JP6108344B2 - Access management apparatus, access management method and program - Google Patents
Access management apparatus, access management method and program Download PDFInfo
- Publication number
- JP6108344B2 JP6108344B2 JP2013052251A JP2013052251A JP6108344B2 JP 6108344 B2 JP6108344 B2 JP 6108344B2 JP 2013052251 A JP2013052251 A JP 2013052251A JP 2013052251 A JP2013052251 A JP 2013052251A JP 6108344 B2 JP6108344 B2 JP 6108344B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- access
- access authority
- user group
- mobile terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、アクセス管理装置、アクセス管理方法及びプログラム。 The present invention relates to an access management apparatus, an access management method, and a program.
例えばスマートフォンやタブレット端末などに代表されるように無線通信によりネットワークと接続可能な携帯端末装置が普及してきている。このような携帯端末装置がユーザ認証を必要とするサーバやデバイスなどにアクセスする際には、例えば特許文献1のようにユーザ名とパスワードを利用することが一般的である。
For example, as represented by smartphones and tablet terminals, portable terminal devices that can be connected to a network by wireless communication have become widespread. When such a portable terminal device accesses a server, a device, or the like that requires user authentication, it is common to use a user name and a password as in
上記のような携帯端末装置は、インターネットだけではなく例えば企業などの組織内で閉じられた社内の無線LAN(Local Area Network)などのネットワークと接続することも可能である。このために、企業などでも、携帯端末装置の持ち運びやすさなどに注目し、携帯端末装置を社内の無線LANと接続して利用することが行われるようになってきている。 The mobile terminal device as described above can be connected not only to the Internet but also to a network such as an in-house wireless LAN (Local Area Network) closed within an organization such as a company. For this reason, companies and the like are paying attention to the ease of carrying portable terminal devices and the like, and connecting portable terminal devices to an in-house wireless LAN for use.
ただし、社内の無線LANに携帯端末装置を接続して利用する環境においては、ユーザのミスや第3者の不正な意図により正規のアクセス権限を有さないユーザの携帯端末装置が社内の無線LANと接続されないようにする必要がある。このようなネットワークへの接続には、一般には、特許文献1のようなユーザ名とパスワードによるユーザ認証が行われるのであるが、このようなユーザ認証では、ユーザ名とパスワードが漏洩してしまえば誰もがアクセスできてしまうという側面がある。
However, in an environment where a portable terminal device is connected to an in-house wireless LAN and used, a user's portable terminal device that does not have a legitimate access authority due to a user's mistake or an unauthorized intention of a third party is It is necessary not to be connected with. For connection to such a network, user authentication using a user name and a password is generally performed as in
この点についてのセキュリティを高めるには、例えば、携帯端末装置については、例えば他の据え置き型の端末装置よりもアクセス可能なファイル、アプリケーション、デバイスなどを少なくして、アクセス制限を強化するということが考えられる。
しかし、上記のように制限を強化すると、例えば業務に必要であるのにも関わらず携帯端末装置ではアクセスすることができず、結局、据え置き型の端末装置にまで移動してこれを使用しなければならないというように、かえって不便な状況が生じ得る。つまり、アクセス制限を強化するだけでは、手軽に持ち運んで使用できるという携帯端末装置の利点が損なわれることになり、業務の円滑な進行を妨げることにもつながれる。
To increase security in this regard, for example, for mobile terminal devices, access restrictions are strengthened by reducing the number of accessible files, applications, devices, etc., compared to other stationary terminal devices. Conceivable.
However, if the restrictions are tightened as described above, the mobile terminal device cannot be accessed even though it is necessary for business, for example, and eventually it must move to a stationary terminal device and use it. Inconvenient situations can arise, such as having to. In other words, simply strengthening the access restriction impairs the advantage of the portable terminal device that it can be easily carried and used, and hinders the smooth progress of business.
本発明は、このような事情に鑑みてなされたもので、施設内での携帯端末装置のネットワークへの不正な接続に対するセキュリティを低下させることなく、携帯端末装置がアクセス可能な範囲を適切に設定できるようにするすることを目的とする。 The present invention has been made in view of such circumstances, and appropriately sets a range that can be accessed by the mobile terminal device without reducing security against unauthorized connection of the mobile terminal device to the network in the facility. The purpose is to be able to.
上述した課題を解決するために、本発明の一態様としてのアクセス管理装置は、携帯端末装置と無線によるネットワークを経由して通信を実行する通信部と、携帯端末装置から受信したユーザ認証情報に基づいて携帯端末装置のユーザについてのユーザ認証処理を実行するユーザ認証部と、施設内のユーザの位置を示す位置情報を取得する位置情報取得部と、ユーザ認証が成立したユーザのアクセス権限を前記位置情報取得部により取得された位置情報に基づいて設定するアクセス権限設定部と、前記アクセス権限設定部により設定されたアクセス権限にしたがって、ネットワーク上の資源への携帯端末装置のアクセスの可否を制御するアクセス制御部とを備え、前記アクセス権限設定部は、ユーザグループ設定要求の受信に応じて、前記ユーザグループ設定要求の送信元の携帯端末装置のユーザの位置情報が示す位置を含む一定範囲の領域に存在することが位置情報によって示されるユーザが属するユーザグループを設定し、前記ユーザグループに属するユーザの間で共有すべき情報が前記ユーザグループに属さないユーザによっては共有されないようにアクセス権限を設定し、前記アクセス制御部は、前記ユーザグループに属するユーザの携帯端末装置の間で送受信されるデータが前記ユーザグループに属さないユーザの携帯端末装置からはアクセスできないように制御する。 In order to solve the above-described problem, an access management device according to an aspect of the present invention includes a communication unit that performs communication with a mobile terminal device via a wireless network, and user authentication information received from the mobile terminal device. A user authentication unit that executes user authentication processing for a user of the mobile terminal device, a position information acquisition unit that acquires position information indicating the position of the user in the facility, and the access authority of the user for whom user authentication is established An access authority setting unit that is set based on the location information acquired by the location information acquisition unit, and whether or not the mobile terminal device can access resources on the network according to the access authority set by the access authority setting unit. and an access control unit that, the access authority setting section, in response to receiving a user group setting request, the Yu A user group to which the user indicated by the position information belongs to a certain area including the position indicated by the position information of the user of the mobile terminal device that is the transmission source of the group setting request belongs, and the user belongs to the user group The access authority is set so that information that should be shared among users is not shared by users who do not belong to the user group, and the access control unit transmits / receives data between portable terminal devices of users belonging to the user group Is controlled so that it cannot be accessed from a portable terminal device of a user who does not belong to the user group.
また、本発明のアクセス管理装置において、ユーザ識別子と施設内の位置との組み合わせごとに対応するアクセス権限を示すユーザ対応アクセス権限情報を記憶するユーザ対応アクセス権限情報記憶部をさらに備え、前記アクセス権限設定部は、ユーザ認証が成立したユーザのユーザ識別子と、前記位置情報取得部により取得された位置情報が示す位置との組み合わせに該当するアクセス権限を前記ユーザ対応アクセス権限情報から選択し、選択したアクセス権限を設定してもよい。 The access management apparatus of the present invention further comprises a user-corresponding access authority information storage unit that stores user-corresponding access authority information indicating access authority corresponding to each combination of a user identifier and a location in the facility, and the access authority The setting unit selects the access authority corresponding to the combination of the user identifier of the user for whom user authentication has been established and the position indicated by the position information acquired by the position information acquisition unit from the user-corresponding access authority information, and selects Access authority may be set.
また、本発明のアクセス管理装置において、ユーザグループに属する複数のユーザのユーザ識別子と施設内の位置との組み合わせごとに対応するアクセス権限を示すユーザグループ対応アクセス権限情報を記憶するユーザグループ対応アクセス権限情報記憶部をさらに備え、前記アクセス権限設定部は、ユーザ認証が成立したユーザのユーザ識別子と、前記位置情報取得部により取得された位置情報が示す位置との組み合わせに該当するアクセス権限を前記ユーザグループ対応アクセス権限情報から選択し、選択したアクセス権限を設定してもよい。 In the access management apparatus of the present invention, a user group-corresponding access authority that stores user group-corresponding access authority information indicating access authority corresponding to each combination of the user identifiers of the plurality of users belonging to the user group and the location in the facility. The access authority setting unit further includes an access authority corresponding to a combination of a user identifier of a user for whom user authentication has been established and a location indicated by the location information acquired by the location information acquisition unit. The selected access authority may be set by selecting from the group-corresponding access authority information.
また、本発明の一態様としてのアクセス管理方法は、携帯端末装置から無線によるネットワークを経由して受信したユーザ認証情報に基づいて携帯端末装置のユーザについてのユーザ認証処理を実行するユーザ認証ステップと、施設内のユーザの位置を示す位置情報を取得する位置情報取得ステップと、ユーザ認証が成立したユーザのアクセス権限を前記位置情報取得ステップにより取得された位置情報に基づいて設定するアクセス権限設定ステップと、前記アクセス権限設定ステップにより設定されたアクセス権限にしたがって、ネットワーク上の資源への携帯端末装置のアクセスの可否を制御するアクセス制御ステップとを備え、前記アクセス権限設定ステップは、ユーザグループ設定要求の受信に応じて、前記ユーザグループ設定要求の送信元の携帯端末装置のユーザの位置情報が示す位置を含む一定範囲の領域に存在することが位置情報によって示されるユーザが属するユーザグループを設定し、前記ユーザグループに属するユーザの間で共有すべき情報が前記ユーザグループに属さないユーザによっては共有されないようにアクセス権限を設定し、前記アクセス制御ステップは、前記ユーザグループに属するユーザの携帯端末装置の間で送受信されるデータが前記ユーザグループに属さないユーザの携帯端末装置からはアクセスできないように制御する。 According to another aspect of the present invention, an access management method includes: a user authentication step for executing a user authentication process for a user of a mobile terminal device based on user authentication information received from the mobile terminal device via a wireless network; A position information acquisition step for acquiring position information indicating the position of the user in the facility, and an access authority setting step for setting the access authority of the user for whom user authentication has been established based on the position information acquired by the position information acquisition step And an access control step for controlling whether or not the mobile terminal device can access the resources on the network according to the access authority set in the access authority setting step, wherein the access authority setting step includes a user group setting request In response to receiving the user group setting request A user group to which the user indicated by the position information belongs to an area in a certain range including the position indicated by the position information of the user of the transmission source mobile terminal device is set and shared among the users belonging to the user group The access authority is set so that the information to be shared is not shared by users who do not belong to the user group, and the access control step is configured such that data transmitted and received between the mobile terminal devices of the users belonging to the user group is transmitted to the user group. Control is performed so that access is not possible from a portable terminal device of a user who does not belong.
また、本発明の一態様としてのプログラムは、コンピュータに、携帯端末装置から無線によるネットワークを経由して受信したユーザ認証情報に基づいて携帯端末装置のユーザについてのユーザ認証処理を実行するユーザ認証ステップと、施設内のユーザの位置を示す位置情報を取得する位置情報取得ステップと、ユーザ認証が成立したユーザのアクセス権限を前記位置情報取得ステップにより取得された位置情報に基づいて設定するアクセス権限設定ステップと、前記アクセス権限設定ステップにより設定されたアクセス権限にしたがって、ネットワーク上の資源への携帯端末装置のアクセスの可否を制御するアクセス制御ステップとを実行させるためのものであって、前記アクセス権限設定ステップは、ユーザグループ設定要求の受信に応じて、前記ユーザグループ設定要求の送信元の携帯端末装置のユーザの位置情報が示す位置を含む一定範囲の領域に存在することが位置情報によって示されるユーザが属するユーザグループを設定し、前記ユーザグループに属するユーザの間で共有すべき情報が前記ユーザグループに属さないユーザによっては共有されないようにアクセス権限を設定し、前記アクセス制御ステップは、前記ユーザグループに属するユーザの携帯端末装置の間で送受信されるデータが前記ユーザグループに属さないユーザの携帯端末装置からはアクセスできないように制御する。 Further, a program as one aspect of the present invention is a user authentication step for executing a user authentication process for a user of a mobile terminal device based on user authentication information received from a mobile terminal device via a wireless network. A position information acquisition step for acquiring position information indicating the position of the user in the facility, and an access authority setting for setting the access authority of the user for whom user authentication has been established based on the position information acquired by the position information acquisition step steps and, in accordance with the access rights set by the access authority setting step, I der intended for executing an access control step of controlling whether the access of the mobile terminal device to a resource on the network, the access The authority setting step is for receiving user group setting requests. And setting a user group to which the user indicated by the position information belongs to an area within a certain range including the position indicated by the position information of the user of the mobile terminal device that is the transmission source of the user group setting request. An access authority is set so that information that should be shared among users belonging to the group is not shared by users who do not belong to the user group, and the access control step is performed between portable terminal devices of users belonging to the user group. Control is performed so that transmitted / received data cannot be accessed from a portable terminal device of a user who does not belong to the user group.
以上説明したように、本発明によれば、施設内での携帯端末装置のネットワークへの不正な接続に対するセキュリティを低下させることなく、携帯端末装置がアクセス可能な範囲を適切に設定できるようになるという効果が得られる。 As described above, according to the present invention, it is possible to appropriately set the accessible range of the mobile terminal device without reducing the security against unauthorized connection of the mobile terminal device to the network in the facility. The effect is obtained.
<第1の実施形態>
[ネットワークシステムの構成例]
図1は、本実施形態のアクセス管理装置を含むネットワークシステムの構成例を示している。
この図における施設FCは、例えば建物の屋内であり、或る企業が使用している。この施設FC内においては、例えばこの企業で業務を行うユーザYがそれぞれ携帯端末装置100を携帯している。
携帯端末装置100は、例えば無線によるネットワークの1つである無線LAN(Local Area Network)に対応する無線通信機能を有している。携帯端末装置100は、この無線通信機能により施設FC内に備えられた無線LAN基地局310と無線による通信を実行する。これにより、施設FC内における無線LANを含んで構築されたクローズドのネットワーク上に接続されるデバイス(他の携帯端末装置100を含む)、サーバなどにアクセスすることができる。
<First Embodiment>
[Network system configuration example]
FIG. 1 shows a configuration example of a network system including an access management apparatus according to the present embodiment.
The facility FC in this figure is, for example, inside a building and is used by a certain company. In this facility FC, for example, users Y who work at this company carry
The
また、ユーザYは、施設FC内に入場しているときには、位置発信器210を所持する。この位置発信器210は自己の位置を検出する。
位置発信器210は、その所有者であるユーザのユーザIDを記憶している。位置発信器210は、検出した自己の位置を示す位置情報とともに自己が記憶しているユーザIDを位置情報ユニット220に送信する。この位置情報は、位置発信器210を所有するユーザの位置を示す情報である。
また、位置発信器210は、位置検出の動作と、その検出結果である位置情報の送信を例えば予め定められた一定時間ごとに実行する。
Further, the user Y possesses the
The
In addition, the
位置情報ユニット220は、受信した位置情報をアクセス管理装置500に対して所定の通信網を経由して送信する。なお、位置発信器210が自己の位置を検出するための手法や方式については特に限定されないが、例えば、IMES(Indoor MEssaging System)、可視光通信、赤外線通信、無線LAN、RFIDタグなどを利用した屋内測位のための手法や方式などを採用することができる。
また、この図では、社内の無線LANとは異なる通信網により位置情報ユニット220とアクセス管理装置500とが接続された態様を示しているが、例えば、位置情報ユニット220とアクセス管理装置500についても社内の無線LANにより接続してよい。
The
In addition, this figure shows a mode in which the
また、ユーザYは、それぞれ、IC(Integrated Circuit)カード150を所持している。このICカード150は、例えば施設FCに入退出する際に使用される。つまり、ICカード150には、例えば所有者であるユーザのユーザ識別子が書き込まれている。また、施設FCの出入口にはICカードリーダ160が設置されている。
ユーザYが施設FCに入場するとき、このユーザYが所持するICカード150に書き込まれたユーザIDがICカードリーダ160によって読み込まれる。ICカードリーダ160は、例えば読み込んだユーザIDに現在時刻(入場時刻)などを付加した入場情報を生成してアクセス管理装置500に送信する。
また、ユーザYが施設FCを退出するとき、このユーザYが所持するICカード150に書き込まれたユーザIDがICカードリーダ160によって読み込まれる。ICカードリーダ160は、例えば読み込んだユーザIDに現在時刻(退出時刻)などを付加した退出情報を生成してアクセス管理装置500に送信する。
Each user Y possesses an IC (Integrated Circuit)
When the user Y enters the facility FC, the user ID written in the
When the user Y leaves the facility FC, the user ID written in the
無線LAN基地局310は、施設FC内の携帯端末装置100から送信されたデータを受信すると、無線LAN制御装置320に転送する。無線LAN制御装置320は、施設FCにおける無線LAN上での経路制御(ルーティング)を実行する。
例えば、無線LAN制御装置320は、無線LAN無線LAN基地局310から転送されたデータを、再度、無線LAN基地局310を経由して送信先のデバイスにさらに転送する。また、無線LAN制御装置320は、例えばアクセス権限を有する携帯端末装置100がファイルサーバ400にアクセスする際には、この携帯端末装置100がファイルサーバ400と接続されるように経路制御を行う。
ファイルサーバ400は、例えば、施設FC内の携帯端末装置100などが使用するファイルなどの情報を提供するサーバである。
When the wireless
For example, the wireless
The
アクセス管理装置500は、施設FCにおける携帯端末装置100ごとのアクセス権限を設定する。このアクセス権限の設定にあたり、アクセス管理装置500は、携帯端末装置100がユーザ認証のために送信するユーザ名(ユーザアカウント)及びパスワードと、携帯端末装置100の位置を示す位置情報を利用する。
The
[アクセス権限設定例]
図2を参照して、本実施形態のアクセス管理装置500によるアクセス権限の設定例について説明する。
図2は、施設FCにおける或る1つのフロアを平面方向からみた図である。施設FCは、例えば図示するように、玄関ホール、廊下、事務室1、事務室2、会議室、重役室の6つの部屋と重役室における一部領域である極秘領域との、計7つの領域に区画される。
[Access privilege setting example]
With reference to FIG. 2, an example of setting access authority by the
FIG. 2 is a view of a certain floor in the facility FC as seen from the plane direction. As shown in the figure, the facility FC has, for example, a total of seven areas: a hall, a corridor, an
本実施形態においては、施設FCにおいて区画された領域ごとに領域IDを設定する。図2の例では、玄関ホールに領域ID=0を設定し、廊下に領域ID=1を設定し、事務室1に領域ID=2を設定し、事務室2に領域ID=3を設定し、会議室に領域ID=4を設定し、重役室に領域ID=5を設定し、極秘領域に領域ID=6を設定している。
また、本実施形態においては、施設FCにおいて区画された領域ごとに、アクセス権限に関する階級(アクセスクラス)を設定する。
In the present embodiment, an area ID is set for each area partitioned in the facility FC. In the example of FIG. 2, the area ID = 0 is set for the entrance hall, the area ID = 1 is set for the corridor, the area ID = 2 is set for the
In the present embodiment, a class (access class) related to the access authority is set for each area partitioned in the facility FC.
図2の例では、アクセスクラスは、そのアクセス可能な情報の秘匿性が低い順から高い順に、「public」、「office」、「restricted」、「confidential」、「secret」の5段階が定義されている場合に対応する。
「public」のアクセスクラスは、例えば玄関ホールや廊下などのように、来客などによる部外者も存在する可能性のある公共性の高い領域に対応して設定される。
「office」のアクセスクラスは、例えば事務室1や事務室2などのように、通常の業務が行われるような領域に対応して設定される。このような領域は、業務に関する各種の情報が必要になるので、例えば玄関ホールや廊下などと比較してやりとりされる情報の秘匿性が高くなる。つまり、「office」のアクセスクラスは、「public」よりも秘匿性の高い領域に設定される。
「restricted」のアクセスクラスは、例えば会議室などのように、一般事務以外の特殊な情報もやりとりされる可能性があり、「office」のアクセスクラスが設定された事務室1や事務室2などと比較してさらに秘匿性が高くなる領域に対応して設定される。
「confidential」のアクセスクラスは、例えば重役室などのように、一般の社員には秘密とすべきような企業にとって重要な情報を必要とするような領域に設定される。つまり、「confidential」のアクセスクラスは、例えば「restricted」のアクセスクラスよりも秘匿性が高い領域に設定される。
「secret」のアクセスクラスは、例えば重役室において机が置かれている場所などのように、さらに企業にとって非常に重要な情報を必要とするような領域に設定される。したがって、「secret」のアクセスクラスは、5段階のアクセスクラスのうちで最も秘匿性が高い。
In the example of FIG. 2, the access class is defined in five levels: “public”, “office”, “restricted”, “confidential”, and “secret” in order from the lowest confidentiality of the accessible information. Corresponds to the case.
The access class of “public” is set corresponding to a highly public area such as an entrance hall or a corridor where an outsider such as a visitor may also exist.
The access class of “office” is set corresponding to an area where normal work is performed, such as
In the “restricted” access class, there is a possibility that special information other than general office work may be exchanged, such as a conference room, and the
The access class of “confidential” is set in an area that requires information important to a company that should be kept secret for general employees, such as a boardroom. That is, the “confidential” access class is set to an area with higher secrecy than the “restricted” access class, for example.
The access class of “secret” is set in an area that requires information very important to a company, such as a place where a desk is placed in a boardroom. Therefore, the “secret” access class has the highest confidentiality among the five access classes.
そして、アクセス管理装置500は、ユーザ認証が成立した携帯端末装置100を所持するユーザYについて、このユーザYが存在する位置を含む区画に設定されたアクセスクラスに応じたアクセス権限を設定する。
一例として、アクセス権限について、秘匿性の低い方から高い方にかけてレベル1、レベル2、レベル3、レベル4、レベル5の5段階に設定した場合を例に挙げる。
レベル1は、例えばファイルサーバ400に記憶されているファイルを例に挙げれば、部外者であっても閲覧が可能な会社案内などの秘匿性がほとんど無いようなファイルのみへのアクセスを許可するレベルのアクセス権限である。
レベル2は、一般の社員が業務などのために使用する秘匿性のあるファイルへのアクセスを許可するレベルのアクセス権限である。
レベル3は、例えば会議などで使用されるようなレベル2よりも秘匿性の高いファイルへのアクセスを許可するレベルのアクセス権限である。
レベル4は、例えば重役などが使用するようなレベル3よりも秘匿性の高いファイルへのアクセスを許可するレベルのアクセス権限である。
レベル5は、例えば社内で最も秘匿性の高いものとして扱われるファイルへのアクセスを許可するレベルのアクセス権限である。
例えばファイルサーバ400において提供されるファイルや、社内のネットワーク上のノードなどをはじめとする資源に対しては、その秘匿性の高さなどを考慮して、上記のレベル1〜5のうちのいずれかのレベルが設定されている。
And the
As an example, the case where the access authority is set to five levels of
For example, for resources such as files provided in the
一例として、アクセス管理装置500は、重役であるユーザYには、以下のようにアクセス権限を設定する。
つまり、アクセスクラスが「public」の領域ではレベル1のファイルのみへのアクセスが可能なアクセス権限を設定する。
アクセスクラスが「office」の領域ではレベル1とレベル2のファイルへのアクセスが可能なアクセス権限を設定する。
アクセスクラスが「restricted」の領域ではレベル1とレベル2とレベル3へのアクセスが可能なアクセス権限を設定する。
アクセスクラスが「confidential」の領域では、レベル1とレベル2とレベル3とレベル4のファイルへのアクセスが可能なアクセス権限を設定する。
アクセスクラスが「secret」の領域では、全てのファイルのアクセス権限を設定する。つまり、アクセス管理装置500は、レベル1とレベル2とレベル3とレベル4とレベル5のファイルへのアクセスが可能なアクセス権限を設定する。そして、アクセス管理装置500は、上記のように設定されたアクセス権限にしたがって重役のユーザYの携帯端末装置100のアクセスの可否を制御する。
As an example, the
In other words, in the area where the access class is “public”, an access authority that allows access to
In the area where the access class is “office”, an access authority that allows access to
In the area where the access class is “restricted”, an access authority capable of accessing
In the area where the access class is “confidential”, an access right that allows access to files of
In the area where the access class is "secret", set the access authority for all files. That is, the
上記の設定例の場合、アクセスクラスが「public」の領域では、重役の携帯端末装置100は、レベル1のファイルにしかアクセスできないが、これにより、例えば、アクセスクラスが「public」の領域において重役が部外者と一緒にいるとしても、不用意に極秘のファイルにアクセスしてその情報が漏洩してしまうようなことが防がれる。
そして、重役であるユーザは、秘匿性の高い場所に移動することで、重役の携帯端末装置100は、その場所のアクセスクラスに応じたレベルのファイルにアクセスできる状態となる。例えば重役室に入室してしまえば、レベル4とレベル5のファイルにアクセスすることができる。
In the case of the setting example described above, in the area where the access class is “public”, the mobile
Then, the user who is an executive moves to a highly confidential place, so that the executive portable
また、アクセス管理装置500は、例えば、或る一般の社員であるユーザには、以下のようにアクセス権限を設定する。
つまり、アクセスクラスが「public」の領域ではレベル1のファイルのみへのアクセスが可能なアクセス権限を設定する。
アクセスクラスが「office」の領域ではレベル1とレベル2のファイルへのアクセスが可能なアクセス権限を設定する。これにより、社員の携帯端末装置100は、社員が事務室1または2に居れば、通常業務に必要なファイルへのアクセスが可能である。
アクセスクラスが「restricted」の領域ではレベル1とレベル2とレベル3のファイルへのアクセスが可能なアクセス権限を設定する。これにより、社員の携帯端末装置100は、例えば会議室での会議中においては、レベル3のファイルにもアクセスできる。
アクセスクラスが「confidential」の領域では、レベル1とレベル2のファイルへのアクセスが可能なアクセス権限を設定する。つまり、一般の社員の携帯端末装置100は、重役室であっても、レベル4のファイルにはアクセスできない。また、社員が「confidential」のアクセスクラスの領域に居るということは、会議室には居ないということになるので、社員の携帯端末装置100は、レベル3のファイルについてもアクセスできない。
アクセスクラスが「secret」の領域においても、アクセスクラスが「confidential」の領域の場合と同様の理由により、レベル1とレベル2のファイルへのアクセスが可能なアクセス権限を設定する。
Further, the
In other words, in the area where the access class is “public”, an access authority that allows access to
In the area where the access class is “office”, an access authority that allows access to
In the area where the access class is “restricted”, the access authority that can access the files of
In the area where the access class is “confidential”, an access right that allows access to
Even in the area where the access class is “secret”, the access authority that allows access to the
このように、本実施形態においては、ユーザ認証が成立した携帯端末装置100のユーザについては、そのユーザが位置する施設FC内の区画での秘匿性に応じて、施設FC内のネットワーク上でのアクセス権限が設定される。これにより、本実施形態においては、施設内での携帯端末装置のネットワークへの接続に関するセキュリティを低下させることなく、ユーザのアクセス権限が適切に設定される。
そのうえで、本実施形態においては、上記したように、例えばユーザYごとに、同じアクセスクラスであっても、それぞれに異なる内容のアクセス権限を設定することができる。これにより、例えば、同じ施設FCにおける複数のユーザYごとに、その地位や業務内容などに応じて、領域ごとに適切なアクセス権限を設定することが可能となり、セキュリティを維持した上での業務の円滑化をさらに推し進めることができる。
As described above, in the present embodiment, for the user of the mobile
In addition, in the present embodiment, as described above, even for the same access class, for example, for each user Y, different access authorities can be set for each content. As a result, for example, for each of a plurality of users Y in the same facility FC, it is possible to set an appropriate access authority for each area according to the status or business content, and the work can be performed while maintaining security. Smoothing can be further promoted.
[携帯端末装置の構成例]
図3を参照して、携帯端末装置100の構成例について説明する。
この図に示す携帯端末装置100は、通信部101、制御部102、ユーザ認証情報記憶部103、操作部104及び表示部105を備える。
通信部101は、無線LAN経由で社内ネットワークに接続される他のデバイスやサーバなどと通信を実行する。
[Configuration example of portable terminal device]
With reference to FIG. 3, the structural example of the portable
A mobile
The
制御部102は、携帯端末装置100における各種の制御を実行する。なお、制御部102としての機能は、例えばCPU(Central Processing Unit)がプログラムを実行することにより実現できる。
ユーザ認証情報記憶部103は、携帯端末装置100がユーザ認証を受けるためにアクセス管理装置500に送信するユーザ認証情報を記憶する。ユーザ認証情報は、例えば、携帯端末装置100のユーザのユーザ名とパスワードを含む。
The
The user authentication
例えば、社内の無線LANからログアウトした状態の携帯端末装置100を所持しながらユーザが施設FCに入場すると、例えば携帯端末装置100の通信部101は無線LAN基地局310をアクセスポイントとする社内の無線LANを検知する。そこで、制御部102は、ユーザ認証情報記憶部103からユーザ認証情報を読み出し、読み出したユーザ認証情報を含めたユーザ認証要を通信部101から送信する。無線LAN制御装置320は、携帯端末装置100から送信されたユーザ認証要求を無線LAN基地局310経由で受信してアクセス管理装置500に転送する。アクセス管理装置500は、受信したユーザ認証要求に含まれるユーザ認証情報を利用してユーザ認証処理を実行する。
For example, when the user enters the facility FC while holding the portable
操作部104は、携帯端末装置100に対して備えられる操作子や操作デバイスを一括して示したものである。例えば、携帯端末装置100が表示部105と一体化されたタッチパネルを備える場合には、このタッチパネルも操作部104に含まれる。
表示部105は、その画面が携帯端末装置100に表出されるように設けられる。表示部105は、制御部102の制御に応じて画像を表示する。
The
The
[アクセス管理装置の構成例]
次に、図4を参照してアクセス管理装置500の構成例について説明する。
図4に示すアクセス管理装置500は、位置情報サーバ510と認証サーバ520とを備える。
位置情報サーバ510は、位置情報ユニット220から送信される携帯端末装置100の位置情報を取得する。位置情報サーバ510は、位置情報取得部511、位置情報送信部512及び位置履歴記憶部513を備える。
[Configuration example of access management device]
Next, a configuration example of the
An
The
位置情報取得部511は、施設FC内のユーザYの位置を示す位置情報を取得する。つまり、位置情報ユニット220は、位置発信器210との通信により取得したユーザYの位置情報をユーザIDとともに位置情報サーバ510に送信する。位置情報取得部511は、このように送信された位置情報を取得し、位置情報送信部512に受け渡す。
位置情報送信部512は、位置情報取得部511から受け渡された位置情報を認証サーバ520に送信する。
The position
The position
また、位置情報取得部511は、取得した位置情報の履歴をユーザIDごとに対応付けて位置履歴記憶部513に記憶させる。
位置履歴記憶部513は、例えばユーザIDごとに対応させて位置情報取得部511が取得した位置情報の履歴(位置履歴情報)を記憶する。
In addition, the position
The position
また、位置情報取得部511は、ICカードリーダ160がICカード150との通信により取得した施設FCにおけるユーザYごとの入場情報または退出情報を受信する。これらの入場情報及び退出情報も、ユーザYが施設FC内に存在するか否かを示す位置情報として扱うことができる。
位置情報取得部511は、取得したユーザYの入場情報及び退出情報についても、そのユーザIDに対応付けられた位置履歴情報に含めるように位置履歴記憶部513に記憶させる。
位置情報送信部512は、アクセス管理装置500からの要求に応じて、適宜、位置履歴記憶部513に記憶されている位置履歴情報を認証サーバ520に送信する。
Further, the position
The position
The location
認証サーバ520は、携帯端末装置100との間でのユーザ認証と、ユーザ認証が成立した携帯端末装置100のユーザの位置情報に基づくアクセス権限の設定とを実行する。
このために、認証サーバ520は、通信部521、ユーザ認証部522、ユーザ情報記憶部523、認証状況情報記憶部524、アクセス権限設定部525、アクセス権限情報記憶部526、アクセス権限設定情報記憶部527及びアクセス制御部528を備える。
The
For this purpose, the
通信部521は、社内の無線LAN経由で携帯端末装置100と通信を実行する。なお、通信部521が施設FC内の携帯端末装置100と通信を行うにあたっては、図2に示す無線LAN制御装置320を経由する。
The
ユーザ認証部522は、携帯端末装置100から受信したユーザ認証情報に基づいて携帯端末装置100のユーザについてのユーザ認証処理を実行する。
携帯端末装置100が送信したユーザ認証要求は通信部521にて受信される。ユーザ認証部522は、このユーザ認証要求の受信に応答して、例えば以下のようにユーザ認証処理を実行する。
つまり、ユーザ認証部522は、ユーザ情報記憶部523に記憶されているユーザ情報のうちで、ユーザ認証要求に含まれるユーザ名及びパスワードの組み合わせと一致するユーザ情報が存在するか否かについて判定することにより認証を行う。なお、携帯端末装置100は、ユーザ認証情報を暗号化して送信することがセキュリティ上好ましい。このようにユーザ認証情報が暗号化されている場合、ユーザ認証部522は、受信したユーザ認証情報の暗号化を複合してからユーザ認証処理を実行する。
The
The user authentication request transmitted by the mobile
That is, the
ユーザ情報記憶部523は、ユーザ情報を記憶する。また、本実施形態における社内のネットワークにおいては、2以上のユーザによるユーザグループを登録することができる。ユーザ情報記憶部523は、ユーザ情報として、個人のユーザごとのユーザ情報を格納するユーザ個別情報テーブルと、ユーザグループ単位の情報であるユーザグループ情報を格納するユーザグループ情報テーブルとを記憶する。
The user
図5は、ユーザ情報記憶部523の構成例を示している。この図に示すように、ユーザ情報記憶部523は、例えばユーザ個別情報テーブル記憶部531とユーザグループ情報テーブル記憶部532とを備える。
ユーザ個別情報テーブル記憶部531は、ユーザ個別情報テーブルを記憶する。
ユーザグループ情報テーブル記憶部532は、ユーザグループ情報テーブルを記憶する。
FIG. 5 shows a configuration example of the user
The user individual information
The user group information
図6は、ユーザ個別情報テーブル記憶部531が記憶するユーザ個別情報テーブルの構造例を示している。
この図に示すように、ユーザ個別情報テーブルは、個人のユーザごとに対応して、ユーザIDと認証情報とを対応付けたユーザ個別情報を格納する。
ユーザIDは、ユーザYを一意に識別する識別子である。
認証情報は、ユーザごとに対応して予め登録されたユーザ名、パスワードなどを含む情報である。ユーザ認証部522は、このユーザ個別情報テーブルにおける認証情報のうちから、ユーザ認証要求とともに受信した認証情報と一致するものを検索する。ユーザ個別情報テーブルにおいて、一致する認証情報があれば認証が成立し、一致する認証情報が無ければ認証は不成立である。
FIG. 6 shows a structural example of the user individual information table stored in the user individual information
As shown in this figure, the user individual information table stores user individual information in which a user ID and authentication information are associated with each individual user.
The user ID is an identifier that uniquely identifies the user Y.
The authentication information is information including a user name, a password, and the like registered in advance for each user. The
図7は、ユーザグループ情報テーブル記憶部532が記憶するユーザグループ情報テーブルの構造例を示している。
ユーザグループ情報テーブルは、登録されたユーザグループごとに対応して、ユーザグループIDと所属ユーザとユーザグループ指定とを含むユーザグループ情報を格納する。
ユーザグループIDは、ユーザグループを一意に識別する識別子である。
所属ユーザは、対応のユーザグループに属するユーザのユーザIDを示す。
ユーザグループ指定は、現在においてそのユーザグループに対応するアクセス権限の設定が有効であるか否かを示す。ユーザグループ指定が無効を示している場合、そのユーザグループに属するユーザYにはユーザ個別のアクセス権限を設定する。ユーザグループ指定が有効を示している場合、そのユーザグループに属するユーザには、ユーザグループに対応するアクセス権限を設定する。
ユーザグループ指定は、例えば、ユーザグループの有効、無効についての設定権限を有するユーザYが携帯端末装置100の操作により、その有効、無効が設定されるようにすればよい。
FIG. 7 shows a structural example of a user group information table stored in the user group information
The user group information table stores user group information including a user group ID, a belonging user, and a user group designation corresponding to each registered user group.
The user group ID is an identifier that uniquely identifies the user group.
The affiliation user indicates the user ID of the user belonging to the corresponding user group.
The user group designation indicates whether or not the access authority setting corresponding to the user group is currently valid. When the user group designation indicates invalidity, an individual access authority is set for the user Y belonging to the user group. When the user group designation indicates “valid”, the access authority corresponding to the user group is set for the users belonging to the user group.
The user group designation may be such that, for example, the user Y who has the setting authority for the validity / invalidity of the user group is set to be valid / invalid by the operation of the mobile
図4において、認証状況情報記憶部524は、現在におけるユーザYごとのユーザ認証の成立状況を示すユーザ認証状況情報を記憶する。
ユーザ認証部522は、ユーザ認証が成立すると、その認証が成立したユーザについての認証成立ユーザ情報を生成する。この認証成立ユーザ情報は、ユーザ個別情報テーブルから読み出したユーザIDと、ユーザ認証要求の送信元の携帯端末装置100の端末IDと、認証が成立した時刻(ログイン時刻)とを有する。
そして、ユーザ認証部522は、このように生成した認証成立ユーザ情報を認証状況情報記憶部524に追加登録する。
In FIG. 4, the authentication status
When the user authentication is established, the
Then, the
図8は、認証状況情報記憶部524が記憶する認証状況情報の構造例を示している。この図に示すように、認証状況情報は、現在において認証が成立しているユーザごとのユーザIDに端末IDとログイン時刻などを対応付けた認証成立ユーザ情報を格納する。端末IDの属性は、対応のユーザについてのユーザ認証情報の送信元の携帯端末装置100の端末IDを示す。ログイン時刻の属性は、例えば認証が成立した時刻を示す。
FIG. 8 shows an example of the structure of authentication status information stored in the authentication status
ユーザ認証部522は、例えば携帯端末装置100からのログアウト要求やログイン後におけるタイムアウトなどに応じて、ログアウトしたユーザに対応する認証成立ユーザ情報を認証状況情報記憶部524から削除する。これにより、認証状況情報記憶部524においては、常に、現在において社内のネットワークにログイン中の携帯端末装置100のユーザの認証成立ユーザ情報のみが格納される。つまり、認証状況情報は、社内のネットワークにログイン中のユーザを示す情報である。
The
図4において、アクセス権限設定部525は、ユーザ認証が成立したユーザのアクセス権限を位置情報取得部511により取得された位置情報に基づいて設定する。この際、アクセス権限設定部525は、アクセス権限情報記憶部526に記憶される情報を利用する。
In FIG. 4, the access
図9は、アクセス権限情報記憶部526の構成例を示している。この図に示すアクセス権限情報記憶部526は、アクセスクラステーブル記憶部541、ユーザ対応アクセス権限情報記憶部542及びユーザグループ対応アクセス権限情報記憶部543を備える。
アクセスクラステーブル記憶部541は、アクセスクラステーブルを記憶する。アクセセスクラステーブルは、図2に例示した施設FCにおいて区画された領域ごとに設定したアクセスクラスを示すテーブルである。アクセスクラスは、例えば秘匿性の高さに応じて設定したアクセス権限の階級(クラス)である。
FIG. 9 shows a configuration example of the access authority
The access class
図10は、アクセスクラステーブル記憶部541が記憶するアクセスクラステーブルの内容例を示している。
この図に示すアクセスクラステーブルは、図2の施設FCにおいて区画された7つの領域ごとのアクセスクラスを示している。アクセスクラステーブルにおける1つのレコードが1つの区画についての設定内容を示しており、1つのレコードは、領域名と領域IDと領域範囲とアクセスクラスの属性を含む。
領域名の属性は、対応の領域の名称を示す。領域IDの属性は、対応の領域に付された領域IDを示す。領域範囲の属性は、対応の領域についての施設FCにおける物理的な範囲を示す。この領域範囲の示し方については多様に考えられる。一例として、各領域の平面方向における形状が四角形である場合に対応しては、図2に示すように施設FCのフロアの平面方向についてX軸とY軸を対応させる。そのうえで、各領域の平面形状である四角形の4つの頂点のX,Y座標により領域の物理的範囲を示すことができる。
アクセスクラスの属性は、対応の領域に設定されたアクセスクラスが何であるのかを示す。
FIG. 10 shows an example of the contents of the access class table stored in the access class
The access class table shown in this figure shows access classes for each of the seven areas partitioned in the facility FC of FIG. One record in the access class table indicates the setting contents for one section, and one record includes an area name, an area ID, an area range, and an access class attribute.
The area name attribute indicates the name of the corresponding area. The area ID attribute indicates the area ID assigned to the corresponding area. The region range attribute indicates a physical range in the facility FC for the corresponding region. There are various ways to indicate this area range. As an example, when the shape in the planar direction of each region is a quadrangle, the X axis and the Y axis are made to correspond to the planar direction of the floor of the facility FC as shown in FIG. In addition, the physical range of the region can be indicated by the X and Y coordinates of the four vertices of the quadrangle that is the planar shape of each region.
The access class attribute indicates what access class is set in the corresponding area.
図10のアクセスクラステーブルの内容は、図2にて例に挙げた設定内容に対応している。
つまり、玄関ホールの領域には領域ID=0が設定されるとともに、アクセスクラスとしては「public」が設定されている。廊下の領域には領域ID=1が設定されるとともに、アクセスクラスとして「public」が設定されている。事務室1の領域には領域ID=2が設定されるとともに、アクセスクラスとして「office」が設定されている。事務室2の領域には領域ID=3が設定されるとともに、アクセスクラスとして「office」が設定されている。会議室の領域には領域ID=4が設定されるとともに、アクセスクラスとして「restricted」が設定されている。重役室の領域には領域ID=5が設定されるとともに、アクセスクラスとして「confidential」が設定されている。極秘領域の領域には領域ID=6が設定されるとともに、アクセスクラスとして「secret」が設定されている。
The contents of the access class table in FIG. 10 correspond to the setting contents exemplified in FIG.
That is, the area ID = 0 is set in the entrance hall area, and “public” is set as the access class. Area ID = 1 is set in the hallway area, and “public” is set as the access class. Area ID = 2 is set in the area of
次に、図9において、ユーザ対応アクセス権限情報記憶部542は、ユーザ対応アクセス権限情報を記憶する。ユーザ対応アクセス権限情報は、個人のユーザについてアクセスクラスごとに設定したアクセス権限の内容を示す。
Next, in FIG. 9, the user-corresponding access authority
図11は、ユーザ対応アクセス権限情報の内容例を示している。この図に示すユーザ対応アクセス権限情報は、ユーザIDごとに、「public」、「office」、「restricted」、「confidential」、「secret」の各アクセスクラスに対応するアクセス権限の内容が示されている。
図11において、ユーザIDが「0000」のユーザYは、図2にて説明した一般の社員に対応する設定内容を示している。
つまり、「public」のアクセスクラスに対応するアクセス権限は、レベル1のファイルにアクセス可能であることを示している。
「office」のアクセスクラスに対応するアクセス権限は、レベル1とレベル2のファイルにアクセス可能であることを示している。
「restricted」のアクセスクラスに対応するアクセス権限は、レベル1とレベル2とレベル3のファイルにアクセス可能であることを示している。
「confidential」のアクセスクラスに対応するアクセス権限は、レベル1とレベル2のファイルにアクセス可能であることを示している。
「secret」のアクセスクラスに対応するアクセス権限は、レベル1とレベル2のファイルにアクセス可能であることを示している。
FIG. 11 shows an example of the contents of the user-corresponding access authority information. The user-corresponding access authority information shown in this figure shows the access authority contents corresponding to the access classes of “public”, “office”, “restricted”, “confidential”, and “secret” for each user ID. Yes.
In FIG. 11, a user Y whose user ID is “0000” indicates the setting content corresponding to the general employee described in FIG. 2.
That is, the access authority corresponding to the “public” access class indicates that the file of
The access authority corresponding to the access class of “office” indicates that access to
The access authority corresponding to the “restricted” access class indicates that the files of
The access authority corresponding to the “confidential” access class indicates that the file of
The access authority corresponding to the access class “secret” indicates that access to
また、図11において、ユーザIDが「0001」のユーザYは、図2にて説明した重役の社員に対応する設定内容を示している。
つまり、「public」のアクセスクラスに対応するアクセス権限は、レベル1のファイルにアクセス可能であることを示している。
「office」のアクセスクラスに対応するアクセス権限は、レベル1とレベル2のファイルにアクセス可能であることを示している。
「restricted」のアクセスクラスに対応するアクセス権限は、レベル1とレベル2とレベル3のファイルにアクセス可能であることを示している。
「confidential」のアクセスクラスに対応するアクセス権限は、レベル1とレベル2とレベル3とレベル4のファイルにアクセス可能であることを示している。
「secret」のアクセスクラスに対応するアクセス権限は、レベル1とレベル2とレベル3とレベル4とレベル5のファイルにアクセス可能であることを示している。
In addition, in FIG. 11, a user Y whose user ID is “0001” indicates the setting content corresponding to the executive employee described in FIG. 2.
That is, the access authority corresponding to the “public” access class indicates that the file of
The access authority corresponding to the access class of “office” indicates that access to
The access authority corresponding to the “restricted” access class indicates that the files of
The access authority corresponding to the access class “confidential” indicates that the files of
The access authority corresponding to the access class “secret” indicates that the files of
このように、本実施形態においては、施設FCにおいて区画された領域ごとに共通のアクセスクラスを定義したうえで、ユーザ対応アクセス権限情報においてユーザごとにアクセスクラスに対して異なるアクセス権限の内容を設定することができる。これにより、ユーザの企業内での地位や状況などに応じて高い自由度で、領域ごとに応じたアクセス権限を設定することができる。 Thus, in this embodiment, after defining a common access class for each area partitioned in the facility FC, different access authority contents are set for each access class for each user in the user-corresponding access authority information. can do. Thereby, the access authority according to each area can be set with a high degree of freedom in accordance with the position or situation of the user in the company.
次に、図9における、ユーザグループ対応アクセス権限情報記憶部543は、ユーザグループ対応アクセス権限情報を記憶する。ユーザグループ対応アクセス権限情報は、ユーザグループについてアクセスクラスごとに設定したアクセス権限の内容を示す。
ユーザグループ対応アクセス権限情報の構造は、例えば図11に示したユーザ対応アクセス権限情報に準ずればよい。つまり、図11の構造において、ユーザIDに代えて、ユーザグループごとに設定されたユーザグループIDを格納する。そして、1つのユーザグループIDに対応させて、例えば「public」、「office」、「restricted」、「confidential」、「secret」の各アクセスクラスに対応するアクセス権限の内容を格納すればよい。
このように、ユーザグループ対応アクセス権限情報においても、ユーザごとにアクセスクラスに対して異なるアクセス権限の内容を設定することで、ユーザグループごとに応じて高い自由度で、領域ごとに応じたアクセス権限を設定することができる。
Next, the user group-corresponding access authority
The structure of the user group access authority information may be based on the user access authority information shown in FIG. 11, for example. That is, in the structure of FIG. 11, instead of the user ID, the user group ID set for each user group is stored. Then, the contents of access authority corresponding to each access class of “public”, “office”, “restricted”, “confidential”, and “secret” may be stored in association with one user group ID.
In this way, even in the access authority information corresponding to the user group, by setting different access authority contents for the access class for each user, the access authority corresponding to each area with a high degree of freedom for each user group. Can be set.
例えば、ユーザIDが「0000」のユーザYについてのユーザ認証が成立している状態において、このユーザYの位置発信器210が位置情報を送信すると、この位置情報が位置情報取得部511にて取得される。
アクセス権限設定部525は、位置情報取得部511にてユーザYの位置情報が取得されるのに応じて、アクセスクラステーブル記憶部541に記憶されるアクセスクラステーブルを参照する。これにより、アクセス権限設定部525は、取得された位置情報が示す位置を含む施設FC内の領域を特定するともに、特定した領域に対応付けられたアクセスクラスを特定する。
次に、アクセス権限設定部525は、ユーザ対応アクセス権限情報記憶部542に記憶されるユーザ対応アクセス権限情報において、ユーザIDが「0000」に対応するアクセスクラスのうちで、上記のように特定したアクセスクラスに対応付けられているアクセス権限を選択する。アクセス権限設定部525は、このように選択したアクセス権限を設定結果とする。
For example, in a state where user authentication is established for the user Y with the user ID “0000”, when the
The access
Next, the access
また、ユーザグループ対応のアクセス権限を設定する場合、アクセス権限設定部525は、ユーザ対応アクセス権限情報に代えて、ユーザグループ対応アクセス権限情報記憶部543に記憶されるユーザグループ対応アクセス権限情報を参照する。これにより、ユーザYに対しては、ユーザ個別に対応するアクセス権限ではなく、そのユーザYが属するユーザグループに対応するアクセス権限が設定される。
When setting the access authority corresponding to the user group, the access
なお、図11に示すユーザ対応アクセス権限情報は、アクセス権限によりアクセスの可否が設定されるネットワーク上のリソース(資源)としてファイルを例に挙げている。しかし、アクセス権限によりアクセスの可否が設定されるネットワーク上のリソースとしては、ファイルだけに限定されるものではなく、例えば、サーバ、ルータ、各種機器などのノード単位でアクセスの可否が設定されてもよい。また、社内の無線LAN自体へのリンクの可否が設定されてもよい。 Note that the user-corresponding access authority information shown in FIG. 11 uses a file as an example of a resource on the network to which access is set according to the access authority. However, the resources on the network for which access permission is set according to the access authority are not limited to files. For example, even if access permission is set for each node such as a server, router, or various devices. Good. Further, whether to link to the in-house wireless LAN itself may be set.
また、ユーザYに対してユーザ個別のアクセス権限とユーザグループ対応のアクセス権限のいずれを設定するのかについては以下のように決定すればよい。
つまり、アクセス権限設定部525は、アクセス権限設定対象のユーザのユーザIDが属するユーザグループがいずれであるのかを、図7のユーザグループ情報を参照して特定する。そして、アクセス権限設定部525は、ユーザグループ情報において特定したユーザグループに対応付けられているユーザグループ指定の属性を参照する。参照したユーザグループ指定が「無効」を示していればユーザ個別のアクセス権限を設定し、「有効」を示していればユーザグループ対応のアクセス権限を設定する。
Whether to set the user-specific access authority or the user group-compatible access authority for the user Y may be determined as follows.
That is, the access
アクセス権限設定部525は、上記のように設定したアクセス権限をアクセス権限設定情報記憶部527に記憶させる。
アクセス権限設定情報記憶部527は、アクセス権限設定部525により設定されたユーザごとのアクセス権限の内容を記憶する。
The access
The access authority setting
アクセス制御部528は、アクセス権限設定部525により設定されたアクセス権限にしたがって、ネットワーク上の資源への携帯端末装置100のアクセスの可否を制御する。
例えば、或る携帯端末装置100が現在設定されているアクセス権限によってはアクセス不可のファイルにアクセスするためのアクセス要求を行ったとする。このアクセス要求は、例えば無線LAN基地局310から無線LAN制御装置320を経由してアクセス管理装置500に転送される。
The
For example, it is assumed that a certain mobile
アクセス管理装置500においてこのアクセス要求が受信されるのに応じて、アクセス制御部528は、このアクセス要求に応答してアクセスを許可すべきか禁止すべきかを判定する。
このために、アクセス制御部528は、認証状況情報記憶部524に記憶される認証状況情報を参照することにより、今回のアクセス要求送信元の携帯端末装置100のユーザYのユーザIDを特定する。次に、アクセス制御部528は、アクセス権限設定情報記憶部527を参照して、特定したユーザIDについて設定されているアクセス権限の内容を認識する。そして、アクセス制御部528は、今回受信されたアクセス要求が、上記のように認識されたアクセス権限に該当するか否かについて判定する。
In response to the access request being received by the
For this purpose, the
例えば、このアクセス要求がファイルに対するアクセス要求である場合、アクセス制御部528は、このファイルに設定されているのと同じレベルのファイルへのアクセスが可能であることが、アクセス権限の内容に示されているか否かについて判定する。アクセス可能であることがアクセス権限の内容に示されていれば、アクセス制御部528は、アクセスを許可すべきと判定する。
一方、アクセス可能であることがアクセス権限の内容に示されていなければ、アクセスを禁止すべきと判定する。
具体的に、アクセス権限設定部525によりレベル1、2、3のファイルのアクセスが可能であると設定されている状態において、アクセス要求されたファイルにはレベル3が設定されているとする。この場合のアクセス制御部528は、アクセスを許可すべきと判定する。
一方、同じくアクセス権限設定部525によりレベル1、2、3のファイルのアクセスが可能であると設定されている状態において、アクセス要求されたファイルにはレベル4が設定されているとする。この場合のアクセス制御部528は、アクセスを禁止すべきと判定する。
For example, when the access request is an access request for a file, the
On the other hand, if the access authority does not indicate that access is possible, it is determined that access should be prohibited.
Specifically, it is assumed that
On the other hand, it is assumed that
アクセス制御部528は、アクセスを禁止すべきと判定した場合には、今回受信したアクセス要求を破棄する。これにより、アクセス要求に応答したファイルの転送は行われず、アクセスが制限される。
一方、アクセス制御部528は、アクセスを許可すべきと判定した場合には、今回受信したアクセス要求を無線LAN制御装置320からアクセス要求先に転送させる。これにより、アクセス要求に応答したデータが要求元の携帯端末装置100に送信され、アクセスが行われることとなる。
このようにアクセス制御部528は、例えばアクセス要求に応じてアクセスの可否を判定し、その判定結果に応じた制御を実行する。これにより、アクセス制御部528は、アクセス権限設定部525により設定されたアクセス権限にしたがった携帯端末装置100ごとのアクセス制限を実現することができる。
If the
On the other hand, when it is determined that access should be permitted, the
In this way, the
[処理手順例]
図12は、第1の実施形態におけるアクセス管理装置500が実行する処理手順例を示している。
まず、ユーザ認証部522は、携帯端末装置100から送信されたユーザ認証要求が受信されるのを待機している(ステップS101−NO)。
ユーザ認証要求が通信部521にて受信されるのに応じて(ステップS101−YES)、ユーザ認証部522は、今回のステップS101により受信したユーザ認証要求に含まれるユーザ名とパスワードを利用したユーザ認証処理を実行する(ステップS102)。
このユーザ認証処理においては、例えばユーザ情報記憶部523に記憶されるユーザ情報のうちで、ユーザ認証要求に含まれるユーザ名及びパスワードの組み合わせと一致するユーザ情報が有れば認証が成立する。一方、ユーザ認証要求に含まれるユーザ名及びパスワードの組み合わせと一致するユーザ情報がユーザ情報記憶部523に無ければ認証は不成立である。
[Example of processing procedure]
FIG. 12 shows an example of a processing procedure executed by the
First, the
In response to the user authentication request received by the communication unit 521 (step S101—YES), the
In this user authentication process, for example, if there is user information that matches the combination of the user name and password included in the user authentication request among the user information stored in the user
ユーザ認証部522は、ステップS102によるユーザ認証処理の結果、認証が成立したか否かについて判定する(ステップS103)。
認証が不成立である場合(ステップS103−NO)、今回のユーザ認証要求に応じた認証成立ユーザ情報は認証状況情報記憶部524に登録されない。アクセス権限設定部525は、認証状況情報記憶部524に認証成立ユーザ情報が記憶されていないユーザYについては、社内の無線LANへのアクセス権限が無いものとして設定する(ステップS109)。つまり、この場合には、ログアウトしたままの状態が維持される。ステップS109の処理を終了した後、アクセス権限設定部525は、ステップS101に処理を戻す。
The
When authentication is not established (step S103—NO), authentication establishment user information corresponding to the current user authentication request is not registered in the authentication status
一方、認証が成立した場合(ステップS103−YES)、ユーザ認証部522は、今回のユーザ認証要求に応じた認証成立ユーザ情報を認証状況情報記憶部524に登録する。認証状況情報記憶部524に認証成立ユーザ情報が登録されているということは、そのユーザYがログインしていることを示す。
これに伴い、アクセス権限設定部525は、認証状況情報記憶部524に認証成立ユーザ情報が記憶されることとなったユーザYをアクセス権限設定対象とする。
On the other hand, when the authentication is established (step S103—YES), the
Accordingly, the access
アクセス権限設定部525は、アクセス権限設定対象のユーザYにアクセス権限を設定するにあたり、そのユーザYが現在において施設FC内に入場中であるか否かについて判定する(ステップS104)。
このために、アクセス権限設定部525は、位置履歴記憶部513に記憶される位置履歴情報のうち、アクセス権限設定対象のユーザに対応するユーザIDの位置履歴情報を位置情報送信部512から取得する。アクセス権限設定部525は、取得した位置履歴情報に入場記録が有れば入場中であると判定する。一方、取得した位置履歴情報に入場記録が無ければ入場中ではないと判定する。
When setting the access authority for the access authority setting target user Y, the access
For this purpose, the access
アクセス権限設定対象のユーザYが入場中ではないと判定した場合(ステップS104−NO)、アクセス権限設定対象のユーザYが携帯端末装置100をログインの状態としたまま施設FCを退出した可能性がある。あるいは、アクセス権限設定対象のユーザYとは異なる者が不正にログインしようとしている可能性がある。
このような場合、アクセス権限設定部525は、今回のユーザ認証要求を行ったユーザについては社内の無線LANへのアクセス権限が無いものとして設定する(ステップS109)。これにより、以降において、今回のユーザ認証要求の送信元の携帯端末装置100は、無線LANと接続することができなくなる。これは、例えば社内のネットワークからログアウトした状態に相当する。
When it is determined that the access authority setting target user Y is not entering (step S104—NO), there is a possibility that the access authority setting target user Y has left the facility FC while the mobile
In such a case, the access
一方、ユーザ認証要求を行ったユーザYが入場中であると判定した場合(ステップS104−YES)、アクセス権限設定部525は、アクセス権限設定対象のユーザYの位置情報が一定時間以内に受信できたか否かについて判定する(ステップS105)。
位置情報が一定時間以内に受信されなかった場合(ステップS105−NO)、ユーザ認証を行ったユーザYが、位置発信器210を所持し忘れている可能性がある。あるいは、位置発信器210を所持することのできない部外者などの不正な者である可能性がある。
この場合のアクセス権限設定部525は、無線LANへのアクセス権限が無いものとして設定する(ステップS109)。
On the other hand, when it is determined that the user Y who made the user authentication request is entering (step S104-YES), the access
If the position information is not received within a certain time (step S105—NO), the user Y who has performed user authentication may have forgotten to have the
In this case, the access
一方、位置情報が一定時間以内に受信された場合(ステップS105−YES)、アクセス権限設定部525は、さらに、現在において、アクセス権限設定対象のユーザYについてユーザグループ対応のアクセス権限の設定が有効であるか否かについて判定する(ステップS106)。
この判定にあたり、アクセス権限設定部525は、前述したように、図7のユーザグループ情報を参照して、アクセス権限対象のユーザYが属するユーザグループに対付けられたユーザグループ指定の属性が「有効」と「無効」のいずれを示しているかについて判定すればよい。
On the other hand, if the location information is received within a certain time (step S105-YES), the access
In this determination, as described above, the access
ユーザグループ対応のアクセス権限の設定が無効である場合(ステップS106−NO)、アクセス権限設定部525は、ユーザ個別のアクセス権限を設定する(ステップS107)。つまり、アクセス権限設定部525は、アクセスクラステーブル記憶部541に記憶されるアクセスクラステーブルと、ユーザ対応アクセス権限情報記憶部542に記憶されるユーザ対応アクセス権限情報を参照してアクセス権限を設定する。
一方、ユーザグループ対応のアクセス権限の設定が有効である場合(ステップS106−YES)、アクセス権限設定部525は、ユーザグループ対応のアクセス権限を設定する(ステップS108)。つまり、アクセス権限設定部525は、アクセスクラステーブル記憶部541に記憶されるアクセスクラステーブルと、ユーザグループ対応アクセス権限情報記憶部543に記憶されるユーザグループ対応アクセス権限情報を参照してアクセス権限を設定する。
ステップS107またはS108の処理を終了した後、アクセス権限設定部525は、ステップS104に処理を戻す。
When the setting of access authority corresponding to the user group is invalid (step S106-NO), the access
On the other hand, when the access authority setting corresponding to the user group is valid (step S106-YES), the access
After completing the process of step S107 or S108, the access
<第2の実施形態>
[概要]
続いて、第2の実施形態について説明する。
第1の実施形態においては、図7のユーザグループ情報テーブルにより予めユーザグループが登録されている。この環境のもとで、例えばグループメンバーからの要求に応じてユーザグループ対応のアクセス権限の設定が有効化されるのに応じて、アクセス権限設定部525が、そのユーザグループに属するユーザYについてユーザグループ対応のアクセス権限を設定していた。
<Second Embodiment>
[Overview]
Next, the second embodiment will be described.
In the first embodiment, user groups are registered in advance by the user group information table of FIG. Under this environment, for example, in response to the setting of the access authority corresponding to the user group being validated in response to a request from the group member, the access
これに対して、第2の実施形態においては、施設FCにおける任意の場所に集まった複数のユーザによる一時的なユーザグループ(一時ユーザグループ)を設定することができる。これにより、例えば、ユーザグループ情報に登録する手間をかけることなく、施設FCにおいて緊急に同じ場所に集まった複数のユーザによるユーザグループを設定することができる。
そして、このように一時ユーザグループを設定することによっては、一時ユーザグループに属するユーザYの携帯端末装置100の間で送受信される情報が、一時ユーザグループに属さないユーザにより受信されないように社内のネットワーク上での経路制御が行われる。
On the other hand, in the second embodiment, a temporary user group (temporary user group) by a plurality of users gathered at an arbitrary place in the facility FC can be set. Thereby, for example, a user group by a plurality of users who urgently gather at the same place in the facility FC can be set without taking time and effort to register the user group information.
By setting the temporary user group in this way, information transmitted and received between the mobile
第2の実施形態における一時ユーザグループは、一例として、以下のような状況において設定することにより有効に機能する。
例えば、施設FCにおける或る場所にて緊急にミーティングが開かれることになり、この場所におけるテーブルなどに数人のユーザYがミーティングメンバーとして集まっている。このミーティングでは、ミーティングメンバーの携帯端末装置100間で送受信したいデータがあるが、このデータはミーティングメンバー以外のユーザYの携帯端末装置100からはアクセスされたくない。しかし、今回のミーティングメンバーに対応するユーザグループについては、ユーザグループ情報に登録していない。
そこで、上記のような状況においてミーティングメンバーによる一時ユーザグループを設定する。一時ユーザグループを設定するにあたっては、例えば、ミーティングメンバーのうちの何れか1名のユーザYが、携帯端末装置100を操作して一時ユーザグループ設定要求をアクセス管理装置500に対して送信すればよい。
The temporary user group in the second embodiment functions effectively by setting in the following situation as an example.
For example, a meeting is urgently held at a certain place in the facility FC, and several users Y gather as meeting members at a table in this place. In this meeting, there is data to be transmitted / received between the mobile
Therefore, a temporary user group is set up by the meeting members in the above situation. In setting the temporary user group, for example, any one user Y among the meeting members may operate the mobile
アクセス管理装置500は、一時ユーザグループ設定要求の受信に応答して、一時ユーザグループを設定する。
このために、アクセス管理装置500は、まず、一時ユーザグループ設定要求の送信元の携帯端末装置100のユーザY(基準ユーザ)の位置を認識し、この位置を基準位置とする。次に、アクセス管理装置500は、この基準位置から一定範囲(一時ユーザグループ有効範囲)に位置しているユーザY(基準ユーザを含む)を一時ユーザグループに属するユーザとして設定する。
このように、一時ユーザグループは、一時ユーザグループ設定要求の送信元の携帯端末装置のユーザの位置情報が示す位置を含む一定範囲の領域に存在することが位置情報によって示されるユーザが属する一時的なユーザグループとして設定される。
なお、一時ユーザグループ有効範囲の広さについては、上記のように予め固定的に定められていてもよいし、例えば一時ユーザグループ設定要求の送信時にユーザが設定できるようにしてもよい。
The
For this purpose, the
In this way, the temporary user group is a temporary group to which the user indicated by the position information belongs to an area within a certain range including the position indicated by the position information of the user of the mobile terminal device that is the transmission source of the temporary user group setting request. User group.
The area of the temporary user group effective range may be fixed in advance as described above, or may be set by the user when a temporary user group setting request is transmitted, for example.
上記のように一時ユーザグループに属するユーザを設定すると、アクセス管理装置500は、一時ユーザグループ対応の経路制御を実行する。つまり、アクセス管理装置500は、一時ユーザグループに属するユーザの携帯端末装置100間で送受信するデータについては、他のユーザYの携帯端末装置100がアクセスできないように経路制御を実行する。これにより、施設FCのネットワークにおいて、一時ユーザグループのユーザYの携帯端末装置100間の通信が、他の携帯端末装置100とは切り離された状態とすることができる。
When a user belonging to a temporary user group is set as described above, the
また、一時ユーザグループ有効範囲に存在していることで一時ユーザグループに属していた或るユーザYが席を外したことで一時ユーザグループ有効範囲外に位置した場合、このユーザYは一時ユーザグループには属しないものとして設定される。これに応じて、このユーザYの携帯端末装置100は、一時ユーザグループのユーザの携帯端末装置100間で送受信しているデータにアクセスできなくなる。
また、一時ユーザグループが設定されている状態のもとで、後から、別のユーザYがミーティングに加わるために一時ユーザグループ有効範囲内に移動してくると、このユーザYが新規に一時ユーザグループに属するものとして設定される。これに応じて、このユーザYの携帯端末装置100は、一時ユーザグループのユーザの携帯端末装置100間で送受信しているデータにアクセスすることができる。
このように、一時ユーザグループが設定されている状態では、その一時ユーザグループに対応する一時ユーザグループ有効範囲に位置しているユーザであれば、一時ユーザグループの携帯端末装置100間で送受信するデータにアクセスできるアクセス権限を有することができる。
Further, when a certain user Y who belongs to the temporary user group because he / she is present in the temporary user group effective range is out of the temporary user group effective range because he / she has removed his / her seat, the user Y is in the temporary user group effective range. It is set as not belonging to. Accordingly, the mobile
In addition, when a temporary user group is set, if another user Y moves within the effective range of the temporary user group in order to join the meeting later, the user Y becomes a new temporary user. Set as belonging to a group. In response to this, the mobile
Thus, in the state where the temporary user group is set, if the user is located in the effective range of the temporary user group corresponding to the temporary user group, data transmitted and received between the mobile
また、一度設定した一時ユーザグループを解除するには、例えば、その一時ユーザグループに属するユーザYのうちの1名が携帯端末装置100を操作して、アクセス管理装置500に対して一時ユーザグループ解除要求を送信すればよい。
この一時ユーザグループ解除要求に応じて、アクセス管理装置500は、これまで実行していた一時ユーザグループ対応の経路制御を停止する。これに伴って、一時ユーザグループの設定も解除される。
In order to cancel the temporary user group once set, for example, one of the users Y belonging to the temporary user group operates the mobile
In response to this temporary user group release request, the
また、例えばミーティングが終了するなどして一時ユーザグループを解除してよいのにもかかわらず、ユーザが一時ユーザグループ解除要求を送信するための操作を忘れたり怠ったりする場合もあると考えられる。そこで、一時ユーザグループについては、一定の条件を満たした場合に自動的にその設定が解除されるようにしてよい。
一例として、例えば、一時ユーザグループ設定要求に応じた最初の一時ユーザグループの設定が行われてから所定時間を経過するという条件を満たすのに応じて、自動的に一時ユーザグループを解除させることができる。
また、一時ユーザグループ有効範囲内に位置するユーザYの数が、例えば1名になるなど、一定以下になるという条件を満たすのに応じて、自動的に一時ユーザグループを解除させることもできる。
また、一時ユーザグループに属するユーザの携帯端末装置100間でのデータの送受信が行われなくなってから一定時間を経過するという条件を満たすのに応じて一時ユーザグループを自動的に解除させることもできる。
In addition, for example, it is considered that the user may forget or neglect the operation for transmitting the temporary user group cancellation request even though the temporary user group may be canceled when the meeting ends, for example. Therefore, the temporary user group may be automatically canceled when a certain condition is satisfied.
As an example, for example, the temporary user group may be automatically canceled when a condition that a predetermined time elapses after the setting of the first temporary user group in response to the temporary user group setting request is satisfied. it can.
In addition, the temporary user group can be automatically canceled in accordance with the condition that the number of users Y positioned within the temporary user group effective range is, for example, one or less, such as one.
In addition, the temporary user group can be automatically canceled in accordance with the condition that a predetermined time elapses after the data belonging to the temporary user group is no longer transmitted / received between the mobile
[処理手順例]
図13は、一時ユーザグループの設定に関連してアクセス管理装置500が実行する処理手順例を示している。
アクセス管理装置500において、アクセス権限設定部525は、携帯端末装置100から送信される一時ユーザグループ設定要求が受信されるのを待機している(ステップS201−NO)。
[Example of processing procedure]
FIG. 13 shows an example of a processing procedure executed by the
In the
一時ユーザグループ設定要求が受信されるのに応じて(ステップS201−YES)、アクセス権限設定部525は、一時ユーザグループに含めるべき基準ユーザと近接ユーザのうち、基準ユーザを設定する(ステップS202)。つまり、アクセス権限設定部525は、一時ユーザグループ設定要求の送信元である携帯端末装置100のユーザYを基準ユーザとして設定する。
次に、アクセス権限設定部525は、ステップS202により設定された基準ユーザに基づいて、一時ユーザグループ有効範囲を設定する(ステップS203)。つまり、アクセス権限設定部525は、位置情報サーバ510の位置情報取得部511により取得された位置情報のうちから基準ユーザの位置情報が示す位置を基準とする一定範囲を一時ユーザグループ有効範囲として設定する。この一時ユーザグループ有効範囲は、ユーザYが一時ユーザグループに属することのできる施設FC内の領域である。
In response to the reception of the temporary user group setting request (step S201-YES), the access
Next, the access
上記のように一時ユーザグループ有効範囲を設定したうえで、アクセス権限設定部525は、一時ユーザグループの設定が解除されるまで、ステップS204〜S207による処理を繰り返し実行する。
つまり、アクセス権限設定部525は、一時ユーザグループ有効範囲内に位置するユーザYを特定する(ステップS204)。例えば、アクセス権限設定部525は、位置情報取得部511にて取得された位置情報のうちから一時ユーザグループ有効範囲内の位置を示す位置情報を選別する。これらの選別した位置情報に付加されたユーザIDにより、アクセス権限設定部525は、一時ユーザグループ有効範囲内に位置するユーザYを特定できる。なお、このステップS204により一時ユーザグループ有効範囲内に位置するものとして特定されるユーザYには、ステップS202にて設定された基準ユーザも含まれる。
アクセス権限設定部525は、一時ユーザグループ有効範囲内に位置するものとして特定されたユーザYを、現在において一時ユーザグループに属するユーザであると認識する。
このステップS204は、一時ユーザグループ有効範囲内に位置するユーザYの特定に応じて一時ユーザグループを設定していることに相当する。そして、アクセス権限設定部525は、一時ユーザグループの設定に応じて、この一時ユーザグループに属するユーザYの間で共有すべき情報がユーザグループに属さないユーザによっては共有されないようにアクセス権限を設定する。
After setting the temporary user group effective range as described above, the access
That is, the access
The access
This step S204 corresponds to setting a temporary user group according to the specification of the user Y located within the temporary user group effective range. Then, according to the setting of the temporary user group, the access
そして、アクセス制御部528は、ステップS204に応じて設定された一時ユーザグループに対応する経路制御を実行する(ステップS205)。つまり、ステップS204により一時ユーザグループ有効範囲内に位置していると特定されたユーザY(一時ユーザグループに属するユーザ)の携帯端末装置100の間で送受信されるデータが、この一時ユーザグループに属していないユーザYの携帯端末装置100からはアクセスできないように制御する。
具体的に、例えばアクセス制御部528は、一時ユーザグループに属するユーザYの携帯端末装置100間で送受信されるデータについては通常に行われるように経路制御を実行する。そのうえで、例えば、一時ユーザグループに属さないユーザYの携帯端末装置100から一時ユーザグループに属するユーザYの携帯端末装置100に対してアクセスが行われた場合、アクセス制御部528は、このアクセスのための通信のために送信されたパケットを無線LAN制御部320が破棄するように指示する。また、一時ユーザグループに属するユーザの携帯端末装置100が、一時ユーザグループに属さないユーザYの携帯端末装置100を宛先としてデータを送信した場合にも、アクセス制御528は、このデータのパケットを転送することなく破棄するように無線LAN制御部320に対して指示する。
Then, the
Specifically, for example, the
次に、アクセス権限設定部525は、現在において一時ユーザグループに属しているユーザYの携帯端末装置100から送信された一時ユーザグループ解除要求が受信されたか否かについて判定する(ステップS206)。
一時ユーザグループ解除要求が受信されない場合(ステップS206−NO)、アクセス権限設定部525は、さらに、一時ユーザグループを解除するための一定条件が満たされたか否かについて判定する(ステップS207)。
Next, the access
When the temporary user group release request is not received (step S206—NO), the access
一時ユーザグループを解除するための一定条件が満たされていない場合(ステップS207−NO)、アクセス権限設定部525は、ステップS204に処理を戻す。これにより、アクセス権限設定部525は、一時ユーザグループ有効範囲内に位置するユーザYを一時ユーザグループに属するユーザとして認識しながら、一時ユーザグループ対応の経路制御を実行していく。
そして、一時ユーザグループ解除要求を受信した場合(ステップS206−YES)、または一時ユーザグループ解除のための一定条件を満たした場合(ステップS207−YES)、アクセス権限設定部525は、これまでの一時ユーザグループ対応の経路制御を停止させる(ステップS208)。これに伴って、一時ユーザグループの設定は解除される。
When the predetermined condition for canceling the temporary user group is not satisfied (step S207—NO), the access
When the temporary user group cancellation request is received (step S206—YES), or when certain conditions for temporary user group cancellation are satisfied (step S207—YES), the access
なお、図1の構成では、ユーザYが所持する位置発信器210と施設FCに設置された位置情報ユニット220により位置情報を取得するようにしている。しかし、例えば、以下のようにしても位置情報を取得できる。
つまり、施設FCにおいて区画する領域を部屋単位として部屋ごとにICカードリーダ160を備える。そして、ユーザYが部屋を入退出するごとにICカードリーダ160がICカード150と通信を行って部屋ごとに入場記録と退場記録の情報を入退出履歴として記憶しておくようにする。このような構成とすれば、入退出履歴に基づいてユーザYの位置を部屋単位で示す位置情報を取得することができる。
In the configuration of FIG. 1, the position information is acquired by the
In other words, the
また、図4に示すアクセス管理装置500は、位置情報サーバ510と認証サーバ520とを備えた構成であるが、例えば位置情報サーバ510と認証サーバ520の各機能部を1つの装置に統合するように構成してもよい、
Also, the
また、これまでの説明では、施設FCが企業などにおけるオフィス環境である場合を例に挙げているが、例えば、図書館などの公共設備や食堂などをはじめ各種の施設において本発明の構成を適用できる。 In the description so far, the case where the facility FC is an office environment in a company is taken as an example. However, the configuration of the present invention can be applied to various facilities such as public facilities such as a library and a dining room. .
また、図4におけるアクセス管理装置500における各部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりアクセス権限の設定とこれに応じた経路制御などを行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。 4 is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into a computer system and executed. Access authority setting and route control according to this may be performed. Here, the “computer system” includes an OS and hardware such as peripheral devices.
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよい。
Further, the “computer system” includes a homepage providing environment (or display environment) if a WWW system is used.
The “computer-readable recording medium” refers to a storage device such as a flexible medium, a magneto-optical disk, a portable medium such as a ROM and a CD-ROM, and a hard disk incorporated in a computer system. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included. The program may be a program for realizing a part of the functions described above, and may be a program capable of realizing the functions described above in combination with a program already recorded in a computer system.
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。 The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes designs and the like that do not depart from the gist of the present invention.
100 携帯端末装置
150 ICカード
160 ICカードリーダ
210 位置発信器
220 位置情報ユニット
310 無線LAN基地局
320 無線LAN制御装置
400 ファイルサーバ
500 アクセス管理装置
510 位置情報サーバ
511 位置情報取得部
512 位置情報送信部
513 位置履歴記憶部
520 認証サーバ
521 通信部
522 ユーザ認証部
523 ユーザ情報記憶部
524 認証状況情報記憶部
525 アクセス権限設定部
526 アクセス権限情報記憶部
527 アクセス権限設定情報記憶部
528 アクセス制御部
DESCRIPTION OF
Claims (5)
携帯端末装置から受信したユーザ認証情報に基づいて携帯端末装置のユーザについてのユーザ認証処理を実行するユーザ認証部と、
施設内のユーザの位置を示す位置情報を取得する位置情報取得部と、
ユーザ認証が成立したユーザのアクセス権限を前記位置情報取得部により取得された位置情報に基づいて設定するアクセス権限設定部と、
前記アクセス権限設定部により設定されたアクセス権限にしたがって、ネットワーク上の資源への携帯端末装置のアクセスの可否を制御するアクセス制御部とを備え、
前記アクセス権限設定部は、
ユーザグループ設定要求の受信に応じて、前記ユーザグループ設定要求の送信元の携帯端末装置のユーザの位置情報が示す位置を含む一定範囲の領域に存在することが位置情報によって示されるユーザが属するユーザグループを設定し、前記ユーザグループに属するユーザの間で共有すべき情報が前記ユーザグループに属さないユーザによっては共有されないようにアクセス権限を設定し、
前記アクセス制御部は、
前記ユーザグループに属するユーザの携帯端末装置の間で送受信されるデータが前記ユーザグループに属さないユーザの携帯端末装置からはアクセスできないように制御する
アクセス管理装置。 A communication unit that communicates with the mobile terminal device via a wireless network;
A user authentication unit that executes user authentication processing for the user of the mobile terminal device based on the user authentication information received from the mobile terminal device;
A position information acquisition unit that acquires position information indicating the position of the user in the facility;
An access authority setting unit that sets an access authority of a user for whom user authentication has been established based on the location information acquired by the location information acquisition unit;
An access control unit that controls whether or not the mobile terminal device can access resources on the network according to the access authority set by the access authority setting unit ;
The access authority setting unit
The user to which the user whose position information indicates that the user group setting request exists in a certain range of area including the position indicated by the user position information of the mobile terminal device that is the transmission source of the user group setting request in response to receiving the user group setting request Set a group, set access rights so that information that should be shared among users belonging to the user group is not shared by users not belonging to the user group,
The access control unit
An access management apparatus that controls data transmitted / received between portable terminal devices of users belonging to the user group so that the data cannot be accessed from portable terminal devices of users not belonging to the user group .
前記アクセス権限設定部は、
ユーザ認証が成立したユーザのユーザ識別子と、前記位置情報取得部により取得された位置情報が示す位置との組み合わせに該当するアクセス権限を前記ユーザ対応アクセス権限情報から選択し、選択したアクセス権限を設定する
請求項1に記載のアクセス管理装置。 A user-accessible access authority information storage unit for storing user-accessible access authority information indicating an access authority corresponding to each combination of a user identifier and a location in the facility;
The access authority setting unit
Select the access authority corresponding to the combination of the user identifier of the user for whom user authentication has been established and the position indicated by the position information acquired by the position information acquisition unit from the user-corresponding access authority information, and set the selected access authority The access management device according to claim 1 .
前記アクセス権限設定部は、
ユーザ認証が成立したユーザのユーザ識別子と、前記位置情報取得部により取得された位置情報が示す位置との組み合わせに該当するアクセス権限を前記ユーザグループ対応アクセス権限情報から選択し、選択したアクセス権限を設定する
請求項1または2に記載のアクセス管理装置。 A user group-corresponding access authority information storage unit that stores user group-corresponding access authority information indicating access authority corresponding to each combination of the user identifiers of the plurality of users belonging to the user group and the position in the facility;
The access authority setting unit
The access authority corresponding to the combination of the user identifier of the user for whom user authentication has been established and the position indicated by the position information acquired by the position information acquisition unit is selected from the user group-corresponding access authority information, and the selected access authority is The access management apparatus according to claim 1 or 2 .
施設内のユーザの位置を示す位置情報を取得する位置情報取得ステップと、
ユーザ認証が成立したユーザのアクセス権限を前記位置情報取得ステップにより取得された位置情報に基づいて設定するアクセス権限設定ステップと、
前記アクセス権限設定ステップにより設定されたアクセス権限にしたがって、ネットワーク上の資源への携帯端末装置のアクセスの可否を制御するアクセス制御ステップとを備え、
前記アクセス権限設定ステップは、
ユーザグループ設定要求の受信に応じて、前記ユーザグループ設定要求の送信元の携帯端末装置のユーザの位置情報が示す位置を含む一定範囲の領域に存在することが位置情報によって示されるユーザが属するユーザグループを設定し、前記ユーザグループに属するユーザの間で共有すべき情報が前記ユーザグループに属さないユーザによっては共有されないようにアクセス権限を設定し、
前記アクセス制御ステップは、
前記ユーザグループに属するユーザの携帯端末装置の間で送受信されるデータが前記ユーザグループに属さないユーザの携帯端末装置からはアクセスできないように制御する
アクセス管理方法。 A user authentication step for executing a user authentication process for the user of the mobile terminal device based on the user authentication information received from the mobile terminal device via a wireless network;
A location information acquisition step for acquiring location information indicating the location of the user in the facility;
An access authority setting step for setting an access authority of a user for whom user authentication has been established based on the position information acquired by the position information acquisition step;
An access control step for controlling whether or not the mobile terminal device can access resources on the network according to the access authority set in the access authority setting step ,
The access authority setting step includes:
The user to which the user whose position information indicates that the user group setting request exists in a certain range of area including the position indicated by the user position information of the mobile terminal device that is the transmission source of the user group setting request in response to receiving the user group setting request Set a group, set access rights so that information that should be shared among users belonging to the user group is not shared by users not belonging to the user group,
The access control step includes
An access management method for controlling data transmitted / received between mobile terminal devices of users belonging to the user group so that the data cannot be accessed from mobile terminal devices of users not belonging to the user group .
携帯端末装置から無線によるネットワークを経由して受信したユーザ認証情報に基づいて携帯端末装置のユーザについてのユーザ認証処理を実行するユーザ認証ステップと、
施設内のユーザの位置を示す位置情報を取得する位置情報取得ステップと、
ユーザ認証が成立したユーザのアクセス権限を前記位置情報取得ステップにより取得された位置情報に基づいて設定するアクセス権限設定ステップと、
前記アクセス権限設定ステップにより設定されたアクセス権限にしたがって、ネットワーク上の資源への携帯端末装置のアクセスの可否を制御するアクセス制御ステップと
を実行させるためのプログラムであって、
前記アクセス権限設定ステップは、
ユーザグループ設定要求の受信に応じて、前記ユーザグループ設定要求の送信元の携帯端末装置のユーザの位置情報が示す位置を含む一定範囲の領域に存在することが位置情報によって示されるユーザが属するユーザグループを設定し、前記ユーザグループに属するユーザの間で共有すべき情報が前記ユーザグループに属さないユーザによっては共有されないようにアクセス権限を設定し、
前記アクセス制御ステップは、
前記ユーザグループに属するユーザの携帯端末装置の間で送受信されるデータが前記ユーザグループに属さないユーザの携帯端末装置からはアクセスできないように制御する
プログラム。 On the computer,
A user authentication step for executing a user authentication process for the user of the mobile terminal device based on the user authentication information received from the mobile terminal device via a wireless network;
A location information acquisition step for acquiring location information indicating the location of the user in the facility;
An access authority setting step for setting an access authority of a user for whom user authentication has been established based on the position information acquired by the position information acquisition step;
An access control step for controlling whether or not the mobile terminal device can access resources on the network according to the access authority set in the access authority setting step ,
The access authority setting step includes:
The user to which the user whose position information indicates that the user group setting request exists in a certain range of area including the position indicated by the user position information of the mobile terminal device that is the transmission source of the user group setting request in response to receiving the user group setting request Set a group, set access rights so that information that should be shared among users belonging to the user group is not shared by users not belonging to the user group,
The access control step includes
Control is performed so that data transmitted / received between portable terminal devices of users belonging to the user group cannot be accessed from portable terminal devices of users not belonging to the user group.
program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013052251A JP6108344B2 (en) | 2013-03-14 | 2013-03-14 | Access management apparatus, access management method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013052251A JP6108344B2 (en) | 2013-03-14 | 2013-03-14 | Access management apparatus, access management method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014178873A JP2014178873A (en) | 2014-09-25 |
JP6108344B2 true JP6108344B2 (en) | 2017-04-05 |
Family
ID=51698757
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013052251A Active JP6108344B2 (en) | 2013-03-14 | 2013-03-14 | Access management apparatus, access management method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6108344B2 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6519376B2 (en) * | 2015-07-23 | 2019-05-29 | 富士ゼロックス株式会社 | Connection management program and information processing apparatus |
TWI715549B (en) * | 2015-12-22 | 2021-01-11 | 日商連股份有限公司 | Behavior-based social id switching mechanism |
JP7024175B2 (en) * | 2016-03-24 | 2022-02-24 | カシオ計算機株式会社 | Terminals, servers, systems, management methods and programs |
JP6699411B2 (en) * | 2016-07-06 | 2020-05-27 | コニカミノルタ株式会社 | Information processing system, information processing device, and program |
CN112804240B (en) * | 2021-01-19 | 2023-04-18 | 深圳市天彦通信股份有限公司 | Function control method, device, server, storage medium and product |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007094548A (en) * | 2005-09-27 | 2007-04-12 | Softbank Telecom Corp | Access control system |
JPWO2009087801A1 (en) * | 2008-01-10 | 2011-05-26 | 日本電気株式会社 | File sharing system, access right management method and terminal |
JP2010239365A (en) * | 2009-03-31 | 2010-10-21 | Ntt Docomo Inc | Communication apparatus and shared-folder connection method |
JP2012194846A (en) * | 2011-03-17 | 2012-10-11 | Nec Corp | Network system |
-
2013
- 2013-03-14 JP JP2013052251A patent/JP6108344B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014178873A (en) | 2014-09-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2997954C (en) | Device enabled identity authentication | |
CN109565640B (en) | Secure private location-based services | |
JP4778970B2 (en) | Mobile terminal, access control management apparatus, and access control management method | |
US10185816B2 (en) | Controlling user access to electronic resources without password | |
US9443362B2 (en) | Communication and processing of credential data | |
JP6108344B2 (en) | Access management apparatus, access management method and program | |
US10028139B2 (en) | Leveraging mobile devices to enforce restricted area security | |
JP4511525B2 (en) | Access control system, access control device used therefor, and resource providing device | |
JP5311039B2 (en) | COMMUNICATION SYSTEM AND COMMUNICATION METHOD THEREOF | |
US8122481B2 (en) | System and method for permission management | |
EP1650926B1 (en) | Automatically granting root access to administrators, without requiring the root password | |
AU2012234407A1 (en) | Distribution of premises access information | |
US10298556B2 (en) | Systems and methods for secure storage and management of credentials and encryption keys | |
JP2007094548A (en) | Access control system | |
JP2001175601A (en) | Guarantee system for uniqueness of access right | |
US9756173B2 (en) | Leveraging mobile devices to enforce restricted area security | |
KR20140148441A (en) | System and method for automatic provisioning of managed devices | |
RU2348075C2 (en) | Transition of entities with accounts over security boundaries without service interruption | |
WO2014061897A1 (en) | Method for implementing login confirmation and authorization service using mobile user terminal | |
CN106534102A (en) | Device access method and device and electronic device | |
KR101980828B1 (en) | Authentication method and apparatus for sharing login ID | |
JP2022091771A (en) | Information processing apparatus, information processing method, and information processing system | |
JP2005085154A (en) | Network system and terminal device | |
JP6221803B2 (en) | Information processing apparatus, connection control method, and program | |
JP2012230599A (en) | Service providing apparatus, service providing method and service providing program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151118 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161028 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161122 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170117 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170207 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170228 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6108344 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |