JP2004110335A - アクセス制御システム - Google Patents
アクセス制御システム Download PDFInfo
- Publication number
- JP2004110335A JP2004110335A JP2002271064A JP2002271064A JP2004110335A JP 2004110335 A JP2004110335 A JP 2004110335A JP 2002271064 A JP2002271064 A JP 2002271064A JP 2002271064 A JP2002271064 A JP 2002271064A JP 2004110335 A JP2004110335 A JP 2004110335A
- Authority
- JP
- Japan
- Prior art keywords
- access
- access control
- virtual
- virtual path
- ticket
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】Webのアクセス制御をより容易に導入できるようなアクセス制御システムを提供する。
【解決手段】Webサーバ103のアクセス制御フィルタモジュール206は、仮想パス名情報テーブル202から仮想パス名配列210を予め生成して登録する。端末装置104からアクセスがあったとき、認証サーバ102がアクセス権情報テーブル203に基づいてアクセス権情報を含むチケット205を生成して端末装置104へ送信する。端末装置104はチケット205をWebサーバ103へ送信し、アクセス制御フィルタモジュール206が、チケット205と仮想パス名配列210とを参照し、アクセス権情報でアクセス可能と指定された仮想ファイルのみアクセスを許可する。
【選択図】 図2
【解決手段】Webサーバ103のアクセス制御フィルタモジュール206は、仮想パス名情報テーブル202から仮想パス名配列210を予め生成して登録する。端末装置104からアクセスがあったとき、認証サーバ102がアクセス権情報テーブル203に基づいてアクセス権情報を含むチケット205を生成して端末装置104へ送信する。端末装置104はチケット205をWebサーバ103へ送信し、アクセス制御フィルタモジュール206が、チケット205と仮想パス名配列210とを参照し、アクセス権情報でアクセス可能と指定された仮想ファイルのみアクセスを許可する。
【選択図】 図2
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークを通じて行われるWebサーバへのアクセスを制御するアクセス制御システムに関する。
【0002】
【従来の技術】
近年のコンピュータのネットワーク化に伴い、サーバなどに保管される電子化されたファイルへもネットワークを介してアクセスできるようになった。このようなファイルは、例えば従業員のプライバシーに関わるものなど機密性の高い情報などもある。このような事情から、サーバにアクセスするユーザの権限などに応じてサーバへのアクセスを制限するようなアクセス制御方式が必要である。
【0003】
従来技術のアクセス制御方式は、例えば、通常のオペレーティングシステムのアクセス制御方式や、サーバへのアクセス方式の主流であるWorld Wide Web(以降、Webと呼ぶ)のアクセス制御方式などが知られている。
【0004】
オペレーティングシステムのアクセス制御方式では、ログイン時に入力されるアカウント(ユーザを特定するための情報)によりファイルへのアクセス制御を行っている。この場合、アカウントによりユーザが特定できるため、ユーザ別のアクセス制御は容易である。
【0005】
一方、Webのアクセス制御方式は、インターネットなど不特定のユーザによるアクセスを可能とするため、Webサーバ内の参照可能に設定された仮想的なファイル(以降、仮想ファイルと記す)に対して、匿名ユーザ用に割り当てられたアカウントによりアクセスが行えるようになっている。このような仮想ファイルには、アクセスに制限がない。
【0006】
しかしながら、Webのアクセス制御方式でも、ユーザ毎にアカウントを設け、そのアカウントごとに権限を設定し、その権限に応じて仮想ファイルに対するアクセス制御できるものもある。
このようなアクセス制御は、Webサービス内のアプリケーション・プログラムに、ユーザに権限に応じたアクセス制御を行う機能を持たせることで実現していた。
このようなWeb方式のアクセス制御方式に関する従来技術として、例えば、非特許文献1のpp.38−39に記載された「3.2.2Java(登録商標)2 Platform Enterprise Edition(以下、J2EEと略記する)の“アクセス制御”に記載されている技術がある。
【0007】
以下に非特許文献1から該当個所の記載を引用しつつ説明する。
「(2)アクセス制御方式
認証された呼出し者アイデンティティだけに、コンポーネントへのアクセスを許す。J2EEアーキテクチャでは、認証に成功したコンテキストによる呼出しでは、コンテナが、呼出し者のクリデンシャル(credential;X。509証明書やkerberosのサービスチケットなど)のセキュリティ属性と、対象コンポーネントに対するアクセス制御規則を比較し、規則が満足された場合、呼出が許可される。アクセス制御規則には次の2種類がある。
・宣言型アクセス制御
デプロイヤがデプロイツールを用いて、アプリケーションアセンブラから提供されるアプリケーション許可モデルを、実行環境で特定されるポリシーとメカニズムにマップする。アプリケーション許可モデルはデプロイメントディスクリプタに記述される。記述される内容はセキュリティロールと呼ばれる論理的な特権と、その特権とコンポーネントの関係である。コンポーネントのメソッド単位で設定可能である。
・プログラム型アクセス制御
プログラムにアクセス制御のためのコードを埋め込む方法である。この方法により、より粒度の細かいアクセス制御が可能となる。特権とセキュリティロールの関係付けは前者と同じくデプロイメントディスクリプタ内で定義される。」
J2EEのアクセス制御方式はこのようになる。
【0008】
さらに具体的に説明する。
J2EEのKerberosプロトコルは、図4で示す手順で認証を受けている。
1.KDC(Key distribution Center:鍵配布センター)クライアント10が、KDCサーバ20の認証サーバ20aにログイン・セッション証明書を要求する。
2.認証サーバ20aは、チケット付与チケットとログイン・セッション鍵をKDCクライアント10へ返信する。
【0009】
3.KDCクライアント10は、KDCサーバ20のチケット付与サーバ20bにチケット付与チケットと認証メッセージとを提出し、アプリケーション・サーバ30用の証明書を要求する。
4.チケット付与サーバ20bは、KDCクライアント10へチケットとセッション鍵を返信する。
【0010】
5.アプリケーション・クライアント10(=KDCクライアント)は、チケットをアプリケーション・サーバ30に提出し、認証メッセージによりサービスを要求する。
6.アプリケーション・サーバ30は、認証メッセージをアプリケーション・クライアント10へ送信する(相互検証が必須の場合)。
このようにしてアクセスの可否を判定している。
【0011】
そして、J2EEでは、デプロイメントディスクリプタによりアクセス可能なコンポーネントまたはメソッドを設定することができる。
従来技術(J2EE)によるアクセス制御はこのようなものである。
【0012】
【非特許文献1】
「ITプラットフォームにおけるセキュリティ機能の調査」、電子商取引推進協議会平成12年度セキュリティWG成果報告書、pp.38−39
【0013】
【発明が解決しようとする課題】
上記したKerberosプロトコルでは、認証からサーバへのアクセスまで手順が複雑であり、簡略化が難しいという問題点があった。
【0014】
また、J2EEのプログラムでは、デプロイメントディスクリプタ内でアクセス権限を定義する必要があった。これは、例えば、Webサーバにおいてユーザのアクセスを設定する必要が生じることとなるが、全てのWebサーバで多数のユーザ毎に多数の仮想ファイルのアクセスを制御するのは、効率的ではなく、様々なアクセス制限に応じたきめ細やかなアクセス制御を実現しようとする場合、アクセス制御機能の組み込みが容易ではなかった。
【0015】
また、仮想ディレクトリ単位でのアクセス制御を行うことにより、仮想ディレクトリ下にある仮想ファイルを一括してアクセス制御の対象とするようにして、Webサーバで仮想ディレクトリ単位・仮想ファイル単位でのアクセスの可否の管理を行えるようにしたいという要請があった。
【0016】
本発明は、上記した課題を解決するためになされたものであり、その目的は、Webのアクセス制御をより容易に導入できるようなアクセス制御システムを提供することにある。
【0017】
【課題を解決するための手段】
上記課題を解決するために、請求項1記載のアクセス制御システムによれば、
端末装置、認証サーバ、および、Webサーバがネットワークを介して接続され、認証サーバによりWebサーバへのアクセスが認証されたユーザに対して、Webサーバへのアクセスを仮想ディレクトリ・仮想ファイル毎に制御するアクセス制御システムであって、
一のアクセス先番号に対して一または複数の仮想パス名を関連づけて登録した仮想パス名情報テーブルと、ユーザそれぞれに対してアクセス先番号毎のアクセスの可否が設定されたアクセス権情報を登録したアクセス権情報テーブルと、を含むデータベースの読み出しができるようになされ、
仮想パス名情報テーブルを参照し、仮想パス名をキーと、また、アクセス先番号を要素として対応させた配列である仮想パス名配列を予め生成して登録するWebサーバの配列生成手段と、
端末装置を通じてアクセスしたユーザの認証を行うとともに、アクセス権情報テーブルを参照して認証を受けるユーザに設定されたアクセス権情報を含むチケットを発行し、このチケットを端末装置へ送信する認証サーバのチケット発行手段と、
アクセス先の指定とともに端末装置から送信されるチケットを受信し、アクセス先を指定する仮想パス名と、仮想パス名配列に含まれるキーと、を比較して一致する要素を選択し、この要素がチケットのアクセス権情報でアクセスが許可されたアクセス先番号と一致する場合にWebサーバの仮想ファイルへのアクセスを許可するWebサーバのアクセス制御手段と、
を備えることを特徴とする。
【0018】
また、請求項2記載のアクセス制御システムによれば、
請求項1記載のアクセス制御システムにおいて、
前記チケットは、文字列情報を格納したファイルであるcookieとすることを特徴とする。
【0019】
【発明の実施の形態】
以下、本発明の実施の形態について、図面を参照しながら詳細に説明する。図1は本実施形態によるアクセス制御システムの構成図、図2は仮想ファイルへのアクセス制御の説明図、図3はアクセス制御フィルタモジュールにおけるアクセス制御の処理手順を示すフローチャートである。
【0020】
アクセス制御システム100は、図1に示すように、ネットワーク101、認証サーバ102、Webサーバ103、端末装置(Webブラウザ)104を備えている。
【0021】
ネットワーク101は、TCP/IPにより通信を行えるようになされた通信回線であり、例えば、LAN(Local Area Network)とWAN(Wide Area Network)の組み合わせや、LANとWAN以外にもインターネットなども含むようなネットワークであってもよい。
【0022】
認証サーバ102は、ユーザの認証を行うためのサーバである。
認証サーバ102は、図2で示すように、データベース201を備えている。
データベース201には、認証用の各種情報が登録されており、具体的には、仮想パス名情報テーブル202、アクセス権情報テーブル203、個人情報管理テーブル(図示せず)等が登録されている。
【0023】
仮想パス名情報テーブル202には、アクセス先番号に対してWebサーバ103内の仮想ファイル・仮想ディレクトリのパス名(以降、仮想パス名と記す)を割り当てて設定登録するテーブルである。
なお、一のアクセス先番号に対して複数の仮想パス名を設定してもよい。例えば、図2のアクセス先番号3では二経路の仮想パス名(“/APP3/”と“/top3.html”)が割り当てられている。
【0024】
アクセス権情報テーブル203には、それぞれのユーザに対して、アクセス先番号毎のアクセス権情報を設定する。図2のアクセス権情報テーブル203中の「○」はアクセス権があることを表し「×」はアクセス権がないことを表している。
例えばユーザAは、アクセス先番号1,2の仮想ファイルへはアクセスできるが、アクセス先番号3への仮想ファイルへはアクセスできない。
【0025】
この認証サーバ102は、プログラムである認証モジュール204が搭載されている。認証モジュール204は、図示しない個人情報管理テーブル等を参照してユーザの登録の有無を検証し、ユーザを認証する。登録があるユーザはWebサーバ103への重要な仮想ファイルへのアクセスが許されたユーザであり、また、登録がないユーザは重要な仮想ファイルへのアクセスが許されていないユーザである。
【0026】
なお、図2で示したように認証サーバ102とデータベース201とが一体となる構成に代えて、図示しないが、認証サーバ102と物理的に分離されるデータベースサーバを設置してもよい。また、認証サーバ102は2台以上のサーバで構成してもよい。これら構成は適宜選択される。
【0027】
Webサーバ103は、各種のサービスを提供するサーバであり、図1で示すように複数台接続されている。このWebサーバ103では、一または複数の仮想ファイルが保存されている。本明細書では、仮想ファイルとはWebページを提供するためのファイルであり、例えば、HTML( HyperText Markup Language)ファイル、XML(eXtensible Markup Language)ファイル、XHTML(eXtensible HyperText Markup Language)ファイル、DHTML(Dynamic HyperText Markup Language)ファイル、または、アプリケーションプログラムである実行可能ファイルを指すものとして説明する。
【0028】
これらWebサーバ103では、Webサイトを構成するファイルを収容するための仮想ルートディレクトリがそれぞれ設定される。この仮想ルートディレクトリの下位に仮想ディレクトリ・仮想ファイルが設定されている。
これら仮想ディレクトリ・仮想ファイルは、実ディレクトリ・実ファイルとは相違していることから仮想と呼ばれる。
【0029】
なお、図2で示すように、Webサーバ103には、第1仮想ファイル207,第2仮想ファイル208,第3仮想ファイル209が保存され、ユーザによってはアクセスするのが望ましくない仮想ファイルが含まれているものとする。
例えば、企業等において構築されるネットワークであって、人事情報等が記録された仮想ファイルは、ユーザの役職別または組織別にアクセス権が付与され、一般従業員によるアクセスが制限される。このような仮想ファイルは、プログラムであるアクセス制御フィルタモジュール206によりアクセスが制御される。
【0030】
端末装置104は、例えば、パーソナルコンピュータや携帯型の情報端末であり、Webブラウザを搭載したクライアントである。なお、形態等について特に限定するものではないが、少なくともTCP/IPによる通信機能を有するものであれば良い。
【0031】
続いて、本アクセス制御システムによるアクセス制御について図2,図3を参照しつつ説明する。
本実施形態によるアクセス制御では、第1仮想ファイル207、第2仮想ファイル208、第3仮想ファイル209へのアクセスをユーザ別に制御するため、ユーザ別にアクセス可能な仮想ファイルや仮想ディレクトリである仮想パス名を設定する。その設定情報は、認証サーバ102のデータベース201内で管理する仮想パス名情報テーブル202とアクセス権情報テーブル203とに格納されている。
【0032】
まず、Webサーバ103は、予め認証サーバ102にアクセスして仮想パス名情報デーブル202に登録されているデータを読み出す。この取得したデータに基づいて、アクセス制御フィルタモジュール206は、仮想パス名配列210を生成する。
【0033】
この仮想パス配列210は、取得した仮想パス名情報テーブル202の仮想パス名を配列のキーとし、また、アクセス先番号を配列の要素(値)として格納したデータである。
このような取得は、例えば、システム立ち上げ時や、システム立ち上げ後は定時に行ったり、または、データベース201の更新時などに行われ、常時最新のデータが仮想パス名配列210として登録されているようにする。
【0034】
このような状況下、ユーザAが端末装置104を操作してWebサーバ103の第1仮想ファイル207、第2仮想ファイル208、第3仮想209にアクセスを試みるものとする。
まず始めに、ユーザAは端末装置104のWebブラウザを操作し、認証サーバ102にアクセスして認証処理を行う。
端末装置104は、ユーザAを特定するためのアカウント、つまり個人情報特定データを認証サーバ102へ送信する。この個人情報特定データとは、例えば、予め付与されたID、パスワードなど個人を特定するために必要なデータである。
【0035】
認証サーバ102の認証モジュール204は、端末装置104から個人情報特定データが入力された場合、予め登録されている個人情報特定データベース(図示せず)の個人情報特定データと比較してユーザAが登録されているか否かを判断し、登録されている場合にユーザAを認証し、ユーザAを認証する認証情報(具体的には認証データ)をチケット205に書き込む。
【0036】
さらに、認証モジュール204は、アクセス権情報テーブル203を参照し、認証したユーザAに対応して登録されているアクセス先番号毎のアクセス権情報も、チケット205に書き込む。
ユーザAの場合は、アクセス先番号1,2へはアクセス可能であることを示す情報、アクセス先番号3へはアクセス不可であることを示す情報(具体的にはアクセス権データ)である。
認証サーバ102は、認証情報とアクセス権情報とを含むチケット205を端末装置104に送信する。
【0037】
本実施形態では、チケット205の発行に、ファイルの一種であって、Web技術で利用されているCookieを用いている。
Cookieでは、そのパラメータであるdomainとして、アクセス対象となる複数のWebサーバ103のドメイン名に対し最も上位のドメイン名を設定する。それにより、端末装置104からWebサーバ103へアクセスする場合には、端末装置104から認証サーバ102より発行されたチケット205を送信できるようにしている。
また、Cookieのパラメータpathには、Webサーバ103内の仮想ファイルの全てでチケット205を参照できるようにルートパスを設定している。
【0038】
続いて、チケット205が送信された後、端末装置104のWebブラウザを操作してWebサーバ103の第1,第2,第3の仮想ファイルの何れかのURLを指定すると、端末装置104はWebサーバ103にアクセスするとともに、受信したチケット205をWebサーバ103に送信する。
【0039】
Webサーバ103のアクセス制御フィルタモジュール206は、端末装置104からWebサーバ103へのアクセス時に、端末装置104とWebサーバ103内の仮想ファイルとの間をフィルタリングする形でアクセス制御を行う。本実施形態によるアクセス制御システムでは、Webサーバ103に搭載されたCPUが、そのアクセス制御フィルタモジュール206を実行することで実現される。
【0040】
アクセス制御フィルタモジュール206は、仮想パス名配列210と、端末装置104で指定されたURLに含まれるアクセス先の仮想パス名と、チケット205に含まれるアクセス権情報211と、を参照してアクセス制御を実施する。
【0041】
次に、図2に示すようなアクセス制御を実現させるアクセス制御フィルタモジュール206の動作について、図3のフローチャートを参照しつつ説明する。図3は、認証サーバ102にて認証されたユーザAが端末装置104からWebサーバ103へアクセスした際の、アクセス制御フィルタモジュール206における、アクセス制御の処理手順を示している。
【0042】
ステップS1では、端末装置104からのアクセス要求を受信すると、URLからアクセス先の仮想パス名を調べる。
ステップS2では、その仮想パス名が仮想パス名配列210のキーとして存在するか調べ、存在しない場合はステップS3に進み、存在するならばステップS6へジャンプする。
【0043】
アクセス先の仮想パス名が仮想パス名配列210のキーとして存在しない場合に、ステップS3では、さらにその仮想パス名の上位ディレクトリ名が存在するか否かを調べ、上位ディレクトリ名が存在する場合にはステップS4へ進むが、上位ディレクトリ名が存在しない場合には仮想パス名情報テーブル202に設定された仮想ファイルまたは仮想ディレクトリに一致しないためアクセス不可であると判定してフローから抜ける。なお、このような場合であっても、アクセス可と設定してもよい。
【0044】
ステップS3で上位ディレクトリ名があると判断された場合、ステップS4ではその上位ディレクトリ名を調べる。ステップS5ではその上位のディレクトリ名がキーに含まれているかを判定し、含まれている場合にはステップS6の先頭へジャンプし、含まれていない場合にはステップS3の先頭に戻ってさらに上位のディレクトリ名が存在するか否かを調査する。
【0045】
ステップS2でアクセス先の仮想パス名がキーに含まれていると判断された場合、および、ステップS5で上位のディレクトリ名がキーに含まれていると判断された場合、ステップS6では、仮想パス名配列210を調べて、その一致したキーに対応する要素を調べる。この要素はアクセス先番号と一致している。
【0046】
ステップS7では、その要素とチケットのアクセス権情報211とを比較し、アクセス権があるか否かについて判断する。要素に対応するアクセス先番号にアクセス権がある場合はアクセスを許可し、アクセス権がない場合はアクセスを拒否する。
【0047】
アクセスが許可された場合、所望の仮想ファイルが端末装置104に送信されてWebブラウザに表示される。
アクセスが拒否された場合、アクセス制御フィルタモジュール206は、アクセスが拒否されたことを表示する表示データを返信し、端末装置104のWebブラウザでユーザAが確認する。
【0048】
例えば、図2で示すユーザAの端末送信104からは、アクセス先番号1として設定されている仮想パス名“/APP1/index.html”の第1仮想ファイル207や、アクセス先番号2として設定されている仮想パス名“/APP2/”以下にある多数の第2仮想ファイル208にアクセスできるが、アクセス先番号3として設定されている仮想パス名“/APP3/”や“/top.html”である第3仮想ファイル209にアクセスできない。
【0049】
以上説明した本実施形態では、アクセス制御フィルタモジュール206がWebサーバ103またはこのWebサーバ103内のアプリケーションプログラムに代わってアクセス制御を自動的に行う。このため、Webサーバ103内のアプリケーションプログラムがアクセス制御の機能を実装していなくとも、アクセス制御に対応することができる。
【0050】
このようなアクセス制御システムを実現させるアクセス制御フィルタモジュール206のようなプログラムは、CD−ROM、MO、DVD、或いは磁気テープなどの記録媒体に記録させて配布してもよい。記録媒体は、プログラムを配信する装置がアクセスできるものであってもよい。
または、ネットワークを介して、そのプログラムの一部、もしくは、全部を配信するようにしてもよい。
ユーザはプログラムを取得してコンピュータなどのWebサーバにインストールすることができる。
【0051】
【発明の効果】
以上説明した本発明のアクセス制御システムは、より容易、且つ低コストでWebのアクセス制御を実現することが可能となる。Webアプリケーションプログラムを新たに開発する場合であっても、アクセス制御を必ずしも実装させる必要がなくなるため、Webアプリケーションプログラムの開発コストの向上を抑えることになる。
【0052】
また、Webサーバはアクセス制御フィルタモジュールをインストールするのみであり、その後のユーザの変更・追加、アクセス先番号の変更等の設定の変更はデータベースを更新するのみでよく、運用が容易である。
【0053】
このように、Webのアクセス制御をより容易に導入できるようなアクセス制御システムを提供することができる。
【図面の簡単な説明】
【図1】本発明の実施形態によるアクセス制御システムの構成図である。
【図2】仮想ファイルへのアクセス制御の説明図である。
【図3】アクセス制御フィルタモジュールにおけるアクセス制御の処理手順を示すフローチャートである。
【図4】Kerberosプロトコルを説明する説明図である。
【符号の説明】
10 アプリケーション・クライアント(KDCクライアント)
20 KDCサーバ
20a 認証サーバ
20b チケット付与サーバ
30 アプリケーション・サーバ
100 アクセス制御システム
101 ネットワーク
102 認証サーバ
103 Webサーバ
104 端末装置(Webブラウザ)
201 データベース
202 仮想パス名情報テーブル
203 アクセス権情報テーブル
204 認証モジュール
205 チケット
206 アクセス制御フィルタモジュール
207 第1仮想ファイル
208 第2仮想ファイル
209 第3仮想ファイル
210 仮想パス名配列
211 アクセス権情報
【発明の属する技術分野】
本発明は、ネットワークを通じて行われるWebサーバへのアクセスを制御するアクセス制御システムに関する。
【0002】
【従来の技術】
近年のコンピュータのネットワーク化に伴い、サーバなどに保管される電子化されたファイルへもネットワークを介してアクセスできるようになった。このようなファイルは、例えば従業員のプライバシーに関わるものなど機密性の高い情報などもある。このような事情から、サーバにアクセスするユーザの権限などに応じてサーバへのアクセスを制限するようなアクセス制御方式が必要である。
【0003】
従来技術のアクセス制御方式は、例えば、通常のオペレーティングシステムのアクセス制御方式や、サーバへのアクセス方式の主流であるWorld Wide Web(以降、Webと呼ぶ)のアクセス制御方式などが知られている。
【0004】
オペレーティングシステムのアクセス制御方式では、ログイン時に入力されるアカウント(ユーザを特定するための情報)によりファイルへのアクセス制御を行っている。この場合、アカウントによりユーザが特定できるため、ユーザ別のアクセス制御は容易である。
【0005】
一方、Webのアクセス制御方式は、インターネットなど不特定のユーザによるアクセスを可能とするため、Webサーバ内の参照可能に設定された仮想的なファイル(以降、仮想ファイルと記す)に対して、匿名ユーザ用に割り当てられたアカウントによりアクセスが行えるようになっている。このような仮想ファイルには、アクセスに制限がない。
【0006】
しかしながら、Webのアクセス制御方式でも、ユーザ毎にアカウントを設け、そのアカウントごとに権限を設定し、その権限に応じて仮想ファイルに対するアクセス制御できるものもある。
このようなアクセス制御は、Webサービス内のアプリケーション・プログラムに、ユーザに権限に応じたアクセス制御を行う機能を持たせることで実現していた。
このようなWeb方式のアクセス制御方式に関する従来技術として、例えば、非特許文献1のpp.38−39に記載された「3.2.2Java(登録商標)2 Platform Enterprise Edition(以下、J2EEと略記する)の“アクセス制御”に記載されている技術がある。
【0007】
以下に非特許文献1から該当個所の記載を引用しつつ説明する。
「(2)アクセス制御方式
認証された呼出し者アイデンティティだけに、コンポーネントへのアクセスを許す。J2EEアーキテクチャでは、認証に成功したコンテキストによる呼出しでは、コンテナが、呼出し者のクリデンシャル(credential;X。509証明書やkerberosのサービスチケットなど)のセキュリティ属性と、対象コンポーネントに対するアクセス制御規則を比較し、規則が満足された場合、呼出が許可される。アクセス制御規則には次の2種類がある。
・宣言型アクセス制御
デプロイヤがデプロイツールを用いて、アプリケーションアセンブラから提供されるアプリケーション許可モデルを、実行環境で特定されるポリシーとメカニズムにマップする。アプリケーション許可モデルはデプロイメントディスクリプタに記述される。記述される内容はセキュリティロールと呼ばれる論理的な特権と、その特権とコンポーネントの関係である。コンポーネントのメソッド単位で設定可能である。
・プログラム型アクセス制御
プログラムにアクセス制御のためのコードを埋め込む方法である。この方法により、より粒度の細かいアクセス制御が可能となる。特権とセキュリティロールの関係付けは前者と同じくデプロイメントディスクリプタ内で定義される。」
J2EEのアクセス制御方式はこのようになる。
【0008】
さらに具体的に説明する。
J2EEのKerberosプロトコルは、図4で示す手順で認証を受けている。
1.KDC(Key distribution Center:鍵配布センター)クライアント10が、KDCサーバ20の認証サーバ20aにログイン・セッション証明書を要求する。
2.認証サーバ20aは、チケット付与チケットとログイン・セッション鍵をKDCクライアント10へ返信する。
【0009】
3.KDCクライアント10は、KDCサーバ20のチケット付与サーバ20bにチケット付与チケットと認証メッセージとを提出し、アプリケーション・サーバ30用の証明書を要求する。
4.チケット付与サーバ20bは、KDCクライアント10へチケットとセッション鍵を返信する。
【0010】
5.アプリケーション・クライアント10(=KDCクライアント)は、チケットをアプリケーション・サーバ30に提出し、認証メッセージによりサービスを要求する。
6.アプリケーション・サーバ30は、認証メッセージをアプリケーション・クライアント10へ送信する(相互検証が必須の場合)。
このようにしてアクセスの可否を判定している。
【0011】
そして、J2EEでは、デプロイメントディスクリプタによりアクセス可能なコンポーネントまたはメソッドを設定することができる。
従来技術(J2EE)によるアクセス制御はこのようなものである。
【0012】
【非特許文献1】
「ITプラットフォームにおけるセキュリティ機能の調査」、電子商取引推進協議会平成12年度セキュリティWG成果報告書、pp.38−39
【0013】
【発明が解決しようとする課題】
上記したKerberosプロトコルでは、認証からサーバへのアクセスまで手順が複雑であり、簡略化が難しいという問題点があった。
【0014】
また、J2EEのプログラムでは、デプロイメントディスクリプタ内でアクセス権限を定義する必要があった。これは、例えば、Webサーバにおいてユーザのアクセスを設定する必要が生じることとなるが、全てのWebサーバで多数のユーザ毎に多数の仮想ファイルのアクセスを制御するのは、効率的ではなく、様々なアクセス制限に応じたきめ細やかなアクセス制御を実現しようとする場合、アクセス制御機能の組み込みが容易ではなかった。
【0015】
また、仮想ディレクトリ単位でのアクセス制御を行うことにより、仮想ディレクトリ下にある仮想ファイルを一括してアクセス制御の対象とするようにして、Webサーバで仮想ディレクトリ単位・仮想ファイル単位でのアクセスの可否の管理を行えるようにしたいという要請があった。
【0016】
本発明は、上記した課題を解決するためになされたものであり、その目的は、Webのアクセス制御をより容易に導入できるようなアクセス制御システムを提供することにある。
【0017】
【課題を解決するための手段】
上記課題を解決するために、請求項1記載のアクセス制御システムによれば、
端末装置、認証サーバ、および、Webサーバがネットワークを介して接続され、認証サーバによりWebサーバへのアクセスが認証されたユーザに対して、Webサーバへのアクセスを仮想ディレクトリ・仮想ファイル毎に制御するアクセス制御システムであって、
一のアクセス先番号に対して一または複数の仮想パス名を関連づけて登録した仮想パス名情報テーブルと、ユーザそれぞれに対してアクセス先番号毎のアクセスの可否が設定されたアクセス権情報を登録したアクセス権情報テーブルと、を含むデータベースの読み出しができるようになされ、
仮想パス名情報テーブルを参照し、仮想パス名をキーと、また、アクセス先番号を要素として対応させた配列である仮想パス名配列を予め生成して登録するWebサーバの配列生成手段と、
端末装置を通じてアクセスしたユーザの認証を行うとともに、アクセス権情報テーブルを参照して認証を受けるユーザに設定されたアクセス権情報を含むチケットを発行し、このチケットを端末装置へ送信する認証サーバのチケット発行手段と、
アクセス先の指定とともに端末装置から送信されるチケットを受信し、アクセス先を指定する仮想パス名と、仮想パス名配列に含まれるキーと、を比較して一致する要素を選択し、この要素がチケットのアクセス権情報でアクセスが許可されたアクセス先番号と一致する場合にWebサーバの仮想ファイルへのアクセスを許可するWebサーバのアクセス制御手段と、
を備えることを特徴とする。
【0018】
また、請求項2記載のアクセス制御システムによれば、
請求項1記載のアクセス制御システムにおいて、
前記チケットは、文字列情報を格納したファイルであるcookieとすることを特徴とする。
【0019】
【発明の実施の形態】
以下、本発明の実施の形態について、図面を参照しながら詳細に説明する。図1は本実施形態によるアクセス制御システムの構成図、図2は仮想ファイルへのアクセス制御の説明図、図3はアクセス制御フィルタモジュールにおけるアクセス制御の処理手順を示すフローチャートである。
【0020】
アクセス制御システム100は、図1に示すように、ネットワーク101、認証サーバ102、Webサーバ103、端末装置(Webブラウザ)104を備えている。
【0021】
ネットワーク101は、TCP/IPにより通信を行えるようになされた通信回線であり、例えば、LAN(Local Area Network)とWAN(Wide Area Network)の組み合わせや、LANとWAN以外にもインターネットなども含むようなネットワークであってもよい。
【0022】
認証サーバ102は、ユーザの認証を行うためのサーバである。
認証サーバ102は、図2で示すように、データベース201を備えている。
データベース201には、認証用の各種情報が登録されており、具体的には、仮想パス名情報テーブル202、アクセス権情報テーブル203、個人情報管理テーブル(図示せず)等が登録されている。
【0023】
仮想パス名情報テーブル202には、アクセス先番号に対してWebサーバ103内の仮想ファイル・仮想ディレクトリのパス名(以降、仮想パス名と記す)を割り当てて設定登録するテーブルである。
なお、一のアクセス先番号に対して複数の仮想パス名を設定してもよい。例えば、図2のアクセス先番号3では二経路の仮想パス名(“/APP3/”と“/top3.html”)が割り当てられている。
【0024】
アクセス権情報テーブル203には、それぞれのユーザに対して、アクセス先番号毎のアクセス権情報を設定する。図2のアクセス権情報テーブル203中の「○」はアクセス権があることを表し「×」はアクセス権がないことを表している。
例えばユーザAは、アクセス先番号1,2の仮想ファイルへはアクセスできるが、アクセス先番号3への仮想ファイルへはアクセスできない。
【0025】
この認証サーバ102は、プログラムである認証モジュール204が搭載されている。認証モジュール204は、図示しない個人情報管理テーブル等を参照してユーザの登録の有無を検証し、ユーザを認証する。登録があるユーザはWebサーバ103への重要な仮想ファイルへのアクセスが許されたユーザであり、また、登録がないユーザは重要な仮想ファイルへのアクセスが許されていないユーザである。
【0026】
なお、図2で示したように認証サーバ102とデータベース201とが一体となる構成に代えて、図示しないが、認証サーバ102と物理的に分離されるデータベースサーバを設置してもよい。また、認証サーバ102は2台以上のサーバで構成してもよい。これら構成は適宜選択される。
【0027】
Webサーバ103は、各種のサービスを提供するサーバであり、図1で示すように複数台接続されている。このWebサーバ103では、一または複数の仮想ファイルが保存されている。本明細書では、仮想ファイルとはWebページを提供するためのファイルであり、例えば、HTML( HyperText Markup Language)ファイル、XML(eXtensible Markup Language)ファイル、XHTML(eXtensible HyperText Markup Language)ファイル、DHTML(Dynamic HyperText Markup Language)ファイル、または、アプリケーションプログラムである実行可能ファイルを指すものとして説明する。
【0028】
これらWebサーバ103では、Webサイトを構成するファイルを収容するための仮想ルートディレクトリがそれぞれ設定される。この仮想ルートディレクトリの下位に仮想ディレクトリ・仮想ファイルが設定されている。
これら仮想ディレクトリ・仮想ファイルは、実ディレクトリ・実ファイルとは相違していることから仮想と呼ばれる。
【0029】
なお、図2で示すように、Webサーバ103には、第1仮想ファイル207,第2仮想ファイル208,第3仮想ファイル209が保存され、ユーザによってはアクセスするのが望ましくない仮想ファイルが含まれているものとする。
例えば、企業等において構築されるネットワークであって、人事情報等が記録された仮想ファイルは、ユーザの役職別または組織別にアクセス権が付与され、一般従業員によるアクセスが制限される。このような仮想ファイルは、プログラムであるアクセス制御フィルタモジュール206によりアクセスが制御される。
【0030】
端末装置104は、例えば、パーソナルコンピュータや携帯型の情報端末であり、Webブラウザを搭載したクライアントである。なお、形態等について特に限定するものではないが、少なくともTCP/IPによる通信機能を有するものであれば良い。
【0031】
続いて、本アクセス制御システムによるアクセス制御について図2,図3を参照しつつ説明する。
本実施形態によるアクセス制御では、第1仮想ファイル207、第2仮想ファイル208、第3仮想ファイル209へのアクセスをユーザ別に制御するため、ユーザ別にアクセス可能な仮想ファイルや仮想ディレクトリである仮想パス名を設定する。その設定情報は、認証サーバ102のデータベース201内で管理する仮想パス名情報テーブル202とアクセス権情報テーブル203とに格納されている。
【0032】
まず、Webサーバ103は、予め認証サーバ102にアクセスして仮想パス名情報デーブル202に登録されているデータを読み出す。この取得したデータに基づいて、アクセス制御フィルタモジュール206は、仮想パス名配列210を生成する。
【0033】
この仮想パス配列210は、取得した仮想パス名情報テーブル202の仮想パス名を配列のキーとし、また、アクセス先番号を配列の要素(値)として格納したデータである。
このような取得は、例えば、システム立ち上げ時や、システム立ち上げ後は定時に行ったり、または、データベース201の更新時などに行われ、常時最新のデータが仮想パス名配列210として登録されているようにする。
【0034】
このような状況下、ユーザAが端末装置104を操作してWebサーバ103の第1仮想ファイル207、第2仮想ファイル208、第3仮想209にアクセスを試みるものとする。
まず始めに、ユーザAは端末装置104のWebブラウザを操作し、認証サーバ102にアクセスして認証処理を行う。
端末装置104は、ユーザAを特定するためのアカウント、つまり個人情報特定データを認証サーバ102へ送信する。この個人情報特定データとは、例えば、予め付与されたID、パスワードなど個人を特定するために必要なデータである。
【0035】
認証サーバ102の認証モジュール204は、端末装置104から個人情報特定データが入力された場合、予め登録されている個人情報特定データベース(図示せず)の個人情報特定データと比較してユーザAが登録されているか否かを判断し、登録されている場合にユーザAを認証し、ユーザAを認証する認証情報(具体的には認証データ)をチケット205に書き込む。
【0036】
さらに、認証モジュール204は、アクセス権情報テーブル203を参照し、認証したユーザAに対応して登録されているアクセス先番号毎のアクセス権情報も、チケット205に書き込む。
ユーザAの場合は、アクセス先番号1,2へはアクセス可能であることを示す情報、アクセス先番号3へはアクセス不可であることを示す情報(具体的にはアクセス権データ)である。
認証サーバ102は、認証情報とアクセス権情報とを含むチケット205を端末装置104に送信する。
【0037】
本実施形態では、チケット205の発行に、ファイルの一種であって、Web技術で利用されているCookieを用いている。
Cookieでは、そのパラメータであるdomainとして、アクセス対象となる複数のWebサーバ103のドメイン名に対し最も上位のドメイン名を設定する。それにより、端末装置104からWebサーバ103へアクセスする場合には、端末装置104から認証サーバ102より発行されたチケット205を送信できるようにしている。
また、Cookieのパラメータpathには、Webサーバ103内の仮想ファイルの全てでチケット205を参照できるようにルートパスを設定している。
【0038】
続いて、チケット205が送信された後、端末装置104のWebブラウザを操作してWebサーバ103の第1,第2,第3の仮想ファイルの何れかのURLを指定すると、端末装置104はWebサーバ103にアクセスするとともに、受信したチケット205をWebサーバ103に送信する。
【0039】
Webサーバ103のアクセス制御フィルタモジュール206は、端末装置104からWebサーバ103へのアクセス時に、端末装置104とWebサーバ103内の仮想ファイルとの間をフィルタリングする形でアクセス制御を行う。本実施形態によるアクセス制御システムでは、Webサーバ103に搭載されたCPUが、そのアクセス制御フィルタモジュール206を実行することで実現される。
【0040】
アクセス制御フィルタモジュール206は、仮想パス名配列210と、端末装置104で指定されたURLに含まれるアクセス先の仮想パス名と、チケット205に含まれるアクセス権情報211と、を参照してアクセス制御を実施する。
【0041】
次に、図2に示すようなアクセス制御を実現させるアクセス制御フィルタモジュール206の動作について、図3のフローチャートを参照しつつ説明する。図3は、認証サーバ102にて認証されたユーザAが端末装置104からWebサーバ103へアクセスした際の、アクセス制御フィルタモジュール206における、アクセス制御の処理手順を示している。
【0042】
ステップS1では、端末装置104からのアクセス要求を受信すると、URLからアクセス先の仮想パス名を調べる。
ステップS2では、その仮想パス名が仮想パス名配列210のキーとして存在するか調べ、存在しない場合はステップS3に進み、存在するならばステップS6へジャンプする。
【0043】
アクセス先の仮想パス名が仮想パス名配列210のキーとして存在しない場合に、ステップS3では、さらにその仮想パス名の上位ディレクトリ名が存在するか否かを調べ、上位ディレクトリ名が存在する場合にはステップS4へ進むが、上位ディレクトリ名が存在しない場合には仮想パス名情報テーブル202に設定された仮想ファイルまたは仮想ディレクトリに一致しないためアクセス不可であると判定してフローから抜ける。なお、このような場合であっても、アクセス可と設定してもよい。
【0044】
ステップS3で上位ディレクトリ名があると判断された場合、ステップS4ではその上位ディレクトリ名を調べる。ステップS5ではその上位のディレクトリ名がキーに含まれているかを判定し、含まれている場合にはステップS6の先頭へジャンプし、含まれていない場合にはステップS3の先頭に戻ってさらに上位のディレクトリ名が存在するか否かを調査する。
【0045】
ステップS2でアクセス先の仮想パス名がキーに含まれていると判断された場合、および、ステップS5で上位のディレクトリ名がキーに含まれていると判断された場合、ステップS6では、仮想パス名配列210を調べて、その一致したキーに対応する要素を調べる。この要素はアクセス先番号と一致している。
【0046】
ステップS7では、その要素とチケットのアクセス権情報211とを比較し、アクセス権があるか否かについて判断する。要素に対応するアクセス先番号にアクセス権がある場合はアクセスを許可し、アクセス権がない場合はアクセスを拒否する。
【0047】
アクセスが許可された場合、所望の仮想ファイルが端末装置104に送信されてWebブラウザに表示される。
アクセスが拒否された場合、アクセス制御フィルタモジュール206は、アクセスが拒否されたことを表示する表示データを返信し、端末装置104のWebブラウザでユーザAが確認する。
【0048】
例えば、図2で示すユーザAの端末送信104からは、アクセス先番号1として設定されている仮想パス名“/APP1/index.html”の第1仮想ファイル207や、アクセス先番号2として設定されている仮想パス名“/APP2/”以下にある多数の第2仮想ファイル208にアクセスできるが、アクセス先番号3として設定されている仮想パス名“/APP3/”や“/top.html”である第3仮想ファイル209にアクセスできない。
【0049】
以上説明した本実施形態では、アクセス制御フィルタモジュール206がWebサーバ103またはこのWebサーバ103内のアプリケーションプログラムに代わってアクセス制御を自動的に行う。このため、Webサーバ103内のアプリケーションプログラムがアクセス制御の機能を実装していなくとも、アクセス制御に対応することができる。
【0050】
このようなアクセス制御システムを実現させるアクセス制御フィルタモジュール206のようなプログラムは、CD−ROM、MO、DVD、或いは磁気テープなどの記録媒体に記録させて配布してもよい。記録媒体は、プログラムを配信する装置がアクセスできるものであってもよい。
または、ネットワークを介して、そのプログラムの一部、もしくは、全部を配信するようにしてもよい。
ユーザはプログラムを取得してコンピュータなどのWebサーバにインストールすることができる。
【0051】
【発明の効果】
以上説明した本発明のアクセス制御システムは、より容易、且つ低コストでWebのアクセス制御を実現することが可能となる。Webアプリケーションプログラムを新たに開発する場合であっても、アクセス制御を必ずしも実装させる必要がなくなるため、Webアプリケーションプログラムの開発コストの向上を抑えることになる。
【0052】
また、Webサーバはアクセス制御フィルタモジュールをインストールするのみであり、その後のユーザの変更・追加、アクセス先番号の変更等の設定の変更はデータベースを更新するのみでよく、運用が容易である。
【0053】
このように、Webのアクセス制御をより容易に導入できるようなアクセス制御システムを提供することができる。
【図面の簡単な説明】
【図1】本発明の実施形態によるアクセス制御システムの構成図である。
【図2】仮想ファイルへのアクセス制御の説明図である。
【図3】アクセス制御フィルタモジュールにおけるアクセス制御の処理手順を示すフローチャートである。
【図4】Kerberosプロトコルを説明する説明図である。
【符号の説明】
10 アプリケーション・クライアント(KDCクライアント)
20 KDCサーバ
20a 認証サーバ
20b チケット付与サーバ
30 アプリケーション・サーバ
100 アクセス制御システム
101 ネットワーク
102 認証サーバ
103 Webサーバ
104 端末装置(Webブラウザ)
201 データベース
202 仮想パス名情報テーブル
203 アクセス権情報テーブル
204 認証モジュール
205 チケット
206 アクセス制御フィルタモジュール
207 第1仮想ファイル
208 第2仮想ファイル
209 第3仮想ファイル
210 仮想パス名配列
211 アクセス権情報
Claims (2)
- 端末装置、認証サーバ、および、Webサーバがネットワークを介して接続され、認証サーバによりWebサーバへのアクセスが認証されたユーザに対して、Webサーバへのアクセスを仮想ディレクトリ・仮想ファイル毎に制御するアクセス制御システムであって、
一のアクセス先番号に対して一または複数の仮想パス名を関連づけて登録した仮想パス名情報テーブルと、ユーザそれぞれに対してアクセス先番号毎のアクセスの可否が設定されたアクセス権情報を登録したアクセス権情報テーブルと、を含むデータベースの読み出しができるようになされ、
仮想パス名情報テーブルを参照し、仮想パス名をキーと、また、アクセス先番号を要素として対応させた配列である仮想パス名配列を予め生成して登録するWebサーバの配列生成手段と、
端末装置を通じてアクセスしたユーザの認証を行うとともに、アクセス権情報テーブルを参照して認証を受けるユーザに設定されたアクセス権情報を含むチケットを発行し、このチケットを端末装置へ送信する認証サーバのチケット発行手段と、
アクセス先の指定とともに端末装置から送信されるチケットを受信し、アクセス先を指定する仮想パス名と、仮想パス名配列に含まれるキーと、を比較して一致する要素を選択し、この要素がチケットのアクセス権情報でアクセスが許可されたアクセス先番号と一致する場合にWebサーバの仮想ファイルへのアクセスを許可するWebサーバのアクセス制御手段と、
を備えることを特徴とするアクセス制御システム。 - 請求項1記載のアクセス制御システムにおいて、
前記チケットは、文字列情報を格納したファイルであるcookieとすることを特徴とするアクセス制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002271064A JP2004110335A (ja) | 2002-09-18 | 2002-09-18 | アクセス制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002271064A JP2004110335A (ja) | 2002-09-18 | 2002-09-18 | アクセス制御システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004110335A true JP2004110335A (ja) | 2004-04-08 |
Family
ID=32268493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002271064A Withdrawn JP2004110335A (ja) | 2002-09-18 | 2002-09-18 | アクセス制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004110335A (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006101213A (ja) * | 2004-09-29 | 2006-04-13 | Sony Corp | 情報処理装置および方法、プログラム並びに記録媒体 |
| JP2006244486A (ja) * | 2005-03-01 | 2006-09-14 | Microsoft Corp | アイテムに対する使用権をアクセス権に基づいて生成する方法およびコンピュータ読取り可能媒体 |
| JP2008083906A (ja) * | 2006-09-27 | 2008-04-10 | Dainippon Printing Co Ltd | サーバ及びプログラム |
| JP2008538641A (ja) * | 2005-04-22 | 2008-10-30 | マイクロソフト コーポレーション | 信用証明に基づくアクセス制御のサポート記述 |
| JP2010086140A (ja) * | 2008-09-30 | 2010-04-15 | Fuji Xerox Co Ltd | 情報利用制御システムおよびプログラム |
| JP2011059929A (ja) * | 2009-09-09 | 2011-03-24 | Fuji Xerox Co Ltd | 情報処理装置及び情報処理プログラム |
| JP2014518420A (ja) * | 2011-07-08 | 2014-07-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | サーバ・アプリケーションへの認証されたユーザ・アクセスの方法、そのようなユーザ・アクセスを提供する装置、コンピュータ・プログラム製品、およびサーバ・アプリケーションへのアクセスを容易にする方法 |
| WO2016092630A1 (ja) * | 2014-12-09 | 2016-06-16 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム |
| JP2019036347A (ja) * | 2018-10-24 | 2019-03-07 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム |
| JP2021022299A (ja) * | 2019-07-30 | 2021-02-18 | 京セラドキュメントソリューションズ株式会社 | 情報処理システム、情報処理装置、および情報処理方法 |
| US20210359982A1 (en) * | 2018-03-07 | 2021-11-18 | Turbo Business Suite LLC | Consumer-Authorized Controlled Distribution of Trusted Source Data |
-
2002
- 2002-09-18 JP JP2002271064A patent/JP2004110335A/ja not_active Withdrawn
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006101213A (ja) * | 2004-09-29 | 2006-04-13 | Sony Corp | 情報処理装置および方法、プログラム並びに記録媒体 |
| JP2006244486A (ja) * | 2005-03-01 | 2006-09-14 | Microsoft Corp | アイテムに対する使用権をアクセス権に基づいて生成する方法およびコンピュータ読取り可能媒体 |
| JP2008538641A (ja) * | 2005-04-22 | 2008-10-30 | マイクロソフト コーポレーション | 信用証明に基づくアクセス制御のサポート記述 |
| JP2008083906A (ja) * | 2006-09-27 | 2008-04-10 | Dainippon Printing Co Ltd | サーバ及びプログラム |
| JP2010086140A (ja) * | 2008-09-30 | 2010-04-15 | Fuji Xerox Co Ltd | 情報利用制御システムおよびプログラム |
| JP2011059929A (ja) * | 2009-09-09 | 2011-03-24 | Fuji Xerox Co Ltd | 情報処理装置及び情報処理プログラム |
| JP2014518420A (ja) * | 2011-07-08 | 2014-07-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | サーバ・アプリケーションへの認証されたユーザ・アクセスの方法、そのようなユーザ・アクセスを提供する装置、コンピュータ・プログラム製品、およびサーバ・アプリケーションへのアクセスを容易にする方法 |
| WO2016092630A1 (ja) * | 2014-12-09 | 2016-06-16 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム |
| CN107004094A (zh) * | 2014-12-09 | 2017-08-01 | 佳能株式会社 | 信息处理装置、信息处理装置的控制方法、信息处理系统和计算机程序 |
| JPWO2016092630A1 (ja) * | 2014-12-09 | 2017-09-21 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム |
| CN107004094B (zh) * | 2014-12-09 | 2021-01-15 | 佳能株式会社 | 信息处理装置、信息处理装置的控制方法、信息处理系统和计算机程序 |
| US20210359982A1 (en) * | 2018-03-07 | 2021-11-18 | Turbo Business Suite LLC | Consumer-Authorized Controlled Distribution of Trusted Source Data |
| JP2019036347A (ja) * | 2018-10-24 | 2019-03-07 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム |
| JP2021022299A (ja) * | 2019-07-30 | 2021-02-18 | 京セラドキュメントソリューションズ株式会社 | 情報処理システム、情報処理装置、および情報処理方法 |
| JP7331532B2 (ja) | 2019-07-30 | 2023-08-23 | 京セラドキュメントソリューションズ株式会社 | 情報処理システム、情報処理装置、および情報処理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10853805B2 (en) | Data processing system utilising distributed ledger technology | |
| US8015600B2 (en) | Employing electronic certificate workflows | |
| US7380008B2 (en) | Proxy system | |
| US6453353B1 (en) | Role-based navigation of information resources | |
| EP1358572B1 (en) | Support for multiple data stores | |
| US7349912B2 (en) | Runtime modification of entries in an identity system | |
| US6675261B2 (en) | Request based caching of data store data | |
| CN102281286B (zh) | 分布式混合企业的灵活端点顺从和强认证的方法和系统 | |
| US7673047B2 (en) | Determining a user's groups | |
| US20080263640A1 (en) | Translation Engine for Computer Authorizations Between Active Directory and Mainframe System | |
| JP2004164600A (ja) | オンライン識別の同意ポリシーを適用する方法およびシステム | |
| US20040073668A1 (en) | Policy delegation for access control | |
| US20090126007A1 (en) | Identity management suite | |
| JP2006164247A (ja) | フェデレーテッド・リソースにアクセスするためのトークンの提供 | |
| JPWO2005006204A1 (ja) | データベースアクセス制御方法、データベースアクセス制御装置、代理処理サーバ装置、データベースアクセス制御のためのプログラム、および該プログラムを記録した記録媒体 | |
| ES2266513T3 (es) | Metodo y aparato para rastrear el estado de recursos en un sistema para dirigir el uso de los recursos. | |
| CN111274569A (zh) | 统一登录认证的研发运维集成系统及其登录认证方法 | |
| JP2004110335A (ja) | アクセス制御システム | |
| US8171530B2 (en) | Computer access security | |
| Jensen et al. | Security policy management for handheld devices | |
| JP2004086313A (ja) | 認証方法及びその装置 | |
| López et al. | Ubiquitous Internet access control: the PAPI system | |
| Bindiganavale et al. | Role based access control in enterprise application-security administration and user management | |
| Jensen et al. | Policy expression and enforcement for handheld devices | |
| Paiusescu et al. | Efficient datacenters management for network and security operations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20031226 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040205 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041213 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20070709 |