JP2003058423A - Method, system, and program for access control - Google Patents
Method, system, and program for access controlInfo
- Publication number
- JP2003058423A JP2003058423A JP2001248136A JP2001248136A JP2003058423A JP 2003058423 A JP2003058423 A JP 2003058423A JP 2001248136 A JP2001248136 A JP 2001248136A JP 2001248136 A JP2001248136 A JP 2001248136A JP 2003058423 A JP2003058423 A JP 2003058423A
- Authority
- JP
- Japan
- Prior art keywords
- user
- agent
- access control
- resource
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、分散コンピューテ
ィングシステムにおけるシステム内リソースへのアクセ
ス制御に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to access control to in-system resources in a distributed computing system.
【0002】[0002]
【従来の技術】分散コンピューティングシステムにおい
て、システム内リソースへのアクセス制御は、従来、A
CL(アクセス制御リスト:Access Control List)を
設定することにより実現されている。このACLは、サ
ーバ、ディレクトリ、コンテンツなどのリソース単位に
設定することができ、ACLごとに権限を与えられた管
理者が存在し、この管理者のみが、ACLの設定やその
変更ができるようになっている。2. Description of the Related Art In a distributed computing system, access control to resources in the system is conventionally performed by A
This is realized by setting CL (Access Control List). This ACL can be set for each resource such as server, directory, content, etc. There is an administrator who is authorized for each ACL, and only this administrator can set or change the ACL. Has become.
【0003】ACLを用いた制御において、たとえば、
サーバ「B」のユーザ「b」が、サーバ「A」のリソー
ス「R」にアクセス可能とするためには、まず、ユーザ
「b」はリソース「R」にアクセスしたい旨を、何らか
の手段を用いて、リソース「R」の管理者に伝達した
後、
上記ユーザ「b」を、サーバ「A」およびサーバ
「B」に登録し、
サーバ「A」において、リソース「R」の管理者が、
当該リソース「R」に関するACLに、ユーザ「b」の
アクセス権限を含めた情報を設定する必要がある。この
ような登録や設定の後に、ユーザ「b」の指示により、
サーバ「B」からサーバ「A」に対して、ユーザ「b」
の認証を求め、認証の後に、リソース「R」へのアクセ
スが、ACLでの設定事項にしたがって可能となる。In control using ACL, for example,
In order for the user “b” of the server “B” to be able to access the resource “R” of the server “A”, first, the user “b” uses some means to indicate that he wants to access the resource “R”. Then, the user "b" is registered in the server "A" and the server "B", and the administrator of the resource "R" in the server "A"
It is necessary to set information including the access authority of the user “b” in the ACL related to the resource “R”. After such registration and setting, by the instruction of the user “b”,
User “b” from server “B” to server “A”
Authentication is required, and after the authentication, access to the resource “R” becomes possible according to the setting items in the ACL.
【0004】[0004]
【発明が解決しようとする課題】従来のACLを用いた
アクセス制御においては、
(1)管理者のみが、ACLの設定や変更が可能であるた
め、リソースを利用するユーザが、アクセス制御レベル
の変更を求める場合には、管理者への変更依頼等の手続
きをする必要があった。
(2)管理者においては、設定や変更の頻度が高くなるの
にしたがって、或いは、ACLの規模が大きくなる、つ
まり、管理すべき対象が多くなるのにしたがって、負担
が大きくなるという問題点があった。これは、リソース
ごとのACLの設定が前提となっていることに起因して
いる。In the conventional access control using the ACL, (1) only the administrator can set or change the ACL, so that the user who uses the resource can change the access control level. When requesting changes, it was necessary to perform procedures such as requesting changes to the manager. (2) There is a problem that the burden on the administrator increases as the frequency of setting and changing increases, or the ACL scale increases, that is, the number of objects to be managed increases. there were. This is because the ACL setting for each resource is premised.
【0005】(3)ACLに設定するアクセス制御レベル
が多様になるのにしたがって、設定や変更の作業が複雑
になるという問題点があった。特に、コンテンツ単位で
ACLを設定する場合には、この問題は顕著となり、き
め細かなアクセス制御レベルを設定することは困難とな
る。このため、一般には、18歳以上のユーザだけに限
定するなど、特定の集団を対象としたACLの設定のみ
が行われているのが現状である。
(4)さらに、リソースにアクセスするごと、或いは、セ
ッションの確立ごとに、ACLの照会が必要となる。こ
れにより、ユーザにとっては、IDやパスワードを入力
しなければならない機会が増大するという問題点もあっ
た。(3) As the access control level set in the ACL becomes diverse, there has been a problem that the work of setting and changing becomes complicated. In particular, when the ACL is set for each content, this problem becomes remarkable, and it becomes difficult to set a fine access control level. For this reason, in general, only ACLs for specific groups are currently set, such as being limited to users aged 18 and over. (4) Further, an ACL inquiry is required every time a resource is accessed or a session is established. As a result, there is also a problem that the user has more opportunities to input the ID and password.
【0006】本発明は、所望の単位で、ユーザや管理人
に負担をかけることなく、きめ細かなアクセス制御レベ
ルの設定が可能なシステムを提供することを目的とす
る。[0006] It is an object of the present invention to provide a system capable of finely setting an access control level in a desired unit without burdening a user or an administrator.
【0007】[0007]
【課題を解決するための手段】本発明の目的は、システ
ムを利用するユーザが、他のユーザに関するリソースを
利用する際のアクセス制御方法であって、前記ユーザご
とに、当該ユーザが利用可能な他のユーザのリソースに
関する情報をそのアクセスレベルとともにアクセス制御
リストとして管理するユーザエージェントを設けるステ
ップと、前記ユーザエージェントが、ユーザからの他の
ユーザのリソースの利用申し込み要求に応答して起動
し、当該他のユーザに関する他のユーザエージェントを
特定するステップと、前記ユーザエージェントが、前記
他のユーザエージェントに対して、前記リソースの利用
申し込みを、そのアクセス制御レベルとともに伝達する
ステップと、前記他のユーザエージェントが、前記リソ
ースの利用申し込みに応答して、前記他のユーザに、リ
ソース利用の承認を求めるステップと、前記他のユーザ
エージェントが、前記リソース利用の承認の受理に応答
して、そのアクセス制御リストに、必要な情報を保存す
るとともに、承認があったことを、前記ユーザエージェ
ントに通知するステップと、前記ユーザエージェント
が、通知の受理に応答して、そのアクセス制御リスト
に、必要な情報を保存するステップとを備えたことを特
徴とするアクセス制御方法により達成される。An object of the present invention is to provide an access control method when a user who uses the system uses resources related to other users, which can be used by each user. Providing a user agent that manages information about resources of other users together with their access levels as an access control list, the user agent being activated in response to a request from a user to use resources of another user, Identifying another user agent for another user, said user agent transmitting to said other user agent a request for use of said resource together with its access control level, said other user agent However, application for using the above resources In response, requesting the other user to approve the resource usage, and the other user agent saves necessary information in its access control list in response to the acceptance of the resource usage approval. At the same time, the method further comprises the step of notifying the user agent that the approval has been given, and the step of storing necessary information in the access control list of the user agent in response to receipt of the notification. This is achieved by a characteristic access control method.
【0008】本発明によれば、ユーザごとに設けられる
ユーザエージェント間で、アクセス制御レベルを含む情
報を、そのアクセス制御リストに保存する。したがっ
て、リソースごとにアクセス制御リストを設定すること
なく、ユーザ間のリソースの利用を実現することができ
る。According to the present invention, the information including the access control level is stored in the access control list among the user agents provided for each user. Therefore, resource utilization between users can be realized without setting an access control list for each resource.
【0009】好ましい実施態様においては、さらに、前
記ユーザエージェントが、前記ユーザからの、他のユー
ザのリソースの利用要求に応答して、前記申し込みに関
連する情報を、前記アクセス制御リストと照合して、そ
の内容を確認するステップと、前記他のユーザエージェ
ントに対して、前記リソースの利用要求を、そのアクセ
ス制御レベルとともに伝達するステップと、前記他のユ
ーザエージェントが、前記リソース利用要求に応答し
て、前記アクセス制御リストを参照して、利用要求にか
かる情報と、アクセス制御リスト中の情報とを照合する
ステップと、前記要求にかかるリソースを取得して、前
記ユーザエージェントに伝達するステップと、前記ユー
ザエージェントが、伝達されたリソースを、前記ユーザ
が利用しているマシンに与えるステップとを備えてい
る。In a preferred embodiment, the user agent further collates the information related to the application with the access control list in response to a request from the user to use a resource of another user. , Confirming its contents, transmitting the resource usage request to the other user agent together with its access control level, and the other user agent responding to the resource usage request. Referring to the access control list, collating the information related to the usage request with the information in the access control list, acquiring the resource related to the request, and transmitting the resource to the user agent, The user agent uses the transmitted resource to determine which resource the user is using. And a step of providing a.
【0010】また、本発明の好ましい実施態様において
は、前記アクセス制御レベルが、リソースの読み出し、
リソースへの書き込み、リソースの表示形式の変更、利
用可能時間、および/または、これらの組み合わせを含
む。Further, in a preferred embodiment of the present invention, the access control level is a resource read,
Includes writing to resources, changing the display format of resources, availability, and / or combinations thereof.
【0011】より好ましい実施態様においては、さら
に、ユーザからのサービスの追加要求に応答して、前記
ユーザエージェントが、提供可能なサービスおよび関連
する情報を管理するサービスエージェントから、提供可
能なサービスのリストを取得して、当該リストを、前記
ユーザに提示するステップと、ユーザからのリストから
の選択情報にしたがって、前記サービスエージェントに
対して、当該サービスの提供のための必要なデータの項
目を含む雛型であるサービスオブジェクトを取得するス
テップと、当該サービスオブジェクトに基づいて、ユー
ザ入力の必要な項目を列挙したフォームを生成して、前
記ユーザに提示するステップと、ユーザから前記フォー
ムに入力された情報にしたがって、当該ユーザのアクセ
ス制御リストに、前記情報が与えられたサービスオブジ
ェクトを保存するステップとを備えている。このよう
に、サービスオブジェクトを利用することで、きめの細
かい設定が可能となる。In a more preferred embodiment, the user agent further provides a list of services that can be provided from the service agent that manages the services that can be provided and related information in response to a request from the user to add the services. And presenting the list to the user, and a template including items of data necessary for providing the service to the service agent according to selection information from the list from the user. A step of obtaining a service object that is a type, a step of generating a form enumerating items that require user input based on the service object, and presenting the form to the user, and information input to the form by the user According to the access control list of the user And a step of storing the service object information is given. In this way, by using the service object, it is possible to make fine setting.
【0012】本発明の別の好ましい実施態様において
は、さらに、一連のユーザ群から構成されるグループの
リーダに関するユーザエージェントが、当該リーダか
ら、当該グループに関するグループエージェントの生成
要求に応答して、ユーザエージェントを管理するエージ
ェントマネージャに対して、グループエージェントの生
成を依頼するステップと、前記エージェントマネージャ
が、当該ユーザ群から構成されるグループに関するグル
ープエージェントを生成し、少なくとも、リーダに関す
る情報をアクセス制御リストに保存するステップと、前
記ユーザエージェントが、関連するユーザがグループの
リーダとなったことを前記アクセス制御リストに保存す
るステップと、前記グループエージェントが、ユーザか
らの当該グループを構成するメンバおよび当該メンバの
登録通知の指示の受理に応答して、前記メンバに関する
ユーザエージェントの各々に、前記グループのメンバと
して登録することを通知するステップと、前記メンバに
関するユーザエージェントからの確認の受理に応答し
て、アクセス制御リストに、メンバに関する情報を保存
するステップと、前記メンバに関するユーザエージェン
トにおいて、前記関連するユーザがグループのメンバと
なったことを前記アクセス制御リストに保存するステッ
プとを備えている。In another preferred embodiment of the present invention, a user agent relating to a leader of a group composed of a series of users responds to a request from the leader to generate a group agent relating to the group. Requesting an agent manager managing the agent to generate a group agent, and the agent manager generates a group agent related to a group composed of the user group, and at least information about the leader in an access control list. Saving, the user agent saving in the access control list that the associated user has become a group leader, and the group agent configuring the group from the user. Responding to the member and the instruction to notify the registration of the member, the step of notifying each of the user agents related to the member that they will be registered as a member of the group, and the acceptance of the confirmation from the user agent related to the member. Responsive to saving the information about the member in the access control list, and in the user agent for the member, saving in the access control list that the related user has become a member of the group. ing.
【0013】より好ましい実施態様においては、さら
に、前記ユーザエージェントが、ユーザからの、グルー
プのリーダ或いはメンバとしての、他のユーザのリソー
スの利用申し込み要求に応答して起動し、当該アクセス
制御リストを参照して、前記グループに関連するグルー
プエージェントを特定するステップと、前記グループエ
ージェントに、グループとしてのリソースの利用申し込
み要求を伝達するステップと、前記グループエージェン
トが、前記他のユーザエージェントに対して、前記リソ
ースの利用申し込みを、そのアクセス制御レベルととも
に伝達するステップと、前記他のユーザエージェント
が、前記リソースの利用申し込みに応答して、前記他の
ユーザに、リソース利用の承認を求めるステップと、前
記他のユーザエージェントが、前記リソース利用の承認
の受理に応答して、そのアクセス制御リストに、必要な
情報を保存するとともに、承認があったことを、前記グ
ループエージェントに通知するステップと、前記グルー
プエージェントが、通知の受理に応答して、そのアクセ
ス制御リストに、必要な情報を保存するステップとを備
えている。In a more preferred embodiment, the user agent is further activated in response to a request from a user to use a resource of another user as a leader or member of a group, and activates the access control list. For reference, a step of identifying a group agent related to the group, a step of transmitting to the group agent a request to use a resource as a group, the group agent, to the other user agent, Transmitting the application for use of the resource together with its access control level, the other user agent, in response to the application for use of the resource, requesting the other user to approve the use of the resource, Other user agents Responding to the acceptance of the approval of the resource use, storing the necessary information in the access control list, and notifying the group agent of the approval, and the group agent, Saving the required information in its access control list in response to receipt of the notification.
【0014】また、本発明の目的は、システムを利用す
るユーザが、他のユーザに関するリソースの利用を制御
するアクセス制御システムであって、前記ユーザごと
に、当該ユーザが利用可能な他のユーザのリソースに関
する情報をそのアクセスレベルとともにアクセス制御リ
ストとして管理するユーザエージェントを備え、前記ユ
ーザエージェントが、ユーザからの他のユーザのリソー
スの利用申し込み要求に応答して起動し、当該他のユー
ザに関する他のユーザエージェントを特定するユーザエ
ージェント特定手段と、前記他のユーザエージェントに
対して、前記リソースの利用申し込みを、そのアクセス
制御レベルとともに伝達する利用申し込み処理手段と、
前記他のユーザエージェントにおける、前記リソースの
利用申し込みに応答した、前記他のユーザに対するリソ
ース利用の承認要求、および、承認の受理に基づき、ユ
ーザエージェントに伝達された通知に応答して、前記ア
クセス制御リストに、必要な情報を保存する情報保存手
段とを有することを特徴とするアクセス制御システムに
より達成される。Another object of the present invention is an access control system in which a user who uses the system controls the use of resources related to other users. A user agent that manages information about a resource as an access control list together with its access level, the user agent is activated in response to a user's request for use of the resource by another user, User agent specifying means for specifying a user agent, and use application processing means for transmitting a use request for the resource to the other user agent together with the access control level thereof,
The access control is performed in response to the resource use approval request to the other user in response to the resource use application in the other user agent and the notification transmitted to the user agent based on the acceptance of the approval. This is achieved by an access control system characterized in that the list has information storing means for storing necessary information.
【0015】好ましくは、前記ユーザエージェントが、
前記ユーザ或いは他のユーザエージェントからの、他の
ユーザのリソースの利用要求に応答して、前記申し込み
に関連する情報を、前記アクセス制御リストと照合し
て、その内容を確認するアクセス制御リスト照合手段を
有する。Preferably, the user agent is
Access control list collating means for collating information relating to the application with the access control list and confirming the content thereof in response to a request for use of the resource of the other user from the user or another user agent. Have.
【0016】また、本発明の目的は、システムを利用す
るユーザが、他のユーザに関するリソースの利用を制御
するためにコンピュータにアクセス制御させるためのプ
ログラムであって、前記ユーザごとに、当該ユーザが利
用可能な他のユーザのリソースに関する情報をそのアク
セスレベルとともにアクセス制御リストとして管理する
ユーザエージェントを設けるステップと、前記ユーザエ
ージェントにおいて、ユーザからの他のユーザのリソー
スの利用申し込み要求に応答して起動し、当該他のユー
ザに関する他のユーザエージェントを特定するステップ
と、前記他のユーザエージェントに対して、前記リソー
スの利用申し込みを、そのアクセス制御レベルとともに
伝達するステップと、前記他のユーザエージェントにお
ける、前記リソースの利用申し込みに応答した、前記他
のユーザに対するリソース利用の承認要求、および、承
認の受理に基づき、ユーザエージェントに伝達された通
知に応答して、前記アクセス制御リストに、必要な情報
を保存するステップとを、前記コンピュータに実行させ
ることを特徴とするアクセス制御プログラムによっても
達成される。Another object of the present invention is a program for allowing a user who uses the system to control access to a computer in order to control the use of resources relating to other users. Providing a user agent for managing information on resources of other available users as an access control list together with its access level, and starting at the user agent in response to a user's request for use of resources of other users Then, a step of identifying another user agent related to the other user, a step of transmitting a use request for the resource to the other user agent together with the access control level thereof, and in the other user agent, The resource In response to the resource use approval request to the other user in response to the user's use application and the notification transmitted to the user agent based on the acceptance of the approval, necessary information is stored in the access control list. And an access control program that causes the computer to execute the steps.
【0017】好ましい実施態様においては、さらに、前
記ユーザエージェントにおいて、前記ユーザ或いは他の
ユーザエージェントからの、他のユーザのリソースの利
用要求に応答して、前記申し込みに関連する情報を、前
記アクセス制御リストと照合して、その内容を確認する
ステップを、前記コンピュータに実行させるようになっ
ている。In a preferred embodiment, further, in the user agent, in response to a request from the user or another user agent to use a resource of another user, the information related to the application is provided to the access control. The computer is made to execute the step of checking the contents by checking the list.
【0018】[0018]
【発明の実施の形態】以下、添付図面を参照して、本発
明の実施の形態につき説明を加える。図1は、本発明の
実施の形態にかかるデータ通信システムの概略を示す図
である。図1に示すように、本実施の形態にかかるデー
タ通信システムにおいて、インターネットなどのネット
ワーク12に、複数のサーバ14−1、14−2が接続
されている。サーバ14−1、14−2には、それぞ
れ、後述するリソースと関連付けられたエージェントを
管理するエージェントマネージャ22−1、22−2が
設けられている。たとえば、サーバ「A」22−1に
は、当該サーバ「A」のリソースDB16−1に収容さ
れたリソースに関連付けられたエージェントを制御する
エージェントマネージャ「A」22−1が設けられる。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below with reference to the accompanying drawings. FIG. 1 is a diagram showing an outline of a data communication system according to an embodiment of the present invention. As shown in FIG. 1, in the data communication system according to the present embodiment, a plurality of servers 14-1 and 14-2 are connected to a network 12 such as the Internet. The servers 14-1 and 14-2 are respectively provided with agent managers 22-1 and 22-2 that manage agents associated with resources described later. For example, the server “A” 22-1 is provided with an agent manager “A” 22-1 that controls an agent associated with a resource accommodated in the resource DB 16-1 of the server “A”.
【0019】サーバ「A」14−1には、リソース10
1、102、・・・を収容したリソースデータベース
(DB)16−1と、上記リソースと関連付けられたエ
ージェント111、112、・・・を収容したエージェ
ントデータベース(DB)18−1とが接続されてい
る。リソース「a1」101には、エージェント「UA
−a1」111が関連付けられ、リソース「a1」10
2には、エージェント「UA−a2」112が関連付け
られている。The resource "10" is stored in the server "A" 14-1.
A resource database (DB) 16-1 accommodating 1, 102, ... And an agent database (DB) 18-1 accommodating the agents 111, 112 ,. There is. The resource “a1” 101 includes the agent “UA
-A1 ”111 is associated and resource“ a1 ”10
2 is associated with the agent “UA-a2” 112.
【0020】同様に、サーバ「B」14−2にも、リソ
ース121、・・・を収容したリソースDB16−2
と、リソースごとのエージェント131、・・・を収容
したエージェントDB18−2が接続されている。ここ
でも、リソース「b1」121には、エージェント「U
A−b1」131が関連付けられている。なお、本明細
書において、リソースとは、サーバ、ディレクトリ、コ
ンテンツ等を意味する。本実施の形態においては、ユー
ザa1、a2およびb1が、リソース「a1」、「a
2」および「b1」をそれぞれ所有し、それぞれのアク
セスの可否やアクセス制御レベルの設定は、当該リソー
スを所有するユーザの承認が必要となっている。Similarly, the server "B" 14-2 also has a resource DB 16-2 accommodating the resources 121, ...
, And an agent DB 18-2 accommodating the agents 131, ... For each resource are connected. Here again, the agent "U" is assigned to the resource "b1" 121.
“A-b1” 131 is associated. In this specification, a resource means a server, a directory, a content, or the like. In the present embodiment, users a1, a2 and b1 are assigned resources “a1” and “a”.
2 ”and“ b1 ”are respectively owned, and the permission / inhibition of each access and the setting of the access control level require the approval of the user who owns the resource.
【0021】また、ネットワーク12には、各ユーザが
利用するクライアントマシン20−1、・・・、20−
nが接続されている。各クライアントマシン20は、サ
ーバにアクセスして、当該クライアントマシンを操作す
るユーザが所有するリソースを登録し、或いは、内容に
変更を加え、或いは、サーバにアクセスして他のユーザ
が所有するリソースを閲覧し、必要な場合には、データ
の書き込み等を実行することができる。Further, in the network 12, client machines 20-1, ..., 20-used by each user.
n are connected. Each client machine 20 accesses the server to register resources owned by the user who operates the client machine, or changes the contents, or accesses the server to manage resources owned by other users. You can browse and write data, etc., if necessary.
【0022】図2は、本実施の形態にかかるサーバの構
成の概略を示すブロックダイヤグラムである。図2にお
いては、サーバ14−1を示したが、他のサーバ(たと
えば、サーバ14−2)も同様の構成となっている。FIG. 2 is a block diagram showing an outline of the configuration of the server according to this embodiment. Although the server 14-1 is shown in FIG. 2, other servers (for example, the server 14-2) have the same configuration.
【0023】図2に示すように、サーバ14−1は、H
TTPにしたがったデータ通信を実行するHTTPサー
バ201、サーバ14−1においてJava(登録商
標)のプログラムを実行するためのバーチャルマシン
(VM)202、後述する各種マネージャを制御するシ
ステムマネージャ203、各ユーザエージェントを管理
するエージェントマネージャ304、各種サービス、た
とえば、アプリケーションを管理するサービスマネージ
ャ305を備えている。As shown in FIG. 2, the server 14-1 is
An HTTP server 201 that executes data communication according to TTP, a virtual machine (VM) 202 that executes a Java (registered trademark) program in the server 14-1, a system manager 203 that controls various managers described below, and each user. An agent manager 304 that manages agents and a service manager 305 that manages various services such as applications are provided.
【0024】ユーザエージェント(たとえば、「UA−
a1」111や「UA−a2」112)は、エージェン
トマネージャ111により起動され、或いは、必要な指
示が与えられるようになっている。たとえば、ユーザエ
ージェント「UA−a1」111は、ユーザ「a1」が
所有するアプリケーションを含むサービス311、31
2を管理することができる。A user agent (eg, "UA-
The "a1" 111 and "UA-a2" 112) are activated by the agent manager 111 or given necessary instructions. For example, the user agent “UA-a1” 111 has services 311, 31 including an application owned by the user “a1”.
2 can be managed.
【0025】ここに、サービスには、ユーザ間で名刺デ
ータを参照し或いは名刺データを相手方に供給するよう
な名刺交換サービス、ユーザが所望の事項を記述するこ
とができ、これを他のユーザが定められたアクセス権の
下で参照等ができるような日記帳サービス、ユーザのス
ケジュールを管理し、他のユーザが定められたアクセス
権の下でこれを参照し、或いは、新たな予定を書き込む
ことができるスケジュールサービス等が含まれる。無
論、他のアプリケーションによりユーザに何らかのデー
タ等を提供するものもサービスに含まれることは言うま
でもない。また、本実施の形態にかかるリソースとは、
上記サービス、サービスを提供するために必要なサービ
ス名やデータ、ユーザ情報を含む。Here, in the service, a business card exchange service that refers to business card data between users or supplies business card data to the other party, a user can describe desired items, and this can be described by other users. Manage a diary service that can be referred to under a specified access right, manage user's schedule, refer to this under another user's specified access right, or write a new schedule The schedule service etc. which can do are included. Needless to say, the services include those that provide some kind of data to the user by other applications. In addition, the resources according to this embodiment are
It includes the above services, service names and data required to provide the services, and user information.
【0026】このように構成されたサーバ14を用い
た、アクセス制御の手順につきより詳細に説明を加え
る。図3は、あるユーザb1とユーザa1との間で、ユ
ーザa1の所有するリソースa1をユーザb1が利用す
る際に実行される手順を説明したフローチャートであ
る。図3に示す処理が実行される前提として、ユーザa
1によるユーザ情報の設定、リソースa1の登録、ユー
ザエージェントUA−a1の設定、および、上記リソー
スa1を利用するサービス情報の登録が既にされてい
る。これらの設定や登録については後述する。The access control procedure using the server 14 thus configured will be described in more detail. FIG. 3 is a flowchart illustrating a procedure executed when the user b1 uses the resource a1 owned by the user a1 between the user b1 and the user a1. As a premise that the process shown in FIG. 3 is executed, the user a
1 has already set the user information, registered the resource a1, set the user agent UA-a1, and registered the service information using the resource a1. These settings and registration will be described later.
【0027】また、この処理においてユーザb1が操作
するクライアントマシン(たとえば、クライアントマシ
ン20−1)を、クライアントb1と称し、ユーザa1
が操作するクライアントマシン(たとえば、クライアン
トマシン20−n)を、クライアントマシンa1と称す
る。また、ユーザb1に関するユーザエージェントUA
−b1は、サーバB(図1の符号14−2参照)にて管
理され、ユーザa1に関するユーザエージェントUA−
a1は、サーバA(図1の符号14−1参照)にて管理
されている。A client machine (for example, the client machine 20-1) operated by the user b1 in this process is referred to as a client b1.
A client machine (for example, the client machine 20-n) operated by is referred to as a client machine a1. Also, the user agent UA for the user b1
-B1 is managed by the server B (see reference numeral 14-2 in FIG. 1) and is a user agent UA for the user a1.
a1 is managed by the server A (see reference numeral 14-1 in FIG. 1).
【0028】ユーザb1が、クライアントマシンb1を
操作して、サーバBにログインすると(ステップ30
1)、サーバBは、これに応答して、エージェントマネ
ージャ「B」(図1の符号22−2参照:以下、「AM
B」と称する。)に、UA−b1の起動を指示する(ス
テップ302)。AMBは、UA−b1をアクティブに
する(ステップ303)。次いで、クライアントマシン
b1から、UA−b1に対して、リソースa1の利用を
申し込むように指示が与えられる(ステップ304)。
利用申し込みにおいては、相手方のユーザ(ユーザa
1)を指定する情報、後述するアクセスレベルを示す情
報が含まれる。When the user b1 operates the client machine b1 and logs in to the server B (step 30)
1), the server B responds to this, by the agent manager “B” (see reference numeral 22-2 in FIG. 1; hereinafter, “AM”).
B ". ) To start the UA-b1 (step 302). The AMB activates UA-b1 (step 303). Then, the client machine b1 gives an instruction to the UA-b1 to apply for the use of the resource a1 (step 304).
In the usage application, the other user (user a
The information specifying 1) and the information indicating the access level described later are included.
【0029】UA−b1は、指示に応答して、サーバA
(図1の符号14−1参照)に対して、リソースa1の
利用を申し込む(ステップ305)。サーバAは、これ
に応答して、エージェントマネージャ「A」(図1の符
号22−1参照:以下、「AMA」と称する。)に、U
A−a1の起動を指示する(ステップ306)。AMA
は、指示に応答して、UA−a1に対して、リソースa
1の利用申し込みを伝達する(ステップ307)。この
利用申し込みには、申込者であるユーザ(ユーザb1)
を特定する情報、アクセスレベルを示す情報が含まれ
る。The UA-b1 responds to the instruction by sending the server A
(See reference numeral 14-1 in FIG. 1) is requested to use the resource a1 (step 305). In response to this, the server A sends U to the agent manager “A” (see reference numeral 22-1 in FIG. 1; hereinafter referred to as “AMA”).
The start of A-a1 is instructed (step 306). AMA
Responds to the instruction by sending the resource a to the UA-a1.
The usage application for No. 1 is transmitted (step 307). For this usage application, the user who is the applicant (user b1)
It includes information that identifies the access point and information that indicates the access level.
【0030】UA−a1は、クライアントa1に対し
て、たとえば、メールにて、ユーザb1よりあるアクセ
スレベルでのリソースa1の利用が申し込まれたことを
通知する(ステップ308)。無論、メール以外の手
法、たとえば、クライアントa1の表示装置の画面上
で、ポップアップするアイコンを利用して、これにより
申し込みを通知するように構成しても良い。ユーザa1
がクライアントa1を操作して、UA−a1に許可を指
示すると(ステップ309)、許可を示す情報が、UA
−a1から、AMAを介して、UA−b1に伝達される
(ステップ310、311)。なお、ユーザa1とユー
ザb1との間で、予め、所定のアクセスレベルの下でリ
ソースa1を利用することを認めるような合意ができて
いても良いし、たとえばメール通知にて、ユーザa1
が、リソースa1の利用を求められていることをはじめ
て知るのでも良い。また、UA−a1は、アクセス制御
リスト(ACL)に、必要な事項を保存する(ステップ
312)。UA−b1も、許可を示す情報を受理する
と、ACLに、必要な事項を保存する(ステップ31
3)。The UA-a1 notifies the client a1 that the user b1 has requested to use the resource a1 at a certain access level, for example, by mail (step 308). Of course, a method other than mail may be used, for example, an application that pops up on the screen of the display device of the client a1 may be used to notify the application. User a1
When the client operates the client a1 to instruct the UA-a1 to permit (step 309), the information indicating permission is UA.
It is transmitted from -a1 to UA-b1 via AMA (steps 310 and 311). It should be noted that an agreement may be made in advance between the users a1 and b1 to allow the resource a1 to be used under a predetermined access level. For example, the user a1 may be notified by e-mail notification.
However, it may be known for the first time that the use of the resource a1 is required. Further, the UA-a1 saves necessary items in the access control list (ACL) (step 312). When the UA-b1 also receives the information indicating the permission, the UA-b1 stores necessary items in the ACL (step 31).
3).
【0031】図5(a)および図5(b)は、それぞ
れ、本実施の形態にかかるACLの例を示す図である。
図5(a)において、ACLは、UAにかかるユーザ
が、他のユーザとそのリソースの利用を同意しているよ
うなリソース名のリストである契約リスト501と、リ
ストに列挙されたリソースごとに、当該リソースに関連
するUAの名称やアクセス制御レベルが記述されたパス
ポート群502−1,502−2とからなる。たとえ
ば、パスポート502−1においては、リソースa1に
関して、関連するUAが、UA−a1であり、アクセス
制御レベルが、「R/W」つまり、リソースの読み出し
および書き込みが認められていることが示されている。
また、パスポート502−2においては、リソースa2
に関して、関連するUAが、UA−a2であり、アクセ
ス制御レベルが、「R,修正」つまり、リソースの読み
出しおよび表示形式の変更が認められていることが示さ
れている。本実施の形態においては、たとえば、アクセ
ス制御レベルとして、読み出し、書き込み、削除、およ
び、修正、並びに、これらの組み合わせが用いられてい
る。無論、これは例示的なものであり、他のレベルが設
定されていても良いことは言うまでもない。5 (a) and 5 (b) are diagrams showing an example of the ACL according to the present embodiment.
In FIG. 5A, the ACL includes a contract list 501, which is a list of resource names in which a user related to the UA agrees to use the resource with another user, and each resource listed in the list. , Passport groups 502-1 and 502-2 in which the name of the UA and the access control level related to the resource are described. For example, in the passport 502-1, regarding the resource a1, it is shown that the related UA is UA-a1 and the access control level is “R / W”, that is, reading and writing of the resource are permitted. ing.
In the passport 502-2, the resource a2
Regarding, regarding the related UA, it is indicated that the related UA is UA-a2, and the access control level is “R, modification”, that is, reading of the resource and change of the display format are permitted. In the present embodiment, for example, read, write, delete, modify, and combinations thereof are used as access control levels. Of course, this is an example, and it goes without saying that other levels may be set.
【0032】その一方、図5(b)においては、パスポ
ート511に、リソース名と関連するUAおよびアクセ
ス制御レベルとの組み合わせが、列挙されている。これ
ら双方とも、その機能は同一である。次に、図3に示す
ようにACLに必要な事項を登録した後に実行される、
リソースへのアクセス手順について、図4を参照して説
明を加える。なお、図4においても、ユーザb1が、ユ
ーザa1の所有するリソースを利用する際に実行される
処理を示す。On the other hand, in FIG. 5B, the passport 511 lists the combinations of the resource name and the associated UA and access control level. Both of them have the same function. Next, as shown in FIG. 3, it is executed after registering necessary items in the ACL,
The procedure for accessing the resource will be described with reference to FIG. Note that FIG. 4 also shows the processing executed when the user b1 uses the resource owned by the user a1.
【0033】まず、ユーザb1の操作にしたがってクラ
イアントマシンb1が、サーバBにログインすると(ス
テップ401)、サーバBは、これに応答して、AMB
にUA−b1の起動を指示する(ステップ402)。A
MBは、UA−b1をアクティブにする(ステップ40
3)。次いで、クライアントマシンb1から、UA−b
1に対して、リソースa1の利用が指示されると(ステ
ップ404)、UA−b1は、ACLを参照して、当該
リソースa1に関するパスポートの内容を確認して(ス
テップ405)、リソース名(リソースa1)、ユーザ
エージェント名(UA−a1)および関連するアクセス
制御レベル(ACレベル)を、サーバAに伝達して、リ
ソースa1の利用を求める(ステップ406)。First, when the client machine b1 logs in to the server B in accordance with the operation of the user b1 (step 401), the server B responds to this by the AMB.
Is instructed to start UA-b1 (step 402). A
The MB activates UA-b1 (step 40).
3). Next, from the client machine b1, UA-b
1 is instructed to use the resource a1 (step 404), the UA-b1 refers to the ACL and confirms the contents of the passport related to the resource a1 (step 405), and the resource name (resource a1), the user agent name (UA-a1) and the related access control level (AC level) are transmitted to the server A to request the use of the resource a1 (step 406).
【0034】サーバAは、情報の受理に応答して、UA
−a1を起動するようにAMAに指示する(ステップ4
07)。これにより、UA−a1がアクティブとなる
(ステップ408)。次いで、サーバAは、ステップ4
06にて伝達されたリソース名およびアクセス制御レベ
ルをUA−a1に伝達する(ステップ409)。UA−
a1は、伝達されたリソース名およびアクセス制御レベ
ルと、自己のACL中に保存されている、当該リソース
名に関するアクセス制御レベルとを照合した後に(ステ
ップ410)、リソースa1を取得する(ステップ41
1)。リソースa1は、UA−b1を介して、クライア
ントb1に伝達される(ステップ412、413)。こ
れにより、クライアントb1は、リソースa1が利用可
能な状態となる。Server A responds to the receipt of the information by responding to the UA
Instruct the AMA to activate a1 (step 4
07). As a result, UA-a1 becomes active (step 408). Server A then proceeds to step 4
The resource name and the access control level transmitted in 06 are transmitted to UA-a1 (step 409). UA-
The a1 obtains the resource a1 after collating the transmitted resource name and access control level with the access control level related to the resource name stored in its ACL (step 410) (step 41).
1). The resource a1 is transmitted to the client b1 via the UA-b1 (steps 412 and 413). As a result, the client b1 enters a state in which the resource a1 can be used.
【0035】ACLにおいて、ユーザb1による、ユー
ザa1の所有するリソースa1の利用に際して、修正
(表現形式の変更)が認められている場合について、図
6を参照して説明を加える。たとえば、UA−b1に、
UA−a1よりリソースが提供されると(ステップ60
1またはステップ412)、UA−b1は、ACL中の
パスポートに記述されたアクセス制御レベルに基づい
て、ユーザb1用の表示形式が記述されたスタイルシー
トを取得する(ステップ602)。次いで、UA−b1
は、スタイルシート中の情報を参照して、ユーザに提示
すべき情報、たとえば、リソース中から生成したコンテ
ンツの表示形式を変換し(ステップ603)、変換した
コンテンツをクライアントb1に伝達する(ステップ6
04またはステップ413)。A case in which correction (change of expression format) is permitted when the user a uses the resource a1 owned by the user a1 in the ACL will be described with reference to FIG. For example, in UA-b1,
When resources are provided by the UA-a1 (step 60
1 or step 412), the UA-b1 obtains the style sheet in which the display format for the user b1 is described based on the access control level described in the passport in the ACL (step 602). Then, UA-b1
Refers to the information in the style sheet, converts the information to be presented to the user, for example, the display format of the content generated from the resource (step 603), and transmits the converted content to the client b1 (step 6).
04 or step 413).
【0036】このように、本実施の形態によれば、ユー
ザに関するユーザエージェントが、当該ユーザが利用す
ることができるリソースに関する種々の情報(リソース
名、相手のユーザエージェント名、アクセス制御レベル
など)、および、当該ユーザが所有するリソースを利用
する他のユーザに関する種々の情報(ユーザ名、ユーザ
エージェント名、アクセス制御レベルなど)を管理して
いる。したがって、リソースへのアクセスに際しての設
定、実際のアクセスなどは、ユーザエージェントが作動
することにより実現される。これにより、管理者が介在
することなく、他人の所有するリソースへのアクセスを
実現することが可能となる。As described above, according to this embodiment, a user agent related to a user can obtain various information (resource name, partner user agent name, access control level, etc.) related to resources available to the user, Also, it manages various information (user name, user agent name, access control level, etc.) regarding other users who use the resources owned by the user. Therefore, the setting at the time of accessing the resource, the actual access, etc. are realized by the operation of the user agent. This makes it possible to realize access to the resources owned by another person without the intervention of the administrator.
【0037】また、本実施の形態によれば、ユーザがリ
ソースを所有する場合に、自己のユーザエージェント
に、アクセス制御リストを設定し、ここに、リソースや
提供するサービスの情報を保存できる。したがって、ア
クセス制御レベル等をきめ細かく設定することも可能と
なる。同様に、自己が利用するリソースに関しても、そ
のアクセス制御レベルをきめ細かく設定することが可能
となる。さらに、本実施の形態によれば、システムの管
理者など特定の第三者に設定−変更を依頼するような手
続きを経る必要を無くすることが可能となる。Further, according to the present embodiment, when the user owns the resource, the access control list can be set in the user agent of the user, and the information of the resource and the service to be provided can be stored therein. Therefore, it becomes possible to finely set the access control level and the like. Similarly, it is possible to finely set the access control level of the resource used by itself. Furthermore, according to the present embodiment, it is possible to eliminate the need to go through a procedure of requesting a specific third party such as a system administrator for setting-change.
【0038】また、本実施の形態によれば、アクセス制
御レベルの確認や照会は、ユーザエージェントが自動的
に行う。したがって、ユーザがこれを意識する必要がな
く、利便性を向上させることができる。さらに、ユーザ
エージェント間でアクセス制御を合意するような形態、
つまり、ユーザエージェント間の通信を利用し、双方の
ユーザエージェントのACLに、合意した情報(たとえ
ば、ユーザ名、アクセス制御レベル)を保存する形態と
なっているため、リソースごとにACLを設定する必要
がない。Further, according to this embodiment, the user agent automatically checks and inquires about the access control level. Therefore, the user does not need to be aware of this, and convenience can be improved. Furthermore, a form in which access control is agreed between user agents,
That is, the communication between the user agents is used to store the agreed information (for example, the user name and the access control level) in the ACLs of both user agents, so it is necessary to set the ACL for each resource. There is no.
【0039】次に、あるユーザによるサーバへの新規な
登録および新規なユーザエージェントの生成について、
図7を参照して説明を加える。ここでは、ユーザa1
が、クライアントa1を操作して、サーバAに対して新
規に登録する場合を説明する。ユーザa1がクライアン
トa1を操作することにより、クライアントa1がサー
バAに接続を要求する(ステップ701)。サーバA
は、これに応答して、当該サーバAへの登録のための登
録フォームを、クライアントa1に送る(ステップ70
2)。ユーザa1が、登録用フォームの項目に所定事項
を記入した後、記入済みの登録用フォームが、クライア
ントa1からサーバAに伝達される(ステップ70
3)。本実施の形態において、登録用フォームの項目に
は、希望するユーザID、氏名、Eメールアドレスが含
まれる。たとえば、リソースとして名刺交換サービスを
利用することが前提とされる場合には、登録用フォーム
の項目には、さらに、会社名、住所、電話番号、ファッ
クス番号、顔写真などが含まれているのが望ましい。サ
ーバAは、必須項目への記入があるかなど、入力事項を
チェックした後に(ステップ704)、ユーザID(U
ID)やパスワード(pwd)を含むメールを、クライ
アントa1に送信する(ステップ705)。Next, regarding the new registration to the server by a certain user and the generation of a new user agent,
Description will be added with reference to FIG. 7. Here, the user a1
A case will be described in which the client a1 is operated to newly register with the server A. When the user a1 operates the client a1, the client a1 requests the server A for connection (step 701). Server A
In response to this, sends a registration form for registration to the server A to the client a1 (step 70).
2). After the user a1 fills in predetermined items in the items of the registration form, the completed registration form is transmitted from the client a1 to the server A (step 70).
3). In the present embodiment, the items of the registration form include a desired user ID, name, and email address. For example, if the business card exchange service is assumed to be used as a resource, the items on the registration form may further include the company name, address, telephone number, fax number, and face photo. Is desirable. The server A checks the input items such as whether the required items are filled (step 704), and then the user ID (U
A mail including the ID) and the password (pwd) is transmitted to the client a1 (step 705).
【0040】クライアントa1がログインすると(ステ
ップ711)、サーバAにおいては所定事項をチェック
した後(ステップ712)、ユーザエージェント(U
A)を設定する指示をエージェントマネージャ「A」
(AMA)に与える(ステップ713)。なお、本実施
の形態においては、ステップ705によるメール通信か
ら24時間以内にアクセスすることにより、当該ユーザ
に関するUAを新規に設定するように構成されている。
したがって、ステップ712においては、UIDやpw
dによるユーザ認証の他、メール通信から24時間以内
のアクセスであるかなどが判断される。When the client a1 logs in (step 711), the server A checks predetermined items (step 712), and then the user agent (U
Agent manager “A” for instructions to set A)
(AMA) (step 713). In the present embodiment, the UA relating to the user is newly set by accessing within 24 hours after the mail communication in step 705.
Therefore, in step 712, UID and pw
In addition to the user authentication by d, it is determined whether the access is within 24 hours from the mail communication.
【0041】AMAは、UA設定の指示にしたがって、
ユーザa1用のユーザエージェントであるUA−a1を
生成する(ステップ714)。ここでは、ステップ70
3にて送られてきた登録用フォーム中の情報も設定され
る。このようにして、あるユーザのためのユーザエージ
ェントを生成することができる。その後、ユーザは、当
該ユーザエージェントに、後述する自己の提供するサー
ビスに関する情報を登録或いは追加し、また、ACLに
利用する他のユーザのリソースを登録することが可能と
なる。AMA follows the instruction of UA setting
The user agent UA-a1 for the user a1 is generated (step 714). Here, step 70
The information in the registration form sent in 3 is also set. In this way, a user agent for a user can be created. After that, the user can register or add information regarding a service provided by the user, which will be described later, to the user agent, and can also register resources of other users to be used in the ACL.
【0042】図8は、自己の提供するサービスを追加す
る際に実行される処理を示すフローチャートである。こ
の例においては、ユーザa1が、クライアントa1を操
作して、サーバAにアクセスし、新たなサービスを自己
のユーザエージェントであるUA−a1に設定してい
る。まず、クライアントa1がサーバAにログインする
と(ステップ801)、サーバAが、AMAに対して、
UA−a1の起動を指示し(ステップ802)、これに
より、UA−a1がアクティブとなる(ステップ80
3)。ここでは、UA−a1は、AMAに対して、サー
ビスマネージャ(図2の符号305参照、以下、「S
A」と称する)の検出を依頼し、必要な情報を取得する
(ステップ804)。SAは、本実施の形態において提
供可能な各種サービスの雛型を管理するエージェントで
ある。このSAは、サービスエージェントと称しても良
い。SAが管理する雛型には、たとえば、名刺交換サー
ビスに関しては、サービス名、データ構造、ACLの形
式(読み、書き、修正(変更)、削除等の定義などが含
まれる。FIG. 8 is a flowchart showing the processing executed when adding the service provided by itself. In this example, the user a1 operates the client a1 to access the server A and sets a new service in the user agent UA-a1 of the user. First, when the client a1 logs in to the server A (step 801), the server A asks the AMA.
The UA-a1 is instructed to be activated (step 802), and the UA-a1 becomes active (step 80).
3). Here, the UA-a1 is directed to the service manager (see the reference numeral 305 in FIG. 2;
A) is requested and necessary information is acquired (step 804). SA is an agent that manages templates of various services that can be provided in the present embodiment. This SA may be referred to as a service agent. The template managed by the SA includes, for example, a service name, a data structure, an ACL format (reading, writing, correction (change), definition of deletion, etc.) for a business card exchange service.
【0043】UA−a1からの依頼に応答して、SA
は、提供可能な各種サービスのリストを含むサービス情
報をUA−a1に与え(ステップ805)、UA−a1
は、提供可能なサービスの一覧リストを、クライアント
a1に伝達する(ステップ806)。ユーザがクライア
ントa1を操作して新たに提供したいサービスを選択す
ると、選択情報がUA−a1に伝達される(ステップ8
07)。これに応答して、UA−a1は、SAから選択
されたサービスに関するオブジェクト(雛型)を取得し
(ステップ808)、必要な項目をユーザa1に入力さ
せるための設定フォーム(サービス情報設定フォーム)
を生成して、これをクライアントa1に伝達する(ステ
ップ809)。必要な事項が入力された設定フォーム
が、UA−a1に与えられると(ステップ810)、U
A−a1は、当該入力された情報を雛型に設定して、設
定されたサービス情報を保存する(ステップ811)。
これにより、ユーザa1は、UA−a1に設定されたサ
ービス情報に基づくサービスの提供が可能となる。In response to the request from UA-a1, SA
Gives service information including a list of various services that can be provided to the UA-a1 (step 805), and
Transmits the list of available services to the client a1 (step 806). When the user operates the client a1 and selects a new service to be provided, the selection information is transmitted to the UA-a1 (step 8).
07). In response to this, the UA-a1 acquires an object (template) related to the service selected from the SA (step 808), and sets the user a1 to input necessary items (service information setting form).
Is generated and transmitted to the client a1 (step 809). When the setting form in which the necessary items are input is given to UA-a1 (step 810), U
A-a1 sets the input information as a template and stores the set service information (step 811).
As a result, the user a1 can provide a service based on the service information set in the UA-a1.
【0044】本実施の形態においては、単一のユーザ
が、他のユーザのリソースを利用するだけでなく、一以
上のユーザからなるグループの構成員であるユーザが、
他のユーザのリソースを利用することもできる。図9
は、グループのリーダが、グループに関するユーザエー
ジェントの生成を依頼したことに応答して実行される処
理を示すフローチャートである。In the present embodiment, not only a single user uses the resources of another user, but also a user who is a member of a group of one or more users,
You can also use the resources of other users. Figure 9
FIG. 6 is a flowchart showing a process executed in response to a group leader requesting generation of a user agent for a group.
【0045】図9の例では、グループのリーダがユーザ
a1であり、当該グループの構成員に少なくともユーザ
b1が含まれている。ユーザa1がクライアントa1を
操作して、サーバAにログインすると(ステップ90
1)、サーバAは、これに応答して、AMAにUA−a
1の起動を指示する(ステップ902)。AMAは、U
A−a1をアクティブにする(ステップ903)。In the example of FIG. 9, the leader of the group is the user a1, and the members of the group include at least the user b1. When the user a1 operates the client a1 and logs in to the server A (step 90)
1), the server A responds to this and sends the UA-a to the AMA.
1 is activated (step 902). AMA is U
A-a1 is activated (step 903).
【0046】次いで、クライアントa1から、UA−a
1に対して、グループエージェント生成の指示が伝達さ
れる(ステップ904)。UA−a1は、指示の受理に
応答して、AMAに対して、グループユーザエージェン
ト(ここでは、「GUA」と称する)の生成を依頼する
(ステップ905)。AMAがGUAを生成すると(ス
テップ906)、生成されたGUAにおいて、生成の依
頼主(ここでは、ユーザa1)がグループリーダである
ことを示す情報が、ACLに保存される(ステップ90
7)。また、UA−a1は、ユーザa1がグループのリ
ーダとなったことをACLに保存する(ステップ90
8)。Then, from the client a1, the UA-a
The instruction to generate the group agent is transmitted to the server 1 (step 904). In response to the acceptance of the instruction, the UA-a1 requests the AMA to generate a group user agent (herein referred to as "GUA") (step 905). When the AMA generates the GUI (step 906), in the generated GUI, the information indicating that the generation requester (here, the user a1) is the group leader is stored in the ACL (step 90).
7). Further, the UA-a1 saves in the ACL that the user a1 has become the leader of the group (step 90).
8).
【0047】次いで、グループリーダであるユーザa1
の操作により、グループのメンバを示す情報とともに、
メンバ登録通知の指示が、クライアントa1からGUA
に与えられると(ステップ909)、GUAは、メンバ
に対して、メンバ登録をすることを通知する(ステップ
910)。ここでは、メンバとなるユーザb1への通知
のみを示しているが、実際には、すべてのメンバに対し
て通知される。Next, the user a1 who is the group leader
By the operation of, together with the information showing the members of the group,
The member registration notification instruction is issued from the client a1 to the GUI.
(Step 909), the GUA notifies the member that member registration will be performed (step 910). Here, only the notification to the user b1 who is a member is shown, but in reality, all the members are notified.
【0048】メンバ登録通知は、サーバBのUA−b1
(ユーザb1のユーザエージェント)を介して、ユーザ
b1が操作しているクライアントb1に伝達される(ス
テップ911)。クライアントb1から、登録すべきこ
とを認める通知(確認通知)がUA−b1に伝達される
と(ステップ912)、UA−b1は、これをGUAに
転送する(ステップ913)。GUAは、これに応答し
て、確認通知を発信したユーザをメンバとして、ACL
に保存する(ステップ914)。同様に、UA−b1
は、ユーザb1が、グループエージェントのメンバにな
ったことを、ACLに保存する(ステップ915)。The member registration notice is sent from the UA-b1 of the server B.
It is transmitted to the client b1 operated by the user b1 via (user agent of the user b1) (step 911). When a notification (confirmation notification) admitting that registration should be made is transmitted from the client b1 to the UA-b1 (step 912), the UA-b1 transfers this to the GUIA (step 913). In response to this, the GUIA uses the user who has sent the confirmation notification as a member, and
(Step 914). Similarly, UA-b1
Stores in the ACL that the user b1 has become a member of the group agent (step 915).
【0049】図10は、あるリソースを所有するユーザ
のユーザエージェントに対して、グループとしてリソー
スの利用を申し込む際に実行される処理を示すフローチ
ャートである。本実施の形態においては、グループリー
ダからの指示により、当該グループエージェントが起動
して、他のユーザの所有するリソースの利用を申し込む
ようになっている。図10は、グループリーダであるユ
ーザa1が、グループとして、ユーザb2の所有するリ
ソース(リソースb2)を利用する例を示している。図
10に示す処理は、基本的には、図3に示すものと類似
している。FIG. 10 is a flowchart showing a process executed when a user agent of a user who owns a certain resource requests to use the resource as a group. In the present embodiment, the group agent is activated by an instruction from the group leader to apply for the use of resources owned by another user. FIG. 10 shows an example in which the user a1 who is the group leader uses the resource (resource b2) owned by the user b2 as a group. The process shown in FIG. 10 is basically similar to that shown in FIG.
【0050】図3においては、クライアントb1から、
サーバBのAMBおよびUA−b1が起動して、サーバ
Aに対して必要な情報が伝達され、UA−b1からの利
用申し込み(リソースa1の利用申し込み)に応答し
て、サーバAのAMAおよびUA−a1が起動して、ユ
ーザa1が操作しているクライアントa1に対して、利
用許可を求めるようになっている。これに対して、図1
0においては、クライアントa1から、サーバAのAM
AおよびUA−a1が起動し、グループとしてのリソー
スb2の利用も申し込みの指示(ステップ1004)に
応答して、ACLが確認され(ステップ1005)、当
該グループに関するグループエージェントであるGUA
が起動し(ステップ1006)、これ以後、GUAが、
必要な処理を進めるようになっている。In FIG. 3, from the client b1,
The AMB and UA-b1 of the server B are activated, necessary information is transmitted to the server A, and the AMA and UA of the server A are responded to in response to the use application (use application of the resource a1) from the UA-b1. -A1 is activated, and the client a1 operated by the user a1 is requested for permission to use. On the other hand,
At 0, from client a1 to server A's AM
A and UA-a1 are activated, and the use of the resource b2 as a group is also confirmed in response to the application instruction (step 1004), the ACL is confirmed (step 1005), and the group agent GUA related to the group is used.
Is activated (step 1006), and thereafter, the GUA
It is designed to carry out the necessary processing.
【0051】より詳細には、GUAが起動すると、AC
Lを検索して、グループのアクセス制御レベル等を取得
し、ユーザb2に関するユーザエージェントであるUA
−b2が存在するサーバBに対して、リソースb2の利
用を申し込む(ステップ1009)。サーバBが利用申
し込みに応答して、AMBにUA−b2の起動を指示す
ることにより(ステップ1010)、UA−b2が起動
される(ステップ1011)。これ以降の処理(ステッ
プ1012〜1017)は、図3のステップ308〜ス
テップ313と略同様である。More specifically, when the GUA is activated, the AC
UA, which is the user agent for user b2, is searched for L to obtain the group access control level and the like.
-Request the use of the resource b2 to the server B in which b2 exists (step 1009). In response to the usage application, the server B instructs the AMB to activate the UA-b2 (step 1010), and the UA-b2 is activated (step 1011). Subsequent processing (steps 1012 to 1017) is substantially the same as steps 308 to 313 in FIG.
【0052】図10に示すような利用申し込みの後、グ
ループのリーダおよびメンバは、他のユーザのリソース
を利用することが可能となる。図11は、あるグループ
のメンバが、グループの一員として、他のユーザb2の
所有するリソースにアクセスする際に実行される処理を
示すフローチャートである。ここでは、グループのメン
バa2が、他のユーザb2の所有するリソースを利用す
る場合を示している。図11において、ユーザa2の操
作にしたがって、クライアントマシンa2が、サーバA
にログインすると(ステップ1101)、サーバAは、
これに応答して、AMAに、ユーザa2のユーザエージ
ェントであるUA−a2の起動を指示する(ステップ1
102)。これにより、UA−a2がアクティブとなる
(ステップ1103)。After the use application as shown in FIG. 10, the leader and members of the group can use the resources of other users. FIG. 11 is a flowchart showing a process executed when a member of a group accesses a resource owned by another user b2 as a member of the group. Here, the case where the member a2 of the group uses the resource owned by another user b2 is shown. In FIG. 11, according to the operation of the user a2, the client machine a2 changes to the server A.
When logging in to (step 1101), server A
In response to this, the AMA is instructed to activate the user agent UA-a2 of the user a2 (step 1).
102). As a result, UA-a2 becomes active (step 1103).
【0053】次いで、クライアントマシンa2からUA
−a2に対して、グループの一員としてリソースb2の
利用を申し込むことを示す指示が与えられると(ステッ
プ1104)、UA−a2はACLを確認して(ステッ
プ1105)、グループに関するユーザエージェントで
あるGUAを特定して、当該GUAに対して起動指示を
与え(ステップ1106)、その後に、リソースb2の
利用申し込みの指示を与える(ステップ1107)。G
UAは、ACLを検索して(ステップ1108)、必要
な情報を取得して、アクセス制御レベル(ACレベ
ル)、利用しようとしているリソースb2やユーザエー
ジェントであるUA−b2を指定する情報を、サーバB
に伝達する(ステップ1109)。Next, from the client machine a2 to UA
When -a2 is instructed to apply to use the resource b2 as a member of the group (step 1104), the UA-a2 confirms the ACL (step 1105) and confirms that the user agent for the group, GUA. Is specified, and an activation instruction is given to the GUI (step 1106), and thereafter, an instruction to apply to use the resource b2 is given (step 1107). G
The UA searches the ACL (step 1108), obtains necessary information, accesses the access control level (AC level), and provides the information specifying the resource b2 to be used and the user agent UA-b2 to the server. B
(Step 1109).
【0054】サーバBは、情報の受理に応答してAMB
に、UA−b2の起動を指示する(ステップ111
0)。これによりUA−b2がアクティブとなる。UA
−b2は、ACLを参照して、利用申し込みをしてきた
グループに関する情報を確認した後に(ステップ111
2)、リソースb2を取得する(ステップ1113)。
その後に、リソースb2が、GUAおよびUA−a2を
介して、クライアントa2に提供される(ステップ11
14、1115、1116)。このようにして、ユーザ
a2は、グループの一員として、リソースb2を利用す
ることが可能となる。Server B responds to the receipt of the information by AMB.
To start the UA-b2 (step 111).
0). This activates UA-b2. UA
-B2 refers to the ACL and confirms the information regarding the group that has applied for use (step 111
2) The resource b2 is acquired (step 1113).
Thereafter, resource b2 is provided to client a2 via GUA and UA-a2 (step 11).
14, 1115, 1116). In this way, the user a2 can use the resource b2 as a member of the group.
【0055】グループのリーダであるユーザa1が、リ
ソースb2を利用する際にも同様の処理手順となる。ま
た、他のサーバ(たとえば、サーバB)を利用するメン
バ(たとえば、b1)が、リソースb2を利用する際に
も、略同様の手順となる。図12は、その場合の処理を
示すフローチャートである。ここでも、基本的には、図
11に示すものと同様の処理が進められる。図12にお
いては、GUAが存在しているサーバAに対して、UA
−b1がGUAの起動を指示し(ステップ1206)、
AMAを介して、GUAがアクティブにされる(ステッ
プ1207、1208)。また、GUAからは、リソー
スb2が存在するサーバBに対して、リソースb2に利
用申し込みが伝達され(ステップ1211)、AMBが
UA−b2を起動し、UA−b2が、自己のACLを確
認した後、リソースb2を取得して、これを、GUAに
伝達することになる。さらに、リソースb2を取得した
GUAは、UA−b1を介して、これをクライアントb
2に伝達することになる。The user a1 who is the leader of the group has the same processing procedure when using the resource b2. Also, when a member (for example, b1) using another server (for example, server B) uses the resource b2, the procedure is substantially the same. FIG. 12 is a flowchart showing the processing in that case. Here again, basically, the same processing as that shown in FIG. 11 is performed. In FIG. 12, for the server A where the GUA exists, the UA
-B1 instructs activation of GUA (step 1206),
The GUA is activated via the AMA (steps 1207, 1208). Also, from the GUA, the usage application is transmitted to the resource b2 to the server B having the resource b2 (step 1211), the AMB activates the UA-b2, and the UA-b2 confirms its own ACL. After that, the resource b2 is acquired, and this is transmitted to the GUA. Further, the GUA that has acquired the resource b2 sends this to the client b via the UA-b1.
It will be transmitted to 2.
【0056】本実施の形態によれば、一連のユーザ群か
ら構成するグループにおいて、そのリーダおよびメンバ
が、おなじ条件の下で、他のユーザのリソースを利用す
ることが可能となる。ここでは、リーダからの指示によ
り、グループエージェントが生成され、グループエージ
ェントから、各メンバへの登録通知が伝達される。ま
た、リーダからのリソース利用の申し込みの指示によ
り、グループエージェントから、他のユーザに関する他
のユーザエージェントに、リソースの利用申し込みがな
される。このように、グループエージェントを利用する
ことで、管理者やユーザの煩雑な手順を経ることなく、
リソースの利用が実現される。According to the present embodiment, the leader and members of a group formed of a series of users can use the resources of other users under the same conditions. Here, a group agent is generated according to an instruction from the leader, and the group agent transmits a registration notification to each member. Further, in response to an instruction from the leader to apply for resource use, the group agent makes an application request for resource use to another user agent related to another user. In this way, by using the group agent, you do not have to go through the troublesome steps of the administrator and the user.
Utilization of resources is realized.
【0057】本発明は、以上の実施の形態に限定される
ことなく、特許請求の範囲に記載された発明の範囲内
で、種々の変更が可能であり、それらも本発明の範囲内
に包含されるものであることは言うまでもない。たとえ
ば、前記実施の形態においては、リソースに関連付けら
れたエージェント(たとえば、図1のリソースa1(符
号101)とUA−a1(符号111)、および、リソ
ースa2(符号102)とUA−a2(符号112)参
照)が例示されているが、ユーザエージェントには、リ
ソースと関連付けられていないもの、たとえば、他人の
リソースのみを利用するユーザエージェントも存在す
る。このような場合に、ユーザエージェントはアクセス
制御リストのみを有していれば良い。The present invention is not limited to the above embodiments, and various modifications can be made within the scope of the invention described in the claims, and these are also included in the scope of the present invention. It goes without saying that this is what is done. For example, in the above-described embodiment, agents associated with resources (for example, resource a1 (reference numeral 101) and UA-a1 (reference numeral 111) and resource a2 (reference numeral 102) and UA-a2 (reference numeral in FIG. 1). 112) is illustrated, but there are user agents that are not associated with resources, for example, user agents that use only the resources of others. In such a case, the user agent need only have the access control list.
【0058】さらに、前記実施の形態においては、複数
のサーバ(サーバAおよびサーバB)が利用されている
が、単一のサーバにおいても本発明を適用することは可
能である。無論、3台以上のサーバが設けられていて
も、本発明が提要できることは言うまでもない。また、
本明細書において、一つの手段の機能が、二つ以上の物
理的手段により実現されても、若しくは、二つ以上の手
段の機能が、一つの物理的手段により実現されてもよ
い。Further, although a plurality of servers (server A and server B) are used in the above embodiment, the present invention can be applied to a single server. Needless to say, the present invention can be applied even if three or more servers are provided. Also,
In this specification, the function of one means may be realized by two or more physical means, or the functions of two or more means may be realized by one physical means.
【0059】[0059]
【発明の効果】本発明によれば、所望の単位で、ユーザ
や管理人に負担をかけることなく、きめ細かなアクセス
制御レベルの設定が可能なシステムを提供することを目
的とする。According to the present invention, it is an object of the present invention to provide a system capable of finely setting an access control level in a desired unit without burdening a user or an administrator.
【図1】 図1は、本発明の実施の形態にかかるデータ
通信システムの概略を示す図である。FIG. 1 is a diagram showing an outline of a data communication system according to an embodiment of the present invention.
【図2】 図2は、本実施の形態にかかるサーバの構成
の概略を示すブロックダイヤグラムである。FIG. 2 is a block diagram showing an outline of a configuration of a server according to the present embodiment.
【図3】 図3は、あるユーザの間で、一方のユーザが
所有するリソースを他のユーザが利用する際に実行され
る手順を説明したフローチャートである。FIG. 3 is a flowchart illustrating a procedure executed when a user uses a resource owned by one user among other users.
【図4】 図4は、あるユーザの間で、一方のユーザが
所有するリソースを他のユーザが利用する際に実行され
る手順を説明したフローチャートである。FIG. 4 is a flowchart illustrating a procedure executed when a resource owned by one user is used by another user among certain users.
【図5】 図5(a)および図5(b)は、それぞれ、
本実施の形態にかかるACLの例を示す図である。5 (a) and 5 (b) are respectively,
It is a figure which shows the example of ACL concerning this Embodiment.
【図6】 図6は、あるユーザの間で、一方のユーザが
所有するリソースを他のユーザが利用する際に実行され
る手順を説明したフローチャートである。FIG. 6 is a flowchart illustrating a procedure executed when a resource owned by one user is used by another user among certain users.
【図7】 図7は、本実施の形態において、あるユーザ
によるサーバへの新規な登録および新規なユーザエージ
ェントの生成を示すフローチャートである。FIG. 7 is a flowchart showing a new registration to a server by a user and generation of a new user agent in the present embodiment.
【図8】 図8は、自己の提供するサービスを追加する
際に実行される処理を示すフローチャートである。FIG. 8 is a flowchart showing a process executed when adding a service provided by itself.
【図9】 図9は、本実施の形態において、グループの
リーダが、グループに関するユーザエージェントの生成
を依頼したことに応答して実行される処理を示すフロー
チャートである。FIG. 9 is a flowchart showing processing executed in response to a group leader requesting generation of a user agent related to a group in the present embodiment.
【図10】 図10は、本実施の形態において、あるリ
ソースを所有するユーザのユーザエージェントに対し
て、グループとしてリソースの利用を申し込む際に実行
される処理を示すフローチャートである。FIG. 10 is a flowchart showing a process executed when a user agent of a user who owns a certain resource requests to use the resource as a group in the present embodiment.
【図11】 図11は、本実施の形態において、あるグ
ループのメンバが、グループの一員として、他のユーザ
b2の所有するリソースにアクセスする際に実行される
処理を示すフローチャートである。FIG. 11 is a flowchart showing a process executed when a member of a group accesses a resource owned by another user b2 as a member of the group in the present embodiment.
【図12】 図12は、本実施の形態において、あるグ
ループのメンバが、グループの一員として、他のユーザ
b2の所有するリソースにアクセスする際に実行される
処理を示すフローチャートである。FIG. 12 is a flowchart showing a process executed when a member of a group accesses a resource owned by another user b2 as a member of the group in the present embodiment.
12 ネットワーク 14 サーバ 16 リソースDB 18 エージェントDB 20 クライアントマシン 22 エージェントマネージャ 111、112 ユーザエージェント 12 networks 14 servers 16 resource DB 18 Agent DB 20 client machines 22 Agent Manager 111,112 User Agent
───────────────────────────────────────────────────── フロントページの続き (72)発明者 広重 一仁 東京都中央区八丁堀四丁目7番1号 日本 テレコム株式会社内 (72)発明者 今井 修 香川県高松市天神前10番3号 株式会社ア ットメーカー内 Fターム(参考) 5B017 AA07 BA06 BB09 CA16 5B082 AA01 EA11 5B085 AE02 AE23 BA07 BG04 BG07 ─────────────────────────────────────────────────── ─── Continued front page (72) Inventor Kazuhito Hiroshige 4-7-1, Hatchobori, Chuo-ku, Tokyo Japan Telecom Co., Ltd. (72) Inventor Osamu Imai 10-3 Tenjinmae, Takamatsu City, Kagawa Prefecture Inside the maker F-term (reference) 5B017 AA07 BA06 BB09 CA16 5B082 AA01 EA11 5B085 AE02 AE23 BA07 BG04 BG07
Claims (16)
ザに関するリソースを利用する際のアクセス制御方法で
あって、 前記ユーザごとに、当該ユーザが利用可能な他のユーザ
のリソースに関する情報をそのアクセスレベルとともに
アクセス制御リストとして管理するユーザエージェント
を設けるステップと、 前記ユーザエージェントが、ユーザからの他のユーザの
リソースの利用申し込み要求に応答して起動し、当該他
のユーザに関する他のユーザエージェントを特定するス
テップと、 前記ユーザエージェントが、前記他のユーザエージェン
トに対して、前記リソースの利用申し込みを、そのアク
セス制御レベルとともに伝達するステップと、 前記他のユーザエージェントが、前記リソースの利用申
し込みに応答して、前記他のユーザに、リソース利用の
承認を求めるステップと、 前記他のユーザエージェントが、前記リソース利用の承
認の受理に応答して、そのアクセス制御リストに、必要
な情報を保存するとともに、承認があったことを、前記
ユーザエージェントに通知するステップと、 前記ユーザエージェントが、通知の受理に応答して、そ
のアクセス制御リストに、必要な情報を保存するステッ
プとを備えたことを特徴とするアクセス制御方法。1. A method for controlling access when a user of a system uses a resource related to another user, wherein information about the resource of another user available to the user is accessed for each user. A step of providing a user agent to be managed as an access control list together with the level; the user agent is activated in response to a user's request for using a resource of another user, and identifies another user agent related to the other user. The user agent transmits the application for using the resource to the other user agent together with the access control level thereof, and the other user agent responds to the application for using the resource. To other users Requesting approval for resource usage, the other user agent responds to the acceptance of the approval for resource usage, stores necessary information in its access control list, and confirms that there is approval. An access control method comprising: notifying a user agent; and, in response to acceptance of the notification, the user agent stores necessary information in its access control list.
記ユーザからの、他のユーザのリソースの利用要求に応
答して、前記申し込みに関連する情報を、前記アクセス
制御リストと照合して、その内容を確認するステップ
と、 前記他のユーザエージェントに対して、前記リソースの
利用要求を、そのアクセス制御レベルとともに伝達する
ステップと、 前記他のユーザエージェントが、前記リソース利用要求
に応答して、前記アクセス制御リストを参照して、利用
要求にかかる情報と、アクセス制御リスト中の情報とを
照合するステップと、 前記要求にかかるリソースを取得して、前記ユーザエー
ジェントに伝達するステップと、 前記ユーザエージェントが、伝達されたリソースを、前
記ユーザが利用しているマシンに与えるステップとを備
えたことを特徴とする請求項1に記載のアクセス制御方
法。2. The user agent, in response to a request from the user to use a resource of another user, collates the information related to the application with the access control list and determines the content thereof. Confirming, transmitting the resource use request to the other user agent together with the access control level thereof, the other user agent responding to the resource use request by performing the access control Referring to the list, collating the information related to the usage request and the information in the access control list, acquiring the resource related to the request, and transmitting to the user agent, the user agent, Providing the transmitted resources to the machine used by the user. Access control method according to claim 1, characterized in that the.
読み出し、リソースへの書き込み、リソースの表示形式
の変更、利用可能時間、および/または、これらの組み
合わせを含むことを特徴とする請求項1または2に記載
のアクセス制御方法。3. The access control level includes reading a resource, writing to a resource, changing a display format of a resource, available time, and / or a combination thereof. The access control method described in.
求に応答して、前記ユーザエージェントが、提供可能な
サービスおよび関連する情報を管理するサービスエージ
ェントから、提供可能なサービスのリストを取得して、
当該リストを、前記ユーザに提示するステップと、 ユーザからのリストからの選択情報にしたがって、前記
サービスエージェントに対して、当該サービスの提供の
ための必要なデータの項目を含む雛型であるサービスオ
ブジェクトを取得するステップと、 当該サービスオブジェクトに基づいて、ユーザ入力の必
要な項目を列挙したフォームを生成して、前記ユーザに
提示するステップと、 ユーザから前記フォームに入力された情報にしたがっ
て、当該ユーザのアクセス制御リストに、前記情報が与
えられたサービスオブジェクトを保存するステップとを
備えたことを特徴とする請求項1ないし3の何れか一項
に記載のアクセス制御方法。4. Further, in response to a service addition request from a user, the user agent acquires a list of services that can be provided from a service agent that manages services that can be provided and related information,
A step of presenting the list to the user, and a service object that is a template including necessary data items for providing the service to the service agent according to selection information from the list from the user. To generate a form enumerating the items required for user input based on the service object, and to present the form to the user; and to the user according to the information entered in the form by the user. 4. The access control method according to claim 1, further comprising the step of storing the service object to which the information is given in the access control list.
グループのリーダに関するユーザエージェントが、当該
リーダから、当該グループに関するグループエージェン
トの生成要求に応答して、ユーザエージェントを管理す
るエージェントマネージャに対して、グループエージェ
ントの生成を依頼するステップと、 前記エージェントマネージャが、当該ユーザ群から構成
されるグループに関するグループエージェントを生成
し、少なくとも、リーダに関する情報をアクセス制御リ
ストに保存するステップと、 前記ユーザエージェントが、関連するユーザがグループ
のリーダとなったことを前記アクセス制御リストに保存
するステップと、 前記グループエージェントが、ユーザからの当該グルー
プを構成するメンバおよび当該メンバの登録通知の指示
の受理に応答して、前記メンバに関するユーザエージェ
ントの各々に、前記グループのメンバとして登録するこ
とを通知するステップと、 前記メンバに関するユーザエージェントからの確認の受
理に応答して、アクセス制御リストに、メンバに関する
情報を保存するステップと、 前記メンバに関するユーザエージェントにおいて、前記
関連するユーザがグループのメンバとなったことを前記
アクセス制御リストに保存するステップとを備えたこと
を特徴とする請求項1ないし4の何れか一項に記載のア
クセス制御方法。5. A user agent for a leader of a group composed of a series of users responds to a request for generation of a group agent for the group from the leader to an agent manager for managing the user agent. A step of requesting generation of a group agent, the agent manager generating a group agent relating to a group composed of the user group, and at least storing information regarding a leader in an access control list; Storing in the access control list that the related user has become the leader of the group, the group agent notifying the member of the group and the registration of the member from the user. In response to accepting the instruction from the user agent, informing each of the user agents regarding the member to register as a member of the group; and in response to accepting the confirmation from the user agent regarding the member, the access control list Storing the information about the member in the user agent for the member, and saving in the access control list that the related user has become a member of the group. 5. The access control method according to any one of 1 to 4.
ーザからの、グループのリーダ或いはメンバとしての、
他のユーザのリソースの利用申し込み要求に応答して起
動し、当該アクセス制御リストを参照して、前記グルー
プに関連するグループエージェントを特定するステップ
と、 前記グループエージェントに、グループとしてのリソー
スの利用申し込み要求を伝達するステップと、 前記グループエージェントが、前記他のユーザエージェ
ントに対して、前記リソースの利用申し込みを、そのア
クセス制御レベルとともに伝達するステップと、 前記他のユーザエージェントが、前記リソースの利用申
し込みに応答して、前記他のユーザに、リソース利用の
承認を求めるステップと、 前記他のユーザエージェントが、前記リソース利用の承
認の受理に応答して、そのアクセス制御リストに、必要
な情報を保存するとともに、承認があったことを、前記
グループエージェントに通知するステップと、 前記グループエージェントが、通知の受理に応答して、
そのアクセス制御リストに、必要な情報を保存するステ
ップとを備えたことを特徴とする請求項5に記載のアク
セス制御方法。6. The user agent further comprises a user as a group leader or member.
Starting in response to another user's resource application request, referring to the access control list to identify a group agent related to the group, and requesting the group agent to use the resource as a group Transmitting the request, the group agent transmitting the application for using the resource to the other user agent together with the access control level, and the other user agent applying for using the resource In response to requesting the other user to approve the resource usage, and the other user agent saves necessary information in its access control list in response to the acceptance of the resource usage approval. And that there was approval, Notifying a group agent, said group agent responding to the receipt of the notification by:
The access control method according to claim 5, further comprising the step of storing necessary information in the access control list.
ザに関するリソースの利用を制御するアクセス制御シス
テムであって、 前記ユーザごとに、当該ユーザが利用可能な他のユーザ
のリソースに関する情報をそのアクセスレベルとともに
アクセス制御リストとして管理するユーザエージェント
を備え、 前記ユーザエージェントが、ユーザからの他のユーザの
リソースの利用申し込み要求に応答して起動し、当該他
のユーザに関する他のユーザエージェントを特定するユ
ーザエージェント特定手段と、 前記他のユーザエージェントに対して、前記リソースの
利用申し込みを、そのアクセス制御レベルとともに伝達
する利用申し込み処理手段と、 前記他のユーザエージェントにおける、前記リソースの
利用申し込みに応答した、前記他のユーザに対するリソ
ース利用の承認要求、および、承認の受理に基づき、ユ
ーザエージェントに伝達された通知に応答して、前記ア
クセス制御リストに、必要な情報を保存する情報保存手
段とを有することを特徴とするアクセス制御システム。7. An access control system in which a user who uses the system controls the use of a resource related to another user, wherein information about the resource of another user available to the user is accessed by the user. A user including a user agent managed as an access control list together with a level, wherein the user agent is activated in response to a user's request for use of a resource from another user, and specifies another user agent related to the other user. An agent specifying means, a usage application processing means for transmitting a usage application of the resource to the other user agent together with the access control level thereof, and a response to the usage application of the resource in the other user agent, The other you Resource access approval request to the user agent, and in response to the notification transmitted to the user agent based on the acceptance of the approval, the access control list includes information storage means for storing necessary information. Access control system.
記ユーザ或いは他のユーザエージェントからの、他のユ
ーザのリソースの利用要求に応答して、前記申し込みに
関連する情報を、前記アクセス制御リストと照合して、
その内容を確認するアクセス制御リスト照合手段を有す
ることを特徴とする請求項7に記載のアクセス制御シス
テム。8. The user agent further checks information related to the application against the access control list in response to a request from the user or another user agent to use a resource of another user. hand,
8. The access control system according to claim 7, further comprising access control list collating means for confirming the contents.
求に応答して、前記ユーザエージェントが、提供可能な
サービスおよび関連する情報を管理するサービスエージ
ェントから、提供可能なサービスのリストを取得して、
当該リストを、前記ユーザに提示するサービスリスト取
得手段と、 ユーザからのリストからの選択情報にしたがって、前記
サービスエージェントに対して、当該サービスの提供の
ための必要なデータの項目を含む雛型であるサービスオ
ブジェクトを取得するサービスオブジェクト取得手段
と、 当該サービスオブジェクトに基づいて、ユーザ入力の必
要な項目を列挙したフォームを生成して、前記ユーザに
提示するフォーム生成手段と有し、 前記情報保存手段が、ユーザから前記フォームに入力さ
れた情報にしたがって、当該ユーザのアクセス制御リス
トに、前記情報が与えられたサービスオブジェクトを保
存するように構成されたことを特徴とする請求項7また
は8に記載のアクセス制御システム。9. In addition, in response to a service addition request from a user, the user agent acquires a list of services that can be provided from a service agent that manages services that can be provided and related information,
The list is in the form of a template including the service list acquisition means to be presented to the user, and items of data necessary for providing the service to the service agent according to the selection information from the list from the user. A service object acquisition unit that acquires a certain service object; and a form generation unit that generates a form listing necessary items for user input based on the service object and presents the form to the user, the information storage unit 9. The method according to claim 7, wherein the service object is provided with the information in the access control list of the user according to the information entered in the form by the user. Access control system.
プに関するグループエージェントであって、少なくと
も、リーダに関する情報がアクセス制御リストに保存さ
れたグループエージェントを備え、 前記ユーザエージェントが、関連するユーザがグループ
のリーダとなったことを前記アクセス制御リストに保存
するように構成され、 前記グループエージェントが、ユーザからの当該グルー
プを構成するメンバおよび当該メンバの登録通知の指示
の受理に応答して、前記メンバに関するユーザエージェ
ントの各々に、前記グループのメンバとして登録するこ
とを通知するグループ登録通知手段と、 前記メンバに関するユーザエージェントからの確認の受
理に応答して、アクセス制御リストに、メンバに関する
情報を保存する情報保存手段とを有し、かつ、 前記メンバに関するユーザエージェントの情報保存手段
が、前記関連するユーザがグループのメンバとなったこ
とをアクセス制御リストに保存することを特徴とする請
求項7ないし9の何れか一項に記載のアクセス制御シス
テム。10. A group agent for a group consisting of a set of users, the group agent having at least information about a leader stored in an access control list, the user agent comprising: The group agent is configured to store the fact that it has become a leader in the access control list, and the group agent responds to a member forming the group and a registration notification instruction of the member from the user, in response to the member. Group registration notifying means for notifying each of the user agents that they will be registered as members of the group, and information for storing information about members in the access control list in response to acceptance of confirmation from the user agent about the members. Storage means 10. The user agent information storage unit having the member, and storing the information that the related user has become a member of a group in an access control list. Access control system according to.
ユーザからの、グループのリーダ或いはメンバとして
の、他のユーザのリソースの利用申し込み要求に応答し
て起動し、当該アクセス制御リストを参照して、前記グ
ループに関連するグループエージェントを特定するグル
ープエージェント特定手段を有し、 前記グループエージェントが、前記ユーザエージェント
から伝達されたグループとしてのリソースの利用申し込
み要求に応答して、他のユーザエージェントに対して、
前記リソースの利用申し込みを、そのアクセス制御レベ
ルとともに伝達する利用申し込み手段と、 前記他のユーザエージェントにおける、前記リソースの
利用申し込みに応答した、前記他のユーザに対するリソ
ース利用の承認要求、および、承認の受理に基づき、前
記グループエージェントに伝達された通知に応答して、
そのアクセス制御リストに、必要な情報を保存する情報
保存手段とを有することを特徴とする請求項10に記載
のアクセス制御システム。11. The user agent further comprises:
A group agent identification that is activated in response to a user's request to use a resource of another user as a leader or a member of a group and refers to the access control list to identify a group agent related to the group. Means, the group agent, in response to the request to use the resource as a group transmitted from the user agent, to another user agent,
A utilization application means for transmitting the utilization application of the resource together with its access control level, and an authorization request for the utilization of the resource to the other user in response to the utilization application of the resource in the other user agent, and an authorization Upon acceptance, in response to the notification communicated to the group agent,
The access control system according to claim 10, further comprising: information storage means for storing necessary information in the access control list.
ーザに関するリソースの利用を制御するためにコンピュ
ータにアクセス制御させるためのプログラムであって、 前記ユーザごとに、当該ユーザが利用可能な他のユーザ
のリソースに関する情報をそのアクセスレベルとともに
アクセス制御リストとして管理するユーザエージェント
を設けるステップと、 前記ユーザエージェントにおいて、ユーザからの他のユ
ーザのリソースの利用申し込み要求に応答して起動し、
当該他のユーザに関する他のユーザエージェントを特定
するステップと、 前記他のユーザエージェントに対して、前記リソースの
利用申し込みを、そのアクセス制御レベルとともに伝達
するステップと、 前記他のユーザエージェントにおける、前記リソースの
利用申し込みに応答した、前記他のユーザに対するリソ
ース利用の承認要求、および、承認の受理に基づき、ユ
ーザエージェントに伝達された通知に応答して、前記ア
クセス制御リストに、必要な情報を保存するステップと
を、前記コンピュータに実行させることを特徴とするア
クセス制御プログラム。12. A program for allowing a user of a system to control access to a computer for controlling the use of a resource related to another user, the other user being available to the user for each user. A step of providing a user agent that manages information about resources of the resource as an access control list together with its access level; and in the user agent, starting in response to a user's request for use of the resource of another user,
Specifying another user agent related to the other user, transmitting a use request for the resource to the other user agent together with the access control level thereof, the resource in the other user agent In response to the resource use approval request to the other user in response to the user's use application and the notification transmitted to the user agent based on the acceptance of the approval, necessary information is stored in the access control list. An access control program that causes the computer to execute steps.
いて、前記ユーザ或いは他のユーザエージェントから
の、他のユーザのリソースの利用要求に応答して、前記
申し込みに関連する情報を、前記アクセス制御リストと
照合して、その内容を確認するステップを、前記コンピ
ュータに実行させることを特徴とする請求項12に記載
のアクセス制御プログラム。13. The information related to the application is collated with the access control list in the user agent in response to a request for use of a resource of another user from the user or another user agent. The access control program according to claim 12, further comprising causing the computer to execute the step of confirming the contents.
要求に応答して、前記ユーザエージェントが、提供可能
なサービスおよび関連する情報を管理するサービスエー
ジェントから、提供可能なサービスのリストを取得し
て、当該リストを、前記ユーザに提示するステップと、 ユーザからのリストからの選択情報にしたがって、前記
サービスエージェントに対して、当該サービスの提供の
ための必要なデータの項目を含む雛型であるサービスオ
ブジェクトを取得するステップと、 当該サービスオブジェクトに基づいて、ユーザ入力の必
要な項目を列挙したフォームを生成して、前記ユーザに
提示するステップと、 ユーザから前記フォームに入力された情報にしたがっ
て、当該ユーザのアクセス制御リストに、前記情報が与
えられたサービスオブジェクトを保存するステップと
を、前記コンピュータに実行させることを特徴とする請
求項12または13に記載のアクセス制御プログラム。14. Further, in response to a service addition request from a user, the user agent acquires a list of providable services from a service agent that manages providable services and related information, A step of presenting the list to the user, and a service object that is a template including items of data necessary for providing the service to the service agent according to selection information from the list from the user. To generate a form enumerating the items required for user input based on the service object, and to present the form to the user; and to the user according to the information entered in the form by the user. The access control list of the The access control program according to claim 12 or 13, characterized in that the step of storing an object is executed by the computer.
プに関するグループエージェントであって、少なくと
も、リーダに関する情報がアクセス制御リストに保存さ
れたグループエージェントを設けるステップと、 前記ユーザエージェントにおいて、関連するユーザがグ
ループのリーダとなったことを前記アクセス制御リスト
に保存するステップと、 前記グループエージェントにおいて、ユーザからの当該
グループを構成するメンバおよび当該メンバの登録通知
の指示の受理に応答して、前記メンバに関するユーザエ
ージェントの各々に、前記グループのメンバとして登録
することを通知するステップと、 前記メンバに関するユーザエージェントからの確認の受
理に応答して、アクセス制御リストに、メンバに関する
情報を保存するステップと、 前記メンバに関するユーザエージェントの情報保存手段
が、前記関連するユーザがグループのメンバとなったこ
とをアクセス制御リストに保存するステップとを、前記
コンピュータに実行させることを特徴とする請求項12
ないし14の何れか一項に記載のアクセス制御プログラ
ム。15. A group agent for a group consisting of a series of users, wherein at least a group agent in which information about a leader is stored in an access control list is provided, and in the user agent, a related user is Saving in the access control list that the group has become a leader, in relation to the member in response to receiving an instruction of a member of the group and registration notification of the member from the user in the group agent, Notifying each of the user agents to register as a member of the group; and storing information about the members in an access control list in response to receiving confirmation from the user agent regarding the members. And a step of causing the information storage means of the user agent regarding the member to store in the access control list that the related user has become a member of the group.
15. The access control program according to any one of 1 to 14.
いて、ユーザからの、グループのリーダ或いはメンバと
しての、他のユーザのリソースの利用申し込み要求に応
答して起動し、当該アクセス制御リストを参照して、前
記グループに関連するグループエージェントを特定する
ステップと、 前記グループエージェントにおいて、前記ユーザエージ
ェントから伝達されたグループとしてのリソースの利用
申し込み要求に応答して、他のユーザエージェントに対
して、前記リソースの利用申し込みを、そのアクセス制
御レベルとともに伝達するステップと、 前記他のユーザエージェントにおける、前記リソースの
利用申し込みに応答した、前記他のユーザに対するリソ
ース利用の承認要求、および、承認の受理に基づき、前
記グループエージェントに伝達された通知に応答して、
そのアクセス制御リストに、必要な情報を保存するステ
ップとを、前記コンピュータに実行させることを特徴と
する請求項15に記載のアクセス制御プログラム。16. The user agent is activated in response to a request from a user as a group leader or member to use a resource of another user, and refers to the access control list to activate the user agent. Identifying a group agent related to a group, and in the group agent, in response to a request for application for use of a resource as a group transmitted from the user agent, application for use of the resource to another user agent With the access control level, and based on the request for approval of resource use to the other user in response to the application for use of the resource in the other user agent, and acceptance of the approval, the group age In response to the notification transmitted to the bets,
16. The access control program according to claim 15, causing the computer to execute a step of storing necessary information in the access control list.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001248136A JP2003058423A (en) | 2001-08-17 | 2001-08-17 | Method, system, and program for access control |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001248136A JP2003058423A (en) | 2001-08-17 | 2001-08-17 | Method, system, and program for access control |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003058423A true JP2003058423A (en) | 2003-02-28 |
Family
ID=19077350
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001248136A Pending JP2003058423A (en) | 2001-08-17 | 2001-08-17 | Method, system, and program for access control |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003058423A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005092891A (en) * | 2004-10-06 | 2005-04-07 | Toyo Commun Equip Co Ltd | Access control agent system, method for preventing confidential information leak or tampering, network system program, and recording medium |
| JP2005149406A (en) * | 2003-11-19 | 2005-06-09 | Canon Inc | Documentation management device, its control method and program |
| JP2011113170A (en) * | 2009-11-25 | 2011-06-09 | Yahoo Japan Corp | Authentication server and method |
| US7975291B2 (en) | 2003-07-31 | 2011-07-05 | Fujitsu Limited | Network node machine and information network system |
| JP2013105423A (en) * | 2011-11-16 | 2013-05-30 | Ricoh Co Ltd | System, information processing device, information processing method, and program |
| WO2020017438A1 (en) * | 2018-07-18 | 2020-01-23 | ソニー株式会社 | Information processing system, information processing method, and recording medium |
-
2001
- 2001-08-17 JP JP2001248136A patent/JP2003058423A/en active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7975291B2 (en) | 2003-07-31 | 2011-07-05 | Fujitsu Limited | Network node machine and information network system |
| JP2005149406A (en) * | 2003-11-19 | 2005-06-09 | Canon Inc | Documentation management device, its control method and program |
| JP4756821B2 (en) * | 2003-11-19 | 2011-08-24 | キヤノン株式会社 | Document management apparatus, control method therefor, and program |
| JP2005092891A (en) * | 2004-10-06 | 2005-04-07 | Toyo Commun Equip Co Ltd | Access control agent system, method for preventing confidential information leak or tampering, network system program, and recording medium |
| JP2011113170A (en) * | 2009-11-25 | 2011-06-09 | Yahoo Japan Corp | Authentication server and method |
| JP2013105423A (en) * | 2011-11-16 | 2013-05-30 | Ricoh Co Ltd | System, information processing device, information processing method, and program |
| WO2020017438A1 (en) * | 2018-07-18 | 2020-01-23 | ソニー株式会社 | Information processing system, information processing method, and recording medium |
| US11475336B2 (en) | 2018-07-18 | 2022-10-18 | Sony Corporation | Information processing system, information processing method, and recording medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6058426A (en) | System and method for automatically managing computing resources in a distributed computing environment | |
| JP3569122B2 (en) | Session management system, service providing server, session management server, session management method, and recording medium | |
| US7475136B2 (en) | Method and apparatus for provisioning tasks using a provisioning bridge server | |
| US7840658B2 (en) | Employing job code attributes in provisioning | |
| US7003546B1 (en) | Method and system for controlled distribution of contact information over a network | |
| US7937655B2 (en) | Workflows with associated processes | |
| US9171308B2 (en) | Method and system for account management | |
| US8375113B2 (en) | Employing wrapper profiles | |
| US9235649B2 (en) | Domain based workflows | |
| US7996468B2 (en) | Method and system for controlled distribution of information profiles over a network in response to user requests | |
| EP1358572B1 (en) | Support for multiple data stores | |
| US7114037B2 (en) | Employing local data stores to maintain data during workflows | |
| JP4197315B2 (en) | Collaboration server, collaboration system, session management method and program thereof | |
| JPH11331245A (en) | Network directory access mechanism and method therefor | |
| EP0919912B1 (en) | Multiserver workflow system | |
| JP2002538701A (en) | Trust negotiation in client / server data processing networks using auto-incrementing certificates | |
| JP2000112891A (en) | Access control setting system and storage medium | |
| JP2728033B2 (en) | Security method in computer network | |
| JP2002073561A (en) | Method and system for authenticating user to perform access through communication network and information processing system utilizing the same | |
| US7013388B2 (en) | Vault controller context manager and methods of operation for securely maintaining state information between successive browser connections in an electronic business system | |
| JPH10308776A (en) | Network resource reserving system | |
| JP2003058423A (en) | Method, system, and program for access control | |
| JPH11120127A (en) | Network service system | |
| JPH11112552A (en) | Method and system for assisting generation and activity of electronic community supporting and storage medium storing assisting program for generation and activity of electronic community | |
| JP2007249540A (en) | Business system for organization, operation control method, and terminal device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20071120 |