JPH10312362A - アクセス制御システムおよびアクセス制御装置 - Google Patents

アクセス制御システムおよびアクセス制御装置

Info

Publication number
JPH10312362A
JPH10312362A JP9123961A JP12396197A JPH10312362A JP H10312362 A JPH10312362 A JP H10312362A JP 9123961 A JP9123961 A JP 9123961A JP 12396197 A JP12396197 A JP 12396197A JP H10312362 A JPH10312362 A JP H10312362A
Authority
JP
Japan
Prior art keywords
access
access control
unit
transmitted
user name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP9123961A
Other languages
English (en)
Inventor
Toshihiko Yamagami
俊彦 山上
Takanori Matsushige
孝紀 松繁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP9123961A priority Critical patent/JPH10312362A/ja
Publication of JPH10312362A publication Critical patent/JPH10312362A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 現在のシステムを大幅に変更せずに、安全性
の確保および利用者の利便性を考慮したアクセス制御を
行う。 【解決手段】 アクセス制御装置10がネットワーク7
0を介してある利用者端末からアクセスされた場合に、
パスワード判定部700においてパスワードとユーザ名
を予め登録したものと比較し、それが一致しない場合で
もアクセス拒否とはせずに、アクセス権限判定部800
によりユーザ名と付加情報をネットワーク70を介して
統合認証サーバに送信し、統合認証サーバにおいて正の
判定結果がでた場合はアクセスを許可する。そのため、
利用者は、各アクセス制御装置10毎にパスワードを設
定しなくても、1つの付加情報で全てのアクセス制御装
置にアクセスできる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、インターネットと
呼ばれるネットワークを利用して情報提供やサービス提
供を行う際に利用者を特定しアクセス許可を行うアクセ
ス制御に関するものである。
【0002】
【従来の技術】従来のアクセス制御装置の構成を示すブ
ロック図を図4に示す。この従来のアクセス制御装置9
10は、制御部50と、ネットワーク入出力部100
と、入力処理部200と、ユーザ名判定部600と、ユ
ーザ名記憶部650と、出力処理部300と、パスワー
ド判定部700と、パスワード記憶部750、記憶部4
00と、処理部500とから構成されている。
【0003】ネットワーク入出力部100は、制御部5
0からの指示により、ネットワーク70から入力した入
力データを入力処理部200へ送信し、出力処理部30
0から送信された出力データをネットワーク70に送信
する。
【0004】入力処理部200は、制御部50からの指
示により、ネットワーク入出力部100から送信された
入力データをユーザ名判定部600に送信し、ユーザ名
判定部600から送信された判定結果が否の場合、制御
部50に対してアクセス拒否信号を送信し、ユーザ名判
定部600から送信された判定結果が正の場合、ネット
ワーク入出力部100から送信された入力データのうち
のユーザ名とパスワードをパスワード判定部700へ送
信し、パスワード判定部700から送信された判定結果
が否の場合、制御部50に対してアクセス拒否信号を送
信し、パスワード判定部700から送信された判定結果
が正の場合、ネットワーク入出力部100から送信され
た入力データを記憶部400へ送信する。
【0005】ユーザ名記憶部650は、予め特定のユー
ザ名が登録されていて、制御部50からの指示により登
録されているユーザ名をユーザ名判定部600に送信す
る。
【0006】ユーザ名判定部600は、制御部50から
の指示により、入力処理部200から送信されたユーザ
名が記憶部650から送信されたユーザ名の中に存在す
るかどうかの判定を行い、その判定結果を入力処理部2
00へ送信する。
【0007】出力処理部300は、ユーザ判定部600
での判定結果が否であるという情報またはパスワード判
定部700での判定結果が否であるという情報を制御部
50から受信すると、アクセス拒否を通知する出力デー
タをネットワーク入出力部100へ送信し、記憶部40
0から送信された処理結果を記述した出力データをネッ
トワーク入出力部100へ送信する。
【0008】パスワード判定部700は、制御部50か
らの指示により、入力処理部200から送信されたユー
ザ名をパスワード記憶部750に送信し、パスワード記
憶部750から送信されたパスワードと入力処理部20
0から送信されたパスワードとが一致するかどうかの判
定を行い、その判定結果を入力処理部200へ送信す
る。
【0009】パスワード記憶部750は、予めユーザ名
とそれに対応するパスワードが登録されていて、制御部
50からの指示により、パスワード判定部700から送
信されたユーザ名に対応したパスワードをパスワード判
定部700に送信する。
【0010】記憶部400は、入力処理部200から送
信された入力データを記憶するとともに入力データに含
まれる処理命令と処理データを処理部500へ送信し、
処理部500から送信された処理結果を出力処理部30
0へ送信する。
【0011】処理部500は、記憶部400から送信さ
れた処理命令を解析し、処理データに対してその処理命
令を実行し、処理結果を記憶部400に送信する。
【0012】制御部50は、次に、上記従来のアクセス
制御装置の動作について説明する。
【0013】この従来のアクセス制御装置を動作させる
には、まず制御部50の指示によりネットワーク入出力
部100に入力データを読み込む。ネットワーク入出力
部100は、入力後制御部50の指示により入力処理部
200へ入力情報を送信する。入力処理部200は、受
信後制御部50の指示により、入力情報のうち、ユーザ
名をユーザ名判定部600へ送信する。ユーザ名記憶部
650は、制御部50の指示により、ユーザ名判定部6
00に対して、登録されているユーザ名を送信する。ユ
ーザ名判定部600は、判定を実施し、その判定結果を
制御部50の指示により入力処理部200へ送信する。
【0014】ユーザ名判定部600の判定結果が否であ
る場合、入力処理部200は、判定結果を受信後、制御
部50に対して、アクセス拒否信号を送信する。そし
て、出力処理部300は制御部50の指示により、アク
セス拒否を通知する出力データをネットワーク入出力部
100へ送信する。ネットワーク入出力部100は、制
御部50の指示により、その出力データをネットワーク
へ送信する。
【0015】ユーザ名判定部600の判定結果が正であ
る場合、入力処理部200は、制御部50の指示によ
り、入力情報のうち、ユーザ名とパスワードをパスワー
ド判定部700へ送信する。パスワード記憶部750
は、制御部50の指示により、パスワード判定部700
へそのユーザ名のパスワードを送信する。パスワード判
定部700は、判定を実施し、判定結果を制御部50の
指示により入力処理部200へ送信する。
【0016】パスワード判定部700の判定結果が否で
ある場合、入力処理部200は、制御部50に対して、
アクセス拒否信号を送信する。制御部50は出力処理部
300に指示を送り、アクセス拒否を通知する出力デー
タをネットワーク入出力部100へ送信する。ネットワ
ーク入出力部100は、制御部50の指示により、その
出力データをネットワークへ送信する。
【0017】パスワード判定部700の判定結果が正で
ある場合、入力処理部200は、制御部50の指示にし
たがい、入力データを記憶部400へ送信する。制御部
50は、記憶部400からその入力データの処理命令と
処理データを処理部500へ送信する。処理部500は
制御部50の指示により、その処理命令を解析し、その
処理データに対してその処理命令を実行する。記憶部4
00は実行後、制御部50の指示により、処理結果を受
信する。記憶部400は制御部50の指示により、処理
結果を出力処理部300へ送信する。出力処理部300
は制御部50の指示により、ネットワーク入出力部10
0へ処理結果を記述した出力データを送信する。ネット
ワーク入出力部100は、制御部50の指示により、そ
の出力データをネットワークへ送信する。
【0018】このような従来のアクセス制御装置910
を用いたアクセス制御システムを図5および図6を用い
て説明する。ここで、利用者端末410は実際には複数
存在するが、説明を簡単にするため1つの利用者端末4
10を用いて説明する。
【0019】図5のアクセス制御システムでは、利用者
端末410はネットワーク70を介して複数のアクセス
制御装置910に接続されている。現在のインターネッ
トと呼ばれる世界中に相互結合されたシステムでの実現
は大部分がこのような実現方式を利用している。そし
て、各アクセス制御装置910は、ネットワーク70上
で、電子メールやファイル転送やその他、様々なサービ
スを提供している。
【0020】このアクセス制御システムでは、各アクセ
ス制御装置910毎に異なるパスワードを設定しようと
すると、そのパスワードの設定およびそのパスワードの
管理のために利用者に多くの手間を必要とした。また、
それらの手間が面倒なために利用者は全てのアクセス制
御装置910に対して同じパスワードを設定する場合が
あり、その場合はパスワードを他人に知られてしまうと
全てのアクセス制御装置910にアクセスすることがで
きてしまい安全性に問題があった。
【0021】このような問題を解決するための従来のア
クセス制御システムを図6に示す。このアクセス制御シ
ステムでは、利用者端末410と各アクセス制御装置9
10との間に、統合認証サーバ920が設けられてい
る。統合認証サーバ920は、利用者端末410からの
アクセスをある設定された統合認証情報によりアクセス
制御し、アクセス許可を決定すると各アクセス制御装置
910に対しての接続を行う。
【0022】この、アクセス制御システムでは、利用者
は、1つの統合認証情報を登録するだけで各に各アクセ
ス制御装置910から提供されるサービスを利用するこ
とができるため、利用者には面倒な登録を必要としな
い。
【0023】しかし、このシステムを実現するために
は、現在の様々なシステムを大幅に変更する必要があ
る。なぜなら、現在のシステムは元々利用者端末410
からのアクセスに対応する通信手段しか有していないた
め、利用者端末410と各アクセス制御装置910との
間に統合認証サーバ920を設けるためには大幅に変更
しなければならない。また、新しいサービスが追加され
新たなアクセス制御装置910が接続されると、統合認
証サーバ920を変更しなければならずコストがかかる
ことになる。
【0024】
【発明が解決しようとする課題】上述した従来のアクセ
ス制御装置では、ユーザ名とパスワードのみによる固定
的なアクセス判定しか行っていないため、利用者に面倒
な操作を要求するとともに安全性に問題があり、またこ
れらを解決しようとすると現在のシステムを大幅に変更
しなければならないという問題点があった。
【0025】本発明の目的は、現在のシステムを大幅に
変更することなく、安全性の確保および利用者の利便性
を考慮したアクセス制御を行うことができるアクセス制
御システムおよびアクセス制御装置を提供することであ
る。
【0026】
【課題を解決するための手段】上記目的を達成するため
に、本発明のアクセス制御装置は、複数の利用者端末と
ネットワークを介して接続され、前記ネットワークから
の入力データを受信するとともに出力データを前記ネッ
トワークに送信するネットワーク入出力部と、前記ネッ
トワーク入出力部により受信された入力データに含まれ
るユーザ名およびパスワードが、予め登録されたユーザ
名およびパスワードと一致するかどうかを判定するパス
ワード判定部と、前記パスワード判定部での判定結果が
正の場合、前記入力データを送信した利用者端末からの
アクセスを許可し、前記パスワード判定部での判定結果
が否の場合、該判定結果をアクセス権限判定部に伝達す
る制御部と、前記制御部から前記パスワード判定部での
否である判定結果が伝達されると、前記ユーザ名と前記
ネットワーク入出力部が受信した入力データに含まれる
付加情報とを、送信されてくる付加情報とユーザ名が予
め登録されている付加情報とユーザ名と一致するかを判
定する統合認証サーバに、前記ネットワークを介して送
信し、前記統合認証サーバから送信された判定結果によ
り前記利用者端末のアクセス許否の決定を行うアクセス
権限判定部とを有する。
【0027】本発明は、アクセス制御装置がネットワー
クを介してある利用者端末からアクセスされた場合に、
パスワード判定部においてパスワードとユーザ名を予め
登録したものと比較し、それが一致しない場合でもアク
セス拒否とはせずに、アクセス権限判定部によりユーザ
名と付加情報をネットワークを介して統合認証サーバに
送信し、統合認証サーバにおいて正の判定結果がでた場
合はアクセスを許可するようにしたものである。
【0028】したがって、利用者は、各アクセス制御装
置毎にパスワードを設定しなくても、1つの付加情報を
用いることにより全てのアクセス制御装置にアクセスす
ることができる。
【0029】また、本発明の実施態様によれば、前記統
合認証サーバから前記アクセス権限判定部に判定結果が
送信される際に、付加情報を変更するための情報である
付加応答情報が合わせて送信され、前記アクセス権限判
定部は、送信された前記付加応答情報を前記利用者端末
に送信する。
【0030】本発明は、統合認証サーバからアクセス権
限判定部に判定結果が送信される際に付加応答情報を同
時に送信するようにし、アクセス権限判定部はその付加
応答情報を利用者端末に送信するようにし、利用者は次
にアクセス制御装置にアクセスする際は付加応答情報に
より変更した付加情報を用いるようにしたものである。
したがって、付加情報が他人に漏洩した場合でもその付
加情報ではどのアクセス制御装置にもアクセスすること
ができないため、安全性を確保することができる。ま
た、付加応答情報のみが他人に漏洩した場合でも付加応
答情報のみではどのアクセス制御装置にもアクセスする
ことができないため、安全性を確保することができる。
【0031】また、上記目的を達成するために、本発明
のアクセス制御システムは、複数の利用者端末と、前記
各利用者端末とネットワークにより接続された複数のア
クセス制御装置から構成されるアクセス制御システムに
おいて、予め各利用者のユーザ名および付加情報が登録
されていて、前記各アクセス制御装置からユーザ名およ
び付加情報が送信されてくると該ユーザ名および該付加
情報が登録されているユーザ名および付加情報と一致し
ているかどうかを判定し、該判定結果を前記ユーザ名お
よび前記付加情報を送信したアクセス制御装置に送信す
る統合認証サーバが設けられ、前記各アクセス制御装置
は、パスワードによる認証が否の場合、前記利用者端末
から送信されたユーザ名および付加情報を前記統合認証
サーバに送信し、前記統合認証サーバでの判定結果によ
り前記利用者端末のアクセス許否の決定を行うことを特
徴とする。
【0032】本発明は、アクセス制御装置がネットワー
クを介してある利用者端末からアクセスされた場合に、
パスワードとユーザ名を予め登録したものと比較し、そ
れが一致しない場合でもアクセス拒否とはせずにユーザ
名と付加情報をネットワークを介して統合認証サーバに
送信し、統合認証サーバにおいて正の判定結果がでた場
合はアクセスを許可するようにしたものである。
【0033】したがって、利用者は、各アクセス制御装
置毎にパスワードを設定しなくても、1つの付加情報を
用いることにより全てのアクセス制御装置にアクセスす
ることができる。
【0034】また、本発明の実施態様によれば、前記統
合認証サーバは、前記アクセス制御装置に判定結果を送
信する際に、付加情報を変更するための情報である付加
応答情報を合わせて送信し、前記アクセス制御装置は、
送信された前記付加応答情報を前記利用者端末に送信す
る。
【0035】本発明は、統合認証サーバからアクセス制
御装置に判定結果が送信される際に付加応答情報を同時
に送信するようにし、アクセス制御装置はその付加応答
情報を利用者端末に送信するようにし、利用者は次にア
クセス制御装置にアクセスする際は付加応答情報により
変更した付加情報を用いるようにしたものである。
【0036】したがって、付加情報が他人に漏洩した場
合でもその付加情報ではどのアクセス制御装置にもアク
セスすることができないため、安全性を確保することが
できる。また、付加応答情報のみが他人に漏洩した場合
でも付加応答情報のみではどのアクセス制御装置にもア
クセスすることができないため、安全性を確保すること
ができる。
【0037】
【発明の実施の形態】次に、本発明の実施形態について
図面を参照して詳細に説明する。
【0038】図1は本発明のアクセス制御装置の一実施
形態の構成を示したブロック図、図2は図1のアクセス
制御装置10を用いたアクセス制御システムの一例を示
す図、図3は図1のアクセス制御装置10の動作を示し
たフローチャートである。図4中と同番号は同じ構成要
素を示す。
【0039】本実施形態のアクセス制御装置10は、図
4の従来のアクセス制御装置910に対して、アクセス
権限判定部800を設け、制御部50を制御部900に
置き換えたものである。
【0040】アクセス権限判定部800は、制御部90
0からパスワード判定部700での判定結果が否である
との情報を受信すると、ユーザ名を示す情報をユーザ名
判定部600から受信するとともに入力処理部200か
ら入力データに含まれる付加情報を受信し、そのユーザ
名と付加情報を出力処理部300へ送信することにより
ネットワーク70を介して統合認証サーバ430に送信
し、統合認証サーバ430から送信された判定結果と付
加応答情報を受信し、その判定結果からアクセス権限結
果を判定し、そのアクセス権限判定結果を入力処理部2
00へ送信するとともに付加応答情報を利用者端末に送
信する。
【0041】制御部900は、図4の制御部50の機能
に加え、パスワード判定部700での判定結果が否であ
るために入力処理部200から送信されたアクセス拒否
信号を受信すると、その結果をアクセス権限判定部80
0に伝達する。
【0042】図2は本実施形態のアクセス制御装置10
を用いたアクセス制御システムを示した図である。
【0043】このアクセス制御システムでは、利用者端
末410と統合認証サーバ430がそれぞれ各アクセス
制御装置10とネットワーク70を介して接続されてい
る。
【0044】統合認証サーバ430は、予め各利用者の
ユーザ名と付加情報とが1対1で登録されていて、アク
セス制御装置10からユーザ名と付加情報が送信されて
くるとそのユーザ名と付加情報が登録されているものと
一致しているかどうかを判定し、その判定結果をユーザ
名と付加情報を送信したアクセス制御装置10に送信す
る。
【0045】次に、本実施形態の動作について図1、図
2および図3のフローチャートを参照して説明する。
【0046】本装置を動作させるには、まず制御部90
0の指示により、ネットワーク入出力部100に入力デ
ータを読み込む(ステップ21)。ネットワーク入出力
部100は、入力データの存在を制御部900へ送信す
る。ネットワーク入出力部100は、入力データが存在
する場合(ステップ22)、制御部900の指示により
入力処理部200へ入力情報を送信する(ステップ2
3)。入力処理部200は、受信後制御部900の指示
により、入力情報のうち、ユーザ名をユーザ名判定部6
00へ送信する(ステップ24)。ユーザ名記憶部65
0は、制御部900の指示により、ユーザ名判定部60
0へ登録されているユーザ名を送信する。ユーザ名判定
部600は判定を実施し、判定結果を制御部900の指
示により、入力処理部200へ送信する。
【0047】入力処理部200は、ユーザ名判定部60
0の判定結果が否である場合(ステップ25)、判定結
果を受信後、制御部900に対して、アクセス拒否信号
を送信し接続許可を行う(ステップ33)。そして出力
処理部300は制御部900の指示により、アクセス拒
否を通知する返信情報を生成し(ステップ35)、その
返信情報の出力データをネットワーク入出力部100へ
送信する。そしてネットワーク入出力部100は、制御
部900の指示により、その出力データをネットワーク
70へ送信する(ステップ36)。そして、認証結果は
接続不許可のため、(ステップ37)、接続を切断する
(ステップ39)。
【0048】ユーザ名判定部600の判定結果が正であ
る場合(ステップ25)、入力処理部200は、制御部
900の指示により、入力情報のうち、ユーザ名とパス
ワードをパスワード判定部700へ送信する。パスワー
ド記憶部750は、制御部900の指示により、パスワ
ード判定部700へそのユーザ名のパスワードを送信す
る(ステップ26)。パスワード判定部700は、判定
を実施し、判定結果を制御部900の指示により、入力
処理部200へ送信する。
【0049】パスワード判定部700の判定結果が否で
ある場合(ステップ27)、従来はこれによってアクセ
スを否定していたが、本実施形態では次のようにして追
加のアクセス判定を行う。判定の結果を受けて、制御部
900は、判定検結果が否であることを示す信号をアク
セス権限判定部800に送信する。アクセス権限判定部
800は、その信号を受信後、制御部900の指示によ
り、ユーザ名を示す情報をユーザ名判定部600より受
信する。それと同時に、アクセス権限判定部800は制
御部900の指示により、入力処理部200へ信号を送
り、ネットワーク70を介して付加情報を受信する(ス
テップ28)。
【0050】本実施形態では、入力処理部200が入力
データに含まれる付加情報を蓄積しておいて、アクセス
権限判定部800からの要求により送信するようにして
いるが、この付加情報は新たにネットワーク70を介し
て利用者端末410から受信してもよい。
【0051】そして、アクセス権限判定部800は制御
部900の指示により、ユーザ名と付加情報を出力処理
部300へ送信することによりネットワーク70に接続
された統合認証サーバ430に送信する(ステップ2
9)。そして、統合認証サーバ430から送信されたデ
ータから付加情報の判定結果を取り出し、その判定結果
が否の場合(ステップ30)、接続不許可とし(ステッ
プ34)、入力処理部200は、判定結果を受信後、制
御部900に対して、アクセス拒否信号を送信する。出
力処理部300は制御部900の指示により、アクセス
拒否を通知する出力データをネットワーク入出力部10
0へ送信する。ネットワーク入出力部100は、制御部
900の指示により、その出力データをネットワークへ
送信する。
【0052】ステップ30において、付加情報の判定結
果が正の場合、処理すべき付加応答情報があるかどうか
判断し(ステップ31)、統合認証サーバ430から送
信されてきたデータに付加応答情報があればその付加応
答情報を処理し、返信情報を生成する(ステップ3
2)。そして、付加応答情報が無い場合は、そのままス
テップ33の処理に移る。
【0053】次に、接続が許可とされ(ステップ3
3)、接続許可を通知する返信情報を生成し(ステップ
35)、その返信情報の出力データをネットワーク入出
力部100へ送信する。そして、ネットワーク入出力部
100は、制御部900の指示により、その出力データ
をネットワーク70へ送信する(ステップ36)。そし
て、利用者端末410の接続を許可し、送信されてくる
コマンドを受け付ける。
【0054】本実施形態では、アクセス制御装置10が
ネットワーク70を介してある利用者端末410からア
クセスされた場合に、パスワード判定部700において
パスワードとユーザ名を予め登録したものと比較し、そ
れが一致しない場合でもアクセス拒否とはせずに、アク
セス権限判定部800によりユーザ名と付加情報をネッ
トワーク70を介して統合認証サーバに送信し、統合認
証サーバにおいて正の判定結果がでた場合はアクセスを
許可する。そのため、利用者は、各アクセス制御装置1
0毎にパスワードを設定しなくても、1つの付加情報で
全てのアクセス制御装置10にアクセスすることができ
る。
【0055】また、付加情報が他人に漏洩した場合でも
その付加情報ではどのアクセス制御装置10にもアクセ
スすることができないため、安全性を確保することがで
きる。この場合において、付加応答情報のみが他人に漏
洩した場合でも付加応答情報のみではどのアクセス制御
装置10にもアクセスすることができない。
【0056】そのため、現在のシステムの大幅な変更を
必要とせずに、ユーザ名とパスワード以外の付加的な情
報に基づくアクセス制御を統一的に行うことができるた
め、安全性が高まるとともに利用者の面倒がないという
効果を有する。
【0057】また、付加情報の設定、変更等を統合認証
サーバ430において一括で行うことができる。
【0058】また、本実施形態では、統合認証サーバ4
30から付加応答情報を返し、これに認証や動的な認証
情報変更のために統合認証サーバ430と利用者が秘密
に交換するような情報を付加することによって安全性を
高めているが、統合認証サーバ430から付加応答情報
を送信しないようにすることも容易に類推することがで
きる。
【0059】また、通信手順の改造は、通信サービスに
おいて最も複雑である遠隔における機能試験を含むた
め、非常にコストがかかるが、本実施形態によれば、例
えば、ソフトウェアで本実施形態を実現した場合、アク
セス制御における付加情報に限定して改造するための共
通インタフェースをソフトウェアのプログラミングイン
タフェースとして実現するなどにより、改造のためのコ
ストを小さくする効果もある。
【0060】また、しばしば通信ソフトウェアにおいて
は、最初の接続のための情報を通信を利用する様々なソ
フトウェアに依存するかたちで提供するので、新しいネ
ットワークに対応して通信サービスを実現するような場
合、そのネットワーク固有の機能を用いて、付加情報を
転送することによっても本実施形態を実現することがで
きる。
【0061】また、付加応答情報をあらかじめそれぞれ
のアクセス制御装置10が要求する通信手順上の特定の
情報項目に代入することによって、通信手順上の改造を
なくし容易に実現できるようにすることも容易に類推す
ることができる。
【0062】また、本実施形態では、最初のパスワード
判定部700で否と出た場合に、アクセス権限判定部8
00を動作させたが、最初のパスワード判定部700で
正と出た場合に付加的にアクセス権限判定部800を動
作させるようにすることも可能であることは容易に類推
することができる。
【0063】この方法を実現するためには、ユーザ名や
パスワードによる判定を予め全て正となるように、例え
ばパスワードが無い場合には自由にアクセスできる、と
いうように設定しておいて、付加情報でアクセス制限す
るというような方法で制御する。この場合にも、本実施
形態と同様にパスワード等の個別情報の設定にそれぞれ
の利用者が煩わされることなく統一的な付加情報による
認証によって複数のサービスに対するアクセス制御が可
能になる。
【0064】
【発明の効果】以上説明したように、本発明は、現在の
システムの大幅な変更を必要とせずに、ユーザ名とパス
ワード以外の付加的な情報に基づくアクセス制御を統一
的に行うことができるため、安全性が高まるとともに利
用者の面倒がないという効果を有する。
【図面の簡単な説明】
【図1】本発明のアクセス制御装置の一実施形態の構成
を示したブロック図である。
【図2】図1のアクセス制御装置10を用いたアクセス
制御システムの一例を示す図すである。
【図3】図1のアクセス制御装置10の動作を示したフ
ローチャートである。
【図4】従来のアクセス制御装置の構成を示したブロッ
ク図である。
【図5】図4のアクセス制御装置910を用いたアクセ
ス制御システムの一例を示す図すである。
【図6】図4のアクセス制御装置910を用いたアクセ
ス制御システムの他の一例を示す図すである。
【符号の説明】
10 アクセス制御装置 21〜39 ステップ 50 制御部 70 ネットワーク 100 ネットワーク入出力部 200 入力処理部 300 出力処理部 400 記憶部 410 利用者端末 430 統合認証サーバ 500 処理部 600 ユーザ名判定部 650 ユーザ名記憶部 700 パスワード判定部 750 パスワード記憶部 800 アクセス権限判定部 900 制御部 910 アクセス制御装置 920 統合認証サーバ

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】 複数の利用者端末とネットワークを介し
    て接続され、前記ネットワークからの入力データを受信
    するとともに出力データを前記ネットワークに送信する
    ネットワーク入出力部と、 前記ネットワーク入出力部により受信された入力データ
    に含まれるユーザ名およびパスワードが、予め登録され
    たユーザ名およびパスワードと一致するかどうかを判定
    するパスワード判定部と、 前記パスワード判定部での判定結果が正の場合、前記入
    力データを送信した利用者端末からのアクセスを許可
    し、前記パスワード判定部での判定結果が否の場合、該
    判定結果をアクセス権限判定部に伝達する制御部と、 前記制御部から前記パスワード判定部での否である判定
    結果が伝達されると、前記ユーザ名と前記ネットワーク
    入出力部が受信した入力データに含まれる付加情報と
    を、送信されてくる付加情報とユーザ名が予め登録され
    ている付加情報とユーザ名と一致するかを判定する統合
    認証サーバに、前記ネットワークを介して送信し、前記
    統合認証サーバから送信された判定結果により前記利用
    者端末のアクセス許否の決定を行うアクセス権限判定部
    とを有するアクセス制御装置。
  2. 【請求項2】 前記統合認証サーバから前記アクセス権
    限判定部に判定結果が送信される際に、付加情報を変更
    するための情報である付加応答情報が合わせて送信さ
    れ、前記アクセス権限判定部は、送信された前記付加応
    答情報を前記利用者端末に送信する請求項1記載のアク
    セス制御装置。
  3. 【請求項3】 複数の利用者端末と、前記各利用者端末
    とネットワークにより接続された複数のアクセス制御装
    置から構成されるアクセス制御システムにおいて、 予め各利用者のユーザ名および付加情報が登録されてい
    て、前記各アクセス制御装置からユーザ名および付加情
    報が送信されてくると該ユーザ名および該付加情報が登
    録されているユーザ名および付加情報と一致しているか
    どうかを判定し、該判定結果を前記ユーザ名および前記
    付加情報を送信したアクセス制御装置に送信する統合認
    証サーバが設けられ、 前記各アクセス制御装置は、パスワードによる認証が否
    の場合、前記利用者端末から送信されたユーザ名および
    付加情報を前記統合認証サーバに送信し、前記統合認証
    サーバでの判定結果により前記利用者端末のアクセス許
    否の決定を行うことを特徴とするアクセス制御システ
    ム。
  4. 【請求項4】 前記統合認証サーバは、前記アクセス制
    御装置に判定結果を送信する際に、付加情報を変更する
    ための情報である付加応答情報を合わせて送信し、前記
    アクセス制御装置は、送信された前記付加応答情報を前
    記利用者端末に送信する請求項3記載のアクセス制御シ
    ステム。
JP9123961A 1997-05-14 1997-05-14 アクセス制御システムおよびアクセス制御装置 Pending JPH10312362A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP9123961A JPH10312362A (ja) 1997-05-14 1997-05-14 アクセス制御システムおよびアクセス制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP9123961A JPH10312362A (ja) 1997-05-14 1997-05-14 アクセス制御システムおよびアクセス制御装置

Publications (1)

Publication Number Publication Date
JPH10312362A true JPH10312362A (ja) 1998-11-24

Family

ID=14873626

Family Applications (1)

Application Number Title Priority Date Filing Date
JP9123961A Pending JPH10312362A (ja) 1997-05-14 1997-05-14 アクセス制御システムおよびアクセス制御装置

Country Status (1)

Country Link
JP (1) JPH10312362A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108491681A (zh) * 2010-07-27 2018-09-04 梅索磅秤技术有限公司 消耗品数据管理

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108491681A (zh) * 2010-07-27 2018-09-04 梅索磅秤技术有限公司 消耗品数据管理
US11630871B2 (en) 2010-07-27 2023-04-18 Meso Scale Technologies, Llc. Consumable data management
US11960552B2 (en) 2010-07-27 2024-04-16 Meso Scale Technologies, Llc. Consumable data management

Similar Documents

Publication Publication Date Title
US8327427B2 (en) System and method for transparent single sign-on
US6622220B2 (en) Security-enhanced network attached storage device
US5586260A (en) Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US6327658B1 (en) Distributed object system and service supply method therein
US20050177724A1 (en) Authentication system and method
US6785729B1 (en) System and method for authorizing a network user as entitled to access a computing node wherein authenticated certificate received from the user is mapped into the user identification and the user is presented with the opprtunity to logon to the computing node only after the verification is successful
US20040186880A1 (en) Management apparatus, terminal apparatus, and management system
KR101451359B1 (ko) 사용자 계정 회복
JP2728033B2 (ja) コンピュータネットワークにおけるセキュリティ方式
WO2018216988A1 (ko) 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증시스템 및 보안인증방법
CN106101054A (zh) 一种多系统的单点登录方法和集中管控系统
CN112039878B (zh) 一种设备注册方法、装置、计算机设备及存储介质
CN109088890A (zh) 一种身份认证方法、相关装置及系统
US20040083296A1 (en) Apparatus and method for controlling user access
EP2436164A1 (en) Method and equipment for establishing secure connection on communication network
Erdos et al. Extending the OSF DCE authorization system to support practical delegation
JPH10312362A (ja) アクセス制御システムおよびアクセス制御装置
JPH0779243A (ja) ネットワーク接続装置およびネットワーク接続方法
JP2001282667A (ja) 認証サーバ・クライアントシステム
WO2013073780A1 (ko) 자동 로그인 기능을 제공하는 방법 및 서버
KR20000008417A (ko) 금융 전산망의 거래 데이터 보안방법 및 장치
JP4055055B2 (ja) ネットワーク機器及びネットワークの制御方法
CN114385995B (zh) 一种基于Handle的标识解析微服务接入工业互联网的方法及标识服务系统
CN100438400C (zh) 可在非安全模式下使用的网络设备及方法
JPH03137759A (ja) 情報資源管理装置