JP2013161123A - Access management system, access management method and access management program - Google Patents
Access management system, access management method and access management program Download PDFInfo
- Publication number
- JP2013161123A JP2013161123A JP2012020000A JP2012020000A JP2013161123A JP 2013161123 A JP2013161123 A JP 2013161123A JP 2012020000 A JP2012020000 A JP 2012020000A JP 2012020000 A JP2012020000 A JP 2012020000A JP 2013161123 A JP2013161123 A JP 2013161123A
- Authority
- JP
- Japan
- Prior art keywords
- key
- login
- administrator
- information storage
- login key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、システムにログインするためのワンタイムキーの管理を行なうためのアクセス管理システム、アクセス管理方法及びアクセス管理プログラムに関する。 The present invention relates to an access management system, an access management method, and an access management program for managing a one-time key for logging in to the system.
複数人で共用されているシステムにアクセスする場合、ユーザの真正性やアクセス権限を確認するために、ユーザIDやパスワードが利用されている(例えば、特許文献1参照。)。この文献に記載された技術では、サーバ装置のリソースをユーザに利用させるための管理サーバ装置を用いる。この管理サーバ装置は、ネットワークを介して接続された端末装置からログイン要求を受信し、その端末装置から受信したユーザID、パスワードを用いてユーザ認証を行なう。認証ができた場合にはログインを許可する。 When accessing a system shared by a plurality of people, a user ID and a password are used to check the authenticity and access authority of the user (see, for example, Patent Document 1). In the technique described in this document, a management server device is used for allowing the user to use the resources of the server device. The management server device receives a login request from a terminal device connected via a network, and performs user authentication using the user ID and password received from the terminal device. If authentication is successful, login is permitted.
また、パスワードを継続的に利用した場合、パスワードが漏えいする可能性がある。このような漏えいを防止するために、ワンタイムパスワードが利用されることもある(例えば、特許文献2参照。)。この文献に記載された技術では、携帯電話端末からパスワード生成要求を受信した管理サーバは、利用者を特定し、第1チャレンジコードを記録する。そして、管理サーバは、第2チャレンジコードを生成し、これを用いてワンタイムパスワードを生成する。このワンタイムパスワードのユニーク性を担保できる場合には、管理サーバは、ワンタイムパスワードを記録し、第2チャレンジコードを携帯電話端末に送信する。そして、携帯電話端末は、ワンタイムパスワードを生成して出力する。次に、クライアント端末を用いて、チャレンジコードとワンタイムパスワードに関するデータを含むログイン要求を管理サーバに送信する。ログイン要求を受信した管理サーバは利用者の認証を行なう。 In addition, if the password is used continuously, the password may be leaked. In order to prevent such leakage, a one-time password may be used (see, for example, Patent Document 2). In the technique described in this document, the management server that has received the password generation request from the mobile phone terminal identifies the user and records the first challenge code. And a management server produces | generates a 2nd challenge code and produces | generates a one-time password using this. When the uniqueness of the one-time password can be ensured, the management server records the one-time password and transmits the second challenge code to the mobile phone terminal. Then, the mobile phone terminal generates and outputs a one-time password. Next, using the client terminal, a login request including data regarding the challenge code and the one-time password is transmitted to the management server. The management server that has received the login request authenticates the user.
共用サーバ(例えば、業務で用いられる業務サーバ)において、ユーザ個別にユーザIDを割り当て、パスワードを発行する場合、ユーザIDやパスワードの登録や利用状況の管理に手間がかかる。また、一人のユーザが複数の業務サーバにアクセスして作業を行なう場合、ユーザ側においても、業務サーバ毎にユーザIDやパスワードを管理する必要があり、煩雑である。 In a shared server (for example, a business server used in business), when a user ID is assigned to each user and a password is issued, it takes time to register the user ID and password and manage the usage status. Further, when one user accesses a plurality of business servers to perform work, the user side also needs to manage user IDs and passwords for each business server, which is complicated.
また、ユーザの人事異動等により、業務サーバの担当者が変更になることもある。この変更の度に、ユーザIDやパスワードの再登録を行なう場合、管理負担が大きくなる。特に、漏えい防止のために、ワンタイムパスワードを発行する場合、発行したワンタイムパスワードの消去等のセキュリティ管理の負担が大きくなる。
更に、すべての情報処理サーバについて、管理者が個別にパスワードを管理する場合もある。しかしながら、管理対象の情報処理サーバが多い場合には、管理者におけるパスワード管理の負担が大きくなる。
In addition, the person in charge of the business server may be changed due to a user change in personnel. When the user ID and password are re-registered each time this change is made, the management burden increases. In particular, when a one-time password is issued to prevent leakage, the burden of security management such as erasing the issued one-time password increases.
Furthermore, the administrator may manage passwords individually for all information processing servers. However, when there are many information processing servers to be managed, the burden of password management on the administrator increases.
更に、管理者は、各ユーザにおける業務サーバへのアクセス状況を把握する必要がある。ここで、複数の業務サーバを管理する管理者においては、各業務サーバからアクセス状況を入手する必要があり、アクセス状況を入手するためのサーバ設定が煩雑となる。 Furthermore, the administrator needs to grasp the access status to the business server for each user. Here, an administrator who manages a plurality of business servers needs to obtain the access status from each business server, and the server setting for obtaining the access status becomes complicated.
本発明は、上記課題を解決するためになされたものであり、その目的は、システムにログインするためのパスワードを効率的かつ的確に管理するためのアクセス管理システム、アクセス管理方法及びアクセス管理プログラムを提供することにある。 The present invention has been made to solve the above-described problems, and an object of the present invention is to provide an access management system, an access management method, and an access management program for efficiently and accurately managing a password for logging in to the system. It is to provide.
上記問題点を解決するために、請求項1に記載の発明は、ログインキーを送信する管理者端末の連絡先を記憶した管理者情報記憶手段と、管理者識別子に関連付けて、アクセス可能な情報処理サーバの識別情報、ログインキー、オリジナルキー、発行日を記憶する認証情報記憶手段と、管理者端末と情報処理サーバとに接続された制御手段とを備えたアクセス管理システムであって、前記制御手段が、前記管理者情報記憶手段に記憶された連絡先の管理者端末に対して、ログインキーを送信し、前記認証情報記憶手段にログインキーと発行日とを記録する手段と、前記管理者端末から、前記ログインキーに対応するオリジナルキーを取得した場合には、前記ログインキーに関連づけて前記オリジナルキーを前記認証情報記憶手段に記録する手段と、前記認証情報記憶手段に記録されたログインキー及びオリジナルキーを取得した場合には、前記認証情報記憶手段を用いて、前記ログインキー及びオリジナルキーに関連付けられたアクセス可能な情報処理サーバの識別情報を特定し、前記情報処理サーバにログインするためのワンタイムキーの生成処理を実行し、前記ログインキーの利用履歴を記録し、前記ワンタイムキーを出力する手段と、各ログインキーの発行日に基づいて特定される有効期限を経過した場合には、ログインキーを無効化する手段と、前記ログインキーの利用履歴を前記管理者端末に送信する手段とを備えたことを要旨とする。
In order to solve the above problems, the invention described in
請求項2に記載の発明は、請求項1に記載のアクセス管理システムにおいて、前記ワンタイムキーの生成処理において、前記制御手段が、前記情報処理サーバのセキュリティポリシーを特定し、前記アクセス管理システムにおけるセキュリティポリシーと、前記情報処理サーバのセキュリティポリシーを比較して、比較結果に基づいてワンタイムキーを生成することを要旨とする。 According to a second aspect of the present invention, in the access management system according to the first aspect, in the one-time key generation process, the control means specifies a security policy of the information processing server, and the access management system The gist is to compare the security policy with the security policy of the information processing server and generate a one-time key based on the comparison result.
請求項3に記載の発明は、請求項2に記載のアクセス管理システムにおいて、前記制御手段が、前記情報処理サーバに対して、セキュリティポリシーを要求して、前記情報処理サーバからセキュリティポリシーを取得することを要旨とする。 According to a third aspect of the present invention, in the access management system according to the second aspect, the control unit requests a security policy from the information processing server and acquires the security policy from the information processing server. This is the gist.
請求項4に記載の発明は、請求項2に記載のアクセス管理システムにおいて、前記制御手段が、前記情報処理サーバを特定して、予め登録されたセキュリティポリシーを取得することを要旨とする。
The invention according to claim 4 is the access management system according to
請求項5に記載の発明は、請求項1〜4のいずれか1つに記載のアクセス管理システムにおいて、前記管理者情報記憶手段には、管理者毎に、ログインキーの必要数が記録されており、前記制御手段が、前記管理者端末の連絡先毎にログインキーの必要数を特定し、前記必要数のログインキーを送信することを要旨とする。 According to a fifth aspect of the present invention, in the access management system according to any one of the first to fourth aspects, the required number of login keys is recorded for each administrator in the administrator information storage means. The gist of the invention is that the control means specifies the required number of login keys for each contact of the manager terminal and transmits the required number of login keys.
請求項6に記載の発明は、請求項1〜5のいずれか1つに記載のアクセス管理システムにおいて、前記制御手段が、前記情報処理サーバの稼動状況情報を取得する手段と、前記稼動状況情報に基づいて、ワンタイムキーの発行方法を変更する手段とを更に備えたことを要旨とする。 According to a sixth aspect of the present invention, in the access management system according to any one of the first to fifth aspects, the control unit obtains the operational status information of the information processing server, and the operational status information And a means for changing the one-time key issuing method based on the above.
請求項7に記載の発明は、ログインキーを送信する管理者端末の連絡先を記憶した管理者情報記憶手段と、管理者識別子に関連付けて、ログインキー、オリジナルキー、発行日を記憶する認証情報記憶手段と、管理者端末と情報処理サーバとに接続された制御手段とを備えたアクセス管理システムを用いて、アクセスを管理する方法であって、前記制御手段が、前記管理者情報記憶手段に記憶された連絡先の管理者端末に対して、ログインキーを送信し、前記認証情報記憶手段にログインキーと発行日とを記録する段階と、前記管理者端末から、前記ログインキーに対応するオリジナルキーを取得した場合には、前記ログインキーに関連づけて前記オリジナルキーを前記認証情報記憶手段に記録する段階と、前記認証情報記憶手段に記録されたログインキー及びオリジナルキーを取得した場合には、前記認証情報記憶手段を用いて、前記ログインキー及びオリジナルキーに関連付けられたアクセス可能な情報処理サーバの識別情報を特定し、前記情報処理サーバにログインするためのワンタイムキーの生成処理を実行し、前記ログインキーの利用履歴を記録し、前記ワンタイムキーを出力する段階と、各ログインキーの発行日に基づいて特定される有効期限を経過した場合には、ログインキーを無効化する段階と、前記ログインキーの利用履歴を前記管理者端末に送信する段階とを実行することを要旨とする。 The invention according to claim 7 is the administrator information storage means storing the contact information of the administrator terminal that transmits the login key, and the authentication information storing the login key, the original key, and the issue date in association with the administrator identifier. A method for managing access using an access management system comprising a storage means and a control means connected to an administrator terminal and an information processing server, wherein the control means is stored in the administrator information storage means. Transmitting a login key to the administrator terminal of the stored contact and recording the login key and the date of issue in the authentication information storage means; and from the administrator terminal, an original corresponding to the login key If a key is obtained, the original key is recorded in the authentication information storage means in association with the login key, and is recorded in the authentication information storage means. When the login key and the original key are acquired, the identification information of the accessible information processing server associated with the login key and the original key is specified using the authentication information storage unit, and the login to the information processing server is performed. A process of generating a one-time key for recording, recording a use history of the login key, outputting the one-time key, and an expiration date specified based on an issue date of each login key has elapsed In this case, the gist is to execute a step of invalidating the login key and a step of transmitting a use history of the login key to the administrator terminal.
請求項8に記載の発明は、ログインキーを送信する管理者端末の連絡先を記憶した管理者情報記憶手段と、管理者識別子に関連付けて、ログインキー、オリジナルキー、発行日を記憶する認証情報記憶手段と、管理者端末と情報処理サーバとに接続された制御手段とを備えたアクセス管理システムを用いて、アクセスを管理するためのプログラムであって、前記制御手段を、前記管理者情報記憶手段に記憶された連絡先の管理者端末に対して、ログインキーを送信し、前記認証情報記憶手段にログインキーと発行日とを記録する手段、前記管理者端末から、前記ログインキーに対応するオリジナルキーを取得した場合には、前記ログインキーに関連づけて前記オリジナルキーを前記認証情報記憶手段に記録する手段、前記認証情報記憶手段に記録されたログインキー及びオリジナルキーを取得した場合には、前記認証情報記憶手段を用いて、前記ログインキー及びオリジナルキーに関連付けられたアクセス可能な情報処理サーバの識別情報を特定し、前記情報処理サーバにログインするためのワンタイムキーの生成処理を実行し、前記ログインキーの利用履歴を記録し、前記ワンタイムキーを出力する手段、各ログインキーの発行日に基づいて特定される有効期限を経過した場合には、ログインキーを無効化する手段、前記ログインキーの利用履歴を前記管理者端末に送信する手段として機能させることを要旨とする。 The invention according to claim 8 is the administrator information storage means for storing the contact information of the administrator terminal that transmits the login key, and the authentication information for storing the login key, the original key, and the issue date in association with the administrator identifier. A program for managing access using an access management system comprising a storage means and a control means connected to an administrator terminal and an information processing server, wherein the control means stores the administrator information Means for transmitting a login key to the administrator terminal of the contact stored in the means, and recording the login key and the date of issue in the authentication information storage means; corresponding to the login key from the administrator terminal If the original key is acquired, the original key is recorded in the authentication information storage means in association with the login key, and the authentication information storage means When the recorded login key and original key are acquired, the authentication information storage means is used to identify identification information of an accessible information processing server associated with the login key and original key, and the information processing A process for generating a one-time key for logging in to the server, recording a use history of the login key, outputting means for outputting the one-time key, and an expiration date specified based on an issue date of each login key When it has elapsed, the gist is to function as means for invalidating the login key and means for transmitting the use history of the login key to the administrator terminal.
(作用)
請求項1又は7、8に記載の発明によれば、制御手段が、管理者情報記憶手段に記憶された連絡先の管理者端末に対して、ログインキーを送信し、認証情報記憶手段にログインキーと発行日とを記録する。そして、管理者端末から、ログインキーに対応するオリジナルキーを取得した場合には、ログインキーに関連づけてオリジナルキーを認証情報記憶手段に記録する。これにより、ログインキーとオリジナルキーとを用いて、ユーザ認証を行なうことができる。
(Function)
According to the invention described in
更に、認証情報記憶手段に記録されたログインキー及びオリジナルキーを取得した場合には、認証情報記憶手段を用いて、ログインキー及びオリジナルキーに関連付けられたアクセス可能な情報処理サーバの識別情報を特定し、情報処理サーバにログインするためのワンタイムキーの生成処理を実行する。そして、ログインキーの利用履歴を記録し、ワンタイムキーを出力する。これにより、ユーザは、ディスプレイ等の出力手段に表示されたワンタイムキーを確認することにより、ログインキー及びオリジナルキーに関連付けられた情報処理サーバにアクセスするための認証情報を入手することができる。そして、各ログインキーの発行日に基づいて特定される有効期限を経過した場合には、ログインキーを無効化することにより、ログインキーの漏えいを防止することができる。
更に、ログインキーの利用履歴を管理者端末に送信することにより、管理者はユーザの利用状況を把握することができる。
Further, when the login key and the original key recorded in the authentication information storage means are acquired, the identification information of the accessible information processing server associated with the login key and the original key is specified using the authentication information storage means. Then, a one-time key generation process for logging in to the information processing server is executed. Then, the log-in key usage history is recorded and a one-time key is output. Thus, the user can obtain authentication information for accessing the information processing server associated with the login key and the original key by confirming the one-time key displayed on the output means such as a display. And when the expiration date specified based on the issue date of each login key has passed, it is possible to prevent the login key from being leaked by invalidating the login key.
Furthermore, by transmitting the login key usage history to the administrator terminal, the administrator can grasp the usage status of the user.
請求項2に記載の発明によれば、制御手段は、情報処理サーバのセキュリティポリシーを特定し、アクセス管理システムにおけるセキュリティポリシーと、情報処理サーバのセキュリティポリシーを比較して、比較結果に基づいてワンタイムキーを生成する。これにより、セキュリティポリシーが異なる複数のリソースを用いる場合にも、的確なセキュリティ管理の下にパスワードを生成することができる。 According to the second aspect of the invention, the control means specifies the security policy of the information processing server, compares the security policy in the access management system with the security policy of the information processing server, and based on the comparison result, Generate a time key. Accordingly, even when a plurality of resources having different security policies are used, a password can be generated under accurate security management.
請求項3に記載の発明によれば、情報処理サーバに対して、セキュリティポリシーを要求して、前情報処理サーバからセキュリティポリシーを取得する。これにより、情報処理サーバにおける現在のセキュリティポリシーを特定することができる。 According to the third aspect of the present invention, a security policy is requested from the information processing server, and the security policy is acquired from the previous information processing server. Thereby, the current security policy in the information processing server can be specified.
請求項4に記載の発明によれば、情報処理サーバを特定して、予め登録されたセキュリティポリシーを取得する。これにより、通信負荷を軽減しながら、情報処理サーバにおけるセキュリティポリシーを特定することができる。 According to the fourth aspect of the present invention, the information processing server is specified, and a pre-registered security policy is acquired. Thereby, the security policy in the information processing server can be specified while reducing the communication load.
請求項5に記載の発明によれば、管理者情報記憶手段には、管理者毎に、ログインキーの必要数が記録されており、管理者端末の連絡先毎にログインキーの必要数を特定し、必要数のログインキーを送信する。これにより、管理者は、複数のユーザに対して、異なるログインキーを提供することができる。
According to the invention described in
請求項6に記載の発明によれば、制御手段は、情報処理サーバの稼動状況情報を取得し、稼動状況情報に基づいて、ワンタイムキーの発行方法を変更する。例えば、一部の情報処理サーバに障害が発生した場合、関連する他の情報処理サーバにおいてもメンテナンスが必要になることがある。このような場合においても、ユーザは、情報処理サーバの稼働状況に応じて、効率的に情報処理サーバにアクセスすることができる。 According to the invention described in claim 6, the control means obtains the operation status information of the information processing server and changes the one-time key issuance method based on the operation status information. For example, when a failure occurs in some information processing servers, maintenance may be required in other related information processing servers. Even in such a case, the user can efficiently access the information processing server according to the operating status of the information processing server.
本発明によれば、システムにログインするためのパスワードを効率的かつ的確に管理するためのアクセス管理システム、アクセス管理方法及びアクセス管理プログラムを提供することができる。 According to the present invention, it is possible to provide an access management system, an access management method, and an access management program for efficiently and accurately managing a password for logging in to the system.
以下、本発明を具体化した一実施形態を、図1〜図5に従って説明する。本実施形態では、図1に示すように、ユーザが業務サーバ10にアクセスする場合を想定する。この場合、各ユーザは管理者に対して利用申請を行なう。そして、管理者によって、利用申請が承認された場合には、アクセス申請端末20を用いて、各業務サーバ10にアクセスするためのワンタイムキーを取得する。そして、このワンタイムキーを用いて、各業務サーバ10にアクセスして、メンテナンス等の作業を行なう。
アクセス申請端末20は、ネットワークを介して、業務サーバ10や管理者端末30に接続されている。
Hereinafter, an embodiment embodying the present invention will be described with reference to FIGS. In the present embodiment, it is assumed that the user accesses the
The
業務サーバ10は、各種サービスの提供を管理するコンピュータシステムである。この業務サーバ10は、アクセス制御部11、アクセス認証情報記憶部12、業務処理部15を備えている。
The
アクセス制御部11は、業務サーバ10におけるアクセスを管理する処理を実行する。このアクセス制御部11は、CPU、RAM、ROM等から構成された制御手段として機能し、後述する処理(ポリシー管理段階、ワンタイムキー登録段階、ユーザ認証段階等を含む処理)を行なう。このためのアクセス管理プログラムを実行することにより、アクセス制御部11は、ポリシー管理手段111、ワンタイムキー登録手段112、ユーザ認証手段113等として機能する。
The
ポリシー管理手段111は、業務サーバ10のログイン時に用いるワンタイムキーについてのセキュリティポリシーを管理する処理を実行する。このため、ポリシー管理手段111は、業務サーバ10に適用されるセキュリティポリシーに関するデータを記憶する。具体的には、アクセス時に用いるユーザIDや、パスワードについての生成条件(文字種別や最低文字数)に関するデータを記憶している。
The
ワンタイムキー登録手段112は、アクセス申請端末20から取得したワンタイムキーをアクセス認証情報記憶部12に登録する処理を実行する。そして、ワンタイムキー登録手段112は、ワンタイムキーの有効期限の到来を検知した場合、このワンタイムキーを無効化する処理を実行する。
ユーザ認証手段113は、アクセス認証情報記憶部12を用いて、アクセス者のアクセス権限を確認する認証処理を実行する。
The one-time
The
アクセス認証情報記憶部12には、図2(a)に示すように、この業務サーバ10にログイン可能なユーザを認証するためのアクセス認証情報管理レコード120が記録されている。このアクセス認証情報管理レコード120は、ワンタイムキー発行要求を受信した場合に登録される。このアクセス認証情報管理レコード120には、発行日、ワンタイムキー、アクセス権限に関するデータが記録される。
As shown in FIG. 2A, an access authentication
発行日データ領域には、ワンタイムキーを発行した年月日に関するデータが記録される。この発行日は、ワンタイムキーについての有効期間を加算することにより有効期限を算出するために用いられる。
ワンタイムキーデータ領域には、アクセス者を認証するための認証情報が記録される。本実施形態では、ワンタイムキーとして、予め定められた期間(有効期限までの期間)のみ、一時的に利用可能なワンタイムID及びワンタイムパスワードを用いる。
アクセス権限データ領域には、この業務サーバ10へのアクセス時の権限を特定するためのデータが記録される。
In the issue date data area, data related to the date of issue of the one-time key is recorded. This issue date is used to calculate the expiration date by adding the validity period for the one-time key.
Authentication information for authenticating the accessor is recorded in the one-time key data area. In the present embodiment, as a one-time key, a one-time ID and a one-time password that can be temporarily used are used only for a predetermined period (period until the expiration date).
In the access authority data area, data for specifying authority at the time of accessing the
管理者端末30は、各業務サーバ10の管理者が利用するコンピュータ端末である。この管理者端末30は、キーボードやマウス等の入力手段や、ディスプレイ等の出力手段を備える。更に、管理者端末30は、電子メールを送信したり、受信したりするためのメール送受信手段(電子メールクライアント)を備えている。このメール送受信手段は、受信した電子メールを保存する受信メールメモリを備えている。
The
アクセス申請端末20は、業務サーバ10にログインするためのワンタイムキーを管理するコンピュータ端末である。このアクセス申請端末20は、制御部21、マスタ情報記憶部22、ログイン認証情報記憶部23、アクセス管理情報記憶部24を備えている。
The
制御部21は、CPU、RAM、ROM等から構成された制御手段として機能し、後述する処理(ログインキー登録管理段階、業務サーバの利用申請段階、ログインキー管理段階、ワンタイムキー管理段階、利用状況管理段階等を含む処理)を行なう。このためのアクセス管理プログラムを実行することにより、制御部21は、ログインキー送信手段211、ログインキー有効化手段212、ログイン認証手段213、ワンタイムキー設定手段214、キー管理手段215、利用状況管理手段216等として機能する。
The
ログインキー送信手段211は、管理者端末30に対して、アクセス申請端末20へのログイン時に用いるログインキーを送信する処理を実行する。ここでは、ログインキーとして、ログインID及びログインパスワードを用いる。
The login
ログインキー有効化手段212は、アクセス申請端末20へのログイン時に用いるログインキーを利用できるように有効化する処理を実行する。
ログイン認証手段213は、アクセス申請端末20へのログイン時にユーザの認証処理を実行する。
The login
The
ワンタイムキー設定手段214は、業務サーバ10やアクセス申請端末20のセキュリティポリシーに応じて、業務サーバ10にログインするためのワンタイムキーを生成する処理を実行する。このため、ワンタイムキー設定手段214は、アクセス申請端末20に適用されるセキュリティポリシー(ワンタイムキーの生成条件)に関するデータを記憶する。
The one-time
キー管理手段215は、ログインキーやワンタイムキーの有効期限を管理する処理を実行する。このため、キー管理手段215は、ログインキーの有効期限を算出するための有効期間や、業務サーバ10のサーバ識別子毎にワンタイムキーの有効期限を算出するための有効期間に関するデータを保持している。本実施形態では、ワンタイムキーについての有効期間は、業務サーバ10において定められた有効期間と同じ長さに設定する。そして、ログインキーについての有効期間は、ワンタイムキーについての有効期間とは独立して決めることができる。
利用状況管理手段216は、ログインキーやワンタイムキーの利用状況を管理する処理を実行する。
The
The usage status management means 216 executes processing for managing the usage status of the login key and the one-time key.
マスタ情報記憶部22は、認証情報記憶手段及び管理者情報記憶手段として機能する。このマスタ情報記憶部22には、図2(b)に示すように、ログインキーの提供先である管理者を特定するためのマスタ管理レコード220が記録されている。このマスタ管理レコード220は、各業務サーバ10の各管理者が登録された場合に記録される。マスタ管理レコード220は、管理者ID、連絡先に関するデータを含んで構成される。更に、グループ種別、サーバ識別子、人数に関するデータを含んで構成される。
The master
管理者IDデータ領域には、各管理者を特定するための識別子に関するデータが記録される。
連絡先データ領域には、この管理者端末30の連絡先(本実施形態では、メールアドレス)に関するデータが記録される。
In the manager ID data area, data relating to an identifier for identifying each manager is recorded.
In the contact data area, data related to the contact information (e-mail address in the present embodiment) of the
グループ種別データ領域には、この管理者が担当する業務サーバ10のグループを特定するための識別子に関するデータが記録される。本実施形態では、所定のサービスを提供する一つのグループには、1以上の業務サーバ10が含まれる場合を想定する。
In the group type data area, data relating to an identifier for identifying the group of the
サーバ識別子データ領域には、この管理者が担当するグループ種別に属する業務サーバ10を特定するための識別情報に関するデータが記録される。
人数データ領域には、このグループ種別に属する業務サーバ10にアクセスする可能性があるユーザの人数に関するデータが記録される。
In the server identifier data area, data relating to identification information for specifying the
In the number data area, data relating to the number of users who may access the
ログイン認証情報記憶部23は認証情報記憶手段として機能する。このログイン認証情報記憶部23には、図2(c)に示すように、アクセス申請端末20にログイン可能なユーザを認証するためのログイン認証管理レコード230が記録されている。このログイン認証管理レコード230は、各管理者に対して、ログインキーを送信した場合に登録され、このログインキーについて利用承認を行なった場合等に更新される。ログイン認証管理レコード230は、管理者ID、発行日、グループ種別、ログインキー、利用状況、オリジナルキー、ステータスに関するデータを含んで構成される。
The login authentication
管理者IDデータ領域には、ログインキーを提供した管理者を特定するための識別子に関するデータが記録される。
発行日データ領域には、管理者に対してログインキーを送信した年月日に関するデータが記録される。
In the administrator ID data area, data relating to an identifier for specifying the administrator who provided the login key is recorded.
In the issue date data area, data related to the date on which the login key is transmitted to the administrator is recorded.
グループ種別データ領域には、ログインキーを利用できる業務サーバ10のグループ種別を特定するための識別子に関するデータが記録される。
ログインキーデータ領域には、管理者に対して提供したアクセス認証情報(ログインID及びログインパスワードからなるログインキー)を特定するための識別子に関するデータが記録される。
In the group type data area, data relating to an identifier for specifying the group type of the
In the login key data area, data relating to an identifier for specifying access authentication information (a login key including a login ID and a login password) provided to the administrator is recorded.
利用状況データ領域には、このログインキーの利用状況に関するデータが記録される。具体的には、ログインキーが有効化された年月日に関するデータが記録される。
オリジナルキーデータ領域には、アクセス申請端末20において、業務サーバ10に対するアクセス権限を設定できるユーザを認証するための認証情報が記録される。このオリジナルキーは、管理者端末30から受信した利用承認において取得する。
In the usage status data area, data relating to the usage status of the login key is recorded. Specifically, data related to the date on which the login key is validated is recorded.
In the original key data area, authentication information for authenticating a user who can set access authority for the
ステータスデータ領域には、このログインキーの有効性を判定するためのフラグが記録される。このデータ領域には、ログインキーが有効化された場合には有効フラグが記録されるとともに、有効期限が到来した場合には無効フラグが記録される。 In the status data area, a flag for determining the validity of the login key is recorded. In this data area, a valid flag is recorded when the login key is validated, and an invalid flag is recorded when the expiration date comes.
アクセス管理情報記憶部24には、図2(d)に示すように、業務サーバ10にアクセスするためのワンタイムキーの利用状況を管理するためのアクセス管理レコード240が記録されている。このアクセス管理レコード240は、ワンタイムキーを発行した場合に登録される。アクセス管理レコード240は、発行日、ログインキー、サーバ識別子、アクセス権限、ワンタイムキー、ステータスに関するデータを含んで構成される。
As shown in FIG. 2D, the access management
発行日データ領域には、ワンタイムキーを発行した年月日に関するデータが記録される。
ログインキーデータ領域には、アクセス申請端末20へのログイン者を特定するための識別子に関するデータが記録される。具体的には、このデータ領域には、ログイン時に用いられたログインキーが記録される。
In the issue date data area, data related to the date of issue of the one-time key is recorded.
In the login key data area, data relating to an identifier for specifying a login person to the
サーバ識別子データ領域には、アクセスを希望する業務サーバ10を特定するための識別子に関するデータが記録される。
アクセス権限データ領域には、この業務サーバ10へのアクセス時の権限を特定するためのデータが記録される。
In the server identifier data area, data relating to an identifier for identifying the
In the access authority data area, data for specifying authority at the time of accessing the
ワンタイムキーデータ領域には、この業務サーバ10にアクセスする場合に用いる認証情報(ワンタイムID及びワンタイムパスワードからなるワンタイムキー)に関するデータが記録される。
ステータスデータ領域には、このワンタイムキーの有効性を判定するためのフラグが記録される。このデータ領域には、業務サーバ10においてワンタイムキーが登録された場合には有効フラグが記録されるとともに、有効期限が到来した場合には無効フラグが記録される。
In the one-time key data area, data related to authentication information (one-time key including a one-time ID and a one-time password) used when accessing the
In the status data area, a flag for determining the validity of the one-time key is recorded. In this data area, an effective flag is recorded when a one-time key is registered in the
次に、上記のように構成されたシステムにおいて、業務サーバ10にログインする場合に用いるアクセス管理方法の具体例について、図3〜図5を用いて説明する。
(ログインキー登録管理処理)
まず、図3を用いて、ログインキー登録管理処理を説明する。
ここでは、まず、アクセス申請端末20の制御部21は、ログインキーの送信先の特定処理を実行する(ステップS1−1)。具体的には、制御部21のログインキー送信手段211は、マスタ情報記憶部22から、ログインキーの送信対象であるマスタ管理レコード220を抽出する。次に、ログインキー送信手段211は、抽出したマスタ管理レコード220に記録されている連絡先を取得する。
Next, a specific example of an access management method used when logging into the
(Login key registration management process)
First, the login key registration management process will be described with reference to FIG.
Here, first, the
そして、抽出した連絡先毎に、以下の処理を実行する。
ここでは、アクセス申請端末20の制御部21は、ログインキー生成処理を実行する(ステップS1−2)。具体的には、制御部21のログインキー送信手段211は、マスタ管理レコード220に記録されているグループ種別毎に人数を取得する。そして、ログインキー送信手段211は、乱数を用いて、この人数分のユニークなログインキー(ログインID及びログインパスワード)を生成する。
Then, the following processing is executed for each extracted contact.
Here, the
次に、アクセス申請端末20の制御部21は、ログインキーの登録処理を実行する(ステップS1−3)。具体的には、制御部21のログインキー送信手段211は、この管理者IDを記録したログイン認証管理レコード230を生成し、ログイン認証情報記憶部23に記録する。また、ログインキー送信手段211は、管理者IDに関連付けて、発行日(現在の年月日)を記録する。更に、ログインキー送信手段211は、管理者IDに関連付けて、グループ種別毎に生成した人数分のログインキーを記録する。
Next, the
次に、アクセス申請端末20の制御部21は、ログインキーを含めたメールの送信処理を実行する(ステップS1−4)。具体的には、制御部21のログインキー送信手段211は、送信先として管理者端末30の連絡先を設定した電子メールを生成する。この電子メールには、グループ種別毎に、人数分のログインキーに関するデータを含める。そして、ログインキー送信手段211は、この電子メールを管理者端末30に対して送信する。
Next, the
この場合、管理者端末30は、メール受信処理を実行する(ステップS1−5)。具体的には、管理者端末30のメール送受信手段は、ログインキーを含めた電子メールを受信して、受信メールメモリに記憶する。
In this case, the
ユーザが業務サーバ10へのアクセスを希望する場合には、管理者に対して利用申請を行なう。この利用申請においては、アクセス対象の業務サーバ10が属するグループ種別を含める。更に、ユーザは、管理者に対して、ユーザ自身が決定したオリジナルキーを伝える。
When the user desires access to the
次に、管理者端末30は、メールの選択処理を実行する(ステップS1−6)。具体的には、管理者は、ユーザの利用申請を承認する場合、管理者端末30のメール送受信手段を起動する。この場合、管理者端末30は、受信メールメモリに記録された電子メール一覧を、ディスプレイに表示する。そして、管理者は、この電子メール一覧において、アクセス申請端末20から受信した電子メールであって、ログインキーを含めた電子メールを特定する。更に、この電子メールの中で、受信日が直近の日付のメールを選択する。
Next, the
次に、管理者端末30は、ログインキーの表示処理を実行する(ステップS1−7)。具体的には、管理者端末30は、選択された電子メールの内容をディスプレイに表示する。この電子メールには、グループ種別毎に人数分のログインキーが表示される。更に、この電子メールには、ログインキーに関連づけて承認ボタンが表示される。管理者は、利用申請を承認する場合には、利用申請に用いるログインキーをユーザに伝える。この場合、ユーザは、ログインキーを記憶しておく。そして、管理者は、このログインキーに対応する承認ボタンを選択する。
Next, the
承認ボタンの選択を検知した管理者端末30は、オリジナルキーの受付処理を実行する(ステップS1−8)。具体的には、管理者端末30は、ディスプレイ上に入力画面を表示する。この入力画面には、オリジナルキーの入力欄及び実行ボタンが含まれる。この場合、管理者は、ユーザから入手したオリジナルキーを入力欄に設定する。そして、実行ボタンを選択する。
The
実行ボタンの選択を検知した管理者端末30は、利用承諾の送信処理を実行する(ステップS1−9)。具体的には、管理者端末30は、利用承認をアクセス申請端末20に送信する。この利用承認には、選択されたログインキー、入力されたオリジナルキーに関するデータを含める。
The
次に、アクセス申請端末20の制御部21は、ログインキーの利用状況の確認処理を実行する(ステップS1−10)。具体的には、制御部21のログインキー有効化手段212は、ログイン認証情報記憶部23において、受信した利用承認に含まれるログインキーが記録されたログイン認証管理レコード230を特定する。そして、ログインキー有効化手段212は、特定したログイン認証管理レコード230にオリジナルキーが記録されているかどうかを判定する。既にオリジナルキーが記録されている場合には、ログインキーは利用済みであることを示している。そこで、ログインキー有効化手段212は、利用できないことを管理者端末30に通知する。
Next, the
一方、ログイン認証管理レコード230にオリジナルキーが記録されていない場合には、アクセス申請端末20の制御部21は、ログインキーの有効化処理を実行する(ステップS1−11)。具体的には、ログイン認証管理レコード230の利用状況データ領域に現在年月日を記録するとともに、ステータスデータ領域に有効フラグを記録する。
On the other hand, when the original key is not recorded in the login
次に、アクセス申請端末20の制御部21は、オリジナルキーの登録処理を実行する(ステップS1−12)。具体的には、制御部21のログインキー有効化手段212は、このログイン認証管理レコード230に、利用申請に含まれるオリジナルキーを記録する。
Next, the
(業務サーバの利用申請処理)
次に、業務サーバ10を利用する場合を説明する。この場合には、ユーザは、アクセス申請端末20においてアクセス管理プログラムを起動させる。
(Business server usage application processing)
Next, a case where the
この場合、アクセス申請端末20の制御部21は、ログイン画面の表示処理を実行する(ステップS2−1)。具体的には、制御部21のログイン認証手段213は、ディスプレイにログイン画面を出力する。このログイン画面には、ログインキーの入力欄及び実行ボタンが含まれる。ユーザは、この入力欄にログインキーを入力して、実行ボタンを選択する。この場合、制御部21のログイン認証手段213は、入力されたログインキーが記録されているログイン認証管理レコード230がログイン認証情報記憶部23に登録されているかどうかを確認する。更に、ログインキーが記録されているログイン認証管理レコード230のステータスデータ領域に、無効フラグが記録されていないかどうかを確認する。ログインキーが記録されているログイン認証管理レコード230を特定できない場合や、ログイン認証管理レコード230に無効フラグが記録されている場合、ログイン認証手段213は、ログインを拒否して、ログインできないことを示すメッセージをディスプレイに出力する。一方、入力されたログインキーが記録されているログイン認証管理レコード230において無効フラグが記録されていない場合には、ログインを許可する。
In this case, the
次に、アクセス申請端末20の制御部21は、ワンタイムキー生成画面の表示処理を実行する(ステップS2−2)。具体的には、制御部21のワンタイムキー設定手段214は、ワンタイムキー設定画面をディスプレイに出力する。このワンタイムキー設定画面には、オリジナルキー入力欄、業務サーバ選択欄、アクセス権限選択欄が設けられている。
Next, the
次に、アクセス申請端末20の制御部21は、ワンタイムキー生成画面への入力処理を実行する(ステップS2−3)。具体的には、ユーザは、管理者に伝えたオリジナルキーをオリジナルキー入力欄に入力する。更に、業務サーバ選択欄、アクセス権限選択欄において、アクセス対象の業務サーバ10のサーバ識別子、アクセス権限を選択する。
Next, the
アクセス申請端末20の制御部21は、オリジナルキーの認証処理を実行する(ステップS2−4)。具体的には、制御部21のワンタイムキー設定手段214は、入力されたオリジナルキーがログイン認証管理レコード230に記録されているかどうか(条件1)を確認する。更に、マスタ情報記憶部22を用いて、選択された業務サーバ10のサーバ識別子がグループ種別に含まれるかどうか(条件2)を確認する。確認結果において、少なくともいずれかの条件が一致しない場合には、利用を拒否する。一方、両条件が一致する場合には、制御部21のワンタイムキー設定手段214は、ログイン認証情報記憶部23のログイン認証管理レコード230の利用状況データ領域に現在日付を記録するとともに、ステータスデータ領域に有効フラグを記録する。更に、ワンタイムキー設定手段214は、アクセス管理レコード240を生成し、アクセス管理情報記憶部24に記録する。このアクセス管理レコード240には、発行日(現在日付)、ログインキー、サーバ識別子、アクセス権限を記録する。
The
次に、アクセス申請端末20の制御部21は、セキュリティポリシーの要求処理を実行する(ステップS2−5)。具体的には、制御部21のワンタイムキー設定手段214は、選択された業務サーバ10に対して、セキュリティポリシー要求を送信する。
Next, the
この場合、業務サーバ10のアクセス制御部11は、セキュリティポリシーの回答処理を実行する(ステップS2−6)。具体的には、アクセス制御部11のポリシー管理手段111は、セキュリティポリシーについての回答をアクセス申請端末20に返信する。この回答には、セキュリティポリシーにおいて設定されている、ワンタイムキーの生成条件に関するデータを含める。
In this case, the
次に、アクセス申請端末20の制御部21は、セキュリティポリシーの取得処理を実行する(ステップS2−7)。具体的には、制御部21のワンタイムキー設定手段214は、業務サーバ10から、セキュリティポリシーとして、ユーザIDやパスワードの生成条件を取得する。
Next, the
次に、アクセス申請端末20の制御部21は、セキュリティポリシーの比較処理を実行する(ステップS2−8)。具体的には、制御部21のワンタイムキー設定手段214は、業務サーバ10から取得した生成条件と、アクセス申請端末20に適用されるセキュリティポリシーの生成条件とを比較する。そして、条件が厳しいセキュリティポリシーを特定する。具体的には、生成条件において定められた最低文字数が異なる場合には、最低文字数が多い方を選択する。また、生成条件において、複数の文字種別が設定されている場合には、この条件に従う。
Next, the
次に、アクセス申請端末20の制御部21は、ワンタイムキーの発行処理を実行する(ステップS2−9)。具体的には、制御部21のワンタイムキー設定手段214は、特定したセキュリティポリシーの生成条件に従って、乱数を用いてワンタイムキーを生成する。そして、ワンタイムキー設定手段214は、業務サーバ10に対して、生成したワンタイムキーをログイン時に用いる場合の認証情報として送信する。
Next, the
次に、業務サーバ10のアクセス制御部11は、ワンタイムキーの登録処理を実行する(ステップS2−10)。具体的には、アクセス制御部11のワンタイムキー登録手段112は、受信したワンタイムキーを登録できるかどうかを確認する。具体的には、セキュリティポリシーの生成条件に合致しているかどうか、同じワンタイムキーが既に登録されていないかどうかを確認する。ワンタイムキーに問題がない場合、ワンタイムキー登録手段112は、アクセス認証情報管理レコード120を生成し、アクセス認証情報記憶部12に登録する。このアクセス認証情報管理レコード120の発行日データ領域には現在日付、ワンタイムキーデータ領域にはアクセス申請端末20から受信したワンタイムキーを記録する。
Next, the
そして、業務サーバ10のアクセス制御部11は、結果送信処理を実行する(ステップS2−11)。具体的には、アクセス制御部11のワンタイムキー登録手段112は、ワンタイムキーを登録したかどうかについての登録可否の判定結果をアクセス申請端末20に返信する。この判定結果には、ワンタイムキーを登録した場合には登録完了を示すメッセージ、ワンタイムキーを登録しなかった場合には登録失敗を示すメッセージを含める。
Then, the
次に、アクセス申請端末20の制御部21は、結果受信処理を実行する(ステップS2−12)。具体的には、制御部21のワンタイムキー設定手段214は、業務サーバ10から、登録可否の判定結果を受信する。
Next, the
次に、アクセス申請端末20の制御部21は、登録成功かどうかについての判定処理を実行する(ステップS2−13)。具体的には、制御部21のワンタイムキー設定手段214は、登録可否の判定結果に含まれるメッセージに基づいて判定する。
Next, the
判定結果において登録失敗のメッセージを取得した場合(ステップS2−13において「NO」の場合)、ワンタイムキー設定手段214は、ステップS2−9の処理からやり直す。
When a registration failure message is acquired as the determination result (in the case of “NO” in step S2-13), the one-time
一方、登録完了のメッセージを取得することにより、登録成功と判定した場合(ステップS2−13において「YES」の場合)、アクセス申請端末20の制御部21は、ワンタイムキーの表示処理を実行する(ステップS2−14)。具体的には、制御部21のワンタイムキー設定手段214は、業務サーバ10から取得したワンタイムキーを、ディスプレイに出力する。更に、ワンタイムキー設定手段214は、ログイン認証管理レコード230に記録された管理者IDの連絡先をマスタ情報記憶部22から取得する。そして、ワンタイムキー設定手段214は、この連絡先に対して、ワンタイムキーが発行されたことを示す電子メールを送信する。
On the other hand, if it is determined that the registration is successful by obtaining a registration completion message (“YES” in step S2-13), the
次に、アクセス申請端末20の制御部21は、利用状況の登録処理を実行する(ステップS2−15)。具体的には、制御部21のワンタイムキー設定手段214は、ワンタイムキーを記録したアクセス管理レコード240を生成し、アクセス管理情報記憶部24に記録する。このアクセス管理レコード240のワンタイムキーデータ領域には、業務サーバ10における登録に成功したワンタイムキーを記録する。更に、ステータスデータ領域には、有効フラグを記録する。
Next, the
そして、ユーザが業務サーバ10にアクセスする場合には、取得したワンタイムキーを業務サーバ10に入力する。この場合、業務サーバ10のアクセス制御部11は、ワンタイムキーによるログイン処理を実行する(ステップS3−1)。具体的には、アクセス制御部11のユーザ認証手段113は、入力されたワンタイムキーがアクセス認証情報記憶部12に記録されているかどうかを確認する。更に、アクセス認証情報管理レコード120において無効フラグが設定されていないかどうかを確認する。無効フラグが設定されていないアクセス認証情報管理レコード120を抽出した場合には、ユーザ認証手段113は、アクセスを許可する。
When the user accesses the
次に、業務サーバ10のアクセス制御部11は、操作処理を実行する(ステップS3−2)。具体的には、アクセス制御部11のユーザ認証手段113は、業務処理部15に処理を引き継ぐ。これにより、ユーザは、業務処理部15における操作を行なうことができる。
Next, the
(ログインキー管理処理)
次に、図5(a)を用いて、ログインキー管理処理を説明する。この処理は、定期的(例えば、毎日定時)に行なわれる。ここでは、アクセス管理情報記憶部24に記録されたログインキー毎に繰り返し行なわれる。
(Login key management process)
Next, the login key management process will be described with reference to FIG. This process is performed regularly (for example, every day). Here, the process is repeated for each login key recorded in the access management
まず、アクセス申請端末20の制御部21は、ログインキーの有効期限の取得処理を実行する(ステップS4−1)。具体的には、制御部21のキー管理手段215は、ログイン認証管理レコード230に記録されている発行日に対して有効期間を加算して有効期限を算出する。
First, the
次に、アクセス申請端末20の制御部21は、有効期限を経過したかどうかについての判定処理を実行する(ステップS4−2)。具体的には、制御部21のキー管理手段215は、この有効期限と現在日付とを比較することにより、有効期限を経過しているかどうかを判定する。
Next, the
有効期限を経過していないと判定した場合(ステップS4−2において「NO」の場合)、アクセス申請端末20の制御部21は、このログインキーについての処理を終了する。
When it is determined that the expiration date has not elapsed (in the case of “NO” in step S4-2), the
一方、有効期限を経過していると判定した場合(ステップS4−2において「YES」の場合)、アクセス申請端末20の制御部21は、ログインキーの無効化処理を実行する(ステップS4−3)。具体的には、制御部21のキー管理手段215は、ログイン認証管理レコード230の利用状況データ領域に無効フラグを記録する。
On the other hand, when it determines with the expiration date having passed (in the case of "YES" in step S4-2), the
(ワンタイムキー管理処理)
次に、図5(b)を用いて、ワンタイムキー管理処理を説明する。この処理は、定期的(例えば、毎日定時)に行なわれる。この処理は、アクセス管理情報記憶部24に記録されたワンタイムキー毎に繰り返し行なわれる。
(One-time key management process)
Next, the one-time key management process will be described with reference to FIG. This process is performed regularly (for example, every day). This process is repeated for each one-time key recorded in the access management
まず、アクセス申請端末20の制御部21は、ワンタイムキーの有効期限の取得処理を実行する(ステップS5−1)。具体的には、制御部21のキー管理手段215は、アクセス管理レコード240に記録されているサーバ識別子の業務サーバ10における有効期間を特定する。そして、キー管理手段215は、アクセス管理レコード240に記録されている発行日に対して、有効期間を加算して有効期限を算出する。
First, the
次に、アクセス申請端末20の制御部21は、有効期限を経過したかどうかについての判定処理を実行する(ステップS5−2)。具体的には、制御部21のキー管理手段215は、この有効期限と現在日付とを比較することにより、有効期限を経過しているかどうかを判定する。
Next, the
有効期限を経過していないと判定した場合(ステップS5−2において「NO」の場合)、アクセス申請端末20の制御部21は、このワンタイムキーについての処理を終了する。
When it is determined that the expiration date has not elapsed (in the case of “NO” in step S5-2), the
一方、有効期限を経過していると判定した場合(ステップS5−2において「YES」の場合)、アクセス申請端末20の制御部21は、ワンタイムキーの無効化処理を実行する(ステップS5−3)。具体的には、制御部21のキー管理手段215は、アクセス管理レコード240のステータスデータ領域に無効フラグを記録する。
On the other hand, when it is determined that the expiration date has passed (in the case of “YES” in step S5-2), the
(利用状況管理処理)
次に、図5(c)を用いて、利用状況管理処理を説明する。この処理は、定期的(例えば、毎月定時)に行なわれる。この処理は、マスタ情報記憶部22に記録された管理者ID毎に繰り返し行なわれる。
(Usage status management process)
Next, usage status management processing will be described with reference to FIG. This process is performed periodically (for example, every month). This process is repeated for each administrator ID recorded in the master
まず、アクセス申請端末20の制御部21は、ログインキー、ワンタイムキーの特定処理を実行する(ステップS6−1)。具体的には、制御部21の利用状況管理手段216は、処理対象の管理者IDが記録されたログイン認証管理レコード230をログイン認証情報記憶部23から抽出する。更に、利用状況管理手段216は、抽出したログイン認証管理レコード230のログインキーが記録されているアクセス管理レコード240をアクセス管理情報記憶部24から抽出する。
First, the
次に、アクセス申請端末20の制御部21は、利用状況報告の作成処理を実行する(ステップS6−2)。具体的には、制御部21の利用状況管理手段216は、抽出したログイン認証管理レコード230のログインキーについて、ログインキーの利用状況を特定するとともに、抽出したアクセス管理レコード240からワンタイムキーの発行日を特定する。そして、利用状況管理手段216は、利用状況や発行状況を含めた報告書を作成する。
Next, the
次に、アクセス申請端末20の制御部21は、利用状況報告の送信処理を実行する(ステップS6−3)。具体的には、制御部21の利用状況管理手段216は、処理対象の管理者IDに関連付けられた連絡先をマスタ情報記憶部22から取得する。そして、利用状況管理手段216は、この連絡先に対して、作成した利用状況報告を送信する。
Next, the
本実施形態のアクセス管理システムによれば、以下のような効果を得ることができる。
(1)本実施形態では、アクセス申請端末20の制御部21は、ログインキーの送信先の特定処理(ステップS1−1)、ログインキー生成処理(ステップS1−2)、ログインキーの登録処理(ステップS1−3)を実行する。そして、アクセス申請端末20の制御部21は、ログインキーを含めたメールの送信処理を実行する(ステップS1−4)。これにより、アクセス申請端末20にログインするために必要なログインキーを、管理者に提供することができる。この場合、管理者毎に人数分のログインキーが提供されるため、ユーザ毎にログインキーを提供することができる。また、グループ化された情報処理サーバについて、ワンタイムキーを設定する場合に用いるログインキーが提供されるので、管理者は、複数の情報処理サーバをまとめて管理することができる。従って、管理者における情報処理サーバの管理負担を軽減することができる。
According to the access management system of the present embodiment, the following effects can be obtained.
(1) In this embodiment, the
(2)本実施形態では、管理者端末30において、メールが選択された場合(ステップS1−6)、ログインキーの表示処理を実行する(ステップS1−7)。そして、承認ボタンの選択を検知した管理者端末30は、オリジナルキーの受付処理(ステップS1−8)、利用承諾の送信処理(ステップS1−9)を実行する。次に、アクセス申請端末20の制御部21は、オリジナルキーの登録処理を実行する(ステップS1−12)。そして、アクセス申請端末20の制御部21は、ログイン画面の表示処理(ステップS2−1)、ワンタイムキー生成画面の表示処理(ステップS2−2)、オリジナルキーの認証処理(ステップS2−4)を実行する。これにより、ユーザによって設定されたオリジナルキーを用いて、アクセス申請端末20におけるユーザ認証を行なうことができる。
(2) In this embodiment, when mail is selected on the administrator terminal 30 (step S1-6), a login key display process is executed (step S1-7). Then, the
(3)本実施形態では、アクセス申請端末20の制御部21は、セキュリティポリシーの要求処理(ステップS2−5)、セキュリティポリシーの取得処理(ステップS2−7)を実行する。そして、アクセス申請端末20の制御部21は、セキュリティポリシーの比較処理(ステップS2−8)、ワンタイムキーの発行処理(ステップS2−9)を実行する。これにより、業務サーバ10に適用されるセキュリティポリシーと、アクセス申請端末20に適用されるセキュリティポリシーとが異なる場合であっても、適切なワンタイムキーを設定することができる。
(3) In this embodiment, the
(4)本実施形態では、判定結果において登録失敗のメッセージを取得した場合(ステップS2−13において「NO」の場合)、ワンタイムキー設定手段214は、ステップS2−9の処理からやり直す。これにより、同じワンタイムキーの重複登録を防止することができる。
(4) In the present embodiment, when a registration failure message is acquired in the determination result (“NO” in step S2-13), the one-time
(5)本実施形態では、ログインキー管理処理において、有効期限を経過していると判定した場合(ステップS4−2において「YES」の場合)、アクセス申請端末20の制御部21は、ログインキーの無効化処理を実行する(ステップS4−3)。また、ワンタイムキー管理処理において、有効期限を経過していると判定した場合(ステップS5−2において「YES」の場合)、アクセス申請端末20の制御部21は、ワンタイムキーの無効化処理を実行する(ステップS5−3)。これにより、同じログインキーやワンタイムキーの長期間の利用を抑制し、セキュリティを向上させることができる。
(5) In this embodiment, when it is determined in the login key management process that the expiration date has passed (in the case of “YES” in step S4-2), the
(6)本実施形態では、利用状況管理処理において、利用状況報告の作成処理(ステップS6−2)、利用状況報告の送信処理(ステップS6−3)を実行する。ログインキーやワンタイムキーの利用状況は、アクセス申請端末20に蓄積されるため、一括して効率的に管理することができる。
(6) In the present embodiment, in the usage status management processing, usage status report creation processing (step S6-2) and usage status report transmission processing (step S6-3) are executed. Since the usage status of the login key and the one-time key is accumulated in the
また、上記実施形態は、以下のように変更してもよい。
・ 上記実施形態では、ワンタイムキーの発行申請を行なう場合、セキュリティポリシーの要求処理を実行する(ステップS2−5)。ここで、アクセス申請端末20に、各業務サーバ10のセキュリティポリシーを予め記憶させておくようにしてもよい。この場合には、アクセス申請端末20にポリシー情報記憶部を設ける。このポリシー情報記憶部には、セキュリティポリシーを入手できた各業務サーバ10のサーバ識別子に関連づけて、入手したセキュリティポリシーを登録しておく。
Moreover, you may change the said embodiment as follows.
In the above embodiment, when a one-time key issuance application is made, a security policy request process is executed (step S2-5). Here, the
この場合の業務サーバ10の利用申請処理を、図6を用いて説明する。ここでは、ステップS2−1〜S2−3の処理後、アクセス申請端末20の制御部21は、ステップS2−4と同様に、オリジナルキーの認証処理を実行する(ステップS7−1)。
The use application process of the
次に、アクセス申請端末20の制御部21は、事前登録されているかどうかについての判定処理を実行する(ステップS7−2)。具体的には、制御部21のワンタイムキー設定手段214は、選択された業務サーバ10のセキュリティポリシーがポリシー情報記憶部に記録されているかどうかを確認する。
Next, the
セキュリティポリシーが事前登録されていない場合(ステップS7−2において「NO」の場合)、アクセス申請端末20の制御部21は、ステップS2−5と同様に、セキュリティポリシーの要求処理を実行する(ステップS7−3)。そして、業務サーバ10のアクセス制御部11は、ステップS2−6と同様に、セキュリティポリシーの回答処理を実行する(ステップS7−4)。そして、アクセス申請端末20の制御部21は、ステップS2−7と同様に、セキュリティポリシーの取得処理を実行する(ステップS7−5)。更に、新たにセキュリティポリシーを取得した場合には、制御部21は、この業務サーバ10のサーバ識別子に関連づけて、このセキュリティポリシーをポリシー情報記憶部に記録する。
When the security policy is not pre-registered (in the case of “NO” in step S7-2), the
一方、セキュリティポリシーが事前登録されている場合(ステップS7−2において「YES」の場合)、ステップS7−3、S7−4をスキップする。この場合、セキュリティポリシーの取得処理(ステップS7−5)において、ポリシー情報記憶部からセキュリティポリシーを取得する。 On the other hand, when the security policy is pre-registered (in the case of “YES” in step S7-2), steps S7-3 and S7-4 are skipped. In this case, the security policy is acquired from the policy information storage unit in the security policy acquisition process (step S7-5).
そして、アクセス申請端末20の制御部21は、ステップS2−8、S2−9と同様に、セキュリティポリシーの比較処理(ステップS7−6)、ワンタイムキーの発行処理(ステップS7−7)を実行する。
Then, the
更に、業務サーバ10のアクセス制御部11は、ステップS2−10、S2−11と同様に、ワンタイムキーの登録処理(ステップS7−8)、結果送信処理(ステップS7−9)を実行する。この場合、ワンタイムキーを登録できない場合としては、セキュリティポリシーに適合しない場合と、既にワンタイムキーが登録されている場合とがある。そこで、登録可否の判定結果には、それぞれの場合を示すメッセージを含める。
Further, the
次に、アクセス申請端末20の制御部21は、ステップS2−12、S2−13と同様に、結果受信処理(ステップS7−10)、登録成功かどうかについての判定処理(ステップS7−11)を実行する。
Next, similarly to steps S2-12 and S2-13, the
ここで、登録失敗のメッセージを取得した場合(ステップS7−11において「NO」の場合)、アクセス申請端末20の制御部21は、セキュリティポリシーに不適合かどうかを判定する(ステップS7−12)。具体的には、制御部21のワンタイムキー設定手段214は、業務サーバ10から取得したメッセージにおいて、セキュリティポリシーに適合しないことを示すメッセージを取得した場合には、不適合と判定する。
Here, when the registration failure message is acquired (in the case of “NO” in step S7-11), the
セキュリティポリシーに適合しないことを示すメッセージを取得したことにより、不適合と判定した場合(ステップS7−12において「YES」の場合)、ワンタイムキー設定手段214は、ステップS7−3の処理からやり直す。
If it is determined that the message does not conform to the security policy and it is determined that the message does not conform (in the case of “YES” in step S7-12), the one-time
一方、既にワンタイムキーが登録されていることを示すメッセージを取得したことにより、不適合でないと判定した場合(ステップS7−12において「NO」の場合)には、ワンタイムキー設定手段214は、ステップS7−7の処理からやり直す。
そして、登録完了のメッセージを取得することにより、登録成功と判定した場合(ステップS7−11において「YES」の場合)、アクセス申請端末20の制御部21は、ステップS2−14、S2−15と同様に、ワンタイムキーの表示処理(ステップS7−13)、利用状況の登録処理(ステップS7−14)を実行する。
On the other hand, if it is determined that it is not incompatible by acquiring a message indicating that the one-time key has already been registered (if “NO” in step S7-12), the one-time
When it is determined that the registration is successful by obtaining a registration completion message (in the case of “YES” in step S7-11), the
・ 上記実施形態では、一つのアクセス申請端末20を用いる場合を想定した。複数のロケーションにおいて、各ロケーション(拠点)にアクセス申請端末20を設けるようにしてもよい。この場合、図7(a)に示すように、各拠点(A、B)に設置されたアクセス申請端末20から管理者端末30に対して、マスタ情報記憶部22に記録されている人数分のログインキーを含めた電子メールを送信する。
In the above embodiment, it is assumed that one
ここで、各拠点(A、B)で作業を行なうユーザの人数分のログインキーを送信するようにしてもよい。この場合には、各アクセス申請端末20のマスタ情報記憶部22には、それぞれの拠点で作業を行なう人数を記録しておく。
Here, you may make it transmit the login key for the number of users who work in each base (A, B). In this case, the master
また、図7(b)に示すように、各拠点(A、B)に設置されたアクセス申請端末20を管理する統括サーバ40を設けるようにしてもよい。この場合には、この統括サーバ40から管理者端末30に対して、ログインキーを含めた電子メールを送信する。そして、利用承認時には、管理者端末30からオリジナルキーを取得する。更に、アクセス申請端末20にログインする場合には、各アクセス申請端末20は、統括サーバ40において、ログインキーの利用状況、オリジナルキーの登録の有無を確認する。そして、統括サーバ40が、各業務サーバ10に対して、セキュリティポリシーの要求処理(ステップS2−5)〜登録成功の判定処理(ステップS2−13)を実行する。そして、統括サーバ40は、アクセス申請端末20に対して、ワンタイムキーを提供して、ディスプレイ上に表示させる(ステップS2−14)。更に、統括サーバ40は、利用状況の登録処理を実行する(ステップS2−15)。これにより、複数のロケーションに設置されたアクセス申請端末20を用いて、各キーの利用状況を考慮しながら、ワンタイムキーの発行状況を統括サーバ40において一括管理することができる。
Further, as shown in FIG. 7B, a
・ 上記実施形態では、アクセス申請端末20の制御部21は、ログインキーの利用状況の確認処理を実行する(ステップS1−10)。ここで、ログインキーが利用済みの場合には、ログインキー有効化手段212は、利用できないことを管理者端末30に通知する。これに代えて、管理者端末30において、ログインキーが利用済みかどうかを表示するようにしてもよい。この場合には、ログインキーを含めた電子メールにおいて、承認ボタンが選択された場合に、利用済みであることを表示させるスクリプト(プログラム)を埋め込んでおく。これにより、電子メールにおいて、ログインキーの利用可否を判断することができる。
In the above embodiment, the
・ 上記実施形態では、アクセス申請端末20の制御部21は、ワンタイムキーの発行処理を実行する(ステップS2−9)。この場合、選択された業務サーバ10に対して、生成したワンタイムキーをログイン時に用いる場合の認証情報として送信する。ここで、サーバの稼働状況に応じて、ワンタイムキーの発行方法を変更するようにしてもよい。具体的には、平常時には、業務サーバ10毎にワンタイムキーを発行し、障害発生時等には、同じグループ種別に属する業務サーバ10に対して一括してワンタイムキーを発行する。
In the above embodiment, the
この場合、アクセス申請端末20を、各業務サーバ10の稼動状態を監視する統合監視サーバに接続させる。そして、業務サーバ10は、障害発生時にアラート(障害メッセージ)を統合監視サーバに対して送信する。この障害メッセージには、発生した障害の内容に関するデータ(ここでは、障害を特定するための障害コード)や、送信元の業務サーバ10を特定するための機器コードに関するデータを含める。また、アクセス申請端末20の制御部21には、稼動状況情報収集手段を設け、統合監視サーバから、業務サーバ10の稼動状態情報を取得する。
In this case, the
以下、図8を用いて、処理手順を説明する。
まず、アクセス申請端末20の制御部21は、ステップS2−4と同様に、オリジナルキーの認証処理を実行する(ステップS8−2)。
Hereinafter, the processing procedure will be described with reference to FIG.
First, similarly to step S2-4, the
次に、アクセス申請端末20の制御部21は、サーバ稼動状況の把握処理を実行する(ステップS8−2)。具体的には、制御部21の稼動状況情報収集手段が、統合監視サーバから各業務サーバ10の稼働状態情報を取得する。
Next, the
次に、アクセス申請端末20の制御部21は、通常稼働かどうかについての判定処理を実行する(ステップS8−3)。具体的には、制御部21の稼動状況情報収集手段は、取得した稼働状態情報に基づいて、各業務サーバ10が、通常稼働かどうかを判定する。稼働状態情報において障害発生メッセージが記録されていない場合には、平常稼働と判定する。
Next, the
通常稼働と判定した場合(ステップS8−3において「YES」の場合)、ステップS2−5〜S2−8と同様の処理を実行する。具体的には、アクセス申請端末20の制御部21は、選択された業務サーバ10について、セキュリティポリシーの要求処理(ステップS8−4)、セキュリティポリシーの取得処理(ステップS8−5)、セキュリティポリシーの比較処理(ステップS8−6)、ワンタイムキーの発行処理(ステップS8−7)を実行する。
When it determines with normal operation (in the case of "YES" in step S8-3), the process similar to step S2-5-S2-8 is performed. Specifically, the
一方、障害メッセージを取得することにより、通常稼働でないと判定した場合(ステップS8−3において「NO」の場合)、アクセス申請端末20の制御部21は、同じグループ種別の業務サーバについてセキュリティポリシーの要求処理を実行する(ステップS8−8)。具体的には、制御部21のワンタイムキー設定手段214は、ログイン認証管理レコード230においてログインキーに関連付けられたグループ種別に属する業務サーバ10を特定する。そして、特定したすべての業務サーバ10に対して、セキュリティポリシー要求を送信する。
On the other hand, when it is determined that the operation is not normal by acquiring the failure message (in the case of “NO” in Step S8-3), the
次に、アクセス申請端末20の制御部21は、業務サーバ毎にセキュリティポリシーの取得処理を実行する(ステップS8−9)。具体的には、制御部21のワンタイムキー設定手段214は、グループ種別に属する各業務サーバ10からセキュリティポリシー(パスワードの生成条件)を取得する。
Next, the
次に、アクセス申請端末20の制御部21は、セキュリティポリシーの比較処理を実行する(ステップS8−10)。具体的には、制御部21のワンタイムキー設定手段214は、各業務サーバ10からセキュリティポリシー及びアクセス申請端末20に適用されるセキュリティポリシーの中で最も厳しいセキュリティポリシーを特定する。なお、セキュリティポリシーにおいて相容れない生成条件が設定されている場合には、このセキュリティポリシーの業務サーバ10については、別個にワンタイムキーを生成する。
Next, the
次に、アクセス申請端末20の制御部21は、同じグループ種別の業務サーバについてワンタイムキーの発行処理を実行する(ステップS8−11)。具体的には、制御部21のワンタイムキー設定手段214は、特定したセキュリティポリシーに基づいてワンタイムキーを生成する。
Next, the
次に、アクセス申請端末20の制御部21は、ステップS2−12、S2−13と同様に、結果受信処理(ステップS8−12)、登録成功かどうかについての判定処理(ステップS8−13)を実行する。ここで、判定結果において登録失敗のメッセージを取得した場合(ステップS8−13において「NO」の場合)、ワンタイムキー設定手段214は、ステップS8−2から繰り返す。一方、判定結果において登録成功のメッセージを取得した場合(ステップS8−13において「YES」の場合)、ステップS2−14以降と同様の処理を実行する。
Next, similarly to steps S2-12 and S2-13, the
例えば、一部の業務サーバ10において障害が発生した場合、この業務サーバ10に関連する他の業務サーバ10における対応が必要になることがある。ここでは、同じグループ種別に属する業務サーバ10においては、同じワンタイムキーが発行されるので、効率的かつ迅速に障害対応を行なうことができる。
For example, when a failure occurs in some of the
・ 上記実施形態では、登録成功と判定した場合(ステップS2−13において「YES」の場合)、アクセス申請端末20の制御部21は、ワンタイムキーの表示処理を実行する(ステップS2−14)。具体的には、制御部21のワンタイムキー設定手段214は、業務サーバ10から取得したワンタイムキーを、ディスプレイに出力する。ここで、ワンタイムキーの出力方法は、ディスプレイへの出力に限定されるものではない。例えば、ワンタイムキー設定手段214が、業務サーバ10を利用するユーザのメールアドレスにワンタイムキーを送信するようにしてもよい。この場合には、ステップS2−3のワンタイムキー生成画面において、送信先のメールアドレスを指定させる。また、ワンタイムキー生成画面においてユーザIDを取得して、このユーザIDに関連付けられたメールアドレスを特定するようにしてもよい。この場合には、ユーザIDに対してメールアドレスが記録されたデータ記憶部(例えば、ユーザ管理情報記憶部)を用いる。そして、ワンタイムキー設定手段214は、アクセス管理レコード240に送信先のメールアドレスを記録しておく。これにより、メールアドレスにより、ワンタイムキーの取得者を特定することができる。
In the above embodiment, when it is determined that the registration is successful (“YES” in step S2-13), the
10…業務サーバ、11…アクセス制御部、111…ポリシー管理手段、112…ワンタイムキー登録手段、113…ユーザ認証手段、12…アクセス認証情報記憶部、15…業務処理部、20…アクセス申請端末、21…制御部、211…ログインキー送信手段、212…ログインキー有効化手段、213…ログイン認証手段、214…ワンタイムキー設定手段、215…キー管理手段、216…利用状況管理手段、22…マスタ情報記憶部、23…ログイン認証情報記憶部、24…アクセス管理情報記憶部、30…管理者端末。
DESCRIPTION OF
Claims (8)
管理者識別子に関連付けて、アクセス可能な情報処理サーバの識別情報、ログインキー、オリジナルキー、発行日を記憶する認証情報記憶手段と、
管理者端末と情報処理サーバとに接続された制御手段とを備えたアクセス管理システムであって、
前記制御手段が、
前記管理者情報記憶手段に記憶された連絡先の管理者端末に対して、ログインキーを送信し、前記認証情報記憶手段にログインキーと発行日とを記録する手段と、
前記管理者端末から、前記ログインキーに対応するオリジナルキーを取得した場合には、前記ログインキーに関連づけて前記オリジナルキーを前記認証情報記憶手段に記録する手段と、
前記認証情報記憶手段に記録されたログインキー及びオリジナルキーを取得した場合には、前記認証情報記憶手段を用いて、前記ログインキー及びオリジナルキーに関連付けられたアクセス可能な情報処理サーバの識別情報を特定し、前記情報処理サーバにログインするためのワンタイムキーの生成処理を実行し、前記ログインキーの利用履歴を記録し、前記ワンタイムキーを出力する手段と、
各ログインキーの発行日に基づいて特定される有効期限を経過した場合には、ログインキーを無効化する手段と、
前記ログインキーの利用履歴を前記管理者端末に送信する手段と
を備えたことを特徴とするアクセス管理システム。 Administrator information storage means for storing the contact information of the administrator terminal that transmits the login key;
An authentication information storage means for storing identification information of an accessible information processing server, a login key, an original key, and an issue date in association with an administrator identifier;
An access management system comprising a control means connected to an administrator terminal and an information processing server,
The control means is
Means for transmitting a login key to the administrator terminal of the contact stored in the administrator information storage means, and recording the login key and the date of issue in the authentication information storage means;
When obtaining an original key corresponding to the login key from the administrator terminal, means for recording the original key in the authentication information storage means in association with the login key;
When the login key and the original key recorded in the authentication information storage means are acquired, the authentication information storage means is used to obtain identification information of an accessible information processing server associated with the login key and the original key. Identifying, executing a generation process of a one-time key for logging in to the information processing server, recording a use history of the login key, and outputting the one-time key;
When the expiration date specified based on the date of issue of each login key has passed, a means for invalidating the login key;
An access management system comprising: means for transmitting a use history of the login key to the administrator terminal.
前記制御手段が、
前記情報処理サーバのセキュリティポリシーを特定し、
前記アクセス管理システムにおけるセキュリティポリシーと、前記情報処理サーバのセキュリティポリシーを比較して、比較結果に基づいてワンタイムキーを生成することを特徴とする請求項1に記載のアクセス管理システム。 In the one-time key generation process,
The control means is
Identifying a security policy of the information processing server;
The access management system according to claim 1, wherein a security policy in the access management system is compared with a security policy of the information processing server, and a one-time key is generated based on the comparison result.
前記制御手段が、前記管理者端末の連絡先毎にログインキーの必要数を特定し、前記必要数のログインキーを送信することを特徴とする請求項1〜4のいずれか1つに記載のアクセス管理システム。 The administrator information storage means records the required number of login keys for each administrator,
The said control means specifies the required number of login keys for every contact of the said administrator terminal, The said required number of login keys are transmitted, The any one of Claims 1-4 characterized by the above-mentioned. Access management system.
前記情報処理サーバの稼動状況情報を取得する手段と、
前記稼動状況情報に基づいて、ワンタイムキーの発行方法を変更する手段とを更に備えたことを特徴とする請求項1〜5のいずれか1つに記載のアクセス管理システム。 The control means is
Means for obtaining operating status information of the information processing server;
6. The access management system according to claim 1, further comprising means for changing a one-time key issuing method based on the operation status information.
管理者識別子に関連付けて、アクセス可能な情報処理サーバの識別情報、ログインキー、オリジナルキー、発行日を記憶する認証情報記憶手段と、
管理者端末と情報処理サーバとに接続された制御手段とを備えたアクセス管理システムを用いて、アクセスを管理する方法であって、
前記制御手段が、
前記管理者情報記憶手段に記憶された連絡先の管理者端末に対して、ログインキーを送信し、前記認証情報記憶手段にログインキーと発行日とを記録する段階と、
前記管理者端末から、前記ログインキーに対応するオリジナルキーを取得した場合には、前記ログインキーに関連づけて前記オリジナルキーを前記認証情報記憶手段に記録する段階と、
前記認証情報記憶手段に記録されたログインキー及びオリジナルキーを取得した場合には、前記認証情報記憶手段を用いて、前記ログインキー及びオリジナルキーに関連付けられたアクセス可能な情報処理サーバの識別情報を特定し、前記情報処理サーバにログインするためのワンタイムキーの生成処理を実行し、前記ログインキーの利用履歴を記録し、前記ワンタイムキーを出力する段階と、
各ログインキーの発行日に基づいて特定される有効期限を経過した場合には、ログインキーを無効化する段階と、
前記ログインキーの利用履歴を前記管理者端末に送信する段階と
を実行することを特徴とするアクセス管理方法。 Administrator information storage means for storing the contact information of the administrator terminal that transmits the login key;
An authentication information storage means for storing identification information of an accessible information processing server, a login key, an original key, and an issue date in association with an administrator identifier;
A method of managing access using an access management system comprising a control means connected to an administrator terminal and an information processing server,
The control means is
Transmitting a login key to the contact manager terminal stored in the administrator information storage means, and recording the login key and the date of issue in the authentication information storage means;
When acquiring an original key corresponding to the login key from the administrator terminal, recording the original key in the authentication information storage means in association with the login key;
When the login key and the original key recorded in the authentication information storage means are acquired, the authentication information storage means is used to obtain identification information of an accessible information processing server associated with the login key and the original key. Identifying, executing a one-time key generation process for logging in to the information processing server, recording a use history of the login key, and outputting the one-time key;
When the expiration date specified based on the issue date of each login key has passed, the step of invalidating the login key,
Transmitting the use history of the login key to the administrator terminal.
管理者識別子に関連付けて、アクセス可能な情報処理サーバの識別情報、ログインキー、オリジナルキー、発行日を記憶する認証情報記憶手段と、
管理者端末と情報処理サーバとに接続された制御手段とを備えたアクセス管理システムを用いて、アクセスを管理するためのプログラムであって、
前記制御手段を、
前記管理者情報記憶手段に記憶された連絡先の管理者端末に対して、ログインキーを送信し、前記認証情報記憶手段にログインキーと発行日とを記録する手段、
前記管理者端末から、前記ログインキーに対応するオリジナルキーを取得した場合には、前記ログインキーに関連づけて前記オリジナルキーを前記認証情報記憶手段に記録する手段、
前記認証情報記憶手段に記録されたログインキー及びオリジナルキーを取得した場合には、前記認証情報記憶手段を用いて、前記ログインキー及びオリジナルキーに関連付けられたアクセス可能な情報処理サーバの識別情報を特定し、前記情報処理サーバにログインするためのワンタイムキーの生成処理を実行し、前記ログインキーの利用履歴を記録し、前記ワンタイムキーを出力する手段、
各ログインキーの発行日に基づいて特定される有効期限を経過した場合には、ログインキーを無効化する手段、
前記ログインキーの利用履歴を前記管理者端末に送信する手段
として機能させることを特徴とするアクセス管理プログラム。 Administrator information storage means for storing the contact information of the administrator terminal that transmits the login key;
An authentication information storage means for storing identification information of an accessible information processing server, a login key, an original key, and an issue date in association with an administrator identifier;
A program for managing access using an access management system comprising a control means connected to an administrator terminal and an information processing server,
The control means;
Means for transmitting a login key to the contact manager terminal stored in the administrator information storage means, and recording the login key and the date of issue in the authentication information storage means;
Means for recording the original key in the authentication information storage means in association with the login key when an original key corresponding to the login key is obtained from the administrator terminal;
When the login key and the original key recorded in the authentication information storage means are acquired, the authentication information storage means is used to obtain identification information of an accessible information processing server associated with the login key and the original key. Identifying, executing a process of generating a one-time key for logging in to the information processing server, recording a use history of the login key, and outputting the one-time key;
A means for invalidating the login key when the expiration date specified based on the date of issue of each login key has passed,
An access management program that functions as means for transmitting a use history of the login key to the administrator terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012020000A JP5350502B2 (en) | 2012-02-01 | 2012-02-01 | Access management system, access management method, and access management program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012020000A JP5350502B2 (en) | 2012-02-01 | 2012-02-01 | Access management system, access management method, and access management program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013161123A true JP2013161123A (en) | 2013-08-19 |
JP5350502B2 JP5350502B2 (en) | 2013-11-27 |
Family
ID=49173352
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012020000A Expired - Fee Related JP5350502B2 (en) | 2012-02-01 | 2012-02-01 | Access management system, access management method, and access management program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5350502B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2014109022A1 (en) * | 2013-01-09 | 2017-01-19 | 株式会社野村総合研究所 | Access control device, access control method, and program |
JP2017041221A (en) * | 2015-08-18 | 2017-02-23 | 株式会社リコー | Service providing system, service providing method, information processing apparatus, and program |
CN111201527A (en) * | 2017-10-12 | 2020-05-26 | 川村宜浩 | Client server system |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008140040A (en) * | 2006-11-30 | 2008-06-19 | Mizuho Information & Research Institute Inc | Authentication processing system, authentication processing method and authentication processing program |
-
2012
- 2012-02-01 JP JP2012020000A patent/JP5350502B2/en not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008140040A (en) * | 2006-11-30 | 2008-06-19 | Mizuho Information & Research Institute Inc | Authentication processing system, authentication processing method and authentication processing program |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2014109022A1 (en) * | 2013-01-09 | 2017-01-19 | 株式会社野村総合研究所 | Access control device, access control method, and program |
US9712536B2 (en) | 2013-01-09 | 2017-07-18 | Nomura Research Institute, Ltd. | Access control device, access control method, and program |
JP2017041221A (en) * | 2015-08-18 | 2017-02-23 | 株式会社リコー | Service providing system, service providing method, information processing apparatus, and program |
CN111201527A (en) * | 2017-10-12 | 2020-05-26 | 川村宜浩 | Client server system |
CN111201527B (en) * | 2017-10-12 | 2023-06-02 | 川村宜浩 | Client server system |
Also Published As
Publication number | Publication date |
---|---|
JP5350502B2 (en) | 2013-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9825938B2 (en) | System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration | |
US20140282964A1 (en) | System and method for utilizing behavioral characteristics in authentication and fraud prevention | |
US20180218121A1 (en) | System and Method for Online Identity Management | |
CN109617926A (en) | Control method, device and the storage medium of service authority | |
US11956247B2 (en) | System and method for secure access control | |
CN107832602B (en) | Unified electronic seal system based on identification | |
US20220321357A1 (en) | User credential control system and user credential control method | |
CN110213223A (en) | Business management method, device, system, computer equipment and storage medium | |
US8856954B1 (en) | Authenticating using organization based information | |
KR20120070079A (en) | User authenication system by using personal identification number, user terminal device, inquiry apparatus, authenication server, and user authenication method therefor | |
CN110247758A (en) | The method, apparatus and code management device of Password Management | |
JP5350502B2 (en) | Access management system, access management method, and access management program | |
AU2013370502A1 (en) | Know your customer exchange system and method | |
CN103415847A (en) | A system and method for accessing a service | |
JP2019008525A (en) | Service managing system and service managing method | |
JP2008140040A (en) | Authentication processing system, authentication processing method and authentication processing program | |
CN103916267B (en) | The cyberspace identity management system of three-decker | |
KR101803535B1 (en) | Single Sign-On Service Authentication Method Using One-Time-Token | |
JP4856691B2 (en) | Failure information providing system, failure information providing method, and failure information providing program | |
CN103559430B (en) | application account management method and device based on Android system | |
CN110909388B (en) | Decentralized electronic calendar management system and method | |
JP6091450B2 (en) | Information processing apparatus, information processing method, and program | |
CN114238939A (en) | Authority verification method, device and system | |
CN113450204A (en) | Enterprise client multi-enterprise account query method and device | |
JP2018037025A (en) | Program, authentication system, and authentication cooperative system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130723 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130821 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5350502 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |