JP2003177967A - アクセス制御履歴保証方法 - Google Patents

アクセス制御履歴保証方法

Info

Publication number
JP2003177967A
JP2003177967A JP2001376606A JP2001376606A JP2003177967A JP 2003177967 A JP2003177967 A JP 2003177967A JP 2001376606 A JP2001376606 A JP 2001376606A JP 2001376606 A JP2001376606 A JP 2001376606A JP 2003177967 A JP2003177967 A JP 2003177967A
Authority
JP
Japan
Prior art keywords
access
access control
history
account
history data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001376606A
Other languages
English (en)
Other versions
JP4152099B2 (ja
Inventor
Yoichi Kanai
洋一 金井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2001376606A priority Critical patent/JP4152099B2/ja
Publication of JP2003177967A publication Critical patent/JP2003177967A/ja
Application granted granted Critical
Publication of JP4152099B2 publication Critical patent/JP4152099B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 オブジェクトへのアクセス制御が適切に実施
されていたことを保証する。 【解決手段】 電子文書管理システム10にユーザから
電子文書へのアクセス要求が入力されると、そのユーザ
の認証を行って文書へのアクセス権の有無をチェックし
た上で、文書アクセス処理手段12においてユーザから
要求されたアクセス処理が実行される。アクセス権DB
16には、ユーザのアクセス権を指定するアクセス制御
データが保持され、さらにアクセス制御履歴データの改
ざんを検知するためのメッセージ認証子(及び電子署
名)が記録される。またアクセス権DB16には、サブ
ジェクトを構成するアカウントの変更履歴データが記録
され、履歴データの改ざん検知が可能なようにメッセー
ジ認証子(及び電子署名)がさらに記録される。これに
よりアクセス制御履歴データが改ざんされていないこと
を確認しながらアクセス制御データの更新処理を行うこ
とができる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、アクセス制御履歴
保証方法、より詳細には、ファイルに対するアクセス制
御が適切に実施されていたことを保証するアクセス制御
履歴保証方法に関する。
【0002】
【従来の技術】UNIX(登録商標)やWindows
(登録商標)のようなオペレーティングシステム(O
S)や、電子文書管理システムでは、その制御下に置か
れているファイル、電子文書といったものに対して正当
なユーザのみがアクセスできるようにアクセス制御を行
うのが一般的である。そのようにアクセス制御されるオ
ブジェクト(ファイル、電子文書)に対して、実際にど
のようなアクセスがあったのか、不正なアクセスがなか
ったか、を後で調べられるようにするために、各オブジ
ェクトに対するアクセス履歴(アクセスログ)を記録し
ておくのが一般的である。
【0003】システムの安全運用監査などを行う際に
は、上記のようにして記録されたアクセス履歴を参照・
確認することになる。しかし、オブジェクトの個数が多
くなると、各オブジェクトにどのようなアクセスがあっ
たかを監査するのは非常に手間がかかることになり、実
際には例えばサンプリング監査をすることになる。サン
プリング監査を行った場合には、サンプリングの対象と
ならなかったオブジェクトへの不正アクセスがなかった
かどうかについては、確認することができない。
【0004】しかし、その一方で、アクセス制御に使用
された設定情報というものはそれほど頻繁に変更するこ
とはなく、また、各オブジェクトについてばらばらなア
クセス制御を行うことは稀であって、例えばあるフォル
ダとその下位のファイルにはすべて同じアクセス権を付
与する、というような運用を行うのが一般的である。
【0005】そのため、システムの監査を考えれば、各
オブジェクトへのアクセス履歴を記録しておくよりも、
適切なアクセス制御設定を実行していたことの履歴を記
録しておいて、その履歴を監査するようにすればオブジ
ェクトをサンプリングして監査するよりも、広い範囲の
オブジェクトについて満遍のない監査を行うことができ
る。
【0006】
【発明が解決しようとする課題】本発明は、上述のごと
き実情に鑑みてなされたもので、ファイルに対するアク
セス制御が適切に実施されていたことを保証するアクセ
ス制御履歴保証方法を提供することを目的とするもので
ある。
【0007】
【課題を解決するための手段】請求項1の発明は、サブ
ジェクトがオブジェクトへアクセスする際に、サブジェ
クトに付与されたアクセス権に応じて、サブジェクトか
らオブジェクトへのアクセスを制御するシステムに適用
され、該アクセスの制御履歴を保証できるようにしたア
クセス制御履歴保証方法において、オブジェクトごとに
設定されているサブジェクトのアクセス権の変遷の履歴
をアクセス制御履歴データとして記録しておき、記録し
た該アクセス制御履歴データに対して、後で改ざん検知
が可能なように処理しておくことを特徴としたものであ
る。
【0008】請求項2の発明は、請求項1の発明におい
て、前記アクセス権は、オブジェクトごとに設定された
アクセス制御リストによって指示されていることを特徴
としたものである。
【0009】請求項3の発明は、請求項1または2の発
明において、前記アクセス制御履歴データの改ざんを検
知するために、該アクセス制御履歴データに対してメッ
セージ認証子(Message Authentica
tion Code)を計算して該アクセス制御履歴デ
ータとともに記録しておくことを特徴としたものであ
る。
【0010】請求項4の発明は、請求項1または2の発
明において、前記アクセス制御履歴データの改ざんを検
知するために、該アクセス制御履歴データに対して電子
署名を計算して該アクセス制御履歴データとともに記録
しておくことを特徴としたものである。
【0011】請求項5の発明は、サブジェクトがオブジ
ェクトへアクセスする際に、サブジェクトに付与された
アクセス権に応じて、サブジェクトからオブジェクトへ
のアクセスを制御するシステムに適用され、該アクセス
の制御履歴を保証できるようにしたアクセス制御履歴保
証方法において、サブジェクトを構成する要素を示すア
カウントの変遷の履歴をアカウント構成履歴データとし
て記録しておき、記録した該アカウント構成履歴データ
に対して、後で改ざん検知が可能なように処理しておく
ことを特徴としたものである。
【0012】請求項6の発明は、請求項5の発明におい
て、前記サブジェクトは、システムのユーザアカウント
とグループアカウントとにより示される要素によって構
成されることを特徴としたものである。
【0013】請求項7の発明は、請求項5または6の発
明において、前記アカウント構成履歴データの改ざんを
検知するために、アカウント構成履歴データに対してメ
ッセージ認証子(Message Authentic
ation Code)を計算して該アカウント構成履
歴データとともに記録しておくことを特徴としたもので
ある。
【0014】請求項8の発明は、請求項5または6の発
明において、前記アカウント構成履歴データの改ざんを
検出するために、該アカウント構成履歴データに対して
電子署名を計算して該アカウント構成履歴データととも
に記録しておくことを特徴としたものである。
【0015】請求項9の発明は、サブジェクトがオブジ
ェクトへアクセスする際に、サブジェクトに付与された
アクセス権に応じて、サブジェクトからオブジェクトへ
のアクセスを制御するシステムに適用され、該アクセス
の制御履歴を保証できるようにしたアクセス制御履歴保
証方法において、オブジェクトごとに設定されているサ
ブジェクトのアクセス権の変遷の履歴をアクセス制御履
歴データとして記録しておき、記録した該アクセス制御
履歴データに対して、後で改ざん検知が可能なように処
理しておき、さらにサブジェクトを構成する要素を示す
アカウントの変遷の履歴をアカウント構成履歴データと
して記録しておき、記録した該アカウント構成履歴デー
タに対して、後で改ざん検知が可能なように処理してお
くことを特徴としたものである。
【0016】請求項10の発明は、請求項9の発明にお
いて、前記アクセス権は、オブジェクトごとに設定され
たアクセス制御リストによって指示されていることを特
徴としたものである。
【0017】請求項11の発明は、請求項9の発明にお
いて、サブジェクトは、システムのユーザアカウントと
グループアカウントとにより示される要素によって構成
されることを特徴としたものである。
【0018】請求項12の発明は、請求項9ないし11
のいずれか1の発明において、前記アクセス制御履歴デ
ータと前記アカウント構成履歴データの改ざんを検出す
るために、該アクセス制御履歴データと該アカウント構
成履歴データそれぞれに対してメッセージ認証子(Me
ssage Authentication Cod
e)を計算して該アクセス制御履歴データと該アカウン
ト構成履歴データそれぞれとともに記録しておくことを
特徴としたものである。
【0019】
【発明の実施の形態】図1は、本発明のアクセス制御履
歴保証方法を適用可能な電子文書管理システムの一例を
説明するためのブロック図である。ここでは本発明の実
施の形態を電子文書管理システムを例にして説明する。
電子文書管理システム10は、電子文書DB15を内部
に備え、ユーザから電子文書へのアクセスの要求が入力
されると、ユーザ認証手段11によってそのユーザの認
証を行い、アクセス権検証手段13が文書へのアクセス
権の有無をチェックした上で、アクセス権がある場合に
限り、文書アクセス処理手段12によってユーザから要
求されたアクセス処理を実行するシステムである。
【0020】図2は、図1に示すごとくの電子文書管理
システムにおけるユーザ認証手段11の処理例について
説明するためのフローチャートである。以下にユーザ認
証手段11の処理例を図2のフローチャートに従って、
図1を参照しながら説明する。ユーザ認証処理手段11
は、ユーザから文書アクセス要求(アカウント名,パス
ワード,文書ID,及びアクセス種別)を受け取った際
(ステップS1)、アカウント名に対応するパスワード
ハッシュ値をユーザ管理DB14から取得し(ステップ
S2)、さらにアクセス要求に含まれるパスワードのハ
ッシュ値を計算する(ステップS3)。次いでステップ
S2で先に取り出したパスワードハッシュ値と、ステッ
プS3で計算したハッシュ値とを比較する(ステップS
4)。
【0021】比較した結果、上記二つのハッシュ値が一
致するか判断し(ステップS5)、一致しなけければエ
ラーで処理を終了する(ステップS9)。またハッシュ
値が一致すれば、ユーザ管理DB14から、アカウント
名に対応するユーザが所属しているグループのリストを
取得する(ステップS6)。そして文書アクセス処理手
段12にアカウント名,所属グループリスト,文書I
D,及びアクセス種別のデータを渡し(ステップS
7)、正常に処理を終了する(ステップS8)。上記ハ
ッシュ値は、例えば米国標準技術局による規格であるS
HA−1のようなアルゴリズムを用いて計算することが
できる。
【0022】図3は、文書アクセス要求データの一例を
示す図である。電子文書管理システムに入力する文書ア
クセス要求は、上述のようにアカウント名,パスワー
ド,文書ID,及びアクセス種別を示すデータが含まれ
る。これらデータは、例えば、図3に示すごとくのもの
である。
【0023】図4は、ユーザ管理DB14で管理される
アカウント管理ファイルの一例を示す図である。ユーザ
管理DB14では、各アカウント毎に、図4に示すごと
くの情報を管理する。図4に示すように、アカウントが
抹消された場合でもアカウントのエントリが削除される
のではなく、抹消(“delete”)の日時が記録さ
れる。図4に示すように、ユーザ管理DB14では、該
ユーザ管理DB14をのぞき見られた際にパスワードが
暴露しないよう、パスワードそのものをユーザ管理DB
14に保存するのではなく、パスワードのハッシュ値を
保存している。
【0024】図5は、ユーザ管理DB14に保持される
グループリストに係わるデータの一例を示す図である。
ユーザ管理DB14には、上記のアカウント管理フィル
以外にも、図5に示すようなグループリストが例えばg
roup.listというファイル名でグループ管理フ
ァイルとして記録されている。
【0025】図5において、例えば“taro”が所属
するグループを検索する場合、まず、メンバ情報に“t
aro”が含まれるグループ名で且つグループが削除さ
れていないものを検索し、さらにここで検索されたグル
ープ名情報がメンバ情報として含まれるグループ名を検
索する。このようにして、所属グループリストとして
“lab1”及び“lab_all”を得る。グループ
設定履歴については後で詳しく説明する。
【0026】電子文書管理システム10における文書ア
クセス処理手段12は、ユーザ認証手段11から受け取
った情報(アカウント名,所属グループリスト,文書I
D,及びアクセス種別)をもとに、対象ユーザに対して
アクセスが許可されているかどうか検証した上で、要求
された電子文書へのアクセス処理を行う。
【0027】図6は、上記文書アクセス処理手段12の
処理の一例を説明するためのフローチャートである。文
書アクセス処理手段12では、まずユーザ認証手段11
からアカウント名,所属グループリスト,文書ID,及
びアクセス種別のデータを受け取る(ステップS1
1)。そしてアクセス権検証手段13に、上記のアカウ
ント名,所属グループリスト,文書ID,及びアクセス
種別のデータを渡す(ステップS12)。そしてアクセ
ス権検証手段13による検証結果に従ってアクセス権が
なければエラーで処理を終了する(ステップS13,S
17)。また上記検証結果においてアクセス権があるこ
とが検証されたならば、文書アクセス処理手段12は、
文書IDで指定された電子文書に対してアクセス種別で
指定されたアクセスを行い(ステップS13,S1
4)、処理結果をユーザに返してから(ステップS1
5)、正常に処理を終了する(ステップS16)。
【0028】図7は、電子文書管理システム10におけ
るアクセス権検証手段13の処理の一例を説明するため
のフローチャートである。アクセス権検証手段13で
は、文書アクセス処理手段12からアカウント名,所属
グループリスト,文書ID,及びアクセス種別のデータ
を受け取った際(ステップS21)、アクセス権DB1
6から、文書IDに該当するアクセス制御リスト(AC
L)を取得する(ステップS22)。そして渡されたア
カウント名または所属グループリストに、指定されたア
クセス種別におけるアクセス権限があるか確認し(ステ
ップS23)、権限がない場合は、権限がないことを文
書アクセス処理手段12に通知し(ステップS24)、
権限が有る場合は権限があることを文書アクセス処理手
段12に通知して(ステップS25)、処理を終了す
る。
【0029】図8は、アクセス権DB16に記録された
アクセス制御リスト(ACL)の例を示す図である。ア
クセス権DB16には、例えばアクセス制御リスト(A
CL)が文書IDごとにファイルとして記録されてい
る。例えば文書IDが“R010043986249”
のACLは、“R010043986249.acl”
というファイル名で記録される。そしてユーザ名/グル
ープ名毎にアクセス権の種類(ここではread,wr
ite,execute,及びowner)が設定され
る。
【0030】アクセス権の更新処理に関しては後で詳し
く説明するが、アクセス権DB16にはACLファイル
とともに以下のようなファイルが保存されている。ま
ず、ACLファイルの設定を変更するたびに履歴ファイ
ルが保存される。履歴ファイルとしては、例えば、“R
010043986249.acl.1”、“R0100
43986249.acl.2”のごとくのファイル名で
記録される。また、設定の変更に関する変更履歴を管理
するファイル(ACLヒストリファイル)も記録する。
ACLヒストリファイルは、例えば、“R010043
986249.acl.history”のごとくのファ
イル名で記録される。
【0031】図9は、ACLヒストリファイルの例を示
す図である。ACLヒストリファイルの内容としては、
図9に示すように、過去のACLファイル名、変更日時
(履歴データの作成日時)、及びハッシュ値が設定され
ている。ハッシュ値は、対応する過去のACLファイル
(例えば、“R010043986249.acl.
1”)に対するハッシュ値である。ハッシュ値の計算に
は例えばSHA−1などのアルゴリズムを使用する。
【0032】ACLヒストリファイルについては、メッ
セージ認証子である改ざん検知コード(Message
Authentication Code: MA
C)が計算され、改ざん検知コードファイルとして記録
される。改ざん検知コードファイルは、例えば“R01
0043986249.acl.history.ma
c”というファイル名で記録される。また上記MAC
は、SHA−1とTriple DES(米国商務省標
準局が交付したデータ暗号化規格)を組み合わせるなど
して計算する。
【0033】上記のような電子文書管理システムに本発
明によるアクセス制御履歴保証方法を適用したときの実
施の形態を説明する。まず電子文書に対してアクセス権
の設定(変更)を行う処理について説明する。図10
は、本発明が適用される電子文書管理システムにおける
アクセス権設定に係わる構成例について説明するための
図である。
【0034】電子文書管理システム10’は、ユーザか
らのアクセス権設定要求を受け取ると、上述したごとく
の通常の文書へのアクセス要求と同じようにユーザ認証
手段11によりユーザの認証が行われ、その後アクセス
権設定手段17により、要求されたアクセス権の設定を
行う。アクセス権設定手段17は、要求してきたユーザ
が対象文書のアクセス権設定の権限をもっているかどう
かを確認する。
【0035】図11は、アクセス権設定要求データの一
例を示す図である。電子文書管理システムに入力するア
クセス権設定要求データには、アカウント名,パスワー
ド、文書ID,及びアクセス種別を示すデータが含まれ
る。これらデータは、例えば、図11に示すごとくのも
のである。図11の例は、文書R0100439862
49にhanakoの書き込み権限を追加する要求を示
すものである。
【0036】図12及び図13は、アクセス権設定手段
17の処理の一例を説明するためのフローチャートであ
る。アクセス権設定手段17は、アカウント名,所属グ
ループリスト,文書ID,及びアクセス種別(アクセス
権設定種別)のデータをユーザ認証手段11から受け取
った際(ステップS31)、それらアカウント名,所属
グループリスト,文書ID,及びアクセス種別(アクセ
ス権設定種別)のデータをアクセス権検証手段13に渡
す(ステップS32)。アクセス権検証手段13でアク
セス権があるかどうかを検証し(ステップS33)、検
証結果をアクセス権設定手段17に返す。例えば、AC
Lにowner権限がついていればアクセス権があると
判断できる。アクセス権設定手段17は、アクセス権が
なければエラーで処理を終了する(ステップS53)。
【0037】またアクセス権がある場合、アクセス権設
定手段17では、アクセス権DB16から、文書IDで
指定された電子文書に該当するACLヒストリファイル
を読み出し(ステップS34)、そのACLヒストリフ
ァイルに該当する改ざん検知コードファイルから改ざん
検知コード(MAC)を読み出す(ステップS35)。
そしてACLヒストリファイルの正当性をMACで検証
し(ステップS36)、ACLヒストリファイルが改ざ
んされているかどうかを判別する(ステップS37)。
【0038】上記ステップS37でACLヒストリが改
ざんされていればエラーで処理を終了し(ステップS5
3)、ACLヒストリが改ざんされていなければ、AC
Lファイルを読み出し(ステップS38)、ACLファ
イルのハッシュ値を計算する(ステップS39)。そし
て計算したハッシュ値と、ACLヒストリファイルの中
の最新エントリに記録されているハッシュ値とを比較し
(ステップS40)、ハッシュ値が一致するかどうかを
判別する(ステップS41)。ここでハッシュ値が一致
しない場合はACLファイルが改ざんされていると見な
されるため、エラーで処理を終了する(ステップS5
3)。
【0039】上記ステップS41でハッシュ値が一致す
れば、次いでACLファイルに要求されたアクセス権を
設定し(ステップS42)、新しくなったACLファイ
ルのハッシュ値を計算して(ステップS43)、ACL
ファイルを上書き保存する(ステップS44)。次いで
ACLヒストリファイルの中の最新エントリ番号を取得
し(ステップS45)、ACLファイルをコピーしてフ
ァイル名の末尾に最新エントリ番号をつけ(ステップS
46)、さらに現在日時をOSから取得する(ステップ
S47)。そして読み出したACLヒストリファイルの
中に新しいエントリ(ACLファイル名,日時,新しい
ハッシュ値)を加え(ステップS48)、エントリを加
えた後のACLヒストリファイルに対してMACを計算
する(ステップS49)。そして新しいACLヒストリ
ファイルを保存し(ステップS50)、新しいMACを
ACLヒストリファイルとともに保存して(ステップS
51)、正常に処理を終了する(ステップS52)。
【0040】図14は、アクセス権設定処理前のACL
ファイルの例を示す図で、図15はアクセス権の設定処
理後のACLファイルの例を示す図である。アクセス権
設定処理前のACLファイルが図14に示すごとくであ
り、先のアクセス権設定要求の例を適用すると、その設
定処理後のACLファイルは図15に示すようになる。
【0041】MACの生成方法は、対象データのハッシ
ュ値を例えばSHA−1のアルゴリズムで計算し、その
ハッシュ値を例えばTriple DESのアルゴリズ
ムで暗号化する。暗号化に使う鍵は、アクセス権設定手
段17の内部に秘密に保持している鍵(例えばプログラ
ムにハードコーディングされている鍵や、ICチップに
埋め込まれている鍵など)を使用する。
【0042】上記のようにMACをつけておけば、AC
Lヒストリが改ざんされていないことを確認しながらA
CLの更新処理を行うことができるが、ACLヒストリ
が改ざんされていないことを他人(例えばシステム監査
者)に示すことが難しい可能性がある。例えば、ACL
ヒストリファイルをシステム監査者に見せても、システ
ム監査者はMACの生成に使用した秘密の鍵を知らない
ため、それが改ざんされていないことを確認することは
できない。
【0043】図16ないし図18は、アクセス権設定手
段17の処理の他の例を説明するためのフローチャート
である。以下に示す実施例によれば、上記のごとくのシ
ステム監査者でもACLヒストリファイルが正しいかど
うかを確認することができる。まずアクセス権設定手段
17は、アカウント名,所属グループリスト,文書I
D,及びアクセス種別(アクセス権設定種別)のデータ
をユーザ認証手段11から受け取った際(ステップS6
1)、それらアカウント名,所属グループリスト,文書
ID,及びアクセス種別(アクセス権設定種別)のデー
タをアクセス権検証手段13に渡す(ステップS6
2)。アクセス権検証手段13でアクセス権があるかど
うかを検証し(ステップS63)、検証結果をアクセス
権設定手段17に返す。例えば、ACLにowner権
限がついていればアクセス権があると判断できる。アク
セス権設定手段17は、アクセス権がなければエラーで
処理を終了する(ステップS85)。
【0044】またアクセス権がある場合、アクセス権設
定手段17は、アクセス権DB16から、文書IDで指
定された電子文書に該当するACLヒストリファイルを
読み出し(ステップS64)、そのACLヒストリファ
イルに該当する改ざん検知コードファイルから改ざん検
知コード(MAC)を読み出す(ステップS65)。そ
してACLヒストリファイルの正当性をMACで検証し
(ステップS66)、ACLヒストリファイルが改ざん
されているかどうかを判別する(ステップS67)。
【0045】上記ステップS67でACLヒストリが改
ざんされていればエラーで処理を終了し(ステップS8
5)、改ざんされていなければ、ACLファイルを読み
出し(ステップS68)、ACLファイルのハッシュ値
を計算する(ステップS69)。そして計算したハッシ
ュ値と、ACLヒストリファイルの中の最新エントリに
記録されているハッシュ値とを比較し(ステップS7
0)、ハッシュ値が一致するかどうかを判別する(ステ
ップS71)。ここでハッシュ値が一致しない場合はA
CLファイルが改ざんされていると見なされるため、エ
ラーで処理を終了する(ステップS85)。
【0046】上記ステップS71でハッシュ値が一致す
れば、次いでACLファイルに要求されたアクセス権を
設定し(ステップS72)、新しくなったACLファイ
ルのハッシュ値を計算して(ステップS73)、ACL
ファイルを上書き保存する(ステップS74)。次いで
ACLヒストリファイルの中の最新エントリ番号を取得
し(ステップS75)、ACLファイルをコピーしてフ
ァイル名の末尾に最新エントリ番号をつけ(ステップS
76)、さらに現在日時をOSから取得する(ステップ
S77)。
【0047】そして読み出したACLヒストリファイル
の中に新しいエントリ(ACLファイル名,日時,新し
いハッシュ値)を加え(ステップS78)、エントリを
加えた後のACLヒストリファイルに対してMACを計
算し(ステップS79)、エントリを加えたACLヒス
トリファイルに対して電子署名を計算する(ステップS
80)。そして新しいACLヒストリファイルを保存し
(ステップS81)、新しいMACをACLヒストリフ
ァイルとともに保存して(ステップS82)、さらに新
しい電子署名をACLヒストリファイルとともに保存し
て(ステップS83)、正常に処理を終了する(ステッ
プS84)。
【0048】上記の処理において、MACの生成・検証
の処理をすべて電子署名の生成・検証に変更しても良い
が、電子署名の生成・検証はMACの生成・検証に比べ
て非常に時間がかかるため、パフォーマンスに影響が出
る可能性がある。そのため、上記の実施例は、基本的に
MACを使ってACLヒストリファイルの正当性の検証
を行いつつ、後でシステム監査者も正当性を検証できる
ように最後に電子署名も同時に付与している、という仕
組みを有するものである。このような仕組みであればパ
フォーマンスを落とすことなく、システム監査者でも電
子署名に使ったプライベートキーに対応するパブリック
キーを手に入れれば正当性検証を可能にすることができ
る。
【0049】電子署名は、例えば、“R0100439
86249.acl.history.sign”という
ファイル名で記録される。また電子署名は、SHA−1
とRSA(Rivest−Shamir−Adlema
n scheme)を組み合わせるなどして計算し、例
えばPKCS(public−key cryptos
ystem)#7のフォーマットで記録される。
【0050】上記のようにアクセス権の変遷を記録して
おき、それを改ざんできないように保護することで、確
かに文書に対してそのようなアクセス制御が行われてき
た、ということを保証することができる。しかし、AC
Lファイルにはグループに対する権限も載っているた
め、グループのメンバを入れ替えられていると、一体誰
にアクセス権が付与されていたのか後で分からなくなっ
てしまう。
【0051】そこで、本発明ではさらに以下のアカウン
ト設定に関する手段を提供する。図19は、本発明が適
用される電子文書管理システムにおけるアカウント設定
手段に係わる構成例について説明するための図である。
図20は、電子文書管理システムが受け取るアカウント
設定要求の一例を示す図で、yoichiというアカウ
ントをlab2グループに追加する要求の例を示す図で
ある。
【0052】電子文書管理システム10″では、ユーザ
からアカウント設定要求を受けると、ユーザ認証手段1
1によってユーザ認証が行われ、アカウント設定手段1
8がユーザ管理DB14に対するアカウント設定処理を
行う。アカウント設定手段18は、ユーザがアカウント
設定を行う権限をもっているかどうかをアクセス権検証
手段13により確認する。ここでは説明を簡単にするた
めにrootアカウントであればアカウント設定の権限があ
るものとする。
【0053】図21ないし図23は、アカウント設定手
段18の処理の例を説明するためのフローチャートであ
る。アカウント設定手段18は、ユーザ認証手段11か
らアカウント名,所属グループリスト,パラメータ,及
びアクセス種別のデータを受け取ると(ステップS9
1)、アクセス権検証手段13にアカウント名,所属グ
ループリスト,パラメータ,及びアクセス種別のデータ
を渡す(ステップS92)。アクセス権検証手段13で
はアクセス権を検証し、検証結果をアカウント設定手段
18に返す。例えば、アクセス権検証手段13では、r
ootであればアクセス権ありと判断する。アカウント
設定手段18では、アクセス権の検証結果においてアク
セス権がなければ、エラーで処理を終了する(ステップ
S93,S121)。
【0054】アクセス権がある場合、さらに入力したア
カウント設定要求のアクセス種別がグループに対する設
定要求であるかどうかを判別し(ステップS94)、グ
ループ設定要求であれば、ユーザ管理DB14のグルー
プ管理ファイルからグループリストを読み出し(ステッ
プS95)、グループリストの改ざん検知コードファイ
ルから改ざん検知コード(MAC)を読み出す(ステッ
プS96)。そしてグループリストの正当性をMACで
検証し(ステップS97)、グループリストが改ざんさ
れているかどうかを判別する(ステップS98)。ここ
でグループリストが改ざんされていれば、エラーで終了
を終了する(ステップS121)。
【0055】グループリストが改ざんされていなけれ
ば、グループリストに対して要求された設定処理を行う
(ステップS99)。そして現在日時をOSから取得し
(ステップS100)、設定処理を行ったグループリス
トのエントリに設定処理の履歴(日時,設定内容)を追
加する(ステップS101)。次いで新しくなったグル
ープリストに対してMACを計算し(ステップS10
2)、さらに新しくなったグループリストに対して電子
署名を計算し(ステップS103)、新しいグループリ
ストをグループ管理ファイルに保存する(ステップS1
04)。さらに新しいMACをグループ管理ファイルと
ともに保存し(ステップS105)、新しい電子署名を
グループ管理ファイルとともに保存して(ステップS1
06)、正常に処理を終了する。
【0056】上記ステップS94においてグループに対
する設定要求ではない場合、アカウントに対する設定要
求であるかどうかを判別し(ステップS107)、アカ
ウントに対する設定でなければエラーで処理を終了し
(ステップS121)、アカウントに対する設定であれ
ば、まずユーザ管理DB14のアカウント管理ファイル
からアカウントリストを読み出し(ステップS10
8)、アカウントリストの改ざん検知コードファイルか
ら改ざん検知コード(MAC)を読み出して(ステップ
S109)、アカウントリストの正当性をMACで検証
してアカウントリストが改ざんされているかどうかを判
別する(ステップS110,S111)。ここでアカウ
ントリストが改ざんされていれば、エラーで処理を終了
する(ステップS121)。
【0057】アカウントリストが改ざんされていなけれ
ば、アカウントリストに対して要求された設定処理を行
う(ステップS112)。そして現在日時をOSから取
得し(ステップS113)、設定処理を行ったアカウン
トリストのエントリに設定処理の履歴(日時,設定内
容)を追加する(ステップS114)。そして新しくな
ったアカウントリストに対してMACを計算し(ステッ
プS115)、新しくなったアカウントリストに対して
電子署名を計算して(ステップS116)、新しいアカ
ウントリストをアカウント管理ファイルに保存する(ス
テップS117)。そして新しいMACをアカウント管
理ファイルとともに保存し(ステップS118)、新し
い電子署名をアカウント管理ファイルとともに保存して
(ステップS119)、正常に終了を終了する(ステッ
プS120)。
【0058】先のACLの履歴管理ではACLファイル
の版を管理する方式をとった。アカウント設定手段18
でも同じようにアカウント管理ファイルやグループ管理
ファイルの版管理を行うこともできるが、敢えて別の方
式を示すために、版管理ではなく、アカウント設定操作
の履歴をファイル内に記録する方式とした。この場合
も、履歴が改ざんされていないことを保証するため、M
ACを生成・検証するようにし、システム監査者が確認
できるように電子署名も生成して保存している。MAC
を記録するファイルは例えばaccount.list.
macやgroup.list.macというファイル名
のファイルとして記録しておき、電子署名についてはa
ccount.list.signやgroup.lis
t.signというファイル名のファイルに記録してお
けばよい。
【0059】上記のように、ACLの変遷とアカウント
管理の変遷とがすべて記録されており、その上、その記
録が改ざんされないように保護されていることにより、
どのようなアクセス制御が行われてきたのかシステム監
査者に証拠として提示することができる。このような機
能を利用すれば、普段から適切なアクセス制御をしてお
くことにより、アクセス制御を適切に実施していたこと
を保証することができるようになる。
【0060】上記の実施例では、ACLの変遷を各文書
に対して記録しているように記述しているが、冒頭にも
少し述べたように、多くの場合は文書ごとに個別にアク
セス権を設定するのではなく、例えばあるフォルダに保
存されているものはすべてこのアクセス権を付与すると
いった形で設定されることが多い。その場合、例えば、
上位フォルダと同じアクセス権を付与する下位の文書の
ACLファイルには、その上位フォルダのACLファイ
ル名を記録しておく、といった方法をとればよい。
【0061】上記の実施例で説明したアクセス権設定手
段17、及びアカウント設定手段18はコンピュータプ
ログラムとして実現することができる。他のユーザ認証
手段11やアクセス権検証手段13、文書アクセス処理
手段12と合わせることでアクセス制御が適切に実施さ
れていたことを保証する電子文書管理のためのコンピュ
ータプログラムとなる。そのコンピュータプログラムを
例えばFDやCD−ROMに記録することで、アクセス
制御が適切に実施されていたことを保証する電子文書管
理プログラム記録媒体となる。そしてその記録媒体から
コンピュータプログラムを読み出してコンピュータ上で
実行することで、アクセス制御が適切に行われていたこ
とを保証する文書管理システムとなる。
【0062】
【発明の効果】以上の説明から明らかなように、本発明
によれば、サブジェクトがオブジェクトへアクセスする
際に、サブジェクトに付与されたアクセス権に応じてサ
ブジェクトからオブジェクトへのアクセスを制御するシ
ステムにおいて、アクセス制御が適切に実施されていた
ことを保証することにより、信頼性及び実用性の高いシ
ステムを運用できるアクセス制御履歴保証方法を提供す
ることができる。
【図面の簡単な説明】
【図1】 本発明のアクセス制御履歴保証方法を適用可
能な電子文書管理システムの一例を説明するためのブロ
ック図である。
【図2】 電子文書管理システムにおけるユーザ認証手
段の処理例について説明するためのフローチャートであ
る。
【図3】 文書アクセス要求データの一例を示す図であ
る。
【図4】 ユーザ管理DBで管理されるアカウント管理
ファイルの一例を示す図である。
【図5】 ユーザ管理DBに保持されるグループリスト
に係わるデータの一例を示す図である。
【図6】 文書アクセス処理手段の処理の一例を説明す
るためのフローチャートである。
【図7】 電子文書管理システムにおけるアクセス権検
証手段の処理の一例を説明するためのフローチャートで
ある。
【図8】 アクセス権DBに記録されらアクセス制御リ
スト(ACL)の例を示す図である。
【図9】 ACLヒストリファイルの例を示す図であ
る。
【図10】 本発明が適用される電子文書管理システム
におけるアクセス権設定に係わる構成例について説明す
るための図である。
【図11】 アクセス権設定要求データの一例を示す図
である。
【図12】 アクセス権設定手段の処理の一例を説明す
るためのフローチャートである。
【図13】 アクセス権設定手段の処理の一例を説明す
るための図12に続くフローチャートである。
【図14】 アクセス権設定処理前のACLファイルの
例を示す図である。
【図15】 アクセス権の設定処理後のACLファイル
の例を示す図である。
【図16】 アクセス権設定手段の処理の他の例を説明
するためのフローチャートである。
【図17】 アクセス権設定手段の処理の他の例を説明
するための図16に続くフローチャートである。
【図18】 アクセス権設定手段の処理の他の例を説明
するための図17に続くフローチャートである。
【図19】 本発明が適用される電子文書管理システム
におけるアカウント設定手段に係わる構成例について説
明するための図である。
【図20】 電子文書管理システムが受け取るアカウン
ト設定要求の一例を示す図である。
【図21】 アカウント設定手段の処理の例を説明する
ためのフローチャートである。
【図22】 アカウント設定手段の処理の例を説明する
ための図21に続くフローチャートである。
【図23】 アカウント設定手段の処理の例を説明する
ための図22に続くフローチャートである。
【符号の説明】
10,10’,10″…電子文書管理システム、11…
ユーザ認証手段、12…文書アクセス処理手段、13…
アクセス権検証手段、14…ユーザ管理DB、15…電
子文書DB、16…アクセス権DB、17…アクセス権
設定手段、18…アカウント設定手段。

Claims (12)

    【特許請求の範囲】
  1. 【請求項1】 サブジェクトがオブジェクトへアクセス
    する際に、サブジェクトに付与されたアクセス権に応じ
    て、サブジェクトからオブジェクトへのアクセスを制御
    するシステムに適用され、該アクセスの制御履歴を保証
    できるようにしたアクセス制御履歴保証方法において、
    オブジェクトごとに設定されているサブジェクトのアク
    セス権の変遷の履歴をアクセス制御履歴データとして記
    録しておき、記録した該アクセス制御履歴データに対し
    て、後で改ざん検知が可能なように処理しておくことを
    特徴とするアクセス制御履歴保証方法。
  2. 【請求項2】 請求項1に記載のアクセス制御履歴保証
    方法において、前記アクセス権は、オブジェクトごとに
    設定されたアクセス制御リストによって指示されている
    ことを特徴とするアクセス制御履歴保証方法。
  3. 【請求項3】 請求項1または2に記載のアクセス制御
    履歴保証方法において、前記アクセス制御履歴データの
    改ざんを検知するために、該アクセス制御履歴データに
    対してメッセージ認証子を計算して該アクセス制御履歴
    データとともに記録しておくことを特徴とするアクセス
    制御履歴保証方法。
  4. 【請求項4】 請求項1または2に記載のアクセス制御
    履歴保証方法において、前記アクセス制御履歴データの
    改ざんを検知するために、該アクセス制御履歴データに
    対して電子署名を計算して該アクセス制御履歴データと
    ともに記録しておくことを特徴とするアクセス制御履歴
    保証方法。
  5. 【請求項5】 サブジェクトがオブジェクトへアクセス
    する際に、サブジェクトに付与されたアクセス権に応じ
    て、サブジェクトからオブジェクトへのアクセスを制御
    するシステムに適用され、該アクセスの制御履歴を保証
    できるようにしたアクセス制御履歴保証方法において、
    サブジェクトを構成する要素を示すアカウントの変遷の
    履歴をアカウント構成履歴データとして記録しておき、
    記録した該アカウント構成履歴データに対して、後で改
    ざん検知が可能なように処理しておくことを特徴とする
    アクセス制御履歴保証方法。
  6. 【請求項6】 請求項5に記載のアクセス制御履歴保証
    方法おいて、前記サブジェクトは、システムのユーザア
    カウントとグループアカウントとにより示される要素に
    よって構成されることを特徴とするアクセス制御履歴保
    証方法。
  7. 【請求項7】 請求項5または6に記載のアクセス制御
    履歴保証方法において、前記アカウント構成履歴データ
    の改ざんを検知するために、アカウント構成履歴データ
    に対してメッセージ認証子を計算して該アカウント構成
    履歴データとともに記録しておくことを特徴とするアク
    セス制御履歴保証方法。
  8. 【請求項8】 請求項5または6に記載のアクセス制御
    履歴保証方法において、前記アカウント構成履歴データ
    の改ざんを検出するために、該アカウント構成履歴デー
    タに対して電子署名を計算して該アカウント構成履歴デ
    ータとともに記録しておくことを特徴とするアクセス制
    御履歴保証方法。
  9. 【請求項9】 サブジェクトがオブジェクトへアクセス
    する際に、サブジェクトに付与されたアクセス権に応じ
    て、サブジェクトからオブジェクトへのアクセスを制御
    するシステムに適用され、該アクセスの制御履歴を保証
    できるようにしたアクセス制御履歴保証方法において、
    オブジェクトごとに設定されているサブジェクトのアク
    セス権の変遷の履歴をアクセス制御履歴データとして記
    録しておき、記録した該アクセス制御履歴データに対し
    て、後で改ざん検知が可能なように処理しておき、さら
    にサブジェクトを構成する要素を示すアカウントの変遷
    の履歴をアカウント構成履歴データとして記録してお
    き、記録した該アカウント構成履歴データに対して、後
    で改ざん検知が可能なように処理しておくことを特徴と
    するアクセス制御履歴保証方法。
  10. 【請求項10】 請求項9に記載のアクセス制御履歴保
    証方法おいて、前記アクセス権は、オブジェクトごとに
    設定されたアクセス制御リストによって指示されている
    ことを特徴とするアクセス制御履歴保証方法。
  11. 【請求項11】 請求項9に記載のアクセス制御履歴保
    証方法おいて、サブジェクトは、システムのユーザアカ
    ウントとグループアカウントとにより示される要素によ
    って構成されることを特徴とするアクセス制御履歴保証
    方法。
  12. 【請求項12】 請求項9ないし11のいずれか1に記
    載のアクセス制御履歴保証方法おいて、前記アクセス制
    御履歴データと前記アカウント構成履歴データの改ざん
    を検出するために、該アクセス制御履歴データと該アカ
    ウント構成履歴データそれぞれに対してメッセージ認証
    子を計算して該アクセス制御履歴データと該アカウント
    構成履歴データそれぞれとともに記録しておくことを特
    徴とするアクセス制御履歴保証方法。
JP2001376606A 2001-12-11 2001-12-11 アクセス制御履歴保証方法 Expired - Fee Related JP4152099B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001376606A JP4152099B2 (ja) 2001-12-11 2001-12-11 アクセス制御履歴保証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001376606A JP4152099B2 (ja) 2001-12-11 2001-12-11 アクセス制御履歴保証方法

Publications (2)

Publication Number Publication Date
JP2003177967A true JP2003177967A (ja) 2003-06-27
JP4152099B2 JP4152099B2 (ja) 2008-09-17

Family

ID=19184760

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001376606A Expired - Fee Related JP4152099B2 (ja) 2001-12-11 2001-12-11 アクセス制御履歴保証方法

Country Status (1)

Country Link
JP (1) JP4152099B2 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006023802A (ja) * 2004-07-06 2006-01-26 Mitsubishi Electric Corp ログ作成検証システム及びログ作成検証方法
JP2007274253A (ja) * 2006-03-31 2007-10-18 Kenwood Corp 認証装置及び方法
JP2007310579A (ja) * 2006-05-17 2007-11-29 Fujitsu Ltd 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法
JP2011209868A (ja) * 2010-03-29 2011-10-20 Yamaha Corp 中継装置
JP2014235623A (ja) * 2013-06-04 2014-12-15 株式会社日立製作所 不正情報検知方法および不正情報検知装置
US10116442B2 (en) 2015-02-20 2018-10-30 Mitsubishi Electric Corporation Data storage apparatus, data updating system, data processing method, and computer readable medium
CN110837647A (zh) * 2018-08-16 2020-02-25 迈普通信技术股份有限公司 管理访问控制列表的方法及装置
US10592682B2 (en) 2015-02-20 2020-03-17 Mitsubishi Electric Corporation Data storage apparatus, data processing method, and computer readable medium adding a user attribute of a revoked user to an embedded decryption condition while encrypted data remains in an encrypted state

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006023802A (ja) * 2004-07-06 2006-01-26 Mitsubishi Electric Corp ログ作成検証システム及びログ作成検証方法
JP4680543B2 (ja) * 2004-07-06 2011-05-11 三菱電機株式会社 ログ作成システム及びログ作成方法
JP2007274253A (ja) * 2006-03-31 2007-10-18 Kenwood Corp 認証装置及び方法
JP2007310579A (ja) * 2006-05-17 2007-11-29 Fujitsu Ltd 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法
JP2011209868A (ja) * 2010-03-29 2011-10-20 Yamaha Corp 中継装置
JP2014235623A (ja) * 2013-06-04 2014-12-15 株式会社日立製作所 不正情報検知方法および不正情報検知装置
US10116442B2 (en) 2015-02-20 2018-10-30 Mitsubishi Electric Corporation Data storage apparatus, data updating system, data processing method, and computer readable medium
US10592682B2 (en) 2015-02-20 2020-03-17 Mitsubishi Electric Corporation Data storage apparatus, data processing method, and computer readable medium adding a user attribute of a revoked user to an embedded decryption condition while encrypted data remains in an encrypted state
CN110837647A (zh) * 2018-08-16 2020-02-25 迈普通信技术股份有限公司 管理访问控制列表的方法及装置

Also Published As

Publication number Publication date
JP4152099B2 (ja) 2008-09-17

Similar Documents

Publication Publication Date Title
JP3748155B2 (ja) 改ざん防止/検出機能を有するファイル管理システム
KR100338397B1 (ko) 자료파일내자료가진짜임을검증하기위한방법및그장치
US6671804B1 (en) Method and apparatus for supporting authorities in a public key infrastructure
US20030217275A1 (en) Method and system for digital rights management and digital signatures
US6694434B1 (en) Method and apparatus for controlling program execution and program distribution
JP2005128996A (ja) 情報処理装置、情報処理システム及びプログラム
JP5354001B2 (ja) 情報処理装置、情報処理システム及びプログラム
JP2017225054A (ja) プロファイルデータ配信制御装置、プロファイルデータ配信制御方法およびプロファイルデータ配信制御プログラム
JP2007156785A (ja) Icカードを利用した認証システム及び方法並びにそのプログラム
JP4436490B2 (ja) デジタルデータ記録再生システム
JP3980785B2 (ja) 原本性保証電子保存装置、原本性保証電子保存方法およびその方法をコンピュータに実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2001147898A (ja) 原本性保証電子保存方法、装置及びコンピュータ読み取り可能な記録媒体
US20040083359A1 (en) Delegation by electronic certificate
JP2004110197A (ja) センタ・システムにおける情報処理方法及びアクセス権限管理方法
JP4152099B2 (ja) アクセス制御履歴保証方法
JP2004072290A (ja) 証明書管理環境の管理方法、プログラム及び装置
JP2001337600A (ja) 電子データ保管システム、履歴検証装置、電子データ保管方法及び記録媒体
JP2005506623A (ja) データ保護方法と装置
JP2000235569A (ja) 電子文書の管理方法及び文書管理システム
JP2005063399A (ja) ファイル/キー/データ管理システム
JP2002229451A (ja) データ作成日時保証システム、データ作成日時保証方法、及びデータ作成日時保証プログラム
JP3997197B2 (ja) 画像処理システム
JP2008123243A (ja) 電子文書管理プログラム及び電子文書管理装置
JP3862903B2 (ja) 原本性保証電子保存装置、原本性保証電子保存方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2004013488A (ja) 原本性保証電子文書保管サービス方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041029

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080204

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080701

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080701

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110711

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120711

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120711

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130711

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees