JP2003036207A - データアクセス制御システム及びデータアクセス制御方法 - Google Patents
データアクセス制御システム及びデータアクセス制御方法Info
- Publication number
- JP2003036207A JP2003036207A JP2001221427A JP2001221427A JP2003036207A JP 2003036207 A JP2003036207 A JP 2003036207A JP 2001221427 A JP2001221427 A JP 2001221427A JP 2001221427 A JP2001221427 A JP 2001221427A JP 2003036207 A JP2003036207 A JP 2003036207A
- Authority
- JP
- Japan
- Prior art keywords
- access
- data
- access right
- user
- data access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 ユーザごと、グループごとに適切なデータア
クセス制御を実現する。 【解決手段】 アクセス権情報記憶装置12が、ユーザ
ごと、グループごとに各データに対するアクセス権を示
した情報(アクセス権管理テーブル13及びデータ・ア
クセス権関係リスト14)を保持し、入出力装置11
が、ユーザID、データアクセスの対象となるデータの
データID、要求するデータアクセスの内容を示すデー
タアクセス要求を、端末装置3より入力し、データアク
セス装置10が、アクセス権情報記録部12の情報とデ
ータアクセス要求とに基づき、要求するデータアクセス
内容についてのアクセス権がユーザ及びユーザの属する
グループに設定されているか否かを判断し、判断結果に
基づきデータアクセスの許否を判断する。
クセス制御を実現する。 【解決手段】 アクセス権情報記憶装置12が、ユーザ
ごと、グループごとに各データに対するアクセス権を示
した情報(アクセス権管理テーブル13及びデータ・ア
クセス権関係リスト14)を保持し、入出力装置11
が、ユーザID、データアクセスの対象となるデータの
データID、要求するデータアクセスの内容を示すデー
タアクセス要求を、端末装置3より入力し、データアク
セス装置10が、アクセス権情報記録部12の情報とデ
ータアクセス要求とに基づき、要求するデータアクセス
内容についてのアクセス権がユーザ及びユーザの属する
グループに設定されているか否かを判断し、判断結果に
基づきデータアクセスの許否を判断する。
Description
【0001】
【発明の属する技術分野】この発明は、データに関する
アクセス権の設定技術及びデータアクセスの制御技術に
関わる。
アクセス権の設定技術及びデータアクセスの制御技術に
関わる。
【0002】
【従来の技術】従来のデータ管理方式ではデータにアク
セス権を与える単位として、データの所有者、データの
所有者の属するグループ、その他システムに登録されて
いる全ユーザ、の3種類が使用されていた。
セス権を与える単位として、データの所有者、データの
所有者の属するグループ、その他システムに登録されて
いる全ユーザ、の3種類が使用されていた。
【0003】
【発明が解決しようとする課題】従来のデータへのアク
セス権設定方式では、データの所有者以外の特定ユーザ
やグループ外の特定ユーザ、複数グループなどへのアク
セス権付加が不可能であった。本発明は、このような問
題点を解決することを目的としており、データ毎にアク
セス権を決定するアクセス権IDを指定できるように
し、アクセス権IDはユーザ又はグループと、実行でき
る権利を一纏めにした物を複数定義できるようにする。
セス権設定方式では、データの所有者以外の特定ユーザ
やグループ外の特定ユーザ、複数グループなどへのアク
セス権付加が不可能であった。本発明は、このような問
題点を解決することを目的としており、データ毎にアク
セス権を決定するアクセス権IDを指定できるように
し、アクセス権IDはユーザ又はグループと、実行でき
る権利を一纏めにした物を複数定義できるようにする。
【0004】
【課題を解決するための手段】本発明に係るデータアク
セス制御システムは、複数のユーザが利用する複数の端
末装置に接続され、前記複数の端末装置からアクセスさ
れる複数のデータを保有し、前記複数の端末装置による
前記複数のデータへのデータアクセスを制御するデータ
アクセス制御システムであって、ユーザごとに前記複数
のデータの各々に対するアクセス権の内容を示すアクセ
ス権情報を記憶するアクセス権情報記憶部と、特定の端
末装置より、特定のユーザの識別情報とデータアクセス
の対象となるアクセス対象データの識別情報とを含み、
前記アクセス対象データについて要求するデータアクセ
スの内容を示すデータアクセス要求を入力する入力部
と、前記アクセス権情報と前記データアクセス要求とに
基づき、前記特定のユーザの前記アクセス対象データに
対するアクセス権の内容と前記アクセス対象データにつ
いて要求するデータアクセスの内容とが合致するか否か
を判断し、合致すると判断した場合に、前記特定の端末
装置の前記アクセス対象データへのデータアクセスを許
可するデータアクセス許否判断部とを有することを特徴
とする。
セス制御システムは、複数のユーザが利用する複数の端
末装置に接続され、前記複数の端末装置からアクセスさ
れる複数のデータを保有し、前記複数の端末装置による
前記複数のデータへのデータアクセスを制御するデータ
アクセス制御システムであって、ユーザごとに前記複数
のデータの各々に対するアクセス権の内容を示すアクセ
ス権情報を記憶するアクセス権情報記憶部と、特定の端
末装置より、特定のユーザの識別情報とデータアクセス
の対象となるアクセス対象データの識別情報とを含み、
前記アクセス対象データについて要求するデータアクセ
スの内容を示すデータアクセス要求を入力する入力部
と、前記アクセス権情報と前記データアクセス要求とに
基づき、前記特定のユーザの前記アクセス対象データに
対するアクセス権の内容と前記アクセス対象データにつ
いて要求するデータアクセスの内容とが合致するか否か
を判断し、合致すると判断した場合に、前記特定の端末
装置の前記アクセス対象データへのデータアクセスを許
可するデータアクセス許否判断部とを有することを特徴
とする。
【0005】前記複数のユーザのいずれかのユーザは、
複数のグループのいずれかのグループに属し、前記アク
セス権情報記憶部は、ユーザごとに前記複数のグループ
のいずれのグループに属するかを示すとともに、グルー
プごとに前記複数のデータの各々に対するアクセス権の
内容を示すアクセス権情報を記憶し、前記入力部は、特
定の端末装置より、特定のユーザの識別情報とデータア
クセスの対象となるアクセス対象データの識別情報とを
含み、前記アクセス対象データについて要求するデータ
アクセスの内容を示すデータアクセス要求を入力し、前
記データアクセス許否判断部は、前記アクセス権情報と
前記データアクセス要求とに基づき、前記特定のユーザ
の属するグループを判断するとともに、前記特定のユー
ザの属するグループの前記アクセス対象データに対する
アクセス権の内容と前記アクセス対象データについて要
求するデータアクセスの内容とが合致するか否かを判断
し、合致すると判断した場合に、前記特定の端末装置の
前記アクセス対象データへのデータアクセスを許可する
ことを特徴とする。
複数のグループのいずれかのグループに属し、前記アク
セス権情報記憶部は、ユーザごとに前記複数のグループ
のいずれのグループに属するかを示すとともに、グルー
プごとに前記複数のデータの各々に対するアクセス権の
内容を示すアクセス権情報を記憶し、前記入力部は、特
定の端末装置より、特定のユーザの識別情報とデータア
クセスの対象となるアクセス対象データの識別情報とを
含み、前記アクセス対象データについて要求するデータ
アクセスの内容を示すデータアクセス要求を入力し、前
記データアクセス許否判断部は、前記アクセス権情報と
前記データアクセス要求とに基づき、前記特定のユーザ
の属するグループを判断するとともに、前記特定のユー
ザの属するグループの前記アクセス対象データに対する
アクセス権の内容と前記アクセス対象データについて要
求するデータアクセスの内容とが合致するか否かを判断
し、合致すると判断した場合に、前記特定の端末装置の
前記アクセス対象データへのデータアクセスを許可する
ことを特徴とする。
【0006】前記データアクセス制御システムは、更
に、端末装置のユーザごとに、前記複数のデータの各々
に対するアクセス権を設定するアクセス権設定部を有
し、前記アクセス権情報記憶部は、前記アクセス権設定
部により設定されたアクセス権の内容を示すアクセス権
情報を記憶することを特徴とする。
に、端末装置のユーザごとに、前記複数のデータの各々
に対するアクセス権を設定するアクセス権設定部を有
し、前記アクセス権情報記憶部は、前記アクセス権設定
部により設定されたアクセス権の内容を示すアクセス権
情報を記憶することを特徴とする。
【0007】前記データアクセス制御システムは、更
に、グループごとに、前記複数のデータの各々に対する
アクセス権を設定するアクセス権設定部を有し、前記ア
クセス権情報記憶部は、前記アクセス権設定部により設
定されたアクセス権の内容を示すアクセス権情報を記憶
することを特徴とする。
に、グループごとに、前記複数のデータの各々に対する
アクセス権を設定するアクセス権設定部を有し、前記ア
クセス権情報記憶部は、前記アクセス権設定部により設
定されたアクセス権の内容を示すアクセス権情報を記憶
することを特徴とする。
【0008】本発明に係るデータアクセス制御方法は、
複数のユーザが利用する複数の端末装置と通信を行い、
前記複数の端末装置からアクセスされる複数のデータを
保有し、前記複数の端末装置による前記複数のデータへ
のデータアクセスを制御するデータアクセス制御方法で
あって、端末装置のユーザごとに前記複数のデータの各
々に対するアクセス権の内容を示すアクセス権情報を記
憶するアクセス権情報記憶ステップと、特定の端末装置
より、特定のユーザの識別情報とデータアクセスの対象
となるアクセス対象データの識別情報とを含み、前記ア
クセス対象データについて要求するデータアクセスの内
容を示すデータアクセス要求を入力する入力ステップ
と、前記アクセス権情報と前記データアクセス要求とに
基づき、前記特定のユーザの前記アクセス対象データに
対するアクセス権の内容と前記アクセス対象データにつ
いて要求するデータアクセスの内容とが合致するか否か
を判断し、合致すると判断した場合に、前記特定の端末
装置の前記アクセス対象データへのデータアクセスを許
可するデータアクセス許否判断ステップとを有すること
を特徴とする。
複数のユーザが利用する複数の端末装置と通信を行い、
前記複数の端末装置からアクセスされる複数のデータを
保有し、前記複数の端末装置による前記複数のデータへ
のデータアクセスを制御するデータアクセス制御方法で
あって、端末装置のユーザごとに前記複数のデータの各
々に対するアクセス権の内容を示すアクセス権情報を記
憶するアクセス権情報記憶ステップと、特定の端末装置
より、特定のユーザの識別情報とデータアクセスの対象
となるアクセス対象データの識別情報とを含み、前記ア
クセス対象データについて要求するデータアクセスの内
容を示すデータアクセス要求を入力する入力ステップ
と、前記アクセス権情報と前記データアクセス要求とに
基づき、前記特定のユーザの前記アクセス対象データに
対するアクセス権の内容と前記アクセス対象データにつ
いて要求するデータアクセスの内容とが合致するか否か
を判断し、合致すると判断した場合に、前記特定の端末
装置の前記アクセス対象データへのデータアクセスを許
可するデータアクセス許否判断ステップとを有すること
を特徴とする。
【0009】前記複数のユーザのいずれかのユーザは、
複数のグループのいずれかのグループに属し、前記アク
セス権情報記憶ステップは、ユーザごとに前記複数のグ
ループのいずれのグループに属するかを示すとともに、
グループごとに前記複数のデータの各々に対するアクセ
ス権の内容を示すアクセス権情報を記憶し、前記入力ス
テップは、特定の端末装置より、特定のユーザの識別情
報とデータアクセスの対象となるアクセス対象データの
識別情報とを含み、前記アクセス対象データについて要
求するデータアクセスの内容を示すデータアクセス要求
を入力し、前記データアクセス許否判断ステップは、前
記アクセス権情報と前記データアクセス要求とに基づ
き、前記特定のユーザの属するグループを判断するとと
もに、前記特定のユーザの属するグループの前記アクセ
ス対象データに対するアクセス権の内容と前記アクセス
対象データについて要求するデータアクセスの内容とが
合致するか否かを判断し、合致すると判断した場合に、
前記特定の端末装置の前記アクセス対象データへのデー
タアクセスを許可することを特徴とする。
複数のグループのいずれかのグループに属し、前記アク
セス権情報記憶ステップは、ユーザごとに前記複数のグ
ループのいずれのグループに属するかを示すとともに、
グループごとに前記複数のデータの各々に対するアクセ
ス権の内容を示すアクセス権情報を記憶し、前記入力ス
テップは、特定の端末装置より、特定のユーザの識別情
報とデータアクセスの対象となるアクセス対象データの
識別情報とを含み、前記アクセス対象データについて要
求するデータアクセスの内容を示すデータアクセス要求
を入力し、前記データアクセス許否判断ステップは、前
記アクセス権情報と前記データアクセス要求とに基づ
き、前記特定のユーザの属するグループを判断するとと
もに、前記特定のユーザの属するグループの前記アクセ
ス対象データに対するアクセス権の内容と前記アクセス
対象データについて要求するデータアクセスの内容とが
合致するか否かを判断し、合致すると判断した場合に、
前記特定の端末装置の前記アクセス対象データへのデー
タアクセスを許可することを特徴とする。
【0010】前記データアクセス制御方法は、更に、端
末装置のユーザごとに、前記複数のデータの各々に対す
るアクセス権を設定するアクセス権設定ステップを有
し、前記アクセス権情報記憶ステップは、前記アクセス
権設定ステップにより設定されたアクセス権の内容を示
すアクセス権情報を記憶することを特徴とする。
末装置のユーザごとに、前記複数のデータの各々に対す
るアクセス権を設定するアクセス権設定ステップを有
し、前記アクセス権情報記憶ステップは、前記アクセス
権設定ステップにより設定されたアクセス権の内容を示
すアクセス権情報を記憶することを特徴とする。
【0011】前記データアクセス制御方法は、更に、グ
ループごとに、前記複数のデータの各々に対するアクセ
ス権を設定するアクセス権設定ステップを有し、前記ア
クセス権情報記憶ステップは、前記アクセス権設定ステ
ップにより設定されたアクセス権の内容を示すアクセス
権情報を記憶することを特徴とする。
ループごとに、前記複数のデータの各々に対するアクセ
ス権を設定するアクセス権設定ステップを有し、前記ア
クセス権情報記憶ステップは、前記アクセス権設定ステ
ップにより設定されたアクセス権の内容を示すアクセス
権情報を記憶することを特徴とする。
【0012】
【発明の実施の形態】実施の形態1.以下、本発明の実
施の形態について図面により詳細に説明する。図1は本
発明を適用したデータアクセス制御システムのブロック
図を示したものである。図1において、1は、本発明に
係るデータアクセス制御システムである。2は、データ
アクセス制御システム1と複数の端末装置3とを接続す
るネットワークである。3は、ユーザが利用する端末装
置であり、データアクセス制御システムに対してデータ
アクセスを要求する。
施の形態について図面により詳細に説明する。図1は本
発明を適用したデータアクセス制御システムのブロック
図を示したものである。図1において、1は、本発明に
係るデータアクセス制御システムである。2は、データ
アクセス制御システム1と複数の端末装置3とを接続す
るネットワークである。3は、ユーザが利用する端末装
置であり、データアクセス制御システムに対してデータ
アクセスを要求する。
【0013】次に、データアクセス制御システム1の構
成について説明する。10は、端末装置3からのデータ
アクセス要求に対して許否判断を行うデータアクセス装
置である。データアクセス装置10は、データアクセス
許否判断部に相当する。11は、端末装置3に接続さ
れ、端末装置3からのデータアクセス要求を入力する入
出力部である。12は、アクセス権情報を記憶したアク
セス権情報記憶装置である。アクセス権情報記憶装置1
2は、アクセス権情報記憶部に相当する。13は、アク
セス権情報記憶装置12に記憶されたアクセス権管理テ
ーブルである。14は、アクセス権情報記憶装置12に
記憶されたデータ・アクセス権関係リストである。な
お、アクセス権管理テーブル及びデータ・アクセス権関
係リストの両者をあわせてアクセス権情報という。15
は、複数の端末装置によるデータアクセスの対象となる
データを記憶するデータ記憶装置である。16は、デー
タ記憶装置15に記憶されたデータである。17は、端
末装置3のユーザごと又はユーザの属するグループごと
にアクセス権を設定するアクセス権設定装置である。1
8は、アクセス権設定装置17によるアクセス権の設定
に従って、アクセス権とデータとを関連づけるデータ・
アクセス権関係設定装置である。なお、本ブロック図で
は、10〜12、15〜18の各装置は、それぞれ独立
した装置として示されているが、10〜12、15〜1
8の各装置を同一筐体内に収納していてもよい。また、
本ブロック図では、アクセス権管理テーブル及びデータ
・アクセス権関係リストとデータ群とは別の記憶装置に
記憶されていることになっているが、これらが同一の記
憶装置内に収納されていてもよい。
成について説明する。10は、端末装置3からのデータ
アクセス要求に対して許否判断を行うデータアクセス装
置である。データアクセス装置10は、データアクセス
許否判断部に相当する。11は、端末装置3に接続さ
れ、端末装置3からのデータアクセス要求を入力する入
出力部である。12は、アクセス権情報を記憶したアク
セス権情報記憶装置である。アクセス権情報記憶装置1
2は、アクセス権情報記憶部に相当する。13は、アク
セス権情報記憶装置12に記憶されたアクセス権管理テ
ーブルである。14は、アクセス権情報記憶装置12に
記憶されたデータ・アクセス権関係リストである。な
お、アクセス権管理テーブル及びデータ・アクセス権関
係リストの両者をあわせてアクセス権情報という。15
は、複数の端末装置によるデータアクセスの対象となる
データを記憶するデータ記憶装置である。16は、デー
タ記憶装置15に記憶されたデータである。17は、端
末装置3のユーザごと又はユーザの属するグループごと
にアクセス権を設定するアクセス権設定装置である。1
8は、アクセス権設定装置17によるアクセス権の設定
に従って、アクセス権とデータとを関連づけるデータ・
アクセス権関係設定装置である。なお、本ブロック図で
は、10〜12、15〜18の各装置は、それぞれ独立
した装置として示されているが、10〜12、15〜1
8の各装置を同一筐体内に収納していてもよい。また、
本ブロック図では、アクセス権管理テーブル及びデータ
・アクセス権関係リストとデータ群とは別の記憶装置に
記憶されていることになっているが、これらが同一の記
憶装置内に収納されていてもよい。
【0014】次に、アクセス権を決定するテーブルにつ
いて説明する。図2はデータと、そのデータに付加され
ているアクセス権を管理するテーブルである。図2に示
すテーブルは、データ・アクセス権関係リスト14に含
まれる。図2において、21はデータ毎に付与される一
意なデータID、22はデータのアクセス権を識別する
アクセス権IDである。図3はアクセス権IDに対する
アクセス権を管理するアクセス権管理テーブル13であ
る。図3において、31はアクセス権のまとまり毎に与
えられるシステム内で一意なアクセス権ID、32はア
クセス権IDにおいてアクセス権を持つ権利者(ユーザ
又はグループ)、33は権利者が行うことのできる権利
である。図2と図3のテーブルはアクセス権ID22と
アクセス権ID31によって関係付けられている。
いて説明する。図2はデータと、そのデータに付加され
ているアクセス権を管理するテーブルである。図2に示
すテーブルは、データ・アクセス権関係リスト14に含
まれる。図2において、21はデータ毎に付与される一
意なデータID、22はデータのアクセス権を識別する
アクセス権IDである。図3はアクセス権IDに対する
アクセス権を管理するアクセス権管理テーブル13であ
る。図3において、31はアクセス権のまとまり毎に与
えられるシステム内で一意なアクセス権ID、32はア
クセス権IDにおいてアクセス権を持つ権利者(ユーザ
又はグループ)、33は権利者が行うことのできる権利
である。図2と図3のテーブルはアクセス権ID22と
アクセス権ID31によって関係付けられている。
【0015】図4はデータ記憶装置15にアクセスする
ユーザを管理するテーブルである。このテーブルに登録
されていないユーザはデータ記憶装置にアクセスできな
い。図4において、41はユーザを一意に識別するため
のユーザIDである。図5はユーザをいくつかのグルー
プ単位でまとめるためのテーブルである。図5におい
て、51はグループID、52はグループに所属するユ
ーザIDである。ユーザIDは複数のグループIDに所
属してもかまわないし、どのグループにも所属しなくて
もかまわない。ユーザID41と所属ユーザID52に
よって図4のテーブルと図5のテーブルが関連付けられ
ている。なお、図4のテーブルと図5のテーブルは、デ
ータ・アクセス権関係リスト14に含まれる。また、図
2〜図5のテーブルに代えて、図7に示すようなテーブ
ルを設けてもよい。図7のテーブルは、ユーザIDごと
に、所属するグループのグループID及び各データID
に対するアクセス権の内容を示しており、図2〜図5の
テーブルに示す内容と同じ内容を保持している。
ユーザを管理するテーブルである。このテーブルに登録
されていないユーザはデータ記憶装置にアクセスできな
い。図4において、41はユーザを一意に識別するため
のユーザIDである。図5はユーザをいくつかのグルー
プ単位でまとめるためのテーブルである。図5におい
て、51はグループID、52はグループに所属するユ
ーザIDである。ユーザIDは複数のグループIDに所
属してもかまわないし、どのグループにも所属しなくて
もかまわない。ユーザID41と所属ユーザID52に
よって図4のテーブルと図5のテーブルが関連付けられ
ている。なお、図4のテーブルと図5のテーブルは、デ
ータ・アクセス権関係リスト14に含まれる。また、図
2〜図5のテーブルに代えて、図7に示すようなテーブ
ルを設けてもよい。図7のテーブルは、ユーザIDごと
に、所属するグループのグループID及び各データID
に対するアクセス権の内容を示しており、図2〜図5の
テーブルに示す内容と同じ内容を保持している。
【0016】次に、アクセス権設定装置17及びデータ
・アクセス権関係設定装置18の動作について説明す
る。アクセス権設定装置17は、アクセス権ID、権利
者、権利を一まとまりとして図3のアクセス権管理テー
ブルに登録する。設定したい権利が既に登録されている
場合は、新たに登録する必要はない。データ・アクセス
権関係設定装置18は、アクセス権を付加したいデータ
IDと、付加したいアクセス権を持ったアクセス権ID
を、図2のデータ・アクセス権関係リストに登録する。
データ・アクセス権関係リストへの登録、変更は、シス
テム管理者などの特別なユーザ、又は、データIDに書
込み権利を持っているユーザが行うことができる。新規
にデータが作成された場合、データ作成者に全ての権利
が与えられる様に、自動的に設定される。
・アクセス権関係設定装置18の動作について説明す
る。アクセス権設定装置17は、アクセス権ID、権利
者、権利を一まとまりとして図3のアクセス権管理テー
ブルに登録する。設定したい権利が既に登録されている
場合は、新たに登録する必要はない。データ・アクセス
権関係設定装置18は、アクセス権を付加したいデータ
IDと、付加したいアクセス権を持ったアクセス権ID
を、図2のデータ・アクセス権関係リストに登録する。
データ・アクセス権関係リストへの登録、変更は、シス
テム管理者などの特別なユーザ、又は、データIDに書
込み権利を持っているユーザが行うことができる。新規
にデータが作成された場合、データ作成者に全ての権利
が与えられる様に、自動的に設定される。
【0017】次に、データアクセス装置10によるアク
セス権判定処理を図6のフローチャートに従って説明す
る。あるユーザが端末装置3を利用してあるデータに対
するデータアクセス要求を送信した場合は、まず、入出
力装置11がデータアクセス要求を入力し、入力したデ
ータアクセス要求をデータアクセス装置10に転送す
る。このデータアクセス要求には、ユーザのID、デー
タアクセスを要求するデータのID、要求するデータア
クセスの内容(読み取り、書き込み等)が含まれてい
る。データアクセス装置10では、まず、処理61によ
り、図2のテーブルと、データアクセス要求に含まれた
アクセス対象のデータのデータIDを用いてアクセス権
IDを取得する。次に、処理62により、データアクセ
ス要求から、ユーザのユーザIDを取得する。次に、処
理63で、ユーザIDとアクセス権IDと図3のテーブ
ルから、ユーザIDに設定されている権利を取得する。
処理63の結果により、処理64から、フローを分岐す
る。ユーザIDに要求した処理の権利が設定されていれ
ば、アクセス権ありとし、処理68へ進み処理作業を行
う。要求した処理の権利が設定されていなければ、処理
65に進む。処理65で、図5のテーブルからユーザI
Dの所属するグループIDを取得する。ユーザIDが複
数のグループに所属している場合は、複数のグループI
Dを取得する。次に、処理66で、グループIDとアク
セス権IDと図3テーブルから、グループに所属するユ
ーザに設定されている権利を取得する。処理66の結果
により、処理67からフローを分岐する。処理を要求し
たユーザが要求した処理の権利があれば、アクセス権あ
りとし、処理68に進み処理作業を行う。処理の権利が
無ければ終了に進む。
セス権判定処理を図6のフローチャートに従って説明す
る。あるユーザが端末装置3を利用してあるデータに対
するデータアクセス要求を送信した場合は、まず、入出
力装置11がデータアクセス要求を入力し、入力したデ
ータアクセス要求をデータアクセス装置10に転送す
る。このデータアクセス要求には、ユーザのID、デー
タアクセスを要求するデータのID、要求するデータア
クセスの内容(読み取り、書き込み等)が含まれてい
る。データアクセス装置10では、まず、処理61によ
り、図2のテーブルと、データアクセス要求に含まれた
アクセス対象のデータのデータIDを用いてアクセス権
IDを取得する。次に、処理62により、データアクセ
ス要求から、ユーザのユーザIDを取得する。次に、処
理63で、ユーザIDとアクセス権IDと図3のテーブ
ルから、ユーザIDに設定されている権利を取得する。
処理63の結果により、処理64から、フローを分岐す
る。ユーザIDに要求した処理の権利が設定されていれ
ば、アクセス権ありとし、処理68へ進み処理作業を行
う。要求した処理の権利が設定されていなければ、処理
65に進む。処理65で、図5のテーブルからユーザI
Dの所属するグループIDを取得する。ユーザIDが複
数のグループに所属している場合は、複数のグループI
Dを取得する。次に、処理66で、グループIDとアク
セス権IDと図3テーブルから、グループに所属するユ
ーザに設定されている権利を取得する。処理66の結果
により、処理67からフローを分岐する。処理を要求し
たユーザが要求した処理の権利があれば、アクセス権あ
りとし、処理68に進み処理作業を行う。処理の権利が
無ければ終了に進む。
【0018】以上の説明では、本発明に係るデータアク
セス制御システムについて説明したが、同様の処理によ
り、本発明に係るデータアクセス制御方法も実現するこ
とができる。
セス制御システムについて説明したが、同様の処理によ
り、本発明に係るデータアクセス制御方法も実現するこ
とができる。
【0019】
【発明の効果】本発明によれば、ユーザごと、グループ
ごとに設定されたアクセス権に基づき、ユーザからのデ
ータアクセス要求を制御するため、ユーザごと、グルー
プごとに適切なデータアクセス制御を行うことができ
る。
ごとに設定されたアクセス権に基づき、ユーザからのデ
ータアクセス要求を制御するため、ユーザごと、グルー
プごとに適切なデータアクセス制御を行うことができ
る。
【0020】また、複数のデータが同じアクセス権を持
つ場合は、複数のデータに同じアクセス権IDを関係付
けることにより、アクセス権ID数の肥大化を抑制でき
る。
つ場合は、複数のデータに同じアクセス権IDを関係付
けることにより、アクセス権ID数の肥大化を抑制でき
る。
【図1】 データアクセス制御システムの構成を示すブ
ロック図。
ロック図。
【図2】 データIDとアクセス権IDを示すテーブル
構成。
構成。
【図3】 アクセス権IDに対し権利者と権利を示すテ
ーブルの構成図。
ーブルの構成図。
【図4】 ユーザIDを示すテーブル構成の例を示す
図。
図。
【図5】 グループIDと所属するユーザIDの関係示
すテーブル構成の例を示す図。
すテーブル構成の例を示す図。
【図6】 データアクセス装置の処理手順を示すフロー
チャート図。
チャート図。
【図7】 ユーザIDごとのアクセス権を示す図。
1 データアクセス制御システム、2 ネットワーク、
3 端末装置、10データアクセス装置、11 入出力
装置、12 アクセス権情報記憶装置、13アクセス権
管理テーブル、14 データ・アクセス権関係リスト、
15 データ記憶装置、16 データ、17 アクセス
権設定装置、18 データ・アクセス権関係設定装置。
3 端末装置、10データアクセス装置、11 入出力
装置、12 アクセス権情報記憶装置、13アクセス権
管理テーブル、14 データ・アクセス権関係リスト、
15 データ記憶装置、16 データ、17 アクセス
権設定装置、18 データ・アクセス権関係設定装置。
Claims (8)
- 【請求項1】 複数のユーザが利用する複数の端末装置
に接続され、前記複数の端末装置からアクセスされる複
数のデータを保有し、前記複数の端末装置による前記複
数のデータへのデータアクセスを制御するデータアクセ
ス制御システムであって、 ユーザごとに前記複数のデータの各々に対するアクセス
権の内容を示すアクセス権情報を記憶するアクセス権情
報記憶部と、 特定の端末装置より、特定のユーザの識別情報とデータ
アクセスの対象となるアクセス対象データの識別情報と
を含み、前記アクセス対象データについて要求するデー
タアクセスの内容を示すデータアクセス要求を入力する
入力部と、 前記アクセス権情報と前記データアクセス要求とに基づ
き、前記特定のユーザの前記アクセス対象データに対す
るアクセス権の内容と前記アクセス対象データについて
要求するデータアクセスの内容とが合致するか否かを判
断し、合致すると判断した場合に、前記特定の端末装置
の前記アクセス対象データへのデータアクセスを許可す
るデータアクセス許否判断部とを有することを特徴とす
るデータアクセス制御システム。 - 【請求項2】 前記複数のユーザのいずれかのユーザ
は、複数のグループのいずれかのグループに属し、 前記アクセス権情報記憶部は、ユーザごとに前記複数の
グループのいずれのグループに属するかを示すととも
に、グループごとに前記複数のデータの各々に対するア
クセス権の内容を示すアクセス権情報を記憶し、 前記入力部は、特定の端末装置より、特定のユーザの識
別情報とデータアクセスの対象となるアクセス対象デー
タの識別情報とを含み、前記アクセス対象データについ
て要求するデータアクセスの内容を示すデータアクセス
要求を入力し、 前記データアクセス許否判断部は、前記アクセス権情報
と前記データアクセス要求とに基づき、前記特定のユー
ザの属するグループを判断するとともに、前記特定のユ
ーザの属するグループの前記アクセス対象データに対す
るアクセス権の内容と前記アクセス対象データについて
要求するデータアクセスの内容とが合致するか否かを判
断し、合致すると判断した場合に、前記特定の端末装置
の前記アクセス対象データへのデータアクセスを許可す
ることを特徴とする請求項1に記載のデータアクセス制
御システム。 - 【請求項3】 前記データアクセス制御システムは、更
に、端末装置のユーザごとに、前記複数のデータの各々
に対するアクセス権を設定するアクセス権設定部を有
し、 前記アクセス権情報記憶部は、前記アクセス権設定部に
より設定されたアクセス権の内容を示すアクセス権情報
を記憶することを特徴とする請求項1に記載のデータア
クセス制御システム。 - 【請求項4】 前記データアクセス制御システムは、更
に、グループごとに、前記複数のデータの各々に対する
アクセス権を設定するアクセス権設定部を有し、 前記アクセス権情報記憶部は、前記アクセス権設定部に
より設定されたアクセス権の内容を示すアクセス権情報
を記憶することを特徴とする請求項2に記載のデータア
クセス制御システム。 - 【請求項5】 複数のユーザが利用する複数の端末装置
と通信を行い、前記複数の端末装置からアクセスされる
複数のデータを保有し、前記複数の端末装置による前記
複数のデータへのデータアクセスを制御するデータアク
セス制御方法であって、 端末装置のユーザごとに前記複数のデータの各々に対す
るアクセス権の内容を示すアクセス権情報を記憶するア
クセス権情報記憶ステップと、 特定の端末装置より、特定のユーザの識別情報とデータ
アクセスの対象となるアクセス対象データの識別情報と
を含み、前記アクセス対象データについて要求するデー
タアクセスの内容を示すデータアクセス要求を入力する
入力ステップと、 前記アクセス権情報と前記データアクセス要求とに基づ
き、前記特定のユーザの前記アクセス対象データに対す
るアクセス権の内容と前記アクセス対象データについて
要求するデータアクセスの内容とが合致するか否かを判
断し、合致すると判断した場合に、前記特定の端末装置
の前記アクセス対象データへのデータアクセスを許可す
るデータアクセス許否判断ステップとを有することを特
徴とするデータアクセス制御方法。 - 【請求項6】 前記複数のユーザのいずれかのユーザ
は、複数のグループのいずれかのグループに属し、 前記アクセス権情報記憶ステップは、ユーザごとに前記
複数のグループのいずれのグループに属するかを示すと
ともに、グループごとに前記複数のデータの各々に対す
るアクセス権の内容を示すアクセス権情報を記憶し、 前記入力ステップは、特定の端末装置より、特定のユー
ザの識別情報とデータアクセスの対象となるアクセス対
象データの識別情報とを含み、前記アクセス対象データ
について要求するデータアクセスの内容を示すデータア
クセス要求を入力し、 前記データアクセス許否判断ステップは、前記アクセス
権情報と前記データアクセス要求とに基づき、前記特定
のユーザの属するグループを判断するとともに、前記特
定のユーザの属するグループの前記アクセス対象データ
に対するアクセス権の内容と前記アクセス対象データに
ついて要求するデータアクセスの内容とが合致するか否
かを判断し、合致すると判断した場合に、前記特定の端
末装置の前記アクセス対象データへのデータアクセスを
許可することを特徴とする請求項5に記載のデータアク
セス制御方法。 - 【請求項7】 前記データアクセス制御方法は、更に、
端末装置のユーザごとに、前記複数のデータの各々に対
するアクセス権を設定するアクセス権設定ステップを有
し、 前記アクセス権情報記憶ステップは、前記アクセス権設
定ステップにより設定されたアクセス権の内容を示すア
クセス権情報を記憶することを特徴とする請求項5に記
載のデータアクセス制御方法。 - 【請求項8】 前記データアクセス制御方法は、更に、
グループごとに、前記複数のデータの各々に対するアク
セス権を設定するアクセス権設定ステップを有し、 前記アクセス権情報記憶ステップは、前記アクセス権設
定ステップにより設定されたアクセス権の内容を示すア
クセス権情報を記憶することを特徴とする請求項6に記
載のデータアクセス制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001221427A JP2003036207A (ja) | 2001-07-23 | 2001-07-23 | データアクセス制御システム及びデータアクセス制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001221427A JP2003036207A (ja) | 2001-07-23 | 2001-07-23 | データアクセス制御システム及びデータアクセス制御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003036207A true JP2003036207A (ja) | 2003-02-07 |
Family
ID=19055098
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001221427A Pending JP2003036207A (ja) | 2001-07-23 | 2001-07-23 | データアクセス制御システム及びデータアクセス制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003036207A (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004303051A (ja) * | 2003-03-31 | 2004-10-28 | Nippon Digital Kenkyusho:Kk | データ管理方法、データ管理装置、情報処理装置、及び通信ネットワークシステム |
| JP2005196611A (ja) * | 2004-01-09 | 2005-07-21 | Chugoku Electric Power Co Inc:The | 文書保護管理システムおよび方法 |
| JP2005196626A (ja) * | 2004-01-09 | 2005-07-21 | Chugoku Electric Power Co Inc:The | 文書保護管理システムおよび方法 |
| JP2005196620A (ja) * | 2004-01-09 | 2005-07-21 | Chugoku Electric Power Co Inc:The | 文書保護管理システムおよび方法 |
| JP2006079448A (ja) * | 2004-09-10 | 2006-03-23 | Konica Minolta Business Technologies Inc | データ管理方法、データ管理装置およびデータ管理サーバ |
| JP2006293486A (ja) * | 2005-04-06 | 2006-10-26 | Canon Inc | 情報処理装置及び当該装置における情報処理方法 |
| JP2007316727A (ja) * | 2006-05-23 | 2007-12-06 | Fuji Xerox Co Ltd | アクセス認証方法及びアクセス認証用リムーバブルメモリ |
| JP2009181598A (ja) * | 2009-05-21 | 2009-08-13 | Fujitsu Ltd | デジタル著作権管理のための情報処理装置 |
| JP2010073187A (ja) * | 2008-08-19 | 2010-04-02 | Rcs:Kk | コンテンツデータ管理装置及びそのプログラム |
| JP2014013470A (ja) * | 2012-07-04 | 2014-01-23 | Fujitsu Ltd | 電子帳票の管理方法及び電子帳票システム並びに電子帳票の管理プログラム |
| CN112364361A (zh) * | 2020-11-13 | 2021-02-12 | 四川长虹电器股份有限公司 | 一种云平台矩阵式资源访问控制系统及控制方法 |
-
2001
- 2001-07-23 JP JP2001221427A patent/JP2003036207A/ja active Pending
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4495915B2 (ja) * | 2003-03-31 | 2010-07-07 | 株式会社日本デジタル研究所 | データ管理方法、メモリ装置、およびサーバ |
| JP2004303051A (ja) * | 2003-03-31 | 2004-10-28 | Nippon Digital Kenkyusho:Kk | データ管理方法、データ管理装置、情報処理装置、及び通信ネットワークシステム |
| JP2005196611A (ja) * | 2004-01-09 | 2005-07-21 | Chugoku Electric Power Co Inc:The | 文書保護管理システムおよび方法 |
| JP2005196626A (ja) * | 2004-01-09 | 2005-07-21 | Chugoku Electric Power Co Inc:The | 文書保護管理システムおよび方法 |
| JP2005196620A (ja) * | 2004-01-09 | 2005-07-21 | Chugoku Electric Power Co Inc:The | 文書保護管理システムおよび方法 |
| JP4666921B2 (ja) * | 2004-01-09 | 2011-04-06 | 中国電力株式会社 | 文書保護管理システムおよび方法 |
| JP4666922B2 (ja) * | 2004-01-09 | 2011-04-06 | 中国電力株式会社 | 文書保護管理システムおよび方法 |
| JP4662722B2 (ja) * | 2004-01-09 | 2011-03-30 | 中国電力株式会社 | 文書保護管理システムおよび方法 |
| JP2006079448A (ja) * | 2004-09-10 | 2006-03-23 | Konica Minolta Business Technologies Inc | データ管理方法、データ管理装置およびデータ管理サーバ |
| US8117665B2 (en) | 2004-09-10 | 2012-02-14 | Konica Minolta Business Technologies, Inc. | Data managing method, data managing device and data managing server suitable for restricting distribution of data |
| JP2006293486A (ja) * | 2005-04-06 | 2006-10-26 | Canon Inc | 情報処理装置及び当該装置における情報処理方法 |
| JP4724450B2 (ja) * | 2005-04-06 | 2011-07-13 | キヤノン株式会社 | 情報処理装置及び当該装置における情報処理方法 |
| JP2007316727A (ja) * | 2006-05-23 | 2007-12-06 | Fuji Xerox Co Ltd | アクセス認証方法及びアクセス認証用リムーバブルメモリ |
| JP2010073187A (ja) * | 2008-08-19 | 2010-04-02 | Rcs:Kk | コンテンツデータ管理装置及びそのプログラム |
| JP2009181598A (ja) * | 2009-05-21 | 2009-08-13 | Fujitsu Ltd | デジタル著作権管理のための情報処理装置 |
| JP2014013470A (ja) * | 2012-07-04 | 2014-01-23 | Fujitsu Ltd | 電子帳票の管理方法及び電子帳票システム並びに電子帳票の管理プログラム |
| CN112364361A (zh) * | 2020-11-13 | 2021-02-12 | 四川长虹电器股份有限公司 | 一种云平台矩阵式资源访问控制系统及控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3853540B2 (ja) | ファイバチャネル接続磁気ディスク装置およびファイバチャネル接続磁気ディスク制御装置 | |
| EP0192243B1 (en) | Method of protecting system files and data processing unit for implementing said method | |
| KR101608110B1 (ko) | 저장 장치의 어드레스 범위에 대한 액세스 관리 방법 | |
| US8589569B2 (en) | Method and apparatus for invoking a plug-in on a server | |
| US20070022091A1 (en) | Access based file system directory enumeration | |
| US7191214B2 (en) | Conference system and its participation method | |
| WO2009115003A1 (zh) | 文档库系统权限控制方法及装置 | |
| JP2003036207A (ja) | データアクセス制御システム及びデータアクセス制御方法 | |
| US20070124554A1 (en) | Global memory for a rapidio network | |
| JP2006099779A (ja) | 権限管理 | |
| JP4243932B2 (ja) | コンテンツ管理システムおよび情報記録媒体 | |
| US20060156020A1 (en) | Method and apparatus for centralized security authorization mechanism | |
| JP4800760B2 (ja) | アクセス権限管理装置及びアクセス権限管理方法ならびにそのプログラム | |
| JP2005293513A (ja) | 共有データアクセス管理システム | |
| JPH07244639A (ja) | アクセス権管理装置 | |
| KR20120127339A (ko) | 소셜 네트워크 서비스를 제공받는 사용자들 사이의 데이터 공유 방법 및 그 장치 | |
| JP2012027691A (ja) | 情報管理システムおよび情報管理方法 | |
| JP2021114078A (ja) | 情報管理システム、及び情報管理方法 | |
| KR20080046461A (ko) | 콘텐츠의 접근 권한 제어 방법 및 장치 | |
| JPH08123672A (ja) | 蓄積情報のアクセス管理を行うシステム | |
| JP2002259214A (ja) | 記憶装置へのアクセスの制御 | |
| JP4780010B2 (ja) | データ管理システム及び方法並びにプログラム | |
| TWI317094B (en) | Method for maintaining smbios and system thereof | |
| JP2000207267A (ja) | アクセス権管理装置 | |
| JP2000259476A (ja) | ファイル管理システム及びサーバ計算機 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040518 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041019 |