情報提供装置
【課題】 端末とネットワークを介して接続し、ユーザからのアクセス制御を実現して複数のサービスを提供する装置において、複数のサービスで提供される共有コンテンツのアクセス権限を一元的に管理することができるようにする。
【解決手段】 クライアント端末3から、共有コンテンツ141に接続する複数のサービス提供サーバ12および13へのアクセス制御を、この共有コンテンツ141へのアクセス可否の判断の基となるデータであるアクセス制御データ103を有するアクセス制御サーバ102により行うものである。
【解決手段】 クライアント端末3から、共有コンテンツ141に接続する複数のサービス提供サーバ12および13へのアクセス制御を、この共有コンテンツ141へのアクセス可否の判断の基となるデータであるアクセス制御データ103を有するアクセス制御サーバ102により行うものである。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、端末とネットワークを介して接続し、ユーザからのアクセス制御を実現して複数のサービスを提供する装置に関する。
【背景技術】
【0002】
インターネットを介してWeb上でサービスを提供する情報提供装置(Webシステム)が多数構築されているが、その中には個人への情報提供や企業間の取引を行うものなど、保護を行う必要のある情報(コンテンツ)が存在する。このため、Webシステムにおいては、個人の認証によるコンテンツへのアクセス制御機能が導入され、コンテンツへのアクセス制御をサービス提供時に実現している。一方で、業務の効率化などを図るため、コンテンツを複数のサービスから利用するというニーズが存在している。
【0003】
従来のWebシステムのアクセス制御装置では、コンテンツを新たに作成すると、ポリシーサーバはこのコンテンツに係る作成者或いは管理者が設定したセキュリティの属性と、企業などの組織のセキュリティポリシーが記述されているセキュリティポリシーデータに基づいて、アクセス制御リストを作成する。作成されたアクセス制御リストは、サービスを提供する文書管理サーバに保存される。利用者がこのコンテンツにアクセスするときには、このコンテンツを提供する文書管理サーバにアクセスを行い、文書管理サーバに保存されたアクセス制御リストを基にアクセスの許可を得てコンテンツにアクセスする。(例えば、特許文献1参照)。
【0004】
【特許文献1】特開2006−48340号公報(実施例3、図20)
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来の情報提供装置では、1つのコンテンツが複数のサービスで提供される共有コンテンツの場合、サービスを提供するサーバごとにアクセス制御リストが必要となり、共有コンテンツの追加、削除やアクセス権限の変更があると、このコンテンツを提供する複数のサーバのアクセス制御リストを連動して変更しなければならないという問題点があった。
【0006】
この発明は、上述のような問題を解決するためになされたもので、複数のサービスで提供される共有コンテンツのアクセス権限を一元的に管理することにより、複数のサーバのアクセス制御リストを連動して変更する必要をなくすことを課題とする。
【課題を解決するための手段】
【0007】
この発明に係る情報提供装置においては、クライアント端末から共有コンテンツに接続する複数のサービス提供サーバへのアクセス制御を、この共有コンテンツへのアクセス可否の判断の基となるデータであるアクセス制御データを有するアクセス制御サーバにより行うものである。
【発明の効果】
【0008】
この発明は、サービス提供サーバへのアクセス可否をアクセス制御サーバで一元的に判断することにしたので、アクセス権限の変更をアクセス制御データのみの変更で行うことができる。これにより、複数のサーバのアクセス制御リストを連動して変更することをなくすことができる。
【発明を実施するための最良の形態】
【0009】
実施の形態1.
図1はこの発明を実施するための実施の形態1における情報提供装置の概略構成図、図2はこの発明を実施するための実施の形態1におけるアクセス制御サーバの機能ブロック図、図3はこの発明を実施するための実施の形態1におけるユーザ情報データの例を示す説明図、図4はこの発明を実施するための実施の形態1における各サーバが提供するサービスの例を示す説明図、図5はこの発明を実施するための実施の形態1におけるサービス提供サーバが必要とするアクセス権限の設定例を示す説明図、図6はこの発明を実施するための実施の形態1におけるサービス提供サーバが必要とするアクセス権限の設定例を示す説明図、図7はこの発明を実施するための実施の形態1におけるコンテンツの例を示す説明図、図8はこの発明を実施するための実施の形態1におけるコンテンツの例を示す説明図、図9はこの発明を実施するための実施の形態1におけるコンテンツを一意に特定する表現例を示す説明図、図10はこの発明を実施するための実施の形態1におけるアクセス制御サーバの例を示す説明図である。
【0010】
図1において、コンテンツを提供するWebシステム1とコンテンツを要求するクライアント端末3がネットワーク2を介して接続されている。図1ではクライアント端末3は1台しか記載していないが、通常は複数接続されている。このWebシステム1はユーザによる前述のクライアント端末3からのアクセスによりユーザを認証する認証サーバ100、ユーザの情報を格納しているユーザ情報データ101、サービスをまたがってアクセス制御を実現するアクセス制御サーバ102、このアクセス制御サーバ102が用いる情報を格納するアクセス制御データ103、前述のクライアント端末3からの要求に対し情報を提供する複数のサービス提供サーバ12、13、これら複数のサービス提供サーバのうちサービス提供サーバ12のみが用いるコンテンツ121、サービス提供サーバ13のみが用いるコンテンツ131、サービス提供サーバ12およびサービス提供サーバ13の両方が共有して用いるコンテンツ141から構成され、上記のうち認証サーバ100、ユーザ情報データ101、アクセス制御サーバ102、サービス提供サーバ12および13はWebシステム1内のネットワークであるLAN(Local Area Network)11を介して相互に接続している。このLAN11は前述のネットワーク2に接続している。
【0011】
認証サーバ100は、クライアント端末3からアクセスするユーザがログインしているかどうかを管理する。ユーザがログインするためクライアント端末3でユーザID、パスワードもしくはそれに代わる識別符号を入力してWebシステム1にアクセスすると、前述のユーザID、パスワードもしくはそれに代わる識別符号と、ユーザ情報データ101に格納された情報とを比較することにより、当該ユーザがログイン可能かどうかを判定する。ログインしているユーザのみがアクセス制御サーバ102を介してサービス提供サーバ12、13を利用することができる。ユーザ情報データ101は図3に示す例のように、ユーザIDをキーとしてパスワードと組織や職制などの情報が格納されている。この図3において、サービス提供サーバ12が会社組織に属するユーザのみが利用するサービスを提供し、サービス提供サーバ13が一般のユーザが利用するサービスを提供しているとすると、サービス提供サーバ12にアクセス可能なユーザはユーザIDがA、B、C、Dの各ユーザであり、サービス提供サーバ13にアクセス可能なユーザはユーザIDがE、F、G、H、Iの各ユーザである。
【0012】
図4は、サービス提供サーバ12および13が提供するサービスを示したものである。サービス提供サーバ12は前述のように会社組織に属するユーザのみが利用するサーバであり業務サービスを提供し、サービス提供サーバ13は一般のユーザが利用するサーバであり情報提供サービスを提供する。各サービスの内容は図4の該当欄に記載の通りである。
【0013】
サービス提供サーバ12では、図5に示すように役割と権限に対して権限を与えるユーザの方針が定められており、サービス提供サーバ13においても、図6に示すように役割と権限に対して権限を与えるユーザが定められている。
【0014】
また、サービス提供サーバ12が提供する業務サービスにおけるコンテンツ121には、図7に示すように個々のコンテンツと対応するコンテンツの状態を示すステータスとコンテンツ作成者が登録されており、サービス提供サーバ13が提供する情報提供サービスにおけるコンテンツ131には、図8に示すように個々のコンテンツと対応するコンテンツの状態を示すステータスとコンテンツの作成ユーザ、およびこのコンテンツの開示範囲が登録されている。ただし、両方のサービス提供サーバ12および13が共有するコンテンツ141として「広報Vol.12」が存在しており、このコンテンツは図7に示す業務サービスにおけるコンテンツと図8に示す情報提供サービスにおけるコンテンツの両方の図に示している。
【0015】
これらのコンテンツおよび操作は、アクセス制御サーバもしくはその他サーバの機能により、定められた表現に基づいて一意に特定できるものとする。例えば、「業務サービス」におけるコンテンツ「10/11打合せ報告書」に対する「修正」操作を行う場合、図9に示すように、サービス、コンテンツ、操作を例えば「http://Web……」で始まる形式で記載されるURL(Uniform Resource Locator)の中にフォルダ、ファイル、クエリパラメータを組合せて表現できるものとする。ただし、本発明を実施するに当たって、サービスを跨ってコンテンツを共有するためには、コンテンツとサービスもしくはコンテンツと操作は、独立した情報として指定できる必要がある。サービスと操作については、その許可する権限しだいでは、必ずしも独立して表現できる必要はない。
【0016】
この一意に特定されたコンテンツ及びその操作に対するアクセス制御を実現するために、アクセス制御データ103には、図7に示す業務サービスにおけるコンテンツ121、図8に示す情報提供サービスにおけるコンテンツ131および図7と図8の両方に示される共有コンテンツ141に対するアクセス制御データを図10に示す形式で格納する。すなわち、各コンテンツに対し、コンテンツを用いるサービスと、サービスがコンテンツに対して行う操作と、ユーザとを指定し、その指定に対してアクセス可否を許可情報として格納する。各サービスではコンテンツに対する権限を、図7に示すような「コンテンツ作成者」や図8に示すような「開示を許可する範囲」などコンテンツの属性に基づき行おうとするが、アクセス制御データ103には、ユーザもしくは組織、職制など、ユーザ情報データ101に含まれる情報に置き換えて表現し格納する。この図10で示すアクセス制御データの各レコードは順に解釈され、例えばユーザIを除いて一般に属する全員は業務サービスの全てのコンテンツにアクセスすることができないことを意味する。
【0017】
このように表現されたアクセス制御データ103を用いて、アクセス制御サーバ102は図2に示すブロック図に従った処理により、アクセス制御を実行する。図2において、リクエスト611はユーザがクライアント端末3で入力し認証サーバ100を経由したHTTPリクエストを示しており、このリクエスト611には図9に示したようなサービス、コンテンツおよびそのコンテンツに対する操作が含まれ、さらにこのリクエスト611の情報の一部であるHTTPヘッダもしくはCookieなどにこのリクエスト611を提示したユーザを判定するための情報を含んでいる。
【0018】
このリクエスト611を受けたアクセス制御サーバ102は、リクエスト応答処理621を経由したのち、アクセス判定処理622に情報が渡される。このアクセス判定処理622は、アクセス制御に関するデータの入出力を扱うアクセス制御データ管理処理624を介して、ユーザ情報取得処理625により、ユーザ情報データ101からリクエスト611を行ったユーザを特定する。サービス、コンテンツおよびそのコンテンツに対する操作に関する情報は、アクセス制御データ103とつき合わされ、アクセス許可と判定された場合にはリクエスト転送処理623により、リクエスト611に含まれるサービス情報を基に、サービス提供サーバ12もしくは13にリクエストを送信し、そのレスポンス613をクライアントに向けてレスポンス614として送信する。アクセス制御データ102とのつき合わせの結果、アクセス不可と判定された場合には、アクセスが不許可となった故をユーザに表示するためのレスポンス614がアクセス判定処理622で作成されリクエスト応答処理621によりクライアント端末3に送信される。
【0019】
アクセス制御サーバ102はこのように構成されているので、サービス提供サーバ12または13に対応した固有のコンテンツ121、131や、複数のサービス提供サーバ12および13に対応した共有コンテンツ141のアクセス制御を変更するためには、コンテンツへのアクセス制御に関するデータを一元的に管理しているアクセス制御データ103を変更するだけでよい。
【0020】
このように、コンテンツ、サービス、サービスに対する操作を一意に特定する表現を用い、アクセス制御データを一元的に管理するアクセス制御サーバを設けることで、共有コンテンツを含む1つのコンテンツにおいて、複数のユーザに対しそれぞれ複数のサービス提供サーバから情報提供の許可もしくは不許可とすることが可能となるとともに、コンテンツに対するアクセス制御の変更の操作に関しても、アクセス制御データのみの変更で可能となる。
【0021】
実施の形態2.
なお、実施の形態1ではコンテンツ121、131、141が新しく作成されたりアクセス制限に関する情報が変更されたりした場合に、実施の形態1で示した図10におけるアクセス制御データ103の内容が変更されることとなるが、この変更をサービス提供サーバ12、13からの制御設定により行ってもよい。
【0022】
この発明の実施の形態2について、図11に示すこの発明を実施するための実施の形態2におけるアクセス制御サーバの機能ブロック図、および図12に示すこの発明を実施するための実施の形態2における制御設定の説明図に従って説明する。
【0023】
図11において、アクセス制御サーバ102にサービス提供サーバ12あるいは13からのアクセス制御データを設定する入出力の手段である制御設定受信処理626を設け、Webシステム1が扱うアクセス制御データ103に格納するデータ入力インタフェースとする。この制御設定受信処理626に対して、各サービス提供サーバ12、13は、コンテンツの追加・削除に伴って、定められた様式に従って制御設定104を送信する。制御設定104を受信した制御設定入出力処理626は、アクセス制御データ管理処理624にこの制御設定104を渡し、アクセス制御データ103を変更した上で制御応答105を、この制御設定104を発信したサービス提供サーバ12、13に返送する。
【0024】
図12に、制御設定104の例を示す。制御設定104には、アクセス制御データに対するコマンドとして「追加」「削除」「更新」といった操作に加え、「一覧取得」といった操作指定により、現在設定されているデータの一覧を制御応答105として取得する操作も指定できる。それ以外のデータ部には、コンテンツ、サービス、操作、ユーザといった情報を含め、それらは、アクセス制御データ102に1レコードとして格納される。現在設定されている制御設定105についても、制御設定104と同様の構造で得られる。なお、このデータは、図12に示すようにXML(Extensible Markup Language)などの形式で扱っても構わない。
【0025】
制御設定104では、コンテンツ、サービス、操作、ユーザは、それぞれ複数要素を指定することも可能である。ただし、サービスについては、他のサービスへの影響があってはならないため、制御設定104を送信している当該サービスのみを指定する。システム管理者や、特別に権限を与えられた人物のみが、サービスを跨る設定を可能とし、通常のサービスが他のサービスの設定を変更しないようにするため、この制御設定104は、送信元サービスを識別する認証情報とともに送信される。同様に、現在設定されている制御設定を取得する制御応答105の場合にも、ユーザ自身の情報のみを取得可能とする。
【0026】
このようにすることで、サービス提供サーバに、多数のコンテンツが追加、登録されるような状況において、各サービス側の機能によって、動的にアクセス制御データを更新することが可能となる。
【0027】
また、この実施の形態では、アクセス制御サーバに許可、不許可を行わせるだけでなく、アクセス制御サーバにおけるログ取得の有無など、各種機能を実行させることも可能となる。これにより、重要な操作に対するログのみを蓄積するなど、監査にも利用可能な機能を実現することができる。
【0028】
実施の形態3.
この発明の実施の形態3について、図13に示すこの発明を実施するための実施の形態3におけるアクセス制御サーバの機能ブロック図、および図14に示すこの発明を実施するための実施の形態3におけるURL変換定義の説明図に従って説明する。
【0029】
この発明の実施の形態1を適用するためには、サービス、コンテンツ、操作が一意に特定できるように、アクセス制御サーバからサービス提供サーバへのリクエストであるURLを同じ様式とする必要がある。しかしながら、複数のサービスをそれぞれ別個に構築する場合、全てのサービス提供サーバへのリクエストを同じURL表現とすることは困難である。このため、実施の形態3ではWebシステムを利用する外部に対してはコンテンツを一意に特定できるようにし、Webシステムの内部では、各サービスがそれぞれ都合のよい表現を用いることができるように、アドレス変換を行う仕組みを追加している。
【0030】
この仕組みを実現するため、アクセス制御サーバ102のリクエスト転送処理623に、図13に示すURL変換定義631を用いたURLのアドレス変換を行う手段を設ける。
【0031】
このURL変換定義631の内容について、図14に示す例により説明する。このWebシステム1が外部に公開するURL表現1001について、サービス、コンテンツ、操作といった情報を変数としてみなす。サービス提供サーバ12では、URL表現1002、サービス提供サーバ13では、URL表現1003を用いている場合に、URL変換定義631には、書式変換定義1004に基づいてリクエスト中のURLを内部のサービス向けに変換する。URL表現1001で[A]欄に含まれるサービスを特定する情報を判定条件に、サービス提供サーバ12については、変換ID1、サービス提供サーバ13については変換ID2に基づいて書式を組み変える。
【0032】
ここで、外部で入力する情報が、必ずしも内部の情報として使えない場合もある。すなわち、ある操作に対して、Webシステムの外部では「修正」といった名称を用いるが、内部では「updateoperation」という名称を用いるような場合には、変数を内部の表現に変換する必要がある。このため、URL変換定義には、変数変換定義1005を設け、書式変換定義1004の変換IDにおける変数を置き換える方法を定義する。変換定義では、エンコードや文字列結合、置換といった関数、条件分岐を利用可能とする。
【0033】
このように、本発明の実施の形態3により、サービス提供サーバがそれぞれ異なるURL表現でコンテンツ、操作を特定しているような場合においても、コンテンツごとにアクセス制御を行うことが可能となる。
【0034】
実施の形態4.
この発明の実施の形態4について、図15に示すこの発明を実施するための実施の形態4におけるアクセス制御サーバの機能ブロック図、および図16に示すこの発明を実施するための実施の形態4における制御設定処理定義の説明図に従って説明する。
【0035】
なお実施の形態2では、制御設定104には予めアクセス制御データ管理処理624が備える処理のみを利用するため制御設定104の様式をアクセス制御データ管理処理624に一意に決められた方式に従って定められていたが、複数のサービスをそれぞれ別個に構築する場合、全てのサービス提供サーバからの制御設定を同じ方式に従って定めることは困難である。このため、実施の形態4では、制御設定104の方式をWebシステム1内では各サービスがそれぞれ都合の良い表現を用いることができるようにして、アクセス制御データ103へアクセスする際には、コンテンツ・サービス・操作・ユーザの組合せを本発明の実施の形態1で示した図10に従った方式に変換を行う仕組みを追加している。
【0036】
このようなサービスを実現するために、図15に示すように、制御設定104に記述された内容を解釈し、アクセス制御データ103へ一意に決められた方式でアクセスできるように変換する情報を保持する制御設定処理定義632を設け、この制御設定処理定義632に定義された内容により制御設定104に対して必要な処理を行う手段を設ける。
【0037】
図16に、制御設定処理定義632の例を示す。この例の1つ目のレコードでは、業務サービスから制御設定104によって「追加」コマンドが送信されてきた場合に、その中に含まれるユーザの値が「システム管理者」であった場合は、権限を許可するユーザを「総務課の課長」と解釈することを示す。これにより、サービス提供サーバ12が提供する業務サービスで「システム管理者」を定義していなくても、アクセス制御サーバ102において一元的に定義することが可能となる。
【0038】
同じく図16の2つ目のレコードでは、前述の「一覧」コマンドのようにサービスが応答を受信するようなコマンドを拡張した「ユーザコンテンツ一覧取得」コマンドにおいて、ユーザに「E」、コンテンツに「操作可能なコンテンツ」を指定されたときの処理を定義している。この定義に基づき、アクセス制御データ管理処理624では、ユーザ「E」が操作可能なコンテンツの一覧が制御応答105に含まれるように、アクセス制御データ103に対する一致検索を行う。
【0039】
このような処理内容の定義を制御設定処理定義として処理本体と別に定義することで、サービスごとに異なる処理を作り込むことなく、サービスが必要とする各種アクセス制御データ操作の拡張を可能となる。
【0040】
実施の形態5.
なお実施の形態3では、Webシステム1の内部のサービス提供サーバ12、13を指定しているが、多数の拠点を持つシステムにおいては、Webシステム1内部のサービス提供サーバ12、13だけでなく、Webシステム1の外部のサービス提供サーバにアクセスすることも可能である。
【0041】
図17はこの発明を実施するための実施の形態5における情報提供装置の概略構成図、図18はこの発明を実施するための実施の形態5におけるアクセス制御サーバの機能ブロック図である。
【0042】
図17において、サービス提供サーバ15がWebシステム1から、ネットワーク2を介して提供されている例を示す。ここで、Webシステム1は、アクセス制御サーバ102から、ネットワーク2にあるサービス提供サーバ15に対して、リクエストを送信することができるようにネットワーク11が構成されているものとする。サービス提供サーバ15に対して、アクセス制御サーバ102がリクエストを転送した場合、本来システム外部に漏れてはいけない、認証情報やアクセス制御設定といった情報がネットワーク2の上に送信されることになる。ネットワーク2に存在する悪意のある第三者が情報を使われた場合、Webシステム1の信頼は大きく損なわれることになる。
【0043】
このため、アクセス制御サーバ102は、図18に例を示すように、外部への通信のための暗号鍵データストア633、暗号化通信処理627を揃えるものとする。リクエスト転送処理623からのリクエストは、この暗号化通信処理627により暗号化され、暗号化されたリクエスト615をサービス提供サーバ15に送信する。このサービス提供サーバ15からのレスポンス616のレスポンスも、暗号化通信処理627によって複合され、リクエスト転送処理623に返される。このとき、サービス提供サーバ15は、本来外部のURLであるが、URL変換定義631を適切に記述することによって、Webシステム1と同様にアクセス制御を行うことができるようになる。この暗号化通信処理は、一般的なSSL通信によって実現することもできる。
【0044】
このように、本発明の実施の形態5では、Webシステムの外部のネットワークにサービス提供サーバが存在する場合においても、一元的にアクセス制御サーバにおいて、アクセス制御を行うことが出来る。
【図面の簡単な説明】
【0045】
【図1】この発明の実施の形態1を示す情報提供装置の概略構成図である。
【図2】この発明の実施の形態1を示すアクセス制御サーバの機能ブロック図である。
【図3】この発明の実施の形態1を示すユーザ情報データの例を示す説明図である。
【図4】この発明の実施の形態1を示す各サーバが提供するサービスの例を示す説明図である。
【図5】この発明の実施の形態1を示すサービス提供サーバが必要とするアクセス権限の設定例を示す説明図である。
【図6】この発明の実施の形態1を示すサービス提供サーバが必要とするアクセス権限の設定例を示す説明図である。
【図7】この発明の実施の形態1を示すコンテンツの例を示す説明図である。
【図8】この発明の実施の形態1を示すコンテンツの例を示す説明図である。
【図9】この発明の実施の形態1を示すコンテンツを一意に特定する表現例を示す説明図負荷選択遮断装置のブロック図である。
【図10】この発明の実施の形態1を示すアクセス制御サーバの例を示す説明図である。
【図11】この発明の実施の形態2を示すアクセス制御サーバの機能ブロック図である。
【図12】この発明の実施の形態2を示す制御設定の説明図である。
【図13】この発明の実施の形態3を示すアクセス制御サーバの機能ブロック図である。
【図14】この発明の実施の形態3を示すURL変換定義の説明図である。
【図15】この発明の実施の形態4を示すアクセス制御サーバの機能ブロック図である。
【図16】この発明の実施の形態4を示す制御設定処理定義の説明図である。
【図17】この発明の実施の形態5を示す情報提供装置の概略構成図である。
【図18】この発明の実施の形態5を示すアクセス制御サーバの機能ブロック図である。
【符号の説明】
【0046】
1 Webシステム
2、11 ネットワーク
3 端末
12、13 サービス提供サーバ
102 アクセス制御サーバ
103 アクセス制御データ
141 共有コンテンツ
【技術分野】
【0001】
この発明は、端末とネットワークを介して接続し、ユーザからのアクセス制御を実現して複数のサービスを提供する装置に関する。
【背景技術】
【0002】
インターネットを介してWeb上でサービスを提供する情報提供装置(Webシステム)が多数構築されているが、その中には個人への情報提供や企業間の取引を行うものなど、保護を行う必要のある情報(コンテンツ)が存在する。このため、Webシステムにおいては、個人の認証によるコンテンツへのアクセス制御機能が導入され、コンテンツへのアクセス制御をサービス提供時に実現している。一方で、業務の効率化などを図るため、コンテンツを複数のサービスから利用するというニーズが存在している。
【0003】
従来のWebシステムのアクセス制御装置では、コンテンツを新たに作成すると、ポリシーサーバはこのコンテンツに係る作成者或いは管理者が設定したセキュリティの属性と、企業などの組織のセキュリティポリシーが記述されているセキュリティポリシーデータに基づいて、アクセス制御リストを作成する。作成されたアクセス制御リストは、サービスを提供する文書管理サーバに保存される。利用者がこのコンテンツにアクセスするときには、このコンテンツを提供する文書管理サーバにアクセスを行い、文書管理サーバに保存されたアクセス制御リストを基にアクセスの許可を得てコンテンツにアクセスする。(例えば、特許文献1参照)。
【0004】
【特許文献1】特開2006−48340号公報(実施例3、図20)
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来の情報提供装置では、1つのコンテンツが複数のサービスで提供される共有コンテンツの場合、サービスを提供するサーバごとにアクセス制御リストが必要となり、共有コンテンツの追加、削除やアクセス権限の変更があると、このコンテンツを提供する複数のサーバのアクセス制御リストを連動して変更しなければならないという問題点があった。
【0006】
この発明は、上述のような問題を解決するためになされたもので、複数のサービスで提供される共有コンテンツのアクセス権限を一元的に管理することにより、複数のサーバのアクセス制御リストを連動して変更する必要をなくすことを課題とする。
【課題を解決するための手段】
【0007】
この発明に係る情報提供装置においては、クライアント端末から共有コンテンツに接続する複数のサービス提供サーバへのアクセス制御を、この共有コンテンツへのアクセス可否の判断の基となるデータであるアクセス制御データを有するアクセス制御サーバにより行うものである。
【発明の効果】
【0008】
この発明は、サービス提供サーバへのアクセス可否をアクセス制御サーバで一元的に判断することにしたので、アクセス権限の変更をアクセス制御データのみの変更で行うことができる。これにより、複数のサーバのアクセス制御リストを連動して変更することをなくすことができる。
【発明を実施するための最良の形態】
【0009】
実施の形態1.
図1はこの発明を実施するための実施の形態1における情報提供装置の概略構成図、図2はこの発明を実施するための実施の形態1におけるアクセス制御サーバの機能ブロック図、図3はこの発明を実施するための実施の形態1におけるユーザ情報データの例を示す説明図、図4はこの発明を実施するための実施の形態1における各サーバが提供するサービスの例を示す説明図、図5はこの発明を実施するための実施の形態1におけるサービス提供サーバが必要とするアクセス権限の設定例を示す説明図、図6はこの発明を実施するための実施の形態1におけるサービス提供サーバが必要とするアクセス権限の設定例を示す説明図、図7はこの発明を実施するための実施の形態1におけるコンテンツの例を示す説明図、図8はこの発明を実施するための実施の形態1におけるコンテンツの例を示す説明図、図9はこの発明を実施するための実施の形態1におけるコンテンツを一意に特定する表現例を示す説明図、図10はこの発明を実施するための実施の形態1におけるアクセス制御サーバの例を示す説明図である。
【0010】
図1において、コンテンツを提供するWebシステム1とコンテンツを要求するクライアント端末3がネットワーク2を介して接続されている。図1ではクライアント端末3は1台しか記載していないが、通常は複数接続されている。このWebシステム1はユーザによる前述のクライアント端末3からのアクセスによりユーザを認証する認証サーバ100、ユーザの情報を格納しているユーザ情報データ101、サービスをまたがってアクセス制御を実現するアクセス制御サーバ102、このアクセス制御サーバ102が用いる情報を格納するアクセス制御データ103、前述のクライアント端末3からの要求に対し情報を提供する複数のサービス提供サーバ12、13、これら複数のサービス提供サーバのうちサービス提供サーバ12のみが用いるコンテンツ121、サービス提供サーバ13のみが用いるコンテンツ131、サービス提供サーバ12およびサービス提供サーバ13の両方が共有して用いるコンテンツ141から構成され、上記のうち認証サーバ100、ユーザ情報データ101、アクセス制御サーバ102、サービス提供サーバ12および13はWebシステム1内のネットワークであるLAN(Local Area Network)11を介して相互に接続している。このLAN11は前述のネットワーク2に接続している。
【0011】
認証サーバ100は、クライアント端末3からアクセスするユーザがログインしているかどうかを管理する。ユーザがログインするためクライアント端末3でユーザID、パスワードもしくはそれに代わる識別符号を入力してWebシステム1にアクセスすると、前述のユーザID、パスワードもしくはそれに代わる識別符号と、ユーザ情報データ101に格納された情報とを比較することにより、当該ユーザがログイン可能かどうかを判定する。ログインしているユーザのみがアクセス制御サーバ102を介してサービス提供サーバ12、13を利用することができる。ユーザ情報データ101は図3に示す例のように、ユーザIDをキーとしてパスワードと組織や職制などの情報が格納されている。この図3において、サービス提供サーバ12が会社組織に属するユーザのみが利用するサービスを提供し、サービス提供サーバ13が一般のユーザが利用するサービスを提供しているとすると、サービス提供サーバ12にアクセス可能なユーザはユーザIDがA、B、C、Dの各ユーザであり、サービス提供サーバ13にアクセス可能なユーザはユーザIDがE、F、G、H、Iの各ユーザである。
【0012】
図4は、サービス提供サーバ12および13が提供するサービスを示したものである。サービス提供サーバ12は前述のように会社組織に属するユーザのみが利用するサーバであり業務サービスを提供し、サービス提供サーバ13は一般のユーザが利用するサーバであり情報提供サービスを提供する。各サービスの内容は図4の該当欄に記載の通りである。
【0013】
サービス提供サーバ12では、図5に示すように役割と権限に対して権限を与えるユーザの方針が定められており、サービス提供サーバ13においても、図6に示すように役割と権限に対して権限を与えるユーザが定められている。
【0014】
また、サービス提供サーバ12が提供する業務サービスにおけるコンテンツ121には、図7に示すように個々のコンテンツと対応するコンテンツの状態を示すステータスとコンテンツ作成者が登録されており、サービス提供サーバ13が提供する情報提供サービスにおけるコンテンツ131には、図8に示すように個々のコンテンツと対応するコンテンツの状態を示すステータスとコンテンツの作成ユーザ、およびこのコンテンツの開示範囲が登録されている。ただし、両方のサービス提供サーバ12および13が共有するコンテンツ141として「広報Vol.12」が存在しており、このコンテンツは図7に示す業務サービスにおけるコンテンツと図8に示す情報提供サービスにおけるコンテンツの両方の図に示している。
【0015】
これらのコンテンツおよび操作は、アクセス制御サーバもしくはその他サーバの機能により、定められた表現に基づいて一意に特定できるものとする。例えば、「業務サービス」におけるコンテンツ「10/11打合せ報告書」に対する「修正」操作を行う場合、図9に示すように、サービス、コンテンツ、操作を例えば「http://Web……」で始まる形式で記載されるURL(Uniform Resource Locator)の中にフォルダ、ファイル、クエリパラメータを組合せて表現できるものとする。ただし、本発明を実施するに当たって、サービスを跨ってコンテンツを共有するためには、コンテンツとサービスもしくはコンテンツと操作は、独立した情報として指定できる必要がある。サービスと操作については、その許可する権限しだいでは、必ずしも独立して表現できる必要はない。
【0016】
この一意に特定されたコンテンツ及びその操作に対するアクセス制御を実現するために、アクセス制御データ103には、図7に示す業務サービスにおけるコンテンツ121、図8に示す情報提供サービスにおけるコンテンツ131および図7と図8の両方に示される共有コンテンツ141に対するアクセス制御データを図10に示す形式で格納する。すなわち、各コンテンツに対し、コンテンツを用いるサービスと、サービスがコンテンツに対して行う操作と、ユーザとを指定し、その指定に対してアクセス可否を許可情報として格納する。各サービスではコンテンツに対する権限を、図7に示すような「コンテンツ作成者」や図8に示すような「開示を許可する範囲」などコンテンツの属性に基づき行おうとするが、アクセス制御データ103には、ユーザもしくは組織、職制など、ユーザ情報データ101に含まれる情報に置き換えて表現し格納する。この図10で示すアクセス制御データの各レコードは順に解釈され、例えばユーザIを除いて一般に属する全員は業務サービスの全てのコンテンツにアクセスすることができないことを意味する。
【0017】
このように表現されたアクセス制御データ103を用いて、アクセス制御サーバ102は図2に示すブロック図に従った処理により、アクセス制御を実行する。図2において、リクエスト611はユーザがクライアント端末3で入力し認証サーバ100を経由したHTTPリクエストを示しており、このリクエスト611には図9に示したようなサービス、コンテンツおよびそのコンテンツに対する操作が含まれ、さらにこのリクエスト611の情報の一部であるHTTPヘッダもしくはCookieなどにこのリクエスト611を提示したユーザを判定するための情報を含んでいる。
【0018】
このリクエスト611を受けたアクセス制御サーバ102は、リクエスト応答処理621を経由したのち、アクセス判定処理622に情報が渡される。このアクセス判定処理622は、アクセス制御に関するデータの入出力を扱うアクセス制御データ管理処理624を介して、ユーザ情報取得処理625により、ユーザ情報データ101からリクエスト611を行ったユーザを特定する。サービス、コンテンツおよびそのコンテンツに対する操作に関する情報は、アクセス制御データ103とつき合わされ、アクセス許可と判定された場合にはリクエスト転送処理623により、リクエスト611に含まれるサービス情報を基に、サービス提供サーバ12もしくは13にリクエストを送信し、そのレスポンス613をクライアントに向けてレスポンス614として送信する。アクセス制御データ102とのつき合わせの結果、アクセス不可と判定された場合には、アクセスが不許可となった故をユーザに表示するためのレスポンス614がアクセス判定処理622で作成されリクエスト応答処理621によりクライアント端末3に送信される。
【0019】
アクセス制御サーバ102はこのように構成されているので、サービス提供サーバ12または13に対応した固有のコンテンツ121、131や、複数のサービス提供サーバ12および13に対応した共有コンテンツ141のアクセス制御を変更するためには、コンテンツへのアクセス制御に関するデータを一元的に管理しているアクセス制御データ103を変更するだけでよい。
【0020】
このように、コンテンツ、サービス、サービスに対する操作を一意に特定する表現を用い、アクセス制御データを一元的に管理するアクセス制御サーバを設けることで、共有コンテンツを含む1つのコンテンツにおいて、複数のユーザに対しそれぞれ複数のサービス提供サーバから情報提供の許可もしくは不許可とすることが可能となるとともに、コンテンツに対するアクセス制御の変更の操作に関しても、アクセス制御データのみの変更で可能となる。
【0021】
実施の形態2.
なお、実施の形態1ではコンテンツ121、131、141が新しく作成されたりアクセス制限に関する情報が変更されたりした場合に、実施の形態1で示した図10におけるアクセス制御データ103の内容が変更されることとなるが、この変更をサービス提供サーバ12、13からの制御設定により行ってもよい。
【0022】
この発明の実施の形態2について、図11に示すこの発明を実施するための実施の形態2におけるアクセス制御サーバの機能ブロック図、および図12に示すこの発明を実施するための実施の形態2における制御設定の説明図に従って説明する。
【0023】
図11において、アクセス制御サーバ102にサービス提供サーバ12あるいは13からのアクセス制御データを設定する入出力の手段である制御設定受信処理626を設け、Webシステム1が扱うアクセス制御データ103に格納するデータ入力インタフェースとする。この制御設定受信処理626に対して、各サービス提供サーバ12、13は、コンテンツの追加・削除に伴って、定められた様式に従って制御設定104を送信する。制御設定104を受信した制御設定入出力処理626は、アクセス制御データ管理処理624にこの制御設定104を渡し、アクセス制御データ103を変更した上で制御応答105を、この制御設定104を発信したサービス提供サーバ12、13に返送する。
【0024】
図12に、制御設定104の例を示す。制御設定104には、アクセス制御データに対するコマンドとして「追加」「削除」「更新」といった操作に加え、「一覧取得」といった操作指定により、現在設定されているデータの一覧を制御応答105として取得する操作も指定できる。それ以外のデータ部には、コンテンツ、サービス、操作、ユーザといった情報を含め、それらは、アクセス制御データ102に1レコードとして格納される。現在設定されている制御設定105についても、制御設定104と同様の構造で得られる。なお、このデータは、図12に示すようにXML(Extensible Markup Language)などの形式で扱っても構わない。
【0025】
制御設定104では、コンテンツ、サービス、操作、ユーザは、それぞれ複数要素を指定することも可能である。ただし、サービスについては、他のサービスへの影響があってはならないため、制御設定104を送信している当該サービスのみを指定する。システム管理者や、特別に権限を与えられた人物のみが、サービスを跨る設定を可能とし、通常のサービスが他のサービスの設定を変更しないようにするため、この制御設定104は、送信元サービスを識別する認証情報とともに送信される。同様に、現在設定されている制御設定を取得する制御応答105の場合にも、ユーザ自身の情報のみを取得可能とする。
【0026】
このようにすることで、サービス提供サーバに、多数のコンテンツが追加、登録されるような状況において、各サービス側の機能によって、動的にアクセス制御データを更新することが可能となる。
【0027】
また、この実施の形態では、アクセス制御サーバに許可、不許可を行わせるだけでなく、アクセス制御サーバにおけるログ取得の有無など、各種機能を実行させることも可能となる。これにより、重要な操作に対するログのみを蓄積するなど、監査にも利用可能な機能を実現することができる。
【0028】
実施の形態3.
この発明の実施の形態3について、図13に示すこの発明を実施するための実施の形態3におけるアクセス制御サーバの機能ブロック図、および図14に示すこの発明を実施するための実施の形態3におけるURL変換定義の説明図に従って説明する。
【0029】
この発明の実施の形態1を適用するためには、サービス、コンテンツ、操作が一意に特定できるように、アクセス制御サーバからサービス提供サーバへのリクエストであるURLを同じ様式とする必要がある。しかしながら、複数のサービスをそれぞれ別個に構築する場合、全てのサービス提供サーバへのリクエストを同じURL表現とすることは困難である。このため、実施の形態3ではWebシステムを利用する外部に対してはコンテンツを一意に特定できるようにし、Webシステムの内部では、各サービスがそれぞれ都合のよい表現を用いることができるように、アドレス変換を行う仕組みを追加している。
【0030】
この仕組みを実現するため、アクセス制御サーバ102のリクエスト転送処理623に、図13に示すURL変換定義631を用いたURLのアドレス変換を行う手段を設ける。
【0031】
このURL変換定義631の内容について、図14に示す例により説明する。このWebシステム1が外部に公開するURL表現1001について、サービス、コンテンツ、操作といった情報を変数としてみなす。サービス提供サーバ12では、URL表現1002、サービス提供サーバ13では、URL表現1003を用いている場合に、URL変換定義631には、書式変換定義1004に基づいてリクエスト中のURLを内部のサービス向けに変換する。URL表現1001で[A]欄に含まれるサービスを特定する情報を判定条件に、サービス提供サーバ12については、変換ID1、サービス提供サーバ13については変換ID2に基づいて書式を組み変える。
【0032】
ここで、外部で入力する情報が、必ずしも内部の情報として使えない場合もある。すなわち、ある操作に対して、Webシステムの外部では「修正」といった名称を用いるが、内部では「updateoperation」という名称を用いるような場合には、変数を内部の表現に変換する必要がある。このため、URL変換定義には、変数変換定義1005を設け、書式変換定義1004の変換IDにおける変数を置き換える方法を定義する。変換定義では、エンコードや文字列結合、置換といった関数、条件分岐を利用可能とする。
【0033】
このように、本発明の実施の形態3により、サービス提供サーバがそれぞれ異なるURL表現でコンテンツ、操作を特定しているような場合においても、コンテンツごとにアクセス制御を行うことが可能となる。
【0034】
実施の形態4.
この発明の実施の形態4について、図15に示すこの発明を実施するための実施の形態4におけるアクセス制御サーバの機能ブロック図、および図16に示すこの発明を実施するための実施の形態4における制御設定処理定義の説明図に従って説明する。
【0035】
なお実施の形態2では、制御設定104には予めアクセス制御データ管理処理624が備える処理のみを利用するため制御設定104の様式をアクセス制御データ管理処理624に一意に決められた方式に従って定められていたが、複数のサービスをそれぞれ別個に構築する場合、全てのサービス提供サーバからの制御設定を同じ方式に従って定めることは困難である。このため、実施の形態4では、制御設定104の方式をWebシステム1内では各サービスがそれぞれ都合の良い表現を用いることができるようにして、アクセス制御データ103へアクセスする際には、コンテンツ・サービス・操作・ユーザの組合せを本発明の実施の形態1で示した図10に従った方式に変換を行う仕組みを追加している。
【0036】
このようなサービスを実現するために、図15に示すように、制御設定104に記述された内容を解釈し、アクセス制御データ103へ一意に決められた方式でアクセスできるように変換する情報を保持する制御設定処理定義632を設け、この制御設定処理定義632に定義された内容により制御設定104に対して必要な処理を行う手段を設ける。
【0037】
図16に、制御設定処理定義632の例を示す。この例の1つ目のレコードでは、業務サービスから制御設定104によって「追加」コマンドが送信されてきた場合に、その中に含まれるユーザの値が「システム管理者」であった場合は、権限を許可するユーザを「総務課の課長」と解釈することを示す。これにより、サービス提供サーバ12が提供する業務サービスで「システム管理者」を定義していなくても、アクセス制御サーバ102において一元的に定義することが可能となる。
【0038】
同じく図16の2つ目のレコードでは、前述の「一覧」コマンドのようにサービスが応答を受信するようなコマンドを拡張した「ユーザコンテンツ一覧取得」コマンドにおいて、ユーザに「E」、コンテンツに「操作可能なコンテンツ」を指定されたときの処理を定義している。この定義に基づき、アクセス制御データ管理処理624では、ユーザ「E」が操作可能なコンテンツの一覧が制御応答105に含まれるように、アクセス制御データ103に対する一致検索を行う。
【0039】
このような処理内容の定義を制御設定処理定義として処理本体と別に定義することで、サービスごとに異なる処理を作り込むことなく、サービスが必要とする各種アクセス制御データ操作の拡張を可能となる。
【0040】
実施の形態5.
なお実施の形態3では、Webシステム1の内部のサービス提供サーバ12、13を指定しているが、多数の拠点を持つシステムにおいては、Webシステム1内部のサービス提供サーバ12、13だけでなく、Webシステム1の外部のサービス提供サーバにアクセスすることも可能である。
【0041】
図17はこの発明を実施するための実施の形態5における情報提供装置の概略構成図、図18はこの発明を実施するための実施の形態5におけるアクセス制御サーバの機能ブロック図である。
【0042】
図17において、サービス提供サーバ15がWebシステム1から、ネットワーク2を介して提供されている例を示す。ここで、Webシステム1は、アクセス制御サーバ102から、ネットワーク2にあるサービス提供サーバ15に対して、リクエストを送信することができるようにネットワーク11が構成されているものとする。サービス提供サーバ15に対して、アクセス制御サーバ102がリクエストを転送した場合、本来システム外部に漏れてはいけない、認証情報やアクセス制御設定といった情報がネットワーク2の上に送信されることになる。ネットワーク2に存在する悪意のある第三者が情報を使われた場合、Webシステム1の信頼は大きく損なわれることになる。
【0043】
このため、アクセス制御サーバ102は、図18に例を示すように、外部への通信のための暗号鍵データストア633、暗号化通信処理627を揃えるものとする。リクエスト転送処理623からのリクエストは、この暗号化通信処理627により暗号化され、暗号化されたリクエスト615をサービス提供サーバ15に送信する。このサービス提供サーバ15からのレスポンス616のレスポンスも、暗号化通信処理627によって複合され、リクエスト転送処理623に返される。このとき、サービス提供サーバ15は、本来外部のURLであるが、URL変換定義631を適切に記述することによって、Webシステム1と同様にアクセス制御を行うことができるようになる。この暗号化通信処理は、一般的なSSL通信によって実現することもできる。
【0044】
このように、本発明の実施の形態5では、Webシステムの外部のネットワークにサービス提供サーバが存在する場合においても、一元的にアクセス制御サーバにおいて、アクセス制御を行うことが出来る。
【図面の簡単な説明】
【0045】
【図1】この発明の実施の形態1を示す情報提供装置の概略構成図である。
【図2】この発明の実施の形態1を示すアクセス制御サーバの機能ブロック図である。
【図3】この発明の実施の形態1を示すユーザ情報データの例を示す説明図である。
【図4】この発明の実施の形態1を示す各サーバが提供するサービスの例を示す説明図である。
【図5】この発明の実施の形態1を示すサービス提供サーバが必要とするアクセス権限の設定例を示す説明図である。
【図6】この発明の実施の形態1を示すサービス提供サーバが必要とするアクセス権限の設定例を示す説明図である。
【図7】この発明の実施の形態1を示すコンテンツの例を示す説明図である。
【図8】この発明の実施の形態1を示すコンテンツの例を示す説明図である。
【図9】この発明の実施の形態1を示すコンテンツを一意に特定する表現例を示す説明図負荷選択遮断装置のブロック図である。
【図10】この発明の実施の形態1を示すアクセス制御サーバの例を示す説明図である。
【図11】この発明の実施の形態2を示すアクセス制御サーバの機能ブロック図である。
【図12】この発明の実施の形態2を示す制御設定の説明図である。
【図13】この発明の実施の形態3を示すアクセス制御サーバの機能ブロック図である。
【図14】この発明の実施の形態3を示すURL変換定義の説明図である。
【図15】この発明の実施の形態4を示すアクセス制御サーバの機能ブロック図である。
【図16】この発明の実施の形態4を示す制御設定処理定義の説明図である。
【図17】この発明の実施の形態5を示す情報提供装置の概略構成図である。
【図18】この発明の実施の形態5を示すアクセス制御サーバの機能ブロック図である。
【符号の説明】
【0046】
1 Webシステム
2、11 ネットワーク
3 端末
12、13 サービス提供サーバ
102 アクセス制御サーバ
103 アクセス制御データ
141 共有コンテンツ
【特許請求の範囲】
【請求項1】
ネットワークに接続される複数のサービス提供サーバと、
前記複数のサービス提供サーバのうち少なくとも2のサービス提供サーバと接続する共有コンテンツと、
前記ネットワークに接続され、ネットワークを介して端末から送信された前記共有コンテンツを利用したサービスを要求するリクエストと、前記共有コンテンツへのアクセス可否を判定するアクセス制御データとを基に、該当するサービス提供サーバへのアクセスの判定を行うアクセス制御サーバとを備えた情報提供装置。
【請求項2】
アクセス制御サーバが、サービス提供サーバからアクセス制御データを設定する入出力手段を備えることを特徴とする請求項1に記載の情報提供装置。
【請求項3】
アクセス制御サーバが、サービス提供サーバへのアクセスのときにURL変換を行う手段を備えることを特徴とする請求項1に記載の情報提供装置。
【請求項4】
入出力手段が、サービス提供サーバからアクセス制御データを設定するときに設定するデータを所定の形式に変換することを特徴とする請求項2に記載の情報提供装置。
【請求項5】
アクセス制御サーバが、当該情報提供装置の外部にありネットワークに接続するサービス提供サーバへのアクセスの判定を行う手段と、前記サービス提供サーバへのアクセスの通信を暗号化する手段とを備えることを特徴とする請求項1又は3に記載の情報提供装置。
【請求項1】
ネットワークに接続される複数のサービス提供サーバと、
前記複数のサービス提供サーバのうち少なくとも2のサービス提供サーバと接続する共有コンテンツと、
前記ネットワークに接続され、ネットワークを介して端末から送信された前記共有コンテンツを利用したサービスを要求するリクエストと、前記共有コンテンツへのアクセス可否を判定するアクセス制御データとを基に、該当するサービス提供サーバへのアクセスの判定を行うアクセス制御サーバとを備えた情報提供装置。
【請求項2】
アクセス制御サーバが、サービス提供サーバからアクセス制御データを設定する入出力手段を備えることを特徴とする請求項1に記載の情報提供装置。
【請求項3】
アクセス制御サーバが、サービス提供サーバへのアクセスのときにURL変換を行う手段を備えることを特徴とする請求項1に記載の情報提供装置。
【請求項4】
入出力手段が、サービス提供サーバからアクセス制御データを設定するときに設定するデータを所定の形式に変換することを特徴とする請求項2に記載の情報提供装置。
【請求項5】
アクセス制御サーバが、当該情報提供装置の外部にありネットワークに接続するサービス提供サーバへのアクセスの判定を行う手段と、前記サービス提供サーバへのアクセスの通信を暗号化する手段とを備えることを特徴とする請求項1又は3に記載の情報提供装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2009−54086(P2009−54086A)
【公開日】平成21年3月12日(2009.3.12)
【国際特許分類】
【出願番号】特願2007−222445(P2007−222445)
【出願日】平成19年8月29日(2007.8.29)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成21年3月12日(2009.3.12)
【国際特許分類】
【出願日】平成19年8月29日(2007.8.29)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]