JP5708131B2 - ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, AUTHENTICATION DEVICE AND ITS PROGRAM, AND SERVICE PROVIDING DEVICE - Google Patents
ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, AUTHENTICATION DEVICE AND ITS PROGRAM, AND SERVICE PROVIDING DEVICE Download PDFInfo
- Publication number
- JP5708131B2 JP5708131B2 JP2011071555A JP2011071555A JP5708131B2 JP 5708131 B2 JP5708131 B2 JP 5708131B2 JP 2011071555 A JP2011071555 A JP 2011071555A JP 2011071555 A JP2011071555 A JP 2011071555A JP 5708131 B2 JP5708131 B2 JP 5708131B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- authorization
- resource
- service providing
- determination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、アクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置に関し、特に、分散環境におけるポリシを用いたアクセス制御を行うアクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置に関する。 The present invention relates to an access control system, an access control method, an authorization device and a program thereof, and a service providing device, and more particularly to an access control system, an access control method, an authorization device and an access control system that perform access control using a policy in a distributed environment. The present invention relates to a program and a service providing apparatus.
クラウドコンピューティングなどの分散システムにおける認証技術の一例が非特許文献1に記載されている。図21に示すように、アクセス制御システム90では、サービスをユーザ60に提供するサービス提供装置70(Service Provider:SP)と、ユーザの個人情報98を保有し、サービス提供装置70に提供する認可装置80(Identity Provider:IdP)との間で情報を交換している。
An example of an authentication technique in a distributed system such as cloud computing is described in Non-Patent Document 1. As shown in FIG. 21, in the access control system 90, a service providing device 70 (Service Provider: SP) that provides a service to the
ユーザ60が、サービス提供装置70にアクセスし(ステップS1)、サービスの提供を要求する。認可装置80はユーザ情報を集中管理しており、サービス提供装置70は認可装置80に認証や認可処理を委託している。すなわち、ユーザ60からのアクセス要求などがなされ、サービス提供装置70がユーザ認証や認可判定を必要となった場合、認可装置80に認証および認可処理を依頼し(ステップS2)、認可装置80とユーザ60の間でユーザ認証が行われる(ステップS3)。そして、認可装置80が、認証されたユーザのアクセス可否判定を行う。その判定結果を認可装置80からサービス提供装置70に返信する(ステップS4)。そして、判定結果に従って、サービス提供装置70からユーザ60にサービスが提供される(ステップS5)。
The
この認証情報を認可装置80とサービス提供装置70の間で交換するために、OpenIDなど様々な方式が提案されている。OpenIDを利用することで、軽量な処理によるシングルサインオンが実現される。
In order to exchange this authentication information between the
また、分散環境での認可処理を実現するために、XACML(eXtensible Access Control Markup Language)という仕様が提案されている(非特許文献2)。図22に示すように、非特許文献2記載のシステム50は、認可判定を行うために、認可判定結果に基づきリソース52へのアクセスを許可するPEP(Policy Enforce Point)72と、アクセス可否判定を行うPDP(Policy Decision Point)82と、アクセスポリシを管理するPAP(Policy Administration Point)84と、アクセス制御に必要な情報を管理するPIP(Policy Information Point)86とを含むシステムが規定されている。
In order to realize authorization processing in a distributed environment, a specification called XACML (eXtensible Access Control Markup Language) has been proposed (Non-Patent Document 2). As illustrated in FIG. 22, the
このような構成を有する非特許文献2記載のシステム50は次のように動作する。
すなわち、アクセスリクエスタ62がPEP72の情報にアクセスすると、PEP72はPDP82に認可判定を要求する。すると、PDP82はPAP84からポリシを取得し、PIP86から情報を取得し、PEP72へのアクセスを許可するか拒否するか判定する。その後、PDP82は判定結果をPEP72に通知する。PEP72が通知を取得すると、前記通知に従いリソース52へのアクセスを許可するか否か決定し、アクセスリクエスタ62のアクセスに応答する。
The
That is, when the access requester 62 accesses the information of the
また、特許文献1にはアクセスポリシ設定装置が記載されている。この装置を利用すると、すでに設定されているポリシをもとにして、新たなポリシを類推して設定することができるようになる。そのため、アクセス制御を行う前に、アクセスポリシを容易に設定できるようになる。 Patent Document 1 describes an access policy setting device. If this apparatus is used, a new policy can be set by analogy based on a policy that has already been set. Therefore, an access policy can be easily set before access control is performed.
上述した文献に記載されたシステムにおいては、事前の取り決めなど複雑な処理が必要となるため、ポリシ作成の負荷が高いという問題点があった。
その理由は、上記文献に記載された分散システムにおけるアクセス制御システムにおいて、事前に情報交換する全てのIdPとSPを決定することは難しいためである。たとえば、情報交換するIdPやSPが変更される可能性があり、事前に決定できない。そのため、IdPとSPが事前にポリシを設定しておくことは、非常に処理負荷が高く、事前に全てのポリシをあらかじめ規定しておくことは現実的ではない。また、事前に情報を交換するIdPとSPが決まっていれば、事前に適切なポリシを交換することは可能であるが、現実ではIdPやSPは固定的ではなく流動的である。
In the system described in the above-mentioned document, since complicated processing such as prior arrangement is required, there is a problem that the load of policy creation is high.
The reason is that it is difficult to determine all IdPs and SPs to exchange information in advance in the access control system in the distributed system described in the above document. For example, the IdP or SP with which information is exchanged may be changed and cannot be determined in advance. For this reason, setting a policy in advance by the IdP and SP has a very high processing load, and it is not realistic to pre-define all policies in advance. In addition, if IdP and SP for exchanging information are determined in advance, it is possible to exchange an appropriate policy in advance, but in reality, IdP and SP are not fixed but fluid.
本発明の目的は、上述した課題である事前にポリシを作成することの処理負荷が高いという問題を解決するアクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置を提供することにある。 An object of the present invention is to provide an access control system, an access control method, an authorization device and its program, and a service providing device that solve the above-described problem that the processing load of creating a policy in advance is high. There is.
本発明のアクセス制御システムは、
ユーザにサービスを提供するサービス提供装置と、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求の認可判定を行う認可装置と、を備え、
前記認可装置は、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する第1ポリシ作成手段と、を備え、
前記サービス提供装置は、
前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成する第2ポリシ作成手段を備え、
前記認可装置の前記認可判定手段は、前記第1ポリシ作成手段が作成した前記第1部分ポリシと、前記第2ポリシ作成手段が作成した前記第2部分ポリシとを結合し、結合ポリシを前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御システムである。
また、本発明のアクセス制御システムは、
ユーザにサービスを提供するサービス提供装置と、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求の認可判定を行う認可装置と、を備え、
前記認可装置は、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備え、
前記認可判定手段は、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行うアクセス制御システムである。
The access control system of the present invention
A service providing device for providing a service to a user;
An authorization device that performs authorization determination of an access request to the resource from the user from the service providing device, and
The authorization device is
Request accepting means for accepting an access request to the resource from the user from the service providing device;
In response to the access request, using a policy provisionally registered in advance, based on attribute information of the user and the resource, an authorization determination unit that determines whether to permit access to the resource;
Based on the determination result of the authorization determination means, confirm that there is no policy setting violation in the previously provisionally registered policy, and a registration means for registering the policy without the policy setting violation as a verified policy;
A response unit that returns the determination result of the authorization determination unit using a policy that has not been violated by the policy setting to the service providing device ;
Receiving a policy setting for controlling access to the resource and creating a first partial policy ,
The service providing apparatus includes:
Receiving a policy setting for controlling access to the resource, and comprising a second policy creating means for creating a second partial policy;
The authorization determination unit of the authorization device combines the first partial policy created by the first policy creation unit and the second partial policy created by the second policy creation unit, and creates a combined policy as the temporary policy. It is an access control system that performs the authorization determination using a registered policy.
The access control system of the present invention
A service providing device for providing a service to a user;
An authorization device that performs authorization determination of an access request to the resource from the user from the service providing device, and
The authorization device is
Request accepting means for accepting an access request to the resource from the user from the service providing device;
In response to the access request, using a policy provisionally registered in advance, based on attribute information of the user and the resource, an authorization determination unit that determines whether to permit access to the resource;
Based on the determination result of the authorization determination means, confirm that there is no policy setting violation in the previously provisionally registered policy, and a registration means for registering the policy without the policy setting violation as a verified policy;
Response means for returning the determination result of the authorization determination means using the policy without violation of the policy setting to the service providing device,
The authorization determination means is an access control system that performs the authorization determination using the verified policy when there is a policy registered as the verified policy.
本発明の認可装置は、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する部分ポリシ作成手段とを備え、
前記認可判定手段は、前記サービス提供装置が作成した前記リソースへのアクセス制御の第2部分ポリシと、前記第1部分ポリシと、を結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行う認可装置である。
また、本発明の認可装置は、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備え、
前記認可判定手段は、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行う認可装置である。
The authorization device of the present invention is
Request accepting means for accepting an access request to the resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy provisionally registered in advance, based on attribute information of the user and the resource, an authorization determination unit that determines whether to permit access to the resource;
Based on the determination result of the authorization determination means, confirm that there is no policy setting violation in the previously provisionally registered policy, and a registration means for registering the policy without the policy setting violation as a verified policy;
A response unit that returns the determination result of the authorization determination unit using a policy that has not been violated by the policy setting to the service providing device ;
A partial policy creating means for accepting a policy setting for access control to the resource and creating a first partial policy ;
The authorization determination means uses the combined policy obtained by combining the second partial policy for access control to the resource created by the service providing apparatus and the first partial policy as the provisionally registered policy. An authorization device that performs authorization determination.
The authorization device of the present invention is
Request accepting means for accepting an access request to the resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy provisionally registered in advance, based on attribute information of the user and the resource, an authorization determination unit that determines whether to permit access to the resource;
Based on the determination result of the authorization determination means, confirm that there is no policy setting violation in the previously provisionally registered policy, and a registration means for registering the policy without the policy setting violation as a verified policy;
Response means for returning the determination result of the authorization determination means using the policy without violation of the policy setting to the service providing device,
The authorization determination means is an authorization device that performs the authorization determination using the verified policy when there is a policy registered as the verified policy.
本発明のサービス提供装置は、
リソースへのアクセスの認可判定を行う認可装置が作成した第1部分ポリシと結合して、前記認可装置が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、前記リソースへのアクセス制御のポリシの設定を受け付けて、作成する部分ポリシ作成手段を備える。
The service providing apparatus of the present invention
The second partial policy for creating a combined policy used by the authorization device for authorization judgment is combined with the first partial policy created by the authorization device that performs authorization judgment of access to the resource. A partial policy creating means for receiving and creating a control policy setting is provided.
本発明のアクセス制御方法は、
リソースへのアクセスの認可判定を行う認可装置が、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付け、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行い、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、
前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録し、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信し、
さらに、
前記サービス提供装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し、
前記認可装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し、
前記認可装置が、作成された前記第1部分ポリシと、作成された前記第2部分ポリシとを結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御方法である。
また、本発明のアクセス制御方法は、
リソースへのアクセスの認可判定を行う認可装置が、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付け、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行い、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、
前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録し、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信し、
さらに、前記認可装置が、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行うアクセス制御方法である。
The access control method of the present invention
An authorization device that performs authorization judgment on access to resources
Accepting a request for access to a resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy temporarily registered in advance, based on attribute information of the user and the resource, performs an authorization determination as to whether or not to permit access to the resource,
Based on the determination result of the authorization determination, confirm that there is no policy setting violation in the previously provisionally registered policy,
Register the policy that did not violate the policy setting as a verified policy,
The determination result of the authorization determination using the policy that did not violate the policy setting is returned to the service providing device ,
further,
The service providing apparatus accepts a policy setting for access control to the resource, creates a first partial policy,
The authorization device accepts a policy setting for access control to the resource, creates a second partial policy,
In the access control method, the authorization device performs the authorization determination using a combined policy obtained by combining the created first partial policy and the created second partial policy as the provisionally registered policy. .
Further, the access control method of the present invention includes:
An authorization device that performs authorization judgment on access to resources
Accepting a request for access to a resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy temporarily registered in advance, based on attribute information of the user and the resource, performs an authorization determination as to whether or not to permit access to the resource,
Based on the determination result of the authorization determination, confirm that there is no policy setting violation in the previously provisionally registered policy,
Register the policy that did not violate the policy setting as a verified policy,
The determination result of the authorization determination using the policy that did not violate the policy setting is returned to the service providing device,
Furthermore, in the access control method, when the authorization device has a policy registered as the verified policy, the authorization determination is performed using the verified policy.
本発明のコンピュータプログラムは、
ユーザからのリソースへのアクセス要求の認可判定を行う認可装置を実現するためのコンピュータに、
前記ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける手順、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う手順、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信する手順、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する手順、
前記サービス提供装置が作成した前記リソースへのアクセス制御の第2部分ポリシと、前記第1部分ポリシと、を結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行う手順、を実行させるためのプログラムである。
また、本発明のコンピュータプログラムは、
ユーザからのリソースへのアクセス要求の認可判定を行う認可装置を実現するためのコンピュータに、
前記ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける手順、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う手順、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信する手順、
前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行う手順、を実行させるためのプログラムである。
The computer program of the present invention is:
In the computer for realizing the authorization device that performs authorization judgment of the access request to the resource from the user,
A procedure for receiving an access request to the resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy provisionally registered in advance, a procedure for determining whether to permit access to the resource based on attribute information of the user and the resource,
A procedure for confirming that there is no policy setting violation in the preliminarily registered policy based on the determination result of the authorization determination, and registering the policy without the policy setting violation as a verified policy,
A procedure for returning the determination result of the authorization determination using the policy without the policy setting violation to the service providing apparatus ;
A procedure for accepting setting of a policy for controlling access to the resource and creating a first partial policy;
A procedure for performing the authorization determination by using a combined policy obtained by combining the second partial policy for controlling access to the resource created by the service providing apparatus and the first partial policy as the temporarily registered policy; Is a program for executing
The computer program of the present invention is
In the computer for realizing the authorization device that performs authorization judgment of the access request to the resource from the user,
A procedure for receiving an access request to the resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy provisionally registered in advance, a procedure for determining whether to permit access to the resource based on attribute information of the user and the resource,
A procedure for confirming that there is no policy setting violation in the preliminarily registered policy based on the determination result of the authorization determination, and registering the policy without the policy setting violation as a verified policy,
A procedure for returning the determination result of the authorization determination using the policy without the policy setting violation to the service providing apparatus;
When there is a policy registered as the verified policy, this is a program for executing a procedure for performing the authorization determination using the verified policy.
なお、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。 It should be noted that any combination of the above-described constituent elements and a conversion of the expression of the present invention between a method, an apparatus, a system, a recording medium, a computer program, etc. are also effective as an aspect of the present invention.
また、本発明の各種の構成要素は、必ずしも個々に独立した存在である必要はなく、複数の構成要素が一個の部材として形成されていること、一つの構成要素が複数の部材で形成されていること、ある構成要素が他の構成要素の一部であること、ある構成要素の一部と他の構成要素の一部とが重複していること、等でもよい。 The various components of the present invention do not necessarily have to be independent of each other. A plurality of components are formed as a single member, and a single component is formed of a plurality of members. It may be that a certain component is a part of another component, a part of a certain component overlaps with a part of another component, or the like.
また、本発明の方法およびコンピュータプログラムには複数の手順を順番に記載してあるが、その記載の順番は複数の手順を実行する順番を限定するものではない。このため、本発明の方法およびコンピュータプログラムを実施するときには、その複数の手順の順番は内容的に支障しない範囲で変更することができる。 Moreover, although the several procedure is described in order in the method and computer program of this invention, the order of the description does not limit the order which performs a several procedure. For this reason, when implementing the method and computer program of this invention, the order of the several procedure can be changed in the range which does not interfere in content.
さらに、本発明の方法およびコンピュータプログラムの複数の手順は個々に相違するタイミングで実行されることに限定されない。このため、ある手順の実行中に他の手順が発生すること、ある手順の実行タイミングと他の手順の実行タイミングとの一部ないし全部が重複していること、等でもよい。 Furthermore, the plurality of procedures of the method and the computer program of the present invention are not limited to being executed at different timings. For this reason, another procedure may occur during the execution of a certain procedure, or some or all of the execution timing of a certain procedure and the execution timing of another procedure may overlap.
本発明によれば、事前のポリシ作成処理の負荷を低減するアクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置が提供される。 According to the present invention, there are provided an access control system, an access control method, an authorization device and program thereof, and a service providing device that reduce the load of prior policy creation processing.
以下、本発明の実施の形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In all the drawings, the same reference numerals are given to the same components, and the description will be omitted as appropriate.
(第1の実施の形態)
図1は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、ユーザ3にサービスを提供するサービス提供装置100と、サービス提供装置100から、ユーザ3からのリソース10へのアクセス要求の認可判定を行う認可装置200と、を備える。
(First embodiment)
FIG. 1 is a functional block diagram showing a configuration of an access control system 1 according to the embodiment of the present invention.
The access control system 1 according to the present embodiment includes a
サービス提供装置100は、所謂サービスプロバイダ(Service Provider:SP)であり、ユーザ3に各種サービスを提供する。認可装置200は、所謂アイデンティティプロバイダ(Identity Provider:IdP)であり、ユーザ3の情報を集中管理し、サービス提供装置100に替わって、ユーザ3の認証や認可判定といった処理を行う。サービス提供装置100は、認可装置200にユーザ3の認証または認可判定の処理を認可装置200に委託している。
The
認可装置200は、サービス提供装置100から、ユーザ3からのリソース10へのアクセス要求を受け付ける要求受付部202と、アクセス要求に呼応して、予め仮登録されたポリシを用いて、ユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う認可判定部208と、認可判定部208の判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反がないことを確認し、ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録部(ポリシ格納部210、認可判定部208)と、ポリシ設定違反がなかったポリシを用いた認可判定部208の判定結果をサービス提供装置100に返信する応答部212と、を備える。
The
より詳細には、認可装置200は、要求受付部202と、ユーザ情報記憶部(図中「ユーザ情報」と示す)204と、リソース情報記憶部(図中「リソース情報」と示す)206と、認可判定部208と、ポリシ格納部210と、応答部212と、を備える。
More specifically, the
サービス提供装置100または認可装置200は、たとえば、図2に示すように、CPU120やメモリ122、ハードディスク124、および通信装置(ネットワーク5に接続し、通信するネットワーク通信部126)を備え、キーボードやマウス等の入力装置150やディスプレイ等の表示装置152やプリンタ等の出力装置(不図示)と接続されるサーバコンピュータやパーソナルコンピュータ、またはそれらに相当する装置を用いて実現することができる。
As shown in FIG. 2, for example, the
サービス提供装置100または認可装置200は、入力装置150の入力を受け付ける操作受付部128と、表示装置152の表示制御を行う表示制御部130と、をさらに備える。サービス提供装置100または認可装置200のこれらの各要素は、バス134を介して互いに接続される。そして、CPU120が各要素とともにサービス提供装置100または認可装置200全体を制御する。そして、CPU120が、ハードディスク124に記憶されるプログラムをメモリ122に読み出して実行することで、本発明の各図のサービス提供装置または認可装置の各ユニットの各機能を実現することができる。なお、各図において、本発明の本質に関わらない部分の構成については省略してあり、図示されていない。
The
本実施形態のコンピュータプログラムは、認可装置200を実現させるためのコンピュータに、ユーザ3にサービスを提供するサービス提供装置100から、ユーザ3からのリソース10へのアクセス要求を受け付ける手順、アクセス要求に呼応して、予め仮登録されたポリシを用いて、ユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う手順、認可判定の判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反がないことを確認し、ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、ポリシ設定違反がなかったポリシを用いた認可判定の判定結果をサービス提供装置100に返信する手順、を実行させるように記述されている。
The computer program according to the present embodiment responds to an access request, a procedure for receiving an access request from the
本実施形態のコンピュータプログラムは、コンピュータで読み取り可能な記録媒体に記録されてもよい。記録媒体は特に限定されず、様々な形態のものが考えられる。また、プログラムは、記録媒体からコンピュータのメモリにロードされてもよいし、ネットワークを通じてコンピュータにダウンロードされ、メモリにロードされてもよい。 The computer program of this embodiment may be recorded on a computer-readable recording medium. The recording medium is not particularly limited, and various forms can be considered. The program may be loaded from a recording medium into a computer memory, or downloaded to a computer through a network and loaded into the memory.
また、本発明のコンピュータプログラムは、以下の各実施形態においても、同様に各図のサービス提供装置および認可装置の各ユニットの各機能を実現するためのコンピュータに、各図のフローチャートの手順を実行させるように記述される。 In the following embodiments, the computer program of the present invention similarly executes the procedure of the flowchart of each figure on the computer for realizing each function of each unit of the service providing apparatus and the authorization apparatus of each figure. To be described.
なお、本実施形態では、ユーザ3、サービス提供装置100、および認可装置200は、それぞれ1台ずつ図示されているが、これに限定されない。本実施形態では、複数のユーザ3に対し、複数のサービス提供装置100が分散処理を行い、サービスを提供する。また、複数の認可装置200が、分散処理を行い、複数のサービス提供装置100からの要求に応じる。すなわち、サービス提供装置100または認可装置200は、それぞれ仮想サーバなどで実現することもできる。また、サービス提供装置100と認可装置200は、互いにネットワーク5(図2)を介して接続される。
In the present embodiment, one
図1の認可装置200において、要求受付部202は、サービス提供装置100から、ユーザ3からのリソース10へのアクセス要求を受け付ける。ユーザ情報記憶部204は、ユーザ3の属性情報を記憶する。ユーザ3とは、サービス提供装置100がサービスを提供するエンドユーザである。ユーザ情報記憶部204に記憶される情報は、たとえば、ユーザ3のユーザID、住所、電話番号などの不変の情報や、ユーザ3の位置情報、ユーザ3がアクセスしている時刻、ユーザ3のサービス利用料支払い状況など変わりうる情報などを含む。サービス提供装置100は、XACML(eXtensible Access Control Markup Language)のPEP(Policy Enforce Point)に対応する。
In the
リソース情報記憶部206は、リソース10の属性情報を記憶する。リソース情報記憶部206に記憶される情報は、たとえば、リソース10の識別情報、データの種類、作成または登録日時、タイトル、作成元、保存場所などの属性情報と、リソース10へのアクセスを許可または禁止するユーザの属性情報、アクセスを許可または禁止するレベル(参照のみ、変更可等)、アクセスを許可または禁止する時間帯など、リソース10へのアクセス条件などの情報などを含む。ユーザ情報記憶部204およびリソース情報記憶部206は、XACMLのPIP(Policy Information Point)に対応する。
The resource
認可判定部208は、サービス提供装置100からのアクセス要求に呼応して、ポリシ格納部210に予め仮登録されたポリシを用いて、ユーザ情報記憶部204に記憶されたユーザ3の属性情報およびリソース情報記憶部206に記憶されたリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う。XACMLのPDP(Policy Decision Point)に対応する。
In response to the access request from the
ポリシとは、たとえば、リソース10に対するアクセス権を規定するものであり、認可装置200がアクセス制御の際に、アクセスを許可するか拒絶するか、判定する基準が記載されている。ポリシは、リソース10に対して、誰がどのような権限でどこにアクセスできるのかといった情報を含む。
ポリシには、たとえば、「アクセス元エンティティ」、「アクセス先リソース」、「リソースに対する処理(Read/Writeなど)」、「実行条件(有効期間など)」などが記載される。
The policy defines, for example, an access right to the
The policy includes, for example, “access source entity”, “access destination resource”, “resource processing (Read / Write, etc.)”, “execution condition (valid period, etc.)”, and the like.
ポリシ格納部210は、予め仮登録されたポリシを記憶する。さらに、認可判定部208が、判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反がないことを確認し、ポリシ設定違反がなかったポリシを、検証済みポリシとしてポリシ格納部210に登録する。ポリシ格納部210は、XACMLにおけるPAP(Policy Administration Point)に対応する。
The
ポリシ格納部210に記憶された予め仮登録されたポリシは、仮に登録されたものであり、認可装置200が認可判定を行うのに適したものかどうかの検証が未だなされていないものも含むことができる。予め仮登録されたポリシは、たとえば、認可装置200またはサービス提供装置100のいずれかが保有する情報に基づいて、設定されたポリシを含むことができる。すなわち、仮登録されたポリシは、認可判定に必要な項目が設定されていないもの、認可装置200が保有していないユーザ情報を判定のために参照するように設定されているもの、または、複数の矛盾するポリシが存在している(たとえば、ホワイトリストとブラックリストの両方が存在している)もの、などのポリシ設定違反となるポリシを含むことができる。
Preliminarily registered policies stored in the
ユーザ情報記憶部204、リソース情報記憶部206、およびポリシ格納部210は、図2のハードディスク124を用いることができる。あるいは、ユーザ情報記憶部204、リソース情報記憶部206、およびポリシ格納部210は、認可装置200に接続された他の記憶装置(不図示)またはネットワーク5(図2)を介して認可装置200がアクセス可能な記憶装置(不図示)を用いて構成してもよい。
The user
応答部212は、ポリシ設定違反がなかったポリシを用いた認可判定部208の判定結果をサービス提供装置100に返信する。
The response unit 212 returns the determination result of the authorization determination unit 208 using the policy for which there is no policy setting violation to the
上述のような構成において、本実施の形態のアクセス制御システム1におけるアクセス制御方法を以下に説明する。図3は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図1および図3を用いて説明する。 In the configuration as described above, an access control method in the access control system 1 of the present embodiment will be described below. FIG. 3 is a flowchart showing an example of the operation of the access control system 1 of the present embodiment. Hereinafter, description will be made with reference to FIGS. 1 and 3.
本発明の実施の形態に係るアクセス制御方法は、リソース10(図1)へのアクセスの認可判定を行う認可装置200の要求受付部202(図1)が、ユーザ3(図1)にサービスを提供するサービス提供装置100(図1)から、ユーザ3からのリソース10へのアクセス要求(認可要求)を受け付ける(図3のステップS101)。アクセス要求(認可要求)に呼応して、認可装置200の認可判定部208(図1)が、予め仮登録されたポリシを用いて、ユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う(図3のステップS103)。認可装置200の認可判定部208(図1)が、認可判定の判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反がないことを確認し(図3のステップS105)、ポリシ設定違反がなかったポリシを(図3のステップS105のNO)、検証済みポリシとして登録し(図3のステップS107)、ポリシ設定違反がなかったポリシを用いた認可判定の判定結果をサービス提供装置100に返信する(図3のステップS109)。そして、本処理を終了する。
In the access control method according to the embodiment of the present invention, the request reception unit 202 (FIG. 1) of the
また、ポリシ設定違反が確認された場合(図3のステップS105のYES)、認可判定に使用したポリシは検証済みポリシとして登録せずに処理を終了する。
また、ポリシ設定違反が確認されたポリシは、ポリシ格納部210から削除してもよい。あるいは、ポリシ格納部210に、ポリシ設定違反ポリシとして記録してもよい。
If a policy setting violation is confirmed (YES in step S105 in FIG. 3), the policy used for the authorization determination is not registered as a verified policy, and the process ends.
In addition, a policy for which a policy setting violation has been confirmed may be deleted from the
以上、説明したように、本発明の実施の形態に係るアクセス制御システム1によれば、ポリシを認可装置200が事前に検証しないので、ポリシ作成の負荷が軽減される。また、未検証の仮登録されたポリシを利用して認可判定処理を行うことで、ポリシが正しく設定されているか否か確認することができる。また、認可装置200とサービス提供装置100が事前に認可処理の委託に関する情報を交換していない状況でも、認可装置200とサービス提供装置100が動的にポリシを交換することで認可判定の委託を実現することができる。
As described above, according to the access control system 1 according to the embodiment of the present invention, since the
(第2の実施の形態)
図4は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、上記実施の形態とは、サービス提供装置300および認可装置220がそれぞれ作成した部分ポリシを結合して作成した結合ポリシを認可判定に用いる点で相違する。
(Second Embodiment)
FIG. 4 is a functional block diagram showing the configuration of the access control system 1 according to the embodiment of the present invention.
The access control system 1 according to the present embodiment is different from the above-described embodiment in that a combined policy created by combining partial policies created by the
分散システムにおけるアクセス制御システムにおいて、サービス提供装置300はユーザ情報の管理を認可装置220に委託しているため、サービス提供装置300はユーザ情報を保有していない。そのため、サービス提供装置300は、どのようなユーザ情報が存在するか把握することが困難なため、ポリシに記述する内容を把握することは困難であり、どのような情報をポリシに設定してよいか分からない。
In the access control system in the distributed system, since the
そこで、本実施形態では、サービス提供装置300と認可装置220の間で事前に情報を交換せずに、それぞれが作成した部分ポリシを用いて、結合ポリシを作成し、認可判定に用いることで、ポリシ作成の負荷を低減しながら、より適切なポリシの設定を可能とする。
Therefore, in this embodiment, without exchanging information in advance between the
本実施形態において、認可装置220は、サービス提供装置300から、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する第1ポリシ作成部222をさらに備える。
In the present embodiment, the
サービス提供装置300は、リソース10へのアクセスの認可判定を行う認可装置220が作成した第1部分ポリシと結合して、認可装置220が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、リソース10へのアクセス制御のポリシの設定を受け付けて、作成する第2ポリシ作成部302を備える。
The
そして、認可判定部208は、サービス提供装置300の第2ポリシ作成部302が作成したリソース10へのアクセス制御の第2部分ポリシと、第1ポリシ作成部222が作成した第1部分ポリシと、を結合した結合ポリシを、仮登録されたポリシとして用いて認可判定を行う。
Then, the authorization determination unit 208 includes a second partial policy for controlling access to the
より詳細には、認可装置220は、図1の上記実施形態の認可装置200と同様なユーザ情報記憶部204、リソース情報記憶部206、認可判定部208、およびポリシ格納部210を備えるとともに、さらに、第1ポリシ作成部222と、結合ポリシ取得部224と、を備える。なお、本実施形態のサービス提供装置300および認可装置220は、図1の上記実施形態のサービス提供装置100および認可装置200と同様な構成も含むことができ、図3のフローチャートと同様な動作も行うことができるが、ここでは省略してある。
More specifically, the
認可装置220において、第1ポリシ作成部222は、たとえば、認可装置220の管理者からリソース10へのアクセス制御のポリシの設定を受け付け、受け付けた設定に基づき、第2部分ポリシを作成する。
認可装置220において、IdP自身が規定したアクセス制御ポリシを策定し、そのポリシの設定を第1ポリシ作成部222が受け付ける。第1ポリシ作成部222が作成するポリシは、認可装置220がアクセス制御を実行するために必要となるポリシ要素を全て規定する必要はない。ポリシの要素の一部は規定されていなくてもよい。たとえば、ポリシ内の「アクセス先リソース情報」を規定しなくてもよい。このIdPが最初に策定したポリシを第1部分ポリシと呼ぶ。
In the
In the
サービス提供装置300の第2ポリシ作成部302は、たとえば、サービス提供装置300の管理者からリソース10へのアクセス制御のポリシの設定を受け付け、受け付けた設定に基づき、第2部分ポリシを作成する。この第2部分ポリシは、SPが保有している情報に基づき、SP自身が規定したポリシである。
The second
サービス提供装置300の第2ポリシ作成部302および認可装置220の第1ポリシ作成部222におけるポリシの設定は、たとえば、各装置の表示装置152(図2)にポリシ設定用画面(不図示)を表示する。ポリシ設定用画面は、各装置がそれぞれ所持している範囲のリソース10およびユーザ3の属性情報、さらに、各プロバイダ(SPまたはIdP)が保有する各種情報を提示することができる。管理者は、ポリシ設定用画面に提示された情報を参照しながら、入力装置150(図2)を用いてポリシの設定操作を行う。第1ポリシ作成部222および第2ポリシ作成部302は、管理者の設定操作を操作受付部128(図2)を介して受け付ける。ポリシ設定内容や操作方法については、様々なユーザインタフェースが考えられるが、本発明の本質に関わらないので、詳細な説明は省略する。
The policy setting in the second
結合ポリシ取得部224は、サービス提供装置300の第2ポリシ作成部302が作成したリソース10へのアクセス制御の第2部分ポリシと、第1ポリシ作成部222が作成した第1部分ポリシと、を結合した結合ポリシを取得する。具体的なポリシの結合方法および取得方法は、様々考えられ、後述する実施形態で詳細に説明する。結合ポリシ取得部224は、取得した結合ポリシをポリシ格納部210に格納し、認可判定部208が認可判定に使用することとなる。この結合ポリシは、事前に検証は行わず、認可装置220のポリシ格納部210に保管され、上記実施形態で述べたように、認可判定時に使用される。
The combined
たとえば、結合ポリシは、第1部分ポリシに、IdPが規定していないポリシ要素を追加して記述したり、IdPが規定した第1部分ポリシを上書きしたりすることで、第2部分ポリシと結合し、結合ポリシが作成される。 For example, the combining policy is combined with the second partial policy by adding a policy element not defined by IdP to the first partial policy or by overwriting the first partial policy defined by IdP. A join policy is created.
本実施形態のコンピュータプログラムは、上述したサービス提供装置および認可装置の各ユニットの各機能を実現するためのコンピュータに、以下の手順を実行させるように記述される。 The computer program of this embodiment is described so that the computer for implement | achieving each function of each unit of the service provision apparatus mentioned above and the authorization apparatus may perform the following procedures.
本実施形態のコンピュータプログラムは、サービス提供装置300を実現させるためのコンピュータに、リソース10へのアクセスの認可判定を行う認可装置220が作成した第1部分ポリシと結合して、認可装置220が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、リソース10へのアクセス制御のポリシの設定を受け付けて、作成する手順を実行させるように記述されている。
The computer program of this embodiment is combined with the first partial policy created by the
また、本実施形態のコンピュータプログラムは、認可装置220を実現させるためのコンピュータに、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する手順、サービス提供装置300が作成したリソース10へのアクセス制御の第2部分ポリシと、第1部分ポリシと、を結合した結合ポリシを、仮登録されたポリシとして用いて認可判定を行う手順を実行させるように記述されている。
In addition, the computer program according to the present embodiment is created by the
このように構成された本実施形態のアクセス制御システム1におけるアクセス制御方法について、以下に説明する。図5は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図4および図5を用いて説明する。 An access control method in the access control system 1 of the present embodiment configured as described above will be described below. FIG. 5 is a flowchart showing an example of the operation of the access control system 1 of the present embodiment. Hereinafter, a description will be given with reference to FIGS. 4 and 5.
本発明の実施の形態に係るアクセス制御方法は、サービス提供装置300の第2ポリシ作成部302(図4)が、リソース10(図4)へのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し(図5のステップS301)、認可装置220の第1ポリシ作成部222(図4)が、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し(図5のステップS221)、認可装置220の認可判定部208(図4)が、サービス提供装置300の第2ポリシ作成部302が作成した第2部分ポリシと、認可装置220の第1ポリシ作成部222が作成した第1部分ポリシと、を結合した結合ポリシを、仮登録されたポリシとして用いて認可判定を行う(不図示)。
In the access control method according to the embodiment of the present invention, the second policy creating unit 302 (FIG. 4) of the
より詳細には、本実施形態のアクセス制御システム1において、サービス提供装置300の第2ポリシ作成部302が、サービス提供装置300の管理者からポリシの設定を受け付け、受け付けた設定に従い、第2部分ポリシを作成する(図5のステップS301)。
More specifically, in the access control system 1 of the present embodiment, the second
また、認可装置220の第1ポリシ作成部222が、認可装置220の管理者からポリシの設定を受け付け、受け付けた設定に従い、第1部分ポリシを作成する(図5のステップS221)。
Also, the first
そして、認可装置220の結合ポリシ取得部224が、サービス提供装置300の第2ポリシ作成部302が作成した第2部分ポリシと、認可装置220の第1ポリシ作成部222が作成した第1部分ポリシと、を結合した結合ポリシを取得する(図5のステップS223)。
Then, the combined
そして、認可装置220の結合ポリシ取得部224が、取得した結合ポリシを、認可装置220のポリシ格納部210(図4)に登録する(図5のステップS225)。
認可装置200の認可判定部208(図4)は、図5のステップS225で仮登録されたポリシを用いて認可判定を行う(不図示)。
Then, the combined
The authorization determination unit 208 (FIG. 4) of the
以上、説明したように、本発明の実施の形態に係るアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、認可装置220とサービス提供装置300が、それぞれ作成した部分ポリシを元に結合ポリシを作成するので、認可装置220が保有しているユーザ情報記憶部204やリソース情報記憶部206の情報をサービス提供装置300が事前に取得して管理しておく必要がなくなる。そのため、サービス提供装置300は、サービス提供装置300が保持している情報のみに基づいて、ポリシを簡単に設定することができるので、ポリシ作成処理の負荷を軽減できる。
As described above, according to the access control system 1 according to the embodiment of the present invention, the same effect as the above embodiment can be obtained, and the
さらに、本実施形態によれば、サービス提供装置300が作成した第2部分ポリシは、認可装置220がユーザ3やリソース10の属性情報に基づいて作成した第1部分ポリシと結合して結合ポリシとして認可判定に用いられる。したがって、サービス提供装置300が保持する情報だけでなく、認可装置220が保有する情報に基づいて結合ポリシを動的に作成できるので、より適切なポリシの設定が可能となる。
Furthermore, according to the present embodiment, the second partial policy created by the
(第3の実施の形態)
図6は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、図4の上記実施の形態とは、サービス提供装置310および認可装置230がそれぞれ作成した部分ポリシを結合して作成された、認可判定に用いる結合ポリシを、認可装置230が作成する点で相違する。なお、本実施形態では、結合ポリシを認可装置が作成するが、後述する他の実施形態で説明するように、サービス提供装置が結合ポリシを作成してもよい。
(Third embodiment)
FIG. 6 is a functional block diagram showing the configuration of the access control system 1 according to the embodiment of the present invention.
The access control system 1 of the present embodiment is different from the above-described embodiment of FIG. 4 in that a combined policy used for authorization determination created by combining partial policies created by the
本実施形態のアクセス制御システム1において、サービス提供装置310は、図4の上記実施形態のサービス提供装置300と同様な第2ポリシ作成部302を備えるとともに、さらに部分ポリシ送信部312を備える。
認可装置230は、図4の上記実施形態の認可装置220と同様なユーザ情報記憶部204、リソース情報記憶部206、認可判定部208、ポリシ格納部210、および第1ポリシ作成部222を備えるとともに、さらに、部分ポリシ受信部232と、結合ポリシ作成部234と、を備える。
なお、本実施形態の認可装置230は、図6には図示されていないが、図1の認可装置200と同様な要求受付部202と、応答部212と、を備えることができる。
In the access control system 1 of the present embodiment, the
The
Although not shown in FIG. 6, the
本実施形態において、サービス提供装置310は、リソース10へのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成する第2ポリシ作成部302を備える。さらに、サービス提供装置310は、第2ポリシ作成部302が作成した第2部分ポリシを認可装置230に送信する部分ポリシ送信部312を備える。
In the present embodiment, the
認可装置230は、サービス提供装置310から、リソース10へのアクセス制御の第2部分ポリシを受信する部分ポリシ受信部232と、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成するポリシ作成部(第1ポリシ作成部222)と、部分ポリシ受信部232が受信した第2部分ポリシと、第1ポリシ作成部222が作成した第1部分ポリシとを結合し、結合ポリシを作成する結合ポリシ作成部234と、をさらに備える。
また、認可判定部208は、結合ポリシ作成部234が作成した結合ポリシを仮登録されたポリシとして用いて認可判定を行う。
The
In addition, the authorization determination unit 208 performs an authorization determination using the combined policy created by the combined
結合ポリシ作成部234は、たとえば、サービス提供装置310から部分ポリシ受信部232が受信した第2部分ポリシを、第1ポリシ作成部222が作成した第1部分ポリシに、追記または上書きして、結合ポリシを完成することができる。
For example, the combined
このように構成された本実施形態のアクセス制御システム1におけるアクセス制御方法について、以下に説明する。図7は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図6および図7を用いて説明する。 An access control method in the access control system 1 of the present embodiment configured as described above will be described below. FIG. 7 is a flowchart showing an example of the operation of the access control system 1 of the present embodiment. Hereinafter, a description will be given with reference to FIGS. 6 and 7.
本発明の実施の形態に係るアクセス制御方法は、サービス提供装置310の第2ポリシ作成部302(図6)が、リソース10(図6)へのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し(図7のステップS301)、認可装置230の第1ポリシ作成部222(図6)が、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し(図7のステップS221)、認可装置230の結合ポリシ作成部234(図6)が、サービス提供装置310の第2ポリシ作成部302が作成した第2部分ポリシと、認可装置230の第1ポリシ作成部222が作成した第1部分ポリシとを結合し、結合ポリシを作成し(図7のステップS233)、認可装置230の認可判定部208(図6)が、認可装置230の結合ポリシ作成部234が作成した結合ポリシを仮登録されたポリシとして用いて認可判定を行う。
In the access control method according to the embodiment of the present invention, the second policy creating unit 302 (FIG. 6) of the
より詳細には、図7に示すように、本実施形態のアクセス制御システム1において、サービス提供装置310の第2ポリシ作成部302(図6)が、第2部分ポリシを作成する(図7のステップS301)。そして、サービス提供装置310の部分ポリシ送信部312(図6)が、第2ポリシ作成部302が作成した第2部分ポリシを認可装置230(図6)に送信する(図7のステップS311)。
More specifically, as shown in FIG. 7, in the access control system 1 of the present embodiment, the second policy creating unit 302 (FIG. 6) of the
また、認可装置230の第1ポリシ作成部222(図6)が、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する(図7のステップS221)。そして、認可装置230の部分ポリシ受信部232(図6)が、サービス提供装置310から第2部分ポリシを受信する(図7のステップS231)。そして、認可装置230の結合ポリシ作成部234(図6)が、受信した第2部分ポリシと、第1ポリシ作成部222が作成した第1部分ポリシを結合し、結合ポリシを作成する(図7のステップS233)。そして、認可装置230の結合ポリシ作成部234(図6)が、認可装置230のポリシ格納部210(図6)に作成した結合ポリシを登録する(図7のステップS235)。
そして、認可装置230の認可判定部208(図6)が、認可装置230のポリシ格納部210に登録された結合ポリシを仮登録されたポリシとして用いて認可判定を行う(不図示)。
Further, the first policy creation unit 222 (FIG. 6) of the
Then, the authorization determination unit 208 (FIG. 6) of the
以上、説明したように、本発明の実施の形態に係るアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、認可装置230とサービス提供装置310が、それぞれ作成した部分ポリシを元に結合ポリシを作成するので、認可装置230が保有しているユーザ情報記憶部204やリソース情報記憶部206の情報をサービス提供装置310が事前に取得して管理しておく必要がなくなる。そのため、サービス提供装置310が保持している情報のみに基づいて、サービス提供装置310がポリシを設定することができるので、ポリシ作成処理の負荷を軽減できる。
As described above, according to the access control system 1 according to the embodiment of the present invention, the same effect as in the above embodiment can be obtained, and the partial policy created by the
さらに、本実施形態によれば、サービス提供装置310が作成した第2部分ポリシは、認可装置230がユーザ3やリソース10の属性情報に基づいて作成した第1部分ポリシと結合して結合ポリシとして認可判定に用いられる。したがって、サービス提供装置310が保持する情報だけでなく、認可装置230が保有する情報に基づいて結合ポリシを動的に作成できるので、より適切なポリシの設定が可能となる。
Furthermore, according to the present embodiment, the second partial policy created by the
(第4の実施の形態)
図8は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、図6の上記実施の形態とは、サービス提供装置320が結合ポリシを生成する点で相違する。
(Fourth embodiment)
FIG. 8 is a functional block diagram showing the configuration of the access control system 1 according to the embodiment of the present invention.
The access control system 1 of this embodiment is different from the above-described embodiment of FIG. 6 in that the
本実施形態のアクセス制御システム1において、サービス提供装置320は、図6の上記実施形態のサービス提供装置310と同様な第2ポリシ作成部302を備えるとともに、さらに、第1ポリシ受信部322と、結合ポリシ作成部324と、結合ポリシ送信部326と、を備える。
In the access control system 1 of the present embodiment, the
また、認可装置240は、図6の上記実施形態の認可装置230と同じ、第1ポリシ作成部222と、ユーザ情報記憶部204と、リソース情報記憶部206と、認可判定部208と、ポリシ格納部210と、を備えるとともに、さらに、結合ポリシ作成指示部242と、結合ポリシ受信部244と、を備える。
Further, the
サービス提供装置320において、認可装置240から、認可装置240が作成した第1ポリシを受信する第1ポリシ受信部322と、第2ポリシ作成部302が作成した第2部分ポリシと、第1ポリシ受信部322が受信した第1部分ポリシとを結合し、結合ポリシを作成する結合ポリシ作成部324と、結合ポリシ作成部324が作成した結合ポリシを認可装置240に送信する結合ポリシ送信部326と、を備える。
In the
結合ポリシ作成部324は、認可装置240から第1ポリシ受信部322が受信した第1部分ポリシを、第2ポリシ作成部302が作成した第2部分ポリシに、追記または上書きして、結合ポリシを完成することができる。
The combined
認可装置240は、サービス提供装置320に、第1ポリシ作成部222が作成した第1部分ポリシを送信し、サービス提供装置320が作成した第2部分ポリシと、送信した第1部分ポリシを結合して結合ポリシを作成する指示を、サービス提供装置320に行う結合ポリシ作成指示部242と、サービス提供装置320から結合ポリシを受信する結合ポリシ受信部244と、をさらに備える。
また、認可判定部208は、結合ポリシ受信部244が受信した結合ポリシを仮登録されたポリシとして用いて認可判定を行う。
The
In addition, the authorization determination unit 208 performs an authorization determination using the combined policy received by the combined
このように構成された本実施形態のアクセス制御システム1におけるアクセス制御方法について、以下に説明する。図9は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図8および図9を用いて説明する。 An access control method in the access control system 1 of the present embodiment configured as described above will be described below. FIG. 9 is a flowchart showing an example of the operation of the access control system 1 of the present embodiment. Hereinafter, description will be made with reference to FIGS.
まず、サービス提供装置320の第2ポリシ作成部302(図8)が、リソース10(図8)へのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し(図9のステップS301)、認可装置240の第1ポリシ作成部222(図8)が、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する(図9のステップS221)。
First, the second policy creating unit 302 (FIG. 8) of the
そして、認可装置240の結合ポリシ作成指示部242(図8)が、サービス提供装置320に、認可装置240の第1ポリシ作成部222が作成した第1部分ポリシを送信する。そして、サービス提供装置320が作成した第2部分ポリシと、受信した第1部分ポリシを結合して結合ポリシを作成する指示を、認可装置240の結合ポリシ作成指示部242が、サービス提供装置320に行う(図9のステップS241)。
Then, the combined policy creation instruction unit 242 (FIG. 8) of the
サービス提供装置320の第1ポリシ受信部322(図8)が、認可装置240から、認可装置240が作成した第1ポリシを受信する(図9のステップS321)。そして、サービス提供装置320の結合ポリシ作成部324(図8)が、サービス提供装置320の第2ポリシ作成部302が作成した第2部分ポリシと、認可装置240の第1ポリシ受信部322が受信した第1部分ポリシとを結合し、結合ポリシを作成する(図9のステップS323)。そして、サービス提供装置320の結合ポリシ送信部326(図8)が、サービス提供装置320の結合ポリシ作成部324が作成した結合ポリシを認可装置240に送信する(図9ステップS325)。
The first policy receiving unit 322 (FIG. 8) of the
そして、認可装置240の結合ポリシ受信部244(図8)が、サービス提供装置320から結合ポリシを受信する(図9のステップS243)。そして、認可装置240の結合ポリシ受信部244(図8)が、認可装置240のポリシ格納部210(図8)に作成した結合ポリシを登録する(図9のステップS245)。
認可装置240の認可判定部208(図8)が、認可装置240のポリシ格納部210に登録された結合ポリシを仮登録されたポリシとして用いて認可判定を行う(不図示)。
Then, the combined policy receiving unit 244 (FIG. 8) of the
The authorization determination unit 208 (FIG. 8) of the
以上、説明したように、本発明の実施の形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、認可装置240とサービス提供装置320が、それぞれ作成した部分ポリシを元に結合ポリシを作成するので、認可装置240が保有しているユーザ情報記憶部204やリソース情報記憶部206の情報をサービス提供装置320が事前に取得して管理しておく必要がなくなる。そのため、サービス提供装置320が保持している情報のみに基づいて、サービス提供装置320がポリシを設定することができるので、ポリシ作成処理の負荷を軽減できる。
As described above, according to the access control system 1 of the embodiment of the present invention, the same effect as that of the above embodiment can be obtained, and the
さらに、本実施形態によれば、サービス提供装置320が作成した第2部分ポリシは、認可装置240がユーザ3やリソース10の属性情報に基づいて作成した第1部分ポリシと結合して結合ポリシとして認可判定に用いられる。したがって、サービス提供装置320が保持する情報だけでなく、認可装置240が保有する情報に基づいて結合ポリシを動的に作成できるので、より適切なポリシの設定が可能となる。
Further, according to the present embodiment, the second partial policy created by the
(第5の実施の形態)
本実施形態のアクセス制御システム1は、上記実施の形態とは、認可判定に検証済みのポリシを用いる点で相違する。
本実施形態のアクセス制御システム1において、サービス提供装置および認可装置は、図1、図4、図6、図8の上記実施形態のいずれかと同様な構成とすることができる。
以下の説明では、図1の実施形態の構成を有するものとして説明する。
(Fifth embodiment)
The access control system 1 of the present embodiment is different from the above embodiment in that a verified policy is used for authorization determination.
In the access control system 1 of the present embodiment, the service providing device and the authorization device can have the same configuration as that of any of the above-described embodiments of FIG. 1, FIG. 4, FIG. 6, and FIG.
In the following description, it will be described as having the configuration of the embodiment of FIG.
本実施形態において、認可装置200は、リソース10へのアクセスを許可するか否かの認可判定に利用するポリシを記憶するポリシ記憶装置(ポリシ格納部210)を備える。
また、認可装置200の認可判定部208は、検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて認可判定を行う。
In the present embodiment, the
In addition, when there is a policy registered as a verified policy, the authorization determination unit 208 of the
このように構成された本実施形態のアクセス制御システム1におけるアクセス制御方法について、以下に説明する。
図10は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図1および図10を用いて説明する。
An access control method in the access control system 1 of the present embodiment configured as described above will be described below.
FIG. 10 is a flowchart showing an example of the operation of the access control system 1 of the present embodiment. Hereinafter, description will be made with reference to FIGS. 1 and 10.
本実施形態のアクセス制御方法において、認可装置200(図1)は、検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて認可判定を行う(図10のステップS113)。 In the access control method of this embodiment, when there is a policy registered as a verified policy, the authorization device 200 (FIG. 1) performs authorization determination using the verified policy (step S113 in FIG. 10).
より詳細には、本実施形態のアクセス制御方法は、図3の上記実施形態のフローチャートと同様なステップS101、およびステップS105乃至ステップS109を有するとともに、さらに、図10のステップS111乃至ステップS115をさらに有する。図10では、ステップS105〜ステップS109は省略する。 More specifically, the access control method of this embodiment includes steps S101 and S105 to S109 similar to those in the flowchart of the above-described embodiment of FIG. 3, and further includes steps S111 to S115 of FIG. Have. In FIG. 10, steps S105 to S109 are omitted.
図10に示すように、まず、リソース10(図1)へのアクセスの認可判定を行う認可装置200(図1)が、ユーザ3(図1)にサービスを提供するサービス提供装置100(図1)から、ユーザ3からのリソースへのアクセス要求(認可要求)を受け付ける(図10のステップS101)。 As shown in FIG. 10, first, an authorization device 200 (FIG. 1) that performs authorization determination of access to the resource 10 (FIG. 1) provides a service to the user 3 (FIG. 1). ) Receives an access request (authorization request) to the resource from the user 3 (step S101 in FIG. 10).
アクセス要求(認可要求)に呼応して、認可装置200の認可判定部208(図1)が、ポリシ格納部210(図1)を参照し、検証済みポリシとして登録されたポリシが有るか否かを判定する(図10のステップS111)。検証済みポリシがある場合(図10のステップS111のYES)、認可装置200の認可判定部208は、当該検証済みポリシを用いて認可判定を行う(図10のステップS113)。そして、図10のステップS113の後、図3のステップS109に進み、認可判定の判定結果をサービス提供装置100に返信することとなる。
In response to the access request (authorization request), the authorization determination unit 208 (FIG. 1) of the
また、検証済みポリシがない場合(図10のステップS111のNO)、認可装置200の認可判定部208は、ポリシ格納部210に仮登録されたポリシを用いて認可判定を行う(図10のステップS115)。そして、図10のステップS115の後、図3のステップS105に進み、認可判定の結果、ポリシ設定違反があるか否かの判定処理を行うこととなる。
If there is no verified policy (NO in step S111 in FIG. 10), the authorization determination unit 208 of the
なお、ポリシ格納部210に格納されているポリシが必ず検証済みポリシであることが分かっている場合には、図10のステップS111の判定処理およびステップS115は不要となる。そして、図3のステップS105およびステップS107の処理も不要となる。
If it is known that the policy stored in the
以上、説明したように、本発明の実施の形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、検証済みポリシを用いて認可判定を行うことができるので、ポリシ設定違反がなくなるため、ポリシ設定違反判定手順が不要となり、適切なポリシで認可判定処理をより簡略化でき、認可判定処理の負荷を低減できる。 As described above, according to the access control system 1 of the embodiment of the present invention, the same effect as that of the above embodiment can be obtained, and the authorization determination can be performed using the verified policy. Since the violation is eliminated, the policy setting violation determination procedure is not required, the authorization determination process can be simplified with an appropriate policy, and the load of the authorization determination process can be reduced.
(第6の実施の形態)
図11は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、上記実施の形態とは、サービス提供装置340が、ユーザ3からのリソース10へのアクセス要求に対するサービス提供を行う機能を実現するための構成を有する点で相違する。
(Sixth embodiment)
FIG. 11 is a functional block diagram showing the configuration of the access control system 1 according to the embodiment of the present invention.
The access control system 1 of the present embodiment is different from the above embodiment in that the
本実施形態のサービス提供装置340は、図1の上記実施形態のアクセス制御システム1のサービス提供装置100の構成要素に加え、さらに、認可要求部342と、結果受信部346と、サービス提供部348と、を備える。図11では、図1の構成は省略してある。なお、本実施形態のアクセス制御システム1は、図1の上記実施形態の認可装置200を備えているが、図4、図6、または図8の上記実施形態の認可装置を備えてもよい。
In addition to the components of the
本実施形態のサービス提供装置340は、認可装置200に、ユーザ3からのリソース10へのアクセス要求に呼応して、リソース10へのアクセスの認可判定を要求する認可要求部342と、認可装置200からリソース10へのアクセスの認可判定の結果を受信する認可判定結果受信部(結果受信部346)と、結果受信部346が受信した認可判定の結果に応じて、ユーザ3からのアクセス要求に対応するリソース10へのアクセスを実行するアクセス実行部(サービス提供部348)と、を備える。
The
より詳細には、サービス提供装置340において、認可要求部342は、ユーザ3からのリソース10へのアクセス要求に呼応して、認可装置200にリソース10へのアクセスの認可判定を要求する。
結果受信部346は、認可装置200からリソース10へのアクセスの認可判定の結果を受信する。
サービス提供部348は、結果受信部346が受信した認可判定の結果に応じて、ユーザ3からのアクセス要求に対応するリソース10へのアクセスを実行する。
More specifically, in the
The
The
このように構成された本実施形態のアクセス制御システム1の動作について、以下に説明する。
図12は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図11および図12を用いて説明する。
The operation of the access control system 1 of the present embodiment configured as described above will be described below.
FIG. 12 is a flowchart showing an example of the operation of the access control system 1 of the present embodiment. Hereinafter, a description will be given with reference to FIGS. 11 and 12.
まず、ユーザ3(図11)がサービス提供装置340(図11)に対し、サービスアクセス要求を行う(図12のステップS401)。たとえば、ウェブサイト(不図示)にアクセスし、あるコンテンツをダウンロードする操作をユーザ3の端末(不図示)で行うことで、ユーザ3からアクセス要求を行う。
First, the user 3 (FIG. 11) makes a service access request to the service providing apparatus 340 (FIG. 11) (step S401 in FIG. 12). For example, an access request is made from the
サービス提供装置340の認可要求部342(図11)が、ユーザ3からのアクセス要求に呼応して(図12のステップS501のYES)、認可装置200(図11)に対し、認可判定を要求する(図12のステップS503)。
In response to the access request from the user 3 (YES in step S501 in FIG. 12), the
そして、認可装置200において、上記実施形態の図3または図10で説明したような認可判定を行い、その結果がサービス提供装置340に返信される。サービス提供装置340の結果受信部346(図11)が、認可装置200から判定結果を受信する(図12のステップS505)。
Then, the
そして、受信した判定結果を参照し、リソース10へのアクセスが許可された場合(図12のステップS507のYES)、サービス提供装置340のサービス提供部348(図11)が、リソース10にアクセスし、ユーザ3にサービスを提供する(図12のステップS509)。
Then, referring to the received determination result, when access to the
一方、受信した判定結果を参照し、リソース10へのアクセスが禁止された場合(図12のステップS507のNO)、サービス提供装置340のサービス提供部348が、ユーザ3にアクセス不可を通知する(図12のステップS511)。たとえば、サービス提供部348は、ユーザ3の端末のディスプレイ(不図示)の画面上にリソース10へのアクセス権を有していないことなどの通知メッセージを表示する。
On the other hand, referring to the received determination result, when access to the
ユーザ3の端末は、サービス提供装置340から提供されたサービスや、アクセス不可の通知を受信する(図12のステップS403)。たとえば、リソース10へのアクセスが可能な場合、ユーザ3の端末は、リソース10にアクセスし、ダウンロードすることができる。
The terminal of the
以上、説明したように、本実施形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、ユーザ3からのリソース10へのアクセス要求に対し、適切なポリシで認可判定を行い、ユーザ3に迅速にサービスを提供できることとなる。
(第7の実施の形態)
図13は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、上記実施の形態とは、認可判定の結果、ポリシにポリシ設定違反があった場合、ポリシを再設定する点で相違する。
図13に示すように、本実施形態のアクセス制御システム1は、認可装置260と、サービス提供装置350と、を備える。
As described above, according to the access control system 1 of the present embodiment, the same effect as that of the above embodiment can be obtained, and authorization determination can be performed with an appropriate policy in response to an access request from the
(Seventh embodiment)
FIG. 13 is a functional block diagram showing the configuration of the access control system 1 according to the embodiment of the present invention.
The access control system 1 according to the present embodiment is different from the above-described embodiment in that the policy is reset when there is a policy setting violation as a result of the authorization determination.
As shown in FIG. 13, the access control system 1 of this embodiment includes an
上述したように、本実施形態のアクセス制御システム1では、認可装置260のみが認可判定に利用できる情報を保有しているため、サービス提供装置350は、認可装置260がどの情報を認可判定に利用しているか把握していない。そのため、サービス提供装置350が設定したポリシを、認可装置260は適切に解釈できるか、サービス提供装置350は検証できない。
As described above, in the access control system 1 of this embodiment, since only the
また、認可装置260が保有していない情報をサービス提供装置350がポリシとして設定しても、認可装置260は認可判定を行えない。たとえば、サービス提供装置350は認可装置260が判定できないポリシを作成する可能性がある。しかし、サービス提供装置350は認可装置260の保有情報を把握していないため、認可装置260がポリシを判定できるか、検証できない。その結果、アクセス制御が正しく行われない、という問題が生じる。
In addition, even if the
そこで、本実施形態では、サービス提供装置350が設定したポリシを、認可装置260が認可判定したとき、ポリシ設定違反があった場合、ポリシの再設定をサービス提供装置350に要求し、ポリシを再設定させる。
Therefore, in this embodiment, when the
ここで、ポリシ設定違反とは、たとえば、結合ポリシの中に認可判定のために必須となる項目が設定されていない、認可装置260が保有していないユーザ情報をポリシが参照しようとしている、複数の矛盾するポリシが存在している、たとえば、ホワイトリストとブラックリストの両方が存在している、などである。
Here, the policy setting violation means, for example, that the policy is going to refer to user information that is not held by the
本実施形態のアクセス制御システム1において、認可判定部208が認可判定に用いたポリシにポリシ設定違反があると判定された場合、ポリシの再設定を行うポリシ再設定部(結合ポリシ再設定部352)をさらに備える。認可判定部208は、結合ポリシ再設定部352が再設定したポリシを仮登録されたポリシとして用いて認可判定に用い、認可判定に用いたポリシにポリシ設定違反がないことを確認するまで、結合ポリシ再設定部352は、ポリシの再設定を繰り返し、認可判定部208は、結合ポリシ再設定部352が再設定したポリシを仮登録されたポリシとして用いて前記認可判定を繰り返す。 In the access control system 1 of this embodiment, when it is determined that there is a policy setting violation in the policy used by the authorization determination unit 208 for the authorization determination, a policy resetting unit (joint policy resetting unit 352) that resets the policy. ). The authorization determination unit 208 uses the policy reset by the combination policy resetting unit 352 as a provisionally registered policy and uses it for authorization determination until the policy used for the authorization determination confirms that there is no policy setting violation. The policy resetting unit 352 repeats the policy resetting, and the authorization determination unit 208 repeats the authorization determination using the policy reset by the combined policy resetting unit 352 as the temporarily registered policy.
具体的には、本実施形態の認可装置は、図6または図8の認可装置と同様な構成を有する。また、本実施形態のサービス提供装置は、図6または図8のサービス提供装置と同様な構成を有するとともに、さらに、図11のサービス提供装置340とも同様な構成をする。そして、図13に示すように、本実施形態のアクセス制御システム1は、上記構成に加え、さらに、結合ポリシ再設定部352を備える。
本実施形態において、結合ポリシ再設定部は、サービス提供装置または認可装置のいずれか、結合ポリシ作成部352を有する装置が有するものとする。すなわち、図6の場合、認可装置230が、図8の場合、サービス提供装置320が、結合ポリシ再設定部352を備えることができる。
Specifically, the authorization device of this embodiment has the same configuration as the authorization device of FIG. 6 or FIG. Further, the service providing apparatus of the present embodiment has the same configuration as the service providing apparatus of FIG. 6 or FIG. 8, and further has the same configuration as the
In the present embodiment, the combined policy resetting unit is assumed to be included in a device having the combined policy creating unit 352, either the service providing device or the authorization device. That is, in the case of FIG. 6, the
より詳細には、図13では、サービス提供装置350が結合ポリシ再設定部352を備えている。同図において、サービス提供装置350は、図8の上記実施形態のサービス提供装置320と同様な第2ポリシ作成部302と、第1ポリシ受信部322と、結合ポリシ作成部324と、結合ポリシ送信部326と、さらに、図11のサービス提供装置340と同様な認可要求部342と、結果受信部346と、サービス提供部348と、を備えるとともに、さらに、結合ポリシ再設定部352を備える。
More specifically, in FIG. 13, the
サービス提供装置350において、結合ポリシ再設定部352は、認可装置260の認可判定部208が認可判定に用いたポリシにポリシ設定違反があると判定した場合に認可装置260からのポリシの再設定指示に従い、結合ポリシの再設定を行う。
In the
結合ポリシの再設定処理は、たとえば、上述した表示装置152(図2)に表示されたポリシ設定用画面などに、現在のポリシの設定情報を管理者に提示するとともに、ポリシの変更や追加を行う管理者の操作を、操作受付部128(図2)を介して受け付けて、ポリシを再設定することができる。 In the combined policy resetting process, for example, the current policy setting information is presented to the administrator on the policy setting screen displayed on the display device 152 (FIG. 2), and the policy is changed or added. The administrator's operation to be performed can be received via the operation receiving unit 128 (FIG. 2), and the policy can be reset.
また、認可装置260は、再設定指示に、ポリシ設定違反となった項目を含めてサービス提供装置350に送信することで、通知してもよい。サービス提供装置350は、通知されたポリシ設定違反となった項目を、表示装置152の設定画面上に提示して、管理者に通知することができる。管理者は、ポリシ設定違反となった項目を確認しながら、ポリシを再設定できる。
In addition, the
また、本実施形態の認可装置260は、図1の上記実施形態の認可装置200と同様な要求受付部202と、ユーザ情報記憶部204と、リソース情報記憶部206と、認可判定部208と、ポリシ格納部210と、応答部212と、図8の上記実施形態の認可装置240と同様な第1ポリシ作成部222と、結合ポリシ作成指示部242と、結合ポリシ受信部244と、を備えるとともに、さらに、結合ポリシ再設定指示部262を備える。
Further, the
認可装置260において、結合ポリシ再設定指示部262は、認可判定部208が認可判定に用いたポリシにポリシ設定違反があると判定した場合、ポリシの再設定を行うようサービス提供装置350に指示する。サービス提供装置350が再設定したポリシは、上記実施形態と同様に、結合ポリシ受信部244が受信し、認可判定部208が認可判定に使用することとなる。
In the
このように構成された本実施形態のアクセス制御システム1の動作について、以下に説明する。図14は、本発明の実施の形態に係るアクセス制御システム1の動作の一例を示すフローチャートである。以下、図13および1図14を用いて説明する。
図14において、認可装置260は、事前に図9の上記実施形態の認可装置240の動作を示すフローチャートと同様なステップS221、ステップS241〜ステップS245を行った後、図3の上記実施形態の認可装置200の動作を示すフローチャートと同様なステップS101〜ステップS109を行うとともに、さらに、ステップS261とステップS263を有する。サービス提供装置350は、事前に図9の上記実施形態のサービス提供装置320の動作を示すフローチャートと同様なステップS301、ステップS321〜ステップS325を行った後、図14の本実施形態のサービス提供装置350の動作を示すフローチャートのステップS351〜ステップS359を行う。
The operation of the access control system 1 of the present embodiment configured as described above will be described below. FIG. 14 is a flowchart showing an example of the operation of the access control system 1 according to the embodiment of the present invention. Hereinafter, description will be made with reference to FIGS. 13 and 1.
In FIG. 14, the
具体的には、まず、サービス提供装置350の認可要求部342(図13)が、ユーザ3(図13)からのリソース10(図13)へのアクセス要求に呼応して、認可装置260(図13)に認可要求を行う(図14のステップS351)。認可装置260の要求受付部202(図13)が、サービス提供装置350からの認可要求を受け付け(図14のステップS101)、認可装置260の認可判定部208(図13)が、認可判定を行う(図14のステップS103)。
Specifically, first, the authorization request unit 342 (FIG. 13) of the
認可判定の判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反があった場合(図14のステップS105のYES)、認可装置260の結合ポリシ再設定指示部262(図13)が、サービス提供装置350にポリシの再設定を指示する(図14のステップS261)。そして、サービス提供装置350の結合ポリシ再設定部352(図13)が、認可装置260からの指示を受信すると(図14のステップS353)、サービス提供装置350の結合ポリシ再設定部352が、ポリシの再設定を行う(図14のステップS355)。そして、結合ポリシ再設定部352が再設定した結合ポリシを結合ポリシ送信部326(図13)が、認可装置260に送信する(図14のステップS357)。
Based on the determination result of the authorization determination, if there is a policy setting violation in the policy temporarily registered in advance (YES in step S105 of FIG. 14), the combined policy reset instruction unit 262 (FIG. 13) of the
なお、図14のステップS353においてポリシ再設定指示を受信しなかった場合、ステップS359で判定結果を受信することとなる。図14では、サービス提供装置350がステップS353とステップS359でそれぞれ認可装置260からポリシ再設定指示と判定結果を受信するように記載されているが、これに限定されない。サービス提供装置350が、認可装置260から受信した情報が、ポリシ再設定指示か判定結果かを判別し、ポリシ再設定指示の場合、ステップS355に進み、判定結果の場合、本処理を終了して、アクセス可否判断に進むなど手順を分岐してもよい。
If no policy reset instruction is received in step S353 in FIG. 14, the determination result is received in step S359. In FIG. 14, it is described that the
そして、認可装置260の結合ポリシ受信部244(図13)が、サービス提供装置350から送信された、再設定された結合ポリシを受信する(図14のステップS263)。そして、ステップS103に戻り、受信した結合ポリシを用いて、認可判定部208が、認可判定を行う。
Then, the combined policy receiving unit 244 (FIG. 13) of the
結合ポリシの設定違反がなくなるまで図14のステップS103、ステップS105、ステップS261、ステップS353〜ステップS357、およびステップS263を繰り返す。 Step S103, step S105, step S261, step S353 to step S357, and step S263 of FIG. 14 are repeated until there is no combination policy setting violation.
認可装置260において、予め仮登録されたポリシにポリシ設定違反がなった場合(図14のステップS105のNO)、認可装置260の認可判定部208が、ポリシ設定違反がなかったポリシを検証済みポリシとして認可装置200のポリシ格納部210(図13)に登録する(図14のステップS107)。そして、認可装置260の応答部212(図13)が、ポリシ設定違反がなかったポリシを用いた認可判定の判定結果をサービス提供装置350に返信する(図14のステップS109)。そして、サービス提供装置350の結果受信部346(図13)が、認可装置260から判定結果を受信する(図14のステップS359)。
In the
このようにして得られた認可判定の結果を受けて、サービス提供装置350のサービス提供部348は、ユーザ3のリソース10へのアクセス可否を判断し、サービス提供処理を行う(不図示)。
サービス提供装置350の認可要求部342が判定結果を受信した後の処理は、図12の上記実施形態のサービス提供装置340のステップS505以降と同様の処理とすることができる。
In response to the authorization determination result thus obtained, the
The process after the
以上、説明したように、本発明の実施の形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、検証済みポリシを効率よく設定できる。その理由は、未検証のポリシの認可判定の結果から、ポリシ設定違反が見つかった場合に、ポリシを再設定し、ポリシ設定違反がなくなるまで、ポリシの設定を繰り返し、最終的に検証済みポリシを登録することができるからである。 As described above, according to the access control system 1 of the embodiment of the present invention, the same effect as the above embodiment can be obtained, and the verified policy can be set efficiently. The reason for this is that if a policy setting violation is found from the result of the authorization decision for an unverified policy, the policy is reset, and the policy setting is repeated until there is no policy setting violation. This is because it can be registered.
(第8の実施の形態)
図15は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
図15に示すように、本実施形態のアクセス制御システム1は、認可装置270と、サービス提供装置360と、を備える。
本実施形態のアクセス制御システム1は、図13の上記実施形態と、認可判定時にポリシ設定違反と判別された場合のポリシ再設定処理が異なる。すなわち、本実施形態では、ポリシ設定違反の場合、認可装置270が認可判定に必要と考えるポリシに基づいて結合ポリシを作成し、サービス提供装置360がその結合ポリシを検証し、ユーザ3にリソース10へのアクセスを許可するか禁止するかを判断し、その結果をポリシに反映して、認可装置270に送信し、認可装置270が認可判定処理を行う。
(Eighth embodiment)
FIG. 15 is a functional block diagram showing the configuration of the access control system 1 according to the embodiment of the present invention.
As shown in FIG. 15, the access control system 1 of this embodiment includes an
The access control system 1 of the present embodiment is different from the above-described embodiment of FIG. 13 in policy resetting processing when it is determined that the policy setting is violated at the time of authorization determination. That is, in this embodiment, in the case of a policy setting violation, the
本実施形態のサービス提供装置360は、図13の上記実施形態のサービス提供装置350と同様な構成を有するとともに、さらに、結合ポリシ受信部362と、結合ポリシ検証部364を備える。
また、本実施形態の認可装置270は、図13の上記実施形態の認可装置260と同様な構成を有するとともに、さらに、結合ポリシ作成部272と、結合ポリシ送信部274を備える。
なお、図13のサービス提供装置350および認可装置260の構成要素のうち一部の構成のみを図15に記載してある。
The
Further, the
Note that only some of the components of the
本実施形態の認可装置270において、結合ポリシ作成部272は、ポリシ格納部210に仮登録されたポリシを用いて認可判定部208の認可判定を行った際に、ポリシ設定違反と判定された場合、結合ポリシを作成する。
In the
ここで、結合ポリシ作成部272が作成する結合ポリシには、現在、認可装置270が判定しようとしているアクセスの状況の情報、たとえば、アクセス元エンティティ、アクセス先リソース、リソースに対する処理(Read/Writeなど)、実行条件(有効期間など)などが含まれる。
Here, the combined policy created by the combined policy creating unit 272 includes information on the status of access that the
結合ポリシ送信部274は、結合ポリシ作成部272が作成した結合ポリシをサービス提供装置360に送信する。
サービス提供装置360の結合ポリシ受信部362は、認可装置270から送信された結合ポリシを受信する。結合ポリシ検証部364は、結合ポリシ受信部362が受信した結合ポリシから状況の情報を検証し、ユーザ3にリソース10へのアクセスを認めるか否かを判断する。そして、結合ポリシ検証部364は、その結果を新たな結合ポリシとして規定し、結合ポリシ送信部326に受け渡し、認可装置270に送信させる。
The combined
The combination
ここで、結合ポリシ検証部364は、受信した結合ポリシから取得した状況の情報に基づいて、予め決められた基準に基づいて、アクセスを認めるか否かを判断してもよい。あるいは、結合ポリシ検証部364は、受信した結合ポリシから取得した状況の情報を表示装置152(図2)の設定画面上に提示し、管理者は状況を確認し、アクセスを認めるか否かを判断して、入力装置150(図2)を用いてアクセスを認めるか否かを選択操作し、操作受付部128(図2)を介して受け付けてもよい。 Here, the combined policy verification unit 364 may determine whether or not to permit access based on a predetermined criterion based on the status information acquired from the received combined policy. Alternatively, the combined policy verification unit 364 presents the status information acquired from the received combined policy on the setting screen of the display device 152 (FIG. 2), and the administrator confirms the status and determines whether or not to permit access. The determination may be made by using the input device 150 (FIG. 2) to select whether or not to allow access, and may be received via the operation receiving unit 128 (FIG. 2).
このように構成された本実施形態のアクセス制御システム1のポリシ再設定処理の手順について、以下に説明する。図16は、本発明の実施の形態に係るアクセス制御システム1の動作の一例を示すフローチャートである。以下、図15および図16を用いて説明する。 The procedure of the policy resetting process of the access control system 1 of the present embodiment configured as described above will be described below. FIG. 16 is a flowchart showing an example of the operation of the access control system 1 according to the embodiment of the present invention. Hereinafter, a description will be given with reference to FIGS. 15 and 16.
認可装置270の処理手順は、図14の上記実施形態のフローチャートと同様なステップS101〜ステップS109を有するとともに、さらに、ステップS271〜ステップS275を有する。また、サービス提供装置360の処理手順は、図14の上記実施形態のフローチャートと同様なステップS351およびステップS359を有するとともに、さらに、ステップS363〜ステップS367を有する。
The processing procedure of the
ここでは、上記実施形態と異なる処理、すなわち、認可装置270の認可判定部208(図15)が、ポリシ設定違反と判定した場合(ステップS105のYES)の処理以降について説明する。
Here, processing different from the above embodiment, that is, processing after the case where the authorization determination unit 208 (FIG. 15) of the
認可装置270の認可判定部208(図15)が、ポリシ設定違反と判定した場合(ステップS105のYES)、認可装置270の結合ポリシ作成部272(図15)が、自身が判定しようとしているアクセスの状況を含む結合ポリシを作成する(図16のステップS271)。
When the authorization determination unit 208 (FIG. 15) of the
そして、結合ポリシ作成部272が作成した結合ポリシを、認可装置270の結合ポリシ送信部274(図15)サービス提供装置360に送信する(図16のステップS273)。そして、サービス提供装置360の結合ポリシ受信部362(図15)が、認可装置270から結合ポリシを受信する(図16のステップS363)。
Then, the combined policy created by the combined policy creating unit 272 is transmitted to the coupled policy transmitting unit 274 (FIG. 15)
サービス提供装置360の結合ポリシ検証部364(図15)が、結合ポリシ受信部362が受信した結合ポリシからアクセスの状況を検証し、ユーザ3にアクセスを認めるか否かを判断する。そして、判断した結果を含めて、新たにポリシを規定する(図16のステップS365)。
The combined policy verifying unit 364 (FIG. 15) of the
そして、サービス提供装置360の結合ポリシ送信部326(図15)が、新たに規定された結合ポリシを認可装置270に送信する(図16のステップS367)。そして、認可装置270の結合ポリシ受信部244(図15)が、サービス提供装置360から新たに規定された結合ポリシを受信する(図16のステップS275)。そして、図16のステップS103に戻り、認可装置270の認可判定部208が、結合ポリシ受信部244が受信した結合ポリシを用いて認可判定を行う。
Then, the combined policy transmission unit 326 (FIG. 15) of the
なお、図16のステップS363において結合ポリシを受信しなかった場合、ステップS359で判定結果を受信することとなる。図16では、サービス提供装置360がステップS363とステップS359でそれぞれ認可装置270から結合ポリシと判定結果を受信するように記載されているが、これに限定されない。図14の上記実施形態と同様で、サービス提供装置360が、認可装置270から受信した情報が、結合ポリシか判定結果かを判別し、結合ポリシの場合、ステップS365に進み、判定結果の場合、本処理を終了して、アクセス可否判断に進むなど手順を分岐してもよい。
In addition, when a joint policy is not received in step S363 of FIG. 16, a determination result is received in step S359. In FIG. 16, it is described that the
このように、認可装置270がサービス提供装置360に対してポリシ再設定指示を行う替わりに、認可装置270からサービス提供装置360に結合ポリシを送信し、サービス提供装置360は、ポリシを再設定する替わりに、認可装置270が作成した結合ポリシを検証し、その結果をポリシに反映することで、ポリシ設定違反を解消できるようになっている。
In this way, instead of the
以上、説明したように、本実施形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、さらに、ポリシ設定違反時に、確実に照合可能なポリシの作成が可能となる。その理由は、認可装置270が判定しようとしている状況を含む結合ポリシをサービス提供装置360に通知し、サービス提供装置360がその結合ポリシを検証し、ユーザ3にアクセスを認めるか否かを判断した上で、新たな結合ポリシを規定してサービス提供装置360に通知するからである。結果として、認可装置270が判定できないポリシを含むことなく、かつ、サービス提供装置360が意図するアクセス可否判断結果が反映されたポリシを作成することができる。このようにして、確実に照合可能なポリシが作成されることとなる。
As described above, according to the access control system 1 of the present embodiment, the same effects as those of the above-described embodiment can be obtained, and a policy that can be surely collated can be created when the policy setting is violated. The reason is that the
(第9の実施の形態)
図17は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、認可装置280と、図11の上記実施形態と同様なサービス提供装置340と、を備える。
本実施形態のアクセス制御システム1は、上記実施の形態とは、認可判定時に情報が不足した場合、情報を収集する点で相違する。
(Ninth embodiment)
FIG. 17 is a functional block diagram showing the configuration of the access control system 1 according to the embodiment of the present invention.
The access control system 1 of the present embodiment includes an
The access control system 1 of this embodiment is different from the above-described embodiment in that information is collected when information is insufficient at the time of authorization determination.
上述したように、認可装置280のみが認可判定に利用できる情報を保有しているため、サービス提供装置340はどの情報を認可判定に利用しているか把握していない。したがって、サービス提供装置340は認可装置280が判定できないポリシを作成する可能性がある。
そこで、本実施形態では、サービス提供装置340が設定したポリシを用いて認可判定を行う時、必要な情報が不足した場合に、情報を収集する。
As described above, since only the
Therefore, in the present embodiment, when authorization determination is performed using the policy set by the
本実施形態のアクセス制御システム1のサービス提供装置340は、図11の上記実施形態のサービス提供装置340と同様な構成を備える。また、本実施形態の認可装置280は、図11の上記実施形態の認可装置200と同様な要求受付部202と、ユーザ情報記憶部204と、リソース情報記憶部206と、ポリシ格納部210と、の応答部212と、を有するとともに、さらに、認可判定部282と、情報収集部284と、を備える。
なお、本実施形態のアクセス制御システム1は、他の上記実施形態のアクセス制御システム1の構成も含むことができる。
The
In addition, the access control system 1 of this embodiment can also contain the structure of the access control system 1 of the other said embodiment.
本実施形態の認可装置280において、認可判定部282が認可判定を行うとき、ユーザ3の属性情報が不足した場合、不足したユーザ3の属性情報を収集する収集部(情報収集部284)をさらに備える。
In the
認可判定部282は、ユーザ3の属性情報が不足した場合、情報収集部284にユーザ3の属性情報の収集を指示し、情報収集部284が収集したユーザ3の属性情報に基づいて、再度、認可判定を行う。認可判定部282は、認可判定を行う際、ユーザ情報記憶部204に記憶されたユーザ3の属性情報を用いて判定を行うが、ユーザ情報記憶部204から認可判定に必要な属性情報が得られなかった場合に、情報収集部284が情報を収集する。
情報収集部284において、属性情報は、たとえば、他の装置(他の認可装置やサービス提供装置)などから取得することができる。
When the attribute information of the
In the
このように構成された本実施形態のアクセス制御システム1の動作について、以下に説明する。図18は、本発明の実施の形態に係るアクセス制御システム1の動作の一例を示すフローチャートである。以下、図17および図18を用いて説明する。
本実施形態において、認可装置280は、図3の上記実施形態の認可装置200の動作を示すフローチャートと同様なステップS101の後、図3のステップS103に替えて、ステップS141〜ステップS145をさらに備える。本実施形態の図18のステップS145の後は、図3のステップS105以降と同様な処理を行う。
The operation of the access control system 1 of the present embodiment configured as described above will be described below. FIG. 18 is a flowchart showing an example of the operation of the access control system 1 according to the embodiment of the present invention. Hereinafter, description will be made with reference to FIGS. 17 and 18.
In the present embodiment, the
具体的には、まず、認可装置280の要求受付部202(図17)が、ユーザ3(図17)にサービスを提供するサービス提供装置340(図17)から、ユーザ3からのリソース10へのアクセス要求(認可要求)を受け付ける(図18のステップS101)。
Specifically, first, the request receiving unit 202 (FIG. 17) of the
受け付けた認可要求に呼応して、認可装置280の認可判定部282(図17)が認可判定を行うに際し、ユーザ3の属性情報が不足した場合(図18のステップS141のYES)、認可装置280の情報収集部284(図17)が、不足しているユーザ3の属性情報を収集する(図18のステップS143)。ユーザ3の属性情報が不足していない場合(図18のステップS141のNO)、図18のステップS145に進む。
When the authorization determination unit 282 (FIG. 17) of the
そして、認可装置280の認可判定部282(図17)が、ポリシ格納部210(図17)に予め仮登録されたポリシを用いて、ユーザ情報記憶部204(図17)およびリソース情報記憶部206(図17)に記憶されたユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う(図18のステップS145)。
そして、図3のステップS105に進む。
Then, the authorization determination unit 282 (FIG. 17) of the
Then, the process proceeds to step S105 in FIG.
なお、本実施形態では、ユーザ情報の不足の判定を図18のステップS145の認可判定処理の前に行う構成としたが、これに限定されない。認可判定部282が認可判定を行うことで、ユーザ情報の不足を判定結果として出力し、その結果に従い、情報収集部284がユーザ情報を収集し、再度、認可判定部282が認可判定を行う構成とすることもできる。
In this embodiment, the determination of the lack of user information is performed before the authorization determination process in step S145 of FIG. 18, but the present invention is not limited to this. A configuration in which the lack of user information is output as a determination result by the approval determination unit 282 performing an approval determination, and according to the result, the
以上、説明したように、本発明の実施の形態に係るアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、検証済みでないポリシを用いた認可判定において、判定に必要な情報が不足した場合に、情報を収集して認可判定を行うことができるので、ポリシ設定違反となる可能性が低減する。 As described above, according to the access control system 1 according to the embodiment of the present invention, the same effect as the above embodiment is obtained, and information necessary for the determination in the authorization determination using the policy that has not been verified. If there is a shortage of information, it is possible to collect information and make an authorization decision, thereby reducing the possibility of a policy setting violation.
上記実施形態のアクセス制御システム1において、各実施形態で説明した各処理を一連の処理として行うことができる。たとえば、認可装置280がサービス提供装置340から認可判定要求を受信したときに(各図のステップS101)、まず認可装置280は図5、図7、または図9の手順で作成した結合ポリシを利用して認可判定を行う(各図のステップS103または図18のステップS145)。このとき、認可判定部282が出力する判定結果は「アクセスOK」、「アクセスNG」、「ポリシ設定違反」、または「ユーザ情報不足」を含む。
In the access control system 1 of the above embodiment, each process described in each embodiment can be performed as a series of processes. For example, when the
「アクセスOK」または「アクセスNG」という判定が出た場合(各図のステップS105のNO)、ポリシの照合ができたので「認可装置280が保有する結合ポリシはポリシ設定違反が無かった」とみなすことができる。そこで、このポリシを検証済みポリシとして認可装置280のポリシ格納部210内で保管し(各図のステップS107)、アクセス判定の結果をサービス提供装置340に返す(各図のステップS109)。
If a determination of “access OK” or “access NG” is made (NO in step S105 in each figure), the policy has been verified, so that “the binding policy held by the
「ユーザ情報不足」という判定が出た場合、たとえば、認可装置280保有情報を認可判定部282が取得していない場合(図18のステップS141のYES)、認可装置280の情報収集部284がユーザ情報を取得して、再度認可判定を行う(図18のステップS145)。
When the determination is made that “user information is insufficient”, for example, when the authorization determination unit 282 has not acquired the information held by the authorization device 280 (YES in step S141 in FIG. 18), the
「ポリシ設定違反」という判定が出た場合(図14のステップS105のYES)、ポリシの照合ができなかったため、サービス提供装置340にポリシ再設定要求を出す(図14のステップS261)。その後、再度結合ポリシを取得した場合(図14のステップS263)、認可判定を再度行う(図14のステップS103)。 If it is determined that “policy setting violation” (YES in step S105 in FIG. 14), the policy cannot be verified, and a policy resetting request is issued to the service providing apparatus 340 (step S261 in FIG. 14). Thereafter, when the binding policy is acquired again (step S263 in FIG. 14), the authorization determination is performed again (step S103 in FIG. 14).
上記の処理によれば、結合ポリシを認可装置280が検証しない場合でも、ポリシを利用して認可判定処理を行うことができるので、ポリシが正しく設定されているか否か確認することができる。また、認可装置280とサービス提供装置340が事前に認可処理の委託に関する情報を交換していない状況でも、認可装置280とサービス提供装置340が動的に部分ポリシや結合ポリシを交換することで認可判定の委託を実現することができる。
According to the above processing, even when the
以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記以外の様々な構成を採用することもできる。
たとえば、図8〜図10の上記実施形態のアクセス制御システム1において、サービス提供装置320が結合ポリシを事前に作成し、認可装置240に送信する構成としていたが、他のタイミングで作成することもできる。
As mentioned above, although embodiment of this invention was described with reference to drawings, these are the illustrations of this invention, Various structures other than the above are also employable.
For example, in the access control system 1 of the above-described embodiment of FIGS. 8 to 10, the
図19および図20は、他の実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。
図19および図20に示す他の実施形態において、認可判定のトランザクション時に結合ポリシを作成することができる。図8〜図10の上記実施形態では、サービス提供装置320が認可装置240から部分ポリシを受信すると、直ぐにサービス提供装置320が結合ポリシを作成し、認可装置240に返信し、登録していた。すなわち、ポリシの登録処理と認可判定処理を分離して行っていたが、図19および図20の実施形態では、認可判定処理とポリシ登録処理を同時に行う。
19 and 20 are flowcharts illustrating an example of the operation of the access control system 1 according to another embodiment.
In other embodiments shown in FIGS. 19 and 20, a join policy can be created during an authorization decision transaction. 8 to 10, when the
本実施形態のアクセス制御システム1は、図8のサービス提供装置320および図11のサービス提供装置340と同様な構成を有するサービス提供装置370と、図8の認可装置240と同様な構成を有する認可装置290と、を備える。なお、サービス提供装置370は、作成した第2部分ポリシと認可装置290から送信された第1部分ポリシを一時的に記憶するポリシ記憶部(不図示)をさらに備える。
The access control system 1 according to the present embodiment has a
本実施形態のアクセス制御システム1の動作について説明する。以下、図8、図11、図19、および図20を用いて、説明する。
まず、サービス提供装置370の第2ポリシ作成部302(図8)が、第2部分ポリシを作成する(図19のステップS301)。第2ポリシ作成部302が作成した第2部分ポリシをポリシ記憶部(不図示)に一時的に記憶する(図19のステップS371)。
The operation of the access control system 1 of this embodiment will be described. Hereinafter, description will be made with reference to FIGS. 8, 11, 19, and 20.
First, the second policy creation unit 302 (FIG. 8) of the
一方、認可装置290の第1ポリシ作成部222(図8)が、第1部分ポリシを作成する(図19のステップS221)。そして、認可装置290の結合ポリシ作成指示部242(図8)が、第1ポリシ作成部222が作成した第1部分ポリシをサービス提供装置370に送信する(ステップS291)。
On the other hand, the first policy creation unit 222 (FIG. 8) of the
そして、サービス提供装置370の第1ポリシ受信部322(図8)が、認可装置290から第1部分ポリシを受信する(図19のステップS373)。そして、第1ポリシ受信部322が受信した第1部分ポリシをポリシ記憶部に記憶する(図19のステップS375)。
Then, the first policy receiving unit 322 (FIG. 8) of the
そして、サービス提供装置370の認可要求部342(図11)が、ユーザ3からのアクセス要求に呼応して(図20のステップS501のYES)、サービス提供装置370の結合ポリシ作成部324(図8)が、第2ポリシ作成部302が作成した第2部分ポリシと、認可装置290から受信した第1部分ポリシをポリシ記憶部から読み出し、結合ポリシを作成する(図20のステップS531)。
Then, the authorization request unit 342 (FIG. 11) of the
そして、サービス提供装置370の結合ポリシ送信部326(図8)が、認可装置290(図8)に対し、認可判定を要求するとともに、結合ポリシ作成部324が作成した結合ポリシを送信する(図20のステップS533)。サービス提供装置370は、図12のステップS505に進み、認可装置290からの認可判定結果を待つ。以降の処理は上記実施形態と同様である。
Then, the combined policy transmission unit 326 (FIG. 8) of the
そして、認可装置290の結合ポリシ受信部244(図8)が、サービス提供装置370から認可判定要求とともに、結合ポリシを受信する(図20のステップS293)。
Then, the combined policy receiving unit 244 (FIG. 8) of the
そして、認可装置290の認可判定部208(図8)が、受信した結合ポリシを用いて認可判定を行う(図20のステップS295)。そして、図3、図14、または図16などのステップS105に進み、認可判定の結果に従い処理を行う。以降の処理は上記実施形態と同様である。
Then, the authorization determination unit 208 (FIG. 8) of the
上述した構成によれば、状況実施形態と同様な効果を奏するとともに、さらに、事前にサービス提供装置370がアクセス要求を受けたときに、結合ポリシを作成して、認可判定要求を行うので、認可装置290が事前に結合ポリシをポリシ格納部210に仮登録する必要がなくなる。認可装置290とサービス提供装置370間で事前に65ポリシを送受信する必要がなくなるので、認可装置290とサービス提供装置370の間の通信量を削減できる。また、たとえば、ポリシが短期間で変更になったような場合に、変更前のポリシを無駄に認可装置290に仮登録しなくてもよいことも考えられる。ポリシ格納部210メモリ容量の削減や、登録処理手順を省略できるので、処理の負荷を低減できる。
According to the configuration described above, the same effect as in the situation embodiment can be obtained. Further, when the
なお、本発明のアクセス制御システム1は、ユーザにコンテンツを提供する事業者(SP)とユーザの情報を管理しアクセス制御を集中的に行うモバイルキャリアが存在する環境において、サービスを提供する事業者がアクセス制御判定をモバイルキャリアに委託する、といった用途に適用できる。 The access control system 1 according to the present invention provides a service provider in an environment where there is a business provider (SP) that provides content to a user and a mobile carrier that manages user information and performs centralized access control. Can be applied to applications such as entrusting access control determination to a mobile carrier.
また、業務システムを外部事業者(SP)にアウトソースしている企業(IdP)が存在する状況において、社員がアウトソースしている外部事業者のサービスを利用するときに、認可判定を企業内で行うといった用途にも適用可能である。 Also, in the situation where there is a company (IdP) that outsources the business system to an external business operator (SP), when an employee uses the service of the external business enterprise that is outsourced, the approval judgment is made within the company. It can also be applied to uses such as in
また、電子商取引の場を提供するショッピングプラットフォーム事業者(IdP)と複数のショッピングサイト(SP)が存在する環境において、各ショッピングサイトでは認可判定を行わず、ショッピングプラットフォーム事業者が、各ショッピングサイトが規定してポリシにもとづき集中して認可判定を行う、といった用途にも適用できる。 Also, in an environment where a shopping platform provider (IdP) providing a place for electronic commerce and a plurality of shopping sites (SP) exist, authorization determination is not performed at each shopping site, and the shopping platform operator It can also be applied to uses such as prescribing and making authorization judgments based on policies.
また、複数のテナント(SP)が入居するビル管理システム(IdP)の入退場管理システムにおいて、各テナントが入退場ポリシ(結合ポリシ)を規定し、前記規定したポリシにしたがってビル管理システムが入場者の入場可否(認可判定)を決定する(例えば、ポリシに従って入場ゲートの開閉を行う)システムにも適用できる。 In addition, in an entrance / exit management system of a building management system (IdP) in which a plurality of tenants (SP) are occupying, each tenant defines an entrance / exit policy (join policy), and the building management system is admitted according to the prescribed policy. It is also applicable to a system that determines whether or not an admission is permitted (authorization determination) (for example, an entrance gate is opened and closed according to a policy).
以上、実施形態および実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
なお、本発明において利用者に関する情報を取得、利用する場合は、これを適法に行うものとする。
While the present invention has been described with reference to the embodiments and examples, the present invention is not limited to the above embodiments and examples. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention.
In addition, when acquiring and using the information regarding a user in this invention, this shall be done legally.
本発明は以下の態様も含むことができる。
(付記1)
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備える認可装置。
The present invention can also include the following aspects.
(Appendix 1)
Request accepting means for accepting an access request to the resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy provisionally registered in advance, based on attribute information of the user and the resource, an authorization determination unit that determines whether to permit access to the resource;
Based on the determination result of the authorization determination means, confirm that there is no policy setting violation in the previously provisionally registered policy, and a registration means for registering the policy without the policy setting violation as a verified policy;
An authorization device comprising: a response unit that returns the determination result of the authorization determination unit that uses a policy that does not violate the policy setting to the service providing device.
(付記2)
(付記1)に記載の認可装置において、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する部分ポリシ作成手段をさらに備え、
前記認可判定手段は、前記サービス提供装置が作成した前記リソースへのアクセス制御の第2部分ポリシと、前記第1部分ポリシと、を結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行う認可装置。
(Appendix 2)
In the authorization device described in (Appendix 1),
A partial policy creating means for accepting a policy setting for access control to the resource and creating a first partial policy;
The authorization determination means uses the combined policy obtained by combining the second partial policy for access control to the resource created by the service providing apparatus and the first partial policy as the provisionally registered policy. An authorization device that makes authorization decisions.
(付記3)
(付記2)に記載の認可装置において、
前記サービス提供装置から、前記第2部分ポリシを受信する部分ポリシ受信手段と、
前記部分ポリシ受信手段が受信した前記第2部分ポリシと、前記部分ポリシ作成手段が作成した前記第1部分ポリシとを結合し、結合ポリシを作成する結合ポリシ作成手段と、をさらに備え、
前記認可判定手段は、前記結合ポリシ作成手段が作成した前記結合ポリシを前記仮登録されたポリシとして用いて前記認可判定を行う認可装置。
(Appendix 3)
In the authorization device described in (Appendix 2),
Partial policy receiving means for receiving the second partial policy from the service providing device;
A combination policy creating means for joining the second partial policy received by the partial policy receiving means and the first partial policy created by the partial policy creating means to create a combined policy;
The authorization determination unit is an authorization device that performs the authorization determination by using the combined policy created by the combined policy creating unit as the temporarily registered policy.
(付記4)
(付記2)に記載の認可装置において、
前記サービス提供装置に、前記部分ポリシ作成手段が作成した前記第1部分ポリシを送信し、前記サービス提供装置が作成した前記第2部分ポリシと、送信した前記第1部分ポリシを結合して結合ポリシを作成する指示を、前記サービス提供装置に行う結合ポリシ作成指示手段と、
前記サービス提供装置から前記結合ポリシを受信する結合ポリシ受信手段と、をさらに備え、
前記認可判定手段は、前記結合ポリシ受信手段が受信した前記結合ポリシを前記仮登録されたポリシとして用いて前記認可判定を行う認可装置。
(Appendix 4)
In the authorization device described in (Appendix 2),
The first partial policy created by the partial policy creating means is transmitted to the service providing apparatus, and the second partial policy created by the service providing apparatus and the transmitted first partial policy are combined to form a combined policy. A combined policy creation instructing unit for instructing the service providing apparatus to create
A coupling policy receiving means for receiving the coupling policy from the service providing device;
The authorization determination unit is an authorization device that performs the authorization determination using the combined policy received by the combined policy receiving unit as the provisionally registered policy.
(付記5)
(付記1)乃至(付記4)いずれかに記載の認可装置において、
前記リソースへのアクセスを許可するか否かの認可判定に利用するポリシを記憶するポリシ記憶装置をさらに備え、
前記登録手段は、前記検証済みポリシを前記ポリシ記憶装置に登録し、
前記認可判定手段は、前記登録手段が前記ポリシ記憶装置に登録した前記検証済みポリシを用いて認可判定を行う認可装置。
(Appendix 5)
In the approval device according to any one of (Appendix 1) to (Appendix 4),
A policy storage device for storing a policy used for authorization determination as to whether or not to permit access to the resource;
The registration means registers the verified policy in the policy storage device,
The authorization determination unit is an authorization device that performs an authorization determination using the verified policy registered in the policy storage device by the registration unit.
(付記6)
(付記1)乃至(付記5)いずれかに記載の認可装置において、
前記認可判定手段が前記認可判定を行うとき、前記ユーザの属性情報が不足した場合、不足した前記ユーザの前記属性情報を収集する収集手段をさらに備え、
前記認可判定手段は、前記ユーザの属性情報が不足した場合、前記収集手段に前記ユーザの前記属性情報の収集を指示し、前記収集手段が収集した前記ユーザの前記属性情報に基づいて、再度、認可判定を行う認可装置。
(Appendix 6)
In the approval device according to any one of (Appendix 1) to (Appendix 5),
When the authorization determination means performs the authorization determination, if the user attribute information is insufficient, the authorization determination means further comprises a collection means for collecting the attribute information of the user that is insufficient,
The authorization determination means instructs the collection means to collect the attribute information of the user when the attribute information of the user is insufficient, and again based on the attribute information of the user collected by the collection means, An authorization device that makes authorization decisions.
(付記7)
(付記1)乃至(付記6)いずれかに記載の認可装置に、ユーザからのリソースへのアクセス要求に呼応して、前記リソースへのアクセスの認可判定を要求する認可要求手段と、
前記認可装置から前記リソースへの前記アクセスの前記認可判定の結果を受信する認可判定結果受信手段と、
前記認可判定結果受信手段が受信した前記認可判定の結果に応じて、前記ユーザからの前記アクセス要求に対応する前記リソースへのアクセスを実行するアクセス実行手段と、を備えるサービス提供装置。
(Appendix 7)
(Appendix 1) to (Appendix 6) an authorization request means for requesting authorization determination of access to the resource in response to an access request to the resource from a user, to the authorization device according to any one of
An authorization decision result receiving means for receiving the result of the authorization decision of the access to the resource from the authorization device;
A service providing apparatus comprising: an access execution unit that executes access to the resource corresponding to the access request from the user according to the result of the authorization determination received by the authorization determination result receiving unit.
(付記8)
リソースへのアクセスの認可判定を行う認可装置が作成した第1部分ポリシと結合して、前記認可装置が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、前記リソースへのアクセス制御のポリシの設定を受け付けて、作成する部分ポリシ作成手段を備えるサービス提供装置。
(Appendix 8)
The second partial policy for creating a combined policy used by the authorization device for authorization judgment is combined with the first partial policy created by the authorization device that performs authorization judgment of access to the resource. A service providing apparatus comprising partial policy creating means for receiving and creating a control policy setting.
(付記9)
(付記8)に記載のサービス提供装置において、
ユーザからの前記リソースへのアクセス要求に呼応して、前記リソースへのアクセスの認可判定を認可装置に要求する認可要求手段と、
前記認可装置から前記ポリシに基づいて行われた、前記リソースへの前記アクセスの前記認可判定の結果を受信する認可判定結果受信手段と、
前記認可判定結果受信手段が受信した前記認可判定の結果に応じて、前記ユーザからの前記アクセス要求に対応する前記リソースへのアクセスを実行するアクセス実行手段と、を備えるサービス提供装置。
(Appendix 9)
In the service providing apparatus described in (Appendix 8),
In response to a request for access to the resource from a user, an authorization request means for requesting an authorization device to determine authorization for access to the resource;
Authorization decision result receiving means for receiving the result of the authorization decision of the access to the resource, which is performed based on the policy from the authorization device;
A service providing apparatus comprising: an access execution unit that executes access to the resource corresponding to the access request from the user according to the result of the authorization determination received by the authorization determination result receiving unit.
(付記10)
(付記8)または(付記9)に記載のサービス提供装置において、
前記認可装置から、前記認可装置が作成した前記第1部分ポリシを受信する部分ポリシ受信手段と、
前記部分ポリシ作成手段が作成した前記第2部分ポリシと、前記部分ポリシ受信手段が受信した前記第1部分ポリシとを結合し、結合ポリシを作成する結合ポリシ作成手段と、
前記結合ポリシ作成手段が作成した前記結合ポリシを前記認可装置に送信するポリシ送信手段と、を備えるサービス提供装置。
(Appendix 10)
In the service providing apparatus according to (Appendix 8) or (Appendix 9),
Partial policy receiving means for receiving the first partial policy created by the authorization device from the authorization device;
A combined policy creating means for creating a combined policy by combining the second partial policy created by the partial policy creating means and the first partial policy received by the partial policy receiving means;
A service providing apparatus comprising: a policy transmission unit that transmits the combination policy created by the combination policy creation unit to the authorization device.
(付記11)
(付記10)に記載のサービス提供装置において、
前記部分ポリシ作成手段が作成した前記第2部分ポリシを前記認可装置に送信するポリシ送信手段をさらに備えるサービス提供装置。
(Appendix 11)
In the service providing apparatus described in (Appendix 10),
A service providing apparatus further comprising policy transmission means for transmitting the second partial policy created by the partial policy creation means to the authorization device.
(付記12)
リソースへのアクセスの認可判定を行う認可装置が、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付け、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行い、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、
前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録し、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信するアクセス制御方法。
(Appendix 12)
An authorization device that performs authorization judgment on access to resources
Accepting a request for access to a resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy temporarily registered in advance, based on attribute information of the user and the resource, performs an authorization determination as to whether or not to permit access to the resource,
Based on the determination result of the authorization determination, confirm that there is no policy setting violation in the previously provisionally registered policy,
Register the policy that did not violate the policy setting as a verified policy,
An access control method for returning the determination result of the authorization determination using a policy without violation of policy setting to the service providing apparatus.
(付記13)
(付記12)に記載のアクセス制御方法において、
前記サービス提供装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し、
前記認可装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し、
前記認可装置が、作成された前記第1部分ポリシと、作成された前記第2部分ポリシとを結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御方法。
(Appendix 13)
In the access control method described in (Appendix 12),
The service providing apparatus accepts a policy setting for access control to the resource, creates a first partial policy,
The authorization device accepts a policy setting for access control to the resource, creates a second partial policy,
An access control method in which the authorization device performs the authorization judgment by using a combined policy obtained by combining the created first partial policy and the created second partial policy as the temporarily registered policy.
(付記14)
(付記12)または(付記13)に記載のアクセス制御方法において、
前記認可装置は、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行うアクセス制御方法。
(Appendix 14)
In the access control method described in (Appendix 12) or (Appendix 13),
The access control method in which, when there is a policy registered as the verified policy, the authorization device performs the authorization determination using the verified policy.
(付記15)
ユーザからのリソースへのアクセス要求の認可判定を行う認可装置を実現するためのコンピュータに、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける手順、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う手順、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信する手順、を実行させるためのプログラム。
(Appendix 15)
In the computer for realizing the authorization device that performs authorization judgment of the access request to the resource from the user,
A procedure for receiving an access request to the resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy provisionally registered in advance, a procedure for determining whether to permit access to the resource based on attribute information of the user and the resource,
A procedure for confirming that there is no policy setting violation in the preliminarily registered policy based on the determination result of the authorization determination, and registering the policy without the policy setting violation as a verified policy,
The program for performing the procedure which returns the determination result of the authorization determination using the policy without the policy setting violation to the service providing apparatus.
(付記16)
(付記15)に記載のプログラムにおいて、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する手順、
前記サービス提供装置が作成した前記リソースへのアクセス制御の第2部分ポリシと、前記第1部分ポリシと、を結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行う手順をさらにコンピュータに実行させるプログラム。
(Appendix 16)
In the program described in (Appendix 15),
A procedure for accepting setting of a policy for controlling access to the resource and creating a first partial policy;
A procedure for performing the authorization determination using a combined policy obtained by combining the second partial policy for controlling access to the resource created by the service providing apparatus and the first partial policy as the temporarily registered policy; A program that is executed by a computer.
(付記17)
ユーザにサービスを提供するサービス提供装置を実現するコンピュータに、
リソースへのアクセスの認可判定を行う認可装置が作成した第1部分ポリシと結合して、前記認可装置が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、前記リソースへのアクセス制御のポリシの設定を受け付けて、作成する手順を実行させるためのプログラム。
(付記18)
ユーザにサービスを提供するサービス提供装置と、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求の認可判定を行う認可装置と、を備え、
前記認可装置は、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備えるアクセス制御システム。
(付記19)
(付記18)に記載のアクセス制御システムにおいて、
前記認可装置は、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する第1ポリシ作成手段を備え、
前記サービス提供装置は、
前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成する第2ポリシ作成手段をさらに備え、
前記認可装置の前記認可判定手段は、前記第1ポリシ作成手段が作成した前記第1部分ポリシと、前記第2ポリシ作成手段が作成した前記第2部分ポリシとを結合し、結合ポリシを前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御システム。
(付記20)
(付記18)または(付記19)に記載のアクセス制御システムにおいて、
前記認可判定手段は、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行うアクセス制御システム。
(付記21)
(付記18)乃至(付記20)いずれかに記載のアクセス制御システムにおいて、
前記認可判定手段が前記認可判定に用いたポリシにポリシ設定違反があると判定された場合、前記ポリシの再設定を行うポリシ再設定手段をさらに備え、
前記認可判定手段は、前記ポリシ再設定手段が再設定したポリシを前記仮登録されたポリシとして用いて前記認可判定に用い、前記認可判定に用いた前記ポリシにポリシ設定違反がないことを確認するまで、
前記ポリシ再設定手段は、前記ポリシの再設定を繰り返し、
前記認可判定手段は、前記ポリシ再設定手段が再設定したポリシを前記仮登録されたポリシとして用いて前記認可判定を繰り返すアクセス制御システム。
(Appendix 17)
A computer that implements a service providing apparatus that provides services to users,
The second partial policy for creating a combined policy used by the authorization device for authorization judgment is combined with the first partial policy created by the authorization device that performs authorization judgment of access to the resource. A program that accepts control policy settings and executes the creation procedure.
(Appendix 18)
A service providing device for providing a service to a user;
An authorization device that performs authorization determination of an access request to the resource from the user from the service providing device, and
The authorization device is
Request accepting means for accepting an access request to the resource from the user from the service providing device;
In response to the access request, using a policy provisionally registered in advance, based on attribute information of the user and the resource, an authorization determination unit that determines whether to permit access to the resource;
Based on the determination result of the authorization determination means, confirm that there is no policy setting violation in the previously provisionally registered policy, and a registration means for registering the policy without the policy setting violation as a verified policy;
An access control system comprising: a response unit that returns the determination result of the authorization determination unit using a policy that does not have a policy setting violation to the service providing apparatus.
(Appendix 19)
In the access control system described in (Appendix 18),
The authorization device is
Receiving a policy setting for controlling access to the resource, and comprising a first policy creating means for creating a first partial policy;
The service providing apparatus includes:
Receiving a policy setting for access control to the resource, further comprising a second policy creating means for creating a second partial policy;
The authorization determination unit of the authorization device combines the first partial policy created by the first policy creation unit and the second partial policy created by the second policy creation unit, and creates a combined policy as the temporary policy. An access control system that performs the authorization determination using a registered policy.
(Appendix 20)
In the access control system described in (Appendix 18) or (Appendix 19),
When there is a policy registered as the verified policy, the authorization determination means performs an authorization determination using the verified policy.
(Appendix 21)
In the access control system according to any one of (Appendix 18) to (Appendix 20),
When it is determined that there is a policy setting violation in the policy used by the authorization determination unit, the policy determination unit further includes a policy resetting unit configured to reset the policy,
The authorization determination unit uses the policy reset by the policy resetting unit as the provisionally registered policy for the authorization determination, and confirms that the policy used for the authorization determination has no policy setting violation. Until,
The policy resetting means repeats the policy resetting,
The access control system in which the authorization determination unit repeats the authorization determination using the policy reset by the policy resetting unit as the temporarily registered policy.
1 アクセス制御システム
3 ユーザ
5 ネットワーク
10 リソース
100 サービス提供装置
120 CPU
122 メモリ
124 ハードディスク
126 ネットワーク通信部
128 操作受付部
130 表示制御部
134 バス
150 入力装置
152 表示装置
200 認可装置
202 要求受付部
204 ユーザ情報記憶部
206 リソース情報記憶部
208 認可判定部
210 ポリシ格納部
212 応答部
220 認可装置
222 第1ポリシ作成部
224 結合ポリシ取得部
230 認可装置
232 部分ポリシ受信部
234 結合ポリシ作成部
240 認可装置
242 結合ポリシ作成指示部
244 結合ポリシ受信部
260 認可装置
262 結合ポリシ再設定指示部
270 認可装置
272 結合ポリシ作成部
274 結合ポリシ送信部
280 認可装置
282 認可判定部
284 情報収集部
290 認可装置
300 サービス提供装置
302 第2ポリシ作成部
310 サービス提供装置
312 部分ポリシ送信部
320 サービス提供装置
322 第1ポリシ受信部
324 結合ポリシ作成部
326 結合ポリシ送信部
340 サービス提供装置
342 認可要求部
346 結果受信部
348 サービス提供部
350 サービス提供装置
352 結合ポリシ再設定部
360 サービス提供装置
362 結合ポリシ受信部
364 結合ポリシ検証部
370 サービス提供装置
DESCRIPTION OF SYMBOLS 1
122
Claims (12)
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求の認可判定を行う認可装置と、を備え、
前記認可装置は、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する第1ポリシ作成手段と、を備え、
前記サービス提供装置は、
前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成する第2ポリシ作成手段を備え、
前記認可装置の前記認可判定手段は、前記第1ポリシ作成手段が作成した前記第1部分ポリシと、前記第2ポリシ作成手段が作成した前記第2部分ポリシとを結合し、結合ポリシを前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御システム。 A service providing device for providing a service to a user;
An authorization device that performs authorization determination of an access request to the resource from the user from the service providing device, and
The authorization device is
Request accepting means for accepting an access request to the resource from the user from the service providing device;
In response to the access request, using a policy provisionally registered in advance, based on attribute information of the user and the resource, an authorization determination unit that determines whether to permit access to the resource;
Based on the determination result of the authorization determination means, confirm that there is no policy setting violation in the previously provisionally registered policy, and a registration means for registering the policy without the policy setting violation as a verified policy;
A response unit that returns the determination result of the authorization determination unit using a policy that has not been violated by the policy setting to the service providing device ;
Receiving a policy setting for controlling access to the resource and creating a first partial policy ,
The service providing apparatus includes:
Receiving a policy setting for controlling access to the resource, and comprising a second policy creating means for creating a second partial policy;
The authorization determination unit of the authorization device combines the first partial policy created by the first policy creation unit and the second partial policy created by the second policy creation unit, and creates a combined policy as the temporary policy. An access control system that performs the authorization determination using a registered policy .
前記認可判定手段は、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行うアクセス制御システム。 The access control system according to claim 1 .
When there is a policy registered as the verified policy, the authorization determination means performs an authorization determination using the verified policy.
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求の認可判定を行う認可装置と、を備え、
前記認可装置は、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備え、
前記認可判定手段は、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行うアクセス制御システム。 A service providing device for providing a service to a user;
An authorization device that performs authorization determination of an access request to the resource from the user from the service providing device, and
The authorization device is
Request accepting means for accepting an access request to the resource from the user from the service providing device;
In response to the access request, using a policy provisionally registered in advance, based on attribute information of the user and the resource, an authorization determination unit that determines whether to permit access to the resource;
Based on the determination result of the authorization determination means, confirm that there is no policy setting violation in the previously provisionally registered policy, and a registration means for registering the policy without the policy setting violation as a verified policy;
E Bei and a response means for returning the determination result to the service providing device of the authorization decision unit using the policy did not have the policy setting violation,
When there is a policy registered as the verified policy, the authorization determination means performs an authorization determination using the verified policy .
前記認可装置は、 The authorization device is
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する第1ポリシ作成手段をさらに備え、 Receiving a policy setting for access control to the resource, further comprising a first policy creating means for creating a first partial policy;
前記サービス提供装置は、 The service providing apparatus includes:
前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成する第2ポリシ作成手段を備え、 Receiving a policy setting for controlling access to the resource, and comprising a second policy creating means for creating a second partial policy;
前記認可装置の前記認可判定手段は、前記第1ポリシ作成手段が作成した前記第1部分ポリシと、前記第2ポリシ作成手段が作成した前記第2部分ポリシとを結合し、結合ポリシを前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御システム。 The authorization determination unit of the authorization device combines the first partial policy created by the first policy creation unit and the second partial policy created by the second policy creation unit, and creates a combined policy as the temporary policy. An access control system that performs the authorization determination using a registered policy.
前記認可判定手段が前記認可判定に用いたポリシにポリシ設定違反があると判定された場合、前記ポリシの再設定を行うポリシ再設定手段をさらに備え、
前記認可判定手段は、前記ポリシ再設定手段が再設定したポリシを前記仮登録されたポリシとして用いて前記認可判定に用い、前記認可判定に用いた前記ポリシにポリシ設定違反がないことを確認するまで、
前記ポリシ再設定手段は、前記ポリシの再設定を繰り返し、
前記認可判定手段は、前記ポリシ再設定手段が再設定したポリシを前記仮登録されたポリシとして用いて前記認可判定を繰り返すアクセス制御システム。 In the access control system according to any one of claims 1 to 4 ,
When it is determined that there is a policy setting violation in the policy used by the authorization determination unit, the policy determination unit further includes a policy resetting unit configured to reset the policy,
The authorization determination unit uses the policy reset by the policy resetting unit as the provisionally registered policy for the authorization determination, and confirms that the policy used for the authorization determination has no policy setting violation. Until,
The policy resetting means repeats the policy resetting,
The access control system in which the authorization determination unit repeats the authorization determination using the policy reset by the policy resetting unit as the temporarily registered policy.
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する部分ポリシ作成手段とを備え、
前記認可判定手段は、前記サービス提供装置が作成した前記リソースへのアクセス制御の第2部分ポリシと、前記第1部分ポリシと、を結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行う認可装置。 Request accepting means for accepting an access request to the resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy provisionally registered in advance, based on attribute information of the user and the resource, an authorization determination unit that determines whether to permit access to the resource;
Based on the determination result of the authorization determination means, confirm that there is no policy setting violation in the previously provisionally registered policy, and a registration means for registering the policy without the policy setting violation as a verified policy;
A response unit that returns the determination result of the authorization determination unit using a policy that has not been violated by the policy setting to the service providing device ;
A partial policy creating means for accepting a policy setting for access control to the resource and creating a first partial policy;
The authorization determination means uses the combined policy obtained by combining the second partial policy for access control to the resource created by the service providing apparatus and the first partial policy as the provisionally registered policy. An authorization device that makes authorization decisions .
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備え、
前記認可判定手段は、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行う認可装置。 Request accepting means for accepting an access request to the resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy provisionally registered in advance, based on attribute information of the user and the resource, an authorization determination unit that determines whether to permit access to the resource;
Based on the determination result of the authorization determination means, confirm that there is no policy setting violation in the previously provisionally registered policy, and a registration means for registering the policy without the policy setting violation as a verified policy;
Response means for returning the determination result of the authorization determination means using the policy without violation of the policy setting to the service providing device ,
When there is a policy registered as the verified policy, the authorization determination unit is configured to perform the authorization determination using the verified policy .
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付け、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行い、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、
前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録し、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信し、
さらに、
前記サービス提供装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し、
前記認可装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し、
前記認可装置が、作成された前記第1部分ポリシと、作成された前記第2部分ポリシとを結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御方法。 An authorization device that performs authorization judgment on access to resources
Accepting a request for access to a resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy temporarily registered in advance, based on attribute information of the user and the resource, performs an authorization determination as to whether or not to permit access to the resource,
Based on the determination result of the authorization determination, confirm that there is no policy setting violation in the previously provisionally registered policy,
Register the policy that did not violate the policy setting as a verified policy,
The determination result of the authorization determination using the policy that did not violate the policy setting is returned to the service providing device ,
further,
The service providing apparatus accepts a policy setting for access control to the resource, creates a first partial policy,
The authorization device accepts a policy setting for access control to the resource, creates a second partial policy,
An access control method in which the authorization device performs the authorization judgment by using a combined policy obtained by combining the created first partial policy and the created second partial policy as the temporarily registered policy .
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付け、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行い、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、
前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録し、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信し、
さらに、前記認可装置が、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行うアクセス制御方法。 An authorization device that performs authorization judgment on access to resources
Accepting a request for access to a resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy temporarily registered in advance, based on attribute information of the user and the resource, performs an authorization determination as to whether or not to permit access to the resource,
Based on the determination result of the authorization determination, confirm that there is no policy setting violation in the previously provisionally registered policy,
Register the policy that did not violate the policy setting as a verified policy,
The determination result of the authorization determination using the policy that did not violate the policy setting is returned to the service providing device ,
Furthermore, when the authorization device has a policy registered as the verified policy, the access control method performs the authorization determination using the verified policy .
前記ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける手順、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う手順、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信する手順、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する手順、
前記サービス提供装置が作成した前記リソースへのアクセス制御の第2部分ポリシと、前記第1部分ポリシと、を結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行う手順、を実行させるためのプログラム。 In the computer for realizing the authorization device that performs authorization judgment of the access request to the resource from the user,
A procedure for receiving an access request to the resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy provisionally registered in advance, a procedure for determining whether to permit access to the resource based on attribute information of the user and the resource,
A procedure for confirming that there is no policy setting violation in the preliminarily registered policy based on the determination result of the authorization determination, and registering the policy without the policy setting violation as a verified policy,
A procedure for returning the determination result of the authorization determination using the policy without the policy setting violation to the service providing apparatus ;
A procedure for accepting setting of a policy for controlling access to the resource and creating a first partial policy;
A procedure for performing the authorization determination by using a combined policy obtained by combining the second partial policy for controlling access to the resource created by the service providing apparatus and the first partial policy as the temporarily registered policy; A program for running
前記ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける手順、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う手順、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信する手順、
前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行う手順、を実行させるためのプログラム。 In the computer for realizing the authorization device that performs authorization judgment of the access request to the resource from the user,
A procedure for receiving an access request to the resource from the user from a service providing apparatus that provides a service to the user;
In response to the access request, using a policy provisionally registered in advance, a procedure for determining whether to permit access to the resource based on attribute information of the user and the resource,
A procedure for confirming that there is no policy setting violation in the preliminarily registered policy based on the determination result of the authorization determination, and registering the policy without the policy setting violation as a verified policy,
A procedure for returning the determination result of the authorization determination using the policy without the policy setting violation to the service providing apparatus ;
When there is a policy registered as the verified policy, a program for executing a procedure for performing the authorization determination using the verified policy .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011071555A JP5708131B2 (en) | 2011-03-29 | 2011-03-29 | ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, AUTHENTICATION DEVICE AND ITS PROGRAM, AND SERVICE PROVIDING DEVICE |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011071555A JP5708131B2 (en) | 2011-03-29 | 2011-03-29 | ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, AUTHENTICATION DEVICE AND ITS PROGRAM, AND SERVICE PROVIDING DEVICE |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012208554A JP2012208554A (en) | 2012-10-25 |
JP5708131B2 true JP5708131B2 (en) | 2015-04-30 |
Family
ID=47188265
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011071555A Active JP5708131B2 (en) | 2011-03-29 | 2011-03-29 | ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, AUTHENTICATION DEVICE AND ITS PROGRAM, AND SERVICE PROVIDING DEVICE |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5708131B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101930941B1 (en) * | 2016-07-19 | 2018-12-20 | 주식회사 안랩 | Apparatus and method for managing security of client terminal |
KR102645248B1 (en) | 2019-08-13 | 2024-03-11 | 에이디아이 어소시에이션 | Integrated authentication system for distributed identity platforms |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7606801B2 (en) * | 2005-06-07 | 2009-10-20 | Varonis Inc. | Automatic management of storage access control |
JP5348143B2 (en) * | 2008-12-08 | 2013-11-20 | 日本電気株式会社 | Personal information exchange system, personal information providing apparatus, data processing method thereof, and computer program thereof |
JP4911789B2 (en) * | 2009-02-24 | 2012-04-04 | Necシステムテクノロジー株式会社 | Dynamic combination method of operation setting file, dynamic combination system of operation setting file and program thereof |
-
2011
- 2011-03-29 JP JP2011071555A patent/JP5708131B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012208554A (en) | 2012-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5197843B1 (en) | Authentication linkage system and ID provider device | |
CN111783067B (en) | Automatic login method and device between multiple network stations | |
US11706218B2 (en) | Systems and methods for controlling sign-on to web applications | |
JP5814639B2 (en) | Cloud system, cloud service license management method, and program | |
JP5509334B2 (en) | Method for managing access to protected resources in a computer network, and physical entity and computer program therefor | |
JP6166596B2 (en) | Authorization server system, control method therefor, and program | |
JP5348143B2 (en) | Personal information exchange system, personal information providing apparatus, data processing method thereof, and computer program thereof | |
KR101752082B1 (en) | Development-environment system, development-environment device, and development-environment provision method and computer readable medium recording program | |
JP2008015936A (en) | Service system and service system control method | |
CN104255007A (en) | Oauth framework | |
JP5422753B1 (en) | Policy management system, ID provider system, and policy evaluation apparatus | |
JP2004164600A (en) | Method and system for applying consent policy of online identity | |
US20170187705A1 (en) | Method of controlling access to business cloud service | |
JP5708131B2 (en) | ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, AUTHENTICATION DEVICE AND ITS PROGRAM, AND SERVICE PROVIDING DEVICE | |
US7072969B2 (en) | Information processing system | |
JP4879364B2 (en) | Information processing apparatus, information processing method, and computer program | |
JP5362125B1 (en) | Policy update system and policy update device | |
JP2000172646A (en) | Application function designating device and storage medium | |
JP4738447B2 (en) | Information processing apparatus, information processing method, and computer program | |
JP2004110335A (en) | Access control system | |
JPH0779243A (en) | Network connection device and network connection method | |
JP4874386B2 (en) | Information processing apparatus, information processing method, and computer program | |
JP2011138229A (en) | Apparatus and method for processing information, and computer program | |
CN116405266B (en) | Trust assessment method and system based on zero trust alliance system | |
JP4874385B2 (en) | Information processing apparatus, information processing method, and computer program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140210 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140926 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140930 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141126 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150203 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150216 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5708131 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |