JP2016186708A - Access control device, access control system, access control method, and program - Google Patents

Access control device, access control system, access control method, and program Download PDF

Info

Publication number
JP2016186708A
JP2016186708A JP2015066479A JP2015066479A JP2016186708A JP 2016186708 A JP2016186708 A JP 2016186708A JP 2015066479 A JP2015066479 A JP 2015066479A JP 2015066479 A JP2015066479 A JP 2015066479A JP 2016186708 A JP2016186708 A JP 2016186708A
Authority
JP
Japan
Prior art keywords
access
terminal
information
access control
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015066479A
Other languages
Japanese (ja)
Inventor
悠資 北島
Yuji Kitajima
悠資 北島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2015066479A priority Critical patent/JP2016186708A/en
Publication of JP2016186708A publication Critical patent/JP2016186708A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To prevent unauthorized access by spoofing or the like from being made.SOLUTION: An access control device 1 includes: a generation unit 11 that, by using first identification information for identifying a terminal device 2, second identification information for identifying a user, and third identification information for identifying a storage device 3 of an access destination, generates access information indicating the authority of access to the storage device 3 by the terminal device and user; a transmission unit 12 that transmits the generated access information to the terminal; and a control unit 13 that when the access information is transmitted from the terminal 2 in the case where the access to the storage device 3 is requested from the terminal 2, controls access to the storage device 3 on the basis of the transmitted access information and, when the access information is not transmitted from the terminal 2, causes a generation unit 11 to generate access information and controls the access to the storage device 3 on the basis of the generated access information.SELECTED DRAWING: Figure 1

Description

本発明は、ネットワークストレージ等の記憶手段に対するアクセス制御に関する。   The present invention relates to access control for storage means such as network storage.

ネットワークストレージのセキュリティ対策としては、MAC(Media Access Control)アドレスやIP(Internet Protocol)アドレスといった端末固有の情報を使用した接続制御、いわゆるユーザ認証のようなユーザ固有の情報を使用した接続制御、ファイルシステムによるアクセス権を使用した接続制御などが一般的である。しかし、いずれのセキュリティ対策も、一長一短があり、万全な対策とはいえない。例えば、MACアドレスやIPアドレスは、偽装が比較的容易である。また、パスワード等によるユーザ認証は、認証に用いる情報が第三者に漏えいした場合に、いわゆる「なりすまし」が可能になってしまう。   Network storage security measures include connection control using device-specific information such as MAC (Media Access Control) address and IP (Internet Protocol) address, connection control using user-specific information such as so-called user authentication, file Connection control using access rights by the system is common. However, each security measure has its merits and demerits, and is not a perfect countermeasure. For example, MAC addresses and IP addresses are relatively easy to impersonate. In addition, user authentication using a password or the like enables so-called “spoofing” when information used for authentication is leaked to a third party.

特許文献1は、ネットワークを介した情報(コンテンツ)のやり取りにおいて、コンテンツとユーザのIDとを組み合わせた値のハッシュ値をアクセスIDとして用いる技術を開示している。また、特許文献2は、記憶装置上のデータへの不正アクセスを排除するセキュアシステムにおいて、記憶装置のIDと当該記憶装置が接続されたホスト装置のIDとを用いてアクセスを制御することを開示している。   Patent Document 1 discloses a technique that uses a hash value of a value obtained by combining content and a user ID as an access ID in exchanging information (content) via a network. Patent Document 2 discloses that in a secure system that eliminates unauthorized access to data on a storage device, access is controlled using the ID of the storage device and the ID of the host device to which the storage device is connected. doing.

特開2010−191807号公報JP 2010-191807 A 特開2004−070875号公報Japanese Patent Application Laid-Open No. 2004-070875

特許文献1に記載の技術は、ユーザのIDが他人に盗まれた場合に、なりすましによる偽装を防ぐことができない。また、特許文献2に記載の技術も、ホスト装置が盗難された場合などに不正なアクセスが行われる可能性がある。   The technique described in Patent Document 1 cannot prevent impersonation due to impersonation when the user's ID is stolen by another person. In the technique described in Patent Document 2, there is a possibility that unauthorized access is performed when the host device is stolen.

本発明は、なりすまし等による不正なアクセスが行われないようにすることを目的の一つとする。   An object of the present invention is to prevent unauthorized access by impersonation or the like.

本発明は、端末を識別する第1識別情報と、ユーザを識別する第2識別情報と、アクセス先を識別する第3識別情報とを用いて、当該アクセス先に対する当該端末及び当該ユーザによるアクセス権限を表すアクセス情報を生成する生成手段と、前記生成されたアクセス情報を端末に送信する送信手段と、所定の端末から所定のアクセス先に対してアクセスが要求された場合において、当該端末から前記アクセス情報が送信されたときには、当該送信されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御し、当該端末から前記アクセス情報が送信されなかったときには、前記生成手段にアクセス情報を生成させ、当該生成されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御する制御手段とを備えるアクセス制御装置を提供する。   The present invention uses the first identification information for identifying the terminal, the second identification information for identifying the user, and the third identification information for identifying the access destination, and the access authority by the terminal and the user for the access destination Generating means for generating access information representing the access information, transmitting means for transmitting the generated access information to the terminal, and when the access is requested from the predetermined terminal to the predetermined access destination, the access from the terminal When the information is transmitted, the access to the access destination is controlled based on the transmitted access information. When the access information is not transmitted from the terminal, the generation unit generates the access information, and the generation And a control means for controlling access to the access destination based on the access information To provide a control device.

また、本発明は、前記アクセス制御装置と前記端末とを備えるアクセス制御システムを提供する。   The present invention also provides an access control system comprising the access control device and the terminal.

また、本発明は、端末を識別する第1識別情報と、ユーザを識別する第2識別情報と、アクセス先を識別する第3識別情報とを用いて、当該アクセス先に対する当該端末及び当該ユーザによるアクセス権限を表すアクセス情報を生成する生成処理を実行し、前記生成処理によって生成されたアクセス情報を端末に送信し、所定の端末から所定のアクセス先に対してアクセスが要求された場合において、当該端末から前記アクセス情報が送信されたときには、当該送信されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御し、当該端末から前記アクセス情報が送信されなかったときには、前記生成処理を実行してアクセス情報を生成し、当該生成されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御するアクセス制御方法を提供する。   Further, the present invention uses the first identification information for identifying the terminal, the second identification information for identifying the user, and the third identification information for identifying the access destination. A generation process for generating access information representing access authority is executed, the access information generated by the generation process is transmitted to the terminal, and when access is requested from a predetermined terminal to a predetermined access destination, When the access information is transmitted from the terminal, access to the access destination is controlled based on the transmitted access information. When the access information is not transmitted from the terminal, the generation process is executed to perform access. Generating information and controlling access to the access destination based on the generated access information. To provide a scan control method.

また、本発明は、コンピュータに、端末を識別する第1識別情報と、ユーザを識別する第2識別情報と、アクセス先を識別する第3識別情報とを用いて、当該アクセス先に対する当該端末及び当該ユーザによるアクセス権限を表すアクセス情報を生成する生成処理を実行する第1ステップと、前記生成処理によって生成されたアクセス情報を端末に送信する第2ステップと、所定の端末から所定のアクセス先に対してアクセスが要求された場合において、当該端末から前記アクセス情報が送信されたときには、当該送信されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御し、当該端末から前記アクセス情報が送信されなかったときには、前記生成処理を実行しアクセス情報を生成し、当該生成されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御する第3ステップとを実行させるためのプログラムを提供する。   The present invention also provides a computer using the first identification information for identifying the terminal, the second identification information for identifying the user, and the third identification information for identifying the access destination. A first step of executing a generation process for generating access information representing an access right by the user; a second step of transmitting the access information generated by the generation process to the terminal; and a predetermined terminal to a predetermined access destination When access is requested to the terminal, when the access information is transmitted from the terminal, access to the access destination is controlled based on the transmitted access information, and the access information is not transmitted from the terminal. The access information is generated by executing the generation process, and the access information is generated based on the generated access information. It provides a program for executing the third step of controlling access to the access destination.

本発明によれば、なりすまし等による不正なアクセスが行われないようにすることが可能である。   According to the present invention, it is possible to prevent unauthorized access by impersonation or the like.

図1は、アクセス制御装置の構成の一例を示すブロック図である。FIG. 1 is a block diagram illustrating an example of the configuration of the access control apparatus. 図2は、ストレージシステムの構成の一例を示すブロック図である。FIG. 2 is a block diagram illustrating an example of the configuration of the storage system. 図3は、端末のハードウェア構成の一例を示すブロック図である。FIG. 3 is a block diagram illustrating an example of a hardware configuration of the terminal. 図4は、アクセスIDと端末及びユーザの関係の一例を示す模式図である。FIG. 4 is a schematic diagram illustrating an example of a relationship between an access ID, a terminal, and a user. 図5は、ストレージ装置のハードウェア構成の一例を示すブロック図である。FIG. 5 is a block diagram illustrating an example of a hardware configuration of the storage apparatus. 図6は、ストレージ装置の機能的構成の一例を示すブロック図である。FIG. 6 is a block diagram illustrating an example of a functional configuration of the storage apparatus. 図7は、アクセスID管理DBのデータ構造を例示する図である。FIG. 7 is a diagram illustrating a data structure of the access ID management DB. 図8は、データアクセス管理DBのデータ構造を例示する図である。FIG. 8 is a diagram illustrating a data structure of the data access management DB. 図9は、ストレージ装置が実行する処理の一例を示すフローチャートである。FIG. 9 is a flowchart illustrating an example of processing executed by the storage apparatus. 図10は、アクセスID生成処理の一例を示すフローチャートである。FIG. 10 is a flowchart illustrating an example of the access ID generation process. 図11は、データアクセス処理の一例を示すフローチャートである。FIG. 11 is a flowchart illustrating an example of the data access process. 図12は、フォルダ又はファイルに対してアクセス制御を追加する処理の一例を示すフローチャートである。FIG. 12 is a flowchart illustrating an example of processing for adding access control to a folder or a file. 図13は、フォルダ又はファイルに対するアクセス制御を削除(解除)する処理の一例を示すフローチャートである。FIG. 13 is a flowchart illustrating an example of processing for deleting (releasing) access control for a folder or file.

[第1実施形態]
図1は、本発明の一実施形態に係るアクセス制御装置1の構成を示すブロック図である。アクセス制御装置1は、生成部11と、送信部12と、制御部13とを備える。また、アクセス制御装置1は、端末2及び記憶装置3に接続される。なお、記憶装置3は、アクセス制御装置1に含まれる構成要素であってもよい。また、端末2及び記憶装置3は、アクセス制御装置1に複数接続されてもよい。 [First Embodiment]
FIG. 1 is a block diagram showing a configuration of an access control apparatus 1 according to an embodiment of the present invention. The access control device 1 includes a generation unit 11, a transmission unit 12, and a control unit 13. The access control device 1 is connected to the terminal 2 and the storage device 3. The storage device 3 may be a component included in the access control device 1. A plurality of terminals 2 and storage devices 3 may be connected to the access control device 1.

生成部11は、アクセス情報を生成する。ここにおいて、アクセス情報とは、アクセス先の記憶装置3に対するアクセス権限を表す情報をいう。アクセス情報は、例えば、記憶装置3にアクセスできるか否かを特定可能なデータである。また、ここでいうアクセス先は、記憶装置3全体ではなく、記憶装置3の特定の記憶領域又は特定のファイルのことであってもよい。アクセス情報を生成する処理のことを、以下においては「生成処理」という。   The generation unit 11 generates access information. Here, the access information refers to information indicating an access right to the access destination storage device 3. The access information is data that can specify whether the storage device 3 can be accessed, for example. The access destination here may be a specific storage area or a specific file in the storage device 3 instead of the entire storage device 3. The process of generating access information is hereinafter referred to as “generation process”.

生成部11は、例えば、記憶装置3にアクセスする端末2を識別する識別情報と、端末2のユーザを識別する識別情報と、アクセス先の記憶装置3を識別する識別情報とを用いて生成処理を実行する。以下においては、説明の便宜上、端末2を識別する識別情報を「第1識別情報」、ユーザを識別する識別情報を「第2識別情報」、記憶装置3を識別する識別情報を「第3識別情報」という。   The generation unit 11 uses, for example, identification processing for identifying the terminal 2 that accesses the storage device 3, identification information for identifying the user of the terminal 2, and identification information for identifying the storage device 3 that is the access destination. Execute. In the following, for convenience of explanation, the identification information for identifying the terminal 2 is “first identification information”, the identification information for identifying the user is “second identification information”, and the identification information for identifying the storage device 3 is “third identification information”. Information ".

生成部11は、あらかじめ決められた規則に従ったアクセス権限をユーザに設定することが可能である。例えば、生成部11は、端末2に割り当てられたIPアドレスに応じてアクセス権限を異ならせてもよいし、端末2に割り当てられたIPアドレスと記憶装置3に割り当てられたIPアドレスとの対応関係に応じたアクセス権限を設定してもよい。なお、アクセス権限は、記憶装置3のフォルダ毎又はファイル毎に異なっていてもよく、ユーザが記憶装置3にファイルをアップロードするときに設定可能であってもよい。   The generation unit 11 can set an access authority according to a predetermined rule for the user. For example, the generation unit 11 may change the access authority according to the IP address assigned to the terminal 2, or the correspondence relationship between the IP address assigned to the terminal 2 and the IP address assigned to the storage device 3. You may set the access authority according to. The access authority may be different for each folder or file of the storage device 3, and may be set when the user uploads a file to the storage device 3.

第1識別情報は、端末2に固有の情報であり、例えばMACアドレスやIPアドレスである。ただし、第1識別情報は、端末2を一意的に特定可能なデータであれば、その具体的なデータの種別を問わない。第2識別情報は、ユーザに一意的に割り当てられた情報であり、例えばIDとパスワードの組である。あるいは、第2識別情報は、ユーザの指紋、声紋、虹彩、指の静脈などのパターンを表す生体情報であってもよい。第3識別情報は、記憶装置3に固有の情報であり、第1識別情報と同様にMACアドレス等であってもよいが、記憶装置3にあらかじめ割り当てられた所定の文字列や数字列であってもよい。   The first identification information is information unique to the terminal 2, and is, for example, a MAC address or an IP address. However, as long as the first identification information is data that can uniquely identify the terminal 2, the type of the specific data is not limited. The second identification information is information uniquely assigned to the user, and is, for example, a set of ID and password. Alternatively, the second identification information may be biometric information representing a pattern such as a user's fingerprint, voiceprint, iris, finger vein, or the like. The third identification information is information unique to the storage device 3 and may be a MAC address or the like as in the case of the first identification information. However, the third identification information is a predetermined character string or number string assigned in advance to the storage device 3. May be.

送信部12は、生成部1により生成されたアクセス情報を端末2に送信する。端末2は、アクセス制御装置1からアクセス情報を受信し、受信したアクセス情報を用いて記憶装置3にアクセスする。なお、アクセス情報は、これを記憶するアクセス制御装置1によって異なる。また、記憶装置3が複数のユーザによって使用される場合、アクセス情報は、ユーザ毎に異なる。   The transmission unit 12 transmits the access information generated by the generation unit 1 to the terminal 2. The terminal 2 receives the access information from the access control device 1 and accesses the storage device 3 using the received access information. The access information differs depending on the access control device 1 that stores the access information. Further, when the storage device 3 is used by a plurality of users, the access information is different for each user.

制御部13は、端末2による記憶装置3へのアクセスを制御する。ここでいう制御とは、記憶装置3に対するアクセスを許可し、又は制限することをいう。制御部13は、端末2からアクセス情報が送信された場合には、送信されたアクセス情報に基づいて記憶装置3に対するアクセスを制御する。また、制御部13は、端末2からアクセス情報が送信されなかった場合、すなわち端末2がアクセス情報を送信せずにアクセスを要求した場合には、生成処理を実行するように生成部11を制御する。この場合、制御部13は、新たに生成されたアクセス情報に基づいて記憶装置3に対するアクセスを制御する。制御部13は、例えば、それまでアクセスしたことがない端末2からアクセスが要求された場合や、それまで使用していたユーザと異なるユーザが端末2を使用した場合などに、新たに生成されたアクセス情報を用いたアクセス制御を実行する。   The control unit 13 controls access to the storage device 3 by the terminal 2. Control here means permitting or restricting access to the storage device 3. When access information is transmitted from the terminal 2, the control unit 13 controls access to the storage device 3 based on the transmitted access information. Further, when the access information is not transmitted from the terminal 2, that is, when the terminal 2 requests access without transmitting the access information, the control unit 13 controls the generation unit 11 to execute the generation process. To do. In this case, the control unit 13 controls access to the storage device 3 based on the newly generated access information. The control unit 13 is newly generated, for example, when access is requested from the terminal 2 that has not been accessed before, or when a user different from the user who has been using the terminal 2 is used. Access control using access information is executed.

アクセス制御装置1は、このようなアクセス情報を用いてアクセス制御を実行することにより、不正なアクセスを抑制することが可能である。例えば、アクセス制御装置1によれば、不正なアクセスを試みる第三者がある正当なユーザのパスワード等を盗み、当該正当なユーザになりすまして別の端末からアクセスを試みた場合、ユーザ認証に成功したとしても、生成部11によって別のアクセスIDが新たに生成される。この場合、新たに生成されるアクセスIDに正当なユーザの(本来の)アクセスIDと異なるアクセス権限を設定することにより、不正な第三者によるアクセスを制限することが可能である。   The access control device 1 can suppress unauthorized access by executing access control using such access information. For example, according to the access control device 1, when a third party who attempts unauthorized access steals a password or the like of a legitimate user and impersonates the legitimate user and tries to access from another terminal, the user authentication is successful. Even so, another access ID is newly generated by the generation unit 11. In this case, it is possible to restrict access by an unauthorized third party by setting an access authority different from the legitimate user's (original) access ID in the newly generated access ID.

また、アクセス制御装置1は、記憶装置3にアクセスする端末2に応じた複数のアクセスIDを同一のユーザに対して付与することが可能である。これにより、アクセス制御装置1は、端末2に応じたアクセス権限を設定することが可能である。例えば、アクセス制御装置1によれば、あるユーザが常用している端末2に対して所定のアクセス権限を設定するとともに、別の端末2に対して当該所定のアクセス権限よりも制限されたアクセス権限を設定することが可能である。これにより、ユーザが出先などで別の端末2(例えば、不特定多数のユーザが利用可能なコンピュータや、他人のコンピュータ)で記憶装置3にアクセスする場合であっても、あらかじめ設定された一定の制限下でファイルにアクセスすることが可能になる。したがって、アクセス制御装置1によれば、第三者による不正なアクセスを抑制しつつ、正当なユーザによるアクセスを必要以上に妨げないようにすることが可能である。   Further, the access control device 1 can assign a plurality of access IDs corresponding to the terminal 2 accessing the storage device 3 to the same user. Thereby, the access control device 1 can set the access authority according to the terminal 2. For example, according to the access control device 1, a predetermined access authority is set for a terminal 2 that is regularly used by a certain user, and an access authority that is more restricted than the predetermined access authority for another terminal 2. Can be set. Thereby, even when the user accesses the storage device 3 with another terminal 2 (for example, a computer that can be used by an unspecified number of users or another person's computer) at a destination or the like, a predetermined constant is set. Allows access to files under restrictions. Therefore, according to the access control device 1, it is possible to prevent unauthorized access by a third party while preventing unauthorized access by a third party.

[第2実施形態]
図2は、本発明の別の実施形態に係るストレージシステム10の全体構成を示すブロック図である。ストレージシステム10は、ストレージ装置100と複数の端末200〜200とを備えるコンピュータシステムである。なお、ストレージ装置100は、ストレージシステム10に複数備わっていてもよい。 [Second Embodiment]
FIG. 2 is a block diagram showing the overall configuration of the storage system 10 according to another embodiment of the present invention. The storage system 10 is a computer system that includes a storage device 100 and a plurality of terminals 200 1 to 200 n . A plurality of storage apparatuses 100 may be provided in the storage system 10.

ストレージ装置100は、いわゆるネットワークストレージであり、ネットワーク300を介して端末200〜200によってアクセスされる。ストレージ装置100は、例えば、NAS(Network Attached Storage)である。端末200〜200は、ユーザU〜Uによって用いられる。ストレージ装置100は、本発明に係るアクセス制御装置の一例に相当し、上述した第1実施形態のアクセス制御装置1及び記憶装置3を一体に構成したものである。 The storage device 100 is a so-called network storage, and is accessed by the terminals 200 1 to 200 n via the network 300. The storage device 100 is, for example, a NAS (Network Attached Storage). Terminals 200 1 to 200 n are used by users U 1 to U m . The storage apparatus 100 corresponds to an example of an access control apparatus according to the present invention, and is configured by integrating the access control apparatus 1 and the storage apparatus 3 of the first embodiment described above.

ここにおいて、mの値(すなわちユーザ数)及びnの値(すなわち端末数)は、特に限定されない。また、mの値とnの値は、同一であってもよいし、異なっていてもよい。例えば、ストレージシステム10においては、あるユーザが複数の端末を目的や用途に応じて使い分けることが可能である。また、ネットワークストレージシステム10においては、一の端末が複数のユーザによって共用されてもよい。   Here, the value of m (that is, the number of users) and the value of n (that is, the number of terminals) are not particularly limited. Further, the value of m and the value of n may be the same or different. For example, in the storage system 10, a certain user can use a plurality of terminals depending on the purpose and application. In the network storage system 10, one terminal may be shared by a plurality of users.

端末200〜200は、ネットワーク300を介してストレージ装置100にアクセスする情報処理装置である。端末200〜200は、例えば、パーソナルコンピュータであってもよいし、スマートフォンやタブレットコンピュータであってもよい。なお、ここにおいて「アクセス」とは、記憶媒体に記憶された情報の読み出し及び書き込みの一方又は双方をいう。 The terminals 200 1 to 200 n are information processing apparatuses that access the storage apparatus 100 via the network 300. The terminals 200 1 to 200 n may be, for example, personal computers, smart phones or tablet computers. Here, “access” refers to one or both of reading and writing information stored in a storage medium.

端末200〜200は、その全てが同一の構成である必要はない。ただし、端末200〜200は、いずれも、ネットワーク300を介してストレージ装置100にアクセス可能である点において共通する構成を有している。以下において、端末200〜200は、互いを区別する必要がない場合には「端末200」と総称される。なお、ユーザU〜Uは、互いを区別する必要がない場合には、符号の表記を省略し、単に「ユーザ」という。 The terminals 200 1 to 200 n need not all have the same configuration. However, all of the terminals 200 1 to 200 n have a common configuration in that they can access the storage apparatus 100 via the network 300. In the following, the terminals 200 1 to 200 n are collectively referred to as “terminal 200” when it is not necessary to distinguish each other. In addition, when it is not necessary to distinguish the users U 1 to U m from each other, the notation of the reference numerals is omitted and the users U 1 to U m are simply referred to as “users”.

図3は、端末200のハードウェア構成を示すブロック図である。端末200は、ストレージ装置100にアクセスするための構成として、制御部210と、記憶部220と、通信部230と、入出力部240とを少なくとも備える。なお、端末200は、図示されていない構成を端末200〜200の一部又は全部が備えていてもよい。 FIG. 3 is a block diagram illustrating a hardware configuration of the terminal 200. The terminal 200 includes at least a control unit 210, a storage unit 220, a communication unit 230, and an input / output unit 240 as a configuration for accessing the storage apparatus 100. Note that the terminal 200 may include a part or all of the terminals 200 1 to 200 n having a configuration not shown.

制御部210は、端末200の各部の動作を制御する。制御部210は、CPU(Central Processing Unit)などの演算処理装置や主記憶装置を備える。制御部210は、プログラムを実行することによって所定の機能を実現することができる。例えば、制御部210は、ストレージ装置100にアクセスする機能を実現するためのプログラムを実行可能である。なお、この機能は、OS(Operation System)などのシステムソフトウェアとアプリケーションソフトウェアのいずれによって実現されてもよい。   The control unit 210 controls the operation of each unit of the terminal 200. The control unit 210 includes an arithmetic processing device such as a CPU (Central Processing Unit) and a main storage device. The control unit 210 can realize a predetermined function by executing a program. For example, the control unit 210 can execute a program for realizing a function of accessing the storage apparatus 100. This function may be realized by either system software such as an OS (Operation System) or application software.

記憶部220は、制御部210に用いられるデータを記憶する。記憶部220は、ハードディスク、フラッシュメモリなどの記憶媒体を備える。記憶部220は、例えば、ストレージ装置100に書き込むデータやストレージ装置100から読み出したデータを記憶することができる。また、記憶部220は、アクセスIDを記憶する。   The storage unit 220 stores data used for the control unit 210. The storage unit 220 includes a storage medium such as a hard disk or a flash memory. The storage unit 220 can store, for example, data to be written to the storage device 100 and data read from the storage device 100. The storage unit 220 stores an access ID.

アクセスIDは、ストレージ装置100に対する端末200のアクセス権限を表す情報である。アクセスIDは、端末200毎に異なる識別情報(ID)であり、ストレージ装置100において、ストレージ装置100の記憶領域に対するアクセスの可否を示す情報に関連付けられる。また、アクセスIDは、端末200毎だけでなく、ユーザ毎にも異なる。さらに、アクセスIDは、ストレージ装置100が複数ある場合には、ストレージ装置100毎にも異なる。すなわち、アクセスIDは、端末200毎、ストレージ装置100毎及びユーザ毎にユニーク(一意的)な値である。アクセスIDは、本発明に係るアクセス情報の一例である。   The access ID is information representing the access authority of the terminal 200 to the storage apparatus 100. The access ID is identification information (ID) that is different for each terminal 200 and is associated with information indicating whether or not the storage apparatus 100 can access the storage area of the storage apparatus 100. Further, the access ID is different not only for each terminal 200 but also for each user. Furthermore, when there are a plurality of storage apparatuses 100, the access ID is different for each storage apparatus 100. That is, the access ID is a unique value for each terminal 200, each storage device 100, and each user. The access ID is an example of access information according to the present invention.

図4は、アクセスIDと端末200及びユーザの関係を示す模式図である。図4に示すように、端末200は、複数のアクセスIDを記憶することができる。端末200に複数のアクセスIDが記憶される場合、それぞれのアクセスIDは、それぞれ異なるユーザに関連付けられる。また、アクセスIDは、同一のユーザについて複数存在し得る。   FIG. 4 is a schematic diagram showing the relationship between the access ID, the terminal 200, and the user. As illustrated in FIG. 4, the terminal 200 can store a plurality of access IDs. When a plurality of access IDs are stored in terminal 200, each access ID is associated with a different user. Further, a plurality of access IDs may exist for the same user.

図4の例において、ユーザUは、自身に関連付けられたアクセスIDとしてアクセスID211とアクセスID221とを有している。アクセスID211は、端末200に記憶されている。一方、アクセスID221は、端末200に記憶されている。 In the example of FIG. 4, the user U 1 has an access ID 211 and an access ID 221 as access IDs associated with the user U 1 . Access ID211 are stored in the terminal 200 1. On the other hand, access ID221 are stored in the terminal 200 2.

また、図4の例において、端末200は、ユーザUのアクセスID221とユーザUのアクセスID222とを記憶している。端末200は、ユーザが使用を開始するときやストレージ装置100に対するアクセスを要求するときなど、所定のタイミングでユーザを識別し、識別したユーザに対応するアクセスIDを用いてストレージ装置100と通信を行う。なお、ユーザの識別には、周知のユーザ認証技術(パスワード認証、バイオメトリクス認証など)を用いることが可能である。 Further, in the example of FIG. 4, the terminal 200 2 stores the access ID222 user U 1 of the Access ID221 and the user U 2. Terminal 200 2, such as when the user is requesting access to and storage device 100 when starting to use to identify the user at predetermined timing, communication with the storage device 100 by using the access ID corresponding to the identified user Do. It is possible to use a well-known user authentication technique (password authentication, biometric authentication, etc.) for user identification.

通信部230は、ネットワーク300を介してデータを送受信する。通信部230は、データの送信及び受信に際し、ネットワーク300の通信方式に応じたデータ変換などを実行する。なお、通信部230による通信は、有線であっても無線であってもよい。   The communication unit 230 transmits and receives data via the network 300. The communication unit 230 performs data conversion according to the communication method of the network 300 when transmitting and receiving data. Note that the communication by the communication unit 230 may be wired or wireless.

入出力部240は、いわゆるユーザインタフェースに相当し、データを入力及び出力する。すなわち、ここでいう入出力とは、ユーザとの情報のやり取りをいう。入出力部240は、例えば、出力部として表示装置やスピーカを含む。また、入出力部240は、入力部としてマウスやキーボードを含む。なお、入出力部240は、タッチスクリーンディスプレイのように入力部と出力部が一体に構成されたものを含んでもよい。   The input / output unit 240 corresponds to a so-called user interface, and inputs and outputs data. That is, the input / output here refers to the exchange of information with the user. The input / output unit 240 includes, for example, a display device and a speaker as an output unit. The input / output unit 240 includes a mouse and a keyboard as an input unit. Note that the input / output unit 240 may include a unit in which an input unit and an output unit are integrally formed, such as a touch screen display.

図5は、ストレージ装置100のハードウェア構成を示すブロック図である。ストレージ装置100は、制御部110と、記憶部120と、通信部130とを備える。制御部110、記憶部120及び通信部130は、それぞれ、その性能(処理能力、記憶容量など)に相違はあるものの、基本的な機能は制御部210、記憶部220及び通信部230と共通する。   FIG. 5 is a block diagram illustrating a hardware configuration of the storage apparatus 100. The storage device 100 includes a control unit 110, a storage unit 120, and a communication unit 130. Although the control unit 110, the storage unit 120, and the communication unit 130 are different in performance (processing capability, storage capacity, etc.), basic functions are common to the control unit 210, the storage unit 220, and the communication unit 230. .

図6は、ストレージ装置100の機能的構成を示すブロック図である。ストレージ装置100は、制御部110が所定のプログラムを実行することにより、アクセス制御部101、アクセスID管理部102、アクセスID生成部103、アクセスID管理DB104、データアクセス制御部105、データアクセス管理部106、データアクセス管理DB107及びネットワークストレージ108に相当する機能を実現する。   FIG. 6 is a block diagram showing a functional configuration of the storage apparatus 100. The storage apparatus 100 includes an access control unit 101, an access ID management unit 102, an access ID generation unit 103, an access ID management DB 104, a data access control unit 105, and a data access management unit when the control unit 110 executes a predetermined program. 106, functions corresponding to the data access management DB 107 and the network storage 108 are realized.

アクセス制御部101は、ストレージ装置100に対する端末200からのアクセスを制御する。アクセス制御部101は、端末200から送信されたアクセスIDに基づいて端末200からのアクセスを制御する。また、アクセス制御部101は、端末200からのアクセス要求にアクセスIDが含まれるか否かを判断し、アクセス要求にアクセス情報が含まれない場合にはアクセスID生成部103に生成処理を実行させ、新たに生成されたアクセスIDを端末2に送信する。   The access control unit 101 controls access from the terminal 200 to the storage apparatus 100. The access control unit 101 controls access from the terminal 200 based on the access ID transmitted from the terminal 200. Further, the access control unit 101 determines whether an access ID is included in the access request from the terminal 200. If the access request does not include access information, the access control unit 101 causes the access ID generation unit 103 to perform generation processing. The newly generated access ID is transmitted to the terminal 2.

さらに、アクセス制御部101は、アクセス要求を送信した端末200や当該端末を使用しているユーザが正当でないと判断した場合にも、アクセスID生成部103に生成処理を実行させる。具体的には、アクセス制御部101は、アクセス要求を送信した端末200や当該端末を使用しているユーザがアクセスIDに関連付けられた端末200やユーザと異なる場合には、端末200又はユーザが正当でないと判断する。   Furthermore, the access control unit 101 also causes the access ID generation unit 103 to execute generation processing when it is determined that the terminal 200 that transmitted the access request or the user using the terminal is not valid. Specifically, if the terminal 200 that transmitted the access request or the user using the terminal is different from the terminal 200 or the user associated with the access ID, the access control unit 101 determines that the terminal 200 or the user is valid. Judge that it is not.

アクセスID管理部102は、アクセスIDを管理する。アクセスID管理部102は、アクセス制御部101からの指示(命令)に基づき、アクセスIDの生成、格納、送信などを制御する。アクセスID管理部102は、アクセスID管理DB104に対するデータの読み書きを実行するほか、アクセスID生成部103に対してアクセスIDの生成を指示し、生成されたアクセスIDを受け付ける。   The access ID management unit 102 manages the access ID. The access ID management unit 102 controls access ID generation, storage, transmission, and the like based on an instruction (command) from the access control unit 101. The access ID management unit 102 reads / writes data from / to the access ID management DB 104, instructs the access ID generation unit 103 to generate an access ID, and accepts the generated access ID.

アクセスID生成部103は、アクセスIDを生成する。アクセスID生成部103は、アクセスIDの生成に必要な情報を取得した場合に、取得した情報を用いてアクセスIDを生成する。なお、アクセスIDの生成に必要な情報は、本実施形態においては、後述するユーザID、端末ID、ネットワークストレージID及び日時情報である。アクセスID生成部103は、これらの情報を用いて所定の演算を実行し、さらに暗号化処理を施すことによってアクセスIDを生成する。   The access ID generation unit 103 generates an access ID. When the access ID generation unit 103 acquires information necessary for generating an access ID, the access ID generation unit 103 generates an access ID using the acquired information. In this embodiment, information necessary for generating the access ID is a user ID, a terminal ID, a network storage ID, and date / time information, which will be described later. The access ID generation unit 103 executes a predetermined calculation using these pieces of information and generates an access ID by performing an encryption process.

図7は、アクセスID管理DB104のデータ構造を例示する図である。アクセスID管理DB104は、アクセスIDを管理するためのデータベース(DB)であり、アクセスIDを端末ID、ユーザID及びネットワークストレージIDと関連付けて記憶する。なお、図7においては、説明の便宜上、アクセスID、ユーザID及び端末IDとして図4に例示した符号が用いられている。端末ID、ユーザID及びネットワークストレージIDは、それぞれ、本発明に係る第1識別情報、第2識別情報及び第3識別情報の一例に相当する。   FIG. 7 is a diagram illustrating an example of the data structure of the access ID management DB 104. The access ID management DB 104 is a database (DB) for managing the access ID, and stores the access ID in association with the terminal ID, the user ID, and the network storage ID. In FIG. 7, for convenience of explanation, the symbols illustrated in FIG. 4 are used as the access ID, user ID, and terminal ID. The terminal ID, the user ID, and the network storage ID correspond to examples of the first identification information, the second identification information, and the third identification information, respectively, according to the present invention.

データアクセス制御部105は、ネットワークストレージ108に対するデータアクセスを制御する。データアクセス制御部105は、アクセス制御部101による制御に従い、ネットワークストレージ108に対するデータのアクセスを許可または禁止する。   The data access control unit 105 controls data access to the network storage 108. The data access control unit 105 permits or prohibits data access to the network storage 108 according to control by the access control unit 101.

データアクセス管理部106は、各端末200及び各ユーザによるデータのアクセスを管理する。データアクセス管理部106は、アクセス制御の対象であるファイル及びフォルダの一覧をデータアクセス管理DB107から取得する。データアクセス管理部106は、取得した一覧をアクセス制御部101に供給する。   The data access management unit 106 manages data access by each terminal 200 and each user. The data access management unit 106 acquires a list of files and folders that are subject to access control from the data access management DB 107. The data access management unit 106 supplies the acquired list to the access control unit 101.

本実施形態において、フォルダ及びファイルは、アクセス制御の対象であるものとそうでないものとを含んでもよい。ここにおいて、アクセス制御の対象外のフォルダ(又はファイル)とは、ユーザ及び端末200を問わずアクセス可能なフォルダ(又はファイル)をいう。このようなフォルダ(又はファイル)は、アクセスIDの有無によらず、あらゆる端末200からアクセス可能である。   In the present embodiment, folders and files may include those that are subject to access control and those that are not. Here, a folder (or file) that is not subject to access control refers to a folder (or file) that can be accessed regardless of the user and the terminal 200. Such a folder (or file) can be accessed from any terminal 200 regardless of the presence or absence of the access ID.

図8は、データアクセス管理DB107のデータ構造を例示する図である。データアクセス管理DB107は、アクセスが許可(又は禁止)されるファイル又はフォルダをアクセスID毎に記述したデータベースである。なお、ここにおいて、アクセスリストとは、アクセスIDのリスト(一覧)をいう。また、ここでいうフォルダは、ディレクトリと同義である。   FIG. 8 is a diagram illustrating a data structure of the data access management DB 107. The data access management DB 107 is a database in which files or folders whose access is permitted (or prohibited) are described for each access ID. Here, the access list refers to a list of access IDs. Moreover, the folder here is synonymous with a directory.

ネットワークストレージ108は、端末200によるアクセスの対象となる記憶領域である。ネットワークストレージ108は、複数のファイルを記憶している。ネットワークストレージ108において、ファイルは、フォルダによって階層的に分類されている。   The network storage 108 is a storage area to be accessed by the terminal 200. The network storage 108 stores a plurality of files. In the network storage 108, files are hierarchically classified by folders.

なお、アクセス制御部101は、本発明に係る制御手段及び送信手段の一例に相当する。また、アクセスID生成部103は、本発明に係る生成手段の一例に相当する。また、ネットワークストレージ108は、本発明に係る記憶手段の一例に相当する。   The access control unit 101 corresponds to an example of a control unit and a transmission unit according to the present invention. The access ID generation unit 103 corresponds to an example of a generation unit according to the present invention. The network storage 108 corresponds to an example of a storage unit according to the present invention.

ストレージシステム10の構成は、以上のとおりである。ユーザU〜Uは、端末200〜200を用いて、ストレージ装置100へのアクセスを試みる。端末200は、使用中のユーザを識別し、識別したユーザに応じたアクセスIDを用いてストレージ装置100にアクセスを要求する。このとき、端末200は、アクセスIDに加え、ユーザID及び端末IDを送信する。ストレージ装置100は、端末200からのアクセス要求に対し、アクセスIDに基づいてその正当性を判断し、判断結果に応じた処理を実行する。 The configuration of the storage system 10 is as described above. The users U 1 to U m try to access the storage apparatus 100 using the terminals 200 1 to 200 n . The terminal 200 identifies a user in use, and requests access to the storage apparatus 100 using an access ID corresponding to the identified user. At this time, the terminal 200 transmits a user ID and a terminal ID in addition to the access ID. The storage apparatus 100 determines the legitimacy of the access request from the terminal 200 based on the access ID, and executes processing according to the determination result.

ユーザは、ストレージ装置100に対するアクセスが許可された場合、既存のフォルダ及びファイルにアクセスすることが可能である。また、ユーザは、既存のフォルダに対して新たなフォルダ又はファイルを作成することも可能である。ユーザは、フォルダ又はファイルを新規に作成する場合、当該フォルダ又はファイルにアクセス権限を設定することが可能である。さらに、ユーザは、フォルダ又はファイルに設定したアクセス権限を解除することも可能である。   When access to the storage apparatus 100 is permitted, the user can access existing folders and files. The user can also create a new folder or file for an existing folder. When creating a new folder or file, the user can set an access right to the folder or file. Furthermore, the user can cancel the access authority set to the folder or file.

図9〜13は、ストレージ装置100が実行する処理を示すフローチャートである。図9は、端末200がストレージ装置100へのアクセスを要求した場合にアクセス制御部101が実行する処理を示すフローチャートである。なお、図9〜13の説明は、便宜上、図6のブロック図に従った動作主体で行われている。しかしながら、これらの図に示す処理は、実質的には、いずれも制御部110が実行しているものである。   9 to 13 are flowcharts showing processing executed by the storage apparatus 100. FIG. 9 is a flowchart illustrating processing executed by the access control unit 101 when the terminal 200 requests access to the storage apparatus 100. Note that the description of FIGS. 9 to 13 is performed by an operation subject according to the block diagram of FIG. 6 for convenience. However, the processes shown in these drawings are substantially executed by the control unit 110.

まず、アクセス制御部101は、端末200からアクセス要求を取得する(ステップSA1)。本実施形態において、アクセス要求は、アクセスID、端末ID及びユーザIDを含み得るものとする。また、アクセス要求は、アクセス先のフォルダ(又はファイル)を示す情報(パスなど)を含む。アクセス制御部101は、アクセス要求にアクセスIDが含まれるか否かを判断する(ステップSA2)。アクセス制御部101は、アクセスIDの有無に応じて異なる処理を実行する。   First, the access control unit 101 acquires an access request from the terminal 200 (step SA1). In the present embodiment, it is assumed that the access request can include an access ID, a terminal ID, and a user ID. The access request includes information (such as a path) indicating a folder (or file) to be accessed. The access control unit 101 determines whether or not an access ID is included in the access request (step SA2). The access control unit 101 executes different processing depending on whether or not there is an access ID.

アクセスIDがある場合(SA2:YES)、アクセス制御部101は、アクセス要求に含まれる端末ID及びユーザIDの組み合わせとアクセスIDとの対応関係を判断することにより、アクセス要求の正当性を判断する(ステップSA3)。   When there is an access ID (SA2: YES), the access control unit 101 determines the validity of the access request by determining the correspondence between the combination of the terminal ID and user ID included in the access request and the access ID. (Step SA3).

具体的には、アクセス制御部101は、アクセスID管理DB104に記憶されたデータに基づいて、取得したアクセスIDに関連付けられている端末ID及びユーザIDを特定する。次いで、アクセス制御部101は、アクセスIDから特定した端末ID及びユーザIDとアクセス要求に含まれる端末ID及びユーザIDとを比較し、これらが一致する場合にはアクセス要求が正当であると判断する。一方、アクセス制御部101は、これらが一致しない場合にはアクセス要求が不正であると判断する。   Specifically, the access control unit 101 specifies a terminal ID and a user ID associated with the acquired access ID based on data stored in the access ID management DB 104. Next, the access control unit 101 compares the terminal ID and user ID specified from the access ID with the terminal ID and user ID included in the access request, and determines that the access request is valid if they match. . On the other hand, the access control unit 101 determines that the access request is invalid if they do not match.

アクセス要求が正当である場合(SA3:YES)、アクセス制御部101は、データアクセス制御部105にアクセスIDを渡してデータアクセス処理を実行させる(ステップSA4、SA5)。アクセス制御部101は、データアクセス制御部105からデータアクセス処理の実行結果を表すデータを取得し、これを端末200に送信する(ステップSA6)。   If the access request is valid (SA3: YES), the access control unit 101 passes the access ID to the data access control unit 105 to execute data access processing (steps SA4 and SA5). The access control unit 101 acquires data representing the execution result of the data access process from the data access control unit 105, and transmits this to the terminal 200 (step SA6).

なお、アクセス要求にアクセスIDが含まれない場合(SA2:NO)か、アクセス要求が不正である場合(SA3:NO)には、アクセス制御部101は、アクセスID生成部103にアクセスID生成処理を実行させる(ステップSA7)。その後、アクセス制御部101は、アクセスID生成処理を実行したアクセスID生成部103からアクセスIDを取得し、これを端末200に送信する(ステップSA8)。   When the access request does not include an access ID (SA2: NO) or when the access request is invalid (SA3: NO), the access control unit 101 causes the access ID generation unit 103 to perform an access ID generation process. Is executed (step SA7). Thereafter, the access control unit 101 acquires an access ID from the access ID generation unit 103 that has executed the access ID generation process, and transmits this to the terminal 200 (step SA8).

図10は、アクセスID生成処理を示すフローチャートである。アクセスID管理部102は、アクセスIDを生成する指示をアクセス制御部101から受け付けると、アクセスIDの生成に必要な情報をアクセスID生成部103に渡し、アクセスIDを生成させる(ステップSB1)。   FIG. 10 is a flowchart showing the access ID generation process. When the access ID management unit 102 receives an instruction to generate an access ID from the access control unit 101, the access ID management unit 102 passes information necessary for generating the access ID to the access ID generation unit 103 to generate the access ID (step SB1).

このとき、アクセスID管理部102は、端末ID、ユーザID、ネットワークストレージID及び日時情報をアクセスID生成部103に渡す。日時情報は、アクセスID生成時の日時を表すデータである。アクセスID生成部103は、これらの情報に基づいてアクセスIDを生成する。アクセスID生成部103は、日時情報を用いてアクセスIDを生成することで、アクセスIDをユニークな値にすることができる。   At this time, the access ID management unit 102 passes the terminal ID, user ID, network storage ID, and date / time information to the access ID generation unit 103. The date information is data representing the date when the access ID is generated. The access ID generation unit 103 generates an access ID based on these pieces of information. The access ID generation unit 103 can set the access ID to a unique value by generating the access ID using the date / time information.

アクセスID生成部103がアクセスIDを生成したら、アクセスID管理部102は、生成したアクセスIDを取得してアクセスID管理DB104に格納する(ステップSB2)。アクセスID管理部102は、アクセスIDをキーとして、端末ID、ユーザID及びネットワークストレージIDを記録する。また、アクセスID管理部102は、アクセスIDをアクセス制御部101に渡す(ステップSB3)。   When the access ID generation unit 103 generates an access ID, the access ID management unit 102 acquires the generated access ID and stores it in the access ID management DB 104 (step SB2). The access ID management unit 102 records the terminal ID, user ID, and network storage ID using the access ID as a key. Further, the access ID management unit 102 passes the access ID to the access control unit 101 (step SB3).

図11は、データアクセス処理を示すフローチャートである。データアクセス制御部105は、アクセス制御の対象であるフォルダ及びファイルの一覧をアクセス制御部101から取得する(ステップSC1)。また、データアクセス制御部105は、アクセス制御部101から取得したアクセスIDに基づき、当該アクセスIDによってアクセス可能なフォルダ及びファイルの一覧をアクセス制御部101から取得する(ステップSC2)。アクセスIDによってアクセス可能なフォルダ及びファイルは、アクセスID管理DB104を参照することで特定可能である。   FIG. 11 is a flowchart showing data access processing. The data access control unit 105 acquires a list of folders and files that are objects of access control from the access control unit 101 (step SC1). Further, based on the access ID acquired from the access control unit 101, the data access control unit 105 acquires a list of folders and files accessible by the access ID from the access control unit 101 (step SC2). Folders and files accessible by the access ID can be specified by referring to the access ID management DB 104.

また、データアクセス制御部105は、アクセス要求を受けたフォルダ及びファイルの一覧を取得する(ステップSC3)。すなわち、このときデータアクセス制御部105は、端末200がアクセスしようとしているフォルダ及びファイルの一覧を取得する。なお、データアクセス制御部105は、アクセス要求に含まれるか否かによらず、ネットワークストレージ108に含まれるフォルダ及びファイルの一覧をネットワークストレージ108から取得してもよい。データアクセス制御部105は、ステップSC3において取得した一覧に含まれるフォルダ及びファイルのそれぞれについて、以下に示す処理を実行する。   Further, the data access control unit 105 acquires a list of folders and files that have received the access request (step SC3). That is, at this time, the data access control unit 105 acquires a list of folders and files that the terminal 200 is trying to access. Note that the data access control unit 105 may obtain a list of folders and files included in the network storage 108 from the network storage 108 regardless of whether they are included in the access request. The data access control unit 105 executes the following process for each of the folders and files included in the list acquired in step SC3.

データアクセス制御部105は、ステップSC3において取得した一覧に含まれるフォルダ及びファイルについて、以下の処理を実行していないものがあるか否かを判断する(ステップSC4)。データアクセス制御部105は、未処理のフォルダ又はファイルがある場合(SC4:YES)、当該フォルダ又はファイルについてステップSC5、SC6の判断を実行する。   The data access control unit 105 determines whether there is a folder or file included in the list acquired in step SC3 that has not been subjected to the following processing (step SC4). When there is an unprocessed folder or file (SC4: YES), the data access control unit 105 executes the determinations of steps SC5 and SC6 for the folder or file.

ステップSC5において、データアクセス制御部105は、処理対象であるフォルダ又はファイルがアクセス制御の対象であるか否かを判断する。データアクセス制御部105は、当該フォルダ又はファイルがアクセス制御の対象外であれば(SC5:NO)、当該フォルダ又はファイルについてアクセス制限を施すことなく本処理を終える。   In step SC5, the data access control unit 105 determines whether the folder or file to be processed is an access control target. If the folder or file is not subject to access control (SC5: NO), the data access control unit 105 ends this processing without restricting access to the folder or file.

フォルダ又はファイルがアクセス制御の対象である場合(SC5:YES)、データアクセス制御部105は、アクセス要求に含まれるアクセスIDによって当該フォルダ又はファイルにアクセス可能か否かを判断する(ステップSC6)。データアクセス制御部105は、ステップSC2において取得した一覧に基づいてこの判断を行う。データアクセス制御部105は、このフォルダ又はファイルにアクセス可能であれば(SC6:NO)、当該フォルダ又はファイルについてアクセス制限を施すことなく本処理を終える。   If the folder or file is subject to access control (SC5: YES), the data access control unit 105 determines whether or not the folder or file can be accessed based on the access ID included in the access request (step SC6). The data access control unit 105 makes this determination based on the list acquired in step SC2. If the data access control unit 105 can access the folder or file (SC6: NO), the data access control unit 105 ends the process without restricting access to the folder or file.

一方、このフォルダ又はファイルにアクセス不可能である場合(SC6:YES)、データアクセス制御部105は、当該フォルダ又はファイルにアクセス制限処理を実行する(ステップSC7)。アクセス制限処理は、例えば、フォルダ又はファイルを空(不可視)にし、あたかも存在していないかのようにユーザに見せる処理を含む。また、データアクセス制御部105は、アクセス制限の対象がフォルダである場合、当該フォルダに含まれるフォルダ又はファイルについても同様の処理を実行する。   On the other hand, if the folder or file cannot be accessed (SC6: YES), the data access control unit 105 executes an access restriction process for the folder or file (step SC7). The access restriction process includes, for example, a process of making a folder or file empty (invisible) and making it appear to the user as if it does not exist. In addition, when the access restriction target is a folder, the data access control unit 105 performs the same process for a folder or a file included in the folder.

なお、アクセス制限処理は、所定のフォルダ又はファイルに対するアクセスを制限する処理であればよく、上述した処理には限定されない。例えば、アクセス制限処理は、「指定されたフォルダ/ファイルにアクセスできません」といったメッセージを端末200に表示させ、当該フォルダ又はファイルへのアクセスを禁止する処理であってもよい。また、ここでいう制限は、複数の操作が可能なフォルダ又はファイルに対して、その一部の操作を禁止するものであってもよい。フォルダに対する操作は、例えば、当該フォルダの削除、フォルダ名の変更、当該フォルダに対するファイルの新規作成又は削除などである。また、ファイルに対する操作は、例えば、当該ファイルの出力(表示、再生など)、編集、削除、ファイル名の変更などである。   The access restriction process may be any process that restricts access to a predetermined folder or file, and is not limited to the above-described process. For example, the access restriction process may be a process of displaying a message such as “cannot access the specified folder / file” on the terminal 200 and prohibiting access to the folder or file. In addition, the restriction mentioned here may prohibit a part of operations on a folder or a file in which a plurality of operations can be performed. The operations on the folder include, for example, deletion of the folder, change of the folder name, new creation or deletion of a file for the folder. In addition, operations on a file include, for example, output (display, reproduction, etc.), editing, deletion, and file name change of the file.

データアクセス制御部105は、フォルダ又はファイルに対してアクセス制限処理を実行したら、当該フォルダ又はファイルに対する処理を終了する。そして、データアクセス制御部105は、未処理のフォルダ又はファイルがあるか否かを判断する(ステップSC4)。データアクセス制御部105は、未処理のフォルダ又はファイルがあれば、当該フォルダ又はファイルに対してステップSC5〜SC7の処理を実行する。データアクセス制御部105は、未処理のフォルダ又はファイルがなくなるまでこれらの処理を繰り返す。   When the data access control unit 105 executes the access restriction process for the folder or file, the data access control unit 105 ends the process for the folder or file. Then, the data access control unit 105 determines whether there is an unprocessed folder or file (step SC4). If there is an unprocessed folder or file, data access control unit 105 executes the processes of steps SC5 to SC7 on the folder or file. The data access control unit 105 repeats these processes until there are no unprocessed folders or files.

全てのフォルダ及びファイルに対して処理を実行したら、データアクセス制御部105は、処理結果をアクセス制御部101に供給する(ステップSC8)。例えば、このときデータアクセス制御部105は、端末200から受信したアクセスIDによってアクセス可能なフォルダ及びファイルを一覧表示するデータをアクセス制御部101に供給する。   When the processing is executed for all folders and files, the data access control unit 105 supplies the processing result to the access control unit 101 (step SC8). For example, at this time, the data access control unit 105 supplies data for displaying a list of folders and files accessible by the access ID received from the terminal 200 to the access control unit 101.

図12は、フォルダ又はファイルに対してアクセス制御を追加する処理を示すフローチャートである。フォルダ又はファイルに対してアクセス制御を追加するとき、ユーザは、端末200を用いて、当該フォルダ又はファイルに対してアクセス制御追加フラグとアクセス制御情報とを付与する。アクセス制御情報は、フォルダ又はファイルに対するアクセス権限を表すデータであり、例えば、アクセスを許可又は制限するアクセスIDを記述したデータである。ストレージ装置100は、端末200からアクセス制御追加フラグ及びアクセス制御情報を受信すると、図12に示す処理を実行する。   FIG. 12 is a flowchart showing processing for adding access control to a folder or a file. When adding access control to a folder or file, the user uses the terminal 200 to give an access control addition flag and access control information to the folder or file. The access control information is data representing access authority for a folder or a file, for example, data describing an access ID that permits or restricts access. When the storage apparatus 100 receives the access control addition flag and the access control information from the terminal 200, the storage apparatus 100 executes the processing shown in FIG.

データアクセス制御部105は、アクセス制御部101を介して、アクセス制御追加フラグ及びアクセス制御情報を取得する(ステップSD1)。また、データアクセス制御部105は、アクセス制御追加フラグ及びアクセス制御情報が付与されたフォルダ又はファイルのパスを取得する(ステップSD2)。データアクセス制御部105は、取得したパスとアクセス制御情報をデータアクセス管理部106に渡し、データアクセス管理DB107を更新させる(ステップSD3)。   The data access control unit 105 acquires an access control addition flag and access control information via the access control unit 101 (step SD1). In addition, the data access control unit 105 acquires the path of the folder or file to which the access control addition flag and the access control information are assigned (Step SD2). The data access control unit 105 passes the acquired path and access control information to the data access management unit 106, and updates the data access management DB 107 (step SD3).

図13は、フォルダ又はファイルに対するアクセス制御を削除(解除)する処理を示すフローチャートである。フォルダ又はファイルに対するアクセス制御を削除するとき、ユーザは、端末200を用いて、当該フォルダ又はファイルに対してアクセス制御削除フラグを付与する。ストレージ装置100は、端末200からアクセス制御削除フラグを受信すると、図13に示す処理を実行する。   FIG. 13 is a flowchart showing processing for deleting (releasing) access control for a folder or file. When deleting access control for a folder or file, the user uses the terminal 200 to give an access control deletion flag to the folder or file. When the storage apparatus 100 receives the access control deletion flag from the terminal 200, the storage apparatus 100 executes the processing shown in FIG.

データアクセス制御部105は、アクセス制御部101を介して、アクセス制御削除フラグを取得する(ステップSE1)。また、データアクセス制御部105は、アクセス制御削除フラグが付与されたフォルダ又はファイルのパスを取得する(ステップSE2)。データアクセス制御部105は、取得したパスをデータアクセス管理部106に渡し、データアクセス管理DB107を更新させる(ステップSE3)。   The data access control unit 105 acquires an access control deletion flag via the access control unit 101 (step SE1). In addition, the data access control unit 105 acquires the path of the folder or file to which the access control deletion flag is assigned (step SE2). The data access control unit 105 passes the acquired path to the data access management unit 106 and updates the data access management DB 107 (step SE3).

[変形例]
本発明は、上述した実施形態に限らず、以下の変形例に示す形態でも実施可能である。また、本発明は、複数の変形例を組み合わせてもよい。 [Modification]
The present invention is not limited to the above-described embodiment, and can also be implemented in the forms shown in the following modifications. Moreover, you may combine a some modification in this invention.

(1)変形例1
アクセス制御の追加及び削除は、ストレージ装置100において端末200のユーザの操作によらずに実行されてもよい。例えば、アクセス制御の追加及び削除は、ストレージ装置100の管理者によって行われてもよい。また、ストレージ装置100は、所定の条件を満たした場合に特定のフォルダ又はファイルに対するアクセス権限を変更(更新)したり、ファイルが追加された場合に当該ファイルが格納されたフォルダと同様のアクセス権限を当該ファイルに設定したりしてもよい。 (1) Modification 1
The addition and deletion of access control may be executed in the storage apparatus 100 without depending on the operation of the user of the terminal 200. For example, the addition and deletion of access control may be performed by the administrator of the storage apparatus 100. Further, the storage apparatus 100 changes (updates) the access authority for a specific folder or file when a predetermined condition is satisfied, or the same access authority as that of the folder in which the file is stored when a file is added May be set in the file.

(2)変形例2
本発明は、いわゆるオブジェクトストレージに対しても適用可能である。この場合、上述した「ファイル」は、「オブジェクト」に読み替えればよい。また、本発明をオブジェクトストレージに対して適用した場合には、ファイルのパスに代えてオブジェクトのIDを用いればよい。 (2) Modification 2
The present invention is also applicable to so-called object storage. In this case, the “file” described above may be read as “object”. Further, when the present invention is applied to an object storage, an object ID may be used instead of a file path.

(3)変形例3
本発明は、アクセス制御装置のほか、アクセス制御装置を備えたストレージ装置又はストレージシステム、アクセス制御方法、本発明に係るアクセス制御装置をコンピュータに実現させるためのプログラムなどの形態でも提供され得る。また、本発明に係るプログラムは、記録媒体に記録された形態で提供されてもよいし、ネットワークを介してアクセス制御装置にダウンロードされる形態で提供されてもよい。 (3) Modification 3
The present invention can be provided in the form of a storage apparatus or storage system including an access control apparatus, an access control method, a program for causing a computer to implement the access control apparatus according to the present invention, in addition to the access control apparatus. The program according to the present invention may be provided in a form recorded on a recording medium, or may be provided in a form downloaded to an access control apparatus via a network.

1 アクセス制御装置
11 生成部
12 送信部
13 制御部
2 端末
3 記憶装置
10 ストレージシステム
100 ストレージ装置
101 アクセス制御部
102 アクセスID管理部
103 アクセスID生成部
104 アクセスID管理DB
105 データアクセス制御部
106 データアクセス管理部
107 データアクセス管理DB
108 ネットワークストレージ
110、210 制御部
120、220 記憶部
130、230 通信部
240 入出力部
200、200、200、…、200 端末
300 ネットワーク
U、U、U、…、U ユーザ DESCRIPTION OF SYMBOLS 1 Access control apparatus 11 Generation part 12 Transmission part 13 Control part 2 Terminal 3 Storage apparatus 10 Storage system 100 Storage apparatus 101 Access control part 102 Access ID management part 103 Access ID generation part 104 Access ID management DB
105 Data Access Control Unit 106 Data Access Management Unit 107 Data Access Management DB
108 network storage 110, 210 control unit 120, 220 storage unit 130, 230 a communication unit 240 output unit 200,200 1, 200 2, ..., 200 n terminal 300 network U, U 1, U 2, ..., U m user

Claims (8)

端末を識別する第1識別情報と、ユーザを識別する第2識別情報と、アクセス先を識別する第3識別情報とを用いて、当該アクセス先に対する当該端末及び当該ユーザによるアクセス権限を表すアクセス情報を生成する生成手段と、
前記生成されたアクセス情報を端末に送信する送信手段と、
所定の端末から所定のアクセス先に対してアクセスが要求された場合において、当該端末から前記アクセス情報が送信されたときには、当該送信されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御し、当該端末から前記アクセス情報が送信されなかったときには、前記生成手段にアクセス情報を生成させ、当該生成されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御する制御手段と
を備えるアクセス制御装置。 Using the first identification information for identifying the terminal, the second identification information for identifying the user, and the third identification information for identifying the access destination, access information representing the access authority by the terminal and the user for the access destination Generating means for generating
Transmitting means for transmitting the generated access information to a terminal;
When access is requested from a predetermined terminal to a predetermined access destination, when the access information is transmitted from the terminal, access to the access destination is controlled based on the transmitted access information, An access control apparatus comprising: control means for causing the generation means to generate access information when the terminal does not transmit the access information and controlling access to the access destination based on the generated access information. 前記制御手段は、
前記送信されたアクセス情報が不正である場合に、前記生成手段にアクセス情報を生成させ、当該生成されたアクセス情報に基づいて前記所定のアクセス先に対するアクセスを制御する
請求項1に記載のアクセス制御装置。 The control means includes
The access control according to claim 1, wherein when the transmitted access information is illegal, the generation unit generates access information and controls access to the predetermined access destination based on the generated access information. apparatus. 前記生成手段は、
前記第1識別情報、前記第2識別情報及び前記第3識別情報の少なくともいずれかが異なる場合に、異なるアクセス情報を生成する
請求項1又は2に記載のアクセス制御装置。 The generating means includes
The access control apparatus according to claim 1, wherein different access information is generated when at least one of the first identification information, the second identification information, and the third identification information is different. 前記生成手段は、
前記第1識別情報、前記第2識別情報、前記第3識別情報及び日時情報を用いてアクセス情報を生成する
請求項1ないし3のいずれか1項に記載のアクセス制御装置。 The generating means includes
The access control apparatus according to claim 1, wherein access information is generated using the first identification information, the second identification information, the third identification information, and date / time information. 前記アクセス先の記憶手段を備える請求項1ないし4のいずれか1項に記載のアクセス制御装置。   The access control apparatus according to claim 1, further comprising a storage unit for the access destination. 請求項1ないし5のいずれか1項に記載のアクセス制御装置と、
前記端末と
を備えるアクセス制御システム。 An access control device according to any one of claims 1 to 5,
An access control system comprising the terminal. 端末を識別する第1識別情報と、ユーザを識別する第2識別情報と、アクセス先を識別する第3識別情報とを用いて、当該アクセス先に対する当該端末及び当該ユーザによるアクセス権限を表すアクセス情報を生成する生成処理を実行し、
前記生成処理によって生成されたアクセス情報を端末に送信し、
所定の端末から所定のアクセス先に対してアクセスが要求された場合において、当該端末から前記アクセス情報が送信されたときには、当該送信されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御し、当該端末から前記アクセス情報が送信されなかったときには、前記生成処理を実行してアクセス情報を生成し、当該生成されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御する
アクセス制御方法。 Using the first identification information for identifying the terminal, the second identification information for identifying the user, and the third identification information for identifying the access destination, access information representing the access authority by the terminal and the user for the access destination Execute the generation process to generate
Sending the access information generated by the generation process to the terminal;
When access is requested from a predetermined terminal to a predetermined access destination, when the access information is transmitted from the terminal, access to the access destination is controlled based on the transmitted access information, An access control method for generating access information by executing the generation process when the access information is not transmitted from a terminal, and controlling access to the access destination based on the generated access information. コンピュータに、
端末を識別する第1識別情報と、ユーザを識別する第2識別情報と、アクセス先を識別する第3識別情報とを用いて、当該アクセス先に対する当該端末及び当該ユーザによるアクセス権限を表すアクセス情報を生成する生成処理を実行する第1ステップと、
前記生成処理によって生成されたアクセス情報を端末に送信する第2ステップと、
所定の端末から所定のアクセス先に対してアクセスが要求された場合において、当該端末から前記アクセス情報が送信されたときには、当該送信されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御し、当該端末から前記アクセス情報が送信されなかったときには、前記生成処理を実行しアクセス情報を生成し、当該生成されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御する第3ステップと
を実行させるためのプログラム。 On the computer,
Using the first identification information for identifying the terminal, the second identification information for identifying the user, and the third identification information for identifying the access destination, access information representing the access authority by the terminal and the user for the access destination A first step of executing a generation process for generating
A second step of transmitting the access information generated by the generation process to the terminal;
When access is requested from a predetermined terminal to a predetermined access destination, when the access information is transmitted from the terminal, access to the access destination is controlled based on the transmitted access information, When the access information is not transmitted from the terminal, the generation process is executed to generate access information, and a third step of controlling access to the access destination based on the generated access information is executed. program.
JP2015066479A 2015-03-27 2015-03-27 Access control device, access control system, access control method, and program Pending JP2016186708A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015066479A JP2016186708A (en) 2015-03-27 2015-03-27 Access control device, access control system, access control method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015066479A JP2016186708A (en) 2015-03-27 2015-03-27 Access control device, access control system, access control method, and program

Publications (1)

Publication Number Publication Date
JP2016186708A true JP2016186708A (en) 2016-10-27

Family

ID=57203738

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015066479A Pending JP2016186708A (en) 2015-03-27 2015-03-27 Access control device, access control system, access control method, and program

Country Status (1)

Country Link
JP (1) JP2016186708A (en)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002132730A (en) * 2000-10-20 2002-05-10 Hitachi Ltd System and method for authentication or access management based on reliability and disclosure degree of personal information
JP2004151880A (en) * 2002-10-29 2004-05-27 Nippon Telegr & Teleph Corp <Ntt> Cooperative service using device, server, cooperative service using method, cooperative service method, cooperative service using program and cooperative service program
US20050108551A1 (en) * 2003-11-18 2005-05-19 Toomey Christopher N. Method and apparatus for trust-based, fine-grained rate limiting of network requests
JP2006215795A (en) * 2005-02-03 2006-08-17 Fuji Xerox Co Ltd Server device, control method, and program
JP2010508589A (en) * 2006-10-25 2010-03-18 イオヴェイション インコーポレイテッド Generation and verification of unique device unique identifiers worldwide
JP2010191807A (en) * 2009-02-19 2010-09-02 Fuji Xerox Co Ltd Information repeater system and program
JP2012108739A (en) * 2010-11-18 2012-06-07 Nippon Telegr & Teleph Corp <Ntt> Digital moving image access control system and program

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002132730A (en) * 2000-10-20 2002-05-10 Hitachi Ltd System and method for authentication or access management based on reliability and disclosure degree of personal information
JP2004151880A (en) * 2002-10-29 2004-05-27 Nippon Telegr & Teleph Corp <Ntt> Cooperative service using device, server, cooperative service using method, cooperative service method, cooperative service using program and cooperative service program
US20050108551A1 (en) * 2003-11-18 2005-05-19 Toomey Christopher N. Method and apparatus for trust-based, fine-grained rate limiting of network requests
JP2006215795A (en) * 2005-02-03 2006-08-17 Fuji Xerox Co Ltd Server device, control method, and program
JP2010508589A (en) * 2006-10-25 2010-03-18 イオヴェイション インコーポレイテッド Generation and verification of unique device unique identifiers worldwide
JP2010191807A (en) * 2009-02-19 2010-09-02 Fuji Xerox Co Ltd Information repeater system and program
JP2012108739A (en) * 2010-11-18 2012-06-07 Nippon Telegr & Teleph Corp <Ntt> Digital moving image access control system and program

Similar Documents

Publication Publication Date Title
US8505084B2 (en) Data access programming model for occasionally connected applications
EP3500972B1 (en) Protection feature for data stored at storage service
RU2637878C2 (en) Authentication of processes and resource permission
JP4007873B2 (en) Data protection program and data protection method
US9787655B2 (en) Controlling access to resources on a network
US9507964B2 (en) Regulating access using information regarding a host machine of a portable storage drive
US20140108755A1 (en) Mobile data loss prevention system and method using file system virtualization
JP2007241562A (en) Computer readable recording medium having device driver program recorded thereon, storage device access method and storage device access system
TWI652592B (en) Storage device and access control method thereof
WO2017112641A1 (en) Dynamic management of protected file access
JP2007156959A (en) Access control program, information processor, and access control method
JPWO2013080659A1 (en) Confidential information leakage prevention system, confidential information leakage prevention method, and program
US20070271472A1 (en) Secure Portable File Storage Device
WO2017112640A1 (en) Obtaining a decryption key from a mobile device
EP3759629B1 (en) Method, entity and system for managing access to data through a late dynamic binding of its associated metadata
JP2012118833A (en) Access control method
JP4556636B2 (en) Dynamic organization management system, dynamic organization management method, dynamic organization management device, and dynamic organization management program
US9733852B2 (en) Encrypted synchronization
JP2016186708A (en) Access control device, access control system, access control method, and program
KR101545897B1 (en) A server access control system by periodic authentification of the smart card
JP7087932B2 (en) Storage device, data sharing system and data sharing method
JP7008595B2 (en) Service integrated authentication authorization system and service integrated authentication authorization method
JP2006190050A (en) Multitask execution system and multitask execution method
JP6653249B2 (en) Control server
WO2021172050A1 (en) Secondary use management device, secondary use management method, and computer-readable recording medium

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170428

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170516

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170712

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171010

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171207

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180508