JP4706262B2 - アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム - Google Patents
アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム Download PDFInfo
- Publication number
- JP4706262B2 JP4706262B2 JP2005011531A JP2005011531A JP4706262B2 JP 4706262 B2 JP4706262 B2 JP 4706262B2 JP 2005011531 A JP2005011531 A JP 2005011531A JP 2005011531 A JP2005011531 A JP 2005011531A JP 4706262 B2 JP4706262 B2 JP 4706262B2
- Authority
- JP
- Japan
- Prior art keywords
- identification information
- user
- access control
- information
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 98
- 238000004458 analytical method Methods 0.000 claims description 292
- 230000008569 process Effects 0.000 claims description 74
- 238000012545 processing Methods 0.000 claims description 41
- 230000008859 change Effects 0.000 claims description 40
- 230000001419 dependent effect Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 247
- 238000010586 diagram Methods 0.000 description 34
- 238000004891 communication Methods 0.000 description 19
- 238000012217 deletion Methods 0.000 description 18
- 230000037430 deletion Effects 0.000 description 18
- 238000001514 detection method Methods 0.000 description 18
- 230000004044 response Effects 0.000 description 16
- 238000011161 development Methods 0.000 description 14
- 239000000463 material Substances 0.000 description 12
- 238000007792 addition Methods 0.000 description 10
- 238000012937 correction Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 9
- 239000000284 extract Substances 0.000 description 7
- 238000009434 installation Methods 0.000 description 7
- 238000012546 transfer Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000004519 manufacturing process Methods 0.000 description 6
- 238000012790 confirmation Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 239000000126 substance Substances 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- UNPLRYRWJLTVAE-UHFFFAOYSA-N Cloperastine hydrochloride Chemical compound Cl.C1=CC(Cl)=CC=C1C(C=1C=CC=CC=1)OCCN1CCCCC1 UNPLRYRWJLTVAE-UHFFFAOYSA-N 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000005764 inhibitory process Effects 0.000 description 1
- 235000012054 meals Nutrition 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000000877 morphologic effect Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 210000000707 wrist Anatomy 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Description
また、本発明によるアクセス制御方法は、各ユーザまたは各装置の現在位置の情報を保持し、ユーザまたは装置の移動にともなう現在位置の変化が生じたときには、少なくとも移動したユーザのユーザ識別情報または移動した装置の装置識別情報と移動先を識別可能な現在位置識別情報とを含む移動情報を通知するプレゼンス管理手段から移動情報の通知を受ける知識データベースが、少なくともアクセス先となるリソースを使用するユーザまたは装置のグループと当該ユーザまたは当該装置を識別可能なユーザ識別情報または装置識別情報との関係、リソースへのアクセス元となる位置と当該位置を識別可能なアクセス元識別情報との関係、およびリソースと当該リソースを識別可能なアクセス先識別情報との関係を示す情報をそれぞれ記憶し、グループとユーザ識別情報または装置識別情報との関係を示す情報を、一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフとして記憶し、位置とアクセス元識別情報との関係を示す情報を、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフとして記憶し、リソースとアクセス先識別情報との関係を示す情報を、一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフとして記憶し、各ユーザのユーザ識別情報または各装置の装置識別情報と各ユーザまたは各装置の現在位置識別情報との関係を示す情報を、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフとして記憶し、プレゼンス管理手段から通知される移動情報に基づいて、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフを更新し、一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフ、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフ、または一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフが更新されたときに、有向グラフの更新部分に関わるグループ、位置、またはリソースの情報をポリシエンジンに通知し、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフが更新された場合に、更新部分に関わるユーザ識別情報または装置識別情報をポリシエンジンに通知し、ポリシエンジンが、知識データベースが記憶する情報に含まれる情報のうちの少なくともグループと位置とリソースを記述したアクセス制御ポリシであって、さらに、有効となる条件を記述し、グループに応じたユーザまたは装置と重複するかあるいは異なるユーザまたは装置を随伴者として記述したアクセス制御ポリシを記憶し、知識データベースが記憶する情報のうちポリシエンジンに受け渡すべき情報を判定して情報を知識データベースからポリシエンジンに受け渡す知識解析手段に、各アクセス制御ポリシに記述されたユーザまたは装置のグループおよび随伴者の情報を出力することにより、知識解析手段からユーザまたは装置のグループおよび随伴者に応じた各ユーザ識別情報または各装置識別情報を入力し、当該ユーザ識別情報または当該装置識別情報と、知識データベースから通知されたユーザ識別情報または装置識別情報とに基づいてアクセス制御ポリシを特定し、特定したアクセス制御ポリシに記述されたグループおよび随伴者に応じた各ユーザ識別情報または各装置識別情報を知識解析手段に出力することにより、知識解析手段から各ユーザ識別情報または各装置識別情報に応じた各ユーザまたは各装置の現在位置識別情報を入力し、入力した情報とアクセス制御ポリシに記述された条件とに基づいて有効となるアクセス制御ポリシを判定し、有効と判定したアクセス制御ポリシに基づいて、知識データベースが記憶する情報を用いて、アクセス制御ポリシに記述された内容のうち少なくとも位置とリソースをそれぞれ、アクセス元識別情報、アクセス先識別情報に置換することによって、特定のアクセス制御装置に依存する記述を含まないルールの集合である中間言語を生成し、中間言語を用いて、アクセス元からアクセス先へのアクセスの可否を示すアクセス制御リストを生成し、アクセス制御リストを既存のアクセス制御装置に設定することを特徴とする。
また、本発明によるアクセス制御プログラムは、各ユーザまたは各装置の現在位置の情報を保持し、ユーザまたは装置の移動にともなう現在位置の変化が生じたときには、少なくとも移動したユーザのユーザ識別情報または移動した装置の装置識別情報と移動先を識別可能な現在位置識別情報とを含む移動情報を通知するプレゼンス管理手段から移動情報の通知を受け、少なくともアクセス先となるリソースを使用するユーザまたは装置のグループと当該ユーザまたは当該装置を識別可能なユーザ識別情報または装置識別情報との関係、リソースへのアクセス元となる位置と当該位置を識別可能なアクセス元識別情報との関係、およびリソースと当該リソースを識別可能なアクセス先識別情報との関係を示す情報をそれぞれ記憶し、グループとユーザ識別情報または装置識別情報との関係を示す情報を、一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフとして記憶し、位置とアクセス元識別情報との関係を示す情報を、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフとして記憶し、リソースとアクセス先識別情報との関係を示す情報を、一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフとして記憶し、各ユーザのユーザ識別情報または各装置の装置識別情報と各ユーザまたは各装置の現在位置識別情報との関係を示す情報を、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフとして記憶し、プレゼンス管理手段から通知される移動情報に基づいて、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフを更新し、一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフ、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフ、または一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフが更新されたときに、有向グラフの更新部分に関わるグループ、位置、またはリソースの情報を通知し、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフが更新された場合に、更新部分に関わるユーザ識別情報または装置識別情報を通知する知識データベースに接続され、知識データベースが記憶する情報に含まれる情報のうちの少なくともグループと位置とリソースを記述したアクセス制御ポリシであって、さらに、有効となる条件を記述し、グループに応じたユーザまたは装置と重複するかあるいは異なるユーザまたは装置を随伴者として記述したアクセス制御ポリシを記憶するポリシ記憶手段を備えたコンピュータに、知識データベースが記憶する情報のうちコンピュータに受け渡すべき情報を判定して情報を知識データベースからコンピュータに受け渡す知識解析手段に、各アクセス制御ポリシに記述されたユーザまたは装置のグループおよび随伴者の情報を出力することにより、知識解析手段からユーザまたは装置のグループおよび随伴者に応じた各ユーザ識別情報または各装置識別情報を入力し、当該ユーザ識別情報または当該装置識別情報と、知識データベースから通知されたユーザ識別情報または装置識別情報とに基づいてアクセス制御ポリシを特定し、特定したアクセス制御ポリシに記述されたグループおよび随伴者に応じた各ユーザ識別情報または各装置識別情報を知識解析手段に出力することにより、知識解析手段から各ユーザ識別情報または各装置識別情報に応じた各ユーザまたは各装置の現在位置識別情報を入力し、入力した情報とアクセス制御ポリシに記述された条件とに基づいて有効となるアクセス制御ポリシを判定する処理、有効と判定したアクセス制御ポリシに基づいて、知識データベースが記憶する情報を用いて、アクセス制御ポリシに記述された内容のうち少なくとも位置とリソースをそれぞれ、アクセス元識別情報、アクセス先識別情報に置換することによって、特定のアクセス制御装置に依存する記述を含まないルールの集合である中間言語を生成する処理、中間言語を用いて、アクセス元からアクセス先へのアクセスの可否を示すアクセス制御リストを生成する処理、およびアクセス制御リストを既存のアクセス制御装置に設定させる処理を実行させることを特徴とする。
図5は、本発明によるアクセス制御システムの第1の実施の形態を示すブロック図である。図5に示すアクセス制御システムは、プログラム制御により動作するコンピュータであるポリシエンジン11と、一つあるいは複数のデータ格納手段である知識データベース21と、アクセス制御装置31とを備えている。ここでは、ポリシエンジン11と、知識データベース21と、アクセス制御装置31とがそれぞれ別個のコンピュータである場合を例に説明する。
図13は、本実施の形態のアクセス制御システムの動作の例を示すフローチャートである。まず、ポリシ編集手段1011は、ユーザに対して、アクセス制御ポリシの編集を行うためのユーザインタフェースを提示する(ステップA10)。図14および図15は、ステップA10で提示するユーザインタフェースの例を示す。図14は、アクセス制御ポリシの選択に用いられるユーザインタフェースである。図15は、アクセス制御ポリシの編集用ユーザインタフェースである。ポリシ編集手段1011は、ステップA10において、ユーザが参照、編集することのできる既存のアクセス制御ポリシのリストの中から参照または編集したいポリシを選べるように、ポリシ格納手段1021にアクセス制御ポリシのリストを要求し、ユーザインタフェース上でそのリストを表示する(図14参照)。ポリシ編集手段1011は、図14に示すようにリストと共に選択ボタン51を表示し、ユーザにアクセス制御ポリシの選択を促す。
図19は、本発明によるアクセス制御システムの第2の実施の形態を示すブロック図である。図19に示すアクセス制御システムは、プログラム制御により動作するコンピュータであるポリシエンジン12と、一つあるいは複数のデータ格納手段である知識データベース22と、アクセス制御装置3とを備えている。ここでは、ポリシエンジン12と、知識データベース22と、アクセス制御装置3とがそれぞれ別個のコンピュータである場合を例に説明する。
図20は、本実施の形態のアクセス制御システムの動作の例を示すフローチャートである。ここで、ポリシ格納手段1022には、複数のアクセス制御ポリシが格納されているものとする。また、各アクセス制御ポリシから生成される中間言語(ルール)およびアクセス制御リスト(行)には、生成元のアクセス制御ポリシのIDが、引き継がれて付与されるとする。
図23は、本発明によるアクセス制御システムの第3の実施の形態を示すブロック図である。図23に示すアクセス制御システムは、プログラム制御により動作するコンピュータであるポリシエンジン13と、一つあるいは複数のデータ格納手段である知識データベース23と、アクセス制御装置3とを備えている。ここでは、ポリシエンジン13と、知識データベース23と、アクセス制御装置3とがそれぞれ別個のコンピュータである場合を例に説明する。
図24は、本実施の形態のアクセス制御システムの動作の例を示すフローチャートである。まず、オブジェクト知識編集手段201は、ユーザに対して、オブジェクト知識の編集を行うためのユーザインタフェースを提示する(ステップC10)。図25および図26は、ステップC10で提示するユーザインタフェースの例を示す。図25は、名前型オブジェクトの選択に用いられるユーザインタフェースの例であり、図25ではユーザグループを表す名前型オブジェクトの選択を促す場合の例を示している。図26は、オブジェクト知識の編集用ユーザインタフェースであり、図26ではユーザグループに関するオブジェクト知識の編集を促す場合の例を示している。オブジェクト知識編集手段201は、ステップC10において、ユーザが参照、編集することのできる既存の名前型オブジェクトのリストの中から参照または編集したい名前型オブジェクトを選べるように、オブジェクト知識管理手段2023に名前型オブジェクトのリストを要求する。オブジェクト知識管理手段2023は、この要求に応じてオブジェクト知識格納手段203から名前型オブジェクトのリストを取得し、オブジェクト知識編集手段201に出力する。オブジェクト知識編集手段201は、その名前型オブジェクトのリストをユーザインタフェース上に表示する(図25参照)。オブジェクト知識編集手段201は、図25に例示するようにリストと共に選択ボタンを表示し、ユーザに名前型オブジェクトの選択を促す。
図27は、本発明によるアクセス制御システムの第4の実施の形態を示すブロック図である。本発明の第4の実施の形態は、第1または第2の実施形態におけるポリシエンジン11,12のかわりにポリシエンジン1を備える。図27に示すアクセス制御システムは、プログラム制御により動作するコンピュータであるポリシエンジン1と、一つあるいは複数のデータ格納手段である知識データベース2と、アクセス制御装置3とを備えている。ここでは、ポリシエンジン1と、知識データベース2と、アクセス制御装置3とがそれぞれ別個のコンピュータである場合を例に説明する。
第4の実施形態における動作は、2つの動作に大別される。1つ目は、ユーザにアクセス制御ポリシやオブジェクト知識を編集されることによって、中間言語格納手段104に中間言語(ルール)を格納し、時刻管理手段105にイベントを登録するまでの動作である。この動作については、図28〜図30を用いて説明する。2つ目は、登録されたイベントの指定時刻になることによって、時刻管理手段105からアクセス制御リスト設定手段に対して、該当するルールを指定し、ルールから行を生成し、アクセス制御リストを更新するまでの動作である。この動作については、図31〜図33を用いて説明する。
よって特定されるアクセス制御ポリシを読み出し、そのアクセス制御ポリシからルール(中間言語の一部)を作成する(ステップD40)。作成するルールには、生成元のアクセス制御ポリシのIDを付与する。ポリシ解析手段103は、生成したルールを中間言語格納手段104に受け渡し、中間言語の更新を指示する。中間言語格納手段104は、ポリシ解析手段103から受け取ったルールを用いて、記憶している既存の中間言語を更新し、格納する(ステップD50)。
図34は、本発明によるアクセス制御システムの第5の実施の形態を示すブロック図である。第5の実施形態におけるアクセス制御システムは、第3の実施形態におけるアクセス制御システムの構成に加えて、システム構成管理手段50を備える。また、ポリシエンジン13は、複数のアクセス制御装置3を備える。なお、本実施の形態では、図23に示すオブジェクト知識編集手段201を備えていなくてもよい。
図35は、本実施の形態のアクセス制御システムの動作の例を示すフローチャートである。まず、システム構成管理手段50は、定期的に各アクセス制御装置3に対して死活確認信号を発信して、アクセス制御装置3の現在の状態、状況を検査する(ステップS501)。死活確認信号を受信したアクセス制御装置3は、システム構成管理手段50に応答信号を発信する。システム構成管理手段50は、応答信号の受信成否によって各アクセス制御装置3の現在の状態等を検査する。すなわち、応答信号を受信した場合、その応答信号を発信したアクセス制御装置3は稼働中であると判定し、応答信号を受信できなかったアクセス制御装置3は停止状態であると判定する。
図38は、本発明によるアクセス制御システムの第6の実施の形態を示すブロック図である。第6の実施形態におけるアクセス制御システムは、第4の実施形態におけるアクセス制御システムの構成に加えて、メールサーバ60と、メール解析手段61を備える。ただし、第6の実施の形態におけるポリシエンジン62は、第4の実施形態におけるポリシエンジン1のポリシ編集手段101に代えて、ポリシ生成手段621を備える点で異なる。
図39は、本実施の形態のアクセス制御システムが受信したメールに基づいてアクセス制御設定を行う処理の処理経過の例をを示すフローチャートである。まず、メールサーバ60は新たに配送を依頼されたメールを、実際の宛先に配送する前に、メール解析手段61に入力する(ステップS611)。
図42は、本発明によるアクセス制御システムの第7の実施の形態を示すブロック図である。第7の実施形態におけるアクセス制御システムは、第6の実施の形態におけるアクセス制御システムのメール解析手段61に代えて、スケジュール解析手段70を備える。スケジュール解析手段70は、LAN63を介して、少なくとも1つ以上のユーザ端末71と接続されている。ここでは、スケジュール解析手段70が、ポリシエンジン61、知識データベース2およびアクセス制御装置3とは別個の、プログラム従って動作するコンピュータである場合を例にして説明する。
図43は、本実施の形態のアクセス制御システムが受信したスケジュール情報に基づいてアクセス制御設定を行う処理の処理経過の例をを示すフローチャートである。まず、任意のユーザ端末71のスケジュール管理手段711が、そのユーザに対して、スケジュール入力用ユーザインタフェースを提示し、スケジュール情報の入力を促す。
図47は、本発明によるアクセス制御システムの第8の実施の形態を示すブロック図である。第8の実施形態におけるアクセス制御システムは、第3の実施形態におけるアクセス制御システムの構成に加えて、プレゼンス管理手段80と位置検知手段81とを備える。なお、本実施の形態では、図23に示すオブジェクト知識編集手段201を備えていなくてもよい。
図52は、各ユーザの現在位置を知識データベースに通知する処理の処理経過の一例を示すフローチャートである。まず、位置検知手段81は、任意のあるいは特定のユーザの現在位置を検知して、少なくともユーザの識別子と現在位置の識別子とを含む現在位置情報をプレゼンス管理手段80に通知する(ステップS801)。そして、プレゼンス管理手段80は、受け取った現在位置情報に基づいて、内部的に備えるデータベース(図47において図示せず。)を更新する(ステップS802)。
本実施の形態では、各アクセス制御ポリシにはそのアクセス制御ポリシを有効(または無効)にする条件が記述される。第8の実施の形態では、「あるユーザが特定の場所に存在すること」をアクセス制御ポリシを有効にする条件としていた。それに対し、第9の実施の形態では、あるユーザと、そのユーザとは異なる他のユーザ(以下、随伴者と呼ぶ。)とが特定の関係にあることを、アクセス制御ポリシを有効(または無効)にする条件とする。「特定の関係」とは、例えば、位置に関する関係である。以下、あるユーザと随伴者とが特定の位置関係になっていることを条件にアクセス制御ポリシーが有効になっているものとする。この条件の具体例として、例えば、『ユーザ識別子(ユーザID)が「satou 」であるユーザの現在位置と、ユーザ識別子が「suzuki」であるユーザの現在位置が同一であること』等の条件が挙げられる。この場合、ユーザ識別子が「satou」であるユーザの現在位置と、ユーザ識別子が「suzuki」であるユーザの現在位置とが同一である場合に、その条件が記述されたアクセス制御ポリシが有効とされる。ここでは、ユーザと随伴者の位置が同一であることを条件とする場合を示したが、位置が異なることを条件としてもよい。また、ユーザ(または随伴者)の現在位置が、随伴者(またはユーザ)の現在位置に包含されていることを条件としてもよい。例えば、通信ネットワーク上における位置をIPアドレスで表す場合、ユーザの現在位置を表すIPアドレスが、随伴者の現在位置を表すIPアドレスに包含されていること等を条件としてもよい。また、一致、相違、包含以外の位置関係を条件としてもよい。
まず、オブジェクト知識解析手段90の動作について説明する。図56は、オブジェクト知識解析手段90がオブジェクト知識管理手段2023から出力されたユーザ識別子(ユーザID)と現在位置情報との組み合わせを中継するときの動作を示すフローチャートである。まず、オブジェクト知識解析手段90は、ユーザ識別子と現在位置情報の組をオブジェクト知識管理手段2023から受け取る(ステップS901)。次に、オブジェクト知識解析手段90は、受け取ったユーザ識別子と現在位置情報の組をポリシ解析手段1033に受け渡す。
21 知識データベース
31 アクセス制御装置
302 アクセス制御手段
1011 ポリシ編集手段
1021 ポリシ格納手段
1031 ポリシ解析手段
1061 アクセス制御リスト設定手段
2021 オブジェクト知識管理手段
2031 オブジェクト知識格納手段
3011 アクセス制御リスト格納手段
Claims (22)
- 少なくともアクセス先となるリソースを使用するユーザまたは装置のグループと当該ユーザまたは当該装置を識別可能なユーザ識別情報または装置識別情報との関係、前記リソースへのアクセス元となる位置と当該位置を識別可能なアクセス元識別情報との関係、および前記リソースと当該リソースを識別可能なアクセス先識別情報との関係を示す情報をそれぞれ記憶する知識データベースと、
各ユーザの現在位置の情報を保持し、ユーザの移動にともなう現在位置の変化が生じたときには、少なくとも移動したユーザのユーザ識別情報と移動先を識別可能な現在位置識別情報とを含む移動情報を知識データベースに通知するプレゼンス管理手段と、
前記知識データベースが記憶する情報に含まれる情報のうちの少なくともグループと位置とリソースを記述したアクセス制御ポリシを記憶し、前記アクセス制御ポリシと前記知識データベースが記憶する情報とを用いて、アクセス元からアクセス先へのアクセスの可否を示すアクセス制御リストを生成し、前記アクセス制御リストを既存のアクセス制御装置に設定するポリシエンジンとを備え、
ポリシエンジンは、知識データベースが記憶する情報を用いて、アクセス制御ポリシに記述された内容のうち少なくとも位置とリソースをそれぞれ、アクセス元識別情報、アクセス先識別情報に置換することによって、特定のアクセス制御装置に依存する記述を含まないルールの集合である中間言語を生成するポリシ解析手段を含み、
知識データベースは、
グループとユーザ識別情報または装置識別情報との関係を示す情報を、一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフとして記憶し、位置とアクセス元識別情報との関係を示す情報を、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフとして記憶し、リソースとアクセス先識別情報との関係を示す情報を、一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフとして記憶し、各ユーザのユーザ識別情報と各ユーザの現在位置識別情報との関係を示す情報を、ユーザ識別情報から現在位置識別情報への経路を有する有向グラフとして記憶する知識格納手段と、
前記プレゼンス管理手段から通知される移動情報に基づいて、ユーザ識別情報から現在位置識別情報への経路を有する有向グラフを更新するユーザ位置情報更新手段と、
一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフ、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフ、または一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフが更新されたときに、有向グラフの更新部分に関わるグループ、位置、またはリソースの情報をポリシエンジンに通知し、前記ユーザ位置情報更新手段によってユーザ識別情報から現在位置識別情報への経路を有する有向グラフが更新された場合に、更新部分に関わるユーザ識別情報をポリシエンジンに通知する更新グループ等通知手段とを含み、
ポリシエンジンは、前記更新グループ等通知手段から通知されたグループ、位置、またはリソースの情報を含むアクセス制御ポリシを特定し、前記更新グループ等通知手段から通知されたユーザ識別情報に基づいてアクセス制御ポリシを特定するポリシ特定手段を含み、
ポリシ解析手段は、前記ポリシ特定手段によって特定されたアクセス制御ポリシに基づいて、中間言語を構成するルールを生成する
ことを特徴とするアクセス制御システム。 - 少なくともアクセス先となるリソースを使用するユーザまたは装置のグループと当該ユーザまたは当該装置を識別可能なユーザ識別情報または装置識別情報との関係、前記リソースへのアクセス元となる位置と当該位置を識別可能なアクセス元識別情報との関係、および前記リソースと当該リソースを識別可能なアクセス先識別情報との関係を示す情報をそれぞれ記憶する知識データベースと、
各ユーザまたは各装置の現在位置の情報を保持し、ユーザまたは装置の移動にともなう現在位置の変化が生じたときには、少なくとも移動したユーザのユーザ識別情報または移動した装置の装置識別情報と移動先を識別可能な現在位置識別情報とを含む移動情報を知識データベースに通知するプレゼンス管理手段と、
前記知識データベースが記憶する情報に含まれる情報のうちの少なくともグループと位置とリソースを記述したアクセス制御ポリシであって、さらに、有効となる条件を記述し、グループに応じたユーザまたは装置と重複するかあるいは異なるユーザまたは装置を随伴者として記述したアクセス制御ポリシを記憶し、前記アクセス制御ポリシと前記知識データベースが記憶する情報とを用いて、アクセス元からアクセス先へのアクセスの可否を示すアクセス制御リストを生成し、前記アクセス制御リストを既存のアクセス制御装置に設定するポリシエンジンと、
知識データベースが記憶する情報のうちポリシエンジンに受け渡すべき情報を判定して前記情報を知識データベースからポリシエンジンに受け渡す知識解析手段とを備え、
ポリシエンジンは、知識データベースが記憶する情報を用いて、アクセス制御ポリシに記述された内容のうち少なくとも位置とリソースをそれぞれ、アクセス元識別情報、アクセス先識別情報に置換することによって、特定のアクセス制御装置に依存する記述を含まないルールの集合である中間言語を生成するポリシ解析手段を含み、
知識データベースは、
グループとユーザ識別情報または装置識別情報との関係を示す情報を、一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフとして記憶し、位置とアクセス元識別情報との関係を示す情報を、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフとして記憶し、リソースとアクセス先識別情報との関係を示す情報を、一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフとして記憶し、各ユーザのユーザ識別情報または各装置の装置識別情報と各ユーザまたは各装置の現在位置識別情報との関係を示す情報を、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフとして記憶する知識格納手段と、
前記プレゼンス管理手段から通知される移動情報に基づいて、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフを更新する位置情報更新手段と、
一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフ、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフ、または一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフが更新されたときに、有向グラフの更新部分に関わるグループ、位置、またはリソースの情報をポリシエンジンに通知し、前記位置情報更新手段によってユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフが更新された場合に、更新部分に関わるユーザ識別情報または装置識別情報をポリシエンジンに通知する更新グループ等通知手段とを含み、
ポリシエンジンは、
各アクセス制御ポリシに記述されたユーザまたは装置のグループおよび随伴者の情報を前記知識解析手段に出力することにより、前記知識解析手段から前記ユーザまたは装置のグループおよび前記随伴者に応じた各ユーザ識別情報または各装置識別情報を入力し、当該ユーザ識別情報または当該装置識別情報と、前記更新グループ等通知手段から通知されたユーザ識別情報または装置識別情報とに基づいてアクセス制御ポリシを特定し、特定したアクセス制御ポリシに記述されたグループおよび随伴者に応じた各ユーザ識別情報または各装置識別情報を前記知識解析手段に出力することにより、前記知識解析手段から前記各ユーザ識別情報または各装置識別情報に応じた各ユーザまたは各装置の現在位置識別情報を入力し、入力した情報と前記アクセス制御ポリシに記述された条件とに基づいて有効となるアクセス制御ポリシを判定するポリシ特定手段を含み、
ポリシ解析手段は、有効と判定されたアクセス制御ポリシに基づいて、中間言語を構成するルールを生成する
ことを特徴とするアクセス制御システム。 - ポリシエンジンに接続されている複数のアクセス制御装置の稼働状況に関する情報を保持し、アクセス制御装置の稼働状況が変化したときには、当該アクセス制御装置の識別情報と変化後の稼働状況の情報とを含む構成情報を知識データベースに通知するシステム構成管理手段を備え、
知識格納手段は、各アクセス制御装置の識別情報と稼働状況との関係を示す情報を、各アクセス制御装置の識別情報から稼働状況への経路を有する有向グラフとして記憶し、
知識データベースは、前記システム構成管理手段から通知される構成情報に基づいて、前記有向グラフを更新する稼働状況更新手段を含み、
更新グループ等通知手段は、前記稼働状況更新手段によって前記有向グラフが更新された場合に、更新部分に関わるアクセス制御装置の識別情報をポリシエンジンに通知し、
ポリシ特定手段は、前記更新グループ等通知手段から通知されたアクセス制御装置の識別情報に基づいてアクセス制御ポリシを特定し、
ポリシ解析手段は、前記ポリシ特定手段によって特定されたアクセス制御ポリシに基づいて、中間言語を構成するルールを生成する
請求項1または請求項2に記載のアクセス制御システム。 - 知識データベースは、
知識格納手段に任意のグループ、位置またはリソースから有向グラフを探索させて、ユーザ識別情報または装置識別情報の集合、アクセス元識別情報の集合、またはアクセス先識別情報の集合を抽出する知識管理手段を含む
請求項1から請求項3のうちのいずれか1項に記載のアクセス制御システム。 - 知識データベースは、知識格納手段が記憶している有向グラフを編集するためのユーザインタフェースを提供する有向グラフ編集手段を含む
請求項1から請求項4のうちのいずれか1項に記載のアクセス制御システム。 - 有向グラフ編集手段は、一のグループから経路を延ばす他のグループを選択する選択欄と、前記一のグループから経路を延ばすユーザ識別情報または装置識別情報を入力する入力欄と、前記一のグループから経路が延ばされているユーザ識別情報または装置識別情報のうち、削除するユーザ識別情報または装置識別情報の指定欄とを有するユーザインタフェースを提供する
請求項5に記載のアクセス制御システム。 - 有向グラフ編集手段は、一の位置から経路を延ばす他の位置を選択する選択欄と、前記一の位置から経路を延ばすアクセス元識別情報を入力する入力欄と、前記一のグループから経路が延ばされているアクセス元識別情報のうち、削除するアクセス元識別情報の指定欄とを有するユーザインタフェースを提供する
請求項5または請求項6に記載のアクセス制御システム。 - 有向グラフ編集手段は、一のリソースから経路を延ばす他のリソースを選択する選択欄と、前記一のリソースから経路を延ばすアクセス先識別情報を入力する入力欄と、前記一のグループから経路が延ばされているアクセス先識別情報のうち、削除するアクセス先識別情報の指定欄とを有するユーザインタフェースを提供する
請求項5から請求項7のうちのいずれか1項に記載のアクセス制御システム。 - ポリシエンジンは、
知識データベースが記憶する情報を用いて、アクセス制御ポリシに記述された内容のうち少なくとも位置とリソースをそれぞれ、アクセス元識別情報、アクセス先識別情報に置換することによって、特定のアクセス制御装置に依存する記述を含まないルールの集合である中間言語を生成するポリシ解析手段と、
生成された中間言語を、アクセス制御リストの設定対象となるアクセス制御装置の機種に応じたアクセス制御リストに変換し、当該アクセス制御リストを前記アクセス制御装置に設定するアクセス制御リスト設定手段とを含む
請求項1から請求項8のうちのいずれか1項に記載のアクセス制御システム。 - ポリシ解析手段は、更新されたアクセス制御ポリシに基づいて、中間言語を構成するルールを生成するとともに、前記ルールに生成元となったアクセス制御ポリシのIDを付与し、
アクセス制御リスト設定手段は、アクセス制御リストの構成要素である行をルールに基づいて生成するとともに、前記行に生成元となったルールに付与されいるIDを付与し、前記ポリシ解析手段によって一部のルールが新たに生成された場合には、当該ルールに付与されたIDと同一のIDが付与されている行を更新する
請求項9に記載のアクセス制御システム。 - ポリシエンジンは、
アクセス制御ポリシに含まれる情報のうち、少なくともグループと位置とリソースを編集するためのユーザインタフェースを提供するポリシ編集手段を含む
請求項1から請求項10のうちのいずれか1項に記載のアクセス制御システム。 - ポリシ編集手段は、グループのリスト、位置のリスト、およびリソースのリストを表示し、各リストにおいてそれぞれグループ、位置、リソースの選択を受け付けるユーザインタフェースを提供する
請求項11に記載のアクセス制御システム。 - ポリシエンジンは、
アクセス制御ポリシに含まれる情報のうち、少なくともグループと位置とリソースと随伴者を編集するためのユーザインタフェースを提供するポリシ編集手段を含む
請求項1に記載のアクセス制御システム。 - ポリシ編集手段は、リソースを使用するユーザまたは装置のグループのリスト、位置のリスト、リソースのリスト、および随伴者のグループのリストを表示し、各リストにおいてそれぞれユーザまたは装置のグループ、位置、リソース、随伴者のグループの選択を受け付けるユーザインタフェースを提供する
請求項13に記載のアクセス制御システム。 - 少なくともアクセス先となるリソースを使用するユーザまたは装置のグループと当該ユーザまたは当該装置を識別可能なユーザ識別情報または装置識別情報との関係、前記リソースへのアクセス元となる位置と当該位置を識別可能なアクセス元識別情報との関係、前記リソースと当該リソースを識別可能なアクセス先識別情報との関係、各ユーザのユーザ識別情報または各装置の装置識別情報と各ユーザまたは各装置の現在位置識別情報との関係を示す情報を記憶する知識データベースと、
前記知識データベースが記憶する情報に含まれる情報のうちの少なくともグループと位置とリソースを記述するとともに、前記グループに応じたユーザまたは装置と重複するかあるいは異なるユーザまたは装置を随伴者として記述したアクセス制御ポリシを記憶し、有効なアクセス制御ポリシと前記知識データベースが記憶する情報とを用いて、アクセス元からアクセス先へのアクセスの可否を示すアクセス制御リストを生成し、前記アクセス制御リストを既存のアクセス制御装置に設定するポリシエンジンと、
各ユーザまたは各装置の現在位置の情報を保持し、ユーザまたは装置の移動にともなう現在位置の変化が生じたときには、少なくとも移動したユーザのユーザ識別情報または移動した装置の装置識別情報と移動先を識別可能な現在位置識別情報とを含む移動情報を知識データベースに通知するプレゼンス管理手段とを備え、
前記知識データベースは、前記プレゼンス管理手段から通知される移動情報に基づいて、各ユーザのユーザ識別情報または各装置の装置識別情報と各ユーザまたは各装置の現在位置識別情報との関係を示す情報を更新し、更新部分に関わるユーザ識別情報または装置識別情報を前記ポリシエンジンに通知し、
前記ポリシエンジンは、
各アクセス制御ポリシに記述されたユーザまたは装置のグループおよび随伴者の情報を出力して前記ユーザまたは装置のグループおよび前記随伴者に応じた各ユーザ識別情報または各装置識別情報を入力し、当該ユーザ識別情報または当該装置識別情報と、前記知識データベースから通知されたユーザ識別情報または装置識別情報とに基づいてアクセス制御ポリシを特定し、特定したアクセス制御ポリシに記述されたグループおよび随伴者に応じた各ユーザ識別情報または各装置識別情報を出力して前記各ユーザ識別情報または各装置識別情報に応じた各ユーザまたは各装置の現在位置識別情報を入力し、入力した情報とアクセス制御ポリシ毎に定められた条件とに基づいて有効となるアクセス制御ポリシを判定するポリシ特定手段を含む
ことを特徴とするアクセス制御システム。 - ポリシエンジンは、
アクセス制御ポリシに含まれる情報のうち、少なくともグループと位置とリソースと随伴者を編集するためのユーザインタフェースを提供するポリシ編集手段を含む
請求項15に記載のアクセス制御システム。 - 各ユーザの現在位置の情報を保持し、ユーザの移動にともなう現在位置の変化が生じたときには、少なくとも移動したユーザのユーザ識別情報と移動先を識別可能な現在位置識別情報とを含む移動情報を通知するプレゼンス管理手段から前記移動情報の通知を受ける知識データベースが、
少なくともアクセス先となるリソースを使用するユーザまたは装置のグループと当該ユーザまたは当該装置を識別可能なユーザ識別情報または装置識別情報との関係、前記リソースへのアクセス元となる位置と当該位置を識別可能なアクセス元識別情報との関係、および前記リソースと当該リソースを識別可能なアクセス先識別情報との関係を示す情報をそれぞれ記憶し、グループとユーザ識別情報または装置識別情報との関係を示す情報を、一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフとして記憶し、位置とアクセス元識別情報との関係を示す情報を、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフとして記憶し、リソースとアクセス先識別情報との関係を示す情報を、一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフとして記憶し、各ユーザのユーザ識別情報と各ユーザの現在位置識別情報との関係を示す情報を、ユーザ識別情報から現在位置識別情報への経路を有する有向グラフとして記憶し、
前記プレゼンス管理手段から通知される移動情報に基づいて、ユーザ識別情報から現在位置識別情報への経路を有する有向グラフを更新し、
一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフ、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフ、または一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフが更新されたときに、有向グラフの更新部分に関わるグループ、位置、またはリソースの情報をポリシエンジンに通知し、ユーザ識別情報から現在位置識別情報への経路を有する有向グラフが更新された場合に、更新部分に関わるユーザ識別情報をポリシエンジンに通知し、
ポリシエンジンが、前記知識データベースが記憶する情報に含まれる情報のうちの少なくともグループと位置とリソースを記述したアクセス制御ポリシを記憶し、前記知識データベースから通知されたグループ、位置、またはリソースの情報を含むアクセス制御ポリシを特定し、前記知識データベースから通知されたユーザ識別情報に基づいてアクセス制御ポリシを特定し、特定したアクセス制御ポリシに基づいて、知識データベースが記憶する情報を用いて、アクセス制御ポリシに記述された内容のうち少なくとも位置とリソースをそれぞれ、アクセス元識別情報、アクセス先識別情報に置換することによって、特定のアクセス制御装置に依存する記述を含まないルールの集合である中間言語を生成し、中間言語を用いて、アクセス元からアクセス先へのアクセスの可否を示すアクセス制御リストを生成し、前記アクセス制御リストを既存のアクセス制御装置に設定する
ことを特徴とするアクセス制御方法。 - 各ユーザまたは各装置の現在位置の情報を保持し、ユーザまたは装置の移動にともなう現在位置の変化が生じたときには、少なくとも移動したユーザのユーザ識別情報または移動した装置の装置識別情報と移動先を識別可能な現在位置識別情報とを含む移動情報を通知するプレゼンス管理手段から前記移動情報の通知を受ける知識データベースが、
少なくともアクセス先となるリソースを使用するユーザまたは装置のグループと当該ユーザまたは当該装置を識別可能なユーザ識別情報または装置識別情報との関係、前記リソースへのアクセス元となる位置と当該位置を識別可能なアクセス元識別情報との関係、および前記リソースと当該リソースを識別可能なアクセス先識別情報との関係を示す情報をそれぞれ記憶し、グループとユーザ識別情報または装置識別情報との関係を示す情報を、一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフとして記憶し、位置とアクセス元識別情報との関係を示す情報を、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフとして記憶し、リソースとアクセス先識別情報との関係を示す情報を、一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフとして記憶し、各ユーザのユーザ識別情報または各装置の装置識別情報と各ユーザまたは各装置の現在位置識別情報との関係を示す情報を、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフとして記憶し、
前記プレゼンス管理手段から通知される移動情報に基づいて、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフを更新し、
一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフ、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフ、または一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフが更新されたときに、有向グラフの更新部分に関わるグループ、位置、またはリソースの情報をポリシエンジンに通知し、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフが更新された場合に、更新部分に関わるユーザ識別情報または装置識別情報をポリシエンジンに通知し、
ポリシエンジンが、
前記知識データベースが記憶する情報に含まれる情報のうちの少なくともグループと位置とリソースを記述したアクセス制御ポリシであって、さらに、有効となる条件を記述し、グループに応じたユーザまたは装置と重複するかあるいは異なるユーザまたは装置を随伴者として記述したアクセス制御ポリシを記憶し、
知識データベースが記憶する情報のうちポリシエンジンに受け渡すべき情報を判定して前記情報を知識データベースからポリシエンジンに受け渡す知識解析手段に、各アクセス制御ポリシに記述されたユーザまたは装置のグループおよび随伴者の情報を出力することにより、前記知識解析手段から前記ユーザまたは装置のグループおよび前記随伴者に応じた各ユーザ識別情報または各装置識別情報を入力し、当該ユーザ識別情報または当該装置識別情報と、前記知識データベースから通知されたユーザ識別情報または装置識別情報とに基づいてアクセス制御ポリシを特定し、特定したアクセス制御ポリシに記述されたグループおよび随伴者に応じた各ユーザ識別情報または各装置識別情報を前記知識解析手段に出力することにより、前記知識解析手段から前記各ユーザ識別情報または各装置識別情報に応じた各ユーザまたは各装置の現在位置識別情報を入力し、入力した情報と前記アクセス制御ポリシに記述された条件とに基づいて有効となるアクセス制御ポリシを判定し、有効と判定したアクセス制御ポリシに基づいて、知識データベースが記憶する情報を用いて、アクセス制御ポリシに記述された内容のうち少なくとも位置とリソースをそれぞれ、アクセス元識別情報、アクセス先識別情報に置換することによって、特定のアクセス制御装置に依存する記述を含まないルールの集合である中間言語を生成し、中間言語を用いて、アクセス元からアクセス先へのアクセスの可否を示すアクセス制御リストを生成し、前記アクセス制御リストを既存のアクセス制御装置に設定する
ことを特徴とするアクセス制御方法。 - 知識データベースが、少なくともアクセス先となるリソースを使用するユーザまたは装置のグループと当該ユーザまたは当該装置を識別可能なユーザ識別情報または装置識別情報との関係、前記リソースへのアクセス元となる位置と当該位置を識別可能なアクセス元識別情報との関係、前記リソースと当該リソースを識別可能なアクセス先識別情報との関係、各ユーザのユーザ識別情報または各装置の装置識別情報と各ユーザまたは各装置の現在位置識別情報との関係を示す情報を記憶し、
ポリシエンジンが、前記知識データベースが記憶する情報に含まれる情報のうちの少なくともグループと位置とリソースを記述するとともに、前記グループに応じたユーザまたは装置と重複するかあるいは異なるユーザまたは装置を随伴者として記述したアクセス制御ポリシを記憶し、
プレゼンス管理手段が、各ユーザまたは各装置の現在位置の情報を保持し、ユーザまたは装置の移動にともなう現在位置の変化が生じたときには、少なくとも移動したユーザのユーザ識別情報または移動した装置の装置識別情報と移動先を識別可能な現在位置識別情報とを含む移動情報を知識データベースに通知し、
知識データベースが、前記プレゼンス管理手段から通知される移動情報に基づいて、各ユーザのユーザ識別情報または各装置の装置識別情報と各ユーザまたは各装置の現在位置識別情報との関係を示す情報を更新し、更新部分に関わるユーザ識別情報または装置識別情報を前記ポリシエンジンに通知し、
ポリシエンジンが、各アクセス制御ポリシに記述されたユーザまたは装置のグループおよび随伴者の情報を出力して前記ユーザまたは装置のグループおよび前記随伴者に応じた各ユーザ識別情報または各装置識別情報を入力し、当該ユーザ識別情報または当該装置識別情報と、前記知識データベースから通知されたユーザ識別情報または装置識別情報とに基づいてアクセス制御ポリシを特定し、特定したアクセス制御ポリシに記述されたグループおよび随伴者に応じた各ユーザ識別情報または各装置識別情報を出力して前記各ユーザ識別情報または各装置識別情報に応じた各ユーザまたは各装置の現在位置識別情報を入力し、入力した情報とアクセス制御ポリシ毎に定められた条件とに基づいて有効となるアクセス制御ポリシを判定し、
ポリシエンジンが、有効と判定したアクセス制御ポリシと前記知識データベースが記憶する情報とを用いて、アクセス元からアクセス先へのアクセスの可否を示すアクセス制御リストを生成し、前記アクセス制御リストを既存のアクセス制御装置に設定する
ことを特徴とするアクセス制御方法。 - 各ユーザの現在位置の情報を保持し、ユーザの移動にともなう現在位置の変化が生じたときには、少なくとも移動したユーザのユーザ識別情報と移動先を識別可能な現在位置識別情報とを含む移動情報を通知するプレゼンス管理手段から前記移動情報の通知を受け、少なくともアクセス先となるリソースを使用するユーザまたは装置のグループと当該ユーザまたは当該装置を識別可能なユーザ識別情報または装置識別情報との関係、前記リソースへのアクセス元となる位置と当該位置を識別可能なアクセス元識別情報との関係、および前記リソースと当該リソースを識別可能なアクセス先識別情報との関係を示す情報をそれぞれ記憶し、グループとユーザ識別情報または装置識別情報との関係を示す情報を、一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフとして記憶し、位置とアクセス元識別情報との関係を示す情報を、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフとして記憶し、リソースとアクセス先識別情報との関係を示す情報を、一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフとして記憶し、各ユーザのユーザ識別情報と各ユーザの現在位置識別情報との関係を示す情報を、ユーザ識別情報から現在位置識別情報への経路を有する有向グラフとして記憶し、前記プレゼンス管理手段から通知される移動情報に基づいて、ユーザ識別情報から現在位置識別情報への経路を有する有向グラフを更新し、一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフ、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフ、または一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフが更新されたときに、有向グラフの更新部分に関わるグループ、位置、またはリソースの情報を通知し、ユーザ識別情報から現在位置識別情報への経路を有する有向グラフが更新された場合に、更新部分に関わるユーザ識別情報を通知する知識データベースに接続され、前記知識データベースが記憶する情報に含まれる情報のうちの少なくともグループと位置とリソースを記述したアクセス制御ポリシを記憶するポリシ記憶手段を備えたコンピュータに、
前記知識データベースから通知されたグループ、位置、またはリソースの情報を含むアクセス制御ポリシを特定し、前記知識データベースから通知されたユーザ識別情報に基づいてアクセス制御ポリシを特定する処理、
特定したアクセス制御ポリシに基づいて、知識データベースが記憶する情報を用いて、アクセス制御ポリシに記述された内容のうち少なくとも位置とリソースをそれぞれ、アクセス元識別情報、アクセス先識別情報に置換することによって、特定のアクセス制御装置に依存する記述を含まないルールの集合である中間言語を生成する処理、
中間言語を用いて、アクセス元からアクセス先へのアクセスの可否を示すアクセス制御リストを生成する処理、および
前記アクセス制御リストを既存のアクセス制御装置に設定させる処理
を実行させるためのアクセス制御プログラム。 - 各ユーザまたは各装置の現在位置の情報を保持し、ユーザまたは装置の移動にともなう現在位置の変化が生じたときには、少なくとも移動したユーザのユーザ識別情報または移動した装置の装置識別情報と移動先を識別可能な現在位置識別情報とを含む移動情報を通知するプレゼンス管理手段から前記移動情報の通知を受け、少なくともアクセス先となるリソースを使用するユーザまたは装置のグループと当該ユーザまたは当該装置を識別可能なユーザ識別情報または装置識別情報との関係、前記リソースへのアクセス元となる位置と当該位置を識別可能なアクセス元識別情報との関係、および前記リソースと当該リソースを識別可能なアクセス先識別情報との関係を示す情報をそれぞれ記憶し、グループとユーザ識別情報または装置識別情報との関係を示す情報を、一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフとして記憶し、位置とアクセス元識別情報との関係を示す情報を、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフとして記憶し、リソースとアクセス先識別情報との関係を示す情報を、一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフとして記憶し、各ユーザのユーザ識別情報または各装置の装置識別情報と各ユーザまたは各装置の現在位置識別情報との関係を示す情報を、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフとして記憶し、前記プレゼンス管理手段から通知される移動情報に基づいて、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフを更新し、一のグループから他のグループ、ユーザ識別情報または装置識別情報への経路を有する有向グラフ、一の位置から他の位置またはアクセス元識別情報への経路を有する有向グラフ、または一のリソースから他のリソースまたはアクセス先識別情報への経路を有する有向グラフが更新されたときに、有向グラフの更新部分に関わるグループ、位置、またはリソースの情報を通知し、ユーザ識別情報または装置識別情報から現在位置識別情報への経路を有する有向グラフが更新された場合に、更新部分に関わるユーザ識別情報または装置識別情報を通知する知識データベースに接続され、前記知識データベースが記憶する情報に含まれる情報のうちの少なくともグループと位置とリソースを記述したアクセス制御ポリシであって、さらに、有効となる条件を記述し、グループに応じたユーザまたは装置と重複するかあるいは異なるユーザまたは装置を随伴者として記述したアクセス制御ポリシを記憶するポリシ記憶手段を備えたコンピュータに、
知識データベースが記憶する情報のうちコンピュータに受け渡すべき情報を判定して前記情報を知識データベースからコンピュータに受け渡す知識解析手段に、各アクセス制御ポリシに記述されたユーザまたは装置のグループおよび随伴者の情報を出力することにより、前記知識解析手段から前記ユーザまたは装置のグループおよび前記随伴者に応じた各ユーザ識別情報または各装置識別情報を入力し、当該ユーザ識別情報または当該装置識別情報と、前記知識データベースから通知されたユーザ識別情報または装置識別情報とに基づいてアクセス制御ポリシを特定し、特定したアクセス制御ポリシに記述されたグループおよび随伴者に応じた各ユーザ識別情報または各装置識別情報を前記知識解析手段に出力することにより、前記知識解析手段から前記各ユーザ識別情報または各装置識別情報に応じた各ユーザまたは各装置の現在位置識別情報を入力し、入力した情報と前記アクセス制御ポリシに記述された条件とに基づいて有効となるアクセス制御ポリシを判定する処理、
有効と判定したアクセス制御ポリシに基づいて、知識データベースが記憶する情報を用いて、アクセス制御ポリシに記述された内容のうち少なくとも位置とリソースをそれぞれ、アクセス元識別情報、アクセス先識別情報に置換することによって、特定のアクセス制御装置に依存する記述を含まないルールの集合である中間言語を生成する処理、
中間言語を用いて、アクセス元からアクセス先へのアクセスの可否を示すアクセス制御リストを生成する処理、および
前記アクセス制御リストを既存のアクセス制御装置に設定させる処理
を実行させるためのアクセス制御プログラム。 - 少なくともアクセス先となるリソースを使用するユーザまたは装置のグループと当該ユーザまたは当該装置を識別可能なユーザ識別情報または装置識別情報との関係、前記リソースへのアクセス元となる位置と当該位置を識別可能なアクセス元識別情報との関係、前記リソースと当該リソースを識別可能なアクセス先識別情報との関係、各ユーザのユーザ識別情報または各装置の装置識別情報と各ユーザまたは各装置の現在位置識別情報との関係を示す情報を記憶する知識データベースと接続され、前記知識データベースが記憶する情報に含まれる情報のうちの少なくともグループと位置とリソースを記述するとともに、前記グループに応じたユーザまたは装置と重複するかあるいは異なるユーザまたは装置を随伴者として記述したアクセス制御ポリシを記憶するポリシ記憶手段を備えたコンピュータに、
各ユーザのユーザ識別情報または各装置の装置識別情報と各ユーザまたは各装置の現在位置識別情報との関係を示す情報における更新部分に関わるユーザ識別情報または装置識別情報を前記ポリシエンジンから入力する更新情報入力処理、
各アクセス制御ポリシに記述されたユーザまたは装置のグループおよび随伴者の情報を出力して前記ユーザまたは装置のグループおよび前記随伴者に応じた各ユーザ識別情報または各装置識別情報を入力する識別情報入力処理、
識別情報入力処理で入力したユーザ識別情報または装置識別情報と、更新情報入力処理で入力したユーザ識別情報または装置識別情報とに基づいてアクセス制御ポリシを特定する特定処理、
特定したアクセス制御ポリシに記述されたグループおよび随伴者に応じた各ユーザ識別情報または各装置識別情報を出力して前記各ユーザ識別情報または各装置識別情報に応じた各ユーザまたは各装置の現在位置識別情報を入力する現在位置識別情報入力処理、
入力した情報とアクセス制御ポリシ毎に定められた条件とに基づいて有効となるアクセス制御ポリシを判定する有効ポリシ判定処理、
有効なアクセス制御ポリシと前記知識データベースが記憶する情報とを用いて、アクセス元からアクセス先へのアクセスの可否を示すアクセス制御リストを生成するリスト生成処理、および、
前記アクセス制御リストを既存のアクセス制御装置に設定させる処理
を実行させるためのアクセス制御プログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005011531A JP4706262B2 (ja) | 2004-05-21 | 2005-01-19 | アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム |
US11/133,371 US7624424B2 (en) | 2004-05-21 | 2005-05-20 | Access control system, access control method, and access control program |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004152067 | 2004-05-21 | ||
JP2004152067 | 2004-05-21 | ||
JP2005011531A JP4706262B2 (ja) | 2004-05-21 | 2005-01-19 | アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006012117A JP2006012117A (ja) | 2006-01-12 |
JP4706262B2 true JP4706262B2 (ja) | 2011-06-22 |
Family
ID=35376475
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005011531A Expired - Fee Related JP4706262B2 (ja) | 2004-05-21 | 2005-01-19 | アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US7624424B2 (ja) |
JP (1) | JP4706262B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4307745A1 (en) * | 2022-07-12 | 2024-01-17 | Fujitsu Limited | Access control method and access control program |
Families Citing this family (192)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8352400B2 (en) | 1991-12-23 | 2013-01-08 | Hoffberg Steven M | Adaptive pattern recognition based controller apparatus and method and human-factored interface therefore |
US7904187B2 (en) | 1999-02-01 | 2011-03-08 | Hoffberg Steven M | Internet appliance system and method |
US8380854B2 (en) | 2000-03-21 | 2013-02-19 | F5 Networks, Inc. | Simplified method for processing multiple connections from the same client |
US7343413B2 (en) | 2000-03-21 | 2008-03-11 | F5 Networks, Inc. | Method and system for optimizing a network by independently scaling control segments and data flow |
JP4168052B2 (ja) * | 2005-04-01 | 2008-10-22 | 株式会社日立製作所 | 管理サーバ |
US9652637B2 (en) | 2005-05-23 | 2017-05-16 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Method and system for allowing no code download in a code download scheme |
US7913289B2 (en) * | 2005-05-23 | 2011-03-22 | Broadcom Corporation | Method and apparatus for security policy and enforcing mechanism for a set-top box security processor |
US7844996B2 (en) * | 2005-05-23 | 2010-11-30 | Broadcom Corporation | Method and apparatus for constructing an access control matrix for a set-top box security processor |
JP2006338587A (ja) * | 2005-06-06 | 2006-12-14 | Hitachi Ltd | アクセス制御サーバ、利用者端末及び情報アクセス制御方法 |
US20070086435A1 (en) * | 2005-10-19 | 2007-04-19 | Microsoft Corporation | Sharing devices on peer-to-peer networks |
US9055093B2 (en) * | 2005-10-21 | 2015-06-09 | Kevin R. Borders | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
US8025572B2 (en) * | 2005-11-21 | 2011-09-27 | Microsoft Corporation | Dynamic spectator mode |
US7779265B2 (en) | 2005-12-13 | 2010-08-17 | Microsoft Corporation | Access control list inheritance thru object(s) |
US8108548B2 (en) * | 2005-12-22 | 2012-01-31 | Microsoft Corporation | Methodology and system for file replication based on a peergroup |
US7747647B2 (en) * | 2005-12-30 | 2010-06-29 | Microsoft Corporation | Distributing permission information via a metadirectory |
US8209747B2 (en) * | 2006-01-03 | 2012-06-26 | Cisco Technology, Inc. | Methods and systems for correlating rules with corresponding event log entries |
US20070162909A1 (en) * | 2006-01-11 | 2007-07-12 | Microsoft Corporation | Reserving resources in an operating system |
US7882538B1 (en) * | 2006-02-02 | 2011-02-01 | Juniper Networks, Inc. | Local caching of endpoint security information |
US9904809B2 (en) | 2006-02-27 | 2018-02-27 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Method and system for multi-level security initialization and configuration |
US9177176B2 (en) | 2006-02-27 | 2015-11-03 | Broadcom Corporation | Method and system for secure system-on-a-chip architecture for multimedia data processing |
US8381306B2 (en) | 2006-05-30 | 2013-02-19 | Microsoft Corporation | Translating role-based access control policy to resource authorization policy |
US7933925B2 (en) * | 2006-06-01 | 2011-04-26 | International Business Machines Corporation | System and method for role based analysis and access control |
US20070294699A1 (en) * | 2006-06-16 | 2007-12-20 | Microsoft Corporation | Conditionally reserving resources in an operating system |
US9489318B2 (en) | 2006-06-19 | 2016-11-08 | Broadcom Corporation | Method and system for accessing protected memory |
JP4943751B2 (ja) * | 2006-07-04 | 2012-05-30 | 株式会社内田洋行 | 電子データアクセス制御システム、プログラム及び情報記憶媒体 |
AU2006252035B2 (en) * | 2006-09-18 | 2008-06-12 | 1851 Ecompliance Pty Ltd | Access Management System |
US20080082667A1 (en) * | 2006-09-28 | 2008-04-03 | Microsoft Corporation | Remote provisioning of information technology |
US20080104699A1 (en) * | 2006-09-28 | 2008-05-01 | Microsoft Corporation | Secure service computation |
US20080104393A1 (en) * | 2006-09-28 | 2008-05-01 | Microsoft Corporation | Cloud-based access control list |
US7647522B2 (en) * | 2006-09-28 | 2010-01-12 | Microsoft Corporation | Operating system with corrective action service and isolation |
US7716280B2 (en) * | 2006-09-28 | 2010-05-11 | Microsoft Corporation | State reflection |
US7930197B2 (en) | 2006-09-28 | 2011-04-19 | Microsoft Corporation | Personal data mining |
US8012023B2 (en) * | 2006-09-28 | 2011-09-06 | Microsoft Corporation | Virtual entertainment |
US20080091613A1 (en) * | 2006-09-28 | 2008-04-17 | Microsoft Corporation | Rights management in a cloud |
US7689524B2 (en) * | 2006-09-28 | 2010-03-30 | Microsoft Corporation | Dynamic environment evaluation and service adjustment based on multiple user profiles including data classification and information sharing with authorized other users |
US8014308B2 (en) * | 2006-09-28 | 2011-09-06 | Microsoft Corporation | Hardware architecture for cloud services |
US20080082600A1 (en) * | 2006-09-28 | 2008-04-03 | Microsoft Corporation | Remote network operating system |
US20080080526A1 (en) * | 2006-09-28 | 2008-04-03 | Microsoft Corporation | Migrating data to new cloud |
US7836056B2 (en) * | 2006-09-28 | 2010-11-16 | Microsoft Corporation | Location management of off-premise resources |
US20080082465A1 (en) * | 2006-09-28 | 2008-04-03 | Microsoft Corporation | Guardian angel |
US8341405B2 (en) * | 2006-09-28 | 2012-12-25 | Microsoft Corporation | Access management in an off-premise environment |
US20080082490A1 (en) * | 2006-09-28 | 2008-04-03 | Microsoft Corporation | Rich index to cloud-based resources |
US7672909B2 (en) * | 2006-09-28 | 2010-03-02 | Microsoft Corporation | Machine learning system and method comprising segregator convergence and recognition components to determine the existence of possible tagging data trends and identify that predetermined convergence criteria have been met or establish criteria for taxonomy purpose then recognize items based on an aggregate of user tagging behavior |
US8719143B2 (en) * | 2006-09-28 | 2014-05-06 | Microsoft Corporation | Determination of optimized location for services and data |
US20080215450A1 (en) * | 2006-09-28 | 2008-09-04 | Microsoft Corporation | Remote provisioning of information technology |
US7680908B2 (en) * | 2006-09-28 | 2010-03-16 | Microsoft Corporation | State replication |
US8595356B2 (en) | 2006-09-28 | 2013-11-26 | Microsoft Corporation | Serialization of run-time state |
US20080082670A1 (en) * | 2006-09-28 | 2008-04-03 | Microsoft Corporation | Resilient communications between clients comprising a cloud |
US9746912B2 (en) * | 2006-09-28 | 2017-08-29 | Microsoft Technology Licensing, Llc | Transformations for virtual guest representation |
US7716150B2 (en) * | 2006-09-28 | 2010-05-11 | Microsoft Corporation | Machine learning system for analyzing and establishing tagging trends based on convergence criteria |
US7657493B2 (en) * | 2006-09-28 | 2010-02-02 | Microsoft Corporation | Recommendation system that identifies a valuable user action by mining data supplied by a plurality of users to find a correlation that suggests one or more actions for notification |
US20080080396A1 (en) * | 2006-09-28 | 2008-04-03 | Microsoft Corporation | Marketplace for cloud services resources |
US8402110B2 (en) * | 2006-09-28 | 2013-03-19 | Microsoft Corporation | Remote provisioning of information technology |
US8705746B2 (en) * | 2006-09-29 | 2014-04-22 | Microsoft Corporation | Data security in an off-premise environment |
US20080082480A1 (en) * | 2006-09-29 | 2008-04-03 | Microsoft Corporation | Data normalization |
US7797453B2 (en) * | 2006-09-29 | 2010-09-14 | Microsoft Corporation | Resource standardization in an off-premise environment |
US20080083040A1 (en) * | 2006-09-29 | 2008-04-03 | Microsoft Corporation | Aggregated resource license |
US8474027B2 (en) * | 2006-09-29 | 2013-06-25 | Microsoft Corporation | Remote management of resource license |
US8601598B2 (en) * | 2006-09-29 | 2013-12-03 | Microsoft Corporation | Off-premise encryption of data storage |
US20080086463A1 (en) * | 2006-10-10 | 2008-04-10 | Filenet Corporation | Leveraging related content objects in a records management system |
US8266702B2 (en) | 2006-10-31 | 2012-09-11 | Microsoft Corporation | Analyzing access control configurations |
US20080083031A1 (en) * | 2006-12-20 | 2008-04-03 | Microsoft Corporation | Secure service computation |
US7831576B2 (en) * | 2006-12-22 | 2010-11-09 | International Business Machines Corporation | File plan import and sync over multiple systems |
US7805472B2 (en) * | 2006-12-22 | 2010-09-28 | International Business Machines Corporation | Applying multiple disposition schedules to documents |
US7979398B2 (en) * | 2006-12-22 | 2011-07-12 | International Business Machines Corporation | Physical to electronic record content management |
US7836080B2 (en) * | 2006-12-22 | 2010-11-16 | International Business Machines Corporation | Using an access control list rule to generate an access control list for a document included in a file plan |
JP4375403B2 (ja) * | 2007-01-15 | 2009-12-02 | コニカミノルタビジネステクノロジーズ株式会社 | 情報処理装置及び情報処理プログラム |
JP4973246B2 (ja) * | 2007-03-09 | 2012-07-11 | 日本電気株式会社 | アクセス権管理システム、サーバ及びアクセス権管理プログラム |
WO2008118449A1 (en) * | 2007-03-26 | 2008-10-02 | Lehman Brothers Inc. | Content management system and method |
US8327456B2 (en) * | 2007-04-13 | 2012-12-04 | Microsoft Corporation | Multiple entity authorization model |
US8239954B2 (en) * | 2007-05-07 | 2012-08-07 | Microsoft Corporation | Access control based on program properties |
US7900248B2 (en) * | 2007-05-31 | 2011-03-01 | Microsoft Corporation | Access control negation using negative groups |
US20080307486A1 (en) * | 2007-06-11 | 2008-12-11 | Microsoft Corporation | Entity based access management |
US8266287B2 (en) * | 2007-06-12 | 2012-09-11 | International Business Machines Corporation | Managing computer resources in a distributed computing system |
US8468579B2 (en) * | 2007-06-15 | 2013-06-18 | Microsoft Corporation | Transformation of sequential access control lists utilizing certificates |
WO2009007985A2 (en) * | 2007-07-06 | 2009-01-15 | Elitecore Technologies Limited | Identity and policy-based network security and management system and method |
US20110225202A1 (en) * | 2007-08-21 | 2011-09-15 | International Business Machines Corporation | Multi-dimensional access control list |
US20090055397A1 (en) * | 2007-08-21 | 2009-02-26 | International Business Machines Corporation | Multi-Dimensional Access Control List |
US8150820B1 (en) | 2007-10-04 | 2012-04-03 | Adobe Systems Incorporated | Mechanism for visible users and groups |
KR100920517B1 (ko) * | 2007-11-27 | 2009-10-09 | 한국전자통신연구원 | Rfid 리더 관리 장치 및 방법 |
US8276186B2 (en) * | 2008-01-22 | 2012-09-25 | Honeywell International Inc. | System and method for synchronizing security settings of control systems |
US8353005B2 (en) * | 2008-02-29 | 2013-01-08 | Microsoft Corporation | Unified management policy |
JP5424062B2 (ja) * | 2008-03-10 | 2014-02-26 | 日本電気株式会社 | アクセス制御システム、アクセス制御方法、及び記憶媒体 |
US8443451B2 (en) * | 2008-03-27 | 2013-05-14 | George Madathilparambil George | Manually controlled application security environments |
US8806053B1 (en) | 2008-04-29 | 2014-08-12 | F5 Networks, Inc. | Methods and systems for optimizing network traffic using preemptive acknowledgment signals |
US8316453B2 (en) * | 2008-06-27 | 2012-11-20 | Bank Of America Corporation | Dynamic community generator |
US20100050267A1 (en) * | 2008-08-20 | 2010-02-25 | Zoltan Nochta | Method and system for the automated transformation of access control management information in computer systems |
US8245141B1 (en) * | 2008-10-29 | 2012-08-14 | Cisco Technology, Inc. | Hierarchical collaboration policies in a shared workspace environment |
US8566444B1 (en) | 2008-10-30 | 2013-10-22 | F5 Networks, Inc. | Methods and system for simultaneous multiple rules checking |
US9805123B2 (en) * | 2008-11-18 | 2017-10-31 | Excalibur Ip, Llc | System and method for data privacy in URL based context queries |
JP2010128824A (ja) * | 2008-11-27 | 2010-06-10 | Hitachi Software Eng Co Ltd | ポリシーグループ識別子を利用したクライアント制御システム |
JP4636172B2 (ja) * | 2008-12-18 | 2011-02-23 | ソニー株式会社 | 操作装置、コンテンツ視聴制限方法及び電子機器装置 |
US20100199346A1 (en) * | 2009-02-02 | 2010-08-05 | Telcordia Technologies, Inc. | System and method for determining symantic equivalence between access control lists |
US10157280B2 (en) | 2009-09-23 | 2018-12-18 | F5 Networks, Inc. | System and method for identifying security breach attempts of a website |
US9507793B2 (en) | 2009-09-29 | 2016-11-29 | International Business Machines Corporation | File resharing management |
US8510801B2 (en) * | 2009-10-15 | 2013-08-13 | At&T Intellectual Property I, L.P. | Management of access to service in an access point |
US8359652B2 (en) * | 2009-10-31 | 2013-01-22 | Microsoft Corporation | Detecting anomalies in access control lists |
US8868961B1 (en) | 2009-11-06 | 2014-10-21 | F5 Networks, Inc. | Methods for acquiring hyper transport timing and devices thereof |
US10721269B1 (en) | 2009-11-06 | 2020-07-21 | F5 Networks, Inc. | Methods and system for returning requests with javascript for clients before passing a request to a server |
JP5482183B2 (ja) * | 2009-12-18 | 2014-04-23 | 富士ゼロックス株式会社 | 情報処理装置およびプログラム |
US8904554B2 (en) * | 2010-03-30 | 2014-12-02 | Private Access, Inc. | System and method for selectively redacting information in electronic documents |
US9129266B2 (en) * | 2010-06-18 | 2015-09-08 | Sharat NAGARAJ | Automated schedule systems and methods |
US10636015B2 (en) | 2010-06-18 | 2020-04-28 | Sharat NAGARAJ | Automated schedule systems and methods |
US9141625B1 (en) | 2010-06-22 | 2015-09-22 | F5 Networks, Inc. | Methods for preserving flow state during virtual machine migration and devices thereof |
US10015286B1 (en) | 2010-06-23 | 2018-07-03 | F5 Networks, Inc. | System and method for proxying HTTP single sign on across network domains |
US8908545B1 (en) | 2010-07-08 | 2014-12-09 | F5 Networks, Inc. | System and method for handling TCP performance in network access with driver initiated application tunnel |
US8347100B1 (en) | 2010-07-14 | 2013-01-01 | F5 Networks, Inc. | Methods for DNSSEC proxying and deployment amelioration and systems thereof |
US9083760B1 (en) | 2010-08-09 | 2015-07-14 | F5 Networks, Inc. | Dynamic cloning and reservation of detached idle connections |
US8630174B1 (en) | 2010-09-14 | 2014-01-14 | F5 Networks, Inc. | System and method for post shaping TCP packetization |
US8886981B1 (en) | 2010-09-15 | 2014-11-11 | F5 Networks, Inc. | Systems and methods for idle driven scheduling |
US8804504B1 (en) | 2010-09-16 | 2014-08-12 | F5 Networks, Inc. | System and method for reducing CPU load in processing PPP packets on a SSL-VPN tunneling device |
JP5517162B2 (ja) | 2010-09-22 | 2014-06-11 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 文書情報の機密ラベルを判定する方法、コンピュータ・プログラム、装置、及びシステム |
US20120102201A1 (en) * | 2010-10-25 | 2012-04-26 | Hitachi, Ltd. | Storage apparatus and management method thereof |
US9554276B2 (en) | 2010-10-29 | 2017-01-24 | F5 Networks, Inc. | System and method for on the fly protocol conversion in obtaining policy enforcement information |
US8959571B2 (en) * | 2010-10-29 | 2015-02-17 | F5 Networks, Inc. | Automated policy builder |
WO2012071552A2 (en) * | 2010-11-24 | 2012-05-31 | Coral Networks, Inc. | System and method for access control and identity management |
US8560839B2 (en) | 2010-12-20 | 2013-10-15 | Microsoft Corporation | Tamper proof location services |
JP5576262B2 (ja) | 2010-12-27 | 2014-08-20 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データを分類してアクセス制御を行う方法、並びに、システム |
US8627467B2 (en) | 2011-01-14 | 2014-01-07 | F5 Networks, Inc. | System and method for selectively storing web objects in a cache memory based on policy decisions |
US10135831B2 (en) | 2011-01-28 | 2018-11-20 | F5 Networks, Inc. | System and method for combining an access control system with a traffic management system |
JP2012194801A (ja) * | 2011-03-16 | 2012-10-11 | Hitachi Systems Ltd | セキュリティポリシー管理システム及びセキュリティリスク管理装置を備えたセキュリティポリシー管理システム |
US9246819B1 (en) | 2011-06-20 | 2016-01-26 | F5 Networks, Inc. | System and method for performing message-based load balancing |
US9027083B2 (en) * | 2011-08-05 | 2015-05-05 | Bank Of America Corporation | Management of access identifiers |
CN103765430A (zh) * | 2011-08-26 | 2014-04-30 | 惠普发展公司,有限责任合伙企业 | 数据泄漏防止系统和方法 |
JP5716635B2 (ja) * | 2011-10-31 | 2015-05-13 | 富士通株式会社 | 電子データ管理方法、プログラム、および電子データ管理装置 |
US9270766B2 (en) | 2011-12-30 | 2016-02-23 | F5 Networks, Inc. | Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof |
US10230566B1 (en) | 2012-02-17 | 2019-03-12 | F5 Networks, Inc. | Methods for dynamically constructing a service principal name and devices thereof |
US9172753B1 (en) | 2012-02-20 | 2015-10-27 | F5 Networks, Inc. | Methods for optimizing HTTP header based authentication and devices thereof |
US9231879B1 (en) | 2012-02-20 | 2016-01-05 | F5 Networks, Inc. | Methods for policy-based network traffic queue management and devices thereof |
EP3553690B8 (en) | 2012-03-02 | 2021-12-08 | F. Hoffmann-La Roche AG | Determination of a terminal's position for displaying a gui element |
EP2853074B1 (en) | 2012-04-27 | 2021-03-24 | F5 Networks, Inc | Methods for optimizing service of content requests and devices thereof |
US9264449B1 (en) * | 2012-05-01 | 2016-02-16 | Amazon Technologies, Inc. | Automatic privilege determination |
JP2014014065A (ja) * | 2012-06-08 | 2014-01-23 | Ricoh Co Ltd | 情報処理装置、会議システム及びプログラム |
US10375155B1 (en) | 2013-02-19 | 2019-08-06 | F5 Networks, Inc. | System and method for achieving hardware acceleration for asymmetric flow connections |
US9443093B2 (en) * | 2013-06-20 | 2016-09-13 | Amazon Technologies, Inc. | Policy enforcement delays |
US9699070B2 (en) | 2013-10-04 | 2017-07-04 | Nicira, Inc. | Database protocol for exchanging forwarding state with hardware switches |
US10187317B1 (en) | 2013-11-15 | 2019-01-22 | F5 Networks, Inc. | Methods for traffic rate control and devices thereof |
CN104735816A (zh) * | 2013-12-23 | 2015-06-24 | 中兴通讯股份有限公司 | 控制无线网络直连群组中无线设备断开的方法及无线设备 |
US10015143B1 (en) | 2014-06-05 | 2018-07-03 | F5 Networks, Inc. | Methods for securing one or more license entitlement grants and devices thereof |
US11838851B1 (en) | 2014-07-15 | 2023-12-05 | F5, Inc. | Methods for managing L7 traffic classification and devices thereof |
US10122630B1 (en) | 2014-08-15 | 2018-11-06 | F5 Networks, Inc. | Methods for network traffic presteering and devices thereof |
CN105471947B (zh) * | 2014-09-04 | 2019-05-14 | 青岛海尔智能家电科技有限公司 | 一种获取位置信息的方法和装置 |
KR102287949B1 (ko) * | 2014-12-01 | 2021-08-09 | 삼성전자주식회사 | 디바이스를 관리하는 방법 및 장치 |
US10182013B1 (en) | 2014-12-01 | 2019-01-15 | F5 Networks, Inc. | Methods for managing progressive image delivery and devices thereof |
US10986131B1 (en) * | 2014-12-17 | 2021-04-20 | Amazon Technologies, Inc. | Access control policy warnings and suggestions |
US11895138B1 (en) | 2015-02-02 | 2024-02-06 | F5, Inc. | Methods for improving web scanner accuracy and devices thereof |
US10043030B1 (en) | 2015-02-05 | 2018-08-07 | Amazon Technologies, Inc. | Large-scale authorization data collection and aggregation |
US10834065B1 (en) | 2015-03-31 | 2020-11-10 | F5 Networks, Inc. | Methods for SSL protected NTLM re-authentication and devices thereof |
US9942058B2 (en) | 2015-04-17 | 2018-04-10 | Nicira, Inc. | Managing tunnel endpoints for facilitating creation of logical networks |
US10505818B1 (en) | 2015-05-05 | 2019-12-10 | F5 Networks. Inc. | Methods for analyzing and load balancing based on server health and devices thereof |
US11350254B1 (en) | 2015-05-05 | 2022-05-31 | F5, Inc. | Methods for enforcing compliance policies and devices thereof |
US10554484B2 (en) | 2015-06-26 | 2020-02-04 | Nicira, Inc. | Control plane integration with hardware switches |
US9967182B2 (en) | 2015-07-31 | 2018-05-08 | Nicira, Inc. | Enabling hardware switches to perform logical routing functionalities |
US10313186B2 (en) | 2015-08-31 | 2019-06-04 | Nicira, Inc. | Scalable controller for hardware VTEPS |
US10263828B2 (en) | 2015-09-30 | 2019-04-16 | Nicira, Inc. | Preventing concurrent distribution of network data to a hardware switch by multiple controllers |
US9948577B2 (en) | 2015-09-30 | 2018-04-17 | Nicira, Inc. | IP aliases in logical networks with hardware switches |
US10230576B2 (en) | 2015-09-30 | 2019-03-12 | Nicira, Inc. | Managing administrative statuses of hardware VTEPs |
US9998324B2 (en) | 2015-09-30 | 2018-06-12 | Nicira, Inc. | Logical L3 processing for L2 hardware switches |
US9825956B2 (en) * | 2015-10-06 | 2017-11-21 | Netflix, Inc. | Systems and methods for access permission revocation and reinstatement |
US10375054B2 (en) | 2015-10-06 | 2019-08-06 | Netflix, Inc. | Securing user-accessed applications in a distributed computing environment |
JP6832862B2 (ja) * | 2015-10-23 | 2021-02-24 | サトーホールディングス株式会社 | 移動経路管理システム、移動経路管理方法、移動経路管理装置、及びプログラム |
US10250553B2 (en) | 2015-11-03 | 2019-04-02 | Nicira, Inc. | ARP offloading for managed hardware forwarding elements |
US9992112B2 (en) | 2015-12-15 | 2018-06-05 | Nicira, Inc. | Transactional controls for supplying control plane data to managed hardware forwarding elements |
US9998375B2 (en) | 2015-12-15 | 2018-06-12 | Nicira, Inc. | Transactional controls for supplying control plane data to managed hardware forwarding elements |
US11757946B1 (en) | 2015-12-22 | 2023-09-12 | F5, Inc. | Methods for analyzing network traffic and enforcing network policies and devices thereof |
US10404698B1 (en) | 2016-01-15 | 2019-09-03 | F5 Networks, Inc. | Methods for adaptive organization of web application access points in webtops and devices thereof |
US11178150B1 (en) | 2016-01-20 | 2021-11-16 | F5 Networks, Inc. | Methods for enforcing access control list based on managed application and devices thereof |
US10797888B1 (en) | 2016-01-20 | 2020-10-06 | F5 Networks, Inc. | Methods for secured SCEP enrollment for client devices and devices thereof |
US10609042B2 (en) * | 2016-02-15 | 2020-03-31 | Cisco Technology, Inc. | Digital data asset protection policy using dynamic network attributes |
JP2017219880A (ja) * | 2016-06-02 | 2017-12-14 | 三菱電機株式会社 | 認可システム、アクセス制御方法およびアクセス制御プログラム |
US10791088B1 (en) | 2016-06-17 | 2020-09-29 | F5 Networks, Inc. | Methods for disaggregating subscribers via DHCP address translation and devices thereof |
US10200343B2 (en) * | 2016-06-29 | 2019-02-05 | Nicira, Inc. | Implementing logical network security on a hardware switch |
US10412041B2 (en) * | 2016-09-21 | 2019-09-10 | Rockwell Automation Technologies, Inc. | Internet protocol (IP) addressing using an industrial control program |
US11063758B1 (en) | 2016-11-01 | 2021-07-13 | F5 Networks, Inc. | Methods for facilitating cipher selection and devices thereof |
US10505792B1 (en) | 2016-11-02 | 2019-12-10 | F5 Networks, Inc. | Methods for facilitating network traffic analytics and devices thereof |
US10492067B2 (en) * | 2016-11-18 | 2019-11-26 | Siemens Industry, Inc. | Secure access authorization method |
US11496438B1 (en) | 2017-02-07 | 2022-11-08 | F5, Inc. | Methods for improved network security using asymmetric traffic delivery and devices thereof |
US10791119B1 (en) | 2017-03-14 | 2020-09-29 | F5 Networks, Inc. | Methods for temporal password injection and devices thereof |
US10812266B1 (en) | 2017-03-17 | 2020-10-20 | F5 Networks, Inc. | Methods for managing security tokens based on security violations and devices thereof |
US10931662B1 (en) | 2017-04-10 | 2021-02-23 | F5 Networks, Inc. | Methods for ephemeral authentication screening and devices thereof |
US10972453B1 (en) | 2017-05-03 | 2021-04-06 | F5 Networks, Inc. | Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof |
US11122042B1 (en) | 2017-05-12 | 2021-09-14 | F5 Networks, Inc. | Methods for dynamically managing user access control and devices thereof |
US11284259B2 (en) * | 2017-05-12 | 2022-03-22 | Intel Corporation | Dynamic access policy provisioning in a device fog |
US11343237B1 (en) | 2017-05-12 | 2022-05-24 | F5, Inc. | Methods for managing a federated identity environment using security and access control data and devices thereof |
US11122083B1 (en) | 2017-09-08 | 2021-09-14 | F5 Networks, Inc. | Methods for managing network connections based on DNS data and network policies and devices thereof |
US11658995B1 (en) | 2018-03-20 | 2023-05-23 | F5, Inc. | Methods for dynamically mitigating network attacks and devices thereof |
US11044200B1 (en) | 2018-07-06 | 2021-06-22 | F5 Networks, Inc. | Methods for service stitching using a packet header and devices thereof |
US20210319126A1 (en) * | 2018-09-03 | 2021-10-14 | Nec Corporation | File viewing system, file viewing method, and storage medium |
US11038889B2 (en) | 2018-11-20 | 2021-06-15 | Cisco Technology, Inc. | System and method for migrating existing access control list policies to intent based policies and vice versa |
US20200351265A1 (en) * | 2019-05-02 | 2020-11-05 | Cisco Technology, Inc. | Secure dashboard user interface for multi-endpoint meeting |
US11321479B2 (en) * | 2019-12-06 | 2022-05-03 | International Business Machines Corporation | Dynamic enforcement of data protection policies for arbitrary tabular data access to a corpus of rectangular data sets |
CN117668862A (zh) * | 2022-08-22 | 2024-03-08 | 华为云计算技术有限公司 | 鉴权方法、装置、系统及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003036186A (ja) * | 2001-07-25 | 2003-02-07 | Toshiba Corp | 別名検索装置、別名検索方法及び別名検索用プログラム |
JP2005503596A (ja) * | 2001-01-29 | 2005-02-03 | インターナショナル・ビジネス・マシーンズ・コーポレーション | リソース共有システムと方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE69031191T2 (de) | 1989-05-15 | 1998-02-12 | Ibm | System zur Steuerung von Zugriffsprivilegien |
US7272625B1 (en) * | 1997-03-10 | 2007-09-18 | Sonicwall, Inc. | Generalized policy server |
JPH11313102A (ja) * | 1998-02-27 | 1999-11-09 | Fujitsu Ltd | アクセス制御リスト生成方法及びその装置 |
EP1102430A1 (en) | 1999-10-27 | 2001-05-23 | Telefonaktiebolaget Lm Ericsson | Method and arrangement in an ad hoc communication network |
US7249369B2 (en) * | 2000-07-10 | 2007-07-24 | Oracle International Corporation | Post data processing |
US7464162B2 (en) * | 2000-07-10 | 2008-12-09 | Oracle International Corporation | Systems and methods for testing whether access to a resource is authorized based on access information |
US6985955B2 (en) * | 2001-01-29 | 2006-01-10 | International Business Machines Corporation | System and method for provisioning resources to users based on roles, organizational information, attributes and third-party information or authorizations |
US6871232B2 (en) * | 2001-03-06 | 2005-03-22 | International Business Machines Corporation | Method and system for third party resource provisioning management |
JP2003140968A (ja) | 2001-10-30 | 2003-05-16 | Hitachi Ltd | ストレージ装置およびその管理運用方法 |
JP2003241901A (ja) | 2002-02-19 | 2003-08-29 | Hitachi Software Eng Co Ltd | ディスク共用制御方法および装置 |
JP2003316742A (ja) | 2002-04-24 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | シングルサインオン機能を有する匿名通信方法および装置 |
US7092942B2 (en) * | 2002-05-31 | 2006-08-15 | Bea Systems, Inc. | Managing secure resources in web resources that are accessed by multiple portals |
US6917975B2 (en) * | 2003-02-14 | 2005-07-12 | Bea Systems, Inc. | Method for role and resource policy management |
US7484237B2 (en) * | 2004-05-13 | 2009-01-27 | Hewlett-Packard Development Company, L.P. | Method and apparatus for role-based security policy management |
-
2005
- 2005-01-19 JP JP2005011531A patent/JP4706262B2/ja not_active Expired - Fee Related
- 2005-05-20 US US11/133,371 patent/US7624424B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005503596A (ja) * | 2001-01-29 | 2005-02-03 | インターナショナル・ビジネス・マシーンズ・コーポレーション | リソース共有システムと方法 |
JP2003036186A (ja) * | 2001-07-25 | 2003-02-07 | Toshiba Corp | 別名検索装置、別名検索方法及び別名検索用プログラム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4307745A1 (en) * | 2022-07-12 | 2024-01-17 | Fujitsu Limited | Access control method and access control program |
Also Published As
Publication number | Publication date |
---|---|
US7624424B2 (en) | 2009-11-24 |
US20050262132A1 (en) | 2005-11-24 |
JP2006012117A (ja) | 2006-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4706262B2 (ja) | アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム | |
US11698810B2 (en) | Mobile tasks | |
JP4348236B2 (ja) | コミュニティ継承方法 | |
US7996465B2 (en) | Incident command system | |
US10963584B2 (en) | Method and system for collaborative editing of a remotely stored document | |
US6205478B1 (en) | System for exchanging user information among users | |
WO2009096561A1 (ja) | 携帯サービスの提供システム及び提供方法 | |
Bajaj et al. | 4W1H in IoT semantics | |
US7360163B2 (en) | Work space formation apparatus | |
KR20120033818A (ko) | 사용자 단말 장치 및 그 서비스 제공 방법 | |
JP2006053824A (ja) | アクセス制御システム、アクセス制御方法、及び、プログラム | |
CN106062793B (zh) | 已被呈现的企业内容的检索 | |
US11568341B2 (en) | Dynamic resource allocation | |
JP2004318034A (ja) | インターネットを利用した地図情報リアルタイム共有システムおよびネットワークシステム | |
JP6186771B2 (ja) | 業務支援システム、その制御装置及び制御方法 | |
KR101966548B1 (ko) | 다수의 이질적인 센서 네트워크 플랫폼을 위한 센서 메타 데이터 생성 시스템 | |
JP4492276B2 (ja) | 組織活動記録装置およびプログラム | |
ES2225331T3 (es) | Gestion de datos de informacion de eventos con un dispositivo de comunicacion movil. | |
JP4720135B2 (ja) | 共同作業空間形成装置およびプログラム | |
JP2019185572A (ja) | 複数のユーザの情報を提供するためにコンピュータで実行される方法、当該方法をコンピュータに実行させるためのプログラム、および、情報管理装置 | |
KR20120033943A (ko) | 사용자 단말 장치 및 그 서비스 제공 방법 | |
WO2021235437A1 (ja) | 通信システム、中継処理装置、情報処理方法、及びプログラム | |
KR101690465B1 (ko) | 단말기 고유 sms와 일반 sns에 선행하는 메시지 기반 포털 구현 어플리케이션 | |
JP6143083B2 (ja) | データ処理装置、データ処理システム、及びデータ処理方法 | |
JP2004259019A (ja) | スケジュール管理システム、プログラムおよび記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20051122 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20051122 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070911 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101130 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110215 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110228 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4706262 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |