JP2009015766A - ユーザ端末、アクセス管理システム、アクセス管理方法、およびプログラム - Google Patents
ユーザ端末、アクセス管理システム、アクセス管理方法、およびプログラム Download PDFInfo
- Publication number
- JP2009015766A JP2009015766A JP2007179602A JP2007179602A JP2009015766A JP 2009015766 A JP2009015766 A JP 2009015766A JP 2007179602 A JP2007179602 A JP 2007179602A JP 2007179602 A JP2007179602 A JP 2007179602A JP 2009015766 A JP2009015766 A JP 2009015766A
- Authority
- JP
- Japan
- Prior art keywords
- access
- information
- user
- file
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】 ユーザ端末単独でファイルのアクセス制限を実行する場合でも、盗難に対して安全性を高めること。
【解決手段】 ユーザ端末10は、持出要求があると、管理サーバ20と接続してファイル16のアクセス条件と有効期間を含む持出許可情報を取得して保持し、管理サーバ20と接続不能な状況でファイル16へのアクセス要求が発生すると、認証情報(B)を入力させ、入力された認証情報(B)が持出許可情報のアクセス条件に適合し、かつ、持出許可情報の有効期間内であればファイル16へのアクセスを許可する。
【選択図】 図2
【解決手段】 ユーザ端末10は、持出要求があると、管理サーバ20と接続してファイル16のアクセス条件と有効期間を含む持出許可情報を取得して保持し、管理サーバ20と接続不能な状況でファイル16へのアクセス要求が発生すると、認証情報(B)を入力させ、入力された認証情報(B)が持出許可情報のアクセス条件に適合し、かつ、持出許可情報の有効期間内であればファイル16へのアクセスを許可する。
【選択図】 図2
Description
本発明はユーザ端末、アクセス管理システム、アクセス管理方法、およびプログラムに関し、特に、ファイルのアクセス権管理を実行するユーザ端末、アクセス管理システム、アクセス管理方法、およびプログラムに関する。
ファイルへのアクセスを制限することにより、秘密情報を保持するファイルが誤って流出しても秘密情報の漏洩を防止することができる。例えば、特開2005−100141号公報は、クライアントPCに所定の管理サーバのアドレスを登録しておき、クライアントPCを起動する際に所定の管理サーバがLAN上に検出できなければシャットダウンする技術を記載している。
また、特開2006−251932号公報は、管理サーバに登録されたセキュアデータ(アクセスレベル別のアクセス権情報を含むデータファイル)をホスト装置(本発明のユーザ端末に相当)で閲覧したり編集したりする操作を制限することを記載している。この管理サーバはホスト装置の要求で認証を行いセキュアデータのアクセスを制限する。また、ホスト装置は認証の履歴情報を保持しておき、管理サーバへ接続できない場合、履歴情報によって認証を行う。この他に、データを暗号化して保管するものとして特開2006−352560号公報がある。
特開2005−100141号公報の発明は、クライアントPCを所定のサーバと接続してファイルへのアクセスを制限することができる。しかしながら、特開平2005−100141号公報の発明は、所定のサーバと接続できない場合、ファイルにアクセスすることができないという問題点がある。
特開2006−251932号公報の発明は、ホスト装置が管理サーバと接続できない場合、ホスト装置が保持する承認の履歴情報を使用して承認を実行することにより、上記問題点を解決できる。しかしながら、特開2006−251932号公報の発明は、ホスト装置の盗難・紛失に対して安全性に欠けるという問題点がある。
特開2006−251932号公報の発明は、ホスト装置が紛失したり盗まれたりした場合、アクセス権限のチェックに必要な認証情報を含んだ履歴情報がホスト装置に保持されている。第3者は時間をかけることにより、ホスト装置内に保持される認証情報の盗み出しに成功する確率を高くできる。一方、特開2005−100141号公報の発明は、認証情報をクライアントPCに保持しないので安全性に問題はない。
特開2006−352560号公報の発明は暗号化の技術を記載しているのみで、サーバと接続できない場合でもファイルのアクセスを制限するという課題を解決することはできない。
本発明の目的は、上述した課題を解決するユーザ端末、アクセス管理システム、プログラム、およびアクセス管理方法を提供することにある。
本発明のユーザ端末は、持出要求があると、管理サーバに接続して、ファイルのアクセス条件と有効期間を含む持出許可情報を取得して保持し、前記管理サーバと接続不能な状況で前記ファイルへのアクセス要求が発生すると、認証情報(B)を入力させ、入力された認証情報(B)が前記持出許可情報のアクセス条件に適合し、かつ、持出許可情報の有効期間内であれば前記ファイルへのアクセスを許可することを特徴とする。
本発明のアクセス管理システムは、ユーザ端末と管理サーバを含むアクセス管理システムであって、前記ユーザ端末は、持出要求があると、前記管理サーバと接続してファイルのアクセス条件と有効期間を含む持出許可情報を取得して保持し、前記管理サーバと接続不能な状況で前記ファイルへのアクセス要求が発生すると、認証情報(B)を入力させ、入力された認証情報(B)が保持している持出許可情報のアクセス条件に適合し、かつ、持出許可情報の有効期間内であれば前記ファイルへのアクセスを許可することを特徴とする。
本発明のプログラムは、持出要求があると、管理サーバに接続して、ファイルのアクセス条件と有効期間を含む持出許可情報を取得して保持する手順と、
前記管理サーバと接続不能な状況で前記ファイルへのアクセス要求が発生すると、認証情報(B)を入力させ、入力された認証情報(B)が前記持出許可情報のアクセス条件に適合し、かつ、持出許可情報の有効期間内であれば前記ファイルへのアクセスを許可する手順とをコンピュータに実行させることを特徴とする。
前記管理サーバと接続不能な状況で前記ファイルへのアクセス要求が発生すると、認証情報(B)を入力させ、入力された認証情報(B)が前記持出許可情報のアクセス条件に適合し、かつ、持出許可情報の有効期間内であれば前記ファイルへのアクセスを許可する手順とをコンピュータに実行させることを特徴とする。
本発明のアクセス管理方法は、持出要求があると、管理サーバに接続して、ファイルのアクセス条件と有効期間を含む持出許可情報を取得して保持しておき、
前記管理サーバと接続不能な状況で前記ファイルへのアクセス要求が発生すると、認証情報(B)を入力させ、入力された認証情報(B)が前記持出許可情報のアクセス条件に適合し、かつ、持出許可情報の有効期間内であれば前記ファイルへのアクセスを許可することを特徴とする。
前記管理サーバと接続不能な状況で前記ファイルへのアクセス要求が発生すると、認証情報(B)を入力させ、入力された認証情報(B)が前記持出許可情報のアクセス条件に適合し、かつ、持出許可情報の有効期間内であれば前記ファイルへのアクセスを許可することを特徴とする。
本発明は、ユーザ端末単独でファイルのアクセス制限を実行する場合でも、高い安全性を得られるという効果がある。その理由は、本発明のユーザ端末は、認証情報を含んだ持出許可情報を必要な期間だけ保持するようにしたため、持出許可情報が登録されていないユーザ端末が盗難にあっても第3者に認証情報を盗まれることがないためである。
次に、本発明実施例について図面を参照して詳細に説明する。図1は本発明の第1の実施例であるユーザ端末10の構成を示した図である。ユーザ端末10は、パーソナルコンピュータや、PDA(personal digital assistant)や、情報処理機能を備えた携帯電話機のような情報処理機器であり、特にユーザが携帯して外部へ持ち運べるものが本発明に適している。ユーザ端末10は、入出力装置11と通信装置12とCPU13と記憶装置14とを含んでいる。
入出力装置11は入力装置、出力装置、またはこれらの組み合わせで構成される。入力装置は例えばキーボードのようなキー入力装置とマウスのような位置入力装置の組合せで実現できる。出力装置は例えば表示装置であり、これに印刷装置を組み合わせることもできる。表示装置は、例えば液晶ディスプレイやCRT(cathode ray tube)ディスプレイで実現できる。
通信装置12はCPU13で実行されるプログラムの指示に従って、ネットワークを介して管理サーバとの間の通信を制御する。CPU13は中央処理装置(central processing unit)であり、記憶装置14に保持されるプログラムを実行して記憶装置14に保持されるデータを処理したりネットワークを介してデータを転送したりできる。
記憶装置14は、補助記憶装置(例えば磁気ディスク装置)と主記憶装置とで構成され、端末制御部15とファイル16とを保持する。図示しないが、記憶装置14はOS(operating system)やアプリケーションプログラム群やデータ群を保持できる。記憶装置14に保持される各情報は補助記憶装置に保持され、動作時にはその一部または全部が主記憶装置に転送されCPU13からアクセスされる。
なお、図1では、ファイル16としてファイル16−1とファイル16−2とファイル16−3を示しているがファイル16の数を限定するものではない。また、ファイル16−1とファイル16−2とファイル16−3を区別しない場合、単にファイル16と記載する。
ファイル16は、ソフトウェアがアクセス管理可能なデータの単位でありファイルIDにより識別される。ファイル16はデータ部17とアクセス権情報部18と持出許可情報部19とを含む。なお、アクセス権情報部18と持出許可情報部19はファイル16内部に置く必要はなく、ファイル16と関連付けられていればファイル16ではない記憶装置14内に設けることもできる。
データ部17は、ファイル16に保持されるデータの集合であり、データとしてプログラムを含むこともできる。アクセス権情報部18はアクセス権情報を保持する領域である。持出許可情報部19は、ユーザ端末10が管理サーバと接続できない状態で、ファイル16へのアクセス制限を実行するための情報を含む持出許可情報を保持する領域である。
図3と図4はアクセス権情報の一例を示した図である。アクセス権情報はファイル16を作成した者により設定され、最初に設定された後は変更されることなく使用される。ただし、特別な事情により変更する場合でも、ファイル16の作成者や特別な権限を持った管理者によってのみ変更が可能なように保護されるべきである。
アクセス権情報は、ファイル16を識別するためのファイルIDと、ファイル16へのアクセスが許可されたユーザIDと、ユーザID毎に許可されたアクセス種別を含む。ファイルIDはアクセス権情報に対して1つ登録される。一方、ユーザIDとアクセス種別は互いに関連付けられアクセス権情報に登録される。ユーザIDとアクセス種別はそのファイル16のアクセスが許可されたユーザID数に応じて登録される。なお、ユーザIDはユーザを識別するために各ユーザに割り付けられた情報である。アクセス種別は、ファイル16に対し許可された操作内容(読み出し、書込、実行など)を示す情報である。
例えば、図3で示したアクセス権情報には、ファイルIDとして“FILE01”が登録され、ユーザIDとして“009078”と“009088”と“G0090”が登録されている。また、それぞれのユーザIDに関連付けられてアクセス種別の“R、W”と“R”と“R”とが登録されている。ユーザIDの“G0090”はグループIDとして定義されたものであるが、アクセス権情報においてグループIDはユーザIDと見なされる。
アクセス種別の“R”は読み出し許可を示し、アクセス種別の“W”は書込許可を示している。以降の説明ではアクセス種別に応じたアクセス権の制限を実行するが、アクセス種別を区別せずに、ファイル16へのアクセスを制限するように制御することもできる。その場合、アクセス種別は本発明の構成から除外することができる。
図3のアクセス権情報は、ユーザID=“009078”のユーザに対して、ファイルID=“FILE01”のファイル16に対して読み出し(R)と書込(W)を許可している。また、図3のアクセス権情報は、ユーザID=“009188”またはグループID=“G0090”を有するユーザに対して、ファイルID=“FILE01”のファイル16に対して読み出し(R)のみ許可している。ユーザIDがユーザ個人に所有されるのに対して、グループIDは複数のユーザに対して所有される。
図4のアクセス権情報は、ユーザID=“009188”またはグループID=“G0090”を有するユーザに対して、ファイルID=“FILE02”のファイル16に対し実行(E)が許可されていることを示している。この場合、“FILE02”のデータ部17はプログラムを含んでいる。
図5は、持出許可情報の一例を示した図であり、括弧内は具体例の情報を示している。持出許可情報は復号情報と暗号持出情報と暗号化されていない平文有効期間を含む。暗号持出情報は、平文持出情報をユーザIDとパスワードを暗号鍵として暗号化した情報である。従って、ユーザ端末10が紛失や盗難にあっても、持出許可情報に含まれるパスワード等の認証情報が漏洩しにくくなっている。
平文持出情報は、アクセス権限の確認のために使用され、ユーザID、パスワード、アクセス種別、ファイルID、端末IDを含むアクセス条件と、有効期間とを含む。有効期間は、持出許可情報が有効に動作する期間を規定する情報である。パスワードはユーザIDと対応づけて設定され、ユーザ本人を証明するための情報である。例えば、パスワードは文字や数字を並べた文字列とすることができるが、数字だけで構成してもよい。端末IDは、ユーザ端末10を識別する情報であり、ユーザ端末10内の所定の記憶手段(記憶装置14内でもよい)に格納されている。
復号情報は、持出許可情報部19に登録された暗号持出情報を復号する方法を規定する情報である。復号情報は、例えば、暗号持出情報を復号するためのプログラムとすることもできる。平文有効期間は、暗号化されていない有効期間の情報であり、復号鍵となるユーザIDとパスワードがなくても知ることができる。
端末制御部15はユーザ端末10における本発明の動作を実行するプログラムである。動作内容は後述する第2の実施例の動作の説明で詳細に説明する。なお、第1の実施例で得られる効果は、後述の第2の実施例で得られる効果と同じであるため、ここでは効果の説明を省略する。
動作の概要について説明すると、端末制御部15は、持出要求があると、外部に設置される管理サーバに接続して持出許可要求を送信する。端末制御部15は、管理サーバが持ち出し可能と判断した場合に、平文有効期間とアクセス条件を含んだ持出許可情報を、管理サーバから取得して持出許可情報部19に保持する。
その後、管理サーバと接続不能な状況でファイル16へのアクセス要求が発生すると、端末制御部15はアクセスの可否を判断する。アクセスの可否を判断するために、端末制御部15はユーザIDとパスワードを含む認証情報(B)を入力させ、入力された認証情報(B)がアクセス条件に適合し、有効期限内であればファイル16へのアクセスを許可する。
図2は本発明の第2の実施例であるアクセス管理システムの構成を示したブロック図である。本発明の第2の実施例のアクセス管理システムはユーザが使用するユーザ端末10とアクセス管理機能を備えた管理サーバ20とこれらを接続するネットワーク29を含む。なお、図2のユーザ端末10の構成は図1のユーザ端末10と同じであり、図2の各構成要素は図1と同名で同符号としている。
図2ではユーザ端末10が1台接続される構成を示しているが、複数接続させることができる。また、ユーザ端末10の構成は、図1のユーザ端末10と同じ構成なので、詳細な説明は省略する。
ネットワーク29は、ユーザ端末10と管理サーバ20とを接続する通信手段であり、その実現方法は限定しない。例えば、ネットワーク29は企業内のLAN(local area network)で実現することができる。また、ネットワーク29は電話網やインターネットを含むWAN(wide area network)で実現することもできる。
管理サーバ20は、例えばサーバ機能を持ったコンピュータであり、通信装置22とCPU23と記憶装置24とを含んでいる。管理サーバ20は、必要に応じて入出力装置11と同様な入出力装置を含めることもできる。
通信装置22はCPU23で実行されるプログラムの指示に従って、ネットワーク29を介してユーザ端末10との間の通信を制御する。CPU23は中央処理装置(central processing unit)であり、記憶装置24に保持されるプログラムを実行して記憶装置24に保持されるデータを処理したりネットワーク29を介してデータを転送したりする。
記憶装置24は補助記憶装置(例えば磁気ディスク装置)と主記憶装置とで構成され、サーバ制御部25と認証情報部26と暗号情報部27を含む。図示しないが、記憶装置24はOS(operating system)やアプリケーションソフトウェア群やデータ群も保持する。記憶装置24に保持される各情報は補助記憶装置に保持され、動作時にはその一部または全部が主記憶装置に転送されCPU23からアクセスされる。
サーバ制御部25は管理サーバ20における本発明の動作を実行するプログラムである。動作内容は後述する動作の説明で詳細に説明する。サーバ制御部25の主な動作内容は、ユーザ端末10からの持出許可要求を受けると認証情報部26を参照して持ち出しの可否を判断し、持ち出し可能ならば持出許可情報を生成して返送することである。
認証情報部26は持ち出しの可否を判断するための認証情報を保持する領域である。認証情報は、ユーザIDとパスワードとグループIDとを対応づけた情報である。ただし、本発明において、グループIDは必須ではなく、認証情報部26から除外することもできる。
図6は認証情報の一例を示した図である。図6では、ユーザID=“009078”のユーザはパスワードとして“PW9078”が割り当てられ、グループIDとして“G0090”が割り当てられていることを示している。また、ユーザID=“009079”のユーザはパスワードとして“PW9079”が割り当てられ、グループIDとして“G0090”に加えて“G0099”が割り当てられていることを示している。
本発明では、グループID“G0090”を所属部署に対応させ、“G0099”を管理職などの資格に対応させて定義することができる。従って、本発明は、各部署内で共有するファイル16にはその部署に対応したグループIDをアクセス権限として設定することができる。また、本発明は、グループIDを全く使用しない構成としてもかまわない。
暗号情報部27は、持出許可情報を生成する際に実行する暗号化の方法を規定する暗号情報と、持出許可情報を複合する複合情報とを保持する領域である。サーバ制御部25は暗号情報部27に保持される暗号情報に従って暗号化処理を実行し、持出許可情報を生成する。なお、この暗号化処理で、サーバ制御部25はユーザIDとパスワードを暗号鍵として使用する。
次に本発明の第2の実施例の動作を説明する。本発明は、管理サーバ20と接続できない状況においても、セキュリティを確保してファイル16をアクセスできるようにするものである。そこで、本発明の動作は、持ち出し前に持出許可情報を取得する動作((1)持出許可動作)と、管理サーバ20と未接続の状況でファイル16をアクセスする動作((2)アクセス動作)に分けられる。まず、図7のシーケンス図を参照して持出許可動作について説明する。
(1)持出許可動作の説明
まず、ユーザはユーザ端末10を所定の場所から持ち出してファイル16をアクセスしたい場合、入出力装置11を操作して持ち出したいファイル16を特定し持出要求を指示する。この状況ではユーザ端末10と管理サーバ20がネットワーク29で接続されているものとする。具体的な持出要求の指示方法については特に限定しない。端末制御部15はユーザから持出要求の指示が入力されたことを検出すると(S51/Yes)、管理サーバ20に接続要求を発行する(S52)。
まず、ユーザはユーザ端末10を所定の場所から持ち出してファイル16をアクセスしたい場合、入出力装置11を操作して持ち出したいファイル16を特定し持出要求を指示する。この状況ではユーザ端末10と管理サーバ20がネットワーク29で接続されているものとする。具体的な持出要求の指示方法については特に限定しない。端末制御部15はユーザから持出要求の指示が入力されたことを検出すると(S51/Yes)、管理サーバ20に接続要求を発行する(S52)。
管理サーバ20は、接続要求したユーザ端末10と接続可能ならば接続応答を返送する(S57)。この場合、ユーザ端末10と管理サーバ20はネットワーク29を介して接続されているので、正常な状態であれば管理サーバ20は接続応答する。端末制御部15は、接続応答を確認すると(S53/Yes)、要求入力画面(図示しない)を表示し、入力に従って、持出許可要求を管理サーバ20へ送信する(S54)。
要求入力画面は、図示しないが、ユーザが持ち出し対象のファイル16を指定する操作と、ユーザがユーザIDとパスワードと有効期間を入力する操作を支援する機能を持つ。ユーザが要求入力画面でファイル16を指定するための操作をすると、端末制御部15はファイル16を特定し、特定したファイル16のアクセス権情報部18からアクセス権情報を読み出し、持出許可要求に付加する。また、ユーザが要求入力画面で認証情報(A)と有効期間を入力するよう操作すると、端末制御部15は入力された認証情報(A)と有効期間を持出許可要求に付加する。認証情報(A)はユーザID(A)とパスワード(A)を含む。さらに、端末制御部15は端末IDを所定の記憶手段から読み出して持出許可要求に付加する。
サーバ制御部25は、持出許可要求とともに、入力された認証情報(A)および有効期間と、端末ID(A)とアクセス権情報を受信する。持出許可要求を受信すると、サーバ制御部25は、入力されたユーザID(A)をキーとして認証情報部26から対応するパスワードを読み出し、読み出したパスワードと入力されたパスワード(A)が一致すれば、認証成功と判断する(S58)。認証失敗ならば(S58/No)、サーバ制御部25は持出許可要求を否認する持出否認応答をユーザ端末10に返送する(S62)。
端末制御部15は持出否認応答を受信すると、入出力装置11の表示装置に持ち出しが否認されたことを知らせるメッセージを表示する(S55)。ユーザはメッセージの表示により持ち出しが否認されたことを知る。サーバ制御部25が持出否認応答に“パスワード不一致”という否認理由の情報を付加すれば、端末制御部15はメッセージに“パスワードが正しくありません”という表現を入れることができる。これにより、ユーザはユーザIDかパスワードを誤入力した可能性に気が付き、再度持出許可要求の操作を実行できる。
認証成功ならば(S58/Yes)、サーバ制御部25は入力されたユーザID(A)が受信したアクセス権情報に登録されているか判断し、入力されたユーザID(A)が受信したアクセス権情報に登録されている場合、ユーザID権限有りと判断する(S59)。ユーザID権限無しならば(S59/No)、サーバ制御部25は入力されたユーザID(A)をキーとして認証情報部26から対応するグループIDを読み出し、読み出したグループIDが受信したアクセス権情報に登録されているか判断する(S60)。読み出したグループIDが受信したアクセス権情報に登録されている場合、サーバ制御部25はグループID権限有りと判断する。
グループID権限無しならば(S60/No)、サーバ制御部25は持出否認応答をユーザ端末10に返送する(S62)。例えば、サーバ制御部25が持出否認応答に“ID登録なし”という否認理由の情報を付加すれば、端末制御部15は持出否認応答を受信した際、“ファイルへのアクセスが許可されていません”というメッセージを表示することができる(S55)。
ユーザID権限有り(S59/Yes)、または、グループID権限有り(S60/Yes)ならば、サーバ制御部25は受信した有効期間が規則に適合するかチェックする(S61)。例えば、規則で有効期間の最長が1週間となっている場合、サーバ制御部25は受信した有効期間が1週間以内であれば適合と判断し、1週間を超えていれば不適合と判断する。例えば、規則で有効期間の5日前にならないと持出要求をできない場合、サーバ制御部25は持出許可要求日が受信した有効期間の10以内であれば適合と判断し、5日より前であれば不適合と判断する。なお、規則の設定方法は特に制限しない。
サーバ制御部25は、受信した有効期間が規則に適合しなければ(S61/No)、持出否認応答をユーザ端末10に返送する(S62)。サーバ制御部25は、受信した有効期間が規則に適合すれば(S61/Yes)、持出許可情報を生成し持出許可応答に付して返送する(S63)。ここで、サーバ制御部25は、以下のようにして持出許可情報を生成する。
サーバ制御部25は、受信したアクセス権情報からファイルIDとアクセス種別を読み出し、認証情報部26から受信したユーザID(A)に対応するグループIDを読み出す。サーバ制御部25は読み出したグループIDと受信したユーザID(A)に、それぞれ対応するアクセス種別を、受信したアクセス権情報から読み出す。サーバ制御部25は、読み出したそれぞれのアクセス種別を論理和演算し、論理和演算結果を持出許可情報のアクセス種別とする。
例えば、ユーザIDに対応するアクセス種別が“W”で、グループIDに対応するアクセス種別が“R”であれば、サーバ制御部25は持出許可情報のアクセス種別を論理和演算して“R、W”とする。また、ユーザID権限無しで、グループIDにアクセス種別が“R”の権限がある場合、サーバ制御部25は、持出許可情報のアクセス種別を“R”とする。ユーザIDにアクセス種別“R”の権限がありグループ権限無しの場合も、サーバ制御部25は、持出許可情報のアクセス種別を“R”とする。
サーバ制御部25は、受信したユーザID(A)、パスワード(A)、および端末IDと、生成したアクセス種別を含んだアクセス条件を生成し、これに受信した有効期間を合わせて平文持出情報を生成する。サーバ制御部25はさらに暗号情報部27の暗号化情報に基づいて受信したユーザID(A)およびパスワード(A)を暗号鍵として、平文持出情報を暗号化し暗号持出情報を生成する。サーバ制御部25は、生成した暗号持出情報と、暗号情報部27から読み出した復号情報と、有効期間とを合わせて持出許可情報を生成する。
次に、持出許可応答を受信すると、端末制御部15は、持出許可応答に付された持出許可情報を該当ファイル16の持出許可情報部19に格納する(S56)。持出否認応答を受信すると、端末制御部15は、入出力装置11の表示装置に持ち出しが否認されたことを知らせるメッセージを表示する(S55)。メッセージの内容はその原因がユーザに分かるようにすることが望ましいが、限定しない。
以上説明したように持出許可動作が実行される。ステップS51〜S56は端末制御部15で実行され、ステップS57〜S63はサーバ制御部25で実行される。持出許可動作が実行されると、ユーザは持出許可情報を管理サーバ20から取得して、該当するファイル16の持出許可情報部19に格納できる。持出許可情報を格納することにより、ユーザ端末10が管理サーバ20に接続できない状況においても、有効期間内であれば、ユーザは該当するファイル16をアクセスできるようになる。この動作については(2)アクセス動作の説明に詳しく記載する。
上記の持出許可動作を具体例で説明する。ユーザID=“009078”のユーザがファイルID=“FILE01”のファイル16−1を持ち出す場合を具体例として説明する。このときFILE01に設定されたアクセス権情報は図3の内容であり、認証情報は図6の内容であるとする。ユーザ端末10と管理サーバ20は図2のようにネットワーク29で接続されているものとする。
まず、ユーザは入出力装置11を操作して、ファイルID=“FILE01”のファイル16−1に対する持出要求を指示する。端末制御部15は接続要求を送る(S52)。サーバ制御部25は接続応答を返送する(S57)。端末制御部15は、接続応答を確認すると(S53/Yes)、ユーザによるユーザID(A)とパスワード(A)と有効期間の入力を待って、持出許可要求を管理サーバ20へ送信する(S54)。
このとき、ユーザは入出力装置11の入力装置を操作して、ユーザID(A)=“009078”と、パスワード(A)=“PW9078”と、有効期間=“2007/07/07〜2007/07/10”を入力する。端末制御部15は、入力された上記のユーザID(A)とパスワード(A)と有効期間を持出許可要求に付加する。また端末制御部15は、ファイル16−1のアクセス権情報部18から図3に示すアクセス権情報を読み出して持出許可要求に付加する。また端末制御部15は所定の記憶手段から端末ID=“TERM01”を読み出して持出許可要求に付加する。
サーバ制御部25は、受信したユーザID=“009078”をキーにして認証情報部26を検索し、パスワード=“PW9078”とグループID=“G0090”を読み出す。読み出したパスワード=“PW9078”と、受信したパスワード=“PW9078”とは一致するので、サーバ制御部25は認証成功と判断する(S58/Yes)。
受信したアクセス権情報にはユーザID=“009078”が登録されているので、サーバ制御部25はユーザID権限有りと判断する(S59/Yes)。持出許可要求日が2007/07/03であれば、有効期間の5日前以内という規則に適合し、有効期間も4日であり1週間以内という規則に適合する(S61/Yes)ので、サーバ制御部25は有効期間適合と判断する。以上からサーバ制御部25は持ち出し可否の判断を持ち出し可能と判断し、図5に示すような持出許可情報を生成し持出許可応答を返送する(S63)。
このとき、サーバ制御部25は、ユーザID=“009078”とパスワード=“PW9078”を暗号鍵とし、暗号情報部27に保持される暗号情報に従って平文持出情報を暗号化する。このとき、平文持出情報は図5に示す通り、ユーザID=“009078”、パスワード=“PW9078”アクセス種別=“R、W”、有効期間=“2007/07/07〜2007/07/10”、ファイルID=“FILE01”、端末ID=“TERM01”を含む。
このときのアクセス種別について説明する。ユーザID=“009078”のユーザは、グループID=“G0090”を持つ。グループID=“G0090”に設定されたアクセス種別は“R”である。ユーザID=“009078”に設定されたアクセス種別は“R、W”である。これらの論理和を演算すると持出許可情報のアクセス種別は“R、W”となる。
以上のように、ユーザID=“009078”のユーザは“FILE01”のファイル16−1に対してアクセス種別が読み出し(R)と書込(W)の持出許可情報の取得ができる。また、ユーザID=“009188”のユーザは“FILE01”のファイル16−1に対してアクセス種別が読み出し(R)のみの持出許可情報の取得ができる。
この他の例として、ユーザID=“009079”のユーザは“FILE01”のファイル16−1に対してアクセス種別が読み出し(R)のみの持出許可情報の取得ができる。それは、図3の“FILE01”のアクセス権情報によって、ユーザID=“009079”に対してアクセスを拒否されるが、グループID=“G0090”に対しては“R”のアクセスが許可されるからである。
(2)アクセス動作の説明
まず、ユーザはファイル16のアクセスを希望する場合、入出力装置11を操作してアクセスしたいファイル16とアクセス種別(R/W/E)を指定しアクセス指示する。具体的な指示方法については限定しない。端末制御部15はユーザからファイル16へのアクセス指示が操作されたことを検出すると(S71/Yes)、管理サーバ20に接続要求を発行する(S72)。
まず、ユーザはファイル16のアクセスを希望する場合、入出力装置11を操作してアクセスしたいファイル16とアクセス種別(R/W/E)を指定しアクセス指示する。具体的な指示方法については限定しない。端末制御部15はユーザからファイル16へのアクセス指示が操作されたことを検出すると(S71/Yes)、管理サーバ20に接続要求を発行する(S72)。
具体的な指示方法の一例を示す。ユーザがアプリケーションプログラム(以降アプリケーションという)を起動し、アプリケーション上で開きたいファイル16を指定すれば、アプリケーションがファイル16の読み出し(R)を実行する。また、ユーザがファイル16への書込を指示すれば、アプリケーションがファイル16への書込(W)を実行する。
アプリケーションから読み出しや書込などのアクセス要求を受けると、OSは端末制御部15に対してアクセス権の確認を要求できる。この確認要求には、ファイルIDとアクセス種別が含まれる。端末制御部15はOSから確認要求を受けることにより、ユーザからファイル16にアクセスが指示されたことを検出できる。端末制御部15は、OSから確認要求を受けると、図8の動作を実行し、要求アクセスに対して許可か拒否の応答を返すことができる。
アクセス拒否の応答を受けると、OSはアクセス要求を実行せずに、アクセスが拒否されたことをアプリケーションに通知できる。読み出しに対してアクセスが許可されれば、OSは読み出したファイルをアプリケーションに返すことができる。書込に対してアクセスが許可されれば、OSはアプリケーションから指示された書込データをファイル16に書き込み終了を通知することができる。
上述の手順により、本発明のユーザ端末10は、機密情報を保持するファイル16へのアクセスを制限できる。上述のOSやアプリケーションの動作は、一例であり、これ以外の動作によりアクセス権を確認して、機密情報を保持するファイル16へのアクセスを制限することもできる。
まず、管理サーバ20が接続応答する場合の動作について説明する。管理サーバ20はユーザ端末10から接続要求を受信すると接続応答を返送する(S86)。端末制御部15は接続応答を確認すると(S73/Yes)、認証情報(B)の入力を指示する(S83)。ファイル16を指定する情報とユーザから指示されるアクセス種別について、端末制御部15は、上記のようにアプリケーションから受け取るようにしている。ただし、必要ならば、端末制御部15は、認証情報(B)と同時に入力を指示して入力させることもできる。
認証情報(B)はユーザID(B)とパスワード(B)を含む。図示しないが、端末制御部15は、ユーザが入出力装置11を操作して、認証情報(B)を入力するための入力画面を表示装置に表示する。ユーザは、入力画面を見て入力装置を操作し、認証情報(B)を入力する。
続いて、端末制御部15は、持出許可情報を消去する(S84)。消去する持出許可情報はユーザ端末10内の全てが対象となる。ただし、本実施例では無条件に全ての持出許可情報を消去するのではなく、アクセス当日が持出許可情報の平文有効期間の開始日以降という条件に適合する持出許可情報を消去するものとする。それは、有効期間前にユーザ端末10を管理サーバ20に接続した際に、使用前の持出許可情報が消去されるのを回避するためである。もちろん、本発明は無条件で消去することもできる。
また、図示しないが、端末制御部15は、各持出許可情報の平文有効期間を毎日1回以上確認し、有効期間が過ぎていたら持出許可情報を消去する。端末制御部15は平文有効期間の確認を、毎日定時に実行してもよいし、負荷の少ない時に随時実行するようにしてもよい。すなわち、有効期間内の場合、持出許可情報は消去されずに保持され、有効期間が過ぎた時点で消去される。
このように、ユーザが持ち出し先から帰った後、業務を行うためにユーザ端末10を管理サーバ20に接続すると、自動的に持出許可情報が消去される。また、持ち出し先から帰った後に、ユーザ端末10が管理サーバ20に接続されない場合や、持ち出し先から帰らない場合でも、有効期限が切れた時点で、自動的に持出許可情報が消去される。従って、ユーザは特別な操作をすることなく、盗難による認証情報の漏洩に対してユーザ端末10を安全な状態に戻すことができる。
次に、端末制御部15はアクセス権情報部18からアクセス権情報(ファイルIDとユーザIDとアクセス種別を含む)を読み出し、所定の記憶手段から端末IDを読み出す。端末制御部15は入力されたユーザID(B)とパスワード(B)と、読み出したアクセス権情報と端末IDと指示されたアクセス種別をアクセス権確認要求に付加して管理サーバ20に送る(S85)。
アクセス権確認要求を受信すると、サーバ制御部25はユーザ認証を実行する(S87)。サーバ制御部25は、入力されたユーザID(B)をキーとして認証情報部26からパスワードを読み出し、読み出したパスワードと入力されたパスワード(B)が一致すれば認証成功と判断する(S87)。認証失敗ならば(S87/No)、サーバ制御部25はアクセス否認応答を返送する(S92)。
認証成功ならば(S86/Yes)、サーバ制御部25は入力されたユーザID(B)が受信したアクセス権情報に登録されているか判断する(S88)。入力されたユーザID(B)が受信したアクセス権情報に登録されている場合、サーバ制御部25はユーザID権限有りと判断する。
ユーザID権限無しならば(S88/No)、サーバ制御部25は入力されたユーザIDをキーとして認証情報部26からグループIDを読み出し、読み出したグループIDが受信したアクセス権情報に含まれているか判断する(S89)。読み出したグループIDが受信したアクセス権情報に含まれている場合、サーバ制御部25はグループID権限有りと判断する。グループID権限無しならば(S89/No)、サーバ制御部25はアクセス否認応答を返送する(S92)。
ユーザID権限有り(S88/Yes)、または、グループID権限有り(S89/Yes)の場合、サーバ制御部25は指示されたアクセス種別が受信したアクセス権情報に登録されているか判断する(S90)。指示されたアクセス種別が受信したアクセス権情報に登録されていれば、サーバ制御部25はアクセス種別権限有りと判断する。アクセス種別権限無しの場合(S90/No)、サーバ制御部25はアクセス否認応答を返送する(S92)。
例えば、指示されたアクセス種別が読み出し(R)の場合、アクセス権情報のアクセス種別に“R”が設定されていれば、サーバ制御部25はアクセス種別権限有りと判断する。同様に、指示されたアクセス種別が書込/実行の場合、アクセス権情報のアクセス種別にそれぞれ“W”/“E”が設定されていれば、サーバ制御部25はアクセス種別権限有りと判断する。また、ユーザID権限とグループID権限の双方がある場合、少なくとも一方に指示されたアクセス種別が設定されていれば、サーバ制御部25はアクセス種別の権限有りと判断する。
アクセス種別権限有りの場合(S90/Yes)、サーバ制御部25はアクセス可能と判断し、アクセス許可応答を返送する(S91)。端末制御部15は、アクセス許可応答を受信すると、ユーザのアクセス指示に対してアクセスを許可する(S81)。これによりユーザはアクセス指示したファイル16をアクセスすることができる。例えば、端末制御部15が読み出しアクセスを許可することをOSに通知すると、OSはファイル16を読み出してアプリケーションに通知する。ユーザはアクセス要求したファイル16に対してアプリケーションを実行することができる。
一方、端末制御部15はアクセス否認応答を受信すると、ユーザのアクセス指示を拒否する(S82)。例えば、端末制御部15が読み出しアクセスを拒否することをOSに通知すると、OSはファイル16の読み出しを実行せずにアプリケーションにアクセス権がないため読み出せないことを通知する。アプリケーションはファイル16の読み出しが失敗したことを表示する。こうして、本発明は、アクセス権のないファイル16へのアクセスを禁止し、アクセスを制限することができる。
次に、管理サーバ20が接続応答しない場合の動作を説明する。例えば、ユーザが持ち出し先でアプリケーションを実行してファイル16をアクセスする場合がこの場合に含まれる。まず、端末制御部15は予め決められた時間内に接続応答を確認でなかった場合(S73/No)、入出力装置11の表示装置に認証情報(B)(ユーザID(B)とパスワード(B)を含む)の入力を指示する入力画面を表示する(S74)。ユーザは画面表示を見て、入出力装置11の入力装置を操作し、認証情報(B)を入力する。
端末制御部15は、指定されたファイル16の持出許可情報を読み出し、入力された認証情報(B)を復号鍵とし、復号情報に基づいて暗号持出情報を復号する(S75)。入力された認証情報(B)が正しければ暗号持出情報を復号して得られた平文持出情報は正しいものとなる。なお、指定されたファイル16に持出許可情報がなければ端末制御部15は要求アクセスを拒否する。
次に、端末制御部15は入力された認証情報(B)(ユーザID(B)とパスワード(B))が平文持出情報のユーザIDとパスワードと一致するか比較して認証の成功/失敗を判断する(S76)。ユーザIDとパスワードの双方とも一致すれば、端末制御部15は認証成功と判断する。ユーザIDとパスワードの少なくとも一方が不一致ならば、端末制御部15は認証失敗と判断し(S76/No)、要求されたアクセス指示を拒否する(S82)。
認証成功ならば(S76/Yes)、端末制御部15は、平文持出情報の有効期間にアクセス当日が含まれているか判断する(S77)。端末制御部15は、平文持出情報の有効期間にアクセス当日が含まれていれば有効期間内と判断する。有効期間内でなければ(S77/No)、端末制御部15は要求されたアクセス指示を拒否する(S82)。
有効期間内であれば(S77/Yes)、端末制御部15は、アクセス指示されたアクセス種別が平文持出情報のアクセス権情報に登録されているか判断する(S78)。アクセス指示されたアクセス種別が平文持出情報のアクセス権情報に登録されていれば、端末制御部15はアクセス種別権限有りと判断する。アクセス種別権限がなければ(S78/No)、端末制御部15は要求されたアクセス指示を拒否する(S82)。
アクセス種別権限が有れば(S78/Yes)、端末制御部15はファイルIDが正しいか判断する(S79)。平文持出情報のファイルIDがアクセス権情報部18のファイルIDと一致すれば、端末制御部15はファイルIDが正しいと判断する。ファイルIDが不正ならば(S79/No)、端末制御部15は要求されたアクセス指示を拒否する(S82)。
ファイルIDが正しければ(S79/Yes)、端末制御部15は端末IDが正しいか判断する(S80)。平文持出情報の端末IDが所定の記憶手段に格納された端末IDと一致すれば、端末制御部15は端末IDが正しいと判断する。端末IDが不正ならば(S80/No)、端末制御部15は要求されたアクセス指示を拒否する(S82)。
端末IDが正しければ(S80/Yes)、端末制御部15は要求されたアクセス指示を許可する(S81)。例えば、端末制御部15がファイル16への読み出しのアクセス指示を許可することをOSへ通知すると、OSがファイル16のデータ部17へアクセスしてデータを読み出し、データをアプリケーションへ返す。アプリケーションはそのデータを取得することができるので、ユーザはアプリケーションを実行してファイル16のデータを閲覧することができる。
一方、端末制御部15がアクセス指示を拒否した場合(S82)、OSはアプリケーションに対してアクセス拒否を通知する。読み出しの場合、アプリケーションは目的のファイル16のデータを取得できない。従って権限のない第3者にファイル16の内容が漏洩することを抑止できる。書込の場合、目的のファイル16のデータ部17への書込が抑止され、データ部17の内容は破壊されることなく保護される。
上記の動作を(1)持出許可動作の具体例に続けるようにして説明する。具体例はユーザID=“009078”のユーザがファイルID=“FILE01”のファイル16−1を2007/07/08に読み出し(R)のアクセスをする場合である。この場合、ファイル16−1に登録された持出許可情報は図5の通りである。また、ユーザ端末10は持出許可情報を生成したのと同じユーザ端末10であり、管理サーバ20と接続できない状況にあるものとする。
まず、ユーザがユーザ端末10を操作してアプリケーション上でファイルID=“FILE01”の読み出しを指示すると、端末制御部15はこの操作を検出し(S71/Yes)、管理サーバ20に接続要求を発行する(S72)。ユーザ端末10は管理サーバ20と未接続なので、管理サーバ20から接続応答は帰らない。従って、端末制御部15は接続応答を確認できず(S73/No)、入出力装置11の表示装置にユーザID(B)とパスワード(B)の入力を指示する画面表示を行う(S74)。
ユーザは画面表示を見て、入出力装置11の入力装置を操作し、ユーザID=“009078”とパスワード=“PW9078”を入力する。端末制御部15は入力されたユーザID=“009078”とパスワード=“PW9078”を復号鍵として持出許可情報部19の復号情報に基づいて持出許可情報部19の暗号持出情報を復号する(S75)。
端末制御部15は復号された平文持出情報のユーザID=“009078”とパスワード=“PW9078”を読み出し、入力されたユーザID=“009078”とパスワード=“PW9078”とそれぞれ比較し一致すなわち認証成功を確認する(S76/Yes)。
端末制御部15は、アクセス当日=“2007/07/08”が、平文持出情報の有効期間=“2007/07/07〜2007/07/10”に含まれことを確認する(S77/Yes)。端末制御部15は平文持出情報のアクセス種別(R、W)に“R”が登録されていることを確認する(S78/Yes)。
端末制御部15は使用中のユーザ端末10に設定された端末ID=“TERM01”が、平文持出情報の端末ID=“TERM01”と一致することを確認する(S79/Yes)。端末制御部15は読み出し対象のファイル16−1のファイルID=“FILE01”が、平文持出情報のファイルID=“FILE01”と一致することを確認する(S80/Yes)。端末制御部15は以上の確認に成功したことにより、ファイル16−1に対するアクセスが許可されると判断し、入力されたアクセス指示を許可する。
このように本発明により、ユーザは持ち出し先でもセキュリティを確保した上で、秘匿情報を格納したファイル16をアクセスできるようになる。また、ユーザ端末10が盗難されたり紛失したりした場合、ユーザ端末10に認証情報が保持されていると、悪意のある第3者により認証情報を解読され盗まれる危険が発生する。
本発明では、管理サーバ20と未接続の状況で、機密データを持つファイル16をアクセスする場合、ユーザ端末10は記憶装置14に保持される持出許可情報を使用してアクセス制限する。持出許可情報は認証情報を含むが、本発明は持ち出しの前後の期間に限定して認証情報を持つ持出許可情報を保持し、保管期間も短期間に制限することを特徴とする。従って、本発明は、ユーザ端末10が盗難されたり紛失したりしても、認証情報が解読される危険性を回避できる。
これに対して、特許文献2の発明はアクセスを許可するための情報として履歴情報を用いる。このため、特許文献2の発明は盗難された装置内に常に認証情報が保管されており、認証情報を解読されてしまう危険が本発明に比べて著しく大きくなっている。本発明は認証情報をユーザ端末10内に保管する有効期間を制御することにより、認証情報を盗まれる危険性を大幅に改善している。
また、ユーザ端末10は持ち出し先から帰って管理サーバ20に接続すると自動的に持出許可情報を消去する。また、ユーザ端末10は有効期間を過ぎると自動的に持出許可情報を消去する。また、持出許可情報は認証情報によって暗号化される。これらの機能により、本発明は、認証情報を盗まれる危険性をさらに改善している。
また、本発明は、グループのアクセス権限を反映した持出許可情報を生成するので、持ち出し先でもグループのアクセス権限でアクセスが可能である。また、本発明は、アクセス種別を持出許可情報に含ませているため、持ち出し先でも読み出しや書込に応じてアクセスを制限することができる。
次に本発明の第3の実施例であるアクセス管理システムについて説明する。図9は本発明の第3の実施例のアクセス管理システムの構成を示したブロック図である。第3の実施例は、第2の実施例の構成と比べて、承認端末40が追加されている。第2の実施例は、主に、各ファイル16に設定されたアクセス権情報に従って、持ち出しの可否を判断する。これに対して、第3の実施例ではさらに承認者の承認の有無によって持ち出しの可否を判断する。
管理サーバ30は、管理サーバ20の機能に承認者による承認を実行するための構成を追加したものである。そのために、管理サーバ30は、承認者情報部38を記憶装置34に保持する。サーバ制御部35は、サーバ制御部25の機能に加えて、承認者による承認を実行するための動作を実行する機能を含む。これら以外の管理サーバ30の構成要素は、管理サーバ20の同名の構成要素と同じ機能であるので同じ符号を付し、説明は省略する。
承認者情報部38は、記憶装置34にある記憶領域であり、ユーザIDと承認者に関する情報とを関連付けた承認者情報を保持する。図10は承認者情報部38に保持される承認者情報の一例を示す図である。各承認者情報は、ユーザID、ユーザ名、所属、承認の必要性を示すフラグ、承認者名、および承認者アドレスを含んでいる。
図10では承認者アドレスとして承認者が使用する端末のIPアドレスを使用しているが、これに限定するものではない。フラグはユーザがファイルを持ち出す場合に承認者の承認を必要とするか否か示すものであり、“1”ならば必要で“0”ならば不要であることを示す。例えば、承認の権限を持つ役職者自身は承認を必要としないのでフラグを“0”と設定することができる。
記憶装置34は、サーバ制御部35、認証情報部26、暗号情報部27、および承認者情報部38の各記憶領域を含む。サーバ制御部35は管理サーバ30における本発明の動作を実行するプログラムである。動作内容は後述する。
承認端末40は、例えばパーソナルコンピュータや、PDAや、情報処理機能を備えた携帯電話機のような情報処理機器であり、入出力装置41と通信装置42とCPU43と記憶装置44とを含んでいる。図2ではユーザ端末10が1台接続される構成を示しているが、複数接続させることができる。入出力装置41と通信装置42とCPU43は、それぞれユーザ端末10の入出力装置11と通信装置12とCPU13と同様の機能を持つ。
記憶装置44は、ユーザ端末10の記憶装置14と同様に補助記憶装置と主記憶装置で構成され、承認制御部45を含む。承認制御部45は承認端末40における本発明の動作を実行するプログラムである。承認制御部45は、管理サーバ30から承認要求を受けて承認画面を入出力装置41の表示装置に表示し、承認者の入力内容である承認結果を返送する。詳細な動作内容については後述する。
図11は本発明の第3の実施例の動作を示したシーケンス図である。図11において、第2の実施例の動作を説明した図7と同じ動作内容のステップには、図7と同じ符号を付している。以下の説明では、図7の動作と異なる動作について説明を加える。図11では図7の動作にステップS64〜S66の動作が追加されている。ステップS51〜S63の動作は図7と同じであり、第2の実施例の動作で説明した通りであるので説明は省略する。ただし、ステップS57〜S63の動作はサーバ制御部25に代わってサーバ制御部35により実行される。
ステップS61で有効期間が適合すれば(S61/Yes)、サーバ制御部35は入力されたユーザID(A)をキーとして承認者情報部38から承認者情報を読み出す(S64)。続いてサーバ制御部35は承認要求を生成し、読み出した承認者情報に含まれるアドレスを宛先として承認要求を送信する(S64)。ここで生成される承認要求は、ユーザ端末10から受信したファイルID、アクセス種別、有効期間と、承認者情報に含まれるユーザ名、所属等の情報が含まれる。ただし、承認要求はこれらの全ての情報を含む必要はないし、別の情報を含むこともできる。
承認端末40の承認制御部45は、承認要求を受信すると承認画面を入出力装置41の表示装置に表示し、承認結果が入力されると、承認者の承認結果を返送する(S66)。図示しないが、例えば、承認制御部45は、承認要求に含まれるファイルID、ユーザ名、アクセス種別、有効期間、所属等の情報を承認画面に表示することができ、また承認者が承認/否認を入力操作するためのアイコン等を表示することができる。承認者は、承認画面を見て持ち出しの可否を判断し、入出力装置41の入力装置を操作して承認か否認の入力を行う。承認制御部45は、承認の入力を検出すれば承認結果として承認応答を返送し、否認の操作を検出すれば承認結果として否認応答を返送する。
サーバ制御部35は承認端末40からの応答を確認する(S65)。応答が承認応答であれば(S65/Yes)、サーバ制御部35は持出許可情報を生成し持出許可応答を持出許可要求元のユーザ端末10に返送する(S63)。応答が否認応答であれば(S65/No)、サーバ制御部35は持出否認応答を持出許可要求元のユーザ端末10に返送する(S62)。ステップS62、S63、S55、S56の動作内容は第2の実施例で説明した通りである。
また、認証失敗(S58/No)の場合、ユーザID権限無し(S59/No)かつグループID権限無し(S60/No)の場合、または、有効期間不適合(S61/No)の場合、サーバ制御部35はステップS64を実行せずにステップS62を実行する。この場合サーバ制御部35は持出否認応答を持出許可要求元のユーザ端末10に返送する。
このように、第3の実施例では、第2の実施例の確認内容に加えて、承認者による承認の手順を追加しているので、より厳密に持ち出しの管理を実現できる。例えば第3者がユーザを装って持出許可情報を取得しようとしても、承認者が業務状況から不審と気づくことにより持出許可情報の不正取得を防止することができる。
次に、以上説明した第1〜第3の実施例の一部を変形した構成について説明する。持ち出し先でのアクセス種別の確認は、図8のステップS78でのみ実行されるものとして説明したが、持出許可動作の手順中でも実行することができる。これを実現するために、ステップS54でユーザは持ち出し先で実行を希望するアクセス種別を入力する。サーバ制御部25またはサーバ制御部35は、図8のステップS90(アクセス種別の権限の確認を実行)と同じ動作を、図7または図11のステップS61(有効期間の適合確認)の後に追加することにより、持出許可動作にアクセス種別を追加することができる。また、サーバ制御部35はステップS64の承認要求に許可されたアクセス種別を付加し、ステップS66で承認者がアクセス種別を限定できるようにすることもできる。
例えば、ユーザID=009078のユーザはファイルID=FILE01のファイルに対して読み出し(R)と書込(W)のアクセスが可能である。ユーザがステップS54で読み出し(R)のみを指示すれば、サーバ制御部25またはサーバ制御部35はアクセス種別を“R”とした持出許可情報を生成することができる。また、ユーザがステップS54でアクセス種別の限定をしなかった場合でも、承認者がステップS66で読み出し(R)のみ許可する操作をすることにより、サーバ制御部35は書込を禁止したアクセス種別が“R”となる持出許可情報を生成することができる。
このようにアクセス種別を“R”とした持出許可情報を使用すれば、承認者は持ち出し先でのユーザのアクセスを読み出しのみに制限することができる。このように構成することにより、本発明は、持ち出し先でのアクセス権限を、管理サーバ20接続時のアクセス権限と変えて、より強いセキュリティを実現することもできる。逆に、読み出し(R)のみ可能なユーザに対して、承認者が書込の権限をステップS66で与えるようにすれば、ユーザは書込の権限を持った持出許可情報を取得することもできる。
また、第1〜第3の実施例では、アクセス権情報部18と持出許可情報部19を対応するファイル16内に組み込む構成としているが、アクセス権情報部18と持出許可情報部19はファイル16内に設ける必要はない。アクセス権情報部18と持出許可情報部19は、格納位置がファイル16と関連付けられていれば記憶装置14内の別の場所にそれぞれをまとめて配置することもできる。
10 ユーザ端末
11 入出力装置
12 通信装置
13 CPU
14 記憶装置
15 端末制御部
16 ファイル
17 データ部
18 アクセス権情報部
19 持出許可情報部
20 管理サーバ
22 通信装置
23 CPU
24 記憶装置
25 サーバ制御部
26 認証情報部
27 暗号情報部
29 ネットワーク
30 管理サーバ
34 記憶装置
35 サーバ制御部
38 承認者情報部
40 承認端末
41 入出力装置
42 通信装置
43 CPU
44 記憶装置
45 承認制御部
11 入出力装置
12 通信装置
13 CPU
14 記憶装置
15 端末制御部
16 ファイル
17 データ部
18 アクセス権情報部
19 持出許可情報部
20 管理サーバ
22 通信装置
23 CPU
24 記憶装置
25 サーバ制御部
26 認証情報部
27 暗号情報部
29 ネットワーク
30 管理サーバ
34 記憶装置
35 サーバ制御部
38 承認者情報部
40 承認端末
41 入出力装置
42 通信装置
43 CPU
44 記憶装置
45 承認制御部
Claims (24)
- 持出要求があると、管理サーバに接続して、ファイルのアクセス条件と有効期間を含む持出許可情報を取得して保持し、
前記管理サーバと接続不能な状況で前記ファイルへのアクセス要求が発生すると、認証情報(B)を入力させ、入力された認証情報(B)が前記持出許可情報のアクセス条件に適合し、かつ、持出許可情報の有効期間内であれば前記ファイルへのアクセスを許可することを特徴とするユーザ端末。 - 持出要求があると、認証情報(A)を入力させ、認証情報(A)を付した持出許可要求を前記管理サーバに送信し、
前記持出許可情報の前記アクセス条件は認証情報(A)を含むように生成され、
認証情報(A)を含む前記アクセス条件を取得し、
前記入力された認証情報(B)と前記持出許可情報に含まれる認証情報(A)とが一致した場合に前記アクセス条件に適合したと判断することを特徴とする請求項1のユーザ端末。 - 前記認証情報(A、B)はユーザを識別するユーザIDとパスワードを含むことを特徴とする請求項2のユーザ端末。
- 前記有効期間以降に前記管理サーバに接続した際、前記持出許可情報を消去することを特徴とする請求項1ないし3のいずれかのユーザ端末。
- 前記有効期間が過ぎた前記持出許可情報を消去することを特徴とする請求項1ないし3のいずれかのユーザ端末。
- 持出要求があると、前記持出許可情報を有効としたい期間(A)を入力させ、前記持出許可要求に付して送信し、
入力された期間(A)が予め決められた条件に適合している場合、入力された期間(A)を期間情報として生成した持出許可情報を受信して保持することを特徴とする請求項1ないし5のいずれかのユーザ端末。 - 前記認証情報(A)を暗号鍵として暗号化された前前記持出許可情報を、記認証情報(B)を復号鍵として復号することを特徴とする請求項2または3のユーザ端末。
- 前記アクセス権情報は前記ファイルへのアクセスを許可された前記ユーザIDを含み、前記ファイルと前記アクセス権情報を保持し、前記持出許可要求に前記アクセス権情報を付加して送信することを特徴とする請求項3のユーザ端末。
- 前記アクセス権情報は、前記ファイルへのアクセスを許可された前記ユーザIDと、アクセス種別とを対応づけて含み、
前記持出許可情報は、前記持出許可要求に付された認証情報(A)に含まれるユーザIDが、前記アクセス権情報に含まれている場合に、前記アクセス種別を含んで生成され、
前記アクセス要求が発生した際、前記認証情報(B)と前記認証情報(A)とが一致し、かつ、前記アクセス要求のアクセス種別が前記持出許可情報に含まれる場合に前記アクセス条件に適合したと判断することを特徴とする請求項3のユーザ端末。 - ユーザ端末と管理サーバを含むアクセス管理システムであって、
前記ユーザ端末は、持出要求があると、前記管理サーバと接続してファイルのアクセス条件と有効期間を含む持出許可情報を取得して保持し、
前記管理サーバと接続不能な状況で前記ファイルへのアクセス要求が発生すると、認証情報(B)を入力させ、入力された認証情報(B)が保持している持出許可情報のアクセス条件に適合し、かつ、持出許可情報の有効期間内であれば前記ファイルへのアクセスを許可することを特徴とするアクセス管理システム。 - 前記ユーザ端末は、持出要求があると、認証情報(A)を入力させ、認証情報(A)を付した持出許可要求を前記管理サーバに送信し、
前記管理サーバは、前記ファイルへのアクセス権情報と認証情報(A)とに基づいて持出可否の確認を実行し、持出可能な場合に認証情報(A)を前記アクセス条件に含んだ前記持出許可情報を生成して返送し、
前記ユーザ端末は、前記入力された認証情報(B)と前記持出許可情報に含まれる認証情報(A)とが一致した場合に前記アクセス条件に適合したと判断することを特徴とする請求項10のアクセス管理システム。 - 前記認証情報(A、B)はユーザを識別するユーザIDとパスワードを含むことを特徴とする請求項11のアクセス管理システム。
- 前記有効期間以降に管理サーバに接続した際、前記持出許可情報を消去することを特徴とする請求項10ないし12のいずれかのアクセス管理システム。
- 前記有効期間が過ぎた前記持出許可情報を消去することを特徴とする請求項10ないし12のいずれかのアクセス管理システム。
- 前記ユーザ端末は、持出要求があると、前記持出許可情報を有効としたい期間(A)を入力させ、前記持出許可要求に付して送信し、
前記管理サーバは、入力された期間(A)が予め決められた条件に適合している場合、入力された期間(A)を前記有効期間として持出許可情報を生成することを特徴とする請求項10ないし14のいずれかのアクセス管理システム。 - 前記管理サーバは、前記認証情報(A)を暗号鍵として前記持出許可情報を暗号化し、
前記ユーザ端末は、前記認証情報(B)を復号鍵として前記持出許可情報を復号することを特徴とする請求項11または12のアクセス管理システム。 - 前記アクセス権情報は前記ファイルへのアクセスを許可されたユーザIDを含み、
前記ユーザ端末は、前記ファイルと前記アクセス権情報を保持し、前記持出許可要求に前記アクセス権情報を付加して送信することを特徴とする請求項12のアクセス管理システム。 - 前記アクセス権情報は、前記ファイルへのアクセスを許可された前記ユーザIDと、アクセス種別とを対応づけて含み、
前記持出許可情報は、前記持出許可要求に付された認証情報(A)に含まれるユーザIDが、前記アクセス権情報に含まれている場合に、前記アクセス種別を含んで生成され、
前記ユーザ端末は、前記アクセス要求が発生した際、前記認証情報(B)と前記認証情報(A)とが一致し、かつ、前記アクセス要求のアクセス種別が前記持出許可情報に含まれる場合にアクセス条件に適合したと判断することを特徴とする請求項12のアクセス管理システム。 - 前記アクセス権情報は、前記ファイルへのアクセスを許可された前記ユーザIDとアクセス種別とを対応づけた情報、または、前記ファイルへのアクセスを許可された前記グループIDとアクセス種別とを対応づけた情報を少なくとも1つ含み、
前記管理サーバは、前記ユーザID毎にグループIDを対応づけて保持する認証情報を有し、前記認証情報(A)に含まれるユーザIDが、前記アクセス権情報に含まれる場合、または、前記認証情報(A)に含まれるユーザIDに対応づけられたグループIDが、前記アクセス権情報に含まれる場合、前記ユーザIDに対応づけられたアクセス種別と前記グループIDに対応づけられたアクセス種別とに基づいて生成したアクセス種別を、前記アクセス条件に含めるように前記持出許可情報を生成することを特徴とする請求項12のアクセス管理システム。 - 前記管理サーバは、前記ユーザID毎に対応して承認端末を設定した承認情報を保持し、前記アクセス可能な場合、さらに前記承認情報を参照して要求元のユーザIDに対応した認証装置に接続して承認要求し、承認に成功すると前記持出許可情報を生成して返送し、
前記承認装置は、承認要求を受けると承認の可否を入力させ、入力された承認結果を返送することを特徴とする請求項12のアクセス管理システム。 - 持出要求があると、管理サーバに接続して、ファイルのアクセス条件と有効期間を含む持出許可情報を取得して保持する手順と、
前記管理サーバと接続不能な状況で前記ファイルへのアクセス要求が発生すると、認証情報(B)を入力させ、入力された認証情報(B)が前記持出許可情報のアクセス条件に適合し、かつ、持出許可情報の有効期間内であれば前記ファイルへのアクセスを許可する手順とをコンピュータに実行させることを特徴とするプログラム。 - 持出要求があると、認証情報(A)を入力させ、認証情報(A)を付した持出許可要求を前記管理サーバに送信する手順をコンピュータに実行させ、
前記持出許可情報に含まれる前記認証情報(A)と前記入力された認証情報(B)とが一致した場合に前記アクセス条件に適合したと判断することを特徴とする請求項21のプログラム。 - 持出要求があると、管理サーバに接続して、ファイルのアクセス条件と有効期間を含む持出許可情報を取得して保持しておき、
前記管理サーバと接続不能な状況で前記ファイルへのアクセス要求が発生すると、認証情報(B)を入力させ、入力された認証情報(B)が前記持出許可情報のアクセス条件に適合し、かつ、持出許可情報の有効期間内であれば前記ファイルへのアクセスを許可することを特徴とするアクセス管理方法。 - 持出要求があると、認証情報(A)を入力させ、認証情報(A)を付した持出許可要求を前記管理サーバに送信し、
前記持出許可情報の前記アクセス条件は認証情報(A)を含むように生成され、
前記入力された認証情報(B)と前記持出許可情報に含まれる認証情報(A)とが一致した場合に前記アクセス条件に適合したと判断することを特徴とする請求項23のアクセス管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007179602A JP2009015766A (ja) | 2007-07-09 | 2007-07-09 | ユーザ端末、アクセス管理システム、アクセス管理方法、およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007179602A JP2009015766A (ja) | 2007-07-09 | 2007-07-09 | ユーザ端末、アクセス管理システム、アクセス管理方法、およびプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009015766A true JP2009015766A (ja) | 2009-01-22 |
Family
ID=40356568
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007179602A Pending JP2009015766A (ja) | 2007-07-09 | 2007-07-09 | ユーザ端末、アクセス管理システム、アクセス管理方法、およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009015766A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010271747A (ja) * | 2009-05-19 | 2010-12-02 | Hitachi Ltd | ファイルアクセス制御方法 |
| JP2011134037A (ja) * | 2009-12-24 | 2011-07-07 | Fujitsu Ltd | ファイル管理装置、ファイル管理プログラム、およびファイル管理方法 |
| JP2018013844A (ja) * | 2016-07-19 | 2018-01-25 | 富士ゼロックス株式会社 | 端末装置 |
| JP2019175071A (ja) * | 2018-03-28 | 2019-10-10 | 東芝情報システム株式会社 | ファイル管理方法、システム、端末およびプログラム |
| JP2020501213A (ja) * | 2016-12-27 | 2020-01-16 | ドロップボックス, インコーポレイテッド | カーネルイベントトリガ |
| CN112906059A (zh) * | 2021-01-19 | 2021-06-04 | 中国银联股份有限公司 | 代理签名和验证方法、装置、系统及存储介质 |
| US11455278B2 (en) | 2017-10-16 | 2022-09-27 | Dropbox, Inc. | Workflow functions of content management system enforced by client device |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003218851A (ja) * | 2001-12-12 | 2003-07-31 | Pervasive Security Systems Inc | ディジタル資産を安全化する方法及び装置 |
| JP2003228520A (ja) * | 2001-12-12 | 2003-08-15 | Pervasive Security Systems Inc | 保護電子データにオフラインでアクセスする方法及び装置 |
| JP2005141746A (ja) * | 2003-10-31 | 2005-06-02 | Adobe Syst Inc | 文書制御システムにおけるオフラインアクセス |
| WO2006018864A1 (ja) * | 2004-08-17 | 2006-02-23 | Mitsubishi Denki Kabushiki Kaisha | 記憶装置および記憶方法 |
| JP2007087081A (ja) * | 2005-09-21 | 2007-04-05 | Oki Electric Ind Co Ltd | 金融取引システム |
| WO2007052342A1 (ja) * | 2005-11-01 | 2007-05-10 | Intelligent Wave Inc. | 情報保全プログラム、情報保全方法及び情報保全システム |
-
2007
- 2007-07-09 JP JP2007179602A patent/JP2009015766A/ja active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003218851A (ja) * | 2001-12-12 | 2003-07-31 | Pervasive Security Systems Inc | ディジタル資産を安全化する方法及び装置 |
| JP2003228520A (ja) * | 2001-12-12 | 2003-08-15 | Pervasive Security Systems Inc | 保護電子データにオフラインでアクセスする方法及び装置 |
| JP2005141746A (ja) * | 2003-10-31 | 2005-06-02 | Adobe Syst Inc | 文書制御システムにおけるオフラインアクセス |
| WO2006018864A1 (ja) * | 2004-08-17 | 2006-02-23 | Mitsubishi Denki Kabushiki Kaisha | 記憶装置および記憶方法 |
| JP2007087081A (ja) * | 2005-09-21 | 2007-04-05 | Oki Electric Ind Co Ltd | 金融取引システム |
| WO2007052342A1 (ja) * | 2005-11-01 | 2007-05-10 | Intelligent Wave Inc. | 情報保全プログラム、情報保全方法及び情報保全システム |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010271747A (ja) * | 2009-05-19 | 2010-12-02 | Hitachi Ltd | ファイルアクセス制御方法 |
| JP2011134037A (ja) * | 2009-12-24 | 2011-07-07 | Fujitsu Ltd | ファイル管理装置、ファイル管理プログラム、およびファイル管理方法 |
| JP2018013844A (ja) * | 2016-07-19 | 2018-01-25 | 富士ゼロックス株式会社 | 端末装置 |
| JP2020501213A (ja) * | 2016-12-27 | 2020-01-16 | ドロップボックス, インコーポレイテッド | カーネルイベントトリガ |
| US11467891B2 (en) | 2016-12-27 | 2022-10-11 | Dropbox, Inc. | Kernel event triggers for content item security |
| US11455278B2 (en) | 2017-10-16 | 2022-09-27 | Dropbox, Inc. | Workflow functions of content management system enforced by client device |
| JP2019175071A (ja) * | 2018-03-28 | 2019-10-10 | 東芝情報システム株式会社 | ファイル管理方法、システム、端末およびプログラム |
| JP7012927B2 (ja) | 2018-03-28 | 2022-01-31 | 東芝デジタルエンジニアリング株式会社 | ファイル管理方法、システム、端末およびプログラム |
| CN112906059A (zh) * | 2021-01-19 | 2021-06-04 | 中国银联股份有限公司 | 代理签名和验证方法、装置、系统及存储介质 |
| CN112906059B (zh) * | 2021-01-19 | 2024-02-23 | 中国银联股份有限公司 | 代理签名和验证方法、装置、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10397008B2 (en) | Management of secret data items used for server authentication | |
| US20190109857A1 (en) | Securing cloud drives using environment-aware security tokens | |
| US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
| JP3640338B2 (ja) | 安全な電子データ格納、取出しシステムおよび方法 | |
| US7702922B2 (en) | Physical encryption key system | |
| US11232222B2 (en) | Access management system, access management method and program | |
| US7471796B2 (en) | Apparatus for and method of controlling propagation of decryption keys | |
| US7707416B2 (en) | Authentication cache and authentication on demand in a distributed network environment | |
| JP2003228519A (ja) | デジタル資産にパーベイシブ・セキュリティを提供する方法及びアーキテクチャ | |
| JPH07505970A (ja) | 機密保護コンピュータ・システムに於ける暗号化データ機密保護方式 | |
| JP2009087035A (ja) | 暗号クライアント装置、暗号パッケージ配信システム、暗号コンテナ配信システム、暗号管理サーバ装置、ソフトウェアモジュール管理装置、ソフトウェアモジュール管理プログラム | |
| JPWO2010061801A1 (ja) | 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム | |
| WO2007048251A1 (en) | Method of providing secure access to computer resources | |
| JP2009015766A (ja) | ユーザ端末、アクセス管理システム、アクセス管理方法、およびプログラム | |
| US7487535B1 (en) | Authentication on demand in a distributed network environment | |
| KR100954841B1 (ko) | 모바일 기기에서의 통합형 데이터 관리 방법, 그 장치 및이를 기록한 기록 매체 | |
| EP4096147A1 (en) | Secure enclave implementation of proxied cryptographic keys | |
| JP2006228139A (ja) | セキュリティ管理システム | |
| JP2016218770A (ja) | 電子ファイル授受システム | |
| JP2008026925A (ja) | ファイル管理プログラム | |
| JP4657706B2 (ja) | 権限管理システム、認証サーバ、権限管理方法および権限管理プログラム | |
| KR20110128371A (ko) | 모바일 클라이언트 보안인증시스템과 중앙제어시스템 및 그 동작방법 | |
| JP2018110442A (ja) | アクセス管理システム、アクセス管理方法及びプログラム | |
| JP2008269544A (ja) | 利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラム | |
| JP2006072664A (ja) | ファイル管理システム、およびファイル管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20090512 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110214 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110222 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110705 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20110705 |