JP4738183B2 - Access control apparatus, access control method and program - Google Patents

Access control apparatus, access control method and program Download PDF

Info

Publication number
JP4738183B2
JP4738183B2 JP2006017480A JP2006017480A JP4738183B2 JP 4738183 B2 JP4738183 B2 JP 4738183B2 JP 2006017480 A JP2006017480 A JP 2006017480A JP 2006017480 A JP2006017480 A JP 2006017480A JP 4738183 B2 JP4738183 B2 JP 4738183B2
Authority
JP
Japan
Prior art keywords
user
access
request
access control
login
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006017480A
Other languages
Japanese (ja)
Other versions
JP2007199995A (en
Inventor
耕一 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2006017480A priority Critical patent/JP4738183B2/en
Publication of JP2007199995A publication Critical patent/JP2007199995A/en
Application granted granted Critical
Publication of JP4738183B2 publication Critical patent/JP4738183B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、例えば、ユーザが利用するユーザ端末がサーバ等のリソースにアクセスする際のアクセス制御技術に関する。   The present invention relates to an access control technique when a user terminal used by a user accesses a resource such as a server, for example.

従来、遠隔地から社内などへアクセスする場合、利用者を認証する手段として、ユーザを識別する情報を利用する。このユーザを識別する情報とは、例えば、ユーザID・パスワードや、ICカード内に書き込まれた認証書、指紋などである。
特開2002−64861号公報に開示の「本人認証システム」に示されるように、ユーザの位置を認証に利用したり、特開2004−46666号公報に開示の「情報ネットワークシステムの制御方法および情報ネットワークシステムならびに移動通信端末」に示されるように、アクセス制御に利用する技術もある。
また、ユーザが遠隔地で使用する端末と、社内などにあるサーバとの通信を行う技術としては、特許第3608905号に開示の「データ通信システム及びデータ通信方法」で示されるように、クライアントアプリケーションとサーバアプリケーション間の通信を識別する組識別情報を利用し、回線が切断されても復旧できる技術がある。
特開2002−64861号公報 特開2004−46666号公報 特許第3608905号
Conventionally, when accessing a company from a remote location, information for identifying a user is used as a means for authenticating the user. The information for identifying the user is, for example, a user ID / password, a certificate written in the IC card, a fingerprint, or the like.
As shown in the “personal authentication system” disclosed in Japanese Patent Application Laid-Open No. 2002-64861, the location of the user is used for authentication, or “Control Method and Information of Information Network System” disclosed in Japanese Patent Application Laid-Open No. 2004-46666. As shown in “Network system and mobile communication terminal”, there is also a technique used for access control.
Further, as a technique for performing communication between a terminal used by a user in a remote place and a server in the office, as shown in “Data communication system and data communication method” disclosed in Japanese Patent No. 3608905, a client application There is a technology that can recover even if the line is disconnected by using group identification information for identifying communication between the server application and the server application.
JP 2002-64861 A JP 2004-46666 A Japanese Patent No. 3608905

従来のユーザ認証方式では、識別情報(ICカード、パスワード、指紋など)が物理的に盗まれる可能性が高い状況下においては、1ユーザ分の識別情報だけでシステムにアクセスできると、不正アクセスを許す可能性が高くなるという問題があった。   In a conventional user authentication method, if there is a high possibility that identification information (IC card, password, fingerprint, etc.) is physically stolen, unauthorized access will be prevented if the system can be accessed with only one user's identification information. There was a problem of increasing the possibility of forgiveness.

本発明は、このような問題を解決することを主な目的とし、例えば、複数人の同時ログインが必要なアクセス制御を行うことで、認証に必要なものが盗まれた場合等であってもセキュリティを確保することを主な目的とする。   The main object of the present invention is to solve such a problem. For example, even when access control that requires simultaneous login of a plurality of persons is performed, things necessary for authentication are stolen. The main purpose is to ensure security.

本発明に係るアクセス制御装置は、
ユーザが利用するユーザ端末からのログインを受け付けるとともに、アクセスを要求されたリソースへのユーザ端末のアクセスの許否判断を行うアクセス制御装置であって、
それぞれが二以上のユーザから構成される複数のユーザグループとそれぞれのユーザグループにアクセスが許可されるアクセス許可リソースを示すアクセス制御テーブルを管理するアクセス制御テーブル管理部と、
ログインしているユーザ端末と当該ユーザ端末を利用しているユーザとを示す通信管理テーブルを管理する通信管理テーブル管理部と、
いずれかのユーザ端末から特定のリソースに対するアクセス要求を受信する受信部と、
前記アクセス制御テーブルと前記通信管理テーブルとを用いて、前記アクセス要求の要求元である要求元ユーザのユーザグループのアクセス許可リソースと前記アクセス要求で要求された前記特定のリソースとが一致するか否かを判断するとともに、前記要求元ユーザのユーザグループに属する他のユーザからのログイン状況を判断して、前記アクセス要求に対する許否判断を行うアクセス許否判断部とを有することを特徴とする。
An access control apparatus according to the present invention
An access control device that accepts login from a user terminal used by a user and determines whether the user terminal is permitted to access a resource requested to be accessed,
An access control table management unit that manages an access control table indicating a plurality of user groups each composed of two or more users and access permission resources to which each user group is permitted to access;
A communication management table management unit for managing a communication management table indicating a logged-in user terminal and a user using the user terminal;
A receiving unit that receives an access request for a specific resource from any user terminal;
Whether the access permission resource of the user group of the request source user who is the request source of the access request matches the specific resource requested by the access request using the access control table and the communication management table And an access permission / rejection determination unit for determining permission / refusal for the access request by determining a login status from another user belonging to the user group of the requesting user.

本発明によれば、他のユーザのログイン状況を判断してアクセス許否の判断を行うため、ユーザ認証に必要となる物が不正に持ち出された場合にも、正当な他のユーザがログインしていないと不正アクセスを試みる者のアクセス要求は認められないため、セキュリティ強度を向上させることができる。   According to the present invention, since the access status is determined by determining the login status of other users, even if an object necessary for user authentication is taken out illegally, other legitimate users are logged in. Otherwise, an access request from a person who attempts unauthorized access is not accepted, and the security strength can be improved.

実施の形態1.
図1は、本実施の形態に係るシステムの構成例を示す図である。
Embodiment 1 FIG.
FIG. 1 is a diagram illustrating a configuration example of a system according to the present embodiment.

図1において、PC(Personal Computer)端末100は、ユーザが遠隔地で使用する端末である。図1では、PC端末100aは、ユーザA(以下、userAとも表記する)が利用し、クライアントアプリケーションとしてClient−aが搭載されている。また、PC端末100bは、ユーザB(以下、userBとも表記する)が利用し、クライアントアプリケーションとしてClient−bが搭載されている。PC端末100は、ユーザ端末の例である。
PC端末100には、ICカードリーダ110もしくは指紋認証装置120などが接続され、ユーザ認証を行う。ユーザ認証をユーザID・パスワードで行う場合はこのような装置が無くても良い。また、他の認証手段・認証装置を用いても良い。
In FIG. 1, a PC (Personal Computer) terminal 100 is a terminal used by a user at a remote place. In FIG. 1, the PC terminal 100a is used by a user A (hereinafter also referred to as userA), and Client-a is installed as a client application. The PC terminal 100b is used by a user B (hereinafter also referred to as userB), and Client-b is installed as a client application. The PC terminal 100 is an example of a user terminal.
An IC card reader 110 or a fingerprint authentication device 120 is connected to the PC terminal 100 to perform user authentication. When performing user authentication with a user ID and password, such a device may not be provided. Also, other authentication means / authentication apparatus may be used.

サーバ200は、様々な業務アプリケーションを保持しており、ゲートウェイマシン300を介してPC端末100から業務アプリケーションにアクセスされる。サーバ200自体、また、PC端末からアクセスされる業務アプリケーションは、リソースの例となる。
図1では、サーバa200aとサーバb200bがゲートウェイマシン300に接続されている。
The server 200 holds various business applications and is accessed from the PC terminal 100 via the gateway machine 300. The business application accessed from the server 200 itself or the PC terminal is an example of a resource.
In FIG. 1, a server a 200 a and a server b 200 b are connected to the gateway machine 300.

PC端末100からサーバ200側への通信は、携帯電話の様な回線断が発生しやすい環境で使われることもある。そのため、端末とゲートウェイマシン300の間で、例えば、特開2000−101640号公報に開示の「クライアント/サーバシステム」に示す方式で、クライアントアプリケーションとサーバアプリケーションを接続し、回線断が発生してもアプリケーションに影響が出ないようにしてもよい。ユーザは、PC端末100からサーバ200に接続するときは、一旦ゲートウェイマシン300へログインし、ゲートウェイマシン300を介して目的のサーバへ接続する。ゲートウェイマシン300へのログインは、通常のユーザ識別情報(ユーザ名/パスワード、指紋、ICカードに収められた認証書など)を利用する。   Communication from the PC terminal 100 to the server 200 side may be used in an environment where line disconnection is likely to occur, such as a mobile phone. Therefore, even if a line disconnection occurs between the terminal and the gateway machine 300, for example, by connecting the client application and the server application by the method shown in “Client / Server System” disclosed in Japanese Patent Laid-Open No. 2000-101640. The application may not be affected. When connecting to the server 200 from the PC terminal 100, the user logs in to the gateway machine 300 once and connects to the target server through the gateway machine 300. The login to the gateway machine 300 uses normal user identification information (user name / password, fingerprint, certificate stored in an IC card, etc.).

ゲートウェイマシン300は、PC端末100からのログイン要求を受付け、更に、ログイン中のPC端末100からいずれかのサーバ200(リソース)又はいずれかの業務アプリケーション(リソース)に対するアクセス要求があった場合に、アクセス要求に対する許否判断を行う。
ゲートウェイマシン300は、アクセス制御装置の例である。
ゲートウェイマシン300は、図1に示すように、受信部301、ユーザ認証部302、アプリケーションアクセス制御部303、送信部304、組織別情報管理部305、通信管理テーブル管理部306、アクセス制御テーブル管理部307から構成される。
The gateway machine 300 receives a login request from the PC terminal 100, and further, when there is an access request for any server 200 (resource) or any business application (resource) from the logged-in PC terminal 100, Judgment of permission / inhibition for access request
The gateway machine 300 is an example of an access control device.
As shown in FIG. 1, the gateway machine 300 includes a reception unit 301, a user authentication unit 302, an application access control unit 303, a transmission unit 304, an organization-specific information management unit 305, a communication management table management unit 306, and an access control table management unit. 307.

ゲートウェイマシン300において、受信部301は、ログイン要求、アクセス要求などのPC端末100からのデータ、またサーバ200からPC端末へのデータ等を受信する。
ユーザ認証部302は、PC端末100からログイン要求があった場合に、PC端末100を利用するユーザの認証を行う。なお、ICカードリーダ110、指紋認証装置120による認証のみ行い、ユーザID・パスワード認証を行わない場合は、ユーザ認証部302はなくてもよい。
In gateway machine 300, receiving section 301 receives data from PC terminal 100 such as a login request and an access request, data from server 200 to the PC terminal, and the like.
The user authentication unit 302 authenticates a user who uses the PC terminal 100 when there is a login request from the PC terminal 100. Note that when only the authentication by the IC card reader 110 and the fingerprint authentication device 120 is performed and the user ID / password authentication is not performed, the user authentication unit 302 may be omitted.

アプリケーションアクセス制御部303は、ログイン中のPC端末100からいずれかのリソースに対するアクセス要求があった場合に、要求されたリソースへのアクセスを許可するか否かを判定する。アプリケーションアクセス制御部303は、後述する通信管理テーブル及びアクセス制御テーブルを用いてアクセス制御を行う。なお、アプリケーションアクセス制御部303は、アクセス許否判断部の例である。
送信部304は、アクセスを許可したPC端末100からのデータをサーバ200に送信し、また、サーバ200からのデータをPC端末100に送信する。
組織別情報管理部305は、PC端末100を利用するユーザが所属する組織情報を管理する。
通信管理テーブル管理部306は、通信管理テーブルを管理する。通信管理テーブルは、ログインしているPC端末100と当該PC端末100を利用しているユーザ等を示すテーブルである。通信管理テーブル管理部306は、例えば、図2に示すような通信管理テーブルを管理する。通信管理テーブルでは、ゲートウェイマシン300に接続しているPC端末(クライアント)の情報に加え、ユーザ情報を持つ。
アクセス制御テーブル管理部307は、アクセス制御テーブルを管理する。アクセス制御テーブルは、それぞれが二以上のユーザから構成される複数のユーザグループとそれぞれのユーザグループにアクセスが許可されるリソース(アクセス許可リソース)等を示すテーブルである。アクセス制御テーブル管理部307は、例えば、図3に示すようなアクセス制御テーブルを管理する。アクセス制御テーブルでは、許可のためにどのようなユーザの接続が必要かという条件(許可のタイプ)と必要なユーザが揃うとアクセスできるリソースの情報(接続許可サーバ)を持つ。なお、アクセス制御に関する情報が、ユーザが所属する組織情報と関連するような場合は、LDAP(Lightweight Directory Access Protocol)を用いて管理しても良い。
When there is an access request for any resource from the logged-in PC terminal 100, the application access control unit 303 determines whether to permit access to the requested resource. The application access control unit 303 performs access control using a communication management table and an access control table described later. The application access control unit 303 is an example of an access permission / rejection determination unit.
The transmission unit 304 transmits data from the PC terminal 100 permitted to access to the server 200, and transmits data from the server 200 to the PC terminal 100.
The organization-specific information management unit 305 manages organization information to which a user who uses the PC terminal 100 belongs.
The communication management table management unit 306 manages the communication management table. The communication management table is a table indicating the logged-in PC terminal 100 and the user who uses the PC terminal 100. The communication management table management unit 306 manages a communication management table as shown in FIG. The communication management table has user information in addition to information on the PC terminal (client) connected to the gateway machine 300.
The access control table management unit 307 manages the access control table. The access control table is a table showing a plurality of user groups each composed of two or more users and resources (access permission resources) to which access is permitted for each user group. The access control table management unit 307 manages an access control table as shown in FIG. 3, for example. The access control table has a condition (permission type) as to what kind of user connection is required for permission, and resource information (connection permission server) that can be accessed when the necessary users are available. In addition, when the information regarding access control is related to the organization information to which the user belongs, it may be managed using the LDAP (Lightweight Directory Access Protocol).

通信管理テーブル管理部306、アクセス制御テーブル管理部307は、例えば、磁気ディスク装置や半導体メモリ等により実現され、通信管理テーブル、アクセス制御テーブルはこれら磁気ディスク装置や半導体メモリ等に記憶されている。   The communication management table management unit 306 and the access control table management unit 307 are realized by, for example, a magnetic disk device or a semiconductor memory, and the communication management table and the access control table are stored in the magnetic disk device or the semiconductor memory.

ここで、アプリケーションアクセス制御部303によるアクセス制御動作の概要を説明する。
図3のアクセス制御テーブルにおいて、グループID:1のグループに属するユーザは、userAとuserBであり、「許可のタイプ」の欄に示すように全所属ユーザuserA、userBが接続(ログイン)している場合に、server−aに対するアクセスが可能となる。そして、userAとuserBの両者がPC端末100を用いてゲートウェイマシン300に接続している場合、図2のように、userAとuserBが通信管理テーブルに記述され、そして、userAとuserBの属するグループのグループID:1がそれぞれの「グループID」の欄に記述される。userA又はuserBからserver−aに対するアクセス要求があった場合、通信管理テーブルにおいてuserA又はuserBにはグループID:1が記述されており、アクセス制御テーブルにおいてグループID:1のグループが接続できるサーバはserver−aなので、userA又はuserBはserver−aへの接続が可能となる。リソースへの接続を許可するかどうかは、この例のようにグループに所属する全ユーザが接続している場合以外でも、グループ中のあるユーザ数以上が接続している場合とすることも出来る。
また、図2及び図3では、アクセスが許可されるアクセス許可リソースは、接続許可サーバと、サーバ単位となっているが、業務アプリケーション単位としてもよい。
Here, an outline of an access control operation by the application access control unit 303 will be described.
In the access control table of FIG. 3, the users belonging to the group of group ID: 1 are userA and userB, and all the affiliated users userA and userB are connected (logged in) as shown in the “permission type” column. In this case, access to server-a becomes possible. When both user A and user B are connected to the gateway machine 300 using the PC terminal 100, as shown in FIG. 2, user A and user B are described in the communication management table, and the groups to which user A and user B belong Group ID: 1 is described in each “Group ID” column. When there is an access request for server-a from userA or userB, group ID: 1 is described in userA or userB in the communication management table, and the server to which the group with group ID: 1 can be connected in the access control table is server. Since -a, user A or user B can connect to server-a. Whether to allow connection to the resource can be determined not only when all users belonging to the group are connected as in this example, but also when more than a certain number of users in the group are connected.
In FIG. 2 and FIG. 3, the access permission resource to which access is permitted is a connection permission server and a server unit, but may be a business application unit.

図10は、実施の形態1におけるゲートウェイマシン300のハードウェア構成例を示す図である。
図10において、ゲートウェイマシン300は、プログラムを実行するCPU(Central Processing Unit)137を備えている。CPU137は、バス138を介してROM(Read Only Memory)139、RAM(Random Access Memory)140、通信ボード144、CRT(Cathode Ray Tube)表示装置141、K/B142、マウス143、FDD(Flexible Disk Drive)145、磁気ディスク装置146、コンパクトディスク装置(CDD)186、プリンタ装置187、スキャナ装置188と接続されていてもよい。
FIG. 10 is a diagram illustrating a hardware configuration example of the gateway machine 300 according to the first embodiment.
In FIG. 10, the gateway machine 300 includes a CPU (Central Processing Unit) 137 that executes a program. The CPU 137 is connected via a bus 138 to a ROM (Read Only Memory) 139, a RAM (Random Access Memory) 140, a communication board 144, a CRT (Cathode Ray Tube) display device 141, a K / B 142, a mouse 143, and an FDD (FlexibleDrivableD). 145, a magnetic disk device 146, a compact disk device (CDD) 186, a printer device 187, and a scanner device 188.

RAMは、揮発性メモリの一例である。ROM、FDD、CDD、磁気ディスク装置、光ディスク装置は、不揮発性メモリの一例である。
通信ボード144は、FAX機、電話器、LAN等に接続されていてもよい。
また、通信ボード144は、図1に示すように、所定の通信回線を通じてPC端末100、サーバ200に接続されており、図1に示す受信部301及び送信部304の一部を構成する。
The RAM is an example of a volatile memory. ROM, FDD, CDD, magnetic disk device, and optical disk device are examples of nonvolatile memory.
The communication board 144 may be connected to a FAX machine, telephone, LAN, or the like.
Further, as shown in FIG. 1, the communication board 144 is connected to the PC terminal 100 and the server 200 through a predetermined communication line, and constitutes a part of the reception unit 301 and the transmission unit 304 shown in FIG.

磁気ディスク装置146には、オペレーティングシステム(OS)147、ウィンドウシステム148、プログラム群149、ファイル群150が記憶されている。プログラム群は、CPU137、OS147、ウィンドウシステム148により実行される。   The magnetic disk device 146 stores an operating system (OS) 147, a window system 148, a program group 149, and a file group 150. The program group is executed by the CPU 137, the OS 147, and the window system 148.

上記プログラム群149には、本実施の形態及び以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPUにより読み出され実行される。   The program group 149 stores a program for executing a function described as “unit” in the present embodiment and the following description of the embodiment. The program is read and executed by the CPU.

ファイル群150には、例えば、通信管理テーブル、アクセス制御テーブルが含まれる。また、本実施の形態及び以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明するものが、「〜ファイル」として記憶されている。   The file group 150 includes, for example, a communication management table and an access control table. In addition, in the present embodiment and the description of the embodiment described below, what is described as “determination result of”, “calculation result of”, and “processing result of” is stored as “to file”. ing.

また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、磁気ディスク装置、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。   In addition, an arrow portion of the flowchart described in the description of the embodiment described below mainly indicates input / output of data, and for the input / output of the data, data includes a magnetic disk device, an FD (Flexible Disk), an optical disk, It is recorded on other recording media such as CD (compact disc), MD (mini disc), DVD (Digital Versatile Disk). Alternatively, it is transmitted through a signal line or other transmission medium.

また、以下に述べる実施の形態の説明において「〜部」として説明するものは、ROM139に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。   In addition, what is described as “˜unit” in the description of the embodiment described below may be realized by firmware stored in the ROM 139. Alternatively, it may be implemented by software alone, hardware alone, a combination of software and hardware, or a combination of firmware.

また、以下に述べる実施の形態を実施するプログラムは、また、磁気ディスク装置、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体による記録装置を用いて記憶されても構わない。   In addition, programs for carrying out the embodiments described below also include other magnetic disk devices, FD (Flexible Disk), optical disc, CD (compact disc), MD (mini disc), DVD (Digital Versatile Disc), and the like. You may memorize | store using the recording device by a recording medium.

次に、図4及び図5のフローチャートを参照して本実施の形態に係るゲートウェイマシン300の動作例を説明する。
図4は、ユーザがPC端末100を用いてゲートウェイマシン300にログインする際の動作を示し、図5は、ユーザが特定のリソースへのアクセスをゲートウェイマシン300に要求する際の動作を示す。
Next, an operation example of the gateway machine 300 according to the present embodiment will be described with reference to the flowcharts of FIGS. 4 and 5.
FIG. 4 shows an operation when the user logs in to the gateway machine 300 using the PC terminal 100, and FIG. 5 shows an operation when the user requests the gateway machine 300 to access a specific resource.

先ず、図4を用いてログイン時の動作を説明する。
最初に、ゲートウェイマシン300の受信部301が、PC端末100からのログイン要求を受信し(S401)、必要であれば、ユーザ認証部302がPC端末100のユーザのユーザ認証を行う(S402)。ユーザ認証時に、ゲートウェイマシン300に送られた認証情報は、通信管理テーブルのユーザ情報欄に格納される。なお、ICカードリーダ110、指紋認証装置120による認証のみ行い、ユーザID・パスワード認証を行わない場合は、この処理を省略してもよい。
ユーザ認証にて認証されなかった場合(S403でNo)は、PC端末100に対して送信部304からエラー情報を送信する。認証された場合(S403でYes)は、アプリケーションアクセス制御部303がアクセス制御テーブル管理部307と通信し、アクセス制御テーブルを参照して当該PC端末100のユーザが該当するレコードを抽出する(S404)。
例えば、ログイン要求がユーザAのPC端末100aから送信されている場合、アクセス制御テーブルのuserAが含まれるレコード(グループID:1のレコードと、グループID:3のレコード)が抽出される。
次に、アプリケーションアクセス制御部303が通信管理テーブル管理部306と通信し、通信管理テーブルを参照し、他のユーザのログイン状況を分析し、必要な他のユーザがログインしているか否かを判断する(S405)。例えば、グループID:1のグループは、全ユーザのログインが必要であり、他のユーザであるユーザBがPC端末100bを用いてログインしているかどうかを判断する。同様に、グループID:3のグループに対しても他のユーザのログイン状況を判断する。
必要なユーザがログインしていない場合(S406でNoの場合)は、通信管理テーブルのグループID欄に、グループID:0を書き込む(S408)。
一方、必要なユーザがログインしている場合(S406でYesの場合)は、そのグループIDを通信管理テーブルに書き込む(S407)。たとえば、図3に示すように、グループID:1がuserAとuserBで構成される場合、userAとuserBが接続していると、通信管理テーブルのグループID欄に、1を書き込む。セッションIDは、特開2000−101640号公報に開示の「クライアント/サーバシステム」と同様に、端末とゲートウェイマシン300間の通信メッセージに付加される。この際、同じユーザグループに属する他のユーザのグループIDが0である場合は、この他のユーザに対しても通信管理テーブルにグループIDを書き込む。例えば、グループID:1がuserAとuserBで構成される場合、最初にuserBが単独でログイン要求を送信していた場合、その時点では、userAはログインしていないので、userBに対してグループID:0が書き込まれるが、その後userAがログイン要求を送信すると、userAとuserBの両者がログインした状態になるので、通信管理テーブルのuserBのレコードについてもグループID:1を設定する。
First, the operation at the time of login will be described with reference to FIG.
First, the reception unit 301 of the gateway machine 300 receives a login request from the PC terminal 100 (S401), and if necessary, the user authentication unit 302 performs user authentication of the user of the PC terminal 100 (S402). The authentication information sent to the gateway machine 300 at the time of user authentication is stored in the user information column of the communication management table. Note that this processing may be omitted when only the authentication by the IC card reader 110 and the fingerprint authentication device 120 is performed and the user ID / password authentication is not performed.
If the user authentication is not successful (No in S403), error information is transmitted from the transmission unit 304 to the PC terminal 100. If authenticated (Yes in S403), the application access control unit 303 communicates with the access control table management unit 307, and refers to the access control table to extract a record corresponding to the user of the PC terminal 100 (S404). .
For example, when the login request is transmitted from the PC terminal 100a of the user A, records including the user A of the access control table (a record of group ID: 1 and a record of group ID: 3) are extracted.
Next, the application access control unit 303 communicates with the communication management table management unit 306, refers to the communication management table, analyzes the login status of other users, and determines whether other necessary users are logged in. (S405). For example, the group with the group ID: 1 needs to be logged in by all users, and determines whether the user B who is another user is logged in using the PC terminal 100b. Similarly, the log-in status of other users is also determined for the group with group ID: 3.
If the necessary user is not logged in (No in S406), the group ID: 0 is written in the group ID column of the communication management table (S408).
On the other hand, when a necessary user is logged in (Yes in S406), the group ID is written in the communication management table (S407). For example, as shown in FIG. 3, when group ID: 1 is composed of userA and userB, if userA and userB are connected, 1 is written in the group ID column of the communication management table. The session ID is added to a communication message between the terminal and the gateway machine 300 as in the “client / server system” disclosed in Japanese Patent Laid-Open No. 2000-101640. At this time, if the group ID of another user belonging to the same user group is 0, the group ID is written in the communication management table for the other user. For example, when the group ID: 1 is composed of userA and userB, when userB first transmits a login request alone, since userA is not logged in at that time, the group ID: 0 is written, but when user A transmits a login request thereafter, both user A and user B are logged in, so group ID: 1 is also set for the record of user B in the communication management table.

次に、図5を用いてPC端末100から特定のリソースに対するアクセス要求があった際の動作を説明する。
最初に、ゲートウェイマシン300の受信部301が、PC端末100からのアクセス要求を受信する(S501)(受信ステップ)。
次に、アプリケーションアクセス制御部303が通信管理テーブル管理部306と通信し、アクセス要求にあるセッションIDを元に、通信管理テーブルを参照し、該当するレコードのグループIDの欄に書かれている値(グループID)を読み込む(S502)(アクセス許否判断ステップ)。
読み込んだグループIDの値が0である場合(S503でYesの場合)は、他の必要なユーザがログインしていない状態なので、要求のあったリソースへのアクセスを禁止し(S507)(アクセス許否判断ステップ)、アクセス要求はサーバ200へは送られない。
一方、グループIDが0でない場合(S503でNoの場合)は、他の必要なユーザがログインしている状態なので、アプリケーションアクセス制御部303がアクセス制御テーブル管理部307と通信し、グループIDの番号から、アクセス制御テーブルを参照し、PC端末100がアクセスしようとした要求リソースとアクセス制御テーブルの「接続許可サーバ」の欄に記載されているアクセス許可リソースが一致するか否かを判断する(S504)(アクセス許否判断ステップ)。
要求リソースとアクセス許可リソースが一致する場合(S505でYesの場合)は、要求のあったリソースへのアクセスを許可し、PC端末100からのアクセス要求を対象となるサーバ200へ渡す(S506)(アクセス許否判断ステップ)。また、同じ通信路上でサーバ200からデータが送られてきた場合も、PC端末100側へデータを渡す。
一方、要求リソースとアクセス許可リソースが一致しない場合(S505でNoの場合)は、要求のあったリソースへのアクセスを禁止し(S507)(アクセス許否判断ステップ)、アクセス要求はサーバ200へは送られない。
Next, the operation when there is an access request for a specific resource from the PC terminal 100 will be described with reference to FIG.
First, the receiving unit 301 of the gateway machine 300 receives an access request from the PC terminal 100 (S501) (receiving step).
Next, the application access control unit 303 communicates with the communication management table management unit 306, refers to the communication management table based on the session ID in the access request, and the value written in the group ID column of the corresponding record (Group ID) is read (S502) (access permission determination step).
If the value of the read group ID is 0 (Yes in S503), no other necessary users are logged in, so access to the requested resource is prohibited (S507) (access permission / denial) (Decision step), the access request is not sent to the server 200.
On the other hand, if the group ID is not 0 (No in S503), it means that other necessary users are logged in, so the application access control unit 303 communicates with the access control table management unit 307, and the group ID number From the access control table, it is determined whether or not the requested resource that the PC terminal 100 tried to access matches the access permission resource described in the “connection permission server” column of the access control table (S504). (Access permission judgment step).
If the requested resource matches the access permission resource (Yes in S505), access to the requested resource is permitted and the access request from the PC terminal 100 is passed to the target server 200 (S506) ( Access permission judgment step). Also, when data is sent from the server 200 on the same communication path, the data is transferred to the PC terminal 100 side.
On the other hand, if the requested resource does not match the access-permitted resource (No in S505), access to the requested resource is prohibited (S507) (access permission determination step), and the access request is sent to the server 200. I can't.

以上により、アクセス制御テーブルの所属ユーザIDに合致する複数のユーザが接続している時のみ、端末とサーバ間の通信が可能となり、認証に必要となる物(ICカード、パスワード、指、クライアントPC)が1セットだけ持ち出されて、不正にアクセスしようとしても、2人同時ログインが必要となるリソースにはアクセスできない。   As described above, communication between the terminal and the server is possible only when a plurality of users matching the user IDs belonging to the access control table are connected, and the items required for authentication (IC card, password, finger, client PC) ) Is taken out and even if it tries to gain unauthorized access, it cannot access resources that require simultaneous login by two people.

なお、以上の図4及び図5の説明では、PC端末100のログイン後に、PC端末100からアクセス要求が送信される場合を想定しているが、PC端末100からログイン要求とアクセス要求を同時に送信するようにしてもよい。この場合は、図4の処理の後、図5のS502以降の処理を続けて行うようにすればよい。   4 and 5, it is assumed that an access request is transmitted from the PC terminal 100 after the PC terminal 100 is logged in. However, the login request and the access request are simultaneously transmitted from the PC terminal 100. You may make it do. In this case, after the processing in FIG. 4, the processing after S502 in FIG. 5 may be performed continuously.

以上説明したように、本実施の形態に係るゲートウェイマシン300は、通信管理テーブルとアクセス制御テーブルを持ち、ゲートウェイマシン300に接続しているユーザを通信管理テーブルで管理し、アクセス制御テーブルに記述された組み合わせのユーザが接続している場合にユーザにサーバへの接続を許可するという特徴を持つ。   As described above, the gateway machine 300 according to the present embodiment has a communication management table and an access control table, manages users connected to the gateway machine 300 using the communication management table, and is described in the access control table. When a combination of users is connected, the user is permitted to connect to the server.

このように、本実施の形態によれば、ICカード、パスワード、生体情報などを用いた認証に加えてゲートウェイマシン300が、通信管理テーブルとアクセス制御テーブルとを用いてユーザグループに属する他のユーザのログイン状況を判断してアクセス要求に対するアクセス許否判断を行うため、アクセスを許可するための条件が加重されている。また、認証に必要となる物が不正に持ち出された場合にも、正当な他のユーザがログインしていないと不正アクセスを試みる者のアクセス要求は認められないため、セキュリティ強度を向上させることができる。また、新たな認証装置などのハードウェアを追加することなく既存のハードウェア資源でセキュリティ強度を向上させることができる。   As described above, according to the present embodiment, in addition to authentication using an IC card, a password, biometric information, and the like, the gateway machine 300 uses the communication management table and the access control table to other users belonging to the user group. In order to determine whether or not to permit access to the access request by determining the login status, the conditions for permitting access are weighted. In addition, even if an item required for authentication is taken out illegally, the access request of a person who attempts unauthorized access is not allowed unless another legitimate user is logged in. it can. In addition, the security strength can be improved with existing hardware resources without adding hardware such as a new authentication device.

実施の形態2.
本実施の形態では、実施の形態1に示したアクセス制御に加えて、ログインする2ユーザが同一エリア(同一の部屋、建物、地域など)にいるかどうか等をチェックして、アクセス制御を行う。
Embodiment 2. FIG.
In the present embodiment, in addition to the access control shown in the first embodiment, access control is performed by checking whether the two users who log in are in the same area (the same room, building, area, etc.).

全体のシステム構成例及びゲートウェイマシン300の内部構成例は、図1のものと同様である。   The overall system configuration example and the internal configuration example of the gateway machine 300 are the same as those in FIG.

本実施の形態に係るゲートウェイマシン300の動作例を図8を参照して説明する。
PC端末100が存在する位置を取得するため、位置情報(GPS(Global Positioning System)の位置情報、モデムから取得する電話番号、携帯電話のエリア情報、ネットワークのIPアドレスなど)をPC端末100側で取得する。
取得した位置情報は、ログイン要求と共にゲートウェイマシン300へ送信する。ゲートウェイマシン300では、実施の形態1で説明したように、ログイン要求の受信(S401)、ユーザ認証(S402、S403)、アクセス制御テーブルのレコードの取得(S404)、他のユーザのログイン有無の判断(S404、S405)を行う。これらは、図4に示した動作と同じなので詳細な説明を省略する。
次に、ログイン要求とともに送信されたPC端末100の位置情報に基づいてPC端末100の位置を判断する(S801)。
次に、ログイン要求を送信してきたPC端末100の位置が位置条件に合致するか否かを判断する(S802)。本実施の形態の通信管理テーブルでは、図6に示す様に、PC端末100から送られてきた位置情報が書込まれる。この例では、制御室や作業室といった場所の名前となっているが、端末から送られてくる位置情報の形式であれば、他の形式(座標、住所、IPアドレスなど)でもかまわない。一方、本実施の形態のアクセス制御テーブルでは、図7に示すように、「許可のタイプ」欄に、位置情報も合致した場合に、接続許可サーバへのアクセスが許されるように条件が設定されている。位置照合の組み合わせとしては、同一エリア内に居る、同一エリア内に居ない、各ユーザが指定のエリア内に居るなどがある。例えば、2人一組で作業を行う場合で、1人が制御室、もう1人が作業室に居るときのみサーバへのアクセスを許すように設定することが出来る。
このように、通信管理テーブルより同じユーザグループに属する他のユーザが利用しているPC端末100の位置を取得し、ログイン要求を送信してきたユーザのPC端末100の位置がアクセス制御テーブルに示されている位置条件に合致するかどうかを判断する。
この結果、位置条件に合致する場合は、対応するグループIDとログイン要求を送信してきたPC端末100の位置情報を通信管理テーブルに書き込む(S803)。
一方、S406及びS802においてNoであった場合は、グループID:0とログイン要求を送信してきたPC端末100の位置情報を通信管理テーブルに書き込む(S804)。
アクセス要求が送信されてきた場合の動作は、図5に示したものと同様である。
An operation example of the gateway machine 300 according to the present embodiment will be described with reference to FIG.
In order to acquire the position where the PC terminal 100 exists, the position information (GPS (Global Positioning System) position information, telephone number acquired from the modem, cell phone area information, network IP address, etc.) is received on the PC terminal 100 side. get.
The acquired position information is transmitted to the gateway machine 300 together with the login request. As described in the first embodiment, the gateway machine 300 receives a login request (S401), authenticates a user (S402, S403), acquires an access control table record (S404), and determines whether another user is logged in or not. (S404, S405) are performed. Since these are the same as the operations shown in FIG. 4, a detailed description thereof will be omitted.
Next, the position of the PC terminal 100 is determined based on the position information of the PC terminal 100 transmitted together with the login request (S801).
Next, it is determined whether or not the position of the PC terminal 100 that has transmitted the login request matches the position condition (S802). In the communication management table of the present embodiment, the position information sent from the PC terminal 100 is written as shown in FIG. In this example, the names of places such as a control room and a work room are used, but any other format (coordinates, address, IP address, etc.) may be used as long as the location information is sent from the terminal. On the other hand, in the access control table of the present embodiment, as shown in FIG. 7, conditions are set so that access to the connection permission server is permitted when the position information also matches in the “permission type” column. ing. The combination of position verification includes being in the same area, not being in the same area, and being in each designated area. For example, when working with a set of two people, it can be set to allow access to the server only when one person is in the control room and the other person is in the work room.
As described above, the position of the PC terminal 100 used by another user belonging to the same user group is acquired from the communication management table, and the position of the PC terminal 100 of the user who transmitted the login request is indicated in the access control table. It is determined whether or not the current position condition is met.
As a result, if the position condition is met, the corresponding group ID and the position information of the PC terminal 100 that has transmitted the login request are written into the communication management table (S803).
On the other hand, if No in S406 and S802, the group ID: 0 and the location information of the PC terminal 100 that has transmitted the login request are written in the communication management table (S804).
The operation when an access request is transmitted is the same as that shown in FIG.

また、上記の説明と異なり、ログイン要求受信時に位置条件が合致するか否かの判断(S802)を行わずに、アクセス要求受信時に位置条件が合致するか否かの判断を行うようにしてもよい。
この場合は、図8においてS801とS802の判断を省略し、一方で、図5のS503とS504の間で、通信管理テーブル(図6)に記述されている同じユーザグループに属する各ユーザの位置情報とアクセス管理テーブル(図7)の「許可タイプ」に記述されている位置条件とを比較して、S801とS802の判断を行うようにしてもよい。
Further, unlike the above description, it is possible to determine whether or not the position condition is met when receiving the access request without performing the determination of whether or not the position condition is met when receiving the login request (S802). Good.
In this case, the determination of S801 and S802 in FIG. 8 is omitted, while the position of each user belonging to the same user group described in the communication management table (FIG. 6) between S503 and S504 in FIG. The determination in S801 and S802 may be performed by comparing the information and the position condition described in the “permission type” of the access management table (FIG. 7).

このように、本実施の形態に係るゲートウェイマシン300は、通信管理テーブルで、ゲートウェイマシン300に接続しているユーザの位置情報を管理し、アクセス制御テーブルに記述された、ユーザの組み合わせ・位置にあるユーザに対し、サーバへの接続を許可するという特徴を持つ。   As described above, the gateway machine 300 according to the present embodiment manages the location information of the user connected to the gateway machine 300 using the communication management table, and the user combination / location described in the access control table. It has the feature of allowing a user to connect to the server.

以上により、正規ユーザがアクセスしている間に、不正ユーザが別の場所からアクセスしようとしても、ユーザの位置が、アクセス制御テーブルに設定された許可される位置と異なる場合、2人同時ログインが必要となるリソースにはアクセスできず、セキュリティを確保できる。また、新たな認証装置などのハードウェアを追加することなく既存のハードウェア資源でセキュリティ強度を向上させることができる。   As described above, even if an unauthorized user tries to access from another place while a regular user is accessing, if the user's position is different from the permitted position set in the access control table, two-person simultaneous login is performed. Necessary resources cannot be accessed and security can be ensured. In addition, the security strength can be improved with existing hardware resources without adding hardware such as a new authentication device.

実施の形態3.
本実施の形態では、実施の形態2のアクセス制御に加え、ユーザがサーバへ接続する際の、識別情報を、複数ユーザで分割共有する。
たとえば、サーバへアクセスする際に必要となるクライアント認証書を半分に分割し、2ユーザで分割された認証書(部分認証情報)をそれぞれ持ち、同時にその2ユーザがゲートウェイマシン300へログインし、PC端末100から半分の認証書をゲートウェイマシン300へ送り、ゲートウェイマシン300が元の認証書へ復元し、ゲートウェイマシン300から目的のサーバへ認証書を使用して接続する。PC端末100からはゲートウェイマシン300を経由して、目的のサーバへ接続する。一方、ゲートウェイマシン300において分割された認証書から元の認証書が復元できない場合は、ゲートウェイマシン300においてサーバ200へのアクセスが拒否される。
Embodiment 3 FIG.
In the present embodiment, in addition to the access control of the second embodiment, the identification information when the user connects to the server is divided and shared by a plurality of users.
For example, the client certificate necessary for accessing the server is divided in half and each has a certificate (partial authentication information) divided by two users. At the same time, the two users log in to the gateway machine 300 and PC A half certificate is sent from the terminal 100 to the gateway machine 300, the gateway machine 300 restores the original certificate, and the gateway machine 300 connects to the target server using the certificate. The PC terminal 100 connects to the target server via the gateway machine 300. On the other hand, when the original certificate cannot be restored from the certificate divided by the gateway machine 300, the gateway machine 300 is denied access to the server 200.

このように、本実施の形態に係るゲートウェイマシン300は、サーバへの接続に必要となる認証情報を分割し、ゲートウェイマシン300で通信管理テーブルとアクセス制御テーブルを使った認証後に、すべての認証情報がそろうとサーバに対し、復元した認証情報を送り、サーバで認証できるようにすることを特徴とする。つまり、本実施の形態に係るゲートウェイマシン300は、ログイン要求を行ったユーザからの分割された認証情報(部分認証情報)とログイン要求を行ったユーザのユーザグループに属する他のユーザからの分割された認証情報(部分認証情報)とから元の認証情報が復元可能であるか否かに基づいて、アクセス要求に対する許否判断を行うことを特徴とする。   As described above, the gateway machine 300 according to the present embodiment divides authentication information necessary for connection to the server, and all authentication information is obtained after authentication using the communication management table and the access control table in the gateway machine 300. It is characterized by sending the restored authentication information to the server so that it can be authenticated by the server. That is, the gateway machine 300 according to the present embodiment is divided from the divided authentication information (partial authentication information) from the user who made the login request and the other users belonging to the user group of the user who made the login request. Based on whether or not the original authentication information can be restored from the authentication information (partial authentication information), whether to permit or reject the access request is determined.

以上のように、本実施の形態によれば、認証書を分割することにより、分割後の認証書が一定数以上盗まれないと、不正なアクセスは出来ない。そのため、認証書の盗難に対して、分割しない認証書を使うよりも安全性が高い。   As described above, according to the present embodiment, by dividing a certificate, unauthorized access cannot be made unless a certain number or more of the divided certificates are stolen. Therefore, it is safer than using a certificate that is not divided against theft of the certificate.

実施の形態4.
上記実施の形態2では、ユーザがいる位置を取得するために、PC端末100に接続または内蔵された位置取得手段を用いて位置を取得していたが、本実施の形態では、入退室管理装置のように、PC端末100とは直接接続されていない位置取得手段を用いる。
図9が本実施の形態のシステム構成例を示す図である。
図9において、入退出管理システム500では、部屋の入り口などに設置された指紋照合装置や非接触ICカードリーダにて、認証された人物のみが部屋に入ることが出来るようになっている。また、入退出管理コントローラ(入退室管理装置)600は、指紋照合装置や非接触ICカードリーダに接続されており、入退出管理コントローラ600により入退室を行った人物のID、時刻などの入退出ログ情報を収集する。
ゲートウェイマシン300では、入退出管理コントローラ600に接続されており、入退出管理コントローラ600から入退出ログ情報を取得する。この入退出ログ情報には、ユーザの位置を示す位置情報が含まれている。
ユーザがPC端末100からゲートウェイマシン300にログイン要求を送信してきたときは、入退出ログ情報を用いてユーザが現在存在する位置を求め、通信管理テーブルに記述する。その他の動作は実施の形態2と同様である。
Embodiment 4 FIG.
In the second embodiment, the position is acquired using the position acquisition means connected to or built in the PC terminal 100 in order to acquire the position where the user is. However, in this embodiment, the entrance / exit management device As described above, position acquisition means that is not directly connected to the PC terminal 100 is used.
FIG. 9 is a diagram showing a system configuration example of the present embodiment.
In FIG. 9, in the entrance / exit management system 500, only a person who has been authenticated by a fingerprint collation device or a non-contact IC card reader installed at the entrance of the room can enter the room. The entrance / exit management controller (entrance / exit management device) 600 is connected to a fingerprint collation device and a non-contact IC card reader, and the entrance / exit of the ID and time of the person who entered / exited by the entrance / exit management controller 600 is shown. Collect log information.
The gateway machine 300 is connected to the entry / exit management controller 600 and acquires entry / exit log information from the entry / exit management controller 600. The entry / exit log information includes position information indicating the position of the user.
When the user transmits a login request from the PC terminal 100 to the gateway machine 300, the position where the user currently exists is obtained using the entry / exit log information and described in the communication management table. Other operations are the same as those in the second embodiment.

このように、本実施の形態に係るゲートウェイマシン300は、入退出管理コントローラ600に接続されており、入退出管理コントローラ600から入退出ログ情報を取得し、取得した入退出ログ情報を用いて通信管理テーブルでユーザの位置情報を管理するという特徴を持つ。   Thus, gateway machine 300 according to the present embodiment is connected to entry / exit management controller 600, acquires entry / exit log information from entry / exit management controller 600, and communicates using the acquired entry / exit log information. The management table manages the user location information.

以上により、実施の形態2の効果に加え、入退出管理システムから入退出ログを取得することにより、PC端末を利用するユーザの位置情報を利用して、複数ユーザが同時ログインした場合に利用できるようなアクセス制御を行うことが出来る。   As described above, in addition to the effects of the second embodiment, by acquiring the entry / exit log from the entry / exit management system, it is possible to use when a plurality of users log in simultaneously using the location information of the user who uses the PC terminal. Such access control can be performed.

実施の形態1〜3に係るゲートウェイマシンを含む全体システムの構成例を示す図。The figure which shows the structural example of the whole system containing the gateway machine which concerns on Embodiment 1-3. 実施の形態1に係る通信管理テーブルの例を示す図。FIG. 3 is a diagram showing an example of a communication management table according to the first embodiment. 実施の形態1に係るアクセス制御テーブルの例を示す図。FIG. 4 is a diagram showing an example of an access control table according to the first embodiment. 実施の形態1に係るゲートウェイマシンの動作例を示すフローチャート図。FIG. 4 is a flowchart showing an operation example of the gateway machine according to the first embodiment. 実施の形態1に係るゲートウェイマシンの動作例を示すフローチャート図。FIG. 4 is a flowchart showing an operation example of the gateway machine according to the first embodiment. 実施の形態2に係る通信管理テーブルの例を示す図。FIG. 10 is a diagram illustrating an example of a communication management table according to the second embodiment. 実施の形態2に係るアクセス制御テーブルの例を示す図。FIG. 10 is a diagram illustrating an example of an access control table according to the second embodiment. 実施の形態2に係るゲートウェイマシンの動作例を示すフローチャート図。FIG. 9 is a flowchart showing an operation example of the gateway machine according to the second embodiment. 実施の形態4に係るゲートウェイマシンを含む全体システムの構成例を示す図。The figure which shows the structural example of the whole system containing the gateway machine which concerns on Embodiment 4. FIG. 実施の形態1〜4に係るゲートウェイマシンのハードウェア構成例を示す図。The figure which shows the hardware structural example of the gateway machine which concerns on Embodiment 1-4.

符号の説明Explanation of symbols

100 PC端末、110 ICカードリーダ、120 指紋認証装置、200 サーバ、201 業務アプリケーション、202 業務アプリケーション、203 業務アプリケーション、300 ゲートウェイマシン、301 受信部、302 ユーザ認証部、303 アプリケーションアクセス制御部、304 送信部、305 組織別情報管理部、306 通信管理テーブル管理部、307 アクセス制御テーブル管理部、400 モデム。   100 PC terminal, 110 IC card reader, 120 fingerprint authentication device, 200 server, 201 business application, 202 business application, 203 business application, 300 gateway machine, 301 reception unit, 302 user authentication unit, 303 application access control unit, 304 transmission Section, 305 organization-specific information management section, 306 communication management table management section, 307 access control table management section, 400 modem.

Claims (9)

ユーザが利用するユーザ端末からのログインを受け付けるとともに、アクセスを要求されたリソースへのユーザ端末のアクセスの許否判断を行うアクセス制御装置であって、
それぞれが二以上のユーザから構成される複数のユーザグループとそれぞれのユーザグループにアクセスが許可されるアクセス許可リソースを示すアクセス制御テーブルを管理するアクセス制御テーブル管理部と、
ログインしているユーザ端末と当該ユーザ端末を利用しているユーザとを示す通信管理テーブルを管理する通信管理テーブル管理部と、
いずれかのユーザ端末から特定のリソースに対するアクセス要求を受信する受信部と、
前記アクセス制御テーブルと前記通信管理テーブルとを用いて、前記アクセス要求の要求元である要求元ユーザのユーザグループのアクセス許可リソースと前記アクセス要求で要求された前記特定のリソースとが一致するか否かを判断するとともに、前記要求元ユーザのユーザグループに属する他のユーザからのログイン状況を判断し、前記要求元ユーザのユーザグループに属する少なくとも一部の他のユーザからのログインがある場合に、前記アクセス要求に対して前記特定のリソースへのアクセスを許可するアクセス許否判断部とを有することを特徴とするアクセス制御装置。
An access control device that accepts login from a user terminal used by a user and determines whether the user terminal is permitted to access a resource requested to be accessed,
An access control table management unit that manages an access control table indicating a plurality of user groups each composed of two or more users and access permission resources to which each user group is permitted to access;
A communication management table management unit for managing a communication management table indicating a logged-in user terminal and a user using the user terminal;
A receiving unit that receives an access request for a specific resource from any user terminal;
Whether the access permission resource of the user group of the request source user who is the request source of the access request matches the specific resource requested by the access request using the access control table and the communication management table And determining login status from other users belonging to the user group of the request source user, and when there is login from at least some other users belonging to the user group of the request source user, An access control apparatus comprising: an access permission / rejection determination unit that permits access to the specific resource in response to the access request .
前記アクセス許否判断部は、
前記要求元ユーザのユーザグループに属する全ての他のユーザからのログインがある場合に、前記アクセス要求に対して前記特定のリソースへのアクセスを許可することを特徴とする請求項1に記載のアクセス制御装置。
The access permission determination unit
The access according to claim 1, wherein access to the specific resource is permitted in response to the access request when there is a login from all other users belonging to the user group of the requesting user. Control device.
前記通信管理テーブル管理部は、
ログインしているユーザ端末と当該ユーザ端末を利用しているユーザの位置とを示す通信管理テーブルを管理し、
前記アクセス許否判断部は、
前記要求元ユーザの位置と前記要求元ユーザのユーザグループに属する他のユーザの位置に基づいて、前記アクセス要求に対する許否判断を行うことを特徴とする請求項1に記載のアクセス制御装置。
The communication management table management unit
Managing a communication management table indicating the logged-in user terminal and the position of the user using the user terminal;
The access permission determination unit
The access control apparatus according to claim 1, wherein permission / refusal for the access request is determined based on a position of the request source user and a position of another user belonging to the user group of the request source user.
前記アクセス制御テーブル管理部は、
ユーザグループごとに、それぞれのユーザグループに属するユーザの位置に関する条件が示されたアクセス制御テーブルを管理し、
前記アクセス許否判断部は、
前記通信管理テーブル管理部に示された前記要求元ユーザの位置と前記要求元ユーザのユーザグループに属する他のユーザの位置が、前記アクセス制御テーブルに示されたユーザの位置に関する条件に合致している場合に、前記アクセス要求に対して前記特定のリソースへのアクセスを許可することを特徴とする請求項に記載のアクセス制御装置。
The access control table management unit
For each user group, manage an access control table that shows the conditions related to the location of users belonging to each user group,
The access permission determination unit
The location of the request source user indicated in the communication management table management unit and the location of other users belonging to the user group of the request source user match the conditions regarding the location of the user indicated in the access control table. The access control apparatus according to claim 3 , wherein access to the specific resource is permitted in response to the access request.
前記受信部は、
ログインを要求するユーザのユーザ端末から、ログイン要求とともに、当該ユーザ端末の位置をユーザの位置として示す位置情報を受信し、
前記通信管理テーブル管理部は、
前記受信部が受信したユーザ端末からの位置情報を前記通信管理テーブルに登録することを特徴とする請求項に記載のアクセス制御装置。
The receiver is
From the user terminal of the user who requests login, together with the login request, position information indicating the position of the user terminal as the user position is received,
The communication management table management unit
The access control apparatus according to claim 3 , wherein position information from the user terminal received by the receiving unit is registered in the communication management table.
前記受信部は、
ログインを要求するユーザのユーザ端末から、ログイン要求とともに、特定の認証情報から分割された部分認証情報を受信し、
前記アクセス許否判断部は、
前記要求元ユーザからのログイン要求時に受信された部分認証情報と前記要求元ユーザのユーザグループに属する他のユーザからのログイン要求時に受信された部分認証情報とから特定の認証情報が復元可能であるか否かに基づいて、前記アクセス要求に対する許否判断を行うことを特徴とする請求項1に記載のアクセス制御装置。
The receiver is
Receive partial authentication information divided from specific authentication information along with the login request from the user terminal of the user requesting login,
The access permission determination unit
Specific authentication information can be restored from partial authentication information received at the time of a login request from the requesting user and partial authentication information received at the time of a login request from another user belonging to the user group of the requesting user. The access control apparatus according to claim 1, wherein whether or not the access request is permitted is determined based on whether or not the access request is received.
前記アクセス制御装置は、
ユーザの入退室管理を行う入退室管理装置に接続されており、
前記受信部は、
前記入退室管理装置から、それぞれのユーザの位置を示す位置情報を受信し、
前記通信管理テーブル管理部は、
前記受信部が受信した前記入退室管理装置からの位置情報を前記通信管理テーブルに登録することを特徴とする請求項に記載のアクセス制御装置。
The access control device
It is connected to an entry / exit management device that manages user entry / exit,
The receiver is
From the entrance / exit management device, receiving location information indicating the location of each user,
The communication management table management unit
The access control apparatus according to claim 3 , wherein the position information from the entry / exit management apparatus received by the reception unit is registered in the communication management table.
ユーザが利用するユーザ端末からのログインを受け付けるとともに、アクセスを要求されたリソースへのユーザ端末のアクセスの許否判断を行うアクセス制御方法であって、
いずれかのユーザ端末から特定のリソースに対するアクセス要求を受信する受信ステップと、
それぞれが二以上のユーザから構成される複数のユーザグループとそれぞれのユーザグループにアクセスが許可されるアクセス許可リソースを示すアクセス制御テーブルと、ログインしているユーザ端末と当該ユーザ端末を利用しているユーザとを示す通信管理テーブルとを用いて、前記アクセス要求の要求元である要求元ユーザのユーザグループのアクセス許可リソースと前記アクセス要求で要求された前記特定のリソースとが一致するか否かを判断するとともに、前記要求元ユーザのユーザグループに属する他のユーザからのログイン状況を判断し、前記要求元ユーザのユーザグループに属する少なくとも一部の他のユーザからのログインがある場合に、前記アクセス要求に対して前記特定のリソースへのアクセスを許可するアクセス許否判断ステップとを有することを特徴とするアクセス制御方法。
An access control method for accepting login from a user terminal used by a user and determining whether the user terminal is permitted to access a resource requested to be accessed,
A receiving step of receiving an access request for a specific resource from any user terminal;
A plurality of user groups each composed of two or more users, an access control table indicating access permission resources permitted to access each user group, a logged-in user terminal, and the user terminal are used Whether or not the access permission resource of the user group of the requesting user who is the request source of the access request matches the specific resource requested in the access request using a communication management table indicating the user And determining login status from other users belonging to the user group of the requesting user, and if there is login from at least some other users belonging to the user group of the requesting user, the access access allowed to allow access of the to a given resource for the request Access control method characterized by having a judgment step.
ユーザが利用するユーザ端末からのログインを受け付けるとともに、アクセスを要求されたリソースへのユーザ端末のアクセスの許否判断をコンピュータに実行させるプログラムであって、
いずれかのユーザ端末から特定のリソースに対するアクセス要求を受信する受信処理と、
それぞれが二以上のユーザから構成される複数のユーザグループとそれぞれのユーザグループにアクセスが許可されるアクセス許可リソースを示すアクセス制御テーブルと、ログインしているユーザ端末と当該ユーザ端末を利用しているユーザとを示す通信管理テーブルとを用いて、前記アクセス要求の要求元である要求元ユーザのユーザグループのアクセス許可リソースと前記アクセス要求で要求された前記特定のリソースとが一致するか否かを判断するとともに、前記要求元ユーザのユーザグループに属する他のユーザからのログイン状況を判断し、前記要求元ユーザのユーザグループに属する少なくとも一部の他のユーザからのログインがある場合に、前記アクセス要求に対して前記特定のリソースへのアクセスを許可するアクセス許否判断処理とをコンピュータに実行させることを特徴とするプログラム。
A program that accepts a login from a user terminal used by a user and causes a computer to execute permission / inhibition of access of the user terminal to a resource requested to be accessed,
A reception process for receiving an access request for a specific resource from any user terminal;
A plurality of user groups each composed of two or more users, an access control table indicating access permission resources permitted to access each user group, a logged-in user terminal, and the user terminal are used Whether or not the access permission resource of the user group of the requesting user who is the request source of the access request matches the specific resource requested in the access request using a communication management table indicating the user And determining login status from other users belonging to the user group of the requesting user, and if there is login from at least some other users belonging to the user group of the requesting user, the access access allowed to allow access of the to a given resource for the request A program characterized by executing the determination process on the computer.
JP2006017480A 2006-01-26 2006-01-26 Access control apparatus, access control method and program Expired - Fee Related JP4738183B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006017480A JP4738183B2 (en) 2006-01-26 2006-01-26 Access control apparatus, access control method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006017480A JP4738183B2 (en) 2006-01-26 2006-01-26 Access control apparatus, access control method and program

Publications (2)

Publication Number Publication Date
JP2007199995A JP2007199995A (en) 2007-08-09
JP4738183B2 true JP4738183B2 (en) 2011-08-03

Family

ID=38454555

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006017480A Expired - Fee Related JP4738183B2 (en) 2006-01-26 2006-01-26 Access control apparatus, access control method and program

Country Status (1)

Country Link
JP (1) JP4738183B2 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4979127B2 (en) * 2007-08-22 2012-07-18 株式会社日立ソリューションズ Account information leak prevention service system
JP4862852B2 (en) * 2008-03-26 2012-01-25 日本電気株式会社 File management system
FR2973620A1 (en) * 2011-03-31 2012-10-05 France Telecom METHOD OF MANAGING AN APPLICATION SESSION
JP5797060B2 (en) * 2011-08-24 2015-10-21 株式会社野村総合研究所 Access management method and access management apparatus
JP5769660B2 (en) * 2012-04-13 2015-08-26 三菱電機株式会社 Power system monitoring and control system
KR101448719B1 (en) * 2012-08-16 2014-10-08 네이버 주식회사 System, method and computer readable recording medium for providing a log in using one time password
JP6165458B2 (en) * 2013-02-13 2017-07-19 三菱重工業株式会社 Mutual authentication system, user terminal, mutual authentication method, and program
KR101561921B1 (en) 2014-05-20 2015-10-20 엘지전자 주식회사 A cleaner

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001175601A (en) * 1999-12-15 2001-06-29 Business Pooto Syst:Kk Guarantee system for uniqueness of access right
JP2001325232A (en) * 2000-03-08 2001-11-22 R & D Associates:Kk Data base system
JP2001331450A (en) * 2000-05-24 2001-11-30 Toppan Printing Co Ltd Authentication system and method therefor and service providing system and method therefor
JP4186550B2 (en) * 2002-08-12 2008-11-26 株式会社日立製作所 Access control system and access control method

Also Published As

Publication number Publication date
JP2007199995A (en) 2007-08-09

Similar Documents

Publication Publication Date Title
JP6426189B2 (en) System and method for biometric protocol standard
JP4738183B2 (en) Access control apparatus, access control method and program
US8800003B2 (en) Trusted device-specific authentication
KR101076911B1 (en) System and method for providing security to an application
US8209394B2 (en) Device-specific identity
JP5704518B2 (en) Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program
US11057372B1 (en) System and method for authenticating a user to provide a web service
US11477190B2 (en) Dynamic user ID
US7779248B2 (en) Moving principals across security boundaries without service interruption
US20020188842A1 (en) Client system validation by network address and associated geographic location verification
JP5125187B2 (en) Authentication processing program, information processing program, authentication processing device, authentication processing system, and information processing system
JP4302732B2 (en) Login authentication system for network cameras
US20080051061A1 (en) Authentication system and authentication method for performing authentication of wireless terminal
JP2007249912A (en) Shared resource management system, shared resource management method, and computer program
US11777942B2 (en) Transfer of trust between authentication devices
US9621349B2 (en) Apparatus, method and computer-readable medium for user authentication
CN102571874A (en) On-line audit method and device in distributed system
JP2012118833A (en) Access control method
JP2010097510A (en) Remote access management system and method
JP2005208993A (en) User authentication system
JP2003178029A (en) Authentication managing system and method, authentication server, session managing server and program
KR20050009945A (en) Method and system for managing virtual storage space using mobile storage
JP2006163715A (en) User authentication system
KR20060063590A (en) Method and system for integrated authentication using biometrics
KR102310912B1 (en) Biometric Identification System and its operating method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080610

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110407

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110426

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110426

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140513

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees