JPWO2012042734A1 - アクセス制御情報生成システム - Google Patents

アクセス制御情報生成システム Download PDF

Info

Publication number
JPWO2012042734A1
JPWO2012042734A1 JP2012536159A JP2012536159A JPWO2012042734A1 JP WO2012042734 A1 JPWO2012042734 A1 JP WO2012042734A1 JP 2012536159 A JP2012536159 A JP 2012536159A JP 2012536159 A JP2012536159 A JP 2012536159A JP WO2012042734 A1 JPWO2012042734 A1 JP WO2012042734A1
Authority
JP
Japan
Prior art keywords
information
access
identification information
user
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012536159A
Other languages
English (en)
Other versions
JP5949552B2 (ja
Inventor
隆一 小川
隆一 小川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2012042734A1 publication Critical patent/JPWO2012042734A1/ja
Application granted granted Critical
Publication of JP5949552B2 publication Critical patent/JP5949552B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

システム100は、役割識別情報と資源グループ識別情報とアクション情報とを対応付けたポリシー情報を記憶し(101)、ユーザ識別情報と役割識別情報とを対応付けて記憶し(102)、クライアント装置のユーザを識別するためのユーザ識別情報を含むアクセス要求を受信し(103)、ポリシー情報に基づいてアクセス制御情報を生成し、生成されたアクセス制御情報をアクセス対象装置へ送信し(104)、アクセス要求の送信元のアドレス情報を取得し(105)、取得されたアドレス情報が表すアドレスに係る通信を許可する旨を表す通信フィルタ情報を生成し、生成された通信フィルタ情報を、ポリシー情報に基づいて特定された通信フィルタ装置へ送信する(106)。

Description

本発明は、クライアント装置からの資源へのアクセスを制御するための情報を生成するアクセス制御情報生成システムに関する。
アクセスの対象となる資源(リソース)であるアクセス対象資源へのクライアント装置からのアクセスを制御するアクセス制御システムが知られている。例えば、アクセス対象資源は、ファイル、仮想マシン、データベース、及び/又は、アプリケーション・プログラム等である。
ところで、アクセス対象資源を有するアクセス対象装置は、アクセス対象資源を特定するための情報、及び、アクセスの種別を表す情報等を含むアクセス制御情報に基づいて、クライアント装置からのアクセス対象資源へのアクセスを制御する(即ち、アクセス制御を実行する)。一般に、アクセス制御情報は、アクセス対象資源毎に異なる形式を有する情報である。
従って、複数のアクセス対象資源に対してアクセス制御を実行する場合、ユーザ(例えば、アクセス制御システムの管理者)は、アクセス対象資源毎にアクセス制御情報を適切に設定する必要があった。即ち、アクセス制御情報を設定する作業が煩雑であった。
これに対処するため、非特許文献1に記載のアクセス制御情報生成システムは、ポリシー情報に基づいて、複数のアクセス対象資源のそれぞれに対するアクセス制御情報を生成する。そして、アクセス制御情報生成システムは、生成したアクセス制御情報を、当該アクセス制御情報に対応付けられたアクセス対象装置へ送信する。アクセス対象装置は、アクセス制御情報を受信し、受信したアクセス制御情報に基づいてアクセス制御を実行する。
これにより、ユーザは、ポリシー情報を設定するだけで、互いに異なる複数のアクセス対象資源のそれぞれに対して、適切にアクセス制御情報を設定することができる。
小川 隆一、外2名、「仮想サーバ統合環境の権限管理基盤」、NEC技報、日本電気株式会社、2010年4月、第63巻、第2号、p.129−133
ところで、クライアント装置からアクセス対象装置までの通信経路において、アクセス対象装置とクライアント装置との間の通信を中継する通信フィルタ装置が設けられることが多い。この場合、クライアント装置を通信網にて特定するためのアドレス(例えば、IP(Internet Protocol)アドレス)による通信を通信フィルタ装置が許可していないと、クライアント装置は、アクセス対象資源へアクセスできない。
また、クライアント装置に対して動的にIPアドレスが割り当てられることが多い。例えば、クライアント装置が通信網に接続される毎に異なるIPアドレスが割り当てられることが多い。
このため、アクセス制御情報生成システムは、クライアント装置がアクセス対象資源へアクセスする時点まで、クライアント装置に割り当てられたIPアドレスを取得できない。従って、クライアント装置がアクセス対象資源へアクセスする時点よりも前の時点にて、通信フィルタ装置に、当該クライアント装置による通信を許可するための通信フィルタ情報を設定することができない。
このため、上記アクセス制御情報生成システムが適用されたアクセス制御システムにおいては、アクセス対象装置がクライアント装置によるアクセスを許可している場合であっても、通信フィルタ装置によってクライアント装置とアクセス対象装置との間の通信が遮断(禁止)されることにより、クライアント装置がアクセス対象資源にアクセスできない虞があった。
即ち、上記アクセス制御情報生成システムが適用されたアクセス制御システムにおいては、クライアント装置がアクセス対象装置によって許可されているアクセスを円滑に行うことができない虞があった。
このため、本発明の目的は、上述した課題である「クライアント装置がアクセス対象装置によって許可されているアクセスを円滑に行うことができない場合が生じること」を解決することが可能なアクセス制御情報生成システムを提供することにある。
かかる目的を達成するため本発明の一形態であるアクセス制御情報生成システムは、
ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶するポリシー情報記憶手段と、
ユーザを識別するためのユーザ識別情報と、当該ユーザに割り当てられた役割を識別するための役割識別情報と、を対応付けて記憶するユーザ情報記憶手段と、
クライアント装置のユーザを識別するためのユーザ識別情報を含むアクセス要求を当該クライアント装置から受信するアクセス要求受信手段と、
上記記憶されているポリシー情報に含まれる役割識別情報と対応付けて記憶されているユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する上記アクセス対象装置へ送信するアクセス制御情報送信手段と、
上記受信されたアクセス要求の送信元を通信網にて特定するためのアドレスを表すアドレス情報を取得するアドレス情報取得手段と、
上記取得されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、上記記憶されているポリシー情報のうちの、上記受信されたアクセス要求に含まれるユーザ識別情報と対応付けて記憶されている役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する上記アクセス対象装置と上記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する通信フィルタ情報送信手段と、
を備える。
また、本発明の他の形態であるアクセス制御情報生成方法は、
ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶するとともに、ユーザを識別するためのユーザ識別情報と、当該ユーザに割り当てられた役割を識別するための役割識別情報と、を対応付けて記憶する記憶装置に記憶されているポリシー情報に含まれる役割識別情報と対応付けて当該記憶装置に記憶されているユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する上記アクセス対象装置へ送信し、
クライアント装置のユーザを識別するためのユーザ識別情報を含むアクセス要求を当該クライアント装置から受信し、
上記受信されたアクセス要求の送信元を通信網にて特定するためのアドレスを表すアドレス情報を取得し、
上記取得されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、上記記憶装置に記憶されているポリシー情報のうちの、上記受信されたアクセス要求に含まれるユーザ識別情報と対応付けて当該記憶装置に記憶されている役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する上記アクセス対象装置と上記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する方法である。
また、本発明の他の形態であるアクセス制御情報生成装置は、
ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶するポリシー情報記憶手段と、
クライアント装置のユーザを識別するためのユーザ識別情報と、当該クライアント装置を通信網にて特定するためのアドレスを表すアドレス情報と、を受信するユーザ情報受信手段と、
上記記憶されているポリシー情報に含まれる役割識別情報と対応付けられたユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する上記アクセス対象装置へ送信するアクセス制御情報送信手段と、
上記受信されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、上記記憶されているポリシー情報のうちの、上記受信されたユーザ識別情報と対応付けられた役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する上記アクセス対象装置と上記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する通信フィルタ情報送信手段と、
を備える。
また、本発明の他の形態であるアクセス制御情報生成方法は、
ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶する記憶装置に記憶されているポリシー情報に含まれる役割識別情報と対応付けられたユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する上記アクセス対象装置へ送信し、
クライアント装置のユーザを識別するためのユーザ識別情報と、当該クライアント装置を通信網にて特定するためのアドレスを表すアドレス情報と、を受信し、
上記受信されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、上記記憶装置に記憶されているポリシー情報のうちの、上記受信されたユーザ識別情報と対応付けられた役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する上記アクセス対象装置と上記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する方法である。
また、本発明の他の形態であるプログラムは、
情報処理装置に、
ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶する記憶装置に記憶されているポリシー情報に含まれる役割識別情報と対応付けられたユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する上記アクセス対象装置へ送信するアクセス制御情報送信手段と、
クライアント装置のユーザを識別するためのユーザ識別情報と、当該クライアント装置を通信網にて特定するためのアドレスを表すアドレス情報と、を受信するユーザ情報受信手段と、
上記受信されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、上記記憶装置に記憶されているポリシー情報のうちの、上記受信されたユーザ識別情報と対応付けられた役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する上記アクセス対象装置と上記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する通信フィルタ情報送信手段と、
を実現させるためのプログラムである。
本発明は、以上のように構成されることにより、アクセス対象装置によって許可されているアクセスをクライアント装置に円滑に行わせることができる。
本発明の第1実施形態に係るアクセス制御システムの概略構成を表す図である。 本発明の第1実施形態に係るアクセス制御システムの機能の概略を表すブロック図である。 本発明の第1実施形態に係るユーザ情報管理サーバが記憶する、ユーザ識別情報、役割識別情報、及び、パスワード情報、を示したテーブルである。 本発明の第1実施形態に係るアクセス制御情報生成サーバが記憶する、役割識別情報、資源グループ識別情報、及び、アクション情報を示したテーブルである。 本発明の第1実施形態に係るアクセス制御情報生成サーバが記憶する、資源グループ識別情報、アクセス対象装置識別情報、及び、通信フィルタ装置識別情報を示したテーブルである。 本発明の第1実施形態に係るアクセス制御システムの作動の概略を表すシーケンス図である。 本発明の第1実施形態に係るアクセス制御システムの作動の概略を表すシーケンス図である。 本発明の第2実施形態に係るアクセス制御システムの作動の概略を表すシーケンス図である。 本発明の第3実施形態に係るアクセス制御システムの機能の概略を表すブロック図である。 本発明の第3実施形態に係るアクセス制御システムの作動の概略を表すシーケンス図である。 本発明の第3実施形態に係るアクセス制御システムの作動の概略を表すシーケンス図である。 本発明の第4実施形態に係るアクセス制御情報生成システムの機能の概略を表すブロック図である。
以下、本発明に係る、アクセス制御情報生成システム、アクセス制御情報生成方法、アクセス制御情報生成装置、及び、プログラム、の各実施形態について図1〜図12を参照しながら説明する。
<第1実施形態>
(構成)
図1に示したように、第1実施形態に係るアクセス制御システム1は、クライアント装置10と、認証サーバ20と、ユーザ情報管理サーバ30と、アクセス制御情報生成サーバ(アクセス制御情報生成装置)40と、複数の通信フィルタ装置50a,50b,…と、複数のアクセス対象装置60a,60b,…と、を含む。
認証サーバ20、ユーザ情報管理サーバ30、及び、アクセス制御情報生成サーバ40は、アクセス制御情報生成システムを構成している。なお、アクセス制御情報生成サーバ40は、複数のサーバにより構成されていてもよい。また、認証サーバ20、及び、アクセス制御情報生成サーバ40は、1つのサーバにより構成されていてもよい。また、認証サーバ20、ユーザ情報管理サーバ30、及び、アクセス制御情報生成サーバ40は、1つのサーバにより構成されていてもよい。
クライアント装置10、認証サーバ20、ユーザ情報管理サーバ30、アクセス制御情報生成サーバ40、及び、複数の通信フィルタ装置50a,50b,…は、IP(Internet Protocol)網を構成する通信回線NWを介して、互いに通信可能に接続されている。アクセス対象装置60aは、通信フィルタ装置50aを介して(経由して)通信回線NWに接続されている。同様に、各アクセス対象装置60b,…は、通信フィルタ装置50b,…を介して通信回線NWに接続されている。
クライアント装置10は、情報処理装置である。なお、クライアント装置10は、パーソナル・コンピュータ、携帯電話端末、PHS(Personal Handyphone System)、PDA(Personal Data Assistance、Personal Digital Assistant)、カーナビゲーション端末、又は、ゲーム端末等であってもよい。
クライアント装置10は、図示しない中央処理装置(CPU;Central Processing Unit)、記憶装置(メモリ及びハードディスク駆動装置(HDD;Hard Disk Drive))、入力装置(例えば、キーボード及びマウス等)及び出力装置(例えば、ディスプレイ等)を備える。
クライアント装置10は、記憶装置に記憶されているプログラムをCPUが実行することにより、後述する機能を実現するように構成されている。
認証サーバ20、ユーザ情報管理サーバ30、及び、アクセス制御情報生成サーバ40のそれぞれ(各サーバ20〜40)は、情報処理装置である。各サーバ20〜40は、クライアント装置10と同様に、図示しないCPU及び記憶装置を備える。各サーバ20〜40は、クライアント装置10と同様に、記憶装置に記憶されているプログラムをCPUが実行することにより、後述する機能を実現するように構成されている。
各通信フィルタ装置50a,50b,…は、ファイアウォールとして機能する情報処理装置である。各通信フィルタ装置50a,50b,…は、クライアント装置10と同様に、図示しないCPU及び記憶装置を備える。各通信フィルタ装置50a,50b,…は、クライアント装置10と同様に、記憶装置に記憶されているプログラムをCPUが実行することにより、後述する機能を実現するように構成されている。
各アクセス対象装置60a,60b,…は、ストレージ装置、又は、情報処理装置等である。各アクセス対象装置60a,60b,…は、クライアント装置10と同様に、図示しないCPU及び記憶装置を備える。各アクセス対象装置60a,60b,…は、クライアント装置10と同様に、記憶装置に記憶されているプログラムをCPUが実行することにより、後述する機能を実現するように構成されている。
(機能)
図2は、上記のように構成されたアクセス制御システム1の機能を表すブロック図である。
クライアント装置10は、ユーザにより入力された、ユーザ識別情報及びパスワード情報を受け付ける。ユーザ識別情報は、ユーザを識別するための情報(本例では、文字列を表す情報)である。パスワード情報は、ユーザが真のユーザであることを示すための情報(本例では、文字列を表す情報)である。
クライアント装置10は、受け付けられたユーザ識別情報及びパスワード情報を含むアクセス要求を認証サーバ20へ送信する。アクセス要求は、アクセスの対象となる資源であるアクセス対象資源へのアクセスを要求する旨を表す情報である。
例えば、アクセス対象資源は、ファイル、仮想マシン、データベース、及び/又は、アプリケーション・プログラム等である。
アクセス対象資源がファイルである場合、アクセスは、当該ファイルからデータを読み出すこと、当該ファイルにデータを書き込むこと、又は、当該ファイルを実行すること、等に対応している。また、アクセス対象資源が仮想マシンである場合、アクセスは、当該仮想マシンを起動すること、当該仮想マシンを停止させること、又は、当該仮想マシンを再起動すること、等に対応している。
また、アクセス対象資源がデータベースである場合、アクセスは、当該データベースに含まれる特定のテーブルにレコードを挿入すること、当該データベースに含まれる特定のテーブルからレコードを削除すること、又は、当該データベースに含まれる特定のテーブルからレコードを更新すること、等に対応している。また、アクセス対象資源がアプリケーション・プログラムである場合、アクセスは、当該アプリケーション・プログラムを実行すること、又は、当該アプリケーション・プログラムを終了すること、等に対応している。
また、クライアント装置10は、ユーザにより入力されたアクセス指示を受け付ける。アクセス指示は、クライアント装置10のユーザを識別するためのユーザ識別情報と、アクセス対象資源を識別するための資源識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を含む。クライアント装置10は、受け付けられたアクセス指示をアクセス対象装置60a,60b,…へ送信する。
ユーザ情報管理サーバ30の機能は、ユーザ情報記憶部(ユーザ情報記憶手段)31を含む。
ユーザ情報記憶部31は、図3に示したように、ユーザを識別するためのユーザ識別情報と、当該ユーザに割り当てられた役割を識別するための役割識別情報と、パスワード情報と、を対応付けて記憶する。なお、ユーザ情報記憶部31は、1つのユーザ識別情報と、複数の役割識別情報と、を対応付けて記憶していてもよい。
ユーザ情報管理サーバ30は、認証サーバ20又はアクセス制御情報生成サーバ40から送信要求を受信した場合、記憶されているユーザ識別情報、役割識別情報、及び、パスワード情報を、送信要求を送信してきたサーバ(即ち、認証サーバ20又はアクセス制御情報生成サーバ40)へ送信する。
認証サーバ20の機能は、アクセス要求受信部(アクセス要求受信手段)21と、アドレス情報取得部(アドレス情報取得手段)22と、認証処理部(認証処理手段)23と、ユーザ情報送信部24と、を含む。
アクセス要求受信部21は、クライアント装置10により送信されたアクセス要求を受信する。
アドレス情報取得部22は、アクセス要求受信部21により受信されたアクセス要求の送信元を通信網(本例では、IP網)にて特定するためのアドレス(本例では、IPアドレス)を表すアドレス情報を取得する。具体的には、アドレス情報取得部22は、アクセス要求としてのデータ(本例では、パケット)に含まれる情報に基づいてアドレス情報を取得する。
認証処理部23は、アクセス要求受信部21により受信されたアクセス要求に含まれる、ユーザ識別情報及びパスワード情報を受け付ける。そして、認証処理部23は、受け付けられたユーザ識別情報及びパスワード情報に基づいて、当該ユーザ識別情報により識別されるユーザが真のユーザであるか否かを判定する認証処理を実行する。
具体的には、認証処理部23は、送信要求をユーザ情報管理サーバ30へ送信することにより、ユーザ情報管理サーバ30からユーザ識別情報及びパスワード情報を受信する。これにより、認証処理部23は、受け付けられたユーザ識別情報及びパスワード情報と同一のユーザ識別情報及びパスワード情報が対応付けられてユーザ情報記憶部31に記憶されているか否かを判定する。
なお、認証処理部23は、予めユーザ情報管理サーバ30へ送信要求を送信することにより、ユーザ識別情報及びバスワード情報の組をユーザ情報管理サーバ30から受信し、ユーザ識別情報及びバスワード情報の組を予め記憶するように構成されていてもよい。
認証処理部23は、受け付けられたユーザ識別情報及びパスワード情報と同一のユーザ識別情報及びパスワード情報が対応付けられてユーザ情報記憶部31に記憶されている場合、当該ユーザ識別情報により識別されるユーザが真のユーザである(認証処理が成功した)と判定する。一方、認証処理部23は、受け付けられたユーザ識別情報及びパスワード情報と同一のユーザ識別情報及びパスワード情報が対応付けられてユーザ情報記憶部31に記憶されていない場合、当該ユーザ識別情報により識別されるユーザが真のユーザでない(認証処理が失敗した)と判定する。
ユーザ情報送信部24は、認証処理部23により認証処理が成功したと判定された場合、アクセス要求受信部21により受信されたアクセス要求に含まれるユーザ識別情報と、アドレス情報取得部22により取得されたアドレス情報と、をアクセス制御情報生成サーバ40へ送信する。
アクセス制御情報生成サーバ40の機能は、ポリシー情報記憶部(ポリシー情報記憶手段)41と、資源装置対応情報記憶部(資源装置対応情報記憶手段)42と、アクセス制御情報送信部(アクセス制御情報送信手段)43と、ユーザ情報受信部44と、通信フィルタ情報送信部(通信フィルタ情報送信手段)45と、を含む。
ポリシー情報記憶部41は、ポリシー情報を記憶する。ポリシー情報は、図4に示したように、役割識別情報と、資源グループ識別情報と、アクション情報と、を対応付けた情報である。役割識別情報は、ユーザに割り当てられた役割を識別するための情報である。資源グループ識別情報は、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための情報である。アクション情報は、アクセス対象資源へのアクセスの種別を表す情報である。
資源装置対応情報記憶部42は、図5に示したように、資源グループ識別情報と、通信フィルタ装置識別情報と、アクセス対象装置識別情報と、を対応付けて記憶する。アクセス対象装置識別情報は、当該アクセス対象装置識別情報と対応付けられた資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有するアクセス対象装置60a,60b,…を識別するための情報である。
通信フィルタ装置識別情報は、当該通信フィルタ装置識別情報と対応付けられた資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有するアクセス対象装置60a,60b,…とクライアント装置10との間の通信を中継する通信フィルタ装置50a,50b,…を識別するための情報である。
即ち、本例では、あるアクセス対象装置識別情報と対応付けて記憶されている通信フィルタ装置識別情報は、クライアント装置10から見て、当該アクセス対象装置識別情報により識別されるアクセス対象装置60a,60b,…の直前に配置された通信フィルタ装置50a,50b,…を識別するための情報である。換言すると、通信フィルタ装置識別情報と、アクセス対象装置識別情報と、の対応付けは、物理的な接続関係を反映している。
アクセス制御情報送信部43は、ユーザ情報記憶部31に記憶されているユーザ識別情報及び役割識別情報の組のすべてを取得する。具体的には、アクセス制御情報送信部43は、送信要求をユーザ情報管理サーバ30へ送信することにより、ユーザ情報管理サーバ30から、ユーザ識別情報及び役割識別情報の組を受信(即ち、取得)する。
更に、アクセス制御情報送信部43は、ポリシー情報記憶部41に記憶されているポリシー情報のそれぞれに対して、アクセス制御情報送信処理を実行する。アクセス制御情報送信処理は、当該アクセス制御情報送信処理の対象となるポリシー情報に含まれる役割識別情報と対応付けられたユーザ識別情報を取得する処理を含む。
更に、アクセス制御情報送信処理は、上記取得されたユーザ識別情報により識別されるユーザによる、当該アクセス制御情報送信処理の対象となるポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成する処理を含む。
加えて、アクセス制御情報送信処理は、生成されたアクセス制御情報を、当該アクセス制御情報送信処理の対象となるポリシー情報に含まれる資源グループ識別情報と対応付けて資源装置対応情報記憶部42に記憶されているアクセス対象装置識別情報により識別されるアクセス対象装置60a,60b,…へ送信する処理を含む。
即ち、アクセス制御情報送信部43は、生成されたアクセス制御情報を、当該アクセス制御情報送信処理の対象となるポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有するアクセス対象装置60a,60b,…へ送信するように構成されている、と言うことができる。
ユーザ情報受信部44は、認証サーバ20により送信された、ユーザ識別情報及びアドレス情報を受信する。
通信フィルタ情報送信部45は、ユーザ情報受信部44により受信されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成する。
本例では、通信フィルタ情報送信部45は、ユーザ情報受信部44により受信されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の両方を許可する旨を表す通信フィルタ情報を生成する。なお、通信フィルタ情報送信部45は、ユーザ情報受信部44により受信されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信のいずれか一方のみを許可する旨を表す通信フィルタ情報を生成するように構成されていてもよい。
更に、通信フィルタ情報送信部45は、ポリシー情報記憶部41に記憶されているポリシー情報のうちの、ユーザ情報受信部44により受信されたユーザ識別情報と対応付けてユーザ情報記憶部31に記憶されている役割識別情報を含むポリシー情報を特定する。
加えて、通信フィルタ情報送信部45は、特定されたポリシー情報に含まれる資源グループ識別情報と対応付けて資源装置対応情報記憶部42に記憶されている通信フィルタ装置識別情報により識別される通信フィルタ装置50a,50b,…へ、上記生成された通信フィルタ情報を送信する。
即ち、通信フィルタ情報送信部45は、生成された通信フィルタ情報を、特定されたポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有するアクセス対象装置60a,60b,…とクライアント装置10との間の通信を中継する通信フィルタ装置50a,50b,…へ送信するように構成されている、と言うことができる。
このように、通信フィルタ情報送信部45は、ユーザ情報受信部44によりユーザ識別情報及びアドレス情報が受信された場合に通信フィルタ情報を生成するように構成されている。即ち、通信フィルタ情報送信部45は、認証サーバ20による認証処理にて、クライアント装置10のユーザが真のユーザであると判定された場合に通信フィルタ情報を生成するように構成されている、と言うことができる。
アクセス対象装置60aは、アクセス制御情報生成サーバ40からアクセス制御情報を受信する。アクセス対象装置60aは、受信されたアクセス制御情報を記憶装置に記憶させる。
また、アクセス対象装置60aは、クライアント装置10により送信されたアクセス指示を受信する。アクセス指示は、クライアント装置10のユーザを識別するためのユーザ識別情報と、アクセス対象資源を識別するための資源識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を含む。
アクセス対象装置60aは、アクセス指示が受信された場合、当該アクセス指示に基づくアクセス対象資源へのアクセス(即ち、アクセス指示に含まれるユーザ識別情報により識別されるユーザによる、当該アクセス指示に含まれる資源識別情報により識別されるアクセス対象資源への、当該アクセス指示に含まれるアクション情報が表す種別のアクセス)が許可されるか否かを判定する。
具体的には、アクセス対象装置60aは、記憶されているアクセス制御情報に基づいて、アクセス指示に基づくアクセス対象資源へのアクセスが許可されるか否かを判定する。
そして、アクセス対象装置60aは、アクセス指示に基づくアクセス対象資源へのアクセスが許可されると判定した場合、当該アクセス対象資源へのアクセスを実現するための処理を実行する。
例えば、アクセス対象資源へのアクセスが、ファイルにデータを書き込むことに対応している場合、アクセス対象装置60aは、クライアント装置10からデータを受信し、当該受信したデータを、アクセス対象資源としてのファイルに書き込む。同様に、アクセス対象資源へのアクセスが、ファイルからデータを読み出すことに対応している場合、アクセス対象装置60aは、アクセス対象資源としてのファイルからデータを読み出し、当該読み出したデータをクライアント装置10へ送信する。
なお、アクセス対象装置60b,…のそれぞれも、アクセス対象装置60aと同様の機能を有する。
通信フィルタ装置50aは、アクセス制御情報生成サーバ40から通信フィルタ情報を受信する。通信フィルタ装置50aは、受信された通信フィルタ情報を記憶装置に記憶させる。
また、通信フィルタ装置50aは、アクセス対象装置60aとクライアント装置10との間の通信を中継する。このとき、通信フィルタ装置50aは、アクセス対象装置60a又はクライアント装置10からデータを受信した場合、受信したデータの送信(転送)を許可するか否かを、記憶されている通信フィルタ情報に基づいて判定する。
通信フィルタ装置50aは、受信したデータの転送を許可すると判定した場合、受信したデータを転送することにより、通信を中継する。一方、通信フィルタ装置50aは、受信したデータの転送を許可しないと判定した場合、受信したデータを転送しない(転送を禁止する)。
例えば、通信フィルタ装置50aは、送信元のアドレスとしてクライアント装置10のアドレス(クライアント装置10に割り当てられたアドレス)が設定され、且つ、送信先のアドレスとしてアクセス対象装置60aのアドレスが設定されたデータをクライアント装置10から受信した場合において、クライアント装置10のアドレスを送信元とする通信を許可する旨を表す通信フィルタ情報が記憶装置に記憶されているとき、当該受信したデータをアクセス対象装置60aへ送信する。
同様に、通信フィルタ装置50aは、送信元のアドレスとしてアクセス対象装置60aのアドレスが設定され、且つ、送信先のアドレスとしてクライアント装置10のアドレスが設定されたデータをアクセス対象装置60aから受信した場合において、クライアント装置10のアドレスを送信先とする通信を許可する旨を表す通信フィルタ情報が記憶装置に記憶されているとき、当該受信したデータをクライアント装置10へ送信する。
なお、通信フィルタ装置50aは、通信フィルタ情報を記憶装置に記憶させた時点から、予め設定された有効期間が経過した後に、当該通信フィルタ情報を消去するように構成されていてもよい。
また、通信フィルタ装置50b,…のそれぞれも、通信フィルタ装置50aと同様の機能を有する。
(作動)
次に、上述したアクセス制御システム1の作動について、図6及び図7に示したシーケンス図を参照しながら説明する。本例では、アクセス対象装置60aが有するアクセス対象資源へのアクセスに関するアクセス制御システム1の処理及び作動を主として説明する。なお、アクセス対象装置60b,…が有するアクセス対象資源へのアクセスに関するアクセス制御システム1の処理及び作動についても同様に説明される。
先ず、アクセス制御情報生成サーバ40は、アクセス制御情報を生成する(図6のステップS101)。具体的には、アクセス制御情報生成サーバ40は、ユーザ情報記憶部31に記憶されているユーザ識別情報及び役割識別情報と、ポリシー情報記憶部41に記憶されているポリシー情報と、に基づいてアクセス制御情報を生成する。
なお、アクセス制御情報生成サーバ40は、ユーザ情報記憶部31に記憶されているユーザ識別情報及び役割識別情報と、ポリシー情報記憶部41に記憶されているポリシー情報と、資源装置対応情報記憶部42に記憶されている資源グループ識別情報及びアクセス対象装置識別情報と、に
基づいてアクセス制御情報を生成するように構成されていてもよい。
次いで、アクセス制御情報生成サーバ40は、生成されたアクセス制御情報をアクセス対象装置60aへ送信する(図6のステップS102)。具体的には、アクセス制御情報生成サーバ40は、生成されたアクセス制御情報の送信先を、資源装置対応情報記憶部42に記憶されているアクセス対象装置識別情報及び資源グループ識別情報と、アクセス制御情報を生成する基となったポリシー情報と、に基づいて特定する。そして、アクセス制御情報生成サーバ40は、生成されたアクセス制御情報を、特定された送信先としてのアクセス対象装置(本例では、アクセス対象装置60a)へ送信する。
これにより、アクセス対象装置60aは、アクセス制御情報生成サーバ40からアクセス制御情報を受信する。そして、アクセス対象装置60aは、受信されたアクセス制御情報に基づいてアクセス制御設定処理を実行する(図6のステップS103)。具体的には、アクセス対象装置60aは、受信されたアクセス制御情報を記憶装置に記憶させる(即ち、アクセス対象資源へのアクセスの制御の設定を行う)。
その後、クライアント装置10は、ユーザにより入力された、ユーザ識別情報及びパスワード情報を受け付ける。そして、クライアント装置10は、受け付けられたユーザ識別情報及びパスワード情報を含むアクセス要求を認証サーバ20へ送信する(図7のステップS201)。
これにより、認証サーバ20は、クライアント装置10からアクセス要求を受信する。そして、認証サーバ20は、受信されたアクセス要求に含まれる、ユーザ識別情報及びパスワード情報と、ユーザ情報記憶部31に記憶されているユーザ識別情報及びパスワード情報と、に基づいて、当該ユーザ識別情報により識別されるユーザが真のユーザであるか否かを判定する認証処理を実行する(図7のステップS202)。
いま、認証サーバ20が、ユーザ識別情報により識別されるユーザが真のユーザである(認証処理が成功した)と判定した場合を想定して説明を続ける。なお、認証サーバ20が、ユーザ識別情報により識別されるユーザが真のユーザでない(認証処理が失敗した)と判定した場合、アクセス制御システム1は、後述する図7のステップS203〜ステップS207の処理を実行しない。
次に、認証サーバ20は、受信されたアクセス要求の送信元としてのIPアドレスを表すアドレス情報を取得する(図7のステップS203)。そして、認証サーバ20は、取得されたアドレス情報と、受信されたアクセス要求に含まれるユーザ識別情報と、をアクセス制御情報生成サーバ40へ送信する(図7のステップS204)。
これにより、アクセス制御情報生成サーバ40は、認証サーバ20から、ユーザ識別情報及びアドレス情報を受信する。次いで、アクセス制御情報生成サーバ40は、通信フィルタ情報を生成する(図7のステップS205)。具体的には、アクセス制御情報生成サーバ40は、受信されたアドレス情報に基づいて通信フィルタ情報を生成する。
次いで、アクセス制御情報生成サーバ40は、生成された通信フィルタ情報を通信フィルタ装置50aへ送信する(図7のステップS206)。
具体的には、アクセス制御情報生成サーバ40は、生成された通信フィルタ情報の送信先を、資源装置対応情報記憶部42に記憶されている通信フィルタ装置識別情報及び資源グループ識別情報と、ポリシー情報記憶部41に記憶されているポリシー情報と、ユーザ情報記憶部31に記憶されているユーザ識別情報及び役割識別情報と、に基づいて特定する。即ち、アクセス制御システム1は、アクセス要求に含まれるユーザ識別情報に対応付けられた役割識別情報を含むポリシー情報を特定し、更に、そのポリシー情報に含まれる資源グループ識別情報と対応付けられている通信フィルタ装置識別情報を特定する。そして、アクセス制御情報生成サーバ40は、生成された通信フィルタ情報を、特定された送信先としての通信フィルタ装置(本例では、通信フィルタ装置50a)へ送信する。
これにより、通信フィルタ装置50aは、アクセス制御情報生成サーバ40から通信フィルタ情報を受信する。そして、通信フィルタ装置50aは、受信された通信フィルタ情報に基づいて通信フィルタ設定処理を実行する(図7のステップS207)。具体的には、通信フィルタ装置50aは、受信された通信フィルタ情報を記憶装置に記憶させる(即ち、アクセス対象装置60aとクライアント装置10との間の通信の制御の設定を行う)。
その後、クライアント装置10は、ユーザにより入力されたアクセス指示を受け付ける。アクセス指示は、クライアント装置10のユーザを識別するためのユーザ識別情報と、アクセス対象資源を識別するための資源識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を含む。
クライアント装置10は、受け付けられたアクセス指示を通信フィルタ装置50aを介して(経由して)アクセス対象装置60aへ送信する。この時点では、通信フィルタ装置50aは、クライアント装置10のアドレスを送信元とする通信、及び、クライアント装置10のアドレスを送信先とする通信の両方を許可する旨を表す通信フィルタ情報を記憶装置に記憶している。従って、通信フィルタ装置50aは、クライアント装置10とアクセス対象装置60aとの間の通信を中継する。
これにより、アクセス対象装置60aは、クライアント装置10からアクセス指示を受信する。いま、アクセス対象装置60aが、アクセス指示に含まれるユーザ識別情報により識別されるユーザによる、アクセス指示に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を、記憶装置に記憶している場合を想定する。この場合、アクセス対象装置60aは、アクセス指示に含まれる資源識別情報により識別されるアクセス対象資源へのアクセスを実現するための処理を実行する(図7のステップS208)。
このようにして、クライアント装置10は、アクセス対象装置60aが有するアクセス対象資源へアクセスすることができる。
以上、説明したように、本発明の第1実施形態に係るアクセス制御システム1において、アクセス制御情報生成サーバ40は、ポリシー情報に基づいてアクセス制御情報を生成し、生成されたアクセス制御情報をアクセス対象装置60a,60b,…へ送信する。これにより、アクセス対象装置60a,60b,…は、受信したアクセス制御情報に基づいて、ユーザによるアクセス対象資源へのアクセスを許可する。
更に、アクセス制御情報生成サーバ40は、アクセス要求を送信してきたクライアント装置10のアドレスを送信元又は送信先とする通信を許可する旨を表す通信フィルタ情報を生成する。更に、アクセス制御情報生成サーバ40は、アクセス要求を送信してきたユーザに割り当てられた役割とポリシー情報にて対応付けられたアクセス対象資源を有するアクセス対象装置60a,60b,…とクライアント装置10との間の通信を中継する通信フィルタ装置50a,50b,…へ通信フィルタ情報を送信する。これにより、通信フィルタ装置50a,50b,…は、クライアント装置10による通信を許可する。
この結果、アクセス対象装置60a,60b,…によって許可されているアクセスをクライアント装置10に円滑に行わせることができる。
更に、第1実施形態に係るアクセス制御システム1において、アクセス制御情報生成サーバ40は、認証サーバ20による認証処理にてユーザが真のユーザであると判定された場合に通信フィルタ情報を生成する。
これによれば、クライアント装置10のユーザが真のユーザであると判定された場合にのみ、当該クライアント装置10に、アクセス対象資源へアクセスさせることができる。換言すると、クライアント装置10のユーザが真のユーザでないと判定された場合には、当該クライアント装置10によるアクセス対象資源へのアクセスを禁止することができる。
なお、第1実施形態の変形例に係るアクセス制御システム1において、アクセス要求は、クライアント装置10に固有の情報である装置固有情報(例えば、MAC(Media Access Control)アドレス等)を含んでいてもよい。更に、この場合、認証サーバ20は、装置固有情報にも基づいて認証処理を実行する。
また、第1実施形態の他の変形例に係るアクセス制御システム1は、クライアント装置10が、認証サーバ20及び通信フィルタ装置50a,50b,…を順に経由させて、アクセス指示をアクセス対象装置60a,60b,…へ送信するように構成されていてもよい。
<第2実施形態>
次に、本発明の第2実施形態に係るアクセス制御システムについて説明する。第2実施形態に係るアクセス制御システムは、上記第1実施形態に係るアクセス制御システムに対して、認証処理が成功した場合に、当該認証処理に係るユーザによるアクセスを許可する旨を表すアクセス制御情報を生成するように構成される点において相違している。従って、以下、かかる相違点を中心として説明する。
第2実施形態に係るアクセス制御情報送信部43は、ポリシー情報記憶部41に記憶されているポリシー情報のうちの、ユーザ情報受信部44により受信されたユーザ識別情報と対応付けてユーザ情報記憶部31に記憶されている役割識別情報を含むポリシー情報のそれぞれに対して、アクセス制御情報送信処理を実行する。
アクセス制御情報送信処理は、ユーザ情報受信部44により受信されたユーザ識別情報により識別されるユーザによる、当該アクセス制御情報送信処理の対象となるポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成する処理を含む。
加えて、アクセス制御情報送信処理は、生成されたアクセス制御情報を、当該アクセス制御情報送信処理の対象となるポリシー情報に含まれる資源グループ識別情報と対応付けて資源装置対応情報記憶部42に記憶されているアクセス対象装置識別情報により識別されるアクセス対象装置60a,60b,…へ送信する処理を含む。
次に、第2実施形態に係るアクセス制御システム1の作動について説明する。
第2実施形態に係るアクセス制御システム1は、図6及び図7に示した処理に代えて、図7のステップS204とステップS205との間に、図8に示したステップS301〜ステップS303の処理を追加した処理を実行する。
具体的には、アクセス制御情報生成サーバ40は、認証サーバ20から、ユーザ識別情報及びアドレス情報を受信すると、アクセス制御情報を生成する(図8のステップS301)。具体的には、アクセス制御情報生成サーバ40は、受信されたユーザ識別情報と、ユーザ情報記憶部31に記憶されているユーザ識別情報及び役割識別情報と、ポリシー情報記憶部41に記憶されているポリシー情報と、に基づいてアクセス制御情報を生成する。
次いで、アクセス制御情報生成サーバ40は、生成されたアクセス制御情報をアクセス対象装置60aへ送信する(図8のステップS302)。
これにより、アクセス対象装置60aは、アクセス制御情報生成サーバ40からアクセス制御情報を受信する。そして、アクセス対象装置60aは、受信されたアクセス制御情報に基づいてアクセス制御設定処理を実行する(図8のステップS303)。
このように、第2実施形態に係るアクセス制御システム1は、認証サーバ20による認証処理にてユーザが真のユーザであると判定された場合に当該ユーザによるアクセスを許可する旨を表すアクセス制御情報を、アクセス対象装置60a,60b,…に設定する。
これによれば、クライアント装置10のユーザが真のユーザであると判定された場合にのみ、当該クライアント装置10に、アクセス対象資源へアクセスさせることができる。換言すると、クライアント装置10のユーザが真のユーザでないと判定された場合には、当該クライアント装置10によるアクセス対象資源へのアクセスを禁止することができる。
更に、第2実施形態に係るアクセス制御システム1は、第1実施形態に係るアクセス制御システム1と同様の作用及び効果も奏することができる。
<第3実施形態>
次に、本発明の第3実施形態に係るアクセス制御システムについて説明する。第3実施形態に係るアクセス制御システムは、上記第1実施形態に係るアクセス制御システムに対して、通信フィルタ設定処理の実行が完了した場合にその旨を表す通知をクライアント装置10へ送信するように構成される点において相違している。従って、以下、かかる相違点を中心として説明する。
第3実施形態に係るアクセス対象装置60aの機能は、アクセス制御設定処理の実行が完了した場合に、アクセス制御設定完了通知をアクセス制御情報生成サーバ40へ送信する機能を含む。アクセス制御設定完了通知は、アクセス制御情報に基づく、アクセス対象資源へのアクセスの制御の設定が完了した旨を表す情報である。なお、アクセス対象装置60b,…のそれぞれも、アクセス対象装置60aと同様の機能を有する。
第3実施形態に係る通信フィルタ装置50aの機能は、通信フィルタ設定処理の実行が完了した場合に、通信フィルタ設定完了通知をアクセス制御情報生成サーバ40へ送信する機能を含む。通信フィルタ設定完了通知は、通信フィルタ情報に基づく、アクセス対象装置60aとクライアント装置10との間の通信の制御の設定が完了した旨を表す情報である。なお、通信フィルタ装置50b,…のそれぞれも、通信フィルタ装置50aと同様の機能を有する。
第3実施形態に係るアクセス制御情報生成サーバ40の機能は、図9に示したように、第1実施形態に係るアクセス制御情報生成サーバ40の機能に加えて、アクセス許可通知送信部(アクセス制御設定完了通知送信手段、及び、通信フィルタ設定完了通知送信手段)46を含む。
アクセス許可通知送信部46は、アクセス制御設定完了通知をアクセス対象装置60a,60b,…から受信し、且つ、通信フィルタ設定完了通知を通信フィルタ装置50a,50b,…から受信した場合、認証サーバ20へアクセス許可通知を送信する。アクセス許可通知は、アクセス対象資源へのアクセスが許可された(アクセス対象資源へのアクセスが可能な状態である)旨を表す情報である。なお、本例では、アクセス許可通知は、アクセス制御設定完了通知、及び、通信フィルタ設定完了通知を構成している。
第3実施形態に係る認証サーバ20の機能は、図9に示したように、第1実施形態に係る認証サーバ20の機能に加えて、アクセス許可通知転送部25を含む。
アクセス許可通知転送部25は、アクセス制御情報生成サーバ40からアクセス許可通知を受信する。アクセス許可通知転送部25は、アクセス要求を送信してきたクライアント装置10へ、受信されたアクセス許可通知を送信(転送)する。
また、第3実施形態に係るクライアント装置10は、アクセス許可通知を受信した場合に、アクセス指示を送信するように構成される。
次に、第3実施形態に係るアクセス制御システム1の作動について説明する。
第3実施形態に係るアクセス制御システム1は、図6に示した処理に代えて、図6のステップS103の後に、図10に示したステップS401の処理を追加した処理を実行する。
具体的には、アクセス対象装置60aは、アクセス制御設定処理の実行が完了した場合に、その旨を表すアクセス制御設定完了通知をアクセス制御情報生成サーバ40へ送信する(図10のステップS401)。これにより、アクセス制御情報生成サーバ40は、アクセス対象装置60aからアクセス制御設定完了通知を受信する。
また、第3実施形態に係るアクセス制御システム1は、図7に示した処理に代えて、図7のステップS207とステップS08との間に、図11に示したステップS501及びステップS502の処理を追加した処理を実行する。
具体的には、通信フィルタ装置50aは、通信フィルタ設定処理の実行が完了した場合に、その旨を表す通信フィルタ設定完了通知をアクセス制御情報生成サーバ40へ送信する(図11のステップS501)。これにより、アクセス制御情報生成サーバ40は、通信フィルタ装置50aから通信フィルタ設定完了通知を受信する。
そして、アクセス制御情報生成サーバ40は、アクセス制御設定完了通知、及び、通信フィルタ設定完了通知の両方を受信したので、アクセス許可通知を認証サーバ20へ送信する(図11のステップS502)。これにより、認証サーバ20は、アクセス制御情報生成サーバ40からアクセス許可通知を受信し、受信したアクセス許可通知をクライアント装置10へ送信する。
これにより、クライアント装置10は、認証サーバ20からアクセス許可通知を受信する。そして、クライアント装置10は、アクセス指示を、通信フィルタ装置50aを介してアクセス対象装置60aへ送信する(図11のステップS208)。
このように、第3実施形態に係るアクセス制御システム1によれば、アクセス対象資源へのアクセスの制御の設定が完了したことを、クライアント装置10に通知することができる。更に、アクセス対象装置60a,60b,…とクライアント装置10との間の通信の制御の設定が完了したことを、クライアント装置10に通知することができる。これにより、クライアント装置10は、より一層円滑にアクセス対象資源へアクセスすることができる。
更に、第3実施形態に係るアクセス制御システム1は、第1実施形態に係るアクセス制御システム1と同様の作用及び効果も奏することができる。
なお、第3実施形態の変形例に係る認証サーバ20は、認証処理にてユーザが真のユーザであると判定された場合に、その旨を表す認証成功通知を、アクセス要求を送信してきたクライアント装置10へ送信するように構成されていてもよい。
また、第3実施形態の他の変形例に係るアクセス制御システム1は、アクセス制御情報生成サーバ40が、認証サーバ20を経由することなく、アクセス許可通知をクライアント装置10へ送信するように構成されていてもよい。
また、第3実施形態の他の変形例に係るアクセス制御システム1は、アクセス制御設定完了通知、及び、通信フィルタ設定完了通知のいずれか一方のみをクライアント装置10へ送信するように構成されていてもよい。
<第4実施形態>
次に、本発明の第4実施形態に係るアクセス制御情報生成システムについて図12を参照しながら説明する。
第4実施形態に係るアクセス制御情報生成システム100は、
ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶するポリシー情報記憶部(ポリシー情報記憶手段)101と、
ユーザを識別するためのユーザ識別情報と、当該ユーザに割り当てられた役割を識別するための役割識別情報と、を対応付けて記憶するユーザ情報記憶部(ユーザ情報記憶手段)102と、
クライアント装置のユーザを識別するためのユーザ識別情報を含むアクセス要求を当該クライアント装置から受信するアクセス要求受信部(アクセス要求受信手段)103と、
上記記憶されているポリシー情報に含まれる役割識別情報と対応付けて記憶されているユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する上記アクセス対象装置へ送信するアクセス制御情報送信部(アクセス制御情報送信手段)104と、
上記受信されたアクセス要求の送信元を通信網にて特定するためのアドレスを表すアドレス情報を取得するアドレス情報取得部(アドレス情報取得手段)105と、
上記取得されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、上記記憶されているポリシー情報のうちの、上記受信されたアクセス要求に含まれるユーザ識別情報と対応付けて記憶されている役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する上記アクセス対象装置と上記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する通信フィルタ情報送信部(通信フィルタ情報送信手段)106と、
を備える。
これによれば、アクセス制御情報生成システム100は、ポリシー情報に基づいてアクセス制御情報を生成し、生成されたアクセス制御情報をアクセス対象装置へ送信する。これにより、アクセス対象装置は、受信したアクセス制御情報に基づいて、ユーザによるアクセス対象資源へのアクセスを許可する。
更に、アクセス制御情報生成システム100は、アクセス要求を送信してきたクライアント装置のアドレスによる通信を許可する旨を表す通信フィルタ情報を生成する。更に、アクセス制御情報生成システム100は、アクセス要求を送信してきたユーザに割り当てられた役割とポリシー情報にて対応付けられたアクセス対象資源を有するアクセス対象装置とクライアント装置との間の通信を中継する通信フィルタ装置へ通信フィルタ情報を送信する。これにより、通信フィルタ装置は、クライアント装置による通信を許可する。
この結果、アクセス対象装置によって許可されているアクセスをクライアント装置に円滑に行わせることができる。
以上、上記実施形態を参照して本願発明を説明したが、本願発明は、上述した実施形態に限定されるものではない。本願発明の構成及び詳細に、本願発明の範囲内において当業者が理解し得る様々な変更をすることができる。
なお、上記各実施形態においてアクセス制御システム1の各機能は、CPUがプログラム(ソフトウェア)を実行することにより実現されていたが、回路等のハードウェアにより実現されていてもよい。
また、上記各実施形態においてプログラムは、記憶装置に記憶されていたが、コンピュータが読み取り可能な記録媒体に記憶されていてもよい。例えば、記録媒体は、フレキシブルディスク、光ディスク、光磁気ディスク、及び、半導体メモリ等の可搬性を有する媒体である。
また、上記実施形態の他の変形例として、上述した実施形態及び変形例の任意の組み合わせが採用されてもよい。
<付記>
上記実施形態の一部又は全部は、以下の付記のように記載され得るが、以下には限られない。
(付記1)
ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶するポリシー情報記憶手段と、
ユーザを識別するためのユーザ識別情報と、当該ユーザに割り当てられた役割を識別するための役割識別情報と、を対応付けて記憶するユーザ情報記憶手段と、
クライアント装置のユーザを識別するためのユーザ識別情報を含むアクセス要求を当該クライアント装置から受信するアクセス要求受信手段と、
前記記憶されているポリシー情報に含まれる役割識別情報と対応付けて記憶されているユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置へ送信するアクセス制御情報送信手段と、
前記受信されたアクセス要求の送信元を通信網にて特定するためのアドレスを表すアドレス情報を取得するアドレス情報取得手段と、
前記取得されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、前記記憶されているポリシー情報のうちの、前記受信されたアクセス要求に含まれるユーザ識別情報と対応付けて記憶されている役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する通信フィルタ情報送信手段と、
を備えるアクセス制御情報生成システム。
これによれば、アクセス制御情報生成システムは、ポリシー情報に基づいてアクセス制御情報を生成し、生成されたアクセス制御情報をアクセス対象装置へ送信する。これにより、アクセス対象装置は、受信したアクセス制御情報に基づいて、ユーザによるアクセス対象資源へのアクセスを許可する。
更に、アクセス制御情報生成システムは、アクセス要求を送信してきたクライアント装置のアドレスによる通信を許可する旨を表す通信フィルタ情報を生成する。更に、アクセス制御情報生成システムは、アクセス要求を送信してきたユーザに割り当てられた役割とポリシー情報にて対応付けられたアクセス対象資源を有するアクセス対象装置とクライアント装置との間の通信を中継する通信フィルタ装置へ通信フィルタ情報を送信する。これにより、通信フィルタ装置は、クライアント装置による通信を許可する。
この結果、アクセス対象装置によって許可されているアクセスをクライアント装置に円滑に行わせることができる。
(付記2)
付記1に記載のアクセス制御情報生成システムであって、
前記資源グループ識別情報と、当該資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置を識別するためのアクセス対象装置識別情報と、当該資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する前記通信フィルタ装置を識別するための通信フィルタ装置識別情報と、を対応付けて記憶する資源装置対応情報記憶手段を備え、
前記アクセス制御情報送信手段は、前記資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置として、当該資源グループ識別情報と対応付けて記憶されている前記アクセス対象装置識別情報により識別される前記アクセス対象装置を用いるように構成され、
前記通信フィルタ情報送信手段は、前記資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する前記通信フィルタ装置として、当該資源グループ識別情報と対応付けて記憶されている前記通信フィルタ装置識別情報により識別される前記通信フィルタ装置を用いるように構成されたアクセス制御情報生成システム。
(付記3)
付記1又は付記2に記載のアクセス制御情報生成システムであって、
前記アクセス要求は、前記ユーザ識別情報と、前記クライアント装置のユーザにより入力されたパスワード情報と、を含み、
前記アクセス制御情報生成システムは、
前記受信されたアクセス要求に含まれる、前記ユーザ識別情報及び前記パスワード情報に基づいて、当該ユーザ識別情報により識別されるユーザが真のユーザであるか否かを判定する認証処理を実行する認証処理手段を備え、
前記通信フィルタ情報送信手段は、前記認証処理にて前記ユーザが真のユーザであると判定された場合に前記通信フィルタ情報を生成するように構成されたアクセス制御情報生成システム。
これによれば、クライアント装置のユーザが真のユーザであると判定された場合にのみ、当該クライアント装置に、アクセス対象資源へアクセスさせることができる。換言すると、クライアント装置のユーザが真のユーザでないと判定された場合には、当該クライアント装置によるアクセス対象資源へのアクセスを禁止することができる。
(付記4)
付記3に記載のアクセス制御情報生成システムであって、
前記認証処理手段は、前記認証処理にて前記ユーザが真のユーザであると判定された場合に、その旨を表す認証成功通知を前記アクセス要求を送信してきた前記クライアント装置へ送信するように構成されたアクセス制御情報生成システム。
(付記5)
付記1乃至付記4のいずれか一項に記載のアクセス制御情報生成システムであって、
前記アクセス制御情報に基づく、前記アクセス対象資源へのアクセスの制御の設定が完了した旨を表すアクセス制御設定完了通知を前記アクセス対象装置から受信した場合、当該アクセス制御設定完了通知を前記アクセス要求を送信してきた前記クライアント装置へ送信するアクセス制御設定完了通知送信手段を備えるアクセス制御情報生成システム。
これによれば、アクセス対象資源へのアクセスの制御の設定が完了したことを、クライアント装置に通知することができる。これにより、クライアント装置は、より一層円滑にアクセス対象資源へアクセスすることができる。
(付記6)
付記1乃至付記5のいずれか一項に記載のアクセス制御情報生成システムであって、
前記通信フィルタ情報に基づく、前記アクセス対象装置と前記クライアント装置との間の通信の制御の設定が完了した旨を表す通信フィルタ設定完了通知を前記通信フィルタ装置から受信した場合、当該通信フィルタ設定完了通知を前記アクセス要求を送信してきた前記クライアント装置へ送信する通信フィルタ設定完了通知送信手段を備えるアクセス制御情報生成システム。
これによれば、アクセス対象装置とクライアント装置との間の通信の制御の設定が完了したことを、クライアント装置に通知することができる。これにより、クライアント装置は、より一層円滑にアクセス対象資源へアクセスすることができる。
(付記7)
ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶するとともに、ユーザを識別するためのユーザ識別情報と、当該ユーザに割り当てられた役割を識別するための役割識別情報と、を対応付けて記憶する記憶装置に記憶されているポリシー情報に含まれる役割識別情報と対応付けて当該記憶装置に記憶されているユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置へ送信し、
クライアント装置のユーザを識別するためのユーザ識別情報を含むアクセス要求を当該クライアント装置から受信し、
前記受信されたアクセス要求の送信元を通信網にて特定するためのアドレスを表すアドレス情報を取得し、
前記取得されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、前記記憶装置に記憶されているポリシー情報のうちの、前記受信されたアクセス要求に含まれるユーザ識別情報と対応付けて当該記憶装置に記憶されている役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する、アクセス制御情報生成方法。
(付記8)
付記7に記載のアクセス制御情報生成方法であって、
前記記憶装置が、前記資源グループ識別情報と、当該資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置を識別するためのアクセス対象装置識別情報と、当該資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する前記通信フィルタ装置を識別するための通信フィルタ装置識別情報と、を対応付けて記憶し、
前記資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置として、当該資源グループ識別情報と対応付けて前記記憶装置に記憶されている前記アクセス対象装置識別情報により識別される前記アクセス対象装置を用い、
前記資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する前記通信フィルタ装置として、当該資源グループ識別情報と対応付けて前記記憶装置に記憶されている前記通信フィルタ装置識別情報により識別される前記通信フィルタ装置を用いる、アクセス制御情報生成方法。
(付記9)
ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶するポリシー情報記憶手段と、
クライアント装置のユーザを識別するためのユーザ識別情報と、当該クライアント装置を通信網にて特定するためのアドレスを表すアドレス情報と、を受信するユーザ情報受信手段と、
前記記憶されているポリシー情報に含まれる役割識別情報と対応付けられたユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置へ送信するアクセス制御情報送信手段と、
前記受信されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、前記記憶されているポリシー情報のうちの、前記受信されたユーザ識別情報と対応付けられた役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する通信フィルタ情報送信手段と、
を備えるアクセス制御情報生成装置。
(付記10)
付記9に記載のアクセス制御情報生成装置であって、
前記資源グループ識別情報と、当該資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置を識別するためのアクセス対象装置識別情報と、当該資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する前記通信フィルタ装置を識別するための通信フィルタ装置識別情報と、を対応付けて記憶する資源装置対応情報記憶手段を備え、
前記アクセス制御情報送信手段は、前記資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置として、当該資源グループ識別情報と対応付けて記憶されている前記アクセス対象装置識別情報により識別される前記アクセス対象装置を用いるように構成され、
前記通信フィルタ情報送信手段は、前記資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する前記通信フィルタ装置として、当該資源グループ識別情報と対応付けて記憶されている前記通信フィルタ装置識別情報により識別される前記通信フィルタ装置を用いるように構成されたアクセス制御情報生成装置。
(付記11)
ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶する記憶装置に記憶されているポリシー情報に含まれる役割識別情報と対応付けられたユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置へ送信し、
クライアント装置のユーザを識別するためのユーザ識別情報と、当該クライアント装置を通信網にて特定するためのアドレスを表すアドレス情報と、を受信し、
前記受信されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、前記記憶装置に記憶されているポリシー情報のうちの、前記受信されたユーザ識別情報と対応付けられた役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する、アクセス制御情報生成方法。
(付記12)
付記11に記載のアクセス制御情報生成方法であって、
前記記憶装置が、前記資源グループ識別情報と、当該資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置を識別するためのアクセス対象装置識別情報と、当該資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する前記通信フィルタ装置を識別するための通信フィルタ装置識別情報と、を対応付けて記憶し、
前記資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置として、当該資源グループ識別情報と対応付けて前記記憶装置に記憶されている前記アクセス対象装置識別情報により識別される前記アクセス対象装置を用い、
前記資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する前記通信フィルタ装置として、当該資源グループ識別情報と対応付けて前記記憶装置に記憶されている前記通信フィルタ装置識別情報により識別される前記通信フィルタ装置を用いる、アクセス制御情報生成方法。
(付記13)
情報処理装置に、
ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶する記憶装置に記憶されているポリシー情報に含まれる役割識別情報と対応付けられたユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置へ送信するアクセス制御情報送信手段と、
クライアント装置のユーザを識別するためのユーザ識別情報と、当該クライアント装置を通信網にて特定するためのアドレスを表すアドレス情報と、を受信するユーザ情報受信手段と、
前記受信されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、前記記憶装置に記憶されているポリシー情報のうちの、前記受信されたユーザ識別情報と対応付けられた役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する通信フィルタ情報送信手段と、
を実現させるためのプログラム。
(付記14)
付記13に記載のプログラムであって、
前記記憶装置が、前記資源グループ識別情報と、当該資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置を識別するためのアクセス対象装置識別情報と、当該資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する前記通信フィルタ装置を識別するための通信フィルタ装置識別情報と、を対応付けて記憶し、
前記アクセス制御情報送信手段は、前記資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置として、当該資源グループ識別情報と対応付けて前記記憶装置に記憶されている前記アクセス対象装置識別情報により識別される前記アクセス対象装置を用いるように構成され、
前記通信フィルタ情報送信手段は、前記資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する前記通信フィルタ装置として、当該資源グループ識別情報と対応付けて前記記憶装置に記憶されている前記通信フィルタ装置識別情報により識別される前記通信フィルタ装置を用いるように構成されたプログラム。
なお、本発明は、日本国にて2010年9月27日に出願された特願2010−214748の特許出願に基づく優先権主張の利益を享受するものであり、当該特許出願にて開示された内容のすべてが本明細書に含まれるものとする。
本発明は、クライアント装置からの資源へのアクセスを制御するための情報を生成するアクセス制御情報生成システム等に適用可能である。
1 アクセス制御システム
10 クライアント装置
20 認証サーバ
21 アクセス要求受信部
22 アドレス情報取得部
23 認証処理部
24 ユーザ情報送信部
25 アクセス許可通知転送部
30 ユーザ情報管理サーバ
31 ユーザ情報記憶部
40 アクセス制御情報生成サーバ
41 ポリシー情報記憶部
42 資源装置対応情報記憶部
43 アクセス制御情報送信部
44 ユーザ情報受信部
45 通信フィルタ情報送信部
46 アクセス許可通知送信部
50a,50b,… 通信フィルタ装置
60a,60b,… アクセス対象装置
100 アクセス制御情報生成システム
101 ポリシー情報記憶部
102 ユーザ情報記憶部
103 アクセス要求受信部
104 アクセス制御情報送信部
105 アドレス情報取得部
106 通信フィルタ情報送信部
NW 通信回線

Claims (10)

  1. ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶するポリシー情報記憶手段と、
    ユーザを識別するためのユーザ識別情報と、当該ユーザに割り当てられた役割を識別するための役割識別情報と、を対応付けて記憶するユーザ情報記憶手段と、
    クライアント装置のユーザを識別するためのユーザ識別情報を含むアクセス要求を当該クライアント装置から受信するアクセス要求受信手段と、
    前記記憶されているポリシー情報に含まれる役割識別情報と対応付けて記憶されているユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置へ送信するアクセス制御情報送信手段と、
    前記受信されたアクセス要求の送信元を通信網にて特定するためのアドレスを表すアドレス情報を取得するアドレス情報取得手段と、
    前記取得されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、前記記憶されているポリシー情報のうちの、前記受信されたアクセス要求に含まれるユーザ識別情報と対応付けて記憶されている役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する通信フィルタ情報送信手段と、
    を備えるアクセス制御情報生成システム。
  2. 請求項1に記載のアクセス制御情報生成システムであって、
    前記資源グループ識別情報と、当該資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置を識別するためのアクセス対象装置識別情報と、当該資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する前記通信フィルタ装置を識別するための通信フィルタ装置識別情報と、を対応付けて記憶する資源装置対応情報記憶手段を備え、
    前記アクセス制御情報送信手段は、前記資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置として、当該資源グループ識別情報と対応付けて記憶されている前記アクセス対象装置識別情報により識別される前記アクセス対象装置を用いるように構成され、
    前記通信フィルタ情報送信手段は、前記資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する前記通信フィルタ装置として、当該資源グループ識別情報と対応付けて記憶されている前記通信フィルタ装置識別情報により識別される前記通信フィルタ装置を用いるように構成されたアクセス制御情報生成システム。
  3. 請求項1又は請求項2に記載のアクセス制御情報生成システムであって、
    前記アクセス要求は、前記ユーザ識別情報と、前記クライアント装置のユーザにより入力されたパスワード情報と、を含み、
    前記アクセス制御情報生成システムは、
    前記受信されたアクセス要求に含まれる、前記ユーザ識別情報及び前記パスワード情報に基づいて、当該ユーザ識別情報により識別されるユーザが真のユーザであるか否かを判定する認証処理を実行する認証処理手段を備え、
    前記通信フィルタ情報送信手段は、前記認証処理にて前記ユーザが真のユーザであると判定された場合に前記通信フィルタ情報を生成するように構成されたアクセス制御情報生成システム。
  4. 請求項3に記載のアクセス制御情報生成システムであって、
    前記認証処理手段は、前記認証処理にて前記ユーザが真のユーザであると判定された場合に、その旨を表す認証成功通知を前記アクセス要求を送信してきた前記クライアント装置へ送信するように構成されたアクセス制御情報生成システム。
  5. 請求項1乃至請求項4のいずれか一項に記載のアクセス制御情報生成システムであって、
    前記アクセス制御情報に基づく、前記アクセス対象資源へのアクセスの制御の設定が完了した旨を表すアクセス制御設定完了通知を前記アクセス対象装置から受信した場合、当該アクセス制御設定完了通知を前記アクセス要求を送信してきた前記クライアント装置へ送信するアクセス制御設定完了通知送信手段を備えるアクセス制御情報生成システム。
  6. 請求項1乃至請求項5のいずれか一項に記載のアクセス制御情報生成システムであって、
    前記通信フィルタ情報に基づく、前記アクセス対象装置と前記クライアント装置との間の通信の制御の設定が完了した旨を表す通信フィルタ設定完了通知を前記通信フィルタ装置から受信した場合、当該通信フィルタ設定完了通知を前記アクセス要求を送信してきた前記クライアント装置へ送信する通信フィルタ設定完了通知送信手段を備えるアクセス制御情報生成システム。
  7. ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶するとともに、ユーザを識別するためのユーザ識別情報と、当該ユーザに割り当てられた役割を識別するための役割識別情報と、を対応付けて記憶する記憶装置に記憶されているポリシー情報に含まれる役割識別情報と対応付けて当該記憶装置に記憶されているユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置へ送信し、
    クライアント装置のユーザを識別するためのユーザ識別情報を含むアクセス要求を当該クライアント装置から受信し、
    前記受信されたアクセス要求の送信元を通信網にて特定するためのアドレスを表すアドレス情報を取得し、
    前記取得されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、前記記憶装置に記憶されているポリシー情報のうちの、前記受信されたアクセス要求に含まれるユーザ識別情報と対応付けて当該記憶装置に記憶されている役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する、アクセス制御情報生成方法。
  8. ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶するポリシー情報記憶手段と、
    クライアント装置のユーザを識別するためのユーザ識別情報と、当該クライアント装置を通信網にて特定するためのアドレスを表すアドレス情報と、を受信するユーザ情報受信手段と、
    前記記憶されているポリシー情報に含まれる役割識別情報と対応付けられたユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置へ送信するアクセス制御情報送信手段と、
    前記受信されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、前記記憶されているポリシー情報のうちの、前記受信されたユーザ識別情報と対応付けられた役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する通信フィルタ情報送信手段と、
    を備えるアクセス制御情報生成装置。
  9. ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶する記憶装置に記憶されているポリシー情報に含まれる役割識別情報と対応付けられたユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置へ送信し、
    クライアント装置のユーザを識別するためのユーザ識別情報と、当該クライアント装置を通信網にて特定するためのアドレスを表すアドレス情報と、を受信し、
    前記受信されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、前記記憶装置に記憶されているポリシー情報のうちの、前記受信されたユーザ識別情報と対応付けられた役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する、アクセス制御情報生成方法。
  10. 情報処理装置に、
    ユーザに割り当てられた役割を識別するための役割識別情報と、アクセス対象装置が有する、アクセスの対象となる資源であるアクセス対象資源を少なくとも1つ含む資源グループを識別するための資源グループ識別情報と、当該アクセス対象資源へのアクセスの種別を表すアクション情報と、を対応付けたポリシー情報を記憶する記憶装置に記憶されているポリシー情報に含まれる役割識別情報と対応付けられたユーザ識別情報により識別されるユーザによる、当該ポリシー情報に含まれるアクション情報が表す種別のアクセスを許可する旨を表すアクセス制御情報を生成し、当該生成されたアクセス制御情報を当該ポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置へ送信するアクセス制御情報送信手段と、
    クライアント装置のユーザを識別するためのユーザ識別情報と、当該クライアント装置を通信網にて特定するためのアドレスを表すアドレス情報と、を受信するユーザ情報受信手段と、
    前記受信されたアドレス情報が表すアドレスを送信元とする通信、及び、当該アドレスを送信先とする通信の少なくとも一方を許可する旨を表す通信フィルタ情報を生成し、当該生成された通信フィルタ情報を、前記記憶装置に記憶されているポリシー情報のうちの、前記受信されたユーザ識別情報と対応付けられた役割識別情報を含むポリシー情報に含まれる資源グループ識別情報により識別される資源グループに含まれるアクセス対象資源を有する前記アクセス対象装置と前記クライアント装置との間の通信を中継する通信フィルタ装置へ送信する通信フィルタ情報送信手段と、
    を実現させるためのプログラム。
JP2012536159A 2010-09-27 2011-08-23 アクセス制御情報生成システム Active JP5949552B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2010214748 2010-09-27
JP2010214748 2010-09-27
PCT/JP2011/004663 WO2012042734A1 (ja) 2010-09-27 2011-08-23 アクセス制御情報生成システム

Publications (2)

Publication Number Publication Date
JPWO2012042734A1 true JPWO2012042734A1 (ja) 2014-02-03
JP5949552B2 JP5949552B2 (ja) 2016-07-06

Family

ID=45892231

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012536159A Active JP5949552B2 (ja) 2010-09-27 2011-08-23 アクセス制御情報生成システム

Country Status (3)

Country Link
US (1) US9363290B2 (ja)
JP (1) JP5949552B2 (ja)
WO (1) WO2012042734A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013144423A1 (en) * 2012-03-30 2013-10-03 Nokia Corporation Identity based ticketing
US9081950B2 (en) * 2012-05-29 2015-07-14 International Business Machines Corporation Enabling host based RBAC roles for LDAP users
US20160261576A1 (en) * 2015-03-05 2016-09-08 M-Files Oy Method, an apparatus, a computer program product and a server for secure access to an information management system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004048340A (ja) * 2002-07-11 2004-02-12 Ntt Me Corp 広域コンピュータ通信ネットワークへのアクセス・接続品質制御システム
JP2004220120A (ja) * 2003-01-09 2004-08-05 Nippon Telegr & Teleph Corp <Ntt> ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体
JP2006025203A (ja) * 2004-07-08 2006-01-26 Fujitsu Ltd ネットワーク中継装置

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6167445A (en) * 1998-10-26 2000-12-26 Cisco Technology, Inc. Method and apparatus for defining and implementing high-level quality of service policies in computer networks
US7437550B2 (en) * 1999-12-02 2008-10-14 Ponoi Corp. System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
US7536715B2 (en) * 2001-05-25 2009-05-19 Secure Computing Corporation Distributed firewall system and method
US7149219B2 (en) * 2001-12-28 2006-12-12 The Directtv Group, Inc. System and method for content filtering using static source routes
US8332464B2 (en) * 2002-12-13 2012-12-11 Anxebusiness Corp. System and method for remote network access
US8347088B2 (en) * 2005-02-01 2013-01-01 Newsilike Media Group, Inc Security systems and methods for use with structured and unstructured data
US20090320088A1 (en) * 2005-05-23 2009-12-24 Jasvir Singh Gill Access enforcer
US20070143851A1 (en) * 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US20070143827A1 (en) * 2005-12-21 2007-06-21 Fiberlink Methods and systems for intelligently controlling access to computing resources
US7814311B2 (en) * 2006-03-10 2010-10-12 Cisco Technology, Inc. Role aware network security enforcement
US20080155647A1 (en) * 2006-11-28 2008-06-26 Toui Miyawaki Access control system
US8209738B2 (en) * 2007-05-31 2012-06-26 The Board Of Trustees Of The University Of Illinois Analysis of distributed policy rule-sets for compliance with global policy
US20090158302A1 (en) * 2007-12-13 2009-06-18 Fiberlink Communications Corporation Api translation for network access control (nac) agent

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004048340A (ja) * 2002-07-11 2004-02-12 Ntt Me Corp 広域コンピュータ通信ネットワークへのアクセス・接続品質制御システム
JP2004220120A (ja) * 2003-01-09 2004-08-05 Nippon Telegr & Teleph Corp <Ntt> ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体
JP2006025203A (ja) * 2004-07-08 2006-01-26 Fujitsu Ltd ネットワーク中継装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
小川 隆一 RYUICHI OGAWA: "仮想サーバ統合環境におけるアクセスポリシー管理方式 Access policy management architecture for virtua", 電子情報通信学会技術研究報告 IEICE TECHNICAL REPORT, vol. 第110巻 Vol.110, 第113号 No.113, JPN6015043912, 24 June 2010 (2010-06-24), JP, pages 93 - 100, ISSN: 0003186501 *

Also Published As

Publication number Publication date
WO2012042734A1 (ja) 2012-04-05
US9363290B2 (en) 2016-06-07
JP5949552B2 (ja) 2016-07-06
US20130174217A1 (en) 2013-07-04

Similar Documents

Publication Publication Date Title
JP5429912B2 (ja) 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラム
JP2022020946A (ja) 情報処理装置、情報処理システム、通信形式決定方法およびプログラム
JP2007188184A (ja) アクセス制御プログラム、アクセス制御方法およびアクセス制御装置
JP2012527670A (ja) データバックアップシステム
JP5949552B2 (ja) アクセス制御情報生成システム
JP5343846B2 (ja) 通信装置、通信制御方法、およびプログラム
JP2015026889A (ja) アカウント生成支援プログラム、アカウント生成支援装置、およびアカウント生成支援方法
US8276187B2 (en) Information processing system
JP4345826B2 (ja) 記憶端末
JP2004102373A (ja) アクセス管理サーバ、方法及びプログラム
JPWO2017188417A1 (ja) データ転送システム、データ転送装置、データ転送方法、及びプログラム
JP2014085995A (ja) ライセンス管理装置、ライセンス管理システム、及びライセンス管理方法
CN109560954B (zh) 设备配置方法及装置
JPWO2013042412A1 (ja) 通信システム、通信方法、及びプログラム
JP6620558B2 (ja) 情報処理装置及び情報処理プログラム
JP2007329731A (ja) 証明書更新方法、システム及びプログラム
JP6958176B2 (ja) 情報処理装置、情報処理システム、制御方法およびプログラム
JP5673294B2 (ja) 通信管理装置
WO2015123986A1 (zh) 一种数据记录的方法、系统以及接入服务器
JP6375235B2 (ja) 情報処理装置、プログラムに対するデータの引渡し方法及びプログラム
JP2006235751A (ja) 仮想ストレージ装置、仮想ストレージ方法およびプログラム
JP2005215797A (ja) 端末装置、サーバ、グループウェアシステム、グループウェア方法、および、グループウェアプログラム
JP2008123176A (ja) 履歴管理システム、情報端末装置及びコンピュータのプログラム
JP5759925B2 (ja) データ制御装置、データ制御方法、データ制御プログラム
JP5460493B2 (ja) 認証システム及び認証基盤装置及び認証プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140711

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160523

R150 Certificate of patent or registration of utility model

Ref document number: 5949552

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150