JP2000172565A - アクセス制御システム及びアクセス制御方法 - Google Patents
アクセス制御システム及びアクセス制御方法Info
- Publication number
- JP2000172565A JP2000172565A JP10342746A JP34274698A JP2000172565A JP 2000172565 A JP2000172565 A JP 2000172565A JP 10342746 A JP10342746 A JP 10342746A JP 34274698 A JP34274698 A JP 34274698A JP 2000172565 A JP2000172565 A JP 2000172565A
- Authority
- JP
- Japan
- Prior art keywords
- information
- terminal
- access control
- user
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】 従来のアクセス制御方法では、LANにつな
がった端末間でのアクセス制御を想定していたため、モ
バイルコンピューティング環境では、LAN上のコンピ
ュータが有する機密情報が外部に漏れる危険性があっ
た。 【解決手段】 ユーザ固有のユーザ情報を有するユーザ
情報保持手段、及び端末固有の端末情報を有する端末情
報保持手段を有し、両情報を送信する端末と、両情報を
有線あるいは無線によるネットワークを介し受信するア
クセス制御手段、及び両情報の組み合わせとオブジェク
トが提供できるサービスとが関連付けられ記録されたア
クセス制御情報を有するアクセス制御情報保持手段を有
し、アクセス制御手段が、受信した両情報とアクセス制
御情報とにより、端末のユーザに対し、オブジェクトの
提供できるサービスに関するアクセス権を決定するオブ
ジェクトとからなる。
がった端末間でのアクセス制御を想定していたため、モ
バイルコンピューティング環境では、LAN上のコンピ
ュータが有する機密情報が外部に漏れる危険性があっ
た。 【解決手段】 ユーザ固有のユーザ情報を有するユーザ
情報保持手段、及び端末固有の端末情報を有する端末情
報保持手段を有し、両情報を送信する端末と、両情報を
有線あるいは無線によるネットワークを介し受信するア
クセス制御手段、及び両情報の組み合わせとオブジェク
トが提供できるサービスとが関連付けられ記録されたア
クセス制御情報を有するアクセス制御情報保持手段を有
し、アクセス制御手段が、受信した両情報とアクセス制
御情報とにより、端末のユーザに対し、オブジェクトの
提供できるサービスに関するアクセス権を決定するオブ
ジェクトとからなる。
Description
【0001】
【発明の属する技術分野】この発明は、ネットワークに
分散するコンピュータシステム上のオブジェクト毎また
はメソッド毎に、クライアント端末からのアクセス制御
を行うアクセス制御システム及びアクセス制御方法に関
するものである。
分散するコンピュータシステム上のオブジェクト毎また
はメソッド毎に、クライアント端末からのアクセス制御
を行うアクセス制御システム及びアクセス制御方法に関
するものである。
【0002】
【従来の技術】アクセス制御方法の従来例として図5に
示したものがあり、これについて説明する。図5は、従
来のアクセス制御方法の手順を表すフローチャートであ
る。なお、この従来のアクセス制御方法はUNIX上のもの
であり、OSレベルでユーザ毎に割り当てられたユーザI
D、及び当該ユーザが属するグループ毎に割り当てられ
たグループIDにより、希望するファイルへのアクセスを
可能にするものである。
示したものがあり、これについて説明する。図5は、従
来のアクセス制御方法の手順を表すフローチャートであ
る。なお、この従来のアクセス制御方法はUNIX上のもの
であり、OSレベルでユーザ毎に割り当てられたユーザI
D、及び当該ユーザが属するグループ毎に割り当てられ
たグループIDにより、希望するファイルへのアクセスを
可能にするものである。
【0003】次に、この従来例に示すアクセス制御方法
について説明する。ステップ(以下、Sとする)1で、
ユーザがファイルにアクセスする。このS1が終了する
とS2へ進む。S2で、OSは、ユーザのユーザID
と、このユーザの属するグループのグループIDとを取
得する。このS2が終了するとS3へ進む。S3で、O
Sは、アクセス制御リストからファイルに対するアクセ
ス権の付与に関する情報を取得する。このS3が終了す
るとS4へ進む。
について説明する。ステップ(以下、Sとする)1で、
ユーザがファイルにアクセスする。このS1が終了する
とS2へ進む。S2で、OSは、ユーザのユーザID
と、このユーザの属するグループのグループIDとを取
得する。このS2が終了するとS3へ進む。S3で、O
Sは、アクセス制御リストからファイルに対するアクセ
ス権の付与に関する情報を取得する。このS3が終了す
るとS4へ進む。
【0004】S4で、OSは、ユーザID及びグループ
IDと、アクセス制御リストから取得された情報とを比
較する。アクセス制御リストから取得された情報とユー
ザIDとが一致した場合にはS5へ進む。また、アクセ
ス制御リストから取得された情報とグループIDとが一
致した場合にはS6へ進む。それ以外の場合はS7へ進
む。S5で、OSは、ユーザに対し、owner用のアクセ
ス権を付与する。S6で、OSは、ユーザに対し、grou
p用のアクセス権を付与する。S7で、OSは、ユーザ
に対し、others用のアクセス権を付与する。
IDと、アクセス制御リストから取得された情報とを比
較する。アクセス制御リストから取得された情報とユー
ザIDとが一致した場合にはS5へ進む。また、アクセ
ス制御リストから取得された情報とグループIDとが一
致した場合にはS6へ進む。それ以外の場合はS7へ進
む。S5で、OSは、ユーザに対し、owner用のアクセ
ス権を付与する。S6で、OSは、ユーザに対し、grou
p用のアクセス権を付与する。S7で、OSは、ユーザ
に対し、others用のアクセス権を付与する。
【0005】
【発明が解決しようとする課題】従来のアクセス制御方
法では、LANにつながった端末間でのアクセス制御を
想定していたため、ユーザIDに基づくアクセス制御が
行われていた。しかし、モバイルコンピューティング環
境では、外部ネットワークのユーザがLAN上のコンピ
ュータにアクセスする場合、当該LAN上のコンピュー
タはLAN内のユーザに対してのアクセス権と同じアク
セス権を外部ネットワークのユーザにも与えるため、L
AN上のコンピュータが有する機密情報が外部に漏れる
危険性があった。
法では、LANにつながった端末間でのアクセス制御を
想定していたため、ユーザIDに基づくアクセス制御が
行われていた。しかし、モバイルコンピューティング環
境では、外部ネットワークのユーザがLAN上のコンピ
ュータにアクセスする場合、当該LAN上のコンピュー
タはLAN内のユーザに対してのアクセス権と同じアク
セス権を外部ネットワークのユーザにも与えるため、L
AN上のコンピュータが有する機密情報が外部に漏れる
危険性があった。
【0006】この発明は、このような問題点を解決する
ためになされたものであり、ユーザ情報及び端末情報を
用いてアクセスの制御を行うことで、外部ネットワーク
からLAN内へのアクセスを安全に実現できるというア
クセス制御システム及びアクセス制御方法を得ることを
目的とする。
ためになされたものであり、ユーザ情報及び端末情報を
用いてアクセスの制御を行うことで、外部ネットワーク
からLAN内へのアクセスを安全に実現できるというア
クセス制御システム及びアクセス制御方法を得ることを
目的とする。
【0007】
【課題を解決するための手段】この発明にかかるアクセ
ス制御システムは、ユーザ固有のユーザ情報を有するユ
ーザ情報保持手段、及び端末固有の端末情報を有する端
末情報保持手段を有し、ユーザ情報及び端末情報を送信
する端末と、ユーザ情報及び端末情報を有線あるいは無
線によるネットワークを介し受信するアクセス制御手
段、及びユーザ情報及び端末情報の組み合わせとオブジ
ェクトが提供できるサービスとが関連付けられ記録され
たアクセス制御情報を有するアクセス制御情報保持手段
を有し、アクセス制御手段が、受信したユーザ情報及び
端末情報とアクセス制御情報とにより、端末のユーザに
対し、オブジェクトの提供できるサービスに関するアク
セス権を決定するオブジェクトとからなるものである。
ス制御システムは、ユーザ固有のユーザ情報を有するユ
ーザ情報保持手段、及び端末固有の端末情報を有する端
末情報保持手段を有し、ユーザ情報及び端末情報を送信
する端末と、ユーザ情報及び端末情報を有線あるいは無
線によるネットワークを介し受信するアクセス制御手
段、及びユーザ情報及び端末情報の組み合わせとオブジ
ェクトが提供できるサービスとが関連付けられ記録され
たアクセス制御情報を有するアクセス制御情報保持手段
を有し、アクセス制御手段が、受信したユーザ情報及び
端末情報とアクセス制御情報とにより、端末のユーザに
対し、オブジェクトの提供できるサービスに関するアク
セス権を決定するオブジェクトとからなるものである。
【0008】この発明にかかるアクセス制御システムで
利用する端末情報としては、端末上で利用できる暗号ア
ルゴリズム及びその鍵に関する情報や、端末が使用中の
ネットワークの種類や速度に関する情報がある。
利用する端末情報としては、端末上で利用できる暗号ア
ルゴリズム及びその鍵に関する情報や、端末が使用中の
ネットワークの種類や速度に関する情報がある。
【0009】この発明にかかるアクセス制御システム
は、アクセス制御手段が、受信したユーザ情報及び端末
情報に、オブジェクトによる提供サービスに関するアク
セス権を決定するために必要な情報が不足している場合
には、当該情報が不足している旨を端末に通知するもの
である。
は、アクセス制御手段が、受信したユーザ情報及び端末
情報に、オブジェクトによる提供サービスに関するアク
セス権を決定するために必要な情報が不足している場合
には、当該情報が不足している旨を端末に通知するもの
である。
【0010】この発明にかかるアクセス制御システム
は、端末がオブジェクトのある特定機能を実行させるオ
ブジェクトが有するメソッドに対し、端末に関するユー
ザ情報及び端末情報を送信し、オブジェクトがアクセス
制御手段により、受信したユーザ情報及び端末情報とア
クセス制御情報とにより、端末のユーザに対し、メソッ
ドの実行に関する関するアクセス権を決定するものであ
る。
は、端末がオブジェクトのある特定機能を実行させるオ
ブジェクトが有するメソッドに対し、端末に関するユー
ザ情報及び端末情報を送信し、オブジェクトがアクセス
制御手段により、受信したユーザ情報及び端末情報とア
クセス制御情報とにより、端末のユーザに対し、メソッ
ドの実行に関する関するアクセス権を決定するものであ
る。
【0011】この発明にかかるアクセス制御システム
は、ユーザ固有のユーザ情報を有する第1のユーザ情報
保持手段、及び端末固有の端末情報を有する第1の端末
情報保持手段を有し、ユーザ情報及び端末情報を送信す
る端末と、端末から送信されたユーザ情報及び端末情報
を有線あるいは無線によるネットワークを介し受信する
第1のアクセス制御手段、ユーザ情報が記録される第2
のユーザ情報保持手段、端末情報が記録される第2の端
末情報保持手段、及びユーザ情報及び端末情報の組み合
わせと第1のオブジェクトが提供できるサービスとが関
連付けられ記録された第1のアクセス制御情報を有する
第1のアクセス制御情報保持手段を有し、第1のアクセス
制御手段が、受信したユーザ情報及び端末情報と第1の
アクセス制御情報とにより、オブジェクトの提供できる
サービスに関するアクセス権を決定し、ユーザ情報及び
端末情報を送信する第1のオブジェクトと、第1のオブジ
ェクトから送信されたユーザ情報及び端末情報を受信す
る第2のアクセス制御手段、及びユーザ情報及び端末情
報の組み合わせと第2のオブジェクトが提供できるサー
ビスとが関連付けられ記録された第2のアクセス制御情
報を有する第2のアクセス制御情報保持手段を有し、第2
のアクセス制御手段が、受信したユーザ情報及び端末情
報と第2のアクセス制御情報とにより、第1のオブジェク
トを介し、端末のユーザに対し、第2のオブジェクトの
提供できるサービスに関するアクセス権を決定する第2
のオブジェクトとからなるものである。
は、ユーザ固有のユーザ情報を有する第1のユーザ情報
保持手段、及び端末固有の端末情報を有する第1の端末
情報保持手段を有し、ユーザ情報及び端末情報を送信す
る端末と、端末から送信されたユーザ情報及び端末情報
を有線あるいは無線によるネットワークを介し受信する
第1のアクセス制御手段、ユーザ情報が記録される第2
のユーザ情報保持手段、端末情報が記録される第2の端
末情報保持手段、及びユーザ情報及び端末情報の組み合
わせと第1のオブジェクトが提供できるサービスとが関
連付けられ記録された第1のアクセス制御情報を有する
第1のアクセス制御情報保持手段を有し、第1のアクセス
制御手段が、受信したユーザ情報及び端末情報と第1の
アクセス制御情報とにより、オブジェクトの提供できる
サービスに関するアクセス権を決定し、ユーザ情報及び
端末情報を送信する第1のオブジェクトと、第1のオブジ
ェクトから送信されたユーザ情報及び端末情報を受信す
る第2のアクセス制御手段、及びユーザ情報及び端末情
報の組み合わせと第2のオブジェクトが提供できるサー
ビスとが関連付けられ記録された第2のアクセス制御情
報を有する第2のアクセス制御情報保持手段を有し、第2
のアクセス制御手段が、受信したユーザ情報及び端末情
報と第2のアクセス制御情報とにより、第1のオブジェク
トを介し、端末のユーザに対し、第2のオブジェクトの
提供できるサービスに関するアクセス権を決定する第2
のオブジェクトとからなるものである。
【0012】この発明にかかるアクセス制御システム
は、ユーザ固有のユーザ情報を有するユーザ情報保持手
段、及び端末固有の端末情報を有する端末情報保持手段
を有し、ユーザ情報及び端末情報を送信する端末と、ユ
ーザ情報及び端末情報を有線あるいは無線によるネット
ワークを介し受信する第1のアクセス制御手段、及びユ
ーザ情報及び端末情報の組み合わせと第1のオブジェク
トが提供できるサービスとが関連付けられ記録された第
1のアクセス制御情報を有する第1のアクセス制御情報保
持手段を有し、第1のアクセス制御手段が、ユーザ情報
及び端末情報と第1のアクセス制御情報とにより、オブ
ジェクトの提供できるサービスに関するアクセス権を決
定し、ユーザ情報及び端末情報に基づく第1のオブジェ
クト固有のオブジェクト情報を送信する第1のオブジェ
クトと、オブジェクト情報を受信する第2のアクセス制
御手段、及びオブジェクト情報と第2のオブジェクトが
提供できるサービスとが関連付けられ記録された第2の
アクセス制御情報を有する第2のアクセス制御情報保持
手段を有し、第2のアクセス制御手段が、受信したオブ
ジェクト情報と第2のアクセス制御情報とにより、第1の
オブジェクトを介し、端末のユーザに対し、第2のオブ
ジェクトの提供できるサービスに関するアクセス権を決
定する第2のオブジェクトとからなるものである。
は、ユーザ固有のユーザ情報を有するユーザ情報保持手
段、及び端末固有の端末情報を有する端末情報保持手段
を有し、ユーザ情報及び端末情報を送信する端末と、ユ
ーザ情報及び端末情報を有線あるいは無線によるネット
ワークを介し受信する第1のアクセス制御手段、及びユ
ーザ情報及び端末情報の組み合わせと第1のオブジェク
トが提供できるサービスとが関連付けられ記録された第
1のアクセス制御情報を有する第1のアクセス制御情報保
持手段を有し、第1のアクセス制御手段が、ユーザ情報
及び端末情報と第1のアクセス制御情報とにより、オブ
ジェクトの提供できるサービスに関するアクセス権を決
定し、ユーザ情報及び端末情報に基づく第1のオブジェ
クト固有のオブジェクト情報を送信する第1のオブジェ
クトと、オブジェクト情報を受信する第2のアクセス制
御手段、及びオブジェクト情報と第2のオブジェクトが
提供できるサービスとが関連付けられ記録された第2の
アクセス制御情報を有する第2のアクセス制御情報保持
手段を有し、第2のアクセス制御手段が、受信したオブ
ジェクト情報と第2のアクセス制御情報とにより、第1の
オブジェクトを介し、端末のユーザに対し、第2のオブ
ジェクトの提供できるサービスに関するアクセス権を決
定する第2のオブジェクトとからなるものである。
【0013】この発明にかかるアクセス制御方法は、端
末からユーザ固有のユーザ情報及び端末固有の端末情報
が送信され、オブジェクトのアクセス制御手段が、ユー
ザ情報及び端末情報を有線あるいは無線によるネットワ
ークを介して受信し、ユーザ情報及び端末情報の組み合
わせとオブジェクトが提供できるサービスとが関連付け
られたアクセス制御情報を取得し、端末のユーザに対し
て、オブジェクトの提供できるサービスに関するアクセ
ス権を決定するものである。
末からユーザ固有のユーザ情報及び端末固有の端末情報
が送信され、オブジェクトのアクセス制御手段が、ユー
ザ情報及び端末情報を有線あるいは無線によるネットワ
ークを介して受信し、ユーザ情報及び端末情報の組み合
わせとオブジェクトが提供できるサービスとが関連付け
られたアクセス制御情報を取得し、端末のユーザに対し
て、オブジェクトの提供できるサービスに関するアクセ
ス権を決定するものである。
【0014】この発明にかかるアクセス制御方法は、端
末からアクセスを要求するアクセス要求が送信され、オ
ブジェクトのアクセス制御手段が、有線あるいは無線に
よるネットワークを介して受信したアクセス要求に基づ
き、アクセスに必要なユーザ固有のユーザ情報及び端末
固有の端末情報の送信を要求し、端末が、ユーザ情報及
び端末情報の送信要求に対し、当該ユーザ情報及び端末
情報を送信し、オブジェクトのアクセス制御手段が、ユ
ーザ情報及び端末情報の組み合わせとオブジェクトが提
供できるサービスとが関連付けられたアクセス制御情報
を取得し、ユーザ情報及び端末情報に基づき、端末のユ
ーザに対して、オブジェクトの提供できるサービスに関
するアクセス権を決定するものである。
末からアクセスを要求するアクセス要求が送信され、オ
ブジェクトのアクセス制御手段が、有線あるいは無線に
よるネットワークを介して受信したアクセス要求に基づ
き、アクセスに必要なユーザ固有のユーザ情報及び端末
固有の端末情報の送信を要求し、端末が、ユーザ情報及
び端末情報の送信要求に対し、当該ユーザ情報及び端末
情報を送信し、オブジェクトのアクセス制御手段が、ユ
ーザ情報及び端末情報の組み合わせとオブジェクトが提
供できるサービスとが関連付けられたアクセス制御情報
を取得し、ユーザ情報及び端末情報に基づき、端末のユ
ーザに対して、オブジェクトの提供できるサービスに関
するアクセス権を決定するものである。
【0015】この発明にかかるアクセス制御方法は、端
末からユーザ固有のユーザ情報及び端末固有の端末情報
が送信され、第1のオブジェクトの第1のアクセス制御手
段が、端末から送信されたユーザ情報及び端末情報を有
線あるいは無線によるネットワークを介して受信し、ユ
ーザ情報及び端末情報の組み合わせと第1のオブジェク
トが提供できるサービスとが関連付けられた第1のアク
セス制御情報を取得し、第1のオブジェクトの提供でき
るサービスに関するアクセス権を決定し、第2のオブジ
ェクトの第2のアクセス制御手段が、第1のオブジェク
トから送信されたユーザ情報及び端末情報を受信し、ユ
ーザ情報及び端末情報の組み合わせと第2のオブジェク
トが提供できるサービスとが関連付けられた第2のアク
セス制御情報を取得し、第1のオブジェクトを介し、端
末のユーザに対して、第2のオブジェクトの提供できる
サービスに関するアクセス権を決定するものである。
末からユーザ固有のユーザ情報及び端末固有の端末情報
が送信され、第1のオブジェクトの第1のアクセス制御手
段が、端末から送信されたユーザ情報及び端末情報を有
線あるいは無線によるネットワークを介して受信し、ユ
ーザ情報及び端末情報の組み合わせと第1のオブジェク
トが提供できるサービスとが関連付けられた第1のアク
セス制御情報を取得し、第1のオブジェクトの提供でき
るサービスに関するアクセス権を決定し、第2のオブジ
ェクトの第2のアクセス制御手段が、第1のオブジェク
トから送信されたユーザ情報及び端末情報を受信し、ユ
ーザ情報及び端末情報の組み合わせと第2のオブジェク
トが提供できるサービスとが関連付けられた第2のアク
セス制御情報を取得し、第1のオブジェクトを介し、端
末のユーザに対して、第2のオブジェクトの提供できる
サービスに関するアクセス権を決定するものである。
【0016】この発明にかかるアクセス制御方法は、端
末からユーザ固有のユーザ情報及び端末固有の端末情報
が送信され、第1のオブジェクトの第1のアクセス制御手
段が、端末から送信されたユーザ情報及び端末情報を有
線あるいは無線によるネットワークを介して受信し、ユ
ーザ情報及び端末情報の組み合わせと第1のオブジェク
トが提供できるサービスとが関連付けられた第1のアク
セス制御情報を取得し、第1のオブジェクトの提供でき
るサービスに関するアクセス権を決定し、第2のオブジ
ェクトの第2のアクセス制御手段が、第1のオブジェク
トから送信されたユーザ情報及び端末情報に基づくオブ
ジェクト情報を受信し、オブジェクト情報と第2のオブ
ジェクトが提供できるサービスとが関連付けられた第2
のアクセス制御情報を取得し、第1のオブジェクトを介
し、端末のユーザに対して、第2のオブジェクトの提供
できるサービスに関するアクセス権を決定するものであ
る。
末からユーザ固有のユーザ情報及び端末固有の端末情報
が送信され、第1のオブジェクトの第1のアクセス制御手
段が、端末から送信されたユーザ情報及び端末情報を有
線あるいは無線によるネットワークを介して受信し、ユ
ーザ情報及び端末情報の組み合わせと第1のオブジェク
トが提供できるサービスとが関連付けられた第1のアク
セス制御情報を取得し、第1のオブジェクトの提供でき
るサービスに関するアクセス権を決定し、第2のオブジ
ェクトの第2のアクセス制御手段が、第1のオブジェク
トから送信されたユーザ情報及び端末情報に基づくオブ
ジェクト情報を受信し、オブジェクト情報と第2のオブ
ジェクトが提供できるサービスとが関連付けられた第2
のアクセス制御情報を取得し、第1のオブジェクトを介
し、端末のユーザに対して、第2のオブジェクトの提供
できるサービスに関するアクセス権を決定するものであ
る。
【0017】
【発明の実施の形態】実施の形態1.本発明によるアク
セス制御システム及びアクセス制御方法の一実施形態に
ついて図1を用いて説明する。図1は、本実施形態のア
クセス制御システムを説明するためのブロック図であ
る。図1において、1はリクエストを発行するクライア
ント端末である。2はユーザ情報保持手段であり、ユー
ザ固有のユーザ情報が入力され、出力される。3は、ク
ライアント端末1固有の端末情報が格納される端末情報
保持手段である。この端末情報は特に、当該クライアン
ト端末1が、モバイル環境にあるか否かを識別するもの
や、端末上で利用できる暗号化手段を識別するものや、
使用中のネットワークの種類や速度に関するものであ
る。
セス制御システム及びアクセス制御方法の一実施形態に
ついて図1を用いて説明する。図1は、本実施形態のア
クセス制御システムを説明するためのブロック図であ
る。図1において、1はリクエストを発行するクライア
ント端末である。2はユーザ情報保持手段であり、ユー
ザ固有のユーザ情報が入力され、出力される。3は、ク
ライアント端末1固有の端末情報が格納される端末情報
保持手段である。この端末情報は特に、当該クライアン
ト端末1が、モバイル環境にあるか否かを識別するもの
や、端末上で利用できる暗号化手段を識別するものや、
使用中のネットワークの種類や速度に関するものであ
る。
【0018】4は、端末情報保持手段3から端末情報を
取得し、ユーザ情報保持手段2からユーザ情報を取得す
る情報取得手段である。5は、情報取得手段4が取得し
た端末情報及びユーザ情報をアクセス制御手段9へ送信
する情報送信手段である。なお、クライアント端末1
は、ユーザ情報保持手段2、端末情報保持手段3、情報
取得手段4、及び情報送信手段5を有する。6は、クラ
イアント端末1からのリクエストを受け付けるサーバオ
ブジェクトである。7は、クライアント端末1から送信
されるユーザ情報と端末情報との組み合わせに対し、サ
ーバオブジェクト6へのアクセスの許認可が示されたア
クセス制御情報を持つアクセス制御情報保持手段であ
る。
取得し、ユーザ情報保持手段2からユーザ情報を取得す
る情報取得手段である。5は、情報取得手段4が取得し
た端末情報及びユーザ情報をアクセス制御手段9へ送信
する情報送信手段である。なお、クライアント端末1
は、ユーザ情報保持手段2、端末情報保持手段3、情報
取得手段4、及び情報送信手段5を有する。6は、クラ
イアント端末1からのリクエストを受け付けるサーバオ
ブジェクトである。7は、クライアント端末1から送信
されるユーザ情報と端末情報との組み合わせに対し、サ
ーバオブジェクト6へのアクセスの許認可が示されたア
クセス制御情報を持つアクセス制御情報保持手段であ
る。
【0019】8は、アクセス制御情報保持手段7からア
クセス制御情報を取得する情報取得手段である。9は、
情報送信手段5から送られた端末情報及びユーザ情報
と、情報取得手段8を介してアクセス情報取得手段7に
より取得されたアクセス制御情報とにより、サーバオブ
ジェクト6へのアクセスの許認可に関するアクセス権に
ついて判断するアクセス制御手段である。このアクセス
権については特に、サーバオブジェクト6のアクセス制
御手段9に送信されてきた端末情報がモバイル環境にあ
ることを示す端末情報である時には、情報の漏洩が問題
にならない程度にそのアクセスが制限される。若しく
は、情報が漏れないように暗号化の処理が付加されるよ
うなアクセスが許可される。なお、サーバオブジェクト
6は、アクセス制御情報保持手段7、情報取得手段8、
及びアクセス制御手段9を有する。
クセス制御情報を取得する情報取得手段である。9は、
情報送信手段5から送られた端末情報及びユーザ情報
と、情報取得手段8を介してアクセス情報取得手段7に
より取得されたアクセス制御情報とにより、サーバオブ
ジェクト6へのアクセスの許認可に関するアクセス権に
ついて判断するアクセス制御手段である。このアクセス
権については特に、サーバオブジェクト6のアクセス制
御手段9に送信されてきた端末情報がモバイル環境にあ
ることを示す端末情報である時には、情報の漏洩が問題
にならない程度にそのアクセスが制限される。若しく
は、情報が漏れないように暗号化の処理が付加されるよ
うなアクセスが許可される。なお、サーバオブジェクト
6は、アクセス制御情報保持手段7、情報取得手段8、
及びアクセス制御手段9を有する。
【0020】次に、実施形態1に示すアクセス制御シス
テムのアクセス制御方法について図2を用いて説明す
る。図2は、アクセス制御方法の手順を表すフローチャ
ートである。まず、S101において、クライアント端
末1は、サーバオブジェクト6上のファイルへリクエス
トを送信し、例えば読み込みといったアクセスを要求す
る。このS101が終了するとS102へ進む。S10
2で、クライアント端末1の情報取得手段4は、ユーザ
情報保持手段2からユーザ情報を取得し、端末情報保持
手段3より端末情報を取得する。このS102が終了す
るとS103へ進む。
テムのアクセス制御方法について図2を用いて説明す
る。図2は、アクセス制御方法の手順を表すフローチャ
ートである。まず、S101において、クライアント端
末1は、サーバオブジェクト6上のファイルへリクエス
トを送信し、例えば読み込みといったアクセスを要求す
る。このS101が終了するとS102へ進む。S10
2で、クライアント端末1の情報取得手段4は、ユーザ
情報保持手段2からユーザ情報を取得し、端末情報保持
手段3より端末情報を取得する。このS102が終了す
るとS103へ進む。
【0021】S103で、クライアント端末1の情報送
信手段5は、情報取得手段4からユーザ情報及び端末情
報を取得し、これらの情報をサーバオブジェクト6のア
クセス制御手段9に送信する。このS103が終了する
とS104へ進む。S104で、サーバオブジェクト6
のアクセス制御手段9が、あるクライアント端末の情報
送信手段5より、ユーザ情報及び端末情報を受け取る
と、当該サーバオブジェクト6の情報取得手段8は、ア
クセス制御情報を、アクセス制御情報保持手段7より取
得する。このS104が終了するとS105へ進む。
信手段5は、情報取得手段4からユーザ情報及び端末情
報を取得し、これらの情報をサーバオブジェクト6のア
クセス制御手段9に送信する。このS103が終了する
とS104へ進む。S104で、サーバオブジェクト6
のアクセス制御手段9が、あるクライアント端末の情報
送信手段5より、ユーザ情報及び端末情報を受け取る
と、当該サーバオブジェクト6の情報取得手段8は、ア
クセス制御情報を、アクセス制御情報保持手段7より取
得する。このS104が終了するとS105へ進む。
【0022】S105でアクセス制御手段9は、サーバ
オブジェクト6上のファイルに対するアクセス権の付与
に関するアクセス制御情報の中の分類に、クライアント
端末1から送信されたユーザ情報及び端末情報が合致す
るかどうか判断する。アクセス制御情報の中の分類にユ
ーザ情報及び端末情報が合致しない場合にはS106へ
進む。また、アクセス制御情報の中の分類にユーザ情報
及び端末情報が合致する場合にはS108へ進む。S1
06でアクセス制御手段9は、サーバオブジェクト6上
のファイルに対するデフォルトのアクセス権の付与が可
能か、クライアント端末1から送信されたユーザ情報及
び端末情報について判断する。当該ユーザ情報及び端末
情報に対し、デフォルトのアクセス権を付与できない場
合にはS107へ進む。また、デフォルトのアクセス権
を付与できる場合にはS108へ進む。
オブジェクト6上のファイルに対するアクセス権の付与
に関するアクセス制御情報の中の分類に、クライアント
端末1から送信されたユーザ情報及び端末情報が合致す
るかどうか判断する。アクセス制御情報の中の分類にユ
ーザ情報及び端末情報が合致しない場合にはS106へ
進む。また、アクセス制御情報の中の分類にユーザ情報
及び端末情報が合致する場合にはS108へ進む。S1
06でアクセス制御手段9は、サーバオブジェクト6上
のファイルに対するデフォルトのアクセス権の付与が可
能か、クライアント端末1から送信されたユーザ情報及
び端末情報について判断する。当該ユーザ情報及び端末
情報に対し、デフォルトのアクセス権を付与できない場
合にはS107へ進む。また、デフォルトのアクセス権
を付与できる場合にはS108へ進む。
【0023】S107でアクセス制御手段9は、当該ユ
ーザ情報及び端末情報を送信してきたクライアント端末
1に対し、アクセスを拒否する旨のアクセス権を設定す
る。この処理を終了すると、一連の処理は終了する。S
108でアクセス制御手段は、当該ユーザ情報及び端末
情報を送信してきたクライアント端末1に対し、アクセ
ス制御情報に基づく程度のアクセスを許可する旨のアク
セス権や、デフォルトのアクセスを許可する旨のアクセ
ス権を設定する。この処理を終了すると、一連の処理は
終了する。
ーザ情報及び端末情報を送信してきたクライアント端末
1に対し、アクセスを拒否する旨のアクセス権を設定す
る。この処理を終了すると、一連の処理は終了する。S
108でアクセス制御手段は、当該ユーザ情報及び端末
情報を送信してきたクライアント端末1に対し、アクセ
ス制御情報に基づく程度のアクセスを許可する旨のアク
セス権や、デフォルトのアクセスを許可する旨のアクセ
ス権を設定する。この処理を終了すると、一連の処理は
終了する。
【0024】次に、本実施形態1に示すアクセス制御シ
ステム及びアクセス制御方法を、社外からメールを読む
システムに当てはめた場合について説明する。ユーザ情
報として、ユーザ名及びメールサーバ名を持つ。また、
端末情報として、暗号化のアルゴリズム及び鍵の情報を
持つ。これらの情報をクライアント端末1からサーバオ
ブジェクト6のアクセス制御手段9へ送信すると、ユー
ザ名及びメールサーバ名より当該サーバオブジェクト6
であるメールサーバに、クライアント端末1のユーザに
関するアカウントが存在するかどうか確認される。ま
た、暗号化のアルゴリズム及び鍵の情報により、メール
サーバとクライアント端末1との間でメールサーバに蓄
積されたメールを暗号化してクライアント端末1に通信
できるかといった点からアクセスの許可を出すことがで
きるかどうかのアクセス制御を行うことができる。
ステム及びアクセス制御方法を、社外からメールを読む
システムに当てはめた場合について説明する。ユーザ情
報として、ユーザ名及びメールサーバ名を持つ。また、
端末情報として、暗号化のアルゴリズム及び鍵の情報を
持つ。これらの情報をクライアント端末1からサーバオ
ブジェクト6のアクセス制御手段9へ送信すると、ユー
ザ名及びメールサーバ名より当該サーバオブジェクト6
であるメールサーバに、クライアント端末1のユーザに
関するアカウントが存在するかどうか確認される。ま
た、暗号化のアルゴリズム及び鍵の情報により、メール
サーバとクライアント端末1との間でメールサーバに蓄
積されたメールを暗号化してクライアント端末1に通信
できるかといった点からアクセスの許可を出すことがで
きるかどうかのアクセス制御を行うことができる。
【0025】これらのことから、ユーザ情報と端末情報
との組み合わせにより、クライアント端末1のユーザに
対するアクセス権を変化させることができる。特に、モ
バイル環境にあるクライアント端末1とサーバオブジェ
クト6との間での情報の漏れを防ぐことができる。ま
た、本実施形態によるアクセス制御方法は、企業名や職
務などのユーザ情報によりアクセスを許可することがで
きる。
との組み合わせにより、クライアント端末1のユーザに
対するアクセス権を変化させることができる。特に、モ
バイル環境にあるクライアント端末1とサーバオブジェ
クト6との間での情報の漏れを防ぐことができる。ま
た、本実施形態によるアクセス制御方法は、企業名や職
務などのユーザ情報によりアクセスを許可することがで
きる。
【0026】さらに、このアクセス制御方法は、端末の
ユーザがアクセスする場所や、ユーザの使用する端末に
より、同じユーザのアクセスであっても、異なるアクセ
ス権が与えられるような制御が行われる。なお、端末を
利用するユーザがアクセスする場所としては、アクセス
するサーバと同じLAN内、アクセスするサーバに対し
てプロバイダを経由した外部、同じ企業内ではあるがア
クセスするサーバとは異なる他のイントラネット内など
が考えられる。また、ユーザが使用する端末としては、
暗号化をサポートするか否かにより区別されるものが考
えられる。また、モバイル端末を使用してインターネッ
トプロバイダ経由でLANにアクセスしようとする場
合、プロバイダのユーザ名はLANでのユーザ名とは違
う可能性が高いが、このような場合でも、ユーザ情報で
制御を行うことにより、ユーザがLAN上のリソースを
利用できるようにしてもよい。
ユーザがアクセスする場所や、ユーザの使用する端末に
より、同じユーザのアクセスであっても、異なるアクセ
ス権が与えられるような制御が行われる。なお、端末を
利用するユーザがアクセスする場所としては、アクセス
するサーバと同じLAN内、アクセスするサーバに対し
てプロバイダを経由した外部、同じ企業内ではあるがア
クセスするサーバとは異なる他のイントラネット内など
が考えられる。また、ユーザが使用する端末としては、
暗号化をサポートするか否かにより区別されるものが考
えられる。また、モバイル端末を使用してインターネッ
トプロバイダ経由でLANにアクセスしようとする場
合、プロバイダのユーザ名はLANでのユーザ名とは違
う可能性が高いが、このような場合でも、ユーザ情報で
制御を行うことにより、ユーザがLAN上のリソースを
利用できるようにしてもよい。
【0027】また、本実施形態1に示すアクセス制御シ
ステム及びアクセス制御方法を、電子商取引のシステム
に当てはめた場合について、以下に説明する。ユーザ情
報としては、通常、電子商取引にて使用する支払方法
(以下、ec.methodとする)をクライアント端末1のユ
ーザ情報保持手段2に指定する。なお、ec.methodとし
ては、例えばクレジットカードや、デジタルキャッシュ
といったものがある。中でも、クレジットカードを支払
方法とするのであれば、Visa あるいは Masterといった
名称(以下、ec.nameとする)も併せてユーザ情報保持
手段2に指定する。また、ec.methodをクレジットカー
ドとするのであれば、カード番号(以下、ec.numberと
する)も併せてユーザ情報保持手段2に指定する。ま
た、ec.methodをデジタルキャッシュとするのであれ
ば、その保存場所(以下、ec.cashとする)を併せてユ
ーザ情報保持手段2に指定する。なお、これらの情報
(ec.methodとec.nameとec.numberや、ec.methodとec.c
ash等)をユーザ情報保持手段に2に保存する際には、
暗号化してもよい。
ステム及びアクセス制御方法を、電子商取引のシステム
に当てはめた場合について、以下に説明する。ユーザ情
報としては、通常、電子商取引にて使用する支払方法
(以下、ec.methodとする)をクライアント端末1のユ
ーザ情報保持手段2に指定する。なお、ec.methodとし
ては、例えばクレジットカードや、デジタルキャッシュ
といったものがある。中でも、クレジットカードを支払
方法とするのであれば、Visa あるいは Masterといった
名称(以下、ec.nameとする)も併せてユーザ情報保持
手段2に指定する。また、ec.methodをクレジットカー
ドとするのであれば、カード番号(以下、ec.numberと
する)も併せてユーザ情報保持手段2に指定する。ま
た、ec.methodをデジタルキャッシュとするのであれ
ば、その保存場所(以下、ec.cashとする)を併せてユ
ーザ情報保持手段2に指定する。なお、これらの情報
(ec.methodとec.nameとec.numberや、ec.methodとec.c
ash等)をユーザ情報保持手段に2に保存する際には、
暗号化してもよい。
【0028】また、端末情報としては、暗号化アルゴリ
ズム及びその鍵の情報を持つ。この暗号化アルゴリズム
を、クライアント端末1及びサーバオブジェクト6で共
有している場合には、これらクライアント端末1及びサ
ーバオブジェクト6間の通信を許可する。そうでない場
合、サーバオブジェクト6は、クライアント端末1から
のアクセスを却下する。なお、クライアント端末1及び
サーバオブジェクト6間で共用できる他の暗号化アルゴ
リズムがある場合には、その暗号化アルゴリズムに切り
替えてもよい。
ズム及びその鍵の情報を持つ。この暗号化アルゴリズム
を、クライアント端末1及びサーバオブジェクト6で共
有している場合には、これらクライアント端末1及びサ
ーバオブジェクト6間の通信を許可する。そうでない場
合、サーバオブジェクト6は、クライアント端末1から
のアクセスを却下する。なお、クライアント端末1及び
サーバオブジェクト6間で共用できる他の暗号化アルゴ
リズムがある場合には、その暗号化アルゴリズムに切り
替えてもよい。
【0029】クライアント端末1のユーザが電子商取引
を行う際、サーバオブジェクト6ではクライアント端末
1から送信されるユーザ情報及び端末情報を参照し、当
該ユーザに購入の許可を与えるかどうか決定する。サー
バオブジェクト6が有する、情報を見るというメソッド
(以下、browseとする)に対するアクセスは、サーバオ
ブジェクト6から発せられるユーザ情報に関わらずサー
バオブジェクト6側で許可する。
を行う際、サーバオブジェクト6ではクライアント端末
1から送信されるユーザ情報及び端末情報を参照し、当
該ユーザに購入の許可を与えるかどうか決定する。サー
バオブジェクト6が有する、情報を見るというメソッド
(以下、browseとする)に対するアクセスは、サーバオ
ブジェクト6から発せられるユーザ情報に関わらずサー
バオブジェクト6側で許可する。
【0030】しかし、当該ユーザが購入ボタンを押すな
どして、購入するためのメソッド(以下、purchaseとす
る)が呼ばれると、サーバオブジェクト6は上述のユー
ザ情報をチェックし、当該サーバオブジェクト6が保持
するアクセス制御情報と比較する。なお、purchaseもサ
ーバオブジェクト6が有する。ユーザ情報であるec.met
hodやec.nameが受け付けられない場合、サーバオブジェ
クト6は購入できない旨をクライアント端末1のユーザ
に返答し、代替手段があるかどうかをたずねる。
どして、購入するためのメソッド(以下、purchaseとす
る)が呼ばれると、サーバオブジェクト6は上述のユー
ザ情報をチェックし、当該サーバオブジェクト6が保持
するアクセス制御情報と比較する。なお、purchaseもサ
ーバオブジェクト6が有する。ユーザ情報であるec.met
hodやec.nameが受け付けられない場合、サーバオブジェ
クト6は購入できない旨をクライアント端末1のユーザ
に返答し、代替手段があるかどうかをたずねる。
【0031】一方、ec.methodやec.nameが受け付けられ
ても、ec.numberをクレジットカード会社に照会したと
ころ、無効である場合にも、サーバオブジェクト6は購
入できない旨をクライアント端末1のユーザに返答し、
代替手段があるかどうかをたずねる。なお、ec.number
が有効である場合には、当該クライアント端末1のユー
ザに対してアクセス許可が与えられる。また、ec.metho
dがサーバオブジェクト6に受け付けられても、ec.cash
に指定された場所に十分な貨幣がない場合には、ユー
ザにその旨が通知される。また、その場合、クライアン
ト端末1のユーザは、他に使用できるデジタルキャッシ
ュあるいはクレジットカードがないか尋ねられる。
ても、ec.numberをクレジットカード会社に照会したと
ころ、無効である場合にも、サーバオブジェクト6は購
入できない旨をクライアント端末1のユーザに返答し、
代替手段があるかどうかをたずねる。なお、ec.number
が有効である場合には、当該クライアント端末1のユー
ザに対してアクセス許可が与えられる。また、ec.metho
dがサーバオブジェクト6に受け付けられても、ec.cash
に指定された場所に十分な貨幣がない場合には、ユー
ザにその旨が通知される。また、その場合、クライアン
ト端末1のユーザは、他に使用できるデジタルキャッシ
ュあるいはクレジットカードがないか尋ねられる。
【0032】これらのことから、ユーザ情報により購入
メソッドへのアクセス権を制御でき、電子商取引を行え
るかどうか制御することができる。
メソッドへのアクセス権を制御でき、電子商取引を行え
るかどうか制御することができる。
【0033】実施の形態2.次に、本発明によるアクセ
ス制御システム及びアクセス制御方法の他の実施形態に
ついて図3を用いて説明する。図3は、本実施形態のア
クセス制御システムを説明するためのブロック図であ
る。図3において、21はリクエストを発行するクライ
アント端末である。22はユーザ情報保持手段であり、
ユーザ固有のユーザ情報が入力され、出力される。23
は、クライアント端末21固有の端末情報が格納される
端末情報保持手段である。24は、端末情報保持手段2
3から端末情報を取得し、ユーザ情報保持手段22から
ユーザ情報を取得する情報取得手段である。
ス制御システム及びアクセス制御方法の他の実施形態に
ついて図3を用いて説明する。図3は、本実施形態のア
クセス制御システムを説明するためのブロック図であ
る。図3において、21はリクエストを発行するクライ
アント端末である。22はユーザ情報保持手段であり、
ユーザ固有のユーザ情報が入力され、出力される。23
は、クライアント端末21固有の端末情報が格納される
端末情報保持手段である。24は、端末情報保持手段2
3から端末情報を取得し、ユーザ情報保持手段22から
ユーザ情報を取得する情報取得手段である。
【0034】25は、情報取得手段24が取得した端末
情報及びユーザ情報をアクセス制御手段30へ送信する
情報送信手段である。26はクライアント端末21で実
行するアプリケーションである。なお、クライアント端
末21は、ユーザ情報保持手段22、端末情報保持手段
23、情報取得手段24、情報送信手段25、及びアプ
リケーション26を有する。27は、クライアント端末
21からのリクエストを受け付けるサーバオブジェクト
である。28は、クライアント端末21から送信される
ユーザ情報と端末情報との組み合わせに対し、サーバオ
ブジェクト27上のメソッド31へのアクセスの許認可
が示されたアクセス制御情報を持つアクセス制御情報保
持手段である。29は、アクセス制御情報保持手段28
からアクセス制御情報を取得する情報取得手段である。
情報及びユーザ情報をアクセス制御手段30へ送信する
情報送信手段である。26はクライアント端末21で実
行するアプリケーションである。なお、クライアント端
末21は、ユーザ情報保持手段22、端末情報保持手段
23、情報取得手段24、情報送信手段25、及びアプ
リケーション26を有する。27は、クライアント端末
21からのリクエストを受け付けるサーバオブジェクト
である。28は、クライアント端末21から送信される
ユーザ情報と端末情報との組み合わせに対し、サーバオ
ブジェクト27上のメソッド31へのアクセスの許認可
が示されたアクセス制御情報を持つアクセス制御情報保
持手段である。29は、アクセス制御情報保持手段28
からアクセス制御情報を取得する情報取得手段である。
【0035】30は、情報送信手段25から送られた端
末情報及びユーザ情報と、情報取得手段29を介してア
クセス情報取得手段28により取得されたアクセス制御
情報とにより、サーバオブジェクト27上のメソッド3
1へのアクセスの許認可に関するアクセス権について判
断するアクセス制御手段である。31はアプリケーショ
ン26から呼ばれるサーバオブジェクト27内のメソッ
ドである。32はユーザ情報保持手段であり、メソッド
31の実行時にアクセス制御手段30から取得したクラ
イアント端末21のユーザ固有のユーザ情報が入力さ
れ、出力される。33は、メソッド31の実行時にアク
セス制御手段30から取得したクライアント端末21固
有の端末情報が格納される端末情報保持手段である。
末情報及びユーザ情報と、情報取得手段29を介してア
クセス情報取得手段28により取得されたアクセス制御
情報とにより、サーバオブジェクト27上のメソッド3
1へのアクセスの許認可に関するアクセス権について判
断するアクセス制御手段である。31はアプリケーショ
ン26から呼ばれるサーバオブジェクト27内のメソッ
ドである。32はユーザ情報保持手段であり、メソッド
31の実行時にアクセス制御手段30から取得したクラ
イアント端末21のユーザ固有のユーザ情報が入力さ
れ、出力される。33は、メソッド31の実行時にアク
セス制御手段30から取得したクライアント端末21固
有の端末情報が格納される端末情報保持手段である。
【0036】34は、端末情報保持手段33から端末情
報を取得し、ユーザ情報保持手段32からユーザ情報を
取得する情報取得手段である。35は、情報取得手段3
4が取得した端末情報及びユーザ情報をアクセス制御手
段40へ送信する情報送信手段である。なお、サーバオ
ブジェクト27は、アクセス制御情報保持手段28、情
報取得手段29、アクセス制御手段30、メソッド3
1、ユーザ情報保持手段32、端末情報保持手段33、
情報取得手段34、及び情報送信手段35を有する。
報を取得し、ユーザ情報保持手段32からユーザ情報を
取得する情報取得手段である。35は、情報取得手段3
4が取得した端末情報及びユーザ情報をアクセス制御手
段40へ送信する情報送信手段である。なお、サーバオ
ブジェクト27は、アクセス制御情報保持手段28、情
報取得手段29、アクセス制御手段30、メソッド3
1、ユーザ情報保持手段32、端末情報保持手段33、
情報取得手段34、及び情報送信手段35を有する。
【0037】36は、サーバオブジェクト27のメソッ
ド31からアクセスされるサーバオブジェクトである。
37はサーバオブジェクト27のメソッド31から呼ば
れるサーバオブジェクト36内のメソッドである。38
は、サーバオブジェクト27から送信されるユーザ情報
と端末情報との組み合わせに対し、サーバオブジェクト
36上のメソッド37へのアクセスの許認可が示された
アクセス制御情報を持つアクセス制御情報保持手段であ
る。39は、アクセス制御情報保持手段38からアクセ
ス制御情報を取得する情報取得手段である。
ド31からアクセスされるサーバオブジェクトである。
37はサーバオブジェクト27のメソッド31から呼ば
れるサーバオブジェクト36内のメソッドである。38
は、サーバオブジェクト27から送信されるユーザ情報
と端末情報との組み合わせに対し、サーバオブジェクト
36上のメソッド37へのアクセスの許認可が示された
アクセス制御情報を持つアクセス制御情報保持手段であ
る。39は、アクセス制御情報保持手段38からアクセ
ス制御情報を取得する情報取得手段である。
【0038】40は、情報送信手段35から送られた端
末情報及びユーザ情報と、情報取得手段39を介してア
クセス情報取得手段38により取得されたアクセス制御
情報とにより、サーバオブジェクト36上のメソッド3
7へのアクセスの許認可に関するアクセス権について判
断するアクセス制御手段である。なお、サーバオブジェ
クト36は、メソッド37、アクセス制御情報保持手段
38、情報取得手段39、及びアクセス制御手段40を
有する。
末情報及びユーザ情報と、情報取得手段39を介してア
クセス情報取得手段38により取得されたアクセス制御
情報とにより、サーバオブジェクト36上のメソッド3
7へのアクセスの許認可に関するアクセス権について判
断するアクセス制御手段である。なお、サーバオブジェ
クト36は、メソッド37、アクセス制御情報保持手段
38、情報取得手段39、及びアクセス制御手段40を
有する。
【0039】次に、実施形態2に示すアクセス制御シス
テムのアクセス制御方法について説明する。クライアン
ト端末21上のアプリケーション26がサーバオブジェ
クト27のメソッド31を呼び出す場合、クライアント
端末21の情報取得手段24はユーザ情報保持手段22
よりユーザ情報を取得し、また端末情報保持手段23よ
り端末情報を取得する。そして、クライアント端末21
の情報送信手段25は、情報取得手段24よりこれらユ
ーザ情報及び端末情報を取得し、これらユーザ情報及び
端末情報をサーバオブジェクト27のアクセス制御手段
30に送信する。サーバオブジェクト27のアクセス制
御手段30は、クライアント端末21から受信したユー
ザ情報を、サーバオブジェクト27内のユーザ情報保持
手段32に保存する。また、クライアント端末21から
受信した端末情報は、サーバオブジェクト27内の端末
情報保持手段33に保存する。
テムのアクセス制御方法について説明する。クライアン
ト端末21上のアプリケーション26がサーバオブジェ
クト27のメソッド31を呼び出す場合、クライアント
端末21の情報取得手段24はユーザ情報保持手段22
よりユーザ情報を取得し、また端末情報保持手段23よ
り端末情報を取得する。そして、クライアント端末21
の情報送信手段25は、情報取得手段24よりこれらユ
ーザ情報及び端末情報を取得し、これらユーザ情報及び
端末情報をサーバオブジェクト27のアクセス制御手段
30に送信する。サーバオブジェクト27のアクセス制
御手段30は、クライアント端末21から受信したユー
ザ情報を、サーバオブジェクト27内のユーザ情報保持
手段32に保存する。また、クライアント端末21から
受信した端末情報は、サーバオブジェクト27内の端末
情報保持手段33に保存する。
【0040】そして、アクセス制御手段30は、情報取
得手段29を介してアクセス制御情報保持手段28から
アクセス制御情報を取得する。アクセス制御情報を取得
したアクセス制御手段30は、当該アクセス制御情報の
記録に当該ユーザ情報及び端末情報が合致した場合、当
該クライアント端末21のユーザに対して、サーバオブ
ジェクト27のメソッド31に対するアクセス制御情報
に基づく所定のアクセス権を付与する。このアクセス権
が付与された場合には、メソッド31の実行が開始す
る。また、アクセス制御手段30は、受信したユーザ情
報及び端末情報がアクセス制御情報の記録に該当しなか
った場合、当該クライアント端末21のユーザに対し
て、所定の基準に基づき、デフォルトのアクセス権を付
与する。なお、クライアント端末1からサーバオブジェ
クト27のメソッド31に対するアクセスが却下された
場合には、その旨がアプリケーション26に通知され
る。
得手段29を介してアクセス制御情報保持手段28から
アクセス制御情報を取得する。アクセス制御情報を取得
したアクセス制御手段30は、当該アクセス制御情報の
記録に当該ユーザ情報及び端末情報が合致した場合、当
該クライアント端末21のユーザに対して、サーバオブ
ジェクト27のメソッド31に対するアクセス制御情報
に基づく所定のアクセス権を付与する。このアクセス権
が付与された場合には、メソッド31の実行が開始す
る。また、アクセス制御手段30は、受信したユーザ情
報及び端末情報がアクセス制御情報の記録に該当しなか
った場合、当該クライアント端末21のユーザに対し
て、所定の基準に基づき、デフォルトのアクセス権を付
与する。なお、クライアント端末1からサーバオブジェ
クト27のメソッド31に対するアクセスが却下された
場合には、その旨がアプリケーション26に通知され
る。
【0041】サーバオブジェクト27内のユーザ情報保
持手段32及び端末情報保持手段33に保存されたユー
ザ情報及び端末情報は、サーバオブジェクト27内の他
のメソッド、あるいは、他のサーバオブジェクト36の
メソッド37を実行させる時に利用される。
持手段32及び端末情報保持手段33に保存されたユー
ザ情報及び端末情報は、サーバオブジェクト27内の他
のメソッド、あるいは、他のサーバオブジェクト36の
メソッド37を実行させる時に利用される。
【0042】クライアント端末21のユーザがサーバオ
ブジェクト27のメソッド31を実行させている時、こ
のメソッド31が別のサーバオブジェクト36のメソッ
ド37を呼び出す場合、サーバオブジェクト27の情報
取得手段34は、ユーザ情報保持手段32からユーザ情
報を取得し、端末情報保持手段33から端末情報を取得
する。そして、サーバオブジェクト27の情報送信手段
35は、情報取得手段34からユーザ情報及び端末情報
を取得し、サーバオブジェクト36のアクセス制御手段
40に送信する。サーバオブジェクト36のアクセス制
御手段40は、情報取得手段39を介してアクセス制御
情報保持手段38からアクセス制御情報を取得し、この
アクセス制御情報の記録内容とサーバオブジェクト27
の情報送信手段35から送信され受信したユーザ情報及
び端末情報とを比較し、サーバオブジェクト27のメソ
ッド31によるサーバオブジェクト36のメソッド37
へのアクセス権の付与を決定する。
ブジェクト27のメソッド31を実行させている時、こ
のメソッド31が別のサーバオブジェクト36のメソッ
ド37を呼び出す場合、サーバオブジェクト27の情報
取得手段34は、ユーザ情報保持手段32からユーザ情
報を取得し、端末情報保持手段33から端末情報を取得
する。そして、サーバオブジェクト27の情報送信手段
35は、情報取得手段34からユーザ情報及び端末情報
を取得し、サーバオブジェクト36のアクセス制御手段
40に送信する。サーバオブジェクト36のアクセス制
御手段40は、情報取得手段39を介してアクセス制御
情報保持手段38からアクセス制御情報を取得し、この
アクセス制御情報の記録内容とサーバオブジェクト27
の情報送信手段35から送信され受信したユーザ情報及
び端末情報とを比較し、サーバオブジェクト27のメソ
ッド31によるサーバオブジェクト36のメソッド37
へのアクセス権の付与を決定する。
【0043】なお、クライアント端末21の情報送信手
段25からサーバオブジェクト27のメソッド31への
アクセス制御方法においては、クライアント端末21が
サーバオブジェクト27のメソッド31を呼んだ時点で
このクライアント端末21からユーザ情報及び端末情報
を送信するのではなく、クライアント端末21がサーバ
オブジェクト27のメソッド31を呼ぶと、サーバオブ
ジェクト27からクライアント端末21に対しユーザ情
報及び端末情報の送信が要求され、このサーバオブジェ
クト27からの要求に基づき、クライアント端末21の
情報送信手段25は、ユーザ情報及び端末情報をサーバ
オブジェクト27に送信するとしてもよい。
段25からサーバオブジェクト27のメソッド31への
アクセス制御方法においては、クライアント端末21が
サーバオブジェクト27のメソッド31を呼んだ時点で
このクライアント端末21からユーザ情報及び端末情報
を送信するのではなく、クライアント端末21がサーバ
オブジェクト27のメソッド31を呼ぶと、サーバオブ
ジェクト27からクライアント端末21に対しユーザ情
報及び端末情報の送信が要求され、このサーバオブジェ
クト27からの要求に基づき、クライアント端末21の
情報送信手段25は、ユーザ情報及び端末情報をサーバ
オブジェクト27に送信するとしてもよい。
【0044】また、サーバオブジェクト27が受信した
ユーザ情報及び端末情報では、メソッド31へのアクセ
ス権を決定するのに、不足するユーザ情報及び端末情報
があるという場合には、呼び出し元のクライアント端末
21上のアプリケーション26に、その不足しているユ
ーザ情報及び端末情報の送信を要求するようにしてもよ
い。また、サーバオブジェクト36が受信したユーザ情
報及び端末情報では、メソッド37へのアクセス権を決
定するのに、不足するユーザ情報及び端末情報があると
いう場合には、呼び出し元のメソッド31に、その不足
しているユーザ情報及び端末情報の送信を要求するよう
にしてもよい。
ユーザ情報及び端末情報では、メソッド31へのアクセ
ス権を決定するのに、不足するユーザ情報及び端末情報
があるという場合には、呼び出し元のクライアント端末
21上のアプリケーション26に、その不足しているユ
ーザ情報及び端末情報の送信を要求するようにしてもよ
い。また、サーバオブジェクト36が受信したユーザ情
報及び端末情報では、メソッド37へのアクセス権を決
定するのに、不足するユーザ情報及び端末情報があると
いう場合には、呼び出し元のメソッド31に、その不足
しているユーザ情報及び端末情報の送信を要求するよう
にしてもよい。
【0045】このように、メソッド毎にアクセス制御を
行う際に、メソッド毎に何度もクライアント端末からユ
ーザ情報及び端末情報を送信する必要が無いため、効率
的にアクセス制御を行うことができる。
行う際に、メソッド毎に何度もクライアント端末からユ
ーザ情報及び端末情報を送信する必要が無いため、効率
的にアクセス制御を行うことができる。
【0046】このアクセス制御方法は、OSの機能を利用
するのではなく、言語によりアクセス制御機能を備える
ため、言語レベルでアクセス制御を実現することができ
る。言語レベルでアクセス制御を行うことにより、OSの
機能に依存しないで、アクセス制御を行うことができ
る。言語レベルでアクセス制御が行えるということは、
OSに依存しない言語を使用すれば、プラットフォームに
依存しないアクセス制御が可能となる。
するのではなく、言語によりアクセス制御機能を備える
ため、言語レベルでアクセス制御を実現することができ
る。言語レベルでアクセス制御を行うことにより、OSの
機能に依存しないで、アクセス制御を行うことができ
る。言語レベルでアクセス制御が行えるということは、
OSに依存しない言語を使用すれば、プラットフォームに
依存しないアクセス制御が可能となる。
【0047】実施の形態3.次に、本発明によるアクセ
ス制御システム及びアクセス制御方法の他の実施形態に
ついて図4を用いて説明する。図4は、本実施形態のア
クセス制御システムを説明するためのブロック図であ
る。図4において、51はリクエストを発行するクライ
アント端末である。52はユーザ情報保持手段であり、
ユーザ固有のユーザ情報が入力され、出力される。53
は、クライアント端末51固有の端末情報が格納される
端末情報保持手段である。54は、端末情報保持手段5
3から端末情報を取得し、ユーザ情報保持手段52から
ユーザ情報を取得する情報取得手段である。55は、情
報取得手段54が取得した端末情報及びユーザ情報をア
クセス制御手段59へ送信する情報送信手段である。な
お、クライアント端末51は、ユーザ情報保持手段5
2、端末情報保持手段53、情報取得手段54、及び情
報送信手段55を有する。
ス制御システム及びアクセス制御方法の他の実施形態に
ついて図4を用いて説明する。図4は、本実施形態のア
クセス制御システムを説明するためのブロック図であ
る。図4において、51はリクエストを発行するクライ
アント端末である。52はユーザ情報保持手段であり、
ユーザ固有のユーザ情報が入力され、出力される。53
は、クライアント端末51固有の端末情報が格納される
端末情報保持手段である。54は、端末情報保持手段5
3から端末情報を取得し、ユーザ情報保持手段52から
ユーザ情報を取得する情報取得手段である。55は、情
報取得手段54が取得した端末情報及びユーザ情報をア
クセス制御手段59へ送信する情報送信手段である。な
お、クライアント端末51は、ユーザ情報保持手段5
2、端末情報保持手段53、情報取得手段54、及び情
報送信手段55を有する。
【0048】56は、クライアント端末51からレジス
トリ・オブジェクト63へアクセスするためのツールで
あるレジストリ・アクセス・オブジェクトである。57
は、クライアント端末51から送信されるユーザ情報と
端末情報との組み合わせに対し、レジストリ・アクセス
・オブジェクト56へのアクセスの許認可が示されたア
クセス制御情報を持つアクセス制御情報保持手段であ
る。58は、アクセス制御情報保持手段57からアクセ
ス制御情報を取得する情報取得手段である。
トリ・オブジェクト63へアクセスするためのツールで
あるレジストリ・アクセス・オブジェクトである。57
は、クライアント端末51から送信されるユーザ情報と
端末情報との組み合わせに対し、レジストリ・アクセス
・オブジェクト56へのアクセスの許認可が示されたア
クセス制御情報を持つアクセス制御情報保持手段であ
る。58は、アクセス制御情報保持手段57からアクセ
ス制御情報を取得する情報取得手段である。
【0049】59は、情報送信手段55から送られた端
末情報及びユーザ情報と、情報取得手段58を介してア
クセス情報取得手段57により取得されたアクセス制御
情報とにより、レジストリ・アクセス・オブジェクト5
6へのアクセスの許認可に関するアクセス権について判
断するアクセス制御手段である。60は、レジストリ・
アクセス・オブジェクト56に関するオブジェクト情報
を保持するオブジェクト情報保持手段である。61は、
オブジェクト情報保持手段60からオブジェクト情報を
取得する情報取得手段である。
末情報及びユーザ情報と、情報取得手段58を介してア
クセス情報取得手段57により取得されたアクセス制御
情報とにより、レジストリ・アクセス・オブジェクト5
6へのアクセスの許認可に関するアクセス権について判
断するアクセス制御手段である。60は、レジストリ・
アクセス・オブジェクト56に関するオブジェクト情報
を保持するオブジェクト情報保持手段である。61は、
オブジェクト情報保持手段60からオブジェクト情報を
取得する情報取得手段である。
【0050】62は、情報取得手段61が取得したオブ
ジェクト情報をレジストリ・オブジェクト63のアクセ
ス制御手段66へ送信する情報送信手段である。なお、
レジストリ・アクセス・オブジェクト56は、アクセス
制御情報保持手段57、情報取得手段58、アクセス制
御手段59、オブジェクト情報保持手段60、情報取得
手段61、及び情報送信手段62を有する。
ジェクト情報をレジストリ・オブジェクト63のアクセ
ス制御手段66へ送信する情報送信手段である。なお、
レジストリ・アクセス・オブジェクト56は、アクセス
制御情報保持手段57、情報取得手段58、アクセス制
御手段59、オブジェクト情報保持手段60、情報取得
手段61、及び情報送信手段62を有する。
【0051】63はレジストリを保存するレジストリ・
オブジェクトである。64は、レジストリ・アクセス・
オブジェクト56から送信されるオブジェクト情報に対
し、レジストリ・オブジェクト63へのアクセスの許認
可が示されたアクセス制御情報を持つアクセス制御情報
保持手段である。65は、アクセス制御情報保持手段6
4からアクセス制御情報を取得する情報取得手段であ
る。
オブジェクトである。64は、レジストリ・アクセス・
オブジェクト56から送信されるオブジェクト情報に対
し、レジストリ・オブジェクト63へのアクセスの許認
可が示されたアクセス制御情報を持つアクセス制御情報
保持手段である。65は、アクセス制御情報保持手段6
4からアクセス制御情報を取得する情報取得手段であ
る。
【0052】66は、レジストリ・アクセス・オブジェ
クト56の情報送信手段62から送られたオブジェクト
情報と、情報取得手段65を介してアクセス情報取得手
段64により取得されたアクセス制御情報とにより、レ
ジストリ・オブジェクト63へのアクセスの許認可に関
するアクセス権について判断するアクセス制御手段であ
る。なお、レジストリ・オブジェクト63は、アクセス
制御情報保持手段64、情報取得手段65、及びアクセ
ス制御手段66を有する。
クト56の情報送信手段62から送られたオブジェクト
情報と、情報取得手段65を介してアクセス情報取得手
段64により取得されたアクセス制御情報とにより、レ
ジストリ・オブジェクト63へのアクセスの許認可に関
するアクセス権について判断するアクセス制御手段であ
る。なお、レジストリ・オブジェクト63は、アクセス
制御情報保持手段64、情報取得手段65、及びアクセ
ス制御手段66を有する。
【0053】次に、実施形態3に示すアクセス制御シス
テムのアクセス制御方法について説明する。クライアン
ト端末51からレジストリ・アクセス・オブジェクト5
6へユーザ情報及び端末情報を送信するのは、他の実施
形態と同様であり、その説明を省略する。レジストリ・
アクセス・オブジェクト56のアクセス制御手段59
で、レジストリ・アクセス・オブジェクト56に対する
アクセスが、クライアント端末51のユーザに対して許
されると、レジストリ・アクセス・オブジェクト56の
情報取得手段61は、オブジェクト情報保持手段60か
らオブジェクト情報を取得する。そして、レジストリ・
アクセス・オブジェクト56の情報送信手段62は、情
報取得手段61より当該オブジェクト情報を取得し、レ
ジストリ・オブジェクト63のアクセス制御手段66へ
送信する。
テムのアクセス制御方法について説明する。クライアン
ト端末51からレジストリ・アクセス・オブジェクト5
6へユーザ情報及び端末情報を送信するのは、他の実施
形態と同様であり、その説明を省略する。レジストリ・
アクセス・オブジェクト56のアクセス制御手段59
で、レジストリ・アクセス・オブジェクト56に対する
アクセスが、クライアント端末51のユーザに対して許
されると、レジストリ・アクセス・オブジェクト56の
情報取得手段61は、オブジェクト情報保持手段60か
らオブジェクト情報を取得する。そして、レジストリ・
アクセス・オブジェクト56の情報送信手段62は、情
報取得手段61より当該オブジェクト情報を取得し、レ
ジストリ・オブジェクト63のアクセス制御手段66へ
送信する。
【0054】レジストリ・オブジェクト63のアクセス
制御手段66は、レジストリ・アクセス・オブジェクト
56の情報送信手段62よりオブジェクト情報を受け取
ると、情報取得手段65を介してアクセス制御情報保持
手段64からアクセス制御情報を取得し、これら受け取
ったオブジェクト情報とアクセス制御情報との比較結果
に基づき、クライアント端末51のユーザに対してアク
セス権を付与する。
制御手段66は、レジストリ・アクセス・オブジェクト
56の情報送信手段62よりオブジェクト情報を受け取
ると、情報取得手段65を介してアクセス制御情報保持
手段64からアクセス制御情報を取得し、これら受け取
ったオブジェクト情報とアクセス制御情報との比較結果
に基づき、クライアント端末51のユーザに対してアク
セス権を付与する。
【0055】なお、クライアント端末51からレジスト
リ・オブジェクト63へのアクセスは、レジストリ・ア
クセス・オブジェクト56を介してのみ許可され、当該
クライアント端末51から直接レジストリ・オブジェク
ト63に対してアクセスしようとしても、レジストリ・
オブジェクト63のアクセス制御手段66によりそのア
クセスは拒否される。
リ・オブジェクト63へのアクセスは、レジストリ・ア
クセス・オブジェクト56を介してのみ許可され、当該
クライアント端末51から直接レジストリ・オブジェク
ト63に対してアクセスしようとしても、レジストリ・
オブジェクト63のアクセス制御手段66によりそのア
クセスは拒否される。
【0056】つまり、レジストリ・オブジェクト63の
アクセス制御手段66は、クライアント端末51から送
信されるユーザ情報及び端末情報に基づきアクセス権を
付与するのではなく、レジストリ・アクセス・オブジェ
クト56で付け替えられたオブジェクト情報に基づき、
レジストリ・オブジェクト63へのアクセスを実現して
いる。なお、レジストリ・アクセス・オブジェクト56
のみが、レジストリ・オブジェクト63へのアクセスの
特権を有するものとする。
アクセス制御手段66は、クライアント端末51から送
信されるユーザ情報及び端末情報に基づきアクセス権を
付与するのではなく、レジストリ・アクセス・オブジェ
クト56で付け替えられたオブジェクト情報に基づき、
レジストリ・オブジェクト63へのアクセスを実現して
いる。なお、レジストリ・アクセス・オブジェクト56
のみが、レジストリ・オブジェクト63へのアクセスの
特権を有するものとする。
【0057】また、レジストリ・オブジェクト63への
アクセスの特権を、特定のレジストリ・アクセス・オブ
ジェクト56のメソッドからのアクセスのみに限定して
もよい。例えば、レジストリ・オブジェクト63のアク
セス制御情報保持手段64が、あるメソッド(以下、lo
okupとする)に関するアクセス制御情報を持つとすれ
ば、上述の例ではlookupを介してレジストリ・オブジェ
クト63へアクセスしたクライアント端末51のみ、ア
クセス可能となる。
アクセスの特権を、特定のレジストリ・アクセス・オブ
ジェクト56のメソッドからのアクセスのみに限定して
もよい。例えば、レジストリ・オブジェクト63のアク
セス制御情報保持手段64が、あるメソッド(以下、lo
okupとする)に関するアクセス制御情報を持つとすれ
ば、上述の例ではlookupを介してレジストリ・オブジェ
クト63へアクセスしたクライアント端末51のみ、ア
クセス可能となる。
【0058】また、レジストリ・アクセス・オブジェク
ト56からレジストリ・オブジェクト63へのアクセス
に際して、オブジェクト情報と共にユーザ情報及び端末
情報を用いてもよい。これによると、あるユーザに対し
ては、レジストリ・アクセス・オブジェクト56でオブ
ジェクト情報が得られれば、広範なメソッドに対して実
行許可が与えられる。それに対し、別のユーザに対して
は、レジストリ・アクセス・オブジェクト56でオブジ
ェクト情報が得られたとしても、一部の限定されたメソ
ッドのみしか実行できないように設定することができ
る。
ト56からレジストリ・オブジェクト63へのアクセス
に際して、オブジェクト情報と共にユーザ情報及び端末
情報を用いてもよい。これによると、あるユーザに対し
ては、レジストリ・アクセス・オブジェクト56でオブ
ジェクト情報が得られれば、広範なメソッドに対して実
行許可が与えられる。それに対し、別のユーザに対して
は、レジストリ・アクセス・オブジェクト56でオブジ
ェクト情報が得られたとしても、一部の限定されたメソ
ッドのみしか実行できないように設定することができ
る。
【0059】このように、直接にはアクセスできないオ
ブジェクトあるいはオブジェクトのメソッドに対して、
特定のオブジェクトを介してアクセスすることにより、
特権モードを行使してアクセスを許可するように設定す
ることができる。
ブジェクトあるいはオブジェクトのメソッドに対して、
特定のオブジェクトを介してアクセスすることにより、
特権モードを行使してアクセスを許可するように設定す
ることができる。
【0060】
【発明の効果】以上のように、この発明にかかるアクセ
ス制御システムは、ユーザ固有のユーザ情報を有するユ
ーザ情報保持手段、及び端末固有の端末情報を有する端
末情報保持手段を有し、ユーザ情報及び端末情報を送信
する端末と、ユーザ情報及び端末情報を無線によるネッ
トワークを介し受信するアクセス制御手段、及びユーザ
情報及び端末情報の組み合わせとオブジェクトが提供で
きるサービスとが関連付けられ記録されたアクセス制御
情報を有するアクセス制御情報保持手段を有し、アクセ
ス制御手段が、受信したユーザ情報及び端末情報とアク
セス制御情報とにより、端末のユーザに対し、オブジェ
クトの提供できるサービスに関するアクセス権を決定す
るオブジェクトとからなるものであり、ユーザIDにと
らわれないアクセス制御が可能であり、動的に変化する
端末情報によりアクセス権を変化させることができるの
で、社外から社内のシステムにアクセスするといったモ
バイル環境に対応したアクセス制御を行うことができ
る。
ス制御システムは、ユーザ固有のユーザ情報を有するユ
ーザ情報保持手段、及び端末固有の端末情報を有する端
末情報保持手段を有し、ユーザ情報及び端末情報を送信
する端末と、ユーザ情報及び端末情報を無線によるネッ
トワークを介し受信するアクセス制御手段、及びユーザ
情報及び端末情報の組み合わせとオブジェクトが提供で
きるサービスとが関連付けられ記録されたアクセス制御
情報を有するアクセス制御情報保持手段を有し、アクセ
ス制御手段が、受信したユーザ情報及び端末情報とアク
セス制御情報とにより、端末のユーザに対し、オブジェ
クトの提供できるサービスに関するアクセス権を決定す
るオブジェクトとからなるものであり、ユーザIDにと
らわれないアクセス制御が可能であり、動的に変化する
端末情報によりアクセス権を変化させることができるの
で、社外から社内のシステムにアクセスするといったモ
バイル環境に対応したアクセス制御を行うことができ
る。
【図1】 この発明の実施形態1のアクセス制御システ
ム及びアクセス制御方法を説明するためのブロック図で
ある。
ム及びアクセス制御方法を説明するためのブロック図で
ある。
【図2】 この発明の実施形態1のアクセス制御方法の
手順を表すフローチャートである。
手順を表すフローチャートである。
【図3】 この発明の実施形態2のアクセス制御システ
ム及びアクセス制御方法を説明するためのブロック図で
ある。
ム及びアクセス制御方法を説明するためのブロック図で
ある。
【図4】 この発明の実施形態3のアクセス制御システ
ム及びアクセス制御方法を説明するためのブロック図で
ある。
ム及びアクセス制御方法を説明するためのブロック図で
ある。
【図5】 従来のアクセス制御方法の手順を表すフロー
チャートである。
チャートである。
1 クライアント端末、2 ユーザ情報保持手段、3
端末情報保持手段、4情報取得手段、5 情報送信手
段、6 サーバオブジェクト、7 アクセス制御情報保
持手段、8 情報取得手段、9 アクセス制御手段、2
1 クライアント端末、22 ユーザ情報保持手段、2
3 端末情報保持手段、24 情報取得手段、25 情
報送信手段、26 アプリケーション、27サーバオブ
ジェクト、28 アクセス制御情報保持手段、29 情
報取得手段、30 アクセス制御手段、31 メソッ
ド、32 ユーザ情報保持手段、33端末情報保持手
段、34 情報取得手段、35 情報送信手段、36
サーバオブジェクト、37 メソッド、38 アクセス
制御情報保持手段、39 情報取得手段、40 アクセ
ス制御手段、51 クライアント端末、52 ユーザ情
報保持手段、53 端末情報保持手段、54 情報取得
手段、55 情報送信手段、56 レジストリアクセス
オブジェクト、57 アクセス制御情報保持手段、58
情報取得手段、59 アクセス制御手段、60 オブ
ジェクト情報保持手段、61 情報取得手段、62 情
報送信手段、63 レジストリオブジェクト、64 ア
クセス制御情報保持手段、65 情報取得手段、66
アクセス制御手段。
端末情報保持手段、4情報取得手段、5 情報送信手
段、6 サーバオブジェクト、7 アクセス制御情報保
持手段、8 情報取得手段、9 アクセス制御手段、2
1 クライアント端末、22 ユーザ情報保持手段、2
3 端末情報保持手段、24 情報取得手段、25 情
報送信手段、26 アプリケーション、27サーバオブ
ジェクト、28 アクセス制御情報保持手段、29 情
報取得手段、30 アクセス制御手段、31 メソッ
ド、32 ユーザ情報保持手段、33端末情報保持手
段、34 情報取得手段、35 情報送信手段、36
サーバオブジェクト、37 メソッド、38 アクセス
制御情報保持手段、39 情報取得手段、40 アクセ
ス制御手段、51 クライアント端末、52 ユーザ情
報保持手段、53 端末情報保持手段、54 情報取得
手段、55 情報送信手段、56 レジストリアクセス
オブジェクト、57 アクセス制御情報保持手段、58
情報取得手段、59 アクセス制御手段、60 オブ
ジェクト情報保持手段、61 情報取得手段、62 情
報送信手段、63 レジストリオブジェクト、64 ア
クセス制御情報保持手段、65 情報取得手段、66
アクセス制御手段。
Claims (11)
- 【請求項1】 ユーザ固有のユーザ情報を有するユーザ
情報保持手段、及び端末固有の端末情報を有する端末情
報保持手段を有し、上記ユーザ情報及び端末情報を送信
する上記端末と、上記ユーザ情報及び端末情報を有線あ
るいは無線によるネットワークを介し受信するアクセス
制御手段、及びユーザ情報及び端末情報の組み合わせと
オブジェクトが提供できるサービスとが関連付けられ記
録されたアクセス制御情報を有するアクセス制御情報保
持手段を有し、上記アクセス制御手段が、受信した上記
ユーザ情報及び端末情報とアクセス制御情報とにより、
上記端末のユーザに対し、上記オブジェクトの提供でき
るサービスに関するアクセス権を決定する上記オブジェ
クトとからなることを特徴とするアクセス制御システ
ム。 - 【請求項2】 端末情報は暗号アルゴリズム及びその鍵
に関する情報であることを特徴とする請求項1に記載の
アクセス制御システム。 - 【請求項3】 端末情報は端末が使用中のネットワーク
の種類や速度に関する情報であることを特徴とする請求
項1に記載のアクセス制御システム。 - 【請求項4】 アクセス制御手段は、受信したユーザ情
報及び端末情報に、オブジェクトによる提供サービスに
関するアクセス権を決定するために必要な情報が不足し
ている場合には、当該情報が不足している旨を上記端末
に通知することを特徴とする請求項1〜3のいずれかに
記載のアクセス制御システム。 - 【請求項5】 端末はオブジェクトのある特定機能を実
行させる上記オブジェクトが有するメソッドに対し、上
記端末に関するユーザ情報及び端末情報を送信し、上記
オブジェクトはアクセス制御手段により、受信した上記
ユーザ情報及び端末情報とアクセス制御情報とにより、
上記端末のユーザに対し、上記メソッドの実行に関する
関するアクセス権を決定することを特徴とする請求項1
〜4のいずれかに記載のアクセス制御システム。 - 【請求項6】 ユーザ固有のユーザ情報を有する第1の
ユーザ情報保持手段、及び端末固有の端末情報を有する
第1の端末情報保持手段を有し、上記ユーザ情報及び端
末情報を送信する上記端末と、上記端末から送信された
ユーザ情報及び端末情報を有線あるいは無線によるネッ
トワークを介し受信する第1のアクセス制御手段、上記
ユーザ情報が記録される第2のユーザ情報保持手段、上
記端末情報が記録される第2の端末情報保持手段、及び
ユーザ情報及び端末情報の組み合わせと第1のオブジェ
クトが提供できるサービスとが関連付けられ記録された
第1のアクセス制御情報を有する第1のアクセス制御情報
保持手段を有し、上記第1のアクセス制御手段が、受信
した上記ユーザ情報及び端末情報と第1のアクセス制御
情報とにより、上記オブジェクトの提供できるサービス
に関するアクセス権を決定し、上記ユーザ情報及び端末
情報を送信する上記第1のオブジェクトと、上記第1のオ
ブジェクトから送信されたユーザ情報及び端末情報を受
信する第2のアクセス制御手段、及びユーザ情報及び端
末情報の組み合わせと第2のオブジェクトが提供できる
サービスとが関連付けられ記録された第2のアクセス制
御情報を有する第2のアクセス制御情報保持手段を有
し、上記第2のアクセス制御手段が、受信した上記ユー
ザ情報及び端末情報と第2のアクセス制御情報とによ
り、上記第1のオブジェクトを介し、上記端末のユーザ
に対し、上記第2のオブジェクトの提供できるサービス
に関するアクセス権を決定する上記第2のオブジェクト
とからなることを特徴とするアクセス制御システム。 - 【請求項7】 ユーザ固有のユーザ情報を有するユーザ
情報保持手段、及び端末固有の端末情報を有する端末情
報保持手段を有し、上記ユーザ情報及び端末情報を送信
する上記端末と、上記ユーザ情報及び端末情報を有線あ
るいは無線によるネットワークを介し受信する第1のア
クセス制御手段、及びユーザ情報及び端末情報の組み合
わせと第1のオブジェクトが提供できるサービスとが関
連付けられ記録された第1のアクセス制御情報を有する
第1のアクセス制御情報保持手段を有し、上記第1のアク
セス制御手段が、上記ユーザ情報及び端末情報と第1の
アクセス制御情報とにより、上記オブジェクトの提供で
きるサービスに関するアクセス権を決定し、上記ユーザ
情報及び端末情報に基づく上記第1のオブジェクト固有
のオブジェクト情報を送信する上記第1のオブジェクト
と、上記オブジェクト情報を受信する第2のアクセス制
御手段、及びオブジェクト情報と第2のオブジェクトが
提供できるサービスとが関連付けられ記録された第2の
アクセス制御情報を有する第2のアクセス制御情報保持
手段を有し、上記第2のアクセス制御手段が、受信した
上記オブジェクト情報と第2のアクセス制御情報とによ
り、上記第1のオブジェクトを介し、上記端末のユーザ
に対し、上記第2のオブジェクトの提供できるサービス
に関するアクセス権を決定する上記第2のオブジェクト
とからなることを特徴とするアクセス制御システム。 - 【請求項8】 端末からユーザ固有のユーザ情報及び端
末固有の端末情報が送信され、オブジェクトのアクセス
制御手段は、上記ユーザ情報及び端末情報を有線あるい
は無線によるネットワークを介して受信し、ユーザ情報
及び端末情報の組み合わせと上記オブジェクトが提供で
きるサービスとが関連付けられたアクセス制御情報を取
得し、上記端末のユーザに対して、上記オブジェクトの
提供できるサービスに関するアクセス権を決定すること
を特徴とするアクセス制御方法。 - 【請求項9】 端末からアクセスを要求するアクセス要
求が送信され、オブジェクトのアクセス制御手段は、有
線あるいは無線によるネットワークを介して受信した上
記アクセス要求に基づき、上記アクセスに必要なユーザ
固有のユーザ情報及び端末固有の端末情報の送信を要求
し、上記端末は、上記ユーザ情報及び端末情報の送信要
求に対し、当該ユーザ情報及び端末情報を送信し、上記
オブジェクトのアクセス制御手段は、ユーザ情報及び端
末情報の組み合わせと上記オブジェクトが提供できるサ
ービスとが関連付けられたアクセス制御情報を取得し、
上記ユーザ情報及び端末情報に基づき、上記端末のユー
ザに対して、上記オブジェクトの提供できるサービスに
関するアクセス権を決定することを特徴とするアクセス
制御方法。 - 【請求項10】 端末からユーザ固有のユーザ情報及び
端末固有の端末情報が送信され、第1のオブジェクトの
第1のアクセス制御手段は、上記端末から送信された上
記ユーザ情報及び端末情報を有線あるいは無線によるネ
ットワークを介して受信し、ユーザ情報及び端末情報の
組み合わせと上記第1のオブジェクトが提供できるサー
ビスとが関連付けられた第1のアクセス制御情報を取得
し、上記第1のオブジェクトの提供できるサービスに関
するアクセス権を決定し、第2のオブジェクトの第2の
アクセス制御手段は、上記第1のオブジェクトから送信
された上記ユーザ情報及び端末情報を受信し、ユーザ情
報及び端末情報の組み合わせと上記第2のオブジェクト
が提供できるサービスとが関連付けられた第2のアクセ
ス制御情報を取得し、上記第1のオブジェクトを介し、
上記端末のユーザに対して、上記第2のオブジェクトの
提供できるサービスに関するアクセス権を決定すること
を特徴とするアクセス制御方法。 - 【請求項11】 端末からユーザ固有のユーザ情報及び
端末固有の端末情報が送信され、第1のオブジェクトの
第1のアクセス制御手段は、上記端末から送信された上
記ユーザ情報及び端末情報を有線あるいは無線によるネ
ットワークを介して受信し、ユーザ情報及び端末情報の
組み合わせと上記第1のオブジェクトが提供できるサー
ビスとが関連付けられた第1のアクセス制御情報を取得
し、上記第1のオブジェクトの提供できるサービスに関
するアクセス権を決定し、第2のオブジェクトの第2の
アクセス制御手段は、上記第1のオブジェクトから送信
された上記ユーザ情報及び端末情報に基づくオブジェク
ト情報を受信し、オブジェクト情報と上記第2のオブジ
ェクトが提供できるサービスとが関連付けられた第2の
アクセス制御情報を取得し、上記第1のオブジェクトを
介し、上記端末のユーザに対して、上記第2のオブジェ
クトの提供できるサービスに関するアクセス権を決定す
ることを特徴とするアクセス制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10342746A JP2000172565A (ja) | 1998-12-02 | 1998-12-02 | アクセス制御システム及びアクセス制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10342746A JP2000172565A (ja) | 1998-12-02 | 1998-12-02 | アクセス制御システム及びアクセス制御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000172565A true JP2000172565A (ja) | 2000-06-23 |
Family
ID=18356180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10342746A Pending JP2000172565A (ja) | 1998-12-02 | 1998-12-02 | アクセス制御システム及びアクセス制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000172565A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008204468A (ja) * | 2000-03-22 | 2008-09-04 | Hitachi Omron Terminal Solutions Corp | アクセス制御システム |
| JP2016062434A (ja) * | 2014-09-19 | 2016-04-25 | 富士ゼロックス株式会社 | 画像形成装置及びプログラム |
-
1998
- 1998-12-02 JP JP10342746A patent/JP2000172565A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008204468A (ja) * | 2000-03-22 | 2008-09-04 | Hitachi Omron Terminal Solutions Corp | アクセス制御システム |
| JP2016062434A (ja) * | 2014-09-19 | 2016-04-25 | 富士ゼロックス株式会社 | 画像形成装置及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3497342B2 (ja) | クライアント・サーバシステム、サーバ、クライアント処理方法及びサーバ処理方法 | |
| US8819784B2 (en) | Method for managing access to protected resources and delegating authority in a computer network | |
| US8838986B2 (en) | Invocation of third party's service | |
| US9769137B2 (en) | Extensible mechanism for securing objects using claims | |
| US6035404A (en) | Concurrent user access control in stateless network computing service system | |
| JP5509334B2 (ja) | コンピュータネットワーク内の保護リソースへのアクセスを管理するための方法と、そのための物理エンティティおよびコンピュータプログラム | |
| EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| JP2002505459A (ja) | メソッド毎のセキュリティ要件の指定 | |
| EP2149102A1 (en) | Request-specific authentication for accessing web service resources | |
| US9959395B2 (en) | Hybrid digital rights management system and related document access authorization method | |
| US20040260949A1 (en) | Chaining of services | |
| US20150341362A1 (en) | Method and system for selectively permitting non-secure application to communicate with secure application | |
| JPWO2011086787A1 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| US20030145044A1 (en) | Virtual terminal for mobile network interface between mobile terminal and software applications node | |
| CN113271289A (zh) | 用于资源授权和访问的方法、***和计算机存储介质 | |
| JPH04343157A (ja) | ソフトウェアコマンドオペレーションの合意的な委任を許可する方法及びデータ処理システム | |
| JP2003248659A (ja) | コンテンツへのアクセス制御のための方法とコンテンツへのアクセス制御のためのシステム | |
| Erdos et al. | Extending the OSF DCE authorization system to support practical delegation | |
| JP2000172565A (ja) | アクセス制御システム及びアクセス制御方法 | |
| EP1639420B1 (en) | User access to a registry of business entity definitions | |
| KR100848321B1 (ko) | 프라이버시 도메인 간 개인 정보 유통의 제어를 위한 방법및 그 장치 | |
| JP2002251323A (ja) | アクセス管理プログラム | |
| JP2002505477A (ja) | スタックベースのセキュリティ要求 | |
| US8875300B1 (en) | Method and apparatus for authenticating a request between tasks in an operating system | |
| JP4234335B2 (ja) | 情報処理装置およびシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20040623 |