特許第6795436号(P6795436)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 三菱電機インフォメーションネットワーク株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 三菱電機インフォメーションネットワーク株式会社の特許一覧

特許6795436アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
<>
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000002
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000003
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000004
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000005
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000006
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000007
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000008
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000009
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000010
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000011
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000012
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000013
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000014
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000015
  • 特許6795436-アクセス制御システム、アクセス制御方法およびアクセス制御プログラム 図000016
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6795436
(24)【登録日】2020年11月16日
(45)【発行日】2020年12月2日
(54)【発明の名称】アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
(51)【国際特許分類】
   G06F 21/62 20130101AFI20201119BHJP
   G06F 21/40 20130101ALI20201119BHJP
【FI】
   G06F21/62
   G06F21/40
【請求項の数】7
【全頁数】21
(21)【出願番号】特願2017-58530(P2017-58530)
(22)【出願日】2017年3月24日
(65)【公開番号】特開2018-160220(P2018-160220A)
(43)【公開日】2018年10月11日
【審査請求日】2019年10月3日
(73)【特許権者】
【識別番号】501158538
【氏名又は名称】三菱電機インフォメーションネットワーク株式会社
(74)【代理人】
【識別番号】110002491
【氏名又は名称】溝井国際特許業務法人
(72)【発明者】
【氏名】及川 和彦
【審査官】 宮司 卓佳
(56)【参考文献】
【文献】 特開2009−037616(JP,A)
【文献】 特開2005−157822(JP,A)
【文献】 特開2014−211678(JP,A)
【文献】 特開2009−015396(JP,A)
【文献】 米国特許出願公開第2014/0259129(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/30−21/46
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
利用者が携帯する情報端末装置と、前記利用者が携帯する携帯端末装置と、アプリケーションを提供するサービス提供装置と、前記アプリケーションへのアクセスを制御するアクセス制御装置とを有するアクセス制御システムにおいて、
前記サービス提供装置は、
前記情報端末装置から前記利用者による前記アプリケーションの利用を要求する利用要求を受信すると、前記利用者の認証と前記利用者による前記アプリケーションの利用の認可とを要求する認証認可連携要求を前記情報端末装置に送信する認証連携機能部を備え、
前記情報端末装置は、
前記認証連携機能部から送信された前記認証認可連携要求を前記アクセス制御装置に送信し、
前記アクセス制御装置は、
前記アプリケーションを利用する利用者の情報を利用者情報として記憶するとともに、前記アプリケーションの利用を承認する承認者の承認条件を認可ポリシ情報として記憶する記憶部と、
前記認証認可連携要求と前記認可ポリシ情報に基づいて、前記利用者情報から承認者の候補を承認者候補として抽出する認可判定部と
前記承認者候補の一覧を前記利用者の前記携帯端末装置に表示し、前記利用者に前記承認者候補の一覧から前記アプリケーションの利用を承認する承認者を選択させ、前記利用者により選択された承認者を選択承認者として、前記選択承認者の前記携帯端末装置に承認を依頼する承認要求を送信する依頼部と
を備え
前記認可判定部は、
前記選択承認者による承認結果が前記承認条件を満たす場合に、前記認可が可能であると判定するアクセス制御システム。
【請求項2】
記携帯端末装置位置情報を取得可能であり
前記記憶部は、
前記アプリケーションを利用する利用者の位置情報を利用者位置情報として記憶し、
前記認可ポリシ情報は、前記利用者情報から承認者の候補を抽出する抽出条件として、前記携帯端末装置からの地理的範囲を含み、
前記認可判定部は、
前記利用者位置情報から、前記認可ポリシ情報に含まれる前記地理的範囲に位置する利用者を前記承認者候補として抽出する請求項1に記載のアクセス制御システム。
【請求項3】
前記利用者情報は、前記アプリケーションを利用する利用者の属性を含み、
前記認可ポリシ情報は、前記アプリケーションを利用する利用者の属性を前記抽出条件として含み、
前記認可判定部は、
前記利用者情報から、前記認可ポリシ情報に含まれる前記地理的範囲に位置するとともに、前記認可ポリシ情報に含まれる属性を有する利用者を前記承認者候補として抽出する請求項2に記載のアクセス制御システム。
【請求項4】
前記利用者位置情報は、前記アプリケーションを利用する利用者の状態を含み、
前記認可ポリシ情報は、前記アプリケーションを利用する利用者の状態を前記承認条件として含み、
前記認可判定部は、
前記承認者候補の一覧のなかで前記承認条件がログイン状態である承認者のうち前記承認条件を満たす承認者が存在するかを判定し、前記承認条件を満たす承認者について認可が可能であると判定する請求項3に記載のアクセス制御システム。
【請求項5】
前記認可判定部は、
記承認結果が承認済みである場合に、前記認可が可能であると判定する請求項1から請求項4のいずれか1項に記載のアクセス制御システム。
【請求項6】
利用者が携帯する情報端末装置と、前記利用者が携帯する携帯端末装置と、アプリケーションを提供するサービス提供装置と、前記アプリケーションへのアクセスを制御するアクセス制御装置であって前記アプリケーションを利用する利用者の情報を利用者情報として記憶するとともに、前記アプリケーションの利用を承認する承認者の承認条件を認可ポリシ情報として記憶する記憶部を備えたアクセス制御装置とを有するアクセス制御システムのアクセス制御方法において、
前記サービス提供装置の認証連携機能部が、前記情報端末装置から前記利用者による前記アプリケーションの利用を要求する利用要求を受信すると、前記利用者の認証と前記利用者による前記アプリケーションの利用の認可とを要求する認証認可連携要求を前記情報端末装置に送信し、
前記情報端末装置、前記サービス提供装置から送信された前記認証認可連携要求を前記アクセス制御装置に送信し、
前記アクセス制御装置の認可判定部が前記認証認可連携要求と前記認可ポリシ情報に基づいて、前記利用者情報から承認者の候補を承認者候補として抽出し
前記アクセス制御装置の依頼部が、前記承認者候補の一覧を前記利用者の前記携帯端末装置に表示し、前記利用者に前記承認者候補の一覧から前記アプリケーションの利用を承認する承認者を選択させ、前記利用者により選択された承認者を選択承認者として、前記選択承認者の前記携帯端末装置に承認を依頼する承認要求を送信し、
前記認可判定部が、前記選択承認者による承認結果が前記承認条件を満たす場合に、前記認可が可能であると判定するアクセス制御方法。
【請求項7】
利用者が携帯する情報端末装置と、前記利用者が携帯する携帯端末装置と、アプリケーションを提供するサービス提供装置と、前記アプリケーションへのアクセスを制御するアクセス制御装置であって前記アプリケーションを利用する利用者の情報を利用者情報として記憶するとともに、前記アプリケーションの利用を承認する承認者の承認条件を認可ポリシ情報として記憶する記憶部を備えたアクセス制御装置と、を有するアクセス制御システムのアクセス制御プログラムにおいて、
前記情報端末装置から前記利用者による前記アプリケーションの利用を要求する利用要求を受信すると、前記利用者の認証と前記利用者による前記アプリケーションの利用の認可とを要求する認証認可連携要求を前記情報端末装置に送信する認証連携機能処理と、
前記認証連携機能処理により送信された前記認証認可連携要求を前記アクセス制御装置に送信する処理と、
前記認証認可連携要求と前記認可ポリシ情報に基づいて、前記利用者情報から承認者の候補を承認者候補として抽出する処理と、
前記承認者候補の一覧を前記利用者の前記携帯端末装置に表示し、前記利用者に前記承認者候補の一覧から前記アプリケーションの利用を承認する承認者を選択させ、前記利用者により選択された承認者を選択承認者として、前記選択承認者の前記携帯端末装置に承認を依頼する承認要求を送信する依頼処理と、
前記選択承認者による承認結果が前記承認条件を満たす場合に、前記認可が可能であると判定する認可判定処理と
をコンピュータに実行させるアクセス制御プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス制御システム、アクセス制御方法およびアクセス制御プログラムに関する。
【背景技術】
【0002】
企業の従業員は、社内システムの他に外部のクラウドサービスを業務で利用する機会が増えている。利用者は、管理された社内のネットワーク上の端末からの利用だけではなく、顧客、取引先、出張宿泊ホテル、あるいは自宅といった様々な場所からインターネット網を介して社内システムあるいは外部のクラウドサービスを利用する場合がある。社外からの利用の場合、利用者の認証にトークンデバイスまたはスマートフォンアプリを使ったワンタイムパスワード、あるいは指紋といった生体認証による2要素認証で本人確認を強化している。このように利用できる場所が自由になる一方、他人による情報の盗み見、監視カメラによる情報の盗撮、あるいは社員単独による故意の重要情報の漏洩といったリスクが高まる。
【0003】
特許文献1では、不適切な場所からの管理文書へのアクセスを防止する技術が開示されている。
特許文献2では、情報の使用を、指定された地理的領域に制限できるアクセス制御方法が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2000−163379号公報
【特許文献2】特開2006−195884号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1および特許文献2では、利用者の位置情報を認証に利用することで、予め決められた場所で、決められたアクセス権でのみサービスを利用できるように制御している。したがって、利用者がアクセスを許可されていない位置にいる場合には、いかなる場合でもアクセスが許可されず、業務の効率を下げてしまう虞がある。
【0006】
本発明は、利用者がいる場所が、アクセスが許可されていない場所である場合でも、認可ポリシをクリアすることによりセキュリティの安全性を担保し、アクセスを許可することができるアクセス制御システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明に係るアクセス制御システムは、利用者が携帯する情報端末装置と、アプリケーションを提供するサービス提供装置と、前記アプリケーションへのアクセスを制御するアクセス制御装置とを有するアクセス制御システムにおいて、
前記サービス提供装置は、
前記情報端末装置から前記利用者による前記アプリケーションの利用を要求する利用要求を受信すると、前記利用者の認証と前記利用者による前記アプリケーションの利用の認可とを要求する認証認可連携要求を前記情報端末装置に送信する認証連携機能部を備え、
前記情報端末装置は、
前記認証連携機能部から送信された前記認証認可連携要求を前記アクセス制御装置に送信し、
前記アクセス制御装置は、
前記アプリケーションを利用する利用者の情報を利用者情報として記憶するとともに、前記アプリケーションの利用を承認する承認者の承認条件を認可ポリシ情報として記憶する記憶部と、
前記認可ポリシ情報に基づいて、前記利用者情報から承認者の候補を承認者候補として抽出し、前記承認者候補のうちいずれかの承認者が前記承認条件を満たす場合に、前記認可が可能であると判定する認可判定部とを備えた。
【0008】
前記アクセス制御システムは、
前記利用者が携帯する携帯端末装置であって位置情報を取得可能な携帯端末装置を有し、
前記記憶部は、
前記アプリケーションを利用する利用者の位置情報を利用者位置情報として記憶し、
前記認可ポリシ情報は、前記利用者情報から承認者の候補を抽出する抽出条件として、前記携帯端末装置からの地理的範囲を含み、
前記認可判定部は、
前記利用者位置情報から、前記認可ポリシ情報に含まれる前記地理的範囲に位置する利用者を前記承認者候補として抽出する。
【0009】
前記利用者情報は、前記アプリケーションを利用する利用者の属性を含み、
前記認可ポリシ情報は、前記アプリケーションを利用する利用者の属性を前記抽出条件として含み、
前記認可判定部は、
前記利用者情報から、前記認可ポリシ情報に含まれる前記地理的範囲に位置するとともに、前記認可ポリシ情報に含まれる属性を有する利用者を前記承認者候補として抽出する。
【0010】
前記アクセス制御装置は、
前記承認者候補の一覧を前記利用者の前記携帯端末装置に表示し、前記利用者に前記承認者候補の一覧から前記アプリケーションの利用を承認する承認者を選択させ、前記利用者により選択された承認者を選択承認者として、前記選択承認者の前記携帯端末装置に承認を依頼する承認要求を送信する依頼部を備えた。
【0011】
前記認可判定部は、
前記選択承認者からの承認結果が承認済みである場合に、前記認可が可能であると判定する。
【0012】
前記利用者位置情報は、前記アプリケーションを利用する利用者の状態を含み、
前記認可ポリシ情報は、前記アプリケーションを利用する利用者の状態を前記承認条件として含み、
前記認可判定部は、
前記承認者候補の一覧のなかで前記承認条件がログイン状態である承認者のうち前記承認条件を満たす承認者が存在するかを判定し、前記承認条件を満たす承認者について認可が可能であると判定する。
【0013】
本発明に係るアクセス制御方法は、利用者が携帯する情報端末装置と、アプリケーションを提供するサービス提供装置と、前記アプリケーションへのアクセスを制御するアクセス制御装置であって前記アプリケーションを利用する利用者の情報を利用者情報として記憶するとともに、前記アプリケーションの利用を承認する承認者の承認条件を認可ポリシ情報として記憶する記憶部を備えたアクセス制御装置とを有するアクセス制御システムのアクセス制御方法において、
前記サービス提供装置は、前記情報端末装置から前記利用者による前記アプリケーションの利用を要求する利用要求を受信すると、前記利用者の認証と前記利用者による前記アプリケーションの利用の認可とを要求する認証認可連携要求を前記情報端末装置に送信し、
前記情報端末装置は、前記サービス提供装置から送信された前記認証認可連携要求を前記アクセス制御装置に送信し、
前記アクセス制御装置は、前記認可ポリシ情報に基づいて、前記利用者情報から承認者の候補を承認者候補として抽出し、前記承認者候補のうちいずれかの承認者が前記承認条件を満たす場合に、前記認可が可能であると判定する。
【0014】
本発明に係るアクセス制御プログラムは、利用者が携帯する情報端末装置とアプリケーションを提供するサービス提供装置とに接続されたアクセス制御装置であって、前記アプリケーションを利用する利用者の情報を利用者情報として記憶するとともに、前記アプリケーションの利用を承認する承認者の承認条件を認可ポリシ情報として記憶する記憶部を備えたアクセス制御装置のアクセス制御プログラムにおいて、
前記利用者による前記アプリケーションの利用を要求する利用要求を受信すると、前記利用者の認証と前記利用者による前記アプリケーションの利用の認可とを要求する認証認可連携要求を受信し、前記認可ポリシ情報に基づいて、前記利用者情報から承認者の候補を承認者候補として抽出し、前記承認者候補のうちいずれかの承認者が前記承認条件を満たす場合に、前記認可が可能であると判定する認可判定処理をコンピュータである前記アクセス制御装置に実行させる。
【発明の効果】
【0015】
本発明に係るアクセス制御システムでは、利用者によるアプリケーションの利用を承認する承認条件を認可ポリシ情報に設定する。また、認可判定部が、承認者が承認条件を満たす場合に、認可が可能であると判定する。よって、利用者が利用を許可されていない場所にいる場合でも、承認者が承認条件を満たすことによりセキュリティの安全性を担保し、業務の効率化を図ることができる。
【図面の簡単な説明】
【0016】
図1】実施の形態1に係るアクセス制御システム600の構成図。
図2】実施の形態1に係るアクセス制御システム600の各装置の構成図。
図3】実施の形態1に係るアクセス制御システム600の各装置のハードウェア構成図。
図4】実施の形態1に係る位置情報登録処理S10を表すシーケンス図。
図5】実施の形態1に係る利用者情報351の構成図。
図6】実施の形態1に係る利用者位置情報352の構成図。
図7】実施の形態1に係る認証認可要求処理S20を表すシーケンス図。
図8】実施の形態1に係る認可判定処理S30のフロー図。
図9】実施の形態1に係る認可判定処理S30のフロー図。
図10】実施の形態1に係る場所登録情報353の構成図。
図11】実施の形態1に係るアプリ情報356およびアプリ認可情報355の構成図。
図12】実施の形態1に係る認可ポリシ情報354の構成図。
図13】実施の形態1に係る検索条件情報357の構成図。
図14】実施の形態1に係る判定情報358の構成図。
図15】実施の形態1に係る認可判定部340が認可要求63を受け取った以降に開始される処理のシーケンス図。
【発明を実施するための形態】
【0017】
以下、本発明の実施の形態について、図を用いて説明する。なお、各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。
【0018】
実施の形態1.
***構成の説明***
図1を用いて、本実施の形態に係るアクセス制御システム600の構成について説明する。
アクセス制御システム600は、利用者60が携帯する携帯端末装置100であって位置情報を取得可能な携帯端末装置100と、利用者60が携帯する情報端末装置200と、アプリケーションを提供するサービス提供装置500と、アプリケーションへのアクセスを制御するアクセス制御装置300とを有する。アクセス制御システム600では、携帯端末装置100、情報端末装置200、アクセス制御装置300、およびサービス提供装置500がネットワーク400を介して接続されている。なお、以下の説明において、アプリケーションをアプリともいう。
携帯端末装置100および情報端末装置200の各々は、利用者60が携帯している装置である。携帯端末装置100は、位置情報を、GPS(Global Positioning System)、Wi−Fi(登録商標)、あるいは携帯基地局から取得できるコンピュータである。携帯端末装置100は、具体的には、スマートフォンあるいはタブレット端末である。情報端末装置200は、具体的には、ブラウザ機能を有するノート型PC(Personal Computer)といったコンピュータである。
アクセス制御装置300は、具体的には、認証許可プロバイダが提供する認証サーバである。
サービス提供装置500は、利用者が情報端末装置200を用いて利用するサービスを提供する。サービス提供装置500は、社内システムあるいは外部のクラウドサービスであり、アプリケーションの利用を提供する。
【0019】
図2を用いて、本実施の形態に係るアクセス制御システム600の各装置の構成について説明する。携帯端末装置100、情報端末装置200、アクセス制御装置300、およびサービス提供装置500の各々を、アクセス制御システム600の各装置ともいう。
【0020】
携帯端末装置100は、機能構成として、利用者認可部110を備える。利用者認可部110は、利用者認可アプリともいう。利用者認可部110は、位置取得部111、承認依頼部112、および利用者認証部113を有する。
情報端末装置200は、機能構成として、ブラウザ機能部210を有する。ブラウザ機能部210は、ブラウザを起動し、ブラウザ機能により各種処理を実行する。ブラウザの具体例としては、ChromeあるいはFireFoxといったソフトウェアである。
サービス提供装置500は、機能構成として、認証連携機能部510は、SAML(Security Assertion Markup Language)のSP(Service Provider)、OIDC(OpenID Connect)のRP(Relying Party)といった認証連携情報を要求・利用する機能を実行する。
アクセス制御装置300は、機能構成として、マスタ情報管理部310、位置情報受信部320、依頼部330、認可判定部340、記憶部350、認証部360、および認証認可連携機能部370を有する。記憶部350には、利用者情報351、利用者位置情報352、場所登録情報353、認可ポリシ情報354、アプリ認可情報355、アプリ情報356、検索条件情報357、および判定情報358が記憶されている。認証認可連携機能部370は、SAMLのIDP(Identity provider)、OIDCのOP(OpenID Provider)といった認証連携情報を提供する機能を実行する。
ここで、SAMLは、XMLをベースにした認証連携を行うための標準規格(プロトコル)である。IDPは、SAML規格に従って認証情報を提供する機能である。SPは、SAML規格に従って認証情報を要求・利用する機能である。OIDCは、JSON(JavaScript(登録商標) Object Notation)をベースにした認証連携を行うための標準規格(プロトコル)である。OPは、OpenID Connect規格に従って認証情報を提供する機能である。RPは、OpenID Connect規格に従って認証情報を要求・利用する機能である。
【0021】
図3を用いて、本実施の形態に係るアクセス制御システム600の各装置のハードウェア構成について説明する。携帯端末装置100、情報端末装置200、アクセス制御装置300、およびサービス提供装置500の各々を、アクセス制御システム600の各装置ともいう。
アクセス制御システム600の各装置はコンピュータである。
アクセス制御システム600の各装置は、プロセッサ901、補助記憶装置902、メモリ903、通信装置904、入力インタフェース905、ディスプレイインタフェース906といったハードウェアを備える。
プロセッサ901は、信号線910を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
入力インタフェース905は、入力装置907に接続されている。
ディスプレイインタフェース906は、表示装置908に接続されている。
【0022】
プロセッサ901は、演算処理を行うIC(Integrated Circuit)である。
プロセッサ901は、具体的には、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
補助記憶装置902は、具体的には、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)である。
メモリ903は、具体的には、RAM(Random Access Memory)である。
通信装置904は、データを受信するレシーバー9041およびデータを送信するトランスミッター9042を含む。
通信装置904は、具体的には、通信チップまたはNIC(Network Interface Card)である。
入力インタフェース905は、入力装置907のケーブル911が接続されるポートである。
入力インタフェース905は、具体的には、USB(Universal Serial Bus)端子である。
ディスプレイインタフェース906は、表示装置908のケーブル912が接続されるポートである。
ディスプレイインタフェース906は、具体的には、USB端子またはHDMI(登録商標)(High Definition Multimedia Interface)端子である。
入力装置907は、具体的には、マウス、キーボードまたはタッチパネルである。
表示装置908は、具体的には、LCD(Liquid Crystal Display)である。
【0023】
アクセス制御システム600の各装置の機能を実現するプログラムを、アクセス制御プログラムともいう。アクセス制御プログラムは、通常は補助記憶装置902に記憶されており、メモリ903にロードされた状態で、順次プロセッサ901に読み込まれ、実行される。
更に、補助記憶装置902には、OS(Operating System)も記憶されている。
そして、OSの少なくとも一部がメモリ903にロードされ、プロセッサ901はOSを実行しながら、アクセス制御システム600の各装置の機能を実現するプログラムを実行する。
図3では、1つのプロセッサ901が図示されているが、アクセス制御システム600の各装置が複数のプロセッサ901を備えていてもよい。
そして、複数のプロセッサ901がアクセス制御システム600の各装置の機能を実現するプログラムを連携して実行してもよい。
また、アクセス制御システム600の各装置の処理の結果を示す情報やデータや信号値や変数値が、メモリ903、補助記憶装置902、または、プロセッサ901内のレジスタまたはキャッシュメモリに記憶される。
また、アクセス制御システム600の各装置の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の記憶媒体に記憶される。
【0024】
アクセス制御システム600の各装置の機能を「プロセッシングサーキットリー」で提供してもよい。
また、「部」を「回路」または「工程」または「手順」または「処理」に読み替えてもよい。
「回路」および「プロセッシングサーキットリー」は、プロセッサ901だけでなく、ロジックICまたはGA(Gate Array)またはASIC(Application Specific Integrated Circuit)またはFPGA(Field−Programmable Gate Array)といった他の種類の処理回路をも包含する概念である。
【0025】
***動作の説明***
次に、本実施の形態に係るアクセス制御システム600のアクセス制御方法およびアクセス制御プログラムによるアクセス制御処理について説明する。
図4は、本実施の形態に係るアクセス制御処理が有する位置情報登録処理S10を表すシーケンス図である。位置情報登録処理S10は、利用者60が、外出先でサービス提供装置500にアクセスするための認証認可を得るために、アクセス制御装置300に位置情報を登録する処理である。
ステップS11において、利用者60は、携帯端末装置100の利用者認可部110にログインする。利用者認可部110は、利用者60から入力された利用者IDおよびクレデンシャル情報を取得し、アクセス制御装置300に送信する。クレデンシャル情報は、具体的には、パスワードである。なお、クレデンシャル情報は、パスワードの他に、指紋あるいは虹彩といった生体情報でもよい。
【0026】
図5を用いて、本実施の形態に係る利用者情報351の構成について説明する。
利用者情報351には、アプリケーションを利用する利用者の情報が登録されている。すなわち、利用者情報351に登録している利用者がアクセス制御システム600を利用できる。利用者情報351は、利用者ID、利用者氏名、組織コード、属性(役職)、クレデンシャル情報すなわちパスワード、および利用者が携帯する携帯端末装置を識別する携帯端末識別子といった情報が登録される。
ステップS12において、アクセス制御装置300の認証部360は、利用者IDおよびパスワードを取得し、利用者IDおよびパスワードを用いて利用者情報351を参照し、利用者60の認証の可否を判定する。
ステップS13において、認証部360は、利用者60の認証の判定結果を携帯端末装置100の利用者認可部110に送信する。
【0027】
利用者認可部110は、アクセス制御装置300から送信された判定結果が認証不可の場合、携帯端末装置100の表示装置にログインが失敗であることを表すメッセージを表示する。利用者認可部110は、アクセス制御装置300から送信された判定結果が認証可の場合、ステップS14において、位置取得部111が携帯端末装置100の位置情報を取得する。位置取得部111は、位置情報の取得を許可するか否かを利用者60に入力させる表示を表示装置に表示し、位置情報取得の許可を利用者60から受け付ける。
ステップS15において、位置取得部111は、位置情報取得の許可を利用者60から受け付けると、GPS、Wi−Fi、あるいは携帯基地局により、携帯端末装置100の位置情報を取得する。
ステップS16において、位置取得部111は、利用者IDおよび位置情報をアクセス制御装置300に送信する。
ステップS17において、アクセス制御装置300の位置情報受信部320は、利用者IDおよび位置情報を受信する。位置情報受信部320は、受信した利用者IDおよび位置情報に基づいて、記憶部350の利用者位置情報352に利用者60の位置情報を登録あるいは更新する。
【0028】
図6を用いて、本実施の形態に係る利用者位置情報352の構成について説明する。
利用者位置情報352には、利用者IDと、位置情報と、最終状態更新日時と、状態とが設定される。位置情報は、具体的には、経度緯度である。最終状態更新日時は、利用者IDに関する位置情報が登録あるいは更新された最新の日時である。状態は、利用者IDに関する位置情報がログイン中であるか、有効であるか、無効であるかを表す。利用者IDに関する位置情報が有効であるとは、現在日時から遡って所定の時間以内に位置情報により表される位置でログインしていたことを表す。利用者IDに関する位置情報が無効であるとは、位置情報により表される位置でログインした直近の日時より、所定の時間以上経過したことを表す。
【0029】
次に、図7を用いて、本実施の形態に係るアクセス制御処理が有する認証認可要求処理S20について説明する。認証認可要求処理S20は、利用者60が、外出先でサービス提供装置500にアクセスするための認証認可を要求する処理である。
ステップS21において、利用者60は、情報端末装置200のブラウザを起動し、アクセスしたいアプリケーションのURLを選択する。
ステップS22において、情報端末装置200のブラウザ、すなわちブラウザ機能部210は、選択されたアプリケーションのURLに基づいて、アプリケーション画面の要求をサービス提供装置500に送信する。アプリケーション画面の要求は、アプリケーションの利用要求61である。
ステップS23において、サービス提供装置500が利用要求61を受け付ける。サービス提供装置500の認証連携機能部510は、利用要求61を受信すると、利用者60の認証と利用者60によるアプリケーションの利用の認可とを要求する認証認可連携要求62を情報端末装置200に送信する。
認証認可連携要求62は、利用者60がアクセス制御システム600に登録された利用者であることを認証するとともに、サービス提供装置500のアプリケーションにアクセスすることを認可する要求である。
【0030】
ステップS24において、情報端末装置200のブラウザ機能部210は、サービス提供装置500から認証認可連携要求62を受信すると、アクセス制御装置300に認証認可連携要求62を送信する。
ステップS25において、アクセス制御装置300の認証認可連携機能部370は、認証認可連携要求62を認証部360に渡す。
ステップS26において、認証部360は、利用者IDおよびクレデンシャル情報の取得要求を情報端末装置200に送信する。
ステップS27において、情報端末装置200のブラウザ機能部210は、利用者IDおよびクレデンシャル情報を入力させる利用者認証画面を表示装置に表示する。
ステップS28において、情報端末装置200のブラウザ機能部210は、利用者60から利用者IDおよびクレデンシャル情報を取得する。
ステップS29において、情報端末装置200のブラウザ機能部210は、利用者60から取得した利用者IDおよびクレデンシャル情報を、アクセス制御装置300に送信する。
ステップS210において、アクセス制御装置300の認証部360は、受信した利用者IDおよびクレデンシャル情報を用いて利用者情報351を参照し、利用者60の認証の可否を判定する。
ステップS211において、認証部360は、認証結果を認証認可連携機能部370に出力する。
ステップS212において、認証認可連携機能部370は、利用者IDにより表される利用者が、アプリケーションに対するアクセスが認可されているか否かを判定する認可判定部340に、認可要求63を出力する。認可要求63には、利用者IDとアプリケーションのURLとが含まれる。認可判定部340が認可要求63を受け取ると、認可判定処理S30が開始される。
【0031】
次に、図8および図9を用いて、本実施の形態に係るアクセス制御処理が有する認可判定処理S30について説明する。図8および図9は、認可判定処理S30を表すフロー図である。
認可判定処理S30では、認可判定部340が利用者60の認証と利用者60によるアプリケーションの利用の認可とを要求する認証認可連携要求62を受信する。そして、認可判定部340が認可ポリシ情報354に基づいて、利用者情報351から承認者の候補を承認者候補として抽出し、承認者候補のうちいずれかの承認者が承認条件を満たす場合に、認可が可能であると判定する。
【0032】
ステップS31において、認可判定部340は、認可要求63に含まれる利用者IDをキーに、利用者位置情報352を参照し、利用者60の位置情報を取得する。
ステップS32において、認可判定部340は、位置情報をキーに、場所登録情報353を参照し、利用者60の位置に対応する場所情報を取得する。
【0033】
図10を用いて、本実施の形態に係る場所登録情報353の構成について説明する。
場所登録情報353には、場所ID、場所名、場所区分、基準緯度、基準経度、経度範囲、緯度範囲、グループID、および住所といった情報が設定されている。
具体例としては、利用者本人が利用者ID「USR001」の「佐藤太郎」であるとする。認可要求63に含まれる利用者IDがUSR001の場合、認可判定部340は、USR001をキーに利用者位置情報352を参照し、USR001に対応する緯度および経度を取得する。そして、認可判定部340は、USR001に対応する緯度および経度をキーに場所登録情報353を参照し、USR001に対応する緯度および経度が含まれる行の情報を場所情報として取得する。
【0034】
ステップS33において、認可判定部340は、認可要求63に含まれるアプリケーションのURLをキーに、アプリ情報356およびアプリ認可情報355を参照し、アプリケーションのURLに対応する行の情報を取得する。
【0035】
図11を用いて、アプリ情報356およびアプリ認可情報355の構成について説明する。アプリ情報356には、アプリケーションIDと、アプリケーションのURLと、アプリケーション名が対応付けられて設定されている。また、アプリ認可情報355には、アプリ認可IDと、アプリIDと、認可利用場所区分と、認可ポリシIDと、認可有効時間とが設定されている。
具体例としては、認可要求63に含まれるアプリケーションのURLが業務アプリAのURLの場合、認可判定部340は、このURLをキーにアプリ情報356を参照し、このURLに対応するアプリケーションID「APP001」を取得する。そして、認可判定部340は、このアプリケーションID「APP001」をキーに、アプリ認可情報355を参照し、「APP001」に対応する行の情報を取得する。具体的には、認可判定部340は、アプリケーションID「APP001」に対応する1行目の情報を取得する。このとき、認可ポリシIDは、PLC001である。
【0036】
ステップS34において、認可判定部340は、利用者の利用者IDから得られた場所登録情報353の場所区分が、アプリケーションIDから得られたアプリ認可情報355の認可利用場所区分として登録されているかを判定する。利用者IDから得られた場所区分が、アプリケーションIDから得られた認可利用場所区分として登録されている場合、認可判定部340は、ステップS35に進む。
利用者IDから得られた場所区分が、アプリケーションIDから得られた認可利用場所区分として登録されていない場合、認可判定部340は、ステップS3401に進む。図7に示すように、ステップS3401において、認可判定部340は、認証認可連携機能部370に、場所が許可されて無いため認可できないことを表すエラー情報を送信する。そして、認証認可連携機能部370は、このエラー情報を情報端末装置200に送信する。情報端末装置200は、このエラー情報を表す画面をエラー画面として表示装置に表示する。表示装置に表示されたエラー画面により、利用者60は、サービス提供装置500にアクセスしている場所が許可されていないため、アプリケーションに対するアクセスが認可されなかったことがわかる。
【0037】
ステップS35において、認可判定部340は、ステップS33で取得した認可ポリシIDをキーに、認可ポリシ情報354を参照する。認可判定部340は、ステップS33で取得した認可ポリシIDに対応する行の情報を取得する。
【0038】
図12を用いて、本実施の形態に係る認可ポリシ情報354の構成について説明する。
認可ポリシ情報354では、各行に、認可ポリシID、近接利用者検索条件ID、認可ポリシ名、近接利用者範囲、近接利用者認可条件、近接利用者数、および説明が設定されている。近接利用者認可条件は、アプリケーションの利用を承認する承認者の承認条件の例である。また、近接利用者範囲は、携帯端末装置からの地理的範囲であり、利用者情報351から承認者の候補を抽出する抽出条件の例である。また、近接利用者検索条件IDも利用者情報351から承認者の候補を抽出する抽出条件の例である。近接利用者検索条件IDをキーに、後述する検索条件情報357を参照することにより、利用者情報351から承認者の候補を抽出する詳細な抽出条件を得ることができる。なお、ここでは、認可ポリシ情報354と検索条件情報357とは、1つのデータベースで構成してもよい。検索条件情報357は、近接利用者検索条件情報ともいう。
具体例としては、認可ポリシIDがPLC001の場合、認可判定部340は、認可ポリシID「PLC001」をキーに、認可ポリシ情報354を参照し、認可ポリシID「PLC001」に対応する1行目の情報を取得する。このとき、近接利用者検索条件IDは、CND001である。
【0039】
ステップS36において、認可判定部340は、ステップS35で取得した利用者認可ポリシ情報354の近接利用者検索条件IDをキーに、検索条件情報357を参照する。認可判定部340は、ステップS35で取得した利用者認可ポリシ情報354の近接利用者検索条件IDに対応する、検索条件情報357の行の情報を取得する。
【0040】
図13を用いて、本実施の形態に係る検索条件情報357の構成について説明する。
検索条件情報357では、各行に、近接利用者検索条件ID、利用者属性名、利用者属性値、組織条件、および説明が設定されている。利用者属性名および利用者属性値は、アプリケーションを利用する利用者の属性であり、利用者情報351から承認者の候補を抽出する抽出条件の例である。
具体例としては、近接利用者検索条件IDがCND001の場合、認可判定部340は、近接利用者検索条件ID「CND001」をキーに、検索条件情報357を参照し、近接利用者検索条件ID「CND001」に対応する1行目から3行目までの情報を取得する。このとき、近接利用者検索条件は、役職「上長」あるいは「代理上長」、組織コード「指定なし」、組織条件「有り」である。組織コード「指定なし」の場合は、利用者と同一の組織コードであるものとする。
【0041】
ステップS37において、認可判定部340は、ステップS36で取得した近接利用者検索条件IDに対応する近接利用者検索条件に基づいて、利用者情報351を参照する。認可判定部340は、ステップS36で取得した近接利用者検索条件に基づいて、利用者情報351から近接利用者検索条件にマッチする利用者を近接利用者の候補として抽出する。認可判定部340は、利用者情報351から、認可ポリシ情報に含まれる属性である利用者属性名および利用者属性値にマッチする利用者を近接利用者の候補として抽出する。
具体例としては、近接利用者検索条件が、役職「上長」あるいは「代理上長」、組織コード「指定なし」、組織条件「有り」の場合、認可判定部340は、利用者情報351から、近接利用者検索条件にマッチするUSR002とUSR003とを取得する。認可判定部340は、USR002の「高橋次郎」とUSR003の「山田花子」が近接利用者の候補として抽出される。なお、近接利用者の候補は、アプリケーションの利用を承認する承認者候補73である。すなわち、USR002の「高橋次郎」とUSR003の「山田花子」が承認者候補73として抽出される。
【0042】
ステップS38において、認可判定部340は、近接利用者の候補の利用者IDをキーに、利用者位置情報352を参照し、近接利用者の候補の位置情報を取得する。
具体例としては、USR002の「高橋次郎」とUSR003の「山田花子」が近接利用者の候補(承認者候補73)の場合、認可判定部340は、利用者位置情報352を参照し、USR002に対応する2行目と、USR003に対応する3行目とを取得する。
【0043】
ステップS39において、認可判定部340は、「利用者本人の位置情報」と「近接利用者の候補の位置情報」の差が、利用者認可ポリシ情報354の近接利用者範囲内に含まれているかを計算する。すなわち、認可判定部340は、利用者位置情報352から、認可ポリシ情報354に含まれる地理的範囲である近接利用者範囲に位置する利用者をさらに承認者候補73として抽出する。そして、認可判定部340は、近接利用者の候補を、判定情報358に設定する。
ステップS37からステップS39により、認可判定部340は、利用者情報351から、認可ポリシ情報354に含まれる地理的範囲に位置するとともに、認可ポリシ情報354に含まれる属性を有する利用者を承認者候補73として抽出する。
【0044】
図14を用いて、本実施の形態に係る判定情報358の構成について説明する。
判定情報358には、一行に、判定ID、利用者本人ID、利用者本人氏名、近接利用者認可条件、近接利用者ID、近接利用者名、近接状態、近接者ログイン状態、依頼状態、判定結果、アプリケーション名、およびアプリケーションURLが設定される。
具体例としては、利用者本人がUSR001の「佐藤太郎」であり、USR002の「高橋次郎」とUSR003の「山田花子」が近接利用者の候補の場合、認可判定部340は、図13に示すように判定情報358に、各情報を設定する。このとき、近接利用者の候補の状態が無効である場合でも、判定情報358に設定する。
【0045】
ステップS310において、認可判定部340は、処理対象となる近接利用者の候補を判定情報358から取得する。
ステップS311において、認可判定部340は、処理対象となる近接利用者の候補について、判定情報358を参照し、近接利用者認可条件が「ログイン」で、かつ、ログイン状態が「ログイン」であるかを判定する。近接利用者認可条件が「ログイン」で、かつ、ログイン状態が「ログイン」である場合、近接利用者の認可条件が満たされていることを意味するので、認可処理を終了する。「近接利用者認可条件が「ログイン」で、かつ、ログイン状態が「ログイン」」以外の場合、ステップS312に進む。
すなわち、認可判定部340は、承認者候補73の一覧のなかで承認条件がログイン状態である承認者のうち承認条件を満たす承認者が存在するかを判定し、承認条件を満たす承認者について認可が可能であると判定する。なお、ここでは、承認者候補73の一覧を判定情報358に登録し、この判定情報358を用いてステップS311の判定を行っている。しかし、判定情報358に登録せずに、承認者候補73の利用者位置情報352の状態と、利用要求61に含まれるアプリケーションのURLから導かれる認可ポリシとから、ステップS311の判定を行ってもよい。
【0046】
ステップS312において、認可判定部340は、依頼部330を呼び出し(ステップS312a)、承認依頼選択処理S40を実行させる。
承認依頼選択処理S40は、利用者60の携帯端末装置100に近接利用者の候補の一覧を表示し、利用者60に承認をお願いする人を選択させる処理である。承認依頼選択処理S40は、アクセス制御装置300の依頼部330が、承認者候補73の一覧を利用者60の携帯端末装置100に表示し、利用者60に承認者候補73の一覧からアプリケーションの利用を承認する承認者を選択させる。
【0047】
図15は、図7に続くシーケンス図であり、認可判定部340が認可要求63を受け取った(ステップS121)以降に開始される処理のシーケンス図である。
図15のステップS312aにおいて、認可判定部340は、依頼部330に承認依頼選択処理S40を実行させる。
ステップS401において、依頼部330は、利用者60の携帯端末装置100に、近接利用者の候補の一覧を含む候補一覧画面の表示を要求する一覧画面表示要求を送信する。
ステップS402において、携帯端末装置100の承認依頼部112は、依頼部330から一覧画面表示要求を受信すると、携帯端末装置100の表示装置に近接利用者の候補の一覧である候補一覧画面を表示するプッシュ通知を実行する。
ステップS403において、承認依頼部112は、プッシュ通知を受け取った利用者60が利用者認可部110にログインすると、候補一覧画面を表示装置に表示し、利用者60に対し、候補一覧画面から承認を依頼する近接利用者の選択を促す。利用者60により選択された近接利用者を選択承認者60xともいう。
ステップS404において、承認依頼部112は、利用者60が選択した選択承認者60xの利用者IDと、利用者60の利用者IDとを含む近接利用者選択通知をアクセス制御装置300に送信する。
【0048】
図9のステップS312bにおいて、アクセス制御装置300の依頼部330は、近接利用者選択通知を受信する。なお、近接利用者選択通知には、承認者を選択せずに近接利用者への依頼をキャンセルするといった情報を含むことができるものとする。
ステップS313において、認可判定部340は、近接利用者選択通知に近接利用者への依頼をキャンセルする情報が含まれるか否かを判定する。近接利用者選択通知が近接利用者への依頼をキャンセルする情報である場合、ステップS3130に進む。ステップS3130において、認可判定部340は、認証認可連携機能部370に、近接利用者への依頼をキャンセルしたため、認可できないことを表すエラー情報を送信する。そして、認証認可連携機能部370は、このエラー情報を情報端末装置200に送信する。情報端末装置200は、このエラー情報を表す画面をエラー画面として表示装置に表示する。表示装置に表示されたエラー画面により、利用者60は、近接利用者への依頼をキャンセルしたため、アプリケーションに対するアクセスが認可されなかったことがわかる。近接利用者選択通知が近接利用者への依頼をキャンセルする情報でない場合、ステップS314に進む。
【0049】
ステップS314において、認可判定部340は、依頼部330を呼び出し(ステップS314a)、承認依頼処理S50を実行させる。承認依頼処理S50は、アクセス制御装置300の依頼部330が、利用者60により選択された承認者を選択承認者60xとして、選択承認者60xの携帯端末装置100に承認を依頼する承認要求を送信する。承認依頼処理S50は、選択された近接利用者に承認を依頼する処理である。
【0050】
図15のステップS501において、依頼部330は、選択された近接利用者の携帯端末装置100に、利用者60のアプリケーションへのアクセスに対する承認を依頼する承認依頼画面の表示を要求する承認要求64を送信する。
ステップS502において、選択された近接利用者の携帯端末装置100の承認依頼部112は、依頼部330から承認要求64を受信すると、携帯端末装置100の表示装置に利用者60のアプリケーションへのアクセスに対する承認を依頼する承認依頼画面を表示するプッシュ通知を実行する。
ステップS503において、承認依頼部112は、プッシュ通知を受け取った近接利用者が利用者認可部110にログインすると、承認依頼画面を表示装置に表示する。プッシュ通知を受け取った近接利用者は、承認依頼画面を用いて、利用者60のアプリケーションへのアクセスに対する承認を行う。あるいは、プッシュ通知を受け取った近接利用者は、承認依頼画面を用いて、利用者60のアプリケーションへのアクセスを否認してもよい。
ステップS504において、承認依頼部112は、近接利用者の利用者IDと、利用者60の利用者IDと、承認の結果とを含む承認結果通知65をアクセス制御装置300に送信する。
【0051】
図9のステップS314bにおいて、アクセス制御装置300の依頼部330は、承認結果通知65を受信する。
ステップS315において、認可判定部340は、承認結果通知65が承認か否認かについて判定する。承認結果通知65が否認の場合、ステップS3150に進む。ステップS3150において、認可判定部340は、認証認可連携機能部370に、近接利用者、すなわち選択承認者60xにより否認されたため、認可できないことを表すエラー情報を送信する。そして、認証認可連携機能部370は、このエラー情報を情報端末装置200に送信する。情報端末装置200は、このエラー情報を表す画面をエラー画面として表示装置に表示する。表示装置に表示されたエラー画面により、利用者60は、近接利用者により否認されたため、アプリケーションに対するアクセスが認可されなかったことがわかる。
承認結果通知65が承認の場合、近接利用者の認可条件が満たされていることを意味するので、認可処理を終了する。すなわち、認可判定部340は、選択承認者60xからの承認結果が承認済みである場合に、認可が可能であると判定する。
以上で、認可判定処理S30の説明を終了する。
【0052】
図15のステップS601において、認可判定部340は、認可判定処理S30による認可結果を認証認可連携機能部370に送信する。
ステップS602において、認証認可連携機能部370は、認可結果が認可か否かについて判定する。不認可の場合、ステップS603に進む。認可の場合、ステップS605に進む。
ステップS603において、認証認可連携機能部370は、認可結果が不認可であることを示す不認可通知を利用者60の情報端末装置200に送信する。
ステップS604において、情報端末装置200のブラウザ機能部210は、アプリケーションの利用が不可であることを表す利用不可画面を表示装置に表示する。このとき、アプリケーションの利用が不可であることの理由を合わせて表示してもよい。
【0053】
ステップS605において、認証認可連携機能部370は、認可結果が認可であることを示す認証認可メッセージを利用者60の情報端末装置200に送信する。
ステップS606において、情報端末装置200のブラウザ機能部210は、認証認可メッセージをサービス提供装置500に送信する。すなわち、ブラウザ機能部210は、認証認可メッセージをサービス提供装置500にリダイレクトする。
ステップS607において、サービス提供装置500の認証連携機能部510は、認証認可メッセージを受信すると、アプリケーション画面データと認証済セッション識別子とを情報端末装置200に送信する。
ステップS608において、情報端末装置200のブラウザ機能部210は、アプリケーション画面を表示装置に表示する。
以上により、利用者60は、アプリケーション画面を用いて、アプリケーションに対する処理を行うことができる。
【0054】
***本実施の形態の効果の説明***
本実施の形態に係るアクセス制御システム600では、利用者の位置情報を認証に利用することで、あらかじめ決められた場所で、決められたアクセス権でのみサービスを利用できるように制御し、情報漏洩のリスクを減らすことができる。また、本実施の形態に係るアクセス制御システム600では、利用場所が予め登録されていなくても、決められたポリシ定義を満たしていれば、予め決められたアクセス権でサービスを利用できるようにも制御する。また、本実施の形態に係るアクセス制御システム600では、「同じグループの他の利用者が、一定人数以上、近接でログイン状態の場合」といったポリシ定義を柔軟に設定することができる。よって、本実施の形態に係るアクセス制御システム600によれば、社員単独による故意の重要情報の漏洩リスクや深夜での単独就業による事故を予防することができる。
【0055】
実施の形態1では、アクセス制御システム600の各装置の各部が独立した機能ブロックとしてアクセス制御システム600の各装置を構成している。しかし、上述した実施の形態のような構成でなくてもよく、アクセス制御システム600の各装置の構成は任意である。アクセス制御システム600の各装置の機能ブロックは、上述した実施の形態で説明した機能を実現することができれば、任意である。これらの機能ブロックを、他のどのような組み合わせ、あるいは任意のブロック構成で、アクセス制御システム600の各装置を構成しても構わない。
アクセス制御システム600の各装置は、1つの装置でなく、複数の装置から構成されたシステムでもよい。
【0056】
実施の形態1について説明したが、この実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、この実施の形態のうち、1つの部分を実施しても構わない。その他、この実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
なお、上述した実施の形態は、本質的に好ましい例示であって、本発明の範囲、本発明の適用物の範囲、および本発明の用途の範囲を制限することを意図するものではない。上述した実施の形態は、必要に応じて種々の変更が可能である。
【符号の説明】
【0057】
60 利用者、60x 選択承認者、61 利用要求、62 認証認可連携要求、63 認可要求、64 承認要求、65 承認結果通知、73 承認者候補、100 携帯端末装置、110 利用者認可部、111 位置取得部、112 承認依頼部、113 利用者認証部、200 情報端末装置、210 ブラウザ機能部、300 アクセス制御装置、310 マスタ情報管理部、320 位置情報受信部、330 依頼部、340 認可判定部、350 記憶部、351 利用者情報、352 利用者位置情報、353 場所登録情報、354 認可ポリシ情報、355 アプリ認可情報、356 アプリ情報、357 検索条件情報、358 判定情報、360 認証部、370 認証認可連携機能部、400 ネットワーク、500 サービス提供装置、510 認証連携機能部、520 実行部、600 アクセス制御システム、901 プロセッサ、902 補助記憶装置、903 メモリ、904 通信装置、9041 レシーバー、9042 トランスミッター、905 入力インタフェース、906 ディスプレイインタフェース、911,912 ケーブル、907 入力装置、908 表示装置、910 信号線、S10 位置情報登録処理、S20 認証認可要求処理、S30 認可判定処理、S40 承認依頼選択処理、S50 承認依頼処理。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.