Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP3628876B2 - Security management system - Google Patents
[go: Go Back, main page]

JP3628876B2 - Security management system - Google Patents

Security management system Download PDF

Info

Publication number
JP3628876B2
JP3628876B2 JP17053598A JP17053598A JP3628876B2 JP 3628876 B2 JP3628876 B2 JP 3628876B2 JP 17053598 A JP17053598 A JP 17053598A JP 17053598 A JP17053598 A JP 17053598A JP 3628876 B2 JP3628876 B2 JP 3628876B2
Authority
JP
Japan
Prior art keywords
lock
user
security management
management system
menu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP17053598A
Other languages
Japanese (ja)
Other versions
JPH11353277A (en
Inventor
朗 工藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP17053598A priority Critical patent/JP3628876B2/en
Publication of JPH11353277A publication Critical patent/JPH11353277A/en
Application granted granted Critical
Publication of JP3628876B2 publication Critical patent/JP3628876B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、コンピュータのアプリケーションシステムのセキュリティを管理するセキュリティ管理システムに関する。
【0002】
【従来の技術】
従来、コンピュータのアプリケーションシステムに備えられている処理機能について、利用者毎にその処理機能の利用を許容するか否かを設定することによりそのアプリケーションシステムのセキュリティを管理することが広く行われている。最近のセキュリティ管理システムでは、GUI(グラフィックユーザーインターフェース)技術を用いて利用者にとってわかりやすい形で、アクセスの許容された処理機能をメニュー画面上に表示するように工夫されている。例えば、複数の処理機能のうちその利用者に許容された処理機能と許容されない処理機能とを互いに異なる表示色で表示したり、あるいは許容されない処理機能についてはハーフトーンで表示したりすることが行われている。
【0003】
【発明が解決しようとする課題】
このようなセキュリティ管理を行うためには、そのコンピュータのアプリケーションシステムに備えられている複数の処理機能について、各利用者毎のアクセス権限を設定してその設定結果をアプリケーションシステムに記憶させておく必要がある。ここで、そのコンピュータに複数のアプリケーションシステムが組み込まれている場合は、それらの各アプリケーションシステムの各処理機能毎に各利用者のアクセス権限を設定する必要がある。
また、利用者は、それらの各アプリケーションシステムに設定された自らのアクセス権限をコンピュータに認証して貰うための、例えば利用者IDなどを記憶しておく必要がある。
【0004】
例えば、あるコンピュータシステムに会議室予約システムと配車管理システムとが組み込まれているとすると、このコンピュータシステムの利用者はこれら2つのアプリケーションシステムそれぞれについて設定された利用者IDを使い分ける必要がある。また、例えば、会議室予約システムの利用者IDを用いて会議室予約システムを立ち上げて会議室予約処理を実行している時に同時に配車管理処理を行おうとすると配車管理システムの利用者IDにより再度ログインを行う必要があるなど、アプリケーションシステムの数が多くなるに従い利用者にとってこのようなセキュリティシステムは極めて煩わしいものとなる。
また、コンピュータシステム側にとっても、このようなセキュリティシステムをアプリケーションシステム毎に構築する作業は極めて煩雑であり、しかも、アプリケーションシステムのバージョンアップや利用者の人事異動などに伴いセキュリティの仕組みをメンテナンスするために多大の費用と時間とを必要とするという問題がある。
本発明は、上記の事情に鑑み、利用者にとって操作性がよく、かつ複数のアプリケーションシステムに対するセキュリティシステムを容易に構築することができる汎用的なセキュリティ管理システムを提供することを目的とする。
【0005】
【課題を解決するための手段】
上記の目的を達成する本発明のセキュリティ管理システムは、
ツリー構造の各ノードに相当する各ロックに数値範囲が設定されるとともに、各ロックに、各ロックを特定する属性が付加され、各ロックに設定される数値範囲により各ロックの利用者が規定されるとともに、各ロックに付加される属性により、アプリケーションシステムおよびそのアプリケーションシステムの階層構造が特徴付けられる、階層化された複数のロックからなる、アプリケーションシステムに対応付けられるロック体系であって、各ロックにアプリケーションシステム用に数値範囲が設定されるとともに属性が付加されてなるロック体系が1つ以上集合してなるロックシステムが格納されたロックシステム記憶手段と、
【0006】
各利用者に対応付けられた、数値からなるキーが格納されたキー記憶手段と、
各利用者を特定する認証情報を入力データとして受け取り、上記ロックシステムの中から、その認証情報により特定される利用者のキーを含む数値範囲が設定されたロックを検索し、その検索により得られたロックに付された属性を返却するロックシステムアクセス手段とを備えたことを特徴とする。
このセキュリティ管理システムでは、アプリケーションシステムの利用者を「キー」(鍵)、利用される対象業務を「ロック」(錠)というオブジェクトに抽象化して表現している。そして、各「ロック」にはそれぞれ数値範囲が設定されており、数値からなる「キー」を「ロック」の数値範囲と比較して「キー」が「ロック」の範囲内に含まれているか否かにより「ロック」を開くか否か、すなわち利用者に利用を許可するか否かを判定するようになっている。
【0007】
ここで、このセキュリティ管理システムが、上記ロックシステムを構成するロック体系が複数存在する場合に、これら複数のロック体系に相互に異なる数値範囲が割り当てられるように構成されたものであることが好ましい。
また、このセキュリティ管理システムが、1つのロック体系内において、1つの上層のロックに直結した1つ以上の下層のロックの各数値範囲を総合した数値範囲が1つの上層のロックの数値範囲となるように、各ロックに数値範囲が設定されるように構成されたものであることも好ましい態様の一つである。
さらに、このセキュリティ管理システムが、上記ロック体系を構成する階層化された複数のロックそれぞれに数値範囲および属性を付すとともに、利用者に対応付けられたキーを設定するシステム構築手段を備えたものであることも好ましい。
【0008】
【発明の実施の形態】
以下、本発明の実施形態について説明する。
図1は、本発明のセキュリティ管理システムの一実施形態を示すシステム構成図である。
図1に示すように、このセキュリティ管理システム1は、ツリー構造の各ノードに相当する各ロック110,111,112,120,121,122それぞれに数値範囲からなるレベル110b,111b,112b,120b,121b,122bが設定されるとともに、各ロック110,111,112,120,121,122に、これら各ロックを特定する属性110a,111a,112a,120a,121a,122aが付加され、各ロックに設定される数値範囲からなるレベル110b,111b,112b,120b,121b,122bにより各ロックの利用者が規定されるとともに各ロックに付加される属性110a,111a,112a,120a,121a,122aにより、アプリケーションシステムおよびそのアプリケーションシステムの階層構造が特徴付けられる、階層化された複数のロック110,111,112,120,121,122からなり、アプリケーションシステムに対応付けられるロック体系101,102として構築されている。
【0009】
このセキュリティ管理システム1には、各ロック110,111,112,120,121,122にアプリケーションシステム用に数値範囲からなるレベル110b,111b,112b,120b,121b,122bが設定されるとともに属性111a,111a,112a,120a,121a,122aが付加されてなる2つのロック体系101,102が集合してなるロックシステムを格納するロックシステム記憶手段100と、各利用者に対応付けられた、数値からなるキー211,212,221を格納するキー記憶手段200と、各利用者を特定する認証情報10を入力データとして受け取り、上記ロックシステムの中から、その認証情報10により特定される利用者のキーを含む数値範囲が設定されたロックを検索し、その検索により得られたロックに付された属性を返却するロックシステムアクセス手段300と、ロック体系101,102を構成する階層化された複数のロックそれぞれに数値範囲および属性を付すとともに、利用者に対応付けられたキーを設定するシステム構築手段400が備えられている。
【0010】
なお、本実施形態では、上記のように、ロックシステムを構成する2つのロック体系101,102が存在する例を挙げているが、ロック体系の数は1つでもあるいは任意の複数でもよい。ただし、ロック体系の数が複数である場合は、ロック体系相互に異なる数値範囲が割り当てられていることが好ましい。図1に示すように、本実施形態では、ロック体系101のレベル110b,111b,112bには、1〜10の数値範囲が割り当てられ、ロック体系102のレベル120b,121b,122bには、11〜20の数値範囲が割り当てられており、両者の数値範囲は重複していない。
【0011】
このように構成することにより、例えば、システム1を銀行のオンラインシステムとし、システム2をチケット販売システムとした場合に、両システム相互間の干渉を起こすことはないので、1つのロックシステム記憶手段100の中に複数のロック体系を納めることができて好ましい。
また、本実施形態では、1つのロック体系内において、1つの上層のロックに直結した1つ以上の下層のロックの各数値範囲を総合した数値範囲が1つの上層のロックの数値範囲となるように、各ロックに数値範囲が設定されるように構成されている。例えば、図1に示すように、上層のロック110に直結した下層のロック111,112の各レベル111b,112bを総合した数値範囲が上層のロック110のレベル110bとなるように、各ロック110,111,112にレベル110b,111b,112bが設定されている。
同一階層内のサブシステムのレベル相互間には、数値範囲の重なりがあってもなくてもよい。例えば、図1におけるサブシステム11およびサブシステム12のレベル111b,112bには重なりがない。この方式の場合は、利用者は、サブシステム11、サブシステム12に対するキーを別々に持つ必要がある。この方式では、キーの数が多くなる弊害はあるが、ロックの設定が容易であるという利点もある。この方式は、例えば、システム1を銀行のオンラインシステムとした時、サブシステム11を勘定系、サブシステム12を情報系という単位で設定する。
【0012】
一方、図1において、システム2のサブシステム21およびサブシステム22のレベル121b,122bには重なりがある。この方式は、1つのキーで複数のサブシステムを管理したい場合に有効である。例えば、サブシステム21を一般利用者用、サブシステム22をシステム管理者用などと設定することにより、数値15以上のキーを持つシステム管理者に対して両方のサブシステムを利用可能とすることができる。
【0013】
次に、このセキュリティ管理システム1の動作について図1を参照しながら説明する。
利用者からの認証情報10として利用者IDおよびパスワードがセキュリティ管理システム1に入力されると、セキュリティ管理システム1に備えられたロックシステムアクセス手段300は、ロックシステム記憶手段100の中から認証情報10により特定される利用者のキー211,212,221を含む数値範囲からなるロック110,111,112,120,121,122を検索し、検索によって得られたロックに付された属性20(属性110a,111a,112a,120a,121a,122aよりなる)を利用者に返却する。
【0014】
例えば、利用者Aが、自らの利用者IDおよびパスワードからなる認証情報10をセキュリティ管理システム1に入力したとすると、セキュリティ管理システム1のロックシステムアクセス手段300は、ロックシステム記憶手段100の中のロック110,111,112,120,121,122を検索し、これらの中から利用者Aの認証情報10により特定されるキー211,212を含む数値範囲からなるロック110,111,112を選び出す。また同様に、利用者Bが、自らの利用者IDおよびパスワードからなる認証情報10をセキュリティ管理システム1に入力したとすると、セキュリティ管理システム1のロックシステムアクセス手段300は、ロックシステム記憶手段100の中のロック110,111,112,120,121,122を検索し、これらの中から利用者Bの認証情報10により特定されるキー221を含む数値範囲からなるロック120およびロック121を選び出す。ここで、ロック122は、そのレベル122bが15〜20であり、利用者Bの、数値14からなるキー221とは合致しないので選び出されない。
こうして得られた情報、すなわち、その利用者には、どのシステムおよびサブシステムの利用が許可されており、どのシステム、サブシステムの利用が許可されていないかは、後述するユーザーインターフェースにより利用者に通知される。
【0015】
以上説明したように、本実施形態のセキュリティ管理システムでは、取り扱うオブジェクトを固定せずに、ロックとキーという抽象的な概念で間接的に表現するとともに、利用者のキー(数値)とロックの数値範囲とは数値の比較により行われるので、複数のアプリケーションシステムに対する汎用性を確保することができ、1つのセキュリティ管理システムで複数のアプリケーションシステムのセキュリティを総合的に管理することが可能となる。
これに反して、従来のセキュリティシステムは、利用者のキーと対象業務のロックは文字列で設定されているので、利用者と利用される業務対象は現実世界の具体的なオブジェクトに限定されるため、汎用性がなく特定のシステム専用のセキュリティシステムとならざるを得ない。
【0016】
また、従来のセキュリティシステムでは、取り扱う対象業務が例えば会議室予約システムであればビル−フロア−会議室、配車管理システムであれば事業所−車番号などというように階層構造を固定的に表現しており、個々のシステム専用のセキュリティシステムとなっている。これに対して、本実施形態のセキュリティ管理システムは、ツリー構造の対象業務をロックという抽象的な概念に置き換えて表現しているので、階層構造を持つ現実世界の対象業務を汎用的に取り扱うことができるシステムである。
なお、上記のロックは、抽象化されたものであるために利用者にとってわかりにくいのでセキュリティ管理システム内での処理にのみ用いられ、利用者に対するインターフェース上では利用者にもわかりやすい属性、例えば対象業務名などに変換してから出力される。
【0017】
次に、このセキュリティ管理システムが格納されるコンピュータハードウエアについて説明する。
図2は、本実施形態のセキュリティ管理システムが格納されるコンピュータハードウエアの概要図である。
図2には、一例として、ファイルサーバ510、プリンタサーバ520、および3台のクライアント530,540,550とが通信回線560を介して互いに接続されたコンピュータシステム500が示されている。これらの各サーバおよびクライアントはそれぞれがコンピュータシステムとして構成されており、CPU、主記憶装置、補助記憶装置などが内蔵された本体部511,521,531,541,551、各コンピュータシステムに各種の指示を入力するキーボード512,522,532,542,552、および、画面を表示して操作者に各種の情報を提供するディスプレイ513,523,533,543,553などが備えられている。
【0018】
ファイルサーバ510の本体部511には、大容量補助記憶装置514が内蔵されており、その中に本実施形態のセキュリティ管理システム1(図1参照)の、ロックシステム記憶手段100、キー記憶手段200、ロックシステムアクセス手段300、およびシステム構築手段400を有するセキュリティ管理プログラムが格納されている。
なお、システム構築手段400は、本発明のセキュリティ管理システム1に必須の手段というわけではなく、セキュリティ管理システム1を、システム構築手段400を含まない構成とし、本実施形態におけるシステム構築手段400と同様の機能を有する独立のソフトウエアを別途用意しておき、そのソフトウエアを用いて上記のロック体系を構成する階層化された複数のロックそれぞれに数値範囲および属性を付すとともに、利用者に対応付けられたキーを設定するようにしてもよい。しかし、操作性の面からは、本実施形態のようにセキュリティ管理システム1の中にシステム構築手段400を組み込んだ構成とすることが好ましい。
【0019】
セキュリティ管理システムは、プログラム記憶媒体516に記憶されており、このコンピュータシステム500にセキュリティ管理システムをセットアップする際に、ファイルサーバ510の本体部511に備えられた記憶媒体読取装置515を介して大容量補助記憶装置514内に読み込まれる。
プリンタサーバ520には、高速のプリンタ524が接続されており、このコンピュータシステム500共通の印刷装置としての役割りを担っている。
【0020】
次に、このコンピュータシステム500を用いてのセキュリティ管理システムの操作方法について説明する。
ある利用者が、図2に示したコンピュータシステム500の、いずれかのクライアント530,540,550を立ち上げ、そのキーボードから利用者IDおよびパスワードなどの認証情報を入力し、その認証情報がシステムにより正当な認証情報であるとして承認されると、その認証情報10は、ファイルサーバ510内にセットアップされたセキュリティ管理システム1(図1参照)に入力される。
セキュリティ管理システム1のロックシステムアクセス手段300は、認証情報10を入力データとして受け取り、ロックシステム記憶手段100の中から、利用者の認証情報10により特定される利用者のキーを含む数値範囲が設定されたロックを検索し、検索によって得られたロックに付された属性20を利用者に返却する。
【0021】
こうして利用者に対して、その利用者に利用が許可されたシステムあるいはサブシステムの属性20、例えば業務メニュー名などが提示される。利用者に属性20を提示するためのユーザーインターフェースとしては、セキュリティ管理システム1の中に標準的なものを組み込んでおいたものを用いてもよく、あるいはクライアントコンピュータ毎に各利用者がカスタマイズしたものを用いるようにしてもよい。
【0022】
次に、本実施形態のセキュリティ管理システムを構築をする場合に用いられる画面構成について説明する。
図3は、本実施形態のセキュリティ管理システムのメイン画面である。
図3には、メイン画面600の上側に表示された業務メニュー一覧621のウインドウおよび下側に表示された業務メニュー利用許可グループ622のウインドウが示されている。業務メニュー一覧621のウインドウにはツリー構造の各ノードに業務システム名が表示されている。業務メニュー一覧621のツリーの中で選択された業務メニューに割り当てられている利用者グループおよび利用者が下側の業務メニュー利用許可グループ622のウインドウ内に表示される。未選択時には、業務メニュー利用許可グループ622のウインドウ内は空白である。ツリー内の業務メニューアイテムをダブルクリップすることにより業務設定−編集ダイアログ(図10参照)を表示させることができる。また、下側の業務メニュー利用許可グループ622のウインドウ内のアイテムをダブルクリップすることによりその利用者グループに所属している利用者の一覧(図示せず)を表示させることができる。
【0023】
いま、業務メニュー一覧621に表示された業務システム名の中から「業務メニュー2」を選択すると、下側の業務メニュー利用許可グループ622のウインドウには、「業務メニュー2」へのアクセスが許可されている利用者グループ、すなわち、「アプリケーション開発部」、「ネットワーク管理部」、「マルチメディアシステム部」、「システムインテグレーション部」、「営業部」、「総務部」などのグループ名が表示される。
このメイン画面600を用いて、メニューバー610の[ファイル(F)]メニュー611、[編集(E)]メニュー612、[表示(V)]メニュー613、[ヘルプ(H)]メニュー614のうちのいずれか1つのメニューを選択することにより、業務メニューについてツリー構造の表示、新規登録、削除を行うことができる。なお、業務メニュー利用許可グループ622内のアイテムが選択されていない時は[編集(E)]メニュー612内の[利用不許可]コマンドは選択不可となっている。
【0024】
図4は、本実施形態のセキュリティ管理システムの[ファイル]メニュー画面である。
図4には、メイン画面600のメニューバー610の中から[ファイル(F)]メニュー611の4つのコマンド、すなわち[新規作成]コマンド611a、[開く]コマンド611b、[印刷]コマンド611c、[終了]コマンド611dの中から[新規作成]コマンド611aを選択した場合の画面の一部が示されている。[新規作成]コマンド611aを選択することにより、[利用者]、[利用者グループ]、[業務]を新規登録することができる。新規登録のための画面については後述する。
なお、本実施形態のセキュリティ管理システムでは、利用者個人だけでなく、例えば、営業部、総務部などのように利用者グループをも取り扱うことができるようになっている。
【0025】
また、[ファイル(F)]メニュー611の[開く]コマンド611bを選択することにより、業務または利用者グループの編集画面を表示させることができる。また、[印刷]コマンド611cを選択することにより、画面に表示された内容をプリンタから出力させることができる。また、[終了]コマンド611dを選択することにより[ファイル(F)]メニュー611を終了させることができる。
【0026】
図5は、本実施形態のセキュリティ管理システムの[編集]メニュー画面である。
図5には、[編集(E)]メニュー612の4つのコマンド、すなわち、[切り取り/コピー/貼り付け]、[検索]、[削除]、[利用不許可]が示されている。
【0027】
図6は、本実施形態のセキュリティ管理システムの[表示]メニュー画面である。
図6には、[表示(V)]メニュー613の3つのコマンド、すなわち、[利用者一覧]、[利用者グループ一覧]、[最新の情報に更新]が示されている。
図5および図6に示した[編集(E)]メニュー612および[表示(V)]メニュー613のコマンドの詳細についての説明は煩雑になるので省略する。
次に、利用者、利用者グループ、および業務の新規登録のための画面について説明する。図4に示したメニュー画面600のメニューバー610の中から[ファイル(F)]メニュー611の[新規作成]コマンド611aを選択すると、次の画面が表示される。
【0028】
図7は、本実施形態のセキュリティ管理システムの新規利用者の登録画面である。
図7に示すように、メイン画面600を用いて新規利用者の登録を行うことができる。
メイン画面600には、上側に業務メニュー一覧631、下側に業務メニュー利用許可グループ画面632が表示されている。メニューバー610の[ファイル(F)]メニュー611の[新規作成]コマンド611aを選択すると、[利用者]コマンド、[利用者グループ]コマンド、[業務]コマンドが表示される。
[利用者]コマンドを選択すると、図7右下に示すような新規利用者登録ウインドウ640がメイン画面600上に重ねて表示される。その中のテキストボックス641,642,643内に新規利用者のID、氏名、パスワードをそれぞれ入力し、さらに、プロパティ644として、フリガナ、所属、年齢、性別、電話番号、生年月日を入力し、[登録]ボタン645を押すことにより、新規利用者が登録される。[閉じる]ボタン646を押すことにより新規利用者の登録は終了する。
【0029】
図8は、本実施形態のセキュリティ管理システムの新規利用者グループの登録画面である。
図8に示すように、メイン画面600を用いて新規利用者グループの登録を行うことができる。
メイン画面600には、上側に業務メニュー一覧631、下側に業務メニュー利用許可グループ画面632が表示されている。メニューバー610の[ファイル(F)]メニュー611の[新規作成]コマンド611aを選択すると、[利用者]コマンド、[利用者グループ]コマンド、[業務]コマンドが表示される。
[利用者グループ]コマンドを選択すると、図8右下に示すような新規利用者グループ作成ウインドウ650がメイン画面600上に重ねて表示される。その中の新規利用者グループ名のテキストボックス651内に新規利用者グループ名を入力し、[登録]ボタン652を押すことにより、新規利用者グループが登録される。[閉じる]ボタン653を押すことにより新規利用者および新規利用者グループの登録は終了する。
【0030】
次に、新規業務の登録画面について説明する。
図9は、本実施形態のセキュリティ管理システムの新規業務の登録画面である。
図9に示すように、メイン画面600のメニューバー610の中の[ファイル(F)]メニュー611の[新規作成]コマンド611aを選択し、[業務]コマンドを実行する。図9右下に示すように、メイン画面600上に新規業務登録ウインドウ660が重ねて表示されるので、新規業務登録ウインドウ660内のテキストボックス661内に新規業務名を入力し、それに割り当てるメニューIDをコンボボックス662内で選択する。メニューIDはコンボボックス662内に表示されるものの中からのみ選択できるものとし新規入力は行えない。次いで、[登録]ボタン663を押すことにより、登録結果が業務メニュー一覧631のツリー構造に反映される。[閉じる]ボタン664を押すことにより新規業務の登録は終了する。
【0031】
次に、業務に関する利用許可の設定編集について説明する。
図10は、本実施形態のセキュリティ管理システムの業務に関する利用許可の設定編集画面である。
図8に示したメイン画面600の[業務メニュー利用許可グループ一覧]632で編集対象アイテムを選択し、次いで、図10に示すように、メイン画面600のメニューバー610の中から[ファイル(F)]メニュー611の[開く]コマンド611bを実行する。更新を行う業務メニューおよびそれに割り当てるメニューIDを、メイン画面600上に重ねて表示された業務設定−編集ウインドウ670内のテキストボックス671およびコンボボックス672にそれぞれ入力する。メニューIDはコンボボックス672内に表示されるものの中からのみ選択することができるが新規入力は行えない。次に、業務を利用することの可能な利用者グループの割り当てを行う。
業務設定−編集ウインドウ670内に表示された利用許可ボックス673a内にアクセスが許可されたグループ名の一覧が表示され、利用不許可ボックス673b内にアクセスが許可されないグループ名の一覧が表示される。許可、不許可の移動は利用許可ボックス673aと利用不許可ボックス673bとの中間に表示された[←]、[→]コマンドにより行うことができる。[登録]ボタン674を押すことにより、編集結果は、業務メニュー一覧631のツリー構造に反映される。[キャンセル]ボタン675を押すことにより業務に関する利用許可の設定編集は終了する。
【0032】
以上のようにして、図1に示した本実施形態のセキュリティ管理システム1がコンピュータシステム500(図2参照)に構築される。
各利用者は、このセキュリティ管理システムに利用者IDとパスワードよりなる認証情報を入力することにより、コンピュータシステム500内に組み込まれた複数のアプリケーションシステムについて、どのシステム、どのサブシテムが利用許可されているかを即座に知ることができる。
【0033】
【発明の効果】
以上説明したように、本発明のセキュリティ管理システムは、取り扱うオブジェクトを固定せずにロックとキーという抽象的な概念で間接的に表現しているため、利用者にとって操作性がよく、かつ複数のアプリケーションシステムのセキュリティを総合的に管理することができる汎用的なセキュリティ管理システムを実現することができる。
【図面の簡単な説明】
【図1】本発明のセキュリティ管理システムの一実施形態を示すシステム構成図である。
【図2】本実施形態のセキュリティ管理システムが格納されるコンピュータハードウエアの概要図である。
【図3】本実施形態のセキュリティ管理システムのメイン画面である。
【図4】本実施形態のセキュリティ管理システムの[ファイル]メニュー画面である。
【図5】本実施形態のセキュリティ管理システムの[編集]メニュー画面である。
【図6】本実施形態のセキュリティ管理システムの[表示]メニュー画面である。
【図7】本実施形態のセキュリティ管理システムの新規利用者の登録画面である。
【図8】本実施形態のセキュリティ管理システムの新規利用者グループの登録画面である。
【図9】本実施形態のセキュリティ管理システムの新規業務の登録画面である。
【図10】本実施形態のセキュリティ管理システムの業務に関する利用許可の設定編集画面である。
【符号の説明】
1 セキュリティ管理システム
10 認証情報
20 属性
100 ロックシステム記憶手段
101,102 ロック体系
110,111,112,120,121,122 ロック
110a,111a,112a,120a,121a,122a 属性
110b,111b,112b,120b,121b,122b レベル
200 キー記憶手段
211,212,221 キー
300 ロックシステムアクセス手段300
400 システム構築手段
500 コンピュータシステム
510 ファイルサーバ
511,521,531,541,551 本体部
512,522,532,542,552 キーボード
513,523,533,543,553 ディスプレイ
514 大容量補助記憶装置
515 記憶媒体読取装置
516 プログラム記憶媒体
520 プリンタサーバ
524 プリンタ
530,540,550 クライアント
560 通信回線
600 メイン画面
610 メニューバー
611 [ファイル(F)]メニュー
611a [新規作成]コマンド
611b [開く]コマンド
611c [印刷]コマンド
611d [終了]コマンド
612 [編集(E)]メニュー
613 [表示(V)]メニュー
614 [ヘルプ(H)]メニュー
621 業務メニュー一覧
622 業務メニュー利用許可グループ
631 業務メニュー一覧
632 業務メニュー利用許可グループ画面
640 新規利用者登録ウインドウ
641,642,643 テキストボックス
644 プロパティ
645 [登録]ボタン
646 [閉じる]ボタン
650 新規利用者グループ作成ウインドウ
651 テキストボックス
652 [登録]ボタン
653 [閉じる]ボタン
660 新規業務登録ウインドウ
661 テキストボックス
662 コンボボックス
663 [登録]ボタン
664 [閉じる]ボタン
670 業務設定−編集ウインドウ
671 テキストボックス
672 コンボボックス
673a 利用許可ボックス
673b 利用不許可ボックス
674 [登録]ボタン
675 [キャンセル]ボタン
[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a security management system for managing security of an application system of a computer.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, with regard to processing functions provided in a computer application system, it has been widely performed to manage the security of the application system by setting whether to allow the use of the processing function for each user. . In recent security management systems, a GUI (Graphic User Interface) technique is used to display processing functions that are allowed to be accessed on a menu screen in a form that is easy for the user to understand. For example, among the processing functions, the processing functions allowed for the user and the processing functions not allowed are displayed in different display colors, or the processing functions not allowed are displayed in halftone. It has been broken.
[0003]
[Problems to be solved by the invention]
In order to perform such security management, it is necessary to set the access authority for each user and store the setting result in the application system for a plurality of processing functions provided in the application system of the computer. There is. Here, when a plurality of application systems are incorporated in the computer, it is necessary to set the access authority of each user for each processing function of each application system.
In addition, the user needs to store, for example, a user ID for authenticating his / her access authority set in each application system to the computer.
[0004]
For example, if a conference room reservation system and a vehicle allocation management system are incorporated in a certain computer system, a user of this computer system needs to use a user ID set for each of these two application systems. Also, for example, when the conference room reservation system is started up using the user ID of the conference room reservation system and the conference room reservation process is executed, if the vehicle allocation management process is performed at the same time, the user ID of the vehicle allocation management system again uses the user ID of the vehicle allocation management system. Such a security system becomes very troublesome for the user as the number of application systems increases, such as the need to log in.
In addition, the construction of such a security system for each application system is also extremely complicated for the computer system side, and in order to maintain the security system in accordance with the version upgrade of the application system or the change of user personnel. However, there is a problem that a great deal of cost and time are required.
In view of the circumstances described above, an object of the present invention is to provide a general-purpose security management system that is easy to operate for a user and that can easily construct a security system for a plurality of application systems.
[0005]
[Means for Solving the Problems]
The security management system of the present invention that achieves the above-described object is as follows.
A numerical range is set for each lock corresponding to each node of the tree structure, and an attribute specifying each lock is added to each lock, and the user of each lock is defined by the numerical range set for each lock. And a lock system associated with the application system, which is composed of a plurality of layered locks, characterized by the attribute added to each lock, and the hierarchical structure of the application system. A lock system storage means for storing a lock system in which a numerical system is set for an application system and an attribute is added to the lock system.
[0006]
Key storage means for storing a numerical key associated with each user;
Authentication information that identifies each user is received as input data, and a lock in which a numerical range including the user's key specified by the authentication information is set is searched from the lock system. And a lock system access means for returning the attribute attached to the lock.
In this security management system, an application system user is abstracted and expressed as an object “key” (key), and a target business to be used is expressed as an object “lock” (lock). Each “Lock” has a numerical value range. Compare the “Key” consisting of numerical values with the “Lock” numerical value range, and check whether the “Key” is included in the “Lock” range. Thus, it is determined whether or not the “lock” is opened, that is, whether or not the user is allowed to use.
[0007]
Here, it is preferable that the security management system is configured such that when there are a plurality of lock systems constituting the lock system, different numerical ranges are assigned to the plurality of lock systems.
In addition, in this security management system, a numerical range obtained by combining the numerical ranges of one or more lower-layer locks directly connected to one upper-layer lock in one lock system is a single upper-layer lock numerical range. As described above, it is also a preferable aspect that a numerical value range is set for each lock.
Further, the security management system includes a system construction means for assigning a numerical range and an attribute to each of a plurality of hierarchized locks constituting the lock system and setting a key associated with the user. It is also preferable that there is.
[0008]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described.
FIG. 1 is a system configuration diagram showing an embodiment of a security management system of the present invention.
As shown in FIG. 1, the security management system 1 includes levels 110b, 111b, 112b, 120b, each having a numerical range for each lock 110, 111, 112, 120, 121, 122 corresponding to each node of the tree structure. 121b and 122b are set, and attributes 110a, 111a, 112a, 120a, 121a, and 122a for specifying these locks are added to the locks 110, 111, 112, 120, 121, and 122, and the locks are set for the locks. The users of each lock are defined by the levels 110b, 111b, 112b, 120b, 121b, and 122b, and the attributes 110a, 111a, 112a, 120a, 121a, and 122a are added to the locks. System and Hierarchy of the application system is characterized, a plurality of lock 110,111,112,120,121,122 stratified, is constructed as a locking system 101, 102 associated with the application system.
[0009]
In this security management system 1, levels 110b, 111b, 112b, 120b, 121b, 122b, which are numerical ranges for application systems, are set in the locks 110, 111, 112, 120, 121, 122 and attributes 111a, 111a, 112a, 120a, 121a, 122a, and a lock system storage means 100 for storing a lock system formed by a collection of two lock systems 101, 102, and numerical values associated with each user. The key storage means 200 for storing the keys 211, 212, and 221 and the authentication information 10 for specifying each user are received as input data, and the user's key specified by the authentication information 10 is selected from the lock system. Search for locks with a numeric range that includes The lock system access means 300 for returning the attribute attached to the lock obtained by the above search, and a numerical range and an attribute are attached to each of the plurality of hierarchized locks constituting the lock systems 101 and 102, and to the user A system construction means 400 for setting the associated key is provided.
[0010]
In the present embodiment, as described above, an example in which the two lock systems 101 and 102 constituting the lock system exist is given, but the number of lock systems may be one or any plural number. However, when there are a plurality of lock systems, it is preferable that different numerical ranges are assigned to the lock systems. As shown in FIG. 1, in the present embodiment, a numerical range of 1 to 10 is assigned to the levels 110b, 111b, and 112b of the lock system 101, and 11 to 11 are assigned to the levels 120b, 121b, and 122b of the lock system 102. A numerical range of 20 is assigned, and the numerical ranges of both do not overlap.
[0011]
With this configuration, for example, when the system 1 is a bank online system and the system 2 is a ticket sales system, there is no interference between the two systems. It is preferable that a plurality of lock systems can be accommodated in the.
Further, in the present embodiment, in one lock system, a numerical range in which the numerical ranges of one or more lower-layer locks directly connected to one upper-layer lock are combined becomes a single upper-layer lock numerical range. In addition, a numerical value range is set for each lock. For example, as shown in FIG. 1, each lock 110, so that the total numerical range of the levels 111 b and 112 b of the lower locks 111 and 112 directly connected to the upper lock 110 becomes the level 110 b of the upper lock 110. Levels 110b, 111b, and 112b are set for 111 and 112, respectively.
There may or may not be overlapping numerical ranges between levels of subsystems in the same hierarchy. For example, there is no overlap between the levels 111b and 112b of the subsystem 11 and the subsystem 12 in FIG. In the case of this method, the user needs to have keys for the subsystem 11 and the subsystem 12 separately. This method has an adverse effect of increasing the number of keys, but also has an advantage of easy lock setting. In this method, for example, when the system 1 is a bank online system, the subsystem 11 is set in units of accounts and the subsystem 12 is set as information.
[0012]
On the other hand, in FIG. 1, there is an overlap in the levels 121b and 122b of the subsystem 21 and the subsystem 22 of the system 2. This method is effective when it is desired to manage a plurality of subsystems with one key. For example, by setting the subsystem 21 for a general user and the subsystem 22 for a system administrator, both subsystems can be made available to a system administrator having a key of 15 or more. it can.
[0013]
Next, the operation of the security management system 1 will be described with reference to FIG.
When the user ID and password are input to the security management system 1 as the authentication information 10 from the user, the lock system access means 300 provided in the security management system 1 reads the authentication information 10 from the lock system storage means 100. The locks 110, 111, 112, 120, 121, 122 having a numerical range including the user's keys 211, 212, 221 specified by the above are searched, and the attribute 20 (attribute 110 a) attached to the lock obtained by the search is searched. , 111a, 112a, 120a, 121a, 122a) is returned to the user.
[0014]
For example, when the user A inputs the authentication information 10 including his / her user ID and password to the security management system 1, the lock system access unit 300 of the security management system 1 stores the lock information in the lock system storage unit 100. The locks 110, 111, 112, 120, 121, and 122 are searched, and the locks 110, 111, and 112 having a numerical range including the keys 211 and 212 specified by the authentication information 10 of the user A are selected from these. Similarly, if the user B inputs the authentication information 10 including his / her user ID and password to the security management system 1, the lock system access unit 300 of the security management system 1 stores the lock system storage unit 100. The locks 110, 111, 112, 120, 121, and 122 are searched, and the lock 120 and the lock 121 having a numerical value range including the key 221 specified by the authentication information 10 of the user B are selected from these. Here, the lock 122 is not selected because its level 122b is 15 to 20 and does not match the key 221 consisting of the numerical value 14 of the user B.
Information obtained in this way, that is, the user is allowed to use which system and subsystem, and which system and subsystem are not allowed to be used. Be notified.
[0015]
As described above, in the security management system according to the present embodiment, the objects to be handled are not fixed, but indirectly expressed by an abstract concept of lock and key, and the user's key (numerical value) and lock numerical value are also expressed. Since the range is performed by comparing numerical values, versatility for a plurality of application systems can be ensured, and the security of a plurality of application systems can be comprehensively managed by one security management system.
On the other hand, in the conventional security system, the user's key and the target business lock are set as character strings, so the business target used by the user is limited to specific objects in the real world. For this reason, there is no general purpose and the security system must be dedicated to a specific system.
[0016]
In addition, in the conventional security system, the hierarchical structure is fixedly expressed as, for example, a building-floor-conference room if the target business is a conference room reservation system, or an office-vehicle number if it is a vehicle allocation management system. It is a security system dedicated to each system. On the other hand, the security management system of the present embodiment expresses the target business in the tree structure by replacing it with the abstract concept of lock, so that the target business in the real world having a hierarchical structure can be handled universally. It is a system that can.
Note that the above lock is an abstraction that is difficult for the user to understand, so it is used only for processing within the security management system, and is easy for the user to understand on the user interface, for example, the target business Output after being converted to a name.
[0017]
Next, computer hardware in which this security management system is stored will be described.
FIG. 2 is a schematic diagram of computer hardware in which the security management system of this embodiment is stored.
As an example, FIG. 2 shows a computer system 500 in which a file server 510, a printer server 520, and three clients 530, 540, and 550 are connected to each other via a communication line 560. Each of these servers and clients is configured as a computer system, and main units 511, 521, 531, 541, 551 incorporating a CPU, a main storage device, an auxiliary storage device, etc., and various instructions to each computer system. Keyboards 512, 522, 532, 542, and 552, and displays 513, 523, 533, 543, 553, and the like that display a screen and provide various information to the operator.
[0018]
The main body 511 of the file server 510 has a built-in large-capacity auxiliary storage device 514, which includes the lock system storage unit 100 and the key storage unit 200 of the security management system 1 (see FIG. 1) of the present embodiment. A security management program having a lock system access unit 300 and a system construction unit 400 is stored.
The system construction unit 400 is not essential to the security management system 1 of the present invention. The security management system 1 does not include the system construction unit 400 and is the same as the system construction unit 400 in this embodiment. Independent software with the above functions is prepared separately, and using that software, a numerical range and an attribute are attached to each of the plurality of layered locks constituting the above-mentioned lock system, and associated with the user. It is also possible to set the designated key. However, from the viewpoint of operability, it is preferable that the system construction unit 400 is incorporated in the security management system 1 as in the present embodiment.
[0019]
The security management system is stored in the program storage medium 516. When the security management system is set up in the computer system 500, the security management system has a large capacity via the storage medium reader 515 provided in the main body 511 of the file server 510. It is read into the auxiliary storage device 514.
A high-speed printer 524 is connected to the printer server 520 and plays a role as a printing apparatus common to the computer system 500.
[0020]
Next, a method for operating the security management system using the computer system 500 will be described.
A user starts one of the clients 530, 540, and 550 of the computer system 500 shown in FIG. 2, and inputs authentication information such as a user ID and a password from the keyboard. If the authentication information 10 is approved as valid authentication information, the authentication information 10 is input to the security management system 1 (see FIG. 1) set up in the file server 510.
The lock system access means 300 of the security management system 1 receives the authentication information 10 as input data, and a numerical range including the user key specified by the user authentication information 10 is set from the lock system storage means 100. The obtained lock is searched, and the attribute 20 attached to the lock obtained by the search is returned to the user.
[0021]
In this way, the user is presented with the attributes 20 of the system or subsystem that the user is permitted to use, such as the business menu name. As a user interface for presenting the attribute 20 to a user, a standard interface incorporated in the security management system 1 may be used, or a user interface customized for each client computer May be used.
[0022]
Next, the screen configuration used when constructing the security management system of this embodiment will be described.
FIG. 3 is a main screen of the security management system of this embodiment.
FIG. 3 shows a window of a business menu list 621 displayed on the upper side of the main screen 600 and a window of a business menu use permission group 622 displayed on the lower side. In the business menu list 621 window, business system names are displayed at each node of the tree structure. The user group and user assigned to the business menu selected in the business menu list 621 tree are displayed in the lower business menu use permission group 622 window. When not selected, the window of the work menu use permission group 622 is blank. A business setting-edit dialog (see FIG. 10) can be displayed by double-clipting the business menu item in the tree. In addition, a list (not shown) of users belonging to the user group can be displayed by double-clipping items in the window of the lower business menu use permission group 622.
[0023]
If “business menu 2” is selected from the business system names displayed in the business menu list 621, access to “business menu 2” is permitted in the window of the business menu use permission group 622 on the lower side. Group names such as “Application Development Department”, “Network Management Department”, “Multimedia System Department”, “System Integration Department”, “Sales Department”, “General Affairs Department”, etc. .
Using the main screen 600, the [File (F)] menu 611, [Edit (E)] menu 612, [Display (V)] menu 613, and [Help (H)] menu 614 of the menu bar 610 are used. By selecting any one menu, the tree structure can be displayed, newly registered, or deleted with respect to the business menu. When an item in the work menu use permission group 622 is not selected, the [use not permitted] command in the [edit (E)] menu 612 cannot be selected.
[0024]
FIG. 4 is a [File] menu screen of the security management system of this embodiment.
In FIG. 4, four commands of the [File (F)] menu 611 from the menu bar 610 of the main screen 600, that is, a [New] command 611a, an [Open] command 611b, a [Print] command 611c, and [Exit]. ] Shows a part of the screen when the [New] command 611a is selected from the command 611d. By selecting the [New] command 611a, [User], [User Group], and [Business] can be newly registered. The screen for new registration will be described later.
In the security management system of the present embodiment, not only individual users but also user groups such as sales departments and general affairs departments can be handled.
[0025]
Also, by selecting the [Open] command 611b in the [File (F)] menu 611, an edit screen for business or user group can be displayed. Also, by selecting the [Print] command 611c, the content displayed on the screen can be output from the printer. Further, the [File (F)] menu 611 can be terminated by selecting the [Exit] command 611d.
[0026]
FIG. 5 shows the [Edit] menu screen of the security management system of this embodiment.
FIG. 5 shows four commands of the [Edit (E)] menu 612, that is, [Cut / Copy / Paste], [Search], [Delete], and [Unauthorized].
[0027]
FIG. 6 is a [Display] menu screen of the security management system of this embodiment.
FIG. 6 shows three commands of the [Display (V)] menu 613, that is, [User List], [User Group List], and [Update to Latest Information].
The detailed description of the commands in the [Edit (E)] menu 612 and the [Display (V)] menu 613 shown in FIGS.
Next, a screen for newly registering a user, a user group, and a job will be described. When the [New] command 611a of the [File (F)] menu 611 is selected from the menu bar 610 of the menu screen 600 shown in FIG. 4, the following screen is displayed.
[0028]
FIG. 7 is a new user registration screen of the security management system of this embodiment.
As shown in FIG. 7, a new user can be registered using the main screen 600.
On the main screen 600, a business menu list 631 is displayed on the upper side, and a business menu use permission group screen 632 is displayed on the lower side. When the [Create New] command 611a in the [File (F)] menu 611 on the menu bar 610 is selected, a [User] command, [User Group] command, and [Business] command are displayed.
When the [User] command is selected, a new user registration window 640 as shown in the lower right of FIG. Enter the new user's ID, name, and password in the text boxes 641, 642, and 643, and enter the reading, affiliation, age, gender, phone number, and date of birth as the property 644. A new user is registered by pressing the [Register] button 645. By pressing the “Close” button 646, the registration of a new user is completed.
[0029]
FIG. 8 is a registration screen for a new user group in the security management system of this embodiment.
As shown in FIG. 8, a new user group can be registered using the main screen 600.
On the main screen 600, a business menu list 631 is displayed on the upper side, and a business menu use permission group screen 632 is displayed on the lower side. When the [Create New] command 611a in the [File (F)] menu 611 on the menu bar 610 is selected, a [User] command, [User Group] command, and [Business] command are displayed.
When the [User Group] command is selected, a new user group creation window 650 as shown in the lower right of FIG. 8 is displayed over the main screen 600. A new user group name is registered in the text box 651 of the new user group name in the new user group name, and a [Register] button 652 is pressed. By pressing the [Close] button 653, registration of a new user and a new user group is completed.
[0030]
Next, a new business registration screen will be described.
FIG. 9 is a new job registration screen of the security management system of this embodiment.
As shown in FIG. 9, the [New] command 611a of the [File (F)] menu 611 in the menu bar 610 of the main screen 600 is selected, and the [Business] command is executed. As shown in the lower right of FIG. 9, since a new business registration window 660 is displayed on the main screen 600, a new business name is entered in a text box 661 in the new business registration window 660, and a menu ID assigned to it is entered. Is selected in the combo box 662. The menu ID can be selected only from those displayed in the combo box 662, and new input cannot be performed. Next, a registration result is reflected in the tree structure of the business menu list 631 by pressing a [Register] button 663. The registration of a new business is completed by pressing a “Close” button 664.
[0031]
Next, usage permission setting editing related to work will be described.
FIG. 10 is a setting edit screen for permission to use related to the business of the security management system of this embodiment.
8, an item to be edited is selected in the “business menu use permission group list” 632 of the main screen 600 shown in FIG. 8, and then, as shown in FIG. ] [Open] command 611b of menu 611 is executed. The business menu to be updated and the menu ID assigned thereto are input to the text box 671 and the combo box 672 in the business setting-editing window 670 displayed superimposed on the main screen 600, respectively. The menu ID can be selected only from those displayed in the combo box 672, but new input cannot be performed. Next, a user group that can use the business is assigned.
A list of group names permitted to access is displayed in a use permission box 673a displayed in the job setting-edit window 670, and a list of group names not permitted to access is displayed in a use disapproval box 673b. Permitted / unpermitted movement can be performed by [←] and [→] commands displayed between the use permission box 673a and the use disapproval box 673b. By pressing the [Register] button 674, the editing result is reflected in the tree structure of the business menu list 631. By pressing a [Cancel] button 675, the use permission setting editing for the work is completed.
[0032]
As described above, the security management system 1 of this embodiment shown in FIG. 1 is constructed in the computer system 500 (see FIG. 2).
Each user inputs authentication information including a user ID and a password to this security management system, and which system and which sub-system are permitted to be used for a plurality of application systems incorporated in the computer system 500. Can know immediately.
[0033]
【The invention's effect】
As described above, the security management system of the present invention indirectly expresses the object to be handled by the abstract concept of lock and key without fixing, so that the operability is good for the user and a plurality of A general-purpose security management system capable of comprehensively managing the security of the application system can be realized.
[Brief description of the drawings]
FIG. 1 is a system configuration diagram showing an embodiment of a security management system of the present invention.
FIG. 2 is a schematic diagram of computer hardware storing a security management system according to the present embodiment.
FIG. 3 is a main screen of the security management system of the present embodiment.
FIG. 4 is a [File] menu screen of the security management system of the present embodiment.
FIG. 5 is an [Edit] menu screen of the security management system of the present embodiment.
FIG. 6 is a [Display] menu screen of the security management system of the present embodiment.
FIG. 7 is a registration screen for a new user in the security management system of the present embodiment.
FIG. 8 is a registration screen for a new user group in the security management system of the present embodiment.
FIG. 9 is a new job registration screen of the security management system according to the present embodiment;
FIG. 10 is a setting edit screen for permission to use related to the business of the security management system according to the present embodiment;
[Explanation of symbols]
1 Security management system
10 Authentication information
20 attributes
100 Lock system storage means
101,102 Lock system
110, 111, 112, 120, 121, 122 lock
110a, 111a, 112a, 120a, 121a, 122a attributes
110b, 111b, 112b, 120b, 121b, 122b levels
200 key storage means
211, 212, 221 keys
300 Lock system access means 300
400 System construction means
500 computer system
510 File Server
511, 521, 531, 541, 551 Body
512,522,532,542,552 keyboard
513, 523, 533, 543, 553 display
514 Large capacity auxiliary storage
515 Storage medium reader
516 program storage medium
520 Printer server
524 Printer
530, 540, 550 clients
560 communication line
600 Main screen
610 Menu bar
611 [File (F)] menu
611a [New] command
611b [Open] command
611c [Print] command
611d [END] command
612 [Edit (E)] menu
613 [Display (V)] menu
614 [Help (H)] menu
621 Business Menu List
622 Business Menu Use Permitted Group
631 Business Menu List
632 Business Menu Use Permitted Group Screen
640 New user registration window
641, 642, 643 text box
644 properties
645 [Register] button
646 [Close] button
650 New user group creation window
651 text box
652 [Register] button
653 [Close] button
660 New business registration window
661 text box
662 combo box
663 [Register] button
664 [Close] button
670 Business Settings-Edit window
671 text box
672 Combo box
673a Use permission box
673b Unauthorized use box
674 [Register] button
675 [Cancel] button

Claims (2)

ツリー構造の各ノードに相当する各ロックに数値範囲が設定されるとともに、各ロックに、該各ロックを特定する属性が付加され、各ロックに設定される数値範囲により該各ロックの利用者が規定されるとともに、各ロックに付加される属性により、アプリケーションシステムおよび該アプリケーションシステムの階層構造が特徴付けられる、階層化された複数のロックからなる、アプリケーションシステムに対応付けられるロック体系であって、各ロックにアプリケーションシステム用に数値範囲が設定されるとともに属性が付加されてなるロック体系が1つ以上集合してなるロックシステムであり、かつ、該ロックシステムを構成するロック体系が複数存在する場合には、これら複数のロック体系に相互に異なる数値範囲が割り当てられてなるロックシステムが格納されたロックシステム記憶手段と、
各利用者に対応付けられた、数値からなるキーが格納されたキー記憶手段と、
各利用者を特定する認証情報を入力データとして受け取り、前記ロックシステムの中から、該認証情報により特定される利用者のキーを含む数値範囲が設定されたロックを検索し、該検索により得られたロックに付された属性を返却するロックシステムアクセス手段とを備えたことを特徴とするセキュリティ管理システム。
A numerical range is set for each lock corresponding to each node of the tree structure, and an attribute for specifying each lock is added to each lock, and the user of each lock is determined by the numerical range set for each lock. A lock system associated with an application system, comprising a plurality of layered locks, characterized and characterized by an attribute added to each lock and the hierarchical structure of the application system and the application system, When the lock system is a set of one or more lock systems in which a numerical range is set for each lock and an attribute is added to each lock , and there are multiple lock systems that constitute the lock system Are assigned different numerical ranges to these multiple locking systems. A locking system storage means locking system is stored comprising,
Key storage means for storing a numerical key associated with each user;
Authentication information specifying each user is received as input data, and a lock in which a numerical range including a user key specified by the authentication information is set is searched from the lock system, and obtained by the search. A security management system comprising: a lock system access means for returning an attribute attached to the lock.
1つのロック体系内において、1つの上層のロックに直結した1つ以上の下層のロックの各数値範囲を総合した数値範囲が該1つの上層のロックの数値範囲となるように、各ロックに数値範囲が設定されてなるものであることを特徴とする請求項1記載のセキュリティ管理システム。Within a single lock system, each lock has a numerical value such that the total numerical range of the numerical values of one or more lower layer locks directly connected to one upper layer lock is the numerical range of the single upper layer lock. The security management system according to claim 1, wherein a range is set.
JP17053598A 1998-06-04 1998-06-04 Security management system Expired - Fee Related JP3628876B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP17053598A JP3628876B2 (en) 1998-06-04 1998-06-04 Security management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP17053598A JP3628876B2 (en) 1998-06-04 1998-06-04 Security management system

Publications (2)

Publication Number Publication Date
JPH11353277A JPH11353277A (en) 1999-12-24
JP3628876B2 true JP3628876B2 (en) 2005-03-16

Family

ID=15906726

Family Applications (1)

Application Number Title Priority Date Filing Date
JP17053598A Expired - Fee Related JP3628876B2 (en) 1998-06-04 1998-06-04 Security management system

Country Status (1)

Country Link
JP (1) JP3628876B2 (en)

Also Published As

Publication number Publication date
JPH11353277A (en) 1999-12-24

Similar Documents

Publication Publication Date Title
US5956715A (en) Method and system for controlling user access to a resource in a networked computing environment
EP1625691B1 (en) System and method for electronic document security
JP3108419B2 (en) How to operate a collaborative system consisting of multiple workstations
US5761669A (en) Controlling access to objects on multiple operating systems
US5990892A (en) Administrative interface for a database in a distributed computer environment
US7730182B2 (en) System and method for integrating management of components of a resource
US20080235249A1 (en) Hierarchy global management system and user interface
JP5707250B2 (en) Database access management system, method, and program
US20050065933A1 (en) System and method for customizing form elements in a form building application
US20120246115A1 (en) Folder structure and authorization mirroring from enterprise resource planning systems to document management systems
JP4275772B2 (en) Database system, data management method, and recording medium recording data management software
AU2004258511A1 (en) System and method for electronically managing composite documents
CN101196896A (en) Document providing system and method
JP2003006194A (en) Database access control system
US7979463B2 (en) Database system and method for access control and workflow routing
US20070043716A1 (en) Methods, systems and computer program products for changing objects in a directory system
CN113139010A (en) Digitalized management system for bidding agent service information
JP3233058B2 (en) Document management system
US20060010118A1 (en) System and method for role-based spreadsheet data integration
JP2011198245A (en) Document management system
US20150081834A1 (en) Information processing system and method
JPH1153243A (en) Computer system and medium recording processing program thereof
US20060184511A1 (en) Semantic network document container for use in attestation of management reports
US8726336B2 (en) Authorizations for analytical reports
US20040260699A1 (en) Access management and execution

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040511

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20040914

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041112

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20041117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20041207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20041209

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071217

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081217

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091217

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091217

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101217

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111217

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111217

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121217

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121217

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131217

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees