JP2005284883A - 判定装置、プログラム、記録媒体、及び判定方法 - Google Patents
判定装置、プログラム、記録媒体、及び判定方法 Download PDFInfo
- Publication number
- JP2005284883A JP2005284883A JP2004099926A JP2004099926A JP2005284883A JP 2005284883 A JP2005284883 A JP 2005284883A JP 2004099926 A JP2004099926 A JP 2004099926A JP 2004099926 A JP2004099926 A JP 2004099926A JP 2005284883 A JP2005284883 A JP 2005284883A
- Authority
- JP
- Japan
- Prior art keywords
- access
- access control
- rule
- control rules
- objects
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Document Processing Apparatus (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【解決手段】 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置であって、各々が複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、複数のアクセス制御ルールの各々が、当該アクセス制御ルールによりアクセスを許可されるオブジェクトの祖先の各オブジェクトに対するアクセスが複数のアクセス制御ルールの何れかにより許可される旨の条件である整合性条件を満たすか否か判断するルール判断部と、何れかのアクセス制御ルールが整合性条件を満たさない場合に、複数のアクセス制御ルールを変更する旨の指示を通知する通知部とを備える判定装置を提供する。
【選択図】図1
Description
F. Neven and T Schwentick. XPath containment in the presence of disjunction, DTDs, and variable, In ICDT, 2003. G. Mikalu and D. Suciu, Containment and equivalence for an XPath fragment, In PODS, J.E.Hopcroft and J.D.Ullman, Introduction to Automata Theory, Languages, and Computation, Addison-Wesley, 1979
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションもまた、発明となりうる。
まず、ルール判断部120は、各アクセス制御ルールのパス情報の全ての接頭語を求める。例えば、ルール判断部120は、/org/dept/emp/nameの接頭語として、/org、/org/dept、及び/org/dept/empを求める。次に、ルール判断部120は、これらの接頭語が、他の何れかのアクセス制御ルールにおけるパス情報に含まれるか判断する。例えば、接頭語/orgは、アクセス制御ルール30−1のパス情報に含まれる(例えばこの場合完全に一致している)。一方、接頭語/org/deptは、何れのアクセス制御ルールにおけるパス情報にも含まれない。ルール判断部120は、何れかの接頭語が何れのアクセス制御ルールにおけるパス情報にも含まれない場合に、整合性条件を満たさないと判断する。
ルール判断部120は、アクセスを許可する各アクセス制御ルールのオートマトンの和から、アクセスを禁止する各アクセス制御ルールのオートマトンの和を引いた差分のオートマトンを生成する。XML文書にスキーマ情報が指定されている場合には、ルール判断部120は、更に、スキーマ情報に基づいてオートマトンを生成し、生成したオートマトンと上記差分のオートマトンとの共通部分を示すオートマトンを生成してもよい。
ルール判断部120は、アクセスを許可する各アクセス制御ルールのオートマトンの和と、アクセスを禁止する各アクセス制御ルールのオートマトンの和との共通部分のオートマトンを生成する。XML文書にスキーマ情報が指定されている場合には、ルール判断部120は、更に、スキーマ情報に基づいてオートマトンを生成し、生成したオートマトンと上記共通部分のオートマトンとの共通部分を示すオートマトンを生成してもよい。
ルール判断部120は、アクセスを許可する各アクセス制御ルールのオートマトンの和と、アクセスを禁止する各アクセス制御ルールのオートマトンの和との何れかに含まれるオートマトンを生成する。XML文書にスキーマ情報が指定されている場合には、ルール判断部120は、更に、スキーマ情報に基づいてオートマトンを生成する。
(項目2) 前記通知部は、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、当該アクセス制御ルールを削除する旨を指示するアクセス制限指示、又は、当該アクセス制御ルールがアクセスを許可するオブジェクトの祖先の各オブジェクトに対してアクセスを許可する新たなアクセス制御ルールを追加する指示であるアクセス緩和指示を通知する項目1記載の判定装置。
(項目4) 前記複数のアクセス制御ルールの各々は、少なくとも1つのオブジェクトを含むオブジェクト集合に対するアクセスを許可し、前記ルール判断部は、各アクセス制御ルールについて、前記オブジェクト集合に含まれる何れかのオブジェクトの何れかの祖先のオブジェクトに対するアクセスが、前記複数のアクセス制御ルールの何れによっても許可されない場合に、当該アクセス制御ルールが前記整合性条件を満たさないと判断し、前記通知部は、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、当該アクセス制御ルールがアクセスを許可するオブジェクト集合を、当該アクセス制御ルールと他の何れかのアクセス制御ルールとが共通してアクセスを許可するオブジェクトの集合に変更する旨の指示を、前記アクセス制限指示として通知する項目2記載の判定装置。
(項目6) 前記ルール判断部は、前記整合性条件として、前記複数のアクセス制御ルールの各々がアクセスを許可する各オブジェクトに対するアクセスが、他の何れのアクセス制御ルールによっても禁止されていない旨の条件を更に判断する項目1記載の判定装置。
(項目7) 前記ルール判断部は、前記整合性条件として、全ての前記複数のオブジェクトの各々に対するアクセスが、前記複数のアクセス制御ルールの何れかによって許可又は禁止されている旨の条件を更に判断する項目1記載の判定装置。
(項目9) 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置であって、各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、全ての前記複数のオブジェクトの各々に対するアクセスが、前記複数のアクセス制御ルールの何れかによって許可又は禁止されている旨の条件である整合性条件を満たすか否か判断するルール判断部と、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知部とを備える判定装置。
(項目10) 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置として、コンピュータを機能させるプログラムであって、前記プログラムは、前記コンピュータを、各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、前記複数のアクセス制御ルールの各々が、当該アクセス制御ルールによりアクセスを許可されるオブジェクトの祖先の各オブジェクトに対するアクセスが前記複数のアクセス制御ルールの何れかにより許可される旨の条件である整合性条件を満たすか否か判断するルール判断部と、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知部として機能させるプログラム。
(項目11) 項目10に記載のプログラムを記録した記録媒体。
20 アクセス制御ポリシー
30 アクセス制御ルール
40 ルール変更指示
100 ルール展開部
110 ルール取得部
120 ルール判断部
130 通知部
Claims (12)
- 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置であって、
各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、
前記複数のアクセス制御ルールの各々が、当該アクセス制御ルールによりアクセスを許可されるオブジェクトの祖先の各オブジェクトに対するアクセスが前記複数のアクセス制御ルールの何れかにより許可される旨の条件である整合性条件を満たすか否か判断するルール判断部と、
何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知部と
を備える判定装置。 - 前記通知部は、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、当該アクセス制御ルールを削除する旨を指示するアクセス制限指示、又は、当該アクセス制御ルールがアクセスを許可するオブジェクトの祖先の各オブジェクトに対してアクセスを許可する新たなアクセス制御ルールを追加する指示であるアクセス緩和指示を通知する
請求項1記載の判定装置。 - 前記ルール取得部は、アクセスを許可するアクセス要求者を識別する識別情報と、当該アクセス要求者によるアクセスを許可するオブジェクトの識別情報との組を、前記アクセス制御ルールとして取得し、
前記通知部は、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、当該アクセス制御ルールによりアクセスが許可されるアクセス要求者に基づいて、前記アクセス緩和指示又は前記アクセス制限指示を選択して通知する
請求項2記載の判定装置。 - 前記複数のアクセス制御ルールの各々は、少なくとも1つのオブジェクトを含むオブジェクト集合に対するアクセスを許可し、
前記ルール判断部は、各アクセス制御ルールについて、前記オブジェクト集合に含まれる何れかのオブジェクトの何れかの祖先のオブジェクトに対するアクセスが、前記複数のアクセス制御ルールの何れによっても許可されない場合に、当該アクセス制御ルールが前記整合性条件を満たさないと判断し、
前記通知部は、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、当該アクセス制御ルールがアクセスを許可するオブジェクト集合を、当該アクセス制御ルールと他の何れかのアクセス制御ルールとが共通してアクセスを許可するオブジェクトの集合に変更する旨の指示を、前記アクセス制限指示として通知する
請求項2記載の判定装置。 - 前記複数のオブジェクトは、木構造の親子関係を有し、
前記ルール取得部は、前記アクセス制御ルールとして、アクセスを許可する対象のオブジェクトを、前記木構造の根オブジェクトから当該オブジェクトに至る経路により指定するパス情報を取得し、
前記ルール判断部は、前記複数のアクセス制御ルールの各々におけるパス情報に基づいて当該アクセス制御ルールが前記整合性条件を満たすか否かを判断する
請求項1記載の判定装置。 - 前記ルール判断部は、前記整合性条件として、前記複数のアクセス制御ルールの各々がアクセスを許可する各オブジェクトに対するアクセスが、他の何れのアクセス制御ルールによっても禁止されていない旨の条件を更に判断する
請求項1記載の判定装置。 - 前記ルール判断部は、前記整合性条件として、全ての前記複数のオブジェクトの各々に対するアクセスが、前記複数のアクセス制御ルールの何れかによって許可又は禁止されている旨の条件を更に判断する
請求項1記載の判定装置。 - 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置であって、
各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、
前記複数のアクセス制御ルールの各々がアクセスを許可する各オブジェクトに対するアクセスが、他の何れのアクセス制御ルールによっても禁止されていない旨の条件である整合性条件を満たすか否か判断するルール判断部と、
何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知部と
を備える判定装置。 - 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置であって、
各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、
全ての前記複数のオブジェクトの各々に対するアクセスが、前記複数のアクセス制御ルールの何れかによって許可又は禁止されている旨の条件である整合性条件を満たすか否か判断するルール判断部と、
何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知部と
を備える判定装置。 - 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置として、コンピュータを機能させるプログラムであって、
前記プログラムは、前記コンピュータを、
各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、
前記複数のアクセス制御ルールの各々が、当該アクセス制御ルールによりアクセスを許可されるオブジェクトの祖先の各オブジェクトに対するアクセスが前記複数のアクセス制御ルールの何れかにより許可される旨の条件である整合性条件を満たすか否か判断するルール判断部と、
何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知部と
して機能させるプログラム。 - 請求項10に記載のプログラムを記録した記録媒体。
- 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定方法であって、
各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得段階と、
前記複数のアクセス制御ルールの各々が、当該アクセス制御ルールによりアクセスを許可されるオブジェクトの祖先の各オブジェクトに対するアクセスが前記複数のアクセス制御ルールの何れかにより許可される旨の条件である整合性条件を満たすか否か判断するルール判断段階と、
何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知段階と
を備える判定方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004099926A JP4251633B2 (ja) | 2004-03-30 | 2004-03-30 | 判定装置、プログラム、記録媒体、及び判定方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004099926A JP4251633B2 (ja) | 2004-03-30 | 2004-03-30 | 判定装置、プログラム、記録媒体、及び判定方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005284883A true JP2005284883A (ja) | 2005-10-13 |
JP4251633B2 JP4251633B2 (ja) | 2009-04-08 |
Family
ID=35183177
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004099926A Expired - Fee Related JP4251633B2 (ja) | 2004-03-30 | 2004-03-30 | 判定装置、プログラム、記録媒体、及び判定方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4251633B2 (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009099038A (ja) * | 2007-10-18 | 2009-05-07 | Fuji Xerox Co Ltd | 文書管理システムおよびプログラム |
JP2009187067A (ja) * | 2008-02-01 | 2009-08-20 | Fujitsu Ltd | 管理装置および管理プログラム |
JP2009193289A (ja) * | 2008-02-14 | 2009-08-27 | Nec Corp | アクセス権管理方法、アクセス権管理システム及びアクセス権管理用プログラム |
JPWO2008081648A1 (ja) * | 2007-01-05 | 2010-04-30 | 日本電気株式会社 | アクセス権管理方法、アクセス権管理システムおよびアクセス権管理用プログラム |
WO2011061804A1 (ja) * | 2009-11-19 | 2011-05-26 | 株式会社日立製作所 | コンピュータシステム、管理システム及び記録媒体 |
JP2013196325A (ja) * | 2012-03-19 | 2013-09-30 | Toshiba Corp | 権限変更装置、作成装置及びプログラム |
WO2013145856A1 (ja) * | 2012-03-28 | 2013-10-03 | 株式会社 東芝 | 複合メディア管理システム、情報管理サーバ装置、複合利用制約作成装置及びプログラム |
-
2004
- 2004-03-30 JP JP2004099926A patent/JP4251633B2/ja not_active Expired - Fee Related
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2008081648A1 (ja) * | 2007-01-05 | 2010-04-30 | 日本電気株式会社 | アクセス権管理方法、アクセス権管理システムおよびアクセス権管理用プログラム |
JP5029619B2 (ja) * | 2007-01-05 | 2012-09-19 | 日本電気株式会社 | アクセス権管理方法、アクセス権管理システムおよびアクセス権管理用プログラム |
JP2009099038A (ja) * | 2007-10-18 | 2009-05-07 | Fuji Xerox Co Ltd | 文書管理システムおよびプログラム |
JP2009187067A (ja) * | 2008-02-01 | 2009-08-20 | Fujitsu Ltd | 管理装置および管理プログラム |
JP2009193289A (ja) * | 2008-02-14 | 2009-08-27 | Nec Corp | アクセス権管理方法、アクセス権管理システム及びアクセス権管理用プログラム |
WO2011061804A1 (ja) * | 2009-11-19 | 2011-05-26 | 株式会社日立製作所 | コンピュータシステム、管理システム及び記録媒体 |
JP4991968B2 (ja) * | 2009-11-19 | 2012-08-08 | 株式会社日立製作所 | コンピュータシステム、管理システム及び記録媒体 |
JP2013196325A (ja) * | 2012-03-19 | 2013-09-30 | Toshiba Corp | 権限変更装置、作成装置及びプログラム |
WO2013145856A1 (ja) * | 2012-03-28 | 2013-10-03 | 株式会社 東芝 | 複合メディア管理システム、情報管理サーバ装置、複合利用制約作成装置及びプログラム |
JP2013206134A (ja) * | 2012-03-28 | 2013-10-07 | Toshiba Corp | 複合メディア管理システム、情報管理サーバ装置、複合利用制約作成装置及びプログラム |
US10185716B2 (en) | 2012-03-28 | 2019-01-22 | Kabushiki Kaisha Toshiba | Composite medium management system, information management server apparatus, composite access control creation apparatus, and program |
Also Published As
Publication number | Publication date |
---|---|
JP4251633B2 (ja) | 2009-04-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7689578B2 (en) | Dealing with annotation versioning through multiple versioning policies and management thereof | |
US8201079B2 (en) | Maintaining annotations for distributed and versioned files | |
US8645812B1 (en) | Methods and apparatus for automated redaction of content in a document | |
US8584009B2 (en) | Automatically propagating changes in document access rights for subordinate document components to superordinate document components | |
US9384175B2 (en) | Determination of differences between electronic documents | |
JP5336569B2 (ja) | グラフィック内の形状にテキストをフィットさせるための方法およびコンピュータ可読媒体 | |
JP6070936B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP5417471B2 (ja) | 構造化文書管理装置、構造化文書検索方法 | |
US20120173511A1 (en) | File search system and program | |
JP2000112993A (ja) | 文書分類方法、記憶媒体、文書分類装置及び文書分類システム | |
JP2006178944A (ja) | 文書を表すファイル・フォーマット、その方法、およびコンピュータ・プログラム製品 | |
US9229920B1 (en) | Compound undo/redo manager for mixed model edits | |
US8248667B2 (en) | Document management device, document management method, and computer program product | |
JP2017090997A (ja) | 情報処理装置、プログラム、情報処理システムおよび情報処理方法 | |
US8140967B2 (en) | Information processing apparatus, information processing method, and program | |
US20080052144A1 (en) | System and method for managing workflow | |
JP4251633B2 (ja) | 判定装置、プログラム、記録媒体、及び判定方法 | |
JP4093482B2 (ja) | アクセス制御システム、アクセス制御装置、アクセス制御方法、プログラム、及び記録媒体 | |
JP4367958B2 (ja) | データへのアクセスを制御する技術 | |
US7100126B2 (en) | Electrical form design and management method, and recording medium | |
JP2008234078A (ja) | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理プログラムを記録した記録媒体 | |
JP2005301996A (ja) | 文書統合装置、文書統合装置の文書統合方法及びプログラム及び記録媒体 | |
US8910041B1 (en) | Font substitution using unsupervised clustering techniques | |
JP2010026766A (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP2002140338A (ja) | 辞書構築支援装置および辞書構築支援方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080902 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081010 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090106 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20090107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090119 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120130 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |