JPH103420A - アクセス制御システムおよびその方法 - Google Patents
アクセス制御システムおよびその方法Info
- Publication number
- JPH103420A JPH103420A JP8154118A JP15411896A JPH103420A JP H103420 A JPH103420 A JP H103420A JP 8154118 A JP8154118 A JP 8154118A JP 15411896 A JP15411896 A JP 15411896A JP H103420 A JPH103420 A JP H103420A
- Authority
- JP
- Japan
- Prior art keywords
- identifier
- service request
- service
- access control
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
トの資源を共有する分散システムにおいて、その共有資
源を安全かつ柔軟に保護することができない。 【解決手段】 サーバ102は、クライアント103からサー
ビス要求を受信すると、そのサービス要求から端末およ
び利用者の識別子を取得し、取得した端末および利用者
識別子から、そのサービス要求に対する権限を一意に決
定する。そして、決定した権限を用いてサービス要求を
受理するか否かを判定する。
Description
ムおよびその方法に関し、例えば、コンピュータネット
ワークを用いて遠隔サイトの資源を共有する分散システ
ムのアクセス制御システムおよびその方法に関するもの
である。
分散システムにおける認証機構と、各サイトにおける資
源保護機構とを組み合わせたものが一般的である。
N)による比較的小規模なネットワーク環境では、ネット
ワークを介したファイル共有手段である分散ファイルシ
ステムが用いられる。この場合、ユーザ管理形態を統一
することで、サイトレベルの利用者認証手段をネットワ
ーク環境においても流用し、認証された利用者の権限に
基づく資源保護が行われている。これらを実現するファ
イルアクセス制御手段は、一般に、オぺレーティングシ
ステム(OS)により提供される。
よる比較的大規模なネットワーク環境では、ユーザ管理
形態を統一することは困難であるから、認証システムに
よる認証が用いられることになる。大規模ネットワーク
環境においては、小規模ネットワーク環境に比べて資源
自体を共有する機会は少ないが、資源保護機構として最
終的に用いられる機構がOSによって提供される点につい
ては、小規模ネットワーク環境の場合と同様である。
においては、次のような問題点がある。
機構を分散システムに適用しただけでは、充分な信頼性
を確保できない点である。サイト間でユーザ管理形態を
統一する場合であっても、それが強制力をもたず、ある
サイトが一部の管理情報を個別に変更できる場合など、
サイトの管理者はユーザになりすますことが可能であ
り、資源提供者はそれを検知することが困難である。
保護機構を分散資源に適用する場合、通常、資源保護機
構が稼動するサイトにおいてのみ効力をもつため、外部
からの資源操作要求は当該サイトにおける然るべき権限
によって処理されなければならない。しかし、一旦認証
された利用者が同一の権限をもつ限り、同一ユーザであ
ってもサイトによって信頼性や権限レベルが異なるよう
な状況には対処することができない。
のであり、分散システムにおける共有資源をアクセスす
る場合に、その共有資源を安全かつ柔軟に保護すること
ができるアクセス制御システムおよびその方法を提供す
ることを目的とする。
達成する一手段として、以下の構成を備える。
コンピュータネットワークを用いて遠隔サイトの資源を
共有する分散システムのアクセス制御システムであっ
て、サービスを要求する端末の識別子および利用者の識
別子を取得する取得手段と、取得した端末識別子および
利用者識別子から、そのサービス要求に対する権限を一
意に決定する決定手段と、決定した権限を用いて前記サ
ービス要求を受理するか否かを判定する判定手段とを有
することを特徴とする。
遠隔サイトの資源を共有する分散システムのアクセス制
御システムであって、サービスを要求する利用者の識別
子を取得し、取得した利用者識別子を付加したサービス
要求メッセージを所定の宛先へ送信することによりサー
ビス要求を代行するとともに、受信したメッセージの配
布を行う中継手段と、受信したサービス要求メッセージ
に付加された識別子を利用者識別子として取得するとと
もに、そのサービス要求メッセージを送信した中継手段
の識別子を端末識別子として取得し、取得した端末識別
子および利用者識別子から、そのサービス要求に対する
権限を一意に決定し、決定した権限を用いて前記サービ
ス要求を受理するか否かを判定するサービス提供手段と
を有することを特徴とする。
ピュータネットワークを用いて遠隔サイトの資源を共有
する分散システムのアクセス制御方式であって、サービ
スを要求する端末の識別子および利用者の識別子を取得
する取得ステップと、取得した端末識別子および利用者
識別子から、そのサービス要求に対する権限を一意に決
定する決定ステップと、決定した権限を用いて前記サー
ビス要求を受理するか否かを判定する判定ステップとを
有することを特徴とする。
遠隔サイトの資源を共有する分散システムのアクセス制
御方式であって、サービス要求の代行および受信したメ
ッセージの配布を行う中継手段において、サービスを要
求する利用者の識別子を取得する第一の取得ステップ
と、取得した利用者識別子を付加したサービス要求メッ
セージをサービス提供手段へ送信する送信ステップとを
有し、前記サービス提供手段において、サービス要求メ
ッセージを受信する受信ステップと、受信したサービス
要求メッセージに付加された識別子を利用者識別子とし
て取得するとともに、そのサービス要求メッセージを送
信した中継手段の識別子を端末識別子として取得する第
二の取得ステップと、取得した端末識別子および利用者
識別子から、そのサービス要求に対する権限を一意に決
定する決定ステップと、決定した権限を用いて前記サー
ビス要求を受理するか否かを判定する判定ステップとを
有することを特徴とする。
のアクセス制御システムを図面を参照して詳細に説明す
る。
が共存する分散システムに関するもので、とくに、サイ
トごとに利用者の管理形態が異なるような分散環境にお
いても、個々のユーザの権限を一元的に管理する機構を
備えた分散システムに関するものである。
環境の構成例を示す図である。
には、後述する端末群が接続され、コンピュータネット
ワークが構成されている。なお、ここで説明するコンピ
ュータネットワークには、例えば、EthernetやFDDIを用
いたLANや、公衆回線や専用線によってネットワーク間
を相互接続したWANなどが含まれる。
資源を提供するアプリケーションが稼動するワークステ
ーションやパーソナルコンピュータなどのコンピュータ
システムである。クライアント端末103は、分散システ
ムにおいて資源を利用するアプリケーションが稼動す
る、サーバ端末102と同様のコンピュータシステムであ
る。認証サーバ端末104は、ネットワーク環境において
認証機構を提供する認証サーバが稼動する、サーバ端末
102と同様のコンピュータシステムである。認証サーバ
は、例えば、Kerberosシステムによって提供されるもの
である。
識別子が割当てられていて、その識別子は任意の端末間
通信により取得される。また、上記のサーバアプリケー
ション、クライアントアプリケーションおよび認証サー
バは、フロッピディスク、ハードディスク、光磁気ディ
スク(MO)、CD-ROM、CD-R、磁気テープなど外部記憶媒
体、あるいは、ROMやフラッシュメモリなど任意の不揮
発性記憶デバイスに記憶されたソフトウェアであって、
必要に応じて、上記の端末装置が備えるメモリに読込ま
れた後、同端末装置が備えるCPUにより実行されるもの
である。なお、実行されるアプリケーションソフトウェ
アに対して専用の端末装置が割当てられる必要はなく、
ある端末装置においてサーバやクライアントなどが同時
に稼動していてもよい。またサーバやクライアントなど
は、所定のサービスに関わるアプリケーションの役割に
関する総称的な呼称であって、アプリケーションにおい
て必ずしも固定的なものではない。実際に、あるアプリ
ケーションは、あるサービスに関してはサーバであり、
別のサービスに関してはクライアントであるような状況
もある。
処理する手順の一例を示すフローチャートで、初めに、
クライアントから送られてきたサービス要求から、ステ
ップS201で端末識別子の取得し、ステップS202で利用者
識別子の取得を行う。ここで、利用者識別子の取得処理
は、認証サーバによって提供される認証手段を用いる
が、ネットワーク環境に応じて提供される手段、例え
ば、TCP/IP(TransmissionControl Protocol/Internet P
rotocol)ネットワーク環境におけるRFC1413に準拠した
身元照会手段を用いて識別子を取得してもよい。
および利用者識別子からサーバ端末上の対応する権限を
決定する。ここで、サーバ端末上の権限とは、要求され
たサービスが、OSによって保護された資源(例えばファ
イルやデバイスなど)へのアクセスを行うものであれ
ば、そのOSによって定義された権限であり、サーバによ
って保護された資源(例えばデータベース管理システム
における共有データなど)であれば、そのサーバによっ
て独自に定義された権限である。
して権限が有効(権限の範囲内)か否かを判定し、有効
であればステップS205においてそのサービス要求を処理
する。勿論、サービス要求に対して権限が無効(権限の
範囲外)であれば、そのサービス要求は処理されない。
細は次のようになる。
応する集合束の直積束において、ある同値関係によって
定まる商束の部分集合をとると、その部分集合には商束
における順序関係が成り立ち、その順序関係に関して極
大の元すべてからなる集合Mが定まる。一方、ステップS
201およびS202において得られた端末識別子と利用者識
別子とに対応する商束の元rをとる。ここで、Mの元mで
あって、m⊇rになるものが存在するとき、要求に対する
権限は有効であるとする。
関係と極大元の集合、ならびに、その極大元からサーバ
端末上の権限への一意な対応関係が予め求められている
ものとして、ステップS203において、端末識別子および
利用者識別子に対する同値類を決定し、ステップS204に
おいては、その同値類と一連の極大元との間の順序関係
の有無を判定する。
あることから、例えば、ビット列など公知の手段によっ
て表現される。一方、同値関係は、例えば、上記のビッ
ト列を、宣言的または手続的に与えられた規則に従っ
て、別の短いビット列に変換する手段である。
各種の障害による異常が発生し得る。その場合、ステッ
プS203における同値類として、ステップS201の異常に対
しては端末識別子に関する直積束の上限に対応する商束
の元を代用し、ステップS202の異常に対しては利用者識
別子に関する直積束の上限に対応する商束の元を代用
し、両方の異常に対しては商束の上限を代用する。
端末において、所定の利用者から構成される利用者グル
ープに提供するサービスを制限する場合、同値関係とし
て「指定のネットワークに接続されている端末の識別子
の集合と、指定の利用者グループに属する利用者の識別
子の集合とで定められる直積束の部分束に含まれるかど
うか」、換言すれば「指定のネットワークに接続されて
いるかどうか」および「指定の利用者グループに属して
いるかどうか」の組を与える。
用者識別子の集合は、それぞれ互いに重なり合わない二
つの部分集合に分割され、これに伴って、16個の要素か
らなる直積集合の商束が得られる。この商束は、明らか
に端末識別子および利用者識別子それぞれに関する商束
の直積束に同型である。従って、上記の商束には、サー
ビス要求が受入れられるような端末識別子および利用者
識別子のすべての組に対応する同値類がただ一つ定ま
り、その同値類を一つの元とする極大元の集合を定め
て、サービスに対する権限と対応させる。以上によっ
て、サービスに対する同値関係と極大元の集合、およ
び、権限との対応関係が指定される。この設定におい
て、クライアントのサービス要求から得られる端末識別
子および利用者識別子の組は、商束の何れかの同値類に
対応するが、要求が受理されるのは、極大元として採用
した同値類に対応する場合に限られる。
ける同値関係は、集合束における同値関係と自然に対応
することから、端末や利用者に対するグループ化を行う
ことは、元の大きな集合束をより小さな商束に縮めるこ
とにほかならない。これにより、サーバが用いるすべて
の商束に対して普遍性をもつ商束が存在して、任意の商
束が、普遍性をもつ商束に対して別の同値関係を定めて
得られる商束になる。
た端末における指定の利用者グループに提供するサービ
スを制限する例で定めた極大元は、普遍性をもつ商束の
部分束に対応している。従って、上記の例における設定
に代わって、普遍性をもつ商束を定める同値関係と、商
束の部分束の上限からなる極大元の集合を用いた場合の
効果とは等価である。
与えるかどうかを判定する対象を任意の単位で集約する
ことができるので、アクセス制御の設定を極めて柔軟に
行うことが可能である。
ば、従来は実現が困難であった利用者の管理形態が異な
る分散環境への対応に関しても、本発明が有効であるこ
とが示される。すなわち、同一の利用者に対するすべて
の端末識別子および利用者識別子の組を一つの同値とみ
なすものとし、すべての利用者についてこれを行えば、
一つの同値関係が得られる。この同値関係によって得ら
れる商束の元は、個々の利用者に対して利用者管理形態
の差異と無関係に定まるものである。従って、例えば、
その商束を普遍性をもつ商束とみなして極大元の集合を
定めてもよく、別の同値関係を用いてより単純な商束を
定めてもよい。また、安全性の乏しい端末からの不正な
アクセスを禁止するためには、上記の同一利用者に対す
る同値類を安全性の水準に応じて二分割し、水準の低い
同値類に対して弱い権限を与えるようにすることも可能
である。
クセス制御システムを説明する。なお、第2実施形態に
おいて、第1実施形態と略同様の構成については、同一
符号を付して、その詳細説明を省略する。
ても、その利用者が利用する端末に応じて権限のレベル
を任意に設定することが可能である。ところで、上記の
手順は、利用者に対する認証処理をすべてのサービス要
求について行うことになり、サービス要求が繰返し発行
されるような場合は、効率上の問題がある。そこで、第
2実施形態は、所謂トランスポートレベル以下の安全性
が保証されていればよいという観点から、トランスポー
トレベルのコネクションを設定する際に認証処理を行う
ものである。
ンを設定する際の処理手順の一例を示すフローチャート
である。
したステップS201とS203と同様に、コネクション要求か
ら端末識別子および利用者識別子を取得し、サーバ端末
上の対応する権限を決定する。そして、ステップS304に
おいて、決定した権限がサーバにおいて有効であるかど
うかを判定し、有効であればステップS305でコネクショ
ン要求を受理する。勿論、決定した権限がサーバにおい
て無効である場合は、コネクション要求は受理されな
い。
を処理する場合のサービス要求に対する処理手順は、図
2に示した手順からステップS201からS203を削除し、代
わりにサービス要求からステップS303において決定され
た権限を検索するように変更したものである。この手順
の変更は容易である。すなわち、ステップS305において
コネクション識別子と権限の組を記録し、サービス要求
を処理する時点でコネクション識別子から権限を検索す
ればよい。なお、記録された組は、コネクションが切断
された場合に、サーバにおいて自律的に破棄される。
示したステップS203およびS204の処理と同様である。た
だし、図3においては、サービスに関する諸設定に代わ
ってコネクションに関する諸設定、すなわち同値関係と
極大元の集合、ならびに、極大元からサーバ端末上の権
限への一意的な対応関係を用いるものとする。ここで、
コネクションに関する諸設定と一連のサービスに関する
諸設定とは、通常は前者における判定基準を満たすもの
は、後者における判定基準を満たすように選ばれるが、
一般には独立でよい。
クセス制御システムを説明する。なお、第3実施形態に
おいて、第1実施形態と略同様の構成については、同一
符号を付して、その詳細説明を省略する。
端末上で同時に起動される複数のクライアントからのサ
ービス要求を一括してサーバに送付するとともに、サー
バから送られてくるメッセージをクライアントに配布す
る、一種のサーバ(以下では「中継サーバ」と呼ぶ)を
設けることがある。こうした形態は、共有資源のレプリ
カをクライアント端末上に保持する場合や、サーバから
のメッセージを一連のクライアントに向けて同報的に送
付するような場合、とくに有効である。このような形態
においては、以下で説明するように、図2あるいは図3に
示した手順を簡略化することが可能である。
または図3に示した手順に従って権限の確認処理が行わ
れるものとする。ただし、サーバが中継サーバに対して
直接提供するサービスは、クライアントに対して提供さ
れるものとは異なり、クライアントからの要求を代行す
る機構を提供するためのものである。従って、図2に示
したステップS203とS204は、サービスに関する諸設定に
基づいて行われる。また、ステップS205は、サービス要
求を処理するのではなく、サービス代行要求を処理する
ことになる。なお、サービス代行要求処理自体は、後述
する手順から得られる利用者識別子と中継サーバの端末
識別子を用いて、第1実施形態におけるステップS203以
降の手順に従って行われる。
て、中継サーバが各クライアントに対して行う図2に相
当する手順の一例を示すフローチャートである。
用者識別子を取得する。ここで、中継サーバとクライア
ントは同一端末装置において稼動していることから、利
用者識別子の取得処理は、認証サーバなどを用いること
なく、安全かつ効率的に行うことができる。
諸設定が与えられている場合は、ステップS402およびS4
03において、権限の決定およびサービス要求に対する有
効性の判定を行う。ただし、ステップS402とS403は、無
駄なサービス要求の中継を抑制するためのものであり、
手順から省略してもよい。
要求の代行処理を行う。この代行処理は、クライアント
の要求メッセージに、ステップS401で取得した利用者識
別子を付加したメッセージを、サーバに転送するもので
ある。付加される利用者識別子は、中継サーバにおける
サービス代行要求処理において必要になる利用者識別子
にほかならない。
て行う図3に相当する手順の一例を示すフローチャート
である。
4に示すステップS401と同様に、コネクション要求から
利用者識別子を取得する。
る諸設定が与えられている場合は、ステップS502および
S503において、権限の決定および有効性の判定を行う。
ただし、ステップS502およびS503は、無駄なコネクショ
ン要求を抑制するためのものであり、実際に行うことが
望ましいが、手順から省略することも可能である。
ション要求を受理し、得られたコネクション識別子と利
用者識別子の組を記録する。
に対して、クライアントからのサービス要求の代行処理
を行う。この代行処理は、クライアントの要求メッセー
ジに、ステップS504において記録した利用者識別子を付
加したメッセージを、サーバに転送するものである。な
お、記録した組は、コネクションが切断された場合に、
中継サーバにおいて自律的に破棄される。
クセス制御システムを説明する。なお、第4実施形態に
おいて、第1実施形態と略同様の構成については、同一
符号を付して、その詳細説明を省略する。
バが稼動する端末装置の安全性が保証され、かつ、その
端末装置において中継サーバがOSにおける特権的なプロ
セスである場合は、認証サーバなど第三者による中継サ
ーバの認証処理を省略してもよい。例えば、TCP/IPネッ
トワーク環境では、端末装置のOSによっては1023番以下
のポート番号によるアドレス設定に特権が必要である。
ト番号によるアドレス設定を行い、サーバは、そのアド
レスが中継サーバによって設定されたものであるかどう
かを確認することで、第三者の認証手段によらずに中継
サーバの身元照会が可能である。ここで確認手段は、上
記の特権ポートを用いた通信によってランダムに選ばれ
た任意のビットパターンの折返し転送を行うなど、単純
な手段で充分である。端末装置の安全性が保証される限
り、上記ビットパターンを返送する不正な特権プロセス
は存在し得ないからである。勿論、当該手段は、WAN環
境においては、中間経路の信頼性が一般に保証されない
ことから危険であるが、オフィスなどの多くのLAN環境
では充分に実用的である。
ホストコンピュータ,インタフェイス機器,リーダ,プ
リンタなど)から構成されるシステムに適用しても、一
つの機器からなる装置(例えば、複写機,ファクシミリ
装置など)に適用してもよい。
の機能を実現するソフトウェアのプログラムコードを記
録した記憶媒体を、システムあるいは装置に供給し、そ
のシステムあるいは装置のコンピュータ(またはCPUやM
PU)が記憶媒体に格納されたプログラムコードを読出し
実行することによっても、達成されることは言うまでも
ない。この場合、記憶媒体から読出されたプログラムコ
ード自体が前述した実施形態の機能を実現することにな
り、そのプログラムコードを記憶した記憶媒体は本発明
を構成することになる。プログラムコードを供給するた
めの記憶媒体としては、例えば、フロッピディスク,ハ
ードディスク,光ディスク,光磁気ディスク,CD-ROM,
CD-R,磁気テープ,不揮発性のメモリカード,ROMなど
を用いることができる。
コードを実行することにより、前述した実施形態の機能
が実現されるだけでなく、そのプログラムコードの指示
に基づき、コンピュータ上で稼働しているOS(オペレー
ティングシステム)などが実際の処理の一部または全部
を行い、その処理によって前述した実施形態の機能が実
現される場合も含まれることは言うまでもない。
ムコードが、コンピュータに挿入された機能拡張カード
やコンピュータに接続された機能拡張ユニットに備わる
メモリに書込まれた後、そのプログラムコードの指示に
基づき、その機能拡張カードや機能拡張ユニットに備わ
るCPUなどが実際の処理の一部または全部を行い、その
処理によって前述した実施形態の機能が実現される場合
も含まれることは言うまでもない。
の記憶媒体には、先に説明したフローチャートに対応す
るプログラムコードを格納することになるが、簡単に説
明すると、図6または図7のメモリマップ例に示す各モ
ジュールを記憶媒体に格納することになる。すなわち、
少なくとも「識別子取得」「権限決定」および「有効判
定」の各モジュール、または、中継手段用に少なくとも
「識別子取得A」「識別子付加」および「送信」の各モ
ジュールと、サービス提供手段用に少なくとも「受信」
「識別子取得B」「権限決定」および「有効判定」の各
モジュールとのプログラムコードを記憶媒体に格納すれ
ばよい。
分散システムにおける共有資源をアクセスする場合に、
その共有資源を安全かつ柔軟に保護するアクセス制御シ
ステムおよびその方法を提供することができる。
ク環境の構成例を示す図、
理する手順の一例を示すフローチャート、
が処理する手順の一例を示すフローチャート、
が処理する手順の一例を示すフローチャート、
ーバが処理する手順の一例を示すフローチャート、
の一例を示す図、
の第二例を示す図である。
Claims (13)
- 【請求項1】 コンピュータネットワークを用いて遠隔
サイトの資源を共有する分散システムのアクセス制御方
式であって、 サービスを要求する端末の識別子および利用者の識別子
を取得する取得ステップと、 取得した端末識別子および利用者識別子から、そのサー
ビス要求に対する権限を一意に決定する決定ステップ
と、 決定した権限を用いて前記サービス要求を受理するか否
かを判定する判定ステップとを有することを特徴とする
アクセス制御方式。 - 【請求項2】 前記取得ステップは、サービス要求メッ
セージごとに前記端末識別子および前記利用者識別子を
取得することを特徴とする請求項1に記載されたアクセ
ス制御方式。 - 【請求項3】 前記取得ステップは、コネクションが要
求された際に前記端末識別子および前記利用者識別子を
取得することを特徴とする請求項1に記載されたアクセ
ス制御方式。 - 【請求項4】 コンピュータネットワークを用いて遠隔
サイトの資源を共有する分散システムのアクセス制御方
式であって、 サービス要求の代行および受信したメッセージの配布を
行う中継手段において、サービスを要求する利用者の識
別子を取得する第一の取得ステップと、取得した利用者
識別子を付加したサービス要求メッセージをサービス提
供手段へ送信する送信ステップとを有し、 前記サービス提供手段において、サービス要求メッセー
ジを受信する受信ステップと、受信したサービス要求メ
ッセージに付加された識別子を利用者識別子として取得
するとともに、そのサービス要求メッセージを送信した
中継手段の識別子を端末識別子として取得する第二の取
得ステップと、取得した端末識別子および利用者識別子
から、そのサービス要求に対する権限を一意に決定する
決定ステップと、決定した権限を用いて前記サービス要
求を受理するか否かを判定する判定ステップとを有する
ことを特徴とするアクセス制御方式。 - 【請求項5】 前記第一の取得ステップは、サービス要
求メッセージごとに前記利用者識別子を取得することを
特徴とする請求項4に記載されたアクセス制御方式。 - 【請求項6】 前記第一の取得ステップは、コネクショ
ンが要求された際に前記利用者識別子を取得することを
特徴とする請求項4に記載されたアクセス制御方式。 - 【請求項7】 前記第二の取得ステップは、前記中継手
段から受信されたサービス代行要求メッセージごとにそ
の中継手段の端末識別子を取得することを特徴とする請
求項4に記載されたアクセス制御方式。 - 【請求項8】 前記第二の取得ステップは、前記中継手
段からコネクションが要求される際にその中継手段の端
末識別子を取得することを特徴とする請求項4に記載さ
れたアクセス制御方式。 - 【請求項9】 前記サービス提供手段は、前記中継手段
が稼動する端末装置における特権的資源を用いてサービ
ス代行要求が行われる場合、そのサービス代行要求を受
理することを特徴とする請求項4に記載されたアクセス
制御方式。 - 【請求項10】 コンピュータネットワークを用いて遠
隔サイトの資源を共有する分散システムのアクセス制御
システムであって、 サービスを要求する端末の識別子および利用者の識別子
を取得する取得手段と、 取得した端末識別子および利用者識別子から、そのサー
ビス要求に対する権限を一意に決定する決定手段と、 決定した権限を用いて前記サービス要求を受理するか否
かを判定する判定手段とを有することを特徴とするアク
セス制御システム。 - 【請求項11】 コンピュータネットワークを用いて遠
隔サイトの資源を共有する分散システムのアクセス制御
システムであって、 サービスを要求する利用者の識別子を取得し、取得した
利用者識別子を付加したサービス要求メッセージを所定
の宛先へ送信することによりサービス要求を代行すると
ともに、受信したメッセージの配布を行う中継手段と、 受信したサービス要求メッセージに付加された識別子を
利用者識別子として取得するとともに、そのサービス要
求メッセージを送信した中継手段の識別子を端末識別子
として取得し、取得した端末識別子および利用者識別子
から、そのサービス要求に対する権限を一意に決定し、
決定した権限を用いて前記サービス要求を受理するか否
かを判定するサービス提供手段とを有することを特徴と
するアクセス制御システム。 - 【請求項12】 コンピュータネットワークを用いて遠
隔サイトの資源を共有する分散システムのアクセス制御
にかかるプログラムコードが格納されたコンピュータ可
読メモリであって、 サービスを要求する端末の識別子および利用者の識別子
を取得する取得ステップのコードと、 取得した端末識別子および利用者識別子から、そのサー
ビス要求に対する権限を一意に決定する決定ステップの
コードと、 決定した権限を用いて前記サービス要求を受理するか否
かを判定する判定ステップのコードとを有することを特
徴とするコンピュータ可読メモリ。 - 【請求項13】 コンピュータネットワークを用いて遠
隔サイトの資源を共有する分散システムのアクセス制御
にかかるプログラムコードが格納されたコンピュータ可
読メモリであって、 サービス要求の代行および受信したメッセージの配布を
行う中継手段用に、サービスを要求する利用者の識別子
を取得する第一の取得ステップのコードと、取得した利
用者識別子を付加したサービス要求メッセージをサービ
ス提供手段へ送信する送信ステップのコードとを有し、 前記サービス提供手段用に、サービス要求メッセージを
受信する受信ステップのコードと、受信したサービス要
求メッセージに付加された識別子を利用者識別子として
取得するとともに、そのサービス要求メッセージを送信
した中継手段の識別子を端末識別子として取得する第二
の取得ステップのコードと、取得した端末識別子および
利用者識別子から、そのサービス要求に対する権限を一
意に決定する決定ステップのコードと、決定した権限を
用いて前記サービス要求を受理するか否かを判定する判
定ステップのコードとを有することを特徴とするコンピ
ュータ可読メモリ。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP15411896A JP3937475B2 (ja) | 1996-06-14 | 1996-06-14 | アクセス制御システムおよびその方法 |
| US08/873,104 US6237023B1 (en) | 1996-06-14 | 1997-06-11 | System for controlling the authority of a terminal capable of simultaneously operating a plurality of client softwares which transmit service requests |
| DE69734748T DE69734748D1 (de) | 1996-06-14 | 1997-06-12 | Zugriffssteuerungssystem und -verfahren |
| EP97304133A EP0813327B1 (en) | 1996-06-14 | 1997-06-12 | Access control system and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP15411896A JP3937475B2 (ja) | 1996-06-14 | 1996-06-14 | アクセス制御システムおよびその方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH103420A true JPH103420A (ja) | 1998-01-06 |
| JP3937475B2 JP3937475B2 (ja) | 2007-06-27 |
Family
ID=15577324
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP15411896A Expired - Fee Related JP3937475B2 (ja) | 1996-06-14 | 1996-06-14 | アクセス制御システムおよびその方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US6237023B1 (ja) |
| EP (1) | EP0813327B1 (ja) |
| JP (1) | JP3937475B2 (ja) |
| DE (1) | DE69734748D1 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000010929A (ja) * | 1998-06-18 | 2000-01-14 | Fujitsu Ltd | コンテンツサーバ,端末装置及びコンテンツ送信システム |
| JP2005309852A (ja) * | 2004-04-22 | 2005-11-04 | Hitachi Ltd | ストレージシステム及びファイル管理装置 |
| KR100573700B1 (ko) | 2004-05-15 | 2006-04-25 | 주식회사 니츠 | 분산환경을 지원하는 안전한 멀티에이전트 시스템 및보안서비스 제공방법 |
| JP2010009091A (ja) * | 2008-06-24 | 2010-01-14 | Mitsubishi Electric Corp | データ管理装置 |
| JP4822224B2 (ja) * | 2004-11-12 | 2011-11-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | キーを提供することなく要求者を認証するための方法およびシステム |
| JP2012226655A (ja) * | 2011-04-21 | 2012-11-15 | Mizuho Information & Research Institute Inc | ファイル管理システム及びファイル管理方法 |
Families Citing this family (56)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1139260A (ja) | 1997-07-17 | 1999-02-12 | Canon Inc | ユーザ認証方式、ホストコンピュータ、端末装置、認証コード生成方法、記憶媒体 |
| US6470453B1 (en) * | 1998-09-17 | 2002-10-22 | Cisco Technology, Inc. | Validating connections to a network system |
| EP1061639A2 (en) * | 1999-06-17 | 2000-12-20 | Applied Materials, Inc. | Chucking system amd method |
| US8706630B2 (en) | 1999-08-19 | 2014-04-22 | E2Interactive, Inc. | System and method for securely authorizing and distributing stored-value card data |
| FI108184B (fi) * | 1999-10-12 | 2001-11-30 | Sonera Oyj | Palvelun pääsynvalvonta |
| US6556995B1 (en) * | 1999-11-18 | 2003-04-29 | International Business Machines Corporation | Method to provide global sign-on for ODBC-based database applications |
| US7263523B1 (en) * | 1999-11-24 | 2007-08-28 | Unisys Corporation | Method and apparatus for a web application server to provide for web user validation |
| US6870842B1 (en) | 1999-12-10 | 2005-03-22 | Sun Microsystems, Inc. | Using multicasting to provide ethernet-like communication behavior to selected peers on a network |
| US7765581B1 (en) | 1999-12-10 | 2010-07-27 | Oracle America, Inc. | System and method for enabling scalable security in a virtual private network |
| US7336790B1 (en) | 1999-12-10 | 2008-02-26 | Sun Microsystems Inc. | Decoupling access control from key management in a network |
| US6798782B1 (en) | 1999-12-10 | 2004-09-28 | Sun Microsystems, Inc. | Truly anonymous communications using supernets, with the provision of topology hiding |
| US6970941B1 (en) | 1999-12-10 | 2005-11-29 | Sun Microsystems, Inc. | System and method for separating addresses from the delivery scheme in a virtual private network |
| US6938169B1 (en) | 1999-12-10 | 2005-08-30 | Sun Microsystems, Inc. | Channel-specific file system views in a private network using a public-network infrastructure |
| US6977929B1 (en) | 1999-12-10 | 2005-12-20 | Sun Microsystems, Inc. | Method and system for facilitating relocation of devices on a network |
| WO2001057738A1 (en) * | 2000-02-07 | 2001-08-09 | Dahong Qian | Group-browsing system |
| EP1176760A1 (en) * | 2000-07-27 | 2002-01-30 | Telefonaktiebolaget Lm Ericsson | Method of establishing access from a terminal to a server |
| US20020066038A1 (en) * | 2000-11-29 | 2002-05-30 | Ulf Mattsson | Method and a system for preventing impersonation of a database user |
| US7206088B2 (en) * | 2001-01-15 | 2007-04-17 | Murata Kikai Kabushiki Kaisha | Relay server, communication system and facsimile system |
| US20020095506A1 (en) * | 2001-01-15 | 2002-07-18 | Murata Kikai Kabushiki Kaisha | Relay server, communication system and facsimile system |
| US7506045B1 (en) * | 2001-03-30 | 2009-03-17 | Unisys Corporation | Method and mechanism for the development and implementation of a web-based user interface |
| US20020143922A1 (en) * | 2001-04-03 | 2002-10-03 | Murata Kikai Kabushiki Kaisha | Relay server and relay system |
| US20020143956A1 (en) * | 2001-04-03 | 2002-10-03 | Murata Kikai Kabushiki Kaisha | Relay server |
| US7096362B2 (en) * | 2001-06-01 | 2006-08-22 | International Business Machines Corporation | Internet authentication with multiple independent certificate authorities |
| JP2003091503A (ja) * | 2001-09-14 | 2003-03-28 | Toshiba Corp | ポートアクセスを利用した認証方法及び同方法を適用するサーバ機器 |
| JP2005505033A (ja) * | 2001-09-24 | 2005-02-17 | イーツーインタラクティヴ, インコーポレイテッド ディー/ビー/エイ イーツーインタラクティヴ, インコーポレイテッド | 通信サービスを供給するシステム及び方法 |
| KR100450795B1 (ko) | 2001-12-12 | 2004-10-01 | 삼성전자주식회사 | 무선 독립망에서 혼합형 자원 공유 방법과 이를 위한 단말및 데이타 포맷 |
| USRE43383E1 (en) | 2001-12-12 | 2012-05-15 | Samsung Electronics Co., Ltd. | Method for sharing hybrid resources in a wireless independent network, a station for the method, and a data format for the method and the station |
| JP3610341B2 (ja) | 2002-02-19 | 2005-01-12 | キヤノン株式会社 | ネットワーク機器及び遠隔制御中継サーバ |
| JP4054637B2 (ja) * | 2002-08-28 | 2008-02-27 | キヤノン株式会社 | 画像処理システム及びその認証方法 |
| JP3907568B2 (ja) * | 2002-10-02 | 2007-04-18 | キヤノン株式会社 | 認証装置 |
| KR100512936B1 (ko) * | 2002-11-18 | 2005-09-07 | 삼성전자주식회사 | 반도체 메모리 장치 및 이 장치의 배치방법 |
| US8364747B2 (en) * | 2002-12-17 | 2013-01-29 | International Business Machines Corporation | Client/server request handling |
| DE10344764B4 (de) * | 2003-09-26 | 2006-04-13 | Siemens Ag | Verfahren zum Übermitteln von Informationen |
| US8655309B2 (en) | 2003-11-14 | 2014-02-18 | E2Interactive, Inc. | Systems and methods for electronic device point-of-sale activation |
| US7500108B2 (en) | 2004-03-01 | 2009-03-03 | Microsoft Corporation | Metered execution of code |
| CN1914858A (zh) * | 2004-03-02 | 2007-02-14 | 松下电器产业株式会社 | 通信系统和通信方法 |
| US7472822B2 (en) * | 2005-03-23 | 2009-01-06 | E2Interactive, Inc. | Delivery of value identifiers using short message service (SMS) |
| US8474694B2 (en) * | 2005-03-23 | 2013-07-02 | E2Interactive, Inc. | Radio frequency identification purchase transactions |
| US20060217996A1 (en) * | 2005-03-23 | 2006-09-28 | E2Interactive, Inc. D/B/A E2Interactive, Inc. | Point-of-sale activation of media device account |
| US20070233844A1 (en) * | 2006-03-29 | 2007-10-04 | Murata Kikai Kabushiki Kaisha | Relay device and communication system |
| JP4222397B2 (ja) * | 2006-09-12 | 2009-02-12 | 村田機械株式会社 | 中継サーバ |
| US7698220B2 (en) | 2006-09-14 | 2010-04-13 | E2Interactive, Inc. | Virtual terminal for payment processing |
| CN1929482B (zh) * | 2006-09-20 | 2010-08-04 | 华为技术有限公司 | 一种网络业务认证方法及装置 |
| EP1926285B1 (en) * | 2006-10-11 | 2011-07-13 | Murata Machinery, Ltd. | Relay server |
| EP1912404B1 (en) * | 2006-10-11 | 2011-06-01 | Murata Machinery, Ltd. | File transfer server |
| EP1942634B1 (en) * | 2006-11-24 | 2012-08-29 | Murata Machinery, Ltd. | Relay server, relay communication system, and communication device |
| US8010647B2 (en) * | 2006-12-11 | 2011-08-30 | Murata Machinery, Ltd. | Relay server and relay communication system arranged to share resources between networks |
| JP4333736B2 (ja) * | 2006-12-19 | 2009-09-16 | 村田機械株式会社 | 中継サーバおよびクライアント端末 |
| US8566240B2 (en) * | 2007-01-16 | 2013-10-22 | E2Interactive, Inc. | Systems and methods for the payment of customer bills utilizing payment platform of biller |
| US20080172331A1 (en) * | 2007-01-16 | 2008-07-17 | Graves Phillip C | Bill Payment Card Method and System |
| US20100031321A1 (en) * | 2007-06-11 | 2010-02-04 | Protegrity Corporation | Method and system for preventing impersonation of computer system user |
| JP5217829B2 (ja) * | 2008-09-17 | 2013-06-19 | 株式会社リコー | 情報処理装置、配信システム、処理制御方法およびプログラム |
| US20110137740A1 (en) | 2009-12-04 | 2011-06-09 | Ashmit Bhattacharya | Processing value-ascertainable items |
| US20110153441A1 (en) * | 2009-12-23 | 2011-06-23 | Merrill Brooks Smith | Systems and Methods for Authorizing Use of Validly Sold Merchandise |
| US9503558B1 (en) | 2015-06-02 | 2016-11-22 | Motorola Solutions, Inc. | Battery module for communication devices having an accessory interface |
| CN107682397B (zh) * | 2017-08-28 | 2019-02-26 | 平安科技(深圳)有限公司 | 客户资源获取方法、装置、终端设备及存储介质 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4672572A (en) | 1984-05-21 | 1987-06-09 | Gould Inc. | Protector system for computer access and use |
| US4891838A (en) | 1985-11-04 | 1990-01-02 | Dental Data Service, Inc. | Computer accessing system |
| US5261070A (en) | 1986-07-24 | 1993-11-09 | Meiji Milk Product Co., Ltd. | Method and apparatus for forming unique user identification data at remote terminal for secure transmission of data from host terminal |
| US4916738A (en) | 1986-11-05 | 1990-04-10 | International Business Machines Corp. | Remote access terminal security |
| US4896319A (en) * | 1988-03-31 | 1990-01-23 | American Telephone And Telegraph Company, At&T Bell Laboratories | Identification and authentication of end user systems for packet communications network services |
| US5278904A (en) * | 1992-10-09 | 1994-01-11 | Gte Laboratories Incorporated | Method of verifying identification |
| US5390252A (en) | 1992-12-28 | 1995-02-14 | Nippon Telegraph And Telephone Corporation | Authentication method and communication terminal and communication processing unit using the method |
| US5343529A (en) * | 1993-09-28 | 1994-08-30 | Milton Goldfine | Transaction authentication using a centrally generated transaction identifier |
| US5590199A (en) * | 1993-10-12 | 1996-12-31 | The Mitre Corporation | Electronic information network user authentication and authorization system |
| US5758257A (en) * | 1994-11-29 | 1998-05-26 | Herz; Frederick | System and method for scheduling broadcast of and access to video programs and other data using customer profiles |
| JP4008049B2 (ja) * | 1995-03-20 | 2007-11-14 | 富士通株式会社 | アドレス送信装置、アドレス送信方法およびアドレス送信システム |
| JPH0981519A (ja) * | 1995-09-08 | 1997-03-28 | Kiyadeitsukusu:Kk | ネットワーク上の認証方法 |
| JP3361661B2 (ja) * | 1995-09-08 | 2003-01-07 | 株式会社キャディックス | ネットワーク上の認証方法 |
-
1996
- 1996-06-14 JP JP15411896A patent/JP3937475B2/ja not_active Expired - Fee Related
-
1997
- 1997-06-11 US US08/873,104 patent/US6237023B1/en not_active Expired - Lifetime
- 1997-06-12 DE DE69734748T patent/DE69734748D1/de not_active Expired - Lifetime
- 1997-06-12 EP EP97304133A patent/EP0813327B1/en not_active Expired - Lifetime
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000010929A (ja) * | 1998-06-18 | 2000-01-14 | Fujitsu Ltd | コンテンツサーバ,端末装置及びコンテンツ送信システム |
| JP2005309852A (ja) * | 2004-04-22 | 2005-11-04 | Hitachi Ltd | ストレージシステム及びファイル管理装置 |
| KR100573700B1 (ko) | 2004-05-15 | 2006-04-25 | 주식회사 니츠 | 분산환경을 지원하는 안전한 멀티에이전트 시스템 및보안서비스 제공방법 |
| JP4822224B2 (ja) * | 2004-11-12 | 2011-11-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | キーを提供することなく要求者を認証するための方法およびシステム |
| JP2010009091A (ja) * | 2008-06-24 | 2010-01-14 | Mitsubishi Electric Corp | データ管理装置 |
| JP2012226655A (ja) * | 2011-04-21 | 2012-11-15 | Mizuho Information & Research Institute Inc | ファイル管理システム及びファイル管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE69734748D1 (de) | 2006-01-05 |
| EP0813327B1 (en) | 2005-11-30 |
| EP0813327A3 (en) | 2001-05-09 |
| EP0813327A2 (en) | 1997-12-17 |
| US6237023B1 (en) | 2001-05-22 |
| JP3937475B2 (ja) | 2007-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3937475B2 (ja) | アクセス制御システムおよびその方法 | |
| US5944794A (en) | User identification data management scheme for networking computer systems using wide area network | |
| US9197639B2 (en) | Method for sharing data of device in M2M communication and system therefor | |
| US7082532B1 (en) | Method and system for providing distributed web server authentication | |
| JP5036140B2 (ja) | 個人情報流通管理システム、個人情報流通管理方法、個人情報提供プログラム及び個人情報利用プログラム | |
| CA2228687A1 (en) | Secured virtual private networks | |
| US8862753B2 (en) | Distributing overlay network ingress information | |
| JP7655029B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
| CN102970135B (zh) | 用于发现共享秘密而不泄漏非共享秘密的方法和设备 | |
| CN118300797A (zh) | 一种基于零信任架构的大数据系统安全防护方法、装置和设备 | |
| EP1517510A2 (en) | Moving principals across security boundaries without service interruptions | |
| US8191131B2 (en) | Obscuring authentication data of remote user | |
| JP4847483B2 (ja) | 個人属性情報提供システムおよび個人属性情報提供方法 | |
| US7496949B2 (en) | Network system, proxy server, session management method, and program | |
| CN112335215A (zh) | 用于将终端设备联接到可联网的计算机基础设施中的方法 | |
| US12244575B2 (en) | Method and system for satellite tasking | |
| CN117220898A (zh) | 一种基于区块链的数据处理方法、设备以及可读存储介质 | |
| KR102496829B1 (ko) | 블록체인 기반 id 관리 장치 및 방법 | |
| CN117459513A (zh) | 一种远程服务的管理方法、装置、设备及存储介质 | |
| JP4878043B2 (ja) | アクセス制御システム、接続制御装置および接続制御方法 | |
| KR20100063886A (ko) | 이종 네트워크 간의 원격 접속 제어 시스템 및 방법 | |
| JP2000132474A (ja) | 動的暗号化通信システム、ならびに動的暗号化通信のための認証サーバおよびゲートウェイ装置 | |
| CN117176797A (zh) | 一种资源发布方法、装置、系统及存储介质 | |
| JP6920614B2 (ja) | 本人認証装置、本人認証システム、本人認証プログラム、および、本人認証方法 | |
| KR20230075297A (ko) | 사용자 네트워크 프로파일 기반 서비스 제공 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060307 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060313 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070126 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070206 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070302 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070319 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110406 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120406 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130406 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130406 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140406 Year of fee payment: 7 |
|
| LAPS | Cancellation because of no payment of annual fees |