JP2007094548A - Access control system - Google Patents

Access control system Download PDF

Info

Publication number
JP2007094548A
JP2007094548A JP2005280305A JP2005280305A JP2007094548A JP 2007094548 A JP2007094548 A JP 2007094548A JP 2005280305 A JP2005280305 A JP 2005280305A JP 2005280305 A JP2005280305 A JP 2005280305A JP 2007094548 A JP2007094548 A JP 2007094548A
Authority
JP
Japan
Prior art keywords
server
user terminal
authentication
user
transmits
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005280305A
Other languages
Japanese (ja)
Inventor
Hideki Yoshii
英樹 吉井
Makoto Murakami
誠 村上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
SoftBank Telecom Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank Telecom Corp filed Critical SoftBank Telecom Corp
Priority to JP2005280305A priority Critical patent/JP2007094548A/en
Publication of JP2007094548A publication Critical patent/JP2007094548A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To perform access control appropriate for the occasion according to the position information of a user terminal. <P>SOLUTION: An access control system has an authentication server 1 which transmits an authentication log to a user terminal surveillance server 2 while performing user authentication and transmitting an authentication token to the user terminal 16; the user terminal surveillance server 2 which receives the authentication log and transmits position information attribute of authenticated user terminal 16 to a policy server 3, the policy server 3 which receives this position information attribute and make a directory server 26 execute setting of group attribute based on position information of the user terminal 16; and the directory server 26 which transmits the group attribute of the user to an application server 27 based on authentication token from the user terminal 16; and the application server 27 provides a function based on the group attribute to the user terminal 16 when the server receives the group attribute of the user terminal 16. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ユーザ端末の物理的、論理的位置情報に基づいた権限付与、アクセス管理を行うアクセス制御システムに関する。   The present invention relates to an access control system that performs authorization and access management based on physical and logical location information of a user terminal.

共有ファイルサービスやWebアプリケーション、リモートアクセスVPN、IEEE802.1x dynamic VLANといったアプリケーションは、各アプリケーション毎にユーザ認証機能、ユーザ認可機能、及びアカウンティング機能を有している。しかし、これらは、アプリケーション作成の負荷が大きく、メンテナンスに多大な労力を要し、ユーザに各アプリケーション毎にログイン作業を要求する必要がある等といった問題を有している。このような従来のアプリケーションに関わる問題に鑑みて、今日では、ユーザ認証の負担軽減を図るNET Passportの如きシングルサインオンや、単なるyellowページに止まらずにユーザのアクセス権限を一括制御する機能を含むWindows(登録商標) Active DirectoryやLDAPサーバの如き統合ディレクトリに関わる技術が開発されているのが実状である。   Applications such as a shared file service, Web application, remote access VPN, and IEEE802.1x dynamic VLAN have a user authentication function, a user authorization function, and an accounting function for each application. However, these have problems such as a heavy load for creating an application, requiring a lot of labor for maintenance, and requiring the user to log in for each application. In view of these problems related to conventional applications, today, it includes a single sign-on such as NET Passport that reduces the burden of user authentication, and a function that collectively controls user access rights without stopping at just a yellow page. In fact, technologies related to integrated directories such as Windows (registered trademark) Active Directory and LDAP servers have been developed.

一方、ユビキタス環境においては、時間や場所を問わずにネットワークリソースにアクセス可能な環境が提供される。このような環境整備と並行して、今日では個人情報保護法等といった情報セキュリティに関する法整備が進められているが、利便性の追求と安全性の追求は、ある意味、トレードオフの関係にある。例えば、ユビキタス環境下では、街中の喫茶店等から社内の個人情報等にアクセスする事も可能となるが、第三者に盗み見されるリスクがあることに鑑みれば、それに対して何らかの措置を講じる必要がある。このような状況に鑑みて、今日ではユーザ端末の位置情報に応じたアクセス管理を行う技術が開発されている。そして、同技術では、ユーザのアクセス権限の管理を、上記ユーザ認可部で統一的に管理するようになってきている。   On the other hand, the ubiquitous environment provides an environment in which network resources can be accessed regardless of time and place. In parallel with this environmental improvement, information security laws such as the Personal Information Protection Law are being developed today, but the pursuit of convenience and the pursuit of safety are in a trade-off relationship in a sense. . For example, in a ubiquitous environment, it is possible to access internal personal information etc. from coffee shops in the city, but in view of the risk of being stolen by a third party, it is necessary to take some measures against it There is. In view of such a situation, a technique for performing access management in accordance with the location information of the user terminal has been developed today. In this technology, the user access authority is managed in a unified manner by the user authorization unit.

しかしながら、前述したユーザ端末の位置情報に応じたアクセス管理では、ユーザのアクセス権限は静的(static)に決定され、ユーザの位置情報に応じて動的(dynamic)に変化させることはできていないのが実状である。また、前述したLDAPサーバやActive Directoryでは、「グループ」という概念を用いてユーザのアクセス権限を制御するようになってきているが、該アクセス権限は、静的(static)に決まり、ユーザの物理的、論理的位置情報等に動的(dynamic)に対応することはできていない。つまり、ユーザの置かれた環境を想定しての権限付与、アクセス管理はなされていない。   However, in the above-described access management according to the location information of the user terminal, the access authority of the user is determined as static and cannot be changed dynamically according to the location information of the user. This is the actual situation. In addition, in the LDAP server and Active Directory described above, the access authority of a user is controlled using the concept of “group”. However, the access authority is determined as static, and the physical authority of the user is determined. Dynamic, logical position information, etc. cannot be handled dynamically. In other words, authorization and access management are not performed assuming the environment where the user is placed.

本発明の目的とするところは、ユーザ端末の物理的、論理的位置情報を管理し、当該情報に応じてその場にふさわしい権限を付与し、アクセス管理を行うことにある。   An object of the present invention is to manage physical and logical location information of a user terminal, grant an authority appropriate to the place according to the information, and perform access management.

上記目的を達成するために、本発明の第1の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するアプリケーションサーバと、この認証トークンに基づいてユーザのグループ属性をアプリケーションサーバに送信するディレクトリサーバと、を有し、上記アプリケーションサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づいた機能をユーザ端末に提供する、ことを特徴とするアクセス制御システムが提供される。   In order to achieve the above object, in the first aspect of the present invention, an authentication server that performs user authentication of a user terminal, transmits an authentication token to the user terminal, and transmits an authentication log to the user terminal monitoring server; A user terminal monitoring server that receives the authentication log and transmits the location information attribute of the authenticated user terminal to the policy server, and receives the location information attribute and sets a group attribute based on the location information of the user terminal in the directory server. A policy server to be implemented; an application server that receives the authentication token from the user terminal and transmits the authentication token to the directory server; and a directory server that transmits the group attribute of the user to the application server based on the authentication token. The application server has a user end Upon receiving the group attributes, provides the functions based on the group attribute to the user terminal, there is provided an access control system, characterized in that.

本発明の第2の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に対して最適なプリンタのIPアドレスを有するグループ属性の設定を実施させるポリシーサーバと、ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するプリンタサーバと、この認証トークンに基づいてユーザのグループ属性をプリンタサーバに送信するディレクトリサーバと、を有し、上記プリンタサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づきプリンタを特定する、ことを特徴とするアクセス制御システムが提供される。   In the second aspect of the present invention, the user authentication of the user terminal is performed, the authentication token is transmitted to the user terminal, the authentication log is transmitted to the user terminal monitoring server, and the authentication log is received and authenticated. A user terminal monitoring server for transmitting the location information attribute of the user terminal to the policy server, and setting of the group attribute having the optimum printer IP address for the location information of the user terminal in the directory server in response to the location information attribute A policy server that implements the above, a printer server that receives the authentication token from the user terminal and transmits the authentication token to the directory server, a directory server that transmits the group attribute of the user to the printer server based on the authentication token, And the printer server includes a group of user terminals. When receiving the to identify the printer based on the group attribute, an access control system characterized by being provided.

本発明の第3の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信するシングルサインオンサーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、上記ユーザ端末の所属グループを上記シングルサインオンサーバに返信するディレクトリサーバと、上記ユーザ端末に対して、アプリケーション利用トークンに基づくアクセス許可を与えるアプリケーションサーバと、を有し、上記ユーザ端末が上記シングルサインオンサーバにアプリケーション利用トークンの作成依頼を行なうと、当該シングルサインオンサーバは上記ディレクトリサーバから当該ユーザの所属グループを受け、アプリケーション利用トークンを作成し、上記ユーザ端末に配布し、当該ユーザ端末にアプリケーション利用トークンに基づくアクセス許可を与える、ことを特徴とするアクセス制御システムが提供される。   In the third aspect of the present invention, user authentication of a user terminal is performed, an authentication token is transmitted to the user terminal, an authentication log is transmitted to the user terminal monitoring server, and the authentication log is received. A user terminal monitoring server that transmits the location information attribute of the authenticated user terminal to the policy server; a policy server that receives the location information attribute and causes the directory server to set the group attribute based on the location information of the user terminal; A directory server that returns a group to which the user terminal belongs to the single sign-on server, and an application server that grants the user terminal access permission based on an application usage token. Application usage on server When a request for creating a token is made, the single sign-on server receives the group to which the user belongs from the directory server, creates an application usage token, distributes it to the user terminal, and accesses the user terminal based on the application usage token. An access control system characterized by granting permission is provided.

本発明の第4の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、ユーザ端末からの上記認証トークンを受け、当該認証トークンに基づいてユーザのグループ属性をユーザ端末に返信するディレクトリサーバと、を有し、上記ユーザ端末上でアプリケーションを起動すると、アプリケーションが認証トークンを上記ディレクトリサーバに送信し、当該ディレクトリサーバは認証トークンに基づいてユーザのグループ属性をユーザ端末に送信し、ユーザ端末のアプリケーションが受信したグループ属性に基づいた機能を提供するようにする、ことを特徴とするアクセス制御システムが提供される。   In the fourth aspect of the present invention, user authentication of a user terminal is performed, an authentication token is transmitted to the user terminal, an authentication log is transmitted to the user terminal monitoring server, and the authentication log is received and authenticated. A user terminal monitoring server that transmits the location information attribute of the user terminal to the policy server; a policy server that receives the location information attribute and causes the directory server to set a group attribute based on the location information of the user terminal; A directory server that receives the authentication token from the server and returns a group attribute of the user to the user terminal based on the authentication token. When the application is started on the user terminal, the application sends the authentication token to the directory server. The directory server sends an authentication token Sending a group attribute of the user to the user terminal based, so as to provide a function based on the group attribute an application receives the user terminal, there is provided an access control system, characterized in that.

本発明の第5の態様では、上記第1乃至第4の態様において、上記認証トークンは、少なくとも認証をパスしたユーザ端末のユーザID、またはIPアドレスを含むものとするアクセス制御システムが提供される。   According to a fifth aspect of the present invention, there is provided an access control system according to any one of the first to fourth aspects, wherein the authentication token includes at least a user ID or an IP address of a user terminal that has passed authentication.

本発明の第6の態様では、上記第1乃至第5の態様において、上記ポリシーサーバは、位置情報毎に静的なユーザとグループとを対応付けたテーブルを保持しており、上記ディレクトリサーバは、ユーザ位置情報を元に動的なユーザとグループとを対応付けたテーブルを保持している、ことを更に特徴とするアクセス制御システムが提供される。   In a sixth aspect of the present invention, in the first to fifth aspects, the policy server holds a table in which static users and groups are associated with each location information, and the directory server There is further provided an access control system characterized by holding a table in which dynamic users and groups are associated with each other based on user position information.

本発明の第7の態様では、上記第6の態様において、上記ディレクトリサーバは、上記テーブルのユーザの所属グループを動的に変更することを更に特徴とするアクセス制御システムが提供される。   According to a seventh aspect of the present invention, there is provided the access control system according to the sixth aspect, wherein the directory server dynamically changes a group to which the user belongs in the table.

本発明によれば、ユーザ端末の物理的、論理的位置情報を管理し、当該情報に応じてその場にふさわしい権限を付与し、アクセス管理を行う通信制御装置及びアクセス制御システムを提供することができる。   According to the present invention, it is possible to provide a communication control device and an access control system that manage physical and logical location information of a user terminal, grant authority appropriate to the location according to the information, and perform access management. it can.

以下、添付図面を参照して、本発明の実施の形態について説明する。   Embodiments of the present invention will be described below with reference to the accompanying drawings.

図1には本発明の一実施の形態に係るアクセス制御システムの構成を示し説明する。   FIG. 1 shows and describes the configuration of an access control system according to an embodiment of the present invention.

同図に示されるように、このアクセス制御システムは、例えばIEEE802.1x対応のRadius(Remote authentication dial-in user service)サーバ等の認証サーバ1とユーザ端末監視サーバ2、ポリシーサーバ3、DHCPサーバ4、ファイルサーバ等ユーザ認証を使うサーバ(以下、アプリケーションサーバと称する)5、VPN終端装置6、ディレクトリサーバ26が企業のイントラネット7内に配設されており、このイントラネット7内の各サーバは、例えばIEEE802.1x対応のアクセススイッチ9a,9bを介して本社の各ユーザ端末10a乃至10c(以下、符号10で総称する)に接続され、アクセススイッチ11を介して支社のユーザ端末12a,12b(以下、符号12で総称する)に接続されている。ユーザ端末16は自宅内、ユーザ端末17は外出先、ユーザ端末14a,14b(以下、符号14で総称する)は公衆SOHOスポットから、公衆網8及びVPN終端装置6を介して、イントラネット7側にアクセス可能に接続されている。公衆SOHOスポットからアクセスする場合には、アクセススイッチ13を介してアクセスすることになるが、認証プロキシサーバ15による認証を経なければならない。   As shown in the figure, this access control system includes an authentication server 1 such as a Radius (Remote authentication dial-in user service) server compatible with IEEE802.1x, a user terminal monitoring server 2, a policy server 3, a DHCP server 4 and the like. A server (hereinafter referred to as an application server) 5 such as a file server (hereinafter referred to as an application server) 5, a VPN termination device 6, and a directory server 26 are arranged in a corporate intranet 7, and each server in the intranet 7 is, for example, It is connected to user terminals 10a to 10c (hereinafter collectively referred to as reference numeral 10) through the IEEE802.1x compatible access switches 9a and 9b, and is connected to the user terminals 12a and 12b (hereinafter referred to as “terminal terminals”) through the access switch 11. Connected to the reference numeral 12). The user terminal 16 is at home, the user terminal 17 is away from home, and the user terminals 14a and 14b (hereinafter collectively referred to by reference numeral 14) are connected from the public SOHO spot to the intranet 7 side via the public network 8 and the VPN termination device 6. Connected to be accessible. When accessing from a public SOHO spot, access is made through the access switch 13, but authentication by the authentication proxy server 15 must be performed.

このような構成において、認証サーバ1は、リモートアクセスしたユーザ端末14,16,17を認証する。あるいは、アクセスしてきたユーザ端末10,12によるアクセススイッチ9,11のポートの利用許可/不許可の決定を行う。そして、VLAN番号の割り当てやIPアドレスの割り当て、その他様々な情報をユーザ端末6に適宜割り当てる。   In such a configuration, the authentication server 1 authenticates the user terminals 14, 16, and 17 that have been remotely accessed. Alternatively, the use permission / non-permission of the ports of the access switches 9 and 11 by the accessing user terminals 10 and 12 is determined. Then, VLAN number assignment, IP address assignment, and other various information are appropriately assigned to the user terminal 6.

ユーザ端末監視サーバ2は、認証サーバ1のログ及びIEEE802.1x対応のアクセススイッチ9,11からSNMP(Simple Network Management Protocol)を介して得たポート情報、ユーザ端末10,12等からSNMPやTelnetを介して得たユーザ端末情報に応じて、テーブルを作成する。また、このユーザ端末監視サーバ2は、ユーザ端末のVLANを動的に制御するためのAPI(Application Programming Interface)を有している。   The user terminal monitoring server 2 receives the log of the authentication server 1, port information obtained from the IEEE802.1x compatible access switches 9 and 11 via SNMP (Simple Network Management Protocol), and SNMP and Telnet from the user terminals 10 and 12 etc. A table is created according to the user terminal information obtained through the communication. The user terminal monitoring server 2 has an API (Application Programming Interface) for dynamically controlling the VLAN of the user terminal.

ユーザ端末監視サーバ2は、図3乃至5に示されるようなユーザ端末情報テーブルを有する。即ち、図3のアクセススイッチ位置情報テーブルでは、アクセススイッチ9,11の配設されている住所、フロア、ルームナンバ、エリアIDが関連付けられている。図4のユーザ端末情報テーブルは、ユーザIDとユーザ端末の端末IDとネットワークID(IPアドレス)、VLANID、アクセススイッチ9,11のIDとポートID、アクセス形態が対応付けられている。さらに、図5のユーザ端末情報テーブルでは、ユーザIDと端末ID(MACアドレス)、ユーザ端末6のネットワークID(IPアドレス)、VLANID、アクセススイッチ5のIPアドレス、アクセススイッチ5のポートID、アクセス形態、アクセスの開始時刻、アクセス終了時刻、入退室情報、入室時間、退室時間、入退館情報、入室時間、退室時間が対応付けられて蓄積されている。   The user terminal monitoring server 2 has a user terminal information table as shown in FIGS. That is, in the access switch position information table of FIG. 3, the address, floor, room number, and area ID where the access switches 9 and 11 are arranged are associated. In the user terminal information table of FIG. 4, the user ID, the terminal ID of the user terminal, the network ID (IP address), the VLAN ID, the IDs and port IDs of the access switches 9 and 11, and the access form are associated with each other. Further, in the user terminal information table of FIG. 5, the user ID and the terminal ID (MAC address), the network ID (IP address) of the user terminal 6, the VLAN ID, the IP address of the access switch 5, the port ID of the access switch 5, and the access form , Access start time, access end time, entry / exit information, entry time, exit time, entrance / exit information, entrance time, exit time are stored in association with each other.

アプリケーションサーバ5は、例えばウィルスに感染したユーザ端末9,11やセキュリティ対策状況が不十分なユーザ端末9,11に対して、APIを介して当該ユーザ端末9,11の所属VLANを変更する。ポリシーサーバ3は、ユーザ端末10,12,14,16,17の物理的な位置の情報に基づいて所定のポリシーを決定する。ポリシーには、ファイルアクセスを決定する為のアクセスリスト、閲覧可能性を決定する為のアクセスリスト、ユーザのコンフィグレーション情報等といった種々のものが含まれる。ディレクトリサーバ26は、ユーザのアクセス権限を一括管理している。   For example, for the user terminals 9 and 11 infected with a virus or the user terminals 9 and 11 with insufficient security measures, the application server 5 changes the belonging VLAN of the user terminals 9 and 11 via the API. The policy server 3 determines a predetermined policy based on information on the physical positions of the user terminals 10, 12, 14, 16, and 17. The policy includes various types such as an access list for determining file access, an access list for determining browsing possibility, and user configuration information. The directory server 26 collectively manages user access authority.

本システムでは、上記アクセススイッチ位置情報テーブルやユーザ端末情報テーブルを参照して、ユーザ端末6の物理的な位置を特定する。そして、このような論理的な情報(どのVLANに属するのか等)、物理的位置情報(どのフロアにいるのか等)に基づいてアクセス管理を行う点は、この実施の形態の特徴点の一つである。   In this system, the physical position of the user terminal 6 is specified with reference to the access switch position information table and the user terminal information table. One of the features of this embodiment is that access management is performed based on such logical information (which VLAN belongs) and physical location information (which floor, etc.). It is.

ここで、ユーザ端末監視サーバ2によるデータ収集方法について説明する。   Here, a data collection method by the user terminal monitoring server 2 will be described.

先ず、本社や支社からの接続の場合には、ユーザ端末監視サーバ2は、802.1x認証の認証ログ、及びアカウントログを認証サーバ1から受信するか、DHCPサーバ4のログを受信するか、アクセススイッチ9,11、不図示の無線アクセスポイントからはセッションの状態をSNMP等を介して受信するか、の方法によりデータを収集する。   First, in the case of connection from the head office or branch office, the user terminal monitoring server 2 receives the 802.1x authentication log and account log from the authentication server 1, receives the log of the DHCP server 4, or accesses Data is collected by the method of receiving the session status from the switches 9 and 11 and a wireless access point (not shown) via SNMP or the like.

一方、自宅や外出先からの接続(ユーザ端末16,17)の場合には、ユーザ端末監視サーバ2は、リモートアクセスの認証ログ、及びアカウントログをVPN終端装置6から受信するか、リモートアクセスのユーザ端末16,17に割り当てたIPアドレスをVPN終端装置6もしくはDHCPサーバ4から受信するか、リモートアクセスのセッションの状態をVPN終端装置6から受信するか、の方法によりデータを収集する。   On the other hand, in the case of connection from home or away from home (user terminals 16 and 17), the user terminal monitoring server 2 receives the remote access authentication log and account log from the VPN termination device 6 or performs remote access. Data is collected by the method of receiving the IP address assigned to the user terminals 16 and 17 from the VPN terminating device 6 or the DHCP server 4 or receiving the status of the remote access session from the VPN terminating device 6.

また、公衆SOHOスポット(SOHOスペースをレンタルしている会社)からの接続の場合には、ユーザ端末監視サーバ2は、SOHOスペースのネットワーク利用許可を802.1x等を用いて取得し、認証は認証プロキシを介して、イントラネット7上の認証サーバ1を用いる。例えば、A社社員であれば、A社の認証サーバ1を用いる。そして、ネットワーク接続後、リモートアクセスのセッションを構築する。   In the case of connection from a public SOHO spot (a company that rents a SOHO space), the user terminal monitoring server 2 obtains the network usage permission of the SOHO space using 802.1x or the like, and authentication is performed by an authentication proxy. The authentication server 1 on the intranet 7 is used. For example, if it is an employee of company A, the authentication server 1 of company A is used. Then, after connecting to the network, a remote access session is established.

図2に示す例では、入退館・入退室管理サーバ18を備えており、更にビルディングXに入退室管理端末23が配置されると共に、各フロアの各部屋に入退室管理端末24,25…が配置されており、社員等の入退館、入退室が管理されている。   In the example shown in FIG. 2, an entrance / exit / exit management server 18 is provided, and an entrance / exit management terminal 23 is arranged in the building X, and entrance / exit management terminals 24, 25,. Is placed, and entry / exit and entry / exit of employees are managed.

以下、図6を参照して、本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が、動的にユーザのアクセス権限を管理する処理の流れを詳細に説明する。先ず、ユーザ端末16は、ユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)を認証サーバ1に要求する(ステップS1)。この要求を受けると、認証サーバ1は、認証トークンをユーザ端末へ送信することになる(ステップS2)。この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。   Hereinafter, the flow of processing in which the application server 5 dynamically manages the access authority of the user by the access control system according to the embodiment of the present invention will be described in detail with reference to FIG. First, the user terminal 16 requests the authentication server 1 for user authentication (IEEE802.1x, remote access VPN authentication, login to the Windows domain) (step S1). Upon receiving this request, the authentication server 1 transmits an authentication token to the user terminal (step S2). Information included in the authentication token includes a user ID, a user IP address, an authentication server ID, an authentication time (time stamp), and an expiration date.

続いて、認証サーバ1は認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS3)。ユーザ端末監視サーバ2は、NAS ID等と物理的位置情報を対応つけて管理している。そこで、これを受けると、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS4)。   Subsequently, the authentication server 1 transmits an authentication log and an account log to the user terminal monitoring server 2 (step S3). The user terminal monitoring server 2 manages the NAS ID and the physical location information in association with each other. Therefore, when receiving this, the user terminal monitoring server 2 transmits the location information attribute of the authenticated user to the policy server 3 (step S4).

この位置情報属性を受けると、ポリシーサーバ3は、ディレクトリサーバ26にユーザ位置情報に基づくグループ属性の設定を実施させる(ステップS5)。続いて、ユーザ端末16がアプリケーションサーバ27にアクセスするが、これと同時に認証トークンを送信する(ステップS6)。これを受けると、アプリケーションサーバ27が認証トークンをディレクトリサーバ26に送信し(ステップS7)、ディレクトリサーバ26は、この認証トークンに基づいてユーザのグループ属性をアプリケーションサーバ27に送信する(ステップS8)。これを受信すると、アプリケーションサーバ27は、このグループ属性に基づいた機能をユーザ端末16に提供することになる(ステップS9)。   Upon receiving this location information attribute, the policy server 3 causes the directory server 26 to set a group attribute based on the user location information (step S5). Subsequently, the user terminal 16 accesses the application server 27. At the same time, an authentication token is transmitted (step S6). Upon receiving this, the application server 27 transmits an authentication token to the directory server 26 (step S7), and the directory server 26 transmits a user group attribute to the application server 27 based on the authentication token (step S8). Upon receiving this, the application server 27 provides the user terminal 16 with a function based on this group attribute (step S9).

以下、図7を参照して、本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が、ユーザ位置情報に応じて適切なプリンタ30を指定する処理の流れを詳細に説明する。   Hereinafter, the flow of processing in which the application server 5 designates an appropriate printer 30 according to the user position information by the access control system according to the embodiment of the present invention will be described in detail with reference to FIG. .

先ず、ユーザ端末16は、ユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)を認証サーバ1に要求する(ステップS201)。この要求を受けると、認証サーバ1は、認証トークンをユーザ端末16へ送信することになる(ステップS202)。尚、この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。   First, the user terminal 16 requests the authentication server 1 for user authentication (IEEE802.1x, remote access VPN authentication, login to the Windows domain) (step S201). Upon receiving this request, the authentication server 1 transmits an authentication token to the user terminal 16 (step S202). Information included in the authentication token includes a user ID, a user IP address, an authentication server ID, an authentication time (time stamp), and an expiration date.

続いて、認証サーバ1は認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS203)。ユーザ端末監視サーバ2は、NAS ID等と物理的位置情報を対応つけて管理している。そこで、これを受けると、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS204)。   Subsequently, the authentication server 1 transmits an authentication log and an account log to the user terminal monitoring server 2 (step S203). The user terminal monitoring server 2 manages the NAS ID and the physical location information in association with each other. Therefore, when receiving this, the user terminal monitoring server 2 transmits the location information attribute of the authenticated user to the policy server 3 (step S204).

この位置情報属性を受けると、ポリシーサーバ3は、ディレクトリサーバ26にユーザ位置情報に対して最適なプリンタ30のIPアドレスを持つグループ属性の設定を実施させる(ステップS205)。続いて、ユーザ端末16がプリンタサーバ31にアクセスするが、これと同時に認証トークンを送信する(ステップS206)。これを受けると、プリンタサーバ31が認証トークンをディレクトリサーバ26に送信し(ステップS207)、ディレクトリサーバ26は、この認証トークンに基づいてユーザのグループ属性をプリンタサーバ31に送信する(ステップS8)。プリンタサーバ31は、受信したグループ属性(プリンタのIPアドレス等)に基づきプリンタ30を特定し、情報を送信し(ステップS209)、ユーザ端末16には特定されたプリンタを通知する(ステップS210)。   Upon receiving this position information attribute, the policy server 3 causes the directory server 26 to set a group attribute having the IP address of the printer 30 that is optimal for the user position information (step S205). Subsequently, the user terminal 16 accesses the printer server 31, and at the same time, transmits an authentication token (step S206). Upon receiving this, the printer server 31 transmits an authentication token to the directory server 26 (step S207), and the directory server 26 transmits the group attribute of the user to the printer server 31 based on this authentication token (step S8). The printer server 31 identifies the printer 30 based on the received group attribute (printer IP address, etc.), transmits information (step S209), and notifies the user terminal 16 of the identified printer (step S210).

次に、図8を参照して、本発明の一実施の形態に係るアクセス制御システムにより、その認証サーバ1に代わるシングルサインオンサーバ28が、動的にユーザのアクセス権限を管理する処理の流れを詳細に説明する。ユーザ端末16は、ユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)をシングルサインオンサーバ28に要求する(ステップS11)。この要求を受けると、シングルサインオンサーバ28は認証トークンをユーザ端末16へ送信する(ステップS12)。この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。続いて、シングルサインオンサーバ28は、認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS13)。すると、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS14)。この位置情報属性を受けると、ポリシーサーバ3はディレクトリサーバ26にユーザ位置情報に基づくグループ属性の設定を実施する(ステップS15)。   Next, referring to FIG. 8, the flow of processing in which the single sign-on server 28 replacing the authentication server 1 dynamically manages the access authority of the user by the access control system according to the embodiment of the present invention. Will be described in detail. The user terminal 16 requests the single sign-on server 28 for user authentication (IEEE802.1x, remote access VPN authentication, login to the Windows domain) (step S11). Upon receiving this request, the single sign-on server 28 transmits an authentication token to the user terminal 16 (step S12). Information included in the authentication token includes a user ID, a user IP address, an authentication server ID, an authentication time (time stamp), and an expiration date. Subsequently, the single sign-on server 28 transmits an authentication log and an account log to the user terminal monitoring server 2 (step S13). Then, the user terminal monitoring server 2 transmits the authenticated location information attribute of the user to the policy server 3 (step S14). Upon receiving this location information attribute, the policy server 3 sets a group attribute based on the user location information in the directory server 26 (step S15).

ユーザ端末16がシングルサインオンサーバ28にアプリケーション利用トークンの作成依頼を行なうと(ステップS16)、シングルサインオンサーバ28はディレクトリサーバ26にユーザの所属グループ情報を要求する(ステップS17)。ディレクトリサーバ26は、この要求を受けると、当該ユーザの所属グループをシングルサインオンサーバ28に返信する(ステップS18)。すると、シングルサインオンサーバ28が、アプリケーション利用トークンを作成し、ユーザ端末16に配布する(ステップS19)。このアプリケーション利用トークンを受けると、ユーザ端末16は、アプリケーションサーバ27に当該アプリケーション利用トークンを送信する(ステップS20)。アプリケーションサーバ27は、この利用トークンを認証し、利用トークンに基づくアクセス許可をユーザ端末16に与える(ステップS21)。   When the user terminal 16 requests the single sign-on server 28 to create an application use token (step S16), the single sign-on server 28 requests the group information of the user from the directory server 26 (step S17). Upon receiving this request, the directory server 26 returns the group to which the user belongs to the single sign-on server 28 (step S18). Then, the single sign-on server 28 creates an application use token and distributes it to the user terminal 16 (step S19). Upon receiving this application usage token, the user terminal 16 transmits the application usage token to the application server 27 (step S20). The application server 27 authenticates this usage token and gives access permission based on the usage token to the user terminal 16 (step S21).

次に、図9を参照して、本発明の一実施の形態に係るアクセス制御システムにより、ユーザ端末のアプリケーションが動的にユーザのアクセス権限を管理する処理の流れを詳細に説明する。ユーザ端末16は、認証サーバ1にユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)を要求する(ステップS31)。この要求を受けると認証サーバ1は認証トークンをユーザ端末16へ送信する(ステップS32)。この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。   Next, with reference to FIG. 9, the flow of processing in which the application of the user terminal dynamically manages the user access authority by the access control system according to the embodiment of the present invention will be described in detail. The user terminal 16 requests the authentication server 1 for user authentication (IEEE802.1x, remote access VPN authentication, login to the Windows domain) (step S31). Upon receiving this request, the authentication server 1 transmits an authentication token to the user terminal 16 (step S32). Information included in the authentication token includes a user ID, a user IP address, an authentication server ID, an authentication time (time stamp), and an expiration date.

認証サーバ1は、認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS33)。これを受け、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS34)。この位置情報属性を受けて、ポリシーサーバ3は、ディレクトリサーバ26にユーザ位置情報に基づくグループ属性の設定を実施させる(ステップS35)。この後、ユーザ端末上でアプリケーションを起動すると(ステップS36)、アプリケーションが認証トークンをディレクトリサーバ26に送信し(ステップS37)、ディレクトリサーバ26は認証トークンに基づいてユーザのグループ属性をユーザ端末16に送信し(ステップS38)、アプリケーションは受信したグループ属性に基づいた機能を提供する(ステップS39)。   The authentication server 1 transmits an authentication log and an account log to the user terminal monitoring server 2 (step S33). In response to this, the user terminal monitoring server 2 transmits the authenticated location information attribute of the user to the policy server 3 (step S34). Receiving this position information attribute, the policy server 3 causes the directory server 26 to set the group attribute based on the user position information (step S35). Thereafter, when the application is started on the user terminal (step S36), the application transmits an authentication token to the directory server 26 (step S37), and the directory server 26 sets the group attribute of the user to the user terminal 16 based on the authentication token. Then, the application provides a function based on the received group attribute (step S39).

次に図10を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるポリシーサーバ3とディレクトリサーバ26との関係を詳細に説明する。   Next, the relationship between the policy server 3 and the directory server 26 in the access control system according to the embodiment of the present invention will be described in detail with reference to FIG.

ポリシーサーバ3は、位置情報毎に静的(static)なユーザとグループとを対応付けたテーブルを保持している。一方、ディレクトリサーバ26は、ユーザ位置情報を元に動的(dynamic)なユーザとグループとを対応付けたテーブルを保持している。ユーザ端末監視サーバ2からUser IDと位置情報(Position ID)がポリシーサーバ3に通知されると(ステップS41)、ポリシーサーバ3は、このユーザ端末監視サーバ2から通知されたUser IDの所属すべきグループをディレクトリサーバ26に通知する(ステップS42)。次に図11を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるポリシーサーバ3とディレクトリサーバ26との関係(特にトリガによりユーザの位置が変更される場合)を詳細に説明する。先に示した図10と異なるのは、ユーザ端末監視サーバ2からUser IDと位置情報(Position ID)がポリシーサーバ3に通知されると(ステップS51)、ポリシーサーバ3は、このユーザ端末監視サーバ2から通知されたUser IDの所属すべきグループをディレクトリサーバ26に通知し(ステップS52)、ディレクトリサーバ上で所属グループの変更が行なわれる点である。この例では、UserAの所属グループがPositionXからPositionYへと動的に変更されている。   The policy server 3 holds a table in which static users and groups are associated with each other for each piece of position information. On the other hand, the directory server 26 holds a table in which dynamic users and groups are associated with each other based on the user position information. When the user ID and the position information (Position ID) are notified from the user terminal monitoring server 2 to the policy server 3 (step S41), the policy server 3 should belong to the User ID notified from the user terminal monitoring server 2 The group is notified to the directory server 26 (step S42). Next, with reference to FIG. 11, the relationship between the policy server 3 and the directory server 26 in the access control system according to the embodiment of the present invention (especially when the position of the user is changed by a trigger) will be described in detail. . The difference from FIG. 10 described above is that when the user terminal monitoring server 2 notifies the policy server 3 of the User ID and the position information (Position ID) (step S51), the policy server 3 The group to which the user ID notified from 2 belongs should be notified to the directory server 26 (step S52), and the belonging group is changed on the directory server. In this example, the group to which UserA belongs is dynamically changed from PositionX to PositionY.

次に図12を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をファイルサーバのアクセス管理に用いる場合)を詳細に説明する。ユーザ端末16が、ファイルサーバ5にUser IDを含んだ認証トークンを送信すると(ステップS61)、ファイルサーバ5は認証トークンを確認し、そのUser IDをキーとして当該ユーザが所属している所属グループ情報をディレクトリサーバ26に問い合わせる(ステップS62)。この問い合わせを受けると、ディレクトリサーバ26は所属グループ情報をファイルサーバ5に返信する(ステップS63)。ファイルサーバ5は所属グループ情報に基づき、ユーザ端末16がアクセス可能な状態を当該ユーザ端末16に返信する(ステップS64)。尚、認証トークンの確認は、ファイルサーバ5が実施してもディレクトリサーバ26が実施してもよい。ファイルサーバの保持しているテーブル中に示したRWCPrSは、Read可能、Write可能、Copy可能、Print可能、Save可能といったファイルシステム特有の権限を意味している。例えば、RWのみの場合は、Read可能、及びWrite可能、Copy不可、Print不可、Save不可を表す。ファイルサーバ5は、ディレクトリ毎、もしくはファイル毎に上記権限管理を行うこととしている。   Next, with reference to FIG. 12, an application example of the application in the access control system according to the embodiment of the present invention (when location information is used for access management of a file server) will be described in detail. When the user terminal 16 transmits an authentication token including a User ID to the file server 5 (step S61), the file server 5 confirms the authentication token and uses the User ID as a key to belong group information to which the user belongs. Is inquired of the directory server 26 (step S62). Upon receiving this inquiry, the directory server 26 returns the belonging group information to the file server 5 (step S63). The file server 5 returns a state accessible by the user terminal 16 to the user terminal 16 based on the group information (step S64). The authentication token may be confirmed by the file server 5 or the directory server 26. The RWCPrS shown in the table held by the file server means authority specific to the file system such as Readable, Writeable, Copyable, Printable, and Saveable. For example, in the case of only RW, it represents “Readable”, “Writeable”, “Copyable”, “Printable”, “Save”. The file server 5 performs the authority management for each directory or each file.

次に図13を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMサーバに用いる場合)を詳細に説明する。   Next, with reference to FIG. 13, an application example of the access control system according to the embodiment of the present invention (when the location information is used in the DRM server) will be described in detail.

ユーザ端末16が、DRMサーバ29にあるファイルのダウンロードをUser IDを含んだ認証トークンを送信することで要求すると(ステップS71)、DRMサーバ29は認証トークンを確認し、そのUser IDより当該ユーザが所属している所属グループ情報をディレクトリサーバ26に問い合わせる(ステップS72)。ディレクトリサーバ26は、所属グループ情報をDRMサーバ29に返信する(ステップS73)。DRMサーバ29はユーザがそのファイルにアクセス可能な場合、ファイルサーバ5にリクエストを行なう(ステップS74)。このリクエストを受けると、ファイルサーバ5は該当するファイルをDRMサーバ29に送信する(ステップS75)。DRMサーバ29は、このファイルをユーザが許可された権限を実行可能なように設定する。より具体的には、権限に応じてファイルをラップする(ステップS76)。こうして、DRMサーバ29は、ユーザ端末16に権限管理を付与されたファイルを返信する(ステップS77)。   When the user terminal 16 requests download of a file in the DRM server 29 by transmitting an authentication token including a User ID (step S71), the DRM server 29 confirms the authentication token, and the user is identified by the User ID. The directory server 26 is inquired about belonging group information to which it belongs (step S72). The directory server 26 returns the belonging group information to the DRM server 29 (step S73). If the user can access the file, the DRM server 29 makes a request to the file server 5 (step S74). Upon receiving this request, the file server 5 transmits the corresponding file to the DRM server 29 (step S75). The DRM server 29 sets this file so that the authority permitted by the user can be executed. More specifically, the file is wrapped according to the authority (step S76). In this way, the DRM server 29 returns a file to which authority management is given to the user terminal 16 (step S77).

次に図14を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を詳細に説明する。ユーザ端末16がファイルサーバ5に対してファイル取得要求を出すと(ステップS81)、ファイルサーバ5は該当するファイルのラップをDRMサーバ29に依頼する(ステップS82)。DRMサーバ29は、この依頼を受けると、PWCPrSといった権限に応じてファイルをラップし(ステップS83)、ラップしたファイルをファイルサーバ5に返信する(ステップS84)。ファイルサーバ5は、このラップされたファイルをユーザ端末16に返信し、ユーザ端末16はラップされたファイルを取得することになる(ステップS85)。ユーザ端末16では、このファイルを使用するアプリケーションを起動し(ステップS86)、当該アプリケーションがユーザ端末監視サーバ2に位置情報の問い合わせを行なう(ステップS87)。   Next, with reference to FIG. 14, an application example of the access control system according to the embodiment of the present invention (when the location information is used for the DRM client application) will be described in detail. When the user terminal 16 issues a file acquisition request to the file server 5 (step S81), the file server 5 requests the DRM server 29 to wrap the corresponding file (step S82). Upon receiving this request, the DRM server 29 wraps the file in accordance with the authority such as PWCPRS (step S83), and returns the wrapped file to the file server 5 (step S84). The file server 5 returns the wrapped file to the user terminal 16, and the user terminal 16 obtains the wrapped file (step S85). In the user terminal 16, an application that uses this file is started (step S86), and the application inquires of the user terminal monitoring server 2 for location information (step S87).

ユーザ端末監視サーバ2は、この問い合わせを受けると、位置情報をユーザ端末16に返信する(ステップS88)。こうして、ユーザ端末のアプリケーションは位置情報に応じたポリシーを選択し、ファイルの利用を開始することになる(ステップS89)。ユーザ端末16は、図15,16の如きテーブルを保持している。そして、ユーザ端末16のアプリケーションは、図16のテーブルを参照して位置情報に基づいて定義される自己の所属するグループを把握し、図15のテーブルを参照して当該グループに与えられた権限を把握することになる。   Upon receiving this inquiry, the user terminal monitoring server 2 returns position information to the user terminal 16 (step S88). Thus, the application of the user terminal selects a policy corresponding to the position information and starts using the file (step S89). The user terminal 16 holds a table as shown in FIGS. Then, the application of the user terminal 16 grasps the group to which the user belongs, which is defined based on the position information with reference to the table of FIG. 16, and refers to the table of FIG. 15 to determine the authority given to the group. To grasp.

次に図17を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を詳細に説明する。ユーザ端末16がファイルサーバ5に対してファイル取得要求を出すと(ステップS101)、ファイルサーバ5は該当するファイルのラップをDRMサーバ29に依頼する(ステップS102)。DRMサーバ29は、この依頼を受けると、PWCPrSといった権限に応じてファイルをラップし(ステップS103)、ラップしたファイルをファイルサーバ5に返信する(ステップS104)。   Next, with reference to FIG. 17, an application example of the application in the access control system according to the embodiment of the present invention (when the location information is used for the DRM client application) will be described in detail. When the user terminal 16 issues a file acquisition request to the file server 5 (step S101), the file server 5 requests the DRM server 29 to wrap the corresponding file (step S102). Upon receiving this request, the DRM server 29 wraps the file in accordance with the authority such as PWCPRS (step S103), and returns the wrapped file to the file server 5 (step S104).

ファイルサーバ5は、このラップされたファイルをユーザ端末16に返信し、ユーザ端末16はラップされたファイルを取得することになる(ステップS105)。ユーザ端末16では、このファイルを使用するアプリケーションを起動し(ステップS106)、DRMサーバ29に対してポリシー作成依頼を行う(ステップS107)。このポリシー作成依頼を受けると、DRMサーバ29は、ポリシー作成後、ユーザ端末16に返信する(ステップS108)。こうして、ユーザ端末16はDRMサーバ29で動的に作成されたポリシーを使用し、ファイルの利用を開始する(ステップS109)。   The file server 5 returns the wrapped file to the user terminal 16, and the user terminal 16 obtains the wrapped file (step S105). The user terminal 16 activates an application that uses this file (step S106), and makes a policy creation request to the DRM server 29 (step S107). Upon receiving this policy creation request, the DRM server 29 returns the policy to the user terminal 16 after creating the policy (step S108). Thus, the user terminal 16 uses the policy dynamically created by the DRM server 29 and starts using the file (step S109).

以上、本発明の実施の形態について説明したが、本発明はこれに限定されることなくその趣旨を逸脱しない範囲で種々の改良・変更が可能である。   The embodiment of the present invention has been described above, but the present invention is not limited to this, and various improvements and modifications can be made without departing from the spirit of the present invention.

例えば、先に示した図2のように入退室・入退館情報を使用しない場合においても、物理位置情報を利用して、フリーアドレスの空間において位置情報に応じたアクセス権限の分割を行うことも可能である。この場合においては、例えば、多数の人が出入りするスペースであるため機密性の高い業務が制限されるべきエリア、個別仕切られたスペースであるためある程度の機密性が保たれており機密性の高い業務を認めてもよいエリア、等といった具合に空間をエリアでセグメント化し、各エリアの物理位置情報に基づいてアクセス権限を区分けする事も可能となる。   For example, even when the entrance / exit / exit information is not used as shown in FIG. 2, the access authority is divided according to the location information in the free address space using the physical location information. Is also possible. In this case, for example, it is a space where a large number of people go in and out so that highly confidential work should be restricted, and since it is an individually partitioned space, a certain degree of confidentiality is maintained and the confidentiality is high. It is also possible to segment the space into areas such as areas where work may be permitted, etc., and to classify access authority based on physical location information of each area.

本発明の一実施の形態に係るアクセス制御システムの構成を示す図である。It is a figure which shows the structure of the access control system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るアクセス制御システムの改良例の構成を示す図である。It is a figure which shows the structure of the example of an improvement of the access control system which concerns on one embodiment of this invention. アクセススイッチ位置情報テーブルの一例を示す図である。It is a figure which shows an example of an access switch position information table. ユーザ端末情報テーブルの一例を示す図である。It is a figure which shows an example of a user terminal information table. ユーザ端末情報テーブルの一例を示す図である。It is a figure which shows an example of a user terminal information table. 本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が動的にユーザのアクセス権限を管理する処理の流れ示す図である。It is a figure which shows the flow of a process in which the application server 5 manages a user's access authority dynamically by the access control system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が、ユーザ位置情報に応じて適切なプリンタ30を指定する処理の流れを詳細に説明するフローチャートである。4 is a flowchart for explaining in detail a flow of processing in which the application server 5 designates an appropriate printer 30 according to user position information by the access control system according to the embodiment of the present invention. 本発明の一実施の形態に係るアクセス制御システムにより、その認証サーバ1に代わるシングルサインオンサーバ28が動的にユーザのアクセス権限を管理する処理の流れを示す図である。It is a figure which shows the flow of a process in which the single sign-on server 28 instead of the authentication server 1 manages a user's access authority dynamically by the access control system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るアクセス制御システムにより、ユーザ端末のアプリケーションが動的にユーザのアクセス権限を管理する処理の流れを示す図である。It is a figure which shows the flow of a process in which the application of a user terminal dynamically manages a user's access authority by the access control system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るアクセス制御システムにおけるポリシーサーバ3とディレクトリサーバ26との関係を詳細に説明する図である。It is a figure explaining the relationship between the policy server 3 and the directory server 26 in the access control system which concerns on one embodiment of this invention in detail. 本発明の一実施の形態に係るアクセス制御システムにおける、ポリシーサーバ3とディレクトリサーバ26との関係を詳細に示す図である。It is a figure which shows in detail the relationship between the policy server 3 and the directory server 26 in the access control system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をファイルサーバのアクセス管理に用いる場合)を示す図である。It is a figure which shows the application example (when using positional information for access management of a file server) of the application in the access control system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMサーバに用いる場合)を示す図である。It is a figure which shows the application example (when using location information for a DRM server) of the application in the access control system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を示す図である。It is a figure which shows the application example (when using positional information for a DRM client application) of the application in the access control system which concerns on one embodiment of this invention. ユーザ端末16の保持するテーブルを示す図である。It is a figure which shows the table which the user terminal 16 hold | maintains. ユーザ端末16の保持するテーブルを示す図である。It is a figure which shows the table which the user terminal 16 hold | maintains. 本発明の一実施の形態に係るアクセス制御システムにおける、アプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を示す図である。It is a figure which shows the application example (when using positional information for a DRM client application) of the application in the access control system which concerns on one embodiment of this invention.

符号の説明Explanation of symbols

1…認証サーバ、2…ユーザ端末監視サーバ、3…ポリシーサーバ、4…DHCPサーバ、5…アプリケーションサーバ、6…VPN終端装置、7…イントラネット、8…公衆網、9…アクセススイッチ、10…ユーザ端末、11…アクセススイッチ、12…ユーザ端末、13…アクセススイッチ、14…ユーザ端末、15…認証プロキシサーバ、16…ユーザ端末、17…ユーザ端末、18…入退館・入退室管理サーバ、19…アクセススイッチ、20…ユーザ端末、21…アクセススイッチ、22…ユーザ端末、23…入退館管理端末、24…入退室管理端末、25…入退室管理端末、26…ディレクトリサーバ、27…アプリケーションサーバ、28…シングルサインオンサーバ、29…DRMサーバ、30…プリンタ、31…プリンタサーバ。   DESCRIPTION OF SYMBOLS 1 ... Authentication server, 2 ... User terminal monitoring server, 3 ... Policy server, 4 ... DHCP server, 5 ... Application server, 6 ... VPN termination device, 7 ... Intranet, 8 ... Public network, 9 ... Access switch, 10 ... User Terminal 11 11 Access switch 12 User terminal 13 Access switch 14 User terminal 15 Authentication proxy server 16 User terminal 17 User terminal 18 Entrance / exit management server 19 ... access switch, 20 ... user terminal, 21 ... access switch, 22 ... user terminal, 23 ... entry / exit management terminal, 24 ... entry / exit management terminal, 25 ... entry / exit management terminal, 26 ... directory server, 27 ... application server 28 ... Single sign-on server, 29 ... DRM server, 30 ... Printer, 31 ... Print Server.

Claims (7)

ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、
ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するアプリケーションサーバと、
この認証トークンに基づいてユーザのグループ属性をアプリケーションサーバに送信するディレクトリサーバと、
を有し、上記アプリケーションサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づいた機能をユーザ端末に提供する、
ことを特徴とするアクセス制御システム。 An authentication server that performs user authentication of the user terminal, transmits an authentication token to the user terminal, and transmits an authentication log to the user terminal monitoring server;
A user terminal monitoring server that receives the authentication log and transmits the location information attribute of the authenticated user terminal to the policy server;
A policy server that receives the location information attribute and causes the directory server to set a group attribute based on the location information of the user terminal;
An application server that receives the authentication token from the user terminal and transmits the authentication token to the directory server;
A directory server that sends the group attribute of the user to the application server based on the authentication token;
When the application server receives the group attribute of the user terminal, the application server provides the user terminal with a function based on the group attribute.
An access control system characterized by that. ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に対して最適なプリンタのIPアドレスを有するグループ属性の設定を実施させるポリシーサーバと、
ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するプリンタサーバと、
この認証トークンに基づいてユーザのグループ属性をプリンタサーバに送信するディレクトリサーバと、
を有し、上記プリンタサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づきプリンタを特定する、ことを特徴とするアクセス制御システム。 An authentication server that performs user authentication of the user terminal, transmits an authentication token to the user terminal, and transmits an authentication log to the user terminal monitoring server;
A user terminal monitoring server that receives the authentication log and transmits the location information attribute of the authenticated user terminal to the policy server;
A policy server that receives the position information attribute and causes the directory server to set a group attribute having an optimal printer IP address for the position information of the user terminal;
A printer server that receives the authentication token from the user terminal and transmits the authentication token to the directory server;
A directory server that transmits the group attribute of the user to the printer server based on the authentication token;
And the printer server specifies a printer based on the group attribute when the group attribute of the user terminal is received. ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信するシングルサインオンサーバと、
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、
上記ユーザ端末の所属グループを上記シングルサインオンサーバに返信するディレクトリサーバと、
上記ユーザ端末に対して、アプリケーション利用トークンに基づくアクセス許可を与えるアプリケーションサーバと、
を有し、上記ユーザ端末が上記シングルサインオンサーバにアプリケーション利用トークンの作成依頼を行なうと、当該シングルサインオンサーバは上記ディレクトリサーバから当該ユーザの所属グループを受け、アプリケーション利用トークンを作成し、上記ユーザ端末に配布し、当該ユーザ端末にアプリケーション利用トークンに基づくアクセス許可を与える、ことを特徴とするアクセス制御システム。 A single sign-on server that performs user authentication of the user terminal, transmits an authentication token to the user terminal, and transmits an authentication log to the user terminal monitoring server;
A user terminal monitoring server that receives the authentication log and transmits the location information attribute of the authenticated user terminal to the policy server;
A policy server that receives the location information attribute and causes the directory server to set a group attribute based on the location information of the user terminal;
A directory server that returns the group to which the user terminal belongs to the single sign-on server;
An application server that grants access permission based on the application usage token to the user terminal;
And when the user terminal requests the single sign-on server to create an application use token, the single sign-on server receives the group to which the user belongs from the directory server, creates an application use token, An access control system that distributes to a user terminal and gives the user terminal access permission based on an application use token. ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、
ユーザ端末からの上記認証トークンを受け、当該認証トークンに基づいてユーザのグループ属性をユーザ端末に返信するディレクトリサーバと、
を有し、上記ユーザ端末上でアプリケーションを起動すると、アプリケーションが認証トークンを上記ディレクトリサーバに送信し、当該ディレクトリサーバは認証トークンに基づいてユーザのグループ属性をユーザ端末に送信し、ユーザ端末のアプリケーションが受信したグループ属性に基づいた機能を提供するようにする、
ことを特徴とするアクセス制御システム。 An authentication server that performs user authentication of the user terminal, transmits an authentication token to the user terminal, and transmits an authentication log to the user terminal monitoring server;
A user terminal monitoring server that receives the authentication log and transmits the location information attribute of the authenticated user terminal to the policy server;
A policy server that receives the location information attribute and causes the directory server to set a group attribute based on the location information of the user terminal;
A directory server that receives the authentication token from the user terminal and returns the group attribute of the user to the user terminal based on the authentication token;
When the application is started on the user terminal, the application transmits an authentication token to the directory server, and the directory server transmits a group attribute of the user to the user terminal based on the authentication token. To provide functionality based on received group attributes,
An access control system characterized by that. 上記認証トークンは、少なくとも認証をパスしたユーザ端末のユーザID、またはIPアドレスを含むものとする請求項1乃至4のいずれかに記載のアクセス制御システム。   The access control system according to claim 1, wherein the authentication token includes at least a user ID or an IP address of a user terminal that has passed authentication. 上記ポリシーサーバは、位置情報毎に静的なユーザとグループとを対応付けたテーブルを保持しており、上記ディレクトリサーバは、ユーザ位置情報を元に動的なユーザとグループとを対応付けたテーブルを保持している、ことを更に特徴とする請求項1乃至5のいずれかに記載のアクセス制御システム。   The policy server holds a table in which static users and groups are associated with each position information, and the directory server associates dynamic users and groups on the basis of user position information. The access control system according to claim 1, further comprising: 上記ディレクトリサーバは、上記テーブルのユーザの所属グループを動的に変更することを更に特徴とする請求項6に記載のアクセス制御システム。   The access control system according to claim 6, wherein the directory server dynamically changes a group to which the user belongs in the table.
JP2005280305A 2005-09-27 2005-09-27 Access control system Pending JP2007094548A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005280305A JP2007094548A (en) 2005-09-27 2005-09-27 Access control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005280305A JP2007094548A (en) 2005-09-27 2005-09-27 Access control system

Publications (1)

Publication Number Publication Date
JP2007094548A true JP2007094548A (en) 2007-04-12

Family

ID=37980229

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005280305A Pending JP2007094548A (en) 2005-09-27 2005-09-27 Access control system

Country Status (1)

Country Link
JP (1) JP2007094548A (en)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009086891A (en) * 2007-09-28 2009-04-23 Nec Corp Content management device, its program, and content management method
JP2009176028A (en) * 2008-01-24 2009-08-06 Fuji Xerox Co Ltd Authority authentication device, authority authentication system, and authority authentication program
JP2010055297A (en) * 2008-08-27 2010-03-11 Fujitsu Ltd Program, method and apparatus for controlling access
JP2012067952A (en) * 2010-09-22 2012-04-05 Yamatake Corp Compartment information collecting system and method
WO2011144126A3 (en) * 2011-05-30 2012-04-26 华为技术有限公司 Method, apparatus and system for network device configuration
JP2012133813A (en) * 2012-03-12 2012-07-12 Fuji Xerox Co Ltd Authority authentication device, authority authentication system, and authority authentication program
JP2013507707A (en) * 2009-10-14 2013-03-04 アルカテル−ルーセント Communication device management via communication network
KR101244037B1 (en) * 2011-07-28 2013-03-15 주식회사 포스코아이씨티 Method and System for Managing Mobile Terminal
WO2013038871A1 (en) 2011-09-16 2013-03-21 Necカシオモバイルコミュニケーションズ株式会社 Electronic device and security control method
WO2013055037A1 (en) * 2011-10-10 2013-04-18 (주)잉카인터넷 System and method for controlling location information-based authentication
WO2014104507A1 (en) * 2012-12-27 2014-07-03 주식회사 로웸 System and method for secure login, and apparatus for same
JP2014178873A (en) * 2013-03-14 2014-09-25 Shimizu Corp Access management device, access management method and program
JP2015512068A (en) * 2011-12-29 2015-04-23 イーベイ インク.Ebay Inc. Application login that uses sub-token mechanism for master token quality
EP2930644A1 (en) 2014-04-08 2015-10-14 Fujitsu Limited Terminal device, data management server, terminal program, data management program, and data management system
WO2016051615A1 (en) * 2014-09-29 2016-04-07 株式会社日立ソリューションズ Data management system, data management method, and client terminal

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004320617A (en) * 2003-04-18 2004-11-11 Canon Inc Selective information management system and method by authentication using positional information in portable terminal

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004320617A (en) * 2003-04-18 2004-11-11 Canon Inc Selective information management system and method by authentication using positional information in portable terminal

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009086891A (en) * 2007-09-28 2009-04-23 Nec Corp Content management device, its program, and content management method
JP2009176028A (en) * 2008-01-24 2009-08-06 Fuji Xerox Co Ltd Authority authentication device, authority authentication system, and authority authentication program
JP2010055297A (en) * 2008-08-27 2010-03-11 Fujitsu Ltd Program, method and apparatus for controlling access
JP2013507707A (en) * 2009-10-14 2013-03-04 アルカテル−ルーセント Communication device management via communication network
JP2012067952A (en) * 2010-09-22 2012-04-05 Yamatake Corp Compartment information collecting system and method
WO2011144126A3 (en) * 2011-05-30 2012-04-26 华为技术有限公司 Method, apparatus and system for network device configuration
KR101244037B1 (en) * 2011-07-28 2013-03-15 주식회사 포스코아이씨티 Method and System for Managing Mobile Terminal
WO2013038871A1 (en) 2011-09-16 2013-03-21 Necカシオモバイルコミュニケーションズ株式会社 Electronic device and security control method
WO2013055037A1 (en) * 2011-10-10 2013-04-18 (주)잉카인터넷 System and method for controlling location information-based authentication
KR101268298B1 (en) 2011-10-10 2013-05-28 주식회사 잉카인터넷 surveillance system and method for authentication procedure based by positioning information
CN108804906A (en) * 2011-12-29 2018-11-13 贝宝公司 A kind of system and method logged in for application
US10853468B2 (en) 2011-12-29 2020-12-01 Paypal, Inc. Applications login using a mechanism relating sub-tokens to the quality of a master token
US10474806B2 (en) 2011-12-29 2019-11-12 Paypal, Inc. Applications login using a mechanism relating sub-tokens to the quality of a master token
JP2015512068A (en) * 2011-12-29 2015-04-23 イーベイ インク.Ebay Inc. Application login that uses sub-token mechanism for master token quality
US10133858B2 (en) 2011-12-29 2018-11-20 Paypal, Inc. Applications login using a mechanism relating sub-tokens to the quality of a master token
JP2012133813A (en) * 2012-03-12 2012-07-12 Fuji Xerox Co Ltd Authority authentication device, authority authentication system, and authority authentication program
US9882896B2 (en) 2012-12-27 2018-01-30 Rowem Inc. System and method for secure login, and apparatus for same
WO2014104507A1 (en) * 2012-12-27 2014-07-03 주식회사 로웸 System and method for secure login, and apparatus for same
JP2014178873A (en) * 2013-03-14 2014-09-25 Shimizu Corp Access management device, access management method and program
US9582679B2 (en) 2014-04-08 2017-02-28 Fujitsu Limited Terminal device, data management server, terminal program, data management program, and data management system
EP2930644A1 (en) 2014-04-08 2015-10-14 Fujitsu Limited Terminal device, data management server, terminal program, data management program, and data management system
JP2016072769A (en) * 2014-09-29 2016-05-09 株式会社日立ソリューションズ Data management system, data management method, and client terminal
WO2016051615A1 (en) * 2014-09-29 2016-04-07 株式会社日立ソリューションズ Data management system, data management method, and client terminal

Similar Documents

Publication Publication Date Title
JP2007094548A (en) Access control system
US7249374B1 (en) Method and apparatus for selectively enforcing network security policies using group identifiers
US11589224B2 (en) Network access control
US8411562B2 (en) Network system and method for providing an ad-hoc access environment
US8001610B1 (en) Network defense system utilizing endpoint health indicators and user identity
TWI405088B (en) Method, system, and computer storage medium for securely provisioning a client device
JP4511525B2 (en) Access control system, access control device used therefor, and resource providing device
KR20100106990A (en) Authentication method without credential duplication for users belonging to different organizations
US9497179B2 (en) Provisioning layer three access for agentless devices
JP2004032525A (en) USER AUTHENTICATION QoS POLICY MANAGEMENT SYSTEM AND METHOD, AND LAN SWITCH
JPWO2002067512A1 (en) Packet filtering method and packet communication system for ensuring communication security
JP2009512368A (en) Communication system and communication method
JP4558402B2 (en) Principal moves across security boundaries without service interruption
JP4081041B2 (en) Network system
KR20060044494A (en) Network management system and network management server of co-operating with authentication server
JP4099320B2 (en) Storage system
JP2007220088A (en) Apparatus for connecting visitor&#39;s device to network
CN202940842U (en) Access control system
Cisco Configuring Network Security
Cisco Configuring Network Security
Cisco Configuring Network Security
Cisco Configuring Network Security
Cisco Ability to Disable Xauth for Static IPSec Peers
Cisco Strategies Applying Attributes
Cisco Strategies Applying Attributes

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20071112

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080924

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110419

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110608

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110628