ASPサービスの利用アクセス場所認証方法及びシステム
【課題】
従来のASPサービスはインターネットの環境でWebブラウザだけあればどこからでもアクセスができるし、システム接続に必要なユーザIDとパスワードを持っている内部従業員が外部からの不正使用により情報漏れの問題があった。
そこで企業内の定められた作業場所のみアクセス可能な利用アクセス場所認証方法及びシステムを提供する。
【解決手段】
ASPサービスを利用する企業側のシステム責任者は、信頼される従業員をシステム鍵解除担当者に任命し、システム鍵解除端末を設け、システム責任者によりシステム鍵解除端末設定手段を備える。
システム鍵解除担当者は定められたシステム鍵解除端末で勤務日の勤務時間のみシステム鍵を解除することによりシステム鍵解除端末と同じネットワークにつながっている利用者クライアント端末はASPサービスシステムにアクセス可能になる利用アクセス場所認証方法及びシステムを備える。
従来のASPサービスはインターネットの環境でWebブラウザだけあればどこからでもアクセスができるし、システム接続に必要なユーザIDとパスワードを持っている内部従業員が外部からの不正使用により情報漏れの問題があった。
そこで企業内の定められた作業場所のみアクセス可能な利用アクセス場所認証方法及びシステムを提供する。
【解決手段】
ASPサービスを利用する企業側のシステム責任者は、信頼される従業員をシステム鍵解除担当者に任命し、システム鍵解除端末を設け、システム責任者によりシステム鍵解除端末設定手段を備える。
システム鍵解除担当者は定められたシステム鍵解除端末で勤務日の勤務時間のみシステム鍵を解除することによりシステム鍵解除端末と同じネットワークにつながっている利用者クライアント端末はASPサービスシステムにアクセス可能になる利用アクセス場所認証方法及びシステムを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネットを介してASPサービスを利用する企業は
企業側のシステム責任者によりシステム鍵解除担当者の任命、システム鍵解除担当者により、企業の運用日毎に運用時間内でシステム鍵を解除する内部牽制により、企業内の定められた組織内のLAN以外ではASPサービスシステムのアクセスを制限する
ASPサービスの利用アクセス場所認証方法及びシステムに関する。
【背景技術】
【0002】
従来のASPサービスはインターネットの環境で利用端末にWebブラウザだけあればユーザIDとパスワードとを用いてユーザ認証を行うことによりどこからでもASPサービスシステムにアクセスでき、ASPサービス利用が可能であった。
【0003】
また、ASPサービスシステムにログインする際に、ユーザ認証と共に同時に利用端末のMACアドレスで端末認証を行うものがある(例えば、特許文献1)また、異なるネットワークに接続されたサーバ装置とクライアント端末の端末認証を行うものもある(例えば、特許文献2)
【0004】
しかし、ユーザ認証と端末認証でも不正内部ユーザがノートブック等の端末を持出しで不正アクセスする危険性がある。
【特許文献1】特開2002−222172公報(6項、図3)
【特許文献2】特開2007−11791 公報(段落0010−0011、図1)
【発明の開示】
【発明が解決しようとする課題】
【0005】
本開発は、業務ソフトウェアとしてASPサービスを利用する企業側からは会社の統制が着かないところから会社の業務システムにアクセスするのは望ましくなく、会社の情報漏れの恐れもあるため、ASPサービスシステムを利用する際にはユーザ認証と共に運用日の運用時間内で企業内の定められた作業場所のみアクセス可能なASPサービスシステムと各企業の組織内のシステム責任者と組織内のシステム鍵解除担当者の内部牽制によりASPサービスの利用アクセス場所認証方法及びシステムを提供することを目的とする。
【課題を解決するための手段】
【0006】
前記課題を解決するため、本開発のASPサービスの利用アクセス場所認証方法及びシステムは、ASPサービスシステムを利用する企業の組織内にシステム鍵解除端末と利用者クライアント端末とNAPT機能を持つネットワーク機器に構成されている組織内LAN(Local Area Network)、前記組織内LANの各端末は前記NAPT(Network Address Port Translation)機能を持つネットワーク機器とインターネットを介してASP事業者コンピュータシステムであるASPサービス処理装置にアクセスするように構成されるASPサービスの利用アクセス場所認証方法及びシステムであって、
前記システム鍵解除端末は、少なくともWebブラウザと、システム鍵解除認証情報入力装置、システム責任者により行われるシステム鍵解除端末設定手段で設定される端末識別キーを保存する記録部を備え、前記ASPサービス処理装置は、ファイアウォールと前記企業内にある各クライアント端末に応答して該当業務のWeb画面を送信し、サービスを行うWebサーバ、前記該当業務の業務処理を行うアプリケーションサーバ(APサーバ)及び前記該当業務に必要なデータベースを備え、前記システム鍵解除端末設定手段は、システム責任者は前記LAN内にある端末の中でシステム鍵解除端末を決定し、そのシステム鍵解除端末で前記Webサーバにシステム責任者としてログインし、認証が成功したら、システム責任者用のトップ画面が表示され、
システム責任者のトップ画面から端末識別キー取得選択画面を表示させ、端末識別キー取得選択画面からシステム責任者が所属している組織内のLANの前記システム鍵解除端末の端末識別キー取得選択手段を設け、前記システム責任者のトップ画面から前記Webサーバにシステム鍵解除端末設定Web画面にアクセスする。
前記Webサーバはアクセスに応答し、システム鍵解除端末設定Web画面と識別キー生成手段で生成した識別キーを送信する。
システム責任者はシステム鍵解除端末設定Web画面にシステム鍵解除担当者ID入力と認証入力装置を通してシステム鍵解除担当者の鍵解除認証情報を入力し、システム鍵解除端末識別キーを設定する。
少なくとも前記システム鍵解除端末識別キー、前記システム鍵解除担当者ID、前記システム鍵解除担当者の鍵解除認証情報を前記Webサーバに送信してシステム鍵解除端末設定処理を依頼し、同時に前記システム鍵解除端末の端末識別キーを前記システム鍵解除端末の記録部に保存する。
前記Webサーバはシステム鍵解除端末設定処理を受け、前記APサーバに渡して処理を行う。
前記データベースは各企業毎の企業が指定した利用者IDおよびパスワードと所属企業コード、所属LANコードを登録した利用者認証データベースと
前記システム鍵解除端末設定処理で前記システム鍵解除担当者IDと前記システム鍵解除担当者の所属企業コード、所属LANコードに紐付けられる前記システム鍵解除端末の端末識別キー、前記システム鍵解除担当者の鍵解除認証情報を登録したシステム鍵解除データベースを備えることを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【0007】
ASPサービスの利用アクセス場所認証方法及びシステムにおいて各企業の組織内LANから前記ASPサービスを利用するには、運用日毎の前記システム鍵解除が必要であり、前記システム鍵解除担当者が前記システム鍵解除端末で前記Webサーバへのログイン処理時にシステム鍵解除手段を備え、システム鍵解除手段は、前記システム鍵解除担当者が属している企業の組織内のLANに対して前記運用日のシステム運用時間内にシステム鍵がロックの状態であれば、システム鍵解除Web画面を表示し、前記システム鍵解除認証入力装置を通して前記システム鍵解除担当者の鍵解除認証情報を入力し、前記Webサーバに送信してシステム鍵解除処理を依頼する。前記Webサーバに送られる情報は少なくとも端末識別キー取得手段で取得した端末識別キーと前記システム鍵解除担当者ID、システム鍵解除担当者の鍵解除認証情報である。
前記Webサーバは前記システム鍵解除処理の依頼を受け、前記システム鍵解除端末からの送信情報にさらにNAPT機能を持つネットワーク機器を介して変換された前記システム鍵解除端末のグローバルIPアドレスをHTTPプロトコルのリクエスト情報から取得し、前記APサーバに渡してシステム鍵解除処理を行う。前記APサーバは、前記システム鍵解除処理を受け、前記請求項1前記システム鍵解除端末設定処理に保存されたシステム鍵解除データベースより前記システム鍵解除担当者IDとシステム鍵解除担当者が属している前記企業コードと前記組織内LANコードに紐づいているシステム鍵解除端末の端末識別キーとシステム鍵解除担当者の鍵解除認証情報を取得して前記Webサーバから受信したデータと照合する前記照合で一致すれば前記システム鍵解除担当者とシステム鍵解除端末は前記企業に対して限定された場所で操作を行ったことを認証し、前記企業コードと組織内LANコードに紐づく前記照合を行った当日の前記システム鍵解除端末のグローバルIPアドレスを登録したアクセス制限データベースを前記データベースに備えることを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【0008】
前記システム鍵解除の端末識別キーは、請求項1の前記システム鍵解除端末設定手段でWebサーバから受信した識別キーをシステム鍵解端末識別キーにするかシステム鍵解除端末のLANカードのMAC(Media Access Control)アドレスをシステム鍵解端末識別キーにするかを前記システム責任者によりWeb画面で選択できる端末識別キー取得選択手段を設け、前記端末識別キー取得選択手段において端末識別キーを前記Webサーバから受信した識別キーにした場合、請求項1の前記システム鍵解除端末設定手段で設定される端末識別キーを前記Webサーバから受信した識別キーに設定し、前記Webサーバから受信した識別キーをシステム鍵解除端末の記録部に保存し、端末識別キーをシステム鍵解除端末のLANカードのMAC(Media Access Control)アドレスにした場合、請求項1の前記システム鍵解除端末設定手段で設定される端末識別キーをMAC(Media Access Control)アドレスに設定することを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【0009】
請求項2の前記端末識別キー取得手段において請求項3の前記端末識別キー取得選択手段で選択した端末識別キーが前記Webサーバから受信した識別キーにした場合、請求項2の前記システム鍵解除手段では前記システム鍵解除端末の端末識別キーを前記システム鍵解除端末の記録部から
取得して処理し、選択した端末識別キーが端末識別キーをシステム鍵解除端末のLANカードのMAC(Media Access Control)アドレスにした場合、
請求項2の前記システム鍵解除手段では前記システム鍵解除端末の端末識別キーとしてMACアドレスを取得して処理することを特徴とするASPサービスの利用アクセス場所認証方法及びシステム
【0010】
ASPサービスの利用アクセス場所認証方法及びシステムにおいて前記利用者クライアント端末から前記ASPサービスを利用する場合にはアクセス場所認証手段と前記アクセス場所認証手段は、NAPT機能を持つネットワーク機器を介してインターネットに接続する前記企業の組織内LANに繋がっている各利用者クライアント端末は組織内のLANでは個別の内部IPアドレスを持っているがインターネットに対してはISP(インターネットサービスプロバイダ)から割当てられたグローバルIPアドレスを共有する特徴を利用し、利用者認証手段で認証が出来た利用者IDに対して前記アクセス制限データベースから前記利用者が属している企業コードと組織内LANコードとシステム鍵解除日付がアクセス日付に一致する前記システム鍵解除端末のグローバルIPアドレスを取得し、前記利用者クライアント端末が共有しているグローバルIPアドレスと照合して一致すれば、この利用者クライアント端末は前記システム鍵解除端末が繋がっている企業の組織内LANと同じネットワークであることで前記ASPサービスシステムにアクセス可能な端末であることを認証し、 前記利用者認証手段は、利用者が企業の利用者クライアント端末から前記Webサーバのログイン画面を表示させ、利用者IDとパスワードを入力して前記Webサーバに送信して、ログイン処理を依頼し、前記WebサーバはAPサーバにログイン処理を渡す。前記APサーバは前記利用者IDとパスワードを利用者認証データベースと照合して一致すれば、アクセス可能な利用者であることを認証する手段を少なくとも備えることを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【0011】
前記NAPT(Network Address Port Translation)機能を持つネットワーク機器とはNAPTは一つのグローバルなIPアドレスを複数のコンピュータで共有する技術で前記各企業の組織内LANでのみ通用するIPアドレス(ローカルアドレス)をインターネットへアクセスするためにグローバルアドレスへ変換する機器であって、必ずしもネットワーク機器に限られるものではなくIPマスカレードを実装したLinuxシステムもよい。
【0012】
前記システム責任者とはASPサービスシステムを利用する企業側の組織内LAN毎の業務システムの管理ロールを持つユーザで少なくとも前記企業側の組織内LANに対して業務システムの運用日設定、運用時間設定、システム鍵解除端末設定、前記端末識別キー取得選択手段を通って前記システム鍵解除手段で端末識別キーをシステム鍵解除端末の記録部から取得するかまたはネットワーク機器のハードウェア固有の物理アドレスであるMAC(Media Access Control)アドレスをシステム鍵解除処理毎に操作端末のLANカードから取得するかを設定する役割を果すユーザである。
【0013】
組織内LAN毎にシステム鍵解除端末は必ずしも1端末に限られるものではなく複数端末にしてもよい。
組織内LAN毎にシステム鍵解除担当者は必ずしも1名に限られるものではなく2名以上にしてもよい。
【0014】
各端末からWeb画面表示とは各企業側の組織内LANに繋がっている各端末は前記NAPT機能を持つネットワーク機器とインターネットを介して前記Webサーバにサービス依頼のアクセスをするし、Webサーバは前記サービス依頼のアクセスに応答し、前記サービス依頼した画面を送信する画面送信手段を備える。
【0015】
前記端末識別キー取得選択手段でWebサーバから受信した識別キーは、前記システム鍵解除端末設定手段でシステム鍵解除端末からWebサーバにサービス依頼のアクセスし、Webサーバは前記サービス依頼のアクセスに応答し、前記識別キー生成手段を備え、識別キー生成手段は、乱数で定まられた桁数の文字列を生成し、前記サービス依頼した画面と生成した識別キーを送信するシステム鍵解除端末設定画面送信手段を備えることを特徴とする。
【0016】
前記システム鍵解除認証入力装置は、デフォールトとしてキーボードでゼロ知識証明といわれる本人しか知りえない情報を入力する方法、ICカードリーダを通った非接触入力の方法、バイオメトリクス認証装置で指紋や眼球の虹彩、静脈、声紋などの身体的特徴によって本人確認を行なう認証入力装置のことで原理的に極めて「なりすまし」にくい認証方式を備えることを特徴とする。
【発明の効果】
【0017】
本開発のASPサービスの利用アクセス場所認証方法及びシステムは、以下に示す効果がある。
【0018】
日本版SOX法(金融商品取引法)等の規定や、個人情報保護法の実施により、企業に対して内部統制の強化が求められているし、日々の業務がIT無しでは遂行できなくなった現在、独自にITシステムの構築・運用・管理が現実的に難しい中小企業に対してアプリケーション・サービス・プロバイダ(ASP)システムはコスト低減、業界標準の業務ルール適用、システム接続の便利性等のメリットがあるが従来のASPサービスはインターネットの環境でWebブラウザだけあればどこからでもアクセスができるし、システム接続に必要なユーザIDとパスワードを知っていると会社の統制が着かないところから会社の業務システムにアクセスし、会社の機密情報に触れる可能性があるという保安性の不安であるデメリットが高かった。
しかし、本開発のASPサービスの利用アクセス場所認証方法及びシステムはユーザ認証(人)と運用日、運用時間認証(時間)、作業場所認証(空間)を通ってリモートにあるASP事業者コンピュータシステムをローカルの社内システムの感覚で運用ができ、オフライン環境で鍵担当者が事務室の鍵を解除し、事務室に入るようにオンライン環境でシステム解除担当者が指定された場所の端末からシステム鍵を解除することによりシステムの利用ができ、会社の統制の元からシステムを使用することにより、前記の保安性の不安は解消される。
【0019】
また、利用者はシステム使用にあたって(人、時間、空間)認証をしなければならないため、今まではタイムカードで出勤時間・退勤時間を印字した勤怠管理がシステムで可能になる。
【0020】
また、インターネット回線上で情報を暗号化して送受信するSSL(Secure Socket Layer)通信とデータベースの暗号・複号技術を利用して機密情報を保存することにより、より安全なASPサービスシステムが可能になる。
【発明を実施するための最良の形態】
【0021】
本発明の実施の形態を、以下図に基づき説明する。
【0022】
図1は本開発のASPサービスの利用アクセス場所認証方法及びシステムの構成図である。
【0023】
ここで、10はASP事業者コンピュータシステムであるASPサービス処理装置、100と200は各企業のネットワークで110、120,210は各企業の組織内のLANである。
113,123,213はNAPT(Network Address Port Translation)機能を持つネットワーク機器で111,121,211はシステム鍵解除端末、112、122,212は利用者クライアント端末である。
組織内のLAN110に所属する端末111,112はNAPT(Network Address Port Translation)機能を持つネットワーク機器113とインターネット回線99を介してASPサービス処理装置10に接続する。
組織内のLAN120に所属する端末121,122はNAPT(Network Address Port Translation)機能を持つネットワーク機器123とインターネット回線99を介してASPサービス処理装置10に接続する。
組織内のLAN210に所属する端末211,212はNAPT(Network Address Port Translation)機能を持つネットワーク機器213とインターネット回線99を介してASPサービス処理装置10に接続する。
【0024】
システム鍵解除端末111、121は端末識別キー取得選択がWebサーバから受信した識別キーのケースでWebブラウザ111a、121aとASPサービス処理装置10により送られた端末識別キーを保存する記録部111b、121bを備える。
【0025】
システム鍵解除端末211は端末識別キー取得選択がシステム鍵解除端末211のLANカードのMACアドレスのケースでWebブラウザ111aを備える。
【0026】
利用者クライアント端末112、122、212はWebブラウザ112a、122a、212aを備える。
【0027】
一方、ASPサービス処理装置10はファイアウォール11とクライアント端末111、112、121、122、211、212に応答して指定したWeb画面を送信し、Webサービスを行うWebサーバ12とWebサーバの業務処理依頼を受け、業務処理サービスとデータベースのインタフェースを行うAPサーバ13とその業務に必要なデータベース15を管理するデータベースサーバ14を備える。
【0028】
データベース15は企業コードと組織LANID毎に各企業が指定した利用者のユーザID及びパスワードを登録した利用者認証データベース15aと企業コードと組織LANID毎に端末識別キー取得選択を登録した端末識別キー取得選択データベース15bと企業コードと組織LANID毎にシステム鍵担当者及び担当者認証情報と端末識別キーを登録したシステム鍵解除データベース15cと企業コードと組織LANID毎にシステム鍵を解除した担当者と解除日及びグローバルIPアドレスを登録したアクセス制限データベース15dと企業コードと組織LANID毎に非運用日を登録したシステム運用制御データベース15eと
企業コードと組織LANID毎にシステム開始、終了時間を登録したシステム運用時間データベース15fを備える。
【0029】
一方、Webサーバ12は各企業の組織LAN内のクライアント端末111,112,121,122、211,212からのアクセス信号に応答し、ログイン画面送信手段12aを備える。
【0030】
また、ログイン画面にユーザが入力したデータを受信して、受信したユーザIDとパスワードデータとクライアントのグローバルIPアドレスをAPサーバに渡し、認証処理依頼手段12bを備える。
【0031】
また、システム鍵解除端末111、121、211からの端末識別キー取得選択画面アクセス信号に応答し、端末識別キー取得選択画面送信手段12cと端末識別キー取得選択画面から入力したデータを受信して、受信した端末識別キー取得選択データと企業コードと組織LANIDをAPサーバに渡し、端末識別キー取得選択登録依頼12dを備える。
【0032】
また、システム鍵解除端末111、121、211からのシステム鍵解除端末設定画面アクセス信号に応答し、乱数で端末識別キーを生成する端末識別キー生成手段12iと端末識別キー生成手段で生成した端末識別キーとAPサーバの13eに依頼して取得した端末識別キー取得選択データと画面を送信する
システム鍵解除端末設定画面の送信手段12eとシステム鍵解除端末設定画面から入力したデータを受信して、受信したシステム鍵解除担当者IDと担当者の認証データと端末識別キーおよび企業コードと組織LANIDをAPサーバに渡し、システム鍵解除端末設定処理依頼12fを備える。
【0033】
また、システム鍵解除端末111、121、211からのシステム鍵解除画面アクセス信号に応答し、システム鍵解除画面送信手段12gとシステム鍵解除画面から入力したデータを受信して、受信したシステム鍵解除担当者IDと担当者の認証データと端末識別キー及び企業コードと組織LANIDとシステム鍵解除端末のグローバルIPアドレスをAPサーバに渡し、システム鍵解除処理依頼12hを備える。
【0034】
一方、APサーバ12はWebサーバから認証処理依頼手段12bによりユーザIDとパスワードデータとクライアントのグローバルIPアドレスを受信して、またシステム日付と時間を取得し、利用者認証データベース15aと照合し、ログインユーザが属している企業コードと組織LANIDに対してシステム運用制限データベース15eとシステム運用時間データベース15fとシステム日付と時間を照合し、接続当日のシステム鍵解除状態と接続元の作業空間を確認のためアクセス制限データベースを照合する認証処理手段13bを備える。
【0035】
また、Webサーバから端末識別キー取得選択登録依頼12dにより受信した端末識別キー取得選択データと企業コード及び組織LANIDを端末識別キー取得選択データベース15bに登録する端末識別キー取得選択登録手段13dを備える。
【0036】
また、Webサーバからシステム鍵解除端末設定画面の送信手段12eにより端末識別キー取得選択データベース15bから端末識別キー取得選択データを取得してWebサーバに送信する端末識別キー取得選択データ取得手段13eを備える。
【0037】
また、Webサーバからシステムシステム鍵解除端末設定処理依頼12fにより受信したシステム鍵解除担当者IDと担当者の認証データと端末識別キーおよび企業コードと組織LANIDをシステム鍵解除データベース15cに登録するシステム鍵解除端末設定処理手段13fを備える。
【0038】
また、Webサーバからシステム鍵解除処理依頼12hにより受信したシステム鍵解除担当者IDと担当者の認証データと端末識別キー及び企業コードと組織LANIDとシステム鍵解除端末のグローバルIPアドレスをシステム鍵解除データベース15cと照合し、一致すればアクセス制限データベース15dに企業コードと組織LANIDに紐づくレコードに担当者IDとシステム鍵解除日にシステム日付をとグローバルIPアドレスにシステム鍵解除端末のグローバルIPアドレスを更新するシステム鍵解除処理手段13hを備える。
【0039】
図2はシステム鍵解除端末の構成図である。
【0040】
システム鍵解除担当者の認証情報をキーボードで入力するケースT10
システム鍵解除担当者の認証情報をICカードで入力するケースT20
システム鍵解除担当者の認証情報をバイオメトリクス認証装置で入力するケースT30である。
【0041】
システム鍵解除端末T10、T20、T30は
WebブラウザT10a、T20a、T30aと端末識別キーを登録した登録部T10b、T20b、T30bとキーボードT10c、T20c、T30cとマウスT10d、T20d、T30dをデフォールトで備えるし、システム鍵解除担当者の認証情報をICカードで入力するケースT20はICカードリーダT20eを備えるし、
システム鍵解除担当者の認証情報をバイオメトリクス認証装置で入力するケースT30はバイオメトリクス認証装置T30eを備える。
【0042】
図3はAPサーバの認証処理手段13bで行う流れのフロー‐チャート図である。
【0043】
APサーバの認証処理手段13bでWebサーバからの受信データはログインユーザIDとパスワード及びクライアントのグローバルIPアドレスである。
利用者認証データベース(15a)図4からログインユーザIDとパスワードが一致するレコード取得処理(S10)
【0044】
(S10)で一致するデータが取得できた場合は、ユーザ認証は成功し、取得したデータは企業コード、組織LANIDとロールIDである。データ取得が失敗した場合はユーザ認証失敗でWebサーバにエラー画面表示信号を送って、クライアント端末にエラー画面を表示させる(S11)
【0045】
(S10)で取得したロールIDがシステム責任者ロールであれば、Webサーバにシステム責任者トップ画面表示信号を送って、クライアント端末にシステム責任者トップ画面を表示させる。(S12)
【0046】
サーバのシステム日付を取得し、(S10)で取得した企業コード、組織LANIDをシステム運用制御データベース(15e)図8と照合し、照合が一致すれば、非運用日なのでWebサーバにエラー画面表示信号を送って、クライアント端末にエラー画面を表示させる(S13)
【0047】
サーバのシステム時間を取得し、その時間が(S10)で取得した企業コード、組織LANIDに紐づく開始と終了時間の間でシステム運用時間データベース(15f)図9と照合し、照合が一致すれば運用時間内なので成功し、照合が一致しない場合は運用時間外でWebサーバにエラー画面表示信号を送って、クライアント端末にエラー画面を表示させる(S14)
【0048】
サーバのシステム日付を取得し、(S10)で取得した企業コード、組織LANIDとサーバのシステム日付をアクセス制御データベース(15d)図7と照合し、照合が一致すれば、システム鍵は解除状態し、一致しない場合は、システム鍵はロック状態である。照合が一致する場合は、一致するレコードからグローバルIPアドレスを取得する(S15)
【0049】
(S15)でシステム鍵が解除状態であれば、照合が一致するレコードから取得したグローバルIPアドレスとAPサーバの認証処理手段13bでWebサーバからの受信データであるクライアント端末のローバルIPアドレスと照合し、照合が一致すれば、このクライアント端末はログインユーザが属している企業の組織LANID中のシステム鍵解除端末と同じネットワークに繋がっていることの空間認証が成功で、Webサーバに利用者トップ画面表示信号を送って、クライアント端末に利用者トップ画面を表示させる。
照合が一致しない場合は、この端末は企業が定めた作業場所以外のところからアクセスしょうとするのでWebサーバにエラー画面表示信号を送って、クライアント端末にエラー画面を表示させる(S16)
【0050】
(S15)でシステム鍵がロック状態であれば、(S10)で取得したロールIDがシステム鍵解除担当者の場合、Webサーバにシステム鍵解除画面表示信号を送って、クライアント端末にシステム鍵解除画面を表示させ、(S10)で取得したロールIDがシステム鍵解除担当者ではない場合、システムはロック状態なのでアクセス出来ないし、Webサーバにエラー画面表示信号を送って、クライアント端末にエラー画面を表示させる(S17)
【0051】
図4から図9のデータベースの項目は少なくとも必要な項目で必要に応じて項目追加は可能であり、
図4から図9のデータベースの項目のデータは実のデータではなく例証としてのデータである。
【図面の簡単な説明】
【0052】
【図1】本開発のASPサービスの利用アクセス場所認証方法及びシステムの構成図である。
【図2】システム鍵解除端末の構成図である。
【図3】認証処理手段のフロー‐チャート図である。
【図4】利用者認証データベース(15a)である。
【図5】端末識別キー取得選択データベース(15b)である。
【図6】システム鍵解除データベース(15c)である。
【図7】アクセス制御データベース(15d)である。
【図8】システム運用制御データベース(15e)である。
【図9】システム運用時間データベース(15f)である。
【符号の説明】
【0053】
100、200 各企業のネットワーク
110、120,210 各企業の組織内のLAN
111,121,211 システム鍵解除端末
112、122,212 利用者クライアント端末
113,123,213 NAPT(Network Address Port Translation)機能を持つネットワーク機器
111a、112a、121a、122a、211a、212a Webブラウザ
111b、121b 端末識別キー登録部
111c、121c、211c システム鍵解除担当者認証情報入力装置
10 ASPサービス処理装置
11 ファイアウォール
12 Webサーバ
12a ログイン画面送信手段
12b 認証処理依頼手段
12c 端末識別キー取得選択画面送信手段
12d 端末識別キー取得選択登録依頼
12e システム鍵解除端末設定画面の送信手段
12f システム鍵解除端末設定処理依頼
12g システム鍵解除画面送信手段
12h システム鍵解除処理依頼
12i 端末識別キー生成手段
13 APサーバ
13b 認証処理手段
13d 端末識別キー取得選択登録手段
13e 端末識別キー取得選択データ取得手段
13f 鍵解除端末設定処理手段
13h システム鍵解除処理手段
14 データベースサーバ
15 データベース
15a 利用者認証データベース
15b 端末識別キー取得選択データベース
15c システム鍵解除データベース
15d アクセス制御データベース
15e システム運用制御データベース
15f システム運用時間データベース
99 インターネット回線
【技術分野】
【0001】
本発明は、インターネットを介してASPサービスを利用する企業は
企業側のシステム責任者によりシステム鍵解除担当者の任命、システム鍵解除担当者により、企業の運用日毎に運用時間内でシステム鍵を解除する内部牽制により、企業内の定められた組織内のLAN以外ではASPサービスシステムのアクセスを制限する
ASPサービスの利用アクセス場所認証方法及びシステムに関する。
【背景技術】
【0002】
従来のASPサービスはインターネットの環境で利用端末にWebブラウザだけあればユーザIDとパスワードとを用いてユーザ認証を行うことによりどこからでもASPサービスシステムにアクセスでき、ASPサービス利用が可能であった。
【0003】
また、ASPサービスシステムにログインする際に、ユーザ認証と共に同時に利用端末のMACアドレスで端末認証を行うものがある(例えば、特許文献1)また、異なるネットワークに接続されたサーバ装置とクライアント端末の端末認証を行うものもある(例えば、特許文献2)
【0004】
しかし、ユーザ認証と端末認証でも不正内部ユーザがノートブック等の端末を持出しで不正アクセスする危険性がある。
【特許文献1】特開2002−222172公報(6項、図3)
【特許文献2】特開2007−11791 公報(段落0010−0011、図1)
【発明の開示】
【発明が解決しようとする課題】
【0005】
本開発は、業務ソフトウェアとしてASPサービスを利用する企業側からは会社の統制が着かないところから会社の業務システムにアクセスするのは望ましくなく、会社の情報漏れの恐れもあるため、ASPサービスシステムを利用する際にはユーザ認証と共に運用日の運用時間内で企業内の定められた作業場所のみアクセス可能なASPサービスシステムと各企業の組織内のシステム責任者と組織内のシステム鍵解除担当者の内部牽制によりASPサービスの利用アクセス場所認証方法及びシステムを提供することを目的とする。
【課題を解決するための手段】
【0006】
前記課題を解決するため、本開発のASPサービスの利用アクセス場所認証方法及びシステムは、ASPサービスシステムを利用する企業の組織内にシステム鍵解除端末と利用者クライアント端末とNAPT機能を持つネットワーク機器に構成されている組織内LAN(Local Area Network)、前記組織内LANの各端末は前記NAPT(Network Address Port Translation)機能を持つネットワーク機器とインターネットを介してASP事業者コンピュータシステムであるASPサービス処理装置にアクセスするように構成されるASPサービスの利用アクセス場所認証方法及びシステムであって、
前記システム鍵解除端末は、少なくともWebブラウザと、システム鍵解除認証情報入力装置、システム責任者により行われるシステム鍵解除端末設定手段で設定される端末識別キーを保存する記録部を備え、前記ASPサービス処理装置は、ファイアウォールと前記企業内にある各クライアント端末に応答して該当業務のWeb画面を送信し、サービスを行うWebサーバ、前記該当業務の業務処理を行うアプリケーションサーバ(APサーバ)及び前記該当業務に必要なデータベースを備え、前記システム鍵解除端末設定手段は、システム責任者は前記LAN内にある端末の中でシステム鍵解除端末を決定し、そのシステム鍵解除端末で前記Webサーバにシステム責任者としてログインし、認証が成功したら、システム責任者用のトップ画面が表示され、
システム責任者のトップ画面から端末識別キー取得選択画面を表示させ、端末識別キー取得選択画面からシステム責任者が所属している組織内のLANの前記システム鍵解除端末の端末識別キー取得選択手段を設け、前記システム責任者のトップ画面から前記Webサーバにシステム鍵解除端末設定Web画面にアクセスする。
前記Webサーバはアクセスに応答し、システム鍵解除端末設定Web画面と識別キー生成手段で生成した識別キーを送信する。
システム責任者はシステム鍵解除端末設定Web画面にシステム鍵解除担当者ID入力と認証入力装置を通してシステム鍵解除担当者の鍵解除認証情報を入力し、システム鍵解除端末識別キーを設定する。
少なくとも前記システム鍵解除端末識別キー、前記システム鍵解除担当者ID、前記システム鍵解除担当者の鍵解除認証情報を前記Webサーバに送信してシステム鍵解除端末設定処理を依頼し、同時に前記システム鍵解除端末の端末識別キーを前記システム鍵解除端末の記録部に保存する。
前記Webサーバはシステム鍵解除端末設定処理を受け、前記APサーバに渡して処理を行う。
前記データベースは各企業毎の企業が指定した利用者IDおよびパスワードと所属企業コード、所属LANコードを登録した利用者認証データベースと
前記システム鍵解除端末設定処理で前記システム鍵解除担当者IDと前記システム鍵解除担当者の所属企業コード、所属LANコードに紐付けられる前記システム鍵解除端末の端末識別キー、前記システム鍵解除担当者の鍵解除認証情報を登録したシステム鍵解除データベースを備えることを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【0007】
ASPサービスの利用アクセス場所認証方法及びシステムにおいて各企業の組織内LANから前記ASPサービスを利用するには、運用日毎の前記システム鍵解除が必要であり、前記システム鍵解除担当者が前記システム鍵解除端末で前記Webサーバへのログイン処理時にシステム鍵解除手段を備え、システム鍵解除手段は、前記システム鍵解除担当者が属している企業の組織内のLANに対して前記運用日のシステム運用時間内にシステム鍵がロックの状態であれば、システム鍵解除Web画面を表示し、前記システム鍵解除認証入力装置を通して前記システム鍵解除担当者の鍵解除認証情報を入力し、前記Webサーバに送信してシステム鍵解除処理を依頼する。前記Webサーバに送られる情報は少なくとも端末識別キー取得手段で取得した端末識別キーと前記システム鍵解除担当者ID、システム鍵解除担当者の鍵解除認証情報である。
前記Webサーバは前記システム鍵解除処理の依頼を受け、前記システム鍵解除端末からの送信情報にさらにNAPT機能を持つネットワーク機器を介して変換された前記システム鍵解除端末のグローバルIPアドレスをHTTPプロトコルのリクエスト情報から取得し、前記APサーバに渡してシステム鍵解除処理を行う。前記APサーバは、前記システム鍵解除処理を受け、前記請求項1前記システム鍵解除端末設定処理に保存されたシステム鍵解除データベースより前記システム鍵解除担当者IDとシステム鍵解除担当者が属している前記企業コードと前記組織内LANコードに紐づいているシステム鍵解除端末の端末識別キーとシステム鍵解除担当者の鍵解除認証情報を取得して前記Webサーバから受信したデータと照合する前記照合で一致すれば前記システム鍵解除担当者とシステム鍵解除端末は前記企業に対して限定された場所で操作を行ったことを認証し、前記企業コードと組織内LANコードに紐づく前記照合を行った当日の前記システム鍵解除端末のグローバルIPアドレスを登録したアクセス制限データベースを前記データベースに備えることを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【0008】
前記システム鍵解除の端末識別キーは、請求項1の前記システム鍵解除端末設定手段でWebサーバから受信した識別キーをシステム鍵解端末識別キーにするかシステム鍵解除端末のLANカードのMAC(Media Access Control)アドレスをシステム鍵解端末識別キーにするかを前記システム責任者によりWeb画面で選択できる端末識別キー取得選択手段を設け、前記端末識別キー取得選択手段において端末識別キーを前記Webサーバから受信した識別キーにした場合、請求項1の前記システム鍵解除端末設定手段で設定される端末識別キーを前記Webサーバから受信した識別キーに設定し、前記Webサーバから受信した識別キーをシステム鍵解除端末の記録部に保存し、端末識別キーをシステム鍵解除端末のLANカードのMAC(Media Access Control)アドレスにした場合、請求項1の前記システム鍵解除端末設定手段で設定される端末識別キーをMAC(Media Access Control)アドレスに設定することを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【0009】
請求項2の前記端末識別キー取得手段において請求項3の前記端末識別キー取得選択手段で選択した端末識別キーが前記Webサーバから受信した識別キーにした場合、請求項2の前記システム鍵解除手段では前記システム鍵解除端末の端末識別キーを前記システム鍵解除端末の記録部から
取得して処理し、選択した端末識別キーが端末識別キーをシステム鍵解除端末のLANカードのMAC(Media Access Control)アドレスにした場合、
請求項2の前記システム鍵解除手段では前記システム鍵解除端末の端末識別キーとしてMACアドレスを取得して処理することを特徴とするASPサービスの利用アクセス場所認証方法及びシステム
【0010】
ASPサービスの利用アクセス場所認証方法及びシステムにおいて前記利用者クライアント端末から前記ASPサービスを利用する場合にはアクセス場所認証手段と前記アクセス場所認証手段は、NAPT機能を持つネットワーク機器を介してインターネットに接続する前記企業の組織内LANに繋がっている各利用者クライアント端末は組織内のLANでは個別の内部IPアドレスを持っているがインターネットに対してはISP(インターネットサービスプロバイダ)から割当てられたグローバルIPアドレスを共有する特徴を利用し、利用者認証手段で認証が出来た利用者IDに対して前記アクセス制限データベースから前記利用者が属している企業コードと組織内LANコードとシステム鍵解除日付がアクセス日付に一致する前記システム鍵解除端末のグローバルIPアドレスを取得し、前記利用者クライアント端末が共有しているグローバルIPアドレスと照合して一致すれば、この利用者クライアント端末は前記システム鍵解除端末が繋がっている企業の組織内LANと同じネットワークであることで前記ASPサービスシステムにアクセス可能な端末であることを認証し、 前記利用者認証手段は、利用者が企業の利用者クライアント端末から前記Webサーバのログイン画面を表示させ、利用者IDとパスワードを入力して前記Webサーバに送信して、ログイン処理を依頼し、前記WebサーバはAPサーバにログイン処理を渡す。前記APサーバは前記利用者IDとパスワードを利用者認証データベースと照合して一致すれば、アクセス可能な利用者であることを認証する手段を少なくとも備えることを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【0011】
前記NAPT(Network Address Port Translation)機能を持つネットワーク機器とはNAPTは一つのグローバルなIPアドレスを複数のコンピュータで共有する技術で前記各企業の組織内LANでのみ通用するIPアドレス(ローカルアドレス)をインターネットへアクセスするためにグローバルアドレスへ変換する機器であって、必ずしもネットワーク機器に限られるものではなくIPマスカレードを実装したLinuxシステムもよい。
【0012】
前記システム責任者とはASPサービスシステムを利用する企業側の組織内LAN毎の業務システムの管理ロールを持つユーザで少なくとも前記企業側の組織内LANに対して業務システムの運用日設定、運用時間設定、システム鍵解除端末設定、前記端末識別キー取得選択手段を通って前記システム鍵解除手段で端末識別キーをシステム鍵解除端末の記録部から取得するかまたはネットワーク機器のハードウェア固有の物理アドレスであるMAC(Media Access Control)アドレスをシステム鍵解除処理毎に操作端末のLANカードから取得するかを設定する役割を果すユーザである。
【0013】
組織内LAN毎にシステム鍵解除端末は必ずしも1端末に限られるものではなく複数端末にしてもよい。
組織内LAN毎にシステム鍵解除担当者は必ずしも1名に限られるものではなく2名以上にしてもよい。
【0014】
各端末からWeb画面表示とは各企業側の組織内LANに繋がっている各端末は前記NAPT機能を持つネットワーク機器とインターネットを介して前記Webサーバにサービス依頼のアクセスをするし、Webサーバは前記サービス依頼のアクセスに応答し、前記サービス依頼した画面を送信する画面送信手段を備える。
【0015】
前記端末識別キー取得選択手段でWebサーバから受信した識別キーは、前記システム鍵解除端末設定手段でシステム鍵解除端末からWebサーバにサービス依頼のアクセスし、Webサーバは前記サービス依頼のアクセスに応答し、前記識別キー生成手段を備え、識別キー生成手段は、乱数で定まられた桁数の文字列を生成し、前記サービス依頼した画面と生成した識別キーを送信するシステム鍵解除端末設定画面送信手段を備えることを特徴とする。
【0016】
前記システム鍵解除認証入力装置は、デフォールトとしてキーボードでゼロ知識証明といわれる本人しか知りえない情報を入力する方法、ICカードリーダを通った非接触入力の方法、バイオメトリクス認証装置で指紋や眼球の虹彩、静脈、声紋などの身体的特徴によって本人確認を行なう認証入力装置のことで原理的に極めて「なりすまし」にくい認証方式を備えることを特徴とする。
【発明の効果】
【0017】
本開発のASPサービスの利用アクセス場所認証方法及びシステムは、以下に示す効果がある。
【0018】
日本版SOX法(金融商品取引法)等の規定や、個人情報保護法の実施により、企業に対して内部統制の強化が求められているし、日々の業務がIT無しでは遂行できなくなった現在、独自にITシステムの構築・運用・管理が現実的に難しい中小企業に対してアプリケーション・サービス・プロバイダ(ASP)システムはコスト低減、業界標準の業務ルール適用、システム接続の便利性等のメリットがあるが従来のASPサービスはインターネットの環境でWebブラウザだけあればどこからでもアクセスができるし、システム接続に必要なユーザIDとパスワードを知っていると会社の統制が着かないところから会社の業務システムにアクセスし、会社の機密情報に触れる可能性があるという保安性の不安であるデメリットが高かった。
しかし、本開発のASPサービスの利用アクセス場所認証方法及びシステムはユーザ認証(人)と運用日、運用時間認証(時間)、作業場所認証(空間)を通ってリモートにあるASP事業者コンピュータシステムをローカルの社内システムの感覚で運用ができ、オフライン環境で鍵担当者が事務室の鍵を解除し、事務室に入るようにオンライン環境でシステム解除担当者が指定された場所の端末からシステム鍵を解除することによりシステムの利用ができ、会社の統制の元からシステムを使用することにより、前記の保安性の不安は解消される。
【0019】
また、利用者はシステム使用にあたって(人、時間、空間)認証をしなければならないため、今まではタイムカードで出勤時間・退勤時間を印字した勤怠管理がシステムで可能になる。
【0020】
また、インターネット回線上で情報を暗号化して送受信するSSL(Secure Socket Layer)通信とデータベースの暗号・複号技術を利用して機密情報を保存することにより、より安全なASPサービスシステムが可能になる。
【発明を実施するための最良の形態】
【0021】
本発明の実施の形態を、以下図に基づき説明する。
【0022】
図1は本開発のASPサービスの利用アクセス場所認証方法及びシステムの構成図である。
【0023】
ここで、10はASP事業者コンピュータシステムであるASPサービス処理装置、100と200は各企業のネットワークで110、120,210は各企業の組織内のLANである。
113,123,213はNAPT(Network Address Port Translation)機能を持つネットワーク機器で111,121,211はシステム鍵解除端末、112、122,212は利用者クライアント端末である。
組織内のLAN110に所属する端末111,112はNAPT(Network Address Port Translation)機能を持つネットワーク機器113とインターネット回線99を介してASPサービス処理装置10に接続する。
組織内のLAN120に所属する端末121,122はNAPT(Network Address Port Translation)機能を持つネットワーク機器123とインターネット回線99を介してASPサービス処理装置10に接続する。
組織内のLAN210に所属する端末211,212はNAPT(Network Address Port Translation)機能を持つネットワーク機器213とインターネット回線99を介してASPサービス処理装置10に接続する。
【0024】
システム鍵解除端末111、121は端末識別キー取得選択がWebサーバから受信した識別キーのケースでWebブラウザ111a、121aとASPサービス処理装置10により送られた端末識別キーを保存する記録部111b、121bを備える。
【0025】
システム鍵解除端末211は端末識別キー取得選択がシステム鍵解除端末211のLANカードのMACアドレスのケースでWebブラウザ111aを備える。
【0026】
利用者クライアント端末112、122、212はWebブラウザ112a、122a、212aを備える。
【0027】
一方、ASPサービス処理装置10はファイアウォール11とクライアント端末111、112、121、122、211、212に応答して指定したWeb画面を送信し、Webサービスを行うWebサーバ12とWebサーバの業務処理依頼を受け、業務処理サービスとデータベースのインタフェースを行うAPサーバ13とその業務に必要なデータベース15を管理するデータベースサーバ14を備える。
【0028】
データベース15は企業コードと組織LANID毎に各企業が指定した利用者のユーザID及びパスワードを登録した利用者認証データベース15aと企業コードと組織LANID毎に端末識別キー取得選択を登録した端末識別キー取得選択データベース15bと企業コードと組織LANID毎にシステム鍵担当者及び担当者認証情報と端末識別キーを登録したシステム鍵解除データベース15cと企業コードと組織LANID毎にシステム鍵を解除した担当者と解除日及びグローバルIPアドレスを登録したアクセス制限データベース15dと企業コードと組織LANID毎に非運用日を登録したシステム運用制御データベース15eと
企業コードと組織LANID毎にシステム開始、終了時間を登録したシステム運用時間データベース15fを備える。
【0029】
一方、Webサーバ12は各企業の組織LAN内のクライアント端末111,112,121,122、211,212からのアクセス信号に応答し、ログイン画面送信手段12aを備える。
【0030】
また、ログイン画面にユーザが入力したデータを受信して、受信したユーザIDとパスワードデータとクライアントのグローバルIPアドレスをAPサーバに渡し、認証処理依頼手段12bを備える。
【0031】
また、システム鍵解除端末111、121、211からの端末識別キー取得選択画面アクセス信号に応答し、端末識別キー取得選択画面送信手段12cと端末識別キー取得選択画面から入力したデータを受信して、受信した端末識別キー取得選択データと企業コードと組織LANIDをAPサーバに渡し、端末識別キー取得選択登録依頼12dを備える。
【0032】
また、システム鍵解除端末111、121、211からのシステム鍵解除端末設定画面アクセス信号に応答し、乱数で端末識別キーを生成する端末識別キー生成手段12iと端末識別キー生成手段で生成した端末識別キーとAPサーバの13eに依頼して取得した端末識別キー取得選択データと画面を送信する
システム鍵解除端末設定画面の送信手段12eとシステム鍵解除端末設定画面から入力したデータを受信して、受信したシステム鍵解除担当者IDと担当者の認証データと端末識別キーおよび企業コードと組織LANIDをAPサーバに渡し、システム鍵解除端末設定処理依頼12fを備える。
【0033】
また、システム鍵解除端末111、121、211からのシステム鍵解除画面アクセス信号に応答し、システム鍵解除画面送信手段12gとシステム鍵解除画面から入力したデータを受信して、受信したシステム鍵解除担当者IDと担当者の認証データと端末識別キー及び企業コードと組織LANIDとシステム鍵解除端末のグローバルIPアドレスをAPサーバに渡し、システム鍵解除処理依頼12hを備える。
【0034】
一方、APサーバ12はWebサーバから認証処理依頼手段12bによりユーザIDとパスワードデータとクライアントのグローバルIPアドレスを受信して、またシステム日付と時間を取得し、利用者認証データベース15aと照合し、ログインユーザが属している企業コードと組織LANIDに対してシステム運用制限データベース15eとシステム運用時間データベース15fとシステム日付と時間を照合し、接続当日のシステム鍵解除状態と接続元の作業空間を確認のためアクセス制限データベースを照合する認証処理手段13bを備える。
【0035】
また、Webサーバから端末識別キー取得選択登録依頼12dにより受信した端末識別キー取得選択データと企業コード及び組織LANIDを端末識別キー取得選択データベース15bに登録する端末識別キー取得選択登録手段13dを備える。
【0036】
また、Webサーバからシステム鍵解除端末設定画面の送信手段12eにより端末識別キー取得選択データベース15bから端末識別キー取得選択データを取得してWebサーバに送信する端末識別キー取得選択データ取得手段13eを備える。
【0037】
また、Webサーバからシステムシステム鍵解除端末設定処理依頼12fにより受信したシステム鍵解除担当者IDと担当者の認証データと端末識別キーおよび企業コードと組織LANIDをシステム鍵解除データベース15cに登録するシステム鍵解除端末設定処理手段13fを備える。
【0038】
また、Webサーバからシステム鍵解除処理依頼12hにより受信したシステム鍵解除担当者IDと担当者の認証データと端末識別キー及び企業コードと組織LANIDとシステム鍵解除端末のグローバルIPアドレスをシステム鍵解除データベース15cと照合し、一致すればアクセス制限データベース15dに企業コードと組織LANIDに紐づくレコードに担当者IDとシステム鍵解除日にシステム日付をとグローバルIPアドレスにシステム鍵解除端末のグローバルIPアドレスを更新するシステム鍵解除処理手段13hを備える。
【0039】
図2はシステム鍵解除端末の構成図である。
【0040】
システム鍵解除担当者の認証情報をキーボードで入力するケースT10
システム鍵解除担当者の認証情報をICカードで入力するケースT20
システム鍵解除担当者の認証情報をバイオメトリクス認証装置で入力するケースT30である。
【0041】
システム鍵解除端末T10、T20、T30は
WebブラウザT10a、T20a、T30aと端末識別キーを登録した登録部T10b、T20b、T30bとキーボードT10c、T20c、T30cとマウスT10d、T20d、T30dをデフォールトで備えるし、システム鍵解除担当者の認証情報をICカードで入力するケースT20はICカードリーダT20eを備えるし、
システム鍵解除担当者の認証情報をバイオメトリクス認証装置で入力するケースT30はバイオメトリクス認証装置T30eを備える。
【0042】
図3はAPサーバの認証処理手段13bで行う流れのフロー‐チャート図である。
【0043】
APサーバの認証処理手段13bでWebサーバからの受信データはログインユーザIDとパスワード及びクライアントのグローバルIPアドレスである。
利用者認証データベース(15a)図4からログインユーザIDとパスワードが一致するレコード取得処理(S10)
【0044】
(S10)で一致するデータが取得できた場合は、ユーザ認証は成功し、取得したデータは企業コード、組織LANIDとロールIDである。データ取得が失敗した場合はユーザ認証失敗でWebサーバにエラー画面表示信号を送って、クライアント端末にエラー画面を表示させる(S11)
【0045】
(S10)で取得したロールIDがシステム責任者ロールであれば、Webサーバにシステム責任者トップ画面表示信号を送って、クライアント端末にシステム責任者トップ画面を表示させる。(S12)
【0046】
サーバのシステム日付を取得し、(S10)で取得した企業コード、組織LANIDをシステム運用制御データベース(15e)図8と照合し、照合が一致すれば、非運用日なのでWebサーバにエラー画面表示信号を送って、クライアント端末にエラー画面を表示させる(S13)
【0047】
サーバのシステム時間を取得し、その時間が(S10)で取得した企業コード、組織LANIDに紐づく開始と終了時間の間でシステム運用時間データベース(15f)図9と照合し、照合が一致すれば運用時間内なので成功し、照合が一致しない場合は運用時間外でWebサーバにエラー画面表示信号を送って、クライアント端末にエラー画面を表示させる(S14)
【0048】
サーバのシステム日付を取得し、(S10)で取得した企業コード、組織LANIDとサーバのシステム日付をアクセス制御データベース(15d)図7と照合し、照合が一致すれば、システム鍵は解除状態し、一致しない場合は、システム鍵はロック状態である。照合が一致する場合は、一致するレコードからグローバルIPアドレスを取得する(S15)
【0049】
(S15)でシステム鍵が解除状態であれば、照合が一致するレコードから取得したグローバルIPアドレスとAPサーバの認証処理手段13bでWebサーバからの受信データであるクライアント端末のローバルIPアドレスと照合し、照合が一致すれば、このクライアント端末はログインユーザが属している企業の組織LANID中のシステム鍵解除端末と同じネットワークに繋がっていることの空間認証が成功で、Webサーバに利用者トップ画面表示信号を送って、クライアント端末に利用者トップ画面を表示させる。
照合が一致しない場合は、この端末は企業が定めた作業場所以外のところからアクセスしょうとするのでWebサーバにエラー画面表示信号を送って、クライアント端末にエラー画面を表示させる(S16)
【0050】
(S15)でシステム鍵がロック状態であれば、(S10)で取得したロールIDがシステム鍵解除担当者の場合、Webサーバにシステム鍵解除画面表示信号を送って、クライアント端末にシステム鍵解除画面を表示させ、(S10)で取得したロールIDがシステム鍵解除担当者ではない場合、システムはロック状態なのでアクセス出来ないし、Webサーバにエラー画面表示信号を送って、クライアント端末にエラー画面を表示させる(S17)
【0051】
図4から図9のデータベースの項目は少なくとも必要な項目で必要に応じて項目追加は可能であり、
図4から図9のデータベースの項目のデータは実のデータではなく例証としてのデータである。
【図面の簡単な説明】
【0052】
【図1】本開発のASPサービスの利用アクセス場所認証方法及びシステムの構成図である。
【図2】システム鍵解除端末の構成図である。
【図3】認証処理手段のフロー‐チャート図である。
【図4】利用者認証データベース(15a)である。
【図5】端末識別キー取得選択データベース(15b)である。
【図6】システム鍵解除データベース(15c)である。
【図7】アクセス制御データベース(15d)である。
【図8】システム運用制御データベース(15e)である。
【図9】システム運用時間データベース(15f)である。
【符号の説明】
【0053】
100、200 各企業のネットワーク
110、120,210 各企業の組織内のLAN
111,121,211 システム鍵解除端末
112、122,212 利用者クライアント端末
113,123,213 NAPT(Network Address Port Translation)機能を持つネットワーク機器
111a、112a、121a、122a、211a、212a Webブラウザ
111b、121b 端末識別キー登録部
111c、121c、211c システム鍵解除担当者認証情報入力装置
10 ASPサービス処理装置
11 ファイアウォール
12 Webサーバ
12a ログイン画面送信手段
12b 認証処理依頼手段
12c 端末識別キー取得選択画面送信手段
12d 端末識別キー取得選択登録依頼
12e システム鍵解除端末設定画面の送信手段
12f システム鍵解除端末設定処理依頼
12g システム鍵解除画面送信手段
12h システム鍵解除処理依頼
12i 端末識別キー生成手段
13 APサーバ
13b 認証処理手段
13d 端末識別キー取得選択登録手段
13e 端末識別キー取得選択データ取得手段
13f 鍵解除端末設定処理手段
13h システム鍵解除処理手段
14 データベースサーバ
15 データベース
15a 利用者認証データベース
15b 端末識別キー取得選択データベース
15c システム鍵解除データベース
15d アクセス制御データベース
15e システム運用制御データベース
15f システム運用時間データベース
99 インターネット回線
【特許請求の範囲】
【請求項1】
アプリケーション・サービス・プロバイダ(ASP)サービスを利用する企業の組織内にシステム鍵解除端末と利用者クライアント端末とNAPT機能を持つネットワーク機器に構成されている組織内LAN(Local Area Network)、前記組織内LANの各端末は前記NAPT(Network Address Port Translation)機能を持つネットワーク機器とインターネットを介してASP事業者コンピュータシステムであるASPサービス処理装置にアクセスするように構成されるASPサービスの利用アクセス場所認証方法及びシステムであって、前記システム鍵解除端末は、少なくともWebブラウザと、システム鍵解除認証情報入力装置、システム責任者により行われるシステム鍵解除端末設定手段で設定される端末識別キーを保存する記録部を備え、前記ASPサービス処理装置は、ファイアウォールと前記企業内にある各クライアント端末に応答して該当業務のWeb画面を送信し、サービスを行うWebサーバ、前記該当業務の業務処理を行うアプリケーションサーバ(APサーバ)及び前記該当業務に必要なデータベースを備え、前記システム鍵解除端末設定手段は、システム責任者は前記LAN内にある端末の中でシステム鍵解除端末を決定し、そのシステム鍵解除端末で前記Webサーバにシステム責任者としてログインし、認証が成功したら、システム責任者用のトップ画面が表示され、システム責任者のトップ画面から端末識別キー取得選択画面を表示させ、端末識別キー取得選択画面からシステム責任者が所属している組織内のLANの前記システム鍵解除端末の端末識別キー取得選択手段を設け、前記システム責任者のトップ画面から前記Webサーバにシステム鍵解除端末設定Web画面にアクセスする。前記Webサーバはアクセスに応答し、システム鍵解除端末設定Web画面と識別キー生成手段で生成した識別キーを送信する。システム責任者はシステム鍵解除端末設定Web画面にシステム鍵解除担当者ID入力と認証入力装置を通してシステム鍵解除担当者の鍵解除認証情報を入力し、システム鍵解除端末識別キーを設定する。少なくとも前記システム鍵解除端末識別キー、前記システム鍵解除担当者ID、前記システム鍵解除担当者の鍵解除認証情報を前記Webサーバに送信してシステム鍵解除端末設定処理を依頼し、同時に前記システム鍵解除端末の端末識別キーを前記システム鍵解除端末の記録部に保存する。前記Webサーバはシステム鍵解除端末設定処理を受け、前記APサーバに渡して処理を行う。前記データベースは各企業毎の企業が指定した利用者IDおよびパスワードと所属企業コード、所属LANコードを登録した利用者認証データベースと前記システム鍵解除端末設定処理で前記システム鍵解除担当者IDと前記システム鍵解除担当者の所属企業コード、所属LANコードに紐付けられる前記システム鍵解除端末の端末識別キー、前記システム鍵解除担当者の鍵解除認証情報を登録したシステム鍵解除データベースを備えることを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【請求項2】
ASPサービスの利用アクセス場所認証方法及びシステムにおいて各企業の組織内LANから前記ASPサービスを利用するには、運用日毎の前記システム鍵解除が必要であり、前記システム鍵解除担当者が前記システム鍵解除端末で前記Webサーバへのログイン処理時にシステム鍵解除手段を備え、システム鍵解除手段は、前記システム鍵解除担当者が属している企業の組織内のLANに対して前記運用日のシステム運用時間内にシステム鍵がロックの状態であれば、システム鍵解除Web画面を表示し、前記システム鍵解除認証入力装置を通して前記システム鍵解除担当者の鍵解除認証情報を入力し、前記Webサーバに送信してシステム鍵解除処理を依頼し、端末識別キー取得手段を備え、前記Webサーバに送られる情報は少なくとも端末識別キー取得手段で取得した端末識別キーと前記システム鍵解除担当者ID、システム鍵解除担当者の鍵解除認証情報である。
前記Webサーバは前記システム鍵解除処理の依頼を受け、前記システム鍵解除端末からの送信情報にさらにNAPT機能を持つネットワーク機器を介して変換された前記システム鍵解除端末のグローバルIPアドレスをHTTPプロトコルのリクエスト情報から取得し、前記APサーバに渡してシステム鍵解除処理を行う。前記APサーバは、前記システム鍵解除処理を受け、前記請求項1前記システム鍵解除端末設定処理に保存されたシステム鍵解除データベースより前記システム鍵解除担当者IDとシステム鍵解除担当者が属している前記企業コードと前記組織内LANコードに紐づいているシステム鍵解除端末の端末識別キーとシステム鍵解除担当者の鍵解除認証情報を取得して前記Webサーバから受信したデータと照合する。
前記照合で一致すれば前記システム鍵解除担当者とシステム鍵解除端末は前記企業に対して限定された場所で操作を行ったことを認証し、前記企業コードと組織内LANコードに紐づく前記照合を行った当日の前記システム鍵解除端末のグローバルIPアドレスを登録したアクセス制限データベースを前記データベースに備えることを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【請求項3】
請求項1の端末識別キー取得選択手段は、前記システム責任者用のトップ画面から端末識別キー取得選択画面を表示させ、前記システム鍵解除の端末識別キーを請求項1の前記システム鍵解除手段でWebサーバから受信した識別キーをシステム鍵解端末識別キーにするかシステム鍵解除端末のLANカードのMAC(Media Access Control)アドレスをシステム鍵解端末識別キーにするかを前記端末識別キー取得選択画面から選択して実行ボタンを押下し、前記Webサーバに端末識別キー取得選択処理を依頼し、前記Webサーバは端末識別キー取得選択処理を受け、選択区分を前記APサーバに渡して処理を行う。前記データベースはシステム責任者が所属している企業コード、組織LANID、選択区分を登録した端末識別キー取得選択データベースを備える。
端末識別キーを前記Webサーバから受信した識別キーを選択した場合、請求項1の前記システム鍵解除端末設定手段で設定される端末識別キーを前記Webサーバから受信した識別キーに設定し、前記Webサーバから受信した識別キーをシステム鍵解除端末の記録部に保存し、端末識別キーをシステム鍵解除端末のLANカードのMAC(Media Access Control)アドレスを選択した場合、請求項1の前記システム鍵解除端末設定手段で設定される端末識別キーをMAC(Media Access Control)アドレスに設定することを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【請求項4】
請求項2の前記端末識別キー取得手段において
請求項3の前記端末識別キー取得選択手段で選択した端末識別キーが前記Webサーバから受信した識別キーを選択した場合、請求項2の前記システム鍵解除手段では前記システム鍵解除端末の端末識別キーを前記システム鍵解除端末の記録部から取得して処理し、選択した端末識別キーが端末識別キーをシステム鍵解除端末のLANカードのMAC(Media Access Control)アドレスにした場合、請求項2の前記システム鍵解除手段では前記システム鍵解除端末の端末識別キーとしてMACアドレスを取得して処理することを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【請求項5】
ASPサービスの利用アクセス場所認証方法及びシステムにおいて前記利用者クライアント端末から前記ASPサービスを利用する場合にはアクセス場所認証手段と 前記アクセス場所認証手段は、NAPT機能を持つネットワーク機器を介してインターネットに接続する前記企業の組織内LANに繋がっている各利用者クライアント端末は組織内のLANでは個別の内部IPアドレスを持っているがインターネットに対してはISP(インターネットサービスプロバイダ)から割当てられたグローバルIPアドレスを共有する特徴を利用し、利用者認証手段で認証が出来た利用者IDに対して前記アクセス制限データベースから前記利用者が属している企業コードと組織内LANコードとシステム鍵解除日付がアクセス日付に一致する前記システム鍵解除端末のグローバルIPアドレスを取得し、前記利用者クライアント端末が共有しているグローバルIPアドレスと照合して一致すれば、この利用者クライアント端末は前記システム鍵解除端末が繋がっている企業の組織内LANと同じネットワークであることで前記ASPサービスシステムにアクセス可能な端末であることを認証し、前記利用者認証手段は、利用者が企業の利用者クライアント端末から前記Webサーバのログイン画面を表示させ、利用者IDとパスワードを入力して前記Webサーバに送信して、ログイン処理を依頼し、前記WebサーバはAPサーバにログイン処理を渡す。前記APサーバは前記利用者IDとパスワードを利用者認証データベースと照合して一致すれば、アクセス可能な利用者であることを認証する手段を少なくとも備えることを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【請求項1】
アプリケーション・サービス・プロバイダ(ASP)サービスを利用する企業の組織内にシステム鍵解除端末と利用者クライアント端末とNAPT機能を持つネットワーク機器に構成されている組織内LAN(Local Area Network)、前記組織内LANの各端末は前記NAPT(Network Address Port Translation)機能を持つネットワーク機器とインターネットを介してASP事業者コンピュータシステムであるASPサービス処理装置にアクセスするように構成されるASPサービスの利用アクセス場所認証方法及びシステムであって、前記システム鍵解除端末は、少なくともWebブラウザと、システム鍵解除認証情報入力装置、システム責任者により行われるシステム鍵解除端末設定手段で設定される端末識別キーを保存する記録部を備え、前記ASPサービス処理装置は、ファイアウォールと前記企業内にある各クライアント端末に応答して該当業務のWeb画面を送信し、サービスを行うWebサーバ、前記該当業務の業務処理を行うアプリケーションサーバ(APサーバ)及び前記該当業務に必要なデータベースを備え、前記システム鍵解除端末設定手段は、システム責任者は前記LAN内にある端末の中でシステム鍵解除端末を決定し、そのシステム鍵解除端末で前記Webサーバにシステム責任者としてログインし、認証が成功したら、システム責任者用のトップ画面が表示され、システム責任者のトップ画面から端末識別キー取得選択画面を表示させ、端末識別キー取得選択画面からシステム責任者が所属している組織内のLANの前記システム鍵解除端末の端末識別キー取得選択手段を設け、前記システム責任者のトップ画面から前記Webサーバにシステム鍵解除端末設定Web画面にアクセスする。前記Webサーバはアクセスに応答し、システム鍵解除端末設定Web画面と識別キー生成手段で生成した識別キーを送信する。システム責任者はシステム鍵解除端末設定Web画面にシステム鍵解除担当者ID入力と認証入力装置を通してシステム鍵解除担当者の鍵解除認証情報を入力し、システム鍵解除端末識別キーを設定する。少なくとも前記システム鍵解除端末識別キー、前記システム鍵解除担当者ID、前記システム鍵解除担当者の鍵解除認証情報を前記Webサーバに送信してシステム鍵解除端末設定処理を依頼し、同時に前記システム鍵解除端末の端末識別キーを前記システム鍵解除端末の記録部に保存する。前記Webサーバはシステム鍵解除端末設定処理を受け、前記APサーバに渡して処理を行う。前記データベースは各企業毎の企業が指定した利用者IDおよびパスワードと所属企業コード、所属LANコードを登録した利用者認証データベースと前記システム鍵解除端末設定処理で前記システム鍵解除担当者IDと前記システム鍵解除担当者の所属企業コード、所属LANコードに紐付けられる前記システム鍵解除端末の端末識別キー、前記システム鍵解除担当者の鍵解除認証情報を登録したシステム鍵解除データベースを備えることを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【請求項2】
ASPサービスの利用アクセス場所認証方法及びシステムにおいて各企業の組織内LANから前記ASPサービスを利用するには、運用日毎の前記システム鍵解除が必要であり、前記システム鍵解除担当者が前記システム鍵解除端末で前記Webサーバへのログイン処理時にシステム鍵解除手段を備え、システム鍵解除手段は、前記システム鍵解除担当者が属している企業の組織内のLANに対して前記運用日のシステム運用時間内にシステム鍵がロックの状態であれば、システム鍵解除Web画面を表示し、前記システム鍵解除認証入力装置を通して前記システム鍵解除担当者の鍵解除認証情報を入力し、前記Webサーバに送信してシステム鍵解除処理を依頼し、端末識別キー取得手段を備え、前記Webサーバに送られる情報は少なくとも端末識別キー取得手段で取得した端末識別キーと前記システム鍵解除担当者ID、システム鍵解除担当者の鍵解除認証情報である。
前記Webサーバは前記システム鍵解除処理の依頼を受け、前記システム鍵解除端末からの送信情報にさらにNAPT機能を持つネットワーク機器を介して変換された前記システム鍵解除端末のグローバルIPアドレスをHTTPプロトコルのリクエスト情報から取得し、前記APサーバに渡してシステム鍵解除処理を行う。前記APサーバは、前記システム鍵解除処理を受け、前記請求項1前記システム鍵解除端末設定処理に保存されたシステム鍵解除データベースより前記システム鍵解除担当者IDとシステム鍵解除担当者が属している前記企業コードと前記組織内LANコードに紐づいているシステム鍵解除端末の端末識別キーとシステム鍵解除担当者の鍵解除認証情報を取得して前記Webサーバから受信したデータと照合する。
前記照合で一致すれば前記システム鍵解除担当者とシステム鍵解除端末は前記企業に対して限定された場所で操作を行ったことを認証し、前記企業コードと組織内LANコードに紐づく前記照合を行った当日の前記システム鍵解除端末のグローバルIPアドレスを登録したアクセス制限データベースを前記データベースに備えることを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【請求項3】
請求項1の端末識別キー取得選択手段は、前記システム責任者用のトップ画面から端末識別キー取得選択画面を表示させ、前記システム鍵解除の端末識別キーを請求項1の前記システム鍵解除手段でWebサーバから受信した識別キーをシステム鍵解端末識別キーにするかシステム鍵解除端末のLANカードのMAC(Media Access Control)アドレスをシステム鍵解端末識別キーにするかを前記端末識別キー取得選択画面から選択して実行ボタンを押下し、前記Webサーバに端末識別キー取得選択処理を依頼し、前記Webサーバは端末識別キー取得選択処理を受け、選択区分を前記APサーバに渡して処理を行う。前記データベースはシステム責任者が所属している企業コード、組織LANID、選択区分を登録した端末識別キー取得選択データベースを備える。
端末識別キーを前記Webサーバから受信した識別キーを選択した場合、請求項1の前記システム鍵解除端末設定手段で設定される端末識別キーを前記Webサーバから受信した識別キーに設定し、前記Webサーバから受信した識別キーをシステム鍵解除端末の記録部に保存し、端末識別キーをシステム鍵解除端末のLANカードのMAC(Media Access Control)アドレスを選択した場合、請求項1の前記システム鍵解除端末設定手段で設定される端末識別キーをMAC(Media Access Control)アドレスに設定することを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【請求項4】
請求項2の前記端末識別キー取得手段において
請求項3の前記端末識別キー取得選択手段で選択した端末識別キーが前記Webサーバから受信した識別キーを選択した場合、請求項2の前記システム鍵解除手段では前記システム鍵解除端末の端末識別キーを前記システム鍵解除端末の記録部から取得して処理し、選択した端末識別キーが端末識別キーをシステム鍵解除端末のLANカードのMAC(Media Access Control)アドレスにした場合、請求項2の前記システム鍵解除手段では前記システム鍵解除端末の端末識別キーとしてMACアドレスを取得して処理することを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【請求項5】
ASPサービスの利用アクセス場所認証方法及びシステムにおいて前記利用者クライアント端末から前記ASPサービスを利用する場合にはアクセス場所認証手段と 前記アクセス場所認証手段は、NAPT機能を持つネットワーク機器を介してインターネットに接続する前記企業の組織内LANに繋がっている各利用者クライアント端末は組織内のLANでは個別の内部IPアドレスを持っているがインターネットに対してはISP(インターネットサービスプロバイダ)から割当てられたグローバルIPアドレスを共有する特徴を利用し、利用者認証手段で認証が出来た利用者IDに対して前記アクセス制限データベースから前記利用者が属している企業コードと組織内LANコードとシステム鍵解除日付がアクセス日付に一致する前記システム鍵解除端末のグローバルIPアドレスを取得し、前記利用者クライアント端末が共有しているグローバルIPアドレスと照合して一致すれば、この利用者クライアント端末は前記システム鍵解除端末が繋がっている企業の組織内LANと同じネットワークであることで前記ASPサービスシステムにアクセス可能な端末であることを認証し、前記利用者認証手段は、利用者が企業の利用者クライアント端末から前記Webサーバのログイン画面を表示させ、利用者IDとパスワードを入力して前記Webサーバに送信して、ログイン処理を依頼し、前記WebサーバはAPサーバにログイン処理を渡す。前記APサーバは前記利用者IDとパスワードを利用者認証データベースと照合して一致すれば、アクセス可能な利用者であることを認証する手段を少なくとも備えることを特徴とするASPサービスの利用アクセス場所認証方法及びシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2009−253389(P2009−253389A)
【公開日】平成21年10月29日(2009.10.29)
【国際特許分類】
【出願番号】特願2008−95454(P2008−95454)
【出願日】平成20年4月1日(2008.4.1)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(707001399)ギルネット株式会社 (7)
【Fターム(参考)】
【公開日】平成21年10月29日(2009.10.29)
【国際特許分類】
【出願日】平成20年4月1日(2008.4.1)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(707001399)ギルネット株式会社 (7)
【Fターム(参考)】
[ Back to top ]