JP2002528815A - 分散コンピュータネットワーク内でのセキュリティの維持 - Google Patents

Abstract

(57)【要約】 分散された計算環境内のセキュリティを維持するシステムと方法は、セキュリティ方針を管理し且つ分配するサーバ上に配置された方針マネージャ（２１０）と、セキュリティ方針により規定されるように、安全にしうる構成要素へのアクセスを管理するためのクライアント上に配置されたアプリケーションガード（４２６）を有する。好適な実施例では、グローバル方針は、安全にしうる構成要素へのユーザのアクセス権を規定する。方針マネージャ（２１０）は、グローバル方針に基づき、クライアントへ局部クライアント方針（３１８）を分配するのが好ましい。クライアント上に配置されたアプリケーションガード（４２６）は、局部方針（３１８）により規定されるように、安全にしうる構成要素へのアクセスを管理する。

Description

【発明の詳細な説明】

【０００１】 関連出願の参照 本発明は、１９９８年１０月２８日に出願された、発明の名称”分散されたコ
ンピュータネットワーク内のセキュリティを維持するシステム及び方法（Ｓｙｓ
ｔｅｍ Ａｎｄ Ｍｅｔｈｏｄ Ｆｏｒ Ｍａｉｎｔａｉｎｉｎｇ Ｓｅｃｕｒ
ｉｔｙ Ｉｎ Ａ Ｄｉｓｔｒｉｂｕｔｅｄ Ｃｏｍｐｕｔｅｒ Ｎｅｔｗｏｒ
ｋ）”米国仮出願番号６０／１０５，９６３に関連し且つ優先権を主張する。

【０００２】 発明の背景 １．発明の分野 本発明は、一般的には、コンピュータセキュリティシステムに関し、特に分散
されたコンピュータネットワーク内で複雑なセキュリティ要求を管理し且つ、守
らせるためのシステム及び方法に関する。 ２．背景技術の説明 コンピュータセキュリティ問題は、現在のコンピュータシステムの連続的な改
良と共に更に複雑化している。企業が、分散された且つオープンな計算環境を使
用することが増加するにつれて、企業の安全要求は、典型的には、それに従って
増加する。適切な安全を保障しながらの、重要な情報資産への従業員、顧客及び
、パートナーのアクセスの複雑さは、主な障害である。例えば、多くの組織は、
自分自身の内部従業員と、外部のビジネスパートナーに、企業内の秘密に関わる
情報資源へのアクセスを可能とするアプリケーションを分散する。適切なセキュ
リティの手段が無ければ、企業はセキュリティと信頼性の減少の危険を受け得る
。

【０００３】 多くの企業は、外部から内部のネットワークを保護することに関するセキュリ
ティ問題に焦点を当てるが、全企業セキュリティの違反の８０−９０％は、組織
内からであると推定される（出典：Ａｂｅｒｄｅｅｎ Ｇｒｏｕｐ，１９９７年
９月）。これは、更に、企業ネットワーク内で、アクセス制御セキュリティ方針
を規定し且つ強制する必要を強調する。

【０００４】 今日の複雑なビジネス環境では、企業アクセス制御方針を、規定し、開始し、
実行し且つ管理することは、困難であり且つ効率的でない。企業のデータとアプ
リケーションがメインフレームモデルの周りで解決されたときは、企業アプリケ
ーションへのアクセスを定義し且つ管理する問題は、比較的直接的であった。今
日では、ビジネス方法の複雑さと分散されたアプリケーション構造の複雑さは、
企業を、ビジネス処理を実行しようとする上でのアクセス制御へ、マニュアルの
、非効率的な又は、かなり慣習的なアプローチに頼らせる可能性がある。

【０００５】 複雑な且つ分散されたコンピュータシステムを安全にするために、システムは
、典型的には、暗号化、認証及び、認可技術の組合せを採用する。暗号化は、参
加者間で、他の者が情報を読むことを防止する方法で情報を送る手段である。認
証は、相手方の同一性を確認する処理である。認可は、どの動作を参加者が行う
ことを許されているかを決定する技術である。

【０００６】 暗号化と認証は良く理解されており、そして、効果的なネットワークセキュリ
ティ製品を導き、一方、認可技術は、あまり開発されておらず、そして、多くの
企業にとってしばしば適切でない。大部分の企業の今日のセキュリティアプロー
チは、それらのユーザが組織の一員か又は、選択されたグループのメンバーであ
ることを保証するユーザの認証に焦点を当てている。認証は、単純なパスワード
又はチャレンジ応答機構から、指紋リーダのような生物測定学的な装置まで、幾
つかの異なるアプローチで達成できる。しかし、一旦、ユーザが認証されると、
唯一であり且つユーザ間で大きく変わる、特権の組みを管理しかつ守らせるのに
大きな問題がある。同じ認証機構は、各ユーザに対して使用できるが、しかし、
異なる認証機構が大部分のアプリケーションに開発されなければならない。従っ
て、信頼性があり且つ効果的なアクセス制御は、今日の企業が直面している難し
い問題である。

【０００７】 認証機構は、未認証ユーザから情報資源を保護できる幾つかのアクセス制御設
備とともに、動作する。ネットワークセキュリティ製品の例は、ファイアーウォ
ール、ディジタル証明書、バーチャルプライベートネットワーク、及び、単一サ
インオンシステムを含む。幾つかのこれらの製品は、資源レベルの認証に対する
制限されたサポートを提供する。例えば、ファイアーウォールは、アプリケーシ
ョン又は、データベースへのアクセス要求を防ぐが、しかし、アプリケーション
又は、データベース内で、オブジェクトレベルの認可は与えない。単一サインオ
ン（ＳＳＯ）製品は、例えば、認証されたユーザが多くの異なるアプリケーショ
ンに対するログインを管理することによりアクセスできる資源のリストを維持す
る。しかし、ファイアーウォール、ＳＳＯ及び、他の関連する製品は、多くの今
日の企業の高度なセキュリティ方針の特徴を実行する能力に関しては非常に制限
されている。それらは、ログイン又は、本来ビジネスレベルの方針では実行でき
ない、全てか全く無いかのアプローチである”ローンチレベル” でのアクセス
を管理するのに制限されている。

【０００８】 大きな企業内の実世界のセキュリティ方針は、詳細で且つ組織に特定の動的な
知識ベースである。認可権は、企業が重要情報資源について保護する場所に配置
する、ユーザ、アプリケーション、パートナー、及び、グローバル方針の常に発
展する組みに特定である。大企業内のセキュリティ方針は、どのユーザが、特定
のアプリケーションへのアクセスを、種々の動作を行うことを、又は、代理の管
理及び、タスクの転送を認可されているかをカバーする、数十から数千の個々の
規則よりなる。企業のビジネス習慣を実行する多くのこれらの方針規則は、カス
タムで作られるアプリケーションでハード符号化され又は、データに蓄積されな
ければならない。

【０００９】 重要な問題は、これらの方針規則は局部化され、組織を通して配布され且つア
プリケーション内に埋め込まれることである。そのような埋め込みは高価でエラ
ーしがちであり、そして、効果的な方針の更新を弱める。組織は、効果的に結果
の方針を実行し且つ管理できない。一貫性のないことが発生し、且つ更新はすぐ
に管理不能となる。全体の面からの方針質問と分析は、ほぼ不可能となる。結果
の方針は組織の意図されたビジネス習慣から離れ始める。部門レベルでの方針実
行に妥協がなされ、そして、監査者はすぐにいらいらさせられる。

【００１０】 インターネットとエクストラックネットアプリケーションを含む分散計算の拡
散に関連する増加するセキュリティの危険性は、多くの企業を、重要な情報資産
へのアクセスを制御する、広範囲なセキュリティの解決方法を探すことを促進す
る。しかし、組織は、（ネットワーク又は個々のアプリケーションへのアクセス
を得ようとする者を決定し確認するユーザを認証するための幾つかの解決方法を
選択することを有するが）、現代の組織により要求される幾つかの複雑なセキュ
リティ方針そ実行するのに必要な、どのユーザが実行ことができ且つ、いつ実行
することができるかを制御する場合の選択はあまりない。組織は、コストの係る
エラーしがちで、管理が困難な従来の認可の解決方法又は、アプリケーションと
データベースに亘った情報へのアクセスを制御する能力が非常に限られた第３者
の解決方法の間の選択をしなければならない。

【００１１】 大きな組織内の実世界のセキュリティ方針は、いつどのような状況で行うこと
が許されているかと、どのユーザが、特定のアプリケーションにアクセスするこ
と、種々の動作を行うこと又は、代表を管理し及び、タスクを転送することが認
可されているかを決定する、詳細で且つ組織に特定の動的な知識ベースである。
認可権は、ユーザ、アプリケーション、パートナー及び、企業のセキュリティ方
針を妥協するビジネス方針の常に発展する組みに依存する。典型的な企業環境は
、数千のユーザ、数百及び、アプリケーション及び、無数のネットワーク資源よ
りなり、セキュリティ方針は数十から数千の相互に関係のある方針規則よりなる
結果となる。

【００１２】 典型的には、組織は、アプリケーション内でハード符号化された方針規則を通
して又は、データベース内に蓄積された手順文を通して、存在するアプリケーシ
ョンの内部へのアクセスを制御使用とする。しかし、幾つかのアプリケーション
とデータベースは成長するので、この認可のパッチワークアプローチはすぐに手
を離れる。最初に、組織は、各アプリケーションに対して特化されたセキュリティコート゛ を開発するコストと時間のかかるオーバーヘッドを行わなければならない。しか
し、更に重要なことは、一旦コードが開発され且つアプリケーションに埋め込ま
れると、組織を亘って配布されるので、埋め込まれた方針規則は追跡が困難とな
り、更新が困難となり、そして、管理がほぼ困難となる。

【００１３】 全セキュリティ違反の推定８０パーセントは、認可されたユーザから生じ（Ｆ
ｏｒｒｅｓｔｅｒ Ｒｅｓｅａｒｃｈ）、進歩した方針特徴と強制機構が、秘密
に関わる情報資産へのＳ癖すを制御するのに必要である。企業の方針を実行する
のに、組織は適切なアクセス制御セキュリティを与える方針規則を規定する集中
化された方針と強力な方法を必要とする。同時に、現代の分散されたネットワー
ク環境に性能とスケーラビリティを有する全てのアプリケーションへ認証サービ
スを提供する、分散された認証インフラストラクチャを必要とする。

【００１４】 従って、前述の理由により、改善されたシステムと方法が、貴重な情報資産へ
の未認可のアクセスに対して、組織の複雑なセキュリティ方針要求を管理し且つ
強制することにより、企業の分散されたネットワークを保護するのに必要である
。

【００１５】 発明の概要 本発明に従って、分散されたコンピュータネットワーク内のコンピュータシス
テムに対する複雑なセキュリティ要求を管理し且つ強制するシステムと方法が開
示される。

【００１６】 従って、本発明の目的は、アプリケーション内の良く定義され詳細なオブジェ
クトの、ユーザによる個々の処理を管理できるアクセス制御システムを提供する
ことである。また、本発明の目的は、企業アクセス制御方針の形成、変更、質問
及び、分析ができ、統合された監査ログの設定と監視ができ、一方、企業の要求
に合う性能とスケーラビリティを提供する、方針マネージャを提供することであ
る。更に本発明の目的は、集中管理方針データベースと、組織内の全てのアプリ
ケーションに方針を強制する分散された認可（アクセス制御）サービスを組み合
わせるシステムを提供することである。

【００１７】 また、本発明の目的は、ディジタル署名とスマートカードを含む認証システム
と共に動作し且つ、組織に、誰がどのアプリケーション、データベース及び、他
のネットワークオブジェクトにアクセスできるかの詳細な動的な規則を設定させ
ることにより、単一サインオンシステムの要求を除去する、システムを提供する
ことである。本発明の更なる目的は、組織内の全アプリケーションとデータベー
スを亘った多種の環境で実行でき、それによって、アプリケーション内の埋め込
みカスタムセキュリティコードの必要を除去し且つ、全アプリケーションデータ
ベース及び、ネットワーク資源に対して一貫した、ロバストセキュリティ方針を
管理し且つ運営することを可能とする、ロバストリームセキュリティ方針と認可
サービスを提供することである。更に、組織はもはや、内部の又は第３者の製品
を統合しない、パッケージ化された又は、ウェブアプリケーションベンダーによ
り提供される認可機構に頼らない。

【００１８】 好適な実施例では、システムは、全体セキュリティ方針に基づく局部クライア
ント方針を管理し且つ配布するサーバ上に配置された方針マネージャと、局部方
針により規定されるように安全にしうる構成要素へのアクセスを管理する１つ又
はそれ以上のクライアントに関連するクライアント又は、サーバに配置されたア
プリケーションガードとを有する。グローバル方針は、安全にしうる構成要素ア
クセス権を規定する。方針マネージは、グローバル方針に基づきクライアント又
はサーバへ局部クライアント方針を配布する。クライアント又はサーバへ配置さ
れたアプリケーションガードは、局部クライアント方針に規定されたように、安
全にしうる構成要素への認可要求を管理する。各認可要求は、それらが、認可さ
れたか又は拒否されたか及び、他の有益な情報かを、認可要求の追跡を保持する
監査ログ内に記録されうる。

【００１９】 本発明のシステムと方法は、集中化された管理と分散された認可をサポートす
る。中央方針サーバは、集中的に管理されたデータベースに、方針規則を蓄積し
且つ管理する。強力なグラフィックユーザインターフェースが方針の要素を形成
し、管理し且つ特化するのに使用される。セキュリティ規則は、初心者と専門化
ユーザの両方により規定できる。専用の認可サービスは１つ又はそれ以上のアプ
リケーションに関連する。中央方針サーバは自動的に、各遠隔サービスへ、企業
方針の関連する部分のみを（ネットワークを介して）配布する。この分散された
機構は、アプリケーションの又は関連する方針規則の数に関わらず、認可要求は
中央サービス点でボトルネックとならず、且つ、制限されない「スケーラビリテ
ィと最大性能を保証する。

【００２０】 アプリケーションが情報への各アクセス毎に、各処理中に及び各データ要求毎
に、アクセス権を評価する能力を有するので、更に高度なセキュリティ方針は可
能である。

【００２１】 従って、本発明は、更に効率良く且つ効果的に、コンピュータアプリケーショ
ン、データベース及び、ネットワーク資源を、分散されたコンピュータネットワ
ーク内の未認可のアクセスから管理し且つ保護する。

【００２２】 好適な実施例の詳細な説明 本発明は、未認可のアクセスに対するコンピュータシステムを保護するセキュ
リティ技術の改善に関する。以下の記載は、当業者が本発明を実行し使用するこ
とができるように示され、且つ特許出願及びその要求の状況で提供される。当業
者には好適な実施例の種々の変更は容易に明らかであり、そして、この一般的原
理は他の実施例にも容易く適用できる。

【００２３】 本発明は、示された実施例には制限はされず、ここで記載の原理と特徴に一貫
した最も広い範囲に一致する。

【００２４】 本発明は、分散コンピュータネットワーク内の複雑なセキュリティ要求を管理
し守らせるためのシステムと方法を含み。クライアントへの方針を管理し且つ配
布するサーバ上に配置された方針マネージャと、クライアント上に配置されたア
プリケーションガードとを有し、アプリケーションガードは、方針により規定さ
れるように、クライアントの種々の構成要素へのアクセスを許可し又は、拒否す
る。

【００２５】 図１を参照すると、本発明に従った、ネットワーク１１４を介してクライアン
ト１１６に接続されたサーバ１１２を含む、分散されるコンピュータネットワー
クシステム１１０の実施例のブロック図が示される。１つのクライアント１１６
が示されるが、サーバ１１２は典型的には、多くのクライアント１１６が接続さ
れる。図１の実施例では、サーバ１１２は、好ましくは、中央処理ユニット（Ｃ
ＰＵ）１１８、読出し専用メモリ（ＲＯＭ）１２０、ランダムアクセスメモリ（
ＲＡＭ）１２２、不揮発性メモリ１２４、入力装置１２６、及び、ディスプレイ
１２８を有し、全てはバス１３０に接続されている。

【００２６】 同様にクライアント１１６は、好ましくは、好ましくは、中央処理ユニット（
ＣＰＵ）１３２、読出し専用メモリ（ＲＯＭ）１３４、ランダムアクセスメモリ
（ＲＡＭ）１３６、不揮発性メモリ１３８、入力装置１４０、及び、ディスプレ
イ１４２を有し、全てはバス１４４に接続されている。

【００２７】 サーバ１１２は好ましくは、方針又は規則の組みを管理し且つそして、方針を
クライアント主メモリ１１６へリンク１１４を介して配布するための、不揮発性
メモリ１２４に蓄積されたプログラムを有する。クライアント１１６は好ましく
は、サーバ１１２から配布された方針により規定されるようにクライアント１１
６の種々の構成要素又は資源へのアクセスを許可又は、拒否するために、不揮発
性メモリ１３８に蓄積されたプログラムを有する。例えば、クライアント１１６
の種々の構成要素又は、資源は、アプリケーション、アプリケーション内の機能
又は手順、アプリケーション内のデータ構造及び、アプリケーションにより参照
されるデータベース又はファイルシステムオブジェクトを有することができる。

【００２８】 図２を参照し、図１のサーバ１１２内に配置された不揮発性メモリ１２４の実
施例のブロック図を示す。図２の実施例では、不揮発性メモリ１２４は、方針を
管理し配布する方針マネージャ２１０を含む。方針は、アプリケーションとデー
タベースに対するセキュリティ要求を規定する。方針は、どのアプリケーション
を特定のユーザがアクセスできるか、アプリケーション内のどのオブジェクト（
動作）をユーザがアクセスできるか及び、これらの特権がどのように時間、地理
又は、外部イベントにより制約されるかを含む制約を記述する数千の”セキュリ
ティ規則”を含む。一般的には、方針又は、認可方針は、アプリケーションとそ
の動作の両方へのアクセスを規制すべきである。方針はグループと階層に一般化
され、個々のユーザに対しては規定されない。これは、管理性を非常に改善し、
かつ、更に分かりやすいビジネスレベルの方針をもたらす。

【００２９】 認可方針は好ましくは、オブジェクト、主体、特権、及び、条件の４つの構成
要素よりなる。オブジェクトはアプリケーションであるか、又は、アプリケーシ
ョン内の動作である。オブジェクトの例は、アプリケーション又は、メソッド、
ウェブページ、データベーステーブル又は、大る及び、グラフィックユーザイン
ターフェースのメニュー項目を含む。オブジェクトの粒状性は、達成されるセキ
ュリティのレベルに直接の影響を有する。オブジェクトに情報が少ないと、ユー
ザはユーザのジョブ機能を実行するのに必要な情報へあまりアクセスしない。一
方、オブジェクトの粒状性がセキュリティ管理の容易さに対して均衡されるべき
である。オブジェクトが更なる情報を有すると、保護されるべきオブジェクトは
少なく、そして、方針も少ない。

【００３０】 オブジェクトは好ましくは、オブジェクト階層に組織化され。オブジェクトが
アプリケーションを表す場合には、子オブジェクトは、アプリケーションのメソ
ッドを表す。同様に、オブジェクトがデータベースを表す場合には、子オブジェ
クトはデータベース内のテーブルとビューを表す。

【００３１】 ユーザが特定の特権を親オブジェクトに許可する場合には、それは、自動的に
全ての子オブジェクトに特権を許可する。同様に、ユーザが特定の親オブジェク
トに関する特権を拒否された場合には、自動的に全ての子オブジェクトに特権が
拒否される。オブジェクト階層を通して受け継いだ特権は、同じ特権を各子オブ
ジェクトに許可するよりも、特権が親オブジェクトに許可され且つオブジェクト
の特権が変化したときに、全ての子オブジェクトはオブジェクトに対する同じ変
更が自動的に反映されるので、セキュリティ管理を容易にする。

【００３２】 主体は、保護されたオブジェクトにアクセスするユーザ又は、ユーザを含む役
割である。主体は、システム内の情報にアクセスするユーザに対応する。ユーザ
は、システムの内部又は、外部のいずれかである。ユーザはジョブ機能を実行す
るために、情報へのアクセスを認可される。そのようなアクセスは、ユーザがジ
ョブ機能を行うのに必要な情報へのみにアクセスするように制御される。

【００３３】 アプリケーション又はデータベースのようなオブジェクトは、典型的には、ユ
ーザのリストを有する。これらは、時々外部認証サーバを通して、オブジェクト
にログオンでき且つ、オブジェクトにより認可されるユーザである。大きなシス
テム内では、ユーザは、１つ又はそれ以上のディレクトリサーバ毎に別々に、維
持されるのが好ましい。ユーザは、オブジェクト又は、ディレクトリサーバから
抽出されそして、これらのオブジェクトとディレクトリサーバを同期することに
より更新が維持されるのが好ましい。

【００３４】 エイリアスユーザもサポートされる。ユーザのエイリアスは、特定の条件の下
で、ユーザの全ての特権を受け継いだ他のユーザである。エイリアスは、特権の
伝搬の制御の良い粒状性を提供することにより認可管理を容易にする。例えば、
ユーザのエイリアスは、ユーザがいないときにユーザのジョブを行うために形成
できる。特権の承継は、ユーザがいないときに効果的である。エイリアスは、代
理のビジネス要求を行い、そこでは、ユーザの特権は、特定の条件の下で、他の
ユーザへ代理される。エイリアスを通した特権の条件付承継は、特定の条件が満
足されるときに、特権の伝搬を制限するので、セキュリティ管理の付加を軽くす
る。

【００３５】 オブジェクトのユーザは、そのオブジェクトへ局部的に定義され得る。典型的
なシステムでは、同じユーザが、異なるオブジェクトで異なるログイン名により
しばしば表される。このシステムは、この状況を捕捉するために、”グローバル
”ユーザの概念をサポートする。各グローバルユーザは、オブジェクト毎に局部
ユーザの組にマップされる。グローバルユーザは、異なるオブジェクトで異なる
名前で識別されても、システムを通してのユーザの集中化された管理を容易にす
る。

【００３６】 特権は、オブジェクトに許されているある種のアクセスを定義する。好適な実
施例では、特権は、特定のオブジェクトに特定の動作を行う権利である。オブジ
ェクトに適用されるこの種の特権は、オブジェクトの形式に依存する。特権の例
は、アプリケーションを実行する権利、ウェブページをダウンロードする権利、
データベーステーブルに質問する権利、又は、メニュー項目を見る権利を含む。

【００３７】 特権は、ユーザに許可され、それにより、ユーザのジョブに対する要求を達成
できる。特権はユーザがタスクを達成するのに絶対的に必要なときにもにユーザ
に許可されるべきである。不要な特権の過度の許可は、妥協されたセキュリティ
を導く。ユーザは異なる２つの方法で、特権を受ける。特権は、ユーザに明白に
（例えば、ユーザＳＭＩＴＨはペイロールアプリケーションの実行を許可される
ことができる）許可されるか又は、特権は役割（特権グループ）に許可され、そ
して、それから一人又はそれ以上のユーザに（例えば、役割名”社員”はペイロ
ールアプリケーションの実行を許可されることができ、ユーザＳＭＩＴＨは社員
の役割を許可され得る）許可される。

【００３８】 役割は、ユーザ又は、他の役割に許可された特権の名前のグループである。役
割はしばしば、ジョブ機能を実行するのに必要な特権の組みを表すのに使用され
る。

【００３９】 役割のメンバーは自動的に役割に許可された又は、拒否された特権の全てを受
け継ぐ。更に、役割は、役割階層に組織化され、ここで、親の役割は子の役割に
許可される。親の役割が許可された特権ならば、子の役割も自動的に許可された
特権である。同様に、役割が特権を拒否されたならば、この役割も自動的に特権
を拒否される。

【００４０】 オブジェクトの役割はそのオブジェクトに局部的に定義されてもよい。典型的
なシステムでは、同じ役割がしばしば、異なるオブジェクトの異なる名前により
あらわされる。このシステムは、この状況を捕捉するために”グローバル”役割
の概念をサポートする。各グローバル役割は、オブジェクト毎に局部役割の組に
マップされる。グローバル役割は、異なるオブジェクトで異なる名前で識別され
ても、システムを通しての役割の集中化された管理を容易にする。

【００４１】 役割メンバシップは、更に、相互排他に概念により制約される。２つの役割は
、単一ユーザが同時に２つの役割に許可されないならば、相互に排他的である。
役割相互排他は、義務の分離のビジネス要求を実行する。例えば、ｓｕｂｍｉｔ
＿ｂｕｄｇｅｔ役割とａｐｐｒｏｖｅ＿ｂｕｄｇｅｔ役割は、両動作を行うこと
を同時にはどのユーザも認可されないので、相互に排他的であるべきである。

【００４２】 典型的な方針では、許可規則と拒否規則の２つの形式のアクセス規則がある。
許可規則は、オブジェクトに関する特権は、選択的な制約の下で主体に許可され
る。拒否規則は、オブジェクトに関する特権は、選択的な制約の下で主体に拒否
される。更にワイルドカード”どの”は特権、オブジェクト、主体として使用さ
れ、その場所で正当な値が代理されうる。

【００４３】 アクセス要求は特権、オブジェクト、及び、主体よりなることが好ましく、主
体は、オブジェクトに関する特権の認可を要求すると言うことを表す。特権、オ
ブジェクト、及び、主体が規則内のそれらと一致しそして、規則内の制約は”真
”と評価する場合には、アクセス要求は、許可規則に一致する。特権、オブジェ
クト、及び、主体が規則内のそれらと一致しそして、規則内の制約は”偽”と評
価しない場合には、アクセス要求は、拒否規則に一致する。

【００４４】 要求が拒否規則と一致し又は、アクセス規則が要求と一致しない場合には、ア
クセス要求は拒否される。要求が拒否規則と一致せず又は、許可規則が要求と一
致する場合には、アクセス要求は許可される。

【００４５】 条件は、オブジェクトと主体がサクセスされ得る時には、制約が定義される。
アクセス規則内の制約は、アクセス規則が適用可能なときに更なる要求を規定す
る。これらの要求は、オブジェクト又は、主体の特徴に関して条件が付される。

【００４６】 制約は、条件から形成された式と、ブール演算子ＮＯＴ、ＡＮＤ、及び、ＯＲ
であることが好ましい。１）整数に対して関係演算子、＝、＜＞、＜、＜＝、＞
、＞＝、２）文字列に対して関係演算子、＝、＜＞、ＬＩＫＥ、ＮＯＴＬＩＫＥ
（演算子ＬＩＫＥは文字列とパターンを取り出し、そして、文字列がパターンと
位置する場合には真であり、演算子ＮＯＴＬＩＫＥはＬＩＫＥの否定である）、
３）設定演算子ＩＮ，ＮＯＴＩＮ（整数に関する演算子ＩＮは整数を取りそして
整数を設定しそして、”真”と評価し、文字列のＩＮは同様に定義され、そして
演算子ＮＯＴＩＮはＩＮの否定である）の、３種類の組み込み条件が使用され得
る。

【００４７】 組み込み条件に加えて、システム１１０のユーザは、カスタム評価関数を宣言
でき、それは、カスタマー定義の条件である。システム１１０は、カスタム評価
関数を評価するカスタマーが供給するコードを呼出すための、アプリケーション
プログラミングインターフェース（ＡＰＩ）を提供する。例えば、教化関数はオ
ブジェクトのある特性を有効にするために、遠隔データベースをアクセスできる
。他の評価関数は、主体を認証するために外部サーバを呼出すことができる。

【００４８】 図２の実施例を参照するっと、方針マネージャ２１０は、方針マネージャ２１
０を動作させる管理プログラム２１２と、局部クライアント方針をクライアント
へ分配する分配器２１４、認可要求を追跡するロガープログラム２１６及び、方
針データファイルを維持するデータベース管理システム（ＤＢＭＳ）２１８を有
することが好ましい。方針マネージャ２１０は、認可要求を記録する監査ログデ
ータファイル２２０、最適化された方針データファイル２２２、企業方針データ
ファイル２２４、管理方針データファイル２２６及び、局部管理方針データファ
イル２２８を含むことが好ましい。方針マネージャ２１０の内容と動作は、更に
以下で図４，８，９，１０，１１及び、１２を用いて説明する。

【００４９】 図３を参照すると、図１のクライアント１１６内に配置された不揮発性メモリ
１３８の１つの実施例のブロック図を示す。図３の実施例では、不揮発性メモリ
１３８は、所定の方針により規定されるように、クライアント１１６の種々の構
成要素へのアクセスを許可又は拒否するアプリケーションガード３１０を含むこ
とが好ましい。例えば、クライアント１１６の種々の構成要素は、アプリケーシ
ョン、データ、及び/又はオブジェクトを含むことができる。図３の実施例では
、アプリケーションガード３１０は、少なくとも１つのアプリケーション３１２
、認可ライブラリプログラム３１４、認可エンジンプログラム３１６及び、局部
クライアント方針３１８を有することが好ましい。アプリケーションガード３１
０の内容と動作は更に以下で図５，１３及び、１４により説明する。

【００５０】 図４を参照すると、図２の不揮発性メモリ１２４内に配置された方針マネージ
ャ２１０に１つの実施例のブロック図を示す。好適な実施例では、方針マネージ
ャ２１０はシステムユーザに、集中化管理されたセキュリティ方針又は、企業方
針２２４を、実行し、分析し、編集し且つ更新することを可能とする。図４の実
施例では、方針マネージャ２１０は、管理コンソール又は、管理局２１２、デー
タベース管理システム２１８、監査設備又は、ロガー２１６及び、分配器２１４
を有することが好ましい。

【００５１】 図４の実施例では、管理局２１２は、システムユーザにより、規則を形成し且
つカスタム課するためのグラフィックユーザインターフェース（ＧＵＩ）４１０
を有することが好ましい。管理局２１２は、複数のユーザによる同時の規則の開
発をサポートする。各方針規則は、１）保護されるオブジェクト、２）アクセス
権、３）特権が適用されるブローバル又は局部ユーザ、４）一日の時間又は、位
置のような基準やカスタム定義の基準を含む、特権が許可又は拒否される条件の
、４つの基本構成要素を有することが好ましい。

【００５２】 グラフィックユーザインターフェース（ＧＵＩ）４１０は、ユーザフレンドリ
ーな組みのメニューオプション又は、方針マネージャを完全に動作できる管理サ
ービス４１２を提供する。メニューオプションにより制御されるプログラムは、
ナビゲーション４１４、サーチ４１６、配布４１８、編集４２０、質問４２２及
び、ログビューアー４２４を有する。これらのプログラムの動作は以下で図８，
９，１０，１１及び、１２を用いて説明する。ＧＵＩの代わりとして、管理サー
ビスは、プログラムが人間の操作と同じ機能を行うことを可能とする、ＡＰＩを
通してアプリケーションから動作可能である。好適な実施例では、管理局は、管
理局２１２を動作する認可された管理者のみに許されたアプリケーションガード
４２６も有する。局部管理方針２２８は、どのユーザが管理局２１２にアクセス
することを許されているかを規定する方針規則の組を提供する。

【００５３】 方針規則が管理局２１２を使用して形成され又は、変更された後に、適切なク
ライアント１１６へそれらが配布される。管理局２１２は、システム１１０内の
種々の他の構成要素間で情報を送るために、通信インターフェース４３４を有す
る。

【００５４】 方針規則が配布される前に、パーサー／形式チェッカー４２８は、所定の方針
言語に従って文法的に且つ語義的に正しいかを確認するために、方針規則を見な
おし且つ最構成する。方針規則は企業方針２２４として蓄積される前にデータベ
ース層（ＤＢ層）４３０とオープンデータベース接続性層（ＯＤＢＣ）４３２を
通過する。ＤＢ層４３０は、方針規則を標準データベース蓄積テーブルにフォー
マットし、そして、ＯＤＢＣ４３２は、種々のベンダーに特定のデータベースに
共通インターフェースを提供する。

【００５５】 企業方針２２４は、分配器２１４に送られる。分配器２１４内の最適化プログ
ラム４３６はどのアプリケーションガード３１０がどの方針規則を受信する必要
があるかを決定する。異なるプログラム４３８は、変化の何の形式が最適化され
た方針２２２に行われたかを決定し、そして、適切なアプリケーションガード３
１０へＯＤＢＣ層４４０と通信インターフェース４４２を通して、局部アプリケ
ーション又はデータにアクセス制御を強制する、変化された方針規則又は、局部
クライアント方針３１８のみを分配する。

【００５６】 アプリケーションガード３１０は、種々のクライアント１１６間で分散される
ことができるので、各アプリケーションガード３１０は、自身の特定の局部クラ
イアント方針３１８を有し、システムはスケーラビリティを提供する。

【００５７】 分配器２１４は、管理局２１２内でアプリケーションガード４２６と共に使用
するために、管理方針２２６を、最適化された管理方針又は、局部管理方針２２
８へ最適化するのに使用される。

【００５８】 図５を参照し、図３に示す、不揮発性メモリ１３８内に配置されたアプリケー
ションガード３１０の１実施例のブロック図を示す。アプリケーションガード３
１０は、企業を通して、クライアント１１６上に分散され、そして、関連するア
プリケーションガード３１０を有する保護されたアプリケーションの各々と共に
あるように指定される。

【００５９】 アプリケーションガード３１０は、アプリケーションが認可サービスを知り且
つ各々の且つ各ユーザ相互動作、データ要求又は、ビジネスレベル取引で認可要
求を行うことを可能とすることにより取引アクセス制御をサポートする。更に加
えて、認可サービスはアプリケーション内の名前の付された方針オブジェクトへ
見えるので、アプリケーションガード３１０の設計と統合はアプリケーション内
のビジネスレベルオブジェクトへアクセス制御を提供するのに基本的である。

【００６０】 図５の実施例では、アプリケーションガード３１０はアプリケーション３１２
、高レベルアプリケーションプログラミングインターフェース（ＡＰＩ）又は、
アプリケーション３１２にアプリケーションガードインターフェース５１２を通
して必要な認可サービスを要求することを可能とする、認可ライブラリー３１４
を通して、統合されるのが好ましい。典型的には、これは、制御ユーザ相互動作
又はデータベースアクセスのための、アプリケーション３１２内のキーポイント
で認可要求を含むことにより、非常に素早くなされ、それによって、各層誤動作
は最小の開発内で保護される。

【００６１】 図５の実施例では、認可要求は、認可エンジン３１６で処理される。パーサ／
形式チェッカー５１４は、局部クライアント方針３１８を分析し、そして、分析
した局部クライアント方針をＲＡＭ１３６へ蓄積する。評価器５１６は認可要求
が許可されるべきか拒否されるべきかをＲＡＭ１３６内の分析された局部クライ
アント方針と共に認可要求を評価することにより決定する。認可エンジン３１６
内のプラグイン５２２は、カスタム化されたコードに基づき認可要求を処理し且
つ評価する能力を付加することを可能とする。各認可要求は、監査ログ５１８内
に記録され、そして、通信インターフェース５２０を介してロガー２１６へ伝送
される。

【００６２】 ユーザは、アプリケーション３１２と同じシステム上で実行されるサービスと
して又は、他のサーバへ遠隔手順呼出しを通して遠隔認可サービスとして、アプ
リケーション３１２に局部的にアプリケーションガード３１０を実行する選択を
有する。後者の優位点は、認可サービスを扱うことからアプリケーションサーバ
の負荷を下げ又は、単一認可サーバが多数のアプリケーションを扱うことを可能
とする。局部実行は、最大性能を提供し、且つネットワークトラフィックオーバ
ーヘッドを最小化する。

【００６３】 図５から分かるように、アプリケーションガード３１０は、安全にしうる構成
要素へのアクセスを要求するアプリケーション３１２へ結合されたアプリケーシ
ョンガードインターフェース５１２を有する。アプリケーションガード３１０は
、局部クライアント方針３１８により規定されるように、アプリケーションガー
ドインターフェース５１２からの要求を評価する少なくとも１つの認可エンジン
３１６も有する。複数の認可エンジン３１６は、追加される性能と信頼性のため
に使用され得る。更に、アプリケーションガードインターフェース５１２は、認
可エンジン３１６と局部クライアント方針３１８をクライアントサーバ上に配置
しながら、クライアントコンピュータ上に配置できる。

【００６４】 本発明のアプリケーションガード認可サービスは、現存するアプリケーション
３１２へ性能上のオーバーヘッドを何も実質的に持ちこまない。方針マネージャ
２１０で発達させられた方針規則は、目標のアプリケーションガード３１０へ配
布される前に、最適化された形式にコンパイルされる。この最適化された形式の
みがアプリケーションガード３１０に関連する属性を配布し、それによってアク
セス要求は、潜在的に大きな方針規則基準を分析することよりもいくつかの規則
のみを再度見ることにより評価されうる。

【００６５】 図４に戻ると、ロガー２１６は、認可エンジン３１６から通信インターフェー
ス４５２とＯＤＢＣ４５４を通して、クライアント監査ログ４５０を優位に受信
する（図５）。クライアント監査ログ４５０は、そして、監査ログ２２０に蓄積
される前に、メッセージ処理４５６によりフォーマットされる。監査ログ２２０
は管理局２１２内のログビュー４２４を介して監視される。

【００６６】 図６に戻ると、方針ローダ６１０の１つの実施例のブロックが示されている。
図６では、方針規則は、管理局２１２を介して企業方針データベース２２４へ１
つずつ入力される（図４）か又は、方針規則は、代わりに方針ローダ６１０を介
してバッチ処理でロードされる。方針ローダ６１０は、現存する方針規則の組み
を、企業方針データベース２２４へバルクロードする追加のユーティリティであ
る。現存する方針規則の組みは、入力６１２を介して、方針ローダ６１０へ入力
される。そして、パーサ／形式チェッカー６１４は、所定の方針言語に従って、
文法的に且つ語義的に正しくすることを保証するために、再構成された方針規則
を見直し且つ再構成する。方針規則は、そして、企業方針データベース２２４に
蓄積される前に、ＤＢ層６１６とＯＤＢＣ６１８を通して送られる。

【００６７】 図７を参照して、本発明の１つの実施例に従ってシステムを設定する方法ステ
ップのフローチャートを示す。最初に、ステップ７１０で、システム管理者が、
サーバ１１２上に方針マネージャ２１０をインストールする。インストールは、
管理局２１２、分配器２１４、ロガー２１６及び、ＤＢＭＳ２１８を有する。方
針マネージャ２１０の全ての構成要素がインストールされた後に、システム管理
者は、方針規則を入力する。ステップ７１２では、管理者は、方針規則を入力す
るのに、方針ローダ６１０を使用するか又は、管理局２１２を使用するかを決定
する。システム管理者が、管理局２１２を使用すると決定する場合には、ステッ
プ７１４で、方針規則は編集機能４２０を使用して入力される。しかし、方針ロ
ーダ６１０が使用される場合には、ステップ７１６で、昇進規則はファイルに入
力され、そして、ステップ７１８で、方針規則のファイルは方針ローダ６１０へ
進む。

【００６８】 次にステップ７２０で、システム管理者は、クライアントシステム１１６上へ
アプリケーションガード３１０と局部クライアント方針３１８をインストールす
る。そして、ステップ７２２で、システム管理者は、局部クライアント方針３１
８へ、カスタムかされたコードに基づき認可要求を処理するために、追加の能力
を可能とする、プラグイン５２２を局部クライアント方針３１８へ登録する。

【００６９】 図８を参照し、管理局２１２内で管理サービス４１２の下で方針を管理するた
めの１つの実施例のフローチャートを示す。方針規則の複雑な組みを可能とする
ために、実行と管理を容易にする、幾つかの異なる機能的な特徴がシステム１１
０に組み込まれる。

【００７０】 図８の実施例では、ステップ８１０で、認可された管理者は、方針マネージャ
２１０へログインする。次に、ステップ８１２で、認可された管理者は、管理的
モードと企業的モードの間の選択を行う。管理的モードは、システム管理者が、
管理方針２２６を管理することを可能とし、そして、企業モードは、システム管
理者が企業方針２２４を管理することを可能とする。システム管理者は、ツリー
の操作８１４、方針の分析８１６、方針の編集８１８、方針の配布８２０、監査
ログを見る８２２及び、終了８２４の、６つのメニューオプションが提示される
。ツリーの操作８１４、方針の分析８１６、方針の編集８１８、方針の配布８２
０は、それぞれ、図９，１０，１１及び、１２に更に詳しく説明される。監査ロ
グを見る８２２は、システム１１０に接続されたいずれかのアプリケーションガ
ード３１０で発生した全ての認可要求を見て且つ追跡することを管理者に可能と
するセキュリティ特徴である。システム管理者は、どのメニューオプションも選
択でき又は、ステップ８２４で、システムを終了できる。

【００７１】 図９を参照し、管理局２１２内の、メニューオプションのツリーの操作８１４
を示す。ツリーの操作８１４は、サーバ１１２又はクライアント１１６に追加、
削除及び/又は変更を行うことを、管理者に可能とするオプションの組みを提供
する。管理者が追加、削除及び/又は変更をしうる特徴は、グローバルユーザ９
１０、グローバル役割９１２、ディレクトリ９１４、局部役割９１６、局部ユー
ザ９１８、アプリケーション９２０、アプリケーションガード９２２及び、宣言
９２４を含む。ステップ９２６で、システム管理者は、ツリーの操作８１４を終
了する。

【００７２】 図１０を参照し、管理局２１２内の、メニューオプションの方針の分析８１６
の１つの実施例のフローチャートを示す。方針の分析８１６は、認可されたユー
ザが、企業方針データベース２２４内の規則と方針を分析し且つ見ることを可能
とする。ステップ１０１０で、ユーザは、サーチ規則のオプションを有し又は、
ステップ１０１２で、方針の質問へのオプションを有する。サーチ規則が選択さ
れたときには、サーチは、特定のユーザに関係する、全ての許可規則又は全ての
拒否規則に関してなされる。方針の質問が選択されたときには、どの条件下のど
のオブジェクトに関する何の特権が誰に許可され又は拒否されたかに関して、サ
ーチを行うことができる。

【００７３】 規則又は方針を分析しと見た後に、ステップ１０１４でシステム管理者は、方
針の分析８１６を終了する。

【００７４】 図１１を参照し、管理局２１２内の、メニューオプションの方針の編集８１８
の１つの実施例のフローチャートを示す。方針の編集８１８は、認可されたユー
ザが、企業方針データベース２２４の特徴を、追加、削除及び/又は変更をする
ことを可能とする。編集されうる特徴は、規則セット１１１０、アクセス１１１
２、特権１１１４、オブジェクト１１１６、ユーザ／役割１１１８及び、属性１
１２０である。ステップ１１２２で、システム管理者は、方針の編集８１８を終
了する。

【００７５】 図１２を参照し、管理局２１２内の、メニューオプションの方針の配布８２０
の方法ステップの１つの実施例のフローチャートを示す。企業方針データベース
２２４の変更された特徴が、適切なアプリケーションガード３１０へ配布される
ように、企業方針データベース２２４が最初に入力又は変更される。ステップ１
２１０で、方針の配布オプションの選択に際し、分配器２１４は企業方針データ
ベース２２４を最適化する。そして、ステップ１２１２で、ディファー４３８は
、新たに最適化された方針と最適化された方針２２２の間の差を計算するのが好
ましい。ステップ１２１４で、新たに最適化された方針は、ＤＢＭＳ２１８内の
最適化された方針２２２として、発行される。次にステップ１２１６で、最適化
された方針２２２の変更された部分のみが、適切なアプリケーションガード３１
０へ約束される。ステップ１２１８で、アプリケーションガード３１０は、変更
された方針を受信し、そして、ステップ１２２０で、アプリケーションガード３
１０は、変更された方針を局部クライアント方針３１８へマージする。次に、ス
テップ１２２２で、新たな局部クライアント方針３１８は、アプリケーションガ
ード３１０と共に動作するように活性化される。

【００７６】 図１３を参照し、クライアントアクセス認可に関する方法ステップの１つの実
施例のフローを示す。ユーザによる標準アプリケーションガード３１０を使用す
る図１３の例は、アプリケーションガード３１０により保護される安全にしうる
構成要素へのアクセスを要求するユーザが開始する。ステップ１３１０で、アプ
リケーションガード３１０は、認可要求を構成し且つ発行する。ステップ１３１
２で、認可要求は、認可要求を許可するか又は拒否するかを決定する局部クライ
アント方針３１８に従って、アプリケーションガード３１０により評価される。
ステップ１３１４では、監査５１８は、監査ログ４５０内に認可要求を記録する
。次に、ステップ１３１６で、認可要求内でエラーがある場合には、又は、要求
が有効でない場合には、ステップ１３１８で、ユーザはアクセスを拒否される。
しかし、認可要求が有効ならば、ステップ１３２０で、アクセスが許可されるか
どうかが決定される。評価された認可要求がユーザについてアクセスを拒否しな
い場合には、ステップ１３２２でアクセスは許可される。評価された認可要求が
、ユーザに対するアクセスを拒否する場合には、ステップ１３２４でアクセスは
拒否される。

【００７７】 図１４を参照し、アプリケーションガード３１０からの認可要求を評価する方
法ステップの１つの実施例のフローチャートを示す。アプリケーションガード３
１０で認可要求を評価するために、ステップ１４２０で、評価器５１６は最初に
、局部方針３１８内の拒否規則をサーチする。ステップ１４１２で、評価器５１
６がいずれかの拒否規則を発見する場合には、ステップ１４１４で、拒否規則の
どの制約に関しても、評価が行われる。ステップ１４１６え、評価が、拒否規則
の現在有効な制約を発見する場合には、ステップ１４１８でアクセスは否定され
る。しかし、ステップ１４１６で、評価が、拒否規則に関する制約が現在有効で
ないと発見するときには、又は、前のステップ１４１２で、拒否規則が発見され
ない場合には、ステップ１４２０で、許可規則のサーチが行われる。ステップ１
４２２で、ユーザにアクセスを許可する許可規則が発見されない場合には、ステ
ップ１４１８で、アクセスは拒否される。ステップ１４２２で、許可規則が発見
される場合には、ステップ１４２４で、許可規則内のどの制約に関しても、評価
が行われる。評価された制約が現在有効である場合には、ステップ１４２６で、
真値が送られ、そして、ステップ１４２８で、アクセスが許可される。しかし、
評価された制約が現在有効でない場合には、ステップ１４２６で、偽値が送られ
、そして、ステップ１４１８で、アクセスが拒否される。

【００７８】 本発明を好適な実施例を参照して説明した。他の実施例は、この開示から、当
業者には明らかである。例えば、本発明は、上述の好適な実施例に記載した以外
の構成でたやすく実行できる。更に、本発明は、上述の好適な実施例に記載した
以外のシステムト共に効果的に使用されうる。従って、好適な実施例のこれらの
そして他の変形は、請求項によってのみ制限される、本発明の範囲である。

【図面の簡単な説明】

【図１】 本発明に従った１つのシステムの実施例のブロック図である。

【図２】 本発明に従った、図１のシステムのサーバ内に配置された不揮発性メモリの１
つの実施例のブロック図である。

【図３】 本発明に従った、図１のシステムのクライアント内に配置された不揮発性メモ
リの１つの実施例のブロック図である。

【図４】 本発明に従った、図２の不揮発性メモリ内に配置された方針マネージャの１つ
の実施例のブロック図である。

【図５】 本発明に従った、図３の不揮発性メモリ内に配置されたアプリケーションガー
ドの１つの実施例のブロック図である。

【図６】 本発明に従った、方針ローダの１つの実施例のブロック図である。

【図７】 本発明に従った、システムを設定する方法ステップの１つの実施例のフローを
示す図である。

【図８】 本発明に従った、管理局内の方針を管理する１つの実施例のフローを示す図で
ある。

【図９】 本発明に従った、管理局内のツリーを操作する１つの実施例のフローを示す図
である。

【図１０】 本発明に従った、管理局内の方針を分析する１つの実施例のフローを示す図で
ある。

【図１１】 本発明に従った、管理局内の方針を編集する１つの実施例のフローを示す図で
ある。

【図１２】 本発明の１つの実施例に従った、方針を配布する方法ステップのフローを示す
図である。

【図１３】 本発明の１つの実施例に従った、クライアントアクセス認可のための方法ステ
ップのフローを示す図である。

【図１４】 本発明の１つの実施例に従った、認可要求を強化するための方法ステップのフ
ローを示す図である。

【手続補正書】

【提出日】平成１３年５月３０日（２００１．５．３０）

【手続補正１】

【補正対象書類名】明細書

【補正対象項目名】特許請求の範囲

【補正方法】変更

【補正内容】

【特許請求の範囲】

───────────────────────────────────────────────────── フロントページの続き (81)指定国 ＥＰ(ＡＴ，ＢＥ，ＣＨ，ＣＹ， ＤＥ，ＤＫ，ＥＳ，ＦＩ，ＦＲ，ＧＢ，ＧＲ，ＩＥ，Ｉ Ｔ，ＬＵ，ＭＣ，ＮＬ，ＰＴ，ＳＥ)，ＯＡ(ＢＦ，ＢＪ ，ＣＦ，ＣＧ，ＣＩ，ＣＭ，ＧＡ，ＧＮ，ＧＷ，ＭＬ， ＭＲ，ＮＥ，ＳＮ，ＴＤ，ＴＧ)，ＡＰ(ＧＨ，ＧＭ，Ｋ Ｅ，ＬＳ，ＭＷ，ＳＤ，ＳＬ，ＳＺ，ＴＺ，ＵＧ，ＺＷ )，ＥＡ(ＡＭ，ＡＺ，ＢＹ，ＫＧ，ＫＺ，ＭＤ，ＲＵ， ＴＪ，ＴＭ)，ＡＥ，ＡＬ，ＡＭ，ＡＴ，ＡＵ，ＡＺ， ＢＡ，ＢＢ，ＢＧ，ＢＲ，ＢＹ，ＣＡ，ＣＨ，ＣＮ，Ｃ Ｒ，ＣＵ，ＣＺ，ＤＥ，ＤＫ，ＤＭ，ＥＥ，ＥＳ，ＦＩ ，ＧＢ，ＧＤ，ＧＥ，ＧＨ，ＧＭ，ＨＲ，ＨＵ，ＩＤ， ＩＬ，ＩＮ，ＩＳ，ＪＰ，ＫＥ，ＫＧ，ＫＰ，ＫＲ，Ｋ Ｚ，ＬＣ，ＬＫ，ＬＲ，ＬＳ，ＬＴ，ＬＵ，ＬＶ，ＭＤ ，ＭＧ，ＭＫ，ＭＮ，ＭＷ，ＭＸ，ＮＯ，ＮＺ，ＰＬ， ＰＴ，ＲＯ，ＲＵ，ＳＤ，ＳＥ，ＳＧ，ＳＩ，ＳＫ，Ｓ Ｌ，ＴＪ，ＴＭ，ＴＲ，ＴＴ，ＴＺ，ＵＡ，ＵＧ，ＵＺ ，ＶＮ，ＹＵ，ＺＡ，ＺＷ Ｆターム(参考） 5B017 AA01 BA06 CA16 5B076 FB05 5B082 EA11 HA00 5B085 AE00 BG07

Claims (56)

【特許請求の範囲】
1. 【請求項１】 分散された計算環境内でセキュリティを維持するシステムで
   あって、 セキュリティ方針を管理する方針マネージャと、 セキュリティ方針により規定されるように安全にしうる構成要素へのアクセス
   を管理するアプリケーションガードとを有するシステム。
2. 【請求項２】 前記方針マネージャは、セキュリティ方針を構成し且つ編集
   する管理局を有する請求項１に記載のシステム。
3. 【請求項３】 前記方針マネージャは、更に、セキュリティ方針をクライア
   ントに分配する分配器を有する請求項２に記載のシステム。
4. 【請求項４】 前記方針マネージャは、更に、セキュリティ方針に基づく特
   化された局部方針を、クライアントに分配する分配器を有する請求項２に記載の
   システム。
5. 【請求項５】 前記方針マネージャは、更に、アプリケーションガードを通
   して発生する認可イベントを記録し且つ追跡するロガーを有する請求項４に記載
   のシステム。
6. 【請求項６】 方針マネージャは、更にセキュリティ方針を維持するための
   データベース管理システムを有する請求項４に記載のシステム。
7. 【請求項７】 特化された局部方針は最適化される請求項４に記載のシステ
   ム。
8. 【請求項８】 前記安全にしうる構成要素は、少なくとも１つのアプリケー
   ション、アプリケーション内の機能、アプリケーション内の手順、アプリケーシ
   ョン内のデータ構造、アプリケーションにより参照されるデータベースオブジェ
   クト、又は、アプリケーションにより参照されるファイルシステムオブジェクト
   よりなるグループより選択される請求項１に記載のシステム。
9. 【請求項９】 前記システムは、複数のクライアント、各クライアントへ特
   化した局部方針を更に管理し且つ分配する前記方針マネージャと、各特化した局
   部方針により規定されるように安全にしうる構成要素へのアクセスを管理するた
   めの各クライアントに配置された少なくとも1つの追加のアプリケーションガー
   ドとを更に有することによりスケーリング可能である請求項１に記載のシステム
   。
10. 【請求項１０】 前記アプリケーションガードは、安全にしうる構成要素へ
    のアクセスを要求するアプリケーションに結合したアプリケーションガードイン
    ターフェースと、安全方針に基づき特化された局部方針により規定されるように
    アプリケーションガードインターフェースからの要求を評価する、少なくとも１
    つの認可エンジンとを含む請求項１に記載のシステム。
11. 【請求項１１】 前記アプリケーションガードインターフェースは、クライ
    アントに配置され、且つ、前記少なくとも１つの認可エンジンと前記特化された
    局部方針はクライアントサーバに配置される請求項１０に記載のシステム。
12. 【請求項１２】 セキュリティ方針は、特定のユーザに対して、安全にしう
    る構成要素へのアクセスを許可し又は拒否する方針言語により定義される請求項
    １に記載のシステム。
13. 【請求項１３】 セキュリティ方針をシステム上にバルクローディングする
    ための方針ローダーを更に有する請求項１に記載のシステム。
14. 【請求項１４】 前記方針マネージャは、セキュリティ方針を管理し且つ分
    配するメニューオプションの組みを有する請求項１に記載のシステム。
15. 【請求項１５】 前記メニューオプションの組みは、ツリーの操作、方針の
    分析、方針の編集、方針の分配及び、監査ログを見ることを含む請求項１４に記
    載のシステム。
16. 【請求項１６】 アプリケーションガードは更に、追加の特化されたコード
    に基づき、認可要求を処理し且つ評価するための追加の特化されたコードを可能
    とする請求項１に記載のシステム。
17. 【請求項１７】 方針マネージャは、更に、局部管理上の方針により規定さ
    れるように方針マネージャへのアクセスを管理する方針マネージャアプリケーシ
    ョンガードを有する請求項１に記載のシステム。
18. 【請求項１８】 分散された計算環境内でユーザアクセスを制御するシステ
    ムであって、 安全にしうる構成要素へのユーザのアクセス権を規定するグローバル方針と、 クライアントへのグローバル方針に基づき局部クライアント方針を管理し且つ
    分配するためのサーバ上に配置された方針マネージャと、 局部クライアント方針により規定されるように安全にしうる構成要素へのアク
    セスを管理するためのクライアント上に配置されたアプリケーションガードとを
    有するシステム。
19. 【請求項１９】 少なくとも１つの追加のクライアント、各追加のクライア
    ントへのグローバル方針に基づき特化された局部方針を更に管理し且つ分配する
    前記方針マネージャと、特化された局部方針により規定されるように安全にしう
    る構成要素へのアクセスを管理するための、各追加のクライアント上に配置され
    た少なくとも１つの追加のアプリケーションガードとを、更に有する請求項１８
    に記載のシステム。
20. 【請求項２０】 前記方針マネージャは、 グローバル方針を構成し且つ編集する管理局と、 局部方針をクライアントへ分配する分配器とを有する請求項１８に記載のシス
    テム。
21. 【請求項２１】 前記方針マネージャは、グローバル方針を維持するための
    データベース管理システムを更に有する請求項２０に記載のシステム。
22. 【請求項２２】 前記方針マネージャは、更に、アプリケーションガードを
    通して発生する認可イベントを記録し且つ追跡するロガーを有する請求項１８に
    記載のシステム。
23. 【請求項２３】 前記安全にしうる構成要素は、少なくとも１つのアプリケ
    ーション、アプリケーション内の機能、アプリケーション内の手順、アプリケー
    ション内のデータ構造、アプリケーションにより参照されるデータベースオブジ
    ェクト、又は、アプリケーションにより参照されるファイルシステムオブジェク
    トよりなるグループより選択される請求項１８に記載のシステム。
24. 【請求項２４】 グローバル方針は、特定のユーザに対して、安全にしうる
    構成要素へのアクセスを許可し又は拒否する方針言語により定義される請求項１
    ８に記載のシステム。
25. 【請求項２５】 前記システムは、複数のクライアント、各クライアントへ
    特化した局部方針を更に管理し且つ分配する前記方針マネージャと、各特化した
    局部方針により規定されるように安全にしうる構成要素へのアクセスを管理する
    ための各クライアントに配置された少なくとも１つの追加のアプリケーションガ
    ードとを更に有することによりスケーリング可能である請求項１８に記載のシス
    テム。
26. 【請求項２６】 前記アプリケーションガードは、安全にしうる構成要素へ
    のアクセスを要求するアプリケーションに結合したアプリケーションガードイン
    ターフェースと、特化された局部方針により規定されるようにアプリケーション
    ガードインターフェースからの要求を評価する、少なくとも１つの認可エンジン
    とを含む請求項１８に記載のシステム。
27. 【請求項２７】 グローバル方針をシステム上にバルクローディングするた
    めの方針バルクローダーを更に有する請求項１８に記載のシステム。
28. 【請求項２８】 局部方針は最適化される請求項１８に記載のシステム。
29. 【請求項２９】 アプリケーションガードは更に、追加の特化されたコード
    に基づき、認可要求を処理し且つ評価するための追加の特化されたコードをさら
    に可能とする請求項１８に記載のシステム。
30. 【請求項３０】 方針マネージャは、更に、局部管理上の方針により規定さ
    れるように方針マネージャへのアクセスを管理する方針マネージャアプリケーシ
    ョンガードを有する請求項１８に記載のシステム。
31. 【請求項３１】 ユーザに対して安全にしうる構成要素へのアクセスを提供
    する認可のためのシステムであって、 安全にしうる構成要素へのユーザのアクセス権を規定する方針と、 アプリケーションガードと、 安全にしうる構成要素へのアクセスを管理する前記アプリケーションガードを
    実行する、前記システムに接続されたプロセッサとを有するシステム。
32. 【請求項３２】 更に、アプリケーションガードを通して発生する各認可イ
    ベントを記録し且つ追跡する監査ログを有する請求項３１に記載のシステム。
33. 【請求項３３】 前記安全にしうる構成要素は、少なくとも１つのアプリケ
    ーション、アプリケーション内の機能、アプリケーション内の手順、アプリケー
    ション内のデータ構造、アプリケーションにより参照されるデータベースオブジ
    ェクト、又は、アプリケーションにより参照されるファイルシステムオブジェク
    トよりなるグループより選択される請求項３１に記載のシステム。
34. 【請求項３４】 前記アプリケーションガードは、前記アプリケーション内
    の、安全にしうる構成要素へのアクセスを管理するアプリケーションに接続され
    たアプリケーションガードインターフェースを有する請求項３１に記載のシステ
    ム。
35. 【請求項３５】 アプリケーションガードは更に、追加の特化されたコード
    に基づき、認可要求を処理し且つ評価するための追加の特化されたコードをさら
    に可能とする請求項３１に記載のシステム。
36. 【請求項３６】 前記アプリケーションガードは、安全にしうる構成要素へ
    のアクセスを要求するアプリケーションに結合したアプリケーションガードイン
    ターフェースと、方針に基づく特化された局部方針により規定されるようにアプ
    リケーションガードインターフェースからの要求を評価する、少なくとも１つの
    認可エンジンとを含む請求項３１に記載のシステム。
37. 【請求項３７】 前記アプリケーションガードインターフェースはクライア
    ント上に配置され、且つ、前記少なくとも１つの認可エンジンと前記特化された
    局部方針は、クライアントサーバ上に配置されている請求項３６記載のシステム
    。
38. 【請求項３８】 分散された計算環境内でセキュリティを管理するシステム
    であって、 方針マネージャと、 クライアントへのグローバル方針に基づき特化された局部方針を管理し且つ維
    持する前記方針マネージャを実行する、前記システムに接続されたプロセッサと
    を有するシステム。
39. 【請求項３９】 前記方針マネージャは、グローバル方針を構成し且つ編集
    す得る管理局を有する請求項３８記載のシステム。
40. 【請求項４０】 前記方針マネージャは、更に、特化された局部方針をクラ
    イアントに分配する分配器を有する請求項３９記載のシステム。
41. 【請求項４１】 前記方針マネージャは、更に、クリアアントから受信され
    た認可イベントを記録し且つ追跡するロガーを有する請求項３８に記載のシステ
    ム。
42. 【請求項４２】 前記グローバル方針は、安全にしうる構成要素に対する、
    少なくとも一人のユーザのアクセス権を規定する請求項３８に記載のシステム。
43. 【請求項４３】 方針マネージャは、グローバル方針を維持するデータベー
    ス管理システムを有する請求項３８に記載のシステム。
44. 【請求項４４】 グローバル方針は、特定のユーザに対して、安全にしうる
    構成要素へのアクセスを許可し又は拒否する方針言語により定義される請求項３
    ８に記載のシステム。
45. 【請求項４５】 前記方針マネージャは、特化された局部方針を管理し且つ
    分配するメニューオプションの組みを有する請求項３８に記載のシステム。
46. 【請求項４６】 特化された局部方針は、最適化されている請求項３８に記
    載のシステム。
47. 【請求項４７】 方針マネージャは、更に、局部管理上の方針により規定さ
    れるように方針マネージャへのアクセスを管理する方針マネージャアプリケーシ
    ョンガードを有する請求項３８に記載のシステム。
48. 【請求項４８】 分散された計算環境内でセキュリティを維持する方法であ
    って、 安全にしうる構成要素へのユーザのアクセス権を規定することにより方針マネ
    ージャを使用して方針を管理するステップと、 アプリケーションガードを有するクライアントへ方針を分配するステップとを
    有し、それにより、アプリケーションガードが、方針により規定されるように安
    全にする構成要素へのアクセスを管理する方法。
49. 【請求項４９】 方針の分配後に、アプリケーションガードを通して発生す
    る認可イベントを記録するステップを更に有する請求項４８記載の方法。
50. 【請求項５０】 前記安全にしうる構成要素は、少なくとも１つのアプリケ
    ーション、アプリケーション内の機能、アプリケーション内の手順、アプリケー
    ション内のデータ構造、アプリケーションにより参照されるデータベースオブジ
    ェクト、又は、アプリケーションにより参照されるファイルシステムオブジェク
    トよりなるグループより選択される請求項４８に記載の方法。
51. 【請求項５１】 分散計算環境内でクライアントに関するセキュリティを維
    持する方法であって、 アプリケーションガードを使用して、クライアント上に配置された安全にしう
    る構成要素へアクセスするユーザに対する認可要求を構成し且つ発行するステッ
    プと、 認可要求は有効か又は無効かを決定するためにアプリケーションガードを使用
    して認可要求を評価するステップと、 評価された認可要求が有効な場合にはアプリケーションガードを介してユーザ
    へアクセスを許可し、且つ、認可要求が無効な場合にはアプリケーションガード
    を介してユーザへアクセスを拒否するステップとを有する方法。
52. 【請求項５２】 認可要求の評価後に、監査ログに認可要求を記録するステ
    ップを更に有する請求項５１に記載の方法。
53. 【請求項５３】 安全にしうる構成要素へのユーザのアクセス権を規定する
    ことにより、方針マネージャを使用して方針を維持するステップと、 アプリケーションガードを有するクライアントへ方針マネージャを使用して方
    針を分配し、それによって、アプリケーションガードは方針に規定されているよ
    うに安心にしうる構成要素へのアクセスを管理するステップと、 方針を管理し且つ分配するために前記方針マネージャをプロセッサで実行する
    ステップ、を行うことにより分散計算環境内でセキュリティを維持するプログラ
    ム命令を有するコンピュータ読出し可能な媒体。
54. 【請求項５４】 アプリケーションガードを使用して、クライアント上に配
    置された安全にしうる構成要素へアクセスするユーザに対する認可要求を構成し
    且つ発行するステップと、 認可要求は有効か又は無効かを決定するためにアプリケーションガードを使用
    して認可要求を評価するステップと、 評価された認可要求が有効な場合にはアプリケーションガードを介してユーザ
    へアクセスを許可し、且つ、認可要求が無効な場合にはアプリケーションガード
    を介してユーザへアクセスを拒否するステップと、 クライアントでのセキュリティを自動的に維持するために前記アプリケーショ
    ンガードをプロセッサで実行するステップ、を行うことにより分散計算環境内で
    クライアントに関するセキュリティを維持するプログラム命令を有するコンピュ
    ータ読出し可能な媒体。
55. 【請求項５５】 分散された計算環境内でセキュリティを維持するシステム
    であって、 安全にしうる構成要素へのユーザのアクセス権を規定することにより方針マネ
    ージャを使用して方針を管理する手段と、 アプリケーションガードを有するクライアントへ、方針マネージャを使用して
    、方針を分配する手段とを有し、それにより、アプリケーションガードが、方針
    により規定されるように安全にする構成要素へのアクセスを管理し、且つ、 方針を管理し且つ分配するために方針マネージャを実行する手段とを有するシ
    ステム。
56. 【請求項５６】 分散計算環境内でクライアントに関するセキュリティを維
    持するシステムであって、 アプリケーションガードを使用して、クライアント上に配置された安全にしう
    る構成要素へアクセスするユーザに対する認可要求を構成し且つ発行する手段と
    、 認可要求は有効か又は無効かを決定するためにアプリケーションガードを使用
    して認可要求を評価する手段と、 評価された認可要求が有効な場合にはアプリケーションガードを介してユーザ
    へアクセスを許可し、且つ、認可要求が無効な場合にはアプリケーションガード
    を介してユーザへアクセスを拒否する手段と、 クライアントでのセキュリティを自動的に維持するために前記アプリケーショ
    ンガードを実行する手段とを有するシステム。