JP4723905B2 - Policy automatic generation method and authorization device - Google Patents

Policy automatic generation method and authorization device Download PDF

Info

Publication number
JP4723905B2
JP4723905B2 JP2005142575A JP2005142575A JP4723905B2 JP 4723905 B2 JP4723905 B2 JP 4723905B2 JP 2005142575 A JP2005142575 A JP 2005142575A JP 2005142575 A JP2005142575 A JP 2005142575A JP 4723905 B2 JP4723905 B2 JP 4723905B2
Authority
JP
Japan
Prior art keywords
authorization
policy
condition
information
conditions
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005142575A
Other languages
Japanese (ja)
Other versions
JP2006318369A (en
Inventor
賢介 柴田
嘉人 大嶋
陽助 荒金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005142575A priority Critical patent/JP4723905B2/en
Publication of JP2006318369A publication Critical patent/JP2006318369A/en
Application granted granted Critical
Publication of JP4723905B2 publication Critical patent/JP4723905B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、電子的な情報を保護することを目的とし、情報の利用を制御する際に判断となるポリシの生成方法に関する。   The present invention relates to a policy generation method for the purpose of protecting electronic information, which is a judgment when controlling the use of information.

価値ある情報を保護するため、当該情報へのアクセスや利用を制御するためのアクセス制御技術の重要性が高まっている。このアクセス制御技術の中核を成しているのが、情報の提供可否を判断する認可である。   In order to protect valuable information, the importance of access control technology for controlling access and use of the information is increasing. The core of this access control technology is authorization for determining whether or not to provide information.

情報の利用環境が多様化してきている現在、認可を行なう際には、情報の利用を要求している利用者自身が当該情報を提供するのに適切であるか否かを判断するだけでなく、利用者のおかれている状況(コンテキスト)が情報の提供に適切であるか否かを考慮することが重要である。   As the information usage environment is diversifying, when authorizing, not only the user who requests the use of the information himself / herself determines whether or not it is appropriate to provide the information. It is important to consider whether the situation (context) of the user is appropriate for providing information.

コンテキストは時間の経過と共に変化するため、継続的に認可を行なうことにより、情報の利用に不適切な状況に遷移した場合には、当該情報の提供を停止する機構が必要となる。   Since the context changes with the passage of time, a mechanism for stopping the provision of the information is required when the authorization is continuously performed and the state is changed to an inappropriate state for the use of the information.

ここで、継続的に行なわれる認可を継続認可と呼ぶこととし、これに対して情報の提供を開始する際に行なわれる認可を初回認可と呼ぶこととする。   Here, continuous authorization is referred to as continuous authorization, and authorization performed when information provision is started is referred to as initial authorization.

特許文献1は、サービスの利用者が適切であるかを識別すると共に、利用者がサービスを利用可能な状況にあるか否か、利用者以外の他の人物によってサービスのセキュリティを侵害している状況にあるか否かを継続的に監視、検出し、サービスの開始/中断/中断解除/終了の制御を行なう仕組みを開示している。   Patent Document 1 identifies whether or not a user of a service is appropriate, and whether or not the user is in a situation where the user can use the service, and the security of the service is infringed by someone other than the user. It discloses a mechanism for continuously monitoring and detecting whether or not the situation is present and controlling the start / interruption / interruption release / termination of the service.

認可を行なう際には、判断の基準となるポリシが必要である。コンテキストを考慮した認可を行なう場合、ポリシの要素としては、情報を提供するのに適切な利用者であるか否かを判断するための条件に加えて、コンテキストが適切であるか否かを判断するための条件が必要となる。さらに、継続認可を行なう場合には、継続認可のためのポリシが別途必要となる。   When authorizing, a policy as a criterion for judgment is required. When performing authorization in consideration of the context, the policy element determines whether or not the context is appropriate in addition to the conditions for determining whether or not the user is appropriate for providing information. The condition to do is necessary. Furthermore, when continuing authorization is required, a separate policy for continuing authorization is required.

ここで、ポリシとは1つ以上の条件から成り、2つ以上の場合には各条件はAND、もしくはORで連結されて条件節を成す。条件とは、パラメータと演算子、そして基準となる値から構成される。条件節は階層的な構造を持つこともある。なお、継続認可を行なうためのポリシを継続認可ポリシ、これに対して初回認可を行なうためのポリシを初回認可ポリシと呼ぶこととする。   Here, the policy is composed of one or more conditions, and in the case of two or more conditions, the conditions are connected by AND or OR to form a conditional clause. A condition consists of a parameter, an operator, and a reference value. A conditional clause may have a hierarchical structure. A policy for performing continuous authorization is referred to as a continuous authorization policy, and a policy for performing initial authorization is referred to as an initial authorization policy.

非特許文献1において指摘されているように、ポリシとして定義する内容が増加すると、ポリシの記述コスト、管理コストが高くなるという問題がある。非特許文献1においては、リソースを管理するためのポリシの上位概念として情報の管理者にとって設定しやすい「マスターポリシ」を定義し、このマスターポリシとリソースのプロファイル、運用ノウハウを記述した知識データと呼ばれる情報を用いて個別のポリシを自動生成することにより、ポリシの記述コスト、管理コストを削減している。
特開平9−297735公報 菅野政孝,田中俊介,坂田祐司,小熊慶一郎,白鳥則郎“情報ネットワークシステムのポリシー制御“PolicyComputing”の適用と実装”,情報処理学会論文誌,2001,Vol.42,No.02,pp126−137. As pointed out in Non-Patent Document 1, when the content defined as a policy increases, there is a problem that the policy description cost and the management cost increase. In Non-Patent Document 1, a “master policy” that is easy to set for an information manager is defined as a superordinate concept of a policy for managing resources, and knowledge data describing the master policy, resource profile, and operation know-how The policy description cost and management cost are reduced by automatically generating individual policies using the information called.
JP-A-9-297735 Masataka Kanno, Shunsuke Tanaka, Yuji Sakata, Keiichiro Okuma, Norio Shiratori “Application and Implementation of Policy Control“ Policy Computing ”of Information Network System”, Transactions of Information Processing Society of Japan, 2001, Vol. 42, no. 02, pp126-137.

継続認可ポリシに必要となる性質は、以下の二点である。
(1)情報提供者(ポリシ記述者)の負担を増やすことなく、ポリシを設定することが可能である。
(2)認可装置の負荷を増やすことなく、継続認可を行なうことが可能である。 The following two points are necessary for the continuous authorization policy.
(1) It is possible to set a policy without increasing the burden on the information provider (policy writer).
(2) Continuous authorization can be performed without increasing the load on the authorization device.

(1)においては、例えば初回認可ポリシに加えて継続認可ポリシをあらためて記述する方法では、ポリシ記述者は従来の初回認可ポリシを記述するための負担に加えてさらに負担がかかることになり、上記の性質を満たすことはできない。(2)では、初回認可ポリシを継続認可に流用する方法では、初回認可時にかかる認可装置への負荷が、継続的に情報の利用終了までかかってしまうことになり、効率的でない。   In (1), for example, in the method of rewriting the continuous authorization policy in addition to the initial authorization policy, the policy writer will be further burdened in addition to the burden for describing the conventional initial authorization policy. Can not satisfy the nature of. In (2), the method of diverting the initial authorization policy to the continuous authorization is not efficient because the load on the authorization device at the time of the first authorization is continuously taken to the end of the use of information.

従来技術として前述した特許文献1においては、継続認可のポリシに関する記述はない。また、非特許文献1では、ポリシを自動生成することによって(1)の問題を解決しようとしているが、対象としているポリシは初回認可のみであり、継続認可に関しては考慮されていない。よって、継続認可時における上記(2)の課題は従来技術においては解決されていない。   In Patent Document 1 described above as the prior art, there is no description regarding the policy of continuous authorization. In Non-Patent Document 1, an attempt is made to solve the problem (1) by automatically generating a policy. However, the target policy is only the initial authorization, and the continuous authorization is not considered. Therefore, the above problem (2) at the time of continuous authorization has not been solved in the prior art.

本発明の目的は、情報提供者(ポリシ記述者)の負担を増やすことなく、継続認可のためのポリシを自動生成するポリシ自動設定方法を提供することにある。   An object of the present invention is to provide a policy automatic setting method for automatically generating a policy for continuous authorization without increasing the burden on an information provider (policy writer).

本発明の他の目的は、前記ポリシ自動設定方法を実施する認可装置を提供することにある。   Another object of the present invention is to provide an authorization device that implements the policy automatic setting method.

上記目的を達成するために、本発明のポリシの自動生成方法は、情報の提供開始時もしくは提供中に、当該情報の利用を許可すべきか否かを判断する認可装置のポリシ管理部が、情報の提供を開始する際に行われた初回認可のためのポリシ(初回認可ポリシ)を基に、以後に継続的に行われる認可である継続認可のためのポリシ(継続認可ポリシ)を生成することを特徴とする。   In order to achieve the above-described object, the policy automatic generation method of the present invention uses the policy management unit of the authorization device that determines whether or not to permit the use of the information at the start or during the provision of the information. Generate a policy for continuous authorization (continuous authorization policy), which is authorization performed continuously thereafter, based on the policy for initial authorization (initial authorization policy) that was performed when the provision of the service started It is characterized by.

初回認可ポリシから継続認可ポリシを自動生成することにより、ポリシの記述コストを削減することができ、情報提供者の負担が軽減される。   By automatically generating the continuous authorization policy from the initial authorization policy, the policy description cost can be reduced, and the burden on the information provider is reduced.

本発明の実施態様では、初回認可ポリシに含まれる条件の中から、情報の提供中に変化することのない静的なパラメータに関する条件を取り除いて継続認可ポリシを生成する。これにより、継続認可ポリシに含まれる条件式の数を減少させることができる。ここで、静的なパラメータに関する条件とは、利用者もしくは利用対象となる情報の特徴を示す属性に関するパラメータに対する条件である。   In the embodiment of the present invention, the continuous authorization policy is generated by removing conditions relating to static parameters that do not change during the provision of information from the conditions included in the initial authorization policy. As a result, the number of conditional expressions included in the continuous authorization policy can be reduced. Here, the condition relating to the static parameter is a condition relating to a parameter relating to the attribute indicating the characteristics of the user or the information to be used.

本発明の他の実施態様では、初回認可ポリシに含まれる条件の中から、コンテキストに関するパラメータに対する条件を抽出して継続認可ポリシを生成する。これにより、継続認可ポリシに含まれる条件の数を減少させることができる。   In another embodiment of the present invention, a continuous authorization policy is generated by extracting a condition for a parameter relating to a context from conditions included in an initial authorization policy. As a result, the number of conditions included in the continuous authorization policy can be reduced.

本発明の他の実施態様では、利用者からの情報の利用要求を受け取り、初回認可を行なって利用許可と判断された場合に、初回認可の結果に基づいて継続認可時に判断すべき条件を絞り込み、継続認可ポリシを生成する。これにより、継続認可ポリシに含まれる条件の数を減少させることができる。   In another embodiment of the present invention, when a use request for information from a user is received, and it is determined that the use is permitted after the initial authorization, the conditions to be judged at the time of the continuous authorization are narrowed down based on the result of the initial authorization. Generate a continuous authorization policy. As a result, the number of conditions included in the continuous authorization policy can be reduced.

本発明の他の実施態様では、初回認可ポリシのパラメータ毎に、該パラメータがコンテキストに関するものであるか否かを示すフラグを対応付けた判別情報を基に、継続認可ポリシを生成する。これにより、継続認可において抽出すべき条件の判別が容易となり、効率的に継続認可ポリシを生成することが可能となる。   In another embodiment of the present invention, for each parameter of the initial authorization policy, the continuous authorization policy is generated based on the discrimination information in which a flag indicating whether or not the parameter is related to the context is associated. Thereby, it is easy to determine the conditions to be extracted in the continuous authorization, and it is possible to efficiently generate the continuous authorization policy.

請求項1と6の発明は、初回認可ポリシを基に、継続認可ポリシを自動生成することにより、ポリシ記述者は継続認可ポリシを記述する必要がなく、従来の初回認可ポリシを記述する作業以上の負担を必要としない。   The inventions of claims 1 and 6 automatically generate a continuous authorization policy based on the initial authorization policy, so that the policy writer does not need to describe the continuous authorization policy, and more than the conventional work of describing the initial authorization policy. Does not require any burden.

請求項2の発明は、初回認可ポリシに含まれる条件の中から、情報の提供中に変化することのない静的なパラメータに関する条件を取り除いて継続認可ポリシを生成することにより、継続認可ポリシに含まれる条件の数を減少させ、継続認可に必要となる認可装置の負荷を軽減することが可能となる。   According to the second aspect of the present invention, the continuous authorization policy is generated by removing the conditions related to static parameters that do not change during the provision of information from the conditions included in the initial authorization policy. It is possible to reduce the number of included conditions and reduce the load on the authorization device required for continued authorization.

請求項3の発明は、初回認可ポリシに含まれる条件の中から、利用者を取り巻くコンテキストに関するパラメータに対する条件を抽出して継続認可ポリシを生成することにより、継続認可ポリシに含まれる条件の数を減少させ、請求項2による効果と同様に継続認可に必要となる認可装置の負荷を軽減することが可能となる。   The invention of claim 3 extracts the condition for the parameter related to the context surrounding the user from the conditions included in the initial authorization policy and generates the continuous authorization policy, thereby obtaining the number of conditions included in the continuous authorization policy. As a result, it is possible to reduce the load on the authorization device necessary for the continuous authorization as in the effect of the second aspect.

請求項4の発明は、利用者からの情報の利用要求を受け取り、初回認可を行なって利用が許可された場合に、初回認可の結果に基づいて継続認可時に判断すべき条件を絞り込み、継続認可ポリシを生成することにより、継続認可ポリシに含まれる条件の数を減少させ、請求項2による効果と同様に継続認可に必要となる認可装置の負荷を軽減することが可能となる。   The invention of claim 4 narrows down the conditions to be judged at the time of continuous authorization based on the result of the first authorization when the use is permitted after the first authorization is received after receiving a request for use of information from the user. By generating the policy, it is possible to reduce the number of conditions included in the continuous authorization policy, and to reduce the load on the authorization device necessary for the continuous authorization as in the effect of the second aspect.

請求項5の発明は、初回認可ポリシのパラメータ毎に、当該パラメータがコンテキストに関するものであるか否かを示すフラグを対応付けた判別情報を基に、継続認可ポリシを生成することにより、継続認可において抽出すべき条件の判別が容易となり、効率的に継続認可ポリシを生成することが可能となる。   According to the invention of claim 5, the continuous authorization policy is generated for each parameter of the initial authorization policy by generating a continuous authorization policy based on the discriminating information associated with the flag indicating whether or not the parameter is related to the context. In this case, it is easy to determine the conditions to be extracted, and it is possible to efficiently generate a continuous authorization policy.

次に、本発明の実施の形態について図面を参照して説明する。   Next, embodiments of the present invention will be described with reference to the drawings.

図1は本発明の一実施形態による認可装置のブロック図である。   FIG. 1 is a block diagram of an authorization device according to an embodiment of the present invention.

本認可装置は利用制御部1と状況検出部2と情報収集部3と認可制御部4とポリシ管理部5と属性管理部6と認可判定部7とからなる。   The authorization device includes a usage control unit 1, a situation detection unit 2, an information collection unit 3, an authorization control unit 4, a policy management unit 5, an attribute management unit 6, and an authorization determination unit 7.

利用制御部1は、利用者と認可装置とのインタフェースとなる部分である。すなわち、利用制御部1は、利用者からの情報の利用要求を受け、利用要求を認可制御部4に出力し、また、認可制御部4からの最終的な認可結果の入力を受けて実際に利用者に情報を提供、もしくは利用者への情報の提供を拒否する。   The usage control unit 1 is a part serving as an interface between the user and the authorization device. That is, the usage control unit 1 receives a usage request for information from the user, outputs the usage request to the authorization control unit 4, and receives the final authorization result input from the authorization control unit 4 to actually Providing information to users or refusing to provide information to users.

状況検出部2は、利用者のコンテキストに関する情報を収集もしくは、コンテキストの変動を検知する部分である。すなわち、状況検出部2は、情報収集部3からの要求を入力としてコンテキストをセンシングし、取得した値を情報収集部3に出力し、また、定期的にセンシングを続行し、取得した値に変化があった場合にも、情報収集部3への該値の出力を行なう。このように、コンテキストに変動があった場合にのみ情報収集部3に対して通知が行なわれるため、継続認可を認可制御部4が定期的に行なう場合に比べて認可の回数が少なくなり、認可装置の負荷を軽減することが可能となる。なお、状況検出部2は具体的には例えば、人が持ち運ぶカードなどに付けられたタグを読み取る、RFID(Radio Frequency Identification)のリーダである。   The situation detection unit 2 is a part that collects information about a user's context or detects a change in context. That is, the situation detection unit 2 senses the context with the request from the information collection unit 3 as an input, outputs the acquired value to the information collection unit 3, and continues sensing periodically to change to the acquired value. Even if there is, the value is output to the information collecting unit 3. In this way, since the information collecting unit 3 is notified only when there is a change in context, the number of times of authorization is reduced compared with the case where the authorization control unit 4 periodically performs authorization, It is possible to reduce the load on the apparatus. The situation detection unit 2 is specifically an RFID (Radio Frequency Identification) reader that reads a tag attached to a card carried by a person.

情報収集部3は、利用者の属性、コンテキストに関する情報のとりまとめを行なう。すなわち、情報収集部3は、認可制御部4からの認可に必要な情報の要求を入力とし、属性管理部6に対して利用者の属性に関する情報の要求を出力するとともに、状況検出部2に対して利用者のコンテキストに関する情報の要求を出力する。そして情報収集部3は、状況検出部2からの情報の入力を受けて認可制御部4に対して該情報を出力する。継続認可の際には、状況検出部2からのコンテキストの変化を通知する入力があった場合に、これを認可制御部4に出力する。   The information collecting unit 3 collects information related to user attributes and contexts. In other words, the information collection unit 3 receives a request for information necessary for authorization from the authorization control unit 4, outputs a request for information regarding the user's attribute to the attribute management unit 6, and sends it to the situation detection unit 2. In response, a request for information about the user's context is output. The information collecting unit 3 receives the input of information from the situation detecting unit 2 and outputs the information to the authorization control unit 4. At the time of continuous authorization, if there is an input for notification of a change in context from the status detection unit 2, this is output to the authorization control unit 4.

認可制御部4は、認可装置全体の制御を行なう部分である。すなわち、認可制御部4は、利用制御部1からの利用要求を入力とし、ポリシ管理部5に対して該当するポリシを要求、取得し、該ポリシに記述された条件により、認可に必要となる属性とコンテキストが判明するため、これを情報収集部3に要求して取得する。そして認可制御部4は、取得したポリシ、属性とコンテキストを認可判定部7に出力し、認可判定部7からの認可結果を利用制御部1に出力する。初回認可の場合には、認可が終了した時点でポリシ管理部5に対し、継続認可ポリシの自動生成の指示を出力する。   The authorization control unit 4 is a part that controls the entire authorization device. That is, the authorization control unit 4 receives the usage request from the usage control unit 1, requests and acquires the corresponding policy from the policy management unit 5, and is necessary for authorization according to the conditions described in the policy. Since the attribute and context are known, the information collection unit 3 is requested and acquired. Then, the authorization control unit 4 outputs the acquired policy, attribute, and context to the authorization determination unit 7, and outputs the authorization result from the authorization determination unit 7 to the usage control unit 1. In the case of the first authorization, an instruction to automatically generate a continuous authorization policy is output to the policy management unit 5 at the time when the authorization is completed.

ポリシ管理部5は、判断に必要となるポリシを管理するとともに、継続認可ポリシを自動生成する部分である。すなわち、ポリシ管理部5は、認可制御部4からのポリシ要求を入力とし、該当するポリシを取得した後、認可制御部4に対して取得したポリシを出力する。また、ポリシ管理部5は、認可制御部4からの継続認可ポリシ生成の指示を入力し、継続認可ポリシを自動生成し、内部に格納しておく。これら処理の詳細については図2の説明において述べることとする。   The policy management unit 5 is a part that manages a policy necessary for determination and automatically generates a continuous authorization policy. That is, the policy management unit 5 receives the policy request from the authorization control unit 4 as an input, acquires the corresponding policy, and then outputs the acquired policy to the authorization control unit 4. Further, the policy management unit 5 inputs an instruction for generating a continuous authorization policy from the authorization control unit 4, automatically generates a continuous authorization policy, and stores it in the inside. Details of these processes will be described in the description of FIG.

属性管理部6は、利用者の属性情報を格納する部分で、情報収集部3からの属性要求を入力として該当する属性情報を情報収集部3に対して出力する。   The attribute management unit 6 is a part for storing the user's attribute information, and receives the attribute request from the information collection unit 3 and outputs the corresponding attribute information to the information collection unit 3.

認可判定部7は、認可制御部4からの入力を基に実際に認可の判断を行なう部分である。すなわち、認可判定部7は、ポリシに記述された条件を利用者の属性情報、コンテキストが満たすか否かを判定し、認可結果を認可制御部4に出力する。   The authorization determination unit 7 is a part that actually determines authorization based on the input from the authorization control unit 4. That is, the authorization determination unit 7 determines whether or not the user attribute information and context satisfy the conditions described in the policy, and outputs the authorization result to the authorization control unit 4.

図2は図1のポリシ管理部5の構成を示すブロック図である。本発明のポリシの自動生成を行なう部分はこの部分に含まれる。ポリシ管理部5はポリシ格納部21とポリシ自動生成部22と制御部23と属性/コンテキスト情報取得部24からなる。   FIG. 2 is a block diagram showing the configuration of the policy management unit 5 of FIG. The portion for automatically generating the policy of the present invention is included in this portion. The policy management unit 5 includes a policy storage unit 21, a policy automatic generation unit 22, a control unit 23, and an attribute / context information acquisition unit 24.

ポリシ格納部21は、認可のためのポリシを格納しておく部分である。すなわち、ポリシ格納部21は、制御部23からのポリシ取得要求を入力とし、該当するポリシを制御部23に出力し、また、制御部23からの格納要求を入力とし、自動生成された継続認可ポリシを内部に格納する。   The policy storage unit 21 stores a policy for authorization. That is, the policy storage unit 21 receives the policy acquisition request from the control unit 23, outputs the corresponding policy to the control unit 23, and receives the storage request from the control unit 23 as an input, and the automatically generated continuous authorization Store the policy internally.

ポリシ自動生成部22は、初回認可ポリシを基に、継続認可ポリシを自動生成する部分である。すなわち、ポリシ自動生成部22は、制御部23からの自動生成の指示を入力とし、入力された情報を基にポリシを自動生成した後、得られた継続認可ポリシを制御部23に出力する。   The policy automatic generation unit 22 is a part that automatically generates a continuous authorization policy based on the initial authorization policy. That is, the policy automatic generation unit 22 receives an automatic generation instruction from the control unit 23, automatically generates a policy based on the input information, and then outputs the obtained continuous authorization policy to the control unit 23.

制御部23は、図1の認可制御部4とのインタフェースとなる部分であり、かつポリシ管理部5全体を制御する。すなわち、制御部23は、認可制御部4からのポリシ取得要求を入力とし、該当するポリシの取得要求をポリシ格納部21に出力する。また、制御部23は、認可制御部4からの継続認可ポリシ自動生成要求を入力し、属性/コンテキスト情報取得部24に対して属性とコンテキストを判別するための、フラグによる判別情報を要求、取得する。そして制御部23は、この判別情報と自動生成の基となるポリシをポリシ自動生成部22に出力し、ポリシ自動生成部22で自動生成された継続認可ポリシを取得する。得られたポリシはポリシ格納部21に出力され、次回の継続認可が行なわれるまで格納される。   The control unit 23 serves as an interface with the authorization control unit 4 in FIG. 1 and controls the entire policy management unit 5. That is, the control unit 23 receives the policy acquisition request from the authorization control unit 4 and outputs a corresponding policy acquisition request to the policy storage unit 21. In addition, the control unit 23 inputs the continuous authorization policy automatic generation request from the authorization control unit 4, and requests and obtains the discrimination information by the flag for discriminating the attribute and context from the attribute / context information acquisition unit 24. To do. Then, the control unit 23 outputs the discrimination information and the policy that is the basis of automatic generation to the policy automatic generation unit 22, and acquires the continuous authorization policy that is automatically generated by the policy automatic generation unit 22. The obtained policy is output to the policy storage unit 21 and stored until the next continuation authorization is performed.

属性/コンテキスト情報取得部24は、継続認可ポリシの自動生成を行なう際に必要となる、属性とコンテキストの判別のための情報を格納するデータベースで、制御部23からの取得要求を入力し、属性、コンテキストのどちらに該当するのかを判別する判別情報を制御部23に出力する。   The attribute / context information acquisition unit 24 is a database that stores information for distinguishing attributes and contexts, which is necessary when automatic generation of a continuous authorization policy is performed. The attribute / context information acquisition unit 24 inputs an acquisition request from the control unit 23, Discrimination information for discriminating which of the contexts is output to the control unit 23.

図3は、図1の認可装置において行なわれる認可処理のうち、初回認可の処理を示すフローチャートである。以下、図3を参照して初回認可の処理手順を説明する。   FIG. 3 is a flowchart showing the initial authorization process among the authorization processes performed in the authorization device of FIG. Hereinafter, the initial authorization processing procedure will be described with reference to FIG.

まず、利用制御部1は、利用者からの情報利用の要求を取得し、これを認可制御部4に出力する(ステップ101)。要求を取得した認可制御部4は、該当するポリシをポリシ管理部5に対して要求し、ポリシ管理部5に格納されている初回認可ポリシを取得する(ステップ102)。さらに、認可制御部4は、認可に必要となる属性・コンテキストを情報収集部3に対して要求し、情報収集部3が状況検出部2、属性管理部6から収集した情報を取得する(ステップ103)。認可制御部4はポリシと属性・コンテキストに関する情報を認可判定部7に出力する(ステップ104)。認可判定部7は与えられた情報を基に情報の利用の可否を判断し、認可結果を認可制御部4に対して返す(ステップ105)。情報の利用が可能であると判断された場合(ステップ105のYes)、認可制御部4は、提供が開始された情報に対する継続認可を行なうため、継続認可ポリシの自動生成をポリシ管理部5に対して要求し、ポリシ管理部5においてポリシが自動生成される(ステップ106)。ポリシの自動生成処理の詳細については図5以降で説明することとする。ポリシの自動生成が完了すると、認可制御部4は認可結果を利用制御部1に通知し、利用制御部1において利用者に対する情報の提供が開始される(ステップ107)。以上で初回認可の処理は終了となる。   First, the usage control unit 1 acquires a request for information usage from a user, and outputs this request to the authorization control unit 4 (step 101). The authorization control unit 4 that has acquired the request requests the policy management unit 5 for the corresponding policy, and acquires the initial authorization policy stored in the policy management unit 5 (step 102). Further, the authorization control unit 4 requests the information collection unit 3 for attributes / contexts required for authorization, and acquires information collected by the information collection unit 3 from the status detection unit 2 and the attribute management unit 6 (steps). 103). The authorization control unit 4 outputs information on the policy and the attribute / context to the authorization judgment unit 7 (step 104). The authorization determination unit 7 determines whether or not the information can be used based on the given information, and returns an authorization result to the authorization control unit 4 (step 105). When it is determined that the information can be used (Yes in Step 105), the authorization control unit 4 performs automatic authorization of the continuous authorization policy to the policy management unit 5 in order to perform continuous authorization for the information that has been provided. The policy management unit 5 automatically generates a policy (step 106). Details of the policy automatic generation processing will be described with reference to FIG. When the automatic policy generation is completed, the authorization control unit 4 notifies the usage control unit 1 of the authorization result, and the usage control unit 1 starts providing information to the user (step 107). This completes the initial authorization process.

ステップ105において情報の利用が不可能と判断された場合には(ステップ105のNo)、認可制御部4は認可結果を利用制御部1に通知し、利用制御部1において利用者に対して認可結果の通知が行なわれ(ステップ108)、初回認可の処理は終了となる。   If it is determined in step 105 that the information cannot be used (No in step 105), the authorization control unit 4 notifies the usage control unit 1 of the authorization result, and the usage control unit 1 authorizes the user. The result is notified (step 108), and the initial authorization process ends.

図4は、図1の認可装置において行なわれる認可処理のうち、継続認可の処理のフローチャートである。以下、図4を参照して継続認可の処理手順を説明する。   FIG. 4 is a flowchart of the continuous authorization process among the authorization processes performed in the authorization device of FIG. In the following, the procedure for continuous authorization will be described with reference to FIG.

まず、利用制御部1は、情報の提供中に利用者からの情報利用の終了要求を取得した場合には(ステップ109のYes)、利用制御部1は情報の提供を終了し(ステップ116)、継続認可の処理を終了する。   First, when the use control unit 1 obtains an information use end request from the user while providing information (Yes in Step 109), the use control unit 1 finishes providing information (Step 116). Then, the continuous authorization process is terminated.

情報利用の終了要求がない場合には(ステップ109のNo)、状況検出部2においてコンテキストの変動を監視し(ステップ110)、変動が検知されなかった場合には(ステップ110のNo)引き続きステップ109→ステップ110の処理を繰り返し、終了要求もしくはコンテキストの変動の発生を監視する。   If there is no request for termination of information use (No in Step 109), the situation detection unit 2 monitors the change in context (Step 110). If no change is detected (No in Step 110), the step continues. 109 → Step 110 is repeated to monitor the end request or the occurrence of a context change.

ステップ110においてコンテキストの変動が検知された場合(ステップ110のYes)、状況検出部2は情報収集部3に対してコンテキストの変動を通知し、さらに認可制御部4に対して変動が通知される。認可制御部4はコンテキストの変動が通知されると、ポリシ管理部5に対して該当するポリシを要求し、ポリシ管理部5に格納されている継続認可ポリシを取得する(ステップ111)。認可制御部4は、認可に必要となるコンテキストに関する情報を情報収集部3に対して要求し、情報収集部3が状況検出部2から収集した情報を取得する(ステップ112)。認可制御部4はポリシとコンテキストに関する情報を認可判定部7に出力し、認可判定部7は与えられた情報を基に情報の利用の可否を判断し、認可結果を認可制御部4に対して返す(ステップ113)。情報の利用が可能であると判断された場合(ステップ113のYes)、引き続き情報の利用が可能となるため、ステップ109→110の処理を繰り返し、終了要求もしくはコンテキストの変動の発生を監視する。   When a change in context is detected in step 110 (Yes in step 110), the status detection unit 2 notifies the information collection unit 3 of the change in context and further notifies the authorization control unit 4 of the change. . When the change in context is notified, the authorization control unit 4 requests the policy management unit 5 for the corresponding policy, and acquires the continuous authorization policy stored in the policy management unit 5 (step 111). The authorization control unit 4 requests the information collection unit 3 for information related to the context necessary for authorization, and acquires information collected by the information collection unit 3 from the situation detection unit 2 (step 112). The authorization control unit 4 outputs information about the policy and the context to the authorization determination unit 7, and the authorization determination unit 7 determines whether or not the information can be used based on the given information, and sends an authorization result to the authorization control unit 4. Return (step 113). If it is determined that the information can be used (Yes in step 113), the information can be used continuously. Therefore, the processing from step 109 to step 110 is repeated, and the occurrence of a termination request or a change in context is monitored.

ステップ113において情報の利用が不可能と判断された場合には(ステップ113のNo)、情報の提供を中止する処理に移る。すなわち、認可処理部4は認可結果を利用制御部1に通知し、利用制御部1において利用者に対して認可結果の通知が行なわれ(ステップ114)、情報の提供を中止する(ステップ115)。以上で継続認可の処理は終了となる。   If it is determined in step 113 that the information cannot be used (No in step 113), the process proceeds to a process for stopping the provision of information. That is, the authorization processing unit 4 notifies the usage control unit 1 of the authorization result, the usage control unit 1 notifies the user of the authorization result (step 114), and stops providing information (step 115). . This is the end of the continuous authorization process.

図5は、図2のポリシ管理部5において行なわれる継続認可ポリシの自動生成処理のフローチャートである。図5を参照してポリシ自動生成の処理手順を説明する。   FIG. 5 is a flowchart of automatic generation processing of a continuous authorization policy performed in the policy management unit 5 of FIG. With reference to FIG. 5, the processing procedure for automatic policy generation will be described.

まず、認可制御部4からのポリシ自動生成の指示を制御部23が取得する(ステップ201)。このとき、初回認可ポリシと、初回認可に関する情報を併せて取得する(ステップ202,203)。前者は、継続認可ポリシの抽出元となり、後者は図6におけるステップ301の処理において利用される情報である。初回認可ポリシの中のどの条件が認可の判定に利用されたのかを考慮した上で継続認可ポリシを生成することによって、継続認可ポリシに含まれる条件をさらに絞り込むことが可能となる。ステップ203の処理が終了すると、制御部23は、与えられた初回認可ポリシに含まれる条件について、利用者の属性に関するパラメータに対する条件なのか、もしくはコンテキストに関するパラメータに対する条件なのかを判別するための情報を属性/コンテキスト情報取得部24に要求し、取得する(ステップ204)。以上の処理で制御部23が得た情報をポリシ自動生成部22に出力し、ポリシ自動生成部22において継続認可ポリシを抽出する処理を行なう(ステップ205)。ステップ205の処理の詳細については、図6において説明することとする。ポリシ自動生成部22は、生成された継続認可ポリシを制御部23に出力し、制御部23は取得したポリシをポリシ格納部21へ出力して(ステップ206)、継続認可ポリシの自動生成処理を終了する。   First, the control unit 23 acquires a policy automatic generation instruction from the authorization control unit 4 (step 201). At this time, the initial authorization policy and information related to the initial authorization are acquired together (steps 202 and 203). The former is an extraction source of the continuous authorization policy, and the latter is information used in the processing of step 301 in FIG. It is possible to further narrow down the conditions included in the continuous authorization policy by generating the continuous authorization policy in consideration of which condition in the initial authorization policy was used for the determination of authorization. When the process of step 203 is completed, the control unit 23 determines whether the condition included in the given initial authorization policy is a condition for a parameter related to a user attribute or a condition for a parameter related to a context. Is obtained from the attribute / context information acquisition unit 24 (step 204). The information obtained by the control unit 23 in the above process is output to the policy automatic generation unit 22, and the policy automatic generation unit 22 performs a process of extracting the continuous authorization policy (step 205). Details of the processing in step 205 will be described with reference to FIG. The policy automatic generation unit 22 outputs the generated continuous authorization policy to the control unit 23, and the control unit 23 outputs the acquired policy to the policy storage unit 21 (step 206) to perform automatic generation processing of the continuous authorization policy. finish.

図6は、継続認可ポリシを初回認可ポリシから抽出する処理のフローチャートである。この処理はポリシ自動生成部22において行なわれる。以下、図6を参照してポリシの抽出処理の手順について説明する。   FIG. 6 is a flowchart of a process for extracting the continuous authorization policy from the initial authorization policy. This processing is performed in the policy automatic generation unit 22. Hereinafter, the procedure of policy extraction processing will be described with reference to FIG.

まず、制御部23からのポリシ自動生成の指示をポリシ自動生成部22が取得する時には、初回認可においてどの条件が適用されたのかに関する情報を併せて取得する。この情報を利用し、初回認可において真とならなかった属性に関するパラメータに対する条件を抽出し、これを削除する(ステップ301)。次に、ステップ301において抽出された条件とAND連結されている条件を抽出し、削除する(ステップ302)。ステップ301によって抽出された条件は、継続認可においても真となることはないため、判定結果は自明である。ステップ302の処理によって抽出された条件は、ステップ301によって抽出された条件が真とはならないため、継続認可においては判断の基準とする必要がない。これらの条件を削除することにより、初回認可ポリシに含まれる条件を大幅に削減することができる。   First, when the policy automatic generation unit 22 acquires a policy automatic generation instruction from the control unit 23, information regarding which condition is applied in the initial authorization is also acquired. Using this information, a condition for a parameter related to an attribute that is not true in the initial authorization is extracted and deleted (step 301). Next, a condition AND-connected with the condition extracted in step 301 is extracted and deleted (step 302). Since the condition extracted in step 301 is not true even in continuous authorization, the determination result is self-evident. The condition extracted by the process of step 302 does not need to be a criterion for determination in continuous authorization because the condition extracted by step 301 is not true. By deleting these conditions, the conditions included in the initial authorization policy can be greatly reduced.

以下の処理は、階層構造を持つポリシツリーの末端部分から、各部分木に対して再帰的に実行される。まず、ツリーの末端に処理の対象を移動する(ステップ303)。処理対象の部分木の中に未処理の条件節が残っていれば(ステップ304のYes)、処理対象を未処理の部分木へ移し(ステップ307)、条件節に属性に関するパラメータに対する条件が存在するか否かを調べる(ステップ308)。条件が存在する場合(ステップ308のYes)、条件節はANDで連結されているかを調べる(ステップ309)。ステップ308において、条件が存在しない場合(ステップ308のNo)、またはステップ309において条件節がAND連結の場合(ステップ309のYes)、属性に関するパラメータに対する条件を削除し、これを条件節の値とする(ステップ310)。また、ステップ309において部分木がOR連結である場合(ステップ309のNo)、真を当該条件節の値とする(ステップ310)。   The following processing is recursively executed on each subtree from the end portion of the policy tree having a hierarchical structure. First, the processing target is moved to the end of the tree (step 303). If an unprocessed conditional clause remains in the processing target subtree (Yes in step 304), the processing target is transferred to the unprocessed subtree (step 307), and a condition for the attribute-related parameter exists in the conditional clause. It is checked whether or not (step 308). If the condition exists (Yes in step 308), it is checked whether the conditional clauses are connected by AND (step 309). In step 308, if the condition does not exist (No in step 308), or if the conditional clause is AND concatenation in step 309 (Yes in step 309), the condition for the parameter related to the attribute is deleted, and this is used as the value of the conditional clause. (Step 310). If the subtree is OR-connected in step 309 (No in step 309), true is set as the value of the conditional clause (step 310).

以上の処理が終了した後、処理は再度ステップ304へ移り、処理対象と同じ深さにある部分木に未処理の条件節が残っているかを判断する。未処理のものが残っていない場合(ステップ304のNo)、処理対象を一段浅い部分木へ移動する(ステップ305)。この時点でポリシのツリーの根まで到達していなければ(ステップ306のNo)、再びステップ304へと移る。最終的にポリシツリーの根まで処理が終了すると(ステップ306のYes)、ポリシの抽出処理は終了である。   After the above processing is completed, the processing again proceeds to step 304, and it is determined whether an unprocessed conditional clause remains in the subtree at the same depth as the processing target. If no unprocessed items remain (No in step 304), the processing target is moved to a subtree that is one step shallower (step 305). If the root of the policy tree has not been reached at this point (No in step 306), the process proceeds to step 304 again. When the process is finally finished up to the root of the policy tree (Yes in step 306), the policy extraction process is finished.

図7は初回認可のためのポリシの例をツリー構造で示したものである。ツリーはANDもしくはORで連結される部分木(401〜404)から構成されており、四角で囲まれた部分(501〜505)がポリシを構成する条件群となる。条件のうち、実線で囲まれたものは利用者の属性に関するパラメータに対する条件であり、点線で囲まれたものはコンテキストに関するパラメータに対する条件である。例として、利用者は所属が総務課であり、役職は一般社員であると想定すると、まずステップ301〜302において、条件501と504、502が削除される。次に、ステップ303において、部分木404に処理の対象が移る。ステップ308においてNoと判定され、ステップ310において条件505が抽出される。次に処理の対象は部分木402へと移るが、部分木402の条件式はすでに削除されているため、部分木403へと処理が移る。ステップ308においてYes、309においてYesと判定され、ステップ310において条件式505が抽出される。処理の対象は部分木401に移り、最終的な継続認可ポリシとして条件式505のみが抽出されるという結果となる。なお、図7において、部分木401〜404を含むツリーがポリシの例、条件式501、503、504が属性に関する条件の例、条件式502、505がコンテキストに関する条件の例である。   FIG. 7 shows an example of a policy for initial authorization in a tree structure. The tree is composed of subtrees (401 to 404) connected by AND or OR, and the portions surrounded by squares (501 to 505) are a group of conditions constituting the policy. Among the conditions, those surrounded by a solid line are conditions for parameters relating to user attributes, and those surrounded by a dotted line are conditions for parameters relating to context. As an example, assuming that the user belongs to the general affairs section and the post is a general employee, first, in steps 301 to 302, the conditions 501 504 and 502 are deleted. Next, in step 303, the processing target moves to the subtree 404. In step 308, No is determined, and in step 310, the condition 505 is extracted. Next, the object of processing moves to the subtree 402, but since the conditional expression of the subtree 402 has already been deleted, the processing moves to the subtree 403. In step 308, Yes is determined, and in 309, Yes is determined. In step 310, the conditional expression 505 is extracted. The processing target moves to the subtree 401, and only the conditional expression 505 is extracted as the final continuous authorization policy. In FIG. 7, the tree including subtrees 401 to 404 is an example of a policy, conditional expressions 501, 503, and 504 are examples of conditions related to attributes, and conditional expressions 502 and 505 are examples of conditions related to contexts.

なお、認可装置の機能は、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フレキシブルディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータ内の揮発性メモリのように、一定時間プログラムを保持しているものを含む。   Note that the function of the authorization device may be that a program for realizing the function is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read by the computer and executed. Good. The computer-readable recording medium refers to a recording medium such as a flexible disk, a magneto-optical disk, and a CD-ROM, and a storage device such as a hard disk device built in a computer system. Further, the computer-readable recording medium is a medium that dynamically holds the program for a short time (transmission medium or transmission wave) as in the case of transmitting the program via the Internet, and in the computer serving as a server in that case Such as a volatile memory that holds a program for a certain period of time.

本発明の一実施形態の認可装置のブロック図である。It is a block diagram of the authorization apparatus of one Embodiment of this invention. 認可装置の中のポリシ管理部の詳細を示すブロック図である。It is a block diagram which shows the detail of the policy management part in an authorization apparatus. 初回認可の処理のフローチャートである。It is a flowchart of the process of initial authorization. 継続認可の処理のフローチャートである。It is a flowchart of a process of continuous authorization. ポリシ自動生成処理のフローチャートである。It is a flowchart of a policy automatic generation process. 継続認可ポリシを初回認可ポリシから抽出する処理のフローチャートである。It is a flowchart of the process which extracts a continuous authorization policy from a first time authorization policy. 初回認可のためのポリシのツリー構造の例を示す図である。It is a figure which shows the example of the tree structure of the policy for initial authorization.

符号の説明Explanation of symbols

1 利用制御部
2 状況検出部
3 情報収集部
4 認可制御部
5 ポリシ管理部
6 属性管理部
7 認可判定部
21 ポリシ格納部
22 ポリシ自動生成部
23 制御部
24 属性/コンテキスト情報取得部
101〜115,201〜206,301〜310 ステップ
401〜404 部分木
501〜505 条件式 DESCRIPTION OF SYMBOLS 1 Usage control part 2 Situation detection part 3 Information collection part 4 Authorization control part 5 Policy management part 6 Attribute management part 7 Authorization judgment part 21 Policy storage part 22 Policy automatic generation part 23 Control part 24 Attribute / context information acquisition part 101-115 , 201-206, 301-310 Step 401-404 Subtree 501-505 Conditional expression

Claims (3)

情報の提供開始時もしくは提供中に、当該情報の利用を許可すべきか否かを判断する認可装置において、認可に用いるポリシを自動生成する方法であって、
ポリシ管理部が、情報の提供を開始する際に行われた初回認可のための初回認可ポリシであって、該初回認可ポリシに含まれる条件をANDまたはORで連結したツリー構造の初回認可ポリシを格納する第1ステップと、
認可制御部が、初回認可において、情報の利用が可能であると判断されると、以後に継続的に行われる認可である継続認可のための継続認可ポリシの自動生成の指示を出力する第2ステップと、
前記ポリシ管理部が、前記継続認可ポリシの自動生成の指示が出力されると、前記初回認可ポリシと、前記初回認可ポリシに含まれる条件について、利用者の属性に関するパラメータに対する条件なのか、もしくはコンテキストに関するパラメータに対する条件なのかを判別するための情報と、初回認可においてどの条件が適用されたのかに関する情報と、を取得する第3ステップと、
前記ポリシ管理部が、前記初回認可ポリシに含まれる条件の中から、初回認可において真とならなかった属性に関するパラメータに対する条件と、該条件とAND連結されている条件と、を第1の条件として抽出し、抽出された第1の条件を削除する第4ステップと、
前記ポリシ管理部が、前記初回認可ポリシに含まれる条件のうち前記第1の条件を削除した後に残った条件の中から、属性に関するパラメータに対する条件であってかつ他の条件とAND連結されている条件を抽出し、抽出された条件を削除する第5ステップと、
前記ポリシ管理部が、前記初回認可ポリシに含まれる条件のうち前記第1および第2の条件を削除した後に残った条件を、前記継続認可ポリシとする第6ステップと、を有する、ポリシ自動生成方法。 A method for automatically generating a policy used for authorization in an authorization device that determines whether or not to permit the use of the information at the start or during provision of information,
The initial authorization policy for the initial authorization performed when the policy management unit starts providing information , and the initial authorization policy of the tree structure in which the conditions included in the initial authorization policy are connected by AND or OR. A first step of storing;
When the authorization control unit determines that the information can be used in the initial authorization, the second instruction outputs an instruction to automatically generate a continuous authorization policy for continuous authorization, which is authorization that is continuously performed thereafter. Steps,
When the policy management unit outputs an instruction to automatically generate the continuous authorization policy, the initial authorization policy and the conditions included in the initial authorization policy are conditions for a parameter relating to a user attribute or context A third step of obtaining information for determining whether the condition for the parameter is related to, and information regarding which condition is applied in the initial authorization,
The policy management unit uses, as a first condition, a condition for a parameter relating to an attribute that is not true in the initial authorization, and a condition AND-connected with the condition, among the conditions included in the initial authorization policy. A fourth step of extracting and deleting the extracted first condition;
Of the conditions included in the initial authorization policy, the policy management unit is AND-connected with other conditions that are conditions for parameters related to attributes from the conditions remaining after deleting the first condition A fifth step of extracting conditions and deleting the extracted conditions;
The policy management unit includes a sixth step in which a condition remaining after deleting the first and second conditions among the conditions included in the initial authorization policy is set as the continuous authorization policy. Method. 情報の提供開始時もしくは提供中に、当該情報の利用を許可すべきか否かを判断する認可装置において、
情報の提供を開始する際に行われた初回認可のための初回認可ポリシであって、該初回認可ポリシに含まれる条件をANDまたはORで連結したツリー構造の初回認可ポリシを格納するポリシ管理部と、
初回認可において、情報の利用が可能であると判断されると、以後に継続的に行われる認可である継続認可のための継続認可ポリシの自動生成の指示を出力する認可制御部と、を有し、
前記ポリシ管理部は、
前記継続認可ポリシの自動生成の指示が出力されると、前記初回認可ポリシと、前記初回認可ポリシに含まれる条件について、利用者の属性に関するパラメータに対する条件なのか、もしくはコンテキストに関するパラメータに対する条件なのかを判別するための情報と、初回認可においてどの条件が適用されたのかに関する情報と、を取得し、
前記初回認可ポリシに含まれる条件の中から、初回認可において真とならなかった属性に関するパラメータに対する条件と、該条件とAND連結されている条件と、を第1の条件として抽出し、抽出された第1の条件を削除し、
前記初回認可ポリシに含まれる条件のうち前記第1の条件を削除した後に残った条件の中から、属性に関するパラメータに対する条件であってかつ他の条件とAND連結されている条件を第2の条件として抽出し、抽出された第2の条件を削除し、
前記ポリシ管理部が、前記初回認可ポリシに含まれる条件のうち前記第1および第2の条件を削除した後に残った条件を、前記継続認可ポリシとする、認可装置。 In the authorization device that determines whether or not to permit the use of the information at the start or during the provision of the information,
Policy management unit for storing an initial authorization policy for initial authorization performed at the start of providing information and having a tree-structured initial authorization policy in which conditions included in the initial authorization policy are connected by AND or OR When,
If it is determined that the information can be used in the initial authorization, an authorization control unit that outputs an instruction to automatically generate a continuous authorization policy for continuous authorization, which is authorization performed continuously thereafter, is provided. And
The policy management unit
When the instruction for automatically generating the continuous authorization policy is output, whether the initial authorization policy and the conditions included in the initial authorization policy are conditions for a user attribute parameter or a context parameter And information on which conditions are applied in the initial authorization,
From the conditions included in the initial authorization policy, the condition for the parameter related to the attribute that is not true in the initial authorization and the condition AND-connected with the condition are extracted as the first condition and extracted. Delete the first condition,
Of the conditions included in the initial authorization policy, the condition remaining after deleting the first condition is a condition for the parameter relating to the attribute and the condition that is AND-connected to another condition is the second condition. And delete the extracted second condition as
The authorization apparatus, wherein the policy management unit sets the condition remaining after deleting the first and second conditions among the conditions included in the initial authorization policy as the continuous authorization policy . コンピュータを、請求項に記載の認可装置として動作させるためのプログラム。

A program for causing a computer to operate as the authorization device according to claim 2 .

JP2005142575A 2005-05-16 2005-05-16 Policy automatic generation method and authorization device Expired - Fee Related JP4723905B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005142575A JP4723905B2 (en) 2005-05-16 2005-05-16 Policy automatic generation method and authorization device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005142575A JP4723905B2 (en) 2005-05-16 2005-05-16 Policy automatic generation method and authorization device

Publications (2)

Publication Number Publication Date
JP2006318369A JP2006318369A (en) 2006-11-24
JP4723905B2 true JP4723905B2 (en) 2011-07-13

Family

ID=37538966

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005142575A Expired - Fee Related JP4723905B2 (en) 2005-05-16 2005-05-16 Policy automatic generation method and authorization device

Country Status (1)

Country Link
JP (1) JP4723905B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000322358A (en) * 1999-05-11 2000-11-24 Fujitsu Ltd Data display device and recording medium with program for information display recorded thereon
JP2003099602A (en) * 2001-07-17 2003-04-04 Hitachi Software Eng Co Ltd Security policy setting support method and system
JP2003140968A (en) * 2001-10-30 2003-05-16 Hitachi Ltd Storage device and management and operation method for it
JP2005025524A (en) * 2003-07-02 2005-01-27 Nec Corp Policy processing system, policy processing method and policy processing program
JP2005071218A (en) * 2003-08-27 2005-03-17 Nec Fielding Ltd Unauthorized access defense system, policy management device, unauthorized access defense method, and program
JP2005099982A (en) * 2003-09-24 2005-04-14 Hitachi Ltd File monitoring device

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000322358A (en) * 1999-05-11 2000-11-24 Fujitsu Ltd Data display device and recording medium with program for information display recorded thereon
JP2003099602A (en) * 2001-07-17 2003-04-04 Hitachi Software Eng Co Ltd Security policy setting support method and system
JP2003140968A (en) * 2001-10-30 2003-05-16 Hitachi Ltd Storage device and management and operation method for it
JP2005025524A (en) * 2003-07-02 2005-01-27 Nec Corp Policy processing system, policy processing method and policy processing program
JP2005071218A (en) * 2003-08-27 2005-03-17 Nec Fielding Ltd Unauthorized access defense system, policy management device, unauthorized access defense method, and program
JP2005099982A (en) * 2003-09-24 2005-04-14 Hitachi Ltd File monitoring device

Also Published As

Publication number Publication date
JP2006318369A (en) 2006-11-24

Similar Documents

Publication Publication Date Title
US8955040B2 (en) Provisioning authorization claims using attribute-based access-control policies
JP3626458B2 (en) Log collection analysis system, log collection method, log collection program to be executed by computer, log analysis method, log analysis program to be executed by computer, log collection device, log analysis device, log collection terminal, log server
US7891003B2 (en) Enterprise threat modeling
RU2347265C2 (en) System and method for resource management integrating between services of application and applications
US20100121859A1 (en) Workflow management system, workflow management control method, and computer-readable recording medium storing workflow management control program
US9391779B2 (en) Reactive biometric single sign-on utility
JP5719431B2 (en) Method for protecting data for context recognition, data processing system thereof, and computer program
JP5452030B2 (en) Integrated log generation device, integrated log generation program, and recording medium
WO2020051680A1 (en) Bounding box doubling as redaction boundary
US20100050183A1 (en) Workflow developing apparatus, workflow developing method, and computer product
US5906656A (en) Method and system for providing actions by way of electronic distributions
JP2000076109A (en) Data display device and data display method
JP2008117316A (en) Business information protection device
JP2008299126A (en) Security system and program for security system
CN109472540B (en) Service processing method and device
US7895169B2 (en) Document management system, document management method, program and storage medium
JP4723905B2 (en) Policy automatic generation method and authorization device
JP2008117317A (en) Business information protection device
EP1696375A1 (en) A workflow retrieval system
Marsh Local governance: The relevance of transaction cost economics
JP4975549B2 (en) Workflow server, workflow server control method, program, and recording medium
US20090150328A1 (en) Image metadata harvester
CN115731559A (en) Electronic file generation management method and device and computer equipment
JP2002014971A (en) Extracting device of information on person related with designated word and computer readable recording medium with recorded extraction program of information on person related with designated word
JP2007249864A (en) Document security detecting method, document security detecting device and document security detection program

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20061129

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070813

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100720

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100901

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100929

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110330

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110408

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140415

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees