JP4723930B2 - 複合的アクセス認可方法及び装置 - Google Patents
複合的アクセス認可方法及び装置 Download PDFInfo
- Publication number
- JP4723930B2 JP4723930B2 JP2005185431A JP2005185431A JP4723930B2 JP 4723930 B2 JP4723930 B2 JP 4723930B2 JP 2005185431 A JP2005185431 A JP 2005185431A JP 2005185431 A JP2005185431 A JP 2005185431A JP 4723930 B2 JP4723930 B2 JP 4723930B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- primitive
- authorization
- information
- composite
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
OASIS (Organization for the Advancement of Structured Information Standards) : XACML (eXtensible Access Control Markup Language) Version 1.1 Committee Specification, 2003 (http://www.oasis-open.org/committees/xacml/repository/cs-xacml-specification-1.1.pdf)
図1は、本発明の実施の一形態のアクセス認可方法が適用される情報システムの全体構成を示すブロック図である。この情報システムは、企業内に設置され、その企業の社員等などが業務の遂行に必要な電子化された文書の共有を図るために使用されるものであるとする。
<“copy_child”,“id00002”,(“cloneChild=id003”,“goTo=id010”)>,
<“create_child”,“id00010”,(“comeFrom=id002”)>。
次に、本発明の第二の実施形態について説明する。この実施形態は、上述した第一の実施形態と概ね同様のものであるが、アクセス制御用情報の構成方向が異なっており、それに付随して、ファイルサーバ1が利用者端末2に対して公開する情報資源へのアクセスインターフェイスが異なっている。
2 利用者端末
3 利用者属性管理装置
4 通信ネットワーク
10,20,30 送受信部
11 ファイル管理部
12 認可判定部
13 認証部
14 アクセス制御用情報管理部
15 属性取得部
16,32 メンテナンス部
21 指示部
22 記憶部
23 表示部
24 処理部
25 被認証部
31 利用者属性格納部
101 複合的アクセス種別シンボル
102 アクセス種別の説明
103 役割シンボルリスト
104 役割シンボル
105 役割の説明
111 適用対象指定部
112 単位導出規則リスト
113 オブジェクト指定部
114 原始的アクセス種別シンボル
115 関連情報資源定義部
116 関連情報資源シンボル
117 関連情報資源指定部
121 適用対象指定部
122 判定条件部
123 属性指定部
124 演算子部
125 比較値部
126 結合子
Claims (10)
- 複数の情報資源が関連付けられて管理され、サブジェクトによる単一のアクセス行為によって前記関連付けられている複数の情報資源がそれぞれの形で影響を及ぼされる情報システムにおいて、前記サブジェクトからの単一のアクセス行為でありかつ前記複数の情報資源が関与する複合的アクセスの要求を前記サブジェクトから受信した際に、前記複合的アクセス要求を認可する方法であって、
一つの前記複合的アクセスに関与する前記複数の情報資源の各々ごとに当該情報資源をオブジェクトとするアクセスを当該複合的アクセスに対応する原始的アクセスとし、
前記複合的アクセスの種別ごとに当該複合的アクセスに関与する全ての情報資源との関係を示す複合的アクセス定義テーブルと、前記複合的アクセスにおけるアクセス種別ごとに該当する複合的アクセスから原始的アクセスを導出する規則を定義した原始的アクセス導出規則と、個々の前記原始的アクセスの認可に用いられる原始的アクセス制御規則とを情報管理手段に保持し、
前記複合的アクセスの要求は、前記複合的アクセス定義テーブル上の定義に則って、アクセスの種別と前記関与する情報資源の識別子及び役割シンボルと、前記サブジェクトの識別子とを含んでおり、前記原始的アクセス導出規則は、生成される原始的アクセスの種別に関する情報も含んでおり、
要求された複合的アクセスを第一のアクセスとして、該第一のアクセスから、認可判定手段が、前記情報管理手段内の前記複合的アクセス定義テーブルと前記原始的アクセス導出規則とを参照して、前記第一のアクセスのアクセス種別に応じた前記原始的アクセス導出規則に基づいて、該第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとし各々が前記原始的アクセスである一ないし複数の第二のアクセスを生成する原始的アクセス生成ステップと、
前記認可判定手段が、前記生成された第二のアクセスのそれぞれのアクセス種別を、該第二のアクセスのオブジェクトの第一のアクセスにおける役割と、該第一のアクセスのアクセス種別とに応じて設定する原始的アクセス種別決定ステップと、
前記認可判定手段が、前記原始的アクセス生成ステップによって生成され前記原始的アクセス種別決定ステップによってアクセス種別が設定された一ないし複数の第二のアクセスのそれぞれについて、当該第二のアクセスに対応する原始的アクセス制御規則に基づいて認可判定を行う原始的アクセス認可ステップと、
前記認可判定手段が、前記原始的アクセス認可ステップにおける認可判定の結果に応じて、全ての前記第二のアクセスに関して認可されている場合に前記要求された複合的アクセスを認可する総合認可ステップと、
を有する、複合的アクセス認可方法。 - 前記サブジェクトおよび/または前記情報資源には属性が関連付けられ、
前記原始的アクセス制御規則は、原始的アクセスの種別に対応して、サブジェクトの属性またはオブジェクトの属性をパラメータとして含んだ条件式によって記述され、
前記原始的アクセス認可ステップにおいて前記認可判定手段は、認可対象である第二のアクセスのオブジェクトあるいはサブジェクトの属性を前記条件式に当てはめて前記原始的アクセス制御規則を評価することによって当該第二のアクセスの認可判定を行う、請求項1に記載の複合的アクセス認可方法。 - 前記原始的アクセス制御規則は、対応する第二のアクセスの生成元となった第一のアクセスに関与した情報資源のうち、当該第二のアクセスのオブジェクト以外の情報資源である関連情報資源の属性をパラメータとして前記条件式にさらに含み、
前記原始的アクセス認可ステップにおいて前記認可判定手段は、一ないし複数の関連情報資源の属性をさらに前記条件式に当てはめて前記原始的アクセス制御規則を評価することによって当該第二のアクセスの認可判定を行う、請求項2に記載の複合的アクセス認可方法。 - 前記原始的アクセス制御規則における前記関連情報資源の属性は、対応する第二のアクセスのオブジェクトからの当該関連情報資源に対する関係を用いて指し示される、請求項3に記載の複合的アクセス認可方法。
- 前記原始的アクセス生成ステップにおいて前記認可判定手段は、生成元となった第一のアクセスに関与する任意の情報資源の属性に応じ、当該属性に条件が合致するものとして第二のアクセスを生成し、
原始的アクセス種別決定ステップにおいて前記認可判定手段は、前記第二のアクセスのそれぞれのアクセス種別を、生成元となった第一のアクセスに関与する任意の情報資源の属性に応じて設定する、請求項2乃至4のいずれか1項に記載の複合的アクセス認可方法。 - 前記原始的アクセス認可ステップは、前記認可判定手段が、認可対象の第二のアクセスのアクセス種別および/あるいは当該第二のアクセスのオブジェクトの属性に応じて使用する原始的アクセス制御規則を決定するステップを有する、請求項2乃至5のいずれか1項に記載の複合的アクセス認可方法。
- 前記原始的アクセス認可ステップは、前記認可判定手段が、認可対象の第二のアクセスのオブジェクトの管理者に応じて使用する原始的アクセス制御規則を決定するステップを有する、請求項2乃至6のいずれか1項に記載の複合的アクセス認可方法。
- 前記原始的アクセス認可ステップは、前記認可判定手段が、認可対象の第二のアクセスのサブジェクトの属性に応じて使用する原始的アクセス制御規則を決定するステップを有する、請求項2乃至7のいずれか1項に記載の複合的アクセス認可方法。
- 前記複合的アクセスに関与する情報資源のうち当該アクセス要求に識別情報が含まれない情報資源を、当該アクセス要求に識別情報が含まれる他の情報資源との情報資源間の親子関係に基づく関連性に基づいて特定する、請求項1乃至8のいずれか1項に記載の複合的アクセス認可方法。
- 複数の情報資源が関連付けられて管理され、サブジェクトによる単一のアクセス行為によって前記関連付けられている複数の情報資源がそれぞれの形で影響を及ぼされる情報システムにおいて、前記サブジェクトからの単一のアクセス行為でありかつ前記複数の情報資源が関与する複合的アクセスの要求を前記サブジェクトから受信した際に、該複合的アクセス要求を認可する複合的アクセス認可装置であって、
一つの前記複合的アクセスに関与する前記複数の情報資源の各々ごとに当該情報資源をオブジェクトとするアクセスを当該複合的アクセスに対応する原始的アクセスとし、
複合的アクセスの種別ごとに当該複合的アクセスに関与する全ての情報資源との関係を示す複合的アクセス定義テーブルと、前記複合的アクセスにおけるアクセス種別ごとに該当する複合的アクセスから原始的アクセスを導出する規則を定義し、かつ生成される原始的アクセスの種別に関する情報を含む原始的アクセス導出規則と、個々の原始的アクセスの認可に用いられる原始的アクセス制御規則とを保持する情報管理手段と、
前記複合的アクセスの要求は、前記複合的アクセス定義テーブル上の定義に則って、アクセスの種別と前記関与する情報資源の識別子及び役割シンボルと、前記サブジェクトの識別子とを含んでおり、要求された複合的アクセスを第一のアクセスとして、前記情報管理手段内の前記複合的アクセス定義テーブルと前記原始的アクセス導出規則とを参照して、前記第一のアクセスから、該第一のアクセスのアクセス種別に応じた前記原始的アクセス導出規則に基づいて、該第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の原始的アクセスを生成し、生成された前記原始的アクセスのそれぞれのアクセス種別を、該原始的アクセスのオブジェクトの第一のアクセスにおける役割と、該第一のアクセスのアクセス種別とに応じて設定し、生成されアクセス種別が設定された一ないし複数の原始的アクセスのそれぞれについて、前記原始的アクセス制御規則に基づいて認可判定を行い、前記認可判定の結果に応じて、全ての前記原始的アクセスに関して認可されている場合に前記要求された複合的アクセスを認可する、認可判定手段と、
を有する複合的アクセス認可装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005185431A JP4723930B2 (ja) | 2005-06-24 | 2005-06-24 | 複合的アクセス認可方法及び装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005185431A JP4723930B2 (ja) | 2005-06-24 | 2005-06-24 | 複合的アクセス認可方法及び装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007004610A JP2007004610A (ja) | 2007-01-11 |
JP4723930B2 true JP4723930B2 (ja) | 2011-07-13 |
Family
ID=37690154
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005185431A Expired - Fee Related JP4723930B2 (ja) | 2005-06-24 | 2005-06-24 | 複合的アクセス認可方法及び装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4723930B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4927671B2 (ja) * | 2007-09-12 | 2012-05-09 | 株式会社リコー | 情報処理装置、アクセス制御方法、及びアクセス制御プログラム |
JP2009217433A (ja) * | 2008-03-10 | 2009-09-24 | Fuji Xerox Co Ltd | ファイル管理プログラム及びファイル管理装置 |
JP2009258820A (ja) * | 2008-04-14 | 2009-11-05 | Nec Corp | アカウント管理システム、アカウント管理装置、アカウント管理方法 |
US8621557B2 (en) | 2009-02-17 | 2013-12-31 | Nec Corporation | Information processing system judging whether manipulation is possible or not based on access control policy and method of operation thereof |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000231509A (ja) * | 1999-02-10 | 2000-08-22 | Mitsubishi Electric Corp | 計算機システムにおけるアクセス制御方法 |
JP2001184264A (ja) * | 1999-12-16 | 2001-07-06 | Internatl Business Mach Corp <Ibm> | アクセス制御システム、アクセス制御方法、記憶媒体、及びプログラム伝送装置 |
JP2002163237A (ja) * | 2000-11-27 | 2002-06-07 | Nippon Telegr & Teleph Corp <Ntt> | 情報カプセル、情報カプセル処理方法、情報カプセル処理プログラムを記録した記録媒体 |
-
2005
- 2005-06-24 JP JP2005185431A patent/JP4723930B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000231509A (ja) * | 1999-02-10 | 2000-08-22 | Mitsubishi Electric Corp | 計算機システムにおけるアクセス制御方法 |
JP2001184264A (ja) * | 1999-12-16 | 2001-07-06 | Internatl Business Mach Corp <Ibm> | アクセス制御システム、アクセス制御方法、記憶媒体、及びプログラム伝送装置 |
JP2002163237A (ja) * | 2000-11-27 | 2002-06-07 | Nippon Telegr & Teleph Corp <Ntt> | 情報カプセル、情報カプセル処理方法、情報カプセル処理プログラムを記録した記録媒体 |
Also Published As
Publication number | Publication date |
---|---|
JP2007004610A (ja) | 2007-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4676779B2 (ja) | 情報処理装置、資源管理装置、属性変更許否判定方法、属性変更許否判定プログラム及び記録媒体 | |
US7363650B2 (en) | System and method for incrementally distributing a security policy in a computer network | |
US7350226B2 (en) | System and method for analyzing security policies in a distributed computer network | |
US7574745B2 (en) | Information processing apparatus, information processing method, computer-readable medium having information processing program embodied therein, and resource management apparatus | |
Ubale Swapnaja et al. | Analysis of dac mac rbac access control based models for security | |
US7529931B2 (en) | Managing elevated rights on a network | |
TWI223949B (en) | Resource authorization | |
US20090205018A1 (en) | Method and system for the specification and enforcement of arbitrary attribute-based access control policies | |
Kabir et al. | A role-involved purpose-based access control model | |
CN106534199B (zh) | 大数据环境下基于xacml和saml的分布式***认证与权限管理平台 | |
CN1585325B (zh) | 对数据项目的基于区域的安全管理 | |
JPH05250247A (ja) | アクセスの制御方法及びデータ処理装置 | |
JP2005031834A (ja) | データ配置に制限を設けるデータ処理方法、記憶領域制御方法、および、データ処理システム。 | |
JP4723930B2 (ja) | 複合的アクセス認可方法及び装置 | |
JP4602684B2 (ja) | 情報処理装置、操作許否判定方法、操作許可情報生成方法、操作許否判定プログラム、操作許可情報生成プログラム及び記録媒体 | |
JP2007004549A (ja) | アクセス制御方法 | |
Delessy et al. | Patterns for access control in distributed systems | |
JP4764614B2 (ja) | 情報処理装置、操作許否情報生成方法、操作許否情報生成プログラム及び記録媒体 | |
US20230129276A1 (en) | Automatic Resource Access Policy Generation and Implementation | |
WO2002067173A1 (en) | A hierarchy model | |
US11625365B2 (en) | Method for managing virtual file, apparatus for the same, computer program for the same, and recording medium storing computer program thereof | |
CN115422526B (zh) | 角色权限管理方法、设备及存储介质 | |
RU2792790C1 (ru) | Устройство мандатного доступа к электронным информационным ресурсам | |
Indrakanti et al. | Authorization service for web services and its application in a health care domain | |
Peterkin et al. | Role based access control for uddi inquiries |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20061129 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070815 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100720 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100825 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101025 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110330 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110408 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140415 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |