JP2008033583A - トークンによるアクセス制御システム、アクセス制御方法 - Google Patents
トークンによるアクセス制御システム、アクセス制御方法 Download PDFInfo
- Publication number
- JP2008033583A JP2008033583A JP2006205545A JP2006205545A JP2008033583A JP 2008033583 A JP2008033583 A JP 2008033583A JP 2006205545 A JP2006205545 A JP 2006205545A JP 2006205545 A JP2006205545 A JP 2006205545A JP 2008033583 A JP2008033583 A JP 2008033583A
- Authority
- JP
- Japan
- Prior art keywords
- authorization
- token
- access control
- user terminal
- standby
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】アクセス制御装置200は、ユーザ端末100からスタンバイ要求メッセージ501を受信すると、ユーザ認証、トークンの正当性の確認を行い、権限認可判定のための制御モジュール実行ファイルを生成する。アクセス予定時刻が近づくと、制御モジュール221を起動し、ユーザ端末100から認可要求メッセージ511を受信すると、制御モジュール221を用いて認可判定を行い、認可判定結果をユーザ端末100、サービス提供装置300にそれぞれ通知する。
【選択図】 図1
Description
101 スタンバイ要求部
102 認可判定要求部
111 トークン管理情報記憶部
121 サービスクライアント部
200 アクセス制御装置
201 スタンバイ処理部
202 認可判定処理部
211 ユーザ管理情報記憶部
212 スタンバイ管理情報記憶部
213 権限情報記憶部
221 制御モジュール
300 サービス提供装置
301 認可情報処理部
311 認可情報記憶部
321 サービスアプリケーション部
401 トークン
501 スタンバイ要求メッセージ
502 スタンバイ応答メッセージ
503 スタンバイ完了メッセージ
511 認可要求メッセージ
512 認可応答メッセージ
513 認可完了メッセージ
521 サービス開始メッセージ
1000 ネットワーク
Claims (8)
- ユーザ端末とアクセス制御装置とサービス提供装置とが通信回線により相互に接続されたアクセス制御システムであって、
前記ユーザ端末は、
ユーザ認証情報とトークンとを含むスタンバイ要求メッセージを前記アクセス制御装置に送信するスタンバイ要求手段と、
トリガ識別子を含む認可要求メッセージを前記アクセス制御装置に送信するとともに、前記アクセス制御装置から認可応答メッセージを受信し、前記認可応答メッセージに含まれる認可判定結果が権限認可であった場合に、前記トリガ識別子を含むサービス開始メッセージを前記サービス提供装置に送信する認可要求手段とを備え、
前記アクセス制御装置は、
前記ユーザ端末より前記スタンバイ要求メッセージを受信し、前記ユーザ認証情報に基づいてユーザを認証し、前記トークンの正当性を確認し、前記トリガ識別子を発行し、当該トークン識別子と当該トリガ識別子を含むスタンバイ完了メッセージを前記サービス提供装置に送信するスタンバイ処理手段と、
前記ユーザ端末より前記認可要求メッセージを受信し、前記認可要求メッセージに含まれる前記トリガ識別子に対応する前記トークンに基づき認可判定を行い、前記トークン識別子と前記認可判定結果を含む前記認可応答メッセージを前記ユーザ端末に送信し、前記トークン識別子と前記認可判定結果を含む認可完了メッセージを前記サービス提供装置に送信する認可判定処理手段を備え、
前記サービス提供装置は、
前記アクセス制御装置から前記スタンバイ完了メッセージと前記認可完了メッセージを受信し、前記ユーザ端末から前記サービス開始メッセージを受信した場合に、前記サービス開始メッセージに含まれる前記トリガ識別子と、前記認可完了メッセージに含まれる前記トークン識別子に対応する前記トリガ識別子との整合性を確認し、整合性が確認された場合に、前記ユーザ端末との通信開始をサービスアプリケーションに指示する認可情報処理手段を備える
ことを特徴とするアクセス制御システム。 - ユーザ端末とアクセス制御装置とサービス提供装置とが通信回線により相互に接続されたアクセス制御システムであって、
前記ユーザ端末は、
ユーザ認証情報と、トークン識別子、権限内容情報、及び電子署名から構成されるトークンとを含むスタンバイ要求メッセージを前記アクセス制御装置に送信するスタンバイ要求手段と、
トリガ識別子を含む認可要求メッセージを前記アクセス制御装置に送信するとともに、前記アクセス制御装置から認可応答メッセージを受信し、前記認可応答メッセージに含まれる認可判定結果が権限認可であった場合に、前記トリガ識別子を含むサービス開始メッセージを前記サービス提供装置に送信する認可要求手段とを備え、
前記アクセス制御装置は、
前記ユーザ端末より前記スタンバイ要求メッセージを受信し、前記ユーザ認証情報に基づいてユーザを認証し、前記電子署名に基づき前記トークンの正当性を確認し、前記トリガ識別子を発行し、当該トークン識別子と当該トリガ識別子を含むスタンバイ完了メッセージを前記サービス提供装置に送信するスタンバイ処理手段と、
前記ユーザ端末より前記認可要求メッセージを受信し、前記認可要求メッセージに含まれる前記トリガ識別子に対応する前記トークンの権限内容情報に基づき認可判定を行い、前記トークン識別子と前記認可判定結果を含む前記認可応答メッセージを前記ユーザ端末に送信し、前記トークン識別子と前記認可判定結果を含む認可完了メッセージを前記サービス提供装置に送信する認可判定処理手段を備え、
前記サービス提供装置は、
前記アクセス制御装置から前記スタンバイ完了メッセージと前記認可完了メッセージを受信し、前記ユーザ端末から前記サービス開始メッセージを受信した場合に、前記サービス開始メッセージに含まれる前記トリガ識別子と、前記認可完了メッセージに含まれる前記トークン識別子に対応する前記トリガ識別子との整合性を確認し、整合性が確認された場合に、前記ユーザ端末との通信開始をサービスアプリケーションに指示する認可情報処理手段を備える
ことを特徴とするアクセス制御システム。 - 前記アクセス制御装置の前記スタンバイ処理手段は、前記ユーザ端末より前記スタンバイ要求メッセージを受信したとき、前記トークンの内容に基づき認可判定を行う制御モジュールの実行ファイルを更に生成し、
前記アクセス制御装置の前記認可判定処理手段は、前記ユーザ端末より前記認可要求メッセージを受信したとき、前記認可要求メッセージに含まれる前記トリガ識別子に対応する前記制御モジュールの実行ファイルから前記制御モジュールを起動して認可判定を行う
ことを特徴とする、請求項1または2に記載のアクセス制御システム。 - 前記ユーザ端末が前記アクセス制御装置に送信する前記スタンバイ要求メッセージにはアクセス予定時刻を更に含み、
前記アクセス制御装置の前記スタンバイ処理手段は、前記ユーザ端末より前記スタンバイ要求メッセージを受信したとき、前記トークンの内容に基づき認可判定を行う制御モジュールの実行ファイルを更に生成し、
前記アクセス制御装置の前記認可判定処理手段は、前記アクセス予定時刻が近づくと、前記制御モジュール実行ファイルから前記制御モジュールを起動し、前記ユーザ端末より前記認可要求メッセージを受信したとき、前記認可要求メッセージに含まれる前記トリガ識別子に対応する前記制御モジュールを用いて認可判定を行う
ことを特徴とする、請求項1または2に記載のアクセス制御システム。 - ユーザ端末が、ユーザ認証情報とトークンとを含むスタンバイ要求メッセージをアクセス制御装置に送信するスタンバイ要求メッセージ送信ステップと、
アクセス制御装置が、前記ユーザ端末より前記スタンバイ要求メッセージを受信し、前記ユーザ認証情報に基づいてユーザを認証し、前記トークンの正当性を確認し、トリガ識別子を発行し、当該トークン識別子と当該トリガ識別子を含むスタンバイ完了メッセージをサービス提供装置に送信するスタンバイ処理ステップと、
前記サービス提供装置が、前記アクセス制御装置から前記スタンバイ完了メッセージを受信するスタンバイ完了メッセージ受信ステップと、
前記ユーザ端末が、前記トリガ識別子を含む認可要求メッセージを前記アクセス制御装置に送信する認可要求メッセージ送信ステップと、
前記アクセス制御装置が、前記ユーザ端末より前記認可要求メッセージを受信し、前記認可要求メッセージに含まれる前記トリガ識別子に対応する前記トークンに基づき認可判定を行い、前記トークン識別子と認可判定結果を含む前記認可応答メッセージを前記ユーザ端末に送信し、前記トークン識別子と前記認可判定結果を含む認可完了メッセージを前記サービス提供装置に送信する認可判定処理ステップと、
前記ユーザ端末が、前記アクセス制御装置から前記認可応答メッセージを受信する認可応答メッセージ受信ステップと、
前記サービス提供装置が、前記認可完了メッセージを受信する認可完了メッセージ受信ステップと、
前記ユーザ端末が、前記認可応答メッセージに含まれる認可判定結果が権限認可であった場合に、前記トリガ識別子を含むサービス開始メッセージを前記サービス提供装置に送信するサービス開始メッセージ送信ステップと、
前記サービス提供装置が、前記ユーザ端末から前記サービス開始メッセージを受信した場合に、前記サービス開始メッセージに含まれる前記トリガ識別子と、前記認可完了メッセージに含まれる前記トークン識別子に対応する前記トリガ識別子との整合性を確認し、整合性が確認された場合に、前記ユーザ端末との通信開始をサービスアプリケーションに指示する認可情報処理ステップとを
含むことを特徴とするアクセス制御方法。 - ユーザ端末が、ユーザ認証情報と、トークン識別子、権限内容情報、及び電子署名から構成されるトークンとを含むスタンバイ要求メッセージを前記アクセス制御装置に送信するスタンバイ要求メッセージ送信ステップと、
アクセス制御装置が、前記ユーザ端末より前記スタンバイ要求メッセージを受信し、前記ユーザ認証情報に基づいてユーザを認証し、前記電子署名に基づき前記トークンの正当性を確認し、トリガ識別子を発行し、当該トークン識別子と当該トリガ識別子を含むスタンバイ完了メッセージをサービス提供装置に送信するスタンバイ処理ステップと、
前記サービス提供装置が、前記アクセス制御装置から前記スタンバイ完了メッセージを受信するスタンバイ完了メッセージ受信ステップと、
前記ユーザ端末が、前記トリガ識別子を含む認可要求メッセージを前記アクセス制御装置に送信する認可要求メッセージ送信ステップと、
前記アクセス制御装置が、前記ユーザ端末より前記認可要求メッセージを受信し、前記認可要求メッセージに含まれる前記トリガ識別子に対応する前記トークンの権限内容情報に基づき認可判定を行い、前記トークン識別子と認可判定結果を含む前記認可応答メッセージを前記ユーザ端末に送信し、前記トークン識別子と前記認可判定結果を含む認可完了メッセージを前記サービス提供装置に送信する認可判定処理ステップと、
前記ユーザ端末が、前記アクセス制御装置から認可応答メッセージを受信する認可応答メッセージ受信ステップと、
前記サービス提供装置が、前記認可完了メッセージを受信する認可完了メッセージ受信ステップと、
前記ユーザ端末が、前記認可応答メッセージに含まれる認可判定結果が権限認可であった場合に、前記トリガ識別子を含むサービス開始メッセージを前記サービス提供装置に送信するサービス開始メッセージ送信ステップと、
前記サービス提供装置が、前記ユーザ端末から前記サービス開始メッセージを受信した場合に、前記サービス開始メッセージに含まれる前記トリガ識別子と、前記認可完了メッセージに含まれる前記トークン識別子に対応する前記トリガ識別子との整合性を確認し、整合性が確認された場合に、前記ユーザ端末との通信開始をサービスアプリケーションに指示する認可情報処理ステップとを
含むことを特徴とするアクセス制御方法。 - 前記アクセス制御装置の前記スタンバイ処理ステップは、前記ユーザ端末より前記スタンバイ要求メッセージを受信したとき、前記トークンの内容に基づき認可判定を行う制御モジュールの実行ファイルを更に生成し、
前記アクセス制御装置の前記認可判定処理ステップは、前記ユーザ端末より前記認可要求メッセージを受信したとき、前記認可要求メッセージに含まれる前記トリガ識別子に対応する前記制御モジュールの実行ファイルから前記制御モジュールを起動して認可判定を行う
ことを特徴とする、請求項5または6に記載のアクセス制御方法。 - 前記ユーザ端末が前記アクセス制御装置に送信する前記スタンバイ要求メッセージにはアクセス予定時刻を更に含み、
前記アクセス制御装置の前記スタンバイ処理ステップは、前記ユーザ端末より前記スタンバイ要求メッセージを受信したとき、前記トークンの内容に基づき認可判定を行う制御モジュールの実行ファイルを更に生成し、
前記アクセス制御装置は、前記アクセス予定時刻が近づくと、前記制御モジュール実行ファイルから前記制御モジュールを起動する制御モジュール事前起動ステップを更に含み、
前記アクセス制御装置の認可判定処理ステップは、前記ユーザ端末より前記認可要求メッセージを受信したとき、前記認可要求メッセージに含まれる前記トリガ識別子に対応する前記制御モジュールを用いて認可判定を行う
ことを特徴とする、請求項5または6に記載のアクセス制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006205545A JP4586776B2 (ja) | 2006-07-28 | 2006-07-28 | トークンによるアクセス制御システム、アクセス制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006205545A JP4586776B2 (ja) | 2006-07-28 | 2006-07-28 | トークンによるアクセス制御システム、アクセス制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008033583A true JP2008033583A (ja) | 2008-02-14 |
JP4586776B2 JP4586776B2 (ja) | 2010-11-24 |
Family
ID=39122939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006205545A Expired - Fee Related JP4586776B2 (ja) | 2006-07-28 | 2006-07-28 | トークンによるアクセス制御システム、アクセス制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4586776B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009251709A (ja) * | 2008-04-02 | 2009-10-29 | Kyocera Mita Corp | 画像形成システム、画像形成装置、画像形成プログラムおよび画像形成方法 |
JP2013115688A (ja) * | 2011-11-30 | 2013-06-10 | Brother Ind Ltd | 通信装置 |
JP2016004479A (ja) * | 2014-06-18 | 2016-01-12 | Kddi株式会社 | ログ管理装置、ログ管理方法及びログ管理プログラム |
JP2019134333A (ja) * | 2018-01-31 | 2019-08-08 | キヤノン株式会社 | 情報処理システム、クライアント装置、認証認可サーバー、制御方法とそのプログラム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002278927A (ja) * | 2001-03-16 | 2002-09-27 | J-Phone East Co Ltd | 分散型アクセス制御システムおよび分散型アクセス制御方法、並びに携帯電子機器端末、ロードバランサ装置 |
JP2003022253A (ja) * | 2001-06-26 | 2003-01-24 | Internatl Business Mach Corp <Ibm> | サーバ、情報処理装置及びそのアクセス制御システム並びにその方法 |
WO2005060256A1 (en) * | 2003-12-18 | 2005-06-30 | Matsushita Electric Industrial Co., Ltd. | Method for authenticating and executing an application program |
-
2006
- 2006-07-28 JP JP2006205545A patent/JP4586776B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002278927A (ja) * | 2001-03-16 | 2002-09-27 | J-Phone East Co Ltd | 分散型アクセス制御システムおよび分散型アクセス制御方法、並びに携帯電子機器端末、ロードバランサ装置 |
JP2003022253A (ja) * | 2001-06-26 | 2003-01-24 | Internatl Business Mach Corp <Ibm> | サーバ、情報処理装置及びそのアクセス制御システム並びにその方法 |
WO2005060256A1 (en) * | 2003-12-18 | 2005-06-30 | Matsushita Electric Industrial Co., Ltd. | Method for authenticating and executing an application program |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009251709A (ja) * | 2008-04-02 | 2009-10-29 | Kyocera Mita Corp | 画像形成システム、画像形成装置、画像形成プログラムおよび画像形成方法 |
US8319984B2 (en) | 2008-04-02 | 2012-11-27 | Kyocera Document Solutions Inc. | Image forming system, apparatus, and method executing a process designated by a service request after token validation |
JP2013115688A (ja) * | 2011-11-30 | 2013-06-10 | Brother Ind Ltd | 通信装置 |
JP2016004479A (ja) * | 2014-06-18 | 2016-01-12 | Kddi株式会社 | ログ管理装置、ログ管理方法及びログ管理プログラム |
JP2019134333A (ja) * | 2018-01-31 | 2019-08-08 | キヤノン株式会社 | 情報処理システム、クライアント装置、認証認可サーバー、制御方法とそのプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP4586776B2 (ja) | 2010-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2724280B1 (en) | Persistent key access to a resources in a collection | |
US8429757B1 (en) | Controlling use of computing-related resources by multiple independent parties | |
TWI438642B (zh) | 供應數位身份表徵的系統及方法 | |
US9311469B2 (en) | Authorization server system, control method thereof, and non-transitory computer-readable medium | |
TWI432000B (zh) | 供應數位身份表徵 | |
EP2529527B1 (en) | Method for controlling access to resources | |
US7533265B2 (en) | Establishment of security context | |
TWI400922B (zh) | 在聯盟中主用者之認證 | |
JP6061633B2 (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
WO2019204440A1 (en) | Delegated authorization with multi-factor authentication | |
KR20130007797A (ko) | 개방형 인증 방법 및 시스템 | |
KR20110034611A (ko) | 애플리케이션 세트에 대한 보호 콘텐츠의 라이센싱 | |
WO2008051792A2 (en) | Data file access control | |
JP2014067379A (ja) | デバイス装置、その制御方法、およびそのプログラム | |
Bhatti et al. | An integrated approach to federated identity and privilege management in open systems | |
US8387152B2 (en) | Attested content protection | |
JP7170550B2 (ja) | 管理装置およびその制御方法 | |
CN107409129B (zh) | 使用访问控制列表和群组的分布式系统中的授权 | |
CN103699824A (zh) | 一种调用rest api的方法、系统及客户端 | |
US8516602B2 (en) | Methods, apparatuses, and computer program products for providing distributed access rights management using access rights filters | |
JP4586776B2 (ja) | トークンによるアクセス制御システム、アクセス制御方法 | |
EP2400716B1 (en) | Resource access proxy for efficient access to sensor resources | |
JP2004287784A (ja) | アクセス制御装置および方法 | |
CN105379176A (zh) | 用于验证scep证书注册请求的系统和方法 | |
JP2008287359A (ja) | 認証装置及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20080616 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20090511 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091201 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100708 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100810 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100823 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130917 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |