JP5623326B2 - クライアントサーバシステム - Google Patents
クライアントサーバシステム Download PDFInfo
- Publication number
- JP5623326B2 JP5623326B2 JP2011079654A JP2011079654A JP5623326B2 JP 5623326 B2 JP5623326 B2 JP 5623326B2 JP 2011079654 A JP2011079654 A JP 2011079654A JP 2011079654 A JP2011079654 A JP 2011079654A JP 5623326 B2 JP5623326 B2 JP 5623326B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- offline
- access control
- client machine
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
それらのアクセス制御ポリシーによって保護されるリソースは、ドキュメント、印刷機能、外部媒体へのデータ書き出し機能、およびメール送信機能など多岐にわたる。
そのようなシステムの中に、サーバと通信できない状況での運用も考慮され、オンラインログイン時にオフライン時のアクセス制御ポリシーも取得し、オフライン時に該ポリシーを反映させるというものも存在する。
特許文献1に開示された技術においては、ログイン時に1つのオフライン時のアクセス制御ポリシーを取得し、有効期限内で反映可能という方式を提案している。
また、特許文献2に開示された技術においては、オンラインログイン時に複数のアクセスポリシーを取得し、オフライン時にはトークンデバイスの中に選択するアクセス制御ポリシーの情報を登録し、当該クライアントマシンに接続することで、有効期限内で反映可能という方式を提案している。
また、上記特許文献2の技術は、トークンデバイスといった専用デバイスを用意しなければならないという問題点があった。また、該デバイスを紛失することにより、再度デバイスを用意するまで業務を遂行できなくなるという問題点があった。
専用デバイスを使用することなく、ワンタイムパスワードを利用することによってオフラインポリシーを切り替える場合も、セキュリティ管理者は変更後のセキュリティポリシーを知ることができないため、適切なセキュリティポリシーの運用ができないという問題点があった。
前記サーバは、
前記クライアントマシンを使用する各ユーザの認証情報に加えて、各ユーザのオンラインログイン時のアクセス制御ポリシーであるオンラインポリシーを保持し、さらにオフライン時のアクセス制御ポリシーである複数のオフラインポリシーを保持するアクセス制御ポリシー記憶手段と、
該アクセス制御ポリシー記憶手段に保持された複数のオフラインポリシーを前記クライアントマシンに導入するためのインストール媒体を作成するインストール媒体作成手段とを有し、
前記クライアントマシンは、
前記サーバへのオンライン時に前記アクセス制御ポリシー記憶手段に保持されたオンラインポリシーを取得し、該オンラインポリシーに従って当該クライアントマシンのリソースへのアクセス制御を実行する第1の手段と、
前記インストール媒体作成手段が作成したインストール媒体によって、前記クライアントマシンに前記複数のオフラインポリシーのいずれかを適用し、該オフラインポリシーに従ってオフライン時のリソース資源へのアクセス制御を実行する第2の手段とを有し、
前記第2の手段は、前記複数のオフラインポリシーのいずれかを適用するに際し、いずれかのオフラインポリシーに対応するセキュリティポリシー情報とユーザ情報を組み合わせたチャレンジコードを表示し、電話またはメール等の通信手段によってユーザからセキュリティ管理者に送信された当該チャレンジコードを受信した前記サーバが当該チャレンジコードに基づいて発行するワンタイムパスワードを、電話またはメール等の通信手段によってセキュリティ管理者から受信したユーザの入力によって受付けた後に、当該ワンタイムパスワードと、表示した前記チャレンジコードに基づいて生成したワンタイムパスワードとを照合することにより当該ワンタイムパスワードが正しいか否かを判断し、正しくなければオフラインポリシーは適用せず、リソースへのアクセス権限が全て制限された状態とし、ワンタイムパスワードが正しい場合には、適用対象のセキュリティポリシー情報と一致するオフラインポリシーを適用してオフライン時のアクセス制御を実行することを特徴とするクライアントサーバシステム。
また、複数のオフラインポリシーに関する情報を前記クライアントマシン上に保持し、前記チャレンジコードにより、前記複数のオフラインポリシーのうちいずれを適用するかを選択することを特徴とする。
認証サーバと通信できない状況で使用するクライアントマシンに対して、適度なアクセス制御ポリシーを適用することができる。また、認証サーバと通信できない状況にあるクライアントマシンに対して、専用デバイスを用意することなくアクセス制御ポリシーを変更することができるため、さまざまな状況に対応することが可能となる。
図1は、本発明の一実施の形態を示すシステム構成図である。
サーバ103は、アクセス制御ポリシーデータベース(DB)104を備え、ここに各ユーザ毎のオンラインポリシーが保存してある。
各クライアントマシン101のユーザは、通常はサーバ103とオンラインログインを行って、各種の作業を行う。その通信のたびに、サーバ103からオンラインポリシーを取得し、クライアントマシン101に保存する。
例えば図1では、クライアントマシン101からUser1がオンラインログインすると、サーバ103のアクセス制御ポリシーDB104内のUser1に対応するオンラインポリシー106が、ネットワーク102経由でクライアントマシン101にダウンロードされ、User1のオンラインポリシー105として保存される。
これにより、User1がオンラインログインしたときは、オンラインポリシーに応じてアクセス制御が実行される。
この例のオンラインポリシーにおいては、User1はリソースへのアクセス権限として、印刷可、メール送信可、外部媒体持ち出し不可、ネットワークフォルダアクセス可に設定されている。
一方、User2は印刷可、メール送信可、外部媒体持ち出し可、ネットワークフォルダアクセス可に設定され、外部媒体によるデータの持ち出し権限がUser1とでは異なるように定義されている。
サーバ103は、さまざまなオフラインポリシーのSet302を保持している。そしてクライアントマシン101へオフラインポリシーを導入するときに使用するインストール媒体303を作成し、クライアントマシン101にインストールすることで、サーバ103に保持されているさまざまなオフラインポリシーのSet302をクライアントマシン101上にも保持させる。
オフライン時にどのオフラインポリシー302を使用するかは、ユーザ情報および適用対象のオフラインポリシーに対応するセキュリティポリシー情報を付加したチャレンジコードをセキュリティ管理者に送信し、セキュリティ管理者の承認の下に発行されたワンタイムパスワードをユーザが入力することにより、選択する。ワンタイムパスワードが発行されていない場合には、全権限が制限される。
図4は、本発明で用いるオフラインポリシーセット302のデータ構成例である。
図4に示すように、オフラインポリシーの組合せが複数準備され、それらの組合せの一つ一つにセット番号Set1〜Set3・・が付されている。
あるユーザがクライアントマシン101から認証サーバ103にオンラインログインすると、まずステップ501で、認証サーバ103との間で認証処理を行う(ステップ502)。認証に失敗した場合は、ステップ503でエラー終了する。認証に成功した場合は、ステップ504で、認証サーバ103のアクセス制御ポリシーDB104から当該ユーザに対応するオンラインポリシーを取得する。その後、ステップ505でオンラインログイン処理を行なう。
オンラインログイン処理後のクライアントマシン101はステップ504で取得したオンラインポリシーに従ってリソースへのアクセス制御を行う。
まずステップ601で、変更後のオフラインポリシーを選択する。
すなわち、クライアントマシン101はオンライン時に認証サーバ103から取得したオフラインポリシーのSetを複数組保持しているが、クライアントマシン101のユーザがオフライン時に利用するオフラインポリシーのSetを例えばSet1からSet2へ変更したい場合、ステップ602で、ステップ601で選択されたオフラインポリシーに対応するセキュリティ情報(Set番号)とユーザ情報の組み合わせから、チャレンジコードを作成する。
セキュリティ管理者がオフラインポリシーの切り替えを承認する場合には、ステップ605で認証サーバ103はワンタイムパスワードを発行し、セキュリティ管理者は電話やメール等の通信手段を使用し、ワンタイムパスワードをユーザに送信する。セキュリティ管理者が承認しない場合には、クライアントマシン101はステップ610で全権限を制限する設定を適用する。
ステップ607で、クライアントマシン101はワンタイムパスワードが正しいか判別する。パスワードが不正な場合には、ステップ610で全権限を制限する設定を適用する。ワンタイムパスワードが正しい場合には、ステップ606でパスワードの有効期限が過ぎていないか判別する。ワンタイムパスワードの有効期限が過ぎている場合には、ステップ610で全権限を制限する設定を適用する。ワンタイムパスワードの有効期限が過ぎていない場合には、ステップ609でオフラインポリシーを適用する。
また、認証サーバ103と通信できない状況にあるクライアントマシン101に対して、専用デバイスを用意することなくアクセス制御ポリシーを複数のポリシーにいずれかに変更することができるため、さまざまな状況に対応することが可能となる。
103 認証サーバ
104 アクセス制御ポリシーデータベース
Claims (2)
- クライアントマシンを認証し、オンライン時のリソースへのアクセス制御ポリシーを当該クライアントマシンへ送付するサーバと、該サーバからアクセス制御ポリシーを受信する複数の前記クライアントマシンからなるクライアントサーバシステムであって、
前記サーバは、
前記クライアントマシンを使用する各ユーザの認証情報に加えて、各ユーザのオンラインログイン時のアクセス制御ポリシーであるオンラインポリシーを保持し、さらにオフライン時のアクセス制御ポリシーである複数のオフラインポリシーを保持するアクセス制御ポリシー記憶手段と、
該アクセス制御ポリシー記憶手段に保持された複数のオフラインポリシーを前記クライアントマシンに導入するためのインストール媒体を作成するインストール媒体作成手段とを有し、
前記クライアントマシンは、
前記サーバへのオンライン時に前記アクセス制御ポリシー記憶手段に保持されたオンラインポリシーを取得し、該オンラインポリシーに従って当該クライアントマシンのリソースへのアクセス制御を実行する第1の手段と、
前記インストール媒体作成手段が作成したインストール媒体によって、前記クライアントマシンに前記複数のオフラインポリシーのいずれかを適用し、該オフラインポリシーに従ってオフライン時のリソース資源へのアクセス制御を実行する第2の手段とを有し、
前記第2の手段は、前記複数のオフラインポリシーのいずれかを適用するに際し、いずれかのオフラインポリシーに対応するセキュリティポリシー情報とユーザ情報を組み合わせたチャレンジコードを表示し、電話またはメール等の通信手段によってユーザからセキュリティ管理者に送信された当該チャレンジコードを受信した前記サーバが当該チャレンジコードに基づいて発行するワンタイムパスワードを、電話またはメール等の通信手段によってセキュリティ管理者から受信したユーザの入力によって受付けた後に、当該ワンタイムパスワードと、表示した前記チャレンジコードに基づいて生成したワンタイムパスワードとを照合することにより当該ワンタイムパスワードが正しいか否かを判断し、正しくなければオフラインポリシーは適用せず、リソースへのアクセス権限が全て制限された状態とし、ワンタイムパスワードが正しい場合には、適用対象のセキュリティポリシー情報と一致するオフラインポリシーを適用してオフライン時のアクセス制御を実行することを特徴とするクライアントサーバシステム。 - 複数のオフラインポリシーに関する情報を前記クライアントマシン上に保持し、前記チャレンジコードにより、前記複数のオフラインポリシーのうちいずれを適用するかを選択することを特徴とする請求項1に記載のクライアントサーバシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011079654A JP5623326B2 (ja) | 2011-03-31 | 2011-03-31 | クライアントサーバシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011079654A JP5623326B2 (ja) | 2011-03-31 | 2011-03-31 | クライアントサーバシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012215985A JP2012215985A (ja) | 2012-11-08 |
JP5623326B2 true JP5623326B2 (ja) | 2014-11-12 |
Family
ID=47268709
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011079654A Active JP5623326B2 (ja) | 2011-03-31 | 2011-03-31 | クライアントサーバシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5623326B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105553983B (zh) * | 2015-12-17 | 2017-06-13 | 北京海泰方圆科技股份有限公司 | 一种网页数据保护方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4838916B2 (ja) * | 2006-08-01 | 2011-12-14 | 株式会社日立ソリューションズ | クライアントサーバシステム |
JP5129559B2 (ja) * | 2007-12-20 | 2013-01-30 | 株式会社エヌ・ティ・ティ・ドコモ | セキュリティ管理システム、セキュリティ管理方法、情報処理端末装置及び認証用装置 |
JP5314485B2 (ja) * | 2009-04-20 | 2013-10-16 | 株式会社日立ソリューションズ | クライアントサーバシステム |
JP5318719B2 (ja) * | 2009-09-30 | 2013-10-16 | 株式会社日立ソリューションズ | 端末装置及び端末装置におけるアクセス制御ポリシー取得方法 |
-
2011
- 2011-03-31 JP JP2011079654A patent/JP5623326B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012215985A (ja) | 2012-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11297055B2 (en) | Multifactor contextual authentication and entropy from device or device input or gesture authentication | |
JP6437589B2 (ja) | 企業アプリケーションストアの提供 | |
JP6348661B2 (ja) | サードパーティの認証サポートを介した企業認証 | |
KR101816863B1 (ko) | 기업 시스템들에서 사용자 및 디바이스 인증 | |
CN113316783A (zh) | 使用活动目录和一次性口令令牌组合的双因素身份认证 | |
US10333927B2 (en) | Simulated SSO functionality by means of multiple authentication procedures and out-of-band communications | |
US10305882B2 (en) | Using a service-provider password to simulate F-SSO functionality | |
US10356084B2 (en) | Mobile device using shared digital certificate for different managed enterprise applications and related methods | |
JP2018524843A (ja) | ハイブリッドクラウドサービスのためのパスワードの暗号化 | |
US10681023B2 (en) | Self-service portal for provisioning passwordless access | |
JP5318719B2 (ja) | 端末装置及び端末装置におけるアクセス制御ポリシー取得方法 | |
US10277606B2 (en) | Anonymous application wrapping | |
JP2008033855A (ja) | クライアントサーバシステム | |
KR20220106684A (ko) | 멀티-요소 인증 기능을 갖는 화상 형성 장치 | |
JP7189856B2 (ja) | モバイルデバイスを有するユーザがスタンドアロンコンピューティングデバイスの能力にアクセスすることをセキュアに可能にするためのシステム及び方法 | |
US20150006881A1 (en) | Securing an Encryption Key of a User Device While Preserving Simplified User Experience | |
JP5623326B2 (ja) | クライアントサーバシステム | |
US20170310480A1 (en) | Access to software applications | |
JP5314485B2 (ja) | クライアントサーバシステム | |
JP7018255B2 (ja) | 認証管理装置及びプログラム | |
CN115189975B (zh) | 登录方法、装置、电子设备和存储介质 | |
US20220358251A1 (en) | Secure recovery key management for removable drive encryption enforcement | |
JP5860421B2 (ja) | 復号方法、復号システム | |
KR20220133138A (ko) | 패스워드 백업 방법 및 그 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130726 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140327 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140402 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140602 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140822 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140826 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140912 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140924 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5623326 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |