JPH09152990A - アクセス制御システムおよびアクセス制御方法 - Google Patents

アクセス制御システムおよびアクセス制御方法

Info

Publication number
JPH09152990A
JPH09152990A JP7312592A JP31259295A JPH09152990A JP H09152990 A JPH09152990 A JP H09152990A JP 7312592 A JP7312592 A JP 7312592A JP 31259295 A JP31259295 A JP 31259295A JP H09152990 A JPH09152990 A JP H09152990A
Authority
JP
Japan
Prior art keywords
access
security level
information terminal
access control
resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP7312592A
Other languages
English (en)
Inventor
Yasuaki Yoshino
恭明 吉野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP7312592A priority Critical patent/JPH09152990A/ja
Publication of JPH09152990A publication Critical patent/JPH09152990A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】モーバイルコンピューティング環境に最適なセ
キュリティー確保のためのアクセス制御システムを実現
する。 【解決手段】情報端末11を利用するアクセス場所が場
所識別認証部112によって特定され、その特定された
情報セキュリティーレベルを用いて、アクセス制御リス
ト115がサーチされる。アクセス制御リスト115に
は、資源毎にそれをアクセスするために必要な情報セキ
ュリティーレベルが規定されている。従って、ユーザが
アクセスを要求してきた場所をアクセス可否の判断基準
に追加できるようになり、アクセス場所に応じて、利用
できる資源の制限を変えることが可能となる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、各種コンピュー
タ資源に対する利用者からのアクセス要求を許可または
禁止するための制御を行うアクセス制御システムおよび
アクセス制御方法に関する。
【0002】
【従来の技術】近年、コンピュータやネットワーク技術
の発達、あるいはそれらを利用した情報サービスの発展
に伴い、様々な情報セキュリティー技術が実現されてい
る。この情報セキュリティーを実現する技術の1つとし
て、アクセス制御が知られている。
【0003】アクセス制御とは、ユーザ認証などにより
識別された主体から要求されたコンピュータ資源へのア
クセスを、予め設定されたアクセス制御リストを用いて
許可するか禁止するかの制御を行う技術をいう。アクセ
ス制御リストには、ユーザ名とそのユーザが利用可能な
資源との対応関係などが記述されている。
【0004】このアクセス制御技術を利用することによ
り、特定個人/特定計算機の関係において特定資源の利
用だけを許可するという情報セキュリティーが実現さ
れ、悪意を持った様々な不正アクセスからコンピュータ
資源を保護することができる。
【0005】しかし、PDA、サブノートPC等の携帯
情報端末を用いるモーバイルコンピューティング環境下
においては、個人や計算機の情報だけでアクセス可否を
判断する従来のアクセス制御技術では、十分な情報セキ
ュリティーを得ることはできない。
【0006】すなわち、モーバイルコンピューティング
環境下では、個人が携帯情報端末を持ち歩いて、不特定
の場所からその携帯情報端末内のデータを直接アクセス
したり、遠隔地にあるサーバ計算機のデータベースなど
にネットワーク経由でアクセスする可能性がある。この
場合、その携帯情報端末が使用される場所によっては、
サーバから提供された機密性を持つ情報や個人認証のた
めのパスワードが第三者に盗まれたり、その情報漏洩が
元で、ネットワークを介したサーバ計算機への不正進入
を許し、機密情報の改竄や運用妨害といった攻撃を受け
る危険がある。
【0007】また、最近では、携帯情報端末自体から発
生される電磁波から、その携帯情報端末の表示画面の内
容や操作状況を読みとることができるという報告もなさ
れている。したがって、モーバイルコンピューティング
環境下では、携帯情報端末を使用する場所そのものが、
セキュリティー保持のための重要な要素となっている。
【0008】
【発明が解決しようとする課題】上述したように、モー
バイルコンピューティング環境下では、個人が携帯情報
端末を持ち歩いて、不特定の場所からその携帯情報端末
内のデータを直接アクセスしたり、遠隔地にあるサーバ
計算機のデータベースなどにネットワーク経由でアクセ
スする可能性があるため、個人や計算機の情報だけでア
クセス可否を判断する従来のアクセス制御技術では、十
分な情報セキュリティーを得ることができないという問
題がある。
【0009】この発明はこの様な点に鑑みてなされたも
のであり、個人や計算機の情報だけでなく、ユーザがア
クセスを要求してきた場所をアクセス可否の判断基準に
追加できるようにして、十分なセキュリティを確保しな
がらユーザの利便を考慮したアクセス形態を実現し得る
アクセス制御システムおよびアクセス制御方法を提供す
ることを目的とする。
【0010】
【課題を解決するための手段】この発明は、各種コンピ
ュータ資源に対する利用者からのアクセス要求を許可ま
たは禁止するための制御を行うアクセス制御システムに
おいて、前記資源のアクセスのために利用者によって情
報端末が使用されるアクセス場所を特定するアクセス場
所特定手段と、このアクセス場所特定手段によって特定
されたアクセス場所について予め設定された情報セキュ
リティーレベルに応じて、前記利用者から要求された資
源に対するアクセスの可否を判定するアクセス可否判定
手段とを具備することを特徴とする。
【0011】このアクセス制御システムにおいては、情
報端末を利用するアクセス場所が特定され、そのアクセ
ス場所の情報セキュリティーレベルを使用したアクセス
制御が行われる。このため、ユーザがアクセスを要求し
てきた場所をアクセス可否の判断基準に追加できるよう
になり、アクセス場所に応じて、利用できる資源の制限
を変えることが可能となる。
【0012】従って、公共の場所などのようにセキュリ
ティーレベルが低い場所では機密性の高い情報へのアク
セスは禁止されるが、外出先であっても、セキュリティ
ーレベルが高い場所であれば、機密情報にアクセスする
ことができる。よって、十分なセキュリティを確保しな
がらユーザの利便を考慮したアクセス形態を実現でき
る。
【0013】
【発明の実施の形態】以下、図面を参照してこの発明の
実施形態を説明する。図1には、この発明の一実施形態
に係るアクセス制御システムが適用されるモーバイルコ
ンピューティングシステム全体の構成が示されている。
このモーバイルコンピューティングシステムは、携帯情
報端末11と、この携帯情報端末11と電話回線網やI
SDNなどの通信網10を介して各種情報を授受するサ
ーバ計算機21とを利用して実現されている。
【0014】携帯情報端末11は例えばPDAやノート
PC等の小型電子機器であり、自宅、マンション、自社
オフィス、サテライトオフィス、貸しオフィス、ホテ
ル、喫茶店、公園、空港、地下鉄など、不特定の場所
(アクセス場所A,B,…,N)で利用される。この携
帯情報端末11はその端末11内の記憶装置に対する情
報の入出力を始め、通信網10を経由してサーバ計算機
21をアクセスするための通信機能も有している。携帯
情報端末11の利用者が外出先などからサーバ計算機2
1と通信する場合には、その利用者が現在いる場所に設
置されている電話機12等の公衆通信端末に携帯情報端
末11が接続され、有線通信の形態で携帯情報端末11
とサーバ計算機21間の通信が行われる。また、PHS
13等の携帯電話を使用すれば、電話機12がない場所
でも、最寄りの無線電話基地局30経由でサーバ計算機
21と通信することができる。
【0015】サーバ計算機21は、例えばオフィス内等
に配置されている計算機であり、LAN20および通信
制御装置(CCP)23等を介して通信回線網10と接
続されている。
【0016】この実施形態では、携帯情報端末11内に
次のようなアクセス制御システムが実現されている。こ
のアクセス制御システムは、携帯情報端末11内の各種
資源114に対する利用者からのアクセス要求を許可ま
たは禁止するための制御を行うソフトウェアであり、ユ
ーザ識別認証部111、アクセス場所識別認証部11
2、アクセス可否判定部113、アクセス制御リスト1
15、およびアクセスログ116を備えている。
【0017】ユーザ識別認証部111は、携帯情報端末
11の利用者によって入力されるユーザ名を使用して利
用者が誰であるかを識別し、次いで、そのユーザ名に対
応する登録パスワードと利用者によって入力されるパス
ワードとの照合を行って、利用者が正当な人であること
を調べるための認証を行う。
【0018】アクセス場所識別認証部112は、携帯情
報端末11が現在利用されているアクセス場所およびそ
のアクセス場所について予め設定された情報セキュリテ
ィーレベルについてその識別および認証を行う。このア
クセス場所識別認証部112による場所に関する識別お
よび認証処理の原理を図2に示す。
【0019】図2に示されているように、例えば、貸し
オフィス、ホテル、喫茶店、各種交通機関等に構築され
た各アクセス場所においては、セキュリティーレベル発
信器100が予め設置されており、そのセキュリティー
レベル発信器100から送信される電波等の無線信号が
携帯情報端末11によって受信される。
【0020】セキュリティーレベル発信器100から携
帯情報端末11の場所識別認証部112に与えられる情
報は、そのアクセス場所を特定するための識別子とその
アクセス場所に対して予め設定された情報セキュリティ
ーレベルである。
【0021】各アクセス場所の情報セキュリティレベル
は、公共的な中立機関によって定めた基準に従って決定
する。すなわち、中立機関は、アクセス場所毎にそのア
クセス場所の環境を評価し、基準に従ってそのアクセス
場所の情報セキュリティーレベルを認定する。情報セキ
ュリティーレベルは、セキュリティに関して何も考慮さ
れていない最低レベルから、ソフト/ハード両側面から
最大級の対策が施されている最高レベルまで、複数の段
階に区分される。これにより、自宅、自社オフィス、サ
テライトオフィス、貸しオフィス、ホテル、喫茶店、各
種交通機関等においては、用途/予算に応じて、様々な
セキュリティレベルの「アクセス場所」を構築すること
ができる。
【0022】情報セキュリティーレベルの認定がなされ
たアクセス場所に対しては、その場所の識別子と認定さ
れた情報セキュリティーレベルの情報とが設定されたセ
キュリティーレベル発信器100が付与される。
【0023】この場合、セキュリティーレベル発信器1
00から発生される情報の改竄を防止するために、セキ
ュリティーレベル発信器100に設定される情報は中立
機関によって電子署名などの暗号技術を用いて暗号化さ
れて保護されている。従って、セキュリティーレベル発
信器100からも暗号化された信号が発生されることに
なる。携帯情報端末11は、この暗号化された信号を復
号化してアクセス場所の識別子および情報セキュリティ
レベルを認識する。
【0024】図3には、セキュリティーレベル発信器1
00から発生されるセキュリティーレベル信号の内容と
セキュリティレベルの高低との対応関係が示されてい
る。この例では、セキュリティーレベル信号Aが最もセ
キュリティーが高く、セキュリティーレベル信号B,
C,D,E,Fの順でセキュリティーレベルが段階的に
低くなる。また、場所識別子や情報セキュリティーレベ
ルについての情報が得られない場所は、場所不明、且つ
最低レベルのセキュリティとして扱われる。
【0025】以上のように、場所識別認証部112は、
携帯情報端末11が存在するアクセス場所の電波環境か
らその場所とその場所の情報セキュリティーレベルを決
定する。
【0026】次に、図1のアクセス制御システムの他の
構成要素について説明する。アクセス可否判定部113
は、ユーザ識別認証部111および場所識別認証部11
2それぞれからの識別認識情報と、アクセス制御リスト
115の内容に従って、ユーザから要求された資源に対
するアクセスを許可するか否かの可否判定を行う。この
判定結果は、アクセス制御の履歴情報としてアクセスロ
グ116に記録される。この履歴情報は、攻撃行為の検
出や攻撃者の特定などに使用される。
【0027】アクセス制御リスト115は、各種資源1
14それぞれについて、それをアクセス可能なユーザ名
(またはグループ名)とアクセス場所の情報セキュリテ
ィーレベルを規定したものであり、図4に示されている
ように、資源、ユーザ名(またはグループ名)、および
情報セキュリティーレベルの対応関係が保持されてい
る。この図4の例では、データファイルAをアクセスす
るために必要なアクセス場所の情報セキュリティーレベ
ルは“A”であり、データファイルBをアクセスするた
めに必要なアクセス場所の情報セキュリティーレベルは
“C”である場合が示されている。この場合、もしデー
タファイルA,B双方についてアクセスが許可されてい
る利用者が、携帯情報端末11を情報セキュリティーレ
ベル“B”のアクセス場所で操作すると、データファイ
ルBに対するアクセス要求については許可されるが、デ
ータファイルAに対するアクセス要求については禁止さ
れる。
【0028】次に、図5のフローチャートを参照して、
図1のアクセス制御システムの動作について説明する。
ユーザが、ある資源へのアクセスを要求し、その結果が
得られるまでの流れは次のようになる。
【0029】1.アクセス制御システムは、ユーザがあ
る資源へのアクセスを要求したことを検知すると、イベ
ント待ち状態から抜け(ステップS11)、以下のアク
セス制御動作を行う。
【0030】2.すなわち、まず、アクセス制御システ
ムのユーザ識別認証部111は、ユーザを特定し、場所
識別認証部112はユーザのいる場所の情報セキュリテ
ィレベルを特定して、結果をアクセス可否判定部113
に渡す(ステップS12,13)。
【0031】3.次に、アクセス可否判定部113は、
ユーザ、アクセス場所の情報セキュリティレベル、およ
びアクセス対象資源の情報を元にアクセス制御リスト1
15をサーチし、アクセス要求の許可/非許可の判定を
行う(ステップS14)。判定結果は許可/非許可のど
ちらの場合においても、アクセス制御履歴として、アク
セスログ116に記録される(ステップS15,1
6)。
【0032】4.また、アクセス要求を許可した場合に
は、アクセス制御システムは、ユーザに対して要求され
た資源を渡す(ステップS17)。以上のように、この
実施形態1においては、情報端末11を利用するアクセ
ス場所が特定され、そのアクセス場所の情報セキュリテ
ィーレベルを使用したアクセス制御が行われる。このた
め、ユーザがアクセスを要求してきた場所をアクセス可
否の判断基準に追加できるようになり、アクセス場所に
応じて、利用できる資源の制限を変えることが可能とな
る。
【0033】従って、公共の場所などのようにセキュリ
ティーレベルが低い場所では機密性の高い情報へのアク
セスは禁止されるが、外出先であっても、セキュリティ
ーレベルが高い場所であれば、機密情報にアクセスする
ことができる。よって、十分なセキュリティを確保しな
がらユーザの利便を考慮したアクセス形態を実現でき
る。
【0034】次に、図6乃至図8を参照して、この発明
の第2実施形態を説明する。図6には、この発明の第2
実施形態に係るアクセス制御システムの実現形態が示さ
れている。第2実施形態のアクセス制御システムは、携
帯情報端末11が存在するアクセス場所の情報セキュリ
ティーレベルを使用したアクセス制御を行う点について
は実施形態1と同様であるが、ここでは、携帯情報端末
11がサーバ計算機21内の各種資源215に対するア
クセスを要求し、そのアクセス可否判定をサーバ計算機
21内で行うように構成されている。
【0035】すなわち、アクセス制御システムを実現す
るための構成要素のうち、携帯情報端末11側には、ユ
ーザ識別認証部121およびアクセス場所識別認証部1
22が設けられており、サーバ計算機21側には、ユー
ザ情報検証部211、計算機識別認証部212、場所情
報検証部213、アクセス可否判定部214、アクセス
制御リスト216、およびアクセスログ217が設けら
れている。
【0036】次に、図7および図8のフローチャートを
参照して、図6のアクセス制御システムの動作について
説明する。ここで、図7は携帯情報端末11側の処理を
示し、図8はサーバ計算機21側の処理を示している。
【0037】ユーザが、ある資源へのアクセスを要求
し、その結果が得られるまでの流れは次のようになる。 1.携帯情報端末11のアクセス制御システムは、ユー
ザがサーバ計算機21内のある資源へのアクセスを要求
したことを検知すると、イベント待ち状態から抜け(ス
テップS21)、以下のアクセス制御動作を行う。
【0038】2.すなわち、まず、携帯情報端末11の
ユーザ識別認証部121はユーザを特定し、場所識別認
証部122はユーザのいる場所のセキュリティレベルを
特定する。そして、それらの情報を、アクセス要求され
た対象資源情報とともに、リモートマシンであるサーバ
計算機21にアクセス要求として送る(ステップS2
4)。
【0039】3.サーバ計算機21はそのアクセス要求
に応答してイベント待ち状態から抜け(ステップS3
1)、そして、計算機識別認証部212は、要求元の計
算機を特定し、結果をアクセス可否判定部214に渡す
(ステップS32)。また、ユーザ情報検証部211と
場所情報検証部212は、携帯情報端末11から送られ
てきた情報が正しいかを検証し、結果をアクセス可否判
定部214に渡す(ステップS33,S34)。
【0040】4.アクセス可否判定部214は、ユー
ザ、アクセス場所のセキュリティレベル、要求元の計算
機、対象資源の情報を元に、アクセス制御リスト216
をサーチし、アクセス要求の許可/非許可を判定する
(ステップS35)。アクセス制御リスト216には、
図4の情報に加え、各資源をアクセス許可する計算機名
が登録されている。これは、複数の携帯情報端末11か
らのアクセス要求に対処するためである。判定結果は許
可/非許可のどちらの場合においても、アクセス制御履
歴として、アクセスログ217に記録される(ステップ
S36,37)。
【0041】5.また、アクセス要求を許可した場合に
は、サーバ計算機21は、要求元の携帯情報端末11に
資源を渡す(ステップS38)。 6.携帯情報端末11は、サーバ計算機21からのアク
セス許可の返答に応じて、サーバ計算機21から渡され
た資源をユーザに渡す(ステップS25)。
【0042】この様に、実施形態2においても、ユーザ
がアクセスを要求してきた場所をアクセス可否の判断基
準に追加されているので、アクセス場所に応じて、利用
できる資源の制限を変えることが可能となる。また、サ
ーバ計算機21の利用によって、アクセス可能な資源の
量を増やすことができる。さらに、ユーザが直接利用す
る携帯情報端末11の構成が簡素化されるため、小型化
/軽量化/低コスト化が図れ、個人が携帯PCを持ち歩
くといったようなモーバイルコンピューティングに最適
なアクセス制御システムを構築できる。
【0043】次に、図9乃至図11を参照して、この発
明の第3実施形態を説明する。図9には、この発明の第
3実施形態に係るアクセス制御システムの実現形態が示
されている。第3実施形態のアクセス制御システムは、
サーバ計算機21から渡された各種資源135を保持
し、その管理および運用を行うキャッシュ管理部133
が携帯情報端末11に設けられており、ユーザから要求
された資源が携帯情報端末11内にある場合にはその資
源に対するアクセス要求の可否判定を携帯情報端末11
のアクセス可否判定部134で行い、ユーザから要求さ
れた資源が携帯情報端末11内にない場合にはその資源
に対するアクセス要求の可否判定をサーバ計算機21の
アクセス可否判定部224で行う構成である。
【0044】次に、図10および図11のフローチャー
トを参照して、図9のアクセス制御システムの動作につ
いて説明する。ここで、図10は携帯情報端末11側の
処理を示し、図11はサーバ計算機21側の処理を示し
ている。
【0045】ユーザが、ある資源へのアクセスを要求
し、その結果が得られるまでの流れは次のようになる。 1.携帯情報端末11のアクセス制御システムは、ユー
ザがある資源へのアクセスを要求したことを検知する
と、イベント待ち状態から抜け(ステップS41)、以
下のアクセス制御動作を行う。
【0046】2.すなわち、まず、携帯情報端末11の
ユーザ識別認証部131はユーザを特定し、場所識別認
証部132はユーザのいる場所のセキュリティレベルを
特定して、結果をアクセス可否判定部134に渡す(ス
テップS42,S43)。
【0047】3.アクセス可否判定部134は、対象資
源が携帯情報端末11上にあるか否かをキャッシュ管理
部133に問い合わせ、キャッシュ検索を実行させる
(ステップS44)。
【0048】4.対象資源が携帯情報端末11上にあっ
た場合、アクセス可否判定部134は、ユーザ、場所の
セキュリティレベル、対象資源の情報を元に、サーバ計
算機21から以前に渡された資源に関するアクセス制御
リスト136をサーチし、アクセス要求の許可/非許可
を判定する(ステップS45)。アクセス制御リスト1
36は、図4のようなデータ構造を持つ。判定結果は許
可/非許可のどちらの場合においても、アクセス制御履
歴として、アクセスログ137に記録される(ステップ
S46,S47)。また、アクセス要求を許可した場合
には、アクセス制御システムは、ユーザに対して要求さ
れた資源を渡す(ステップS48)。
【0049】5.対象資源が携帯情報端末11上になか
った場合には、携帯情報端末11のアクセス可否判定部
134は、ユーザ、場所のセキュリティレベル、対象資
源の情報を、リモートマシンであるサーバ計算機21に
アクセス要求として送る(ステップS49)。
【0050】6.サーバ計算機21はそのアクセス要求
に応答してイベント待ち状態から抜け(ステップS6
1)、そして、計算機識別認証部222は、要求元の計
算機を特定し、結果をアクセス可否判定部224に渡す
(ステップS62)。また、ユーザ情報検証部221と
場所情報検証部222は、携帯情報端末11から送られ
てきた情報が正しいかを検証し、結果をアクセス可否判
定部224に渡す(ステップS63,S64)。
【0051】7.アクセス可否判定部224は、ユー
ザ、アクセス場所のセキュリティレベル、要求元の計算
機、対象資源の情報を元に、アクセス制御リスト226
をサーチし、アクセス要求の許可/非許可を判定する
(ステップS65)。アクセス制御リスト226には、
図4の情報に加え、各資源をアクセス許可する計算機名
が登録されている。判定結果は許可/非許可のどちらの
場合においても、アクセス制御履歴として、アクセスロ
グ217に記録される(ステップS66,67)。
【0052】8.また、アクセス要求を許可した場合に
は、サーバ計算機21は、要求元の携帯情報端末11に
資源を渡す(ステップS68)。 9.携帯情報端末11は、サーバ計算機21より資源と
それに関するアクセス制御リストが渡された場合は、キ
ャッシュ管理部133がその資源およびアクセス制御リ
ストを携帯情報端末11内に記憶した後、その資源をユ
ーザに渡す(ステップS50,S51)。
【0053】この様に、実施形態3においても、ユーザ
がアクセスを要求してきた場所をアクセス可否の判断基
準に追加されているので、アクセス場所に応じて、利用
できる資源の制限を変えることが可能となる。また、一
度利用した資源は、携帯情報端末11上に保存されるの
で、一般的に通信時間/通信コストのかかるサーバへ計
算機21の問い合わせ回数を減らすことができる。
【0054】なお、以上の実施形態1〜3では、場所識
別子認証部112,122,132が図2の発信器10
0を用いてアクセス場所の情報セキュリティーレベルを
特定する場合を説明したが、場所の識別子とその場所の
セキュリティーレベルとの対応関係を示すテーブルを用
意しておけば、場所識別子認証部112,122,13
2をそれぞれアクセス場所の識別子だけを検知するだけ
の構成にしても、アクセス場所に応じたアクセス制御を
行うことができる。
【0055】
【発明の効果】以上説明したように、この発明によれ
ば、アクセス制御の基準に、アクセス要求してきた「場
所」の情報を追加することで、制御が細かくできるよう
になり、モーバイルコンピューティングなど、不特定の
場所からの各種資源へのアクセスといった状況において
も、セキュリティを確保しながら、ユーザの利便を増す
ことが可能となる。
【図面の簡単な説明】
【図1】この発明の第1の実施形態に係るアクセス制御
システムが適用されるモーバイルコンピューティングシ
ステム全体の構成を示すブロック図。
【図2】同第1実施形態のアクセス制御システムにおけ
るアクセス場所に関する識別および認証処理の原理を説
明するための図。
【図3】同第1実施形態のアクセス制御システムで使用
されるセキュリティーレベル発信器から発生されるセキ
ュリティーレベル信号の内容とセキュリティレベルの高
低との対応関係を説明するための図。
【図4】同第1実施形態のアクセス制御システムで使用
されるアクセス制御リストの構成を示す図。
【図5】同第1実施形態のアクセス制御システムのアク
セス制御処理の手順を示すフローチャート。
【図6】この発明の第2の実施形態に係るアクセス制御
システムの構成を示すブロック図。
【図7】同第2実施形態のアクセス制御システムのアク
セス制御処理の手順の一部を示すフローチャート。
【図8】同第2実施形態のアクセス制御システムのアク
セス制御処理の手順の残りの一部を示すフローチャー
ト。
【図9】この発明の第3の実施形態に係るアクセス制御
システムの構成を示すブロック図。
【図10】同第3実施形態のアクセス制御システムのア
クセス制御処理の手順の一部を示すフローチャート。
【図11】同第3実施形態のアクセス制御システムのア
クセス制御処理の手順の残りの一部を示すフローチャー
ト。
【符号の説明】
11…携帯情報端末、21…サーバ計算機、111,1
21,131…ユーザ識別認証部、112,122,1
32…アクセス場所識別認証部、113,134,21
4,224…アクセス可否判定部、115,136,2
16,226…アクセス制御リスト。

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】 各種コンピュータ資源に対する利用者か
    らのアクセス要求を許可または禁止するための制御を行
    うアクセス制御システムにおいて、 前記資源のアクセスのために利用者によって情報端末が
    使用されるアクセス場所を特定するアクセス場所特定手
    段と、 このアクセス場所特定手段によって特定されたアクセス
    場所に対して予め設定されている情報セキュリティーレ
    ベルに応じて、前記利用者から要求された資源に対する
    アクセスの可否を判定するアクセス可否判定手段とを具
    備することを特徴とするアクセス制御システム。
  2. 【請求項2】 前記アクセス可否判定手段は、 各資源とその資源をアクセスするために必要なアクセス
    場所の情報セキュリティーレベルとの対応関係を規定し
    たアクセス制御リストを有し、 このアクセス制御リストの内容と、前記アクセス場所特
    定手段によって特定されたアクセス場所の情報セキュリ
    ティーレベルとに従って、前記利用者から要求された資
    源に対するアクセスの可否を判定することを特徴とする
    請求項1記載のアクセス制御システム。
  3. 【請求項3】 前記アクセス場所特定手段は、 利用者によって情報端末が使用されるアクセス場所に設
    置された通信装置から発生される信号を受信し、その受
    信信号に従ってアクセス場所を特定することを特徴とす
    る請求項1記載のアクセス制御システム。
  4. 【請求項4】 前記通信装置は、 その通信装置が設置されているアクセス場所を示す識別
    子を暗号化して発生し、 前記情報セキュリティーレベル検出手段は、前記暗号化
    された識別子を復号化して前記アクセス場所を特定する
    ことを特徴とする請求項3記載のアクセス制御システ
    ム。
  5. 【請求項5】 携帯情報端末を用いたモーバイルコンピ
    ューティング環境下で、各種コンピュータ資源に対する
    利用者からのアクセス要求を許可または禁止するための
    制御を行うアクセス制御システムにおいて、 利用者が携帯情報端末を用いてアクセス操作を行うアク
    セス場所に設置された通信装置から発生される信号を受
    信し、その受信信号に従って前記携帯情報端末が使用さ
    れるアクセス場所の情報セキュリティーレベルを検出す
    る情報セキュリティーレベル検出手段と、 各資源とその資源をアクセスするために必要な情報セキ
    ュリティーレベルとの対応関係を規定したアクセス制御
    リストと、前記情報セキュリティーレベル検出手段によ
    って検出された前記アクセス場所の情報セキュリティー
    レベルとに従って、前記利用者から要求された前記携帯
    情報端末内の資源、または前記携帯情報端末と通信媒体
    を介して接続可能な他の情報処理装置内の資源に対する
    アクセスの可否を判定するアクセス可否判定手段とを具
    備することを特徴とするアクセス制御システム。
  6. 【請求項6】 携帯情報端末と、通信媒体を介して前記
    携帯情報端末と各種情報を授受するサーバ計算機とを利
    用したモーバイルコンピューティング環境下で、前記サ
    ーバ計算機内の各種コンピュータ資源に対する前記携帯
    情報端末の利用者からのアクセス要求を許可または禁止
    するための制御を行うアクセス制御システムにおいて、 前記携帯情報端末は、 利用者が携帯情報端末を用いてアクセス操作を行うアク
    セス場所に設置された通信装置から発生される信号を受
    信し、その受信信号に従って前記携帯情報端末が使用さ
    れるアクセス場所の情報セキュリティーレベルを検出す
    る情報セキュリティーレベル検出手段を具備し、 前記サーバ計算機は、 各資源とその資源をアクセスするために必要な情報セキ
    ュリティーレベルとの対応関係を規定したアクセス制御
    リストを保持する手段と、 前記携帯情報端末の前記情報セキュリティーレベル検出
    手段によって検出された前記アクセス場所の情報セキュ
    リティーレベルと、前記アクセス制御リストとに従っ
    て、前記携帯情報端末から要求された前記サーバ計算機
    内の資源に対するアクセス要求の可否を判定する手段と
    を具備することを特徴とするアクセス制御システム。
  7. 【請求項7】 携帯情報端末と、通信媒体を介して前記
    携帯情報端末と各種情報を授受するサーバ計算機とを利
    用したモーバイルコンピューティング環境下で、前記サ
    ーバ計算機内の各種コンピュータ資源に対する前記携帯
    情報端末の利用者からのアクセス要求を許可または禁止
    するための制御を行うアクセス制御システムにおいて、 前記携帯情報端末は、 前記サーバ計算機から提供された資源を保持し、その運
    用および管理を行うキャッシュ管理手段と、 利用者が携帯情報端末を用いてアクセス操作を行うアク
    セス場所に設置された通信装置から発生される信号を受
    信し、その受信信号に従って前記携帯情報端末が使用さ
    れるアクセス場所の情報セキュリティーレベルを検出す
    る情報セキュリティーレベル検出手段と、 各資源とその資源をアクセスするために必要な情報セキ
    ュリティーレベルとの対応関係を規定したアクセス制御
    リストと、前記情報セキュリティーレベル検出手段によ
    って検出された前記アクセス場所の情報セキュリティー
    レベルとに従って、前記利用者から要求された前記キャ
    ッシュ管理装置内の資源に対するアクセスの可否を判定
    するアクセス可否判定手段とを具備し、 前記サーバ計算機は、 各資源とその資源をアクセスするために必要な情報セキ
    ュリティーレベルとの対応関係を規定したアクセス制御
    リストを保持する手段と、 前記携帯情報端末の前記情報セキュリティーレベル検出
    手段によって検出された前記アクセス場所の情報セキュ
    リティーレベルと、前記アクセス制御リストとに従っ
    て、前記携帯情報端末から要求された前記キャッシュ管
    理部に存在していない前記サーバ計算機内の資源に対す
    るアクセス要求の可否を判定する手段とを具備すること
    を特徴とするアクセス制御システム。
  8. 【請求項8】 携帯情報端末を用いたモーバイルコンピ
    ューティング環境下で、各種コンピュータ資源に対する
    利用者からのアクセス要求を許可または禁止するための
    制御を行うアクセス制御方法において、 利用者が携帯情報端末を用いてアクセス操作を行うアク
    セス場所の情報セキュリティーレベルを検出し、 この検出された前記アクセス場所の情報セキュリティー
    レベルに従って、前記利用者から要求された資源に対す
    るアクセスの可否を判定し、 アクセス場所に応じて利用可能な資源を制限することを
    特徴とするアクセス制御方法。
  9. 【請求項9】 携帯情報端末を用いたモーバイルコンピ
    ューティング環境下で、利用者が前記携帯情報端末を用
    いてアクセス操作を行うアクセス場所に応じて、前記携
    帯情報端末の利用者からのコンピュータ資源に対するア
    クセス要求を許可または禁止するアクセス制御方法であ
    って、 前記携帯情報端末が利用されるアクセス場所毎にそのア
    クセス場所に対応する情報セキュリティーレベルを示す
    電波環境を提供し、 その電波環境下におかれた前記携帯情報端末がその電波
    を受信することによって、その携帯情報端末が利用され
    るアクセス場所の情報セキュリティーレベルを検出し、 その検出された情報セキュリティーレベルを用いること
    により、アクセス場所に応じて利用可能な資源を制限で
    きるようにしたことを特徴とするアクセス制御方法。
JP7312592A 1995-11-30 1995-11-30 アクセス制御システムおよびアクセス制御方法 Pending JPH09152990A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP7312592A JPH09152990A (ja) 1995-11-30 1995-11-30 アクセス制御システムおよびアクセス制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP7312592A JPH09152990A (ja) 1995-11-30 1995-11-30 アクセス制御システムおよびアクセス制御方法

Publications (1)

Publication Number Publication Date
JPH09152990A true JPH09152990A (ja) 1997-06-10

Family

ID=18031062

Family Applications (1)

Application Number Title Priority Date Filing Date
JP7312592A Pending JPH09152990A (ja) 1995-11-30 1995-11-30 アクセス制御システムおよびアクセス制御方法

Country Status (1)

Country Link
JP (1) JPH09152990A (ja)

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000155876A (ja) * 1998-11-20 2000-06-06 Nec Corp 盗難防止装置
JP2002518720A (ja) * 1998-06-12 2002-06-25 マイクロソフト コーポレイション セキュリティ・ロケーション識別の方法およびシステム
JP2003036208A (ja) * 2001-07-25 2003-02-07 Mitsubishi Electric Corp 情報漏洩検出防止装置及び情報漏洩検出防止方法
WO2003085528A1 (en) * 2002-04-11 2003-10-16 International Business Machines Corporation Computer, computer security setting method, and program
JP2004265286A (ja) * 2003-03-04 2004-09-24 Fujitsu Ltd 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理
JP2007233441A (ja) * 2006-02-27 2007-09-13 Fujitsu Ltd 情報セキュリティシステム、そのサーバ、プログラム
JP2007272659A (ja) * 2006-03-31 2007-10-18 Nec Corp 限定配信無線ネットワークシステムおよび限定配信無線ネットワーク形成方法
JP2008217604A (ja) * 2007-03-06 2008-09-18 Toshiba Tec Corp 情報管理システム、情報管理システムにおける情報アクセス管理装置及び情報アクセス管理装置に用いられるコンピュータプログラム
JP2008234256A (ja) * 2007-03-20 2008-10-02 Ntt Data Corp 情報処理システム及びコンピュータプログラム
WO2008126193A1 (ja) * 2007-03-19 2008-10-23 Fujitsu Limited ユーザ装置、その運用プログラム及び方法、並びに管理装置
WO2008149783A1 (ja) * 2007-06-08 2008-12-11 Nec Corporation 半導体集積回路及びフィルタ制御方法
WO2008149784A1 (ja) * 2007-06-08 2008-12-11 Nec Corporation 半導体集積回路及びフィルタ制御方法
JP2008305253A (ja) * 2007-06-08 2008-12-18 Toshiba Tec Corp 情報アクセス管理装置
JP2009086891A (ja) * 2007-09-28 2009-04-23 Nec Corp コンテンツ管理装置、そのプログラムおよびコンテンツ管理方法
JP2009093454A (ja) * 2007-10-10 2009-04-30 Toshiba Tec Corp データアクセス管理装置および情報管理方法
JP2009146193A (ja) * 2007-12-14 2009-07-02 Funai Electric Co Ltd 無線通信端末、無線通信端末のデータを保護する方法、データを無線通信端末に保護させるためのプログラム、および当該プログラムを格納した記録媒体
JPWO2007116500A1 (ja) * 2006-03-31 2009-08-20 オリンパス株式会社 情報呈示システム、情報呈示端末及びサーバ
JP2010205288A (ja) * 2010-05-06 2010-09-16 Fujitsu Ltd 情報処理装置
US20120131685A1 (en) * 2010-11-19 2012-05-24 MobileIron, Inc. Mobile Posture-based Policy, Remediation and Access Control for Enterprise Resources
JP2013152763A (ja) * 2013-05-16 2013-08-08 Sumitomo Electric Ind Ltd 情報提供システム、路上装置、車載装置及び車両
JP2014021860A (ja) * 2012-07-20 2014-02-03 Canon Inc 情報処理装置、画像提供装置、画像転送システム及びそれらの制御方法
US8825005B2 (en) 2010-12-27 2014-09-02 Fujitsu Limited Usage management system and usage management method
USRE46439E1 (en) 1997-03-10 2017-06-13 Dropbox, Inc. Distributed administration of access to information and interface for same

Cited By (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
USRE46439E1 (en) 1997-03-10 2017-06-13 Dropbox, Inc. Distributed administration of access to information and interface for same
JP2002518720A (ja) * 1998-06-12 2002-06-25 マイクロソフト コーポレイション セキュリティ・ロケーション識別の方法およびシステム
US6307470B1 (en) 1998-11-20 2001-10-23 Nec Corporation Antitheft apparatus, antitheft method and recording medium recording thereon antitheft program
JP2000155876A (ja) * 1998-11-20 2000-06-06 Nec Corp 盗難防止装置
JP2003036208A (ja) * 2001-07-25 2003-02-07 Mitsubishi Electric Corp 情報漏洩検出防止装置及び情報漏洩検出防止方法
WO2003085528A1 (en) * 2002-04-11 2003-10-16 International Business Machines Corporation Computer, computer security setting method, and program
JP2004265286A (ja) * 2003-03-04 2004-09-24 Fujitsu Ltd 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理
JP2007233441A (ja) * 2006-02-27 2007-09-13 Fujitsu Ltd 情報セキュリティシステム、そのサーバ、プログラム
JP2007272659A (ja) * 2006-03-31 2007-10-18 Nec Corp 限定配信無線ネットワークシステムおよび限定配信無線ネットワーク形成方法
JPWO2007116500A1 (ja) * 2006-03-31 2009-08-20 オリンパス株式会社 情報呈示システム、情報呈示端末及びサーバ
US7992181B2 (en) 2006-03-31 2011-08-02 Olympus Corporation Information presentation system, information presentation terminal and server
JP2008217604A (ja) * 2007-03-06 2008-09-18 Toshiba Tec Corp 情報管理システム、情報管理システムにおける情報アクセス管理装置及び情報アクセス管理装置に用いられるコンピュータプログラム
WO2008126193A1 (ja) * 2007-03-19 2008-10-23 Fujitsu Limited ユーザ装置、その運用プログラム及び方法、並びに管理装置
JP2008234256A (ja) * 2007-03-20 2008-10-02 Ntt Data Corp 情報処理システム及びコンピュータプログラム
JP4675921B2 (ja) * 2007-03-20 2011-04-27 株式会社エヌ・ティ・ティ・データ 情報処理システム及びコンピュータプログラム
JP5246158B2 (ja) * 2007-06-08 2013-07-24 日本電気株式会社 半導体集積回路及びフィルタ制御方法
WO2008149784A1 (ja) * 2007-06-08 2008-12-11 Nec Corporation 半導体集積回路及びフィルタ制御方法
WO2008149783A1 (ja) * 2007-06-08 2008-12-11 Nec Corporation 半導体集積回路及びフィルタ制御方法
JP5287718B2 (ja) * 2007-06-08 2013-09-11 日本電気株式会社 半導体集積回路及びフィルタ制御方法
US8531963B2 (en) 2007-06-08 2013-09-10 Nec Corporation Semiconductor integrated circuit and filter control method
JP4709181B2 (ja) * 2007-06-08 2011-06-22 東芝テック株式会社 情報アクセス管理装置
JP2008305253A (ja) * 2007-06-08 2008-12-18 Toshiba Tec Corp 情報アクセス管理装置
US8412867B2 (en) 2007-06-08 2013-04-02 Nec Corporation Semiconductor integrated circuit and filter and informational delivery method using same
JP2009086891A (ja) * 2007-09-28 2009-04-23 Nec Corp コンテンツ管理装置、そのプログラムおよびコンテンツ管理方法
JP2009093454A (ja) * 2007-10-10 2009-04-30 Toshiba Tec Corp データアクセス管理装置および情報管理方法
JP2009146193A (ja) * 2007-12-14 2009-07-02 Funai Electric Co Ltd 無線通信端末、無線通信端末のデータを保護する方法、データを無線通信端末に保護させるためのプログラム、および当該プログラムを格納した記録媒体
JP2010205288A (ja) * 2010-05-06 2010-09-16 Fujitsu Ltd 情報処理装置
US20120131685A1 (en) * 2010-11-19 2012-05-24 MobileIron, Inc. Mobile Posture-based Policy, Remediation and Access Control for Enterprise Resources
US8869307B2 (en) * 2010-11-19 2014-10-21 Mobile Iron, Inc. Mobile posture-based policy, remediation and access control for enterprise resources
US8825005B2 (en) 2010-12-27 2014-09-02 Fujitsu Limited Usage management system and usage management method
JP2014021860A (ja) * 2012-07-20 2014-02-03 Canon Inc 情報処理装置、画像提供装置、画像転送システム及びそれらの制御方法
JP2013152763A (ja) * 2013-05-16 2013-08-08 Sumitomo Electric Ind Ltd 情報提供システム、路上装置、車載装置及び車両

Similar Documents

Publication Publication Date Title
JPH09152990A (ja) アクセス制御システムおよびアクセス制御方法
US7559081B2 (en) Method and apparatus for authenticating a user at an access terminal
CA2361938C (en) Enabling conformance to legislative requirements for mobile devices
JP4733167B2 (ja) 情報処理装置、情報処理方法、情報処理プログラムおよび情報処理システム
EP2071883B1 (en) Apparatus, method, program and recording medium for protecting data in a wireless communication terminal
JP4301482B2 (ja) サーバ、情報処理装置及びそのアクセス制御システム並びにその方法
KR100607423B1 (ko) 사용허가를 이용한 장치자원의 애플리케이션으로의 할당
US10496806B2 (en) Method for secure operation of a computing device
US20050177724A1 (en) Authentication system and method
WO2011048645A1 (ja) 端末管理システム及び端末管理方法
GB2384331A (en) Access control using credentials
JP2004326292A (ja) 電子鍵システムおよび電子鍵利用方法
KR19990078937A (ko) 제 2접속경로를 이용한 사용자인증시스템
US20040172369A1 (en) Method and arrangement in a database
JP5353298B2 (ja) アクセス認証システム、情報処理装置、アクセス認証方法、プログラム及び記録媒体
KR101066693B1 (ko) 전자 인증서의 보안 및 확인 방법
JPH10260939A (ja) コンピュータネットワークのクライアントマシン認証方法,クライアントマシン,ホストマシン及びコンピュータシステム
US7660770B2 (en) System and method for providing a secure contact management system
KR20000063739A (ko) 아이디 도용 감지 시스템 및 방법, 그 프로그램 소스를기록한 기록매체
JP3697212B2 (ja) ユーザ認証システム、ユーザ認証方法、ユーザ認証プログラム、及び、コンピュータ読取可能な記録媒体
JP3660306B2 (ja) ユーザ認証システム、ユーザ認証方法、ユーザ認証プログラム、及び、コンピュータ読取可能な記録媒体
CN117061248B (zh) 一种用于数据共享的数据安全保护方法和装置
JP7205134B2 (ja) 情報処理装置およびプログラム
US20230032507A1 (en) Stationary device with encrypted file access function and access method thereof
KR20120063178A (ko) 위치기반의 서비스 보안 시스템 및 그 방법