JP2014006679A - Access control method and access control program - Google Patents

Access control method and access control program Download PDF

Info

Publication number
JP2014006679A
JP2014006679A JP2012141594A JP2012141594A JP2014006679A JP 2014006679 A JP2014006679 A JP 2014006679A JP 2012141594 A JP2012141594 A JP 2012141594A JP 2012141594 A JP2012141594 A JP 2012141594A JP 2014006679 A JP2014006679 A JP 2014006679A
Authority
JP
Japan
Prior art keywords
user
access
mac address
file sharing
management table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012141594A
Other languages
Japanese (ja)
Inventor
Yushi Mochizuki
祐志 望月
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2012141594A priority Critical patent/JP2014006679A/en
Publication of JP2014006679A publication Critical patent/JP2014006679A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To prevent illegal access by a user ejected from a project, in a file sharing function of a file sever etc.SOLUTION: An access control method performs the steps of: receiving user information and a MAC address to which a user terminal is connected from the user terminal and a network switch; retrieving an accessible MAC address management table storing MAC addresses for which access is permitted on the basis of the MAC address; retrieving an access right management table to acquire an access right corresponding to a user ID on the basis of the user ID when the MAC address is registered in the accessible MAC address management table and returning a file sharing screen corresponding to the access right to the user terminal; and determining that the access is from an illegal place when the MAC address is not registered in the accessible MAC address management table and returns an error screen to the user terminal.

Description

本発明は、ファイルサーバなどのファイル共有機能におけるアクセス制御方法およびアクセス制御プログラムに関する。   The present invention relates to an access control method and an access control program in a file sharing function such as a file server.

近年、業務を行う上でファイルサーバなどのファイル共有機能が幅広く使われている。しかし、不特定多数のユーザがアクセスできるため、情報漏えいなどのセキュリティ事故が発生することが考えられる。そのような事故を防ぐためにもアクセス権を用いてアクセスを制御されている。アクセス権の制御方法として、ユーザが持つユーザIDや、ユーザが所属する組織といった単位でアクセス権(参照、編集)を付与し、制御する技術が知られている(特許文献1参照)。また、運用者によるファイル共有機能へのアクセス権の削除漏れによる不正アクセスを防ぐために、アクセス頻度やユーザの組織変更に応じてアクセス権を自動的に削除する機能などが知られている。   In recent years, file sharing functions such as a file server have been widely used for business. However, since an unspecified number of users can access, security incidents such as information leakage may occur. In order to prevent such an accident, access is controlled using access rights. As an access right control method, a technique is known in which an access right (reference or edit) is given and controlled in units such as a user ID of a user or an organization to which the user belongs (see Patent Document 1). In addition, in order to prevent unauthorized access due to omission of deletion of the access right to the file sharing function by the operator, a function of automatically deleting the access right according to the access frequency or the user organization change is known.

特開平7−64844号公報JP-A-7-64844

上述したように、アクセス権の自動削除により、異動により組織が変更となったユーザ及びアクセス頻度が減ったユーザからの不正アクセスは防止することができる。しかし、昨今のプロジェクトではユーザの所属する組織が変わらないまま様々なプロジェクトに参加/退場することが多いため、既知の技術では以下の2つの条件に当てはまるユーザからの不正アクセスを防ぐことができない。
(条件1)所属する組織が変更とならないまま参加するプロジェクトだけが変更となったユーザ。
(条件2)定期的にファイル共有機能へのアクセスを行い、アクセス頻度が少なくならないユーザ。 As described above, by automatically deleting the access right, it is possible to prevent unauthorized access from a user whose organization has been changed due to a change and a user whose access frequency has decreased. However, since recent projects often involve participation / exit in various projects without changing the organization to which the user belongs, the known technology cannot prevent unauthorized access from users who meet the following two conditions.
(Condition 1) A user who has changed only the project to participate without changing the organization to which he belongs.
(Condition 2) A user who regularly accesses the file sharing function and the access frequency does not decrease.

本発明は、ファイルサーバなどのファイル共有機能において、プロジェクトから退場となったユーザからの不正アクセスを防止するアクセス制御方法およびアクセス制御プログラムを提供することを目的とする。   An object of the present invention is to provide an access control method and an access control program for preventing unauthorized access from a user who has left a project in a file sharing function such as a file server.

上記課題を解決するための一手段について説明する。本発明は、ネットワークを介して接続されたユーザ端末、ファイル共有機能を提供するファイル共有サーバ、ユーザIDやユーザの属する組織を管理する人事サーバ及びネットワークスイッチにおける、ファイル共有機能へのアクセス制御方法である。   One means for solving the above problem will be described. The present invention relates to a method for controlling access to a file sharing function in a user terminal connected via a network, a file sharing server that provides a file sharing function, a personnel server that manages a user ID and an organization to which the user belongs, and a network switch. is there.

本方法では、一般的にプロジェクトではプロジェクトルームと呼ばれる部屋にて業務を行うことに着目し、プロジェクトルームにあるネットワークスイッチのMACアドレスをアクセス制御に使用することで、不正アクセスか否かを判定する。   In this method, focusing on the fact that a project is generally performed in a room called a project room, the MAC address of the network switch in the project room is used for access control to determine whether it is unauthorized access. .

本発明におけるアクセスの制御方法について一連の流れを説明する。ファイル共有機能へアクセスを行うための認証処理として、前記ファイル共有サーバは前記ユーザ端末から送信されたユーザID、パスワード及びユーザ端末が接続されているMACアドレスを受信し、受信したユーザIDをキーに前記ファイルサーバが持つ、アクセス権管理テーブル、ユーザ認証情報テーブルを、前記人事サーバが持つ人事情報テーブルを検索し、すべてのテーブルに該当ユーザIDが存在した場合、前記ファイルサーバが持つユーザ認証情報テーブルに登録されたパスワードと受信したパスワードを比較する。比較した結果同じだった場合は認証が成功したものとし、ユーザIDをキーに前期ファイルサーバが持つアクセス権管理情報テーブルから該当ユーザの組織IDを取得し、前記人事サーバが持つ人事情報テーブルから組織IDを取得し、アクセス権管理情報テーブルから取得した組織IDと比較する。一致した場合は前記ファイル共有サーバに持つユーザの最終アクセス日を管理するアクセス履歴管理テーブルを用いて、一定期間内にアクセスがあったユーザについては正しいユーザによるアクセスと判断し、アクセスを許可する。一定期間外であった場合は前記ネットワークスイッチのMACアドレスより端末が存在する場所を取得し、参加しているプロジェクトルームからアクセスされているか否かを判定する。   A series of flows of the access control method according to the present invention will be described. As an authentication process for accessing the file sharing function, the file sharing server receives the user ID, password and MAC address to which the user terminal is connected transmitted from the user terminal, and uses the received user ID as a key. The access right management table and user authentication information table possessed by the file server are searched for the personnel information table possessed by the personnel server, and if the corresponding user ID exists in all tables, the user authentication information table possessed by the file server. Compare the password registered in and the received password. If the result of the comparison is the same, it is assumed that the authentication is successful, and the organization ID of the corresponding user is obtained from the access right management information table of the previous file server using the user ID as a key, and the organization from the personnel information table of the personnel server The ID is acquired and compared with the organization ID acquired from the access right management information table. If they match, the access history management table for managing the user's last access date in the file sharing server is used to determine that a user who has accessed within a certain period is an access by a correct user, and the access is permitted. If it is outside the predetermined period, the location where the terminal exists is acquired from the MAC address of the network switch, and it is determined whether or not the terminal is accessed from the participating project room.

以上より所属組織が変更とならないまま参加するプロジェクトだけが変更となったユーザについても、プロジェクトルームが移動することによりファイル共有機能にアクセスができなくなるため、上記課題を解決できる。   As described above, the file sharing function cannot be accessed when the project room is moved even for a user who has changed only the project to which the organization belongs without being changed. Therefore, the above problem can be solved.

本発明によれば、ファイル共有機能への不正アクセスを防止でき、情報漏えいによるセキュリティ事故のリスクを低減することができる。   According to the present invention, unauthorized access to the file sharing function can be prevented, and the risk of security accidents due to information leakage can be reduced.

本実施形態に係るコンピュータネットワークシステム100の全体構成例を示す図である。1 is a diagram illustrating an example of the overall configuration of a computer network system 100 according to the present embodiment. ファイル共有サーバ101の構成例を示す図である。2 is a diagram illustrating a configuration example of a file sharing server 101. FIG. 人事サーバ102の構成例を示す図である。2 is a diagram illustrating a configuration example of a personnel server 102. FIG. ユーザ端末103の構成例を示す図である。It is a figure which shows the structural example of the user terminal 103. FIG. ネットワークスイッチ104の構成例を示す図である。2 is a diagram illustrating a configuration example of a network switch 104. FIG. 人事サーバ102が具備する人事情報テーブル312のデータ構成例を示す図である。It is a figure which shows the data structural example of the personnel information table 312 which the personnel server 102 has. ファイル共有サーバ101が具備するアクセス権管理テーブル213のデータ構成例を示す図である。It is a figure which shows the data structural example of the access right management table 213 which the file sharing server 101 has. ファイル共有サーバ101が具備するアクセス履歴管理テーブル214のデータ構成例を示す図である。It is a figure which shows the example of a data structure of the access history management table 214 with which the file sharing server 101 is provided. ファイル共有サーバ101が具備するアクセス可MACアドレス管理テーブル215のデータ構成例を示す図である。6 is a diagram illustrating a data configuration example of an accessible MAC address management table 215 included in the file sharing server 101. FIG. ファイル共有サーバ101が具備するユーザ認証情報テーブル216のデータ構成例を示す図である。It is a figure which shows the example of a data structure of the user authentication information table 216 with which the file sharing server 101 is provided. ファイル共有サーバ101が具備する不要なアクセス権の自動削除機能212の処理を示すフローチャートである。10 is a flowchart showing processing of an unnecessary access right automatic deletion function 212 provided in the file sharing server 101. 同じく、ファイル共有サーバ101が具備する不要なアクセス権の自動削除機能212の処理を示すフローチャートである。Similarly, it is a flowchart showing the processing of the unnecessary access right automatic deletion function 212 provided in the file sharing server 101. ファイル共有サーバ101が具備するファイル共有機能へのアクセス制御機能211の処理を示すフローチャートである。10 is a flowchart showing processing of an access control function 211 for a file sharing function provided in the file sharing server 101. 同じく、ファイル共有サーバ101が具備するファイル共有機能へのアクセス制御機能211の処理を示すフローチャートである。Similarly, it is a flowchart showing the processing of the access control function 211 for the file sharing function of the file sharing server 101.

以下、本発明の一実施例について、図面を参照して詳細に説明する。   Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.

図1は、本実施例に係るコンピュータネットワークシステム100の全体構成例を示す図である。ファイル共有システム100は、ファイル共有サーバ101と、人事サーバ102と、複数のユーザ端末103と、ネットワークスイッチ104とがネットワーク105に接続されて構成される。ファイル共有サーバ101は、業務で使用するファイルを格納しているサーバであり、ユーザのアクセス権を管理し、ユーザからのアクセス判定を行う。人事サーバ102は、ユーザのIDや所属する組織などの人事情報を管理する。ユーザ端末103は、ファイル共有機能を使用するための端末であり、ネットワークスイッチ104及びネットワーク105を介してファイル共有サーバ及び人事サーバに接続される。ネットワークスイッチ104はユーザ端末103をネットワーク105に接続し、ポートごとにMACアドレスを持つ。   FIG. 1 is a diagram illustrating an example of the overall configuration of a computer network system 100 according to the present embodiment. The file sharing system 100 includes a file sharing server 101, a personnel server 102, a plurality of user terminals 103, and a network switch 104 connected to a network 105. The file sharing server 101 is a server that stores files used in business, manages user access rights, and determines access from users. The personnel server 102 manages personnel information such as the user ID and the organization to which the user belongs. The user terminal 103 is a terminal for using the file sharing function, and is connected to the file sharing server and the personnel server via the network switch 104 and the network 105. The network switch 104 connects the user terminal 103 to the network 105 and has a MAC address for each port.

図2はファイル共有サーバ101のハードウェア構成例を示す図である。ファイル共有サーバ101は、ユーザ認証を行う認証制御部202と、通信制御を行う通信制御部203と、記憶部201にプログラム201として、ファイル共有機能へのアクセス制御機能211と、不要なアクセス権の自動削除機能212と、ユーザ認証機能217を、具備する。また、記憶部201にはアクセス権管理テーブル213と、アクセス履歴管理テーブル214と、アクセス可MACアドレス管理テーブル215と、ユーザ認証情報テーブル216を、具備する。また、ファイル共有機能へのアクセス制御機能211は、ユーザ端末103からアクセス要求があった際にアクセス可否を判定する機能を有する。不要なアクセス権の自動削除機能212は、定期的にファイル共有サーバのもつアクセス権管理テーブル213のレコードを確認し、不要なアクセス権が存在した場合は削除を行う機能を有する。ユーザ認証機能217は、ユーザ端末103より送信されたユーザIDとパスワードとユーザ認証情報テーブル216の情報を比較し、正しいユーザからアクセスされているかを認証する機能を有する。   FIG. 2 is a diagram illustrating a hardware configuration example of the file sharing server 101. The file sharing server 101 includes an authentication control unit 202 that performs user authentication, a communication control unit 203 that performs communication control, a program 201 in the storage unit 201, an access control function 211 for a file sharing function, and unnecessary access rights. An automatic deletion function 212 and a user authentication function 217 are provided. The storage unit 201 includes an access right management table 213, an access history management table 214, an accessible MAC address management table 215, and a user authentication information table 216. Further, the access control function 211 for the file sharing function has a function of determining whether access is possible when an access request is received from the user terminal 103. The unnecessary access right automatic deletion function 212 has a function of periodically checking a record in the access right management table 213 of the file sharing server and deleting it when an unnecessary access right exists. The user authentication function 217 has a function of comparing the user ID and password transmitted from the user terminal 103 with the information in the user authentication information table 216 to authenticate whether a correct user is accessing.

図3は、人事サーバ102のハードウェア構成例を示す図である。人事サーバ102は、通信制御を行う通信制御部302と、記憶部301にプログラム310として人事情報送受信機能311を、具備する。また、記憶部301には人事情報テーブル312を、具備する。また、人事情報送受信機能311は、ファイル共有サーバ101から受信したユーザIDをもとに、人事情報テーブル312を検索し、検索した結果をファイル共有サーバ101に送信する機能を有する。   FIG. 3 is a diagram illustrating a hardware configuration example of the personnel server 102. The personnel server 102 includes a communication control unit 302 that performs communication control, and a personnel information transmission / reception function 311 as a program 310 in the storage unit 301. The storage unit 301 includes a personnel information table 312. The personnel information transmission / reception function 311 has a function of searching the personnel information table 312 based on the user ID received from the file sharing server 101 and transmitting the search result to the file sharing server 101.

図4はユーザ端末103のハードウェア構成例を示す図である。ユーザ端末103は、画面を表示するための表示部311と、文字を入力するための入力部312と通信を制御する通信制御部313と、記憶部320にプログラム330としてユーザID/パスワード送信機能331を有する。ユーザID/パスワード送信機能331は入力部312から入力されたユーザID及びパスワードをファイル共有サーバ101へ送信する機能を有する。   FIG. 4 is a diagram illustrating a hardware configuration example of the user terminal 103. The user terminal 103 includes a display unit 311 for displaying a screen, an input unit 312 for inputting characters, a communication control unit 313 for controlling communication, and a user ID / password transmission function 331 as a program 330 in the storage unit 320. Have The user ID / password transmission function 331 has a function of transmitting the user ID and password input from the input unit 312 to the file sharing server 101.

図5はネットワークスイッチ104のハードウェア構成例を示す図である。ネットワークスイッチ104は、通信制御を行う通信制御部314と、記憶部340にプログラム3350としてMACアドレス送信機能351を有する。通信制御部314にはそれぞれにMACアドレスを持ち、ユーザ端末103が接続される。また、MACアドレス送信機能は、ユーザID/パスワード送信機能331によりユーザID及びパスワードを送信した端末103が接続されている通信制御部314のMACアドレスをファイル共有サーバ101に送信する機能を有する。   FIG. 5 is a diagram illustrating a hardware configuration example of the network switch 104. The network switch 104 includes a communication control unit 314 that performs communication control, and a MAC address transmission function 351 as a program 3350 in the storage unit 340. Each communication control unit 314 has a MAC address and is connected to the user terminal 103. The MAC address transmission function has a function of transmitting the MAC address of the communication control unit 314 to which the terminal 103 that has transmitted the user ID and password by the user ID / password transmission function 331 is connected to the file sharing server 101.

図6は人事サーバ102が具備する人事情報テーブル312のデータ構成例を示す図である。人事情報テーブル312はユーザごとに割当てられたユーザIDや所属する組織を格納するテーブルであり、人事情報送受信機能311により、参照される。図6に示すように、人事情報テーブル312は、ユーザID401と、名前402と、組織ID403と、組織名404とをそれぞれ対応付けて記憶する。ここで、ユーザID401にはユーザがもつIDが格納され、名前402にはユーザの名前が格納され、組織ID403にはユーザが所属する組織のIDが格納され、組織404にはユーザが所属する組織名が格納される。   FIG. 6 is a diagram illustrating a data configuration example of the personnel information table 312 included in the personnel server 102. The personnel information table 312 stores a user ID assigned to each user and an organization to which the personnel information table 312 belongs, and is referenced by the personnel information transmission / reception function 311. As shown in FIG. 6, the personnel information table 312 stores a user ID 401, a name 402, an organization ID 403, and an organization name 404 in association with each other. Here, the user ID 401 stores the ID of the user, the name 402 stores the name of the user, the organization ID 403 stores the ID of the organization to which the user belongs, and the organization 404 stores the organization to which the user belongs. The name is stored.

図7はファイル共有サーバ101が具備するアクセス権管理テーブル213のデータ構成例を示す図である。アクセス権管理テーブル213は、ファイル共有機能へアクセス可能なユーザ情報を格納するテーブルであり、ファイル共有機能へのアクセス制御機能211より参照され、不要なアクセス権の自動削除機能212により参照/更新される。図7に示すように、アクセス権管理テーブル213は、ユーザID410と、組織ID411と、アクセス権412とをそれぞれ対応付けて記憶する。ここで、ユーザID410にはファイル共有機能へアクセス可能なユーザIDが格納され、組織ID411にはファイル共有機能へアクセス可能なユーザが所属すべき組織IDが格納され、アクセス権412にはユーザがファイル共有機能で持つアクセス権が格納される。   FIG. 7 is a diagram showing a data configuration example of the access right management table 213 provided in the file sharing server 101. The access right management table 213 is a table for storing user information accessible to the file sharing function. The access right management table 213 is referred to by the access control function 211 for the file sharing function and is referenced / updated by the automatic deletion function 212 for unnecessary access rights. The As illustrated in FIG. 7, the access right management table 213 stores a user ID 410, an organization ID 411, and an access right 412 in association with each other. Here, the user ID 410 stores a user ID accessible to the file sharing function, the organization ID 411 stores the organization ID to which the user accessible to the file sharing function belongs, and the access right 412 stores the file Stores access rights for shared functions.

図8はファイル共有サーバ101が具備するアクセス履歴管理テーブル214のデータ構成例を示す図である。アクセス履歴管理テーブル214は、ユーザがファイル共有機能へアクセスした最終日からアクセスの頻度を管理するテーブルであり、ファイル共有機能へのアクセス制御機能211及び不要なアクセス権の自動削除機能212により参照/更新される。アクセス履歴管理テーブル214は、ユーザID420と、最終アクセス日421とをそれぞれ対応付けて記憶する。ここで、ユーザID420にはファイル共有機能へアクセス可能なユーザIDが格納され、最終アクセス日421にはユーザがファイル共有機能にアクセスした最終日が格納される。   FIG. 8 is a diagram showing a data configuration example of the access history management table 214 provided in the file sharing server 101. The access history management table 214 is a table for managing the access frequency from the last day when the user accessed the file sharing function. The access history management table 214 is referenced / accessed by the access control function 211 for the file sharing function and the automatic deletion function 212 for unnecessary access rights. Updated. The access history management table 214 stores the user ID 420 and the last access date 421 in association with each other. Here, the user ID 420 stores a user ID that can access the file sharing function, and the last access date 421 stores the last date when the user accessed the file sharing function.

図9はファイルサーバ101が具備するアクセス可MACアドレス管理テーブル215のデータ構成例を示す図である。MACアドレスとはネットワークスイッチが端末と接続するためのポートごとにわりあてられたユニークな番号のことである。(同じMACアドレスは存在しない)アクセス可MACアドレス管理テーブル215はファイル共有機能にアクセスしてよい接続元のネットワークスイッチのポートのMACアドレスで管理するテーブルであり、ファイル共有機能へのアクセス制御機能211より参照される。アクセス可MACアドレステーブル215は、MACアドレス430を記憶する。ここでMACアドレス430にはファイル共有機能にアクセスが許可されているネットワークスイッチのMACアドレスが格納される。   FIG. 9 is a diagram illustrating a data configuration example of the accessible MAC address management table 215 included in the file server 101. The MAC address is a unique number assigned to each port for connecting the network switch to the terminal. (The same MAC address does not exist) The accessible MAC address management table 215 is a table managed by the MAC address of the port of the connection source network switch that may access the file sharing function, and the access control function 211 for the file sharing function. More referenced. The accessible MAC address table 215 stores the MAC address 430. Here, the MAC address of the network switch that is permitted to access the file sharing function is stored in the MAC address 430.

図10はファイルサーバ101が具備するユーザ認証情報テーブル216のデータ構成例を示す図である。ユーザ認証情報テーブル216はユーザ端末103より受信したユーザID及びパスワードを用いて認証を行うための情報を監理するテーブルであり、ユーザ認証機能217により参照される。ユーザ認証情報テーブル216は、ユーザID440と、パスワード441とをそれぞれ対応付けて記憶する。ここでユーザIDにはファイル共有機能へアクセス可能なユーザIDが格納され、パスワード441にはユーザが設定したパスワードが格納される。   FIG. 10 is a diagram illustrating a data configuration example of the user authentication information table 216 included in the file server 101. The user authentication information table 216 is a table for managing information for performing authentication using the user ID and password received from the user terminal 103, and is referred to by the user authentication function 217. The user authentication information table 216 stores a user ID 440 and a password 441 in association with each other. Here, a user ID accessible to the file sharing function is stored in the user ID, and a password set by the user is stored in the password 441.

図11(a)と図11(b)はファイル共有サーバ101が具備する不要なアクセス権の自動削除機能212の処理を示すフローチャートである。不要なアクセス権の自動削除機能212は、定期起動(ステップS700、今回の例では24時間とする)により開始され、アクセス権管理テーブル213に登録されているユーザID420を取得し、それをキーに人事情報テーブル312を検索(ステップS701)し、該当ユーザIDのレコードが人事情報テーブル312に存在するかを判定(ステップS702)する。判定した結果、該当ユーザIDのレコードが人事情報テーブル312に存在しない場合は、該当ユーザが存在しないと判定し、ファイル共有機能にかかわる情報を削除すべく、アクセス権管理テーブル213と、アクセス履歴管理テーブル214及びユーザ認証情報テーブル216から該当ユーザIDのレコードを削除(ステップS706)する。判定した結果、該当ユーザIDのレコードが人事情報テーブル312に存在する場合は、取得したユーザID420をキーに人事情報テーブル312から組織ID403を、アクセス権管理テーブル213から組織ID411を取得(ステップS703)し、取得した組織ID403と組織ID411を比較し、一致するかを判定(ステップS704)する。取得した組織ID403と組織ID411が一致しない場合は該当ユーザが異動したと判定し、ファイル共有機能にかかわる情報を削除すべく、アクセス権管理テーブル213と、アクセス履歴管理テーブル214及びユーザ認証情報テーブル216から該当ユーザIDのレコードを削除(ステップS706)し、アクセス権管理テーブル213に登録された全てのユーザID410について上記処理が完了したかを判定(ステップS708)する。完了した場合は完了(ステップS709)とし、次の定期起動まで何もしない。完了していない場合はステップS701に戻り、アクセス権管理テーブル213に登録された次のユーザID410で再度処理を実行する。取得した組織ID403と組織ID411が一致した場合は取得したユーザIDをキーにアクセス履歴管理テーブル214を検索し、該当ユーザの最終アクセス日421を取得し、最終アクセス日421からの日数を計算(ステップS705)し、計算した日数が一定期間(今回の例では1週間とする)以上経過しているかを判定(ステップS707)する。一定期間以上経過していた場合は、該当ユーザのアクセス頻度が減少したことから、ファイル共有機能を使用する必要がなくなったと判定し、ファイル共有機能にかかわる情報を削除すべく、アクセス権管理テーブル213と、アクセス履歴管理テーブル214及びユーザ認証情報テーブル216から該当ユーザIDのレコードを削除(ステップS706)し、アクセス権管理テーブル213に登録された全てのユーザID410について上記処理が完了したかを判定(ステップS708)する。完了した場合は完了(ステップS709)とし、次の定期起動まで何もしない。完了していない場合はステップS701に戻り、アクセス権管理テーブル213に登録された次のユーザID410で再度処理を実行する。一定期間以上経過していなかった場合は、アクセス権管理テーブル213に登録された全てのユーザID410について上記処理が完了したかを判定(ステップS708)する。完了した場合は完了(ステップS709)とし、次の定期起動まで何もしない。完了していない場合はステップS701に戻り、アクセス権管理テーブル213に登録された次のユーザID410で再度処理を実行する。   FIG. 11A and FIG. 11B are flowcharts showing processing of the automatic deletion function 212 for unnecessary access rights provided in the file sharing server 101. The unnecessary access right automatic deletion function 212 is started by periodic activation (step S700, 24 hours in this example), acquires the user ID 420 registered in the access right management table 213, and uses it as a key. The personnel information table 312 is searched (step S701), and it is determined whether the record of the corresponding user ID exists in the personnel information table 312 (step S702). As a result of the determination, if the record of the corresponding user ID does not exist in the personnel information table 312, it is determined that the corresponding user does not exist, and the access right management table 213 and access history management are deleted to delete information related to the file sharing function. The record of the corresponding user ID is deleted from the table 214 and the user authentication information table 216 (step S706). As a result of the determination, if the record of the corresponding user ID exists in the personnel information table 312, the organization ID 403 is obtained from the personnel information table 312 and the organization ID 411 is obtained from the access right management table 213 using the obtained user ID 420 as a key (step S703). Then, the acquired organization ID 403 and organization ID 411 are compared to determine whether they match (step S704). If the acquired organization ID 403 and organization ID 411 do not match, it is determined that the corresponding user has changed, and the access right management table 213, the access history management table 214, and the user authentication information table 216 are deleted in order to delete information related to the file sharing function. The record of the corresponding user ID is deleted (step S706), and it is determined whether or not the above processing is completed for all the user IDs 410 registered in the access right management table 213 (step S708). If completed, the process is completed (step S709), and nothing is done until the next periodic activation. If not completed, the process returns to step S701, and the process is executed again with the next user ID 410 registered in the access right management table 213. If the acquired organization ID 403 and organization ID 411 match, the access history management table 214 is searched using the acquired user ID as a key, the last access date 421 of the corresponding user is acquired, and the number of days from the last access date 421 is calculated (step In step S705, it is determined whether the calculated number of days has passed for a certain period (one week in this example) (step S707). If a certain period of time has elapsed, the access frequency of the corresponding user has decreased, so it is determined that it is no longer necessary to use the file sharing function, and the access right management table 213 is used to delete the information related to the file sharing function. Then, the record of the corresponding user ID is deleted from the access history management table 214 and the user authentication information table 216 (step S706), and it is determined whether the above processing is completed for all the user IDs 410 registered in the access right management table 213 ( Step S708). If completed, the process is completed (step S709), and nothing is done until the next periodic activation. If not completed, the process returns to step S701, and the process is executed again with the next user ID 410 registered in the access right management table 213. If the predetermined period has not elapsed, it is determined whether the above processing has been completed for all user IDs 410 registered in the access right management table 213 (step S708). If completed, the process is completed (step S709), and nothing is done until the next periodic activation. If not completed, the process returns to step S701, and the process is executed again with the next user ID 410 registered in the access right management table 213.

図12(a)と図12(b)はファイル共有サーバ101が具備するファイル共有機能へのアクセス制御機能211の処理を示すフローチャートである。ファイル共有機能へのアクセス制御機能211はユーザからファイル共有サーバ101へアクセス要求があった際に開始され、ユーザ端末103よりユーザID及びパスワードを受信し、ネットワークスイッチ104よりユーザ端末103が接続された通信制御部314(ポート)のMACアドレスを受信(ステップS801)し、受信したユーザIDをキーにアクセス権管理テーブル213と、人事情報テーブル312と、ユーザ認証情報テーブル216を検索(ステップS802)し、該当ユーザIDのレコードがアクセス権管理テーブル213と、人事情報テーブル312と、ユーザ認証情報テーブル216に存在するかを判定(ステップS803)する。受信したユーザIDがアクセス権管理テーブル213と、人事情報テーブル312と、ユーザ認証情報テーブル216のいずれかに存在しない場合は、該当するユーザが存在しないと判定し、ユーザ端末103に該当ユーザが存在しない旨を示すエラー画面を返却(ステップS806)し、処理が完了(ステップS816)となる。受信したユーザIDがアクセス権管理テーブル213と、人事情報テーブル312と、ユーザ認証情報テーブル216の全てに存在した場合は受信したユーザIDをキーにユーザ認証情報テーブル216から該当ユーザIDのパスワード441を検索(ステップS804)し、受信したパスワードと一致するか判定(ステップS805)する。パスワードが一致しない場合は認証失敗と判断し、認証失敗の旨のエラー画面をユーザ端末103に返却(S808)し、処理が完了(ステップS818)となる。パスワードが一致した場合は、受信したユーザIDをキーに人事情報テーブル312と、アクセス権管理情報テーブル213から組織IDを検索(ステップS806)し、人事情報テーブル312から検索した組織ID403と、アクセス権管理情報テーブル213から検索した組織ID411が一致するかを判定(ステップS807)する。人事情報テーブル312から検索した組織ID403と、アクセス権管理情報テーブル213から検索した組織ID411が一致しない場合は、異動したユーザからの不正アクセスを判定し、アクセス権がない旨のエラー画面をユーザ端末に返却(ステップS809)し、処理が完了(ステップS818)となる。人事情報テーブル312から検索した組織ID403と、アクセス権管理情報テーブル213から検索した組織ID411が一致した場合は、受信したユーザIDをキーにアクセス履歴管理テーブル214から最終アクセス日421を検索し、最終アクセス日421からの日数を計算(ステップS705)し、計算した日数が一定期間(今回の例では1週間とする)以上経過しているかを判定(ステップS811)する。計算した日数が一定期間以内であれば、受信したユーザIDをキーにアクセス権管理テーブルからアクセス権412を検索(ステップS814)し、取得したアクセス権412に応じたファイル共有機能のアクセス画面をユーザ端末103に返却(ステップS815)し、受信したユーザIDをキーにアクセス履歴管理テーブル214から最終アクセス日421を検索し、現在の年月日に更新(ステップS816)し、処理が完了(ステップS818)となる。計算した日数が一定期間以上であれば、受信したMACアドレスをキーにアクセス可MACアドレス管理テーブル215からMACアドレス430を検索(ステップS812)し、該当レコードの有無を判定(ステップS813)する。該当レコードが存在しない場合は、プロジェクトから退場したユーザがプロジェクトルーム外から不正にアクセスしていると判定し、ファイル共有機能へのアクセス拒否画面をユーザ端末103に返却(ステップS817)し、処理が完了(ステップS818)となる。該当レコードが存在した場合は、受信したユーザIDをキーにアクセス権管理テーブルからアクセス権412を検索(ステップS814)し、取得したアクセス権412に応じたファイル共有機能のアクセス画面をユーザ端末103に返却(ステップS815)し、受信したユーザIDをキーにアクセス履歴管理テーブル214から最終アクセス日421を検索し、現在の年月日に更新(ステップS816)し、処理が完了(ステップS818)となる。   FIGS. 12A and 12B are flowcharts showing the processing of the access control function 211 for the file sharing function of the file sharing server 101. The access control function 211 for the file sharing function is started when a user requests access to the file sharing server 101, receives a user ID and password from the user terminal 103, and the user terminal 103 is connected from the network switch 104. The MAC address of the communication control unit 314 (port) is received (step S801), and the access right management table 213, personnel information table 312 and user authentication information table 216 are searched using the received user ID as a key (step S802). Then, it is determined whether the record of the corresponding user ID exists in the access right management table 213, the personnel information table 312, and the user authentication information table 216 (step S803). If the received user ID does not exist in any of the access right management table 213, personnel information table 312, and user authentication information table 216, it is determined that the corresponding user does not exist, and the corresponding user exists in the user terminal 103. An error screen indicating not to be returned is returned (step S806), and the process is completed (step S816). If the received user ID exists in all of the access right management table 213, the personnel information table 312, and the user authentication information table 216, the password 441 of the corresponding user ID is obtained from the user authentication information table 216 using the received user ID as a key. A search (step S804) is performed to determine whether the received password matches the received password (step S805). If the passwords do not match, it is determined that the authentication has failed, an error screen indicating that the authentication has failed is returned to the user terminal 103 (S808), and the process is completed (step S818). If the passwords match, the organization ID is retrieved from the personnel information table 312 and the access right management information table 213 using the received user ID as a key (step S806), the organization ID 403 retrieved from the personnel information table 312 and the access right It is determined whether the organization IDs 411 retrieved from the management information table 213 match (step S807). If the organization ID 403 retrieved from the personnel information table 312 and the organization ID 411 retrieved from the access right management information table 213 do not match, an unauthorized access from the transferred user is determined and an error screen indicating that there is no access right is displayed on the user terminal. (Step S809) and the process is completed (Step S818). When the organization ID 403 retrieved from the personnel information table 312 matches the organization ID 411 retrieved from the access right management information table 213, the last access date 421 is retrieved from the access history management table 214 using the received user ID as a key. The number of days from the access date 421 is calculated (step S705), and it is determined whether the calculated number of days has passed for a certain period (one week in this example) (step S811). If the calculated number of days is within a certain period, the access right 412 is searched from the access right management table using the received user ID as a key (step S814), and the access screen of the file sharing function corresponding to the acquired access right 412 is displayed. It returns to the terminal 103 (step S815), searches the access history management table 214 for the last access date 421 using the received user ID as a key, updates the current date (step S816), and completes the processing (step S818). ) If the calculated number of days is greater than or equal to a certain period, the MAC address 430 is searched from the accessible MAC address management table 215 using the received MAC address as a key (step S812), and the presence or absence of the corresponding record is determined (step S813). If the corresponding record does not exist, it is determined that the user who has left the project is illegally accessing from outside the project room, and the screen for rejecting access to the file sharing function is returned to the user terminal 103 (step S817). It is completed (step S818). If the corresponding record exists, the access right 412 is searched from the access right management table using the received user ID as a key (step S814), and an access screen of the file sharing function corresponding to the acquired access right 412 is displayed on the user terminal 103. Return (step S815), search for the last access date 421 from the access history management table 214 using the received user ID as a key, update the current date (step S816), and the process is completed (step S818). .

101・・・ファイル共有サーバ、102・・・人事サーバ、103・・・ユーザ端末、104・・・ネットワークスイッチ、105・・・ネットワーク、201、301、320、340・・・記憶部、202・・・認証制御部、203、302、313、314・・・通信制御部、311・・・表示部、312・・・入力部 DESCRIPTION OF SYMBOLS 101 ... File sharing server, 102 ... Human resources server, 103 ... User terminal, 104 ... Network switch, 105 ... Network, 201, 301, 320, 340 ... Storage part, 202 ..Authentication control unit, 203, 302, 313, 314 ... Communication control unit, 311 ... Display unit, 312 ... Input unit

Claims (2)

ネットワークスイッチに接続されたユーザ端末とネットワークを介して接続されたファイル共有サーバ、人事サーバにおけるアクセス制御方法であって、
前記ユーザ端末からユーザID及びパスワードを、前記ネットワークスイッチから、前記ユーザ端末が接続されたMACアドレスを前記ネットワークを介して受信し、
前記受信したMACアドレスに基づき、アクセスを許可するMACアドレスを記憶したアクセス可MACアドレス管理テーブルを検索して、
前記受信したMACアドレスが前記アクセス可MACアドレス管理テーブルに登録されていれば、前記受信したユーザIDに基づき、アクセス権管理テーブルを検索して前記受信したユーザIDに対応するアクセス権を取得し、前記アクセス権に応じたファイル共有画面を前記ユーザ端末に返却し、
前記受信したMACアドレスが前記アクセス可MACアドレス管理テーブルに登録されていなければ、不正な場所からのアクセスと判定し、エラー画面を前記ユーザ端末に返却する、
ことを特徴とする前記ファイル共有サーバのアクセス制御方法。 An access control method for a user terminal connected to a network switch and a file sharing server connected via a network, a personnel server,
Receiving a user ID and password from the user terminal, from the network switch, a MAC address to which the user terminal is connected, via the network;
Based on the received MAC address, search the accessible MAC address management table storing the MAC address to permit access,
If the received MAC address is registered in the accessible MAC address management table, the access right management table is searched based on the received user ID to obtain an access right corresponding to the received user ID, Return the file sharing screen according to the access right to the user terminal,
If the received MAC address is not registered in the accessible MAC address management table, it is determined that the access is from an unauthorized place, and an error screen is returned to the user terminal.
An access control method for the file sharing server. コンピュータに、前記アクセス制御方法を実行させるアクセス制御プログラム。   An access control program for causing a computer to execute the access control method.
JP2012141594A 2012-06-25 2012-06-25 Access control method and access control program Pending JP2014006679A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012141594A JP2014006679A (en) 2012-06-25 2012-06-25 Access control method and access control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012141594A JP2014006679A (en) 2012-06-25 2012-06-25 Access control method and access control program

Publications (1)

Publication Number Publication Date
JP2014006679A true JP2014006679A (en) 2014-01-16

Family

ID=50104343

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012141594A Pending JP2014006679A (en) 2012-06-25 2012-06-25 Access control method and access control program

Country Status (1)

Country Link
JP (1) JP2014006679A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021250862A1 (en) * 2020-06-11 2021-12-16 日本電気株式会社 Management device, management system, management method, and non-temporary computer-readable medium having program stored thereon

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021250862A1 (en) * 2020-06-11 2021-12-16 日本電気株式会社 Management device, management system, management method, and non-temporary computer-readable medium having program stored thereon

Similar Documents

Publication Publication Date Title
US10635793B2 (en) Restricted accounts on a mobile platform
EP3350736B1 (en) Device enabled identity authentication
US10637805B2 (en) Instant messaging method, server, and storage medium
CN104541493A (en) Wireless pairing and communication between devices using biometric data
EP3264315B1 (en) Information processing apparatus and method, and program
CN105843951B (en) Data query method and device
US10129173B2 (en) Network system and method for changing access rights associated with account IDs of an account name
KR20120008536A (en) Data backup system
CN101763575A (en) License management apparatus, license management method, and computer readable medium
CN111478894B (en) External user authorization method, device, equipment and readable storage medium
CN106534102A (en) Device access method and device and electronic device
CN105227579A (en) Access rights method to set up and device
JP6984387B2 (en) Information processing equipment, access control methods, programs and systems
US9877188B1 (en) Wireless network access credential sharing using a network based credential storage service
CN107819729B (en) Data request method and system, access device, storage device and storage medium
KR102078418B1 (en) Synchronization method of address book information, and address book synchronization device
JP2014006679A (en) Access control method and access control program
JP2014164359A (en) Authentication system
US9860313B2 (en) Maintaining state synchronization of an application between computing devices as well as maintaining state synchronization of common information between different applications without requiring perioidic synchronization
JP2003186747A (en) Access authority management system, its management method and program
US20150242501A1 (en) Social network address book
US20210012022A1 (en) Data distribution-type integrated management system
US11630914B2 (en) Information management system and information management method
JP5069168B2 (en) Network operation monitoring system, manager device, and network operation monitoring method
CN112445783A (en) Method, device and server for updating database