JP2011076377A - Terminal device and access control policy obtaining method in the terminal device - Google Patents

Terminal device and access control policy obtaining method in the terminal device Download PDF

Info

Publication number
JP2011076377A
JP2011076377A JP2009227292A JP2009227292A JP2011076377A JP 2011076377 A JP2011076377 A JP 2011076377A JP 2009227292 A JP2009227292 A JP 2009227292A JP 2009227292 A JP2009227292 A JP 2009227292A JP 2011076377 A JP2011076377 A JP 2011076377A
Authority
JP
Japan
Prior art keywords
access control
control policy
authentication server
policy
offline
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009227292A
Other languages
Japanese (ja)
Other versions
JP5318719B2 (en
Inventor
Ryosuke Okashiwa
良介 大栢
Yuzo Oshida
勇三 押田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2009227292A priority Critical patent/JP5318719B2/en
Publication of JP2011076377A publication Critical patent/JP2011076377A/en
Application granted granted Critical
Publication of JP5318719B2 publication Critical patent/JP5318719B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To obtain or change an off-line policy, even under a state where communication is unavailable between a terminal device and an authentication server. <P>SOLUTION: An access control policy obtaining method in a terminal device includes a deciding means for deciding whether communication is available between the terminal device and the authentication server 103, which stores an access control policy during an on-line log-in for each user at the time of log-in by the user and an access control policy obtaining means 208 for obtaining the access control policy, during the on-line log-in from the authentication server, when the communication can be made between the terminal device and the authentication server, and for obtaining the access control policy during the off-line log-in from a connected token device 402, which records the access control policy during the off-line log-in, when the communication cannot be made between the terminal device and the authentication server. A control policy in the token device 402 can be updated by receiving information from a mail server 701. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、端末装置及び端末装置におけるアクセス制御ポリシー取得方法に係り、特に、サーバ等からアクセス制御ポリシーを取得し、取得したアクセス制御ポリシーに従った処理を可能とした端末装置及び端末装置におけるアクセス制御ポリシー取得方法に関する。   The present invention relates to a terminal device and an access control policy acquisition method in the terminal device, and in particular, an access control policy is acquired from a server or the like, and access according to the acquired access control policy is enabled. The present invention relates to a control policy acquisition method.

一般に、端末装置(以下、クライアントマシンという)におけるアクセス制御は、企業のような情報システムを想定すると、クライアントマシンがシステムへのログイン時に認証サーバからアクセス制御ポリシーを取得し、ログイン後には認証サーバから取得したアクセス制御ポリシーが反映され、ログアウト後には、全権限が制限された状態に戻るという形式のものが中心となっている。そして、アクセス制御ポリシーによって保護されるリソースは、ドキュメント、印刷機能、外部媒体へのデータ書き出し機能、メール送受信機能等多岐にわたる。   In general, for access control in a terminal device (hereinafter referred to as a client machine), assuming an information system such as a company, the client machine acquires an access control policy from an authentication server when logging in to the system, and from the authentication server after logging in The acquired access control policy is reflected, and after logout, the system returns to a state in which all authorities are restricted. The resources protected by the access control policy are diverse, such as a document, a printing function, a data writing function to an external medium, and a mail transmission / reception function.

前述したようなシステムの中で、クライアントマシンが認証サーバと通信することができない状況での運用を考慮し、クライアントマシンがシステムへのログイン時に認証サーバからオンラインログイン時のアクセス制御ポリシーと共にオフラインログイン時のアクセス制御ポリシーも受信し、オフラインログイン時にはオフラインログイン時のアクセス制御ポリシーを反映させるという方法が、例えば、特許文献1等に記載されて知られている。   Considering the operation in the situation where the client machine cannot communicate with the authentication server in the system as described above, when the client machine logs in to the system, when logging in to the system with offline access control policy during online login For example, Japanese Patent Application Laid-Open No. H10-133867 discloses a method of receiving the access control policy of the above and reflecting the access control policy at the time of offline login at the time of offline login.

特開2008−33855号公報JP 2008-33855 A

しかし、前述した従来技術は、1度はクライアントマシンと認証サーバとが必ず通信を行うことができることを前提としており、常に、クライアントマシンを組織外に持ち出して使用するような状況の場合、アクセス制御ポリシーを取得することができず、何もできないという問題点を生じさせている。また、前述した従来技術は、オフラインログイン時のアクセス制御ポリシーであるオフラインポリシーが更新されるタイミングが、クライアントマシンが認証サーバで認証されたときのみであったため、ユーザの出張等によりクライアントマシンを組織外の遠隔地に持ち出し、クライアントマシンが組織内のネットワーク上に配置された認証サーバと通信することができないときに、例えば、一時的にデータを外部媒体へ書き出せるようにするというように、オフラインログイン時の制御ポリシーであるオフラインポリシーを変更したい状況には対応することができないという問題点を有している。   However, the above-described conventional technology assumes that the client machine and the authentication server can always communicate with each other, and access control is always performed when the client machine is always taken out of the organization and used. The policy cannot be obtained, causing the problem that nothing can be done. Further, in the above-described prior art, the offline policy that is an access control policy at the time of offline login is updated only when the client machine is authenticated by the authentication server. Offline login, for example, to allow data to be temporarily exported to an external medium when the client machine cannot be communicated with an authentication server located on the organization's network, taking it to a remote location There is a problem that it is not possible to cope with a situation in which an offline policy that is a control policy at the time is desired to be changed.

本発明の目的は、前述したような従来技術の問題点を解決し、クライアントマシンが認証サーバとの間で通信を行うことができない状況においても、オフラインポリシーを取得することを可能とすると共に、変更できるようにして、より柔軟にアクセス制御ポリシーをクライアントマシンが取得することができるようにしたクライアントマシン(端末装置)及びクライアントマシン(端末装置)におけるアクセス制御ポリシー取得方法を提供することにある。   The object of the present invention is to solve the problems of the prior art as described above, and to obtain an offline policy even in a situation where the client machine cannot communicate with the authentication server, An object of the present invention is to provide a client machine (terminal device) and an access control policy acquisition method in a client machine (terminal device) so that the client machine can acquire an access control policy more flexibly so that it can be changed.

本発明によれば前記目的は、アクセス制御ポリシーに従った権限に基づく処理を行うことが可能とされた端末装置において、ユーザによるログイン時に、ユーザ毎のオンラインログイン時のアクセス制御ポリシーを記憶した認証サーバとの間で通信を行うことができるか否かを判定する通信可否判定手段と、認証サーバとの間で通信を行うことができる場合に、前記認証サーバから前記オンラインログイン時のアクセス制御ポリシーを取得し、認証サーバとの間で通信を行うことができない場合に、接続されているオフラインログイン時のアクセス制御ポリシーを記録したトークンデバイスからオフラインログイン時のアクセス制御ポリシーを取得するアクセス制御ポリシー取得手段とを備えることにより達成される。   According to the present invention, the object is to authenticate the access control policy stored at the time of online login for each user at the time of login by the user in the terminal device capable of performing processing based on the authority according to the access control policy. An access control policy at the time of online login from the authentication server when communication is possible between the communication enable / disable determining means for determining whether communication can be performed with the server and the authentication server. Access control policy acquisition that acquires an access control policy for offline login from the token device that records the access control policy for the connected offline login when communication with the authentication server cannot be performed. And means.

また、前記目的は、公衆回線網を通して通信可能なメールサーバから受信した電子メールに添付されたオフラインログイン時のアクセス制御ポリシーの情報を取得するアクセス制御ポリシー情報取得手段と、取得したオフラインログイン時のアクセス制御ポリシーの情報により、前記トークンデバイスに記録されたオフラインログイン時アクセス制御ポリシーを更新する更新手段とをさらに備えることにより達成される。   Further, the object is to obtain access control policy information acquisition means for acquiring access control policy information at the time of offline login attached to an e-mail received from a mail server that can communicate through a public network, and for the acquired offline login. This is achieved by further comprising updating means for updating the offline login access control policy recorded in the token device based on the access control policy information.

本発明によれば、認証サーバとの間で通信を行うことができない状況で使用されるクライアントマシンに対しても、最適なアクセス制御ポリシーを適用させることが可能となり、また、認証サーバとの間で通信を行うことができない状況にあるクライアントマシンに対するアクセス制御ポリシーを変更することができるため、様々な状況に対応することが可能となる。   According to the present invention, it is possible to apply an optimum access control policy to a client machine used in a situation where communication with the authentication server cannot be performed. Since it is possible to change the access control policy for a client machine that is in a state where communication cannot be performed, it becomes possible to cope with various situations.

本発明の一実施形態によるクライアントマシンを含んだクライアントサーバシステムの構成を示すブロックである。It is a block which shows the structure of the client server system containing the client machine by one Embodiment of this invention. 本発明の実施形態によるクライアントマシンのオンラインログイン時の処理の概要を説明する図である。It is a figure explaining the outline | summary of the process at the time of online login of the client machine by embodiment of this invention. アクセス制御ポリシーDBに格納されるユーザ毎のオンラインポリシーの例を示す図である。It is a figure which shows the example of the online policy for every user stored in access control policy DB. クライアントマシンにおけるオンラインログイン時の処理手順を説明するフローチャートである。It is a flowchart explaining the process sequence at the time of online login in a client machine. 本発明の実施形態によるクライアントマシンのオフラインログイン時の処理の概要を説明する図である。It is a figure explaining the outline | summary of the process at the time of offline login of the client machine by embodiment of this invention. トークンデバイス内に格納されるオフラインポリシーの情報の例を示す図である。It is a figure which shows the example of the information of the offline policy stored in a token device. クライアントマシンにおけるオフラインログイン時の処理手順を説明するフローチャートである。It is a flowchart explaining the process sequence at the time of offline login in a client machine. 本発明の実施形態によるクライアントマシンがオフラインポリシーを変更する際の処理の概要を説明する図である。It is a figure explaining the outline | summary of a process when the client machine by embodiment of this invention changes an offline policy. クライアントマシンにおけるオフラインポリシー情報を更新する際の処理手順を説明するフローチャートである。It is a flowchart explaining the process sequence at the time of updating the offline policy information in a client machine.

以下、本発明によるクライアントマシン及びクライアントマシンにおけるアクセス制御ポリシー取得方法の実施形態を図面により詳細に説明する。   Hereinafter, embodiments of a client machine and an access control policy acquisition method in the client machine according to the present invention will be described in detail with reference to the drawings.

図1Aは本発明の一実施形態によるクライアントマシンを含んたクライアントサーバシステムの構成を示すブロックである。なお、以下の説明において、クライアントマシンが認証サーバとの間で通信を行うことが可能な状態で、ユーザがクライアントマシンにログインすることをオンラインログインと言い、クライアントマシンが認証サーバとの間で通信を行うことができない状態で、ユーザがクライアントマシンにログインすることをオフラインログインと言う。   FIG. 1A is a block diagram showing a configuration of a client server system including a client machine according to an embodiment of the present invention. In the following explanation, when the client machine can communicate with the authentication server, the user logging in to the client machine is called online login, and the client machine communicates with the authentication server. When the user cannot log in, the user logs in to the client machine is called offline login.

図1Aに示すクライアントサーバシステムは、本発明の一実施形態によるクライアントマシン101と、ネットワーク102を介して通信可能な認証サーバ103と、公衆回線網702を通して通信可能なメールサーバ701とにより構成され、さらに、クライアントマシンを使用するユーザが所持し、クライアントマシンにユーザがオフラインログインしたときに使用するオフラインポリシーを格納したUSBメモリ等によるトークンデバイス402が用意されている。   The client server system shown in FIG. 1A includes a client machine 101 according to an embodiment of the present invention, an authentication server 103 that can communicate via a network 102, and a mail server 701 that can communicate via a public network 702. Further, a token device 402 is prepared by a USB memory or the like that is possessed by a user who uses the client machine and stores an offline policy used when the user logs in to the client machine offline.

クライアントマシン101は、よく知られているPC等の情報処理装置であり、CPU201、MM202、HDD203等の記憶装置、キーボード及びマウス等の入力装置204、ディスプレイ205、通信装置206を備えて構成されている。そして、MM202内には、プログラムにより構成されるOS207、通信監視部706、ポリシー更新部707、ポリシー取得部208がHDD203からロードされ、OS207の制御の下に、通信監視部706、ポリシー更新部707、ポリシー取得部208が以下に説明する本発明の実施形態での処理を実行する。   The client machine 101 is a well-known information processing device such as a PC, and includes a storage device such as a CPU 201, an MM 202, and an HDD 203, an input device 204 such as a keyboard and a mouse, a display 205, and a communication device 206. Yes. In the MM 202, an OS 207 configured by a program, a communication monitoring unit 706, a policy update unit 707, and a policy acquisition unit 208 are loaded from the HDD 203. Under the control of the OS 207, the communication monitoring unit 706 and the policy update unit 707 are loaded. The policy acquisition unit 208 executes processing in the embodiment of the present invention described below.

また、認証サーバ103は、クライアントマシン101を使用するユーザの認証を行う機能を有する情報処理装置であり、公知の装置である。そして、認証サーバ103は、本発明の実施形態で利用するアクセス制御ポリシーデータベース(DB)104を備えている。また、メールサーバ701も、よく知られている電子メールの送受信の仲介を行う情報処理装置である。   The authentication server 103 is an information processing apparatus having a function of authenticating a user who uses the client machine 101, and is a known apparatus. The authentication server 103 includes an access control policy database (DB) 104 used in the embodiment of the present invention. The mail server 701 is also a well-known information processing apparatus that mediates transmission / reception of electronic mail.

図1Bは本発明の実施形態によるクライアントマシンのオンラインログイン時の処理の概要を説明する図である。   FIG. 1B is a diagram illustrating an outline of processing at the time of online login of the client machine according to the embodiment of the present invention.

認証サーバ103は、前述したようにアクセス制御DB104を備え、このアクセス制御DB104には、複数のユーザのそれぞれのオンラインログイン時のアクセス制御ポリシーであるオンラインポリシーが保存されている。各クライアントマシン101のユーザは、通常、クライアントマシン101にログインして作業を行う場合には、認証サーバ103に対してオンラインログインを行って認証を受けた後に、認証サーバ103からオンラインポリシーを取得する。   The authentication server 103 includes the access control DB 104 as described above, and the access control DB 104 stores an online policy that is an access control policy at the time of online login of each of a plurality of users. In general, when a user of each client machine 101 logs in to the client machine 101 and performs an operation, the user logs in to the authentication server 103 and receives authentication, and then obtains an online policy from the authentication server 103. .

すなわち、クライアントマシン101は、電源が立ち上げられた後、ユーザからユーザIDとパスワードとが入力されてログインが行われると、認証サーバ103にログインし、ユーザの認証を受けた後、ポリシー取得部208が認証サーバ103から当該クライアントマシンを使用しようとしているユーザのオンラインポリシーを取得してクライアントマシン101のMM202内にオンラインポリシー105として保存する。例えば、図1に示す例の場合、クライアントマシン101からユーザ1が認証サーバ103にオンラインログインすると、認証サーバ103のアクセス制御ポリシーDB104内のユーザ1に対応するオンラインポリシー106が、ネットワーク102経由でクライアントマシン101にダウンロードされ、ユーザ1のオンラインポリシー105として保存される。これにより、クライアントマシン101を使用するユーザは、自分のオンラインポリシーに応じたアクセス制御(制限)に従って作業を行うことが可能となる。   That is, after the power is turned on, the client machine 101 logs in to the authentication server 103 when the user inputs a user ID and a password and logs in. After receiving user authentication, the policy acquisition unit 208 acquires the online policy of the user who intends to use the client machine from the authentication server 103 and stores it as the online policy 105 in the MM 202 of the client machine 101. For example, in the case of the example shown in FIG. 1, when user 1 logs in to authentication server 103 online from client machine 101, online policy 106 corresponding to user 1 in access control policy DB 104 of authentication server 103 is transferred to client via network 102. It is downloaded to the machine 101 and saved as the online policy 105 of the user 1. As a result, the user using the client machine 101 can perform work according to access control (restriction) according to his / her online policy.

図2はアクセス制御ポリシーDB104に格納されるユーザ毎のオンラインポリシーの例を示す図である。   FIG. 2 is a diagram illustrating an example of an online policy for each user stored in the access control policy DB 104.

システムの管理者は、ユーザ毎に各ユーザに適用するオンラインポリシーを設定(定義)することができ、設定の後に変更することもできる。ポリシーの内容としては、図2に示しているように、印刷の可否、メール送信の可否、外部媒体持出しの可否、ネットワークフォルダアクセスの可否等であるが、他に種々のポリシー、例えば、メール受信の可否等を設定することができる。そして、図2に示す例では、ユーザ1に対して、外部媒体持出しのみの処理を禁止するオンラインポリシーが、ユーザ2に対して全ての処理を禁止するオンラインポリシーが設定されている。   The system administrator can set (define) an online policy to be applied to each user for each user, and can change it after the setting. As shown in FIG. 2, the contents of the policy include whether or not printing is possible, whether or not mail transmission is possible, whether or not external media can be taken out, whether or not network folders are accessible, and other various policies such as mail reception. Can be set. In the example shown in FIG. 2, an online policy that prohibits the user 1 only from taking out the external medium and an online policy that prohibits all the processes from the user 2 are set.

図3はクライアントマシンにおけるオンラインログイン時の処理手順を説明するフローチャートであり、次に、これについて説明する。   FIG. 3 is a flowchart for explaining the processing procedure at the time of online login in the client machine. Next, this will be explained.

(1)いま、あるユーザが、クライアントマシン101を使用するためにクライアントマシン101に電源を投入し、ユーザIDとパスワードとを入力してログインすると、クライアントマシン101は、認証サーバ103との通信が可能か否かを判定し、認証サーバ103との接続がなく通信が不可能であると判定すると、図6に示すフローにより後述するオフラインログインの処理に移行する(ステップ300)。 (1) Now, when a certain user turns on the client machine 101 to use the client machine 101 and inputs a user ID and a password to log in, the client machine 101 communicates with the authentication server 103. If it is determined whether or not it is possible, and it is determined that communication with the authentication server 103 is not possible and communication is impossible, the process proceeds to an offline login process to be described later according to the flow shown in FIG. 6 (step 300).

(2)ステップ300の判定で、認証サーバ103との通信が可能であった場合、クライアントマシン101は、認証サーバ103との間で認証処理を行い、認証に成功したか否かを判定する(ステップ301、302)。 (2) If it is determined in step 300 that communication with the authentication server 103 is possible, the client machine 101 performs authentication processing with the authentication server 103 and determines whether or not the authentication is successful ( Steps 301 and 302).

(3)クライアントマシン101は、ステップ302の判定で、認証に失敗した場合、エラー終了し、認証に成功した場合、認証サーバ103のアクセス制御ポリシーDB104から、ポリシー取得部208が当該ユーザに対応するオンラインポリシーを取得し、オンラインログイン処理が成功したとして、ユーザにオンラインポリシーに従って作業処理の実行を許可する(ステップ303〜305)。 (3) If the authentication fails in the determination in step 302, the client machine 101 terminates with an error, and if the authentication succeeds, the policy acquisition unit 208 corresponds to the user from the access control policy DB 104 of the authentication server 103. The online policy is acquired, and it is assumed that the online login process is successful, and the user is allowed to execute the work process according to the online policy (steps 303 to 305).

図4は本発明の実施形態によるクライアントマシンのオフラインログイン時の処理の概要を説明する図である。   FIG. 4 is a diagram for explaining the outline of processing at the time of offline login of the client machine according to the embodiment of the present invention.

クライアントマシン101は、組織内のネットワーク上に配置された認証サーバ103とは通信することができない場所に移動しているものとする。このような状況にあるクライアントマシン101を使用するユーザは、クライアントマシン101にUSBメモリ等により構成されるトークンデバイス402を接続してクライアントマシン101にログイン(この場合のログインをオフラインログインという)を行う。トークンデバイス402には、予め、管理者等が認証サーバで設定したオフラインポリシーの情報404が格納されている。クライアントマシン101にトークンデバイス402が接続されたときに、クライアントマシン101は、ポリシー取得部208がトークンデバイス402に設定されているオフラインポリシーの情報404を取得し、MM202内にオフラインポリシー情報403として保存する。   Assume that the client machine 101 has moved to a location where it cannot communicate with the authentication server 103 arranged on the network in the organization. A user using the client machine 101 in such a situation connects to the client machine 101 with a token device 402 configured by a USB memory or the like and logs in to the client machine 101 (login in this case is referred to as offline login). . The token device 402 stores in advance offline policy information 404 set by an administrator or the like on the authentication server. When the token device 402 is connected to the client machine 101, the client machine 101 acquires the offline policy information 404 set in the token device 402 by the policy acquisition unit 208 and stores it as the offline policy information 403 in the MM 202. To do.

図5はトークンデバイス402内に格納されるオフラインポリシーの情報404の例を示す図である。   FIG. 5 is a diagram showing an example of offline policy information 404 stored in the token device 402.

管理者は、トークンデバイス402内に、前述で説明したオンラインポリシーと同様な内容を持つオフラインポリシーを設定すると共に、そのオフラインポリシーの有効期限を設定することができる。そして、クライアントマシン101にトークンデバイス402が接続されたときに、オフラインポリシーの有効期限が過ぎていた場合には、当該オフラインポリシーをクライアントマシンに保存せず、全権限が制限されることになる。また、トークンデバイス402には、組織IDが格納される。これは、クライアントマシン101に対して他の組織のトークンデバイスが接続された場合に、当該トークンデバイスに格納されたオフラインポリシーをクライアントマシンに保存しないためである。このため、クライアントマシン101にも、そのマシンを管理している組織の組織IDが格納されている。組織IDは、システム導入時に管理者が設定することができ、あるいは、システム導入時に組織IDを自動的に生成するようにしてもよい。   The administrator can set an offline policy having the same contents as the online policy described above in the token device 402, and can set an expiration date of the offline policy. When the token device 402 is connected to the client machine 101, if the expiration date of the offline policy has passed, the offline policy is not saved in the client machine, and all authorities are restricted. The token device 402 stores the organization ID. This is because when the token device of another organization is connected to the client machine 101, the offline policy stored in the token device is not saved in the client machine. For this reason, the client machine 101 also stores the organization ID of the organization that manages the machine. The organization ID can be set by the administrator when the system is introduced, or the organization ID may be automatically generated when the system is introduced.

前述したようなトークンデバイス402は、クライアントマシン対応に用意されていてもよく、また、ユーザ対応に用意されていてもよい。ユーザ対応に用意される場合、トークンデバイス402には、さらに、ユーザIDが格納される。これにより、トークンデバイス402を所持しているユーザ以外が、クライアントマシン101を使用することを禁止することができる。   The token device 402 as described above may be prepared for a client machine or may be prepared for a user. When prepared for a user, the token device 402 further stores a user ID. As a result, it is possible to prohibit the use of the client machine 101 by anyone other than the user who possesses the token device 402.

図6はクライアントマシンにおけるオフラインログイン時の処理手順を説明するフローチャートであり、次に、これについて説明する。   FIG. 6 is a flowchart for explaining the processing procedure at the time of offline login in the client machine, which will be described next.

(1)図3により説明したフローのステップ300の判定で、認証サーバ103との接続がなく通信が不可能であると判定されると、ここでの処理に移り、オフラインポリシーが格納されたトークンデバイス402が接続されているか否かを判定し、トークンデバイス402が接続されていない場合、クライアントマシン101は、オフラインポリシーの取得を行うことができず、全権限が制限される(ステップ601、602)。 (1) If it is determined in step 300 of the flow described with reference to FIG. 3 that communication with the authentication server 103 is not possible and communication is impossible, the process proceeds to a token stored with an offline policy. It is determined whether or not the device 402 is connected. If the token device 402 is not connected, the client machine 101 cannot acquire an offline policy, and all authorities are restricted (steps 601 and 602). ).

(2)ステップ601の判定で、オフラインポリシーが格納されたトークンデバイス402が接続されていた場合、トークンデバイス402内の組織IDとクライアントマシンの組織IDとが一致するか否かを判定し、一致しなかった場合、クライアントマシン101は、オフラインポリシーの取得を行うことができず、全権限が制限される(ステップ603、602)。 (2) If it is determined in step 601 that the token device 402 storing the offline policy is connected, it is determined whether or not the organization ID in the token device 402 matches the organization ID of the client machine. Otherwise, the client machine 101 cannot acquire an offline policy, and all authority is restricted (steps 603 and 602).

(3)ステップ603の判定で、トークンデバイス402内の組織IDとクライアントマシンの組織IDとが一致していた場合、トークンデバイス402内のオフラインポリシーの有効期限が過ぎていないか否かを判定し、オフラインポリシーの有効期限が過ぎていた場合、クライアントマシン101は、オフラインポリシーの取得を行うことができず、全権限が制限される(ステップ604、602)。 (3) If the organization ID in the token device 402 and the organization ID of the client machine match in the determination in step 603, it is determined whether the expiration date of the offline policy in the token device 402 has passed. If the expiration date of the offline policy has passed, the client machine 101 cannot acquire the offline policy, and all authorities are restricted (steps 604 and 602).

(4)ステップ604の判定で、オフラインポリシーの有効期限が過ぎていなかった場合、クライアントマシン101は、トークンデバイス402内のオフラインポリシーを取得し、オフラインログイン処理が成功したとして、ユーザにオフラインポリシーに従った作業処理の実行を許可する(ステップ605、606)。 (4) If the expiration date of the offline policy has not passed in the determination in step 604, the client machine 101 acquires the offline policy in the token device 402, and determines that the offline login process has succeeded, so that the user is in the offline policy. The execution of the corresponding work process is permitted (steps 605 and 606).

前述したステップ601の判定処理において、トークンデバイス402が接続されていなかった場合、直ちに、全権限を制限するのではなく、トークンデバイス402が接続されていないことをユーザに知らせて、トークンデバイス402の接続を促すようにすることができる。   If the token device 402 is not connected in the determination process of step 601 described above, immediately notify the user that the token device 402 is not connected, instead of restricting all authority, and You can be prompted to connect.

図7は本発明の実施形態によるクライアントマシンがオフラインポリシーを変更する際の処理の概要を説明する図である。   FIG. 7 is a diagram illustrating an outline of processing when the client machine changes the offline policy according to the embodiment of the present invention.

クライアントマシン101は、組織内のネットワーク上に配置された認証サーバ103とは通信することができない場所に移動しているものとする。このような状況にあるクライアントマシン101を使用するユーザは、トークンデバイス402を接続したクライアントマシン101を、組織外から公衆回線網702を通して通信可能なメールサーバ701接続して、新たなオフラインポリシーの情報704が添付された電子メール703を受信することができる。この電子メールは、予め管理者等が認証サーバ103を使用して作成したオフラインポリシーの情報704を添付し、ユーザに対して送信したものである。なお、新たなオフラインポリシーの情報704の管理者等への要求は、移動先に居るユーザが、電話等を用いて行うこととする。   Assume that the client machine 101 has moved to a location where it cannot communicate with the authentication server 103 arranged on the network in the organization. A user using the client machine 101 in such a situation connects the client machine 101 connected with the token device 402 to the mail server 701 that can communicate through the public line network 702 from outside the organization, and information on a new offline policy An e-mail 703 attached with 704 can be received. This e-mail is sent to the user with the offline policy information 704 created by the administrator or the like using the authentication server 103 in advance. Note that a request to the administrator or the like of the new offline policy information 704 is made by a user at the destination using a telephone or the like.

オフラインポリシーの情報704の内容は、図5に示して説明したと同様に、オフラインポリシー、その有効期限及び組織IDを有するものである。クライアントマシン101が持つ通信監視部706は、電子メール703を受信した際に、当該電子メール703がオフラインポリシーの情報704を持つことを検知し、オフラインポリシーの情報704を取り出す。次に、ポリシー更新部707は、トークンデバイス402に格納されているオフラインポリシーの情報404を、電子メール703で受信したオフラインポリシーの情報704で置き換える。   The content of the offline policy information 704 includes the offline policy, its expiration date, and organization ID, as described with reference to FIG. When the communication monitoring unit 706 of the client machine 101 receives the electronic mail 703, the communication monitoring unit 706 detects that the electronic mail 703 has the offline policy information 704, and extracts the offline policy information 704. Next, the policy update unit 707 replaces the offline policy information 404 stored in the token device 402 with the offline policy information 704 received by the e-mail 703.

図8はクライアントマシンにおけるオフラインポリシー情報を更新する際の処理手順を説明するフローチャートであり、次に、これについて説明する。   FIG. 8 is a flowchart for explaining the processing procedure when updating the offline policy information in the client machine, which will be described next.

(1)クライアントマシン101は、公知の手順に従って、公衆回線網702を介してメールサーバ701にアクセスし、メールサーバ701から電子メール703を受信する(ステップ801)。 (1) The client machine 101 accesses the mail server 701 via the public line network 702 according to a known procedure, and receives the electronic mail 703 from the mail server 701 (step 801).

(2)ステップ801の処理で受信した電子メール703にオフラインポリシーの情報704が添付されているか否かを判定し、電子メール703にオフラインポリシーの情報704が添付されていなかった場合、何もせずにここでの処理を終了する(ステップ802)。 (2) It is determined whether or not the offline policy information 704 is attached to the electronic mail 703 received in step 801. If the offline policy information 704 is not attached to the electronic mail 703, nothing is done. The processing here is terminated (step 802).

(3)ステップ802の判定で、受信した電子メール703にオフラインポリシーの情報704が添付されていた場合、その電子メールに添付されたオフラインポリシーの情報の組織IDと、クライアントマシン101の組織IDと、トークンデバイス402内に格納されている組織IDとが全て一致するか否かを判定し、一致していなかった場合、何もせずにここでの処理を終了する(ステップ803)。 (3) If it is determined in step 802 that offline policy information 704 is attached to the received email 703, the organization ID of the offline policy information attached to the email, the organization ID of the client machine 101, and Then, it is determined whether or not all the organization IDs stored in the token device 402 match. If they do not match, the processing here is terminated without doing anything (step 803).

(4)ステップ803の判定で、組織IDが全て一致していた場合、電子メール703に添付されていたオフラインポリシーの情報704を取得し、トークンデバイス402に格納されているオフラインポリシー情報を、取得したオフラインポリシーの情報704で置き換えて、トークンデバイス402内のオフラインポリシー情報404を更新して、ここでの処理を終了する(ステップ804、805)。 (4) If all the organization IDs match in the determination in step 803, the offline policy information 704 attached to the e-mail 703 is acquired, and the offline policy information stored in the token device 402 is acquired. The offline policy information 404 in the token device 402 is updated by replacing the information with the offline policy information 704, and the processing here ends (steps 804 and 805).

101 クライアントマシン(端末装置)
102 ネットワーク
103 認証サーバ
104 アクセス制御ポリシーDB
105、106 ユーザ1のオンラインポリシー
201 CPU
202 MM
203 HDD
204 入力装置
205 ディスプレイ
206 通信部
207 OS
208 ポリシー取得部
402 トークンデバイス
404 オフラインポリシー
701 メールサーバ
702 公衆回線網
703 電子メール
706 通信監視部
707 ポリシー更新部 101 Client machine (terminal device)
102 Network 103 Authentication Server 104 Access Control Policy DB
105, 106 User 1 online policy 201 CPU
202 MM
203 HDD
204 Input device 205 Display 206 Communication unit 207 OS
208 Policy acquisition unit 402 Token device 404 Offline policy 701 Mail server 702 Public line network 703 E-mail 706 Communication monitoring unit 707 Policy update unit

Claims (3)

アクセス制御ポリシーに従った権限に基づく処理を行うことが可能とされた端末装置において、
ユーザによるログイン時に、ユーザ毎のオンラインログイン時のアクセス制御ポリシーを記憶した認証サーバとの間で通信を行うことができるか否かを判定する通信可否判定手段と、認証サーバとの間で通信を行うことができる場合に、前記認証サーバから前記オンラインログイン時のアクセス制御ポリシーを取得し、認証サーバとの間で通信を行うことができない場合に、接続されているオフラインログイン時のアクセス制御ポリシーを記録したトークンデバイスからオフラインログイン時のアクセス制御ポリシーを取得するアクセス制御ポリシー取得手段とを備えることを特徴とする端末装置。 In the terminal device capable of performing processing based on the authority according to the access control policy,
When logging in by the user, communication between the authentication server and the authentication server for determining whether or not communication can be performed with the authentication server storing the access control policy at the time of online login for each user. If the access control policy at the time of online login is acquired from the authentication server and communication with the authentication server cannot be performed, the access control policy at the time of connected offline login is obtained. An access control policy acquisition means for acquiring an access control policy at the time of offline login from a recorded token device. 公衆回線網を通して通信可能なメールサーバから受信した電子メールに添付されたオフラインログイン時のアクセス制御ポリシーの情報を取得するアクセス制御ポリシー情報取得手段と、取得したオフラインログイン時のアクセス制御ポリシーの情報により、前記トークンデバイスに記録されたオフラインログイン時アクセス制御ポリシーを更新する更新手段とをさらに備えることを特徴とする請求項1記載の端末装置。   Access control policy information acquisition means for acquiring access control policy information for offline login attached to an e-mail received from a mail server that can communicate through a public line network, and access control policy information for acquired offline login The terminal device according to claim 1, further comprising updating means for updating an access control policy for offline login recorded in the token device. アクセス制御ポリシーに従った権限に基づく処理を行うことが可能とされた端末装置におけるアクセス制御ポリシーの取得方法において、
前記端末装置は、認証サーバとの通信可否判定手段と、アクセス制御ポリシー取得手段とを備え、
前記認証サーバとの通信可否判定手段は、ユーザによるログイン時に、ユーザ毎のオンラインログイン時のアクセス制御ポリシーを記憶した認証サーバとの間で通信を行うことができるか否かを判定し、
前記アクセス制御ポリシー取得手段は、認証サーバとの間で通信を行うことができる場合に、前記認証サーバから前記オンラインログイン時のアクセス制御ポリシーを取得し、認証サーバとの間で通信を行うことができない場合に、接続されているオフラインログイン時のアクセス制御ポリシーを記録したトークンデバイスからオフラインログイン時のアクセス制御ポリシーを取得することを特徴とする端末装置におけるアクセス制御ポリシーの取得方法。 In an access control policy acquisition method in a terminal device capable of performing processing based on authority according to an access control policy,
The terminal device includes a communication availability determination unit with an authentication server, and an access control policy acquisition unit,
The means for determining whether or not to communicate with the authentication server determines whether or not communication can be performed with an authentication server storing an access control policy at the time of online login for each user upon login by the user,
The access control policy acquisition unit may acquire the access control policy at the time of online login from the authentication server and communicate with the authentication server when the communication can be performed with the authentication server. An access control policy acquisition method in a terminal device, characterized in that if it is not possible, an access control policy at offline login is acquired from a token device that records the access control policy at offline login.
JP2009227292A 2009-09-30 2009-09-30 Terminal device and access control policy acquisition method in terminal device Expired - Fee Related JP5318719B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009227292A JP5318719B2 (en) 2009-09-30 2009-09-30 Terminal device and access control policy acquisition method in terminal device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009227292A JP5318719B2 (en) 2009-09-30 2009-09-30 Terminal device and access control policy acquisition method in terminal device

Publications (2)

Publication Number Publication Date
JP2011076377A true JP2011076377A (en) 2011-04-14
JP5318719B2 JP5318719B2 (en) 2013-10-16

Family

ID=44020292

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009227292A Expired - Fee Related JP5318719B2 (en) 2009-09-30 2009-09-30 Terminal device and access control policy acquisition method in terminal device

Country Status (1)

Country Link
JP (1) JP5318719B2 (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012215985A (en) * 2011-03-31 2012-11-08 Hitachi Solutions Ltd Client server system
JP2014167675A (en) * 2013-02-28 2014-09-11 Nec Corp Document authority management system, terminal equipment, document authority management method and program
GB2529907A (en) * 2014-09-22 2016-03-09 Servelec Group Plc Device access control method
CN108683499A (en) * 2018-05-15 2018-10-19 北京智芯微电子科技有限公司 Minimize the terminal device initial key distribution method and device of key management cost
JP2019032835A (en) * 2017-08-07 2019-02-28 スキーデータ・アクチエンゲゼルシャフトSkidata Ag Operation method of access control system including server, at least one access control device, and at least one pos device for access permission for range covered by access control system
CN109639692A (en) * 2018-12-20 2019-04-16 广州河东科技有限公司 Offline login method, device, equipment, system and storage medium
WO2020009423A1 (en) * 2018-07-02 2020-01-09 삼성전자 주식회사 Method for providing policy to electronic device, electronic device, and server therefor
CN111897768A (en) * 2020-06-28 2020-11-06 北京可信华泰信息技术有限公司 Method and device for configuring object access policy
JP2021140333A (en) * 2020-03-03 2021-09-16 株式会社日立製作所 Mode switching terminal and system
CN113691519A (en) * 2021-08-18 2021-11-23 绿能慧充数字技术有限公司 Off-network equipment centralized control method for cloud service unified management of access authority
CN114611079A (en) * 2022-02-18 2022-06-10 广州市玄武无线科技股份有限公司 Mobile terminal login method, device, equipment and storage medium
JP7460769B2 (en) 2020-07-10 2024-04-02 株式会社日立ハイテク Analyzer and authentication method

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004252819A (en) * 2003-02-21 2004-09-09 Matsushita Electric Ind Co Ltd Personal identifying device and method therefor
JP2006251857A (en) * 2005-03-08 2006-09-21 Internatl Business Mach Corp <Ibm> Method for restricting i/o access of client and program and system
JP2007207171A (en) * 2006-02-06 2007-08-16 Ricoh Co Ltd Document access control system
JP2008033855A (en) * 2006-08-01 2008-02-14 Hitachi Software Eng Co Ltd Client server system
JP2009277082A (en) * 2008-05-15 2009-11-26 Nippon Telegr & Teleph Corp <Ntt> Service execution system and method using damper resisting device and damper resisting device
JP2010055465A (en) * 2008-08-29 2010-03-11 Fuji Xerox Co Ltd Processing device, system, and control program
JP2010152537A (en) * 2008-12-24 2010-07-08 Nippon Telegr & Teleph Corp <Ntt> Confidential information management system and confidential information management method

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004252819A (en) * 2003-02-21 2004-09-09 Matsushita Electric Ind Co Ltd Personal identifying device and method therefor
JP2006251857A (en) * 2005-03-08 2006-09-21 Internatl Business Mach Corp <Ibm> Method for restricting i/o access of client and program and system
JP2007207171A (en) * 2006-02-06 2007-08-16 Ricoh Co Ltd Document access control system
JP2008033855A (en) * 2006-08-01 2008-02-14 Hitachi Software Eng Co Ltd Client server system
JP2009277082A (en) * 2008-05-15 2009-11-26 Nippon Telegr & Teleph Corp <Ntt> Service execution system and method using damper resisting device and damper resisting device
JP2010055465A (en) * 2008-08-29 2010-03-11 Fuji Xerox Co Ltd Processing device, system, and control program
JP2010152537A (en) * 2008-12-24 2010-07-08 Nippon Telegr & Teleph Corp <Ntt> Confidential information management system and confidential information management method

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012215985A (en) * 2011-03-31 2012-11-08 Hitachi Solutions Ltd Client server system
JP2014167675A (en) * 2013-02-28 2014-09-11 Nec Corp Document authority management system, terminal equipment, document authority management method and program
GB2529907A (en) * 2014-09-22 2016-03-09 Servelec Group Plc Device access control method
GB2529907B (en) * 2014-09-22 2016-07-20 Servelec Group Plc Device access control method
JP2019032835A (en) * 2017-08-07 2019-02-28 スキーデータ・アクチエンゲゼルシャフトSkidata Ag Operation method of access control system including server, at least one access control device, and at least one pos device for access permission for range covered by access control system
CN108683499A (en) * 2018-05-15 2018-10-19 北京智芯微电子科技有限公司 Minimize the terminal device initial key distribution method and device of key management cost
CN108683499B (en) * 2018-05-15 2021-03-12 北京智芯微电子科技有限公司 Terminal equipment initial key distribution method and device for minimizing key management cost
WO2020009423A1 (en) * 2018-07-02 2020-01-09 삼성전자 주식회사 Method for providing policy to electronic device, electronic device, and server therefor
CN109639692A (en) * 2018-12-20 2019-04-16 广州河东科技有限公司 Offline login method, device, equipment, system and storage medium
CN109639692B (en) * 2018-12-20 2021-09-14 广州河东科技有限公司 Offline login method, device, equipment, system and storage medium
JP7291652B2 (en) 2020-03-03 2023-06-15 株式会社日立製作所 Mode switching terminal and system
JP2021140333A (en) * 2020-03-03 2021-09-16 株式会社日立製作所 Mode switching terminal and system
CN111897768A (en) * 2020-06-28 2020-11-06 北京可信华泰信息技术有限公司 Method and device for configuring object access policy
CN111897768B (en) * 2020-06-28 2024-02-02 北京可信华泰信息技术有限公司 Configuration method and device of object access policy
JP7460769B2 (en) 2020-07-10 2024-04-02 株式会社日立ハイテク Analyzer and authentication method
CN113691519A (en) * 2021-08-18 2021-11-23 绿能慧充数字技术有限公司 Off-network equipment centralized control method for cloud service unified management of access authority
CN113691519B (en) * 2021-08-18 2023-09-01 绿能慧充数字技术有限公司 Off-network equipment centralized control method for unified management of access rights of cloud service
CN114611079A (en) * 2022-02-18 2022-06-10 广州市玄武无线科技股份有限公司 Mobile terminal login method, device, equipment and storage medium

Also Published As

Publication number Publication date
JP5318719B2 (en) 2013-10-16

Similar Documents

Publication Publication Date Title
JP5318719B2 (en) Terminal device and access control policy acquisition method in terminal device
EP3500972B1 (en) Protection feature for data stored at storage service
US9766914B2 (en) System and methods for remote maintenance in an electronic network with multiple clients
KR102060212B1 (en) Identity services for organizations transparently hosted in the cloud
JP5704518B2 (en) Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program
JP6124687B2 (en) Image forming apparatus, server apparatus, information processing method, and program
US7987357B2 (en) Disabling remote logins without passwords
JP5125187B2 (en) Authentication processing program, information processing program, authentication processing device, authentication processing system, and information processing system
JP4533935B2 (en) License authentication system and authentication method
JP2009258820A (en) Account management system, account management device, and account management method
WO2017199577A1 (en) Authentication system
JP4838916B2 (en) Client server system
US20190373136A1 (en) System and method for securely accessing, manipulating and controlling documents and devices using natural language processing
CN112492028A (en) Cloud desktop login method and device, electronic equipment and storage medium
JP6183035B2 (en) Service providing system, service providing method and program
US9621349B2 (en) Apparatus, method and computer-readable medium for user authentication
JP6091450B2 (en) Information processing apparatus, information processing method, and program
US9270471B2 (en) Client-client-server authentication
JP4777758B2 (en) Authentication system
JP5314485B2 (en) Client server system
JP2000105747A (en) Screen control method for single log-in system
JP2006065712A (en) Integrated authentication method and apparatus, and program for integrated authentication
JP5623326B2 (en) Client server system
JP2006324994A (en) Network access control system
JP6299101B2 (en) Service providing system, service providing method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130329

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130416

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130612

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130702

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130710

R150 Certificate of patent or registration of utility model

Ref document number: 5318719

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees