図面 (/)

この項目の情報は公開日時点(2011年1月13日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (14)

課題

セキュリティポリシー端末装置に適用させるシステムにおいて、柔軟なセキュリティポリシーの適用を行う。

解決手段

セキュリティ端末装置11では、ログイン処理の開始からセッションが開始し、ログイン処理の完了後にセッションが確立する。セキュリティ管理装置1は、セッション開始時から適用を開始させセッション中は継続して適用させるセッション単位認証ポリシーと、セッション確立後の追加適用も可能な即時適用の認証ポリシーに区別して認証ポリシーを記憶しており、ログイン処理時のユーザ認証にはセッション単位の認証ポリシーと即時適用の認証ポリシーをセキュリティ端末装置11に送信し、これらによりユーザ認証を行わせ、セッション中のユーザ認証には即時適用の認証ポリシーをセキュリティ端末装置11に送信し、即時適用の認証ポリシーを追加適用させてユーザ認証を行わせる。

概要

背景

本発明に関連する技術として、特許文献1に記載の技術がある。
特許文献1では、組織内の端末装置に対して、サーバからセキュリティポリシー配布更新するシステムを提案している。
特許文献1の方式では以下の手順で処理を行う。
(1)管理サーバにセキュリティポリシーを設定する。
(2)管理者は管理サーバに、どの端末装置に対してどのセキュリティポリシーを適用するかを設定する。
(3)管理サーバは、セキュリティポリシーに対応する鍵を端末装置に通知する。
(4)配信サーバが、セキュリティポリシーを暗号化してブロードキャストする。
(5)端末装置は、ブロードキャストされたセキュリティポリシーを鍵で復号して、端末に保存する。
(6)端末装置は、保存したセキュリティポリシーを使用して認証を実行する。

概要

セキュリティポリシーを端末装置に適用させるシステムにおいて、柔軟なセキュリティポリシーの適用を行う。セキュリティ端末装置11では、ログイン処理の開始からセッションが開始し、ログイン処理の完了後にセッションが確立する。セキュリティ管理装置1は、セッション開始時から適用を開始させセッション中は継続して適用させるセッション単位認証ポリシーと、セッション確立後の追加適用も可能な即時適用の認証ポリシーに区別して認証ポリシーを記憶しており、ログイン処理時のユーザ認証にはセッション単位の認証ポリシーと即時適用の認証ポリシーをセキュリティ端末装置11に送信し、これらによりユーザ認証を行わせ、セッション中のユーザ認証には即時適用の認証ポリシーをセキュリティ端末装置11に送信し、即時適用の認証ポリシーを追加適用させてユーザ認証を行わせる。

目的

本発明は、このような課題を解決することを主な目的としており、柔軟にセキュリティポリシーの適用を行う仕組みを提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

ユーザのログイン処理の開始からセッションが開始し、ログイン処理の完了後にセッションが確立し、少なくともログイン処理時にセキュリティポリシーの送信を要求する端末装置に接続されている管理装置であって、前記端末装置に適用させるセキュリティポリシーを、適用開始タイミングセッション開始時に限られセッション開始時の適用開始以降セッション中は継続して適用させる第1種セキュリティポリシーと、適用開始タイミングはセッション開始時に限られずセッション確立後の追加適用も可能な第2種セキュリティポリシーとに区別して記憶するセキュリティポリシー記憶部と、前記端末装置から、前記端末装置が現在ログイン処理中であるかログイン処理済であるかを示す状態識別子が含まれ、セキュリティポリシーの送信を要求するセキュリティポリシー送信要求を受信する受信部と、前記セキュリティポリシー送信要求に含まれている状態識別子を解析し、前記端末装置が現在ログイン処理中であると判断した場合に、前記セキュリティポリシー記憶部から前記第1種セキュリティポリシーを取得し、前記端末装置が既にログイン処理済であると判断した場合に、前記セキュリティポリシー記憶部から前記第2種セキュリティポリシーを取得するセキュリティポリシー取得部と、前記セキュリティポリシー取得部により取得されたセキュリティポリシーを前記端末装置に対して送信する送信部とを有することを特徴とする管理装置。

請求項2

前記セキュリティポリシー取得部は、状態識別子の解析の結果、前記端末装置が現在ログイン処理中であると判断した場合に、前記セキュリティポリシー記憶部から前記第1種セキュリティポリシーを取得するとともに前記第2種セキュリティポリシーを取得し、状態識別子の解析の結果、前記端末装置が既にログイン処理済であると判断した場合に、前記セキュリティポリシー記憶部から、前記端末装置のログイン処理中に取得した第2種セキュリティポリシー以外の第2種セキュリティポリシーを取得することを特徴とする請求項1に記載の管理装置。

請求項3

前記管理装置は、更に、前記送信部より前記端末装置に対して送信済のセキュリティポリシーを示す送信済セキュリティポリシー情報を記憶する送信済セキュリティポリシー情報記憶部を有し、前記セキュリティポリシー取得部は、状態識別子の解析の結果、前記端末装置が現在ログイン処理中であると判断した場合に、前記送信済セキュリティポリシー情報に基づき、前記端末装置に未送信の第1種セキュリティポリシーを前記セキュリティポリシー記憶部から取得し、状態識別子の解析の結果、前記端末装置が既にログイン処理済であると判断した場合に、前記送信済セキュリティポリシー情報に基づき、前記端末装置に未送信の第2種セキュリティポリシーを前記セキュリティポリシー記憶部から取得することを特徴とする請求項1又は2に記載の管理装置。

請求項4

ユーザのログイン処理の開始からセッションが開始し、ログイン処理の完了後にセッションが確立し、少なくともログイン処理時にユーザ認証を要求する端末装置に接続されている管理装置であって、前記端末装置のユーザ認証に適用するセキュリティポリシーを、適用開始タイミングがセッション開始時に限られセッション開始時の適用開始以降セッション中は継続して適用する第1種セキュリティポリシーと、適用開始タイミングはセッション開始時に限られずセッション確立後の追加適用も可能な第2種セキュリティポリシーとに区別して記憶するセキュリティポリシー記憶部と、前記端末装置から、前記端末装置が現在ログイン処理中であるかログイン処理済であるかを示す状態識別子が含まれ、ユーザ認証を要求するユーザ認証要求を受信する受信部と、前記ユーザ認証要求に含まれている状態識別子を解析し、前記端末装置が現在ログイン処理中であると判断した場合に、前記セキュリティポリシー記憶部から前記第1種セキュリティポリシーを取得し、前記端末装置が既にログイン処理済であると判断した場合に、前記セキュリティポリシー記憶部から前記第2種セキュリティポリシーを取得するセキュリティポリシー取得部と、前記セキュリティポリシー取得部により取得されたセキュリティポリシーを適用して前記端末装置のユーザ認証を行う認証実行部とを有することを特徴とする管理装置。

請求項5

前記セキュリティポリシー取得部は、状態識別子の解析の結果、前記端末装置が現在ログイン処理中であると判断した場合に、前記セキュリティポリシー記憶部から前記第1種セキュリティポリシーを取得するとともに前記第2種セキュリティポリシーを取得し、状態識別子の解析の結果、前記端末装置が既にログイン処理済であると判断した場合に、前記セキュリティポリシー記憶部から、前記端末装置のログイン処理中に取得した第2種セキュリティポリシー以外の第2種セキュリティポリシーを取得することを特徴とする請求項4に記載の管理装置。

請求項6

前記認証実行部は、前記セキュリティポリシー取得部により前記端末装置が現在ログイン処理中であると判断された場合に、前記セキュリティポリシー取得部により取得された前記第1種セキュリティポリシー及び前記第2種セキュリティポリシーを適用して前記端末装置のユーザ認証を行い、前記セキュリティポリシー取得部により前記端末装置が既にログイン処理済であると判断された場合に、前記端末装置のログイン処理中に前記セキュリティポリシー取得部により取得された前記第1種セキュリティポリシー及び前記第2種セキュリティポリシーと、前記セキュリティポリシー取得部により新たに取得された第2種セキュリティポリシーとを適用して前記端末装置のユーザ認証を行うことを特徴とする請求項5に記載の管理装置。

請求項7

セキュリティポリシーを記憶する管理装置に接続され、ユーザのログイン処理の開始からセッションが開始し、ログイン処理の完了後にセッションが確立する端末装置であって、ログイン処理時又はセッション確立後の任意のタイミングで、現在ログイン処理中であるかログイン処理済であるかを示す状態識別子を含み、セキュリティポリシーの送信を要求するセキュリティポリシー送信要求を前記管理装置に対して送信する送信部と、前記送信部よりログイン処理時にセキュリティポリシー送信要求が送信された場合に、適用開始タイミングがセッション開始時に限られセッション開始時の適用開始以降セッション中は継続して適用される第1種セキュリティポリシーを前記管理装置から受信し、前記送信部よりセッション確立後にセキュリティポリシー送信要求が送信された場合に、適用開始タイミングはセッション開始時に限られずセッション確立後の追加適用も可能な第2種セキュリティポリシーを受信する受信部と、前記第1種セキュリティポリシーに対しては、セッション開始時から適用を開始し、セッション中は前記第1種セキュリティポリシーに従ったセキュリティ対策を継続して実施し、前記第2種セキュリティポリシーに対しては、第2種セキュリティポリシーの受信の度に受信した第2種セキュリティポリシーの適用を開始し、適用を開始した第2種セキュリティポリシーに従ったセキュリティ対策を実施するセキュリティポリシー適用部とを有することを特徴とする端末装置。

請求項8

前記受信部は、前記送信部よりログイン処理時にセキュリティポリシー送信要求が送信された場合に、第1種セキュリティポリシーと第2種セキュリティポリシーを前記管理装置から受信し、前記送信部よりセッション確立後にセキュリティポリシー送信要求が送信された場合に、ログイン処理時に受信した第2種セキュリティポリシー以外の第2種セキュリティポリシーを受信することを特徴とする請求項7に記載の端末装置。

技術分野

0001

本発明は、組織内で適用するセキュリティポリシー端末装置に配信する技術に関する。

背景技術

0002

本発明に関連する技術として、特許文献1に記載の技術がある。
特許文献1では、組織内の端末装置に対して、サーバからセキュリティポリシーを配布更新するシステムを提案している。
特許文献1の方式では以下の手順で処理を行う。
(1)管理サーバにセキュリティポリシーを設定する。
(2)管理者は管理サーバに、どの端末装置に対してどのセキュリティポリシーを適用するかを設定する。
(3)管理サーバは、セキュリティポリシーに対応する鍵を端末装置に通知する。
(4)配信サーバが、セキュリティポリシーを暗号化してブロードキャストする。
(5)端末装置は、ブロードキャストされたセキュリティポリシーを鍵で復号して、端末に保存する。
(6)端末装置は、保存したセキュリティポリシーを使用して認証を実行する。

先行技術

0003

特開2006−243791号公報

発明が解決しようとする課題

0004

特許文献1の方式では、即時適用させるセキュリティポリシーとして配布するために、セキュリティポリシーの端末装置への適用(反映)も即時に行われる。
このため、端末装置にログイン中のユーザが居る場合に、配布されたセキュリティポリシーの即時反映保留して次のログインからの反映とすることはできない。
つまり、ユーザの端末へのログインからログアウトを1つのセッションとして管理する場合に、セッション単位で適用することが望ましいセキュリティポリシーも存在するが、特許文献1では、セッション単位で適用することが望ましいセキュリティポリシーと即時適用が望ましいセキュリティポリシーを区別することなく全てのセキュリティポリシーを即時適用の対象として配布するために、全てのセキュリティポリシーの反映が即時に行われ、セッション単位で適用することが望ましいセキュリティポリシーであっても次のセッション開始時(次のログイン時)まで適用を保留するといった柔軟な運用ができないという課題がある。

0005

セッション単位で適用すべきセキュリティポリシーの例として、「認証デバイスポリシー」がある。
「認証デバイスポリシー」とは、例えば、ユーザ認証ICカードが使用できるか、指紋認証用デバイスが使用できるかを指定する。
IDとパスワードを利用するポリシーに従ったユーザ認証を経て端末装置に最初のログインを行ったユーザが、トイレなどで一時的に端末装置のスクリーンロックしているときに、ICカードを必要とする認証デバイスポリシーが配布され、端末装置において新たな認証デバイスポリシーに変更すると、当該ユーザは、ICカードを持っていないためにスクリーンロック解除できなくなる。

0006

また、逆に即時に反映すべきセキュリティポリシーとして「アカウントロックポリシー」がある。
「アカウントロックポリシー」は、パスワードの入力を何回間違えるとそのアカウントをロックするかを指定する。
この条件は、ユーザがログイン中でも(セッションの開始時以外でも)即時に反映しないとセキュリティ上問題があると考えることができる(スクリーンロックしている場合に不正なユーザがロックを解除しようと試みる恐れがあるため)。

0007

以上のようにセキュリティポリシーの種類によって、「即時に反映」すべきか「セッション単位に反映」すべきか異なる。また、どちらにするかは組織の方針によっても違いがある。
そこで、セキュリティポリシー単位で、「即時に反映」か「セッション単位に反映」するかを指定できるようになっている必要がある。
また、その組織の方針が変更されたときには、セキュリティポリシーも変更できるようになっている必要がある。

0008

従来の技術では、ユーザが端末装置にログインした後に新たなセキュリティポリシーが配布された場合には、ログインした時点のセキュリティポリシーが上書きされて消えてしまうため、セッション単位でセキュリティポリシーを反映させることができない。
また、セキュリティポリシー毎に「即時に反映」か「セッション単位に反映」するかを指定することもできない。
このように、従来の技術では、セキュリティポリシーごとに、端末装置に即時に適用させたり、セッション単位で適用させるといった柔軟な運用ができないという課題がある。
本発明は、このような課題を解決することを主な目的としており、柔軟にセキュリティポリシーの適用を行う仕組みを提供することを主な目的とする。

課題を解決するための手段

0009

本発明に係る管理装置は、
ユーザのログイン処理の開始からセッションが開始し、ログイン処理の完了後にセッションが確立し、少なくともログイン処理時にセキュリティポリシーの送信を要求する端末装置
に接続されている管理装置であって、
前記端末装置に適用させるセキュリティポリシーを、適用開始タイミングがセッション開始時に限られセッション開始時の適用開始以降セッション中は継続して適用させる第1種セキュリティポリシーと、適用開始タイミングはセッション開始時に限られずセッション確立後の追加適用も可能な第2種セキュリティポリシーとに区別して記憶するセキュリティポリシー記憶部と、
前記端末装置から、前記端末装置が現在ログイン処理中であるかログイン処理済であるかを示す状態識別子が含まれ、セキュリティポリシーの送信を要求するセキュリティポリシー送信要求を受信する受信部と、
前記セキュリティポリシー送信要求に含まれている状態識別子を解析し、前記端末装置が現在ログイン処理中であると判断した場合に、前記セキュリティポリシー記憶部から前記第1種セキュリティポリシーを取得し、前記端末装置が既にログイン処理済であると判断した場合に、前記セキュリティポリシー記憶部から前記第2種セキュリティポリシーを取得するセキュリティポリシー取得部と、
前記セキュリティポリシー取得部により取得されたセキュリティポリシーを前記端末装置に対して送信する送信部とを有することを特徴とする。

発明の効果

0010

本発明によれば、セキュリティポリシーを、第1種セキュリティポリシーと第2種セキュリティポリシーに区別し、セッション開始時には端末装置に第1種セキュリティポリシーを送信してセッションの間継続して第1種セキュリティポリシーを端末装置に適用させ、セッション確立後は第2種セキュリティポリシーを端末装置に送信して第2種セキュリティポリシーを追加的に即時に適用させるという柔軟な運用ができる。

図面の簡単な説明

0011

実施の形態1に係るシステム構成例を示す図。
実施の形態1に係るセキュリティ管理装置の構成例を示す図。
実施の形態1に係るセキュリティ端末装置の構成例を示す図。
実施の形態1に係る認証ポリシーの例を示す図。
実施の形態1に係る認証ポリシーの種類を示す図。
実施の形態1に係る認証ポリシーの記述例を示す図。
実施の形態1に係る認証情報の例を示す図。
実施の形態1に係る認証情報の記述例を示す図。
実施の形態1に係る各ユーザの取得済情報の例を示す図。
実施の形態1に係る各ユーザの取得済情報の記述例を示す図。
実施の形態2に係るセキュリティ管理装置の構成例を示す図。
実施の形態2に係るセキュリティ端末装置の構成例を示す図。
実施の形態1、2に係るセキュリティ管理装置及びセキュリティ端末装置のハードウェア構成例を示す図。

実施例

0012

実施の形態1.
図1は、本実施の形態に係るシステム構成例である。
セキュリティ管理装置1(管理装置)は、セキュリティ管理者(以下、管理者という)により設定されたセキュリティポリシーを複数のセキュリティ端末装置11に送信する。
セキュリティ端末装置11(端末装置)は、セキュリティ管理装置1から受信したセキュリティポリシーに従ったセキュリティ対策を実施する。
セキュリティ端末装置11は、ユーザのログインからログアウトまでを1つのセッションとしている。ユーザのログイン処理の開始からセッションが開始し、ログイン処理の完了後にセッションが確立する。
なお、図1では、セキュリティ端末装置11は、1つしか図示していないが、複数のセキュリティ端末装置11が存在していてもよい。

0013

セキュリティポリシーとは、企業などの組織における情報資産情報セキュリティ対策に関する方針を示した情報であり、例えば、ユーザ認証の方式、ユーザ認証の実施手順、暗号化の対象となるデータの類型、暗号化の方式、外部からの不正アクセスに対する対策、機密漏洩に対する対策、コンピュータウイルスに対する対策、データの喪失に対する対策などの方針が含まれる。
以下では、セキュリティポリシーの一例として、ユーザ認証に関するポリシー(以下、認証ポリシーという)を用いて、本実施の形態に係るセキュリティ管理装置1及びセキュリティ端末装置11を説明する。

0014

なお、セキュリティ管理装置1及びセキュリティ端末装置11の内部構成等の詳細を説明する前に、ここで、本実施の形態に係るセキュリティ管理装置1及びセキュリティ端末装置11の概要を説明する。

0015

セキュリティ管理装置1は、認証ポリシー単位で、「即時に反映」するか「セッション単位に反映」するかを示すタイミング情報を保持する。
セキュリティ端末装置11は、認証ポリシーと認証情報(ID/パスワードなど)のキャッシュを保持してキャッシュを使用して認証を実行できる。
セッションの開始時(ユーザログイン処理時)は、セキュリティ端末装置11は、最新の認証ポリシーと認証情報をセキュリティ管理装置1から受け取り、その情報を使用して認証を行う。
セッション途中での認証処理(スクリーンロックの解除など)では、セキュリティ端末装置11は、セキュリティ管理装置1から「即時に反映」指定の認証ポリシーのみ受け取り、ログイン時にキャッシュした他の認証ポリシーと認証情報を使用して認証を実行する。
これにより、「即時に反映」指定した認証ポリシーは認証の際にセキュリティ端末装置11に送信されて、最新の認証ポリシーが適用される。
「セッション単位に反映」指定の認証ポリシーは、セッションの開始時のみセキュリティ端末装置11に送信されて、セッション途中では、更新されない。
また、セキュリティ管理装置1は、各ユーザの取得済認証ポリシーを記憶することで、変更のあった認証ポリシーのみを選別してセキュリティ端末装置11に送ることができる。
これにより通信時のデータ量を削減することができる。

0016

次に、本実施の形態に係るセキュリティ管理装置1の内部構成例を図2に示す。
図2に示すように、セキュリティ管理装置1は、情報記憶装置2と情報配信装置6に大別される。

0017

情報記憶装置2は、認証ポリシー3、認証情報4、各ユーザの取得済情報5を記憶している。
認証ポリシー3及び認証情報4は、管理者から情報記憶装置2に入力される。
認証ポリシー3には、「即時に反映」か「セッション単位に反映」するかを示すフラグが設定され、複数の認証ポリシー3は、即時に反映させる認証ポリシーかセッション単位に反映させる認証ポリシーかが区別されて記憶されている。
図2の例では、認証ポリシーA及び認証ポリシーCは、セッション単位に反映させる認証ポリシーであり、適用開始タイミングがセッション開始時に限られセッション開始時の適用開始以降セッション中は継続して適用させるセキュリティポリシーである。
認証ポリシーA及び認証ポリシーCのようなセッション単位に反映させる認証ポリシーは、第1種セキュリティポリシーの例である。
認証ポリシーBは、即時に反映させる認証ポリシーであり、適用開始タイミングはセッション開始時に限られずセッション確立後の追加適用も可能なセキュリティポリシーである。
認証ポリシーBのような即時に反映させる認証ポリシーは、第2種セキュリティポリシーの例である。
認証情報4は、ユーザのID、パスワードといった認証情報であり、図2の例では、ユーザX、Y、Zの認証情報が示されている。
各ユーザの取得済情報5は、既にユーザ向けに取得し送信している認証ポリシーが示される。図2の例では、ユーザX、Y、Zに取得・送信済の認証ポリシーが示されている。各ユーザの取得済情報5は、送信済セキュリティポリシー情報の例である。
また、情報記憶装置2は、セキュリティポリシー記憶部、送信済セキュリティポリシー情報記憶部の例である。

0018

また、情報配信装置6は、セキュリティ端末装置11から、認証ポリシーの送信を要求するセキュリティポリシー送信要求(以下、ポリシー送信要求という)を受信し、受信したポリシー送信要求に基づいて、情報記憶装置2から認証ポリシーを取得し、また、認証情報を取得し、取得した認証ポリシー及び認証情報をセキュリティ端末装置11に送信する。
ポリシー送信要求には、セキュリティ端末装置11が現在ログイン処理中(セッション開始時)であるかログイン処理済(セッション確立済)であるかを示す状態識別子が含まれており、情報配信装置6は、状態識別子を解析して、ポリシー送信要求の送信元のセキュリティ端末装置11が現在ログイン処理中であるかログイン処理済であるかを判別する。
送信元のセキュリティ端末装置11が現在ログイン処理中であると判断した場合に、未送信のセッション単位で適用する認証ポリシー(第1種セキュリティポリシー)を取得し(更に、未送信の即時適用の認証ポリシーがあれば未送信の即時適用の認証ポリシーも取得し)、セキュリティ端末装置11に送信する。セキュリティ端末装置11では、受信した認証ポリシーを用いて、ログイン処理時のユーザ認証が行われる。
一方、送信元のセキュリティ端末装置11が既にログイン処理済であると判断した場合は、情報配信装置6は、未送信の即時適用の認証ポリシー(第2種セキュリティポリシー)を取得し、セキュリティ端末装置11に送信する。セキュリティ端末装置11では、受信した認証ポリシー及びキャッシュ内の認証ポリシーを用いて、セッション中のユーザ認証が行われる。
情報配信装置6は、セキュリティポリシー取得部、送信部、受信部の例である。

0019

次に、本実施の形態に係るセキュリティ端末装置11の内部構成例を図3に示す。
セキュリティ端末装置11は、ユーザが使用する端末であり、図3に示すように、情報更新装置12、キャッシュ用情報記憶装置13、認証実行装置16及び認証情報入力装置17に大別される。

0020

情報更新装置12は、ログイン処理時又はセッション確立後の任意のタイミングで、認証ポリシーの送信を要求するポリシー送信要求をセキュリティ管理装置1に対して送信する。
ポリシー送信要求には、前述のように、現在ログイン処理中であるかログイン処理済であるかを示す状態識別子が含まれる。
なお、セッション確立後の任意のタイミングとは、例えば、セッション途中での認証処理時(スクリーンロックの解除など)である。
また、情報更新装置12は、セキュリティ管理装置11から送信された認証ポリシー及び認証情報を受信する。
情報更新装置12は、送信部及び受信部の例である。

0021

キャッシュ用情報記憶装置13は、情報更新装置12が受信した認証ポリシー14と認証情報15を記憶する。

0022

認証実行装置16は、キャッシュ用情報記憶装置13内の認証ポリシー14と認証情報15を用いて、認証ポリシーに従ったセキュリティ対策(認証処理)を実施する。
より具体的には、セッション単位で適用する認証ポリシー(認証ポリシーA、認証ポリシーC)に対しては、セッション開始時から適用を開始し、セッション中はセッション単位で適用する認証ポリシーに従った認証処理を継続して実施し、即時適用の認証ポリシーに対しては、即時適用の認証ポリシーの受信の度に受信した即時適用の認証ポリシーの適用を開始して認証処理を行う。
認証実行装置16は、セキュリティポリシー適用部の例である。

0023

認証情報入力装置17は、認証実行装置16による認証処理の際に用いる認証入力情報(ユーザのID、パスワード等)をユーザから入力する。

0024

次に、本実施の形態に係るセキュリティ管理装置1及びセキュリティ端末装置11の動作例を説明する。

0025

先ず、初期設定の方法について説明する。
予め管理者は、認証ポリシーと認証情報の設定を行う。

0026

認証ポリシーの内容を図4に示す。
認証ポリシーの情報は、認証を実行するときに従うべきルールを示しており、認証ポリシーを識別するためのID(policy_id)と認証ポリシーの名前(name)と、認証ポリシーの値(value)と、「即時に反映」するか「セッション単位に反映」するかを示す認証ポリシーの適用タイミング(timing)から成る。
timingに、immediateを指定すると「即時に反映」となり、sessionを指定すると「セッション単位に反映」となる。
また、図5に認証ポリシーの種類を示す。
更に、図6に認証ポリシーをXML(Extensible Markup Language)形式で記述した例を示す。
この例は、認証デバイスとしてICカードのみが使用できることを表している。
また、認証情報の内容を図7に示す。
認証情報は、ユーザID(user_id)、ユーザのパスワード(password)、ユーザの権限(right)、認証情報の有効期限(term)から成る。
図8に認証情報をXML形式で記述した例を示す。
また、図9に各ユーザの取得済情報5の内容を示す。
保持する情報としては、認証ポリシーを識別するためのID(policy_id)と、認証ポリシーの名前(name)と、認証ポリシーの値(value)から成る。
図10に各ユーザの取得済情報5をXML形式で記述した例を示す。
この例は、認証デバイスとして指紋認証デバイスのみが使用できることを表している。

0027

次に、セッションを開始するときの、セキュリティ管理装置1とセキュリティ端末装置11の動作について説明する。
ここで、セッションの開始とは、未ログインのユーザがログインするときのことを指している。

0028

ユーザはセキュリティ端末装置11の認証情報入力装置17に対して、ユーザIDとパスワードを入力し、あるいはICカード(内部にユーザIDも含む)を使用して認証を要求する。ユーザが認証情報入力装置17に入力するこれらの情報が認証入力情報に相当する。
認証情報入力装置17は認証入力情報を認証実行装置16に渡して、認証を要求する。
認証実行装置16は、認証ポリシーと、ユーザIDに対応した認証情報をキャッシュ用情報記憶装置13に要求する。
キャッシュ用情報記憶装置13は、認証ポリシーと、ユーザIDに対応した認証情報を情報更新装置12に要求する。
情報更新装置12は、認証ポリシーと、ユーザIDに対応した認証情報の配信を要求するポリシー送信要求を情報配信装置6に送信する。
ポリシー送信要求には、状態識別子とユーザIDが含まれている。
ここで送信されるポリシー送信要求には、現在ログイン処理中であることを示す状態識別子が含まれる。

0029

情報配信装置6は、ポリシー送信要求を受信し、受信したポリシー送信要求に含まれているユーザIDを用いて、各ユーザの取得済情報5を検索して、当該ユーザに対して取得済の認証ポリシーを抽出する。
なお、セキュリティ端末装置11は現在ログイン処理中であるので、当該ユーザのセキュリティ端末装置11に対して過去に認証ポリシーが送信されていなければ、各ユーザの取得済情報5から認証ポリシーは抽出されない。また、当該ユーザのセキュリティ端末装置11に対して過去に認証ポリシーが送信されている場合は、前回のセッションの終了までに送信された認証ポリシーが抽出される。
次に、情報配信装置6は、認証ポリシー3の認証ポリシーのうち、抽出した取得済の認証ポリシーと比較して更新されている認証ポリシー(セッション単位適用認証ポリシーと即時適用認証ポリシーの両方)を情報記憶装置2から取得する。なお、抽出した取得済の認証ポリシーと比較して更新されている認証ポリシーには、取得済の認証ポリシーとは異なる新規に導入された認証ポリシーと、取得済の認証ポリシーの内容の更新にあたる認証ポリシー(以降、改訂版の認証ポリシーという)の両方が含まれる。
また、情報配信装置6は、ポリシー送信要求に含まれているユーザIDに対応した認証情報を情報記憶装置2から取得する。
そして、情報配信装置6は、取得した認証ポリシーと認証情報をセキュリティ端末装置11の情報更新装置12に送信する。
また、情報配信装置6は、セキュリティ端末装置11に送信した認証ポリシーを「各ユーザの取得済情報5」に書き込む。なお、セキュリティ端末装置11に送信した認証ポリシーが従前の認証ポリシーの改訂版にあたる場合は、改訂前の認証ポリシーに上書きして改訂後の認証ポリシーを記録する。

0030

セキュリティ端末装置11では、情報更新装置12が認証ポリシーと認証情報を受信し、受信した認証ポリシーを暗号化し、認証ポリシー14としてキャッシュ用情報記憶装置13に記憶させ、また、受信した認証情報を暗号化して認証情報15としてキャッシュ用情報記憶装置13に記憶させる。
なお、認証ポリシー及び認証情報の暗号化は任意であり、暗号化を行わなくてもよい。また、情報配信装置6から情報更新装置12への送信時にも認証ポリシー及び認証情報を暗号化するようにしてもよい。
キャッシュ用情報記憶装置13は、認証ポリシー(新たに受信した認証ポリシーと従前からキャッシュ内にあった認証ポリシーの両方)と認証情報を認証実行装置16に返す。
認証実行装置16は、受け取った認証ポリシーと認証情報で認証を実行して結果を認証情報入力装置17に返す。
認証情報入力装置17は認証結果をユーザに返す。
認証実行装置16における認証に成功した場合は、ユーザはセキュリティ端末装置11へのログインに成功し、セッションが確立する。

0031

次に、セッション中での認証を実行するときの、セキュリティ管理装置1とセキュリティ端末装置11の動作を説明する。
ここで、セッション中での認証とは、例えば、ログイン済みのユーザがスクリーンロック解除を行う際の認証のことを指している。

0032

ユーザはセキュリティ端末装置11の認証情報入力装置17で、ユーザIDとパスワードを入力し、あるいはICカードを使用して認証を要求する。
認証情報入力装置17は、入力された認証入力情報を認証実行装置16に渡して認証を要求する。
認証実行装置16は、認証ポリシーと、ユーザIDに対応した認証情報をキャッシュ用情報記憶装置13に要求する。
キャッシュ用情報記憶装置13は、「即時に反映」(immediate)指定の認証ポリシーと、ユーザIDに対応した認証情報を情報更新装置12に要求する。
情報更新装置12は、「即時に反映」(immediate)指定の認証ポリシーと、ユーザIDに対応した認証情報の送信を要求するポリシー送信要求を情報配信装置6に送信する。
ポリシー送信要求には、状態識別子とユーザIDが含まれている。
ここで送信されるポリシー送信要求には、既にログイン処理済(セッション確立済)であることを示す状態識別子が含まれる。

0033

情報配信装置6は、ポリシー送信要求を受信し、受信したポリシー送信要求に含まれているユーザIDを用いて、各ユーザの取得済情報5を検索して、当該ユーザに対して取得済みの認証ポリシーを抽出する。
次に、情報配信装置6は、認証ポリシー3の認証ポリシーのうち、抽出した取得済の認証ポリシーと比較して更新されている「即時に反映」(immediate)指定の認証ポリシーを情報記憶装置2から取得する。つまり、セッション確立済の段階では、即時に適用する認証ポリシーのみを取得する。
そして、情報配信装置6は、取得した認証ポリシーをセキュリティ端末装置11の情報更新装置12に送信する。
また、情報配信装置6は、ユーザIDに対応した認証情報を認証情報4から取得して情報更新装置12に配信する。
また、情報配信装置6は、セキュリティ端末装置11に送信した認証ポリシーを「各ユーザの取得済情報5」に書き込む。ここでも、セキュリティ端末装置11に送信した認証ポリシーが従前の認証ポリシーの改訂版にあたる場合は、改訂前の認証ポリシーに上書きして改訂後の認証ポリシーを記録する。

0034

セキュリティ端末装置11では、情報更新装置12が認証ポリシーと認証情報を受信し、受信した認証ポリシーを暗号化し、認証ポリシー14としてキャッシュ用情報記憶装置13に記憶させ、また、受信した認証情報を暗号化して認証情報15としてキャッシュ用情報記憶装置13に記憶させる。
キャッシュ用情報記憶装置13は、全ての認証ポリシー(新たに受信した認証ポリシーと従前からキャッシュ内にあった認証ポリシーの両方)とユーザIDに対応した認証情報を認証実行装置16に返す。
認証実行装置16は、受け取った認証ポリシーと認証情報で認証を実行して結果を認証情報入力装置17に返す。
認証情報入力装置17は認証結果をユーザに返す。

0035

このように、本実施の形態では、セキュリティポリシーの性質に応じて、セッション単位で適用させるセキュリティポリシーと即時に適用させるべきセキュリティポリシーに区別し、セッション開始時にはセッション単位のセキュリティポリシーをセキュリティ端末装置に適用させ、セッション確立後は即時適用のセキュリティポリシーをセキュリティ端末装置に追加的に即時に適用させるという柔軟な運用ができる。
また、組織によってことなるセキュリティ方針を適切なタイミングで反映させることができる。

0036

また、本実施の形態によれば、認証ポリシーを更新するときは、セッション開始時点から更新された認証ポリシーのみを通知するだけで済むため、通信する情報量を最小限に留めることができる。

0037

また、本実施の形態によれば、通信回線故障して、セキュリティ管理装置とセキュリティ端末装置が通信できなくなった場合でも、セキュリティ端末装置が保持している認証ポリシーと認証情報を使用することで、セッション開始時点のポリシーで認証を実行することができる。

0038

また、本実施の形態は、情報システムのユーザ認証の機能を実現する方式として利用することができる。
組織の方針に従ってセキュリティを管理する必要がある場合に有効と考えられる。
また、金融のようなセキュリティが厳しく管理される業務において、認証ポリシーの反映のタイミングが問題になる場合に対応することができる。

0039

実施の形態2.
実施の形態1では、セキュリティ管理装置1から認証ポリシーをセキュリティ端末装置11に送信し、セキュリティ端末装置11にて認証ポリシーに従ってユーザ認証を行う例を説明した。
本実施の形態では、セキュリティ管理装置1が認証ポリシーに従って、ユーザ認証を行う例を説明する。

0040

本実施の形態に係るシステム構成例は、図1に示すとおりである。
また、本実施の形態に係るセキュリティ管理装置1の構成例は図11に示すとおりである。
また、本実施の形態に係るセキュリティ端末装置11の構成例は図12に示すとおりである。

0041

本実施の形態に係るセキュリティ管理装置1では、情報配信装置6の代わりに認証実行装置7が配置されている。
認証実行装置7は、情報記憶装置2の情報を利用してセキュリティ端末装置11のユーザに対する認証処理を行う。
より具体的には、認証実行装置7は、セキュリティ端末装置11からユーザ認証を要求するユーザ認証要求を受信し、ユーザ認証要求に含まれている状態識別子を解析し、セキュリティ端末装置11が現在ログイン処理中であると判断した場合に、情報記憶装置2からセッション単位に適用の認証ポリシーを取得し(更に、即時適用の認証ポリシーがあれば即時適用の認証ポリシーも取得し)、取得した認証ポリシーを用いてログイン処理時のユーザ認証を行う。
また、認証実行装置7は、状態識別子の解析の結果、セキュリティ端末装置11が既にログイン処理済(セッション確立済)であると判断した場合に、情報記憶装置2から即時適用の認証ポリシーを取得し、取得した認証ポリシーと、これまでに取得済の認証ポリシーを用いてセッション中のユーザ認証を行う。
このように、認証実行装置7は、セッション開始時とセッション途中を区別しながら認証を実行する。
認証実行装置7は、受信部、セキュリティポリシー取得部、認証実行部の例である。
図11において、認証実行装置7以外の要素は、図2に示したものと同様であるが、各ユーザの取得済情報5は、実施の形態では、セキュリティ端末装置11に送信済の認証ポリシーを示すが、本実施の形態では、認証ポリシーをセキュリティ端末装置11に送信しないので、各ユーザの取得済情報5では、各ユーザに対して取得済の認証ポリシーが示される。
また、各ユーザに対して取得済の認証ポリシー自体は、各ユーザの取得済情報5内にユーザごとにプールしていてもよいし、情報記憶装置2内の他の領域にユーザごとにプールしていてもよい。
また、各ユーザの取得済情報5の取得済の認証ポリシーのリストに従って、認証実行装置7が、対象となる認証ポリシーを認証ポリシー3の領域から再度取得するようにしてもよい。

0042

本実施の形態に係るセキュリティ端末装置11は、ユーザが使用する端末であり、認証入力情報を入力し、また、ユーザ認証要求をセキュリティ管理装置11に送信する認証情報入力装置17から構成されている。
すなわち、本実施の形態では、セキュリティ端末装置11でユーザ認証が行われないため、図3に示した情報更新装置12、キャッシュ用情報記憶装置13、認証実行装置16は不要である。

0043

次に、本実施の形態に係るセキュリティ管理装置1及びセキュリティ端末装置11の動作例を説明する。

0044

初期設定の方法は、実施の形態1で説明したものと同様なので、説明を省略する。

0045

次に、セッションを開始するときの、セキュリティ管理装置1とセキュリティ端末装置11の動作を説明する。

0046

ユーザはセキュリティ端末装置11の認証情報入力装置17にユーザIDとパスワードを入力し、あるいはICカード(内部にユーザIDを含む)などを使用して認証を要求する。
認証情報入力装置17は入力された認証入力情報からユーザ認証要求を生成し、認証実行装置7にユーザ認証要求を送信する。
ユーザ認証要求には、状態識別子とユーザIDが含まれている。
ここで送信されるユーザ認証要求には、現在ログイン処理中であることを示す状態識別子が含まれる。

0047

認証実行装置7は、ユーザ認証要求を受信し、受信したユーザ認証要求に含まれているユーザIDを用いて各ユーザの取得済情報5を検索して、当該ユーザに対して取得済の認証ポリシーを抽出する。
なお、セキュリティ端末装置11は現在ログイン処理中であるので、当該ユーザのセキュリティ端末装置11に対して過去に認証ポリシーが取得されていなければ、各ユーザの取得済情報5から認証ポリシーは抽出されない。また、当該ユーザのセキュリティ端末装置11に対して過去に認証ポリシーが取得されている場合は、前回のセッションの終了までに取得された認証ポリシーが抽出される。
次に、認証実行装置7は、認証ポリシー3の認証ポリシーのうち、抽出した取得済の認証ポリシーと比較して更新されている認証ポリシー(セッション単位適用認証ポリシーと即時適用認証ポリシーの両方)を情報記憶装置2から取得する。なお、抽出した取得済の認証ポリシーと比較して更新されている認証ポリシーには、取得済の認証ポリシーとは異なる新規に導入された認証ポリシーと、取得済の認証ポリシーの改訂版にあたる認証ポリシーの両方が含まれる。
更に、認証実行装置7は、各ユーザの取得済情報5に記述されている認証ポリシーも情報記憶装置2から取得する。
また、認証実行装置7は、ユーザ認証要求に含まれているユーザIDに対応した認証情報を情報記憶装置2から取得する。
そして、認証実行装置7は、取得した認証ポリシーに従って、取得した認証情報を用いてログイン時のユーザ認証を行う。
なお、認証実行装置7は、認証処理において、不足している情報があれば、セキュリティ端末装置11に、不足している情報の送信を要求してもよい。例えば、取得した認証ポリシーが、指紋静脈等の生体情報を用いた生体認証を規定している場合は、認証実行装置7は、ユーザの生体情報の送信をセキュリティ端末装置11に要求してもよい。
そして、認証実行装置7は、認証結果を認証情報入力装置17に返す。
同時に、認証実行装置7は、このときの認証ポリシーを「各ユーザの取得済情報5」に記録する。なお、従前の認証ポリシーの改訂版にあたる認証ポリシーを取得した場合は、改訂前の認証ポリシーに上書きして改訂後の認証ポリシーを記録する。
認証実行装置7における認証に成功した場合は、ユーザはセキュリティ端末装置11へのログインに成功し、セッションが確立する。

0048

セッション中での認証を実行するときの、セキュリティ管理装置1とセキュリティ端末装置11の動作を説明する。

0049

ユーザはセキュリティ端末装置11の認証情報入力装置17で、ユーザIDとパスワードを入力し、あるいはICカードを使用して認証を要求する。
認証情報入力装置17は入力された認証入力情報からユーザ認証要求を生成し、認証実行装置7にユーザ認証要求を送信する。
ユーザ認証要求には、状態識別子とユーザIDが含まれている。
ここで送信されるユーザ認証要求には、既にログイン処理済(セッション確立済)であることを示す状態識別子が含まれる。

0050

認証実行装置7は、ユーザ認証要求を受信し、受信したユーザ認証要求に含まれているユーザIDを用いて各ユーザの取得済情報5を検索して、当該ユーザに対して取得済みの認証ポリシーを抽出する。
次に、認証実行装置7は、認証ポリシー3の認証ポリシーのうち、抽出した取得済の認証ポリシーと比較して更新されている「即時に反映」(immediate)指定の認証ポリシーを情報記憶装置2から取得する。つまり、セッション確立済の段階では、即時に適用する認証ポリシーのみを取得する。
更に、認証実行装置7は、各ユーザの取得済情報5に記述されている認証ポリシーも情報記憶装置2から取得する。
また、認証実行装置7は、ユーザIDに対応した認証情報を認証情報4から取得する。
次に、認証実行装置7は、取得した認証ポリシーに従って、取得した認証情報を用いてログイン時のユーザ認証を行う。
そして、認証実行装置7は、認証結果を認証情報入力装置17に返す。
同時に、認証実行装置7は、このときの認証ポリシーを「各ユーザの取得済情報5」に記録する。ここでも、従前の認証ポリシーの改訂版にあたる認証ポリシーを取得した場合は、改訂前の認証ポリシーに上書きして改訂後の認証ポリシーを記録する。

0051

このように、セキュリティ管理装置においてユーザ認証を行う場合でも、セッション単位に適用する認証ポリシーと即時に適用する認証ポリシーを区別することにより、柔軟な認証ポリシーの適用が可能となる。

0052

以上の実施の形態1及び2では、以下の装置を備えたセキュリティ管理装置を説明した。
(a)認証を実行する「認証実行装置」、
(b)認証ポリシーと認証情報の配信を行う「情報配信装置」、
(c)認証ポリシーと認証情報を保持する「情報記憶装置」。

0053

また、実施の形態1では、以下の装置を備えたセキュリティ端末装置を説明した。
(a)認証を実行する「認証実行装置」、
(b)セキュリティ管理装置に問い合わせを行い、認証ポリシーと認証情報を取得する「情報更新装置」、
(c)認証ポリシーと認証情報を保持する「キャッシュ用情報記憶装置」、
(d)ユーザからパスワードやICカード情報などを受け取る「認証情報入力装置」。

0054

また、実施の形態2では、以下の動作を行う認証実行装置7を説明した。
(a)セッションの開始の場合は、認証情報入力装置17から受け取ったパスワードやユーザIDなどの情報と、認証ポリシー3の認証ポリシーと認証情報4の認証情報を使用して、認証を実行し、
(b)セッションの途中では、認証情報入力装置17から受け取ったパスワードやユーザIDなどの情報と、認証ポリシー3の「即時に反映」の認証ポリシーと、認証情報4の認証情報と、「各ユーザの取得済情報5」からユーザIDに対応するポリシー情報を取得して、認証を実行する。

0055

また、実施の形態1では、認証情報入力装置17から受け取ったパスワードやユーザIDなどの情報と、認証ポリシー14の認証ポリシーと、認証情報15の認証情報を使用して、認証を実行する認証実行装置16を説明した。

0056

また、実施の形態1では、以下の動作を行う情報配信装置6を説明した。
(a)セッションの開始時は、認証ポリシー3の認証ポリシーのうち、取得済の情報5を比較して更新されていれば、情報更新装置12に送信し、セッション途中では、認証ポリシー3の情報を参照して、「即時に反映」(immediate)指定の認証ポリシーを抽出し、抽出した認証ポリシーと、取得済の情報5を比較して、更新されていれば、情報更新装置12に送信し、
(b)ユーザIDに対応した認証情報を認証情報4から取得して情報更新装置12に送信する。

0057

また、実施の形態1及び2では、以下の動作を行う情報記憶装置2を説明した。
(a)最新の認証ポリシーと、付随する情報として「即時に適用」するか「セッション単位に適用(セッションの開始時に適用)」するか、を表す情報を保持し、
(b)最新の認証情報を保持し、
(c)各ユーザがログインした時点の認証ポリシーを保持する。

0058

また、実施の形態1では、以下の動作を行うキャッシュ用情報記憶装置13を説明した。
(a)「即時に適用」指定の認証ポリシーについては最新の認証ポリシーを保持し、「セッション単位に適用」指定の認証ポリシーについてはセッション開始時の認証情報を保持し、
(b)最新の認証情報を保持する。

0059

最後に、実施の形態1及び2に示したセキュリティ管理装置1及びセキュリティ端末装置11のハードウェア構成例について説明する。
図13は、実施の形態1及び2に示すセキュリティ管理装置1及びセキュリティ端末装置11のハードウェア資源の一例を示す図である。
なお、図13の構成は、あくまでもセキュリティ管理装置1及びセキュリティ端末装置11のハードウェア構成の一例を示すものであり、セキュリティ管理装置1及びセキュリティ端末装置11のハードウェア構成は図13に記載の構成に限らず、他の構成であってもよい。

0060

図13において、セキュリティ管理装置1及びセキュリティ端末装置11は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置処理装置演算装置マイクロプロセッサマイクロコンピュータプロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置メモリカード登録商標読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
実施の形態1及び2で説明した「情報記憶装置2」、「キャッシュ用情報記憶装置13」は、RAM914、磁気ディスク装置920等により実現される。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、実施の形態1及び2で説明した「認証情報入力装置17」はキーボード902、マウス903等を用いて認証入力情報を入力することができる。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。

0061

通信ボード915は、図1に示すように、ネットワークに接続されている。例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネットWANワイドエリアネットワーク)、SAN(ストレージエリアネットワーク)などに接続されていても構わない。

0062

磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。

0063

また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。

0064

また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
セキュリティ管理装置1及びセキュリティ端末装置11の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。

0065

上記プログラム群923には、実施の形態1及び2の説明において「情報配信装置6」「認証実行装置7」、「情報更新装置12」、「認証実行装置16」、「認証情報入力装置17」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。

0066

ファイル群924には、実施の形態1及び2の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の認証」、「〜の評価」、「〜の更新」、「〜の設定」、「〜の登録」、「〜の抽出」、「〜の選択」等として説明している処理の結果を示す情報やデータや信号値変数値パラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1及び2で説明しているデータや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスクミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線ケーブルその他の伝送媒体によりオンライン伝送される。

0067

また、実施の形態1及び2の説明において「情報配信装置6」「認証実行装置7」、「情報更新装置12」、「認証実行装置16」、「認証情報入力装置17」として説明しているものは、「〜回路」、「〜手段」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「情報配信装置6」「認証実行装置7」、「情報更新装置12」、「認証実行装置16」、「認証情報入力装置17」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1及び2の「情報配信装置6」「認証実行装置7」、「情報更新装置12」、「認証実行装置16」、「認証情報入力装置17」としてコンピュータを機能させるものである。あるいは、実施の形態1及び2の「「情報配信装置6」「認証実行装置7」、「情報更新装置12」、「認証実行装置16」、「認証情報入力装置17」の手順や方法をコンピュータに実行させるものである。

0068

このように、実施の形態1及び2に示すセキュリティ管理装置1及びセキュリティ端末装置11は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、実施の形態1及び2で示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。

0069

1セキュリティ管理装置、2情報記憶装置、3認証ポリシー、4認証情報、5 各ユーザの取得済情報、6情報配信装置、7認証実行装置、11セキュリティ端末装置、12情報更新装置、13キャッシュ用情報記憶装置、14 認証ポリシー、15 認証情報、16 認証実行装置、17認証情報入力装置。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