JP2008234510A - データ管理システム及び方法並びにプログラム - Google Patents
データ管理システム及び方法並びにプログラム Download PDFInfo
- Publication number
- JP2008234510A JP2008234510A JP2007075833A JP2007075833A JP2008234510A JP 2008234510 A JP2008234510 A JP 2008234510A JP 2007075833 A JP2007075833 A JP 2007075833A JP 2007075833 A JP2007075833 A JP 2007075833A JP 2008234510 A JP2008234510 A JP 2008234510A
- Authority
- JP
- Japan
- Prior art keywords
- information
- storage area
- stored
- file data
- access right
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】迅速かつ簡易な処理にてファイルデータのアクセス権の変更を実現でき、ユーザ及び管理者の利便性の向上を図ることができるデータ管理システムを提供すること。
【解決手段】所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理システムであって、管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定するアクセス権情報設定手段と、記憶領域指定情報にて指定される記憶領域に、アクセス権情報を記憶するアクセス権情報管理手段と、を備えた。
【選択図】図1
【解決手段】所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理システムであって、管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定するアクセス権情報設定手段と、記憶領域指定情報にて指定される記憶領域に、アクセス権情報を記憶するアクセス権情報管理手段と、を備えた。
【選択図】図1
Description
本発明は、データ管理システムにかかり、特に、データに対するアクセス権を管理するデータ管理システムに関する。
近年、コンピュータ普及、及び、ネットワーク技術の向上により、電子データ(ファイルデータ)を複数のユーザにて利用可能なようネットワーク上のサーバコンピュータで管理することが一般的に行われている。一方で、このようなファイル共有システムにて共有可能としているファイルデータの中には、秘密情報や個人情報など不特定のユーザに利用されることを望まない情報も存在する。このため、ファイル共有システムでは、ファイルデータ毎にアクセス権を設定し、ユーザ認証することが行われている。例えば、下記特許文献1では、ファイルデータ毎にアクセス可能なユーザのID及びアクセス内容を記憶したテーブルを保持して管理している。
そして、NAS(Network Attached Storage)を利用したシステムにおいては、ユーザを認証する複数の認証サーバが存在する場合が生じるが、上述したようなアクセス権を付与する方式では、別の認証サーバでのアクセス権がつけられたファイルにアクセスすることはできない。すると、例えば、認証サーバ間のユーザおよびグループの移動や、認証サーバ内でのユーザ名・グループ名の変更といった日常的に生じるアクセス権の変更といった状況においては、ユーザ自身はアクセス権を有しているにも関わらず、アクセスすることができない、という問題が生じる。
そして、上記問題に対応するためには、ファイルデータに含まれるアクセス権情報を変更しなければならないが、全ての情報を書き換えるには多大な時間と手間を要する、という問題が生じる。また、上記問題を解決するに、認証サーバ間で変更前後のユーザを対応付けるといったマッピングが必要となるが、多くの場合、これは認証サーバの相互認証や認証情報の包含という形を取らなければならない。しかしながら、このような処理は容易ではなく、依然として迅速に対応できず、また、手間やコストがかかる、という問題が生じていた。
このため、本発明では、上記従来例の有する不都合を改善し、特に、迅速かつ簡易な処理にてファイルデータのアクセス権の変更を実現でき、ユーザ及び管理者の利便性の向上を図ることができるデータ管理システムを提供する、ことをその目的とする。
そこで、本発明の一形態は、
所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理システムであって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定するアクセス権情報設定手段と、
記憶領域指定情報にて指定される記憶領域に、アクセス権情報を記憶するアクセス権情報管理手段と、
を備えたことを特徴としている。
所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理システムであって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定するアクセス権情報設定手段と、
記憶領域指定情報にて指定される記憶領域に、アクセス権情報を記憶するアクセス権情報管理手段と、
を備えたことを特徴としている。
上記発明によると、まず、ファイルデータ内には、アクセス可能者情報が記憶される記憶領域の指定情報が格納されており、その指定された記憶領域には、ファイルデータへのアクセス可能者を特定するアクセス可能者情報が記憶されている。これにより、ファイルデータに記憶された記憶領域指定情報に基づいてアクセス可能者情報を取得することができるため、ファイルデータのアクセス権を判定することができ、当該ファイルデータの利用者を適切に管理することができる。また、後にアクセス可能者が変更された場合であっても、多数存在するファイルデータ内の情報をそれぞれ変更する必要が無く、記憶領域指定情報にて指定される記憶領域内のアクセス可能者情報のみを変更すればよいため、迅速かつ容易にアクセス権の変更に対応することができ、管理の容易化を図ることができる。
また、ファイルデータに含まれる記憶領域指定情報は、所定の記憶装置内におけるデータ格納位置を特定する格納位置情報である、ことを特徴としている。これにより、アクセス可能者情報が記憶される具体的な格納位置が特定されるため、アクセス可能者情報の参照を迅速に実行でき、ファイル管理の迅速化を図ることができる。
また、格納位置情報は、アクセス可能者ごとに固有である、ことを特徴としている。これにより、アクセス可能者毎のアクセス権の設定が可能となり、利便性が向上しうる。
また、アクセス可能者は、単独のアクセス可能者、あるいは、複数のアクセス可能者によるグループ、である、ことを特徴としている。これにより、アクセス可能者個人ごと、あるいは、アクセス可能者が所属する部署などの属性ごとに、アクセス権を設定することができる。
また、上記構成に加え、予め設定された前記アクセス可能者に固有の識別情報から、前記格納位置情報を生成する位置情報生成手段を備えた、ことを特徴としている。これにより、まず、アクセスしてきたアクセス者に固有の識別情報から格納位置情報を生成する。そして、この生成された格納位置情報を、上述したようにファイルデータに記憶設定し、その格納位置にアクセス可能者情報を格納することで、上述同様に、アクセス権の管理を行うことができる。
さらに、データ管理システムは、ファイルデータに対するアクセス可能者の変更時に、変更前のアクセス可能者に対応する格納位置情報にて指定されるデータ格納位置に、変更後のアクセス可能者を特定するアクセス可能者情報を記憶するアクセス権変更手段を備えた、ことを特徴としている。また、アクセス権変更手段は、変更後のアクセス可能者情報が変更前に格納されていたデータ格納位置に、変更後のアクセス可能者情報が記憶されたデータ格納領域の格納位置情報を記憶する、ことを特徴としている。
これにより、後にアクセス可能者が変更された場合であっても、各ファイルデータ内の情報を変更する必要が無く、格納位置情報にて指定されるデータ格納位置のアクセス権情報のみを変更することで、ファイルデータ内の格納位置情報を参照してアクセス権を参照することができる。従って、アクセス権の変更を迅速かつ容易に実行することができる。
また、ファイルデータに記憶された格納位置情報を、アクセス権変更手段による変更後のアクセス可能者情報が変更前に格納されていたデータ格納位置を表す格納位置情報に変更すると共に、この格納位置情報にて指定されるデータ格納位置にアクセス権変更手段による変更後のアクセス可能者情報を記憶するアクセス権整理手段を備えた、ことを特徴としている。
これにより、ファイルデータ内の格納位置情報が変更後のアクセス可能者に対応して変更され、また、これに併せて、格納位置情報に対応するデータ格納位置にアクセス可能者のアクセス可能者情報が記憶される。従って、アクセス可能者情報が記憶されている記憶領域を整理することができ、アクセス権管理の効率化を図ることができる。
また、本発明のデータ管理システムは、所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求されたファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されているアクセス可能者情報と、に基づいてアクセス権を判定するアクセス権判定手段を備えた、ことを特徴としている。
そして、本発明の他の形態は、
所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理システムであって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス権情報が記憶された記憶領域を指定する記憶領域指定情報が当該ファイルデータ内に記憶されている場合に、
所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求されたファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されているアクセス可能者情報と、に基づいてアクセス権を判定するアクセス権判定手段を備えた、
ことを特徴としている。
所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理システムであって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス権情報が記憶された記憶領域を指定する記憶領域指定情報が当該ファイルデータ内に記憶されている場合に、
所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求されたファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されているアクセス可能者情報と、に基づいてアクセス権を判定するアクセス権判定手段を備えた、
ことを特徴としている。
さらに、本発明の他の形態は、
コンピュータにて、所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理方法であって、
コンピュータが、管理対象となるファイルデータのアクセス可能者を特定するアクセス権情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定すると共に、これに前後して、記憶領域指定情報にて指定される記憶領域にアクセス可能者情報を記憶する、
ことを特徴としている。
コンピュータにて、所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理方法であって、
コンピュータが、管理対象となるファイルデータのアクセス可能者を特定するアクセス権情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定すると共に、これに前後して、記憶領域指定情報にて指定される記憶領域にアクセス可能者情報を記憶する、
ことを特徴としている。
そして、コンピュータが、ファイルデータに対するアクセス可能者の変更時に、変更前のアクセス可能者に対応する格納位置情報にて指定されるデータ格納位置に、変更後のアクセス可能者を特定するアクセス可能者情報を記憶する、ことを特徴としている。
また、本発明のさらに他の形態は、
コンピュータにて、所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理方法であって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶された記憶領域を指定する記憶領域指定情報が当該ファイルデータ内に記憶されている場合に、
コンピュータが、所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求されたファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されているアクセス可能者情報と、に基づいてアクセス権を判定する、
ことを特徴としている。
コンピュータにて、所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理方法であって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶された記憶領域を指定する記憶領域指定情報が当該ファイルデータ内に記憶されている場合に、
コンピュータが、所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求されたファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されているアクセス可能者情報と、に基づいてアクセス権を判定する、
ことを特徴としている。
また、本発明の他の形態であるプログラムは、
所定の記憶装置に記憶されたファイルデータのアクセス権を管理するコンピュータに、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定するアクセス権情報設定手段と、
記憶領域指定情報にて指定される記憶領域に、アクセス可能者情報を記憶するアクセス権情報管理手段と、
を実現させる、ことを特徴としている。
所定の記憶装置に記憶されたファイルデータのアクセス権を管理するコンピュータに、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定するアクセス権情報設定手段と、
記憶領域指定情報にて指定される記憶領域に、アクセス可能者情報を記憶するアクセス権情報管理手段と、
を実現させる、ことを特徴としている。
さらに、本発明であるプログラムの他の形態は、
所定の記憶装置に記憶されたファイルデータのアクセス権を管理するコンピュータに、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶された記憶領域を指定する記憶領域指定情報が当該ファイルデータ内に記憶されており、
所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求されたファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されている前記アクセス可能者情報と、に基づいてアクセス権を判定するアクセス権判定手段、
を実現させる、ことを特徴としている。
所定の記憶装置に記憶されたファイルデータのアクセス権を管理するコンピュータに、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶された記憶領域を指定する記憶領域指定情報が当該ファイルデータ内に記憶されており、
所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求されたファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されている前記アクセス可能者情報と、に基づいてアクセス権を判定するアクセス権判定手段、
を実現させる、ことを特徴としている。
上述した構成や方法、プログラムの発明であっても、上記データ管理システムと同様に作用するため、上述した本発明の目的を達成することができる。
本発明は、以上のように構成され機能するので、これによると、ファイルデータの利用者を適切に管理することができると共に、後にアクセス可能者が変更された場合であっても、多数存在するファイルデータ内のアクセス権情報をそれぞれ変更する必要が無く、記憶領域指定情報にて指定される記憶領域内のアクセス可能者情報のみを変更すればよいため、迅速かつ容易にアクセス権の変更に対応することができ、管理の容易化を図ることができる。従って、ファイルデータを管理するシステムにおいて、データを利用するユーザ及びシステムを管理する管理者の利便性の向上を図ることができる、という従来にない優れた効果を有する。
本発明は、NAS(Network Attached Storage)に格納されたデータに付与されたアクセス権情報の中に、アクセス権を有するユーザやグループなどの識別子(NASが接続されているネットワークで一意な値)を記録せず、識別子はNAS上で集中管理した管理テーブルに分離して格納し、データ毎に付与されたアクセス権情報には、管理テーブル上の格納位置のみを記録する、という点に特徴を有する。以下、具体的なシステム構成及び動作を、実施例にて説明する。
本発明の第1の実施例を、図1乃至図10を参照して説明する。図1は、システム全体の構成を示す概略図であり、図2は、NASの構成を示す機能ブロック図である。図3乃至図8は、データ管理の様子を示す説明図である。図9乃至図10は、システムの動作を示すフローチャートである。
[構成]
図1に示すように、本実施例におけるシステムは、ネットワークを介して接続されている認証サーバA,B,Cと、NAS装置1と、NASに格納されているファイルデータにアクセスするユーザ端末2と、を備えて構成されている。そして、NAS装置1(Network Attached Storage)に後述するようなアクセス権が設定されたファイルデータ郡が格納されており、これらファイルデータに対してユーザ端末2がアクセスすることを実現するようシステムが構築されている。
図1に示すように、本実施例におけるシステムは、ネットワークを介して接続されている認証サーバA,B,Cと、NAS装置1と、NASに格納されているファイルデータにアクセスするユーザ端末2と、を備えて構成されている。そして、NAS装置1(Network Attached Storage)に後述するようなアクセス権が設定されたファイルデータ郡が格納されており、これらファイルデータに対してユーザ端末2がアクセスすることを実現するようシステムが構築されている。
また、ファイルデータにアクセスを希望するユーザ端末2のログイン認証は、NAS装置1のユーザは当該NAS装置1に装備されている認証機能(ローカル認証機能)を利用して実行され、他の認証サーバA、B,Cのユーザは当該各認証サーバA,B,Cを利用して実行される。ここでは、図1に示すように、各認証サーバA,B,C及びNAS1には、それぞれログイン可能なユーザ名及びグループ名が登録されており、このユーザ名及びグループ名に対する固有の識別情報であるユーザ識別子及びグループ識別子を含むログイン情報が登録されている。例えば、認証サーバAには、ユーザ名:USER1に対応するユーザ識別子:A−U1が登録されており、グループ名:GROUP1に対応するグループ識別子:A−G1が、グループ名:GROUP2に対応するグループ識別子:A−G2がそれぞれ登録されている。なお、各識別子は、NAS1が接続されたネットワーク上では固有である。
次に、NAS装置1について詳述する。NAS装置1は、ネットワークに直接接続して使用されるストレージ装置であり、図2に示すように、CPUといった演算装置1Aと、ハードディスクドライブといった記憶装置1Bと、を備えている。そして、記憶装置1B内には、上述したユーザ端末2にて利用されうるファイルデータを格納するファイルデータ記憶部16が形成されており、ファイルサーバとして機能している。以下、さらにNAS装置1の構成について詳述する。
NAS装置1の演算装置1Aには、データ管理用プログラムが組み込まれることによって、図2に示すように、認証処理部11と、ファイル処理部12と、アクセス権設定処理部13と、テーブル管理処理部14と、が構築されている。また、記憶装置1Bには、上述したファイル記憶部16と、管理テーブル記憶部17と、ログイン情報記憶部15と、が形成されている。
上記ログイン情報記憶部15には、図1に示したように、NAS装置1にログイン可能なユーザ及びグループの情報(ユーザ名:ユーザ識別子、及び、グループ名:グループ識別子)、つまり、ログイン情報が記憶されている。そして、このログイン情報を利用してユーザ認証処理を上述した認証処理部11が行う。この認証処理部11は、具体的には、ユーザ端末2からのアクセス時にユーザ名やそのユーザが所属しているグループ名を受け付けて、ログイン情報に基づいて認証を行い、認証が成功したユーザ端末2のユーザ名やグループ名に対応するユーザ識別子やグループ識別子を特定して、ファイル処理部12に渡す。さらに、この認証処理部11は、他の認証サーバA,B,Cにて認証が成功し、当該各認証サーバA,B,Cから送信されたユーザ識別子やグループ識別子をファイル処理部12に渡す機能も有する。なお、他の認証サーバA,B,Cは、それぞれ上述したようなログイン情報を記憶しており、ログインしてきたユーザ端末2の認証を行って、認証が成功したユーザのユーザ識別子やグループ識別子をNAS装置1に送信するよう作動する。
また、上記ファイル処理部12は、ファイル記憶部16に対するファイルデータの読み出し及び書込みを行う機能を有する。このとき、後述するように、ログインしてきたユーザ端末2(他の認証サーバA,B,C経由でログインしてきたユーザ端末を含む)からのファイルデータのアクセス要求やデータ登録要求を受け付けて、ファイルデータの書き込み、あるいは、読み出しを行う。具体的に、例えば、図3に示すようなユーザのログイン情報を取得した場合には、図4に示すように、そのユーザ識別子やグループ識別子(図4(1))から、各識別子のハッシュ値を算出し(図4(2))、これら識別子の格納位置情報(図4(3))を求める(位置情報生成手段)。ここで、ハッシュ計算により求めた格納位置情報は、各識別子が固有の情報であるため、格納位置情報もユーザ毎あるいはグループ毎に固有の情報となる。そして、算出した格納位置情報は、例えば、図4に示すように、管理テーブル記憶部17内の管理テーブルにおけるファイル名(図4(4))とオフセット(図4(5))に分けられ、ファイルデータにアクセスする際や、アクセス権を新たに登録する際に利用される。なお、ファイルデータのアクセス権を登録する処理は、アクセス権設定処理部13及びテーブル管理処理部14にて実行される。
上記アクセス権設定処理部13(アクセス権情報設定手段)は、上記算出した格納位置情報を、ファイルデータ4のアクセス権情報41内に格納する。ここで、ファイル記憶部16に記憶されているファイルデータ4は、図6に示すように、アクセス権情報41と実データ42とにより構成されている。ここで、従来例では、図7に示すように、ファイルデータ4’のアクセス可能者を表すユーザ/グループ識別子をそのままアクセス権情報41’内に記憶しているが、本実施例では、後述する図6に示すように、ユーザ/グループ識別子が格納される管理テーブルのデータ格納位置を指定する格納位置情報のみを登録する。このとき、ファイルデータ4のアクセス権情報41には、上述した格納位置情報毎に、アクセス権限(参照可能、更新可能など)を表す情報も対応付けて記憶されている。
そして、テーブル管理処理部14(アクセス権情報管理手段)は、上記格納位置情報にて指定されるデータ格納位置、つまり、管理テーブル記憶部17内に記憶されている管理テーブル内のデータ格納位置に、そのユーザ/グループ識別子(アクセス可能者情報)を格納する。例えば、上記図4(3)に示すように算出された格納位置情報「0x74af087e」の場合には、この情報を利用して、管理テーブル3内のファイル「74」、オフセット「0xaf087e」のデータ格納位置に、識別子「A−G1」を格納する。なお、管理テーブル3に対する識別子の登録は、新規のユーザ端末2からのアクセスがあったときにも実行される。
以上のようにして、図6に示すように、ファイルデータ4のアクセス権情報41内には、管理テーブル3のデータ格納位置を示す格納位置情報が記憶され、この格納位置情報に対応する管理テーブル3内のデータ格納位置には、図5に示すように、そのファイルデータ4にアクセス可能なユーザ/グループの識別子が記憶される。従って、図8の点線に示すように、各ファイルデータ4のアクセス権情報41内に記憶される格納位置情報に、管理テーブル3の所定のデータ格納位置が対応することとなり、かかるデータ格納位置の識別子を参照することで、アクセス可能なユーザ/グループを判定することができる。
そして、上述のようにアクセス権情報が登録されたファイルデータ4に対するファイルアクセスは、ファイル処理部12(アクセス権判定処理部)にて実行される。つまり、ファイル処理部12は、アクセスしてきたユーザのログイン情報(アクセス者情報)を取得して上述したように、その識別子からハッシュ計算により格納位置情報を算出する。そして、この格納位置情報に基づいて、アクセスを要求しているファイルデータ4のアクセス権情報41内の格納位置情報を調べ、そのデータ格納位置に記憶されている識別子とログインしたユーザの識別子とを比較する。一致していれば、アクセス権情報41内に記憶されているアクセス権限に基づいてアクセス権限を決定する。
[動作]
次に、上記構成のNAS装置1にて、ファイルデータのアクセス権を設定するとき、及び、ファイルデータにアクセスするときの動作を、図9乃至図10を参照して説明する。
次に、上記構成のNAS装置1にて、ファイルデータのアクセス権を設定するとき、及び、ファイルデータにアクセスするときの動作を、図9乃至図10を参照して説明する。
まず、ユーザ端末2からのアクセス時にユーザ名やそのユーザが所属しているグループ名を受け付けて、記憶しているログイン情報に基づいて認証を行い、認証が成功したユーザ端末2のユーザ名やグループ名に対応するユーザ識別子やグループ識別子を取得する(ステップS1)。なお、他の認証サーバA,B,Cにてログイン認証が成功したユーザ端末2に対しても同様に、識別子を取得する。ここでは、認証サーバAのグループ1の識別子「A−G1」を取得したこととする。続いて、この取得した識別子「A−G1」から、図4に示すようにハッシュ値を算出し、これら識別子の格納位置情報を求める(ステップS2)。
その後、ファイルデータ4に対するアクセス権の設定の場合には(ステップS3にてイエス)、図6に示すように、ファイルデータ4のアクセス権情報41内に上述したように求めた識別子「A−G1」の格納位置情報を、そのグループユーザのアクセス権限情報と共に記憶する(ステップS4)。同時に、上記格納位置情報にて指定される管理テーブル3内のデータ格納位置に、識別子「A−G1」を記憶する(ステップS5)。
一方、アクセスしてきたユーザ端末2が、ファイルデータにアクセスする場合を(ステップS3でノー、ステップS6でイエス)、図10のフローチャートを参照して説明する。まず、上述したように、アクセスしてきたユーザのログイン情報である識別子を取得して(ステップS1)、その識別子からハッシュ計算により格納位置情報を算出する(ステップS2)。そして、この格納位置情報に基づいて、アクセスを要求しているファイルデータ4のアクセス権情報41内の格納位置情報を調べ(ステップS7)、当該格納位置情報のデータ格納位置に記憶されている識別子と、ログインしたユーザの識別子とを比較する(ステップS8)。一致していれば(ステップS8でイエス)、アクセス権情報41内に記憶されているアクセス権限に基づいてアクセス権限を決定し(ステップS9)、そのアクセス権限の範囲内でアクセスを許可する(ステップS10)。一方、識別子が一致しなければ、ファイルデータへのアクセスは不可とする(ステップS11)。
ここで、ユーザ端末2からのファイルアクセス時のアクセス権の判定は、上述した処理に限定されない。例えば、ログイン時にアクセスが要求されたファイルデータのアクセス権情報内の格納位置情報を参照して、そのデータ格納位置に記憶されている識別子と、ログイン時に取得した識別子と、を照合することで判定してもよい。あるいは、ログイン時に取得した識別子のハッシュ計算によって求められた格納位置情報が、アクセス要求するファイルデータのアクセス権情報内に存在することを調べるだけで、アクセス権を判定してもよい。
ここで、上記では、ファイルデータ4のアクセス権情報に記憶される識別子の格納位置情報は、より具体的な格納位置を示すよう例示しているが、さらに広く、識別子が格納される記憶装置や記憶領域(ドライブ名、ファイル名など)を指定する情報(記憶領域指定情報)であってもよい。
次に、本発明の第2の実施例を、図11乃至図17を参照して説明する。図11乃至図13は、ファイルデータのアクセス権を変更する場合を説明する図であり、図14乃至図15は、管理テーブルを整理する場合を説明する図である。また、図16乃至図17は、種々のアクセス権の変更例を示す図である。
まず、図11に示すように、認証サーバAのユーザ及びグループを、認証サーバCに移動する場合を説明する。つまり、同一のユーザ及びグループが、管理上、認証サーバAによって行われた認証処理を、認証サーバCで行うよう変更した場合を示している。具体的に、例えば、認証サーバAのGROUP1:識別子A−G1を、認証サーバCのGROUP1:識別子C−G1に変更する場合を説明する。なお、変更処理は、上述したNAS装置1内に構築されたテーブル管理処理部14(アクセス権変更手段)が以下のように作動することによって実現される。
まず、上述したように、ファイルデータ4のアクセス権情報41には、変更前のアクセス可能者であるグループの識別子A−G1の格納位置情報が記憶されていると共に、この格納位置情報が指定する管理テーブル3内のデータ格納位置(符号31)には、図12(a)に示すように、識別子A−G1が記憶されている。
そして、変更要求を受けると、変更前の識別子A−G1と変更後の識別子C−G1をハッシュ計算してそれぞれの格納位置情報を生成する(ステップS21)。続いて、変更後の識別子C−G1のデータ格納位置(符号32)に、変更前の識別子A−G1のデータ格納位置(符号31)を指定する格納位置情報を記憶する(ステップS22)。つまり、識別子C−G1が記憶されていたデータ格納位置(符号32)に、識別子A−G1(符号31)へのリンク情報が記憶される。
続いて、管理テーブル3内で変更前の識別子A−G1が記憶されている符号31のデータ格納位置に、変更後の識別子C−G1を記憶する(ステップS23)。これにより、新たなユーザ名やグループ名でアクセスした場合に、識別子から算出した格納位置情報を参照することで、符号32のデータ格納位置を介して符号31の格納位置情報を取得することができる。そして、ファイルデータ4のアクセス権情報41内の格納位置情報(変更前のA−G1の格納位置情報)によるデータ格納位置の識別子を比較することで、アクセス権の判定を行うことができる。
続いて、上述したように管理テーブル3内の変更を行った後に、当該管理テーブル3内を整理する場合を、図14乃至図15を参照して説明する。なお、この管理テーブルの整理は、例えば、ファイルシステムの再構築に実行され、上述したNAS装置1内に構築されたアクセス権設定処理部13及びテーブル管理処理部14(アクセス権整理手段)が以下のように作動することによって実現される。
まず、上述した図11乃至図13にて説明したアクセス権の変更後に、アクセス権設定処理部13にて、ファイルデータ4のアクセス権情報41内に記憶されたアクセス可能者を特定する識別子の格納位置情報を、正しいアクセス可能者の識別子の格納位置情報に修正する。つまり、図14の例では、ファイルデータ4のアクセス権情報としてA−G1の格納位置情報(符号31)が記憶されているが、これを、変更後の識別子C−G1の格納位置情報(符号32)に変更して記憶する(ステップS31)。その後、テーブル管理処理部14にて、変更後の識別子C−G1が記憶されていた元のデータ格納位置(符号32)に、当該変更後の識別子C−G1を記憶して元に戻す(ステップS32)。同時に、符号32の領域から符号31の領域へのリンクを解除する。最後に、変更前の識別子A−G1がはじめに記憶されていた領域(符号31)を再利用可能となるよう処理する(ステップS33)。
なお、上記識別子の変更は、例えば、以下のような状況にも利用することができる。例えば、図16に示すように、ユーザが所属する部署名の変更に合わせ、グループ名を変更する場合が考えられる。その場合に、認証サーバAで旧部署名”GROUP1”が、新しい部署名”GROUP2”に変更になった場合に、管理テーブル内の識別子の登録を、表に示すよう変更すればよく、手間をかけることなく、データ管理の効率化を図ることができる。また、同様に、NAS上で認証されるユーザやグループを、外部認証サーバでの一括管理に変更する場合がある。この場合には、例えば、管理テーブル上のNAS(ローカル認証サーバ)のすべてのユーザおよびグループの識別子を、上述したように、認証サーバCに追加したユーザやグループの識別子に変更すればよい。
以上のように、本発明によると、後にアクセス可能者が変更された場合であっても、各ファイルデータ内の情報を変更する必要が無く、当該ファイルデータ内に記憶されている格納位置情報にて指定されるデータ格納位置に格納されているユーザやグループの識別子を変更すればよい。従って、迅速かつ容易にアクセス権の変更に対応することができ、管理の容易化を図ることができる。
本発明は、NAS装置などのファイルデータのアクセス権を管理するファイル管理システムに利用することができ、産業上の利用可能性を有する。
1 NAS装置
2 ユーザ端末
3 管理テーブル
4 ファイルデータ
11 認証処理部
12 ファイル処理部
13 アクセス権設定処理部
14 テーブル管理処理部
15 ログイン情報記憶部
16 ファイル記憶部
17 管理テーブル記憶部
41 アクセス権情報
A,B,C 認証サーバ
2 ユーザ端末
3 管理テーブル
4 ファイルデータ
11 認証処理部
12 ファイル処理部
13 アクセス権設定処理部
14 テーブル管理処理部
15 ログイン情報記憶部
16 ファイル記憶部
17 管理テーブル記憶部
41 アクセス権情報
A,B,C 認証サーバ
Claims (15)
- 所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理システムであって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定するアクセス権情報設定手段と、
前記記憶領域指定情報にて指定される記憶領域に、前記アクセス可能者情報を記憶するアクセス権情報管理手段と、
を備えたことを特徴とするデータ管理システム。 - 前記ファイルデータに含まれる前記記憶領域指定情報は、所定の記憶装置内におけるデータ格納位置を特定する格納位置情報である、
ことを特徴とする請求項1記載のデータ管理システム。 - 前記格納位置情報は、アクセス可能者ごとに固有である、
ことを特徴とする請求項2記載のデータ管理システム。 - 前記アクセス可能者は、単独のアクセス可能者、あるいは、複数のアクセス可能者によるグループ、である、
ことを特徴とする請求項2又は3記載のデータ管理システム。 - 予め設定された前記アクセス可能者に固有の識別情報から、前記格納位置情報を生成する位置情報生成手段を備えた、
ことを特徴とする請求項2,3又は4記載のデータ管理システム。 - 前記ファイルデータに対するアクセス可能者の変更時に、変更前のアクセス可能者に対応する前記格納位置情報にて指定されるデータ格納位置に、変更後のアクセス可能者を特定するアクセス可能者情報を記憶するアクセス権変更手段を備えた、
ことを特徴とする請求項3,4又は5記載のデータ管理システム。 - 前記アクセス権変更手段は、前記変更後のアクセス可能者情報が変更前に格納されていたデータ格納位置に、前記変更後のアクセス可能者情報が記憶されたデータ格納領域の格納位置情報を記憶する、
ことを特徴とする請求項6記載のデータ管理システム。 - 前記ファイルデータに記憶された前記格納位置情報を、前記アクセス権変更手段による変更後の前記アクセス可能者情報が変更前に格納されていたデータ格納位置を表す格納位置情報に変更すると共に、この格納位置情報にて指定されるデータ格納位置に前記アクセス権変更手段による変更後の前記アクセス可能者情報を記憶するアクセス権整理手段を備えた、
ことを特徴とする請求項7記載のデータ管理システム。 - 所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求された前記ファイルデータ内の前記記憶領域指定情報にて指定された前記記憶領域に記憶されている前記アクセス可能者情報と、に基づいてアクセス権を判定するアクセス権判定手段を備えた、
ことを特徴とする請求項1,2,3,4,5,6,7又は8記載のデータ管理システム。 - 所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理システムであって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶された記憶領域を指定する記憶領域指定情報が当該ファイルデータ内に記憶されている場合に、
所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求された前記ファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されている前記アクセス可能者情報と、に基づいてアクセス権を判定するアクセス権判定手段を備えた、
ことを特徴とするデータ管理システム。 - コンピュータにて、所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理方法であって、
前記コンピュータが、管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定すると共に、これに前後して、前記記憶領域指定情報にて指定される記憶領域に前記アクセス可能者情報を記憶する、
ことを特徴とするデータ管理方法。 - 前記コンピュータが、前記ファイルデータに対するアクセス可能者の変更時に、変更前のアクセス可能者に対応する前記格納位置情報にて指定されるデータ格納位置に、変更後のアクセス可能者を特定するアクセス可能者情報を記憶する、
ことを特徴とする請求項11記載のデータ管理方法。 - コンピュータにて、所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理方法であって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶された記憶領域を指定する記憶領域指定情報が当該ファイルデータ内に記憶されている場合に、
前記コンピュータが、所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求された前記ファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されている前記アクセス可能者情報と、に基づいてアクセス権を判定する、
ことを特徴とするデータ管理方法。 - 所定の記憶装置に記憶されたファイルデータのアクセス権を管理するコンピュータに、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定するアクセス権情報設定手段と、
前記記憶領域指定情報にて指定される記憶領域に、前記アクセス可能者情報を記憶するアクセス権情報管理手段と、
を実現させるためのプログラム。 - 所定の記憶装置に記憶されたファイルデータのアクセス権を管理するコンピュータに、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶された記憶領域を指定する記憶領域指定情報が当該ファイルデータ内に記憶されており、
所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求された前記ファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されている前記アクセス可能者情報と、に基づいてアクセス権を判定するアクセス権判定手段、
を実現させるためのプログラム、
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007075833A JP4780010B2 (ja) | 2007-03-23 | 2007-03-23 | データ管理システム及び方法並びにプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007075833A JP4780010B2 (ja) | 2007-03-23 | 2007-03-23 | データ管理システム及び方法並びにプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008234510A true JP2008234510A (ja) | 2008-10-02 |
| JP4780010B2 JP4780010B2 (ja) | 2011-09-28 |
Family
ID=39907178
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007075833A Expired - Fee Related JP4780010B2 (ja) | 2007-03-23 | 2007-03-23 | データ管理システム及び方法並びにプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4780010B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012133572A (ja) * | 2010-12-21 | 2012-07-12 | Nippon Telegr & Teleph Corp <Ntt> | 認証装置、認証方法、認証プログラムおよび認証システム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06335165A (ja) * | 1993-05-17 | 1994-12-02 | Hitachi Ltd | 電力系統監視制御システムのデータベース構成方法及び装置、並びに電力系統監視制御システムのデータベース管理方法及び装置、電力系統監視制御システム |
| JP2003223353A (ja) * | 2001-12-12 | 2003-08-08 | Pervasive Security Systems Inc | 保全された項目に対する保全情報の管理機能を与えるシステム及び方法 |
-
2007
- 2007-03-23 JP JP2007075833A patent/JP4780010B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06335165A (ja) * | 1993-05-17 | 1994-12-02 | Hitachi Ltd | 電力系統監視制御システムのデータベース構成方法及び装置、並びに電力系統監視制御システムのデータベース管理方法及び装置、電力系統監視制御システム |
| JP2003223353A (ja) * | 2001-12-12 | 2003-08-08 | Pervasive Security Systems Inc | 保全された項目に対する保全情報の管理機能を与えるシステム及び方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012133572A (ja) * | 2010-12-21 | 2012-07-12 | Nippon Telegr & Teleph Corp <Ntt> | 認証装置、認証方法、認証プログラムおよび認証システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4780010B2 (ja) | 2011-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10853805B2 (en) | Data processing system utilising distributed ledger technology | |
| US11475137B2 (en) | Distributed data storage by means of authorisation token | |
| US10623406B2 (en) | Access authentication for cloud-based shared content | |
| CN108293045B (zh) | 本地和远程系统之间的单点登录身份管理 | |
| US20190236286A1 (en) | Systems and methods for privacy management using a digital ledger | |
| US10305912B2 (en) | Methods of enabling inter-organizational and public social collaboration | |
| US9098675B1 (en) | Authorized delegation of permissions | |
| US9569634B1 (en) | Fine-grained structured data store access using federated identity management | |
| US9288213B2 (en) | System and service providing apparatus | |
| JP6066647B2 (ja) | デバイス装置、その制御方法、およびそのプログラム | |
| JP7196174B2 (ja) | 委任アイデンティティを使用した認証方法、システム、プログラム | |
| US7454421B2 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| US20130247142A1 (en) | Authentication federation system and id provider device | |
| JP6932175B2 (ja) | 個人番号管理装置、個人番号管理方法、および個人番号管理プログラム | |
| US20070162581A1 (en) | Using identity/resource profile and directory enablers to support identity management | |
| US20120131652A1 (en) | Hardware-based credential distribution | |
| US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
| JP2006048340A (ja) | アクセス制御リスト添付システム、オリジナルコンテンツ作成者端末、ポリシーサーバ、オリジナルコンテンツデータ管理サーバ、プログラム及び記録媒体 | |
| US11568040B2 (en) | Management apparatus and non-transitory computer readable medium for setting security levels of users in group resulting from unification | |
| US9953188B2 (en) | System, method, and program for storing and controlling access to data representing personal behavior | |
| JP2009093580A (ja) | ユーザ認証システム | |
| JP4780010B2 (ja) | データ管理システム及び方法並びにプログラム | |
| JP2018041347A (ja) | 認証システム | |
| JP2012027691A (ja) | 情報管理システムおよび情報管理方法 | |
| JP2017182134A (ja) | ログイン管理システム、ログイン管理方法及びログイン管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20100610 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110331 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110405 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110520 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110607 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110620 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140715 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4780010 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |