JP2004318323A - Information management system and program - Google Patents

Information management system and program Download PDF

Info

Publication number
JP2004318323A
JP2004318323A JP2003109075A JP2003109075A JP2004318323A JP 2004318323 A JP2004318323 A JP 2004318323A JP 2003109075 A JP2003109075 A JP 2003109075A JP 2003109075 A JP2003109075 A JP 2003109075A JP 2004318323 A JP2004318323 A JP 2004318323A
Authority
JP
Japan
Prior art keywords
access
link
access request
authentication
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003109075A
Other languages
Japanese (ja)
Inventor
Ichiro Sugitani
一郎 杉谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kao Corp
Original Assignee
Kao Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kao Corp filed Critical Kao Corp
Priority to JP2003109075A priority Critical patent/JP2004318323A/en
Publication of JP2004318323A publication Critical patent/JP2004318323A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a file management system for improving convenience of frequent browsing of concealing information by making impossible directly unauthorized access to the concealing information, securing high security, and leaving a prescribed time designating once set link as it is. <P>SOLUTION: Information having access restriction is put out of a web accessible region, the link is set each time only when an access from a user having an access right exists, and the access is enabled for information having access restriction. In addition, a period omitting authentication for prescribed time is provided. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、Webブラウジングに利用するに適する。特に、一つの端末装置を複数のユーザが共有するイントラネットに利用するに適する。本発明は、Webブラウジングシステムにおけるセキュリティ確保技術に関する。
【0002】
【従来の技術】
従来の情報管理システムを図6を参照して説明する。図6は従来の情報管理システムの概念図である。図6に示す従来の情報管理システムでは、ユーザがデータベース5に格納された文書ファイルなどの情報を閲覧したいときには、端末装置1からアクセス要求をゲートウェイ装置2に送出する。
【0003】
端末装置1からアクセス要求を受け取ったゲートウェイ装置2は、当該アクセス要求に含まれる認証情報を認証サーバ3に転送する。認証サーバ3は、アクセス要求に含まれる認証情報と、あらかじめ認証情報データベース14に格納されている認証情報とを用いてユーザの正当性を評価する。このような認証技術は、例えば、ユーザIDおよびパスワードの照合あるいは公開鍵および秘密鍵を用いた認証などが既知の技術として存在するが、いずれを用いてもよく、本発明とは直接関係しないので、ここでの詳細な説明は省略する。
【0004】
このようにして、ユーザの正当性が認証されると、その認証結果はゲートウェイ装置2に通知される。ゲートウェイ装置2は、ユーザの正当性が認証された場合に限り、端末装置1のデータベース5に対するアクセスを許可して中継する(例えば、特許文献1参照)。
【0005】
以上の説明では、説明をわかりやすくするために、データベース5全体についてのアクセス制限の例を説明したが、データベース5の特定の情報についてのみアクセス制限を行うこともできる。
【0006】
例えば、端末装置1を複数のユーザが共有するイントラネットのような利用形態を想定すると、一つの企業内に、複数のプロジェクトチームがあり、個々にイントラネットを利用している場合に、それらのプロジェクトを一括管理する立場の担当者は、個々のプロジェクトの作業内容を大まかに把握するために、アクセス制限が無く、各プロジェクトの情報にアクセスできる権限を有する。しかし、特定の添付ファイルの閲覧に関しては、該当するプロジェクトチームのメンバーにのみアクセス権があるといった利用形態がある。
【0007】
【特許文献1】
特開2001−67319号公報
【0008】
【発明が解決しようとする課題】
このような従来の情報管理システムで、端末装置1を複数のユーザが共有するイントラネットのような利用形態を想定した場合に、アクセス権限のあるユーザが端末装置1を用いてデータベース5の情報を閲覧した後に、アクセス権限の無いユーザが端末装置1を利用する場合を考えると、ブラウザが持っている前使用者のアクセス履歴を辿ることにより、前使用者が閲覧した情報の閲覧が可能となる。これにより、アクセス権限の無いユーザであってもデータベース5の情報を閲覧できてしまうことになり、アクセス制限が無効になってしまう。
【0009】
この対策として一般的に行われているのは、データベースへのアクセスを、全てCGI(Common Gateway Interface)などを通して動的に行う方式である。この方式ではブラウザのキャッシュが無効となり、アクセス履歴にはCGIのアドレスのみが記載されるが、添付ファイルの閲覧はその都度CGIに渡すパラメータを適切に設定しなければならないため、単なる履歴の再表示では内容表示が不可能である。
【0010】
しかし、閲覧CGIのアドレスと閲覧に必要な変数は、一般的には添付ファイル閲覧時にソースまたはURLに記述されているため、知識のあるユーザがこれを解析して添付ファイルの閲覧が可能になってしまう危険性は否めない。
【0011】
いずれにしても、添付ファイルをWebアクセス可能な領域に置いている以上、添付ファイルのアドレスが何らかの方法でアクセス権限の無いユーザに知られた場合には、情報内容の漏洩が不可避である。
【0012】
本発明は、このような背景に行われたものであって、秘匿情報への直接の不正アクセスは不可能であり、高いセキュリティ性を確保することができ、また、一度設定したリンクを指定された所定時間はそのままにしておくことにより、頻繁な秘匿情報の閲覧の利便性を向上させることができる情報管理システムを提供することを目的とする。
【0013】
【課題を解決するための手段】
本発明は、アクセス制限のある情報をWebアクセス可能な領域の外に置き、アクセス権を有するユーザからのアクセスがあるときにだけ、その都度リンクを設定し、アクセス制限のある情報にアクセス可能とすることを特徴とする。これにより、アドレスを不正に入手して行われるWebアクセス可能な領域に存在する情報に対する不正アクセスに対処することができる。
【0014】
すなわち、本発明の第一の観点は、第一の記憶手段と、この第一の記憶手段に対する第一のアクセス要求が到着すると当該第一のアクセス要求送出元の正当性を評価する第一の認証手段と、この第一の認証手段による認証結果が正当であるときには、前記第一の記憶手段に対する前記第一のアクセス要求送出元のアクセスを中継する手段とを備えた情報管理システムである。
【0015】
ここで、本発明の特徴とするところは、前記アクセス要求送出元によるアクセスが不可能な領域に設置された第二の記憶手段と、前記アクセス要求送出元によるアクセスが可能な領域に設置されこの第二の記憶手段に対する第二のアクセス要求が到着すると当該第二のアクセス要求送出元の正当性を評価する第二の認証手段と、この第二の認証手段による認証結果が正当であるときには、前記アクセスを中継する手段と前記第二の記憶手段との間にリンクを設定する手段とを備え、前記アクセスを中継する手段は、前記リンクを介して前記第二の記憶手段に対する前記第二のアクセス要求送出元のアクセスを中継する手段を備えたところにある。
【0016】
このように、第一のアクセス要求送出元からはアクセス不可能な領域に、例えば、秘匿情報を置いておくことにより、秘匿情報への直接の不正アクセスは不可能であり、高いセキュリティ性を確保することができる。
【0017】
また、前記リンクを設定する手段は、前記第二の記憶手段に対するアクセスの終了を検出したときに前記リンクを解放する手段を備えることが望ましい。
【0018】
これにより、前記リンクを不正使用される確率を低減させることができるため、高いセキュリティ性を確保することができる。
【0019】
あるいは、前記リンクを設定する手段は、前記第二の記憶手段に対するアクセスの終了を検出したときから所定時間経過後に前記リンクを解放する手段を備えてもよい。
【0020】
これにより、一度設定した前記リンクをしばらくの間はそのままにしておき、その間は、秘匿情報へのアクセスを簡単に行えるようにすることができる。例えば、プロジェクトチームの会議が開催されている期間中はリンクを確立しておけば、秘匿情報を頻繁に閲覧する場合に便利である。
【0021】
さらに、前記第二のアクセス要求には前記所定時間を指定する情報が書込まれ、前記所定時間経過後に前記リンクを解放する手段は、前記指定する情報に基づきシステムが許容する時間範囲内で所定時間を設定する手段を備えることもできる。これにより、ユーザが必要とする所定時間を任意に設定することができる。
【0022】
本発明の第二の観点は、第一の記憶手段と、この第一の記憶手段に対する第一のアクセス要求が到着すると当該第一のアクセス要求送出元の正当性を評価する第一の認証手段と、この第一の認証手段による認証結果が正当であるときには、前記第一の記憶手段に対する前記第一のアクセス要求送出元のアクセスを中継する手段とを備えた情報管理システムに適用される情報管理装置である。
【0023】
ここで、本発明の特徴とするところは、前記アクセス要求送出元によるアクセスが不可能な領域に設置された第二の記憶手段と、前記アクセス要求送出元によるアクセスが可能な領域に設置されこの第二の記憶手段に対する第二のアクセス要求が到着すると当該第二のアクセス要求送出元の正当性を評価する第二の認証手段と、この第二の認証手段による認証結果が正当であるときには、前記アクセスを中継する手段と前記第二の記憶手段との間にリンクを設定する手段とを備えたところにある。
【0024】
前記リンクを設定する手段は、前記第二の記憶手段に対するアクセスの終了を検出したときに前記リンクを解放する手段を備えることが望ましい。
【0025】
あるいは、前記リンクを設定する手段は、前記第二の記憶手段に対するアクセスの終了を検出したときから所定時間経過後に前記リンクを解放する手段を備えることもできる。
【0026】
このときには、前記第二のアクセス要求には前記所定時間を指定する情報が書込まれ、前記所定時間経過後に前記リンクを解放する手段は、前記指定する情報に基づきシステムが許容する時間範囲内で所定時間を設定する手段を備えることが望ましい。
【0027】
本発明の第三の観点は、第一の記憶機能と、この第一の記憶機能に対する第一のアクセス要求が到着すると当該第一のアクセス要求送出元の正当性を評価する第一の認証機能と、この第一の認証機能による認証結果が正当であるときには、前記第一の記憶機能に対する前記第一のアクセス要求送出元のアクセスを中継する機能とを備えた情報管理システムに適用されるプログラムである。
【0028】
ここで、本発明の特徴とするところは、前記アクセス要求送出元によるアクセスが不可能な領域に設置された第二の記憶機能が設けられ、情報処理装置にインストールすることにより、その情報処理装置に、前記アクセス要求送出元によるアクセスが可能な領域に設置され前記第二の記憶機能に対する第二のアクセス要求が到着すると当該第二のアクセス要求送出元の正当性を評価する第二の認証機能と、この第二の認証機能による認証結果が正当であるときには、前記アクセスを中継する機能と前記第二の記憶機能との間にリンクを設定する機能とを実現させるところにある。
【0029】
また、前記リンクを設定する機能として、前記第二の記憶機能に対するアクセスの終了を検出したときに前記リンクを解放する機能を実現させることが望ましい。
【0030】
あるいは、前記リンクを設定する機能として、前記第二の記憶機能に対するアクセスの終了を検出したときから所定時間経過後に前記リンクを解放する機能を実現させることもできる。
【0031】
このとき、前記第二のアクセス要求には前記所定時間を指定する情報が書込まれ、前記所定時間経過後に前記リンクを解放する機能として、前記指定する情報に基づきシステムが許容する時間範囲内で所定時間を設定する機能を実現させることもできる。
【0032】
本発明のプログラムは記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
【0033】
これにより、コンピュータ装置等の情報処理装置を用いて、秘匿情報への直接の不正アクセスは不可能であり、高いセキュリティ性を確保することができ、また、一度設定したリンクを指定された所定時間はそのままにしておくことにより、頻繁な秘匿情報の閲覧の利便性を向上させることができる情報管理システムを実現することができる。
【0034】
【発明の実施の形態】
本発明実施形態の情報管理システムを図1ないし図4を参照して説明する。図1は本発明実施形態の情報管理システムの全体構成図であり、秘匿情報データベースへのトンネルリンクが設定されていない状況を示す図である。図2は本発明実施形態の情報管理システムの全体構成図であり、秘匿情報データベースへのトンネルリンクが設定されている状況を示す図である。図3はトンネルリンク設定解放手順を示すフローチャートである。図4は文書ファイルリストの表示状況を示す図である。図5は端末装置と秘匿情報データベースとの間のリンク設定および解放手順を示すシーケンス図である。
【0035】
本発明実施形態は、図1または図2に示すように、第一の記憶手段としての一般情報が蓄積された一般情報データベース5−1と、この一般情報データベース5−1に対する第一のアクセス要求が到着すると当該第一のアクセス要求送出元の正当性を評価する第一の認証手段としての認証サーバ3と、この認証サーバ3による認証結果が正当であるときには、一般情報データベース5−1に対する前記第一のアクセス要求送出元のアクセスを中継する手段としてのゲートウェイ装置2とを備えた情報管理システムである。
【0036】
ここで、本実施例の特徴とするところは、前記アクセス要求送出元によるアクセスが不可能な領域に設置され秘匿情報が蓄積された第二の記憶手段としての秘匿情報データベース5−2と、前記アクセス要求送出元によるアクセスが可能な領域に設置されこの秘匿情報データベース5−2に対する第二のアクセス要求が到着すると当該第二のアクセス要求送出元の正当性を評価する第二の認証手段としてのトンネルリンク装置(親)6−1とを備え、さらに、このトンネルリンク装置(親)6−1は、認証結果が正当であるときには、ゲートウェイ装置2と秘匿情報データベース5−2との間にトンネルリンク装置(子)6−2を介してリンクを設定する手段を備え、ゲートウェイ装置2は、前記リンクを介して秘匿情報データベース5−2に対する前記第二のアクセス要求送出元のアクセスを中継する手段を備えたところにある。
【0037】
また、トンネルリンク装置(親)6−1および(子)6−2は、ゲートウェイ装置2による秘匿情報データベース5−2に対するアクセスの終了を検出したときに前記リンクを解放する手段を備える。あるいは、ゲートウェイ装置2による秘匿情報データベース5−2に対するアクセスの終了を検出したときから所定時間経過後に前記リンクを解放する手段を備える。本実施例では、当該所定時間を“0”とすることにより、前者の構成を実現する。さらに、前記第二のアクセス要求には前記所定時間を指定する情報が書込まれ、トンネルリンク装置(親)6−1および(子)6−2は、前記指定する情報に基づきシステムが許容する時間範囲内で所定時間を設定する手段を備える。
【0038】
なお、トンネルリンク装置(親)6−1および(子)6−2と秘匿情報データベース5−2とを一つの情報管理装置として別途構成しておき、これを図6に示す従来の情報管理システムに追加増設することにより、本発明実施形態の情報管理システムを構成することができる。すなわち、図6に示す従来の情報管理システムのゲートウェイ装置2とデータベース5との間にトンネルリンク装置(親)6−1を挿入し、別途、端末装置1からは通常Webアクセス不可能な領域に、トンネルリンク装置(子)6−2および秘匿情報データベース5−2を設置することによって、本発明実施形態の情報管理システムを構成することができる。この場合には、図6に示すデータベース5は、図1および図2に示す一般情報データベース5−1に相当する。
【0039】
なお、認証サーバ3、下位認証情報データベース4、上位認証情報データベース7は、端末装置1からの直接のWebアクセスは不可能である。
【0040】
次に、本発明実施形態の動作を説明する。端末装置1は、一般情報データベース5−1にアクセスして一般情報を取得する。この手順は「従来の技術」で説明したとおりである。例えば、文書ファイルリストを取得すると、端末装置1の画面には図4(a)に示すような表示が行われる。図4(a)の文書ファイルリストで区分「一般」は一般情報データベース5−1に格納されている情報を示し、区分「秘匿」は秘匿情報データベース5−2に格納されている情報を示す。例えば、区分「一般」の寸法設計を選択すると、図4(b)に示すように、寸法図が表示される。これに対し、例えば、区分「秘匿」の強度試験を選択すると、図4(c)に示すように、トンネルリンク装置(親)6−1はユーザに対して認証情報の入力を要求する。図4(c)の例では、ユーザIDとパスワードの入力が要求される。ユーザがユーザIDとパスワードを入力し、これをトンネルリンク装置(親)6−1が認証すると図4(d)に示すように、秘匿情報である強度試験データが表示される。
【0041】
なお、いったん認証に成功すると、所定時間内は認証が省略されるため、図4(a)の文書ファイルリストの区分「秘匿」をクリックして選択すると即座に、図4(d)の表示が行われる。これにより、当該所定時間内は区分「一般」と同様の手順により情報を閲覧することができる。
【0042】
次に、本発明実施形態のトンネルリンク設定解放手順を図3を参照して説明する。図3のフローチャートは、端末装置1と一般情報データベース5−1との間で既にアクセスが行われている状態をステップ1としている。このときに、トンネルリンク装置(親)6−1は、図1に示すように、一般情報データベース5−1と端末装置1との間のアクセスを中継している。
【0043】
ここで、端末装置1から秘匿情報データベース5−2に対して文書ファイルを登録する場合について説明する。文書ファイル登録に先立って、端末装置1では、文書登録フォームの生成を行う。文書登録フォームは、例えば、セキュリティ情報として氏名識別ID、端末アドレス、WebサーバプロセスIDと、文書種別、文書登録ディレクトリがフォーム変数として埋め込まれる。また、本実施例では、これに加えて、トンネルリンクを保持しておく所定時間を指定する。これらは秘匿情報データベース5−2に対するアクセス要求としてトンネルリンク装置(親)6−1宛てに送出される。トンネルリンク装置(親)6−1では、アクセス要求が有ると(ステップ2)、上位認証を実行する(ステップ3)。すなわち、アクセス要求に埋め込まれたセキュリティ情報と、上位認証情報データベース7にあらかじめ格納されているセキュリティ情報とを用いて認証を実行する。このときに、文書種別毎に指定されている文書ディレクトリの開始位置が登録文書ディレクトリと一致しているか否かを確認することにより、文書ファイルの登録ディレクトリが不正に改竄されていないことも併せて確認する保存ディレクトリの整合性確認を行う。さらに、認証省略期間を過ぎているか否かを確認し、認証省略期間内であれば認証を省略する。
【0044】
これにより、認証が成立すると(ステップ4)、トンネルリンク装置(親)6−1は、トンネルリンク装置(子)6−2に対してトンネルリンク設定要求を送出する。これにより、トンネルリンク装置(親)6−1と(子)6−2と秘匿情報データベース5−2との間にトンネルリンクが設定される(ステップ5)。さらに、トンネルリンク装置(親)6−1および(子)6−2は、端末装置1と秘匿情報データベース5−2との間のアクセスを中継する(ステップ6)。端末装置1は、秘匿情報データベース5−2とのアクセスが可能になると、秘匿情報データベース5−2の登録文書ディレクトリ上に文書ファイルを登録する。
【0045】
トンネルリンク装置(親)6−1および(子)6−2では、端末装置1と秘匿情報データベース5−2との間のアクセスの有無をトラフィックを観測することによって監視し、アクセスが終了したことを検出すると(ステップ7)、アクセス要求に埋め込まれていたトンネルリンクを保持しておく所定時間トンネルリンクを保持し(ステップ8)、所定時間が経過したら(ステップ9)、トンネルリンクを解放する(ステップ10)。これにより、以降は、Webアクセス可能領域から秘匿情報にアクセスすることは不可能になり、強固なセキュリティが確保される。
【0046】
次に、端末装置1から秘匿情報データベース6−2の文書ファイルを閲覧する場合について説明する。端末装置1では、図4(a)に示すような文書ファイルリストが表示される。その中から区分が「秘匿」の文書ファイルが選択されてクリックされると、秘匿情報データベース5−2とのアクセス要求には、例えば、端末アドレス、認証有効期限、WebサーバプロセスID、ファイルシステム識別番号、ファイル識別番号、ファイル拡張子が埋め込まれる。また、本実施例では、これに加えて、トンネルリンクを保持しておく所定時間を指定する。
【0047】
これらは秘匿情報データベース5−2に対するアクセス要求としてトンネルリンク装置(親)6−1宛てに送出される。トンネルリンク装置(親)6−1では、アクセス要求が有ると(ステップ2)、上位認証を実行する(ステップ3)。すなわち、アクセス要求に埋め込まれたセキュリティ情報と、上位認証情報データベース7にあらかじめ格納されているセキュリティ情報とを用いて認証を実行する。このときに、認証省略期間を過ぎているか否かを確認し、認証省略期間内であれば認証を省略する。
【0048】
これにより、認証が成立すると(ステップ4)、トンネルリンク装置(親)6−1は、トンネルリンク装置(子)6−2に対してトンネルリンク設定要求を送出する。これにより、トンネルリンク装置(親)6−1と(子)6−2と秘匿情報データベース5−2との間にトンネルリンクが設定される(ステップ5)。さらに、トンネルリンク装置(親)6−1および(子)6−2は、端末装置1と秘匿情報データベース5−2との間のアクセスを中継する(ステップ6)。端末装置1は、秘匿情報データベース5−2とのアクセスが可能になると、秘匿情報データベース5−2の登録文書ディレクトリ上の文書ファイルを閲覧する。
【0049】
トンネルリンク装置(親)6−1および(子)6−2では、端末装置1と秘匿情報データベース5−2との間のアクセスの有無をトラフィックを観測することによって監視し、アクセスが終了したことを検出すると(ステップ7)、アクセス要求に埋め込まれていたトンネルリンクを保持しておく所定時間トンネルリンクを保持し(ステップ8)、所定時間が経過したら(ステップ9)、トンネルリンクを解放する(ステップ10)。これにより、以降は、Webアクセス可能領域から秘匿情報にアクセスすることは不可能になり、強固なセキュリティが確保される。
【0050】
次に、端末装置1と秘匿情報データベース5−2との間におけるリンク設定および解放手順を図5を参照して説明する。ゲートウェイ装置2は既に端末装置1のユーザの認証に成功しており、端末装置1は、一般情報データベース5−1に対するアクセスが可能である。このときに、端末装置1のユーザが秘匿情報データベース5−2にアクセスしようとする場合には、図4(a)に示した区分「秘匿」をユーザがクリックして選択すると、端末装置1はゲートウェイ装置2に対して秘匿情報データベース6−2とのアクセス要求を送出する。
【0051】
ゲートウェイ装置2は、トンネルリンク装置(親)6−1にこのアクセス要求を中継する。トンネルリンク装置(親)6−1は、端末装置1の秘匿情報データベース5−2に対するアクセス要求を受け付けると、ゲートウェイ装置2を介して端末装置1に対し認証情報を要求する。これにより、端末装置1には図4(c)に示す表示が行われる。
【0052】
端末装置1のユーザは認証情報としてユーザIDおよびパスワードを入力する。この認証情報入力はゲートウェイ装置2を介してトンネルリンク装置(親)6−1に転送される。トンネルリンク装置(親)6−1は、ユーザの認証を実行する。本実施例では、ユーザIDおよびパスワードを用いた認証を例示したが、これに限定することなく、例えば、既知の技術である秘密鍵、公開鍵を用いた認証を用いてもよい。
【0053】
その結果、ユーザの認証に失敗した場合にはアクセス拒否通知をゲートウェイ装置2に送出する。ゲートウェイ装置2は当該アクセス拒否通知を端末装置1に中継する。また、トンネルリンク装置(親)6−1がアクセス要求の認証に成功すると、トンネルリンク装置(子)6−2までの間の下りリンク(トンネルリンク装置(親)6−1から秘匿情報データベース5−2に向かう方向のリンクを下りリンクという)を設定すると共にトンネルリンク装置(子)6−2にリンク設定要求を送出する。
【0054】
トンネルリンク装置(子)6−2は、トンネルリンク装置(親)6−1からリンク設定要求を受け取ると、秘匿情報データベース5−2までの間の下りリンクを設定すると共に当該リンク設定要求を秘匿情報データベース5−2に中継する。トンネルリンク装置(子)6−2からリンク設定要求を受け取った秘匿情報データベース5−2は、下りリンク設定完了を確認し、さらに、トンネルリンク装置(子)6−2までの間の上りリンク(秘匿情報データベース5−2からトンネルリンク装置(親)6−1に向かう方向のリンクを上りリンクという)を設定すると共にトンネルリンク装置(子)6−2にリンク設定完了通知を送出する。
【0055】
秘匿情報データベース6−2からリンク設定完了通知を受け取ったトンネルリンク装置(子)6−2は、トンネルリンク装置(親)6−1までの間の上りリンク設定を設定すると共にリンク設定完了通知をトンネルリンク装置(親)6−1に送出する。トンネルリンク装置(子)6−2からリンク設定完了通知を受け取ったトンネルリンク装置(親)6−1は、上りリンクの設定完了を確認すると、ゲートウェイ装置2に対してアクセス許可通知を送出する。ゲートウェイ装置2は当該アクセス許可通知を端末装置1に送出する。
【0056】
端末装置1はアクセス許可通知を受け取ると、秘匿情報データベース5−2に対するアクセスが可能になった旨を表示する。ユーザはこの表示により秘匿情報データベース5−2に対するアクセスが可能になったことを知り、端末装置1により秘匿情報データベース5−2に対するアクセスを実行する。
【0057】
トンネルリンク装置(親)6−1は、トラフィックを監視することにより、端末装置1と秘匿情報データベース5−2との間のアクセスが終了したことを検出すると、所定時間経過後にトンネルリンク装置(子)6−2に対してリンク解放要求を送出すると共に、トンネルリンク装置(子)6−2との間の下りリンクを解放する。
【0058】
トンネルリンク装置(子)6−2は、リンク解放要求を受け取ると、秘匿情報データベース5−2に対してリンク解放要求を送出すると共に、秘匿情報データベース5−2との間の下りリンクを解放する。秘匿情報データベース5−2は、リンク解放要求を受け取ると、下りリンクの解放を確認してリンク解放通知をトンネルリンク装置(子)6−2に送出すると共に、トンネルリンク装置(子)6−2との間の上りリンクを解放する。
【0059】
秘匿情報データベース5−2からリンク解放通知を受け取ったトンネルリンク装置(子)6−2は、当該リンク解放通知をトンネルリンク装置(親)6−1に送出すると共に、トンネルリンク装置(親)6−1との間の上りリンクを解放する。
【0060】
トンネルリンク装置(子)6−2からのリンク解放通知を受け取ったトンネルリンク装置(親)6−1は、上りリンクの解放を確認して一連の処理を終了する。
【0061】
本実施の形態の情報管理システムは、情報処理装置を用いて実現することができる。すなわち、情報処理装置にインストールすることにより、その情報処理装置に、アクセス要求送出元によるアクセスが可能な領域に設置され秘匿情報データベース5−2に対する第二のアクセス要求が到着すると当該第二のアクセス要求送出元の正当性を評価する第二の認証機能と、この第二の認証機能による認証結果が正当であるときには、ゲートウェイ装置2と秘匿情報データベース5−2との間にリンクを設定する機能とをトンネルリンク装置(親)6−1および(子)6−2として実現させ、さらに、前記リンクを設定する機能として、秘匿情報データベース6−2に対するアクセスの終了を検出したときに前記リンクを解放する機能を実現させる、あるいは、前記リンクを設定する機能として、秘匿情報データベース5−2に対するアクセスの終了を検出したときから所定時間経過後に前記リンクを解放する機能を実現させ、さらに、前記第二のアクセス要求には前記所定時間を指定する情報が書込まれ、前記所定時間経過後に前記リンクを解放する機能として、前記指定する情報に基づきシステムが許容する時間範囲内で所定時間を設定する機能を実現させるプログラムを情報処理装置にインストールすることにより、この情報処理装置を本発明実施形態の情報管理システムに相応する装置とすることができる。
【0062】
この本発明実施形態のプログラムはCD−ROMなどの記録媒体8−1および8−2に記録されることにより、前記情報処理装置は、この記録媒体8−1および8−2を用いて本発明実施形態のプログラムをインストールすることができる。あるいは、本発明実施形態のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明実施形態のプログラムをインストールすることもできる。
【0063】
これにより、情報処理装置を用いて、秘匿情報への直接の不正アクセスは不可能であり、高いセキュリティ性を確保することができ、また、一度設定したリンクを指定された所定時間はそのままにしておくことにより、頻繁な秘匿情報の閲覧の利便性を向上させることができる本発明実施形態の情報管理システムを実現することができる。
【0064】
なお、本発明実施形態の情報管理システムは、図6に示した従来例との差異を明確にする目的で、図6に示した従来例の構成に対し、トンネルリンク装置(親)6−1および(子)6−2および上位認証情報データベース7を追加し、また、従来例のデータベース5を一般情報データベース5−1と秘匿情報データベース5−2とに分けることによって本発明実施形態の情報管理システムを構成する例を示した。
【0065】
しかし、図1および図2に示した構成からゲートウェイ装置2、認証サーバ3、下位認証情報データベース4を省き、トンネルリンク装置(親)6−1がゲートウェイ装置2および認証サーバ3の機能を兼ね、上位認証情報データベース7が下位認証情報データベース4の機能を兼ねる構成とすることもできる。さらに、認証に上位、下位のランクを設けることなく、下位認証情報データベース4と上位認証情報データベース7との区別を排し、認証情報データベースを一本化してもよい。このような構成とした場合であっても本発明の本質に影響しないことは容易に類推できるので、詳細な説明は省略する。
【0066】
なお、文書ファイルの閲覧に際しては、ユーザに対し、Webアクセス不可能領域に設置されている秘匿情報データベース5−2に登録された文書ファイルを、トンネルリンクを用いることにより、あたかも、Webアクセス可能領域に在るかのように閲覧可能とすることがユーザの利便性を確保する上で不可欠であるが、文書ファイルの登録に際しては、ユーザに対し、Web不可能領域に設置された秘匿情報データベース5−2を、あたかも、Webアクセス可能領域に在るかのように見せる必要性はなく、単に、ユーザが登録を希望する文書ファイルが秘匿情報データベース5−2に転送されるだけでよい。
【0067】
そこで、トンネルリンクを用いずに、Webサーバ・プログラムを用いて文書ファイルの登録を行うこともできる。Webサーバ・プログラムとは、情報管理システムを構成する全ての資源にアクセス可能なプログラムであり、また、ユーザからは改変不可能なプログラムである。
【0068】
このWebサーバ・プログラムを、図1に示すシステム構成のWebアクセス可能領域に置いておき、ゲートウェイ装置2が端末装置1からの文書ファイルの登録を受け付けたときには、このWebサーバ・プログラムを起動させて、ユーザ認証および保存ディレクトリ整合性確認を行い、その後、端末装置1から受け取った文書ファイルを、このWebサーバ・プログラムが秘匿情報データベース5−2に転送して登録する。
【0069】
すなわち、Webサーバ・プログラムは、端末装置1からの秘匿情報データベース5−2への文書ファイルの登録を仲介する。これによれば、秘匿情報データベース5−2は、文書ファイルの登録に際しては、たとえ一時的にもWebアクセス可能領域とリンクされることはないので、強固なセキュリティ性を確保することができる。
【0070】
【発明の効果】
以上説明したように、本発明によれば、秘匿情報への直接の不正アクセスは不可能であり、高いセキュリティ性を確保することができ、また、一度設定したリンクを指定された所定時間はそのままにしておくことにより、頻繁な秘匿情報の閲覧の利便性を向上させることができる情報管理システムを提供することができる。
【図面の簡単な説明】
【図1】本発明実施形態の情報管理システムの全体構成図であり、秘匿情報データベースへのトンネルリンクが設定されていない状況を示す図。
【図2】本発明実施形態の情報管理システムの全体構成図であり、秘匿情報データベースへのトンネルリンクが設定されている状況を示す図。
【図3】本発明実施形態のトンネルリンク設定解放手順を示すフローチャート。
【図4】本発明実施形態の文書ファイルリストの表示状況を示す図。
【図5】本発明実施形態の端末装置と秘匿情報データベースとの間のリンク設定および解放手順を示すシーケンス図。
【図6】従来の情報管理システムの全体構成図。
【符号の説明】
1 端末装置
2 ゲートウェイ装置
3 認証サーバ
4 下位認証情報データベース
5 データベース
5−1 一般情報データベース
5−2 秘匿情報データベース
6−1 トンネルリンク装置(親)
6−2 トンネルリンク装置(子)
7 上位認証情報データベース
8−1、8−2 記録媒体
14 認証情報データベース[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention is suitable for use in Web browsing. In particular, it is suitable for using one terminal device for an intranet shared by a plurality of users. The present invention relates to a technology for ensuring security in a Web browsing system.
[0002]
[Prior art]
A conventional information management system will be described with reference to FIG. FIG. 6 is a conceptual diagram of a conventional information management system. In the conventional information management system shown in FIG. 6, when a user wants to view information such as a document file stored in the database 5, an access request is sent from the terminal device 1 to the gateway device 2.
[0003]
The gateway device 2 that has received the access request from the terminal device 1 transfers the authentication information included in the access request to the authentication server 3. The authentication server 3 evaluates the validity of the user using the authentication information included in the access request and the authentication information stored in the authentication information database 14 in advance. As such an authentication technique, for example, verification of a user ID and a password or authentication using a public key and a secret key exists as a known technique. However, any of these techniques may be used and is not directly related to the present invention. Here, detailed description is omitted.
[0004]
When the validity of the user is authenticated in this way, the authentication result is notified to the gateway device 2. Only when the validity of the user is authenticated, the gateway device 2 permits access to the database 5 of the terminal device 1 and relays the access (for example, see Patent Document 1).
[0005]
In the above description, the example of the access restriction for the entire database 5 has been described for the sake of simplicity. However, the access restriction may be performed only for specific information of the database 5.
[0006]
For example, assuming a usage form such as an intranet in which a plurality of users share the terminal device 1, if there are a plurality of project teams in one company and each uses the intranet, those projects are The person in charge of collective management has no access restrictions and has the authority to access information on each project in order to roughly grasp the work contents of each project. However, there is a usage form in which only a member of the project team has an access right for browsing a specific attached file.
[0007]
[Patent Document 1]
JP 2001-67319 A
[0008]
[Problems to be solved by the invention]
In such a conventional information management system, when a usage form such as an intranet in which a plurality of users share the terminal device 1 is assumed, a user with access authority browses information in the database 5 using the terminal device 1. After that, when a user who does not have access authority uses the terminal device 1, by tracing the access history of the previous user possessed by the browser, the information browsed by the previous user can be browsed. As a result, even a user without access authority can browse the information in the database 5, and the access restriction becomes invalid.
[0009]
As a countermeasure for this, a method is generally used in which access to a database is dynamically performed through a CGI (Common Gateway Interface). In this method, the cache of the browser is invalidated, and only the CGI address is described in the access history. However, when browsing the attached file, the parameters passed to the CGI must be appropriately set each time, so the history is simply redisplayed. Cannot display the contents.
[0010]
However, since the address of the browsing CGI and the variables necessary for browsing are generally described in the source or URL when browsing the attached file, a knowledgeable user can analyze this and browse the attached file. There is no denying the danger of doing so.
[0011]
In any case, as long as the attached file is placed in a Web-accessible area and the address of the attached file is known to a user without access authority in any way, leakage of information content is inevitable.
[0012]
The present invention has been made in such a background, direct unauthorized access to confidential information is not possible, high security can be ensured, and a link once set is designated. An object of the present invention is to provide an information management system that can improve the convenience of frequently browsing confidential information by leaving the predetermined time as it is.
[0013]
[Means for Solving the Problems]
According to the present invention, information with access restriction is placed outside a Web-accessible area, and a link is set each time only when there is an access from a user having an access right to enable access to information with access restriction. It is characterized by doing. This makes it possible to cope with unauthorized access to information existing in a Web accessible area, which is performed by illegally obtaining an address.
[0014]
That is, a first aspect of the present invention is a first storage unit, and a first access unit that evaluates the validity of a first access request transmission source when a first access request to the first storage unit arrives. An information management system comprising: an authentication unit; and a unit that relays an access of the first access request source to the first storage unit when an authentication result by the first authentication unit is valid.
[0015]
Here, the feature of the present invention resides in that the second storage means installed in an area where access by the access request sender is not possible, and the second storage means which is installed in an area accessible by the access request sender. When the second access request to the second storage unit arrives, the second authentication unit that evaluates the validity of the source of the second access request, and when the authentication result by the second authentication unit is valid, Means for setting a link between the means for relaying the access and the second storage means, wherein the means for relaying the access is the second storage means for the second storage means via the link. There is a means for relaying the access of the access request source.
[0016]
In this way, for example, by placing confidential information in an area inaccessible from the source of the first access request, direct unauthorized access to confidential information is not possible, and high security is ensured. can do.
[0017]
Preferably, the means for setting the link includes means for releasing the link when detecting the end of access to the second storage means.
[0018]
This can reduce the probability of illegal use of the link, thereby ensuring high security.
[0019]
Alternatively, the means for setting the link may include means for releasing the link after a lapse of a predetermined time from when the end of access to the second storage means is detected.
[0020]
As a result, it is possible to leave the link once set as it is for a while, and to easily access the confidential information during that time. For example, establishing a link during a period in which a project team meeting is being held is convenient when frequently viewing confidential information.
[0021]
Further, information for designating the predetermined time is written in the second access request, and the means for releasing the link after the lapse of the predetermined time is controlled within a time range permitted by the system based on the specified information. Means for setting the time may be provided. Thereby, the predetermined time required by the user can be arbitrarily set.
[0022]
According to a second aspect of the present invention, there is provided a first storage unit, and a first authentication unit that evaluates, when a first access request to the first storage unit arrives, the validity of the first access request source. And information relay means for relaying access of the first access request source to the first storage means when the authentication result by the first authentication means is valid. It is a management device.
[0023]
Here, the feature of the present invention resides in that the second storage means installed in an area where access by the access request sender is not possible, and the second storage means which is installed in an area accessible by the access request sender. When the second access request to the second storage unit arrives, the second authentication unit that evaluates the validity of the source of the second access request, and when the authentication result by the second authentication unit is valid, There is provided means for setting a link between the means for relaying the access and the second storage means.
[0024]
It is preferable that the means for setting the link includes means for releasing the link when the end of access to the second storage means is detected.
[0025]
Alternatively, the means for setting the link may include means for releasing the link after a lapse of a predetermined time from when the end of access to the second storage means is detected.
[0026]
At this time, information specifying the predetermined time is written in the second access request, and the means for releasing the link after the predetermined time elapses within a time range allowed by the system based on the specified information. It is desirable to have means for setting a predetermined time.
[0027]
According to a third aspect of the present invention, there is provided a first storage function, and a first authentication function for evaluating the validity of a source of the first access request when a first access request for the first storage function arrives. And a function for relaying access of the first access request source to the first storage function when the authentication result by the first authentication function is valid. It is.
[0028]
Here, a feature of the present invention is that a second storage function provided in an area inaccessible by the access request sending source is provided, and the information processing apparatus is installed in the information processing apparatus. A second authentication function that is installed in an area accessible by the access request source and that evaluates the validity of the second access request source when a second access request for the second storage function arrives When the result of the authentication by the second authentication function is valid, a function of setting a link between the function of relaying the access and the second storage function is realized.
[0029]
As a function of setting the link, it is desirable to realize a function of releasing the link when the end of access to the second storage function is detected.
[0030]
Alternatively, as the function of setting the link, a function of releasing the link after a lapse of a predetermined time from when the end of access to the second storage function is detected may be realized.
[0031]
At this time, information specifying the predetermined time is written in the second access request, and the function of releasing the link after the predetermined time has elapsed is performed within a time range permitted by the system based on the specified information. It is also possible to realize a function of setting a predetermined time.
[0032]
Since the program of the present invention is recorded on a recording medium, the information processing apparatus can install the program of the present invention using the recording medium. Alternatively, the program of the present invention can be directly installed on the information processing apparatus from a server holding the program of the present invention via a network.
[0033]
As a result, direct unauthorized access to the confidential information using an information processing device such as a computer is impossible, and high security can be ensured. By leaving as is, an information management system that can improve the convenience of frequently browsing confidential information can be realized.
[0034]
BEST MODE FOR CARRYING OUT THE INVENTION
An information management system according to an embodiment of the present invention will be described with reference to FIGS. FIG. 1 is an overall configuration diagram of an information management system according to an embodiment of the present invention, and is a diagram illustrating a situation where a tunnel link to a secret information database is not set. FIG. 2 is an overall configuration diagram of the information management system according to the embodiment of the present invention, showing a situation where a tunnel link to a secret information database is set. FIG. 3 is a flowchart showing a tunnel link setting release procedure. FIG. 4 is a diagram showing a display state of the document file list. FIG. 5 is a sequence diagram showing a procedure for setting and releasing a link between the terminal device and the secret information database.
[0035]
In the embodiment of the present invention, as shown in FIG. 1 or FIG. 2, a general information database 5-1 in which general information is stored as a first storage means, and a first access request to the general information database 5-1. Arrives, an authentication server 3 as first authentication means for evaluating the validity of the first access request transmission source, and when the authentication result by the authentication server 3 is valid, the This is an information management system including a gateway device 2 as a means for relaying an access from a first access request source.
[0036]
Here, a feature of the present embodiment is that a secret information database 5-2 as a second storage means, which is installed in an area inaccessible by the access request transmission source and stores secret information, When a second access request to the confidential information database 5-2 arrives in an area accessible by the access request source, it serves as a second authentication means for evaluating the validity of the second access request source. And a tunnel link device (parent) 6-1. When the authentication result is valid, the tunnel link device (parent) 6-1 establishes a tunnel between the gateway device 2 and the secret information database 5-2. The gateway device 2 includes means for setting a link via the link device (child) 6-2, and the secret information database 5-2 is provided via the link. Against there is to provided with means for relaying said second access request sender access.
[0037]
Further, the tunnel link devices (parent) 6-1 and (child) 6-2 include means for releasing the link when the end of access to the secret information database 5-2 by the gateway device 2 is detected. Alternatively, a means is provided for releasing the link after a lapse of a predetermined time from when the end of access to the secret information database 5-2 by the gateway device 2 is detected. In the present embodiment, the former configuration is realized by setting the predetermined time to “0”. Further, information for designating the predetermined time is written in the second access request, and the system is permitted by the tunnel link device (parent) 6-1 and (child) 6-2 based on the designated information. Means for setting a predetermined time within a time range is provided.
[0038]
Note that the tunnel link devices (parent) 6-1 and (child) 6-2 and the confidential information database 5-2 are separately configured as one information management device, and this is configured as a conventional information management system shown in FIG. The information management system according to the embodiment of the present invention can be configured by additionally providing the information management system according to the present invention. That is, a tunnel link device (parent) 6-1 is inserted between the gateway device 2 and the database 5 of the conventional information management system shown in FIG. 6, and separately into an area where the terminal device 1 cannot normally access the Web. By installing the tunnel link device (child) 6-2 and the confidential information database 5-2, the information management system according to the embodiment of the present invention can be configured. In this case, the database 5 shown in FIG. 6 corresponds to the general information database 5-1 shown in FIGS.
[0039]
The authentication server 3, the lower authentication information database 4, and the upper authentication information database 7 do not allow direct Web access from the terminal device 1.
[0040]
Next, the operation of the embodiment of the present invention will be described. The terminal device 1 accesses the general information database 5-1 to acquire general information. This procedure is as described in “Conventional Technology”. For example, when the document file list is acquired, a display as shown in FIG. In the document file list of FIG. 4A, the section “general” indicates information stored in the general information database 5-1 and the section “secret” indicates information stored in the secret information database 5-2. For example, when the dimension design of the section “general” is selected, a dimension diagram is displayed as shown in FIG. On the other hand, for example, when the strength test of the section “Confidential” is selected, as shown in FIG. 4C, the tunnel link device (parent) 6-1 requests the user to input authentication information. In the example of FIG. 4C, input of a user ID and a password is required. When the user inputs the user ID and the password and the tunnel link device (parent) 6-1 authenticates the user ID and the password, the strength test data as the confidential information is displayed as shown in FIG.
[0041]
It should be noted that once the authentication is successful, the authentication is omitted for a predetermined period of time, so that the display in FIG. Done. Thereby, the information can be browsed within the predetermined time by the same procedure as that of the section “general”.
[0042]
Next, a tunnel link setting release procedure according to the embodiment of the present invention will be described with reference to FIG. In the flowchart of FIG. 3, step 1 is a state in which access has already been performed between the terminal device 1 and the general information database 5-1. At this time, the tunnel link device (parent) 6-1 relays the access between the general information database 5-1 and the terminal device 1, as shown in FIG.
[0043]
Here, a case where a document file is registered in the secret information database 5-2 from the terminal device 1 will be described. Prior to document file registration, the terminal device 1 generates a document registration form. In the document registration form, for example, a name identification ID, a terminal address, a Web server process ID, a document type, and a document registration directory are embedded as form variables as security information. In addition, in the present embodiment, in addition to this, a predetermined time for keeping the tunnel link is specified. These are sent to the tunnel link device (parent) 6-1 as an access request to the secret information database 5-2. When there is an access request (step 2), the tunnel link device (parent) 6-1 executes higher-level authentication (step 3). That is, the authentication is performed using the security information embedded in the access request and the security information stored in advance in the upper authentication information database 7. At this time, by confirming whether or not the start position of the document directory specified for each document type matches the registered document directory, it is also confirmed that the registered directory of the document file has not been tampered with. Check the consistency of the storage directory to be checked. Further, it is confirmed whether or not the authentication omission period has passed. If the authentication omission period has not passed, the authentication is omitted.
[0044]
Thus, when the authentication is established (step 4), the tunnel link device (parent) 6-1 sends a tunnel link setting request to the tunnel link device (child) 6-2. Thereby, a tunnel link is set between the tunnel link devices (parent) 6-1 and (child) 6-2 and the confidential information database 5-2 (step 5). Further, the tunnel link devices (parent) 6-1 and (child) 6-2 relay the access between the terminal device 1 and the confidential information database 5-2 (step 6). When the terminal device 1 can access the confidential information database 5-2, the terminal device 1 registers a document file in the registered document directory of the confidential information database 5-2.
[0045]
In the tunnel link device (parent) 6-1 and (child) 6-2, the presence or absence of access between the terminal device 1 and the confidential information database 5-2 is monitored by observing traffic, and the access is completed. Is detected (step 7), the tunnel link is held for a predetermined time to hold the tunnel link embedded in the access request (step 8), and after a predetermined time has passed (step 9), the tunnel link is released (step 9). Step 10). This makes it impossible to access the confidential information from the Web accessible area thereafter, and secure security is ensured.
[0046]
Next, a case where the document file of the secret information database 6-2 is browsed from the terminal device 1 will be described. The terminal device 1 displays a document file list as shown in FIG. When a document file whose classification is “Confidential” is selected and clicked, an access request with the confidential information database 5-2 includes, for example, a terminal address, an authentication expiration date, a Web server process ID, and a file system identification. The number, file identification number, and file extension are embedded. In addition, in the present embodiment, in addition to this, a predetermined time for keeping the tunnel link is specified.
[0047]
These are sent to the tunnel link device (parent) 6-1 as an access request to the secret information database 5-2. When there is an access request (step 2), the tunnel link device (parent) 6-1 executes higher-level authentication (step 3). That is, the authentication is performed using the security information embedded in the access request and the security information stored in advance in the upper authentication information database 7. At this time, it is confirmed whether or not the authentication omission period has passed. If the authentication omission period has not passed, authentication is omitted.
[0048]
Thus, when the authentication is established (step 4), the tunnel link device (parent) 6-1 sends a tunnel link setting request to the tunnel link device (child) 6-2. Thereby, a tunnel link is set between the tunnel link devices (parent) 6-1 and (child) 6-2 and the confidential information database 5-2 (step 5). Further, the tunnel link devices (parent) 6-1 and (child) 6-2 relay the access between the terminal device 1 and the confidential information database 5-2 (step 6). When the terminal device 1 can access the confidential information database 5-2, the terminal device 1 browses the document files in the registered document directory of the confidential information database 5-2.
[0049]
In the tunnel link device (parent) 6-1 and (child) 6-2, the presence or absence of access between the terminal device 1 and the confidential information database 5-2 is monitored by observing traffic, and the access is completed. Is detected (step 7), the tunnel link is held for a predetermined time to hold the tunnel link embedded in the access request (step 8), and after a predetermined time has passed (step 9), the tunnel link is released (step 9). Step 10). This makes it impossible to access the confidential information from the Web accessible area thereafter, and secure security is ensured.
[0050]
Next, a procedure for setting and releasing a link between the terminal device 1 and the secret information database 5-2 will be described with reference to FIG. The gateway device 2 has already successfully authenticated the user of the terminal device 1, and the terminal device 1 can access the general information database 5-1. At this time, when the user of the terminal device 1 attempts to access the confidential information database 5-2, when the user clicks and selects the section “Confidential” shown in FIG. An access request to the secret information database 6-2 is sent to the gateway device 2.
[0051]
The gateway device 2 relays this access request to the tunnel link device (parent) 6-1. When the tunnel link device (parent) 6-1 receives an access request to the secret information database 5-2 of the terminal device 1, the tunnel link device (parent) 6-1 requests the terminal device 1 for authentication information via the gateway device 2. Thereby, the display shown in FIG. 4C is performed on the terminal device 1.
[0052]
The user of the terminal device 1 inputs a user ID and a password as authentication information. This authentication information input is transferred to the tunnel link device (parent) 6-1 via the gateway device 2. The tunnel link device (parent) 6-1 performs user authentication. In the present embodiment, the authentication using the user ID and the password is exemplified. However, the present invention is not limited to this. For example, authentication using a secret key or a public key, which is a known technique, may be used.
[0053]
As a result, if the authentication of the user fails, an access denial notice is sent to the gateway device 2. The gateway device 2 relays the access rejection notification to the terminal device 1. When the tunnel link device (parent) 6-1 succeeds in authenticating the access request, the downlink from the tunnel link device (child) 6-1 to the tunnel link device (child) 6-2 (from the tunnel link device (parent) 6-1 to the secret information database 5). A link in the direction toward -2 is called a downlink), and a link setting request is sent to the tunnel link device (child) 6-2.
[0054]
Upon receiving the link setting request from the tunnel link device (parent) 6-1, the tunnel link device (child) 6-2 sets a downlink to the confidential information database 5-2 and conceals the link setting request. Relay to the information database 5-2. The confidential information database 5-2, which has received the link setting request from the tunnel link device (child) 6-2, confirms the completion of the downlink setting, and further performs an uplink (link) to the tunnel link device (child) 6-2. The link in the direction from the confidential information database 5-2 to the tunnel link device (parent) 6-1 is called an uplink), and a link setting completion notification is sent to the tunnel link device (child) 6-2.
[0055]
The tunnel link device (child) 6-2, having received the link setting completion notification from the confidential information database 6-2, sets the uplink setting up to the tunnel link device (parent) 6-1 and sends the link setting completion notification. This is sent to the tunnel link device (parent) 6-1. The tunnel link device (parent) 6-1 that has received the link setting completion notification from the tunnel link device (child) 6-2 confirms the completion of the uplink setting, and sends an access permission notification to the gateway device 2. The gateway device 2 sends the access permission notification to the terminal device 1.
[0056]
Upon receiving the access permission notification, the terminal device 1 displays that access to the confidential information database 5-2 is enabled. The user knows from this display that access to the secret information database 5-2 has become possible, and executes access to the secret information database 5-2 using the terminal device 1.
[0057]
When detecting that the access between the terminal device 1 and the confidential information database 5-2 has been completed by monitoring the traffic, the tunnel link device (parent) 6-1 detects the tunnel link device (child) after a lapse of a predetermined time. 2) Send a link release request to 6-2 and release the downlink with tunnel link device (child) 6-2.
[0058]
Upon receiving the link release request, the tunnel link device (child) 6-2 sends a link release request to the confidential information database 5-2 and releases the downlink with the confidential information database 5-2. . Upon receiving the link release request, the confidential information database 5-2 confirms the release of the downlink and sends a link release notification to the tunnel link device (child) 6-2, and also the tunnel link device (child) 6-2. Release the uplink between
[0059]
The tunnel link device (child) 6-2 that has received the link release notification from the confidential information database 5-2 sends the link release notification to the tunnel link device (parent) 6-1 and the tunnel link device (parent) 6 Release the uplink between -1.
[0060]
The tunnel link device (parent) 6-1 that has received the link release notification from the tunnel link device (child) 6-2 confirms the release of the uplink, and ends a series of processing.
[0061]
The information management system according to the present embodiment can be realized using an information processing device. That is, by installing in the information processing apparatus, the second access request to the confidential information database 5-2, which is set in an area accessible by the access request transmission source, arrives at the information processing apparatus, A second authentication function for evaluating the validity of the request source, and a function of setting a link between the gateway device 2 and the secret information database 5-2 when the authentication result by the second authentication function is valid. Are realized as tunnel link devices (parent) 6-1 and (child) 6-2, and as a function of setting the link, when the end of access to the secret information database 6-2 is detected, the link is set. As a function of realizing a release function or a function of setting the link, the secret information database 5-2 is A function of releasing the link after a lapse of a predetermined time from the detection of the end of the access is realized. Further, information designating the predetermined time is written in the second access request, and after the lapse of the predetermined time, the information is written. As a function of releasing a link, a program for realizing a function of setting a predetermined time within a time range allowed by the system based on the specified information is installed in the information processing apparatus, thereby realizing the information processing apparatus according to the embodiment of the present invention. Corresponding to the information management system.
[0062]
The program according to the embodiment of the present invention is recorded on recording media 8-1 and 8-2 such as a CD-ROM. The program of the embodiment can be installed. Alternatively, the program of the embodiment of the present invention can be directly installed on the information processing apparatus via a network from a server holding the program of the embodiment of the present invention.
[0063]
As a result, direct unauthorized access to the confidential information using the information processing device is not possible, and high security can be ensured. By doing so, it is possible to realize the information management system according to the embodiment of the present invention, which can improve the convenience of frequently browsing confidential information.
[0064]
The information management system according to the embodiment of the present invention differs from the conventional example shown in FIG. 6 in that the tunnel link device (parent) 6-1 differs from the conventional example shown in FIG. And (child) 6-2 and the upper authentication information database 7 are added, and the conventional database 5 is divided into a general information database 5-1 and a confidential information database 5-2, whereby the information management of the embodiment of the present invention is achieved. An example of configuring the system has been described.
[0065]
However, the gateway device 2, the authentication server 3, and the lower authentication information database 4 are omitted from the configuration shown in FIGS. 1 and 2, and the tunnel link device (parent) 6-1 also functions as the gateway device 2 and the authentication server 3, The higher-level authentication information database 7 may be configured to also function as the lower-level authentication information database 4. Further, the upper authentication information database 4 and the upper authentication information database 7 may be distinguished from each other without providing upper and lower ranks for authentication, and the authentication information database may be unified. It can be easily inferred that such a configuration does not affect the essence of the present invention, and a detailed description thereof will be omitted.
[0066]
When browsing the document file, the user can transfer the document file registered in the confidential information database 5-2 installed in the Web inaccessible area to the user by using the tunnel link, as if the user were in the Web accessible area. It is indispensable for the user to be able to browse as if it is located in the confidential information database 5 installed in the non-Web area when the document file is registered. -2 does not need to appear as if it were in a Web accessible area, and the document file that the user wishes to register need only be transferred to the confidential information database 5-2.
[0067]
Therefore, a document file can be registered using a Web server program without using a tunnel link. The Web server program is a program that can access all resources constituting the information management system, and is a program that cannot be modified by a user.
[0068]
This Web server program is placed in a Web accessible area of the system configuration shown in FIG. 1, and when the gateway device 2 receives registration of a document file from the terminal device 1, the Web server program is activated. Then, user authentication and storage directory consistency check are performed, and thereafter, the Web server program transfers and registers the document file received from the terminal device 1 to the secret information database 5-2.
[0069]
That is, the Web server program mediates the registration of the document file from the terminal device 1 to the secret information database 5-2. According to this, at the time of registering the document file, the confidential information database 5-2 is not linked to the Web accessible area even temporarily, so that strong security can be ensured.
[0070]
【The invention's effect】
As described above, according to the present invention, direct unauthorized access to confidential information is impossible, high security can be ensured, and a link that has been set once is kept as it is for a specified period of time. By doing so, it is possible to provide an information management system that can improve the convenience of frequently browsing confidential information.
[Brief description of the drawings]
FIG. 1 is an overall configuration diagram of an information management system according to an embodiment of the present invention, showing a situation where a tunnel link to a secret information database is not set.
FIG. 2 is an overall configuration diagram of the information management system according to the embodiment of the present invention, showing a situation where a tunnel link to a secret information database is set.
FIG. 3 is a flowchart showing a tunnel link setting release procedure according to the embodiment of the present invention.
FIG. 4 is a view showing a display status of a document file list according to the embodiment of the present invention.
FIG. 5 is a sequence diagram showing a procedure for setting and releasing a link between the terminal device and the secret information database according to the embodiment of the present invention.
FIG. 6 is an overall configuration diagram of a conventional information management system.
[Explanation of symbols]
1 Terminal device
2 Gateway device
3 Authentication server
4 Lower authentication information database
5 Database
5-1 General information database
5-2 Secret Information Database
6-1 Tunnel link device (parent)
6-2 Tunnel link device (child)
7 Top Authentication Information Database
8-1, 8-2 Recording medium
14 Authentication information database

Claims (12)

第一の記憶手段と、この第一の記憶手段に対する第一のアクセス要求が到着すると当該第一のアクセス要求送出元の正当性を評価する第一の認証手段と、この第一の認証手段による認証結果が正当であるときには、前記第一の記憶手段に対する前記第一のアクセス要求送出元のアクセスを中継する手段とを備えた情報管理システムにおいて、
前記アクセス要求送出元によるアクセスが不可能な領域に設置された第二の記憶手段と、
前記アクセス要求送出元によるアクセスが可能な領域に設置されこの第二の記憶手段に対する第二のアクセス要求が到着すると当該第二のアクセス要求送出元の正当性を評価する第二の認証手段と、
この第二の認証手段による認証結果が正当であるときには、前記アクセスを中継する手段と前記第二の記憶手段との間にリンクを設定する手段と
を備え、
前記アクセスを中継する手段は、前記リンクを介して前記第二の記憶手段に対する前記第二のアクセス要求送出元のアクセスを中継する手段を備えた
ことを特徴とする情報管理システム。A first storage unit, a first authentication unit that evaluates the validity of the first access request transmission source when a first access request to the first storage unit arrives, Means for relaying access of the first access request source to the first storage means when the authentication result is valid,
Second storage means installed in an area that is not accessible by the access request source,
A second authentication unit that is installed in an area accessible by the access request source and evaluates the validity of the second access request source when a second access request to the second storage unit arrives,
When the result of the authentication by the second authentication unit is valid, a unit that sets a link between the unit that relays the access and the second storage unit,
The information management system according to claim 1, wherein the means for relaying the access includes means for relaying the access of the second access request source to the second storage means via the link. 前記リンクを設定する手段は、前記第二の記憶手段に対するアクセスの終了を検出したときに前記リンクを解放する手段を備えた請求項1記載の情報管理システム。2. The information management system according to claim 1, wherein the means for setting the link includes means for releasing the link when detecting an end of access to the second storage means. 前記リンクを設定する手段は、前記第二の記憶手段に対するアクセスの終了を検出したときから所定時間経過後に前記リンクを解放する手段を備えた請求項1記載の情報管理システム。2. The information management system according to claim 1, wherein the means for setting the link includes means for releasing the link after a lapse of a predetermined time from when the end of access to the second storage means is detected. 前記第二のアクセス要求には前記所定時間を指定する情報が書込まれ、
前記所定時間経過後に前記リンクを解放する手段は、前記指定する情報に基づきシステムが許容する時間範囲内で所定時間を設定する手段を備えた
請求項3記載の情報管理システム。Information designating the predetermined time is written in the second access request,
4. The information management system according to claim 3, wherein the means for releasing the link after the elapse of the predetermined time includes means for setting a predetermined time within a time range allowed by the system based on the specified information. 第一の記憶手段と、この第一の記憶手段に対する第一のアクセス要求が到着すると当該第一のアクセス要求送出元の正当性を評価する第一の認証手段と、この第一の認証手段による認証結果が正当であるときには、前記第一の記憶手段に対する前記第一のアクセス要求送出元のアクセスを中継する手段とを備えた情報管理システムに適用される情報管理装置において、
前記アクセス要求送出元によるアクセスが不可能な領域に設置された第二の記憶手段と、
前記アクセス要求送出元によるアクセスが可能な領域に設置されこの第二の記憶手段に対する第二のアクセス要求が到着すると当該第二のアクセス要求送出元の正当性を評価する第二の認証手段と、
この第二の認証手段による認証結果が正当であるときには、前記アクセスを中継する手段と前記第二の記憶手段との間にリンクを設定する手段と
を備えた
ことを特徴とする情報管理装置。A first storage unit, a first authentication unit that evaluates the validity of the first access request transmission source when a first access request to the first storage unit arrives, When the authentication result is valid, in an information management apparatus applied to an information management system including means for relaying access of the first access request transmission source to the first storage means,
Second storage means installed in an area that is not accessible by the access request source,
A second authentication unit that is installed in an area accessible by the access request source and evaluates the validity of the second access request source when a second access request to the second storage unit arrives,
An information management apparatus, comprising: means for setting a link between the means for relaying the access and the second storage means when the result of authentication by the second authentication means is valid. 前記リンクを設定する手段は、前記第二の記憶手段に対するアクセスの終了を検出したときに前記リンクを解放する手段を備えた請求項5記載の情報管理装置。6. The information management device according to claim 5, wherein the link setting unit includes a unit that releases the link when detecting an end of access to the second storage unit. 前記リンクを設定する手段は、前記第二の記憶手段に対するアクセスの終了を検出したときから所定時間経過後に前記リンクを解放する手段を備えた請求項5記載の情報管理装置。6. The information management apparatus according to claim 5, wherein the means for setting the link includes means for releasing the link after a lapse of a predetermined time from when the end of access to the second storage means is detected. 前記第二のアクセス要求には前記所定時間を指定する情報が書込まれ、
前記所定時間経過後に前記リンクを解放する手段は、前記指定する情報に基づきシステムが許容する時間範囲内で所定時間を設定する手段を備えた
請求項7記載の情報管理装置。Information designating the predetermined time is written in the second access request,
8. The information management apparatus according to claim 7, wherein the means for releasing the link after the elapse of the predetermined time includes means for setting a predetermined time within a time range allowed by the system based on the specified information. 第一の記憶機能と、この第一の記憶機能に対する第一のアクセス要求が到着すると当該第一のアクセス要求送出元の正当性を評価する第一の認証機能と、この第一の認証機能による認証結果が正当であるときには、前記第一の記憶機能に対する前記第一のアクセス要求送出元のアクセスを中継する機能とを備えた情報管理システムに適用されるプログラムにおいて、
前記アクセス要求送出元によるアクセスが不可能な領域に設置された第二の記憶機能が設けられ、
情報処理装置にインストールすることにより、その情報処理装置に、
前記アクセス要求送出元によるアクセスが可能な領域に設置され前記第二の記憶機能に対する第二のアクセス要求が到着すると当該第二のアクセス要求送出元の正当性を評価する第二の認証機能と、
この第二の認証機能による認証結果が正当であるときには、前記アクセスを中継する機能と前記第二の記憶機能との間にリンクを設定する機能と
を実現させることを特徴とするプログラム。A first storage function, a first authentication function for evaluating the legitimacy of the first access request transmission source when a first access request for the first storage function arrives, and a first authentication function When the authentication result is valid, in a program applied to an information management system having a function of relaying access of the first access request transmission source to the first storage function,
A second storage function provided in an area that is inaccessible by the access request source is provided,
By installing it on an information processing device,
A second authentication function that is installed in an area accessible by the access request source and evaluates the validity of the second access request source when a second access request for the second storage function arrives,
A program for realizing a function of relaying the access and a function of setting a link between the second storage function when the authentication result by the second authentication function is valid. 前記リンクを設定する機能として、前記第二の記憶機能に対するアクセスの終了を検出したときに前記リンクを解放する機能を実現させる請求項9記載のプログラム。10. The non-transitory computer-readable storage medium according to claim 9, wherein a function of releasing the link when the end of access to the second storage function is detected is realized as the function of setting the link. 前記リンクを設定する機能として、前記第二の記憶機能に対するアクセスの終了を検出したときから所定時間経過後に前記リンクを解放する機能を実現させる請求項9記載のプログラム。10. The non-transitory computer-readable storage medium according to claim 9, wherein the link setting function implements a function of releasing the link after a lapse of a predetermined time from when the end of access to the second storage function is detected. 前記第二のアクセス要求には前記所定時間を指定する情報が書込まれ、
前記所定時間経過後に前記リンクを解放する機能として、前記指定する情報に基づきシステムが許容する時間範囲内で所定時間を設定する機能を実現させる
請求項11記載のプログラム。Information designating the predetermined time is written in the second access request,
12. The program according to claim 11, wherein a function of setting a predetermined time within a time range permitted by a system based on the specified information is realized as the function of releasing the link after the predetermined time has elapsed.
JP2003109075A 2003-04-14 2003-04-14 Information management system and program Pending JP2004318323A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003109075A JP2004318323A (en) 2003-04-14 2003-04-14 Information management system and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003109075A JP2004318323A (en) 2003-04-14 2003-04-14 Information management system and program

Publications (1)

Publication Number Publication Date
JP2004318323A true JP2004318323A (en) 2004-11-11

Family

ID=33470353

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003109075A Pending JP2004318323A (en) 2003-04-14 2003-04-14 Information management system and program

Country Status (1)

Country Link
JP (1) JP2004318323A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016517332A (en) * 2013-03-15 2016-06-16 ネイティヴィス、インコーポレイテッド Controller and flexible coil for performing treatment such as cancer treatment

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016517332A (en) * 2013-03-15 2016-06-16 ネイティヴィス、インコーポレイテッド Controller and flexible coil for performing treatment such as cancer treatment
US11103721B2 (en) 2013-03-15 2021-08-31 Natives, Inc. Controller and flexible coils for administering therapy, such as for cancer therapy

Similar Documents

Publication Publication Date Title
CN108322461B (en) Method, system, device, equipment and medium for automatically logging in application program
JP4301482B2 (en) Server, information processing apparatus, access control system and method thereof
Sun et al. The devil is in the (implementation) details: an empirical analysis of OAuth SSO systems
JP3995338B2 (en) Network connection control method and system
EP1645971B1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
US8719956B2 (en) Method and apparatus for sharing licenses between secure removable media
US9497024B2 (en) Electronic file sending method
CN101090319B (en) Computer readable recording medium storing control program, communication system and computer data signal embedded in carrier wave
US20180294980A1 (en) Management of secret data items used for server authentication
JP2004537101A (en) Method and apparatus for delivering content from a semi-trusted server
JP2002041347A (en) Information presentation system and device
JPH08314863A (en) Security system in computer network
KR20150026587A (en) Apparatus, method and computer readable recording medium for providing notification of log-in from new equipments
JP6459270B2 (en) Information processing apparatus and program
JP4607082B2 (en) Information processing apparatus, management method, and computer program
EP2240880A1 (en) Activation by trust delegation
JP3873624B2 (en) Mobile code execution method and system
JP2004318323A (en) Information management system and program
JP2005309846A (en) Database protection system
JP6050510B2 (en) File management system and user terminal used for file management system
JPH11212850A (en) Encipherment common file transmission and reception system
JP3888273B2 (en) External program operation control method, operation control program, operation control apparatus, and operation control program providing apparatus
TWI669627B (en) File protection component and its protection method
JP3840580B1 (en) Software management system and software management program
JP5840180B2 (en) Electronic file transmission method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041110

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071225

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080422