JP2005332049A - ポリシ変換方法、ポリシ移行方法およびポリシ評価方法 - Google Patents

ポリシ変換方法、ポリシ移行方法およびポリシ評価方法 Download PDF

Info

Publication number
JP2005332049A
JP2005332049A JP2004147774A JP2004147774A JP2005332049A JP 2005332049 A JP2005332049 A JP 2005332049A JP 2004147774 A JP2004147774 A JP 2004147774A JP 2004147774 A JP2004147774 A JP 2004147774A JP 2005332049 A JP2005332049 A JP 2005332049A
Authority
JP
Japan
Prior art keywords
access control
access
policy
attribute
control policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004147774A
Other languages
English (en)
Inventor
Yoshito Oshima
嘉人 大嶋
Yoshiaki Nakajima
良彰 中嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004147774A priority Critical patent/JP2005332049A/ja
Publication of JP2005332049A publication Critical patent/JP2005332049A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】 あるアクセス制御装置に適した複数のアクセス制御ポリシで構成されるアクセス制御ポリシセットを他のアクセス制御装置に適したアクセス制御ポリシセットに自動的に変換する手順を提供する。
【解決手段】 ポリシ変換要求に対応するアクセス属性の値の集合を取得し(ステップS112)、取得した各アクセス属性の値を、第一のアクセス制御ポリシセットの各アクセス制御ポリシの適用条件部に適用して評価を行い、適用可であるアクセス制御ポリシの適用条件部を評価結果で置き換えて第二のアクセス制御ポリシセットを生成する(ステップS113)。各アクセス属性の値を、第二のアクセス制御ポリシセットの各アクセス制御ポリシのアクセス可否条件部に代入して評価を行い、アクセス可否条件部を評価結果で置き換えて第三のアクセス制御ポリシセットを生成する(ステップS114)。
【選択図】 図11

Description

本発明は、情報システムにおいて保護すべき電子ファイルや機能あるいはサービスなどへの不正なアクセスを防御する方法に関し、特に、アクセス属性を1あるいは複数個の変数として取る述語表現によってアクセス可否の規則が構成されるアクセス制御ポリシを用いる場合に、そのようなアクセス制御ポリシを、目的に応じた態様へ変換する方法と、そのように変換されたアクセス制御ポリシを他システムへ移行する方法と、そのような他システムにおける移行後のポリシによるポリシ評価方法と、に関する。
情報システムあるいはコンピュータシステムの発達の歴史の中でその初期段階においては、システムが管理するリソースに対するユーザのアクセスを制御するために、システムが管理する各リソースに対してアクセスしうるユーザと当該ユーザに許されるアクション、すなわちアクセスの種別とを記述するACL(アクセス制御リスト)が、アクセス制御情報として用いられてきた。例えば、リソースごとに、どのユーザからのフルアクセスを認め、どのユーザからは読み出しのみを認め、どのユーザには一切のアクセスを認めないなどが、ACLに記述されていた。しかしながら、このような形態によるアクセス制御情報は、ファイルやデバイス、機能、サービスなどのリソースごとに記述する必要があるため、リソースの増減や、許可すべきアクセス者あるいはアクセス種別の変更に対する柔軟性に欠け、その設定・変更にかかる手間がかかることが問題となっていた。そこで近年では、アクセス制御ポリシあるいは単にポリシと呼ばれる、より柔軟なアクセス制御情報の構成方式が主流となってきている。アクセス制御ポリシのフォーマットの例としては、OASIS(Organization for the Advancement of Structured Information Standards)で規定されているXACML(eXtensible Access Control Markup Language)がある。XACMLの詳細については、例えば、インターネット上のウェブサイト(http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml)で取得することができる。
アクセス制御ポリシは、発生しうるアクセス要求を特徴付ける属性、すなわち、アクセス者属性、アクセス環境属性、リソース属性、アクション属性を変数として持つ述語表現によって、アクセス可否の規則を構成する。アクセス制御ポリシには、例えば、「あらゆるリソースに対するあらゆる種別のアクセスは平日のみ許可する」あるいは「役職レベル属性がB以上のユーザには、機密レベル属性の値が10であるようなリソースに対する修正のアクセスを許可する」といったことが形式的に記述される。そして、アクセス要求が発生した際には、そのアクセス要求の各種属性の値を同定し、それらの属性値を、対応するアクセス制御ポリシの該当する変数部に代入し、得られた真偽値によってそのアクセス要求の可否を判定する。
また、アクセス制御ポリシを用いるアクセス制御方法では、複数存在するアクセス制御ポリシのうち、どのようなアクセスに対してどのポリシを適用すべきかを判定する条件を備えることが多い。その判定条件も、アクセス要求を特徴付けるアクセス者属性、アクセス環境属性、リソース属性、アクション属性を変数として持つ述語表現で記述されることが多い。上記のXACMLも、そのような条件を備えたフォーマットの1つである。
アクセス制御ポリシは、アクセス属性をパラメータとする述語表現を用いることによって、記述者の持つさまざまな観点からさまざまな詳細度で記述することができるため、アクセス制御ポリシを用いることにより、アクセス制御情報の設定・修正にかかるコストが低減されている。
以下の説明において、アクセス制御ポリシに基づいてアクセス制御を行ってリソースの保護を図る装置のことを、リソース保護システムと呼び、このリソース保護システムは、アクセス制御を行うアクセス制御装置の範疇に含まれるものである。
"eXtensible Access Control Markup Language (XAXML)"、[online]、2003年2月18日、OASIS Open 2003、[平成16年5月10日検索]、インターネット<URL:http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml>
アクセス制御ポリシによってさまざまな観点からさまざまな詳細度で記述されたアクセス制御情報は、ACLのようにリソースとの対応関係が直接的に記載されているものではいないため、あるリソースに対応するポリシは複数存在することができ、また、アクセスのコンテキストなどに応じて変わりうる。すなわち、アクセス制御ポリシを用いる場合には、あるリソースに対して適用すべきアクセス制御の規則を、漏れなく重複なく抽出することが困難となる、という問題点がある。
また、このようなアクセス制御ポリシの性質は、あるリソース保護システムで管理されることにより無許可アクセスから保護されていたリソースあるいはその複製を、別のリソース保護システムに配備して、元のリソース保護システムと同等の、すなわち一貫性のあるポリシでアクセス制御を行う場合、そのように適切なアクセス制御ポリシを設定するのが困難であるという問題をもたらす。
リソースの移管先のアクセス制御装置やリソース保護システムが、元の(すなわち移管前の)リソース保護システムと同等以上の記憶容量や処理性能、機能を具備している場合には、元のリソース保護システムに格納されている全てのアクセス制御ポリシを移管するという方法も採用することができる。しかしながら、移管先のリソース保護システムが、元のリソース保護システムと比べて、記憶容量や処理性能、あるいは具備する機能が乏しいなどの制約が厳しい場合、例えば、いわゆるサーバなどの高性能な装置で管理されているリソースの一部を、IC(集積回路)カードなどの相対的に性能の低い装置に移管する場合には、サーバで管理される全てのアクセス制御ポリシを移管することは非現実的である。とはいえ、サーバのアクセス制御ポリシを参照しながら、それと同等の意味を持つICカード用のアクセス制御ポリシを人手によって記述することは、手間が増大するばかりでなく、適切な設定ができなかったり、誤りの混入によるセキュリティレベルの低下を引きおこす。
また、アクセス要求に対する可否の判断を行うためのアクセス制御ポリシの評価には、そのアクセス制御ポリシにおいて変数化されているアクセス属性の値を必要とするが、移管先のリソース保護システムでは、そのようなアクセス属性の値を取得する機能を具備しないケースも考えられる。そのような場合には、元のリソース保護システムに管理されているアクセス制御ポリシをそのまま、あるいは一部抜粋してリソース移管先のリソース保護システムに格納しても、アクセス制御ポリシの評価ができず、よってアクセス制御を行うと言う本来の目的が達成できない。
そこで本発明の目的は、複数のアクセス制御ポリシで構成されるアクセス制御ポリシセット(アクセス制御ポリシ集合)を、アクセス制御対象とするリソースや、発生しうるアクセスの性質、あるいは、評価時のアクセス属性値の取得機能の十分性に応じて必要十分なポリシ集合に自動的に変換する方法、特に、サーバなど制約の少ない機器からリソースを制約の厳しい装置上に移動させつつも、サーバと一貫性のあるポリシでアクセス制御を行うために必要なアクセス制御ポリシを、元のアクセス制御ポリシから自動的に変換して生成する方法を提供するにある。
また本発明の別の目的は、そのように自動的に変換して生成されたアクセス制御ポリシを実際に他のシステムに移行するポリシ移行方法と、他のシステムに移行したアクセス制御ポリシによるポリシ評価方法と、を提供することにある。
本発明では、アクセスの可否を判定するための規則であるアクセス制御ポリシは、発生しうるアクセスを特徴付けるアクセス属性に対応する変数を任意の数だけ含む述語表現であって、あるアクセスのアクセス属性の値を該当するそれぞれの変数に代入して評価することによってそのアクセスへのアクセス制御ポリシの適用可否を示す値が得られる適用条件部と、アクセス属性に対応する変数を任意の数だけ含む述語表現であって、あるアクセスの全てのアクセス属性の値を、該当するそれぞれの変数に代入して評価すると、そのアクセスの可否を示す値が得られるアクセス可否条件部と、から構成されている。ここでアクセスを特徴付けるアクセス属性には、アクセス者属性、アクセス環境属性、リソース属性、アクション属性が含まれる。
そして本発明のポリシ変換方法は、1ないし複数のアクセス制御ポリシから構成される第一のアクセス制御ポリシセットと、1ないし複数のアクセス属性の値を含むアクセス属性値集合とを入力とするものであって、
アクセス属性値集合に含まれる各アクセス属性の値を、第一のアクセス制御ポリシセットを構成するそれぞれのアクセス制御ポリシの適用条件部の該当する変数に代入してそれらの適用条件部をそれぞれ評価して第一の評価結果を得る第一の評価ステップと、
第一の評価結果として適用不可を示す値が得られたアクセス制御ポリシを第一のアクセス制御ポリシセットの中から除いた残りのアクセス制御ポリシそれぞれについて、適用条件部を第一の評価結果で置き換えたアクセス制御ポリシを得て、その得られたアクセス制御ポリシから構成される第二のアクセス制御ポリシセットを生成して出力する第一の生成ステップと、
アクセス属性値集合に含まれる各アクセス属性の値を、第一の生成ステップで生成された第二のアクセス制御ポリシセットを構成するそれぞれのアクセス制御ポリシのアクセス可否条件部の該当する変数に代入してそれらのアクセス可否条件部をそれぞれ評価して第二の評価結果を得る第二の評価ステップと、
第二のアクセス制御ポリシセットを構成するアクセス制御ポリシそれぞれについて、アクセス可否条件部を第二の評価結果に置き換えたアクセス制御ポリシを得て、その得られたアクセス制御ポリシから構成される第三のアクセス制御ポリシセットを生成して出力する第二の生成ステップと、
アクセス属性値集合と第三のアクセス制御ポリシセットとを対にして出力する出力ステップと、
を有する。
以下の説明において、第一の評価ステップ及び第一の生成ステップをまとめてポリシ絞込みステップと呼び、第二の評価ステップ及び第二の生成ステップをまとめてポリシ事前評価ステップと呼ぶことがある。
上述したポリシ変換方法では、第一の評価結果及び第二の評価結果に関し、変数の値が必要なだけ代入されなかったために具体値が確定しないことが起こりうるが、そのような場合には、可能な限り評価を施した後の述語表現を得て、その得られた述語表現を、対応する第一の評価結果あるいは第二の評価結果とすればよい。
また、ポリシ絞込みステップでは、生成した第二のアクセス制御ポリシセットに含まれるアクセス制御ポリシの各適用条件部を比較し、適用可否を示す値もしくは述語表現が一致するアクセス制御ポリシが複数あった場合に、適用条件部が一致したアクセス制御ポリシの集合それぞれについて、その一致した適用可否を示す値もしくは述語表現を適用条件部に、そのアクセス制御ポリシの集合に含まれるアクセス制御ポリシそれぞれのアクセス可否条件部の論理積をアクセス可否条件部に持つアクセス制御ポリシに併合した後に、第二のアクセス制御ポリシセットを出力するようにすることができる。
さらに本発明のポリシ変換方法では、リソースの識別情報を入力として受け取り、リソースのリソース属性の値を取得して出力するリソース属性値取得ステップを設け、そのようにして取得したリソース属性の値の集合をポリシ絞込みステップ及びポリシ事前評価ステップにおいてアクセス属性値集合として用いることができる。その場合は、出力ステップにおいて、リソースの識別情報と第三のアクセス制御ポリシセットとを対にして出力すればよい。また、アクセス制御ポリシ内の述語表現において変数として使用されるアクセス属性のうち、実際のアクセス要求が発生した際の最新の値を取得して評価すべき前記アクセス属性の種別もしくは識別情報の列挙である実行時評価アクセス属性リストを設定する実行時評価アクセス属性リスト設定ステップを設け、実行時評価アクセス属性リストに含まれるアクセス属性を除外したアクセス属性値の集合を用いてポリシ絞込みステップ及びポリシ事前評価ステップを実行するようにしてもよい。
本発明のポリシ移行方法は、第一のアクセス制御装置で管理される1ないし複数のリソースあるいはその複製を第二のアクセス制御装置に格納する際に、上述した本発明のポリシ変換方法に基づいて、格納されたリソースへのアクセスの可否を判定するためのアクセス制御ポリシを第一のアクセス制御装置において生成し、第二のアクセス制御装置に設定する。具体的には、第一のアクセス制御装置が使用するアクセス制御ポリシの集合と、第二のアクセス制御装置に格納されるべきリソースについての第一のアクセス制御装置におけるリソース属性の値の集合を入力として、上述したポリシ変換方法により第三のアクセス制御ポリシセットを生成し、この第三のアクセス制御ポリシセットと、第一のアクセス制御装置におけるリソース属性の値の集合に対応する情報とを、第二のアクセス制御装置に格納されるリソースに対応付けて設定する。あるいは、第一のアクセス制御装置が使用するアクセス制御ポリシの集合と、第二のアクセス制御装置に格納されるべきリソースについての第一のアクセス制御装置における識別情報を入力として、上述したポリシ変換方法により第三のアクセス制御ポリシセットを生成し、この第三のアクセス制御ポリシセットを、第二のアクセス制御装置に格納されるリソースに対応付けて設定する。
ポリシ移行に際しては、ハードウエア上等の制約によって第二のアクセス制御装置が取得できないアクセス属性が生じる可能性があるが、そのような場合には、少なくとも、第二のアクセス制御装置では取得できない1ないし複数のアクセス属性については、第一のアクセス制御装置において、それぞれのアクセス属性の値を取得し、そのアクセス属性にそれぞれ対応する変数に代入してその変数を含む述語表現の評価を済ませて第三のアクセス制御ポリシセットを生成するようにすればよい。
さらに本発明は、上述のようにして移行させたポリシの評価をも含むものである。本発明に基づくポリシ評価方法は、
保持する1ないし複数のアクセス制御ポリシセットの中から、受け取ったアクセス要求に対応する1ないし複数のアクセス制御ポリシセットを抽出する適用アクセス制御ポリシセット特定ステップと、
1ないし複数のアクセス制御ポリシセットに含まれる全てのアクセス制御ポリシそれぞれの適用条件部の評価に必要なアクセス属性の値を全て取得し、取得したアクセス属性の値を、アクセス制御ポリシそれぞれの適用条件部の該当する変数に代入してそれらの適用条件部を評価し、適用可否を示す値を取得し、適用可を示す値が得られたアクセス制御ポリシを抽出する適用アクセス制御ポリシ特定ステップと、
1ないし複数のアクセス制御ポリシそれぞれのアクセス可否条件部の評価に必要なアクセス属性の値を全て取得し、取得したアクセス属性の値を、アクセス制御ポリシそれぞれのアクセス可否条件部の該当する変数に代入して当該アクセス可否条件部を評価し、アクセスの可否を示す値を取得するポリシ評価ステップと、
を有し、
アクセスの要求を受け取ると、適用アクセス制御ポリシセット特定ステップにおいて、保持しているアクセス制御ポリシセットの中からそのアクセス要求に対応する1ないし複数のアクセス制御ポリシセットを抽出し、抽出された1ないし複数のアクセス制御ポリシセットに含まれるアクセス制御ポリシの中からそのアクセス要求に適用すべき1ないし複数のアクセス制御ポリシを抽出し、
ポリシ評価ステップにおいて適用アクセス制御ポリシ特定ステップで抽出された1ないし複数のアクセス制御ポリシそれぞれのアクセス可否条件部の評価結果を取得し、全ての評価結果がアクセス可を示す値であった場合にのみ、そのアクセス要求によるアクセスを許可と判定する。
以上説明したように本発明は、設定されている複数のアクセス制御ポリシの中から、与えられた条件、すなわち対象とするリソースあるいはアクセス者の識別情報あるいはこれらの属性値から、その与えられた条件に対して適切なアクセス制御ポリシを自動的に抽出し、例えばデータサイズを抑制した、別のアクセス制御ポリシに変換して出力することができる、という効果がある。例えば、高性能のサーバーをリソース保護システムとして使用していて、このリソース保護システムで管理しているリソースの一部を、性能上の制約が大きいリソース保護システムに移管するような場合に、本発明によれば、前者で用いているアクセス制御ポリシを、後者に適したアクセス制御ポリシに自動的に変換することができる。
さらに本発明によれば、ポリシの変換時に確定しているアクセス属性値については事前評価を施したアクセス制御ポリシを自動出力することによって、後の評価処理にかかるコストを低減するとともに、実際に評価を実行するリソース保護システムにおけるアクセス属性の値を取得する機構等の配備を省略あるいは簡素化させることができる。
これによって、本発明によれば、あるリソース保護システムにおいて管理されているリソースを他のリソース保護システムに移転させる場合において、元のリソース保護装置において施行していたポリシと同等の、一貫性のあるアクセス制御ポリシで移転先のリソース保護システムにおけるアクセス制御が容易に達成できる。また、処理能力や記憶容量などに関する制約が厳しい装置に対しても、上記のようなリソースの移転と一貫性のあるアクセス制御の継続を容易に実現可能とする。
次に、本発明の好ましい実施の形態について、図面を参照して説明する。以下では、本発明に基づくアクセス制御ポリシの変換方法、移行方法および評価方法を説明する。
まず最初に、本実施形態において用いるアクセス制御ポリシを説明する。図1は、アクセス制御ポリシの一覧10を示している。一覧10は複数のアクセス制御ポリシを含んでおり、この一覧10に含まれる各アクセス制御ポリシは、それぞれ、適用条件部12とアクセス可否条件部13とから構成されている。また、各アクセス制御ポリシを識別するために、ポリシごとにポリシID(識別番号)11が付与されている。
適用条件部12は、アクセスを特徴付けるアクセス属性、すなわちアクセス者属性、アクセス環境属性、リソース属性、アクション属性のいずれか、に対応する変数を任意の数だけ含む述語表現である。この述語表現において、あるアクセスのアクセス属性の値を、該当するそれぞれの変数に代入して評価すると、そのアクセスへの当該アクセス制御ポリシの適用可否を示す真偽値が得られる。真(TRUE)は「適用可」を、偽(FALSE)は「適用不可」を意味する。
アクセス可否条件部13は、適用条件部12と同様に、いずれかのアクセス属性に対応する変数を任意の数だけ含む述語表現であり、この述語表現において、あるアクセスの全てのアクセス属性の値を該当するそれぞれの変数に代入して評価すると。そのアクセスの可否を示す真偽値が得られる。真は「アクセス許可」を、偽は「アクセス不許可」を意味する。あるアクセスの可否を判定する際にそのアクセスに適用すべきとされる、すなわち、適用条件部12の評価結果が真となるようなアクセス制御ポリシが、複数存在することもあり得る。本実施形態では、そのような場合には、適用すべきアクセス制御ポリシの全てのアクセス可否判定部の評価結果が「真」である場合にのみにアクセスを許可し、それ以外の場合にはアクセスを拒否するものとする。
なお、図1に記載のアクセス制御ポリシは、本発明が適用をしうるアクセス制御ポリシの構成の一例であって、本発明によるアクセス制御ポリシの変換方法、移行方法、評価方法は、ここに示した構成のアクセス制御ポリシを前提とするものではない。本発明は、例えば、適用条件部を各アクセス可否条件部とは独立に定義管理し、互いの識別情報を対応付ける形態を有するアクセス制御ポリシにも適用可能である。
ここで、図1に示した各アクセス制御ポリシを構成する述語、関数及び変数を説明する。図2は、アクセス制御ポリシを構成する述語及び関数の一覧40を示しており、図3は、各アクセス制御ポリシを構成する変数の一覧50を示している。述語及び関数としては、図2に示すように、「AND」、「OR」、「EQ」、「NEQ」、「GT」、「LT」、「PLUS」があり、これらは述語表現において一般的に用いられているものである。
本発明において変数とは、上記の通り、アクセス属性(アクセス者属性、アクセス環境属性、リソース属性、アクション属性)のいずれかに対応している。本実施形態では、図3に示すように、アクセス属性の種別、すなわち、リソース属性、アクセス者属性、アクセス環境属性、アクション属性ごとに異なる変数名(それぞれ、ResourceAttribute、SubjectAttribute、ContextAttribute、ActionAttribute)を与えている。各変数は対応するアクセス属性の名称を引数に取る。
図4は、本実施形態において用いるアクセス制御ポリシを構成する変数が引数に取り得るアクセス属性の名称を、変数名の各別、すなわち、リソース属性、アクセス者属性、アクセス環境属性、アクション属性の各別にまとめたものであり、それらが一覧61〜64として示されている。これらによれば、例えば、“曜日”というアクセス属性の名称を引数にとり変数名がContextAttributeである変数「(ContextAttribute“曜日”)」は、アクセス属性のうちアクセス環境属性の1つであって、あるアクセスの発生した曜日を意味する値に対応する。
本実施形態では、いくつかのアクセス属性については、その取り得る値が定められている。例えば、「機密性」をその名称とするリソース属性65は、Integer(整数)型であって、かつ0から5の値を取り得る。また、String(文字列)型の値を持つアクセス属性のいくつかは、取り得る値を列挙により外延的に定義され、値域を制約されている。図5は、本実施形態において用いられる文字列シンボル管理テーブル70の構成を示している。文字列シンボル管理テーブル70は、文字列型の値をアクセス属性が取り得る値を列挙により外延的に定義したものである。
例えば、図4を参照すると、アクセス者属性「役職」66はString型の値を持ち、その値域は「Sym[Post]」であると定義されている。この値域に記述されているSym[Post]は、当該属性は文字列シンボル管理テーブルによりその値域が外延的に定義されており、かつその定義の名称が[Post]であることを意味する。そこで、図5を参照すると、[Post]を名称とする文字列型の属性値の値域の定義71があり、候補値が{“部長”,“チーフ”,“一般社員”}となっている。これらにより、「役職」をその名称とするアクセス者属性66は、“部長”、“チーフ”、“社員”、のいずれかをその値として持つString型の属性であると定義されていることになる。
以上のような定義に基づき、図1の一覧10にある各アクセス制御ポリシの意味が定義され、また解釈される。例えば、図1においてポリシID“0001”のアクセス制御ポリシは、「アクセス対象のリソースの“分類”属性の値が“技術情報”であって、またそのアクセスが行うアクションの“種別”属性の値が“閲覧”である」アクセスに対して適用されるアクセス制御ポリシであって、「アクセスしたアクセス者の“所属部署”属性の値が“研究部”、“開発部”、“営業部”のいずれかと一致する」場合にはそのアクセスを許可する、という意味を持ったポリシである。また、例えば、ポリシID“0051”のアクセス制御ポリシは、「アクセスしたアクセス者の“所属部署”属性の値が、アクセス対象のリソースの“作成元”属性の値と異なる」アクセスに対して適用されるアクセス制御ポリシであって、「アクセスが起きたコンテキストすなわちアクセス環境の“年月日”属性の値が、アクセス対象のリソースの“登録年月日”属性の値に“2日間”を加えた年月日よりも大きい」場合、すなわち、「アクセス対象のリソースの登録年月日から2日後以降に発生したアクセスである」場合にはそのアクセスを許可する、という意味を持ったポリシである。
次に、本実施形態によるポリシ変換方法、ポリシ移行方法が適用される情報システムについて説明する。図6は、そのような情報システムの構成の一例を示している。
ネットワーク5に対し、第一、第三及び第四のリソース保護システム1、3、4が接続し、第一及び第三のリソース保護システム1、3は、ネットワーク5とは別のネットワーク5Aにも接続し、ネットワーク5Aには、複数のパーソナルコンピュータ(PC)7が接続している。第四のリソース保護システム4は、ネットワーク5,5Aとは別のネットワーク5Bにも接続し、ネットワーク5Bには、複数のパーソナルコンピュータ(PC)7Aが接続している。さらに、第一のリソース保護システム1には、第二のリソース保護システム2が接続している。後述する事例では、第二のリソース保護システム2を第一のリソース保護システム1から切り離し、そのかわりにパーソナルコンピュータ6を第二のリソース保護システム2に接続して、リソースの移管を行っている。
各リソース保護システム1〜4は、ファイルサーバ装置の一種であって、保護すべきリソースを管理している。ただし、各リソース保護システム1〜4は、相互に同等の機能と性能を有する必要はなく、一般的には、使用される目的や環境等に応じて、機能や性能が異なっている。特に第一のリソース保護システム1は、通信ネットワーク5Aを介して接続しているパーソナルコンピュータ7から、第一のリソース保護システム1の管理下にあるリソースへのアクセスの要求があった場合には、予め設定されているアクセス制御ポリシに基づいてそのアクセスの要求によるアクセスの可否を判定し、その結果に従ってリソースへのアクセスの提供あるいは拒絶を行う機能を持つ。
そのようなアクセス制御を行う第一のリソース保護システム1は、図7に示すように、保護すべきリソースを複数管理するリソース管理部23と、アクセス要求が意図するアクセスを特徴付ける各種アクセス属性の値を取得するリソース属性管理部24、アクセス者属性取得部25及びコンテキスト検出部33と、アクセス制御ポリシを設定するためのポリシ設定部28と、設定されたアクセス制御ポリシを格納するアクセス制御ポリシ管理部22とを有する。第一のリソース保護システム1は、さらに、アクセス要求を受信するためのアクセス要求受信部30と、アクセス制御ポリシ管理部22から取得したアクセス制御ポリシに、リソース属性管理部24、アクセス者属性取得部25及びコンテキスト検出部33により取得した、アクセス要求に対応する各種アクセス属性の値を代入して評価し、得られた真偽値によって当該アクセスの可否を判定するポリシ評価部32と、許可と判定された場合に要求されたリソースへの要求された操作種別でのアクセスを提供するリソース提供部31を備える。第一のリソース保護システム1には、ポリシの変換のために、ポリシ変換要求受信手段20、変換後ポリシ送信部21、ポリシ絞込み部26、ポリシ事前評価部27及びアクセス属性値集合取得部29も備えているが、それらについては後述する。
ポリシ評価部32は、あるアクセスの可否を判定する際には、そのアクセスに適用すべきアクセス制御ポリシ全てのアクセス可否判定部の評価結果が「真」である場合にのみアクセスを許可し、それ以外の場合には拒否する。本実施形態においてアクセス制御ポリシ管理部22によって管理されるアクセス制御ポリシは、図1に示す通りである。
リソース属性管理部24は、図8に示す通り、リソース属性を1つのテーブル(リソース属性管理テーブル80)で管理している。リソース属性管理テーブル80では、各行が1つのリソースに対応し、列81はリソースのID、列82はリソースの“名称”属性、列83はリソースの“分類”属性、列84はリソースの“機密性”属性、列85はリソースの“作成元”属性、列86はリソースの“登録年月日”属性をそれぞれ表している。各属性の型は、図4のリソース属性の一覧61に示す通りである。なお、本実施形態では各リソースのリソース属性を1つのテーブルで管理しているが、属性ごとに別のテーブルに分割して管理しても良い。また、例えば、リソース管理部23において管理される各リソース自身に、メタデータあるいはプロパティとしてリソース属性を記述しておき、リソース属性の取得要求に対応してリソース管理部23内の該当するリソースからリソース属性を取得して返却するように構成しても良い。
アクセス者属性取得部25は、属性証明書を用いて属性認証を行うことにより、属性認証を行うことによりアクセス者のアクセス者属性を取得するものである。ここでは、属性証明書は、図4のアクセス者属性の一覧62に示すアクセス者属性の各別に各アクセス者に発行された属性証明書であって、アクセス者属性の名称とそのアクセス者が有するアクセス者属性の値とを対にした属性が格納されている。図9は、このような属性証明書の発行の元となるアクセス者属性の管理テーブルの一例(アクセス者属性管理テーブル90)を示している。アクセス者属性管理テーブル90では、各行が1人のアクセス者に対応し、列91はアクセス者のID、列92はアクセス者の“所属組織”属性、列93はアクセス者の“役職”属性、列94はアクセス者の“氏名”属性、列95はアクセス者の“内線番号”属性、列96はアクセス者の“着任日”属性をそれぞれ表している。各属性の型は、図4のアクセス者属性の一覧62の通りである。
図9に示すアクセス者属性管理テーブル90に基づき、そのテーブル90の行97において示される、ユーザIDが“00135”であるアクセス者に対して発行された属性証明書の例を図10に示す。属性証明書101Aは、ユーザIDが“00135”であるアクセス者のアクセス者属性“所属組織”に関する属性証明書であり、アクセス者属性の名称“所属組織”を含む属性名情報102Aと、アクセス者のアクセス者属性“所属組織”に対する属性値“営業部”を含む属性値情報103Aと、アクセス者の秘密鍵に対応する公開鍵、あるいは公開鍵の公開鍵証明書の識別情報を含む属性所有者検証情報104Aと、情報102A、102A、103Aを含む情報に基づき属性証明書の発行者の秘密鍵によって生成された署名データを含む属性証明書認証情報104Aとから構成される。属性証明書101Bは、同様に、ユーザIDが“00135”であるアクセス者のアクセス者属性“役職”に関する属性証明書であり、アクセス者属性の名称“役職”を含む属性名情報102Bと、アクセス者のアクセス者属性“役職”に対する属性値“部長”を含む属性値情報103Bと、アクセス者の秘密鍵に対応する公開鍵、あるいはその公開鍵の公開鍵証明書の識別情報を含む属性所有者検証情報104Bと、情報102B、102B、103Bを含む情報に基づきその属性証明書の発行者の秘密鍵によって生成された署名データを含む属性証明書認証情報104Bと、から構成されている。アクセス者属性“氏名”、“内線番号”、“着任日”についても同様の形態の属性証明書が発行される。
アクセス者属性取得部25は、アクセス者のアクセス者属性が必要になった場合には、アクセス者属性の名称に対応する属性証明書とその所有の証明をアクセス者に要求し、属性証明書と、属性証明書に含まれる属性所有者検証情報に対応する秘密鍵により生成された署名データを受け取り、属性所有者検証情報に対応する公開鍵でそのデータを検証し、さらに、属性証明書の属性証明書認証情報をあらかじめ保持している正当な属性証明書発行者の公開鍵で検証して、双方が合格した場合には、そのアクセス者のアクセス属性の値が属性証明書に記載されている属性値情報に含まれる属性値であると認める。
なお、本実施形態では、アクセス者属性の各別に属性証明書を発行する形態について説明しているが、1枚の属性証明書に、全ての、あるいは、いくつかのアクセス者属性の値を掲載して使用しても良い。
コンテキスト検出部33は、アクセス要求受信部30にアクセスの要求を受信した際の時刻などのシステム情報を取得し、これをアクセス環境属性として他の機能部(リソース管理部23、ポリシ評価部32など)に提供するものであって、ここでは、図4のアクセス環境属性の一覧63に示す種類のシステム情報を取得、提供する。
以下では、第一のリソース保護システム1に対してアクセス要求が行われた場合のアクセス制御のためのポリシ評価の様子について、具体例を元に説明する。ここでは、図9に示すアクセス者属性管理テーブル90に記載の「ユーザIDが“00135”であるアクセス者」によって、図8に示すリソース属性管理テーブル80に記載の「リソースIDが“3000”であるリソース」に対する「閲覧操作」が、「2004年3月1日(月曜)の19時00分」に発生したというケースについて説明する。
まず、ユーザIDが“00135”であるアクセス者によるアクセス要求が、アクセス要求受信部30において受信される。このアクセス要求には、アクセス対象のリソースのIDとして“3000”が、また、そのアクセスの種別として“閲覧”が含まれる。また、コンテキスト検出部33によってこの時点でのシステム状態が取得される。この時点で、このアクセス要求によるアクセスのアクセス属性のいくつかが定まる。それは、アクション属性“種別”、アクセス環境属性“年月日”、“曜日”、“時刻”であり、それぞれ値は“閲覧”、“2004/3/1”、“月曜”、“19:00”である。
ポリシ評価部32は、まず、これら確定しているアクセス属性に基づき、アクセス制御ポリシ管理部22の中からそのアクセス要求によるアクセスに対して適用されるべきアクセス制御ポリシの候補を抽出する。すなわち、確定済みのアクセス属性の値を各アクセス制御ポリシの適用条件部の該当する変数に代入し、評価を試みる。この場合、図1に記載のアクセス制御ポリシのうち、ポリシIDが“0011”、“0012”、“0021”、“0032”、“0042”の各アクセス制御ポリシの適用条件部の値が「偽(FALSE)」になるために、これらアクセス制御ポリシは適用候補から外される。残りのアクセス制御ポリシの適用条件部を検査すると、これらの評価を完了させるためには、アクセス対象リソースのリソース属性“分類”と“機密性”と“作成元”そして、アクセス要求したアクセス者のアクセス者属性“所属部署”が必要であることがわかる。よってポリシ評価部32は、これらのアクセス属性をリソース属性管理部24、アクセス者属性取得部25から取得する。取得結果は、リソース属性“分類”の値“販売情報”、同“機密性”の値“1”、同“作成元”の値“総務部”、アクセス者属性“所属部署”の値“営業部”である。残るアクセス制御ポリシそれぞれの適用条件部の該当する変数に、これらのアクセス属性の値を代入して評価すると、ポリシIDが“0002”、“0051”の各アクセス制御ポリシの適用条件部の値が「真(TRUE)」となり、残りのアクセス制御ポリシの適用条件部の値が「偽」となる。そこでポリシ評価部32は、今回のアクセス要求によるアクセスの可否の判定には、ポリシIDが“0002”、“0051”の各アクセス制御ポリシを適用すればよいと判断する。
次に、ポリシ評価部32は、ポリシIDが“0002”、“0051”の各アクセス制御ポリシの各アクセス可否判定部の評価に必要なアクセス属性を特定する。各アクセス可否判定部を検査すると、アクセス者属性“所属部署”と、アクセス環境属性“年月日”と、リソース属性“登録年月日”が必要であることが分かるが、前者2つは既に取得済みであるから、ポリシ評価部32は、リソース属性“登録年月日”をリソース属性管理部24から取得し、その値“2004/2/29”を得る。これらの得られたアクセス属性値を、2つのアクセス制御ポリシそれぞれのアクセス可否判定部の該当する変数に代入して評価すると、アクセス者属性“所属部署”の値“営業部”が{“開発部”,“営業部”,“総務部”}に該当することから、ポリシIDが“0002”のアクセス制御ポリシからは「真」を、また一方のポリシIDが“0051”のアクセス制御ポリシについては、アクセス環境属性“年月日”の値が“2004/3/1”であり、リソース属性「登録年月日」の値“2004/2/29”に“2日間”加えた年月日よりも小さいため、評価結果として「偽」を得る。
上述の通り、ポリシ評価部32は、アクセスに適用すべきアクセス制御ポリシ全てのアクセス可否判定部の評価結果が「真」である場合にのみそのアクセスを許可し、それ以外の場合には拒否するから、今回のケースのアクセス要求によるアクセスは拒否される。
また、第一のリソース保護システム1は、管理するリソースの一部を他のリソース保護システムに複製あるいは移動させて配置するために、アクセス制御ポリシ管理部22において管理する全てのアクセス制御ポリシから、複製あるいは移動させるリソースに対する必要十分なアクセス制御ポリシを自動生成する機能を持つ。そのために、リソース保護システム1は、上述したように、変換する際の条件を含むポリシ変換要求を受信するポリシ変換要求受信部20と、ポリシ変換要求に含まれる変換する際の条件に対応する1ないし複数のアクセス属性の値を収集するアクセス属性値集合取得部29と、アクセス制御ポリシ管理部22において管理する全てのアクセス制御ポリシから、アクセス属性値集合に対応するアクセスに適用される可能性のあるアクセス制御ポリシを抽出してそれらを含むアクセス制御ポリシセット(アクセス制御ポリシ集合)を生成するポリシ絞込み部26と、ポリシ絞込み部26で生成されたアクセス制御ポリシセットに含まれるアクセス制御ポリシのアクセス可否判定部を、アクセス属性値集合を元に事前評価したアクセス制御ポリシセットを生成するポリシ事前評価部27と、ポリシ事前評価部27で生成されたアクセス制御ポリシセットを出力する変換後ポリシ送信部21を、さらに備えている。
次に、本実施形態におけるポリシ変換方法を説明する。図11は本発明に基づくポリシ変換方法の概略を説明するものである。
図11に示したポリシ変換方法では、まず、ポリシ変換要求受信部20においてポリシ変換要求を受信して(ステップS111)、アクセス属性値集合取得部29において、そのポリシ変換要求に対応するアクセス属性の値の集合を取得し(ステップS112)、ポリシ絞込み部26において、取得されたアクセス属性の値の集合を用いて、アクセス制御ポリシ管理部22において管理する全てのアクセス制御ポリシから第二のアクセス制御ポリシセットを生成する(ステップS113)。次に、ポリシ事前評価部27において、第二のアクセス制御ポリシセットから第三のアクセス制御ポリシセットを生成し(ステップS114)、最後に、変換後ポリシ送信部21において、第三のアクセス制御ポリシセットを変換後のアクセス制御ポリシとして変換要求元に返信する(ステップS115)。
ポリシ変換要求受信部20において受信するポリシ変換要求は、変換後のアクセス制御ポリシが適用の対象とするアクセスを特徴付ける、リソースの識別情報あるいは1ないし複数のリソース属性の値、および/あるいは、アクセス者の識別情報あるいは1ないし複数のアクセス者属性の値を含む。アクセス属性値集合取得部29は、ポリシ変換要求にリソースの識別情報が含まれていた場合には、そのリソースの全てのリソース属性の値をリソース属性管理部24から取得し、また、ポリシ変換要求にアクセス者の識別情報が含まれていた場合には、そのアクセス者のアクセス属性の値をアクセス者属性取得部25から取得し、ポリシ変換要求に含まれる他のリソース属性および/あるいはアクセス者属性の値の集合に加えてそれらの取得したリソース属性および/あるいはアクセス属性を、他の機能部、特にポリシ絞込み部26およびポリシ事前評価部27に提供する。
なお、時間経過に伴う属性値の変化を考慮すれば、ポリシの変換時ではなく、実際のアクセス要求受領に対して変換後のポリシを用いたポリシ評価を行う時、すなわちアクセス可否判定を実施する時に最新のアクセス属性の値を用いてアクセス可否を判定する必要のあるアクセス属性も存在する。例えば、モバイルPCからアクセスするような場合、アクセス者の所在位置などのアクセス者属性は、アクセスが実行される時点の値を用いる必要があると考えられる。
そのような配慮をすべきアクセス属性が存在する場合には、あらかじめ、そのようなアクセス属性の種別あるいは名称を実行時評価アクセス属性リストに設定しておき、アクセス属性値集合取得部29は、実行時評価アクセス属性リストに掲載されているアクセス属性については、ポリシ変換要求に指定されていても削除するような機構を設けることによって、これに対応することが可能である。あるいは、アクセス属性値集合取得部29は、リソース属性管理部24、アクセス者属性取得部25からリソース属性あるいはアクセス者属性の値を取得する際にその掲載されているアクセス属性の値は取得しないか取得しても除外する、などの機構を設けることによって、これに対応することが可能である。
また、ポリシを評価してアクセスを制御する装置の機能的制約等によって、ポリシの評価に必要なアクセス属性の値をポリシの評価時に得ることが困難である場合がある。例えば、ICカードなど記憶容量が少なくかつ外部の記憶装置との通信が実用的な時間内に行えないような装置においてアクセス制御を行う場合などが挙げられる。そのような場合には、評価時には入手が困難なアクセス属性の種別あるいは名称をポリシの変換より前に通知しておき、ポリシの変換時において、これらのアクセス属性の値をアクセス属性値集合取得部29において取得するよう構成することで、ポリシ変換を実現できる。
次に、ポリシ絞込み部26における処理、すなわち、ポリシの絞込みと第二のアクセス制御ポリシセットの生成の処理について、図12を用いて説明する。
ポリシ絞込み部26は、アクセス制御ポリシ管理部22において管理される全てのアクセス制御ポリシからなる第一のアクセス制御ポリシセットと、アクセス属性値集合取得部29において収集されたアクセス属性値の集合であるアクセス属性値集合とを入力として、まず、要素が空の第二のアクセス制御ポリシセットを生成し(ステップS121)、
第一のアクセス制御ポリシセットに含まれるアクセス制御ポリシに未処理のものがあるか検査する(ステップS122)。未処理のアクセス制御ポリシが存在しない場合には、ポリシ絞込み部26は、第二のアクセス制御ポリシセットを出力して(ステップS128)、処理を終了する。これに対してステップS122において未処理のアクセス制御ポリシが存在すれば、ポリシ絞込み部26は、その未処理のアクセス制御ポリシの適用条件部にある各変数に、それらの変数に対応するアクセス属性の値がアクセス属性値集合に存在すればこれを代入することによって、その適用条件部を可能な限り評価し(ステップS123)、ステップS123の評価の結果を判定する(ステップS124)。ステップS123で行った評価の結果として適用不可を示す値が得られた場合には、ステップS122に戻り、それ以外の場合、すなわち、適用可を示す値が得られた場合、あるいは、変数への代入が不足したために具体的な評価値が得られるまで至らなかった評価途中の述語表現であった場合には、ステップS125に進む。
ステップS125では、ポリシ絞込み部26は、ステップS123での評価結果と同一の値を適用条件部に持つアクセス制御ポリシを第二のアクセス制御ポリシセットから検索する。ステップS123での評価結果と同一の値を適用条件部に持つアクセス制御ポリシが第二のアクセス制御ポリシセットにまだ存在していなかった場合には、ポリシ絞込み部26は、アクセス制御ポリシの適用条件部をその評価結果に置き換えた後に、そのアクセス制御ポリシを第二のアクセス制御ポリシセットに追加し(ステップS127)、その後、ステップS122に戻る。ステップS125において、ステップS123での評価結果と同一の値を適用条件部に持つアクセス制御ポリシが、第二のアクセス制御ポリシセットに既に存在していた場合には、ポリシ絞込み部26は、第二のアクセス制御ポリシセットに存在するアクセス制御ポリシXのアクセス可否条件部を、そのアクセス可否条件部とステップS123での評価結果との論理積からなる述語表現に置き換えた上で(ステップS126)、ステップS122に戻る。
以上の処理は、ステップS122での検査の結果、未処理のアクセス制御ポリシが第一のアクセス制御ポリシセットになくなるまで繰り返され、未処理のアクセス制御ポリシがなくなった時点で制御がステップS128に移行し、第二のアクセス制御ポリシセットが出力されることとなる。
次に、ポリシ事前評価部27における処理、すなわち、第二のアクセス制御ポリシセットから第三のアクセス制御ポリシセットを生成する処理について、図13を用いて説明する。
ポリシ事前評価部27は、ポリシ絞込み部26が生成し出力した第二のアクセス制御ポリシセットと、アクセス属性値集合取得部29において収集されたアクセス属性値の集合であるアクセス属性値集合とを入力として、まず、要素が空の第三のアクセス制御ポリシセットを生成し(ステップS131)、第二のアクセス制御ポリシセットに含まれるアクセス制御ポリシに未処理のものがあるか検査する(ステップS132)。未処理のアクセス制御ポリシが存在しない場合には、ポリシ事前評価部27は、第三のアクセス制御ポリシセットを出力して(ステップS135)、処理を終了する。これに対してステップS132において未処理のアクセス制御ポリシが存在すれば、ポリシ事前評価部27は、未処理のアクセス制御ポリシのアクセス可否条件部にある各変数に、その変数に対応するアクセス属性の値がアクセス属性値集合に存在すればこれを代入してアクセス可否条件部を可能な限り評価し(ステップS133)、アクセス制御ポリシのアクセス可否条件部を、ステップS133での評価結果、すなわちアクセス可否を示す値に置き換えた後にそのアクセス制御ポリシを第三のアクセス制御ポリシセットに追加した上で(ステップS134)、ステップS132に戻る。ステップS134において、変数への代入が不足したために具体的な評価値が得られるまで至らなかった場合には、アクセス制御ポリシのアクセス可否条件部をその評価途中の述語表現に置き換えた後にそのアクセス制御ポリシを第三のアクセス制御ポリシセットに追加するものとする。
以上の処理は、ステップS132での検査の結果、未処理のアクセス制御ポリシが第二のアクセス制御ポリシセットになくなるまで繰り返され、未処理のアクセス制御ポリシがなくなった時点で制御がステップS135に移行し、第三のアクセス制御ポリシセットが出力されることとなる。
変換後ポリシ送信部21は、生成された第三のアクセス制御ポリシセットを出力する際に、そのアクセス制御ポリシセットがどのようなアクセスに対して適用の対象となりうるかを示す情報を関連付けて、そのポリシセットを出力する。例えば、ポリシ変換要求にリソースの識別情報が含まれていた場合には、変換後ポリシ送信部21は、そのリソース識別情報を関連付けて出力し、アクセス者の識別情報が含まれていた場合には、そのアクセス者識別情報を関連付けて出力し、どちらも含まれていなかった場合には、アクセス属性値集合取得部29において取得しポリシ絞込み部26あるいはポリシ事前評価部27において用いられたアクセス属性値集合に対応するアクセス属性値集合識別情報を関連付けて出力する。
以下では、具体的な事例を元に、本実施形態におけるポリシ変換方法、移行方法、評価方法を詳細に説明する。
<事例1>
事例1では、第一のリソース保護システム1からリソースID“4444”を持つリソースを第二のリソース保護システム2に移管させる事例について説明する。このような移管は、例えば、いわゆるファイルサーバ装置などで管理されアクセス制御されているリソースのうち、ごく少数のリソースを、ICカードなどの処理性能や記憶領域に関する制約の厳しい装置に移動もしくは複製し、かつ、元のサーバ上と一貫性のあるポリシに基づいてその移管されたリソースへのアクセスを制御したい、といった場合に相当する。
この事例における第二のリソース保護システム2は、例えば、ICカード装置であって、制約条件が厳しいことにより、図14に示す機能構成を取っている。すなわち、第二のリソース保護システム2は、リソース管理部23、アクセス者属性取得部25、アクセス要求受信部30、リソース提供部31、ポリシ評価部32及びコンテキスト検出部33を備えており、これらの機能部は、第一のリソース保護システム1におけるものと同様の機能と役割を有する。リソース管理部23は、第一のリソース保護システム1から移管されたリソースを管理する。さらに第二のリソース保護システム2は、ポリシセット評価部34、ポリシセット管理部35及びポリシセット受入部36を備えている。第二のリソース保護システム2には、ポリシ変換要求受信部、変換後ポリシ送信部、アクセス制御ポリシ管理部、リソース属性管理部、ポリシ絞込み部、ポリシ事前評価部、ポリシ設定部及びアクセス属性値集合取得部は設けられていない。ポリシセット管理部35は、アクセス制御ポリシセットを格納するものであり、ポリシセット受入部36は、リソース保護システム1からリソースの移管を受ける際にそのリソースに対応するアクセス制御ポリシセットを受信して受け入れ、ポリシセット管理部35に格納する。ポリシセット評価部34は、受信したアクセス要求に対応して、ポリシセット管理部35において管理されるアクセス制御ポリシセットの中からアクセス要求に対応するアクセス制御ポリシセットを特定するとともに、ポリシ評価部32を制御してそのアクセス制御ポリシセットに含まれる個々のアクセス制御ポリシの評価を行う。
第二のリソース保護システム2へのリソースおよびポリシの移管、あるいは、同移管後のアクセス制御の際のシステムの態様の一例について、図6を用いて説明する。第二のリソース保護システム2は、リソースおよびポリシの移管時にはICカード読み取り・書き込み機などを介して第一のリソース保護システム1に接続されて、リソースおよびポリシの移管を受ける。その後、第二のリソース保護システム2は第一のリソース保護システム1から取り外され、他のパーソナルコンピュータ6に接続され、移管されたリソースへのそのパーソナルコンピュータ6からのアクセス要求に対するアクセス制御を行う。
以下では、まず、本事例における第一のリソース保護システム1への適切なポリシ変換要求「リソースID“4444”に関するポリシの変換」に応じた第一のリソース保護システム1におけるポリシの変換処理について説明し、続いて、このようにして生成されたアクセス制御ポリシセットと対応するリソースとを格納した第二のリソース保護システム2におけるそのリソースへのリソース要求を判定する際のポリシ評価方法について説明する。
(ポリシの変換)
第一のリソース保護システム1は、図11に示した手順において、「リソースID“4444”」を指定したポリシ変換要求を受け取る(ステップS111)と、まず、そのリソースに対応する全てのリソース属性の値を収集する(ステップS112)。収集されるリソース属性の値は、図8に示したリソース属性管理テーブル80により、「“名称”=“△△リスト(社内展開用)”、“分類”=“顧客情報”、“機密性”=“2”、“作成元”=“総務部”、“登録年月日”=“2003/10/1”」である。これらリソース属性の値の集合をアクセス属性値集合とし、アクセス制御ポリシ管理部22において管理する全てのアクセス制御ポリシ、すなわち、図1に示したアクセス制御ポリシの一覧10に含まれる全てのアクセス制御ポリシの集合を第一のアクセス制御ポリシセットとし、ポリシの絞込みを行う(ステップS113)。
第一のリソース保護システム1のポリシ絞込み部26におけるポリシの絞込みでは、図12に示す手順により、まず、中身が空の第二のアクセス制御ポリシセットを生成する(ステップS121)。次に、第一のアクセス制御ポリシセットに含まれるアクセス制御ポリシそれぞれについて、順次以下のように処理が行われる。
まず、最初のID=“0001”のアクセス制御ポリシに対する処理を行う。このポリシの適用条件部の各変数に対応するアクセス属性の値がアクセス属性値集合に存在するかどうかを確認すると、変数「(ResourceAttribute“分類”)」すなわち、リソース属性“分類”が該当するため、その値“顧客情報”を代入して評価する。すると、適用条件部は「(AND((EQ“顧客情報”“技術情報”)(EQ(ActionAttribute“種別”)“閲覧”)))」となる。ここで評価を行うと第一のEQ節の評価結果が「偽」となり、AND節全体も「偽」となるから、適用条件部の評価結果は「偽」、すなわち適用不可を示す値となる(ステップS123)。よって、ステップS124からステップS122に戻って、次のポリシの評価に移る。
次のID=“0002”のアクセス制御ポリシに対して同様の代入処理を行うと、その適用条件部は「(AND((EQ“顧客情報”“販売情報”)(EQ(ActionAttribute“種別”)“閲覧”)))」となり、ここで評価を行うと第一のEQ節の評価結果が「偽」となり、AND節全体も「偽」となり、適用条件部の評価結果は「偽」、すなわち適用不可を示す値となる(ステップS123)。よって、このアクセス制御ポリシも適用不可と判定され、次のポリシの評価に移る。
次のID=“0003”のアクセス制御ポリシに対して同様の代入処理を行うと、その適用条件部は「(AND((EQ“顧客情報”“顧客情報”)(OR((EQ(ActionAttribute“種別”)“閲覧”)(EQ(ActionAttribute“種別”)“修正”)))))」となり、ここで評価を行うと第一のEQ節の評価結果は「真」となる。OR節に含まれる残り2つのEQ節は変数の値が未確定であるため評価ができない。よって、該適用条件部の評価結果は、「(OR((EQ(ActionAttribute“種別”)“閲覧”)(EQ(ActionAttribute“種別”)“修正”)))」という述語表現となる(ステップS123)。
ここでは評価結果が適用不可を示す値「偽」ではないため、第二のアクセス制御ポリシセットへの追加候補となる。同様の適用条件部を持つアクセス制御ポリシが第二のアクセス制御ポリシセットに存在しないため(ステップS125)、その評価結果「(OR((EQ(ActionAttribute“種別”)“閲覧”)(EQ(ActionAttribute“種別”)“修正”)))」を適用条件部とし、アクセス可否条件部を元のままの「(OR((EQ(SubjectAttribute“所属部署”)“営業部”)(EQ(SubjectAttribute“所属部署”)“総務部”)))」とするアクセス制御ポリシを第二のアクセス制御ポリシセットに追加する(ステップS127)。
以下、ID=“0011”、“0012”のアクセス制御ポリシについても同様の処理を行うと、双方とも「偽」が得られるため、第二のアクセス制御ポリシセットへの反映はなされない。
次に、ID=“0021”のアクセス制御ポリシに対して同様の代入処理を行おうとするが、その適用条件部「(EQ(ActionAttribute“種別”)“削除”)」に代入可能な変数がないため、そのまま、ステップS123での評価結果となる。評価結果が適用不可を示す値「偽」ではないため、第二のアクセス制御ポリシセットへの追加候補となる。同様の適用条件部を持つアクセス制御ポリシが第二のアクセス制御ポリシセットに存在しないため(ステップS125)、この評価結果「(EQ(ActionAttribute“種別”)“削除”)」を適用条件部とし、アクセス可否条件部を元のままの「(EQ(SubjectAttribute“所属部署”)(ResourceAttribute“作成元”))」とするアクセス制御ポリシを第二のアクセス制御ポリシセットに追加する(ステップS127)。
以下、ID=“0031”、“0032”、“0041”、“0042”のアクセス制御ポリシについても同様の処理を行うが、すべて評価結果として「偽」が得られるため、第二のアクセス制御ポリシセットへの反映はなされない。
最後に、ID=“0051”のアクセス制御ポリシに対して同様の代入処理を行うと、その適用条件部は「(NEQ(SubjectAttribute“所属部署”)“総務部”)」となるが、これ以上評価ができない。よって、適用条件部の評価結果は、「(NEQ(SubjectAttribute“所属部署”)“総務部”)」という述語表現となる(ステップS123)。ここでは評価結果が適用不可を示す値「偽」ではないため、第二のアクセス制御ポリシセットへの追加候補となる。同様の適用条件部を持つアクセス制御ポリシが第二のアクセス制御ポリシセットに存在しないため(ステップS125)、評価結果「(NEQ(SubjectAttribute“所属部署”)“総務部”)」を適用条件部とし、アクセス可否条件部を元のままの「(GT(ContextAttribute“年月日”)(PLUS(ResourceAttribute“登録年月日”)“2日間”))」とするアクセス制御ポリシを第二のアクセス制御ポリシセットに追加する(ステップS127)。
これで未処理のアクセス制御ポリシがなくなったため、ステップS128に移行して、現時点での第二のアクセス制御ポリシセットを出力する。その内容を図15に示す。
以上でポリシ絞込み部26での処理が終わると、ポリシ事前評価部27が、第二のアクセス制御ポリシセットに含まれるアクセス可否条件部の事前評価を行い、第三のアクセス制御ポリシセットの生成(図11のステップS114)を行う。
ポリシ事前評価部27におけるポリシの事前評価では、図13に示す手順より、まず、中身が空の第三のアクセス制御ポリシセットを生成する(ステップS131)。次に、上述した図15に示した内容の第二のアクセス制御ポリシセットに含まれるアクセス制御ポリシそれぞれについて処理を行う。
まず、最初のID=“0003−1A”のアクセス制御ポリシに対する処理を行う。このポリシのアクセス可否条件部の各変数に対応するアクセス属性の値がアクセス属性値集合に存在しないため、代入は一切行われず、評価結果は元のアクセス可否判定部の通りとなる(ステップS133)。よって、そのアクセス制御ポリシをそのまま第三のアクセス制御ポリシセットに追加する(ステップS134)。
次に、ID=“0021−1A”のアクセス制御ポリシのアクセス可否条件部を見ると、「(ResourceAttribute“作成元”)」に対する代入が可能である。代入すると、「(EQ(SubjectAttribute“所属部署”)“総務部”)」となるが、これ以上評価ができない。よって、このアクセス可否条件部の評価結果は、「(EQ(SubjectAttribute“所属部署”)“総務部”)」という述語表現となる(ステップS133)。アクセス制御ポリシのアクセス可否判定部をこの評価結果に置き換えたアクセス制御ポリシを第三のアクセス制御ポリシセットに追加する(ステップS134)。
最後に、ID=“0051−1A”のアクセス制御ポリシに対して同様の代入処理を行うと、そのアクセス可否条件部は「(GT(ContextAttribute“年月日”)“2003/10/3”)」となるが、これ以上評価ができない。よって、アクセス可否条件部の評価結果は、「(GT(ContextAttribute“年月日”)“2003/10/3”)」という述語表現となる(ステップS133)。このアクセス制御ポリシのアクセス可否判定部をこの評価結果に置き換えたアクセス制御ポリシを第三のアクセス制御ポリシセットに追加する(ステップS134)。
これで未処理のアクセス制御ポリシがなくなったため、ステップS135に移行して、現時点での第三のアクセス制御ポリシセットを出力する。その内容を図16に示す。
最後に、このようにして生成された第三のアクセス制御ポリシセットを、ポリシ変換要求において指定されたリソースの識別情報と関連付けて出力する(図11のステップS115)。
以上でポリシの変換処理は終了である。
(ポリシの移行)
以上のようにして生成された第三のアクセス制御ポリシセットの移行は、ポリシ変換要求において指定されたリソースに対応付けて、第二のリソース保護システム2のポリシセット受入部36を介してポリシセット管理部35に第三のアクセス制御ポリシセットを格納することによって完了する。
(ポリシの評価)
次に、ポリシの移行が完了した後、第二のリソース保護システム2に対してそのリソース保護システム2が管理するリソースへのアクセス要求が発生した場合のポリシ評価方法について説明する。この時の、第二のリソース保護システム2のポリシセット管理部35に格納されるアクセス制御ポリシセット群を図17に示す。図17において、アクセス制御ポリシセット170が、上記のポリシ変換によって生成されて格納された、リソースID“4444”に対応するアクセス制御ポリシセットである。アクセス制御ポリシセットに付けられたタグ171は、対応するリソースの識別情報を示している。
第二のリソース保護システム2は、アクセス要求を受けると、ポリシセット評価部34によって、そのアクセス要求がアクセス対象とするリソースの識別情報をキーにして、ポリシセット管理部35に格納されるアクセス制御ポリシセット群の中から対応するアクセス制御ポリシセットを検索し、見つかった場合には、そのアクセス制御ポリシセットに含まれる各アクセス制御ポリシを展開する。ポリシ評価部32は、ポリシセット評価部34により展開されたアクセス制御ポリシ群を用いて、上述したポリシ評価の方法と同様にして評価を行う。
例えば、図9のアクセス者属性管理テーブル90において行98に示されるアクセス者が、第二のリソース保護システム2に対して「リソースID“4444”の閲覧」を要求した場合、アクセス制御ポリシセット170が検索され、そのポリシセット170に含まれる3つのアクセス制御ポリシ(ID=“0003−1B”、“0021−B”、“0051−B”)が展開され、その適用可否が評価される。
アクセス要求が受理された時点で確定しているアクション属性“種別”の値“閲覧”をID=“0021−1B”のアクセス制御ポリシの適用条件部に代入して評価すると、適用不可を示す値「偽」となるため、このアクセス制御ポリシは適用候補から除外される。また、ID=“0003−1B”のアクセス制御ポリシの適用条件部に同じくアクション属性“種別”の値“閲覧”を代入して評価すると、適用可を示す「真」が得られるため、その適用が決定する。残る1つのID=“0051−1B”のアクセス制御ポリシの適用条件部の評価に必要なアクセス属性として、アクセス者属性“所属部署”が特定され、その値“総務部”がアクセス者属性取得部25により取得される。取得した値をそのアクセス制御ポリシの適用条件部の該当する変数に代入すると、「(NEQ“総務部”“総務部”)」となり、その評価結果として「偽」が得られるので、このアクセス制御ポリシも適用不可となる。
適用可能と判定されたID=“0003−1B”のアクセス制御ポリシのアクセス可否条件部の変数「(SubjectAttribute“所属部署”)」に、該当するアクセス者属性“所属部署”の値“総務部”を代入して評価すると、第二のEQ節が「真」となり、このEQ節を含むOR節が「真」となるため、アクセス可否条件部全体の評価値もアクセス可を意味する「真」となる。他に適用対象のアクセス制御ポリシがないため、これをもって、そのアクセス要求によるアクセス、すなわち「リソースID“4444”の閲覧」が許可される。
<事例2>
事例2では、第一のリソース保護システム1から、リソース属性“分類”の値が“技術情報”であり、かつリソース属性“機密性”の値が“3以上”すなわち“3もしくは4もしくは5”であるようなリソースを、第三のリソース保護システム3に移動させる事例について説明する。このような移管は、例えば、企業内文書などのリソースを1つのファイルサーバ装置などで管理しアクセス制御していた状況において、アクセストラフィックの分散などの観点から、管理されるリソースのうちの一部を他の同様かあるいはより小規模のファイルサーバに移動もしくは複製し、かつ、元のサーバ上と一貫性のあるポリシに基づいて、その移管されたリソースへのアクセスを制御したい、といった場合に相当する。
本事例における第三のリソース保護システム3は、第一のリソース保護システム1と同様のファイルサーバ装置の一種であって、図18に示す機能構成を取っている。すなわち、第三のリソース保護システム3は、リソース管理部23、リソース属性管理部24、アクセス者属性取得部25、アクセス要求受信部30、リソース提供部31、ポリシ評価部32及びコンテキスト検出部33を備えており、これらの機能部は、第一のリソース保護システム1におけるものと同様の機能と役割を有する。リソース管理部23は、第一のリソース保護システム1から移管されたリソースを管理し、リソース属性管理部24は第一のリソース保護システム1から移管されたリソースのリソース属性の値を管理する。また、第三のリソース保護システムは、ポリシセット評価部34、ポリシセット管理部35及びポリシセット受入部36を備えており、これらの機能部は、第二のリソース保護システム2におけるものと同様の機能と役割を有する。第三のリソース保護システム2には、ポリシ変換要求受信部、変換後ポリシ送信部、アクセス制御ポリシ管理部、ポリシ絞込み部、ポリシ事前評価部、ポリシ設定部及びアクセス属性値集合取得部は設けられていない。
第三のリソース保護システム3は、図6に示したように、管理用の通信ネットワーク5を介して第一のリソース保護システム1と接続しており、通信ネットワーク5上の通信によってリソースおよびポリシの移管を受ける。また、第三のリソース保護システム3は、多数のパーソナルコンピュータ7が接続している通信ネットワーク5Aとも接続しており、このネットワーク5A上の通信によって、移管されたリソースへのこれらパーソナルコンピュータ7からのアクセス要求を受け付け、そのアクセスの制御を行う。
以下では、まず、本事例における第一のリソース保護システム1への適切なポリシ変換要求「リソース属性“分類”=“技術情報”ANDリソース属性“機密性”={“3”,“4”,“5”}」に応じた、第一のリソース保護システム1におけるポリシの変換処理について説明し、続いて、このように生成されたアクセス制御ポリシセットとリソースとを格納した第三のリソース保護システム3における、そのリソースへのアクセス要求を判定する際のポリシ評価方法について説明する。
(ポリシの変換)
第一のリソース保護システム1は、図11のフローチャートに示す手順により、「リソース属性“分類”=“技術情報”ANDリソース属性“機密性”={“3”,“4”,“5”}」を指定したポリシ変換要求を受け取る(ステップS111)と、これらリソース属性の値の集合をアクセス属性値集合とし、アクセス制御ポリシ管理部22において管理する全てのアクセス制御ポリシ、すなわち、図1に示すアクセス制御ポリシの一覧10に含まれる全てのアクセス制御ポリシの集合を第一のアクセス制御ポリシセットとし、ポリシの絞込み(ステップS113)を行う。
ポリシ絞込み部26におけるポリシの絞込みでは、図12に示す手順において、まず、中身が空の第二のアクセス制御ポリシセットを生成する(ステップS121)。次に、第一のアクセス制御ポリシセットに含まれるアクセス制御ポリシのそれぞれについて、アクセス制御ポリシの適用条件部の各変数に対応するアクセス属性の値がアクセス属性値集合にあればこれを代入して評価し(ステップS123)、評価結果に応じてステップS125もしくはステップS126を実施する。
ステップS123における処理の詳細は、上述した通りであるが、ここでは、リソース属性“機密性”については複数の可能性のある値が指定されているために、ステップS123における、その代入と評価については特別な処理が必要である。すなわち、取りうる値{“3”,“4”,“5”}それぞれについて該当する変数に代入を行って、変数を含む部分述語論理を評価した結果が全て「真」であれば、この変数を含む部分述語論理を「真」と見なし、全て「偽」であれば、この変数を含む部分述語論理を「偽」と見なし、真偽が混在する場合には、評価値が確定しないことから、その変数を変数のままとする必要がある。
この事例の場合、リソース属性“機密性”に対応する変数を含む部分述語論理は全て「(GT(ResourceAttribute“機密性”)2)」であり、リソース属性“機密性”が取りうる値として指定されている{“3”,“4”,“5”}のいずれを代入してもその部分述語論理は「真」を返すことから、評価結果を「真」と見なすことができる。
ステップS123の結果、適用不可の値「偽」を得るアクセス制御ポリシは、ポリシIDとして“0002”、“0003”、“0012”を有する3つのアクセス制御ポリシとなる。
また、本事例の場合、ステップS123における適用条件部の評価の結果、同一の評価結果を得るアクセス制御ポリシが存在する。すなわち、ステップS125における検査の際、評価結果と同一の値を適用条件部に持つアクセス制御ポリシが第二のアクセス制御ポリシセットに存在するために、ステップS126に進む場合がある。具体的には、その1つはポリシIDとして“0032”を有するアクセス制御ポリシである。このアクセス制御ポリシのステップS123による評価結果は、「(EQ(ActionAttribute“種別”)“削除”)」となるが、このとき既に、もともとポリシIDとして“0021”を有していたアクセス制御ポリシが第二のアクセス制御ポリシセットに格納されており、かつ、適用条件部として同一の値「(EQ(ActionAttribute“種別”)“削除”)」を持つ。よって、ポリシID“0032”のアクセス制御ポリシについては、ステップS126に進み、ポリシのアクセス可否条件部「(OR((EQ(SubjectAttribute“役職”)“部長”)(EQ(SubjectAttribute“役職”)“チーフ)))」と、第二のアクセス制御ポリシセットに格納されている旧ポリシID“0021”のアクセス制御ポリシのアクセス可否条件部「(EQ(SubjectAttribute“所属部署”)(ResourceAttribute“作成元”))」の論理積、すなわち、「(AND(OR((EQ(SubjectAttribute“役職”)“部長”)(EQ(SubjectAttribute“役職”)“チーフ”)))(EQ(SubjectAttribute“所属部署”)(ResourceAttribute“作成元”)))」に、第二のアクセス制御ポリシセットに格納されている旧ポリシID“0021”のアクセス制御ポリシのアクセス可否条件部を置き換える。また、同様に、ポリシID“0042”のアクセス制御ポリシに対するステップS123による評価結果も「(EQ(ActionAttribute“種別”)“削除”)」となるため、このアクセス制御ポリシについてもステップS126に進み、このポリシのアクセス可否条件部「(AND((GT(ContextAttribute“時刻”)“09:00”)(LT(ContextAttribute“時刻”)“18:00”)))」と、第二のアクセス制御ポリシセットに格納されている旧ポリシID“0021”のアクセス制御ポリシのアクセス可否条件部「(EQ(SubjectAttribute“所属部署”)(ResourceAttribute“作成元”))」の論理積に、第二のアクセス制御ポリシセットに格納されている旧ポリシID“0021”のアクセス制御ポリシのアクセス可否条件部を置き換える。
また、同様に、ポリシID“0042”のアクセス制御ポリシに対するステップS123による評価結果も「(EQ(ActionAttribute“種別”)“削除”)」となり、やはり、もともとポリシIDとして“0021”を有していたアクセス制御ポリシの適用条件部に一致するために、これらのアクセス可否判定部の論理積、すなわち、「(AND((OR((EQ(SubjectAttribute“役職”)“部長”)(EQ(SubjectAttribute“役職”)“チーフ”)))(EQ(SubjectAttribute“所属部署”)(ResourceAttribute“作成元”))))」に、第二のアクセス制御ポリシセットに格納されている旧ポリシID“0021”のアクセス制御ポリシのアクセス可否条件部を置き換える。
以上の処理により生成された第二のアクセス制御ポリシセットを図19に示す。ここで、ポリシID“0021−2A”を有するアクセス制御ポリシは、上述の通り、第一のアクセス制御ポリシセットにおいて、ポリシID“0021”、“0032”、“0042”を有していたアクセス制御ポリシが併合されたものである。なお、ポリシID“0021−2A”のアクセス制御ポリシは、適用条件部が「(OR((EQ(ActionAttribute“種別”)“閲覧”)(EQ(ActionAttribute“種別”)“修正”)))」であり、ポリシID“0001−2A”とポリシID“0011−2A”の各アクセス制御ポリシの適用条件部の論理和となっている。このような場合には、ポリシID“0021−2A”のアクセス制御ポリシについて、その適用条件部の論理和を構成する各述語論理を適用条件とするアクセス制御ポリシに分割し、それぞれ一致するポリシID“0001−2A”とポリシID“0011−2A”のアクセス制御ポリシに併合してもよい。そのような処理を施した場合の第二のアクセス制御ポリシセットの内容を図20に示す。
ここで、ポリシID“0001−2A”を有するアクセス制御ポリシは、ポリシID“0001−2A”のアクセス制御ポリシと、ポリシID“0021−2A”の一部を併合したもの、また、ポリシID“0011−2A”を有するアクセス制御ポリシは、ポリシID“0011−2A”のアクセス制御ポリシと、ポリシID“0021−2A”の一部を併合したものである。
以上のようにしてポリシ絞込み部26での処理が行われたら、次に、第二のアクセス制御ポリシセットに含まれるアクセス可否条件部の事前評価を行い、第三のアクセス制御ポリシセットの生成(図11のステップS114)を行う。
ポリシ事前評価部27におけるポリシの事前評価では、図13に示す手順により、まず、中身が空の第三のアクセス制御ポリシセットを生成し(ステップS131)、その後、第二のアクセス制御ポリシセットに含まれる各アクセス制御ポリシのアクセス可否条件部の各変数に、該当するアクセス属性値集合の中のアクセス属性の値を代入して評価する(ステップS133)。この事例では、第二のアクセス制御ポリシセットに含まれるすべてのアクセス制御ポリシのアクセス可否条件部の変数に対応するアクセス属性の値がアクセス属性値集合には存在しないため、すべてのアクセス制御ポリシがそのまま第三のアクセス制御ポリシセットに格納されることとなる。
最後に、このようにして生成された第三のアクセス制御ポリシセットを、ポリシ変換要求において指定されたアクセス属性値集合、すなわち、「リソース属性“分類”=“技術情報”ANDリソース属性“機密性”={“3”,“4”,“5”}」と関連付けて出力する(ステップS115)。
以上でポリシの変換処理は終了である。
(ポリシの移行)
上述のようにして生成された第三のアクセス制御ポリシセットの移行は、ポリシ変換要求において指定されたアクセス属性値集合、すなわち、「リソース属性“分類”=“技術情報”ANDリソース属性“機密性”={“3”,“4”,“5”}」に関連付けて、第三のリソース保護システム3のポリシセット受入部36を介して、第三のアクセス制御ポリシセットをポリシセット管理部35に格納し、さらに、移管されるリソースに関するリソース属性の値を、第一のリソース保護システム1のリソース属性管理部24から抽出し、第三のリソース保護システム3のリソース属性管理部24に設定することによって完了する。
(ポリシの評価)
次に、ポリシの移行が完了した後、第三のリソース保護システム3に移管されたリソース、すなわちリソースID“1234”、“2222”をそれぞれ有する2つのリソースのいずれかに対するアクセス要求が発生した場合のポリシ評価方法について説明する。
この時の、第三のリソース保護システム3のポリシセット管理部35に格納されるアクセス制御ポリシセット群を図21に示す。図21において、アクセス制御ポリシセット200が、上記のポリシ変換によって生成されて格納された、リソース群に対応するアクセス制御ポリシセットである。アクセス制御ポリシセットに付けられたタグ201は、アクセス制御ポリシセット200に対応するアクセスを、そのアクセスのアクセス属性の値によって示すものであり、アクセス制御ポリシセット200の生成に用いられたアクセス属性値集合が設定されている。また、この時の第三のリソース保護システム3のリソース属性管理部24の設定状況を図22に示す。リソース属性管理部24のリソース管理テーブル210には、上記の移管された2つのリソースのリソース属性のみが格納されている。
第三のリソース保護システム3は、アクセス要求を受けると、ポリシセット評価部34によって、そのアクセス要求が対象とするリソースのリソース属性の値が、ポリシセット管理部35に格納されるアクセス制御ポリシセット群に関連付けられたアクセス属性値集合に対応する情報と合致するようなアクセス制御ポリシセットを検索し、見つかった場合には、そのアクセス制御ポリシセットに含まれる各アクセス制御ポリシを展開する。そして、ポリシ評価部32が、ポリシセット評価部34により上記のように展開されたアクセス制御ポリシ群を用いて、事例1におけるポリシ評価の方法と同様にして評価を行う。
例えば、図9のアクセス者属性管理テーブル90の行97に示されるアクセス者が、「2003/12/1(月曜)」に、第三のリソース保護システム3に対して「リソースID“2222”の閲覧」を要求した場合、このアクセスが対象とするリソースID“2222”のリソースの各リソース属性の値「“名称”=“□□詳細仕様書”、“分類”=“技術情報”、“機密性”=“5”、“作成元”=“研究部”、“登録年月日”=“2003/1/10”」が取得される。そして、ポリシセット管理部35に格納されるアクセス制御ポリシセットそれぞれに関連付けられたアクセス属性値集合と、取得されたリソース属性の値の集合とを照合した結果、アクセス制御ポリシセット200が抽出、取得され、そのポリシセット200に含まれるアクセス制御ポリシが展開され、その適用可否が評価される。
以降のポリシの評価は、事例1と同様にして、適宜必要なアクセス属性値を取得し、該当する変数に代入し、評価することによって実施される。今回の事例では、まず適用条件部の評価により、それぞれポリシIDが“0011−2B”、“0021−2B”であるアクセス制御ポリシが適用不可と判定される。
残るポリシIDが“0001−2B”、“0031−2B”、“0041−2B”、“0051−2B”であるアクセス制御ポリシのアクセス可否条件部の評価をそれぞれ行うと、ポリシID“0001−2B”のアクセス制御ポリシについて、「(OR((EQ(SubjectAttribute“所属部署”)“研究部”)(EQ(SubjectAttribute“所属部署”)“開発部”)(EQ(SubjectAttribute“所属部署”)“営業部”)))」から「OR((EQ“営業部”“研究部”)(EQ“営業部”“開発部”)(EQ“営業部”“営業部”)))」へ、そして「(OR(FALSE FALSE TRUE))」と評価が進み、結果として「真」となる。また、ポリシID“0031−2B”のポリシについて、「(OR((EQ(SubjectAttribute“所属部署”)(ResourceAttribute“作成元”))(OR((EQ(SubjectAttribute“役職”)“部長”)(EQ(SubjectAttribute“役職”)“チーフ”)))))」から「(OR((EQ“営業部”“研究部”)(OR((EQ“部長”“部長”)(EQ“部長”“チーフ”)))))」、そして「(OR(FALSE(OR(TRUE FALSE))))」と評価が進み、結果として「真」となる。ポリシID“0041−2B”のポリシについて、「(AND((NEQ(ContextAttribute“曜日”)“土”)(NEQ(ContextAttribute“曜日”)“日”)))」から「(AND((NEQ“月”“土”)(NEQ“月”“日”)))」、そして「(AND(TRUE TRUE))」と評価が進み、結果として「真」となり、また、ポリシID“0051−2B”のポリシについて、「(GT(ContextAttribute“年月日”)(PLUS(ResourceAttribute“登録年月日”)“2日間”))」から「(GT“2003/12/1”(PLUS“2003/1/10”“2日間”))」、そして「(GT“2003/12/1”“2003/1/12”)」と評価が進み、結果として「真」となる。
適用可能と判定された全てのアクセス制御ポリシについて、アクセス可否条件部が全て「真」という評価結果を得たため、そのアクセス要求によるアクセス、すなわち「リソースID“2222”の閲覧」が許可される。
なお、本事例において、第三のアクセス制御ポリシセットを第三のリソース保護装置3に格納する際に、第三のアクセス制御ポリシセットが対応するアクセスを規定するものとして、アクセス制御ポリシセットを生成する際のアクセス属性値集合を用いたが、この事例のように移管されるリソースの数が少ない場合には、移管されるリソース、すなわち、アクセス属性値集合に該当したリソースの個々の識別情報を取得し、これを第三のアクセス制御ポリシセットに対応付けて管理するように、リソース保護システムを構成してもよい。そのような場合のポリシ評価の手順は、<事例1>におけるそれと同様となる。
<事例3>
本事例では、事例2と同様に、第一のリソース保護システム1から、リソース属性“分類”の値が“技術情報”であり、かつリソース属性“機密性”の値が“3以上”すなわち“3もしくは4もしくは5”であるようなリソースを、第四のリソース保護システム4に移動させる事例について説明する。ただし、本事例で用いる第四のリソース保護システム4では、別のセキュリティ機構によって、その第四のリソース保護システム4にアクセスしうるアクセス者が、アクセス者属性“所属部署”の値として“開発部”を持ち、かつ、同じくアクセス者属性“役職”の値として“部長”もしくは“チーフ”を持つアクセス者に限定されているとする。よって、「アクセス者属性“所属部署”=“開発部”AND、アクセス者属性“役職”={“部長”,“チーフ”}」を事例2のアクセス属性値集合に追加したものをアクセス属性値集合とする。
このような移管は、例えば、企業内の文書などの全てのリソースを1つのファイルサーバ装置などで管理しアクセス制御していた状況において、アクセストラフィックの分散などの観点から、管理されるリソースのうちの一部を、アクセス者が限定されるファイルサーバ、例えばある特定部署で構築されているLAN環境からのみアクセスが許されるようなファイルサーバに移動もしくは複製し、かつ、元のサーバ上と一貫性のあるポリシに基づいて、その移管されたリソースへのアクセスを制御したい、といった場合に相当する。
本事例における第四のリソース保護システム4は、上記の第三のリソース保護システム3と同様の機能と構成を有する。また、第四のリソース保護システム4は、図6に示すように、管理用の通信ネットワーク5を介して第一のリソース保護システム1と接続しており、通信ネットワーク5上の通信によってリソースおよびポリシの移管を受ける。また、第四のリソース保護システム4は、“開発部”に所属し、かつ、“役職”が“部長”あるいは“チーフ”である利用者が使用するパーソナルコンピュータ7Aが接続している通信ネットワーク5Bとも接続しており、ネットワーク5B上の通信によって、パーソナルコンピュータ7Aから、その移管されたリソースへのアクセス要求を受け付け、そのアクセスの制御を行う。
以下では、まず、本事例における第一のリソース保護システム1への適切なポリシ変換要求「リソース属性“分類”=“技術情報”ANDリソース属性“機密性”={“3”,“4”,“5”}ANDアクセス者属性“所属部署”=“開発部”ANDアクセス者属性“役職”={“部長”,“チーフ”}」に応じた、第一のリソース保護システム1におけるポリシの変換処理について説明し、続いて、このように生成されたアクセス制御ポリシセットとリソースとを格納した第四のリソース保護システム4における、そのリソースへのアクセス要求を判定する際のポリシ評価方法について説明する。
(ポリシの変換)
第一のリソース保護システム1は、「リソース属性“分類”=“技術情報”ANDリソース属性“機密性”={“3”,“4”,“5”}ANDアクセス者属性“所属部署”=“開発部”ANDアクセス者属性“役職”={“部長”,“チーフ”}」を指定したポリシ変換要求を受け取る(図11のステップS111)と、これらリソース属性の値の集合をアクセス属性値集合とし、アクセス制御ポリシ管理部22において管理する全てのアクセス制御ポリシ、すなわち、図1に示すアクセス制御ポリシの一覧10に含まれる全てのアクセス制御ポリシの集合を第一のアクセス制御ポリシセットとし、ポリシの絞込み(ステップS113)を行う。
ポリシ絞込み部26におけるポリシの絞込みでは、図12の手順により、まず、中身が空の第二のアクセス制御ポリシセットを生成する(ステップS121)。次に、第一のアクセス制御ポリシセットに含まれるアクセス制御ポリシのそれぞれについて、そのアクセス制御ポリシの適用条件部の各変数に対応するアクセス属性の値がアクセス属性値集合にあればこれを代入して評価し(ステップS123)、評価結果に応じてステップS125もしくはステップS126を実施する。
ステップS123における処理の詳細は、上述した通りであり、生成される第二のアクセス制御ポリシセットも事例2において得られたものとほぼ同様であるが、本事例では、アクセス者属性“所属部署”の値が“開発部”と指定されていることから、ポリシID“0051”のアクセス制御ポリシの適用条件部が、事例2のそれと異なっている。すなわち、そのポリシの適用条件部の変数「(SubjectAttribute“所属部署”)」に、入力されたアクセス属性値集合に含まれる「“所属部署”=“開発部”」が代入されるため、適用条件部は、「(NEQ“開発部”(ResourceAttribute“作成元”))」となる。
以上のようにして生成された第二のアクセス制御ポリシセットを図23に示す。
次に、第二のアクセス制御ポリシセットに含まれるアクセス可否条件部の事前評価を行い、第三のアクセス制御ポリシセットの生成(図11のステップS114)を行う。
ポリシ事前評価部27によるポリシの事前評価では、図13に示す手順により、まず、中身が空の第三のアクセス制御ポリシセットを生成し(ステップS131)、その後、第二のアクセス制御ポリシセットに含まれる各アクセス制御ポリシのアクセス可否条件部の各変数に、該当するアクセス属性値集合の中のアクセス属性の値を代入して評価する(ステップS133)。
今回の事例では、第二のアクセス制御ポリシセットに含まれるアクセス制御ポリシのアクセス可否条件部の変数に対応するアクセス属性の値で、入力されたアクセス属性値集合に存在するものは、「アクセス者属性“所属部署”=“開発部”」と「アクセス者属性“役職”={“部長”,“チーフ”}」であるので、これらをそれぞれのアクセス可否条件部の該当する変数に代入して評価を行う。なお、複数の取りうる値が指定されているアクセス者属性“役職”についての扱いは、上述の事例2のポリシ絞込みステップにおける、リソース属性“機密性”に関する処理と同様である。ただし、この事例の場合、アクセス者属性“役職”に対応する変数を含む部分述語論理には、そのアクセス者属性“役職”が取りうる値として指定されている{“部長”,“チーフ”}のいずれの値が代入されるかによって評価結果が異なるものが存在することから、評価結果として真偽が確定しない述語表現のままとなる部分があることに、注意が必要である。
以下、第二のアクセス制御ポリシセットに含まれるそれぞれのアクセス制御ポリシのアクセス可否判定部の事前評価の様子を見ていく。
まず、ポリシID“0001−3A”のポリシについては、「(OR((EQ(SubjectAttribute“所属部署”)“研究部”)(EQ(SubjectAttribute“所属部署”)“開発部”)(EQ(SubjectAttribute“所属部署”)“営業部”)))」から「OR((EQ“開発部”“研究部”)(EQ“開発部”“開発部”)(EQ“開発部”“営業部”)))」へ、そして「(OR(FALSE TRUE FALSE))」と評価が進み、結果として「真」が得られる。
ポリシID“0011−3A”のポリシについては「(OR((EQ(SubjectAttribute“所属部署”)“研究部”)(EQ(SubjectAttribute“所属部署”)“開発部”)))」から「(OR((EQ“開発部”“研究部”)(EQ“開発部”“開発部”)))」、そして「(OR(FALSE TRUE))」と評価が進み、結果として「真」が得られる。
ポリシID“0021−3A”のポリシについては「(AND((EQ(SubjectAttribute“所属部署”)(ResourceAttribute“作成元”))(OR((EQ(SubjectAttribute“役職”)“部長”)(EQ(SubjectAttribute“役職”“チーフ”)))(AND((GT(ContextAttribute“時刻”)“09:00”)(LT(ContextAttribute“時刻”)“18:00”)))))」から「(AND((EQ“開発部”)(ResourceAttribute“作成元”))(OR((EQ{“部長”,“チーフ”}“部長”)(EQ{“部長”,“チーフ”}“チーフ”)))(AND((GT(ContextAttribute“時刻”)“09:00”)(LT(ContextAttribute“時刻”)“18:00”)))))」と評価が進むが、ここで、部分述語表現「(OR((EQ{“部長”,“チーフ”}“部長”)(EQ{“部長”,“チーフ”}“チーフ”)))」において、上記のような複数の値をとりえるアクセス者属性が指定されていることから、それぞれについて評価を行って見ると、{“部長”,“チーフ”}いずれの値を与えた場合でも、OR節に含まれる述語表現のいずれかが「真」となることから、OR節全体として「真」と評価して良い。よって、このポリシからは、「(AND((EQ“開発部”(ResourceAttribute“作成元”))TRUE(AND((GT(ContextAttribute“時刻”)“09:00”)(LT(ContextAttribute“時刻”)“18:00”)))))」、すなわち、「(AND((EQ“開発部”(ResourceAttribute“作成元”))(AND((GT(ContextAttribute“時刻”)“09:00”)(LT(ContextAttribute“時刻”)“18:00”)))))」という結果を得る。
また、ポリシID“0031−3A”のポリシについては、「(OR((EQ(SubjectAttribute“所属部署”)(ResourceAttribute“作成元”))(OR((EQ(SubjectAttribute“役職”)“部長”)(EQ(SubjectAttribute“役職”)“チーフ”)))))」から「(OR((EQ“開発部”(ResourceAttribute“作成元”))(OR((EQ{“部長”,“チーフ”}“部長”)(EQ{“部長”,“チーフ”}“チーフ”)))))」と評価される。ここでのOR節「(OR((EQ{“部長”,“チーフ”}“部長”)(EQ{“部長”,“チーフ”}“チーフ”)))」も、先と同じようにOR節全体として「真」と評価してよいから、「(OR((EQ“開発部”(ResourceAttribute“作成元”))TRUE))」と評価が進み、結果として「真」を得る。
残りのポリシID“0041−3A”とポリシID“0051−3A”のアクセス制御ポリシについては、変数に対応するアクセス属性の値が定まらないため、評価できない。
以上、第二のアクセス制御ポリシセットに対するポリシ事前評価ステップによるアクセス可否条件部の事前評価を行った結果として生成される第三のアクセス制御ポリシセットは、図24に示すようになる。
最後に、こにょうにして生成された第三のアクセス制御ポリシセットを、ポリシ変換要求において指定されたアクセス属性値集合、すなわち、「リソース属性“分類”=“技術情報”ANDリソース属性“機密性”={“3”,“4”,“5”}」と関連付けて、出力する(図11のステップS115)。
以上でポリシの変換処理は終了である。
(ポリシの移行)
次に、このようにして生成された第三のアクセス制御ポリシセットの移行を行う。第三のアクセス制御ポリシセットの移行は、ポリシ変換要求において指定されたアクセス属性値集合、すなわち、「リソース属性“分類”=“技術情報”ANDリソース属性“機密性”={“3”,“4”,“5”}ANDアクセス者属性“所属部署”=“開発部”ANDアクセス者属性“役職”={“部長”,“チーフ”}」を、生成された第三のアクセス制御ポリシセットに関連付けて、第四のリソース保護システム4に格納することによって行われる。ただし、第四のリソース保護システム4にアクセスしうるアクセス者は、別のセキュリティ機構により既に「アクセス者属性“所属部署”=“開発部”ANDアクセス者属性“役職”={“部長”,“チーフ”}」を満たすことが保障されているため、該当する部分を除いたアクセス属性値集合、すなわち「リソース属性“分類”=“技術情報”ANDリソース属性“機密性”={“3”,“4”,“5”}」を関連付けて格納する。さらに、移管されるリソースに関するリソース属性の値を、第一のリソース保護システム1のリソース属性管理部24から抽出し、第四のリソース保護システム4のリソース属性管理手段24に設定することによって、ポリシの移行が完了する。
(ポリシの評価)
このようにアクセス制御ポリシの移行が完了した後、第四のリソース保護システム4に移管されたリソースに対するアクセス要求が発生した場合のポリシ評価方法は、事例2のそれとほぼ同様であるが、第四のリソース保護システムに対してアクセスしうるアクセス者がアクセス者属性“所属部署”の値として“開発部”を持つものに限られているため、これらのアクセス者属性については、アクセス者属性取得部を用いずとも確定している点で異なる。
この時の、第四のリソース保護システム4のポリシセット管理部35に格納されるアクセス制御ポリシセット群を図25に示す。ここで、アクセス制御ポリシセット240は、移管されたリソース群に対応し、上記のポリシ変換によって生成され格納されたアクセス制御ポリシセットである。アクセス制御ポリシセットに付けられたタグ241は、アクセス制御ポリシセット240に対応するアクセスを、そのアクセスのアクセス属性の値によって示すものである。
第四のリソース保護システム4は、事例2における第三のリソース保護システム3と同様に、アクセス要求を受けると、ポリシセット評価部34によってそのアクセス要求に該当するアクセス制御ポリシセットをポリシセット管理部35から取得し、その中の各アクセス制御ポリシを展開する。そして、ポリシ評価部32が、このように展開されたアクセス制御ポリシ群を用いて、ポリシ評価を行う。
例えば、図9のアクセス者属性管理テーブル90の行99に示されるアクセス者が、「2004/2/29(日曜)」に、第四のリソース保護システム4に対して、「リソースID“1234”の修正」を要求した場合、そのアクセスが対象とするリソースID“1234”のリソースの各リソース属性の値「“名称”=“□□概要書”、“分類”=“技術情報”、“機密性”=“4”、“作成元”=“開発部”、“登録年月日”=“2002/11/1”」が取得される。そして、ポリシセット管理部35に格納されるアクセス制御ポリシセットそれぞれに関連付けられたアクセス属性値集合と、取得されたリソース属性の値の集合とを照合した結果、アクセス制御ポリシセット240が抽出、取得され、そのアクセス制御ポリシセット240に含まれるアクセス制御ポリシが展開され、その適用可否が評価される。
以降のポリシの評価は、事例2と同様にして、適宜必要なアクセス属性値を取得し、該当する変数に代入し、評価することによって実施される。
今回の事例では、まず適用条件部の評価により、それぞれポリシIDが“0001−3B”、“0021−3B”、“0051−3B”であるアクセス制御ポリシが適用不可と判定される。
残るポリシIDが“0011−3B”、“0031−3B”、“0041−3B”であるアクセス制御ポリシのアクセス可否条件部の評価をそれぞれ行うと、ポリシID“0011−3B”のポリシは、既に「真」と評価されている。ポリシID“0031−3B”のポリシについても既に「真」と評価されている。最後に、ポリシID“0041−3B”のポリシについては、「(AND((NEQ(ContextAttribute“曜日”)“土”)(NEQ(ContextAttribute“曜日”)“日”)))」から「(AND((NEQ“日”“土”)(NEQ“日”“日”)))」へ、そして「(AND(TRUE FALSE))」と評価が進み、結果として「偽」となる。
この場合、適用可能と判定されたアクセス制御ポリシのうち1つでアクセス可否条件部が「偽」という評価結果を得たため、そのアクセス要求によるアクセス、すなわち「リソースID“1234”の修正」は拒否されることになる。
以上説明したポリシ変換、ポリシ移行及びポリシ評価は、図7、図14あるいは図18にそれぞれ構成が示された各リソース保護システムにおいて実行されるものであるが、これらのリソース保護システムは、それを実現するための計算機プログラムを、サーバ用コンピュータやパーソナルコンピュータなどの計算機に読み込ませ、そのプログラムを実行させることによっても実現できる。ポリシ変換、ポリシ移行あるいはポリシ評価を行うためのプログラムは、CD−ROMや不揮発性半導体メモリなどの記録媒体によって、あるいはネットワークを介して、計算機に読み込まれる。そのような計算機は、例えば、CPUと、プログラムやデータを格納するための補助記憶装置と、主メモリと、キーボードやマウスなどの入力装置と、液晶ディスプレイなどの表示装置と、CD−ROM等の記録媒体を読み取る読み取り装置と、ネットワークに接続するための通信インタフェースとから構成されている。補助記憶装置、主メモリ、入力装置、表示装置、読み取り装置及び通信インタフェースは、いずれもCPUに接続している。この計算機では、ポリシの変換、移行あるいは評価を行うためのプログラムを格納した記録媒体を読み取り装置に装着し、記録媒体からプログラムを読み出して補助記憶装置に格納し、あるいはそのようなプログラムをネットワークを介して補助記憶装置に格納し、そのように格納されたプログラムをCPUが実行することにより、ポリシの変換、移行あるいは評価が行われることになる。
アクセス制御ポリシの設定例を示す図である アクセス制御ポリシで用いられる述語、関数を一覧として示す図である。 アクセス制御ポリシで用いられる変数を一覧として示す図である。 アクセス制御ポリシで用いられる各種アクセス属性を一覧として示す図である。 アクセス制御ポリシで用いられる文字列シンボル管理テーブルを一覧として示す図である。 ポリシ移行システムの構成例を示すブロック図である。 第一のリソース保護システムの構成を示すブロック図である。 リソース属性管理テーブルを示す図である。 アクセス者属性管理テーブルを示す図である。 アクセス者の有する属性証明書の例を示す図である。 本発明に基づくポリシ変換の処理を示すフローチャートである。 ポリシ絞込み部におけるポリシ絞込みステップの処理を示すフローチャートである。 ポリシ事前評価部におけるポリシ事前評価ステップの処理を示すフローチャートである。 第二のリソース保護システムの構成を示すブロック図である。 第二のアクセス制御ポリシセットの一例を示す図である。 第三のアクセス制御ポリシセットの一例を示す図である。 ポリシ管理部内のアクセス制御ポリシセットを示す図である。 第三のリソース保護システムの構成を示すブロック図である。 第二のアクセス制御ポリシセットの別の例を示す図である。 第二のアクセス制御ポリシセットの別の例を示す図である。 ポリシ管理部内のアクセス制御ポリシセットを示す図である。 第三のリソース保護システムのリソース属性管理テーブルの内容の一例を示す図である。 第二のアクセス制御ポリシセットの別の例を示す図である。 第三のアクセス制御ポリシセットの別の例を示す図である。 ポリシ管理部内のアクセス制御ポリシセットを示す図である。
符号の説明
1〜4 リソース保護システム
5,5A,5B ネットワーク
6,7,7A パーソナルコンピュータ
10 アクセス制御ポリシの一覧
11 ポリシID
12 適用条件部
13 アクセス可否判定部
20 ポリシ変換要求受信部
21 変換後ポリシ送信部
22 アクセス制御ポリシ管理部
23 リソース管理部
24 リソース属性管理部
25 アクセス者属性取得部
26 ポリシ絞込み部
27 ポリシ事前評価部
28 ポリシ設定部
29 アクセス属性値集合取得部
30 アクセス要求受信部
31 リソース提供部
32 ポリシ評価部
33 コンテキスト検出部
34 ポリシセット評価部
35 ポリシセット管理部
36 ポリシセット受入部

Claims (14)

  1. アクセスの可否を判定するための規則であるアクセス制御ポリシを変換するポリシ変換方法であって、
    前記アクセス制御ポリシは、発生しうるアクセスを特徴付けるアクセス属性に対応する変数を任意の数だけ含む述語表現であって、あるアクセスのアクセス属性の値を該当するそれぞれの変数に代入して評価することによって当該アクセスへの前記アクセス制御ポリシの適用可否を示す値が得られる適用条件部と、アクセス属性に対応する変数を任意の数だけ含む述語表現であって、あるアクセスの全てのアクセス属性の値を、該当するそれぞれの変数に代入して評価すると、当該アクセスの可否を示す値が得られるアクセス可否条件部と、から構成され、
    1ないし複数の前記アクセス制御ポリシから構成される第一のアクセス制御ポリシセットと、1ないし複数のアクセス属性の値を含むアクセス属性値集合とを入力として受け取る入力ステップと、
    前記アクセス属性値集合に含まれる各アクセス属性の値を、前記第一のアクセス制御ポリシセットを構成するそれぞれのアクセス制御ポリシの前記適用条件部の該当する変数に代入して前記適用条件部をそれぞれ評価して第一の評価結果を得る第一の評価ステップと、
    前記第一の評価結果として適用不可を示す値が得られたアクセス制御ポリシを前記第一のアクセス制御ポリシセットの中から除いた残りの前記アクセス制御ポリシそれぞれについて、前記適用条件部を前記第一の評価結果で置き換えたアクセス制御ポリシを得て、該得られたアクセス制御ポリシから構成される第二のアクセス制御ポリシセットを生成して出力する第一の生成ステップと、
    前記アクセス属性値集合に含まれる各アクセス属性の値を、前記第一の生成ステップで生成された前記第二のアクセス制御ポリシセットを構成するそれぞれのアクセス制御ポリシのアクセス可否条件部の該当する変数に代入して当該アクセス可否条件部をそれぞれ評価して第二の評価結果を得る第二の評価ステップと、
    前記第二のアクセス制御ポリシセットを構成するアクセス制御ポリシそれぞれについて、前記アクセス可否条件部を前記第二の評価結果に置き換えたアクセス制御ポリシを得て、該得られたアクセス制御ポリシから構成される第三のアクセス制御ポリシセットを生成して出力する第二の生成ステップと、
    前記アクセス属性値集合と前記第三のアクセス制御ポリシセットとを対にして出力する出力ステップと、
    を有するポリシ変換方法。
  2. 前記第一の評価ステップは、当該第一の評価ステップにおいて変数の値が必要なだけ代入されなかったために具体値が確定しなかった場合には、可能な限り評価を施した後の述語表現を得て、該得られた述語表現を前記第一の評価結果とするステップを含み、
    前記第二の評価ステップは、当該第二の評価ステップにおいて変数の値が必要なだけ代入されなかったために具体値が確定しなかった場合には、可能な限り評価を施した後の述語表現を得て、該得られた述語表現を前記第二の評価結果とするステップを含む、請求項1に記載のポリシ変換方法。
  3. 前記第一の生成ステップは、生成した前記第二のアクセス制御ポリシセットに含まれるアクセス制御ポリシの各適用条件部を比較し、適用可否を示す値もしくは述語表現が一致するアクセス制御ポリシが複数あった場合に、前記適用条件部が一致したアクセス制御ポリシの集合それぞれについて、当該一致した適用可否を示す値もしくは述語表現を適用条件部に、当該アクセス制御ポリシの集合に含まれるアクセス制御ポリシそれぞれのアクセス可否条件部の論理積をアクセス可否条件部に持つアクセス制御ポリシに併合した後に、前記第二のアクセス制御ポリシセットを出力するステップである、請求項2に記載のポリシ変換方法。
  4. リソースの識別情報を入力として受け取り、該リソースのリソース属性の値を取得して出力するリソース属性値取得ステップをさらに有し、
    前記第一のアクセス制御ポリシセットと前記リソースの識別情報とを入力として受け取ると、前記リソース属性値取得ステップにおいて、当該リソース識別情報に対応するリソースの1ないし複数のリソース属性の値を取得し、該取得された1ないし複数のリソース属性の値の集合を前記第一の評価ステップ及び前記第二の評価ステップにおいて前記アクセス属性値集合として用い、
    前記出力ステップにおいて、前記リソースの識別情報と前記第三のアクセス制御ポリシセットとを対にして出力する、請求項1ないし3のいずれか1項に記載のポリシ変換方法。
  5. 前記アクセス制御ポリシ内の述語表現において変数として使用される前記アクセス属性のうち、実際のアクセス要求が発生した際の最新の値を取得して評価すべき前記アクセス属性の種別もしくは識別情報の列挙である実行時評価アクセス属性リストを設定する実行時評価アクセス属性リスト設定ステップをさらに有し、
    前記第一の評価ステップ及び前記第二の評価ステップにおいて、それぞれ、入力された前記アクセス属性値集合に含まれるアクセス属性から、前記実行時評価アクセス属性リストに含まれるアクセス属性を除外したアクセス属性値の集合を用いて、前記第一の評価結果及び前記第二の評価結果が求められる、請求項1ないし4のいずれか1項に記載のポリシ変換方法。
  6. 前記リソース属性値取得ステップは、前記第一のアクセス制御ポリシセットに含まれる各アクセス制御ポリシの適用条件部およびアクセス可否条件部の評価に必要な全てのリソース属性のうち、前記実行時評価アクセス属性リストに含まれるアクセス属性を除外したリソース属性の値を取得するステップである、請求項1ないし5のいずれか1項に記載のポリシ変換方法。
  7. 第一のアクセス制御装置で管理される1ないし複数のリソースあるいはその複製を第二のアクセス制御装置に格納する際に、前記格納されたリソースへのアクセスの可否を判定するためのアクセス制御ポリシを生成し、前記第二のアクセス制御装置に設定する方法であって、
    前記第一のアクセス制御装置において、当該第一のアクセス制御装置が使用するアクセス制御ポリシの集合と、前記第二のアクセス制御装置に格納されるべきリソースについての前記第一のアクセス制御装置におけるリソース属性の値の集合を入力として、請求項1ないし6のいずれか1項に記載のポリシ変換方法により前記第三のアクセス制御ポリシセットを生成し、該生成された第三のアクセス制御ポリシセットと、前記第二のアクセス制御装置に格納される、前記リソースの前記第一のアクセス制御装置におけるリソース属性の値の集合に対応する情報を、前記第二のアクセス制御装置に格納される該リソースに対応付けて設定する、ポリシ移行方法。
  8. 第一のアクセス制御装置で管理される1ないし複数のリソースあるいはその複製を第二のアクセス制御装置に格納する際に、前記格納されたリソースへのアクセスの可否を判定するためのアクセス制御ポリシを生成し、前記第二のアクセス制御装置に設定する方法であって、
    前記第一のアクセス制御装置において、当該第一のアクセス制御装置が使用するアクセス制御ポリシの集合と、前記第二のアクセス制御装置に格納されるべきリソースについての前記第一のアクセス制御装置における識別情報を入力として、請求項1ないし6のいずれか1項に記載のポリシ変換方法により前記第三のアクセス制御ポリシセットを生成し、該生成された第三のアクセス制御ポリシセットを、前記第二のアクセス制御装置に格納されるリソースに対応付けて設定する、ポリシ移行方法。
  9. 請求項7または8に記載のポリシ移行方法であって、前記ポリシ変換方法により前記第三のアクセス制御ポリシセットを生成する際に、少なくとも、前記第二のアクセス制御装置では取得できない1ないし複数の前記アクセス属性については、それぞれの前記アクセス属性の値を取得し、当該アクセス属性にそれぞれ対応する変数に代入して該変数を含む述語表現の評価を済ませて前記第三のアクセス制御ポリシセットを生成し、前記第三のアクセス制御ポリシセットを前記第二のアクセス制御装置に格納される前記リソースに対応付けて格納する、ポリシ移行方法。
  10. 請求項1ないし5のいずれか1項に記載のポリシ変換方法に基づき生成された1ないし複数の前記アクセス制御ポリシセットに基づいてリソースへのアクセス可否を判定するポリシ評価方法であって、
    保持する1ないし複数の前記アクセス制御ポリシセットの中から、受け取ったアクセス要求に対応する1ないし複数の前記アクセス制御ポリシセットを抽出する適用アクセス制御ポリシセット特定ステップと、
    1ないし複数のアクセス制御ポリシセットに含まれる全てのアクセス制御ポリシそれぞれの適用条件部の評価に必要なアクセス属性の値を全て取得し、該取得したアクセス属性の値を、前記アクセス制御ポリシそれぞれの適用条件部の該当する変数に代入して当該適用条件部を評価し、適用可否を示す値を取得し、適用可を示す値が得られた1ないし複数のアクセス制御ポリシを抽出する適用アクセス制御ポリシ特定ステップと、
    1ないし複数のアクセス制御ポリシそれぞれのアクセス可否条件部の評価に必要なアクセス属性の値を全て取得し、該取得したアクセス属性の値を、前記アクセス制御ポリシそれぞれのアクセス可否条件部の該当する変数に代入して当該アクセス可否条件部を評価し、アクセスの可否を示す値を取得するポリシ評価ステップと、
    を有し、
    アクセスの要求を受け取ると、前記適用アクセス制御ポリシセット特定ステップにおいて、保持しているアクセス制御ポリシセットの中から当該アクセス要求に対応する1ないし複数のアクセス制御ポリシセットを抽出し、当該適用アクセス制御ポリシセット特定ステップで抽出された1ないし複数のアクセス制御ポリシセットに含まれるアクセス制御ポリシの中から当該アクセス要求に適用すべき1ないし複数のアクセス制御ポリシを抽出し、
    前記ポリシ評価ステップにおいて前記適用アクセス制御ポリシ特定ステップで抽出された1ないし複数のアクセス制御ポリシそれぞれのアクセス可否条件部の評価結果を取得し、全ての評価結果がアクセス可を示す値であった場合にのみ、当該アクセス要求によるアクセスを許可と判定する、ポリシ評価方法。
  11. 前記適用アクセス制御ポリシセット特定ステップは、アクセスの要求が指し示すアクセスのアクセス属性の値を取得して、該取得したアクセス属性の値が、保持する1ないし複数の前記アクセス制御ポリシセットそれぞれに対応付けられたアクセス属性値集合に含まれるか比較することにより、当該アクセス要求に対応する1ないし複数の前記アクセス制御ポリシセットを抽出するステップを有する、請求項10に記載のポリシ評価方法。
  12. 前記適用アクセス制御ポリシセット特定ステップは、アクセスの要求がアクセス対象として指し示すリソースの識別情報を取得し、保持する1ないし複数の前記アクセス制御ポリシセットの中から、該取得したリソースの識別情報が対応付けられている1ないし複数のアクセス制御ポリシセットを抽出するステップを有する、請求項10または11に記載のポリシ評価方法。
  13. 前記適用アクセス制御ポリシセット特定ステップは、アクセスを要求したアクセス者のアクセス者属性の値を取得して、該取得したアクセス者属性の値が、保持する1ないし複数の前記アクセス制御ポリシセットそれぞれに対応付けられたアクセス属性値集合に含まれるか比較することにより、該アクセス要求に対応する1ないし複数の前記アクセス制御ポリシセットを抽出するステップを有する、請求項9ないし11のいずれか1項に記載のポリシ評価方法。
  14. 前記適用アクセス制御ポリシセット特定ステップ、前記適用アクセス制御ポリシ特定ステップおよび前記ポリシ評価ステップにおいて使用する前記アクセス者属性の値が、アクセス者が所有する1ないし複数の属性証明書を用いた属性認証によって取得される、請求項10ないし13のいずれか1項に記載のポリシ変換方法。
JP2004147774A 2004-05-18 2004-05-18 ポリシ変換方法、ポリシ移行方法およびポリシ評価方法 Pending JP2005332049A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004147774A JP2005332049A (ja) 2004-05-18 2004-05-18 ポリシ変換方法、ポリシ移行方法およびポリシ評価方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004147774A JP2005332049A (ja) 2004-05-18 2004-05-18 ポリシ変換方法、ポリシ移行方法およびポリシ評価方法

Publications (1)

Publication Number Publication Date
JP2005332049A true JP2005332049A (ja) 2005-12-02

Family

ID=35486694

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004147774A Pending JP2005332049A (ja) 2004-05-18 2004-05-18 ポリシ変換方法、ポリシ移行方法およびポリシ評価方法

Country Status (1)

Country Link
JP (1) JP2005332049A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009540397A (ja) * 2006-06-02 2009-11-19 マイクロソフト コーポレーション アクセス・チェック機構のネイティブな表現からのセキュリティ・ポリシーの抽出及び変換
JP2010503123A (ja) * 2006-09-08 2010-01-28 マイクロソフト コーポレーション セキュリティ許可照会
JP2011128952A (ja) * 2009-12-18 2011-06-30 Fuji Xerox Co Ltd 情報処理装置およびプログラム
WO2012039178A1 (ja) * 2010-09-22 2012-03-29 インターナショナル・ビジネス・マシーンズ・コーポレーション データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体
US8595256B2 (en) 2009-03-18 2013-11-26 Nec Corporation Policy generation and conversion system, policy distribution system, and method and program therefor
US8656503B2 (en) 2006-09-11 2014-02-18 Microsoft Corporation Security language translations with logic resolution
US8938783B2 (en) 2006-09-11 2015-01-20 Microsoft Corporation Security language expressions for logic resolution
US9698977B2 (en) 2013-01-16 2017-07-04 Mitsubishi Electric Corporation Information processing apparatus, information processing method, and program

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009540397A (ja) * 2006-06-02 2009-11-19 マイクロソフト コーポレーション アクセス・チェック機構のネイティブな表現からのセキュリティ・ポリシーの抽出及び変換
JP2010503123A (ja) * 2006-09-08 2010-01-28 マイクロソフト コーポレーション セキュリティ許可照会
US8584230B2 (en) 2006-09-08 2013-11-12 Microsoft Corporation Security authorization queries
US9282121B2 (en) 2006-09-11 2016-03-08 Microsoft Technology Licensing, Llc Security language translations with logic resolution
US8938783B2 (en) 2006-09-11 2015-01-20 Microsoft Corporation Security language expressions for logic resolution
US8656503B2 (en) 2006-09-11 2014-02-18 Microsoft Corporation Security language translations with logic resolution
US8595256B2 (en) 2009-03-18 2013-11-26 Nec Corporation Policy generation and conversion system, policy distribution system, and method and program therefor
JP2011128952A (ja) * 2009-12-18 2011-06-30 Fuji Xerox Co Ltd 情報処理装置およびプログラム
GB2498142A (en) * 2010-09-22 2013-07-03 Ibm Data distribution device, data distribution system, client device, data distribution method, data reception method, program and recording medium
JP5528560B2 (ja) * 2010-09-22 2014-06-25 インターナショナル・ビジネス・マシーンズ・コーポレーション データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体
WO2012039178A1 (ja) * 2010-09-22 2012-03-29 インターナショナル・ビジネス・マシーンズ・コーポレーション データ配信装置、データ配信システム、クライアント装置、データ配信方法、データ受信方法、プログラムおよび記録媒体
US9501628B2 (en) 2010-09-22 2016-11-22 International Business Machines Corporation Generating a distrubition package having an access control execution program for implementing an access control mechanism and loading unit for a client
GB2498142B (en) * 2010-09-22 2019-01-16 Ibm Data Distribution Apparatus
US9698977B2 (en) 2013-01-16 2017-07-04 Mitsubishi Electric Corporation Information processing apparatus, information processing method, and program

Similar Documents

Publication Publication Date Title
CA2826905C (en) Sharing information between nexuses that use different classification schemes for information access control
JP2022141841A (ja) 分散型台帳を用いて公共のソフトウェアコンポーネント・エコシステムを管理するためのシステムおよび方法
US7574745B2 (en) Information processing apparatus, information processing method, computer-readable medium having information processing program embodied therein, and resource management apparatus
US20160292445A1 (en) Context-based data classification
US11770450B2 (en) Dynamic routing of file system objects
US20060041421A1 (en) Method and system for processing grammar-based legality expressions
US20060230044A1 (en) Records management federation
CN102414677A (zh) 包括自动分类规则的数据分类流水线
WO2019226806A1 (en) Organization based access control system
US20040107214A1 (en) Customized document portfolio system integrating IP libraries and technology documents
JP2005301510A (ja) 情報処理装置、操作許否情報生成方法、操作許否情報生成プログラム及び記録媒体
CN107409040A (zh) 用于推荐数据加密而不影响程序语义的代码分析工具
US11797617B2 (en) Method and apparatus for collecting information regarding dark web
JP2005332049A (ja) ポリシ変換方法、ポリシ移行方法およびポリシ評価方法
JP5430618B2 (ja) 動的アイコンオーバーレイシステムおよび動的オーバーレイを作成する方法
JP2011186769A (ja) コンテンツ管理システム、コンテンツ管理装置、及びアクセス制御方法
US11556661B2 (en) Data access control system and data access control method
KR20100114480A (ko) 문서 관리 시스템
US11860904B2 (en) Determining and propagating high level classifications
US20220043783A1 (en) Method for managing virtual file, apparatus for the same, computer program for the same, and recording medium storing computer program thereof
JP6851758B2 (ja) ラベル管理支援方法、システム
JP2024055189A (ja) 情報処理装置、及び情報処理プログラム
CN116868182A (zh) 可操纵逻辑数据集组的数据处理系统
JP2024063280A (ja) 情報処理方法、情報処理プログラム、情報処理システム、
WO2023056547A1 (en) Data governance system and method