JP2002342143A - アクセス制御システム及びその処理プログラムと記録媒体 - Google Patents
アクセス制御システム及びその処理プログラムと記録媒体Info
- Publication number
- JP2002342143A JP2002342143A JP2001150925A JP2001150925A JP2002342143A JP 2002342143 A JP2002342143 A JP 2002342143A JP 2001150925 A JP2001150925 A JP 2001150925A JP 2001150925 A JP2001150925 A JP 2001150925A JP 2002342143 A JP2002342143 A JP 2002342143A
- Authority
- JP
- Japan
- Prior art keywords
- access
- user
- class
- control system
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 ローカルな情報リソースヘのアクセスを選択
的に制御することが可能な技術を提供する。 【解決手段】 正規表現のパターンに属するリソース識
別子のアクセス等級を示すアクセス等級リストと、ユー
ザ識別子で識別されるユーザのユーザクリアランス等級
を示すユーザクリアランス等級リストとを有するデータ
ベースと、クライアントからのアクセス要求中のリソー
ス識別子が属している正規表現のパターンに対応したア
クセス等級を前記アクセス等級リストから読み出す正規
表現エンジンと、前記アクセス要求中のユーザ識別子に
対応するユーザクリアランス等級が前記読み出したアク
セス等級の情報リソースへのアクセスが許可された等級
であるかどうかに応じて当該アクセス要求を受理または
拒否するかを決定するアクセス要求処理部とを備えるも
のである。
的に制御することが可能な技術を提供する。 【解決手段】 正規表現のパターンに属するリソース識
別子のアクセス等級を示すアクセス等級リストと、ユー
ザ識別子で識別されるユーザのユーザクリアランス等級
を示すユーザクリアランス等級リストとを有するデータ
ベースと、クライアントからのアクセス要求中のリソー
ス識別子が属している正規表現のパターンに対応したア
クセス等級を前記アクセス等級リストから読み出す正規
表現エンジンと、前記アクセス要求中のユーザ識別子に
対応するユーザクリアランス等級が前記読み出したアク
セス等級の情報リソースへのアクセスが許可された等級
であるかどうかに応じて当該アクセス要求を受理または
拒否するかを決定するアクセス要求処理部とを備えるも
のである。
Description
【0001】
【発明の属する技術分野】本発明はネットワークに接続
されるローカルな情報リソースへのアクセス制御を行う
アクセス制御システムに関し、特にユーザが持つユーザ
クリアランス等級に応じたアクセス制御を提供するアク
セス制御システムに適用して有効な技術に関するもので
ある。
されるローカルな情報リソースへのアクセス制御を行う
アクセス制御システムに関し、特にユーザが持つユーザ
クリアランス等級に応じたアクセス制御を提供するアク
セス制御システムに適用して有効な技術に関するもので
ある。
【0002】
【従来の技術】従来、情報リソースは、インターネット
に接続されることによって一般に公開される。この情報
リソースは、一般に、インターネットに接続したサーバ
と呼ばれるコンピュータに格納されており、更にインタ
ーネット上で当該情報リソースを一意に識別する為のリ
ソース識別子を持っている。
に接続されることによって一般に公開される。この情報
リソースは、一般に、インターネットに接続したサーバ
と呼ばれるコンピュータに格納されており、更にインタ
ーネット上で当該情報リソースを一意に識別する為のリ
ソース識別子を持っている。
【0003】インターネットに接続されたコンピュータ
のユーザは、クライアントとして知られるプログラムを
使って、希望する情報リソースの識別子が付いたアクセ
ス要求をサーバに送信し、当該情報リソースを入手する
ことになる。
のユーザは、クライアントとして知られるプログラムを
使って、希望する情報リソースの識別子が付いたアクセ
ス要求をサーバに送信し、当該情報リソースを入手する
ことになる。
【0004】クライアントからのアクセス要求はHTTP(H
yperText Transfer protocol)、ftp(File Transfer Pro
tocol)、Gopher、WAIS(Wide Area Information Servic
e)等、様々なプロトコルを使って送られる。例えばHTTP
を使った場合、クライアントは、プロトコルバージョ
ン、リクエストメソッド種別、リソース識別子(URI: Un
iform Resource Identifiers)、要求に関連するデー
タ、クライアント情報、要求に付随して送信する内容デ
ータをサーバに送る。
yperText Transfer protocol)、ftp(File Transfer Pro
tocol)、Gopher、WAIS(Wide Area Information Servic
e)等、様々なプロトコルを使って送られる。例えばHTTP
を使った場合、クライアントは、プロトコルバージョ
ン、リクエストメソッド種別、リソース識別子(URI: Un
iform Resource Identifiers)、要求に関連するデー
タ、クライアント情報、要求に付随して送信する内容デ
ータをサーバに送る。
【0005】
【発明が解決しようとする課題】前記従来の技術では、
サーバに含まれたローカルな情報リソースを、ある特定
のユーザ若しくはクライアントのみに渡せる様にする場
合、サーバはアクセス要求を受けた情報リソースをクラ
イアントに渡す処理に加えて、サーバがユーザ若しくは
クライアントを特定する特定処理と、アクセス要求を受
けた情報リソースをそのユーザ若しくはクライアントに
渡して良いかどうかを判断する判断処理を行う必要があ
る。しかし、前記特定処理と判断処理はコンピュータに
対する負荷が高く、DOS(Deny Of Service)攻撃として知
られるセキュリティ侵害行為に使われる事がある。更
に、ローカルなネットワークにサーバが動作するコンピ
ュータが複数ある場合には、管理者は前記特定処理と判
断処理を実行する為の設定を全てのコンピュータ上で一
台づつ行う必要があった。
サーバに含まれたローカルな情報リソースを、ある特定
のユーザ若しくはクライアントのみに渡せる様にする場
合、サーバはアクセス要求を受けた情報リソースをクラ
イアントに渡す処理に加えて、サーバがユーザ若しくは
クライアントを特定する特定処理と、アクセス要求を受
けた情報リソースをそのユーザ若しくはクライアントに
渡して良いかどうかを判断する判断処理を行う必要があ
る。しかし、前記特定処理と判断処理はコンピュータに
対する負荷が高く、DOS(Deny Of Service)攻撃として知
られるセキュリティ侵害行為に使われる事がある。更
に、ローカルなネットワークにサーバが動作するコンピ
ュータが複数ある場合には、管理者は前記特定処理と判
断処理を実行する為の設定を全てのコンピュータ上で一
台づつ行う必要があった。
【0006】本発明の目的は上記問題を解決し、アクセ
ス要求を受けた情報リソースをそのユーザ若しくはクラ
イアントに渡して良いかどうかを判断する判断処理を効
