JP2008527482A - アクセス制御方法 - Google Patents
アクセス制御方法 Download PDFInfo
- Publication number
- JP2008527482A JP2008527482A JP2007548882A JP2007548882A JP2008527482A JP 2008527482 A JP2008527482 A JP 2008527482A JP 2007548882 A JP2007548882 A JP 2007548882A JP 2007548882 A JP2007548882 A JP 2007548882A JP 2008527482 A JP2008527482 A JP 2008527482A
- Authority
- JP
- Japan
- Prior art keywords
- given
- access control
- resource
- control module
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本発明は、複数のユーザのうちの所与のユーザ1が機能のセットのうちの所与の機能を、少なくとも1つの基準によって分類される複数のリソースの中の所与のリソース2に適用してもよいかどうかを判定するためのアクセス制御方法に関する。本発明の制御アクセス方法は、所与のユーザのグループ識別子を含有するユーザフィールド6と、各基準フィールドが所与のリソースに特有の基準の値を含有する、少なくとも1つの基準フィールド14、15に組織されるフィールドのリストとを含むメッセージ5を、アクセス制御モジュール4に送信することにあるステップを含む。
Description
本発明はアクセス制御の分野に関する。
この分野は一般に、機能のセットからの所与の機能をリソースのセットからのリソースに適用しようとするユーザのセットからの所与のユーザに関係する。アクセス制御は、ソフトウェアリソースとハードウェアリソースとの両方について、多くの適用分野を見出している。
例えば、建物または特定の部屋へのアクセスは、特定の人に制限される場合がある。アクセスは、各ドアの開放を制御するアクセス制御デバイスによって許可される。
病院内の薬品へのアクセスもまた、薬品の性質に応じて特定の人に制限されている場合があり、すなわち看護師が、例えばアスピリンなどの低価格の通常の薬品へのアクセスを有する一方で、調剤スタッフは薬局全体へのアクセスを有する。この場合、薬品はリソースを構成し、ユーザのセットは看護師からなるグループと調剤スタッフからなるグループとを含む。ユーザが適用しようとしてもよい機能のセットは、薬品の物理的取り扱いを含む。
アクセス制御はまた、コンピュータネットワーク管理の分野でも有効である。例えば、インターネットなどのそうしたネットワークは、ルータのセットを含む。ネットワーク管理ツールは、ルータのうちの一部またはすべてのソフトウェアを修正するので、ルータのうちの1つが故障した場合は、ネットワーク管理ツールが別のルータを再設定する。
異なる権利を持つ人が、ネットワーク管理ツールを使用する。例えば、管理者はルータをシャットダウンする権利を有し、監視スタッフはルータの状態を調べてアラームを非アクティブ化することができる一方で、被訓練者はネットワーク管理において訓練を受けるために、ルータの状態を表示して、シャットダウンをシミュレートすることができる。
さらに、人の権利はルータのサブセットに限定されることも可能である。例えば、ある人は特定のルータの状態だけを調べることができ、一方で他の人は所与の技術を使用して、すべてのルータを再起動することができる。
図1は、従来技術のアクセス制御デバイスの一例の動作を示す。
ここではJohnである所与のユーザ1が、ここでは数12533によって識別されるルータである所与のリソース2に、ここではルータのファイルまたはプログラムを読み取ることである所与の機能を適用しようとする場合、ソフトウェアモジュール3はアクセス制御モジュール4にメッセージ5を送信する。メッセージ5は、所与のユーザ1の識別子を含有するユーザフィールド6と、所与の機能の識別子を含有する機能フィールド7と、所与のリソースの識別子を含有するリソースフィールド8とを含む。
アクセス制御モジュール4は、すべてがアクセス制御モジュール4の作成時に割り当てられるユーザ変数10と機能変数11とリソース変数12とを含む。アクセス制御モジュール4を所与の環境でインストールするとき、その環境のためのユーザのセットからのユーザの識別子は、機能のセットからの機能の識別子と、リソースのセットからのリソースの識別子とともに入力される。
アクセス制御モジュール4は、所与のユーザ1の受信された識別子と、所与の機能の受信された識別子と、所与のリソースの受信された識別子とから、所与のユーザ1が所与の機能を所与のリソースに適用することを許可されているかどうかを判定する。アクセス制御モジュール4はメッセージ5を受信した後、応答をソフトウェアモジュール3に送信する。図1に示されている例の中では、応答は肯定であり、所与のユーザ1は所与の機能を所与のリソースに適用することを許可されている。
ユーザのセットの中のユーザの数は一般に、例えば約100個などの比較的少ないものである。同様に、機能のセットの中の機能の数は一般に、例えば10個などの比較的少ないものである。他方で、リソースのセットの中のリソースの数は、例えば100万オーダの比較的大きなものであることが可能である。
したがってアクセス制御デバイスの管理は、比較的多数のリソース識別子のために、比較的難しい場合がある。
リソースをリソースのグループに分類することが知られており、アクセス制御モジュールのインストール時に、アクセス制御モジュールを設定している人がその分類を知っているのであれば、各リソース識別子は、所与のリソースグループに属する対応するリソースによって類別されることが可能である。各リソースが所与のリソースグループに属することを明記している紙の文書は、一般的にこの目的で印刷される。
リソース識別子の類別は、アクセス権限判定アルゴリズムのプログラミングを簡単にし、そのアルゴリズムは最初に、所与のリソースの受信された識別子がどのグループに属するのかを判定し、次いで受信されたそのグループおよびその他の識別子の機能として、すなわち所与のユーザの識別子および所与の機能の識別子として、どの応答を与えるのかを判定する。
しかしながらアクセス制御モジュールは、リソースの分類を詳細に述べる紙の文書に基づいて、手動で設定される。本発明は、より簡単なアクセス制御デバイスの管理を提供する。
本発明は、ユーザのセットからの所与のユーザが、機能のセットからの所与の機能を、少なくとも1つの基準によって分類されることができるリソースのセットからの所与のリソースに適用することができるかどうかを判定するためのアクセス制御方法にある。本発明のアクセス制御方法は、所与のユーザのグループ識別子を含有するユーザフィールドと、各基準フィールドが所与のリソースのための特定の基準の値を含有する、少なくとも1つの基準フィールドとして構築されたフィールドのリストとを含むメッセージを、アクセス制御モジュールに送信するステップを含む。
本発明の方法は、アクセス制御モジュールに、比較的多数のリソース識別子を入力し、記憶することを回避する。アクセス制御モジュールがインストールされる場合、アクセス制御モジュールを設定する人はすべてのリソースを知る必要がなく、潜在的な基準値のみを知ればよい。このことはアクセス制御モジュールの管理を明快にし、簡単にする。
例えば、既存のリソースのセットに新たなリソースが付け加えられる場合、アクセス制御モジュールに新たなリソースの識別子を入力する必要はない。所与のユーザが所与の機能を新たなリソースに適用しようとする場合、アクセス制御モジュールは新たなリソースの識別子の代わりに、各基準フィールドが新たなリソースのための特定の基準の値を含有する、少なくとも1つの基準フィールドとして構築されたフィールドのリストを含むメッセージを受信する。したがって新たなリソースを付け加えることは、アクセス制御モジュールにとって明白なものである。
本発明による方法はまた、アクセス制御モジュールのメモリのスペースを節約する。
ユーザフィールドは、所与のユーザのグループが1つのみのユーザを含むとみなされる場合、ユーザ自身の識別子を割り当てる所与のユーザのグループ識別子を含有する。
ユーザは人であるか、または人以外のものであることが可能である。例えばユーザは、所与の機能を所与のリソースに適用しようとするソフトウェアアプリケーションであることが可能である。
フィールドのリストは、複数の基準フィールドとして都合よく構築される。
フィールドのリストは、例えばpの基準に構築されることができ、この例の中では、各基準は同じ数qの値を仮定することができる。アクセス制御モジュールが作成される場合、アクセス制御モジュールは、各々が基準に対応するpの基準変数を含有することができる。インストールまたはメンテナンス操作のときに、qの潜在値は各基準のために入力されることが可能であり、すなわちそれがp*q値である。従来技術の方法では、各々がqの値を仮定することができるpの基準は、qpのリソースグループを定義する。アクセス制御モジュールを設定する人はリソースの識別子を管理しなければならないだけではなく、それらを、本発明による方法のp*qの値よりもしばしば大きい複数のグループであるqpのグループに類別しなければならない。
代替として、フィールドのリストは単一の基準フィールドを含む。
都合よく送信されるメッセージはまた、所与の機能の識別子を含有する機能フィールドも含む。
しかしながら、この特徴が本発明を限定するわけではなく、例えば機能のセットが1つの機能しか含まない場合、または権利が機能の性質に左右されるものではない場合、送信されるメッセージは機能フィールドを含まなくてもよい。
各基準フィールドはまた、特定の基準の識別子を都合よく含有する。当然のことながら、この特徴が本発明を限定するわけではない。
したがって、各基準フィールドは基準識別子と基準の値とを含むペアを含有する。次いで、メッセージは自由プロトコルによって送信され、ここで各基準フィールドの基準は、基準識別子によって識別されることができる。自由プロトコルによって、メッセージ中の基準フィールドのオーダ、基準(criterion)または複数の基準(criteria)の選択その他などの使用法のより大きな柔軟性が可能となる。
代替として、各基準フィールドは、所与のリソースのための特定の基準の値のみを含有することができる。その後、メッセージは固定プロトコルによって送信される。
本方法は、所与のユーザの認証の準備ステップを都合よく含む。所与の機能を所与のリソースに適用しようとする所与のユーザは最初に、例えばソフトウェアモジュールによって認証されることができる。認証されたユーザの識別子は、ユーザのグループ識別子として、アクセス制御モジュールに送信されることができる。
本方法はまた、特には権利がグループのすべてのメンバーに対して同じものである場合に、例えば被訓練者のグループなどのグループの中の所与のユーザの分類のステップも含むことができる。グループの識別子は、アクセス制御モジュールに送信されることができる。
代替として、本発明による方法は、所与のユーザの認証ではなくて、所与のユーザが所与の機能を所与のリソースに適用できるかどうかを知ろうとしている質問者の認証のステップを含むことができる。所与のユーザは、質問者以外の誰かであることが可能である。
代替として、本発明による方法は認証ステップを含まない。
本発明による方法は好ましくは、所与のリソースのための各基準の値の判定のステップを含む。このステップは、応答の中で各基準フィールドの値を送信する所与のリソースに質問するソフトウェアによって実行されることが可能である。代替としてソフトウェアは、リソースのセットの中のリソースの表示を有することができるので、各リソースのための各基準フィールドの値を知る。本発明は、この判定が行われる方法によって限定されるわけではない。
さらに本発明による方法は、この所与のリソースのための各基準フィールドの値の判定のステップを含む必要はない。例えば、所与のユーザは所与の機能を、少なくとも1つの所与の基準に合致するすべてのリソースに適用することを望んでもよい。ユーザは、各基準フィールドの値を直接入力することができる。
本発明はまた、ユーザのセットからの所与のユーザが、機能のセットからの所与の機能を、少なくとも1つの基準によって分類されることができるリソースのセットからの所与のリソースに適用することができるかどうかを判定するためのアクセス制御モジュールにある。本発明のアクセス制御モジュールは、
ユーザ変数と、
各基準変数が特定の基準に対応する、少なくとも1つの基準変数として構築された基準変数のリストと、
アクセス制御モジュールによって受信されたユーザグループ識別子と、基準変数のリストからの少なくとも1つの基準のために、所与のリソースのための特定の基準の値を含むアクセス制御モジュールによって受信された値のリストを使用するアクセス権限判定手段とを含む。
ユーザ変数と、
各基準変数が特定の基準に対応する、少なくとも1つの基準変数として構築された基準変数のリストと、
アクセス制御モジュールによって受信されたユーザグループ識別子と、基準変数のリストからの少なくとも1つの基準のために、所与のリソースのための特定の基準の値を含むアクセス制御モジュールによって受信された値のリストを使用するアクセス権限判定手段とを含む。
従来技術のアクセス制御モジュールは、リソースのセットの中のすべてのリソースの識別子を含み、そこで2段階の判定プロセスを可能とするためにグループのリストを割り当てる。リソース識別子がアクセス制御モジュールによって受信される場合、アクセス制御モジュールは、受信された識別子がどのリソースグループに属するのかを判定し、次いでこのように識別されたリソースグループおよび受信されたユーザ識別子に基づいて、アクセス権限が与えられるべきなのか、または与えられるべきではないではないのかを判定する。
本発明によるアクセス制御モジュールは、この第1ステップを回避する。すなわち、受信されたユーザグループ識別子とともに、アクセス権限を判定するのは受信された値のリストであって、受信された識別子を使用して取り出された値ではない。したがって本発明によるアクセス制御モジュールは、リソースのセットからのすべてのリソースの識別子を記憶する必要がない。
実際に本発明によるアクセス制御モジュールは、本発明による方法のメッセージを受信することを目的としており、したがって、本発明による方法と同じ利点を有している。本発明によるアクセス制御モジュールは、後者のものが本発明を限定することなく、同一の好ましい特徴のために適合されることが可能である。
例えば、本発明によるアクセス制御モジュールは、各基準変数が特定の基準に対応する、基準変数のリストを都合よく含むことができる。
本発明によるアクセス制御モジュールは、機能変数を都合よく含むことができる。判定手段はまた、アクセス制御モジュールによって受信された機能識別子を考慮に入れることもできる。
本発明によるアクセス制御モジュールは、従来技術のソフトウェアモジュールとともに動作することができ、本発明によるソフトウェアモジュールは相互に従来技術のアクセス制御モジュールとともに動作することができる。
本発明はまた、本発明によるアクセス制御モジュールを含む、本発明による方法を実施するためのアクセス制御デバイスにある。アクセス制御デバイスは、ユーザのセットからの所与のユーザが機能のセットからの所与の機能をリソースのセットからの所与のリソースに適用することができるかどうかを判定する。リソースのセットはソフトウェアリソースを都合よく含む。
ソフトウェアリソースはソフトウェア製品を含む。したがって、アクセス制御デバイスは、所与のユーザが所与の機能をソフトウェア製品に適用することができるかどうかを判定する。
代替として、リソースはドアなどのハードウェアリソースを含むことができる。
ソフトウェアリソースは、コンピュータ遠距離通信ネットワークのネットワーク機器を都合よく含む。ネットワーク機器は、例えばルータを含むことができる。この場合、本発明による方法は、そうしたネットワークの中で多数のルータが可能であるとすれば、特に都合の良いアプリケーションを見つけ出す。当然のことながら、このアプリケーションが本発明を限定することはない。
アクセス制御デバイスは、例えばソフトウェアモジュールとアクセス制御モジュールとを含むことができる。ソフトウェアモジュールはユーザフィールドと、各基準フィールドが所与のリソースのための特定の基準の値を含有する少なくとも1つの基準フィールドとして構築されたフィールドのリストとを含むメッセージを生成するためのソフトウェアを含む。ソフトウェアモジュールとアクセス制御モジュールとは、例えばネットワーク管理ツールなどの同一のデバイスか、または複数の独立デバイスに組み込まれることができる。
本本発明の好ましい実施形態を表した図を参照して、本発明は以下でより詳細に説明される。
図中、同一または類似の要素または部分は、同じ参照符号によって指定されていることに留意されたい。
図2によって示されている例の中で、所与のユーザ1は、ここでは所与のルータ2である所与のリソースに、ここではルータ2のファイルまたはプログラムを読み取る機能である所与の機能を適用しようとする。所与のルータ2は、識別子12533によって識別される。
所与のユーザ1はソフトウェアモジュール3によって認証され、自らの質問を明確に表すので、ソフトウェアモジュール3は所与のリソースの識別子と所与の機能の識別子とを受信する。
所与のリソース3はリソースのセットのうちの一部である。ルータは位置と技術との2つの基準によって、類別されることができる。
ソフトウェアモジュール3は、所与のユーザ1がその質問にアクセスすることができるかどうかを判定するために、メッセージ5をアクセス制御モジュール4に送信する。アクセス制御モジュール4は応答の中で、受信されたメッセージに対するその同意またはその拒否を送信する。
アクセス制御モジュールはユーザ変数10と機能変数11と基準変数のリストとによって作成される。基準変数のリストは位置変数16と技術変数17とを含む。
アクセス制御モジュール4が、ここでは特定のコンピュータ遠距離通信ネットワークのルータである関係するリソースのすべてへのアクセスを管理するためにインストールされる場合、人はアクセス制御モジュールを設定しなければならない。少なくとも1つの基準変数に対して、人は関係するリソースのセットの中のリソースのために、対応する特定の基準に対応する潜在値のセットを入力する。示されている例の中で、コンピュータネットワークは欧州、米国および日本のルータを含み、したがってインストール時には位置基準の3つ潜在値が存在する。同様に、このネットワークのルータはATMルータまたはMPLSルータであることが可能なので、関係するリソースのセットに対して、技術基準のための2つの潜在値が存在する。したがって、潜在値のセットはリソースのセットによって決まる。アクセス制御モジュールは、関連した潜在基準値のセットを伴わない基準変数を含むことができる。潜在値のセットはまた、漸進的に変化することができる。
アクセス制御モジュールが設定される場合、人は潜在値のセットに対してアップデートを行わなければならない。これらは、この目的のために紙(または電子)の文書に印刷されることが可能である。従来技術の紙の文書とは異なり、この紙の文書は、関係するリソースのセットのうちのすべてのリソースの識別子のリストのいかなるものも含まない。
これらの潜在値のセットはその後、例えば管理者プログラムによって変更されることができる。
図2に示されている例の中で、ソフトウェアモジュール3は所与のリソースのために、位置基準フィールドの値と技術基準フィールドの値とを判定する。ソフトウェアモジュール3はリソースのセットの中の各リソースの表示を含み、リソースのセット中の各リソースのために位置基準の値と技術基準の値とを判定することができる。
したがって、ソフトウェアモジュール3はメッセージ5を生成し、送信する。メッセージ5は、
所与のユーザの識別子を含有するユーザフィールド6と、
所与の機能の識別子を含有する機能フィールド7と、
2つの基準フィールド(14、15)として構築されたフィールドのリストとを含む。
所与のユーザの識別子を含有するユーザフィールド6と、
所与の機能の識別子を含有する機能フィールド7と、
2つの基準フィールド(14、15)として構築されたフィールドのリストとを含む。
各基準フィールド(14、15)は、所与のリソース2のための特定の基準の識別子と、その特定の基準の値とを含有する。位置フィールド14は、例えば図の中では「loc」である位置基準の識別子と、値「欧州」またはその値の識別子とを含有し、一方で技術フィールド15は図の中では「tech」である技術基準の識別子と、値「ATM」またはその識別子を含有する。
メッセージ5は、自由または固定のプロトコルによって送信されることが可能である。選択されるプロトコルは、決して本発明を限定することはない。
自由プロトコルは使用法をより柔軟にし、例えば所与のユーザ1は所与の機能を、例えばすべてのATMルータなどの所与の技術のすべてのルータに適用しようとしてもよい。その後、ソフトウェアモジュール3は、
所与のユーザの識別子を含有するユーザフィールドと、
所与の機能の識別子を含む機能フィールドと、
単一の基準フィールドとして構築されたフィールドのリストとを含むメッセージを生成し、基準フィールドは技術基準の識別子と、その基準の値「ATM」とを含有する。
所与のユーザの識別子を含有するユーザフィールドと、
所与の機能の識別子を含む機能フィールドと、
単一の基準フィールドとして構築されたフィールドのリストとを含むメッセージを生成し、基準フィールドは技術基準の識別子と、その基準の値「ATM」とを含有する。
メッセージは一度だけ生成され、送信されることが可能であり、アクセス権限が取得される場合、所与のユーザは所与の機能をすべてのATMルータに適用することができる。ソフトウェアモジュールは等しく、および好ましくは、例えば所与の機能の各々の適用の前に、ATMルータのうちの1つにこのメッセージを2回以上送信することができる。
アクセス制御モジュール4が送信されたメッセージ5を受信する場合、アクセス権限の判定手段13は受信されたユーザ識別子、受信された機能識別子、受信された位置基準値、および受信された技術基準値に基づいて、アクセス権限を判定する。
次いでアクセス制御モジュールは、所与の機能を所与のリソースに適用するために、所与のユーザ1を許可するか、または許可しないバイナリ応答をソフトウェアモジュールに送信する。
アクセス制御モジュールは、アクセス権限または非アクセス権限以外の応答を送信することが可能であり、特にアクセス制御モジュールは、例えば受信されたメッセージのフィールドのリストが、アクセス制御モジュールに知られていない基準の識別子を含有する基準フィールドを含む場合、エラーメッセージを送信することができる。
Claims (9)
- ユーザのセットからの所与のユーザ(1)が、機能のセットからの所与の機能を、少なくとも1つの基準によって類別されることができる、識別子を有するリソースのセットからの所与のリソース(2)に適用することができるかどうかを判定するためのアクセス制御方法であって、
所与のユーザのグループ識別子を含有するユーザフィールド(6)と、
各基準フィールドが所与のリソースの特定の基準の値を含有する、少なくとも1つの基準フィールド(14、15)として構築されたフィールドのリストとを含むメッセージ(5)を、リソースの識別子を記憶していないアクセス制御モジュール(4)に送信するステップを含む、方法。 - フィールドのリストは、複数の基準フィールド(14、15)として構築される、請求項1に記載の方法。
- 送信されるメッセージ(5)は、所与の機能の識別子を含有する機能フィールド(7)も含む、請求項1および2のいずれかに記載の方法。
- 各基準フィールドは、特定の基準の識別子も含む、請求項1から3のいずれか一項に記載の方法。
- 所与のユーザ(2)の認証の準備ステップを含む、請求項1から4のいずれか一項に記載の方法。
- 所与のリソース(2)のための各基準フィールド(14、15)の値の判定のステップを含む、請求項1から5のいずれか一項に記載の方法。
- ユーザのセットからの所与のユーザ(1)が、機能のセットからの所与の機能を、識別子を有し、少なくとも1つの基準によって類別されることができるリソースのセットからの所与のリソース(2)に適用することができるかどうかを判定するためのアクセス制御モジュール(4)であって、
ユーザ変数と、
各基準変数が特定の基準に対応する、少なくとも1つの基準変数(16、17)として構築された基準変数のリストとを含み、
アクセス権限判定手段(13)が、
アクセス制御モジュールによって受信されたユーザグループ識別子と、
基準変数のリストからの少なくとも1つの基準変数のために、所与のリソースのための特定の基準の値を含む、アクセス制御モジュールによって受信される値のリストとを使用し、
リソースの識別子を記憶していない、アクセス制御モジュール(4)。 - 請求項7に記載のアクセス制御モジュール(4)を含む、請求項1から6のいずれか一項に記載の方法を実施するためのアクセス制御デバイスであって、ユーザのセットからの所与のユーザ(1)が、機能のセットからの所与の機能を、ソフトウェアリソースを含むリソースのセットからの所与のリソース(2)に適用することができるかどうかを判定する、アクセス制御デバイス。
- ソフトウェアリソースは、コンピュータ遠距離通信ネットワークのネットワーク機器を含む、請求項8に記載の制御デバイス。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0453289A FR2880487B1 (fr) | 2004-12-31 | 2004-12-31 | Procede de controle d'acces |
| PCT/FR2005/051147 WO2006072730A1 (fr) | 2004-12-31 | 2005-12-28 | Procede de controle d'acces |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008527482A true JP2008527482A (ja) | 2008-07-24 |
| JP2008527482A5 JP2008527482A5 (ja) | 2008-12-18 |
Family
ID=34953222
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007548882A Pending JP2008527482A (ja) | 2004-12-31 | 2005-12-28 | アクセス制御方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20080016560A1 (ja) |
| EP (1) | EP1834467A1 (ja) |
| JP (1) | JP2008527482A (ja) |
| FR (1) | FR2880487B1 (ja) |
| WO (1) | WO2006072730A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8667606B2 (en) | 2010-07-24 | 2014-03-04 | International Business Machines Corporation | Session-controlled-access of client data by support personnel |
| US20130173467A1 (en) * | 2011-12-29 | 2013-07-04 | Ebay Inc. | Methods and systems for using a co-located group as an authorization mechanism |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11338839A (ja) * | 1997-10-31 | 1999-12-10 | Sun Microsyst Inc | ネットワーク資源へのアクセスを制御する分散システム及び方法 |
| JP2000187589A (ja) * | 1998-12-22 | 2000-07-04 | Oki Electric Ind Co Ltd | プログラムシステムのコンポーネントアクセス制御装置 |
| JP2001117803A (ja) * | 1999-10-15 | 2001-04-27 | Hitachi Ltd | アクセス権判定方法および装置およびアクセス権判定プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2003345643A (ja) * | 2002-05-24 | 2003-12-05 | Hitachi Ltd | ネットワークストレージシステムの仮想一元化方法及び装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6408336B1 (en) * | 1997-03-10 | 2002-06-18 | David S. Schneider | Distributed administration of access to information |
| US6119230A (en) * | 1997-10-01 | 2000-09-12 | Novell, Inc. | Distributed dynamic security capabilities |
| US6279111B1 (en) * | 1998-06-12 | 2001-08-21 | Microsoft Corporation | Security model using restricted tokens |
| US6766397B2 (en) * | 2000-02-07 | 2004-07-20 | Emc Corporation | Controlling access to a storage device |
| US20050091658A1 (en) * | 2003-10-24 | 2005-04-28 | Microsoft Corporation | Operating system resource protection |
-
2004
- 2004-12-31 FR FR0453289A patent/FR2880487B1/fr not_active Expired - Fee Related
-
2005
- 2005-12-28 EP EP05848355A patent/EP1834467A1/fr not_active Withdrawn
- 2005-12-28 WO PCT/FR2005/051147 patent/WO2006072730A1/fr active Application Filing
- 2005-12-28 JP JP2007548882A patent/JP2008527482A/ja active Pending
- 2005-12-28 US US11/813,209 patent/US20080016560A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11338839A (ja) * | 1997-10-31 | 1999-12-10 | Sun Microsyst Inc | ネットワーク資源へのアクセスを制御する分散システム及び方法 |
| JP2000187589A (ja) * | 1998-12-22 | 2000-07-04 | Oki Electric Ind Co Ltd | プログラムシステムのコンポーネントアクセス制御装置 |
| JP2001117803A (ja) * | 1999-10-15 | 2001-04-27 | Hitachi Ltd | アクセス権判定方法および装置およびアクセス権判定プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2003345643A (ja) * | 2002-05-24 | 2003-12-05 | Hitachi Ltd | ネットワークストレージシステムの仮想一元化方法及び装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2880487B1 (fr) | 2007-06-01 |
| EP1834467A1 (fr) | 2007-09-19 |
| US20080016560A1 (en) | 2008-01-17 |
| FR2880487A1 (fr) | 2006-07-07 |
| WO2006072730A1 (fr) | 2006-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10326775B2 (en) | Multi-factor authentication using a user behavior profile as a factor | |
| Al-Muhtadi et al. | Cerberus: a context-aware security scheme for smart spaces | |
| JP4441249B2 (ja) | ネットワークコンピューティング環境においてコンテキストプロパティメタデータを利用するための装置 | |
| McDaniel | On context in authorization policy | |
| US10911428B1 (en) | Use of metadata for computing resource access | |
| US7530097B2 (en) | Methods, systems, and computer program products that centrally manage password policies | |
| CN102204159B (zh) | 使用客户机健康实施框架在网络中认证 | |
| US8286254B2 (en) | Behavioral learning for interactive user security | |
| CN102299914B (zh) | 用于启用网络层声明的访问控制的可信中介 | |
| US8219496B2 (en) | Method of and apparatus for ascertaining the status of a data processing environment | |
| US20030130953A1 (en) | Systems and methods for monitoring the presence of assets within a system and enforcing policies governing assets | |
| US20100049974A1 (en) | Method and apparatus for verification of information access in ict systems having multiple security dimensions and multiple security levels | |
| US20110219424A1 (en) | Information protection using zones | |
| BR112012022659B1 (pt) | Método para exibição de mensagens de correspondência eletrônica, dispositivo de armazenamento legível por computador e sistema de computador | |
| JP2004187305A5 (ja) | ||
| Bauer et al. | A user study of policy creation in a flexible access-control system | |
| Cuppens-Boulahia et al. | An ontology-based approach to react to network attacks | |
| Momenzadeh et al. | Best practices would make things better in the IoT | |
| JPH11308272A (ja) | パケット通信制御システム及びパケット通信制御装置 | |
| CN108494749B (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
| Fægri et al. | A software product line reference architecture for security | |
| JP2008527482A (ja) | アクセス制御方法 | |
| US20220343095A1 (en) | Fingerprint-Based Device Authentication | |
| EP2658204A1 (en) | Access control in an industrial control system | |
| Chin et al. | A context-constrained authorisation (cocoa) framework for pervasive grid computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081027 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081027 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110329 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110330 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110628 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110705 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110929 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120327 |