サービス提供装置、サービス提供方法及びサービス提供プログラム
【課題】ユーザが正当な権限を有し、かつ、ユーザが適切な物理的位置の端末から要求した場合にのみ、サービス情報を提供するように制限すること。
【解決手段】端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、その組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて権限管理DB54に記憶しておき、対応付けられた場所識別子とユーザ識別子とサービス識別子との組み合わせを権限管理DB54から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、その突き合わせ結果に基づいてサービス情報の提供可否を判定する。
【解決手段】端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、その組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて権限管理DB54に記憶しておき、対応付けられた場所識別子とユーザ識別子とサービス識別子との組み合わせを権限管理DB54から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、その突き合わせ結果に基づいてサービス情報の提供可否を判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サービス情報を提供する技術に関する。
【背景技術】
【0002】
従来より、ユーザが所望するサービス情報を提供可能なサービス提供システムが存在している(特許文献1参照)。ここで、このような従来型のサービス提供システムの全体構成例を図7に示す。
【0003】
このサービス提供システムは、ユーザにより使用されるユーザ端末100と、ユーザ端末100から送信された要求に基づいて、ユーザが所期するサービス情報を提供するサービス提供装置500とで主に構成される。
【0004】
このようなシステム構成下、サービス提供装置500は、ユーザに付与されたユーザIDと、そのユーザに対して提供可能なサービス情報のサービスIDとを予め対応付けて権限管理DB54に保持しておき、ユーザ端末100から送信されたユーザIDとサービスIDとの組み合わせと突き合わせることにより、サービス情報の提供可否を判断している。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2010−140218号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、ユーザIDとサービスIDとの組み合わせを用いて判断するため、ユーザ端末の物理的な設置場所に関係なく、同一ユーザであれば権限のある全てのサービス情報を使用(閲覧等)できてしまうという課題があった。
【0007】
すなわち、第1ユーザ端末100a又は第2ユーザ端末100bのいずれを使用した場合であっても、あるサービス情報への権限があれば使用することが可能であり、ユーザ端末の物理的な設置場所によってサービス情報の提供を避けたい場合に対応できなかった。
【0008】
本発明は、上記課題を鑑みてなされたものであり、その課題とするところは、ユーザが正当な権限を有し、かつ、ユーザが適切な物理的位置の端末から要求した場合にのみ、サービス情報を提供するように制限することにある。
【課題を解決するための手段】
【0009】
請求項1記載のサービス提供装置は、アクセス制御装置により端末からのアクセスが管理されているサービス提供装置において、端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、前記組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて記憶しておく記憶手段と、対応付けられた前記場所識別子と前記ユーザ識別子と前記サービス識別子との組み合わせを前記記憶手段から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、当該突き合わせ結果に基づいてサービス情報の提供可否を判定する判定手段と、を有することを特徴とする。
【0010】
本発明によれば、端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、その組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて記憶手段に記憶しておき、対応付けられた場所識別子とユーザ識別子とサービス識別子との組み合わせを記憶手段から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、その突き合わせ結果に基づいてサービス情報の提供可否を判定するため、ユーザが正当な権限を有し、かつ、ユーザが適切な物理的位置の端末から要求した場合にのみ、サービス情報を提供するように制限できる。
【0011】
請求項2記載のサービス提供装置は、請求項1記載のサービス提供装置において、前記突き合わせ結果が一致し、サービス情報提供可と判定された場合には、前記端末から送信されたサービス識別子のサービス情報を当該端末に送信し、前記突き合わせ結果が一致せず、サービス情報提供否と判定された場合には、当該サービス情報を前記端末に送信しない提供手段を更に有することを特徴とする。
【0012】
請求項3記載のサービス提供方法は、アクセス制御装置により端末からのアクセスが管理されているサービス提供装置により行うサービス提供方法において、端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、前記組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて記憶手段に記憶しておくステップと、対応付けられた前記場所識別子と前記ユーザ識別子と前記サービス識別子との組み合わせを前記記憶手段から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、当該突き合わせ結果に基づいてサービス情報の提供可否を判定するステップと、を有することを特徴とする。
【0013】
本発明によれば、端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、その組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて記憶手段に記憶しておき、対応付けられた場所識別子とユーザ識別子とサービス識別子との組み合わせを記憶手段から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、その突き合わせ結果に基づいてサービス情報の提供可否を判定するため、ユーザが正当な権限を有し、かつ、ユーザが適切な物理的位置の端末から要求した場合にのみ、サービス情報を提供するように制限できる。
【0014】
請求項4記載のサービス提供方法は、請求項3記載のサービス提供方法において、前記突き合わせ結果が一致し、サービス情報提供可と判定された場合には、前記端末から送信されたサービス識別子のサービス情報を当該端末に送信し、前記突き合わせ結果が一致せず、サービス情報提供否と判定された場合には、当該サービス情報を前記端末に送信しないステップを更に有することを特徴とする。
【0015】
請求項5記載のサービス提供プログラムは、請求項3又は4記載の各ステップをコンピュータに実行させることを特徴とする。
【発明の効果】
【0016】
本発明によれば、ユーザが正当な権限を有し、かつ、ユーザが適切な物理的位置の端末から要求した場合にのみ、サービス情報を提供するように制限できる。
【図面の簡単な説明】
【0017】
【図1】サービス提供システムの全体構成を示す図である。
【図2】アクセス制御装置の機能ブロック構成を示す図である。
【図3】サービス提供装置の機能ブロック構成を示す図である。
【図4】サービス提供システムの処理動作を示すフローチャートである。
【図5】サービス提供システムの処理動作を示すフローシーケンスである。
【図6】サービス提供システムの具体的構成例を示す図である。
【図7】従来のサービス提供システムの全体構成例を示す図である。
【発明を実施するための形態】
【0018】
以下、本発明を実施する一実施の形態について図面を用いて説明する。但し、本発明は多くの異なる様態で実施することが可能であり、本実施の形態の記載内容に限定して解釈すべきではない。
【0019】
図1は、本実施の形態に係るサービス提供システムの全体構成を示す図である。このサービス提供システムは、異なる場所にそれぞれ設置された第1ユーザ端末100a及び第2ユーザ端末100bと、サービス提供装置500に対するユーザ端末100からのアクセスを管理するアクセス制御装置300と、ユーザ端末100からの要求に基づいて、ユーザによって所望されるサービス情報を提供するサービス提供装置500とで主に構成される。
【0020】
なお、このサービス提供システムは、各装置間の通信を確立するために必要な通信機器(例えば、ケーブル、ハブ、ルータ等)も具備しているが、それら通信機器の機能は既知であるため、説明は省略する。以下、本システムにおける各装置の機能について詳述する。
【0021】
第1ユーザ端末100aは、ユーザID及びパスワードの入力を受け付けて、ユーザがログインした後に、サービス提供システムとして提供可能な全てのサービス情報の一覧を画面に選択可能に表示する。第2ユーザ端末100bも同様の機能を有するが、第1ユーザ端末100aとは異なるIPアドレスが設定されている。
【0022】
なお、本実施の形態では、ユーザ端末100に設定されたIPアドレスを、ユーザ端末100の配置場所を識別する場所識別子の一例としている。
【0023】
アクセス制御装置300は、図2に示すように、ユーザ端末100から送信された要求を受け付ける要求受付部31と、アクセス管理DB34のアクセス管理情報に基づいて当該要求の転送可否を判定する転送可否判定部32と、その判定結果に基づいて当該要求をサービス提供装置500に転送又は非転送する要求転送部33と、アクセス管理DB34とで主に構成されている。
【0024】
アクセス管理DB34は、図1に示したように、送信元IPアドレスと、当該送信元IPアドレスに対して転送が許可された宛先IPアドレスとが対応付けられたアクセス管理情報を記憶管理している。なお、送信元IPアドレスとは、ユーザ端末100のIPアドレスに相当し、宛先IPアドレスとは、サービス提供装置500のIPアドレスに相当する。
【0025】
サービス提供装置500は、図3に示すように、アクセス制御装置300により転送されたユーザ端末100の要求を受け付ける要求受付部51と、権限管理DB54の権限管理情報に基づいてサービス情報の提供可否を判定する提供可否判定部52と、その判定結果に基づいてサービス情報DB55のサービス情報をユーザ端末100に送信又は非送信するサービス提供部53と、権限管理DB54と、サービス情報DB55とで主に構成される。
【0026】
権限管理DB54は、図1に示したように、送信元IPアドレスとユーザIDとの組み合わせと、その組み合わせに対して提供が許可されたサービス情報のサービスIDと、ログイン時に入力されるパスワードとが対応付けられた権限管理情報を記憶管理している。
【0027】
サービス情報DB55は、サービスIDに対応付けられたサービス情報を記憶管理している。なお、図1に示す例では、各サービスIDにそれぞれ対応する複数のサービス情報が、異なるサービス情報DBにそれぞれ記憶管理されている。
【0028】
ここで、アクセス制御装置300の要求受付部31と転送可否判定部32と要求転送部33と、サービス提供装置500の要求受付部51と提供可否判定部52とサービス提供部53とは、CPU等により実現可能である。
【0029】
また、アクセス制御装置300のアクセス管理DB34と、サービス提供装置500の権限管理DB54とサービス情報DB55とは、メモリやデータベース等により実現可能である。
【0030】
また、アクセス制御装置300及びサービス提供装置500の各機能処理は、プログラムの実行により実現可能である。
【0031】
次に、このようなサービス提供システムの処理動作について説明する。図4は、サービス提供システムの処理動作を示すフローチャートであり、図5は、そのフローシーケンスである。
【0032】
最初に、第1ユーザ端末100aにより、ユーザID及びパスワードの入力画面が表示され、ユーザによってユーザID及びパスワードが入力されてログイン成功後、サービス情報一覧が画面に表示されて、ユーザが所望するサービス情報が選択される(S101)。
【0033】
次に、S101の後、第1ユーザ端末100aにより、S101で入力されたユーザID及びパスワードと、S101で選択されたサービス情報のサービスIDとを含むサービス使用要求が、アクセス制御装置300に送信される(S102)。
【0034】
このとき、第1ユーザ端末100aのIPアドレスが設定された送信元IPアドレスと、サービス提供装置500のIPアドレスが設定された宛先IPアドレスも併せて送信される。
【0035】
なお、IPアドレスは、一般的にIPパケット内に格納される。そのため、後段のアクセス制御装置300やサービス提供装置500は、そのIPパケットから送信元IPアドレス及び宛先IPアドレスをそれぞれ取得してもよいが、IPアドレス自体をサービス使用要求に含めるようにしてもよい。
【0036】
次に、S102の後、アクセス制御装置300により、対応付けられた送信元IPアドレスと宛先IPアドレスとの組み合わせがアクセス管理DB34から読み出され、第1ユーザ端末100aから送信された送信元IPアドレスと宛先IPアドレスとの組み合わせと突き合わされて、その突き合わせ結果に基づいてサービス使用要求の転送可否が判定される(S103)。
【0037】
次に、S103の突き合わせの結果、それら組み合わせが一致してサービス使用要求転送可と判定される場合には、アクセス制御装置300により、第1ユーザ端末100aから送信されたサービス使用要求はサービス提供装置500に転送される(S104)。
【0038】
一方、S103の突き合わせの結果、それら組み合わせが一致せずサービス使用要求転送否と判定される場合には、アクセス制御装置300により、第1ユーザ端末100aから送信されたサービス使用要求はサービス提供装置500に転送されることなく、転送否である応答が第1ユーザ端末100aに返信されて、処理が終了する(S104’)。
【0039】
次に、S104の後、サービス提供装置500により、対応付けられた送信元IPアドレスとユーザIDとサービスIDとパスワードとの組み合わせが権限管理DB54から読み出され、アクセス制御装置300を介して第1ユーザ端末100aから送信された送信元IPアドレスとユーザIDとサービスIDとパスワードとの組み合わせと突き合わされて、その突き合わせ結果に基づいてサービス情報の提供可否が判定される(S105)。
【0040】
次に、S105の突き合わせの結果、それら組み合わせが一致してサービス情報提供可と判定される場合には、サービス提供装置500により、第1ユーザ端末100aから送信されたサービスIDに対応するサービス情報がサービス情報DB55から読み出されて、第1ユーザ端末100aに送信される(S106)。
【0041】
一方、S105の突き合わせの結果、それら組み合わせが一致せずサービス情報提供否と判定される場合には、サービス提供装置500により、サービス情報は第1ユーザ端末100aに送信されることなく、提供否である応答が第1ユーザ端末100aに返信されて、処理が終了する(S106’)。
【0042】
なお、S105では、パスワードも突き合わせの一対象としているが、送信元IPアドレスとユーザIDとサービスIDとを突き合わせ対象とすれば本発明の効果を得ることが可能であるため、パスワードを対象とするか否かは任意である。
【0043】
ここで、具体的な実施例を図6に示す。第1ユーザ端末100aは情報管理室に配置され、第2ユーザ端末100bは共有スペースに配置され、同図に示す権限管理情報がサービス提供装置500の権限管理DB54に記憶管理されている場合、ユーザIDに相当する社員IDがa1の社員は、情報管理室からは顧客情報にアクセスできるが、共有スペースからはアクセス不可となる。
【0044】
これにより、情報管理室への入室が許可されていない社員により使用される共有スペースの第2ユーザ端末100bに顧客情報が表示されることを防止可能となる。
【0045】
図7に示したように、従来技術では、サービス提供装置500の権限管理DB54において、ユーザIDと、そのユーザIDのみに対して提供可能なサービス情報のサービスIDとを対応付けて記憶管理している。
【0046】
一方、本実施の形態では、権限管理の要素として送信元IPアドレスを追加し、送信元IPアドレスとユーザIDとの組み合わせと、その組み合わせに対して提供可能なサービス情報のサービスIDとを対応付けて記憶管理している。
【0047】
そして、ユーザ端末100からサービス使用要求を受信した際に、事前に対応付けられている送信元IPアドレスとユーザIDとサービスIDとの組み合わせを権限管理DB54から読み出して、ユーザ端末100から送信された送信元IPアドレスとユーザIDとサービスIDとの組み合わせと突き合わせ、その突き合わせ結果に基づいてサービス情報の提供可否を判定するようにしている。
【0048】
従って、ユーザが正当な権限を有し、かつ、ユーザが適切な物理的位置のユーザ端末から要求した場合にのみ、サービス情報を提供するように制限できる。すなわち、ユーザ端末の物理的な場所とユーザとの組み合わせに対して、提供可能なサービスを制限できる。同一ユーザであっても、ユーザ端末の物理的な場所に応じて、使用できるサービスを制限できる。
【0049】
具体的には、同一社員であっても、社内から利用できる機能と社外から利用できる機能とを区別することができる。また、情報取得権限を特定の社員に与える場合、情報管理室のみで取得可能なように、場所を制限することができる。
【0050】
最後に、前述したように、本実施の形態では、ユーザ端末100に設定されたIPアドレスを、ユーザ端末100の配置場所を識別する場所識別子の例として説明した。
【0051】
一方、有線用及び無線用の2つのポートを具備する等、ユーザ端末100が複数のIPアドレスを有する場合には、必ずしもIPアドレスが当該場所識別子に該当するとは限らないため、IPアドレスに代えて、ユーザ端末100の配置場所を一意に識別する何らかのIDを利用することが好ましい。
【符号の説明】
【0052】
100…ユーザ端末
100a…第1ユーザ端末
100b…第2ユーザ端末
300…アクセス制御装置
31…要求受付部
32…転送可否判定部
33…要求転送部
34…アクセス管理DB
500…サービス提供装置
51…要求受付部
52…提供可否判定部(判定手段)
53…サービス提供部(提供手段)
54…権限管理DB(記憶手段)
55、55a〜55d…サービス情報DB
S101〜S106…処理ステップ
【技術分野】
【0001】
本発明は、サービス情報を提供する技術に関する。
【背景技術】
【0002】
従来より、ユーザが所望するサービス情報を提供可能なサービス提供システムが存在している(特許文献1参照)。ここで、このような従来型のサービス提供システムの全体構成例を図7に示す。
【0003】
このサービス提供システムは、ユーザにより使用されるユーザ端末100と、ユーザ端末100から送信された要求に基づいて、ユーザが所期するサービス情報を提供するサービス提供装置500とで主に構成される。
【0004】
このようなシステム構成下、サービス提供装置500は、ユーザに付与されたユーザIDと、そのユーザに対して提供可能なサービス情報のサービスIDとを予め対応付けて権限管理DB54に保持しておき、ユーザ端末100から送信されたユーザIDとサービスIDとの組み合わせと突き合わせることにより、サービス情報の提供可否を判断している。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2010−140218号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、ユーザIDとサービスIDとの組み合わせを用いて判断するため、ユーザ端末の物理的な設置場所に関係なく、同一ユーザであれば権限のある全てのサービス情報を使用(閲覧等)できてしまうという課題があった。
【0007】
すなわち、第1ユーザ端末100a又は第2ユーザ端末100bのいずれを使用した場合であっても、あるサービス情報への権限があれば使用することが可能であり、ユーザ端末の物理的な設置場所によってサービス情報の提供を避けたい場合に対応できなかった。
【0008】
本発明は、上記課題を鑑みてなされたものであり、その課題とするところは、ユーザが正当な権限を有し、かつ、ユーザが適切な物理的位置の端末から要求した場合にのみ、サービス情報を提供するように制限することにある。
【課題を解決するための手段】
【0009】
請求項1記載のサービス提供装置は、アクセス制御装置により端末からのアクセスが管理されているサービス提供装置において、端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、前記組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて記憶しておく記憶手段と、対応付けられた前記場所識別子と前記ユーザ識別子と前記サービス識別子との組み合わせを前記記憶手段から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、当該突き合わせ結果に基づいてサービス情報の提供可否を判定する判定手段と、を有することを特徴とする。
【0010】
本発明によれば、端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、その組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて記憶手段に記憶しておき、対応付けられた場所識別子とユーザ識別子とサービス識別子との組み合わせを記憶手段から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、その突き合わせ結果に基づいてサービス情報の提供可否を判定するため、ユーザが正当な権限を有し、かつ、ユーザが適切な物理的位置の端末から要求した場合にのみ、サービス情報を提供するように制限できる。
【0011】
請求項2記載のサービス提供装置は、請求項1記載のサービス提供装置において、前記突き合わせ結果が一致し、サービス情報提供可と判定された場合には、前記端末から送信されたサービス識別子のサービス情報を当該端末に送信し、前記突き合わせ結果が一致せず、サービス情報提供否と判定された場合には、当該サービス情報を前記端末に送信しない提供手段を更に有することを特徴とする。
【0012】
請求項3記載のサービス提供方法は、アクセス制御装置により端末からのアクセスが管理されているサービス提供装置により行うサービス提供方法において、端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、前記組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて記憶手段に記憶しておくステップと、対応付けられた前記場所識別子と前記ユーザ識別子と前記サービス識別子との組み合わせを前記記憶手段から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、当該突き合わせ結果に基づいてサービス情報の提供可否を判定するステップと、を有することを特徴とする。
【0013】
本発明によれば、端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、その組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて記憶手段に記憶しておき、対応付けられた場所識別子とユーザ識別子とサービス識別子との組み合わせを記憶手段から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、その突き合わせ結果に基づいてサービス情報の提供可否を判定するため、ユーザが正当な権限を有し、かつ、ユーザが適切な物理的位置の端末から要求した場合にのみ、サービス情報を提供するように制限できる。
【0014】
請求項4記載のサービス提供方法は、請求項3記載のサービス提供方法において、前記突き合わせ結果が一致し、サービス情報提供可と判定された場合には、前記端末から送信されたサービス識別子のサービス情報を当該端末に送信し、前記突き合わせ結果が一致せず、サービス情報提供否と判定された場合には、当該サービス情報を前記端末に送信しないステップを更に有することを特徴とする。
【0015】
請求項5記載のサービス提供プログラムは、請求項3又は4記載の各ステップをコンピュータに実行させることを特徴とする。
【発明の効果】
【0016】
本発明によれば、ユーザが正当な権限を有し、かつ、ユーザが適切な物理的位置の端末から要求した場合にのみ、サービス情報を提供するように制限できる。
【図面の簡単な説明】
【0017】
【図1】サービス提供システムの全体構成を示す図である。
【図2】アクセス制御装置の機能ブロック構成を示す図である。
【図3】サービス提供装置の機能ブロック構成を示す図である。
【図4】サービス提供システムの処理動作を示すフローチャートである。
【図5】サービス提供システムの処理動作を示すフローシーケンスである。
【図6】サービス提供システムの具体的構成例を示す図である。
【図7】従来のサービス提供システムの全体構成例を示す図である。
【発明を実施するための形態】
【0018】
以下、本発明を実施する一実施の形態について図面を用いて説明する。但し、本発明は多くの異なる様態で実施することが可能であり、本実施の形態の記載内容に限定して解釈すべきではない。
【0019】
図1は、本実施の形態に係るサービス提供システムの全体構成を示す図である。このサービス提供システムは、異なる場所にそれぞれ設置された第1ユーザ端末100a及び第2ユーザ端末100bと、サービス提供装置500に対するユーザ端末100からのアクセスを管理するアクセス制御装置300と、ユーザ端末100からの要求に基づいて、ユーザによって所望されるサービス情報を提供するサービス提供装置500とで主に構成される。
【0020】
なお、このサービス提供システムは、各装置間の通信を確立するために必要な通信機器(例えば、ケーブル、ハブ、ルータ等)も具備しているが、それら通信機器の機能は既知であるため、説明は省略する。以下、本システムにおける各装置の機能について詳述する。
【0021】
第1ユーザ端末100aは、ユーザID及びパスワードの入力を受け付けて、ユーザがログインした後に、サービス提供システムとして提供可能な全てのサービス情報の一覧を画面に選択可能に表示する。第2ユーザ端末100bも同様の機能を有するが、第1ユーザ端末100aとは異なるIPアドレスが設定されている。
【0022】
なお、本実施の形態では、ユーザ端末100に設定されたIPアドレスを、ユーザ端末100の配置場所を識別する場所識別子の一例としている。
【0023】
アクセス制御装置300は、図2に示すように、ユーザ端末100から送信された要求を受け付ける要求受付部31と、アクセス管理DB34のアクセス管理情報に基づいて当該要求の転送可否を判定する転送可否判定部32と、その判定結果に基づいて当該要求をサービス提供装置500に転送又は非転送する要求転送部33と、アクセス管理DB34とで主に構成されている。
【0024】
アクセス管理DB34は、図1に示したように、送信元IPアドレスと、当該送信元IPアドレスに対して転送が許可された宛先IPアドレスとが対応付けられたアクセス管理情報を記憶管理している。なお、送信元IPアドレスとは、ユーザ端末100のIPアドレスに相当し、宛先IPアドレスとは、サービス提供装置500のIPアドレスに相当する。
【0025】
サービス提供装置500は、図3に示すように、アクセス制御装置300により転送されたユーザ端末100の要求を受け付ける要求受付部51と、権限管理DB54の権限管理情報に基づいてサービス情報の提供可否を判定する提供可否判定部52と、その判定結果に基づいてサービス情報DB55のサービス情報をユーザ端末100に送信又は非送信するサービス提供部53と、権限管理DB54と、サービス情報DB55とで主に構成される。
【0026】
権限管理DB54は、図1に示したように、送信元IPアドレスとユーザIDとの組み合わせと、その組み合わせに対して提供が許可されたサービス情報のサービスIDと、ログイン時に入力されるパスワードとが対応付けられた権限管理情報を記憶管理している。
【0027】
サービス情報DB55は、サービスIDに対応付けられたサービス情報を記憶管理している。なお、図1に示す例では、各サービスIDにそれぞれ対応する複数のサービス情報が、異なるサービス情報DBにそれぞれ記憶管理されている。
【0028】
ここで、アクセス制御装置300の要求受付部31と転送可否判定部32と要求転送部33と、サービス提供装置500の要求受付部51と提供可否判定部52とサービス提供部53とは、CPU等により実現可能である。
【0029】
また、アクセス制御装置300のアクセス管理DB34と、サービス提供装置500の権限管理DB54とサービス情報DB55とは、メモリやデータベース等により実現可能である。
【0030】
また、アクセス制御装置300及びサービス提供装置500の各機能処理は、プログラムの実行により実現可能である。
【0031】
次に、このようなサービス提供システムの処理動作について説明する。図4は、サービス提供システムの処理動作を示すフローチャートであり、図5は、そのフローシーケンスである。
【0032】
最初に、第1ユーザ端末100aにより、ユーザID及びパスワードの入力画面が表示され、ユーザによってユーザID及びパスワードが入力されてログイン成功後、サービス情報一覧が画面に表示されて、ユーザが所望するサービス情報が選択される(S101)。
【0033】
次に、S101の後、第1ユーザ端末100aにより、S101で入力されたユーザID及びパスワードと、S101で選択されたサービス情報のサービスIDとを含むサービス使用要求が、アクセス制御装置300に送信される(S102)。
【0034】
このとき、第1ユーザ端末100aのIPアドレスが設定された送信元IPアドレスと、サービス提供装置500のIPアドレスが設定された宛先IPアドレスも併せて送信される。
【0035】
なお、IPアドレスは、一般的にIPパケット内に格納される。そのため、後段のアクセス制御装置300やサービス提供装置500は、そのIPパケットから送信元IPアドレス及び宛先IPアドレスをそれぞれ取得してもよいが、IPアドレス自体をサービス使用要求に含めるようにしてもよい。
【0036】
次に、S102の後、アクセス制御装置300により、対応付けられた送信元IPアドレスと宛先IPアドレスとの組み合わせがアクセス管理DB34から読み出され、第1ユーザ端末100aから送信された送信元IPアドレスと宛先IPアドレスとの組み合わせと突き合わされて、その突き合わせ結果に基づいてサービス使用要求の転送可否が判定される(S103)。
【0037】
次に、S103の突き合わせの結果、それら組み合わせが一致してサービス使用要求転送可と判定される場合には、アクセス制御装置300により、第1ユーザ端末100aから送信されたサービス使用要求はサービス提供装置500に転送される(S104)。
【0038】
一方、S103の突き合わせの結果、それら組み合わせが一致せずサービス使用要求転送否と判定される場合には、アクセス制御装置300により、第1ユーザ端末100aから送信されたサービス使用要求はサービス提供装置500に転送されることなく、転送否である応答が第1ユーザ端末100aに返信されて、処理が終了する(S104’)。
【0039】
次に、S104の後、サービス提供装置500により、対応付けられた送信元IPアドレスとユーザIDとサービスIDとパスワードとの組み合わせが権限管理DB54から読み出され、アクセス制御装置300を介して第1ユーザ端末100aから送信された送信元IPアドレスとユーザIDとサービスIDとパスワードとの組み合わせと突き合わされて、その突き合わせ結果に基づいてサービス情報の提供可否が判定される(S105)。
【0040】
次に、S105の突き合わせの結果、それら組み合わせが一致してサービス情報提供可と判定される場合には、サービス提供装置500により、第1ユーザ端末100aから送信されたサービスIDに対応するサービス情報がサービス情報DB55から読み出されて、第1ユーザ端末100aに送信される(S106)。
【0041】
一方、S105の突き合わせの結果、それら組み合わせが一致せずサービス情報提供否と判定される場合には、サービス提供装置500により、サービス情報は第1ユーザ端末100aに送信されることなく、提供否である応答が第1ユーザ端末100aに返信されて、処理が終了する(S106’)。
【0042】
なお、S105では、パスワードも突き合わせの一対象としているが、送信元IPアドレスとユーザIDとサービスIDとを突き合わせ対象とすれば本発明の効果を得ることが可能であるため、パスワードを対象とするか否かは任意である。
【0043】
ここで、具体的な実施例を図6に示す。第1ユーザ端末100aは情報管理室に配置され、第2ユーザ端末100bは共有スペースに配置され、同図に示す権限管理情報がサービス提供装置500の権限管理DB54に記憶管理されている場合、ユーザIDに相当する社員IDがa1の社員は、情報管理室からは顧客情報にアクセスできるが、共有スペースからはアクセス不可となる。
【0044】
これにより、情報管理室への入室が許可されていない社員により使用される共有スペースの第2ユーザ端末100bに顧客情報が表示されることを防止可能となる。
【0045】
図7に示したように、従来技術では、サービス提供装置500の権限管理DB54において、ユーザIDと、そのユーザIDのみに対して提供可能なサービス情報のサービスIDとを対応付けて記憶管理している。
【0046】
一方、本実施の形態では、権限管理の要素として送信元IPアドレスを追加し、送信元IPアドレスとユーザIDとの組み合わせと、その組み合わせに対して提供可能なサービス情報のサービスIDとを対応付けて記憶管理している。
【0047】
そして、ユーザ端末100からサービス使用要求を受信した際に、事前に対応付けられている送信元IPアドレスとユーザIDとサービスIDとの組み合わせを権限管理DB54から読み出して、ユーザ端末100から送信された送信元IPアドレスとユーザIDとサービスIDとの組み合わせと突き合わせ、その突き合わせ結果に基づいてサービス情報の提供可否を判定するようにしている。
【0048】
従って、ユーザが正当な権限を有し、かつ、ユーザが適切な物理的位置のユーザ端末から要求した場合にのみ、サービス情報を提供するように制限できる。すなわち、ユーザ端末の物理的な場所とユーザとの組み合わせに対して、提供可能なサービスを制限できる。同一ユーザであっても、ユーザ端末の物理的な場所に応じて、使用できるサービスを制限できる。
【0049】
具体的には、同一社員であっても、社内から利用できる機能と社外から利用できる機能とを区別することができる。また、情報取得権限を特定の社員に与える場合、情報管理室のみで取得可能なように、場所を制限することができる。
【0050】
最後に、前述したように、本実施の形態では、ユーザ端末100に設定されたIPアドレスを、ユーザ端末100の配置場所を識別する場所識別子の例として説明した。
【0051】
一方、有線用及び無線用の2つのポートを具備する等、ユーザ端末100が複数のIPアドレスを有する場合には、必ずしもIPアドレスが当該場所識別子に該当するとは限らないため、IPアドレスに代えて、ユーザ端末100の配置場所を一意に識別する何らかのIDを利用することが好ましい。
【符号の説明】
【0052】
100…ユーザ端末
100a…第1ユーザ端末
100b…第2ユーザ端末
300…アクセス制御装置
31…要求受付部
32…転送可否判定部
33…要求転送部
34…アクセス管理DB
500…サービス提供装置
51…要求受付部
52…提供可否判定部(判定手段)
53…サービス提供部(提供手段)
54…権限管理DB(記憶手段)
55、55a〜55d…サービス情報DB
S101〜S106…処理ステップ
【特許請求の範囲】
【請求項1】
アクセス制御装置により端末からのアクセスが管理されているサービス提供装置において、
端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、前記組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて記憶しておく記憶手段と、
対応付けられた前記場所識別子と前記ユーザ識別子と前記サービス識別子との組み合わせを前記記憶手段から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、当該突き合わせ結果に基づいてサービス情報の提供可否を判定する判定手段と、
を有することを特徴とするサービス提供装置。
【請求項2】
前記突き合わせ結果が一致し、サービス情報提供可と判定された場合には、前記端末から送信されたサービス識別子のサービス情報を当該端末に送信し、前記突き合わせ結果が一致せず、サービス情報提供否と判定された場合には、当該サービス情報を前記端末に送信しない提供手段を更に有することを特徴とする請求項1記載のサービス提供装置。
【請求項3】
アクセス制御装置により端末からのアクセスが管理されているサービス提供装置により行うサービス提供方法において、
端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、前記組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて記憶手段に記憶しておくステップと、
対応付けられた前記場所識別子と前記ユーザ識別子と前記サービス識別子との組み合わせを前記記憶手段から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、当該突き合わせ結果に基づいてサービス情報の提供可否を判定するステップと、
を有することを特徴とするサービス提供方法。
【請求項4】
前記突き合わせ結果が一致し、サービス情報提供可と判定された場合には、前記端末から送信されたサービス識別子のサービス情報を当該端末に送信し、前記突き合わせ結果が一致せず、サービス情報提供否と判定された場合には、当該サービス情報を前記端末に送信しないステップを更に有することを特徴とする請求項3記載のサービス提供方法。
【請求項5】
請求項3又は4記載の各ステップをコンピュータに実行させることを特徴とするサービス提供プログラム。
【請求項1】
アクセス制御装置により端末からのアクセスが管理されているサービス提供装置において、
端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、前記組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて記憶しておく記憶手段と、
対応付けられた前記場所識別子と前記ユーザ識別子と前記サービス識別子との組み合わせを前記記憶手段から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、当該突き合わせ結果に基づいてサービス情報の提供可否を判定する判定手段と、
を有することを特徴とするサービス提供装置。
【請求項2】
前記突き合わせ結果が一致し、サービス情報提供可と判定された場合には、前記端末から送信されたサービス識別子のサービス情報を当該端末に送信し、前記突き合わせ結果が一致せず、サービス情報提供否と判定された場合には、当該サービス情報を前記端末に送信しない提供手段を更に有することを特徴とする請求項1記載のサービス提供装置。
【請求項3】
アクセス制御装置により端末からのアクセスが管理されているサービス提供装置により行うサービス提供方法において、
端末の配置場所を識別する場所識別子とユーザを識別するユーザ識別子との組み合わせと、前記組み合わせに対して提供可能なサービス情報を識別するサービス識別子とを対応付けて記憶手段に記憶しておくステップと、
対応付けられた前記場所識別子と前記ユーザ識別子と前記サービス識別子との組み合わせを前記記憶手段から読み出して、端末から送信された場所識別子とユーザ識別子とサービス識別子との組み合わせと突き合わせ、当該突き合わせ結果に基づいてサービス情報の提供可否を判定するステップと、
を有することを特徴とするサービス提供方法。
【請求項4】
前記突き合わせ結果が一致し、サービス情報提供可と判定された場合には、前記端末から送信されたサービス識別子のサービス情報を当該端末に送信し、前記突き合わせ結果が一致せず、サービス情報提供否と判定された場合には、当該サービス情報を前記端末に送信しないステップを更に有することを特徴とする請求項3記載のサービス提供方法。
【請求項5】
請求項3又は4記載の各ステップをコンピュータに実行させることを特徴とするサービス提供プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−230599(P2012−230599A)
【公開日】平成24年11月22日(2012.11.22)
【国際特許分類】
【出願番号】特願2011−99252(P2011−99252)
【出願日】平成23年4月27日(2011.4.27)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成24年11月22日(2012.11.22)
【国際特許分類】
【出願日】平成23年4月27日(2011.4.27)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]