JP2000187589A - Component access controller for program system - Google Patents
Component access controller for program systemInfo
- Publication number
- JP2000187589A JP2000187589A JP10363659A JP36365998A JP2000187589A JP 2000187589 A JP2000187589 A JP 2000187589A JP 10363659 A JP10363659 A JP 10363659A JP 36365998 A JP36365998 A JP 36365998A JP 2000187589 A JP2000187589 A JP 2000187589A
- Authority
- JP
- Japan
- Prior art keywords
- access
- component
- user
- access control
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、利用者のアクセス
チェックを自動的に行えるようなプログラムシステムの
コンポーネントアクセス制御装置に関する。[0001] 1. Field of the Invention [0002] The present invention relates to a component access control device of a program system capable of automatically performing a user access check.
【0002】[0002]
【従来の技術】コンポーネントは、所定の処理を行う単
位として様々なプログラムに動的に組み込まれる再利用
可能なバイナリ形式のプログラムであり、例えばオブジ
ェクト指向言語においてデータと手続きとをカプセル化
したオブジェクトはその一例である。2. Description of the Related Art A component is a reusable binary program that is dynamically incorporated into various programs as a unit for performing a predetermined process. For example, an object that encapsulates data and procedures in an object-oriented language is This is one example.
【0003】従来より、このコンポーネントを利用して
1つのユーザプログラムを実行するようなコンピュータ
のプログラムシステムが知られている。このようなシス
テムにおいて、ユーザプログラムにコンポーネントを組
み込む際のアクセス方法としては、2つの方法が考えら
れる。Conventionally, there has been known a computer program system that executes one user program using this component. In such a system, two methods are conceivable as access methods for incorporating components into a user program.
【0004】その第1の方法は、利用するコンポーネン
トを作成するとき、あるいは参照するときに利用者のユ
ーザ名等のユーザ情報等を指定せず、実際にコンポーネ
ントを作成、参照するときも、利用者のチェックを行わ
ない方法である。[0004] The first method is that when a component to be used is created or referenced, user information such as a user's user name is not specified when the component is actually created and referenced. This is a method that does not perform the check of the person.
【0005】第2の方法は、利用するコンポーネントを
作成するとき、あるいは参照するときに、ユーザ情報を
メッセージに付加し、作成又は参照時にそのユーザ情報
に基づいて利用者のチェックを行う方法である。A second method is to add user information to a message when creating or referring to a component to be used, and to check a user based on the user information when creating or referring to the message. .
【0006】[0006]
【発明が解決しようとする課題】ところで、上記のよう
な方法を用いた従来のプログラムシステムのコンポーネ
ントアクセス制御装置では、以下のような不都合な点が
あった。However, the conventional component access control device of a program system using the above method has the following disadvantages.
【0007】まず、第1の方法を用いたものでは、コン
ポーネントの作成、参照時にユーザ情報等を付加しなく
てもよいので、利用者の処理手続きは煩雑とならない
が、誰でもそのコンポーネントにアクセスできるため、
安全性は低い。First, in the case of using the first method, it is not necessary to add user information or the like at the time of creating or referencing a component, so that the processing procedure of the user is not complicated, but anyone can access the component. Because you can
Security is low.
【0008】第2の方法を用いたものでは、コンポーネ
ントの作成、参照時にアクセスチェックを行うので安全
性は第1の方法よりも高いが、メッセージにユーザ情報
等を付加しなければならないので、利用者の処理手続き
が煩雑となる。従って、コンポーネントにアクセスする
とき、ユーザ情報等を付加しなくても自動的にアクセス
チェックを行えるようにし、なおかつ安全性を確保でき
るようにすることが望ましい。In the method using the second method, the security is higher than in the first method since access check is performed at the time of creating and referencing a component. However, since the user information and the like must be added to the message, the use is not possible. The user's processing procedure becomes complicated. Therefore, when accessing a component, it is desirable to be able to automatically perform an access check without adding user information or the like and to ensure security.
【0009】[0009]
【課題を解決するための手段】本発明は以上の課題を解
決するため次の構成を採用する。 〈構成1〉請求項1の発明に係るプログラムシステムの
コンポーネントアクセス制御装置は、ユーザプログラム
が、所定の処理を行う単位としてのコンポーネントにア
クセスし、アクセスしたコンポーネントをユーザプログ
ラムに組み込んで当該ユーザプログラムを実行するコン
ピュータのプログラムシステムにおいて、ユーザプログ
ラムのコンポーネントへのアクセスに対し、アクセス制
御を行うアクセス制御手段を設け、該アクセス制御手段
は、前記ユーザプログラムがコンポーネントへのアクセ
ス要求をしたとき、そのユーザプログラムのユーザ情報
を所定の情報源から取得するユーザ情報取得手段と、前
記ユーザプログラムのコンポーネントへのアクセス権に
関するアクセス情報を予め登録したアクセスコントロー
ルリストと、ユーザ情報取得手段により取得されたユー
ザ情報をアクセスコントロールリストに登録されたアク
セス情報と比較し、比較結果に基づいて、アクセス要求
をしたユーザプログラムにアクセス権があるか否かを判
定するアクセスチェック手段と、該アクセスチェック手
段によりアクセス権があると判定されたときは、当該ユ
ーザプログラムのコンポーネントへのアクセスを許可
し、アクセス権がないと判定されたときは、当該ユーザ
プログラムのコンポーネントへのアクセスを不許可とす
るアクセス許可手段と、を備えて構成されたものであ
る。The present invention employs the following structure to solve the above-mentioned problems. <Structure 1> A component access control device of a program system according to claim 1, wherein a user program accesses a component as a unit for performing a predetermined process, incorporates the accessed component into the user program, and executes the user program. In a computer program system to be executed, access control means for controlling access to a component of a user program is provided, and the access control means, when the user program makes an access request to a component, executes the user program. User information acquiring means for acquiring user information of the user program from a predetermined information source; an access control list in which access information relating to an access right to a component of the user program is registered in advance; Access checking means for comparing the user information obtained by the information obtaining means with the access information registered in the access control list and determining whether or not the user program which has made the access request has an access right based on the comparison result; When the access check means determines that the user has the access right, the access to the component of the user program is permitted. When the access check means determines that the user does not have the access right, the access to the component of the user program is prohibited. Access permission means for permitting.
【0010】〈構成2〉請求項2の発明に係るプログラ
ムシステムのコンポーネントアクセス制御装置では、前
記所定の情報源がログイン情報である。<Structure 2> In the component access control device of the program system according to the second aspect of the present invention, the predetermined information source is login information.
【0011】〈構成3〉請求項3の発明に係るプログラ
ムシステムのコンポーネントアクセス制御装置では、複
数のコンポーネントをまとめてグループ化し、前記ユー
ザプログラムは、コンポーネントの代わりに、グループ
名を用いてアクセス要求を行い、前記アクセス制御手段
は、コンポーネントの代わりに、グループ毎にアクセス
制御するように構成されている。<Structure 3> In the component access control device of the program system according to the invention of claim 3, a plurality of components are grouped together, and the user program issues an access request using a group name instead of the component. The access control means is configured to perform access control for each group instead of the component.
【0012】〈構成4〉請求項4の発明に係るプログラ
ムシステムのコンポーネントアクセス制御装置では、前
記アクセスコントロールリストのアクセス情報が、持ち
運び可能な記録媒体に記録されている。<Configuration 4> In the component access control device of the program system according to the invention of claim 4, the access information of the access control list is recorded on a portable recording medium.
【0013】[0013]
【発明の実施の形態】以下、本発明の実施の形態を具体
例を用いて説明する。 〈具体例1〉具体例1は、コンポーネントの作成時、コ
ンポーネントへのアクセスを要求した利用者に対し、ア
クセス要求のメッセージにユーザ情報を付加しなくても
自動的にアクセスチェックを行えるようにしたものであ
る。DESCRIPTION OF THE PREFERRED EMBODIMENTS Embodiments of the present invention will be described below using specific examples. <Specific Example 1> In specific example 1, when a component is created, an access check can be automatically performed for a user who has requested access to the component without adding user information to an access request message. Things.
【0014】図1は、コンピュータシステム上で動作す
るコンポーネントアクセス制御装置の具体例1として、
その構成を示すブロック図である。利用者1はこの構成
を利用するアプリケーションプログラム等のようなユー
ザプログラムである。FIG. 1 shows a specific example 1 of a component access control device operating on a computer system.
FIG. 3 is a block diagram showing the configuration. The user 1 is a user program such as an application program using the configuration.
【0015】アクセス制御モジュール2は、利用者1か
らのアクセス要求に対して後述するフローチャートに従
ってアクセス制御を行うものである。コンポーネント群
には、種々のコンポーネントA,B,C,D,…が備え
られている。The access control module 2 performs access control in response to an access request from the user 1 according to a flowchart described later. The component group includes various components A, B, C, D,.
【0016】アクセスコントロールリスト3は、コンポ
ーネントのアクセス情報を記録したものであり、アクセ
ス情報を、図1に示すように「コンポーネント名:許可
するユーザ名:アクセス制御内容」という書式でアクセ
スコントロールリスト3に登録する。尚、アクセス制御
モジュール2とアクセスコントロールリスト3とがアク
セス制御手段に相当する。The access control list 3 records the access information of the components. The access information is written in the format of "component name: authorized user name: access control contents" as shown in FIG. Register with. Note that the access control module 2 and the access control list 3 correspond to access control means.
【0017】図2は、図1に示すコンポーネントアクセ
ス制御装置が動作するコンピュータシステムの構成を示
すブロック図である。この図2に示すように、中央処理
装置11、主記憶装置12、ディスプレイ13、ポイン
ティングデバイス14、キーボード15及び磁気ディス
ク装置16は、バス17を介して接続されている。FIG. 2 is a block diagram showing a configuration of a computer system in which the component access control device shown in FIG. 1 operates. As shown in FIG. 2, the central processing unit 11, main storage device 12, display 13, pointing device 14, keyboard 15, and magnetic disk device 16 are connected via a bus 17.
【0018】主記憶装置12は、ランダム・アクセス・
メモリ等を備え、各種のデータやプログラム等を格納す
るメモリ装置である。ディスプレイ13は、ウインドウ
やカーソル等を表示するCRT等によって構成された表
示装置である。The main storage device 12 has a random access memory.
A memory device that includes a memory and stores various data and programs. The display 13 is a display device configured by a CRT or the like that displays a window, a cursor, and the like.
【0019】ポインティングデバイス14は、マウス等
によって構成されて種々の入力を行うための入力装置で
ある。キーボード15は、ポインティングデバイス14
と同様に文字等を入力するための入力装置である。The pointing device 14 is an input device constituted by a mouse or the like for performing various inputs. The keyboard 15 is a pointing device 14
This is an input device for inputting characters and the like in the same manner as described above.
【0020】磁気ディスク装置16は、各種のデータや
プログラム等を格納する外部記憶装置である。中央処理
装置11は、CPU等を備え、バス17を介してポイン
ティングデバイス14等からデータを入力し、ディスプ
レイ13にウインドウの表示処理を行う等、各装置の制
御を行う装置である。The magnetic disk device 16 is an external storage device for storing various data and programs. The central processing unit 11 is a device that includes a CPU and the like, and controls each device such as inputting data from the pointing device 14 or the like via the bus 17 and performing window display processing on the display 13.
【0021】尚、図1に示す具体例1の構成は予めデー
タとして磁気ディスク装置16に記憶されたものであっ
て、プログラム実行時にバス17を介して主記憶装置1
2に転送され、ソフトウェアとして展開される。そし
て、プログラム1は中央処理装置11によって実行され
る。また、中央処理装置11のスイッチをオンしたと
き、ユーザID、パスワード等のログイン情報が入力さ
れ、このログイン情報はこのコンピュータシステム内に
格納され、ユーザ情報の所定の情報源となる。The configuration of the specific example 1 shown in FIG. 1 is stored in the magnetic disk device 16 as data in advance, and the main storage device 1 is connected via the bus 17 when the program is executed.
2 and deployed as software. Then, the program 1 is executed by the central processing unit 11. When the central processing unit 11 is turned on, login information such as a user ID and a password is input, and the login information is stored in the computer system and serves as a predetermined information source of the user information.
【0022】〈動作〉次に具体例1の動作を説明する。
図3は具体例1のアクセス制御モジュール2の動作を説
明するためのフローチャートである。<Operation> Next, the operation of the first embodiment will be described.
FIG. 3 is a flowchart for explaining the operation of the access control module 2 of the first embodiment.
【0023】ステップ1では、利用者1からコンポーネ
ントの作成要求のメッセージを入力する。この作成要求
は、アプリケーションプログラムに組み込まれるコンポ
ーネントの実体がまだ作成されていないときに、コンポ
ーネントの作成を要求する利用者1から出力される。例
えばコンポーネントAを作成する場合のメッセージは、
以下のように記述される。 MAKE(コンポーネントA) このように、メッセージには、作成するコンポーネント
名だけを記述すればよく、ユーザ情報等を記述する必要
はない。In step 1, a message of a request for creating a component is input from the user 1. This creation request is output from the user 1 requesting the creation of a component when the entity of the component incorporated in the application program has not been created yet. For example, the message when creating component A is
It is described as follows. MAKE (Component A) As described above, only the component name to be created need be described in the message, and there is no need to describe user information or the like.
【0024】ステップ2では、ログイン情報から現在コ
ンピュータシステムにログインしているユーザ情報を取
得する。このユーザ情報としては、前述のようにログイ
ン時に入力したログイン情報の1つであるユーザIDを
用いる。In step 2, information of the user who is currently logged in to the computer system is obtained from the login information. As the user information, the user ID which is one of the login information input at the time of login as described above is used.
【0025】ステップ3では、コンポーネントの作成要
求をした利用者1がコンポーネントを作成できる権限を
持っているかどうかのアクセスチェックを行う。このア
クセスチェックは、ステップ2で取得したユーザ情報
と、アクセスコントロールリスト3に記録されたアクセ
ス情報とを比較することにより行われる。例えば、利用
者1としてのユーザ1からコンポーネントAを作成する
旨のアクセス要求が出力されたとき、ユーザ1は、コン
ポーネントAの作成をすることができるものとしてアク
セスコントロールリスト3に登録されているので、ユー
ザ1にそのアクセス権があると判定される。ユーザ1に
アクセス権があると判定されたときは、ステップ4に進
む。In step 3, an access check is performed to determine whether the user 1 who has made the component creation request has the authority to create the component. This access check is performed by comparing the user information acquired in step 2 with the access information recorded in the access control list 3. For example, when an access request to create component A is output from user 1 as user 1, user 1 is registered in access control list 3 as being capable of creating component A. , User 1 has the access right. When it is determined that the user 1 has the access right, the process proceeds to Step 4.
【0026】ステップ4では、指定されたコンポーネン
トAを作成する。ステップ5では、利用者1であるユー
ザ1に、コンポーネントAを作成した旨の通知をする。
これによりコンポーネントAをユーザ1のアプリケーシ
ョンプログラムに組み込むことができる。In step 4, a designated component A is created. In step 5, the user 1 as the user 1 is notified that the component A has been created.
Thus, the component A can be incorporated into the application program of the user 1.
【0027】次に、例えば利用者1としてのユーザ2か
らコンポーネントAを作成する旨のアクセス要求が出力
されたとき、アクセスコントロールリスト3には、ユー
ザ2がコンポーネントAの作成を要求できるものとして
登録されていないので、ステップ3では、ユーザ2にそ
のアクセス権がないと判定される。このときは、ユーザ
2にコンポーネントAの作成を許可しなかった旨を通知
し、処理を終了する。尚、ステップ2がユーザ情報取得
手段に、ステップ3がアクセスチェック手段に、ステッ
プ4,5がアクセス許可手段に相当する。Next, for example, when an access request to create the component A is output from the user 2 as the user 1, the user 2 is registered in the access control list 3 as a user who can request the creation of the component A. In step 3, it is determined that the user 2 does not have the access right. At this time, the user 2 is notified that the creation of the component A has not been permitted, and the process ends. Step 2 corresponds to a user information acquisition unit, step 3 corresponds to an access check unit, and steps 4 and 5 correspond to an access permission unit.
【0028】〈具体例1の効果〉以上説明したように、
具体例1によれば、コンポーネントの作成要求のメッセ
ージが入力されたとき、メッセージにユーザ情報を付加
しなくてもアクセス制御モジュール2がその利用者1の
ユーザ情報をログイン情報から取得し、自動的にアクセ
スチェックを行うので、利用者1は作成したいコンポー
ネント名だけを指定すればよく、利用者1の処理手続き
が容易となる。しかもアクセス権のない利用者1から作
成要求があったときは、コンポーネントの作成は許可さ
れないので、安全性の高いシステムを構築することがで
きる。<Effect of Specific Example 1> As described above,
According to the specific example 1, when a message of a request for creating a component is input, the access control module 2 acquires the user information of the user 1 from the login information without adding user information to the message, and automatically , The user 1 only needs to specify the component name that he / she wants to create, and the processing procedure of the user 1 becomes easy. Moreover, when there is a creation request from the user 1 who does not have access right, the creation of components is not permitted, so that a highly secure system can be constructed.
【0029】尚、具体例1では、ユーザ情報としてユー
ザIDを用いたが、パスワード等を用いてもよい。ま
た、ユーザ情報はログイン情報に限られず、別の情報を
ユーザ情報として用いてもよい。Although the user ID is used as the user information in the specific example 1, a password or the like may be used. Further, the user information is not limited to the login information, and other information may be used as the user information.
【0030】〈具体例2〉具体例2は、アクセスチェッ
クを、コンポーネントの参照時にも自動的に行えるよう
にしたものである。尚、具体例2の構成は具体例1と同
じなので、同一符号を付して説明は省略する。<Specific Example 2> In a specific example 2, an access check can be automatically performed even when referring to a component. Since the configuration of the specific example 2 is the same as that of the specific example 1, the same reference numerals are given and the description is omitted.
【0031】〈動作〉次に具体例2の動作を説明する。
図4は具体例2のアクセス制御モジュール2の動作を説
明するためのフローチャートである。<Operation> Next, the operation of the embodiment 2 will be described.
FIG. 4 is a flowchart for explaining the operation of the access control module 2 according to the second embodiment.
【0032】ステップ11では、利用者1からコンポー
ネントの参照要求のメッセージを入力する。この参照要
求は、既に作成されたコンポーネントを利用したい利用
者1がいるときにその利用者1から出力される。例えば
コンポーネントAを参照する場合のメッセージは、以下
のように記述される。 REFER(コンポーネントA) このように参照時においても、メッセージには、参照し
たいコンポーネント名だけを記述すればよく、ユーザ情
報を記述する必要はない。In step 11, the user 1 inputs a message for requesting reference of a component. This reference request is output from the user 1 when there is a user 1 who wants to use the already created component. For example, a message when referring to the component A is described as follows. REFER (Component A) As described above, even at the time of reference, only the component name to be referred need be described in the message, and there is no need to describe user information.
【0033】ステップ12では、ログイン情報から現在
システムにログインしているユーザ情報を取得する。ス
テップ13では、ステップ2で取得したユーザ情報と、
アクセスコントロールリスト3に記述されたアクセス情
報とを比較することにより、コンポーネントの作成を要
求した利用者1がコンポーネントを作成できる権限を持
っているかどうかのアクセスチェックを行う。In step 12, information of the user who is currently logged in to the system is obtained from the login information. In step 13, the user information acquired in step 2
By comparing the access information described in the access control list 3 with the access information, an access check is performed to determine whether the user 1 who has requested the creation of the component has the authority to create the component.
【0034】例えば利用者1としてのユーザ1からコン
ポーネントAを参照する旨のアクセス要求が出力された
とき、ユーザ1は、コンポーネントAの参照をすること
ができるものとしてアクセスコントロールリスト3に登
録されているので、そのアクセス権があると判定され
る。このときは、ステップ14に進み、指定されたコン
ポーネントAが既に作成されているかどうかをチェック
する。コンポーネントAが既に作成されているときは、
ステップ15に進む。For example, when an access request to refer to component A is output from user 1 as user 1, user 1 is registered in access control list 3 as being capable of referring to component A. Therefore, it is determined that the user has the access right. At this time, the process proceeds to step 14 to check whether the specified component A has already been created. If component A has already been created,
Proceed to step 15.
【0035】ステップ15では、指定されたコンポーネ
ントAを取得する。ステップ16では、取得したコンポ
ーネントAを利用者1であるユーザ1に渡す。また、ア
クセス権を有していても、コンポーネントAが作成され
ていなければ、ステップ14において、指定されたコン
ポーネントAがないと判定され、利用者1にその旨が通
知され、処理の実行が中止される。In step 15, the specified component A is obtained. In step 16, the obtained component A is passed to the user 1, the user 1. If the component A has not been created even if the user has the access right, it is determined in step 14 that the specified component A does not exist, the user 1 is notified of the fact, and the execution of the process is stopped. Is done.
【0036】次に、例えば利用者1としてのユーザ2か
らコンポーネントAを参照する旨のアクセス要求が出力
されたとき、アクセスコントロールリスト3には、ユー
ザ2がコンポーネントAの参照を要求できるものとして
登録されていないので、ステップ13では、ユーザ2に
そのアクセス権がないと判定される。このときは、コン
ポーネントAの作成を許可しなかった旨をユーザ2に通
知し、処理を終了する。Next, for example, when an access request for referring to the component A is output from the user 2 as the user 1, the user 2 is registered in the access control list 3 as a user who can request the reference to the component A. In step 13, it is determined that the user 2 does not have the access right. At this time, the user 2 is notified that the creation of the component A has not been permitted, and the process ends.
【0037】〈具体例2の効果〉以上説明したように、
具体例2によれば、コンポーネントの参照要求のメッセ
ージが入力されたとき、メッセージにユーザ情報を付加
しなくてもアクセス制御モジュール2がその利用者1の
ユーザ情報をログイン情報から取得し、自動的にアクセ
スチェックを行うので、利用者1は参照したいコンポー
ネント名だけを指定すればよく、コンポーネントの参照
時においても利用者1の処理手続きが容易となる。しか
もアクセス権のない利用者1から参照要求があったとき
は、コンポーネントの参照は許可されないので、安全性
の高いシステムを構築することができる。<Effect of Specific Example 2> As described above,
According to the specific example 2, when a message for requesting reference of a component is input, the access control module 2 acquires the user information of the user 1 from the login information without adding user information to the message, and automatically , The user 1 only needs to specify the component name that he / she wants to refer to, and the processing procedure of the user 1 becomes easy even when referring to the component. In addition, when there is a reference request from the user 1 who does not have access right, reference to the component is not permitted, so that a highly secure system can be constructed.
【0038】また、コンポーネントを参照する場合、既
にコンポーネントが作成されているかどうかのチェック
も行うため、コンポーネント未作成の時、無駄な参照を
省くことができる。When referring to a component, it is also checked whether or not the component has already been created. Therefore, when the component has not been created, useless reference can be omitted.
【0039】〈具体例3〉具体例3は、同じようなコン
ポーネントを1つにまとめ、そのグループ名を用いてア
クセスチェックを行うようにしたものである。<Third Embodiment> In the third embodiment, similar components are combined into one, and an access check is performed using the group name.
【0040】図5は、コンポーネント群の一例を示す説
明図である。コンポーネントAとコンポーネントCとが
同じようなタイプである場合、図5に示すようにコンポ
ーネントA及びコンポーネントCをグループ名「コンポ
ーネントTypeA」としてグループ化する。FIG. 5 is an explanatory diagram showing an example of a component group. When the components A and C are of the same type, the components A and C are grouped as a group name “component TypeA” as shown in FIG.
【0041】同じようにコンポーネントBを「コンポー
ネントTypeC」のグループに、コンポーネントDを「コ
ンポーネントTypeC」のグループにグループ化する。ま
た、ユーザ情報についても「ユーザType〜」としてグル
ープ化しておく。Similarly, the component B is grouped into the group of "Component Type C", and the component D is grouped into the group of "Component Type C". The user information is also grouped as “user typeType”.
【0042】図6は、このようにグループ化したコンポ
ーネントを、グループ名を用いて登録した具体例3のア
クセスコントロールリスト3の一例を示す説明図であ
る。図6に示すように、アクセスコントロールリスト3
には、アクセス情報が「コンポーネントのタイプ名:許
可するユーザのタイプ名:アクセス制御内容」という書
式で登録される。尚、具体例1と同一要素については同
一符号を付して説明は省略する。FIG. 6 is an explanatory diagram showing an example of the access control list 3 of the embodiment 3 in which the components grouped as described above are registered using the group name. As shown in FIG. 6, the access control list 3
, Access information is registered in the format of “component type name: permitted user type name: access control content”. The same elements as those in the first embodiment are denoted by the same reference numerals, and description thereof is omitted.
【0043】〈動作〉次に具体例3の動作を説明する。
利用者1がコンポーネントの作成又は参照を要求する場
合、メッセージの中でアクセスしたいコンポーネント名
を含むタイプ名を指定する。例えばコンポーネントAを
指定する場合は、コンポーネントTypeAを指定する。<Operation> Next, the operation of the embodiment 3 will be described.
When the user 1 requests creation or reference of a component, a type name including a component name to be accessed is specified in the message. For example, when specifying the component A, the component TypeA is specified.
【0044】また、アクセス制御モジュール2は、アク
セス要求があったとき、アクセス要求したユーザのユー
ザ情報をユーザタイプ名でログイン情報から取得し、こ
のユーザタイプに対してアクセスチェックを行う。When there is an access request, the access control module 2 acquires user information of the user who made the access request from the login information with the user type name, and performs an access check on this user type.
【0045】そして、そのユーザタイプにアクセス権が
あると判定されたときは、指定されたコンポーネントタ
イプに含まれるコンポーネントへのアクセスが許可され
る。例えば、ユーザTypeAからコンポーネントTypeAの
作成要求が出力されたときは、図6に示すように、ユー
ザTypeAがコンポーネントTypeAの作成を行えるものと
してアクセスコントロールリスト3に登録されているの
で、アクセス制御モジュール2はユーザTypeAにアクセ
ス権があると判定し、指定されたコンポーネントTypeA
に含まれているコンポーネントA及びコンポーネントC
が作成される。When it is determined that the user type has the access right, access to the component included in the designated component type is permitted. For example, when a request for creating the component TypeA is output from the user TypeA, as shown in FIG. 6, the user TypeA is registered in the access control list 3 as being capable of creating the component TypeA. Determines that the user TypeA has access rights and specifies the specified component TypeA
A and C contained in
Is created.
【0046】〈具体例3の効果〉以上説明したように、
具体例3によれば、コンポーネントのグループ名を用い
てアクセス制御を行うようにしたので、同じようなコン
ポーネントが複数ある場合に、利用者1はアクセスした
いコンポーネント名を1つずつ指定しなくても、まとめ
てアクセス要求を行うことができる。従って、コンポー
ネントが増えた場合にこのようにグループ化して管理す
れば、アクセス管理が容易となる。<Effect of Specific Example 3> As described above,
According to the specific example 3, the access control is performed using the component group name. Therefore, when there are a plurality of similar components, the user 1 does not need to specify the component names to be accessed one by one. , Access requests can be made collectively. Accordingly, if the components are increased and grouped and managed in this manner, access management becomes easy.
【0047】また、アクセスコントロールリスト3に登
録されているようなアクセス情報をICカード等に格納
し、これを各利用者1が所持するようにすれば、利用者
1が増えても利用者1に応じたアクセス管理を行うこと
ができ、安全性も向上する。If the access information registered in the access control list 3 is stored in an IC card or the like and each user 1 possesses it, even if the number of users 1 increases, The access control can be performed according to the security, and the security can be improved.
【図1】本発明に係るプログラムシステムのコンポーネ
ントアクセス制御装置の具体例1として、その構成を示
すブロック図である。FIG. 1 is a block diagram showing a configuration of a component access control device of a program system according to a first embodiment of the present invention;
【図2】図1のコンポーネントアクセス制御装置が動作
するコンピュータシステムの構成を示すブロック図であ
る。FIG. 2 is a block diagram showing a configuration of a computer system on which the component access control device of FIG. 1 operates.
【図3】具体例1の動作を説明するためのフローチャー
トである。FIG. 3 is a flowchart for explaining an operation of a specific example 1;
【図4】具体例2の動作を説明するためのフローチャー
トである。FIG. 4 is a flowchart for explaining the operation of a specific example 2;
【図5】具体例3のコンポーネント群の一例を示す説明
図である。FIG. 5 is an explanatory diagram illustrating an example of a component group of a specific example 3.
【図6】グループ名を用いてコンポーネントを登録した
具体例3のアクセスコントロールリストの一例を示す説
明図である。FIG. 6 is an explanatory diagram illustrating an example of an access control list of a specific example 3 in which components are registered using a group name.
1 利用者 2 アクセス制御モジュール 3 アクセスコントロールリスト 1 user 2 access control module 3 access control list
Claims (4)
単位としてのコンポーネントにアクセスし、アクセスし
たコンポーネントをユーザプログラムに組み込んで当該
ユーザプログラムを実行するコンピュータのプログラム
システムにおいて、 ユーザプログラムのコンポーネントへのアクセスに対
し、アクセス制御を行うアクセス制御手段を設け、 該アクセス制御手段は、 前記ユーザプログラムがコンポーネントへのアクセス要
求をしたとき、そのユーザプログラムのユーザ情報を所
定の情報源から取得するユーザ情報取得手段と、 前記ユーザプログラムのコンポーネントへのアクセス権
に関するアクセス情報を予め登録したアクセスコントロ
ールリストと、 ユーザ情報取得手段により取得されたユーザ情報をアク
セスコントロールリストに登録されたアクセス情報と比
較し、比較結果に基づいて、アクセス要求をしたユーザ
プログラムにアクセス権があるか否かを判定するアクセ
スチェック手段と、 該アクセスチェック手段によりアクセス権があると判定
されたときは、当該ユーザプログラムのコンポーネント
へのアクセスを許可し、アクセス権がないと判定された
ときは、当該ユーザプログラムのコンポーネントへのア
クセスを不許可とするアクセス許可手段と、を備えて構
成されたことを特徴とするプログラムシステムのコンポ
ーネントアクセス制御装置。1. A computer program system in which a user program accesses a component as a unit for performing predetermined processing, incorporates the accessed component into the user program, and executes the user program. An access control means for performing access control, wherein the access control means, when the user program requests access to a component, user information acquisition means for acquiring user information of the user program from a predetermined information source An access control list in which access information relating to an access right to a component of the user program is registered in advance, and an access control list in which user information obtained by the user information obtaining means is stored. An access check unit that compares the registered access information with the registered access information and determines whether the user program that has made the access request has an access right based on the comparison result; and the access check unit determines that the access right has the access right. Access permission means for permitting access to the component of the user program, and disabling access to the component of the user program when it is determined that there is no access right. A component access control device for a program system.
ことを特徴とする請求項1に記載のプログラムシステム
のコンポーネントアクセス制御装置。2. The component access control device according to claim 1, wherein the predetermined information source is login information.
プ化し、 前記ユーザプログラムは、コンポーネントの代わりに、
グループ名を用いてアクセス要求を行い、 前記アクセス制御手段は、コンポーネントの代わりに、
グループ毎にアクセス制御するように構成されたことを
特徴とする請求項1又は請求項2に記載のプログラムシ
ステムのコンポーネントアクセス制御装置。3. A plurality of components are grouped together, wherein the user program is provided instead of components.
Making an access request using a group name, the access control means, instead of the component,
The component access control device for a program system according to claim 1, wherein access control is performed for each group.
セス情報を、持ち運び可能な記録媒体に記録したことを
特徴とする請求項3に記載のプログラムシステムのコン
ポーネントアクセス制御装置。4. The component access control device according to claim 3, wherein the access information of the access control list is recorded on a portable recording medium.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10363659A JP2000187589A (en) | 1998-12-22 | 1998-12-22 | Component access controller for program system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10363659A JP2000187589A (en) | 1998-12-22 | 1998-12-22 | Component access controller for program system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000187589A true JP2000187589A (en) | 2000-07-04 |
Family
ID=18479868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10363659A Pending JP2000187589A (en) | 1998-12-22 | 1998-12-22 | Component access controller for program system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000187589A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008527482A (en) * | 2004-12-31 | 2008-07-24 | アルカテル−ルーセント | Access control method |
-
1998
- 1998-12-22 JP JP10363659A patent/JP2000187589A/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008527482A (en) * | 2004-12-31 | 2008-07-24 | アルカテル−ルーセント | Access control method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7290279B2 (en) | Access control method using token having security attributes in computer system | |
| US4713753A (en) | Secure data processing system architecture with format control | |
| US8925035B2 (en) | System and method for document isolation | |
| US7356704B2 (en) | Aggregated authenticated identity apparatus for and method therefor | |
| EP0803101B1 (en) | A mechanism for linking together the files of emulated and host system for access by emulated system users | |
| US6289458B1 (en) | Per property access control mechanism | |
| JP5963957B2 (en) | Development environment system, development environment device, development environment providing method and program | |
| KR101143121B1 (en) | Verifying dynamically generated operations on a data store | |
| CN102938043B (en) | Authorize the application access to secure resources | |
| JP2002182983A (en) | Method for controlling access to database, database unit, method for controlling access to resources and information processor | |
| JP2003536176A (en) | Evidence-based security policy manager | |
| JPH10240690A (en) | Client/server system, server and client terminals | |
| US20140115672A1 (en) | Storing and Accessing Licensing Information in Operating System-Independent Storage | |
| US6289459B1 (en) | Processor unique processor number feature with a user controllable disable capability | |
| JP5229049B2 (en) | Server device, access control system, and access control program | |
| JP4084850B2 (en) | Safety device and safety management method for data processing system | |
| JPH06175904A (en) | Access right setting device for file | |
| JP2002108709A (en) | Access control method and its implementing device, and recording medium with processing program thereof recorded thereon | |
| JPH07295876A (en) | Access right controlling device | |
| JP2000187589A (en) | Component access controller for program system | |
| RU2134931C1 (en) | Method of obtaining access to objects in operating system | |
| JP2002304231A (en) | Computer system | |
| JP4342326B2 (en) | Database controller | |
| JP2002288405A (en) | Method for project management, project managing server, accepting server, and program | |
| JP2001318895A (en) | Database security managing method and its program recording medium |