クライアントサーバシステム
【課題】 認証サーバと通信できない状況においても、専用デバイスを用意することなくオフラインポリシーを変更できるようにする。
【解決手段】 クライアントマシンが認証サーバと通信できない状況においては、電話やメール等の通信手段を通して、適用対象のオフラインポリシー情報とユーザ固有の情報を組み合わせたチャレンジコードをセキュリティ管理者に送信し、セキュリティ管理者の承認をレスポンスコードとして受け取ることによって、クライアントマシンに保存された複数のオフラインポリシーをいずれかに切り替えることを特徴とする。
【解決手段】 クライアントマシンが認証サーバと通信できない状況においては、電話やメール等の通信手段を通して、適用対象のオフラインポリシー情報とユーザ固有の情報を組み合わせたチャレンジコードをセキュリティ管理者に送信し、セキュリティ管理者の承認をレスポンスコードとして受け取ることによって、クライアントマシンに保存された複数のオフラインポリシーをいずれかに切り替えることを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ログイン時に認証サーバよりアクセス制御ポリシーを取得し、当該ポリシーをクライアントマシンに反映させるクライアントサーバシステムに関するものである。
【背景技術】
【0002】
従来からのクライアントマシンにおけるアクセス制御は、企業のような情報システムを想定すると、クライアントマシンがシステムへのログイン時に認証サーバよりアクセス制御ポリシーを取得し、ログイン後にはそのアクセス制御ポリシーが反映され、ログアウト後には再度、全権限が制限された状態に戻る、という形式のものが中心となっている。
それらのアクセス制御ポリシーによって保護されるリソースは、ドキュメント、印刷機能、外部媒体へのデータ書き出し機能、およびメール送信機能など多岐にわたる。
そのようなシステムの中に、サーバと通信できない状況での運用も考慮され、オンラインログイン時にオフライン時のアクセス制御ポリシーも取得し、オフライン時に該ポリシーを反映させるというものも存在する。
【0003】
このサーバと通信できない状況での運用が考慮されたシステムの方式として、例えば、特許文献1、および特許文献2に記載の技術がある。
特許文献1に開示された技術においては、ログイン時に1つのオフライン時のアクセス制御ポリシーを取得し、有効期限内で反映可能という方式を提案している。
また、特許文献2に開示された技術においては、オンラインログイン時に複数のアクセスポリシーを取得し、オフライン時にはトークンデバイスの中に選択するアクセス制御ポリシーの情報を登録し、当該クライアントマシンに接続することで、有効期限内で反映可能という方式を提案している。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−33855号公報
【特許文献2】特開2010−250714号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記特許文献1の技術は、1度はクライアントマシンと認証サーバが必ず通信できることを前提としており、常にマシンを社外に持ち出して使用するような状況では、何もできないという問題点があった。また、適用されるアクセス制御ポリシーは1つだけであり、クライアントマシンがサーバに接続できない状況であっても、ユーザ毎に異なった適度に制限されたアクセス制御ポリシーを実施する、というような柔軟な運用が従来技術では行なう事ができなかった。
また、上記特許文献2の技術は、トークンデバイスといった専用デバイスを用意しなければならないという問題点があった。また、該デバイスを紛失することにより、再度デバイスを用意するまで業務を遂行できなくなるという問題点があった。
専用デバイスを使用することなく、ワンタイムパスワードを利用することによってオフラインポリシーを切り替える場合も、セキュリティ管理者は変更後のセキュリティポリシーを知ることができないため、適切なセキュリティポリシーの運用ができないという問題点があった。
【0006】
本発明の目的は、サーバと通信できない状態でもアクセス制御ポリシーを定義でき、専用デバイスを用意することなくオフラインポリシーを変更できる仕組みを提供し、より柔軟なアクセス制御ポリシーを実現できるクライアントサーバシステムを提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明のクライアントサーバシステムは、クライアントマシンを認証し、オンライン時のリソースへのアクセス制御ポリシーを当該クライアントマシンへ送付するサーバと、該サーバからアクセス制御ポリシーを受信する複数の前記クライアントマシンからなるクライアントサーバシステムであって、
前記サーバは、
前記クライアントマシンを使用する各ユーザの認証情報に加えて、各ユーザのオンラインログイン時のアクセス制御ポリシーであるオンラインポリシーを保持し、さらにオフライン時のアクセス制御ポリシーである複数のオフラインポリシーを保持するアクセス制御ポリシー記憶手段と、
該アクセス制御ポリシー記憶手段に保持された複数のオフラインポリシーを前記クライアントマシンに導入するためのインストール媒体を作成するインストール媒体作成手段とを有し、
前記クライアントマシンは、
前記サーバへのオンライン時に前記アクセス制御ポリシー記憶手段に保持されたオンラインポリシーを取得し、該オンラインポリシーに従って当該クライアントマシンのリソースへのアクセス制御を実行する第1の手段と、
前記インストール媒体作成手段が作成したインストール媒体によって、前記クライアントマシンに前記複数のオフラインポリシーのいずれかを適用し、該オフラインポリシーに従ってオフライン時のリソース資源へのアクセス制御を実行する第2の手段とを有し、
前記第2の手段は、前記複数のオフラインポリシーのいずれかを適用するに際し、いずれかのオフラインポリシーに対応するセキュリティポリシー情報とユーザ情報を組み合わせたチャレンジコードを表示し、チャレンジコードを受信した前記サーバが発行するワンタイムパスワードか正しいか否かを判断し、正しくなければオフラインポリシーは適用せず、リソースへのアクセス権限が全て制限された状態とし、ワンタイムパスワードが正しい場合には、適用対象のセキュリティポリシー情報と一致するオフラインポリシーを適用してオフライン時のアクセス制御を実行することを特徴とする。
また、複数のオフラインポリシーに関する情報を前記クライアントマシン上に保持し、前記チャレンジコードにより、前記複数のオフラインポリシーのうちいずれを適用するかを選択することを特徴とする請求項1に記載のクライアントサーバシステム
【発明の効果】
【0008】
本発明のクライアントサーバシステムによれば、次のような効果がある。
認証サーバと通信できない状況で使用するクライアントマシンに対して、適度なアクセス制御ポリシーを適用することができる。また、認証サーバと通信できない状況にあるクライアントマシンに対して、専用デバイスを用意することなくアクセス制御ポリシーを変更することができるため、さまざまな状況に対応することが可能となる。
【図面の簡単な説明】
【0009】
【図1】本発明における管理サーバとクライアントを含むシステム全体構成図である。
【図2】アクセス制御ポリシーデータベースに格納されているデータの構成図である。
【図3】本発明におけるセキュリティポリシーの適用の仕方を示す概略説明図である。
【図4】本発明で用いるオフラインポリシーセットのデータ構成図である。
【図5】オンラインログイン時の処理を示すフローチャートである。
【図6】オフラインログイン時の処を示すフローチャートである。
【発明を実施するための形態】
【0010】
以下、本発明を適用したクライアントサーバシステムの実施の一形態について説明する。
図1は、本発明の一実施の形態を示すシステム構成図である。
サーバ103は、アクセス制御ポリシーデータベース(DB)104を備え、ここに各ユーザ毎のオンラインポリシーが保存してある。
各クライアントマシン101のユーザは、通常はサーバ103とオンラインログインを行って、各種の作業を行う。その通信のたびに、サーバ103からオンラインポリシーを取得し、クライアントマシン101に保存する。
例えば図1では、クライアントマシン101からUser1がオンラインログインすると、サーバ103のアクセス制御ポリシーDB104内のUser1に対応するオンラインポリシー106が、ネットワーク102経由でクライアントマシン101にダウンロードされ、User1のオンラインポリシー105として保存される。
これにより、User1がオンラインログインしたときは、オンラインポリシーに応じてアクセス制御が実行される。
【0011】
図2は、ユーザ毎のアクセス制御ポリシーDB(図1の104)に格納される情報の例を示す。管理者は、各ユーザ毎にオンラインポリシーを設定(定義)することができ、設定の後に変更することもできる。
この例のオンラインポリシーにおいては、User1はリソースへのアクセス権限として、印刷可、メール送信可、外部媒体持ち出し不可、ネットワークフォルダアクセス可に設定されている。
一方、User2は印刷可、メール送信可、外部媒体持ち出し可、ネットワークフォルダアクセス可に設定され、外部媒体によるデータの持ち出し権限がUser1とでは異なるように定義されている。
【0012】
図3は、本発明の一実施形態であるシステムの構成とオフラインログイン時の処理の概要を示している。
サーバ103は、さまざまなオフラインポリシーのSet302を保持している。そしてクライアントマシン101へオフラインポリシーを導入するときに使用するインストール媒体303を作成し、クライアントマシン101にインストールすることで、サーバ103に保持されているさまざまなオフラインポリシーのSet302をクライアントマシン101上にも保持させる。
オフライン時にどのオフラインポリシー302を使用するかは、ユーザ情報および適用対象のオフラインポリシーに対応するセキュリティポリシー情報を付加したチャレンジコードをセキュリティ管理者に送信し、セキュリティ管理者の承認の下に発行されたワンタイムパスワードをユーザが入力することにより、選択する。ワンタイムパスワードが発行されていない場合には、全権限が制限される。
図4は、本発明で用いるオフラインポリシーセット302のデータ構成例である。
図4に示すように、オフラインポリシーの組合せが複数準備され、それらの組合せの一つ一つにセット番号Set1〜Set3・・が付されている。
【0013】
図5は、クライアントマシン101においてオンラインログイン時の処理手順を示すフローチャートである。
あるユーザがクライアントマシン101から認証サーバ103にオンラインログインすると、まずステップ501で、認証サーバ103との間で認証処理を行う(ステップ502)。認証に失敗した場合は、ステップ503でエラー終了する。認証に成功した場合は、ステップ504で、認証サーバ103のアクセス制御ポリシーDB104から当該ユーザに対応するオンラインポリシーを取得する。その後、ステップ505でオンラインログイン処理を行なう。
オンラインログイン処理後のクライアントマシン101はステップ504で取得したオンラインポリシーに従ってリソースへのアクセス制御を行う。
【0014】
図6は、クライアントマシン101において、オフライン時の処理手順を示すフローチャートである。
まずステップ601で、変更後のオフラインポリシーを選択する。
すなわち、クライアントマシン101はオンライン時に認証サーバ103から取得したオフラインポリシーのSetを複数組保持しているが、クライアントマシン101のユーザがオフライン時に利用するオフラインポリシーのSetを例えばSet1からSet2へ変更したい場合、ステップ602で、ステップ601で選択されたオフラインポリシーに対応するセキュリティ情報(Set番号)とユーザ情報の組み合わせから、チャレンジコードを作成する。
【0015】
クライアントマシン101はステップ603で、ステップ602で作成したチャレンジコードを表示画面(図示しない)等に表示し、ユーザは電話やメール等の通信手段を使用し、表示されたチャレンジコードをセキュリティ管理者に送信する。セキュリティ管理者はチャレンジコードを受信し、ステップ604でオフラインポリシーへの切り替えを承認するかを判別する。
セキュリティ管理者がオフラインポリシーの切り替えを承認する場合には、ステップ605で認証サーバ103はワンタイムパスワードを発行し、セキュリティ管理者は電話やメール等の通信手段を使用し、ワンタイムパスワードをユーザに送信する。セキュリティ管理者が承認しない場合には、クライアントマシン101はステップ610で全権限を制限する設定を適用する。
【0016】
ステップ606で、ユーザはセキュリティ管理者から電話やメール等の通信手段によってワンタイムパスワードを受信し、ワンタイムパスワードをクライアントマシン101に入力する。
ステップ607で、クライアントマシン101はワンタイムパスワードが正しいか判別する。パスワードが不正な場合には、ステップ610で全権限を制限する設定を適用する。ワンタイムパスワードが正しい場合には、ステップ606でパスワードの有効期限が過ぎていないか判別する。ワンタイムパスワードの有効期限が過ぎている場合には、ステップ610で全権限を制限する設定を適用する。ワンタイムパスワードの有効期限が過ぎていない場合には、ステップ609でオフラインポリシーを適用する。
【0017】
なお、クライアントマシン101と認証サーバ103とで、ワンタイムパスワードを生成するロジックは同一であり、同一のチャレンジコードからは、双方の装置で同一のワンタイムパスワードが生成されるものとする。
【0018】
以上の処理によって、クライアントマシン101はオフライン状態にあっても、インストール媒体303から取得しておいた複数のオフラインポリシーの1つをユーザが選択し、そのポリシーを利用することをセキュリティ管理者から許されたときのみ利用し、リソースのアクセス制御を実行する。したがって、認証サーバ103と通信できない状況で使用するクライアントマシン101に対して、適度なアクセス制御ポリシーを適用することができる。
また、認証サーバ103と通信できない状況にあるクライアントマシン101に対して、専用デバイスを用意することなくアクセス制御ポリシーを複数のポリシーにいずれかに変更することができるため、さまざまな状況に対応することが可能となる。
【符号の説明】
【0019】
101 クライアントマシン
103 認証サーバ
104 アクセス制御ポリシーデータベース
【技術分野】
【0001】
本発明は、ログイン時に認証サーバよりアクセス制御ポリシーを取得し、当該ポリシーをクライアントマシンに反映させるクライアントサーバシステムに関するものである。
【背景技術】
【0002】
従来からのクライアントマシンにおけるアクセス制御は、企業のような情報システムを想定すると、クライアントマシンがシステムへのログイン時に認証サーバよりアクセス制御ポリシーを取得し、ログイン後にはそのアクセス制御ポリシーが反映され、ログアウト後には再度、全権限が制限された状態に戻る、という形式のものが中心となっている。
それらのアクセス制御ポリシーによって保護されるリソースは、ドキュメント、印刷機能、外部媒体へのデータ書き出し機能、およびメール送信機能など多岐にわたる。
そのようなシステムの中に、サーバと通信できない状況での運用も考慮され、オンラインログイン時にオフライン時のアクセス制御ポリシーも取得し、オフライン時に該ポリシーを反映させるというものも存在する。
【0003】
このサーバと通信できない状況での運用が考慮されたシステムの方式として、例えば、特許文献1、および特許文献2に記載の技術がある。
特許文献1に開示された技術においては、ログイン時に1つのオフライン時のアクセス制御ポリシーを取得し、有効期限内で反映可能という方式を提案している。
また、特許文献2に開示された技術においては、オンラインログイン時に複数のアクセスポリシーを取得し、オフライン時にはトークンデバイスの中に選択するアクセス制御ポリシーの情報を登録し、当該クライアントマシンに接続することで、有効期限内で反映可能という方式を提案している。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−33855号公報
【特許文献2】特開2010−250714号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記特許文献1の技術は、1度はクライアントマシンと認証サーバが必ず通信できることを前提としており、常にマシンを社外に持ち出して使用するような状況では、何もできないという問題点があった。また、適用されるアクセス制御ポリシーは1つだけであり、クライアントマシンがサーバに接続できない状況であっても、ユーザ毎に異なった適度に制限されたアクセス制御ポリシーを実施する、というような柔軟な運用が従来技術では行なう事ができなかった。
また、上記特許文献2の技術は、トークンデバイスといった専用デバイスを用意しなければならないという問題点があった。また、該デバイスを紛失することにより、再度デバイスを用意するまで業務を遂行できなくなるという問題点があった。
専用デバイスを使用することなく、ワンタイムパスワードを利用することによってオフラインポリシーを切り替える場合も、セキュリティ管理者は変更後のセキュリティポリシーを知ることができないため、適切なセキュリティポリシーの運用ができないという問題点があった。
【0006】
本発明の目的は、サーバと通信できない状態でもアクセス制御ポリシーを定義でき、専用デバイスを用意することなくオフラインポリシーを変更できる仕組みを提供し、より柔軟なアクセス制御ポリシーを実現できるクライアントサーバシステムを提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明のクライアントサーバシステムは、クライアントマシンを認証し、オンライン時のリソースへのアクセス制御ポリシーを当該クライアントマシンへ送付するサーバと、該サーバからアクセス制御ポリシーを受信する複数の前記クライアントマシンからなるクライアントサーバシステムであって、
前記サーバは、
前記クライアントマシンを使用する各ユーザの認証情報に加えて、各ユーザのオンラインログイン時のアクセス制御ポリシーであるオンラインポリシーを保持し、さらにオフライン時のアクセス制御ポリシーである複数のオフラインポリシーを保持するアクセス制御ポリシー記憶手段と、
該アクセス制御ポリシー記憶手段に保持された複数のオフラインポリシーを前記クライアントマシンに導入するためのインストール媒体を作成するインストール媒体作成手段とを有し、
前記クライアントマシンは、
前記サーバへのオンライン時に前記アクセス制御ポリシー記憶手段に保持されたオンラインポリシーを取得し、該オンラインポリシーに従って当該クライアントマシンのリソースへのアクセス制御を実行する第1の手段と、
前記インストール媒体作成手段が作成したインストール媒体によって、前記クライアントマシンに前記複数のオフラインポリシーのいずれかを適用し、該オフラインポリシーに従ってオフライン時のリソース資源へのアクセス制御を実行する第2の手段とを有し、
前記第2の手段は、前記複数のオフラインポリシーのいずれかを適用するに際し、いずれかのオフラインポリシーに対応するセキュリティポリシー情報とユーザ情報を組み合わせたチャレンジコードを表示し、チャレンジコードを受信した前記サーバが発行するワンタイムパスワードか正しいか否かを判断し、正しくなければオフラインポリシーは適用せず、リソースへのアクセス権限が全て制限された状態とし、ワンタイムパスワードが正しい場合には、適用対象のセキュリティポリシー情報と一致するオフラインポリシーを適用してオフライン時のアクセス制御を実行することを特徴とする。
また、複数のオフラインポリシーに関する情報を前記クライアントマシン上に保持し、前記チャレンジコードにより、前記複数のオフラインポリシーのうちいずれを適用するかを選択することを特徴とする請求項1に記載のクライアントサーバシステム
【発明の効果】
【0008】
本発明のクライアントサーバシステムによれば、次のような効果がある。
認証サーバと通信できない状況で使用するクライアントマシンに対して、適度なアクセス制御ポリシーを適用することができる。また、認証サーバと通信できない状況にあるクライアントマシンに対して、専用デバイスを用意することなくアクセス制御ポリシーを変更することができるため、さまざまな状況に対応することが可能となる。
【図面の簡単な説明】
【0009】
【図1】本発明における管理サーバとクライアントを含むシステム全体構成図である。
【図2】アクセス制御ポリシーデータベースに格納されているデータの構成図である。
【図3】本発明におけるセキュリティポリシーの適用の仕方を示す概略説明図である。
【図4】本発明で用いるオフラインポリシーセットのデータ構成図である。
【図5】オンラインログイン時の処理を示すフローチャートである。
【図6】オフラインログイン時の処を示すフローチャートである。
【発明を実施するための形態】
【0010】
以下、本発明を適用したクライアントサーバシステムの実施の一形態について説明する。
図1は、本発明の一実施の形態を示すシステム構成図である。
サーバ103は、アクセス制御ポリシーデータベース(DB)104を備え、ここに各ユーザ毎のオンラインポリシーが保存してある。
各クライアントマシン101のユーザは、通常はサーバ103とオンラインログインを行って、各種の作業を行う。その通信のたびに、サーバ103からオンラインポリシーを取得し、クライアントマシン101に保存する。
例えば図1では、クライアントマシン101からUser1がオンラインログインすると、サーバ103のアクセス制御ポリシーDB104内のUser1に対応するオンラインポリシー106が、ネットワーク102経由でクライアントマシン101にダウンロードされ、User1のオンラインポリシー105として保存される。
これにより、User1がオンラインログインしたときは、オンラインポリシーに応じてアクセス制御が実行される。
【0011】
図2は、ユーザ毎のアクセス制御ポリシーDB(図1の104)に格納される情報の例を示す。管理者は、各ユーザ毎にオンラインポリシーを設定(定義)することができ、設定の後に変更することもできる。
この例のオンラインポリシーにおいては、User1はリソースへのアクセス権限として、印刷可、メール送信可、外部媒体持ち出し不可、ネットワークフォルダアクセス可に設定されている。
一方、User2は印刷可、メール送信可、外部媒体持ち出し可、ネットワークフォルダアクセス可に設定され、外部媒体によるデータの持ち出し権限がUser1とでは異なるように定義されている。
【0012】
図3は、本発明の一実施形態であるシステムの構成とオフラインログイン時の処理の概要を示している。
サーバ103は、さまざまなオフラインポリシーのSet302を保持している。そしてクライアントマシン101へオフラインポリシーを導入するときに使用するインストール媒体303を作成し、クライアントマシン101にインストールすることで、サーバ103に保持されているさまざまなオフラインポリシーのSet302をクライアントマシン101上にも保持させる。
オフライン時にどのオフラインポリシー302を使用するかは、ユーザ情報および適用対象のオフラインポリシーに対応するセキュリティポリシー情報を付加したチャレンジコードをセキュリティ管理者に送信し、セキュリティ管理者の承認の下に発行されたワンタイムパスワードをユーザが入力することにより、選択する。ワンタイムパスワードが発行されていない場合には、全権限が制限される。
図4は、本発明で用いるオフラインポリシーセット302のデータ構成例である。
図4に示すように、オフラインポリシーの組合せが複数準備され、それらの組合せの一つ一つにセット番号Set1〜Set3・・が付されている。
【0013】
図5は、クライアントマシン101においてオンラインログイン時の処理手順を示すフローチャートである。
あるユーザがクライアントマシン101から認証サーバ103にオンラインログインすると、まずステップ501で、認証サーバ103との間で認証処理を行う(ステップ502)。認証に失敗した場合は、ステップ503でエラー終了する。認証に成功した場合は、ステップ504で、認証サーバ103のアクセス制御ポリシーDB104から当該ユーザに対応するオンラインポリシーを取得する。その後、ステップ505でオンラインログイン処理を行なう。
オンラインログイン処理後のクライアントマシン101はステップ504で取得したオンラインポリシーに従ってリソースへのアクセス制御を行う。
【0014】
図6は、クライアントマシン101において、オフライン時の処理手順を示すフローチャートである。
まずステップ601で、変更後のオフラインポリシーを選択する。
すなわち、クライアントマシン101はオンライン時に認証サーバ103から取得したオフラインポリシーのSetを複数組保持しているが、クライアントマシン101のユーザがオフライン時に利用するオフラインポリシーのSetを例えばSet1からSet2へ変更したい場合、ステップ602で、ステップ601で選択されたオフラインポリシーに対応するセキュリティ情報(Set番号)とユーザ情報の組み合わせから、チャレンジコードを作成する。
【0015】
クライアントマシン101はステップ603で、ステップ602で作成したチャレンジコードを表示画面(図示しない)等に表示し、ユーザは電話やメール等の通信手段を使用し、表示されたチャレンジコードをセキュリティ管理者に送信する。セキュリティ管理者はチャレンジコードを受信し、ステップ604でオフラインポリシーへの切り替えを承認するかを判別する。
セキュリティ管理者がオフラインポリシーの切り替えを承認する場合には、ステップ605で認証サーバ103はワンタイムパスワードを発行し、セキュリティ管理者は電話やメール等の通信手段を使用し、ワンタイムパスワードをユーザに送信する。セキュリティ管理者が承認しない場合には、クライアントマシン101はステップ610で全権限を制限する設定を適用する。
【0016】
ステップ606で、ユーザはセキュリティ管理者から電話やメール等の通信手段によってワンタイムパスワードを受信し、ワンタイムパスワードをクライアントマシン101に入力する。
ステップ607で、クライアントマシン101はワンタイムパスワードが正しいか判別する。パスワードが不正な場合には、ステップ610で全権限を制限する設定を適用する。ワンタイムパスワードが正しい場合には、ステップ606でパスワードの有効期限が過ぎていないか判別する。ワンタイムパスワードの有効期限が過ぎている場合には、ステップ610で全権限を制限する設定を適用する。ワンタイムパスワードの有効期限が過ぎていない場合には、ステップ609でオフラインポリシーを適用する。
【0017】
なお、クライアントマシン101と認証サーバ103とで、ワンタイムパスワードを生成するロジックは同一であり、同一のチャレンジコードからは、双方の装置で同一のワンタイムパスワードが生成されるものとする。
【0018】
以上の処理によって、クライアントマシン101はオフライン状態にあっても、インストール媒体303から取得しておいた複数のオフラインポリシーの1つをユーザが選択し、そのポリシーを利用することをセキュリティ管理者から許されたときのみ利用し、リソースのアクセス制御を実行する。したがって、認証サーバ103と通信できない状況で使用するクライアントマシン101に対して、適度なアクセス制御ポリシーを適用することができる。
また、認証サーバ103と通信できない状況にあるクライアントマシン101に対して、専用デバイスを用意することなくアクセス制御ポリシーを複数のポリシーにいずれかに変更することができるため、さまざまな状況に対応することが可能となる。
【符号の説明】
【0019】
101 クライアントマシン
103 認証サーバ
104 アクセス制御ポリシーデータベース
【特許請求の範囲】
【請求項1】
クライアントマシンを認証し、オンライン時のリソースへのアクセス制御ポリシーを当該クライアントマシンへ送付するサーバと、該サーバからアクセス制御ポリシーを受信する複数の前記クライアントマシンからなるクライアントサーバシステムであって、
前記サーバは、
前記クライアントマシンを使用する各ユーザの認証情報に加えて、各ユーザのオンラインログイン時のアクセス制御ポリシーであるオンラインポリシーを保持し、さらにオフライン時のアクセス制御ポリシーである複数のオフラインポリシーを保持するアクセス制御ポリシー記憶手段と、
該アクセス制御ポリシー記憶手段に保持された複数のオフラインポリシーを前記クライアントマシンに導入するためのインストール媒体を作成するインストール媒体作成手段とを有し、
前記クライアントマシンは、
前記サーバへのオンライン時に前記アクセス制御ポリシー記憶手段に保持されたオンラインポリシーを取得し、該オンラインポリシーに従って当該クライアントマシンのリソースへのアクセス制御を実行する第1の手段と、
前記インストール媒体作成手段が作成したインストール媒体によって、前記クライアントマシンに前記複数のオフラインポリシーのいずれかを適用し、該オフラインポリシーに従ってオフライン時のリソース資源へのアクセス制御を実行する第2の手段とを有し、
前記第2の手段は、前記複数のオフラインポリシーのいずれかを適用するに際し、いずれかのオフラインポリシーに対応するセキュリティポリシー情報とユーザ情報を組み合わせたチャレンジコードを表示し、チャレンジコードを受信した前記サーバが発行するワンタイムパスワードか正しいか否かを判断し、正しくなければオフラインポリシーは適用せず、リソースへのアクセス権限が全て制限された状態とし、ワンタイムパスワードが正しい場合には、適用対象のセキュリティポリシー情報と一致するオフラインポリシーを適用してオフライン時のアクセス制御を実行することを特徴とするクライアントサーバシステム。
【請求項2】
複数のオフラインポリシーに関する情報を前記クライアントマシン上に保持し、前記チャレンジコードにより、前記複数のオフラインポリシーのうちいずれを適用するかを選択することを特徴とする請求項1に記載のクライアントサーバシステム。
【請求項1】
クライアントマシンを認証し、オンライン時のリソースへのアクセス制御ポリシーを当該クライアントマシンへ送付するサーバと、該サーバからアクセス制御ポリシーを受信する複数の前記クライアントマシンからなるクライアントサーバシステムであって、
前記サーバは、
前記クライアントマシンを使用する各ユーザの認証情報に加えて、各ユーザのオンラインログイン時のアクセス制御ポリシーであるオンラインポリシーを保持し、さらにオフライン時のアクセス制御ポリシーである複数のオフラインポリシーを保持するアクセス制御ポリシー記憶手段と、
該アクセス制御ポリシー記憶手段に保持された複数のオフラインポリシーを前記クライアントマシンに導入するためのインストール媒体を作成するインストール媒体作成手段とを有し、
前記クライアントマシンは、
前記サーバへのオンライン時に前記アクセス制御ポリシー記憶手段に保持されたオンラインポリシーを取得し、該オンラインポリシーに従って当該クライアントマシンのリソースへのアクセス制御を実行する第1の手段と、
前記インストール媒体作成手段が作成したインストール媒体によって、前記クライアントマシンに前記複数のオフラインポリシーのいずれかを適用し、該オフラインポリシーに従ってオフライン時のリソース資源へのアクセス制御を実行する第2の手段とを有し、
前記第2の手段は、前記複数のオフラインポリシーのいずれかを適用するに際し、いずれかのオフラインポリシーに対応するセキュリティポリシー情報とユーザ情報を組み合わせたチャレンジコードを表示し、チャレンジコードを受信した前記サーバが発行するワンタイムパスワードか正しいか否かを判断し、正しくなければオフラインポリシーは適用せず、リソースへのアクセス権限が全て制限された状態とし、ワンタイムパスワードが正しい場合には、適用対象のセキュリティポリシー情報と一致するオフラインポリシーを適用してオフライン時のアクセス制御を実行することを特徴とするクライアントサーバシステム。
【請求項2】
複数のオフラインポリシーに関する情報を前記クライアントマシン上に保持し、前記チャレンジコードにより、前記複数のオフラインポリシーのうちいずれを適用するかを選択することを特徴とする請求項1に記載のクライアントサーバシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−215985(P2012−215985A)
【公開日】平成24年11月8日(2012.11.8)
【国際特許分類】
【出願番号】特願2011−79654(P2011−79654)
【出願日】平成23年3月31日(2011.3.31)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】
【公開日】平成24年11月8日(2012.11.8)
【国際特許分類】
【出願日】平成23年3月31日(2011.3.31)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】
[ Back to top ]