JP2007004610A - Complex access approval method and device - Google Patents
Complex access approval method and device Download PDFInfo
- Publication number
- JP2007004610A JP2007004610A JP2005185431A JP2005185431A JP2007004610A JP 2007004610 A JP2007004610 A JP 2007004610A JP 2005185431 A JP2005185431 A JP 2005185431A JP 2005185431 A JP2005185431 A JP 2005185431A JP 2007004610 A JP2007004610 A JP 2007004610A
- Authority
- JP
- Japan
- Prior art keywords
- access
- primitive
- authorization
- composite
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、情報システムにおいて管理される情報資源に対するアクセスを制御する方法及び装置に関し、特に、複数の情報資源が関連付けられて管理されており、ユーザ、実行プロセスその他のエンティティが行う単一のアクセス行為によって、これら関連付けられている複数の情報資源がそれぞれの形で影響を及ぼされるような情報システムにおけるアクセスの認可に関する。 The present invention relates to a method and apparatus for controlling access to information resources managed in an information system, and in particular, a plurality of information resources are managed in association with each other, and a single access performed by a user, an execution process, or another entity. It relates to authorization of access in an information system in which an action affects each of these associated information resources in their respective ways.
情報システムにおいては、そのシステムにおいて管理されるデータあるいはプログラムなどの情報資源の機密性や資産価値を維持するために、これら情報資源に対する参照、実行、変更、削除などのアクセスを制御する必要がある。一般に、保護対象にアクセスするものをサブジェクトと呼び、保護対象となる情報資源をオブジェクトと呼ぶ。また、参照、実行、変更、削除などといったアクセス行為の別をアクセス種別と呼ぶこととする。アクセス制御のメカニズムは、一般的に、サブジェクトからのアクセス要求を許可すべきか否かを所定の規則に則って判断するアクセス認可処理と、アクセス認可処理の結果に応じて、サブジェクトからのアクセス要求に対応したオブジェクトに対する操作を実際に行うアクセス強制処理とに分けて考えられる。 In an information system, in order to maintain the confidentiality and asset value of information resources such as data and programs managed in the system, it is necessary to control access to these information resources such as reference, execution, change, and deletion. . In general, an object that accesses a protection target is called a subject, and an information resource that is a protection target is called an object. In addition, access types such as reference, execution, change, and deletion are referred to as access types. The access control mechanism generally includes an access authorization process that determines whether or not an access request from a subject should be permitted according to a predetermined rule, and an access request from a subject according to the result of the access authorization process. This can be divided into access forcible processing that actually performs an operation on the corresponding object.
アクセス認可処理の方式を特徴付ける一つの要素として、サブジェクトの有するアクセス権限、すなわち、サブジェクトと実行を許可するオブジェクトとアクセス種別との組をどのように管理するかという点がある。これは、アクセス権限の管理者による権限付与・修正プロセスの効率性や安全性を左右する極めて重要なファクタである。 One element that characterizes the method of access authorization processing is how to manage a subject's access authority, that is, a set of a subject, an object that is permitted to be executed, and an access type. This is an extremely important factor that determines the efficiency and safety of the authorization / modification process by the administrator of access authority.
古典的なアクセス認可の方式では、各オブジェクトに対して許可される(あるいは拒絶される)サブジェクトとアクセス種別との組を記述するアクセス制御リストをアクセス制御規則として用い、これによってアクセス権限を管理していた。また、UNIX(登録商標)ファイルシステムにおいては、サブジェクトを個々のエンティティではなく、オブジェクトのオーナ(所有者)、オブジェクトのオーナの所属グループ、任意のサブジェクト、という3つに分類して、アクセス制御リストを管理している。 In the classic access authorization method, an access control list that describes a set of subjects and access types allowed (or denied) for each object is used as an access control rule, thereby managing access authority. It was. In the UNIX (registered trademark) file system, subjects are not classified into individual entities, but are classified into three types: an object owner (owner), a group to which the object owner belongs, and an arbitrary subject, and an access control list. Is managing.
しかしこのような古典的な方法では、サブジェクトやオブジェクトの数が多数に上る場合に、サブジェクトの追加や個々のサブジェクトに認めるべき権限レベルの変更、あるいは、オブジェクトの追加や個々のオブジェクトに必要とされる機密レベルの変更などに従って、アクセス制御リストを適正な状態に保つよう修正しつづける管理コストが極めて高くつくことになる。また、この管理コストの高さに起因して、誤った設定がなされて運用される事態が生じるなど、適切なセキュリティを保つのが困難であった。 However, with this classic method, when there are a large number of subjects and objects, it is necessary to add subjects, change the permission level that should be granted to individual subjects, or add objects or individual objects. The management cost of continuing to modify the access control list so as to keep it appropriate according to the change of the confidentiality level becomes extremely high. In addition, due to the high management cost, it is difficult to maintain appropriate security, such as a situation where an incorrect setting is made and the system is operated.
これに対して近年広く採用され始めているのが、サブジェクトやオブジェクトが持つ属性をパラメータとするアクセス制御ポリシをアクセス制御規則として用いたアクセス認可方式である。アクセス制御ポリシは、アクセスを特徴付けるサブジェクト、オブジェクトならびに操作のそれぞれについての属性をパラメータとする述語表現で構成される。例えば、「役職レベル属性がB以上であるようなサブジェクトによる、機密レベル属性の値が10であるようなオブジェクトへの、種別属性が参照であるような操作、というアクセスは許可する」といったことが形式的に記述される。そして、アクセス要求が発生した際には、そのアクセス要求の各種属性の値を同定し、それらの属性値をアクセス制御ポリシの該当するパラメータ部に代入し、その評価結果に応じてアクセス要求の可否を判定する。 On the other hand, in recent years, an access authorization method using an access control policy using an attribute of a subject or object as a parameter as an access control rule has been widely adopted. The access control policy is composed of predicate expressions that use attributes of subjects, objects, and operations that characterize access as parameters. For example, “access to an object whose title level attribute is 10 by a subject whose job level attribute is B or higher is permitted to be an operation whose type attribute is a reference”. Formally described. When an access request occurs, the values of various attributes of the access request are identified, the attribute values are substituted into the corresponding parameter part of the access control policy, and whether or not the access request can be accepted according to the evaluation result Determine.
アクセス制御ポリシによれば、アクセス制御リストのようにオブジェクトやサブジェクト個々の組み合わせに対して許可・拒絶を定義するのではなく、それらを属性という尺度によってグループ化したものの組み合わせに権限を付与するため、権限管理者による管理プロセスが大幅に効率化されるという効果がある。なお、アクセス制御ポリシのフォーマットの例としては、XACML(非特許文献1を参照)などが挙げられる。 According to the access control policy, instead of defining permission / rejection for each combination of objects and subjects like an access control list, authority is given to a combination of those grouped by a measure of attributes. There is an effect that the management process by the authority manager is greatly improved. An example of the access control policy format is XACML (see Non-Patent Document 1).
ところで、情報システムには、複数の情報資源が関連付けられて管理され、ユーザ、実行プロセスその他のエンティティが行う単一のアクセス行為によって、これら関連付けられている複数の情報資源がそれぞれの形で影響を及ぼされるような形態のものが多く存在する。例えば、UNIX(登録商標)ファイルシステムなどに代表される各種のファイルシステムである。これらのファイルシステムでは、ファイルをディレクトリあるいはフォルダの階層関係で構成されるツリー構造のノード上に配置して管理する。ファイルは、具体的な情報コンテント(内容)を含んだ情報資源であり、また、フォルダ(ディレクトリ)もファイル管理上の情報資源である。フォルダとそこに配置されるファイルやフォルダとの関係を親子関係と呼ぶとすれば、任意のフォルダは0以上のファイルやフォルダを子要素として持ち、任意のファイルやフォルダはツリー構造のルートを除きただ1つの親要素を持つ、といったように関連付けて管理されている。 By the way, in an information system, a plurality of information resources are associated and managed, and a plurality of associated information resources are influenced by a single access action performed by a user, an execution process, or other entities. There are many forms that are affected. For example, there are various file systems represented by the UNIX (registered trademark) file system. In these file systems, files are arranged and managed on nodes having a tree structure constituted by a hierarchical relationship of directories or folders. A file is an information resource including specific information content (content), and a folder (directory) is also an information resource for file management. If the relationship between a folder and the files and folders placed in it is called a parent-child relationship, an arbitrary folder has zero or more files or folders as child elements, and an arbitrary file or folder is excluded except for the root of the tree structure. They are managed in association such that they have only one parent element.
ここで、あるファイルのフォルダから別のフォルダへのコピーというアクセスを例にとって考える。このアクセスの実行を要求するサブジェクトから見ると、このアクセスは、コピー対象のファイルをサブジェクトとし、コピーをアクセス種別とする、単独のアトミックな処理と捉えられる。しかし、この要求を完結する上では、コピー対象のファイルだけでなく、そのファイルが当初配置されていたフォルダと、そのファイルがコピーされる先のフォルダに対しても、それぞれ、子要素の読み取り、新たな子要素の作成、という影響を与える。いわば、これら複数のサブジェクトに対して異なる種別の複数のアクセスを一連のトランザクションとして実行していることになる。このようなアクセスを複合的情報資源アクセスあるいは単に複合的アクセスと呼ぶこととする。 Here, consider an example of access of copying a folder of a file to another folder. From the viewpoint of the subject requesting execution of this access, this access can be regarded as a single atomic process in which the file to be copied is the subject and the copy is the access type. However, in completing this request, not only the file to be copied, but also the folder where the file was originally placed and the folder to which the file is copied, This has the effect of creating a new child element. In other words, a plurality of different types of accesses are executed as a series of transactions for the plurality of subjects. Such access is referred to as complex information resource access or simply complex access.
複合的アクセスの認可について、UNIX(登録商標)ファイルシステムでは、コピー元のファイルに対する読み取りの可否と、コピー先のフォルダへの書き込みの可否をそれぞれ評価し、両者がともに可だった場合にのみ、そのオペレーションの実行を許可する、といった制御がなされている。一般化すれば、サブジェクトにより要求された単一の複合的アクセスを、そのアクセスに関与する複数の情報資源それぞれをオブジェクトとする原始的なアクセスに分解し、原始的なアクセスのそれぞれについて、それらのオブジェクトに対応するアクセス制御リストを元に認可を行い、それらの結果に基づいて、当初要求された複合的アクセスの認可を行っている、ということができる。
複数の情報資源が関連付けられて管理される情報システムにおける複合的アクセスの認可の方法としては、上述したようなUNIX(登録商標)ファイルシステムにおける方法が代表的である。しかし、原始的なアクセスの認可で使用されるアクセス制御リストは、既述の通り、サブジェクトやオブジェクトの数が増えるのに応じて、その設定や修正といった管理コストが爆発的に大きくなり、その結果、情報システムあるいはオブジェクトの管理者の負担が極めて高いものとなってしまう。 As a method for authorizing multiple access in an information system in which a plurality of information resources are managed in association with each other, a method in the UNIX (registered trademark) file system as described above is representative. However, as described above, the access control list used for primitive access authorization increases the number of subjects and objects, and the management cost such as setting and modification increases explosively. The burden on the administrator of the information system or object will be extremely high.
このような問題を解決する一つの有効な方法として、分解された原始的なアクセスの認可を行う際に、属性をパラメータとするアクセス制御ポリシをアクセス制御規則として用いることが考えられる。こうすることで、サブジェクトやオブジェクトの数が多くなったとしても、比較的少ない定義量によって管理することが可能である。 As one effective method for solving such a problem, it is conceivable to use an access control policy having an attribute as a parameter as an access control rule when granting decomposed primitive access. In this way, even if the number of subjects and objects increases, it can be managed with a relatively small amount of definition.
しかしながら、たとえこのような改良を行ったとしても、依然として以下のような問題が未解決のまま存在する。 However, even if such an improvement is made, the following problems still remain unsolved.
第一に、従前の技術では、複合的アクセスを原始的なアクセスに分解する手続きは、情報システムのアクセス制御機構に完全に組み込まれてしまっており、柔軟性に欠ける。例えば、先のUNIX(登録商標)ファイルシステムにおけるコピー操作の分解は、そのファイルシステムのアクセス制御機構の内部に実装されている。よって、情報システムの管理者が、アクセス制御規則の管理にかかるコストの削減や、一貫したセキュリティポリシの強制などを目的として、複合的アクセスを分解して原始的アクセスを導き出す規則をその組織固有のものに変更、修正したいとしても、そのようにカスタマイズするのは極めて困難である。 First, in the prior art, the procedure for decomposing complex access into primitive access has been completely incorporated into the access control mechanism of the information system and is inflexible. For example, the decomposition of the copy operation in the previous UNIX (registered trademark) file system is implemented in the access control mechanism of the file system. Therefore, information system managers must establish rules specific to their organizations to decompose complex access and derive primitive access for the purpose of reducing the cost of managing access control rules and enforcing consistent security policies. Even if you want to change or modify something, it is very difficult to customize that way.
第二に、従前の技術では、複合的アクセスを分解して導き出される原始的なアクセスは、当初要求された複合的アクセスに関与する複数の情報資源の中の一つが排他的に選択されオブジェクトとして設定される。そのため、原始的アクセスの認可においては、そのアクセスにおけるオブジェクトとされる情報資源に関する属性はポリシにおいて条件付けられ、判定結果にも反映されるが、同じ複合的アクセスに関与している他の情報資源の属性を反映したきめ細かな認可は実現できない。 Second, in the conventional technology, the primitive access derived by decomposing the complex access is an object in which one of the information resources involved in the originally requested complex access is exclusively selected. Is set. Therefore, in the authorization of primitive access, the attribute related to the information resource that is the object in the access is conditioned in the policy and reflected in the determination result, but other information resources involved in the same complex access are also reflected in the determination result. Fine authorization that reflects attributes cannot be realized.
第三に、従前の技術では、複合的アクセスから原始的なアクセスに分解する際、複合的アクセスの種別のみを元に原始的アクセスの構成、すなわち、アクセス種別とオブジェクトの組を決定するため、複合的アクセスに関与する情報資源の属性、例えば管理主体や機密性、重要性などに応じた柔軟な決定がなされない。このような方法では、情報資源の管理主体の別や情報資源に求められるセキュリティレベルの違いを反映できず、適切な情報資源の保護が困難になる。 Third, in the conventional technology, when decomposing from complex access to primitive access, to determine the configuration of primitive access based only on the type of compound access, that is, the combination of access type and object, A flexible decision is not made according to the attributes of information resources involved in complex access, such as management entity, confidentiality, and importance. In such a method, it is difficult to reflect the information resource management entity and the difference in security level required for the information resource, and it is difficult to protect the information resource appropriately.
本発明は係る点に鑑みてなされたものであり、ユーザ、実行プロセスその他のエンティティが行う単一のアクセス行為に複数の情報資源がそれぞれの関連性をもって関与する形態の情報システムにおいて、情報システムを利用する組織などに応じた柔軟なアクセス制御規則の設定や管理を容易にし、かかるコストを極めて少なくするとともに、アクセスに関与する情報資源の属性に応じたきめ細かなアクセス権限の設定を可能とする、複合的アクセス認可方法及び装置を提供する。 The present invention has been made in view of the above points. In an information system in which a plurality of information resources are involved in a single access action performed by a user, an execution process, or other entities, Makes it easy to set and manage flexible access control rules according to the organization to be used, extremely reduces costs, and enables fine-grained access authority settings according to the attributes of information resources involved in access. A composite access authorization method and apparatus are provided.
本発明の複合的アクセス認可方法は、複数の情報資源が関与する複合的アクセスの要求をサブジェクトから受信した際に、複合的アクセス要求を認可する方法であって、要求された複合的アクセスを第一のアクセスとして、第一のアクセスから、第一のアクセスのアクセス種別に応じて、第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の第二のアクセス(原始的アクセス)を生成する原始的アクセス生成ステップと、生成された第二のアクセスのそれぞれのアクセス種別を、第二のアクセスのオブジェクトの第一のアクセスにおける役割と、第一のアクセスのアクセス種別とに応じて設定する原始的アクセス種別決定ステップと、原始的アクセス生成ステップによって生成され原始的アクセス種別決定ステップによってアクセス種別が設定された一ないし複数の第二のアクセスのそれぞれについて、その第二のアクセスに対応するアクセス制御規則に基づいて認可判定を行う原始的アクセス認可ステップと、原始的アクセス認可ステップにおける認可判定の結果に応じて、要求された複合的アクセスの認可判定を行う総合認可ステップと、を有する。 The composite access authorization method of the present invention is a method for authorizing a composite access request when a composite access request involving a plurality of information resources is received from a subject. As one access, from the first access, one or more second accesses (primitives) using one of a plurality of information resources involved in the first access as an object according to the access type of the first access. The primary access generation step for generating the second access, the respective access types of the generated second access, the role of the second access object in the first access, the access type of the first access, and Primitive access type determination step and the primitive access type determination Primitive access authorization step for performing authorization judgment based on an access control rule corresponding to the second access for each of one or a plurality of second accesses whose access types are set by the step, and primitive access authorization step And a general authorization step for performing authorization judgment of the requested complex access in accordance with the authorization judgment result.
本発明の複合的アクセス認可装置は、複数の情報資源が関与する複合的アクセスの要求をサブジェクトから受信した際に、複合的アクセス要求を認可する複合的アクセス認可装置であって、複合的アクセスの種別ごとにその複合的アクセスに関与する全ての情報資源との関係を示す複合的アクセス定義テーブルと、原始的アクセスの認可に用いられるアクセス制御規則とを保持する情報管理手段と、要求された複合的アクセスを第一のアクセスとして、複合的アクセス定義テーブルを参照して、第一のアクセスから、第一のアクセスのアクセス種別に応じて、第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の原始的アクセスを生成し、生成された原始的アクセスのそれぞれのアクセス種別を、原始的アクセスのオブジェクトの第一のアクセスにおける役割と、第一のアクセスのアクセス種別とに応じて設定し、生成されアクセス種別が設定された一ないし複数の原始的アクセスのそれぞれについて、アクセス制御規則に基づいて認可判定を行い、認可判定の結果に応じて、要求された複合的アクセスの認可判定を行う、認可判定手段と、を有する。 The composite access authorization device of the present invention is a composite access authorization device that authorizes a composite access request when a composite access request involving a plurality of information resources is received from a subject. Information management means holding a composite access definition table showing the relationship with all information resources involved in the composite access for each type, access control rules used for authorization of primitive access, and the requested composite One of the multiple information resources involved in the first access from the first access according to the access type of the first access by referring to the composite access definition table with the primary access as the first access Create one or more primitive accesses with the object as the object, and set the access type of each generated primitive access to the primitive The access object is set according to the role of the first access and the access type of the first access, and is based on the access control rule for each of one or more primitive accesses generated and set with the access type. And an authorization determination unit that performs authorization determination for the requested complex access according to the result of the authorization determination.
本発明の第一の効果は、複合的アクセスの認可において、その複合的アクセスを分解して原始的アクセスを生成する手続きを情報システム個別の要請に応じてシステム管理者が柔軟にカスタマイズできるということにある。その理由は、従前の技術では、複合的アクセスの認可手続きそのものが情報システムの内部のアクセス制御機構に完全に組み込まれており、カスタマイズに際して情報システムに対して大幅な改造を必要としていたのに対し、本発明では、複合的アクセスから生成される原始的アクセスの数や各原始的アクセスのオブジェクトおよびアクセス種別を、生成元となる複合的アクセスの種別に対応付けて設定しておくと、その対応付けに基づいて原始的アクセスを生成し、これらの認可結果に基づいて当初の複合的アクセスの認可を実施するから、情報システムの管理者などが対応付けを書き換えることによって、各組織個別の要請に応じた複合的アクセスの認可を実現できるためである。 The first effect of the present invention is that the system administrator can flexibly customize the procedure for generating the primitive access by decomposing the complex access in response to the request of each information system in the authorization of the complex access. It is in. The reason for this is that in the conventional technology, the authorization procedure for complex access itself is completely incorporated in the access control mechanism inside the information system, and the information system needs to be significantly modified for customization. In the present invention, if the number of primitive accesses generated from compound access, the object and access type of each primitive access are set in association with the compound access type as a generation source, Primitive access is generated on the basis of the authorization, and authorization of the initial composite access is performed based on these authorization results. This is because it is possible to realize authorization for complex access.
このような規則を柔軟に設定、変更できる機構を備えたことは、個々の原始的アクセス単体での実行は許可しないが、それらの組み合わせによる複合的アクセスであれば許可する(例えば、あるファイルの中身の参照は許さないが、それを他の特定のフォルダに複製する操作であれば許す)といった高度な認可判定が可能になるという効果をさらに有する。 The provision of a mechanism that can flexibly set and change such rules does not allow execution of individual primitive accesses alone, but allows complex access by a combination of them (for example, for a certain file) Further, it has an effect of enabling a high level of authorization determination such as allowing the contents to be referred to, but allowing the operation to copy the contents to another specific folder.
本発明の第二の効果は、アクセス制御に組織のセキュリティポリシを反映させるために必要な管理にかかるコストが従前と比べて低減されるということにある。その理由は、本発明では上記のようにして生成される原始的アクセスの認可に用いるアクセス制御規則を、対応付けに基づいて生成される原始的アクセスのサブジェクトおよびオブジェクトの属性に基づいて記述するから、潜在的なサブジェクトやオブジェクトの数が増えたとしても、少ない量のアクセス制御規則で権限を記述、修正できるためである。 The second effect of the present invention is that the cost for management necessary for reflecting the security policy of the organization in the access control is reduced as compared with the prior art. The reason is that in the present invention, the access control rule used for authorization of the primitive access generated as described above is described based on the subject and the object attribute of the primitive access generated based on the correspondence. This is because even if the number of potential subjects and objects increases, authority can be described and modified with a small amount of access control rules.
本発明の第三の効果は、アクセスの認可を従前よりきめ細かい条件で判定できるということにある。その理由は、従前の技術では、原始的アクセスの認可の際に、その原始的アクセスのオブジェクトのみを考慮していたのに対し、本発明では、原始的アクセスのオブジェクトのみならず、その原始的アクセスの生成元となった複合的アクセスに関与している他の情報資源(関連資源情報)の属性をパラメータとしたアクセス制御規則の記述とその評価を行うことが可能になるからである。 The third effect of the present invention is that access authorization can be determined under finer conditions than before. The reason is that, in the prior art, only the object of the primitive access is considered in the authorization of the primitive access, whereas in the present invention, not only the object of the primitive access but the primitive access is considered. This is because it is possible to describe and evaluate access control rules using as parameters the attributes of other information resources (related resource information) involved in the complex access that is the source of the access.
さらに本発明では、そのような他の情報資源をパラメータとしてアクセス制御規則に記述する際には、原始的アクセスにおける当該原始的アクセスのオブジェクトから見た当該関連情報資源の関係を呼称として指し示すようにしてもよい。そのように構成することにより、原始的アクセスに対応するアクセス制御規則を管理者が記述、修正、確認する際に理解がしやすく、また、原始的アクセスの生成元となる複合的アクセスについての知識を持たなくともこれを行うことができるようになり、それによって、そのような作業の効率化が図れる。さらに、異なる複数の複合的アクセスに同一の原始的アクセスおよびアクセス制御規則を対応させることが可能となり、定義量の削減という効果も生ずる。 Furthermore, in the present invention, when describing such other information resources as parameters in the access control rule, the relationship of the related information resources as seen from the object of the primitive access in the primitive access is indicated as a designation. May be. This configuration makes it easier for an administrator to describe, modify, and confirm access control rules corresponding to primitive access, and knowledge of complex access that is the source of primitive access. This can be done without having to have the efficiency of such work. Furthermore, the same primitive access and access control rule can be made to correspond to a plurality of different complex accesses, and the definition amount can be reduced.
本発明の第四の効果は、複合的アクセスに関与する情報資源の特性に応じて、必要な処理効率と安全性を持たせた適切な認可を行うことが可能であるということにある。その理由は、原始的アクセスを、複合的アクセスに関与する情報資源の属性に応じて生成するから、同一のアクセス種別の複合的アクセスであっても、生成される原始的アクセスを異ならせることができる。これによって、例えば、アクセス対象の情報資源群の機密性に関する属性の値に応じて、厳密な判定を行う原始的アクセスおよびアクセス制御規則と、その逆に簡易な原始的アクセスおよびアクセス制御規則を使い分け、情報資源の特性に必要十分な厳密性と高速性をもった認可判定を行うことが可能であるためである。また、サブジェクトの属性に応じたアクセス制御規則の使い分けも可能であり、前述と同様に、複合的アクセスを実行するサブジェクトの信頼性や職位などの特性に応じて認可を効率的にしたり、あるいは厳密にしたりといった適応的な認可を行うことができる。 The fourth effect of the present invention is that appropriate authorization with necessary processing efficiency and security can be performed according to the characteristics of information resources involved in complex access. The reason is that since the primitive access is generated according to the attribute of the information resource involved in the complex access, even the complex access of the same access type may generate different primitive accesses. it can. In this way, for example, primitive access and access control rules that make strict decisions according to the value of the attribute related to the confidentiality of the information resource group to be accessed, and vice versa, simple primitive access and access control rules are used separately. This is because it is possible to make an authorization decision with strictness and high speed necessary and sufficient for the characteristics of the information resource. In addition, it is possible to use different access control rules according to subject attributes. As described above, authorization can be made more efficient according to characteristics such as the reliability and position of subjects that execute complex access, or strictly. Can be used for adaptive authorization.
本発明の第五の効果は、複数の情報管理主体が存在し、それらが管理する情報資源が一つの情報システム上に混在するような状況において、各情報資源の管理者の意図を反映したアクセス制御が容易に実現できるということにある。その理由は、原始的アクセスの認可に使用するアクセス制御規則を原始的アクセスのアクセス対象の情報資源の特性に応じて選定することが可能であり、例えば、その特性として、アクセス対象の情報資源の管理者を用いて定義することによって、情報資源の管理主体に応じたアクセス制御規則の切り替えが可能であるためである。 The fifth effect of the present invention is an access that reflects the intention of the manager of each information resource in a situation where there are a plurality of information management entities and the information resources managed by them are mixed on one information system. It is that control can be realized easily. The reason is that it is possible to select an access control rule to be used for authorization of primitive access according to the characteristics of the information resource to be accessed for primitive access. This is because the access control rules can be switched according to the management subject of the information resource by defining using the administrator.
本発明の第六の効果は、情報資源に対してアクセスする際のインターフェイスが簡素化され、当該情報資源へのアクセスを行うアプリケーションプログラムの設計や実装が容易になるということにある。その理由は、アクセスに関与する全ての情報資源をインターフェイスで指定させるのではなく、アクセスを特徴付けるのに必要最小限の情報資源のみを指定させ、指定されなかった情報資源は指定された情報資源との関連性からアクセス制御機構が機械的、自動的に特定するためである。 A sixth effect of the present invention is that an interface for accessing an information resource is simplified, and an application program for accessing the information resource can be easily designed and implemented. The reason is that not all the information resources involved in access are specified by the interface, but only the minimum information resources necessary for characterizing the access are specified, and the information resources not specified are designated as the specified information resources. This is because the access control mechanism is mechanically and automatically specified from the relationship between the two.
以下、本発明の好適な実施の形態について、図面を参照しながら詳細に説明する。 DESCRIPTION OF EXEMPLARY EMBODIMENTS Hereinafter, preferred embodiments of the invention will be described in detail with reference to the drawings.
(第一の実施形態)
図1は、本発明の実施の一形態のアクセス認可方法が適用される情報システムの全体構成を示すブロック図である。この情報システムは、企業内に設置され、その企業の社員等などが業務の遂行に必要な電子化された文書の共有を図るために使用されるものであるとする。
(First embodiment)
FIG. 1 is a block diagram showing an overall configuration of an information system to which an access authorization method according to an embodiment of the present invention is applied. It is assumed that this information system is installed in a company and is used by an employee or the like of the company to share an electronic document necessary for performing business.
この情報システムは、ファイルサーバ1と複数の利用者端末2と利用者属性管理装置3とが通信ネットワーク4を介して接続するよう構成されている。ファイルサーバ1は、企業秘密や個人情報などの保護すべき情報を含む電子ファイルを保持し、本発明に基づくアクセス制御を行いながら、利用者にこれら電子ファイルへのアクセスを提供する。利用者端末2は、利用者が、ファイルサーバ1によって管理される電子ファイルにアクセスし、その電子ファイルに対する閲覧、登録、削除、更新などの操作を行うために用いる端末である。利用者属性管理装置3は、この情報システムが稼動する企業における社員等の情報を一元管理するものであり、ファイルサーバ1をはじめとするその企業内の各種業務システムに対してそのような情報を提供する。ここでファイルサーバ1、利用者端末2及び利用者属性管理装置3は、通信ネットワーク4を介して相互に通信可能である。
This information system is configured such that a
図2は、ファイルサーバ1の構成を機能ブロックによって示すブロック図である。ファイルサーバ1は、送受信部10、ファイル管理部11、認可判定部12、認証部13、アクセス制御用情報管理部14、属性取得部15及びメンテナンス部16の各機能ブロックから構成されている。これらの機能ブロックの動作は、それぞれ次のようである。
FIG. 2 is a block diagram illustrating the configuration of the
送受信部10は、通信ネットワーク4を介して、利用者端末2や利用者属性管理装置3と通信する機能ブロックであり、利用者端末2からのアクセスの要求を受け付けるとともにそれに対する応答を返したり、利用者属性管理装置3に利用者の属性を問い合わせるとともにその応答を取得したりする。
The transmission /
ファイル管理部11は、電子ファイルをその属性とともに複数記憶し、さらに、その読み出しや書き込み、作成、複製、消去などの操作機能を提供する。本実施形態において、電子ファイルは、階層化されたツリー構造を持つフォルダ(ディレクトリ)のいずれかに属するように管理されており、フォルダにもまた属性が関連付けられて管理されている。フォルダとそこに配置されるファイルやフォルダとの関係を親子関係と呼ぶとすれば、任意のフォルダは0以上のファイルやフォルダを子要素として持ち、任意のファイルやフォルダはツリー構造のルートを除きただ1つの親要素を持つ、といったように関連付けて管理されている。図5は、ファイル管理部11におけるファイルおよびフォルダならびにこれらの階層関係と属性との管理の例を示す。図において、「ID」は、各電子ファイルを一意に特定するための識別子を示し、「種別」は、ファイルなのかフォルダなのかの別を示し、「親フォルダID」は、対象とするフォルダまたはファイルの親要素となるフォルダのIDを示し、「見かけの名称」は、利用者の理解と把握が容易となるように電子ファイルを一覧などで表示する際にIDの代わりに用いられる見掛けの名称を示している。「属性シンボル」は、IDで指定される各フォルダあるいはファイルごとに定義される属性を示し、「属性値」はそのような属性に与えられている属性値を示している。
The
認可判定部12は、ファイルサーバ1において管理される電子ファイルへの利用者によるアクセスの可否を判定する。
The
認証部13は、ファイルサーバ1において管理される電子ファイルへのアクセスを行う利用者の認証を行う。本実施形態では、利用者の認証は、公開鍵証明書を用いた公開鍵暗号に基づく認証によって行なわれるものとし、認証部13は、利用者の公開鍵証明書の正当性を検証するための認証局の公開鍵証明書も保持する。
The
アクセス制御用情報管理部14は、認可判定部12が利用者による電子ファイルへのアクセスの可否を判定する際に判定基準として使用するアクセス制御用情報群を保持し、認可判定部12に提供する。このアクセス制御用情報群については後に詳述する。
The access control
属性取得部15は、認可判定部12が利用者による電子ファイルへのアクセスの可否を判定する際にパラメータとして使用する利用者の属性を、送受信部10を介して利用者属性管理装置3に問い合わせて取得し、認可判定部12に提供する。
The
メンテナンス部16は、システム管理者あるいは情報管理者などが情報システムのセキュリティポリシに基づきアクセス制御用情報管理部14において管理されるアクセス制御用情報群の設定、更新、削除などを行うためのインターフェイスを備えている。
The maintenance unit 16 has an interface for a system administrator or an information manager to set, update, and delete an access control information group managed by the access control
なおこの実施形態では、公開鍵証明書を用いて利用者認証を行う構成を示しているが、本発明は、このような認証の方法に依存するものではなく、例えば、パスワードの照合による認証を用いたりしてもよい。 In this embodiment, a configuration is shown in which user authentication is performed using a public key certificate. However, the present invention does not depend on such an authentication method. For example, authentication based on password verification is performed. It may be used.
図3は、利用者端末2の構成を機能ブロックによって示している。利用者端末2は、送受信部20、指示部21、記憶部22、表示部23、処理部24及び被認証部25から構成されている。これらの各機能ブロックの動作はそれぞれ次のようである。
FIG. 3 shows the configuration of the
送受信部20は、通信ネットワーク4を介してファイルサーバ1と通信するためのものであり、ファイルサーバ1にアクセスの要求を送信するとともに、それに対する応答を取得する。
The transmission /
指示部21は、利用者端末2を使用する利用者からのファイルサーバ1へのアクセスやその結果に対する編集操作などの指示を受け付ける部分であり、具体的にはマウスやキーボードなどから構成される。
The
記憶部22は、ファイルサーバ1から取得した電子ファイルやファイルサーバ1に登録する予定の電子ファイルの内容を記憶するものである。
The
表示部23は、ファイルサーバ1へのアクセス要求に対する応答や、取得した電子ファイル、その他の処理結果を表示して利用者に伝える部分であり、具体的にはCRTや液晶ディスプレイなどの表示装置あるいはスピーカーなどの音声出力装置などで構成される。
The display unit 23 is a part that displays a response to an access request to the
処理部24は、ファイルサーバ1から取得した電子ファイルやファイルサーバ1に登録する予定の電子ファイルを編集あるいは数値計算などのために利用する部分である。
The
被認証部25は、ファイルサーバ1による認証の要求に応じて、利用者端末2を使用する利用者のIDを証明する。前述の通り、本実施形態では公開鍵証明書を用いた認証方式を採用していることから、被認証部25には、利用者の秘密鍵およびこれに対応する公開鍵証明書が保持される。なお、被認証部25のうち利用者の秘密鍵の記憶部分あるいは被認証部25全体を可搬媒体など他の装置に実装して、必要に応じて利用者端末2から切り離せるように構成してもよい。そのような媒体としては、秘密鍵の漏洩によるなりすましなどの被害を予防する観点から、ICカードなどの耐タンパ性を有するものを用いるのが望ましい。
The authenticated
図4は、利用者属性管理装置3の構成を機能ブロックによって示している。利用者属性管理装置3は、送受信部30、利用者属性格納部31及びメンテナンス部32から構成されている。これらの機能ブロックの動作はそれぞれ次のようである。
FIG. 4 shows the configuration of the user
送受信部30は、通信ネットワーク4を介して、ファイルサーバ1と通信するものであり、ファイルサーバ1からの利用者属性の取得要求を受け付け、該当する利用者の属性を利用者属性格納部31から取り出して返却する。利用者属性の取得要求は、利用者の識別子である利用者IDを含むものとする。
The transmission /
利用者属性格納部31は、情報システム内の正規利用者の各種属性の値を、各利用者のIDに対応付けて保持する。
The user
メンテナンス部32は、システム管理者あるいは企業における人事担当者などが利用者属性格納部31において管理される利用者属性の値や利用者のエントリ全体を設定、更新、削除などするために使用する部分である。
The
なお、本実施形態では、利用者の属性を利用者属性管理装置3において一元管理し、利用者の属性を必要とする場合には利用者属性管理装置に問い合わせて取得する構成を示したが、本発明は、このような利用者の属性の管理に依存するものではなく、例えば、利用者ごとにその属性を属性証明書として発行してその利用者に保持させておき、利用者と認証者との間で属性証明書を用いた属性認証を行うことによって、利用者属性管理装置3のような装置を介在させない方法で属性を伝達させてもよい。
In the present embodiment, the user
次に、ファイルサーバ1のアクセス制御用情報管理部14において管理されるアクセス制御用情報群について、より詳細に説明する。アクセス制御用情報管理部14は、アクセス制御用情報として、一つの複合的アクセス定義テーブルと、複数の原始的アクセス導出規則と、複数の原始的アクセス制御規則とを管理する。
Next, the access control information group managed by the access control
図6は、複合的アクセス定義テーブルの定義内容の一部を示す。複合的アクセス定義テーブルは、ファイルサーバ1で定義される複合的アクセスの一覧であり、ファイルサーバ1が利用者端末2に対して公開する情報資源へのアクセスのインターフェイスに相当する。
FIG. 6 shows a part of the definition contents of the composite access definition table. The compound access definition table is a list of compound accesses defined by the
複合的アクセス定義テーブルは、複合的アクセスの種別それぞれについて、一レコードとなっており、各レコードは、そのアクセスの種別を識別する複合的アクセス種別シンボル101と、そのアクセス種別の説明102と、そのアクセス種別に対する役割シンボルリスト103とからなっており、役割シンボルリスト103においては、そのアクセス種別のアクセスに関与する全ての情報資源について、その情報資源をそのアクセスにおいて識別する役割シンボル104と、その情報資源の役割の説明105とが対になってい記載されている。例えば、図6に示す例においてレコード106には、「複製される既存ファイルを示す“copiedFile”という役割シンボルを持つ情報資源と、複製される既存ファイルの親フォルダを示す“srcFolder”という役割シンボルを持つ情報資源と、複製された新規ファイルの親フォルダを示す“destFolder”という役割シンボルを持つ情報資源とが関与する、“copyFile”という複合的アクセス種別シンボルを持ったファイルの複製操作」という複合的アクセスが定義されている。
The composite access definition table has one record for each type of composite access. Each record includes a composite
図7は、本実施形態において用いる原始的アクセス導出規則の定義例を示している。原始的アクセス導出規則は、利用者端末の利用者によりファイルサーバ1に対して試みられた複合的アクセスに対応して複数の原始的アクセスを生成するために用いられる情報であり、複合的アクセス定義テーブルに定義される複合的アクセス種別に対応して定義される。原始的アクセス導出規則は、その原始的アクセス導出規則の適用対象となる複合的アクセスを、複合的アクセス種別により指定する適用対象指定部111と、複合的アクセスから原始的アクセスを導出する規則を定義した単位導出規則を、導出される原始的アクセスの数だけ含む単位導出規則リスト112から構成される。
FIG. 7 shows a definition example of a primitive access derivation rule used in this embodiment. The primitive access derivation rule is information used to generate a plurality of primitive accesses corresponding to the compound access attempted on the
単位導出規則リスト112に含まれる単位導出規則は、それぞれ、導出される原始的アクセスのオブジェクトを導出元である複合的アクセスにおける情報資源の役割シンボルにより指定するオブジェクト指定部113と、その原始的アクセスのアクセス種別を指定する原始的アクセス種別シンボル114と、関連情報資源定義部115との三つ組み構成を取っている。関連情報資源定義部115では、原始的アクセスのオブジェクト以外のものであってその原始的アクセスの認可を行う際に考慮すべき0個以上の情報資源それぞれについて、その原始的アクセスのオブジェクトからの関連を示す関連情報資源シンボル116と、関連情報資源シンボルに対応する情報資源をその情報資源の導出元となる複合的アクセスにおける役割シンボルにより指定する関連情報資源指定部117とが、‘=’で対応付けられており、このような関連情報資源シンボル116と関連情報資源指定部117との組が1以上連接して記載されている。
The unit derivation rules included in the unit derivation rule list 112 are respectively an
なお、図8に示すように、原始的アクセス導出規則の適用対象指定部を、その原始的アクセス導出規則の適用対象となる複合的アクセスを複合的アクセス種別により指定する適用対象アクセス種別指定部111Aと、その原始的アクセス導出規則の適用対象となる複合的アクセスを複合的アクセスに関与する任意の情報資源の有する任意の属性により条件付けする適用対象条件指定部111Bとにより構成してもよい。その場合、ある複合的アクセスからの原始的アクセスの導出には、その複合的アクセスのアクセス種別と、その複合的アクセスに関与する情報資源の属性とがそれぞれ適用対象アクセス種別指定部111Aと適用対象条件指定部111Bに合致するような単位導出規則リストが用いられることになる。
Note that, as shown in FIG. 8, the application target designation unit of the primitive access derivation rule is applied, and the application target access
例えば図8で示される定義状態においては、同じ「ファイルの複製(copyFile)」操作であっても、複製されるファイルの親フォルダ(srcFolder)の“confidentiality”属性の値が“high”である場合には、単位導出規則リスト112Aが原始的アクセスの導出の際に選択され、それ以外の場合(“other”)には、単位導出規則リスト112Bが選択されることになる。 For example, in the definition state shown in FIG. 8, even if the operation is the same “copy file”, the value of the “confidentiality” attribute of the parent folder (srcFolder) of the copied file is “high”. In this case, the unit derivation rule list 112A is selected at the time of derivation of the primitive access, and in other cases (“other”), the unit derivation rule list 112B is selected.
また、同じく図8の単位導出規則リスト112Bには、オブジェクト指定部112に“copiedFile”という役割シンボルを持つ単位導出規則が2つ含まれている。このように、単位導出規則リストには同一の役割シンボルをオブジェクト指定部に持つ複数の単位導出規則を含むことができる。このような場合には、ある一つの複合的アクセスから、当該アクセスに関与する一つの情報資源に関する複数の原始的アクセスが導出されることになる。 Similarly, the unit derivation rule list 112B of FIG. 8 includes two unit derivation rules having a role symbol of “copiedFile” in the object designating unit 112. In this way, the unit derivation rule list can include a plurality of unit derivation rules having the same role symbol in the object designating unit. In such a case, a plurality of primitive accesses related to one information resource involved in the access are derived from one compound access.
また、同じく図8の単位導出リスト112Bには、関連情報資源定義部115が空欄となっている単位導出規則が含まれるが、このような構成も許される。この場合、その単位導出規則から導出される原始的アクセスは、関連する情報資源が無いとして扱われ、認可判定されることになる。また、同じく図8の単位導出リスト112Bでは、対応する複合的アクセス“copyFile”に関与する情報資源として複合的アクセス定義テーブルにおいて定義されている3種類の情報資源の1つである“srcFolder”を役割とする情報資源について、これをオブジェクト指定部に持つ単位導出規則が存在しない。このように、ある複合的アクセスから当該複合的アクセスに関与する全ての情報資源について、当該情報資源を直接のオブジェクトとする原始的アクセスを導出することは必須ではない。
Similarly, the unit derivation list 112B of FIG. 8 includes a unit derivation rule in which the related information
図9は、本実施形態で用いられる原始的アクセス制御規則の定義例を示している。原始的アクセス制御規則は、原始的アクセス導出規則により導出される個々の原始的アクセスの認可に用いられるアクセス制御規則である。原始的アクセス制御規則は、適用対象指定部121と判定条件部122とから構成される。適用対象指定部121は、その原始的アクセス導出規則の適用対象となる原始的アクセスを原始的アクセス種別により指定する。 FIG. 9 shows a definition example of primitive access control rules used in this embodiment. A primitive access control rule is an access control rule used for granting individual primitive access derived by a primitive access derivation rule. The primitive access control rule includes an application target specifying unit 121 and a determination condition unit 122. The application target designating unit 121 designates the primitive access to which the primitive access derivation rule is applied by the primitive access type.
判定条件部122には、属性指定部123、演算子部124、比較値部125の3つのフィールドの値から構成される条件式、あるいはそのような条件式をANDやORなどの論理演算子である結合子126によって複数結合した複合的な条件式が記述される。属性指定部123は、その条件のパラメータを、サブジェクトを表す文字列131とそのサブジェクトの持つ属性を指定する属性シンボル132との組によって、あるいは、オブジェクトを表す文字列134とそのオブジェクトの持つ属性を指定する属性シンボル135の組により指定する。また、比較値部125には、対応する属性指定部123に適用される値と、演算子部124によって指定された演算方法によって比較する対象となる値を、直値133によって、あるいは属性指定部123と同様に、サブジェクトやオブジェクトの別を表す文字列とそれが持つ属性を指定する属性シンボルとの組136により指定する。
The determination condition part 122 includes a conditional expression composed of three field values of the
なお図10に示すように、属性指定部123には、オブジェクトやサブジェクト以外に、その原始的アクセスの生成元の複合的アクセスに関与した他の情報資源の属性を指定することも可能である。このとき、その情報資源は、原始的アクセスに対して定義されている関連情報資源シンボル116により図示符号137、138のように指定する。
As shown in FIG. 10, in addition to the object and subject, the
次に、図11を参照して本実施形態におけるアクセス制御の動作について説明する。 Next, the access control operation in this embodiment will be described with reference to FIG.
まず、利用者端末2では、指示部21が利用者によるファイルやフォルダなどの情報資源に対するアクセス操作を検出し、そのアクセスに関与する情報資源とアクセス種別を特定する(S01)。次に、これら特定した情報を元に、ファイルサーバ1に管理されている複合的アクセス定義テーブル上の定義に則って、複合的アクセス種別シンボルと、関与する情報資源それぞれについてその識別子(ID)とその情報資源の役割シンボルと、その操作を行った利用者すなわちサブジェクトのIDを組にしたものを整形し、ファイルサーバ1にアクセス要求として送信する(S02)。この送信時には、必要に応じて、被認証部25と認証部13とがメッセージを交換し合って、利用者の認証を行う。
First, in the
次に、このようなアクセス要求を受信したファイルサーバ1は、アクセス要求に含まれる複合的アクセス種別シンボルに基づいて、アクセス制御用情報管理部14を検索し、該当する原始的アクセス導出規則を特定する(S03)。なお、原始的アクセス導出規則の適用対象指定部が、図8に示すように適用対象条件指定部を含む場合には、その条件を評価するために必要な情報資源の属性を、ファイル管理部11から取得して使用する。
Next, the
適用すべき原始的アクセス導出規則を特定できたら、特定された原始的アクセス導出規則に含まれる単位導出規則リストを参照して、定義されているだけの原始的アクセスを生成する(S04)。なお、生成される原始的アクセスのサブジェクトは、全て利用者端末から送付されたアクセス要求におけるサブジェクトとする。 If the primitive access derivation rules to be applied can be identified, the unit derivation rule list included in the identified primitive access derivation rules is referred to generate only primitive accesses that are defined (S04). The generated primitive access subjects are all the subjects in the access request sent from the user terminal.
例えば、<“copyFile”,(“copiedFile=id003”,“srcFolder=id002”,“destFolder=id010”),“subject−id001”>というアクセス要求が送信されたとする。図7を参照すると、複合的アクセス種別“copyFile”に対応する単位導出規則リストには3つの単位導出規則が定義されており、それぞれの導出規則に則って、以下の3つの原始的アクセスが生成される。 For example, it is assumed that an access request “<copyFile”, (“copiedFile = id003”, “srcFolder = id002”, “destFolder = id010”), “subject-id001”> is transmitted. Referring to FIG. 7, three unit derivation rules are defined in the unit derivation rule list corresponding to the composite access type “copyFile”, and the following three primitive accesses are generated according to the respective derivation rules. Is done.
<“copy”,“id00003”,(“oldParent=id002”,“newParent=id010”)>,
<“copy_child”,“id00002”,(“cloneChild=id003”,“goTo=id010”)>,
<“create_child”,“id00010”,(“comeFrom=id002”)>。
<“Copy”, “id00003”, (“oldParent = id002”, “newParent = id010”)>,
<“Copy_child”, “id00002”, (“cloneChild = id003”, “goTo = id010”)>,
<“Create_child”, “id00010”, (“comeFrom = id002”)>.
なお、各ブラケットの最初の要素は、原始的アクセス種別のシンボルであり、二番目の要素は、その原始的アクセスにおけるオブジェクトのIDである。三番目の要素は、その原始的アクセスに関連性を持つオブジェクト以外の情報資源それぞれについて、その原始的アクセスにおけるその情報資源の関連を示すシンボルと、その情報資源のIDとを“=”で組にしたものを、関連する情報資源の数だけ並べたものである。 The first element of each bracket is a symbol of the primitive access type, and the second element is an object ID in the primitive access. The third element is for each information resource other than an object related to the primitive access, a symbol indicating the relation of the information resource in the primitive access and the ID of the information resource is set by “=”. Are arranged in the number of related information resources.
次に、前記生成された3つの原始的アクセスのそれぞれについて、認可判定を行う(S05)。各原始的アクセスの認可では、まず、認可対象の原始的アクセスの種別に基づいて、アクセス制御用情報管理部14を検索し、適用すべきアクセス制御規則を特定し(S06)、適用すべきアクセス制御規則に現れる、オブジェクトあるいはサブジェクトあるいは関連する情報資源の属性をファイル管理部11あるいは利用者属性管理装置3から取得し(S07)、取得された各種属性をアクセス制御規則に適用して評価し、その真偽値を得て、真が得られた場合は許可とし、偽の場合は拒絶とする(S08)。
Next, an authorization decision is made for each of the three generated primitive accesses (S05). In the authorization of each primitive access, first, the access control
以上の処理を生成された原始的アクセスのそれぞれについて繰り返し実行する。なお、拒絶と判定された原始的アクセスがあれば、要求された複合的アクセスを拒絶と判定するので、残りの未評価の原始的アクセスに関する認可判定は行わない。 The above processing is repeated for each generated primitive access. If there is a primitive access that is determined to be rejected, the requested complex access is determined to be rejected, so that the authorization determination for the remaining unevaluated primitive accesses is not performed.
全ての原始的アクセスについての認可判定が許可と出た場合には、当該原始的アクセスの導出元となった複合的アクセスを許可と判定し、認可判定部12からファイル管理部11にアクセス要求が伝達されて、そのアクセス要求に対応する操作が実行される(S09)。その後、その操作に対応する操作結果が利用者端末2に返信され(S10)、アクセス要求に関わる処理は終了する。
If the authorization determination for all primitive accesses is permitted, it is determined that the composite access from which the primitive access is derived is permitted, and an access request is sent from the
生成された原始的アクセスのうち一つでも認可判定が拒絶とされた場合には、その原始的アクセスの導出元となった複合的アクセスを拒絶とし、その旨の応答を利用者端末2に返信し(S11)、アクセス要求に関わる処理を終了する。 If even one of the generated primitive accesses is denied, the complex access from which the primitive access is derived is rejected, and a response to that effect is returned to the user terminal 2 (S11), and the process related to the access request is terminated.
(第二の実施形態)
次に、本発明の第二の実施形態について説明する。この実施形態は、上述した第一の実施形態と概ね同様のものであるが、アクセス制御用情報の構成方向が異なっており、それに付随して、ファイルサーバ1が利用者端末2に対して公開する情報資源へのアクセスインターフェイスが異なっている。
(Second embodiment)
Next, a second embodiment of the present invention will be described. This embodiment is substantially the same as the first embodiment described above, but the configuration direction of the access control information is different, and accompanying this, the
図12は、本実施形態において用いる複合的アクセス定義テーブルの定義内容の一部を示している。本実施形態における複合的アクセステーブルは、第一の実施形態でのそれと、その意味するところや構成といった点で同様のものである。 FIG. 12 shows a part of the definition contents of the composite access definition table used in this embodiment. The composite access table in this embodiment is the same as that in the first embodiment in terms of its meaning and configuration.
ただし、各レコードに含まれる役割シンボルリスト103Aには、当該アクセス種別のアクセスに関与する情報資源が全てではなく一部のみが示されている点で大きく異なっている。第一の実施形態における複合的アクセス定義テーブルと比較すると、本実施形態の複合的アクセス定義テーブルでは、例えば、「ファイルの複製(copyFile)」操作に対応するレコードにおいて、「複製される既存ファイルの親フォルダ」を指し示す“srcFolder”が存在しない。 However, the role symbol list 103A included in each record is greatly different in that only a part, not all, of information resources related to access of the access type is shown. Compared with the composite access definition table in the first embodiment, in the composite access definition table of the present embodiment, for example, in the record corresponding to the “copy file” operation, “the existing file to be replicated” is recorded. “SrcFolder” indicating “parent folder” does not exist.
また図13に、本実施形態において用いる原始的アクセス導出規則の定義例を示す。本実施形態における原始的アクセス導出規則は、第一の実施形態における原始的アクセス導出規則と、その意味するところや構成といった点で同様のものである。 FIG. 13 shows a definition example of primitive access derivation rules used in this embodiment. The primitive access derivation rule in the present embodiment is similar to the primitive access derivation rule in the first embodiment in terms of its meaning and configuration.
ただし、単位導出規則リスト112に含まれる単位導出規則を構成するオブジェクト指定部113と、関連情報資源定義部115とにおける情報資源の指定方法に、第一の実施形態とは異なる方法が許されている。第一の実施形態では、情報資源の指定は必ず複合的アクセスにおける役割シンボルで行われていたのに対し、第二の実施形態では、複合的アクセスにおける役割シンボル141あるいは143と、情報資源間の情報資源管理上の関連性、すなわちファイル管理部11で管理されている情報資源間の親子関係に基づく関連性を示すシンボル142あるいは144との組で情報資源を指定する方法が追加されている。情報資源管理上の関連性には、フォルダ階層上の親を示す“parent”、同じくフォルダ階層上の子を示す“child”、同一階層にある資源を示す“bros”などがある。
However, a method different from that of the first embodiment is permitted for the method of specifying the information resource in the
例えば、図13に示した二つめのレコードでオブジェクト指定部113に指定されている“copiedFile.parent”は、対応する複合的アクセス“copyFile”において役割“copyFile”に指定された情報資源の親フォルダを指し示す。
For example, “copyFile.parent” specified in the
このような、関連性に基づく情報資源の特定は、原始的アクセスを生成する際(ステップS04)において行われる。 Such identification of information resources based on relevance is performed when generating primitive access (step S04).
具体的には、<“copyFile”,(“copiedFile=id003”,,“destFolder=id010”),“subject−id001”>というアクセス要求が送信されたと仮定した場合、図5を参照すると、役割“copiedFile”に指定された、“id003”をIDに持つ情報資源の親フォルダIDは“id002”であることから、“id002”をIDとして持つ情報資源「営業資料」フォルダが特定される。 Specifically, when it is assumed that an access request <“copyFile”, (“copiedFile = id003”, “destFolder = id010”), “subject-id001”> is transmitted, referring to FIG. Since the parent folder ID of the information resource having “id003” as the ID specified in “copiedFile” is “id002”, the information resource “sales material” folder having “id002” as the ID is specified.
原始的アクセス導出規則をこのように構成することで、複合的アクセスに関与する情報資源のうち、情報資源管理上の他の情報資源との関連性から一意に特定できる情報資源については、複合的アクセス定義テーブルすなわち情報資源に対するアクセスのインターフェイスから省略することが可能となっている。 By configuring the primitive access derivation rules in this way, information resources that can be uniquely identified from the relevance to other information resources in information resource management among the information resources involved in complex access are complex. It can be omitted from the access definition table, that is, the interface for accessing information resources.
1 ファイルサーバ
2 利用者端末
3 利用者属性管理装置
4 通信ネットワーク
10,20,30 送受信部
11 ファイル管理部
12 認可判定部
13 認証部
14 アクセス制御用情報管理部
15 属性取得部
16,32 メンテナンス部
21 指示部
22 記憶部
23 表示部
24 処理部
25 被認証部
31 利用者属性格納部
101 複合的アクセス種別シンボル
102 アクセス種別の説明
103 役割シンボルリスト
104 役割シンボル
105 役割の説明
111 適用対象指定部
112 単位導出規則リスト
113 オブジェクト指定部
114 原始的アクセス種別シンボル
115 関連情報資源定義部
116 関連情報資源シンボル
117 関連情報資源指定部
121 適用対象指定部
122 判定条件部
123 属性指定部
124 演算子部
125 比較値部
126 結合子
DESCRIPTION OF
Claims (10)
要求された複合的アクセスを第一のアクセスとして、該第一のアクセスから、該第一のアクセスのアクセス種別に応じて、該第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の第二のアクセスを生成する原始的アクセス生成ステップと、
前記生成された第二のアクセスのそれぞれのアクセス種別を、該第二のアクセスのオブジェクトの第一のアクセスにおける役割と、該第一のアクセスのアクセス種別とに応じて設定する原始的アクセス種別決定ステップと、
前記原始的アクセス生成ステップによって生成され前記原始的アクセス種別決定ステップによってアクセス種別が設定された一ないし複数の第二のアクセスのそれぞれについて、当該第二のアクセスに対応するアクセス制御規則に基づいて認可判定を行う原始的アクセス認可ステップと、
前記原始的アクセス認可ステップにおける認可判定の結果に応じて、前記要求された複合的アクセスの認可判定を行う総合認可ステップと、
を有する、複合的アクセス認可方法。 A method for authorizing a composite access request when a composite access request involving a plurality of information resources is received from a subject,
With the requested complex access as the first access, from the first access, depending on the access type of the first access, one of a plurality of information resources involved in the first access is defined as an object. A primitive access generation step for generating one or more second accesses to:
Primitive access type determination that sets each access type of the generated second access according to the role of the second access object in the first access and the access type of the first access Steps,
Approval based on an access control rule corresponding to the second access for each of one or a plurality of second accesses generated by the primitive access generation step and whose access type is set by the primitive access type determination step A primitive access authorization step to make the decision;
In accordance with the result of the authorization determination in the primitive access authorization step, the overall authorization step for performing the authorization determination of the requested complex access,
A composite access authorization method.
前記アクセス制御規則は、パラメータとして、サブジェクトの属性またはオブジェクトの属性を任意に含んだ条件式であり、
前記原始的アクセス認可ステップは、認可対象である第二のアクセスのオブジェクトあるいはサブジェクトの属性を適用して前記アクセス制御規則を評価することによって当該第二のアクセスの認可判定を行う、請求項1に記載の複合的アクセス認可方法。 Attributes are associated with the subject and / or the information resource,
The access control rule is a conditional expression that optionally includes a subject attribute or an object attribute as a parameter,
The primitive access authorization step performs authorization judgment of the second access by applying the attribute of the object or subject of the second access to be authorized and evaluating the access control rule. The described complex access authorization method.
前記原始的アクセス認可ステップは、一ないし複数の関連情報資源の属性をさらに適用して前記アクセス制御規則を評価することによって当該第二のアクセスの認可判定を行う、請求項2に記載の複合的アクセス認可方法。 The access control rule includes, as a parameter, a related information resource that is an information resource other than the object of the second access among information resources involved in the first access that is a generation source of the corresponding second access. Further including attributes,
3. The composite access according to claim 2, wherein the primitive access authorization step performs authorization judgment of the second access by further applying an attribute of one or more related information resources and evaluating the access control rule. Access authorization method.
原始的アクセス種別決定ステップにおいて、前記第二のアクセスのそれぞれのアクセス種別を、生成元となった第一のアクセスに関与する任意の情報資源の属性に応じて設定する、請求項1乃至4のいずれか1項に記載の複合的アクセス認可方法。 In the primitive access generation step, a second access is generated according to an attribute of an arbitrary information resource involved in the first access that is the generation source,
5. The primitive access type determination step, wherein each access type of the second access is set according to an attribute of an arbitrary information resource involved in the first access that is a generation source. The composite access authorization method according to any one of the preceding claims.
複合的アクセスの種別ごとに当該複合的アクセスに関与する全ての情報資源との関係を示す複合的アクセス定義テーブルと、原始的アクセスの認可に用いられるアクセス制御規則とを保持する情報管理手段と、
要求された複合的アクセスを第一のアクセスとして、前記複合的アクセス定義テーブルを参照して、該第一のアクセスから、該第一のアクセスのアクセス種別に応じて、該第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の原始的アクセスを生成し、生成された前記原始的アクセスのそれぞれのアクセス種別を、該原始的アクセスのオブジェクトの第一のアクセスにおける役割と、該第一のアクセスのアクセス種別とに応じて設定し、生成されアクセス種別が設定された一ないし複数の原始的アクセスのそれぞれについて、前記アクセス制御規則に基づいて認可判定を行い、前記認可判定の結果に応じて、前記要求された複合的アクセスの認可判定を行う、認可判定手段と、
を有する複合的アクセス認可装置。 A composite access authorization device that authorizes a composite access request when a composite access request involving a plurality of information resources is received from a subject,
An information management means for holding a composite access definition table showing a relationship with all information resources involved in the composite access for each type of composite access, and an access control rule used for authorization of primitive access;
With the requested complex access as the first access, referring to the complex access definition table, the first access is involved in the first access according to the access type of the first access. One or a plurality of primitive accesses using any one of a plurality of information resources as an object is generated, and each access type of the generated primitive access is set as a role in the first access of the object of the primitive access. And the access type of the first access, and for each of one or more primitive accesses generated and set with the access type, an authorization decision is made based on the access control rule, and the authorization An authorization determination means for performing an authorization determination of the requested complex access according to a determination result; and
A complex access authorization device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005185431A JP4723930B2 (en) | 2005-06-24 | 2005-06-24 | Compound access authorization method and apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005185431A JP4723930B2 (en) | 2005-06-24 | 2005-06-24 | Compound access authorization method and apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007004610A true JP2007004610A (en) | 2007-01-11 |
JP4723930B2 JP4723930B2 (en) | 2011-07-13 |
Family
ID=37690154
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005185431A Expired - Fee Related JP4723930B2 (en) | 2005-06-24 | 2005-06-24 | Compound access authorization method and apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4723930B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009070086A (en) * | 2007-09-12 | 2009-04-02 | Ricoh Co Ltd | Information processor, access control method, and access control program |
JP2009217433A (en) * | 2008-03-10 | 2009-09-24 | Fuji Xerox Co Ltd | File management program and file management device |
JP2009258820A (en) * | 2008-04-14 | 2009-11-05 | Nec Corp | Account management system, account management device, and account management method |
WO2010095561A1 (en) * | 2009-02-17 | 2010-08-26 | 日本電気株式会社 | Information processing system and method of operation thereof |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000231509A (en) * | 1999-02-10 | 2000-08-22 | Mitsubishi Electric Corp | Access control method in computer system |
JP2001184264A (en) * | 1999-12-16 | 2001-07-06 | Internatl Business Mach Corp <Ibm> | Access control system, access control method, storage medium, and program transmitting device |
JP2002163237A (en) * | 2000-11-27 | 2002-06-07 | Nippon Telegr & Teleph Corp <Ntt> | Information capsule, information capsule processing method, and recording medium recorded with information capsule processing program |
-
2005
- 2005-06-24 JP JP2005185431A patent/JP4723930B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000231509A (en) * | 1999-02-10 | 2000-08-22 | Mitsubishi Electric Corp | Access control method in computer system |
JP2001184264A (en) * | 1999-12-16 | 2001-07-06 | Internatl Business Mach Corp <Ibm> | Access control system, access control method, storage medium, and program transmitting device |
JP2002163237A (en) * | 2000-11-27 | 2002-06-07 | Nippon Telegr & Teleph Corp <Ntt> | Information capsule, information capsule processing method, and recording medium recorded with information capsule processing program |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009070086A (en) * | 2007-09-12 | 2009-04-02 | Ricoh Co Ltd | Information processor, access control method, and access control program |
JP2009217433A (en) * | 2008-03-10 | 2009-09-24 | Fuji Xerox Co Ltd | File management program and file management device |
JP2009258820A (en) * | 2008-04-14 | 2009-11-05 | Nec Corp | Account management system, account management device, and account management method |
WO2010095561A1 (en) * | 2009-02-17 | 2010-08-26 | 日本電気株式会社 | Information processing system and method of operation thereof |
US8621557B2 (en) | 2009-02-17 | 2013-12-31 | Nec Corporation | Information processing system judging whether manipulation is possible or not based on access control policy and method of operation thereof |
JP5482781B2 (en) * | 2009-02-17 | 2014-05-07 | 日本電気株式会社 | Information processing system and method of operating information processing system |
Also Published As
Publication number | Publication date |
---|---|
JP4723930B2 (en) | 2011-07-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4676779B2 (en) | Information processing device, resource management device, attribute change permission determination method, attribute change permission determination program, and recording medium | |
US7363650B2 (en) | System and method for incrementally distributing a security policy in a computer network | |
US7350226B2 (en) | System and method for analyzing security policies in a distributed computer network | |
US7574745B2 (en) | Information processing apparatus, information processing method, computer-readable medium having information processing program embodied therein, and resource management apparatus | |
Ubale Swapnaja et al. | Analysis of dac mac rbac access control based models for security | |
US7529931B2 (en) | Managing elevated rights on a network | |
US20090205018A1 (en) | Method and system for the specification and enforcement of arbitrary attribute-based access control policies | |
Kabir et al. | A role-involved purpose-based access control model | |
CN1585325B (en) | Zoned based security administration for data items | |
Viega | Building security requirements with CLASP | |
JP2005031834A (en) | Data processing method for placing limitation on data arrangement, storage area control method, and data processing system | |
CN113094055A (en) | Maintaining control over restricted data during deployment to a cloud computing environment | |
JP4723930B2 (en) | Compound access authorization method and apparatus | |
JP4602684B2 (en) | Information processing apparatus, operation permission determination method, operation permission information generation method, operation permission determination program, operation permission information generation program, and recording medium | |
Delessy et al. | Patterns for access control in distributed systems | |
JP4764614B2 (en) | Information processing apparatus, operation permission information generation method, operation permission information generation program, and recording medium | |
US20210021600A1 (en) | Context-aware content object security | |
WO2002067173A1 (en) | A hierarchy model | |
US11625365B2 (en) | Method for managing virtual file, apparatus for the same, computer program for the same, and recording medium storing computer program thereof | |
CN115422526B (en) | Role authority management method, device and storage medium | |
US20230421567A1 (en) | Systems for Securely Tracking Incident Data and Automatically Generating Data Incident Reports Using Collaboration Rooms with Dynamic Tenancy | |
Kazmi | Access control process for a saas provider | |
Peterkin et al. | Role based access control for uddi inquiries | |
Ghazinour et al. | A dynamic trust model enforcing security policies | |
CN114139127A (en) | Authority management method of computer system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20061129 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070815 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100720 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100825 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101025 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110330 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110408 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140415 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |