JP2006099779A - 権限管理 - Google Patents

権限管理 Download PDF

Info

Publication number
JP2006099779A
JP2006099779A JP2005284272A JP2005284272A JP2006099779A JP 2006099779 A JP2006099779 A JP 2006099779A JP 2005284272 A JP2005284272 A JP 2005284272A JP 2005284272 A JP2005284272 A JP 2005284272A JP 2006099779 A JP2006099779 A JP 2006099779A
Authority
JP
Japan
Prior art keywords
data
access
user
authority
rights
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005284272A
Other languages
English (en)
Inventor
Wolfgang Arndt
ヴォルフガング・アルント
Joachim Bochmann
ヨアヒム・ボッホマン
Frank Scheler
フランク・シェラー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayer Business Services GmbH
Original Assignee
Bayer Business Services GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayer Business Services GmbH filed Critical Bayer Business Services GmbH
Publication of JP2006099779A publication Critical patent/JP2006099779A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】本発明は、ユーザに対してデータへのアクセス権限を制限する手段を伴う、データを記憶するためのメモリを備える装置及び方法に関する。
【解決手段】とりわけ、本発明に係る装置は、データに対するアクセス制御のための権限の開示のために、設けられる。例えば、どの人が、即ち認証で与えられるどのユーザ名が現下スーパーアドミニストレータ権限を有するかが、あらゆる人に明白である。アクセス制御の更なる好適な実施形態では、ユーザは、権限の独立した継承が許可される。このようにすることにより、管理者は追加のユーザに権限を割り当てる必要がないので、権限管理は相当程度まで簡素化される。更に、権限を許可することに対し、若しくは権限を失効することに対し管理者が必要とされない権限制御の一時的処理が、設定されている。
【選択図】なし

Description

本発明は、ユーザに対してデータへのアクセス権限を制限する手段を伴う、データを記憶するためのメモリを備える装置に関する。
データを管理し及び/又は処理する公知の装置、特にデータベースにおいて、データベースに接続するアクセス権限の割り当ては、個別のユーザ若しくは少数のユーザ、特に管理者に対して、あまりに厳しく限定されている、という不利点が指摘されている。最もマイナーな変更であっても、アクセス権限のために、管理者が要求される。このことは操作活動を相当に混乱させてしまい、例えば管理者のための、アクセス権限の割り当てに関連する努力の委任のための要求が存在する。
上述の不利点を背景として、本発明の目的は簡素化され改良された権限の管理及び割り当てに関するシステム及び方法を作成することである。
この目的は、請求項1の特徴を備える一般的装置、及び均等な請求項に係る方法によって、達成される。好適な実施形態は、従属する請求項から生じる。
とりわけ、本発明に係る装置は、データに対するアクセス制御のための権限の開示のために、設けられる。例えば、どの人が、即ち認証で与えられるどのユーザ名が現下スーパーアドミニストレータ権限を有するかが、あらゆる人に明白である。アクセス制御の更なる好適な実施形態では、ユーザは、権限の独立した継承が許可される。このようにすることにより、管理者は追加のユーザに権限を割り当てる必要がないので、権限管理は相当程度まで簡素化される。更に、権限を許可することに対し、若しくは権限を失効することに対し管理者が必要とされない権限制御の一時的処理が、設定されている。
本発明に係る装置は、データ記憶のためのメモリを有する。装置は、例えば、ハードディスク駆動装置の形態で、例えば主メモリ若しくはデータメモリを有する。データは、例えば、装置の中に入力されるデータ、及び、例えば、商業プロセスに繋がるデータを含む。更に、データは、デジタルの形で存在し個別のプロセスに割り当てられ呼び戻し可能なように格納された通信及び書き込みも含む。
更に、ユーザのためのアクセス権限を制限する手段が設けられる。同時に、該手段は、装置上であらゆる人が何でもできるわけではないが、一人ひとりが個々のオブジェクト(ファイル、フォルダ、プリンタ、コンピュータ)への制御されたアクセスが可能となるような、それらオブジェクトに対する許可を保証される、関連するデータベースに繋がる装置を、含んでもよい。例えば、プロセスは、以下のようにアクセス、所謂“認証”の目的のために設計される。ユーザのユーザ名の設定の後、パスワードが入力される。認証が成功したか(アクセスが是認されたか)成功しなかったか(アクセスが禁じられたか)を判定するシステム内の機構は、データベース内に格納され、該機構はユーザの特定番号及びパスワードを把握している。このタイプの認証に加えて、認証が達成される更なる技術的機構が公知であり、例えば、生体測定システム、カード若しくはキーシステムなどである。個別のユーザに加えて、所謂ユーザグループがあってもよく、該ユーザグループにより、特定権限を伴うグループでの統合は、多数のユーザを抱える大規模装置の管理を簡素なものにする。オブジェクト及び資源へのアクセスに加えて、特定の更なる権限が設定可能であり、該権限は特定のオブジェクトに関連するのではなく、ある手順で特定の動作を実行する権限を記述する。これらの権限は“特権”とも呼ばれ、それらはユーザ若しくはグループに割り当てられ得る。
更なる好適な実施形態では、アクセス権限を制限するための手段は、一時的制御のために設けられる。このことによりアクセス権限の一時的割り当て若しくは取り消しが、達成される。例えば、アクセス権限は、例えばパスワードが失効しても一時点でアクセスが不可能になることなく、所定の時間の経過に基づいて、オブジェクト若しくは資源に対して全体的に若しくは部分的に、制限され得る。例えば管理者などの対応する権限を有すれば、ユーザの権限を変更する必要も、特定のユーザグループからユーザを削除する必要も無いのであるから、アクセス権限の管理は相対的に充分に弾力的であり簡素である。
本発明に係る装置の更なる好適な実施形態では、アクセス権限を制限するための手段は、ユーザ、所謂スーパーアドミニストレータがデータへの無制限の権限を保証されるように、設計される。このことは、例えば、このスーパーアドミニストレータ自身がシステムで格納される適用業務データへアクセスする権限を有することを意味する。このことは、例えば装置の評価フェーズにおいて、システムにより管理されるプロセスをモニタするのに、利点がある。
本発明に係る装置の更なる好適な実施形態では、表示のための手段が設けられ、該手段は少なくともユーザとアクセス権限との間の割り当てを示す。例えば、どの人が、即ち認証で与えられるどのユーザ名が現下スーパーアドミニストレータ権限を有するかが、あらゆる人に明白である。このことによって、一方で全ユーザに対してシステムの透明性が増加し、他方で匿名性が無いため許可された権限に関して誤用され得ないことが保証される。誤用に対して保護を更に増加するために、スーパーアドミニストレータの地位に関連する権限が前述のように一時的に制限されてもよい。
更なる好適な実施形態において、アクセス権限を制限するための手段は、無制限の権限を許可されている者は無いというように設計される。即ち、アクセス権限を制限するための手段は、データ、資源及び/又はオブジェクトの全ての部分へのアクセスが許可されることはないように権限に関して制限される。このことにより、例えば進行中の操作において装置に対するデータの安全性は増加する。更に、追加の権限を伴う個別の独立した管理者は、装置の個別の機能領域に特定される。例えば、管理者は、装置によって処理されるフォームを修正し、格納し、削除する授権を有し、一方、例えばアドレスなどの、フォームに書き込まれる情報はこの管理者にはアクセス不可能である。更に、管理者は、データ処理活動が殆ど自動化されるソフトウエア、所謂ワークフローによって制御されるワークプロセスの生成及び修正のみに特定されてもよい。更に、データセットの生成及び修正に対する責務も制限されてもよい。このことにより、管理者の責務及び作業負荷は、部分的な責務を伴う複数の管理者に分散される。
更なる好適な実施形態では、アクセス権限を制限するための手段は、ユーザに対するアクセス権限の独立の継承を可能にするように、設計される。このことにより、管理者は追加のユーザに権限を割り当てる必要がないので、権限管理は相当程度まで簡素化される。例えば、当初のユーザは、当初のユーザから制限された権限を追加のユーザに割り当ててもよく、その権限の一つ又はそれ以上を割り当ててもよく、そのために特定して割り当てられた追加の権限を“移転”してもよい。例えば、会社の組織構成内の特定の下位構成での地位に基づく特定の記憶位置へのアクセス権限を有する当初ユーザは、このアクセスを、このデータで作業できる権限を備えない追加のユーザに移転できる。この所謂“めがね原則”を介して、権限の管理は特に簡素化される。このように許可される権限は、権限あるユーザが目的とされた取り消しを行うことより再び取り消される、若しくは、時間の経過により制限される。
更なる好適な実施形態では、継承された権限がオブジェクトに関連付けられる。このようにすることで、個別のユーザによって実施される権限の継承が、殊に集中されて発生し得る。オブジェクトは、例えば、テーブル、又は、特定のアプリケーションでは個別のレコード、若しくは個別のファイル、テキストも含み、それらは個々のケースで装置の主メモリ内に格納される。このようにすることにより、例えば、装置により電子的に管理されるレコードを有しアクセスする権限を与えられる当初ユーザが、この点で格納されるデータセットを処理し、チームワークのために追加のユーザを是認でき、同様にレコードに取り組むことが、できるようになる。こうすることで、権限の管理は、時間と人員の費用に関して、特に減少される。
更なる好適な実施形態が示され、そこでは、個別のユーザのアクセス権限を会社構成と対応させる。このようにして、権限管理は簡素化され得る。例えば、会社構成の機能単位に所属する、若しくは対応する均等な責務を与えられたユーザは、ユーザグループに統合される。権限が個別のユーザに割り当てられるのではなく対応するユーザがグループに追加される必要があるのみであるから、権限管理に関する管理の費用は減少される。オブジェクト及び資源にアクセスすることに加えて、グループ特定権限は所謂特権を含み、該特権は、ある動作、例えばオブジェクトの生成、例えばビジネスの過程でのファイルトランザクションと内容が結び付くテーブルの生成を実施する授権をある方法で表す。
本発明に係る装置の好適な実施形態では、データはデータベースにより生成され及び/又はデータベースにより管理される。データベースに関して、アクセス権限の効率的な管理が、データベースに関連する相対的に大規模のデータセットのために必要である。この実施形態は、SQL問い合わせ言語(Structured Query Language)を伴うデータベースを含む。SQLは、比較的単純な文法を有し、データセットを操作し(データセットを生成、処理及び削除し)データを問い合わせる関係代数に係るデータ構造を定義する一連のコマンドを、利用可能にする。標準に準じるものとしての役割を介して、SQLは非常に重要である。というのは、利用されるソフトウエアから充分に独立し得るからである。更なる特定の実施形態では、ユーザ及び権限管理は、SQLにより同様に現実化される。
本発明に係る装置の更なる好適な実施形態ではデータベースは分割される。例えば、データベースに属するテーブルが分割される。同時に、テーブルは、空間的に分散されたデータベースにとって特に好適である個別のテーブルのための組織化フォームを含む。データセットは、個別のテーブルにつき多数で、空間的に分散されて分割され、データベース自身のデータベース管理プログラムの制御の下で個々のケースで分散して管理され得る。データベースにアクセスするアプリケーションの観点からは、全てのデータは分割されたテーブルの名前を介して読み取られ、書き込まれ得る。分割されるテーブルに属するインデクスは、独立の基準若しくはテーブル自身などと同一の基準に基づいて、分割され得る。例えば会社構成におけるユーザの地位に基づいて、ユーザが実際にアクセスしなかった他の分割データベース領域へユーザがアクセスを許可されるような、権限の割り当て及び交換を可能にするために、アクセス制御は全てのユーザ及び分割領域を含んでもよい。
本発明に係る装置の更なる好適な実施形態では、データは商業上の知的財産権に関する情報を含む。特に、商業上の知的財産権に関するデータは、本発明に係るシステムがこの分野で特に好適に利用され得るように、データセキュリティの形態で特にアクセス可能出ることが好ましい。例えば、知的財産権が共同出願人として複数の会社で管理されるのならば、この共有オブジェクトに対するアクセスは両方の会社に対して可能とされ得るものである。このことは、ユーザ間の権限継承によってある実施形態で特に容易に達成される。
本発明は、データへのユーザアクセスを制限し及び/又は許可するために、装置から得られる利点をもって上述の装置が利用される方法にも更に、関するものである。

Claims (3)

  1. データを記録するメモリを伴う装置であって、ユーザのためデータへのアクセス権限を制限する手段を備えることを特徴とする装置。
  2. データへのアクセスが、ユーザに対して制限され、及び/又は許可されることを特徴とする請求項1に記載の装置を利用する方法。
  3. 請求項2に記載の方法が格納されたことを特徴とするデータ媒体。

JP2005284272A 2004-09-29 2005-09-29 権限管理 Pending JP2006099779A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004047146A DE102004047146A1 (de) 2004-09-29 2004-09-29 Rechteverwaltung

Publications (1)

Publication Number Publication Date
JP2006099779A true JP2006099779A (ja) 2006-04-13

Family

ID=36011648

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005284272A Pending JP2006099779A (ja) 2004-09-29 2005-09-29 権限管理

Country Status (3)

Country Link
US (1) US20060070124A1 (ja)
JP (1) JP2006099779A (ja)
DE (1) DE102004047146A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT504214B1 (de) * 2007-01-03 2008-04-15 Bernhard Hans Peter Dipl Ing D Verfahren zur dynamischen, datenabhängigen bestimmung und anwendung von berechtigungen in hierarchischen und relationalen umgebungen
JP4419102B2 (ja) * 2007-09-03 2010-02-24 富士ゼロックス株式会社 情報管理装置、情報管理システム及び情報管理プログラム
US8707404B2 (en) 2009-08-28 2014-04-22 Adobe Systems Incorporated System and method for transparently authenticating a user to a digital rights management entity
US8271072B2 (en) * 2009-10-30 2012-09-18 Medtronic, Inc. Detecting worsening heart failure
US10095587B1 (en) * 2011-12-23 2018-10-09 EMC IP Holding Company LLC Restricted data zones for backup servers
DE102012209250A1 (de) * 2012-05-31 2013-12-05 Protected-Networks.Com Gmbh Sicherheitssystem
US9213856B2 (en) * 2012-12-18 2015-12-15 Sap Se Role based access management for business object data structures
US9342672B2 (en) 2014-01-29 2016-05-17 Dspace Digital Signal Processing And Control Engineering Gmbh Computer-implemented method for managing at least one data element in control unit development
US10824751B1 (en) * 2018-04-25 2020-11-03 Bank Of America Corporation Zoned data storage and control security system
US10929556B1 (en) 2018-04-25 2021-02-23 Bank Of America Corporation Discrete data masking security system
CN111767574A (zh) * 2020-06-28 2020-10-13 北京天融信网络安全技术有限公司 用户权限确定方法、装置、电子设备及可读存储介质

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5796999A (en) * 1994-04-15 1998-08-18 International Business Machines Corporation Method and system for selectable consistency level maintenance in a resilent database system
US5941947A (en) * 1995-08-18 1999-08-24 Microsoft Corporation System and method for controlling access to data entities in a computer network
US5920640A (en) * 1997-05-16 1999-07-06 Harris Corporation Fingerprint sensor and token reader and associated methods
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6349310B1 (en) * 1999-07-06 2002-02-19 Compaq Computer Corporation Database management system and method for accessing rows in a partitioned table
US7100195B1 (en) * 1999-07-30 2006-08-29 Accenture Llp Managing user information on an e-commerce system
US20010032312A1 (en) * 2000-03-06 2001-10-18 Davor Runje System and method for secure electronic digital rights management, secure transaction management and content distribution
US20020124188A1 (en) * 2001-02-20 2002-09-05 Vipadvisor.Com, Inc. Computing environment for facilitating collaboration between professional service providers and their clients
US20030084104A1 (en) * 2001-10-31 2003-05-01 Krimo Salem System and method for remote storage and retrieval of data
US7028090B2 (en) * 2002-05-30 2006-04-11 International Business Machines Corporation Tokens utilized in a server system that have different access permissions at different access times and method of use
US7263545B2 (en) * 2003-02-14 2007-08-28 Convoq, Inc. System and method for immediate and delayed real-time communication activities using availability data from and communications through an external instant messaging system

Also Published As

Publication number Publication date
DE102004047146A1 (de) 2006-03-30
US20060070124A1 (en) 2006-03-30

Similar Documents

Publication Publication Date Title
JP2006099779A (ja) 権限管理
US10367821B2 (en) Data driven role based security
US8402514B1 (en) Hierarchy-aware role-based access control
JP4759513B2 (ja) 動的、分散的および協働的な環境におけるデータオブジェクトの管理
DE60301177T2 (de) Programm, Verfahren und Vorrichtung zum Datenschutz
US7290279B2 (en) Access control method using token having security attributes in computer system
US7694336B2 (en) Aggregated authenticated identity apparatus for and method therefor
US20080120302A1 (en) Resource level role based access control for storage management
US20120272063A1 (en) Method and system for digital rights management of documents
US10372483B2 (en) Mapping tenat groups to identity management classes
US8683569B1 (en) Application access control system
US20200394206A1 (en) Channeling data with decentralized identity stores
CN107370604B (zh) 一种大数据环境下的多粒度访问控制方法
WO2020000797A1 (zh) 个人档案信息的获取方法及服务器
US20070022091A1 (en) Access based file system directory enumeration
US7774310B2 (en) Client-specific transformation of distributed data
US8995665B1 (en) Role based encryption without key management system
US20180083954A1 (en) Method, system, login device, and application software unit for logging into docbase management system
Aftab et al. RBAC architecture design issues in institutions collaborative environment
JP4723930B2 (ja) 複合的アクセス認可方法及び装置
US20230028555A1 (en) Associating decentralized identifiers with one or more devices
JP2008243198A (ja) アクセス権限制御システム
CN112199431A (zh) 一种基于元数据进行数据共享的方法及数据共享系统
Sandhu et al. Group hierarchies with decentralized user assignment in Windows NT
CN114139127A (zh) 一种计算机系统的权限管理方法