JP2008231843A - 認証処理装置 - Google Patents

認証処理装置 Download PDF

Info

Publication number
JP2008231843A
JP2008231843A JP2007075566A JP2007075566A JP2008231843A JP 2008231843 A JP2008231843 A JP 2008231843A JP 2007075566 A JP2007075566 A JP 2007075566A JP 2007075566 A JP2007075566 A JP 2007075566A JP 2008231843 A JP2008231843 A JP 2008231843A
Authority
JP
Japan
Prior art keywords
information
access authority
user
entrance
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007075566A
Other languages
English (en)
Other versions
JP4955434B2 (ja
Inventor
Kenji Kuramae
健治 藏前
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2007075566A priority Critical patent/JP4955434B2/ja
Publication of JP2008231843A publication Critical patent/JP2008231843A/ja
Application granted granted Critical
Publication of JP4955434B2 publication Critical patent/JP4955434B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Lock And Its Accessories (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Abstract

【課題】組織構造が異なる複数の人事情報システムを利用した場合であっても、管理者の作業負担を大幅に低減して入退室管理を確実に行う。
【解決手段】認証処理装置は、ユーザの所属先を特定する属性コードとこの属性コードに与えられたアクセス権限を特定するアクセス権限コードとを関連付けたアクセス権限情報テーブルX1を連携設定データベースに記憶しておき、属性コードと、当該属性コードに基づいてアクセス権限情報テーブルX1から取得されたアクセス権限コードと、所属別アクセスゾーンテーブルZ1によってアクセス権限コードと関連付けられたアクセスタイムID及びゾーンコードとに基づいて、ユーザの認証処理を行う。
【選択図】図8

Description

本発明は、被認証情報に基づいて入退室管理を行う入退室管理システムに関し、詳しくは、人事情報を用いた入退室管理での認証処理を担う認証処理装置に関する。
近年、企業等においては、機密情報を扱うことも多くなるのにともない、物理セキュリティ意識が高まっている。そこで、社員等のユーザ毎に付与されたID(IDentification)情報が記録されたIDカードを当該ユーザに身分証として所持させ、そのIDカードをカードリーダのような所定の読取装置に認識させることにより、入室資格を有する入室資格者のみ、該当する室への入室を許可するようなセキュリティレベルが高く且つユーザの利便の高い入退室管理システム(アクセスコントロール装置)が注目されている。
また、近年では、入室資格をより細かく設定するために、人事情報を利用して入退室管理を行う技術も提案されている(例えば、特許文献1等参照。)。このような人事情報を利用した入退室管理システムにおいては、ユーザの所属部署毎に建物内への入室許可を与えるアクセスタイムを設定することにより、所属部署単位でのユーザの入室許可を容易に設定することができる。
特開2004−092057号公報
しかしながら、従来の人事情報を利用した入退室管理システムにおいては、企業毎に人事情報システムが異なるので、例えばグループ会社といった複数の異なる企業を同一のシステム上で管理しようとする場合には、対応が煩雑となるという問題があった。
また、従来の人事情報を利用した入退室管理システムにおいては、単一企業に適用した場合にも、組織改編が頻繁に行われる場合には、組織改編期毎に複雑な設定変更を行う必要があるという問題もあった。
そこで、本発明は、上述したような問題を解決するために案出されたものであり、組織構造が異なる複数の人事情報システムを利用した場合であっても、管理者の作業負担を大幅に低減して入退室管理を確実に行うことができる認証処理装置を提供することを目的とする。
本発明の認証処理装置は、ユーザを一意に特定するユーザ特定情報と、前記ユーザの所属先を特定するユーザ属性情報とを関連付けた第1のテーブルと、任意の物理領域への入室を許可する認証許可条件情報を規定した第2のテーブルと、所定の物理領域への入退室を隔てる扉を特定する扉情報を特定する第3のテーブルと、前記ユーザ属性情報とこのユーザ属性情報に与えられたアクセス権限を特定するアクセス権限情報とを関連付けた第4のテーブルと、前記第4のテーブルの前記アクセス権限情報と前記第2のテーブルの認証許可条件情報と前記第3のテーブルの扉情報とを関連付けた第5のテーブルと、前記ユーザ属性情報に基づいて前記第4のテーブルを作成すると共に、前記第2のテーブルと前記第3のテーブルと前記第4のテーブルとを用いて前記第5のテーブルを作成して各テーブルの情報を連携させる連携設定手段と、前記ユーザ特定情報に基づいて前記第1のテーブルから取得された前記ユーザ属性情報と、当該ユーザ属性情報に基づいて前記第4のテーブルから取得された前記アクセス権限情報と、前記第5のテーブルによって前記第4のテーブルの前記アクセス権限情報と関連付けられた前記第2のテーブルの認証許可条件情報及び前記第3のテーブルの扉情報とに基づいて、前記ユーザの認証処理を行う認証処理手段とを備えることで、上述の課題を解決する。
本発明に係る認証処理装置によれば、組織構造が異なる複数の人事情報システムを利用した場合であっても、組織によって構造が異なる複数のテーブルの違いを、第4のテーブルを用いて吸収することができるため、管理者の作業負担を大幅に低減して入退室管理を確実に行うことができる。
以下、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
まず、図1を用いて、本発明の第1の実施の形態として入退室管理システム1について説明をする。図1に示すように、入退室管理システム1は、設備系システム10と、認証処理装置20と、人事管理システム30とを備えている。
設備系システム10及び認証処理装置20は、セキュリティレベルの低い領域(低度セキュリティレベル領域)から機密情報の高い領域(高度セキュリティレベル領域)へのユーザの出入を管理する。
人事管理システム30は、例えば社員等、入退室管理システム1を利用するユーザの人事情報を管理するシステムである。なお、人事情報とは、例えば、社員の所属部署、性別、役職といった社員の属性を規定した情報である。人事管理システム30は、認証処理装置20の要求に応じて、適宜人事情報を提供する。
このような入退室管理システム1は、上述した低度セキュリティレベル領域から高度セキュリティレベル領域への出入を管理する形態であればどのようなものであってもよいが、例えば、高度セキュリティレベル領域と低度セキュリティレベル領域とを扉等を用いて物理的に隔て、認証処理に応じて各領域への移動を認めるようにする。
具体的には、入退室管理システム1は、高度セキュリティレベル領域への入室を希望するユーザ全てに対して認証処理を行い、予め登録された正当なユーザのみを認証して高度セキュリティレベル領域への入室を許可する。また、入退室管理システム1は、必要に応じて高度セキュリティレベル領域から退室を希望するユーザに対して認証処理を行い、高度セキュリティレベル領域からの退室を許可する。低度セキュリティレベル領域と高度セキュリティレベル領域とは、電気的な作用によって施錠及び解錠することができる電気錠を備える扉12によって物理的に隔てられている。
設備系システム10は、高度セキュリティレベル領域外に設けられた高度セキュリティレベル領域である部屋R1外に設けられたカードリーダ11により、ユーザが所有する例えば非接触のICカード(Integrated Circuit)5の図示しない半導体メモリ内に格納されている情報を読み取る。認証処理装置20は、カードリーダ11によって読み取られた情報のうちの被認証情報であるカードIDに基づいて、当該ユーザを正当なユーザであると認証した場合に、図示しない入退室コントロールユニットによって施錠されていた電気錠を解錠することで高度セキュリティレベル領域への入室を許可する。
入退室管理システム1は、このような認証処理により、施錠された電気錠を解錠する場合には、ユーザが所有するICカード5に格納された情報のうち、当該ICカード5を一意に特定するカードIDと、施錠した扉に固有の扉ID(DNO:扉ナンバー)と、入室か退室かを示す情報とを認証処理装置20に対して送信する。なお、入室か退室かを示す情報は、例えばカードリーダ11を一意に特定する機器IDで示すようにしてもよい。
認証処理装置20は、人事情報データベース21と、組織マスタデータベース22と、物理情報データベース23と、アクセスタイムデータベース24と、連携設定データベース25と、連携設定部26と、入退室許可判定部27と、情報更新部28とを備えている。
人事情報データベース21は、人事管理システム30から取得した人事情報を記憶している。例えば、人事情報データベース21は、図2(a)に示すような社員基本情報テーブルST1と、図2(b)及び図2(c)に示すような社員所属情報テーブルST2−a,ST2−bと、図2(d)に示すようなカード情報テーブルST3と、図2(e)に示すような社員役職情報テーブルST4とを記憶している。社員基本情報テーブルST1は、社員ナンバー(No)と社員の姓名とを関連付けたテーブルである。また、社員所属情報テーブルST2−a,ST2−bは、それぞれ、社員ナンバーと社員の所属先に関する属性コードとを関連付けたテーブルであり、従来のように所属コードが1階層ではなく、組織の階層にあわせて所属情報が階層化されている上に、会社毎に階層数が異なる。具体的には、社員所属情報テーブルST2−aは、属性コードを、会社コード、所属コード、部署コード、及び課コードの4つに階層化して構成した具体例である。また、社員所属情報テーブルST2−bは、属性コードを、会社コード及び課コードの2つに階層化して構成した具体例である。なお、社員所属情報テーブルST2−a,ST2−bにおける属性コードは、同一組織であっても必ずしも同一階層であるとは限らない。さらに、カード情報テーブルST3は、ユーザが所有するICカード5のカードIDとユーザID(社員ナンバー)と当該ICカード5の有効日と有効期限とを関連付けたテーブルである。さらにまた、社員役職情報テーブルST4は、社員ナンバーと社員の役職コードとを関連付けたテーブルである。
組織マスタデータベース22は、図3(a)に示すような会社マスタテーブルMT11と、図3(b)に示すような所属マスタテーブルMT12と、図3(c)に示すような部署マスタテーブルMT13と、図3(d)に示すような課マスタテーブルMT14と、図3(e)に示すような役職マスタテーブルMT2とを記憶している。会社マスタテーブルMT11は、会社コードと会社名とを関連付けたテーブルである。また、所属マスタテーブルMT12は、会社コードと所属コードと所属名とを関連付けたテーブルである。さらに、部署マスタテーブルMT13は、会社コードと所属コードと部署コードと部署名とを関連付けたテーブルである。さらにまた、課マスタテーブルMT14は、会社コードと所属コードと部署コードと課コードと課名とを関連付けたテーブルである。また、役職マスタテーブルMT2は、役職コードと役職名とを関連付けたテーブルである。このように、組織マスタデータベース22は、上述した社員所属情報テーブルST2−a,ST2−bにあわせて階層化されて構成される。
物理情報データベース23は、図4(a)に示すような扉情報テーブルTT1と、図4(b)に示すようなゲートグループ登録扉情報テーブルGT1と、図4(c)に示すようなゲートグループ情報テーブルGT2とを記憶している。扉情報テーブルTT1は、扉ナンバー(DNO)と扉の名称とを関連付けたテーブルである。また、ゲートグループ登録扉情報テーブルGT1は、扉ナンバー(DNO)とゲートグループコードとを関連付けたテーブルである。さらに、ゲートグループ情報テーブルGT2は、ゲートグループコードと勤務地区分とを関連付けたテーブルである。
アクセスタイムデータベース24は、図5に示すように、アクセスタイムID毎に、入退室許可曜日や入退室許可時間帯を指定するアクセスタイムマスタテーブルAT1を記憶している。
連携設定データベース25は、図6(a)に示すような所属別アクセスゾーンテーブルZ1と、図6(b)に示すようなゾーン登録ゲートグループ情報テーブルZ2とを記憶している。所属別アクセスゾーンテーブルZ1は、所属先に関する属性コードに与えられたアクセス権限を特定するアクセス権限コードとゲートグループ情報テーブルGT2を階層化したゾーンコードとアクセスタイムマスタテーブルAT1のアクセスタイムIDとを関連付けたテーブルである。また、ゾーン登録ゲートグループ情報テーブルZ2は、ゾーンコードとゲートグループコードとを関連付けたテーブルである。なお、所属別アクセスゾーンテーブルZ1に所属マスタテーブルMT1の所属コードが項目として設けられていないのは、人事情報システム毎に階層が異なる場合にはシステム個別の対応となり、テーブルの改編工数が発生すること、及び組織改編等によって紐付け設定の変更を行うことによる作業量の増加を回避するためである。
さらに、連携設定データベース25は、図7に示すようなアクセス権限情報テーブルX1を記憶している。アクセス権限情報テーブルX1は、アクセス権限コードと組織マスタデータベース22に記憶されている各種マスタテーブルの属性コードとを関連付けたテーブルである。認証処理装置20は、このようなアクセス権限情報テーブルX1を連携設定データベース25に記憶し、このアクセス権限情報テーブルX1と所属別アクセスゾーンテーブルZ1との組み合わせを用いることにより、例えば図8に示すように、所属別アクセスゾーンテーブルZ1に所属マスタテーブルMT1の所属コードを項目として設けることなく、組織の階層化によるテーブル構成の変更を最小限にすることができる。したがって、認証処理装置20は、組織改編等にともなって組織マスタデータベース22の内容が変更された場合には、アクセス権限情報テーブルX1の内容を変更するのみで、階層化された所属についても設定可能となる。
なお、上述した各種テーブルを認証処理装置20によって保有しているが、当該テーブルの保有形態はこの実施の形態に限らず、あらゆる形態で保持できることは勿論である。
なお、このようなアクセスタイムデータベース24及び連携設定データベース25は、入退室管理システム1が稼働する前に連携設定部26によって設定処理がなされることによって構築される。
連携設定部26は、各種データベースに記憶させる情報を連携させ入退室許可判定部27による入退室許可判定処理にて利用する情報を設定する。なお、この連携設定部26によるデータベースの設定処理動作については、後述するものとする。
入退室許可判定部27は、カードリーダ11にてICカード5から読み取られた情報に基づいて入退室許可を判定する。なお、この入退室許可判定部27による入退室許可判定処理動作については、後述するものとする。
情報更新部28は、組織改編等によって人事管理システム30の内容に変更があった場合に、人事情報データベース21や組織マスタデータベース22、連携設定データベース25の内容を更新する。
このような認証処理装置20は、連携設定部26によって図9に示すようなアクセスタイムデータベース24及び連携設定データベース25の設定処理を行う。この処理動作により連携設定データベース25には、ユーザの入室資格を判定するためのデータベースが構築される。
まず、連携設定部26は、ステップS1において、組織マスタデータベース22から、会社マスタテーブルMT11、所属マスタテーブルMT12、部署マスタテーブルMT13、課マスタテーブルMT14、及び役職マスタテーブルMT2を取得すると共に、物理情報データベース23からゲートグループ情報テーブルGT2を取得する。ゲートグループ情報GT2は、認証処理装置20が管理する扉の集合単位であるゲートグループを管理する情報である。具体的には、ゲートグループは、部屋や建物全体や敷地内の扉全体といった一定の物理空間の境界となる扉の集合を定義したものである。
続いて、連携設定部26は、ステップS2において、アクセスタイムID毎に、入退室許可曜日、入退室許可時間帯を指定するアクセスタイムマスタテーブルAT1を作成し、アクセスタイムデータベース24に記憶させる。
そして、連携設定部26は、ステップS3において、属性コードとアクセス権限コードとを関連付けたアクセス権限情報テーブルX1を作成すると共に、アクセス権限コードとゲートグループ情報テーブルGT2を階層化したゾーンコードとアクセスタイムマスタテーブルAT1のアクセスタイムIDとを関連付けた所属別アクセスゾーンテーブルZ1を作成し、連携設定データベース25に記憶させる。
ここで、ゾーンとは、扉の集合を定義したゲートグループをさらに階層化させた概念であり、ゾーン登録ゲートグループ情報テーブルZ2のように、ゾーンコード毎に複数のゲートグループを定義することができる論理的な集合単位である。所属別アクセスゾーンテーブルZ1は、入退室管理システム1を管理する管理者が、物理構成情報を階層化管理することができるようにしている。
認証処理装置20は、このような処理を入退室管理システム1が稼働する前に連携設定部26によって行うことにより、アクセスタイムデータベース24及び連携設定データベース25の設定処理を行うことができる。
つぎに、図10に示すフローチャートを用いて、入退室許可判定部27による入退室許可判定処理について説明をする。なお、説明のため、2006年4月3日の20:00(平日夜間)に、社員ナンバー「M0001」のユーザが扉ナンバー(DNO)「D0001」の扉に入室を試みる場合を想定する。
まず、ステップS11において、カードリーダ11によって、ICカード5の記憶情報を読み取る。カードリーダ11は、ICカード5に記憶されたカードIDと、自己が設置された扉12の扉ナンバー(DNO)と、読み取り時刻とを取得する。その後、カードリーダ11は、取得した情報を認証処理装置20に送信する。これによって、カードリーダ11は、入室資格判定を問い合わせる。なお、カードリーダ11がICカード5のカードIDを読み取った時刻と、入退室許可判定部27に問い合わせる時刻との差が認証判定処理に支障がない程度に短時間である場合には、読み取り時刻は不要となる。
また、入退室管理システム1は、カードリーダ11、認証処理装置20両者間の時刻のコンセンサスを取るために、正確な時刻を管理する図示しない時刻管理サーバシステムを備えるようにしてもよい。
続いて、入退室許可判定部27は、ステップS12において、取得したカードIDから、図2(d)に示したようなカード情報テーブルST3を参照し、ICカード5が有効期限内であるか否かを判定する。入退室許可判定部27は、ICカード5が有効期限内である場合には処理をステップS13へと進める一方、有効期限内でない場合には処理をステップS20へと進める。
入退室許可判定部27は、ステップS13において、カードIDをキーとして、人事情報データベース21を参照し、ICカード5を保有しているユーザの所属先に関する属性コードを取得する。例えば、入退室許可判定部27は、カード情報テーブルST3のユーザIDをキーとして、図2(b)に示した社員所属情報テーブルST2−a又は図2(c)に示した社員所属情報テーブルST2−bから社員の属性コードを取得する。このとき、入退室許可判定部27は、社員所属情報テーブルST2−a,ST2−bのように組織の階層にあわせて所属情報が階層化されている場合には、その全ての属性コードを取得する。
続いて、入退室許可判定部27は、ステップS14において、扉ナンバー(DNO)をキーとして、図4(b)に示した物理情報データベース23のゲートグループ登録扉情報テーブルGT1を参照し、該当する扉を含むゲートグループコードを取得する。
続いて、入退室許可判定部27は、ステップS15において、ステップS13にて取得した属性コードと、ステップS14にて取得したゲートグループコードとの組み合わせを用いて、図6(a)に示した連携設定データベース25に記憶されている所属別アクセスゾーンテーブルZ1及び図6(b)に示したゾーン登録ゲートグループ情報テーブルZ2、並びに図7に示したアクセス権限情報テーブルX1を参照し、該当する連携設定情報を取得する。例えば、社員ナンバー「M0001」のユーザは、社員所属情報テーブルST2−aを参照すると、所属コード「D0001」に所属していることがわかる。また、扉ナンバー(DNO)「D0001」の扉は、ゲートグループ登録扉情報テーブルGT1を参照すると、ゲートグループコード「G0001」で表されるゲートグループに所属していることがわかる。したがって、入退室許可判定部27は、所属コード「D0001」とゲートグループコード「G0001」との組み合わせで入室資格として設定されている内容を確認するために、所属別アクセスゾーンテーブルZ1及びゾーン登録ゲートグループ情報テーブルZ2並びにアクセス権限情報テーブルX1を参照する。なお、ユーザが複数の部署に所属していたり、扉が複数のゲートグループに含まれていたりする場合には、複数の連携設定情報を取得することができる。
続いて、入退室許可判定部27は、ステップS16において、有効な連携設定情報が存在するか否かを判定する。入退室許可判定部27は、有効な連携設定情報が存在する場合には、ステップS17へと処理を進める一方で、有効な連携設定情報が存在しない場合には、ステップS20へと処理を進める。
例えば、社員ナンバー「M0001」のユーザは、社員所属情報テーブルST2−aを参照すると、所属コード「D0001」に所属しており、扉ナンバー(DNO)「D0001」の扉は、ゲートグループ登録扉情報テーブルGT1を参照すると、ゲートグループコード「G0001」で表されるゲートグループに所属していることから、ゾーン登録ゲートグループ情報テーブルZ2より、ゾーンコード「Z0001」、「Z9999」のゾーングループに所属していることがわかる。
したがって、所属別アクセスゾーンテーブルZ1を参照すると、ゾーンコード「Z0001」、「Z9999」から、アクセス権限コード「A0001」、「A0002」、「A9001」の3つの連携設定情報が該当することがわかる。
続いて、入退室許可判定部27は、ステップS17において、有効な連携設定情報から入室可能な時間帯を取得する。具体的には、入退室許可判定部27は、所属別アクセスゾーンテーブルZ1を参照し、有効な連携設定情報のアクセスタイムIDを取得する。上述したように、図6(a)に示した所属別アクセスゾーンテーブルZ1において、有効な連携設定情報のアクセス権限コードは、「A0001」、「A0002」、「A9001」であるので、これらより、該当するアクセスタイムIDは、「T0001」、「T0002」であることがわかる。このように、入退室許可判定部27は、アクセスタイムデータベース24のアクセスタイムマスタテーブルAT1を参照し、アクセスタイムIDから入室可能な時間帯を取得する。
続いて、入退室許可判定部27は、ステップS18において、取得した入室可能な時間帯と、入室資格を問い合わせる時刻又はICカード5のカードIDを読み取った時刻とを比較して入室可能であるか否かを判定する。そして、入退室許可判定部27は、入室可能な時間帯である場合には、ステップS19へと処理を進め入室許可を与える一方で、入室可能な時間帯でない場合には、ステップS20へと処理を進め入室不許可とする。
このとき、入退室許可判定部27は、アクセスタイムIDが複数ある場合には、所定のルールに基づいて、いずれか1つのアクセスタイムIDを選択することになる。
したがって、アクセスタイムデータベース24のアクセスタイムマスタテーブルAT1のアクセスタイムIDのいずれかを選択することにより、入室時間に対する入室許可の結果が変わることになる。
以下に所定のルールについて説明をする。まず、アクセスタイムマスタテーブルAT1に登録された登録日時が最も早いデータに基づいて判定するというルールを規定することができる。図5に示したように、登録日時が最も早いデータは、アクセスタイムマスタテーブルAT1の上位に存在するため、非常に短時間で検索することができるというメリットがある。したがって、認証処理速度の高速化を図ることができる。
また、図5に示したように、アクセスタイムマスタテーブルAT1のアクセスタイムID毎に、属性情報として優先度を設定し、優先度の高いアクセスタイムが選択されるようなルールを規定するようにしてもよい。このように優先度を設定するとより厳密な条件に対応することが可能となる。
さらに、アクセスタイムの論理和や論理積、具体的には、図5に示したアクセスタイムマスタテーブルAT1の入退室許可曜日、入退室許可時間帯の論理和や論理積を求めることで、重複条件を考慮した新たな認証許可時間帯を決定するというルールも規定することができる。
さらにまた、図6(a)に示した所属別アクセスゾーンテーブルZ1の属性として、テーブル内のデータが有効となる開始日、逆に無効となる終了日を設定しておくことで、例えば、アクセス権限コード「A0003」に属するユーザの勤務場所が、2006年10月1日よりゲートグループコード「G0001」から「G0002」へと変更された場合であっても、所属社員全員の入室資格を個別に変更する必要なく、事前にまとめて設定することが可能となる。したがって、転属や一時的な赴任等であっても容易に設定を変更することができる。
認証処理装置20は、このような処理を入退室許可判定部27によって行うことにより、所属が階層化されている場合であっても、適切に入退室許可判定処理を行うことができる。
このように、本発明の第1の実施の形態として示す入退室管理システム1は、アクセス権限情報テーブルX1を連携設定データベース25に記憶しておき、認証処理装置20により、人事情報を用いた入退室管理を実行する場合、ユーザの所属先に関する属性コードと、当該属性コードに基づいてアクセス権限情報テーブルX1取得されたアクセス権限コードと、所属別アクセスゾーンテーブルZ1によってアクセス権限情報テーブルX1のアクセス権限コードと関連付けられたアクセスタイムID及びゾーンコードとに基づいて、ユーザの認証処理を行う。これにより、この入退室管理システム1においては、組織によって構造が異なる複数のテーブルの違いを、アクセス権限情報テーブルX1を用いて吸収することができる。このため、入退室管理システム1によれば、異なる組織構造を有する人事情報を1つにまとめる等、組織形態にかかわらない柔軟な対応をすることができ、管理者の作業負担を大幅に低減することができる。
なお、入退室管理システム1においては、図11に示すように、所属先に関する属性コードを各マスタテーブルから取得することによってアクセス権限コードと対応するテーブル名及び参照する属性コードとを可変としたアクセス権限情報テーブルX1’を作成し、アクセス権限情報テーブルを汎用化している。これにより、予め参照する属性コードを固定しなくて済むので、所属階層が異なる組織の会社であっても対応可能となる。
また、入退室管理システム1においては、アクセス権限情報テーブルX1’を用いることにより、例えば所属と性別との組み合わせを用いて更衣室の入室権限を設定するといったように、全く異なる意味を有する属性の組み合わせを用いてアクセス権限を設定することが可能となる。
さらに、入退室管理システム1においては、アクセス権限情報テーブルX1’に、参照するテーブル数、すなわち、参照する属性コードの項目数の情報を付加しているので、予め参照する属性コード数を固定せずに可変とすることができる。したがって、この入退室管理システム1によれば、アクセス権限情報テーブルX1’のデータ領域を柔軟に変更することができ、必要最低限のデータ量で適切に入退室許可判定処理を行うことができる。
さらにまた、入退室管理システム1においては、図12に示すアクセス権限情報テーブルX1''のように、ユーザの認証処理時に参照するテーブルの組み合わせを論理演算によって決定するようなアクセス権限を用いることもできる。これにより、例えば本社の部長と関連会社の取締役というような会社毎にアクセス権限を異ならせるといった、より細かい権限設定を行うことが可能となる。
なお、第1の実施の形態として示す入退室管理システム1においては、ユーザの認証処理時のデータアクセスが複雑であるために処理時間を多く要する場合には、入退室許可判定部27によって予め図10中ステップS13乃至ステップS17の処理を実行しておき、ICカード5毎に各扉に対する入室可能な時間帯を予め記憶しておくこともできる。これにより、認証時のデータアクセスを容易とすることができ、認証処理装置20による認証処理の高速化を図ることが可能となる。
[第2の実施の形態]
つぎに、本発明の第2の実施の形態として示す入退室管理システム1について説明をする。なお、この入退室管理システム1は、先に図1に示した入退室管理システム1と同様の構成とされる。したがって、重複する個所については同一符号を付して詳細な説明を省略する。
情報更新部28は、組織改編等によって組織の統廃合等が発生した場合には、人事管理システム30から人事情報データベース21や組織マスタデータベース22に関する更新データを取得して、その内容に基づいて更新を行う。
しかしながら、単純に組織マスタデータベース22のみ更新した場合には、連携設定データベース25内のデータとの不整合が発生し、正しい認証処理を行うことができなくなる場合がある。したがって、情報更新部28は、組織マスタデータベース22の内容を更新する度に又は定期的にまとめて連携設定データベース25の内容も更新する。
具体的には、情報更新部28は、図13に示すような更新処理を行う。
まず、情報更新部28は、ステップS21において、人事管理システム30から人事情報データベース21及び組織マスタデータベース22の更新データを取得して更新する。例えば、図14(a)に示すような課マスタテーブルMT14が、図14(b)に示すような課マスタテーブルMT14’に変更された場合には、情報更新部28は、人事管理システム30から、図14(c)に示すような変更前後の対応を示す課マスタテーブル変更情報MT141を取得する。なお、情報更新部28は、課マスタテーブルMT14と課マスタテーブルMT14’とを比較することによって課マスタテーブル変更情報MT141の構成が明らかである場合には、人事管理システム30から変更後の課マスタテーブルMT14’のみを取得し、課マスタテーブル変更情報MT141を作成するようにしてもよい。
続いて、情報更新部28は、ステップS22において、課マスタテーブル変更情報MT141に基づいて、元のアクセス権限情報テーブルを図15に示すようなアクセス権限情報テーブルX1'''に更新し、連携設定データベース25に記憶させる。
これ以降、入退室許可判定部27は、更新された人事情報データベース21及び組織マスタデータベース22並びに連携設定データベース25を用いて、先に図10に示した一連の手順にしたがって入退室許可の判定を行うことになる。
また、入退室管理システム1においては、組織統合等にともない、図15に示すようなアクセス権限情報テーブルX1'''におけるアクセス権限コード「A0003」のように、同一のアクセス権限設定内容のものが重複して存在する場合がある。このような場合、情報更新部28は、ステップS23において、アクセス権限情報テーブルX1'''の重複データを統合して削除し、図16に示すようなアクセス権限情報テーブルX1''''を作成する。
これにより、入退室管理システム1においては、アクセス権限情報テーブルのデータ領域を削減することができ、認証処理装置20による認証処理の高速化を図ることが可能となる。
認証処理装置20は、このような処理を情報更新部28によって行うことにより、人事情報データベース21及び組織マスタデータベース22と、連携設定データベース25との不整合が発生するのを回避し、正しい認証処理を行うことが可能となる。
なお、情報更新部28は、アクセス権限情報テーブルの重複データを削除する際に、連携設定データベース25に重複する情報が含まれているか否かを判定し、所定のルールに基づいてその重複データを削除するようにしてもよい。例えば、情報更新部28は、図15に示すようなアクセス権限情報テーブルX1'''の重複データを削除して図16に示すようなアクセス権限情報テーブルX1''''に更新した場合には、連携設定データベース25に記憶されている図6(a)に示したような所属別アクセスゾーンテーブルZ1におけるアクセス権限コード「A0002」のデータが重複することになる。そこで、情報更新部28は、所属別アクセスゾーンテーブルZ1の重複データを削除して図17に示すような所属別アクセスゾーンテーブルZ1’に更新する。
なお、情報更新部28は、連携設定データベース25に重複する情報が含まれていることを判定した場合には、例えば所定の警告を発生させても良い。これによって、入退室管理システム1を管理する管理者に削除するデータを選択させることができる。また、重複したデータのうちのいずれのデータも適用しないようにしたり優先度に基づいて削除するデータを決定したりする等、自動的に処理内容を決定してもよい。
このように、入退室管理システム1においては、連携設定データベース25に重複する情報が含まれている場合に、その重複データを削除することにより、組織統合前には異なるアクセス権限が割り振られていた組織が統合するような場合であっても、アクセス権限設定を適切に運用することが可能となる。
このように、本発明の第2の実施の形態として示す入退室管理システム1は、認証処理装置20における情報更新部28により、アクセス権限情報テーブルX1の内容に影響を与える属性コードに変更があったときに、当該アクセス権限情報テーブルX1の内容を更新することにより、組織改編等が行われた場合であっても、適切に入退室許可判定処理を行うことができる。
なお、入退室管理システム1においては、図18に示すようなアクセス権限情報テーブルX1'''''のように、アクセス権限コード毎に名称を付与し、管理者が設定内容を確認するための設定画面に表示する際に、その名称を表示させるようにしてもよい。これにより、入退室管理システム1においては、管理者が複雑なアクセス権限の設定内容を後日参照する際に、アクセス権限コードの名称のみを参照すれば、全ての設定項目を参照して確認する必要がなくなり、短時間且つ容易に確認することが可能となる。
また、入退室管理システム1においては、図19に示すように、アクセス権限コードに名称を自動的に付与するためのルールを規定した名称ルールエンジンテーブルを設けるようにしてもよい。これにより、入退室管理システム1においては、管理者が自らアクセス権限コードの名称を付与する必要がなくなり、設定入力時間の短縮化を図ることができる。
さらに、入退室管理システム1においては、アクセス権限コードに名称を付与する際に、その長さが長いと、管理者が設定内容を確認するための設定画面の表示が困難となる。そこで、入退室管理システム1においては、図19に示すように、アクセス権限コードに付与する名称を短縮するためのルールを規定し、アクセス権限コードの名称を所定長以内に保つことにより、管理者の視認性向上を図ることができる。
さらにまた、入退室管理システム1においては、図20に示すように、所属先に関する属性コードについてエイリアスによる略称を規定したエイリアステーブルを設けるようにしてもよい。このように、入退室管理システム1においては、予め定めた短縮名称を適用することにより、アクセス権限コードの名称が短くても、管理者にとって理解しやすい名称を付与することができ、設定内容の理解が容易となる。
また、入退室管理システム1においては、管理者が設定内容を確認するための設定画面の表示内容を、例えば表示装置の種類といった用途に応じて変更するようにしてもよい。例えば、入退室管理システム1においては、管理者が参照している設定画面がパーソナルコンピュータのモニタであるのか、携帯電話機の表示画面であるのかに応じて、設定画面の表示内容を切り替えることにより、管理者の状況に応じた利便の高い表示を行うことが可能となる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
本発明の第1の実施の形態として示す入退室管理システムの構成を示すブロック図である。 人事情報データベースに記憶されるテーブルの具体例を示す図であり、(a)は、社員基本情報テーブルの具体例を示し、(b)及び(c)は、社員所属情報テーブルの具体例を示し、(d)は、カード情報テーブルの具体例を示し、(e)は、社員役職情報テーブルの具体例を示す図である。 組織マスタデータベースに記憶されるテーブルの具体例を示す図であり、(a)は、会社マスタテーブルの具体例を示し、(b)は、所属マスタテーブルの具体例を示し、(c)は、部署マスタテーブルの具体例を示し、(d)は、課マスタテーブルの具体例を示し、(e)は、役職マスタテーブルの具体例を示す図である。 物理情報データベースに記憶されるテーブルの具体例を示す図であり、(a)は、扉情報テーブルの具体例を示し、(b)は、ゲートグループ登録扉情報テーブルの具体例を示し、(c)は、ゲートグループ情報テーブルの具体例を示す図である。 アクセスタイムデータベースに記憶されるアクセスタイムマスタテーブルの具体例を示す図である。 連携設定データベースに記憶されるテーブルの具体例を示す図であり、(a)は、所属別アクセスゾーンテーブルの具体例を示し、(b)は、ゾーン登録ゲートグループ情報テーブルの具体例を示す図である。 連携設定データベースに記憶されるアクセス権限情報テーブルの具体例を示す図である。 連携設定データベースに記憶されるアクセス権限情報テーブルと所属別アクセスゾーンテーブルとの具体例を示す図であり、連携設定データベースの階層化対応について説明するための図である。 本発明の第1の実施の形態として示す入退室管理システムにおける連携設定部によるアクセスタイムデータベース及び連携設定データベースの設定処理について説明するためのフローチャートである。 本発明の第1の実施の形態として示す入退室管理システムにおける入退室許可判定部による入退室許可判定処理について説明するためのフローチャートである。 連携設定データベースに記憶されるアクセス権限情報テーブルの具体例を示す図であり、汎用化したアクセス権限情報テーブルの具体例を示す図である。 連携設定データベースに記憶されるアクセス権限情報テーブルの具体例を示す図であり、参照するテーブルの組み合わせを論理演算によって決定するようなアクセス権限を規定するアクセス権限情報テーブルの具体例を示す図である。 本発明の第2の実施の形態として示す入退室管理システムにおける情報更新部による更新処理について説明するためのフローチャートである。 組織マスタデータベースに記憶されるテーブルの具体例を示す図であり、(a)は、変更前の課マスタテーブルの具体例を示す図であり、(b)は、変更後の課マスタテーブルの具体例を示す図であり、(c)は、変更前後の対応を示す課マスタテーブル変更情報の具体例を示す図である。 連携設定データベースに記憶されるアクセス権限情報テーブルの具体例を示す図であり、課マスタテーブル変更情報に基づいて更新されたアクセス権限情報テーブルの具体例を示す図である。 連携設定データベースに記憶されるアクセス権限情報テーブルの具体例を示す図であり、重複データを削除したアクセス権限情報テーブルの具体例を示す図である。 連携設定データベースに記憶される所属別アクセスゾーンテーブルの具体例を示す図であり、重複データを削除した所属別アクセスゾーンテーブルの具体例を示す図である。 連携設定データベースに記憶されるアクセス権限情報テーブルの具体例を示す図であり、アクセス権限コードに名称を付与したアクセス権限情報テーブルの具体例を示す図である。 連携設定データベースに記憶される名称ルールエンジンテーブルの具体例を示す図である。 連携設定データベースに記憶されるエイリアステーブルの具体例を示す図である。
符号の説明
1 入退室管理システム
5 ICカード
10 設備系システム
11 カードリーダ
12 扉
20 認証処理装置
21 人事情報データベース
22 組織マスタデータベース
23 物理情報データベース
24 アクセスタイムデータベース
25 連携設定データベース
26 連携設定部
27 入退室許可判定部
28 情報更新部
30 人事管理システム
AT1 アクセスタイムマスタテーブル
GT1 ゲートグループ登録扉情報テーブル
GT2 ゲートグループ情報テーブル
MT11 会社マスタテーブル
MT12 所属マスタテーブル
MT13 部署マスタテーブル
MT14,MT14’ 課マスタテーブル
MT141 課マスタテーブル変更情報
MT2 役職マスタテーブル
ST1 社員基本情報テーブル
ST2−a,ST2−b 社員所属情報テーブル
ST3 カード情報テーブル
ST4 社員役職情報テーブル
TT1 扉情報テーブル
X1,X1’,X1'',X1''',X1'''',X1''''' アクセス権限情報テーブル
Z1,Z1’ 所属別アクセスゾーンテーブル
Z2 ゾーン登録ゲートグループ情報テーブル

Claims (4)

  1. ユーザを一意に特定するユーザ特定情報と、前記ユーザの所属先を特定するユーザ属性情報とを関連付けた第1のテーブルと、
    任意の物理領域への入室を許可する認証許可条件情報を規定した第2のテーブルと、
    所定の物理領域への入退室を隔てる扉を特定する扉情報を特定する第3のテーブルと、
    前記ユーザ属性情報とこのユーザ属性情報に与えられたアクセス権限を特定するアクセス権限情報とを関連付けた第4のテーブルと、
    前記第4のテーブルの前記アクセス権限情報と前記第2のテーブルの認証許可条件情報と前記第3のテーブルの扉情報とを関連付けた第5のテーブルと、
    前記ユーザ属性情報に基づいて前記第4のテーブルを作成すると共に、前記第2のテーブルと前記第3のテーブルと前記第4のテーブルとを用いて前記第5のテーブルを作成して各テーブルの情報を連携させる連携設定手段と、
    前記ユーザ特定情報に基づいて前記第1のテーブルから取得された前記ユーザ属性情報と、当該ユーザ属性情報に基づいて前記第4のテーブルから取得された前記アクセス権限情報と、前記第5のテーブルによって前記第4のテーブルの前記アクセス権限情報と関連付けられた前記第2のテーブルの認証許可条件情報及び前記第3のテーブルの扉情報とに基づいて、前記ユーザの認証処理を行う認証処理手段と
    を備えることを特徴とする認証処理装置。
  2. 前記連携設定手段は、所属先を規定したマスタテーブルから取得された前記ユーザ属性情報に基づいて前記第4のテーブルを作成すること
    を特徴とする請求項1に記載の認証処理装置。
  3. 前記第4のテーブルは、前記ユーザの認証処理時に参照される前記ユーザ属性情報の項目数と前記アクセス権限情報とを関連付けて構成されていることを特徴とする請求項1に記載の認証処理装置。
  4. 前記第4のテーブルの内容に影響を与える前記ユーザ属性情報に変更があったときに、前記第4のテーブルの内容を更新する情報更新手段を備えることを特徴とする請求項1乃至請求項3のうちの何れか1項に記載の認証処理装置。
JP2007075566A 2007-03-22 2007-03-22 認証処理装置 Expired - Fee Related JP4955434B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007075566A JP4955434B2 (ja) 2007-03-22 2007-03-22 認証処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007075566A JP4955434B2 (ja) 2007-03-22 2007-03-22 認証処理装置

Publications (2)

Publication Number Publication Date
JP2008231843A true JP2008231843A (ja) 2008-10-02
JP4955434B2 JP4955434B2 (ja) 2012-06-20

Family

ID=39904975

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007075566A Expired - Fee Related JP4955434B2 (ja) 2007-03-22 2007-03-22 認証処理装置

Country Status (1)

Country Link
JP (1) JP4955434B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011065564A (ja) * 2009-09-18 2011-03-31 Mitsubishi Denki Information Technology Corp 情報処理装置及びプログラム
US9368761B2 (en) 2009-12-23 2016-06-14 Merck Patent Gmbh Compositions comprising organic semiconducting compounds
JP2017010137A (ja) * 2015-06-18 2017-01-12 三菱電機株式会社 データアクセス制御装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004019339A (ja) * 2002-06-19 2004-01-22 Mitsubishi Electric Corp 出入管理装置および出入管理方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004019339A (ja) * 2002-06-19 2004-01-22 Mitsubishi Electric Corp 出入管理装置および出入管理方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011065564A (ja) * 2009-09-18 2011-03-31 Mitsubishi Denki Information Technology Corp 情報処理装置及びプログラム
US9368761B2 (en) 2009-12-23 2016-06-14 Merck Patent Gmbh Compositions comprising organic semiconducting compounds
JP2017010137A (ja) * 2015-06-18 2017-01-12 三菱電機株式会社 データアクセス制御装置

Also Published As

Publication number Publication date
JP4955434B2 (ja) 2012-06-20

Similar Documents

Publication Publication Date Title
CN101763575A (zh) 许可管理设备、许可管理方法以及计算机可读介质
JP5369364B2 (ja) Id管理装置、id管理システム、id管理方法
JP2003323528A (ja) 人事管理システムおよびその方法
JP5107598B2 (ja) 入退室管理装置および方法
JP4955434B2 (ja) 認証処理装置
JP2018013875A (ja) アクセス管理システム
JP2010055182A (ja) 入退場管理システム
JP5945130B2 (ja) 入退管理システム
JP2008158746A (ja) 認証処理装置
JP5129946B2 (ja) 認証処理装置
JP2004019339A (ja) 出入管理装置および出入管理方法
JP5086878B2 (ja) ユーザ権限管理システム及びそのプログラム
JP2007226428A (ja) 利用権限管理システム、利用権限管理装置、および利用権限管理プログラム
JP2016162382A (ja) 来訪者を訪問先へ誘導する機能を有する入退室管理システム
JP2011048454A (ja) 入退出管理システム
JP2003187285A (ja) 入室管理システム
US11410478B2 (en) Visualization and management of access levels for access control based al hierarchy
JP2005285008A (ja) データセキュリティ管理システム、プログラム、データセキュリティ管理方法
JP2003331029A (ja) 入場管理方法及びそのシステム
JP2000010928A (ja) 情報管理システム
JP4897531B2 (ja) 入退室管理装置および方法
JP2004092057A (ja) 入退出管理システム
JP2010170484A (ja) 統合サーバ、統合システム
JP2020052759A (ja) 情報処理システム、情報処理方法及びプログラム
JP2011184856A (ja) 入退室管理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091023

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111021

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111101

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20120111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120221

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120315

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150323

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees