JP2015087944A - Roll-based access control method and system - Google Patents
Roll-based access control method and system Download PDFInfo
- Publication number
- JP2015087944A JP2015087944A JP2013225714A JP2013225714A JP2015087944A JP 2015087944 A JP2015087944 A JP 2015087944A JP 2013225714 A JP2013225714 A JP 2013225714A JP 2013225714 A JP2013225714 A JP 2013225714A JP 2015087944 A JP2015087944 A JP 2015087944A
- Authority
- JP
- Japan
- Prior art keywords
- role
- policy
- access
- access right
- point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明はクラウドにおけるロールベースアクセス制御に関する。特に、システム構成が時間とともに変化する場合のアクセス制御に関する。 The present invention relates to role-based access control in the cloud. In particular, the present invention relates to access control when the system configuration changes with time.
一般的に、情報システムでは安全に情報資源を管理するため、アクセス制御が必要である。従来の情報システムでは、情報資源に対して“読込/書込/実行”権限を定義するDAC(Discretionary Access Control)が主流であったが、職務上の責務などのユーザステータスの変更に伴う権限の再定義が煩雑であり、ヒューマンエラーなどによるセキュリティ事故を発生する要因となっていた。 Generally, in an information system, access control is necessary to manage information resources safely. In conventional information systems, DAC (Discretionary Access Control), which defines the “read / write / execute” authority for information resources, was the mainstream, but the authority associated with changes in user status such as job responsibilities The redefinition was complicated, and it was a factor that caused security accidents due to human error.
そのため、前記アクセス制御としては、職務上の役割毎に操作の権限を設定することでポリシー定義を容易にするRBAC(Role Based Access Control)が望ましい。RBACでは、ユーザに対して権限を直接割り付けず、Roleという単位で権限を設定して割り付けることでステータスの変更に伴う権限の再設定の煩雑さを解消している。ここで、「ポリシー」とはアクセス権の値(種別や内容)である。 Therefore, as the access control, RBAC (Role Based Access Control) that facilitates policy definition by setting operation authority for each job role is desirable. In RBAC, the authority is not assigned directly to the user, but the authority is set and assigned in units called Roles, thereby eliminating the complexity of authority resetting associated with the status change. Here, the “policy” is an access right value (type or content).
しかし、クラウドシステムでは管理する機器の多様性からポリシー施行点(PEP:アクセス制御を実行するシステム)が多数存在し、ポリシー施行点毎にアクセス制御に必要なポリシーの形式は異なる。そこで、ポリシー定義点(PDP:RBACポリシーを定義するシステム)で定義されたRBACポリシーを各ポリシー施行点のポリシーへと変換する技術が必要となる。 However, in the cloud system, there are many policy enforcement points (PEP: a system that executes access control) due to the diversity of devices to be managed, and the policy format required for access control differs for each policy enforcement point. Therefore, a technique for converting the RBAC policy defined at the policy definition point (PDP: RBAC policy definition system) into a policy at each policy enforcement point is required.
ポリシーを変換する技術としては特許文献1が存在する。特許文献1では、あらかじめ操作とACE(Access Control Entry)をマッピングしておくことで、RBACポリシーをAD(Active Directory)の資源ポリシーへと変換する。
As a technique for converting a policy,
情報システムでは、利用者が果たすべき職務責務の範囲外で当該機器にアクセスすることを防ぐ必要がある(職務分離の原則)。そのため、アクセス制御において最小限となるアクセス権、即ち、一連の業務を行うのに必要なリソースとそのアクセス権を各機器に設定することが望ましい(最小権限の原則、「最小権限」とは、一連の処理を行うのに必要なリソースやアクセス権である。)。 In the information system, it is necessary to prevent access to the equipment outside the scope of duties that the user should fulfill (principle of separation of duties). Therefore, it is desirable to set the minimum access right in access control, that is, the resources necessary for performing a series of operations and the access right to each device (the principle of minimum authority, “minimum authority” These are resources and access rights necessary to perform a series of processing.)
しかし、特許文献1では、あらかじめRBACポリシーの中で定義される操作と各ポリシー施行点で設定される権限が固定的にマッピングされているため、各ポリシー施行点におけるアクセス制御機構の多様な制限に基づき各機器に最小権限を設定することが困難である。また、各ポリシー施行点におけるACEに変換するため、システムの接続形態とRBACポリシーに基づき、システム間の接続を最小限にするように権限を設定できない。即ち、システム間の接続が予め人手によって設定されていたされている。
However, in
本発明は、このような状況に鑑みてなされたものであり、各ポリシー施行点におけるアクセス制御機構の多様な制限やシステム全体の接続形態に基づき、各機器への操作権限の範囲が最小権限となるように、ポリシー定義点で定義されたRBACポリシーを、各ポリシー施行点のポリシーへと変換することを目的とする。 The present invention has been made in view of such a situation, and based on various restrictions of the access control mechanism at each policy enforcement point and the connection form of the entire system, the scope of operation authority to each device is the minimum authority. Thus, an object is to convert an RBAC policy defined at a policy definition point into a policy at each policy enforcement point.
本発明は、ポリシー定義点で定義されたRBACポリシーを複数のポリシー施行点におけるポリシーへと変換する方法であって、前記ポリシー定義点と前記ポリシー施行点はネットワークに接続し、前記ポリシー定義点は、オブジェクト(クラスとインスタンスを含む)と各システムの機能のマトリクスを生成する処理と、前記RBACポリシーと前記ポリシー施行点におけるアクセス制御機構の制限とシステムの接続形態とを制約条件として制約プログラミングすることで前記ポリシー施行点のポリシーへ変換する処理とを実施する、ことを特徴とする。 The present invention is a method of converting an RBAC policy defined at a policy definition point into a policy at a plurality of policy enforcement points, wherein the policy definition point and the policy enforcement point are connected to a network, and the policy definition point is Constraint programming using the process of generating a matrix of objects (including classes and instances) and the functions of each system, the RBAC policy, the restrictions on the access control mechanism at the policy enforcement point, and the connection form of the system And converting the policy into the policy enforcement point policy.
即ち、本発明の動作の主体は「ポリシー定義点」である。クライアント装置101は、ユーザからの処理要求を受け付けると、処理要求に応じたアクセス権の要求の設定をポリシー定義点103に依頼する。ポリシー定義点103は、ロールに応じて各ポリシー施行点104に設定すべき権限を決める。即ち、あるアプリケーション(AP)実行の要求の受付はクライアント装置101が行い、そのAPの実行はポリシー施行点104で行われ、ポリシー定義点は、ロールに応じた権限が設定される。
That is, the subject of the operation of the present invention is the “policy definition point”. When the
ここで、「ロール」と、「クラス」や「インスタンス」との関係について説明する。ネットワークを構成する複数のリソース(処理装置や記憶装置など)にはそれぞれ固有のロール(役割)が与えられており、これら複数のロールは階層構造を有し、上位の構造は「クラス」と呼ばれ、各クラスには下位の構造としていくつかの「インスタンス」が含まれており、上位のクラスから下位のインスタンスに至る階層構造の関係が定められている。このような階層構造は、目的に応じて異なっており、固定した構造ではない。従って、同じインスタンス(リソース)でも、クラスとインスタンスからなる階層構造上の階層レベルが異なる場合がある。 Here, the relationship between “role” and “class” or “instance” will be described. Multiple resources (processing devices, storage devices, etc.) that make up the network are each assigned a unique role. These multiple roles have a hierarchical structure, and the upper structure is called a “class”. Each class includes several “instances” as a lower structure, and a hierarchical structure from an upper class to a lower instance is defined. Such a hierarchical structure differs depending on the purpose and is not a fixed structure. Therefore, even in the same instance (resource), the hierarchical level on the hierarchical structure composed of classes and instances may be different.
更に、本発明では、上記の階層構造上のレベルに応じてインスタンス(リソース)にアクセス権限が設定され、その設定を制御するのがポリシー定義点(所謂サーバである)である。 Furthermore, in the present invention, an access authority is set for an instance (resource) according to the level in the hierarchical structure, and the policy definition point (so-called server) controls the setting.
本発明によれば、アクセス制御機構の多様な制限やシステム全体の接続形態に基づき、各機器への操作が最小権限となるようにポリシー定義点で定義されたRBACポリシーを各ポリシー施行点のポリシーへと変換することが可能となる。 According to the present invention, based on various restrictions of the access control mechanism and the connection form of the entire system, the RBAC policy defined at the policy definition point is set so that the operation to each device has the least authority. It becomes possible to convert to.
以下、図面を用いて本発明の実施の形態について説明する。なお、これにより本発明が限定されるものではない。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. Note that the present invention is not limited thereby.
本実施例ではポリシー定義点でRBACポリシーを定義し、ポリシー施行点でアクセス制御を行うシステムの例を説明する。 In this embodiment, an example of a system that defines an RBAC policy at a policy definition point and performs access control at the policy enforcement point will be described.
以下の説明において、「人手によって」とは、ユーザが端末に所定の入力操作を行うことを意味する。 In the following description, “by hand” means that the user performs a predetermined input operation on the terminal.
(システム構成)
図1は本実施例におけるシステム構成の例である。
(System configuration)
FIG. 1 shows an example of a system configuration in this embodiment.
図1において、本実施例のシステムはクライアント装置101、ネットワーク102、ポリシー定義点103、ポリシー施行点104から構成されている。ユーザはクライアント装置101を介してシステムの機能を利用する。クライアント装置101は1個に限定されず、実施形態によって複数の場合もある。ネットワーク102は、公開ネットワークか非公開ネットワークかは限定せず、接続インタフェースも限定しない。ネットワーク102にはクライアント装置101、ポリシー定義点103(PDP:RBACポリシーを定義するシステム)、ポリシー施行点104(PEP:アクセス制御を実行するシステム)が接続されており、その接続プロトコルは限定しない。ネットワーク102は単一のネットワークである必要がなく、実施形態によって複数の場合もある。
In FIG. 1, the system according to this embodiment includes a
ポリシー定義点103は、認証装置などが該当する。ポリシー定義点103は1個に限定されず、実施形態によって複数の場合もある。ポリシー施行点104は、ストレージ統合管理装置、ストレージ、ロジカルユニット、ハイパバイザ統合管理装置、ハイパバイザ、仮想マシン、計算装置、ネットワーク装置、などが該当する。ポリシー施行点104は複数存在する。
The
クライアント装置101は、一連の処理(役割)を実行する処理装置であるポリシー定義点103に対してアクセス権の設定を要求し、ポリシー定義点103は、要求を達成するためのアクセス権設定の処理の実行を、特定の処理を実行する処理装置であるポリシー施行点104に依頼する。
The
また、クライアント装置101からの要求によって、ポリシー定義点103の内容や、それに対応するポリシー施行点104の内容の組み合わせが異なる。
Further, depending on the request from the
図2は、本実施例におけるクライアント装置101の機能構成の例である。
FIG. 2 is an example of a functional configuration of the
クライアント装置101は、制御部201、ユーザからの要求を受け付けたり、ユーザに情報を表示したりする入出力部210(即ち、端末)、及びネットワーク102に接続された送受信部211を有する。
The
図2において、制御部201は、システム構成設定要求部202、クラスタリング要求部203、ポリシー施行点情報設定要求部204、ロール設計要求部205、アクセス権モデル化要求部206、ポリシー定義要求部207、アクセス権要求部208、及び操作要求部208から構成されている。
2, the
入出力部210は、キーボード等のインタフェースを介してユーザからの入力を制御し、モニタ等のインタフェースを介してユーザへの出力を制御する処理部である。送受信部211は、ネットワーク102を介して情報の送受信を行う処理部である。
The input /
制御部201内の各要求部202〜208は、入出力部210からの各要求を受け付けて、送受信部211及びネットワーク102を介してポリシー定義点103との間でメッセージ等の授受を行う。しかし、同じ制御部201内の操作要求部209だけは、入出力部210から各要求を受け付けて、送受信部211及びネットワーク102を介してポリシー施行点104との間でメッセージ等の授受を行ない、他の要求部とは通信の相手が異なる。
Each
(クライアント装置の各要求部)
システム構成設定要求部202は、入出力部210を介してユーザからシステム構成設定要求を受け付け、送受信部211を介してシステム構成設定要求メッセージをポリシー定義点103に送信し、送受信部211を介してポリシー定義点103からシステム構成設定応答メッセージを受信し、入出力部210を介してユーザにシステム構成設定結果を通知する処理部である。
(Each request part of the client device)
The system configuration
クラスタリング要求部203は、入出力部210を介してユーザからクラスタリング要求を受け付け、送受信部211を介してクラスタリング要求メッセージをポリシー定義点103に送信し、送受信部211を介してポリシー定義点103からクラスタリング応答メッセージを受信し、入出力部210を介してユーザにクラスタリング結果を通知する処理部である。
The
ポリシー施行点情報設定要求部204は、入出力部210を介してユーザからポリシー施行点情報設定要求を受け付け、送受信部211を介してポリシー施行点情報設定要求メッセージをポリシー定義点103に送信し、送受信部211を介してポリシー定義点103からポリシー施行点情報設定応答メッセージを受信し、入出力部210を介してユーザにポリシー施行点情報設定結果を通知する処理部である。
The policy enforcement point information setting
ロール設計要求部205は、入出力部210を介してユーザからロール設計要求を受け付け、送受信部211を介してロール設計要求メッセージをポリシー定義点103に送信し、送受信部211を介してポリシー定義点103からロール設計応答メッセージを受信し、入出力部210を介してユーザにロール設計結果を通知する処理部である。
The role
アクセス権モデル化要求部206は、入出力部210を介してユーザからアクセス権モデル化要求を受け付け、送受信部211を介してアクセス権モデル化要求メッセージをポリシー定義点103に送信し、送受信部211を介してポリシー定義点103からアクセス権モデル化応答メッセージを受信し、入出力部210を介してユーザにアクセス権モデル化結果を通知する処理部である。
The access right
ポリシー定義要求部207は、入出力部210を介してユーザからポリシー定義要求を受け付け、送受信部211を介してポリシー定義要求メッセージをポリシー定義点103に送信し、送受信部211を介してポリシー定義点103からポリシー定義応答メッセージを受信し、入出力部210を介してユーザにポリシー定義結果を通知する処理部である。
The policy
アクセス権要求部208は、入出力部210を介してユーザからアクセス権要求を受け付け、送受信部211を介してアクセス権要求メッセージをポリシー定義点103に送信し、送受信部211を介してポリシー定義点103からアクセス権応答メッセージを受信し、入出力部210を介してユーザにアクセス権結果を通知する処理部である。
The access right requesting
操作要求部209は、入出力部210を介してユーザから操作要求を受け付け、送受信部211を介して操作要求メッセージをポリシー施行点104に送信し、送受信部211を介してポリシー施行点104から操作応答メッセージを受信し、入出力部210を介してユーザに操作結果を通知する処理部である。
The
図3は、本実施例におけるポリシー定義点103の機能構成の例である。
FIG. 3 is an example of a functional configuration of the
ポリシー定義点103は、制御部301、記憶部314、及びネットワーク102に接続された送受信部323を有する。
The
制御部301は、システム構成設定処理部302、クラスタリング処理部303、ポリシー施行点情報設定処理部304、ロール設計処理部305、アクセス権モデル化処理部306、ポリシー定義処理部307、制約条件設定部308、制約プログラミング処理部309、インスタンス拡張処理部310、アクセス権処理部311、アクセス権追加処理部312、及びアクセス権削除処理部313から構成されている。
The
制御部301内の各処理部302〜307、311は、送受信部323及びネットワーク102を介してクライアント装置101との間でメッセージ等の授受を行う。しかし、同じ制御部301内の処理部308〜310は、処理部307から呼び出され、処理部312、313は、処理部311から呼び出され、かつ、送受信部323及びネットワーク102を介してポリシー施行点104との間でメッセージ等の授受を行ない、他の処理部とは通信の相手が異なる。
Each of the
(ポリシー定義点の各処理部)
システム構成設定処理部302は、送受信部323を介してクライアント装置101からシステム構成設定要求メッセージを受信し、システム構成記憶領域315にシステム構成情報を格納し、送受信部323を介してクライアント装置101にシステム構成設定応答メッセージを送信する処理部である。
(Each processing part of policy definition point)
The system configuration
クラスタリング処理部303は、送受信部323を介してクライアント装置101からクラスタリング要求メッセージを受信し、システム構成記憶領域315上のシステム構成情報からポリシー施行点104を人手によってクラスとインスタンスに分類し、クラス記憶領域316にクラス情報を格納し、インスタンス記憶領域317にインスタンス情報を格納し、送受信部323を介してクライアント装置101にクラスタリング応答メッセージを送信する処理部である。
The
ポリシー施行点情報設定処理部304は、送受信部323を介してクライアント装置101からポリシー施行点情報設定要求メッセージを受信し、ポリシー施行点情報記憶領域318にポリシー施行点情報を格納し、送受信部323を介してクライアント装置101にポリシー施行点情報設定応答メッセージを送信する処理部である。
The policy enforcement point information setting
ロール設計処理部305は、送受信部323を介してクライアント装置101からロール設計要求メッセージを受信し、ロール設計を行い、ロール・ポリシー記憶領域319にロール情報を格納し、送受信部323を介してクライアント装置101にロール設計応答メッセージを送信する処理部である。
The role
アクセス権モデル化処理部306は、送受信部323を介してクライアント装置101からアクセス権モデル化要求メッセージを受信し、ポリシー施行点情報記憶領域318上のポリシー施行点情報とクラス記憶領域316上のクラス情報からアクセス権をモデル化(リソースとアクセス権との対応付けを行うこと)し、アクセス権モデル記憶領域320にアクセス権モデル化情報を格納し、送受信部323を介してクライアント装置101にアクセス権モデル化応答メッセージを送信する処理部である。
The access right
ポリシー定義処理部307は、送受信部323を介してクライアント装置101からポリシー定義要求メッセージを受信し、ポリシー施行点104のポリシー定義を行い(アクセス権を設定すること)、ロール・ポリシー記憶領域319にポリシー情報を格納し、送受信部323を介してクライアント装置101にポリシー定義応答メッセージを送信する処理部である。
The policy
制約条件設定部308は、ポリシー定義処理部307から呼び出され、ポリシー施行点情報記憶領域318上のポリシー施行点情報(人手で入力される構成情報)から制約条件を生成し、制約条件記憶領域321に制約条件を格納する処理部である。
The constraint
制約プログラミング処理部309は、ポリシー定義処理部307から呼び出され、制約条件記憶領域321上の制約条件を用いた制約プログラミングにより各ポリシー施行点104のポリシー定義する処理部である。制約プログラミングは、変数間の関係を制約という形でプログラミングするものであり、その変数間の関係を表したのが制約条件である。
The constraint
インスタンス拡張処理部310は、ポリシー定義処理部307から呼び出され、から呼び出され、インスタンス記憶領域317上のインスタンス情報からアクセス権モデル記憶領域320上のアクセス権モデル化情報を更新する処理部である。即ち、リソースとアクセス権との新たな対応付けを行う。
The instance
アクセス権処理部311は、送受信部323を介してクライアント装置101からアクセス権要求メッセージを受信し、ロール・ポリシー記憶領域319上のロール情報とポリシー情報に基づき、ポリシー施行点104のアクセス権を決定し、送受信部323を介してクライアント装置101にアクセス権応答メッセージを送信する処理部である。ここで決定したアクセス権の内容は、アクセス権付与状況記憶領域322に格納され、例えば、クライアント装置101からの要求に基づいて、アクセス権の付与状況が、クライアント装置101の入出力部210に表示される。
The access
アクセス権追加処理部312は、アクセス権処理部311から呼び出され、送受信部323を介してポリシー施行点104にアクセス権追加要求メッセージを送信し、送受信部323を介してポリシー施行点104からアクセス権追加応答メッセージを受信する処理部である。
The access right
アクセス権削除処理部313は、アクセス権処理部311から呼び出され、送受信部323を介してポリシー施行点104にアクセス権削除要求メッセージを送信し、送受信部323を介してポリシー施行点104からアクセス権削除応答メッセージを受信する処理部である。アクセス権の追加や削除は人手の指示に基づいて行なわれる。
The access right
次に、符号314は記憶部であり、システム構成記憶領域315、クラス記憶領域316、インスタンス記憶領域317、ポリシー施行点情報記憶領域318、ロール・ポリシー記憶領域319、アクセス権モデル記憶領域320、制約条件記憶領域321、アクセス権付与状況記憶領域322から構成されている。
(ポリシー定義点の各記憶領域)
システム構成記憶領域315は、本実施例のシステム構成情報を記憶する領域である。
(Each storage area for policy definition points)
The system
クラス記憶領域316は、ポリシー施行点104のクラス情報を記憶する領域である。
The
インスタンス記憶領域317は、ポリシー施行点104のインスタンス情報を記憶する領域である。
The
ポリシー施行点情報記憶領域318は、ポリシー施行点104の情報を記憶する領域である。
The policy enforcement point
ロール・ポリシー記憶領域319は、RBACで定義されたロール情報とポリシー施行点104のポリシー情報を記憶する領域である。
The role
アクセス権モデル記憶領域320は、アクセス権モデル化情報を記憶する領域である。
The access right
制約条件記憶領域321は、制約条件を記憶する領域である。アクセス権付与状況記憶領域322は、アクセス権付与状況を記憶する領域である。
The constraint
次に、送受信部323は、ネットワーク102を介して情報の送受信を行う処理部である。
Next, the transmission /
図4は、本実施例におけるポリシー施行点104の機能構成の例である。
FIG. 4 is an example of a functional configuration of the
ポリシー施行点104は、制御部401、及び、ネットワーク102に接続された送受信部405を有する。
The
制御部401は、アクセス権追加処理部402、アクセス権削除処理部403、操作処理部404から構成されている。
The
アクセス権追加処理部402は、送受信部405を介してポリシー定義点103からアクセス権追加要求メッセージを受信し、送受信部405を介してポリシー定義点103からアクセス権追加応答メッセージを送信する処理部である。
The access right
アクセス権削除処理部403は、送受信部405を介してポリシー定義点103からアクセス権削除要求メッセージを受信し、送受信部405を介してポリシー定義点103からアクセス権削除応答メッセージを送信する処理部である。
The access right
操作処理部404は、送受信部405を介してクライアント装置101から操作要求メッセージを受信し、送受信部405を介してクライアント装置101から操作応答メッセージを送信する処理部である。
The
送受信部405は、ネットワーク102を介して情報の送受信を行う処理部である。
The transmission /
図5は、本実施例における装置のハードウェア構成図の例である。図5に示したハードウェア構成は、図1に示したクライアント装置101、ポリシー定義点103、及びポリシー施行点104のそれぞれにおけるハードウェアの構成を示したものである。
FIG. 5 is an example of a hardware configuration diagram of the apparatus in the present embodiment. The hardware configuration shown in FIG. 5 shows the hardware configuration of each of the
図5において、コンピュータ501は、CPU502、メモリ503、外部記憶装置504、送受信装置505、出力装置506、入力装置507から構成されている。各装置の処理部はプログラムとして外部記憶装置504に記憶され、メモリ503にロードされて、CPU502により実行される。また、記憶部内の記憶領域としてはメモリ503、または外部記憶装置504が利用される。各装置の送受信部は送受信装置505により実現される。各装置の入出力部は出力装置506、及び入力装置507により実現される。
In FIG. 5, a
特に、CPU502とメモリ503は、クライアント装置101、ポリシー定義点103、及びポリシー施行点104のそれぞれにおける制御部に対応し、図2、図3、及び図4に示した制御部内の各処理部は、プログラムとしてメモリ503に格納され、CPU502によって実行される。図3の記憶部314は、図5に示した外部記憶装置504である。図5の送受信装置505は、図2、図3、及び図4の各送受信部であり、図1に示したネットワーク102に接続されている。また、図5の出力装置506及び入力装置507は、図2の入出力部210である。
In particular, the
(各種情報を用いた処理手順)
図6から図14を用いて、本システムにおいて初期状態からポリシーを定義する際にクライアント装置101、ポリシー定義点103、ポリシー施行点104が実行する一連の処理の例について説明する。
(Processing procedures using various information)
An example of a series of processes executed by the
図6は、本実施例におけるポリシー定義処理のシーケンス図の例である。 FIG. 6 is an example of a sequence diagram of policy definition processing in this embodiment.
((1)システム構成情報の設定)
本実施例では最初にポリシー定義点103にシステム構成情報を提供する。そのため、まずクライアント装置101はポリシー定義点103にシステム構成設定要求メッセージ601を送信する。システム構成設定要求メッセージ601の例は図7に示す。システム構成設定要求メッセージ601はポリシー施行点104、ネットワーク102、ネットワークのトポロジ(構成情報)701のパラメータから構成される。図7の例では、ポリシー施行点104がLU[1]やハイパバイザ[1]など、ネットワーク102がNW[1]など、トポロジ701がLU[1]−LU[2]−ハイパバイザ[1]などになっている。
((1) Setting system configuration information)
In this embodiment, system configuration information is first provided to the
図6に戻って、次にポリシー定義点103のシステム構成設定処理部302はシステム構成設定602を行う。システム構成設定602は、システム構成設定要求メッセージ601からポリシー施行点104、ネットワーク102、トポロジ701の情報を取得し、該情報をシステム構成記憶領域315に格納する。そして、ポリシー定義点103はクライアント装置101にシステム構成設定応答メッセージ603を送信する。システム構成設定応答メッセージ603はシステム構成設定602の実行結果のパラメータから構成されており、実行結果は真理値により表現される。例えば、実行結果が成功であれば「1」を設定し、失敗であれば「0」を設定する。
Returning to FIG. 6, the system configuration
このように本実施例では、ポリシー施行点104、ネットワーク102、トポロジ701などのシステム構成情報をユーザがポリシー定義点103に提供するが、ポリシー定義点103がポートスキャン(各ポートについて使用/未使用などの状態を調べること)などの方法でポリシー施行点104を特定し、自動的にシステム構成情報を構築してもよい。また、統合管理装置などからシステム構成情報を取得してもよい。
In this way, in this embodiment, the user provides system configuration information such as the
((2)クラスタリング)
次に本実施例では、ポリシー定義点103のクラスタリング処理303が、システム構成情報を基にポリシー施行点104とネットワーク102をクラスタリングする。即ち、構成要素の種類又は接続関係によって構成要素をグループ分けする。
((2) Clustering)
Next, in this embodiment, the
((2−1)クラスタリング要求メッセージの解析)
そのため、まずクライアント装置101はポリシー定義点103のクラスタリング処理部303にクラスタリング要求メッセージ604を送信する。クラスタリング要求メッセージ604の例は図8に示す。クラスタリング要求メッセージ604はクラス801、インスタンス802のパラメータから構成されている。図8の例では、Class_LU[1]、Class_ハイパバイザ[1]、Class_NW[1]などをクラス801としており、ポリシー施行点104がインスタンス802となり、いずれかのクラス801に重複なく包含されている。即ち、複数のポリシー施行点104のそれぞれは、人手によって、何れかのクラスに分類される。
((2-1) Analysis of clustering request message)
Therefore, first, the
((2−2)クラスとインスタンスの分類)
図9には、本実施例におけるクラスとインスタンスの例を示す。本実施例ではポリシー施行点104の機能やアクセス機構が同一のものを同一のクラスとする。これらのクラス分けは、人手によって行なわれる。また、クラス801とクラス801を繋ぐネットワーク102のインスタンス802が複数存在する場合、そのインスタンス802群をクラス801にする。図9の例では、LU[1]、LU[2]、LU[x]が同一の機能・アクセス機構を有しているため、クラス801_1としており、クラス801_1とクラス801_kを繋ぐネットワーク102_1とネットワーク102_mをクラス801_k+1としている。
((2-2) Class and instance classification)
FIG. 9 shows examples of classes and instances in this embodiment. In this embodiment, the same function and access mechanism of the
((2−3)クラス及びインスタンスの情報の格納)
図6に戻って、次にポリシー定義点103は以下のようにクラスタリング605を行う。
((2-3) Class and instance information storage)
Returning to FIG. 6, the
クラスタリング605はクラスタリング処理部303が行い、クラスタリング要求メッセージ604からクラス801、インスタンス802の情報を取得し、クラス801をクラス記憶領域316に格納し、インスタンス802をインスタンス記憶領域317に格納する。そしてポリシー定義点103はクライアント装置101にクラスタリング応答メッセージ606を送信する。クラスタリング応答メッセージ606はクラスタリング605の実行結果のパラメータから構成されており、実行結果は真理値により表現される。
このように本実施例では、ユーザがクラスタリングを実行し、クラスタリングした結果をポリシー定義点103に提供しているが、ポリシー施行点104の情報から機能・アクセス機構の同一性を判定し、クラスタリング手法によりクラスタリングしてもよい。
As described above, in this embodiment, the user executes clustering, and the clustering result is provided to the
((3)ポリシー施行点の詳細情報のポリシー定義点への設定)
((3−1)ポリシー施行点情報設定の要求)
次に、本実施例では、ポリシー定義点103にポリシー施行点104の詳細な情報を提供する。そのため、まずクライアント装置101はポリシー定義点103にポリシー施行点情報設定要求メッセージ607を送信する。
((3) Setting the policy enforcement point detailed information to the policy definition point)
((3-1) Policy enforcement point information setting request)
Next, in this embodiment, detailed information of the
ポリシー施行点情報設定要求メッセージ607の例を図10に示す。ポリシー施行点情報設定要求メッセージ607はクラス801、機能1001、関連クラス1002、アクセス制御機構1003のパラメータから構成される。アクセス制御機構1003には、各ポリシー施行点にアクセスするための手段に関する情報が格納されている。
An example of the policy enforcement point information setting
関連クラス1002は機能1001が実行されることで影響を受けるクラス801を意味する。図10の例では、Class_ハイパバイザ[1]の機能1001が仮想マシン作成などになっており、Class_ハイパバイザ[1]のアクセス制御機構1003がRBAC制限機構などになっている。図10の例のようにクラスによっては、機能1001、関連クラス1002、アクセス制御機構1003がない場合もある。
The
((3−2)ポリシー施行点情報の格納)
図6に戻って、次にポリシー定義点103のポリシー施行点情報設定処理部304は、ポリシー施行点情報設定608を行う。ポリシー施行点情報設定608はポリシー施行点情報設定処理部304が行い、ポリシー施行点情報設定要求メッセージ607から機能1001、アクセス制御機構1003の情報を取得し、該情報をポリシー施行点情報記憶領域318に格納する。そして、ポリシー定義点103はクライアント装置101にポリシー施行点情報設定応答メッセージ609を送信する。ポリシー施行点情報設定応答メッセージ609はポリシー施行点情報設定608の実行結果のパラメータから構成されており、実行結果は真理値により表現される。
((3-2) Policy enforcement point information storage)
Returning to FIG. 6, the policy enforcement point information setting
((4)ポリシー定義点のロール設計)
次に本実施例では、ロールの設計を行う。
((4) Policy definition point role design)
Next, in this embodiment, a roll is designed.
((4−1)ロール設計の要求)
そのため、まずクライアント装置101はポリシー定義点103にロール設計要求メッセージ610を送信する。ロール設計要求メッセージ610の例を図11に示す。このメッセージはロール階層構造に対して、クラス又はインスタンスを設定することを要求するメッセージである。
((4-1) Requirements for roll design)
Therefore, first, the
ロール設計要求メッセージ610はロール1101、上位ロール1102、許可機能1103、許可インスタンス1104、属性1105のパラメータから構成される。図11の例では、(ロール1101,上位ロール1102,許可機能1103、許可インスタンス1104、属性1105)が(“A社担当“、“サーバ担当“、なし、“ハイパバイザ[1]“・・・、“インスタンス“)などになっている。
The role
図12には、本実施例におけるロール階層構造の例を示す。図12は、上位の階層(上位ロール)1105a及び下位の階層(下位ロール又はインスタンス)1105bからなる階層構造を示している。ロール1101はユーザによって任意に命名され、上位ロール1105aに存在するロール1101が下位の階層1105bにある下位ロール又はインスタンスを指定することでロールの階層構造が構成される。ロール1101は“クラス”又は“インスタンス”の2種類の属性のいずれかを有し(ロールの階層構造のうち、上位のものがクラスであり、下位のものがインスタンスであり、全体が木構造をなす)、“クラス” 属性のロール1101には、ユーザが実行許可する機能、例えば仮想マシン作成1001のような機能を許可機能1103として割り当て、上位ロール1105aとして“インスタンス”属性のロール1101のような下位の階層をとる(割り当てる)ことはできない。“インスタンス” 属性のロール1101にはユーザが操作許可するインスタンス802を許可インスタンス1104として割り当て、上位ロール1105aは必ず指定しなければならない。
FIG. 12 shows an example of a role hierarchical structure in the present embodiment. FIG. 12 shows a hierarchical structure including an upper hierarchy (upper role) 1105a and a lower hierarchy (lower role or instance) 1105b. The
((4−2)ロール設計要求に含まれる情報の格納)
図6に戻って、次にポリシー定義点103はロール設計611を行う。ロール設計611はロール設計処理部305が行い、ロール設計要求メッセージ610からロール1101、上位ロール1102、許可機能1103、許可インスタンス1104、属性1105の情報を取得し、該情報をロール・ポリシー記憶領域319に格納する。そしてポリシー定義点103はクライアント装置101にロール設計応答メッセージ612を送信する。ロール設計応答メッセージ612はロール設計611の実行結果のパラメータから構成されており、実行結果は真理値により表現される。
((4-2) Storage of information included in role design request)
Returning to FIG. 6, the
このように本実施例では、ロールを階層構造で構築し、各ロールに、階層に応じた属性を付与してロール設計を行っているが、ロール設計は該実施形態に限定されるものではなく、NIST(National Institute of Standards and Technology)が提案する標準的なロール設計などでもよい。 As described above, in this example, roles are constructed in a hierarchical structure, and role design is performed by assigning attributes according to the hierarchy to each role. However, role design is not limited to this embodiment. A standard roll design proposed by NIST (National Institute of Standards and Technology) may be used.
((5)アクセス権のモデル化)
次に、本実施例では、ポリシー定義点103に与えられたクラス801や機能1001からポリシー定義に必要な中間データ(後述するアクセス権マトリクス1302)を生成するため、アクセス権のモデル化を行う。
((5) Access rights modeling)
Next, in this embodiment, in order to generate intermediate data (access right matrix 1302 described later) necessary for policy definition from the
((5−1)アクセス権マトリクスの生成)
そのため、まずクライアント装置101はポリシー定義点103のアクセス権モデル化処理部306にアクセス権モデル化要求メッセージ613を送信する。アクセス権モデル化要求メッセージ613はポリシー定義点103にアクセス権モデル化614を実行させるために送信されるメッセージであり、パラメータがないメッセージである。
((5-1) Generation of access right matrix)
Therefore, first, the
次に、ポリシー定義点103は“クラス” 属性のロール1101それぞれに対しアクセス権モデル化614を行う。アクセス権モデル化614はアクセス権モデル化処理部306が行う。
Next, the
本実施例におけるアクセス権モデル化614の例を図13に示す。まずクラス記憶領域316上のクラス801情報とポリシー施行点情報記憶領域318上の機能1001からアクセス権マトリクス1301を生成する。図13のようにアクセス権マトリクス1301はアクセス元1302、アクセス先1304を列として持ち、主体1303、機能1001を行として持つ。アクセス権マトリクス1301の要素は2値の値であり、アクセス権マトリクス1301生成時は全て“0”である。
An example of access
((5−2)アクセス権のプロット)
次に、ロール・ポリシー記憶領域319上のロール1101に対する許可機能1103とポリシー施行点情報記憶領域318上の機能1001と関連クラス1002からロール1101に必要なアクセス権をプロット(パラメータの設定)する。例えば、“サーバ担当”のロール1101に対してアクセス権モデル化614を実行する場合、“サーバ担当”のロール1101は“仮想マシン作成”の許可機能1103を有しており、“仮想マシン作成”の機能1001は関連クラス1002として“Class_LU[1]”を有しているため、アクセス権マトリクス1301上では、アクセス元1302 “Class_ハイパバイザ[1]”、主体1303 “Class_LU[1]” 機能1001“なし”の要素と主体1303 “Class_ハイパバイザ[1]”、アクセス先1304 “Class_LU[1]” 機能1001“仮想マシン作成”の要素が1にインクリメントされる。即ち、所定の要素のフラグが、「権限なし」を示す「0」から、「権限あり」を示す「1」に設定される。
((5-2) Access right plot)
Next, the access right necessary for the
このような処理をサーバ担当”のロール1101が有する許可機能1103全てに対して行う。そして、アクセス権マトリクス1301をアクセス権モデル記憶領域320に格納する。上記のアクセス権モデル化処理を“クラス” 属性のロール1101の数だけ反復し、“クラス” 属性のロール1101の数だけアクセス権マトリクス1301を生成する。
Such processing is performed for all
そして、ポリシー定義点103はクライアント装置101にアクセス権モデル化要求メッセージ615を送信する。アクセス権モデル化要求メッセージ615はアクセス権モデル化614の実行結果のパラメータから構成されており、実行結果は真理値により表現される。
Then, the
((6)クラスのポリシー定義)
次に本実施例では、“クラス” 属性のロール1101それぞれに対しポリシー施行点104のポリシー定義を行う。
((6) Class policy definition)
Next, in this embodiment, the policy definition of the
そのため、まずクライアント装置101はポリシー定義点103にポリシー定義要求メッセージ616を送信する。ポリシー定義要求メッセージ616はポリシー定義点103に一連のポリシー定義処理を実行させるために送信されるメッセージであり、パラメータがないメッセージである。
Therefore, first, the
((6−1)制約条件の設定)
次に、ポリシー定義点103はポリシー定義処理部307により一連のポリシー定義処理を実行する。まず、ポリシー定義処理部307は制約条件設定617を行う。制約条件設定617は制約条件設定部308が行い、クラス記憶領域316上のネットワークに関するクラス801からアクセス権マトリクス1301の各レコードにおいて、人手により、アクセス元1302、アクセス先1304と成り得るクラス801を制約とする操作を行う。
((6-1) Setting constraint conditions)
Next, the
また、ポリシー施行点情報記憶領域318上のアクセス制御機構1003に基づいて、ポリシー施行点104におけるアクセス権設定がアクセス権マトリクス1301上でアクセス権担保領域を制約とする。なお、本実施例ではアクセス権設定のアクセス権担保領域については事前に設計できているものとしている。さらに、“ポリシー施行点104におけるアクセス権設定の数が少ない方がよい”など普遍的な性質を弱い制約条件とする。制約条件は制約条件記憶領域321に格納される。
Further, based on the
((6−2)制約プログラミングの実行)
次に、ポリシー定義処理部307は、アクセス権マトリクス1301全体について以下のように制約プログラミング618を行う。
((6-2) Executing constraint programming)
Next, the policy
制約プログラミング618は制約プログラミング処理部309が行い、アクセス権マトリクス1301上でインクリメントされた要素全てを包含するようなポリシー施行点104におけるアクセス権設定を探索する。そして、ロール1101毎に制約プログラミング618により求まったアクセス権設定と各アクセス権設定のアクセス権担保領域をロール・ポリシー記憶領域319に格納する。
The
((6−3)インスタンス拡張)
次に、ポリシー定義処理部307はインスタンス拡張619を行う。即ち、下位のインスタンスに対してもアクセス権を設定できるようにする。
((6-3) Instance expansion)
Next, the policy
インスタンス拡張619はインスタンス拡張処理部310が行い、“クラス” 属性のロール1101毎に生成されたアクセス権マトリクス1301を下位の“インスタンス”属性のロール1101の数だけ複製し、“インスタンス”属性のロール1101毎にアクセス権マトリクス1301上でアクセス元1302、主体1303、アクセス先1304のクラス801をインスタンス802に拡張する。
The instance
インスタンス拡張619の結果を図14に示す。図14の例では、クラス801 “Class_LU[1]”をインスタンス802“LU[1]”、“LU[2]”に拡張している。アクセス権マトリクス1301の要素の値はインスタンス拡張619前の値を継承し、ロール・ポリシー記憶領域319上の許可インスタンス1104に含まれないインスタンス802をデクリメントする。そして、インスタンス拡張619を実行したアクセス権マトリクス1301をアクセス権モデル記憶領域320に格納する。
The result of the
((7)アクセス権担保領域における制約プログラミングの実行)
次にポリシー定義処理部307は、ポリシー定義処理部307はアクセス権担保領域(インスタンス拡張領域)毎に、上記の制約プログラミング618余同様な制約プログラミング620を行う。制約プログラミング620は制約プログラミング処理部309が行い、インスタンス拡張619によりアクセス権担保領域が拡大したアクセス権担保領域が対象となる。アクセス権担保領域に対応するアクセス権設定を見直すため、アクセス権担保領域内において最適なアクセス権設定(制約条件の制約の項目を満たしているアクセス権の設定)を探索し、ロール・ポリシー記憶領域319に格納する。
((7) Execution of constraint programming in the access right guarantee area)
Next, the policy
そして、ポリシー定義点103はクライアント装置101にポリシー定義応答メッセージ621を送信する。ポリシー定義応答メッセージ621はポリシー定義処理の実行結果のパラメータから構成されており、実行結果は真理値により表現される。
Then, the
このように本実施例では、システムのトポロジ、ポリシー施行点104のアクセス制御機構を制約条件として制約プログラミングによりロール設計に基づいたポリシー施行点104のアクセス権設定を探索する。なお、本実施例で挙げた制約条件は例であり、非限定的なものである。
As described above, in this embodiment, the access right setting of the
本実施例では、ポリシー定義処理以前にクラスタリングによってロールとシステム構成をクラスレベルに抽象化し、ポリシー定義処理においてクラスレベルの制約プログラミングによるアクセス権設定探索とインスタンスレベルの制約プログラミングによるアクセス権設定探索を実行している。クラスとインスタンスに分けてアクセス権設定探索することで、制約プログラミングの計算が発散するリスクを低減する効果がある。即ち、アクセス権の設定対象をクラスとインスタンスに分けることで、制約プログラミングの計算の対象を限定できる。 In this example, roles and system configurations are abstracted to class level by clustering before policy definition processing, and access right setting search by class level constraint programming and access right setting search by instance level constraint programming are executed in policy definition processing. doing. By searching the access right setting separately for classes and instances, there is an effect of reducing the risk of the computation of constraint programming diverging. In other words, by dividing the access right setting targets into classes and instances, it is possible to limit the target of constraint programming calculation.
また、クラスとインスタンスに分けることで、制約プログラミングにおいて、クラスやインスタンスに対応付けられた制約条件を、クラスやインスタンスの内容が若干変更された場合でもそのまま継承でき、インスタンスレベルの制約プログラミングを部分問題として探索することができる。 Also, by dividing into classes and instances, in constraint programming, the constraint conditions associated with classes and instances can be inherited as they are even if the contents of classes and instances are slightly changed, and instance-level constraint programming is a partial problem. Can be explored as
近年、仮想化技術の進歩によりインスタンス生成・削除の機会は増大しており、インスタンスレベルの制約プログラミングを部分問題とすることで、再計算のコストを低減する効果がある。 In recent years, the opportunity of instance generation / deletion has increased due to the advancement of virtualization technology. By making instance-level constraint programming a partial problem, there is an effect of reducing the cost of recalculation.
以上が本システムにおいて初期状態からポリシーを定義する際にクライアント装置101、ポリシー定義点103、ポリシー施行点104が実行する一連の処理の例である。
The above is an example of a series of processes executed by the
(一連の処理の具体例)
図15から図16を用いて、本システムにおいてシステムの操作認可をする際にクライアント装置101、ポリシー定義点103、ポリシー施行点104が実行する一連の処理の例について説明する。
(Specific example of a series of processing)
An example of a series of processes executed by the
((1)アクセス権の要求)
図15は本実施例における操作認可処理のシーケンス図の例である。本実施例では最初にポリシー定義点103がポリシー施行点104にアクセス権を設定する。そのため、まずクライアント装置101はポリシー定義点103にアクセス権要求メッセージ1501を送信する。アクセス権要求メッセージ1501はユーザがアクセスを希望するロール1101、アクセス時間のパラメータから構成されている。
((1) Request access right)
FIG. 15 is an example of a sequence diagram of the operation authorization process in the present embodiment. In this embodiment, the
((2)アクセス権の設定)
次に、ポリシー定義点103はアクセス権設定処理を行う。アクセス権設定処理はアクセス権追加処理部312で実行され、全てのポリシー施行点104に対してアクセス権追加メッセージ1502を送信する。
((2) Setting access rights)
Next, the
アクセス権追加要求メッセージ1502の例を図16に示す。アクセス権追加要求メッセージ1502はアクセス権設定1601のパラメータから構成されている。アクセス権設定1601はロール・ポリシー記憶領域319上からユーザがアクセスを希望するロール1101に該当するアクセス権設定値を取得する。
An example of the access right addition request message 1502 is shown in FIG. The access right addition request message 1502 includes parameters of the access right setting 1601. The access right setting 1601 acquires an access right setting value corresponding to the
次にポリシー施行点104はアクセス権追加1503を行う。アクセス権追加1503はアクセス権追加処理部402で実行され、ポリシー施行点104において、アクセス権設定1601に基づいてアクセス権を追加する。そして、ポリシー施行点104はポリシー定義点103にアクセス権追加応答メッセージ1504を送信する。アクセス権追加応答メッセージ1504はアクセス権追加1503の実行結果のパラメータから構成されており、実行結果は真理値により表現される。
Next, the
上記のようなアクセス権設定処理を全てのポリシー施行点104に対して反復処理する。ユーザがアクセスを希望するロール1101に該当するアクセス権設定1601が存在しないポリシー施行点104に関しては本処理を省略してもよい。
The access right setting process as described above is repeated for all policy enforcement points 104. This processing may be omitted for the
((3)アクセス権設定の完了)
次に、ポリシー定義点103はクライアント装置101にアクセス権応答メッセージ1505を送信する。アクセス権応答メッセージ1505はアクセス権設定処理の実行結果のパラメータから構成されており、実行結果は真理値により表現される。
((3) Completion of access right setting)
Next, the
((4)操作要求)
次に、本実施例では、ポリシー施行点104において操作を実行する。そのため、クライアント装置101はユーザが実行したい操作毎にポリシー施行点104に操作要求メッセージ1506を送信する。操作要求メッセージ1506はポリシー施行点104に操作を実行させるために送信されるメッセージであり、パラメータがないメッセージである。
((4) Operation request)
Next, in this embodiment, the operation is executed at the
次に、ポリシー施行点104は、操作1507を実行する。操作1507は操作処理部404で実行され、ユーザの希望に従い、機能1001のいずれかが実行される。そして、ポリシー施行点104はクライアント装置101に操作応答メッセージ1508を送信する。操作応答メッセージ1508はアクセス権設定処理の実行結果のパラメータから構成されており、実行結果は真理値により表現される。
Next, the
((5)アクセス権の削除)
次に、本実施例では、アクセス権が設定されたポリシー施行点104(装置などのリソース)を使用後に開放するため、追加したアクセス権の削除を行う。そのため、ポリシー定義点103はアクセス権削除処理を実行する。アクセス権削除処理は、アクセス権追加処理後、アクセス権追加要求メッセージ1502中のアクセス時間が経過した際に、アクセス権削除処理部403において実行される。アクセス権削除処理では、アクセス権を設定した全てのポリシー施行点104に対して、アクセス権削除要求メッセージ1509を送信する。アクセス権削除要求メッセージ1509は、アクセス権設定1601を削除するパラメータから構成されている。一方、アクセス権設定1601は、ロール・ポリシー記憶領域319上からユーザがアクセスを希望する新たなロール1101に該当するアクセス権設定値を取得する。
((5) Delete access right)
Next, in this embodiment, in order to release the policy enforcement point 104 (resource such as a device) to which the access right is set after use, the added access right is deleted. Therefore, the
次に、パラメータでアクセス権削除の対処として指定されたポリシー施行点104は、アクセス権削除1510を実行する。アクセス権削除1510はアクセス権削除処理部403で実行され、アクセス権削除要求メッセージ1509上のアクセス権設定1601を削除するパラメータに基づいてアクセス権を削除する。そして、ポリシー施行点104はアクセス権削除応答メッセージ1511をポリシー定義点103に送信する。アクセス権削除応答メッセージ1511はアクセス権削除1510の実行結果のパラメータから構成されており、実行結果は真理値により表現される。
Next, the
アクセス権の追加と削除を繰り返す際に、各ポリシー施行点104における処理の継続に必要な情報が必要に応じて保持される。例えば、(1)最初、ロールAでポリシー施行点αにアクセス権を追加し、その後削除し、(2)ロールBでポリシー施行点αにアクセス権を追加し、その後削除し、再び、(3)ロールAでポリシー施行点αにアクセス権を追加するような場合、(2)のロールBの実行中であっても。(1)のロールAで実行していた時の情報を保持しておかないと、(3)のロールAを再開した時に情報の一貫性が保たれない。
When the addition and deletion of access rights are repeated, information necessary for continuation of processing at each
(他の実施例)
このように本実施例では、ユーザが操作要求する毎にポリシー施行点104のアクセス権を実行する。
(Other examples)
As described above, in this embodiment, the access right of the
一般的に、ロール設計の段階で同時実行してはならない操作を1つのロールに対して与える事態を回避するが、1人に複数のロールが割り当てられた場合、同時実行してはならない操作の権限を両方有してしまう場合がある。そのため、全てのロールに対して事前にアクセス権を静的に与える方法だと、同時実行してはならない操作を同時に実行してしまうリスクが高くなり、好ましくない。そこで、本実施例のようにアクセス権を動的に付与することによって、該リスクを低減し、責任分離を容易にする効果がある。即ち、上記の(1)〜(5)の一連の処理(各ポリシー施行点に対するアクセス権の追加と削除)を動的に行うことにより、1つのポリシー施行点104(リソース)に対して一時的に操作の権限を与えることができる。 In general, avoid the situation where operations that should not be executed simultaneously at the stage of role design are given to one role. However, if multiple roles are assigned to one person, operations that must not be executed simultaneously. You may have both rights. Therefore, the method of statically assigning access rights to all roles in advance increases the risk of simultaneously performing operations that should not be performed simultaneously, which is not preferable. Therefore, dynamically assigning access rights as in this embodiment has the effect of reducing the risk and facilitating separation of responsibilities. That is, by dynamically performing the series of processes (addition and deletion of access rights to each policy enforcement point) described above (1) to (5), one policy enforcement point 104 (resource) is temporarily stored. Can be authorized to operate.
また、本実施例では、ユーザが指定するアクセス時間を基にアクセス権削除のタイミングを決定しているが、ポリシー定義点103がブロードキャストによりポリシー施行点104に問い合わせ、操作終了を確認してアクセス権を削除するなどでもよい。
In this embodiment, the access right deletion timing is determined based on the access time specified by the user. However, the
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 In addition, this invention is not limited to an above-described Example, Various modifications are included. For example, the above-described embodiments have been described in detail for easy understanding of the present invention, and are not necessarily limited to those having all the configurations described. Further, a part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. Further, it is possible to add, delete, and replace other configurations for a part of the configuration of each embodiment.
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。 Each of the above-described configurations, functions, processing units, processing means, and the like may be realized by hardware by designing a part or all of them with, for example, an integrated circuit. Each of the above-described configurations, functions, and the like may be realized by software by interpreting and executing a program that realizes each function by the processor. Information such as programs, tables, and files that realize each function can be stored in a recording device such as a memory, a hard disk, or an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, or a DVD.
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。 Further, the control lines and information lines indicate what is considered necessary for the explanation, and not all the control lines and information lines on the product are necessarily shown. Actually, it may be considered that almost all the components are connected to each other.
101:クライアント装置、102:ネットワーク、103:ポリシー定義点、104_1、104_n:ポリシー施行点、201、301、401:制御部、314:記憶部、211:入出力部、211、323、405:送受信部、501:コンピュータ、502:CPU、503:メモリ、504:外部記憶装置、505:送受信装置、506:出力装置、507:入力装置 101: client device, 102: network, 103: policy definition point, 104_1, 104_n: policy enforcement point, 201, 301, 401: control unit, 314: storage unit, 211: input / output unit, 211, 323, 405: transmission / reception 501: Computer, 502: CPU, 503: Memory, 504: External storage device, 505: Transmission / reception device, 506: Output device, 507: Input device
Claims (15)
前記ポリシー定義点により、
システム構成情報を受信し、ポリシー施行点の機能情報とアクセス制御機構情報を受信し、ロールベースアクセス制御に基づいたロールを受信する処理と、
アクセス権をモデル化し、制約条件を設定し、制約プログラミングにより前記ロールを満たす前記ポリシー施行点のアクセス権設定値を探索する処理と、
前記ポリシー定義点が前記ネットワークを介して複数のポリシー施行点に前記アクセス権設定値を送信する処理を実施する、
ことを特徴とするロールベースのアクセス制御方法。 A role-based access control method at a policy definition point connected to a network and a plurality of policy enforcement points,
By the policy definition point,
Processing for receiving system configuration information, receiving policy enforcement point function information and access control mechanism information, and receiving a role based on role-based access control;
Processing for modeling access rights, setting constraint conditions, and searching for access right setting values of the policy enforcement points that satisfy the role by constraint programming;
The policy definition point performs a process of transmitting the access right setting value to a plurality of policy enforcement points via the network.
And a role-based access control method.
前記システム構成情報と前記ポリシー施行点の前記アクセス制御機構情報を強い制約条件とする処理を実施する
ことを特徴とする請求項1に記載のロールベースのアクセス制御方法。 By the policy definition point,
The role-based access control method according to claim 1, wherein the system configuration information and the access control mechanism information at the policy enforcement point are used as a strong constraint.
前記アクセス権設定値の総数と前記ロールとして不要な前記アクセス権設定値の数とを弱い制約条件とする処理を実施する
ことを特徴とする請求項2に記載のロールベースのアクセス制御方法。 By the policy definition point,
The role-based access control method according to claim 2, wherein a process is performed in which the total number of the access right setting values and the number of the access right setting values unnecessary for the role are set as weak constraints.
前記システム構成情報をクラスタリングしてクラス構成情報を生成する処理と、
前記ロールをクラス属性ロールとインスタンス属性ロールに分類する処理と、
前記クラス構成情報を制約条件とし、制約プログラミングにより前記クラス属性ロールを満たす前記ポリシー施行点の暫定アクセス権設定値を探索する処理と、
前記制約条件を継承し、前記暫定アクセス権設定値を継承し、制約プログラミングにより前記インスタンス属性ロールを満たす前記ポリシー施行点のアクセス権設定値を探索する処理を実施する、
ことを特徴とする請求項3に記載のロールベースのアクセス制御方法。 By the policy definition point,
Clustering the system configuration information to generate class configuration information;
A process of classifying the role into a class attribute role and an instance attribute role;
A process of searching for a provisional access right setting value of the policy enforcement point that satisfies the class attribute role by constraint programming using the class configuration information as a constraint condition;
Inheriting the restriction condition, inheriting the provisional access right setting value, and performing a process of searching for the access right setting value of the policy enforcement point that satisfies the instance attribute role by constraint programming.
The role-based access control method according to claim 3.
前記システム構成情報の更新情報を受信し、インスタンス増減の情報を取得する処理と、
前記アクセス権設定値を継承し、前記インスタンス増減より変更が発生し得る前記アクセス権設定値に限定した制約プログラミングにより部分問題として修正する処理を実施する、
ことを特徴とする請求項4に記載のロールベースのアクセス制御方法。 By the policy definition point,
A process of receiving update information of the system configuration information and acquiring instance increase / decrease information;
Inheriting the access right setting value, performing a process of correcting as a partial problem by constraint programming limited to the access right setting value that can be changed by the increase or decrease of the instance,
The role-based access control method according to claim 4.
前記ポリシー施行点の機能情報を受信し、前記クラスを機能の主体とアクセス元とアクセス先とに分け、前記主体と前記アクセス元と前記アクセス先と前記機能の組み合わせによりクラス属性ロールのアクセスモデルを生成する
ことを特徴とする請求項1に記載のロールベースのアクセス制御方法。 By the policy definition point,
The function information of the policy enforcement point is received, the class is divided into a function subject, an access source, and an access destination, and an access model of a class attribute role is determined by a combination of the subject, the access source, the access destination, and the function. The role-based access control method according to claim 1, wherein the role-based access control method is generated.
前記クラス属性ロールの前記アクセスモデルを継承し、前記主体と前記アクセス元と前記アクセス先を前記クラスから前記インスタンスへ拡張することでインスタンス属性ロールのアクセス権モデルを生成する
ことを特徴とする請求項6に記載のロールベースのアクセス制御方法。 By the policy definition point,
The access model of an instance attribute role is generated by inheriting the access model of the class attribute role and extending the subject, the access source, and the access destination from the class to the instance. 6. The role-based access control method according to 6.
アクセス希望ロールを受信し、前記ポリシー定義点が前記ネットワークを介して複数のポリシー施行点にアクセス希望ロールに該当する前記アクセス権設定値を送信する処理と、
一定時間終了時後、あるいは操作終了信号を受信後、前記ポリシー施行点で設定したアクセス権を削除する処理を実施する、
ことを特徴とする請求項1に記載のロールベースのアクセス制御方法。 By the policy definition point,
A process of receiving an access desired role, and the policy definition point transmits the access right setting value corresponding to the access desired role to a plurality of policy enforcement points via the network;
After the end of a certain period of time or after receiving an operation end signal, carry out a process of deleting the access right set at the policy enforcement point.
The role-based access control method according to claim 1.
前記ポリシー定義点は、
システム構成情報を受信し、ポリシー施行点の機能情報とアクセス制御機構情報を受信し、ロールベースアクセス制御に基づいたロールを受信する処理と、
アクセス権をモデル化し、制約条件を設定し、制約プログラミングにより前記ロールを満たす前記ポリシー施行点のアクセス権設定値を探索する手段と、
前記ポリシー定義点が前記ネットワークを介して複数のポリシー施行点に前記アクセス権設定値を送信する処理を実施する手段と、を有する
ことを特徴とするロールベースのアクセス制御システム。 A role-based access control system having a policy definition point connected to a network and a plurality of policy enforcement points,
The policy definition point is
Processing for receiving system configuration information, receiving policy enforcement point function information and access control mechanism information, and receiving a role based on role-based access control;
Means for modeling an access right, setting a constraint condition, and searching for an access right setting value of the policy enforcement point satisfying the role by constraint programming;
A role-based access control system, wherein the policy definition point includes means for transmitting the access right setting value to a plurality of policy enforcement points via the network.
前記システム構成情報と前記ポリシー施行点の前記アクセス制御機構情報を強い制約条件とする処理を実施する手段を有する
ことを特徴とする請求項9に記載のロールベースのアクセス制御システム。 The policy definition point is
10. The role-based access control system according to claim 9, further comprising a unit that performs processing using the system configuration information and the access control mechanism information of the policy enforcement point as a strong constraint.
前記アクセス権設定値の総数と前記ロールとして不要な前記アクセス権設定値の数とを弱い制約条件とする処理を実施する手段を有する
ことを特徴とする請求項10に記載のロールベースのアクセス制御システム。 The policy definition point is
The role-based access control according to claim 10, further comprising: a process for setting a weak restriction condition on a total number of the access right setting values and a number of the access right setting values unnecessary for the role. system.
前記ポリシー施行点の機能情報を受信し、前記クラスを機能の主体とアクセス元とアクセス先とに分け、前記主体と前記アクセス元と前記アクセス先と前記機能の組み合わせによりクラス属性ロールのアクセスモデルを生成する手段を有する
ことを特徴とする請求項9に記載のロールベースのアクセス制御システム。 The policy definition point is
The function information of the policy enforcement point is received, the class is divided into a function subject, an access source, and an access destination, and an access model of a class attribute role is determined by a combination of the subject, the access source, the access destination, and the function. The role-based access control system according to claim 9, further comprising means for generating.
前記クラス属性ロールの前記アクセスモデルを継承し、前記主体と前記アクセス元と前記アクセス先を前記クラスから前記インスタンスへ拡張することでインスタンス属性ロールのアクセス権モデルを生成する手段を有する
ことを特徴とする請求項12に記載のロールベースのアクセス制御システム。 The policy definition point is
Means for inheriting the access model of the class attribute role and generating an access right model of the instance attribute role by extending the subject, the access source, and the access destination from the class to the instance. The role-based access control system according to claim 12.
アクセス希望ロールを受信し、前記ポリシー定義点が前記ネットワークを介して複数のポリシー施行点にアクセス希望ロールに該当する前記アクセス権設定値を送信する手段と、
一定時間終了時後、あるいは操作終了信号を受信後、前記ポリシー施行点で設定したアクセス権を削除する処理を実施する手段、を有する
ことを特徴とする請求項9に記載のロールベースのアクセス制御システム。 The policy definition point is
Means for receiving an access desired role, and the policy definition point transmits the access right setting value corresponding to the access desired role to a plurality of policy enforcement points via the network;
10. The role-based access control according to claim 9, further comprising means for executing a process of deleting an access right set at the policy enforcement point after a predetermined time or after receiving an operation end signal. system.
前記アクセス制御法方法は、
前記ポリシー定義点により、
システム構成情報を受信し、ポリシー施行点の機能情報とアクセス制御機構情報を受信し、ロールベースアクセス制御に基づいたロールを受信する処理と、
アクセス権をモデル化し、制約条件を設定し、制約プログラミングにより前記ロールを満たす前記ポリシー施行点のアクセス権設定値を探索する処理と、
前記ポリシー定義点が前記ネットワークを介して複数のポリシー施行点に前記アクセス権設定値を送信する処理を実施する、
ことを特徴とする記憶媒体。 A storage medium that is readable and enlightened with a program for executing a role-based access control method at a policy definition point connected to a network and a plurality of policy enforcement points,
The access control method is:
By the policy definition point,
Processing for receiving system configuration information, receiving policy enforcement point function information and access control mechanism information, and receiving a role based on role-based access control;
Processing for modeling access rights, setting constraint conditions, and searching for access right setting values of the policy enforcement points that satisfy the role by constraint programming;
The policy definition point performs a process of transmitting the access right setting value to a plurality of policy enforcement points via the network.
A storage medium characterized by that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013225714A JP2015087944A (en) | 2013-10-30 | 2013-10-30 | Roll-based access control method and system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013225714A JP2015087944A (en) | 2013-10-30 | 2013-10-30 | Roll-based access control method and system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015087944A true JP2015087944A (en) | 2015-05-07 |
Family
ID=53050676
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013225714A Pending JP2015087944A (en) | 2013-10-30 | 2013-10-30 | Roll-based access control method and system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015087944A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107645532A (en) * | 2016-07-22 | 2018-01-30 | 腾讯科技(深圳)有限公司 | The user management method and device of mixed cloud |
US11297066B2 (en) | 2020-01-20 | 2022-04-05 | International Business Machines Corporation | Constrained roles for access management |
-
2013
- 2013-10-30 JP JP2013225714A patent/JP2015087944A/en active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107645532A (en) * | 2016-07-22 | 2018-01-30 | 腾讯科技(深圳)有限公司 | The user management method and device of mixed cloud |
US11297066B2 (en) | 2020-01-20 | 2022-04-05 | International Business Machines Corporation | Constrained roles for access management |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9774586B1 (en) | Dynamic authorization of users in a multi-tenant environment using tenant authorization profiles | |
JP5356221B2 (en) | Convert role-based access control policies to resource authorization policies | |
US9294485B2 (en) | Controlling access to shared content in an online content management system | |
JP4769304B2 (en) | Operating system independent data management | |
JP4537022B2 (en) | A data processing method, a storage area control method, and a data processing system that limit data arrangement. | |
JP4896541B2 (en) | Discoverability and enumeration mechanisms in hierarchically secure storage systems | |
US10776322B2 (en) | Transformation processing for objects between storage systems | |
JP5719431B2 (en) | Method for protecting data for context recognition, data processing system thereof, and computer program | |
US20120131646A1 (en) | Role-based access control limited by application and hostname | |
CN112532632B (en) | Resource allocation method and device for multi-level cloud platform and computer equipment | |
JP2010079468A (en) | File server resource division method, system, apparatus and program | |
US20180352034A1 (en) | Dynamic routing of file system objects | |
US20230061347A1 (en) | Multiple access points for data containers | |
US20090254559A1 (en) | File system and method for controlling file system | |
US8819231B2 (en) | Domain based management of partitions and resource groups | |
JP2011232840A (en) | Access control information managing method, computer system and program | |
US9111114B1 (en) | Method of transforming database system privileges to object privileges | |
JP2015087944A (en) | Roll-based access control method and system | |
US20230077424A1 (en) | Controlling access to resources during transition to a secure storage system | |
Zou et al. | Multi-tenancy access control strategy for cloud services | |
WO2016127773A1 (en) | Update method and device | |
US20170147158A1 (en) | Methods and systems for managing gui components in a networked storage environment | |
Li et al. | Research and Design of Docker Technology Based Authority Management System | |
Costa et al. | Attribute based access control in federated clouds: A case study in bionformatics | |
US11803568B1 (en) | Replicating changes from a database to a destination and modifying replication capacity |