JP2005301756A - アクセス制御システム - Google Patents
アクセス制御システム Download PDFInfo
- Publication number
- JP2005301756A JP2005301756A JP2004118282A JP2004118282A JP2005301756A JP 2005301756 A JP2005301756 A JP 2005301756A JP 2004118282 A JP2004118282 A JP 2004118282A JP 2004118282 A JP2004118282 A JP 2004118282A JP 2005301756 A JP2005301756 A JP 2005301756A
- Authority
- JP
- Japan
- Prior art keywords
- role
- user
- access control
- information
- management unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】柔軟な権限の付与とセキュリティ維持を両立させる技術を提供する。
【解決手段】アクセス制御部150は、ロール割り当て管理部180から、ユーザに付与されているロールIDを取得する。ロール情報管理部170は、ロール権限テーブル174からそのロールIDに関するロール権限情報(許可される操作、関係、状態およびオブジェクトタイプ)を取得してアクセス制御部150へ提供する。アクセス制御部150は、処理要求の対象オブジェクトに関する情報をオブジェクト管理部140から取得し、ユーザと対象オブジェクトの関係、対象オブジェクトの状態、対象オブジェクトのタイプが、ロール権限テーブル174に示されるものと合致するか否かを判定し、さらに、要求処理がロール権限テーブル174に示される許可される操作に含まれるか否かに基づいて要求処理に対する許可判定を行う。
【選択図】図1
【解決手段】アクセス制御部150は、ロール割り当て管理部180から、ユーザに付与されているロールIDを取得する。ロール情報管理部170は、ロール権限テーブル174からそのロールIDに関するロール権限情報(許可される操作、関係、状態およびオブジェクトタイプ)を取得してアクセス制御部150へ提供する。アクセス制御部150は、処理要求の対象オブジェクトに関する情報をオブジェクト管理部140から取得し、ユーザと対象オブジェクトの関係、対象オブジェクトの状態、対象オブジェクトのタイプが、ロール権限テーブル174に示されるものと合致するか否かを判定し、さらに、要求処理がロール権限テーブル174に示される許可される操作に含まれるか否かに基づいて要求処理に対する許可判定を行う。
【選択図】図1
Description
本発明は、アクセス制御システムに関し、特に、オブジェクトに対するユーザからのアクセスを制御する技術に関する。
従来から広く行われているアクセス制御リストによるアクセス制御は、個々のオブジェクトとユーザの組み合わせに対して、ユーザによる操作権限が設定されるため、ユーザの追加や削除もしくは責務の変更の際、各ユーザに対して、必要な権限を与え且つ不必要な権限を与ないようにセキュリティを維持する事が困難である。
このため近年、ユーザ役割によるアクセス制御が行われるようになってきている(特許文献1など)。ユーザ役割によるアクセス制御では、ユーザの責務に対応する役割であるロールが定義されユーザには役割が付与される。ここでユーザとは単一の利用者に限定されず複数の利用者をメンバーとして含むグループであってもよい。またサービスのような非人的な主体であっても良い。役割は、ユーザに付与されているだけで権限を行使できる場合もあれば、特定の対象に対しての役割として割り当てられ、割り当てられた対象のオブジェクトに対してのみ行使できる場合もある。また、ロール間に継承関係を定義し、あるロールに対する権限がサブロールを付与されたユーザにも適用される事も可能である。
ユーザ役割によるアクセス制御においては、個々のオブジェクトに対してではなく役割に権限が保持されるため、役割に与える権限と役割の付与ないし割り当てに管理を集中でき、ユーザの追加や削除もしくはユーザの責務変更の際には、付与する役割の変更だけで済むなど、アクセス制御リスト方式に比べてはるかにセキュリティ管理が容易である。
しかしながら、従来のユーザ役割によるアクセス制御、つまり、ロールに基づくアクセス制御では、多様な種類のオブジェクトや複数の状態を持つオブジェクトに対して、操作に応じて権限を設定するためには、「作成」「読み取り」「書き込み」などといった汎用的な操作ではなく、「種類1のオブジェクトの作成」「種類1のオブジェクトの読み取り」などと、対象とするオブジェクトの種類を明示的に示した操作による多数の権限の定義が必要となってしまい、ロールの継承などの方式を用いても多数のロールの一貫性を維持することが困難となってしまう。
本発明は、こうした従来の問題点に鑑みてなされたものであり、その目的は、柔軟な権限の付与とセキュリティ維持を両立させる技術を提供することにある。
上記目的を達成するために、本発明の好適な態様であるアクセス制御プログラムは、情報資源であるオブジェクトに対するユーザからのアクセスを制御するためのアクセス制御プログラムにおいて、対象となるオブジェクト情報および対象となる操作情報が登録されたロールを管理するロール管理部から、アクセスを要求したユーザに対応するロールを取得する手順、前記取得したロールに基づいて、オブジェクトに対してそのユーザに許可された操作を判別する手順をコンピュータに実行させることを特徴とする。
この構成において、ユーザとは、オブジェクトに対して操作などを実行する操作主体一般の概念であり、単一の利用者に限定されず複数の利用者をメンバーとして含むグループであってもよい。またサービスのような非人的な主体も含まれる。ちなみに、本アクセス制御プログラムは、例えば、光ディスク媒体などに記憶されてコンピュータに提供され、あるいは、ネットワークなどを介してコンピュータに提供される。
本アクセス制御プログラムでは、ロールの権限としての定義に、そのロールの対象となるオブジェクトのオブジェクト情報が含まれる。オブジェクト情報としては、例えば、そのロールに基づいて権限を行使できる対象オブジェクトの種類や、対象オブジェクトの状態、あるいは、対象オブジェクトと操作主体であるユーザと関連などが定義される。このように、ロールの表現能力が高められ、アクセスの認可判定においては、ロールに定義された各種行使条件を合わせて判定を行うことにより柔軟な権限の設定が可能となる。また、多数のロールを定義する必要などがなくなり、一貫した管理が容易なアクセス制御を実現できる。
望ましくは、前記ロールのオブジェクト情報には、そのロールの対象となるオブジェクトの種類を示したオブジェクトタイプ情報が含まれ、前記ロールの操作情報には、前記オブジェクトタイプ情報に示された種類のオブジェクトに対して許可された許可操作情報が含まれる、ことを特徴とする。望ましくは、前記ロールのオブジェクト情報には、そのロールの対象となるオブジェクトの状態を限定した状態限定情報が含まれることを特徴とする。望ましくは、前記ロールのオブジェクト情報には、そのロールの対象となるオブジェクトとそのロールの対象となるユーザとの関係を限定した関係限定情報が含まれることを特徴とする。
上記目的を達成するために、本発明の好適な態様であるアクセス制御装置は、情報資源であるオブジェクトに対するユーザからのアクセスを制御するアクセス制御装置において、対象となるオブジェクト情報および対象となる操作情報が登録されたロールを管理するロール管理部と、前記ロール管理部から、アクセスを要求したユーザに対応するロールを取得し、取得したロールに基づいて、オブジェクトに対してそのユーザに許可された操作を判別するアクセス制御部と、を有することを特徴とする。
上記目的を達成するために、本発明の好適な態様であるアクセス制御システムは、情報資源であるオブジェクトに対するユーザからのアクセスを制御するアクセス制御システムにおいて、複数のオブジェクトを管理するオブジェクト管理部と、各ロールごとに対象となるオブジェクト情報および対象となる操作情報が登録された複数のロールを管理するロール管理部と、前記ロール管理部から、アクセスを要求したユーザに対応するロールを取得し、取得したロールに基づいて、そのユーザによって要求されたオブジェクトに対してそのユーザに許可された操作を判別するアクセス制御部と、を有することを特徴とする。
この構成において、オブジェクト管理部、ロール管理部およびアクセス制御部は、全てが一つの装置内に組み込まれてもよく、あるいは、一部が他の装置内に組み込まれてもよい。オブジェクト管理部、ロール管理部およびアクセス制御部が複数の装置に分散された形態の場合、例えばネットワークを介してそれら複数の装置が接続される。
本発明により、柔軟な権限の付与とセキュリティ維持を両立させたアクセス制御が実現できる。
以下、本発明の好適な実施形態を図面に基づいて説明する。
図1には、本発明の好適な実施形態が示されており、図1は、アクセス制御システムの全体構成図である。本システムは、アクセス制御装置100と複数のユーザ端末200がネットワーク300を介して接続されたシステムである。
本システムでは、各ユーザがユーザ端末200を利用してアクセス制御装置100によって管理されるオブジェクトへアクセスする。オブジェクトとは、データベースやファイルシステムやメモリなどに蓄積あるいは一時的に格納された情報資源である。アクセス制御装置100は、ユーザのロール(ユーザ役割)に基づいて、そのユーザによるオブジェクトへのアクセス(閲覧、書き込みなどの操作)を制御する。アクセス制御装置100の構成は次のとおりである。
処理要求受信部110は、ユーザからのオブジェクトに対する処理要求を受け付ける。ユーザは、ユーザ端末200を利用してオブジェクト名やそのオブジェクトに対する処理要求(例えば、オブジェクトの読み取りや書き込みなどの要求)を行い、処理要求受信部110がその処理要求を受け付ける。要求処理部130は、処理要求受信部110で受け付けられた処理要求を実行する。処理結果送信部120は、要求処理部130で実行された処理結果をユーザ端末200へ送信する。
オブジェクト管理部140は、オブジェクトを蓄積あるいは一時的に格納する。オブジェクト管理部140によって管理されるオブジェクトには、各オブジェクトごとにオブジェクトIDなどが割り当てられている。オブジェクト管理部140は、各オブジェクトごとのオブジェクトIDなどを登録したオブジェクトテーブル142に基づいてオブジェクトを管理する。
図2は、オブジェクトテーブルを説明するための図であり、オブジェクトテーブルの一例を示している。図2のオブジェクトテーブルは、各オブジェクトごとに、オブジェクトID(O1〜O9)が割り当てられている。また、各オブジェクトのオブジェクト名、オブジェクトタイプなどが示されている。本実施形態では、オブジェクト(あるいはオブジェクトの集合体)として、複数の構成員(ユーザ)によって遂行される一つの業務プロジェクトを想定する。さらに、その業務プロジェクトはいくつかのタスクによって遂行される。つまり、各タスクはタスク責任者の指示に従って複数の構成員によって遂行され、さらに、複数のタスクをプロジェクト責任者がまとめて、業務プロジェクトが遂行される。
図2において、オブジェクトタイプの「Project」は業務プロジェクトに対応し、「Task」は業務プロジェクトに属するタスクに対応している。オブジェクトタイプの「Document」は、業務プロジェクトで利用される文書を意味している。このように、図2の例では、業務プロジェクト、タスク、文書の個々をオブジェクトとして捉えている。また、業務プロジェクト、タスク、文書には、階層関係が成立している。つまり、文書はあるタスクに属し(そのタスクを親とし)、タスクはある業務プロジェクトに属している。図2の親オブジェクトには、そのオブジェクトが属するオブジェクト(そのオブジェクトの親)が示されている。例えば、オブジェクトID「O2」の親オブジェクトは「O1」である。(ちなみに、図2の各オブジェクトの階層関係が後に詳述する図9に示されている。)さらに、図2のオブジェクト状態にはそのオブジェクトの状態が示されている。例えば、オブジェクト「O1」は「In Progress」(進行中)であり、オブジェクト「O2」は「Preparing」(未着手)である。オブジェクト状態は、オブジェクト状態定義テーブルによって定義される。
図3は、オブジェクト状態定義テーブルを説明するための図であり、オブジェクト状態定義テーブルの一例を示している。図3のテーブルには、各オブジェクト状態ごとに、オブジェクト状態ID、状態名、対象オブジェクトタイプが示されている。例えば、オブジェクト状態ID「Preparing」は、状態名「未着手」を意味し、その対象オブジェクトタイプが「Project」および「Task」であることが示されている。また、オブジェクト状態ID「Draft」は、状態名「作成中」を意味し、その対象オブジェクトタイプが「Document」であることが示されている。
図1に戻り、アクセス制御部150は、処理要求受信部110が受け付けた処理要求の実行に対する認可の判定を行う。その認可の判定には、ユーザ情報管理部160、ロール情報管理部170およびロール割り当て管理部180の各々で管理される各種テーブルが利用される。
ユーザ情報管理部160は、ユーザテーブル162を管理しており、必要に応じてユーザテーブル162に基づくユーザ情報をアクセス制御部150へ提供し、また、アクセス制御装置100の管理者などの指示に基づいてユーザテーブル162の修正などを行う。
図4は、ユーザテーブルを説明するための図であり、ユーザテーブルの一例を示している。ユーザテーブルには、アクセス制御装置100を利用するユーザ、例えば、業務プロジェクトに属する全てのユーザの情報が登録される。各ユーザには、ユーザIDが割り当てられ、そのユーザ名(例えばユーザの本名)とともにユーザテーブルに登録される。図4において、例えば、ユーザ名「Suzuki」にユーザID「U1」が割り当てられ、ユーザ名「Takahashi」にユーザID「U3」が割り当てられている。
図1に戻り、ロール情報管理部170は、ロールテーブル172およびロール権限テーブル174を管理しており、必要に応じてこれらのテーブルに基づくロール情報をアクセス制御部150へ提供し、また、アクセス制御装置100の管理者などの指示に基づいてこれらのテーブルの修正などを行う。ロールとは、ユーザのオブジェクトに対する役割(ユーザ役割)であり、このロールに基づいてオブジェクトに対する権限(アクセスなどの権限)がユーザに付与される。
図5は、ロールテーブルを説明するための図であり、ロールテーブルの一例を示している。ロールテーブルには、各ロールに与えられたロールIDとそのロール名が登録されている。図5において、例えば、ロール名「プロジェクトマネージャー」にロールID「PM」が割り当てられ、ロール名「タスク責任者」にロールID「TL」が割り当てられている。
図6は、ロール権限テーブルを説明するための図であり、ロール権限テーブルの一例を示している。ロール権限テーブルには、各ロールIDごとに、限定子、オブジェクトタイプおよび許可される操作が登録されている。オブジェクトタイプには、そのロールによって権限が行使できる対象のオブジェクトタイプ(図2参照)が登録される。オブジェクトタイプにおける”*”は、特定のオブジェクトタイプによらず権限が行使できることを表している。また、許可される操作には、そのロールによって許可される操作IDが登録される。許可される操作における”{*}”は、全ての操作が許可されることを表している。操作IDは、オブジェクトに対する操作ごとに与えられるIDであり、操作定義テーブルで設定される。
図7は、操作定義テーブルを説明するための図であり、操作定義テーブルの一例を示している。操作定義テーブルには、各操作IDと操作名が対応付けられている。例えば、操作ID「C」は、オブジェクトを「作成」する操作を意味しており、また、操作ID「R」は、オブジェクトを「読み取り」する操作を意味している。
図6に戻り、限定子の「関係」は、オブジェクトとユーザとの間の関係を限定するものであり、また、限定子の「状態」は、オブジェクトのオブジェクト状態(図3参照)を限定するものである。なお、「関係」および「状態」における”*”は、オブジェクトとユーザとの間の関係やオブジェクトのオブジェクト状態に関する限定がないことを表している。
例えば、ロールID「PM」には、図6のロール権限テーブルの登録No.1において、限定子による限定がなく全てのオブジェクトタイプ対して全ての操作の権限が与えられている。また、ロールID「TL」には、登録No.3において、限定子による限定がなく、全ての「Task」オブジェクトに対して読み取り「R」および内容読み取り「RC」の操作の権限が与えられている。なお、同じロールID「TL」には、登録No.4において、「Task」オブジェクトに対して全ての操作の権限が与えられている。しかし、その権限対象となる「Task」オブジェクトが限定子によって「Assigned」に指定されている。この「Assigned」は、ロール割り当てテーブル(後に詳述)によって割り当てられた「Task」オブジェクトに権限を限定する意味である。ちなみに、限定子の関係における「Author」は、オブジェクトの作成者のみに権限を限定するものである。また、限定子の状態における「In Progress」は、進行中のオブジェクトにのみ権限を限定するものである。
図1に戻り、ロール割り当て管理部180は、ロール割り当てテーブル182を管理しており、必要に応じてこのテーブルに基づくロール割り当て情報をアクセス制御部150へ提供し、また、アクセス制御装置100の管理者などの指示に基づいてこのテーブルの修正などを行う。
図8は、ロール割り当てテーブルを説明するための図であり、ロール割り当てテーブルの一例を示している。ロール割り当てテーブルには、各割り当てIDごとに、ユーザID、オブジェクトIDおよびロールIDが登録され、その結果、各ユーザに対して、ロールとそのロールの対象オブジェクトが割り当てられる。例えば、割り当てID「A1」では、ユーザ「U1」に対して、ロール「PM」とその対象オブジェクト「O1」が割り当てられており、また、割り当てID「A2」では、ユーザ「U2」に対して、ロール「PC」とその対象オブジェクト「O1」が割り当てられている。
図9は、ロール割り当ての模式図であり、図2から図8までのテーブル内容に関するオブジェクト、ユーザおよびロールの割り当ての関係を示している。図9において、各オブジェクト(901〜909)は、オブジェクトテーブル(図2参照)に示される「親オブジェクト」に基づく階層構造を有している。各オブジェクト(901〜909)には、オブジェクトテーブルに登録されているそのオブジェクトのオブジェクトID(O1、O2など)、オブジェクト名(Project1、Task1など)およびオブジェクト状態(In Progress、Preparingなど)が示されている。さらに図9において、各オブジェクト(901〜909)の右側には、ロール割り当てテーブル(図8参照)によって割り当てられたロール割り当て(911〜915)が示されている。各ロール割り当て(911〜915)には、割り当てられたユーザのユーザID(U1、U2など)およびロールID(PM、PCなど)が示されている。
図1に戻り、アクセス制御部150は、上述した各種テーブル(図2から図8)に関する情報を適宜参照して、処理要求受信部110が受け付けた処理要求の実行に対する認可の判定を行う。判定は例えば次の手順で実行される。
(手順1)アクセス制御部150は、処理を要求したユーザに付与されているロールIDを取得する。つまり、ロール割り当て管理部180から、そのユーザに付与されているロールのロールIDを取得する。この際、ロール割り当て管理部180は、ロール割り当てテーブル182(図8)から、そのユーザに付与されているロールIDを確認して、アクセス制御部150にそのロールIDを提供する。
(手順2)アクセス制御部150は、取得したロールIDに関するロール権限情報をロール情報管理部170から取得する。つまり、ロール情報管理部170は、ロール権限テーブル174(図6)からそのロールIDに関するロール権限情報(許可される操作、関係、状態およびオブジェクトタイプ)を取得してアクセス制御部150へ提供する。なお、ロールIDに関するロール権限情報が複数存在する場合(例えば、図6におけるロールID「TL」)には、各ロール権限情報ごとに以下の手順4および手順5の処理を実行する。
(手順3)アクセス制御部150は、ユーザによる処理要求の対象であるオブジェクトに関する情報をオブジェクト管理部140から取得する。つまり、オブジェクト管理部140は、オブジェクトテーブル142(図2)からそのオブジェクトに関する情報(オブジェクトタイプおよびオブジェクト状態)を取得してアクセス制御部150へ提供する。
(手順4)アクセス制御部150は、処理を要求したユーザと処理対象のオブジェクトの関係、処理対象のオブジェクトの状態、処理対象のオブジェクトのタイプが、ロール情報管理部170から取得したロール権限テーブル174(図6)に示されるロール権限情報(関係、状態およびオブジェクトタイプ)と合致するか否かを判定する。ロール権限テーブル174において、“*”のように任意の関係、状態、オブジェクトタイプが示されている場合には、該当項目については無条件に合致すると見なす。
(手順5)アクセス制御部150は、合致すると判定された場合に、要求された処理がロール権限テーブル174(図6)に示される許可される操作に含まれるか否かを判定し、含まれる場合には要求された処理が認可される。
手順4および手順5の処理は、全てのロール権限情報に対して実行され、その結果、認可されると判定されるロールが無い場合には、処理要求は許可されない。このように、アクセス制御部150は、上記、手順1から手順5の処理を実行して、ユーザが要求する処理の実行に関する許可の判定を行う。
ちなみに、図2から図8に示したテーブル例に基づいて許可判定を行った場合のいくつかの結果を示すと次のとおりである。
ユーザ「U1」については、ロール割り当てテーブル(図8)によってオブジェクト「O1」に対してロール「PM」が割り当てられている。ロール「PM」は、ロール権限テーブル(図6)の登録No.1において、限定子による限定がなく全てのオブジェクトタイプに対して全ての操作の権限が与えられている。このため、ロール「PM」が割り当てられたユーザ「U1」は、オブジェクト「O1」およびオブジェクト「O1」の階層下にある全てのオブジェクト(O2〜O9)に対して全ての操作が許可される。
ユーザ「U2」については、ロール割り当てテーブル(図8)によってオブジェクト「O1」に対してロール「PC」が割り当てられている。ロール「PC」は、ロール権限テーブル(図6)の登録No.2において、限定子による限定がなく、オブジェクトタイプ「Task」に対して{R,W,D,S,CC,RC,WC,DC,SC}の操作権限が与えられている。このため、ロール「PC」が割り当てられたユーザ「U2」は、オブジェクト「O1」の階層下にある全てのタスクオブジェクト(O2〜O5)に対して、{R,W,D,S,CC,RC,WC,DC,SC}の操作が許可される。
ユーザ「U4」については、ロール割り当てテーブル(図8)によってオブジェクト「O3」に対してロール「TL」が割り当てられている。ロール「TL」は、ロール権限テーブル(図6)の登録No.3において、限定子による限定がなく、オブジェクトタイプ「Task」に対して{R,RC}の操作権限が与えられている。このため、ロール「TL」が割り当てられたユーザ「U4」は、全てのタスクオブジェクト(O2〜O5)に対して、{R,RC}の操作が許可される。なお、ロール「TL」は、ロール権限テーブル(図6)の登録No.4において、限定子により「Assigned」に限定されてオブジェクトタイプ「Task」に対して全ての操作権限が与えられている。この「Assigned」は、ロール割り当てテーブル(図8)によって割り当てられたオブジェクトに権限を限定する意味である。ロール割り当てテーブルによってユーザ「U4」にはオブジェクト「O3」が割り当てられている。したがって、ユーザ「U4」は、タスクオブジェクト「O3」に対してのみ全ての操作が許可される。
上記、手順1から手順5の処理を実行して、アクセス制御部150において、ユーザが要求する処理の実行に関する許可の判定が行われた結果、処理要求が許可された場合には、要求処理部130においてその処理が実行され、さらにその処理結果が処理結果送信部120からそのユーザのユーザ端末200へ送信される。処理要求が許可されない場合には、要求処理部130においてその処理の実行は行われず、例えば、処理不許可の旨が処理結果送信部120からユーザ端末200へ送信される。なお、必ずしもアクセス制御部150は要求処理部130から呼び出される構成である必要は無く、要求処理部130に処理要求が到達する前段で処理の実行の認可を判定してもよい。
以上、本発明の好適な実施形態を説明したが、上述した実施形態は、あらゆる点で単なる例示にすぎず、本発明の範囲を限定するものではない。
100 アクセス制御装置、150 アクセス制御部、160 ユーザ情報管理部、170 ロール情報管理部、180 ロール割り当て管理部。
Claims (6)
- 情報資源であるオブジェクトに対するユーザからのアクセスを制御するためのアクセス制御プログラムにおいて、
対象となるオブジェクト情報および対象となる操作情報が登録されたロールを管理するロール管理部から、アクセスを要求したユーザに対応するロールを取得する手順、
前記取得したロールに基づいて、オブジェクトに対してそのユーザに許可された操作を判別する手順、
をコンピュータに実行させることを特徴とするアクセス制御プログラム。 - 請求項1に記載のアクセス制御プログラムにおいて、
前記ロールのオブジェクト情報には、そのロールの対象となるオブジェクトの種類を示したオブジェクトタイプ情報が含まれ、
前記ロールの操作情報には、前記オブジェクトタイプ情報に示された種類のオブジェクトに対して許可された許可操作情報が含まれる、
ことを特徴とするアクセス制御プログラム。 - 請求項2に記載のアクセス制御プログラムにおいて、
前記ロールのオブジェクト情報には、そのロールの対象となるオブジェクトの状態を限定した状態限定情報が含まれる、
ことを特徴とするアクセス制御プログラム。 - 請求項3に記載のアクセス制御プログラムにおいて、
前記ロールのオブジェクト情報には、そのロールの対象となるオブジェクトとそのロールの対象となるユーザとの関係を限定した関係限定情報が含まれる、
ことを特徴とするアクセス制御プログラム。 - 情報資源であるオブジェクトに対するユーザからのアクセスを制御するアクセス制御装置において、
対象となるオブジェクト情報および対象となる操作情報が登録されたロールを管理するロール管理部と、
前記ロール管理部から、アクセスを要求したユーザに対応するロールを取得し、取得したロールに基づいて、オブジェクトに対してそのユーザに許可された操作を判別するアクセス制御部と、
を有することを特徴とするアクセス制御装置。 - 情報資源であるオブジェクトに対するユーザからのアクセスを制御するアクセス制御システムにおいて、
複数のオブジェクトを管理するオブジェクト管理部と、
各ロールごとに対象となるオブジェクト情報および対象となる操作情報が登録された複数のロールを管理するロール管理部と、
前記ロール管理部から、アクセスを要求したユーザに対応するロールを取得し、取得したロールに基づいて、そのユーザによって要求されたオブジェクトに対してそのユーザに許可された操作を判別するアクセス制御部と、
を有することを特徴とするアクセス制御システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004118282A JP2005301756A (ja) | 2004-04-13 | 2004-04-13 | アクセス制御システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004118282A JP2005301756A (ja) | 2004-04-13 | 2004-04-13 | アクセス制御システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005301756A true JP2005301756A (ja) | 2005-10-27 |
Family
ID=35333198
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004118282A Pending JP2005301756A (ja) | 2004-04-13 | 2004-04-13 | アクセス制御システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005301756A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009518719A (ja) * | 2005-12-05 | 2009-05-07 | サーセン コーポレイション | 文書処理システム及びその方法 |
JP2009541861A (ja) * | 2006-06-22 | 2009-11-26 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 医療用アドホックボディセンサネットワークのための先進的アクセス制御 |
JP2011175565A (ja) * | 2010-02-25 | 2011-09-08 | Hitachi Solutions Ltd | セキュリティ統合運用管理システム |
EP2690842A1 (en) | 2012-07-25 | 2014-01-29 | Ricoh Company, Ltd. | Device management apparatus, device management system, and computer-readable storage medium |
JP2016177632A (ja) * | 2015-03-20 | 2016-10-06 | アイシン・エィ・ダブリュ株式会社 | セキュリティ管理システムおよびセキュリティ管理方法 |
JP2018180681A (ja) * | 2017-04-05 | 2018-11-15 | 株式会社ドワンゴ | 端末装置のアプリケーションプログラム、端末装置の制御方法、端末装置、および生放送配信サーバのプログラム |
-
2004
- 2004-04-13 JP JP2004118282A patent/JP2005301756A/ja active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009518719A (ja) * | 2005-12-05 | 2009-05-07 | サーセン コーポレイション | 文書処理システム及びその方法 |
JP2009541861A (ja) * | 2006-06-22 | 2009-11-26 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 医療用アドホックボディセンサネットワークのための先進的アクセス制御 |
JP2011175565A (ja) * | 2010-02-25 | 2011-09-08 | Hitachi Solutions Ltd | セキュリティ統合運用管理システム |
EP2690842A1 (en) | 2012-07-25 | 2014-01-29 | Ricoh Company, Ltd. | Device management apparatus, device management system, and computer-readable storage medium |
JP2016177632A (ja) * | 2015-03-20 | 2016-10-06 | アイシン・エィ・ダブリュ株式会社 | セキュリティ管理システムおよびセキュリティ管理方法 |
JP2018180681A (ja) * | 2017-04-05 | 2018-11-15 | 株式会社ドワンゴ | 端末装置のアプリケーションプログラム、端末装置の制御方法、端末装置、および生放送配信サーバのプログラム |
US11399212B2 (en) | 2017-04-05 | 2022-07-26 | Dwango Co., Ltd. | Terminal device application program, terminal device control method, terminal device, and live broadcast distribution server program providing questionnaire creation by terminal device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3729256B1 (en) | Dynamically generated smart contracts | |
Nadkarni et al. | Preventing accidental data disclosure in modern operating systems | |
KR101432317B1 (ko) | 자원 인가 정책으로의 역할 기반 접근 제어 정책의 변환 | |
JP5963957B2 (ja) | 開発環境システム、開発環境装置、開発環境提供方法及びプログラム | |
JP5719431B2 (ja) | コンテキストを認識するためのデータを保護するための方法、並びに、そのデータ処理システム、及びコンピュータ・プログラム | |
JP6488646B2 (ja) | 情報処理システム、情報処理装置、ライセンス管理方法及びプログラム | |
US20090198698A1 (en) | System and Method for Adding Multi-Leval Security to Federated Asset Repositories | |
JP2015518201A5 (ja) | ||
KR20080056269A (ko) | 콘텐트 액세스 권한 관리 | |
TW200811685A (en) | System and method for tracking the security enforcement in a grid system | |
TW201602833A (zh) | 受保護資訊的共同所有權 | |
JP2004158007A (ja) | コンピュータアクセス権限 | |
US9836585B2 (en) | User centric method and adaptor for digital rights management system | |
JP5991386B2 (ja) | ネットワークシステム | |
JP2013114475A (ja) | 情報管理システムおよび情報管理方法 | |
JP2008059063A (ja) | 情報管理プログラム | |
JP2007310822A (ja) | 情報処理システムおよび情報管理プログラム | |
JP2005301756A (ja) | アクセス制御システム | |
JP2005301602A (ja) | 情報処理装置、操作許否判定方法、操作許可情報生成方法、操作許否判定プログラム、操作許可情報生成プログラム及び記録媒体 | |
Han et al. | Cloud-based active content collaboration platform using multimedia processing | |
JP2007072581A (ja) | ポリシ集合生成装置とその制御方法 | |
Awad et al. | User as a super admin: Giving the end-users full control to manage access to their data in social media networks | |
JP2007233635A (ja) | 情報管理システム及び情報管理方法、並びにコンピュータ・プログラム | |
Ben Yahya et al. | MA-MOrBAC: A distributed access control model based on mobile agent for multi-organizational, collaborative and heterogeneous systems | |
Madani et al. | C-ABAC: An ABAC based Model for Collaboration in Multi-tenant Environment |