説明

端末装置及び端末装置におけるアクセス制御ポリシー取得方法

【課題】端末装置と認証サーバとの間での通信が不可能な状況でも、オフラインポリシーを取得可能とし、また、変更することできるようにする。
【解決手段】ユーザによるログイン時に、ユーザ毎のオンラインログイン時のアクセス制御ポリシーを記憶した認証サーバ103との間で通信を行うことができるか否かを判定する通信可否判定手段と、認証サーバとの間で通信を行うことができる場合に、前記認証サーバから前記オンラインログイン時のアクセス制御ポリシーを取得し、認証サーバとの間で通信を行うことができない場合に、接続されているオフラインログイン時のアクセス制御ポリシーを記録したトークンデバイス402からオフラインログイン時のアクセス制御ポリシーを取得するアクセス制御ポリシー取得手段208とを備える。トークンデバイス402内の制御ポリシーは、メールサーバ701からの受信情報により更新できる。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末装置及び端末装置におけるアクセス制御ポリシー取得方法に係り、特に、サーバ等からアクセス制御ポリシーを取得し、取得したアクセス制御ポリシーに従った処理を可能とした端末装置及び端末装置におけるアクセス制御ポリシー取得方法に関する。
【背景技術】
【0002】
一般に、端末装置(以下、クライアントマシンという)におけるアクセス制御は、企業のような情報システムを想定すると、クライアントマシンがシステムへのログイン時に認証サーバからアクセス制御ポリシーを取得し、ログイン後には認証サーバから取得したアクセス制御ポリシーが反映され、ログアウト後には、全権限が制限された状態に戻るという形式のものが中心となっている。そして、アクセス制御ポリシーによって保護されるリソースは、ドキュメント、印刷機能、外部媒体へのデータ書き出し機能、メール送受信機能等多岐にわたる。
【0003】
前述したようなシステムの中で、クライアントマシンが認証サーバと通信することができない状況での運用を考慮し、クライアントマシンがシステムへのログイン時に認証サーバからオンラインログイン時のアクセス制御ポリシーと共にオフラインログイン時のアクセス制御ポリシーも受信し、オフラインログイン時にはオフラインログイン時のアクセス制御ポリシーを反映させるという方法が、例えば、特許文献1等に記載されて知られている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−33855号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、前述した従来技術は、1度はクライアントマシンと認証サーバとが必ず通信を行うことができることを前提としており、常に、クライアントマシンを組織外に持ち出して使用するような状況の場合、アクセス制御ポリシーを取得することができず、何もできないという問題点を生じさせている。また、前述した従来技術は、オフラインログイン時のアクセス制御ポリシーであるオフラインポリシーが更新されるタイミングが、クライアントマシンが認証サーバで認証されたときのみであったため、ユーザの出張等によりクライアントマシンを組織外の遠隔地に持ち出し、クライアントマシンが組織内のネットワーク上に配置された認証サーバと通信することができないときに、例えば、一時的にデータを外部媒体へ書き出せるようにするというように、オフラインログイン時の制御ポリシーであるオフラインポリシーを変更したい状況には対応することができないという問題点を有している。
【0006】
本発明の目的は、前述したような従来技術の問題点を解決し、クライアントマシンが認証サーバとの間で通信を行うことができない状況においても、オフラインポリシーを取得することを可能とすると共に、変更できるようにして、より柔軟にアクセス制御ポリシーをクライアントマシンが取得することができるようにしたクライアントマシン(端末装置)及びクライアントマシン(端末装置)におけるアクセス制御ポリシー取得方法を提供することにある。
【課題を解決するための手段】
【0007】
本発明によれば前記目的は、アクセス制御ポリシーに従った権限に基づく処理を行うことが可能とされた端末装置において、ユーザによるログイン時に、ユーザ毎のオンラインログイン時のアクセス制御ポリシーを記憶した認証サーバとの間で通信を行うことができるか否かを判定する通信可否判定手段と、認証サーバとの間で通信を行うことができる場合に、前記認証サーバから前記オンラインログイン時のアクセス制御ポリシーを取得し、認証サーバとの間で通信を行うことができない場合に、接続されているオフラインログイン時のアクセス制御ポリシーを記録したトークンデバイスからオフラインログイン時のアクセス制御ポリシーを取得するアクセス制御ポリシー取得手段とを備えることにより達成される。
【0008】
また、前記目的は、公衆回線網を通して通信可能なメールサーバから受信した電子メールに添付されたオフラインログイン時のアクセス制御ポリシーの情報を取得するアクセス制御ポリシー情報取得手段と、取得したオフラインログイン時のアクセス制御ポリシーの情報により、前記トークンデバイスに記録されたオフラインログイン時アクセス制御ポリシーを更新する更新手段とをさらに備えることにより達成される。
【発明の効果】
【0009】
本発明によれば、認証サーバとの間で通信を行うことができない状況で使用されるクライアントマシンに対しても、最適なアクセス制御ポリシーを適用させることが可能となり、また、認証サーバとの間で通信を行うことができない状況にあるクライアントマシンに対するアクセス制御ポリシーを変更することができるため、様々な状況に対応することが可能となる。
【図面の簡単な説明】
【0010】
【図1A】本発明の一実施形態によるクライアントマシンを含んだクライアントサーバシステムの構成を示すブロックである。
【図1B】本発明の実施形態によるクライアントマシンのオンラインログイン時の処理の概要を説明する図である。
【図2】アクセス制御ポリシーDBに格納されるユーザ毎のオンラインポリシーの例を示す図である。
【図3】クライアントマシンにおけるオンラインログイン時の処理手順を説明するフローチャートである。
【図4】本発明の実施形態によるクライアントマシンのオフラインログイン時の処理の概要を説明する図である。
【図5】トークンデバイス内に格納されるオフラインポリシーの情報の例を示す図である。
【図6】クライアントマシンにおけるオフラインログイン時の処理手順を説明するフローチャートである。
【図7】本発明の実施形態によるクライアントマシンがオフラインポリシーを変更する際の処理の概要を説明する図である。
【図8】クライアントマシンにおけるオフラインポリシー情報を更新する際の処理手順を説明するフローチャートである。
【発明を実施するための形態】
【0011】
以下、本発明によるクライアントマシン及びクライアントマシンにおけるアクセス制御ポリシー取得方法の実施形態を図面により詳細に説明する。
【0012】
図1Aは本発明の一実施形態によるクライアントマシンを含んたクライアントサーバシステムの構成を示すブロックである。なお、以下の説明において、クライアントマシンが認証サーバとの間で通信を行うことが可能な状態で、ユーザがクライアントマシンにログインすることをオンラインログインと言い、クライアントマシンが認証サーバとの間で通信を行うことができない状態で、ユーザがクライアントマシンにログインすることをオフラインログインと言う。
【0013】
図1Aに示すクライアントサーバシステムは、本発明の一実施形態によるクライアントマシン101と、ネットワーク102を介して通信可能な認証サーバ103と、公衆回線網702を通して通信可能なメールサーバ701とにより構成され、さらに、クライアントマシンを使用するユーザが所持し、クライアントマシンにユーザがオフラインログインしたときに使用するオフラインポリシーを格納したUSBメモリ等によるトークンデバイス402が用意されている。
【0014】
クライアントマシン101は、よく知られているPC等の情報処理装置であり、CPU201、MM202、HDD203等の記憶装置、キーボード及びマウス等の入力装置204、ディスプレイ205、通信装置206を備えて構成されている。そして、MM202内には、プログラムにより構成されるOS207、通信監視部706、ポリシー更新部707、ポリシー取得部208がHDD203からロードされ、OS207の制御の下に、通信監視部706、ポリシー更新部707、ポリシー取得部208が以下に説明する本発明の実施形態での処理を実行する。
【0015】
また、認証サーバ103は、クライアントマシン101を使用するユーザの認証を行う機能を有する情報処理装置であり、公知の装置である。そして、認証サーバ103は、本発明の実施形態で利用するアクセス制御ポリシーデータベース(DB)104を備えている。また、メールサーバ701も、よく知られている電子メールの送受信の仲介を行う情報処理装置である。
【0016】
図1Bは本発明の実施形態によるクライアントマシンのオンラインログイン時の処理の概要を説明する図である。
【0017】
認証サーバ103は、前述したようにアクセス制御DB104を備え、このアクセス制御DB104には、複数のユーザのそれぞれのオンラインログイン時のアクセス制御ポリシーであるオンラインポリシーが保存されている。各クライアントマシン101のユーザは、通常、クライアントマシン101にログインして作業を行う場合には、認証サーバ103に対してオンラインログインを行って認証を受けた後に、認証サーバ103からオンラインポリシーを取得する。
【0018】
すなわち、クライアントマシン101は、電源が立ち上げられた後、ユーザからユーザIDとパスワードとが入力されてログインが行われると、認証サーバ103にログインし、ユーザの認証を受けた後、ポリシー取得部208が認証サーバ103から当該クライアントマシンを使用しようとしているユーザのオンラインポリシーを取得してクライアントマシン101のMM202内にオンラインポリシー105として保存する。例えば、図1に示す例の場合、クライアントマシン101からユーザ1が認証サーバ103にオンラインログインすると、認証サーバ103のアクセス制御ポリシーDB104内のユーザ1に対応するオンラインポリシー106が、ネットワーク102経由でクライアントマシン101にダウンロードされ、ユーザ1のオンラインポリシー105として保存される。これにより、クライアントマシン101を使用するユーザは、自分のオンラインポリシーに応じたアクセス制御(制限)に従って作業を行うことが可能となる。
【0019】
図2はアクセス制御ポリシーDB104に格納されるユーザ毎のオンラインポリシーの例を示す図である。
【0020】
システムの管理者は、ユーザ毎に各ユーザに適用するオンラインポリシーを設定(定義)することができ、設定の後に変更することもできる。ポリシーの内容としては、図2に示しているように、印刷の可否、メール送信の可否、外部媒体持出しの可否、ネットワークフォルダアクセスの可否等であるが、他に種々のポリシー、例えば、メール受信の可否等を設定することができる。そして、図2に示す例では、ユーザ1に対して、外部媒体持出しのみの処理を禁止するオンラインポリシーが、ユーザ2に対して全ての処理を禁止するオンラインポリシーが設定されている。
【0021】
図3はクライアントマシンにおけるオンラインログイン時の処理手順を説明するフローチャートであり、次に、これについて説明する。
【0022】
(1)いま、あるユーザが、クライアントマシン101を使用するためにクライアントマシン101に電源を投入し、ユーザIDとパスワードとを入力してログインすると、クライアントマシン101は、認証サーバ103との通信が可能か否かを判定し、認証サーバ103との接続がなく通信が不可能であると判定すると、図6に示すフローにより後述するオフラインログインの処理に移行する(ステップ300)。
【0023】
(2)ステップ300の判定で、認証サーバ103との通信が可能であった場合、クライアントマシン101は、認証サーバ103との間で認証処理を行い、認証に成功したか否かを判定する(ステップ301、302)。
【0024】
(3)クライアントマシン101は、ステップ302の判定で、認証に失敗した場合、エラー終了し、認証に成功した場合、認証サーバ103のアクセス制御ポリシーDB104から、ポリシー取得部208が当該ユーザに対応するオンラインポリシーを取得し、オンラインログイン処理が成功したとして、ユーザにオンラインポリシーに従って作業処理の実行を許可する(ステップ303〜305)。
【0025】
図4は本発明の実施形態によるクライアントマシンのオフラインログイン時の処理の概要を説明する図である。
【0026】
クライアントマシン101は、組織内のネットワーク上に配置された認証サーバ103とは通信することができない場所に移動しているものとする。このような状況にあるクライアントマシン101を使用するユーザは、クライアントマシン101にUSBメモリ等により構成されるトークンデバイス402を接続してクライアントマシン101にログイン(この場合のログインをオフラインログインという)を行う。トークンデバイス402には、予め、管理者等が認証サーバで設定したオフラインポリシーの情報404が格納されている。クライアントマシン101にトークンデバイス402が接続されたときに、クライアントマシン101は、ポリシー取得部208がトークンデバイス402に設定されているオフラインポリシーの情報404を取得し、MM202内にオフラインポリシー情報403として保存する。
【0027】
図5はトークンデバイス402内に格納されるオフラインポリシーの情報404の例を示す図である。
【0028】
管理者は、トークンデバイス402内に、前述で説明したオンラインポリシーと同様な内容を持つオフラインポリシーを設定すると共に、そのオフラインポリシーの有効期限を設定することができる。そして、クライアントマシン101にトークンデバイス402が接続されたときに、オフラインポリシーの有効期限が過ぎていた場合には、当該オフラインポリシーをクライアントマシンに保存せず、全権限が制限されることになる。また、トークンデバイス402には、組織IDが格納される。これは、クライアントマシン101に対して他の組織のトークンデバイスが接続された場合に、当該トークンデバイスに格納されたオフラインポリシーをクライアントマシンに保存しないためである。このため、クライアントマシン101にも、そのマシンを管理している組織の組織IDが格納されている。組織IDは、システム導入時に管理者が設定することができ、あるいは、システム導入時に組織IDを自動的に生成するようにしてもよい。
【0029】
前述したようなトークンデバイス402は、クライアントマシン対応に用意されていてもよく、また、ユーザ対応に用意されていてもよい。ユーザ対応に用意される場合、トークンデバイス402には、さらに、ユーザIDが格納される。これにより、トークンデバイス402を所持しているユーザ以外が、クライアントマシン101を使用することを禁止することができる。
【0030】
図6はクライアントマシンにおけるオフラインログイン時の処理手順を説明するフローチャートであり、次に、これについて説明する。
【0031】
(1)図3により説明したフローのステップ300の判定で、認証サーバ103との接続がなく通信が不可能であると判定されると、ここでの処理に移り、オフラインポリシーが格納されたトークンデバイス402が接続されているか否かを判定し、トークンデバイス402が接続されていない場合、クライアントマシン101は、オフラインポリシーの取得を行うことができず、全権限が制限される(ステップ601、602)。
【0032】
(2)ステップ601の判定で、オフラインポリシーが格納されたトークンデバイス402が接続されていた場合、トークンデバイス402内の組織IDとクライアントマシンの組織IDとが一致するか否かを判定し、一致しなかった場合、クライアントマシン101は、オフラインポリシーの取得を行うことができず、全権限が制限される(ステップ603、602)。
【0033】
(3)ステップ603の判定で、トークンデバイス402内の組織IDとクライアントマシンの組織IDとが一致していた場合、トークンデバイス402内のオフラインポリシーの有効期限が過ぎていないか否かを判定し、オフラインポリシーの有効期限が過ぎていた場合、クライアントマシン101は、オフラインポリシーの取得を行うことができず、全権限が制限される(ステップ604、602)。
【0034】
(4)ステップ604の判定で、オフラインポリシーの有効期限が過ぎていなかった場合、クライアントマシン101は、トークンデバイス402内のオフラインポリシーを取得し、オフラインログイン処理が成功したとして、ユーザにオフラインポリシーに従った作業処理の実行を許可する(ステップ605、606)。
【0035】
前述したステップ601の判定処理において、トークンデバイス402が接続されていなかった場合、直ちに、全権限を制限するのではなく、トークンデバイス402が接続されていないことをユーザに知らせて、トークンデバイス402の接続を促すようにすることができる。
【0036】
図7は本発明の実施形態によるクライアントマシンがオフラインポリシーを変更する際の処理の概要を説明する図である。
【0037】
クライアントマシン101は、組織内のネットワーク上に配置された認証サーバ103とは通信することができない場所に移動しているものとする。このような状況にあるクライアントマシン101を使用するユーザは、トークンデバイス402を接続したクライアントマシン101を、組織外から公衆回線網702を通して通信可能なメールサーバ701接続して、新たなオフラインポリシーの情報704が添付された電子メール703を受信することができる。この電子メールは、予め管理者等が認証サーバ103を使用して作成したオフラインポリシーの情報704を添付し、ユーザに対して送信したものである。なお、新たなオフラインポリシーの情報704の管理者等への要求は、移動先に居るユーザが、電話等を用いて行うこととする。
【0038】
オフラインポリシーの情報704の内容は、図5に示して説明したと同様に、オフラインポリシー、その有効期限及び組織IDを有するものである。クライアントマシン101が持つ通信監視部706は、電子メール703を受信した際に、当該電子メール703がオフラインポリシーの情報704を持つことを検知し、オフラインポリシーの情報704を取り出す。次に、ポリシー更新部707は、トークンデバイス402に格納されているオフラインポリシーの情報404を、電子メール703で受信したオフラインポリシーの情報704で置き換える。
【0039】
図8はクライアントマシンにおけるオフラインポリシー情報を更新する際の処理手順を説明するフローチャートであり、次に、これについて説明する。
【0040】
(1)クライアントマシン101は、公知の手順に従って、公衆回線網702を介してメールサーバ701にアクセスし、メールサーバ701から電子メール703を受信する(ステップ801)。
【0041】
(2)ステップ801の処理で受信した電子メール703にオフラインポリシーの情報704が添付されているか否かを判定し、電子メール703にオフラインポリシーの情報704が添付されていなかった場合、何もせずにここでの処理を終了する(ステップ802)。
【0042】
(3)ステップ802の判定で、受信した電子メール703にオフラインポリシーの情報704が添付されていた場合、その電子メールに添付されたオフラインポリシーの情報の組織IDと、クライアントマシン101の組織IDと、トークンデバイス402内に格納されている組織IDとが全て一致するか否かを判定し、一致していなかった場合、何もせずにここでの処理を終了する(ステップ803)。
【0043】
(4)ステップ803の判定で、組織IDが全て一致していた場合、電子メール703に添付されていたオフラインポリシーの情報704を取得し、トークンデバイス402に格納されているオフラインポリシー情報を、取得したオフラインポリシーの情報704で置き換えて、トークンデバイス402内のオフラインポリシー情報404を更新して、ここでの処理を終了する(ステップ804、805)。
【符号の説明】
【0044】
101 クライアントマシン(端末装置)
102 ネットワーク
103 認証サーバ
104 アクセス制御ポリシーDB
105、106 ユーザ1のオンラインポリシー
201 CPU
202 MM
203 HDD
204 入力装置
205 ディスプレイ
206 通信部
207 OS
208 ポリシー取得部
402 トークンデバイス
404 オフラインポリシー
701 メールサーバ
702 公衆回線網
703 電子メール
706 通信監視部
707 ポリシー更新部

【特許請求の範囲】
【請求項1】
アクセス制御ポリシーに従った権限に基づく処理を行うことが可能とされた端末装置において、
ユーザによるログイン時に、ユーザ毎のオンラインログイン時のアクセス制御ポリシーを記憶した認証サーバとの間で通信を行うことができるか否かを判定する通信可否判定手段と、認証サーバとの間で通信を行うことができる場合に、前記認証サーバから前記オンラインログイン時のアクセス制御ポリシーを取得し、認証サーバとの間で通信を行うことができない場合に、接続されているオフラインログイン時のアクセス制御ポリシーを記録したトークンデバイスからオフラインログイン時のアクセス制御ポリシーを取得するアクセス制御ポリシー取得手段とを備えることを特徴とする端末装置。
【請求項2】
公衆回線網を通して通信可能なメールサーバから受信した電子メールに添付されたオフラインログイン時のアクセス制御ポリシーの情報を取得するアクセス制御ポリシー情報取得手段と、取得したオフラインログイン時のアクセス制御ポリシーの情報により、前記トークンデバイスに記録されたオフラインログイン時アクセス制御ポリシーを更新する更新手段とをさらに備えることを特徴とする請求項1記載の端末装置。
【請求項3】
アクセス制御ポリシーに従った権限に基づく処理を行うことが可能とされた端末装置におけるアクセス制御ポリシーの取得方法において、
前記端末装置は、認証サーバとの通信可否判定手段と、アクセス制御ポリシー取得手段とを備え、
前記認証サーバとの通信可否判定手段は、ユーザによるログイン時に、ユーザ毎のオンラインログイン時のアクセス制御ポリシーを記憶した認証サーバとの間で通信を行うことができるか否かを判定し、
前記アクセス制御ポリシー取得手段は、認証サーバとの間で通信を行うことができる場合に、前記認証サーバから前記オンラインログイン時のアクセス制御ポリシーを取得し、認証サーバとの間で通信を行うことができない場合に、接続されているオフラインログイン時のアクセス制御ポリシーを記録したトークンデバイスからオフラインログイン時のアクセス制御ポリシーを取得することを特徴とする端末装置におけるアクセス制御ポリシーの取得方法。

【図1A】
image rotate

【図1B】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate


【公開番号】特開2011−76377(P2011−76377A)
【公開日】平成23年4月14日(2011.4.14)
【国際特許分類】
【出願番号】特願2009−227292(P2009−227292)
【出願日】平成21年9月30日(2009.9.30)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】