JP2010055297A - アクセス制御プログラム,アクセス制御方法及びアクセス制御装置 - Google Patents
アクセス制御プログラム,アクセス制御方法及びアクセス制御装置 Download PDFInfo
- Publication number
- JP2010055297A JP2010055297A JP2008218432A JP2008218432A JP2010055297A JP 2010055297 A JP2010055297 A JP 2010055297A JP 2008218432 A JP2008218432 A JP 2008218432A JP 2008218432 A JP2008218432 A JP 2008218432A JP 2010055297 A JP2010055297 A JP 2010055297A
- Authority
- JP
- Japan
- Prior art keywords
- user
- role
- repository
- mobile terminal
- roll
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】ロールベースアクセス制御において、利用者認証及びクレデンシャル発行を行うSSOサーバからロール参照要求があったときに、利用者の静的属性が保持されるリポジトリからロールを取得する。また、利用者の携帯電話に位置確認メールを定期的に送信し、その応答を介して携帯端末の位置座標を把握する。そして、利用者の携帯端末の位置を定期的に測位した位置情報に基づいて、リポジトリから取得したロールを順次書き換えて返送する。
【選択図】図8
Description
図1は、本発明を具現化したアクセス制御装置の一実施形態を示す。
電子情報閲覧等のアクセスサービスを提供する各種アプリケーションサーバ10の利用者20の携帯端末22は、公衆無線LAN(Local Area Network)などを介して、SSO(シングルサインオン)サーバ30に接続される。SSOサーバ30は、利用者20の携帯端末22において利用者ID(identifier)及びパスワードを指定したログインがなされたときに、利用者ID及びパスワードに基づいて利用者認証を行うと共に、利用者20のロールからクレデンシャルを生成する。また、利用者の静的属性を保持するリポジトリ40には、利用者IDに関連付けたパスワード,ロール及び所属などのプロファイルが保持される。
携帯端末22において利用者ID及びパスワードを指定したログインが行われると、携帯端末22からSSOサーバ30に対して、利用者ID及びパスワードを付属情報としたサインオン要求が送信される。サインオン要求を受信したSSOサーバ30では、ロール書換部52に対して利用者IDを付属情報としたパスワード参照要求が送信される。パスワード参照要求を受信したロール書換部52では、リポジトリ40を参照して利用者IDに関連付けられたパスワードが取得され、これがSSOサーバ30へと送信される。パスワードを受信したSSOサーバ30では、サインオン要求に係るパスワードとロール書換部52からのパスワードを比較して利用者認証を行った後、ロール書換部52に対して利用者IDを付属情報としたロール参照要求が送信される。ロール参照要求を受信したロール書換部52では、リポジトリ40を参照して利用者IDに関連付けられたロール及び所属が取得されると共に、位置情報管理部54に対して携帯電話24のメールアドレスを付属情報とした位置座標要求が送信される。
ステップ1(図では「S1」と略記する。以下同様)では、ロール書換部52にパスワード参照要求を送信する。
ステップ5では、ロール書換部52からロールを受信したか否かを判定する。そして、ロールを受信したならばステップ6へと進む一方(Yes)、ロールを受信していなければ待機する(No)。
ステップ7では、携帯端末22にクレデンシャルを送信する。
ステップ8では、電子情報閲覧等へのアクセスサービスを中止するサインオフ要求を受信したか否かを判定する。そして、サインオフ要求を受信したならば処理を終了する一方(Yes)、サインオフ要求を受信していなければ待機する(No)。
ステップ11では、図2に示すID紐付け管理テーブル58を参照し、利用者IDに関連付けられたリポジトリIDを取得する。
ステップ13では、SSOサーバ30にパスワードを送信する。
ステップ16では、図2に示すID紐付け管理テーブル58を参照し、利用者IDに関連付けられたメールアドレスを取得する。そして、利用者20の携帯電話24がどこにあるかを問い合わせるべく、位置情報管理部54にメールアドレスを付属情報とした位置座標要求を送信する。
ステップ19では、図4に示す書換ルールテーブル62を参照し、位置情報,所属及び時間を満たす条件に関連付けられた書き換え内容を取得する。ここで、時間としては、処理時の時間を用いればよい。
ステップ21では、SSOサーバ30にロールを送信する。
ステップ31では、位置座標の問合せIDを生成した後、図5に示す問合せ管理テーブル64に、メールアドレスと問合せIDを関連付けて登録する。
ステップ33では、携帯電話24から位置座標を受信したか否かを判定する。そして、位置座標を受信したならばステップ34へと進む一方(Yes)、位置座標を受信していなければ待機する(No)。
このようなアクセス制限処理によれば、電子情報閲覧等のサービスへのアクセスを希望する利用者20のロールは、利用者位置に基づいて動的に書き換えられる。そして、このロールから生成されたクレデンシャルにより、アプリケーションサーバ10から提供されるサービス内容が制限される。このため、書換ルールテーブル62を適切に設定しておけば、例えば、社内と社外とでアクセス制限範囲を異ならせることが可能となり、顧客情報などの機密情報の漏洩を抑制することができる。
ステップ41では、仮想サインオフ部56に通知開始要求を送信する。
ステップ44では、位置座標管理部54から位置座標を受信したか否かを判定する。そして、位置座標を受信したならばステップ45へと進む一方(Yes)、位置座標を受信していなければ待機する(No)。
ステップ46では、図4に示す書換ルールテーブル62を参照し、位置情報,所属及び時間を満たす条件に関連付けられた書き換え内容を取得する。
ステップ48では、仮想サインオフ部56にロールを送信する。
ステップ51では、位置情報管理部54に通知開始要求を送信する。
ステップ54では、位置情報管理部54から座標変化通知を受信したか否かを判定する。そして、座標変化通知を受信したならばステップ55へと進む一方(Yes)、座標変化通知を受信していなければ待機する(No)。
ステップ56では、ロール書換部52からロールを受信したか否かを判定する。そして、ロールを受信したならばステップ57へと進む一方(Yes)、ロールを受信していなければ待機する(No)。
ステップ59では、位置情報管理部54に通知終了要求を送信する。
ステップ60では、ロール書換部52に終了通知を送信する。
ステップ61では、問合せIDを生成した後、図5に示す問合せ管理テーブル64に、メールアドレスと問合せIDを関連付けて登録する。なお、問合せ管理テーブル64の位置座標及び更新日時は、空欄(未設定)としておけばよい。
ステップ63では、仮想サインオフ部56に通知要求IDを送信する。
ステップ65では、携帯電話24から位置座標を受信したか否かを判定する。そして、位置座標を受信したならばステップ66へと進む一方(Yes)、位置座標を受信していなければ待機する(No)。
ステップ68では、仮想サインオフ部56に座標変化通知を送信する。
ステップ71では、ロール書換部52に位置座標を送信する。
ステップ72では、仮想サインオフ部56から通知終了要求を受信したか否かを判定する。そして、通知終了要求を受信したならばステップ73へと進む一方(Yes)、通知終了要求を受信していなければステップ64へと戻る(No)。
このようなクレデンシャル失効処理によれば、利用者の移動によりロールが変化すると、アプリケーションサーバ10を利用するためのクレデンシャルを失効させるべく、SSOサーバ30にサインオフ要求が送信される。そして、SSOサーバ30においてサインオフが行われ、携帯端末22に送信済みのクレデンシャルが無効となる。このため、アプリケーションサーバ10の利用者20は、電子情報閲覧等のサービスへのアクセスが不能となり、さらなるセキュリティ向上を図ることができる。
22 携帯端末
24 携帯電話
30 SSOサーバ
40 リポジトリ
50 アクセス制御装置
52 ロール書換部
54 位置情報管理部
56 仮想サインオフ部
58 ID紐付け管理テーブル
60 位置情報変換テーブル
62 書換ルールテーブル
64 問合せ管理テーブル
66 通知要求管理テーブル
68 通知要求管理テーブル
Claims (5)
- 携帯端末において利用者IDを指定したログインが行われたときに、該利用者IDにより特定される利用者のロールからクレデンシャルを生成するサーバと、利用者IDに関連付けたロールが少なくとも保持されるリポジトリと、の間を仲介するコンピュータに、
前記サーバからロール参照要求があったときに、前記リポジトリを参照して利用者IDに関連付けられたロールを取得するステップと、
前記携帯端末の位置を定期的に測位した位置情報に基づいて、前記リポジトリから取得したロールを順次書き換えて返送するステップと、
を実現させるためのアクセス制御プログラム。 - 前記コンピュータに、
前記携帯端末の位置を定期的に測位した位置情報に基づいて、該携帯端末の位置が変化したか否かを判定するステップと、
前記携帯端末の位置が変化したと判定したときに、前記リポジトリから取得したロールを最新の位置情報に基づいて書き換えるステップと、
前記携帯端末の位置の変化前後においてロールが変化したときに、前記サーバに対してクレデンシャルの失効要求を送信するステップと、
をさらに実現させることを特徴とする請求項1記載のアクセス制御プログラム。 - 前記携帯端末の位置情報は、その利用者の携帯電話の位置から間接的に求められることを特徴とする請求項1又は請求項2に記載のアクセス制御プログラム。
- 携帯端末において利用者IDを指定したログインが行われたときに、該利用者IDにより特定される利用者のロールからクレデンシャルを生成するサーバと、利用者IDに関連付けたロールが少なくとも保持されるリポジトリと、の間を仲介するコンピュータが、
前記サーバからロール参照要求があったときに、前記リポジトリを参照して利用者IDに関連付けられたロールを取得するステップと、
前記携帯端末の位置を定期的に測位した位置情報に基づいて、前記リポジトリから取得したロールを順次書き換えて返送するステップと、
を実行することを特徴とするアクセス制御方法。 - 携帯端末において利用者IDを指定したログインが行われたときに、該利用者IDにより特定される利用者のロールからクレデンシャルを生成するサーバと、利用者IDに関連付けたロールが少なくとも保持されるリポジトリと、の間を仲介するアクセス制御装置であって、
前記サーバからロール参照要求があったときに、前記リポジトリを参照して利用者IDに関連付けられたロールを取得するロール取得手段と、
前記携帯端末の位置を定期的に測位した位置情報に基づいて、前記ロール取得手段により取得されたロールを順次書き換えて返送するロール返送手段と、
を含んで構成されたことを特徴とするアクセス制御装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008218432A JP5195163B2 (ja) | 2008-08-27 | 2008-08-27 | アクセス制御プログラム,アクセス制御方法及びアクセス制御装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008218432A JP5195163B2 (ja) | 2008-08-27 | 2008-08-27 | アクセス制御プログラム,アクセス制御方法及びアクセス制御装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010055297A true JP2010055297A (ja) | 2010-03-11 |
JP5195163B2 JP5195163B2 (ja) | 2013-05-08 |
Family
ID=42071155
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008218432A Expired - Fee Related JP5195163B2 (ja) | 2008-08-27 | 2008-08-27 | アクセス制御プログラム,アクセス制御方法及びアクセス制御装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5195163B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101272136B1 (ko) * | 2011-03-23 | 2013-06-07 | 주식회사 에어큐브 | 이동성이 강한 이동 단말기에서의 위치 기반 보안 구현 방법 |
JP2014032670A (ja) * | 2012-08-01 | 2014-02-20 | Secunet Security Networks Ag | サービスに対して安全にアクセスするための方法 |
CN104036205A (zh) * | 2014-05-07 | 2014-09-10 | 集美大学 | 具有防窥功能的密码输入装置 |
WO2023127312A1 (ja) * | 2021-12-27 | 2023-07-06 | 株式会社日立ハイテク | 情報管理システム、情報管理方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003099400A (ja) * | 2001-09-26 | 2003-04-04 | Fujitsu Ltd | セキュリティ管理装置及びセキュリティ管理方法並びにセキュリティ管理用プログラム |
JP2004220464A (ja) * | 2003-01-17 | 2004-08-05 | Nec Corp | エリア限定コンテンツ配信方法及びシステム |
JP2007004243A (ja) * | 2005-06-21 | 2007-01-11 | Kddi Corp | アクセス制御システム |
JP2007094548A (ja) * | 2005-09-27 | 2007-04-12 | Softbank Telecom Corp | アクセス制御システム |
-
2008
- 2008-08-27 JP JP2008218432A patent/JP5195163B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003099400A (ja) * | 2001-09-26 | 2003-04-04 | Fujitsu Ltd | セキュリティ管理装置及びセキュリティ管理方法並びにセキュリティ管理用プログラム |
JP2004220464A (ja) * | 2003-01-17 | 2004-08-05 | Nec Corp | エリア限定コンテンツ配信方法及びシステム |
JP2007004243A (ja) * | 2005-06-21 | 2007-01-11 | Kddi Corp | アクセス制御システム |
JP2007094548A (ja) * | 2005-09-27 | 2007-04-12 | Softbank Telecom Corp | アクセス制御システム |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101272136B1 (ko) * | 2011-03-23 | 2013-06-07 | 주식회사 에어큐브 | 이동성이 강한 이동 단말기에서의 위치 기반 보안 구현 방법 |
JP2014032670A (ja) * | 2012-08-01 | 2014-02-20 | Secunet Security Networks Ag | サービスに対して安全にアクセスするための方法 |
CN104036205A (zh) * | 2014-05-07 | 2014-09-10 | 集美大学 | 具有防窥功能的密码输入装置 |
WO2023127312A1 (ja) * | 2021-12-27 | 2023-07-06 | 株式会社日立ハイテク | 情報管理システム、情報管理方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5195163B2 (ja) | 2013-05-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10673858B2 (en) | Centralized authentication for granting access to online services | |
CN110636496B (zh) | 用于无线设备的隐私增强的方法、设备和计算机可读介质 | |
JP4772348B2 (ja) | モバイル装置の管理ツリーにおける接続オブジェクト | |
US8689277B2 (en) | Method and system for providing location of target device using stateless user information | |
US9819668B2 (en) | Single sign on for native and wrapped web resources on mobile devices | |
JP4612817B2 (ja) | グループ管理装置及び情報処理方法、ならびにコンピュータプログラム及び記録媒体 | |
JP6600156B2 (ja) | 動的な提示およびデータの構成を使用するセキュリティ保護されたモバイル共同アプリケーションを構築するためのプラットフォーム | |
WO2018133683A1 (zh) | 网络鉴权方法及装置 | |
US8966118B2 (en) | Unauthenticated redirection requests with protection | |
US20050091539A1 (en) | Supporting auto-logon for multiple devices | |
US20110265166A1 (en) | Integrated authentication | |
KR20120036831A (ko) | 갱신들의 소셜 네트워킹 서비스 내로의 통합 | |
US20180089451A1 (en) | Tokenized links with granular permissions | |
JP5195163B2 (ja) | アクセス制御プログラム,アクセス制御方法及びアクセス制御装置 | |
US20200145414A1 (en) | Proximity-based device authentication | |
JP2009075688A (ja) | 携帯装置の位置に関する情報とファイル用暗号鍵とを管理するためのプログラムおよび方法 | |
US7784085B2 (en) | Enabling identity information exchange between circles of trust | |
US8254395B2 (en) | Computer-implemented method, system, and program product for tracking a location of a user of a wireless device in a private network environment | |
US20140047536A1 (en) | Electronic device and method for performing user authentication using access point and peripheral device | |
KR20150053622A (ko) | 네트워크를 통한 서비스 기능 관리 방법 및 그 장치 | |
JP2007226343A (ja) | プレゼンス・システム、プレゼンス提供方法およびプログラム | |
US20140148194A1 (en) | Location position mobile device management system | |
US10554789B2 (en) | Key based authorization for programmatic clients | |
JP5985675B2 (ja) | 携帯端末装置を用いた情報提供サービスシステム、携帯端末装置、情報提供サービス方法、及び、プログラム | |
JP2006079253A (ja) | 情報処理装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110513 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121226 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130121 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160215 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |