WIPO专利WO1991004533A1 Security management method in a decentralized data base system

专利PDF首页>>WIPO专利

专利附录

专利说明

权利要求

类似技术

同族专利

引用文献

法律状态

优先权

专利摘要:

公开号:WO1991004533A1
申请号:PCT/JP1990/001163
申请日:1990-09-11
公开日:1991-04-04
发明作者:Gen Kakehi；Tadamitsu Ryu；Yoshio Mogi；Takanori Fukatsu；Hiroshi Araki；Yoshiaki Kusaba；Masahiko Murakawa；Toshio Takahara；Shingo Hirono；Takashi Ohshiro；Tohru Matsumoto；Jiroh Ohishi；Mamoru Endo；Mineo Gamoh；Toshitsugu Tanida；Takashi Ohya；Tomohiro Hagiya
申请人:Fujitsu Limited；
IPC主号:G06F21-00

专利说明:
[0001] 明細書
[0002] 〔発明の名称〕
[0003] 分散型データベースシステムにおけるセキュリティ管理方法
[0004] 〔技術の分野〕
[0005] 本発明は，公衆網などの通信ネットワークに接続された分散型データベースシステムにおいてその端末やデータベースなどの資源にアクセスする際のデ一夕の破壊防止や機密性の保持のためのセキユリティ管理方法に閩する。
[0006] セキュリティ管理には，端末に対する通信ァクセスのセキュリティ管理，データベースに対する利用アクセスのセキュリティ管理などがあり，具体的には端末やデータベースのレベルと利用者のアクセス権の管理やパスワードの管理，データベースのデータ自体の保護などが行われる。
[0007] 〔技術の背景〕
[0008] 従来のデータベースシステムは，管理形態から見た場合，集中型データベースシステムと分散型デ一タベースシステムとに分けることができる。
[0009] 集中型データベースシステムは，全てのデータべースをセンタホストで一元管理させ，ネットワークの各端末はセンタホストにアクセスして必要な情報を検索するものであり，管理と検索が容易て'ある反面，データベースへのアクセスが基本的には開放型管理となって原則許可，特別な場合に禁止となるため複雑なデータベースのセキュリティ管理が容易である一方誤処理が起こり易い欠点をもつ。
[0010] また分散型ネットワークシステムは，データべ一スを分割してネットワーク内の各端末に分散管理させるもので，データベースのアクセスは目的のデータベースを管理する特定の端末に対して行わなければならず，データベースの管理及び検索が多元的になって難しくなる反面，端末内のデータベースは基本的に非開放型の管理となり，他端末からのァクセス要求は原則禁止で，特に許可を受けた場合に認めることになるため，セキュリティ管理が容易であるという利点をもつ。しかし，各端末での管理が独立しているため複数の端末からなるグループを単独にデータベースへのアクセスを許可 _/ /不許可にするようなセキュリティ管理を行おうとすると，各端末へのセキュリティ管理情報の設定や更新に手間がかかるという欠点があつた。
[0011] 特に最近では，全国規模で公衆網に接続された分散型データベースシステムが種々構築されるようになってきている。このようなシステムでは，各端末がデータを作成すると，自身で蓄積管理するとともに，その一部あるいは全部を地域ブロックや業務系統别などの特定ターミナルグループ内でのみ相互の利用を可能にしている場合が多い。そしてこのような複数のタ一ミナルからなるグループ内のデータベースを対象とするセキュリティ管理を効率的に行う必要性が高まつている。
[0012] 第 43 A図は従来技術説明図である。
[0013] 第 43 A図において， 137は公衆網， 138及び 139 はグループ制ラベル， 140はメンバー制ラベルである。
[0014] 従来の公衆網に接続されたシステムにおけるセキユリティ保持方式には，図示の如く，グループ制ラベル方式とメンバー制ラベル方式とがある。
[0015] グループ制ラベル方式は，グループ（会社や学校）のシステムで決定されるラベル（名前）を用いて，当該グループのシステムを定義する。例えば， A社システム（2) はグループ制ラベル 138 とされ， B校のシステム（3) はグループ制ラベル 139 とされる。そして，利用者が A社のシステム又はグループ制ラベル 138 にアクセスするためには，利用者のパスヮ一ドが当該グループ制ラベル 138 の条件に合致している必要がある。
[0016] メンバー制ラベル方式は，異なったグループ制ラベル 138 , 139間で共通事項を持つた利用者が集合して定義されるラベルを用いて，グループのシステムとは異なるシステムを定義する。例えば，異なるグループ制ラベル 138 , 139からメンバーが集まつてプロジェクト Xを行う際に，その集合がメンバー制ラベル 140 とされる。そして，利用者即ちパスワードがメンバー制ラベル 140 として定義されていれば，当該ラベル 139 内でのアクセスが可能となる。
[0017] なお，図中， a ないし hは，利用者が用いるセキユリティのためのパスワード，又は，利用者によりパスワードを入力されたターミナルである（以下，単にパスワードという）。換言すれば，パスワードを持ち（知り），ターミナルを使用する利用者である。
[0018] これによれば，グループ制ラベル 138 を構成するバスワード a , b , c及び d は，公衆網 137 を介して，互いにアクセスすることができる。同様に，グループ制ラベル 138 を構成するパスワード e , f , g及び hは，公衆網 137 を介して，互いにアクセスすることができる。また，グループ制ラベル 138 及び 138 間では通常ァクセスできない力く，メンバ一制ラベル 140 を構成するパスワード d， f , g , 及び hは，公衆網 137 を介して，互いにアクセスすることができる。
[0019] ところが，グループ制ラベル 137， 138のいずれにも属していない（定義されていない）パスヮ一ド i が, 第 5図図示の如く，グループ制ラベル 137 又は 138 のいずれかのパスワード，例えば e との間で通信する必要が生じた場合 > 次の如き問題がある。即ち，ノ、：スワード i は，グループ制ラベル 137 にァクセスすることができない。また，仮に，グループ制ラベル 137 ( B校のシステム）にアクセスできたとしても，当該ラベル 137 内の他のパスワード f , g 及び hに対するセキユリティを保つことができないという問題があった。
[0020] また従来から，公衆網に接続されているパソコン通信などにおいて個人 I D とパスヮ一ドとを与えて通信する方法が知られている。また専用線をもうけて，所定の相手との間で閉域接続する L A Nや W A Nなどが知られている。
[0021] 上記公衆網を用いる場合には，いわば全国内が 1 つのグループであり，上記パスヮードをもって通信する者すべてに対して，夫々の端末が所有する資源がいわば解放される形となる。また後者の場合には, 専用線をもうけることから，通信相手が例えば地域的に限定されることとなる。
[0022] そして，公衆網と専用線との間での通信が複雑となり，また 1 つの専用線で結ばれるネットワークと他の専用線で結ばれるネットワークとの間の通信も複雑となる。そのため，通信線の種類に影響されることなく，画像情報などの大量のデータを容易に伝送できるようにすることが望まれる。
[0023] また従来の分散型データベースシステムでは，利用者の資格検査は，
[0024] ① 利用者が直接操作する端末の計算機で検査する。 ② システム内の特定の端末の計算機で集中的に検査する，
[0025] のいずれかの方法で行っている。
[0026] ある利用者がシステムを利用するにあたり，直接操作する端末を特定できない場合，
[0027] ①に対しては，全利用者の資格情報をシステム内の全端末で維持する必要があり，端末間での同一性の確保が難しいこと，また，
[0028] ②に対しては，資格情報を持たない端末の利用者が資格情報を変更する手続きが複雑になること，という問題があつた。
[0029] また従来のシステムでは，データベースに貯蔵されているプログラム，データ，業務，その他のデータベース操作について，その重要度あるいは機密性に応じたランク付けをしてセキュリティを施している。
[0030] 従来のこの種のセキュリティ管理方法では，処理に対して，その重要度，機密性，あるいは要/不要などの評価基準，組織の行動基準に沿ったランク付けを施し，ランク付けされた各処理にアクセスできるユーザを設定する方法がとられている。
[0031] 例えば，上記ランクとして，下位 1から上位 5まで 5 ランク（1 , 2 , 3 , 4 , 5)を設定し， S 1 , S 2 S 3 , S 4 , S 5 , S 6 , S 7 の処理について，処理 SI S2 S3 S4 S5 S6 S7
[0032] I
[0033] ランク 1 2 4 3 5 l
[0034] (下位' - 1 2 3 4 5 - 上位）とし，利用者である甲さんのランク力く「 3 」，乙さんのランク力「 2 」であるとする。
[0035] そうすると，甲さんが実行できる処理はランクが 3以下の S l > S 2 , S 4 , S 7であり，一方乙さんの実行可能な処理はランクが 2以下の S I , S 2 S 7 となる。
[0036] ところで，仕事の都合上乙さん（ランク 2 ) に対してそれより上位の処理 S 3 (ランク 4 ) を実行してもらわなければならなくなったとしたとき，乙さんのランクを "4"に上げると，乙さんはランク 4以下の全ての処理 S I , S 2 , S 3 , S 4 , S 6 , S 7にアクセスできるようになる。しかし，このうちの処理 S 3 , S 4 , S 6 は本来，乙さんに対してァクセスを禁止されている（プロテクトされている）処理であって，処理 S 3を実行してもらうことは可能となるが，処理 S 4 , S 6にまでアクセスされては困ることになる。
[0037] このように，従来の技術では上位にランクされた処理について必要に投じて選択的にァクセス可能にプロテクトを変更することができないという問題があった。また従来のシステムでは，利用者 I D (利用者識別コード）とパスワードとを用いて利用資格をチェックすることが行われている。
[0038] しかし， I D番号，パスワードが第 3者に解読されたり漏れた場合，システムへ容易にアクセスすることができ，不当にデータが盗まれる欠点があった。またバスヮードは 1個人に付き 1 パスワードの割り当てで，システムアクセス要求時においてそのチヱックが行われるだけであり，パスワードが他人に盗まれることが非常に多かった。
[0039] そして例えば，何らかの不正な方法によって他人が利用者 I D及び Z又はパスワードを知ったとすると，この他人は，本来の有資格者である利用者と全く同様にして，システムに侵入し > データベースに処理要求することができる。従って，利用者 I D及び/又はバスヮードを知られてしまうと > データべース及びその内部のデータ（資源）について他人が勝手に参照等することができるので，これらの安全性が保てないという問題があつた。
[0040] バスヮードによる利用資格のチェックは，例えば利用者と端末装置の間，利用者とシステム資源の間等で行われる。またデータベースシステムにおいては，例えば利用者とデータベースの間で行われる。このチユックは，利用者が入力したパスワードと，端末装置，システム資源及びデータベース（の資源）毎に予め設定されたパスワードとを照合することにより行われる。
[0041] このパスヮ一ドの代表的な例が暗証番号である。この場合，パスワードは各利用者個人が，一連の文字又ば数字等の列として暗証している。
[0042] 暗証番号方式によった場合 > チユックのための装置は比較的簡単な構成にでき，安価にできる利点がある。
[0043] しかし，通常暗証番号には生年月日や電話番号等の一定の意味を持つものが用いられることが多く，このためパスヮ一ドが他人から容易に想像できたり，他人に漏れたりする可能性が高い。従って，システム資源等の安全を十分に図ることができないという問題が生じる。
[0044] この問題は，分散型データベースシステム，特に交換網（公衆網）を介してデータベースターミナルを接続した分散型データべ—スシステムにおいては, 無視できない問題であった。即ち，機密性のあるデ —夕ベースについて，公衆網を利用する無資格者がアクセスし，利用してしまう可能性があった。
[0045] また利用者 I Dとパスワードとを用いてデータべース等にアクセスするシステムでは，例えばデータベース等を頻繁に利用する者にとって，そのァクセスの度に I Dとパスワードとの両者を入力するのでは面倒であるとの理由で，簡易 I Dでもシステムに加入できるようになってきている。しかし従来の簡易 I D方式では，同一のものが登録申請されてくると，既に当該簡易 I Dが登録されていることを理由に，その登録申請を拒絶していた。そのため登録済の簡易 I Dの内容が知れてしまい，不正に利用される危険性があった。
[0046] また一般に，ファイル装置を用いて構成されているデータベースシステムでは，システムの様々なトラブルに備えてデータの保全を図ることが要求され, ファイルの二重化，すなわちファイルデータの退避 (コピー）が行われている。そして，このファイルデータの退避を行うためには退避に必要なファイル容量より多くの空きフアイル容量が必要である。
[0047] そして，それぞれがファイル装置をそなえている情報処理装置からなる複数の端末が公衆網に接続されているネットワークシステムにおける従来のファィル退避方式は，第 44図に示すようになつていた。すなわち，多数の端末〜T _n が公衆網 U7 に接続されており，各端末は現行処理部 145 と予備処理部 146 とを備えている。また，これら処理部はそれぞれ応用プログラム，データベース管理システムオペレーティングシステム等からなる 141 , 142とデータベースを構成するファイル装置 143 , 144とを持つている。そして，必要に応じてあるいは定期的に現行処理部 145 のファイル装置 143 に格納されているファイルデータを予備処理部 146 のファイル装置 144 に退避している。
[0048] 複数の端末が公衆網に接続されているネットヮークシステムにおける従来のフアイル退避方式では，端末自体に退避のための予備処理部 146 を別途設けているため，システム全体のコストが高くなるといつた問題があつた。
[0049] また従来の分散型データベースシステムでは，ある端末からデータベースを管理する端末に対してプ πグラムの転送要求があった場合，要求元の端未では，転送されてきたプログラム（要求プログラムという）を二次記憶装置に格納して，端末内のシステム資源としてィンストールしてから使用していた。このため，要求プログラムは，処理が終了しても要求元端末の二次記憶装置内にそのまま残されていつでも再使用可能であるため > プログラムの利用面数に応じた課金を確実に行うことができないという問題があった。
[0050] 〔技術的課題〕
[0051] 本発明は，特に公衆網などの通信ネットワークに接続された分散型データベースシステムにおいて. 各端末に分散されたデータベースを対象にターミナルのグループレベルでのセキュリティ管理を容易に行うことのできる手段を提供することを一つの目的としている。本発明は，通信ネットワークの種類に影響されることなく，大量のデータを通信ネットワークを介して伝送するに当たって，通信を許容された相手とァクセスを許容された範囲で交信することを許すようにすることを他の一つの目的としている。
[0052] 本発明は，通信ネットワークに接続されたシステムにおいてグループやメンバ一のラベルの一致しない端末との間の通信をセキュリティを保持しつつ行うことを可能としたセキュリティ管理方法を提供することを他の一つの目的としている。
[0053] 本発明は，分散型データベースシステムにおいて利用者の資格情報の登録及び変更が容易であるとともに，確実な資格審査が可能な資格情報の管理手段を提供することを他の一つの目的としている。
[0054] 本発明は，アクセス元とアクセス対象の間に設定される階層構造のランク付けによる従来の固定的なァクセス可否の閬係を超えて柔軟にァクセスできる手段を提供することを他の一つの目的としている。
[0055] 本発明は，データベース中のデータの重要度に応じて，あるいは利用者のランクに応じてデータのセキユリティを高めることを可能としたセキュリティ管理方法を提供することを他の一つの目的としている。
[0056] 本発明は，システムへの不正な侵入を一層確実に阻止できる手段を提供することを他の一つの目的としている。
[0057] 本発明は，簡易 I Dの重複登録時に登録を拒絶することなく有効な利用を可能にする手段を提供することを他の一つの目的としている。
[0058] 本発明は，データベースのデータ退避が必要となつた場合の退避先ファイル装置を効率的に提供することを他の一つの目的としている。
[0059] 本発明は，データベースのデータとしてプ αグラムを利用させる場合に，利用回数に応じた課金が確実に行われるようにすることを他の一つの目的としている。
[0060] 〔発明の開示〕
[0061] 本発明は，前述した課題を解決するための手段を以下のように実現する。
[0062] 本発明は，公衆網に接続された分散型データべ一スシステムにおいて，集中型データベースシステムの管理のしゃすい利点をとり入れるため，分散されたデータベースを共用する複数の端末をグループ化して見かけ上集中型データベースシステムのように扱うもので，そのためグループごとにその中の 1 つの端末にセキュリティ管理機能をもたせ，任意の端末のデータベースにアクセス要求があるとき，その端末から上記管理機能をもった端末に問い合わせてアクセスの許可，不許可を判断させるようにするものである。本発明はまた，複数のグループにまたがるセキュリティ管理を行わせるため，各グループのセキユリティ管理機能をもった端末の上位に別のセキュリティ管理機能をもつ端末を置き，セキュリティ管理を階層化することができる。
[0063] また本発明は，分散型デ一タベースシステムの各端未に対応して，ラベル情報保持部と，レベル情報保持部とをもうけておき，夫々の端末が相互に通信するに当たって，上記ラベルに関して通信が許可されかつ上記レベルに関してアクセスが許可されることを条件に通信を行うように構成する。
[0064] さらに本発明は，グループ制ラベルとメンバー制ラベルが定義されているシステムでは，グループ制ラベルの異なるキーヮ一ド間，即ち異なるグループ間にキーワードを定義することによって，異なるグループの端末同士が同じキーワードを入力したとき , 相互の通信を可能にすることができる。
[0065] さらに本発明は，システム内の利用者の資格情報をその利用者が主に利用する端末にのみ登録させ，利用者の利用者識別コード（ユーザ I D ) によってその登録端末を識別できるようにして，各端末が共同で資格情報を分散管理し，必要な場合情報を交換し合って資格審査が行われるようにすることができる。
[0066] さらに本発明は，アクセス対象の各々に与えられる階層構造の各ランクのラベルにアクセス元のキーコードを登録しておいて，そのキーコードが入力されたときァクセス元の本来のランクに拘束されずキ —コードで指定されるラベルのアクセス対象を利用できるようにすることができる。
[0067] さらに本発明は，利用者ごとに，予め複数のパスワードを登録しておいて，時刻あるいは経過時間に応じて正当とするバスワードを切り換え変更し，ァクセス要求時あるいは処理途中でパスヮードを要求して，入力されたパスワードがその時点で正当とされるバスヮードと一致するときにのみアクセスを有効とすることができる。
[0068] さらに本発明は，データベース中のデータの重要度に応じた個数のパスワードの入力を条件付けして, 利用者識別コ一ドとパスヮードの入力個数及び入力された各パスワードの内容が全て正当である場合に，データを利用可能にすることができる。
[0069] さらに本発明は，利用者のランクに応じた個数のパスワードの入力を条件付けして，利用者が入力したバスヮードの個数と各パスヮ一ドの内容が全て正当である場合に，データを利用可能にすることができる。
[0070] さらに本発明は，利用者がパスワードの入力操作に要した時間をチユック条件として追加し，パスヮ — ドの入力に要した時間が，予め登録されている時間の長さから大きくずれた場合に異常と判定してァクセス許可を行わないようにすることができる。さらに本発明は，簡易 I Dの登録申請は全てそのまま登録し，簡易 I Dが重複して登録された場合，その重複登録者は簡易 I Dのほか通常 I Dの再入力が要求されるようにして，データの機密保護を図ることができる。
[0071] さらに本発明は，ある端末にファイルデータの退避要求が発生した場合，ファイルデータの退避を行うのに必要な空きフアイル容量を持つ端末を探し出し，この端末を利用してファイルデータの退避を行わせるようにすることができる。
[0072] さらに本発明は，データベースからプログラムがアクセス要求されたとき，アクセス要求元の端末に転送されたプログラムに消去プログラムあるいは自動改ざんプログラムを付加し，アクセス要求元端末において要求プログラムの処理が終了したとき，そのプログラムを消去あるいは改ざんして以後の使用を不能にすることができる。
[0073] 〔図面の簡単な説明〕
[0074] 第 1 A図乃至第 43 B図は本発明実施例の説明のための図であって，第 1 A図は単一グループのセキュリティ管理を行う実施例の構成図，第 I B図は階層化されたセキュリティ管理を行う実施例の構成図，第 2図は階層化されたグループ間管理端末の実施例の構成図，第 3図は端末のグループ化処理の実施例の説明図，第 4図は端末間通信手順の実施例の説明図，第 5図はラベル情報とレベル情報を用いたセキユリティ管理の実施例の説明図，第 6図は第 5図に示す実施例のフロー図，第 7 A図，第 7 B図，第 7 C図はそれぞれグループ制ラベルとメンバ一制ラベルとキーワードを用いた実施例の概念図，第 8図は第 7 A図乃至第 7 C図に示す実施例の詳細構成図，第 9図は第 8図に示す実施例構成におけるデータ送受信処理のフロー図，第 10図は資格情報を分散管理する実施例の概念図，第 1 1図は利用者識別コードの実施例の説明図，第 12図は第 10図に示す実施例の詳細説明図，第 13図は階層構造をもつアクセス元とァクセス対象のキーコードを任意の組み合わせで対応させた群ラベルをもつ実施例の説明図，第 14図は処理ラベルの階層構造説明図，第 15図は処理ラベルの階層割り付けの説明図，第 16図は階層メモリの説明図，第 17図はセキュリティチヱック処理のフロー図，第 18図はプロテクトラベル決定手順のフ口一図， 20 第 19図は第 13図の実施例の全体構成図，第 20図は時間により有効なパスワードを切り換える実施例の構成図，第 21図は格納ファイルの構成のイメージ図，第 22図はパスワード新規登録処理のフロー図，第 23 図はシステム加入処理のフロー図，第 24図はシステ 25ム加入後の処理のフロー図，第 25 A図はデータの重要性に応じてバスワード個数を変化させる実施例の概念図，第 25 B図は第 25 A図に示す実施例の詳細構成図，第 25 C図は個人情報の説明図，第 25 D図はデータ情報の説明図，第 26図は第 25 A図に示す実施例構成におけるデータ参照処理のフロー図，第 27 A 図はデータと利用者のランクに応じてパスワード数を変化させる実施例の概念図，第 27 B図は第 27 A図に示す実施例の詳細構成図，第 27 C図は個人情報の説明図，第 27 D図はデータ情報の説明図，第 28図は第 27 B図に示す実施例構成におけるデータ参照処理のフロー図，第 29図はバスワード入力時間をチック条件として付加した実施例の説明図，第 30 A図，第 30 B図，第 30 C図はそれぞれパスワード入力制御の説明図，第 31図はパスワード入力処理のフ D—図, 第 32図はパスワードチユック処理のフロー図，第 33 図は第 31図とは異なる実施例によるパスワード入力処理のフロー図，第 34図は簡易 I Dの重複登録時の対応機能をもつ実施例の構成図，第 35図は I D格納ファイルの説明図，第 36図は簡易 I D重複チユックファイルの説明図，第 37図は簡易 I D登録処理のフロー図，第 38図はシステム加入処理のフロー図，第 39図はファィルデータ退避時の端末間空きファイル利用の実施例の概念図，第 40図はファイルデータの退避手順のフ口一図，第 41図は使用終了プログラムの消去あるいは自動改ざん機能をもつ実施例の説明図，第 42 A図及び第 42 B図は第 4 1図に示す実施例の詳細フロー図，第 43 A図及び第 43 B図はグループ制ラベルを用いる従来のセキュリティ管理方法の説明図，第 44図は従来のファイルデータ退避方法の説明図である。
[0075] 〔発明を実施するための最良の形態〕
[0076] 第 1 A図は，本発明による単一グループのセキュリティ管理を行う分散型データベースシステムの実施例の構成図であり，第 1 B図は本発明による階層化されたセキユリティ管理を行う分散型データべ一スシステムの実施例の構成図である。
[0077] 第 1 A図において， 1 は公衆網， 2ないし 8 は端末， 9 は端末 2 , 3 , 5 , 6を要素とするグループ Aである。各端末 2 ないし 8 は，それぞれ分散されたデータべ—スを有する情報処理装置で構成される < グループ Aに属する端末のデータベースのセキュリティ管理を行うため，端末 2が選ばれ，管理機能を付与される。以後管理機能をもつ端末は，管理端末と呼ばれる。
[0078] 管理端末 2がもつ管理機能は，グループ内の分散データベースに対すアクセス要求を，データベース種別，情報種別，通信先などにより許可，不許可とする機能のほか，端末間の通信要求を許可あるいは不許可とする機能，グループ内の分散データベースを索引等で管理する機能，などを舍むことができる。第 1 B図は，第 1 A図の構成において，端末 2 , 3 , 5 , 6からなるグループ Aのほか端末 4 , 7 , 8からなるグループ Bが設定され，グループ Bでは端末 4が管理端末となり，さらにグループ Aとグループ B との間の分散データベース管理を行うグループ間管理端末 11が設けられている。
[0079] グループ間管理端末 11は，各グループの分散データベースのうち，グループ外に公開している情報とそのセキュリティ情報とを管理し，グループ外の端末からのァクセス要求が許可できるものであるとき，要求された情報を送出する。
[0080] 第 1 A図において，管理端末 2には，グループ A の各端末からグループ A内の他の端末に公開できる情報が登録される（①）。グループ A内で 1つの端末から他の端末への分散データベースのアクセスは，まず管理端末 2 へのアクセス許可要求が行われ（②）管理端末 2 はそのアクセス要求の妥当性をチェックして，アクセス権が認められる場合許可する。ァクセス元の端末はアクセスを許可されると，相手端末と通信し，アクセスを行う（③）。またグループ A 外の端末からグループ A内の端末へのアクセス要求があっても，管理端末 2が承認しない限り，通信することができない。
[0081] このようにして，グループ A内では一元的なセキュリティ管理が行われる。たとえばグループ内でのデータベース利用を自由に認め，グループ外からのアクセス要求を一律に禁止することができる。
[0082] 第 I B図の場合は，管理端末 2 と管理端末 4 とが, それぞれグループ Aとグループ Bについて，第 1 A 図で述べたようなグループ内の管理機能を果たす。さらにグループ間管理端末 11には，グループ Aからグループ Bに公開できる情報およびグループ Bからグループ Aに公開できる情報の項目が各管理端末から登録され（例えば④）管理されているので，例えばグループ Aの端末 3 とグループ Bの端末 8 との間でのデータベースのアクセス要求はアクセス元の端末から管理端末 2を介してグループ間管理端末 11に対して行われる（⑤）。
[0083] グループ間管理端末 11は，アクセス元端末 3からのアクセス要求内容をチヱックし，グループ間ァクセスとして許可できる場合には，その情報を保有する端末 8のデータベースを検索して（⑥），該当する情報を端末 3 に直接あるいは管理端末 2を介して送出する。なおグループ間管理端末 11が情報を送出する代わりに，アクセスを許可できる場合アクセス端末に情報を保有している端末のアクセスを通知するようにしてもよい。
[0084] 大規模な分散型データベースシステムの場合には，グループ数も多くなり，データベースを共用するグループ同士の関係も複雑になるため，セキュリティ管理を多重の階層構造で実現するのが適当となる場合がある。
[0085] 第 2図は，このような階層構造をもつセキユリティ管理のためのグループ間管理端末の構成を示し， n個のグループに対して， 1次から n次までのグループ間管理端末が階層化して設けられる。
[0086] 第 3図は，本発明の実施例において管理端末と配下の端末との間でグループ化を行うための処理を示す。
[0087] 第 3図において， T は管理端末， T₂ ないし Τ はグループ配下の端末である。また GT Lはグループ内端末リストである。
[0088] Τ, ないし Τ₅ は基本的には同じ機能をもつ端末であるが， 1 に管理端末宣言コマンドを投入し，管理用プログラムを起動することにより管理端末として機能するようになる。
[0089] Τ , に管理端末宣言コマンドを投入するとき，グループ内端末のリスト G T Lを入力する。この場合リスト GT Lには端末 Τ, ないし Τ₅ が設定されている。
[0090] 管理端末 Τ, は，配下の端末 Τ ないし Τ ₅ に管理端末がであることを通知しその際，グルーブ内端末リスト GT Lを転送するここで G T L内の Τ, に付されている〇印は， Τ が管理端末であることを示す。
[0091] 配下の各端末 T_z ないし Τ₅ は，それぞれ G T L を管理し，自端末のデータベースにグループ内で公開できる情報があると，その情報 I D (情報項目）を管理端末 Τ, に転送する。管理端未 Τ, は各端末から転送されてきた情報 I Dを転送元の端末の I D とともにセキュリティ管理テーブル S MTに登録する。
[0092] 管理端末 1 は，以後，配下の端末からのァクセス許可要求があると，セキュリティ管理テーブル S ΜΤを参照して，要求内容の情報 I Dと端末 I Dとに合致するものがあればアクセス要求を許可し，その他の場合は不許可とする。
[0093] セキュリティ管理テーブル S Μ Τには，情報 I D と端末 I Dを登録する代わりに，公開対象情報種別と許可できる端末のグループ I Dを登録し，これを用いてセキュリティ管理を行うことも可能である。第 4図にその実施例を示す。
[0094] 第 4図の実施例は公衆網を介して行われる端末間の通信手順を示す。図において， Τ, ないし Τ₅ がグループ内端末， Τ₆ がグループ外端末である。また Τ, は管理端末である。
[0095] Τ₃ が Τ₄ に対してデータを送信するアクセス要求をもった場合， Τ₃ は Τ, に対して回線を確立し， Τ, を宛先とする送信許可要求を Τ, に発信する。このとき自己のグループ I Dとアクセスしたい情報の情報種別とを指定する。 T, は，グループ内端末リスト GT Lによりァクセス元端末が自グループ内のものであることを確立し，さらにセキュリティ管理テーブル S M Tで要求された情報種別とグループ I Dが登録されているかどうかを調べ，登録されていれば許可する。
[0096] T₃ は許可を受けると， Τ との間の回線を解放し，次の T₄ に対して画線を確立した後，データ送信要求を行って，確認応答があるとデータを送信し, 終了すれば HI線を解放する。
[0097] 一方，グループ外の T₆ が Τ₃ に対してデータを送信する要求をもつ場合， Τ₆ は Τ₃ との間で回線を確立した後，データ送信要求を行う。 Τ₃ はこれにより Τ, に対して， Τ₆ からのデータを受信する受信許可要求を行う。 T_t は，グループ内端末リスト GT Lを参照して， T₆ が自グループ内のメンバでないことを知り，不許可を回答する。 Τ₃ は，これにより Τ₆ との間の回線を解放し， Τ₆ との間の通信を拒否する。
[0098] これにより，多数の端末が公衆網に接続されている分散型データベースシステムにおいて，グループ化による部分的な集中管理が行われるため，データベースの管理及び検索の効率化が図られ，また柔軟で信頼性の高いセキユリティ管理が可能となる。第 5図は，本発明によるラベル情報とレベル情報を用いたセキュリティ管理方法の実施例説明図である。図中の 12は通信網， 13ないし 23は夫々端末， 24 はラベル情報保持部， 25はレベル情報保持部， 26は資源， 27はラベル照合機能部， 28はレベル照合機能部を表している。
[0099] 各端末 13ないし 23は夫々，例えば電話番号の如き番号情報をユニークにもっていることは言うまでもないが，夫々の端末は，（ i ) 必要に応じて縦ラベル A , , Α ₂ , Α ₃ , ……で示す如く第 1 の観点 (例えば地域上近接しているなど）から群に区分されて縦ラベルを付与され，（ ii ) また必要に応じて横ラベル Β , , ……で示す如く第 2 の観点（例えば本店と支店など）から群に区分されて横ラベルを付与され, ( iii ) 更に必要に応じて縦 · 横両群に属していない第 3者端末 23と交信を許されるキーワード ' ラベルにもとづいて群に区分されてキーワード · ラベル C , , ……を付与され，（ iv ) また必要に応じていずれの端末とも自由に交信できる全体ラベル Dを付与される。
[0100] 各端末には，（ i ) 自己に支出されたラベルを保持するラベル情報保持部 24 , ( ϋ ) 自己がアクセスできる資源を限定するために用いられるレベルが保持されるレベル情報保持部 25 , ( iii ) 自己が所有する資源（図示資源 No. 1 , No. 2の如きに対応してァクセス許可条件を資源と共に有する資源保持部 26 , ( iv ) 自己が交信する相手端末のラベルと照合するラベル照合機能部 27 , ( V ) 自己が所有する資源に対するアクセスを許すか否かを照合するレベル照合機能部 28がもうけられている。
[0101] 言うまでもなく，端末相互間で交信するに当たつては，夫々の端末において，ラベル照合機能部 27が, 自己の端末のラベルと相手端末のラベルとを照合し- 同じラベルを共通する相手端末とのみ交信が許される。勿論，全体ラベル Dを有する端末例えば 22においては，すべての相手端末と交信を許される。
[0102] 上記交信を許された端末相互間において，相手端末から自己の所有する資源をアクセスされた場合，図示のレベル照合機能部 28が当該相手端末に付与されているレベルと当該資源に付与されているァクセス許可条件とを照合し，アクセス許可であることを条件にァクセスを許すようにする。
[0103] 今例えば端末 14にラベル A , , B , のみが与えられている場合には，図示端末 13 , 端末 14 , 端末 18 , 端末 19 , 端末 20との交信が許される。また資源 No. 1 に対しては，図示の場合，レベル「 5 」以上の端末に対してのみアクセスが許される。また資源 No. 2に対しては，図示の場合，レベル「 1 」以上の端末に対してアクセスが許され.る。
[0104] 第 6図は第 5図に示すセキュリティ管理の一実施例フローを示している。
[0105] (1) ユーザ端末側で通信要求①を行い自己のラベルを送信③することに対応して，データベース側端末で要求受信②とラベル受信④とが行われる。 (2) ラベルを受信したデータベース側端末においてラベル整合の正否を調べ⑤，否の場合には利用者端末側に通知し，正の場合には資源要求を持つ。
[0106] (3) ユーザ端末側において，「ラベル整合否」か「否」かが調べられ⑥，整合否を受信しているとアクセス拒否となり，ラベル整合否を受信していなければ資源要求⑦を行うと共にレベルを送信⑨ する。これに対応して，データベース側端末において，要求受信⑧とレベル受信⑩とが行われる。
[0107] (4) レベルを受信したデータベース側端末においてレベル整合の正否を調べ⑪，否の場合には利用者端末側に通知し，正の場合にはコマンド通信⑬を行う。
[0108] (5) 利用者端末側で，レベル整合否か否かが調べられ @ , 整合否を受信しているとアクセス拒否となり，ラベル整合否を受信していなければコマンド受信を待つ。そして，コマンドが受信⑭されると，実データ要求⑩を行う。なお，上記コマンドとは，画面を表示するために必要な画面の構成要求データの集まりと考えてよい。
[0109] (6) 実データの要求を受けたデータベース側端末において当該要求を受信する⑱と，実データを送信 ⑰する。
[0110] (7) 利用者側端末において，実データを受信⑩すると，当該実データが C R T上に表示される。
[0111] 第 5図に示すラベル照合機能部 27は次の如き動作を行うものと考えてよい。即ち，今第 5図図示の端末 16から端末 14に対して通信要求があつたとすると，端末 16は図示の場合にはラベル A _z のみをもっているにすぎないことから，端末 13のもっているラベル A , とラベルとのいずれにも整合しない。このため端末 14はラベル整合否を送出することとなる。また端末 13 , 15 , 18 , 19 , 20， 22から端末 14に対して通信要求があった場合には，ラベル又は B , において整合があるか，ラベル Dが全体ラベルであることから整合否となることがない。
[0112] また第 5図図示のレベル照合機能部 28は次の如き動作を行うものと考えてよい。即ち，今端末 20がレベル 4をもつものとし，端末 20から端末 14のもつ資源 No. 1 に対してアクセス要求があつたとする。この場合には，レベル照合機能部 28は，資源 No. 1 のもつアクセス許可条件「≥ 5 _i と端末 20のもつレベル 4 とを照合する。そして，レベル整合否を送出することになる。また端末 20が端末 14のもつ資源 No. 2に対してアクセス要求を発した場合には，資源 No. 2のもつアクセス許可条件が「 1 」であることから，レベル整合否となることがない。
[0113] なおアクセス許可条件としては，例えば「 8 であって≥ 2 」の如き形で与えることもできることは言うまでもない。
[0114] 以上説明した如く，例えば公衆網のもつ全国的な規模での自由な相手との通信機能と，専用線の場合に利点であった限定された相手とのみの通信機能との両者を享受することができる。更に資源に対するアクセスに当たっても，アクセス許可条件が与えられることから，個々の資源毎にアクセスの可否が調ベられる。
[0115] 第 7 A図，第 7 B図，第 7 C図は，本発明によるグループ制ラベル，メンバー制ラベル，キーワードを用いるセキュリティ管理方法の概念図である。第 7 A図乃至第 7 C図において， 1 は公衆網， 2及び 3 はグループ制ラベル， 4 はメンバ一制ラベル， 5 はキ一ワードラベル， 6 は端末， 7 はデータ格納部， 8 は実データ， 9 は送信データである。また， a ないし i は，利用者が用いるセキュリティのためのパスワード又はキーワード，又は，利用者によりパスワード又はキーワードの入力された端末である（以下，パスワードという）。
[0116] グループ制ラベル 30及び 31は，各々，パスワード a ないし d及びパスヮード e ないし hによるァクセスを可能とするよう定義され，これにより各ラベル 30および 31内での通信の安全性を保つ。
[0117] メンバー制ラベル 32は，互いに異なるグル一プ制ラベル 30及び 31間での通信を可能とするために，これらに舍まれるパスワード d > f > g及び hによるアクセスを可能とするよう定義され，これにより当該ラベル 32内での通信の安全性を保つ。
[0118] 各ラベル 30 , 31及び 32内での通信は，各々，公衆網 29を介して行われる。公衆網 29には複数の端末 34 が接続される。そして，所定のパスワードが入力された端末 34の間で，前記通信が行われる。
[0119] キーワードラベル 33は，グループ制ラベル 30及び 31の内外での通信を可能とするために，これらの外とこれらに舍まれるバスヮード a ないし hのいずれ力、（例えば e ) との間のアクセスを，予め定めたキ一ワード（例えば「 A A」）により可能とするよう定義される。
[0120] キ一ヮ一ドラベル 33内での通信は，公衆網 29を介して，キーワード A Aが入力された端末 34間で行われる。
[0121] この通信は，次の如く行われる。即ち，グループ制ラベル 30及び 31外のタ一ミナル 34に，キーワード A Aが入力される。以下，このターミナルを端末 T 1 (又はパスワード i ) という。端末 T 1 は，送信先であるグループ制ラベル 31内のバスヮード eの入力された端末 34に送信データ 37を送信する。以下，この端末を端末 T 2 (又はパスワード e ) という。送信データ 37は，実データ 36を端末 T 1 においてコード化して得たコマンド G 01に，キーワード A A 及び端末 T 1 のナンバー T 1 を付したものとされる, 端末 T 2 は，送信データ 37を受信すると，これに舍まれたキーワード A Aと，端末 T 2 に入力されたキーワード（ A A ) とを比較する。そして，両者が一致した場合，送信データ 37中の端末ナンバー T 1 に基づいて，端末 T 1 に対して実データ 36の送信を要求する。
[0122] 端末 T 1 は，この要求を受けて，実データ 36を端末 T 2 に送信する。
[0123] 以上によれば，キーワード A Aを予め定めることにより，グループ制ラベル 31 (及び 30 ) の内外の通信を可能とすることができる。また，キーワード A Aを持たない（知らない）他のパスワードが実データ 36を知ることはできないので，安全性を保つことができる。
[0124] 第 8図は第 7図に示すセキュリティ管理方法の実施例の詳細説明図である。
[0125] 第 8図において， 38はデータ ' コマンド及びキーワード管理部（以下，管理部という）， 39は通信制御部， 40は送信部， 41は受信部， 42はメール格納部, 43は入出力制御部， 44は画面表示部， 45はキーボード， 46はキーワード比較判断部である。前述の如く，端末 T 1 は，公衆網 29に接続された端末 34であって，キーワード 33のキーワード A Aを知るユーザ（ i 氏）によってキーワード A Aが入力され使用されるものである。従って，端末 T 1 は，キーヮ一ドラベル 33をパスヮード e と共に定義するパスワード i である。端末 T 1 (又はバスワード i ) は，グループ制ラベル 30及び 31 , 更には，メンバ一制ラベル 32のいずれにも属さない。即ち，これらを定義するパスワード aないし hを持たず（知らず），これらとは無関係である。
[0126] 端末 T 2 は，公衆網 29に接続された端末 6であつて，グループ制ラベル 31のパスワード eを知る利用者（ e氏）によつてパスヮード eが入力され使用されるものである。端末 T 2 は，グループ制ラベル 31 を定義するパスワード eであると共に，キ一ワード A Aを知る利用者（ e氏）によってキーワード A A が入力されキ一ヮ一ドラベル 5を定義するものでもある。
[0127] 管理部 38は，端末 34におけるデータ，コマンド，キーワード，パスワード等を管理する。
[0128] また，管理部 38は，実データ 36からこれを圧縮したコマンド G 01を作成する。なお，実際には，「 G 01」は実データ 36のネーミングである。実データ 36 及びコマンド G 01は，データ格納部 35に格納され，その位置が，管理部 38によって管理される。更に，管理部 38は，実データ 36の要求を受けると，その送信のための処理を行う。
[0129] 通信制御部 39は，送信部 40及び受信部 41からなり：端末 34間でのデータの送受信を行う。特に端末 T 1 の通信制御部 39は，キ一ワードラベル 33内の通信において，送信データ 37及び実データ 36の送信を行う < 送信データ 37の送信の際，通信制御部 39 (又は管理部 38) において，コマンド G 01にキ一ワード A A及び端末ナンバーが付加され，送信データ 37が組み立てられる。一方，端末 T 2 の通信制御部 39は，キーヮードラベル 33内の通信において，送信データ 37をメール格納部 42に格納すると共にこれを入出力制御部 43に通知し，また，端末 T 1 に対して実データ 36 の要求を行う。
[0130] なお，キーワードラベル 33内の通信であることは，キーワード A Aの入力により判別できる。
[0131] メール格納部 42は，端末 34内のメモリの所定の領域に設けられ，特に，他の端末 34からメールとして送出されてきたデータを格納するためのものである。入出力制御部 43は，画面表示部 44に所定の画面を出力し，キーボード 45からの入力を受け付ける。画面表示部 44には，送信データ 37の受信通知，実データ 36等が表示される。キーボード 45からは，利用者 ( e氏）によってバスヮ.一ド，キーワード A A等が入力される。キーワード比較判断部 46は，キーワードラベル 33 内の通信において，メール格納部 42内の送信データ 37中のキーワード（A A ) と，当該端末（ T 2 ) にそのキーボード 45から入力されたキ一ヮ一ド（ A A ) とを比較し，その結果に応じた処理を行う。即ち，一致した場合，通信制御部 39に実データ 36を要求するようにさせる。一方，不一致の場合，画面表示部 44に実データの表示を拒否する旨を表示させ，以後の送信データ 37又はキーヮード A Aを用いた通信についての一切のアクセスを拒否する。
[0132] なお，端末 T 1及び T 2 は，送信側及び受信側の機能を合わせもつものである。
[0133] 第 9図は，第 8図の実施例におけるデータ送受信処理のフ口一である。
[0134] ① キーワード A Aを知る利用者（ i 氏）力く，端末 T 1 にキーワード A Aを入力し，更に，端末 T 2 を送信先とした実データ 8 の送信を指示する。端末 T 2 は，同じくキーワード A Aを知る利用者 ( e氏）が使用する端末である。
[0135] 管理部 38は実データ 36をデータ格納部 35に格納し，コマンド G 01を作成しその送信を端末 T 1 の通信制御部 39に依頼する。
[0136] 通信制御部 39は，コマンド G 01にキーワード A A及び端末ナンバー T 1 を付加して送信データ 37— とし，これを端末 T 2に送る。 ② 端末 T 2 の通信制御部 39は，送信データ 37を受信すると，これをメールであると判断してメール格納部 42に格納する。
[0137] ③ 利用者が端末 Τ 2 の使用を開始すると，入出力制御部 43が，メール格納部 42を検索してメールを受信していることを画面表示部 44に出力する。従つて，この時点では，メールの内容 G 01 , A A , Τ 1 が表示されることはない。
[0138] これを見た利用者（ e氏）力く，キーボード 45からキーワード（ A A ) を入力する。
[0139] ④ キーボード 45から入力されたキーワードは，入出力制御部 43で受け付けられキーヮード比較判断部 46に送られる。
[0140] キーワード比較判断部 46は，メール格納部 42の送信データ 37のキーワード A Aと，入力されたキーヮードとを比較する。
[0141] 両者が不一致の場合，キーワード比較判断部 46 は，入出力制御部 43に「アクセス拒否」を通知する。入出力制御部 43は，画面表示部 44に実データ 36の表示を拒否する旨を表示し，以後のアクセスを拒否する。
[0142] なお，実際は，実データの表示を拒否する旨を表示するのみでなく，メールの内容 G 01及び T 1 ( A Aはいうまでもない）を参照できないようにし，かつ，表示しないようにする。これにより，キーワード A Aが入力されない場合，端末 T 2から端末 T 1 へ接続することは全く不完全となり，実データ 36の安全が保たれる。従って，通常， e 氏が使用する端末 T 2を使用して，他人が実データ 36を知ろうとしても，不可能である。
[0143] ⑤ 両者が一致する場合，キーワード A Aを知る正当な利用者（ e氏）が使用しているものと判断して，キーワード比較判断部 46は，端末 T 2 の通信制御部 39に，実データ 36を要求する旨を通知する。
[0144] なお，キーワード比較判断部 46が，入出力制御部 43に対してメ一ルの内容 G 01及び T 1 を画面表示部 44へ表示するように依頼してもよい。この場合，これを見た利用者（ e氏）力、'，キーボード 45 から，端末 T 1 へ実データ 36を送信する要求を入力すると，これが通信制御部 39に通知される。
[0145] これを受けて，通信制御部 39は，メール格納部 42の送信データ 9中の端末ナンバー T 1 に基づいて，端末 T 1 との間で公衆網 1 を介してデータリンクを確立したうえで，端末 T 1 に実データ 36を要求をする。
[0146] ⑥ 端末 T 1 の通信制御部 39は，この要求を受信すると，これを管理部 38へ送る。
[0147] 管理部 38は，データ格納部 35の実データ 36を端末 T 2 に送信することを，通信制御部 39に依頼する。 ⑦ 通信制御部 39は，実データ 36を，端末 T 2 に送信する。
[0148] ⑧ 端末 T 2 の通信制御部 39は，実データ 36を受信すると，これが実データ 36であることを判断したうえでメール格納部 42でなく入出力制御部 43に送る。
[0149] ⑨ 入出力制御部 43は，画面表示部 44に実データ 36 を出力する。
[0150] 以上によれば，実データ 36を端末 T 2側で受け取ることができるのは，キーワードラベル 33のキーヮード A Aを知る利用者（ e氏），即ち，キーワードラベル 33におけるアクセスを可能とされたパスヮ一ド e のみである。
[0151] また端末 T 2 において，実データ 36はそのデータ格納部（35)に格納されるが，この時，その管理部（3 8)によってキ一ワード A Aと共に管理される。従つて， T 2 に取り込まれた実データ 36を参照できるのも，また，キーワード A Aを知る利用者（ e氏）即ちパスヮード e のみである。
[0152] なお，前述の実施例においては，パスヮ一ド i がパスワード e との間でキーワードラベル 33を構成する例について説明した力、'，パスワード i 力く，パスヮ一ド a ないし hのいずれとキーヮードラベル 33を構成するものであってもよい。また，ノ、'スワード a ないし h の複数とキーヮ一ドラベル 33を構成してもよい。また，パスヮード i は，ノ、'スワード a ないし h 以外のパスヮードとの間でグループ制ラベル又はメンバー制ラベルを構成するものであってもよい。即ち，ノ、'スワード i は，少なくとも，グループ制ラベル 30及び 31とメンバ一制ラベル 32のいずれも構成するパスワードではなく，これらのラベル 30 : 31及び 32の外にある（属さない）ものである。
[0153] 以上説明したように，公衆網に接続されたシステムにおいて，予め定められたキ一ワードを用いるキ一ワードラベルを定義することによって，グループ制ラベル及びメンバー制ラベルの内外での通信のセキユリティを保ちつつ行うことができるので，極めて少数のユーザが公衆網を利用して安全に通信を行うことが可能となる。
[0154] 第 10図は，本発明により資格情報を分散管理するセキュリティ管理方法の概念図である。
[0155] 第 10図において， 47 , 48 , 49はそれぞれ端末 A , 端末 B , 端末 Cであり， 50 , 51 , 52はそれぞれ端末 A , 端末 B , 端末 Cに登録されている利用者資格情報である。
[0156] 端末 Aの利用者資格情報 50には，端末 Aを主に利用する利用者 A 1 , A 2 , A 3 の資格情報が舍まれ: 同様に端末 Bの利用者資格情報 51には利用者 B 1 の資格情報が舍まれ，端末 Cの利用者資格情報 52には' 利用者 C 1 の資格情報が舍まれている。各端末に対する利用者の資格検査依頼は，利用者資格コードを用いて行われる。利用者識別コードには，その利用者の資格情報が登録されている端末の識別コードが舍まれている。
[0157] 例えば端末 Aにおいて利用者 A 1 あるいは利用者 A 2 についての資格検査依頼があれば，端末 Aは利用者識別コードから資格情報の登録端末が自己端末であることを知り，利用者資格情報 50を検索して該当する情報を読み出し，検査依頼元に結果を通知する。しかし，端末 Bにおいて利用者 A 3 の資格検査依頼があった場合には，端末 Bはその利用者識別コ一ドから資格情報の登録端末が端末 Aであることを知り，端末 Aに検査依頼を行う。端末 Aは，利用者資格情報 50から A 3 の資格情報を読み出して結果を端末 Bに通知し，端末 Bはそれを検査依頼元に通知する。
[0158] 第 11図は，利用者識別コードの実施例説明図である。図示のように各利用者識別コードは登録端末 (又は計算機）の識別コート"と利用者の識別コードとの組み合わせからなっている。この例では端末 A の識別コードは C 0 M 001 , 端末 Bの識別コードは， C O M 002 , 利用者の識別コードは I D 0001 , "'で表されている。
[0159] 第 12図は，資格情報を分散管理する端末の処理の実施例説明図である。第 12図において，端末 A ( C O M001)と端末 B ( C O M002)は，同じ処理機能をもち，端末 Aの場合， 53で示す検査依頼の受付 · 回答処理と， 54で示す登録端末振り分け処理と， 55で示す資格検査処理と， 56で示す他端末への検査依頼処理とを舍む。
[0160] 処理の流れ ®〜®は，利用者識別コード（ C O M
[0161] 001 一 I D 0001 ) の資格検查依頼の場合のもの，そして処理の流れ ®〜®は利用者識別コード（ C O M
[0162] 002 - I D 0002) の資格検査依頼の場合のものである。
[0163] 端末 Aは，利用者識別コードが入力されると，検查依頼受付回答処理 53で受け付け，登録端末振り分け処理 54で利用者識別コ一ドの中の登録端末コ一ド部分を見て自己端末か他端末かを識別して振り分け, 自己端末の場合，資格検査処理 55で利用者資格情報 50を検索し，該当する利用者（ I D 0001 ) の資格レベル" Γ を読み出して依頼元に面答する。他方，他端末の場合には，他端末への検査依頼処理 56で端末 Bに資格検査依頼を出す。端末 Bでは上述した端末 A内の処理と同様な処理を行って結果の資格レベル ( I D 0002 ) に対応する資格レベル "3" を端末 Aに回答する。端末 Aはこれを依頼元に画答する。
[0164] このようにして，各端末は，自己端末に登録されている利用者の資格情報のみを管理してその資格検查のみを行えばよく，新たな資格情報の登録や登録内容の変更も一つの端末においてのみ行えばよいから，作業が簡単になり，またエラー発生の可能性も小さくなる。
[0165] 第 13図は，アクセス元のランクと関係なくァクセス対象を利用できるようにする本発明のセキユリティ管理方法の原理説明図である。
[0166] 第 13図において， 57は判断手段， 58は階層記憶手段（階層メモリ）， 59はラベル設定手段， 60はラベル設定入力， 61はユーザコード/処理名入力， 62は処理許可（起動）信号である。
[0167] 同図において，階層メモリ 58には組織のライン等により区分されたラベル付けされた階層構造のユーザコード，あるいは処理の重要度，機密性等の内容に応じた階層構造のラベルを付けた処理コ一ドが格納されている。
[0168] ラベル設定手段 59は，ユーザまたは処理のラベルを機動的かつ自由に新設できる機能を備え，仕事の都合に沿って上位階層の特定処理を下位の処理に設定されているユーザでも実行可能となるようにユーザラベルまたは処理ラベルを新設あるいは変更する _c ラベルの新設は，ラベル設定入力 60で指定された所望の処理コード，または処理コードの組み合わせ (群），または所望のユーザコード，またはユーザコードの組み合わせ（群）を指定した新ラベルを作り，これをラベル設定手段 59に登録（記憶）させることにより行われる。
[0169] 処理を起動させるか，否かを指令する処理許可信号 62は，ユーザが入力するユーザコード/処理名 (処理コード）入力 61について，ラベル設定手段 59 の設定内容との一致を判断手段 57で判断し，一致した場合に出力される。
[0170] ラベルを 1 または 2以上の群として階層構造とし, ユーザにコードを持たせる一方，処理にもラベルを割り当て，そのラベルに属するコードのユーザ，又はそのラベルの下位に位置するラベルに属するコ一ドを持つユーザが登録されている場合に，当該処理が実行可能に設定する。
[0171] これにより，処理側でもユーザを設定でき，プロテク卜の対象をユーザ側からのみならず，処理側からも自由に設定することができる。
[0172] 第 14図は処理群ラベルを本発明による階層構造とした場合の実施例説明図であって，口は処理，口の中の英大文字はラベル（ラベル名：処理キー）である。
[0173] 同図において > ラベル Aは，最高階層（最高ランク） 5 の処理で処理コード S 5をもつ。
[0174] ラベル A Aは，ランク 4 の処理で処理コード S 3 6をもつ。
[0175] ラベル A A Aは，ランク 3 の処理で処理コード S ' 4をもつ。ラベル AAAAは，ランク 2 の処理で処理コード S 2をもつ。
[0176] ラベル AAAAAは，ランク 1 の処理で処理コード S 1 , S 7 をもつ
[0177] 以下，同様。
[0178] ここで，処理コード S 2 の処理（この場合，処理コード S 1 , S 7 の処理も可能）に加えて，処理コード S 3を同一ランクとして処理可能とするために，ランク Xとしてラベル A A Bを新設し，これに処理コード S I , S 2 , S 3 , S 7をもたせるようにする。
[0179] これにより，処理名（すなわち，処理コード）として S I , S 2 , S 3 , S 7の何れかと，後述するユーザラベルとの一致があれば当該処理が起動できる。
[0180] すなわち，これをさらに説明するば，第 14図のラベル A, A A , AAA, A AA A, AAA AAの関係は，ラベル A A A A Aの割り当ったものは処理コード S I , S 7 の処理が可能で，ラベル A A A Aの割り当ったものは処理コード S 2 とそれの下位にある A AAA Aに属する S .1 と S 7 の処理が実行可能となる。同様に，ラベル A A Aが割り当ったものは処理コード S I , S 2 , S 4 , S 7が実行可能で，ラベル A Aは S I , S 2 , S 3 , S 4 , S 6 , S 7力，そしてラベル Aは S I , S 2 , S 3 , S 4 , S 5 , S 6 , S 7 の全てが実行できる。
[0181] ここで，例えばラベル A A Bとして処理コード S 1 , S 2 , S 3 , S 7 を割り付ければよい。そしてラベル A A Bの割り当ったものは処理コード S 1 , S 2 , S 3 , S 7を実行できるようにすればよい。第 15図は階層構造にした処理を群ラベルにユーザコードを割り付けた実施例説明図であって， □はュ一ザ， □内の記号はユーザラベル（ユーザキー）である。
[0182] 同図において，最上位のユーザ階層は会社（社長）のラベル◎についてュ一ザコード aをもつ。
[0183] その次のユーザ階層（部長）には〇〇部のラベルを付し，ユーザコード _bをもつ。
[0184] 同様に，以下のユーザ階層について，〇〇〇課 (課長）はユーザコード dを，〇〇〇〇班（班長）はユーザコード i を，〇〇〇〇〇（班員）はユーザコード n , 0 , pをもつ。
[0185] 言い方を替えると， a は社長， b , c は部長， d > e , f , g , hは課長， i , j , k , 1 , mは班長，！!〜 z は班員である。
[0186] ここで，ある処理に〇〇△△班というラベルを割り付けると，その班長 k と班員 s > t , u とがこの処理を実行可能となる。
[0187] 課長である e はラベルが〇〇△課の処理のみ実行可能であるから，〇〇厶厶班のラベルを付された処理を実行することはできない。
[0188] 同様に，部長 b も社長 a も上記ラベル〇〇厶厶班の処理にアクセスすることはできない。
[0189] しかし，ここで若し，課長 e にラベル〇〇△△班の処理を可能にしたい場合には，〇〇厶厶班または〇〇△△△のところにユーザコードとして eを追加すればよい。
[0190] また，〇〇〇課〇〇〇〇班の班員 Pが仕事の都合上どうしても X X X課 X X X X班の処理を必要とする場合には， X X X X班のところにュ一ザコード P を追加すればよい。
[0191] 第 16図は第 15図で説明した階層構造をもつファィルについての説明図であって，第 13図の階層メモリ 58に格納されるテーブルである。
[0192] 同図に示したファイルは，会社単位，部単位，課単位，班単位，班内単位にキーを構成して検索を可能にしている。
[0193] すなわち，会社キーである社長が◎キーでこれに対してユーザコード aが登録されている。
[0194] 以下，部キーは〇〇， X X , 課キーは o〇〇，〇〇△, 〇〇□, X X , X X 0 , …，班キーは〇〇〇〇，〇〇△〇， ♦··, 班内キ一は〇〇〇〇〇> 〇〇 △〇〇， …のように割り当てられ，それぞれに許可されたユーザコード，ユーザコード群が登録される。第 17図は，セキュリティチヱックの動作を説明するフローチャートであって，以下このフローチヤ一トを参照してセキュリティチユック方法を説明する。同図において，まず処理名とユーザコードとを入力する（ S — 1 ) 。ここで，処理名を " A" , ユーザコードを " u " とする。
[0195] 階層メモリに登録されている処理ラベル対応表により処理名 "A " を探す（ S — 2以下）。処理名があるか否かを判断し（ S — 3 ) , 有る場合はそのラベルが会社であるか（ S — 4 ) , 部であるか（ S — 五），課であるか（ S— 6 ) を順々にサーチしてい
[0196] < 。
[0197] この例では，処理 "A " に付いたラベル名が「〇〇△課」となっているので，「0〇厶課」を課キーにつめ前記第 16図のファイルを読む（ S — 7 ) 。
[0198] ファイルを読んだ結果，その登録（レコード）のキーが「〇〇△」になっている個所に " u " が記述されているか否かをチェックする。即ち，第 16図図示矢印 αの個所にユーザコード " u " が記述されているか否かを調べる。無ければ次の矢印 ^の如く「〇〇△課」に属する内容をキーが変わるまで（「〇〇△課」でなくなるまで）（ S — 8 ) , または " u " が見つかるまで繰り返す（ S — 8 , S — 9 , S -11) 。キーが変わったときは起動付加としてプロテクトする。
[0199] ユーザコード " u " が見つかると（ S — 9 ) , 該処理 "A " は処理許可であるとして，その処理を起動させる（ S — 10) 。
[0200] 第 18図はプロテクトラベルを新設してラベル設定手段に登録する手順を説明するフローチャートであつて，ここでは上記第 16図に示したファイル構成に対して，新たにユーザコード " j " , " u " を持つ二人のユーザに対して或る処理を許容するプロテクトラベルの一般的決定手順例である。
[0201] 同図において，まず，当該処理のラベルに対応してユーザ（" j " , " u ")がすでに登録されているか否かを判断し（ S — 20) , 登録済の場合（ Y E S ) は新設不要であるから終了する（ E N D ) 。
[0202] 登録されていないときは（ N O ) , ユーザコード ( " j " , " u " ) を共に含む班内キーが有るか否かを判断し（ S — 21) , 有る場合には当該班内の位置に新たに班内キ一を新設し（ S —22) , 無ければユーザコード（" j " , " u " )を共に舍む班キ一が有るか否かを判断し（ S — 23) , 有る場合には当該班内の位置に新たに班内キーを新設する（ S — 24) 。
[0203] 以下，下位の階層から見ていき（ S — 24以降），当該ユーザコードが無い場合は上位階層に進んで，順次班キ一新設（ S— 26 ) , 課キー新設（ S — 27 ) , 部キー新設（ S — 30 ) を行い，これを階層メモリに登録する。
[0204] なお，最上位階層ラベルに至っても当該ユーザコードが無い場合は，論理ミスであるとして終了する。
[0205] 上記のようなプロテクトラベルの新設を行うことにより，下位階層のユーザが上位階層の特定処理を実行できる。即ち，第 16図図示の場合においてユーザコード（" j " , " u " )に対して実行可能な処理を新設したい場合には，第 16図図示の矢印 r の位置に「〇〇Δ厶 X」をもつものを新設して，ユーザコ一ド（" j " , " u " ) を割り付けるようにする。
[0206] 第 19図は本発明を実施したデータベース利用システムの構成例を説明するネットワーク図であって， 63は，ネットワーク， 64— 1 , 64 - 2 , 64— 3 , 64 — 4 , …， 64— nはユーザ， 10はネットワーク交換網， Lは各ユーザの端末をネットワーク変換網に接続するデ一タライン， D Bはデータベースである。
[0207] 同図におけるデータベース D Bは，ユーザ 3 とュ一ザ 4の各端末に設置したものとして示した力，このような構成に限らず，各ユーザ端末にそれぞれデ —タベースを設け，あるいはシステムに唯一のデータベースを設けるようにしてもよい。
[0208] このような構成のシステムにおいて，そのデータベース D B の中身（即ち処理）に上記した階層を施し，またュ一ザ 64— 1 , 64— 2 , ··' , 64— nを階層化し，これに本発明による群ラベルを付加することでプロテク卜に自由度を持たせたセキュリティ方式を備えたデータベース利用システムを得ることがでさる。
[0209] 以上のように，プロテクトをかける場合に，従来のランク付けによる方式では > そのランクによってプロテクトの対象が決まってしまうためにユーザ又は処理について個別にプロテクトを指定できないのに比べ，本発明の群ラベル方式によれば，ユーザまたは処理について個別にも，また集団でも自由にプロテクト範囲を設定できる。
[0210] 第 20図は，複数のパスワードから時間により有効な一つのバスワードを切り換え指定する本発明の実施例構成図である。
[0211] 第 20図において， 65は交換網であり，回線交換網或いはバケツト交換網等で構成されているもの， 66 — 1 , 66— 2 , ··· , 66 - i , ·♦· , 66— n は端末装置であり，所定の条件を満たしたときに限り通信ネットワークシステムに加入（アクセス）することができるもの， 67は管理センタであり，通信ネットヮークシステムへの加入継続時にチェックする使用者 I D , バスワード等の管理を行うもの， 68はバスヮード格納部であり I Dにリンクしたパスヮ一ドが格納されているもの， 69は時間管理部であり，システム加入時又は任意に設定された時間ごとにパスヮ一ド格納部 68から時刻対応のパスヮードを出力させると共に，加入者に継続のパスワード投入を要求させるチユック用信号を出力するもの， 70はパスワード要求部であり，時間管理部 70から入力されるチユック用信号を基にシステム加入時又はその継繞時にパスワードの投入要求を行うもの， 71はパスワード判定部， 72は制御部， 73はアドレス発生回路である。
[0212] パスヮード格納部 68に単位時間毎に異なるパスヮードが格納されている場合，パスワード要求 70からパスヮ一ドの投入要求が出されたとき， I D使用者はその時刻帯に適合したパスワードの投入が要求され，また所定時間経過毎にパスワードの再投入が要求される。しかもそのパスワード ' チェックの際，パスヮード格納部 68から時刻帯毎に異なつたパスヮ一ドが読み出されパスヮ一ド判定部 71に設定されるようになっているので，不正 I D使用者のシステム加入のチヱックが厳格となり，またシステムへの加入ができても所定時間後のチック時にはパスヮ一ドが変わっているので，その加入継続が困難となる, パスヮ一ド格納部 68に端末番号が格納されている場合，所定時間経過毎にパスワードの再投入が要求され，しかもパスヮード判定部 71には最初のパスヮ一ドと異なつた I D使用者の端末番号がバスヮ一ド' 格納部 68から設定されているので，不正 I D使用者のシステム加入継続が困難となる。
[0213] 制御部 72は，交換網 65を通して管理センタ 67に送られてきた通信ネットワークシステムへの加入の際の使用者 I Dを受け，当該 I Dにリンクしたパスヮードをパスヮード格納部 68から読み出させるためのアクセス I Dの制御信号と，パスワード投入要求の時間間隔を定めるパスワード単位時間の制御信号と, データのアクセス中等で 2つの時刻帯にわたるときその時刻帯でのパスヮードのチヱックを行うかどうかを定めるパスワード * チユック有無の制御信号とをァドレス発生回路 73と時間管理部 69とにそれぞれ出力するようになっている。
[0214] アドレス発生回路 73は，制御部 72からのアクセス I Dの制御信号と時間管理部 69からのチェック用信号とを受け，入力された使用者 I Dについての予め登録されているバスヮードをパスヮ一ド格納部 68から順次読み出すァドレスを生成するようになっている。
[0215] なお，時間管理部 69は制御部 72からパスワード · チヱック無しの制御信号を受けたとき，チユック用信号を発生しないようになっている。またパスヮ一ド · チヱック有りの制御信号を受け，かつパスヮード単位時間の制御信号を受けたとき，時間管理部 69 は，バスヮ一ド要求部 70に対してはパスヮ一ド単位時間ごとにパスヮード再投入を要求させるチヱック信号を出力するようになっており，アドレス発生面路 73に対しては上記パスヮ一ド要求部 70に出力するチユック用信号の発生時刻を基に，当該チェック信号の出力時刻が， 1 日の 24時間をパスヮ一ド単位時間で分割したときの何番目の時刻帯に属するかを求め，その時刻帯に属する番号をチユック用信号として出力するようになっている。或いはパスワード要求部 70に出力する最初のチユック用信号の出力時刻が上記 1 日の 24時間をバスヮ一ド単位時間で分割したときの何番目の時刻帯に属するかを求めて，その時刻帯に属する番号を初期値としてァドレス発生回路 73に入力させ，その後はパスワード要求部 70に対しチヱック用信号を出力するごとに + 1 カウントァップするパルスをチヱック用信号として，アドレス発生画路 73へ送出するようにしてもよい。
[0216] 第 21図は第 20図の実施例に用いられる格納フアイルのイメージ図を示している。
[0217] 使用者 I D番号格納ファィル 74には使用者 I D番号の欄 75と共にそのリンク ' コード欄 76とが設けられており，当該リンク · コード欄 76のコードを引くことにより当該使用者 I D番号の欄 75に登録されている使用者 I D番号の個人情報格納ファィル 77が読み出される。当該個人情報格納ファイル 77には氏名住所，電話番号，その他一般個人情報が登録されるようになっており，さらに本発明との係わりのある上記パスヮード単位時間，パスワード · チヱックの有無が登録されるようになっている。そしてリンク • コ一ド欄 78が設けられている。当該リンク ' コ一ド欄 78のコ一ドを引くことによりパスヮード格納ファィル 79が読み出される。当該パスワード格納ファィル 79は第 20図のパスヮ一ド格納部 68に格納されており，制御部 72からアドレス発生回路 73へ出力される制御信号のアクセス I Dは，上記リンク ' コード欄 78のコ一ドを指定している。
[0218] パスワード格納ファイル 79には再パスヮード · デ —タを登録する欄 80が設けられ，上記説明の 1 日の 24時間をパスヮード単位時間で分割した数のパスヮ一ド . データを時刻带順に登録するようになつている。例えばバスヮ一ド単位時間が 1時間であれば， 24個のパスワード · データが 0時から 1時までの時刻帯のパスワードを先頭に， 23時から 24時までの時刻帯のパスワードを最後にした形で登録される。同様に，例えばパスヮ一ド単位時間が 2時間であれば, 0時から 2時までの時刻带のパスワードを先頭に， 22時から 24時までの時刻帯のパスワードを最後にした形で登録される。
[0219] 当該パスワード格納フアイル 79に登録されるパスワード · データは数字 . 記号等任意の組み合わせの文字列が使用される。
[0220] 第 22図は新規登録時の一実施例フローチヤ一トを示しており，端末装置 66— i から管理センタ 67へ情報通信ネットワークシステムへアクセスするための新規登録が行われる。すなわちシステム内で個人識別のための使用者 I D番号を入力すると（ステップ 1 ) > 使用者 I D番号格納フアイル 74の所定の欄に当該使用者 I D番号が登録される。
[0221] 次に時刻変化でのチヱック用データとして，パスワードの時間監視用単位時間を入力し（ステップ 2 ) 次いでアクセス中に時刻帯が変化したときにそのァクセスを中維させバスワード投入の要求を行うかどうかの入力を行うと（ステップ 3 ) , これらのパスヮ一ド単位時間とパスワード . チヱックの有無が個人情報格納ファィル 77に登録される。
[0222] さらに 1 日の 24時間を上記パスヮ一ド単位時間で割った数のパスワードを時刻帯の早い順，つまり 0 時から 12時さらに 24時に向かって分割された時刻帯順に，登録申請者の好みに応じたパスワードを入力するごとに（ステップ 4 ) , バスワード格納フアイル 79 , すなわちパスワード格納部 68に登録される。
[0223] この様にして時刻带毎に変化するパスヮードがパスヮード格納部 68に登録されている使用者 I Dで情報通信ネットワークシステムへの加入があつたときの動作を，第 23図のフローチャートを参照しながら説明する。
[0224] 今，例えば端末装置 66— i が交換網 65を通して管理センタ 67と接続されたものとして説明すると，情報通信ネットワークシステムへの加入のため，端末装置 66— i から使用者 I Dが管理センタ 67に入力される。当該使用者 I Dの正否の判断は図示されていない別の回路装置によって判別され，使用者 I Dが不正使用の場合は管理センタ 67は交換網 65との接続を直ちに解除する処理を別の装置によって行うようになっている。
[0225] しかしながら本発明について説明すると，管理センタ 67に送られて来た使用者 I Dは制御部 72に入力される（ステツプ 11 ) 。当該制御部 72は使用者 I D 番号格納ファイル 74を参照し，使用者 I D番号の欄 75から対応のリンク ' コ一ド欄 76に記載されているそのリンク · コードを求め，当該リンク · コードを引いて当該使用者 I D番号の個人情報格納フアイル 77を読み出す。そしてそこに登録されているパスヮ ― ド単位時間及びパスワード . チックの有無の制御信号を得ると共に，リンク ' コード欄 78から当該使用者 I Dに割り付けられているアクセス I Dの制御信号を得る（ステップ 12 ) 。制御部 72はアクセス I Dの制御信号をァドレス発生回路 73へ送出すると共に，バスヮ一ド単位時間及びバスワード . チヱックの有無の制御信号を時計管理部 69に送出する。時計管理部 69は，上記バスワード単位時間等の制御信号を受信した時，その時刻を 24時間系で取得し (ステップ 13 ) ，上記パスワード単位時間を基に当該取得時刻が何番目の時刻帯に属するかを求めた上で，その時刻帯の属する番号をアドレス発生回路 73 へチヱック用信号として送る。またパスワード要求部 70に対しパスヮード投入を要求させるチヱック用信号を出力する。
[0226] 制御部 72からアクセス I Dの制御信号と時間管理部 69から時刻帯の属する番号のチック用信号とを受けたアドレス発生画路 73は，上記アクセス I Dの制御信号を基にバスヮード格納部 68の当該使用者 I Dの欄を指定するアドレスを発生させ，また上記時刻帯の属する番号のチュック用信号を基に時刻带対応に格納されているパスワードを指定するァドレスを発生させる。従ってバスワード格納部 68から当該使用者 I Dの現時刻についての該当パスヮ一ドが読み出される（ステツプ 14 ) 。
[0227] このパスワードはバスヮ一ド判定部 71に設定される。
[0228] 例えばパスヮード単位時間が 1時間で管理センタ 67にシステム加入依頼の受信時刻が 10時 15分のとき . 現在 10時なのでパスヮ一ド格納ファィル 79の第 10番目に格納されているパスワードがパスワード判定部 71に設定される。
[0229] 一方，時間管理部 69からチェック用信号を受けたパスワード要求部 70は，端末装置 66— i にパスヮード投入の要求が出され，端末装置 66— i からパスヮ一ド投入要求に応じてパスヮードが管理センタ 67に送られてくる。このパスワードはパスワード判定部 71に入力され（ステツプ 15 ) , パスヮ一ド格納部 68 から読み出された時刻帯対応のパスヮ一ドとの比較が行われる（ステップ 16 ) 。
[0230] 使用者 I Dの正当な使用者ならば，現時刻帯における正しいパスワードを投入することができるので, システムへの加入が認められ，そのサービスが開始される（ステップ 17 ) 。また例えパスワードを入れ違えても（ステップ 16 ) , 続いてパスワードの再投入の際，正しいパスワードを投入することができ (ステップ 15 , 16 ) , 加入が許可される。
[0231] しかしながら不正使用者によるときには， 3回目のパスワード投入に際しても正しいパスワードを入力することができないので，また例え正当使用者でも 3 回目までに正しいパスワードが投入されないとき（ステップ 18 ) , パスヮード判定部 71は，図示されていない別の画路装置を介して交換網 65との接続を解除させる（ステップ 19 ) 。つまり端末装置 66— i からのシステムへの加入を認めない。
[0232] この様にパスヮードが時刻帯によって順次変化するので，不正アクセスをより堅固に阻止することができる。
[0233] 第 24図はシステム加入後の一実施例フローチャートを示している。
[0234] サービス実施中（ステップ 21 ) , 例えば上記の 10 時 15分にシステムに加入した場合，パスヮード単位時間 1 の場合であるから 11時（正確には 11時すぎ）に時間管理部 69からパスヮ一ド要求部 70へチュック用信号が出力される。これによりパスワード要求部 70はパスヮ一ドの再投入を端末装置 66— i に要求する（ステツプ 22 ) 。
[0235] このときパスヮ一ド判定部 71にはパスヮード格納フアイル 79の第 11番目に格納されているパスヮ一ドが設定されている。
[0236] パスワード再投入要求に応じ，端末装置 66— i から当該 11時の時刻带として登録されている正しいパスワードが投入されたとき（ステップ 23 , 24 ) , そのサービスの鐽続が行われる（ステップ 25 ) 。
[0237] 一方，現時刻帯における正しいパスワードを投入することが 3回目までに出来ないときには（ステツプ 26 ) , 交換網 65との接続が解除され（ステップ 27) サービスの継続が停止される。
[0238] なお，バスワード · チユック無しが個人情報格納ファイル 77に登録されている場合には，データ転送中等のサービス中で時刻帯が変わっても，上記のパスワードの再投入要求がなされず，データ転送の中断が避けられる。
[0239] また，この他種々の設定の仕方が認められ，所定時間毎に，上記の例では 11時 15分， 12時 15分の如くパスワードの再投入要求することも：時間管理部 69 に設定することにより自由にできる。
[0240] 以上はバスヮード格納部 68に経時変化のパスヮ一ドを登録しておく場合について説明したが，当該パスヮード格納部 68に通常のパスヮ一ドと端末番号とを格納しておいてもよい。
[0241] この場合，通常のパスワードが読み出されるアドレスを特別に設けて登録しておき，管理センタ 67へシステム加入依頼があつたとき，この特別のァドレスをァドレス発生回路 73から発生させるようにしておく。
[0242] そして時刻帯毎に上記端末番号を登録しておけば, 最初のパスワード投入に対しては通常のパスヮードとの一致によりシステムへの加入が認められ，その後は時刻帯が変化する毎に，又は所定時間経過毎に，パスワードの再投入が要求され，当該端末装置 66— i からでなければサービスの継続が受けられないようになる。
[0243] この他パスワード格納部 68に種々の原理，原則に基づくパスワードを任意に登録することができ，時間の経.過と共にチヱックされるパスヮードを任意に変えられるので，不正 I D使用者のシステム加入が困難となる。また経時変化するパスワードの再投入が要求されるのでその継続も不正 I D使用者には困難となる。
[0244] なお説明の都合上パスヮード格納部 68などの本発明を構成する回路装置を管理センタ 67へ設けて説明した力各端末装置 66— 1 ないし 66— nにそれぞれ設けてもよいことは言うまでもない。
[0245] 以上のように，経時的に有効なパスワードが変化するので，また所定時刻或いは所定時間毎に異なつたパスワードの再投入が要求されるので，システムへの加入，耱続が不正 I D使用者にとって困難となり，より堅固に阻止することが可能となる。
[0246] 第 25 A図はデータの重要度に応じて必要なパスヮードの個数を変えるセキュリティ管理方法の原理構成図である。
[0247] 第 25 A図において， 81は端末， 82は偭人情報保持部， 83はレベル， 84はセキュリティ処理部， 85はデ —タベース， 86はデータ情報保持部， 87はデータ， 88は複数パスワード， 89はパスワードの個数である _c 端末 81は，データベース 85を利用するユーザが，ユーザ I D及びパスワード等を入力し，参照したいデータ 87を指定するためのものである。
[0248] 個人情報保持部 82は，ユーザ I D毎に当該ユーザ I D (即ちユーザ）のレベル 83を格納する。レベル 83は，高級なユーザ I D程，大きい値とされる。
[0249] データベース 85は，データ 87とデータ情報保持部 86とを舍む。データ情報保持部 86は，データ 87毎に当該データ 87の重要度に応じた数だけの複数パスヮード 88と，当該重要度に応じた数（パスワード個数） 89とを格納する。データ 87が重要である程，パスヮ一ドの数 89は大きい値とされる。
[0250] セキュリティ処理部 84は，データ 87の参照を許すか否かを判断し，端末 81から所定のユーザ I D及びパスワードが入力された場合に，当該端末 81からの指定されたデータ 87の参照を許す。
[0251] データベース 85内のデータ 87の参照にあたって，端末 81へのユーザ I Dの入力及びデータ 87の名前 (データ名）の入力による参照したいデータ 87の指定が行われると，個人情報保持部 82から入力されたユーザ I Dに対応するレベル 83が取り出され，また，データ情報保持部 86から指定されたデータ 87に対応するパスヮードの偭数 89が取り出される。
[0252] これに応じて，セキュリティ処理部 84が，取り出されたレベル 83及びパスヮ一ドの個数 89とに基づいて，当該データの参照のために入力すべきパスヮ一ドの数を求める。これは例えば，パスワードの個数 89からレベル 83を差し引くことにより，求められる。
[0253] そして，セキュリティ処理部 84は，前記求めた数だけのパスヮードが端末 81に入力されると，その各々について，データ情報保持部 86に格納された複数ノ、'スワード 88のいずれかと一致するか否かを調べる。そして，入力されたパスワードの全てが複数パスヮ — ド 88と一致した場合に，指定されたデータ 87について，当該ユーザ I Dが参照することを許す。
[0254] このように，データ 87の重要度に応じてパスヮ一ドの個数 89を増減することにより，例えば，パスヮ ― ドを 1つしか持たないような初級のュ一ザのユーザ I D及びパスヮードが他人が知られたとしても ·，重要度の高いデータ 87の秘密は守ることができる。従って，データベース 85全体として，そのセキユリティを高めることができる。
[0255] 一方，重要度の高いデータ 87のパスワードの個数 89を相当に大きくしても，高級なユーザは，そのレベル 83を高くすることにより（実際は全てのバスヮードを知っていても），少ない数のパスワードを入力すればデータ 87を参照することができる。従って, ユーザ，特に高級なユーザの食担を増加することなく，セキュリティを向上できる。
[0256] 第 25 B図は第 25 A図に示したセキユリティ管理方法の一実施例構成図であり，データベースシステムを示している。
[0257] 第 25 B図において， 90はレベル取出部， 91は入出力部， 92はデータ表示処理部， 93は入力部， 94は表示部， 95及び 98は送信部， 96及び 97は受信部， 99はデータ情報取出部， 100 は入力数算出部， 101 はパスワードチヱック部， 102 はデータ取出部， 103 はシステム又は計算機センターである。レベル取出部 90は，入出力処理部 91からのユーザ I Dに基づいて個人情報保持部 82を検索して，対応するレベル 83を取り出し，送信部 95へ送る。ここで個人情報保持部 82は，第 25 C図図示の如き構成とされる。即ち，ユーザ I D毎に，これに対応してそのレベル 83が格納される。
[0258] 入出力処理部 91は，入力部 93からの入力を受け付け，また表示部 94への所定の表示を行う。入力部 93 は，キーボードの如き入力装置であり，ユーザ I D > 参照データ名，パスワード等を入力するためのものである。表示部 94は， C R Tの如き表示装置であり，パスワードの入力要求，データ 87等を表示するためのものである。入出力処理部 91は，受け付けたユーザ I Dをレベル取出部 90へ送り，受け付けた参照データ名（参照したいデータの指定の入力）及び（複数の）パスワードを送信部 95へ送り，一方，受信部 97から入力すべきパスワードの数（パスワード入力要求）を受信すると，パスワードの入力要求を表示部 94に表示する。
[0259] データ表示処理部 92は，受信部 97からデータ 87を受信すると，これを表示部 94に表示する。
[0260] 端末 81の送信部 95は，システム 103 の受信部 96に対して，レベル，参照データ名，パスワード等を送信する。そして受信部 96は，参照データ名をデータ情報取出部 99へ，レベルを入力数算出部 1 00 へ，パスワードをパスワードチェック部 101 へ，各々送る。端末 81の受信部 97は，受信したパスワード入力要求を入出力処理部 91へ，受信したデータ 87をデータ表示処理部 92へ送る。一方，システム 103 の送信部 98は，パスワード入力要求及びデータ 87を受信部 97 へ送る。
[0261] データ情報取出部 99は，受信部 96からの参照データ名に基づいてデータ情報保持部 86を検索し，対応するパスワードの個数 89を取り出し，入力数算出部 100 へ送る。ここで，データ情報保持部 86は，第 25 D図図示の如き構成とされる。即ち，データ名（デ一夕）毎に，これに対応してそのパスワードの個数 89が格納され，更にバスヮ一ドとしての文字列が格納されている。パスワードの個数 89が，図示の如く，「 n偭」とされている場合， n個の文字列「文字列 1 , ……文字列 n 」がバスワードとして格納されている。
[0262] なお，パスワードの個数 89が「 0偭」の場合（パスワードの設定がない場合），データ情報取出部 99 は，この旨をデータ取出部 102 に通知する。
[0263] 入力数算出部 100 は，レベル 83とパスワードの個数 89とに基づいて，入力すべきパスワード個数を求める。例えば，レベル 83が L , パスワードの個数 89 が nとすると，入力すべきパスワード偭数 mは， m = n— Lとして求められる。入力数算出部 100 は- m個のパスヮード入力要求を送信部 98へ送る。
[0264] ここで，誰もが参照を許されるデータ 87については，例えば， n = 0 ( L = 0 ) とされる力、，または， II = 1 ( L - 1 ) とされる。この場合，ユーザ I D の入力のみで参照が許されることになる。一方「 n 」が大きな値であっても，「し」が「ひ」より 1 だけ小さいとすれば，そのランクのユーザ I Dは 1 個のパスヮード入力のみで重要なデータ 87を参照できる。
[0265] ノスワードチヱック部 101 は，受信部 96からのパスワードについてチェックする。即ちその個数が，先に入力数算出部 100 において求めた個数 mだけあるか否かをチェックする。そして更に，入力されたパスワードの各々が，データ情報保持部 86内のパスワードとしての文字列（第 25 D図参照）のいずれかと一致するか否かをチヱックする。このチェックの結果，入力されたパスワードが全てパスワードとしての文字列と一致した場合，パスワードチヱック部
[0266] 101 は，この旨をデータ取出部 102 に通知する。
[0267] データ取出部 102 は，データ情報取出部 99又はパスワードチヱック部 101 からの通知を受けると，参照データ名に基づいてデータベース 85を検索して，当該データ名のデータ 87を取り出し，送信部 98へ送る。このために例えば，前記通知には，参照データ名が舍まれる。
[0268] なお，セキュリティ処理部 84は，データ情報取出部 99 > 入力数算出部 100 及びパスワードチュック部 101 からなる力、，又はこれらにレベル取出部 90を加えたものからなる。
[0269] また，レベル取出部 90は，システム 103 側に存在してもよく，この場合，レベル 83についての情報も，システム 103 側に存在してもよい。
[0270] 第 26図は第 25 B図の実施例のデータ参照処理フロ一ある
[0271] ① ユーザが，入力部 93からユーザ I D及び参照デ一タ名を入力する。
[0272] これに応じて，レベル取出部 90がユーザ I Dに基づいて対応するレベル Lを求め，端末 81が参照データ名にレベル Lを付してシステム 103 に対してのデータ要求を行う。
[0273] ② システム 103 がこのデータ要求を受信すると，まず，データ情報取出部 99がデータベース 85のデータ情報保持部 86を検索する。
[0274] 検索の結果，パスワードが存在しない場合，この旨を，データ取出部 102 に通知する。
[0275] ③ パスワードが存在する場合，入力数算出部 100 が，入力すべきパスワードの個数 mを求める。
[0276] これに基づいて，システム 103 が m偭のパスヮード入力要求を端末 81に対して行う。
[0277] ④ 端末 81がこの入力要求を受信すると，入出力処' 理部 91が，表示部 94に， m個のパスワードの入力要求を表示する。
[0278] ⑤ ユーザが，入力部 93から（m個の）パスワードを入力する。
[0279] これに応じて，端末 81が，入力されたパスヮードをシステム 103 に送る。
[0280] ⑥ システム 103 が入力されたパスワードを受信すると，パスワードチェック部 101 が, データ情報保持部 86を参照して，入力されたパスワードと予め格納された（定められた）パスヮ一ド 88とが一致するか否かを調べる。
[0281] m個の入力パスヮードの一部にでも定められたパスヮード 88と一致しないものが存在する場合，処理③以下を繰り返す。そして，所定回数操り返しても一致しない場合，当該データ要求には応じない。
[0282] ⑦ m個の入力バスヮードの全てがバスヮード 88と一致した場合，この旨をデータ取出部 102 に通知する。
[0283] データ取出部 102 は，データ情報取出部 99又はバスワードチェック部 101 からの通知を受けると，参照データ名に対応するデータ 87を取り出す。そして，システム 103 から端末 81に対してデータ 87 が送信される。
[0284] ⑧ 端末 81がデータ 87を受信すると，データ表示処理部 92が当該データ 87を表示部 94に表示する。以上說明したように，データの重要度に応じた複数のパスワードとユーザ I Dのレベルを用いることにより，仮にあるユーザのユーザ I D及びパスヮードが他人に知られた場合であっても，重要度の高いデータの参照を許さないようにすることができ，また，レベルの高いユーザ I Dは少ない負担で重要度の高いデータを参照することができる。
[0285] 第 27 A図は利用者のランクに応じた個数のパスヮ一ドの保持を要求するセキュリティ管理方法の実施例の概念図である。
[0286] 第 27 A図において， 81は端末， 82は個人情報保持部， 83' はパスワード数， 84はセキュリティ処理部, 85はデータベース， 86はデータ情報保持部， 87はデ —タ， 88はユーザ I D , 89は複数のパスワードであり， 83' を除き，第 25 A図の実施例と要素名が同じ要素には共通の参照番号が与えられている。
[0287] 端末 81では，データべ一ス 85を利用するユーザが, ユーザ I D 88及びパスワード等を入力し，参照したいデータ 87を指定することができる。
[0288] 個人情報保持部 82は，ユーザ I D 88毎に当該ユーザ I D 88 (即ちユーザ）に対応する複数のパスヮード 89を保持する。複数のバスワード 89の個数は，高級なユーザ I D 88程，大きい値とされる（多数持つことを許される）。
[0289] データベース 85は，データ 87とデータ情報保持部 86とを舍む。データ情報保持部 86は，データ 87毎に当該データ 87の重要度に応じたパスヮード数 83を格納する。データ 87が重要である程，パスワード数 83 は大きい値とされる。
[0290] セキュリティ処理部 84は，データ 87の参照を許すか否かを判断し，端末 81から所定のユーザ I D 88及びパスワードが入力された場合に，当該端末 81からの指定されたデータ 87の参照を許す。また，セキュリティ処理部 84は，ユーザ I D 88のランクの高低に応じて，これに対応する複数のバスワード 89の数を, その格納の際に条件付ける。
[0291] データベース 85内のデータ 87の参照にあたって，端末 81へのユーザ I D 88の入力，及びデータ 87の名前（データ名）の入力による参照したいデータ 87の指定が行われると，データ情報保持部 86から指定されたデータ 87に対応するパスワード数 83 ' が取り出される。
[0292] そして，セキュリティ処理部 84は，パスワード 83 ' の分だけのパスヮードが端末 81に入力されると，その各々について個人情報保持部 82に格納されたパスヮード 89であって，先に入力されたユーザ I D 88に対応する複数のパスワード 89のいずれかと一致するか否かを調べる。そして，入力されたパスワードの全てが複数のバスワード 89と一致した場合に，指定されたデータ 87について，当該ユーザ I D 88が参照することを許す。
[0293] このように，データ 87の重要度に応じてパスヮ一ド数を増滅することにより，例えば，パスワードを 1つしか持たない（持つことを許されない）ような初級のユーザのユーザ I D 88及びパスヮ一ドが他人に知られたとしても，重要度の高いデータ 87の秘密は守ることができる。従って，データベース 85全体として，そのセキュリティを高めることができる。一方，重要度の高いデータ 87のパスワード 83を相当に大きくしても，高級なユーザは，そのランクに応じて相当数のパスワード 89を有する（持つことを許される）ので，支障なく当該データ 87を参照することができる。
[0294] 第 27 B図は第 27 A図の実施例の詳細構成図である ₍ 第 27 B図において， 90' はパスワード取出部， 91 は入出力処理部， 92はデータ表示処理部， 93は入力部， 94は表示部， 95及び 98は送信部， 96及び 97は受信部， 99はデータ情報取出部， 101 はパスワードチエック部， 102 はデータ取出部， 103 はシステム又は計算機センターである。 90 ' を除き，第 25 B図の実施例と要素名が同じ要素には共通の参照番号が与えられている。
[0295] バスワード取出部 90' は，入出力処理部 91からのユーザ I D 88に基づいて個人情報保持部 82を検索じて，対応する複数のバスワード 89を取り出し，パスワードチユック部 101 へ送る。ここで，個人情報保持部 82は，第 27 C図図示の如き構成とされる。即ち，ユーザ I D 88毎に，これに対応する複数のパスヮード 89 , 即ち，複数のパスワードとしての複数（ n個）の文字列「文字列 1 , …文字列 n」が格納されている。これらの文字列は，対応するユーザ I D 88を持つユーザによって予め設定される。この時，文字列の個人がセキュリティ処理部 84によって制限される。このために，個人情報保持部 82において，ユーザ I D 88毎に，そのランクについての情報（例えば設定を許すパスワード 89の数）を備えるようにしてもよい。即ち，セキュリティ処理部 84は，パスワード 89 の設定時に > 個人情報保持部 82を参照して，文字列の個数の上限を求め，個数を制限する。
[0296] なお，複数のパスワード 89の取り出しは，例えば，入力部 93からのバスヮードの送信があつた後に行われる。
[0297] 入出力処理部 91は，入力部 93からの入力を受け付け，また表示部 94へ所定の表示を行う。入力部 93は，キーボードの如き入力装置であり，ユーザ I D 88 , 参照データ名，パスワード等を入力するためのものである。表示部 94は， C R Tの如き表示装置であり，バスワードの入力要求，データ 87等を表示するためのものである。入出力処理部 91は，受け付けたユーザ I D 88をパスワード取出部 90へ送る。受け付けた参照データ名（参照したいデータの指定の入力）を送信部 95へ送り，入力部 93から入力され受け付けられたパスワードをパスヮードチェック部 101 へ送り，一方，受信部 97から入力すべきパスヮ一ド数 83 ( パスワード入力要求）を受信すると，パスワードの入力要求を表示部 94に表示する。
[0298] データ表示処理部 92は，受信部 97からデータ 87を受信すると > これを表示部 94に表示する。
[0299] 端末 81の送信部 95は，システム 103 の受信部 96に対して，参照データ名（データ要求） > データ再要求を送信する。そして，受信部 96は，参照データ名をデータ情報取出部 99へ，データ再要求をデータ取出部 102 へ，各々送る。
[0300] 端末 81の受信部 97は，受信したパスワード入力要求を入出力処理部 91へ，受信したデータ 87をデータ表示処理部 92へ送る。一方，システム 103 の送信部 98は，バスワード入力要求及びデータ 87を受信部 97 へ送る。
[0301] データ情報取出部 99は，受信部 96からの参照データ名に基づいてデータ情報保持部 86を検索し，対応するパスワード数 83を取り出し，送信部 98へ送る。ここで，データ情報保持部 86は，第 27 D図の如き構成とされる。即ち，データ名（データ）毎に，これに対応してそのパスヮード数 83 (例えば「 m個」' ) が格納される。なお，ノスワード数 83が「 0個」の場合（パスヮードの設定がない場合），データ情報取出部 99は，この旨をデータ取出部 102 に通知する。例えば，誰もが参照を許されるデータ 87については， m = 0 とされ，ユーザ〗 Dの入力のみで参照が許されることになる。
[0302] またパスヮ一ド数 83の m個より少数のパスヮ一ド 89しか持たない（初級の）ユーザ I D 88は，当該データ 87の参照手段を持たないことになる。
[0303] パスワードチユック部 101 は，入出力処理部 91からの入力されたパスヮードについてチェックする。即ち，その個数が先にデータ情報取出部 99において取り出した数 mだけあるか否かをチヱックする。そして，更に入力されたパスワードの各々が，個人情報保持部 82内のパスワード 89としての文字列（第 27 C図参照）のいずれかと一致するか否かをチェックする。このチヱックの結果，入力されたバスワードが, 全てパスヮ一ド 89としての文字列と一致した場合，パスワードチヱック部 101 は，送信部 95を介して，システム 103 に対して，データ 87の再要求を通知する。
[0304] データ取出部 102 は，データ情報取出部 99又はパスワードチヱック部 101 からの通知を受けると，参照データ名に基づいてデータベース 85を検索して，当該データ名のデータ 87を取り出し，送信部 98へ送る。このために例えば，前記通知には，参照データ名が含まれる。
[0305] なお，セキュリティ処理鄯 84は，データ情報取出部 99 , バスワードチヱック部 101 からなるか，又はこれらにパスワード取出部 90 ' を加えたものからなる。
[0306] また，パスワード取出部 90 ' は，システム 103 側に存在してもよく，この場合，ノ、'スワードチヱック部 101 も，システム 103 側に存在してもよい。
[0307] 第 28図は第 27 B図の実施例のデータ参照処理フ α —である。
[0308] ① ユーザが，入力部 93からユーザ I D 88及び参照データ名を入力する。
[0309] これに応じて，端末 81が参照データ名を付してシステム 103 に対してのデータ要求を行う。
[0310] ② システム 103 がこのデータ要求を受信すると，まず，データ情報取出部 99がデータベース 85のデータ情報保持部 86を検索する。
[0311] 検索の結果パスヮード数 83が「 0 」である (パスワードが存在しない）場合，この旨を，デ一タ取出部 102 に通知する。
[0312] ③ パスヮード数 83が 0でない（パスワードが存在する）場合，データ情報取出部 99がパスワード数 83を取り出し，これに基づいて，システム 103 が m個のバスヮード入力要求を端末 81に対して行う ④ 端末 81がこの入力要求を受信すると，入出力処理部 91が，表示部 94に， m個のパスワードの入力要求を表示する。
[0313] ⑤ ユーザが，入力部 93から（ m個の）パスワードを入力する。
[0314] この入力を待って，パスワード取出部 90がユーザ I D 88に基づいて対応する複数のパスヮ一ド 89 を全て取り出し，パスワードチユック部 101 へ送る
[0315] ⑥ パスワードチェック部 101 力く，入力されたパスワードと予め格納された（定められた）パスヮ一ド 89とが一致するか否かを調べる。
[0316] m個の入力バスヮードの一部にでも一致しないものが存在する場合，処理⑤以下を繰り返す。そして，所定回数繰り返しても一致しない場合，当該ユーザ I D 88の要求には応じない。
[0317] m個の入力パスヮードの全てが一致した場合，パスワードチヱック部 101 は，データ 87の再要求をシステム 103 に通知する。
[0318] ⑦ データ取出部 102 は，データ情報取出部 99からの通知を受けるか又はパスヮ一ドチヱック部 101 からの通知を受けると（システム 103 がデータ 87 の再要求を受信すると），参照データ名に対応するデータ 87を取り出す。そして，システム 103 力、ら端末 81に対してデータ 87が送信される。 ⑧ 端末 81がデータ 87を受信すると，データ表示処理部 92が当該データ 89を表示部 94に表示する。以上のように，データの重要度に応じたパスヮ一ド個数と複数のバスワードとをチェック条件に用いることにより，仮にあるユーザのユーザ I D及びパスワードが他人に知られた場合であっても，重要度の高いデータの参照を許さないようにすることができ，一方，レベルの高いュ一ザ I Dは全く支障なく重要度の高いデータを参照することができる。
[0319] 第 29図は本発明によるパスヮードの入力に要する時間をチユック条件とするセキュリティ管理方法の実施例構成図である。
[0320] 第 29図において， 104 は入出力装置， 105 は処理装置， 106 はバスワードチヱック処理部， 107 はパスワード格納領域， 108 はパスワード文字列， 109 はパスワード入力時間， 110 ( 110 一 1 ないし 110 一 4 ) は端末， 111 は交換網（又は公衆網）， 112 はデータベース（の資源）である。
[0321] パスワードチユック処理部 106 は，中央処理装置及びメモリからなる処理装置 105 内に設けられ，利用者の資格をチヱックするためにパスワードを用いたチユックを行う。このチヱックは，利用者が入力したパスワードと，予め定められたパスワードとを比較することにより行われる。
[0322] 入出力装置 104 は，バスワードを入力するために用いられる。
[0323] パスワード格納領域 107 は，予め定められたパスワードとして，当該パスワードを構成する文字列 (パスワード文字列） 108 と，当該パスヮードについての入力時間についての情報（パスヮード入力時間） 109 とを格納する。
[0324] パスワードチユック処理部 10G は，入出力装置 10 4 から利用者によりパスワードが入力されると > これに応じて以下の処理を行う。
[0325] 即ち，当該入力されたパスワードを構成する文字列を記憶する（セーブする）と共に，当該パスヮードについての入力時間についての情報を抽出しセ一ブする。この情報は，例えば文字列を構成する各文字間の入力時間間隔からなる。
[0326] 次に，パスヮード格納領域 107 からパスヮード文字列 108 及びパスワード入力時間 109 とを読み出す c そして入力された（セーブされた）バスワード（の文字列）と，パスワード文字列 108 とを照合する。また抽出された（セ一ブされた）入力パスヮ一ドの入力時間についての情報と，パスワード入力時間 10 9 とを照合する。
[0327] この 2重の照合の結果，文字列及び入力時間の双方が一致した場合にのみ，利用資格があるものとされ，それ以外の場合は；利用資格がないものとされ "&。このように， 1 つのパスヮ一ドを用いて多重のチユン'クを行うことにより，比較的簡単な構成で利用者資格を確実にチヱックすることができる。
[0328] 端未 110 — 1 ないし i i O — 4 は，各々が独立した計算機であり，入出力装置 104 , 処理装置 105 等を備える。端末 11 ϋ 一 1 ないし 110 - 4 は，交換網 11 1 を介して相互に接続され，計算機ネットワークを構成する。
[0329] また端末 1 10 — 1 ないし 110 — 4 は，必要に応じて，データベース 112 又はその資源を分散して備え, 交換網 111 を介して相互に接続されることによって分散型データベースシステムを構成する。
[0330] 分散型データベースシステムにおいて，所定の 1 つの端末 110 — 2が，データべ一ス 112 の管理のためのセンタ一として機能する。即ち機密性のあるデ- ータベース 112 についてアクセスがあった場合，パスヮ一ドにより，アクセスした利用者の資格チヱックを行う。このために端末 110 — 2 のパスワード格納領域 107 には，システム又はグループ内の全てのノ、'スヮ一ド（ P W 1 ないし P W η ) について，そのパスヮ一ト文字列 108 及びパスヮ一ド入力時間 109 が，互いに対応させられて格納されている。パスヮード格納領域 107 は，センターである端末 110 - 2 のみが備える。
[0331] これに対して，パスヮードチェノク処理部 106 t 各端末 110 — 1 ないし 110 — 4 に備えられる。そして各端末 110 — 1 ないし 110 — 4 において，入力されたパスヮ一ドの文字列をセーブし，またそ Ο入力時間についての情報を抽出しセーブする。センタ一以外の各端末 110 — 1 , 110 3及び 110 — 4 においてセーブされた文字列及び入力時間についての情報は，交換網 111 を介して，端末 110 — 2 のパスヮードチヱック処理部 106 に送信される。従ってこの文字列及び入力時間についての情報を用いたチックは，端末 110 — 2 のパスワードチヱック処理部 10 6 が行う。このために，パスワード格納領域 107 は, 端末 110 — 2 のみが持つ。
[0332] またパスヮ一ドチェック処理部 106 は，パスヮ一ド格納領域 107 へのバスワード文字列 108 及びパスワード入力時間 109 の格納を行う。即ち利用者又はシステム管理者が端末 110 — 1 ないし 110 — 4から申請（入力）したパスワードについて，そのパスヮード文字列 108 及びパスワード入力時間 109 を，パスワード格納領域 107 に登録し，パスワードを予め設定する。
[0333] このために，各端末 110 — 1 ないし 110 — 4 において，パスワードチヱック処理部 106 は，入力されたパスヮ一ドの文字列及び入力時間をセーブする。センター以外の各端末 110 - 1 , 110 — 3及び 11ϋ ― 4 においてセーブされた文字列及び入力時間は，交換網 111 を介して，端末 110 - 2 へ送られる。端末 110 — 2 のパスワードチヱック処理部 106 が，各端末 110 — 1 ないし 110 — 4から入力されたパスヮ一ドについてのパスヮ一ド格納領域 107 への登録を行つ。
[0334] なお，センターである端末 — 2 は，パスヮ一ドによるチェックの他，個人 I D , キーワード等によるチェックをも行うものであってよい。また必ずしもデータべ一ス 112 を備える必要はない。
[0335] 第 30 Α図，第 30 B図，第 30 C図はパスワード入力説明図である。
[0336] 第 30 A図ないし第 30 C図において， 113 は入力画面， 113 — 1 は P W入力域， 113 - 2 は時間表示域 > 114 は初期画面， 114 — 1 は I D入力域， 114 一 2 は P W入力域， 114 一 3 は時間表示域， 115 は文字セーブ域， 116 はタイマ値セーブ域， 117 はタイマである。
[0337] 利用者が端未 110 の入出力装置 104 からパスヮード申請の指示入力を行うと > 当該端末 110 のパスヮードチユック処理部 106 が，第 30 A図図示の如き
[0338] (パスワード）入力画面 113 を，当該入出力装置 10 4 に表示する。入出力画面 113 は， P W (パスヮ一ド）入力域 113 — 1 と時間表示域 113 - - 2 とを備える。利用者は P W入力域 113 — 1 に，所定のパスヮ — ド（の文字列）を入力する。こ Ο時，時間表示域 δ l
[0339] 113 一 2を参照することにより，パスワードの入力時間をどのように設定したかを確認できる。
[0340] 一方，データベース 1 12 の運用時等に，利用者が端末 110 の入出力装置 104 からパスワードによるデータベ一ス 112 のアクセスの指示入力を行うと，第 30 Β図図示の如き初期画面 114 が，当該入出力装置 10 に表示される。この処理は，当該端末 1 10 のパスワードチック処理部 106 が行う。初期画面 1 1 4 は， I D (個人 I D ) 入力域 114 一 i , P W入力域 114 一 2及び時間表示域 1 14 一 3を備える。利用者は I D入力域 114 一 1 に自己の個人 I Dを入力した後， P W入力域 114 一 2 に，アクセスしたいデータベース 112 のパスワード（の文字列）を入力する。この時，時間表示域 114 — 3を参照することにより，パスワードの入力時間を意識し，正確に入力できる。時間表示部 113 — 2及び 114 一 3を設けることにより，一般的な時間の概念による入力時間の規定の他，計算機における（口一カル又はグローバル）時間に従って規定が可能となる。一方，時間表示域 11 3 — 2及び 114 一 3を省略した場合，不正な利用者に，入力時間までがチヱック対象であることを知られずに済むので，安全性をより高めることができる。
[0341] P W入力域 113 — 1及び 114 一 2 へのパスワードの入力は，第 30 C図図示の如くに行われる。
[0342] まず利用者により入力開始指示が入力されると，タイマ 117 がクリアされ，リスタートされる。
[0343] この指示から 1 秒後に，パスヮ一ドの L又 2以上の文字からなる文字列の先頭の文字（文字，数字, 記号等），例えば「 A j が入力されたとする。これに応じ，文字 Α」が文字セーブ域 115 の所定の位置にセーブされる。またこの時のタイマ 11 の値 ( 「 1 」秒）がタイマ値セーブ域 116 の所定の位置にセーブされると共に，タイマ 117 がクリアされ，リスタートされる。
[0344] この処理は，文字列の各数字の入力毎に行われる。最後に入力終了指示が入力されると，この時のタイマ 117 の値（例えば「 4 」秒）がタィマ値セーブ域 116 にセーブされると共に，タイマ 117 がクリアされる。
[0345] 従って文字列が η個である時，タイマ値セーブ域 116 には η + 1個の時間データが蓄積される。
[0346] なお，本実施例では，パスワード入力時間 109 として，パスワードの文字列の各文字間の入力時間間隔を用いているが，例えば入力開始指示からの経過時間等，他の時間データを用いてもよい。また入力開始及び終了指示を省略して η -- 1 個の時間データを得るようにしてもよい。また人間の入力による誤差を考えて例えば現実のタイマ値が 1 土 0. 5 秒である時は 1秒としてこれをセーブするようにされる。以上の処理は，パスワードチユック処理部 106 が行う。このために文字セーブ域 115 , タイマ値セ一ブ域 116 及びタイマ i l 7 は，パスワードチヱノク処理部 106' が備える。
[0347] 第 31図は第 29図の実施例のパスヮード入力処理フローである。
[0348] ① ある端末 110 ( 110 — 1 とする）から入力画面 1 13 又は初期画面 114 へのパスワードの入力開始指示があると，パスヮ一ド入力待ちの状態にあつた当該端末 110 - 1 のパスヮードチック処理部 116 は，そのタイマ 117 をスタートさせ，その文字カウンタを「 0 」にリセットする。
[0349] ② パスワードの文字列の文字が， P W入力域 113 一 1 又は 114 一 2 に入力される。
[0350] ③ パスワードチユック処理部 116 力当該文字を文字セーブ域 115 にセーブし，タイマ値をタイマ値セーブ域 116 にセーブし，タイマ 117 をクリア ( リスタート）させる。文字及びタイマ値は，文字セーブ域 115 及びタイマ値セーブ域 116 において，文字カウンタの示す値に対応する位置にセ一ブされる。
[0351] ④ パスワードチック処理部 106 は，次入力が入力終了指示（終了キー，実行キー又はエンターキ一）かを調べる。
[0352] ⑤ 入力終了指示でない場合 > 文字カウンタを ÷ 1 カウントアップして，処理③以下を行う。 ⑥ 入力終了指示である場合，（文字カウンタが更に十 1 カウントアップされ）タンマ値をタイマ値セーブ域 116 にセーブし，タイマ 1 17 をクリアする。これにより，文字セーブ域 1 15 にはパスヮ一ド文字列 108 力く，タイマ値セーブ域 116 にはパスヮード入力時間が得られる。
[0353] この後，当該パスワードチユック処理部 106 は, センタ一である端末 1 10 - 2 のパスヮ一ドチェンク処理部 106 に対し，交換網 11 1 を介し，入力されたパスワード文字列及び入力時間 108 及び 109 をデータ転送する。
[0354] ⑦ 端末 110 — 2 のパスワードチヱック処理部 3 が > 転送を受けたデータがパスヮード格納領域 4 へ格納（登録）すべきものか，パスワードチェックを行うべきものかを調べる。即ち，入力画面 113 又は初期画面 114 のいずれに対する入力かを調べる ₍
[0355] ⑧ パスワードチェックを行うべきものである場合, パスワード格納領域 107 を用いてチェックを行う
[0356] (第 32図参照）。
[0357] ⑨ 登録すべきものである場合，バスワード格納頟域 107 への登録を行う。
[0358] 第 32図は端末 1 10 — 2 のパスワードチヱック処理部 106 の行うバスヮードチヱック処理フ一てある, ① 検索用力ゥンタの値 Nを初期値 = 0 とする。 ② バスワード文字列 5 の Ν^τ文字目について，入力された文字列の文字と，パスヮード格納領域 107 の文字列の文字とを照合する。
[0359] 不一致の場合，パスワードエラ一として再入力依頼が行われる。これは端末 1 10 - 2 のパスヮードチヱ 'ンク処理部 1 06 から交換網 1 1 1 を介して，アクセス元の端末 1 1 0 — 1 のパスワードチユック処理部 1 06 に対して行われる。
[0360] ③ 一致の場合，パスワード入力時間 109 の N番目の時間データについて，入力から抽出された入力時間間隔と，パスワード格納領域 107 の入力時間間隔とを照合する。
[0361] 不一致の場合，処理②と同様に，パスワードェラーとして再入力依頼が行われる。
[0362] ④ 一致の場合，検索用カウンタの値 Nを十 i カウントアップした後，ノ、：スワードの N 屮 1 番目の文' 字及び入力時間について > 入力されたデータとパスワード格納領域 107 内のデータとを取得する。入力されたデータが無く，パスワード格納領域 107 内にデータが有る場合，処理②と同様にパスワードエラーとして再入力依頼が行われる。
[0363] また両者とも無い場合，チユックを正常終了する。
[0364] また両者とも有る場合，処理②以下を行う。
[0365] なおチックを正常終了した場合，資格が有るものとして，データベース 1 1 2 が参照される。即ち , センタ一である端末 1 10 — 2力，パスワードに基づいて当該データべ一ス 1 12 が例えば端末 1 1 0 一 4 にあること（格納位置）を知る。これに基づいて端末 1 10 — 1 (アクセス元）又は端末 110 — 2 (センター）が, 交換網 111 を介して，端末 1 10 — 4 をアクセスする。これに応じて，データベース 1 12 の内容が，端末 1 10 4から交換網 11 1 を介して端末 1 10 — i に送られ，例えばその入出力装置 104 に表示される。
[0366] 前述の実施例においては，パスワードの格納/'チユック（処理⑦）を， i つのパスワードの文字列全ての入力が終了した時点で行っている力第 33図図示の如く，各文字毎に行うようにしてもよい。
[0367] 第 33図は他の実施例のパスヮ一ド入力処理フ口― を示し，第 31図に対応している。
[0368] 第 33図図示の如く，処理①ないし③と同様の処理 ⑩ないし⑫を行った後， 1個の文字及びタイマ値が, 交換網 1 1 1 を介して，センタ一である。端末 110 - 2へデータ転送される（処理⑬）。次に処理⑦ないし⑨と同様の処理⑭ないし⑱が行われる。この場合パスヮードエラ一があったならば，例えばその時点で再入力依頼がなされる。次に処理④及び⑤と同様の処理⑰及び⑮が行われる。処理 ©においては，処理⑮と同様に，入力終了指示に応じてタイマ値をセーブする。また本発明は，交換網 11 1 を舍まないシステム，例えば独立したデータ処理システムにおけるパスヮ一ドチヱックにも有効である。
[0369] またパスヮ一ドの文字列のみによるチヱック（従来のパスワードチヱック）と，本発明によるパスヮ一ドの文字列及び入力時間による多重チックとを併用してもよい。この場合，いずれのチユックを行うかは，例えばシステム管理者又はデータベース 1丄 2 を作成した利用者等が，予め設定しておくようにすることができる。
[0370] また本実施例は，パスワードチユックの他，キーワード等を用いたセキュリティチヱックにも，広く使用することができる。即ち，入力されたデータと予め定められ登録されたデータとを照合することによって，入力元の利用資格をチックして資源のセキユリティを保つようなシステムにおいて，当該デ —夕の入力時間を用いて多重チェックを行い，セキユリティを高めることができる。
[0371] 以上説明したように，パスワードチヱック処理において，パスワード自体及びその入力時間を予め定めておくことにより，入力されたパスワード自体及びその入力時間の双方を多重にチヱックすることができるので，比較的簡単な構成で利用者の資格を確実にチユックでき，システムの安全性を高めることができる。特に，交換網を介してデータベースターミナルを接続した分散型データベースシステムにおいて，不特定多数の者が交換網を利用することに対応し，簡単かつ確実に利用資格をチックし，デ一タベースの安全性を高めることができる。
[0372] 第 34図は > ·簡易 I D重複登録時の対応機能をもつ本発明実施例の構成図である。
[0373] 第 34図において， 118 は簡易 I D処理装置であり，簡易 I Dの新規の登録及び簡易 I D利用時の重複登録のチユックを行うもの， 119 は記憶装置であり，正当利用者が簡易 I Dでシステムに加入できるように，そのための情報データが格納されているもの， 120 は入出力装置であり，簡易 I D又は I D番号が入力されるもの， 121 は簡易 I D重複チヱック部であり，簡易 I Dの登録又はシステムへの加入の際，入出力装置 120 から入力された簡易 I Dの重複をチ' ヱックするもの， 122 は通常 I D要求部であり，簡易 I Dが重複しているとき，簡易 I D利用者に当該簡易 I Dだけではシステムへの加入が認められず，さらに通常 I Dの入力要求を行うもの， 123 は簡易 I D検出部， 124 は通常 I D検出部， 125 は I D管理ファイルであり，簡易 I Dの登録申請順に通常 I Dと簡易 I Dとを格納するメモリ領域， 126 は簡易 I D重複チヱックファイルであり，簡易 I Dが使用者の登録申請によりそのまま登録されるので重複する場合があり，その重複状況を格納しておくメモリ領域を表している。
[0374] なお入出力装置 120 は通信回線，すなわち交換網を含め電子計算機で構築されてなるシステムに加入する場合と，直接システムに加入する場合の両者がある。
[0375] 入出力装置 120 から新規の簡易 I D登録申請があつたとき，任意に決定された簡易 I D と通常 I D の I D番号とが登録申請者順に I D管理ファィル 125 に登録される。この I D管理ファイル 125 への登録と同時に簡易 I Dの重複度が簡易 I D重複チック部 121 で簡易 I D重複チヱックフアイル 126 を参照してチヱックされる。当該簡易 I Dが重複しているとき，その欄の重複数を 1 つカウントアップし，その結果の重複数とその I D番号等重複した利用者とが簡易 I D重複チヱックファイル 126 に格納される。
[0376] システム加入への簡易 I Dが入出力装置 120 から簡易 I D処理装置 118 に入力されると，簡易 I D重複チヱック部 121 は簡易 I D重複チヱックファイル 126 を参照してその簡易〖 Dが重複していないかをチヱ 'ンクする。当該簡易 I Dが重複していないときシステム加入承認への処理がとられ，重複しているとき通常 I D要求部 122 へ通知して，通常 I D要求部 122 に入出力装置 120 へ通常 I Dの入力要求を求める処理を行わせる。 - 簡易 I D検出部 123 は入出力装置 120 から入力されてくる簡易 I Dを検出し，通常 I D検出部 124 は通常 I Dを検出する。この I Dの識別は，例えば入力されてくる I Dのビット数等を検出することによつて亍われる。
[0377] 通常 I Dが通常 I D検出部 124 によって検出されたときには，通常 I Dによるシステム加入のものとして通常 I D処理装置（図示せず）へ送られ，そこて I D番号とパスヮ一ドとの一致を確認の上，システムへの加入が承認されることになる。
[0378] 一方，入出力装置 120 から新規の簡易 I D登録申請があつたとき，簡易 I D重複チヱック部 121 は次の様にして当該簡易 I Dの如何にかかわらず記憶装置 119 へ登録する。すなわち第 37図の簡易 I D登録の実施例フ口一チヤ一トを参照しながら説明すると, 簡易 I D重複チュック部 121 は簡易 I D登録申請者の I D番号と任意に選定された簡易 I Dとを受け (第 37図ステップ①）， I D管理フアイル 125 を検索し，当該 I D番号とその簡易 I D との組み合わせが既に登録されていないかチユックする（ステップ ②）。既に登録されているときには二重登録を避けるため，その登録申請を拒絶し（ステップ⑧），登録されていないときには I D管理ファィル 125 に，第 35図図示の如く登録申請順で I D番号とその簡易 I Dとが登録される（ステツプ③）。
[0379] 例えば D D D D D D D D」の I D番号を有する利用者が「 a a a 」を簡易 I D として登録申請してきたとき，当該〗 D番号とその簡易 I D との組み合わせは I D管理ファイル 125 に登録されていないので，登録申請順，すなわち管理 No. 4 の欄に I D 番号とその簡易 I D とが第 35図図示の如く登録され簡易 I D重複チュック部 121 は，続いて簡易 I D 重複チヱックフアイル 126 を検索し（ステツプ④），当該簡易 I Dが登録されていないかどうかをチヱックする（ステップ⑤）。チユックの結果当該簡易 I Dが登録されていないときには，その簡易 I D と重複していないことを示す ^Γ 1 」の重複数と I D管理フアイル 125 に登録された I D番号格納 No.とが新規に簡易 I D重複チユックフアイル 126 に登録され (ステップ⑥），当該簡易 I Dが既に登録されているときには，その簡易 I Dの欄の重複数を 1 カウントァップした値に置換すると共に， I D番号格納 No, の所にその格納 No.の値が記入される（ステップ⑦）。上記の「 a a a 」の簡易 I D登録申請例では，「 a a a 」の欄の重複数が「 1 」から「 2 」に置換されると共に， I D番号格納 No. 「 4 」が第 36図図示の如く記入される。
[0380] この様に，通常 I Dが同一で，かつ同一簡易 I D の二重登録申請の場合を除き，通常〖 Dの I D番号が異なる同一簡易 I Dの登録申請があつたときには，簡易 I Dが重複していても記憶装置 119 に登録される。
[0381] 入出力装置 120 から簡易 I Dによるシステムへの加入要求が簡易 I D処理装置 118 に入力されたとき , 簡易 I D処理装置 118 は次のように処理する。すなわち第 38図のシステム加入の一実施例フローチヤ一トを参照しながら説明すると，入出力装置 120 から入力された簡易 I Dは簡易 I D検出部 123 で検出さ. れ，簡易 I D重複チック部 121 に当該簡易 I Dを入力させる（第 38図ステッブ⑪）。簡易 I D重複チエック部 121 は簡易 I D重複チェックフアイル 126 を検索し，当該簡易 I Dが簡易 I D重複チユックフアイル 126 に存在するかをチェックする（ステップ ⑬）。チユックの結果，当該簡易 I Dが存在しない場合，すなわち当該簡易 I Dが記憶装置 119 に登録されていない場合は入出力装置 120 へ再度簡易 I D 入力を要求し，当該簡易 I Dが存在する場合はその簡易 I Dについての重複数の数が「 2 」以上かをチエックする（ステップ⑩）。つまり重複した簡易 I Dによるシステムへの加入かどうかの判断が行われる。当該簡易 I Dの重複数が「 1 」のとき，簡易 1 Dによるシステムへの加入が承認され（ステップ ⑮）。当該簡易 I Dの重複数が「 2 」以上のとき，簡易 I D重複チック部 121 は通常 I D要求部 122 を介して入出力装置 120 へ通常 I Dの再入力を要求する（ステップ⑭）。つまり簡易 I Dが重複して記憶装置 119 に登録されている場合には，簡易 I Dとしての効力が消失する。
[0382] 入出力装置 120 から通常 I Dの再入力が送られてきたとき（ステップ⑮）。簡易 I D重複チヱック部 121 は I D管理ファイル 125 を検索しその I D番号の存否をチユックする（ステップ⑱）と共に，当該 I D番号と簡易 I Dとの組み合わせが一致しているかどうかのチヱックが行われる（ステップ⑰）。 I D管理ファィル 125 に当該 I D番号と簡易 I D との組み合わせが登録されているとき，システムへの加入が承認され（ステツプ⑱）， I D管理ファィル 12 5 に当該 I D番号が存在しないとき及び当該 I D番号と簡易 I Dとの組み合わせが登録されていないとき，簡易 I D重複チユック部 121 は入出力装置 120 へ簡易 I Dからの再入力を要求する（ステップ⑱， ⑰）。
[0383] この様にして簡易 I D利用の場合の不正ァクセスを防止している。
[0384] なお入出力装置 120 から簡易 I Dに替え通常 I D . がその応答として再入力されて来たときには，当該通常 I Dが通常 I D検出部 124 で検出され，通常 I D処理装置へ送られてシステムへの加入条件の処理が行われる。
[0385] 簡易 I Dが重複している場合の例を挙げて説明すると，通常 I Dの I D番号力く「 D D D D D D D D」を有する利用者が，その簡易 I D 「 a a a j を人出力装置 120 から入力した場合，簡易 I D処理装置 11 8 の簡易 I D検出部 123 はその簡易 I Dのビット数から簡易 I Dによるシステムへの加入承認を求めてきていることを検出する。簡易 I D検出部 123 は簡易 I D重複チユック部 121 へ当該簡易 I D 「 a a a」を受け入れその簡易 I Dのチユックを依頼する。簡易 I D重複チヱック部 121 は簡易 I D 「 a a a」が簡易 I D重複チヱックファイル 126 に登録されている力、，また登録されているときその重複数をチヱックする。この場合，簡易 I D 「 a a a」は簡易 I D 重複チヱ 'ンクファイル 126 に登録されており，かつ重複数が「 2」であるので，直ちにシステムへの加入を承認することができず，簡易 I D重複チユック部 121 は通常 I D要求部 122 を介して入出力装置 12 0 へ通常 I Dの再入力を要求する。入出力装置 120 から I D番号「 D D D D D D D D」が再入力されたとき，簡易 I D重複チェック部 121 は I D管理ファィル 125 に当該 I D番号が存在し > かつ先の簡易 I D 「 a a a 」との組み合わせが存在することを確認の上，システム加入の承認を行う。
[0386] ここで，簡易 I Dが 2以上登録されている場合，その重複した簡易 I Dの変更や削除を受け付けないようになつている。つまり簡易 I Dが重複しても記憶装置 119 への登録はされるが，上記説明の如く通常 I Dの再入力が要求されるので，重複した簡易 1 Dによるシステムへの加入が実質的に認められないように処理される。
[0387] 重複した簡易 I Dは簡易 I D としての機能が消失しているので，簡単にシステムに入り込めないものとなる。この実施例は交換網を舎んでいるネットヮ —クシステムにおいて容易に実現できる。
[0388] 第 39図は，ネットワーク内の端末間でデータ退避時の格納ファイルを提供可能とするセキュリティ管理方法の実施例の原理説明図である。
[0389] 第 39図において， Τ , 〜 Τ _η はネットワークシステムを構成する端末（情報処理装置）である。 127 は応用プログラム，フアイル管理プログラム，デ一タベース管理システム，オペレーティングシステム等からなるデータ処理部である。 128 はデータべ一スを構成するファイル装置である。 129 は空きファィルである。 130 は各端末が接続される公衆網である。 131 は端末 Τ _η から端末 Τ ₃ の空きファイル 12 9 へファイルデータの退避を行っているときのデ一タの流れである。
[0390] ここで，端末 Τ _η のファイルデータの退避要求が発生した場合，端未 Τ η はファイルデータの退避に必要なファィル容量を確認し，このファイル容量と退避要求とを他の端末に発信し，公衆網 130 を介してこの退避要求を受信した端耒は自己の空きフアイル容量を確認し，この空きファイル容量と前記退避ファイル容量とを比較することにより端末 T _n の退避要求に応じられるかどうかを判断し，その結果を公衆網 130 を介して要求元端末 Τ _η に回答する。そして，要求元端末 Τ _η は，回答結果をみて，要求受諾であれば回答端末に公衆網 130 を介してファイルデータを送信し，そのファイル装置へファイルデータの退避を行う。また，前記回答結果が「受諾しない」のときは他の回答端末からの回答結果を選択し, 同じ処理を行っていく。
[0391] 第 39図において，端末は自己の空きファイル容量を確認する手段を持ち，退避要求を受信したとき，この空きフアイル容量と退避フアイル容量とを比較することにより前記退避要求に応じられるかどうかの判断をすることができる。また，各端末のフアイル管理プログラムは，前記の退避が行われたフアイルについてはその旨を確認して記憶している。このようにして，公衆網に接続されている各端末のファィルは効率的に利用される。
[0392] なお，本発明は，分散された個々のデータベースをそれぞれ有する情報処理装置からなり，地理的もしくは機能的に分散された複数の端末が公衆網に接続されている分散型データベースシステムの場合にも用いることができる。第 40図は第 39図の実施例のファィルデータの退避手順を示す。
[0393] ① 任意の端未 Tでファイルデータの退避要求が発生したかどうかを判断し，「 Y E S 」の場合はステツプ②に進み，「 N 0」の場合はこの判断を繰り返す。
[0394] ② 要求元端末 Tはファイルデータの退避に必要なフアイル容量 aを確認する。
[0395] ③ 要求元端末 Tは，この退避ファイル容量 a と退避要求とを他の端末に発信する。
[0396] ④ 他の端末は，公衆網を介して退避ファイル容量 a と退避要求とを受信する。
[0397] ⑤ 退避要求等を受信した要求先端末は自己の空きファイル容量 b と受信した退避ファイル容量 a との間に aくく bが成立するかどうかを判断し，その結果を要求元端末 Tに画答する。
[0398] ⑥ 要求元端未 Tはこの面答内容が「成立する」であるかどうかを判断し，「 Y E S 」の場合はステップ⑦に進み，「 N 0」の場合はステップ⑧に進む。
[0399] ⑦ 要求元端末 Tは自己のファイルデータの要求先端末に転送し，またファイルデータを受信した要求先端末はこのファィルデータを自己のファィル装置に格納する。また，要求元，要求先の両端末のファイル管理プログラムによって，それぞれの端末番号，関係するファイル領域等を確認して記憶する。
[0400] ⑧ 要求元端末 Tは他の要求先端末に対してフアイルデータの退避を試みる。この手順で，ファイルデータの退避が行われる。
[0401] なお，ステップ⑧の処理においては，ステップ③ に戻ってもよいし，また，ステップ⑥において複数の要求先端末からそれぞれの回答内容を受信し，要求先端末ごとの回答内容リストを作成しておいて，このリストに基づいて要求受諾端末を探してもよい。以上のようして多数の端末が公衆網に接続されているネットワークシステムにおいて，ファイルデ一タの退避のために必要な空きフアイル容量を持つ端末を公衆網を介して探し出しこの端末にファィルデ —タの退避を行うため，各端末のファイルの効率的利用が図れ，また各端末を二重化する必要がなく分散型データベースシステム全体のコス卜の低減を図ることができる。
[0402] 第 41図は，データベースから利用者に提供するプ πグラムを利用終了時に消去あるいは改ざんして利用不能にするセキュリティ管理方法の実施例の概念図である。
[0403] 第 41図において， 132 は公衆網， 133 乃至 135 は分散型データベースシステムの一つのグループを構成する端末であって，そのうち 133 はプログラム要求元端末， 134 はプログラム所有端末， 135 はダループ内のプログラム等の資源とセキュリティを管理し，プログラムの消去あるいは改ざんを指示する機能をもつグループ管理端末， 136 は他の一般の端末である。
[0404] 動作は次のような手順①〜⑦で行われる。
[0405] ① プログラム要求元端末 1 13 でプログラムの使用要求が発生すると，グループ管理端末 1 35 にプログラムの使用要求を通知する。
[0406] ② グループ管理端末 135 はプログラム資源の管理情報をもっており，要求されたプログラムを所有する端末の I D ( 134 ) をプログラム要求元端末 13 3 に通知する。
[0407] ③ プログラム要求元端末 133 は，通知されたプログラム所有端末 134 にプログラム使用を要求する。
[0408] ④ プログラム所有端末 134 は，要求されたプログラムを要求元端末 133 へ伝達する。
[0409] ⑤ グループ管理端末 135 は，要求プログラムに消去プログラムあるいは自動改ざんプログラムを付加する。
[0410] ⑥ プログラム要求元端末 133 は，要求プログラムを実行し，処理終了時にグループ管理端末 135 へ通知する。
[0411] ⑦ グループ管理端末 1 35 は，プログラム要求元端末 133 に要求プログラムの消去あるいは改ざんを i 0 0 実行させる。
[0412] 第 42 A図及び第 42 B図は，第 41図に示す実施例の全体動作の詳細フロー図である。以下にステップ
[0413] ( S— 1 ) 〜（ S— 19 ) にしたがって動作を説明する。
[0414] ( S - 1 ) 任意の端末において使用したいプログラムを要求する。
[0415] ( S - 2 ) 要求元端末とグループ管理端末との間を接続する。
[0416] ( S - 3 ) グループ管理端末は要求プログラムをプログラム資源管理情報中で検索する。
[0417] ( S— 4 ) 要求プログラムが存在しない場合は ( S— 9 ) を実行し，存在する場合（ S— 5 ) を実 τする。
[0418] ( S - 5 ) グループ管理端末はプログラム要求端末へプログラム所有端末 I Dを通知し，プログラム所有端末へプログラム要求を行わせる。それによりプログラム所有端末は要求プログラムを自己の 2次記憶装置に格納するィンストール処理を実行する。これは要求元端末におけるインストール処理を不要にするためである。
[0419] ( S— 6 ) プログラム所有端末は，要求元端末へ要求プログラムを伝達する。
[0420] ( S - 7 ) 要求プログラムを一時使用する場合は ( S - 8 ) を実行し，永久使用する場合は ( S - 11 ) を実行する。
[0421] ( S - 8 ) グループ管理端末は（ S — 6 ) て伝達されたプ口グラムの伝達先の端末ァドレス等を確認する。
[0422] ( S — 9 ) プログラムが無いことを要求元端末へ通知する。
[0423] ( S - 10) プログラムの再検索を行う必要があるときには（ S — 1 ) へ戻り，必要が無いときは終了する。
[0424] ( S -11) 一時使用の場合，グループ管理端末は: 消丟プログラムまたは自動改ざんプログラムを要求元端未へ追加伝達する。
[0425] ( S -12) 要求元端末は要求プログラムを使用する処理を行う。
[0426] ( S — 13) 要求元端末は，プログラム使用終了後, グループ管理端末へ終了を通知する。
[0427] ( S -14) グループ管理端末は使用終了した要求プログラムが一時使用のものか永久使用のものかを識別し，永久使用の場合終了し > 一時使用の場合に ( S — 15) を実行する。
[0428] ( S — 15) 消去プログラムまたは自動改ざんプログラム力； > 付加されているかどうかを調べ，付加されている場合に ( S -16) を実行し，付加されていない場合には（ S - 19) を実行する。
[0429] ( S - 16) 付加されているものか消去ブ口グラ厶の場合に（ S - 17) を実行し，自動改ざんプロダラムの場合に（ S — 18) を実行する。
[0430] ( S -17) 消去プログラムを実行して，要求元端末にある要求プログラムを消去して終了する。
[0431] ( S -18) 自動改ざんプログラムを実行して，要求元端末にある要求プログラムを改ざんし，再使用不能にして終了する。
[0432] ( S - 19) グループ管理端末は，要求元端末のィンストールテーブル及び 2次記憶装置を操作して，要求プログラムを再使用不能にする。
[0433] 以上のようにして，ネットワーク内の端末から使用要求のあったプログラムは，一時使用である場合要求元端末内において消丟あるいは改ざんされるため再使用することができず，使用回数に応じた課金を行う場合などには効果が大きい。

权利要求:
Claims

請求の範囲
1 . 分散された個々のデータベースをそれぞれ有する複数の端末が通信ネットワークに接続されている分散型データベースシステムにおいて，
5 上記複数の端末をグループ化し，グループごとにそのグループを管理する端末を設け，グループ内の各端末が有するデータベースのセキユリティ管理は，上記グループを管理するタ一ミナルが行うことを特徴とする分散型データべ一 10 スシステムのセキュリティ管理方法。
2 . 請求項第 1 項において，複数のグループにまたがるセキュリティ管理を行うため，セキュリティ管理機能をもつ端末を階層構造で設けることを特徴とする分散型データベースシステムのセキュリ
15 ティ管理方法。
3 . 分散された個々のデータベースをそれぞれ有する複数の端末が通信ネットワークに接続されている分散型データベースシステムにおいて，
上記それぞれの端末は，自己端末が少なくとも 20 所定の条件の下で通信することが許される相手端末を識別するラベルについて保持するラベル情報保持部を有すると共に > 自己端末が少なくとも通信を許された相手端末と通信するに際して当該相手端末の有する資源をアクセスできる権限を定め 25 るレベルについて保持するレベル情報保持部を有するよう構成され，
上記それぞれの端末か相互に通信するに当たつて，上記ラベルに関して通信が許可されかつ上記レベルに関してアクセスが許可されることを条件に通信を行うようにしたことを特徴とする分散型データベースシステムにおけるセキュリティ管理方法。
請求項第 3項において，
パスヮ一ドによるアクセスを可能とすることによりセキュリティを保つ複数のグループ制ラベルを定義し，
また互いに異なるグループ制ラベルに舍まれるパスワードによるアクセスを可能とすることによりセキュリティを保つメンバー制ラベルを定義し > 上記グル一プ制ラベル又はメンバー制ラベル内の所定のパスヮードを入力された端末同士で上記通信ネットワークを介して，通信を行うことを可能にするとともに，
上記グル一プ制ラベル外から当該グル一プ制ラベルに舍まれるバスワードへのアクセスを，予め定めたキーワードにより可能とするキ一ヮ一ドラベルを定義し，
上記キーワードラベル内のキーワードを入力された端末同士の間て，上記通信ネットワークを介して通信を行うことを可能にし，上記キーヮ一ドラペル内のキ一ヮ一ドによる通信を行う際に，上記キーワードを入力された端末は当該キーワードを送信し，当該キーワードを受信した端末は，受信したキ一ワードと当該端末に 5 入力されたキーワードとを比較し，両者が一致した場合に実データの通信を行うことを特徴とする分散型データベースシステムにおけるセキュリティ管理方法。
5 . 請求項第 3項において，
10 利用者ごとに，当該利用者が資源をアクセスできる権限を定める資格情報を登録する一つの端末を決定して利用者の資格情報を各端末で重複なしに分散管理するとともに，利用者ごとに当該利用者を特定する利用者識別コードを与えて，そのコ
15 一ド中に当該利用者の資格情報が登録されている端末を指定する端末コードを舍めておき，
各端未には，利用者識別コ一ドにより自己端末を指定する利用者の資格情報を登録する資格情報保持部を設け，利用者の資格審査を依頼されたと
20 き，当該利用者の利用者識別コードから当該利用者の資格情報が登録されている端末を識別し，その端末が自己端末である場合には自己の資格情報保持部から資格情報を求めて依頼元に通知し，他方，当該利用者の資格情報が登録されている端末 25 が他の端末である場合には，その端末に依頼して資格情報を求め結果を依頼元に通知することを特徴とする分散型データペースシステムにおけるセキユリティ管理方法。
6 . 請求項第 3項において，
δ アクセス元とアクセス対象の一方又は双方に階層構造のラベルとこのラベルに対応したキーコードを持たせると共に，アクセス元とアクセス対象のキーコードを任意の組み合わせで対応させた群ラベルのテーブルを登録する階層メモリと，
0 上記ラベルを新設するためのラベル設定手段と, アクセス元が入力したキーコ一ドを上記階層メモリに記憶されたラベルに対応したキーコードとの一致を判断して，一致する場合にアクセス対象へのアクセスを実行させるための起動許可信号を5 発生する判断手段とを備え，上記ラベル設定手段により上記階層メモリに登録させる群ラベルを新設可能としかつ上記判断手段により階層メモリの内容を索引しセキュリティの判断を行うようにしたことを特徴とする分散型データベースシステム0 におけるセキュリティ管理方法。
7 . 請求項第 3項において，
利用者識別コードに複数のパスヮードが格納されたパスヮード格納部と，
任意に設定された時間毎にチニック用信号を出5 力する時間管理部と，当該時間管理部から出力されるチェック用信号に基づき，パスヮ一ド投入を要求するパスヮ一ド要求部と，
当該パスヮ一ド要求部のパスヮ一ド投入要求に 5 応じて投入されたパスワードと上記パスワード格納部から読み出されたパスヮ一ド要求時対応のパスヮードとの一致をチヱックするパスヮード判定部とを備え，
所定時刻又は所定時間毎に要求されるパスヮ一 10 ドの一致を条件にアクセスの継続を認めることを特徴とする分散型データベースシステムにおけるセキュリティ管理方法。
8 . 請求項第 3項において，
端末から所定の利用者識別コ一ド及びパスヮー 15 ドが入力された場合に，当該端末からのデータぺース内の指定されたデータの参照を許すようにし，端末には，上記利用者識別コード毎にそのレべルを格納する個人情報保持部と，
上記データ毎にその重要度に応じた数だけの前 20 記バスワードと当該数とを格納するデータ情報保持部と，
上記データの参照を許すか否かを判断するセキユリティ処理部とを設け，
上記セキュリティ処理部が，入力された利用者 25 識別コードに対応するレベルと指定されたデータに対応するパスワードの数とに基づいて入力すベきパスヮ一ドの数を.求め，当該求めた数のパスヮードが入力され，かつ当該入力されたパスワードの各々が上記データ情報保持部に格納されたパス
5 ワードのいずれかと一致する場合に，当該指定されたデータの参照を許すことを特徴とする分散型データべ—スシステムにおけるセキュリティ管理方法。
9 . 請求項第 3項において，
10 端末から所定の利用者識別コード及びパスヮ一ドが入力された場合に，当該端末からのデータべース内の指定されたデータの参照を許すようにし，端末には，上記利用者識別コード毎に複数のパスヮードを格納する個人情報保持部と，
15 上記データ毎にその重要度に応じたパスヮ一ド数を格納するデータ情報保持部と，
上記データの参照を許すか否かを判断するセキユリティ処理部とを設け，
上記セキュリティ処理部が，上記指定されたデ 20 ータに対応する上記パスヮ一ド数の分だけのパスヮ一ドが入力され，かつ当該入力されたパスヮードの各々が上記個人情報保持部に格納された上記入力された利用者識別コードに対応する複数のパスワードのいずれかと一致する場合に，当該指定 25 されたデータの参照を許すことを特徴とする分散丄 0 9 型データベースシステムにおけるセキュリティ管理方法。
10. 請求項第 3項において，
それぞれの端末は，パスワードを入力するための入出力装置と，
上記パスヮ一ドを用いたチ 'ノグを行うパスヮードチユック処理部と，
上記パスヮードを構成する文字列及びその入力時間の長さについての情報を格納するパスヮード格納領域とを備え，
上記パスワードチック処理部が，上記入出力装置からの前記パスヮードの入力に応じて当該パスワードの入力に要した時間の長さについての情報を抽出すると共に，当該入力されたパスワード及び抽出された入力時間の長さ情報と，上記格納されたパスヮ一ドを構成する文字列及びその入力時間についての情報とを照合する
ことを特徴とする分散型データベースシステムにおけるセキュリティ管理方法。
11 . 請求項第 3項において，
分散型データベースシステムにアクセスする際，簡易 I Dの利用を可能とし，
簡易 I D登録時，その登録申請者の通常 I Dとその簡易 I Dとを格納する〖 D管理ファィルを備えると共に，当該簡易 i Dが重複するとき，少なくとも当該簡易 I Dの重複数と重複登録申請者の通常 I Dとを格納しておく簡易 i D重複チユックフアイルとを備えた記憶装置と，
入力されてくる簡易 I Dの重複をチェックする簡易 I D重複チュック部と，
システム加入へのアクセスの際 > 入力された簡易 I Dが上記簡易 I D重複チュク部で重複されている簡易 I Dと判定されたとき，当該簡易 I D に替え，通常 I Dを要求する通常 I D要求部
とを設け > 簡易 I Dが重複して登録されているときのシステム加入を簡易 I Dに替え通常 I Dの基で加入するように構成したことを特徴とする分散型データベースシステムにおけるセキュリティ管理方法。
12. 請求項第 1 項，第 2項及び第 3項において，データベースが格納されているファィル装置にフアイルデータの退避要求が発生した端末はファィルデータの退避に必要な退避ファイル容量を確認し，この退避ファイル容量と退避要求とを他の端末に発信し，
この退避要求を受信した端末は自己の空きファィル容量を確認し，この空きファイル容量と前記退避フアイル容量とを比較することにより前記退避要求に応じられるかどうかを判断し，その結果を要求元端末に 11答レ，要求元端末は，この回答内容から退避要求を受諾している端末を探し出し，この受諾端末へ通信ネットワークを介してファイルデータの退避を行うことを特徴とする分散型ネットワークシステムにおけるセキュリティ管理方法。
13 . 請求項第 1 項及び第 2項において，
端末からアクセス要求されたデータベースのデータがプログラムである場合，当該端末のグル一プ管理端末は，アクセス要求元端末に渡された上
10 記要求プログラムに消去プログラム又は自動改ざんプログラムを付加し，アクセス要求端末において上記要求プログラムの処理を終了したとき，上記消去プログラムまたは自動改ざんプログラムを実行させ，要求プログラムを消去又は改ざんさせ
15 ることを特徴とする分散型データベースシステムにおけるセキュリティ管理方法。

类似技术:

公开号 | 公开日 | 专利标题

US10636022B2|2020-04-28|Universal secure registry

US10542430B2|2020-01-21|Quorum-based secure authentication

US8065425B2|2011-11-22|Access control in client-server systems

US5699514A|1997-12-16|Access control system with lockout

US6360324B2|2002-03-19|Secure database system

EP0935221B1|2005-11-02|Remote authentication system

US8656161B2|2014-02-18|Information sharing system, information sharing method, group management program and compartment management program

US7133662B2|2006-11-07|Methods and apparatus for restricting access of a user using a cellular telephone

DE69930919T2|2006-09-28|Gesichertes elektronisches Postsystem

CA2026739C|1996-06-04|Transaction system security method and apparatus

US5475758A|1995-12-12|User authenticating system and method in wide area distributed environment

US6208984B1|2001-03-27|Method and system of determining access to records of members of a community

US6295605B1|2001-09-25|Method and apparatus for multi-level security evaluation

US5495411A|1996-02-27|Secure software rental system using continuous asynchronous password verification

US6141778A|2000-10-31|Method and apparatus for automating security functions in a computer system

US5971272A|1999-10-26|Secured personal identification number

EP0809170B1|2002-08-07|Access codes for computer resources

US5204966A|1993-04-20|System for controlling access to a secure system by verifying acceptability of proposed password by using hashing and group of unacceptable passwords

US6249869B1|2001-06-19|Integrated circuit card, secure application module, system comprising a secure application module and a terminal and a method for controlling service actions to be carried out by the secure application module on the integrated circuit card

AU2001247231B2|2007-01-04|Method and system for distributing health information

CA2118547C|1997-01-14|Method and system for mediating transactions that use portable smart cards

AU761680B2|2003-06-05|A secure database management system for confidential records

US5995628A|1999-11-30|Failsafe security system and method

JP2760635B2|1998-06-04|ネットワークにおける電子メッセージサービスシステム間での自動実行される加入者の移動

US5483658A|1996-01-09|Detection of unauthorized use of software applications in processing devices

同族专利:

公开号 | 公开日

CA2041650C|1997-03-04|

EP0460216A4|1993-06-23|

CA2041650A1|1991-03-13|

EP0460216A1|1991-12-11|

引用文献:

公开号 | 申请日 | 公开日 | 申请人 | 专利标题

法律状态:
1991-04-04| AK| Designated states|Kind code of ref document: A1 Designated state(s): CA JP US |

1991-04-04| AL| Designated countries for regional patents|Kind code of ref document: A1 Designated state(s): AT BE CH DE DK ES FR GB IT LU NL SE |

1991-05-08| WWE| Wipo information: entry into national phase|Ref document number: 1990913227 Country of ref document: EP |

1991-05-09| WWE| Wipo information: entry into national phase|Ref document number: 2041650 Country of ref document: CA |

1991-12-11| WWP| Wipo information: published in national office|Ref document number: 1990913227 Country of ref document: EP |

1997-02-27| WWW| Wipo information: withdrawn in national office|Ref document number: 1990913227 Country of ref document: EP |

优先权:

申请号 | 申请日 | 专利标题

[返回顶部]