CN105637542B - 信息处理装置及信息处理方法 - Google Patents
信息处理装置及信息处理方法 Download PDFInfo
- Publication number
- CN105637542B CN105637542B CN201480057103.XA CN201480057103A CN105637542B CN 105637542 B CN105637542 B CN 105637542B CN 201480057103 A CN201480057103 A CN 201480057103A CN 105637542 B CN105637542 B CN 105637542B
- Authority
- CN
- China
- Prior art keywords
- access
- information
- item
- access information
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
Abstract
本申请涉及信息处理装置及信息处理方法,在将访问请求与访问策略相互比较的过程中,即使在访问请求不完全匹配访问策略的情况下,该信息处理装置也通过使用本体和时限规则而进行的推理,来将失配项转换成匹配项。该信息处理装置的比较装置将具有指示预定访问策略的图形结构的第一访问信息与具有指示由用户访问对象的访问请求的图形结构的第二访问信息进行比较。在作为由比较装置进行的比较的结果,第一访问信息的项和第二访问信息中的项中的某些彼此不匹配的情况下,转换装置使用第一访问信息和第二访问信息的本体和时限规则,来对失匹配项进行推理,以将该项转换成匹配项。
Description
技术领域
本发明涉及信息处理装置、信息处理程序、存储介质、以及信息处理方法。
背景技术
PTL 1描述了如下组织资产数据库,该组织资产数据库包含完整的、最新的、安全的、以及易于访问的组织的资产的财产清单,从而提供用于管理和实施公司级策略的系统和方法,其中,将每笔资产映射到表示组织的组织层级的结构中,该组织的组织层级构成了每笔资产的多个可计算性级别;每笔资产起到与组织资产数据库中的其它资产有关的一个或多个作用,并且具有与组织资产数据库中的其它资产有关的一项或多项权利(entitlement);并且资产之间的关系确保了组织资产数据库是完整和最新的,并允许轻松滤除和检索组织资产数据库中所包含的信息。
PTL 2旨在提供如下技术,该技术用于适当处理相关策略,即使用于传递信息的多项策略具有层次结构,其中,当存在与呈诸如整个公司与指定部门,或整个相关部分与单个相关部分这样的层次关系的对象分别相对应的策略时,对象之间的层次关系事先相关联;并且在与策略相对应的对象的基础上,针对与诸如指定部门或单个相关部分这样的任意对象相对应的策略,识别出呈层次关系的高阶对象,并且判断是否存在策略与相应策略之间的任何差异,并将其输出。
现有技术文献
专利文献
PTL 1:日本未审查专利申请公开号2011-048843
PTL 2:日本未审查专利申请公开号2012-108629
发明内容
发明要解决的问题
本发明的目的是提供信息处理装置和信息处理程序,在将访问请求与访问策略相互比较的过程中,即使在访问请求并不完全匹配访问策略的情况下,通过使用本体和时限规则而进行的推理,来将失配项转换成匹配项。
解决问题的手段
为了实现上述目的,本发明的主旨在于发明的如下各项:
本发明的权利要求1提供了信息处理装置,该信息处理装置包括:比较装置,该比较装置将具有指示预定访问策略的图形结构的第一访问信息与具有指示由用户访问对象的访问请求的图形结构的第二访问信息进行比较;以及转换装置,在作为由比较装置进行的比较的结果,第一访问信息中的项和第二访问信息中的项中的某些彼此不匹配的情况下,转换装置使用第一访问信息和第二访问信息的本体和时限规则,来对失配项进行推理,以将此项转换成匹配项。
本发明的权利要求2提供了根据权利要求1所述的信息处理装置,该信息处理装置还包括:许可装置,在作为由比较装置进行的比较的结果,第一访问信息中的项和第二访问信息中的项彼此匹配的情况下,许可装置用于许可访问请求。
本发明的权利要求3提供了根据权利要求1或2所述的信息处理装置,该信息处理装置还包括:追加装置,在作为由比较装置进行的比较的结果,第一访问信息中的项和第二访问信息中的项彼此完全不匹配的情况下,追加装置用于将预定条件追加到访问请求。
本发明的权利要求4提供了根据权利要求3所述的信息处理装置,其中,在没有发现匹配项作为进行推理的结果的情况下,转换装置使得追加装置执行处理。
本发明的权利要求5提供了信息处理程序,该信息处理程序使得计算机用作如下装置:比较装置,该比较装置将具有指示预定访问策略的图形结构的第一访问信息与具有指示由用户访问对象的访问请求的图形结构的第二访问信息进行比较;以及转换装置,在作为由比较装置进行的比较的结果,第一访问信息中的项和第二访问信息中的项中的某些彼此不匹配的情况下,转换装置使用第一访问信息和第二访问信息的本体和时限规则,来对失配项进行推理,以将此项转换成匹配项。
本发明的权利要求6提供了存储介质,该存储介质存储信息处理程序,该信息处理程序使得计算机用作如下装置:比较装置,该比较装置用于将具有指示预定访问策略的图形结构的第一访问信息与具有指示由用户访问对象的访问请求的图形结构的第二访问信息进行比较;以及转换装置,在作为由比较装置进行的比较的结果,第一访问信息中的项和第二访问信息中的项中的某些彼此并不匹配的情况下,转换装置使用第一访问信息和第二访问信息的本体和时限规则,来对失配项进行推理,以将此项转换成匹配项。
本发明的权利要求7提供了信息处理方法,该信息处理方法包括如下步骤:将具有指示预定访问策略的图形结构的第一访问信息与具有指示由用户访问对象的访问请求的图形结构的第二访问信息进行比较;并且在作为由比较装置进行的比较的结果,第一访问信息中的项和第二访问信息中的项中的某些彼此并不匹配的情况下,使用第一访问信息和第二访问信息的本体和时限规则,来对失配项进行推理,以将此项转换成匹配项。
发明的效果
对于根据权利要求1所述的信息处理装置、权利要求6所述的存储介质、以及权利要求7所述的信息处理程序,在将访问请求与访问策略相互比较的过程中,即使在访问请求并不完全匹配访问策略的情况下,通过使用本体和时限规则进行的推理,能够将失配项转换成匹配项。
对于根据权利要求2所述的信息处理装置,在访问请求中的项与访问策略中的项彼此匹配的情况下,能够许可访问请求。
对于根据权利要求3所述的信息处理装置,在访问请求中的项与访问策略中的项彼此完全不匹配的情况下,能够向访问请求追加预定条件。
对于根据权利要求4所述的信息处理装置,在没有发现匹配项作为进行推理的结果的情况下,能够使得追加装置执行处理。
对于根据权利要求5所述的信息处理装置,在将访问请求与访问策略相互比较的过程中,即使在访问请求并不完全匹配访问策略的情况下,通过使用本体和时限规则而执行的推理,能够将失配项转换成匹配项。
附图说明
图1是例示了示例性实施方式的构造示例的概念模块构造图。
图2例示了用于实施示例性实施方式的系统构造示例。
图3是例示了根据示例性实施方式的处理示例的流程图。
图4例示了访问控制数据(用于通用目的)的数据结构的示例。
图5例示了访问控制数据(专用于请求)的数据结构的示例。
图6例示了访问控制数据(专用于策略)的数据结构的示例。
图7例示了访问控制数据(专用于结果)的数据结构的示例。
图8例示了根据示例性实施方式的处理示例。
图9例示了根据示例性实施方式的处理示例。
图10是例示了实施示例性实施方式的计算机的硬件构造的示例的框图。
具体实施方式
在描述示例性实施方式之前,将描述基础技术。为了便于理解该示例性实施方式,进行了描述。
随着组织壮大,信息的流动受阻,因为组织在结构上变得复杂,且组织的部门准备并保存其操作所需的信息。在很多情况下,为了保存部门所需的信息,部门保存单独的定制数据库。在一部门需要来自另一部门的信息的情况下,通常必须许可该部门访问其他部门的数据库。此外,检索数据可能是旧的。
此外,大公司遵守需要整个公司遵从的国内和国际法律。为了满足该要求,必须及时地收集公司所有部门的信息。
在将准备整个组织的报告的情况下,然而,需要基于单独部门所拥有的访问策略,来获得许可。
下面将参照附图来描述用于实施本发明的优选示例性实施方式。
图1是例示了示例性实施方式的构造示例的概念性模块构造图。
术语“模块”通常是指诸如逻辑上可相互分离的软件(计算机程序)和硬件这样的部件。因此,示例性实施方式中的模块不仅包括基于计算机程序的模块,而且包括基于硬件部件的模块。因此,示例性实施方式还描述了用于使得计算机用作这种模块的计算机程序(用于使得计算机执行该过程的程序、用于使得计算机用作该装置的程序、以及用于使得计算机实施该功能的程序)、系统、以及方法。然而,应当注意的是,为了描述的方便,使用了语言“存储”和“使得…存储”以及等效语言。然而,在示例性实施方式描述了计算机程序的情况下,该语言是指“使得存储设备存储”或“执行控制,从而使得存储设备存储”。此外,模块可以与功能一一对应。然而,在实施过程中,一个模块可以由一个程序构成,多个模块可以由一个程序构成,或者相反地,一个模块可以由多个程序构成。此外,可以由一个计算机执行多个模块,或者一个模块可以由多个分布或并行的计算机执行。一个模块可以包括另一模块。在如下描述中,此外,术语“连接”用于不仅指示物理连接而且指示逻辑连接(用于数据交换、指令、数据参考等)。术语“预定”是指在目标处理之前已经被确定的限定词,并且可以用于指在目标处理之前甚至在开始根据示例性实施方式的处理之后,更不用说在开始根据示例性实施方式的处理之前,根据当时的情形或状态,或过去的情形或状态,来确定的限定词。在存在多个“预定值”的情况下,该值可能彼此不同,或者两个以上(实际上,或者全部)的该值可能彼此相同。此外,措辞“在A,然后B的情况下”用于指“确定了是否A,且在确定了A,然后B的情况下”。然而,应当注意的是,排除了不必确定是否A的情况。
此外,该系统或设备可以由诸如网络(包括一对一通信连接)这样的通信装置所连接的多个计算机、硬件、设备等构成,或者可以由一个计算机、硬件、设备等实施。术语“设备”和“系统”用作彼此的同义词。实际上,术语“系统”并不仅仅包括是人为布置的社会“制度”(社会系统)。
此外,在由各模块执行的各处理之后,或者在模块中执行的多个处理中的各个处理之后,从存储设备中读取目标信息,并在执行处理之后将处理结果写入到目标设备中。因此,可能没有描述在处理之前从存储设备中读取和在处理之后写入到存储设备中。存储设备的示例可以包括:硬盘、RAM(随机存取存储器)、外部存储介质、经由通信线路的存储设备、以及CPU(中央处理单元)中的寄存器。
根据示例性实施方式的信息处理装置100实施了访问控制技术,并且具体地执行了将访问请求与访问策略相互比较的处理。如图1的示例所示,信息处理装置100包括:访问策略接收模块110、访问请求接收模块120、比较模块130、访问许可模块140、义务信息追加模块150、默认义务信息追加模块160、以及转换模块170。例如,信息处理装置100用于包括ERP(企业资源规划)和SCM(供应链管理)的整个内部信息的访问控制。更具体地,信息处理装置100用于生成和再利用设计、开发、生产、规划、销售等的内部信息。信息处理装置100涉及所谓的PLM(产品生命周期管理)系统。
在示例性实施方式中,目标信息(要访问的数据或内容)的示例包括:
编号的图纸、部件、以及技术标准文件(根据相关技术由PLM涵盖);
诸如法律、法规及标准这样的官方文件;
在规划阶段和设计阶段制备的诸如技术规范、设计、部件、数据及设计评述这样的未编号的文件(根据相关技术未由PLM涵盖);
公司内生成的M2M传感器数据(诸如组件图像、通过RFID获取的SCM相关信息、条形码等,以及产品POS信息)。
访问策略接收模块110连接到比较模块130。访问策略接收模块110接收具有指示预定访问策略的图形结构的第一访问信息。例如,访问策略接收模块110经由通信线路从外部设备接收第一访问信息,读取信息处理装置100中的存储设备中的第一访问信息,并通过由操作者使用键盘等执行的操作来接收第一访问信息。可以针对各部门确定第一访问信息,并且第一访问信息可以包括例如用于访问由部门管理的信息的条件。例如,该条件向部门所属人员提供自准备起一年的访问期限。
访问请求接收模块120连接到比较模块130。访问请求接收模块120接收具有指示由用户访问目标的访问请求的图形结构的第二访问信息。例如,访问请求接收模块120经由通信线路从外部设备接收第二访问信息,从信息处理装置100中的存储设备中读取第二访问信息,并通过由用户使用键盘等执行的操作来接收第二访问信息。第二访问信息的示例包括由用户准备的搜索公式。第二访问信息还包括用于与第一访问信息进行比较的属性信息(诸如与用户有关的识别信息、用户所属的部门、以及访问的日期和时间)。
第一访问信息还称为“访问控制策略信息”,并由例如信息处理装置100处理。当用户访问内容时生成了第二访问信息,且第二访问信息还称为“访问控制请求信息”。比较模块130将访问控制策略信息和访问控制请求信息相互比较,以决定是否可以使用目标。
比较模块130连接到访问策略接收模块110、访问请求接收模块120、访问许可模块140、义务信息追加模块150、默认义务信息追加模块160、以及转换模块170。比较模块130将由访问策略接收模块110接收到的第一访问信息与由访问请求接收模块120接收到的第二访问信息相互比较。例如,比较模块130对应于在后文将要讨论的图3所示的步骤S306(不含步骤S310、S326、S332、及S324)之中和之后的处理。
通过例如已经由指示结构的标签(索引)标记的第一访问信息和第二访问信息之间匹配的图案,来执行由比较模块130执行的比较处理。
访问许可模块140连接到比较模块130。在作为由比较模块130进行的比较的结果,第一访问信息中的项和第二访问信息中的项彼此匹配的情况下,访问许可模块140许可访问请求。例如,访问许可模块140对应于后文将要讨论的图3所示的步骤S310中的处理。“在第一访问信息中的项和第二访问信息中的项彼此匹配的情况下”多条信息呈等效关系。
义务信息追加模块150连接到比较模块130。在作为由比较模块130进行的比较的结果,第一访问信息中的项和第二访问信息中的项彼此根本不匹配的情况下,义务信息追加模块150将预定条件追加到访问请求。例如,义务信息追加模块150对应于后文将要讨论的图3所示的步骤S332中的处理。“在第一访问信息中的项和第二访问信息中的项彼此根本不匹配的情况下”多条信息呈完全失配关系。
默认义务信息追加模块160连接到比较模块130。在作为由比较模块130进行的比较的结果,第一访问信息中的项和第二访问信息中的项中的某些彼此不匹配的情况下,默认义务信息追加模块160使用第一访问信息和第二访问信息的本体(ontology)和时限规则,来对失配项进行推理,并且在没有匹配项时,将预定条件追加到访问请求。例如,默认义务信息追加模块160对应于后文将要讨论的图3所示的步骤S326中的处理。
转换模块170连接到比较模块130。在作为由比较模块130进行的比较的结果,第一访问信息中的项和第二访问信息中的项中的某些彼此不匹配的情况下,转换模块170使用第一访问信息和第二访问信息的本体和时限规则,来对失配项进行推理,以将该项转换成匹配项。这里,本体(概念系统)是作为某个域内一组概念以及该概念之间的关系的知识的正式表达。例如,转换模块170对应于后文将要讨论的图3所示的步骤S324中的处理。“在第一访问信息中的项和第二访问信息中的项中的某些彼此并不匹配的情况下”多条信息呈“部分重叠”或“包括”关系。
在转换模块170进行推理以找出不匹配项的情况下,同时,义务信息追加模块150或默认义务信息追加模块160执行条件追加处理。
由比较模块130执行的比较处理使用:如下本体,在该本体中,在语义上写下策略、访问控制、以及组织构造;和如下时限规则,在该时限规则中,在语义上写下策略、访问控制、以及组织结构。判断了策略呈“等效的”、“完全失配”、“部分重叠”、以及“包括”关系中的哪种。
在策略呈完全失配关系的情况下,自动地生成所需策略。
在策略呈“部分重叠”或“包括”关系的情况下,根据针对各策略属性所规定的优先级顺序,通过将策略属性与高序的优先级进行组合,来产生策略。
策略结构表示为如下访问控制信息,该访问控制信息针对在整个内容(受控对象)上、用户(控制主体)所有的访问控制。通过将控制主体信息和主体属性信息、控制对象信息和对象属性信息、控制权利信息和权利授予主体信息、与控制期间主体的义务有关的信息、以及环境条件信息进行组合,来构成访问控制信息。在后文中,将使用图4至图7的示例,来讨论访问控制信息。
图2例示了用于实施示例性实施方式的系统构造示例。
Aaa部分(组织)210具有Aaa DB 212和Aaa终端214。Bbb部分(组织)220具有Bbb DB222和Bbb终端224。Ccc部分(组织)230具有Ccc DB 232和Ccc终端234。Ddd部分(组织)240具有Ddd DB 242和Ddd终端244。信息处理装置100、Aaa DB 212、Aaa终端214、Bbb DB 222、Bbb终端224、Ccc DB 232、Ccc终端234、Ddd DB 242、以及Ddd终端244经由通信线路299相互连接。
例如,在Aaa终端214的用户执行搜索操作,以试图访问Bbb部分(组织)220中的BbbDB 222中的信息的情况下,判断了搜索信息(第二访问信息)是否匹配由Bbb部分(组织)220预先确定的访问策略(第一访问信息)。在两条信息呈完全匹配关系的情况下,允许访问。在两条信息呈完全失配关系的情况下,施加了根据访问策略预定的条件。在两条信息呈部分重叠或包括关系的情况下,使用第一访问信息和第二访问信息的本体和时限规则,来进行推理,以将失配项转换成匹配项。
图3是例示了根据示例性实施方式的处理示例的流程图。
在步骤S302中,访问策略接收模块110接收访问接收策略信息。
在步骤S304中,访问请求接收模块120接收访问控制请求信息。
在步骤S306中,比较模块130将具有相同索引的部分进行比较。即,如图4至图7的示例所示,访问控制策略信息和访问控制请求信息具有图形结构,并由作为索引的标签来指示图形结构的项。例如,访问控制策略信息可以是图6的示例所示的数据,并且访问控制请求信息可以是图5的示例所示的数据。
在步骤S308中,比较模块130判断是否所有项彼此匹配。在所有项彼此匹配的情况下,处理进行到步骤S310,否则,处理进行到步骤S312。
在步骤S310中,访问许可模块140将访问控制属性信息(访问控制请求属性信息528)从“请求”转换成“结果”。例如,转换后的数据可以是图7的示例所示的数据。
在步骤S312中,比较模块130判断是否部分项彼此匹配。在部分项彼此匹配的情况下,处理进行到步骤S314,否则(在项彼此完全失配的情况下),处理进行到步骤S326。
在步骤S314中,比较模块130提取失配项。提取出失配索引。
在步骤S316中,比较模块130使用来自本体和规则信息的推理引擎,来提取匹配项。
在步骤S318中,比较模块130判断是否存在匹配项。在存在匹配项的情况下,处理进行到步骤S320,否则,处理进行到步骤S328。
在步骤S320中,比较模块130判断是否存在多个匹配项。在存在多个匹配项的情况下,处理进行到步骤S322,否则,处理进行到步骤S324。
在步骤S322中,比较模块130选择由本体限定的最上位概念的项或最上位概念的规则。
在步骤S324中,转换模块170将步骤S314中提取出的失配项转换成步骤S316中提取出的匹配项,并进而将访问控制属性信息(访问控制请求属性信息528)从“请求”转换成“结果”。
在步骤S326中,默认义务信息追加模块160将访问控制属性信息(访问控制请求属性信息528)从“请求”转换成“结果”,并追加“默认义务信息”。这里,默认义务信息是从作为比较目标的访问控制策略信息生成的预定条件。例如,默认义务信息可以是访问控制策略信息本身。
在步骤S328中,比较模块130参照访问控制义务信息。
在步骤S330中,比较模块130判断了是否可应用。如果可应用的话,处理进行到步骤S332,否则,处理进行到步骤S326。
在步骤S332中,义务信息追加模块150将访问控制属性信息(访问控制请求属性信息528)从“请求”转换成“结果”,并追加“义务信息”。
图4例示了访问控制数据(用于通用目的)的数据结构的示例。
作为示例,这里作为策略数据的访问控制信息420由访问控制主体信息410、访问控制条件信息422、访问控制权利条件424、访问控制义务条件426、访问控制属性信息428、以及访问控制对象信息440构成。进而,访问控制主体信息410包括访问控制主体属性信息412,访问控制条件信息422包括访问控制条件属性信息432,访问控制权利条件424包括访问控制权利属性信息434,访问控制义务条件426包括访问控制义务属性条件436,并且访问控制对象信息440包括访问控制对象属性信息442。
通过在访问控制属性信息428中写下“请求”、“策略”、以及“结果”中的任一个,分别得到了图5的示例所示的访问控制数据(专用于请求)的数据结构、图6的示例所示的访问控制数据(专用于策略)的数据结构、以及图7的示例所示的访问控制数据(专用于结果)的数据结构。通过由用户等命令的搜索,来生成图5的示例所示的访问控制数据。已经预先设定或存储了图6的示例所示的策略数据。进而,可以使用不同的组织体系中限定的访问控制规则和限定组织的本体,来生成数据。生成了图7的示例所示的访问控制数据,作为图5的示例所示的访问控制数据和图6的示例所示的访问控制数据之间的比较结果。
以RDF(资源描述框架)、XML(可延伸标记语言)等写下这种访问控制数据。
利用用户名称、用户ID(标识)、用户URI(统一资源标识符)等来写入访问控制主体信息410。
利用用户的作用、所属、访问的位置、访问的日期和时间、访问的终端等,来写入访问控制主体属性信息412。
利用事先设置的ID编号、内容名称、内容URI等,来描述访问控制对象信息440。
利用内容的作用、内容的含义、内容中的编排信息、内容的生成时间信息、与内容有关的变更信息、与内容有关的关系信息、与内容的权利持有者有关的信息、与内容有关的机密性级别信息等,来写入访问控制对象属性信息442。
访问控制条件信息422描述了访问控制期间所需的环境条件。具体地讲,访问控制条件信息422描述了与诸如上下文信息等这样的环境有关的属性信息。
利用用户在内容上的动作来写下访问控制权利条件424。具体示例包括:阅读内容、写入内容、签下内容、加密内容、以及仅查看部分内容。
利用访问控制期间强加给用户的义务,来写入访问控制义务条件426。强加给用户的义务应当由用户在访问控制期间执行,并且可以从控制权限授予主体处获取许可。
此外,还可以包括控制权利授予主体信息。利用对内容授予控制权利的主体,来写下控制权利授予主体信息。具体示例包括:用户名称、用户ID、用户URI、授予控制权限的日期、授予控制权限的位置、以及权限期限。
使用本体和规则来构造这种访问控制数据。通过语义上写下策略、访问控制、以及组织构造,来获得本体。具体地讲,以RDF格式表达本体。同时,通过语义上写下策略、访问控制、以及组织结构,来获得规则。具体地讲,以RDF格式表达规则。
图8例示了根据示例性实施方式的处理示例。
如图8的示例所示,请求810中的访问请求812由对象814、条件816、日期818、主体820、以及动作822构成。用户已经发送了作为访问控制请求的访问请求812(作为搜索请求),并且该访问请求812由访问请求接收模块120从Aaa终端214等中接收到。
策略组830包括:包括访问策略1 832和访问策略2 852的访问策略。如图8的示例所示,访问策略1 832由对象834、条件836、日期838、主体840、属性842、属性844、以及动作846构成。如图8的示例所示,访问策略2 852由对象854、条件856、日期858、主体860、属性862、属性864、以及动作866构成。访问策略1 832和访问策略2 852是访问Aaa DB 212、BbbDB 222、Ccc DB 232、以及Ddd DB 242的数据储存库中的数据的访问策略。
由访问策略接收模块110从Aaa DB 212等中接收到访问策略1 832和访问策略2852。可以接收到访问策略的应用规则(企业访问策略规则(诸如策略的优先级和应用的期限))。
这里,当接收到请求810中的访问请求812时,将访问请求812与访问策略1 832相互比较。此时,收集到了与发送访问请求812的用户有关的属性信息。然后,使用由利用用户属性信息、访问策略(访问策略1 832和访问策略2 852)、以及访问策略的应用规则的序言等构成的推理引擎,来生成并确定单个访问策略。因此,生成了结果880中的访问请求882。如图8的示例所示,访问请求882由对象884、条件886、有效期888、主体890、属性892、动作894、以及结果896构成。
将访问请求812的日期818和访问策略1 832的日期838相互比较,以生成有效期888。然后,访问请求812的主体820并没有访问策略1 832的属性842和属性844的对应物,并因此已经生成了属性892。然后,因此,生成了结果896。即,推理功能用于估计尚未明确限定访问控制的元素(访问请求812并没有属性842和属性844的对应物),并限定属性892。
然后,在判断结果的基础上执行了用户访问控制。在否定了访问的情况下,存在访问所需的条件。
图9例示了根据示例性实施方式的处理示例。
在文件夹构造显示区域900中例示了Aaa DB 212等中存储的数据的文档结构。在用户试图访问文件夹(可访问的)914、文件夹(可访问的)912、文件夹(可访问的)910、文件夹(可访问的)908、文件夹(可访问的)902(例如,在用户点击数据(不可访问的)922的情况下)中的数据的情况下,显示了访问限制显示区域950。仅显示了由比较模块130判断为不可访问的数据的项。此外,可以变更诸如颜色和形状这样的图标形式,以指示数据是不可访问的。
在数据是不可访问的情况下,由义务信息追加模块150、默认义务信息追加模块160、以及转换模块170执行处理。
作为这种处理的结果,在访问限制显示区域950中显示了“由采购部限制数据的访问。如下人员被允许访问数据:(1)×××、(2)○○○、及(3)△△△。你愿意申请访问许可?”的消息。该消息指示访问作为上面讨论的推理结果所得数据的条件。
在没有与访问请求相对应的访问策略的情况下,可以显示尚未设定访问策略的指示。
如图10所示,作为示例性实施方式的、执行程序的计算机的硬件构造是通用计算机,具体地讲,可以作为个人计算机、服务器等的计算机。即,作为具体示例,该计算机包括:作为处理部分(计算部分)的CPU 1001、和RAM 1002、ROM 1003、以及作为存储设备的HD1004。HD 1004可以是例如硬盘驱动器。计算机由如下部件组成:CPU 1001,该CPU 1001执行诸如访问策略接收模块110、访问请求接收模块120、比较模块130、访问许可模块140、义务信息追加模块150、默认义务信息追加模块160、以及转换模块170这样的程序;存储程序和数据的RAM 1002;存储用于启动计算机等的程序的ROM 1003;作为辅助存储设备(其可以是闪存等)的HD 1004;在由用户在键盘、鼠标、触摸板等上执行的操作的基础上接收数据的接收设备1006;诸如CRT和液晶显示器这样的输出设备1005;用于与诸如网络接口卡这样的通信网络连接的通信线路接口1007;以及连接用于数据交换的这种部件的总线1008。可以通过网络将多个计算机相互连接。
通过使得上述硬件构造的系统读取作为软件的计算机程序,并使得软件和硬件资源相互配合,来实施由计算机程序实施的上述示例性实施方式。
图10所示的硬件构造指示一个构造示例。该示例性实施方式不限于图10所示的构造,并且可以具有可以执行参照示例性实施方式描述的模块的任何构造。例如,部分模块可以由专用硬件(例如,诸如ASIC)构成,部分模块可以设置在外部系统中并通过通信线路进行连接,进而,图10所示的多个系统可以通过通信线路彼此连接,以相互配合。此外,具体地,系统不仅可以并入到个人计算机,还可以并入到信息装置、复印机、传真机、扫描仪、打印机、多功能机器(具有扫描仪、打印机、复印机、传真机等中的两个以上的功能的图像处理设备)等。
可以将上述程序设置为存储在存储介质中,或者程序可以由通信装置提供。此时,上述程序可以被视为例如“存储程序的计算机可读存储介质”的发明。
术语“存储程序的计算机可读存储介质”是指存储程序并用于安装、执行并分配程序的计算机可读存储介质。
存储介质的示例包括:符合由DVD论坛规定的标准的数字多功能盘(DVD)“DVD-R、DVD-RW、DVD-RAM等”,符合由DVD+RW联盟规定的标准的DVD“DVD+R、DVD+RW等”,诸如只读存储器(CD-ROM)、CD可记录的(CD-R)、和CD可擦写的(CD-RW)、蓝光(注册商标)盘、磁-光(MO)盘、软盘(FD)、磁带、硬盘、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM(注册商标))、闪存、随机存取存储器(RAM)、以及SD(安全数字)存储卡这样的光盘(CD)。
上述程序或其一部分可以被保存、分配等,如存储在存储介质中。此外,可以使用诸如有线网络、无线通信网络、或用作局域网(LAN)、城域网(MAN)、广域网(WAN)、因特网、内联网、外联网的其组合等这样的传送介质,通过通信来传递,或者可以通过载波来传送该程序或其一部分。
另外,上述程序可以是其它程序的一部分,或者可以连同其它程序存储在存储介质中。另选地,程序可以存储在多个存储介质中(如划分)。此外,可以以任何形式压缩、加密或存储程序,只要程序可以恢复。
附图标记说明
100 信息处理装置
110 访问策略接收模块
120 访问请求接收模块
130 比较模块
140 访问许可模块
150 义务信息追加模块
160 默认义务信息追加模块
170 转换模块
Claims (5)
1.一种信息处理装置,所述信息处理装置包括:
比较装置,所述比较装置将具有指示预定访问策略的图形结构的第一访问信息与具有指示由用户访问对象的访问请求的图形结构的第二访问信息进行比较;以及
转换装置,在作为由所述比较装置进行的比较的结果,所述第一访问信息中的项和所述第二访问信息中的项中的某些彼此不匹配的情况下,所述转换装置使用所述第一访问信息和所述第二访问信息的本体和时限规则,来对失配项进行推理,以将该项转换成匹配项,其中,在存在多个匹配项的情况下,所述比较装置选择最上位概念中由本体或规则限定的最上位概念项。
2.根据权利要求1所述的信息处理装置,所述信息处理装置还包括:
许可装置,在作为由所述比较装置进行的比较的结果,所述第一访问信息中的项和所述第二访问信息中的项彼此匹配的情况下,所述许可装置许可所述访问请求。
3.根据权利要求1或2所述的信息处理装置,所述信息处理装置还包括:
追加装置,在作为由所述比较装置进行的比较的结果,所述第一访问信息中的项和所述第二访问信息中的项彼此完全不匹配的情况下,所述追加装置将预定条件追加到所述访问请求。
4.根据权利要求3所述的信息处理装置,
其中,在没有发现匹配项作为进行所述推理的结果的情况下,所述转换装置使得所述追加装置执行处理。
5.一种信息处理方法,所述信息处理方法包括如下步骤:
将具有指示预定访问策略的图形结构的第一访问信息与具有指示由用户访问对象的访问请求的图形结构的第二访问信息进行比较;以及
在作为由比较装置进行的比较的结果,所述第一访问信息中的项和所述第二访问信息中的项中的某些彼此不匹配的情况下,使用所述第一访问信息和所述第二访问信息的本体和时限规则,来对失配项进行推理,以将该项转换成匹配项,其中,在存在多个匹配项的情况下,选择最上位概念中由本体或规则限定的最上位概念项。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014000763A JP6260283B2 (ja) | 2014-01-07 | 2014-01-07 | 情報処理装置及び情報処理プログラム |
| JP2014-000763 | 2014-01-07 | ||
| PCT/JP2014/074990 WO2015104873A1 (ja) | 2014-01-07 | 2014-09-22 | 情報処理装置、情報処理プログラム、記憶媒体及び情報処理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105637542A CN105637542A (zh) | 2016-06-01 |
| CN105637542B true CN105637542B (zh) | 2019-10-11 |
Family
ID=53523715
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480057103.XA Active CN105637542B (zh) | 2014-01-07 | 2014-09-22 | 信息处理装置及信息处理方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10380080B2 (zh) |
| JP (1) | JP6260283B2 (zh) |
| CN (1) | CN105637542B (zh) |
| WO (1) | WO2015104873A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108024005B (zh) * | 2016-11-04 | 2020-08-21 | 北京搜狗科技发展有限公司 | 信息处理方法、装置、智能终端、服务器和系统 |
| CN109471849B (zh) * | 2018-10-12 | 2024-04-12 | 中国平安人寿保险股份有限公司 | 模型处理方法及装置、存储介质和电子设备 |
| CN111464487B (zh) * | 2019-01-22 | 2022-02-25 | 华为技术有限公司 | 访问控制方法、装置及系统 |
| CN113079165B (zh) * | 2021-04-02 | 2023-04-07 | 北京天空卫士网络安全技术有限公司 | 一种访问处理方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102227115A (zh) * | 2011-06-13 | 2011-10-26 | 北京星网锐捷网络技术有限公司 | 一种限制用户访问的方法和装置 |
| CN103152375A (zh) * | 2011-09-02 | 2013-06-12 | 索尼公司 | 信息处理装置和方法、程序、记录介质和信息处理系统 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001075988A (ja) * | 1999-09-06 | 2001-03-23 | Toshiba Corp | コンテンツアクセス装置および方法、記録媒体 |
| JP2004102790A (ja) * | 2002-09-11 | 2004-04-02 | Nippon Telegr & Teleph Corp <Ntt> | オントロジー変換装置、オントロジー変換方法、オントロジー変換プログラムおよび記録媒体 |
| AU2003295356A1 (en) * | 2002-10-23 | 2004-05-13 | Onaro | Method and system for validating logical end-to-end access paths in storage area networks |
| US8667170B2 (en) * | 2004-04-14 | 2014-03-04 | Nippon Telegraph And Telephone Corporation | Address conversion method, access control method, and device using these methods |
| US7644089B2 (en) | 2004-12-29 | 2010-01-05 | Barclays Capital, Inc. | System and method for corporate-wide policy management |
| JP4604736B2 (ja) * | 2005-01-27 | 2011-01-05 | 日本電気株式会社 | 情報取得制御システム,携帯端末およびプログラム |
| US8434147B2 (en) * | 2005-11-07 | 2013-04-30 | International Business Machines Corporation | Method, system and program product for remotely verifying integrity of a system |
| JP4728149B2 (ja) * | 2006-03-09 | 2011-07-20 | ヤフー株式会社 | 広告提示システムおよび広告提示方法 |
| EP1973053A1 (en) * | 2007-03-19 | 2008-09-24 | British Telecommunications Public Limited Company | Multiple user access to data triples |
| GB2474545B (en) * | 2009-09-24 | 2015-06-24 | Fisher Rosemount Systems Inc | Integrated unified threat management for a process control system |
| US20110295624A1 (en) * | 2010-05-25 | 2011-12-01 | Underwriters Laboratories Inc. | Insurance Policy Data Analysis and Decision Support System and Method |
| JP2012068903A (ja) * | 2010-09-24 | 2012-04-05 | Dts Kk | ウェブアプリケーションファイアーウォールプログラム |
| JP4967056B2 (ja) | 2010-11-16 | 2012-07-04 | ヤフー株式会社 | ポリシ判定装置、方法及びプログラム |
| JP2013033320A (ja) * | 2011-08-01 | 2013-02-14 | Dts Kk | インターネット電子商取引ミドルウエアサービスシステム |
| US9705850B2 (en) * | 2013-03-15 | 2017-07-11 | Arizona Board Of Regents On Behalf Of Arizona State University | Enabling comparable data access control for lightweight mobile devices in clouds |
-
2014
- 2014-01-07 JP JP2014000763A patent/JP6260283B2/ja active Active
- 2014-09-22 WO PCT/JP2014/074990 patent/WO2015104873A1/ja active Application Filing
- 2014-09-22 CN CN201480057103.XA patent/CN105637542B/zh active Active
-
2016
- 2016-03-11 US US15/067,841 patent/US10380080B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102227115A (zh) * | 2011-06-13 | 2011-10-26 | 北京星网锐捷网络技术有限公司 | 一种限制用户访问的方法和装置 |
| CN103152375A (zh) * | 2011-09-02 | 2013-06-12 | 索尼公司 | 信息处理装置和方法、程序、记录介质和信息处理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015130021A (ja) | 2015-07-16 |
| JP6260283B2 (ja) | 2018-01-17 |
| US20160196288A1 (en) | 2016-07-07 |
| CN105637542A (zh) | 2016-06-01 |
| US10380080B2 (en) | 2019-08-13 |
| WO2015104873A1 (ja) | 2015-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Maesa et al. | Blockchain 3.0 applications survey | |
| AU2019204976B2 (en) | Intelligent data ingestion system and method for governance and security | |
| Mittelstadt et al. | The ethics of big data: current and foreseeable issues in biomedical contexts | |
| US8112379B2 (en) | Policy processor for configuration management | |
| CN110473078A (zh) | 发票开具中的信息处理方法、装置、网关服务器和介质 | |
| CN105637542B (zh) | 信息处理装置及信息处理方法 | |
| CN106778303A (zh) | 授权策略优化方法及授权策略优化装置 | |
| Khan et al. | Information sharing in supply chains–Interoperability in an era of circular economy | |
| Megha et al. | Method to resolve software product line errors | |
| CN113642039A (zh) | 单证模板的配置方法、装置、计算机设备和存储介质 | |
| Wu | Enterprise integration in e-government | |
| CN108376064A (zh) | 规则引擎系统及规则引擎的相关方法 | |
| EP3594822A1 (en) | Intelligent data ingestion system and method for governance and security | |
| Voulgaridis et al. | Digital product passports as enablers of digital circular economy: a framework based on technological perspective | |
| Pedroza et al. | A Model-based approach to realize privacy and data protection by design | |
| CN110929292B (zh) | 一种医疗数据的搜索方法及装置 | |
| Buchmann et al. | Domain-specific diagrammatic modelling: a source of machine-readable semantics for the Internet of Things | |
| Alebrahim et al. | Optimizing functional and quality requirements according to stakeholders’ goals | |
| Stumptner et al. | An architecture for establishing legal semantic workflows in the context of integrated law enforcement | |
| CN112348403B (zh) | 风控模型构建方法、装置及电子设备 | |
| Cui et al. | Rebuilding the food supply chain by introducing a decentralized credit mechanism | |
| CN111400269B (zh) | 一种ipfs文件处理方法、节点、介质和设备 | |
| Faßbender et al. | A problem-, quality-, and aspect-oriented requirements engineering method | |
| Souei et al. | Towards smart contract distributed directory based on the uniform description language | |
| Zschorn et al. | Microservice api design to support c2 semantic integration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Tokyo, Japan Patentee after: Fuji film business innovation Co.,Ltd. Address before: Tokyo, Japan Patentee before: Fuji Xerox Co.,Ltd. |