JPWO2003083678A1 - Access control device and data management device - Google Patents
Access control device and data management device Download PDFInfo
- Publication number
- JPWO2003083678A1 JPWO2003083678A1 JP2003581033A JP2003581033A JPWO2003083678A1 JP WO2003083678 A1 JPWO2003083678 A1 JP WO2003083678A1 JP 2003581033 A JP2003581033 A JP 2003581033A JP 2003581033 A JP2003581033 A JP 2003581033A JP WO2003083678 A1 JPWO2003083678 A1 JP WO2003083678A1
- Authority
- JP
- Japan
- Prior art keywords
- access
- data
- request
- shared data
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0635—Configuration or reconfiguration of storage systems by changing the path, e.g. traffic rerouting, path reconfiguration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
- G06F3/0674—Disk device
- G06F3/0676—Magnetic disk device
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
- G06F3/0658—Controller construction arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
アクセス制御装置1は、外部機器2が接続される複数のインタフェースポートA〜Dを有し、これらのインタフェースポートA〜D毎にアクセスポートa〜dに接続されるハードディスク3に対して許可するアクセスの種類が設定できる。したがって、インタフェースポート毎に接続される外部機器2の性質に応じた設定が行えるので、ユーザの誤操作や故意によりハードディスク3に記憶されている共有データが改竄されたり、破壊されるのを防止できる。The access control device 1 has a plurality of interface ports A to D to which an external device 2 is connected, and permits access to the hard disk 3 connected to the access ports a to d for each of the interface ports A to D. Can be set. Therefore, since the setting according to the property of the external device 2 connected to each interface port can be performed, it is possible to prevent the shared data stored in the hard disk 3 from being falsified or destroyed due to user's erroneous operation or intention.
Description
技術分野
この発明は、複数のユーザで共有するデータを記憶させるハードディスク等の記憶装置に対するデータの読み出し、書き換え、書き込み、削除等の外部機器からのアクセスを制御するアクセス制御装置、およびデータ管理装置に関する。
背景技術
従来、複数のユーザがハードディスク等の記憶装置に記憶されているデータ(以下、共有データと言う。)を利用できるように、共有データを記憶させたサーバ装置、サーバ装置に記憶されている共有データを管理する管理者用の管理装置、および共有データを利用するユーザ用の個人端末をネットワークに接続していた。また、上記共有データがユーザの誤操作等により、書き換えられたり、破壊されるのを防止するために、多くのネットワークシステムではユーザに対して共有データの書換、書込、および削除を禁止し、共有データの読出(ダウンロード)のみ許可している。特に、インタネット上で共有データを公開しているサーバ装置の場合、不特定多数のユーザからアクセスがあるため、ユーザに対して共有データの書換、書込、および削除を禁止している場合が多い。例えば、サーバ装置に対して共有データの書換、書込、および削除を行う場合、パスワード等による認証(記憶装置に対して共有データの書換、書込、削除が許可されている者(共有データの管理者)であるかどうかの認証)を行うことで、パスワードを知らない者(ユーザ)に対して共有データの書換、書込、および削除を禁止していた。
なお、ユーザは共有データの書換、書込、および削除を行う必要性はなく、サーバ装置から共有データをダウンロードして利用できればよい。
また、ここで言う、書換とはサーバ装置に記憶されている共有データの変更/更新であり、書込とはサーバ装置に新たな共有データを追加することである。
しかしながら、サーバ装置に記憶している共有データを改竄したり(故意に書き換えたり)、破壊する犯罪(ハッカーによる犯罪)が増加しており、上記パスワード等による認証で共有データの書換、書込、削除を許可する方式では、共有データのセキュリティが低いという問題があった。
また、ユーザが記憶装置から読み出した共有データを利用すると、該利用にともなって新たな共有データが生まれたり、記憶装置に記憶されている共有データに変更が生じる環境で運用されているネットワークシステムがある。例えば、病院では各患者のカルテを記憶装置に記憶させたカルテシステムが利用されている。カルテシステムは、医師(カルテシステムのユーザ)が患者に対して適正な医療行為を行うためのシステムである。医師は、記憶装置から該当患者のカルテを読み出し、該患者に対するこれまでの診療履歴を確認し、患者に対する今回の医療行為の内容を判断している。医師は、患者に対する今回の医療行為が完了すると、記憶装置に記憶されている該患者のカルテを、今回の医療行為の内容を追加したカルテに置き換えなければならない。このため、医師に対してカルテ(共有データ)の書換を許可しないネットワークシステムでカルテシステムを構成すると、医師が患者に対して行った医療行為の内容を該患者のカルテに登録できない。この場合、患者に対して、同じ医療行為が重複して行われる等、医療行為が適正に行えず、医療事故が発生する可能性が高くなる。このため、カルテシステムは、医師に対して共有データである患者のカルテの書換を許可したネットワークシステムで構成されていた。
このように、記憶装置に記憶されている共有データの書換をユーザに許可した環境で運用されているネットワークシステムも多く、このような環境で運用されているネットワークシステムでは、ユーザの誤操作による共有データの無用な書き換えや、悪意を持った者による共有データの改竄から、共有データが十分に保護されていなかった。
この発明の目的は、ユーザの誤操作や故意により、記憶装置に記憶しているデータが改竄されたり、破壊されるのを防止することにより、上記データのセキュリティを向上させたアクセス制御装置、およびデータ管理装置を提供することにある。
発明の開示
この発明のアクセス制御装置は、
外部機器が接続される複数のインタフェースポートと、
データを記憶する記憶装置が接続されるアクセスポートと、
上記インタフェースポート毎に、上記記憶装置に対して許可するアクセスの種類を設定し、上記記憶装置に対するアクセスの要求がいずれかのインタフェースポートに入力されたとき、該インタフェースポートに対して許可されているアクセスの種類に基づいて、入力されたアクセスの要求の実行可否を判断する制御部と、を備えている。
この構成では、制御部において、外部機器が接続されるインタフェースポート毎に、アクセスポートに接続されている記憶装置に対して許可するアクセスの種類が設定される。ここで言う外部機器とは、記憶装置に記憶されているデータ(共有データ)を利用するユーザが操作する個人端末や、記憶装置に記憶されている共有データを管理する管理者が操作する管理装置である。
上記アクセスの種類は、例えば、
▲1▼記憶装置が記憶している共有データの読み出し、
▲2▼記憶装置が記憶している共有データの書き換え、
▲3▼記憶装置に対する共有データの書き込み、
▲4▼記憶装置が記憶している共有データの削除、
である。上記制御部は、インタフェースポート毎に、上記▲1▼〜▲4▼の1つ、または複数について許可する設定を行う。
また、上記制御部は、上記記憶装置に対するアクセスの要求がいずれかのインタフェースポートに入力されたとき、該インタフェースポートに対して許可されているアクセスの種類に基づいて入力されたアクセスの要求の実行可否を判断する。
例えば、許可されているアクセスの種類が、上記▲1▼のみであるインタフェースポートにおいて、入力されたアクセスの要求が上記▲1▼であれば、このアクセスの要求について実行可と判断する。一方、該インタフェースポートにおいて入力されたアクセスの要求が上記▲2▼〜▲4▼であれば、入力された要求について実行不可と判断する。このため、記憶装置に記憶されている共有データをダウンロードのみ許可するユーザについては、該ユーザが接続するインタフェースポートに対して共有データの読出のみ許可する設定としておけば、該インタフェースポートに接続したユーザの誤操作や、故意により記憶装置に記憶されている共有データが改竄されたり、破壊されるのを防止することができる。
また、各インタフェースポートに対して許可するアクセスの種類の設定については、装置本体における操作で設定できるように構成し、外部機器からの遠隔操作で設定できないように構成することにより、セキュリティの一層の向上が図れる。
また、共有データを管理する管理者が操作する装置(外部機器)が接続されるインタフェースポートについては、上記▲1▼〜▲4▼の全てを許可する設定にしておくことにより、管理者における共有データの管理が面倒になるということもない。また、インタフェースポートに対して、上記▲1▼と▲3▼とを許可すると、該インタフェースポートに接続したユーザは共有データの読出だけでなく、共有データの追加も行える。この設定であれば、共有データをユーザに見せて、該共有データに対する感想をユーザから入手し、これを新たな共有データとする等のシステムとして利用でき、また、該設定のインタフェースポートに接続したユーザは共有データの書換や、削除を行うことができないので、共有データに対するセキュリティも十分に確保することができる。
さらに、各インタフェースポートは、上記▲1▼〜▲4▼の1つ以上を許可した設定にできるので、該インタフェースポートに接続されるユーザの性質に応じた設定が行え、多様な用途に対応しながら、共有データのセキュリティを十分に確保することができる。
この発明は、また、
外部機器が接続されるインタフェースポートと、
データを記憶する記憶装置が接続される複数のアクセスポートと、
上記アクセスポート毎に、接続されている上記記憶装置に対して許可するアクセスの種類を設定し、いずれかのアクセスポートに接続されている上記記憶装置に対するアクセスの要求が上記インタフェースポートに入力されたとき、アクセスが要求された上記記憶装置が接続されている上記アクセスポートに対して許可されているアクセスの種類に基づいて、入力されたアクセスの要求の実行可否を判断する制御部と、を備えている。
この構成では、制御部がアクセスポート毎に接続されている記憶装置に対して許可するアクセスの種類(上記で説明した▲1▼〜▲4▼)を設定する。また、制御部は、インタフェースポートにおいて、いずれかのアクセスポートに接続されている記憶装置に対するアクセスの要求があると、該アクセスポートに対して許可されているアクセスの種類に基づいて、入力されたアクセスの要求の実行可否を判断する。
例えば、許可されているアクセスの種類が、上記▲1▼のみであるアクセスポートに接続されている記憶装置に対して、入力されたアクセスの要求が上記▲1▼であれば、このアクセスの要求について実行可と判断する。一方、該アクセスポートに接続されている記憶装置に対して入力されたアクセスの要求が上記▲2▼〜▲4▼であれば、入力された要求について実行不可と判断する。
このように、アクセスポート毎に接続されている記憶装置に対して許可するアクセスの種類を設定することができるので、記憶装置に記憶されている共有データの性質、例えば共有データをユーザに見せて、該共有データに対する感想をユーザから入手するシステムであれば、ユーザに対して提示する共有データを記憶する記憶装置、入手したユーザの感想を記憶する記憶装置等、に応じてアクセスを許可する種類を設定することができる。
なお、ユーザに対して提示する共有データを記憶する記憶装置が接続されるアクセスポートについては共有データの読出のみ許可すればよく、また、入手したユーザの感想を記憶する記憶装置が接続されるアクセスポートについては共有データの書込のみ許可すればよい。
この発明は、また、
外部機器が接続されるインタフェースポートと、
記憶装置が接続されるアクセスポートと、
上記アクセスポートに接続された上記記憶装置に対して許可するアクセスの種類をデータの読出および新規書込に設定し、上記インタフェースポートに入力された上記記憶装置に対するアクセスの要求が、データの読出または新規書込のいずれかであれば入力されたアクセスの要求を実行し、データファイルの読出または新規書込以外の要求であれば入力されたアクセスの要求を無視する制御部と、を備えている。
この構成では、データを記憶する記憶装置、例えばハードディスク、がアクセスポートに接続され、この記憶装置に記憶されているデータを利用する外部機器がインタフェースポートに接続される。制御部は、インタフェースポートに接続された外部機器から、データの読出、または新規書込の要求があれば該要求を実行するが、インタフェースポートに接続された外部機器から、上記データの読出、または新規書込以外の要求である、例えばデータの書換(上書き)または削除の要求があっても、この要求を無視する。
したがって、アクセスポートに接続された記憶装置に記憶されたデータを、書き換えたり、削除することはできない。これにより、アクセスポートに接続された記憶装置に記憶されたデータは、ユーザの誤操作による無用な書き換えや、悪意を持った者による改竄から、十分に保護できる。
また、インタフェースポートに記憶装置に対するデータの新規書込の要求が入力されると該要求を実行するので、ユーザが記憶装置に記憶されているデータの更新を行う必要がある環境で使用されるシステムであっても、新たに発生したデータを記憶装置に新規に書き込むことにより、更新されたデータを記憶装置に記憶させることができる。
発明を実施するための最良の形態
以下、この発明の実施形態であるアクセス制御装置について詳細に説明する。
図1は、この発明の実施形態であるアクセス制御装置を適用したネットワークシステムを示す図である。図において、1はこの発明の実施形態であるアクセス制御装置である。アクセス制御装置1は、外部機器2(2A〜2D)が接続される複数(この実施形態では4つ)のインターフェースポートA〜Dと、ハードディスク3(3a〜3d)(この発明で言う記憶装置)が接続される複数(この実施形態では4つ)のアクセスポートa〜dとを有している。外部機器2は、共有データを利用するユーザの個人端末や、記憶装置3に記憶されている共有データを管理する管理者用の管理装置である。外部機器2は、パーソナルコンピュータや、携帯端末等、データ通信機能を有する装置であれば特にその種類は制限されない。アクセス制御装置1と外部機器2とは、直接ケーブルで接続される構成であってもよいし、またLANやインタネット等のネットワークを介して接続される構成であってもよい。アクセス制御装置1とハードディスク3とにより、サーバ装置が構成される。サーバ装置は、アクセス制御装置1とハードディスク3とは、一体化された構成であってもよい。
図2は、この発明の実施形態であるアクセス制御装置の構成を示す図である。アクセス制御装置1は、本体の動作を制御する制御部11と、外部機器2が接続されるインタフェースポートA〜D毎に、入出力を制御するインタフェースコントローラ12(12A〜12D)と、インタフェースポートA〜D毎に入出力されるデータを一時的に記憶するFIFO13(13A〜13D)と、キャッシュメモリ14を制御するキャッシュコントローラ15と、ハードディスク3が接続されるアクセスポートa〜d毎に入出力されるデータを一時的に記憶するFIFO16(16a〜16d)と、各アクセスポートa〜dに接続されているハードディスク3(3a〜3d)を制御するデバイスコントローラ17と、を備えている。インタフェースコントローラ12は、SCSIやIDE等のインタフェースにより他の装置(外部機器)との接続を制御する。デバイスコントローラ17は、アクセスポートa〜dに接続されているハードディスク3に対するデータの読み出しや、書き込みを制御する。
アクセス制御装置1は、インタフェースポートA〜D毎にアクセスポートa〜dに接続されているハードディスク3に対して許可するアクセスの種類を設定している。この設定は、アクセス制御装置1に設けられている操作部(不図示)においてのみ変更可能であり、インタフェースポートA〜Dに接続されている外部機器2から変更できないように構成されている。
各インタフェースポートA〜Dには、
▲1▼ハードディスク3が記憶している共有データの読み出し、
▲2▼ハードディスク3が記憶している共有データの書き換え(記憶している共有データの変更)、
▲3▼ハードディスク3に対する新たな共有データの書き込み、
▲4▼ハードディスク3が記憶している共有データの削除、
の1つ、または複数について許可する設定がなされる。各インタフェースコントローラ12は、ハードディスク3に対するアクセスの要求が入力されたとき、該アクセスの種類が上記制御部11により許可されている種類であるかどうかを判断し、許可されていると判断した場合に該要求を受け付け、反対に許可されていないと判断した場合に該要求を拒否する。
この実施形態では、インタフェースポートAは共有データの読み出しのみ許可した設定であり、インタフェースポートBは共有データの読み出し、および共有データの書き換えを許可した設定であり、インタフェースポートCは共有データの読み出し、および共有データの書き込みを許可した設定であり、インタフェースポートDは共有データの読み出し、共有データの書き換え、共有データの書き込み、および共有データの削除を許可した設定である、場合を例にする。
共有データをダウンロードして利用するだけのユーザ(一般ユーザ)の個人端末(外部機器2A)は、インタフェースポートAに接続される。また、共有データをダウンロードして利用するだけでなく、必要に応じて共有データを書き換えるユーザは、インタフェースポートBに接続される。また、共有データをダウンロードして利用するだけでなく、必要に応じて新たな共有データを書き込むユーザは、インタフェースポートCに接続される。さらに、共有データの読出、書換、書込、削除を必要に応じて行う共有データの管理者は、インタフェースポートDに接続される。
また、アクセスポートa〜dに接続した4つのハードディスクにより、RAIDレベル0/1のシステムを構成している。具体的には、アクセスポートa、bに接続されている2つのハードディスク3a、3bが共有データを記憶するデータ記憶用として機能し、アクセスポートc、dに接続されている2つのハードディスク3c、3dが、それぞれアクセスポートa、bに接続されているハードディスク3のミラーリング用として機能する。また、所定の大きさのブロックに分割した共有データを、アクセスポートa、bに接続されている2つのハードディスク3a、3bに記憶している。具体的には、奇数番目のブロックをハードディスク3aに記憶し、偶数番目のブロックをハードディスク3bに記憶している。
なお、ミラーリング用であるハードディスク3cは奇数番目のブロックを記憶しており、ハードディスク3dは偶数番目のブロックを記憶している。
ハードディスク3cはハードディスク3aのバックアップ用として機能し、ハードディスク3dはハードディスク3bのバックアップ用として機能する。
デバイスコントローラ17は、共有データの書き換え、または書き込みを行う場合、書き換える共有データ、または書き込む共有データを所定の大きさのブロックに分割し、アクセスポートa、bに接続されているハードディスク3a、3bに書き込む。また、このときアクセスポートc、dに接続されているハードディスク3c、3dにも所定の大きさのブロックに分割した共有データを書き込む。ハードディスク3a、3cに書き込まれる共有データは同じブロックであり、ハードディスク3b、3dに書き込まれる共有データは同じブロックである。また、デバイスコントローラ17は、共有データを削除する場合、アクセスポートa〜dに接続されているハードディスク3a〜3dにおいて、該当する共有データが記憶されている領域を空き領域に設定する。さらに、デバイスコントローラ17は、共有データを読み出す場合、アクセスポートaに接続されているハードディスク3aから所定の大きさのブロック単位に分割された奇数番目のデータを読み出し、且つアクセスポートbに接続されているハードディスク3bから所定の大きさのブロック単位に分割された偶数番目のデータを読み出し、これらを順番に並べることにより共有データを作成する(所定の大きさのブロックに分割されていた共有データを一体化する。)。
以下、この実施形態のアクセス制御装置1の動作について説明する。図3は、アクセス制御装置の動作を示すフローチャートである。各インタフェースコントローラ12A〜12Dは、それぞれが独立してアクセスポートa〜dに接続されているハードディスク3に対するアクセスの要求がインタフェースポートA〜Dに入力されるのを待っている(s1)。インタフェースポートA〜Dに入力されるアクセスの要求は、共有データの読出、書換、書込、または削除である。
インタフェースコントローラ12は、ハードディスク3に対するアクセスの要求が接続されているインタフェースポートに入力されると、該アクセスの要求が接続されているインタフェースポートに対して許可されている種類であるかどうかを判断する(s2)。インタフェースコントローラ12は、s2でアクセスの要求が許可されている種類であると判断すると、該要求に基づく処理を実行する(s3)。反対に、s2で許可されていない種類であると判定すると、該アクセスの要求を送信してきた外部機器2に対してエラーコマンドを送信する(s4)。
アクセス制御装置1は、s3、またはs4の処理を完了すると、s1に戻って上記処理を繰り返す。
このように、この実施形態のアクセス制御装置1は、インタフェースポート毎に許可するアクセスの種類が設定されており、許可されていない種類のアクセスの要求が入力された場合に、該アクセスの要求を拒否する。したがって、インタフェースポートに接続される外部機器2の性質に応じた設定が行える。例えば、ハードディスク3に記憶している共有データをダウンロードして利用するだけのユーザの外部機器2を接続するインタフェースポートについては、共有データの読出のみ許可する設定にしておけば、このユーザの誤操作や故意により共有データが改竄されたり、破壊されるのを防止することができる。これにより、共有データのセキュリティを向上させることができる。
なお、上記ユーザは共有データをダウンロードして利用するだけであるので、共有データの書換、書込、削除を禁止しても問題はない。
また、インタフェースポートCのように、共有データの読出、および書込を許可したインタフェースポートを設けることにより、ユーザに共有データを提示し、該提示した共有データに対する感想をユーザから入手するアンケート方式等に対応することができる。但し、このインタフェースポートCに接続される外部機器2についても共有データの書換、削除については、そのアクセスの要求を拒否するので、ユーザの誤操作や故意により共有データが改竄されたり、破壊されるのを防止することができる。
さらに、インタフェースポートDのように、共有データの読出、書換、書込、および削除を許可したインタフェースポートについては、共有データを管理する管理者の外部機器2を接続すればよい。これにより、管理者はハードディスク3に記憶されている共有データの管理がスムーズに行える。
なお、共有データの書換や、削除時にパスワードによる認証を行えば、共有データのセキュリティを一層向上させることができる。反対に上記パスワードによる認証を無くせば、共有データの書換や、削除を行うときの作業性を向上させることができる。
上記s3で実行される処理は、共有データの読出、変更、追加、削除のいずれかである。図4は、共有データの読出処理を示すフローチャートである。アクセスの要求が入力されたインタフェースコントローラ12は、キャッシュコントローラ15に対して共有データの読出要求を転送する(s11)。この読出要求には、読み出す共有データを特定するためのデータが含まれている。
キャッシュコントローラ15は、転送されてきた上記読出要求により要求されている共有データ(該当する共有データ)がキャッシュメモリ14に記憶されているかどうかを判定する(s12)。キャッシュコントローラ15は、s12でキャッシュメモリに該当する共有データが記憶されていると判定すると、該読出要求を送信してきたインタフェースコントローラ12A〜12Dに対して共有データの読出し完了を通知する(s15)。反対に、s12でキャッシュメモリに記憶されていないと判定すると、デバイスコントローラ17に対して、該当する共有データの読出しを指示する(s13)。
共有データの読み出しが指示されたデバイスコントローラ17は、アクセスポートa、bに接続されているハードディスク3a、3bから、該当する共有データを読み出し、キャッシュメモリ14に書き込む(s14)。
上述したように、共有データは所定の大きさのブロックに分割され、アクセスポートaに接続されているハードディスク3aに奇数番目のデータが記憶され、アクセスポートbに接続されているハードディスク3bに偶数番目のデータが記憶されている。ハードディスク3a、3bから読み出された共有データは一旦FIFO16a、16bに記憶される。デバイスコントローラ17は、FIFO16a、16bから交互に、記憶されている共有データを取り出し、取り出した順番にキャッシュメモリ14に書き込む。これにより、ハードディスク3a、3bに所定の大きさのブロックに分割されて記憶されていた共有データを一体化する(適正な共有データを作成する。)。また、ハードディスク3a、3bから同時に共有データを読み出すので、共有データを分割せずに単一のハードディスクに記憶させている場合に比べて、ハードディスク3に記憶されている共有データの読み出しにかかる時間が約半分になる。
デバイスコントローラ17は、該当する共有データの読み出しを完了すると、その旨をキャッシュコントローラ15に通知する(s15)。
キャッシュコントローラ15は、デバイスコントローラ17から該当する共有データの読み出し完了が通知されると、今回共有データの読出要求を転送してきたインタフェースコントローラ12に対して、該読出完了を転送する(s16)また、キャッシュコントローラ15は、キャッシュメモリ14に記憶されている該当する共有データをインタフェースコントローラ12に転送する(s17)。キャッシュコントローラ15は、s17においてキャッシュメモリ14に記憶されている該当する共有データを順次読み出しFIFO13に記録する。
キャッシュコントローラ15から共有データの読出完了が転送されてきたインタフェースコントローラ12は、FIFO13に記憶されている共有データを順番に読み出し、今回ハードディスク3に対してアクセス(共有データの読出)を要求してきた外部機器2に対してインタフェースポートから共有データを出力する(s18)。
これにより、共有データの読み出しが許可されているインタフェースポートに接続されている外部機器2では、共有データをダウンロードして利用することができる。
次に、s3で実行される共有データの書換処理について説明する。図5は、共有データの書換処理を示すフローチャートである。インタフェースコントローラ12は、キャッシュコントローラ15に対して共有データの書換要求を転送する(s21)。この書換要求には、書き換える共有データを特定するためのデータが含まれている。また、インタフェースコントローラ12は、共有データの書換要求とともに外部機器2から送信されてきた書き換える共有データをFIFO13に書き込んでいく(s22)。
キャッシュコントローラ15は、キャッシュメモリ14に空き領域を確保し(s23)、書き換える共有データをFIFO13から読み出し、ここで確保した空き領域に記憶する(s24)。キャッシュコントローラ15は、書き換える共有データをキャッシュメモリ14に記憶すると、デバイスコントローラ17に対して共有データの書換を指示する(s25)。
キャッシュコントローラ15から共有データの書換指示があったデバイスコントローラ17は、アクセスポートa〜dに接続されている4つのハードディスク3a〜3dに対して共有データの書換を指示する(s26)。また、デバイスコントローラ17は、キャッシュメモリ14に記憶されている該当する共有データ(書き換える共有データ)を読出、所定のブロック単位に分割した共有データをFIFO16a、16bに書き込んで行く。このとき、デバイスコントローラ17は、FIFO16aに書き込んだデータと同じデータをFIFO16cに書き込んでおり、またFIFO16bに書き込んだデータと同じデータをFIFO16dに書き込んでいる。
ハードディスク3a〜3dは、それぞれFIFO16a〜16dに記憶されている共有データを取り込んで、該当する共有データを書き換える(s27)。
次に、s3で実行される共有データの書込処理について説明する。図6は、共有データの書込処理を示すフローチャートである。アクセスの要求が入力されたインタフェースコントローラ12は、キャッシュコントローラ15に対して共有データの書込要求を転送する(s31)。この書込要求には、ハードディスク3に書き込む共有データが含まれている。また、インタフェースコントローラ12は、共有データの書込要求とともに外部機器2から送信されてきたハードディスク3に書き込む共有データをFIFO13に書き込んでいく(s32)。
キャッシュコントローラ15は、キャッシュメモリ14に空き領域を確保し(s33)、書き込む共有データをFIFO13から読み出し、ここで確保した空き領域に記憶する(s34)。キャッシュコントローラ15は、書き込む共有データをキャッシュメモリ14に記憶すると、デバイスコントローラ17に対して共有データの書き込みを指示する(s35)。
キャッシュコントローラ15から共有データの書込指示があったデバイスコントローラ17は、アクセスポートa〜dに接続されている4つのハードディスク3a〜3dに対して共有データの書込を指示する(s36)。また、デバイスコントローラ17は、キャッシュメモリ14に記憶されている該当する共有データ(書き込む共有データ)を読出、所定の大きさのブロックに分割し、奇数番目のブロックのデータををFIFO16aに書き込み、偶数番目のブロックのデータををFIFO16bに書き込む。このとき、デバイスコントローラ17は、FIFO16aに書き込んだデータと同じデータをFIFO16cに書き込んでおり、またFIFO16bに書き込んだデータと同じデータをFIFO16dに書き込んでいる。
ハードディスク3a〜3dは、それぞれFIFO16a〜16dに記憶されている共有データを取り込んで、空き領域に該当する共有データを書き込む(s37)。
この共有データの書き込みにかかる時間は、共有データを分割せずに単一のハードディスクに記憶させる場合に比べれば略半分で済む。
さらに、s3で実行される共有データの削除処理について説明する。図7は、共有データの削除処理を示すフローチャートである。アクセスの要求が入力されたインタフェースコントローラ12は、キャッシュコントローラ15に対して共有データの削除要求を転送する(s41)。この削除要求には、削除する共有データを特定するためのデータが含まれている。
キャッシュコントローラ15は、インタフェースコントローラ12から転送されてきた削除要求を、デバイスコントローラ17に転送する(s42)。
デバイスコントローラ17は、ハードディスク3a〜3dに対して、この削除要求で指示されている共有データの削除を指示する(s43)。
ハードディスク3a〜3dは、今回削除が指示された共有データを記憶している記憶領域を空き領域にすることで、指示された共有データを削除する。ここで空き領域とした領域(削除した共有データを記憶していた領域)は、上記書込処理において共有データを書き込む領域として利用される。
このように、アクセスポートa〜dに接続される4つのハードディスク3a〜3dでRAIDレベル0/1を構成したので、共有データの読出、書換、および書込を高速に行うことができる。また、いずれかのハードディスク3a〜3dが故障しても、故障したハードディスクに記憶されていた共有データが別のハードディスクに記憶されているので、共有データが消失することがない。
なお、上記実施形態ではアクセスポートa〜dに接続される4つのハードディスク3a〜3dでRAIDレベル0/1を構成するとしたが、これに限定されることはなく、RAIDレベルは別のレベルであってもよいし、またRAIDを構成しなくてもよい。
次に、上記実施形態のアクセス制御装置1とハードディスク3とを一体化したデータ管理装置1、3を、インタネット上で共有データを公開するシステムに適用した実施形態について説明する。図8は、この実施形態にかかるシステムの構成を示す図である。インタネット21を介して共有データをダウンロードするユーザの個人端末2A(外部機器2A)は、Webサーバ23を介して上記共有データの読出のみ許可されたデータ管理装置1、3のインタフェースポートAに接続されている。また、上記共有データの読出、書換、書込、および削除が許可されたインタフェースポートDには、イントラネット22に接続された管理者の管理サーバ装置24が接続されている。共有データの管理者が操作する管理装置2D(外部機器2D)は、上記イントラネット22に接続されており、管理サーバ装置24を介してデータ管理装置1、3にアクセスする。
ユーザは、インタネット21、Webサーバ23を介してデータ管理装置1、3にアクセスし、共有データのダウンロード(読出)を要求する。ユーザが操作する個人端末2Aから出力されたデータ管理装置1、3へのアクセスの要求は、インタフェースポートAに入力されるので、上述したようにユーザは共有データをダウンロードし利用することができる。一方、ユーザは共有データの書換、書込、削除については、データ管理装置1、3に要求しても拒否される。したがって、インタネット21を介して接続されるユーザの誤操作や故意により共有データが改竄されたり、破壊されるのを防止することができる。
また、共有データを管理する管理者用の管理装置2Dは、イントラネット22、管理サーバ装置24を介してデータ管理装置1、3に設けられたインタフェースポートD(共有データの読出、書換、書込、および削除が許可されたインタフェースポート)に接続される。このため、管理者は、データ管理装置1、3で管理されている共有データの読出、書換、書込、および削除が行える。したがって、管理者は共有データをスムーズに管理することができる。
なお、管理者はイントラネット22に接続されている、いずれかの管理装置2Dにおいて、共有データの読出、書換、書込、および削除を行えばよい。
また、ユーザが操作する個人端末2Aが接続されるインタフェースポート(Webサーバ23が接続されるインタフェースポート)に対して、共有データの読出、および書込を許可しておけば、共有データをダウンロードしたユーザから、該ダウンロードした共有データに対する感想を新たな共有データとして入手することができる。これにより、インタネット21、Webサーバ23を介してデータ管理装置1、3に接続した複数人のユーザが対話するシステムや、ユーザに対してアンケートを行うシステム等、様々なシステムを構築することができる。しかも、インタネット21を介して接続されるユーザの個人端末2は共有データの書換、および削除については許可されないので、インタネット21を介して接続されるユーザの誤操作や故意により共有データが改竄されたり、破壊されるのを防止することができる。
このように、この実施形態のアクセス制御装置1は、外部機器2が接続されるインタフェースポート毎に許可するアクセスの種類を設定する構成としたので、多様な用途に対応することができ、且つ共有データのセキュリテイを十分に確保することができる。
次に、この発明の別の実施形態について説明する。
上記実施形態では、インタフェースポートA〜D毎にハードディスク3a〜3dに対して許可するアクセスの種類を設定するとしたが、この実施形態ではアクセスポートa〜d毎に接続されているハードディスク3a〜3dに対して許可するアクセスの種類を設定するようにした実施形態である。
ここでは、
▲1▼アクセスポートaに接続されているハードディスク3aについては、共有データの読出のみ許可する設定とし、
▲2▼アクセスポートbに接続されているハードディスク3bについては、共有データの書換のみ許可する設定とし、
▲3▼アクセスポートcに接続されているハードディスク3cについては、共有データの書込のみ許可する設定とし、
▲4▼アクセスポートdに接続されているハードディスク3dについては、共有データの読出、書換、書込、および削除を拒否する設定とする。
なお、アクセスポートcに接続されているハードディスク3cは、アクセスポートaに接続されているハードディスク3aのバックアップ用である。
図9は、この実施形態のアクセス制御装置の動作を示すフローチャートである。各インタフェースコントローラ12A〜12Dは、アクセスポートa〜dに接続されているハードディスク3に対するアクセスの要求がインタフェースポートA〜Dに入力されるのを待っている(s51)。インタフェースポートA〜Dに入力されるアクセスの要求は、共有データの読出、書換、書込、または削除である。
インタフェースコントローラ12は、接続されているインタフェースポートに入力されたアクセスの要求が、共有データの読出、書換、書込、または削除のどれであるかを判定する(s52〜s54)。読出であると判定すると、共有データの読出処理をアクセスポートaに接続されているハードディスク3aに対して実行する(s55)。また、書換であると判定すると、共有データの書換処理をアクセスポートbに接続されているハードディスク3bに対して実行する(s56)。さらに、書込であると判定すると、共有データの書込処理をアクセスポートcに接続されているハードディスク3cに対して実行する(s57)。一方、削除であると判定した場合(読出、書換、書込のいずれでもないと判定した場合)、該アクセスの要求を送信してきた外部機器2に対してエラーコマンドを送信する(s58)。
s55、s56、s57の処理は、それぞれ図4、5、6に示した処理と略同じ処理であるので、ここでは詳細な説明は省略する。共有データの読出、書換、書込を単一のハードディスク3に対して行う点で相違するだけである。
このように、この実施形態のアクセス制御装置1によれば、共有データの書換や、書込が行われるハードディスクを特定したので、ユーザの誤操作や故意による共有データの改竄や、破壊が行われても、ハードディスク3aに共有データが残っているので問題がない。また、ハードディスク3aが故障しても、ハードディスク3dに共有データがバックアップされているので、共有データが消失することもない。
また、インタフェースポートA〜D毎に、各ハードディスク3(各アクセスポートa〜dに接続されているハードディスク3)に許可するアクセスの種類がそれぞれ設定できるように構成してもよい。例えば、テーブルを利用してインタフェースポートA〜D毎に、各ハードディスク3に許可するアクセスの種類をそれぞれ設定する(図10参照)。これにより、例えば、
▲1▼インタフェースポートAについて、
アクセスポートaに接続されているハードディスク3aに対し共有データの読出のみ許可し、
アクセスポートb、c、d接続されているハードディスク3b、3c、3dに対し全てのアクセスを許可しない設定にする。
▲2▼インタフェースポートBについて、
アクセスポートaに接続されているハードディスク3aに対し共有データの読出のみ許可し、
アクセスポートbに接続されているハードディスク3bに対し共有データの書換のみ許可し、
アクセスポートcに接続されているハードディスク3cに対し共有データの書込のみ許可し、
アクセスポートdに接続されているハードディスク3dに対し全てのアクセスを許可しない設定にする。
▲3▼インタフェースポートCについて、
アクセスポートaに接続されているハードディスク3aに対し共有データの書換のみ許可し、
アクセスポートbに接続されているハードディスク3bに対し共有データの書込、および書換のみ許可し、
アクセスポートcに接続されているハードディスク3cに対し共有データの読出のみ許可し、
アクセスポートdに接続されているハードディスク3dに対し全てのアクセスを許可しない設定にする。
▲4▼インタフェースポートDについて、
アクセスポートaに接続されているハードディスク3aに対して共有データの書込のみ許可し、
アクセスポートbに接続されているハードディスク3bに対し共有データの読出のみ許可し、
アクセスポートcに接続されているハードディスク3cに対し共有データの書換のみ許可し、
アクセスポートdに接続されているハードディスク3dに対し全てのアクセスを許可しない設定にする。
このように、インタフェースポートA〜D毎に、各アクセスポートa〜dに接続されているハードディスク3に対して許可するアクセスの種類をそれぞれ設定することができる。これにより、各インタフェースポートA〜Dに接続される外部機器2の性質と、各アクセスポートa〜dに接続されるハードディスク3の性質と、に応じた設定が行える。これにより、多様なシステムに対応することができ、且つハードディスク3に記憶されている共有データのセキュリティも十分に確保することができる。
図11は、この発明のさらに他の実施形態であるアクセス制御装置を適用したネットワークシステムを示す図である。
図において、アクセス制御装置1は、サーバ装置6(6A、6B)が接続される複数(この実施形態では2つ)のインターフェースポートA、Bと、ハードディスク3(3a〜3d)(この発明で言う記憶装置)が接続される複数(この実施形態では4つ)のアクセスポートa〜dとを有している。ハードディスク3には、各患者のカルテが記憶されている。
なお、この発明で言うデータ記憶装置は、アクセス制御装置1とハードディスク3a〜3dとを一体的に構成したものである。
インタフェースポートAは、アクセスポートa〜dに接続されているハードディスク3に対してデータ(患者のカルテ)の読出のみ許可されており、ハードディスク3に対するデータの新規書込、書換(上書き)、削除については許可されていない。また、インタフェースポートBは、アクセスポートa〜dに接続されているハードディスク3に対するデータ(患者のカルテ)の新規書込のみ許可されたポートであり、ハードディスク3に対してデータの読出、書換、削除については許可されていない。
インタフェースポートAに接続されているサーバ装置6Aは、アクセスポートa〜dに接続されているハードディスク3に記憶されているデータの読出を制御するサーバ装置である。インタフェースポートBに接続されているサーバ装置6Bは、アクセスポートa〜dに接続されているハードディスク3a〜3dに対するデータの新規書込を制御するサーバ装置である。
また、図11に示す4はLAN等のネットワークであり、5はネットワーク4に接続されたパーソナルコンピュータ等の端末装置である。端末装置5は、ハードディスク3に記憶されているカルテを読み出して利用するユーザが操作する外部機器である。端末装置5は、サーバ装置6Aおよびサーバ装置6Bの両方に同時に接続することはできないが、選択的にどちらか一方に接続できる。端末装置5を操作するユーザは、ハードディスク3に記憶されているカルテを読み出すときにサーバ装置6Aに接続し、ハードディスク3にカルテを書き込むときにサーバ装置6Bに接続する。
なお、この実施形態では端末装置5は、サーバ装置6A、6Bを介してアクセス制御装置1のインタフェースポートに接続されるとしているが、サーバ装置6A,6Bを介さずに直接アクセス制御装置1のインタフェースポートA、Bに接続されるように構成にしてもよい。
図12は、この発明の実施形態であるアクセス制御装置の構成を示す図である。アクセス制御装置1は、本体の動作を制御する制御部11と、サーバ装置6A、6Bが接続されるインタフェースポートA、B毎に、入出力を制御するインタフェースコントローラ12(12A、12B)と、インタフェースポートA、B毎に入出力されるデータを一時的に記憶するFIFO13(13A、13B)と、キャッシュメモリ14を制御するキャッシュコントローラ15と、ハードディスク3が接続されるアクセスポートa〜d毎に入出力されるデータを一時的に記憶するFIFO16(16a〜16d)と、各アクセスポートa〜dに接続されているハードディスク3(3a〜3d)を制御するデバイスコントローラ17と、を備えている。インタフェースコントローラ12は、SCSIやIDE等のインタフェースによりサーバ装置6A、6Bとの接続を制御する。デバイスコントローラ17は、アクセスポートa〜dに接続されているハードディスク3に対するデータの読み出しや、書き込みを制御する。
以下、図11に示したネットワークシステムを適用したカルテシステムを例にして本願発明の実施形態の動作を説明する。
ハードディスク3には、テキストファイル形式で患者毎にカルテが記憶されている。各患者には、識別番号が付与されている。ハードディスク3に記憶されているカルテは、該当患者の識別番号(この発明で言う素性コード)と、この患者についてのカルテのシリアル番号(この発明で言う個数コード)と、を含むファイル名で管理されている。ハードディスク3に記憶されているカルテのファイルネームは、
患者の識別番号−シリアル番号.txt
である(図13参照)。患者の識別番号とシリアル番号とは「−」で区切られている。このため、患者の識別番号をキーにすれば、ハードディスク3に記憶されている所望の患者のカルテを検索することができる。また、ハードディスク3に所望の患者のカルテが複数記憶されている場合、シリアル番号により最新のカルテを検索することができる。この実施形態では、ファイルネームに含まれているシリアル番号が大きい程、新しいカルテである。
まず、図14を参照しながら医師が端末装置5を操作して、ハードディスク3に記憶されている患者のカルテを読み出すときの、アクセス制御装置1の動作について説明する。
医師は、端末装置5を操作し、該端末装置5をサーバ装置6Aに接続する。医師は、端末装置5がサーバ装置6Aに接続されると、ハードディスク3に記憶されている、カルテの読出要求をサーバ装置6Aに送信する。サーバ装置6Aは、端末装置5から送信されてきた要求をアクセス制御装置1のインタフェースポートAに転送する。
なお、この実施形態ではサーバ装置6Aは、ネットワーク4を介して端末装置5からハードディスク3に対するアクセスの要求があったとき、このアクセスの要求の種類(カルテの読出、新規書込、書換、削除)に関係なく、該要求をアクセス制御装置1に転送する。
インタフェースコントローラ12Aは、インタフェースポートAにハードディスク3に対するアクセスの要求が入力されると(s60)、該要求がカルテの読出要求であるかどうかを判定する(s61)。インタフェースコントローラ12Aは、s61でカルテの読出要求でないと判定すると(カルテの新規書込、書換、または削除にかかる要求であれば)、今回のハードディスク3に対するアクセスの要求を無視して本処理を終了する。
このように、アクセス制御装置1は、インタフェースポートAに入力されたハードディスク3に対するアクセスの要求がカルテの読出要求以外の要求であれば、該要求を無視する。
なお、ハードディスク3に対するアクセスの要求がカルテの読出要求であるかどうかをサーバ装置6Aに判定させ、サーバ装置6Aがカルテの読出要求以外の要求であると判定したときに、該要求をインタフェースポートAに転送しないように構成してもよい。
インタフェースコントローラ12Aは、s21でカルテの読出要求であると判定すると、今回インタフェースポートAに入力されたカルテの読出要求をキャッシュコントローラ15を介してデバイスコントローラ17に転送する(s62)。s22でデバイスコントローラ17に転送されるカルテの読出要求には、カルテを読み出す患者の識別番号が含まれている。
デバイスコントローラ17は、s62で転送されてきたカルテの読出要求に含まれている識別番号をキーにしてアクセスポートa〜dに接続されているハードディスク3a〜3dを検索し(s63)、該当する患者のカルテを読み出す(s64)。このとき、デバイスコントローラ17は、読出要求に含まれている識別番号を用いて、ハードディスク3に記憶されている該当する患者のカルテを検索し、さらに、ここで検索したカルテの中でファイルネームに含まれているシリアル番号が最も大きいカルテ、すなわち識別番号で識別される患者についての最新のカルテ、を読み出す。
s64でハードディスク3a〜3dから読み出されたカルテは、キャッシュメモリ14に書き込まれる。デバイスコントローラ17は、s63におけるカルテの読出を完了すると(s65)、その旨をキャッシュコントローラ15に通知する(s66)。
キャッシュコントローラ15は、デバイスコントローラ17からカルテの読出完了が通知されると、インタフェースコントローラ12Aに対して、カルテの読出完了を転送する(s67)。また、キャッシュコントローラ15は、キャッシュメモリ14に記憶した該当するカルテをインタフェースコントローラ12Aに転送する(s68)。キャッシュコントローラ15は、s68においてキャッシュメモリ14に記憶されている該当するカルテを順次読み出しFIFO13Aに記録する。
キャッシュコントローラ15からカルテの読出完了が転送されてきたインタフェースコントローラ12Aは、FIFO13Aに記憶されているカルテを順番に読み出し、インタフェースポートAに接続されているサーバ装置6Aへ出力する(s69)。
サーバ装置6Aは、アクセス制御装置1から送信されてきたカルテを、今回カルテの読出要求を送信してきた端末装置5にネットワーク4を介して送信する。
したがって、ユーザは、端末装置5において、ネットワーク4介して接続したサーバ装置6Aに、ハードディスク3a〜3dに記憶されているカルテの読出要求を送信することにより、該読出要求に含めた識別番号で識別される患者の最新のカルテを得ることができる。このため、医師は端末装置5で任意の患者の最新のカルテを簡単に確認することができる。
次に、図15を参照しながら、医療行為が終了した患者のカルテをハードディスク3a〜3dに新規に書き込むときのアクセス制御装置1の動作について説明する。医師は、患者に対する今回の医療行為が完了すると、端末装置5において先に読み出した患者のカルテに今回の医療行為の内容を追加する。上述のように、カルテはテキストファイルであるので、簡単な操作で今回の医療行為の内容をカルテに追加できる。医師は、今回の医療行為の内容を追加したカルテを作成すると、端末装置5をサーバ装置6Bに接続し、ハードディスク3に対するカルテの書込要求を送信する。この書込要求には、今回の医療行為の内容が追加されたカルテおよび患者の識別番号が含まれている。
サーバ装置6Bは、端末装置5から送信されてきた要求をアクセス制御装置1のインタフェースポートBに転送する。
なお、この実施形態ではサーバ装置6Bは、ネットワーク4を介して端末装置5からハードディスク3に対するアクセスの要求があったとき、このアクセスの要求の種類(データの読出、新規書込、書換、削除)に関係なく、該要求をアクセス制御装置1に転送する。
インタフェースコントローラ12Bは、インタフェースポートBにハードディスク3に対するアクセスの要求が入力されると(s70)、該要求がカルテの新規書込要求であるかどうかを判定する(s71)。インタフェースコントローラ12Bは、s71でカルテの新規書込要求でないと判定すると(カルテの読出、書換、または削除にかかる要求であれば)、今回のハードディスク3に対するアクセスの要求を無視して本処理を終了する。
このように、アクセス制御装置1は、インタフェースポートBに入力されたハードディスク3に対するアクセスの要求がカルテの新規書込要求以外の要求であれば、該要求を無視する。
なお、ハードディスク3に対するアクセスの要求がカルテの書込要求であるかどうかをサーバ装置6Bに判定させ、該サーバ装置6Bが新規書込要求以外の要求であると判定したときに、該要求をインタフェースポートBに転送しないように構成してもよい。
インタフェースコントローラ12Bは、s31でカルテの新規書込要求であると判定すると、今回インタフェースポートBに入力されたカルテの新規書込要求をキャッシュコントローラ15を介してデバイスコントローラ17に転送する(s72)。このとき、インタフェースコントローラ12Bは、インタフェースポートBに入力された今回の医療行為の内容が追加されたカルテをFIFO13Bに順次書き込んで行く。キャッシュコントローラ15は、FIFO13Bに書き込まれたカルテを順次読出、キャッシュメモリ14に確保した空き領域に書き込む。
キャッシュコントローラ15からカルテの新規書込要求が転送されてきたデバイスコントローラ17は、該新規書込要求に含まれている患者の識別番号をキーにしてハードディスク3a〜3dを検索し、今回ハードディスク3a〜3dに記憶するカルテのファイルネームを決定する(s73)。具体的には、書込要求に含まれている識別番号を含むファイルネームでハードディスク3a〜3dに記憶されているカルテを検索し、さらに、ここで検索したカルテの中でファイルネームに含まれているシリアル番号の最大値を判断する。デバイスコントローラ17は、今回記憶するカルテのファイルネームのシリアル番号を、ここで判断した最大値を1カウントアップした値に決定する。
なお、ファイルネームに含まれる識別番号は、書込要求に含まれている患者の識別番号である。
デバイスコントローラ17は、s73でハードディスク3a〜3dに書き込むカルテのファイルネームを決定すると、ハードディスク3a〜3dの空き領域に今回の医療行為の内容が追加されたカルテを書き込む(s74)。このとき、デバイスコントローラ17は、キャッシュメモリ14に書き込まれた該当するカルテを順次読出、該カルテを記憶させるハードディスク3a〜3dが接続されているアクセスポートa〜dに接続されているFIFO16に書き込む。ハードディスク3は、FIFO16から順次読み出したカルテをハードディスク3a〜3dの空き領域に記憶する。
このように、端末装置5において、ハードディスク3a〜3dへの患者のカルテの新規書込が行える。すなわち、最初に患者のカルテを読み出して、このカルテに新たな医療行為の内容が追加されたものを新規書込する。この実施形態では、ハードディスク3a〜3dにカルテを新規に書き込むとき、ハードディスク3a〜3dに記憶されている該当患者のカルテを削除したり、記憶している該当患者のカルテに上書き(書換)しないので、医師による端末装置5の誤操作が生じても、ハードディスク3a〜3dにすでに記憶されているカルテが破壊されることがない。また、ハードディスク3a〜3dに記憶されたカルテは、削除したり書き換えることができないので、悪意を持った者の不正なアクセスにより、ハードディスク3a〜3dに記憶されているカルテが改竄されたり、削除されたりするのも防止できる。
また、アクセス制御装置1は、カルテの読出時には患者の識別番号をキーにしてハードディスク3a〜3dに記憶されているカルテの中から該当患者の最新のカルテを読み出すことができ、またカルテの書込時には患者の識別番号を用いてハードディスク3a〜3dに書き込むカルテのファイルネームを自動的に決定するので、端末装置5における医師の操作性を低下させることもない。
また、端末装置5を操作する医師は、これから行う操作を意識して接続するサーバ装置6Aまたは6Bを選択しているので(ハードディスク3a〜3dに記憶されているカルテを読み出すときにはサーバ装置6Aに接続し、ハードディスク3a〜3dにカルテを書き込むときにはサーバ装置6Bに接続する。)、医師による誤操作の発生頻度も抑えられる。但し、医師による誤操作が発生しても、上述のようにハードディスク3a〜3dに記憶されているカルテの書き換えや、削除については防止できる。ハードディスク3a〜3dに記憶されているカルテを十分に保護できる。また、医師のカルテへのアクセスは、通常、カルテを読み出して、医療行為の内容を追加して書き込む、ということなので、端末5において、カルテへのアクセス操作(例えばカルテボタンの操作)を行えば、自動的にサーバ装置6Aに接続されて読み出し状態となり、次に、もう一度カルテボタンの操作が行われると、自動的にサーバ装置6Bに接続されて書込み状態となるようにプログラムすることも可能である。
また、患者毎にカルテの更新履歴として、ハードディスク3a〜3dに記憶させてカルテが全て残っているので、カルテの改竄が行われても、改竄の有無を判断することができる。
また、上記実施形態ではインタフェースポートAはカルテの読出のみ許可され、インタフェースポートBはカルテの新規書込のみ許可されるとしたが、インタフェースポートA、B共に、カルテの読出、および新規書込の両方を許可し、読出、書込以外の要求(書換、削除等)を無視するように構成してもよい。この場合、アクセス制御装置1は、インタフェースポートA、Bにハードディスク3に対するアクセスの要求が入力されると、該アクセスの要求がカルテの読出であるか、カルテの新規書込であるが、カルテの読出、新規書込以外であるかを判断し、カルテの読出であれば上記s62以降の処理を行い、カルテの新規書込であれば上記s72以降の処理を行い、カルテの読出、新規書込以外であれば無視するように構成すればよい。
なお、上記実施形態では、ハードディスク3a〜3dにカルテをテキストファイル形式で記憶させるとしたが、印刷イメージの形式で記憶させてもよいし、他のファイル形式で記憶させてもよい。また、本願発明は上記カルテシステム以外のネットワークシステムにも適用できる。
また、上記実施形態では、カルテの書込み時にカルテ全体を書き換えるとしたが、医師が今回追加した内容(医師による今回の診療内容)を該当患者のカルテに追加記録(アペンド)するようにしてもよい。このようにすれば、患者のカルテを記憶するのに必要なハードディスク3a〜3dの記憶容量を抑えることができる。
また、上記実施形態では、ハードディスク3a〜3dに記憶されているカルテについては、書換、削除ができないとしたが、管理者等にパスワードを与え、削除が行えるようにしてもよい。このようにすれば、ハードティスク3a〜3dに記憶されている不要なカルテ取り除くことができ、患者のカルテを記憶するのに必要なハードディスク3a〜3dの記憶容量を抑えることができる。但し、この場合も書換については行えないようにしておくのが好ましい。
以上のように、この発明によれば、ユーザの誤操作、故意の操作、不正アクセスによって、該記憶装置に記憶されているデータが改竄、破壊、削除されるのを防止することができる。これにより、記憶装置に記憶されているデータのセキュリティを向上させることができる。
産業上の利用分野
本発明は、患者の病歴や医療行為等が記録されているカルテに対する不法改竄行為や、LAN、インターネットに接続されているサーバへのハッキング、クラッキングによる不法書込み行為等を防ぐ装置に適用することができる。
【図面の簡単な説明】
図1は、この発明の実施形態であるアクセス制御装置を適用したネットワークシステムの構成を示す図である。
図2は、この発明の実施形態であるアクセス制御装置の構成を示す図である。
図3は、この発明の実施形態であるアクセス制御装置の動作を示すフローチャートである。
図4は、この発明の実施形態であるアクセス制御装置における共有データの読出処理を示すフローチャートである。
図5は、この発明の実施形態であるアクセス制御装置における共有データの書換処理を示すフローチャートである。
図6は、この発明の実施形態であるアクセス制御装置における共有データの書込処理を示すフローチャートである。
図7は、この発明の実施形態であるアクセス制御装置における共有データの削除処理を示すフローチャートである。
図8は、この発明の実施形態であるアクセス制御装置をインタネットに適用した例を示す図である。
図9は、この発明の別の実施形態であるアクセス制御装置における共有データの読出処理を示すフローチャートである。
図10は、インタフェースポートA〜D毎に、且つアクセスポートa〜d毎に許可するアクセスの種類を設定する方法を説明する図である。
図11は、この発明のさらに他の実施形態であるアクセス制御装置を適用したネットワークシステムを示す図である。
図12は、この発明のさらに他の実施形態であるアクセス制御装置の構成を示す図である。
図13は、カルテのファイルネームを示す図。
図14は、この発明のさらに他の実施形態であるアクセス制御装置の動作を示すフローチャートである。
図15は、この発明のさらに他の実施形態アクセス制御装置の動作を示すフローチャートである。Technical field
The present invention relates to an access control device that controls access from an external device such as reading, rewriting, writing, and deleting data to a storage device such as a hard disk that stores data shared by a plurality of users, and a data management device.
Background art
Conventionally, a server device that stores shared data and shared data stored in the server device so that a plurality of users can use data stored in a storage device such as a hard disk (hereinafter referred to as shared data). The management device for the administrator who manages the network and the personal terminal for the user who uses the shared data are connected to the network. In addition, in order to prevent the shared data from being rewritten or destroyed due to user's mistaken operation, etc., many network systems prohibit users from rewriting, writing and deleting shared data. Only reading (downloading) of data is permitted. In particular, in the case of a server device that publishes shared data on the Internet, there are many cases where users are prohibited from rewriting, writing, and deleting shared data because they are accessed by an unspecified number of users. . For example, when rewriting, writing, and deleting shared data with respect to a server device, authentication by a password or the like (a person who is permitted to rewrite, write, or delete shared data with respect to a storage device (shared data By authenticating whether or not the user is an administrator), rewriting, writing, and deletion of shared data is prohibited for a person (user) who does not know the password.
Note that the user does not need to rewrite, write, and delete the shared data, as long as the shared data can be downloaded from the server device and used.
Further, the rewriting referred to here is a change / update of the shared data stored in the server device, and the writing is to add new shared data to the server device.
However, there is an increasing number of crimes that falsify (deliberately rewrite) or destroy the shared data stored in the server device (crimes by hackers). The method of permitting deletion has a problem that the security of shared data is low.
In addition, there is a network system that is operated in an environment in which when shared data read from a storage device is used by a user, new shared data is created or the shared data stored in the storage device changes. is there. For example, in a hospital, a medical chart system in which a medical chart of each patient is stored in a storage device is used. The medical record system is a system for a doctor (user of the medical record system) to perform an appropriate medical action on a patient. The doctor reads the patient's chart from the storage device, confirms the medical history of the patient so far, and determines the contents of the current medical practice for the patient. When the current medical practice for the patient is completed, the doctor must replace the patient's chart stored in the storage device with a chart to which the contents of the current medical practice are added. For this reason, if a medical chart system is comprised with the network system which does not permit rewriting of a medical chart (shared data) with respect to a doctor, the content of the medical practice which the doctor performed with respect to the patient cannot be registered into the patient's medical chart. In this case, there is a high possibility that a medical accident cannot occur properly because the same medical action is performed on the patient in duplicate, and a medical accident occurs. For this reason, the medical record system is configured by a network system that allows a doctor to rewrite the patient's medical record, which is shared data.
As described above, many network systems are operated in an environment in which the user is allowed to rewrite the shared data stored in the storage device. In the network system operated in such an environment, the shared data due to the user's erroneous operation is stored. The shared data was not adequately protected from the useless rewriting of the file or the alteration of the shared data by a malicious person.
An object of the present invention is to prevent the data stored in the storage device from being tampered with or destroyed due to an erroneous operation or intention of the user, and to improve the security of the data, and the data It is to provide a management device.
Disclosure of the invention
The access control device of the present invention
Multiple interface ports to which external devices are connected;
An access port to which a storage device for storing data is connected;
For each interface port, the type of access permitted to the storage device is set, and when an access request to the storage device is input to any interface port, the interface port is permitted. And a control unit that determines whether or not the input access request can be executed based on the type of access.
In this configuration, the type of access permitted to the storage device connected to the access port is set in the control unit for each interface port to which the external device is connected. The external device mentioned here is a personal terminal operated by a user who uses data (shared data) stored in the storage device, or a management device operated by an administrator who manages the shared data stored in the storage device It is.
The type of access is, for example,
(1) Reading shared data stored in the storage device,
(2) Rewriting shared data stored in the storage device
(3) Write shared data to the storage device,
(4) Deletion of shared data stored in the storage device
It is. The control unit performs setting for permitting one or a plurality of (1) to (4) above for each interface port.
In addition, when the access request for the storage device is input to any interface port, the control unit executes the access request input based on the type of access permitted to the interface port. Judgment is made.
For example, in the interface port where the type of access permitted is only the above (1), if the input access request is the above (1), it is determined that the access request can be executed. On the other hand, if the access request input at the interface port is (2) to (4), it is determined that the input request cannot be executed. For this reason, if a user who only allows downloading of shared data stored in the storage device is set to permit only reading of shared data to the interface port connected to the user, the user connected to the interface port It is possible to prevent the erroneous operation of the data and the intentional alteration or destruction of the shared data stored in the storage device.
In addition, it is possible to set the type of access permitted for each interface port so that it can be set by operation on the main unit of the device, and not to be set by remote operation from an external device. Improvement can be achieved.
In addition, the interface port to which the device (external device) operated by the administrator who manages the shared data is connected is set to permit all of the above (1) to (4), so that the administrator can share the interface port. There is no need to manage data. If the above (1) and (3) are permitted for the interface port, the user connected to the interface port can not only read the shared data but also add the shared data. If this setting is used, the shared data can be shown to the user, an impression of the shared data can be obtained from the user, and this can be used as a new shared data, and the system is connected to the interface port of the setting. Since the user cannot rewrite or delete the shared data, the security for the shared data can be sufficiently secured.
Furthermore, each interface port can be set to permit one or more of the above (1) to (4), so that it can be set according to the nature of the user connected to the interface port, and can be used for various purposes. However, the security of shared data can be sufficiently secured.
The invention also provides
An interface port to which an external device is connected;
A plurality of access ports to which storage devices for storing data are connected;
For each access port, the type of access permitted for the connected storage device is set, and a request for access to the storage device connected to one of the access ports is input to the interface port A controller that determines whether or not an input access request can be executed based on a type of access permitted to the access port to which the storage device to which access is requested is connected. ing.
In this configuration, the control unit sets the type of access permitted for the storage device connected to each access port ((1) to (4) described above). In addition, when there is a request for access to a storage device connected to any access port at the interface port, the control unit is input based on the type of access permitted for the access port. It is determined whether or not the access request can be executed.
For example, if the access request input to the storage device connected to the access port whose only permitted access type is (1) is the above (1), this access request It is determined that execution is possible. On the other hand, if the access request input to the storage device connected to the access port is (2) to (4), it is determined that the input request cannot be executed.
In this way, since the type of access permitted for the storage device connected to each access port can be set, the nature of the shared data stored in the storage device, for example, the shared data can be shown to the user. In the case of a system that obtains an impression on the shared data from the user, a type that permits access depending on a storage device that stores the shared data to be presented to the user, a storage device that stores the obtained user's impression Can be set.
For the access port to which the storage device for storing the shared data to be presented to the user is connected, only reading of the shared data needs to be permitted, and the access to which the storage device for storing the obtained user's impression is connected. For the port, only writing of shared data is permitted.
The invention also provides
An interface port to which an external device is connected;
An access port to which the storage device is connected;
The type of access permitted to the storage device connected to the access port is set to data read and new write, and an access request to the storage device input to the interface port is a data read or A control unit that executes an input access request if it is any of new writing, and ignores the input access request if it is a request other than reading of a data file or new writing. .
In this configuration, a storage device that stores data, such as a hard disk, is connected to the access port, and an external device that uses data stored in the storage device is connected to the interface port. If there is a request for reading or writing data from an external device connected to the interface port, the control unit executes the request, but reads the data from the external device connected to the interface port, or Even if there is a request other than new writing, for example, a request to rewrite (overwrite) or delete data, this request is ignored.
Therefore, the data stored in the storage device connected to the access port cannot be rewritten or deleted. As a result, data stored in the storage device connected to the access port can be sufficiently protected from unnecessary rewriting due to a user's erroneous operation or tampering by a malicious person.
Further, when a new data write request to the storage device is input to the interface port, the request is executed. Therefore, the system is used in an environment where the user needs to update the data stored in the storage device. Even so, updated data can be stored in the storage device by newly writing the newly generated data to the storage device.
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, an access control apparatus according to an embodiment of the present invention will be described in detail.
FIG. 1 is a diagram showing a network system to which an access control apparatus according to an embodiment of the present invention is applied. In the figure,
FIG. 2 is a diagram showing the configuration of the access control apparatus according to the embodiment of the present invention. The
The
Each interface port A to D has
(1) Reading shared data stored in the
(2) Rewriting shared data stored in the hard disk 3 (changing stored shared data),
(3) Writing new shared data to the
(4) Deletion of shared data stored in the
A setting for permitting one or more of the above is made. When each
In this embodiment, the interface port A is set to permit only reading of shared data, the interface port B is set to permit reading of shared data and rewrite of shared data, and the interface port C reads shared data. In this example, the interface port D is a setting that permits writing of shared data, and the interface port D is a setting that permits reading of shared data, rewriting of shared data, writing of shared data, and deletion of shared data.
A personal terminal (
A RAID level 0/1 system is configured by four hard disks connected to the access ports a to d. Specifically, the two
The
The
When rewriting or writing shared data, the
Hereinafter, the operation of the
When an access request for the
When completing the process of s3 or s4, the
As described above, in the
Since the user only downloads and uses the shared data, there is no problem even if the rewriting, writing, or deleting of the shared data is prohibited.
Further, by providing an interface port that permits reading and writing of shared data, such as interface port C, a questionnaire method for presenting shared data to the user and obtaining an impression of the presented shared data from the user, etc. It can correspond to. However, the
Furthermore, for an interface port that permits reading, rewriting, writing, and deletion of shared data, such as the interface port D, an
Note that the security of shared data can be further improved by performing authentication with a password at the time of rewriting or deleting the shared data. On the contrary, if the authentication by the password is eliminated, the workability when rewriting or deleting the shared data can be improved.
The process executed in s3 is any one of reading, changing, adding, and deleting shared data. FIG. 4 is a flowchart showing shared data read processing. The
The
The
As described above, the shared data is divided into blocks of a predetermined size, odd-numbered data is stored in the
When the
When the completion of reading the corresponding shared data is notified from the
The
As a result, the
Next, the shared data rewriting process executed in s3 will be described. FIG. 5 is a flowchart showing shared data rewriting processing. The
The
The
The
Next, the shared data writing process executed in s3 will be described. FIG. 6 is a flowchart showing shared data write processing. The
The
The
The
The time required for writing the shared data is approximately half as compared with the case where the shared data is stored in a single hard disk without being divided.
Furthermore, the shared data deletion process executed in s3 will be described. FIG. 7 is a flowchart showing shared data deletion processing. The
The
The
The
Thus, since the RAID level 0/1 is configured by the four
In the above embodiment, the RAID level 0/1 is configured by the four
Next, an embodiment in which the
A user accesses the
Further, the
Note that the administrator may read, rewrite, write, and delete the shared data in any of the
Moreover, if the reading and writing of the shared data are permitted to the interface port to which the
As described above, since the
Next, another embodiment of the present invention will be described.
In the above embodiment, the type of access permitted to the
here,
(1) The
(2) The
(3) The
(4) The
The
FIG. 9 is a flowchart showing the operation of the access control apparatus of this embodiment. Each of the
The
Since the processes of s55, s56, and s57 are substantially the same as the processes shown in FIGS. 4, 5, and 6, respectively, detailed description thereof is omitted here. The only difference is that the shared data is read, rewritten and written to the single
As described above, according to the
In addition, for each interface port A to D, the type of access permitted to each hard disk 3 (the
(1) About interface port A
Only read the shared data to the
The access ports b, c, d are set so as not to permit all accesses to the
(2) About interface port B
Only read the shared data to the
Permit only rewriting of shared data to the
Permit only writing of shared data to the
The
(3) About interface port C
Permit only rewriting of shared data to the
Permit only writing and rewriting of shared data to the
Permit only reading of shared data to the
The
(4) For interface port D
Only writing shared data to the
Permit only reading of shared data to the
Permit only rewriting of shared data to the
The
In this way, the type of access permitted for the
FIG. 11 is a diagram showing a network system to which an access control apparatus according to still another embodiment of the present invention is applied.
In the figure, an
The data storage device referred to in the present invention is one in which the
The interface port A is only allowed to read data (patient chart) to the
The
Also, 4 shown in FIG. 11 is a network such as a LAN, and 5 is a terminal device such as a personal computer connected to the
In this embodiment, the
FIG. 12 is a diagram showing the configuration of the access control apparatus according to the embodiment of the present invention. The
Hereinafter, the operation of the embodiment of the present invention will be described by taking as an example a medical record system to which the network system shown in FIG. 11 is applied.
The
Patient identification number-serial number. txt
(See FIG. 13). The patient identification number and the serial number are separated by "-". For this reason, if the patient identification number is used as a key, a desired patient chart stored in the
First, the operation of the
The doctor operates the
In this embodiment, when a request for access to the
When an access request to the
As described above, if the access request to the
The
If the
The
The medical chart read from the
When notified of completion of the chart reading from the
The
The
Therefore, the user transmits the medical chart read request stored in the
Next, the operation of the
The server device 6B transfers the request transmitted from the
In this embodiment, when a request for access to the
When a request for access to the
As described above, if the request for access to the
The server device 6B determines whether the access request to the
If the
The
The identification number included in the file name is the patient identification number included in the write request.
When the
As described above, the
Further, the
Further, since the doctor who operates the
Moreover, since all the charts are stored in the
In the above embodiment, interface port A is only allowed to read charts, and interface port B is only allowed to write new charts. However, both interface ports A and B can read charts and write new charts. Both may be permitted and requests other than reading and writing (rewriting, deleting, etc.) may be ignored. In this case, when an access request to the
In the above embodiment, the medical records are stored in the
In the above embodiment, the entire chart is rewritten at the time of writing the chart. However, the contents added by the doctor this time (the contents of the current treatment by the doctor) may be additionally recorded (appended) in the chart of the corresponding patient. . In this way, it is possible to reduce the storage capacity of the
In the above embodiment, the charts stored in the
As described above, according to the present invention, it is possible to prevent the data stored in the storage device from being altered, destroyed, or deleted due to an erroneous operation, intentional operation, or unauthorized access by the user. Thereby, the security of the data memorize | stored in the memory | storage device can be improved.
Industrial application fields
INDUSTRIAL APPLICABILITY The present invention can be applied to an apparatus for preventing illegal tampering with a medical record in which a patient's medical history or medical practice is recorded, hacking to a server connected to a LAN or the Internet, illegal writing by cracking, or the like. it can.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of a network system to which an access control apparatus according to an embodiment of the present invention is applied.
FIG. 2 is a diagram showing the configuration of the access control apparatus according to the embodiment of the present invention.
FIG. 3 is a flowchart showing the operation of the access control apparatus according to the embodiment of the present invention.
FIG. 4 is a flowchart showing shared data read processing in the access control apparatus according to the embodiment of the present invention.
FIG. 5 is a flowchart showing shared data rewriting processing in the access control apparatus according to the embodiment of the present invention.
FIG. 6 is a flowchart showing shared data write processing in the access control apparatus according to the embodiment of the present invention.
FIG. 7 is a flowchart showing shared data deletion processing in the access control apparatus according to the embodiment of the present invention.
FIG. 8 is a diagram showing an example in which the access control apparatus according to the embodiment of the present invention is applied to the Internet.
FIG. 9 is a flowchart showing shared data read processing in the access control apparatus according to another embodiment of the present invention.
FIG. 10 is a diagram illustrating a method of setting the type of access permitted for each interface port A to D and for each access port a to d.
FIG. 11 is a diagram showing a network system to which an access control apparatus according to still another embodiment of the present invention is applied.
FIG. 12 is a diagram showing a configuration of an access control apparatus according to still another embodiment of the present invention.
FIG. 13 is a view showing a file name of a medical record.
FIG. 14 is a flowchart showing the operation of the access control apparatus according to still another embodiment of the present invention.
FIG. 15 is a flowchart showing the operation of the access control apparatus according to still another embodiment of the present invention.
【0003】
許可した環境で運用されているネットワークシステムも多く、このような環境で運用されているネットワークシステムでは、ユーザの誤操作による共有データの無用な書き換えや、悪意を持った者による共有データの改竄から、共有データが十分に保護されていなかった。
この発明の目的は、ユーザの誤操作や故意により、記憶装置に記憶しているデータが改竄されたり、破壊されるのを防止することにより、上記データのセキュリティを向上させたアクセス制御装置、およびデータ管理装置を提供することにある。
発明の開示
この発明のアクセス制御装置は、
外部機器が接続される複数のインタフェースポートと、
データを記憶する記憶装置が接続されるアクセスポートと、
上記インタフェースポート毎に、上記記憶装置に対して許可するアクセスの種類を設定し、上記記憶装置に対するアクセスの要求がいずれかのインタフェースポートに入力されたとき、該インタフェースポートに対して許可されているアクセスの種類に基づいて、入力されたアクセスの要求の実行可否を判断する制御部と、を備え、
上記複数のインタフェースポートには、上記記憶装置に対して許可するアクセスの種類をデータの読出、新規書込、書換、および削除とした設定のインタフェースポートが少なくとも1つ含まれており、且つ上記記憶装置に対して許可するアクセスの種類をデータの読出のみ、または読出および新規書込のみとした設定のインタフェースポートが少なくとも1つ含まれている。
この構成では、制御部において、外部機器が接続されるインタフェースポート毎に、アクセスポートに接続されている記憶装置に対して許可するアクセスの種類が設定される。ここで言う外部機器とは、記憶装置に記[0003]
There are many network systems that are operated in the permitted environment. In network systems that are operated in such an environment, the shared data can be rewritten unnecessarily by a user's mistaken operation, or the shared data can be altered by a malicious person. Shared data was not well protected.
An object of the present invention is to prevent the data stored in the storage device from being tampered with or destroyed due to an erroneous operation or intention of the user, and to improve the security of the data, and the data It is to provide a management device.
DISCLOSURE OF THE INVENTION The access control device of the present invention comprises:
Multiple interface ports to which external devices are connected;
An access port to which a storage device for storing data is connected;
For each interface port, the type of access permitted to the storage device is set, and when an access request to the storage device is input to any interface port, the interface port is permitted. A control unit that determines whether or not an input access request can be executed based on the type of access, and
The plurality of interface ports include at least one interface port set to read, newly write, rewrite, and delete the types of access permitted to the storage device, and the storage At least one interface port is set so that the type of access permitted to the device is only data reading or only reading and new writing.
In this configuration, the type of access permitted to the storage device connected to the access port is set in the control unit for each interface port to which the external device is connected. External equipment here refers to the storage device.
【0004】
憶されているデータ(共有データ)を利用するユーザが操作する個人端末や、記憶装置に記憶されている共有データを管理する管理者が操作する管理装置である。
上記アクセスの種類は、例えば、
▲1▼記憶装置が記憶している共有データの読み出し、
▲2▼記憶装置が記憶している共有データの書き換え、
▲3▼記憶装置に対する共有データの書き込み、
▲4▼記憶装置が記憶している共有データの削除、
である。上記制御部は、インタフェースポート毎に、上記▲1▼〜▲4▼の1つ、または複数について許可する設定を行う。このとき、上記▲1▼〜▲4▼の全てを許可する設定、および上記▲1▼のみ、または上記▲1▼、▲3▼を許可する設定のインタフェースポートがそれぞれ少なくとも1つ含まれる。
また、上記制御部は、上記記憶装置に対するアクセスの要求がいずれかのインタフェースポートに入力されたとき、該インタフェースポートに対して許可されているアクセスの種類に基づいて入力されたアクセスの要求の実行可否を判断する。
例えば、許可されているアクセスの種類が、上記▲1▼のみであるインタフェースポートにおいて、入力されたアクセスの要求が上記▲1▼であれば、このアクセスの要求について実行可と判断する。一方、該インタフェースポートにおいて入力されたアクセスの要求が上記▲2▼〜▲4▼であれば、入力された要求について実行不可と判断する。このため、記憶装置に記憶されている共有データをダウンロードのみ許可するユーザについては、該ユーザが接続するインタフェースポートに対して共有データの読出のみ許可する設定としておけば、該インタフェースポートに接続したユーザの誤操作や、故意により記憶装置に記憶されている共有データが改竄されたり、破壊されるのを防止することができる。
また、各インタフェースポートに対して許可するアクセスの種類の設[0004]
It is a personal terminal operated by a user who uses stored data (shared data) or a management device operated by an administrator who manages shared data stored in a storage device.
The type of access is, for example,
(1) Reading shared data stored in the storage device,
(2) Rewriting shared data stored in the storage device
(3) Write shared data to the storage device,
(4) Deletion of shared data stored in the storage device
It is. The control unit performs setting for permitting one or a plurality of (1) to (4) above for each interface port. At this time, there are included at least one interface port that is set to permit all of the above (1) to (4) and only the above (1), or set to permit the above (1) and (3).
In addition, when the access request for the storage device is input to any interface port, the control unit executes the access request input based on the type of access permitted to the interface port. Judgment is made.
For example, in the interface port where the type of access permitted is only the above (1), if the input access request is the above (1), it is determined that the access request can be executed. On the other hand, if the access request input at the interface port is (2) to (4), it is determined that the input request cannot be executed. For this reason, if a user who only allows downloading of shared data stored in the storage device is set to permit only reading of shared data to the interface port connected to the user, the user connected to the interface port It is possible to prevent the erroneous operation of the data and the intentional alteration or destruction of the shared data stored in the storage device.
Also, set the type of access allowed for each interface port.
【0005】
定については、装置本体における操作で設定できるように構成し、外部機器からの遠隔操作で設定できないように構成することにより、セキュリティの一層の向上が図れる。
また、上記▲1▼〜▲4▼の全てを許可する設定のインタフェースポートについては、共有データを管理する管理者が操作する装置(外部機器)を接続することにより、管理者における共有データの管理が面倒になるということもない。また、インタフェースポートに対して、上記▲1▼と▲3▼とを許可すると、該インタフェースポートに接続したユーザは共有データの読出だけでなく、共有データの追加も行える。この設定であれば、共有データをユーザに見せて、該共有データに対する感想をユーザから入手し、これを新たな共有データとする等のシステムとして利用でき、また、該設定のインタフェースポートに接続したユーザは共有データの書換や、削除を行うことができないので、共有データに対するセキュリティも十分に確保することができる。
さらに、各インタフェースポートは、上記▲1▼〜▲4▼の1つ以上を許可した設定にできるので、該インタフェースポートに接続されるユーザの性質に応じた設定が行え、多様な用途に対応しながら、共有データのセキュリティを十分に確保することができる。
この発明は、また、
外部機器が接続されるインタフェースポートと、
データを記憶する記憶装置が接続される複数のアクセスポートと、
上記アクセスポート毎に、接続されている上記記憶装置に対して許可するアクセスの種類を設定し、いずれかのアクセスポートに接続されている上記記憶装置に対するアクセスの要求が上記インタフェースポートに入力されたとき、アクセスが要求された上記記憶装置が接続されている上記アクセスポートに対して許可されているアクセスの種類に基づいて、入力されたアクセスの要求の実行可否を判断する制御部と、を備えている。[0005]
The security can be further improved by configuring the setting so that it can be set by an operation on the apparatus main body and cannot be set by a remote operation from an external device.
In addition, with respect to the interface port set to permit all of the above (1) to (4), by managing a device (external device) operated by the administrator who manages the shared data, the administrator can manage the shared data. There will be no trouble. If the above (1) and (3) are permitted for the interface port, the user connected to the interface port can not only read the shared data but also add the shared data. If this setting is used, the shared data can be shown to the user, an impression of the shared data can be obtained from the user, and this can be used as a new shared data, and the system is connected to the interface port of the setting. Since the user cannot rewrite or delete the shared data, the security for the shared data can be sufficiently secured.
Furthermore, each interface port can be set to permit one or more of the above (1) to (4), so that it can be set according to the nature of the user connected to the interface port, and can be used for various purposes. However, the security of shared data can be sufficiently secured.
The invention also provides
An interface port to which an external device is connected;
A plurality of access ports to which storage devices for storing data are connected;
For each access port, the type of access permitted for the connected storage device is set, and a request for access to the storage device connected to one of the access ports is input to the interface port A controller that determines whether or not an input access request can be executed based on a type of access permitted to the access port to which the storage device to which access is requested is connected. ing.
【0006】
この構成では、制御部がアクセスポート毎に接続されている記憶装置に対して許可するアクセスの種類(上記で説明した▲1▼〜▲4▼)を設定する。また、制御部は、インタフェースポートにおいて、いずれかのアクセスポートに接続されている記憶装置に対するアクセスの要求があると、該アクセスポートに対して許可されているアクセスの種類に基づいて、入力されたアクセスの要求の実行可否を判断する。
例えば、許可されているアクセスの種類が、上記▲1▼のみであるアクセスポートに接続されている記憶装置に対して、入力されたアクセスの要求が上記▲1▼であれば、このアクセスの要求について実行可と判断する。一方、該アクセスポートに接続されている記憶装置に対して入力されたアクセスの要求が上記▲2▼〜▲4▼であれば、入力された要求について実行不可と判断する。
このように、アクセスポート毎に接続されている記憶装置に対して許可するアクセスの種類を設定することができるので、記憶装置に記憶されている共有データの性質、例えば共有データをユーザに見せて、該共有データに対する感想をユーザから入手するシステムであれば、ユーザに対して提示する共有データを記憶する記憶装置、入手したユーザの感想を記憶する記憶装置等、に応じてアクセスを許可する種類を設定することができる。
なお、ユーザに対して提示する共有データを記憶する記憶装置が接続されるアクセスポートについては共有データの読出のみ許可すればよく、また、入手したユーザの感想を記憶する記憶装置が接続されるアクセスポートについては共有データの書込のみ許可すればよい。
この発明は、また、
外部機器が接続されるインタフェースポートと、
記憶装置が接続されるアクセスポートと、
上記アクセスポートに接続された上記記憶装置に対して許可するアクセスの種類をデータの読出および新規書込に設定し、上記インタフェースポートに入力された上記記憶装置に対するアクセスの要求が、データの読出または新規書込のいずれかであれば入力されたアクセスの要求を実行し、データの読出または新規書込以外の要求であれば入力されたアクセスの要求を無視する制御部と、を備えている。
この構成では、データを記憶する記憶装置、例えばハードディスク、がアクセスポートに接続され、この記憶装置に記憶されているデータを利用する外部機器がインタフェースポートに接続される。制御部は、インタ[0006]
In this configuration, the control unit sets the type of access permitted for the storage device connected to each access port ((1) to (4) described above). In addition, when there is a request for access to a storage device connected to any access port at the interface port, the control unit is input based on the type of access permitted for the access port. It is determined whether or not the access request can be executed.
For example, if the access request input to the storage device connected to the access port whose only permitted access type is (1) is the above (1), this access request It is determined that execution is possible. On the other hand, if the access request input to the storage device connected to the access port is (2) to (4), it is determined that the input request cannot be executed.
In this way, since the type of access permitted for the storage device connected to each access port can be set, the nature of the shared data stored in the storage device, for example, the shared data can be shown to the user. In the case of a system that obtains an impression on the shared data from the user, a type that permits access depending on a storage device that stores the shared data to be presented to the user, a storage device that stores the obtained user's impression Can be set.
For the access port to which the storage device for storing the shared data to be presented to the user is connected, only reading of the shared data needs to be permitted, and the access to which the storage device for storing the obtained user's impression is connected. For the port, only writing of shared data is permitted.
The invention also provides
An interface port to which an external device is connected;
An access port to which the storage device is connected;
The type of access permitted to the storage device connected to the access port is set to data read and new write, and an access request to the storage device input to the interface port is a data read or A control unit that executes an input access request if it is a new write, and ignores the input access request if it is a request other than data read or new write.
In this configuration, a storage device that stores data, such as a hard disk, is connected to the access port, and an external device that uses data stored in the storage device is connected to the interface port. The control unit
Claims (11)
データを記憶する記憶装置が接続されるアクセスポートと、
上記インタフェースポート毎に、上記記憶装置に対して許可するアクセスの種類を設定し、上記記憶装置に対するアクセスの要求がいずれかのインタフェースポートに入力されたとき、該インタフェースポートに対して許可されているアクセスの種類に基づいて、入力されたアクセスの要求の実行可否を判断する制御部と、を備えたアクセス制御装置。Multiple interface ports to which external devices are connected;
An access port to which a storage device for storing data is connected;
For each interface port, the type of access permitted to the storage device is set, and when an access request to the storage device is input to any interface port, the interface port is permitted. An access control apparatus comprising: a control unit that determines whether or not an input access request can be executed based on an access type.
上記制御部は、異なるアクセスポートに接続されている複数の記憶装置にデータを分割して記憶させる請求項1に記載のアクセス制御装置。A plurality of the above access ports
The access control device according to claim 1, wherein the control unit divides and stores data in a plurality of storage devices connected to different access ports.
上記制御部は、異なるアクセスポートに接続されている複数の記憶装置に同じデータを記憶させる請求項1に記載のアクセス制御装置。A plurality of the above access ports
The access control device according to claim 1, wherein the control unit stores the same data in a plurality of storage devices connected to different access ports.
上記アクセスポートに接続された記憶装置と、を有するデータ管理装置。An access control device according to claim 1;
And a storage device connected to the access port.
データを記憶する記憶装置が接続される複数のアクセスポートと、
上記アクセスポート毎に、接続されている上記記憶装置に対して許可するアクセスの種類を設定し、いずれかのアクセスポートに接続されている上記記憶装置に対するアクセスの要求が上記インタフェースポートに入力されたとき、アクセスが要求された上記記憶装置が接続されている上記アクセスポートに対して許可されているアクセスの種類に基づいて、入力されたアクセスの要求の実行可否を判断する制御部と、を備えたアクセス制御装置。An interface port to which an external device is connected;
A plurality of access ports to which storage devices for storing data are connected;
For each access port, the type of access permitted for the connected storage device is set, and a request for access to the storage device connected to one of the access ports is input to the interface port A controller that determines whether or not an input access request can be executed based on a type of access permitted to the access port to which the storage device to which access is requested is connected. Access control device.
データを記憶する記憶装置が接続される複数のアクセスポートと、
上記インタフェースポート毎に、各記憶装置に対して許可するアクセスの種類をそれぞれ設定し、上記記憶装置に対するアクセスの要求がいずれかのインタフェースポートに入力されたとき、該インタフェースポートから該アクセスポートに対して許可されているアクセスの種類に基づいて、入力されたアクセスの要求の実行可否を判断する制御部と、を備えたアクセス制御装置。Multiple interface ports to which external devices are connected;
A plurality of access ports to which storage devices for storing data are connected;
For each interface port, the type of access permitted for each storage device is set, and when a request for access to the storage device is input to any of the interface ports, the interface port can access the access port. And a control unit that determines whether or not an input access request can be executed based on the type of access permitted.
記憶装置が接続されるアクセスポートと、
上記アクセスポートに接続された上記記憶装置に対して許可するアクセスの種類をデータの読出および新規書込に設定し、上記インタフェースポートに入力された上記記憶装置に対するアクセスの要求が、データの読出または新規書込のいずれかであれば入力されたアクセスの要求を実行し、データファイルの読出または新規書込以外の要求であれば入力されたアクセスの要求を無視する制御部と、を備えたアクセス制御装置。An interface port to which an external device is connected;
An access port to which the storage device is connected;
The type of access permitted to the storage device connected to the access port is set to data read and new write, and an access request to the storage device input to the interface port is a data read or A control unit that executes an input access request if it is a new write, and ignores the input access request if it is a request other than reading or writing a data file Control device.
記憶装置が接続されるアクセスポートと、
上記インタフェースポート毎に、上記アクセスポートに接続された上記記憶装置に対して許可するアクセスの種類をデータの読出または新規書込の一方に設定し、データの読出を許可した上記インタフェースポートに入力された上記記憶装置に対するアクセスの要求が、データの読出であれば入力されたアクセスの要求を実行し、データの読出以外の要求であれば入力されたアクセスの要求を無視し、さらにデータの新規書込を許可した上記インタフェースポートに入力された上記記憶装置に対するアクセスの要求が、データの新規書込であれば入力されたアクセスの要求を実行し、データの新規書込以外の要求であれば入力されたアクセスの要求を無視する制御部と、を備えたアクセス制御装置。Multiple interface ports to which external devices are connected;
An access port to which the storage device is connected;
For each interface port, the type of access permitted to the storage device connected to the access port is set to one of data reading or new writing, and the data is input to the interface port permitted to read data. If the access request to the storage device is a data read, the input access request is executed. If the access request is other than the data read, the input access request is ignored and a new data write is performed. If the request for access to the storage device input to the interface port that is permitted to write is a new write of data, the input access request is executed. And a control unit that ignores the requested access.
該アクセス制御装置の上記アクセスポートに接続された記憶装置と、を有するデータ記憶装置。An access control device according to claim 1;
A storage device connected to the access port of the access control device.
カルテデータが記憶されている記憶装置が接続されるアクセスポートと、
上記インタフェースポート毎に、上記アクセスポートに接続された上記記憶装置に対して許可するアクセスの種類をデータの読出または新規書込の一方に設定し、データの読出を許可した上記インタフェースポートに入力された上記記憶装置に対するアクセスの要求が、データの読出であれば入力されたアクセスの要求を実行し、データの読出以外の要求であれば入力されたアクセスの要求を無視し、さらにデータの新規書込を許可した上記インタフェースポートに入力された上記記憶装置に対するアクセスの要求が、データの新規書込であれば入力されたアクセスの要求を実行し、データの新規書込以外の要求であれば入力されたアクセスの要求を無視する制御部と、を備えたアクセス制御装置。A plurality of interface ports to which a chart data reading request from a terminal device operated by a doctor or a new writing request is input;
An access port to which a storage device storing medical chart data is connected;
For each interface port, the type of access permitted to the storage device connected to the access port is set to one of data reading or new writing, and the data is input to the interface port permitted to read data. If the access request to the storage device is a data read, the input access request is executed. If the access request is other than the data read, the input access request is ignored and a new data write is performed. If the request for access to the storage device input to the interface port that is permitted to write is a new write of data, the input access request is executed. And a control unit that ignores the requested access.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002096049 | 2002-03-29 | ||
JP2002096049 | 2002-03-29 | ||
JP2002136028 | 2002-05-10 | ||
JP2002136028 | 2002-05-10 | ||
PCT/JP2003/003701 WO2003083678A1 (en) | 2002-03-29 | 2003-03-26 | Access control apparatus and data management apparatus |
Publications (1)
Publication Number | Publication Date |
---|---|
JPWO2003083678A1 true JPWO2003083678A1 (en) | 2005-08-04 |
Family
ID=28677582
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003581033A Pending JPWO2003083678A1 (en) | 2002-03-29 | 2003-03-26 | Access control device and data management device |
Country Status (3)
Country | Link |
---|---|
JP (1) | JPWO2003083678A1 (en) |
AU (1) | AU2003236132A1 (en) |
WO (1) | WO2003083678A1 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8566446B2 (en) | 2004-01-28 | 2013-10-22 | Hewlett-Packard Development Company, L.P. | Write operation control in storage networks |
US7395267B2 (en) * | 2004-02-11 | 2008-07-01 | Fuji Xerox Co., Ltd. | System and method for customized document selection |
JP4336613B2 (en) | 2004-04-28 | 2009-09-30 | キヤノン株式会社 | Image forming apparatus, data processing method, computer-readable storage medium storing program, and program |
JP2006023966A (en) * | 2004-07-08 | 2006-01-26 | Yokogawa Electric Corp | Method and apparatus for recording audit trail |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3074536B2 (en) * | 1991-05-10 | 2000-08-07 | 株式会社日立製作所 | Input / output control method of electronic medical record system |
JPH10105346A (en) * | 1996-10-01 | 1998-04-24 | Hitachi Ltd | Disk storage system |
JPH10275106A (en) * | 1997-03-31 | 1998-10-13 | Tsushin Hoso Kiko | Method and system for data update |
JP3433142B2 (en) * | 1999-07-22 | 2003-08-04 | 三洋電機株式会社 | Electronic medical record device |
JP2002032251A (en) * | 2000-07-13 | 2002-01-31 | Hitachi Ltd | Data processing system |
-
2003
- 2003-03-26 JP JP2003581033A patent/JPWO2003083678A1/en active Pending
- 2003-03-26 AU AU2003236132A patent/AU2003236132A1/en not_active Abandoned
- 2003-03-26 WO PCT/JP2003/003701 patent/WO2003083678A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
AU2003236132A1 (en) | 2003-10-13 |
WO2003083678A1 (en) | 2003-10-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8301909B2 (en) | System and method for managing external storage devices | |
US7831687B2 (en) | Storage system managing data through a wide area network | |
JP4107370B2 (en) | Distributed data archiving system | |
JP4729683B2 (en) | Data distribution storage device, data configuration management server, client terminal, and business consignment system including data distribution storage device | |
US6507911B1 (en) | System and method for securely deleting plaintext data | |
US8099605B1 (en) | Intelligent storage device for backup system | |
US8423795B2 (en) | Storage controller comprising encryption function, data encryption method, and storage system | |
US7376711B2 (en) | Smart card enabled mobile personal computing environment system | |
JP4464340B2 (en) | Distributed data archiving system | |
JP4578119B2 (en) | Information processing apparatus and security ensuring method in information processing apparatus | |
JP4837378B2 (en) | Storage device to prevent data tampering | |
US8332600B2 (en) | Storage system and method for operating storage system | |
US7580961B2 (en) | Methods and apparatus for modifying a retention period for data in a storage system | |
JP2009187544A (en) | Unit for implementing rewritable mode on removable disk drive storage system | |
JP3735300B2 (en) | Information recording / reproducing system capable of restricting access and access restriction method thereof | |
JP2008009485A (en) | Virtual storage controller and virtual storage control program | |
JP2000099470A (en) | Data base device, device and method for managing information and computer readable recording medium recording data managing program | |
US20090055556A1 (en) | External storage medium adapter | |
WO2007099636A1 (en) | File system migration method, program and apparatus | |
JPWO2003083678A1 (en) | Access control device and data management device | |
JPH036639A (en) | Storage system, file control system, and operating system and information processor adopting the same operating system | |
EP2028603A1 (en) | External storage medium adapter | |
WO2004025948A1 (en) | Information management method, information management system, and information transfer device included in the system | |
JP2000259476A (en) | File management system and server computer | |
JP3288856B2 (en) | Electronic information filing equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060324 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080729 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080929 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090630 |