JP2004341896A - 属性承認装置、属性承認リソース管理装置、および属性承認装置監査統計サーバ - Google Patents
属性承認装置、属性承認リソース管理装置、および属性承認装置監査統計サーバ Download PDFInfo
- Publication number
- JP2004341896A JP2004341896A JP2003138707A JP2003138707A JP2004341896A JP 2004341896 A JP2004341896 A JP 2004341896A JP 2003138707 A JP2003138707 A JP 2003138707A JP 2003138707 A JP2003138707 A JP 2003138707A JP 2004341896 A JP2004341896 A JP 2004341896A
- Authority
- JP
- Japan
- Prior art keywords
- approval
- attribute
- information
- condition
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】各ユーザが持つ属性情報をサービスに依らず汎用的に利用可能とする。
【解決手段】承認条件判定部11は承認条件判定要求を入力すると、承認条件判定要求からリソース識別情報を取得し、リソース識別情報を入力として承認ポリシ管理部13を呼び出し、承認ポリシ定義を取得する。そして承認ポリシ定義から承認条件属性定義情報リストを取得し、承認条件属性定義情報リストを元に承認条件を作成し、呼出元に返却する。
【選択図】 図1
【解決手段】承認条件判定部11は承認条件判定要求を入力すると、承認条件判定要求からリソース識別情報を取得し、リソース識別情報を入力として承認ポリシ管理部13を呼び出し、承認ポリシ定義を取得する。そして承認ポリシ定義から承認条件属性定義情報リストを取得し、承認条件属性定義情報リストを元に承認条件を作成し、呼出元に返却する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、インターネットのようなオープンなネットワークにおいて、リソースへのアクセスの承認判断に必要な属性情報の取得、検証のためのルール、および、取得した属性情報による承認ルールを定める承認ポリシ定義を管理し、それに基づいて承認判断を行なう属性承認装置に関する。
【0002】
【従来の技術】
現在、リソースに対するアクセス制御は、あらかじめユーザに割り当てられたIDやロールを識別することによって実施されることが多い。IDやロールは、リソース管理者が自ら発行して管理、あるいは、リソース管理者から管理を依頼されたあらかじめ非常に密接な連携関係にある割り当て機関が発行管理する。
【0003】
そのため、リソースへのアクセスの際に、承認結果の判定材料となるIDやロールといった情報は、事前にリソース管理者(あるいはリソースサーバ)側に十分に知られていたり、また、それらの情報の入手は容易であり、取得した情報の信頼性を確認することが不要または容易であることが多い。
【0004】
このことから、従来の技術は、イントラネットなどの変化の少ない、閉域なネットワークにおけるシステム、あるいは、あらかじめユーザ集合を厳密に管理することが容易なシステムに対しては有効であると考えられる。
【0005】
【非特許文献1】
Recommendation X.509 ”The Directory: Public−key and Attribute Certificate Frameworks”, ITU−T, 2000年3月
【非特許文献2】
Request for Comments 3281 ”An Internet Attribute Certificate Profile for Authorization”, The Internet Society, 2002年4月
【0006】
【発明が解決しようとする課題】
現在、インターネットは社会インフラとなりつつあり、今後、これまで以上に多様なサービスがインターネット上で実現されるようになり、その数も増大するものと予想される。
【0007】
このような状況下で、サービスにおけるアクセス制御のために従来技術を用いる場合、各サービスが管理するユーザ情報の規模が著しく増大し、流動的なユーザ集合に対して登録や更新の負担が大きくなりスケーラビリティの確保が困難になる。また、ユーザは個々のサービスを、そのアクセス制御方法の違いを意識して柔軟に利用する必要があるため、サービスの多様性に比例して、利用者の負担も増加してしまう。
【0008】
このことは、従来技術が、各サービス側で独自にユーザの識別情報やユーザの特徴情報を管理することを基本としていることが原因と考えられる。また、これは異種サービス間での連携サービス実現の妨げともなってしまう。
【0009】
そこで、本発明の目的は、各ユーザが持つさまざまな特徴情報(以下、属性情報)をサービスに依らずに汎用的に利用可能なものとし、各サービスのアクセス承認のための判断材料として利用することによって、サービスやユーザの負担を低減する属性承認装置を提供することにある。
【0010】
【課題を解決するための手段】
本発明の属性承認装置は、
リソース識別情報と、承認結果判定に必要な属性情報の条件を表わす承認条件属性定義情報リストと、属性情報を用いた承認結果の判定規則を表わす承認ルール情報とからなる承認ポリシ定義を複数蓄積、管理する承認ポリシ管理手段と、リソース識別情報を含む、リソースへのアクセスの承認結果判定に必要な属性情報の条件の取得を要求することを表わす承認条件判定要求を入力として受け取り、該承認条件判定要求に含まれるリソース識別情報を元に、前記承認ポリシ管理手段から承認ポリシ定義を取得し、該承認ポリシ定義に含まれる承認条件属性定義情報リストを元に承認条件を決定して要求元に返却する承認条件判定手段と、
承認要求対象を表わすリソース識別情報と承認結果判定のための属性情報リストを含む承認結果判定要求を入力として受け取り、該承認結果判定要求に含まれるリソース識別情報を元に、前記承認ポリシ管理手段から承認ポリシ定義を取得し、該承認ポリシ定義に含まれる承認ルール情報によって、該承認結果判定要求に含まれる属性情報リストを対象とした承認判定処理を行ない、承認結果を要求元に返却する承認結果判定手段を有する。
【0011】
リソースへのアクセスに関する承認判断に必要な属性情報の条件として承認条件属性定義情報リストと、収集した属性情報による承認判断の手順を表わす承認ルール情報と、を承認ポリシ定義としてあらかじめ作成して属性承認装置に登録しておくことによって、リソース管理装置は、属性承認装置を用いて、アクセス要求の対象となったリソースへの承認判断に必要な属性情報を判定すること、および、その結果を元にして収集した属性情報を元にして承認結果を判定することが可能になる。
【0012】
これにより、リソース管理装置ごとにアクセス制御のための承認判断機構を実装する必要がなくなり、また、アクセス要求側が保持する属性情報を元にしたアクセス制御を行なうためリソース管理装置側での管理コストが低減される。
【0013】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0014】
[第1の実施形態]
図1を参照すると、本発明の一実施形態の属性認証装置1は承認条件判定部11と承認結果判定部12と承認ポリシ管理部13とで構成される。
【0015】
図2を参照すると、属性情報30は属性種別情報31と1つ以上の属性要素情報32によって構成される。
【0016】
図3を参照すると、承認ポリシ定義40はリソース識別情報41と承認条件属性定義情報リスト42と承認ルール情報43とによって構成され、承認条件属性定義情報リスト42は0個以上の属性定義情報421によって構成される。
【0017】
図4を参照すると、承認条件判定要求50はリソース識別情報51によって構成される。
【0018】
図5を参照すると、承認結果判定要求60はリソース識別情報61と属性情報リスト62によって構成され、属性情報リスト62は0個以上の属性情報621によって構成される。
【0019】
図6を参照すると、承認条件70はリソース識別情報71と承認条件属性定義情報リスト72とによって構成され、承認条件属性定義情報リスト72は0個以上の属性定義情報721によって構成される。
【0020】
承認条件判定部11は、承認条件判定要求50を入力として、リソース識別情報51と一致するリソース識別情報41を含む承認ポリシ定義40を承認ポリシ管理部13から取得し、承認ポリシ定義40の承認条件属性定義情報42を元にして、承認条件70を生成して呼出元に返却する。承認結果判定部12は、承認結果判定要求60を入力として、リソース識別情報61と一致するリソース識別情報41を含む承認ポリシ定義40を承認ポリシ管理部13から取得し、承認ルール情報43と属性情報リスト62を元にして承認結果を生成して呼出元に返却する。承認ポリシ管理部13は、複数の承認ポリシ定義40を蓄積管理し、承認条件判定部11および承認結果判定部12から、リソース識別情報を含む承認ポリシ定義の取得要求を受け取り、リソース識別情報41が一致する承認ポリシ定義40を返却する。
【0021】
図7は、属性承認装置1が承認条件判定要求50を受け付けたときの承認条件判定部11の処理を示している。
【0022】
ステップ101に、承認条件判定要求50を入力として取得する。ステップ102に、承認条件判定要求50からリソース識別情報51を取得する。ステップ103に、リソース識別情報51を入力として、承認ポリシ管理部13を呼び出して承認ポリシ定義40を取得する。ステップ104に、承認ポリシ定義40から承認条件属性定義情報リスト42を取得する。ステップ105に、承認条件属性定義情報リスト42を元にして承認条件70を生成する。ステップ106に、承認条件70を呼出元に返却して終了する。
【0023】
図8は承認結果判定要求60を受け付けた場合の承認結果判定部12の処理を示している。
【0024】
ステップ201に、承認結果判定要求60を入力として取得する。ステップ202に、承認結果判定要求60からリソース識別情報61を取得する。ステップ203に、リソース識別情報61を入力として、承認ポリシ管理部13を呼び出して承認ポリシ定義40を取得する。ステップ204に、承認ポリシ定義40から承認ルール情報43を取得する。ステップ205に、承認ルール情報43と属性情報リスト62に含まれる属性情報621によって承認結果を判定する。ステップ206に、承認結果を呼出元に返却して終了する。
【0025】
[第2の実施形態]
第1の実施形態では、属性承認装置1の呼出元自身が、承認条件を要求する場合と、承認条件に従って属性承認装置1の呼出元の側で収集した属性情報を元にして承認結果を判定を要求する場合とを区別して、2つの機能を切り替えて呼び出しを行なう。
【0026】
本実施形態では、このような呼び出しの区別をせず、1種類の機能により上記の2つの機能を実現する。
【0027】
図9を参照すると、本発明の第2の実施形態の属性承認装置2は承認条件判定部21と承認結果判定部22と承認ポリシ管理部23と制御部24で構成される。
【0028】
図10を参照すると、承認条件判定兼務承認結果判定要求80はリソース識別情報81と属性情報リスト82とによって構成され、属性情報リスト82は0個以上の属性情報821によって構成される。
【0029】
承認ポリシ管理部23は、複数の承認ポリシ定義40を蓄積管理し、承認条件判定部21および承認結果判定部22から、リソース識別情報を含む承認ポリシ定義の取得要求を受け取り、リソース識別情報が一致する承認ポリシ定義40を返却する。制御部24は、承認条件判定兼承認結果判定要求80を入力として、リソース識別情報81を元に生成した承認条件判定要求50を入力として承認条件判定部21を呼び出して承認条件70を取得し、承認条件70の承認条件属性定義情報リスト72が示す条件を満す属性情報が属性情報リスト82にすべて含まれている場合に、リソース識別情報81と属性情報リスト82を元に生成した承認結果判定要求60を入力として承認結果判定部22を呼び出して承認結果を取得し、制御部24の呼出元に返却する。制御部24は、承認条件70の承認条件属性定義情報リスト72が示す条件を満す属性情報が十分に属性情報リスト82に含まれていない場合には、承認条件70を制御部24の呼出元に返却する。
【0030】
図11は属性承認装置2が承認結果判定要求60を受け付けた場合の制御部24の処理を示している。
【0031】
ステップ301に、承認条件判定兼結果判定要求80を入力として取得する。
ステップ302に、承認条件判定兼結果判定要求80からリソース識別情報81と属性情報リスト82を取得する。ステップ303に、リソース識別情報81を元に承認条件判定要求50を生成する。ステップ304に、承認条件判定要求50を入力として、承認条件判定部21を呼び出して承認条件70を取得する。ステップ305に、承認条件70の承認条件属性定義情報リスト72が示す条件を満す属性情報が属性情報リスト82にすべて含まれていることを検証する。ステップ306で、検証結果が失敗の場合はステップ307に進み、成功の場合はステップ308に進む。ステップ307に、承認条件を呼出元に返却して、終了する。ステップ308に、リソース識別情報81と属性情報リスト82を元にして、承認結果判定要求60を生成する。ステップ309に、承認結果判定要求60を入力として、承認結果判定部22を呼び出して承認結果を取得する。ステップ310に、承認結果を呼出元に返却して、処理を終了する。
【0032】
[第3の実施形態]
第1および第2の実施形態において、承認ポリシ定義40の承認条件属性定義情報リスト42を構成する属性定義情報421が、属性の種別を表わす種別識別情報31を含むものとすると、属性の構成要素による細かな違いがある場合にも、同一種類の属性であれば、単一の承認ポリシ定義40を設定するのみで良く、サービス側の管理コストを低減することができる。
【0033】
[第4の実施形態]
第1〜3の実施形態において、承認ポリシ定義40の承認条件属性定義情報リスト42を構成する属性定義情報421が、属性の検証方法を定める属性検証条件を含むものとすると、属性情報の有効性に関して多様な条件を定めることが可能となり、承認結果判定部12,22において正当な属性情報のみを用いた承認結果判定処理を実施することが可能となる。
【0034】
[第5の実施形態]
第4の実施形態において、属性検証条件を発行者制約とすることによって、属性情報の発行者(生成者)を検証することが可能となり、信頼可能な機関によって発行された属性情報のみによる承認結果判定処理を実施することが可能となる。例えば、発行者制約は属性の発行者を表わす識別情報(ID)とし、属性情報に発行者を表わす識別情報(ID)を含めるとした場合には、文字列の一致検証を実施すればよい。または、属性情報を署名付きデータとした場合には、属性検証情報として署名検証鍵を用いる方法が考えられる。
【0035】
[第6の実施形態]
第1〜5の実施形態に示した属性承認装置1や属性承認装置2は、図12、図13に示すように、通信網(インターネット、LAN、同一ホスト内のプロセス間通信、等)4を介して、リソース管理装置3と接続し、リソース管理装置3は通信網6を介して、リソース利用要求を発するリソースアクセス装置5と接続して構成される属性承認リソース管理システムとして用いることができる。 図14は、属性承認リソース管理システムのリソース管理装置3が属性承認装置1と連携して動作する場合の処理を示している。
【0036】
ステップ401に、リソースの利用要求を入力として取得する。ステップ402に、承認条件判定要求50を生成する。ステップ403に、承認条件判定要求50を入力として、属性承認装置1を呼び出して承認条件70を取得する。ステップ404に、承認条件70の承認条件属性定義情報リスト72が示す条件を満す属性情報を、呼出元(リソースアクセス装置5)から収集し、属性情報リスト82を生成する。ステップ405に、リソース識別情報61と属性情報リスト62を元にして、承認結果判定要求60を生成する。ステップ406に、承認結果判定要求60を入力として、属性承認装置1を呼び出して承認結果を取得する。
ステップ407に、承認結果に基いてリソースを呼出元に提供して、処理を終了する。
【0037】
なお、属性承認装置2を用いる場合は、リソース管理装置が承認条件判定要求50と承認結果判定要求60を使い分けるのではなく、承認条件判定兼承認結果判定要求80のみを用いる点が異なるが、基本的な処理の流れは上記と同様である。
【0038】
[第7の実施形態]
図15は、属性承認装置1または属性承認装置2から監査統計情報を収集する属性承認装置監査統計サーバ7による属性承認装置監査統計システムの構成図を示している。
【0039】
各属性承認装置1または各属性承認装置2は、通信網8を介して、属性承認装置監査統計サーバ7と接続されており、属性承認装置1または属性承認装置2は、承認条件や承認結果の判定処理を行なう際に、監査統計情報を蓄積管理する。
属性承認装置監査統計サーバ7は、1つ以上の属性承認装置1または属性承認装置2から監査統計情報を取得集計する。
【0040】
このシステムは、属性承認装置の異常や不正の摘発を検出することによってセキュリティレベルを維持することや、属性承認装置によるマーケティングデータの収集に有効である。
【0041】
[第8の実施形態]
第1〜第8の実施形態において、図2に示される属性情報30の電子的形式を、X.509、またはRFC3281の仕様に基づく属性証明書の形式とすることによって、公開鍵認証基盤に基づく安全性の高い属性受信制御装置、あるいは属性受信制御プログラムを実現することが可能である。また、それらの仕様に基づいて開発された実績のある信頼性の高い処理装置、あるいは処理プログラムを実装部品として利用することも可能となる。
【0042】
なお、属性承認装置1と2の機能は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプルグラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0043】
【発明の効果】
以上説明したように、本発明は下記の効果がある。
【0044】
請求項1の発明は、リソースへのアクセスに関する承認判断に必要な属性情報の条件として承認条件属性定義情報リストと、収集した属性情報による承認判断の手順を表わす承認ルール情報とを承認ポリシ定義としてあらかじめ作成して属性承認装置に登録しておくことによって、リソース管理装置は、属性承認装置を用いて、アクセス要求の対象となったリソースへの承認判断に必要な属性情報を判定すること、および、その結果を元にして収集した属性情報を元にして承認結果を判定することが可能になる。
【0045】
これにより、リソース管理装置ごとにアクセス制御のための承認判断機構を実装する必要がなくなり、また、アクセス要求側が保持する属性情報を元にしたアクセス制御を行なうためリソース管理装置側での管理コストが低減される。
【0046】
請求項2の発明は、承認判断に用いる承認ポリシ定義において、承認条件属性情報定義情報リストを、属性情報の種別を表わす属性種別情報を元にして定義することによって、承認ポリシ定義の数を抑えることが可能となり、記述コストを低減することができる。
【0047】
請求項3の発明は、承認ポリシ定義の承認条件属性定義情報リストに、属性情報の属性検証条件を含めるようにし、承認結果の判定を行なう際に、各属性情報の有効性を属性検証条件を元にして検証することによって、承認ポリシ定義ごとに属性の有効性の判断記述を制御することが可能になる。
【0048】
請求項4の発明は、上記請求項3の発明の効果に加え、属性検証条件を発行者を限定する条件とすることによって、属性承認に用いる属性情報の発行元を限定することが可能になる。
【0049】
請求項5の発明は、呼出元から受け付ける要求の種類を承認条件判定要求と承認結果判定要求の両方を兼ねる承認条件判定兼承認結果判定要求とすることによって、属性承認装置の呼出元の実装方法の多様性に対応可能になる。
【0050】
請求項7と8の発明は、リソース管理装置が、承認に必要な属性情報の決定から収集した属性情報の検証と分析を属性承認装置を用いて実施するため、アクセス制御に必要な大部分の処理機構を独自に保有する必要がなく、また、承認に必要な属性はアクセス要求側等からその都度リソース管理装置が収集するため、承認に必要な属性情報は、属性承認装置から得られる承認条件を元にして、アクセス要求側等からリソース管理装置がその都度収集することが可能であるため、アクセス要求側の属性情報を異なるリソース管理装置間で共有利用することが可能となる。
【0051】
請求項10の発明は、属性承認装置から承認条件判定および承認結果判定の監査統計情報を属性承認装置監査統計サーバが収集することによって、各属性承認装置が適性に運用、動作していることを監視検証することが可能となり、また、属性情報の流通、リソースへのアクセス要求の履歴、傾向等を統計情報として得ることが可能になる。
【0052】
請求項6、9の発明は属性情報をX.509仕様に基づく属性証明書とすることによって、公開鍵認証基盤を用いた安全性の高い属性承認装置ならびに属性承認リソース管理システムならびに属性承認装置監査統計システムを実現することが可能になる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態の属性承認装置の構成図である。
【図2】属性情報の構成を示す図である。
【図3】属性ポリシ定義の構成図である。
【図4】承認条件判定要求の構成図である。
【図5】承認結果判定要求の構成図である。
【図6】承認条件の構成図である。
【図7】承認条件判定部の処理を示すフローチャートである。
【図8】承認結果判定部の処理を示すフローチャートである。
【図9】本発明の第2の実施形態の属性承認装置の構成図である。
【図10】承認条件判定兼承認結果判定要求の構成図である。
【図11】制御部の処理を示すフローチャートである。
【図12】本発明の第1の属性承認リソース管理システムの構成図である。
【図13】本発明の第2の属性承認リソース管理システムの構成図である。
【図14】リソース管理装置の処理を示すフローチャートである。
【図15】本発明の属性承認装置監査統計システムの構成図である。
【符号の説明】
1,2 属性承認装置
3 リソース管理装置
5 リソースアクセス装置
7 属性承認装置監査統計サーバ
4,6,8 通信網
11,21 承認条件判定部
12,22 承認結果判定部
13,23 承認ポリシ管理部
24 制御部
30 属性情報
31 属性種別情報
32 属性要素情報
40 承認ポリシ定義
41 リソース識別情報
42 承認条件属性定義情報リスト
43 承認ルール情報
421 属性定義情報
50 承認条件判定要求
51 リソース識別情報
60 承認結果判定要求
61 リソース識別情報
62 属性情報リスト
621 属性情報
70 承認条件
71 リソース識別情報
72 承認条件属性定義情報リスト
721 属性定義情報
80 承認条件判定兼承認結果判定要求
81 リソース識別情報
82 属性情報リスト
821 属性情報
101〜106,201〜206,301〜310,401〜407 ステップ
【発明の属する技術分野】
本発明は、インターネットのようなオープンなネットワークにおいて、リソースへのアクセスの承認判断に必要な属性情報の取得、検証のためのルール、および、取得した属性情報による承認ルールを定める承認ポリシ定義を管理し、それに基づいて承認判断を行なう属性承認装置に関する。
【0002】
【従来の技術】
現在、リソースに対するアクセス制御は、あらかじめユーザに割り当てられたIDやロールを識別することによって実施されることが多い。IDやロールは、リソース管理者が自ら発行して管理、あるいは、リソース管理者から管理を依頼されたあらかじめ非常に密接な連携関係にある割り当て機関が発行管理する。
【0003】
そのため、リソースへのアクセスの際に、承認結果の判定材料となるIDやロールといった情報は、事前にリソース管理者(あるいはリソースサーバ)側に十分に知られていたり、また、それらの情報の入手は容易であり、取得した情報の信頼性を確認することが不要または容易であることが多い。
【0004】
このことから、従来の技術は、イントラネットなどの変化の少ない、閉域なネットワークにおけるシステム、あるいは、あらかじめユーザ集合を厳密に管理することが容易なシステムに対しては有効であると考えられる。
【0005】
【非特許文献1】
Recommendation X.509 ”The Directory: Public−key and Attribute Certificate Frameworks”, ITU−T, 2000年3月
【非特許文献2】
Request for Comments 3281 ”An Internet Attribute Certificate Profile for Authorization”, The Internet Society, 2002年4月
【0006】
【発明が解決しようとする課題】
現在、インターネットは社会インフラとなりつつあり、今後、これまで以上に多様なサービスがインターネット上で実現されるようになり、その数も増大するものと予想される。
【0007】
このような状況下で、サービスにおけるアクセス制御のために従来技術を用いる場合、各サービスが管理するユーザ情報の規模が著しく増大し、流動的なユーザ集合に対して登録や更新の負担が大きくなりスケーラビリティの確保が困難になる。また、ユーザは個々のサービスを、そのアクセス制御方法の違いを意識して柔軟に利用する必要があるため、サービスの多様性に比例して、利用者の負担も増加してしまう。
【0008】
このことは、従来技術が、各サービス側で独自にユーザの識別情報やユーザの特徴情報を管理することを基本としていることが原因と考えられる。また、これは異種サービス間での連携サービス実現の妨げともなってしまう。
【0009】
そこで、本発明の目的は、各ユーザが持つさまざまな特徴情報(以下、属性情報)をサービスに依らずに汎用的に利用可能なものとし、各サービスのアクセス承認のための判断材料として利用することによって、サービスやユーザの負担を低減する属性承認装置を提供することにある。
【0010】
【課題を解決するための手段】
本発明の属性承認装置は、
リソース識別情報と、承認結果判定に必要な属性情報の条件を表わす承認条件属性定義情報リストと、属性情報を用いた承認結果の判定規則を表わす承認ルール情報とからなる承認ポリシ定義を複数蓄積、管理する承認ポリシ管理手段と、リソース識別情報を含む、リソースへのアクセスの承認結果判定に必要な属性情報の条件の取得を要求することを表わす承認条件判定要求を入力として受け取り、該承認条件判定要求に含まれるリソース識別情報を元に、前記承認ポリシ管理手段から承認ポリシ定義を取得し、該承認ポリシ定義に含まれる承認条件属性定義情報リストを元に承認条件を決定して要求元に返却する承認条件判定手段と、
承認要求対象を表わすリソース識別情報と承認結果判定のための属性情報リストを含む承認結果判定要求を入力として受け取り、該承認結果判定要求に含まれるリソース識別情報を元に、前記承認ポリシ管理手段から承認ポリシ定義を取得し、該承認ポリシ定義に含まれる承認ルール情報によって、該承認結果判定要求に含まれる属性情報リストを対象とした承認判定処理を行ない、承認結果を要求元に返却する承認結果判定手段を有する。
【0011】
リソースへのアクセスに関する承認判断に必要な属性情報の条件として承認条件属性定義情報リストと、収集した属性情報による承認判断の手順を表わす承認ルール情報と、を承認ポリシ定義としてあらかじめ作成して属性承認装置に登録しておくことによって、リソース管理装置は、属性承認装置を用いて、アクセス要求の対象となったリソースへの承認判断に必要な属性情報を判定すること、および、その結果を元にして収集した属性情報を元にして承認結果を判定することが可能になる。
【0012】
これにより、リソース管理装置ごとにアクセス制御のための承認判断機構を実装する必要がなくなり、また、アクセス要求側が保持する属性情報を元にしたアクセス制御を行なうためリソース管理装置側での管理コストが低減される。
【0013】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0014】
[第1の実施形態]
図1を参照すると、本発明の一実施形態の属性認証装置1は承認条件判定部11と承認結果判定部12と承認ポリシ管理部13とで構成される。
【0015】
図2を参照すると、属性情報30は属性種別情報31と1つ以上の属性要素情報32によって構成される。
【0016】
図3を参照すると、承認ポリシ定義40はリソース識別情報41と承認条件属性定義情報リスト42と承認ルール情報43とによって構成され、承認条件属性定義情報リスト42は0個以上の属性定義情報421によって構成される。
【0017】
図4を参照すると、承認条件判定要求50はリソース識別情報51によって構成される。
【0018】
図5を参照すると、承認結果判定要求60はリソース識別情報61と属性情報リスト62によって構成され、属性情報リスト62は0個以上の属性情報621によって構成される。
【0019】
図6を参照すると、承認条件70はリソース識別情報71と承認条件属性定義情報リスト72とによって構成され、承認条件属性定義情報リスト72は0個以上の属性定義情報721によって構成される。
【0020】
承認条件判定部11は、承認条件判定要求50を入力として、リソース識別情報51と一致するリソース識別情報41を含む承認ポリシ定義40を承認ポリシ管理部13から取得し、承認ポリシ定義40の承認条件属性定義情報42を元にして、承認条件70を生成して呼出元に返却する。承認結果判定部12は、承認結果判定要求60を入力として、リソース識別情報61と一致するリソース識別情報41を含む承認ポリシ定義40を承認ポリシ管理部13から取得し、承認ルール情報43と属性情報リスト62を元にして承認結果を生成して呼出元に返却する。承認ポリシ管理部13は、複数の承認ポリシ定義40を蓄積管理し、承認条件判定部11および承認結果判定部12から、リソース識別情報を含む承認ポリシ定義の取得要求を受け取り、リソース識別情報41が一致する承認ポリシ定義40を返却する。
【0021】
図7は、属性承認装置1が承認条件判定要求50を受け付けたときの承認条件判定部11の処理を示している。
【0022】
ステップ101に、承認条件判定要求50を入力として取得する。ステップ102に、承認条件判定要求50からリソース識別情報51を取得する。ステップ103に、リソース識別情報51を入力として、承認ポリシ管理部13を呼び出して承認ポリシ定義40を取得する。ステップ104に、承認ポリシ定義40から承認条件属性定義情報リスト42を取得する。ステップ105に、承認条件属性定義情報リスト42を元にして承認条件70を生成する。ステップ106に、承認条件70を呼出元に返却して終了する。
【0023】
図8は承認結果判定要求60を受け付けた場合の承認結果判定部12の処理を示している。
【0024】
ステップ201に、承認結果判定要求60を入力として取得する。ステップ202に、承認結果判定要求60からリソース識別情報61を取得する。ステップ203に、リソース識別情報61を入力として、承認ポリシ管理部13を呼び出して承認ポリシ定義40を取得する。ステップ204に、承認ポリシ定義40から承認ルール情報43を取得する。ステップ205に、承認ルール情報43と属性情報リスト62に含まれる属性情報621によって承認結果を判定する。ステップ206に、承認結果を呼出元に返却して終了する。
【0025】
[第2の実施形態]
第1の実施形態では、属性承認装置1の呼出元自身が、承認条件を要求する場合と、承認条件に従って属性承認装置1の呼出元の側で収集した属性情報を元にして承認結果を判定を要求する場合とを区別して、2つの機能を切り替えて呼び出しを行なう。
【0026】
本実施形態では、このような呼び出しの区別をせず、1種類の機能により上記の2つの機能を実現する。
【0027】
図9を参照すると、本発明の第2の実施形態の属性承認装置2は承認条件判定部21と承認結果判定部22と承認ポリシ管理部23と制御部24で構成される。
【0028】
図10を参照すると、承認条件判定兼務承認結果判定要求80はリソース識別情報81と属性情報リスト82とによって構成され、属性情報リスト82は0個以上の属性情報821によって構成される。
【0029】
承認ポリシ管理部23は、複数の承認ポリシ定義40を蓄積管理し、承認条件判定部21および承認結果判定部22から、リソース識別情報を含む承認ポリシ定義の取得要求を受け取り、リソース識別情報が一致する承認ポリシ定義40を返却する。制御部24は、承認条件判定兼承認結果判定要求80を入力として、リソース識別情報81を元に生成した承認条件判定要求50を入力として承認条件判定部21を呼び出して承認条件70を取得し、承認条件70の承認条件属性定義情報リスト72が示す条件を満す属性情報が属性情報リスト82にすべて含まれている場合に、リソース識別情報81と属性情報リスト82を元に生成した承認結果判定要求60を入力として承認結果判定部22を呼び出して承認結果を取得し、制御部24の呼出元に返却する。制御部24は、承認条件70の承認条件属性定義情報リスト72が示す条件を満す属性情報が十分に属性情報リスト82に含まれていない場合には、承認条件70を制御部24の呼出元に返却する。
【0030】
図11は属性承認装置2が承認結果判定要求60を受け付けた場合の制御部24の処理を示している。
【0031】
ステップ301に、承認条件判定兼結果判定要求80を入力として取得する。
ステップ302に、承認条件判定兼結果判定要求80からリソース識別情報81と属性情報リスト82を取得する。ステップ303に、リソース識別情報81を元に承認条件判定要求50を生成する。ステップ304に、承認条件判定要求50を入力として、承認条件判定部21を呼び出して承認条件70を取得する。ステップ305に、承認条件70の承認条件属性定義情報リスト72が示す条件を満す属性情報が属性情報リスト82にすべて含まれていることを検証する。ステップ306で、検証結果が失敗の場合はステップ307に進み、成功の場合はステップ308に進む。ステップ307に、承認条件を呼出元に返却して、終了する。ステップ308に、リソース識別情報81と属性情報リスト82を元にして、承認結果判定要求60を生成する。ステップ309に、承認結果判定要求60を入力として、承認結果判定部22を呼び出して承認結果を取得する。ステップ310に、承認結果を呼出元に返却して、処理を終了する。
【0032】
[第3の実施形態]
第1および第2の実施形態において、承認ポリシ定義40の承認条件属性定義情報リスト42を構成する属性定義情報421が、属性の種別を表わす種別識別情報31を含むものとすると、属性の構成要素による細かな違いがある場合にも、同一種類の属性であれば、単一の承認ポリシ定義40を設定するのみで良く、サービス側の管理コストを低減することができる。
【0033】
[第4の実施形態]
第1〜3の実施形態において、承認ポリシ定義40の承認条件属性定義情報リスト42を構成する属性定義情報421が、属性の検証方法を定める属性検証条件を含むものとすると、属性情報の有効性に関して多様な条件を定めることが可能となり、承認結果判定部12,22において正当な属性情報のみを用いた承認結果判定処理を実施することが可能となる。
【0034】
[第5の実施形態]
第4の実施形態において、属性検証条件を発行者制約とすることによって、属性情報の発行者(生成者)を検証することが可能となり、信頼可能な機関によって発行された属性情報のみによる承認結果判定処理を実施することが可能となる。例えば、発行者制約は属性の発行者を表わす識別情報(ID)とし、属性情報に発行者を表わす識別情報(ID)を含めるとした場合には、文字列の一致検証を実施すればよい。または、属性情報を署名付きデータとした場合には、属性検証情報として署名検証鍵を用いる方法が考えられる。
【0035】
[第6の実施形態]
第1〜5の実施形態に示した属性承認装置1や属性承認装置2は、図12、図13に示すように、通信網(インターネット、LAN、同一ホスト内のプロセス間通信、等)4を介して、リソース管理装置3と接続し、リソース管理装置3は通信網6を介して、リソース利用要求を発するリソースアクセス装置5と接続して構成される属性承認リソース管理システムとして用いることができる。 図14は、属性承認リソース管理システムのリソース管理装置3が属性承認装置1と連携して動作する場合の処理を示している。
【0036】
ステップ401に、リソースの利用要求を入力として取得する。ステップ402に、承認条件判定要求50を生成する。ステップ403に、承認条件判定要求50を入力として、属性承認装置1を呼び出して承認条件70を取得する。ステップ404に、承認条件70の承認条件属性定義情報リスト72が示す条件を満す属性情報を、呼出元(リソースアクセス装置5)から収集し、属性情報リスト82を生成する。ステップ405に、リソース識別情報61と属性情報リスト62を元にして、承認結果判定要求60を生成する。ステップ406に、承認結果判定要求60を入力として、属性承認装置1を呼び出して承認結果を取得する。
ステップ407に、承認結果に基いてリソースを呼出元に提供して、処理を終了する。
【0037】
なお、属性承認装置2を用いる場合は、リソース管理装置が承認条件判定要求50と承認結果判定要求60を使い分けるのではなく、承認条件判定兼承認結果判定要求80のみを用いる点が異なるが、基本的な処理の流れは上記と同様である。
【0038】
[第7の実施形態]
図15は、属性承認装置1または属性承認装置2から監査統計情報を収集する属性承認装置監査統計サーバ7による属性承認装置監査統計システムの構成図を示している。
【0039】
各属性承認装置1または各属性承認装置2は、通信網8を介して、属性承認装置監査統計サーバ7と接続されており、属性承認装置1または属性承認装置2は、承認条件や承認結果の判定処理を行なう際に、監査統計情報を蓄積管理する。
属性承認装置監査統計サーバ7は、1つ以上の属性承認装置1または属性承認装置2から監査統計情報を取得集計する。
【0040】
このシステムは、属性承認装置の異常や不正の摘発を検出することによってセキュリティレベルを維持することや、属性承認装置によるマーケティングデータの収集に有効である。
【0041】
[第8の実施形態]
第1〜第8の実施形態において、図2に示される属性情報30の電子的形式を、X.509、またはRFC3281の仕様に基づく属性証明書の形式とすることによって、公開鍵認証基盤に基づく安全性の高い属性受信制御装置、あるいは属性受信制御プログラムを実現することが可能である。また、それらの仕様に基づいて開発された実績のある信頼性の高い処理装置、あるいは処理プログラムを実装部品として利用することも可能となる。
【0042】
なお、属性承認装置1と2の機能は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプルグラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0043】
【発明の効果】
以上説明したように、本発明は下記の効果がある。
【0044】
請求項1の発明は、リソースへのアクセスに関する承認判断に必要な属性情報の条件として承認条件属性定義情報リストと、収集した属性情報による承認判断の手順を表わす承認ルール情報とを承認ポリシ定義としてあらかじめ作成して属性承認装置に登録しておくことによって、リソース管理装置は、属性承認装置を用いて、アクセス要求の対象となったリソースへの承認判断に必要な属性情報を判定すること、および、その結果を元にして収集した属性情報を元にして承認結果を判定することが可能になる。
【0045】
これにより、リソース管理装置ごとにアクセス制御のための承認判断機構を実装する必要がなくなり、また、アクセス要求側が保持する属性情報を元にしたアクセス制御を行なうためリソース管理装置側での管理コストが低減される。
【0046】
請求項2の発明は、承認判断に用いる承認ポリシ定義において、承認条件属性情報定義情報リストを、属性情報の種別を表わす属性種別情報を元にして定義することによって、承認ポリシ定義の数を抑えることが可能となり、記述コストを低減することができる。
【0047】
請求項3の発明は、承認ポリシ定義の承認条件属性定義情報リストに、属性情報の属性検証条件を含めるようにし、承認結果の判定を行なう際に、各属性情報の有効性を属性検証条件を元にして検証することによって、承認ポリシ定義ごとに属性の有効性の判断記述を制御することが可能になる。
【0048】
請求項4の発明は、上記請求項3の発明の効果に加え、属性検証条件を発行者を限定する条件とすることによって、属性承認に用いる属性情報の発行元を限定することが可能になる。
【0049】
請求項5の発明は、呼出元から受け付ける要求の種類を承認条件判定要求と承認結果判定要求の両方を兼ねる承認条件判定兼承認結果判定要求とすることによって、属性承認装置の呼出元の実装方法の多様性に対応可能になる。
【0050】
請求項7と8の発明は、リソース管理装置が、承認に必要な属性情報の決定から収集した属性情報の検証と分析を属性承認装置を用いて実施するため、アクセス制御に必要な大部分の処理機構を独自に保有する必要がなく、また、承認に必要な属性はアクセス要求側等からその都度リソース管理装置が収集するため、承認に必要な属性情報は、属性承認装置から得られる承認条件を元にして、アクセス要求側等からリソース管理装置がその都度収集することが可能であるため、アクセス要求側の属性情報を異なるリソース管理装置間で共有利用することが可能となる。
【0051】
請求項10の発明は、属性承認装置から承認条件判定および承認結果判定の監査統計情報を属性承認装置監査統計サーバが収集することによって、各属性承認装置が適性に運用、動作していることを監視検証することが可能となり、また、属性情報の流通、リソースへのアクセス要求の履歴、傾向等を統計情報として得ることが可能になる。
【0052】
請求項6、9の発明は属性情報をX.509仕様に基づく属性証明書とすることによって、公開鍵認証基盤を用いた安全性の高い属性承認装置ならびに属性承認リソース管理システムならびに属性承認装置監査統計システムを実現することが可能になる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態の属性承認装置の構成図である。
【図2】属性情報の構成を示す図である。
【図3】属性ポリシ定義の構成図である。
【図4】承認条件判定要求の構成図である。
【図5】承認結果判定要求の構成図である。
【図6】承認条件の構成図である。
【図7】承認条件判定部の処理を示すフローチャートである。
【図8】承認結果判定部の処理を示すフローチャートである。
【図9】本発明の第2の実施形態の属性承認装置の構成図である。
【図10】承認条件判定兼承認結果判定要求の構成図である。
【図11】制御部の処理を示すフローチャートである。
【図12】本発明の第1の属性承認リソース管理システムの構成図である。
【図13】本発明の第2の属性承認リソース管理システムの構成図である。
【図14】リソース管理装置の処理を示すフローチャートである。
【図15】本発明の属性承認装置監査統計システムの構成図である。
【符号の説明】
1,2 属性承認装置
3 リソース管理装置
5 リソースアクセス装置
7 属性承認装置監査統計サーバ
4,6,8 通信網
11,21 承認条件判定部
12,22 承認結果判定部
13,23 承認ポリシ管理部
24 制御部
30 属性情報
31 属性種別情報
32 属性要素情報
40 承認ポリシ定義
41 リソース識別情報
42 承認条件属性定義情報リスト
43 承認ルール情報
421 属性定義情報
50 承認条件判定要求
51 リソース識別情報
60 承認結果判定要求
61 リソース識別情報
62 属性情報リスト
621 属性情報
70 承認条件
71 リソース識別情報
72 承認条件属性定義情報リスト
721 属性定義情報
80 承認条件判定兼承認結果判定要求
81 リソース識別情報
82 属性情報リスト
821 属性情報
101〜106,201〜206,301〜310,401〜407 ステップ
Claims (11)
- リソースへのアクセス承認要求とアクセス元に関する特徴を表わす属性情報を入力として、リソースへの承認判断を実施し、承認結果を返却する装置であって、
リソース識別情報と、承認結果判定に必要な属性情報の条件を表わす承認条件属性定義情報リストと、属性情報を用いた承認結果の判定規則を表わす承認ルール情報とからなる承認ポリシ定義を複数蓄積、管理する承認ポリシ管理手段と、リソース識別情報を含む、リソースへのアクセスの承認結果判定に必要な属性情報の条件の取得を要求することを表わす承認条件判定要求を入力として受け取り、該承認条件判定要求に含まれるリソース識別情報を元に、前記承認ポリシ管理手段から承認ポリシ定義を取得し、該承認ポリシ定義に含まれる承認条件属性定義情報リストを元に承認条件を決定して要求元に返却する承認条件判定手段と、
承認要求対象を表わすリソース識別情報と承認結果判定のための属性情報リストを含む承認結果判定要求を入力として受け取り、該承認結果判定要求に含まれるリソース識別情報を元に、前記承認ポリシ管理手段から承認ポリシ定義を取得し、該承認ポリシ定義に含まれる承認ルール情報によって、該承認結果判定要求に含まれる属性情報リストを対象とした承認判定処理を行ない、承認結果を要求元に返却する承認結果判定手段を有する属性承認装置。 - 前記承認条件属性定義情報リストの各属性定義情報が、属性情報の種別を表わす種別識別情報を含み、
前記承認条件判定手段は、該種別識別情報を含む承認条件を要求元に返却し、前記承認結果判定手段が、前記種別識別情報に対応する属性情報からなる属性情報リストを含む承認結果判定要求を受け取る、請求項1記載の属性承認装置。 - 前記承認条件属性定義情報リストの各属性定義情報は、属性情報の有効性を検証するための条件を表わす属性検証条件を含み、
前記承認結果判定手段が、前記承認結果判定要求に含まれるリソース識別情報を元に、前記承認ポリシ管理手段から承認ポリシ定義を取得し、該承認ポリシ定義の承認条件属性定義情報リストに含まれる属性定義情報から属性検証条件を取得し、承認結果判定要求に含まれる属性情報リストに含まれる属性情報のうち属性検証条件によって検証した結果が有効であるもののみを用いて、前記承認ポリシ定義に含まれる承認ルール情報に従った承認判定処理を行ない、その結果を要求元に返却する、請求項1または2記載の属性承認装置。 - 前記属性検証条件が信頼し得る発行者を表わす発行者識別情報であり、前記承認結果判定手段が属性検証条件に従って属性情報の有効性を検証する際には、属性情報の発行者が属性検証条件が規定する発行者識別情報が示す発行者と一致する場合に有効とみなし、一致しない場合に無効とみなす、請求項3記載の属性承認装置。
- リソース識別情報と属性情報と含む承認条件判定兼承認結果判定要求を受け取り、該承認条件判定兼承認結果判定要求に含まれるリソース識別情報を含む承認条件判定要求を承認条件判定手段に入力し、前記承認条件判定手段から返却された承認条件を元に、前記承認条件判定兼承認結果判定要求に含まれる属性情報の不足分を判定し、不足がある場合には承認条件を自身の要求元に返却し、不足がない場合は、前記承認条件判定兼承認結果判定要求に含まれるリソース識別情報と属性情報を含む承認結果判定要求を前記承認結果判定手段に入力し、前記承認結果判定手段から返却される承認結果を、自身の呼出元に返却する制御手段をさらに有する、請求項1から4のいずれかに記載の属性承認装置。
- 前記属性情報を、X.509仕様に基づく属性証明書を利用して実現する、請求項1から5のいずれかに記載の属性承認装置。
- リソースごとに属性情報によるアクセス制御情報をあらかじめ設定し、リソースの利用要求を入力として、アクセス制御を行なった結果に応じて、リソースの機能を提供する装置であって、
請求項1から4のいずれかに記載の属性承認装置と通信網を介して接続され、受け付けたリソース利用要求が指定するリソースへのアクセスの承認結果の判定に必要な属性情報を表わす承認条件を、前記属性承認装置に承認条件取得要求を送信することによって、取得し、取得した承認条件に基づいてリソースの利用要求元から属性情報を取得した後、該属性情報を元にして前記属性承認装置を用いて承認結果を取得し、承認結果に従ってリソースの利用要求元に対するリソースの提供方法を変化させる属性承認リソース管理装置。 - リソースごとに属性情報によるアクセス制御情報をあらかじめ設定し、リソースの利用要求を入力として、アクセス制御を行なった結果に応じて、リソースの機能を提供する装置であって、
請求項5記載の属性承認装置と前記通信網を介して接続され、リソース利用要求を受け取ると、前記属性承認装置に、リソース識別情報と、0個以上の属性情報によって構成される属性情報リストを含む承認判定条件兼承認結果判定要求を送信することによって、承認条件あるいは承認結果を取得し、承認条件を取得した場合には、該承認条件に基づいてリソースの利用要求元から属性情報を取得した後、該属性情報を元にして前記属性承認装置を用いて承認結果を取得し、該承認結果に従ってリソースの利用要求元に対するリソースの提供方法を変化させる属性承認リソース管理装置。 - 前記属性情報を、X.509仕様に基づく属性証明書を利用して実現する、請求項7または8記載の属性承認リソース管理装置。
- 承認条件判定処理および承認結果判定処理に関する動作の履歴を監査統計情報として記録蓄積する、請求項1から5のいずれかに記載の属性承認装置から、通信網を介して監査情報あるいは統計情報を取得する属性承認装置監査統計サーバ。
- 前記属性情報を、X.509仕様に基づく属性証明書を利用して実現する、請求項10記載の属性承認装置監査統計サーバ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003138707A JP4280110B2 (ja) | 2003-05-16 | 2003-05-16 | 属性承認装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003138707A JP4280110B2 (ja) | 2003-05-16 | 2003-05-16 | 属性承認装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004341896A true JP2004341896A (ja) | 2004-12-02 |
| JP4280110B2 JP4280110B2 (ja) | 2009-06-17 |
Family
ID=33528001
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003138707A Expired - Fee Related JP4280110B2 (ja) | 2003-05-16 | 2003-05-16 | 属性承認装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4280110B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008538641A (ja) * | 2005-04-22 | 2008-10-30 | マイクロソフト コーポレーション | 信用証明に基づくアクセス制御のサポート記述 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0887454A (ja) * | 1994-08-15 | 1996-04-02 | Internatl Business Mach Corp <Ibm> | 分散および集中コンピュータ・システムにおける拡張役割ベース・アクセス制御の方法およびシステム |
| JPH11313102A (ja) * | 1998-02-27 | 1999-11-09 | Fujitsu Ltd | アクセス制御リスト生成方法及びその装置 |
| JP2000215165A (ja) * | 1999-01-26 | 2000-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 情報アクセス制御方法および装置と情報アクセス制御プログラムを記録した記録媒体 |
| JP2000259477A (ja) * | 1999-03-11 | 2000-09-22 | Casio Comput Co Ltd | データ処理システムおよびそのプログラム記録媒体 |
| JP2001344106A (ja) * | 2000-05-31 | 2001-12-14 | Nec Corp | オブジェクトの動的アクセス権制御システム |
| JP2002014862A (ja) * | 2000-06-28 | 2002-01-18 | Fujitsu Ltd | 情報アクセス制御装置および情報アクセス制御方法 |
| JP2002041700A (ja) * | 2000-07-24 | 2002-02-08 | Nippon Telegr & Teleph Corp <Ntt> | 権利内容取得装置および権利改札装置 |
| JP2002084324A (ja) * | 2000-09-08 | 2002-03-22 | Fuji Xerox Co Ltd | ネットワーク接続制御方法および装置 |
| JP2002108709A (ja) * | 2000-09-29 | 2002-04-12 | Hitachi Ltd | アクセス制御方法及びその実施装置並びにその処理プログラムを記録した記録媒体 |
| JP2002149494A (ja) * | 2000-11-06 | 2002-05-24 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方法およびアクセス制御装置および記録媒体 |
| JP2002342167A (ja) * | 2001-05-14 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | エンティティ情報管理装置 |
| JP2003006194A (ja) * | 2001-06-22 | 2003-01-10 | Mitsubishi Electric Corp | データベースアクセス制御システム |
-
2003
- 2003-05-16 JP JP2003138707A patent/JP4280110B2/ja not_active Expired - Fee Related
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0887454A (ja) * | 1994-08-15 | 1996-04-02 | Internatl Business Mach Corp <Ibm> | 分散および集中コンピュータ・システムにおける拡張役割ベース・アクセス制御の方法およびシステム |
| JPH11313102A (ja) * | 1998-02-27 | 1999-11-09 | Fujitsu Ltd | アクセス制御リスト生成方法及びその装置 |
| JP2000215165A (ja) * | 1999-01-26 | 2000-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 情報アクセス制御方法および装置と情報アクセス制御プログラムを記録した記録媒体 |
| JP2000259477A (ja) * | 1999-03-11 | 2000-09-22 | Casio Comput Co Ltd | データ処理システムおよびそのプログラム記録媒体 |
| JP2001344106A (ja) * | 2000-05-31 | 2001-12-14 | Nec Corp | オブジェクトの動的アクセス権制御システム |
| JP2002014862A (ja) * | 2000-06-28 | 2002-01-18 | Fujitsu Ltd | 情報アクセス制御装置および情報アクセス制御方法 |
| JP2002041700A (ja) * | 2000-07-24 | 2002-02-08 | Nippon Telegr & Teleph Corp <Ntt> | 権利内容取得装置および権利改札装置 |
| JP2002084324A (ja) * | 2000-09-08 | 2002-03-22 | Fuji Xerox Co Ltd | ネットワーク接続制御方法および装置 |
| JP2002108709A (ja) * | 2000-09-29 | 2002-04-12 | Hitachi Ltd | アクセス制御方法及びその実施装置並びにその処理プログラムを記録した記録媒体 |
| JP2002149494A (ja) * | 2000-11-06 | 2002-05-24 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方法およびアクセス制御装置および記録媒体 |
| JP2002342167A (ja) * | 2001-05-14 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | エンティティ情報管理装置 |
| JP2003006194A (ja) * | 2001-06-22 | 2003-01-10 | Mitsubishi Electric Corp | データベースアクセス制御システム |
Non-Patent Citations (2)
| Title |
|---|
| 梅本 佳宏、外7名: "特集 HIKARIビジョンの実現に向けた情報流通プラットフォームの高度化その1 ブロードバンド時代の", NTT技術ジャーナル, vol. 第14巻,第4号, JPN6008037260, 1 April 2002 (2002-04-01), pages 10 - 26, ISSN: 0001264074 * |
| 河井 保博、外1名: "ポリシー・ネットへのアプローチ アクセス制御や帯域制御を容易に実現可能に", 日経インターネットテクノロジー, vol. 第27号, JPN6008037264, 22 September 1999 (1999-09-22), pages 84 - 105, ISSN: 0001264075 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008538641A (ja) * | 2005-04-22 | 2008-10-30 | マイクロソフト コーポレーション | 信用証明に基づくアクセス制御のサポート記述 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4280110B2 (ja) | 2009-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113574838B (zh) | 通过客户端指纹过滤互联网流量的系统和方法 | |
| JP5108155B2 (ja) | データ記憶アクセスの制御方法 | |
| JP6574168B2 (ja) | 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置 | |
| US8738741B2 (en) | Brokering network resources | |
| CN106101110B (zh) | 元数据代理 | |
| CN110069941A (zh) | 一种接口访问鉴权方法、装置及计算机可读介质 | |
| US11696110B2 (en) | Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain | |
| US9647993B2 (en) | Multi-repository key storage and selection | |
| CN103795702A (zh) | 用于数据的发送控制 | |
| JP2016009276A (ja) | システム、認証装置、認証プログラム、及び、認証方法 | |
| RU2622883C2 (ru) | Система и способ управления доступом к персональным данным пользователя | |
| US9111079B2 (en) | Trustworthy device claims as a service | |
| KR20170062244A (ko) | Api 관리 장치 | |
| WO2019175427A1 (en) | Method, device and medium for protecting work based on blockchain | |
| CN110677407A (zh) | 轻量化区块链平台的安全控制方法 | |
| CN111612452A (zh) | 一种基于区块链的知识产权管理系统及方法 | |
| JP2011160383A (ja) | 監視装置、監視方法および監視プログラム | |
| JP4280110B2 (ja) | 属性承認装置 | |
| Mármol et al. | Enhancing OpenID through a reputation framework | |
| KR20140003426A (ko) | 백-엔드 한정 위임 모델 | |
| KR20080050269A (ko) | 개방형 서비스 제공 방법 및 그 장치 | |
| US9734340B1 (en) | System and method for providing a high-value identity | |
| KR20180033953A (ko) | 웹 기반의 sso 서비스 방법 | |
| JP2006107387A (ja) | オンラインサービスのリアルタイムセキュリティ証明のための方法および装置 | |
| CN114143048A (zh) | 一种安全资源管理的方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050621 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050725 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20050725 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070201 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080730 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080912 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081217 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090205 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090304 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090313 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120319 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4280110 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130319 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |