JP2000259476A - File management system and server computer - Google Patents
File management system and server computerInfo
- Publication number
- JP2000259476A JP2000259476A JP11063397A JP6339799A JP2000259476A JP 2000259476 A JP2000259476 A JP 2000259476A JP 11063397 A JP11063397 A JP 11063397A JP 6339799 A JP6339799 A JP 6339799A JP 2000259476 A JP2000259476 A JP 2000259476A
- Authority
- JP
- Japan
- Prior art keywords
- file
- information
- access
- user
- permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Multi Processors (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、複数のセキュリ
ティレベルを持つ各ファイルに対するユーザからのアク
セス要求を、各ユーザの地位や権限などから決められる
ファイルアクセスの権能に応じて適切に制御することが
可能なファイル管理システム及びサーバ計算機に関する
ものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention can appropriately control a user's access request to each file having a plurality of security levels in accordance with a file access authority determined from each user's position and authority. The present invention relates to a possible file management system and a server computer.
【0002】[0002]
【従来の技術】従来、サーバにおいて文書等のファイル
を記憶するようにし、複数のクライアントからユーザが
アクセスして、文書の登録、検索、参照、払い出し、削
除等の操作を行うようにしたシステムが知られている。
係るシステムにセキュリティ管理を導入したものにあっ
ては、セキュリティ上のユーザのレベルとセキュリティ
上の文書のレベルを、文書の登録、検索、参照、払い出
し、削除等の操作種別毎に管理しなければならず、処理
が複雑となっていた。2. Description of the Related Art Conventionally, there is a system in which a file such as a document is stored in a server, and a user accesses the server from a plurality of clients to perform operations such as registration, search, reference, delivery, and deletion of the document. Are known.
When security management is introduced in such a system, the security user level and security document level must be managed for each operation type such as document registration, search, reference, delivery, deletion, etc. Instead, the processing was complicated.
【0003】例えば、文書に対するアクセスがあると、
多くの操作種別毎に設けられたセキュリティ上のユーザ
のレベルとセキュリティ上の文書のレベルを検索する処
理が必要となる。また、新規文書や新規ユーザを登録す
る際には、多くの操作種別毎にセキュリティ上の文書の
レベルを設定し、セキュリティ上のユーザレベルを設定
する必要が生じた。For example, when there is access to a document,
It is necessary to perform a process of searching for the level of a security user and the level of a security document provided for each type of operation. In addition, when registering a new document or a new user, it is necessary to set a security document level for each operation type and set a security user level.
【0004】[0004]
【発明が解決しようとする課題】本発明は上記のような
従来のファイル管理システム及びサーバ計算機の問題点
を解決せんとしてなされたもので、その目的は、ユーザ
からの文書に対するアクセスに適切に対応でき、新規な
文書やユーザの登録の際の処理が容易なファイル管理シ
ステム及びサーバ計算機を提供することである。SUMMARY OF THE INVENTION The present invention has been made to solve the problems of the conventional file management system and server computer as described above, and its purpose is to appropriately cope with a user accessing a document. It is an object of the present invention to provide a file management system and a server computer which can perform a process for registering a new document or a user easily.
【0005】[0005]
【課題を解決するための手段】本発明に係るファイル管
理システムとサーバ計算機は、保存されるファイルの識
別情報に対応して、アクセスを許可すべきユーザの範囲
を限定するための許可情報が記憶されたファイルアクセ
ス許可情報記憶部と、ファイルに対するユーザのアクセ
ス権能を示すセキュリティ情報がユーザの識別情報に対
応して記憶されたユーザセキュリティ情報記憶部と、フ
ァイルのアクセスを求めるユーザの識別情報及びアクセ
スに係るファイルの識別情報に基づき前記ユーザセキュ
リティ情報記憶部からセキュリティ情報を得ると共に、
ファイルアクセス許可情報記憶部から許可情報を得て、
これらに応じてユーザにアクセス許可を与えるか否か制
御するアクセス許可制御部と、このアクセス許可制御部
の制御に応じてファイルの転送及び書込みを行うファイ
ル転送・書込部とを具備することを特徴とする。これに
より、ファイルのアクセスを求める際には、ユーザの識
別情報とアクセスに係るファイルの識別情報を示すだけ
で、適切にファイルアクセス制御がなされることにな
る。In the file management system and the server computer according to the present invention, permission information for limiting the range of users to whom access is permitted is stored in accordance with the identification information of the file to be stored. File access permission information storage unit, a user security information storage unit in which security information indicating the user's access right to the file is stored in correspondence with the user identification information, a user identification information requesting file access, and access While obtaining security information from the user security information storage unit based on the identification information of the file according to
Obtaining permission information from the file access permission information storage unit,
An access permission control unit that controls whether or not to grant an access permission to the user in accordance with these, and a file transfer / write unit that transfers and writes a file according to the control of the access permission control unit are provided. Features. As a result, when requesting access to a file, file access control is appropriately performed only by indicating the identification information of the user and the identification information of the file to be accessed.
【0006】本発明に係るファイル管理システムは、フ
ァイルを当該ファイル数より少ない数のブロックに区分
する場合に用いるカテゴリ情報に、ファイルと、アクセ
スを許可すべきユーザの範囲を限定するための許可情報
とが対応付けて記憶されるファイルアクセス許可情報記
憶部と、ファイルに対するユーザのアクセス権能を示す
セキュリティ情報がユーザの識別情報に対応して記憶さ
れたユーザセキュリティ情報記憶部と、ファイルのアク
セスを求めるユーザの識別情報及びアクセスに係るファ
イルのカテゴリ情報に基づき前記ユーザセキュリティ情
報記憶部からセキュリティ情報を得ると共に、ファイル
アクセス許可情報記憶部から許可情報を得て、これらに
応じてユーザにアクセス許可を与えるか否か制御するア
クセス許可制御部と、このアクセス許可制御部の制御に
応じてファイルの転送及び書込みを行うファイル転送・
書込部とを具備することを特徴とする。これにより、フ
ァイルのアクセスを求める際には、ユーザの識別情報と
アクセスに係るファイルのカテゴリ情報を使用して、適
切にファイルアクセス制御がなされる。In the file management system according to the present invention, the category information used to divide a file into a smaller number of blocks than the number of files includes permission information for limiting a file and a range of users to whom access is permitted. A file access permission information storage unit in which security information indicating the user's access right to the file is stored in association with the user identification information, and a file access request. The security information is obtained from the user security information storage unit based on the user's identification information and the category information of the file to be accessed, and the permission information is obtained from the file access permission information storage unit, and the user is given access permission in accordance with these. Access control unit that controls whether or not , File transfer and for transferring and writing the file according to the control of the access permission control unit
A writing unit. Thus, when requesting access to a file, file access control is appropriately performed using the identification information of the user and the category information of the file to be accessed.
【0007】本発明に係るファイル管理システムでは、
セキュリティ情報と許可情報とが、同一ビット数の情報
であり、前記セキュリティ情報と前記許可情報との同一
ビット位置の情報が有意である場合にユーザにアクセス
許可を与えるように構成され、アクセス許可制御部は、
セキュリティ情報と許可情報との論理積演算を行い結果
に、有意ビットが出現したときにアクセス許可を与える
制御を行うことを特徴とする。これによって、論理積演
算という簡単な手法によりアクセス許可を与える制御を
行うことができる。[0007] In the file management system according to the present invention,
When the security information and the permission information are information of the same number of bits, and the information of the same bit position of the security information and the permission information is significant, the user is permitted to access, and the access permission control is performed. The department is
The present invention is characterized in that a logical product operation of security information and permission information is performed, and control is performed to give an access permission when a significant bit appears in the result. As a result, it is possible to perform control for giving access permission by a simple method called a logical product operation.
【0008】[0008]
【発明の実施の形態】以下添付図面を参照して本発明に
係るファイル管理システム及びサーバ計算機を説明す
る。図1には、本発明に係るファイル管理システム、ま
たは、サーバ計算機の構成が示されている。ファイル管
理システム、または、サーバ計算機には、ファイルが記
憶されるファイル記憶部1が備えられている。ファイル
記憶部1に記憶されるファイルは、例えば製品開発等の
プロジェクトで発生する品質記録、技術連絡、議事録、
成果物等の文書である。勿論、ファイルとしては、文書
に限らず、画像データやデータベースやその他のデータ
を採用し得る。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS A file management system and a server computer according to the present invention will be described below with reference to the accompanying drawings. FIG. 1 shows a configuration of a file management system or a server computer according to the present invention. The file management system or the server computer includes a file storage unit 1 for storing files. Files stored in the file storage unit 1 include, for example, quality records, technical reports, minutes, etc. generated in projects such as product development.
Documents such as deliverables. Of course, the file is not limited to a document, but may be image data, a database, or other data.
【0009】上記ファイル管理システム、または、サー
バ計算機には、ユーザセキュリティ情報記憶部2、ファ
イルアクセス許可情報記憶部3、アクセス許可制御部
4、ファイル転送・書込部5が備えられている。ユーザ
セキュリティ情報記憶部2には、例えば図3に示される
ように、ファイルに対するユーザのアクセス権能を示す
セキュリティ情報であるセキュリティレベルがユーザの
識別情報(ユーザID)に対応して記憶されている。フ
ァイルアクセス許可情報記憶部3には、例えば図4に示
されるように、保存されるファイルの識別情報である文
書名に対応して、アクセスを許可すべきユーザの範囲を
限定するための許可情報が記憶されている。許可情報は
1バイトであり、各ビットは上位ビット側からセキュリ
ティレベルの1レベル〜8レベルに対応している。図4
の例では、文書名「システム1a」の文書はセキュリテ
ィレベルの1レベルから3レベルまでのユーザがアクセ
ス可能であり、文書名「計画書b」の文書はセキュリテ
ィレベルの1レベルのユーザがアクセス可能であること
を示す。The above file management system or server computer includes a user security information storage unit 2, a file access permission information storage unit 3, an access permission control unit 4, and a file transfer / write unit 5. For example, as shown in FIG. 3, the user security information storage unit 2 stores a security level, which is security information indicating a user's access right to a file, in association with the user identification information (user ID). As shown in FIG. 4, for example, as shown in FIG. 4, the file access permission information storage unit 3 stores permission information for limiting the range of users to whom access should be permitted according to the document name which is the identification information of the file to be stored. Is stored. The permission information is one byte, and each bit corresponds to one to eight security levels from the upper bit side. FIG.
In the example, the document with the document name "System 1a" can be accessed by users of the security level 1 to 3 and the document with the document name "Plan B" can be accessed by the user with the security level 1 It is shown that.
【0010】アクセス許可制御部4は、文書のアクセス
を求めるユーザの識別情報(ID)及びアクセスに係る
文書の識別情報(ID)に基づきユーザセキュリティ情
報記憶部2からセキュリティレベルを得ると共に、ファ
イルアクセス許可情報記憶部3から許可情報を得て、こ
れらに応じてユーザにアクセス許可を与えるか否か制御
する。ファイル転送・書込部5は、アクセス許可制御部
4の制御に応じてファイル記憶部1に記憶されている文
書の転送を行い、また、ファイル記憶部1に対する文書
の書込みを行う。The access permission control unit 4 obtains a security level from the user security information storage unit 2 based on the identification information (ID) of the user who requests access to the document and the identification information (ID) of the accessed document, and obtains the file access. It obtains permission information from the permission information storage unit 3 and controls whether to grant access permission to the user according to the permission information. The file transfer / write unit 5 transfers a document stored in the file storage unit 1 under the control of the access permission control unit 4, and writes a document in the file storage unit 1.
【0011】上記のファイル管理システムは、例えば、
図2に示されるようなクライアント−サーバシステムに
より実現される。つまり、ネットワーク6に対しサーバ
計算機7と、クライアント計算機8−1〜8−nが接続
されている。サーバ計算機7、クライアント計算機8−
1〜8−nは、全ての構成要素を備える必要はないが、
図5に示されるように構成される。つまり、CPU10
が主メモリ11に記憶されているプログラム及びデータ
を用いて各部を制御し及びデータ処理する構成となって
いる。The above file management system is, for example,
It is realized by a client-server system as shown in FIG. That is, the server computer 7 and the client computers 8-1 to 8-n are connected to the network 6. Server computer 7, client computer 8-
1 to 8-n need not have all the components,
It is configured as shown in FIG. That is, the CPU 10
Are configured to control each unit using the programs and data stored in the main memory 11 and perform data processing.
【0012】CPU10には、バス12を介してキーボ
ード制御部13、表示制御部14、マウス制御部15、
プリンタ制御部16、磁気ディスク制御部17、通信イ
ンタフェース18が接続されている。キーボード制御部
13にはキーボード入力装置19が接続されており、各
ノードのオペレータがこのキーボード入力装置19を用
いて情報を入力可能となっている。表示制御部14には
例えばCRTを有するCRT表示装置20が接続されて
おり、必要な情報が表示されるようになっている。マウ
ス制御部15にはポインティングディバイスであるマウ
ス21が接続されており、必要な場合に位置情報を入力
することが可能となっている。The CPU 10 has a keyboard control unit 13, a display control unit 14, a mouse control unit 15,
The printer controller 16, the magnetic disk controller 17, and the communication interface 18 are connected. A keyboard input device 19 is connected to the keyboard control unit 13, and an operator of each node can input information using the keyboard input device 19. A CRT display device 20 having, for example, a CRT is connected to the display control unit 14 so that necessary information is displayed. A mouse 21 as a pointing device is connected to the mouse control unit 15 so that position information can be input when necessary.
【0013】プリンタ制御部16にはプリンタ装置22
が接続されており、情報のプリントアウトが可能となっ
ている。磁気ディスク制御部17には磁気ディスク装置
23が接続され、磁気ディスク装置23にはプログラム
やデータが記憶され、CPU10により必要に応じてリ
ードライトされる。通信インタフェース18には通信処
理部24が接続され、ネットワークとの間でデータの送
受が行われるようにされている。The printer controller 16 includes a printer 22
Is connected, and information can be printed out. A magnetic disk device 23 is connected to the magnetic disk control unit 17, and programs and data are stored in the magnetic disk device 23, and read and written by the CPU 10 as needed. A communication processing unit 24 is connected to the communication interface 18 so that data is transmitted to and received from a network.
【0014】サーバ計算機7のCPU10は、図6に示
されるフローチャートに対応するプログラムを実行する
ことにより、アクセス許可制御部4、ファイル転送・書
込部5として機能する。例えば、クライアント計算機8
−1が、文書名とユーザIDにより文書のアクセスを求
めてくると、サーバ計算機7のCPU10は、この文書
名とユーザIDを受け付けて(S1)、ユーザIDによ
りユーザセキュリティ情報記憶部2を検索して対応する
セキュリティレベルを求める(S2)。また、文書名に
よりファイルアクセス許可情報記憶部3を検索して対応
する許可情報を取得する(S3)。The CPU 10 of the server computer 7 functions as the access permission control unit 4 and the file transfer / write unit 5 by executing a program corresponding to the flowchart shown in FIG. For example, client computer 8
When -1 requests access to a document by the document name and the user ID, the CPU 10 of the server computer 7 receives the document name and the user ID (S1), and searches the user security information storage unit 2 by the user ID. Then, a corresponding security level is obtained (S2). Further, the file access permission information storage unit 3 is searched by the document name to obtain the corresponding permission information (S3).
【0015】上記で取得したセキュリティレベルと許可
情報を比較し(S4)、セキュリティレベルに対応して
許可情報のビット位置に「1」がセットされているかを
調べることによりアクセス許可となっているかを検出す
る(S5)。例えば、図3の第1欄に示されるようにセ
キュリティレベル1の場合に、許可情報が図4の第1欄
に示される「11100000」であれば、アクセス許可とな
り、図3の第2欄に示されるようにセキュリティレベル
4の場合に、許可情報が図4の第2欄に示される「1000
0000」であれば、アクセス不許可となる。アクセス許可
のときには、文書IDに対応する文書をファイル記憶部
1から取出し転送するか、改定に係る文書をファイル記
憶部1の旧文書へ上書きする(S6)。また、アクセス
不許可のときには、アクセス不許可である旨をクライア
ント計算機8−1へ転送し、クライアント計算機8−1
において表示させる(S7)。The security level obtained above is compared with the permission information (S4), and whether or not the access is permitted is determined by checking whether "1" is set in the bit position of the permission information corresponding to the security level. It is detected (S5). For example, in the case of security level 1 as shown in the first column of FIG. 3, if the permission information is “11100000” shown in the first column of FIG. As shown, in the case of the security level 4, the permission information is "1000" shown in the second column of FIG.
If "0000", access is not permitted. When the access is permitted, the document corresponding to the document ID is taken out from the file storage unit 1 and transferred, or the revised document is overwritten on the old document in the file storage unit 1 (S6). When the access is not permitted, the fact that the access is not permitted is transferred to the client computer 8-1.
Is displayed (S7).
【0016】尚、新規な文書を登録する場合には、例え
ばクライアント計算機8−nから文書、文書名、許可情
報をサーバ計算機7与える。これによって、例えば、ア
クセス許可制御部4がファイルアクセス許可情報記憶部
3へ文書名及び許可情報の登録を行い、ファイル転送・
書込部5によりファイル記憶部1へ文書が登録される。
また、新規なユーザID及びセキュリティレベルを登録
する場合には、例えばクライアント計算機8−nから新
規なユーザID及びセキュリティレベルをサーバ計算機
7与える。これによって、例えば、アクセス許可制御部
4がユーザセキュリティ情報記憶部2へユーザID及び
セキュリティレベルの登録を行う。When registering a new document, for example, the document, document name, and permission information are provided from the client computer 8-n to the server computer 7. As a result, for example, the access permission control unit 4 registers the document name and the permission information in the file access permission information storage unit 3 and transfers the file.
The writing unit 5 registers a document in the file storage unit 1.
When registering a new user ID and security level, for example, the client computer 8-n gives the server computer 7 a new user ID and security level. Thereby, for example, the access permission control unit 4 registers the user ID and the security level in the user security information storage unit 2.
【0017】次に上記実施の形態の第1の変形例を説明
する。この変形例では、ファイルアクセス許可情報記憶
部3の構成を図7に示すように、カテゴリ情報に、許可
情報及び文書名が対応付けて記憶される。ここに、カテ
ゴリ情報は、ファイル(文書)を当該ファイル(文書)
数より少ない数のブロックに区分する場合に用いる情報
であり、例えば、品質記録、技術連絡、議事録、成果物
等の文書の内容がカテゴリとして用いられ、または、ア
クセスするメンバにより、最高機密、中度機密、低度機
密、機密性なし等がカテゴリとして用いられる。Next, a first modification of the above embodiment will be described. In this modified example, as shown in FIG. 7, the configuration of the file access permission information storage unit 3 stores permission information and a document name in association with category information. Here, the category information indicates that the file (document) is
Information used to divide the number of blocks into smaller blocks than the number.For example, the contents of documents such as quality records, technical communication, minutes, deliverables are used as categories, or the top secret, Medium confidentiality, low confidentiality, no confidentiality, etc. are used as categories.
【0018】この図7の例では、カテゴリ情報毎に異な
る許可情報がセットされているが、例えば、品質記録、
技術連絡、議事録、成果物というカテゴリの内、品質記
録と技術連絡のカテゴリの文書(要は複数のカテゴリの
文書)に同一許可情報をセットするようにすることもで
きる。サーバ計算機7のCPU10は、図8に示される
フローチャートに対応するプログラムを実行することに
より、アクセス許可制御部4、ファイル転送・書込部5
として機能する。例えば、クライアント計算機8−1
が、文書名とユーザID及び文書カテゴリにより文書の
アクセスを求めてくると、サーバ計算機7のCPU10
は、この文書名とユーザID及び文書カテゴリを受け付
けて(S11)、ユーザIDによりユーザセキュリティ
情報記憶部2を検索して対応するセキュリティレベルを
求める(S12)。また、文書カテゴリによりファイル
アクセス許可情報記憶部3を検索して対応する許可情報
を取得する(S13)。これにより、数の多い文書名を
直接に検索するよりも早い検索が可能である。In the example of FIG. 7, different permission information is set for each category information.
The same permission information can be set in the documents of the category of the quality record and the technical communication (essentially, documents of a plurality of categories) in the categories of the technical communication, the minutes, and the deliverable. The CPU 10 of the server computer 7 executes a program corresponding to the flowchart shown in FIG.
Function as For example, the client computer 8-1
Requests access to a document based on the document name, user ID, and document category, the CPU 10 of the server computer 7
Receives the document name, the user ID, and the document category (S11), searches the user security information storage unit 2 based on the user ID, and obtains a corresponding security level (S12). Further, the file access permission information storage unit 3 is searched according to the document category to obtain the corresponding permission information (S13). As a result, it is possible to search faster than directly searching a large number of document names.
【0019】次に、要求が文書の書込みか読出しかを検
出し(S14)。上記文書名等と共に、読出し要求が到
来しているときには、上記で取得したセキュリティレベ
ルと許可情報を比較し(S15)、セキュリティレベル
に対応して許可情報のビット位置に「1」がセットされ
ているかを調べることにより読出し許可となっているか
を検出する(S16)。ここで、アクセス許可のときに
は、文書IDに対応する文書をファイル記憶部1から取
出し転送する(S17)。また、アクセス不許可のとき
には、アクセス不許可である旨をクライアント計算機8
−1へ転送し、クライアント計算機8−1において表示
させる(S18)。Next, it is detected whether the request is writing or reading of a document (S14). When the read request has arrived together with the document name and the like, the security level obtained above is compared with the permission information (S15), and "1" is set in the bit position of the permission information corresponding to the security level. Then, it is detected whether reading is permitted (S16). Here, when the access is permitted, the document corresponding to the document ID is extracted from the file storage unit 1 and transferred (S17). When the access is not permitted, the client computer 8 informs that the access is not permitted.
-1 to be displayed on the client computer 8-1 (S18).
【0020】一方、要求が文書の書込みであるときに
は、上記で取得したセキュリティレベルと許可情報を比
較し(S19)、セキュリティレベルに対応して許可情
報のビット位置に「1」がセットされているかを調べる
ことにより書込み許可となっているかを検出する(S2
0)。ここで、書込み許可のときには、例えば、ファイ
ル転送・書込部5によりファイル記憶部1へ文書の登録
(上書き又は新規登録)を行い、新規登録時にはアクセ
ス許可制御部4によりファイルアクセス許可情報記憶部
3の文書カテゴリの欄へ文書名を登録することによりフ
ァイルアクセス許可情報記憶部3を完成させる(S2
1)。また、書込み不許可のときには、アクセス不許可
である旨をクライアント計算機8−1へ転送し、このク
ライアント計算機8−1において書込み不許可を表示さ
せる(S18)。On the other hand, if the request is for writing a document, the security level obtained above is compared with the permission information (S19), and whether "1" is set in the bit position of the permission information corresponding to the security level is determined. Is checked to determine whether writing is permitted (S2).
0). Here, when writing is permitted, for example, the document is registered (overwritten or newly registered) in the file storage unit 1 by the file transfer / writing unit 5, and when newly registered, the file access permission information storage unit 4 is used by the access permission control unit 4. The file access permission information storage unit 3 is completed by registering the document name in the column of the document category 3 (S2).
1). When the writing is not permitted, the fact that the access is not permitted is transferred to the client computer 8-1, and the client computer 8-1 displays the writing non-permission (S18).
【0021】次に上記実施の形態の第2の変形例を説明
する。この変形例では、ファイルアクセス許可情報記憶
部3の構成を図9に示すように、カテゴリ情報に、読出
しに関する許可情報(Rを付して示す)と書込みに関す
る許可情報(Wを付して示す)及び文書名が対応付けて
記憶される。つまり、読出しは許可しても、上書きを許
さないようにできる。Next, a second modification of the above embodiment will be described. In this modification, as shown in FIG. 9, the configuration of the file access permission information storage unit 3 is such that the category information includes permission information for reading (indicated by R) and permission information for writing (indicated by W). ) And the document name are stored in association with each other. In other words, even if reading is permitted, overwriting is not permitted.
【0022】サーバ計算機7のCPU10は、図10に
示されるフローチャートに対応するプログラムを実行す
ることにより、上記のように構成されたファイルアクセ
ス許可情報記憶部3を用いるアクセス許可制御部4、フ
ァイル転送・書込部5として機能する。例えば、クライ
アント計算機8−1が、文書名とユーザID及び文書カ
テゴリにより文書のアクセスを求め(この求めには、読
出しと書込みのいずれかが示されている)てくると、サ
ーバ計算機7のCPU10は、この文書名とユーザID
及び文書カテゴリを受け付けて(S11)、ユーザID
によりユーザセキュリティ情報記憶部2を検索して対応
するセキュリティレベルを求める(S12)。The CPU 10 of the server computer 7 executes a program corresponding to the flowchart shown in FIG. 10 to execute the access permission control unit 4 using the file access permission information storage unit 3 configured as described above, -It functions as the writing unit 5. For example, when the client computer 8-1 requests access to a document based on the document name, the user ID, and the document category (either reading or writing is indicated in the request), the CPU 10 of the server computer 7 Is the document name and user ID
And the document category are received (S11), and the user ID
Search the user security information storage unit 2 to find the corresponding security level (S12).
【0023】次に、読出しと書込みのいずれか要求が示
されているかを検出する(S22)。ここで、読出し要
求であれば、文書カテゴリによりファイルアクセス許可
情報記憶部3を検索して読出しに対応する許可情報を取
得する(S23)。上記で取得したセキュリティレベル
と読出しに対応する許可情報を比較し(S24)、セキ
ュリティレベルに対応して許可情報のビット位置に
「1」がセットされているかを調べることにより読出し
許可となっているかを検出する(S25)。ここで、ア
クセス許可のときには、文書IDに対応する文書をファ
イル記憶部1から取出し転送する(S26)。また、ア
クセス不許可のときには、アクセス不許可である旨をク
ライアント計算機8−1へ転送し、クライアント計算機
8−1において表示させる(S27)。Next, it is detected whether a request for reading or writing is indicated (S22). Here, if the request is a read request, the file access permission information storage unit 3 is searched by the document category to obtain permission information corresponding to the read (S23). The security level acquired above is compared with the permission information corresponding to the read (S24), and it is checked whether the bit position of the permission information is set to "1" in accordance with the security level to determine whether the read is permitted. Is detected (S25). Here, when the access is permitted, the document corresponding to the document ID is taken out from the file storage unit 1 and transferred (S26). When the access is not permitted, the fact that the access is not permitted is transferred to the client computer 8-1 and displayed on the client computer 8-1 (S27).
【0024】また上記ステップS22で、書込みし要求
であることを検出すると、文書カテゴリによりファイル
アクセス許可情報記憶部3を検索して書込みに対応する
許可情報を取得する(S28)。上記で取得したセキュ
リティレベルと書込みに対応する許可情報を比較し(S
29)、セキュリティレベルに対応して許可情報のビッ
ト位置に「1」がセットされているかを調べることによ
り書込み許可となっているかを検出する(S30)。こ
こで、アクセス許可のときには、文書IDに対応して上
書きする文書をファイル記憶部1へ書込む(S31)。
また、アクセス不許可のときには、アクセス不許可であ
る旨をクライアント計算機8−1へ転送し、クライアン
ト計算機8−1において表示させる(S27)。If it is determined in step S22 that the request is a write request, the file access permission information storage unit 3 is searched according to the document category to obtain permission information corresponding to the write (S28). The security level acquired above is compared with the permission information corresponding to writing (S
29) It is detected whether writing is permitted by checking whether "1" is set in the bit position of the permission information corresponding to the security level (S30). Here, when the access is permitted, the document to be overwritten corresponding to the document ID is written to the file storage unit 1 (S31).
When the access is not permitted, the fact that the access is not permitted is transferred to the client computer 8-1 and displayed on the client computer 8-1 (S27).
【0025】次に上記実施の形態の第3の変形例を説明
する。この変形例では、図11に示すように、ユーザセ
キュリティ情報記憶部2に記憶されているセキュリティ
レベルが、ファイルアクセス許可情報記憶部3に記憶さ
れている許可情報と同一ビット数(1バイト)の情報で
あり、セキュリティレベルと許可情報との同一ビット位
置の情報が有意(ここでは、「1」)である場合に、ユ
ーザにアクセス許可を与えるように構成されている。つ
まり、セキュリティレベルは1バイト中のどのビット位
置に「1」がセットされているかにより、1〜8レベル
を示し、許可情報は1バイト中のビット位置に「1」が
セットされている位置対応のセキュリティレベルのユー
ザがアクセス可能であることを示す。Next, a third modification of the above embodiment will be described. In this modification, as shown in FIG. 11, the security level stored in the user security information storage unit 2 has the same number of bits (1 byte) as the permission information stored in the file access permission information storage unit 3. If the information at the same bit position between the security level and the permission information is significant (here, “1”), the access permission is given to the user. In other words, the security level indicates 1 to 8 levels depending on which bit position in the 1 byte is set to “1”, and the permission information corresponds to the position where “1” is set in the bit position in 1 byte. This indicates that a user with a security level of is accessible.
【0026】アクセス許可制御部4は、上記のように構
成されたセキュリティ情報と許可情報との論理積演算を
行い結果(ここでは、1バイト)に、有意ビット(この
例では「1」)が出現したときにアクセス許可を与える
制御を行う。この論理積演算は、図8では、S15,S
19において、図10では、S24,S29において、
それぞれ比較のときに行われる。The access permission control unit 4 performs a logical product operation of the security information and the permission information configured as described above, and a significant bit (“1” in this example) is added to a result (here, 1 byte). Control to give access permission when it appears. This AND operation is performed in S15 and S
19, in FIG. 10, in S24 and S29,
Each is performed at the time of comparison.
【0027】具体例により説明すると、図11のユーザ
ID「8913」のユーザが図4の文書名「計画書2
b」のアクセス要求を出したときには、ユーザID「8
913」のセキュリティレベルは図11から「1000000
0」(レベル1)であり、文書名「計画書2b」の許可
情報は図4から「10000000」(レベル1以上許可)であ
るから、論理積演算を行った結果は、図12に示される
ように「10000000」であり、有意ビット「1」が出現す
るのでアクセス許可を与える。More specifically, the user having the user ID “8913” shown in FIG.
When the access request of “b” is issued, the user ID “8”
The security level of “913” is “1000000” from FIG.
0 (level 1), and the permission information of the document name "plan 2b" is "10000000" (level 1 or higher permitted) from FIG. 4, so the result of the logical product operation is shown in FIG. Thus, the access permission is given because the value is "10000000" and the significant bit "1" appears.
【0028】上記に対し、図11のユーザID「898
8」のユーザが図4の文書名「システム1a」のアクセ
ス要求を出したときには、ユーザID「8988」のセ
キュリティレベルは図11から「00010000」(レベル
4)であり、文書名「システム1a」の許可情報は図4
から「11100000」(レベル3以上許可)であるから、論
理積演算を行った結果は、図12に示されるように「00
000000」(オールゼロ)であり、有意ビット「1」が出
現しないのでアクセス不許可を与える。この変形例によ
れば、比較が容易となり、高速でアクセスの許可不許可
を与えることができる。In contrast to the above, the user ID “898
When the user No. 8 issues an access request for the document name “system 1a” in FIG. 4, the security level of the user ID “8988” is “00010000” (level 4) from FIG. 11, and the document name “system 1a” The permission information is shown in FIG.
From "11100000" (permitted at level 3 or higher), the result of performing the logical product operation is "00" as shown in FIG.
000000 ”(all zeros), and no access is granted because no significant bit“ 1 ”appears. According to this modified example, comparison is facilitated, and access permission / non-permission can be given at high speed.
【0029】尚、以上では、文書(ファイル)を有する
サーバ計算機とファイル制御を行うサーバ計算機とを1
台としたが、文書(ファイル)を有するサーバ計算機と
ファイル制御を行うサーバ計算機とを分けて、ファイル
制御を行うサーバ計算機がアクセス可能と結果を出した
ときに、文書(ファイル)を有するサーバ計算機へ指示
を与えて該当のクライアントへファイルを転送するか、
該当のクライアントからファイルの転送を受け書込みを
行うようにしても良い。In the above description, a server computer having a document (file) and a server computer performing file control are defined as one.
The server computer having the document (file) is separated from the server computer having the document (file) and the server computer having the file control. When the server computer having the file control gives a result indicating that it is accessible, the server computer having the document (file) is obtained. To transfer the file to the appropriate client,
The file transfer may be performed by receiving the file transfer from the corresponding client.
【0030】[0030]
【発明の効果】以上説明したように本発明に係るファイ
ル管理システムとサーバ計算機によれば、ファイルのア
クセスを求めるユーザの識別情報及びアクセスに係るフ
ァイルの識別情報に基づきセキュリティ情報を得ると共
に、許可情報を得て、これらに応じてユーザにアクセス
許可を与えるか否か制御するので、ファイルのアクセス
を求める際には、ユーザの識別情報とアクセスに係るフ
ァイルの識別情報を示すだけで、適切にファイルアクセ
ス制御がなされる効果がある。As described above, according to the file management system and the server computer of the present invention, security information is obtained based on the identification information of the user who requests access to the file and the identification information of the file concerned, and the permission is obtained. It obtains information and controls whether or not to grant access to the user in accordance with these. Therefore, when requesting access to a file, only indicating the identification information of the user and the identification information of the file to be accessed are properly performed. There is an effect that file access control is performed.
【0031】また、本発明に係るファイル管理システム
は、ファイルのアクセスを求める際には、ユーザの識別
情報とアクセスに係るファイルのカテゴリ情報を使用し
て、適切にファイルアクセス制御がなされるので、カテ
ゴリという人間により認識しやすい情報を用いてファイ
ル管理を行うことが可能である。Further, in the file management system according to the present invention, when requesting access to a file, file access control is appropriately performed using user identification information and category information of the file to be accessed. It is possible to perform file management using information that is easily recognizable by humans, that is, categories.
【図1】本発明に係るファイル管理システムとサーバ計
算機の構成図。FIG. 1 is a configuration diagram of a file management system and a server computer according to the present invention.
【図2】本発明に係るファイル管理システムが適用され
るクライアント−サーバシステムの構成図。FIG. 2 is a configuration diagram of a client-server system to which a file management system according to the present invention is applied.
【図3】本発明に係るファイル管理システムにて用いら
れるユーザセキュリティ情報記憶部の内容を示す図。FIG. 3 is a diagram showing contents of a user security information storage unit used in the file management system according to the present invention.
【図4】本発明に係るファイル管理システムにて用いら
れるファイルアクセス許可情報記憶部の内容を示す図。FIG. 4 is a diagram showing contents of a file access permission information storage unit used in the file management system according to the present invention.
【図5】本発明に係るシステムのサーバ計算機、クライ
アント計算機の構成図。FIG. 5 is a configuration diagram of a server computer and a client computer of the system according to the present invention.
【図6】本発明の実施の形態に係るシステム及びサーバ
計算機の動作を説明するためのフローチャート。FIG. 6 is a flowchart for explaining operations of the system and the server computer according to the embodiment of the present invention.
【図7】本発明の実施の形態に係るファイル管理システ
ムの第1の変形例にて用いられるファイルアクセス許可
情報記憶部の内容を示す図。FIG. 7 is a diagram showing contents of a file access permission information storage unit used in a first modification of the file management system according to the embodiment of the present invention.
【図8】本発明の実施の形態に係るシステム及びサーバ
計算機の第1の変形例の動作を説明するためのフローチ
ャート。FIG. 8 is a flowchart for explaining an operation of the first modification of the system and the server computer according to the embodiment of the present invention.
【図9】本発明の実施の形態に係るファイル管理システ
ムの第2の変形例にて用いられるファイルアクセス許可
情報記憶部の内容を示す図。FIG. 9 is a diagram showing contents of a file access permission information storage unit used in a second modification of the file management system according to the embodiment of the present invention.
【図10】本発明の実施の形態に係るシステム及びサー
バ計算機の第2の変形例の動作を説明するためのフロー
チャート。FIG. 10 is a flowchart for explaining the operation of a second modification of the system and the server computer according to the embodiment of the present invention.
【図11】本発明の実施の形態に係るファイル管理シス
テムの第3の変形例にて用いられるユーザセキュリティ
情報記憶部の内容を示す図。FIG. 11 is a diagram showing contents of a user security information storage unit used in a third modification of the file management system according to the embodiment of the present invention.
【図12】本発明の実施の形態に係るファイル管理シス
テムの第3の変形例における動作を説明するためのフロ
ーチャート。FIG. 12 is a flowchart for explaining an operation in a third modified example of the file management system according to the embodiment of the present invention.
【図13】本発明の実施の形態に係るファイル管理シス
テムの第3の変形例における動作を説明するためのフロ
ーチャート。FIG. 13 is a flowchart for explaining an operation in a third modification of the file management system according to the embodiment of the present invention.
1 ファイル記憶部 2 ユーザセキ
ュリティ情報記憶部 3 ファイルアクセス情報記憶部 4 アクセス許
可制御部 5 ファイル転送・書込部DESCRIPTION OF SYMBOLS 1 File storage part 2 User security information storage part 3 File access information storage part 4 Access permission control part 5 File transfer / write part
Claims (6)
て、アクセスを許可すべきユーザの範囲を限定するため
の許可情報が記憶されたファイルアクセス許可情報記憶
部と、 ファイルに対するユーザのアクセス権能を示すセキュリ
ティ情報がユーザの識別情報に対応して記憶されたユー
ザセキュリティ情報記憶部と、 ファイルのアクセスを求めるユーザの識別情報及びアク
セスに係るファイルの識別情報に基づき前記ユーザセキ
ュリティ情報記憶部からセキュリティ情報を得ると共
に、ファイルアクセス許可情報記憶部から許可情報を得
て、これらに応じてユーザにアクセス許可を与えるか否
か制御するアクセス許可制御部と、 このアクセス許可制御部の制御に応じてファイルの転送
及び書込みを行うファイル転送・書込部とを具備するこ
とを特徴とするファイル管理システム。1. A file access permission information storage unit in which permission information for limiting a range of users to whom access is permitted is stored corresponding to identification information of a file to be stored, and a user access right to a file Security information indicating security information corresponding to the user identification information, and security from the user security information storage unit based on the identification information of the user requesting access to the file and the identification information of the file related to the access. Information, obtaining permission information from a file access permission information storage unit, and controlling whether or not to grant an access permission to a user in accordance with the information. A file transfer / write unit for transferring and writing data A file management system characterized by the following.
のブロックに区分する場合に用いるカテゴリ情報に、フ
ァイルと、アクセスを許可すべきユーザの範囲を限定す
るための許可情報とが対応付けて記憶されるファイルア
クセス許可情報記憶部と、 ファイルに対するユーザのアクセス権能を示すセキュリ
ティ情報がユーザの識別情報に対応して記憶されたユー
ザセキュリティ情報記憶部と、 ファイルのアクセスを求めるユーザの識別情報及びアク
セスに係るファイルのカテゴリ情報に基づき前記ユーザ
セキュリティ情報記憶部からセキュリティ情報を得ると
共に、ファイルアクセス許可情報記憶部から許可情報を
得て、これらに応じてユーザにアクセス許可を与えるか
否か制御するアクセス許可制御部と、 このアクセス許可制御部の制御に応じてファイルの転送
及び書込みを行うファイル転送・書込部とを具備するこ
とを特徴とするファイル管理システム。2. File information and permission information for limiting the range of users to whom access is permitted are stored in association with category information used to divide a file into blocks smaller than the number of files. A file access permission information storage unit, a user security information storage unit in which security information indicating a user's access authority to the file is stored corresponding to the user's identification information, Access permission for obtaining security information from the user security information storage unit based on the category information of the file, obtaining permission information from the file access permission information storage unit, and controlling whether or not to grant the user access according to these. Control unit and control of this access permission control unit A file management system, comprising: a file transfer / write unit that transfers and writes a file in response to the request.
求に対応する情報と、ファイル書込みに対応する情報と
に分けられていることを特徴とする請求項1または2に
記載のファイル管理システム。3. The file management system according to claim 1, wherein the access permission information is divided into information corresponding to a file read request and information corresponding to a file write.
ビット数の情報であり、前記セキュリティ情報と前記許
可情報との同一ビット位置の情報が有意である場合にユ
ーザにアクセス許可を与えるように構成され、 アクセス許可制御部は、セキュリティ情報と許可情報と
の論理積演算を行い結果に、有意ビットが出現したとき
にアクセス許可を与える制御を行うことを特徴とする請
求項1乃至3のいずれかの項に記載のファイル管理シス
テム。4. A configuration in which the security information and the permission information are information of the same number of bits, and an access permission is given to the user when the information of the same bit position between the security information and the permission information is significant. The access permission control unit performs a logical product operation of the security information and the permission information and performs control for giving an access permission when a significant bit appears in the result. File management system described in the section.
されたファイル記憶部及びファイル転送・書込部とが、
別のサーバに設けられていることを特徴とする請求項1
乃至4のいずれかの項に記載のファイル管理システム。5. An access permission control unit, a file storage unit storing a file and a file transfer / write unit,
2. The server according to claim 1, wherein the server is provided on another server.
5. The file management system according to any one of Items 4 to 4.
て、アクセスを許可すべきユーザの範囲を限定するため
の許可情報が記憶されたファイルアクセス許可情報記憶
部と、 ファイルに対するユーザのアクセス権能を示すセキュリ
ティ情報がユーザの識別情報に対応して記憶されたユー
ザセキュリティ情報記憶部と、 ファイルのアクセスを求めるユーザの識別情報及びアク
セスに係るファイルの識別情報に基づき前記ユーザセキ
ュリティ情報記憶部からセキュリティ情報を得ると共
に、ファイルアクセス許可情報記憶部から許可情報を得
て、これらに応じてユーザにアクセス許可を与えるか否
か制御するアクセス許可制御部と、 このアクセス許可制御部の制御に応じてファイルの転送
及び書込みを行うファイル転送・書込部とを具備するこ
とを特徴とするサーバ計算機。6. A file access permission information storage unit in which permission information for limiting a range of a user to whom access is permitted is stored in accordance with identification information of a file to be stored; Security information indicating security information corresponding to the user identification information, and security from the user security information storage unit based on the identification information of the user requesting access to the file and the identification information of the file related to the access. Information, obtaining permission information from a file access permission information storage unit, and controlling whether or not to grant an access permission to a user in accordance with the information. A file transfer / write unit for transferring and writing data A server computer characterized by the following.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11063397A JP2000259476A (en) | 1999-03-10 | 1999-03-10 | File management system and server computer |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11063397A JP2000259476A (en) | 1999-03-10 | 1999-03-10 | File management system and server computer |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000259476A true JP2000259476A (en) | 2000-09-22 |
Family
ID=13228144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11063397A Withdrawn JP2000259476A (en) | 1999-03-10 | 1999-03-10 | File management system and server computer |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000259476A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005109211A1 (en) * | 2004-05-07 | 2005-11-17 | Chng, Raymond | A file management system |
| JP2008226057A (en) * | 2007-03-14 | 2008-09-25 | Nomura Research Institute Ltd | Job information protection device |
| WO2010091607A1 (en) * | 2009-02-13 | 2010-08-19 | Ma Jie | Method for providing custom access control mode in file system |
| JP2017016176A (en) * | 2015-06-26 | 2017-01-19 | 日本電気通信システム株式会社 | Communication device, communication method, and communication program |
-
1999
- 1999-03-10 JP JP11063397A patent/JP2000259476A/en not_active Withdrawn
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005109211A1 (en) * | 2004-05-07 | 2005-11-17 | Chng, Raymond | A file management system |
| JP2008226057A (en) * | 2007-03-14 | 2008-09-25 | Nomura Research Institute Ltd | Job information protection device |
| WO2010091607A1 (en) * | 2009-02-13 | 2010-08-19 | Ma Jie | Method for providing custom access control mode in file system |
| JP2017016176A (en) * | 2015-06-26 | 2017-01-19 | 日本電気通信システム株式会社 | Communication device, communication method, and communication program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7320074B2 (en) | Apparatus and method for using a directory service for authentication and authorization to access resources outside of the directory service | |
| CA2508928C (en) | Method, system, and apparatus for discovering and connecting to data sources | |
| US6449607B1 (en) | Disk storage with modifiable data management function | |
| US7849100B2 (en) | Method and computer-readable medium for generating usage rights for an item based upon access rights | |
| US8448217B2 (en) | Computer program, method, and system for access control | |
| CN112889054B (en) | System and method for database encryption in a multi-tenant database management system | |
| US20040122849A1 (en) | Assignment of documents to a user domain | |
| US7533157B2 (en) | Method for delegation of administrative operations in user enrollment tasks | |
| CN108108633B (en) | Data file and access method, device and equipment thereof | |
| US7363328B2 (en) | Method and system for modifying schema definitions | |
| US7373393B2 (en) | File system | |
| US8132025B2 (en) | Management method for archive system security | |
| JP4500072B2 (en) | Authentication program in network storage device | |
| JP4037058B2 (en) | Electronic information exclusive control apparatus, exclusive control method, and computer-readable recording medium recording exclusive control program | |
| JP2000259476A (en) | File management system and server computer | |
| US9275195B1 (en) | Intermediated rights management | |
| US20050071420A1 (en) | Generalized credential and protocol management of infrastructure | |
| JPH07295876A (en) | Access right controlling device | |
| JP4342326B2 (en) | Database controller | |
| JP4371995B2 (en) | Shared file access control method, system, server device, and program | |
| JP2924786B2 (en) | Exclusive control system, exclusive control method, and medium for storing exclusive control program for shared file in loosely coupled multiple computer system | |
| JP2000306026A (en) | Electronic document processing method | |
| JPS628247A (en) | Control system for security of data | |
| US20070050421A1 (en) | Document management system, method of setting document management system, and computer product | |
| JP4468755B2 (en) | Log management apparatus, log management method, and log management program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Withdrawal of application because of no request for examination |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20060606 |