アクセス制御方法、プログラムおよびアクセス制御システム
【課題】1つのサーバ内の複数の情報に対し、一手順で多次元的なアクセス制御を行うことを目的とする。
【解決手段】認証装置1は、カテゴリ‐クラス情報を格納しており、このカテゴリ‐クラス情報は、カテゴリ情報と、クラス情報と、を有しており、Webサーバ3のWebページは、カテゴリ情報と、クラス情報に応じてアクセスの可・不可を決定するアクセス権決定情報と、を有しており、クライアント端末2は、認証キーを有しており、Webサーバ3が、クライアント端末2から認証キーを取得すると、認証装置1が、認証キーを基に認証処理を行い、認証キーに該当するカテゴリ情報に対応するクラス情報を取得し、Webサーバ3は、受信したクラス情報と、アクセス権決定情報と、を基に、クライアント端末2によるWebページへのアクセスを制御することを特徴とする。
【解決手段】認証装置1は、カテゴリ‐クラス情報を格納しており、このカテゴリ‐クラス情報は、カテゴリ情報と、クラス情報と、を有しており、Webサーバ3のWebページは、カテゴリ情報と、クラス情報に応じてアクセスの可・不可を決定するアクセス権決定情報と、を有しており、クライアント端末2は、認証キーを有しており、Webサーバ3が、クライアント端末2から認証キーを取得すると、認証装置1が、認証キーを基に認証処理を行い、認証キーに該当するカテゴリ情報に対応するクラス情報を取得し、Webサーバ3は、受信したクラス情報と、アクセス権決定情報と、を基に、クライアント端末2によるWebページへのアクセスを制御することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス制御方法、プログラムおよびアクセス制御システムの技術に関する。
【背景技術】
【0002】
従来、アクセスする情報(アクセス対象情報)毎にパスワードを設定することによって、アクセス対象情報へのアクセス制御を行っている。
また、特許文献1には、Webサーバへの認証の代理を行う代理サーバ、代理サーバのためのプログラムおよび代理アクセス方法が記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008−225573号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、アクセス対象情報毎にパスワードを覚えることは煩わしく、またアクセス対象情報が大量になると、大量のパスワードを覚えなくてはならないという問題がある。
また、特許文献1に記載の技術では、複数のWebサーバへのアクセス制御を行っているが、1つのWebサーバ内におけるファイルへのアクセス制御は行っていない。
さらに具体的にいえば、既存のWebアプリケーションでアクセス制御を実現する場合は、.htaccessによるディレクトリ単位でアクセスを制御する方法と、アクセス制御リスト(ACL:Access Control List)によるファイルやフォルダのパーミッションでアクセスを制御する方法があるが、その場合だと2次元的なアクセス制御しか実現できず,多次元的なアクセス制御をすることができない。
【0005】
このような背景に鑑みて本発明がなされたのであり、本発明は、1つのサーバ内の複数の情報に対し、一手順で多次元的なアクセス制御を行うことを目的とする。
【課題を解決するための手段】
【0006】
前記課題を解決するため、本発明は、情報へのアクセスを制御するアクセス制御システムによるアクセス制御方法であって、前記アクセス制御システムは、認証装置と、複数のアクセス対象情報を記憶部に格納している1台の情報処理装置と、クライアント装置を有し、前記認証装置は、ユーザに関する識別情報である認証キーに対応する前記ユーザの属性に関する情報である属性情報を記憶部に格納しており、前記属性情報は、前記ユーザが有する属性の属性名と、前記属性名に対応する属性値と、を有しており、前記情報処理装置の前記アクセス対象情報は、前記属性名と、前記属性名に対応する前記属性値に応じてアクセスの可・不可を決定するアクセス権決定情報と、を有しており、前記クライアント装置は、前記認証キーを記憶部に有しており、前記情報処理装置が、前記クライアント装置から前記認証キーを取得すると、前記認証キーを前記認証装置へ送信し、前記認証装置が、前記認証キーを基に、認証処理を行い、前記認証キーを記憶部に一時記憶し、前記認証処理が成功すると、前記情報処理装置が、前記属性名を前記認証装置に送信し、前記認証装置が、前記一時記憶している認証キーに該当するユーザの前記属性名に対応する前記属性値を前記認証装置の記憶部から取得し、前記属性値を前記情報処理装置へ送信し、前記情報処理装置が、前記受信した前記属性値と、前記アクセス対象情報に含まれるアクセス権決定情報と、を基に、前記クライアント装置による前記アクセス対象情報へのアクセスの可・不可を決定することで、前記アクセス対象情報へのアクセスを制御することを特徴とする。
その他の解決手段については、実施形態中に記載する。
【発明の効果】
【0007】
本発明によれば、1つのサーバ内の複数の情報に対し、一手順で多次元的なアクセス制御が可能となる。
【図面の簡単な説明】
【0008】
【図1】本実施形態に係るアクセス制御システムの構成例を示す図である。
【図2】本実施形態に係る認証装置の構成例を示す図である。
【図3】本実施形態に係るクライアント端末の構成例を示す図である。
【図4】本実施形態に係るWebサーバの構成例を示す図である。
【図5】カテゴリ‐クラス情報の例を示す図である。
【図6】カテゴリ‐クラス情報の別の例を示す図である。
【図7】本実施形態に係るアクセス制御処理の流れを示すタイミングチャートである。
【図8】本実施形態に係るアクセス制御の例を示す図である。
【図9】本実施形態に係るクライアント端末における画面遷移の例を示す図である。
【発明を実施するための形態】
【0009】
以下、本発明を実施するための形態(「実施形態」という)について、適宜図面を参照しながら詳細に説明する。ここでは、一例として、本発明におけるアクセス対象情報として、Webページを適用した場合について説明するが、これに限らず、Webサーバを一般的なファイルサーバなどとし、アクセス対象情報としての文書ファイルや、画像ファイルなどの閲覧・更新・コピーなどを制御するシステムに適用してもよい。
【0010】
(システム構成)
図1は、本実施形態に係るアクセス制御システムの構成例を示す図である。
アクセス制御システム10は、認証装置1と、1台のWebサーバ3(情報処理装置)と、複数のクライアント端末2(クライアント装置)とを有している。クライアント端末2は、例えば、外部装置から認証キー222(図3)を取得して、この認証キー222をWebサーバ3へ送信し、また、Webサーバ3から送信されたWebページを表示部212(図3)に表示する機能を有する。Webサーバ3は、WAN(Wide Area Network)などのネットワーク4を介してクライアント端末2と接続しており、クライアント端末2から認証キー222を受信すると、認証装置1へ認証を要求し、認証装置1から送信されたカテゴリ情報・クラス情報を基に、Webページの閲覧を制御する機能を有する。認証装置1はWebサーバ3から認証を要求されると、認証処理を行い、認証キー222に該当するユーザ5のカテゴリ情報、クラス情報をWebサーバ3へ送信する機能を有する。
【0011】
(認証装置構成)
図2は、本実施形態に係る認証装置の構成例を示す図である。
認証装置1は、情報を処理する処理部100と、情報を記憶する記憶部110と、情報を送受信する送受信部120とを有する。
記憶部110には、認証キー222(図3)に対応するユーザ5(図1)の所属関係に関する情報であるカテゴリ‐クラス情報111(属性情報)が格納されている。カテゴリ‐クラス情報111の説明は、図5および図6を参照して後記する。
所属関係には、ユーザが属する組織や、プロジェクトや、グループなどが考えられる。あるいは、所属関係として、性別、星座、血液型、干支を適用してもよい。本実施形態では、所属関係としてユーザが属する会社内の組織を適用した例を記載する。
処理部100は、認証処理部101および送受信処理部102を有する。認証処理部101は、Webサーバ3から送信された認証キー222が、カテゴリ‐クラス情報111に登録されている認証キー222であるか否かを判定し、カテゴリ‐クラス情報111に含まれるカテゴリ情報・クラス情報を記憶部110から取得して、Webサーバ3(図1)へ送信する処理を行う。送受信処理部102は、送受信部120を介して、情報の送受信に関する処理を行う機能を有する。
【0012】
処理部100、認証処理部101および送受信処理部102は、図示しないROM(Read Only Memory)や、HD(Hard Disk)に格納されたプログラムが、RAM(Random Access Memory)に展開され、CPU(Central Processing Unit)によって実行されることによって具現化する。
【0013】
(クライアント端末構成)
図3は、本実施形態に係るクライアント端末の構成例を示す図である。
クライアント端末2は、キーボードや、マウスなどである入力部211と、ディスプレイなどの表示部212と、USB(Universal Serial Bus)デバイス220を接続するUSB接続部213と、情報の送受信を行う送受信部214と、情報を処理する処理部200とを有する。
USB接続部213には、IC(Integrated Circuit)カード221が挿入されたUSBデバイス220が接続される。ICカード221には、認証キー222が格納されており、認証装置1はUSBデバイス220を介して、ICカード221の認証キー222を取得する。なお、認証キー222は、ICカード221を特定する識別情報であるが、ICカード221を所有するユーザ5に関する識別情報でもある。
【0014】
処理部200は、ブラウザ201、アプレット202、認証キー取得部203および送受信処理部204を有している。ブラウザ201は、Webサーバ3(図1)から取得したWebページ311(図4)の情報を表示部212に表示したり、入力部211を介して入力された情報をWebサーバ3へ送信する機能を有している。アプレット202は、本実施形態ではWebサーバ3から認証キー222の要求を受信すると、認証キー取得部203を介してUSBデバイス220に挿入されたICカード221中の認証キー222を取得する機能を有する。認証キー取得部203は、アプレット202からの要求を受けてUSBデバイス220に挿入されているICカード221の認証キー222を取得し、アプレット202へ渡す機能を有する。送受信処理部204は、送受信部214を介して、情報の送受信に関する処理を行う機能を有する。
【0015】
なお、本実施形態では、認証キー222はUSBデバイス220に挿入されるICカード221に格納されている構成としたが、これに限らず、RFID(Radio Frequency Identification)などでもよい。読み取り専用のICカード221に認証キー222を格納することで、耐タンパ性を有することができる。
【0016】
処理部200および各部201〜204は、図示しないROMや、HDに格納されたプログラムが、RAMに展開され、CPUによって実行されることによって具現化する。
【0017】
(Webサーバ構成)
図4は、本実施形態に係るWebサーバの構成例を示す図である。
Web装置は、情報を処理する処理部300と、情報を記憶する記憶部310と、情報を送受信する送受信部321とを有する。
記憶部310には、閲覧可能なカテゴリ情報や、クラス情報を含むアクセス権決定情報312を有しているWebページ311が格納されている。なお、アクセス権決定情報312には、このWebページ311を閲覧可能(アクセス可能)な有効期間に関する情報が含まれていてもよい。
処理部300は、Webアプリケーション301および送受信処理部302を有する。Webアプリケーション301は、クライアント端末2(図1)からWebページ311の閲覧要求を受信すると、クライアント端末2に対し認証キー222(図3)を要求することによって、クライアント端末2から認証キー222を取得する。そして、Webアプリケーション301は、その認証キー222を基に、認証装置1(図1)から認証結果や、カテゴリ情報や、クラス情報を取得し、認証キー222に対応するユーザ5が要求しているWebページ311の閲覧が可能か否かを判定する。この判定の結果、閲覧可能であれば、Webアプリケーション301は、クライアント端末2に要求されたWebページ311を送信する。
送受信処理部302は、送受信部321を介して、情報の送受信に関する処理を行う機能を有する。
なお、Webサーバ3に認証装置1の機能を持たせてもよい。
【0018】
処理部300、Webアプリケーション301および送受信処理部302は、図示しないROMや、HDに格納されたプログラムが、RAMに展開され、CPUによって実行されることによって具現化する。
【0019】
図5は、カテゴリ‐クラス情報の例を示す図である。
図5は、カテゴリ‐クラス情報111がデータベース形式で記述されている例を示している。
図5に示す例では、「key」‐「category」‐「class」‐「start time」‐「end time」の順にカテゴリ‐クラス情報111が記述されている。
【0020】
図5において、「key」には認証キー222(図3)が記述される。「category」には認証キー222に該当するユーザ5(図1)が属する(ユーザ5が有する)カテゴリ情報(属性名)が記述される。「class」には認証キー222に該当するユーザ5が属する(ユーザ5が有する)クラス情報(属性値)が記述される。カテゴリ情報としては、例えば「shokui(職位)」、「busho(部署)」などが記述される。また、カテゴリ「shokui(職位)」のクラス情報としては、例えば、「yakuin(役員)」、「bucho(部長)」や、「kacho(課長)」や、「gishi(技師)」などが記述される。また、「busho(部署)」のクラス情報としては、「soumu(総務)」や、「zaimu(財務)」などが記述される。
【0021】
また、「start time」は、例えば、認証キー222に対応するユーザ5が「category」‐「class」に該当する組織に着任した日付である。同様に、「end time」は、例えば、認証キー222に対応するユーザ5が「category」‐「class」に該当する組織から離任した日付である。
このような「start time」および「end time」を設けることによって、認証キー222に対応するユーザ5が「category」‐「class」に該当する組織に現在いなくても、「start time」‐「end time」に該当する期間(有効期間)に作成された情報を閲覧することなどができる。
なお、「start time」および「end time」は省略可能である。
また、図5において「end time」の「*」は、そのユーザ5が該当する組織に依然として在任していることを示している。なお、各項目は図5と同様のため説明を省略する。また、図6の「class」における「none」は役についていないことを示している。
なお、図5に示すように、1つの認証キー222に対し「key」‐「category」‐「class」‐「start time」‐「end time」を複数記述してもよい。
これにより、1つの認証キー222に対し、多次元的なアクセス制御の設定ができる。
【0022】
また、図5に示すカテゴリ‐クラス情報111には、同じ「start time」‐「end time」で規定される期間において、同じカテゴリ2つ以上存在してはならないという静的条件が付随する。
【0023】
図6は、カテゴリ‐クラス情報をBNF(Backus-Naur Form)で表現した例を示す図である。
図6のBNFを使用した場合、「auth record」は「認証キー(key)」と「classify」の組で定義されることを示している。さらに、「classify」は、<category><class><start time><end time>の組で定義されることを示している。
【0024】
(タイミングチャート)
図7は、本実施形態に係るアクセス制御処理の流れを示すタイミングチャートである。
まず、クライアント端末2においてブラウザ201が起動される(S101)。
そして、ブラウザ201は、Webサーバ3のWebアプリケーション301に対しWebページ311(図4)を要求する(S102)。
Webページ311の要求を受信したWebアプリケーション301は、クライアント端末2のアプレット202に対し認証キー222を要求する(S103)。
認証キー222の要求を受信したアプレット202は、クライアント端末2の認証キー取得部203に対し認証キー222を要求する(S104)。
認証キー222を要求された認証キー取得部203は、ICカード221から認証キー222を取得し(S105)、取得した認証キー222をアプレット202へ渡す。なお、認証キー取得部203がICカード221にアクセスするときに、ユーザ5に対しパスワードを要求し、入力部211を介して入力されたパスワードが正しければ、認証キー取得部203がICカード221から認証キー222を取得する。
【0025】
認証キー222をわたされたアプレット202は、Webアプリケーション301へ認証キー222を送信する(S106)。
認証キー222を受信したWebアプリケーション301は、認証装置1の認証処理部101に認証キー222を送信し、認証を要求する(S107)。
認証を要求された認証処理部101は、まず渡された認証キー222が記憶部110のカテゴリ‐クラス情報111に存在するか否かを判定する認証処理を行い(S108)、認証結果をWebアプリケーション301へ送信する。このとき、認証処理の結果は、以下の4通りが存在する。
(1)認証成功
(2)アクセス禁止:認証キー222がカテゴリ‐クラス情報111に存在するものの、カテゴリ情報とクラス情報が登録されていない。つまり、認証装置1が管理しているすべての情報に対するアクセスが禁止されている。
(3)認証キー222がカテゴリ‐クラス情報111に存在しない。
(4)記憶部110が故障している。
認証結果が、(2)〜(4)である場合、Webアプリケーション301は、以下のステップS109,S111,S113の処理を行わずに、それぞれのケースに対応するメッセージを有するWebページ311をブラウザ201に送信する(図示せず)。
【0026】
ステップS108の認証処理の結果、認証に成功した場合、Webアプリケーション301は、認証処理部101へ再び認証キー222を送信することによって、認証キー222に対応するカテゴリ情報を要求する(S109)。カテゴリ情報の要求を受信した認証処理部101は、認証キー222をキーとしてカテゴリ‐クラス情報111からカテゴリ情報を取得し(S110)、取得したカテゴリ情報をWebアプリケーション301へ送信する。カテゴリ情報は、例えば、対応するすべてのカテゴリ名が半角空白を連結文字列とした文字列である。なお、ステップS110の段階で、認証処理部101は、送信された認証キー222を一時的に記憶しておく。
例えば、図5を参照すると、認証キー222が「000222」であれば、カテゴリ情報には「busho(部署)」および「syokui(職位)」が含まれる。
【0027】
次に、Webアプリケーション301は、認証処理部101へステップS110で取得したカテゴリ情報を送信することによって、カテゴリ情報に対応するクラス情報を要求する(S111)。
クラス情報の要求を受信した認証処理部101は、送信されたカテゴリ情報と、ステップS110の段階で一時的に記憶された認証キー222の組み合わせに対するクラス情報をカテゴリ‐クラス情報111から取得し(S112)、取得したクラス情報をWebアプリケーション301へ送信する。
例えば、図5を参照すると、認証キー222が「000222」であれば、ステップS111で、「busho(部署)」および「syokui(職位)」が認証装置1へ送信され、ステップS112で取得されるクラス情報には、「soumu(総務)」、「none(職位なし)」、「gishi(技師)」、「kacho(課長)」が含まれる。
【0028】
また、Webページ311のアクセス権決定情報312にアクセス可能な有効期間に関する情報が格納されている場合、Webアプリケーション301は、このアクセス可能な有効期間に関する情報をWebページ311から取得し、ステップS111の段階でカテゴリ情報と共に認証処理部101へ送信してもよい。この場合、認証装置1の認証処理部101は、一時記憶している認証キー222と、カテゴリ情報の組み合わせに対応するクラス情報の内、受信した有効期間が「start time」‐「end time」で示される期間内であるクラス情報をカテゴリ‐クラス情報111から抽出し、抽出したクラス情報をWebアプリケーション301へ送信してもよい。
【0029】
Webアプリケーション301は、ブラウザ201が閲覧を要求しているWebページ311が、認証結果に含まれるカテゴリ情報と、クラス情報に対して閲覧可能か否かを判定する閲覧判定処理を行う(S113)。この処理は、取得したカテゴリ情報と、クラス情報と、Webページ311に付随している閲覧可能なカテゴリ情報・クラス情報とを比較することによって行われる。
ステップS113の結果、閲覧可能である場合は、Webページ311をブラウザ201に送信し(S114)、ブラウザ201が受信したWebページ311を表示部212(図3)に表示させる(S115)。
なお、閲覧判定処理の結果、閲覧不可である場合、ステップS114において、Webアプリケーション301は、それぞれのケースに対応したメッセージを含むWebページ311をブラウザ201へ送信する(図示せず)。
【0030】
本実施形態では、認証処理、カテゴリ情報・クラス情報の取得を3段階に分けて行っているが、これに限らず、認証キーを基に、認証処理およびカテゴリ情報・クラス情報の取得を一度に行ってもよい。
また、ステップS108の認証処理で、認証成功した場合、Webアプリケーション301が、クライアント端末2がアクセス(閲覧)しようとしているWebページ311のアクセス権決定情報312に格納されているカテゴリ情報を認証装置1に送信してもよい。
このようにすることで、ステップS109〜S111のカテゴリ情報要求〜クラス情報要求の処理を省略できる。この場合、認証装置1の認証処理部101は、一時記憶している認証キー222と、送信されたカテゴリ情報をキーとして、カテゴリ‐クラス情報111を検索し、該当するクラス情報を取得すると、取得したクラス情報をWebサーバ3へ送信する。
【0031】
(アクセス制御例)
図8は、本実施形態に係るアクセス制御の例を示す図である。
例えば、ユーザ「A」〜「C」はカテゴリ「職位」でクラス「課長」に属しており、ユーザ「C」〜「E」はカテゴリ「部署」でクラス「総務」に属しているものとする。つまり、ユーザ「C」は総務課の課長である。ユーザ「A」、「B」にも「部署」の情報が付随しており、ユーザ「D」、「E」にも「職位」の情報が付随しているが、煩雑になるのを避けるため、ここでは省略する。
そして、「ページ(Webページ311(図4))a」は、「職位」「課長」の人が閲覧可能であり、「課長」以外のユーザは閲覧不可である。「ページb」は、「職位」「課長」のユーザも、「部署」「総務」のユーザも閲覧可能である。「ページc」は、「部署」「総務」の人が閲覧可能であり、「総務」以外のユーザは閲覧不可である。
つまり、「ページa」は「課長」である人が閲覧することができ、「ページc」は「総務」の人が閲覧することができる。
【0032】
従って、ユーザ「A」〜「C」は、「ページa」を閲覧でき、ユーザ「D」、「E」は「ページa」を閲覧できない(図8のページとユーザを結ぶ線において、実線は閲覧可能を示し、破線は閲覧不可を示している)。また、「ページb」を、ユーザ「A」〜「E」のすべてが閲覧できる。そして、ユーザ「C」〜「E」は、「ページc」を閲覧でき、ユーザ「A」、「B」は「ページc」を閲覧できない。
このように、本実施形態によれば同じWebサーバ3内のページの閲覧可・不可を容易に制御できる。
【0033】
(画面遷移)
次に、適宜図3を参照しつつ、図9に沿ってクライアント端末2における画面遷移を説明する。
図9は、本実施形態に係るクライアント端末における画面遷移の例を示す図である。
まず、クライアント端末2のマウスなどで画面901に表示されているサンプルページのリンクをクリックするなどして、サンプルページの表示を要求する。
すると、パスワード(PIN:Personal Identification Number)の入力画面902がクライアント端末2の表示部212に表示される。
ユーザ5が入力部211を介して、PIN入力フォーム911にパスワードを入力し、OKボタン912を選択入力すると、図7のステップS104〜S114の処理が行われる。
認証が成功し、Webサーバ3が取得したカテゴリ情報・クラス情報と、Webページ311にアクセス権決定情報312(図4)における閲覧可能なカテゴリ情報・クラス情報とを比較した結果、ユーザ5が閲覧を要求しているWebページ311へのアクセスが可能であれば、画面903のようにユーザ5が閲覧を要求しているWebページ311がクライアント端末2の表示部212に表示される。
認証キー222がカテゴリ‐クラス情報111に存在せず、図7のステップS108における認証処理が失敗した場合、画面904のように認証失敗のメッセージがクライアント端末2の表示部212に表示される。
認証処理の結果、認証キー222がカテゴリ‐クラス情報111に存在しているものの、カテゴリ情報と、クラス情報が登録されていなかったり、カテゴリ情報と、クラス情報が登録されているものの、認証キー222に係るカテゴリとクラスではユーザ5がアクセスを要求しているWebページ311へアクセスできなかったりした場合、画面905のようにアクセスができない旨のメッセージがクライアント端末2の表示部212に表示される。
【0034】
本実施形態では、Webページ311の閲覧を制御するアクセス制御システム10を例としたが、これに限らず、前記したようにWebサーバ3を一般的なファイルサーバなどとし、文書ファイルや、画像ファイルなどの閲覧・更新・コピーなどを制御するシステムに適用してもよい。この場合、本実施形態におけるWebページ311が、文書ファイルや、画像ファイルとなる。この文書ファイルや、画像ファイルには、閲覧・更新・コピーの各処理に対し、可能なカテゴリ情報・クラス情報が付随する。
【0035】
本実施形態によれば、1つのサーバ内の複数の情報に対し、多次元的なアクセス制御が可能となる。
【符号の説明】
【0036】
1 認証装置
2 クライアント端末(クライアント装置)
3 Webサーバ(情報処理装置)
10 アクセス制御システム
101 認証処理部
111 カテゴリ‐クラス情報(属性情報)
201 ブラウザ
202 アプレット
203 認証キー取得部
211 入力部
212 表示部
213 USB接続部
220 USBデバイス
221 ICカード
222 認証キー
301 Webアプリケーション
311 Webページ(アクセス対象情報)
312 アクセス権決定情報
【技術分野】
【0001】
本発明は、アクセス制御方法、プログラムおよびアクセス制御システムの技術に関する。
【背景技術】
【0002】
従来、アクセスする情報(アクセス対象情報)毎にパスワードを設定することによって、アクセス対象情報へのアクセス制御を行っている。
また、特許文献1には、Webサーバへの認証の代理を行う代理サーバ、代理サーバのためのプログラムおよび代理アクセス方法が記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008−225573号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、アクセス対象情報毎にパスワードを覚えることは煩わしく、またアクセス対象情報が大量になると、大量のパスワードを覚えなくてはならないという問題がある。
また、特許文献1に記載の技術では、複数のWebサーバへのアクセス制御を行っているが、1つのWebサーバ内におけるファイルへのアクセス制御は行っていない。
さらに具体的にいえば、既存のWebアプリケーションでアクセス制御を実現する場合は、.htaccessによるディレクトリ単位でアクセスを制御する方法と、アクセス制御リスト(ACL:Access Control List)によるファイルやフォルダのパーミッションでアクセスを制御する方法があるが、その場合だと2次元的なアクセス制御しか実現できず,多次元的なアクセス制御をすることができない。
【0005】
このような背景に鑑みて本発明がなされたのであり、本発明は、1つのサーバ内の複数の情報に対し、一手順で多次元的なアクセス制御を行うことを目的とする。
【課題を解決するための手段】
【0006】
前記課題を解決するため、本発明は、情報へのアクセスを制御するアクセス制御システムによるアクセス制御方法であって、前記アクセス制御システムは、認証装置と、複数のアクセス対象情報を記憶部に格納している1台の情報処理装置と、クライアント装置を有し、前記認証装置は、ユーザに関する識別情報である認証キーに対応する前記ユーザの属性に関する情報である属性情報を記憶部に格納しており、前記属性情報は、前記ユーザが有する属性の属性名と、前記属性名に対応する属性値と、を有しており、前記情報処理装置の前記アクセス対象情報は、前記属性名と、前記属性名に対応する前記属性値に応じてアクセスの可・不可を決定するアクセス権決定情報と、を有しており、前記クライアント装置は、前記認証キーを記憶部に有しており、前記情報処理装置が、前記クライアント装置から前記認証キーを取得すると、前記認証キーを前記認証装置へ送信し、前記認証装置が、前記認証キーを基に、認証処理を行い、前記認証キーを記憶部に一時記憶し、前記認証処理が成功すると、前記情報処理装置が、前記属性名を前記認証装置に送信し、前記認証装置が、前記一時記憶している認証キーに該当するユーザの前記属性名に対応する前記属性値を前記認証装置の記憶部から取得し、前記属性値を前記情報処理装置へ送信し、前記情報処理装置が、前記受信した前記属性値と、前記アクセス対象情報に含まれるアクセス権決定情報と、を基に、前記クライアント装置による前記アクセス対象情報へのアクセスの可・不可を決定することで、前記アクセス対象情報へのアクセスを制御することを特徴とする。
その他の解決手段については、実施形態中に記載する。
【発明の効果】
【0007】
本発明によれば、1つのサーバ内の複数の情報に対し、一手順で多次元的なアクセス制御が可能となる。
【図面の簡単な説明】
【0008】
【図1】本実施形態に係るアクセス制御システムの構成例を示す図である。
【図2】本実施形態に係る認証装置の構成例を示す図である。
【図3】本実施形態に係るクライアント端末の構成例を示す図である。
【図4】本実施形態に係るWebサーバの構成例を示す図である。
【図5】カテゴリ‐クラス情報の例を示す図である。
【図6】カテゴリ‐クラス情報の別の例を示す図である。
【図7】本実施形態に係るアクセス制御処理の流れを示すタイミングチャートである。
【図8】本実施形態に係るアクセス制御の例を示す図である。
【図9】本実施形態に係るクライアント端末における画面遷移の例を示す図である。
【発明を実施するための形態】
【0009】
以下、本発明を実施するための形態(「実施形態」という)について、適宜図面を参照しながら詳細に説明する。ここでは、一例として、本発明におけるアクセス対象情報として、Webページを適用した場合について説明するが、これに限らず、Webサーバを一般的なファイルサーバなどとし、アクセス対象情報としての文書ファイルや、画像ファイルなどの閲覧・更新・コピーなどを制御するシステムに適用してもよい。
【0010】
(システム構成)
図1は、本実施形態に係るアクセス制御システムの構成例を示す図である。
アクセス制御システム10は、認証装置1と、1台のWebサーバ3(情報処理装置)と、複数のクライアント端末2(クライアント装置)とを有している。クライアント端末2は、例えば、外部装置から認証キー222(図3)を取得して、この認証キー222をWebサーバ3へ送信し、また、Webサーバ3から送信されたWebページを表示部212(図3)に表示する機能を有する。Webサーバ3は、WAN(Wide Area Network)などのネットワーク4を介してクライアント端末2と接続しており、クライアント端末2から認証キー222を受信すると、認証装置1へ認証を要求し、認証装置1から送信されたカテゴリ情報・クラス情報を基に、Webページの閲覧を制御する機能を有する。認証装置1はWebサーバ3から認証を要求されると、認証処理を行い、認証キー222に該当するユーザ5のカテゴリ情報、クラス情報をWebサーバ3へ送信する機能を有する。
【0011】
(認証装置構成)
図2は、本実施形態に係る認証装置の構成例を示す図である。
認証装置1は、情報を処理する処理部100と、情報を記憶する記憶部110と、情報を送受信する送受信部120とを有する。
記憶部110には、認証キー222(図3)に対応するユーザ5(図1)の所属関係に関する情報であるカテゴリ‐クラス情報111(属性情報)が格納されている。カテゴリ‐クラス情報111の説明は、図5および図6を参照して後記する。
所属関係には、ユーザが属する組織や、プロジェクトや、グループなどが考えられる。あるいは、所属関係として、性別、星座、血液型、干支を適用してもよい。本実施形態では、所属関係としてユーザが属する会社内の組織を適用した例を記載する。
処理部100は、認証処理部101および送受信処理部102を有する。認証処理部101は、Webサーバ3から送信された認証キー222が、カテゴリ‐クラス情報111に登録されている認証キー222であるか否かを判定し、カテゴリ‐クラス情報111に含まれるカテゴリ情報・クラス情報を記憶部110から取得して、Webサーバ3(図1)へ送信する処理を行う。送受信処理部102は、送受信部120を介して、情報の送受信に関する処理を行う機能を有する。
【0012】
処理部100、認証処理部101および送受信処理部102は、図示しないROM(Read Only Memory)や、HD(Hard Disk)に格納されたプログラムが、RAM(Random Access Memory)に展開され、CPU(Central Processing Unit)によって実行されることによって具現化する。
【0013】
(クライアント端末構成)
図3は、本実施形態に係るクライアント端末の構成例を示す図である。
クライアント端末2は、キーボードや、マウスなどである入力部211と、ディスプレイなどの表示部212と、USB(Universal Serial Bus)デバイス220を接続するUSB接続部213と、情報の送受信を行う送受信部214と、情報を処理する処理部200とを有する。
USB接続部213には、IC(Integrated Circuit)カード221が挿入されたUSBデバイス220が接続される。ICカード221には、認証キー222が格納されており、認証装置1はUSBデバイス220を介して、ICカード221の認証キー222を取得する。なお、認証キー222は、ICカード221を特定する識別情報であるが、ICカード221を所有するユーザ5に関する識別情報でもある。
【0014】
処理部200は、ブラウザ201、アプレット202、認証キー取得部203および送受信処理部204を有している。ブラウザ201は、Webサーバ3(図1)から取得したWebページ311(図4)の情報を表示部212に表示したり、入力部211を介して入力された情報をWebサーバ3へ送信する機能を有している。アプレット202は、本実施形態ではWebサーバ3から認証キー222の要求を受信すると、認証キー取得部203を介してUSBデバイス220に挿入されたICカード221中の認証キー222を取得する機能を有する。認証キー取得部203は、アプレット202からの要求を受けてUSBデバイス220に挿入されているICカード221の認証キー222を取得し、アプレット202へ渡す機能を有する。送受信処理部204は、送受信部214を介して、情報の送受信に関する処理を行う機能を有する。
【0015】
なお、本実施形態では、認証キー222はUSBデバイス220に挿入されるICカード221に格納されている構成としたが、これに限らず、RFID(Radio Frequency Identification)などでもよい。読み取り専用のICカード221に認証キー222を格納することで、耐タンパ性を有することができる。
【0016】
処理部200および各部201〜204は、図示しないROMや、HDに格納されたプログラムが、RAMに展開され、CPUによって実行されることによって具現化する。
【0017】
(Webサーバ構成)
図4は、本実施形態に係るWebサーバの構成例を示す図である。
Web装置は、情報を処理する処理部300と、情報を記憶する記憶部310と、情報を送受信する送受信部321とを有する。
記憶部310には、閲覧可能なカテゴリ情報や、クラス情報を含むアクセス権決定情報312を有しているWebページ311が格納されている。なお、アクセス権決定情報312には、このWebページ311を閲覧可能(アクセス可能)な有効期間に関する情報が含まれていてもよい。
処理部300は、Webアプリケーション301および送受信処理部302を有する。Webアプリケーション301は、クライアント端末2(図1)からWebページ311の閲覧要求を受信すると、クライアント端末2に対し認証キー222(図3)を要求することによって、クライアント端末2から認証キー222を取得する。そして、Webアプリケーション301は、その認証キー222を基に、認証装置1(図1)から認証結果や、カテゴリ情報や、クラス情報を取得し、認証キー222に対応するユーザ5が要求しているWebページ311の閲覧が可能か否かを判定する。この判定の結果、閲覧可能であれば、Webアプリケーション301は、クライアント端末2に要求されたWebページ311を送信する。
送受信処理部302は、送受信部321を介して、情報の送受信に関する処理を行う機能を有する。
なお、Webサーバ3に認証装置1の機能を持たせてもよい。
【0018】
処理部300、Webアプリケーション301および送受信処理部302は、図示しないROMや、HDに格納されたプログラムが、RAMに展開され、CPUによって実行されることによって具現化する。
【0019】
図5は、カテゴリ‐クラス情報の例を示す図である。
図5は、カテゴリ‐クラス情報111がデータベース形式で記述されている例を示している。
図5に示す例では、「key」‐「category」‐「class」‐「start time」‐「end time」の順にカテゴリ‐クラス情報111が記述されている。
【0020】
図5において、「key」には認証キー222(図3)が記述される。「category」には認証キー222に該当するユーザ5(図1)が属する(ユーザ5が有する)カテゴリ情報(属性名)が記述される。「class」には認証キー222に該当するユーザ5が属する(ユーザ5が有する)クラス情報(属性値)が記述される。カテゴリ情報としては、例えば「shokui(職位)」、「busho(部署)」などが記述される。また、カテゴリ「shokui(職位)」のクラス情報としては、例えば、「yakuin(役員)」、「bucho(部長)」や、「kacho(課長)」や、「gishi(技師)」などが記述される。また、「busho(部署)」のクラス情報としては、「soumu(総務)」や、「zaimu(財務)」などが記述される。
【0021】
また、「start time」は、例えば、認証キー222に対応するユーザ5が「category」‐「class」に該当する組織に着任した日付である。同様に、「end time」は、例えば、認証キー222に対応するユーザ5が「category」‐「class」に該当する組織から離任した日付である。
このような「start time」および「end time」を設けることによって、認証キー222に対応するユーザ5が「category」‐「class」に該当する組織に現在いなくても、「start time」‐「end time」に該当する期間(有効期間)に作成された情報を閲覧することなどができる。
なお、「start time」および「end time」は省略可能である。
また、図5において「end time」の「*」は、そのユーザ5が該当する組織に依然として在任していることを示している。なお、各項目は図5と同様のため説明を省略する。また、図6の「class」における「none」は役についていないことを示している。
なお、図5に示すように、1つの認証キー222に対し「key」‐「category」‐「class」‐「start time」‐「end time」を複数記述してもよい。
これにより、1つの認証キー222に対し、多次元的なアクセス制御の設定ができる。
【0022】
また、図5に示すカテゴリ‐クラス情報111には、同じ「start time」‐「end time」で規定される期間において、同じカテゴリ2つ以上存在してはならないという静的条件が付随する。
【0023】
図6は、カテゴリ‐クラス情報をBNF(Backus-Naur Form)で表現した例を示す図である。
図6のBNFを使用した場合、「auth record」は「認証キー(key)」と「classify」の組で定義されることを示している。さらに、「classify」は、<category><class><start time><end time>の組で定義されることを示している。
【0024】
(タイミングチャート)
図7は、本実施形態に係るアクセス制御処理の流れを示すタイミングチャートである。
まず、クライアント端末2においてブラウザ201が起動される(S101)。
そして、ブラウザ201は、Webサーバ3のWebアプリケーション301に対しWebページ311(図4)を要求する(S102)。
Webページ311の要求を受信したWebアプリケーション301は、クライアント端末2のアプレット202に対し認証キー222を要求する(S103)。
認証キー222の要求を受信したアプレット202は、クライアント端末2の認証キー取得部203に対し認証キー222を要求する(S104)。
認証キー222を要求された認証キー取得部203は、ICカード221から認証キー222を取得し(S105)、取得した認証キー222をアプレット202へ渡す。なお、認証キー取得部203がICカード221にアクセスするときに、ユーザ5に対しパスワードを要求し、入力部211を介して入力されたパスワードが正しければ、認証キー取得部203がICカード221から認証キー222を取得する。
【0025】
認証キー222をわたされたアプレット202は、Webアプリケーション301へ認証キー222を送信する(S106)。
認証キー222を受信したWebアプリケーション301は、認証装置1の認証処理部101に認証キー222を送信し、認証を要求する(S107)。
認証を要求された認証処理部101は、まず渡された認証キー222が記憶部110のカテゴリ‐クラス情報111に存在するか否かを判定する認証処理を行い(S108)、認証結果をWebアプリケーション301へ送信する。このとき、認証処理の結果は、以下の4通りが存在する。
(1)認証成功
(2)アクセス禁止:認証キー222がカテゴリ‐クラス情報111に存在するものの、カテゴリ情報とクラス情報が登録されていない。つまり、認証装置1が管理しているすべての情報に対するアクセスが禁止されている。
(3)認証キー222がカテゴリ‐クラス情報111に存在しない。
(4)記憶部110が故障している。
認証結果が、(2)〜(4)である場合、Webアプリケーション301は、以下のステップS109,S111,S113の処理を行わずに、それぞれのケースに対応するメッセージを有するWebページ311をブラウザ201に送信する(図示せず)。
【0026】
ステップS108の認証処理の結果、認証に成功した場合、Webアプリケーション301は、認証処理部101へ再び認証キー222を送信することによって、認証キー222に対応するカテゴリ情報を要求する(S109)。カテゴリ情報の要求を受信した認証処理部101は、認証キー222をキーとしてカテゴリ‐クラス情報111からカテゴリ情報を取得し(S110)、取得したカテゴリ情報をWebアプリケーション301へ送信する。カテゴリ情報は、例えば、対応するすべてのカテゴリ名が半角空白を連結文字列とした文字列である。なお、ステップS110の段階で、認証処理部101は、送信された認証キー222を一時的に記憶しておく。
例えば、図5を参照すると、認証キー222が「000222」であれば、カテゴリ情報には「busho(部署)」および「syokui(職位)」が含まれる。
【0027】
次に、Webアプリケーション301は、認証処理部101へステップS110で取得したカテゴリ情報を送信することによって、カテゴリ情報に対応するクラス情報を要求する(S111)。
クラス情報の要求を受信した認証処理部101は、送信されたカテゴリ情報と、ステップS110の段階で一時的に記憶された認証キー222の組み合わせに対するクラス情報をカテゴリ‐クラス情報111から取得し(S112)、取得したクラス情報をWebアプリケーション301へ送信する。
例えば、図5を参照すると、認証キー222が「000222」であれば、ステップS111で、「busho(部署)」および「syokui(職位)」が認証装置1へ送信され、ステップS112で取得されるクラス情報には、「soumu(総務)」、「none(職位なし)」、「gishi(技師)」、「kacho(課長)」が含まれる。
【0028】
また、Webページ311のアクセス権決定情報312にアクセス可能な有効期間に関する情報が格納されている場合、Webアプリケーション301は、このアクセス可能な有効期間に関する情報をWebページ311から取得し、ステップS111の段階でカテゴリ情報と共に認証処理部101へ送信してもよい。この場合、認証装置1の認証処理部101は、一時記憶している認証キー222と、カテゴリ情報の組み合わせに対応するクラス情報の内、受信した有効期間が「start time」‐「end time」で示される期間内であるクラス情報をカテゴリ‐クラス情報111から抽出し、抽出したクラス情報をWebアプリケーション301へ送信してもよい。
【0029】
Webアプリケーション301は、ブラウザ201が閲覧を要求しているWebページ311が、認証結果に含まれるカテゴリ情報と、クラス情報に対して閲覧可能か否かを判定する閲覧判定処理を行う(S113)。この処理は、取得したカテゴリ情報と、クラス情報と、Webページ311に付随している閲覧可能なカテゴリ情報・クラス情報とを比較することによって行われる。
ステップS113の結果、閲覧可能である場合は、Webページ311をブラウザ201に送信し(S114)、ブラウザ201が受信したWebページ311を表示部212(図3)に表示させる(S115)。
なお、閲覧判定処理の結果、閲覧不可である場合、ステップS114において、Webアプリケーション301は、それぞれのケースに対応したメッセージを含むWebページ311をブラウザ201へ送信する(図示せず)。
【0030】
本実施形態では、認証処理、カテゴリ情報・クラス情報の取得を3段階に分けて行っているが、これに限らず、認証キーを基に、認証処理およびカテゴリ情報・クラス情報の取得を一度に行ってもよい。
また、ステップS108の認証処理で、認証成功した場合、Webアプリケーション301が、クライアント端末2がアクセス(閲覧)しようとしているWebページ311のアクセス権決定情報312に格納されているカテゴリ情報を認証装置1に送信してもよい。
このようにすることで、ステップS109〜S111のカテゴリ情報要求〜クラス情報要求の処理を省略できる。この場合、認証装置1の認証処理部101は、一時記憶している認証キー222と、送信されたカテゴリ情報をキーとして、カテゴリ‐クラス情報111を検索し、該当するクラス情報を取得すると、取得したクラス情報をWebサーバ3へ送信する。
【0031】
(アクセス制御例)
図8は、本実施形態に係るアクセス制御の例を示す図である。
例えば、ユーザ「A」〜「C」はカテゴリ「職位」でクラス「課長」に属しており、ユーザ「C」〜「E」はカテゴリ「部署」でクラス「総務」に属しているものとする。つまり、ユーザ「C」は総務課の課長である。ユーザ「A」、「B」にも「部署」の情報が付随しており、ユーザ「D」、「E」にも「職位」の情報が付随しているが、煩雑になるのを避けるため、ここでは省略する。
そして、「ページ(Webページ311(図4))a」は、「職位」「課長」の人が閲覧可能であり、「課長」以外のユーザは閲覧不可である。「ページb」は、「職位」「課長」のユーザも、「部署」「総務」のユーザも閲覧可能である。「ページc」は、「部署」「総務」の人が閲覧可能であり、「総務」以外のユーザは閲覧不可である。
つまり、「ページa」は「課長」である人が閲覧することができ、「ページc」は「総務」の人が閲覧することができる。
【0032】
従って、ユーザ「A」〜「C」は、「ページa」を閲覧でき、ユーザ「D」、「E」は「ページa」を閲覧できない(図8のページとユーザを結ぶ線において、実線は閲覧可能を示し、破線は閲覧不可を示している)。また、「ページb」を、ユーザ「A」〜「E」のすべてが閲覧できる。そして、ユーザ「C」〜「E」は、「ページc」を閲覧でき、ユーザ「A」、「B」は「ページc」を閲覧できない。
このように、本実施形態によれば同じWebサーバ3内のページの閲覧可・不可を容易に制御できる。
【0033】
(画面遷移)
次に、適宜図3を参照しつつ、図9に沿ってクライアント端末2における画面遷移を説明する。
図9は、本実施形態に係るクライアント端末における画面遷移の例を示す図である。
まず、クライアント端末2のマウスなどで画面901に表示されているサンプルページのリンクをクリックするなどして、サンプルページの表示を要求する。
すると、パスワード(PIN:Personal Identification Number)の入力画面902がクライアント端末2の表示部212に表示される。
ユーザ5が入力部211を介して、PIN入力フォーム911にパスワードを入力し、OKボタン912を選択入力すると、図7のステップS104〜S114の処理が行われる。
認証が成功し、Webサーバ3が取得したカテゴリ情報・クラス情報と、Webページ311にアクセス権決定情報312(図4)における閲覧可能なカテゴリ情報・クラス情報とを比較した結果、ユーザ5が閲覧を要求しているWebページ311へのアクセスが可能であれば、画面903のようにユーザ5が閲覧を要求しているWebページ311がクライアント端末2の表示部212に表示される。
認証キー222がカテゴリ‐クラス情報111に存在せず、図7のステップS108における認証処理が失敗した場合、画面904のように認証失敗のメッセージがクライアント端末2の表示部212に表示される。
認証処理の結果、認証キー222がカテゴリ‐クラス情報111に存在しているものの、カテゴリ情報と、クラス情報が登録されていなかったり、カテゴリ情報と、クラス情報が登録されているものの、認証キー222に係るカテゴリとクラスではユーザ5がアクセスを要求しているWebページ311へアクセスできなかったりした場合、画面905のようにアクセスができない旨のメッセージがクライアント端末2の表示部212に表示される。
【0034】
本実施形態では、Webページ311の閲覧を制御するアクセス制御システム10を例としたが、これに限らず、前記したようにWebサーバ3を一般的なファイルサーバなどとし、文書ファイルや、画像ファイルなどの閲覧・更新・コピーなどを制御するシステムに適用してもよい。この場合、本実施形態におけるWebページ311が、文書ファイルや、画像ファイルとなる。この文書ファイルや、画像ファイルには、閲覧・更新・コピーの各処理に対し、可能なカテゴリ情報・クラス情報が付随する。
【0035】
本実施形態によれば、1つのサーバ内の複数の情報に対し、多次元的なアクセス制御が可能となる。
【符号の説明】
【0036】
1 認証装置
2 クライアント端末(クライアント装置)
3 Webサーバ(情報処理装置)
10 アクセス制御システム
101 認証処理部
111 カテゴリ‐クラス情報(属性情報)
201 ブラウザ
202 アプレット
203 認証キー取得部
211 入力部
212 表示部
213 USB接続部
220 USBデバイス
221 ICカード
222 認証キー
301 Webアプリケーション
311 Webページ(アクセス対象情報)
312 アクセス権決定情報
【特許請求の範囲】
【請求項1】
情報へのアクセスを制御するアクセス制御システムによるアクセス制御方法であって、
前記アクセス制御システムは、認証装置と、複数のアクセス対象情報を記憶部に格納している1台の情報処理装置と、クライアント装置を有し、
前記認証装置は、
ユーザに関する識別情報である認証キーに対応する前記ユーザの属性に関する情報である属性情報を記憶部に格納しており、
前記属性情報は、前記ユーザが有する属性の属性名と、前記属性名に対応する属性値と、を有しており、
前記情報処理装置の前記アクセス対象情報は、
前記属性名と、
前記属性名に対応する前記属性値に応じてアクセスの可・不可を決定するアクセス権決定情報と、を有しており、
前記クライアント装置は、
前記認証キーを記憶部に有しており、
前記情報処理装置が、
前記クライアント装置から前記認証キーを取得すると、
前記認証キーを前記認証装置へ送信し、
前記認証装置が、
前記認証キーを基に、認証処理を行い、前記認証キーを記憶部に一時記憶し、
前記認証処理が成功すると、
前記情報処理装置が、
前記属性名を前記認証装置に送信し、
前記認証装置が、
前記一時記憶している認証キーに該当するユーザの前記属性名に対応する前記属性値を前記認証装置の記憶部から取得し、
前記属性値を前記情報処理装置へ送信し、
前記情報処理装置が、
前記受信した前記属性値と、前記アクセス対象情報に含まれるアクセス権決定情報と、を基に、前記クライアント装置による前記アクセス対象情報へのアクセスの可・不可を決定することで、前記アクセス対象情報へのアクセスを制御する
ことを特徴とするアクセス制御方法。
【請求項2】
前記属性情報には、対応するユーザの属性情報の有効期間に関する情報が、さらに格納されており、
前記アクセス対象情報には、アクセス可能な有効期間に関する情報が、さらに格納されており、
前記情報処理装置は、
前記属性名と共に、前記アクセス対象情報における前記有効期間に関する情報を前記認証装置へ送信し、
前記認証装置は、
前記受信した前記属性名に対応する前記有効期間に関する情報を基に、有効な前記属性値を、前記情報処理装置に送信し、
前記情報処理装置は、
前記受信した前記属性値と、前記アクセス対象情報に含まれるアクセス権決定情報と、を基に、前記クライアント装置による前記アクセス対象情報へのアクセスの可・不可を決定して、前記アクセス対象情報へのアクセスを制御する
ことを特徴とする請求項1に記載のアクセス制御方法。
【請求項3】
請求項1または請求項2に記載のアクセス制御方法をコンピュータに実行させることを特徴とするプログラム。
【請求項4】
情報へのアクセスを制御するアクセス制御システムであって、
認証装置と、複数のアクセス対象情報を記憶部に格納している1台の情報処理装置と、クライアント装置を有し、
前記認証装置は、
ユーザに関する識別情報である認証キーに対応する前記ユーザの属性に関する情報である属性情報を記憶部に格納しており、
前記属性情報は、前記ユーザが有する属性の属性名と、前記属性名に対応する属性値と、を有しており、
前記情報処理装置の前記アクセス対象情報は、
前記属性名と、
前記属性名に対応する前記属性値に応じてアクセスの可・不可を決定するアクセス権決定情報と、を有しており、
前記クライアント装置は、
前記認証キーを記憶部に有しており、
前記情報処理装置が、
前記クライアント装置から前記認証キーを取得すると、
前記認証キーを前記認証装置へ送信し、
前記認証装置が、
前記認証キーを基に、認証処理を行い、前記認証キーを記憶部に一時記憶し、
前記認証処理が成功すると、
前記情報処理装置が、
前記属性名を前記認証装置に送信し、
前記認証装置が、
前記一時記憶している認証キーに該当するユーザの前記属性名に対応する前記属性値を前記認証装置の記憶部から取得し、
前記属性値を前記情報処理装置へ送信し、
前記情報処理装置が、
前記受信した前記属性値と、前記アクセス対象情報に含まれるアクセス権決定情報と、を基に、前記クライアント装置による前記アクセス対象情報へのアクセスの可・不可を決定することで、前記アクセス対象情報へのアクセスを制御する
ことを特徴とするアクセス制御システム。
【請求項1】
情報へのアクセスを制御するアクセス制御システムによるアクセス制御方法であって、
前記アクセス制御システムは、認証装置と、複数のアクセス対象情報を記憶部に格納している1台の情報処理装置と、クライアント装置を有し、
前記認証装置は、
ユーザに関する識別情報である認証キーに対応する前記ユーザの属性に関する情報である属性情報を記憶部に格納しており、
前記属性情報は、前記ユーザが有する属性の属性名と、前記属性名に対応する属性値と、を有しており、
前記情報処理装置の前記アクセス対象情報は、
前記属性名と、
前記属性名に対応する前記属性値に応じてアクセスの可・不可を決定するアクセス権決定情報と、を有しており、
前記クライアント装置は、
前記認証キーを記憶部に有しており、
前記情報処理装置が、
前記クライアント装置から前記認証キーを取得すると、
前記認証キーを前記認証装置へ送信し、
前記認証装置が、
前記認証キーを基に、認証処理を行い、前記認証キーを記憶部に一時記憶し、
前記認証処理が成功すると、
前記情報処理装置が、
前記属性名を前記認証装置に送信し、
前記認証装置が、
前記一時記憶している認証キーに該当するユーザの前記属性名に対応する前記属性値を前記認証装置の記憶部から取得し、
前記属性値を前記情報処理装置へ送信し、
前記情報処理装置が、
前記受信した前記属性値と、前記アクセス対象情報に含まれるアクセス権決定情報と、を基に、前記クライアント装置による前記アクセス対象情報へのアクセスの可・不可を決定することで、前記アクセス対象情報へのアクセスを制御する
ことを特徴とするアクセス制御方法。
【請求項2】
前記属性情報には、対応するユーザの属性情報の有効期間に関する情報が、さらに格納されており、
前記アクセス対象情報には、アクセス可能な有効期間に関する情報が、さらに格納されており、
前記情報処理装置は、
前記属性名と共に、前記アクセス対象情報における前記有効期間に関する情報を前記認証装置へ送信し、
前記認証装置は、
前記受信した前記属性名に対応する前記有効期間に関する情報を基に、有効な前記属性値を、前記情報処理装置に送信し、
前記情報処理装置は、
前記受信した前記属性値と、前記アクセス対象情報に含まれるアクセス権決定情報と、を基に、前記クライアント装置による前記アクセス対象情報へのアクセスの可・不可を決定して、前記アクセス対象情報へのアクセスを制御する
ことを特徴とする請求項1に記載のアクセス制御方法。
【請求項3】
請求項1または請求項2に記載のアクセス制御方法をコンピュータに実行させることを特徴とするプログラム。
【請求項4】
情報へのアクセスを制御するアクセス制御システムであって、
認証装置と、複数のアクセス対象情報を記憶部に格納している1台の情報処理装置と、クライアント装置を有し、
前記認証装置は、
ユーザに関する識別情報である認証キーに対応する前記ユーザの属性に関する情報である属性情報を記憶部に格納しており、
前記属性情報は、前記ユーザが有する属性の属性名と、前記属性名に対応する属性値と、を有しており、
前記情報処理装置の前記アクセス対象情報は、
前記属性名と、
前記属性名に対応する前記属性値に応じてアクセスの可・不可を決定するアクセス権決定情報と、を有しており、
前記クライアント装置は、
前記認証キーを記憶部に有しており、
前記情報処理装置が、
前記クライアント装置から前記認証キーを取得すると、
前記認証キーを前記認証装置へ送信し、
前記認証装置が、
前記認証キーを基に、認証処理を行い、前記認証キーを記憶部に一時記憶し、
前記認証処理が成功すると、
前記情報処理装置が、
前記属性名を前記認証装置に送信し、
前記認証装置が、
前記一時記憶している認証キーに該当するユーザの前記属性名に対応する前記属性値を前記認証装置の記憶部から取得し、
前記属性値を前記情報処理装置へ送信し、
前記情報処理装置が、
前記受信した前記属性値と、前記アクセス対象情報に含まれるアクセス権決定情報と、を基に、前記クライアント装置による前記アクセス対象情報へのアクセスの可・不可を決定することで、前記アクセス対象情報へのアクセスを制御する
ことを特徴とするアクセス制御システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2011−13723(P2011−13723A)
【公開日】平成23年1月20日(2011.1.20)
【国際特許分類】
【出願番号】特願2009−154799(P2009−154799)
【出願日】平成21年6月30日(2009.6.30)
【出願人】(000233538)株式会社 日立東日本ソリューションズ (53)
【Fターム(参考)】
【公開日】平成23年1月20日(2011.1.20)
【国際特許分類】
【出願日】平成21年6月30日(2009.6.30)
【出願人】(000233538)株式会社 日立東日本ソリューションズ (53)
【Fターム(参考)】
[ Back to top ]