JP2008287579A - 情報処理装置及び情報処理方法及びプログラム - Google Patents
情報処理装置及び情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP2008287579A JP2008287579A JP2007132959A JP2007132959A JP2008287579A JP 2008287579 A JP2008287579 A JP 2008287579A JP 2007132959 A JP2007132959 A JP 2007132959A JP 2007132959 A JP2007132959 A JP 2007132959A JP 2008287579 A JP2008287579 A JP 2008287579A
- Authority
- JP
- Japan
- Prior art keywords
- information
- authentication information
- user
- user authentication
- area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】複数権利者の情報リソースが一つのシステムに含まれている場合に、権利者ごとの情報リソースのアクセス制御を行う。
【解決手段】開発・設定端末(1)において、記憶部(102)は、権利者ごとに、情報リソースにアクセス可能なユーザを認証するためのユーザDBと、情報リソースにアクセス可能なユーザのアクセス権限を判定するためのアクセス権DBを記憶し、また、ユーザDBとアクセス権DBの利用禁止状態を解除するための領域管理者認証情報を記憶しており、領域制御部(101)は、ユーザDB及びアクセス権DBの利用禁止状態を保持するとともに、領域管理者認証情報に合致する情報が入力された場合に、ユーザDB及びアクセス権DBの利用禁止状態を解除してユーザDB及びアクセス権DBを利用可能にし、これにより、権利者ごとに情報リソースに対する適切なアクセス制御が可能となる。
【選択図】図1
【解決手段】開発・設定端末(1)において、記憶部(102)は、権利者ごとに、情報リソースにアクセス可能なユーザを認証するためのユーザDBと、情報リソースにアクセス可能なユーザのアクセス権限を判定するためのアクセス権DBを記憶し、また、ユーザDBとアクセス権DBの利用禁止状態を解除するための領域管理者認証情報を記憶しており、領域制御部(101)は、ユーザDB及びアクセス権DBの利用禁止状態を保持するとともに、領域管理者認証情報に合致する情報が入力された場合に、ユーザDB及びアクセス権DBの利用禁止状態を解除してユーザDB及びアクセス権DBを利用可能にし、これにより、権利者ごとに情報リソースに対する適切なアクセス制御が可能となる。
【選択図】図1
Description
本発明は、ユーザ認証技術、アクセス権限管理技術に関し、例えば、PLC (Programmable Logic Controller:プログラマブル・ロジック・コントローラ)を用いた産業用システムにおけるユーザ認証技術、アクセス権限管理技術に関する。
PLCは、産業分野等で用いられている制御装置である。
センサやスイッチといった入力装置から信号の入力を得て、演算を行い、モータやアクチュエータといった出力装置へ信号を出力するといった機能を持っている。
PLCは、入力装置や出力装置といった被制御装置と、ネットワークまたはワイヤで接続される。
PLCは、被制御装置に対する制御動作を、内部に備えたプログラムと各種パラメータに基づいて行う。
通常、PLCが備えるプログラムと各種パラメータの作成は、パソコン等の開発・設定端末で行う。
作成されたプログラムと各種パラメータは、USBやシリアル接続、あるいはネットワーク接続を介して、パソコンからPLCへロードされる。
センサやスイッチといった入力装置から信号の入力を得て、演算を行い、モータやアクチュエータといった出力装置へ信号を出力するといった機能を持っている。
PLCは、入力装置や出力装置といった被制御装置と、ネットワークまたはワイヤで接続される。
PLCは、被制御装置に対する制御動作を、内部に備えたプログラムと各種パラメータに基づいて行う。
通常、PLCが備えるプログラムと各種パラメータの作成は、パソコン等の開発・設定端末で行う。
作成されたプログラムと各種パラメータは、USBやシリアル接続、あるいはネットワーク接続を介して、パソコンからPLCへロードされる。
PLCを用いた産業用システムでは、PLCの動作に必要となるプログラムと各種パラメータが、重要な保護資産となるが、これらは、一人の権利者によって所有されるものではない。
例えば、プログラムの場合、サードベンダーが開発したライブラリを用いて装置メーカーが製造装置を開発し、エンドユーザは、納入された製造装置に、製造する製品用のプログラムを追加する、といったケースがある。
このケースでは、ライブラリの権利者はサードベンダーであり、ベースとなる製造装置のプログラムの権利者は装置メーカー、最終的な製造システム用に追加したプログラムの権利者はエンドユーザになる。
このように、複数の権利者の保護資産が一つのシステムに含まれている。
例えば、プログラムの場合、サードベンダーが開発したライブラリを用いて装置メーカーが製造装置を開発し、エンドユーザは、納入された製造装置に、製造する製品用のプログラムを追加する、といったケースがある。
このケースでは、ライブラリの権利者はサードベンダーであり、ベースとなる製造装置のプログラムの権利者は装置メーカー、最終的な製造システム用に追加したプログラムの権利者はエンドユーザになる。
このように、複数の権利者の保護資産が一つのシステムに含まれている。
通常の情報システムでは、システム内の全てのリソースにアクセスできるシステム管理者が存在する。
しかし、前述のように複数権利者の保護資産が一つのシステムに含まれているケースでは、絶対的な権限を持つシステム管理者が存在すると、各権利者固有の保護資産にアクセスできることになってしまい、適切なアクセス制御を行うことができない。
また、PLCでは、いわゆるラダープログラムが用いられることが多いが、このラダープログラムは通常のプログラムと異なり、適切なアクセス制御を行わない限り、権利者以外の者も容易に内容を解釈することができるという性質を持つ。
しかし、前述のように複数権利者の保護資産が一つのシステムに含まれているケースでは、絶対的な権限を持つシステム管理者が存在すると、各権利者固有の保護資産にアクセスできることになってしまい、適切なアクセス制御を行うことができない。
また、PLCでは、いわゆるラダープログラムが用いられることが多いが、このラダープログラムは通常のプログラムと異なり、適切なアクセス制御を行わない限り、権利者以外の者も容易に内容を解釈することができるという性質を持つ。
独立した権限とポリシーを持つ複数の管理者がいる場合のファイル保護システム実現方法として、例えば特許文献1がある。特許文献1では、オペレーティングシステムに独自の拡張保護手段を追加している。
特開2004−126634号公報(図1)
従来技術には、次のような課題がある。
拡張アクセス制御ツールや拡張ファイル保護手段のインストールや、拡張アクセス制御ツールでの管理者の設定などに、オペレーションシステムにおける全権限を持つシステム管理者の存在を暗黙的に仮定している。
そのため、文献中に記載の仕組みを導入してもなお、ある管理者が管理するリソースに対して、システム管理者がアクセスする手段が存在してしまう。
拡張アクセス制御ツールや拡張ファイル保護手段のインストールや、拡張アクセス制御ツールでの管理者の設定などに、オペレーションシステムにおける全権限を持つシステム管理者の存在を暗黙的に仮定している。
そのため、文献中に記載の仕組みを導入してもなお、ある管理者が管理するリソースに対して、システム管理者がアクセスする手段が存在してしまう。
本発明は、以上のような課題を解決することを主な目的の一つとし、複数の管理者を設け、管理者が管理する領域を分けることによって、独立したユーザ認証体系およびアクセス制御体系を実現することを主な目的の一つとする。
本発明に係る情報処理装置は、
情報リソースにアクセス可能なユーザを認証するためのユーザ認証情報と、利用禁止状態にあるユーザ認証情報の利用禁止状態を解除してユーザ認証情報を利用可能にするための禁止解除認証情報とを対応付けて記憶する記憶部と、
前記ユーザ認証情報の利用禁止状態を保持するとともに、前記禁止解除認証情報に合致する情報が入力された場合に、前記ユーザ認証情報の利用禁止状態を解除してユーザ認証情報を利用可能にする認証制御部とを有することを特徴とする。
情報リソースにアクセス可能なユーザを認証するためのユーザ認証情報と、利用禁止状態にあるユーザ認証情報の利用禁止状態を解除してユーザ認証情報を利用可能にするための禁止解除認証情報とを対応付けて記憶する記憶部と、
前記ユーザ認証情報の利用禁止状態を保持するとともに、前記禁止解除認証情報に合致する情報が入力された場合に、前記ユーザ認証情報の利用禁止状態を解除してユーザ認証情報を利用可能にする認証制御部とを有することを特徴とする。
本発明によれば、ユーザ認証情報及びアクセス権限情報の利用禁止状態を保持するとともに、利用禁止状態を解除するための禁止解除認証情報に合致する情報が入力された場合に、ユーザ認証情報及びアクセス権限情報の利用禁止状態を解除してユーザ認証情報及びアクセス権限情報を利用可能にするため、権利者以外には、ユーザ認証情報及びアクセス権限情報の利用禁止状態を解除することができず、複数権利者の情報リソースが一つのシステムに含まれている場合にも、権利者ごとに、情報リソースに対する適切なアクセス制御が可能となる。
実施の形態1.
