アクセス権管理システムおよび方法
【課題】サーバ装置へのアクセス権を簡易的に管理する。
【解決手段】クライアントコンピュータ1は、自装置に固有のキーファイルを作成するキーファイル作成部11、サーバ装置2に対しサービス要求したい場合にキーファイルのダウンロードを要求するキーファイルダウンロード要求部12、サーバ装置2からのキーファイルと作成したキーファイルを比較するキーファイル比較部14、キーファイルが一致すると判定された場合にサーバ装置2が提供するサービスへのアクセス権を取得するサーバアクセス権取得部15、キーファイルをサーバ装置2へ送信するキーファイル送信部16を備える。サーバ装置2は、送信されたキーファイルを記憶するキーファイル記憶部22、キーファイルのダウンロード要求があった場合にキーファイルを送信するキーファイルダウンロード部23を備える。
【解決手段】クライアントコンピュータ1は、自装置に固有のキーファイルを作成するキーファイル作成部11、サーバ装置2に対しサービス要求したい場合にキーファイルのダウンロードを要求するキーファイルダウンロード要求部12、サーバ装置2からのキーファイルと作成したキーファイルを比較するキーファイル比較部14、キーファイルが一致すると判定された場合にサーバ装置2が提供するサービスへのアクセス権を取得するサーバアクセス権取得部15、キーファイルをサーバ装置2へ送信するキーファイル送信部16を備える。サーバ装置2は、送信されたキーファイルを記憶するキーファイル記憶部22、キーファイルのダウンロード要求があった場合にキーファイルを送信するキーファイルダウンロード部23を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クライアント端末装置のサーバ装置へのアクセス権を管理するアクセス権管理システムおよび方法に関するものである。
【背景技術】
【0002】
従来、サーバ・クライアントシステムにおいてクライアントの認証を行なう場合、サーバ側にクライアントの認証を認める条件を設定したファイルを登録し、クライアントからクライアント証明書が送付されてきたとき、条件ファイル中に設定されている条件項目がクライアント証明書に存在するときに認証OKと判定するようにしていた(特許文献1参照)。
【0003】
また、特許文献2には、携帯電話機が携帯サービスにアクセスするときにユーザIDとパスワードとアプリケーションIDとをサーバに送信すると、サーバ側ではユーザIDに対応して登録されているパスワードとアプリケーションIDとを取得し、取得したパスワードとアプリケーションIDの組と携帯電話機から送信されたパスワードとアプリケーションIDの組とが一致すれば、登録済みのユーザと判定するクライアント認証システムが開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平11−272614号公報
【特許文献2】特開2010−79795号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1に開示されたクライアント認証システムでは、証明機関からクライアントに対してクライアント証明書を発行する必要があるため、コストがかかり、不特定ユーザ向けのサービスに適していないという問題点があった。また、正規ユーザであってもサービスを利用できる端末が限定されるという問題点があった。
また、特許文献2に開示されたクライアント認証システムでは、サーバ装置でIDやパスワードを登録、管理する必要が生じ、またユーザがパスワードを必ず覚えている必要があるという問題点があった。
【0006】
本発明は、上記課題を解決するためになされたもので、サーバへのアクセス権を簡易的に管理することができるアクセス権管理システムおよび方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明のアクセス権管理システムは、クライアント端末装置と、このクライアント端末装置とネットワークを介して接続されたサーバ装置とを有し、前記クライアント端末装置は、この端末装置に固有のキーファイルを作成するキーファイル作成手段と、前記キーファイルを前記サーバ装置へ送信するキーファイル送信手段と、前記サーバ装置に対してサービス要求したい場合に、前記キーファイルのダウンロードを要求するキーファイルダウンロード要求手段と、前記サーバ装置から送信されたキーファイルと前記キーファイル作成手段が作成したキーファイルとを比較して一致するかどうかを判定するキーファイル比較手段と、前記キーファイルが一致すると判定された場合に、前記サーバ装置が提供するサービスへのアクセス権を取得するサーバアクセス権取得手段とを備え、前記サーバ装置は、前記クライアント端末装置から送信されたキーファイルを記憶するキーファイル記憶手段と、前記クライアント端末装置からキーファイルのダウンロード要求があった場合に、前記キーファイル記憶手段が記憶しているキーファイルの中から要求元のクライアント端末装置に対応するキーファイルを取得して送信するキーファイルダウンロード手段とを備えることを特徴とするものである。
また、本発明のアクセス権管理システムの1構成例において、前記キーファイル作成手段は、前記クライアント端末装置の固有情報をハッシュ化して前記キーファイルを作成することを特徴とするものである。
【0008】
