバ12に対して、本サービスの利用登録を行う(ステップS1)。その後、ホームサーバ11上の常駐プロセスを起動し、起動された常駐プロセス(IPアドレス登録要求部)は、アドレスサービスサーバ12に対して一定期間毎にそのホームサーバ11のIPアドレスを登録する(ステップS2)。
この登録の際には、アドレスサービスサーバ12はID/PWによる認証及び公開権限が登録されているかのチェックを行い、このことにより不正な利用者からのアクセスを排除する。また、一定期間毎に登録することにより、インターネットへの接続が途中で切れたりしてIPアドレスに変更があっても、設定された一定期間がたてば再度新しいIPアドレスがアドレスサービスサーバ12に対して登録されるため、ホームサーバ11のIPアドレスとアドレスサービスサーバ12に登録されたIPアドレスとが異なるものとなることを高い精度で防止することができる。換言すると、ホームサーバ11のIPアドレスがISP事業者などから動的に割り当てられたものであっても、アドレスサービスサーバ12に登録されるIPアドレスを高い精度で一致させることができる。
【0030】
クライアント端末13からホームサーバ11にアクセスする場合には、ユーザAはクライアント端末13からアドレスサービスサーバ12に、ホームサーバ11へのアクセス権を示すアクセスチケットの発行を要求すると共にホームサーバ11のIPアドレスを問い合わせる(ステップS3)。この時もアドレスサービスサーバ12は、ID/PWの認証を実施することで他人からの不正なアクセスを排除する。
アドレスサービスサーバ12は、IPアドレス(URL)をクライアント端末13に返却する際に、アクセスチケットを新規に発行してIPアドレスと共に返却する(ステップS4)。実際にクライアント端末13からホームサーバ11にアクセスがあった場合、アドレスサービスサーバ12はアクセスチケットの正当性のチェックを行うことで、他者からのアクセスを制限することができる(ステップS6、S7)。このチェックで正当なチケットとして認定されると、通信状態が確立されてクライアント端末13からホームサーバ11のデータを参照することができる(ステップS8)。
アクセスチケットは、有効期限を持ち、有効期限を過ぎると無効となるようにしておくことでアクセスチケットの盗難に備えることができる。
【0031】
次に、本実施形態としての参照権限管理システムにおける上述した一連の動作について、図4から図7を参照して詳細に説明する。上記した各動作について、図4はステップS1を、図5はステップS2を、図6はステップS3とS4とを、図7はステップS5からS8までを、それぞれ示す。
【0032】
まずユーザAは、自分のホームサーバ11を外部からアクセス可能に公開するために、図4に示すように、アドレスサービスサーバ12に対して自分の(ユーザAの)IDとPW(パスワード)とを送付し、利用権限の登録を要求する(ステップS1)。この登録の要求は、アドレスサービスサーバ12と通信可能な端末からであればどの端末から行ってもよく、例えばホームサーバ11からであってもよい。
アドレスサービスサーバ12の利用権限登録部121は、ユーザAのID/PWにて本人認証を実施し、本人確認が取れればユーザ管理DB126上の公開権限を“あり”に設定する。
【0033】
公開権限が登録されると、ユーザAは、ホームサーバ11のIPアドレス登録要求部(アドレス情報登録要求部)111にユーザAのID/PWを設定し、常駐させる。この常駐となったIPアドレス登録要求部111は、図5に示すように、一定時間毎にアドレスサービスサーバ12のIPアドレス登録部(アドレス情報登録部)122に対してアクセスし、設定されたID/PW、及びホームサーバ11のIPアドレスを渡す(ステップS2)。すなわち、ID/PWを用いてホームサーバ11のIPアドレスについて、アドレスサービスサーバ12に登録要求を行う。
なお、常駐となったIPアドレス登録要求部111による登録要求の時間間隔は、予め定められたものであっても、ユーザにより設定されたものであってもよい。
【0034】
IPアドレス登録部122は、ホームサーバ11から上記のID/PWとIPアドレスとを受け取ると、受け取ったユーザAのID/PWの正当性をユーザ管理DB126を参照して確認し、問題がない場合に受け取ったホームサーバ11のIPアドレスをユーザAのIDに関連付けてIPアドレス管理DB(アドレス情報格納手段)127に格納する。
【0035】
ユーザAが、外出後にホームサーバ11の情報を参照したい場合などクライアント端末13からホームサーバ11にアクセスしようとする場合には、図6に示すように、クライアント端末13のIPアドレス照会要求部(アドレス情報照会要求部)131を起動する。IPアドレス照会要求部131は、アドレスサービスサーバ12のIPアドレス照会部(アドレス情報照会部)123に対してユーザAのID/PWを送付して、ホームサーバ11のIPアドレスとアクセスチケットとを要求する(ステップS3)。
IPアドレス照会部123は、受け取ったID/PWの正当性および公開権限をユーザ管理DB126にて確認し、問題がない場合は、IDに対応するIPアドレスをIPアドレス管理DB127から参照する。すなわち、受け取ったID/PWが正当で公開権限が“あり”に設定されている場合(利用権限が登録されている場合)、IPアドレス照会部123は、受け取ったユーザAのIDに関連付けられてIPアドレス管理DB127に格納されているホームサーバ11のIPアドレスを取得する。
【0036】
ホームサーバ11のIPアドレスを取得するとIPアドレス照会部123は、アクセスチケット発行部124を呼び出し、そのアクセスチケット発行部124は、ホームサーバ11へのアクセス権を示し有効期間を持ったアクセスチケットを発行する。アクセスチケット発行部124は、こうして発行されたホームサーバ11に対するユーザAの参照権限としてのアクセスチケットとその有効期限とを、ユーザAのIDに関連付けて参照権限管理DB(有効期限管理手段)128に格納する。
IPアドレス照会部123は、以上によりホームサーバ11のIPアドレスとアクセスチケットとを取得すると、そのIPアドレスとアクセスチケットとをクライアント端末13に返却する(ステップS4)。
【0037】
クライアント端末13の情報参照要求部132は、アドレスサービスサーバ12から上記のIPアドレスとアクセスチケットとを受け取ると、図7に示すように、受け取ったホームサーバ11のIPアドレスに対してアクセスし、アクセスチケットを送付する(ステップS5)。
このアクセスチケットの送付は、図7に示すようにIPアドレスの一部として組み込む方式であってもよく、他の方式であってもよい。
【0038】
ホームサーバ11では情報参照部113が常駐し、クライアント端末13からのアクセス要求(情報参照要求)を受け付けると、アクセスチケット確認要求部112を起動する。アクセスチケット確認要求部112は、受け取ったアクセスチケットの正当性を確認するために、アドレスサービスサーバ12のアクセスチケット確認部125にID/PWとアクセスチケットとを渡し、問い合わせを要求する(ステップS6)。
【0039】
アドレスサービスサーバ12のアクセスチケット確認部125は、ホームサーバ11のアクセスチケット確認要求部112から受け取ったID/PWの正当性をユーザ管理DB126に照会して確認する。ID/PWの正当性に問題がない場合、アクセスチケット確認部125は、ユーザAのIDに関連付けられて参照権限管理DB128に格納されているアクセスチケットと受け取ったアクセスチケットとを比較し、同じか否かを確認し、また有効期限を過ぎていないことを確認したら正当なアクセスチケットであるとして認定し、ホームサーバ11に対してOKの確認結果を返却する(ステップS7)。
アクセスチケットの正当性の確認後、クライアント端末13は、ホームサーバ11の情報を自由に閲覧可能となる(ステップS8)。すなわち、アクセスチケットが正当である確認の通知をホームサーバ11がアドレスサービスサーバ12から受けると、ホームサーバ11とクライアント端末13との間で通信状態が確立されてデータのやりとりを行うことができるようになる。
【0040】
次に、本発明の第2の実施形態としての参照権限管理システムについて説明する。
この第2の実施形態としての参照権限管理システムは、ホームサーバ21を公開するユーザAとクライアント端末23からホームサーバ21を参照するユーザBとが別人であってもよく、且つ複数であってもよいものである。すなわち、上述した第1の実施形態としての参照権限管理システムについて、例えば図8に示すように、クライアント端末23からホームサーバ21を参照する参照権限を有する者がホームサーバ21を公開するユーザAに限定されず、且つ複数とすることもできるようにしたものである。
【0041】
第2の実施形態としての参照権限管理システムの構成は、図8に示すように、図1、図2を用いて上述した第1の実施形態としての参照権限管理システムが備える各機能部を、上記したように、参照権限を有する者をユーザAに限定せず、且つ複数とすることもできるようにしたものである。
すなわち、ホームサーバ21とアドレスサービスサーバ22とクライアント端末23とは、図1を用いて上述した第1の実施形態と同様にインターネットを介して接続されて構成される。
また、利用権限登録部221は、登録要求を受けると、ホームサーバ21を公開する権限としてユーザ管理DB226に格納されている公開権限をホームサーバ21を所有するユーザAについて“あり”に設定すると共に、ホームサーバ21を利用(参照)する利用権限として、公開権限が“あり”であるユーザから利用権限の登録要求を受けたユーザのIDを参照可能IDとして参照権限管理DB228に格納する。
その参照権限管理DB(有効期限管理手段)228は、ホームサーバ21を公開する権限を有するユーザAのIDに上記の参照可能IDを関連付けて格納し、その参照可能IDが格納されているユーザからの要求によりアクセスチケットが発行された場合には、そのユーザの参照可能IDに発行したアクセスチケットとその有効期限とを関連付けて格納する。
【0042】
また、動作の概要については、図2、図3を用いて上述した第1の実施形態における動作概要を、上記したように、参照権限を有する者をユーザAに限定せず、且つ複数とすることもできるようにしたものである。
すなわち、ステップS1では、ユーザAが、アドレスサービスサーバ12に対して、ホームサーバ11の所有者である(管理権限を有する)ことを示す公開権限の登録と、本サービスの利用権限を与えるユーザBのIDを参照可能IDとする登録(利用権限の登録)とを行う。
また、ステップS3でクライアント端末23からホームサーバ21へのアクセスのためにホームサーバ21のIPアドレスとアクセスチケットとを要求するのが、ユーザAでなく参照可能IDを参照権限管理DB228に登録されているユーザBであってよい。
また、ステップS4でアクセスチケット発行部224がアクセスチケットを発行する際には、アクセスチケット発行部224は、参照権限管理DB228を参照して発行の要求を行ったユーザBのIDが参照可能IDとして登録されているか否かを確認し、参照可能IDとして登録されている場合にアクセスチケットを発行する。
【0043】
次に、第2の実施形態としての参照権限管理システムでの図3に示す一連の動作について、図9から図12を参照して詳細に説明する。図3に示す各動作について、図9はステップS1を、図10はステップS2を、図11はステップS3とS4とを、図12はステップS5からS8までを、それぞれ示す。
【0044】
ユーザAがアドレスサービスサーバ22に公開権限を登録する際に、図9に示すように、ホームサーバ21を公開したいユーザBのIDをアドレスサービスサーバ22に送付する(ステップS1)。すわなち、クライアント端末23からのアクセスによりホームサーバ21のデータを参照できるようにさせるユーザBのID(参照可能ID)を、ユーザAのIDとパスワードと共に、アドレスサービスサーバ22の利用権限登録部221に送信して利用権限(参照権限)の登録を要求する。
この登録の要求は、アドレスサービスサーバ12と通信可能な端末からであればどの端末から行ってもよく、例えばホームサーバ11からであってもよい。
【0045】
利用権限登録部221は、受け取ったユーザAのIDとパスワードを用いてユーザ管理DB226にてアクセスしてきたユーザAの本人認証を実施し、ホームサーバ21の公開権限を“あり”に登録した後、参照権限管理DB(有効期限管理手段)228にユーザAの所有するホームサーバ21に対する利用権限(参照権限)として、ユーザBのIDを参照可能IDとしてユーザAのIDに関連付けて格納(登録)する。1つのホームサーバ21に対する参照権限は、参照権限管理DB228に複数のIDを登録することで、複数のユーザを登録することが可能である。
【0046】
公開権限が登録されると、図10に示すように、ユーザAは第1の実施形態と同様にホームサーバ21にIPアドレス登録要求部(アドレス情報登録要求部)211を常駐させ、IPアドレス登録要求部211は、アドレスサービスサーバ22にIPアドレスの登録要求を一定時間毎に行う(ステップS2)。
このことにより、IPアドレス登録部(アドレス情報登録部)222は、第1の実施形態と同様にユーザAのID/PWの正当性をユーザ管理DB226を参照して確認し、問題がない場合にホームサーバ21のIPアドレスをユーザAのIDに関連付けてIPアドレス管理DB(アドレス情報格納手段)227に格納する。
【0047】
ユーザBがユーザAのホームサーバ21の情報を参照する場合、図11に示すように、IPアドレス照会要求部(アドレス情報照会要求部)231は、ユーザBのID/PW及び参照したいホームサーバ21の所有者であるユーザAのIDをアドレスサービスサーバ22に送付して、ホームサーバ21のIPアドレスとそのホームサーバ21へのアクセス権を示すアクセスチケットとを要求する(ステップS3)。
IPアドレス照会部(アドレス情報照会部)223は、受け取ったユーザBのID/PWの正当性及び公開権限をユーザ管理DB226にて確認し、問題がない場合、参照したいホームサーバ21の所有者であるユーザAのIDからIPアドレスをIPアドレス管理DB227にて参照する。すなわち、受け取ったユーザBのID/PWが正当である場合、IPアドレス照会部223は、受け取ったユーザAのIDに関連付けられてIPアドレス管理DB227に格納されているホームサーバ21のIPアドレスを取得する。
【0048】
ホームサーバ21のIPアドレスを取得するとIPアドレス照会部223は、アクセスチケット発行部224を呼び出す。アクセスチケット発行部224は、参照権限管理DB228を参照してユーザBのIDが参照可能IDとして格納(登録)されているか否かを確認し、格納されている場合にホームサーバ21へのアクセス権を示すアクセスチケットを発行して、ユーザAのホームサーバ21に対するアクセスチケットとその有効期限とをユーザBのIDに関連付けて参照権限管理DB228に格納する。
IPアドレス照会部223は、以上によりホームサーバ21のIPアドレスとアクセスチケットとを取得すると、そのIPアドレスとアクセスチケットとをクライアント端末23に返却する(ステップS4)。
【0049】
クライアント端末23の情報参照要求部232は、アドレスサービスサーバ22から上記のIPアドレスとアクセスチケットとを受け取ると、図12に示すように、受け取ったホームサーバ21のIPアドレスに対してアクセスし、アクセスチケットを送付する(ステップS5)。
このアクセスチケットの送付は、図12に示すようにIPアドレスと別々に送付する方式であってもよく、他の方式であってもよい。
【0050】
ホームサーバ21では情報参照部213が常駐して、クライアント端末23からのアクセス要求(情報参照要求)を受け付けると、アクセスチケット確認要求部212を起動する。アクセスチケット確認要求部212は、受け取ったアクセスチケットの正当性を確認するために、ホームサーバ21に登録されているID/PWとクライアント端末23から渡されたアクセスチケットをアドレスサービスサーバ22へ送付して、アクセスチケット確認部225に問い合わせを要求する(ステップS6)。
【0051】
アドレスサービスサーバ22のアクセスチケット確認部225は、ホームサーバ21のアクセスチケット確認要求部212から受け取ったID/PWの正当性をユーザ管理DB226に照会して確認する。ID/PWの正当性に問題がない場合、アクセスチケット確認部225は、その受け取ったIDと受け取ったアクセスチケットとを、参照権限管理DB228内の参照可能IDとユーザBなどの参照可能IDに関連付けられて格納されたアクセスチケットとに対して比較し、アクセス権があるか否か(同じであるか否か)を確認し、また有効期限を過ぎていないことを確認したら正当なアクセスチケットであると認定し、ホームサーバ21に対してOKの確認結果を返却する(ステップS7)。
アクセスチケットの正当性の確認後、クライアント端末23は、ホームサーバ21の情報を自由に閲覧可能となる(ステップS8)。すなわち、アクセスチケットが正当である確認の通知をホームサーバ21がアドレスサービスサーバ22から受けると、ホームサーバ21とクライアント端末23との間で通信状態が確立されてデータのやりとりを行うことができるようになる。
【0052】
以上により、上述した各実施形態としての参照権限管理システムは、自宅などにあるホームサーバの情報を外出先のパソコン、携帯端末、携帯電話などのクライアント端末から、セキュリティを確保しつつ参照可能とすることができる。
その理由は、ホームサーバにアクセスする際には必ずアクセスチケットが必要になり、アクセスチケットがない場合又は不正であると認定された場合には、ホームサーバへの情報参照がエラーになるからである。また、アクセスチケットはアドレスサービスサーバにアクセスする度に別なものが新規に払い出されるため、アクセスチケットを偽造することは非常に困難である。
【0053】
また、ファイヤウォールなどを構築できないユーザであっても、容易にホームサーバを公開してクライアント端末から参照することができるようになる。
また、ホームサーバを外部に公開する際に固定的に割り当てられたIPアドレスだけでなく、動的にISP事業者などから割り当てられたIPアドレスの場合であっても、容易に公開することができるようになる。
【0054】
なお、上述した各実施形態では、ホームサーバと、アドレスサービスサーバと、クライアント端末とはそれぞれインターネットを介して互いに接続されることとして説明しているが、通信可能に接続できればインターネットに限定されず、他のネットワークであってもよい。
他のネットワークを介して接続されたものである場合、上記したIPアドレスに替えてそのネットワークにおけるアドレスを特定可能なアドレス情報としてよい。
【0055】
【発明の効果】
以上のように、本発明は、情報サーバへのアクセス権を示すアクセスチケットを管理サーバが発行し、その情報サーバに送付されたアクセスチケットが正当か否かを管理サーバにより確認する。
このことにより、例えばファイヤウォールなどを構築できるくらいの技術力がないユーザであっても、セキュリティを確保しながら情報サーバをネットワークに公開することができる。
【0056】
また、上記のアクセスチケットは、クライアント端末から要求される度に有効期限を持つものが新規に発行される。
このことにより、アクセスチケットを偽造することを困難にすることができると共に、万一アクセスチケットが盗難されることがあるとしてもセキュリティを失うことがないようにすることができる。
【0057】
また、情報サーバのアドレス情報は予め定められた時間毎に管理サーバに登録され、クライアント端末は、その管理サーバから取得した情報サーバのアドレス情報に対して情報参照要求を発する。
このことにより、情報サーバを特定するアドレス情報がネットワークの事業者などから動的に割り当てられたアドレス情報である場合でも、クライアント端末から高精度に情報サーバへアクセスできるようにすることができる。
【0058】
また、管理サーバは利用権限の登録をその利用権限を与えるユーザのIDにより受け、上記のアクセスチケットは、発行の要求を行ったユーザのIDが管理サーバの有効期限管理手段に格納されている場合に発行される。
このことにより、利用権限を与えられたユーザであれば、情報サーバを所有する(公開する)本人でなくても、クライアント端末から情報サーバへアクセスすることができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態としての参照権限管理システムの概要を例示するブロック図である。
【図2】同参照権限管理システムにおける構成と動作の概要を例示するブロック図である。
【図3】本発明の実施形態としての参照権限管理システムにおける動作の概要を例示するタイミングチャートである。
【図4】図3のステップS1における第1の実施形態としての参照権限管理システムの動作を例示するブロック図である。
【図5】図3のステップS2における同参照権限管理システムの動作を例示するブロック図である。
【図6】図3のステップS3、S4における同参照権限管理システムの動作を例示するブロック図である。
【図7】図3のステップS5からS8における同参照権限管理システムの動作を例示するブロック図である。
【図8】本発明の第2の実施形態としての参照権限管理システムにおける概要を例示するブロック図である。
【図9】図3のステップS1における第2の実施形態としての参照権限管理システムの動作を例示するブロック図である。
【図10】図3のステップS2における同参照権限管理システムの動作を例示するブロック図である。
【図11】図3のステップS3、S4における同参照権限管理システムの動作を例示するブロック図である。
【図12】図3のステップS5からS8における同参照権限管理システムの動作を例示するブロック図である。
【符号の説明】
11、21 ホームサーバ(情報サーバ)
111、211 IPアドレス登録要求部(アドレス情報登録要求部)
112、212 アクセスチケット確認要求部
113、213 情報参照部
12、22 アドレスサービスサーバ(管理サーバ)
121、221 利用権限登録部
122、222 IPアドレス登録部(アドレス情報登録部)
123、223 IPアドレス照会部(アドレス情報照会部)
124、224 アクセスチケット発行部
125、225 アクセスチケット確認部
126、226 ユーザ管理DB
127、227 IPアドレス管理DB(アドレス情報格納手段)
128、228 参照権限管理DB(有効期限管理手段)
13、23 クライアント端末
131、231 IPアドレス照会要求部(アドレス情報照会要求部)
132、232 情報参照要求部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a reference authority management system, a method, and a program for managing an authority to refer to information stored in an information server via a network when the information server is connected to a network such as the Internet. .
[0002]
[Prior art]
In recent years, as the use of networks such as the Internet and the continuous connection have become widespread, it has become common practice to constantly connect each user's personal computer and the like to the network and release it as an information server to the outside. I have.
However, exposing the server to the outside means that it has the possibility of being attacked from all over the world. For this reason, by registering the ID and the password in the information server, management of reference authority to the information server is performed.
[0003]
As a system using such a password, there is a user authentication system disclosed in JP-A-2002-82910. When a user refers to data of an information server from a first terminal device via a network, the system accesses the information server from a second terminal device such as a portable terminal to acquire a password, and acquires the acquired password. The user inputs from the first terminal device, and the authentication server performs user authentication based on the input password.
According to this, it is possible to exclude a person other than a specific user from accessing the information server from the terminal device with a relatively simple configuration.
[0004]
[Problems to be solved by the invention]
However, in the conventional management of the reference authority using the ID and the password, if the ID and the password are stolen by someone, there is a risk that the access will be unauthorized unless the user changes the password. There is a problem that leaves anxiety.
[0005]
Further, even though the constant connection to the network is becoming widespread, few users own information servers to which address information such as a fixed IP address (Internet Protocol Address) is assigned, and the ISP dynamically (Internet Service Provider) A large number of users use an IP address assigned by a connection provider such as a provider. As a result, when accessing an information server via a network, access is possible only when the IP address of the information server is known in advance.
Therefore, the reason that an individual user can open an information server such as a personal computer at home to the outside is that it is possible to construct a firewall or the like by himself, and also to have a technical ability with an information server to which a fixed IP address is assigned. Only some users.
[0006]
In the user authentication system disclosed in the above-mentioned Japanese Patent Application Laid-Open No. 2002-82910, user authentication is performed by acquiring a password from an information server by a second terminal device. It is necessary to use a second terminal device separately from the first terminal device that performs the above.
Further, after accessing from the second terminal device and acquiring the password, it is necessary for the user to re-enter the password in the first terminal device, and there is a problem in the easiness of the operation by the user.
[0007]
The present invention has been made in view of such a situation, and has the following objects.
A first object is to provide a reference authority management system, method, and method capable of exposing an information server to a network without requiring another device or an operation for the other device, while ensuring security with high accuracy. It is to provide a system program.
[0008]
A second object is to provide a reference authority management system, a method, and a program for the system, which can open an information server to a network without requiring a technical ability to construct a firewall or the like.
[0009]
A third object is to provide a reference authority management system and method capable of opening an information server to a network even when address information for specifying the information server is address information dynamically assigned by a network connection provider or the like. , And to provide a system program.
[0010]
[Means for Solving the Problems]
In order to achieve such an object, the present invention has the following features.
The invention according to
[0011]
According to a second aspect of the present invention, the access ticket issuance unit newly issues an access ticket having an expiration date every time a request is made, and the management server issues an access ticket issued by the access ticket issuance unit to the access ticket. There is provided an expiration date management unit that stores the expiration dates of the tickets in association with each other, and the access ticket checking unit checks whether the access ticket is valid with reference to the expiration date management unit.
[0012]
According to a third aspect of the present invention, the information server includes address information registration request means for requesting the management server to register the address information of the information server at predetermined time intervals. Address information storage means for storing address information of the information server in response to a registration request of the information server. The access ticket request means of the client terminal stores the address information of the information server in the address information storage means when requesting the access ticket from the management server. The information reference requesting means issues an information reference request to the address information of the information server acquired by the request from the access ticket requesting means.
[0013]
According to a fourth aspect of the present invention, the management server includes a usage right registration unit that receives registration of the usage right by an ID of a user who grants the usage right, and the usage right registration unit transmits the registered ID to an expiration date. The access ticket issuing unit receives the request for issuance together with the ID of the user who made the request, refers to the expiration date management unit, and stores the ID of the requesting user in the expiration date management unit. , The access ticket and the expiration date of the access ticket are stored in association with the ID.
[0014]
The invention according to
[0015]
According to a sixth aspect of the present invention, in the access ticket issuing step, a new access ticket having an expiration date is newly issued every time an access ticket is requested, and the management server adds the access ticket issued in the access ticket issuing step to the access ticket. And an expiration date management means for storing the expiration dates in association with each other. In the access ticket checking step, the access ticket is checked for validity with reference to the expiration date management means.
[0016]
According to a seventh aspect of the present invention, the information server performs an address information registration requesting step of requesting the management server to register the address information of the information server at predetermined time intervals, and the management server registers the address information in the address information registration requesting step. An address information storing step of storing address information of the information server in response to the request; in the access ticket requesting step, when the client terminal requests the access ticket from the management server, the address information of the information server stored in the address information storing step is also stored. In the request and information reference requesting step, an information reference request is issued to the address information of the information server acquired by the request in the access ticket requesting step.
[0017]
In the invention according to claim 8, the use right registration step in which the management server registers the use right by the ID of the user who grants the use right is performed before the access ticket requesting step. The received ID is stored in the expiration date management means, and in the access ticket requesting step, the management server receives the issuance request together with the ID of the user who made the request, and in the access ticket issuing step, refers to the expiration date management means. Then, when the ID of the user who made the request is stored in the expiration date management unit, the access ticket and the expiration date of the access ticket are stored in association with the ID.
[0018]
The invention according to claim 9 is a program for a reference authority management system in which an information server, a client terminal, and a management server are connected via a network, and requests the client terminal for an access ticket from the management server. Causing the management server to execute an access ticket issuing process for issuing an access ticket indicating an access right to the information server, and causing the client terminal to transmit the access ticket issued in the access ticket issuing process to the information server. And the information server executes an information reference request process for issuing an information reference request, and causes the information server to execute a confirmation request process for requesting the management server to confirm the validity of the transmitted access ticket. The access ticket for which the confirmation request was issued in the confirmation request process Doo is characterized in that to execute the access ticket confirmation process for confirming whether legitimate or not.
[0019]
According to a tenth aspect of the present invention, in the above access ticket issuance processing, a new issuance is performed every time an access ticket having an expiration date is requested, and the management server accesses the access ticket issued in the access ticket issuance processing. An expiration date management unit for storing the expiration dates of the tickets in association with each other is provided, and in the access ticket confirmation processing, it is determined whether or not the access ticket is valid by referring to the expiration date management unit.
[0020]
The invention according to claim 11 causes the information server to execute an address information registration request process for requesting registration of the address information of the information server to the management server at predetermined time intervals, and causes the management server to execute the address information registration request process. In the access ticket requesting process, when the client terminal requests the management server for the access ticket, the information server stored in the address information storing process is executed. In the information reference request processing, an information reference request is issued to the address information of the information server acquired by the request in the access ticket request processing.
[0021]
According to a twelfth aspect of the present invention, the management server executes the use right registration process of receiving the use right registration by the ID of the user who grants the use right before the access ticket request process. The received ID is stored in the expiration date management means, and in the access ticket request processing, the management server receives the issuance request together with the ID of the user who made the request. When the ID of the user making the reference and making the request is stored in the expiration date management unit, the access ticket and the expiration date of the access ticket are stored in association with the ID.
[0022]
BEST MODE FOR CARRYING OUT THE INVENTION
Next, a reference authority management system, method, and system program according to the present invention will be described in detail with reference to FIGS.
[0023]
As shown in FIG. 1A, the reference authority management system according to the first embodiment of the present invention includes a home server (information server) 11, an address service server (management server) 12, and a
The connection from the
[0024]
As shown in FIG. 2, the home server (information server) 11 periodically accesses the
[0025]
The address service server (management server) 12 has a use
[0026]
Further, the
[0027]
The above-described
[0028]
Next, an outline of an operation when a user accesses information of the
As described below, this reference authority management system provides a method in which a personal computer or the like of a user's home is securely disclosed to the outside as a home server.
[0029]
First, the user A registers the use of this service with the address service server 12 (step S1). Thereafter, the resident process on the
At the time of this registration, the
[0030]
When accessing the
When returning the IP address (URL) to the
The access ticket has an expiration date and becomes invalid after the expiration date, so that the access ticket can be prepared for theft.
[0031]
Next, a series of operations described above in the reference authority management system according to the present embodiment will be described in detail with reference to FIGS. 4 shows step S1, FIG. 5 shows step S2, FIG. 6 shows steps S3 and S4, and FIG. 7 shows steps S5 to S8, respectively.
[0032]
First, the user A sends his (user A) ID and PW (password) to the
The use
[0033]
When the publishing authority is registered, the user A sets the ID / PW of the user A in the IP address registration request unit (address information registration request unit) 111 of the
Note that the time interval of the registration request by the resident IP address
[0034]
Upon receiving the ID / PW and the IP address from the
[0035]
When the user A tries to access the
The IP
[0036]
When the IP address of the
Upon obtaining the IP address and the access ticket of the
[0037]
Upon receiving the above IP address and access ticket from the
The transmission of the access ticket may be a method incorporated as a part of the IP address as shown in FIG. 7, or may be another method.
[0038]
In the
[0039]
The access
After confirming the validity of the access ticket, the
[0040]
Next, a reference authority management system according to a second embodiment of the present invention will be described.
In the reference authority management system according to the second embodiment, the user A who discloses the
[0041]
The configuration of the reference authority management system according to the second embodiment includes, as shown in FIG. 8, each functional unit included in the reference authority management system according to the first embodiment described above with reference to FIGS. As described above, the person having the reference authority is not limited to the user A, and may be plural.
That is, the
Further, upon receiving the registration request, the usage
The reference authority management DB (expiration date management means) 228 stores the ID of the user A having the authority to publish the
[0042]
As for the outline of the operation, the outline of the operation in the first embodiment described above with reference to FIGS. 2 and 3 is not limited to the user A but has a plurality of persons having the reference authority as described above. It is also made possible.
That is, in step S1, the user A registers with the
In step S3, the
When the access
[0043]
Next, a series of operations shown in FIG. 3 in the reference authority management system according to the second embodiment will be described in detail with reference to FIGS. 9 shows step S1, FIG. 10 shows step S2, FIG. 11 shows steps S3 and S4, and FIG. 12 shows steps S5 to S8 for each operation shown in FIG.
[0044]
When the user A registers the publication authority in the
This registration request may be made from any terminal that can communicate with the
[0045]
The use
[0046]
When the public authority is registered, as shown in FIG. 10, the user A makes the IP address registration request unit (address information registration request unit) 211 resident in the
Accordingly, the IP address registration unit (address information registration unit) 222 checks the validity of the ID / PW of the user A with reference to the
[0047]
When the user B refers to the information of the
The IP address inquiry unit (address information inquiry unit) 223 checks the validity of the ID / PW of the received user B and the public authority in the
[0048]
When the IP address of the
Upon acquiring the IP address and the access ticket of the
[0049]
Upon receiving the above-mentioned IP address and access ticket from the
The transmission of the access ticket may be a method of transmitting the access ticket separately from the IP address as shown in FIG. 12, or may be another method.
[0050]
In the
[0051]
The access
After confirming the validity of the access ticket, the
[0052]
As described above, the reference authority management system as each of the above-described embodiments makes it possible to refer to the information of the home server at home or the like from a client terminal such as a personal computer, a mobile terminal, or a mobile phone while going out while ensuring security. be able to.
The reason is that an access ticket is always required when accessing the home server, and if there is no access ticket or if it is determined that the access ticket is invalid, an information reference to the home server results in an error. . Also, every time an access is made to the address service server, a different access ticket is newly issued, so that it is very difficult to forge the access ticket.
[0053]
Further, even a user who cannot construct a firewall or the like can easily open the home server and refer to the home server from the client terminal.
In addition, not only the IP address fixedly assigned when the home server is opened to the outside but also the IP address dynamically assigned by the ISP or the like can be easily opened. Become like
[0054]
In each of the above-described embodiments, the home server, the address service server, and the client terminal are described as being connected to each other via the Internet. Other networks may be used.
In the case where the connection is made via another network, the address in the network may be specified as address information that can be specified instead of the IP address.
[0055]
【The invention's effect】
As described above, in the present invention, the management server issues an access ticket indicating an access right to the information server, and the management server checks whether the access ticket sent to the information server is valid.
As a result, for example, even a user who does not have the technical ability to construct a firewall or the like can open the information server to the network while ensuring security.
[0056]
The access ticket having a validity period is newly issued every time a request is made from the client terminal.
As a result, it is possible to make it difficult to forge the access ticket, and it is possible to prevent the security from being lost even if the access ticket is stolen.
[0057]
Further, the address information of the information server is registered in the management server at predetermined time intervals, and the client terminal issues an information reference request to the address information of the information server acquired from the management server.
As a result, even when the address information specifying the information server is the address information dynamically assigned by the network operator or the like, the client terminal can access the information server with high accuracy.
[0058]
Further, the management server receives the registration of the use right by the ID of the user who grants the use right, and the access ticket is obtained when the ID of the user who has issued the issuance request is stored in the expiration date management unit of the management server. Issued to
As a result, a user who is authorized to use the information server can access the information server from the client terminal even if the user does not own (disclose) the information server.
[Brief description of the drawings]
FIG. 1 is a block diagram illustrating an outline of a reference authority management system according to a first embodiment of the present invention.
FIG. 2 is a block diagram illustrating an outline of a configuration and operation in the reference authority management system.
FIG. 3 is a timing chart illustrating an outline of an operation in the reference authority management system as the embodiment of the present invention.
FIG. 4 is a block diagram illustrating an operation of a reference authority management system as a first embodiment in step S1 of FIG. 3;
FIG. 5 is a block diagram illustrating an operation of the reference authority management system in step S2 of FIG. 3;
FIG. 6 is a block diagram illustrating an operation of the reference authority management system in steps S3 and S4 of FIG. 3;
FIG. 7 is a block diagram illustrating an operation of the reference authority management system in steps S5 to S8 of FIG. 3;
FIG. 8 is a block diagram illustrating an outline of a reference authority management system according to a second embodiment of the present invention.
FIG. 9 is a block diagram illustrating an operation of a reference authority management system as a second embodiment in step S1 of FIG. 3;
FIG. 10 is a block diagram illustrating an operation of the reference authority management system in step S2 of FIG. 3;
FIG. 11 is a block diagram illustrating an operation of the reference authority management system in steps S3 and S4 of FIG. 3;
FIG. 12 is a block diagram illustrating an operation of the reference authority management system in steps S5 to S8 of FIG. 3;
[Explanation of symbols]
11, 21 Home server (information server)
111, 211 IP address registration request section (address information registration request section)
112, 212 Access ticket confirmation request section
113, 213 Information reference section
12, 22 Address service server (management server)
121, 221 use authority registration unit
122, 222 IP address registration unit (address information registration unit)
123, 223 IP address inquiry section (address information inquiry section)
124, 224 access ticket issuing unit
125, 225 Access ticket confirmation section
126, 226 User management DB
127, 227 IP address management DB (address information storage means)
128, 228 Reference authority management DB (expiration date management means)
13,23 Client terminal
131, 231 IP address inquiry request section (address information inquiry request section)
132, 232 information reference request section
Claims (12)
前記クライアント端末は、
前記管理サーバにアクセスチケットを要求するアクセスチケット要求手段と、前記アクセスチケット発行手段により発行されたアクセスチケットを前記情報サーバに送付すると共に該情報サーバに情報参照要求を発する情報参照要求手段とを備え、
前記情報サーバは、
送付されたアクセスチケットの正当性の確認を前記管理サーバに要求する確認要求手段を備え、
前記管理サーバは、
前記確認要求手段から確認要求を出されたアクセスチケットが正当か否かを確認するアクセスチケット確認手段を備えたことを特徴とする参照権限管理システム。A system comprising: an information server, a client terminal, and a management server including an access ticket issuing unit that issues an access ticket indicating an access right to the information server via a network,
The client terminal,
Access ticket requesting means for requesting the management server for an access ticket, and information reference requesting means for sending an access ticket issued by the access ticket issuing means to the information server and issuing an information reference request to the information server. ,
The information server comprises:
A confirmation requesting unit for requesting the management server to confirm the validity of the transmitted access ticket,
The management server,
A reference authority management system, comprising: an access ticket confirmation unit that confirms whether an access ticket for which a confirmation request has been issued from the confirmation request unit is valid.
前記管理サーバは、前記アクセスチケット発行手段により発行されたアクセスチケットに当該アクセスチケットの有効期限を関連付けて格納する有効期限管理手段を備え、
前記アクセスチケット確認手段は、前記有効期限管理手段を参照してアクセスチケットが正当か否かの確認を行うことを特徴とする請求項1記載の参照権限管理システム。The access ticket issuance means newly issues an access ticket having an expiration date every time it is requested,
The management server includes an expiration date management unit that stores an access ticket issued by the access ticket issuing unit in association with an expiration date of the access ticket,
2. The reference authority management system according to claim 1, wherein the access ticket confirmation unit refers to the expiration date management unit to confirm whether the access ticket is valid.
前記管理サーバは、前記アドレス情報登録要求手段からの登録要求により前記情報サーバのアドレス情報を格納するアドレス情報格納手段を備え、
前記クライアント端末の前記アクセスチケット要求手段は、アクセスチケットを前記管理サーバに要求する際に前記アドレス情報格納手段に前記情報サーバのアドレス情報も要求し、
前記情報参照要求手段は、前記アクセスチケット要求手段からの要求により取得した前記情報サーバのアドレス情報に対して前記情報参照要求を発することを特徴とする請求項1又は2記載の参照権限管理システム。The information server includes an address information registration request unit that requests the management server to register address information of the information server at predetermined time intervals,
The management server includes an address information storage unit that stores address information of the information server in response to a registration request from the address information registration request unit,
The access ticket requesting means of the client terminal, when requesting an access ticket from the management server, also requests the address information of the information server from the address information storage means,
3. The reference authority management system according to claim 1, wherein the information reference request unit issues the information reference request to address information of the information server acquired by a request from the access ticket request unit.
前記利用権限登録手段は、登録を受けたIDを前記有効期限管理手段に格納し、
前記アクセスチケット発行手段は、発行の要求を該要求を行ったユーザのIDと共に受けてから前記有効期限管理手段を参照し、要求を行ったユーザの該IDが前記有効期限管理手段に格納されている場合に、アクセスチケットと当該アクセスチケットの有効期限とを該IDに関連付けて格納することを特徴とする請求項2又は3記載の参照権限管理システム。The management server includes a usage right registration unit that receives registration of the usage right by an ID of a user who grants the usage right,
The use right registration unit stores the registered ID in the expiration date management unit,
The access ticket issuance unit receives the request for issuance together with the ID of the user who made the request, refers to the expiration date management unit, and stores the ID of the requesting user in the expiration date management unit. 4. The reference authority management system according to claim 2, wherein when there is, the access ticket and the expiration date of the access ticket are stored in association with the ID.
前記クライアント端末が前記管理サーバにアクセスチケットを要求するアクセスチケット要求工程と、
前記管理サーバが前記情報サーバへのアクセス権を示すアクセスチケットを発行するアクセスチケット発行工程と、
前記アクセスチケット発行工程で発行されたアクセスチケットを前記情報サーバに送付すると共に該情報サーバに情報参照要求を発する情報参照要求工程と、前記情報サーバが送付されたアクセスチケットの正当性の確認を前記管理サーバに要求する確認要求工程と、
前記確認要求工程で確認要求を出されたアクセスチケットが正当か否かを前記管理サーバが確認するアクセスチケット確認工程と、を備えたことを特徴とする参照権限管理方法。A reference authority management method in a system in which an information server, a client terminal, and a management server are connected via a network,
An access ticket requesting step in which the client terminal requests an access ticket from the management server;
An access ticket issuing step in which the management server issues an access ticket indicating an access right to the information server,
Sending an access ticket issued in the access ticket issuing step to the information server and issuing an information reference request to the information server; and confirming the validity of the access ticket sent by the information server to the information server. A confirmation request process requesting the management server;
An access ticket confirming step in which the management server confirms whether or not the access ticket for which the confirmation request has been issued in the confirmation requesting step is valid.
前記管理サーバは、前記アクセスチケット発行工程で発行されたアクセスチケットに当該アクセスチケットの有効期限を関連付けて格納する有効期限管理手段を備え、
前記アクセスチケット確認工程では、前記有効期限管理手段を参照してアクセスチケットが正当か否かの確認を行うことを特徴とする請求項5記載の参照権限管理方法。In the access ticket issuance step, a new access ticket is issued every time an access ticket having an expiration date is requested,
The management server includes an expiration date management unit that stores an access ticket issued in the access ticket issuance process in association with an expiration date of the access ticket,
6. The reference authority management method according to claim 5, wherein in the access ticket confirmation step, the validity period management unit is referred to confirm whether the access ticket is valid.
前記管理サーバが前記アドレス情報登録要求工程での登録要求により前記情報サーバのアドレス情報を格納するアドレス情報格納工程を備え、
前記アクセスチケット要求工程では、前記クライアント端末がアクセスチケットを前記管理サーバに要求する際に前記アドレス情報格納工程で格納された前記情報サーバのアドレス情報も要求し、
前記情報参照要求工程では、前記アクセスチケット要求工程での要求により取得した前記情報サーバのアドレス情報に対して前記情報参照要求を発することを特徴とする請求項5又は6記載の参照権限管理方法。The information server performs an address information registration requesting step of requesting registration of the address information of the information server to the management server every predetermined time,
The management server comprises an address information storage step of storing address information of the information server by a registration request in the address information registration request step,
In the access ticket requesting step, when the client terminal requests an access ticket from the management server, the client terminal also requests the address information of the information server stored in the address information storing step,
7. The reference authority management method according to claim 5, wherein in the information reference requesting step, the information reference request is issued to the address information of the information server acquired by the request in the access ticket requesting step.
前記利用権限登録工程では、登録を受けたIDを前記有効期限管理手段に格納し、
前記アクセスチケット要求工程では、発行の要求を該要求を行ったユーザのIDと共に前記管理サーバが受け、
前記アクセスチケット発行工程では、前記有効期限管理手段を参照し、要求を行ったユーザの該IDが前記有効期限管理手段に格納されている場合に、アクセスチケットと当該アクセスチケットの有効期限とを該IDに関連付けて格納することを特徴とする請求項6又は7記載の参照権限管理方法。Performing a use right registration step in which the management server receives the use right registration by an ID of a user who grants the use right before the access ticket requesting step;
In the use authority registration step, the registered ID is stored in the expiration date management unit,
In the access ticket requesting step, the management server receives a request for issuance together with the ID of the user who made the request,
In the access ticket issuing step, the expiration date management unit is referred to, and when the ID of the requesting user is stored in the expiration date management unit, the access ticket and the expiration date of the access ticket are determined. 8. The reference authority management method according to claim 6, wherein the reference authority management method is stored in association with an ID.
前記クライアント端末に、前記管理サーバにアクセスチケットを要求するアクセスチケット要求処理を実行させ、
前記管理サーバに、前記情報サーバへのアクセス権を示すアクセスチケットを発行するアクセスチケット発行処理を実行させ、
前記クライアント端末に、前記アクセスチケット発行処理で発行されたアクセスチケットを前記情報サーバに送付すると共に該情報サーバに情報参照要求を発する情報参照要求処理を実行させ、
前記情報サーバに、送付されたアクセスチケットの正当性の確認を前記管理サーバに要求する確認要求処理を実行させ、
前記管理サーバに、前記確認要求処理で確認要求を出されたアクセスチケットが正当か否かを確認するアクセスチケット確認処理を実行させることを特徴とする参照権限管理システムのプログラム。An information server, a client terminal, and a management server, which are connected to each other via a network.
Causing the client terminal to execute an access ticket request process for requesting an access ticket from the management server;
Causing the management server to execute an access ticket issuing process of issuing an access ticket indicating an access right to the information server;
The client terminal sends an access ticket issued in the access ticket issuance process to the information server and executes an information reference request process of issuing an information reference request to the information server,
Causing the information server to execute a confirmation request process of requesting the management server to confirm the validity of the sent access ticket;
A program for a reference authority management system, characterized by causing the management server to execute an access ticket confirmation process for confirming whether an access ticket for which a confirmation request has been issued in the confirmation request process is valid.
前記管理サーバは、前記アクセスチケット発行処理で発行されたアクセスチケットに当該アクセスチケットの有効期限を関連付けて格納する有効期限管理手段を備え、
前記アクセスチケット確認処理では、前記有効期限管理手段を参照してアクセスチケットが正当か否かの確認が行われることを特徴とする請求項9記載の参照権限管理システムのプログラム。In the access ticket issuance process, a new access ticket having an expiration date is newly issued each time an access ticket is requested,
The management server includes an expiration date management unit that stores an access ticket issued in the access ticket issuance process in association with an expiration date of the access ticket,
10. The program according to claim 9, wherein in the access ticket confirmation processing, it is confirmed whether the access ticket is valid by referring to the expiration date management unit.
前記管理サーバに、前記アドレス情報登録要求処理での登録要求により前記情報サーバのアドレス情報を格納するアドレス情報格納処理を実行させ、
前記アクセスチケット要求処理では、前記クライアント端末がアクセスチケットを前記管理サーバに要求する際に前記アドレス情報格納処理で格納された前記情報サーバのアドレス情報も要求し、
前記情報参照要求処理では、前記アクセスチケット要求処理での要求により取得した前記情報サーバのアドレス情報に対して前記情報参照要求を発することを特徴とする請求項9又は10記載の参照権限管理システムのプログラム。Causing the information server to execute an address information registration request process for requesting registration of the address information of the information server to the management server at predetermined time intervals;
Causing the management server to execute an address information storage process of storing the address information of the information server according to the registration request in the address information registration request process;
In the access ticket requesting process, when the client terminal requests an access ticket from the management server, the client terminal also requests the address information of the information server stored in the address information storing process,
11. The reference authority management system according to claim 9, wherein in the information reference request processing, the information reference request is issued to the address information of the information server acquired by the request in the access ticket request processing. program.
前記利用権限登録処理では、登録を受けたIDを前記有効期限管理手段に格納し、
前記アクセスチケット要求処理では、発行の要求を該要求を行ったユーザのIDと共に前記管理サーバが受け、
前記アクセスチケット発行処理では、前記有効期限管理手段を参照し、要求を行ったユーザの該IDが前記有効期限管理手段に格納されている場合に、アクセスチケットと当該アクセスチケットの有効期限とを該IDに関連付けて格納することを特徴とする請求項10又は11記載の参照権限管理システムのプログラム。Causing the management server to execute a usage right registration process of receiving a usage right registration by an ID of a user who grants the usage right before the access ticket requesting process;
In the use right registration process, the registered ID is stored in the expiration date management unit,
In the access ticket request processing, the management server receives a request for issuance together with the ID of the user who made the request,
In the access ticket issuance process, the access ticket and the expiration date of the access ticket are referred to when the ID of the requesting user is stored in the expiration date management unit with reference to the expiration date management unit. 12. The program according to claim 10, wherein the program is stored in association with an ID.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002230569A JP3984887B2 (en) | 2002-08-07 | 2002-08-07 | Reference authority management system, management server, reference authority management method, and system program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002230569A JP3984887B2 (en) | 2002-08-07 | 2002-08-07 | Reference authority management system, management server, reference authority management method, and system program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004070757A true JP2004070757A (en) | 2004-03-04 |
JP3984887B2 JP3984887B2 (en) | 2007-10-03 |
Family
ID=32016605
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002230569A Expired - Fee Related JP3984887B2 (en) | 2002-08-07 | 2002-08-07 | Reference authority management system, management server, reference authority management method, and system program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3984887B2 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006053825A (en) * | 2004-08-13 | 2006-02-23 | Nippon Telegr & Teleph Corp <Ntt> | Access code issuance device, access control system, access code issuance method and access code issuance program |
WO2006072994A1 (en) * | 2005-01-07 | 2006-07-13 | Systemk Corporation | Login-to-network-camera authentication system |
JP2011022823A (en) * | 2009-07-16 | 2011-02-03 | Nippon Telegr & Teleph Corp <Ntt> | Service providing system, service providing method, and service providing program |
JP2015026288A (en) * | 2013-07-26 | 2015-02-05 | 株式会社リコー | Service provision system, service provision method, and program |
JP2015028740A (en) * | 2013-07-31 | 2015-02-12 | 株式会社リコー | Service provision system, service provision method, and program |
JP2015158937A (en) * | 2015-04-13 | 2015-09-03 | 株式会社リコー | Device management system, device, device management method and program |
CN116132422A (en) * | 2023-04-19 | 2023-05-16 | 天津卓朗昆仑云软件技术有限公司 | Authority control method and device of input device, server and readable storage medium |
-
2002
- 2002-08-07 JP JP2002230569A patent/JP3984887B2/en not_active Expired - Fee Related
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006053825A (en) * | 2004-08-13 | 2006-02-23 | Nippon Telegr & Teleph Corp <Ntt> | Access code issuance device, access control system, access code issuance method and access code issuance program |
JP4675596B2 (en) * | 2004-08-13 | 2011-04-27 | 日本電信電話株式会社 | Access code issuing device, access control system, access code issuing method, and access code issuing program |
WO2006072994A1 (en) * | 2005-01-07 | 2006-07-13 | Systemk Corporation | Login-to-network-camera authentication system |
JPWO2006073008A1 (en) * | 2005-01-07 | 2008-10-23 | 株式会社システム・ケイ | Login authentication system for network cameras |
JP2011022823A (en) * | 2009-07-16 | 2011-02-03 | Nippon Telegr & Teleph Corp <Ntt> | Service providing system, service providing method, and service providing program |
JP2015026288A (en) * | 2013-07-26 | 2015-02-05 | 株式会社リコー | Service provision system, service provision method, and program |
JP2015028740A (en) * | 2013-07-31 | 2015-02-12 | 株式会社リコー | Service provision system, service provision method, and program |
JP2015158937A (en) * | 2015-04-13 | 2015-09-03 | 株式会社リコー | Device management system, device, device management method and program |
CN116132422A (en) * | 2023-04-19 | 2023-05-16 | 天津卓朗昆仑云软件技术有限公司 | Authority control method and device of input device, server and readable storage medium |
CN116132422B (en) * | 2023-04-19 | 2023-06-27 | 天津卓朗昆仑云软件技术有限公司 | Authority control method and device of input device, server and readable storage medium |
Also Published As
Publication number | Publication date |
---|---|
JP3984887B2 (en) | 2007-10-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100590631C (en) | Method and system for secure binding register name identifier profile | |
US7340770B2 (en) | System and methodology for providing community-based security policies | |
EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
EP2374087B1 (en) | Ticket-based implementation of content leasing | |
JP3995338B2 (en) | Network connection control method and system | |
EP1598729B1 (en) | Access control of resources using tokens | |
CN100534092C (en) | Method and system for stepping up to certificate-based authentication without breaking an existing ssl session | |
CN1300722C (en) | Method and system for regulating trust relation using nomenclature space and policy | |
US20060004588A1 (en) | Method and system for obtaining, maintaining and distributing data | |
JP4718216B2 (en) | Program, client authentication request method, server authentication request processing method, client, and server | |
US20140059664A1 (en) | Hardware-Based Credential Distribution | |
WO2006075207A1 (en) | Method and apparatus for a security framework that enables identity and access control services | |
CN101076033B (en) | Method and system for storing authentication certificate | |
US20080270571A1 (en) | Method and system of verifying permission for a remote computer system to access a web page | |
WO2006072994A1 (en) | Login-to-network-camera authentication system | |
JP5470863B2 (en) | Registering electronic devices to the server | |
JP2004530230A (en) | How to manage access and use of resources by checking conditions and conditions used with them | |
JP2004062417A (en) | Certification server device, server device and gateway device | |
JP4417132B2 (en) | Privacy information management server, method and program | |
US6611916B1 (en) | Method of authenticating membership for providing access to a secure environment by authenticating membership to an associated secure environment | |
JP3984887B2 (en) | Reference authority management system, management server, reference authority management method, and system program | |
JP2003518820A (en) | Method and apparatus for a circular encryption and decryption process | |
US20030009424A1 (en) | Method for managing access and use of resources by verifying conditions and conditions for use therewith | |
JP2009093580A (en) | User authentication system | |
JP5283036B2 (en) | Service providing system, proxy processing history collection method, and proxy processing history collection program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040427 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20060823 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070314 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070320 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070518 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070612 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070709 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100713 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3984887 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110713 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110713 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120713 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120713 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130713 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |