コンピュータシステムおよびそのアクセス権管理方法
【課題】端末装置が利用される個々の場所ごとに、それぞれ異なるアクセス権を設定する。
【解決手段】情報記録媒体400を所持する利用者Pが、管理エリアAに入る際に、管理ユニット340Aが、認証コード格納部410に格納されている認証コードによる認証を行う。認証に成功すると、電子錠330Aが解錠してゲート310Aが開き、管理コード格納部420に、管理エリアAについて設定されている管理コードが書き込まれる。利用者Pが端末装置320Aから認証サーバ装置100へアクセスすると、管理コード格納部420から読み出された管理コードが認証サーバ装置100へ送信される。認証サーバ装置100は、この管理コードに対応した所定の条件下でアクセスに応じることを許可する。利用者Pが管理エリアAから出る際には、管理ユニット340Aにより管理コード格納部420内の管理コードは消去される。
【解決手段】情報記録媒体400を所持する利用者Pが、管理エリアAに入る際に、管理ユニット340Aが、認証コード格納部410に格納されている認証コードによる認証を行う。認証に成功すると、電子錠330Aが解錠してゲート310Aが開き、管理コード格納部420に、管理エリアAについて設定されている管理コードが書き込まれる。利用者Pが端末装置320Aから認証サーバ装置100へアクセスすると、管理コード格納部420から読み出された管理コードが認証サーバ装置100へ送信される。認証サーバ装置100は、この管理コードに対応した所定の条件下でアクセスに応じることを許可する。利用者Pが管理エリアAから出る際には、管理ユニット340Aにより管理コード格納部420内の管理コードは消去される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータシステムおよびそのアクセス権管理方法に関する。特に、本発明は、複数の管理エリア内の各端末装置からアクセス対象となるサーバ装置へ、ネットワークを介してアクセスを行うことが可能なコンピュータシステムにおいて、個々の管理エリアごとにそれぞれ異なるアクセス権を設定する技術に関する。
【背景技術】
【0002】
ネットワークの発達により、コンピュータの利用形態は、端末装置(クライアントコンピュータ)からサーバ装置(サーバコンピュータ)へネットワークを介してアクセスするという方法が一般化してきている。この場合、端末装置の利用者は、通常、所定のアカウント(利用者ID)およびパスワードを用いてサーバ装置にログインし、サーバ装置に格納されているデータを端末装置へ読み出したり、逆に、端末装置に格納されているデータをサーバ装置へ書き込んだりする作業を行うことになる。サーバ装置に対しては、多数の利用者がそれぞれの端末装置を用いてアクセスすることが可能になるので、通常は、サーバ装置内に格納されたデータに対する十分なセキュリティを確保するために、個々のアカウントごとにそれぞれ固有のアクセス権を設定し、当該アカウントに応じたアクセス権の範囲内で、サーバ装置に対するアクセスを許可する運用が採られる。
【0003】
しかしながら、多数の従業員を抱える企業の場合、個々の従業員ごとに、それぞれその職責に応じたアクセス権を設定する運用を行ったとしても、必ずしも十分なセキュリティを確保することはできない。特に、悪意をもったスタッフが、自己に与えられたアクセス権の範囲内で不正行為を働いた場合、これを阻止することは困難である。このような問題に対処するために、たとえば、下記の特許文献1には、端末装置が接続されているネットワーク環境に応じて、異なるアクセス権を設定する技術が開示されている。また、特許文献2には、利用者がサーバ装置からログアウトするたびに、当該利用者が利用していたファイルを別な場所に退避することにより、セキュリティを確保する技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】国際公開第WO2005/081120号公報
【特許文献2】国際公開第WO2005/081114号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の目的は、端末装置が利用される個々の場所ごとに、それぞれ異なるアクセス権を設定できるようにすることにある。本発明のより具体的な目的は、たとえ同一の利用者が同一の端末装置を用いてサーバ装置にアクセスを行ったとしても、端末装置が置かれた場所によって、与えられるアクセス権が異なるようにすることである。たとえば、上司による監視がゆき届いた部屋からアクセスを行う場合には、職責に応じた本来のアクセス権が与えられるようにし、休憩室や食堂など、監視の目がゆき届かない部屋からアクセスを行う場合には、より制限を課したアクセス権しか与えられないようにする。
【課題を解決するための手段】
【0006】
(1) 本発明の第1の態様は、特定の管理エリア内の装置からアクセス対象となる装置へ、ネットワークを介してアクセスを行うことが可能なコンピュータシステムにおいて、
管理エリアへの出入りが、特定のゲートを通過することによってのみ可能となるように、この管理エリアを囲う物理的構造体と、
上記管理エリア外もしくは内に設置され、アクセスを受ける対象となるサーバ装置と、
少なくとも管理エリア内からネットワークを介してサーバ装置に対してアクセスを行う機能を有する端末装置と、
所定の認証コードを格納した認証コード格納部と、必要に応じて所定の管理コードを格納するための管理コード格納部と、を有する情報記録媒体と、
ゲートの施錠および解錠を行う機能を有し、通常は施錠状態を維持し、解錠指示信号が与えられたときにのみ一時的に解錠を行う電子錠と、
情報記録媒体を所持した利用者がゲートを通って管理エリアに出入りする際に、認証コード格納部に格納されている認証コードを読み出し、読み出した認証コードを利用した認証を行い、正しい認証結果が得られた場合に電子錠に対して解錠指示信号を与える管理ユニットと、
を設け、
管理ユニットが、利用者が管理エリアに入る際に正しい認証結果が得られたときには、管理エリアについて設定されている管理コードを管理コード格納部に書き込む処理を行い、利用者が管理エリアから出る際に、管理コードを管理コード格納部から消去するか無効化する処理を行い、
端末装置が、サーバ装置に対するアクセスを行う際に、管理コード格納部から管理コードを読み出し、これをサーバ装置に送信し、
サーバ装置が、端末装置から送信されてきた管理コードに対応した条件下で、端末装置からのアクセスに応じるようにしたものである。
【0007】
(2) 本発明の第2の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
複数の管理エリアを設け、管理コードとして、個々の管理エリアについて設定された所定のアクセス権を示すアクセス権コードを含むコードを用い、
サーバ装置が、端末装置から送信されてきたアクセス権コードによって示されるアクセス権の範囲内で、端末装置からのアクセスに応じるようにしたものである。
【0008】
(3) 本発明の第3の態様は、上述の第2の態様に係るコンピュータシステムにおいて、
管理ユニットが、所定のアルゴリズムに基づいて一時的に有効な補助コードを発生させ、アクセス権コードと補助コードとの双方を含む管理コードを用い、
サーバ装置が、このアルゴリズムに基づいて、管理コードに含まれている補助コードの有効性を判断し、補助コードが無効であるとの判断結果が得られた場合には、アクセスを禁止するようにしたものである。
【0009】
(4) 本発明の第4の態様は、上述の第2の態様に係るコンピュータシステムにおいて、
サーバ装置が、アクセス権コードとアクセス権の内容との対応テーブルを有し、この対応テーブルを参照することによって定まるアクセス権の範囲内で、端末装置からのアクセスに応じるようにしたものである。
【0010】
(5) 本発明の第5の態様は、上述の第4の態様に係るコンピュータシステムにおいて、
アクセス権コードとアクセス権の内容との対応テーブルに、日時に応じて異なるアクセス権の内容を参照する設定を行うようにしたものである。
【0011】
(6) 本発明の第6の態様は、上述の第4の態様に係るコンピュータシステムにおいて、
アクセス権コードとアクセス権の内容との対応テーブルに、認証コードに応じて異なるアクセス権の内容を参照する設定を行い、
端末装置が、サーバ装置に対するアクセスを行う際に、管理コード格納部から管理コードを読み出すとともに、認証コード格納部から認証コードを読み出し、管理コードと認証コードとをサーバ装置に送信し、
サーバ装置が、端末装置から送信されてきた管理コードと認証コードとの双方に基づいて対応テーブルを参照し、対応テーブルを参照することによって定まるアクセス権の範囲内で、端末装置からのアクセスに応じるようにしたものである。
【0012】
(7) 本発明の第7の態様は、上述の第4の態様に係るコンピュータシステムにおいて、
アクセス権コードとアクセス権の内容との対応テーブルに、認証コードおよび日時に応じて異なるアクセス権の内容を参照する設定を行い、
端末装置が、サーバ装置に対するアクセスを行う際に、管理コード格納部から管理コードを読み出すとともに、認証コード格納部から認証コードを読み出し、管理コードと認証コードとをサーバ装置に送信し、
サーバ装置が、端末装置から送信されてきた管理コードと認証コードとの双方に基づいて対応テーブルを参照し、対応テーブルを参照することによって定まるアクセス権の範囲内で、端末装置からのアクセスに応じるようにしたものである。
【0013】
(8) 本発明の第8の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
管理ユニットが、特定の日時には、管理コードの書き込み処理を実行しないようにしたものである。
【0014】
(9) 本発明の第9の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
管理ユニットが、認証コード格納部から認証コードを読み出す機能を有し、読み出した認証コードが特定のコードであった場合には、管理コードの書き込み処理を実行しないようにしたものである。
【0015】
(10) 本発明の第10の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
管理ユニットが、認証コード格納部から認証コードを読み出す機能を有し、読み出した認証コードが特定のコードであった場合には、特定の日時には、管理コードの書き込み処理を実行しないようにしたものである。
【0016】
(11) 本発明の第11の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
端末装置が、認証コード格納部に格納されている認証コードを利用した認証を行い、正しい認証結果が得られた場合にのみサーバ装置に対するアクセスを行うようにしたものである。
【0017】
(12) 本発明の第12の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
サーバ装置が、別なサーバ装置へアクセスするための認証処理を行う認証サーバ装置であり、送信されてきた管理コードに対応した条件下で別なサーバ装置へのアクセスが行われるよう中継を行うようにしたものである。
【0018】
(13) 本発明の第13の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
管理ユニットを、
利用者が管理エリアに入る際に情報記録媒体と交信して、認証コード格納部に格納されている認証コードを読み出すとともに、管理コードを管理コード格納部に書き込む処理を行う入場用交信器と、
利用者が管理エリアから出る際に情報記録媒体と交信して、管理コードを管理コード格納部から消去するか無効化する処理を行う退場用交信器と、
読み出された認証コードを利用した認証処理を行うとともに、入場用交信器および退場用交信器を制御するコントローラと、
によって構成したものである。
【0019】
(14) 本発明の第14の態様は、特定の管理エリア内の装置からアクセス対象となる装置へ、ネットワークを介してアクセスを行うことが可能なコンピュータシステムにおいて、
上記管理エリア外もしくは内に設置され、アクセスを受ける対象となるサーバ装置と、
少なくとも管理エリア内からネットワークを介してサーバ装置に対してアクセスを行う機能を有する端末装置と、
必要に応じて所定の管理コードを格納するための管理コード格納部を有する情報記録媒体と、
情報記録媒体を所持する利用者が管理エリアに入る際に、当該管理エリアについて設定されている管理コードを管理コード格納部に書き込む処理を行い、利用者が管理エリアから出る際に、管理コードを管理コード格納部から消去するか無効化する処理を行う管理ユニットと、
を設け、
端末装置が、サーバ装置に対するアクセスを行う際に、管理コード格納部から管理コードを読み出し、これをサーバ装置に送信し、
サーバ装置が、端末装置から送信されてきた管理コードに対応した条件下で、端末装置からのアクセスに応じるようにしたものである。
【0020】
(15) 本発明の第15の態様は、特定の管理エリア内の端末装置からアクセス対象となるサーバ装置へ、ネットワークを介してアクセスを行う場合のアクセス権を管理する方法において、
必要に応じて所定の管理コードを書き込むことができる情報記録媒体を準備する段階と、
管理エリアへの出入りを行うゲートの近傍に、情報記録媒体と交信する機能をもった管理ユニットを設置する段階と、
情報記録媒体を携帯する利用者が、ゲートを通って管理エリアに入る際に、管理ユニットが、当該管理エリアについて設定されている管理コードを情報記録媒体に書き込む段階と、
利用者が端末装置を用いて、ネットワークを介してサーバ装置へのアクセスを開始する操作を行ったときに、端末装置が、情報記録媒体に書き込まれている管理コードを読み出し、これをサーバ装置に送信する段階と、
サーバ装置が、端末装置から、管理コードの送信を伴うアクセスがあったときに、管理コードに対応した条件下で、端末装置からのアクセスに応じる段階と、
利用者が、ゲートを通って管理エリアから出る際に、管理ユニットが、情報記録媒体に書き込まれている当該管理エリアについての管理コードを消去もしくは無効化する段階と、
を行うようにしたものである。
【0021】
(A) 参考例としての第1の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
複数の管理エリアを設け、管理ユニットが、利用者が各管理エリアに入る際に書き込む管理コードとして、個々の管理エリアを特定するためのエリアコードを含むコードを用いるようにしたものである。
【0022】
(B) 参考例としての第2の態様は、上述の参考例としての第1の態様に係るコンピュータシステムにおいて、
管理ユニットが、所定のアルゴリズムに基づいて一時的に有効な補助コードを発生させ、エリアコードと補助コードとの双方を含む管理コードを用い、
サーバ装置が、このアルゴリズムに基づいて、管理コードに含まれている補助コードの有効性を判断し、補助コードが無効であるとの判断結果が得られた場合には、アクセスを禁止するようにしたものである。
【0023】
(C) 参考例としての第3の態様は、上述の参考例としての第1の態様に係るコンピュータシステムにおいて、
サーバ装置内に、個々のエリアコードと所定のアクセス権を示すアクセス権コードとの対応テーブルを設け、
サーバ装置が、この対応テーブルを参照することにより、端末装置から送信されてきたエリアコードに対応するアクセス権コードを認識し、認識したアクセス権コードによって示されるアクセス権の範囲内で、端末装置からのアクセスに応じるようにしたものである。
【発明の効果】
【0024】
本発明に係るコンピュータシステムによれば、特定の管理エリア内の端末装置からサーバ装置へのアクセス権は、利用者が所持する情報記録媒体内に書き込まれた管理コードに基づいて決定される。しかも、この管理コードは、情報記録媒体を所持する利用者が、当該管理エリアに入る際に書き込まれ、出る際には消去もしくは無効化されることになる。結局、特定の管理コードが書き込まれた情報記録媒体を所持している利用者が端末装置からアクセスしてきた場合、サーバ装置側では、当該アクセスが特定の管理エリア内からのアクセスであることを認識することが可能になる。したがって、個々の管理エリアごとにそれぞれ固有の管理コードを用意するようにすれば、端末装置が利用される個々の場所ごとに、それぞれ異なるアクセス権を設定できる。こうして、たとえ同一の利用者が同一の端末装置を用いてサーバ装置にアクセスを行ったとしても、端末装置が置かれた場所によって、異なるアクセス権を与えることできる。
【図面の簡単な説明】
【0025】
【図1】本発明の基本的な実施形態に係るコンピュータシステムの全体構成を示すブロック図である。
【図2】図1に示す情報記録媒体400に具体的なコードを記録した状態を示す一例のブロック図である。
【図3】図1に示す認証サーバ装置100内に設けられた「管理コード(エリアコード)とアクセス権コードとの対応テーブル」の一例を示す図である。
【図4】図1に示す認証サーバ装置100内に設けられた「アクセス権コードとアクセス権の内容との対応テーブル」の一例を示す図である。
【図5】図1に示す情報記録媒体400に具体的なコードを記録した状態を示す別な一例のブロック図である。
【図6】図1に示す認証サーバ装置100内に設けられた「アクセス権コードとアクセス権の内容との対応テーブル」の別な一例を示す図である。
【図7】図1に示す認証サーバ装置100内に設けられた「アクセス権コードとアクセス権の内容との対応テーブル」の更に別な一例を示す図である。
【図8】図1に示す管理ユニット340A内に設けられた処理テーブルの一例を示す図である。
【図9】図1に示す管理ユニット340A内で行われる管理コードの生成アルゴリズムの一例を示す図である。
【図10】図1に示す管理ユニット340A内で行われる管理コードの生成アルゴリズムの別な一例を示す図である。
【図11】図1に示す情報記録媒体400に具体的なコードを記録した状態を示す更に別な一例のブロック図である。
【図12】図1に示すコンピュータシステムにおける管理エリアA周辺の構成要素の具体的な施工例を示す斜視図である。
【図13】本発明に係るアクセス権管理方法の基本手順を示す流れ図である。
【発明を実施するための形態】
【0026】
以下、本発明を図示する実施形態に基づいて説明する。
【0027】
<<< §1.システムの基本構成 >>>
はじめに、本発明の基本的な実施形態に係るコンピュータシステムを、図1のブロック図を参照しながら説明する。図示のコンピュータシステムは、各端末装置が、種々の場所から、認証サーバ装置100に対してネットワーク200を介してアクセスするシステムである。
【0028】
図にハッチングを施して示した部分に囲まれた閉領域は、それぞれ特定の管理エリアである。ここでは、説明の便宜上、2つの管理エリアA,Bのみを示すが、実用上は、より多数の管理エリアが設けられる。ここで、管理エリアとは、出入りが、特定のゲート(複数あってもかまわない)を通過することによってのみ可能となるように、周囲が物理的構造体によって囲まれた領域をいう。図示の例の場合、管理エリアAは、その周囲を物理的構造体300Aによって囲まれ、出入りはゲート310Aを通過することによってのみ可能となっている。同様に、管理エリアBは、その周囲を物理的構造体300Bによって囲まれ、出入りはゲート310Bを通過することによってのみ可能となっている。
【0029】
管理エリアの典型例は、建物内の部屋である。たとえば、管理エリアAが部屋の場合、物理的構造体300Aは部屋の壁・床・天井によって構成され、ゲート310Aはこの部屋の出入り口に設けられたドアによって構成される。もっとも、本発明にいう管理エリアは、必ずしも居室である必要はなく、工場・作業場・倉庫などでもかまわない。また、必ずしも屋内の施設である必要もないので、フェンスで囲まれた屋外施設であってもかまわない。
【0030】
図示のとおり、管理エリアA内には、端末装置320Aが設置されており、管理エリアB内には、端末装置320Bが設置されている。各端末装置320A,320Bは、いずれもネットワーク200を介して認証サーバ100にアクセスすることができる。各端末装置320A,320Bは、認証サーバ100にアクセスする機能を有していれば、どのような装置であってもかまわない。一般的には、デスクトップパソコンやノートパソコンが端末装置として利用されるが、携帯電話機やPDA機器などを端末装置として利用してもよい。ノートパソコン、携帯電話機、PDA機器などの携帯型の端末装置の場合、利用者は、これを適宜運搬することができる。したがって、管理エリアA,Bから外部へと持ち出すこともできるし、外部から管理エリアA,B内に持ち込むことも可能である。これらの端末装置は、少なくとも管理エリアA,B内からネットワーク200を介してサーバ装置100に対してアクセスを行う機能を有していればよく、管理エリアA,B外からサーバ装置100に対してアクセス可能であるか否かは、本発明を実施する上では不問である。
【0031】
一方、ネットワーク200も、LAN,WAN,インターネットなど、様々なネットワークで構成することが可能である。図1には、各端末装置320A,320Bとネットワーク200との間に線が描かれているが、ネットワークに対する接続は有線でも無線でもかまわない。有線接続を行う場合には、管理エリア内にLANケーブルなどの配線がなされており、無線接続を行う場合には、管理エリア内に無線LANの設備が整っていることになる。
【0032】
このように、図1に示す例の場合、管理エリアA内の端末装置320Aからは、管理エリアA外の認証サーバ装置100へ、ネットワーク200を介してアクセスが可能であり、同様に、管理エリアB内の端末装置320Bからは、管理エリアB外の認証サーバ装置100へ、ネットワーク200を介してアクセスが可能である。なお、図示の例では、認証サーバ装置100は、物理的構造体に囲まれた管理エリア内に描かれていないが、これは、認証サーバ装置100が何らかの物理的構造体に囲まれた場所に設置されているか否かということが、このコンピュータシステムの動作には無関係であるためである。もちろん、実用上は、認証サーバ装置100は、しかるべき管理エリア(通常は、屋内の部屋)に設置されることになる。
【0033】
したがって、本願において、「管理エリア外に設置され、アクセスを受ける対象となるサーバ装置」と言った場合、「当該サーバ装置が、物理的構造体に囲われていない」ことを意味するわけではなく、「特定の管理エリア内にある特定の端末装置からのアクセスに着目したときに、アクセスを受ける対象となるサーバ装置が当該特定の管理エリアの外部にある」ことを意味するものである。たとえば、図1において、「管理エリアA内にある端末装置320Aからのアクセスに着目すれば、認証サーバ装置100は、当該管理エリアAの外部に設置されている」ことになる。もちろん、この場合、認証サーバ装置100は、たとえば、サーバ設置用の管理エリアZに設置されていてかまわない。
【0034】
また、本願では、アクセス対象となるサーバ装置は、アクセスを行う端末装置と同一の管理エリアに設置されていてもかまわない。すなわち、図1に示す例では、アクセス対象となる認証サーバ装置100は、管理エリアA,Bの外に設定されているが、認証サーバ装置100は管理エリアA内に設置されていてもかまわない。この場合、端末装置320Aは、ネットワーク200を介して、同じ管理エリアA内に設置されている認証サーバ装置100に対してアクセスを行うことになる。もちろん、認証サーバ装置100は管理エリアB内に設置されていてもよい。ここでは便宜上、図1に示すように、端末装置が設置されている管理エリアの外にサーバ装置が設置されている例について、以下の説明を行うことにするが、サーバ装置が端末装置と同一の管理エリア内に設置されている場合も、システムとしての基本動作は同じである。
【0035】
なお、図1に示す実施形態の場合、サーバ装置100は、認証サーバ装置であり、ネットワーク200を介してアクセスを行ってきた利用者の認証を行うための専用サーバである。図示の例では、認証サーバ装置100には、別なサーバ装置110,120が接続されており、また、ネットワーク200には、別なサーバ装置130が接続されている。端末装置320A,320Bの本来のアクセス対象は、認証サーバ装置100ではなく、別なサーバ装置110,120,130である。認証サーバ装置100は、この本来のアクセスに必要な認証処理を代表して行う機能を有している。もちろん、サーバ装置110,120,130は、管理エリアAやB内に設置されていてもかまわない。本発明では、「アクセスを行う側の端末装置がどの管理エリアにあるか」を認識することが重要事項であり、アクセスを受ける側のサーバ装置の所在はどこでもかまわない。
【0036】
このように、認証サーバ装置100を仲介して、各サーバ装置110,120,130へアクセスを行うような方式を採ると、利用者は、代表となる認証サーバ装置100に対して所定のアカウントおよびパスワードを用いたログイン手続を行うだけで、各サーバ装置110,120,130へアクセスすることが可能になる。すなわち、個々のサーバ装置110,120,130に対して、それぞれ認証手続を経て個別にログインする必要がなくなるので、ログイン作業の煩雑さを解消することができる。このような方式は、一般に、シングルサインオン方式と呼ばれている。
【0037】
このシングルサインオン方式は、利用者の立場からは、ログイン作業の煩雑さを解消できるメリットがある。しかし、セキュリティの観点からは脆弱性を有する方式と言わざるを得ない。すなわち、認証サーバ装置100に対して、1回認証に成功してログインすることができれば、すべてのサーバ装置110,120,130へアクセスすることが可能になってしまう。
【0038】
本発明では、端末装置が利用される個々の管理エリアごとに、それぞれ異なるアクセス権を設定できるようになるので、セキュリティを向上させることができ、シングルサインオン方式の脆弱性を補填することができる。したがって、本発明は、図1に示す例のように、認証サーバ装置100を利用してシングルサインオン方式を採るコンピュータシステムに特に有効なセキュリティ対策を施すことが可能である。
【0039】
もっとも、本発明の適用は、シングルサインオン方式を採るコンピュータシステムに限定されるものではない。すなわち、図1に示す例は、シングルサインオン方式を採るコンピュータシステムに本発明を適用したものであるため、端末装置320A,320Bの認証時のアクセス対象は、認証サーバ装置100となっているが、本発明において、端末装置の認証時のアクセス対象は、必ずしも認証サーバ装置100である必要はなく、本来のアクセス対象であるサーバ装置(たとえば、サーバ装置110,120,130)でもかまわない。
【0040】
<<< §2.管理エリアに対する入退場 >>>
図1に示す管理エリアAには、図示のとおり電子錠330Aと管理ユニット340Aが設けられている。電子錠330Aは、ゲート310Aの施錠および解錠を行う機能を有し、通常は施錠状態を維持し、解錠指示信号が与えられたときにのみ一時的に解錠を行う。管理ユニット340Aは、この電子錠330Aを制御する機能を有する。同様に、管理エリアBには、図示のとおり電子錠330Bと管理ユニット340Bが設けられている。電子錠330Bは、ゲート310Bの施錠および解錠を行う機能を有し、通常は施錠状態を維持し、解錠指示信号が与えられたときにのみ一時的に解錠を行う。管理ユニット340Bは、この電子錠330Bを制御する機能を有する。
【0041】
なお、図1のブロック図では、便宜上、電子錠330A,330Bおよび管理ユニット340A,340Bのブロックを、それぞれ管理エリアA,Bの内部に配置しているが、実際の電子錠や管理ユニットは、必ずしも各管理エリアの内部に配置する必要はない。たとえば、電子錠330Aは、物理的構造体300A(部屋の壁)やゲート310A(部屋のドア)に埋め込んでもよいし、これらの外側に設けてもかまわない。同様に、管理ユニット340A,340Bを管理エリアA,Bの外部に設けてもよい。また、図1では、説明の便宜上、管理ユニット340A,340Bをそれぞれ独立したブロックで示してあるが、実用上は、複数の管理ユニット340A,340B等を同一の制御用コンピュータによって構成してもかまわない。
【0042】
一方、情報記録媒体400は、携帯可能なデジタルデータの記録媒体であり、利用者Pに配布される。図には、1人の利用者Pに情報記録媒体400を配布した例しか示されていないが、実用上は、このコンピュータシステムを利用する多数の利用者に、それぞれ専用の情報記録媒体400が配布されることになる。情報記録媒体400としては、ICカードなどの電子機器を利用することができる。ここに示す実施形態では、非接触型のICカードを情報記録媒体400として用いた例を示すことにする。もちろん、携帯電話機やPDA装置などを情報記録媒体400として用いることも可能である。最近は、社員証などの身分証明書としてICカードを導入している企業が増えている。このような企業で本発明に係るコンピュータシステムを利用する場合は、この既存のICカードをそのまま情報記録媒体400として転用すると便利である。
【0043】
情報記録媒体400は、各管理エリアA,Bへ入場および退場するための電子鍵として機能する。すなわち、情報記録媒体400を所持する利用者Pは、ゲート310A,310Bを通過する際に、この情報記録媒体400を用いて電子錠330A,330Bの解錠を行うことができる。ここに示す例では、情報記録媒体400は非接触型のICカードであるので、管理ユニット340A,340Bと無線交信する機能を有している。管理ユニット340A,340Bは、この無線交信による認証処理を行った上で、電子錠330A,330Bに対して解錠指示信号を与える。
【0044】
情報記録媒体400には、認証コード格納部410と管理コード格納部420が設けられている。ここに示す実施形態では、情報記録媒体400としてICカードを用いているので、これら各格納部410,420は、ICカードに内蔵されたメモリ(たとえば、EEPROM)の一部の記憶領域によって構成される。認証コード格納部410には、予め所定の認証コードが格納されている。これに対して、管理コード格納部420は、後述するように、必要に応じて所定の管理コードを格納するための領域であり、初期状態では、意味のあるデータは書き込まれていない。
【0045】
管理ユニット340A,340Bは、利用者Pが、管理エリアA,Bに出入りする際に、情報記録媒体400内に格納されている認証コードを用いた認証処理を実行する。たとえば、利用者Pが、ゲート310Aを通って管理エリアAに入る場合、所持している情報記録媒体400を管理ユニット340Aの交信範囲に入るように接近させる。すると、管理ユニット340Aは、情報記録媒体400と無線交信し、認証コード格納部410に格納されている認証コードを読み出し、この読み出した認証コードを利用した認証を行い、正しい認証結果が得られた場合に、電子錠330Aに対して解錠指示信号を与える処理を行う。これにより、電子錠330Aが、ゲート310Aを一時的に解錠するので、利用者Pは、ゲート310Aを通って管理エリアAに入ることができる。逆に、ゲート310Aを通って管理エリアAから出る場合も同様である。
【0046】
結局、認証コード格納部410に格納されている認証コードは、電子錠330Aに対する電子鍵として機能するコードということになる。ここに示す例では、この認証コードが、管理エリアBの電子錠330Bについても電子鍵として機能する。したがって、利用者Pは、情報記録媒体400を所持していれば、管理エリアA,Bに対して自由に出入りできる。
【0047】
もちろん、個々の利用者に配布した情報記録媒体400には、それぞれ別個の認証コードを格納しておき、各認証コードごとに、どの管理エリアに出入りできるかを決めておくようにする。実用上は、個々の管理エリアごとに、それぞれ出入りを許可する認証コードを特定したリストを用意しておけばよい。そうすれば、たとえば、管理ユニット340Aは、利用者Pが所持する情報記録媒体400から読み出した認証コードが、このリストに掲載されているコードであった場合には、認証に成功したと判断し、電子錠330Aに対して解錠指示信号を与える処理を行うことができる。もちろん、リストに掲載されていないコードであった場合には、管理ユニット340Aは認証に失敗したと判断し、解錠指示信号を出力しないので、ゲート310Aは施錠状態が維持され、利用者はゲート310Aを通ることができない。
【0048】
このように、管理ユニット340Aの第1の役割は、情報記録媒体400を所持した利用者Pがゲート310Aを通って管理エリアAに出入りする際に、認証コード格納部410に格納されている認証コードを読み出し、読み出した認証コードを利用した認証を行い、正しい認証結果が得られた場合に電子錠330Aに対して解錠指示信号を与える処理を行うことにある。この場合、管理ユニット340Aは、管理エリアAについての入退場管理装置として機能する。
【0049】
一方、この管理ユニット340Aは、次のような第2の役割を担っている。すなわち、管理ユニット340Aは、利用者Pが管理エリアAに入る際に、上記第1の役割に係る処理によって正しい認証結果が得られたときには、管理エリアAについて設定されている管理コードを管理コード格納部420に書き込む処理を行い、逆に、利用者Pが管理エリアAから出る際に、この管理コードを管理コード格納部420から消去する処理を行う。
【0050】
もちろん、管理ユニット340Bも全く同様に、2つの役割を担っている。すなわち、管理ユニット340Bは、利用者Pがゲート310Bを通って管理エリアBに出入りする際に、認証コード格納部410に格納されている認証コードを読み出し、読み出した認証コードを利用した認証を行い、正しい認証結果が得られた場合に電子錠330Bに対して解錠指示信号を与える処理を行うとともに、利用者Pが管理エリアBに入る際に、正しい認証結果が得られたときには、管理エリアBについて設定されている管理コードを管理コード格納部420に書き込む処理を行い、逆に、利用者Pが管理エリアBから出る際に、この管理コードを管理コード格納部420から消去する処理を行う。
【0051】
続いて、上述した第2の役割として行われる処理を、具体例を挙げながら説明しよう。図2は、図1に示す情報記録媒体400に具体的なコードを記録した状態を示す一例のブロック図である。図示の例では、認証コード格納部410に「8888」なる認証コードが格納され、管理コード格納部420に「AAA」なる管理コードが格納された例が示されている。ここで、認証コード「8888」は、前述したとおり、電子錠330Aや330Bを解錠するための電子鍵として機能するコードであり、ここで述べる実施形態の場合、特定の利用者Pに対して発行された情報記録媒体400に固有の識別コードである。したがって、通常の利用形態では、認証コード「8888」は書き替える必要性はあまりない。
【0052】
これに対して、管理コード「AAA」は、いわば「利用者Pの所在を示すコード」というべきものであり、情報記録媒体400内に管理エリアAを示す管理コード「AAA」が記録されていた場合、「当該情報記録媒体400を所持する利用者Pが、管理エリアA内に居る」ことを意味する。上述したとおり、利用者Pが管理エリアAに入る際に、正しい認証結果が得られたときには、管理ユニット340Aによって、管理エリアAについて設定されている管理コード「AAA」が管理コード格納部420に書き込まれる。もちろん、正しい認証結果が得られなかった場合には、利用者Pは管理エリアAに入ることはできない。
【0053】
したがって、情報記録媒体400を所持する利用者Pが管理エリアA内に入った場合には、当該情報記録媒体400内の管理コード格納部420には、管理コード「AAA」が書き込まれた状態になる。一方、この利用者Pが管理エリアAから出る際には、管理ユニット340Aによって、管理コード「AAA」は消去される。したがって、利用者Pが管理エリアAに滞在している期間中は、管理コード格納部420に管理コード「AAA」が記録された状態になるが、利用者Pが管理エリアAの外に出れば、管理コード「AAA」は消去されてしまう。
【0054】
なお、管理コード「AAA」は、管理エリアAについて予め設定されているコードである。ここで述べる実施形態の場合、個々の管理エリアを特定するためのエリアコードをそのまま管理コードとして用いている。ここでは、便宜上、管理エリアAを特定するためのエリアコードが「AAA」、管理エリアBを特定するためのエリアコードが「BBB」であるものとして、以下の説明を行うことにする。エリアコードは、個々の管理エリアを特定することが可能なコードであれば、どのようなコードを用いてもかまわない。たとえば、本社の第6号ビルディングの823号室のような管理エリアについては、「本社−6−823」のような符号からなるエリアコードを定義することができ、当該エリアコードをそのまま管理コードとして利用すればよい。
【0055】
結局、図1に示す例の場合、情報記録媒体400内の管理コード記録部420には、初期状態では何らコードは記録されていないが、利用者Pが管理エリアAに入ると、管理ユニット340Aによって「AAA」なる管理コード(管理エリアAのエリアコード)が書き込まれ(図2に示す状態になる)、利用者Pが管理エリアAから出ると、管理ユニット340Aによってこの「AAA」なる管理コードは消去され、利用者Pが管理エリアBに入ると、管理ユニット340Bによって「BBB」なる管理コード(管理エリアBのエリアコード)が書き込まれ、利用者Pが管理エリアBから出ると、管理ユニット340Bによってこの「BBB」なる管理コードは消去されることになる。
【0056】
一般に、ICカードは高度なセキュリティをもった電子媒体であり、内部に書き込まれたデータに対して、不正な改ざんが行われる可能性は極めて少ない。そこで、情報記録媒体400としてICカードを用いることにすれば、認証コード格納部410や管理コード格納部420内に記録されているコードは、実用上、十分な信頼性をもったデータと考えてよい。したがって、管理コード格納部420に、管理コード「AAA」が書き込まれている状態が検知できれば、「当該情報記録媒体400(ICカード)を所持する利用者が、その時点で管理エリアA内に居る」と十分な信頼性をもって判断することができ、同様に、管理コード「BBB」が書き込まれている状態が検知できれば、「当該情報記録媒体400(ICカード)を所持する利用者が、その時点で管理エリアB内に居る」と十分な信頼性をもって判断することができる。
【0057】
図1に示す例では、2つの管理エリアA,Bしか示されていないが、実用上は、より多くの管理エリアが設けられており、各管理ユニットは、利用者が各管理エリアに入る際に、当該利用者が所持する情報記録媒体400に対して、個々の管理エリアを特定するためのエリアコードを管理コードとして書き込む処理を行うことになる。個々の管理エリアについて、それぞれユニークなエリアコードを定めておけば、情報記録媒体400内に書き込まれている管理コード(エリアコード)により、当該情報記録媒体400の所在(すなわち、その所持者の所在)を一意に認識することが可能になる。
【0058】
<<< §3.サーバ装置へのアクセス >>>
本発明に係るコンピュータシステムでは、このような特徴をもつ管理コードを利用して、個々の管理エリアごとに、それぞれ異なるアクセス権を設定できるようにしている。そのために、アクセスを行う端末装置と、アクセス対象となるサーバ装置についても、次のような工夫を施している。
【0059】
まず、端末装置320A,320Bには、認証サーバ装置100に対するアクセスを行う際に、利用者Pが所持する情報記録媒体400内の管理コード格納部420から管理コードを読み出し、これをサーバ装置100に送信する機能をもたせている。具体的には、認証サーバ装置100に対するアクセスを行うプログラムに、管理コードを読み出して送信する処理ルーチンを組み込むようにすればよい。
【0060】
ここに示す実施形態の場合、情報記録媒体400はICカードであるので、端末装置320A,320Bには、ICカードと交信するためのリーダライタ装置や交信プログラムが備わっている。なお、本発明を実施する上では、必須の事項ではないが、実用上は、端末装置320A,320Bが、利用者にアカウントコードおよびパスワードの入力を要求し、これらと認証コード格納部410に格納されている認証コードとを利用した認証(サーバへのアクセスを開始する前の事前認証)を行い、正しい認証結果が得られた場合にのみ認証サーバ装置100に対するアクセスを行うようにするのが好ましい。
【0061】
たとえば、利用者Pが、管理エリアAの端末装置320Aを操作して、認証サーバ装置100へアクセスする場合を考えよう。この場合、利用者Pは、既にゲート310Aを通る際に、管理ユニット340Aの認証を受けていることになる(すなわち、認証コード格納部410内の認証コード「8888」による認証に成功している)。しかしながら、当該認証は、あくまでも管理エリアAに入場するための認証であり、端末装置320Aを操作する権限についての認証ではない。そこで、利用者Pは、端末装置320Aを利用する際に、所定のアカウントとパスワードを入力し、更に、端末装置320Aに備わっているリーダライタ装置に情報記録媒体400(非接触型ICカード)を接近させ、端末装置320Aを操作する権限についての認証を行わせる。すなわち、端末装置320Aは、アカウントとパスワードの正当性をチェックするとともに、情報記録媒体400から認証コード「8888」を読み出し、正当な使用権限が与えられているコードであるか否かを認証する。
【0062】
ここでは、認証サーバ装置100内に、認証コード「8888」によって使用権限が与えられる端末装置のリストが用意されているものとしよう。この場合、端末装置320Aは、認証コード「8888」を、ネットワーク200を介して認証サーバ装置100に送信し、自分自身に対する使用権限の有無を問い合わせればよい。アカウントとパスワードの正当性チェックに必要な事項も、認証サーバ装置100に問い合わせるようにすればよい。もちろん、認証に必要な情報をすべて端末装置320A内に格納しておけば、認証サーバ装置100への問い合わせは不要である。
【0063】
このように、ここで述べる実施形態の場合、利用者Pが、端末装置320Aの操作を開始する時点で、端末装置320Aは、情報記録媒体400から認証コード「8888」を読み出し、端末装置320Aを操作する権限についての認証を行うことになる。そこで、このとき、同時に管理コード「AAA」の読み出しも行うようにし、この管理コード「AAA」を認証サーバ装置100へ送信するようにする。ここで述べる実施形態の場合、端末装置320Aから認証サーバ装置100に対して、認証コード「8888」と管理コード「AAA」との双方が送信されることになる。これは、認証コード「8888」を与えられた利用者Pが、管理コード「AAA」で特定される管理エリアAからアクセスを希望していることを、認証サーバ装置100に伝える処理に他ならない。
【0064】
認証サーバ装置100は、こうして端末装置320Aから認証コード「8888」と管理コード「AAA」とが送信されてきたら、上述したように、認証コード「8888」が、端末装置320Aを操作する正当な権限を有する認証コードであることを確認した上で、アクセスを許可する。ただし、このとき、管理コード「AAA」に対応した条件下で、アクセスに応じることになる。別言すれば、同一の利用者Pが、同一の認証コード「8888」をもってアクセスを希望したとしても、管理コード「AAA」が送信されてきた場合(すなわち、管理エリアAからアクセスしてきている場合)と、管理コード「BBB」が送信されてきた場合(すなわち、管理エリアBからアクセスしてきている場合)とでは、それぞれ別個の条件下でアクセスに応じることになる。
【0065】
これを具体例で示そう。図3は、図1に示す認証サーバ装置100内に設けられた「管理コード(エリアコード)とアクセス権コードとの対応テーブル」の一例を示す図である。テーブルの左側欄には、管理コード(エリアコード)が示されており、右側欄には、これに対応するアクセス権コードが示されている。たとえば、管理コード「AAA」については、アクセス権コード「L1」が対応づけられ、管理コード「BBB」については、アクセス権コード「L3」が対応づけられている。この例の場合、全部で3種類のアクセス権コードL1,L2,L3が定義されており、各アクセス権コードは、それぞれセキュリティレベルの指標を示している。
【0066】
すなわち、アクセス権コード「L1」は、最も高いセキュリティレベルが設定された行為についてまでのアクセス権が与えられることを示し、アクセス権コード「L2」は、中位のセキュリティレベルが設定された行為についてまでのアクセス権が与えられることを示し、アクセス権コード「L3」は、最も低いセキュリティレベルが設定された行為についてのみアクセス権が与えられることを示している。
【0067】
ここで重要な点は、これらのアクセス権コードは、個々の利用者に対して設定されているわけではなく、個々の管理エリアに対して設定されている点である。図3の対応テーブルの左側欄の管理コード(エリアコード)は、特定の管理エリアを示すものであり、特定の利用者を示すものではない。この対応テーブルによると、管理コード「AAA」にはアクセス権コード「L1」が対応づけられているが、これは管理エリアAからのアクセスであれば、「L1」で示されるアクセス権が与えられることを示している。同様に、管理コード「BBB」にはアクセス権コード「L3」が対応づけられているが、これは管理エリアBからのアクセスであれば、「L3」で示されるアクセス権が与えられることを示している。
【0068】
図4は、図1に示す認証サーバ装置100内に設けられた「アクセス権コードとアクセス権の内容との対応テーブル」の一例を示す図である。図示のとおり、最も高いセキュリティレベルに対応したアクセス権コード「L1」では、データの読み込み、書き替え(既存ファイルの上書き)、書き込み(新規ファイルの保存)のすべての行為が許可される。これに対して、中位のセキュリティレベルに対応したアクセス権コード「L2」では、データの読み込み、書き替えは許可されるが、書き込みは許可されていない。また、最も低いセキュリティレベルに対応したアクセス権コード「L3」では、データの読み込みだけが許可されている。もちろん、この図4に示す対応テーブルは、具体的なアクセス権の内容についての単純な設定例を示すものであり、実用上は、より多様な設定を行うことが可能である。たとえば、データのダウンロードが可能か否か、プリンタを用いて紙面上にプリントアウトすることが可能か否か、CD−Rなどの媒体にデータをコピーすることが可能か否か、といった細かなアクセス権の内容を設定することも可能である。
【0069】
このように、図1に示す認証サーバ装置100内には、図3に示すように、「個々の管理コード(エリアコード)」と「所定のアクセス権を示すアクセス権コード」との対応テーブルが設けられているので、認証サーバ装置100は、この対応テーブルを参照することにより、端末装置320A,320Bから送信されてきたエリアコードに対応するアクセス権コードを認識し、認識したアクセス権コードによって示されるアクセス権の範囲内で、端末装置320A,320Bからのアクセスに応じることができる。具体的には、認証サーバ装置100内には、図4に示すような「アクセス権コードとアクセス権の内容との対応テーブル」も用意されており、この対応テーブルを参照することによって定まるアクセス権の範囲内で、端末装置320A,320Bからのアクセスに応じることができる。
【0070】
したがって、ここに示す実施形態の場合、利用者Pが管理エリアA内の端末装置320Aを操作して認証サーバ装置100にアクセスしてきた場合には、管理コード「AAA」に対応するアクセス権コード「L1」によって示されるアクセス権の範囲内、すなわち、データの読み込み、書き替え、書き込みのすべての行為が許可される。これに対して、同じ利用者Pが管理エリアB内の端末装置320Bを操作して認証サーバ装置100にアクセスしてきた場合には、管理コード「BBB」に対応するアクセス権コード「L3」によって示されるアクセス権の範囲内、すなわち、データの読み込みのみが許可される。
【0071】
なお、既に述べたとおり、図1に示す実施形態の場合、認証サーバ装置100は、別なサーバ装置110,120,130へアクセスするための認証処理を行う装置であり、端末装置から送信されてきた管理コードに対応した条件下で、これら別なサーバ装置110,120,130へのアクセスが行われるよう中継を行うことになる。この実施形態では、前述したシングルサインオン方式を採用しており、利用者Pが管理エリアA内の端末装置320Aを操作して認証サーバ装置100にアクセスしてきた場合には、サーバ装置110,120,130のすべてについて、アクセス権コード「L1」によって示されるアクセス権の範囲内の行為、すなわち、データの読み込み、書き替え、書き込みが可能になる。
【0072】
<<< §4.本発明に係るシステムの利点 >>>
このように、端末装置が利用される管理エリアごとに、それぞれ異なるアクセス権を設定することができれば、不正行為を抑制する上で効果的である。たとえば、図1に示す例において、管理エリアAが、通常の業務を遂行するための作業室であり、常に上司や同僚による監視がゆき届いた部屋であるのに対し、管理エリアBが、休憩室であり、時間帯によっては無人状態になるような部屋であった場合を考える。この場合、管理エリアAの作業室は不正行為を行いにくい環境にあるが、管理エリアBの休憩室は不正行為を誘引しやすい環境にある。しかしながら、上述した例によれば、全く同一の利用者Pであっても、管理エリアBからアクセスした場合には、与えられるアクセス権の内容が大幅に制限されるため、不正行為を行いやすい環境にあったとしても、システムによって不正行為を阻むことができる。これが、本発明の本質的な効果である。
【0073】
従来のセキュリティ確保の考え方は、常に人間を対象とした考え方であり、それぞれの人間にその職責や地位に応じたアクセス権を与えることを前提としている。換言すれば、個々の人間は、与えられたアクセス権を、いつでもどこでも行使することが可能になる。すなわち、ネットワークに接続可能な端末装置を用意できれば、いつでもどこでも、所定のアカウントとパスワードを用いてサーバ装置にログインすることができ、与えられたアクセス権の範囲内で様々な行為を行うことができる。
【0074】
また、アカウントやパスワードを盗まれた場合の対処方法として、ICカードなどを用いた認証を義務づける運用も従来から行われている。上述した実施形態において、端末装置の操作を行う際に、情報記録媒体400内の認証コードを用いた認証に成功することを条件としているのは、このような考え方に立脚したセキュリティ対策に基づいている。アカウントやパスワードが盗まれたとしても、正規のICカードを入手しない限り、不正アクセスを行うことはできない。
【0075】
このように、従来のセキュリティ対策は、「正規のICカード」を所持しており、「正規のアカウントおよびパスワード」を知っている利用者からのアクセスがあれば、これを正規のアクセスと判断し、当該利用者に与えられたアクセス権の範囲内でアクセスを許可する、という考え方に立脚している。これは、あくまでも、「正規の利用者は決して不正行為を行わない」という前提に立ったセキュリティ対策であり、正規の利用者が不正行為をなした場合には全く無力である。
【0076】
これに対して、本発明は、正規の利用者による不正行為を防止する上でも、十分な効果を発揮する。すなわち、本発明に係るコンピュータシステムにおいて、正規のアクセス権をもってアクセスを行うためには、「正規のICカード」を所持しており、「正規のアカウントおよびパスワード」を知っている、という従来からの2つのセキュリティ条件に加えて、更に、「正規の場所」からアクセスしている、という第3の条件が必要になる。したがって、上述した例のように、常に上司や同僚による監視がゆき届いた部屋からアクセスした場合にのみ、正規のアクセス権を与えるような運用をとれば、正規の利用者による不正行為を抑制する効果が得られる。
【0077】
なお、本発明を実施する上で、各端末装置は特定の管理エリアに固定されている必要はない。たとえば、図1に示す例において、端末装置320Aは、管理エリアAに固定された装置である必要はなく、ノートパソコンなど、容易に持ち運びができる装置であってもかまわない。もちろん、利用者Pが自宅から持ち込んだパソコンであってもかまわない。これは、本発明に係るシステムでは、特定の端末装置に対してアクセス権が設定されるわけではなく、特定の管理エリアに対してアクセス権が設定されるためである。
【0078】
たとえば、管理エリアAに入場した利用者Pが、端末装置320Aを所持したまま管理エリアAから退場し、この端末装置320Aを管理エリアBに持ち込み、管理エリアBから端末装置320Aを用いて認証サーバ100に対するアクセスを行ったとしても、情報記録媒体400の管理コード格納部420には、管理コード「BBB」が書き込まれているので、端末装置320Aを用いたとしても、与えられるアクセス権はあくまでも管理エリアBに対して設定されたアクセス権になる。したがって、上述の例の場合、利用者Pは、管理エリアA内からアクセスを行わない限り、業務遂行に必要な本来のアクセス権をもったアクセスはできないことになる。
【0079】
なお、各管理エリアに、移動不可能な状態で据え付けられた端末装置が設けられている場合は、当該端末装置自身に管理コードを格納しておき、当該端末装置からサーバ装置にアクセスする際には、当該端末装置自身に格納された管理コードをサーバ装置に送信するようにしてもよい。この場合、利用者の所持する情報記録媒体内の管理コードを読み出す必要はない。たとえば、図1に示す端末装置320Aが、管理エリアAを構成する部屋の壁に埋め込まれて設置された装置であったような場合、端末装置320Aの利用は、常に管理エリアA内に限定されるので、端末装置320A内に管理コード「AAA」を格納しておき、これを認証サーバ装置100へ送信するようにすればよい。
【0080】
<<< §5.いくつかの変形例 >>>
以上、§1〜§4では、本発明の基本的な実施形態に係るコンピュータシステムを説明した。ここでは、いくつかの変形例を述べる。
【0081】
(1) アクセス権を示す管理コードを用いる例
基本的な実施形態では、管理ユニット340A,340Bによって情報記録媒体400内の管理コード格納部420に書き込む管理コードとして、各管理エリアを特定するためのエリアコードを用いる例を示した。たとえば、図2に示す例では、管理エリアAを特定するためのエリアコード「AAA」が管理コードとして書き込まれている。このように、エリアコード「AAA」を管理コードとして用いた場合、この管理コードを伴うアクセスを受けた認証サーバ装置100側では、当該アクセスが管理エリアA内から行われていることを認識することができるので、図3に示すような対応テーブルを用いて、管理エリアAからのアクセスについて設定されているアクセス権コードがL1であることを認識し、図4に示すアクセス権コードL1に対応したアクセス権の内容に基づいて、当該アクセスに応じることができる。
【0082】
ここで述べる変形例では、このアクセス権コード自体を管理コードとして利用するのである。すなわち、予め、個々の管理エリアごとに、所定のアクセス権コードを設定しておき、各管理エリア用の管理ユニットには、当該管理エリアについて設定されているアクセス権コードを記憶させておく。たとえば、図1において、管理ユニット340Aにはアクセス権コードL1を記憶させておき、管理ユニット340Bにはアクセス権コードL3を記憶させておけばよい。この場合、利用者Pが、管理エリアAに入場すると、所持していた情報記録媒体400の管理コード格納部420には、図5に示すように、管理ユニット340Aによって、アクセス権コード「L1」が管理コードとして書き込まれることになる。したがって、認証サーバ装置100に対しても、端末装置320Aから、このアクセス権コード「L1」が管理コードとして送信されることになり、認証サーバ装置100は、当該アクセスについてのアクセス権コードを直ちに認識することが可能になる。こうして認証サーバ装置100は、このアクセス権コードによって示されるアクセス権の範囲内で、端末装置からのアクセスに応じることができる。すなわち、認証サーバ装置100には、図3に示すような対応テーブルは不要になり、図4に示す対応テーブルのみ用意しておけば足りる。
【0083】
もちろん、図4の右側欄に示すようなアクセス権の内容自身を示す情報を、そのまま管理コードとして用いることも可能である。その場合は、認証サーバ装置100には、図4に示す対応テーブルも不要になる。このように、本発明における管理コードは、個々の管理エリアについて設定されている「当該管理エリアについてのアクセス権を決定するために利用可能な何らかのコード」であれば、どのようなコードを用いてもかまわない。ただ、基本的な実施形態で述べたように、エリアコードを管理コードとして利用すると、認証サーバ装置100側では、端末装置からのアクセスがあった場合に、どの管理エリアからのアクセスであるのかを把握することができるというメリットがある。
【0084】
(2) 日時や認証コードに応じて異なるアクセス権を設定する例
図6は、図1に示す認証サーバ装置100内に設けられた「アクセス権コードとアクセス権の内容との対応テーブル」の別な一例を示す図である。図4に示す対応テーブルの場合、1つのアクセス権コードに対して、アクセス権の内容は1つだけ設定されているが、図6に示す対応テーブルの場合、1つのアクセス権コードに対して、日時に応じて異なる複数の内容が設定されている。
【0085】
すなわち、アクセス権コード「L1」については、日時に限らず、常に「すべてのアクセス可」なる内容が設定されているが、アクセス権コード「L2」および「L3」については、平日か土・日・休日かによって、異なる内容設定がなされている。したがって、アクセス権コード「L1」が設定されている管理エリアからアクセスする場合は、いつでも「すべてのアクセス可」となるのに対し、アクセス権コード「L2」が設定されている管理エリアからのアクセスは、平日しかできないことになる。また、アクセス権コード「L3」が設定されている管理エリアからのアクセスは、平日に限り、しかもデータの読み込みのみが可能ということになる。
【0086】
図6では、曜日などの日単位で異なる設定を行った例を示したが、もちろん、時間単位で異なる設定を行うことも可能である。たとえば、同じ平日に関する設定であっても、09:00〜17:00の時間帯、17:00〜23:00の時間帯、23:00〜09:00の時間帯というように時間帯を分け、それぞれについて異なるアクセス権の内容を設定することも可能である。
【0087】
このように、アクセス権コードとアクセス権の内容との対応テーブルに、日時に応じて異なるアクセス権の内容を参照する設定を行っておき、サーバ装置が、アクセスを受けた時点の日時に応じて、対応する日時の設定内容を参照するようにすれば、同一の利用者が同一の管理エリアからアクセスを行った場合であっても、日時によって、異なるアクセス権を設定することが可能になる。このような運用は、残業中や休日出勤中など、上司や同僚による監視の目がゆき届かなくなる特殊な環境下における不正行為を防止する効果が得られる。
【0088】
一方、図7は、図1に示す認証サーバ装置100内に設けられた「アクセス権コードとアクセス権の内容との対応テーブル」の更に別な一例を示す図である。この対応テーブルの場合、1つのアクセス権コードに対して、認証コードに応じて異なる複数の内容が設定されている。認証コードは、既に述べたとおり、各情報記録媒体400内の認証コード格納部410に格納されているコードであり、ここで述べる実施形態の場合、特定の利用者Pに対して発行された固有の識別コードである。
【0089】
そこで、たとえば、ある企業において、個々の重役に対しては、0000〜0999の範囲内のユニークな認証コードを付与し、一般職員に対しては、1000〜9999の範囲内のユニークな認証コードを付与しておくこととし、認証サーバ装置100内に、図7に示すような対応テーブルを用意しておくようにすれば、アクセスを行う者が重役か一般職員かによって、異なるアクセス権の設定が可能になる。
【0090】
すなわち、認証サーバ装置100内に用意する「アクセス権コードとアクセス権の内容との対応テーブル」に、認証コードに応じて異なるアクセス権の内容を参照する設定を行っておく。そして、利用者Pが端末装置320Aを利用して認証サーバ装置100に対するアクセスを行う際に、端末装置320Aが、管理コード格納部420から管理コードを読み出すとともに、認証コード格納部410から認証コードを読み出し、この管理コードと認証コードとの双方を認証サーバ装置100に送信するようにする。
【0091】
一方、認証サーバ装置100は、送信されてきた認証コードと管理コードとの双方に基づいて、図7に示すような対応テーブルを参照することにより、アクセス権の内容を決定すればよい。たとえば、管理コードによって示されるアクセス権コードが「L2」であった場合、認証コードが0000〜0999の範囲内であれば(すなわち、重役によるアクセスであれば)、すべてのアクセスを可能とし、認証コードが1000〜9999の範囲内であれば(すなわち、一般職員によるアクセスであれば)、すべてのアクセスを不可とすることになる。
【0092】
もちろん、図6に示すような日時に応じて異なるアクセス権を設定する方法と、図7に示すような認証コードに応じて異なるアクセス権を設定する方法とを組み合わせることも可能である。この場合、認証サーバ装置100に用意される「アクセス権コードとアクセス権の内容との対応テーブル」には、認証コードおよび日時に応じて異なるアクセス権の内容を参照する設定をしておくようにする。そして、たとえば、端末装置320Aが、認証サーバ装置100に対するアクセスを行う際には、管理コード格納部420から管理コードを読み出すとともに、認証コード格納部410から認証コードを読み出し、双方のコードを認証サーバ装置100に送信するようにする。そうすれば、認証サーバ装置100は、送信されてきた管理コードと認証コードとの双方に基づいて対応テーブルを参照し、この対応テーブルを参照することによって定まるアクセス権の範囲内で、端末装置320Aからのアクセスに応じることができる。
【0093】
(3) 日時や認証コードに応じて管理コードの書き込みを行う例
これまで述べてきた実施形態では、利用者Pが管理エリアに入場すると、当該管理エリアについて設定されている管理コードが、必ず情報記録媒体400内に書き込まれていた。ここで述べる変形例では、この書込処理を日時や認証コードに応じて、行ったり行わなかったりするのである。
【0094】
図8は、図1に示す管理ユニット340A内に設けられた処理テーブルの一例を示す図である。既に述べたとおり、利用者Pが、管理エリアAに入場する際に、所持している情報記録媒体400を管理ユニット340Aに近づけると、認証コード格納部410に格納されていた認証コード(たとえば、「8888」)が、管理ユニット340A側に読み出される。このとき、前述した基本的な実施形態では、管理ユニット340Aが、管理コード格納部420に対して、無条件で管理コード「AAA」の書き込みを行っていた。ここで述べる変形例の場合、管理ユニット340Aは、図8に示す処理テーブルを参照し、管理コード「AAA」の書き込みを行うべきか否かの判断を行うことになる。
【0095】
すなわち、図8に示す処理テーブルが用意されていた場合、平日であれば、読み出された認証コードとは無関係に、常に、管理コード「AAA」の書き込みを行うことになる。しかし、土・日・休日では、読み出された認証コードが0000〜0999の範囲内であれば(すなわち、入場しようとしている利用者が重役であれば)、管理コード「AAA」の書き込みを行うが、認証コードが1000〜9999の範囲内であれば(すなわち、入場しようとしている利用者が一般職員であれば)、管理コード「AAA」の書き込みは行われないことになる。もちろん、この処理テーブルにおいても、09:00〜17:00の時間帯、17:00〜23:00の時間帯、23:00〜09:00の時間帯というように時間帯を分け、それぞれの時間帯について異なる設定を行うことも可能である。
【0096】
要するに、管理ユニットは、認証コード格納部410から読み出した認証コードが特定のコードであった場合には、特定の日時には、管理コードの書き込み処理を実行しないことになる。図8に示す例の場合、認証コード格納部410から読み出した認証コードが、1000〜9999の範囲内のコードであった場合には、土・日・休日には、管理コードの書き込み処理を実行しないことになる。
【0097】
このように、ここで述べる変形例では、利用者が所定の管理エリアに入場した場合であっても、管理コード制御部420に管理コードが書き込まれない場合がある。もし管理コード格納部420内に、管理コードが何も書き込まれていなかった場合、端末装置は管理コードを認証サーバ装置100へ送信することはできない。このように、管理コードが送信されてこなかった場合、認証サーバ装置100はアクセスを拒否することになる。
【0098】
このような運用を行うと、結局、重役の場合は、管理エリアA内から常に管理コード「AAA」に応じたアクセスが可能になるが、一般職員の場合は、土・日・休日には、管理エリアA内からのアクセスができないことになる。これは、一般職員が、土・日・休日に管理エリアAに入場しても、管理コード格納部420には管理コード「AAA」が書き込まれていないため、端末装置320Aが管理コードを認証サーバ装置100に送信することができず、認証サーバ装置100によってアクセスが拒否されてしまうためである。
【0099】
なお、図8には、日時と認証コードとの双方を参照して、書込処理をするかしないかを決定する処理テーブルを例示したが、もちろん、日時のみに基づいて書込処理をするかしないかを決定する処理テーブルや、認証コードのみに基づいて書込処理をするかしないかを決定する処理テーブルを用いることも可能である。前者の場合、管理ユニットは、特定の日時には、管理コードの書き込み処理を実行しないことになり、後者の場合、管理ユニットは、認証コード格納部410から読み出した認証コードが特定のコードであった場合には、管理コードの書き込み処理を実行しないことになる。
【0100】
(4) 補助コードを含む管理コードを用いる例
図2には、管理コードとしてエリアコード「AAA」を用いた例を示し、図5には、管理コードとしてアクセス権コード「L1」を用いた例を示した。情報記録媒体400として、ICカードを用いた場合、管理コード格納部420に書き込まれた管理コードに対しては、比較的十分なセキュリティが確保されることになる。しかしながら、何らかの不正な方法により、ICカードから管理コードが読み出されてしまう可能性もある。また、端末装置側に何らかの不正な仕掛けを行うことにより、ICカード内に書き込まれた管理コードをサーバ装置に送信する過程で、管理コードが不正に取得されてしまう可能性もある。
【0101】
このような問題に対処するためには、サーバ装置にアクセスするたびに、毎回異なる管理コードを用いるようにするのが効果的である。そうすれば、万一、管理コードが不正に取得されてしまったとしても、当該管理コードは1回限りしか有効ではないので、不正取得した管理コードを用いてサーバ装置に不正アクセスする行為を防止することができる。そのためには、管理ユニット340A内で所定のアルゴリズムに基づいて一時的に有効な補助コードを発生させ、この補助コードを含む管理コードを用いるようにすればよい。
【0102】
図9は、管理ユニット340A内で行われる管理コードの生成アルゴリズムの一例を示す図である。ここでは、補助コードの発生アルゴリズムとして、現時点における年月日のデータを用いる手法を採っている。すなわち、その日の「日」のデータ2桁、「月」のデータ2桁、「年」のデータ4桁を羅列した全8桁の数字列を補助コードとして用い、これをエリアコードの後ろに付け加えることにより、一時的に有効な管理コードを生成している。図9の例は、2006年9月18日に管理コードを生成した例であり、「AAA18092006」なる管理コードが生成されている。
【0103】
たとえば、図1に示す管理ユニット340Aに、上述したような所定のアルゴリズムに基づいて一時的に有効な補助コードを発生させる機能をもたせておけば、管理コード格納部420には、エリアコード「AAA」と補助コード「18092006」の双方を含む管理コード「AAA18092006」が書き込まれることになり、当該管理コードが認証サーバ装置100へ送信されることになる。
【0104】
一方、認証サーバ装置100側には、全く同じアルゴリズムに基づいて、送信されてきた管理コードに含まれている補助コードの有効性を判断し、この補助コードが無効であるとの判断結果が得られた場合には、アクセスを禁止する処置をとるようにする。上述のアルゴリズムの場合、管理コードは、先頭から3文字の部分がエリアコード、これに後続する8文字の部分が補助コードという構成になるので、認証サーバ装置100は、両コードを分離し、補助コードの部分の有効性を判断する。すなわち、その日の年月日に基づいて、正しい補助コード「18092006」を生成し、送信されてきた管理コードに含まれている補助コードと一致するかを判定し、一致した場合に限り有効と判断すればよい。そうすれば、万一、管理コードが不正に取得されたとしても、当該管理コードはその当日しか有効ではないので、認証サーバ装置100に対して不正アクセスが行われる可能性を低減することができる。
【0105】
もちろん、補助コードの生成アルゴリズムは、任意に設定することが可能である。管理ユニット側と認証サーバ装置側とで、同一のアルゴリズムに基づいて補助コードを生成することができれば、どのようなアルゴリズムを採用してもかまわない。たとえば、年月日に更に時分や曜日を加えるようにしてもよい。あるいは、管理ユニットに、認証サーバ装置に対して直接アクセスする機能をもたせておけば、毎朝の始業時間に、認証サーバ装置側で「ランダムなコード」を発生させ、個々の管理ユニットが、認証サーバ装置にアクセスして、この「ランダムなコード」をダウンロードするようにしてもよい。この場合、管理ユニットは、ダウンロードした「ランダムなコード」自身を補助コードとして用いることもできるし、この「ランダムなコード」に所定のアルゴリズムに基づく加工処理を施したものを補助コードとして用いることもできる。
【0106】
図10は、管理コードの生成アルゴリズムの別な一例を示す図である。図9に示す例では、エリアコード「AAA」に補助コード「18092006」を付加して管理コードを生成していたが、この図10に示す例では、アクセス権コード「L1」に補助コード「18092006」を付加して管理コードを生成している。これは、前述した§5(1)の変形例に対応するためのものである。
【0107】
すなわち、この図10に示す例の場合、管理ユニットは、所定のアルゴリズムに基づいて一時的に有効な補助コードを発生させ、アクセス権コードとこの補助コードとの双方を含む管理コードを生成し、管理コード格納部420へ書き込むことになる。一方、サーバ装置側では、全く同一のアルゴリズムに基づいて、送信されてきた管理コードに含まれている補助コードの有効性を判断し、当該補助コードが無効であるとの判断結果が得られた場合には、アクセスを禁止することになる。
【0108】
(5) 管理コードの消去および無効化の例
これまで述べてきたとおり、本発明に係るシステムでは、利用者Pが管理エリアから退場する際に、当該管理エリアの入場時に管理コード格納部420に書き込まれた管理コードを消去する処理が行われる。ここで、本願における「管理コードの消去」とは、管理コードの情報としての機能を失効させる処理を広く意味するものである。したがって、たとえば、16進数の「FF」のような特定のコード(データが空であることを示すコード)によって上書きする処理だけでなく、別な意味のあるコードによって書き替える処理も、本願にいう「消去」処理である。
【0109】
たとえば、管理エリアAに入る際に「AAA」という文字列からなる管理コードが情報記録媒体に書き込まれた後、管理エリアAから出る際に、当該文字列「AAA」を「ZZZ」という別な文字列に書き替える処理を行うことにより、「AAA」なる管理コードを「消去」してもよい。情報記録媒体としてICカードを用いている場合、このような書替処理を行う際にICカードに対して与えるコマンドは「消去コマンド」ではなく、「書込コマンド」ということになるが、実質的に、本発明にいう「管理コードの消去」が行われることになる。
【0110】
また、管理エリアAと管理エリアBとが、ドア1枚で繋がっているような隣接した部屋である場合、利用者が当該ドアを通って、管理エリアAから管理エリアBへと移動したら、管理エリアAのための管理コード「AAA」を、管理エリアBのための管理コード「BBB」に書き替える処理を行えば足りる。この場合、当該書替処理は、管理コード「AAA」を消去する処理と、管理コード「BBB」を書き込む処理と、を兼ねることになる。
【0111】
また、管理コードは必ずしも消去する必要はなく、何らかの方法で無効化する処理を行うようにしてもよい。図11は、このような無効化を行う運用を行った場合の情報記録媒体400内の状態を示すブロック図である。この例では、管理コード格納部420内には、複数の管理コードが順次記録されるようになっている。具体的には、管理コード「AAA」,「DDD」,「GGG」なる3つの管理コードが各行に記録された状態が示されている。個々の管理コードには、その有効性を示すフラグが併せて記録されている。図示の例の場合、管理コード「AAA」,「DDD」には無効フラグが設定され、管理コード「GGG」のみに有効フラグが設定されている。これは、この情報記録媒体400を所持する利用者が、管理エリアAに入場して退場し、続いて管理エリアDに入場して退場し、最後に管理エリアGに入場した状態であることを示している。
【0112】
この運用形態では、利用者Pが管理エリアに入場する際に、管理コード格納部420内の新たな行に管理コードの書き込みが行われ、当該管理コードに対して有効フラグが設定される。そして、この利用者Pが当該管理エリアから退場する際には、当該有効フラグが無効フラグに書き替えられる。また、端末装置は、有効フラグが設定されている管理コードのみを有効なものとして取り扱うようにする。こうすれば、管理コード格納部420内には、管理コードが順次書き込まれてゆき、利用者Pの移動履歴が残ることになるので、必要に応じて、この移動履歴を何らかの用途に利用することが可能になる。もちろん、管理コード格納部420の記憶容量は限られているので、実用上は、不要になった古い管理コードは、所定のタイミングで消去してゆくのが好ましい。
【0113】
<<< §6.具体的な施工例 >>>
ここでは、本発明のより具体的な施工例を簡単に説明しておく。図12は、図1に示すコンピュータシステムにおける管理エリアA周辺の構成要素の具体的な施工例を示す斜視図である。図12に示す例では、管理エリアAは居室となっており、図1に示す物理的構造体300Aは部屋の壁・床・天井によって構成され、ゲート310Aはこの部屋の出入り口に設けられたドアによって構成されている。情報記録媒体400を所持する利用者Pは、ドア310Aを通ってこの居室Aに出入りすることになる。
【0114】
ドア310Aの近傍の壁面には、入場用交信器340A−1と退場用交信器340A−2が設けられている。入場用交信器340A−1は、居室Aに入場する際に、情報記録媒体400と交信する装置であり、居室Aの外側の壁に設置されている。これに対して、退場用交信器340A−2は、居室Aから退場する際に、情報記録媒体400と交信する装置であり、居室Aの内側の壁に設置されている。この実施形態の場合、情報記録媒体400は非接触型ICカードであり、各交信器340A−1,340A−2は、この非接触型ICカードと無線交信するリーダライタ装置によって構成されている。したがって、利用者Pが、情報記録媒体400を各交信器340A−1,340A−2の近傍にかざすと、両者間で交信が行われ、必要な処理が実行される。
【0115】
すなわち、入場用交信器340A−1は、利用者Pが居室Aに入る際に情報記録媒体400と交信して、認証コード格納部410に格納されている認証コードを読み出すとともに、管理コードを管理コード格納部420に書き込む処理を行う。一方、退場用交信器340A−2は、利用者Pが居室Aから出る際に情報記録媒体400と交信して、管理コード格納部420内の管理コードを消去するか無効化する処理を行う。
【0116】
入場用交信器340A−1および退場用交信器340A−2は、コントローラ340A−3に接続されている。このコントローラ340A−3は、各交信器340A−1,340A−2を制御するとともに、入場用交信器340A−1から読み出された認証コードを利用した認証処理を行う。図1に1つのブロックとして描かれている管理ユニット340Aは、この図12に示す実施例では、入場用交信器340A−1、退場用交信器340A−2、コントローラ340A−3の3つの装置によって構成されることになる。これまで述べてきた管理ユニット340Aの処理機能は、コントローラ340A−3内に組み込まれた制御プログラムによって実現されることになる。
【0117】
利用者Pが、居室Aに入るために、所持している情報記録媒体400を入場用交信器340A−1にかざすと、入場用交信器340A−1によって、認証コード格納部410に格納されていた認証コード(たとえば、「8888」)が読み出され、コントローラ340A−3へと送信される。コントローラ340A−3は、この認証コードが「居室Aへの出入りを許可する正しい認証コード」であることを確認した上で、電子錠330Aに解錠指示信号を与えるとともに、情報記録媒体400の管理コード格納部420に、所定の管理コード(たとえば、エリアコード「AAA」)を書き込むよう、入場用交信器340A−1に指示を与える。このときの情報記録媒体400の状態は、図2に示す状態になっている。
【0118】
これにより、ドア310Aが解錠されるので、利用者Pは居室Aに入ることができる。利用者Pは、端末装置320A(図示の例の場合、パソコン)を利用する場合、情報記録媒体400を端末装置320Aに備わっているICカード用リーダライタ装置に無線で接続した上で、所定のアカウントおよびパスワードの入力を行う。端末装置320Aは、情報記録媒体400から、認証コード「8888」とエリアコード「AAA」を読み出し、これらをアカウントおよびパスワードとともに認証サーバ装置100へと送信する。認証サーバ装置100は、既に述べた方法で、アカウント、パスワード、認証コードを認証し、エリアコード(管理コード)に対応したアクセス権の範囲内で、端末装置320Aからのアクセスに応じる。
【0119】
利用者Pが、端末装置320Aの操作を終了し、居室Aから出る場合、所持している情報記録媒体400を退場用交信器340A−2にかざす。すると、退場用交信器340A−2によって、認証コード格納部410に格納されていた認証コード(たとえば、「8888」)が読み出され、コントローラ340A−3へと送信される。コントローラ340A−3は、この認証コードが「居室Aへの出入りを許可する正しい認証コード」であることを確認した上で、電子錠330Aに解錠指示信号を与える。また、情報記録媒体400の管理コード格納部420に書き込まれている管理コード「AAA」を消去もしくは無効化するよう、退場用交信器340A−2に指示を与える。これにより、ドア310Aが解錠されるので、利用者Pは居室Aから出ることができる。
【0120】
<<< §7.本発明に係る方法の基本手順 >>>
最後に、図13の流れ図を参照しながら、本発明に係るアクセス権管理方法の基本手順を説明する。この手順は、特定の管理エリア内の端末装置から管理エリア外のサーバ装置へ、ネットワークを介してアクセスを行う場合のアクセス権を管理する手順である。なお、ここでは、このアクセス権管理方法に必須な手順のみを記載することにし、アカウントやパスワードの入力作業、認証コードを用いた認証処理、管理エリアの施錠・解錠動作などは省略する。
【0121】
まず、ステップS1において、情報記録媒体400の準備が行われる。これは、必要に応じて所定の管理コードを書き込むことができる情報記録媒体を準備して、各利用者に配布する処理である。企業の既存のコンピュータシステムに本発明を適用するには、各従業員に、それぞれ専用の情報記録媒体400を配布すればよい。この場合、各情報記録媒体400内の認証コード格納部410には、各従業員に付与したユニークな認証コードを書き込んでおくようにする。
【0122】
現在、ICカードからなる社員証を発行し、個々の従業員に配布している企業では、この社員証をそのまま情報記録媒体400として利用することができる。通常、ICカードからなる社員証に、各従業員に固有の認証コードを格納しておき、この認証コードに、各居室(管理エリア)に出入りするための電子鍵として機能をもたせておく運用が採られていることが多い。そのような場合、当該社員証および電子鍵として機能するICカード内に、管理コード格納部420を設定する処理を行えば、ステップS1の処理は完了である。
【0123】
続くステップS2では、各居室に管理ユニットを設置する。すなわち、各居室への出入りを行うゲートの近傍に、情報記録媒体400と交信する機能をもった管理ユニットが設置される。上述したように、既に各居室(管理エリア)に電子錠が設けられ、社員証として配布したICカードを電子鍵として利用する環境が整備されていれば、当該ICカードと交信する交信器や、電子錠の施錠・解錠を制御するコントローラが既に用意されているので、これら既存の機器をそのまま管理ユニットとして流用することが可能である。この場合、コントローラには、管理コード格納部420に対する管理コードの書き込み機能と、当該管理コードの消去もしくは無効化機能とを付加するためのプログラムを追加すればよい。
【0124】
以上、ステップS1,S2は準備段階であり、続くステップS3以降が実際の運用段階になる。ここでは、図12に示す管理エリアAへの入場から退場に至るまでの処理手順を説明する。まず、ステップS3において、情報記録媒体400を所持している利用者Pが所定の管理エリアに入る操作を行ったか否かが検知される。具体的には、図12に示す例の場合、情報記録媒体400が、入場用交信器340A−1の近傍にかざされると、管理エリアAに入る操作が行われたものとして扱われ、ステップS4へと移行する。ステップS4では、管理ユニット340Aにより、情報記録媒体400に対する管理コードの書き込みが行われる。すなわち、情報記録媒体400を携帯する利用者Pが、ゲート310Aを通って管理エリアAに入ろうとした場合には、管理ユニット340Aによって、この管理エリアAについて設定されている管理コードを情報記録媒体400に書き込む処理が行われる。
【0125】
続くステップS5では、管理エリアAに入った利用者Pが端末装置320Aを用いて、ネットワーク200を介して認証サーバ装置100へのアクセスを開始する操作を行ったか否かが検知される。具体的には、図12に示す例の場合、情報記録媒体400が、端末装置320Aに接続され、利用者Pがアカウントおよびパスワードを入力してサーバ装置へのアクセス開始手続を行うと、ステップS6へと移行する。ステップS6では、端末装置320Aが、情報記録媒体400に書き込まれている管理コードを読み出し、この管理コードやその他の必要な情報を認証サーバ装置100に対して送信する処理が行われる。そして、ステップS7では、端末装置320Aからサーバ装置に対するアクセス(図1に示すシステムの場合、認証サーバ装置100を中継した各サーバ装置110,120,130へのアクセス)が実行される。このとき、管理コードの送信を伴うアクセスを受けた認証サーバ装置100は、当該管理コードに対応した条件下で、端末装置320Aからのアクセスに応じることになる。
【0126】
次に、ステップS8において、利用者Pが管理エリアから出る操作を行ったか否かが検知される。具体的には、図12に示す例の場合、情報記録媒体400が、退場用交信器340A−2の近傍にかざされると、管理エリアAから出る操作が行われたものとして扱われ、ステップS9へと移行する。ステップS9では、管理ユニット340Aにより、情報記録媒体400に書き込まれている管理エリアAについての管理コードを消去もしくは無効化する処理が行われる。これにより、管理エリアAから出た時点で、情報記録媒体400には、有効な管理コードは記録されていない状態になる。
【0127】
以上で、1つの管理エリアAへの入場から退場に至るまでの手順が完了である。必要があれば、再びステップS3へと戻り、新たな管理エリアへの入退場処理が繰り返される。
【産業上の利用可能性】
【0128】
本発明は、ネットワークを介して端末装置からサーバ装置へアクセスする機能をもったコンピュータシステムに広く適用可能である。特に、多数の利用者が、多数の場所からサーバ装置へアクセスする企業内のコンピュータシステムにおいて、個々の場所ごとにそれぞれ異なるアクセス権を設定する用途に利用すると最適である。
【符号の説明】
【0129】
100:認証サーバ装置
110:サーバ装置
120:サーバ装置
130:サーバ装置
200:ネットワーク
300A:物理的構造体
300B:物理的構造体
310A:ゲート
310B:ゲート
320A:端末装置
320B:端末装置
330A:電子錠
330B:電子錠
340A:管理ユニット
340B:管理ユニット
340A−1:入場用交信器
340A−2:退場用交信器
340A−3:コントローラ
400:情報記録媒体
410:認証コード格納部
420:管理コード格納部
A:管理エリア
B:管理エリア
S1〜S9:流れ図の各ステップ
【技術分野】
【0001】
本発明は、コンピュータシステムおよびそのアクセス権管理方法に関する。特に、本発明は、複数の管理エリア内の各端末装置からアクセス対象となるサーバ装置へ、ネットワークを介してアクセスを行うことが可能なコンピュータシステムにおいて、個々の管理エリアごとにそれぞれ異なるアクセス権を設定する技術に関する。
【背景技術】
【0002】
ネットワークの発達により、コンピュータの利用形態は、端末装置(クライアントコンピュータ)からサーバ装置(サーバコンピュータ)へネットワークを介してアクセスするという方法が一般化してきている。この場合、端末装置の利用者は、通常、所定のアカウント(利用者ID)およびパスワードを用いてサーバ装置にログインし、サーバ装置に格納されているデータを端末装置へ読み出したり、逆に、端末装置に格納されているデータをサーバ装置へ書き込んだりする作業を行うことになる。サーバ装置に対しては、多数の利用者がそれぞれの端末装置を用いてアクセスすることが可能になるので、通常は、サーバ装置内に格納されたデータに対する十分なセキュリティを確保するために、個々のアカウントごとにそれぞれ固有のアクセス権を設定し、当該アカウントに応じたアクセス権の範囲内で、サーバ装置に対するアクセスを許可する運用が採られる。
【0003】
しかしながら、多数の従業員を抱える企業の場合、個々の従業員ごとに、それぞれその職責に応じたアクセス権を設定する運用を行ったとしても、必ずしも十分なセキュリティを確保することはできない。特に、悪意をもったスタッフが、自己に与えられたアクセス権の範囲内で不正行為を働いた場合、これを阻止することは困難である。このような問題に対処するために、たとえば、下記の特許文献1には、端末装置が接続されているネットワーク環境に応じて、異なるアクセス権を設定する技術が開示されている。また、特許文献2には、利用者がサーバ装置からログアウトするたびに、当該利用者が利用していたファイルを別な場所に退避することにより、セキュリティを確保する技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】国際公開第WO2005/081120号公報
【特許文献2】国際公開第WO2005/081114号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の目的は、端末装置が利用される個々の場所ごとに、それぞれ異なるアクセス権を設定できるようにすることにある。本発明のより具体的な目的は、たとえ同一の利用者が同一の端末装置を用いてサーバ装置にアクセスを行ったとしても、端末装置が置かれた場所によって、与えられるアクセス権が異なるようにすることである。たとえば、上司による監視がゆき届いた部屋からアクセスを行う場合には、職責に応じた本来のアクセス権が与えられるようにし、休憩室や食堂など、監視の目がゆき届かない部屋からアクセスを行う場合には、より制限を課したアクセス権しか与えられないようにする。
【課題を解決するための手段】
【0006】
(1) 本発明の第1の態様は、特定の管理エリア内の装置からアクセス対象となる装置へ、ネットワークを介してアクセスを行うことが可能なコンピュータシステムにおいて、
管理エリアへの出入りが、特定のゲートを通過することによってのみ可能となるように、この管理エリアを囲う物理的構造体と、
上記管理エリア外もしくは内に設置され、アクセスを受ける対象となるサーバ装置と、
少なくとも管理エリア内からネットワークを介してサーバ装置に対してアクセスを行う機能を有する端末装置と、
所定の認証コードを格納した認証コード格納部と、必要に応じて所定の管理コードを格納するための管理コード格納部と、を有する情報記録媒体と、
ゲートの施錠および解錠を行う機能を有し、通常は施錠状態を維持し、解錠指示信号が与えられたときにのみ一時的に解錠を行う電子錠と、
情報記録媒体を所持した利用者がゲートを通って管理エリアに出入りする際に、認証コード格納部に格納されている認証コードを読み出し、読み出した認証コードを利用した認証を行い、正しい認証結果が得られた場合に電子錠に対して解錠指示信号を与える管理ユニットと、
を設け、
管理ユニットが、利用者が管理エリアに入る際に正しい認証結果が得られたときには、管理エリアについて設定されている管理コードを管理コード格納部に書き込む処理を行い、利用者が管理エリアから出る際に、管理コードを管理コード格納部から消去するか無効化する処理を行い、
端末装置が、サーバ装置に対するアクセスを行う際に、管理コード格納部から管理コードを読み出し、これをサーバ装置に送信し、
サーバ装置が、端末装置から送信されてきた管理コードに対応した条件下で、端末装置からのアクセスに応じるようにしたものである。
【0007】
(2) 本発明の第2の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
複数の管理エリアを設け、管理コードとして、個々の管理エリアについて設定された所定のアクセス権を示すアクセス権コードを含むコードを用い、
サーバ装置が、端末装置から送信されてきたアクセス権コードによって示されるアクセス権の範囲内で、端末装置からのアクセスに応じるようにしたものである。
【0008】
(3) 本発明の第3の態様は、上述の第2の態様に係るコンピュータシステムにおいて、
管理ユニットが、所定のアルゴリズムに基づいて一時的に有効な補助コードを発生させ、アクセス権コードと補助コードとの双方を含む管理コードを用い、
サーバ装置が、このアルゴリズムに基づいて、管理コードに含まれている補助コードの有効性を判断し、補助コードが無効であるとの判断結果が得られた場合には、アクセスを禁止するようにしたものである。
【0009】
(4) 本発明の第4の態様は、上述の第2の態様に係るコンピュータシステムにおいて、
サーバ装置が、アクセス権コードとアクセス権の内容との対応テーブルを有し、この対応テーブルを参照することによって定まるアクセス権の範囲内で、端末装置からのアクセスに応じるようにしたものである。
【0010】
(5) 本発明の第5の態様は、上述の第4の態様に係るコンピュータシステムにおいて、
アクセス権コードとアクセス権の内容との対応テーブルに、日時に応じて異なるアクセス権の内容を参照する設定を行うようにしたものである。
【0011】
(6) 本発明の第6の態様は、上述の第4の態様に係るコンピュータシステムにおいて、
アクセス権コードとアクセス権の内容との対応テーブルに、認証コードに応じて異なるアクセス権の内容を参照する設定を行い、
端末装置が、サーバ装置に対するアクセスを行う際に、管理コード格納部から管理コードを読み出すとともに、認証コード格納部から認証コードを読み出し、管理コードと認証コードとをサーバ装置に送信し、
サーバ装置が、端末装置から送信されてきた管理コードと認証コードとの双方に基づいて対応テーブルを参照し、対応テーブルを参照することによって定まるアクセス権の範囲内で、端末装置からのアクセスに応じるようにしたものである。
【0012】
(7) 本発明の第7の態様は、上述の第4の態様に係るコンピュータシステムにおいて、
アクセス権コードとアクセス権の内容との対応テーブルに、認証コードおよび日時に応じて異なるアクセス権の内容を参照する設定を行い、
端末装置が、サーバ装置に対するアクセスを行う際に、管理コード格納部から管理コードを読み出すとともに、認証コード格納部から認証コードを読み出し、管理コードと認証コードとをサーバ装置に送信し、
サーバ装置が、端末装置から送信されてきた管理コードと認証コードとの双方に基づいて対応テーブルを参照し、対応テーブルを参照することによって定まるアクセス権の範囲内で、端末装置からのアクセスに応じるようにしたものである。
【0013】
(8) 本発明の第8の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
管理ユニットが、特定の日時には、管理コードの書き込み処理を実行しないようにしたものである。
【0014】
(9) 本発明の第9の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
管理ユニットが、認証コード格納部から認証コードを読み出す機能を有し、読み出した認証コードが特定のコードであった場合には、管理コードの書き込み処理を実行しないようにしたものである。
【0015】
(10) 本発明の第10の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
管理ユニットが、認証コード格納部から認証コードを読み出す機能を有し、読み出した認証コードが特定のコードであった場合には、特定の日時には、管理コードの書き込み処理を実行しないようにしたものである。
【0016】
(11) 本発明の第11の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
端末装置が、認証コード格納部に格納されている認証コードを利用した認証を行い、正しい認証結果が得られた場合にのみサーバ装置に対するアクセスを行うようにしたものである。
【0017】
(12) 本発明の第12の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
サーバ装置が、別なサーバ装置へアクセスするための認証処理を行う認証サーバ装置であり、送信されてきた管理コードに対応した条件下で別なサーバ装置へのアクセスが行われるよう中継を行うようにしたものである。
【0018】
(13) 本発明の第13の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
管理ユニットを、
利用者が管理エリアに入る際に情報記録媒体と交信して、認証コード格納部に格納されている認証コードを読み出すとともに、管理コードを管理コード格納部に書き込む処理を行う入場用交信器と、
利用者が管理エリアから出る際に情報記録媒体と交信して、管理コードを管理コード格納部から消去するか無効化する処理を行う退場用交信器と、
読み出された認証コードを利用した認証処理を行うとともに、入場用交信器および退場用交信器を制御するコントローラと、
によって構成したものである。
【0019】
(14) 本発明の第14の態様は、特定の管理エリア内の装置からアクセス対象となる装置へ、ネットワークを介してアクセスを行うことが可能なコンピュータシステムにおいて、
上記管理エリア外もしくは内に設置され、アクセスを受ける対象となるサーバ装置と、
少なくとも管理エリア内からネットワークを介してサーバ装置に対してアクセスを行う機能を有する端末装置と、
必要に応じて所定の管理コードを格納するための管理コード格納部を有する情報記録媒体と、
情報記録媒体を所持する利用者が管理エリアに入る際に、当該管理エリアについて設定されている管理コードを管理コード格納部に書き込む処理を行い、利用者が管理エリアから出る際に、管理コードを管理コード格納部から消去するか無効化する処理を行う管理ユニットと、
を設け、
端末装置が、サーバ装置に対するアクセスを行う際に、管理コード格納部から管理コードを読み出し、これをサーバ装置に送信し、
サーバ装置が、端末装置から送信されてきた管理コードに対応した条件下で、端末装置からのアクセスに応じるようにしたものである。
【0020】
(15) 本発明の第15の態様は、特定の管理エリア内の端末装置からアクセス対象となるサーバ装置へ、ネットワークを介してアクセスを行う場合のアクセス権を管理する方法において、
必要に応じて所定の管理コードを書き込むことができる情報記録媒体を準備する段階と、
管理エリアへの出入りを行うゲートの近傍に、情報記録媒体と交信する機能をもった管理ユニットを設置する段階と、
情報記録媒体を携帯する利用者が、ゲートを通って管理エリアに入る際に、管理ユニットが、当該管理エリアについて設定されている管理コードを情報記録媒体に書き込む段階と、
利用者が端末装置を用いて、ネットワークを介してサーバ装置へのアクセスを開始する操作を行ったときに、端末装置が、情報記録媒体に書き込まれている管理コードを読み出し、これをサーバ装置に送信する段階と、
サーバ装置が、端末装置から、管理コードの送信を伴うアクセスがあったときに、管理コードに対応した条件下で、端末装置からのアクセスに応じる段階と、
利用者が、ゲートを通って管理エリアから出る際に、管理ユニットが、情報記録媒体に書き込まれている当該管理エリアについての管理コードを消去もしくは無効化する段階と、
を行うようにしたものである。
【0021】
(A) 参考例としての第1の態様は、上述の第1の態様に係るコンピュータシステムにおいて、
複数の管理エリアを設け、管理ユニットが、利用者が各管理エリアに入る際に書き込む管理コードとして、個々の管理エリアを特定するためのエリアコードを含むコードを用いるようにしたものである。
【0022】
(B) 参考例としての第2の態様は、上述の参考例としての第1の態様に係るコンピュータシステムにおいて、
管理ユニットが、所定のアルゴリズムに基づいて一時的に有効な補助コードを発生させ、エリアコードと補助コードとの双方を含む管理コードを用い、
サーバ装置が、このアルゴリズムに基づいて、管理コードに含まれている補助コードの有効性を判断し、補助コードが無効であるとの判断結果が得られた場合には、アクセスを禁止するようにしたものである。
【0023】
(C) 参考例としての第3の態様は、上述の参考例としての第1の態様に係るコンピュータシステムにおいて、
サーバ装置内に、個々のエリアコードと所定のアクセス権を示すアクセス権コードとの対応テーブルを設け、
サーバ装置が、この対応テーブルを参照することにより、端末装置から送信されてきたエリアコードに対応するアクセス権コードを認識し、認識したアクセス権コードによって示されるアクセス権の範囲内で、端末装置からのアクセスに応じるようにしたものである。
【発明の効果】
【0024】
本発明に係るコンピュータシステムによれば、特定の管理エリア内の端末装置からサーバ装置へのアクセス権は、利用者が所持する情報記録媒体内に書き込まれた管理コードに基づいて決定される。しかも、この管理コードは、情報記録媒体を所持する利用者が、当該管理エリアに入る際に書き込まれ、出る際には消去もしくは無効化されることになる。結局、特定の管理コードが書き込まれた情報記録媒体を所持している利用者が端末装置からアクセスしてきた場合、サーバ装置側では、当該アクセスが特定の管理エリア内からのアクセスであることを認識することが可能になる。したがって、個々の管理エリアごとにそれぞれ固有の管理コードを用意するようにすれば、端末装置が利用される個々の場所ごとに、それぞれ異なるアクセス権を設定できる。こうして、たとえ同一の利用者が同一の端末装置を用いてサーバ装置にアクセスを行ったとしても、端末装置が置かれた場所によって、異なるアクセス権を与えることできる。
【図面の簡単な説明】
【0025】
【図1】本発明の基本的な実施形態に係るコンピュータシステムの全体構成を示すブロック図である。
【図2】図1に示す情報記録媒体400に具体的なコードを記録した状態を示す一例のブロック図である。
【図3】図1に示す認証サーバ装置100内に設けられた「管理コード(エリアコード)とアクセス権コードとの対応テーブル」の一例を示す図である。
【図4】図1に示す認証サーバ装置100内に設けられた「アクセス権コードとアクセス権の内容との対応テーブル」の一例を示す図である。
【図5】図1に示す情報記録媒体400に具体的なコードを記録した状態を示す別な一例のブロック図である。
【図6】図1に示す認証サーバ装置100内に設けられた「アクセス権コードとアクセス権の内容との対応テーブル」の別な一例を示す図である。
【図7】図1に示す認証サーバ装置100内に設けられた「アクセス権コードとアクセス権の内容との対応テーブル」の更に別な一例を示す図である。
【図8】図1に示す管理ユニット340A内に設けられた処理テーブルの一例を示す図である。
【図9】図1に示す管理ユニット340A内で行われる管理コードの生成アルゴリズムの一例を示す図である。
【図10】図1に示す管理ユニット340A内で行われる管理コードの生成アルゴリズムの別な一例を示す図である。
【図11】図1に示す情報記録媒体400に具体的なコードを記録した状態を示す更に別な一例のブロック図である。
【図12】図1に示すコンピュータシステムにおける管理エリアA周辺の構成要素の具体的な施工例を示す斜視図である。
【図13】本発明に係るアクセス権管理方法の基本手順を示す流れ図である。
【発明を実施するための形態】
【0026】
以下、本発明を図示する実施形態に基づいて説明する。
【0027】
<<< §1.システムの基本構成 >>>
はじめに、本発明の基本的な実施形態に係るコンピュータシステムを、図1のブロック図を参照しながら説明する。図示のコンピュータシステムは、各端末装置が、種々の場所から、認証サーバ装置100に対してネットワーク200を介してアクセスするシステムである。
【0028】
図にハッチングを施して示した部分に囲まれた閉領域は、それぞれ特定の管理エリアである。ここでは、説明の便宜上、2つの管理エリアA,Bのみを示すが、実用上は、より多数の管理エリアが設けられる。ここで、管理エリアとは、出入りが、特定のゲート(複数あってもかまわない)を通過することによってのみ可能となるように、周囲が物理的構造体によって囲まれた領域をいう。図示の例の場合、管理エリアAは、その周囲を物理的構造体300Aによって囲まれ、出入りはゲート310Aを通過することによってのみ可能となっている。同様に、管理エリアBは、その周囲を物理的構造体300Bによって囲まれ、出入りはゲート310Bを通過することによってのみ可能となっている。
【0029】
管理エリアの典型例は、建物内の部屋である。たとえば、管理エリアAが部屋の場合、物理的構造体300Aは部屋の壁・床・天井によって構成され、ゲート310Aはこの部屋の出入り口に設けられたドアによって構成される。もっとも、本発明にいう管理エリアは、必ずしも居室である必要はなく、工場・作業場・倉庫などでもかまわない。また、必ずしも屋内の施設である必要もないので、フェンスで囲まれた屋外施設であってもかまわない。
【0030】
図示のとおり、管理エリアA内には、端末装置320Aが設置されており、管理エリアB内には、端末装置320Bが設置されている。各端末装置320A,320Bは、いずれもネットワーク200を介して認証サーバ100にアクセスすることができる。各端末装置320A,320Bは、認証サーバ100にアクセスする機能を有していれば、どのような装置であってもかまわない。一般的には、デスクトップパソコンやノートパソコンが端末装置として利用されるが、携帯電話機やPDA機器などを端末装置として利用してもよい。ノートパソコン、携帯電話機、PDA機器などの携帯型の端末装置の場合、利用者は、これを適宜運搬することができる。したがって、管理エリアA,Bから外部へと持ち出すこともできるし、外部から管理エリアA,B内に持ち込むことも可能である。これらの端末装置は、少なくとも管理エリアA,B内からネットワーク200を介してサーバ装置100に対してアクセスを行う機能を有していればよく、管理エリアA,B外からサーバ装置100に対してアクセス可能であるか否かは、本発明を実施する上では不問である。
【0031】
一方、ネットワーク200も、LAN,WAN,インターネットなど、様々なネットワークで構成することが可能である。図1には、各端末装置320A,320Bとネットワーク200との間に線が描かれているが、ネットワークに対する接続は有線でも無線でもかまわない。有線接続を行う場合には、管理エリア内にLANケーブルなどの配線がなされており、無線接続を行う場合には、管理エリア内に無線LANの設備が整っていることになる。
【0032】
このように、図1に示す例の場合、管理エリアA内の端末装置320Aからは、管理エリアA外の認証サーバ装置100へ、ネットワーク200を介してアクセスが可能であり、同様に、管理エリアB内の端末装置320Bからは、管理エリアB外の認証サーバ装置100へ、ネットワーク200を介してアクセスが可能である。なお、図示の例では、認証サーバ装置100は、物理的構造体に囲まれた管理エリア内に描かれていないが、これは、認証サーバ装置100が何らかの物理的構造体に囲まれた場所に設置されているか否かということが、このコンピュータシステムの動作には無関係であるためである。もちろん、実用上は、認証サーバ装置100は、しかるべき管理エリア(通常は、屋内の部屋)に設置されることになる。
【0033】
したがって、本願において、「管理エリア外に設置され、アクセスを受ける対象となるサーバ装置」と言った場合、「当該サーバ装置が、物理的構造体に囲われていない」ことを意味するわけではなく、「特定の管理エリア内にある特定の端末装置からのアクセスに着目したときに、アクセスを受ける対象となるサーバ装置が当該特定の管理エリアの外部にある」ことを意味するものである。たとえば、図1において、「管理エリアA内にある端末装置320Aからのアクセスに着目すれば、認証サーバ装置100は、当該管理エリアAの外部に設置されている」ことになる。もちろん、この場合、認証サーバ装置100は、たとえば、サーバ設置用の管理エリアZに設置されていてかまわない。
【0034】
また、本願では、アクセス対象となるサーバ装置は、アクセスを行う端末装置と同一の管理エリアに設置されていてもかまわない。すなわち、図1に示す例では、アクセス対象となる認証サーバ装置100は、管理エリアA,Bの外に設定されているが、認証サーバ装置100は管理エリアA内に設置されていてもかまわない。この場合、端末装置320Aは、ネットワーク200を介して、同じ管理エリアA内に設置されている認証サーバ装置100に対してアクセスを行うことになる。もちろん、認証サーバ装置100は管理エリアB内に設置されていてもよい。ここでは便宜上、図1に示すように、端末装置が設置されている管理エリアの外にサーバ装置が設置されている例について、以下の説明を行うことにするが、サーバ装置が端末装置と同一の管理エリア内に設置されている場合も、システムとしての基本動作は同じである。
【0035】
なお、図1に示す実施形態の場合、サーバ装置100は、認証サーバ装置であり、ネットワーク200を介してアクセスを行ってきた利用者の認証を行うための専用サーバである。図示の例では、認証サーバ装置100には、別なサーバ装置110,120が接続されており、また、ネットワーク200には、別なサーバ装置130が接続されている。端末装置320A,320Bの本来のアクセス対象は、認証サーバ装置100ではなく、別なサーバ装置110,120,130である。認証サーバ装置100は、この本来のアクセスに必要な認証処理を代表して行う機能を有している。もちろん、サーバ装置110,120,130は、管理エリアAやB内に設置されていてもかまわない。本発明では、「アクセスを行う側の端末装置がどの管理エリアにあるか」を認識することが重要事項であり、アクセスを受ける側のサーバ装置の所在はどこでもかまわない。
【0036】
このように、認証サーバ装置100を仲介して、各サーバ装置110,120,130へアクセスを行うような方式を採ると、利用者は、代表となる認証サーバ装置100に対して所定のアカウントおよびパスワードを用いたログイン手続を行うだけで、各サーバ装置110,120,130へアクセスすることが可能になる。すなわち、個々のサーバ装置110,120,130に対して、それぞれ認証手続を経て個別にログインする必要がなくなるので、ログイン作業の煩雑さを解消することができる。このような方式は、一般に、シングルサインオン方式と呼ばれている。
【0037】
このシングルサインオン方式は、利用者の立場からは、ログイン作業の煩雑さを解消できるメリットがある。しかし、セキュリティの観点からは脆弱性を有する方式と言わざるを得ない。すなわち、認証サーバ装置100に対して、1回認証に成功してログインすることができれば、すべてのサーバ装置110,120,130へアクセスすることが可能になってしまう。
【0038】
本発明では、端末装置が利用される個々の管理エリアごとに、それぞれ異なるアクセス権を設定できるようになるので、セキュリティを向上させることができ、シングルサインオン方式の脆弱性を補填することができる。したがって、本発明は、図1に示す例のように、認証サーバ装置100を利用してシングルサインオン方式を採るコンピュータシステムに特に有効なセキュリティ対策を施すことが可能である。
【0039】
もっとも、本発明の適用は、シングルサインオン方式を採るコンピュータシステムに限定されるものではない。すなわち、図1に示す例は、シングルサインオン方式を採るコンピュータシステムに本発明を適用したものであるため、端末装置320A,320Bの認証時のアクセス対象は、認証サーバ装置100となっているが、本発明において、端末装置の認証時のアクセス対象は、必ずしも認証サーバ装置100である必要はなく、本来のアクセス対象であるサーバ装置(たとえば、サーバ装置110,120,130)でもかまわない。
【0040】
<<< §2.管理エリアに対する入退場 >>>
図1に示す管理エリアAには、図示のとおり電子錠330Aと管理ユニット340Aが設けられている。電子錠330Aは、ゲート310Aの施錠および解錠を行う機能を有し、通常は施錠状態を維持し、解錠指示信号が与えられたときにのみ一時的に解錠を行う。管理ユニット340Aは、この電子錠330Aを制御する機能を有する。同様に、管理エリアBには、図示のとおり電子錠330Bと管理ユニット340Bが設けられている。電子錠330Bは、ゲート310Bの施錠および解錠を行う機能を有し、通常は施錠状態を維持し、解錠指示信号が与えられたときにのみ一時的に解錠を行う。管理ユニット340Bは、この電子錠330Bを制御する機能を有する。
【0041】
なお、図1のブロック図では、便宜上、電子錠330A,330Bおよび管理ユニット340A,340Bのブロックを、それぞれ管理エリアA,Bの内部に配置しているが、実際の電子錠や管理ユニットは、必ずしも各管理エリアの内部に配置する必要はない。たとえば、電子錠330Aは、物理的構造体300A(部屋の壁)やゲート310A(部屋のドア)に埋め込んでもよいし、これらの外側に設けてもかまわない。同様に、管理ユニット340A,340Bを管理エリアA,Bの外部に設けてもよい。また、図1では、説明の便宜上、管理ユニット340A,340Bをそれぞれ独立したブロックで示してあるが、実用上は、複数の管理ユニット340A,340B等を同一の制御用コンピュータによって構成してもかまわない。
【0042】
一方、情報記録媒体400は、携帯可能なデジタルデータの記録媒体であり、利用者Pに配布される。図には、1人の利用者Pに情報記録媒体400を配布した例しか示されていないが、実用上は、このコンピュータシステムを利用する多数の利用者に、それぞれ専用の情報記録媒体400が配布されることになる。情報記録媒体400としては、ICカードなどの電子機器を利用することができる。ここに示す実施形態では、非接触型のICカードを情報記録媒体400として用いた例を示すことにする。もちろん、携帯電話機やPDA装置などを情報記録媒体400として用いることも可能である。最近は、社員証などの身分証明書としてICカードを導入している企業が増えている。このような企業で本発明に係るコンピュータシステムを利用する場合は、この既存のICカードをそのまま情報記録媒体400として転用すると便利である。
【0043】
情報記録媒体400は、各管理エリアA,Bへ入場および退場するための電子鍵として機能する。すなわち、情報記録媒体400を所持する利用者Pは、ゲート310A,310Bを通過する際に、この情報記録媒体400を用いて電子錠330A,330Bの解錠を行うことができる。ここに示す例では、情報記録媒体400は非接触型のICカードであるので、管理ユニット340A,340Bと無線交信する機能を有している。管理ユニット340A,340Bは、この無線交信による認証処理を行った上で、電子錠330A,330Bに対して解錠指示信号を与える。
【0044】
情報記録媒体400には、認証コード格納部410と管理コード格納部420が設けられている。ここに示す実施形態では、情報記録媒体400としてICカードを用いているので、これら各格納部410,420は、ICカードに内蔵されたメモリ(たとえば、EEPROM)の一部の記憶領域によって構成される。認証コード格納部410には、予め所定の認証コードが格納されている。これに対して、管理コード格納部420は、後述するように、必要に応じて所定の管理コードを格納するための領域であり、初期状態では、意味のあるデータは書き込まれていない。
【0045】
管理ユニット340A,340Bは、利用者Pが、管理エリアA,Bに出入りする際に、情報記録媒体400内に格納されている認証コードを用いた認証処理を実行する。たとえば、利用者Pが、ゲート310Aを通って管理エリアAに入る場合、所持している情報記録媒体400を管理ユニット340Aの交信範囲に入るように接近させる。すると、管理ユニット340Aは、情報記録媒体400と無線交信し、認証コード格納部410に格納されている認証コードを読み出し、この読み出した認証コードを利用した認証を行い、正しい認証結果が得られた場合に、電子錠330Aに対して解錠指示信号を与える処理を行う。これにより、電子錠330Aが、ゲート310Aを一時的に解錠するので、利用者Pは、ゲート310Aを通って管理エリアAに入ることができる。逆に、ゲート310Aを通って管理エリアAから出る場合も同様である。
【0046】
結局、認証コード格納部410に格納されている認証コードは、電子錠330Aに対する電子鍵として機能するコードということになる。ここに示す例では、この認証コードが、管理エリアBの電子錠330Bについても電子鍵として機能する。したがって、利用者Pは、情報記録媒体400を所持していれば、管理エリアA,Bに対して自由に出入りできる。
【0047】
もちろん、個々の利用者に配布した情報記録媒体400には、それぞれ別個の認証コードを格納しておき、各認証コードごとに、どの管理エリアに出入りできるかを決めておくようにする。実用上は、個々の管理エリアごとに、それぞれ出入りを許可する認証コードを特定したリストを用意しておけばよい。そうすれば、たとえば、管理ユニット340Aは、利用者Pが所持する情報記録媒体400から読み出した認証コードが、このリストに掲載されているコードであった場合には、認証に成功したと判断し、電子錠330Aに対して解錠指示信号を与える処理を行うことができる。もちろん、リストに掲載されていないコードであった場合には、管理ユニット340Aは認証に失敗したと判断し、解錠指示信号を出力しないので、ゲート310Aは施錠状態が維持され、利用者はゲート310Aを通ることができない。
【0048】
このように、管理ユニット340Aの第1の役割は、情報記録媒体400を所持した利用者Pがゲート310Aを通って管理エリアAに出入りする際に、認証コード格納部410に格納されている認証コードを読み出し、読み出した認証コードを利用した認証を行い、正しい認証結果が得られた場合に電子錠330Aに対して解錠指示信号を与える処理を行うことにある。この場合、管理ユニット340Aは、管理エリアAについての入退場管理装置として機能する。
【0049】
一方、この管理ユニット340Aは、次のような第2の役割を担っている。すなわち、管理ユニット340Aは、利用者Pが管理エリアAに入る際に、上記第1の役割に係る処理によって正しい認証結果が得られたときには、管理エリアAについて設定されている管理コードを管理コード格納部420に書き込む処理を行い、逆に、利用者Pが管理エリアAから出る際に、この管理コードを管理コード格納部420から消去する処理を行う。
【0050】
もちろん、管理ユニット340Bも全く同様に、2つの役割を担っている。すなわち、管理ユニット340Bは、利用者Pがゲート310Bを通って管理エリアBに出入りする際に、認証コード格納部410に格納されている認証コードを読み出し、読み出した認証コードを利用した認証を行い、正しい認証結果が得られた場合に電子錠330Bに対して解錠指示信号を与える処理を行うとともに、利用者Pが管理エリアBに入る際に、正しい認証結果が得られたときには、管理エリアBについて設定されている管理コードを管理コード格納部420に書き込む処理を行い、逆に、利用者Pが管理エリアBから出る際に、この管理コードを管理コード格納部420から消去する処理を行う。
【0051】
続いて、上述した第2の役割として行われる処理を、具体例を挙げながら説明しよう。図2は、図1に示す情報記録媒体400に具体的なコードを記録した状態を示す一例のブロック図である。図示の例では、認証コード格納部410に「8888」なる認証コードが格納され、管理コード格納部420に「AAA」なる管理コードが格納された例が示されている。ここで、認証コード「8888」は、前述したとおり、電子錠330Aや330Bを解錠するための電子鍵として機能するコードであり、ここで述べる実施形態の場合、特定の利用者Pに対して発行された情報記録媒体400に固有の識別コードである。したがって、通常の利用形態では、認証コード「8888」は書き替える必要性はあまりない。
【0052】
これに対して、管理コード「AAA」は、いわば「利用者Pの所在を示すコード」というべきものであり、情報記録媒体400内に管理エリアAを示す管理コード「AAA」が記録されていた場合、「当該情報記録媒体400を所持する利用者Pが、管理エリアA内に居る」ことを意味する。上述したとおり、利用者Pが管理エリアAに入る際に、正しい認証結果が得られたときには、管理ユニット340Aによって、管理エリアAについて設定されている管理コード「AAA」が管理コード格納部420に書き込まれる。もちろん、正しい認証結果が得られなかった場合には、利用者Pは管理エリアAに入ることはできない。
【0053】
したがって、情報記録媒体400を所持する利用者Pが管理エリアA内に入った場合には、当該情報記録媒体400内の管理コード格納部420には、管理コード「AAA」が書き込まれた状態になる。一方、この利用者Pが管理エリアAから出る際には、管理ユニット340Aによって、管理コード「AAA」は消去される。したがって、利用者Pが管理エリアAに滞在している期間中は、管理コード格納部420に管理コード「AAA」が記録された状態になるが、利用者Pが管理エリアAの外に出れば、管理コード「AAA」は消去されてしまう。
【0054】
なお、管理コード「AAA」は、管理エリアAについて予め設定されているコードである。ここで述べる実施形態の場合、個々の管理エリアを特定するためのエリアコードをそのまま管理コードとして用いている。ここでは、便宜上、管理エリアAを特定するためのエリアコードが「AAA」、管理エリアBを特定するためのエリアコードが「BBB」であるものとして、以下の説明を行うことにする。エリアコードは、個々の管理エリアを特定することが可能なコードであれば、どのようなコードを用いてもかまわない。たとえば、本社の第6号ビルディングの823号室のような管理エリアについては、「本社−6−823」のような符号からなるエリアコードを定義することができ、当該エリアコードをそのまま管理コードとして利用すればよい。
【0055】
結局、図1に示す例の場合、情報記録媒体400内の管理コード記録部420には、初期状態では何らコードは記録されていないが、利用者Pが管理エリアAに入ると、管理ユニット340Aによって「AAA」なる管理コード(管理エリアAのエリアコード)が書き込まれ(図2に示す状態になる)、利用者Pが管理エリアAから出ると、管理ユニット340Aによってこの「AAA」なる管理コードは消去され、利用者Pが管理エリアBに入ると、管理ユニット340Bによって「BBB」なる管理コード(管理エリアBのエリアコード)が書き込まれ、利用者Pが管理エリアBから出ると、管理ユニット340Bによってこの「BBB」なる管理コードは消去されることになる。
【0056】
一般に、ICカードは高度なセキュリティをもった電子媒体であり、内部に書き込まれたデータに対して、不正な改ざんが行われる可能性は極めて少ない。そこで、情報記録媒体400としてICカードを用いることにすれば、認証コード格納部410や管理コード格納部420内に記録されているコードは、実用上、十分な信頼性をもったデータと考えてよい。したがって、管理コード格納部420に、管理コード「AAA」が書き込まれている状態が検知できれば、「当該情報記録媒体400(ICカード)を所持する利用者が、その時点で管理エリアA内に居る」と十分な信頼性をもって判断することができ、同様に、管理コード「BBB」が書き込まれている状態が検知できれば、「当該情報記録媒体400(ICカード)を所持する利用者が、その時点で管理エリアB内に居る」と十分な信頼性をもって判断することができる。
【0057】
図1に示す例では、2つの管理エリアA,Bしか示されていないが、実用上は、より多くの管理エリアが設けられており、各管理ユニットは、利用者が各管理エリアに入る際に、当該利用者が所持する情報記録媒体400に対して、個々の管理エリアを特定するためのエリアコードを管理コードとして書き込む処理を行うことになる。個々の管理エリアについて、それぞれユニークなエリアコードを定めておけば、情報記録媒体400内に書き込まれている管理コード(エリアコード)により、当該情報記録媒体400の所在(すなわち、その所持者の所在)を一意に認識することが可能になる。
【0058】
<<< §3.サーバ装置へのアクセス >>>
本発明に係るコンピュータシステムでは、このような特徴をもつ管理コードを利用して、個々の管理エリアごとに、それぞれ異なるアクセス権を設定できるようにしている。そのために、アクセスを行う端末装置と、アクセス対象となるサーバ装置についても、次のような工夫を施している。
【0059】
まず、端末装置320A,320Bには、認証サーバ装置100に対するアクセスを行う際に、利用者Pが所持する情報記録媒体400内の管理コード格納部420から管理コードを読み出し、これをサーバ装置100に送信する機能をもたせている。具体的には、認証サーバ装置100に対するアクセスを行うプログラムに、管理コードを読み出して送信する処理ルーチンを組み込むようにすればよい。
【0060】
ここに示す実施形態の場合、情報記録媒体400はICカードであるので、端末装置320A,320Bには、ICカードと交信するためのリーダライタ装置や交信プログラムが備わっている。なお、本発明を実施する上では、必須の事項ではないが、実用上は、端末装置320A,320Bが、利用者にアカウントコードおよびパスワードの入力を要求し、これらと認証コード格納部410に格納されている認証コードとを利用した認証(サーバへのアクセスを開始する前の事前認証)を行い、正しい認証結果が得られた場合にのみ認証サーバ装置100に対するアクセスを行うようにするのが好ましい。
【0061】
たとえば、利用者Pが、管理エリアAの端末装置320Aを操作して、認証サーバ装置100へアクセスする場合を考えよう。この場合、利用者Pは、既にゲート310Aを通る際に、管理ユニット340Aの認証を受けていることになる(すなわち、認証コード格納部410内の認証コード「8888」による認証に成功している)。しかしながら、当該認証は、あくまでも管理エリアAに入場するための認証であり、端末装置320Aを操作する権限についての認証ではない。そこで、利用者Pは、端末装置320Aを利用する際に、所定のアカウントとパスワードを入力し、更に、端末装置320Aに備わっているリーダライタ装置に情報記録媒体400(非接触型ICカード)を接近させ、端末装置320Aを操作する権限についての認証を行わせる。すなわち、端末装置320Aは、アカウントとパスワードの正当性をチェックするとともに、情報記録媒体400から認証コード「8888」を読み出し、正当な使用権限が与えられているコードであるか否かを認証する。
【0062】
ここでは、認証サーバ装置100内に、認証コード「8888」によって使用権限が与えられる端末装置のリストが用意されているものとしよう。この場合、端末装置320Aは、認証コード「8888」を、ネットワーク200を介して認証サーバ装置100に送信し、自分自身に対する使用権限の有無を問い合わせればよい。アカウントとパスワードの正当性チェックに必要な事項も、認証サーバ装置100に問い合わせるようにすればよい。もちろん、認証に必要な情報をすべて端末装置320A内に格納しておけば、認証サーバ装置100への問い合わせは不要である。
【0063】
このように、ここで述べる実施形態の場合、利用者Pが、端末装置320Aの操作を開始する時点で、端末装置320Aは、情報記録媒体400から認証コード「8888」を読み出し、端末装置320Aを操作する権限についての認証を行うことになる。そこで、このとき、同時に管理コード「AAA」の読み出しも行うようにし、この管理コード「AAA」を認証サーバ装置100へ送信するようにする。ここで述べる実施形態の場合、端末装置320Aから認証サーバ装置100に対して、認証コード「8888」と管理コード「AAA」との双方が送信されることになる。これは、認証コード「8888」を与えられた利用者Pが、管理コード「AAA」で特定される管理エリアAからアクセスを希望していることを、認証サーバ装置100に伝える処理に他ならない。
【0064】
認証サーバ装置100は、こうして端末装置320Aから認証コード「8888」と管理コード「AAA」とが送信されてきたら、上述したように、認証コード「8888」が、端末装置320Aを操作する正当な権限を有する認証コードであることを確認した上で、アクセスを許可する。ただし、このとき、管理コード「AAA」に対応した条件下で、アクセスに応じることになる。別言すれば、同一の利用者Pが、同一の認証コード「8888」をもってアクセスを希望したとしても、管理コード「AAA」が送信されてきた場合(すなわち、管理エリアAからアクセスしてきている場合)と、管理コード「BBB」が送信されてきた場合(すなわち、管理エリアBからアクセスしてきている場合)とでは、それぞれ別個の条件下でアクセスに応じることになる。
【0065】
これを具体例で示そう。図3は、図1に示す認証サーバ装置100内に設けられた「管理コード(エリアコード)とアクセス権コードとの対応テーブル」の一例を示す図である。テーブルの左側欄には、管理コード(エリアコード)が示されており、右側欄には、これに対応するアクセス権コードが示されている。たとえば、管理コード「AAA」については、アクセス権コード「L1」が対応づけられ、管理コード「BBB」については、アクセス権コード「L3」が対応づけられている。この例の場合、全部で3種類のアクセス権コードL1,L2,L3が定義されており、各アクセス権コードは、それぞれセキュリティレベルの指標を示している。
【0066】
すなわち、アクセス権コード「L1」は、最も高いセキュリティレベルが設定された行為についてまでのアクセス権が与えられることを示し、アクセス権コード「L2」は、中位のセキュリティレベルが設定された行為についてまでのアクセス権が与えられることを示し、アクセス権コード「L3」は、最も低いセキュリティレベルが設定された行為についてのみアクセス権が与えられることを示している。
【0067】
ここで重要な点は、これらのアクセス権コードは、個々の利用者に対して設定されているわけではなく、個々の管理エリアに対して設定されている点である。図3の対応テーブルの左側欄の管理コード(エリアコード)は、特定の管理エリアを示すものであり、特定の利用者を示すものではない。この対応テーブルによると、管理コード「AAA」にはアクセス権コード「L1」が対応づけられているが、これは管理エリアAからのアクセスであれば、「L1」で示されるアクセス権が与えられることを示している。同様に、管理コード「BBB」にはアクセス権コード「L3」が対応づけられているが、これは管理エリアBからのアクセスであれば、「L3」で示されるアクセス権が与えられることを示している。
【0068】
図4は、図1に示す認証サーバ装置100内に設けられた「アクセス権コードとアクセス権の内容との対応テーブル」の一例を示す図である。図示のとおり、最も高いセキュリティレベルに対応したアクセス権コード「L1」では、データの読み込み、書き替え(既存ファイルの上書き)、書き込み(新規ファイルの保存)のすべての行為が許可される。これに対して、中位のセキュリティレベルに対応したアクセス権コード「L2」では、データの読み込み、書き替えは許可されるが、書き込みは許可されていない。また、最も低いセキュリティレベルに対応したアクセス権コード「L3」では、データの読み込みだけが許可されている。もちろん、この図4に示す対応テーブルは、具体的なアクセス権の内容についての単純な設定例を示すものであり、実用上は、より多様な設定を行うことが可能である。たとえば、データのダウンロードが可能か否か、プリンタを用いて紙面上にプリントアウトすることが可能か否か、CD−Rなどの媒体にデータをコピーすることが可能か否か、といった細かなアクセス権の内容を設定することも可能である。
【0069】
このように、図1に示す認証サーバ装置100内には、図3に示すように、「個々の管理コード(エリアコード)」と「所定のアクセス権を示すアクセス権コード」との対応テーブルが設けられているので、認証サーバ装置100は、この対応テーブルを参照することにより、端末装置320A,320Bから送信されてきたエリアコードに対応するアクセス権コードを認識し、認識したアクセス権コードによって示されるアクセス権の範囲内で、端末装置320A,320Bからのアクセスに応じることができる。具体的には、認証サーバ装置100内には、図4に示すような「アクセス権コードとアクセス権の内容との対応テーブル」も用意されており、この対応テーブルを参照することによって定まるアクセス権の範囲内で、端末装置320A,320Bからのアクセスに応じることができる。
【0070】
したがって、ここに示す実施形態の場合、利用者Pが管理エリアA内の端末装置320Aを操作して認証サーバ装置100にアクセスしてきた場合には、管理コード「AAA」に対応するアクセス権コード「L1」によって示されるアクセス権の範囲内、すなわち、データの読み込み、書き替え、書き込みのすべての行為が許可される。これに対して、同じ利用者Pが管理エリアB内の端末装置320Bを操作して認証サーバ装置100にアクセスしてきた場合には、管理コード「BBB」に対応するアクセス権コード「L3」によって示されるアクセス権の範囲内、すなわち、データの読み込みのみが許可される。
【0071】
なお、既に述べたとおり、図1に示す実施形態の場合、認証サーバ装置100は、別なサーバ装置110,120,130へアクセスするための認証処理を行う装置であり、端末装置から送信されてきた管理コードに対応した条件下で、これら別なサーバ装置110,120,130へのアクセスが行われるよう中継を行うことになる。この実施形態では、前述したシングルサインオン方式を採用しており、利用者Pが管理エリアA内の端末装置320Aを操作して認証サーバ装置100にアクセスしてきた場合には、サーバ装置110,120,130のすべてについて、アクセス権コード「L1」によって示されるアクセス権の範囲内の行為、すなわち、データの読み込み、書き替え、書き込みが可能になる。
【0072】
<<< §4.本発明に係るシステムの利点 >>>
このように、端末装置が利用される管理エリアごとに、それぞれ異なるアクセス権を設定することができれば、不正行為を抑制する上で効果的である。たとえば、図1に示す例において、管理エリアAが、通常の業務を遂行するための作業室であり、常に上司や同僚による監視がゆき届いた部屋であるのに対し、管理エリアBが、休憩室であり、時間帯によっては無人状態になるような部屋であった場合を考える。この場合、管理エリアAの作業室は不正行為を行いにくい環境にあるが、管理エリアBの休憩室は不正行為を誘引しやすい環境にある。しかしながら、上述した例によれば、全く同一の利用者Pであっても、管理エリアBからアクセスした場合には、与えられるアクセス権の内容が大幅に制限されるため、不正行為を行いやすい環境にあったとしても、システムによって不正行為を阻むことができる。これが、本発明の本質的な効果である。
【0073】
従来のセキュリティ確保の考え方は、常に人間を対象とした考え方であり、それぞれの人間にその職責や地位に応じたアクセス権を与えることを前提としている。換言すれば、個々の人間は、与えられたアクセス権を、いつでもどこでも行使することが可能になる。すなわち、ネットワークに接続可能な端末装置を用意できれば、いつでもどこでも、所定のアカウントとパスワードを用いてサーバ装置にログインすることができ、与えられたアクセス権の範囲内で様々な行為を行うことができる。
【0074】
また、アカウントやパスワードを盗まれた場合の対処方法として、ICカードなどを用いた認証を義務づける運用も従来から行われている。上述した実施形態において、端末装置の操作を行う際に、情報記録媒体400内の認証コードを用いた認証に成功することを条件としているのは、このような考え方に立脚したセキュリティ対策に基づいている。アカウントやパスワードが盗まれたとしても、正規のICカードを入手しない限り、不正アクセスを行うことはできない。
【0075】
このように、従来のセキュリティ対策は、「正規のICカード」を所持しており、「正規のアカウントおよびパスワード」を知っている利用者からのアクセスがあれば、これを正規のアクセスと判断し、当該利用者に与えられたアクセス権の範囲内でアクセスを許可する、という考え方に立脚している。これは、あくまでも、「正規の利用者は決して不正行為を行わない」という前提に立ったセキュリティ対策であり、正規の利用者が不正行為をなした場合には全く無力である。
【0076】
これに対して、本発明は、正規の利用者による不正行為を防止する上でも、十分な効果を発揮する。すなわち、本発明に係るコンピュータシステムにおいて、正規のアクセス権をもってアクセスを行うためには、「正規のICカード」を所持しており、「正規のアカウントおよびパスワード」を知っている、という従来からの2つのセキュリティ条件に加えて、更に、「正規の場所」からアクセスしている、という第3の条件が必要になる。したがって、上述した例のように、常に上司や同僚による監視がゆき届いた部屋からアクセスした場合にのみ、正規のアクセス権を与えるような運用をとれば、正規の利用者による不正行為を抑制する効果が得られる。
【0077】
なお、本発明を実施する上で、各端末装置は特定の管理エリアに固定されている必要はない。たとえば、図1に示す例において、端末装置320Aは、管理エリアAに固定された装置である必要はなく、ノートパソコンなど、容易に持ち運びができる装置であってもかまわない。もちろん、利用者Pが自宅から持ち込んだパソコンであってもかまわない。これは、本発明に係るシステムでは、特定の端末装置に対してアクセス権が設定されるわけではなく、特定の管理エリアに対してアクセス権が設定されるためである。
【0078】
たとえば、管理エリアAに入場した利用者Pが、端末装置320Aを所持したまま管理エリアAから退場し、この端末装置320Aを管理エリアBに持ち込み、管理エリアBから端末装置320Aを用いて認証サーバ100に対するアクセスを行ったとしても、情報記録媒体400の管理コード格納部420には、管理コード「BBB」が書き込まれているので、端末装置320Aを用いたとしても、与えられるアクセス権はあくまでも管理エリアBに対して設定されたアクセス権になる。したがって、上述の例の場合、利用者Pは、管理エリアA内からアクセスを行わない限り、業務遂行に必要な本来のアクセス権をもったアクセスはできないことになる。
【0079】
なお、各管理エリアに、移動不可能な状態で据え付けられた端末装置が設けられている場合は、当該端末装置自身に管理コードを格納しておき、当該端末装置からサーバ装置にアクセスする際には、当該端末装置自身に格納された管理コードをサーバ装置に送信するようにしてもよい。この場合、利用者の所持する情報記録媒体内の管理コードを読み出す必要はない。たとえば、図1に示す端末装置320Aが、管理エリアAを構成する部屋の壁に埋め込まれて設置された装置であったような場合、端末装置320Aの利用は、常に管理エリアA内に限定されるので、端末装置320A内に管理コード「AAA」を格納しておき、これを認証サーバ装置100へ送信するようにすればよい。
【0080】
<<< §5.いくつかの変形例 >>>
以上、§1〜§4では、本発明の基本的な実施形態に係るコンピュータシステムを説明した。ここでは、いくつかの変形例を述べる。
【0081】
(1) アクセス権を示す管理コードを用いる例
基本的な実施形態では、管理ユニット340A,340Bによって情報記録媒体400内の管理コード格納部420に書き込む管理コードとして、各管理エリアを特定するためのエリアコードを用いる例を示した。たとえば、図2に示す例では、管理エリアAを特定するためのエリアコード「AAA」が管理コードとして書き込まれている。このように、エリアコード「AAA」を管理コードとして用いた場合、この管理コードを伴うアクセスを受けた認証サーバ装置100側では、当該アクセスが管理エリアA内から行われていることを認識することができるので、図3に示すような対応テーブルを用いて、管理エリアAからのアクセスについて設定されているアクセス権コードがL1であることを認識し、図4に示すアクセス権コードL1に対応したアクセス権の内容に基づいて、当該アクセスに応じることができる。
【0082】
ここで述べる変形例では、このアクセス権コード自体を管理コードとして利用するのである。すなわち、予め、個々の管理エリアごとに、所定のアクセス権コードを設定しておき、各管理エリア用の管理ユニットには、当該管理エリアについて設定されているアクセス権コードを記憶させておく。たとえば、図1において、管理ユニット340Aにはアクセス権コードL1を記憶させておき、管理ユニット340Bにはアクセス権コードL3を記憶させておけばよい。この場合、利用者Pが、管理エリアAに入場すると、所持していた情報記録媒体400の管理コード格納部420には、図5に示すように、管理ユニット340Aによって、アクセス権コード「L1」が管理コードとして書き込まれることになる。したがって、認証サーバ装置100に対しても、端末装置320Aから、このアクセス権コード「L1」が管理コードとして送信されることになり、認証サーバ装置100は、当該アクセスについてのアクセス権コードを直ちに認識することが可能になる。こうして認証サーバ装置100は、このアクセス権コードによって示されるアクセス権の範囲内で、端末装置からのアクセスに応じることができる。すなわち、認証サーバ装置100には、図3に示すような対応テーブルは不要になり、図4に示す対応テーブルのみ用意しておけば足りる。
【0083】
もちろん、図4の右側欄に示すようなアクセス権の内容自身を示す情報を、そのまま管理コードとして用いることも可能である。その場合は、認証サーバ装置100には、図4に示す対応テーブルも不要になる。このように、本発明における管理コードは、個々の管理エリアについて設定されている「当該管理エリアについてのアクセス権を決定するために利用可能な何らかのコード」であれば、どのようなコードを用いてもかまわない。ただ、基本的な実施形態で述べたように、エリアコードを管理コードとして利用すると、認証サーバ装置100側では、端末装置からのアクセスがあった場合に、どの管理エリアからのアクセスであるのかを把握することができるというメリットがある。
【0084】
(2) 日時や認証コードに応じて異なるアクセス権を設定する例
図6は、図1に示す認証サーバ装置100内に設けられた「アクセス権コードとアクセス権の内容との対応テーブル」の別な一例を示す図である。図4に示す対応テーブルの場合、1つのアクセス権コードに対して、アクセス権の内容は1つだけ設定されているが、図6に示す対応テーブルの場合、1つのアクセス権コードに対して、日時に応じて異なる複数の内容が設定されている。
【0085】
すなわち、アクセス権コード「L1」については、日時に限らず、常に「すべてのアクセス可」なる内容が設定されているが、アクセス権コード「L2」および「L3」については、平日か土・日・休日かによって、異なる内容設定がなされている。したがって、アクセス権コード「L1」が設定されている管理エリアからアクセスする場合は、いつでも「すべてのアクセス可」となるのに対し、アクセス権コード「L2」が設定されている管理エリアからのアクセスは、平日しかできないことになる。また、アクセス権コード「L3」が設定されている管理エリアからのアクセスは、平日に限り、しかもデータの読み込みのみが可能ということになる。
【0086】
図6では、曜日などの日単位で異なる設定を行った例を示したが、もちろん、時間単位で異なる設定を行うことも可能である。たとえば、同じ平日に関する設定であっても、09:00〜17:00の時間帯、17:00〜23:00の時間帯、23:00〜09:00の時間帯というように時間帯を分け、それぞれについて異なるアクセス権の内容を設定することも可能である。
【0087】
このように、アクセス権コードとアクセス権の内容との対応テーブルに、日時に応じて異なるアクセス権の内容を参照する設定を行っておき、サーバ装置が、アクセスを受けた時点の日時に応じて、対応する日時の設定内容を参照するようにすれば、同一の利用者が同一の管理エリアからアクセスを行った場合であっても、日時によって、異なるアクセス権を設定することが可能になる。このような運用は、残業中や休日出勤中など、上司や同僚による監視の目がゆき届かなくなる特殊な環境下における不正行為を防止する効果が得られる。
【0088】
一方、図7は、図1に示す認証サーバ装置100内に設けられた「アクセス権コードとアクセス権の内容との対応テーブル」の更に別な一例を示す図である。この対応テーブルの場合、1つのアクセス権コードに対して、認証コードに応じて異なる複数の内容が設定されている。認証コードは、既に述べたとおり、各情報記録媒体400内の認証コード格納部410に格納されているコードであり、ここで述べる実施形態の場合、特定の利用者Pに対して発行された固有の識別コードである。
【0089】
そこで、たとえば、ある企業において、個々の重役に対しては、0000〜0999の範囲内のユニークな認証コードを付与し、一般職員に対しては、1000〜9999の範囲内のユニークな認証コードを付与しておくこととし、認証サーバ装置100内に、図7に示すような対応テーブルを用意しておくようにすれば、アクセスを行う者が重役か一般職員かによって、異なるアクセス権の設定が可能になる。
【0090】
すなわち、認証サーバ装置100内に用意する「アクセス権コードとアクセス権の内容との対応テーブル」に、認証コードに応じて異なるアクセス権の内容を参照する設定を行っておく。そして、利用者Pが端末装置320Aを利用して認証サーバ装置100に対するアクセスを行う際に、端末装置320Aが、管理コード格納部420から管理コードを読み出すとともに、認証コード格納部410から認証コードを読み出し、この管理コードと認証コードとの双方を認証サーバ装置100に送信するようにする。
【0091】
一方、認証サーバ装置100は、送信されてきた認証コードと管理コードとの双方に基づいて、図7に示すような対応テーブルを参照することにより、アクセス権の内容を決定すればよい。たとえば、管理コードによって示されるアクセス権コードが「L2」であった場合、認証コードが0000〜0999の範囲内であれば(すなわち、重役によるアクセスであれば)、すべてのアクセスを可能とし、認証コードが1000〜9999の範囲内であれば(すなわち、一般職員によるアクセスであれば)、すべてのアクセスを不可とすることになる。
【0092】
もちろん、図6に示すような日時に応じて異なるアクセス権を設定する方法と、図7に示すような認証コードに応じて異なるアクセス権を設定する方法とを組み合わせることも可能である。この場合、認証サーバ装置100に用意される「アクセス権コードとアクセス権の内容との対応テーブル」には、認証コードおよび日時に応じて異なるアクセス権の内容を参照する設定をしておくようにする。そして、たとえば、端末装置320Aが、認証サーバ装置100に対するアクセスを行う際には、管理コード格納部420から管理コードを読み出すとともに、認証コード格納部410から認証コードを読み出し、双方のコードを認証サーバ装置100に送信するようにする。そうすれば、認証サーバ装置100は、送信されてきた管理コードと認証コードとの双方に基づいて対応テーブルを参照し、この対応テーブルを参照することによって定まるアクセス権の範囲内で、端末装置320Aからのアクセスに応じることができる。
【0093】
(3) 日時や認証コードに応じて管理コードの書き込みを行う例
これまで述べてきた実施形態では、利用者Pが管理エリアに入場すると、当該管理エリアについて設定されている管理コードが、必ず情報記録媒体400内に書き込まれていた。ここで述べる変形例では、この書込処理を日時や認証コードに応じて、行ったり行わなかったりするのである。
【0094】
図8は、図1に示す管理ユニット340A内に設けられた処理テーブルの一例を示す図である。既に述べたとおり、利用者Pが、管理エリアAに入場する際に、所持している情報記録媒体400を管理ユニット340Aに近づけると、認証コード格納部410に格納されていた認証コード(たとえば、「8888」)が、管理ユニット340A側に読み出される。このとき、前述した基本的な実施形態では、管理ユニット340Aが、管理コード格納部420に対して、無条件で管理コード「AAA」の書き込みを行っていた。ここで述べる変形例の場合、管理ユニット340Aは、図8に示す処理テーブルを参照し、管理コード「AAA」の書き込みを行うべきか否かの判断を行うことになる。
【0095】
すなわち、図8に示す処理テーブルが用意されていた場合、平日であれば、読み出された認証コードとは無関係に、常に、管理コード「AAA」の書き込みを行うことになる。しかし、土・日・休日では、読み出された認証コードが0000〜0999の範囲内であれば(すなわち、入場しようとしている利用者が重役であれば)、管理コード「AAA」の書き込みを行うが、認証コードが1000〜9999の範囲内であれば(すなわち、入場しようとしている利用者が一般職員であれば)、管理コード「AAA」の書き込みは行われないことになる。もちろん、この処理テーブルにおいても、09:00〜17:00の時間帯、17:00〜23:00の時間帯、23:00〜09:00の時間帯というように時間帯を分け、それぞれの時間帯について異なる設定を行うことも可能である。
【0096】
要するに、管理ユニットは、認証コード格納部410から読み出した認証コードが特定のコードであった場合には、特定の日時には、管理コードの書き込み処理を実行しないことになる。図8に示す例の場合、認証コード格納部410から読み出した認証コードが、1000〜9999の範囲内のコードであった場合には、土・日・休日には、管理コードの書き込み処理を実行しないことになる。
【0097】
このように、ここで述べる変形例では、利用者が所定の管理エリアに入場した場合であっても、管理コード制御部420に管理コードが書き込まれない場合がある。もし管理コード格納部420内に、管理コードが何も書き込まれていなかった場合、端末装置は管理コードを認証サーバ装置100へ送信することはできない。このように、管理コードが送信されてこなかった場合、認証サーバ装置100はアクセスを拒否することになる。
【0098】
このような運用を行うと、結局、重役の場合は、管理エリアA内から常に管理コード「AAA」に応じたアクセスが可能になるが、一般職員の場合は、土・日・休日には、管理エリアA内からのアクセスができないことになる。これは、一般職員が、土・日・休日に管理エリアAに入場しても、管理コード格納部420には管理コード「AAA」が書き込まれていないため、端末装置320Aが管理コードを認証サーバ装置100に送信することができず、認証サーバ装置100によってアクセスが拒否されてしまうためである。
【0099】
なお、図8には、日時と認証コードとの双方を参照して、書込処理をするかしないかを決定する処理テーブルを例示したが、もちろん、日時のみに基づいて書込処理をするかしないかを決定する処理テーブルや、認証コードのみに基づいて書込処理をするかしないかを決定する処理テーブルを用いることも可能である。前者の場合、管理ユニットは、特定の日時には、管理コードの書き込み処理を実行しないことになり、後者の場合、管理ユニットは、認証コード格納部410から読み出した認証コードが特定のコードであった場合には、管理コードの書き込み処理を実行しないことになる。
【0100】
(4) 補助コードを含む管理コードを用いる例
図2には、管理コードとしてエリアコード「AAA」を用いた例を示し、図5には、管理コードとしてアクセス権コード「L1」を用いた例を示した。情報記録媒体400として、ICカードを用いた場合、管理コード格納部420に書き込まれた管理コードに対しては、比較的十分なセキュリティが確保されることになる。しかしながら、何らかの不正な方法により、ICカードから管理コードが読み出されてしまう可能性もある。また、端末装置側に何らかの不正な仕掛けを行うことにより、ICカード内に書き込まれた管理コードをサーバ装置に送信する過程で、管理コードが不正に取得されてしまう可能性もある。
【0101】
このような問題に対処するためには、サーバ装置にアクセスするたびに、毎回異なる管理コードを用いるようにするのが効果的である。そうすれば、万一、管理コードが不正に取得されてしまったとしても、当該管理コードは1回限りしか有効ではないので、不正取得した管理コードを用いてサーバ装置に不正アクセスする行為を防止することができる。そのためには、管理ユニット340A内で所定のアルゴリズムに基づいて一時的に有効な補助コードを発生させ、この補助コードを含む管理コードを用いるようにすればよい。
【0102】
図9は、管理ユニット340A内で行われる管理コードの生成アルゴリズムの一例を示す図である。ここでは、補助コードの発生アルゴリズムとして、現時点における年月日のデータを用いる手法を採っている。すなわち、その日の「日」のデータ2桁、「月」のデータ2桁、「年」のデータ4桁を羅列した全8桁の数字列を補助コードとして用い、これをエリアコードの後ろに付け加えることにより、一時的に有効な管理コードを生成している。図9の例は、2006年9月18日に管理コードを生成した例であり、「AAA18092006」なる管理コードが生成されている。
【0103】
たとえば、図1に示す管理ユニット340Aに、上述したような所定のアルゴリズムに基づいて一時的に有効な補助コードを発生させる機能をもたせておけば、管理コード格納部420には、エリアコード「AAA」と補助コード「18092006」の双方を含む管理コード「AAA18092006」が書き込まれることになり、当該管理コードが認証サーバ装置100へ送信されることになる。
【0104】
一方、認証サーバ装置100側には、全く同じアルゴリズムに基づいて、送信されてきた管理コードに含まれている補助コードの有効性を判断し、この補助コードが無効であるとの判断結果が得られた場合には、アクセスを禁止する処置をとるようにする。上述のアルゴリズムの場合、管理コードは、先頭から3文字の部分がエリアコード、これに後続する8文字の部分が補助コードという構成になるので、認証サーバ装置100は、両コードを分離し、補助コードの部分の有効性を判断する。すなわち、その日の年月日に基づいて、正しい補助コード「18092006」を生成し、送信されてきた管理コードに含まれている補助コードと一致するかを判定し、一致した場合に限り有効と判断すればよい。そうすれば、万一、管理コードが不正に取得されたとしても、当該管理コードはその当日しか有効ではないので、認証サーバ装置100に対して不正アクセスが行われる可能性を低減することができる。
【0105】
もちろん、補助コードの生成アルゴリズムは、任意に設定することが可能である。管理ユニット側と認証サーバ装置側とで、同一のアルゴリズムに基づいて補助コードを生成することができれば、どのようなアルゴリズムを採用してもかまわない。たとえば、年月日に更に時分や曜日を加えるようにしてもよい。あるいは、管理ユニットに、認証サーバ装置に対して直接アクセスする機能をもたせておけば、毎朝の始業時間に、認証サーバ装置側で「ランダムなコード」を発生させ、個々の管理ユニットが、認証サーバ装置にアクセスして、この「ランダムなコード」をダウンロードするようにしてもよい。この場合、管理ユニットは、ダウンロードした「ランダムなコード」自身を補助コードとして用いることもできるし、この「ランダムなコード」に所定のアルゴリズムに基づく加工処理を施したものを補助コードとして用いることもできる。
【0106】
図10は、管理コードの生成アルゴリズムの別な一例を示す図である。図9に示す例では、エリアコード「AAA」に補助コード「18092006」を付加して管理コードを生成していたが、この図10に示す例では、アクセス権コード「L1」に補助コード「18092006」を付加して管理コードを生成している。これは、前述した§5(1)の変形例に対応するためのものである。
【0107】
すなわち、この図10に示す例の場合、管理ユニットは、所定のアルゴリズムに基づいて一時的に有効な補助コードを発生させ、アクセス権コードとこの補助コードとの双方を含む管理コードを生成し、管理コード格納部420へ書き込むことになる。一方、サーバ装置側では、全く同一のアルゴリズムに基づいて、送信されてきた管理コードに含まれている補助コードの有効性を判断し、当該補助コードが無効であるとの判断結果が得られた場合には、アクセスを禁止することになる。
【0108】
(5) 管理コードの消去および無効化の例
これまで述べてきたとおり、本発明に係るシステムでは、利用者Pが管理エリアから退場する際に、当該管理エリアの入場時に管理コード格納部420に書き込まれた管理コードを消去する処理が行われる。ここで、本願における「管理コードの消去」とは、管理コードの情報としての機能を失効させる処理を広く意味するものである。したがって、たとえば、16進数の「FF」のような特定のコード(データが空であることを示すコード)によって上書きする処理だけでなく、別な意味のあるコードによって書き替える処理も、本願にいう「消去」処理である。
【0109】
たとえば、管理エリアAに入る際に「AAA」という文字列からなる管理コードが情報記録媒体に書き込まれた後、管理エリアAから出る際に、当該文字列「AAA」を「ZZZ」という別な文字列に書き替える処理を行うことにより、「AAA」なる管理コードを「消去」してもよい。情報記録媒体としてICカードを用いている場合、このような書替処理を行う際にICカードに対して与えるコマンドは「消去コマンド」ではなく、「書込コマンド」ということになるが、実質的に、本発明にいう「管理コードの消去」が行われることになる。
【0110】
また、管理エリアAと管理エリアBとが、ドア1枚で繋がっているような隣接した部屋である場合、利用者が当該ドアを通って、管理エリアAから管理エリアBへと移動したら、管理エリアAのための管理コード「AAA」を、管理エリアBのための管理コード「BBB」に書き替える処理を行えば足りる。この場合、当該書替処理は、管理コード「AAA」を消去する処理と、管理コード「BBB」を書き込む処理と、を兼ねることになる。
【0111】
また、管理コードは必ずしも消去する必要はなく、何らかの方法で無効化する処理を行うようにしてもよい。図11は、このような無効化を行う運用を行った場合の情報記録媒体400内の状態を示すブロック図である。この例では、管理コード格納部420内には、複数の管理コードが順次記録されるようになっている。具体的には、管理コード「AAA」,「DDD」,「GGG」なる3つの管理コードが各行に記録された状態が示されている。個々の管理コードには、その有効性を示すフラグが併せて記録されている。図示の例の場合、管理コード「AAA」,「DDD」には無効フラグが設定され、管理コード「GGG」のみに有効フラグが設定されている。これは、この情報記録媒体400を所持する利用者が、管理エリアAに入場して退場し、続いて管理エリアDに入場して退場し、最後に管理エリアGに入場した状態であることを示している。
【0112】
この運用形態では、利用者Pが管理エリアに入場する際に、管理コード格納部420内の新たな行に管理コードの書き込みが行われ、当該管理コードに対して有効フラグが設定される。そして、この利用者Pが当該管理エリアから退場する際には、当該有効フラグが無効フラグに書き替えられる。また、端末装置は、有効フラグが設定されている管理コードのみを有効なものとして取り扱うようにする。こうすれば、管理コード格納部420内には、管理コードが順次書き込まれてゆき、利用者Pの移動履歴が残ることになるので、必要に応じて、この移動履歴を何らかの用途に利用することが可能になる。もちろん、管理コード格納部420の記憶容量は限られているので、実用上は、不要になった古い管理コードは、所定のタイミングで消去してゆくのが好ましい。
【0113】
<<< §6.具体的な施工例 >>>
ここでは、本発明のより具体的な施工例を簡単に説明しておく。図12は、図1に示すコンピュータシステムにおける管理エリアA周辺の構成要素の具体的な施工例を示す斜視図である。図12に示す例では、管理エリアAは居室となっており、図1に示す物理的構造体300Aは部屋の壁・床・天井によって構成され、ゲート310Aはこの部屋の出入り口に設けられたドアによって構成されている。情報記録媒体400を所持する利用者Pは、ドア310Aを通ってこの居室Aに出入りすることになる。
【0114】
ドア310Aの近傍の壁面には、入場用交信器340A−1と退場用交信器340A−2が設けられている。入場用交信器340A−1は、居室Aに入場する際に、情報記録媒体400と交信する装置であり、居室Aの外側の壁に設置されている。これに対して、退場用交信器340A−2は、居室Aから退場する際に、情報記録媒体400と交信する装置であり、居室Aの内側の壁に設置されている。この実施形態の場合、情報記録媒体400は非接触型ICカードであり、各交信器340A−1,340A−2は、この非接触型ICカードと無線交信するリーダライタ装置によって構成されている。したがって、利用者Pが、情報記録媒体400を各交信器340A−1,340A−2の近傍にかざすと、両者間で交信が行われ、必要な処理が実行される。
【0115】
すなわち、入場用交信器340A−1は、利用者Pが居室Aに入る際に情報記録媒体400と交信して、認証コード格納部410に格納されている認証コードを読み出すとともに、管理コードを管理コード格納部420に書き込む処理を行う。一方、退場用交信器340A−2は、利用者Pが居室Aから出る際に情報記録媒体400と交信して、管理コード格納部420内の管理コードを消去するか無効化する処理を行う。
【0116】
入場用交信器340A−1および退場用交信器340A−2は、コントローラ340A−3に接続されている。このコントローラ340A−3は、各交信器340A−1,340A−2を制御するとともに、入場用交信器340A−1から読み出された認証コードを利用した認証処理を行う。図1に1つのブロックとして描かれている管理ユニット340Aは、この図12に示す実施例では、入場用交信器340A−1、退場用交信器340A−2、コントローラ340A−3の3つの装置によって構成されることになる。これまで述べてきた管理ユニット340Aの処理機能は、コントローラ340A−3内に組み込まれた制御プログラムによって実現されることになる。
【0117】
利用者Pが、居室Aに入るために、所持している情報記録媒体400を入場用交信器340A−1にかざすと、入場用交信器340A−1によって、認証コード格納部410に格納されていた認証コード(たとえば、「8888」)が読み出され、コントローラ340A−3へと送信される。コントローラ340A−3は、この認証コードが「居室Aへの出入りを許可する正しい認証コード」であることを確認した上で、電子錠330Aに解錠指示信号を与えるとともに、情報記録媒体400の管理コード格納部420に、所定の管理コード(たとえば、エリアコード「AAA」)を書き込むよう、入場用交信器340A−1に指示を与える。このときの情報記録媒体400の状態は、図2に示す状態になっている。
【0118】
これにより、ドア310Aが解錠されるので、利用者Pは居室Aに入ることができる。利用者Pは、端末装置320A(図示の例の場合、パソコン)を利用する場合、情報記録媒体400を端末装置320Aに備わっているICカード用リーダライタ装置に無線で接続した上で、所定のアカウントおよびパスワードの入力を行う。端末装置320Aは、情報記録媒体400から、認証コード「8888」とエリアコード「AAA」を読み出し、これらをアカウントおよびパスワードとともに認証サーバ装置100へと送信する。認証サーバ装置100は、既に述べた方法で、アカウント、パスワード、認証コードを認証し、エリアコード(管理コード)に対応したアクセス権の範囲内で、端末装置320Aからのアクセスに応じる。
【0119】
利用者Pが、端末装置320Aの操作を終了し、居室Aから出る場合、所持している情報記録媒体400を退場用交信器340A−2にかざす。すると、退場用交信器340A−2によって、認証コード格納部410に格納されていた認証コード(たとえば、「8888」)が読み出され、コントローラ340A−3へと送信される。コントローラ340A−3は、この認証コードが「居室Aへの出入りを許可する正しい認証コード」であることを確認した上で、電子錠330Aに解錠指示信号を与える。また、情報記録媒体400の管理コード格納部420に書き込まれている管理コード「AAA」を消去もしくは無効化するよう、退場用交信器340A−2に指示を与える。これにより、ドア310Aが解錠されるので、利用者Pは居室Aから出ることができる。
【0120】
<<< §7.本発明に係る方法の基本手順 >>>
最後に、図13の流れ図を参照しながら、本発明に係るアクセス権管理方法の基本手順を説明する。この手順は、特定の管理エリア内の端末装置から管理エリア外のサーバ装置へ、ネットワークを介してアクセスを行う場合のアクセス権を管理する手順である。なお、ここでは、このアクセス権管理方法に必須な手順のみを記載することにし、アカウントやパスワードの入力作業、認証コードを用いた認証処理、管理エリアの施錠・解錠動作などは省略する。
【0121】
まず、ステップS1において、情報記録媒体400の準備が行われる。これは、必要に応じて所定の管理コードを書き込むことができる情報記録媒体を準備して、各利用者に配布する処理である。企業の既存のコンピュータシステムに本発明を適用するには、各従業員に、それぞれ専用の情報記録媒体400を配布すればよい。この場合、各情報記録媒体400内の認証コード格納部410には、各従業員に付与したユニークな認証コードを書き込んでおくようにする。
【0122】
現在、ICカードからなる社員証を発行し、個々の従業員に配布している企業では、この社員証をそのまま情報記録媒体400として利用することができる。通常、ICカードからなる社員証に、各従業員に固有の認証コードを格納しておき、この認証コードに、各居室(管理エリア)に出入りするための電子鍵として機能をもたせておく運用が採られていることが多い。そのような場合、当該社員証および電子鍵として機能するICカード内に、管理コード格納部420を設定する処理を行えば、ステップS1の処理は完了である。
【0123】
続くステップS2では、各居室に管理ユニットを設置する。すなわち、各居室への出入りを行うゲートの近傍に、情報記録媒体400と交信する機能をもった管理ユニットが設置される。上述したように、既に各居室(管理エリア)に電子錠が設けられ、社員証として配布したICカードを電子鍵として利用する環境が整備されていれば、当該ICカードと交信する交信器や、電子錠の施錠・解錠を制御するコントローラが既に用意されているので、これら既存の機器をそのまま管理ユニットとして流用することが可能である。この場合、コントローラには、管理コード格納部420に対する管理コードの書き込み機能と、当該管理コードの消去もしくは無効化機能とを付加するためのプログラムを追加すればよい。
【0124】
以上、ステップS1,S2は準備段階であり、続くステップS3以降が実際の運用段階になる。ここでは、図12に示す管理エリアAへの入場から退場に至るまでの処理手順を説明する。まず、ステップS3において、情報記録媒体400を所持している利用者Pが所定の管理エリアに入る操作を行ったか否かが検知される。具体的には、図12に示す例の場合、情報記録媒体400が、入場用交信器340A−1の近傍にかざされると、管理エリアAに入る操作が行われたものとして扱われ、ステップS4へと移行する。ステップS4では、管理ユニット340Aにより、情報記録媒体400に対する管理コードの書き込みが行われる。すなわち、情報記録媒体400を携帯する利用者Pが、ゲート310Aを通って管理エリアAに入ろうとした場合には、管理ユニット340Aによって、この管理エリアAについて設定されている管理コードを情報記録媒体400に書き込む処理が行われる。
【0125】
続くステップS5では、管理エリアAに入った利用者Pが端末装置320Aを用いて、ネットワーク200を介して認証サーバ装置100へのアクセスを開始する操作を行ったか否かが検知される。具体的には、図12に示す例の場合、情報記録媒体400が、端末装置320Aに接続され、利用者Pがアカウントおよびパスワードを入力してサーバ装置へのアクセス開始手続を行うと、ステップS6へと移行する。ステップS6では、端末装置320Aが、情報記録媒体400に書き込まれている管理コードを読み出し、この管理コードやその他の必要な情報を認証サーバ装置100に対して送信する処理が行われる。そして、ステップS7では、端末装置320Aからサーバ装置に対するアクセス(図1に示すシステムの場合、認証サーバ装置100を中継した各サーバ装置110,120,130へのアクセス)が実行される。このとき、管理コードの送信を伴うアクセスを受けた認証サーバ装置100は、当該管理コードに対応した条件下で、端末装置320Aからのアクセスに応じることになる。
【0126】
次に、ステップS8において、利用者Pが管理エリアから出る操作を行ったか否かが検知される。具体的には、図12に示す例の場合、情報記録媒体400が、退場用交信器340A−2の近傍にかざされると、管理エリアAから出る操作が行われたものとして扱われ、ステップS9へと移行する。ステップS9では、管理ユニット340Aにより、情報記録媒体400に書き込まれている管理エリアAについての管理コードを消去もしくは無効化する処理が行われる。これにより、管理エリアAから出た時点で、情報記録媒体400には、有効な管理コードは記録されていない状態になる。
【0127】
以上で、1つの管理エリアAへの入場から退場に至るまでの手順が完了である。必要があれば、再びステップS3へと戻り、新たな管理エリアへの入退場処理が繰り返される。
【産業上の利用可能性】
【0128】
本発明は、ネットワークを介して端末装置からサーバ装置へアクセスする機能をもったコンピュータシステムに広く適用可能である。特に、多数の利用者が、多数の場所からサーバ装置へアクセスする企業内のコンピュータシステムにおいて、個々の場所ごとにそれぞれ異なるアクセス権を設定する用途に利用すると最適である。
【符号の説明】
【0129】
100:認証サーバ装置
110:サーバ装置
120:サーバ装置
130:サーバ装置
200:ネットワーク
300A:物理的構造体
300B:物理的構造体
310A:ゲート
310B:ゲート
320A:端末装置
320B:端末装置
330A:電子錠
330B:電子錠
340A:管理ユニット
340B:管理ユニット
340A−1:入場用交信器
340A−2:退場用交信器
340A−3:コントローラ
400:情報記録媒体
410:認証コード格納部
420:管理コード格納部
A:管理エリア
B:管理エリア
S1〜S9:流れ図の各ステップ
【特許請求の範囲】
【請求項1】
特定の管理エリア内の装置からアクセス対象となる装置へ、ネットワークを介してアクセスを行うことが可能なコンピュータシステムであって、
前記管理エリアへの出入りが、特定のゲートを通過することによってのみ可能となるように、前記管理エリアを囲う物理的構造体と、
前記管理エリア外もしくは内に設置され、アクセスを受ける対象となるサーバ装置と、
少なくとも前記管理エリア内から前記ネットワークを介して前記サーバ装置に対してアクセスを行う機能を有する端末装置と、
所定の認証コードを格納した認証コード格納部と、必要に応じて所定の管理コードを格納するための管理コード格納部と、を有する情報記録媒体と、
前記ゲートの施錠および解錠を行う機能を有し、通常は施錠状態を維持し、解錠指示信号が与えられたときにのみ一時的に解錠を行う電子錠と、
前記情報記録媒体を所持した利用者が前記ゲートを通って前記管理エリアに出入りする際に、前記認証コード格納部に格納されている認証コードを読み出し、読み出した認証コードを利用した認証を行い、正しい認証結果が得られた場合に前記電子錠に対して前記解錠指示信号を与える管理ユニットと、
を備え、
前記管理ユニットは、前記利用者が前記管理エリアに入る際に前記正しい認証結果が得られたときには、前記管理エリアについて設定されている管理コードを前記管理コード格納部に書き込む処理を行い、前記利用者が前記管理エリアから出る際に、前記管理コードを前記管理コード格納部から消去するか無効化する処理を行い、
前記端末装置は、前記サーバ装置に対するアクセスを行う際に、前記管理コード格納部から前記管理コードを読み出し、これを前記サーバ装置に送信し、
前記サーバ装置は、前記端末装置から送信されてきた前記管理コードに対応した条件下で、前記端末装置からのアクセスに応じることを特徴とするコンピュータシステム。
【請求項2】
請求項1に記載のコンピュータシステムにおいて、
複数の管理エリアが設けられており、管理コードとして、個々の管理エリアについて設定された所定のアクセス権を示すアクセス権コードを含むコードを用い、
サーバ装置は、端末装置から送信されてきたアクセス権コードによって示されるアクセス権の範囲内で、前記端末装置からのアクセスに応じることを特徴とするコンピュータシステム。
【請求項3】
請求項2に記載のコンピュータシステムにおいて、
管理ユニットが、所定のアルゴリズムに基づいて一時的に有効な補助コードを発生させ、アクセス権コードと前記補助コードとの双方を含む管理コードを用い、
サーバ装置が、前記アルゴリズムに基づいて、前記管理コードに含まれている前記補助コードの有効性を判断し、前記補助コードが無効であるとの判断結果が得られた場合には、アクセスを禁止することを特徴とするコンピュータシステム。
【請求項4】
請求項2に記載のコンピュータシステムにおいて、
サーバ装置が、アクセス権コードとアクセス権の内容との対応テーブルを有し、この対応テーブルを参照することによって定まるアクセス権の範囲内で、端末装置からのアクセスに応じることを特徴とするコンピュータシステム。
【請求項5】
請求項4に記載のコンピュータシステムにおいて、
アクセス権コードとアクセス権の内容との対応テーブルに、日時に応じて異なるアクセス権の内容を参照する設定がなされていることを特徴とするコンピュータシステム。
【請求項6】
請求項4に記載のコンピュータシステムにおいて、
アクセス権コードとアクセス権の内容との対応テーブルに、認証コードに応じて異なるアクセス権の内容を参照する設定がなされており、
端末装置は、サーバ装置に対するアクセスを行う際に、管理コード格納部から管理コードを読み出すとともに、認証コード格納部から認証コードを読み出し、前記管理コードと前記認証コードとを前記サーバ装置に送信し、
前記サーバ装置は、前記端末装置から送信されてきた前記管理コードと前記認証コードとの双方に基づいて前記対応テーブルを参照し、前記対応テーブルを参照することによって定まるアクセス権の範囲内で、前記端末装置からのアクセスに応じることを特徴とするコンピュータシステム。
【請求項7】
請求項4に記載のコンピュータシステムにおいて、
アクセス権コードとアクセス権の内容との対応テーブルに、認証コードおよび日時に応じて異なるアクセス権の内容を参照する設定がなされており、
端末装置は、サーバ装置に対するアクセスを行う際に、管理コード格納部から管理コードを読み出すとともに、認証コード格納部から認証コードを読み出し、前記管理コードと前記認証コードとを前記サーバ装置に送信し、
前記サーバ装置は、前記端末装置から送信されてきた前記管理コードと前記認証コードとの双方に基づいて前記対応テーブルを参照し、前記対応テーブルを参照することによって定まるアクセス権の範囲内で、前記端末装置からのアクセスに応じることを特徴とするコンピュータシステム。
【請求項8】
請求項1に記載のコンピュータシステムにおいて、
管理ユニットが、特定の日時には、管理コードの書き込み処理を実行しないことを特徴とするコンピュータシステム。
【請求項9】
請求項1に記載のコンピュータシステムにおいて、
管理ユニットが、認証コード格納部から認証コードを読み出す機能を有し、読み出した認証コードが特定のコードであった場合には、管理コードの書き込み処理を実行しないことを特徴とするコンピュータシステム。
【請求項10】
請求項1に記載のコンピュータシステムにおいて、
管理ユニットが、認証コード格納部から認証コードを読み出す機能を有し、読み出した認証コードが特定のコードであった場合には、特定の日時には、管理コードの書き込み処理を実行しないことを特徴とするコンピュータシステム。
【請求項11】
請求項1に記載のコンピュータシステムにおいて、
端末装置が、認証コード格納部に格納されている認証コードを利用した認証を行い、正しい認証結果が得られた場合にのみサーバ装置に対するアクセスを行うことを特徴とするコンピュータシステム。
【請求項12】
請求項1に記載のコンピュータシステムにおいて、
サーバ装置が、別なサーバ装置へアクセスするための認証処理を行う認証サーバ装置であり、送信されてきた管理コードに対応した条件下で前記別なサーバ装置へのアクセスが行われるよう中継を行うことを特徴とするコンピュータシステム。
【請求項13】
請求項1に記載のコンピュータシステムにおいて、
管理ユニットが、
利用者が管理エリアに入る際に情報記録媒体と交信して、認証コード格納部に格納されている認証コードを読み出すとともに、管理コードを管理コード格納部に書き込む処理を行う入場用交信器と、
利用者が管理エリアから出る際に情報記録媒体と交信して、前記管理コードを前記管理コード格納部から消去するか無効化する処理を行う退場用交信器と、
読み出された認証コードを利用した認証処理を行うとともに、前記入場用交信器および退場用交信器を制御するコントローラと、
を有することを特徴とするコンピュータシステム。
【請求項14】
特定の管理エリア内の装置からアクセス対象となる装置へ、ネットワークを介してアクセスを行うことが可能なコンピュータシステムであって、
前記管理エリア外もしくは内に設置され、アクセスを受ける対象となるサーバ装置と、
少なくとも前記管理エリア内から前記ネットワークを介して前記サーバ装置に対してアクセスを行う機能を有する端末装置と、
必要に応じて所定の管理コードを格納するための管理コード格納部を有する情報記録媒体と、
前記情報記録媒体を所持する利用者が前記管理エリアに入る際に、前記管理エリアについて設定されている管理コードを前記管理コード格納部に書き込む処理を行い、前記利用者が前記管理エリアから出る際に、前記管理コードを前記管理コード格納部から消去するか無効化する処理を行う管理ユニットと、
を備え、
前記端末装置は、前記サーバ装置に対するアクセスを行う際に、前記管理コード格納部から前記管理コードを読み出し、これを前記サーバ装置に送信し、
前記サーバ装置は、前記端末装置から送信されてきた前記管理コードに対応した条件下で、前記端末装置からのアクセスに応じることを特徴とするコンピュータシステム。
【請求項15】
特定の管理エリア内の端末装置からアクセス対象となるサーバ装置へ、ネットワークを介してアクセスを行う場合のアクセス権を管理する方法であって、
必要に応じて所定の管理コードを書き込むことができる情報記録媒体を準備する段階と、
前記管理エリアへの出入りを行うゲートの近傍に、前記情報記録媒体と交信する機能をもった管理ユニットを設置する段階と、
前記情報記録媒体を携帯する利用者が、前記ゲートを通って前記管理エリアに入る際に、前記管理ユニットが、前記管理エリアについて設定されている管理コードを前記情報記録媒体に書き込む段階と、
前記利用者が前記端末装置を用いて、前記ネットワークを介して前記サーバ装置へのアクセスを開始する操作を行ったときに、前記端末装置が、前記情報記録媒体に書き込まれている前記管理コードを読み出し、これを前記サーバ装置に送信する段階と、
前記サーバ装置が、前記端末装置から、前記管理コードの送信を伴うアクセスがあったときに、前記管理コードに対応した条件下で、前記端末装置からのアクセスに応じる段階と、
前記利用者が、前記ゲートを通って前記管理エリアから出る際に、前記管理ユニットが、前記情報記録媒体に書き込まれている前記管理エリアについての管理コードを消去もしくは無効化する段階と、
を有することを特徴とするコンピュータシステムにおけるアクセス権の管理方法。
【請求項1】
特定の管理エリア内の装置からアクセス対象となる装置へ、ネットワークを介してアクセスを行うことが可能なコンピュータシステムであって、
前記管理エリアへの出入りが、特定のゲートを通過することによってのみ可能となるように、前記管理エリアを囲う物理的構造体と、
前記管理エリア外もしくは内に設置され、アクセスを受ける対象となるサーバ装置と、
少なくとも前記管理エリア内から前記ネットワークを介して前記サーバ装置に対してアクセスを行う機能を有する端末装置と、
所定の認証コードを格納した認証コード格納部と、必要に応じて所定の管理コードを格納するための管理コード格納部と、を有する情報記録媒体と、
前記ゲートの施錠および解錠を行う機能を有し、通常は施錠状態を維持し、解錠指示信号が与えられたときにのみ一時的に解錠を行う電子錠と、
前記情報記録媒体を所持した利用者が前記ゲートを通って前記管理エリアに出入りする際に、前記認証コード格納部に格納されている認証コードを読み出し、読み出した認証コードを利用した認証を行い、正しい認証結果が得られた場合に前記電子錠に対して前記解錠指示信号を与える管理ユニットと、
を備え、
前記管理ユニットは、前記利用者が前記管理エリアに入る際に前記正しい認証結果が得られたときには、前記管理エリアについて設定されている管理コードを前記管理コード格納部に書き込む処理を行い、前記利用者が前記管理エリアから出る際に、前記管理コードを前記管理コード格納部から消去するか無効化する処理を行い、
前記端末装置は、前記サーバ装置に対するアクセスを行う際に、前記管理コード格納部から前記管理コードを読み出し、これを前記サーバ装置に送信し、
前記サーバ装置は、前記端末装置から送信されてきた前記管理コードに対応した条件下で、前記端末装置からのアクセスに応じることを特徴とするコンピュータシステム。
【請求項2】
請求項1に記載のコンピュータシステムにおいて、
複数の管理エリアが設けられており、管理コードとして、個々の管理エリアについて設定された所定のアクセス権を示すアクセス権コードを含むコードを用い、
サーバ装置は、端末装置から送信されてきたアクセス権コードによって示されるアクセス権の範囲内で、前記端末装置からのアクセスに応じることを特徴とするコンピュータシステム。
【請求項3】
請求項2に記載のコンピュータシステムにおいて、
管理ユニットが、所定のアルゴリズムに基づいて一時的に有効な補助コードを発生させ、アクセス権コードと前記補助コードとの双方を含む管理コードを用い、
サーバ装置が、前記アルゴリズムに基づいて、前記管理コードに含まれている前記補助コードの有効性を判断し、前記補助コードが無効であるとの判断結果が得られた場合には、アクセスを禁止することを特徴とするコンピュータシステム。
【請求項4】
請求項2に記載のコンピュータシステムにおいて、
サーバ装置が、アクセス権コードとアクセス権の内容との対応テーブルを有し、この対応テーブルを参照することによって定まるアクセス権の範囲内で、端末装置からのアクセスに応じることを特徴とするコンピュータシステム。
【請求項5】
請求項4に記載のコンピュータシステムにおいて、
アクセス権コードとアクセス権の内容との対応テーブルに、日時に応じて異なるアクセス権の内容を参照する設定がなされていることを特徴とするコンピュータシステム。
【請求項6】
請求項4に記載のコンピュータシステムにおいて、
アクセス権コードとアクセス権の内容との対応テーブルに、認証コードに応じて異なるアクセス権の内容を参照する設定がなされており、
端末装置は、サーバ装置に対するアクセスを行う際に、管理コード格納部から管理コードを読み出すとともに、認証コード格納部から認証コードを読み出し、前記管理コードと前記認証コードとを前記サーバ装置に送信し、
前記サーバ装置は、前記端末装置から送信されてきた前記管理コードと前記認証コードとの双方に基づいて前記対応テーブルを参照し、前記対応テーブルを参照することによって定まるアクセス権の範囲内で、前記端末装置からのアクセスに応じることを特徴とするコンピュータシステム。
【請求項7】
請求項4に記載のコンピュータシステムにおいて、
アクセス権コードとアクセス権の内容との対応テーブルに、認証コードおよび日時に応じて異なるアクセス権の内容を参照する設定がなされており、
端末装置は、サーバ装置に対するアクセスを行う際に、管理コード格納部から管理コードを読み出すとともに、認証コード格納部から認証コードを読み出し、前記管理コードと前記認証コードとを前記サーバ装置に送信し、
前記サーバ装置は、前記端末装置から送信されてきた前記管理コードと前記認証コードとの双方に基づいて前記対応テーブルを参照し、前記対応テーブルを参照することによって定まるアクセス権の範囲内で、前記端末装置からのアクセスに応じることを特徴とするコンピュータシステム。
【請求項8】
請求項1に記載のコンピュータシステムにおいて、
管理ユニットが、特定の日時には、管理コードの書き込み処理を実行しないことを特徴とするコンピュータシステム。
【請求項9】
請求項1に記載のコンピュータシステムにおいて、
管理ユニットが、認証コード格納部から認証コードを読み出す機能を有し、読み出した認証コードが特定のコードであった場合には、管理コードの書き込み処理を実行しないことを特徴とするコンピュータシステム。
【請求項10】
請求項1に記載のコンピュータシステムにおいて、
管理ユニットが、認証コード格納部から認証コードを読み出す機能を有し、読み出した認証コードが特定のコードであった場合には、特定の日時には、管理コードの書き込み処理を実行しないことを特徴とするコンピュータシステム。
【請求項11】
請求項1に記載のコンピュータシステムにおいて、
端末装置が、認証コード格納部に格納されている認証コードを利用した認証を行い、正しい認証結果が得られた場合にのみサーバ装置に対するアクセスを行うことを特徴とするコンピュータシステム。
【請求項12】
請求項1に記載のコンピュータシステムにおいて、
サーバ装置が、別なサーバ装置へアクセスするための認証処理を行う認証サーバ装置であり、送信されてきた管理コードに対応した条件下で前記別なサーバ装置へのアクセスが行われるよう中継を行うことを特徴とするコンピュータシステム。
【請求項13】
請求項1に記載のコンピュータシステムにおいて、
管理ユニットが、
利用者が管理エリアに入る際に情報記録媒体と交信して、認証コード格納部に格納されている認証コードを読み出すとともに、管理コードを管理コード格納部に書き込む処理を行う入場用交信器と、
利用者が管理エリアから出る際に情報記録媒体と交信して、前記管理コードを前記管理コード格納部から消去するか無効化する処理を行う退場用交信器と、
読み出された認証コードを利用した認証処理を行うとともに、前記入場用交信器および退場用交信器を制御するコントローラと、
を有することを特徴とするコンピュータシステム。
【請求項14】
特定の管理エリア内の装置からアクセス対象となる装置へ、ネットワークを介してアクセスを行うことが可能なコンピュータシステムであって、
前記管理エリア外もしくは内に設置され、アクセスを受ける対象となるサーバ装置と、
少なくとも前記管理エリア内から前記ネットワークを介して前記サーバ装置に対してアクセスを行う機能を有する端末装置と、
必要に応じて所定の管理コードを格納するための管理コード格納部を有する情報記録媒体と、
前記情報記録媒体を所持する利用者が前記管理エリアに入る際に、前記管理エリアについて設定されている管理コードを前記管理コード格納部に書き込む処理を行い、前記利用者が前記管理エリアから出る際に、前記管理コードを前記管理コード格納部から消去するか無効化する処理を行う管理ユニットと、
を備え、
前記端末装置は、前記サーバ装置に対するアクセスを行う際に、前記管理コード格納部から前記管理コードを読み出し、これを前記サーバ装置に送信し、
前記サーバ装置は、前記端末装置から送信されてきた前記管理コードに対応した条件下で、前記端末装置からのアクセスに応じることを特徴とするコンピュータシステム。
【請求項15】
特定の管理エリア内の端末装置からアクセス対象となるサーバ装置へ、ネットワークを介してアクセスを行う場合のアクセス権を管理する方法であって、
必要に応じて所定の管理コードを書き込むことができる情報記録媒体を準備する段階と、
前記管理エリアへの出入りを行うゲートの近傍に、前記情報記録媒体と交信する機能をもった管理ユニットを設置する段階と、
前記情報記録媒体を携帯する利用者が、前記ゲートを通って前記管理エリアに入る際に、前記管理ユニットが、前記管理エリアについて設定されている管理コードを前記情報記録媒体に書き込む段階と、
前記利用者が前記端末装置を用いて、前記ネットワークを介して前記サーバ装置へのアクセスを開始する操作を行ったときに、前記端末装置が、前記情報記録媒体に書き込まれている前記管理コードを読み出し、これを前記サーバ装置に送信する段階と、
前記サーバ装置が、前記端末装置から、前記管理コードの送信を伴うアクセスがあったときに、前記管理コードに対応した条件下で、前記端末装置からのアクセスに応じる段階と、
前記利用者が、前記ゲートを通って前記管理エリアから出る際に、前記管理ユニットが、前記情報記録媒体に書き込まれている前記管理エリアについての管理コードを消去もしくは無効化する段階と、
を有することを特徴とするコンピュータシステムにおけるアクセス権の管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2011−146061(P2011−146061A)
【公開日】平成23年7月28日(2011.7.28)
【国際特許分類】
【出願番号】特願2011−43703(P2011−43703)
【出願日】平成23年3月1日(2011.3.1)
【分割の表示】特願2006−343842(P2006−343842)の分割
【原出願日】平成18年12月21日(2006.12.21)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
【公開日】平成23年7月28日(2011.7.28)
【国際特許分類】
【出願日】平成23年3月1日(2011.3.1)
【分割の表示】特願2006−343842(P2006−343842)の分割
【原出願日】平成18年12月21日(2006.12.21)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
[ Back to top ]