JPH03192458A - Access control system - Google Patents
Access control systemInfo
- Publication number
- JPH03192458A JPH03192458A JP1333439A JP33343989A JPH03192458A JP H03192458 A JPH03192458 A JP H03192458A JP 1333439 A JP1333439 A JP 1333439A JP 33343989 A JP33343989 A JP 33343989A JP H03192458 A JPH03192458 A JP H03192458A
- Authority
- JP
- Japan
- Prior art keywords
- computer system
- user
- identifier
- remote
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 32
- 238000010586 diagram Methods 0.000 description 5
- 230000006378 damage Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
Landscapes
- Selective Calling Equipment (AREA)
Abstract
Description
【発明の詳細な説明】
[発明の目的〕
(産業上の利用分野)
本発明は、アクセス・コントロール方式に係り、特に、
通信媒体を介して有機的に接続された複数のコンピュー
タ・システムから形成されたネットワークが相互に接続
されたネットワーク・システムにおけるアクセス・コン
トロール方式に関する。[Detailed Description of the Invention] [Object of the Invention] (Field of Industrial Application) The present invention relates to an access control system, and in particular,
The present invention relates to an access control method in a network system in which networks formed from a plurality of computer systems organically connected via communication media are interconnected.
(従来の技術)
従来、通信媒体を介して複数のコンピュータ・システム
が有機的に接続されたネットワークにおいては、遠隔の
リモート・コンピュータを利用するには、CRTディス
プ1ノイやキーボードを備えた端末装置が接続されてい
るコンピュータに利用者の識別子による利用開始手続き
を行ない、その後、リモート・コンピュータに対して同
様に利用者の識別子による利用開始手続きを行なうこと
により利用が許可されていた。(Prior Art) Conventionally, in a network in which multiple computer systems are organically connected via a communication medium, in order to use a remote remote computer, a terminal device equipped with a CRT display or a keyboard is required. Use of the remote computer was permitted by performing a procedure to start using the computer using the user's identifier on the computer connected to the remote computer, and then performing the same procedure to start using the remote computer using the user's identifier.
(発明が解決しようとする課題)
上記したように、リモート・コンピュータの利用許可は
、利用者の識別子だけを判断することにより行なわれて
いた。このため、遠隔の管理対象外のネットワークから
の利用や利用者識別子の重複によるリモート・コンピュ
ータの利用が容易であり、リモート・コンピュータの資
源の不正利用、破壊、あるいは盗聴といった安全上の問
題があった。(Problem to be Solved by the Invention) As described above, permission to use a remote computer has been granted by determining only the user's identifier. Therefore, it is easy to use a remote computer from a remote unmanaged network or by duplicating user identifiers, and there are security problems such as unauthorized use, destruction, or wiretapping of the remote computer's resources. Ta.
本発明は、上記事情に鑑みてなされたもので、通信媒体
を介してリモート・コンピュータを利用する時の利用許
可を、利用者の識別子、リモート・コンピュータに接続
処理を行なったコンピュータの識別子(ノードアドレス
)、およびコンピュータの属するネットワークの識別子
(ネットワークアドレス)により判断することにより、
リモート参コンピュータへのアクセスの安全性を向上さ
せたアクセス・コントロール方式を提供することを目的
とする。The present invention has been made in view of the above circumstances, and allows usage permission to be granted when using a remote computer via a communication medium by identifying the user's identifier and the identifier (node) of the computer that performed the connection process to the remote computer. address) and the identifier of the network to which the computer belongs (network address).
The purpose is to provide an access control method that improves the security of access to remote reference computers.
[発明の構成コ
(課題を解決するための手段と作用)
本発明は、上記目的を達成するために、複数のコンピュ
ータ・システムが通信媒体を介して形成されたネットワ
ークが相互に接続され、これらコンピュータ・システム
を相互に利用することが可能にされたネットワーク・シ
ステムにおいて、通信媒体を介した遠隔のリモート・コ
ンピュータ・システムの利用許可を利用者の識別子、上
記リモート・コンピュータ・システムに接続処理を行な
ったコンピュータ・システムの識別子、および上記コン
ピュータ・システムが属するネットワークの識別子によ
り判断する判断手段と、この判断手段の判断に基づいて
上記リモート・コンピュータ・システムに利用手続きを
行なう利用手続き手段とを具備した構成としたので、通
信媒体を介したリモート・コンピュータの利用は、操作
性を損なうことなく、安全性が向上する。[Configuration of the Invention (Means and Effects for Solving the Problems) In order to achieve the above object, the present invention provides a network in which a plurality of computer systems are connected to each other via a communication medium, and In a network system that allows mutual use of computer systems, permission to use a remote computer system via a communication medium is granted using the user's identifier and connection processing to the remote computer system. the remote computer system; and a usage procedure means that performs usage procedures on the remote computer system based on the determination of the determination means. With this configuration, the safety of using a remote computer via a communication medium is improved without impairing operability.
(実施例) 以下、本発明の一実施例を図面を参照して説明する。(Example) Hereinafter, one embodiment of the present invention will be described with reference to the drawings.
第1図は本発明の一実施例に係るネットワーク・システ
ムの構成を示す図である。FIG. 1 is a diagram showing the configuration of a network system according to an embodiment of the present invention.
本システムは、同図に示すように、通信媒体である通信
路1a、lb、lc (以下、これらを総称して通信路
lとする。)にコンピュータ・システム2a。As shown in the figure, this system includes a computer system 2a and communication channels 1a, lb, and lc (hereinafter collectively referred to as communication channels 1), which are communication media.
2b、 2c (以下、これらを総称してコンピュータ
・システム2とする。)を接続してなるネットワーク3
a、3b、3c (以下、これらを総称してネットワー
ク3とする。)が、それぞれ別のネットワークとして識
別され、ゲートウェイ4a、4b、4c (以下、これ
らを総称してゲートウェイ4とする。)を介し相互に接
続されたものである。2b, 2c (hereinafter collectively referred to as the computer system 2).
a, 3b, and 3c (hereinafter collectively referred to as network 3) are identified as separate networks, and gateways 4a, 4b, and 4c (hereinafter collectively referred to as gateway 4) are identified as separate networks. are connected to each other through
コンピュータ・システム2は、各々のコンピュータ・シ
ステム2毎にユーザの利用開始要求を解析し利用許可を
判断する利用開始手続き部5a、5b。The computer system 2 includes usage start procedure units 5a and 5b that analyze a user's usage start request and determine usage permission for each computer system 2.
5c (以下、これらを総称して利用開始手続き部5と
する。)、この利用開始手続き部5で利用開始を許可さ
れたユーザが利用するのが自コンビニータ・システム2
か、あるいは遠隔のリモート・コンピュータ・システム
2かを解析するコマンド解析部6a、8b、6c (以
下、これらを総称してコマンド解析部6とする。)、通
信路1とゲートウェイ4を介して他のネットワーク3の
リモート・コンピュータ拳システム2にアクセスするた
めのインターフェース部7B、71)、7c (以下、
これらを総称してインターフェース部7とする。)、お
よび通信路1とゲートウェイ4を介してアクセスしてき
たリモート・コンピュータ・システム2のアドレスを解
析するアドレス解析部8a、8b、8c (以下、これ
らを総称してアドレス解析部8とする。)を有する。5c (hereinafter collectively referred to as the usage start procedure unit 5), the user who is permitted to start using the usage start procedure unit 5 uses the own convenience store system 2.
command analysis units 6a, 8b, and 6c (hereinafter collectively referred to as the command analysis unit 6), which analyze the remote computer system 2, interface units 7B, 71), 7c (hereinafter referred to as
These will be collectively referred to as the interface section 7. ), and address analysis units 8a, 8b, and 8c that analyze the address of the remote computer system 2 accessed via the communication path 1 and the gateway 4 (hereinafter, these will be collectively referred to as the address analysis unit 8). has.
さらに、コンピュータ・システム2には、情報を記憶す
るファイル・システム9a、9b、9c (以下、これ
らを総称してファイル拳システム9とする。)と、情報
を表示するCRTデイスプレィとコマンド等を入力する
キーボードとからなる端末装置10a、10b、lOc
(以下、これらを総称して端末装置10とする。)
が接続されている。Furthermore, the computer system 2 includes file systems 9a, 9b, and 9c for storing information (hereinafter collectively referred to as the File Fist System 9), a CRT display for displaying information, and inputting commands, etc. Terminal devices 10a, 10b, lOc consisting of a keyboard for
(Hereinafter, these will be collectively referred to as the terminal device 10.)
is connected.
また、ファイル・システム9は、ユーザがコンピュータ
・システム2を利用するために設定される、ユーザID
、パスワード等からなる利用者情報を格納する利用者情
報領域11a、Ilb、llc (以下、これらを総
称して利用者情報領域11とする。)と、ユーザが遠隔
のリモート・コンピュータ・システム2から通信路1と
ゲートウェイ4を介して自コンピュータ・システム2を
利用するために設定される、自コンピュータ・システム
2にアクセスしてもよいネットワーク3、リモート・コ
ンピュータ・システム2、およびリモート・コンピュー
タ・システム2におけるユーザID等からなるアクセス
受付のためのリモート・アクセス情報を格納するリモー
ト・アクセス情報領域12a、 12b、 12c(以
下、これらを総称してリモート・アクセス情報領域12
とする。)を有する。さらに、このリモート・アクセス
情報領域12には、ユーザが自コンピュータ・システム
2から遠隔のリモート拳コンピュータ・システム2を利
用するために設定される、自コンピュータやシステム2
からアクセスできるネットワーク3、リモート拳コンピ
ュータ・システム2、および自コンピュータ・システム
2におけるユーザID等からなるアクセス要求のための
リモート・アクセス情報が登録される。利用者情報とリ
モート・アクセス情報は、自端末装置10から登録設定
および変更設定が行なわれるが、利用者情報とリモート
・アクセス情報の機密性を確保するために、暗号化され
てそれぞれ利用者情報領域11とリモート・アクセス情
報領域12に格納される。The file system 9 also contains a user ID that is set for a user to use the computer system 2.
, a user information area 11a, Ilb, and llc (hereinafter collectively referred to as the user information area 11) that store user information such as passwords, etc., and a remote computer system 2 where the user is remote. A network 3, a remote computer system 2, and a remote computer system that may access the own computer system 2, which are configured to use the own computer system 2 via the communication path 1 and the gateway 4. 2, remote access information areas 12a, 12b, and 12c (hereinafter collectively referred to as remote access information areas 12
shall be. ). Furthermore, this remote access information area 12 includes information about the user's own computer and system 2 that are configured for the user to use a remote computer system 2 from the user's own computer system 2.
Remote access information for an access request, including the user ID of the network 3, the remote computer system 2, and the own computer system 2 that can be accessed from the computer system 2, is registered. User information and remote access information are registered and changed from the own terminal device 10, but in order to ensure the confidentiality of user information and remote access information, each user information is encrypted. The information is stored in area 11 and remote access information area 12.
第2図は、利用開始手続き部5、コマンド解析部6、イ
ンターフェース部7、およびアドレス解析部8の機能の
関連を示す図であり、同図に示すように、利用開始手続
き部5は、ファイル・システム9の利用者情報領域11
に登録されている利用者情報と、利用者によ7て端末装
置10から入・力された利用開始要求を比較し、合致し
ている場合には利用を許可し、合致しない場合には利用
を拒否する機能を存しており、利用を許可する場合には
利用許可信号をコマンド解析部6に出力する。FIG. 2 is a diagram showing the relationship between the functions of the usage start procedure unit 5, command analysis unit 6, interface unit 7, and address analysis unit 8. As shown in the figure, the usage start procedure unit 5・User information area 11 of system 9
The user information registered in 7 is compared with the usage start request entered by the user 7 from the terminal device 10, and if they match, usage is permitted, and if they do not match, usage is permitted. It has a function to deny the command, and outputs a usage permission signal to the command analysis unit 6 when the usage is permitted.
コマンド解析部6は、利用許可信号を受取ると、ニー
ザと交信し、ユーザが端末装置10から入力した利用す
るコンピュータ・システム2が自コンピューターシステ
ム2であるか、あるいは遠隔のリモート・コンピュータ
・システム2であるかを解析する。利用するコンピュー
タ・システム2が自コンピュータ・システム2である場
合には、ユーザは、端末装置10を用いてコマンド解析
部6と交信しながら、自コンピュータ・システム2を利
用する。一方、利用するコンピュータ・システム2がリ
モート・コンピュータ・システム2である場合には、ユ
ーザは利用するリモート・コンピュータ・システム2の
識別子をパラメータ(コマンド)としてインターフェー
ス部7をコマンド解析部Bを介して起動する。When the command analysis unit 6 receives the usage permission signal, the command analysis unit 6
The computer system 2 communicates with the user and analyzes whether the computer system 2 to be used inputted by the user from the terminal device 10 is the own computer system 2 or a remote remote computer system 2. When the computer system 2 to be used is the own computer system 2, the user uses the own computer system 2 while communicating with the command analysis section 6 using the terminal device 10. On the other hand, when the computer system 2 to be used is a remote computer system 2, the user uses the identifier of the remote computer system 2 to be used as a parameter (command) to send the command to the interface unit 7 via the command analysis unit B. to start.
コマンド解析部6によって起動されたインターフェース
部7は、通信路1とゲートウェイ4を介して利用対象と
なる遠隔のリモート・コンピュータ・システム2におけ
るインターフェース部7と通信することにより、リモー
トやコンピュータやシステム2をアクセスする。ユーザ
がインターフェース部7を起動するコンピュータ中シス
テム2を要求側、対象リモート・コンピュータ・システ
ム2を受付側とすると、要求側インターフェース部7と
受付側インターフェース部7の区分けは、端末装置10
のキーボードから起動されたか、あるいはネットワーク
3を介して起動されたかを図示しない判別部が自動的に
判別することによって行なわれる。The interface unit 7 activated by the command analysis unit 6 communicates with the interface unit 7 in the remote remote computer system 2 to be used via the communication path 1 and the gateway 4, thereby connecting the remote computer or system 2 to the target remote computer system 2. access. Assuming that the computer system 2 on which the user starts the interface unit 7 is the requesting side, and the target remote computer system 2 is the receiving side, the requesting side interface unit 7 and the receiving side interface unit 7 are separated by the terminal device 10.
This is done by a determining unit (not shown) automatically determining whether the program is activated from the keyboard or via the network 3.
受付側インターフェース部7はネットワーク3を介して
起動されると、受付側コンピュータ・システム2のアド
レス解析部8を起動する。起動されたアドレス解析部8
は、接続処理をしてきた要求側コンピュータ・システム
2の識別子(ノードアドレス)とその要求側コンピュー
タ・システム2が属するネットワークの識別子(ネット
ワークアドレス)を受付側インターフェース部7を介し
てネットワーク3から得る。アドレス解析部8は、これ
ら識別子を、受付側コンピュータ・システム2を利用す
るために、受付側コンピュータ・システム2のファイル
・システム9におけるリモート・−アクセス情報領域1
2に設定登録されているアクセス受付のためのリモート
・アクセス情報と比較する。比較の結果、合致していな
い場合には、受付側インターフェース部7を介して要求
側インターフェース部7に利用拒否を通知する。一方、
合致している場合には、アドレス解析部8は受付側イン
ターフェース部7に通知し、受付側インターフェース部
7は受付側利用開始手続き部5を起動する。When activated via the network 3, the receiving side interface section 7 activates the address analysis section 8 of the receiving side computer system 2. Activated address analysis unit 8
obtains from the network 3 via the receiving interface unit 7 the identifier (node address) of the requesting computer system 2 that has performed the connection process and the identifier (network address) of the network to which the requesting computer system 2 belongs. The address analysis unit 8 stores these identifiers in the remote access information area 1 in the file system 9 of the receiving computer system 2 in order to use the receiving computer system 2.
Compare this with the remote access information for access reception set and registered in 2. As a result of the comparison, if they do not match, the request side interface unit 7 is notified of the refusal of use via the reception side interface unit 7. on the other hand,
If they match, the address analysis unit 8 notifies the reception side interface unit 7, and the reception side interface unit 7 starts the reception side usage start procedure unit 5.
起動された受付側利用開始手続き部5は前述した要求側
利用開始手続き部5と同様に、要求側コンピュータ・シ
ステム2から通知されたユーザID、パスワード等から
なる利用開始要求と、受付側コンピュータ・システム2
を利用するために、受付側コンピュータ・システム2の
ファイルやシステム9における利用者情報領域11に設
定登録されている利用者情報とを比較する。比較の結果
、合致していなければ利用拒否を、また合致していれば
利用許可をそれぞれ受付側インターフェース部7を介し
て要求側インターフェース部7に通知する。The activated receiving side usage start procedure unit 5, like the above-mentioned requesting side usage start procedure unit 5, receives the usage start request consisting of the user ID, password, etc. notified from the requesting computer system 2, and the receiving side computer system. system 2
In order to use this, the user information set and registered in the file of the receiving side computer system 2 and the user information area 11 of the system 9 is compared. As a result of the comparison, if they do not match, usage is refused, and if they match, usage permission is notified to the requesting interface unit 7 via the accepting interface unit 7.
次に、上記構成のネットワーク・システムの作用につい
て、第3図および第4図に示すフローチャートを参照し
説明する。Next, the operation of the network system having the above configuration will be explained with reference to the flowcharts shown in FIGS. 3 and 4.
第3図は利用開始手続き部5の処理を示すフローチャー
トであり、同図に示すように、コンピュータ・システム
2が起動された後、利用者は端末装置10からユーザI
Dを入力しくステップSl)、入力されたユーザIDは
コンピュータ・システム2のファイル・システム9にお
ける利用者情報領域11に設定登録されている利用者情
報と比較される(ステップ82)。入力されたユーザI
Dが利用者情報と合致していなければ、利用者の入力ミ
スあるいは不正な利用者と見做され、コンピュータ・シ
ステム2に設けられ不一致回数をカウントするカウンタ
(不図示)のカウント値がチエツクされる(ステップS
3)。カウント値が「3」であれば、コンピュータ・シ
ステム2の利用を拒否し、カウント値が「3」でなけれ
ば、カウンタの内容を更新し、再度のユーザIDの入力
を要求する(ステップS4)。FIG. 3 is a flowchart showing the processing of the usage start procedure unit 5. As shown in the figure, after the computer system 2 is started, the user accesses the user interface from the terminal device 10.
When D is input (step Sl), the input user ID is compared with the user information set and registered in the user information area 11 in the file system 9 of the computer system 2 (step 82). Input user I
If D does not match the user information, the user is considered to have made an input error or is an unauthorized user, and the count value of a counter (not shown) provided in the computer system 2 that counts the number of mismatches is checked. (Step S
3). If the count value is "3", use of the computer system 2 is refused, and if the count value is not "3", the contents of the counter are updated and the user is requested to input the user ID again (step S4). .
一方、ユーザIDが利用者情報と合致すれば、パスワー
ドが設定されているか否かが調べられる(ステップS5
)。パスワードが設定されている時には、利用者にパス
ワードの入力を要求し、入力されたパスワードが登録さ
れているものと比較される。(ステップ88.87 )
。パスワードが一致するか、あるいはパスワードが設定
されていない時には、利用者はコンピュータ・システム
2の利用を許可される。しかしながら、入力されたパス
ワードが利用者情報と一致しない時には、ユーザIDの
場合と同様に利用者の入力ミスあるいは不正な利用者と
見做され、カウンタが不一致回数をカウントし、カウン
ト値がチエツクされる(ステップS3,84 )。なお
、カウンタは、利用者がコンピュータ・システム2の利
用を許可されると、リセットされる。On the other hand, if the user ID matches the user information, it is checked whether a password has been set (step S5).
). When a password has been set, the user is requested to enter the password, and the entered password is compared with the registered password. (Step 88.87)
. If the passwords match or if no password has been set, the user is allowed to use the computer system 2. However, if the entered password does not match the user information, the user is assumed to have made an input error or is an unauthorized user, and the counter counts the number of mismatches and checks the count value. (Step S3, 84). Note that the counter is reset when the user is permitted to use the computer system 2.
このように、ファイル・システム9の利用者情報領域1
1に登録されている利用者情報と端末装置10から入力
された利用開始要求が合致していなければ、コンピュー
タ・システム2の利用は許可されない。In this way, user information area 1 of file system 9
If the user information registered in computer system 1 does not match the use start request input from terminal device 10, use of computer system 2 is not permitted.
また、第4図はインターフェース部7の処理を示すフロ
ーチャートであり、同図に示すように、インターフェー
ス部7が、ネットワーク3によって起動されたか、ある
いはユーザによって端末装置lO、コマンド解析部6を
介して起動されたかが判別部の判別結果に基づいて判別
される(ステップ910 )。すなわち、インターフェ
ース部7がネットワーク3によって起動されると、受付
側インターフェースとして作用し、また、ユーザによっ
て起動されると、要求側インターフェースとして作用す
る。FIG. 4 is a flowchart showing the processing of the interface unit 7. As shown in the figure, the interface unit 7 is activated by the network 3 or by the user via the terminal device lO or the command analysis unit 6. It is determined whether it has been started based on the determination result of the determination unit (step 910). That is, when the interface unit 7 is activated by the network 3, it acts as a receiving interface, and when activated by the user, it acts as a requesting interface.
まず、要求側インターフェースとして作用する場合につ
いて説明する。上記手続きにより、コンピュータ・シス
テム2の利用を許可された利用者が対象となるリモート
・コンピュータ・システム2、すなわち、受付側コンピ
ュータ・システム2を利用するために、端末装置10か
らネットワーク3、リモート・コンピュータ・システム
、ユーザID等からなる識別子を設定すると、要求側イ
ンターフェース部7は受付側コンピューターシステム2
の識別子をコマンドとして起動され、続いてファイル・
システム9のリモート・アクセス情報領域12に登録さ
れているアクセス要求のためのすモート・アクセス情報
と端末装置10から設定された識別子が比較され、現行
ユーザIDで指定した受付側コンピュータ・システム2
にアクセスできるか否かがチエツクされる(ステップ8
11.S12 )。First, the case where it acts as a request side interface will be explained. Through the above procedure, in order for a user who is permitted to use the computer system 2 to use the target remote computer system 2, that is, the receiving computer system 2, the user can access the network 3 from the terminal device 10 to the remote computer system 2. After setting an identifier consisting of a computer system, user ID, etc., the requesting interface unit 7 connects the receiving computer system 2
is invoked as a command with the identifier of
The remote access information for the access request registered in the remote access information area 12 of the system 9 is compared with the identifier set from the terminal device 10, and the receiving computer system 2 specified by the current user ID is
(Step 8)
11. S12).
合致するとアクセス可となり、要求側インターフェース
部7は対象の受付側コンピュータ・システム2に接続し
、受付側インターフェース部7からの応答を待つ(ステ
ップ513)。要求側インターフェース部7は、受付側
インターフェース部7からアクセス可を受信すると、受
付側インターフェース部7にユーザIDを通知し、受付
側インターフェース部7からの応答を待つ(ステップ8
14゜si5.sie >。受付側インターフェース部
7からアクセス可を受信すると、利用者は対象の受付側
コンピュータやシステム2の利用を許可され、以後受付
側コンピュータ・システム2との会話処理を行なう(ス
テップ317 )。If they match, access is enabled, and the requesting interface unit 7 connects to the target receiving computer system 2 and waits for a response from the receiving interface unit 7 (step 513). When the request-side interface section 7 receives permission to access from the reception-side interface section 7, it notifies the reception-side interface section 7 of the user ID and waits for a response from the reception-side interface section 7 (step 8).
14°si5. sie>. When the user receives permission to access from the reception side interface section 7, the user is permitted to use the target reception side computer or system 2, and thereafter performs conversation processing with the reception side computer system 2 (step 317).
しかしながら、ステップS12、ステップS14、ある
いはステップS17の段階でアクセス不可となると、対
象の受付側コンピュータ・システム2の利用は拒否され
る。However, if access becomes impossible at step S12, step S14, or step S17, use of the target receiving computer system 2 is refused.
一方、ネットワーク3により起動されるインターフェー
ス部7は、受付側インターフェース部7として作用し、
まず受付側アドレス解析部8を起動する。起動された受
付側アドレス解析部8は、受付側インターフェース部7
を介して接続処理を行なった要求側コンピュータ・シス
テム2の識別子であるノードアドレスとネットワークア
ドレスをネットワーク3から得、さらに受付側ファイル
・システム9のリモート・アクセス情報領域12に登録
されているアクセス受付のためのリモート・アクセス情
報と比較し、受付側コンピュータ・システム2にアクセ
スできるか否かをチエツクする(ステップ5111.S
19.S20 )。比較の結果、合致していれば、受付
側アドレス解析部8は、受付側インターフェース部2を
介して要求側インターフェース部2にアクセス可を通知
する(ステップ814とステップS20は対応している
)。要求側インターフェース部7にアクセス可を通知す
ると、要求側インターフェース部7からユーザIDが通
知されてくる。受付側アドレス解析部8は、受付側イン
ターフェース部7を介してユーザIDを受信すると、受
付側リモート・アクセス情報と比較し、受付側コンピュ
ータQシステム2にアクセスできる利用者か否かをチエ
ツクする(ステップ821゜822、S23 )。比較
の結果、合致していれば、受付側インターフェース部7
を介して要求側インターフェース部7にアクセス可を通
知する(ステップS17とステップ823は対応してい
る)。このアクセス可の通知に伴い、受付側インターフ
ェース部7は、受付側利用開始手続き部5を起動し、受
付側コンピュータ・システム2の利用手続きを行なう。On the other hand, the interface section 7 activated by the network 3 acts as the receiving side interface section 7,
First, the receiving side address analysis unit 8 is activated. The activated reception side address analysis unit 8 is the reception side interface unit 7.
The node address and network address, which are the identifiers of the requesting computer system 2 that performed the connection process, are obtained from the network 3 via the access reception registered in the remote access information area 12 of the receiving file system 9. to check whether the receiving computer system 2 can be accessed (step 5111.S).
19. S20). As a result of the comparison, if they match, the receiving side address analysis section 8 notifies the requesting side interface section 2 that access is possible via the receiving side interface section 2 (step 814 and step S20 correspond). When the requesting interface unit 7 is notified that access is permitted, the requesting interface unit 7 notifies the user ID. When the reception side address analysis unit 8 receives the user ID via the reception side interface unit 7, it compares it with the reception side remote access information and checks whether the user is able to access the reception side computer Q system 2 ( Steps 821, 822, S23). As a result of the comparison, if they match, the reception side interface unit 7
The access permission is notified to the requesting interface section 7 via the request side interface unit 7 (step S17 and step 823 correspond). In response to this access permission notification, the receiving side interface section 7 starts the receiving side usage start procedure section 5 and performs the procedure for using the receiving side computer system 2.
以後、利用者は受付側コンピュータ・システム2との会
話処理を行なう。Thereafter, the user performs conversation processing with the receiving computer system 2.
しかしながら、ステップS20あるいはステップS23
における受付側リモート・アクセス情報との比較の結果
、アクセス不可となれば、受付側アドレス解析部8は、
受付側インターフェース部7を介して要求側インターフ
ェース部7にアクセス不可を通知する。However, step S20 or step S23
As a result of the comparison with the receiving side remote access information in , if access is not possible, the receiving side address analysis unit 8
The receiving interface unit 7 notifies the requesting interface unit 7 that access is not possible.
なお、本発明は上記実施例に限定されることなく、種々
変更可能なことは勿論である。It should be noted that the present invention is not limited to the above-mentioned embodiments, and can of course be modified in various ways.
[発明の効果]
以上詳述したように、本発明のアクセス・コントロール
方式によれば、リモート・コンピュータ・システムへの
アクセス時には、ユーザIDによる人の属性、接続して
くるコンピュータ・システムの場所の属性、およびネッ
トワーク・グループの属性による3段階のチエツクが行
なわれることにより、リモート・コンピュータ・システ
ムの不正利用や破壊等が防止され、リモート・コンピュ
ータ・システムへのアクセスが安全に行なえる。[Effects of the Invention] As described in detail above, according to the access control method of the present invention, when accessing a remote computer system, the attributes of the person based on the user ID and the location of the computer system to be connected are checked. By performing a three-step check based on the attributes and the attributes of the network group, unauthorized use or destruction of the remote computer system is prevented, and access to the remote computer system can be performed safely.
また、リモート・コンピュータ俳システムへのアクセス
の判断後に、リモート・コンピュータ争システムへの利
用開始手続きを行なうので、安全性がより向上する。Furthermore, since the procedure for starting to use the remote computer system is performed after determining whether to access the remote computer system, safety is further improved.
また、ネットワーク・グループの属性をチエツクするよ
うにしたので、ネットワークと組織のトポロジーを同一
にすることにより、組織としてのセキュリティを高める
ことができる。Furthermore, since the attributes of network groups are checked, the security of the organization can be improved by making the topology of the network and the organization the same.
第1図は本発明の一実施例に係るネットワーク・システ
ムの構成を示す図、第2図は機能の関連を示す図、第3
図は利用開始手続き部の処理を示すフローチャート、第
4図はインターフェース部の処理を示すフローチャート
である。
1・・・通信路(通信媒体)、
2a、2b、2c・・・(リモート・)コンピュータ・
システム、
3a、3b、3e−・・ネットワーク、5a、5b、5
c・・・利用開始手続き部(利用手続き手段)、FIG. 1 is a diagram showing the configuration of a network system according to an embodiment of the present invention, FIG. 2 is a diagram showing functional relationships, and FIG. 3 is a diagram showing the relationship between functions.
FIG. 4 is a flowchart showing the processing of the usage start procedure section, and FIG. 4 is a flowchart showing the processing of the interface section. 1... Communication path (communication medium), 2a, 2b, 2c... (remote) computer
System, 3a, 3b, 3e--Network, 5a, 5b, 5
c... Usage start procedure department (usage procedure means),
Claims (1)
されたネットワークが相互に接続され、これらコンピュ
ータ・システムを相互に利用することが可能にされたネ
ットワーク・システムにおいて、通信媒体を介した遠隔
のリモート・コンピュータ・システムの利用許可を利用
者の識別子、上記リモート・コンピュータ・システムに
接続処理を行なったコンピュータ・システムの識別子、
および上記コンピュータ・システムが属するネットワー
クの識別子により判断する判断手段と、この判断手段の
判断に基づいて上記リモート・コンピュータ・システム
に利用手続きを行なう利用手続き手段とを具備したこと
を特徴とするアクセス・コントロール方式。In a network system in which a network formed by multiple computer systems is interconnected via a communication medium, and these computer systems can be used mutually, remote remote communication via a communication medium is possible. The identifier of the user who is authorized to use the computer system, the identifier of the computer system that performed the connection process to the remote computer system,
and a determination means for making a determination based on the identifier of the network to which the computer system belongs, and a usage procedure means for performing a usage procedure for the remote computer system based on the determination by the determination means. control method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1333439A JPH03192458A (en) | 1989-12-22 | 1989-12-22 | Access control system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1333439A JPH03192458A (en) | 1989-12-22 | 1989-12-22 | Access control system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH03192458A true JPH03192458A (en) | 1991-08-22 |
Family
ID=18266120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP1333439A Pending JPH03192458A (en) | 1989-12-22 | 1989-12-22 | Access control system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH03192458A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07295935A (en) * | 1994-04-22 | 1995-11-10 | Nec Field Service Ltd | Safety protection system for computer system |
| JP2002084326A (en) * | 2001-06-11 | 2002-03-22 | Fujitsu Ltd | Service-receiving device, center device, and service device |
| EP1488317A1 (en) * | 2002-03-13 | 2004-12-22 | Honeywell International Inc. | System and method for panel linking in a security system |
-
1989
- 1989-12-22 JP JP1333439A patent/JPH03192458A/en active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07295935A (en) * | 1994-04-22 | 1995-11-10 | Nec Field Service Ltd | Safety protection system for computer system |
| JP2002084326A (en) * | 2001-06-11 | 2002-03-22 | Fujitsu Ltd | Service-receiving device, center device, and service device |
| EP1488317A1 (en) * | 2002-03-13 | 2004-12-22 | Honeywell International Inc. | System and method for panel linking in a security system |
| EP1488317A4 (en) * | 2002-03-13 | 2006-05-03 | Honeywell Int Inc | System and method for panel linking in a security system |
| US7734906B2 (en) | 2002-03-13 | 2010-06-08 | Honeywell International Inc. | System and method for panel linking in a security system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11418486B2 (en) | Method and system for controlling internet browsing user security | |
| US7448067B2 (en) | Method and apparatus for enforcing network security policies | |
| EP1095493B1 (en) | Method and system of security location discrimination | |
| US8959613B2 (en) | System and method for managing access to a plurality of servers in an organization | |
| WO2017167019A1 (en) | Cloud desktop-based processing method and apparatus, and computer storage medium | |
| US20030065676A1 (en) | Methods and system of managing concurrent access to multiple resources | |
| US20040083394A1 (en) | Dynamic user authentication | |
| US20070300306A1 (en) | Method and system for providing granular data access control for server-client applications | |
| US20110302413A1 (en) | Authorizing Information Flows Based on a Sensitivity of an Information Object | |
| US20050177724A1 (en) | Authentication system and method | |
| WO2007068568A1 (en) | System and method for associating security information with information objects in a data processing system | |
| EP1611518A1 (en) | Network security system based on physical location | |
| WO2007068567A1 (en) | Reference monitor system and method for enforcing information flow policies | |
| KR102214162B1 (en) | A user-based object access control system using server's hooking | |
| JP2006085697A (en) | Method and system for controlling access privilege for trusted network node | |
| CN112910882B (en) | Network management method, device, system and computer readable storage medium | |
| CN107222466A (en) | A kind of method, router, smart machine and system for connecting WLAN | |
| US10885525B1 (en) | Method and system for employing biometric data to authorize cloud-based transactions | |
| US6618809B1 (en) | Method and security system for processing a security critical activity | |
| EP1650926B1 (en) | Automatically granting root access to administrators, without requiring the root password | |
| KR102208139B1 (en) | Approval system and approval method for connecting bio recognition device and cloud server | |
| JPH03192458A (en) | Access control system | |
| US8271785B1 (en) | Synthesized root privileges | |
| US20230315890A1 (en) | Call location based access control of query to database | |
| JPH0779243A (en) | Network connection device and network connection method |