また、本発明のアクセス権管理方法は、クライアント端末装置がこの端末装置に固有のキーファイルを作成するキーファイル作成ステップと、前記クライアント端末装置が前記キーファイルをサーバ装置へ送信するキーファイル送信ステップと、前記サーバ装置が前記クライアント端末装置から送信されたキーファイルを記憶するキーファイル記憶ステップと、前記クライアント端末装置が前記サーバ装置に対してサービス要求したい場合に、前記キーファイルのダウンロードを要求するキーファイルダウンロード要求ステップと、前記サーバ装置が前記クライアント端末装置からキーファイルのダウンロード要求があった場合に、記憶しているキーファイルの中から要求元のクライアント端末装置に対応するキーファイルを取得して送信するキーファイルダウンロードステップと、前記クライアント端末装置が前記サーバ装置から送信されたキーファイルと前記キーファイル作成ステップで作成したキーファイルとを比較して一致するかどうかを判定するキーファイル比較ステップと、前記クライアント端末装置が前記キーファイルが一致すると判定した場合に、前記サーバ装置が提供するサービスへのアクセス権を取得するサーバアクセス権取得ステップとを備えることを特徴とするものである。
【発明の効果】
【0009】
本発明によれば、クライアント端末装置に固有のキーファイルのコピーをサーバ装置に記憶させることで、サーバ装置のサービスへのアクセス権をクライアント端末装置毎に設定することができる。本発明では、クライアント証明書が不要で、サーバ装置でIDやパスワードを登録・管理する必要がなく、ユーザがパスワードを覚える必要もないので、サーバ装置へのアクセス権を簡易的に管理することができる。また、本発明では、アプリケーションプログラムに固有のキーファイルのコピーをサーバ装置に記憶させるようにすれば、アプリケーションプログラムごとにサーバ装置へのアクセス権を管理することができる。これにより、本発明では、例えばアプリケーションプログラムの機能を制限することが可能となる。
【図面の簡単な説明】
【0010】
【図1】本発明の実施の形態に係るアクセス権管理システムの構成を示すブロック図である。
【図2】本発明の実施の形態に係るアクセス権管理システムのクライアントコンピュータとサーバ装置の構成を示すブロック図である。
【図3】本発明の実施の形態におけるクライアントコンピュータのキーファイルのサーバ装置への登録処理を説明するフローチャートである。
【図4】本発明の実施の形態におけるクライアントコンピュータのサーバ装置へのサービス要求処理を説明するフローチャートである。
【図5】本発明の実施の形態におけるサーバ装置の処理を説明するフローチャートである。
【図6】本発明の実施の形態においてサーバ装置に記憶されるキーファイルの1例を示す図である。
【図7】本発明の実施の形態に係るアクセス権管理システムの効果を説明する図である。
【発明を実施するための形態】
【0011】
以下、本発明の実施の形態について図面を参照して説明する。図1は本発明の実施の形態に係るアクセス権管理システムの構成を示すブロック図である。アクセス権管理システムは、クライアント端末装置であるクライアントコンピュータ1と、サーバ装置2と、クライアントコンピュータ1とサーバ装置2とを接続するネットワーク3とから構成される。クライアントコンピュータ1は、ネットワーク3を介して、サーバ装置2から例えば、会社業績情報の閲覧、会議室の予約、残業の申請、交通費の精算などのサービスの提供を受けることができる。
【0012】
図2にクライアントコンピュータ1とサーバ装置2の構成を示す。クライアントコンピュータ1は、クライアントコンピュータ固有の情報を取得する固有情報取得部10と、固有情報取得部10が取得した固有情報をハッシュ化してキーファイルを生成するキーファイル作成部11と、サーバ装置2に対してサービス要求したい場合にキーファイルのダウンロードを要求するキーファイルダウンロード要求部12と、サーバ装置2との通信を制御する通信制御部13と、サーバ装置2から送信されたキーファイルとキーファイル作成部11が作成したキーファイルとを比較して一致するかどうかを判定するキーファイル比較部14と、キーファイルが一致すると判定された場合にサーバ装置2が提供するサービスへのアクセス権を取得するサーバアクセス権取得部15と、キーファイルをサーバ装置2へ送信するキーファイル送信部16とを備えている。
【0013】
サーバ装置2は、クライアントコンピュータ1との通信を制御する通信制御部20と、クライアントコンピュータ1から送信されたキーファイルを受信するキーファイル受信部21と、クライアントコンピュータ1から送信されたキーファイルを記憶するキーファイル記憶部22と、クライアントコンピュータ1からキーファイルのダウンロード要求があった場合に、キーファイル記憶部22が記憶しているキーファイルの中から要求元のクライアントコンピュータ1に対応するキーファイルを取得して送信するキーファイルダウンロード部23と、クライアントコンピュータ1に対してネットワーク3を介してサービスを提供するサービス提供部24とを備えている。
【0014】
図3はクライアントコンピュータ1のキーファイルのサーバ装置2への登録処理を説明するフローチャートである。
クライアントコンピュータ1の固有情報取得部10は、クライアントコンピュータ固有の情報を取得する(図3ステップS10)。ここで、固有情報とは、クライアントコンピュータ1のハードウェアに付与されている製造番号などであり、ユニークで他と識別できる情報をいう。
【0015】
クライアントコンピュータ1のキーファイル作成部11は、固有情報取得部10が取得した固有情報を所定のハッシュ関数によってハッシュ化し、生成したハッシュ値に一意なキーファイル名を付けてキーファイルを生成する(ステップS11)。
そして、キーファイル送信部16は、サーバ装置2との接続時に(ステップS12においてYES)、ステップS11で作成したキーファイルを通信制御部13を介してサーバ装置2へ送信する(ステップS13)。
【0016】
図4はクライアントコンピュータ1のサーバ装置2へのサービス要求処理を説明するフローチャートである。
クライアントコンピュータ1のキーファイルダウンロード要求部12は、サーバ装置2に対してサービス要求を行う場合、通信制御部13を介してサーバ装置2と接続し、自装置のキーファイルのダウンロードを要求する(図4ステップS20)。
【0017】
キーファイル比較部14は、通信制御部13がサーバ装置2から送信されたキーファイルを受信した場合(ステップS21においてYES)、このキーファイルとキーファイル作成部11がステップS11で作成したキーファイルとを比較して一致しているかどうかを判定する(ステップS22)。
【0018】
クライアントコンピュータ1のサーバアクセス権取得部15は、キーファイル比較部14による判定の結果、キーファイルが一致すると判定された場合(ステップS22においてYES)、サーバ装置2が提供するサービスにアクセス可能と判断し(ステップS23)、サーバ装置2に対して所望のサービスを提供するよう要求する(ステップS24)。また、サーバアクセス権取得部15は、キーファイルが一致しないと判定された場合、サーバ装置2へのアクセスを不可とする(ステップS25)。この場合、クライアントコンピュータ1は、サーバ装置2からサービス提供を受けることはできない。
【0019】
次に、図5はサーバ装置2の処理を説明するフローチャートである。サーバ装置2のキーファイル受信部21は、クライアントコンピュータ1からの接続要求があると(ステップS30においてYES)、接続を許可する。そして、キーファイル受信部21は、通信制御部20がクライアントコンピュータ1から送信されたキーファイルを受信すると(ステップS31においてYES)、このキーファイルをキーファイル記憶部22に渡す。キーファイル記憶部22は、クライアントコンピュータ1に固有のクライアントIDと受信したキーファイルとを対応付けて記憶する(ステップS32)。
【0020】
次に、サーバ装置2のキーファイルダウンロード部23は、クライアントコンピュータ1からキーファイルダウンロード要求があった場合(ステップS33においてYES)、キーファイル記憶部22に要求元のクライアントコンピュータ1のクライアントIDに対応するキーファイルが存在するかどうかを確認し、キーファイルが存在する場合には、該当するキーファイルをキーファイル記憶部22から取得して、このキーファイルを通信制御部20を介して要求元のクライアントコンピュータ1へ送信する(ステップS34)。
【0021】
サーバ装置2のサービス提供部24は、クライアントコンピュータ1からサービス要求があった場合(ステップS35においてYES)、このクライアントコンピュータ1が要求するサービスを提供する(ステップS36)。
【0022】
図6はサーバ装置2のキーファイル記憶部22に記憶されるキーファイルの1例を示す図である。キーファイルは、キーファイル名と、ハッシュ演算によって生成されたキーファイル本文とからなる。前述のとおり、キーファイルはクライアントIDと対応付けてキーファイル記憶部22に記憶される。図6の例では、クライアントIDとしてIPアドレスを用いている。
【0023】
なお、クライアントIDとしてIPアドレス以外の識別情報を用いてもよい。クライアントIDとしてIPアドレス以外の識別情報を用いる場合、クライアントコンピュータ1は、ステップS13においてキーファイルをサーバ装置2に送信する際に、キーファイルと共に自装置に固有のクライアントIDをサーバ装置2に送信し、またステップS20においてキーファイルダウンロード要求のメッセージにクライアントIDを添付してサーバ装置2に送信すればよい。
【0024】
以上のように、本実施の形態では、クライアントコンピュータ1に固有のキーファイルのコピーをサーバ装置2に記憶させることで、サーバ装置2のサービスへのアクセス権をクライアントコンピュータ毎に設定することができる。本実施の形態では、クライアント証明書が不要で、サーバ装置2でIDやパスワードを登録、管理する必要がなく、ユーザがパスワードを覚える必要もないので、サーバ装置2へのアクセス権を簡易的に管理することができる。
【0025】
図7は本実施の形態の効果を説明する図である。図7の例では、クライアントコンピュータ1−Aのキーファイルのコピーがサーバ装置2−Aに記憶され、クライアントコンピュータ1−Bのキーファイルのコピーがサーバ装置2−Bに記憶されているものとする。この場合、クライアントコンピュータ1−Aは、サーバ装置2−Aが提供するサービスへのアクセスおよびサービスの利用が可能になるが、サーバ装置2−Bが提供するサービスへアクセスすることはできない。一方、クライアントコンピュータ1−Bは、サーバ装置2−Bが提供するサービスへのアクセスおよびサービスの利用が可能になるが、サーバ装置2−Aが提供するサービスへアクセスすることはできない。
【0026】
また、特許文献1、特許文献2に開示されたクライアント認証システムでは、アプリケーションプログラムごとにサーバ装置へのアクセス権を管理することができない。特許文献1、特許文献2に開示されたクライアント認証システムでは、例えば機能テストを実施したいとか、アプリケーションの機能を制限したいとかいったことが困難であった。
【0027】
これに対して、本実施の形態では、クライアントコンピュータ1にセットアップされているアプリケーションプログラムごとにサーバ装置へのアクセス権を管理することができる。アプリケーションプログラムごとにサーバ装置へのアクセス権を管理するには、ステップS11で用いるハッシュ関数または固有情報をアプリケーション毎に変えてキーファイルを生成し、ステップS13においてキーファイルをサーバ装置2に送信する際に、キーファイルと共にアプリケーションIDをサーバ装置2に送信すればよい。サーバ装置2のキーファイル記憶部22は、クライアントIDとアプリケーションIDとキーファイルとを対応付けて記憶することになる(ステップS32)。
【0028】
また、クライアントコンピュータ1のキーファイルダウンロード要求部12は、サーバ装置2にアクセスしたいアプリケーションプログラムのアプリケーションIDをキーファイルダウンロード要求のメッセージに添付してサーバ装置2に送信すればよい(ステップS20)。サーバ装置2のキーファイルダウンロード部23は、ダウンロード要求をしたクライアントコンピュータ1のクライアントIDおよびアプリケーションIDに対応するキーファイルをキーファイル記憶部22から取得して、取得したキーファイルを要求元のクライアントコンピュータ1へ送信することになる(ステップS34)。
こうして、本実施の形態では、アプリケーションプログラムごとにサーバ装置へのアクセス権を管理することができる。
【0029】
なお、本実施の形態で説明したクライアントコンピュータとサーバ装置の各々は、それぞれCPU、記憶装置及びインタフェースを備えたコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。各々の装置のCPUは、記憶装置に格納されたプログラムに従って本実施の形態で説明した処理を実行する。
【産業上の利用可能性】
【0030】
本発明は、クライアント端末装置のサーバ装置へのアクセス権を管理する技術に適用することができる。
【符号の説明】
【0031】
1…クライアントコンピュータ、2…サーバ装置、3…ネットワーク、10…固有情報取得部、11…キーファイル作成部、12…キーファイルダウンロード要求部、13,20…通信制御部、14…キーファイル比較部、15…サーバアクセス権取得部、16…キーファイル送信部、21…キーファイル受信部、22…キーファイル記憶部、23…キーファイルダウンロード部、24…サービス提供部。
【技術分野】
【0001】
本発明は、クライアント端末装置のサーバ装置へのアクセス権を管理するアクセス権管理システムおよび方法に関するものである。
【背景技術】
【0002】
従来、サーバ・クライアントシステムにおいてクライアントの認証を行なう場合、サーバ側にクライアントの認証を認める条件を設定したファイルを登録し、クライアントからクライアント証明書が送付されてきたとき、条件ファイル中に設定されている条件項目がクライアント証明書に存在するときに認証OKと判定するようにしていた(特許文献1参照)。
【0003】
また、特許文献2には、携帯電話機が携帯サービスにアクセスするときにユーザIDとパスワードとアプリケーションIDとをサーバに送信すると、サーバ側ではユーザIDに対応して登録されているパスワードとアプリケーションIDとを取得し、取得したパスワードとアプリケーションIDの組と携帯電話機から送信されたパスワードとアプリケーションIDの組とが一致すれば、登録済みのユーザと判定するクライアント認証システムが開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平11−272614号公報
【特許文献2】特開2010−79795号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1に開示されたクライアント認証システムでは、証明機関からクライアントに対してクライアント証明書を発行する必要があるため、コストがかかり、不特定ユーザ向けのサービスに適していないという問題点があった。また、正規ユーザであってもサービスを利用できる端末が限定されるという問題点があった。
また、特許文献2に開示されたクライアント認証システムでは、サーバ装置でIDやパスワードを登録、管理する必要が生じ、またユーザがパスワードを必ず覚えている必要があるという問題点があった。
【0006】
本発明は、上記課題を解決するためになされたもので、サーバへのアクセス権を簡易的に管理することができるアクセス権管理システムおよび方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明のアクセス権管理システムは、クライアント端末装置と、このクライアント端末装置とネットワークを介して接続されたサーバ装置とを有し、前記クライアント端末装置は、この端末装置に固有のキーファイルを作成するキーファイル作成手段と、前記キーファイルを前記サーバ装置へ送信するキーファイル送信手段と、前記サーバ装置に対してサービス要求したい場合に、前記キーファイルのダウンロードを要求するキーファイルダウンロード要求手段と、前記サーバ装置から送信されたキーファイルと前記キーファイル作成手段が作成したキーファイルとを比較して一致するかどうかを判定するキーファイル比較手段と、前記キーファイルが一致すると判定された場合に、前記サーバ装置が提供するサービスへのアクセス権を取得するサーバアクセス権取得手段とを備え、前記サーバ装置は、前記クライアント端末装置から送信されたキーファイルを記憶するキーファイル記憶手段と、前記クライアント端末装置からキーファイルのダウンロード要求があった場合に、前記キーファイル記憶手段が記憶しているキーファイルの中から要求元のクライアント端末装置に対応するキーファイルを取得して送信するキーファイルダウンロード手段とを備えることを特徴とするものである。
また、本発明のアクセス権管理システムの1構成例において、前記キーファイル作成手段は、前記クライアント端末装置の固有情報をハッシュ化して前記キーファイルを作成することを特徴とするものである。
【0008】
また、本発明のアクセス権管理方法は、クライアント端末装置がこの端末装置に固有のキーファイルを作成するキーファイル作成ステップと、前記クライアント端末装置が前記キーファイルをサーバ装置へ送信するキーファイル送信ステップと、前記サーバ装置が前記クライアント端末装置から送信されたキーファイルを記憶するキーファイル記憶ステップと、前記クライアント端末装置が前記サーバ装置に対してサービス要求したい場合に、前記キーファイルのダウンロードを要求するキーファイルダウンロード要求ステップと、前記サーバ装置が前記クライアント端末装置からキーファイルのダウンロード要求があった場合に、記憶しているキーファイルの中から要求元のクライアント端末装置に対応するキーファイルを取得して送信するキーファイルダウンロードステップと、前記クライアント端末装置が前記サーバ装置から送信されたキーファイルと前記キーファイル作成ステップで作成したキーファイルとを比較して一致するかどうかを判定するキーファイル比較ステップと、前記クライアント端末装置が前記キーファイルが一致すると判定した場合に、前記サーバ装置が提供するサービスへのアクセス権を取得するサーバアクセス権取得ステップとを備えることを特徴とするものである。
【発明の効果】
【0009】
本発明によれば、クライアント端末装置に固有のキーファイルのコピーをサーバ装置に記憶させることで、サーバ装置のサービスへのアクセス権をクライアント端末装置毎に設定することができる。本発明では、クライアント証明書が不要で、サーバ装置でIDやパスワードを登録・管理する必要がなく、ユーザがパスワードを覚える必要もないので、サーバ装置へのアクセス権を簡易的に管理することができる。また、本発明では、アプリケーションプログラムに固有のキーファイルのコピーをサーバ装置に記憶させるようにすれば、アプリケーションプログラムごとにサーバ装置へのアクセス権を管理することができる。これにより、本発明では、例えばアプリケーションプログラムの機能を制限することが可能となる。
【図面の簡単な説明】
【0010】
【図1】本発明の実施の形態に係るアクセス権管理システムの構成を示すブロック図である。
【図2】本発明の実施の形態に係るアクセス権管理システムのクライアントコンピュータとサーバ装置の構成を示すブロック図である。
【図3】本発明の実施の形態におけるクライアントコンピュータのキーファイルのサーバ装置への登録処理を説明するフローチャートである。
【図4】本発明の実施の形態におけるクライアントコンピュータのサーバ装置へのサービス要求処理を説明するフローチャートである。
【図5】本発明の実施の形態におけるサーバ装置の処理を説明するフローチャートである。
【図6】本発明の実施の形態においてサーバ装置に記憶されるキーファイルの1例を示す図である。
【図7】本発明の実施の形態に係るアクセス権管理システムの効果を説明する図である。
【発明を実施するための形態】
【0011】
以下、本発明の実施の形態について図面を参照して説明する。図1は本発明の実施の形態に係るアクセス権管理システムの構成を示すブロック図である。アクセス権管理システムは、クライアント端末装置であるクライアントコンピュータ1と、サーバ装置2と、クライアントコンピュータ1とサーバ装置2とを接続するネットワーク3とから構成される。クライアントコンピュータ1は、ネットワーク3を介して、サーバ装置2から例えば、会社業績情報の閲覧、会議室の予約、残業の申請、交通費の精算などのサービスの提供を受けることができる。
【0012】
図2にクライアントコンピュータ1とサーバ装置2の構成を示す。クライアントコンピュータ1は、クライアントコンピュータ固有の情報を取得する固有情報取得部10と、固有情報取得部10が取得した固有情報をハッシュ化してキーファイルを生成するキーファイル作成部11と、サーバ装置2に対してサービス要求したい場合にキーファイルのダウンロードを要求するキーファイルダウンロード要求部12と、サーバ装置2との通信を制御する通信制御部13と、サーバ装置2から送信されたキーファイルとキーファイル作成部11が作成したキーファイルとを比較して一致するかどうかを判定するキーファイル比較部14と、キーファイルが一致すると判定された場合にサーバ装置2が提供するサービスへのアクセス権を取得するサーバアクセス権取得部15と、キーファイルをサーバ装置2へ送信するキーファイル送信部16とを備えている。
【0013】
サーバ装置2は、クライアントコンピュータ1との通信を制御する通信制御部20と、クライアントコンピュータ1から送信されたキーファイルを受信するキーファイル受信部21と、クライアントコンピュータ1から送信されたキーファイルを記憶するキーファイル記憶部22と、クライアントコンピュータ1からキーファイルのダウンロード要求があった場合に、キーファイル記憶部22が記憶しているキーファイルの中から要求元のクライアントコンピュータ1に対応するキーファイルを取得して送信するキーファイルダウンロード部23と、クライアントコンピュータ1に対してネットワーク3を介してサービスを提供するサービス提供部24とを備えている。
【0014】
図3はクライアントコンピュータ1のキーファイルのサーバ装置2への登録処理を説明するフローチャートである。
クライアントコンピュータ1の固有情報取得部10は、クライアントコンピュータ固有の情報を取得する(図3ステップS10)。ここで、固有情報とは、クライアントコンピュータ1のハードウェアに付与されている製造番号などであり、ユニークで他と識別できる情報をいう。
【0015】
クライアントコンピュータ1のキーファイル作成部11は、固有情報取得部10が取得した固有情報を所定のハッシュ関数によってハッシュ化し、生成したハッシュ値に一意なキーファイル名を付けてキーファイルを生成する(ステップS11)。
そして、キーファイル送信部16は、サーバ装置2との接続時に(ステップS12においてYES)、ステップS11で作成したキーファイルを通信制御部13を介してサーバ装置2へ送信する(ステップS13)。
【0016】
図4はクライアントコンピュータ1のサーバ装置2へのサービス要求処理を説明するフローチャートである。
クライアントコンピュータ1のキーファイルダウンロード要求部12は、サーバ装置2に対してサービス要求を行う場合、通信制御部13を介してサーバ装置2と接続し、自装置のキーファイルのダウンロードを要求する(図4ステップS20)。
【0017】
キーファイル比較部14は、通信制御部13がサーバ装置2から送信されたキーファイルを受信した場合(ステップS21においてYES)、このキーファイルとキーファイル作成部11がステップS11で作成したキーファイルとを比較して一致しているかどうかを判定する(ステップS22)。
【0018】
クライアントコンピュータ1のサーバアクセス権取得部15は、キーファイル比較部14による判定の結果、キーファイルが一致すると判定された場合(ステップS22においてYES)、サーバ装置2が提供するサービスにアクセス可能と判断し(ステップS23)、サーバ装置2に対して所望のサービスを提供するよう要求する(ステップS24)。また、サーバアクセス権取得部15は、キーファイルが一致しないと判定された場合、サーバ装置2へのアクセスを不可とする(ステップS25)。この場合、クライアントコンピュータ1は、サーバ装置2からサービス提供を受けることはできない。
【0019】
次に、図5はサーバ装置2の処理を説明するフローチャートである。サーバ装置2のキーファイル受信部21は、クライアントコンピュータ1からの接続要求があると(ステップS30においてYES)、接続を許可する。そして、キーファイル受信部21は、通信制御部20がクライアントコンピュータ1から送信されたキーファイルを受信すると(ステップS31においてYES)、このキーファイルをキーファイル記憶部22に渡す。キーファイル記憶部22は、クライアントコンピュータ1に固有のクライアントIDと受信したキーファイルとを対応付けて記憶する(ステップS32)。
【0020】
次に、サーバ装置2のキーファイルダウンロード部23は、クライアントコンピュータ1からキーファイルダウンロード要求があった場合(ステップS33においてYES)、キーファイル記憶部22に要求元のクライアントコンピュータ1のクライアントIDに対応するキーファイルが存在するかどうかを確認し、キーファイルが存在する場合には、該当するキーファイルをキーファイル記憶部22から取得して、このキーファイルを通信制御部20を介して要求元のクライアントコンピュータ1へ送信する(ステップS34)。
【0021】
サーバ装置2のサービス提供部24は、クライアントコンピュータ1からサービス要求があった場合(ステップS35においてYES)、このクライアントコンピュータ1が要求するサービスを提供する(ステップS36)。
【0022】
図6はサーバ装置2のキーファイル記憶部22に記憶されるキーファイルの1例を示す図である。キーファイルは、キーファイル名と、ハッシュ演算によって生成されたキーファイル本文とからなる。前述のとおり、キーファイルはクライアントIDと対応付けてキーファイル記憶部22に記憶される。図6の例では、クライアントIDとしてIPアドレスを用いている。
【0023】
なお、クライアントIDとしてIPアドレス以外の識別情報を用いてもよい。クライアントIDとしてIPアドレス以外の識別情報を用いる場合、クライアントコンピュータ1は、ステップS13においてキーファイルをサーバ装置2に送信する際に、キーファイルと共に自装置に固有のクライアントIDをサーバ装置2に送信し、またステップS20においてキーファイルダウンロード要求のメッセージにクライアントIDを添付してサーバ装置2に送信すればよい。
【0024】
以上のように、本実施の形態では、クライアントコンピュータ1に固有のキーファイルのコピーをサーバ装置2に記憶させることで、サーバ装置2のサービスへのアクセス権をクライアントコンピュータ毎に設定することができる。本実施の形態では、クライアント証明書が不要で、サーバ装置2でIDやパスワードを登録、管理する必要がなく、ユーザがパスワードを覚える必要もないので、サーバ装置2へのアクセス権を簡易的に管理することができる。
【0025】
図7は本実施の形態の効果を説明する図である。図7の例では、クライアントコンピュータ1−Aのキーファイルのコピーがサーバ装置2−Aに記憶され、クライアントコンピュータ1−Bのキーファイルのコピーがサーバ装置2−Bに記憶されているものとする。この場合、クライアントコンピュータ1−Aは、サーバ装置2−Aが提供するサービスへのアクセスおよびサービスの利用が可能になるが、サーバ装置2−Bが提供するサービスへアクセスすることはできない。一方、クライアントコンピュータ1−Bは、サーバ装置2−Bが提供するサービスへのアクセスおよびサービスの利用が可能になるが、サーバ装置2−Aが提供するサービスへアクセスすることはできない。
【0026】
また、特許文献1、特許文献2に開示されたクライアント認証システムでは、アプリケーションプログラムごとにサーバ装置へのアクセス権を管理することができない。特許文献1、特許文献2に開示されたクライアント認証システムでは、例えば機能テストを実施したいとか、アプリケーションの機能を制限したいとかいったことが困難であった。
【0027】
これに対して、本実施の形態では、クライアントコンピュータ1にセットアップされているアプリケーションプログラムごとにサーバ装置へのアクセス権を管理することができる。アプリケーションプログラムごとにサーバ装置へのアクセス権を管理するには、ステップS11で用いるハッシュ関数または固有情報をアプリケーション毎に変えてキーファイルを生成し、ステップS13においてキーファイルをサーバ装置2に送信する際に、キーファイルと共にアプリケーションIDをサーバ装置2に送信すればよい。サーバ装置2のキーファイル記憶部22は、クライアントIDとアプリケーションIDとキーファイルとを対応付けて記憶することになる(ステップS32)。
【0028】
また、クライアントコンピュータ1のキーファイルダウンロード要求部12は、サーバ装置2にアクセスしたいアプリケーションプログラムのアプリケーションIDをキーファイルダウンロード要求のメッセージに添付してサーバ装置2に送信すればよい(ステップS20)。サーバ装置2のキーファイルダウンロード部23は、ダウンロード要求をしたクライアントコンピュータ1のクライアントIDおよびアプリケーションIDに対応するキーファイルをキーファイル記憶部22から取得して、取得したキーファイルを要求元のクライアントコンピュータ1へ送信することになる(ステップS34)。
こうして、本実施の形態では、アプリケーションプログラムごとにサーバ装置へのアクセス権を管理することができる。
【0029】
なお、本実施の形態で説明したクライアントコンピュータとサーバ装置の各々は、それぞれCPU、記憶装置及びインタフェースを備えたコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。各々の装置のCPUは、記憶装置に格納されたプログラムに従って本実施の形態で説明した処理を実行する。
【産業上の利用可能性】
【0030】
本発明は、クライアント端末装置のサーバ装置へのアクセス権を管理する技術に適用することができる。
【符号の説明】
【0031】
1…クライアントコンピュータ、2…サーバ装置、3…ネットワーク、10…固有情報取得部、11…キーファイル作成部、12…キーファイルダウンロード要求部、13,20…通信制御部、14…キーファイル比較部、15…サーバアクセス権取得部、16…キーファイル送信部、21…キーファイル受信部、22…キーファイル記憶部、23…キーファイルダウンロード部、24…サービス提供部。
【特許請求の範囲】
【請求項1】
クライアント端末装置と、
このクライアント端末装置とネットワークを介して接続されたサーバ装置とを有し、
前記クライアント端末装置は、
この端末装置に固有のキーファイルを作成するキーファイル作成手段と、
前記キーファイルを前記サーバ装置へ送信するキーファイル送信手段と、
前記サーバ装置に対してサービス要求したい場合に、前記キーファイルのダウンロードを要求するキーファイルダウンロード要求手段と、
前記サーバ装置から送信されたキーファイルと前記キーファイル作成手段が作成したキーファイルとを比較して一致するかどうかを判定するキーファイル比較手段と、
前記キーファイルが一致すると判定された場合に、前記サーバ装置が提供するサービスへのアクセス権を取得するサーバアクセス権取得手段とを備え、
前記サーバ装置は、
前記クライアント端末装置から送信されたキーファイルを記憶するキーファイル記憶手段と、
前記クライアント端末装置からキーファイルのダウンロード要求があった場合に、前記キーファイル記憶手段が記憶しているキーファイルの中から要求元のクライアント端末装置に対応するキーファイルを取得して送信するキーファイルダウンロード手段とを備えることを特徴とするアクセス権管理システム。
【請求項2】
請求項1記載のアクセス権管理システムにおいて、
前記キーファイル作成手段は、前記クライアント端末装置の固有情報をハッシュ化して前記キーファイルを作成することを特徴とするアクセス権管理システム。
【請求項3】
クライアント端末装置がこの端末装置に固有のキーファイルを作成するキーファイル作成ステップと、
前記クライアント端末装置が前記キーファイルをサーバ装置へ送信するキーファイル送信ステップと、
前記サーバ装置が前記クライアント端末装置から送信されたキーファイルを記憶するキーファイル記憶ステップと、
前記クライアント端末装置が前記サーバ装置に対してサービス要求したい場合に、前記キーファイルのダウンロードを要求するキーファイルダウンロード要求ステップと、
前記サーバ装置が前記クライアント端末装置からキーファイルのダウンロード要求があった場合に、記憶しているキーファイルの中から要求元のクライアント端末装置に対応するキーファイルを取得して送信するキーファイルダウンロードステップと、
前記クライアント端末装置が前記サーバ装置から送信されたキーファイルと前記キーファイル作成ステップで作成したキーファイルとを比較して一致するかどうかを判定するキーファイル比較ステップと、
前記クライアント端末装置が前記キーファイルが一致すると判定した場合に、前記サーバ装置が提供するサービスへのアクセス権を取得するサーバアクセス権取得ステップとを備えることを特徴とするアクセス権管理方法。
【請求項4】
請求項3記載のアクセス権管理方法において、
前記キーファイル作成ステップは、前記クライアント端末装置の固有情報をハッシュ化して前記キーファイルを作成することを特徴とするアクセス権管理方法。
【請求項1】
クライアント端末装置と、
このクライアント端末装置とネットワークを介して接続されたサーバ装置とを有し、
前記クライアント端末装置は、
この端末装置に固有のキーファイルを作成するキーファイル作成手段と、
前記キーファイルを前記サーバ装置へ送信するキーファイル送信手段と、
前記サーバ装置に対してサービス要求したい場合に、前記キーファイルのダウンロードを要求するキーファイルダウンロード要求手段と、
前記サーバ装置から送信されたキーファイルと前記キーファイル作成手段が作成したキーファイルとを比較して一致するかどうかを判定するキーファイル比較手段と、
前記キーファイルが一致すると判定された場合に、前記サーバ装置が提供するサービスへのアクセス権を取得するサーバアクセス権取得手段とを備え、
前記サーバ装置は、
前記クライアント端末装置から送信されたキーファイルを記憶するキーファイル記憶手段と、
前記クライアント端末装置からキーファイルのダウンロード要求があった場合に、前記キーファイル記憶手段が記憶しているキーファイルの中から要求元のクライアント端末装置に対応するキーファイルを取得して送信するキーファイルダウンロード手段とを備えることを特徴とするアクセス権管理システム。
【請求項2】
請求項1記載のアクセス権管理システムにおいて、
前記キーファイル作成手段は、前記クライアント端末装置の固有情報をハッシュ化して前記キーファイルを作成することを特徴とするアクセス権管理システム。
【請求項3】
クライアント端末装置がこの端末装置に固有のキーファイルを作成するキーファイル作成ステップと、
前記クライアント端末装置が前記キーファイルをサーバ装置へ送信するキーファイル送信ステップと、
前記サーバ装置が前記クライアント端末装置から送信されたキーファイルを記憶するキーファイル記憶ステップと、
前記クライアント端末装置が前記サーバ装置に対してサービス要求したい場合に、前記キーファイルのダウンロードを要求するキーファイルダウンロード要求ステップと、
前記サーバ装置が前記クライアント端末装置からキーファイルのダウンロード要求があった場合に、記憶しているキーファイルの中から要求元のクライアント端末装置に対応するキーファイルを取得して送信するキーファイルダウンロードステップと、
前記クライアント端末装置が前記サーバ装置から送信されたキーファイルと前記キーファイル作成ステップで作成したキーファイルとを比較して一致するかどうかを判定するキーファイル比較ステップと、
前記クライアント端末装置が前記キーファイルが一致すると判定した場合に、前記サーバ装置が提供するサービスへのアクセス権を取得するサーバアクセス権取得ステップとを備えることを特徴とするアクセス権管理方法。
【請求項4】
請求項3記載のアクセス権管理方法において、
前記キーファイル作成ステップは、前記クライアント端末装置の固有情報をハッシュ化して前記キーファイルを作成することを特徴とするアクセス権管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−64088(P2012−64088A)
【公開日】平成24年3月29日(2012.3.29)
【国際特許分類】
【出願番号】特願2010−208997(P2010−208997)
【出願日】平成22年9月17日(2010.9.17)
【出願人】(000006666)株式会社山武 (1,808)
【Fターム(参考)】
【公開日】平成24年3月29日(2012.3.29)
【国際特許分類】
【出願日】平成22年9月17日(2010.9.17)
【出願人】(000006666)株式会社山武 (1,808)
【Fターム(参考)】
[ Back to top ]