JP2006171855A - データアクセス制御システム、データアクセス制御方法、およびデータアクセス制御プログラム - Google Patents
データアクセス制御システム、データアクセス制御方法、およびデータアクセス制御プログラム Download PDFInfo
- Publication number
- JP2006171855A JP2006171855A JP2004359875A JP2004359875A JP2006171855A JP 2006171855 A JP2006171855 A JP 2006171855A JP 2004359875 A JP2004359875 A JP 2004359875A JP 2004359875 A JP2004359875 A JP 2004359875A JP 2006171855 A JP2006171855 A JP 2006171855A
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- information
- terminal
- user
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】端末や記憶媒体に保存されたデータに対するアクセスに際して、端末や記憶媒体の紛失・盗難等の状況に対しても確実な本人認証を可能としアクセス制御を実行する。
【解決手段】ユーザ端末150による記憶媒体152の格納データ151へのアクセス時において当該ユーザ端末150より認証情報を受信し当該受信した認証情報を利用者データベース125に照合して対応する携帯端末160を特定する携帯端末特定部110と、ユーザ端末150と特定した携帯端末160の各現在位置情報を取得し当該取得した各端末の現在位置が一致する場合ユーザ端末150に対して前記格納データ151の復号用情報またはユーザ端末150における格納データ151へのアクセス用プログラムの起動情報をアクセス情報として送信するアクセス判定部111とからシステム構成する。
【選択図】 図1
【解決手段】ユーザ端末150による記憶媒体152の格納データ151へのアクセス時において当該ユーザ端末150より認証情報を受信し当該受信した認証情報を利用者データベース125に照合して対応する携帯端末160を特定する携帯端末特定部110と、ユーザ端末150と特定した携帯端末160の各現在位置情報を取得し当該取得した各端末の現在位置が一致する場合ユーザ端末150に対して前記格納データ151の復号用情報またはユーザ端末150における格納データ151へのアクセス用プログラムの起動情報をアクセス情報として送信するアクセス判定部111とからシステム構成する。
【選択図】 図1
Description
本発明は、データアクセス制御システム、データアクセス制御方法、およびデータアクセス制御プログラムに関し、特に利用者IDとパスワードなどによる本人認証及び端末の現在位置がアクセス範囲内であるかを認証することによってアクセス可不可を判定する技術に関する。
近年、企業や顧客のデータを保存したノートパソコンや携帯電話のような端末が紛失、または盗難に遭遇し、前記端末に保存されていた重要データが企業外等に漏洩するという事故が見受けられるようになった。
一方、前記端末等において重要データへのアクセスを受付ける場合には、利用者IDとパスワードの組合せによる本人認証が実施されることが多いが、利用者IDやパスワードを盗用された場合には、第三者による重要データへのアクセスを抑止しにくいこととなっている。そこで、端末の紛失や盗難に伴うデータへの不正アクセスを防止する技術が提案されている。例えば、盗難や紛失などによる不正アクセスを防止することを課題として、 端末から受信した利用者識別情報と予め第1の記憶装置に格納された利用者識別情報を照合して認証の可否を判定する基礎認証処理手段と、端末から受信した端末識別情報と、予め第2の記憶装置に格納されたアクセス制御情報を照合して、該端末に対してアクセス制限がされているかを判定するアクセス管理手段とを具備してなるアクセス制御システム(特許文献1参照)などが提案されている。
特開2003−323344号公報
上記従来の方法においては、次のような問題がある。
例えば、利用者IDとパスワードの組合せによる照合だけでなく、端末識別情報と他の記憶装置に格納されたアクセス制御情報とを照合することによってアクセス制限をしたとしても、端末が紛失または盗難にあった場合、他の記憶装置に格納されたアクセス制御情報を即座に変更しない限り、端末固有の端末識別情報に基づきアクセス可否を正しく判定することは難しいこととなる。この場合、第三者が利用者IDやパスワードなどの利用者識別情報を盗用し、アクセスを許可された端末を利用してデータへアクセスすることが可能となってしまうという問題がある。
例えば、利用者IDとパスワードの組合せによる照合だけでなく、端末識別情報と他の記憶装置に格納されたアクセス制御情報とを照合することによってアクセス制限をしたとしても、端末が紛失または盗難にあった場合、他の記憶装置に格納されたアクセス制御情報を即座に変更しない限り、端末固有の端末識別情報に基づきアクセス可否を正しく判定することは難しいこととなる。この場合、第三者が利用者IDやパスワードなどの利用者識別情報を盗用し、アクセスを許可された端末を利用してデータへアクセスすることが可能となってしまうという問題がある。
また、端末は小型化、軽量化してきているため、いつでもどこでも端末に保存されたデータにアクセスすることが可能となってきているが、アクセスする場所に対する制限がない為、たとえ正当な利用者によるデータアクセスであったとしても、電車内のように第三者に盗み見されてしまう可能性のある場所でデータにアクセスすることが可能となってしまうという問題がある。
さらに、記憶媒体に対してアクセス制御を実施する機能を持たないため、記憶媒体が紛失または盗難に遭遇した場合、この記憶媒体に保存された重要なデータを漏洩させてしまうという問題がある。
そこで本発明は上記課題を鑑みてなされたものであり、端末や記憶媒体に保存されたデータに対するアクセスに際して、端末や記憶媒体の紛失・盗難等の状況に対しても確実な本人認証を可能としアクセス制御を実行できる、データアクセス制御システム、データアクセス制御方法、およびデータアクセス制御プログラムを提供することを主たる目的とする。
上記課題を解決する本発明のデータアクセス制御システムは、ユーザ端末から記憶媒体の格納データへのアクセスを制御するデータアクセス制御システムであって、前記ユーザ端末の認証情報と、当該ユーザ端末のユーザが所持する携帯端末との対応付け情報を格納した利用者データベースと、前記ユーザ端末による、前記記憶媒体の格納データへのアクセス時において、当該ユーザ端末より認証情報を受信し、当該受信した認証情報を前記利用者データベースに照合して、対応する携帯端末を特定する、携帯端末特定部と、前記ユーザ端末と前記特定した携帯端末の各現在位置情報を取得し、当該取得した各端末の現在位置が一致する場合、前記ユーザ端末に対して、前記格納データの復号用情報、または前記ユーザ端末における前記格納データへのアクセス用プログラムの起動情報を、アクセス情報として送信する、アクセス判定部と、を備えることを特徴とする(第1の発明)。
第2の発明は、第1の発明において、前記アクセス判定部は、前記ユーザ端末および携帯端末が備える全地球測位システムからの情報を、該当端末における現在位置情報として取得することを特徴とする。
第3の発明は、第1または第2の発明において、前記ユーザ端末の現在位置に関して前記格納データへアクセス可能な位置範囲について定めたアクセス制御データベースを備え、前記アクセス判定部は、前記格納データへアクセスする際のユーザ端末の現在位置情報を、前記アクセス制御データベースに照合し、当該ユーザ端末の現在位置が前記格納データへアクセス可能な位置範囲にあるか判定して、前記ユーザ端末の現在位置が前記格納データへのアクセス可能な位置範囲にある場合に、前記ユーザ端末に対して、前記アクセス情報を送信することを特徴とする。
第4の発明は、前記アクセス判定部は、ユーザ端末の起動用情報、または前記格納データを格納している前記記憶媒体へのアクセス用情報をアクセス情報としてユーザ端末に送信することを特徴とする。
第5の発明は、ユーザ端末から記憶媒体の格納データへのアクセス制御を、前記ユーザ端末の認証情報と、当該ユーザ端末のユーザが所持する携帯端末との対応付け情報を格納した利用者データベースを備えたコンピュータにより行う方法であって、前記ユーザ端末による、前記記憶媒体の格納データへのアクセス時において、当該ユーザ端末より認証情報を受信し、当該受信した認証情報を前記利用者データベースに照合して、対応する携帯端末を特定し、前記ユーザ端末と前記特定した携帯端末の各現在位置情報を取得し、当該取得した各端末の現在位置が一致する場合、前記ユーザ端末に対して、前記格納データの復号用情報、または前記ユーザ端末における前記格納データへのアクセス用プログラムの起動情報を、アクセス情報として送信する、ことを特徴とする。
第6の発明は、ユーザ端末から記憶媒体の格納データへのアクセス制御方法を、前記ユーザ端末の認証情報と、当該ユーザ端末のユーザが所持する携帯端末との対応付け情報を格納した利用者データベースを備えたコンピュータに実行させるためのプログラムであって、前記ユーザ端末による、前記記憶媒体の格納データへのアクセス時において、当該ユーザ端末より認証情報を受信し、当該受信した認証情報を前記利用者データベースに照合して、対応する携帯端末を特定するステップと、前記ユーザ端末と前記特定した携帯端末の各現在位置情報を取得し、当該取得した各端末の現在位置が一致する場合、前記ユーザ端末に対して、前記格納データの復号用情報、または前記ユーザ端末における前記格納データへのアクセス用プログラムの起動情報を、アクセス情報として送信するステップと、を含むことを特徴とする。
その他、本願が開示する課題、及びその解決方法は、発明の実施の形態の欄、及び図面により明らかにされる。
本発明によれば、端末や記憶媒体に保存されたデータに対するアクセスに際して、端末や記憶媒体の紛失・盗難等の状況に対しても確実な本人認証を可能としアクセス制御を実行できる。
−−−システム構成−−−
以下に本発明の実施形態について図面を用いて詳細に説明する。
図1は本実施形態におけるデータアクセス制御システムを含むネットワーク構成図である。本発明のデータアクセス制御システム100(以下、システム100)は、本発明のデータアクセス制御方法を実行する機能を実現すべく書き換え可能メモリなどのプログラムデータベース101に格納されたプログラム102をメモリ103に読み出し、演算装置たるCPU104により実行する。
以下に本発明の実施形態について図面を用いて詳細に説明する。
図1は本実施形態におけるデータアクセス制御システムを含むネットワーク構成図である。本発明のデータアクセス制御システム100(以下、システム100)は、本発明のデータアクセス制御方法を実行する機能を実現すべく書き換え可能メモリなどのプログラムデータベース101に格納されたプログラム102をメモリ103に読み出し、演算装置たるCPU104により実行する。
また、前記システム100は、コンピュータ装置が一般に備えている各種キーボードやボタン類、ディスプレイなどの入出力インターフェイス105、ならびに ユーザ端末150、携帯端末160などとの間のデータ授受を担う通信手段106などを有している。
システム100は、前記通信手段106により、前記ユーザ端末150や携帯端末160らと例えばインターネットやLAN、シリアル・インターフェース通信線などのネットワーク140を介して接続し、データ授受を実行する。システム100の各種機能部と通信手段106との間ではI/O部107がデータのバッファリングや各種仲介処理を実行している。
なお、前記ユーザ端末150、携帯端末160らも、コンピュータとして、書き換え可能メモリなどのプログラムデータベース11に格納されたプログラム12をメモリ13に読み出し、演算装置たるCPU14により実行する。また、コンピュータ装置が一般に備えている各種キーボードやボタン類などの入出力インターフェイス15、ならびにシステム100らとの間のデータ授受を担う通信手段16などを有している。更に、各種機能部と通信手段16との間ではI/O部17がデータのバッファリングや各種仲介処理を実行している。また、前記ユーザ端末150は、アクセス制御対象となる格納データ151を記憶する記憶媒体152を備えている。
続いて、前記システム100が例えばプログラム102に基づき構成・保持する機能部につき説明を行う。なお、システム100は、前記ユーザ端末150の認証情報と、当該ユーザ端末150のユーザが所持する携帯端末160との対応付け情報を格納した利用者データベース125と、前記ユーザ端末150の現在位置に関して前記格納データ151へアクセス可能な位置範囲について定めたアクセス制御データベース126とを備えるものとする。
システム100は、前記ユーザ端末150による、前記記憶媒体152の格納データ151へのアクセス時において、当該ユーザ端末150より認証情報を受信し、当該受信した認証情報を前記利用者データベース125に照合して、対応する携帯端末160を特定する、携帯端末特定部110を備える。
また、システム100は、前記ユーザ端末150と前記特定した携帯端末160の各現在位置情報を取得し、当該取得した各端末の現在位置が一致する場合、前記ユーザ端末150に対して、前記格納データの復号用情報、または前記ユーザ端末150における前記格納データ151へのアクセス用プログラムの起動情報を、アクセス情報として送信する、アクセス判定部111を備える。
なお、前記アクセス判定部111は、前記ユーザ端末150および携帯端末160が備える全地球測位システム170からの情報を、該当端末における現在位置情報として取得するとすれば好適である。この場合、前記ユーザ端末150および携帯端末160は、GPS(Global Positioning Systems)衛星10からの電波、つまりは現在位置情報の元データを受信するための受信機155、165をそれぞれ備える。この受信機155、156が、上空約2万1000kmの軌道を周回する24個のGPS衛星のうち、最低3個のGPS衛星からの電波を受信できれば、ユーザ端末150および携帯端末160は2次元(緯度・経度)の位置情報を算定できる(システム100が算定しても良い)。
なお、前記受信機155、165が、4個以上のGPS衛星10からの電波を受信できれば、海抜を加えた3次元の位置情報を算定することも可能であり、ユーザ端末150および携帯端末160の平面位置だけでなく、高度方向の一致(つまり同じビル内の別階などにも対応可)についてもシステム100が判定することが可能となる。ただし、前記位置情報にはある程度の誤差が含まれているほか、トンネル内や建物の陰などでは前記GPS衛星10からの電波を受信できないという問題に対応するため、GPS信号を所定の衛星測位情報センターの固定基準局で受信し、誤差を計算した後、補正データをFM多重放送で送信するD-GPSのシステムを利用するとしてもよい。
また、前記受信機155、165が受信する、ユーザ端末150および携帯端末160の現在位置情報としては、ユーザ端末150および携帯端末160が検知可能な無線LANスポットや携帯電話網の基地局の位置情報(無線LANの管理装置や携帯電話網の管理装置等に問い合わせることで位置情報に変換できる各種属性情報でもよい)を想定することもできる。
また、システム100が前記ユーザ端末150の現在位置に関して前記格納データ151へアクセス可能な位置範囲について定めたアクセス制御データベース126を備える場合、前記アクセス判定部111は、前記格納データ151へアクセスする際のユーザ端末150の現在位置情報を、前記アクセス制御データベース126に照合し、当該ユーザ端末150の現在位置が前記格納データ151へアクセス可能な位置範囲にあるか判定して、前記ユーザ端末150の現在位置が前記格納データ151へのアクセス可能な位置範囲にある場合に、前記ユーザ端末150に対して、前記アクセス情報を送信することとすれば好適である。
また、前記アクセス判定部111は、ユーザ端末150の起動用情報、または前記格納データ151を格納している前記記憶媒体152へのアクセス用情報をアクセス情報としてユーザ端末150に送信することとしてもよい。
なお、前記ユーザ端末150は、アクセス対象となる暗号化された格納データ151を記憶媒体152にて格納している。また前記ユーザ端末150は、前記格納データ151毎に割りふったデータIDといったデータ固有の情報を格納したデータ固有情報データベース127を備える。また、製造番号など、ユーザ端末固有の情報を格納した端末固有情報データベース128を備える。この端末固有情報としては、前記製造番号の他、ネットワーク140のプロトコルに応じて、当該ユーザ端末150に設定されている固定IPアドレスや、MACアドレスなどを想定するとしてもよい。なお、MACアドレスとは、LANに接続される情報機器を識別するアドレスであり、情報機器に組み込むNIC(Network Interface Card)につけられる。
なお、これまで示した システム100における各機能部110〜111は、ハードウェアとして実現してもよいし、メモリやHDD(Hard Disk Drive)などの適宜な記憶装置に格納したプログラムとして実現するとしてもよい。この場合、前記CPU104がプログラム実行に合わせて記憶装置より該当プログラムをメモリ103に読み出して、これを実行することとなる。
また、前記ネットワーク140に関しては、インターネット、LANの他、ATM回線や専用回線、WAN(Wide Area Network)、電灯線ネットワーク、無線ネットワーク、公衆回線網、携帯電話網、シリアル・インターフェース通信線など様々なネットワークを採用することも出来る。また、VPN(Virtual Private Network)など仮想専用ネットワーク技術を用いれば、インターネットを採用した際にセキュリティ性を高めた通信が確立され好適である。なお、前記シリアル・インターフェイスは、単一の信号線を用いて1ビットずつ順次データを送るシリアル伝送で、外部機器と接続するためのインターフェースを指し、通信方式としてはRS-232C、RS-422、IrDA、USB、IEEE1394、ファイバ・チャネルなどが想定できる。
−−−データベース構造−−−
次に、本実施形態における前記システム100が利用するデータベースの構造について説明する。図2は、本実施形態における、(a)利用者データベース、(b)アクセス制御データベース、(c)データ固有情報データベース、(d)端末固有情報データベースの各データ構造例を示す図である。
次に、本実施形態における前記システム100が利用するデータベースの構造について説明する。図2は、本実施形態における、(a)利用者データベース、(b)アクセス制御データベース、(c)データ固有情報データベース、(d)端末固有情報データベースの各データ構造例を示す図である。
前記利用者データベース125は、前記ユーザ端末150の認証情報と、当該ユーザ端末150のユーザが所持する携帯端末160との対応付け情報を格納したデータベースである。また、この利用者データベース125は、例えば利用者固有の情報となる利用者ID81をキーとして、パスワードや生体情報などの認証情報82、および携帯端末160を特定する携帯端末ID83といった情報を関連づけたレコード80の集合体となっている。
また、前記アクセス制御データベース126は、前記ユーザ端末150の現在位置に関して前記格納データ151へアクセス可能な位置範囲について定めたデータベースである。また、このアクセス制御データベース126は、例えば前記格納データ151に固有の情報となるデータID71をキーとして、その格納データ151にアクセスを許可された利用者固有の情報となる利用者IDを列挙した利用者IDリスト72、その格納データ151にアクセスすることを可能にする場所を示すアクセス範囲73と、その格納データ151(暗号化されたもの)を復号する復号用情報たる復号キー74といった情報を関連づけたレコード70の集合体となっている。
他方、前記ユーザ端末150は、データ固有情報データベース127を備えている。このデータ固有情報データベース127は、前記格納データ151毎に割りふったデータID51といったデータ固有の情報と当該データID51に対応する格納データ151の名称52とからなるレコード50を格納したデータベースである。また、前記ユーザ端末150は、端末固有情報データベース128を備えている。この端末固有情報データベース128は、製造番号など、ユーザ端末固有の情報としてユーザ端末ID60を格納したデータベースである。この端末固有情報としては、前記製造番号の他、ネットワーク140のプロトコルに応じて、当該ユーザ端末150に設定されている固定IPアドレスや、MACアドレスなどを想定するとしてもよい。なお、MACアドレスとは、LANに接続される情報機器を識別するアドレスであり、情報機器に組み込むNIC(Network Interface Card)につけられる。
−−−処理フロー−−−
以下、本実施形態におけるデータアクセス制御方法の実際手順について、図に基づき説明する。なお、以下で説明するデータアクセス制御方法に対応する各種動作は、前記システム100がメモリ103に読み出して実行するプログラム102によって実現される。そして、このプログラム102は、以下に説明される各種の動作を行うためのコードから構成されている。
以下、本実施形態におけるデータアクセス制御方法の実際手順について、図に基づき説明する。なお、以下で説明するデータアクセス制御方法に対応する各種動作は、前記システム100がメモリ103に読み出して実行するプログラム102によって実現される。そして、このプログラム102は、以下に説明される各種の動作を行うためのコードから構成されている。
図3は、本実施形態におけるデータアクセス制御方法の実際手順例を示すフロー図である。まずシステム100は、ユーザ端末150に直接保存された格納データ151に対してアクセス要求が発生した場合、またユーザ端末150を経由してメモリディスクなどの記憶媒体152に保存された格納データ151に対してアクセス要求が発生した場合、該当ユーザ端末150からネットワーク140を経由して認証情報を受信する(s101)。
例えばこの認証情報には、前記データ固有情報データベース127に示す「D12345678」のようなデータID51や、前記端末固有情報データベース128に示す「T0001」のようなユーザ端末ID60や、ユーザ端末150の入力インターフェイスから入力された利用者の「R0001」のような利用者IDとパスワード「fab;1&dge」といった情報が含まれる。
システム100は、前記受信した利用者IDとパスワードなどの認証情報を、利用者データベース125に照合し、利用者の正当性を判定する(s102)。この判定の結果が、前記利用者は正当な利用者ではない旨の結果であった場合(s103:NO)、不正アクセスメッセージをユーザ端末150へ送信し(s120)、処理を終了する。
一方、前記利用者ID「R0001」とパスワード「fab;1&dge」が、前記利用者データベース125において同一レコードに存在することが判明した場合、前記判定の結果は、前記利用者は正当な利用者である旨の結果となる(s103:YES)。このように、前記利用者が正当な利用者である場合、システム100は、前記アクセス制御データベース126を参照し、前記ステップs101においてユーザ端末150より受信した認証情報のデータID51「D12345678」と一致するデータID71を検索し、その時の利用者IDリスト72を検索する(s104)。
システム100は、前記ステップs103において、データID51「D12345678」と一致するデータID71の利用者IDリスト72を、「R0001」と「R0003」と検索する。この場合、ステップs101でユーザ端末150より受信した認証情報の利用者IDが利用者リスト72に存在するかどうか判定する(s105)。
前記利用者IDリスト72の中に前記ユーザ端末150より受信した利用者IDが存在しない場合(s106:NO)、システム100は、不正アクセスメッセージをユーザ端末150へ送信し(s120)、処理を終了する。
他方、前記ステップs106において、ステップs101でユーザ端末150より受信した認証情報の利用者ID「R0001」が、利用者IDリスト72に存在する場合(s106:YES)、システム100は、前記利用者データベース125を参照して、sステップ101でユーザ端末150より受信した認証情報の利用者ID「R0001」と一致する利用者ID81を検索し、その利用者が携帯する携帯端末160の携帯端末ID83を検索する(ステップ107)。本実施形態の場合、ステップs107で検索される携帯端末ID83は「K0001」となる。
システム100は、前記携帯端末ID「K0001」から一意に特定することができる携帯端末から、前記GPS衛星10由来の現在位置情報を取得すると共に、前記ステップs101でユーザ端末150より受信した認証情報のユーザ端末ID60「T0001」から特定できるユーザ端末150から、前記GPS衛星10由来の現在位置情報を取得する(s108)。
システム100は、前記取得したユーザ端末150および携帯端末160の現在位置情報を照合し、両者が一致するか判定する(s109)。例えば、ユーザ端末150が紛失、または盗難に遭遇した場合はユーザ端末150と利用者が携帯する携帯端末160とは別々の場所に存在することとなる為、ユーザ端末150と携帯端末160の現在位置は互いに一致しない。このようにユーザ端末150と携帯端末160の現在位置が一致しない場合(s110:NO)、不正アクセスメッセージをユーザ端末150へ送信し(s120)、処理を終了する。
他方、前記判定の結果、ユーザ端末150と携帯端末160の現在位置が一致している場合(s110:YES)、システム100は、アクセス制御データベース126を参照して、ステップs101でユーザ端末150より受信した認証情報のデータID51「D12345678」と一致するデータID71を検索し、格納データ151へのアクセスを許可する場所をアクセス範囲73から検索する(s111)。本実施形態では、データID51「D12345678」と一致するデータID71のアクセス範囲73は「会社ビル内」となる。
システム100は、ステップs108で検索したユーザ端末150の現在位置が、ステップs111で検索したアクセス範囲73「会社ビル内」の範囲内であるかどうか判定する(s112)。この判定の結果、前記ユーザ端末150の現在位置が「会社ビル内」でなく電車内などアクセス範囲外の場合(s113:NO)、不正アクセスメッセージをユーザ端末150へ送信し(s120)、処理を終了する。
他方、前記ユーザ端末150の現在位置が「会社ビル内」にあってアクセス範囲内と判定された場合(s113:YES)、システム100は、アクセス制御データベース126を参照し、ステップs101でユーザ端末150より受信した認証情報のデータID51「D12345678」と一致するデータID71を検索し、その格納データ151(暗号化されている)を復号することができる復号キー74を検索する(s114)。本実施形態において、ステップs114で検索される復号キー74は「KDG034DKG」となる。
システム100は、前記検索した復号キー74「KDG034DKG」または前記ユーザ端末150における前記格納データ151へのアクセス用プログラムの起動情報を、アクセス情報として、ネットワーク140を経由して該当ユーザ端末150へ送信し(s115)、処理を終了する。なお、前記アクセス情報としては、ユーザ端末150の起動用情報、または前記格納データ151を格納している前記記憶媒体152へのアクセス用情報も想定できる。
一方、ユーザ端末150では、システム100より復号キー74「KDG034DKG」などのアクセス用情報を受信し、これを使用して格納データ151を復号化し、格納データ151へのアクセスを可能にすることとなる。
なお、前記不正アクセスメッセージとして、ユーザ端末150のオペレーティングシステムを起動不可とするプログラムをユーザ端末150に送信し、格納データ151へのアクセスを制御するとしてもよい。
本発明によれば、データを格納している端末や記憶媒体が紛失または盗難にあった場合でも、利用者の携帯する携帯端末が前記端末等と同一の場所にない限り、アクセス制御情報を変更することなくアクセス制限することができる。また、データへアクセスする場所を判定することにより、電車内のように第三者に盗み見されてしまう可能性のある場所でのデータアクセスを制限することができる。さらに、端末だけでなく記憶媒体であっても格納しているデータを暗号化するため、記憶媒体が紛失または盗難に遭遇した場合でも記憶媒体に保存された重要なデータを漏洩から守ることができる。
したがって、端末や記憶媒体に保存されたデータに対するアクセスに際して、端末や記憶媒体の紛失・盗難等の状況に対しても確実な本人認証を可能としアクセス制御を実行できる。
したがって、端末や記憶媒体に保存されたデータに対するアクセスに際して、端末や記憶媒体の紛失・盗難等の状況に対しても確実な本人認証を可能としアクセス制御を実行できる。
以上、本発明の実施の形態について、その実施の形態に基づき具体的に説明したが、これに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
10 GPS衛星
100 データアクセス制御システム(認証装置)、システム
101、11 プログラムデータベース
102、12 プログラム
103、13 メモリ
104、14 CPU
105、15 入出力インターフェイス
106、16 通信手段
107、17 I/O部
110 携帯端末特定部
111 アクセス判定部
125 利用者データベース
126 アクセス制御データベース
127 データ固有情報データベース
128 端末固有情報データベース
140 ネットワーク
150 ユーザ端末
151 格納データ
152 記憶媒体
155 受信機
160 携帯端末
165 受信機
100 データアクセス制御システム(認証装置)、システム
101、11 プログラムデータベース
102、12 プログラム
103、13 メモリ
104、14 CPU
105、15 入出力インターフェイス
106、16 通信手段
107、17 I/O部
110 携帯端末特定部
111 アクセス判定部
125 利用者データベース
126 アクセス制御データベース
127 データ固有情報データベース
128 端末固有情報データベース
140 ネットワーク
150 ユーザ端末
151 格納データ
152 記憶媒体
155 受信機
160 携帯端末
165 受信機
Claims (6)
- ユーザ端末から記憶媒体の格納データへのアクセスを制御するデータアクセス制御システムであって、
前記ユーザ端末の認証情報と、当該ユーザ端末のユーザが所持する携帯端末との対応付け情報を格納した利用者データベースと、
前記ユーザ端末による、前記記憶媒体の格納データへのアクセス時において、当該ユーザ端末より認証情報を受信し、当該受信した認証情報を前記利用者データベースに照合して、対応する携帯端末を特定する、携帯端末特定部と、
前記ユーザ端末と前記特定した携帯端末の各現在位置情報を取得し、当該取得した各端末の現在位置が一致する場合、前記ユーザ端末に対して、前記格納データの復号用情報、または前記ユーザ端末における前記格納データへのアクセス用プログラムの起動情報を、アクセス情報として送信する、アクセス判定部と、
を備えることを特徴とするデータアクセス制御システム。 - 請求項1において、
前記アクセス判定部は、前記ユーザ端末および携帯端末が備える全地球測位システムからの情報を、該当端末における現在位置情報として取得することを特徴とするデータアクセス制御システム。 - 請求項1または2において、
前記ユーザ端末の現在位置に関して前記格納データへアクセス可能な位置範囲について定めたアクセス制御データベースを備え、
前記アクセス判定部は、前記格納データへアクセスする際のユーザ端末の現在位置情報を、前記アクセス制御データベースに照合し、当該ユーザ端末の現在位置が前記格納データへアクセス可能な位置範囲にあるか判定して、前記ユーザ端末の現在位置が前記格納データへのアクセス可能な位置範囲にある場合に、前記ユーザ端末に対して、前記アクセス情報を送信することを特徴とするデータアクセス制御システム。 - 請求項1〜3のいずれかにおいて、
前記アクセス判定部は、ユーザ端末の起動用情報、または前記格納データを格納している前記記憶媒体へのアクセス用情報をアクセス情報としてユーザ端末に送信することを特徴とするデータアクセス制御システム。 - ユーザ端末から記憶媒体の格納データへのアクセス制御を、前記ユーザ端末の認証情報と、当該ユーザ端末のユーザが所持する携帯端末との対応付け情報を格納した利用者データベースを備えたコンピュータにより行う方法であって、
前記ユーザ端末による、前記記憶媒体の格納データへのアクセス時において、当該ユーザ端末より認証情報を受信し、当該受信した認証情報を前記利用者データベースに照合して、対応する携帯端末を特定し、
前記ユーザ端末と前記特定した携帯端末の各現在位置情報を取得し、当該取得した各端末の現在位置が一致する場合、前記ユーザ端末に対して、前記格納データの復号用情報、または前記ユーザ端末における前記格納データへのアクセス用プログラムの起動情報を、アクセス情報として送信する、ことを特徴とするデータアクセス制御方法。 - ユーザ端末から記憶媒体の格納データへのアクセス制御方法を、前記ユーザ端末の認証情報と、当該ユーザ端末のユーザが所持する携帯端末との対応付け情報を格納した利用者データベースを備えたコンピュータに実行させるためのプログラムであって、
前記ユーザ端末による、前記記憶媒体の格納データへのアクセス時において、当該ユーザ端末より認証情報を受信し、当該受信した認証情報を前記利用者データベースに照合して、対応する携帯端末を特定するステップと、
前記ユーザ端末と前記特定した携帯端末の各現在位置情報を取得し、当該取得した各端末の現在位置が一致する場合、前記ユーザ端末に対して、前記格納データの復号用情報、または前記ユーザ端末における前記格納データへのアクセス用プログラムの起動情報を、アクセス情報として送信するステップと、を含むことを特徴とするデータアクセス制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004359875A JP2006171855A (ja) | 2004-12-13 | 2004-12-13 | データアクセス制御システム、データアクセス制御方法、およびデータアクセス制御プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004359875A JP2006171855A (ja) | 2004-12-13 | 2004-12-13 | データアクセス制御システム、データアクセス制御方法、およびデータアクセス制御プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006171855A true JP2006171855A (ja) | 2006-06-29 |
Family
ID=36672571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004359875A Pending JP2006171855A (ja) | 2004-12-13 | 2004-12-13 | データアクセス制御システム、データアクセス制御方法、およびデータアクセス制御プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006171855A (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008015669A (ja) * | 2006-07-04 | 2008-01-24 | Uchida Yoko Co Ltd | 電子データアクセス制御システム、プログラム及び情報記憶媒体 |
| JP2009075688A (ja) * | 2007-09-19 | 2009-04-09 | Fujitsu Ltd | 携帯装置の位置に関する情報とファイル用暗号鍵とを管理するためのプログラムおよび方法 |
| JP2010034911A (ja) * | 2008-07-29 | 2010-02-12 | Kyocera Corp | 暗号化システム、携帯端末、復号キー生成サーバ、および暗号化方法 |
| JP2010211412A (ja) * | 2009-03-09 | 2010-09-24 | Saxa Inc | 端末装置監視システム |
| JP5002065B1 (ja) * | 2011-02-28 | 2012-08-15 | 三菱電機インフォメーションシステムズ株式会社 | 認証システム、認証システムの認証方法、測位装置および測位プログラム |
| JP2015519637A (ja) * | 2012-04-10 | 2015-07-09 | アクセルズ テクノロジーズ (2009) リミテッド | モバイル機器による安全なトランザクションプロセスのためのシステム及び方法 |
| US9781105B2 (en) | 2015-05-04 | 2017-10-03 | Ping Identity Corporation | Fallback identity authentication techniques |
| US9830594B2 (en) | 2011-05-17 | 2017-11-28 | Ping Identity Corporation | System and method for performing a secure transaction |
| JP2018028720A (ja) * | 2016-08-15 | 2018-02-22 | 富士ゼロックス株式会社 | 情報処理装置及び情報処理プログラム |
-
2004
- 2004-12-13 JP JP2004359875A patent/JP2006171855A/ja active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008015669A (ja) * | 2006-07-04 | 2008-01-24 | Uchida Yoko Co Ltd | 電子データアクセス制御システム、プログラム及び情報記憶媒体 |
| JP2009075688A (ja) * | 2007-09-19 | 2009-04-09 | Fujitsu Ltd | 携帯装置の位置に関する情報とファイル用暗号鍵とを管理するためのプログラムおよび方法 |
| JP2010034911A (ja) * | 2008-07-29 | 2010-02-12 | Kyocera Corp | 暗号化システム、携帯端末、復号キー生成サーバ、および暗号化方法 |
| JP2010211412A (ja) * | 2009-03-09 | 2010-09-24 | Saxa Inc | 端末装置監視システム |
| JP5002065B1 (ja) * | 2011-02-28 | 2012-08-15 | 三菱電機インフォメーションシステムズ株式会社 | 認証システム、認証システムの認証方法、測位装置および測位プログラム |
| US9830594B2 (en) | 2011-05-17 | 2017-11-28 | Ping Identity Corporation | System and method for performing a secure transaction |
| JP2015519637A (ja) * | 2012-04-10 | 2015-07-09 | アクセルズ テクノロジーズ (2009) リミテッド | モバイル機器による安全なトランザクションプロセスのためのシステム及び方法 |
| US10108963B2 (en) | 2012-04-10 | 2018-10-23 | Ping Identity Corporation | System and method for secure transaction process via mobile device |
| US9781105B2 (en) | 2015-05-04 | 2017-10-03 | Ping Identity Corporation | Fallback identity authentication techniques |
| JP2018028720A (ja) * | 2016-08-15 | 2018-02-22 | 富士ゼロックス株式会社 | 情報処理装置及び情報処理プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6871063B1 (en) | Method and apparatus for controlling access to a computer system | |
| US7324233B2 (en) | Print system and data transmitting and receiving system | |
| EP1519536B1 (en) | Home network device, home network system and method for automating take ownership process | |
| KR20010114230A (ko) | 이동 기기의 법정 요건에 합치시킬 수 있는 컴퓨터프로그램 및 컴퓨팅 장치 | |
| JP5167835B2 (ja) | 利用者認証システム、および方法、プログラム、媒体 | |
| US8707444B2 (en) | Systems and methods for implementing application control security | |
| KR20080032228A (ko) | 보안 소프트웨어 갱신 | |
| US20050114694A1 (en) | System and method for authentication of applications in a non-trusted network environment | |
| US20070021141A1 (en) | Record carrier, system, method and program for conditional access to data stored on the record carrier | |
| US20040030891A1 (en) | Information processing system, information processing apparatus and method, recording medium, and program | |
| JP4962237B2 (ja) | 携帯装置の位置に関する情報とファイル用暗号鍵とを管理するためのプログラムおよび方法 | |
| JP4753398B2 (ja) | 位置情報付きファイル暗号化システム及び復号化システム、並びにその方法 | |
| JP4405309B2 (ja) | アクセスポイント、無線lan接続方法、無線lan接続プログラムを記録した媒体および無線lanシステム | |
| US20170264438A1 (en) | Location-locked data | |
| JP2006171855A (ja) | データアクセス制御システム、データアクセス制御方法、およびデータアクセス制御プログラム | |
| CN115066863A (zh) | 用于利益拒绝系统中的跨账户设备密钥转移的系统和技术 | |
| JP6580765B2 (ja) | スマートロック及びスマートロックの制御方法 | |
| US20030221098A1 (en) | Method for automatically updating a network ciphering key | |
| WO2002071786A1 (fr) | Systeme de communication mobile et dispositif constitutif | |
| JP5078675B2 (ja) | 会員認証システム及び携帯端末装置 | |
| US7840807B2 (en) | Authentication of computing device through employment of determination that current location of authentication device matches initial location | |
| JPWO2016035466A1 (ja) | 通信システム、サーバ装置用プログラム及びこれを記録した記録媒体、通信装置用プログラム及びこれを記録した記録媒体、端末装置用プログラム及びこれを記録した記録媒体 | |
| JP5002065B1 (ja) | 認証システム、認証システムの認証方法、測位装置および測位プログラム | |
| CN114785532B (zh) | 一种基于双向签名认证的安全芯片通信方法及装置 | |
| KR20200089562A (ko) | 공유된 키를 등록하기 위한 방법 및 장치 |