JP2007087248A - Access controller, access control method, and access control program - Google Patents
Access controller, access control method, and access control program Download PDFInfo
- Publication number
- JP2007087248A JP2007087248A JP2005277307A JP2005277307A JP2007087248A JP 2007087248 A JP2007087248 A JP 2007087248A JP 2005277307 A JP2005277307 A JP 2005277307A JP 2005277307 A JP2005277307 A JP 2005277307A JP 2007087248 A JP2007087248 A JP 2007087248A
- Authority
- JP
- Japan
- Prior art keywords
- policy information
- access control
- conversion
- unit
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、リソースに対するアクセス制御を実行するアクセス制御装置、アクセス制御方法及びアクセス制御プログラムに関する。 The present invention relates to an access control apparatus, an access control method, and an access control program that execute access control on resources.
従来から、セキュリティの分野においてアクセス制御を実行するアクセス制御装置が多く存在している。例えば、アクセス制御装置は、リソース(ソフトウェアリソース、ハードウェアリソース)に対するアクセス制御を実行するための規則が記述されたポリシー情報を記憶し、そのポリシー情報に従ってリソースに対するアクセス制御を実行している。具体的な例として特許文献1及び特許文献2を参照しながら説明する。
Conventionally, there are many access control apparatuses that execute access control in the field of security. For example, the access control device stores policy information in which rules for executing access control for resources (software resources, hardware resources) are described, and executes access control for resources according to the policy information. A specific example will be described with reference to
特許文献1では、交換機等の装置を管理するエレメント管理層、各種装置群からなる網を管理する網管理層、及び網を利用するサービスを提供する際に用いられる各種情報を管理するサービス管理層からなる階層型の通信システムが開示されている。
In
この通信システムは、「利用者側」の視点により記述されたポリシー情報を、「サービス提供者側」の視点により記述される上記各層に対応するポリシー情報に変換することができる。このため、通信システムは、「利用者側」の視点を考慮した細かなアクセス制御を実行することができる。 This communication system can convert policy information described from a “user side” viewpoint into policy information corresponding to each layer described from a “service provider side” viewpoint. For this reason, the communication system can execute fine access control in consideration of the “user side” viewpoint.
特許文献2では、アプリケーション層に属するアプリケーションに対する利用権(ポリシー情報)、及びネットワーク層に属するネットワークアクセス権(ポリシー情報)の両者を管理し、当該利用権の設定内容が当該ネットワークアクセス権の設定内容と異なる場合には、当該ネットワークアクセス権の設定内容を当該利用権の設定内容に変換するアクセス制御装置が開示されている。
In
このアクセス制御装置は、アプリケーション層における利用権の内容が許可/不許可に設定されていることに連動して、ネットワーク層におけるネットワークアクセス権の内容も許可/不許可に設定するため、アプリケーション層でのアプリケーションの利用が不許可に設定されているにも関わらず、ネットワーク層経由でアプリケーションを起動させるという不正を無くすことができる。 This access control device sets the content of the network access right in the network layer to permit / deny in conjunction with the content of the usage right in the application layer being set to permit / deny. In spite of the fact that the use of the application is not permitted, the injustice of starting the application via the network layer can be eliminated.
上述のように上記特許文献1及び上記特許文献2では、ポリシー情報を他のポリシー情報に変換するという技術が開示されている。
ところで、カーネルにシステムコールと呼ばれる要求が発行された後に、上記ポリシー情報に当該要求が反しない場合には、カーネルを通じてリソースに対するアクセス制御が実行される。その一方で、上記ポリシー情報に当該要求が反する場合には、リソースに対するアクセス制御が実行されない。 Incidentally, after a request called a system call is issued to the kernel, if the request does not violate the policy information, access control to resources is executed through the kernel. On the other hand, when the request is against the policy information, access control to the resource is not executed.
このようなアクセス制御が実行されるためには、アプリケーション開発者などの利用者は、上記システムコールの内容を記述した具体的なポリシー情報(以下、具体的ポリシー情報)を作成しなければならず、当該ポリシー情報の作成作業に対する煩雑感を抱いていた。 In order for such access control to be executed, a user such as an application developer must create specific policy information (hereinafter, specific policy information) describing the contents of the system call. , I had a sense of complexity in creating the policy information.
一方、上記特許文献1及び上記特許文献2のようにポリシー情報を他のポリシー情報に変換するという技術を用いることが考え得る。具体的には、初期段階では、上記具体的ポリシー情報の内容よりも抽象的な内容が記述された抽象的ポリシー情報を入力可能にし、アクセス制御の実行段階では、入力された抽象的ポリシー情報を具体的ポリシー情報に変換するというポリシー変換技術が考え得る。これによれば、上記利用者がポリシー情報を記述する上での簡便性を損なうことなく、確実なアクセス制御を実行することができる。
On the other hand, it is conceivable to use a technique of converting policy information into other policy information as in
しかしながら、アプリケーションの数や、該アプリケーションが動作し得る実行環境の数が増えるにつれて、ある抽象的ポリシー情報が具体的ポリシー情報に変換される組合せの数が膨大となるため、ある抽象的ポリシー情報を具体的ポリシー情報に変換するための変換テーブルの数も膨大となる。 However, as the number of applications and the number of execution environments in which the applications can operate increases, the number of combinations in which certain abstract policy information is converted into specific policy information becomes enormous. The number of conversion tables for converting into specific policy information also becomes enormous.
したがって、上記ポリシー変換技術では、アプリケーション及びその実行環境の全てに適応させる変換テーブルが設定されるとなると、上記変換テーブルの数が膨大となり、上記ポリシー変換技術の実現が困難となっていた。 Therefore, in the policy conversion technique, when a conversion table adapted to all of the application and its execution environment is set, the number of the conversion tables becomes enormous and it is difficult to realize the policy conversion technique.
そこで、本発明は以上の点に鑑みて成されたものであり、利用者がポリシー情報を記述する上での簡便性を損なうことなく、確実なアクセス制御を実行することができるアクセス制御装置、アクセス制御方法及びアクセス制御プログラムを提供することを目的とする。 Therefore, the present invention has been made in view of the above points, and an access control device capable of performing reliable access control without impairing the convenience of describing policy information by a user, An object is to provide an access control method and an access control program.
上記課題を解決するために、本発明の第1の特徴は、リソースに対するアクセス制御を実行するための規則が記述された具体的ポリシー情報、及び具体的ポリシー情報よりも抽象的に規則が記述された抽象的ポリシー情報により構成された変換テーブルをアプリケーション毎に記憶する変換テーブル記憶部と、アプリケーションを介して入力された抽象的ポリシー情報に基づいて、アプリケーションに対応する変換テーブルを参照することにより、抽象的ポリシー情報を具体的ポリシー情報に変換するポリシー情報変換部と、ポリシー情報変換部により変換された具体的ポリシー情報に従って、リソースに対するアクセス制御を実行するアクセス制御実行部とを備えることを要旨とする。 In order to solve the above problems, the first feature of the present invention is that specific policy information in which rules for executing access control to resources are described, and the rules are described more abstractly than the specific policy information. By referring to the conversion table corresponding to the application based on the conversion table storage unit that stores the conversion table configured by the abstract policy information for each application and the abstract policy information input through the application, A gist is provided with a policy information conversion unit that converts abstract policy information into specific policy information, and an access control execution unit that executes access control for resources according to the specific policy information converted by the policy information conversion unit. To do.
かかる特徴によれば、アクセス制御装置は、アプリケーション毎に記憶された変換テーブルのそれぞれのうち、利用しているアプリケーションに対応する変換テーブル「のみ」を参照し、入力された抽象的ポリシー情報を具体的ポリシー情報に変換する。 According to such a feature, the access control device refers to the conversion table “only” corresponding to the application being used among the conversion tables stored for each application, and specifies the input abstract policy information. To static policy information.
すなわち、アクセス制御装置が、利用しているアプリケーションに対応する変換テーブル「のみ」を参照すればよく、それ以外の変換テーブルを参照する必要がないため、アクセス制御装置は、必要以上に変換テーブルを備える必要がなくなり、利用者がポリシー情報を記述する上での簡便性を損なうことなく、確実なアクセス制御を実現することができる。 That is, the access control device only needs to refer to the conversion table “only” corresponding to the application being used, and it is not necessary to refer to other conversion tables. This eliminates the need to prepare, and can realize reliable access control without impairing the convenience for the user to describe the policy information.
本発明の第2の特徴は、アクセス制御装置が動作する実行環境の種類に応じて、アプリケーションに対応する変換テーブルを構成する具体的ポリシー情報を変更する具体的ポリシー情報変更部を備えることを要旨とする。 The second feature of the present invention is that it includes a specific policy information changing unit that changes specific policy information constituting a conversion table corresponding to an application according to the type of execution environment in which the access control device operates. And
本発明の第3の特徴は、具体的ポリシー情報に対する修正情報が予め設定されており、当該修正情報の内容に応じて具体的ポリシー情報を変更する具体的ポリシー情報修正部を備えることを要旨とする。 The third feature of the present invention is that correction information for specific policy information is preset, and includes a specific policy information correction unit that changes specific policy information according to the content of the correction information. To do.
本発明の第4の特徴は、一のリソースに対するアクセス制御が実行される際に、アクセス制御に複数のアプリケーションが同時に用いられる場合には、複数のアプリケーションに共通の具体的ポリシー情報に含まれる共通変数を記憶する共通変数記憶部を備え、アクセス制御実行部が、複数のアプリケーションを同時に用いて一のリソースに対するアクセス制御を実行する場合には、共通変数を用いることを要旨とする。 The fourth feature of the present invention is that, when access control for one resource is executed, if a plurality of applications are used simultaneously for access control, the common policy information included in the specific policy information common to the plurality of applications is used. A gist is to use a common variable when a common variable storage unit for storing variables is provided and the access control execution unit executes access control for one resource using a plurality of applications simultaneously.
本発明の第5の特徴は、アクセス制御実行部によるアクセス制御の結果に応じて共通変数を変更する共通変数変更部を備えることを要旨とする。 A fifth feature of the present invention is summarized as comprising a common variable changing unit that changes a common variable according to the result of access control by the access control execution unit.
本発明の特徴によれば、利用者がポリシー情報を記述する上での簡便性を損なうことなく、確実なアクセス制御を実行することができる。 According to the features of the present invention, it is possible to execute reliable access control without impairing the convenience for a user to describe policy information.
(アクセス制御装置の構成)
本実施形態におけるアクセス制御装置について図面を参照しながら説明する。図1は、本実施形態におけるアクセス制御装置100の内部構成を示す図である。
(Configuration of access control device)
An access control apparatus according to the present embodiment will be described with reference to the drawings. FIG. 1 is a diagram illustrating an internal configuration of the
図1に示すように、アクセス制御装置100は、ポリシー情報変換部10と、アクセス制御実行部20とを備えている。
As shown in FIG. 1, the
ポリシー情報変換部10は、ポリシー情報変換制御部11と、変換テーブル記憶部12と、共通変数記憶部13と、実行環境情報検出部14とを備えている。
The policy information conversion unit 10 includes a policy information
ポリシー情報変換制御部11は、アプリケーション50を介して入力された抽象的ポリシー情報に基づいて、当該アプリケーション50に対応する変換テーブル40を参照することにより、当該アプリケーション50を介して入力された抽象的ポリシー情報を具体的ポリシー情報に変換するものである。
The policy information
ここで、図2は、リソース200に対するアクセス制御を実行するための規則が記述された具体的ポリシー情報、及び具体的ポリシー情報よりも抽象的に規則が記述された抽象的ポリシー情報の関係を示す図である。
Here, FIG. 2 shows the relationship between the specific policy information in which the rules for executing access control for the
図3は、抽象的ポリシー情報及び具体的ポリシー情報の内容の一例を示す図である。例えば、「通信量が1Mbps以上である場合には、通信量を800Mbpsに抑制する」というポリシー情報がある場合には、当該ポリシー情報に対する抽象的ポリシー情報は、例えば図3に示す「1」の内容である。また、当該抽象的ポリシー情報よりも詳細な規則が記述された具体的ポリシー情報は、例えば図3に示す「2」の内容である。 FIG. 3 is a diagram illustrating an example of the contents of abstract policy information and specific policy information. For example, when there is policy information that “if the traffic is 1 Mbps or more, the traffic is suppressed to 800 Mbps”, the abstract policy information for the policy information is, for example, “1” shown in FIG. Content. Further, the specific policy information in which rules more detailed than the abstract policy information are described is, for example, the content “2” shown in FIG.
図2及び図3に示すように、具体的ポリシー情報は、システムコールなどを用いたアクセス制御を実行する上での詳細な規則が記述されたポリシー情報であるため、アクセス制御装置100の利用者は、当該具体的ポリシー情報のみしか扱えないとすると、当該ポリシー情報の作成作業に対する煩雑感を抱くことになる。本実施形態では、具体的ポリシー情報よりも抽象的な記述された抽象的ポリシー情報の入力が可能であるため、アクセス制御装置100の利用者は、ポリシー情報を記述する上での煩雑さを解消することができる。
As shown in FIGS. 2 and 3, the specific policy information is policy information in which detailed rules for executing access control using a system call or the like are described. Therefore, the user of the
又、ポリシー情報変換制御部11は、アクセス制御装置100が動作する実行環境の種類に応じて、アプリケーション50に対応する変換テーブル40を構成する具体的ポリシー情報を変更するものである。ポリシー情報変換制御部11は、具体的ポリシー情報変更部を構成する。
The policy information
上記実行環境情報は、アクセス制御装置100が動作する装置の情報、例えば、OSのバージョン、システムコール列等のソフトウェア情報や、CPUの情報、リソースを動作させる設定条件(イーサネット(登録商標)の種類等)等の情報に関するハードウェア情報が挙げられる。
The execution environment information includes information on a device on which the
例えば、図3に示すように、実行環境の内容がイーサネット(登録商標)1(“eth1(イーサネット(登録商標)1)”)である場合には、ポリシー情報変換制御部11は、アプリケーション50に対応する変換テーブル40を構成する具体的ポリシー情報のうち、実行環境の種類に関係する部分(図3に示す「A」参照)に当該“eth1”を設定する。
For example, as illustrated in FIG. 3, when the content of the execution environment is Ethernet (registered trademark) 1 (“eth1 (Ethernet (registered trademark) 1)”), the policy information
又、ポリシー情報変換制御部11は、アクセス制御実行部20によるアクセス制御の結果に応じて、後述する共通変数等を変更するものである。ポリシー情報変換制御部11は、共通変数変更部を構成する。
The policy information
変換テーブル記憶部12は、抽象的ポリシー情報及び具体的ポリシー情報により構成された変換テーブル40をアプリケーション50毎に記憶するものである(図4参照)。図4に示すように、変換テーブル40のうちの「変換前」には抽象的ポリシー情報が含まれている。変換テーブル40のうちの「変換後」には具体的ポリシー情報が含まれている。
The conversion
共通変数記憶部13は、一のリソース200に対するアクセス制御が実行される際に、アクセス制御に複数のアプリケーション50が同時に用いられる場合には、当該複数のアプリケーション50に対応する具体的ポリシー情報に含まれる共通変数を記憶するものである。
The common
実行環境情報検出部14は、上記実行環境を示す実行環境情報300を検出するものである。
The execution environment
アクセス制御実行部20は、OS60上で動作するものであり、ポリシー情報変換制御部11により変換された具体的ポリシー情報に従って、リソース200に対するアクセス制御(システムコール等を用いたアクセス制御、ニーモニックレベルでのアクセス制御)を実行するものである。
The access
又、アクセス制御実行部20は、複数のアプリケーション50を同時に用いて一のリソース200に対するアクセス制御を実行する場合には、共通変数記憶部13に記憶された共通変数を用いて当該一のリソース200に対するアクセス制御を実行する。
Further, when the access
ポリシー情報修正部400は、入力された具体的ポリシー情報に対する修正情報の内容に応じて、ポリシー情報変換部10により変換された具体的ポリシー情報を変更するものである。修正情報は、アクセス制御装置100を扱う者、アプリケーション開発者などの利用者が特定のアクセス制御を制限するためのポリシー情報を含んでいる。修正情報は、ポリシー情報修正部400に予め設定されているものとする。なお、ポリシー情報修正部400は、具体的ポリシー情報修正部を構成する。
The policy
(アクセス制御装置の動作)
次に、アクセス制御装置の動作について図面を参照しながら説明する。図5は、本実施形態におけるアクセス制御装置100の動作を示す図である。
(Operation of access control device)
Next, the operation of the access control apparatus will be described with reference to the drawings. FIG. 5 is a diagram illustrating the operation of the
図5に示すように、S101において、アプリケーション50は、入力された抽象的ポリシー情報をポリシー情報変換制御部11に送信する。
As shown in FIG. 5, in S <b> 101, the
S102において、ポリシー情報変換制御部11は、アプリケーション50から抽象的ポリシー情報を受信したことに基づいて、実行環境を示す実行環境情報300を検出するように指示する検出指示情報を実行環境情報検出部14に送信する。
In S <b> 102, the policy information
S103において、実行環境情報検出部14は、ポリシー情報変換制御部11から受信した検出指示情報に基づいて実行環境情報300を検出し、S104において、検出した実行環境情報300をポリシー情報変換制御部11に送信する。
In S103, the execution environment
S105において、ポリシー情報変換制御部11は、抽象的ポリシー情報の送信元のアプリケーション50に対応する変換テーブル40を取得する。
In step S105, the policy information
例えば、変換テーブル40がアプリケーション50に含まれている場合には、ポリシー情報変換制御部11は、抽象的ポリシー情報の送信元のアプリケーション50に含まれる変換テーブル40を取得する。
For example, when the conversion table 40 is included in the
又は、ネットワークに接続されたサーバーに変換テーブル40がアプリケーション50毎に記憶されている場合には、ポリシー情報変換制御部11は、抽象的ポリシー情報の送信元のアプリケーション50に対応する変換テーブル40を当該サーバーから取得する。
Alternatively, when the conversion table 40 is stored for each
S106において、ポリシー情報変換制御部11は、S104により受信した実行環境情報300の内容(例えば、イーサネット(登録商標)の種類)に応じて、変換テーブル記憶部12に記憶された変換テーブル40の一部の内容を設定する。
In S106, the policy information
例えば、図4に示すように、実行環境情報300の内容がイーサネット(登録商標)1を示す情報である場合には、ポリシー情報変換制御部11は、抽象的ポリシー情報の送信元のアプリケーション50に対応する変換テーブル40における「変換後」の内容のうち、当該実行環境情報300に関係する部分(図4に示す「A」参照)に、イーサネット(登録商標)1を示す情報として“eth1”を設定する。
For example, as shown in FIG. 4, when the content of the
そして、ポリシー情報変換制御部11は、上記変換テーブル40を変換テーブル記憶部12に記憶させる。ポリシー情報変換制御部11は、既に取得した変換テーブル40と同一の変換テーブル40を参照する場合には、変換テーブル記憶部12に記憶された変換テーブル40を直接参照するため、再びアプリケーション50又はサーバー(図示せず)から変換テーブル40を取得する必要がなくなり、変換テーブル40を参照するまでの時間をより短縮することができる。
Then, the policy information
S107において、ポリシー情報変換制御部11は、変換テーブル記憶部12に記憶された変換テーブル40を参照し、S101により受信された抽象的ポリシー情報を具体的ポリシー情報に変換する。
In S107, the policy information
例えば、利用しているアプリケーション1に対応する抽象的ポリシー情報の内容が図3に示す「1」である場合には、先ず、ポリシー情報変換制御部11は、図4に示すアプリケーション1に対応する変換テーブル40−1を参照し、図3に示す「1」の一部分である「if(throughput>1Mbps)」を「tp=checkIF(“eth1”,TP); IF(tp>1Mbps){F()}」に変換する。変換後の「tp=checkIF(“eth1”,TP); IF(tp>1Mbps){F()}」は、具体的ポリシー情報の一部となる。
For example, when the content of the abstract policy information corresponding to the
そして、ポリシー情報変換制御部11は、図3に示す「1」の一部分である上記「if(throughput>1Mbps)」以外の部分についても、上記と同様の処理により具体的ポリシー情報の一部として順次変換することにより、全体の抽象的ポリシー情報(図3に示す「1」)を具体的ポリシー情報(図3に示す「2」)に変換する。
S108において、ポリシー情報変換制御部11は、一のリソース200に対するアクセス制御が実行される際に、当該アクセス制御に複数のアプリケーション50が同時に用いられる場合には、当該複数のアプリケーション50に対応する具体的ポリシー情報(変換後の具体的ポリシー情報)に含まれる共通変数を共通変数記憶部13に設定する。
Then, the policy information
In S <b> 108, the policy information
例えば、「通信量が1Mbps以上である場合には通信量を800Mbpsに抑制する」というポリシー情報が存在し、複数のアプリケーション50が同時に用いられることにより当該ポリシー情報に関係する具体的ポリシー情報に従って一のリソース200に対するアクセス制御が実行される場合には、ポリシー情報変換制御部11は、当該複数のアプリケーション50に対応する具体的ポリシー情報に含まれる共通変数を共通変数記憶部13に設定する。
For example, there is policy information “suppress the communication amount to 800 Mbps when the communication amount is 1 Mbps or more”, and a plurality of
S109において、ポリシー情報変換制御部11は、変換後の具体的ポリシー情報をアクセス制御実行部20に送信する。
In S109, the policy information
S110において、アクセス制御実行部20は、ポリシー情報変換制御部11から受信した具体的ポリシー情報に従ってリソース200に対するアクセス制御を実行する。
In S <b> 110, the access
S111において、アクセス制御実行部20は、リソース200に対するアクセス制御の実行履歴や、変更した共通変数等を含むアクセス制御実行結果情報をポリシー情報変換制御部11に送信する。
In step S <b> 111, the access
かかる特徴によれば、アクセス制御装置100は、アプリケーション50毎に記憶された変換テーブル40のそれぞれのうち、利用しているアプリケーション50に対応する変換テーブル40「のみ」を参照し、当該抽象的ポリシー情報を具体的ポリシー情報に変換する。
According to such a feature, the
すなわち、アクセス制御装置100が、利用しているアプリケーション50に対応する変換テーブル40「のみ」を参照すればよく、それ以外の変換テーブルを参照する必要がないため、アクセス制御装置100は、必要以上に変換テーブル40を備える必要がなくなり、利用者がポリシー情報を記述する上での簡便性を損なうことなく、確実なアクセス制御を実現することができる。
That is, the
又、一のリソース200に対するアクセス制御が実行される際に、アクセス制御に複数のアプリケーション50が同時に用いられる場合には、アクセス制御装置100は、当該複数のアプリケーション50に具体的ポリシー情報に含まれる共通の変数を共通変数として設定する。
Further, when a plurality of
このため、アクセス制御装置100は、同時に実行される複数のアプリケーション50のそれぞれに対応する具体的ポリシー情報の抽象度が異なっても、当該共通変数を用いることにより当該複数のアプリケーション50に基づく包括的なアクセス制御を一のリソース200に対して実行することができる。
For this reason, the
次に、上記S111においてアクセス制御実行部20がアクセス制御実行結果情報をポリシー情報変換制御部11に送信した後のアクセス制御装置100の動作について図6を参照しながら説明する。
Next, the operation of the
図6に示すように、S201において、アクセス制御実行部20は、アクセス制御実行結果情報をポリシー情報変換制御部11に送信する。この処理は、上述したS111の処理と同様である。
As illustrated in FIG. 6, in S201, the access
S202において、ポリシー情報変換制御部11は、アクセス制御実行結果情報に共通変数の変更内容等が含まれていることに基づいて、共通変数記憶部13に記憶されている共通変数の内容等を更新する。
In S202, the policy information
S203において、ポリシー情報変換制御部11は、更新した共通変数等に基づいて具体的ポリシー情報を更新する。例えば、ポリシー情報変換制御部11は、複数のアプリケーション50で用いられる共通変数を更新した場合には、更新した共通変数を用いて当該複数のアプリケーション50のそれぞれに対応する具体的ポリシー情報を更新する。
In S203, the policy information
S204において、ポリシー情報変換制御部11は、更新した具体的ポリシー情報をアクセス制御実行部20に送信する。
In S <b> 204, the policy information
S205において、アクセス制御実行部20は、ポリシー情報変換制御部11から受信した具体的ポリシー情報に従ってリソース200に対するアクセス制御を実行する。なお、アクセス制御実行部20が上記アクセス制御実行結果情報をポリシー情報変換制御部11に送信することにより、アクセス制御装置100は、上記S202乃至上記S205と同様の処理を繰り返し実行する。
In S <b> 205, the access
かかる特徴によれば、アクセス制御装置100が、アクセス制御実行部20によるアクセス制御の結果に応じて共通変数を順次変更することにより、同時に実行している複数のアプリケーション50に対応する具体的ポリシー情報を適切に変更することができるため、アクセス制御装置100は、変更した具体的ポリシー情報に従って、適切なアクセス制御を一のリソース200に対して実行することができる。
According to this feature, the
次に、アクセス制御装置100に接続されたデバイス等が切替えられたことに伴ない、実行環境が切替えられた場合のアクセス制御装置100の動作について図7を参照しながら説明する。
Next, the operation of the
図7に示すように、S301において、実行環境情報検出部14は、実行環境が切替えられたことを検出する。
As shown in FIG. 7, in S301, the execution environment
S302において、実行環境情報検出部14は、切替えられた実行環境を示す実行環境情報300をポリシー情報変換制御部11に送信する。
In step S <b> 302, the execution environment
S303において、ポリシー情報変換制御部11は、実行環境情報検出部14から受信した実行環境情報300に基づいて、変換テーブル記憶部12に記憶された変換テーブル40における図4に示す「変換後」の内容のうち、当該実行環境情報300に関係する部分(図4に示す「A」)に上記実行環境情報300を設定する。
In S303, the policy information
S304乃至S309までの処理は上述したS106乃至S111までの処理と同様であるため、ここでの詳細な説明は省略する。 Since the processing from S304 to S309 is the same as the processing from S106 to S111 described above, detailed description thereof is omitted here.
かかる特徴によれば、実行環境(例えば、イーサネット(登録商標)の種類)が切替えられ、アクセス制御を実行する対象のリソース200(例えば、イーサネット(登録商標)に関係するリソース)が変更された場合には、アクセス制御装置100は、現在の具体的ポリシー情報を、切替えられた実行環境の内容に応じた具体的ポリシー情報(例えば、イーサネット(登録商標)に関係するシステムコールの引数を変更した具体的ポリシー情報)に変更する。
According to such a feature, when the execution environment (for example, the type of Ethernet (registered trademark)) is switched and the resource 200 (for example, the resource related to Ethernet (registered trademark)) to be subjected to access control is changed. In this case, the
このため、アクセス制御装置100は、実行環境が切替えられたことにより対象となるリソース200が変更されても、実行環境の内容に応じて具体的ポリシー情報を変更することにより、変更後のリソース200に対するアクセス制御を適切に実行することができる。
For this reason, even if the
次に、変換された具体的ポリシー情報がそのまま用いられずに適宜修正される場合のアクセス制御装置100の動作について図8を参照しながら説明する。
Next, the operation of the
図8に示すように、S401乃至S408までの処理は、上述した図5に示すS101乃至上記S108までの処理と同様であるため、ここでの詳細な説明は省略する。 As shown in FIG. 8, the processing from S401 to S408 is the same as the processing from S101 to S108 shown in FIG. 5 described above, and detailed description thereof will be omitted here.
S409において、ポリシー情報変換制御部11は、変換後の具体的ポリシー情報をポリシー情報修正部400に送信する。
In S409, the policy information
S410において、ポリシー情報修正部400は、ポリシー情報変換制御部11から受信した具体的ポリシー情報に対応する修正情報が設定されている場合には、該修正情報の内容に応じて該具体的ポリシー情報を変更する。
In S410, when the correction information corresponding to the specific policy information received from the policy information
S411において、ポリシー情報修正部400は、変更した具体的ポリシー情報をポリシー情報変換制御部11に送信する。
In step S <b> 411, the policy
S412において、ポリシー情報変換制御部11は、ポリシー情報修正部400から受信した具体的ポリシー情報をアクセス制御実行部20に送信する。
In step S <b> 412, the policy information
S413において、アクセス制御実行部20は、ポリシー情報変換制御部11から受信した具体的ポリシー情報に従ってリソース200に対するアクセス制御を実行する。
In S <b> 413, the access
S414において、アクセス制御実行部20は、リソース200に対するアクセス制御の実行履歴や、変更した共通変数等を含むアクセス制御実行結果情報をポリシー情報変換制御部11に送信する。
In S <b> 414, the access
かかる特徴によれば、アクセス制御装置100が、アクセス制御装置100を扱う通信事業者、サービスプロバイダ、アプリケーション開発者などの利用者により設定された修正情報の内容に応じて具体的ポリシー情報を変更するため、アクセス制御装置100は、当該利用者が所望するアクセス制御を適切に実行することができる。
According to such a feature, the
なお、本実施形態におけるポリシー情報変換部10は、アクセス制御装置100に備えられているが、これに限定されずに、ネットワークに接続されたサーバー(図示せず)に備えられてもよい。この場合には、ポリシー情報変換部10がアクセス制御装置100に備えられない分、ポリシー情報修正部400がアクセス制御装置100に備えられてもよい。
The policy information conversion unit 10 in the present embodiment is provided in the
なお、本実施形態におけるアクセス制御装置100は、ポリシー情報修正部400を備えていないが、これに限定されずにポリシー情報修正部400を備えてもよい。
The
(アクセス制御プログラム)
上記アクセス制御装置において動作するアクセス制御プログラムは、上記アクセス制御装置を構成する各部としてコンピュータを機能させるものである。アクセス制御プログラムは、記録媒体に記録されてもよい。この記録媒体は、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどが挙げられる。
(Access control program)
An access control program that operates in the access control device causes a computer to function as each unit constituting the access control device. The access control program may be recorded on a recording medium. Examples of the recording medium include a hard disk, a flexible disk, a compact disk, an IC chip, and a cassette tape.
以上、本発明の一例を説明したが、具体例を例示したに過ぎず、特に本発明を限定するものではなく、各部の具体的構成等は、適宜設計変更可能である。また、実施形態の作用及び効果は、本発明から生じる最も好適な作用及び効果を列挙したに過ぎず、本発明による作用及び効果は、実施形態に記載されたものに限定されるものではない。 As mentioned above, although an example of the present invention has been described, it is merely a specific example, and the present invention is not particularly limited, and the specific configuration and the like of each part can be appropriately changed in design. In addition, the functions and effects of the embodiments are merely a list of the most preferable functions and effects resulting from the present invention, and the functions and effects of the present invention are not limited to those described in the embodiments.
10…ポリシー情報変換部、11…ポリシー情報変換制御部、12…変換テーブル記憶部、13…共通変数記憶部、14…実行環境情報検出部、20…アクセス制御実行部、40…変換テーブル、50…アプリケーション、100…アクセス制御装置、200…リソース、300…実行環境情報、400…ポリシー情報修正部 DESCRIPTION OF SYMBOLS 10 ... Policy information conversion part, 11 ... Policy information conversion control part, 12 ... Conversion table storage part, 13 ... Common variable storage part, 14 ... Execution environment information detection part, 20 ... Access control execution part, 40 ... Conversion table, 50 ... Application, 100 ... Access control device, 200 ... Resource, 300 ... Execution environment information, 400 ... Policy information correction unit
Claims (7)
前記アプリケーションを介して入力された前記抽象的ポリシー情報に基づいて、前記アプリケーションに対応する前記変換テーブルを参照することにより、前記抽象的ポリシー情報を前記具体的ポリシー情報に変換するポリシー情報変換部と、
前記ポリシー情報変換部により変換された前記具体的ポリシー情報に従って、前記リソースに対する前記アクセス制御を実行するアクセス制御実行部と
を備えることを特徴とするアクセス制御装置。 Specific policy information in which rules for executing access control on resources are described, and a conversion table composed of abstract policy information in which the rules are described more abstractly than the specific policy information for each application A conversion table storage unit for storing;
A policy information conversion unit for converting the abstract policy information into the specific policy information by referring to the conversion table corresponding to the application based on the abstract policy information input via the application; ,
An access control execution unit that executes the access control for the resource according to the specific policy information converted by the policy information conversion unit;
An access control device comprising:
前記修正情報の内容に応じて前記具体的ポリシー情報を変更する具体的ポリシー情報修正部を備えることを特徴とする請求項1に記載のアクセス制御装置。 Correction information for the specific policy information is preset,
The access control apparatus according to claim 1, further comprising a specific policy information correction unit that changes the specific policy information according to the content of the correction information.
前記アクセス制御実行部は、前記複数の前記アプリケーションを同時に用いて前記一のリソースに対する前記アクセス制御を実行する場合には、前記共通変数を用いることを特徴とする請求項1に記載のアクセス制御装置。 When a plurality of applications are simultaneously used for the access control when the access control for one resource is executed, a common variable included in the specific policy information common to the plurality of applications is stored. A common variable storage unit
The access control apparatus according to claim 1, wherein the access control execution unit uses the common variable when executing the access control on the one resource by using the plurality of applications simultaneously. .
前記アプリケーションを介して入力された前記抽象的ポリシー情報に基づいて、前記アプリケーションに対応する前記変換テーブルを参照することにより、前記抽象的ポリシー情報を前記具体的ポリシー情報に変換するステップと、
前記ポリシー情報変換部により変換された前記具体的ポリシー情報に従って、前記リソースに対する前記アクセス制御を実行するステップと
を備えることを特徴とするアクセス制御方法。 Specific policy information in which rules for executing access control on resources are described, and a conversion table composed of abstract policy information in which the rules are described more abstractly than the specific policy information for each application Memorizing step;
Converting the abstract policy information into the specific policy information by referring to the conversion table corresponding to the application based on the abstract policy information input through the application;
And executing the access control on the resource according to the specific policy information converted by the policy information conversion unit.
リソースに対するアクセス制御を実行するための規則が記述された具体的ポリシー情報、及び前記具体的ポリシー情報よりも抽象的に前記規則が記述された抽象的ポリシー情報により構成された変換テーブルをアプリケーション毎に記憶する変換テーブル記憶部と、
前記アプリケーションを介して入力された前記抽象的ポリシー情報に基づいて、前記アプリケーションに対応する前記変換テーブルを参照することにより、前記抽象的ポリシー情報を前記具体的ポリシー情報に変換するポリシー情報変換部と、
前記ポリシー情報変換部により変換された前記具体的ポリシー情報に従って、前記リソースに対する前記アクセス制御を実行するアクセス制御実行部として機能させることを特徴とするアクセス制御プログラム。 Computer
Specific policy information in which rules for executing access control on resources are described, and a conversion table composed of abstract policy information in which the rules are described more abstractly than the specific policy information for each application A conversion table storage unit for storing;
A policy information conversion unit for converting the abstract policy information into the specific policy information by referring to the conversion table corresponding to the application based on the abstract policy information input via the application; ,
An access control program that functions as an access control execution unit that executes the access control for the resource according to the specific policy information converted by the policy information conversion unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005277307A JP2007087248A (en) | 2005-09-26 | 2005-09-26 | Access controller, access control method, and access control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005277307A JP2007087248A (en) | 2005-09-26 | 2005-09-26 | Access controller, access control method, and access control program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007087248A true JP2007087248A (en) | 2007-04-05 |
Family
ID=37974152
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005277307A Pending JP2007087248A (en) | 2005-09-26 | 2005-09-26 | Access controller, access control method, and access control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007087248A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009540461A (en) * | 2006-06-13 | 2009-11-19 | マイクロソフト コーポレーション | Declarative Management Framework (DECLARATIVEMAAGEENTENTRAMEWORK) |
-
2005
- 2005-09-26 JP JP2005277307A patent/JP2007087248A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009540461A (en) * | 2006-06-13 | 2009-11-19 | マイクロソフト コーポレーション | Declarative Management Framework (DECLARATIVEMAAGEENTENTRAMEWORK) |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Heorhiadi et al. | Simplifying {Software-Defined} Network Optimization Using {SOL} | |
Mizouni et al. | A framework for context-aware self-adaptive mobile applications SPL | |
US8615755B2 (en) | System and method for managing resources of a portable computing device | |
WO2016013200A1 (en) | Information processing system and network resource management method | |
US8601484B2 (en) | System and method for managing resources and markers of a portable computing device | |
KR20190020073A (en) | Acceleration resource processing method and apparatus, and network function virtualization system | |
JP2006244451A (en) | Resource management system, resource management program, and resource management method | |
CA2568565A1 (en) | System and method for implementing a general application program interface | |
JP2005056391A (en) | Method and system for balancing workload of computing environment | |
KR101619002B1 (en) | System and method for managing resources of a portable computing device | |
JP2005346573A (en) | Web service providing method, server device and client terminal in web service system, web service system, web service program, and recording medium | |
US8914815B2 (en) | Automated framework for tracking and maintaining kernel symbol list types | |
WO2013146047A1 (en) | Information processing device, information processing method, server device, retrieval method, and information processing system | |
US20130185763A1 (en) | Distributed processing system, distributed processing method and computer-readable recording medium | |
JP2007087248A (en) | Access controller, access control method, and access control program | |
US10642580B1 (en) | Simplifying and reusing visual programming graphs | |
Amundsen et al. | A resource and context model for mobile middleware | |
US7975185B2 (en) | Method and management system for configuring an information system | |
JP6781126B2 (en) | Virtual machine setting input system, virtual machine setting input method, and program | |
Nam et al. | Operator-defined reconfigurable network OS for software-defined networks | |
US10678515B1 (en) | Simplifying and reusing visual programming graphs | |
Handte et al. | Supporting pluggable configuration algorithms in pcom | |
Heorhiadi et al. | Accelerating the development of software-defined network optimization applications using SOL | |
Hamed et al. | IoTManager: concerns-based SDN management framework for IoT networks | |
JP2017215901A (en) | Information processing device, information processing system and program |