[go: up one dir, main page]

JP2010097510A - Remote access management system and method - Google Patents

Remote access management system and method Download PDF

Info

Publication number
JP2010097510A
JP2010097510A JP2008269139A JP2008269139A JP2010097510A JP 2010097510 A JP2010097510 A JP 2010097510A JP 2008269139 A JP2008269139 A JP 2008269139A JP 2008269139 A JP2008269139 A JP 2008269139A JP 2010097510 A JP2010097510 A JP 2010097510A
Authority
JP
Japan
Prior art keywords
user
computer
location information
remote access
access management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008269139A
Other languages
Japanese (ja)
Inventor
Junichi Matsui
純一 松井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2008269139A priority Critical patent/JP2010097510A/en
Publication of JP2010097510A publication Critical patent/JP2010097510A/en
Pending legal-status Critical Current

Links

Images

Abstract

【課題】コンピュータが使用される場所に応じて、ユーザのアクセス権限を設定することのできるリモートアクセス管理システムを提供する。
【解決手段】ユーザ3がドアゲート7を利用して企業の部屋6に入室すると、ユーザ3が所持するICカード8にドアゲート7が保持している所在位置情報が書き込まれる。ユーザ3がコンピュータ1をシンクライアント端末として利用するとき、コンピュータ3は該ICカード3から所在位置情報を読み取り、所在位置情報を含むメッセージを認証サーバ2に送信する。認証サーバ2は、ユーザ3に予め与えられているアクセス権限を参照し、コンピュータ3から受信した所在位置情報に応じてユーザのアクセス権限を設定する。
【選択図】図1There is provided a remote access management system capable of setting user access authority in accordance with a place where a computer is used.
When a user 3 enters a company room 6 using a door gate 7, location information held by the door gate 7 is written in an IC card 8 possessed by the user 3. When the user 3 uses the computer 1 as a thin client terminal, the computer 3 reads the location information from the IC card 3 and transmits a message including the location information to the authentication server 2. The authentication server 2 refers to the access authority given in advance to the user 3 and sets the access authority of the user according to the location information received from the computer 3.
[Selection] Figure 1

Description

本発明は、セキュリティ管理されたネットワークに配置されたサーバへのリモートアクセスを管理するための技術に関する。   The present invention relates to a technique for managing remote access to a server arranged in a security-managed network.

ネットワーク技術の発展に伴い、企業などにおいては、企業情報の流出や盗難などを防ぐために、クライアントに最小限の機能を持たせ、セキュリティ管理されたネットワークに設置されたサーバ側に、情報資源(アプリケーションやデータファイル)を集中させるシンクライアント(Thin Client)システムが普及しつつある。   Along with the development of network technology, in order to prevent the leakage and theft of corporate information, enterprises, etc. have information resources (applications) on the server side installed in the security-managed network by providing clients with the minimum functions. Thin client systems that concentrate data and data files) are becoming popular.

シンクライアントシステムを実現するとき、シンクライアント端末として利用するコンピュータのハードディスクや、ユーザが所持する外部記憶デバイス(例えば、USBメモリ)に最小限の機能のみを備えたシンクライアント用オペレーティングシステム(OS: Operating System)を記憶させ、該コンピュータ上でシンクライアント用のOSを起動させる。   When implementing a thin client system, a thin client operating system (OS: Operating System) that has only a minimum functionality in the hard disk of a computer used as a thin client terminal or an external storage device (for example, USB memory) owned by the user System) is stored, and the OS for the thin client is started on the computer.

このように、シンクライアント用OSを起動させれば、汎用のコンピュータをシンクライアント端末として利用できるため、シンクライアント端末として利用できるコンピュータは、企業内に設置されているコンピュータのみならず、持出し可能なノート型のコンピュータをもシンクライアント端末として利用可能になる。   In this way, if a thin client OS is started, a general-purpose computer can be used as a thin client terminal. Therefore, a computer that can be used as a thin client terminal can be taken out as well as a computer installed in a company. A notebook computer can also be used as a thin client terminal.

しかし、ノート型のコンピュータの場合、ノート型のコンピュータが利用される場所を特定できないため、例えば、ネットカフェや飲食店など企業外でノート型のコンピュータが利用されると、企業とは無関係の第三者に機密情報が漏洩してしまう可能性があるため、シンクライアント端末として機能するコンピュータが使用される場所に応じて、該コンピュータを操作するユーザのアクセス権限を設定することはできない。   However, in the case of a notebook computer, the location where the notebook computer is used cannot be specified. For example, if a notebook computer is used outside a company such as an Internet cafe or a restaurant, the company has no relation to the company. Since confidential information may be leaked to the three parties, the access authority of the user who operates the computer cannot be set according to the location where the computer functioning as a thin client terminal is used.

シンクライアント端末のアクセス先を管理するための発明としては、例えば、特許文献1において、シンクライアント用OSに加え、シンクライアント端末がアクセス可能なアクセス先(例えば、URL)のリストをハードウェアトークン(例えば、USBメモリ)に記憶させ、該リストに記述されたアクセス先以外へのアクセスをシンクライアント端末側で禁止する装置が開示されているが、特許文献1で開示されている内容では、シンクライアント端末として機能するコンピュータが使用される場所に応じて、該コンピュータを操作するユーザのアクセス権限を設定することはできない。
特開2008−165541号公報 As an invention for managing the access destination of a thin client terminal, for example, in Patent Document 1, in addition to the thin client OS, a list of access destinations (for example, URLs) accessible by the thin client terminal is represented by a hardware token ( For example, a device that is stored in a USB memory) and prohibits access to a destination other than the access destination described in the list is disclosed on the thin client terminal side. The access authority of the user who operates the computer cannot be set depending on the location where the computer functioning as a terminal is used.
JP 2008-165541 A

そこで、本発明は、シンクライアントシステムに代表されるようなリモートアクセスシステムにおいて、リモートアクセスに利用されるコンピュータが使用される場所に応じて、該コンピュータを操作するユーザのアクセス権限を設定することのできるリモートアクセス管理システム及び方法を提供することを目的とする。   Therefore, the present invention is to set the access authority of a user who operates a computer in a remote access system represented by a thin client system according to the place where the computer used for remote access is used. An object of the present invention is to provide a remote access management system and method.

上述した課題を解決する第1の発明は、セキュリティ管理されたネットワーク上のリソースへのリモートアクセスを管理するリモートアクセス管理システムであって、前記リモートアクセス管理システムは、前記ネットワーク外に配置され、前記リソースにリモートアクセスするコンピュータと、前記コンピュータのリモートアクセスを管理する認証サーバとから少なくとも構成され、前記コンピュータは、前記コンピュータを操作するユーザの所在位置情報を取得する所在位置情報取得手段と、前記所在位置情報を含む認証要求メッセージを前記認証サーバに送信する認証要求手段を備え、前記認証サーバは、前記所在位置情報に紐付けして前記リソースのアドレスを記憶した所在位置テーブルを参照し、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされている前記リソースへのアクセス権限を前記ユーザに設定するリモートアクセス管理手段を備えていることを特徴とするリモートアクセス管理システムである。   A first invention for solving the above-mentioned problem is a remote access management system for managing remote access to resources on a security-managed network, the remote access management system being arranged outside the network, A computer that remotely accesses a resource; and an authentication server that manages remote access of the computer. The computer includes location information acquisition means for acquiring location information of a user who operates the computer, and the location Authentication request means for transmitting an authentication request message including location information to the authentication server, wherein the authentication server refers to a location table that stores the address of the resource in association with the location information, and Included in the request message A remote access management system, characterized in that address in the location information comprises a remote access management means for setting the access rights to the resources that are tied to the user.

上述した第1の発明によれば、前記ユーザの所在位置に応じて前記ユーザのアクセス権限を設定することで、同じ前記ユーザが同じコンピュータを使用する場合であっても、前記ユーザの所在位置に応じて、前記ユーザがアクセスできる前記リソースを限定することができるようになる。   According to the first invention described above, by setting the access authority of the user according to the location of the user, even if the same user uses the same computer, the location of the user is set. Accordingly, the resources that can be accessed by the user can be limited.

更に、第2の発明は、第1の発明に記載のリモートアクセス管理システムであって、前記リモートアクセス管理システムには、企業内の部屋の出入り口に設けられるドアゲートが含まれ、前記ドアゲートは、前記ユーザの入室時にドアの施錠を解錠するとき、前記ドアゲートが設置された前記部屋を示す前記所在位置情報を前記ユーザが所持するICカードに書き込み、前記ユーザの退室時にドアの施錠を解錠するとき、前記所在位置情報を前記ICカードから削除する施錠制御手段を備え、前記コンピュータに備えられた前記所在位置情報取得手段は、前記ユーザが所持する前記ICカードから前記所在位置情報を読み取る手段であることを特徴とするリモートアクセス管理システムである。   Furthermore, the second invention is the remote access management system according to the first invention, wherein the remote access management system includes a door gate provided at a doorway of a room in a company, When unlocking the door when the user enters the room, the location information indicating the room where the door gate is installed is written in the IC card held by the user, and the door is unlocked when the user leaves the room. The location information acquisition means provided in the computer comprises means for reading the location information from the IC card possessed by the user. A remote access management system characterized by being.

企業のLAN(Local Area Network)内のリソースへのリモートアクセスを管理するときは、上述した第2の発明のように、前記部屋に設置された前記ドアゲートで前記所在位置情報をICカードに書き込み、前記コンピュータで前記ICカードに記憶された前記所在位置情報を読み取るようにすれば、企業内外も含め、前記ユーザがいる場所を容易に特定でき、前記ユーザがいる場所に応じて、前記ユーザのアクセス権限を設定できるようになる。   When managing remote access to resources in a corporate LAN (Local Area Network), as in the second aspect described above, the location information is written to the IC card at the door gate installed in the room, If the location information stored in the IC card is read by the computer, the location where the user is located, including inside and outside the company, can be easily specified, and the access of the user according to the location where the user is located Permission can be set.

更に、第3の発明は、第2の発明に記載のリモートアクセス管理システムであって、前記コンピュータは、前記コンピュータを操作するユーザから少なくともユーザIDを取得するユーザ情報取得手段を備え、前記認証要求手段は、前記認証要求メッセージに前記ユーザIDを含ませる手段で、前記認証サーバの前記リモートアクセス管理手段は、前記所在位置テーブルに加え、前記ユーザIDに紐付けして前記リソースのアドレスを記憶したユーザテーブルを参照し、前記認証要求メッセージに含まれる前記ユーザIDにアドレスが紐付けされ、かつ、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされた前記リソースへのアクセス権限を前記ユーザに設定する手段であることを特徴とするリモートアクセス管理システムである。   Furthermore, a third invention is the remote access management system according to the second invention, wherein the computer comprises user information acquisition means for acquiring at least a user ID from a user operating the computer, and the authentication request The means is means for including the user ID in the authentication request message, and the remote access management means of the authentication server stores the address of the resource in association with the user ID in addition to the location table. With reference to the user table, an access right to the resource in which an address is associated with the user ID included in the authentication request message and an address is associated with the location information included in the authentication request message. Remote access management characterized in that it is means for setting to the user It is a stem.

上述した第3の発明のように、前記ユーザに予めアクセス権限が与えられている前記リソースを示す前記ユーザテーブルを前記認証サーバが備えていれば、前記ユーザのアクセス権限の無い前記リソースへのリモートアクセスを防止できる。   As in the third aspect described above, if the authentication server has the user table indicating the resource to which the user has been given access authority in advance, remote access to the resource to which the user has no access authority Access can be prevented.

更に、第4の発明は、第3の発明に記載のリモートアクセス管理システムであって、前記コンピュータの前記ユーザ情報取得手段は、前記ユーザIDに加え、前記ユーザのパスワードを前記ユーザから取得する手段で、前記認証要求手段は、前記認証要求メッセージに前記パスワードを含ませる手段で、前記認証サーバは、前記認証要求メッセージに含まれる前記パスワードを照合する前記ユーザ認証手段を備え、前記ユーザ認証手段が前記パスワードの照合に成功した後に、前記リモートアクセス管理手段が作動することを特徴とするリモートアクセス管理システムである。   Furthermore, a fourth invention is the remote access management system according to the third invention, wherein the user information acquisition means of the computer acquires the user password from the user in addition to the user ID. The authentication request means is means for including the password in the authentication request message, and the authentication server includes the user authentication means for verifying the password included in the authentication request message, and the user authentication means The remote access management system is characterized in that the remote access management means operates after successful verification of the password.

上述した第4の発明によれば、前記認証サーバが前記ユーザをユーザ認証することで、なりすまし行為による不正なリモートアクセスを防止できる。   According to the fourth aspect described above, the authentication server can authenticate the user, thereby preventing unauthorized remote access due to impersonation.

更に、第5の発明は、セキュリティ管理されたネットワーク内のリソースへのリモートアクセスを管理するリモートアクセス管理方法であって、前記ネットワーク外に配置され、前記サーバにリモートアクセスするコンピュータが、前記コンピュータを操作するユーザの所在位置情報を取得するステップaと、前記コンピュータが、前記コンピュータのリモートアクセスを管理する認証サーバに、前記所在位置情報を含む認証要求メッセージを送信するステップbと、前記認証サーバが、前記所在位置情報に紐付けして前記リソースのアドレスを記憶した所在位置テーブルを参照し、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされた前記リソースへのアクセス権限を前記ユーザに設定するステップcが実行されることを特徴とするリモートアクセス管理方法である。   Furthermore, a fifth invention is a remote access management method for managing remote access to resources in a security-managed network, wherein a computer that is arranged outside the network and remotely accesses the server is configured to Step a for acquiring location information of a user to operate, Step b for the computer to send an authentication request message including the location information to an authentication server for managing remote access of the computer, and the authentication server , Referring to a location table in which the address of the resource is stored in association with the location information, and access authority to the resource in which an address is associated with the location information included in the authentication request message. Step c is set for the user It is a remote access management method according to claim.

上述した第5の発明によれば、上述した第1の発明と同様の効果を得ることができる。   According to the fifth aspect described above, the same effects as those of the first aspect described above can be obtained.

このように、上述した本発明によれば、シンクライアントシステムに代表されるようなリモートアクセスシステムにおいて、リモートアクセスに利用されるコンピュータが使用される場所に応じて、ユーザのアクセス権限を設定することのできるリモートアクセス管理システム及び方法を提供できる。   As described above, according to the present invention described above, in the remote access system represented by the thin client system, the user access authority is set according to the place where the computer used for remote access is used. Can provide a remote access management system and method.

ここから、本発明をシンクライアントシステムについて適用した実施形態について、図を参照しながら詳細に説明する。図1は、シンクライアントシステムに適用したときのリモートアクセス管理システムの構成を説明する図である。   An embodiment in which the present invention is applied to a thin client system will now be described in detail with reference to the drawings. FIG. 1 is a diagram for explaining a configuration of a remote access management system when applied to a thin client system.

本実施形態のリモートアクセス管理システム9は、シンクライアント端末として利用され、ICカードリーダ17が接続されたノート型のコンピュータ1と、セキュリティ管理されたLAN5(Loacal Area Network)に接続され、コンピュータ1からLAN5内のリソースへのリモートアクセスを管理する認証サーバ2とから少なくとも構成され、図1では、LAN5内のリソースとして、機密レベルが「0」の情報が記憶されているサーバ50a、機密レベルが「1」の情報が記憶されているサーバであるサーバ50b、機密レベルが「2」の情報が記憶されているサーバ50c、機密レベルが「3」の情報が記憶されているサーバ50dを図示し、更に、LAN5とインターネット4を区分けするファイヤーオール機器51を図示している。   The remote access management system 9 of this embodiment is used as a thin client terminal, and is connected to a notebook computer 1 to which an IC card reader 17 is connected and a security managed LAN 5 (Loacal Area Network). The authentication server 2 is configured to include at least an authentication server 2 that manages remote access to resources in the LAN 5. In FIG. 1, as resources in the LAN 5, a server 50 a that stores information with a confidential level “0” and a confidential level “ A server 50b, which is a server storing information "1", a server 50c storing information whose security level is "2", and a server 50d storing information whose security level is "3"; Furthermore, a fire-all device 51 that separates the LAN 5 and the Internet 4 is illustrated.

また、本実施形態のリモートアクセス管理システム9を利用するユーザ3は、シンクライアント用オペレーティングシステム(OS: Operating System)が記憶されたUSBメモリ18と、企業内の部屋6(例えば、サテライトオフィス)に設置されたドアゲート7の解錠に利用するICカード8を所持している。   In addition, the user 3 who uses the remote access management system 9 of the present embodiment is connected to the USB memory 18 in which a thin client operating system (OS) is stored and the room 6 (for example, a satellite office) in the company. The IC card 8 used for unlocking the installed door gate 7 is possessed.

図1のリモートアクセス管理システム9を構成する認証サーバ2は、RADIUS(Radius: Remote Authentication Dial In User Service)プロトコルに対応したRADIUSサーバなどを利用して実現されるWebサーバで、LAN5外からLAN5内のリソースにアクセスするユーザ3をユーザ認証する機能と、ユーザ3のアクセス権限を設定する機能と、LAN5内のリソースにアクセスしたユーザ3のログを管理する機能などを備える。   The authentication server 2 constituting the remote access management system 9 in FIG. 1 is a Web server realized by using a RADIUS server or the like corresponding to the RADIUS (Radius: Remote Authentication Dial In User Service) protocol. A function of authenticating the user 3 accessing the resource of the user, a function of setting the access authority of the user 3, a function of managing the log of the user 3 accessing the resource in the LAN 5, and the like.

図1で図示した認証サーバ2は、ユーザ3に予め与えられているアクセス権限を参照し、ユーザ3の所在位置に応じてユーザのアクセス権限を設定する機能を備え、本実施形態において、ユーザ3の所在位置を示す所在位置情報は、ユーザ3がドアゲート7を利用したときにICカード8に書き込まれる。認証サーバ2は、コンピュータ1から送信される所在位置情報に基づき、企業内外も含め、ユーザ3がいる場所を特定し、ユーザ3に予め与えられているアクセス権限を参照し、ユーザ3がいる場所に応じてユーザ3のアクセス権限を設定する。   The authentication server 2 illustrated in FIG. 1 has a function of referring to the access authority given in advance to the user 3 and setting the access authority of the user according to the location of the user 3, and in this embodiment, the user 3 The location information indicating the location is stored in the IC card 8 when the user 3 uses the door gate 7. The authentication server 2 identifies the location where the user 3 is located, including inside and outside the company, based on the location information transmitted from the computer 1, refers to the access authority given to the user 3 in advance, and the location where the user 3 is located Accordingly, the access authority of the user 3 is set.

ユーザ3がいる場所に応じてユーザ3のアクセス権限を設定することで、図1で言えば、同じユーザ3であっても、ユーザ3が部屋6でコンピュータ1を利用するときはサーバ50bへのリモートアクセスを許可し、ユーザ3がノート型のコンピュータ1を企業外に持ち出し、企業外でコンピュータ1を利用するときはサーバ50bへのリモートアクセスを禁止することができるようになる。   By setting the access authority of the user 3 according to the place where the user 3 is located, in the case of FIG. 1, even when the user 3 uses the computer 1 in the room 6, the user 3 can access the server 50 b. When remote access is permitted and the user 3 takes the notebook computer 1 outside the company and uses the computer 1 outside the company, the remote access to the server 50b can be prohibited.

ここから、本発明に係わる方法の説明も兼ねて、図1で図示したリモートアクセス管理システム9で実行される処理について説明する。図2は、リモートアクセス管理システム9で実行される処理の手順を示したフロー図である。   From here, the processing executed by the remote access management system 9 shown in FIG. 1 will be described, and also the description of the method according to the present invention. FIG. 2 is a flowchart showing a procedure of processing executed in the remote access management system 9.

ユーザ3は、LAN5外のコンピュータ1を操作してLAN5内のリソースにリモートアクセスするとき、ユーザ3は、コンピュータ1のUSBポートにUSBメモリ18を接続させて(図2のS1)、USBメモリ18に記憶されたシンクライアント用OSを該コンピュータ1上で起動させ(図2のS2)、該コンピュータ1をシンクライアント端末として利用する。   When the user 3 operates the computer 1 outside the LAN 5 to remotely access the resources in the LAN 5, the user 3 connects the USB memory 18 to the USB port of the computer 1 (S1 in FIG. 2), and the USB memory 18 Is started on the computer 1 (S2 in FIG. 2), and the computer 1 is used as a thin client terminal.

シンクライアント用OSが起動すると、コンピュータ1は、認証サーバ2にアクセス要求を行い(図2のS3)、認証サーバ2はコンピュータ1からアクセス要求を受けると、アクセス要求があったコンピュータ1に対して認証要求を行う(図2のS4)。   When the thin client OS is activated, the computer 1 makes an access request to the authentication server 2 (S3 in FIG. 2). When the authentication server 2 receives the access request from the computer 1, the computer 1 requests the computer 1 that has made the access request. An authentication request is made (S4 in FIG. 2).

シンクライアント用OSが起動したコンピュータ1は認証サーバ2から認証要求を受けると、認証サーバ2にリモートアクセスする前に、ユーザID及びパスワードを入力する画面をディスプレイに表示させ、キーボードなどを用いてユーザ3にユーザID及びパスワードを入力させ、ユーザ3が入力したユーザID及びパスワードを取得する(図2のS5)。   When the computer 1 on which the thin client OS has been activated receives an authentication request from the authentication server 2, a screen for entering a user ID and password is displayed on the display before remote access to the authentication server 2. 3 is made to input a user ID and password, and the user ID and password input by the user 3 are acquired (S5 in FIG. 2).

コンピュータ1は、ユーザID及びパスワードを取得すると、LAN5内のリソースへのリモートアクセスにはICカード8が必要であることを示すメッセージをディスプレイに表示させ、ICカードリーダ17がICカード8を検知すると、ICカード8に対して所在位置情報を読み出すコマンドを送信し、ICカード8に対して所在位置情報の送信要求を行う(図2のS6)。   When the computer 1 acquires the user ID and password, the computer 1 displays a message indicating that the IC card 8 is necessary for remote access to the resources in the LAN 5, and the IC card reader 17 detects the IC card 8. Then, a command for reading the location information is transmitted to the IC card 8, and a request for transmitting the location information is sent to the IC card 8 (S6 in FIG. 2).

所在位置情報を読み出すコマンドをICカード8が受信すると、ICカード8は所在位置情報をICカードリーダ17経由でコンピュータ1に送信し(図2のS7)、コンピュータ1は、ICカード8から所在位置情報を受信すると、ユーザID、パスワード及び所在位置情報を含み、所定の型式に準じた認証要求メッセージを認証サーバ2に送信し、認証サーバ2に認証応答する(図2のS8)。   When the IC card 8 receives a command for reading the location information, the IC card 8 transmits the location information to the computer 1 via the IC card reader 17 (S7 in FIG. 2), and the computer 1 receives the location information from the IC card 8. When the information is received, an authentication request message including a user ID, a password, and location information and conforming to a predetermined type is transmitted to the authentication server 2 and an authentication response is sent to the authentication server 2 (S8 in FIG. 2).

なお、コンピュータ1から認証サーバ2に送信する認証要求メッセージには、パスワードなどの機密情報が含まれるため、SSL(Secure Sockets Layer)などの技術を利用して、コンピュータ1と認証サーバ2巻の通信を暗号化したり、パスワードのHash値を送信するなど、セキュリティ対策を施しておくとよい。   Since the authentication request message transmitted from the computer 1 to the authentication server 2 includes confidential information such as a password, communication between the computer 1 and the authentication server volume 2 using a technology such as SSL (Secure Sockets Layer). It is advisable to take security measures such as encrypting the password or transmitting the hash value of the password.

認証サーバ2は、コンピュータ1から認証要求メッセージを受信すると、まず、認証要求メッセージに含まれるユーザID及びパスワードを用いて、コンピュータ1を操作するユーザ3をユーザ認証する(図2のS9)。   Upon receiving the authentication request message from the computer 1, the authentication server 2 first authenticates the user 3 who operates the computer 1 using the user ID and password included in the authentication request message (S9 in FIG. 2).

認証サーバ2は、ユーザ3のユーザIDに紐付けしてユーザ3のパスワードが記憶し、認証サーバ2は、認証要求メッセージに含まれるユーザIDに紐付けられているパスワードと認証要求メッセージに含まれるパスワードを照合することで、ユーザ3をユーザ認証する。   The authentication server 2 stores the password of the user 3 associated with the user ID of the user 3, and the authentication server 2 is included in the authentication request message and the password associated with the user ID included in the authentication request message. The user 3 is authenticated by checking the password.

ユーザ認証を実行すると、認証サーバ2は、ユーザ認証の結果に応じて処理を分岐させ(図2のS10)、ユーザ認証に成功するとLAN5内のリソースへのリモートアクセスを許可する処理を続行し、ユーザ認証に失敗すると、認証サーバ2はLAN5内のリソースへのアクセス拒否を示すメッセージをコンピュータ1に通知し(図2のS14)、この手順を終了する。   When the user authentication is executed, the authentication server 2 branches the process according to the result of the user authentication (S10 in FIG. 2), and when the user authentication is successful, the process of permitting remote access to the resources in the LAN 5 is continued. If the user authentication fails, the authentication server 2 notifies the computer 1 of a message indicating that access to the resources in the LAN 5 is denied (S14 in FIG. 2), and this procedure ends.

ユーザ認証に成功すると、認証サーバ2は、ユーザ3のアクセス権限を設定する処理とを実行する(図2のS11)。   If the user authentication is successful, the authentication server 2 executes a process for setting the access authority of the user 3 (S11 in FIG. 2).

認証サーバ2は、ユーザ3のアクセス権限を設定する処理を実行するために、ユーザIDに紐付けして、ユーザ3にアクセス権限が与えられているリソースのアドレス(例えば、IPアドレス)を記憶したユーザテーブルと、ドアゲート7が保持している所在位置情報に紐付けして、所在位置情報で特定される場所からリモートアクセスできるリソースのアドレスを記憶した所在位置テーブルを備えている。   The authentication server 2 stores the address (for example, IP address) of the resource to which the access authority is given to the user 3 in association with the user ID in order to execute the process of setting the access authority of the user 3 A user table and a location table that stores the addresses of resources that can be accessed remotely from the location specified by the location information in association with the location information held by the door gate 7 are provided.

認証サーバ2は、ユーザ3のアクセス権限を設定する処理を実行するとき、ユーザテーブル及び所在位置テーブルを参照し、認証要求メッセージに含まれるユーザIDにアドレスが紐付けられ、かつ、認証要求メッセージに含まれる所在位置情報にアドレスが紐付けられているリソースを抽出し、抽出したリソースへのアクセス権限をユーザ3に設定する。   When the authentication server 2 executes the process of setting the access authority of the user 3, the user refers to the user table and the location table, the address is associated with the user ID included in the authentication request message, and the authentication request message A resource whose address is associated with the included location information is extracted, and access authority to the extracted resource is set for the user 3.

ユーザ3のアクセス権限を設定すると、認証サーバ2は、認証要求メッセージを送信したコンピュータ1に対して、抽出したリソースのアドレスを含み、LAN5へのアクセス許可を示すメッセージを送信する(図2のS12)。   When the access authority of the user 3 is set, the authentication server 2 transmits a message indicating the access permission to the LAN 5 including the extracted resource address to the computer 1 that has transmitted the authentication request message (S12 in FIG. 2). ).

LAN5へのアクセス許可が通知されると、コンピュータ1は、認証サーバ2によってリモートアクセスの許可が示されたいずれかのリソースへのリモートアクセスを開始し(図2のS13)、図2で図示した手順は終了する。   When the access permission to the LAN 5 is notified, the computer 1 starts remote access to one of the resources for which the remote access permission is indicated by the authentication server 2 (S13 in FIG. 2), and is illustrated in FIG. The procedure ends.

図2で図示した手順において、認証サーバ2がユーザ3のアクセス権限の確認に利用する所在位置情報は、部屋6にユーザ3が入室する際に利用するドアゲート7によってICカード8に書き込まれ、ユーザが該部屋6から退室する際に、ドアゲート7によってICカード8から所在位置情報は削除される。   In the procedure illustrated in FIG. 2, the location information used by the authentication server 2 for confirming the access authority of the user 3 is written in the IC card 8 by the door gate 7 used when the user 3 enters the room 6. When the user leaves the room 6, the location information is deleted from the IC card 8 by the door gate 7.

図3は、ユーザ3が部屋6に入退室するときに実行される手順を示したフロー図で、図3(a)のフローは、ユーザ3が企業の部屋6に入室するときに実行される手順で、図3(b)のフローは、ユーザ3が企業の部屋6に退室するときに実行される手順である。   FIG. 3 is a flowchart showing a procedure executed when the user 3 enters and leaves the room 6. The flow in FIG. 3A is executed when the user 3 enters the company room 6. In the procedure, the flow in FIG. 3B is a procedure executed when the user 3 leaves the company room 6.

まず、図3(a)を参照しながら、ユーザ3が企業の部屋6に入室するときに実行される手順について説明する。ユーザ3が企業内の部屋6に入室するとき、該部屋6の入口に設けられたドアゲート7にICカード8を近接させると、ドアゲート7はICカード8を検知する(図3のS20)。   First, the procedure executed when the user 3 enters the company room 6 will be described with reference to FIG. When the user 3 enters the room 6 in the company, if the IC card 8 is brought close to the door gate 7 provided at the entrance of the room 6, the door gate 7 detects the IC card 8 (S20 in FIG. 3).

ドアゲート7がICカード8を検知すると、ドアゲート7が保持している所在位置情報を書き込むコマンドをICカード8に送信することで、ICカード8に対して所在位置情報の書き込み要求を行う(図3のS21)。   When the door gate 7 detects the IC card 8, a request for writing the location information held by the door gate 7 is transmitted to the IC card 8, thereby requesting the IC card 8 to write the location information (FIG. 3). S21).

ICカード8は、所在位置情報を書き込むコマンドを受信すると、該所在位置情報をメモリに書き込み(図3のS22)、書き込みが終了したことを示すメッセージをドアゲート7に返信し、ドアゲート7は該メッセージをICカード8から受信すると、ドアの施錠を解錠する(図3のS23)。   When the IC card 8 receives the command for writing the location information, the IC card 8 writes the location information into the memory (S22 in FIG. 3), and returns a message indicating that the writing is completed to the door gate 7, and the door gate 7 Is received from the IC card 8, the door is unlocked (S23 in FIG. 3).

次に、図3(b)を参照しながら、ユーザ3が企業の部屋6に退室するときに実行される手順について説明する。ユーザ3が企業内の部屋6から退室するとき、該部屋6の入口に設けられたドアゲート7にICカード8を近接させると、ドアゲート7はICカード8を検知する(図3のS30)。   Next, the procedure executed when the user 3 leaves the company room 6 will be described with reference to FIG. When the user 3 leaves the room 6 in the company, if the IC card 8 is brought close to the door gate 7 provided at the entrance of the room 6, the door gate 7 detects the IC card 8 (S30 in FIG. 3).

ドアゲート7がICカード8を検知すると、ICカード8が保持している所在位置情報を削除するコマンドをICカード8に送信することで、ICカード8に対して所在位置情報の削除要求を行う(図3のS31)。   When the door gate 7 detects the IC card 8, a request for deleting the location information is sent to the IC card 8 by transmitting a command to the IC card 8 to delete the location information held by the IC card 8 ( (S31 in FIG. 3).

ICカード8は、所在位置情報を削除するコマンドを受信すると、ICカード8のメモリから所在位置情報を削除し(図3のS32)、削除が終了したことを示すメッセージをドアゲート7に返信し、ドアゲート7は該メッセージをICカード8から受信すると、ドアの施錠を解錠する(図3のS33)。   When the IC card 8 receives the command to delete the location information, the IC card 8 deletes the location information from the memory of the IC card 8 (S32 in FIG. 3), and returns a message indicating that the deletion is completed to the door gate 7, Upon receiving the message from the IC card 8, the door gate 7 unlocks the door (S33 in FIG. 3).

このように、認証サーバ2が、ユーザ3に予め与えられたアクセス権限を、ユーザ3の所在位置に応じて設定することで、認証サーバ2は、同じユーザ3が同じコンピュータ1を使用したとしても、ユーザ3の所在位置によって、ユーザ3がリモートアクセスできるリソースを変更することができる。   In this way, the authentication server 2 sets the access authority given to the user 3 in advance according to the location of the user 3, so that the authentication server 2 can be used even if the same user 3 uses the same computer 1. Depending on the location of the user 3, the resource that the user 3 can remotely access can be changed.

例えば、図1において、認証サーバ2が、部屋6(例えば、サテライトオフィス)に設置されたドアゲート7が保持している所在位置情報に紐付けして、サーバ50bとサーバ50aの2つのサーバのアドレスを記憶し、ICカード8に所在位置情報が記憶されていないことを示す情報に紐付けして、サーバ50aのアクセス権限を記憶しておけば、サーバ50bとサーバ50aの両方のアクセス権限が与えられているユーザ3が、部屋6でノート型のコンピュータ1を使用するときは、サーバ50bとサーバ50aへのアクセス権限をユーザ3に設定し、企業外でコンピュータ1を使用するときは、サーバ50aのみへのアクセス権限をユーザ3に設定することができる。   For example, in FIG. 1, the authentication server 2 associates the location information held by the door gate 7 installed in a room 6 (for example, a satellite office) with the addresses of two servers, the server 50b and the server 50a. If the access authority of the server 50a is stored in association with information indicating that the location information is not stored in the IC card 8, the access authority of both the server 50b and the server 50a is given. When the user 3 is using the notebook computer 1 in the room 6, the access authority to the server 50b and the server 50a is set to the user 3, and when using the computer 1 outside the company, the server 50a The access right to the user 3 can be set for the user 3.

ここから、図1で図示したアクセス管理システムを構成するコンピュータ1及び認証サーバ2について、図を参照しながら詳細に説明する。   From here, the computer 1 and the authentication server 2 which comprise the access management system shown in FIG. 1 are demonstrated in detail, referring a figure.

図4は、コンピュータ1のブロック図で、図4(a)はハードウェアブロック図、図4(b)は機能ブロック図である。   4 is a block diagram of the computer 1, FIG. 4A is a hardware block diagram, and FIG. 4B is a functional block diagram.

図4(a)に図示したように、コンピュータ1は汎用的なコンピュータ1で実現され、コンピュータ1はハードウェアとして、CPU10(Central Processing Unit)、RAM11(Random Access Memory)、データ記憶装置であるハードディスク12、ネットワークインタフェース回路13、ディスプレイ14、キーボード15、ポインティングデバイス16(例えば、マウス)及びICカードリーダ17を備えている。   As shown in FIG. 4A, the computer 1 is realized by a general-purpose computer 1, and the computer 1 includes, as hardware, a CPU 10 (Central Processing Unit), a RAM 11 (Random Access Memory), and a hard disk as a data storage device. 12, a network interface circuit 13, a display 14, a keyboard 15, a pointing device 16 (for example, a mouse), and an IC card reader 17.

更に、図4(b)に図示したように、本実施形態においては、USBメモリ18に記憶されたシンクライアント用OSがコンピュータ1上で起動することで、コンピュータ1には、図4(a)で図示したハードウェアを利用したコンピュータ1プログラムで実現される手段として、図2のS3を実行するときに作動するユーザ情報取得手段100と、図2のS4を実行するときに作動する所在位置情報取得手段101と、図2のS6を実行するときに作動する認証要求手段102と、図2のS11を実行するときに作動するリモートアクセス手段103を備えている。   Furthermore, as illustrated in FIG. 4B, in the present embodiment, the thin client OS stored in the USB memory 18 is activated on the computer 1 so that the computer 1 has the configuration shown in FIG. As a means realized by the computer 1 program using the hardware shown in FIG. 2, user information acquisition means 100 that operates when executing S3 of FIG. 2, and location information that operates when executing S4 of FIG. An acquisition unit 101, an authentication request unit 102 that operates when executing S6 of FIG. 2, and a remote access unit 103 that operates when executing S11 of FIG.

コンピュータ1のユーザ情報取得手段100は、キーボード15やポィンティングデバイス16などを利用してユーザ3がコンピュータ1に入力したユーザID及びパスワードを取得し、ユーザIDとパスワードをRAM11に格納する処理を実行する手段で、所在位置情報取得手段101は、コンピュータ1に接続されたICカードリーダ17を制御し、ICカードリーダ17と電気的に接続しているICカード8に記憶された所在位置情報を読み取り、ICカード8から読み取った所在位置情報をRAM11に格納する処理を実行する手段である。   The user information acquisition unit 100 of the computer 1 acquires the user ID and password input by the user 3 to the computer 1 using the keyboard 15 and the pointing device 16 and stores the user ID and password in the RAM 11. The location information acquisition unit 101 controls the IC card reader 17 connected to the computer 1 and reads the location information stored in the IC card 8 electrically connected to the IC card reader 17. , Means for executing processing for storing the location information read from the IC card 8 in the RAM 11.

更に、コンピュータ1の認証要求手段102は、コンピュータ1のRAM11に格納されたユーザID、パスワード及び所在位置情報を含み、所定の型式に準じた認証要求メッセージを認証サーバ2に送信して、認証サーバ2に認証要求する処理を実行する手段で、リモートアクセス手段103は、認証サーバ2からアクセス許可を示すメッセージを受信したとき、該メッセージで示されるアドレスで示されるいずれかのリソースにリモートアクセスする処理を実行する手段である。   Further, the authentication request means 102 of the computer 1 includes the user ID, password, and location information stored in the RAM 11 of the computer 1 and transmits an authentication request message conforming to a predetermined type to the authentication server 2, 2 is a means for executing a process for requesting authentication to the remote access means 103. When the remote access means 103 receives a message indicating access permission from the authentication server 2, the remote access means 103 remotely accesses any resource indicated by the address indicated by the message. Is a means for executing.

図5は、認証サーバ2のブロック図で、図5(a)はハードウェアブロック図、図5(b)は機能ブロック図である。   5 is a block diagram of the authentication server 2, FIG. 5 (a) is a hardware block diagram, and FIG. 5 (b) is a functional block diagram.

図5(a)に図示したように、認証サーバ2は汎用的なサーバで実現され、認証サーバ2は、ハードウェアとして、CPU20(Central Processing Unit)、RAM21(Random Access Memory)、データ記憶装置であるハードディスク22、ネットインタフェース回路23、ディスプレイ24、キーボード25及びポインティングデバイス26(例えば、マウス)などを備えている。   As shown in FIG. 5A, the authentication server 2 is realized by a general-purpose server. The authentication server 2 includes, as hardware, a CPU 20 (Central Processing Unit), a RAM 21 (Random Access Memory), and a data storage device. A hard disk 22, a network interface circuit 23, a display 24, a keyboard 25, and a pointing device 26 (for example, a mouse) are provided.

更に、図5(b)に図示したように、本発明に係わる認証サーバ2として機能するために、認証サーバ2には、図5(a)で図示したハードウェアを利用したコンピュータプログラムで実現される手段として、コンピュータ1から送信された認証要求メッセージに含まれるユーザID及びパスワードを利用してユーザ認証を実行するユーザ認証手段200と、ユーザ3に予め与えられたアクセス権限を参照し、ユーザ3の所在位置に応じて、ユーザ3のアクセス権限を設定するリモートアクセス管理手段201を備えている。   Further, as illustrated in FIG. 5B, in order to function as the authentication server 2 according to the present invention, the authentication server 2 is realized by a computer program using the hardware illustrated in FIG. The user authentication means 200 that executes user authentication using the user ID and password included in the authentication request message transmitted from the computer 1 and the access authority given in advance to the user 3 are referred to as the user 3 Remote access management means 201 for setting the access authority of the user 3 according to the location of the user 3.

更に、認証サーバ2のハードディスク22には、データテーブルとして、ユーザ3のユーザIDに紐付けして、ユーザ3のパスワード及びユーザ3にアクセス権限が与えられているリソースのアドレスを記憶したユーザテーブル202と、ドアゲート7に保持されている所在位置情報に紐付けして、所在位置情報で特定される部屋からリモートアクセスできるリソースを記憶した所在位置テーブル203が設けられる。   Further, the hard disk 22 of the authentication server 2 stores, as a data table, a user table 202 in which a password of the user 3 and an address of a resource to which the user 3 is authorized to access are stored in association with the user ID of the user 3. And a location table 203 that stores resources that can be remotely accessed from the room specified by the location information in association with the location information held by the door gate 7.

認証サーバ2に備えられたユーザ認証手段200は、コンピュータ1から認証要求メッセージを受信すると、該認証要求メッセージに含まれるユーザIDに紐付けられたパスワードをユーザテーブル202から取得し、該認証要求メッセージに含まれるパスワードとユーザテーブル202から取得したパスワードを照合することで、ユーザ認証を実行する。   When receiving the authentication request message from the computer 1, the user authentication means 200 provided in the authentication server 2 acquires the password associated with the user ID included in the authentication request message from the user table 202, and the authentication request message The user authentication is executed by collating the password included in the password with the password acquired from the user table 202.

更に、認証サーバ2のリモートアクセス管理手段201は、ユーザ認証手段200がユーザ認証に成功すると、ユーザテーブル202及び所在位置テーブル203を参照し、認証要求メッセージに含まれるユーザIDにアドレスが紐付けられ、かつ、認証要求メッセージに含まれる所在位置情報にアドレスが紐付けられているリソースを抽出し、抽出したリソースへのアクセス権限をユーザ3に設定した後、抽出したリソースのアドレスを含み、アクセス許可を示すメッセージを、認証要求メッセージを送信したコンピュータ1に送信する手段である。   Further, when the user authentication unit 200 succeeds in user authentication, the remote access management unit 201 of the authentication server 2 refers to the user table 202 and the location table 203 and associates an address with the user ID included in the authentication request message. And, after extracting the resource whose address is associated with the location information included in the authentication request message, and setting the access authority to the extracted resource to the user 3, the access permission including the address of the extracted resource is included. Is sent to the computer 1 that sent the authentication request message.

ここから、本発明の効果について説明する。上述したように、認証サーバ2が、ユーザ3に予め与えられたアクセス権限を参照し、ユーザ3の所在位置に応じてユーザのアクセス権限を決定することで、同じユーザ3が同じコンピュータ1を利用しても、ユーザ3の所在位置に応じて、ユーザ3がリモートアクセスできるLAN5内のリソースを変更することができるようになる。   From here, the effect of this invention is demonstrated. As described above, the authentication server 2 refers to the access authority previously given to the user 3 and determines the user's access authority according to the location of the user 3 so that the same user 3 uses the same computer 1. Even so, according to the location of the user 3, the resources in the LAN 5 that the user 3 can remotely access can be changed.

図6は、認証サーバ2のハードディスク22に記憶された所在位置テーブルの一例を示した図である。図6で図示した所在位置テーブルには、所在位置情報1から所在位置情報4の4個の所在位置情報が記憶され、更に、ICカード8に所在位置情報が記憶されていない場合、或いは、ICカードリーダ17が接続されていないコンピュータ1を利用したときなど、所在位置情報を認証サーバ2が受信しなかったときに利用する情報としてfalseが記憶されている。   FIG. 6 is a diagram showing an example of the location table stored in the hard disk 22 of the authentication server 2. In the location position table shown in FIG. 6, four location information items, that is, location location information 1 to location location information 4, are stored. Further, if location information is not stored in the IC card 8, or False is stored as information used when the authentication server 2 does not receive the location information, such as when using the computer 1 to which the card reader 17 is not connected.

所在位置情報1、所在位置情報2、所在位置情報3及び所在位置情報4を記憶しているドアゲート7が設置されている部屋6はそれぞれ、企業のミィーティングルーム、サテライトオフィス、セキュリティルームA及びセキュリティルームBである。   The room 6 in which the door gate 7 storing the location information 1, the location information 2, the location information 3 and the location information 4 is installed is a company meeting room, satellite office, security room A and security room, respectively. B.

また、図6で図示した所在位置テーブルにはLAN5内のリソースのアドレスとして、所在位置情報1にサーバ50aのアドレスが紐付けられ、所在位置情報2にサーバ50a及びサーバ50bのアドレス、所在位置情報3にサーバ50a、サーバ50b及びサーバ50cのアドレスが紐付けられ、所在位置情報4にサーバ50a、サーバ50b及びサーバ50dのアドレスが紐付けられている。   Further, in the location table shown in FIG. 6, the address of the server 50 a is linked to the location information 1 as the address of the resource in the LAN 5, and the addresses of the servers 50 a and 50 b are added to the location information 2. 3, the addresses of the server 50a, the server 50b, and the server 50c are linked, and the location information 4 is linked with the addresses of the server 50a, the server 50b, and the server 50d.

図6で図示した所在位置テーブルに基づけば、企業内のすべてのサーバ50a〜サーバ50dへのアクセス権限が与えられているユーザ3がミィーティングルームに在室しているときはサーバ50aにのみアクセス可能で、該ユーザ3がサテライトオフィスに在室しているときはサーバ50a及びサーバ50bにアクセス可能で、該ユーザ3がセキュリティルームAに在室しているときはサーバ50a、サーバ50b及びサーバ50cにアクセス可能で、該ユーザ3がセキュリティルームBに在室しているときはサーバ50a、サーバ50b及びサーバ50dにアクセス可能にすることができる。   Based on the location table shown in FIG. 6, when the user 3 who is authorized to access all the servers 50a to 50d in the company is in the meeting room, only the server 50a can be accessed. When the user 3 is present in the satellite office, the server 50a and the server 50b can be accessed. When the user 3 is present in the security room A, the server 50a, the server 50b and the server 50c are accessible. When the user 3 is present in the security room B, the server 50a, the server 50b, and the server 50d can be accessed.

また、ユーザ3がコンピュータ1を社外に持ち出して利用するとき、或いは、ネットカフェに設置されているコンピュータのように、ICカードリーダ17が接続されていないコンピュータ1を利用する場合は、コンピュータ1はICカード8から所在位置情報を取得することができないため、ユーザ3はサーバ50aにのみアクセス可能にすることができる。   When the user 3 takes the computer 1 out of the office and uses it, or when using the computer 1 to which the IC card reader 17 is not connected, such as a computer installed in an Internet cafe, the computer 1 is Since the location information cannot be acquired from the IC card 8, the user 3 can access only the server 50a.

リモートアクセス管理システムの構成を説明する図。The figure explaining the structure of a remote access management system. リモートアクセス管理システムで実行される処理の手順を示したフロー図。The flowchart which showed the procedure of the process performed with a remote access management system. ユーザが部屋に入退室するときに実行される手順を示したフロー図。The flowchart which showed the procedure performed when a user enters / leaves a room. コンピュータのブロック図。The block diagram of a computer. 認証サーバのブロック図。The block diagram of an authentication server. 所在位置テーブルの一例を示した図。The figure which showed an example of the location position table.

符号の説明Explanation of symbols

1 コンピュータ
2 認証サーバ
3 ユーザ
4 インターネット
5 LAN
50a〜50d LAN内に設置されたサーバ
6 企業の部屋
7 ドアゲート
8 ICカード
9 リモートアクセス管理システム
1 Computer 2 Authentication Server 3 User 4 Internet 5 LAN
50a to 50d Server 6 installed in LAN 6 Corporate room 7 Door gate 8 IC card 9 Remote access management system

Claims (5)

セキュリティ管理されたネットワーク上のリソースへのリモートアクセスを管理するリモートアクセス管理システムであって、前記リモートアクセス管理システムは、前記ネットワーク外に配置され、前記リソースにリモートアクセスするコンピュータと、前記コンピュータのリモートアクセスを管理する認証サーバとから少なくとも構成され、前記コンピュータは、前記コンピュータを操作するユーザの所在位置情報を取得する所在位置情報取得手段と、前記所在位置情報を含む認証要求メッセージを前記認証サーバに送信する認証要求手段を備え、前記認証サーバは、前記所在位置情報に紐付けして前記リソースのアドレスを記憶した所在位置テーブルを参照し、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされている前記リソースへのアクセス権限を前記ユーザに設定するリモートアクセス管理手段を備えていることを特徴とするリモートアクセス管理システム。   A remote access management system for managing remote access to resources on a security-managed network, the remote access management system being located outside the network and remotely accessing the resources, and a remote of the computer An authentication server that manages access, and the computer sends a location information acquisition unit that acquires location information of a user who operates the computer, and an authentication request message including the location information to the authentication server. Authentication request means for transmitting, wherein the authentication server refers to a location table in which the address of the resource is stored in association with the location information, and an address is stored in the location information included in the authentication request message. Tying Remote access management system characterized in that it comprises a remote access management means for setting the access rights of the resource that is to the user. 請求項1に記載のリモートアクセス管理システムであって、前記リモートアクセス管理システムには、企業内の部屋の出入り口に設けられるドアゲートが含まれ、前記ドアゲートは、前記ユーザの入室時にドアの施錠を解錠するとき、前記ドアゲートが設置された前記部屋を示す前記所在位置情報を前記ユーザが所持するICカードに書き込み、前記ユーザの退室時にドアの施錠を解錠するとき、前記所在位置情報を前記ICカードから削除する施錠制御手段を備え、前記コンピュータに備えられた前記所在位置情報取得手段は、前記ユーザが所持する前記ICカードから前記所在位置情報を読み取る手段であることを特徴とするリモートアクセス管理システム。   The remote access management system according to claim 1, wherein the remote access management system includes a door gate provided at a doorway of a room in a company, and the door gate unlocks the door when the user enters the room. When locking, the location information indicating the room where the door gate is installed is written in an IC card possessed by the user, and when the door is unlocked when the user leaves the room, the location information is stored in the IC card. Remote access management comprising: a lock control means for deleting from the card, wherein the location information acquisition means provided in the computer is means for reading the location information from the IC card possessed by the user system. 請求項2に記載のリモートアクセス管理システムであって、前記コンピュータは、前記コンピュータを操作するユーザから少なくともユーザIDを取得するユーザ情報取得手段を備え、前記認証要求手段は、前記認証要求メッセージに前記ユーザIDを含ませる手段で、前記認証サーバの前記リモートアクセス管理手段は、前記所在位置テーブルに加え、前記ユーザIDに紐付けして前記リソースのアドレスを記憶したユーザテーブルを参照し、前記認証要求メッセージに含まれる前記ユーザIDにアドレスが紐付けされ、かつ、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされた前記リソースへのアクセス権限を前記ユーザに設定する手段であることを特徴とするリモートアクセス管理システム。   The remote access management system according to claim 2, wherein the computer includes user information acquisition means for acquiring at least a user ID from a user operating the computer, and the authentication request means includes the authentication request message in the authentication request message. Means for including a user ID, wherein the remote access management means of the authentication server refers to a user table associated with the user ID and stores the address of the resource in addition to the location table, and the authentication request A means for setting an access right to the resource in which an address is associated with the user ID included in the message and an address is associated with the location information included in the authentication request message; Remote access management system characterized by 請求項3に記載のリモートアクセス管理システムであって、前記コンピュータの前記ユーザ情報取得手段は、前記ユーザIDに加え、前記ユーザのパスワードを前記ユーザから取得する手段で、前記認証要求手段は、前記認証要求メッセージに前記パスワードを含ませる手段で、前記認証サーバは、前記認証要求メッセージに含まれる前記パスワードを照合する前記ユーザ認証手段を備え、前記ユーザ認証手段が前記パスワードの照合に成功した後に、前記リモートアクセス管理手段が作動することを特徴とするリモートアクセス管理システム。   4. The remote access management system according to claim 3, wherein the user information acquisition unit of the computer is a unit that acquires the password of the user from the user in addition to the user ID, and the authentication request unit is the In the means for including the password in an authentication request message, the authentication server comprises the user authentication means for verifying the password included in the authentication request message, and after the user authentication means has succeeded in verifying the password, The remote access management system, wherein the remote access management means operates. セキュリティ管理されたネットワーク内のリソースへのリモートアクセスを管理するリモートアクセス管理方法であって、前記ネットワーク外に配置され、前記サーバにリモートアクセスするコンピュータが、前記コンピュータを操作するユーザの所在位置情報を取得するステップaと、前記コンピュータが、前記コンピュータのリモートアクセスを管理する認証サーバに、前記所在位置情報を含む認証要求メッセージを送信するステップbと、前記認証サーバが、前記所在位置情報に紐付けして前記リソースのアドレスを記憶した所在位置テーブルを参照し、前記認証要求メッセージに含まれる前記所在位置情報にアドレスが紐付けされた前記リソースへのアクセス権限を前記ユーザに設定するステップcが実行されることを特徴とするリモートアクセス管理方法。
A remote access management method for managing remote access to resources in a security-managed network, wherein a computer located outside the network and remotely accessing the server obtains location information of a user operating the computer Step a to acquire, Step b in which the computer transmits an authentication request message including the location information to an authentication server that manages remote access of the computer, and the authentication server linked to the location information Then, referring to the location table storing the address of the resource, step c is executed to set the access authority to the resource associated with the location information included in the authentication request message for the user. Is characterized by Over door access management method.
JP2008269139A 2008-10-17 2008-10-17 Remote access management system and method Pending JP2010097510A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008269139A JP2010097510A (en) 2008-10-17 2008-10-17 Remote access management system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008269139A JP2010097510A (en) 2008-10-17 2008-10-17 Remote access management system and method

Publications (1)

Publication Number Publication Date
JP2010097510A true JP2010097510A (en) 2010-04-30

Family

ID=42259134

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008269139A Pending JP2010097510A (en) 2008-10-17 2008-10-17 Remote access management system and method

Country Status (1)

Country Link
JP (1) JP2010097510A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013105423A (en) * 2011-11-16 2013-05-30 Ricoh Co Ltd System, information processing device, information processing method, and program
JP2014222553A (en) * 2010-11-24 2014-11-27 株式会社日本総合研究所 System and method for possessing plurality of electronic cards
US8931066B2 (en) 2012-09-26 2015-01-06 Fujitsu Limited Information processing apparatus and control method
CN104685505A (en) * 2012-10-19 2015-06-03 迈克菲公司 place-aware security
US9742782B2 (en) 2015-06-11 2017-08-22 International Business Machines Corporation Configuration management for virtual machine environment
WO2020246016A1 (en) * 2019-06-07 2020-12-10 三菱電機ビルテクノサービス株式会社 Data management system, data processing system, and program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006134185A (en) * 2004-11-08 2006-05-25 Dainippon Printing Co Ltd Network access management system and method using wireless authentication device
WO2007138663A1 (en) * 2006-05-26 2007-12-06 Fujitsu Limited Network access control method, network access control system, authentication device, access control device, proxy request device, and access request device
JP2008158608A (en) * 2006-12-21 2008-07-10 Dainippon Printing Co Ltd Computer system and access right management method thereof
JP2008242826A (en) * 2007-03-27 2008-10-09 Hitachi Ltd Information processing system, information processing system control method, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006134185A (en) * 2004-11-08 2006-05-25 Dainippon Printing Co Ltd Network access management system and method using wireless authentication device
WO2007138663A1 (en) * 2006-05-26 2007-12-06 Fujitsu Limited Network access control method, network access control system, authentication device, access control device, proxy request device, and access request device
JP2008158608A (en) * 2006-12-21 2008-07-10 Dainippon Printing Co Ltd Computer system and access right management method thereof
JP2008242826A (en) * 2007-03-27 2008-10-09 Hitachi Ltd Information processing system, information processing system control method, and program

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014222553A (en) * 2010-11-24 2014-11-27 株式会社日本総合研究所 System and method for possessing plurality of electronic cards
JP2013105423A (en) * 2011-11-16 2013-05-30 Ricoh Co Ltd System, information processing device, information processing method, and program
US8931066B2 (en) 2012-09-26 2015-01-06 Fujitsu Limited Information processing apparatus and control method
CN104685505A (en) * 2012-10-19 2015-06-03 迈克菲公司 place-aware security
JP2015532494A (en) * 2012-10-19 2015-11-09 マカフィー, インコーポレイテッド Store recognition security
US9536057B2 (en) 2012-10-19 2017-01-03 Mcafee, Inc. Premises aware security
US9742782B2 (en) 2015-06-11 2017-08-22 International Business Machines Corporation Configuration management for virtual machine environment
US10142352B2 (en) 2015-06-11 2018-11-27 International Business Machines Corporation Configuration management for virtual machine environment
US10243966B2 (en) 2015-06-11 2019-03-26 International Business Machines Corporation Configuration management for virtual machine environment
US10735434B2 (en) 2015-06-11 2020-08-04 International Business Machines Corporation Configuration management for virtual machine environment
WO2020246016A1 (en) * 2019-06-07 2020-12-10 三菱電機ビルテクノサービス株式会社 Data management system, data processing system, and program
JPWO2020246016A1 (en) * 2019-06-07 2021-09-13 三菱電機ビルテクノサービス株式会社 Data management system, data processing system and program

Similar Documents

Publication Publication Date Title
AU2016273888B2 (en) Controlling physical access to secure areas via client devices in a networked environment
JP6426189B2 (en) System and method for biometric protocol standard
US10681028B2 (en) Controlling access to resources on a network
EP3385873B1 (en) Delegating authorization to applications on a client device in a networked environment
JP4746266B2 (en) Method and system for authenticating a user for a sub-location in a network location
US20090235345A1 (en) Authentication system, authentication server apparatus, user apparatus and application server apparatus
US20080148046A1 (en) Real-Time Checking of Online Digital Certificates
US10148637B2 (en) Secure authentication to provide mobile access to shared network resources
CN107122674B (en) Access method of oracle database applied to operation and maintenance auditing system
CN102546664A (en) User and authority management method and system for distributed file system
JP2011076377A (en) Terminal device and access control policy obtaining method in the terminal device
CN108881218B (en) Data security enhancement method and system based on cloud storage management platform
JP2010097510A (en) Remote access management system and method
CN102571874A (en) On-line audit method and device in distributed system
CN106330836A (en) Access control method for client by server
JP6459270B2 (en) Information processing apparatus and program
JP6792647B2 (en) Virtual smart card with auditing capability
US9479492B1 (en) Authored injections of context that are resolved at authentication time
JP4738183B2 (en) Access control apparatus, access control method and program
KR20050009945A (en) Method and system for managing virtual storage space using mobile storage
JP5212718B2 (en) Platform integrity verification system and method
US11954195B2 (en) Multi-level authentication for shared device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110823

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130122

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130521