率的に行い、ローカルな情報リソースヘのアクセスを選
択的に制御することが可能な技術を提供することにあ
る。
ス要求を受けた情報リソースをそのユーザ若しくはクラ
イアントに渡して良いかどうかを判断する判断処理を効
率的に行い、ローカルな情報リソースヘのアクセスを選
択的に制御することが可能な技術を提供することにあ
る。
【0007】
【課題を解決するための手段】本発明は、ネットワーク
に接続されるローカルな情報リソースへのアクセス制御
を行うアクセス制御システムにおいて、クライアントか
らのアクセス要求中のユーザ識別子に対応するユーザク
リアランス等級が、当該アクセス要求中のリソース識別
子の属する正規表現のパターンに対応したアクセス等級
の情報リソースへのアクセスを許可されているかに応じ
て当該アクセス要求を受理または拒否するかを決定する
ものである。
に接続されるローカルな情報リソースへのアクセス制御
を行うアクセス制御システムにおいて、クライアントか
らのアクセス要求中のユーザ識別子に対応するユーザク
リアランス等級が、当該アクセス要求中のリソース識別
子の属する正規表現のパターンに対応したアクセス等級
の情報リソースへのアクセスを許可されているかに応じ
て当該アクセス要求を受理または拒否するかを決定する
ものである。
【0008】本発明のアクセス制御システムでは、ま
ず、ローカルな複数のサーバ等に分散配置された多くの
情報リソースを識別する為のリソース識別子を正規表現
で表した後、それらの正規表現のパターンについて、そ
のパターンに属するリソース識別子で識別される情報リ
ソースにアクセスする為に必要な等級であるアクセス等
級をデータベースのアクセス等級リストに格納してお
く。また、前記情報リソースへのアクセスを要求するユ
ーザを識別する為のユーザ識別子について、各ユーザ識
別子で識別されるユーザに許可されているアクセス等級
を示すユーザクリアランス等級をデータベースのユーザ
クリアランス等級リストに格納しておく。
ず、ローカルな複数のサーバ等に分散配置された多くの
情報リソースを識別する為のリソース識別子を正規表現
で表した後、それらの正規表現のパターンについて、そ
のパターンに属するリソース識別子で識別される情報リ
ソースにアクセスする為に必要な等級であるアクセス等
級をデータベースのアクセス等級リストに格納してお
く。また、前記情報リソースへのアクセスを要求するユ
ーザを識別する為のユーザ識別子について、各ユーザ識
別子で識別されるユーザに許可されているアクセス等級
を示すユーザクリアランス等級をデータベースのユーザ
クリアランス等級リストに格納しておく。
【0009】本発明のアクセス制御システムは、情報リ
ソースへのアクセス要求をクライアントから受信する
と、そのアクセス要求からリソース識別子を読み出して
前記アクセス等級リストを参照し、前記読み出したリソ
ース識別子が属する正規表現のパターンがあるかどうか
を正規表現エンジンにより調べて、前記リソース識別子
が属している正規表現のパターンに対応したアクセス等
級を前記アクセス等級リストから読み出す。
ソースへのアクセス要求をクライアントから受信する
と、そのアクセス要求からリソース識別子を読み出して
前記アクセス等級リストを参照し、前記読み出したリソ
ース識別子が属する正規表現のパターンがあるかどうか
を正規表現エンジンにより調べて、前記リソース識別子
が属している正規表現のパターンに対応したアクセス等
級を前記アクセス等級リストから読み出す。
【0010】次に本発明のアクセス制御システムは、前
記アクセス要求からユーザ識別子を読み出して前記ユー
ザクリアランス等級リストを参照し、前記ユーザ識別子
に対応するユーザクリアランス等級を前記ユーザクリア
ランス等級リストから読み出した後、そのユーザクリア
ランス等級が前記読み出したアクセス等級の情報リソー
スへのアクセスが許可された等級であるかどうかに応じ
て当該アクセス要求を受理または拒否するかを決定し、
受理の場合にはそのアクセス要求をローカルなサーバへ
送り、拒否の場合にはそのアクセス要求を拒否したこと
を示すメッセージをクライアントへ応答する。
記アクセス要求からユーザ識別子を読み出して前記ユー
ザクリアランス等級リストを参照し、前記ユーザ識別子
に対応するユーザクリアランス等級を前記ユーザクリア
ランス等級リストから読み出した後、そのユーザクリア
ランス等級が前記読み出したアクセス等級の情報リソー
スへのアクセスが許可された等級であるかどうかに応じ
て当該アクセス要求を受理または拒否するかを決定し、
受理の場合にはそのアクセス要求をローカルなサーバへ
送り、拒否の場合にはそのアクセス要求を拒否したこと
を示すメッセージをクライアントへ応答する。
【0011】以上の様に本発明のアクセス制御システム
によれば、クライアントからのアクセス要求中のユーザ
識別子に対応するユーザクリアランス等級が、当該アク
セス要求中のリソース識別子の属する正規表現のパター
ンに対応したアクセス等級の情報リソースへのアクセス
を許可されているかに応じて当該アクセス要求を受理ま
たは拒否するかを決定するので、アクセス要求を受けた
情報リソースをそのユーザ若しくはクライアントに渡し
て良いかどうかを判断する判断処理を効率的に行い、ロ
ーカルな情報リソースヘのアクセスを選択的に制御する
ことが可能である。
によれば、クライアントからのアクセス要求中のユーザ
識別子に対応するユーザクリアランス等級が、当該アク
セス要求中のリソース識別子の属する正規表現のパター
ンに対応したアクセス等級の情報リソースへのアクセス
を許可されているかに応じて当該アクセス要求を受理ま
たは拒否するかを決定するので、アクセス要求を受けた
情報リソースをそのユーザ若しくはクライアントに渡し
て良いかどうかを判断する判断処理を効率的に行い、ロ
ーカルな情報リソースヘのアクセスを選択的に制御する
ことが可能である。
【0012】
【発明の実施の形態】以下にネットワークに接続される
ローカルな情報リソースへのアクセス制御を行う一実施
形態のアクセス制御システムについて説明する。
ローカルな情報リソースへのアクセス制御を行う一実施
形態のアクセス制御システムについて説明する。
【0013】図1は本実施形態のアクセス制御システム
の構成を示す図である。図1に示す様に本実施形態のア
クセス制御システムは、正規表現エンジン9と、アクセ
ス要求処理部13とを有している。
の構成を示す図である。図1に示す様に本実施形態のア
クセス制御システムは、正規表現エンジン9と、アクセ
ス要求処理部13とを有している。
【0014】正規表現エンジン9は、正規表現のパター
ンに属するリソース識別子で識別される情報リソースへ
のアクセス等級を示すアクセス等級リスト10を参照
し、クライアントから受信したアクセス要求中のリソー
ス識別子が属している正規表現のパターンに対応したア
クセス等級をアクセス等級リスト10から読み出す処理
部である。
ンに属するリソース識別子で識別される情報リソースへ
のアクセス等級を示すアクセス等級リスト10を参照
し、クライアントから受信したアクセス要求中のリソー
ス識別子が属している正規表現のパターンに対応したア
クセス等級をアクセス等級リスト10から読み出す処理
部である。
【0015】アクセス要求処理部13は、ユーザ識別子
で識別されるユーザに許可されたアクセス等級に対応し
たユーザクリアランス等級を示すユーザクリアランス等
級リスト11を参照し、前記アクセス要求中のユーザ識
別子に対応するユーザクリアランス等級をユーザクリア
ランス等級リスト11から読み出し、そのユーザクリア
ランス等級が前記読み出したアクセス等級の情報リソー
スへのアクセスが許可された等級であるかどうかに応じ
て当該アクセス要求を受理または拒否するかを決定する
処理部である。
で識別されるユーザに許可されたアクセス等級に対応し
たユーザクリアランス等級を示すユーザクリアランス等
級リスト11を参照し、前記アクセス要求中のユーザ識
別子に対応するユーザクリアランス等級をユーザクリア
ランス等級リスト11から読み出し、そのユーザクリア
ランス等級が前記読み出したアクセス等級の情報リソー
スへのアクセスが許可された等級であるかどうかに応じ
て当該アクセス要求を受理または拒否するかを決定する
処理部である。
【0016】アクセス制御システムを正規表現エンジン
9及びアクセス要求処理部13として機能させる為のプ
ログラムは、CD−ROM等の記録媒体に記録され磁気
ディスク等に格納された後、メモリにロードされて実行
されるものとする。なお前記プログラムを記録する記録
媒体はCD−ROM以外の他の記録媒体でも良い。また
前記プログラムを当該記録媒体から情報処理装置にイン
ストールして使用しても良いし、ネットワークを通じて
当該記録媒体にアクセスして前記プログラムを使用する
ものとしても良い。
9及びアクセス要求処理部13として機能させる為のプ
ログラムは、CD−ROM等の記録媒体に記録され磁気
ディスク等に格納された後、メモリにロードされて実行
されるものとする。なお前記プログラムを記録する記録
媒体はCD−ROM以外の他の記録媒体でも良い。また
前記プログラムを当該記録媒体から情報処理装置にイン
ストールして使用しても良いし、ネットワークを通じて
当該記録媒体にアクセスして前記プログラムを使用する
ものとしても良い。
【0017】図1においてファイアウォール1は、一つ
かそれ以上のローカルな情報リソースヘのアクセスを選
択する為のシステムであって、インターネット2を介し
て、ローカルな情報リソースに対して受信要求を送るク
ライアント3a〜クライアント3nと接続し、イントラ
ネット4を介してローカルな情報リソースを格納するコ
ンピュータであるサーバ5a〜サーバ5mと接続してい
る。
かそれ以上のローカルな情報リソースヘのアクセスを選
択する為のシステムであって、インターネット2を介し
て、ローカルな情報リソースに対して受信要求を送るク
ライアント3a〜クライアント3nと接続し、イントラ
ネット4を介してローカルな情報リソースを格納するコ
ンピュータであるサーバ5a〜サーバ5mと接続してい
る。
【0018】ファイアウォール1は、インターネット2
及びイントラネット4との接続点である入出力部6と、
関係データベース7と、一つかそれ以上のリソース識別
子(URI)を少なくとも一つのパターンデータに関連させ
る正規表現エンジン9やアクセス要求を受理または拒否
するかを決定するアクセス要求処理部13としてファイ
アウォール1を機能させる為の処理プログラムを実行す
るプロセッサ8とを持つ。本実施形態では、正規表現エ
ンジン9やアクセス要求処理部13をファイアウォール
1に備えているが、正規表現エンジン9やアクセス要求
処理部13をネットワークの代理サーバに具備すること
としても良い。
及びイントラネット4との接続点である入出力部6と、
関係データベース7と、一つかそれ以上のリソース識別
子(URI)を少なくとも一つのパターンデータに関連させ
る正規表現エンジン9やアクセス要求を受理または拒否
するかを決定するアクセス要求処理部13としてファイ
アウォール1を機能させる為の処理プログラムを実行す
るプロセッサ8とを持つ。本実施形態では、正規表現エ
ンジン9やアクセス要求処理部13をファイアウォール
1に備えているが、正規表現エンジン9やアクセス要求
処理部13をネットワークの代理サーバに具備すること
としても良い。
【0019】関係データベース7は、一つかそれ以上の
パターンデータのそれぞれを少なくとも一つのアクセス
等級と関連させるアクセス等級リスト10と、一つかそ
れ以上のユーザ識別子のそれぞれを少なくとも一つのユ
ーザクリアランス等級と関連させるユーザクリアランス
等級リスト11とを持つ。本実施形態ではリレーショナ
ル・データベースである関係データベース7にアクセス
等級リスト10とユーザクリアランス等級リスト11と
を格納しているが、オブジェクト指向データベースに格
納することとしても良い。また、管理者のユーザ識別子
を記憶するリストを関係データベース7に格納してお
き、その管理者のユーザ識別子リストに基づいて、特定
のユーザを管理者として識別し、前記識別された管理者
に前記データベースの内容の変更を許可するものとして
も良い。
パターンデータのそれぞれを少なくとも一つのアクセス
等級と関連させるアクセス等級リスト10と、一つかそ
れ以上のユーザ識別子のそれぞれを少なくとも一つのユ
ーザクリアランス等級と関連させるユーザクリアランス
等級リスト11とを持つ。本実施形態ではリレーショナ
ル・データベースである関係データベース7にアクセス
等級リスト10とユーザクリアランス等級リスト11と
を格納しているが、オブジェクト指向データベースに格
納することとしても良い。また、管理者のユーザ識別子
を記憶するリストを関係データベース7に格納してお
き、その管理者のユーザ識別子リストに基づいて、特定
のユーザを管理者として識別し、前記識別された管理者
に前記データベースの内容の変更を許可するものとして
も良い。
【0020】また、サーバ5a〜サーバ5mは同様の構
成であり、例えばサーバ5aはURIによって一意に識別
される情報リソース12a〜情報リソース12rを持
つ。
成であり、例えばサーバ5aはURIによって一意に識別
される情報リソース12a〜情報リソース12rを持
つ。
【0021】以下、本実施形態のアクセス制御システム
において、ネットワークを流れるメッセージについて説
明する。クライアント3a〜クライアント3nは同様の
構成であるから、クライアント3aを例に説明する。ま
た、サーバ5a〜サーバ5mは同様の構成であることか
ら、ここではサーバ5aを例に説明する。更に、情報リ
ソース12a〜情報リソース12rは同様の構成である
ことから、ここでは情報リソース12aを例に説明す
る。
において、ネットワークを流れるメッセージについて説
明する。クライアント3a〜クライアント3nは同様の
構成であるから、クライアント3aを例に説明する。ま
た、サーバ5a〜サーバ5mは同様の構成であることか
ら、ここではサーバ5aを例に説明する。更に、情報リ
ソース12a〜情報リソース12rは同様の構成である
ことから、ここでは情報リソース12aを例に説明す
る。
【0022】本実施形態のアクセス制御システムにおい
て、クライアント3aがサーバ5a上の情報リソース1
2aを入手する際には、クライアント3aはファイアウ
ォール1に対してアクセス要求メッセージM1を送信す
る。
て、クライアント3aがサーバ5a上の情報リソース1
2aを入手する際には、クライアント3aはファイアウ
ォール1に対してアクセス要求メッセージM1を送信す
る。
【0023】ファイアウォール1は、この要求を受理す
る場合には、当該アクセス要求メッセージM1をサーバ
5aに対して送信し、拒否する場合には、その旨を明記
したファイアウォール応答メッセージM2をクライアン
ト3aに対して送信する。
る場合には、当該アクセス要求メッセージM1をサーバ
5aに対して送信し、拒否する場合には、その旨を明記
したファイアウォール応答メッセージM2をクライアン
ト3aに対して送信する。
【0024】サーバ5aは、ファイアウォール1からア
クセス要求メッセージM1を受けると、当該メッセージ
に記述されたURIで指定された情報リソース12aが存
在し、かつサーバでのアクセス権を満たしている場合に
は、サーバ応答メッセージM3に情報リソース12aを
含めて、そうでない場合には拒否することを明記して、
ファイアウォール1経由でクライアント3aにメッセー
ジを送信する。
クセス要求メッセージM1を受けると、当該メッセージ
に記述されたURIで指定された情報リソース12aが存
在し、かつサーバでのアクセス権を満たしている場合に
は、サーバ応答メッセージM3に情報リソース12aを
含めて、そうでない場合には拒否することを明記して、
ファイアウォール1経由でクライアント3aにメッセー
ジを送信する。
【0025】以下に、本実施形態のアクセス制御システ
ムにおいて、ファイアウォール1がアクセス要求メッセ
ージM1を受理または拒否する動作を図2のフローチャ
ート及び図3〜図7を参照して説明する。なお本実施形
態では、"hoge.co.jp"という架空のFQDN(Fully Qualifi
ed Domain Name)を持ったサーバ5aに図3に示すURIを
持つ情報リソースがあり、ファイアウォール1が持つ関
係データベース7内に、図5に示すアクセス等級リスト
10、図6に示すユーザクリアランス等級リスト11が
あり、更にユーザの識別をHTTPの仕様で決められた基本
認証データで行う場合を考える。
ムにおいて、ファイアウォール1がアクセス要求メッセ
ージM1を受理または拒否する動作を図2のフローチャ
ート及び図3〜図7を参照して説明する。なお本実施形
態では、"hoge.co.jp"という架空のFQDN(Fully Qualifi
ed Domain Name)を持ったサーバ5aに図3に示すURIを
持つ情報リソースがあり、ファイアウォール1が持つ関
係データベース7内に、図5に示すアクセス等級リスト
10、図6に示すユーザクリアランス等級リスト11が
あり、更にユーザの識別をHTTPの仕様で決められた基本
認証データで行う場合を考える。
【0026】図2は本実施形態のファイアウォール1の
処理手順を示すフローチャートである。図2に示す様に
ファイアウォール1は、クライアントから受信したアク
セス要求メッセージM1中のURIが属している正規表現
のパターンに対応したアクセス等級をアクセス等級リス
ト10から読み出し、前記アクセス要求メッセージM1
中のユーザ識別子に対応するユーザクリアランス等級が
前記読み出したアクセス等級の情報リソースへのアクセ
ス権限を満たしているかどうかに応じて当該アクセス要
求を受理または拒否するかを決定する処理を行う。
処理手順を示すフローチャートである。図2に示す様に
ファイアウォール1は、クライアントから受信したアク
セス要求メッセージM1中のURIが属している正規表現
のパターンに対応したアクセス等級をアクセス等級リス
ト10から読み出し、前記アクセス要求メッセージM1
中のユーザ識別子に対応するユーザクリアランス等級が
前記読み出したアクセス等級の情報リソースへのアクセ
ス権限を満たしているかどうかに応じて当該アクセス要
求を受理または拒否するかを決定する処理を行う。
【0027】図3は本実施形態のサーバ5aの情報リソ
ースの例を示す図である。図3に示す様にサーバ5aに
は、"http://www.hoge.co.jp/"や"http://www.hoge.co.
jp/secret.html"等の情報リソースが格納されているも
のとする。
ースの例を示す図である。図3に示す様にサーバ5aに
は、"http://www.hoge.co.jp/"や"http://www.hoge.co.
jp/secret.html"等の情報リソースが格納されているも
のとする。
【0028】図4は本実施形態のアクセス要求メッセー
ジM1の一例を示す図である。図4に示す様にクライア
ント3aが送信するアクセス要求メッセージM1には、
アクセスを要求する情報リソースのURIやユーザ識別子
等の情報が含まれている。ここでユーザ識別子"boss:se
cret"はBase64で暗号化されているものとする。
ジM1の一例を示す図である。図4に示す様にクライア
ント3aが送信するアクセス要求メッセージM1には、
アクセスを要求する情報リソースのURIやユーザ識別子
等の情報が含まれている。ここでユーザ識別子"boss:se
cret"はBase64で暗号化されているものとする。
【0029】図5は本実施形態のアクセス等級リスト1
0の一例を示す図である。図5に示す様に本実施形態の
アクセス等級リスト10には、サーバ5aに格納された
情報リソースを識別する為のURIを正規表現で表したパ
ターンデータと、それらのパターンに属するURIで識別
される情報リソースにアクセスする為に必要な等級であ
るアクセス等級とが格納されている。ここで情報リソー
スへのアクセスの頻度に応じて異なるパターンデータを
定義することとしても良く、例えばアクセス頻度の高い
パターンデータを複数のパターンデータに分割したり、
アクセス頻度に低い複数のURIを1つのパターンデータ
にまとめても良い。
0の一例を示す図である。図5に示す様に本実施形態の
アクセス等級リスト10には、サーバ5aに格納された
情報リソースを識別する為のURIを正規表現で表したパ
ターンデータと、それらのパターンに属するURIで識別
される情報リソースにアクセスする為に必要な等級であ
るアクセス等級とが格納されている。ここで情報リソー
スへのアクセスの頻度に応じて異なるパターンデータを
定義することとしても良く、例えばアクセス頻度の高い
パターンデータを複数のパターンデータに分割したり、
アクセス頻度に低い複数のURIを1つのパターンデータ
にまとめても良い。
【0030】この様に本実施形態では、正規表現のパタ
ーンに対してアクセス等級を定義している為、多数の情
報リソースに対してまとめてアクセス等級を定義するこ
とが可能であり、アクセス等級リスト10に必要な記憶
領域を削減すると共に、個々の情報リソースに対してそ
れぞれアクセス等級を設定してそれらを維持・管理する
際の管理者の負荷を大幅に低減することができる。
ーンに対してアクセス等級を定義している為、多数の情
報リソースに対してまとめてアクセス等級を定義するこ
とが可能であり、アクセス等級リスト10に必要な記憶
領域を削減すると共に、個々の情報リソースに対してそ
れぞれアクセス等級を設定してそれらを維持・管理する
際の管理者の負荷を大幅に低減することができる。
【0031】図6は本実施形態のユーザクリアランス等
級リスト11の一例を示す図である。図6に示す様に本
実施形態のユーザクリアランス等級リスト11には、前
記情報リソースへのアクセスを要求するユーザを識別す
る為のユーザ識別子であるユーザ名とパスワードと、各
ユーザ識別子で識別されるユーザに許可されているアク
セス等級を示すユーザクリアランス等級とが格納されて
いる。
級リスト11の一例を示す図である。図6に示す様に本
実施形態のユーザクリアランス等級リスト11には、前
記情報リソースへのアクセスを要求するユーザを識別す
る為のユーザ識別子であるユーザ名とパスワードと、各
ユーザ識別子で識別されるユーザに許可されているアク
セス等級を示すユーザクリアランス等級とが格納されて
いる。
【0032】ここで、ユーザクリアランス等級リスト1
1のユーザ識別子として、パーソナルコンピュータやル
ータ等のネットワーク機器のIPアドレス、携帯電話の
ID、複数の個人を識別する為のグループ名等の識別
子、ネットワーク対応のプログラムであるブラウザ等の
種類を識別する為の情報を用い、それらの内容に応じて
異なるユーザクリアランス等級を設定しても良いものと
する。また、前記ユーザ識別子として、アクセス要求が
転送されたネットワーク経路の信頼度を識別する為の情
報を用い、予め信用できると判断されたネットワークに
よって転送されたかどうかやネットワークに施された暗
号化の種類により異なるユーザクリアランス等級を設定
しても良い。
1のユーザ識別子として、パーソナルコンピュータやル
ータ等のネットワーク機器のIPアドレス、携帯電話の
ID、複数の個人を識別する為のグループ名等の識別
子、ネットワーク対応のプログラムであるブラウザ等の
種類を識別する為の情報を用い、それらの内容に応じて
異なるユーザクリアランス等級を設定しても良いものと
する。また、前記ユーザ識別子として、アクセス要求が
転送されたネットワーク経路の信頼度を識別する為の情
報を用い、予め信用できると判断されたネットワークに
よって転送されたかどうかやネットワークに施された暗
号化の種類により異なるユーザクリアランス等級を設定
しても良い。
【0033】図7は本実施形態のアクセス要求処理表の
一例を示す図である。図7に示す様に本実施形態のアク
セス要求処理表には、アクセス要求メッセージM1中の
ユーザ識別子に対応するユーザクリアランス等級がその
アクセス要求メッセージM1中のURIに対応するアクセ
ス等級の情報リソースへのアクセス権限を満たしている
かどうかに応じて当該アクセス要求を受理または拒否す
るかを決定する為の処理データが格納されている。
一例を示す図である。図7に示す様に本実施形態のアク
セス要求処理表には、アクセス要求メッセージM1中の
ユーザ識別子に対応するユーザクリアランス等級がその
アクセス要求メッセージM1中のURIに対応するアクセ
ス等級の情報リソースへのアクセス権限を満たしている
かどうかに応じて当該アクセス要求を受理または拒否す
るかを決定する為の処理データが格納されている。
【0034】図7では、ユーザクリアランス等級"a"の
場合にアクセス等級"0"及び"1"の情報リソースへのア
クセス要求を受理し、ユーザクリアランス等級"b"の場
合にはアクセス等級"0"の情報リソースへのアクセス要
求を受理し、アクセス等級"1"の情報リソースへのアク
セス要求を拒否することを表している。
場合にアクセス等級"0"及び"1"の情報リソースへのア
クセス要求を受理し、ユーザクリアランス等級"b"の場
合にはアクセス等級"0"の情報リソースへのアクセス要
求を受理し、アクセス等級"1"の情報リソースへのアク
セス要求を拒否することを表している。
【0035】本実施形態のアクセス制御システムにおい
て、まずクライアント3aは、サーバ5aの情報リソー
スへのアクセスを要求するアクセス要求メッセージM1
をファイアウォール1へ送信する。
て、まずクライアント3aは、サーバ5aの情報リソー
スへのアクセスを要求するアクセス要求メッセージM1
をファイアウォール1へ送信する。
【0036】ステップS1でファイアウォール1のアク
セス要求処理部13は、クライアント3aから送信され
た、図4に示す内容のアクセス要求メッセージM1を受
信すると、そのアクセス要求メッセージM1に付随して
送られてくるデータが予め設定された条件を満たしてい
るかどうかを調べ、その条件を満たしていない場合に、
その情報リソースへのアクセス要求を中断する処理を行
う。
セス要求処理部13は、クライアント3aから送信され
た、図4に示す内容のアクセス要求メッセージM1を受
信すると、そのアクセス要求メッセージM1に付随して
送られてくるデータが予め設定された条件を満たしてい
るかどうかを調べ、その条件を満たしていない場合に、
その情報リソースへのアクセス要求を中断する処理を行
う。
【0037】例えば、アクセス要求メッセージM1のデ
ータサイズが予め定められた上限を超えており、サーバ
5aに対する攻撃の可能性がある場合や、アクセス要求
メッセージM1の文法構造が予め定められた構造に該当
しておらず、".."等の上位のディレクトリへのアクセス
を含む構造や管理者用のディレクトリへのアクセスを含
む構造である場合にそのアクセス要求の処理を中断す
る。なお管理者用のディレクトリへのアクセスを含む構
造である場合、そのユーザクリアランス等級が管理者の
等級でないことが判明した時点で中断させることとして
も良い。
ータサイズが予め定められた上限を超えており、サーバ
5aに対する攻撃の可能性がある場合や、アクセス要求
メッセージM1の文法構造が予め定められた構造に該当
しておらず、".."等の上位のディレクトリへのアクセス
を含む構造や管理者用のディレクトリへのアクセスを含
む構造である場合にそのアクセス要求の処理を中断す
る。なお管理者用のディレクトリへのアクセスを含む構
造である場合、そのユーザクリアランス等級が管理者の
等級でないことが判明した時点で中断させることとして
も良い。
【0038】ステップS2では当該メッセージに含まれ
た情報リソースのURI"/secret.html"を取り出し、ステ
ップS3ではユーザ識別子"Ym9zczpzZWNyZXQ="を取り出
す。次にステップS4では、ステップS2で得たURIにF
QDNを付加して"http://www.hoge.co.jp/secret.html"を
得る。
た情報リソースのURI"/secret.html"を取り出し、ステ
ップS3ではユーザ識別子"Ym9zczpzZWNyZXQ="を取り出
す。次にステップS4では、ステップS2で得たURIにF
QDNを付加して"http://www.hoge.co.jp/secret.html"を
得る。
【0039】またステップS5でアクセス要求処理部1
3は、ステップS3で得たユーザ識別子をBase64で復号
化してユーザ名"boss"とパスワード"secret"とを得た
後、これを基にユーザクリアランス等級リスト11を参
照してユーザクリアランス等級"a"を得る。
3は、ステップS3で得たユーザ識別子をBase64で復号
化してユーザ名"boss"とパスワード"secret"とを得た
後、これを基にユーザクリアランス等級リスト11を参
照してユーザクリアランス等級"a"を得る。
【0040】ステップS6で正規表現エンジン9は、ス
テップS4で得た正規化されたURIを基にアクセス等級
リスト10のどのパターンに当てはまるかを逐次チェッ
クし、アクセス等級"1"を得る(ステップS6)。ここ
で、図5に示したアクセス等級リスト10の場合では前
記URIは2つのエントリのどちらにもマッチするが、最
後にマッチするエントリを採用する様にした場合には後
者のエントリが採用され、アクセス等級"1"を得る。こ
こで最初にマッチするエントリを採用することとしても
良い。
テップS4で得た正規化されたURIを基にアクセス等級
リスト10のどのパターンに当てはまるかを逐次チェッ
クし、アクセス等級"1"を得る(ステップS6)。ここ
で、図5に示したアクセス等級リスト10の場合では前
記URIは2つのエントリのどちらにもマッチするが、最
後にマッチするエントリを採用する様にした場合には後
者のエントリが採用され、アクセス等級"1"を得る。こ
こで最初にマッチするエントリを採用することとしても
良い。
【0041】次にステップS7でアクセス要求処理部1
3は、ステップS5で得たユーザクリアランス等級とス
テップS6で得たアクセス等級とを用いて図7のアクセ
ス要求処理表を参照し、アクセス要求メッセージM1を
受理するか拒否するかを決定する。図7に示した表の場
合、ユーザクリアランス等級"a"とアクセス等級"1"か
ら、アクセス要求メッセージM1を受理する決定が行わ
れる。アクセス要求メッセージM1を受理する場合には
ステップS8へ進み、ステップS8でアクセス要求メッ
セージM1をサーバ5aに送った後、ステップS9で
は、サーバ5aから受けた応答メッセージM3をクライ
アント3aに送る。またアクセス要求メッセージM1を
拒否する場合にはステップS10へ進み、ファイアウォ
ール1からクライアント3aに対してファイアウォール
応答メッセージM2を送る。
3は、ステップS5で得たユーザクリアランス等級とス
テップS6で得たアクセス等級とを用いて図7のアクセ
ス要求処理表を参照し、アクセス要求メッセージM1を
受理するか拒否するかを決定する。図7に示した表の場
合、ユーザクリアランス等級"a"とアクセス等級"1"か
ら、アクセス要求メッセージM1を受理する決定が行わ
れる。アクセス要求メッセージM1を受理する場合には
ステップS8へ進み、ステップS8でアクセス要求メッ
セージM1をサーバ5aに送った後、ステップS9で
は、サーバ5aから受けた応答メッセージM3をクライ
アント3aに送る。またアクセス要求メッセージM1を
拒否する場合にはステップS10へ進み、ファイアウォ
ール1からクライアント3aに対してファイアウォール
応答メッセージM2を送る。
【0042】前記の様に本実施形態では、正規表現のパ
ターンに対してアクセス等級を定義している為、複数の
サーバに格納された多数の情報リソースに対してまとめ
てアクセス等級を定義することが可能であり、数万単位
等の多くの情報リソースに対するアクセス等級をより少
ないアクセス等級リスト10の情報で管理することが可
能である。
ターンに対してアクセス等級を定義している為、複数の
サーバに格納された多数の情報リソースに対してまとめ
てアクセス等級を定義することが可能であり、数万単位
等の多くの情報リソースに対するアクセス等級をより少
ないアクセス等級リスト10の情報で管理することが可
能である。
【0043】また本実施形態では、アクセス要求を受け
た情報リソースをそのユーザ若しくはクライアントに渡
して良いかどうかを判断する判断処理をファイアウォー
ル1で行っている為、DOS攻撃等のアクセスに対してフ
ァイアウォール1のみの処理能力を増強することで対応
することが可能であり、サーバ5a〜サーバ5mが処理
能力の低い処理装置であったとしても、それらのサーバ
をそのまま使用することができる。
た情報リソースをそのユーザ若しくはクライアントに渡
して良いかどうかを判断する判断処理をファイアウォー
ル1で行っている為、DOS攻撃等のアクセスに対してフ
ァイアウォール1のみの処理能力を増強することで対応
することが可能であり、サーバ5a〜サーバ5mが処理
能力の低い処理装置であったとしても、それらのサーバ
をそのまま使用することができる。
【0044】以上説明した様に本実施形態のアクセス制
御システムによれば、クライアントからのアクセス要求
中のユーザ識別子に対応するユーザクリアランス等級
が、当該アクセス要求中のリソース識別子の属する正規
表現のパターンに対応したアクセス等級の情報リソース
へのアクセスを許可されているかに応じて当該アクセス
要求を受理または拒否するかを決定するので、アクセス
要求を受けた情報リソースをそのユーザ若しくはクライ
アントに渡して良いかどうかを判断する判断処理を効率
的に行い、ローカルな情報リソースヘのアクセスを選択
的に制御することが可能である。
御システムによれば、クライアントからのアクセス要求
中のユーザ識別子に対応するユーザクリアランス等級
が、当該アクセス要求中のリソース識別子の属する正規
表現のパターンに対応したアクセス等級の情報リソース
へのアクセスを許可されているかに応じて当該アクセス
要求を受理または拒否するかを決定するので、アクセス
要求を受けた情報リソースをそのユーザ若しくはクライ
アントに渡して良いかどうかを判断する判断処理を効率
的に行い、ローカルな情報リソースヘのアクセスを選択
的に制御することが可能である。
【0045】
【発明の効果】以上詳述した様に本発明によれば、イン
ターネットに接続するローカルな情報リソースヘのアク
セス制御に関し、ユーザが持つユーザクリアランス等級
に応じたアクセス制御を提供する環境下で、複数のロー
カルなサーバ上の情報リソースに対するアクセス制御を
一ヶ所で集中的に制御することができる。また、セキュ
リティ侵害行為を受ける可能性のあるサーバがローカル
に存在している際に、侵害行為を目的とした情報リソー
スへの受信要求を安全に拒否することができる。
ターネットに接続するローカルな情報リソースヘのアク
セス制御に関し、ユーザが持つユーザクリアランス等級
に応じたアクセス制御を提供する環境下で、複数のロー
カルなサーバ上の情報リソースに対するアクセス制御を
一ヶ所で集中的に制御することができる。また、セキュ
リティ侵害行為を受ける可能性のあるサーバがローカル
に存在している際に、侵害行為を目的とした情報リソー
スへの受信要求を安全に拒否することができる。
【0046】また、正規表現エンジンを用いることで、
リソース識別子を個々に関係データベースに登録するの
ではなく、一つかそれ以上のパターンとして関係データ
ベースに登録することができるので、より多くのリソー
ス識別子のアクセス等級をシステムに記憶させることが
できる。更に、ユーザ識別子のそれぞれがネットワーク
機器、若しくはユーザ、若しくはネットワーク機器を現
すことができるので、詳細なユーザクリアランス情報を
設定することができる。
リソース識別子を個々に関係データベースに登録するの
ではなく、一つかそれ以上のパターンとして関係データ
ベースに登録することができるので、より多くのリソー
ス識別子のアクセス等級をシステムに記憶させることが
できる。更に、ユーザ識別子のそれぞれがネットワーク
機器、若しくはユーザ、若しくはネットワーク機器を現
すことができるので、詳細なユーザクリアランス情報を
設定することができる。
【図1】本実施形態のアクセス制御システムの構成を示
す図である。
す図である。
【図2】本実施形態のファイアウォール1の処理手順を
示すフローチャートである。
示すフローチャートである。
【図3】本実施形態のサーバ5aの情報リソースの例を
示す図である。
示す図である。
【図4】本実施形態のアクセス要求メッセージM1の一
例を示す図である。
例を示す図である。
【図5】本実施形態のアクセス等級リスト10の一例を
示す図である。
示す図である。
【図6】本実施形態のユーザクリアランス等級リスト1
1の一例を示す図である。
1の一例を示す図である。
【図7】本実施形態のアクセス要求処理表の一例を示す
図である。
図である。
1…ファイアウォール、2…インターネット、3…クラ
イアント、4…イントラネット、5…サーバ、6…入出
力部、7…関係データベース、8…プロセッサ、10…
アクセス等級リスト、11…ユーザクリアランス等級リ
スト、12…情報リソース、9…正規表現エンジン、1
3…アクセス要求処理部。
イアント、4…イントラネット、5…サーバ、6…入出
力部、7…関係データベース、8…プロセッサ、10…
アクセス等級リスト、11…ユーザクリアランス等級リ
スト、12…情報リソース、9…正規表現エンジン、1
3…アクセス要求処理部。
フロントページの続き (72)発明者 梶原 史雄 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B017 AA07 BA06 BB06 CA16 5B082 EA11 GA13 5B085 AC03 AE01 AE06 BA07 BG03 BG07
Claims (18)
- 【請求項1】 ネットワークに接続されるローカルな情
報リソースへのアクセス制御を行うアクセス制御システ
ムにおいて、 正規表現のパターンに属するリソース識別子で識別され
る情報リソースへのアクセス等級を示すアクセス等級リ
ストと、ユーザ識別子で識別されるユーザに許可された
アクセス等級に対応したユーザクリアランス等級を示す
ユーザクリアランス等級リストとを有するデータベース
と、 前記アクセス等級リストを参照し、クライアントから受
信したアクセス要求中のリソース識別子が属している正
規表現のパターンに対応したアクセス等級を前記アクセ
ス等級リストから読み出す正規表現エンジンと、 前記ユーザクリアランス等級リストを参照し、前記アク
セス要求中のユーザ識別子に対応するユーザクリアラン
ス等級を前記ユーザクリアランス等級リストから読み出
し、そのユーザクリアランス等級が前記読み出したアク
セス等級の情報リソースへのアクセスが許可された等級
であるかどうかに応じて当該アクセス要求を受理または
拒否するかを決定するアクセス要求処理部とを備えるこ
とを特徴とするアクセス制御システム。 - 【請求項2】 前記データベースは関係データベースで
あることを特徴とする請求項1に記載されたアクセス制
御システム。 - 【請求項3】 前記データベースはオブジェクト指向デ
ータベースであることを特徴とする請求項1に記載され
たアクセス制御システム。 - 【請求項4】 前記アクセス要求に含まれるリソース識
別子の属するパターンが前記アクセス等級リスト中に複
数ある場合、最初に合致したパターンを前記リソース識
別子の属するパターンとすることを特徴とする請求項1
乃至請求項3のいずれか1項に記載されたアクセス制御
システム。 - 【請求項5】 前記アクセス要求に含まれるリソース識
別子の属するパターンが前記アクセス等級リスト中に複
数ある場合、最後に合致したパターンを前記リソース識
別子の属するパターンとすることを特徴とする請求項1
乃至請求項3のいずれか1項に記載されたアクセス制御
システム。 - 【請求項6】 前記アクセス要求処理部をネットワーク
の代理サーバに具備することを特徴とする請求項1乃至
請求項5のいずれか1項に記載されたアクセス制御シス
テム。 - 【請求項7】 前記ユーザ識別子はクライアントのネッ
トワーク機器を識別する為の情報を含むものであること
を特徴とする請求項1乃至請求項6のいずれか1項に記
載されたアクセス制御システム。 - 【請求項8】 前記ユーザ識別子は複数の個人を識別す
る為の識別子であることを特徴とする請求項1乃至請求
項7のいずれか1項に記載されたアクセス制御システ
ム。 - 【請求項9】 前記ユーザ識別子はネットワーク対応の
プログラムを識別する為の情報を含むものであることを
特徴とする請求項1乃至請求項8のいずれか1項に記載
されたアクセス制御システム。 - 【請求項10】 前記ユーザ識別子は当該アクセス要求
が転送されたネットワーク経路の信頼度を識別する為の
情報を含むものであることを特徴とする請求項1乃至請
求項9のいずれか1項に記載されたアクセス制御システ
ム。 - 【請求項11】 予め信用できると判断されたネットワ
ークによって転送されたかどうかにより前記ネットワー
ク経路の信頼度を決定することを特徴とする請求項10
に記載されたアクセス制御システム。 - 【請求項12】 ネットワークに施された暗号化の種類
により前記ネットワーク経路の信頼度を決定することを
特徴とする請求項10に記載されたアクセス制御システ
ム。 - 【請求項13】 情報リソースヘのアクセス要求に付随
して送られてくるデータが予め設定された条件を満たし
ていない場合に、その情報リソースへのアクセス要求を
中断することを特徴とする請求項1乃至請求項12のい
ずれか1項に記載されたアクセス制御システム。 - 【請求項14】 前記予め設定された条件は、前記アク
セス要求のデータサイズの上限を定めたものであること
を特徴とする請求項13に記載されたアクセス制御シス
テム。 - 【請求項15】 前記予め設定された条件は、前記アク
セス要求の文法構造を定めたものであることを特徴とす
る請求項13に記載されたアクセス制御システム。 - 【請求項16】 管理者のユーザ識別子を記憶するリス
トを前記データベースに含み、前記管理者のユーザ識別
子リストに基づいて、特定のユーザを管理者として識別
し、前記識別された管理者に前記データベースの内容の
変更を許可することを特徴とする請求項1乃至請求項1
5のいずれか1項に記載されたアクセス制御システム。 - 【請求項17】 ネットワークに接続されるローカルな
情報リソースへのアクセス制御を行うアクセス制御シス
テムとしてコンピュータを機能させる為のプログラムに
おいて、 正規表現のパターンに属するリソース識別子で識別され
る情報リソースへのアクセス等級を示すアクセス等級リ
ストを参照し、クライアントから受信したアクセス要求
中のリソース識別子が属している正規表現のパターンに
対応したアクセス等級を前記アクセス等級リストから読
み出す正規表現エンジンと、 ユーザ識別子で識別されるユーザに許可されたアクセス
等級に対応したユーザクリアランス等級を示すユーザク
リアランス等級リストを参照し、前記アクセス要求中の
ユーザ識別子に対応するユーザクリアランス等級を前記
ユーザクリアランス等級リストから読み出し、そのユー
ザクリアランス等級が前記読み出したアクセス等級の情
報リソースへのアクセスが許可された等級であるかどう
かに応じて当該アクセス要求を受理または拒否するかを
決定するアクセス要求処理部としてコンピュータを機能
させることを特徴とするプログラム。 - 【請求項18】 ネットワークに接続されるローカルな
情報リソースへのアクセス制御を行うアクセス制御シス
テムとしてコンピュータを機能させる為のプログラムを
記録したコンピュータ読み取り可能な記録媒体におい
て、 正規表現のパターンに属するリソース識別子で識別され
る情報リソースへのアクセス等級を示すアクセス等級リ
ストを参照し、クライアントから受信したアクセス要求
中のリソース識別子が属している正規表現のパターンに
対応したアクセス等級を前記アクセス等級リストから読
み出す正規表現エンジンと、 ユーザ識別子で識別されるユーザに許可されたアクセス
等級に対応したユーザクリアランス等級を示すユーザク
リアランス等級リストを参照し、前記アクセス要求中の
ユーザ識別子に対応するユーザクリアランス等級を前記
ユーザクリアランス等級リストから読み出し、そのユー
ザクリアランス等級が前記読み出したアクセス等級の情
報リソースへのアクセスが許可された等級であるかどう
かに応じて当該アクセス要求を受理または拒否するかを
決定するアクセス要求処理部としてコンピュータを機能
させる為のプログラムを記録したことを特徴とするコン
ピュータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001150925A JP2002342143A (ja) | 2001-05-21 | 2001-05-21 | アクセス制御システム及びその処理プログラムと記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001150925A JP2002342143A (ja) | 2001-05-21 | 2001-05-21 | アクセス制御システム及びその処理プログラムと記録媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002342143A true JP2002342143A (ja) | 2002-11-29 |
Family
ID=18995865
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001150925A Pending JP2002342143A (ja) | 2001-05-21 | 2001-05-21 | アクセス制御システム及びその処理プログラムと記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002342143A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005056007A (ja) * | 2003-08-08 | 2005-03-03 | Fujitsu Ltd | 入力データ制限プログラムおよび入力データ制限方法 |
| JP2011138298A (ja) * | 2009-12-28 | 2011-07-14 | Ntt Data Corp | アクセス制御設定装置、方法及びコンピュータプログラム |
| JP2011138299A (ja) * | 2009-12-28 | 2011-07-14 | Ntt Data Corp | アクセス制御設定装置、方法及びコンピュータプログラム |
| JP4787149B2 (ja) * | 2003-02-14 | 2011-10-05 | オラクル・インターナショナル・コーポレイション | 階層的な役割ベース資格のためのシステム及び方法 |
| KR101874879B1 (ko) * | 2016-11-23 | 2018-07-05 | 엘에스웨어(주) | 데이터베이스 관리 시스템 및 그 방법 |
-
2001
- 2001-05-21 JP JP2001150925A patent/JP2002342143A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4787149B2 (ja) * | 2003-02-14 | 2011-10-05 | オラクル・インターナショナル・コーポレイション | 階層的な役割ベース資格のためのシステム及び方法 |
| JP2005056007A (ja) * | 2003-08-08 | 2005-03-03 | Fujitsu Ltd | 入力データ制限プログラムおよび入力データ制限方法 |
| US7949940B2 (en) | 2003-08-08 | 2011-05-24 | Fujitsu Limited | Program and method for restricting data entry |
| JP2011138298A (ja) * | 2009-12-28 | 2011-07-14 | Ntt Data Corp | アクセス制御設定装置、方法及びコンピュータプログラム |
| JP2011138299A (ja) * | 2009-12-28 | 2011-07-14 | Ntt Data Corp | アクセス制御設定装置、方法及びコンピュータプログラム |
| KR101874879B1 (ko) * | 2016-11-23 | 2018-07-05 | 엘에스웨어(주) | 데이터베이스 관리 시스템 및 그 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6199113B1 (en) | Apparatus and method for providing trusted network security | |
| JP4891299B2 (ja) | Ipアドレスを用いるユーザ認証システム及びその方法 | |
| US7200862B2 (en) | Securing uniform resource identifier namespaces | |
| EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| US9674180B2 (en) | Using identity/resource profile and directory enablers to support identity management | |
| US7581248B2 (en) | Federated identity brokering | |
| US9208336B2 (en) | Extensible markup language document management method and system | |
| US20030145094A1 (en) | Method and system for session based authorization and access control for networked application objects | |
| US8533782B2 (en) | Access control | |
| US10693863B2 (en) | Methods and systems for single sign-on while protecting user privacy | |
| JP2004512594A (ja) | インターネットサイトに対するアクセス制御方法 | |
| KR20010041365A (ko) | 보안 조건의 방법당 지정 | |
| JPH08314863A (ja) | コンピュータネットワークにおけるセキュリティ方式 | |
| CN110708309A (zh) | 反爬虫系统及方法 | |
| JP2005100358A (ja) | サービスの中断なしにセキュリティ境界を横断するプリンシパルの移動 | |
| US7072969B2 (en) | Information processing system | |
| JP2003242119A (ja) | ユーザ認証サーバおよびその制御プログラム | |
| JP2002342143A (ja) | アクセス制御システム及びその処理プログラムと記録媒体 | |
| JP2002083102A (ja) | 電子文書承認方式及びその方法 | |
| US8194625B2 (en) | Wireless LAN device | |
| JP2003303174A (ja) | 端末認証方法および装置 | |
| JP2009206626A (ja) | 名前解決方法、dnsサーバ、クライアント端末、通信システムおよび名前解決プログラム | |
| EP2207125A1 (en) | Access control | |
| JP2000267974A (ja) | ウェブサーバ応答システム、応答方法及び記録媒体 | |
| CN113507450A (zh) | 一种基于参数特征向量的内外网数据过滤方法及装置 |