図1は、本発明の実施の形態1における開発・設定端末(1)の構成を示すものである。
開発・設定端末(1)は、領域制御部(101)、記憶部(102)、メモリ(103)、入出力部(104)から構成される。
記憶部(102)には、領域DB(105)が含まれる。
開発・設定端末(1)は、情報処理装置の例である。また、領域制御部(101)は、認証制御部の例である。
図1は、本発明の実施の形態1における開発・設定端末(1)の構成を示すものである。
開発・設定端末(1)は、領域制御部(101)、記憶部(102)、メモリ(103)、入出力部(104)から構成される。
記憶部(102)には、領域DB(105)が含まれる。
開発・設定端末(1)は、情報処理装置の例である。また、領域制御部(101)は、認証制御部の例である。
前述したように、PLCを用いた産業用システムでは、PLCの動作に必要となるプログラムと各種パラメータが重要な保護資産となるが、例えば、ライブラリの権利者はサードベンダーであり、ベースとなる製造装置のプログラムの権利者は装置メーカー、最終的な製造システム用に追加したプログラムの権利者はエンドユーザになるというように、複数のプログラム権利者の保護資産が一つのシステムに含まれている。
このような複数のプログラム権利者(サードベンダー、装置メーカー、エンドユーザ等)は、各々のプログラム資産に対するユーザ認証、アクセス権限管理を行うために、図1に示す開発・設定端末(1)を用いて、各々のプログラム資産にアクセス可能なユーザ、当該ユーザのアクセス権限を設定する。
プログラム権利者(サードベンダー、装置メーカー、エンドユーザ等)は、それぞれ、図1に示す開発・設定端末(1)を保持しているが、各プログラム権利者が利用する開発・設定端末(1)は共通して図1に示す機能を有する。
なお、PLCの動作に必要となるプログラム、各種パラメータを情報リソースともいう。また、情報リソースは、単にリソースともいう。
このような複数のプログラム権利者(サードベンダー、装置メーカー、エンドユーザ等)は、各々のプログラム資産に対するユーザ認証、アクセス権限管理を行うために、図1に示す開発・設定端末(1)を用いて、各々のプログラム資産にアクセス可能なユーザ、当該ユーザのアクセス権限を設定する。
プログラム権利者(サードベンダー、装置メーカー、エンドユーザ等)は、それぞれ、図1に示す開発・設定端末(1)を保持しているが、各プログラム権利者が利用する開発・設定端末(1)は共通して図1に示す機能を有する。
なお、PLCの動作に必要となるプログラム、各種パラメータを情報リソースともいう。また、情報リソースは、単にリソースともいう。
図2は、領域DB(105)の一例を示している。
領域DB(105)には、領域情報(201a、201b)が複数含まれる。
図中では、領域Aと領域B用の二つの領域情報が含まれる場合を示している。
領域A用の領域情報(201a)には、領域管理者認証情報(202)、ユーザDB(203)、アクセス権DB(204)が含まれる。
図中には示していないが、他の領域用の領域情報にも同様に、領域管理者認証情報、ユーザDB、アクセス権DBが含まれる。
領域DB(105)には、領域情報(201a、201b)が複数含まれる。
図中では、領域Aと領域B用の二つの領域情報が含まれる場合を示している。
領域A用の領域情報(201a)には、領域管理者認証情報(202)、ユーザDB(203)、アクセス権DB(204)が含まれる。
図中には示していないが、他の領域用の領域情報にも同様に、領域管理者認証情報、ユーザDB、アクセス権DBが含まれる。
ユーザDB(203)には、情報リソースにアクセス可能なユーザを認証するためのユーザ認証情報が格納されている。
また、アクセス権DB(204)には、情報リソースにアクセス可能なユーザのアクセス権限を判定するためのアクセス権限情報が格納されている。
領域管理者認証情報(202)は、利用禁止状態にあるユーザ認証情報及びアクセス権限情報の利用禁止状態を解除してユーザ認証情報及びアクセス権限情報を利用可能にするための禁止解除認証情報である。なお、ユーザ認証情報及びアクセス権限情報が利用禁止状態にあるとは、ユーザ認証情報及びアクセス権限情報に対するアクセスができず、ユーザ認証情報及びアクセス権限情報が参照できない状態であることをいう。なお、利用禁止状態は、以降、ロック状態ともいう。
このように、領域DB(105)では、ユーザDB(ユーザ認証情報)及びアクセス権DB(アクセス権限情報)と、領域管理者認証情報(禁止解除認証情報)を対応付けて記憶している。
また、アクセス権DB(204)には、情報リソースにアクセス可能なユーザのアクセス権限を判定するためのアクセス権限情報が格納されている。
領域管理者認証情報(202)は、利用禁止状態にあるユーザ認証情報及びアクセス権限情報の利用禁止状態を解除してユーザ認証情報及びアクセス権限情報を利用可能にするための禁止解除認証情報である。なお、ユーザ認証情報及びアクセス権限情報が利用禁止状態にあるとは、ユーザ認証情報及びアクセス権限情報に対するアクセスができず、ユーザ認証情報及びアクセス権限情報が参照できない状態であることをいう。なお、利用禁止状態は、以降、ロック状態ともいう。
このように、領域DB(105)では、ユーザDB(ユーザ認証情報)及びアクセス権DB(アクセス権限情報)と、領域管理者認証情報(禁止解除認証情報)を対応付けて記憶している。
ここで、領域とは、同じユーザDBとアクセス権DBによってユーザ認証とアクセス権管理が行われる情報リソースの集合である。
領域の設定方法の一つは、プログラム権利者ごとに領域を区切るという方法である。
例えば、領域Aには、開発・設定端末(1)上のファイルA、PLC上のプログラムAとパラメータAが含まれており、装置メーカーのユーザがアクセスできる、領域Bには、開発・設定端末(1)上のファイルB、PLC上のパラメータBが含まれており、エンドユーザがアクセスできる、といったように使用する。
つまり、領域とは、プログラム権利者が情報リソースを管理する際の管理単位であり、同じ領域が適用される情報リソースに対しては同じユーザDB、アクセス権DB、領域管理者認証情報が用いられる。
領域の設定方法の一つは、プログラム権利者ごとに領域を区切るという方法である。
例えば、領域Aには、開発・設定端末(1)上のファイルA、PLC上のプログラムAとパラメータAが含まれており、装置メーカーのユーザがアクセスできる、領域Bには、開発・設定端末(1)上のファイルB、PLC上のパラメータBが含まれており、エンドユーザがアクセスできる、といったように使用する。
つまり、領域とは、プログラム権利者が情報リソースを管理する際の管理単位であり、同じ領域が適用される情報リソースに対しては同じユーザDB、アクセス権DB、領域管理者認証情報が用いられる。
また、プログラム権利者は、領域を作成して、そのプログラム権利者のユーザ(開発者、保守担当者等)についてのユーザDB、アクセス権DBを生成することができる他、領域を作成して、他のプログラム権利者に他のプログラム権利者のユーザに関するユーザDB、アクセス権DBの生成を許可することもできる。
例えば、プログラム権利者である装置メーカーは、自身が権利を有する情報リソースについて、装置メーカーのユーザ(開発者、保守担当者等)についてのユーザDB、アクセス権DBを生成することができる他、領域を作成して、他のプログラム権利者であるエンドユーザにエンドユーザのユーザに関するユーザDB、アクセス権DBの生成を許可することもできる。
例えば、プログラム権利者である装置メーカーは、自身が権利を有する情報リソースについて、装置メーカーのユーザ(開発者、保守担当者等)についてのユーザDB、アクセス権DBを生成することができる他、領域を作成して、他のプログラム権利者であるエンドユーザにエンドユーザのユーザに関するユーザDB、アクセス権DBの生成を許可することもできる。
領域制御部(101)(認証制御部)は、記憶部(102)の領域DB(105)内のユーザDB(203)(ユーザ認証情報)及びアクセス権DB(204)(アクセス権限情報)の利用禁止状態を保持するとともに、領域管理者認証情報(202)(禁止解除認証情報)に合致する情報が入力された場合に、ユーザDB(203)及びアクセス権DB(204)の利用禁止状態を解除してユーザDB(203)及びアクセス権DB(204)を利用可能にする。
また、領域制御部(101)は、プログラム権利者の指示に基づき、特定の情報リソースに対するユーザDB(203)及びアクセス権DB(204)を生成するとともに、生成したユーザDB(203)及びアクセス権DB(204)の利用禁止状態を解除して利用可能にするための領域管理者認証情報(202)を生成し、記憶部(102)に、領域情報(201)として、領域管理者認証情報(202)、ユーザDB(203)及びアクセス権DB(204)を記憶させる。
また、領域制御部(101)は、プログラム権利者の指示に基づき、特定の情報リソースに対するユーザDB(203)及びアクセス権DB(204)を生成するとともに、生成したユーザDB(203)及びアクセス権DB(204)の利用禁止状態を解除して利用可能にするための領域管理者認証情報(202)を生成し、記憶部(102)に、領域情報(201)として、領域管理者認証情報(202)、ユーザDB(203)及びアクセス権DB(204)を記憶させる。
図3は、ユーザDB(203)の一例(ユーザ認証情報)を示している。
ユーザDB(203)には、ユーザIDとパスワードハッシュの組が保持されている。
ユーザDB(203)は、一般的なユーザID−パスワードの管理テーブルであり、パスワードハッシュは、パスワードでも、パスワードハッシュにソルトと呼ばれる乱数であっても良い。
ユーザをグループ分けして、グループIDを付与しても良い。
ユーザIDは、開発・設定端末(1)内で一意である必要があるが、付与方法にはいくつかの方法がある。
一つの例は、開発・設定端末(1)内で一意となるように付与する方法である。
二つの目の例は、各領域を一意に識別できる領域IDを設け、領域内で一意となるように付与したユーザIDと組み合わせる方法である。この場合、領域IDは暗黙的なものであり、ユーザが直接意識する必要はない。
ユーザDB(203)には、ユーザIDとパスワードハッシュの組が保持されている。
ユーザDB(203)は、一般的なユーザID−パスワードの管理テーブルであり、パスワードハッシュは、パスワードでも、パスワードハッシュにソルトと呼ばれる乱数であっても良い。
ユーザをグループ分けして、グループIDを付与しても良い。
ユーザIDは、開発・設定端末(1)内で一意である必要があるが、付与方法にはいくつかの方法がある。
一つの例は、開発・設定端末(1)内で一意となるように付与する方法である。
二つの目の例は、各領域を一意に識別できる領域IDを設け、領域内で一意となるように付与したユーザIDと組み合わせる方法である。この場合、領域IDは暗黙的なものであり、ユーザが直接意識する必要はない。
図4は、アクセス権DB(204)の一例(アクセス権限情報)を示している。
アクセス権DB(204)には、アクセス制御対象の名称と、そのアクセス権限の組が保持されている。
読出し、書込みは、アクセス権限の一例である。アクセス権限の付与は、ユーザ単位、ユーザに付与したグループ単位、ユーザ単位とグループ単位の組合せを単位とする場合などがある。
図4では、ユーザ単位にアクセス権限が付与されており、名称がfile1である対象は、User1は読出し(r)と書込み(w)、User2は読出し(r)、User3は読出し(r)と書込み(w)のアクセス権限を持っていることを表している。
アクセス権DB(204)は、ユーザIDと対象の名称が与えられた時、そのユーザがどんなアクセス権限を持っているかを検索できれば、図4に示した以外の形態であってもかまわない。
アクセス権DB(204)には、アクセス制御対象の名称と、そのアクセス権限の組が保持されている。
読出し、書込みは、アクセス権限の一例である。アクセス権限の付与は、ユーザ単位、ユーザに付与したグループ単位、ユーザ単位とグループ単位の組合せを単位とする場合などがある。
図4では、ユーザ単位にアクセス権限が付与されており、名称がfile1である対象は、User1は読出し(r)と書込み(w)、User2は読出し(r)、User3は読出し(r)と書込み(w)のアクセス権限を持っていることを表している。
アクセス権DB(204)は、ユーザIDと対象の名称が与えられた時、そのユーザがどんなアクセス権限を持っているかを検索できれば、図4に示した以外の形態であってもかまわない。
本実施の形態では、あるプログラム権利者(プログラム権利者Xとする)において情報リソース(プログラム、パラメータ)が生成される場合に、生成された情報リソース、つまり、プログラム権利者Xが権利を有する情報リソースに対するユーザDB(203)、アクセス権DB(204)及び領域管理者認証情報(202)を、プログラム権利者Xにおいて情報リソースを管理する領域管理者(情報リソース管理者)が、プログラム権利者Xの開発・設定端末(1)の領域制御部(101)を用いて生成し、領域情報(201)とする。なお、領域管理者は、例えば、システム管理者等である。
プログラム権利者Xは、生成した情報リソースを他者に移転する際には、領域情報(201)も併せて移転する。
領域情報(201)のユーザDB(203)及びアクセス権DB(204)は、領域制御部(101)の制御により通常はロック状態になっており、領域管理者認証情報(202)に一致する情報が入力された場合のみ、ロック状態が解除されて、ユーザDB(203)及びアクセス権DB(204)が利用可能となる。
開発・設定端末(1)には、ユーザDB(203)を参照してユーザ認証を行うユーザ認証部(不図示)とアクセス権DB(204)を参照してユーザのアクセス権の確認・制限を行うアクセス権制御部(不図示)とが含まれており、ユーザDB(203)及びアクセス権DB(204)のロック状態が解除されてユーザDB(203)及びアクセス権DB(204)が利用可能となっていないと、ユーザ認証部によるユーザ認証、アクセス権DBによるアクセス権の確認ができず、このため、情報リソースにはアクセスすることができない。
領域管理者認証情報(202)は、情報リソースに対する権利を有するプログラム権利者Xの領域管理者が設定する情報である。
領域管理者認証情報(202)は、基本的に、当該領域管理者以外は知りえない情報である。このため、他のプログラム権利者Yは、当該領域管理者が設定した領域DB(105)のユーザDB(203)及びアクセス権DB(204)のロック状態を解除することができず、この結果、他のプログラム権利者Yは、プログラム権利者Xが権利を有する情報リソースにアクセスすることができない。
なお、本実施の形態では、プログラム権利者Xの領域管理者が、プログラム権利者Xに属するユーザ(開発者、保守担当者等)についてのユーザDB及びアクセス権DBを生成する例を説明する。
後述する実施の形態2では、プログラム権利者X以外のプログラム権利者に属するユーザにも共通するユーザDB及びアクセス権DB(共通ユーザDB及び共通アクセス権DB)を生成する例を説明する。
プログラム権利者Xは、生成した情報リソースを他者に移転する際には、領域情報(201)も併せて移転する。
領域情報(201)のユーザDB(203)及びアクセス権DB(204)は、領域制御部(101)の制御により通常はロック状態になっており、領域管理者認証情報(202)に一致する情報が入力された場合のみ、ロック状態が解除されて、ユーザDB(203)及びアクセス権DB(204)が利用可能となる。
開発・設定端末(1)には、ユーザDB(203)を参照してユーザ認証を行うユーザ認証部(不図示)とアクセス権DB(204)を参照してユーザのアクセス権の確認・制限を行うアクセス権制御部(不図示)とが含まれており、ユーザDB(203)及びアクセス権DB(204)のロック状態が解除されてユーザDB(203)及びアクセス権DB(204)が利用可能となっていないと、ユーザ認証部によるユーザ認証、アクセス権DBによるアクセス権の確認ができず、このため、情報リソースにはアクセスすることができない。
領域管理者認証情報(202)は、情報リソースに対する権利を有するプログラム権利者Xの領域管理者が設定する情報である。
領域管理者認証情報(202)は、基本的に、当該領域管理者以外は知りえない情報である。このため、他のプログラム権利者Yは、当該領域管理者が設定した領域DB(105)のユーザDB(203)及びアクセス権DB(204)のロック状態を解除することができず、この結果、他のプログラム権利者Yは、プログラム権利者Xが権利を有する情報リソースにアクセスすることができない。
なお、本実施の形態では、プログラム権利者Xの領域管理者が、プログラム権利者Xに属するユーザ(開発者、保守担当者等)についてのユーザDB及びアクセス権DBを生成する例を説明する。
後述する実施の形態2では、プログラム権利者X以外のプログラム権利者に属するユーザにも共通するユーザDB及びアクセス権DB(共通ユーザDB及び共通アクセス権DB)を生成する例を説明する。
図5は、新規に領域を作成する際の領域制御部(101)の動作を示している。
開発・設定端末(1)は、入出力部(104)で、領域管理者から、領域作成要求を受け付けると(S501)、既に領域DB(105)に領域情報が含まれているかを判定する(S502)。
含まれている場合(S502でYES)には、入出力部(104)で認証情報の受付を行い(S503)、領域制御部(101)が認証処理を行う(S504)。
認証情報の一例は、ユーザIDとパスワードといった情報であるが、ユーザ(領域管理者)を一意に特定できれば他の情報でもかまわない。
以降の図で現れる認証情報受付における認証情報も、同様である。
認証処理では、入出力部で入力された認証情報が、領域DB(105)に含まれるいずれかの領域情報の領域管理者認証情報と一致するかどうかの確認を行う。
認証処理(S504)により、認証が承認されたかどうかの判定を行い(S505)、否認された場合は終了する。
承認された場合には、領域DBに、新たな領域用の領域情報を作成する(S506)。
S502で、領域情報が含まれていない場合には、直ちにS506へ動作が移る。
開発・設定端末(1)は、入出力部(104)で、領域管理者から、領域作成要求を受け付けると(S501)、既に領域DB(105)に領域情報が含まれているかを判定する(S502)。
含まれている場合(S502でYES)には、入出力部(104)で認証情報の受付を行い(S503)、領域制御部(101)が認証処理を行う(S504)。
認証情報の一例は、ユーザIDとパスワードといった情報であるが、ユーザ(領域管理者)を一意に特定できれば他の情報でもかまわない。
以降の図で現れる認証情報受付における認証情報も、同様である。
認証処理では、入出力部で入力された認証情報が、領域DB(105)に含まれるいずれかの領域情報の領域管理者認証情報と一致するかどうかの確認を行う。
認証処理(S504)により、認証が承認されたかどうかの判定を行い(S505)、否認された場合は終了する。
承認された場合には、領域DBに、新たな領域用の領域情報を作成する(S506)。
S502で、領域情報が含まれていない場合には、直ちにS506へ動作が移る。
続いて、領域制御部(101)は、S506で作成した領域用のユーザDBとアクセス権DBの作成を行う(S507)。
ここでは、図2と図3でそれぞれ示したユーザDB(203)とアクセス権DB(204)の中身を一時に作成するというよりは、中身を保持するためのDBの準備が主である。
ユーザDBやアクセス権DBの中身であるユーザデータやアクセス権データは、領域のシステム管理者によって行われるユーザ追加やアクセス権の設定によって生成される。但し、この段階で、ユーザDB(203)にユーザデータを登録し、アクセス権DB(204)にアクセス権データを登録してもよい。
S507に続いて、入出力部(104)で新たに確保した領域用の認証情報を受け付け、領域情報内の領域管理者認証情報として記録する(S508)。
受け付けた領域管理者認証情報あるいは、領域管理者認証情報を元に生成した鍵情報を用いて、作成した領域情報の暗号化を行い(S509)、ロック状態への切り替えを行う(S510)。
ロック状態は、領域管理者の認証情報の受付けや、領域作成要求の受付け等を行うための状態であり、開発・設定端末(1)内のリソースを利用できない状態である。
ここでは、図2と図3でそれぞれ示したユーザDB(203)とアクセス権DB(204)の中身を一時に作成するというよりは、中身を保持するためのDBの準備が主である。
ユーザDBやアクセス権DBの中身であるユーザデータやアクセス権データは、領域のシステム管理者によって行われるユーザ追加やアクセス権の設定によって生成される。但し、この段階で、ユーザDB(203)にユーザデータを登録し、アクセス権DB(204)にアクセス権データを登録してもよい。
S507に続いて、入出力部(104)で新たに確保した領域用の認証情報を受け付け、領域情報内の領域管理者認証情報として記録する(S508)。
受け付けた領域管理者認証情報あるいは、領域管理者認証情報を元に生成した鍵情報を用いて、作成した領域情報の暗号化を行い(S509)、ロック状態への切り替えを行う(S510)。
ロック状態は、領域管理者の認証情報の受付けや、領域作成要求の受付け等を行うための状態であり、開発・設定端末(1)内のリソースを利用できない状態である。
ここで、領域情報が既にある場合は、認証情報を入力、認証後、領域を作成できる(S502→S503→S504→S505→S506)が、この手順について具体的に説明する。
以下では、装置メーカーが新規に領域を作成し、エンドユーザが、装置メーカーが作成した領域にエンドユーザ用の領域を追加する場合について説明する。
先ず、領域が存在しない状態で、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、新規に領域を作成する(S502→S506)。
次に、領域作成後(S506〜S507)、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、装置メーカー用の領域管理者認証情報を登録する(S508〜S509)。
そして、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、領域情報をロック状態へ切り替える(S510)。
次に、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、エンドユーザ用の領域作成のため、装置メーカーの認証情報で認証を行う(S501〜S505)。
また、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、エンドユーザ用の仮の領域管理者認証情報を登録する(S508〜S509)。
そして、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、領域情報をロック状態へ切り替える(S510)。
この状態で、装置メーカーはエンドユーザへ情報リソース及び領域情報を渡す。
エンドユーザは、装置メーカーから伝えられた仮の領域管理者認証情報を基に、エンドユーザの開発・設定端末(1)にて、領域を使用し、エンドユーザのユーザ(開発者、保守担当者等)についてのユーザDB(203)及びアクセス権DB(204)を生成する(S501〜S507)。
また、エンドユーザは、エンドユーザの開発・設定端末(1)にて、仮の領域管理者認証情報を、エンドユーザの領域管理者認証情報へ変更する(S508〜S509)。
このように、受け渡し時には仮の領域管理者認証情報を設定して、ロック状態へしておくことによって、部外者が勝手に領域を追加することを防止することができる。
以下では、装置メーカーが新規に領域を作成し、エンドユーザが、装置メーカーが作成した領域にエンドユーザ用の領域を追加する場合について説明する。
先ず、領域が存在しない状態で、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、新規に領域を作成する(S502→S506)。
次に、領域作成後(S506〜S507)、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、装置メーカー用の領域管理者認証情報を登録する(S508〜S509)。
そして、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、領域情報をロック状態へ切り替える(S510)。
次に、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、エンドユーザ用の領域作成のため、装置メーカーの認証情報で認証を行う(S501〜S505)。
また、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、エンドユーザ用の仮の領域管理者認証情報を登録する(S508〜S509)。
そして、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、領域情報をロック状態へ切り替える(S510)。
この状態で、装置メーカーはエンドユーザへ情報リソース及び領域情報を渡す。
エンドユーザは、装置メーカーから伝えられた仮の領域管理者認証情報を基に、エンドユーザの開発・設定端末(1)にて、領域を使用し、エンドユーザのユーザ(開発者、保守担当者等)についてのユーザDB(203)及びアクセス権DB(204)を生成する(S501〜S507)。
また、エンドユーザは、エンドユーザの開発・設定端末(1)にて、仮の領域管理者認証情報を、エンドユーザの領域管理者認証情報へ変更する(S508〜S509)。
このように、受け渡し時には仮の領域管理者認証情報を設定して、ロック状態へしておくことによって、部外者が勝手に領域を追加することを防止することができる。
本実施の形態では、このように、開発・設定端末(1)の領域制御部(101)は、他の開発・設定端末(1)を利用する領域管理者(上記の例では、エンドユーザの領域管理者)に特定の情報リソースに対するユーザDB(ユーザ認証情報)及びアクセス権DB(アクセス権限情報)の生成が許可されていることを他の開発・設定端末(1)(上記の例では、エンドユーザの開発・設定端末)において認証するための認証情報(仮の領域管理者認証情報)を生成する。
また、逆に、開発・設定端末(1)の記憶部(102)は、他の開発・設定端末(1)(上記の例では、装置メーカーの開発・設定端末)により生成された認証情報であって、他の開発・設定端末(1)を利用する領域管理者(上記の例では、装置メーカーの領域管理者)に管理権限がある他管理権限情報リソースに対するユーザDB(ユーザ認証情報)及びアクセス権DB(アクセス権限情報)の生成が当該開発・設定端末(1)を利用する領域管理者(上記の例では、エンドユーザの領域管理者)に許可されていることを認証するための認証情報(仮の領域管理者認証情報)を記憶している。この仮の領域管理者認証情報は、生成許可認証情報の例となる。
そして、領域制御部(101)は、仮の領域管理者認証情報に合致する情報が入力された場合に、特定の情報リソースに対するユーザDB及びアクセス権DBを生成するとともに、生成したユーザDB(ユーザ認証情報)及びアクセス権DB(アクセス権限情報)を利用可能にするための領域管理者認証情報(禁止解除認証情報)を生成する。
そして、領域制御部(101)は、仮の領域管理者認証情報に合致する情報が入力された場合に、特定の情報リソースに対するユーザDB及びアクセス権DBを生成するとともに、生成したユーザDB(ユーザ認証情報)及びアクセス権DB(アクセス権限情報)を利用可能にするための領域管理者認証情報(禁止解除認証情報)を生成する。
図6は、ロック状態から特定の領域へ遷移する際の領域制御部(101)の動作を示している。
ここでの領域とは、ある領域情報に含まれるユーザDBとアクセス権DBに基づいて、ユーザ認証およびリソースのアクセス制御を行う状態のことをいう。
例えば、産業用システムの権利者の一人である装置メーカーが定めたユーザ体系やアクセス権に基づいて、リソースへのアクセス制御が行われている状態を指す。
開発・設定端末(1)は、入出力部(104)で、領域管理者から認証情報を受け付け(S601)、領域制御部(101)が認証処理を行う(S602)。
S601はS503と、S602はS504とそれぞれ同様である。
認証処理(S602)では、入出力部(104)で入力された認証情報が、領域DB(105)に含まれるいずれかの領域情報の領域管理者認証情報と一致するかどうかの確認を行う。
認証処理(S602)により、認証が承認されたかどうかの判定を行い(S603)、否認された場合(S603でNO)は終了する。
承認された場合(S603でYES)には、領域制御部(101)は、認証情報あるいは認証情報を元に生成した鍵情報を用いて、承認された領域情報を復号化する(S604)。
領域制御部(101)は、復号された領域情報に含まれるユーザDB(203)とアクセス権DB(204)を取り出して、メモリ(103)あるいは記憶部(102)に展開し、ユーザ認証やアクセス権制御に利用できる状態にする(S605)。
ここでの領域とは、ある領域情報に含まれるユーザDBとアクセス権DBに基づいて、ユーザ認証およびリソースのアクセス制御を行う状態のことをいう。
例えば、産業用システムの権利者の一人である装置メーカーが定めたユーザ体系やアクセス権に基づいて、リソースへのアクセス制御が行われている状態を指す。
開発・設定端末(1)は、入出力部(104)で、領域管理者から認証情報を受け付け(S601)、領域制御部(101)が認証処理を行う(S602)。
S601はS503と、S602はS504とそれぞれ同様である。
認証処理(S602)では、入出力部(104)で入力された認証情報が、領域DB(105)に含まれるいずれかの領域情報の領域管理者認証情報と一致するかどうかの確認を行う。
認証処理(S602)により、認証が承認されたかどうかの判定を行い(S603)、否認された場合(S603でNO)は終了する。
承認された場合(S603でYES)には、領域制御部(101)は、認証情報あるいは認証情報を元に生成した鍵情報を用いて、承認された領域情報を復号化する(S604)。
領域制御部(101)は、復号された領域情報に含まれるユーザDB(203)とアクセス権DB(204)を取り出して、メモリ(103)あるいは記憶部(102)に展開し、ユーザ認証やアクセス権制御に利用できる状態にする(S605)。
図7は、特定の領域からロック状態へ遷移する際の領域制御部(101)の動作を示している。
開発・設定端末(1)は、入出力部(104)で、領域管理者から領域閉鎖要求を受け付ける(S701)。
領域制御部(101)は、メモリ(103)あるいは記憶部(102)に展開し、ユーザ認証やアクセス権制御に利用できる状態にあるユーザDBとアクセス権DBを領域情報へ保存する(S702)。
また、領域制御部(101)は、領域情報の領域管理者認証情報(202)あるいは、領域管理者認証情報を元に生成した鍵情報を用いて、作成した領域情報の暗号化を行い(S703)、ロック状態への切り替えを行う(S704)。
図には示していないが、領域閉鎖要求受付けの前あるいは後に、確認及び領域管理者のみが領域閉鎖を行えるようにするために、領域管理者認証情報の受付けと認証処理を行っても良い。
開発・設定端末(1)は、入出力部(104)で、領域管理者から領域閉鎖要求を受け付ける(S701)。
領域制御部(101)は、メモリ(103)あるいは記憶部(102)に展開し、ユーザ認証やアクセス権制御に利用できる状態にあるユーザDBとアクセス権DBを領域情報へ保存する(S702)。
また、領域制御部(101)は、領域情報の領域管理者認証情報(202)あるいは、領域管理者認証情報を元に生成した鍵情報を用いて、作成した領域情報の暗号化を行い(S703)、ロック状態への切り替えを行う(S704)。
図には示していないが、領域閉鎖要求受付けの前あるいは後に、確認及び領域管理者のみが領域閉鎖を行えるようにするために、領域管理者認証情報の受付けと認証処理を行っても良い。
図8は、特定の領域情報を削除する際の領域制御部(101)の動作を示している。
開発・設定端末(1)は、入出力部(104)で、領域管理者から領域削除要求を受け付けると(S801)、続いて認証情報を受付け(S802)、その後、認証処理を行う(S803)。
S802とS803は、それぞれS503とS504と同様である。
認証処理によって否認と判定されると(S804)、そのまま終了する。
承認と判定されると、承認された領域の領域情報を領域DB(105)から削除する(S805)。最後に、ロック状態へ切り替えを行う(S806)。
開発・設定端末(1)は、入出力部(104)で、領域管理者から領域削除要求を受け付けると(S801)、続いて認証情報を受付け(S802)、その後、認証処理を行う(S803)。
S802とS803は、それぞれS503とS504と同様である。
認証処理によって否認と判定されると(S804)、そのまま終了する。
承認と判定されると、承認された領域の領域情報を領域DB(105)から削除する(S805)。最後に、ロック状態へ切り替えを行う(S806)。
以上、本実施の形態では、次の特徴を備えたユーザ認証・アクセス権限管理方式について説明した。
(1)複数の管理者を設け、各管理者は、それぞれ管理対象となるリソース(ファイルなど)を持っている。
(2)各管理者は、それぞれが独自にユーザ認証管理と、所有するリソースへのアクセス権管理を行う。これらの情報は、リソースの利用停止状態時には、管理者の認証情報を用いて暗号化される。
(1)複数の管理者を設け、各管理者は、それぞれ管理対象となるリソース(ファイルなど)を持っている。
(2)各管理者は、それぞれが独自にユーザ認証管理と、所有するリソースへのアクセス権管理を行う。これらの情報は、リソースの利用停止状態時には、管理者の認証情報を用いて暗号化される。
実施の形態2.
本実施の形態に係る開発・設定端末(1)の構成は、図1に示したものと同様であり、開発・設定端末(1)は、領域制御部(101)、記憶部(102)、メモリ(103)、入出力部(104)から構成される。記憶部(102)には、領域DB(105)が含まれる。
本実施の形態に係る開発・設定端末(1)の構成は、図1に示したものと同様であり、開発・設定端末(1)は、領域制御部(101)、記憶部(102)、メモリ(103)、入出力部(104)から構成される。記憶部(102)には、領域DB(105)が含まれる。
図9は、実施の形態2における領域DB(105)の一例を示している。
領域DB(105)には、複数の領域情報(201a、201b)と共通領域情報(301)が含まれる。
図中では、領域Aと領域B用の二つの領域情報が含まれる場合を示している。図中には示していないが、領域情報(201a、201b)は、図2の場合と同様に、領域管理者認証情報(202)、ユーザDB(203)、アクセス権DB(204)が含まれる。
共通領域情報(301)には、領域管理者認証情報(302)、共通ユーザDB(303)、共通アクセス権DB(304)が含まれる。
ユーザDB(203)とアクセス権DB(204)は、それぞれ実施の形態1の場合の図2と図3と同様である。
領域DB(105)には、複数の領域情報(201a、201b)と共通領域情報(301)が含まれる。
図中では、領域Aと領域B用の二つの領域情報が含まれる場合を示している。図中には示していないが、領域情報(201a、201b)は、図2の場合と同様に、領域管理者認証情報(202)、ユーザDB(203)、アクセス権DB(204)が含まれる。
共通領域情報(301)には、領域管理者認証情報(302)、共通ユーザDB(303)、共通アクセス権DB(304)が含まれる。
ユーザDB(203)とアクセス権DB(204)は、それぞれ実施の形態1の場合の図2と図3と同様である。
図10は、共通ユーザDB(303)の一例を示している。
共通ユーザDB(303)には、ユーザIDとパスワードハッシュ、そのユーザIDの所有者の組が保持されている。
共通ユーザDB(303)のうちユーザIDとパスワードハッシュは、一般的なユーザID−パスワードの管理テーブルであり、パスワードハッシュは、パスワードでも、パスワードハッシュにソルトと呼ばれる乱数であっても良い。
ユーザをグループ分けして、グループIDを付与しても良い。
ユーザIDおよびパスワードハッシュと、その所有者との関係を示す方法は、図10に示したようにテーブル中の各エントリーに所有者を記す方法や、ユーザID−パスワード管理テーブルの各エントリーの所有者を記した所有者テーブルを別に設けるといった方法がある。
ユーザID、パスワードハッシュ、所有者が関連付けられていれば、他の方法でも良い。
ここでいう所有者は、領域を意味する。
ユーザIDの付与方法にはいくつかの方法があり、一つの例は、開発・設定端末1内で一意となるように付与する方法である。
二つの目の例は、共通領域を一意に識別できる領域IDを設け、共通領域内で一意となるように付与したユーザIDと組み合わせる方法である。
ユーザIDは、開発・設定端末(1)内で一意である必要がある。
共通ユーザDB(303)は、パスワードハッシュを含めてユーザ認証に用いるほか、図10のUsers3のように、パスワードハッシュを含めないことも可能とする。含めない場合には、領域情報(201a、201b)のユーザDB(203)に登録されているユーザと関連付けを行い、ユーザDB(203)の情報を用いて認証を行う。
共通ユーザDB(303)には、ユーザIDとパスワードハッシュ、そのユーザIDの所有者の組が保持されている。
共通ユーザDB(303)のうちユーザIDとパスワードハッシュは、一般的なユーザID−パスワードの管理テーブルであり、パスワードハッシュは、パスワードでも、パスワードハッシュにソルトと呼ばれる乱数であっても良い。
ユーザをグループ分けして、グループIDを付与しても良い。
ユーザIDおよびパスワードハッシュと、その所有者との関係を示す方法は、図10に示したようにテーブル中の各エントリーに所有者を記す方法や、ユーザID−パスワード管理テーブルの各エントリーの所有者を記した所有者テーブルを別に設けるといった方法がある。
ユーザID、パスワードハッシュ、所有者が関連付けられていれば、他の方法でも良い。
ここでいう所有者は、領域を意味する。
ユーザIDの付与方法にはいくつかの方法があり、一つの例は、開発・設定端末1内で一意となるように付与する方法である。
二つの目の例は、共通領域を一意に識別できる領域IDを設け、共通領域内で一意となるように付与したユーザIDと組み合わせる方法である。
ユーザIDは、開発・設定端末(1)内で一意である必要がある。
共通ユーザDB(303)は、パスワードハッシュを含めてユーザ認証に用いるほか、図10のUsers3のように、パスワードハッシュを含めないことも可能とする。含めない場合には、領域情報(201a、201b)のユーザDB(203)に登録されているユーザと関連付けを行い、ユーザDB(203)の情報を用いて認証を行う。
図11は、共通アクセス権DB(304)の一例を示している。
共通アクセス権DB(304)には、アクセス制御対象の名称とアクセス権限、対象の所有者の組が保持されている。
アクセス制御対象の名称およびアクセス権限と、その所有者との関係を示す方法は、図11に示したようにテーブル中の各エントリーに所有者を記す方法や、アクセス制御対象の名称およびアクセス権限の関係を示すテーブルに加え、各所有者が保持するアクセス制御対象を示したテーブルを別に設けるといった方法もある。
アクセス制御対象の名称およびアクセス権限と、その所有者が関連付けられていれば、他の方法でも良い。
読出し、書込みは、アクセス権限の一例である。アクセス権限の付与は、ユーザ単位、ユーザに付与したグループ単位、ユーザ単位とグループ単位の組合せを単位とする場合、領域単位などがある。
図11では、名称がfile1である対象は、User2は読出し(r)と書込み(w)、Users3は読出し(r)のアクセス権限を持っていることを表している。
共通アクセス権DB(304)は、ユーザIDと対象の名称が与えられた時、そのユーザがどんなアクセス権限を持っているかを検索できれば、図11に示した以外の形態であってもかまわない。
また、領域を示すには、開発・設定端末(1)内で一意である領域IDを各領域に付与し、それに基づくといった方法をとる。
共通アクセス権DB(304)には、アクセス制御対象の名称とアクセス権限、対象の所有者の組が保持されている。
アクセス制御対象の名称およびアクセス権限と、その所有者との関係を示す方法は、図11に示したようにテーブル中の各エントリーに所有者を記す方法や、アクセス制御対象の名称およびアクセス権限の関係を示すテーブルに加え、各所有者が保持するアクセス制御対象を示したテーブルを別に設けるといった方法もある。
アクセス制御対象の名称およびアクセス権限と、その所有者が関連付けられていれば、他の方法でも良い。
読出し、書込みは、アクセス権限の一例である。アクセス権限の付与は、ユーザ単位、ユーザに付与したグループ単位、ユーザ単位とグループ単位の組合せを単位とする場合、領域単位などがある。
図11では、名称がfile1である対象は、User2は読出し(r)と書込み(w)、Users3は読出し(r)のアクセス権限を持っていることを表している。
共通アクセス権DB(304)は、ユーザIDと対象の名称が与えられた時、そのユーザがどんなアクセス権限を持っているかを検索できれば、図11に示した以外の形態であってもかまわない。
また、領域を示すには、開発・設定端末(1)内で一意である領域IDを各領域に付与し、それに基づくといった方法をとる。
実施の形態1では、ある領域ユーザは、別の領域のリソース(例えばパラメータ)にアクセスすることはできない。
実施の形態2では、別の領域からアクセスできるような設定をあらかじめリソースに対して行っておくことで、ある領域のユーザが、別の領域のリソースに対してもアクセスできる仕組みを導入している。
例えば、RegionAの領域管理者は、RegionAのリソースであるfile1を、他の領域からアクセスできるようにすることができる。この時、RegionAの領域管理者は、他の領域のどのユーザに対し、どんなアクセス権限を与えるのかを指定することができる。
図11では、RegionAの領域管理者が、RegionAのリソースであるfile1に対して、RegionBのUser2に対して読出し(r)と書込み(w)、RegionBのUsers3には読出し(r)が与えられていることを示している。
図10のUser1とUser2は、他の領域とは独立して設定されたユーザになる。
Users3は、各領域のユーザDBで登録されたユーザと関連付けて用いる。
RegionBのUserBがUsers3と関連付けられているとすると(Users3とRegionBの関連付けは、ここでは記載していない。また、関連付けの方法は問わない)、図11の場合、UserBはRegionAのfile1及びfile2に対して読出し(r)権限が与えられていることになる。
実施の形態2では、別の領域からアクセスできるような設定をあらかじめリソースに対して行っておくことで、ある領域のユーザが、別の領域のリソースに対してもアクセスできる仕組みを導入している。
例えば、RegionAの領域管理者は、RegionAのリソースであるfile1を、他の領域からアクセスできるようにすることができる。この時、RegionAの領域管理者は、他の領域のどのユーザに対し、どんなアクセス権限を与えるのかを指定することができる。
図11では、RegionAの領域管理者が、RegionAのリソースであるfile1に対して、RegionBのUser2に対して読出し(r)と書込み(w)、RegionBのUsers3には読出し(r)が与えられていることを示している。
図10のUser1とUser2は、他の領域とは独立して設定されたユーザになる。
Users3は、各領域のユーザDBで登録されたユーザと関連付けて用いる。
RegionBのUserBがUsers3と関連付けられているとすると(Users3とRegionBの関連付けは、ここでは記載していない。また、関連付けの方法は問わない)、図11の場合、UserBはRegionAのfile1及びfile2に対して読出し(r)権限が与えられていることになる。
このように、本実施の形態では、領域制御部(101)は、開発・設定端末(1)を利用する領域管理者(情報リソース管理者)に管理権限がある情報リソースであって当該領域管理者の管理下にないユーザもアクセス可能な共通情報リソースに対するユーザ認証情報及びアクセス権限情報を共通ユーザDB(303)(共通ユーザ認証情報)及び共通アクセス権DB(304)(共通アクセス権限情報)として生成するとともに、生成した共通ユーザDB(303)及び共通アクセス権DB(304)の利用禁止状態を解除して利用可能にするための領域管理者認証情報(302)(禁止解除認証情報)を生成し、記憶部(102)は、領域制御部(101)により生成された共通ユーザDB(303)と、共通アクセス権DB(304)と、領域管理者認証情報(302)とを対応付けて記憶する。
また、逆に、開発・設定端末(1)の記憶部(102)は、特定のプログラム権利者の領域管理者(情報リソース管理者)に管理権限がある情報リソースであって特定のプログラム権利者の領域管理者の管理下にないユーザもアクセス可能な共通情報リソースに対して生成されたユーザ認証情報及びアクセス権限情報を共通ユーザDB(303)(共通ユーザ認証情報)及び共通アクセス権DB(304)(共通アクセス権限情報)として記憶するとともに、共通ユーザDB(303)及び共通アクセス権DB(304)の利用禁止状態を解除して利用可能にするための領域管理者認証情報(302)(禁止解除認証情報)を、共通ユーザDB(303)及び共通アクセス権DB(304)に対応付けて記憶する。
また、領域制御部(101)(認証制御部)は、共通ユーザDB(303)及び共通アクセス権DB(304)の利用禁止状態を保持するとともに、領域管理者認証情報(302)に合致する情報が入力された場合に、共通ユーザDB(303)及び共通アクセス権DB(304)の利用禁止状態を解除して共通ユーザDB(303)及び共通アクセス権DB(304)を利用可能にする。
また、領域制御部(101)(認証制御部)は、共通ユーザDB(303)及び共通アクセス権DB(304)の利用禁止状態を保持するとともに、領域管理者認証情報(302)に合致する情報が入力された場合に、共通ユーザDB(303)及び共通アクセス権DB(304)の利用禁止状態を解除して共通ユーザDB(303)及び共通アクセス権DB(304)を利用可能にする。
図12は、新規に領域を作成する際の領域制御部(101)の動作を示している。
開発・設定端末(1)は、入出力部(104)で、領域管理者から、領域作成要求を受け付けると(S1201)、既に領域DB(105)に領域情報が含まれているかを判定する(S1202)。
含まれている場合には、入出力部(104)で認証情報の受付を行い(S1203)、領域制御部(101)が認証処理を行う(S1204)。
認証情報の一例は、ユーザIDとパスワードといった情報であるが、ユーザを一意に特定できれば他の情報でもかまわない。
認証処理では、入出力部で入力された認証情報が、領域DB(105)に含まれるいずれかの領域情報の領域管理者認証情報と一致するかどうかの確認を行う。
認証処理(S1204)により、認証が承認されたかどうかの判定を行い(S1205)、否認された場合は終了する。
承認された場合には、領域DBに、新たな領域用の領域情報を作成する(S1206)。
S1202で、領域情報が含まれていない場合には、直ちにS1206へ動作が移る。
開発・設定端末(1)は、入出力部(104)で、領域管理者から、領域作成要求を受け付けると(S1201)、既に領域DB(105)に領域情報が含まれているかを判定する(S1202)。
含まれている場合には、入出力部(104)で認証情報の受付を行い(S1203)、領域制御部(101)が認証処理を行う(S1204)。
認証情報の一例は、ユーザIDとパスワードといった情報であるが、ユーザを一意に特定できれば他の情報でもかまわない。
認証処理では、入出力部で入力された認証情報が、領域DB(105)に含まれるいずれかの領域情報の領域管理者認証情報と一致するかどうかの確認を行う。
認証処理(S1204)により、認証が承認されたかどうかの判定を行い(S1205)、否認された場合は終了する。
承認された場合には、領域DBに、新たな領域用の領域情報を作成する(S1206)。
S1202で、領域情報が含まれていない場合には、直ちにS1206へ動作が移る。
続いて、領域制御部(101)は、S1206で作成した領域用のユーザDBとアクセス権DBの作成を行う(S1207)。
ここでは、図2と図3でそれぞれ示したユーザDB(203)とアクセス権DB(204)の中身を一時に作成するというよりは、中身を保持するためのDBの準備が主である。
ユーザDBやアクセス権DBの中身であるユーザデータやアクセス権データは、領域のシステム管理者によって行われるユーザ追加やアクセス権の設定によって生成される。但し、この段階で、ユーザDB(203)にユーザデータを登録し、アクセス権DB(204)にアクセス権データを登録してもよい。
S1207に続いて、入出力部(104)で、新たに確保した領域用の認証情報を受け付け、領域情報内の領域管理者認証情報として記録する(S1208)。
受け付けた領域管理者認証情報あるいは、領域管理者認証情報を基に生成した鍵情報を用いて、作成した領域情報の暗号化を行う(S1209)。
ここでは、図2と図3でそれぞれ示したユーザDB(203)とアクセス権DB(204)の中身を一時に作成するというよりは、中身を保持するためのDBの準備が主である。
ユーザDBやアクセス権DBの中身であるユーザデータやアクセス権データは、領域のシステム管理者によって行われるユーザ追加やアクセス権の設定によって生成される。但し、この段階で、ユーザDB(203)にユーザデータを登録し、アクセス権DB(204)にアクセス権データを登録してもよい。
S1207に続いて、入出力部(104)で、新たに確保した領域用の認証情報を受け付け、領域情報内の領域管理者認証情報として記録する(S1208)。
受け付けた領域管理者認証情報あるいは、領域管理者認証情報を基に生成した鍵情報を用いて、作成した領域情報の暗号化を行う(S1209)。
次に、領域制御部(101)は、既に共通領域情報(301)が存在しているかどうかを判定し(S1210)、存在していない場合には、共通領域情報を作成し(S1211)、共通領域用の共通ユーザDB(303)と共通アクセス権DB(304)を作成する(S1212)。
ここでは、図10と図11でそれぞれ示した共通ユーザDB(303)と共通アクセス権DB(304)の中身を一時に作成するというよりは、中身を保持するためのDBの準備が主である。
共通ユーザDB(303)や共通アクセス権DB(304)の中身であるユーザデータやアクセス権データは、リソースの所有者となる領域管理者によって行われるユーザ追加やアクセス権の設定によって生成される。但し、この段階で、共通ユーザDB(303)にユーザデータを登録し、共通アクセス権DB(304)にアクセス権データを登録してもよい。
次に、領域制御部(101)は、S1208で受け付けた領域用の認証情報を、共通領域情報の領域管理者認証情報へ登録する(S1213)。
S1210で、共通領域情報が存在する場合には、領域制御部(101)は、共通領域情報の復号化を行った後(S1216)、S1213の処理を行う。
共通領域情報の領域管理者認証情報には、複数の領域の領域管理者認証情報が含まれる場合がある。
続いて、領域制御部(101)は、共通領域情報の暗号化を行う(S1214)。
暗号化した共通領域情報は、複数の領域管理者が、個別に復号できる必要がある。
そのための方法の一つは、暗号化時に任意の鍵を生成し、生成した鍵で共通領域情報を暗号化し、共通領域情報の暗号化に用いた鍵を、各領域管理者認証情報あるいは各領域管理者認証情報を基に生成した鍵情報を用いて、暗号化して、暗号化した共通領域情報と共に保存するといった方法がある。
S1214に続いて、領域制御部(101)は、ロック状態への切り替えを行う(S1215)。
ロック状態は、領域管理者の認証情報の受付けや、領域作成要求の受付け等を行うための状態であり、開発・設定端末(1)内のリソースを利用できない状態である。
ここでは、図10と図11でそれぞれ示した共通ユーザDB(303)と共通アクセス権DB(304)の中身を一時に作成するというよりは、中身を保持するためのDBの準備が主である。
共通ユーザDB(303)や共通アクセス権DB(304)の中身であるユーザデータやアクセス権データは、リソースの所有者となる領域管理者によって行われるユーザ追加やアクセス権の設定によって生成される。但し、この段階で、共通ユーザDB(303)にユーザデータを登録し、共通アクセス権DB(304)にアクセス権データを登録してもよい。
次に、領域制御部(101)は、S1208で受け付けた領域用の認証情報を、共通領域情報の領域管理者認証情報へ登録する(S1213)。
S1210で、共通領域情報が存在する場合には、領域制御部(101)は、共通領域情報の復号化を行った後(S1216)、S1213の処理を行う。
共通領域情報の領域管理者認証情報には、複数の領域の領域管理者認証情報が含まれる場合がある。
続いて、領域制御部(101)は、共通領域情報の暗号化を行う(S1214)。
暗号化した共通領域情報は、複数の領域管理者が、個別に復号できる必要がある。
そのための方法の一つは、暗号化時に任意の鍵を生成し、生成した鍵で共通領域情報を暗号化し、共通領域情報の暗号化に用いた鍵を、各領域管理者認証情報あるいは各領域管理者認証情報を基に生成した鍵情報を用いて、暗号化して、暗号化した共通領域情報と共に保存するといった方法がある。
S1214に続いて、領域制御部(101)は、ロック状態への切り替えを行う(S1215)。
ロック状態は、領域管理者の認証情報の受付けや、領域作成要求の受付け等を行うための状態であり、開発・設定端末(1)内のリソースを利用できない状態である。
ここで、領域情報が既にある場合は、認証情報を入力、認証後、領域を作成できる(S1202→S1203→S1204→S1205→S1206)が、この手順について具体的に説明する。
以下では、装置メーカーが新規に領域を作成し、エンドユーザが、装置メーカーが作成した領域にエンドユーザ用の領域を追加する場合について説明する。
先ず、領域が存在しない状態で、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、装置メーカーが新規に領域を作成する(S1202→S1206)。
領域作成後(S1206〜S1207)、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、装置メーカー用の領域管理者認証情報を登録する(S1208〜S1209)。
共通領域作成後(S1210〜S1212)、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、S1208で受付けた認証情報を、共通領域情報管理用の領域管理者認証情報として登録する(S1213)。
次に、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、S1213の認証情報で、共通領域情報を暗号化する(S1214)。
そして、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、共通領域情報をロック状態へ切り替える(S1215)。
また、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、エンドユーザ用の領域作成のため、装置メーカーの領域管理者認証情報で認証を行う(S1201〜S1205)。
そして、領域作成後(S1206〜S1207)、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、エンドユーザ用の仮の領域管理者認証情報を登録する(S1208〜S1209)。
また、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、S1204の装置メーカーの認証情報で、共通領域情報を復号化後(S1216)、S1208で受付けたエンドユーザ用の仮の領域管理者認証情報を、共通領域情報管理用の認証情報として登録する(S1213)。
そして、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、共通領域情報を暗号化する(S1214)。
最後に、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、共通領域情報をロック状態へ切り替える(S1215)。
この状態で、装置メーカーはエンドユーザへ情報リソース及び共通領域情報を渡す。
エンドユーザは、装置メーカーから伝えられた仮の領域管理者認証情報を基に、エンドユーザの開発・設定端末(1)にて、領域を使用し、エンドユーザのユーザ(開発者、保守担当者等)についての共通ユーザDB(303)及び共通アクセス権DB(304)を生成する(S1201〜S1207)。具体的には、装置メーカーにより生成されている共通ユーザDB(303)及び共通アクセス権DB(304)にエンドユーザのユーザデータ、アクセス権データを追加する。
また、エンドユーザは、エンドユーザの開発・設定端末(1)にて、仮の領域管理者認証情報を、エンドユーザの領域管理者認証情報へ変更する(S1208〜S1209)。
これにより、エンドユーザは、共通領域情報の共通ユーザDBにエンドユーザのユーザ(開発者、保守担当者等)を設定することができ、また、共通領域情報のアクセス権DBにエンドユーザのユーザについてのアクセス権を設定することができる。
以下では、装置メーカーが新規に領域を作成し、エンドユーザが、装置メーカーが作成した領域にエンドユーザ用の領域を追加する場合について説明する。
先ず、領域が存在しない状態で、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、装置メーカーが新規に領域を作成する(S1202→S1206)。
領域作成後(S1206〜S1207)、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、装置メーカー用の領域管理者認証情報を登録する(S1208〜S1209)。
共通領域作成後(S1210〜S1212)、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、S1208で受付けた認証情報を、共通領域情報管理用の領域管理者認証情報として登録する(S1213)。
次に、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、S1213の認証情報で、共通領域情報を暗号化する(S1214)。
そして、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、共通領域情報をロック状態へ切り替える(S1215)。
また、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、エンドユーザ用の領域作成のため、装置メーカーの領域管理者認証情報で認証を行う(S1201〜S1205)。
そして、領域作成後(S1206〜S1207)、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、エンドユーザ用の仮の領域管理者認証情報を登録する(S1208〜S1209)。
また、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、S1204の装置メーカーの認証情報で、共通領域情報を復号化後(S1216)、S1208で受付けたエンドユーザ用の仮の領域管理者認証情報を、共通領域情報管理用の認証情報として登録する(S1213)。
そして、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、共通領域情報を暗号化する(S1214)。
最後に、装置メーカーが、装置メーカーにおける開発・設定端末(1)にて、共通領域情報をロック状態へ切り替える(S1215)。
この状態で、装置メーカーはエンドユーザへ情報リソース及び共通領域情報を渡す。
エンドユーザは、装置メーカーから伝えられた仮の領域管理者認証情報を基に、エンドユーザの開発・設定端末(1)にて、領域を使用し、エンドユーザのユーザ(開発者、保守担当者等)についての共通ユーザDB(303)及び共通アクセス権DB(304)を生成する(S1201〜S1207)。具体的には、装置メーカーにより生成されている共通ユーザDB(303)及び共通アクセス権DB(304)にエンドユーザのユーザデータ、アクセス権データを追加する。
また、エンドユーザは、エンドユーザの開発・設定端末(1)にて、仮の領域管理者認証情報を、エンドユーザの領域管理者認証情報へ変更する(S1208〜S1209)。
これにより、エンドユーザは、共通領域情報の共通ユーザDBにエンドユーザのユーザ(開発者、保守担当者等)を設定することができ、また、共通領域情報のアクセス権DBにエンドユーザのユーザについてのアクセス権を設定することができる。
ここで、前述のように、暗号化した共通領域情報は、複数の領域管理者が、個別に復号できる必要がある。
そのための方法の一つは、暗号化時に任意の鍵を生成し、生成した鍵で共通領域情報を暗号化し、共通領域情報の暗号化に用いた鍵を、各領域管理者認証情報あるいは各領域管理者認証情報を基に生成した鍵情報を用いて、暗号化して、暗号化した共通領域情報と共に保存するといった方法がある。S1214では、このような方法を用いる。
例えば、共通領域情報暗号化用の乱数を生成し、それを鍵にして共通領域情報を暗号化する。続いて、その鍵を、装置メーカーの領域管理者認証情報で暗号化する。さらに共通領域情報の暗号化に用いた鍵を、エンドユーザの仮の領域管理者認証情報で暗号化する。共通領域情報が暗号化された状態の実現方法の一つは、(1)乱数を鍵として暗号化した共通領域情報、(2)装置メーカーの管理者認証情報で暗号化した(1)の鍵、(3)エンドユーザの管理者認証情報で暗号化した(1)の鍵、の3つで構成されることになる。
そのための方法の一つは、暗号化時に任意の鍵を生成し、生成した鍵で共通領域情報を暗号化し、共通領域情報の暗号化に用いた鍵を、各領域管理者認証情報あるいは各領域管理者認証情報を基に生成した鍵情報を用いて、暗号化して、暗号化した共通領域情報と共に保存するといった方法がある。S1214では、このような方法を用いる。
例えば、共通領域情報暗号化用の乱数を生成し、それを鍵にして共通領域情報を暗号化する。続いて、その鍵を、装置メーカーの領域管理者認証情報で暗号化する。さらに共通領域情報の暗号化に用いた鍵を、エンドユーザの仮の領域管理者認証情報で暗号化する。共通領域情報が暗号化された状態の実現方法の一つは、(1)乱数を鍵として暗号化した共通領域情報、(2)装置メーカーの管理者認証情報で暗号化した(1)の鍵、(3)エンドユーザの管理者認証情報で暗号化した(1)の鍵、の3つで構成されることになる。
図13は、ロック状態から特定の領域へ遷移する際の領域制御部(101)の動作を示している。
開発・設定端末(1)は、入出力部(104)で、領域管理者から認証情報を受け付け(S1301)、認証処理を行う(S1302)。
S1301はS1203と、S1302はS1204とそれぞれ同様である。
認証処理(S1302)では、入出力部で入力された認証情報が、領域DB(105)に含まれるいずれかの領域情報の領域管理者認証情報と一致するかどうかの確認を行う。
認証処理(S1302)により、認証が承認されたかどうかの判定を行い(S1303)、否認された場合は終了する。
承認された場合には、認証情報あるいは認証情報を元に生成した鍵情報を用いて、承認された領域情報を復号する(S1304)。
復号された領域情報に含まれるユーザDBとアクセス権DBを取り出して、メモリ(103)あるいは記憶部(102)に展開し、ユーザ認証やアクセス権制御に利用できる状態にする(S1305)。
続いて、領域制御部(101)は、共通領域が存在するかどうかを判定する(S1306)。
判定は、共通領域情報が存在するか否かで行い、存在しない場合には終了する。
存在する場合には、共通領域情報を復号する(S1307)。
S1214で説明した方法をとる場合、まず認証情報あるいは認証情報を元に生成した鍵情報を用いて、共通領域情報を暗号化した鍵を復号し、その後に、復号した鍵を用いて共通領域情報を復号する。
復号された共通領域情報に含まれるユーザDBとアクセス権DBを取り出して、メモリ(103)あるいは記憶部(102)に展開し、ユーザ認証やアクセス権制御に利用できる状態にする(S1308)。
開発・設定端末(1)は、入出力部(104)で、領域管理者から認証情報を受け付け(S1301)、認証処理を行う(S1302)。
S1301はS1203と、S1302はS1204とそれぞれ同様である。
認証処理(S1302)では、入出力部で入力された認証情報が、領域DB(105)に含まれるいずれかの領域情報の領域管理者認証情報と一致するかどうかの確認を行う。
認証処理(S1302)により、認証が承認されたかどうかの判定を行い(S1303)、否認された場合は終了する。
承認された場合には、認証情報あるいは認証情報を元に生成した鍵情報を用いて、承認された領域情報を復号する(S1304)。
復号された領域情報に含まれるユーザDBとアクセス権DBを取り出して、メモリ(103)あるいは記憶部(102)に展開し、ユーザ認証やアクセス権制御に利用できる状態にする(S1305)。
続いて、領域制御部(101)は、共通領域が存在するかどうかを判定する(S1306)。
判定は、共通領域情報が存在するか否かで行い、存在しない場合には終了する。
存在する場合には、共通領域情報を復号する(S1307)。
S1214で説明した方法をとる場合、まず認証情報あるいは認証情報を元に生成した鍵情報を用いて、共通領域情報を暗号化した鍵を復号し、その後に、復号した鍵を用いて共通領域情報を復号する。
復号された共通領域情報に含まれるユーザDBとアクセス権DBを取り出して、メモリ(103)あるいは記憶部(102)に展開し、ユーザ認証やアクセス権制御に利用できる状態にする(S1308)。
図14は、特定の領域からロック状態へ遷移する際の領域制御部(101)の動作を示している。
開発・設定端末(1)は、入出力部(104)で、領域管理者から領域閉鎖要求を受け付ける(S1401)。
メモリ(103)あるいは記憶部(102)に展開され、ユーザ認証やアクセス権制御に利用できる状態にあるユーザDBとアクセス権DBを領域情報へ保存する(S1402)。
領域情報の領域管理者認証情報(202)あるいは、領域管理者認証情報を元に生成した鍵情報を用いて、作成した領域情報の暗号化を行い(S1403)、共通領域が存在するかどうかを判定する(S1404)。
判定は、共通領域情報が存在するか否かで行い、存在しない場合には終了する。存在する場合には、メモリ(103)あるいは記憶部(102)に展開され、共通ユーザ認証やアクセス権制御に利用できる状態にある共通ユーザDBと共通アクセス権DBを共通領域情報へ保存し(S1405)、共通領域情報を暗号化する(S1406)。
共通領域情報の暗号化は、S1214と同様に行う。
最後にロック状態への切り替えを行う(S1407)。
図には示していないが、領域閉鎖要求受付けの前あるいは後に、確認及び領域管理者のみが領域閉鎖を行えるようにするために、領域管理者認証情報の受付けと認証処理を行っても良い。
開発・設定端末(1)は、入出力部(104)で、領域管理者から領域閉鎖要求を受け付ける(S1401)。
メモリ(103)あるいは記憶部(102)に展開され、ユーザ認証やアクセス権制御に利用できる状態にあるユーザDBとアクセス権DBを領域情報へ保存する(S1402)。
領域情報の領域管理者認証情報(202)あるいは、領域管理者認証情報を元に生成した鍵情報を用いて、作成した領域情報の暗号化を行い(S1403)、共通領域が存在するかどうかを判定する(S1404)。
判定は、共通領域情報が存在するか否かで行い、存在しない場合には終了する。存在する場合には、メモリ(103)あるいは記憶部(102)に展開され、共通ユーザ認証やアクセス権制御に利用できる状態にある共通ユーザDBと共通アクセス権DBを共通領域情報へ保存し(S1405)、共通領域情報を暗号化する(S1406)。
共通領域情報の暗号化は、S1214と同様に行う。
最後にロック状態への切り替えを行う(S1407)。
図には示していないが、領域閉鎖要求受付けの前あるいは後に、確認及び領域管理者のみが領域閉鎖を行えるようにするために、領域管理者認証情報の受付けと認証処理を行っても良い。
図15は、特定の領域情報を削除する際の領域制御部(101)の動作を示している。
開発・設定端末(1)は、入出力部(104)で、領域管理者から領域削除要求を受け付けると(S1501)、続いて認証情報を受付け(S1502)、その後、認証処理を行う(S1503)。
S1502とS1503は、それぞれS1203とS1204と同様である。
認証処理によって否認と判定されると(S1504)、そのまま終了する。
承認と判定されると、承認された領域の領域情報を領域DB(105)から削除する(S1505)。
他の領域があるかどうかを領域情報の有無で判定し(S1506)、存在しない場合には、共通領域情報を削除し(S1507)、ロック状態へ切り替えを行う(S1508)。
存在する場合には、メモリ(103)あるいは記憶部(102)に展開されている共通アクセス権DBから、削除する領域が所有している共通ユーザのアクセス権を削除し(S1509)、同じくメモリ(103)あるいは記憶部(102)に展開されている共通ユーザDBから、削除する領域が所有している共通ユーザを削除する(S1510)。
メモリ(103)あるいは記憶部(102)に展開され、ユーザ認証やアクセス権制御に利用できる状態にある共通ユーザDBと共通アクセス権DBを共通領域情報へ保存した後(S1511)、共通領域情報を暗号化する(S1512)。
最後に、ロック状態へ切り替える(S1508)。
開発・設定端末(1)は、入出力部(104)で、領域管理者から領域削除要求を受け付けると(S1501)、続いて認証情報を受付け(S1502)、その後、認証処理を行う(S1503)。
S1502とS1503は、それぞれS1203とS1204と同様である。
認証処理によって否認と判定されると(S1504)、そのまま終了する。
承認と判定されると、承認された領域の領域情報を領域DB(105)から削除する(S1505)。
他の領域があるかどうかを領域情報の有無で判定し(S1506)、存在しない場合には、共通領域情報を削除し(S1507)、ロック状態へ切り替えを行う(S1508)。
存在する場合には、メモリ(103)あるいは記憶部(102)に展開されている共通アクセス権DBから、削除する領域が所有している共通ユーザのアクセス権を削除し(S1509)、同じくメモリ(103)あるいは記憶部(102)に展開されている共通ユーザDBから、削除する領域が所有している共通ユーザを削除する(S1510)。
メモリ(103)あるいは記憶部(102)に展開され、ユーザ認証やアクセス権制御に利用できる状態にある共通ユーザDBと共通アクセス権DBを共通領域情報へ保存した後(S1511)、共通領域情報を暗号化する(S1512)。
最後に、ロック状態へ切り替える(S1508)。
以上、本実施の形態では、共通して利用するリソースは、一人の管理者が所有者となり、リソースの管理を行う。所有者は、共通して利用するリソースに対して、他の管理者が管理するユーザに対するアクセス権も付与できるようにするユーザ認証・アクセス権限管理方式について説明した。
最後に実施の形態1、2に示した開発・設定端末(1)のハードウェア構成例について説明する。
図16は、実施の形態1、2に示す開発・設定端末(1)のハードウェア資源の一例を示す図である。なお、図16の構成は、あくまでも開発・設定端末(1)のハードウェア構成の一例を示すものであり、開発・設定端末(1)のハードウェア構成は図16に記載の構成に限らず、他の構成であってもよい。
図16は、実施の形態1、2に示す開発・設定端末(1)のハードウェア資源の一例を示す図である。なお、図16の構成は、あくまでも開発・設定端末(1)のハードウェア構成の一例を示すものであり、開発・設定端末(1)のハードウェア構成は図16に記載の構成に限らず、他の構成であってもよい。
図16において、開発・設定端末(1)は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
通信ボード915は、例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
上記プログラム群923には、例えば、実施の形態1、2の説明において「領域制御部」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、実施の形態1、2の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の作成」、「〜の更新」、「〜の設定」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1、2で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
ファイル群924には、実施の形態1、2の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の作成」、「〜の更新」、「〜の設定」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1、2で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、実施の形態1、2の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」、であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1、2の「〜部」としてコンピュータを機能させるものである。あるいは、実施の形態1、2の「〜部」の手順や方法をコンピュータに実行させるものである。
このように、実施の形態1、2に示す開発・設定端末(1)は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
1 開発・設定端末、101 領域制御部、102 記憶部、103 メモリ、104 入出力部、105 領域DB、201 領域情報、202 領域管理者認証情報、203 ユーザDB、204 アクセス権DB、301 共通領域情報、302 領域管理者認証情報、303 共通ユーザDB、304 共通アクセス権DB。
Claims (12)
- 情報リソースにアクセス可能なユーザを認証するためのユーザ認証情報と、利用禁止状態にあるユーザ認証情報の利用禁止状態を解除してユーザ認証情報を利用可能にするための禁止解除認証情報とを対応付けて記憶する記憶部と、
前記ユーザ認証情報の利用禁止状態を保持するとともに、前記禁止解除認証情報に合致する情報が入力された場合に、前記ユーザ認証情報の利用禁止状態を解除してユーザ認証情報を利用可能にする認証制御部とを有することを特徴とする情報処理装置。 - 前記記憶部は、
情報リソースにアクセス可能なユーザを認証するためのユーザ認証情報と、前記情報リソースにアクセス可能なユーザのアクセス権限を判定するためのアクセス権限情報と、利用禁止状態にあるユーザ認証情報及びアクセス権限情報の利用禁止状態を解除してユーザ認証情報及びアクセス権限情報を利用可能にするための禁止解除認証情報とを対応付けて記憶し、
前記認証制御部は、
ユーザ認証情報及びアクセス権限情報の利用禁止状態を保持するとともに、禁止解除認証情報に合致する情報が入力された場合に、ユーザ認証情報及びアクセス権限情報の利用禁止状態を解除してユーザ認証情報及びアクセス権限情報を利用可能にすることを特徴とする請求項1に記載の情報処理装置。 - 前記認証制御部は、
特定の情報リソースに対するユーザ認証情報及びアクセス権限情報を生成するとともに、生成したユーザ認証情報及びアクセス権限情報の利用禁止状態を解除して利用可能にするための禁止解除認証情報を生成し、
前記記憶部は、
前記認証制御部により生成されたユーザ認証情報と、アクセス権限情報と、禁止解除認証情報とを対応付けて記憶することを特徴とする請求項2に記載の情報処理装置。 - 前記認証制御部は、
他の情報処理装置を利用する情報リソース管理者に特定の情報リソースに対するユーザ認証情報及びアクセス権限情報の生成が許可されていることを前記他の情報処理装置において認証するための認証情報を生成することを特徴とする請求項2又は3に記載の情報処理装置。 - 前記記憶部は、
他の情報処理装置により生成された認証情報であって、前記他の情報処理装置を利用する情報リソース管理者に管理権限がある他管理権限情報リソースに対するユーザ認証情報及びアクセス権限情報の生成が前記情報処理装置を利用する情報リソース管理者に許可されていることを認証するための認証情報を生成許可認証情報として記憶し、
前記認証制御部は、
生成許可認証情報に合致する情報が入力された場合に、前記特定の情報リソースに対するユーザ認証情報及びアクセス権限情報を生成するとともに、生成したユーザ認証情報及びアクセス権限情報を利用可能にするための禁止解除認証情報を生成することを特徴とする請求項2〜4のいずれかに記載の情報処理装置。 - 前記記憶部は、
禁止解除認証情報と、前記禁止解除認証情報を用いて暗号化された暗号化ユーザ認証情報と、前記禁止解除認証情報を用いて暗号化された暗号化アクセス権限情報とを対応付けて記憶し、
前記認証制御部は、
暗号化ユーザ認証情報及び暗号化アクセス権限情報の利用禁止状態を保持するとともに、前記禁止解除認証情報に合致する情報が入力された場合に、暗号化ユーザ認証情報及び暗号化アクセス権限情報を前記禁止解除認証情報を用いて復号化してユーザ認証情報及びアクセス権限情報を利用可能にすることを特徴とする請求項2〜5のいずれかに記載の情報処理装置。 - 前記記憶部は、
複数の情報リソースに対して生成された複数のユーザ認証情報とアクセス権限情報と禁止解除認証情報との組を記憶し、
前記認証制御部は、
各組のユーザ認証情報及びアクセス権限情報を利用禁止状態に保持するとともに、いずれかの禁止解除認証情報に合致する情報が入力された場合に、当該禁止解除認証情報に対応付けられているユーザ認証情報及びアクセス権限情報の利用禁止状態のみを解除することを特徴とする請求項2〜6のいずれかに記載の情報処理装置。 - 前記記憶部は、
他の情報処理装置を利用する情報リソース管理者に管理権限がある複数の他管理権限情報リソースに対して生成された複数のユーザ認証情報とアクセス権限情報と禁止解除認証情報との組を記憶することを特徴とする請求項7に記載の情報処理装置。 - 前記記憶部は、
特定の情報リソース管理者に管理権限がある情報リソースであって前記特定の情報リソース管理者の管理下にないユーザもアクセス可能な共通情報リソースに対して生成されたユーザ認証情報及びアクセス権限情報を共通ユーザ認証情報及び共通アクセス権限情報として記憶するとともに、前記共通ユーザ認証情報及び前記共通アクセス権限情報の利用禁止状態を解除して利用可能にするための禁止解除認証情報を、前記共通ユーザ認証情報及び前記共通アクセス権限情報に対応付けて記憶し、
前記認証制御部は、
前記共通ユーザ認証情報及び前記共通アクセス権限情報の利用禁止状態を保持するとともに、禁止解除認証情報に合致する情報が入力された場合に、前記共通ユーザ認証情報及び前記共通アクセス権限情報の利用禁止状態を解除して前記共通ユーザ認証情報及び前記共通アクセス権限情報を利用可能にすることを特徴とする請求項2〜8のいずれかに記載の情報処理装置。 - 前記認証制御部は、
前記情報処理装置を利用する情報リソース管理者に管理権限がある情報リソースであって前記情報リソース管理者の管理下にないユーザもアクセス可能な共通情報リソースに対するユーザ認証情報及びアクセス権限情報を共通ユーザ認証情報及び共通アクセス権限情報として生成するとともに、生成した共通ユーザ認証情報及び共通アクセス権限情報の利用禁止状態を解除して利用可能にするための禁止解除認証情報を生成し、
前記記憶部は、
前記認証制御部により生成された共通ユーザ認証情報と、共通アクセス権限情報と、禁止解除認証情報とを対応付けて記憶することを特徴とする請求項2〜9のいずれかに記載の情報処理装置。 - 情報リソースにアクセス可能なユーザを認証するためのユーザ認証情報と、利用禁止状態にあるユーザ認証情報の利用禁止状態を解除してユーザ認証情報を利用可能にするための禁止解除認証情報とを対応付けて記憶するコンピュータが、
前記ユーザ認証情報の利用禁止状態を保持するとともに、前記禁止解除認証情報に合致する情報が入力された場合に、前記ユーザ認証情報の利用禁止状態を解除してユーザ認証情報を利用可能にすることを特徴とする情報処理方法。 - 情報リソースにアクセス可能なユーザを認証するためのユーザ認証情報と、利用禁止状態にあるユーザ認証情報の利用禁止状態を解除してユーザ認証情報を利用可能にするための禁止解除認証情報とを対応付けて記憶するコンピュータに、
前記ユーザ認証情報の利用禁止状態を保持するとともに、前記禁止解除認証情報に合致する情報が入力された場合に、前記ユーザ認証情報の利用禁止状態を解除してユーザ認証情報を利用可能にする処理を実行させることを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007132959A JP2008287579A (ja) | 2007-05-18 | 2007-05-18 | 情報処理装置及び情報処理方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007132959A JP2008287579A (ja) | 2007-05-18 | 2007-05-18 | 情報処理装置及び情報処理方法及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008287579A true JP2008287579A (ja) | 2008-11-27 |
Family
ID=40147228
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007132959A Pending JP2008287579A (ja) | 2007-05-18 | 2007-05-18 | 情報処理装置及び情報処理方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008287579A (ja) |
-
2007
- 2007-05-18 JP JP2007132959A patent/JP2008287579A/ja active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106462718B (zh) | 存储设备的快速数据保护 | |
US7487366B2 (en) | Data protection program and data protection method | |
RU2332704C2 (ru) | Публикация цифрового содержания в определенном пространстве, таком как организация, в соответствии с системой цифрового управления правами (цуп) | |
JP4902207B2 (ja) | ファイルの暗号化と復号化のための複数のキーを管理するシステムと方法 | |
RU2344469C2 (ru) | Публикация цифрового содержания в определенном пространстве, таком, как организация, в соответствии с системой цифрового управления правами (цуп) | |
KR100971854B1 (ko) | 보안 서버 키 동작을 제공하기 위한 시스템 및 방법 | |
JP5330648B2 (ja) | ドメイン管理システム下でのデータの記録及び再生方法 | |
JP2007304849A (ja) | 管理装置、情報処理装置、管理方法および情報処理方法 | |
KR20040015714A (ko) | 컨텐츠 이용장치와 네트워크 시스템, 및 라이센스 정보취득방법 | |
JP2006202017A (ja) | 情報処理装置、情報記憶装置、情報処理装置の機能拡張システム、情報処理装置の機能拡張方法及び機能削除方法、並びに情報処理装置の機能拡張プログラム及び機能削除プログラム | |
KR20060046678A (ko) | 콘텐츠 공유 시스템, 콘텐츠 재생 장치, 콘텐츠 기록 장치,그룹 관리 서버, 프로그램, 콘텐츠 재생 제어 방법 | |
KR20010014639A (ko) | 콘텐츠 관리 방법 및 콘텐츠 관리 장치 | |
JP2009508412A (ja) | メディアコンテンツのセキュアストレージと配信のためのモバイルメモリシステム | |
WO2013011902A1 (ja) | ライセンス管理装置、ライセンス管理システム、ライセンス管理方法、及びプログラム | |
MX2012000077A (es) | Metodo para controlar y monitorear de forma remota los datos producidos sobre un software de escritorio. | |
KR20080084470A (ko) | 컨텐트의 보호 기능을 가진 휴대용 메모리 장치 및 그휴대용 메모리 장치 생성 방법 | |
JP4742096B2 (ja) | 携帯用保存装置及び携帯用保存装置のファイル管理方法 | |
JP2005293357A (ja) | ログインシステム及び方法 | |
JP5676145B2 (ja) | 記憶媒体、情報処理装置およびコンピュータプログラム | |
JP5511925B2 (ja) | アクセス権付き暗号化装置、アクセス権付き暗号システム、アクセス権付き暗号化方法およびアクセス権付き暗号化プログラム | |
JP2006119799A (ja) | ストレージシステム及びストレージシステムに格納されたデータの管理方法 | |
JP2008287579A (ja) | 情報処理装置及び情報処理方法及びプログラム | |
JP4357214B2 (ja) | アクセス管理プログラム | |
JP4539240B2 (ja) | ファイル管理システム、およびファイル管理サーバ | |
WO2024111360A1 (ja) | コンテンツ管理システム、コンテンツ管理方法、及びコンテンツ管理プログラム |