アクセス制御システム
【課題】ユーザ端末の位置情報に応じてその場にふさわしいアクセス管理を行うこと。
【解決手段】本発明のアクセス制御システムは、ユーザ認証を行い認証トークンを当該ユーザ端末16へ送信すると共に認証ログをユーザ端末監視サーバ2へ送信する認証サーバ1と、上記認証ログを受けて認証されたユーザ端末16の位置情報属性をポリシーサーバ3に送信するユーザ端末監視サーバ2と、この位置情報属性を受け、ディレクトリサーバ26にユーザ端末16の位置情報に基づくグループ属性の設定を実施させるポリシーサーバ3と、ユーザ端末16からの認証トークンに基づいてユーザのグループ属性をアプリケーションサーバ27に送信するディレクトリサーバ26と、を有し、上記アプリケーションサーバ27は、ユーザ端末16のグループ属性を受信すると、当該グループ属性に基づいた機能をユーザ端末16に提供する。
【解決手段】本発明のアクセス制御システムは、ユーザ認証を行い認証トークンを当該ユーザ端末16へ送信すると共に認証ログをユーザ端末監視サーバ2へ送信する認証サーバ1と、上記認証ログを受けて認証されたユーザ端末16の位置情報属性をポリシーサーバ3に送信するユーザ端末監視サーバ2と、この位置情報属性を受け、ディレクトリサーバ26にユーザ端末16の位置情報に基づくグループ属性の設定を実施させるポリシーサーバ3と、ユーザ端末16からの認証トークンに基づいてユーザのグループ属性をアプリケーションサーバ27に送信するディレクトリサーバ26と、を有し、上記アプリケーションサーバ27は、ユーザ端末16のグループ属性を受信すると、当該グループ属性に基づいた機能をユーザ端末16に提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザ端末の物理的、論理的位置情報に基づいた権限付与、アクセス管理を行うアクセス制御システムに関する。
【背景技術】
【0002】
共有ファイルサービスやWebアプリケーション、リモートアクセスVPN、IEEE802.1x dynamic VLANといったアプリケーションは、各アプリケーション毎にユーザ認証機能、ユーザ認可機能、及びアカウンティング機能を有している。しかし、これらは、アプリケーション作成の負荷が大きく、メンテナンスに多大な労力を要し、ユーザに各アプリケーション毎にログイン作業を要求する必要がある等といった問題を有している。このような従来のアプリケーションに関わる問題に鑑みて、今日では、ユーザ認証の負担軽減を図るNET Passportの如きシングルサインオンや、単なるyellowページに止まらずにユーザのアクセス権限を一括制御する機能を含むWindows(登録商標) Active DirectoryやLDAPサーバの如き統合ディレクトリに関わる技術が開発されているのが実状である。
【0003】
一方、ユビキタス環境においては、時間や場所を問わずにネットワークリソースにアクセス可能な環境が提供される。このような環境整備と並行して、今日では個人情報保護法等といった情報セキュリティに関する法整備が進められているが、利便性の追求と安全性の追求は、ある意味、トレードオフの関係にある。例えば、ユビキタス環境下では、街中の喫茶店等から社内の個人情報等にアクセスする事も可能となるが、第三者に盗み見されるリスクがあることに鑑みれば、それに対して何らかの措置を講じる必要がある。このような状況に鑑みて、今日ではユーザ端末の位置情報に応じたアクセス管理を行う技術が開発されている。そして、同技術では、ユーザのアクセス権限の管理を、上記ユーザ認可部で統一的に管理するようになってきている。
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、前述したユーザ端末の位置情報に応じたアクセス管理では、ユーザのアクセス権限は静的(static)に決定され、ユーザの位置情報に応じて動的(dynamic)に変化させることはできていないのが実状である。また、前述したLDAPサーバやActive Directoryでは、「グループ」という概念を用いてユーザのアクセス権限を制御するようになってきているが、該アクセス権限は、静的(static)に決まり、ユーザの物理的、論理的位置情報等に動的(dynamic)に対応することはできていない。つまり、ユーザの置かれた環境を想定しての権限付与、アクセス管理はなされていない。
【0005】
本発明の目的とするところは、ユーザ端末の物理的、論理的位置情報を管理し、当該情報に応じてその場にふさわしい権限を付与し、アクセス管理を行うことにある。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明の第1の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するアプリケーションサーバと、この認証トークンに基づいてユーザのグループ属性をアプリケーションサーバに送信するディレクトリサーバと、を有し、上記アプリケーションサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づいた機能をユーザ端末に提供する、ことを特徴とするアクセス制御システムが提供される。
【0007】
本発明の第2の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に対して最適なプリンタのIPアドレスを有するグループ属性の設定を実施させるポリシーサーバと、ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するプリンタサーバと、この認証トークンに基づいてユーザのグループ属性をプリンタサーバに送信するディレクトリサーバと、を有し、上記プリンタサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づきプリンタを特定する、ことを特徴とするアクセス制御システムが提供される。
【0008】
本発明の第3の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信するシングルサインオンサーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、上記ユーザ端末の所属グループを上記シングルサインオンサーバに返信するディレクトリサーバと、上記ユーザ端末に対して、アプリケーション利用トークンに基づくアクセス許可を与えるアプリケーションサーバと、を有し、上記ユーザ端末が上記シングルサインオンサーバにアプリケーション利用トークンの作成依頼を行なうと、当該シングルサインオンサーバは上記ディレクトリサーバから当該ユーザの所属グループを受け、アプリケーション利用トークンを作成し、上記ユーザ端末に配布し、当該ユーザ端末にアプリケーション利用トークンに基づくアクセス許可を与える、ことを特徴とするアクセス制御システムが提供される。
【0009】
本発明の第4の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、ユーザ端末からの上記認証トークンを受け、当該認証トークンに基づいてユーザのグループ属性をユーザ端末に返信するディレクトリサーバと、を有し、上記ユーザ端末上でアプリケーションを起動すると、アプリケーションが認証トークンを上記ディレクトリサーバに送信し、当該ディレクトリサーバは認証トークンに基づいてユーザのグループ属性をユーザ端末に送信し、ユーザ端末のアプリケーションが受信したグループ属性に基づいた機能を提供するようにする、ことを特徴とするアクセス制御システムが提供される。
【0010】
本発明の第5の態様では、上記第1乃至第4の態様において、上記認証トークンは、少なくとも認証をパスしたユーザ端末のユーザID、またはIPアドレスを含むものとするアクセス制御システムが提供される。
【0011】
本発明の第6の態様では、上記第1乃至第5の態様において、上記ポリシーサーバは、位置情報毎に静的なユーザとグループとを対応付けたテーブルを保持しており、上記ディレクトリサーバは、ユーザ位置情報を元に動的なユーザとグループとを対応付けたテーブルを保持している、ことを更に特徴とするアクセス制御システムが提供される。
【0012】
本発明の第7の態様では、上記第6の態様において、上記ディレクトリサーバは、上記テーブルのユーザの所属グループを動的に変更することを更に特徴とするアクセス制御システムが提供される。
【発明の効果】
【0013】
本発明によれば、ユーザ端末の物理的、論理的位置情報を管理し、当該情報に応じてその場にふさわしい権限を付与し、アクセス管理を行う通信制御装置及びアクセス制御システムを提供することができる。
【発明を実施するための最良の形態】
【0014】
以下、添付図面を参照して、本発明の実施の形態について説明する。
【0015】
図1には本発明の一実施の形態に係るアクセス制御システムの構成を示し説明する。
【0016】
同図に示されるように、このアクセス制御システムは、例えばIEEE802.1x対応のRadius(Remote authentication dial-in user service)サーバ等の認証サーバ1とユーザ端末監視サーバ2、ポリシーサーバ3、DHCPサーバ4、ファイルサーバ等ユーザ認証を使うサーバ(以下、アプリケーションサーバと称する)5、VPN終端装置6、ディレクトリサーバ26が企業のイントラネット7内に配設されており、このイントラネット7内の各サーバは、例えばIEEE802.1x対応のアクセススイッチ9a,9bを介して本社の各ユーザ端末10a乃至10c(以下、符号10で総称する)に接続され、アクセススイッチ11を介して支社のユーザ端末12a,12b(以下、符号12で総称する)に接続されている。ユーザ端末16は自宅内、ユーザ端末17は外出先、ユーザ端末14a,14b(以下、符号14で総称する)は公衆SOHOスポットから、公衆網8及びVPN終端装置6を介して、イントラネット7側にアクセス可能に接続されている。公衆SOHOスポットからアクセスする場合には、アクセススイッチ13を介してアクセスすることになるが、認証プロキシサーバ15による認証を経なければならない。
【0017】
このような構成において、認証サーバ1は、リモートアクセスしたユーザ端末14,16,17を認証する。あるいは、アクセスしてきたユーザ端末10,12によるアクセススイッチ9,11のポートの利用許可/不許可の決定を行う。そして、VLAN番号の割り当てやIPアドレスの割り当て、その他様々な情報をユーザ端末6に適宜割り当てる。
【0018】
ユーザ端末監視サーバ2は、認証サーバ1のログ及びIEEE802.1x対応のアクセススイッチ9,11からSNMP(Simple Network Management Protocol)を介して得たポート情報、ユーザ端末10,12等からSNMPやTelnetを介して得たユーザ端末情報に応じて、テーブルを作成する。また、このユーザ端末監視サーバ2は、ユーザ端末のVLANを動的に制御するためのAPI(Application Programming Interface)を有している。
【0019】
ユーザ端末監視サーバ2は、図3乃至5に示されるようなユーザ端末情報テーブルを有する。即ち、図3のアクセススイッチ位置情報テーブルでは、アクセススイッチ9,11の配設されている住所、フロア、ルームナンバ、エリアIDが関連付けられている。図4のユーザ端末情報テーブルは、ユーザIDとユーザ端末の端末IDとネットワークID(IPアドレス)、VLANID、アクセススイッチ9,11のIDとポートID、アクセス形態が対応付けられている。さらに、図5のユーザ端末情報テーブルでは、ユーザIDと端末ID(MACアドレス)、ユーザ端末6のネットワークID(IPアドレス)、VLANID、アクセススイッチ5のIPアドレス、アクセススイッチ5のポートID、アクセス形態、アクセスの開始時刻、アクセス終了時刻、入退室情報、入室時間、退室時間、入退館情報、入室時間、退室時間が対応付けられて蓄積されている。
【0020】
アプリケーションサーバ5は、例えばウィルスに感染したユーザ端末9,11やセキュリティ対策状況が不十分なユーザ端末9,11に対して、APIを介して当該ユーザ端末9,11の所属VLANを変更する。ポリシーサーバ3は、ユーザ端末10,12,14,16,17の物理的な位置の情報に基づいて所定のポリシーを決定する。ポリシーには、ファイルアクセスを決定する為のアクセスリスト、閲覧可能性を決定する為のアクセスリスト、ユーザのコンフィグレーション情報等といった種々のものが含まれる。ディレクトリサーバ26は、ユーザのアクセス権限を一括管理している。
【0021】
本システムでは、上記アクセススイッチ位置情報テーブルやユーザ端末情報テーブルを参照して、ユーザ端末6の物理的な位置を特定する。そして、このような論理的な情報(どのVLANに属するのか等)、物理的位置情報(どのフロアにいるのか等)に基づいてアクセス管理を行う点は、この実施の形態の特徴点の一つである。
【0022】
ここで、ユーザ端末監視サーバ2によるデータ収集方法について説明する。
【0023】
先ず、本社や支社からの接続の場合には、ユーザ端末監視サーバ2は、802.1x認証の認証ログ、及びアカウントログを認証サーバ1から受信するか、DHCPサーバ4のログを受信するか、アクセススイッチ9,11、不図示の無線アクセスポイントからはセッションの状態をSNMP等を介して受信するか、の方法によりデータを収集する。
【0024】
一方、自宅や外出先からの接続(ユーザ端末16,17)の場合には、ユーザ端末監視サーバ2は、リモートアクセスの認証ログ、及びアカウントログをVPN終端装置6から受信するか、リモートアクセスのユーザ端末16,17に割り当てたIPアドレスをVPN終端装置6もしくはDHCPサーバ4から受信するか、リモートアクセスのセッションの状態をVPN終端装置6から受信するか、の方法によりデータを収集する。
【0025】
また、公衆SOHOスポット(SOHOスペースをレンタルしている会社)からの接続の場合には、ユーザ端末監視サーバ2は、SOHOスペースのネットワーク利用許可を802.1x等を用いて取得し、認証は認証プロキシを介して、イントラネット7上の認証サーバ1を用いる。例えば、A社社員であれば、A社の認証サーバ1を用いる。そして、ネットワーク接続後、リモートアクセスのセッションを構築する。
【0026】
図2に示す例では、入退館・入退室管理サーバ18を備えており、更にビルディングXに入退室管理端末23が配置されると共に、各フロアの各部屋に入退室管理端末24,25…が配置されており、社員等の入退館、入退室が管理されている。
【0027】
以下、図6を参照して、本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が、動的にユーザのアクセス権限を管理する処理の流れを詳細に説明する。先ず、ユーザ端末16は、ユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)を認証サーバ1に要求する(ステップS1)。この要求を受けると、認証サーバ1は、認証トークンをユーザ端末へ送信することになる(ステップS2)。この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。
【0028】
続いて、認証サーバ1は認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS3)。ユーザ端末監視サーバ2は、NAS ID等と物理的位置情報を対応つけて管理している。そこで、これを受けると、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS4)。
【0029】
この位置情報属性を受けると、ポリシーサーバ3は、ディレクトリサーバ26にユーザ位置情報に基づくグループ属性の設定を実施させる(ステップS5)。続いて、ユーザ端末16がアプリケーションサーバ27にアクセスするが、これと同時に認証トークンを送信する(ステップS6)。これを受けると、アプリケーションサーバ27が認証トークンをディレクトリサーバ26に送信し(ステップS7)、ディレクトリサーバ26は、この認証トークンに基づいてユーザのグループ属性をアプリケーションサーバ27に送信する(ステップS8)。これを受信すると、アプリケーションサーバ27は、このグループ属性に基づいた機能をユーザ端末16に提供することになる(ステップS9)。
【0030】
以下、図7を参照して、本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が、ユーザ位置情報に応じて適切なプリンタ30を指定する処理の流れを詳細に説明する。
【0031】
先ず、ユーザ端末16は、ユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)を認証サーバ1に要求する(ステップS201)。この要求を受けると、認証サーバ1は、認証トークンをユーザ端末16へ送信することになる(ステップS202)。尚、この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。
【0032】
続いて、認証サーバ1は認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS203)。ユーザ端末監視サーバ2は、NAS ID等と物理的位置情報を対応つけて管理している。そこで、これを受けると、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS204)。
【0033】
この位置情報属性を受けると、ポリシーサーバ3は、ディレクトリサーバ26にユーザ位置情報に対して最適なプリンタ30のIPアドレスを持つグループ属性の設定を実施させる(ステップS205)。続いて、ユーザ端末16がプリンタサーバ31にアクセスするが、これと同時に認証トークンを送信する(ステップS206)。これを受けると、プリンタサーバ31が認証トークンをディレクトリサーバ26に送信し(ステップS207)、ディレクトリサーバ26は、この認証トークンに基づいてユーザのグループ属性をプリンタサーバ31に送信する(ステップS8)。プリンタサーバ31は、受信したグループ属性(プリンタのIPアドレス等)に基づきプリンタ30を特定し、情報を送信し(ステップS209)、ユーザ端末16には特定されたプリンタを通知する(ステップS210)。
【0034】
次に、図8を参照して、本発明の一実施の形態に係るアクセス制御システムにより、その認証サーバ1に代わるシングルサインオンサーバ28が、動的にユーザのアクセス権限を管理する処理の流れを詳細に説明する。ユーザ端末16は、ユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)をシングルサインオンサーバ28に要求する(ステップS11)。この要求を受けると、シングルサインオンサーバ28は認証トークンをユーザ端末16へ送信する(ステップS12)。この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。続いて、シングルサインオンサーバ28は、認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS13)。すると、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS14)。この位置情報属性を受けると、ポリシーサーバ3はディレクトリサーバ26にユーザ位置情報に基づくグループ属性の設定を実施する(ステップS15)。
【0035】
ユーザ端末16がシングルサインオンサーバ28にアプリケーション利用トークンの作成依頼を行なうと(ステップS16)、シングルサインオンサーバ28はディレクトリサーバ26にユーザの所属グループ情報を要求する(ステップS17)。ディレクトリサーバ26は、この要求を受けると、当該ユーザの所属グループをシングルサインオンサーバ28に返信する(ステップS18)。すると、シングルサインオンサーバ28が、アプリケーション利用トークンを作成し、ユーザ端末16に配布する(ステップS19)。このアプリケーション利用トークンを受けると、ユーザ端末16は、アプリケーションサーバ27に当該アプリケーション利用トークンを送信する(ステップS20)。アプリケーションサーバ27は、この利用トークンを認証し、利用トークンに基づくアクセス許可をユーザ端末16に与える(ステップS21)。
【0036】
次に、図9を参照して、本発明の一実施の形態に係るアクセス制御システムにより、ユーザ端末のアプリケーションが動的にユーザのアクセス権限を管理する処理の流れを詳細に説明する。ユーザ端末16は、認証サーバ1にユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)を要求する(ステップS31)。この要求を受けると認証サーバ1は認証トークンをユーザ端末16へ送信する(ステップS32)。この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。
【0037】
認証サーバ1は、認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS33)。これを受け、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS34)。この位置情報属性を受けて、ポリシーサーバ3は、ディレクトリサーバ26にユーザ位置情報に基づくグループ属性の設定を実施させる(ステップS35)。この後、ユーザ端末上でアプリケーションを起動すると(ステップS36)、アプリケーションが認証トークンをディレクトリサーバ26に送信し(ステップS37)、ディレクトリサーバ26は認証トークンに基づいてユーザのグループ属性をユーザ端末16に送信し(ステップS38)、アプリケーションは受信したグループ属性に基づいた機能を提供する(ステップS39)。
【0038】
次に図10を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるポリシーサーバ3とディレクトリサーバ26との関係を詳細に説明する。
【0039】
ポリシーサーバ3は、位置情報毎に静的(static)なユーザとグループとを対応付けたテーブルを保持している。一方、ディレクトリサーバ26は、ユーザ位置情報を元に動的(dynamic)なユーザとグループとを対応付けたテーブルを保持している。ユーザ端末監視サーバ2からUser IDと位置情報(Position ID)がポリシーサーバ3に通知されると(ステップS41)、ポリシーサーバ3は、このユーザ端末監視サーバ2から通知されたUser IDの所属すべきグループをディレクトリサーバ26に通知する(ステップS42)。次に図11を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるポリシーサーバ3とディレクトリサーバ26との関係(特にトリガによりユーザの位置が変更される場合)を詳細に説明する。先に示した図10と異なるのは、ユーザ端末監視サーバ2からUser IDと位置情報(Position ID)がポリシーサーバ3に通知されると(ステップS51)、ポリシーサーバ3は、このユーザ端末監視サーバ2から通知されたUser IDの所属すべきグループをディレクトリサーバ26に通知し(ステップS52)、ディレクトリサーバ上で所属グループの変更が行なわれる点である。この例では、UserAの所属グループがPositionXからPositionYへと動的に変更されている。
【0040】
次に図12を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をファイルサーバのアクセス管理に用いる場合)を詳細に説明する。ユーザ端末16が、ファイルサーバ5にUser IDを含んだ認証トークンを送信すると(ステップS61)、ファイルサーバ5は認証トークンを確認し、そのUser IDをキーとして当該ユーザが所属している所属グループ情報をディレクトリサーバ26に問い合わせる(ステップS62)。この問い合わせを受けると、ディレクトリサーバ26は所属グループ情報をファイルサーバ5に返信する(ステップS63)。ファイルサーバ5は所属グループ情報に基づき、ユーザ端末16がアクセス可能な状態を当該ユーザ端末16に返信する(ステップS64)。尚、認証トークンの確認は、ファイルサーバ5が実施してもディレクトリサーバ26が実施してもよい。ファイルサーバの保持しているテーブル中に示したRWCPrSは、Read可能、Write可能、Copy可能、Print可能、Save可能といったファイルシステム特有の権限を意味している。例えば、RWのみの場合は、Read可能、及びWrite可能、Copy不可、Print不可、Save不可を表す。ファイルサーバ5は、ディレクトリ毎、もしくはファイル毎に上記権限管理を行うこととしている。
【0041】
次に図13を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMサーバに用いる場合)を詳細に説明する。
【0042】
ユーザ端末16が、DRMサーバ29にあるファイルのダウンロードをUser IDを含んだ認証トークンを送信することで要求すると(ステップS71)、DRMサーバ29は認証トークンを確認し、そのUser IDより当該ユーザが所属している所属グループ情報をディレクトリサーバ26に問い合わせる(ステップS72)。ディレクトリサーバ26は、所属グループ情報をDRMサーバ29に返信する(ステップS73)。DRMサーバ29はユーザがそのファイルにアクセス可能な場合、ファイルサーバ5にリクエストを行なう(ステップS74)。このリクエストを受けると、ファイルサーバ5は該当するファイルをDRMサーバ29に送信する(ステップS75)。DRMサーバ29は、このファイルをユーザが許可された権限を実行可能なように設定する。より具体的には、権限に応じてファイルをラップする(ステップS76)。こうして、DRMサーバ29は、ユーザ端末16に権限管理を付与されたファイルを返信する(ステップS77)。
【0043】
次に図14を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を詳細に説明する。ユーザ端末16がファイルサーバ5に対してファイル取得要求を出すと(ステップS81)、ファイルサーバ5は該当するファイルのラップをDRMサーバ29に依頼する(ステップS82)。DRMサーバ29は、この依頼を受けると、PWCPrSといった権限に応じてファイルをラップし(ステップS83)、ラップしたファイルをファイルサーバ5に返信する(ステップS84)。ファイルサーバ5は、このラップされたファイルをユーザ端末16に返信し、ユーザ端末16はラップされたファイルを取得することになる(ステップS85)。ユーザ端末16では、このファイルを使用するアプリケーションを起動し(ステップS86)、当該アプリケーションがユーザ端末監視サーバ2に位置情報の問い合わせを行なう(ステップS87)。
【0044】
ユーザ端末監視サーバ2は、この問い合わせを受けると、位置情報をユーザ端末16に返信する(ステップS88)。こうして、ユーザ端末のアプリケーションは位置情報に応じたポリシーを選択し、ファイルの利用を開始することになる(ステップS89)。ユーザ端末16は、図15,16の如きテーブルを保持している。そして、ユーザ端末16のアプリケーションは、図16のテーブルを参照して位置情報に基づいて定義される自己の所属するグループを把握し、図15のテーブルを参照して当該グループに与えられた権限を把握することになる。
【0045】
次に図17を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を詳細に説明する。ユーザ端末16がファイルサーバ5に対してファイル取得要求を出すと(ステップS101)、ファイルサーバ5は該当するファイルのラップをDRMサーバ29に依頼する(ステップS102)。DRMサーバ29は、この依頼を受けると、PWCPrSといった権限に応じてファイルをラップし(ステップS103)、ラップしたファイルをファイルサーバ5に返信する(ステップS104)。
【0046】
ファイルサーバ5は、このラップされたファイルをユーザ端末16に返信し、ユーザ端末16はラップされたファイルを取得することになる(ステップS105)。ユーザ端末16では、このファイルを使用するアプリケーションを起動し(ステップS106)、DRMサーバ29に対してポリシー作成依頼を行う(ステップS107)。このポリシー作成依頼を受けると、DRMサーバ29は、ポリシー作成後、ユーザ端末16に返信する(ステップS108)。こうして、ユーザ端末16はDRMサーバ29で動的に作成されたポリシーを使用し、ファイルの利用を開始する(ステップS109)。
【0047】
以上、本発明の実施の形態について説明したが、本発明はこれに限定されることなくその趣旨を逸脱しない範囲で種々の改良・変更が可能である。
【0048】
例えば、先に示した図2のように入退室・入退館情報を使用しない場合においても、物理位置情報を利用して、フリーアドレスの空間において位置情報に応じたアクセス権限の分割を行うことも可能である。この場合においては、例えば、多数の人が出入りするスペースであるため機密性の高い業務が制限されるべきエリア、個別仕切られたスペースであるためある程度の機密性が保たれており機密性の高い業務を認めてもよいエリア、等といった具合に空間をエリアでセグメント化し、各エリアの物理位置情報に基づいてアクセス権限を区分けする事も可能となる。
【図面の簡単な説明】
【0049】
【図1】本発明の一実施の形態に係るアクセス制御システムの構成を示す図である。
【図2】本発明の一実施の形態に係るアクセス制御システムの改良例の構成を示す図である。
【図3】アクセススイッチ位置情報テーブルの一例を示す図である。
【図4】ユーザ端末情報テーブルの一例を示す図である。
【図5】ユーザ端末情報テーブルの一例を示す図である。
【図6】本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が動的にユーザのアクセス権限を管理する処理の流れ示す図である。
【図7】本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が、ユーザ位置情報に応じて適切なプリンタ30を指定する処理の流れを詳細に説明するフローチャートである。
【図8】本発明の一実施の形態に係るアクセス制御システムにより、その認証サーバ1に代わるシングルサインオンサーバ28が動的にユーザのアクセス権限を管理する処理の流れを示す図である。
【図9】本発明の一実施の形態に係るアクセス制御システムにより、ユーザ端末のアプリケーションが動的にユーザのアクセス権限を管理する処理の流れを示す図である。
【図10】本発明の一実施の形態に係るアクセス制御システムにおけるポリシーサーバ3とディレクトリサーバ26との関係を詳細に説明する図である。
【図11】本発明の一実施の形態に係るアクセス制御システムにおける、ポリシーサーバ3とディレクトリサーバ26との関係を詳細に示す図である。
【図12】本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をファイルサーバのアクセス管理に用いる場合)を示す図である。
【図13】本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMサーバに用いる場合)を示す図である。
【図14】本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を示す図である。
【図15】ユーザ端末16の保持するテーブルを示す図である。
【図16】ユーザ端末16の保持するテーブルを示す図である。
【図17】本発明の一実施の形態に係るアクセス制御システムにおける、アプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を示す図である。
【符号の説明】
【0050】
1…認証サーバ、2…ユーザ端末監視サーバ、3…ポリシーサーバ、4…DHCPサーバ、5…アプリケーションサーバ、6…VPN終端装置、7…イントラネット、8…公衆網、9…アクセススイッチ、10…ユーザ端末、11…アクセススイッチ、12…ユーザ端末、13…アクセススイッチ、14…ユーザ端末、15…認証プロキシサーバ、16…ユーザ端末、17…ユーザ端末、18…入退館・入退室管理サーバ、19…アクセススイッチ、20…ユーザ端末、21…アクセススイッチ、22…ユーザ端末、23…入退館管理端末、24…入退室管理端末、25…入退室管理端末、26…ディレクトリサーバ、27…アプリケーションサーバ、28…シングルサインオンサーバ、29…DRMサーバ、30…プリンタ、31…プリンタサーバ。
【技術分野】
【0001】
本発明は、ユーザ端末の物理的、論理的位置情報に基づいた権限付与、アクセス管理を行うアクセス制御システムに関する。
【背景技術】
【0002】
共有ファイルサービスやWebアプリケーション、リモートアクセスVPN、IEEE802.1x dynamic VLANといったアプリケーションは、各アプリケーション毎にユーザ認証機能、ユーザ認可機能、及びアカウンティング機能を有している。しかし、これらは、アプリケーション作成の負荷が大きく、メンテナンスに多大な労力を要し、ユーザに各アプリケーション毎にログイン作業を要求する必要がある等といった問題を有している。このような従来のアプリケーションに関わる問題に鑑みて、今日では、ユーザ認証の負担軽減を図るNET Passportの如きシングルサインオンや、単なるyellowページに止まらずにユーザのアクセス権限を一括制御する機能を含むWindows(登録商標) Active DirectoryやLDAPサーバの如き統合ディレクトリに関わる技術が開発されているのが実状である。
【0003】
一方、ユビキタス環境においては、時間や場所を問わずにネットワークリソースにアクセス可能な環境が提供される。このような環境整備と並行して、今日では個人情報保護法等といった情報セキュリティに関する法整備が進められているが、利便性の追求と安全性の追求は、ある意味、トレードオフの関係にある。例えば、ユビキタス環境下では、街中の喫茶店等から社内の個人情報等にアクセスする事も可能となるが、第三者に盗み見されるリスクがあることに鑑みれば、それに対して何らかの措置を講じる必要がある。このような状況に鑑みて、今日ではユーザ端末の位置情報に応じたアクセス管理を行う技術が開発されている。そして、同技術では、ユーザのアクセス権限の管理を、上記ユーザ認可部で統一的に管理するようになってきている。
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、前述したユーザ端末の位置情報に応じたアクセス管理では、ユーザのアクセス権限は静的(static)に決定され、ユーザの位置情報に応じて動的(dynamic)に変化させることはできていないのが実状である。また、前述したLDAPサーバやActive Directoryでは、「グループ」という概念を用いてユーザのアクセス権限を制御するようになってきているが、該アクセス権限は、静的(static)に決まり、ユーザの物理的、論理的位置情報等に動的(dynamic)に対応することはできていない。つまり、ユーザの置かれた環境を想定しての権限付与、アクセス管理はなされていない。
【0005】
本発明の目的とするところは、ユーザ端末の物理的、論理的位置情報を管理し、当該情報に応じてその場にふさわしい権限を付与し、アクセス管理を行うことにある。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明の第1の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するアプリケーションサーバと、この認証トークンに基づいてユーザのグループ属性をアプリケーションサーバに送信するディレクトリサーバと、を有し、上記アプリケーションサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づいた機能をユーザ端末に提供する、ことを特徴とするアクセス制御システムが提供される。
【0007】
本発明の第2の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に対して最適なプリンタのIPアドレスを有するグループ属性の設定を実施させるポリシーサーバと、ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するプリンタサーバと、この認証トークンに基づいてユーザのグループ属性をプリンタサーバに送信するディレクトリサーバと、を有し、上記プリンタサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づきプリンタを特定する、ことを特徴とするアクセス制御システムが提供される。
【0008】
本発明の第3の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信するシングルサインオンサーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、上記ユーザ端末の所属グループを上記シングルサインオンサーバに返信するディレクトリサーバと、上記ユーザ端末に対して、アプリケーション利用トークンに基づくアクセス許可を与えるアプリケーションサーバと、を有し、上記ユーザ端末が上記シングルサインオンサーバにアプリケーション利用トークンの作成依頼を行なうと、当該シングルサインオンサーバは上記ディレクトリサーバから当該ユーザの所属グループを受け、アプリケーション利用トークンを作成し、上記ユーザ端末に配布し、当該ユーザ端末にアプリケーション利用トークンに基づくアクセス許可を与える、ことを特徴とするアクセス制御システムが提供される。
【0009】
本発明の第4の態様では、ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、ユーザ端末からの上記認証トークンを受け、当該認証トークンに基づいてユーザのグループ属性をユーザ端末に返信するディレクトリサーバと、を有し、上記ユーザ端末上でアプリケーションを起動すると、アプリケーションが認証トークンを上記ディレクトリサーバに送信し、当該ディレクトリサーバは認証トークンに基づいてユーザのグループ属性をユーザ端末に送信し、ユーザ端末のアプリケーションが受信したグループ属性に基づいた機能を提供するようにする、ことを特徴とするアクセス制御システムが提供される。
【0010】
本発明の第5の態様では、上記第1乃至第4の態様において、上記認証トークンは、少なくとも認証をパスしたユーザ端末のユーザID、またはIPアドレスを含むものとするアクセス制御システムが提供される。
【0011】
本発明の第6の態様では、上記第1乃至第5の態様において、上記ポリシーサーバは、位置情報毎に静的なユーザとグループとを対応付けたテーブルを保持しており、上記ディレクトリサーバは、ユーザ位置情報を元に動的なユーザとグループとを対応付けたテーブルを保持している、ことを更に特徴とするアクセス制御システムが提供される。
【0012】
本発明の第7の態様では、上記第6の態様において、上記ディレクトリサーバは、上記テーブルのユーザの所属グループを動的に変更することを更に特徴とするアクセス制御システムが提供される。
【発明の効果】
【0013】
本発明によれば、ユーザ端末の物理的、論理的位置情報を管理し、当該情報に応じてその場にふさわしい権限を付与し、アクセス管理を行う通信制御装置及びアクセス制御システムを提供することができる。
【発明を実施するための最良の形態】
【0014】
以下、添付図面を参照して、本発明の実施の形態について説明する。
【0015】
図1には本発明の一実施の形態に係るアクセス制御システムの構成を示し説明する。
【0016】
同図に示されるように、このアクセス制御システムは、例えばIEEE802.1x対応のRadius(Remote authentication dial-in user service)サーバ等の認証サーバ1とユーザ端末監視サーバ2、ポリシーサーバ3、DHCPサーバ4、ファイルサーバ等ユーザ認証を使うサーバ(以下、アプリケーションサーバと称する)5、VPN終端装置6、ディレクトリサーバ26が企業のイントラネット7内に配設されており、このイントラネット7内の各サーバは、例えばIEEE802.1x対応のアクセススイッチ9a,9bを介して本社の各ユーザ端末10a乃至10c(以下、符号10で総称する)に接続され、アクセススイッチ11を介して支社のユーザ端末12a,12b(以下、符号12で総称する)に接続されている。ユーザ端末16は自宅内、ユーザ端末17は外出先、ユーザ端末14a,14b(以下、符号14で総称する)は公衆SOHOスポットから、公衆網8及びVPN終端装置6を介して、イントラネット7側にアクセス可能に接続されている。公衆SOHOスポットからアクセスする場合には、アクセススイッチ13を介してアクセスすることになるが、認証プロキシサーバ15による認証を経なければならない。
【0017】
このような構成において、認証サーバ1は、リモートアクセスしたユーザ端末14,16,17を認証する。あるいは、アクセスしてきたユーザ端末10,12によるアクセススイッチ9,11のポートの利用許可/不許可の決定を行う。そして、VLAN番号の割り当てやIPアドレスの割り当て、その他様々な情報をユーザ端末6に適宜割り当てる。
【0018】
ユーザ端末監視サーバ2は、認証サーバ1のログ及びIEEE802.1x対応のアクセススイッチ9,11からSNMP(Simple Network Management Protocol)を介して得たポート情報、ユーザ端末10,12等からSNMPやTelnetを介して得たユーザ端末情報に応じて、テーブルを作成する。また、このユーザ端末監視サーバ2は、ユーザ端末のVLANを動的に制御するためのAPI(Application Programming Interface)を有している。
【0019】
ユーザ端末監視サーバ2は、図3乃至5に示されるようなユーザ端末情報テーブルを有する。即ち、図3のアクセススイッチ位置情報テーブルでは、アクセススイッチ9,11の配設されている住所、フロア、ルームナンバ、エリアIDが関連付けられている。図4のユーザ端末情報テーブルは、ユーザIDとユーザ端末の端末IDとネットワークID(IPアドレス)、VLANID、アクセススイッチ9,11のIDとポートID、アクセス形態が対応付けられている。さらに、図5のユーザ端末情報テーブルでは、ユーザIDと端末ID(MACアドレス)、ユーザ端末6のネットワークID(IPアドレス)、VLANID、アクセススイッチ5のIPアドレス、アクセススイッチ5のポートID、アクセス形態、アクセスの開始時刻、アクセス終了時刻、入退室情報、入室時間、退室時間、入退館情報、入室時間、退室時間が対応付けられて蓄積されている。
【0020】
アプリケーションサーバ5は、例えばウィルスに感染したユーザ端末9,11やセキュリティ対策状況が不十分なユーザ端末9,11に対して、APIを介して当該ユーザ端末9,11の所属VLANを変更する。ポリシーサーバ3は、ユーザ端末10,12,14,16,17の物理的な位置の情報に基づいて所定のポリシーを決定する。ポリシーには、ファイルアクセスを決定する為のアクセスリスト、閲覧可能性を決定する為のアクセスリスト、ユーザのコンフィグレーション情報等といった種々のものが含まれる。ディレクトリサーバ26は、ユーザのアクセス権限を一括管理している。
【0021】
本システムでは、上記アクセススイッチ位置情報テーブルやユーザ端末情報テーブルを参照して、ユーザ端末6の物理的な位置を特定する。そして、このような論理的な情報(どのVLANに属するのか等)、物理的位置情報(どのフロアにいるのか等)に基づいてアクセス管理を行う点は、この実施の形態の特徴点の一つである。
【0022】
ここで、ユーザ端末監視サーバ2によるデータ収集方法について説明する。
【0023】
先ず、本社や支社からの接続の場合には、ユーザ端末監視サーバ2は、802.1x認証の認証ログ、及びアカウントログを認証サーバ1から受信するか、DHCPサーバ4のログを受信するか、アクセススイッチ9,11、不図示の無線アクセスポイントからはセッションの状態をSNMP等を介して受信するか、の方法によりデータを収集する。
【0024】
一方、自宅や外出先からの接続(ユーザ端末16,17)の場合には、ユーザ端末監視サーバ2は、リモートアクセスの認証ログ、及びアカウントログをVPN終端装置6から受信するか、リモートアクセスのユーザ端末16,17に割り当てたIPアドレスをVPN終端装置6もしくはDHCPサーバ4から受信するか、リモートアクセスのセッションの状態をVPN終端装置6から受信するか、の方法によりデータを収集する。
【0025】
また、公衆SOHOスポット(SOHOスペースをレンタルしている会社)からの接続の場合には、ユーザ端末監視サーバ2は、SOHOスペースのネットワーク利用許可を802.1x等を用いて取得し、認証は認証プロキシを介して、イントラネット7上の認証サーバ1を用いる。例えば、A社社員であれば、A社の認証サーバ1を用いる。そして、ネットワーク接続後、リモートアクセスのセッションを構築する。
【0026】
図2に示す例では、入退館・入退室管理サーバ18を備えており、更にビルディングXに入退室管理端末23が配置されると共に、各フロアの各部屋に入退室管理端末24,25…が配置されており、社員等の入退館、入退室が管理されている。
【0027】
以下、図6を参照して、本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が、動的にユーザのアクセス権限を管理する処理の流れを詳細に説明する。先ず、ユーザ端末16は、ユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)を認証サーバ1に要求する(ステップS1)。この要求を受けると、認証サーバ1は、認証トークンをユーザ端末へ送信することになる(ステップS2)。この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。
【0028】
続いて、認証サーバ1は認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS3)。ユーザ端末監視サーバ2は、NAS ID等と物理的位置情報を対応つけて管理している。そこで、これを受けると、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS4)。
【0029】
この位置情報属性を受けると、ポリシーサーバ3は、ディレクトリサーバ26にユーザ位置情報に基づくグループ属性の設定を実施させる(ステップS5)。続いて、ユーザ端末16がアプリケーションサーバ27にアクセスするが、これと同時に認証トークンを送信する(ステップS6)。これを受けると、アプリケーションサーバ27が認証トークンをディレクトリサーバ26に送信し(ステップS7)、ディレクトリサーバ26は、この認証トークンに基づいてユーザのグループ属性をアプリケーションサーバ27に送信する(ステップS8)。これを受信すると、アプリケーションサーバ27は、このグループ属性に基づいた機能をユーザ端末16に提供することになる(ステップS9)。
【0030】
以下、図7を参照して、本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が、ユーザ位置情報に応じて適切なプリンタ30を指定する処理の流れを詳細に説明する。
【0031】
先ず、ユーザ端末16は、ユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)を認証サーバ1に要求する(ステップS201)。この要求を受けると、認証サーバ1は、認証トークンをユーザ端末16へ送信することになる(ステップS202)。尚、この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。
【0032】
続いて、認証サーバ1は認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS203)。ユーザ端末監視サーバ2は、NAS ID等と物理的位置情報を対応つけて管理している。そこで、これを受けると、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS204)。
【0033】
この位置情報属性を受けると、ポリシーサーバ3は、ディレクトリサーバ26にユーザ位置情報に対して最適なプリンタ30のIPアドレスを持つグループ属性の設定を実施させる(ステップS205)。続いて、ユーザ端末16がプリンタサーバ31にアクセスするが、これと同時に認証トークンを送信する(ステップS206)。これを受けると、プリンタサーバ31が認証トークンをディレクトリサーバ26に送信し(ステップS207)、ディレクトリサーバ26は、この認証トークンに基づいてユーザのグループ属性をプリンタサーバ31に送信する(ステップS8)。プリンタサーバ31は、受信したグループ属性(プリンタのIPアドレス等)に基づきプリンタ30を特定し、情報を送信し(ステップS209)、ユーザ端末16には特定されたプリンタを通知する(ステップS210)。
【0034】
次に、図8を参照して、本発明の一実施の形態に係るアクセス制御システムにより、その認証サーバ1に代わるシングルサインオンサーバ28が、動的にユーザのアクセス権限を管理する処理の流れを詳細に説明する。ユーザ端末16は、ユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)をシングルサインオンサーバ28に要求する(ステップS11)。この要求を受けると、シングルサインオンサーバ28は認証トークンをユーザ端末16へ送信する(ステップS12)。この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。続いて、シングルサインオンサーバ28は、認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS13)。すると、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS14)。この位置情報属性を受けると、ポリシーサーバ3はディレクトリサーバ26にユーザ位置情報に基づくグループ属性の設定を実施する(ステップS15)。
【0035】
ユーザ端末16がシングルサインオンサーバ28にアプリケーション利用トークンの作成依頼を行なうと(ステップS16)、シングルサインオンサーバ28はディレクトリサーバ26にユーザの所属グループ情報を要求する(ステップS17)。ディレクトリサーバ26は、この要求を受けると、当該ユーザの所属グループをシングルサインオンサーバ28に返信する(ステップS18)。すると、シングルサインオンサーバ28が、アプリケーション利用トークンを作成し、ユーザ端末16に配布する(ステップS19)。このアプリケーション利用トークンを受けると、ユーザ端末16は、アプリケーションサーバ27に当該アプリケーション利用トークンを送信する(ステップS20)。アプリケーションサーバ27は、この利用トークンを認証し、利用トークンに基づくアクセス許可をユーザ端末16に与える(ステップS21)。
【0036】
次に、図9を参照して、本発明の一実施の形態に係るアクセス制御システムにより、ユーザ端末のアプリケーションが動的にユーザのアクセス権限を管理する処理の流れを詳細に説明する。ユーザ端末16は、認証サーバ1にユーザ認証(IEEE802.1x、リモートアクセスVPN認証、Windowsドメインへのログイン)を要求する(ステップS31)。この要求を受けると認証サーバ1は認証トークンをユーザ端末16へ送信する(ステップS32)。この認証トークンに含まれる情報としては、ユーザID、ユーザIPアドレス、認証サーバID、認証時刻(タイムスタンプ)、有効期限がある。
【0037】
認証サーバ1は、認証ログ、アカウントログをユーザ端末監視サーバ2へ送信する(ステップS33)。これを受け、ユーザ端末監視サーバ2は、ポリシーサーバ3へ認証されたユーザの位置情報属性を送信する(ステップS34)。この位置情報属性を受けて、ポリシーサーバ3は、ディレクトリサーバ26にユーザ位置情報に基づくグループ属性の設定を実施させる(ステップS35)。この後、ユーザ端末上でアプリケーションを起動すると(ステップS36)、アプリケーションが認証トークンをディレクトリサーバ26に送信し(ステップS37)、ディレクトリサーバ26は認証トークンに基づいてユーザのグループ属性をユーザ端末16に送信し(ステップS38)、アプリケーションは受信したグループ属性に基づいた機能を提供する(ステップS39)。
【0038】
次に図10を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるポリシーサーバ3とディレクトリサーバ26との関係を詳細に説明する。
【0039】
ポリシーサーバ3は、位置情報毎に静的(static)なユーザとグループとを対応付けたテーブルを保持している。一方、ディレクトリサーバ26は、ユーザ位置情報を元に動的(dynamic)なユーザとグループとを対応付けたテーブルを保持している。ユーザ端末監視サーバ2からUser IDと位置情報(Position ID)がポリシーサーバ3に通知されると(ステップS41)、ポリシーサーバ3は、このユーザ端末監視サーバ2から通知されたUser IDの所属すべきグループをディレクトリサーバ26に通知する(ステップS42)。次に図11を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるポリシーサーバ3とディレクトリサーバ26との関係(特にトリガによりユーザの位置が変更される場合)を詳細に説明する。先に示した図10と異なるのは、ユーザ端末監視サーバ2からUser IDと位置情報(Position ID)がポリシーサーバ3に通知されると(ステップS51)、ポリシーサーバ3は、このユーザ端末監視サーバ2から通知されたUser IDの所属すべきグループをディレクトリサーバ26に通知し(ステップS52)、ディレクトリサーバ上で所属グループの変更が行なわれる点である。この例では、UserAの所属グループがPositionXからPositionYへと動的に変更されている。
【0040】
次に図12を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をファイルサーバのアクセス管理に用いる場合)を詳細に説明する。ユーザ端末16が、ファイルサーバ5にUser IDを含んだ認証トークンを送信すると(ステップS61)、ファイルサーバ5は認証トークンを確認し、そのUser IDをキーとして当該ユーザが所属している所属グループ情報をディレクトリサーバ26に問い合わせる(ステップS62)。この問い合わせを受けると、ディレクトリサーバ26は所属グループ情報をファイルサーバ5に返信する(ステップS63)。ファイルサーバ5は所属グループ情報に基づき、ユーザ端末16がアクセス可能な状態を当該ユーザ端末16に返信する(ステップS64)。尚、認証トークンの確認は、ファイルサーバ5が実施してもディレクトリサーバ26が実施してもよい。ファイルサーバの保持しているテーブル中に示したRWCPrSは、Read可能、Write可能、Copy可能、Print可能、Save可能といったファイルシステム特有の権限を意味している。例えば、RWのみの場合は、Read可能、及びWrite可能、Copy不可、Print不可、Save不可を表す。ファイルサーバ5は、ディレクトリ毎、もしくはファイル毎に上記権限管理を行うこととしている。
【0041】
次に図13を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMサーバに用いる場合)を詳細に説明する。
【0042】
ユーザ端末16が、DRMサーバ29にあるファイルのダウンロードをUser IDを含んだ認証トークンを送信することで要求すると(ステップS71)、DRMサーバ29は認証トークンを確認し、そのUser IDより当該ユーザが所属している所属グループ情報をディレクトリサーバ26に問い合わせる(ステップS72)。ディレクトリサーバ26は、所属グループ情報をDRMサーバ29に返信する(ステップS73)。DRMサーバ29はユーザがそのファイルにアクセス可能な場合、ファイルサーバ5にリクエストを行なう(ステップS74)。このリクエストを受けると、ファイルサーバ5は該当するファイルをDRMサーバ29に送信する(ステップS75)。DRMサーバ29は、このファイルをユーザが許可された権限を実行可能なように設定する。より具体的には、権限に応じてファイルをラップする(ステップS76)。こうして、DRMサーバ29は、ユーザ端末16に権限管理を付与されたファイルを返信する(ステップS77)。
【0043】
次に図14を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を詳細に説明する。ユーザ端末16がファイルサーバ5に対してファイル取得要求を出すと(ステップS81)、ファイルサーバ5は該当するファイルのラップをDRMサーバ29に依頼する(ステップS82)。DRMサーバ29は、この依頼を受けると、PWCPrSといった権限に応じてファイルをラップし(ステップS83)、ラップしたファイルをファイルサーバ5に返信する(ステップS84)。ファイルサーバ5は、このラップされたファイルをユーザ端末16に返信し、ユーザ端末16はラップされたファイルを取得することになる(ステップS85)。ユーザ端末16では、このファイルを使用するアプリケーションを起動し(ステップS86)、当該アプリケーションがユーザ端末監視サーバ2に位置情報の問い合わせを行なう(ステップS87)。
【0044】
ユーザ端末監視サーバ2は、この問い合わせを受けると、位置情報をユーザ端末16に返信する(ステップS88)。こうして、ユーザ端末のアプリケーションは位置情報に応じたポリシーを選択し、ファイルの利用を開始することになる(ステップS89)。ユーザ端末16は、図15,16の如きテーブルを保持している。そして、ユーザ端末16のアプリケーションは、図16のテーブルを参照して位置情報に基づいて定義される自己の所属するグループを把握し、図15のテーブルを参照して当該グループに与えられた権限を把握することになる。
【0045】
次に図17を参照して、本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を詳細に説明する。ユーザ端末16がファイルサーバ5に対してファイル取得要求を出すと(ステップS101)、ファイルサーバ5は該当するファイルのラップをDRMサーバ29に依頼する(ステップS102)。DRMサーバ29は、この依頼を受けると、PWCPrSといった権限に応じてファイルをラップし(ステップS103)、ラップしたファイルをファイルサーバ5に返信する(ステップS104)。
【0046】
ファイルサーバ5は、このラップされたファイルをユーザ端末16に返信し、ユーザ端末16はラップされたファイルを取得することになる(ステップS105)。ユーザ端末16では、このファイルを使用するアプリケーションを起動し(ステップS106)、DRMサーバ29に対してポリシー作成依頼を行う(ステップS107)。このポリシー作成依頼を受けると、DRMサーバ29は、ポリシー作成後、ユーザ端末16に返信する(ステップS108)。こうして、ユーザ端末16はDRMサーバ29で動的に作成されたポリシーを使用し、ファイルの利用を開始する(ステップS109)。
【0047】
以上、本発明の実施の形態について説明したが、本発明はこれに限定されることなくその趣旨を逸脱しない範囲で種々の改良・変更が可能である。
【0048】
例えば、先に示した図2のように入退室・入退館情報を使用しない場合においても、物理位置情報を利用して、フリーアドレスの空間において位置情報に応じたアクセス権限の分割を行うことも可能である。この場合においては、例えば、多数の人が出入りするスペースであるため機密性の高い業務が制限されるべきエリア、個別仕切られたスペースであるためある程度の機密性が保たれており機密性の高い業務を認めてもよいエリア、等といった具合に空間をエリアでセグメント化し、各エリアの物理位置情報に基づいてアクセス権限を区分けする事も可能となる。
【図面の簡単な説明】
【0049】
【図1】本発明の一実施の形態に係るアクセス制御システムの構成を示す図である。
【図2】本発明の一実施の形態に係るアクセス制御システムの改良例の構成を示す図である。
【図3】アクセススイッチ位置情報テーブルの一例を示す図である。
【図4】ユーザ端末情報テーブルの一例を示す図である。
【図5】ユーザ端末情報テーブルの一例を示す図である。
【図6】本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が動的にユーザのアクセス権限を管理する処理の流れ示す図である。
【図7】本発明の一実施の形態に係るアクセス制御システムにより、そのアプリケーションサーバ5が、ユーザ位置情報に応じて適切なプリンタ30を指定する処理の流れを詳細に説明するフローチャートである。
【図8】本発明の一実施の形態に係るアクセス制御システムにより、その認証サーバ1に代わるシングルサインオンサーバ28が動的にユーザのアクセス権限を管理する処理の流れを示す図である。
【図9】本発明の一実施の形態に係るアクセス制御システムにより、ユーザ端末のアプリケーションが動的にユーザのアクセス権限を管理する処理の流れを示す図である。
【図10】本発明の一実施の形態に係るアクセス制御システムにおけるポリシーサーバ3とディレクトリサーバ26との関係を詳細に説明する図である。
【図11】本発明の一実施の形態に係るアクセス制御システムにおける、ポリシーサーバ3とディレクトリサーバ26との関係を詳細に示す図である。
【図12】本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をファイルサーバのアクセス管理に用いる場合)を示す図である。
【図13】本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMサーバに用いる場合)を示す図である。
【図14】本発明の一実施の形態に係るアクセス制御システムにおけるアプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を示す図である。
【図15】ユーザ端末16の保持するテーブルを示す図である。
【図16】ユーザ端末16の保持するテーブルを示す図である。
【図17】本発明の一実施の形態に係るアクセス制御システムにおける、アプリケーションの応用例(位置情報をDRMクライアントアプリケーションに用いる場合)を示す図である。
【符号の説明】
【0050】
1…認証サーバ、2…ユーザ端末監視サーバ、3…ポリシーサーバ、4…DHCPサーバ、5…アプリケーションサーバ、6…VPN終端装置、7…イントラネット、8…公衆網、9…アクセススイッチ、10…ユーザ端末、11…アクセススイッチ、12…ユーザ端末、13…アクセススイッチ、14…ユーザ端末、15…認証プロキシサーバ、16…ユーザ端末、17…ユーザ端末、18…入退館・入退室管理サーバ、19…アクセススイッチ、20…ユーザ端末、21…アクセススイッチ、22…ユーザ端末、23…入退館管理端末、24…入退室管理端末、25…入退室管理端末、26…ディレクトリサーバ、27…アプリケーションサーバ、28…シングルサインオンサーバ、29…DRMサーバ、30…プリンタ、31…プリンタサーバ。
【特許請求の範囲】
【請求項1】
ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、
ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するアプリケーションサーバと、
この認証トークンに基づいてユーザのグループ属性をアプリケーションサーバに送信するディレクトリサーバと、
を有し、上記アプリケーションサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づいた機能をユーザ端末に提供する、
ことを特徴とするアクセス制御システム。
【請求項2】
ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に対して最適なプリンタのIPアドレスを有するグループ属性の設定を実施させるポリシーサーバと、
ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するプリンタサーバと、
この認証トークンに基づいてユーザのグループ属性をプリンタサーバに送信するディレクトリサーバと、
を有し、上記プリンタサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づきプリンタを特定する、ことを特徴とするアクセス制御システム。
【請求項3】
ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信するシングルサインオンサーバと、
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、
上記ユーザ端末の所属グループを上記シングルサインオンサーバに返信するディレクトリサーバと、
上記ユーザ端末に対して、アプリケーション利用トークンに基づくアクセス許可を与えるアプリケーションサーバと、
を有し、上記ユーザ端末が上記シングルサインオンサーバにアプリケーション利用トークンの作成依頼を行なうと、当該シングルサインオンサーバは上記ディレクトリサーバから当該ユーザの所属グループを受け、アプリケーション利用トークンを作成し、上記ユーザ端末に配布し、当該ユーザ端末にアプリケーション利用トークンに基づくアクセス許可を与える、ことを特徴とするアクセス制御システム。
【請求項4】
ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、
ユーザ端末からの上記認証トークンを受け、当該認証トークンに基づいてユーザのグループ属性をユーザ端末に返信するディレクトリサーバと、
を有し、上記ユーザ端末上でアプリケーションを起動すると、アプリケーションが認証トークンを上記ディレクトリサーバに送信し、当該ディレクトリサーバは認証トークンに基づいてユーザのグループ属性をユーザ端末に送信し、ユーザ端末のアプリケーションが受信したグループ属性に基づいた機能を提供するようにする、
ことを特徴とするアクセス制御システム。
【請求項5】
上記認証トークンは、少なくとも認証をパスしたユーザ端末のユーザID、またはIPアドレスを含むものとする請求項1乃至4のいずれかに記載のアクセス制御システム。
【請求項6】
上記ポリシーサーバは、位置情報毎に静的なユーザとグループとを対応付けたテーブルを保持しており、上記ディレクトリサーバは、ユーザ位置情報を元に動的なユーザとグループとを対応付けたテーブルを保持している、ことを更に特徴とする請求項1乃至5のいずれかに記載のアクセス制御システム。
【請求項7】
上記ディレクトリサーバは、上記テーブルのユーザの所属グループを動的に変更することを更に特徴とする請求項6に記載のアクセス制御システム。
【請求項1】
ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、
ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するアプリケーションサーバと、
この認証トークンに基づいてユーザのグループ属性をアプリケーションサーバに送信するディレクトリサーバと、
を有し、上記アプリケーションサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づいた機能をユーザ端末に提供する、
ことを特徴とするアクセス制御システム。
【請求項2】
ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に対して最適なプリンタのIPアドレスを有するグループ属性の設定を実施させるポリシーサーバと、
ユーザ端末からの上記認証トークンを受け、当該認証トークンをディレクトリサーバに送信するプリンタサーバと、
この認証トークンに基づいてユーザのグループ属性をプリンタサーバに送信するディレクトリサーバと、
を有し、上記プリンタサーバは、ユーザ端末のグループ属性を受信すると、当該グループ属性に基づきプリンタを特定する、ことを特徴とするアクセス制御システム。
【請求項3】
ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信するシングルサインオンサーバと、
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、
上記ユーザ端末の所属グループを上記シングルサインオンサーバに返信するディレクトリサーバと、
上記ユーザ端末に対して、アプリケーション利用トークンに基づくアクセス許可を与えるアプリケーションサーバと、
を有し、上記ユーザ端末が上記シングルサインオンサーバにアプリケーション利用トークンの作成依頼を行なうと、当該シングルサインオンサーバは上記ディレクトリサーバから当該ユーザの所属グループを受け、アプリケーション利用トークンを作成し、上記ユーザ端末に配布し、当該ユーザ端末にアプリケーション利用トークンに基づくアクセス許可を与える、ことを特徴とするアクセス制御システム。
【請求項4】
ユーザ端末のユーザ認証を行い、認証トークンを当該ユーザ端末へ送信すると共に、認証ログをユーザ端末監視サーバへ送信する認証サーバと、
上記認証ログを受けて、認証されたユーザ端末の位置情報属性をポリシーサーバに送信するユーザ端末監視サーバと、
この位置情報属性を受け、ディレクトリサーバにユーザ端末の位置情報に基づくグループ属性の設定を実施させるポリシーサーバと、
ユーザ端末からの上記認証トークンを受け、当該認証トークンに基づいてユーザのグループ属性をユーザ端末に返信するディレクトリサーバと、
を有し、上記ユーザ端末上でアプリケーションを起動すると、アプリケーションが認証トークンを上記ディレクトリサーバに送信し、当該ディレクトリサーバは認証トークンに基づいてユーザのグループ属性をユーザ端末に送信し、ユーザ端末のアプリケーションが受信したグループ属性に基づいた機能を提供するようにする、
ことを特徴とするアクセス制御システム。
【請求項5】
上記認証トークンは、少なくとも認証をパスしたユーザ端末のユーザID、またはIPアドレスを含むものとする請求項1乃至4のいずれかに記載のアクセス制御システム。
【請求項6】
上記ポリシーサーバは、位置情報毎に静的なユーザとグループとを対応付けたテーブルを保持しており、上記ディレクトリサーバは、ユーザ位置情報を元に動的なユーザとグループとを対応付けたテーブルを保持している、ことを更に特徴とする請求項1乃至5のいずれかに記載のアクセス制御システム。
【請求項7】
上記ディレクトリサーバは、上記テーブルのユーザの所属グループを動的に変更することを更に特徴とする請求項6に記載のアクセス制御システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2007−94548(P2007−94548A)
【公開日】平成19年4月12日(2007.4.12)
【国際特許分類】
【出願番号】特願2005−280305(P2005−280305)
【出願日】平成17年9月27日(2005.9.27)
【出願人】(502306660)ソフトバンクテレコム株式会社 (63)
【Fターム(参考)】
【公開日】平成19年4月12日(2007.4.12)
【国際特許分類】
【出願日】平成17年9月27日(2005.9.27)
【出願人】(502306660)ソフトバンクテレコム株式会社 (63)
【Fターム(参考)】
[ Back to top ]