JP2000035949A - セキュア分散型ネットワークにおけるデータベースアクセス制御を供給するシステム及び方法 - Google Patents

セキュア分散型ネットワークにおけるデータベースアクセス制御を供給するシステム及び方法

Info

Publication number
JP2000035949A
JP2000035949A JP10349255A JP34925598A JP2000035949A JP 2000035949 A JP2000035949 A JP 2000035949A JP 10349255 A JP10349255 A JP 10349255A JP 34925598 A JP34925598 A JP 34925598A JP 2000035949 A JP2000035949 A JP 2000035949A
Authority
JP
Japan
Prior art keywords
access
database
access control
user
objects
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10349255A
Other languages
English (en)
Inventor
Bart Lee Fisher
リー フィッシャー バート
Rajeev Angal
アンガル ラジーヴ
Sai V S Allavarpu
ヴィー エス アーラヴァルプ サイ
Subodh Bapat
バパト スボド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US08/962,092 external-priority patent/US6212511B1/en
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Publication of JP2000035949A publication Critical patent/JP2000035949A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/024Standardisation; Integration using relational databases for representation of network management data, e.g. managing via structured query language [SQL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/953Organization of data
    • Y10S707/955Object-oriented
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/953Organization of data
    • Y10S707/959Network
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/964Database arrangement
    • Y10S707/966Distributed
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

(57)【要約】 (修正有) 【課題】セキュア分散型ネットワークにおける管理情報
へのSQLアクセスを供給する方法を提供する。 【解決手段】アクセス制御データベースは、特定の組の
管理オブジェクトへのネットワークから管理情報を取得
することを含む。アクセス権利を特定する情報を集合的
に記憶するアクセス制御オブジェクトを有する。アクセ
ス制御データベースによるアクセスに従ってアクセス制
御サーバは、管理オブジェクトへのアクセスを行う。情
報転送機構は、管理情報をネットワークからデータベー
ス管理システム(DBMS)に送り、データベーステー
ブルは、管理オブジェクトに対応して管理情報を記憶す
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、主にコンピュータ
ネットワークの管理に関し、特にマッチングアクセス制
限をネットワークにおける管理情報の少なくとも一部へ
のSQLアクセスに供給すると共に管理オブジェクトへ
のアクセス及び管理オブジェクトの許可されたユーザへ
の通知を制限するシステム及び方法に関する。
【0002】
【従来の技術】SNMP(Simple Network Management
Protocol: シンプルネットワーク管理プロトコル)は、
マルチベンダな、相互運用ネットワーク管理のためのツ
ールを供給すべく開発された。SNMPは、プロトコ
ル、データベース構造仕様を含んでいる、ネットワーク
管理に対する一組の標準、及び一組のデータオブジェク
トを供給する。SNMPは、1989年にTCP/IP
を利用したインターネットに対する標準として採用され
た。SNMP技術の説明は、この書類の範囲を越えるも
のでありかつ読者は、SNMPに精通しているか、又は
従来技術情報としてそれ全体が参考文献としてここに採
り入れられる、William Stallings, "SNMP, SNMPv2 and
RMON," Addison Wesley (1996) のような、主題の通常
の参考書へのアクセスを有するものであると想定する。
【0003】CMIPは、それがOSI標準に基づくこ
とを除き、SNMPのようなネットワーク管理プロトコ
ルである。文献:William Stallings による"SNMP, SNM
Pv2and CMIP: The Practical Guide to Network Manag
ement Standards" は、CMIP、及びCMIP関連標
準に関する基礎情報の優れたソースであり、従来技術情
報としてそれ全体が参考文献としてここに採り入れられ
る。多くのネットワークは、ネットワークを管理するた
めにネットワークマネージャ及びシンプルネットワーク
管理プロトコル(SNMP)又はCMIPのある形式を
用いる。その管理タスクの中では、ネットワークマネー
ジャは、ネットワーク上のデバイスの状態を自動的に監
視する。ネットワークマネージャは、事象要求をデバイ
スに送り、デバイスは、ある一定の事象が発生した場合
に応答を戻すことが要求されている。例えば、ディスク
エージェントは、利用可能ディスク空間が50%以下に
なったならば応答を送ることが要求されるであろう。
【0004】SNMP−管理可能(又はCMIP−管理
可能)デバイスは、管理情報ベース(Management Infor
mation Base:MIB)、デバイスの異なる態様(例え
ば、構成、統計、状態、制御)をテーブルわしているオ
ブジェクト又は変数の収集をそのメモリに記憶する。デ
バイスの各クラスに対して、MIBは、標準変数のコア
を有する。デバイスの各ベンダーは、それがそのデバイ
スの管理に対して重要であると思われる変数を、コアに
追加する。ネットワークにおける管理可能デバイスに対
するMIBsは、検索することができる管理情報を記憶
するだけでなく、sの値が、ネットワークマネージャに
よって変更されるときに、デバイスのオペレーションを
変更する、変数も含む。簡単な例は、デバイスのオペレ
ーションを不能にすること、デバイスによって実行され
る異なるタスクに割当てられる優先順位を変えること、
及びデバイスによって生成された一組のメッセージとそ
れらのメッセージが送られる一組の宛先を変えることで
ある。
【0005】明らかに、不許可の者がネットワークの管
理情報オブジェクトをアクセスすることを防ぐことは、
重要である。さもなければ、不許可の者によって機密情
報が取得されるばかれでなく、ネットワークが妨害行為
に対してオープンになってしまう。本発明は、ネットワ
ーク管理情報オブジェクトに対するアクセス制御の問題
に取り組む。ITU-T X.741(1995) は、「Data Networks
and Open System Communications,OSI Management」と
いうテーブル題の、先にCCITT として知られた、Intern
ational Telecommunication Union のTelecommunicatio
n standardization sectorによって出版された、業界標
準(規格)である。X.741 標準は、OSI(開放型シス
テム間相互接続)システム管理に関連付けられたアクセ
ス制御を生成しかつ管理するために必要なアクセス制御
セキュリティモード及び管理情報を特定する。
【0006】本発明に関係があるOSIシステム管理に
関する関連ITU-T 標準、特にX.740(1992)(security aud
it trail function)及びX.812(1995)(data networks an
d open systems communications security) が存在す
る。これらX.741(1995), X.740(1992)及びX.812(1995)
の全て3つは、ここに従来技術情報として参考文献で採
り入れられる。X.740,X.741 及びX.812 標準は、管理オ
ブジェクト(しばしばネットワーク管理オブジェクトと
も呼ばれる)へのアクセスを制御するための相当に包括
的なアクセス制御フレームワークを定義するが、これら
の標準によって取り組まれていないかまたは解決されて
いない多数のアクセス制御及び管理問題が残されてい
る。
【0007】特に、X.741 及び関連標準は、管理オブジ
ェクトへのアクセスを制限するためのアクセス制御を定
義するが、これらの標準は、事象報告書へのアクセスを
制限するための機構に取り組まないかまたはそれを特定
しない。オブジェクトが生成され、削除され、または管
理パラメータが特定された閾値を渡すときに生成された
報告書のような、(通常、事象通知書と呼ばれる)事象
報告書は、多くのシステムで、聴取者に放送される。ネ
ットワークが、例えば、大規模な電気通信(電信)会社
によって所有される電話切替えネットワークであり、か
つ事象報告書が特定の顧客に対して導入又は利用される
資源に係わるならば、これは、明らかに許容できない。
即ち、顧客Aは、顧客Bのために用いられるネットワー
ク資源についての事象報告書を受け取ることを許容され
るべきではない。
【0008】実際、X.741 及び関連標準における仮定
は、事象報告書セキュリティが管理オブジェクトへのア
クセスを制限するために用いられるアクセス制御機構と
は別の機構を用いて実施されるべきであるということで
ある。結局、管理オブジェクトに対するアクセス制御
は、オブジェクトへのアクセスを要求しているインバウ
ンド(市内へ向かう)メッセージをフィルタし、事象報
告書は、アウトバウンド(市外へ向かう)メッセージで
ある。しかしながら、多くの場合、ある人がアクセスす
ることを禁止されているオブジェクトは、また、その人
がそれから事象報告書を受け取るべきでないオブジェク
トである、ということが本発明の発明者によって観察さ
れている。例えば、上記の例を用いると、顧客Aの従業
員は、顧客Bに割当てられているオブジェクトのいずれ
に対する事象報告書をアクセスすべきでなくまたは受け
取るべきではない。
【0009】
【発明が解決しようとする課題】X.741 によって取り組
まれていない別の問題は、大規模ネットワークの顧客が
しばしばを“SQL" 型報告書ジェネレータを用いてネ
ットワーク管理報告書を生成する機能(能力)を強く主
張するということである。即ち、そのようなネットワー
クのユーザは、それらのネットワーク資源の状態に関す
る報告書を生成する機能(能力)を欲するかまたは必要
とすると共に、SNMP(またはあらゆる他のネットワ
ーク管理プロトコル)を用いたネットワーク管理情報検
索の複雑性を回避する。X.741 及び関連標準は、管理報
告書を生成するための目的で管理オブジェクトデータベ
ースへのあらゆる型の直接SQL−型アクセスを要求し
ないし、或いは提案もしない。事実、それがセキュリテ
ィ漏洩の潜在的な源なので、直接SQL−型アクセス
は、X.741 の目的に反するように思われうる。
【0010】本発明の課題は、他の型のオブジェクトア
クセスとは対照的に、報告書生成の目的に対して管理オ
ブジェクトデータベースへの直接SQL−型アクセスを
提供することにある。直接アクセス機構の目的は、ネッ
トワークオブジェクトの状態又は過去のパフォーマンス
に関する報告書を定義しかつ生成すべくユーザに標準D
BMS報告書ジェネレータを使用させると共に、通常の
管理情報アクセス要求に適用されるものと同じアクセス
制限を供給することである。
【0011】
【課題を解決するための手段】纏めると、本発明は、コ
ンピュータネットワークにおける管理オブジェクトへの
アクセスを制御するためのシステム及び方法である。ア
クセス制御データベースは、管理オブジェクトの特定さ
れた組へのユーザによるアクセス権利を特定する情報を
集合的に記憶するアクセス制御オブジェクトを有する。
特定されたアクセス権利は、ネットワークから管理情報
を取得するためのアクセス権利を含む。アクセス制御サ
ーバは、アクセス制御データベースによって特定された
アクセス権利に従って管理オブジェクトへのアクセスを
ユーザに提供する。情報転送機構は、ネットワークから
データベース管理システムへ管理情報を送る。データベ
ース管理システムは、一組のデータベーステーブルに情
報転送機構によって送られた管理情報を記憶する。各デ
ータベーステーブルは、対応する管理オブジェクトに対
する管理情報を個々の行に記憶する。
【0012】一組のビューは、データベーステーブルに
記憶された管理情報へのアクセスを制限する。各ビュー
は、このビューを用いるときにアクセス可能であるデー
タベーステーブルにおける行のサブセットを定義する。
一組の各ビューを用いるときにアクセス可能である一組
のデータベーステーブル行は、少なくとも一人のユーザ
に対してアクセス制御データベースによって特定される
管理オブジェクトアクセス権利に対応している。ビュー
アクセス制御手段は、一組のビューにおけるどのビュー
がユーザの特定したものによって使用可能であるかを特
定する。データベースアクセスエンジンは、ユーザがア
クセス制御データベースによってアクセスすることを許
される一組のデータベーステーブルにおける管理情報だ
けを各ユーザにアクセスさせるように一組のビューを用
いて一組のデータベーステーブルにおける情報をアクセ
スする。
【0013】本発明の更なる目的及び特徴は、図面に関
連して、以下の詳細な説明及び特許請求の範囲からより
容易に理解できるであろう。
【0014】
【発明の実施の形態】図1を参照すると、ネットワーク
106における管理オブジェクトへのイニシエータ10
4(例えば、ユーザ、及びユーザのために動作している
アプリケーションプログラム)によるアクセスを制限す
るアクセス制御エンジン(ACE)102を有している
ネットワーク管理システム100が示されている。ネッ
トワーク106は、管理機能を実行するための管理プロ
トコルを用いる実質的にあらゆる型のコンピュータを利
用したネットワークでありうる。この書類の目的に対し
て、我々は、管理情報及び資源制御変数を含む、ネット
ワークにおける管理オブジェクトだけを考える。更に、
この書類の目的に対して、我々は、管理情報及び資源制
御変数を含む、管理オブジェクトへのアクセスおよび管
理オブジェクトによって生成された事象通知へのアクセ
スを制限する方法を主に考えるので、我々は、管理オブ
ジェクトの内容及び機能について特に考えない。
【0015】多くの書類では、管理オブジェクトは、
“管理オブジェクトインスタンス" (MOI' s)と呼
ばれるということに注目すべきである。そのような書類
では、略語“OI" 及び“OC" は、“オブジェクトイ
ンスタンス" 、“オブジェクトクラス" を意味する。こ
の書類の用語では、全てのオブジェクトが対応オブジェ
クトクラスのインスタンスなので、オブジェクトは、実
際にはオブジェクトインスタンスである。例えば、ネッ
トワークの各“ルータオブジェクト" は、対応管理オブ
ジェクトクラスのインスタンスである。明瞭化のために
必要であると思われる場合を除き、この書類では“オブ
ジェクトインスタンス" の代わりに用語“オブジェク
ト" を用いる。また、好ましい実施例では全ての管理オ
ブジェクト及びアクセス制御オブジェクトは、GDMO
コンプライアントである。
【0016】アクセス制御エンジンは、アクセス制御デ
ータベース108を含む。ネットワークそれ自体のよう
に、アクセス制御データベース108は、オブジェクト
の階層構造で構成されている。本発明で実施されるよう
な、種々の形態のアクセス制御データベースを以下に詳
述する。アクセス制御データベース108は、そのよう
な要求を否認すべきかまたは認可すべきかを決定するた
めにアクセス要求に適用することができる、アクセス制
御規則を含む。アクセス制御決定ファンクション(AC
DF)110は、管理オブジェクトへの要求されたアク
セスを認可すべきかまたは否認すべきかを決定するよう
に各アクセス要求にアクセス制御規則を適用する手順
(または一組の手順)である。以下に詳述するように、
アクセス要求が二つ以上の管理オブジェクトのターゲッ
トを有する場合、アクセス要求のある部分は、認可さ
れ、他の部分は、否認される。
【0017】アクセス制御実施ファンクション(ACE
F)112は、ACDF110によってなされた決定を
実施するための手順(または一組の手順)である。特
に、ACEF112は、ACDF110がアクセス否認
を戻す場合にアクセス否認応答を送り、アクセスが認可
される場合に適当な管理オブジェクトにアクセス要求を
送る。図2を参照すると、各アクセス要求120は、一
組の所定のフィールドを包含しているオブジェクトまた
はデータ構造であり、以下のものを含んでいる:・ us
er information(ユーザ情報)、要求イニシエータを識
別する;・ operation(オペレーション), 特定された
ターゲットオブジェクト上で実行されるべきオペレーシ
ョンの型; defined operation(定義されたオペレーシ
ョン)は、get, set, create, delete, action, filte
r, multiple object selection,及び“receive notific
ations from";“receive notifications from" オペレ
ーション(この書類の或る部分では“event notificati
on(事象通知)" 動作と通常呼ばれる)は、X.741 によ
って定義されるoperationsの一つではなく、以下に説明
する理由により発明者によって追加されたnew operatio
n (新しいオペレーション)であるということに注目す
る;・ mode(モード), 確認済(confirmed) 又は未確
認済(unconfirmed) に等しい、管理情報サーバがイニシ
エータに応答メッセージを送るべきかどうかを示す;mo
deが未確認済に等しい場合、応答メッセージ(例えば、
アクセス否認メッセージ)はイニシエータに送られな
い;modeが確認済に等しい場合、応答メッセージはイニ
シエータに送られる;・ synch (シンク), “atomi
c" 又は“best effort"に等しい; synch がatomicに設
定されたならば、二つ以上のオブジェクトに指向された
アクセス要求は、要求のいずれか一部が否認されたなら
ば、打ち切られる;synch がbest effortに設定された
ならば、アクセスが認可されたオブジェクト上でアクセ
ス要求が実行されかつ対応する結果がイニシエータに戻
される;及び ・ target(ターゲット),イニシエータがアクセスす
ること欲しているオブジェクトを特定するを含む。
【0018】アクセス要求120のtarget(ターゲッ
ト)は、3つのフィールドによって特定される: ・ base object (ベースオブジェクト), 管理オブジ
ェクトツリーの特定のobject(オブジェクト)を示す; ・ scope (スコープ), アクセスされるべきツリーに
おけるbase object (ベースオブジェクト)の上下のob
ject(オブジェクト)の範囲を示す;好ましい実施例で
はbase object (ベースオブジェクト)は、常にroot(
ルート) に最も近いtarget set(ターゲットセット)の
object(オブジェクト)でありかつscope(スコープ)
は、ターゲットセットの一部として含まれるべきベース
オブジェクトの下(即ち、ルートから離れた)の多数の
オブジェクトツリーレベルをテーブルわす;及び ・ filter(フィルタ)、ターゲットセットに含まれた
オブジェクトの組を制限するためのフィルタ条件(例え
ば、フィルタは、Menlo Park, Californiaのルータに対
する管理オブジェクトだけがターゲットセットに含まれ
るということをテーブルわしうる)を設定する;フィル
タフィールドは、データベース問合せ“where"clauseに
等しい。フィルタは、ユーザが受け取ることを欲する事
象通知の型(例えば、SNMP又はCMIP事象通知)
を特定するために用いることもできる。たった一つのオ
ブジェクトのターゲットセットを有する要求は、要求の
スコープフィールドが未使用なので、“non-scoped" re
quest(非スコープ要求) であると考えられる。二つ以上
のオブジェクトのターゲットセットを有する要求は、要
求のスコープフィールドが二つ以上のオブジェクトがア
クセスされるべきでるということをテーブルわすので、
“scoped" request(スコープ要求) であると考えられ
る。
【0019】複数のサーバにわたるアクセス制御の分散 図3を参照すると、アクセス制御エンジン102(図
1)は、アクセス制御が処理されるスピードを増すよう
に複数のサーバにわたり分散される。図3の以下の説明
は、図3に示したシステムコンポーネントのあるものに
よって実行されるファンクションの簡潔な“overview
(概観)" 説明を含み、かつ上述した標準(例えば、X.
741 )において特定されなかった本発明の形態のより詳
細な説明がこの書類の他のセクションに提供されるとい
うことが理解されるべきである。
【0020】電話ネットワークのような、多くのインス
タンスにおいて、管理オブジェクトの数は、非常に大き
く、管理オブジェクトへのアクセスを要求する人の数
は、アクセス要求の日常の量のように、対応して大き
い。ほとんどのアクセス要求は、適正に狭くフォーカス
されている。例えば、典型的なアクセス要求は、特定の
位置における特定の型の管理オブジェクトへのアクセス
を要求する。別の例では、ネットワークの一部が修理の
ために遮断されることが必要ならば、アクセス要求に対
するターゲットセットは、遮断されるべきデバイスに対
する管理オブジェクトを指定する。他のアクセス要求、
特に状態情報収集要求(status informationgathering r
equests) は、非常に大きなターゲットセットを含むこ
とができる。管理情報サーバ(MIS)150は、全て
の管理オブジェクトアクセス要求120を受け取り、か
つ各要求、または要求の部分を、要求によって参照され
た管理オブジェクトツリーの部分に従って、一組の補助
サーバ152に分散する。各サーバ150及び152
は、アクセス制御ファンクション及び要求応答収集ファ
ンクションの両方を実行する。それゆえに、アクセス制
御処理は、MIS150と補助のサーバ152との間に
分割され、ヘビー要求トラフィックの期間中のアクセス
要求のより高速な処理を可能にしている。
【0021】特に、MIS150は、管理オブジェクト
ツリーの最上部におけるオブジェクトに対するアクセス
制御を実行するだけであり、補助サーバのそれぞれは、
管理オブジェクトツリーのそれぞれ指定されたサブツリ
ーにおけるオブジェクトに対するアクセス制御を実行す
る。上記ステートメントに対する一つの重要な例外は、
事象通知に対する全てのアクセス要求(即ち、“receiv
e notification from"のオペレーションにより)は、ど
のオブジェクトがアクセス要求のターゲットであるかに
係わりなく、MISの事象レジストリモジュールに送付
される。これは、事象通知アクセス制御に関して以下に
より詳細に説明される。更に、特別補助サーバ154
は、(以下に説明する理由により、従来技術のアクセス
制御データベース198と同じではない)アクセス制御
オブジェクトツリー170に対する全ての更新を扱うた
めに用いられる。ある実施では、特別補助サーバ154
は、MIS150又は正規の補助サーバ152の一つと
マージされうる。代替的に、比較的低いアクセス要求ト
ラフィックを有するシステムでは、特別補助サーバ15
4は、他のサーバの一つと同じ物理サーバハードウェア
上で個別ソフトウェアエンティティとして実施すること
ができる。MIS150及び各補助サーバ152、15
4は、アクセス制御オブジェクトツリー170の全コピ
ーを記憶するが、管理オブジェクトツリーの対応部分を
アクセスすることの要求を処理することに対してのみリ
スポンシブルである。代替実施例では、MIS及び補助
サーバのそれぞれは、その割当てられたアクセス制御フ
ァンクションを実行するのに必要なアクセス制御オブジ
ェクトツリー170の一部だけを記憶することができ
る。
【0022】アクセス要求が二つ以上のサーバによって
サービスされる管理オブジェクトツリーの一部分のター
ゲットオブジェクトを有するならば、アクセス要求は、
MIS150によってアクセスサブ−リクエストに分け
られかつ適当な補助サーバ152に送られる。全てのサ
ーバによって生成されたアクセスサブ−リクエスト応答
は、MIS150によって照合されかつ要求しているユ
ーザ又はアプリケーションと一緒にそれらに戻される。
MIS150は、以下のものを含む: ・ アクセス要求を受け取るインタフェース160; ・ MISのメモリ164に記憶されるアクセス制御手
順を実行する一つ以上の中央処理装置(CPU' s)1
62; ・ 揮発性高速RAM及び磁気ディスク記憶装置のよう
な不揮発性記憶装置の両方を含んでいる、メッセージ1
64; ・ MIS150と補助アクセス制御サーバ152、1
54との間のセキュア通信を扱うインタフェース16
6;及び ・ MIS150の上記素子間でデータ及びプログラム
を通信する一つ以上の内部バス168。
【0023】メモリ164は、以下のものを記憶しう
る: ・ アクセス制御ツリーの部分的又は完全なコピー17
0;好ましい実施例のアクセス制御ツリー170は、X.
741 において特定されたものとは異なるコンポーネント
及び編成を有し、従って図1のアクセス制御ツリー10
8は、本発明で用いられるアクセス制御ツリー170と
同じではないということに注目すべきである; ・ アクセス要求をアクセスサブ−リクエストに分割
(partitioning) しかつアクセス制御処理のために適当
なサーバにアクセスサブ−リクエストを経路指定(routi
ng) するアクセス要求分割及び経路指定手順172; ・ アクセス制御処理に対して各アクセス要求が送られ
るべきサーバを決定するためにMIS150に対して必
要な情報を記憶する、サーバマッピングテーブル173
に対するサブツリー; ・ そのファンクショナリティ(機能性)が図1に示し
たACEF112のものと同じである、アクセス制御エ
ンフォースメントファンクション174; ・ そのファンクショナリティが図1に示したACDF
110のものと同じであるアクセス制御決定ファンクシ
ョン176; ・ 種々のサーバによって生成された応答を各別個のア
クセス要求にマージしかつイニシエータに単一の組合さ
れた応答を戻す要求応答組合せ手順178; ・ その処理がまだ完了されていないアクセス要求につ
いての状態情報のアレイ180; ・ 全てのアクセス要求の記録を保持する安全保護監査
トレール182; ・ 特定のユーザが要求した事象通知を追跡する機構で
ある、事象レジストリ184;及び ・ (A)それらの事象通知を要求し、かつ(B)それ
らを受け取ることを許可されたユーザ又はアプリケーシ
ョンに事象通知を送るモジュールである、事象ルータ1
86。
【0024】図3に示されていないMIS150の他の
形態を以下に説明する。MIS150及び補助サーバ1
52,154は、全て、アクセス制御手順のライブラリ
の同一のコピー並びにアクセス制御オブジェクトツリー
170のコピーを保持する。それゆえに、各補助サーバ
152、154は、(A)アクセス要求の受取りと分
割、及び応答の組合せを扱うために用いられるMISの
特別手順(172,178)、及び(B)それらがそれ
ぞれアクセス要求を受け取りかつ応答を戻すためのたっ
た一つのインタフェース160/166を有することを
除き、MIS150で見出されるものと同じハードウェ
ア及びソフトウェア素子を含む。各補助サーバ152
は、アクセス制御オブジェクトツリーの完全なコピー1
70、またはその補助サーバによって扱われるべきアク
セス要求を扱うための必要なその一部分のいずれかを維
持する。
【0025】特別補助サーバ154は、アクセス制御オ
ブジェクトがアクセス制御システムまたはそのある部分
がある理由により再ブートされるかまたは再スタートさ
れるときにはいつでも全てのアクセス制御サーバによる
使用に対して利用可能であるように永続的記憶装置にア
クセス制御オブジェクトツリー170のコピー190を
維持する。また、特別補助サーバ154は、アクセス制
御オブジェクトツリー170に対する全ての更新を扱う
ことに対してもリスポンシブルがある。他のサーバと共
有のアクセス制御ライブラリ手順に加えて、特別補助1
54は、アクセス制御オブジェクトツリー170/19
0へのアクセス制御を扱いかつアクセス制御オブジェク
トツリー170/190の更新を扱うための更なる手順
194を有する。管理オブジェクトへのアクセスを制限
するために用いられる同じ型のアクセス制御は、また、
アクセス制御オブジェクトツリー190/170へのア
クセスを制限するためにも用いられる。換言すると、ア
クセス制御オブジェクトツリー170のターゲットオブ
ジェクト及び記憶オブジェクトのあるものは、アクセス
制御オブジェクトへのアクセス権利を定義するために用
いられ、かつ特別補助サーバ154は、それらのアクセ
ス制御オブジェクトによって定義された規則に従ってア
クセス制御オブジェクトへのアクセスを制限する。この
ようにして許可されたユーザだけがアクセス制御オブジ
ェクトツリー170/190をアクセスしかつ更新する
ことができる。
【0026】MIS150は、どの補助サーバが各要求
をサービスするために必要であるかを知るためにネット
ワークにおけるオブジェクトツリーの十分な知識を有す
る。特に、MIS150は、アクセス要求分割及び経路
指定手順172及び一組の“ツリー分割点オブジェクト
(tree division point objects)"(分割点ノード(divis
ion point nodes)とも称される)を識別する情報を記憶
するマッピングテーブル173を有する。より特定的に
は、マッピングテーブル173は、一連の記録を含む。
各記録は、ツリー分割点オブジェクト(tree division p
oint object)と呼ばれる最上位オブジェクトによって識
別された、管理オブジェクトサブツリーを識別し、かつ
その管理オブジェクトサブツリーのオブジェクトへのア
クセス要求を扱うためのサーバ152も識別する。各ア
クセス要求に対して、MIS150は、以下に詳述す
る、“大域否認規則(global deny rules)"をまず適用す
る。要求が大域否認規則によって拒絶されないならば、
次いで、MIS150は、アクセス要求を更に処理する
ために必要なサーバを識別するようにネットワークオブ
ジェクトツリー170をトラバースする。
【0027】より特定的には、各受け取ったアクセス要
求(事象通知に対するアクセス要求以外の)に対してM
ISは、それが分割点オブジェクトのいずれかに到達す
るまでネットワークオブジェクトツリーをトラバースす
る。分割点オブジェクトより下の全ての管理オブジェク
トが対応している補助サーバによって処理されるので、
ツリートラバーザルは、それらのオブジェクトで停止す
る。アクセス管理デューティがサーバ間で分割される方
法により、単一アクセス要求は、二つ以上のアクセスサ
ブ要求に分割されかつ更なる処置のために二つ以上のサ
ーバに送られなければならないということが可能であ
る。要求が二つ以上のサーバによって処理されるために
区分される場合、アクセス要求の各区分の基本オブジェ
クト及びスコープ部分(即ち、各サブ要求)は、対応し
ているサーバによってサービスされる管理オブジェクト
ツリーの一部だけを取り囲むように変更される。
【0028】また、MIS150は、その処理がまだ完
了していない各アクセス要求の状態情報180を保全す
る。状態情報180は、完全な応答をイニシエータに戻
すことができる前に部分応答が必要である全てのサーバ
を識別する。実施に応じて、MIS150は、各要求に
対して大域否認規則を適用することに加えて、いずれの
補助サーバにも割当てられていない管理オブジェクトツ
リーの種々の部分へのアクセスを制限することに対して
もリスポンシブルでありうる。例えば、MIS150
は、管理オブジェクトツリーのルートノードへのアクセ
スを制限することに対して一般的にリスポンシブルであ
りかつ管理オブジェクトツリーのあらゆる特定のブラン
チ(枝)に対してもリスポンシブルであるようにするこ
とができる。
【0029】代替実施例では、アクセス制御リスポンシ
ビリティは、例えば、ターゲットオブジェクトで実行さ
れるべきオペレーションの型に基づくような、他の方法
でサーバ間に分割することができる。それゆえに、一つ
のサーバは、セットオペレーションを扱うことに対して
リスポンシブルであり、別のサーバは、オペレーション
を生成しかつ削除する、等である。アクセスセキュリテ
ィ規則は、MIS150及び各補助サーバ152にて、
永続記憶装置に記憶され、最近使用された部分もキャッ
シュメモリに記憶される。アクセス制御規則が更新さ
れ、削除され又はシステムに追加されるときにはいつで
も、全ての補助サーバの規則ベースは、他の型の事象メ
ッセージを扱うためにも用いられる事象伝播機構を用い
て同期方式で更新される。アクセス制御ツリー170を
更新する処理は、以下に詳述する。
【0030】アクセス制御データベース X.741 は、オブジェクトアクセスがユーザを基本として
ユーザ上で制御されることを示すが、本発明は、グルー
プを基本としてグループ上でオブジェクトアクセスを制
御する。ユーザグループ特徴は、各アクセス規則を定義
するために必要なデータ量をかなり低減することを援助
する。システムにおける情報をアクセスすることを認可
された各ユーザは、一つ以上のグループに割当てられ
る。アクセス規則は、グループのアクセス権利により定
義される。例えば、オブジェクトパラメータ読取り権利
は、オブジェクトパラメータ設定規則とは異なるグルー
プを用いて割当てられるであろう。また、規則は、それ
らのグループに関して階層構造的に一般に定義され、例
えば、Customer A(カスタマA)グループメンバーまた
はシステム管理者グループメンバーのいずれでもない全
てのものに対するオブジェクトのCustomer Aのサブツリ
ーへのアクセスを否認し、次いでCustomer Aによって設
定されたユーザのグループに従ってCustomer Aのサブツ
リー内のオブジェクトに対する権利を更に定義する。図
4を参照すると、アクセス制御ツリー170の主コンポ
ーネントは、グループ定義200、ユーザ定義202、
ターゲット定義204、アクセス規則206、及び省略
時規則208である。各グループ定義200は、以下の
フィールドを有している、グループオブジェクトによっ
てテーブルわされる: ・ グループ名;及び ・ グループに含まれるユーザの一覧テーブル。 グループオブジェクトは、グループをユーザにマップす
るために用いられる。各ユーザ定義202は、以下のフ
ィールドを有しているユーザオブジェクトによってテー
ブルわされる: ・ ユーザ名;及び ・ ユーザがメンバーであるグループの一覧テーブ
ル。
【0031】ユーザオブジェクトは、特定のユーザが属
する全てのグループを識別するために用いられる。用語
“ユーザ" は、アクセス権利が認可されるユーザ以外の
エンティティを含むということがここで注目されるべき
である。例えば、補助サーバ、ログサーバ、及びシステ
ムにおけるオブジェクトでさえもそれらのエンティティ
に従うべきアクセス権利を定義する目的に対して“ユー
ザ" として設定することができる。各ターゲット定義2
04は、以下のフィールドを有している、ターゲットオ
ブジェクトによってテーブルわされる: ・ ターゲット名;及び ・ このターゲットオブジェクトによって識別される
ターゲットセットに含まれるべきベース管理オブジェク
トの一覧テーブル; ・ 管理オブジェクトクラスの一覧テーブル;このフ
ィールドは、ターゲットセットが、フィルタ条件(以下
を参照のこと)の対象となる、特定のクラスの全ての管
理オブジェクトを含む場合にのみ用いられる; ・ ターゲットセットに含まれるべき一覧テーブルに
掲げられたベース管理オブジェクトの下の管理オブジェ
クトツリーレベルの数を示している、スコープ(適用範
囲);及び ・ ターゲットセットに含まれるオブジェクトのセッ
トを限定するために用いられるオプショナルフィールド
である、フィルタ;フィルタフィールドは、データベー
ス問合せの“where"句に等しい;及び ・ ターゲットセットが適用可能であるオペレーショ
ン(get,set,等)を一覧テーブルにする、オペレーショ
ン一覧テーブル。各規則定義206は、以下のフィール
ドを有している、規則オブジェクトによってテーブルわ
される: ・ 規則を識別するための規則名; ・ 規則が適用可能な全てのユーザグループを識別す
る、グループ一覧テーブル; ・ 規則が適用可能なターゲットオブジェクトの一覧
テーブルである、ターゲット一覧テーブル;及び ・ ユーザの特定されたグループが特定されたターゲ
ットセットへのアクセスを有するか有しないかを示して
いる、エンフォースメントアクション;好ましい実施例
ではエンフォースメントアクションは、Deny with Resp
onse(応答付き否認), Deny without Response (応答
なし否認), またはGrant (認可)に設定することがで
きる。
【0032】省略時規則208は、以下のフィールドを
有している、省略時規則オブジェクトによってテーブル
わされる: ・ オペレーション(例えば、get, set, create, de
lete, 等)の対応する所定の一覧テーブルに対する省略
時エンフォースメントアクションの一覧テーブル;省略
時エンフォースメントアクションの最も一般的な一覧テ
ーブルは、全てのオペレーション型に対するアクセスを
否認することであるが、ある実施ではシステム管理は、
get オペレーションのような、あるオペレーションに対
するデフォルトを、“grant(認可)"にすべく決定しう
る; ・ 事象通知に対する省略時エンフォースメントアク
ション;及び ・ 省略時否認応答(即ち、応答を有する否認または
応答なし否認)。
【0033】デフォルト208は、特定のアクセス要求
に適用される規則が定義されない場合に各オペレーショ
ンに対して定義される省略時応答である。例えば、デフ
ォルトは、そのオペレーションが“Get"である“Grant"
アクセス要求、及びそのオペレーションが“Get"以外の
ものである“Deny with Response" アクセス要求に設定
されうる。しかしながら、ほとんどの実施では全てのデ
フォルトは、“Deny with Response" 又は“Deny witho
ut Response"のいずれかに設定されうるということが期
待される。デフォルト208は、定義されたオペレーシ
ョンのそれぞれに対する認可又は否認フラグを含む単一
のDefault (デフォルト)オブジェクトによって定義さ
れるのが好ましい。アクセス制御ツリーの各“rule(規
則)" は、規則オブジェクトで参照されたターゲットオ
ブジェクトによって特定された、一組のターゲットオブ
ジェクトへの(規則オブジェクトにおいて参照されたグ
ループオブジェクトによって識別される)ユーザのある
一定のグループによるアクセスを認可または否認する。
X.741 とは異なり、アクセス規則は、ユーザに基づいて
ユーザで定義されないが、グループに基づいてグループ
で定義される。その結果、特定のユーザが本発明を用い
て会社のに参加しかつ去るときに、それらのユーザに適
用される全ての規則オブジェクトを更新しなければなら
ない代わりに、ユーザ及びグループオブジェクトだけが
更新されることを必要とする。
【0034】一組のターゲット管理オブジェクトを特定
する規則オブジェクトに加えて、システムは、一つのグ
ローバル否認規則オブジェクト及び一つのグローバル許
容記憶オブジェクトを有することができる。グローバル
規則オブジェクトのそれぞれは、正規の規則オブジェク
トと同じ構造を有するが、規則がグローバル規則である
ことを示す、空ターゲット一覧テーブルフィールドを有
する。グローバル否認規則は、定義されたならば、いず
れかの管理オブジェクト上でいずれかのオペレーション
を実行することができないユーザのグループを特定す
る。グローバル認可規則は、定義されたならば、全ての
管理オブジェクト上で全てのオペレーションを実行する
ことが許可される“スーパーユーザ(super users)"(例
えば、システム管理者)のグループを特定する。
【0035】アクセス制御ツリー170のオブジェクト
が追加、削除又は変更されるときにはいつでも、アクセ
ス制御ツリー170を自己矛盾が無いように保ために他
のアクセス制御オブジェクトも変更されなけらばならな
い。例えば、ユーザオブジェクトがユーザオブジェクト
のグループリストに先に含まれていた全てのグループを
削除しかつ識別されたユーザを先に定められた“DenyAl
l"グループのメンバーにすべく変更されたならば、ユー
ザオブジェクトにリストされていた全てのグループオブ
ジェクトは、それらのユーザリストからこのユーザを削
除すべく更新され、かつDenyAll グループオブジェクト
は、このユーザをそのユーザリストに追加することによ
って更新する必要がある。別の例では、ターゲットオブ
ジェクトがアクセスオブジェクトツリー170から削除
されるならば、削除されたターゲットオブジェクトを参
照する全ての規則オブジェクトは、削除されたターゲッ
トオブジェクトをそれらのターゲットオブジェクトリス
トから取り除くように変更する必要がある。
【0036】アクセス制御オブジェクトツリー170を
自己矛盾がない状態に維持するということを確実にする
ために、アクセス制御オブジェクトツリー170に対す
る全ての変更は、アクセス制御構成手順(Access Contro
l Configuration procedure)210と称される手順によ
って実行される。Access Control Configuration proce
dure210は、アクセス制御ツリー170を変更するこ
とが認可されたユーザに図的ユーザインタフェース21
2を供給する。Access Control Configurationprocedur
e210は、認可されたユーザにアクセス制御ツリー1
70をナビームゲートさせ、検査させかつ変更させる。
認可されたユーザがアクセス制御ツリー170に対して
なされる変更を特定する毎に、Access Control Configu
ration procedure210も、それを自己矛盾がないよう
に維持するために要求されるアクセス制御ツリー170
に対する全ての他の変更を行う。
【0037】要求にアクセス制御規則を適用する 図5を参照して、一つ以上のサーバによる処理に対する
分割要求のインパクトを考慮せずにアクセス制御決定機
能176のオペレーションをまず説明する。後で、要求
分割及びサーバ間のデューティの部門を説明する。アク
セス要求を受け取った場合、アクセス要求は、グローバ
ル否定規則(ステップ220)、ターゲット型否定規則
(ステップ222)、グローバル認可規則(ステップ2
24)、及びターゲット型許可規則(ステップ226)
の順番で、連続的に比較される。アクセス要求に合致す
ることが見出された最初の規則は、それに適用される
(ステップ230)。合致する規則が見出されないなら
ば、適当なデフォルト規則が適用される(ステップ23
2)。最初に否認規則、次いで認可規則を適用すること
によって、アクセス否認規則は、アクセス認可規則より
も高い優先度が与えられる。また、この構造は、ユーザ
の広いグループに対してある一定の認可権利を認可すべ
く一組のアクセス規則を定めることを比較的容易にさせ
るが、それらのアクセス権利が否認されるべきサブグル
ープを特定する。
【0038】アクセス要求が二つ以上のターゲットオブ
ジェクトを伴うターゲットセットを有する場合、異なる
規則が要求によって特定されるターゲットオブジェクト
の異なるものに対して適用されうる。その場合、各特定
ターゲットオブジェクト又はターゲットオブジェクトの
サブグループに適用可能であるということが見出された
最初の規則は、そのターゲット又はターゲットのサブグ
ループに適用される。その結果、アクセス要求のある部
分は、認可されると同時に、他の部分は、否認されう
る。図6を参照すると、アクセス要求分割及び経路指定
手順172、アクセス制御決定ファンクション及びアク
セス制御エンフォースメントファンクション176、1
74、及び要求応答組合せて手順178によって実行さ
れる動作の順番が示されている。この説明は、事象レジ
ストリによって別個に処理される、事象通知に対するア
クセス要求に適用されないということに注目する。
【0039】各アクセス要求は、MIS150によって
受け取られ、それは、次いでアクセス要求をグローバル
否認規則と比較する(ステップ240)。合致が見出さ
れたならば、要求は否認され、かつ妥当ならば応答はイ
ニシエータに戻される(ステップ242)。(A)適用
可能なグローバル否認規則が“Deny without Response
(応答なし否認)" の強制動作を特定する場合、又は
(B)要求それ自体が“unconfirmed (確証がない)"
モードを特定する場合には、応答はイニシエータに戻さ
れない。グローバル否認規則で合致が見出されなかった
ならば、MISは、処理のために要求が送られるサーバ
を決定すべく要求において特定されたターゲットセット
をサーバマッピングテーブル173に対するサブツリー
と比較する(ステップ244)。要求のターゲットセッ
トが二つ以上のサーバのドメイン内にあるならば、アク
セス要求はサブ要求に区分され、次いで、各サブ要求は
その対応サーバに送られる。要求が区分された場合、最
初の要求におけるターゲットセットは、関連サーバのド
メインを有するターゲットオブジェクトだけを特定する
ように各サブ要求に対して調整される。
【0040】要求のターゲットセットが単一サーバのド
メイン内にあるならば、要求全体は、処理のためにその
単一サーバに送られる。ある場合には、要求を処理する
ためのサーバは、MISであり、そのような場合には要
求は、MISの局所要求キューの末尾に追加される。M
ISから要求を受け取る各補助サーバは、受け取った要
求を処理のためにその局所要求キューに配置する。MI
Sは、それらが処理のために送られたサーバのテーブル
示により、全ての顕著なアクセス要求に対して状態情報
アレイ180(図3)を保持する。アクセス要求が処理
のために送られる各サーバにおいて、アクセス要求は、
アクセス制御決定ファンクションそしてアクセス制御強
制ファンクションを実行することによって実行される。
より特定的には、図5を再び参照すると、ステップ22
0がMISによって既に実行されているので、アクセス
制御決定ファンクションのステップ222から232ま
では、各サーバにおいて実行される。各アクセス要求に
対する否認/認可決定は、安全保護監査トレールに記憶
されうる。
【0041】本発明の好ましい実施例では、アクセス制
御決定ファンクションは、グローバル構成パラメータの
使用を通して、安全保護監査トレールにおけるアクセス
決定の“logging (ロギング)" の以下のレベルのいず
れかを呼び出すべく構成することができる:(A)情報
がログされないで、オフ、(B)アクセス要求認可及び
否認についての要約情報を記憶し、イニシエータの識
別、要求されたオペレーション、及びアクセスが認可又
は否認されたターゲットオブジェクト又はオブジェクト
のセットだけを示す、(C)各アクセス要求認可又は否
認に対して、アクセス要求全体がログされる、全ロギン
グレベル、並びに、アクセスが認可又は否認されたター
ゲットオブジェクトについての全情報。各サーバにおい
て、要求及びサブ要求によって生成された応答は、決定
されかつMISに送り返される(ステップ246)。そ
して、MISにおいて、要求が二つ以上のサブ要求に区
分されたならば、応答は、組合され、かつ組合された応
答は、もしあれば、イニシエータに戻される(ステップ
248)。要求が区分されなければ、応答は、もしあれ
ば、イニシエータに送られる。また、アクセス要求は、
未決定要求状態テーブル(係属中の要求状態テーブル)
180から削除される(図3)。
【0042】要求が二つ以上のターゲットオブジェクト
を有する場合に応答を組み合わせること 図7は、アクセス要求のターゲットセットが二つ以上の
管理オブジェクトを含む場合にアクセス要求応答が組合
される方法を示しているチャートである。図7のチャー
トは、要求によって特定された少なくとも一つのターゲ
ットオブジェクトへのアクセスが否認された場合にのみ
適用される。全てのターゲットオブジェクトへのアクセ
スが認可される場合には、全てのターゲットオブジェク
トによって生成された応答は、単に組み合わされかつイ
ニシエータに戻される。図7におけるチャートの“non-
scoped operation(非有効範囲動作)" 行に対応してい
る、要求のターゲットセットに一つのオブジェクトだけ
がある場合、応答を組み合わせる必要はない。要求が承
認済要求であれば、適用可能な規則によって生成された
アクセス否認応答は、イニシエータに戻される。適用可
能な規則によって生成された応答が“deny without res
ponse (応答なし否認)" であれば、何の応答も戻され
ない。要求が未承認要求であれば、要求が認可されたか
否認されたかに係わらず何の応答も戻されない。
【0043】要求が図7におけるチャートの“scoped o
peration(有効範囲動作)" 部分に対応している、二つ
以上のターゲットオブジェクトを特定する場合、戻され
る応答の型は、要求のシンクパラメータ(synch paramet
er) に依存する。要求がアトミック要求であれば、ター
ゲットオブジェクトのいずれかへのアクセスが否認され
る場合には、オペレーション全体が失敗する。要求が承
認済要求であれば、単一の“access denied (アクセス
否認)" 応答がイニシエータに戻される。さもなけれ
ば、要求が未承認要求であれば、何の応答もイニシエー
タに戻されない。要求が二つ以上のターゲットオブジェ
クトを特定し(“scoped operation(有効範囲動作)"
)かつ“best effort (最良努力)" シンクモード(sy
nch mode)を特定する場合には、アクセスが認可される
オブジェクトによって生成された応答は、ユーザに戻さ
れる。アクセスが否認される各オブジェクトに対して、
要求が承認済要求でありかつ適用可能な規則が“deny w
ith response(応答を有する否認)" の強制作用を有す
るならば“access denied (アクセス否認)" 応答が戻
される。さもなければ、適用可能な規則が“deny witho
ut response (応答なし否認)" の強制作用を有するな
らば、アクセスが否認されるオブジェクトに対して何の
応答も戻されない。
【0044】そして、要求が未承認要求であるならば、
要求のどの部分が認可されどの部分が否認されたかに係
わらずイニシエータに何の応答も戻されない。定義によ
り“get(ゲット)"応答の目的が情報を検索することなの
で、未承認要求は、“get(ゲット)"オペレーションを有
することができないということに注目すべきである。図
7において要約された応答組合せオペレーションは、要
求又はサブ要求が処理される各サーバ150、152で
まず実行され、かつサブ要求に区分される要求に対して
MISで再び実行される。二つ以上のサーバにおいて区
分されかつ処理されるアトミックアクセス要求に対し
て、アクセス制御強制ファンクションは、アクセス制御
決定ファンクションに対する結果がMISによって組み
合された後にだけ実行される。アクセス要求が一つのサ
ーバだけで処理される(即ち、全てのそのターゲットオ
ブジェクトが単一サーバ150,152のドメイン内に
ある)場合には、応答組合せオペレーションは、要求を
処理しているサーバによってだけ実行される。
【0045】事象通知へのアクセスを制限する 本発明では、事象(Event )(通知(Notifications) )
へのアクセスは、アクセス制御規則ベースの規則を用い
て、オブジェクトをアクセスするのと同じ方法で制御さ
れる。X.741は、X.741のアクセス制御機構が
適用可能であるオペレーションタイプの一つのタイプと
して事象通知を含まない。事象通知アクセス制御問題の
例は、次の通りである:電話ネットワークプロバイダ
は、顧客Aが顧客Bに対して設置された新しいネットワ
ーク資源についての通知を受け取ることを欲しないが、
顧客Aは、全ての事象通知を受け取るべくそれ自身を登
録する。本発明は、(A)アクセス規則データベースの
規則によって支配される一組のオペレーション型に事象
通知を追加し、かつ(B)アクセス規則データベースの
規則に基づき事象通知メッセージをフィルタするシステ
ムの事象ルータにフィルタリング機構を追加することに
よって事象通知アクセス制御問題を解決する。それゆえ
に、ターゲットオブジェクトがアクセス制御オブジェク
トツリー170において画定される場合、ターゲットオ
ブジェクトのオペレーションリストにおいて特定するこ
とができるオペレーションの一つは、“事象通知(even
t notifications"である。好ましい実施例では、ターゲ
ットオブジェクトにおいて特定された事象通知オペレー
ションは、一組の特定管理オブジェクトに対する全ての
事象通知を特定することができるか、またはターゲット
オブジェクトに含まれるべき事象通知の型を特定すべく
ターゲットオブジェクトのフィルタフィールドを用いて
ある一定の特定の型の事象通知を特定することができ
る。例えば、ターゲットオブジェクトは、SNMP又は
CMIP生成事象に適用されうるが、オブジェクト生成
及び削除事象のような他の型の事象には適用されない。
【0046】更に、特定のターゲットオブジェクトは、
事象通知を含んでいる複数のオペレーションに対する一
組の管理オブジェクトへのアクセス権利を画定するため
に用いることができる。例えば、特定の組の管理オブジ
ェクトに関するいずれか及び全ての情報へのアクセスを
否認するために否認規則と共に用いられるべきターゲッ
トオブジェクトは、そのオペレーションのリストに事象
通知を一般的に含む。代替的に、適当である場合には、
別個のターゲットオブジェクトは、事象通知アクセス権
利を画定するために用いることができる。図8を参照す
ると、MIS150は、事象レジストリ184を保持す
る。より精確には、事象レジストリ184は、ユーザ事
象要求のテーブル260を保持するソフトウェアモジュ
ールである。MISは、どのオブジェクトが要求によっ
て特定されるかに係わりなく、その特定オペレーション
型が“事象通知" である全てのアクセス要求を事象レジ
ストリ184に指向する。テーブル260は、どのユー
ザ又は他のエンティティがそれらの事象通知のコピーを
受け取る要求を登録したかということを、管理オブジェ
クト又はアクセス制御オブジェクトのいずれかによって
生成することができる特定の事象通知に対して、示して
いる情報を記憶する。事象レジストリテーブル260
は、ユーザ及び他のエンティティが要求した事象につい
ての情報だけを記憶する。事象通知登録要求(“事象通
知" と同様なオペレーション型を有するアクセス要求で
ある)は、特定オブジェクト、オブジェクトの特定クラ
ス、又はオブジェクトの特定サブツリーのいずれかによ
り特定することができる。それゆえに、例えば、ユーザ
は、ルータオブジェクト(即ち、オブジェクトのクラス
である)に対する全ての事象通知の受取りを要求しうる
し、かつのカリフォルニア州に配置されたルータ又は特
定の会社によって製造されたルータだけのような、フィ
ルタを更に特定しうる。ユーザ及びエンティティは、先
の要求を取り消すこともできる。
【0047】好ましい実施例では、事象レジストリ18
4は、要求が意味的に正しくかつ事象が要求さあれる特
定オブジェクトが実際に存在することを確実にすべく登
録要求をチェックするだけである。それゆえに、好まし
い実施例では事象レジストリ184は、登録要求が要求
通知を実際に受け取るようにセキュリティクリアランス
を有するようにするユーザ又はエンティティであるかど
うかを確認しない。そのジョブは、事象ルータ186に
与えられ、各事象通知が処理されるときに事象通知アク
セス権利をチェックする。その結果、事象通知に対する
ユーザのアクセス権利におけるあらゆる変化が事象ルー
タによって考慮されかつ事象レジストリ184に記憶さ
れた情報に影響を及ぼさない。事象通知を受け取ること
を登録することができるユーザ以外のエンティティは、
MIS150及び補助サーバ152、ログサーバ(以下
に詳述する)、及びアクセス制御エンジンの一部である
事象オブジェクト(例えば、以下に詳述するデータベー
スオブジェクト)を含む。
【0048】(図8で“other event sources (他の事
象源)" によって示される)管理オブジェクトによって
生成された事象通知及び(図8の特別補助サーバ154
によって示される)アクセス制御オブジェクトによって
生成される事象通知を含んでいる全ての事象通知は、M
IS150の事象ルータ186に送られる。事象ルータ
186は、また、事象レジストリ184のユーザ事象要
求260のテーブル及びアクセス制御ツリー170への
アクセスを有する。事象ルータ186によって受け取ら
れた各事象通知に対して、事象ルータは、どのユーザ及
びエンティティがその事象通知のコピーを要求したかを
まず決定し、そして、それらのユーザ及びエンティティ
のどれがそれらの事象通知を受け取るための権利を有す
るかを決定する。事象通知へのアクセス権利の決定は、
図5に示すように、アクセス制御決定ファンクションを
用いて実行される。それゆえに、事象ルータは、マッチ
ング規則が識別されるまでグローバル否認規則、ターゲ
ット否認規則、グローバル認可規則及びターゲット認可
規則を順番に調べる。マッチング規則が見出されないな
らばデフォルト規則が適用される。マッチング規則は、
(A)“事象通知"オペレーションに適用し、(B)事
象通知を生成したオブジェクトに適用し、かつ(C)リ
クエスタがメンバであるグループに適用しなければなら
ない。
【0049】その事象通知へのアクセス権利を有する事
象通知の各リクエスタに対して、事象ルータは、それぞ
れが単一の認可されたユーザ又はエンティティにアドレ
ス指定される、対応する事象通知メッセージを生成す
る。それゆえに単一事象通知は、対応するアクセス権利
を有するリクエスタの数により、ゼロ事象通知メッセー
ジ、または多くの事象通知メッセージを結果として生じ
うる。好ましい実施例で用いられる事象レジストリ18
4及び事象ルータの一つの特定のアプリケーションは、
以下の通りである。アクセス制御ツリー170への全て
のアクセス要求及びアクセス制御ツリー170の変更を
扱う特別補助サーバ154が存在する。換言すると、そ
のターゲットセットがアクセス制御ツリー170に位置
決めされる(事象通知アクセス要求以外の)アクセス要
求は、特別補助サーバ154にMIS150によって送
られる。更に、アクセス制御ツリー170に対する全て
の変更は、事象ルータ186に送られる事象通知の発生
を結果として生ずる。特に、新しいアクセス制御オブジ
ェクトの生成、アクセス制御オブジェクトの削除、及び
あらゆるアクセス制御オブジェクトの属性の変更は、全
て、事象通知の発生を結果として生ずる。
【0050】MIS150及び補助サーバ152は、ア
クセス制御ツリー170における変更に関する全ての事
象通知を受け取るべく事象レジストリ184に全て自動
的に登録される。また、MIS150及び補助サーバ
は、全ての事象通知へのアクセス権利を有する一組の
“super users (スーパーユーザ)" にも含まれる。更
に、MIS150及び補助サーバ152によって共有さ
れるライブラリ手順の間では、事象受け取り及び処理手
順262である。MIS150及び補助サーバ152が
アクセス制御ツリー170における変更を示しているあ
らゆる事象通知を受け取る場合には、各サーバによって
呼出される事象処理手順262は、アクセス制御ツリー
170のサーバの局所コピーに対して同じ変更を行う。
その結果、サーバ150,152のそれぞれにおけるア
クセス制御ツリー170の局所コピーは、実質的に同時
に更新される。 管理情報への直接データベースアクセス X.741は、管理オブジェクトデータベースへのSQ
Lアクセスを求めないし、提案さえもしない。事実、D
BMS機構を介する直接アクセスは、それがセキュリテ
ィ漏れの潜在的な源なので、X.741の目標と反対で
あるとして見られうる。しかしながら、大きな通信ネッ
トワークのコーポレートカスタマは、レポート生成の目
的のために管理情報への直接“読取り専用" アクセスを
要求している。本発明の直接アクセス機構は、ネットワ
ークオブジェクトの状態又は過去の性能についてのレポ
ートを画定しかつ発生すべく標準DBMSレポートジェ
ネレータを用いて管理情報への、制限された、読取り専
用アクセスを供給する。これは、ユーザにとっては、都
合がよく、かつ実行されるべき唯一のタスクが状態レポ
ート及び他のネットワークシステム解析レポートの生成
である場合にSNMP(又は他のネットワーク管理プロ
トコル)を用いてネットワーク管理情報検索の複雑さを
回避する。
【0051】本発明の直接アクセス機構は、ネットワー
クへの普通の管理インタフェースを介して要求されたな
らば認可されるであろう情報へのアクセスだけをユーザ
に許容する。図9を参照すると、直接情報アクセス機構
の主要構成要素は、以下のものである:それぞれが種々
のユーザが直接SQL型アクセスを要求した事象通知を
記憶する、事象ログ282を記憶するための通常のデー
タベース管理システム(DBMS)280;及びその主
要ファンクションが事象通知を事象通知を事象ログに記
憶するためのSQL挿入文に変換することであるログサ
ーバ290。通常のDBMS280は、情報のテーブル
を記憶する。図9は、事象ログ282を示すが、各事象
ログは、実際には一つ以上のデータベーステーブルであ
り、各データベーステーブルは、異なる型の事象通知を
記憶する。DBMS280は、また、DBMSのテーブ
ルのそれぞれへのアクセス権利を構成(即ち、確立)す
る、アクセス特権モジュール284も有する。例えば、
アクセス特権モジュール284は、どのユーザが事象ロ
グ282を構成するテーブルへのアクセスを有するかを
示しているアクセス権利情報を記憶するアクセス特権テ
ーブルを有しうる。しかしながら、アクセス特権モジュ
ール284は、各データベーステーブルを伴うアクセス
特権情報を記憶することによるような、他の方法で実行
されうる。本発明は、データベーステーブルアクセス権
利を確立するためにアクセス特権モジュール284によ
って用いられる特定の機構に依存しない。
【0052】好ましい実施例では、特定のユーザが特定
のテーブルへの読取りアクセスを有すると共に、(シス
テム管理者以外に)ログサーバ290だけが事象ログテ
ーブルへの書込みアクセスを有する。標準SQLエンジ
ン286は、ログサーバ290からの挿入文並びに、ユ
ーザ通信インタフェース288を介して提出されるユー
ザ処理又はワークステーション300からの読取り要求
を処理する。ログサーバ290は、システムによって生
成された全ての事象通知を受け取るべく事象レジストリ
で登録され、かつ対応しているアクセス権利を有する。
ログサーバ290は、MIS150と同じコンピュータ
又はコンピュータノード上で実行されるソフトウェアエ
ンティティ又は処理であるのが好ましい。ログサーバ2
90の一組のフィルタ291、294は、どの事象通知
がどこへ記憶されかということを決定する。ログサーバ
の第1のフィルタ291は、セキュリティオーディット
トレールフィルタ(security audit trail filter) と呼
ばれる。このフィルタ291は、MIS150及び補助
サーバ152によって生成された“access grant(アク
セス認可)" 及び“access denial (アクセス否認)"
事象通知をパスする(図8参照)。セキュリティオーデ
ィットトレールフィルタ291は、事象通知全体、又は
その特定された部分のいずれかを、セキュリティオーデ
ィットトレールファイル182に選択的に記憶すること
ができる。より特定的には、セキュリティオーディット
トレールが詳細モードで稼動すべく構成される場合に
は、セキュリティオーディットトレール182は、全て
のアクセス要求及びその全体の対応する出力を記憶す
る。セキュリティオーディットトレールが短縮モードで
稼動すべく構成される場合には、セキュリティオーディ
ットトレール182は、全てのアクセス要求の短かくさ
れたテーブル現及び対応する出力を記憶する。
【0053】セキュリティアラームフィルタと呼ばれ
る、別のログサーバフィルタ292は、セキュリティア
ラームが生成されかつオブジェクトアクセスの否認が存
在する場合にのみログに記憶される、セキュリティオー
ディットトレール182から分離するSecurity Alarm
(セキュリティアラーム)ログ293を生成するために
用いられる。好ましい実施例では、記憶されたセキュリ
ティアラームは、各否認されたアクセス要求を起動した
ユーザを識別する。図9に示した他の型のログサーバフ
ィルタは、事象ログフィルタ294である。各事象ログ
フィルタは、事象通知の特定の組だけをパスすべく設定
される。例えば、特定のカスタマは、そのカスタマに割
当てられた管理オブジェクトに対する全てのSNMP/
CMIP事象通知への直接アクセスをその従業員のある
一定のグループが有するということを要求しうる。ログ
生成/削除手順296は、以下によって対応する事象ロ
グを画定するために用いられる: (A)要求事象通知(別個の事象通知型毎に一つの別個
のDBMSテーブル)を記憶するためのDBMSテーブ
ル282の対応する組(即ち、事象ログ)を画定しかつ
初期化すること; (B)データベースオブジェクト298を画定しかつ生
成し、かつそれらの事象通知を受け取るためにユーザの
権利に影響を及ぼしている事象通知を受け取るべく事象
レジストリを有するデータベースオブジェクト298を
登録する;データベースオブジェクト298は、事象ロ
グが記憶されるDBMSテーブルのリストを含む第1の
属性、及び事象通知へのアクセス権利を伴うグループの
リストを含む第2の属性を含む; (C)グループ名がデータベースオブジェクト298に
まず追加されて、データベースオブジェクト298は、
事象ログ282を構成しているテーブルへのアクセス権
利を伴うユーザの初期セットを画定すべくデータベース
テーブルアクセス認可コマンドの初期セットをDBMS
に送る;及び (D)要求された事象通知だけをパスしかつ各パスされ
た事象通知をDBMSテーブルの対応するものに挿入す
るためにそれらをSQL挿入文に変換するために事象ロ
グフィルタ282を画定しかつ生成する。
【0054】各事象ログ282に対して、(1)事象通
知が事象ログに記憶されるべき管理オブジェクトのター
ゲットセット、及び(2)事象ログに含まれるべき事象
通知の型を画定するアクセス制御オブジェクトツリー1
70に一つ以上の対応ターゲットオブジェクトが存在す
る。特定の事象ログに対して、承認されたユーザのグル
ープのセットは、その事象ログの全ての事象通知に対し
て同じでなければならない。事象ログへのアクセスを認
可されるべきユーザのグループにおけるあらゆる変更
は、事象ログに対応しているターゲットオブジェクトへ
の属性変更についての事象通知を受け取るべく事象レジ
ストリでデータベースオブジェクトを登録することによ
って対応データベースオブジェクト198に通信され
る。また、データベースオブジェクト298は、事象ロ
グへのアクセス権利を有するグループに対するグループ
オブジェクトへの属性変更の事象通知を受け取るべく登
録される。
【0055】特定事象ログ282に対するデータベース
オブジェクト298が事象ログ291へのアクセス権利
を伴うグループの一つのメンバーシップにおける変更
(即ち、追加及び/又は削除)、又は事象ログの事象通
知へのアクセスが与えられるべきグループのセットにお
ける変更を通知される場合にはいつでも、データベース
オブジェクト298は、対応アクセス認可及びアクセス
取り消しコマンドをDBMS280に送る。次いで、ア
クセス特権モジュール284は、それによりデータベー
ステーブルアクセス権利を再構成する。事象ログに対応
している事象通知が生成されると、事象通知は、ログサ
ーバ90に事象ルータ186によって送られる。ログサ
ーバ290は、事象通知を事象ログのフィルタ294に
送り、そこで事象通知は、SQL挿入文に変換されかつ
記憶のためにDBMS280に送られる。同じ事象通知
のあるものが二つ(又はそれ以上)の異なる事象ログ2
82に含まれるならば、同じ事象通知は、DBMSno
異なるテーブルに二度(又はそれ以上)記憶されるであ
ろう。
【0056】SQLエンジン286は、事象ログに対し
て先に画定されたアクセス制限を強制する。特に、DB
MSのテーブルからの情報に対する全てのユーザ問合せ
は、アクセス特権モジュール284によって確立された
アクセス権利に対してSQLエンジン286によってチ
ェックされ、かつそれらのアクセス権利に完全に従う問
合せだけが処理される。ユーザがアクセス権利を有さな
いテーブルからの情報を要求しているユーザ問合せは、
SQLエンジン286によって拒否される。DBMS2
80からの情報に対するユーザ要求は、SQL問合せの
形で提出されなければならないので、DBMSに対して
利用可能な全てのレポートジェネレータツールは、管理
情報に対するSQL問合せを生成することに適用するこ
とができる。それゆえに、図9に示したDBMSアクセ
ス機構は、管理情報サーバによって供給されたものと同
じアクセス制限を供給すると同時に、高速でかつよく知
られたDBMSアクセスツールを使用することの便利さ
を供給する。更に、DBMS280によって課せされた
アクセス制限は、対応事象通知へのアクセス権利が、管
理オブジェクトツリーの情報へのアクセスを制御する主
要アクセス制御エンジンにおいて変更されるときにはい
つでも自動的に更新される。
【0057】代替実施例 管理オブジェクトデータベースに記憶される管理情報へ
の直接SQLアクセスの一実施例は、上述された。以下
に更なる二つの実施例を説明する。アクセス制御は、上
記の説明ではユーザのグループに制限されているけれど
も、以下に説明する第2及び第3の実施例の両方では、
アクセス制御は、グループだけでなく個々のユーザも含
むべく拡張される。本発明の直接アクセス機構は、ネッ
トワークへの正規の管理インタフェースを介して要求さ
れたならば認可されるであろう情報へのアクセスをユー
ザに許容する。以下の説明では、同様な参照番号は、既
に説明した構成要素を含む、同様な構成要素を参照する
ための用いられる。
【0058】直接情報アクセスシステムの第2の実施例 図10を参照すると、ビューを用いる直接情報アクセス
システム1000が示されている。直接情報アクセスシ
ステム1000の主要構成要素は、テーブル310、3
20を記憶するための通常のDBMS280、アクセス
制御サーバ330、アクセス制御ツリー170、情報転
送モジュール340、及びネットワーク106。ネット
ワーク106及びアクセス制御ツリー170は、上述し
た。アクセス制御サーバ330は、上述したアクセス制
御決定ファンクション110及びアクセス制御エンフォ
ースメントファンクション112を備えている。情報転
送モジュール340は、上述した事象ルータ186及び
ログサーバ290を備えている。更に、情報転送モジュ
ール340は、ネットワーク106からDBMS280
のテーブル310、320に管理オブジェクト状態値の
ような、非事象関連情報を転送することができる。上述
したように、好ましい実施例では、特定のユーザが特定
のテーブルへの読取りアクセスを有すると同時に、情報
転送モジュール340及びシステム管理者だけがテーブ
ルへの書込みアクセスを有する。SQLエンジンのよう
な標準データベースアクセスエンジン286は、情報転
送モジュール340からの挿入文並びにユーザ処理又は
ワークステーション300からの読取り要求を処理す
る。
【0059】DBMS280は、情報のテーブル、Tabl
e 1 からTable N、310及び320をそれぞれ記憶す
る。より特定的には、各テーブル310,320は、事
象ログのエントリ又は管理オブジェクトの一つのクラス
に対する管理情報(例えばルータ)のいずれかを記憶す
る。テーブル310,320は、行311、312、3
21、322に管理情報を記憶する。また、図11Aを
参照すると、データベーステーブルの各行のフォーマッ
トは、データの列:Data 1, …, Data Nが後に続く管理
オブジェクトの“fully distinguished name(完全識別
ネーム)" (FDN)と呼ばれるフィールドを含むのが
好ましい。好ましくは、各行に対するFDNは、その情
報がその行に記憶される管理オブジェクトに対するツリ
ー経路(管理オブジェクトツリーを通して)を表わす。
オブジェクトに対するツリー経路は、a 、b 及びc がツ
リー経路に沿ったノードを示す、“a/b/c/…" の形で表
わされうる。例えば、FDNは、 /systemid= “sys1"/owner=“abccompany"/devicetype=
“router"/… のようになる。
【0060】FDNは、テーブルに記憶されたデータに
対して主要キーとして動作する。以下に説明するセキュ
リティ機構を用いて、FDNは、どの管理オブジェクト
を特定のユーザがアクセス又は変更することを許可され
るか決定するキーとして用いられる。図10を再び参照
すると、上述した実施例とは異なり、この実施例では、
テーブル310、320の行311、312、321、
322は、多くのユーザのネットワークに関連する管理
オブジェクトに対する管理情報を含む。本発明は、各ユ
ーザが当該ユーザがアクセス制御サーバ330によりア
クセスすることを許可されるであろう管理情報へのアク
セスだけを許可されるようにデータベーステーブル31
0、320の管理情報へのアクセスを制限する方法を提
供する。即ち、アクセス制御ツリー170によって表わ
される同じ管理情報アクセス権利及び制限もまたDBM
Sによって強制される。 Views (ビュー) テーブルに記憶される管理情報へのユーザアクセスを制
限するために、この第2の実施例は、“Views (ビュ
ー)" と呼ばれるデータベースファンクションを用い
る。DBMS280のデータベースアクセスエンジン2
86は、Views をインプリメントするモジュールを有す
る。Views は、データベースエンジンによって用いられ
るよく知られたツールである。Views は、例えば、デー
タベーステーブル列に容易に覚えられるエイリアスを割
当てることによって、未経験なユーザが問合せを生成す
ることを容易にさせるためにしばしば用いられる。View
s は、ユーザにアクセス可能であるデータベーステーブ
ルの列及び行を制限するためにも用いることができると
いうこともよく知られている。
【0061】Viewは、本質的に、ユーザからある一定の
列及び行を隠すことによって、又は代替的に特に指定さ
れた列及び行へのユーザのアクセスを制限することによ
って、アクセスを制限するために用いることができる。
また、あるデータベースエンジンは、ユーザの特定のセ
ットに特定のViewの使用を制限するためのセキュリティ
機構も供給する。Views のこれらのファンクションは、
当業者によく知られており、それらが本発明のこの実施
例によって利用されるということを除いて、詳細に説明
しない。SQLコマンドのパラメータとしてテーブルの
ネームを用いることによって、テーブル310,320
の列(フィールド)を直接アクセスする代わりに、ユー
ザは、ユーザがアクセス権利を与えられたViewを介して
データベーステーブルをアクセスしなければならない。
Viewは、ユーザがアクセスを与えられたテーブル列及び
行を制限するようにユーザのデータアクセス要求をフィ
ルタする。
【0062】この実施例では、ユーザ及びデータベース
テーブルの各可能なペアリングに対して別々のViewが用
いられかつ各Viewは、ユーザ−テーブルペアを識別する
ような方法で命名される。好ましくは、Views に対する
命名規定は、“view#tablename#username"であり、ここ
で“tablename"は、テーブルのネームを表わし、“user
name" は、ユーザのネームを表わす。例えば、Views 3
50のセットは、ネーム“view#Table1#user1"を伴うvi
ew351を含む。また、図11Bを参照すると、管理情
報に対するユーザ要求1102は、要求の一部として一
つ以上のViewネームを含み、各Viewネームは、“view#t
ablename#username"命名規定を後続する。Viewの各ネー
ムは、対応テーブルネームの代わりにSQLコマンドに
おいて用いられる。例えば、そのFDNが“/a/b/c" に
等しい管理オブジェクトに対する“table 1" と命名さ
れたテーブルのデータを読取るために、“Max"と命名さ
れた承認されたユーザは、 SQLコマンド:SELECT* FROM view#table1#max WHERE
FDN= “/a/b/c" を用いるであろう。
【0063】好ましい実施例では、Views は、各所望の
ユーザネーム- テーブルネームペアリングに対して生成
される。代替的に、Views は、各所望のグループネーム
−テーブルネームペアリングに対して生成されうる。代
替実施例では、個々のViewは、各ユーザネームに対して
画定されるが、複数のテーブルをアクセスするために用
いられる。代替的に、各Viewは、ユーザのグループ(単
一のグループネームに対応している)に対して画定され
かつ複数のテーブルをアクセスするために用いられる。
【0064】Viewを生成する Viewを使う前に、Viewを生成しなければならない。好ま
しくは、システム管理責任者302は、アクセス制御サ
ーバ330に記憶される“Create#View"procedure (手
順)362を呼出すことによってViews 350を生成す
る。システム管理責任者302は、Create#View proced
ure 362に対する呼出しを呼出し、それは次いで所望
のViewを生成すべくDBMS280にCreate View SQL
command360を実行させる。Create#View procedure
362は、View351、352を生成すべくアクセス制
御ツリー170によって画定されたユーザアクセス権利
をSQLコマンドにマップする。この第2の実施例では
(及び第3の実施例においても同様に)、アクセス制御
ツリー170は、管理オブジェクトをアクセスことを許
可される全てのユーザを一緒にリストするグループオブ
ジェクト200及びグループオブジェクト202を含
む。Create#View procedure 362を呼出す場合、手順
にパスされるパラメータは、ユーザネームのリスト及び
管理オブジェクトを含んでいるデータベーステーブルの
リストを含む。リストされたユーザネーム及びテーブル
の全ての可能なペアリングに対するViews は、リストさ
れたテーブルに対する現行オブジェクトアクセス規則に
基づいて生成される。所与のユーザ及びデータベーステ
ーブルに対して、Create#View procedure 362は、us
erTargetMap と呼ばれる固有のユーザターゲットマップ
を生成する。userTargetMap は、global Deny Flag(グ
ローバル否認フラグ)、global Grant Flag(グローバ
ル認可フラグ)、item Deny list(項目否認リスト)、
item Grant list (項目容認リスト)を有する。項目
は、行に対応しかつ行は、一つの管理オブジェクトに関
連する管理情報を記憶する。userTargetMap を構築する
ために、Create#View procedure 362は、所望のユー
ザが、事実、少なくともある管理オブジェクトへのアク
セスを有する承認されたユーザであるかどうかを決定す
べくアクセス制御ツリー170の規則をチェックする。
そうであれば、Create#View procedure 362は、所与
のユーザ及び所与のテーブルのオブジェクトの両方に適
用可能な全ての規則を解析しかつuserTargetMap の適当
なフラグを設定するか又はitem Deny list(項目否認リ
スト)及び/ 又はitem Grant list (項目容認リスト)
におけるFDNsのリストを更新するかによってuserTa
rgetMap を更新する。
【0065】次いで、Create#View procedure 362
は、ユーザ- テーブルペアに対するuserTargetMap を
“Create View"SQLコマンド360に変換する。View
を生成するための例示的SQLステートメントは、次の
ようである: CREATE VIEW view#Table1##scott FROM Table1 WHERE FDN IN [FDN for managed object 1, FDN for managed object 2, …] このコマンドによって生成されたViewを用いてアクセス
可能であるテーブルの全ての行は、Where クローズ
(句)にリストされたそれらのFDNsを有する。テー
ブルのどの行をWhere クローズにリストすべきかを決定
するために、userTargetMap は、次のように解釈され
る: ・ global Deny Flagが設定されたならば、Create#V
iew procedure 362は、empty view(エンプティビュ
ー)を生成する。 ・ デフォルトアクセスアクションがアクセスを認可
することであるか、またはglobal Grant Flag がTRU
E(真)であるならば、Create#View procedure362
は、item Deny Listを検査しかつitem Deny Listに含ま
れない適用可能なテーブルの全ての行(項目)のFDN
をWhere クローズに追加する。 ・ さもなければ、Create#View procedure 362
は、item Grant List にリストされるオブジェクトを決
定し、かつitem Grant List に含まれる各行(項目)の
FDNをWhere クローズに追加する。 代替実施例では、“Create View"SQLコマンドのWher
e クローズは、アクセス制御ツリー170のターゲット
オブジェクトのスコープ及びフィルタフィールドを対応
する Whereクローズ条件にマッピングすることによって
短縮することができる。その結果、Where クローズのあ
る項目は、管理オブジェクトのサブツリー全体を表わす
ようにワイルドカード文字を用いうる。Whereの他
の項目は、オブジェクトのサブツリー、或いはオブジェ
クトのツリー全体にも条件を設けうるし、それにより、
Viewに含まれるべきオブジェクトを間接的に特定する。
Viewに含まれるべきオブジェクトのグループを特定する
これらの方法の両方を示しているCreate View command
の例は、次のようである: ここで、“/partial#path1/%" 及び“/partial#path2/
%" は、両方ともに、その経路が特定の部分経路で始ま
る管理オブジェクトサブツリーにおける全てのオブジェ
クトが画定されたViewに含まれるということを示す。
【0066】Viewを生成した後、Create_View procedu
re362は、Viewが生成されたユーザにそれを用いる許
可を認可する。例えば、Viewを用いるための許可を認可
するためのSQLコマンドは、以下のようである: Format of Grant command: GRANT privilege type ON view#name To user Example of Grant Command: GRANT SELECT ON view#Table1#scott To scott. このGRANT ステートメントを実行した後、システム管理
責任者、“scott"と命名されたユーザは、“view#Table
1#scott"と命名されたViewを利用することができる。代
替実施例では、複数のテーブルに記憶される管理情報を
アクセスするために単一のViewを生成することができ
る。代替的に、単一ツリーのViewを生成することがで
き、かつViewへのアクセスは、グループ認可コマンドを
用いて、又は複数のユーザをリストしている一つ以上の
Grant コマンドを実行することによって、グループネー
ムを有しているグループの全てメンバーであるユーザの
グループに許可することができる。
【0067】Viewを問合せる 図10を再び参照すると、一度Viewが生成されると、ユ
ーザ300がDBMS280をアクセスすべくSQLコ
マンドを発行する場合、データベースアクセスエンジン
286は、Viewが要求されていたということをネームか
ら認識しかつview アクセスコントローラ380は、ユ
ーザ300がViewを問い合わせる許可を有するというこ
とをチェックする。view アクセスコントローラ380
は、データベースエンジン286に、ユーザのSQLコ
マンドで命名されたViewを問い合わせるかどうかを知ら
せるべくデータベースエンジン286に応答する。
【0068】Viewを更新する この実施例では、アクセス制御サーバ330は、アクセ
ス制御データベースに対する全ての変更を実行するアク
セス制御構成手順210(図4参照)を有する。この実
施例では、アクセス制御構成手順210は、コマンド、
Call to an Update#View procedure372を発行する。
Update#View procedure 372は、DBMSにDelete V
iew SQL instruction 370を実行させることによって
既存のViewを削除する。次いで、Update#View procedur
e 372は、Viewを再生成するためにCreate#View proc
edure 362を呼出す。
【0069】メモリ 図12A及び12Bを参照すると、アクセス制御サーバ
のメモリ及びDBMSは、更なるデータ及び手順を記憶
する。図12Aは、先に記述されたもの並びにこの第2
の実施例に対してアクセス制御サーバ330のメモリに
記憶される更なる情報を示す: ・ アクセス制御ツリー170; ・ ターゲットオブジェクト204、規則オブジェク
ト206、グループオブジェクト200及びユーザオブ
ジェクト202を含む、アクセス制御ツリー170の規
則260; ・ DBMS280のCreate View SQL command 36
0を呼出すためのCreate#View procedure 362;及び ・ 上述したようなUpdate#View procedure 372。
図12Bは、第2の実施例に対してDBMS280のメ
モリに記憶される情報のあるものを示す: ・ それぞれが行311、312、321、322を
有している、データベーステーブル1からN310、3
20; ・ データベースアクセスエンジン286; ・ ユーザのグループに対して生成された個々のユー
ザ及び/ 又はView353、354に対して生成されたVi
ew351、352を含んでいる、Views のセット35
0; ・ Create View SQL command 360; ・ Delete View SQL command 370; ・ grant access SQL command(アクセス認可SQL
コマンド)374; ・ revoke access SQL command (アクセス取り消し
SQLコマンド)376;及び ・ view(ビュー)アクセスコントローラ380。 管理オブジェクトへの直接アクセスを制御する方法 図13Aは、ユーザ及びグループに対して管理オブジェ
クトへの直接ユーザアクセスをそれぞれ制御する方法を
示す。
【0070】ユーザによる直接アクセス 図13Aを参照すると、ステップ1312及び1314
は、アクセス制御サーバ及びその後続の利用の初期構成
を表わす。より特定的には、ステップ1312ではアク
セス制御オブジェクトを含んでいるアクセス制御データ
ベースが記憶される。アクセス制御オブジェクトは、管
理オブジェクトの特定のセットへのユーザ(並びにユー
ザのグループ)によるアクセス権利を特定する情報を集
合的に記憶する。特定のアクセス権利は、ネットワーク
から管理情報を取得するためのアクセス権利を含む。ス
テップ1314は、アクセス制御を用いてアクセス制御
データベースによって特定されたアクセス権利に従って
管理オブジェクトへのアクセスをユーザに供給する。ス
テップ1316、1318、1320、1322及び1
324は、アクセス制御サーバによって強制されたもの
と調和するアクセス制限を伴う、管理情報への直接アク
セスを少なくともあるユーザに供給すべくDBMSを設
定するための手順を表わす。ステップ1316では、管
理情報は、ネットワークからデータベース管理システム
へ送られる。換言すると、ある一定の型の管理オブジェ
クトに対して、管理情報は、複製されかつDBMSに記
憶される。一般的に、個々のDBMSテーブルは、DB
MSを介してアクセス可能であるべくそれぞれ別個の型
の管理オブジェクトに対して設定される。第2及び第3
の実施例では、ログ及びログエントリは、他の全てのオ
ブジェクトのように処理される。
【0071】ステップ1318は、データベース管理シ
ステムの一組のデータベーステーブルに情報転送モジュ
ールによって送られた管理情報を記憶する。テーブル
は、対応する管理オブジェクトに対して個別の行に管理
情報を記憶する。換言すると、DBMSは、その管理オ
ブジェクト型に対して設定されたテーブルの別個の行に
各管理オブジェクトに対する情報を記憶する。ステップ
1320では、テーブルのユーザの特定されたセット及
び管理オブジェクトの特定されたサブセットに対する一
組のViews が生成される。ステップ1322では、一組
のViews は、データベース管理システムに記憶される。
一組のViews は、テーブルに記憶される管理情報へのア
クセスを制限する。セットの各Viewは、このViewを用い
てアクセス可能である特定のテーブルの行のサブセット
を画定する。アクセス可能な行のセットは、特定のユー
ザ(又はユーザのグループ)に対してアクセス制御デー
タベースによって特定される管理オブジェクトアクセス
権利に対応する。
【0072】ステップ1324は、どのViews がデータ
ベース管理システムの特定されたユーザ(又はユーザの
グループ)によって使用可能であるかを特定する。ステ
ップ1326では、テーブルの情報は、各ユーザが当該
ユーザがデータベース管理システムのアクセス制御デー
タベースによってアクセスすることを許可される管理情
報だけをアクセスするようにviews を用いてアクセスさ
れる。一度DBMSが先のステップによって設定された
ならば、ユーザは、制限なくDBMSのViews 及び情報
を利用し続けることができる。DBMSに管理情報を送
るためのステップ1316、1318は、サン新情報が
DBMSに記憶されることを確実にすべく継続的又は周
期的ベースで動作するのが好ましい。また、ステップ1
320、1322は、進行中の処理を表わす。アクセス
制御データベースに対する変更は、Views 定義に対して
対応する変更を行うことによってDBMSに複製され
る。
【0073】グループによる直接アクセス Views が個々のユーザの代わりにユーザのグループに対
して生成される場合、ユーザの各グループは、アクセス
制御ツリー170のグループオブジェクトの一つに対応
し、かつ各Viewは、ユーザの一グループだけによって使
用可能である。各承認されたユーザは、DBMSにログ
される場合、Views が生成されたグループの一つのメン
バーとして識別される。ユーザが二つ以上のグループの
メンバーであれば、ユーザは、ユーザがDBMSのデー
タをアクセスする場合に用いるであろうグループアクセ
ス権利を識別することを要求される。 Views を更新する方法 図13Bを参照すると、新しい管理オブジェクトが管理
オブジェクトツリーに追加されたときにはいつでも(ス
テップ1330)、DBMSで定義されたViews のセッ
トを更新するようにUpdate#View procedure が呼出され
る(1332)。同様に、アクセス規則がアクセス制御
データベースにおいて追加(ステップ1334)、削除
(ステップ1336)または変更(ステップ1338)
されたときにはいつでも、DBMSで定義されたViews
のセットを更新するようにUpdate#View procedure が呼
出される(1332)。
【0074】管理オブジェクトの属性値が変わる場合に
は(ステップ1340)、Update#View procedure が呼
出されうる(ステップ1332)。アクセス制御データ
ベースのフィルタフィールドは、管理オブジェクトの属
性値を用いてアクセス権利を画定する方法である。上記
したように、フィルタフィールドは、SQL“WHERE"ク
ローズと同等である。特に、アクセス制御データベース
の規則が変更された管理オブジェクトに関するユーザの
アクセス権利及びフィルタを有するならばUpdate#View
procedure は、呼出される。この実施例では、管理オブ
ジェクトが削除される場合には、Views は、更新されな
い。Viewが問合せられた場合には、削除された管理オブ
ジェクトに対する管理情報は、ユーザに戻されない。代
替実施例では、管理オブジェクトが削除される場合に
は、Update#View procedure 372は、呼出される。
【0075】Update#View procedure を呼出す場合に
は、手順にパスされたパラメータは、ユーザネームのリ
スト及び管理オブジェクトを含んでいるデータベーステ
ーブルのリストを含む。リストされたユーザネーム及び
テーブルの全ての可能なペアリングに対するViews は、
リストされたテーブルに対する現行オブジェクトアクセ
ス規則に基づいて再生成される。次に説明するように、
Views が更新されるデータベーステーブルのリストは、
管理オブジェクト生成又はアクセス規則の変更によって
潜在的に影響を受けるViews に制限されるのが好まし
い。オブジェクトが管理オブジェクトツリーに追加され
るか、またはアクセス規則が追加されるか或いはオブジ
ェクトに関して変更される場合には、変更されることが
必要なViews だけが、そのオブジェクトのオブジェクト
型についての情報を記憶するために用いられるテーブル
に対するViews である。各オブジェクト型に対してデー
タベースに一つのテーブルだけが存在し、従って、対応
オブジェクトが追加されるかまたは対応オブジェクトに
対する規則が生成されるか又は変更される場合にその一
つのテーブルに対するViews だけが更新される必要があ
る。
【0076】事象ログテーブルに関して、そのようなテ
ーブルに対するViews は、管理オブジェクトツリーへの
オブジェクトの追加によって一般的に影響を受けない
が、ある状況では、アクセス制御規則に対する変更は、
事象ログテーブル並びに一つ以上の管理オブジェクトテ
ーブルの両方へのアクセスに影響を与えうる。例えば、
全ての管理情報への特定ユーザアクセスを全体的に否認
する規則変更は、多数のViews に対する変更をもたらし
うるか、または代替的にそのユーザに対する全てのView
s をDBMSから削除させうる。同様に、管理オブジェ
クトの大きなサブツリーへの広範囲なアクセス権利をユ
ーザに与える規則変更は、多数のViews に対する更新を
もたらす。新しい管理オブジェクトの生成によってもた
らされたView更新の例は、次の通りである。XTable、Yt
able及びZTableと呼ばれるデータベースは、それぞれX-
MOC 、Y-MOC 及びZ-MOC と呼ばれる管理オブジェクトの
クラスを表わすものと想定する。また、XTableがX1-MO
I、X 2−MOI 及びX3-MOIを表わしている3つの行を有
し、二つのユーザU1及びU2が存在し、かつXTableに対し
て二つのViews :view#XTable#U1及びview#XTable#U2が
存在するものと想定する。X4-MOIと呼ばれる新しい管理
オブジェクトインスタンスが生成されたならば、Update
#View procedure 372は、X4-MOIが二つのviews のい
ずれかに追加されるべきかどうかを決定すべくアクセス
制御データベースをチェックする。アクセス制御データ
ベースをチェックした後に、Update#View procedure
が、X4#MOIがX-MOC クラスにだけ属するということを決
定したならば、XTableに影響を与えているViews は、更
新される必要がある。他のテーブル、YTable及びZTable
が影響を受けないので、それらのviews は、影響を受け
ない。纏めると、X4-MOIオブジェクトの生成は、view#X
Table#U1及びview#XTable#U2Views だけが更新されるこ
とを必要とする。しかしながら、実際に変更されるView
s は、新たに追加されたオブジェクトへの読取りアクセ
スを有するユーザに対するものだけである。
【0077】Update View Procedure のオペレーション Update#View procedure 372に対するパラメータリス
トは、ユーザネームのリスト及びデータベーステーブル
のリストを含む。リストされたユーザネーム及びテーブ
ルの全ての可能なペアリングに対するViews は、リスト
されたテーブルに対する現行オブジェクトアクセス規則
に基づいて再生成される。換言すると、これらのユーザ
- テーブルペアに対する既存のViews は、削除されかつ
更新されたものが生成される。データベースViews を生
成するためのCreate#View procedure 362の上記説明
を参照のこと。代替的に、ある一定の状況において、先
に生成されたViews を再生成する代わりに変更すること
ができる。例えば、新しい管理オブジェクトが生成され
た場合、先に生成されたViews の定義は、新たに生成さ
れたオブジェクトに対するrFDNs を先に生成されたView
s の適用可能なものに追加することによって変更するこ
とができる。
【0078】直接情報アクセスシステムの第3の実施例 図14を参照すると、トリガを用いる直接情報アクセス
システム1400が示されている。直接情報アクセスシ
ステム1400の主要構成要素は、テーブル310、3
20を記憶するための通常のDBMS280、アクセス
制御サーバ330、アクセス制御ツリー170、情報転
送モジュール340、及びネットワーク106である。
以下に示すことを除き、図10を参照して説明したシス
テム1000の構成要素は、この第3の実施例での使用
にも適する。直接情報アクセスシステムの第2の実施例
に対して説明したデータベーステーブル310、320
及び行311、312、321、322は、第3の実施
例での使用にも適する。第2の実施例のように、第3の
実施例では、テーブル310、320の行311、31
2、321、322は、管理オブジェクトに対する管理
情報を含む。アクセス制御ツリー170によって表わさ
れる同じ管理情報アクセス権利及び制限がこの第3の実
施例のDBMSによっても強制される。第3の実施例
は、ある一定のSQLコマンドが受信されたときにはい
つでもアクセス制御手順404の実行を起動すべくデー
タベーストリガ402を用いる。アクセス制御手順40
4は、DBMSに記憶される管理情報へのアクセスを認
可または否認するかを決定すべく許可テーブル406を
用いる。トリガ機構は、DBMS280のデータベース
アクセスエンジン286の特徴でありそして特に、この
DBMS280は、SQL選択コマンドがDBMSによ
って受け取られるときにはいつでもトリガ402を呼出
すべく構成されている。
【0079】許可テーブル この第3の実施例では、特定の管理オブジェクト上の特
定のユーザに対するアクセス制御は、許可テーブル40
6によって画定される。本発明は、access Grant table
(アクセス認可テーブル)408及びaccess Deny tabl
e (アクセス否認テーブル)410を有するのが好ま
し。 許可テーブルを生成する システム管理責任者302は、エンドユーザによるDB
MS280の使用の前に許可テーブルを生成する。生成
許可手順442に対する呼出し440は、許可テーブル
を生成するために用いられる。“Create#Permissions#T
ables"procedure 442は、DBMS280に記憶され
る。システム管理責任者302は、DBMS280の
“Create#Permissions#Tables"procedure 442に対す
る呼出し440を呼出す。Create#Permissions#Tables
procedure 442は、アクセス制御ツリー170によっ
て定義されたユーザアクセス権利を許可テーブル用の適
当なフォーマットにマップする。また、図15A及び図
15Bを参照すると、許可エントリ1502、1504
は、以下に示すように、3つのフィールドを有している
タプルである:
【0080】(ユーザネーム、オブジェクトネーム、オ
ペレーション型)図15A及び図15Bは、単一“word
(語)" として各許可エントリにおいてオブジェクトネ
ームを示すけれども、オブジェクトネームは、管理オブ
ジェクトに対するFDNであるのが好ましい。ユーザネ
ームは、そのアクセス権利が許可エントリによって表わ
されるユーザ(又はユーザのグループ)の名前であり、
オブジェクトネームは、許可エントリが適用される管理
オブジェクトを識別し、オペレーション型は、特定のユ
ーザが特定のオブジェクトに関して認可されたか又は否
認されたオペレーションである。オペレーション型は、
選択、削除、挿入又は更新オペレーションでありうる。
二つの許可テーブルは、X.741アクセス規則が特定
される方法を反映する:Global grant(グローバル認
可), Global grant with item deny (項目否認を伴う
グローバル認可), Global deny with item grant (項
目認可を伴うグローバル否認), 及びGlobal deny (グ
ローバル否認)。Grant table (許可テーブル)408
は、全てのaccess Grant permissions(アクセス認可許
可)のリストを記憶する。Deny table(否認テーブル)
410は、全てのaccess Deny permissions (アクセス
否認許可)のリストを記憶する。アクセスが特定のオペ
レーションに対して許可されるべきかどうかをチェック
する場合には、アクセス制御手順404は、両方のテー
ブルをチェックする。
【0081】許可テーブルを実装する 許可テーブル406は、アクセス制御ツリー170のア
クセス制御規則206に対応すべく実装される。慣例と
して、許可テーブル406は、“all objects(全ての
オブジェクト)" を表わすべく、データベースNULL
値のような、特別なオブジェクトネームの値、及び“al
l operation types (全てのオペレーション型)" を
表わすべく、データベースNULL値のような、特別な
オペレーション型の値を用いる。許可テーブル406
は、次のように実装される: ・ アクセス制御データベースの規則がオペレーショ
ン型Op1 に対してユーザU1への“global grand" を特定
するならば、エントリは、(U1,NULL,Op1 )である許可
テーブル408になされる。 ・ アクセス制御データベースの規則がオペレーショ
ン型Op1 に対して“項目X1,X2 及びX3に対する項目否認
を伴うユーザU1へのglobal grand" を特定するならば、
次のエントリは、許可テーブル408及び否認テーブル
410になされる。 ・ アクセス制御データベースの規則がオペレーショ
ン型Op1 に対して“項目X1,X2 及びX3を除く全ての項目
へのdeny user U1 access(否認ユーザU1アクセス)"を特
定するならば、次のエントリは、否認テーブル410及
び認可テーブル408になされる。 ・ 規則がオペレーション型Op1 に対してユーザU1へ
の“global deny"を言及するならば、次のエントリは、
否認テーブル410になされる: DENY TABLE: (U1,NULL,Op1 ) 上記の全てにおいて、異なるオペレーション型に対して
複数のエントリがなされうる。管理オブジェクト上のユ
ーザの許可が全てのオペレーション型に対して同じなら
ば、NULLオペレーション型を有する単一のエントリで十
分である。
【0082】上述した方法は、明示的認可規則だけを記
憶すること又は明示的否認規則だけを記憶することより
もアクセス制御規則を記憶するためのより効率的な方法
である。例えば、認可規則だけを記憶するならば、5,
000の管理オブジェクトを伴うシステムでは、単一項
目否認を伴うグローバル認可が与えられた新しいユーザ
は、Grant Table (許可テーブル)408において4,
999の記録を必要としうる。上述した方法を用いて、
新しいユーザは、二つだけのエントリを有するであろ
う:Grant Table (許可テーブル)に一つのエントリそ
してDeny table(否認テーブル)410に別のエント
リ。スコープ及びフィルタにより画定されるアクセス制
御ツリー170における規則は、エントリが認可テーブ
ル408及び否認テーブル410になされる前に評価さ
れる。例えば、管理オブジェクトテーブルのスコープ及
びフィルタが、残りが全体的に否認されると共に、アク
セスが許可されなければならない一組の10の管理オブ
ジェクトを結果として生ずるならば、10のエントリ
は、許可テーブル" 部r 408になされかつ単一の否認
エントリが否認テーブル410になされる。
【0083】アクセス制御を強制する 許可テーブルに基づくAccess Control Rules(アクセス
制御規則)の強制は、オペレーションがユーザU1によっ
て要求されることを想定する、以下のアルゴリズムによ
り行われる。これらのステップは、その場合にはアルゴ
リズムが出る、いずれかの一つのステップにおいて認可
又は否認決定が到達しない限り、順番に行われる。 1. User U1 がグローバル否認(即ち、全てのオブ
ジェクトに対する否認)を有するかどうか調べるために
Deny table(否認テーブル)をチェックする。そうであ
れば、ユーザが特定の認可された項目(オブジェクト)
を有するかどうかを調べるべくGrant table (認可テー
ブル)をチェックする。そのようなオブジェクトが存在
するならば、現行オペレーションが Grant tableにおい
て特定されたオペレーションとマッチするならばアクセ
スを認可し、さもなければ、アクセスを否認する。 2. User U1 がグローバル認可(即ち、全てのオブ
ジェクトに対する認可)を有するかどうか調べるために
Grant table (認可テーブル)をチェックする。そうで
あれば、ユーザが特定の否認された項目(オブジェク
ト)を有するかどうかを調べるべくDeny table(否認テ
ーブル)をチェックする。そのようなオブジェクトが存
在するならば、現行オペレーションがDeny tableにおい
て特定されたオペレーションとマッチするならばアクセ
スを否認し、さもなければ、アクセスを認可する。 3. User U1 が特定の否認された項目(オブジェク
ト)を有するかどうかを調べるべくDeny table(否認テ
ーブル)をチェックし、かつ現行オペレーションがDeny
tableにおいて特定されたオペレーションとマッチする
ならばアクセスを否認する。 4. User U1 が特定の認可された項目(オブジェク
ト)を有するかどうかを調べるべくGrant table (認可
テーブル)をチェックし、かつ現行オペレーションがGr
ant table において特定されたオペレーションとマッチ
するならばアクセスを認可する。 5. 全- ユーザグローバル否認(即ち、全てのユー
ザに対して全てのオブジェクトを否認する)を有するか
どうか調べるためにDeny table(否認テーブル)をチェ
ックする。そうであれば、全てのユーザが否認に対する
除外である特定の認可された項目(オブジェクト)を有
するかどうかを調べるべくGrant table (認可テーブ
ル)をチェックする。そのようなオブジェクトが存在す
るならば、現行オペレーションがGrant table において
特定されたオペレーションとマッチするならばアクセス
を認可し、さもなければ、アクセスを否認する。 6. 全- ユーザグローバル認可(即ち、全てのユー
ザに対して全てのオブジェクトを認可する)を有するか
どうか調べるためにGrant table (認可テーブル)をチ
ェックする。そうであれば、全てのユーザが認可に対す
る除外である特定の否認された項目(オブジェクト)を
有するかどうかを調べるべくDeny table(否認テーブ
ル)をチェックする。そのようなオブジェクトが存在す
るならば、現行オペレーションがDeny tableにおいて特
定されたオペレーションとマッチするならばアクセスを
否認し、さもなければ、アクセスを認可する。 7. 全てのユーザが特定の否認項目(オブジェク
ト)を有するかどうかを調べるためにDeny table(否認
テーブル)をチェックする。そうであれば、現行オペレ
ーションがDeny tableにおいて特定されたオペレーショ
ンとマッチするならばアクセスを否認する。 8. 全てのユーザが特定の認可項目(オブジェク
ト)を有するかどうかを調べるためにGrant table (認
可テーブル)をチェックする。現行オペレーションがGr
ant table において特定されたオペレーションとマッチ
するならばアクセスを認可する。 9.上記のステップの後で認可/否認の決定に至らなか
ったならば、デフォルトAccess Control Rule (アクセ
ス制御規則)(デフォルト否認又はデフォルト認可)を
適用する。 ユーザが、ネットワークにおける全てのルータの状態に
対する要求又は管理オブジェクトの特定リストについて
の情報に対する要求のような、複数のオブジェクトへの
アクセスを要求する問合せを提出する場合には、アクセ
ス制御手順404は、全ての要求したオブジェクトに対
する適用可能なアクセス権利チェッキング方法を実行す
る。アクセスは、ユーザが適切なアクセス権利を有する
オブジェクトに対してだけ許可される。データベースの
他のオブジェクトに対するユーザへは、なんの情報も戻
されないので、ユーザは、あらゆるオブジェクトに対し
てアクセスが否認されたということを知らされない。こ
れは、重要である、なぜならばユーザは、その人の範囲
内ではないオブジェクトの存在さえも知らされてはなら
ないからである。また、ユーザは、ユーザがアクセスを
有さない問合せからオブジェクトを除外することについ
て考えなければならないことなく、特定の型の“all ob
jects (全てのオブジェクト)" についての情報を単に
要求できるべきである。
【0084】問合せにおいて特定されたオブジェクトの
全てへのアクセスが否認された場合には、問合せは、ユ
ーザに詳細な説明を供給することなく否認される。アク
セスがあるオブジェクトに対して認可されるが他のオブ
ジェクトには認可されない場合には、アクセス制御手順
404は、ユーザの問合せをアクセスが認可されるオブ
ジェクト上で実行させることができる。特に、好ましい
実施例ではアクセス制御手順404は、それらのオブジ
ェクトに対してユーザ問合せを実行しかつユーザに結果
を戻す。その結果、データベースアクセスエンジンによ
る通常の問合せ処理は、回避されかつアクセス制御手順
404によって実行された(または起動された)処理に
よって置き換えられる。アクセス制御手順404によっ
てDBMSテーブルから読取られたデータは、問合せが
データベースアクセスエンジンによって処理された場合
にデータが戻されるのと同じ方法で要求しているユーザ
又は処理に戻される。
【0085】例示的許可テーブル 図15A及び15Bは、例示的Grant table (許可テー
ブル)及びDeny table(否認テーブル)をそれぞれ示
す。代替実施例では、許可テーブルは、ユーザのグルー
プによるアクセスを管理するためにユーザネームに加え
てグループネーム510を用いることができる。ユーザ
により許可テーブル直接アクセスを用いて直接アクセス
を制御する方法図16Aを参照すると、ステップ160
2及び1604は、アクセス制御サーバ及びその後続利
用の初期構成を表わし、かつ図13Aのステップ131
2及び1314と実質的に同じである。ステップ160
6、1608、1610及び1612は、アクセス制御
サーバによって強制されたものと調和するアクセス制限
を伴って、少なくともあるユーザに管理情報への直接ア
クセスを供給すべくDBMSを設定するための手順を表
わす。ステップ1606では、管理情報は、ネットワー
クからデータベース管理システムに送られる。換言する
と、ある一定の型の管理オブジェクトに対して、管理情
報は、複製されかつDBMSに記憶される。一般的に、
個々のDBMSテーブルは、(A)DBMSを介してア
クセス可能である各個別の型の管理オブジェクト、及び
(B)(上述したような)ログサーバにおいて画定され
た各個々のログファイルに対して設定される。
【0086】ステップ1608は、情報転送モジュール
によって送られた管理情報をデータベース管理システム
の一組のデータベーステーブルに記憶する。テーブル
は、対応する管理オブジェクトに対して個別の行に管理
情報を記憶する。換言すると、ログテーブルを除いて、
DBMSは、各管理オブジェクトに対する情報をその管
理オブジェクト型に対して設定されたテーブルの個々の
行に記憶する。ステップ1610では、許可オブジェク
トを含んでいる、少なくとも一つの許可テーブルが記憶
される。許可オブジェクトは、管理オブジェクトの特定
のセットへのユーザによるアクセス権利を特定する情報
を集合的に記憶し、特定のアクセス権利は、ネットワー
クから管理情報を取得するためのアクセス権利を含む。
許可オブジェクトによって特定されたアクセス権利は、
少なくとも一人のユーザに対するアクセス制御データベ
ースによって特定される管理オブジェクトアクセス権利
に対応する。
【0087】ステップ1612は、DBMSトリガのア
クション(動作)を表わし、それは、データベースの所
望のテーブルに記憶される管理オブジェクトに記憶され
る管理情報をアクセスするためのユーザアクセス要求を
インタセプトし、次いでアクセス制御手順404を呼出
す。ステップ1614は、一組のデータベーステーブル
に記憶された管理情報へのアクセスを制限する、アクセ
ス制御手順404の動作を表わす。アクセス制御手順
は、インタセプトされた問合せによって特定されたデー
タの、もしあれば、どの行がユーザによってアクセス可
能であるかを決定すべく許可テーブルに記憶される一組
のアクセス権利を用いる。ステップ1618では、アク
セス制御手順は、アクセスがユーザによって許可される
要求された行のサブセットに記憶された管理情報をアク
セスする。
【0088】グループによる直接アクセス 許可テーブルがユーザのグループに対する権利を確立す
べく構成される場合、DBMSは、ユーザネームをグル
ープネームにマップさせることができるグループテーブ
ル470を含むのが好ましい。ユーザのアクセス権利
は、次いで、ユーザがメンバーであるグループのアクセ
ス権利に従って決定される。 アクセス制御手順のオペレーション アクセス制御手順404は、二つの方法でデータベース
アクセスエンジン286と対話できる。これら二つの方
法の第1の方法は、図16Bによって表わされ、第2の
方法は、図16Cによって表わされる。図16Bを参照
すると、トリガが検出されかつアクセス制御手順が呼出
された後、アクセス制御手順404は、上述した方法の
一つを用いて許可テーブルをチェックし(ステップ16
62)、かつ許可済み管理オブジェクトのリストを形成
する(ステップ1664)。いずれの管理オブジェクト
も許可されないならば、ナル(null)リストが形成され
る。ステップ1666は、SQLコマンドの実行を完了
すべくデータベースアクセスエンジン286に許可済み
管理オブジェクトのリストを戻す。また、アクセス制御
手順404は、SQLコマンドの実行が継続されるべき
か又は打ち切られるべきかを示すべくデータベースアク
セスエンジン286にリターンコードを供給する。リタ
ーンコードの値がSQLコマンドの実行が継続されるべ
きであるということを示すならば、データベースアクセ
スエンジンは、戻されたリストによって特定されたテー
ブル行をアクセスしかつ合成情報をユーザに戻す。リタ
ーンコードの値がSQLコマンドの実行を打ち切るべき
であるということを示すならば、データベースアクセス
エンジン286は、ユーザにナル結果を戻す。
【0089】図16Cを参照すると、第2 の方法の最初
の二つのステップ(1672及び1674)は、第1 の
方法の最初の二つのステップ(1662及び1664)
と同じである。しかしながら、第2 の方法では、アクセ
ス制御手順404は、許可済み管理オブジェクトの先に
形成されたリストによって特定された、テーブル行を、
もしあれば、直接的にアクセスし(ステップ167
6)、そして、受け取ったSQLコマンドの処理が完了
するまでデータベースアクセスエンジンに制御を戻すこ
となく、合成情報をユーザに戻す(ステップ167
8)。
【0090】許可テーブルを更新すること 図16Dは、許可テーブルが更新される場合を示してい
るフローチャートである。管理オブジェクトは、生成、
削除できるか、またはそれらの属性値を変更できる。こ
れらの変更は、アクセス制御規則の定義により、管理オ
ブジェクトのアクセス制御許可に影響を与えうる。この
第3 の実施例では、アクセス制御構成手順210は、D
BMSにupdate#permissions#tables 452手順を実行
させるupdate#permissions#tables 452手順に対して
呼出し450を発行する。許可テーブルは、管理オブジ
ェクトに何の変化が生ずるかにより更新される。許可テ
ーブルは、管理オブジェクトが削除され(1702)、
新しい管理オブジェクトが追加され(1704)、属性
値が変更され(1706)、ユーザが削除され(170
8)、新しいユーザが追加され(1710)、新しい規
則が追加され(1712)、規則が削除され(171
4)、規則が変更され(1716)、グループが追加さ
れ(1718)、かつグループが削除される(172
0)場合にupdate#permissions#tables 手順を呼出すこ
とによって更新される。
【0091】管理オブジェクトが削除されたならば、ス
テップ1722では、update#permissions#tables 45
2手順は、許可テーブル406からその管理オブジェク
トネームを有している全ての記録を削除する。管理オブ
ジェクトが生成されたならば、ステップ1722では、
update#permissions#tables 452手順は、どのユーザ
が管理オブジェクトをアクセスしうるかを決定すべく全
てのアクセス制御規則をチェックし、かつ適切なエント
リが許可テーブルになされる。管理オブジェクトがその
属性値が変更されたならば、ステップ1722では、up
date#permissions#tables 452手順は、どのユーザが
管理オブジェクトをアクセスできるかを決定すべく全て
のアクセス制御規則をチェックする。いずれかのアクセ
ス制御規則が変更された属性の値に依存するならば、適
切なエントリが許可テーブル406になされる(及び/
又はリバイズされる)。
【0092】ユーザが削除されたならば(即ち、アクセ
ス制御エンジンによって認識された一組のユーザから取
り除かれた)、ステップ1722では、update#permiss
ions#tables 452手順は、許可テーブル406からそ
のユーザネームを有する全ての記録を削除する。新しい
ユーザが追加されかつ特定のアクセス制御規則が新しい
ユーザに対して画定されないならば、ステップ1722
では、update#permissions#tables 452手順は、デフ
ォルトアクセス制御規則を新しいユーザに適用しかつ許
可テーブルを更新する。特定のアクセス制御規則が新し
いユーザに対して画定されるならば、update#permissio
ns#tables 452手順は、特定のアクセス制御規則を適
用する。許可テーブルは、それに従って更新される。
【0093】グループが検出されたならば、ステップ1
722では、update#permissions#tables 452手順
は、許可テーブル406からそのグループネームを有す
る全ての記録を削除する。新しいグループが追加される
ならば、ステップ1722では、update#permissions#t
ables 452手順は、特定のアクセス制御規則が新しい
グループに対して画定されるかどうかを決定する。そう
でなければ、update#permissions#tables452手順
は、デフォルトアクセス制御規則を新しいグループに適
用しかつ許可テーブルを更新する。そうであれば、upda
te#permissions#tables 452手順は、特定のアクセス
制御規則を適用する。許可テーブルは、それに従って更
新される。 メモリ 図12A及び図12Bを再び参照すると、アクセス制御
サーバ及びDBMSのメモリは、直接アクセスファシリ
ティの第3の実施例を支援すべく更なるデータ及び手順
を記憶する。図12Aに示すように、この第3の実施例
に対してアクセス制御サーバ330のメモリに記憶され
る追加の手順は、 ・ Create#Permissions#Tables440に対する呼出
し; ・ Update#Permissions#Tables450に対する呼出
し;及び ・ Create#Group#Table 472に対する呼出し を含む。
【0094】図12Bに示すように、この第3の実施例
に対してDBMS280のメモリに記憶される追加デー
タ及び手順は、 ・ コマンドインタセプタ490(以下に説明); ・ グループテーブル470; ・ トリガ402; ・ アクセス制御手順404; ・ 許可テーブル408及び否認テーブル410を含
む許可テーブル406; ・ Create#Permissions#Tables 442手順; ・ Update#Permissions#Tables 452手順;及び ・ Create#group#table474手順(以下に説明) を含む。
【0095】拡張 また、第3の実施例は、ユーザがグループに属しかつア
クセス制御がユーザのグループに対して画定されるよう
なユーザのグループに適用することもできる。許可テー
ブルでは、“user name(ユーザネーム)"は、“group na
me(グループネーム)" によって置き換えられかつ許可
テーブルは、ユーザのグループに対するエントリを含
む。許可は、グループに対してだけ画定されうるか、ま
たはグループと個々のユーザの組合せに対して画定され
うる。
【0096】グループテーブル470は、ユーザネーム
をグループネームにマップし、アクセス制御手順404
は、どのグループにユーザが属するかを決定すべくグル
ープテーブルをチェックし、そして上述した方法に従っ
て許可テーブルの全てのそのようなグループに対する許
可をチェックする。アクセス制御サーバのメモリは、D
BMSのcreate#group#table474手順に対する呼出し
472(図12A参照)を含む。システム管理責任者3
02は、上述した許可テーブルに類似する方法でグルー
プテーブルを生成する。別の実施例では、アクセス制御
手順404は、アプリケーションの特定のポリシーに基
づいてそのユーザへのアクセスを認可又は否認する。例
えば、ポリシーが“most restrictive( 最も限定され
た)"であれば、特定のオブジェクトへのアクセスは、ユ
ーザのグループのいずれかのものがそのオブジェクトへ
のアクセスを否認されたならば、ユーザに対して否認さ
れる。ポリシーが“least restrictive (ほとんど限定
されていない)" であれば、ユーザのグループのいずれ
かのものがそのオブジェクトへのアクセスを認可された
ならば、オブジェクトへのアクセスは、ユーザに認可さ
れる。
【0097】代替実施例では、トリガに対して同等の機
構は、アクセスを制御するために全てのユーザ問合せを
インタセプトしかつ記憶された手順を呼出すべくSUN
SolsticeEnterpriseマネージャのem
#sqlのようなアクセス制御アプリケーションレイヤーを
挿入することによって供給される。図14では、コマン
ドインタセプタ490は、ユーザ要求300をインタセ
プトしかつアクセス制御手順404を実行するかどうか
を決定する。代替的に、コマンドインタセプタ490
は、SQLSELECTコマンドが検出された場合にア
クセス制御手順404を呼出す。第2及び第3の実施例
ではビュー及び許可テーブルは、全てのユーザに対して
またはユーザの指定されたサブセットに対してのいずれ
かに生成されうる。
【0098】また、本発明の第2及び第3の実施例は、
“guaranteed commit (保証された完遂)" 特徴を有し
ているシステムでの使用にも適する。そのようなシステ
ムは、既存の管理オブジェクトのあるもの又は全てに対
するシャドウオブジェクトを伴うシャドウデータベース
を有しうる。シャドウデータベースでは、管理オブジェ
クトが利用不可能であれば、シャドウオブジェクトが管
理オブジェクトに対する変更を受け入れる。シャドウオ
ブジェクトは、管理オブジェクトをポーリングしかつ管
理オブジェクトが利用可能にあった場合に管理オブジェ
クトに対する変更をプッシュする。シャドウデータベー
スは、本発明のDBMS280のデータベーステーブル
310、320に記憶されるべき事象及びメッセージ情
報を送ることができる。本発明は、2〜3の特定な実施
例を参照して記述されたが、記述は、本発明の説明のた
めであり本発明を限定することを企図していない。添付
した特許請求の範囲によって定義される本発明の真の精
神及び範疇から逸脱することなく種々の変更が当業者に
よって生起されうる。
【図面の簡単な説明】
【図1】図1は、ネットワークにおける管理オブジェク
トへのアクセスを制限するためのアクセス制御エンジン
のブロック図である。
【図2】図2は、アクセス要求のデータ構造を示す図で
ある。
【図3】本発明の好ましい実施例による分散アクセス制
御エンジン(ACE)を示す図である。
【図4】アクセス制御データベース、及びデータベース
にオブジェクトを追加しかつデータベースに既に存在す
るオブジェクトを変更する機構を示す図である。
【図5】各アクセス要求を処理するためにアクセス規則
が適用される順番を示す図である。
【図6】アクセス要求を処理し、それをリスポンシブル
アクセスサービス間に分割し、応答を照合しかつ組合せ
た応答をイニシエータに戻すための手順を示す図であ
る。
【図7】アクセス要求のターゲットが二つ以上の管理オ
ブジェクトを含むときにアクセス要求応答が組合される
方法をテーブルわすためのチャートを示す図である。
【図8】本発明の好ましい実施例における管理情報サー
バの事象レジストリ及び事象ルータ部分を示す図であ
る。
【図9】管理オブジェクトによって生成された事象通知
に関する、ログ記録へのSQL型読取り専用アクセスを
供給すると共に、ネットワークに対して管理情報サーバ
によって供給されたものと同じセキュリティ制限を管理
オブジェクト情報へのアクセスに対して維持するための
補足アクセス機構を示す図である。
【図10】管理オブジェクトに関する情報を記憶してい
る一組のデータベーステーブルへのSQL型読取り専用
アクセスを供給すると共に、ネットワークに対して管理
情報サーバによって供給されたものと同じセキュリティ
制限を管理オブジェクト情報へのアクセスに対して維持
するための補足アクセス機構の第2の実施例のブロック
図である。
【図11A】管理オブジェクトの完全識別ネーム(FD
N)を用いている好ましい行フォーマットを示す。
【図11B】view#tablename#username のフォーマット
を伴うビューネーム(viewname)を有しているユーザ要求
を示す図である。
【図11C】明示ビュー:ユーザネーム、テーブルネー
ム及び許可リストを生成するために用いられるパラメー
タを示す図である。
【図11D】暗示ビュー:ユーザネーム、テーブルネー
ム及びSQL許可規則を生成するために用いられるパラ
メータを示す図である
【図12A】この第2実施例及び第3実施例に対するア
クセス制御サーバのメモリに記憶される既存及び追加情
報を示す図である。
【図12B】この第2実施例及び第3実施例に対するD
BMSのメモリに記憶される既存及び追加情報を示す図
である。
【図13A】ユーザに対して管理オブジェクトへの直接
ユーザアクセスを制御するための方法を示す図である。
【図13B】ビューが更新される場合を示しているフロ
ーチャートである。
【図14】アクセス制御手順へ選択照会の処理を再指向
するためにトリガを用いる直接情報アクセスシステムの
第3の実施例のブロック図である。
【図15A】タプルによってテーブルわされるフィール
ドの組合せとして許可エントリを示す図である。
【図15B】タプルによってテーブルわされるフィール
ドの組合せとして許可エントリを示す図である。
【図16A】DBMSに記憶される管理情報へのユーザ
アクセスを制御するための方法を示す図である。
【図16B】トリガが検出された後のアクセス制御手順
に対するオペレーションの第1の方法を示す図である。
【図16C】トリガが検出された後のアクセス制御手順
に対するオペレーションの第2の方法を示す図である。
【図16D】許可テーブルが更新される場合を示してい
るフローチャートである。
───────────────────────────────────────────────────── フロントページの続き (71)出願人 591064003 901 SAN ANTONIO ROAD PALO ALTO,CA 94303,U. S.A. (72)発明者 バート リー フィッシャー アメリカ合衆国 カリフォルニア州 94086 サニーヴェイル サウス フェア オークス アベニュー 655 アパート メント エイチ209 (72)発明者 ラジーヴ アンガル アメリカ合衆国 カリフォルニア州 95051 サンタ クララ プルーンリッジ アベニュー 3655−1 (72)発明者 サイ ヴィー エス アーラヴァルプ アメリカ合衆国 カリフォルニア州 94566 プレザントン セント ジョン サークル 755 (72)発明者 スボド バパト アメリカ合衆国 カリフォルニア州 94303 パロ アルト ヒルバー レーン 546

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】 分散型ネットワークの管理オブジェクト
    へのアクセスを制御するアクセス制御システムであっ
    て、 アクセス制御オブジェクトが管理オブジェクトの特定の
    セットに対するユーザによるアクセス権利を特定する情
    報を集合的に記憶し、該特定されたアクセス権利が該ネ
    ットワークから管理情報を取得するためのアクセス権利
    を含む、該アクセス制御オブジェクトを含んでいるアク
    セス制御データベースと、 前記アクセス制御データベースによって特定された前記
    アクセス権利に従って前記管理オブジェクトへのアクセ
    スをユーザに供給する少なくとも一つのアクセス制御サ
    ーバと、 データベース管理システムと、 前記ネットワークから前記データベース管理システムに
    管理情報を送る情報転送機構とを備えており、 前記データベース管理システムは、 前記情報転送機構によって送られた前記管理情報を一組
    のデータベーステーブルに記憶するデータベーステーブ
    ル;アクセス制御データベースに記憶された前記アクセ
    ス権利の少なくともサブセットに対応しているテーブル
    アクセス権利を確立するデータベースアクセス特権モジ
    ュール;及び前記データベーステーブルに記憶された管
    理情報に対するユーザ要求を受け取り、かつ前記データ
    ベースアクセス特権モジュールによって確立された前記
    テーブルアクセス権利に従って前記データベーステーブ
    ルに記憶された管理情報へのユーザアクセスを制限する
    データベースアクセスエンジンを含むことを特徴とする
    アクセス制御システム。
  2. 【請求項2】 前記一組のデータベーステーブルの各テ
    ーブルは、対応する管理オブジェクトに対する管理情報
    を個々の行に記憶し;前記データベースアクセス特権モ
    ジュールは、前記一組のデータベーステーブルに記憶さ
    れる前記管理情報へのアクセスを制限するための一組の
    ビューを生成し、前記一組における各ビューは、このビ
    ューを用いるときにアクセス可能である前記データベー
    ステーブルの少なくとも一つにおける行のサブセットを
    画定し、前記組における各ビューを用いるときにアクセ
    ス可能である前記データベーステーブル行の一組は、前
    記ユーザの少なくとも一つに対する前記アクセス制御デ
    ータベースによって特定された前記管理オブジェクトア
    クセス権利に対応し;前記データベースアクセス特権モ
    ジュールは、前記一組のビューのどのビューが前記ユー
    ザの特定のものによって使用可能であるかを特定し;か
    つ前記データベースアクセスエンジンは、各ユーザが当
    該ユーザがアクセスすることを前記アクセス制御データ
    ベースによって許可されるであろう前記一組のデータベ
    ーステーブルの管理情報へのアクセスだけを許可される
    ように前記一組のビューを用いて前記一組のデータベー
    ステーブルの情報をアクセスすることを特徴とする請求
    項1に記載のシステム。
  3. 【請求項3】 前記データベースアクセス特権モジュー
    ルは、前記特定の組のユーザの特定のユーザがアクセス
    することを許可される各行への明示的参照を生成するこ
    とによって少なくとも一つのビューを発生することを特
    徴とする請求項2に記載のシステム。
  4. 【請求項4】 前記アクセス制御データベースは、グル
    ープにユーザをグループ分けするための手段を供給し、
    該グループは、複数のユーザを有するように構成されて
    おり、該アクセス制御データベースは、グループによる
    アクセス権利を特定し、かつ前記データベース管理シス
    テムは、 前記一組のデータベース評に記憶される管理情報へのア
    クセスを制限するための一組のグループビューを更に含
    み、該組の各ビューは、このビューを使用するときにア
    クセス可能である前記データベーステーブルの少なくと
    も一つにおける行のサブセットを画定し、前記組の各ビ
    ューを使用するときにアクセス可能である前記一組のデ
    ータベーステーブル行は、前記グループの少なくとも一
    つに対してアクセス制御データベースによって特定され
    る前記管理オブジェクトアクセス権利に対応し、 前記データベースアクセス特権モジュールは、前記ビュ
    ーの組のどのビューが前記グループの特定のものによっ
    て使用可能であるかを特定し、かつ 前記一組のグループを用いて前記一組のデータベーステ
    ーブルにおける情報をアクセスするためのデータベース
    アクセスエンジンは、特定のグループに属している特定
    のユーザが、特定のグループがアクセス制御データベー
    スによってアクセスすることを許可されるであろう一組
    のデータベーステーブルの管理情報へのアクセスだけを
    許されるように、ビューすることを特徴とする請求項2
    に記載のシステム。
  5. 【請求項5】 前記データベース管理システムにアクセ
    ス権利情報を送るためのオブジェクトを含んでおり、該
    送られたアクセス権利情報は、前記アクセス制御オブジ
    ェクトによって特定されたアクセス権利に対応してお
    り、 前記データベースアクセス特権モジュールは、前記オブ
    ジェクトによって送られた前記アクセス権利情報に従っ
    て前記アクセス権利を確立することを特徴とする請求項
    1に記載のアクセス制御システム。
  6. 【請求項6】 前記データベース管理システムにアクセ
    ス権利情報を送るための少なくとも一つのオブジェクト
    を含んでおり、 前記少なくとも一つのオブジェクトは、前記アクセス制
    御オブジェクトの生成及び削除並びに前記アクセス制御
    オブジェクトに対する属性変化に対応している事象通知
    メッセージを前記事象ルータから受け取り、該受け取っ
    た事象通知メッセージをアクセス権利更新メッセージに
    変換し、かつアクセス権利更新メッセージを前記データ
    ベース管理システムに送り、 前記データベースアクセス特権モジュールは、前記少な
    くとも一つのオブジェクトによって送られた前記アクセ
    ス権利更新メッセージに従って前記確立されたテーブル
    アクセス権利を更新することを特徴とする請求項1に記
    載のアクセス制御システム。
  7. 【請求項7】 前記アクセス制御オブジェクトは、 それぞれがグループ及び該グループのメンバーである一
    組のユーザを画定する、グループオブジェクト;及びそ
    れぞれが、一組のグループオブジェクト、一組の管理オ
    ブジェクト、及び前記特定の一組の管理オブジェクトへ
    の前記特定の一組のグループオブジェクトによって画定
    された前記グループのメンバーである前記ユーザによる
    アクセス権利を特定する、規則オブジェクトの第1のサ
    ブセット、及びそれぞれが、一組のグループオブジェク
    ト、一組の管理オブジェクト、及び前記特定の一組の管
    理オブジェクトによって生成される事象通知への前記特
    定の一組のグループオブジェクトによって画定されたグ
    ループのメンバーであるユーザによるアクセス権利を特
    定する、前記アクセス制御データベースにおける規則オ
    ブジェクトの第2のサブセットからなる規則オブジェク
    トとを含んでおり;前記システムは、前記管理オブジェ
    クトによって生成された事象通知を受け取りかつ前記ア
    クセス制御データベースで特定されたアクセス権利に従
    って対応する事象通知メッセージをそれらの事象通知へ
    のアクセス権利を有するグループのユーザにだけ送る事
    象ルータを含み;前記少なくとも一つのアクセス制御サ
    ーバは、ユーザからアクセス要求を受け取りかつ前記ア
    クセス制御データベースにおいて特定されたアクセス権
    利に従って前記管理オブジェクトへのアクセスを制御
    し;前記アクセス要求のサブセットは、前記特定された
    一組の管理オブジェクトで実行されるべきオペレーショ
    ンを特定し;前記少なくとも一つのアクセス制御サーバ
    は、前記アクセス制御データベースにおいて特定された
    前記アクセス権利に従って各アクセス要求を認可し、否
    認しかつ部分的に認可しかつ否認することによって前記
    ユーザからの前記アクセス要求に応答し;かつ前記事象
    ルータは、前記管理オブジェクトによって生成された前
    記事象通知の少なくともサブセットを前記データベース
    管理システムに送る手段を含み;前記データベーステー
    ブルは、一組のデータベーステーブルに前記事象ルータ
    によって送られた前記事象通知を記憶するためのテーブ
    ルを含み;前記データベースアクセス特権モジュール
    は、前記規則オブジェクトの第2のサブセットによって
    テーブルわされる前記アクセス権利の少なくともサブセ
    ットに対応しているテーブルアクセス権利を確立し;か
    つ前記データベーステーブルに記憶される事象通知情報
    に対するユーザ要求を受け取り、かつ前記データベース
    アクセス特権モジュールによって確立された前記テーブ
    ルアクセス権利に従って前記データベーステーブルに記
    憶される事象通知情報へのユーザアクセスを制限するた
    めのデータベースアクセスエンジンを含んでいることを
    特徴とする請求項1に記載のアクセス制御システム。
  8. 【請求項8】 分散型ネットワークの管理オブジェクト
    へのアクセスを制御する方法であって、 アクセス制御オブジェクトが管理オブジェクトの特定の
    セットに対するユーザによるアクセス権利を特定する情
    報を集合的に記憶し、該特定されたアクセス権利が該ネ
    ットワークから管理情報を取得するためのアクセス権利
    を含む、該アクセス制御オブジェクトを含んでいるアク
    セス制御データベースを記憶し、 アクセス要求のサブセットが特定の組の管理オブジェク
    ト上で実行されるべきオペレーションを特定する、該ア
    クセス要求を前記ユーザから受け取り、かつ前記アクセ
    ス制御データベースで特定されたアクセス権利に従って
    各アクセス要求を認可及び否認し並びに部分的に認可及
    び否認することによって受け取ったアクセス要求を処理
    し、 前記ネットワークからデータベース管理システムに管理
    情報を送る段階を具備し、 前記データベース管理システムでは、 前記情報転送機構によって送られた前記管理情報を一組
    のデータベーステーブルに記憶し;アクセス制御データ
    ベースに記憶される前記アクセス権利の少なくともサブ
    セットに対応しているテーブルアクセス権利を確立し;
    かつ前記データベーステーブルに記憶される管理情報に
    対するユーザ要求を受け取り、かつ前記確立されたテー
    ブルアクセス権利に従って前記データベーステーブルに
    記憶される前記管理情報へのユーザアクセスを制限する
    段階を具備することを特徴とする方法。
  9. 【請求項9】 前記データベース管理システムにおい
    て、 前記記憶する段階は、対応する管理オブジェクトに対し
    て前記テーブル管理情報を個々の行に記憶することを含
    み;前記一組のデータベーステーブルに記憶される前記
    管理情報へのアクセスを制限するために一組のビューを
    記憶し、該一組の各ビューは、このビューを用いるとき
    にアクセス可能である前記データベーステーブルの少な
    くとも一つにおける行のサブセットを画定し、前記組の
    各ビューを用いるときにアクセス可能である該一組のデ
    ータベーステーブル行は、少なくとも一人のユーザに対
    して前記アクセス制御データベースによって特定される
    前記管理オブジェクトアクセス権利に対応し;前記一組
    のビューのどのビューが前記ユーザの特定されらものに
    よって使用可能であるかを特定し;かつ各ユーザは、該
    ユーザがアクセスすることを該アクセス制御データベー
    スによって許可されるであろう前記一組のデータベース
    テーブルの管理情報へのアクセスだけが許可されるよう
    に前記一組のビューを用いて前記一組のデータベーステ
    ーブルの情報をアクセスすることを含むことを特徴とす
    る請求項8に記載の方法。
  10. 【請求項10】 特定された組のユーザ及び特定された
    組のデータベーステーブルに対して前記一組のビューを
    生成する段階を更に具備し、前記一組のビューの少なく
    ともサブセットのビューは、固有のユーザ−テーブルペ
    アリングに対応することを特徴とする請求項9に記載の
    アクセス制御方法。
  11. 【請求項11】 前記一組のビューを生成する段階は、
    前記特定された組のユーザの特定のユーザがアクセスす
    ることを許可される各行への明示参照を生成することに
    よって少なくとも一つのビューを生成することを特徴と
    する請求項9に記載のアクセス制御方法。
  12. 【請求項12】 ユーザをグループにグループ分けし;
    前記グループのアクセス権利を特定し;かつ前記一組の
    データベーステーブルに記憶される前記管理情報へのア
    クセスを一組のビューを用いて制限し、前記一組の各ビ
    ューは、このビューを用いるときにアクセス可能である
    データベーステーブルの少なくとも一つにおける行のサ
    ブセットを画定し、前記組の各ビューを用いるときにア
    クセス可能である前記一組のデータベーステーブル行
    は、前記グループの少なくとも一つに対して前記アクセ
    ス制御データベースによって特定される管理オブジェク
    トアクセス権利に対応し、 前記一組のビューのどのビューが前記グループの特定さ
    れたものによって使用可能であるかを特定し、かつ特定
    のグループの特定のユーザは、前記特定のグループがア
    クセスすることを前記アクセス制御データベースによっ
    て許可されるであろう前記一組のデータベーステーブル
    の管理情報へのアクセスだけが許可されるように前記一
    組のビューを用いて前記一組のデータベーステーブルの
    情報をアクセスする段階を更に具備することを特徴とす
    る請求項10に記載のアクセス制御システム。
  13. 【請求項13】 アクセス権利情報を前記データベース
    管理システムに送り、該送られたアクセス権利情報は、
    前記アクセス制御オブジェクトによって特定されたアク
    セス権利に対応し、かつ前記データベース管理システム
    に送られたアクセス権利情報に従って前記テーブルアク
    セス権利を確立することを含む請求項12に記載のアク
    セス制御方法。
  14. 【請求項14】 前記アクセス制御オブジェクトの生成
    及び削除及び前記アクセス制御オブジェクトに対する属
    性変更に対応している事象通知メッセージを受け取り、
    前記受け取った事象通知メッセージをアクセス権利更新
    メッセージに変換し、かつ該アクセス権利更新メッセー
    ジを前記データベース管理システムに送ることによって
    前記データベース管理システムにアクセス権利情報を送
    ることを含み;前記テーブルアクセス権利を確立する段
    階は、前記データベース管理システムに送られた前記ア
    クセス権利更新メッセージに従って前記確立されたテー
    ブルアクセス権利情報を更新することを含むことを特徴
    とする請求項8に記載のアクセス制御方法。
  15. 【請求項15】 前記記憶されたアクセス制御オブジェ
    クトは、 それぞれがグループ及び該グループのメンバーである一
    組のユーザを画定する、グループオブジェクト;及びそ
    れぞれが、一組のグループオブジェクト、一組の管理オ
    ブジェクト、及び前記特定の一組の管理オブジェクトへ
    の前記特定の一組のグループオブジェクトによって画定
    された前記グループのメンバーである前記ユーザによる
    アクセス権利を特定する、規則オブジェクトの第1のサ
    ブセット、及びそれぞれが、一組のグループオブジェク
    ト、一組の管理オブジェクト、及び前記特定の一組の管
    理オブジェクトによって生成される事象通知への前記特
    定の一組のグループオブジェクトによって画定されたグ
    ループのメンバーであるユーザによるアクセス権利を特
    定する、前記アクセス制御データベースにおける規則オ
    ブジェクトの第2のサブセットからなる規則オブジェク
    トとを含んでおり;前記管理オブジェクトによって生成
    された事象通知を受け取りかつ前記アクセス制御データ
    ベースで特定されたアクセス権利に従って対応する事象
    通知メッセージをそれらの事象通知へのアクセス権利を
    有するグループのユーザにだけ送り;かつ前記管理オブ
    ジェクトによって生成された前記事象通知の少なくとも
    サブセットを前記データベース管理システムに送り;前
    記データベース管理システムでは:前記データベーステ
    ーブルに前記事象ルータによって送られた前記事象通知
    を記憶し;前記規則オブジェクトの前記第2のサブセッ
    トによってテーブルわされる前記アクセス権利の少なく
    ともサブセットに対応するように前記テーブルアクセス
    権利を確立し;前記データベーステーブルに記憶される
    事象通知情報に対するユーザ要求を受け取り;かつ前記
    データベースアクセス特権モジュールによって確立され
    た前記テーブルアクセス権利に従って前記データベース
    テーブルに記憶される前記事象通知情報へのユーザアク
    セスを制限することを特徴とする請求項8に記載のアク
    セス制御方法。
JP10349255A 1997-10-31 1998-11-02 セキュア分散型ネットワークにおけるデータベースアクセス制御を供給するシステム及び方法 Pending JP2000035949A (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US08/962,092 US6212511B1 (en) 1997-10-31 1997-10-31 Distributed system and method for providing SQL access to management information in a secure distributed network
US08/962092 1998-03-25
US09/047906 1998-03-25
US09/047,906 US6085191A (en) 1997-10-31 1998-03-25 System and method for providing database access control in a secure distributed network

Publications (1)

Publication Number Publication Date
JP2000035949A true JP2000035949A (ja) 2000-02-02

Family

ID=26725587

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10349255A Pending JP2000035949A (ja) 1997-10-31 1998-11-02 セキュア分散型ネットワークにおけるデータベースアクセス制御を供給するシステム及び方法

Country Status (4)

Country Link
US (1) US6085191A (ja)
EP (1) EP0913967A3 (ja)
JP (1) JP2000035949A (ja)
CA (1) CA2251150A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006502494A (ja) * 2002-10-03 2006-01-19 インターナショナル・ビジネス・マシーンズ・コーポレーション アクセス制御に違反する問い合わせの実行を先取り式に(pre−emptively)妨げるユーザ・データのインテリジェントな使用
US11899668B2 (en) 2013-08-12 2024-02-13 International Business Machines Corporation Database management apparatus, database control method and program

Families Citing this family (195)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6408336B1 (en) 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US7821926B2 (en) 1997-03-10 2010-10-26 Sonicwall, Inc. Generalized policy server
US8914410B2 (en) 1999-02-16 2014-12-16 Sonicwall, Inc. Query interface to policy server
JP2957551B2 (ja) * 1997-12-12 1999-10-04 株式会社リコー 分散型データベースシステムの一貫性管理方法およびコンピュータ読み取り可能な記録媒体
US6965999B2 (en) * 1998-05-01 2005-11-15 Microsoft Corporation Intelligent trust management method and system
US6449643B1 (en) * 1998-05-14 2002-09-10 Nortel Networks Limited Access control with just-in-time resource discovery
US6453353B1 (en) * 1998-07-10 2002-09-17 Entrust, Inc. Role-based navigation of information resources
US6292829B1 (en) * 1998-07-15 2001-09-18 Nortel Networks Limited Method and device for network management
US6430549B1 (en) * 1998-07-17 2002-08-06 Electronic Data Systems Corporation System and method for selectivety defining access to application features
US6701359B1 (en) * 1998-07-28 2004-03-02 International Business Machines Corp. Apparatus and method for managing a multi-threaded persistent agent management information base including a managed object instance cache
US6665267B1 (en) * 1998-09-14 2003-12-16 Kabushiki Kaisha Toshiba Access management method, communications apparatus, and monitor and control system
US6480850B1 (en) * 1998-10-02 2002-11-12 Ncr Corporation System and method for managing data privacy in a database management system including a dependently connected privacy data mart
US6253203B1 (en) * 1998-10-02 2001-06-26 Ncr Corporation Privacy-enhanced database
US6275824B1 (en) * 1998-10-02 2001-08-14 Ncr Corporation System and method for managing data privacy in a database management system
US6754702B1 (en) * 1998-10-02 2004-06-22 Nortel Networks, Ltd. Custom administrator views of management objects
US7136919B1 (en) * 1998-10-08 2006-11-14 International Business Machines Corporation Method and system for broadcasting alarm messages to selected users of an IP network
US6366915B1 (en) * 1998-11-04 2002-04-02 Micron Technology, Inc. Method and system for efficiently retrieving information from multiple databases
US6360246B1 (en) * 1998-11-13 2002-03-19 The Nasdaq Stock Market, Inc. Report generation architecture for remotely generated data
US6349333B1 (en) * 1998-12-04 2002-02-19 Sun Microsystems, Inc. Platform independent alarm service for manipulating managed objects in a distributed network management system
US6356282B2 (en) 1998-12-04 2002-03-12 Sun Microsystems, Inc. Alarm manager system for distributed network management system
US6813640B1 (en) * 1998-12-08 2004-11-02 Macrovision Corporation System and method for controlling the editing by user action of digital objects created in a document server application
US20030195796A1 (en) * 1999-03-04 2003-10-16 Vijay Konda Internet activity rating system
US6553369B1 (en) * 1999-03-11 2003-04-22 Oracle Corporation Approach for performing administrative functions in information systems
US7634455B1 (en) * 1999-09-23 2009-12-15 Agile Software Corporation Method and apparatus for providing controlled access to software objects and associated documents
US6775665B1 (en) * 1999-09-30 2004-08-10 Ricoh Co., Ltd. System for treating saved queries as searchable documents in a document management system
US7743070B1 (en) * 1999-10-07 2010-06-22 Blumberg J Seth Entertainment management interactive system using a computer network
US7035825B1 (en) * 2000-01-04 2006-04-25 E.Piphany, Inc. Managing relationships of parties interacting on a network
AU768718B2 (en) * 2000-01-12 2004-01-08 Metavante Corporation Integrated systems for electronic bill presentment and payment
US20010037295A1 (en) * 2000-01-31 2001-11-01 Olsen Karl R. Push model internet bill presentment and payment system and method
JP3844933B2 (ja) * 2000-02-16 2006-11-15 株式会社日立製作所 データベースサーバ処理方法
US6732100B1 (en) 2000-03-31 2004-05-04 Siebel Systems, Inc. Database access method and system for user role defined access
US6941470B1 (en) 2000-04-07 2005-09-06 Everdream Corporation Protected execution environments within a computer system
US6763344B1 (en) * 2000-04-14 2004-07-13 International Business Machines Corporation Method of and system for dynamically controlling access to data records
US6631386B1 (en) * 2000-04-22 2003-10-07 Oracle Corp. Database version control subsystem and method for use with database management system
US6976078B1 (en) * 2000-05-08 2005-12-13 International Business Machines Corporation Process for simultaneous user access using access control structures for authoring systems
EP1305752A1 (en) 2000-05-09 2003-05-02 Spectrum EBP-LLC Electronic bill presentment and payment system
US6868450B1 (en) 2000-05-17 2005-03-15 Hewlett-Packard Development Company, L.P. System and method for a process attribute based computer network filter
US6581060B1 (en) * 2000-06-21 2003-06-17 International Business Machines Corporation System and method for RDBMS to protect records in accordance with non-RDBMS access control rules
EP1168752A1 (en) 2000-06-23 2002-01-02 Matra Nortel Communications Access control in client-sever systems
US6757680B1 (en) * 2000-07-03 2004-06-29 International Business Machines Corporation System and method for inheriting access control rules
US7080085B1 (en) 2000-07-12 2006-07-18 International Business Machines Corporation System and method for ensuring referential integrity for heterogeneously scoped references in an information management system
JP3790661B2 (ja) * 2000-09-08 2006-06-28 インターナショナル・ビジネス・マシーンズ・コーポレーション アクセス制御システム
US6775668B1 (en) * 2000-09-11 2004-08-10 Novell, Inc. Method and system for enhancing quorum based access control to a database
US7194526B2 (en) * 2000-09-22 2007-03-20 Kyocera Corporation Network device management method, and network devices
US7096326B1 (en) * 2000-09-29 2006-08-22 Pinion Software, Inc. Registry monitoring system and method
US8239408B2 (en) * 2000-10-24 2012-08-07 Blumberg J Seth Corporate and entertainment management interactive system using a computer network
US20030088482A1 (en) * 2000-10-24 2003-05-08 Blumberg J. Seth Grouping and pooling of economic and design resources relating to products and services
US20030014394A1 (en) * 2001-03-22 2003-01-16 Shinji Fujiwara Cell-level data access control using user-defined functions
US20020095405A1 (en) * 2001-01-18 2002-07-18 Hitachi America, Ltd. View definition with mask for cell-level data access control
US6947989B2 (en) * 2001-01-29 2005-09-20 International Business Machines Corporation System and method for provisioning resources to users based on policies, roles, organizational information, and attributes
US6985955B2 (en) * 2001-01-29 2006-01-10 International Business Machines Corporation System and method for provisioning resources to users based on roles, organizational information, attributes and third-party information or authorizations
US6631453B1 (en) 2001-02-14 2003-10-07 Zecurity Secure data storage device
TW561725B (en) * 2001-02-14 2003-11-11 Matsushita Electric Ind Co Ltd Communications setting method and communications setting system for power line communications system
WO2002078286A2 (en) * 2001-03-27 2002-10-03 Bea Systems, Inc. System and method for managing objects and resources with access rights embedded in nodes within a hierarchical tree structure
US20030088569A1 (en) * 2001-04-19 2003-05-08 Rubert Amy L. Configuring access to database
US7017183B1 (en) * 2001-06-29 2006-03-21 Plumtree Software, Inc. System and method for administering security in a corporate portal
US7904454B2 (en) * 2001-07-16 2011-03-08 International Business Machines Corporation Database access security
AUPR796701A0 (en) * 2001-09-27 2001-10-25 Plugged In Communications Pty Ltd Database query system and method
US7958049B2 (en) * 2001-11-01 2011-06-07 Metavante Corporation System and method for obtaining customer bill information and facilitating bill payment at biller websites
US7370014B1 (en) 2001-11-01 2008-05-06 Metavante Corporation Electronic bill presentment and payment system that obtains user bill information from biller web sites
US6988014B2 (en) * 2001-11-07 2006-01-17 Sap Aktiengesellschaft Re-usable elements of a configuration model
US7370366B2 (en) * 2001-11-16 2008-05-06 International Business Machines Corporation Data management system and method
US8006280B1 (en) 2001-12-12 2011-08-23 Hildebrand Hal S Security system for generating keys from access rules in a decentralized manner and methods therefor
US7921284B1 (en) 2001-12-12 2011-04-05 Gary Mark Kinghorn Method and system for protecting electronic data in enterprise environment
US7565683B1 (en) 2001-12-12 2009-07-21 Weiqing Huang Method and system for implementing changes to security policies in a distributed security system
US10360545B2 (en) 2001-12-12 2019-07-23 Guardian Data Storage, Llc Method and apparatus for accessing secured electronic data off-line
US7930756B1 (en) 2001-12-12 2011-04-19 Crocker Steven Toye Multi-level cryptographic transformations for securing digital assets
US7681034B1 (en) 2001-12-12 2010-03-16 Chang-Ping Lee Method and apparatus for securing electronic data
US7921288B1 (en) 2001-12-12 2011-04-05 Hildebrand Hal S System and method for providing different levels of key security for controlling access to secured items
US7260555B2 (en) 2001-12-12 2007-08-21 Guardian Data Storage, Llc Method and architecture for providing pervasive security to digital assets
US7178033B1 (en) 2001-12-12 2007-02-13 Pss Systems, Inc. Method and apparatus for securing digital assets
US7921450B1 (en) 2001-12-12 2011-04-05 Klimenty Vainstein Security system using indirect key generation from access rules and methods therefor
USRE41546E1 (en) 2001-12-12 2010-08-17 Klimenty Vainstein Method and system for managing security tiers
US7783765B2 (en) 2001-12-12 2010-08-24 Hildebrand Hal S System and method for providing distributed access control to secured documents
US8065713B1 (en) 2001-12-12 2011-11-22 Klimenty Vainstein System and method for providing multi-location access management to secured items
US7380120B1 (en) 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
US10033700B2 (en) 2001-12-12 2018-07-24 Intellectual Ventures I Llc Dynamic evaluation of access rights
US7047234B2 (en) * 2001-12-19 2006-05-16 International Business Machines Corporation System and method for managing database access
US7950066B1 (en) 2001-12-21 2011-05-24 Guardian Data Storage, Llc Method and system for restricting use of a clipboard application
US8176334B2 (en) 2002-09-30 2012-05-08 Guardian Data Storage, Llc Document security system that permits external users to gain access to secured files
US7073074B2 (en) * 2002-02-13 2006-07-04 Microsoft Corporation System and method for storing events to enhance intrusion detection
US7748045B2 (en) 2004-03-30 2010-06-29 Michael Frederick Kenrich Method and system for providing cryptographic document retention with off-line access
US8613102B2 (en) 2004-03-30 2013-12-17 Intellectual Ventures I Llc Method and system for providing document retention using cryptography
US20040003084A1 (en) * 2002-05-21 2004-01-01 Malik Dale W. Network resource management system
US7263535B2 (en) * 2002-05-21 2007-08-28 Bellsouth Intellectual Property Corporation Resource list management system
US7136858B2 (en) 2002-05-21 2006-11-14 Bellsouth Intellectual Property Corporation Network update manager
US7346696B2 (en) * 2002-05-21 2008-03-18 At&T Deleware Intellectual Property, Inc. Group access management system
US8799489B2 (en) * 2002-06-27 2014-08-05 Siebel Systems, Inc. Multi-user system with dynamic data source selection
CN1464401B (zh) * 2002-06-28 2010-05-26 国际商业机器公司 使用影子对象进行核准控制的面向对象系统和方法
JP4612416B2 (ja) 2002-08-09 2011-01-12 ヴィスト・コーポレーション 危殆化した遠隔装置上のデータへのアクセスを防止するシステムおよび方法
US7512810B1 (en) 2002-09-11 2009-03-31 Guardian Data Storage Llc Method and system for protecting encrypted files transmitted over a network
US20040059734A1 (en) * 2002-09-23 2004-03-25 Hubbert Smith Data access control
US7293052B1 (en) * 2002-10-23 2007-11-06 Cisco Technology, Inc. Method and apparatus for value-based access to network management information
US6886101B2 (en) * 2002-10-30 2005-04-26 American Express Travel Related Services Company, Inc. Privacy service
US7568218B2 (en) 2002-10-31 2009-07-28 Microsoft Corporation Selective cross-realm authentication
US7836310B1 (en) 2002-11-01 2010-11-16 Yevgeniy Gutnik Security system that uses indirect password-based encryption
US7890990B1 (en) 2002-12-20 2011-02-15 Klimenty Vainstein Security system with staging capabilities
US8635221B2 (en) * 2002-12-20 2014-01-21 International Business Machines Corporation Method, system, and program product for managing access to data items in a database
US20040210520A1 (en) * 2003-04-02 2004-10-21 Fitzgerald Daleen R. Bill payment payee information management system and method
JP4485141B2 (ja) * 2003-04-10 2010-06-16 株式会社日立製作所 ネットワーク上のサービス公開及び提供方法並びにそのプログラム
US20040215560A1 (en) * 2003-04-25 2004-10-28 Peter Amalraj Integrated payment system and method
US7155612B2 (en) * 2003-04-30 2006-12-26 International Business Machines Corporation Desktop database data administration tool with row level security
US7447732B2 (en) * 2003-05-23 2008-11-04 International Business Machines Corporation Recoverable return code tracking and notification for autonomic systems
US8707034B1 (en) 2003-05-30 2014-04-22 Intellectual Ventures I Llc Method and system for using remote headers to secure electronic files
US7478094B2 (en) * 2003-06-11 2009-01-13 International Business Machines Corporation High run-time performance method for setting ACL rule for content management security
US7730543B1 (en) 2003-06-30 2010-06-01 Satyajit Nath Method and system for enabling users of a group shared across multiple file security systems to access secured files
US20050028008A1 (en) * 2003-07-29 2005-02-03 Kumar Anil N. System for accessing digital assets
US8543566B2 (en) * 2003-09-23 2013-09-24 Salesforce.Com, Inc. System and methods of improving a multi-tenant database query using contextual knowledge about non-homogeneously distributed tenant data
US7779039B2 (en) 2004-04-02 2010-08-17 Salesforce.Com, Inc. Custom entities and fields in a multi-tenant database system
US7529728B2 (en) 2003-09-23 2009-05-05 Salesforce.Com, Inc. Query optimization in a multi-tenant database system
US7703140B2 (en) 2003-09-30 2010-04-20 Guardian Data Storage, Llc Method and system for securing digital assets using process-driven security policies
US8127366B2 (en) 2003-09-30 2012-02-28 Guardian Data Storage, Llc Method and apparatus for transitioning between states of security policies used to secure electronic documents
US7437362B1 (en) * 2003-11-26 2008-10-14 Guardium, Inc. System and methods for nonintrusive database security
US7930149B2 (en) 2003-12-19 2011-04-19 Sap Aktiengesellschaft Versioning of elements in a configuration model
US8478668B2 (en) * 2004-03-12 2013-07-02 Sybase, Inc. Hierarchical entitlement system with integrated inheritance and limit checks
US7797239B2 (en) * 2004-03-12 2010-09-14 Sybase, Inc. Hierarchical entitlement system with integrated inheritance and limit checks
US8276096B2 (en) * 2004-04-02 2012-09-25 International Business Machines Corporation Multicast file viewing and editing
EP1585071B1 (fr) * 2004-04-09 2008-06-18 Proton World International N.V. Partage de fichiers non divisibles
US7958150B2 (en) * 2004-04-30 2011-06-07 International Business Machines Corporation Method for implementing fine-grained access control using access restrictions
US7599937B2 (en) * 2004-06-28 2009-10-06 Microsoft Corporation Systems and methods for fine grained access control of data stored in relational databases
US20050289342A1 (en) * 2004-06-28 2005-12-29 Oracle International Corporation Column relevant data security label
US7707427B1 (en) 2004-07-19 2010-04-27 Michael Frederick Kenrich Multi-level file digests
US7617211B2 (en) * 2004-08-02 2009-11-10 International Business Machines Corporation System and method for automatically synchronizing security-relevant information between a relational database and a multidimensional database
JP2006099736A (ja) * 2004-09-01 2006-04-13 Ricoh Co Ltd 文書管理装置、文書管理プログラム、記録媒体及び文書管理方法
US8001082B1 (en) * 2004-10-28 2011-08-16 Good Technology, Inc. System and method of data security in synchronizing data with a wireless device
GB0425857D0 (en) * 2004-11-25 2004-12-29 Ibm A method and apparatus for controlling data access
US7908290B2 (en) * 2004-12-20 2011-03-15 Sap Ag Application development performed independent of system landscape
US8191115B2 (en) * 2005-01-10 2012-05-29 Microsoft Corporation Method and apparatus for extensible security authorization grouping
US20060156021A1 (en) * 2005-01-10 2006-07-13 Microsoft Corporation Method and apparatus for providing permission information in a security authorization mechanism
US20060156020A1 (en) * 2005-01-10 2006-07-13 Microsoft Corporation Method and apparatus for centralized security authorization mechanism
US8103640B2 (en) * 2005-03-02 2012-01-24 International Business Machines Corporation Method and apparatus for role mapping methodology for user registry migration
US20060241983A1 (en) * 2005-04-21 2006-10-26 Valerie Viale Customer centric travel system
US7743255B2 (en) * 2005-06-17 2010-06-22 Tanmoy Dutta Trust model for a database management system supporting multiple authorization domains
US7567658B1 (en) 2005-06-22 2009-07-28 Intellicall, Inc. Method to verify designation of pay telephone with an interexchange carrier
US7747597B2 (en) * 2005-06-29 2010-06-29 Microsoft Corporation Security execution context for a database management system
US20070011170A1 (en) * 2005-07-08 2007-01-11 Hackworth Keith A Systems and methods for granting access to data on a website
US7970788B2 (en) * 2005-08-02 2011-06-28 International Business Machines Corporation Selective local database access restriction
US7949684B2 (en) 2005-09-09 2011-05-24 Salesforce.Com, Inc. Systems and methods for exporting, publishing, browsing and installing on-demand applications in a multi-tenant database environment
US7933923B2 (en) * 2005-11-04 2011-04-26 International Business Machines Corporation Tracking and reconciling database commands
US7693838B2 (en) * 2005-11-12 2010-04-06 Intel Corporation Method and apparatus for securely accessing data
US7865521B2 (en) * 2005-12-12 2011-01-04 International Business Machines Corporation Access control for elements in a database object
US8244745B2 (en) * 2005-12-29 2012-08-14 Nextlabs, Inc. Analyzing usage information of an information management system
US20070192323A1 (en) * 2006-02-10 2007-08-16 Vertical Systems, Inc. System and method of access and control management between multiple databases
JP5006632B2 (ja) * 2006-03-29 2012-08-22 キヤノン株式会社 データ処理装置及びデータ処理方法
JP4977536B2 (ja) * 2006-08-11 2012-07-18 株式会社リコー 情報処理装置、情報取得方法および情報取得プログラム
US8141100B2 (en) 2006-12-20 2012-03-20 International Business Machines Corporation Identifying attribute propagation for multi-tier processing
US8407767B2 (en) * 2007-01-18 2013-03-26 Microsoft Corporation Provisioning of digital identity representations
US8689296B2 (en) 2007-01-26 2014-04-01 Microsoft Corporation Remote access of digital identities
US8495367B2 (en) 2007-02-22 2013-07-23 International Business Machines Corporation Nondestructive interception of secure data in transit
US7885976B2 (en) * 2007-02-23 2011-02-08 International Business Machines Corporation Identification, notification, and control of data access quantity and patterns
JP4598013B2 (ja) * 2007-03-29 2010-12-15 富士フイルム株式会社 医療検査支援装置、並びに検査リスト表示方法及びプログラム
CN101360121B (zh) * 2007-07-31 2012-08-29 华为技术有限公司 设备管理中权限控制的方法、系统及终端
CN101166118B (zh) * 2007-09-30 2011-06-08 华为技术有限公司 一种用户配置信息处理方法以及业务报表系统
US8234299B2 (en) * 2008-01-11 2012-07-31 International Business Machines Corporation Method and system for using fine-grained access control (FGAC) to control access to data in a database
US8261326B2 (en) 2008-04-25 2012-09-04 International Business Machines Corporation Network intrusion blocking security overlay
US8645423B2 (en) * 2008-05-02 2014-02-04 Oracle International Corporation Method of partitioning a database
US9361366B1 (en) * 2008-06-03 2016-06-07 Salesforce.Com, Inc. Method and system for controlling access to a multi-tenant database system using a virtual portal
US8473518B1 (en) 2008-07-03 2013-06-25 Salesforce.Com, Inc. Techniques for processing group membership data in a multi-tenant database system
US8037525B2 (en) * 2008-07-16 2011-10-11 International Business Machines Corporation Access control and entitlement determination for hierarchically organized content
US20100175113A1 (en) * 2009-01-05 2010-07-08 International Business Machine Corporation Secure System Access Without Password Sharing
US8296321B2 (en) 2009-02-11 2012-10-23 Salesforce.Com, Inc. Techniques for changing perceivable stimuli associated with a user interface for an on-demand database service
US20100274793A1 (en) * 2009-04-27 2010-10-28 Nokia Corporation Method and apparatus of configuring for services based on document flows
US20100293182A1 (en) * 2009-05-18 2010-11-18 Nokia Corporation Method and apparatus for viewing documents in a database
US8549289B2 (en) 2009-06-22 2013-10-01 Microsoft Corporation Scope model for role-based access control administration
US10482425B2 (en) 2009-09-29 2019-11-19 Salesforce.Com, Inc. Techniques for managing functionality changes of an on-demand database system
US8443366B1 (en) 2009-12-11 2013-05-14 Salesforce.Com, Inc. Techniques for establishing a parallel processing framework for a multi-tenant on-demand database system
US8776067B1 (en) 2009-12-11 2014-07-08 Salesforce.Com, Inc. Techniques for utilizing computational resources in a multi-tenant on-demand database system
WO2011115833A2 (en) 2010-03-15 2011-09-22 DynamicOps, Inc. Distributed event system for relational models
US8977675B2 (en) 2010-03-26 2015-03-10 Salesforce.Com, Inc. Methods and systems for providing time and date specific software user interfaces
US9189090B2 (en) * 2010-03-26 2015-11-17 Salesforce.Com, Inc. Techniques for interpreting signals from computer input devices
US9734034B2 (en) * 2010-04-09 2017-08-15 Hewlett Packard Enterprise Development Lp System and method for processing data
US8595181B2 (en) 2010-05-03 2013-11-26 Salesforce.Com, Inc. Report preview caching techniques in a multi-tenant database
US8977739B2 (en) 2010-05-03 2015-03-10 Salesforce.Com, Inc. Configurable frame work for testing and analysis of client-side web browser page performance
US8972431B2 (en) 2010-05-06 2015-03-03 Salesforce.Com, Inc. Synonym supported searches
US8819632B2 (en) 2010-07-09 2014-08-26 Salesforce.Com, Inc. Techniques for distributing information in a computer network related to a software anomaly
US9069901B2 (en) 2010-08-19 2015-06-30 Salesforce.Com, Inc. Software and framework for reusable automated testing of computer software systems
CN101963978B (zh) * 2010-09-21 2012-07-04 卓望数码技术(深圳)有限公司 一种分布式数据库的管理方法、装置及系统
US8819231B2 (en) * 2011-12-13 2014-08-26 International Business Machines Corporation Domain based management of partitions and resource groups
US9536105B2 (en) * 2012-01-26 2017-01-03 Nokia Technologies Oy Method and apparatus for providing data access via multi-user views
US9083751B2 (en) * 2012-08-31 2015-07-14 Cisco Technology, Inc. Method for cloud-based access control policy management
US9197498B2 (en) 2012-08-31 2015-11-24 Cisco Technology, Inc. Method for automatically applying access control policies based on device types of networked computing devices
US9213856B2 (en) * 2012-12-18 2015-12-15 Sap Se Role based access management for business object data structures
US9904724B1 (en) * 2013-09-30 2018-02-27 Emc Corporation Method and apparatus for message based security audit logging
US20150188910A1 (en) * 2013-12-26 2015-07-02 Iswind Digital Engineering Inc. Policy group based file protection system, file protection method thereof, and computer readable medium
US20150242531A1 (en) * 2014-02-25 2015-08-27 International Business Machines Corporation Database access control for multi-tier processing
US10204135B2 (en) 2015-07-29 2019-02-12 Oracle International Corporation Materializing expressions within in-memory virtual column units to accelerate analytic queries
US10372706B2 (en) 2015-07-29 2019-08-06 Oracle International Corporation Tracking and maintaining expression statistics across database queries
US11436274B2 (en) * 2016-01-19 2022-09-06 Regwez, Inc. Visual access code
US9977915B2 (en) 2016-04-19 2018-05-22 Bank Of America Corporation System for controlling database security and access
US11226955B2 (en) 2018-06-28 2022-01-18 Oracle International Corporation Techniques for enabling and integrating in-memory semi-structured data and text document searches with in-memory columnar query processing
US11347487B2 (en) * 2019-06-26 2022-05-31 Oracle International Corporation Confining reflective access based on module boundaries
US11169973B2 (en) * 2019-08-23 2021-11-09 International Business Machines Corporation Atomically tracking transactions for auditability and security
ES2970705T3 (es) * 2021-03-10 2024-05-30 Amadeus Sas Método de coherencia de bases de datos para múltiples sistemas de acceso a datos
US20240187411A1 (en) * 2022-12-04 2024-06-06 Asad Hasan Human system operator identity associated audit trail of containerized network application with prevention of privilege escalation, online black-box testing, and related systems and methods
CN116796306B (zh) * 2023-08-15 2023-11-14 浩鲸云计算科技股份有限公司 一种同一租户下notebook表权限控制的方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63100562A (ja) * 1986-10-17 1988-05-02 Hitachi Ltd フアイルシステム管理方式
US4956769A (en) * 1988-05-16 1990-09-11 Sysmith, Inc. Occurence and value based security system for computer databases
US5263158A (en) * 1990-02-15 1993-11-16 International Business Machines Corporation Method and system for variable authority level user access control in a distributed data processing system having multiple resource manager
GB9402935D0 (en) * 1994-02-16 1994-04-06 British Telecomm A method for controlling access to a database
FR2744542B1 (fr) * 1996-02-07 1998-03-06 Bull Sa Procede de controle d'acces a la base d'informations de gestion via l'infrastructure de communications d'une application ou d'un utilisateur d'une application
US5826010A (en) * 1996-02-12 1998-10-20 Banyan Systems, Inc. Predefined access rights for undefined attributes in a naming service
WO1998000784A1 (en) * 1996-06-28 1998-01-08 Mci Communications Corporation System and method for reporting telecommunication service conditions

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006502494A (ja) * 2002-10-03 2006-01-19 インターナショナル・ビジネス・マシーンズ・コーポレーション アクセス制御に違反する問い合わせの実行を先取り式に(pre−emptively)妨げるユーザ・データのインテリジェントな使用
JP4716729B2 (ja) * 2002-10-03 2011-07-06 インターナショナル・ビジネス・マシーンズ・コーポレーション データに関するセキュリティを提供する方法、及びそのコンピュータ・プログラム
US11899668B2 (en) 2013-08-12 2024-02-13 International Business Machines Corporation Database management apparatus, database control method and program

Also Published As

Publication number Publication date
CA2251150A1 (en) 1999-04-30
EP0913967A3 (en) 2000-06-14
EP0913967A2 (en) 1999-05-06
US6085191A (en) 2000-07-04

Similar Documents

Publication Publication Date Title
US6038563A (en) System and method for restricting database access to managed object information using a permissions table that specifies access rights corresponding to user access rights to the managed objects
US6085191A (en) System and method for providing database access control in a secure distributed network
US5999978A (en) Distributed system and method for controlling access to network resources and event notifications
US6212511B1 (en) Distributed system and method for providing SQL access to management information in a secure distributed network
US6064656A (en) Distributed system and method for controlling access control to network resources
WO2022126968A1 (zh) 微服务访问方法、装置、设备及存储介质
US9852206B2 (en) Computer relational database method and system having role based access control
US7380271B2 (en) Grouped access control list actions
US7865959B1 (en) Method and system for management of access information
KR100256594B1 (ko) 분산 디지탈 디렉토리 객체 변경을 안전하게 하는 방법 및 장치
US8959613B2 (en) System and method for managing access to a plurality of servers in an organization
US7200869B1 (en) System and method for protecting domain data against unauthorized modification
US7165182B2 (en) Multiple password policies in a directory server system
US20040024764A1 (en) Assignment and management of authentication & authorization
US20010056494A1 (en) Device and method for controlling access to resources
US8990395B2 (en) Controlling access to managed objects in networked devices
JPH09293052A (ja) 複数ネットワーク間の権限管理方法およびシステム
US7430600B2 (en) Method and device for making a portal in a computer system secure
KR19990040321A (ko) 다수의 보안 영역을 갖는 분산 시스템 환경에서 사용자접근 제어 방법 및 이를 위한 서버의 구조
US7606917B1 (en) Method, apparatus and system for principle mapping within an application container
KR20230150581A (ko) 멀티테넌시 보안관제시스템 및 그 방법
Nabhen et al. RBPIM: Enforcing RBAC policies in distributed heterogeneous systems
Ko et al. User-Level Tru es