JP2006099779A - 権限管理 - Google Patents
権限管理 Download PDFInfo
- Publication number
- JP2006099779A JP2006099779A JP2005284272A JP2005284272A JP2006099779A JP 2006099779 A JP2006099779 A JP 2006099779A JP 2005284272 A JP2005284272 A JP 2005284272A JP 2005284272 A JP2005284272 A JP 2005284272A JP 2006099779 A JP2006099779 A JP 2006099779A
- Authority
- JP
- Japan
- Prior art keywords
- data
- access
- user
- authority
- rights
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
【課題】本発明は、ユーザに対してデータへのアクセス権限を制限する手段を伴う、データを記憶するためのメモリを備える装置及び方法に関する。
【解決手段】とりわけ、本発明に係る装置は、データに対するアクセス制御のための権限の開示のために、設けられる。例えば、どの人が、即ち認証で与えられるどのユーザ名が現下スーパーアドミニストレータ権限を有するかが、あらゆる人に明白である。アクセス制御の更なる好適な実施形態では、ユーザは、権限の独立した継承が許可される。このようにすることにより、管理者は追加のユーザに権限を割り当てる必要がないので、権限管理は相当程度まで簡素化される。更に、権限を許可することに対し、若しくは権限を失効することに対し管理者が必要とされない権限制御の一時的処理が、設定されている。
【選択図】なし
【解決手段】とりわけ、本発明に係る装置は、データに対するアクセス制御のための権限の開示のために、設けられる。例えば、どの人が、即ち認証で与えられるどのユーザ名が現下スーパーアドミニストレータ権限を有するかが、あらゆる人に明白である。アクセス制御の更なる好適な実施形態では、ユーザは、権限の独立した継承が許可される。このようにすることにより、管理者は追加のユーザに権限を割り当てる必要がないので、権限管理は相当程度まで簡素化される。更に、権限を許可することに対し、若しくは権限を失効することに対し管理者が必要とされない権限制御の一時的処理が、設定されている。
【選択図】なし
Description
本発明は、ユーザに対してデータへのアクセス権限を制限する手段を伴う、データを記憶するためのメモリを備える装置に関する。
データを管理し及び/又は処理する公知の装置、特にデータベースにおいて、データベースに接続するアクセス権限の割り当ては、個別のユーザ若しくは少数のユーザ、特に管理者に対して、あまりに厳しく限定されている、という不利点が指摘されている。最もマイナーな変更であっても、アクセス権限のために、管理者が要求される。このことは操作活動を相当に混乱させてしまい、例えば管理者のための、アクセス権限の割り当てに関連する努力の委任のための要求が存在する。
上述の不利点を背景として、本発明の目的は簡素化され改良された権限の管理及び割り当てに関するシステム及び方法を作成することである。
この目的は、請求項1の特徴を備える一般的装置、及び均等な請求項に係る方法によって、達成される。好適な実施形態は、従属する請求項から生じる。
とりわけ、本発明に係る装置は、データに対するアクセス制御のための権限の開示のために、設けられる。例えば、どの人が、即ち認証で与えられるどのユーザ名が現下スーパーアドミニストレータ権限を有するかが、あらゆる人に明白である。アクセス制御の更なる好適な実施形態では、ユーザは、権限の独立した継承が許可される。このようにすることにより、管理者は追加のユーザに権限を割り当てる必要がないので、権限管理は相当程度まで簡素化される。更に、権限を許可することに対し、若しくは権限を失効することに対し管理者が必要とされない権限制御の一時的処理が、設定されている。
本発明に係る装置は、データ記憶のためのメモリを有する。装置は、例えば、ハードディスク駆動装置の形態で、例えば主メモリ若しくはデータメモリを有する。データは、例えば、装置の中に入力されるデータ、及び、例えば、商業プロセスに繋がるデータを含む。更に、データは、デジタルの形で存在し個別のプロセスに割り当てられ呼び戻し可能なように格納された通信及び書き込みも含む。
更に、ユーザのためのアクセス権限を制限する手段が設けられる。同時に、該手段は、装置上であらゆる人が何でもできるわけではないが、一人ひとりが個々のオブジェクト(ファイル、フォルダ、プリンタ、コンピュータ)への制御されたアクセスが可能となるような、それらオブジェクトに対する許可を保証される、関連するデータベースに繋がる装置を、含んでもよい。例えば、プロセスは、以下のようにアクセス、所謂“認証”の目的のために設計される。ユーザのユーザ名の設定の後、パスワードが入力される。認証が成功したか(アクセスが是認されたか)成功しなかったか(アクセスが禁じられたか)を判定するシステム内の機構は、データベース内に格納され、該機構はユーザの特定番号及びパスワードを把握している。このタイプの認証に加えて、認証が達成される更なる技術的機構が公知であり、例えば、生体測定システム、カード若しくはキーシステムなどである。個別のユーザに加えて、所謂ユーザグループがあってもよく、該ユーザグループにより、特定権限を伴うグループでの統合は、多数のユーザを抱える大規模装置の管理を簡素なものにする。オブジェクト及び資源へのアクセスに加えて、特定の更なる権限が設定可能であり、該権限は特定のオブジェクトに関連するのではなく、ある手順で特定の動作を実行する権限を記述する。これらの権限は“特権”とも呼ばれ、それらはユーザ若しくはグループに割り当てられ得る。
更なる好適な実施形態では、アクセス権限を制限するための手段は、一時的制御のために設けられる。このことによりアクセス権限の一時的割り当て若しくは取り消しが、達成される。例えば、アクセス権限は、例えばパスワードが失効しても一時点でアクセスが不可能になることなく、所定の時間の経過に基づいて、オブジェクト若しくは資源に対して全体的に若しくは部分的に、制限され得る。例えば管理者などの対応する権限を有すれば、ユーザの権限を変更する必要も、特定のユーザグループからユーザを削除する必要も無いのであるから、アクセス権限の管理は相対的に充分に弾力的であり簡素である。
本発明に係る装置の更なる好適な実施形態では、アクセス権限を制限するための手段は、ユーザ、所謂スーパーアドミニストレータがデータへの無制限の権限を保証されるように、設計される。このことは、例えば、このスーパーアドミニストレータ自身がシステムで格納される適用業務データへアクセスする権限を有することを意味する。このことは、例えば装置の評価フェーズにおいて、システムにより管理されるプロセスをモニタするのに、利点がある。
本発明に係る装置の更なる好適な実施形態では、表示のための手段が設けられ、該手段は少なくともユーザとアクセス権限との間の割り当てを示す。例えば、どの人が、即ち認証で与えられるどのユーザ名が現下スーパーアドミニストレータ権限を有するかが、あらゆる人に明白である。このことによって、一方で全ユーザに対してシステムの透明性が増加し、他方で匿名性が無いため許可された権限に関して誤用され得ないことが保証される。誤用に対して保護を更に増加するために、スーパーアドミニストレータの地位に関連する権限が前述のように一時的に制限されてもよい。
更なる好適な実施形態において、アクセス権限を制限するための手段は、無制限の権限を許可されている者は無いというように設計される。即ち、アクセス権限を制限するための手段は、データ、資源及び/又はオブジェクトの全ての部分へのアクセスが許可されることはないように権限に関して制限される。このことにより、例えば進行中の操作において装置に対するデータの安全性は増加する。更に、追加の権限を伴う個別の独立した管理者は、装置の個別の機能領域に特定される。例えば、管理者は、装置によって処理されるフォームを修正し、格納し、削除する授権を有し、一方、例えばアドレスなどの、フォームに書き込まれる情報はこの管理者にはアクセス不可能である。更に、管理者は、データ処理活動が殆ど自動化されるソフトウエア、所謂ワークフローによって制御されるワークプロセスの生成及び修正のみに特定されてもよい。更に、データセットの生成及び修正に対する責務も制限されてもよい。このことにより、管理者の責務及び作業負荷は、部分的な責務を伴う複数の管理者に分散される。
更なる好適な実施形態では、アクセス権限を制限するための手段は、ユーザに対するアクセス権限の独立の継承を可能にするように、設計される。このことにより、管理者は追加のユーザに権限を割り当てる必要がないので、権限管理は相当程度まで簡素化される。例えば、当初のユーザは、当初のユーザから制限された権限を追加のユーザに割り当ててもよく、その権限の一つ又はそれ以上を割り当ててもよく、そのために特定して割り当てられた追加の権限を“移転”してもよい。例えば、会社の組織構成内の特定の下位構成での地位に基づく特定の記憶位置へのアクセス権限を有する当初ユーザは、このアクセスを、このデータで作業できる権限を備えない追加のユーザに移転できる。この所謂“めがね原則”を介して、権限の管理は特に簡素化される。このように許可される権限は、権限あるユーザが目的とされた取り消しを行うことより再び取り消される、若しくは、時間の経過により制限される。
更なる好適な実施形態では、継承された権限がオブジェクトに関連付けられる。このようにすることで、個別のユーザによって実施される権限の継承が、殊に集中されて発生し得る。オブジェクトは、例えば、テーブル、又は、特定のアプリケーションでは個別のレコード、若しくは個別のファイル、テキストも含み、それらは個々のケースで装置の主メモリ内に格納される。このようにすることにより、例えば、装置により電子的に管理されるレコードを有しアクセスする権限を与えられる当初ユーザが、この点で格納されるデータセットを処理し、チームワークのために追加のユーザを是認でき、同様にレコードに取り組むことが、できるようになる。こうすることで、権限の管理は、時間と人員の費用に関して、特に減少される。
更なる好適な実施形態が示され、そこでは、個別のユーザのアクセス権限を会社構成と対応させる。このようにして、権限管理は簡素化され得る。例えば、会社構成の機能単位に所属する、若しくは対応する均等な責務を与えられたユーザは、ユーザグループに統合される。権限が個別のユーザに割り当てられるのではなく対応するユーザがグループに追加される必要があるのみであるから、権限管理に関する管理の費用は減少される。オブジェクト及び資源にアクセスすることに加えて、グループ特定権限は所謂特権を含み、該特権は、ある動作、例えばオブジェクトの生成、例えばビジネスの過程でのファイルトランザクションと内容が結び付くテーブルの生成を実施する授権をある方法で表す。
本発明に係る装置の好適な実施形態では、データはデータベースにより生成され及び/又はデータベースにより管理される。データベースに関して、アクセス権限の効率的な管理が、データベースに関連する相対的に大規模のデータセットのために必要である。この実施形態は、SQL問い合わせ言語(Structured Query Language)を伴うデータベースを含む。SQLは、比較的単純な文法を有し、データセットを操作し(データセットを生成、処理及び削除し)データを問い合わせる関係代数に係るデータ構造を定義する一連のコマンドを、利用可能にする。標準に準じるものとしての役割を介して、SQLは非常に重要である。というのは、利用されるソフトウエアから充分に独立し得るからである。更なる特定の実施形態では、ユーザ及び権限管理は、SQLにより同様に現実化される。
本発明に係る装置の更なる好適な実施形態ではデータベースは分割される。例えば、データベースに属するテーブルが分割される。同時に、テーブルは、空間的に分散されたデータベースにとって特に好適である個別のテーブルのための組織化フォームを含む。データセットは、個別のテーブルにつき多数で、空間的に分散されて分割され、データベース自身のデータベース管理プログラムの制御の下で個々のケースで分散して管理され得る。データベースにアクセスするアプリケーションの観点からは、全てのデータは分割されたテーブルの名前を介して読み取られ、書き込まれ得る。分割されるテーブルに属するインデクスは、独立の基準若しくはテーブル自身などと同一の基準に基づいて、分割され得る。例えば会社構成におけるユーザの地位に基づいて、ユーザが実際にアクセスしなかった他の分割データベース領域へユーザがアクセスを許可されるような、権限の割り当て及び交換を可能にするために、アクセス制御は全てのユーザ及び分割領域を含んでもよい。
本発明に係る装置の更なる好適な実施形態では、データは商業上の知的財産権に関する情報を含む。特に、商業上の知的財産権に関するデータは、本発明に係るシステムがこの分野で特に好適に利用され得るように、データセキュリティの形態で特にアクセス可能出ることが好ましい。例えば、知的財産権が共同出願人として複数の会社で管理されるのならば、この共有オブジェクトに対するアクセスは両方の会社に対して可能とされ得るものである。このことは、ユーザ間の権限継承によってある実施形態で特に容易に達成される。
本発明は、データへのユーザアクセスを制限し及び/又は許可するために、装置から得られる利点をもって上述の装置が利用される方法にも更に、関するものである。
Claims (3)
- データを記録するメモリを伴う装置であって、ユーザのためデータへのアクセス権限を制限する手段を備えることを特徴とする装置。
- データへのアクセスが、ユーザに対して制限され、及び/又は許可されることを特徴とする請求項1に記載の装置を利用する方法。
- 請求項2に記載の方法が格納されたことを特徴とするデータ媒体。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102004047146A DE102004047146A1 (de) | 2004-09-29 | 2004-09-29 | Rechteverwaltung |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006099779A true JP2006099779A (ja) | 2006-04-13 |
Family
ID=36011648
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005284272A Pending JP2006099779A (ja) | 2004-09-29 | 2005-09-29 | 権限管理 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20060070124A1 (ja) |
JP (1) | JP2006099779A (ja) |
DE (1) | DE102004047146A1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AT504214B1 (de) * | 2007-01-03 | 2008-04-15 | Bernhard Hans Peter Dipl Ing D | Verfahren zur dynamischen, datenabhängigen bestimmung und anwendung von berechtigungen in hierarchischen und relationalen umgebungen |
JP4419102B2 (ja) * | 2007-09-03 | 2010-02-24 | 富士ゼロックス株式会社 | 情報管理装置、情報管理システム及び情報管理プログラム |
US8707404B2 (en) | 2009-08-28 | 2014-04-22 | Adobe Systems Incorporated | System and method for transparently authenticating a user to a digital rights management entity |
US8271072B2 (en) * | 2009-10-30 | 2012-09-18 | Medtronic, Inc. | Detecting worsening heart failure |
US10095587B1 (en) * | 2011-12-23 | 2018-10-09 | EMC IP Holding Company LLC | Restricted data zones for backup servers |
DE102012209250A1 (de) * | 2012-05-31 | 2013-12-05 | Protected-Networks.Com Gmbh | Sicherheitssystem |
US9213856B2 (en) * | 2012-12-18 | 2015-12-15 | Sap Se | Role based access management for business object data structures |
US9342672B2 (en) | 2014-01-29 | 2016-05-17 | Dspace Digital Signal Processing And Control Engineering Gmbh | Computer-implemented method for managing at least one data element in control unit development |
US10824751B1 (en) * | 2018-04-25 | 2020-11-03 | Bank Of America Corporation | Zoned data storage and control security system |
US10929556B1 (en) | 2018-04-25 | 2021-02-23 | Bank Of America Corporation | Discrete data masking security system |
CN111767574A (zh) * | 2020-06-28 | 2020-10-13 | 北京天融信网络安全技术有限公司 | 用户权限确定方法、装置、电子设备及可读存储介质 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5796999A (en) * | 1994-04-15 | 1998-08-18 | International Business Machines Corporation | Method and system for selectable consistency level maintenance in a resilent database system |
US5941947A (en) * | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
US5920640A (en) * | 1997-05-16 | 1999-07-06 | Harris Corporation | Fingerprint sensor and token reader and associated methods |
US6182142B1 (en) * | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
US6349310B1 (en) * | 1999-07-06 | 2002-02-19 | Compaq Computer Corporation | Database management system and method for accessing rows in a partitioned table |
US7100195B1 (en) * | 1999-07-30 | 2006-08-29 | Accenture Llp | Managing user information on an e-commerce system |
US20010032312A1 (en) * | 2000-03-06 | 2001-10-18 | Davor Runje | System and method for secure electronic digital rights management, secure transaction management and content distribution |
US20020124188A1 (en) * | 2001-02-20 | 2002-09-05 | Vipadvisor.Com, Inc. | Computing environment for facilitating collaboration between professional service providers and their clients |
US20030084104A1 (en) * | 2001-10-31 | 2003-05-01 | Krimo Salem | System and method for remote storage and retrieval of data |
US7028090B2 (en) * | 2002-05-30 | 2006-04-11 | International Business Machines Corporation | Tokens utilized in a server system that have different access permissions at different access times and method of use |
US7263545B2 (en) * | 2003-02-14 | 2007-08-28 | Convoq, Inc. | System and method for immediate and delayed real-time communication activities using availability data from and communications through an external instant messaging system |
-
2004
- 2004-09-29 DE DE102004047146A patent/DE102004047146A1/de not_active Withdrawn
-
2005
- 2005-09-23 US US11/233,788 patent/US20060070124A1/en not_active Abandoned
- 2005-09-29 JP JP2005284272A patent/JP2006099779A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
DE102004047146A1 (de) | 2006-03-30 |
US20060070124A1 (en) | 2006-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2006099779A (ja) | 権限管理 | |
US10367821B2 (en) | Data driven role based security | |
US8402514B1 (en) | Hierarchy-aware role-based access control | |
JP4759513B2 (ja) | 動的、分散的および協働的な環境におけるデータオブジェクトの管理 | |
DE60301177T2 (de) | Programm, Verfahren und Vorrichtung zum Datenschutz | |
US7290279B2 (en) | Access control method using token having security attributes in computer system | |
US7694336B2 (en) | Aggregated authenticated identity apparatus for and method therefor | |
US20080120302A1 (en) | Resource level role based access control for storage management | |
US20120272063A1 (en) | Method and system for digital rights management of documents | |
US10372483B2 (en) | Mapping tenat groups to identity management classes | |
US8683569B1 (en) | Application access control system | |
US20200394206A1 (en) | Channeling data with decentralized identity stores | |
CN107370604B (zh) | 一种大数据环境下的多粒度访问控制方法 | |
WO2020000797A1 (zh) | 个人档案信息的获取方法及服务器 | |
US20070022091A1 (en) | Access based file system directory enumeration | |
US7774310B2 (en) | Client-specific transformation of distributed data | |
US8995665B1 (en) | Role based encryption without key management system | |
US20180083954A1 (en) | Method, system, login device, and application software unit for logging into docbase management system | |
Aftab et al. | RBAC architecture design issues in institutions collaborative environment | |
JP4723930B2 (ja) | 複合的アクセス認可方法及び装置 | |
US20230028555A1 (en) | Associating decentralized identifiers with one or more devices | |
JP2008243198A (ja) | アクセス権限制御システム | |
CN112199431A (zh) | 一种基于元数据进行数据共享的方法及数据共享系统 | |
Sandhu et al. | Group hierarchies with decentralized user assignment in Windows NT | |
CN114139127A (zh) | 一种计算机系统的权限管理方法 |