JP2009140097A - Access control method and device, and program - Google Patents

Access control method and device, and program Download PDF

Info

Publication number
JP2009140097A
JP2009140097A JP2007313962A JP2007313962A JP2009140097A JP 2009140097 A JP2009140097 A JP 2009140097A JP 2007313962 A JP2007313962 A JP 2007313962A JP 2007313962 A JP2007313962 A JP 2007313962A JP 2009140097 A JP2009140097 A JP 2009140097A
Authority
JP
Japan
Prior art keywords
document
access
group
access right
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007313962A
Other languages
Japanese (ja)
Inventor
Mitsuaki Tsunakawa
光明 綱川
Masakazu Hasegawa
雅一 長谷川
Masaki Hisada
正樹 久田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007313962A priority Critical patent/JP2009140097A/en
Publication of JP2009140097A publication Critical patent/JP2009140097A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To effectively and flexibly control access to a document file and the state of a user. <P>SOLUTION: A document access control method includes: associating group ID and user ID in response to an instruction from a system manager before acquiring a document request, and setting a period to permit an access to a storage folder of a document metadata storage means in an access right storage means for each group ID (S1); acquiring the access right data of a group user and document existence management data from the access right storage means when receiving a document request from the user (S3, S4), and deciding whether or not access is permitted or not (S5), and when deciding that access is permitted, acquiring a document file entity from the document file storage means, and for returning it to a user, and when deciding that access is not permitted, notifying the user of the result. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、アクセス制御方法及び装置及びプログラムに係り、特に、ネットワーク共有された文書ファイル群を一定周期毎に、または、ファイル更新契機毎に共有文書ファイルを漏れなくアーカイビングしていく文書ファイル保管庫において、日時と共に変化し続ける利用者のアクセス権限を柔軟に管理し、当該アーカイブに対する適切なアクセス制御を行うためのアクセス制御方法及び装置及びプログラムに関する。   The present invention relates to an access control method, apparatus, and program, and in particular, document file storage for archiving a shared document file without omission at a fixed period or every file update opportunity. The present invention relates to an access control method, apparatus, and program for flexibly managing the access authority of a user that changes with date and time and performing appropriate access control for the archive.

従来のアクセス制御技術として、文書ファイルにアクセス権限情報を付加して管理する方式がある。   As a conventional access control technique, there is a method of managing by adding access authority information to a document file.

当該技術は、文書ファイルのアクセス権限を文書ファイルに付加して管理し、ユーザからの文書ファイル操作(参照、更新、削除等)の要求時に権限をチェックする方式である。当該権限は文書ファイル、ユーザ、許可操作の組を管理する。この方式では、文書のアクセス権限の方式として一般的に用いられている(例えば、特許文献1参照)。当該技術は、最新の文書ファイル保管庫の各文書に対し、最新のユーザ権限を用いて、アクセス可否をチェックするものである。
特開2003−67250号公報「文書管理装置」
This technique is a method for managing the access authority of a document file by adding it to the document file, and checking the authority when a user requests a document file operation (reference, update, delete, etc.). This authority manages a set of document files, users, and permission operations. This method is generally used as a document access authority method (see, for example, Patent Document 1). This technique is to check whether each document in the latest document file storage is accessible using the latest user authority.
JP 2003-67250 A "Document Management Device"

組織や企業の中では、活動の成果として、文書ファイルが日々生成/修正/削除されるものである。これらを保管し、他の類似業務で再利用することで生産性を向上させることは重要である。   In an organization or a company, a document file is generated / modified / deleted daily as a result of an activity. It is important to improve productivity by storing these and reusing them for other similar operations.

一方、ユーザの権限も、一般に日々変化していくものである。例えば、企業内であれば異動や昇進などに付随して、アクセスが許可される共有文書ファイルの範囲は変化するものである。   On the other hand, the user's authority generally changes daily. For example, within a company, the range of shared document files to which access is permitted changes in accordance with a change or promotion.

しかしながら、上記従来の文書にアクセス権限情報を付加して管理する方式は、文書ファイル保管庫に対し、ユーザのアクセス権限を適切に設定し続けることは多大な稼動を要するため、現実的ではない。   However, the above-described conventional method of adding access authority information to a document and managing it is not practical because it requires a lot of operation to keep the user access authority properly set in the document file storage.

本発明は、上記の点に鑑みなされたもので、日々変化し続ける文書ファイルとユーザの状態に対して、有効かつ柔軟なアクセス制御を実現することが可能なアクセス制御方法及び装置及びプログラムを提供することを目的とする。   The present invention has been made in view of the above points, and provides an access control method, apparatus, and program capable of realizing effective and flexible access control with respect to a document file and a user's state that are changing day by day. The purpose is to do.

図1は、本発明の原理を説明するための図である。   FIG. 1 is a diagram for explaining the principle of the present invention.

本発明(請求項1)は、文書共有サーバの共有文書ファイルへのアクセス制御を行う装置における文書アクセス制御方法であって、
文書ファイル記憶手段に、文書共有サーバから収集された文書ファイル実体と文書IDが格納され、
文書メタデータ記憶手段に、文書ID、文書ファイル名、作成日時、格納フォルダが格納され、
文書要求を取得する前に、アクセス権設定手段が、システム管理者からの指示により、グループID及びユーザIDを関連付け、該グループID毎に、文書メタデータ記憶手段の格納フォルダに対するアクセス許可期間をアクセス権記憶手段に設定するアクセス権設定ステップ(ステップ1)を行い、
文書要求処理手段が、ユーザ端末から文書IDとユーザIDを含む文書要求を受け付けると、該文書要求を解析する文書要求解析ステップ(ステップ2)と、
アクセス権取得手段が、文書要求のユーザIDに基づいてアクセス権記憶手段から該ユーザIDが属するグループIDに基づいて、該グループIDのグループがアクセス可能なフォルダとアクセス許可期間からなるグループアクセス権データを取得し、該ユーザIDに対応するユーザのアクセス可能なフォルダとアクセス許可期間からなるユーザアクセス権データを取得するアクセス権取得ステップ(ステップ3)と、
文書メタデータ取得手段が、文書IDに基づいて、メタデータ記憶手段から文書ファイルの文書ID、作成日時、格納フォルダ、文書ファイル名を文書生存管理データとして取得する文書生存管理データ取得ステップ(ステップ4)と、
アクセ権チェック手段が、文書生存管理データとユーザアクセス権データに基づいて、アクセスが可能か否かを判定するアクセス権チェックステップ(ステップ5)と、
文書取得手段が、アクセス権チェックステップにおいてアクセスが可能であると判定された場合に、文書ファイル記憶手段から文書IDに基づいて文書ファイル実体を取得する文書取得ステップ(ステップ6)と、
文書要求結果返却手段が、文書取得ステップで文書ファイル実体が取得できた場合は、該文書ファイル実体を、アクセス権チェックステップで、アクセス不可と判定された場合にはその旨をユーザ端末に送信する要求結果返却ステップ(ステップ7)と、を行う。
The present invention (Claim 1) is a document access control method in an apparatus for controlling access to a shared document file of a document sharing server,
The document file storage means stores the document file entity and document ID collected from the document sharing server,
The document metadata storage means stores the document ID, document file name, creation date and time, and storage folder.
Before acquiring the document request, the access right setting unit associates the group ID and the user ID according to an instruction from the system administrator, and accesses the access permission period for the storage folder of the document metadata storage unit for each group ID. Perform the access right setting step (step 1) to be set in the right storage means,
When the document request processing means receives a document request including a document ID and a user ID from the user terminal, a document request analyzing step (step 2) for analyzing the document request;
Based on the user ID of the document request, the access right acquisition means is based on the group ID to which the group of the group ID belongs from the access right storage means, and the group access right data comprising the folder accessible by the group of the group ID and the access permission period An access right acquisition step (step 3) for acquiring user access right data consisting of a user-accessible folder corresponding to the user ID and an access permission period;
Document survival management data acquisition step in which the document metadata acquisition unit acquires the document ID, creation date, storage folder, and document file name of the document file as document survival management data from the metadata storage unit based on the document ID (step 4). )When,
An access right check step (step 5) in which an access right check means determines whether or not access is possible based on the document survival management data and the user access right data;
A document acquisition step (step 6) for acquiring a document file entity from the document file storage unit based on the document ID when it is determined that the document acquisition unit is accessible in the access right check step;
If the document request result return means can acquire the document file entity in the document acquisition step, the document request entity returns that fact to the user terminal if it is determined in the access right check step that access is impossible. A request result return step (step 7) is performed.

また、本発明(請求項2)は、アクセス権設定ステップ(ステップ1)において、
アクセス権記憶手段に、グループID、該グループIDに属するユーザID、グループ登録日、グループ登録前のアクセス権限遡及是非、グループ脱退日、グループ脱退後のアクセス権留保是非を登録しておき、
アクセス権取得ステップ(ステップ3)において、
アクセス権記憶手段から、ユーザアクセス権データとして、ユーザIDに基づいて、該ユーザIDに対応するユーザが属するまたは、属したグループID、グループ登録日、グループ登録前のアクセス権限遡及是非、グループ脱退日、グループ脱退後のアクセス権留保是非を取得し、
アクセス権チェックステップ(ステップ5)において、
アクセス権取得ステップで取得したアクセス権データと、文書生存管理データを参照して、文書ファイルの生存期間とアクセス許可期間許可に重なり区間がある場合には、アクセス可能と判定し、重なりがない場合にはアクセス不可と判定する。
The present invention (Claim 2) provides an access right setting step (Step 1).
In the access right storage means, register the group ID, the user ID belonging to the group ID, the group registration date, the access authority retroactively before the group registration, the group withdrawal date, the access right reservation right after the group withdrawal,
In the access right acquisition step (step 3),
Based on the user ID as user access right data from the access right storage means, the user corresponding to the user ID belongs or belongs to the group ID, the group registration date, the access authority before the group registration, the group withdrawal date , Get access right reservations after leaving the group,
In the access right check step (step 5),
Referring to the access right data acquired in the access right acquisition step and the document survival management data, if there is an overlapping section between the document file lifetime and access permission period permission, it is determined that access is possible and there is no overlap. Is determined to be inaccessible.

図2は、本発明の原理構成図である。   FIG. 2 is a principle configuration diagram of the present invention.

本発明(請求項3)は、文書共有サーバの共有文書ファイルへのアクセス制御を行う文書アクセス制御装置であって、
文書共有サーバから収集された文書ファイル実体と文書IDが格納された文書ファイル103と、
文書ID、文書ファイル名、作成日時、格納フォルダが格納された文書メタデータ記憶手段102と、
文書要求を取得する前に、システム管理者からの指示により、グループID及びユーザIDを関連付け、該グループID毎に、文書メタデータ記憶手段102の格納フォルダに対するアクセス許可期間をアクセス権記憶手段101に設定するアクセス権設定手段180と、
ユーザ端末から文書IDとユーザIDを含む文書要求を受け付けると、該文書要求を解析する文書要求処理手段120と、
文書要求のユーザIDに基づいてアクセス権記憶手段101から該ユーザIDが属するグループIDに基づいて、該グループIDのグループがアクセス可能なフォルダとアクセス許可期間からなるグループアクセス権データを取得し、該ユーザIDに対応するユーザのアクセス可能なフォルダとアクセス許可期間からなるユーザアクセス権データを取得するアクセス権取得手段130と、
文書IDに基づいて、メタデータ記憶手段102から文書ファイルの文書ID、作成日時、格納フォルダ、文書ファイル名を文書生存管理データとして取得する文書メタデータ取得手段140と、
文書生存管理データとユーザアクセス権データに基づいて、アクセスが可能か否かを判定するアクセス権チェック手段150と、
アクセス権チェック手段150においてアクセスが可能であると判定された場合に、文書ファイル記憶手段103から文書IDに基づいて文書ファイル実体を取得する文書取得手段170と、
文書取得手段170で文書ファイル実体が取得できた場合は該文書ファイル実体を、アクセス権チェック手段150で、アクセス不可と判定された場合にはその旨をユーザ端末200に送信する文書要求結果返却手段160と、を有するアクセス制御手段と、からなる。
The present invention (Claim 3) is a document access control apparatus for controlling access to a shared document file of a document sharing server,
A document file 103 storing a document file entity and a document ID collected from the document sharing server;
A document metadata storage unit 102 storing a document ID, a document file name, a creation date and time, and a storage folder;
Before acquiring a document request, a group ID and a user ID are associated with each other according to an instruction from the system administrator, and an access permission period for the storage folder of the document metadata storage unit 102 is stored in the access right storage unit 101 for each group ID. Access right setting means 180 for setting;
When a document request including a document ID and a user ID is received from the user terminal, a document request processing unit 120 that analyzes the document request;
Based on the user ID of the document request, based on the group ID to which the user ID belongs from the access right storage unit 101, group access right data including a folder accessible by the group of the group ID and an access permission period is acquired. An access right acquisition unit 130 for acquiring user access right data including a user-accessible folder corresponding to the user ID and an access permission period;
A document metadata acquisition unit 140 that acquires the document ID, creation date and time, storage folder, and document file name of the document file as document survival management data from the metadata storage unit 102 based on the document ID;
Access right check means 150 for determining whether or not access is possible based on the document survival management data and the user access right data;
A document acquisition unit 170 that acquires a document file entity from the document file storage unit 103 based on the document ID when the access right check unit 150 determines that access is possible;
If the document acquisition unit 170 can acquire the document file entity, the document file entity is transmitted to the user terminal 200 when the access right check unit 150 determines that the access is impossible. 160, and access control means.

また、本発明(請求項4)は、アクセス権設定手段180において、
アクセス権記憶手段101に、グループID、該グループIDに属するユーザID、グループ登録日、グループ登録前のアクセス権限遡及是非、グループ脱退日、グループ脱退後のアクセス権留保是非を登録しておく手段を含み、
アクセス権取得手段130において、
アクセス権記憶手段101から、ユーザアクセス権データとして、ユーザIDに基づいて、該ユーザIDに対応するユーザが属するまたは、属したグループID、グループ登録日、グループ登録前のアクセス権限遡及是非、グループ脱退日、グループ脱退後のアクセス権留保是非を取得する手段を含み、
アクセス権チェック手段150において、
アクセス権取得手段130で取得したアクセス権データと、文書生存管理データを参照して、文書ファイルの生存期間とアクセス許可期間許可に重なり区間がある場合には、アクセス可能と判定し、重なりがない場合にはアクセス不可と判定する手段を含む。
Further, the present invention (Claim 4) is provided in the access right setting means 180.
A means for registering in the access right storage means 101 a group ID, a user ID belonging to the group ID, a group registration date, an access authority retroactive right before group registration, a group withdrawal date, and an access right reservation right after group withdrawal. Including
In the access right acquisition means 130,
Based on the user ID as the user access right data from the access right storage means 101, the user corresponding to the user ID belongs or belongs to the group ID, the group registration date, the access authority before the group registration, and the group withdrawal. Including means for acquiring the right to retain access rights after leaving the group
In the access right checking means 150,
With reference to the access right data acquired by the access right acquisition unit 130 and the document survival management data, if there is an overlapping section between the lifetime of the document file and the permission of the access permission period, it is determined that access is possible and there is no overlap. In some cases, a means for determining that access is impossible is included.

本発明(請求項5)は、請求項3または4のいずれか1項に記載の文書アクセス制御装置を構成する各手段としてコンピュータを機能させる文書アクセス制御プログラムである。   The present invention (Claim 5) is a document access control program that causes a computer to function as each means constituting the document access control apparatus according to any one of Claims 3 and 4.

組織や企業の活動として、文書ファイルが生成され続けている。生産性を上げるには、過去の例題に学ぶべく、過去に生成された文書ファイルを再利用することが有用である。これまでは、共有文書ファイルのアクセス権は、ユーザと空間(フォルダ)の組に対しての設定であった。上記のように本発明によれば、アクセス権の設定に時間軸を取り込むことができ、日々変化し続ける文書ファイルとユーザの状態に対して、有効かつ柔軟なアクセス制御を実現することができる。   Document files continue to be generated as an activity of organizations and companies. In order to increase productivity, it is useful to reuse document files generated in the past to learn from past examples. Until now, the access right of the shared document file has been set for a set of a user and a space (folder). As described above, according to the present invention, the time axis can be taken into the setting of the access right, and effective and flexible access control can be realized with respect to the document file and the user's state that are constantly changing.

以下、図面と共に本発明の実施の形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図3は、本発明の一実施の形態におけるシステム構成を示す。   FIG. 3 shows a system configuration according to an embodiment of the present invention.

同図に示すシステムは、時制文書アクセス制御装置100、ユーザ端末200、複数の文書共有サーバ300、通信網400、LAN500、及び文書収集部190から構成される。   The system shown in FIG. 1 includes a tense document access control device 100, a user terminal 200, a plurality of document sharing servers 300, a communication network 400, a LAN 500, and a document collection unit 190.

時制文書アクセス制御装置100は、通信網400を介してユーザ端末200と接続され、また、文書収集部190と接続されている。文書収集部190は、LAN500を介して組織や企業内のネットワークに散在する文書共有サーバ300と接続されている。   The tense document access control apparatus 100 is connected to the user terminal 200 via the communication network 400 and is also connected to the document collection unit 190. The document collection unit 190 is connected to the document sharing server 300 scattered over the network in the organization or company via the LAN 500.

時制文書アクセス制御装置100は、アクセス権記憶部101、文書メタデータ記憶部102、文書ファイル保管部103、ユーザインタフェース部110、文書要求処理部120、アクセス権取得部130、文書メタデータ取得部140、アクセス権チェック部150、文書要求結果返却部160、文書取得部170、アクセス権設定部180から構成される。   The temporal document access control apparatus 100 includes an access right storage unit 101, a document metadata storage unit 102, a document file storage unit 103, a user interface unit 110, a document request processing unit 120, an access right acquisition unit 130, and a document metadata acquisition unit 140. , An access right check unit 150, a document request result return unit 160, a document acquisition unit 170, and an access right setting unit 180.

ユーザ端末200は、文書要求を行い、当該文書要求に対する結果を取得し処理するアプリケーションプログラム210を有する。   The user terminal 200 has an application program 210 that makes a document request and acquires and processes a result for the document request.

文書共有サーバ300は、文書共有ファイル群を有する。   The document sharing server 300 has a document sharing file group.

文書収集部190は、文書共有サーバ300から一定周期毎に文書ファイルを収集し、文書IDを付与して、文書メタデータ記憶部102と文書ファイル保管部103にそれぞれ格納しておく。   The document collection unit 190 collects document files from the document sharing server 300 at regular intervals, assigns document IDs, and stores them in the document metadata storage unit 102 and the document file storage unit 103, respectively.

時制文書アクセス制御装置100の各構成要素について説明する。   Each component of the tense document access control apparatus 100 will be described.

アクセス権記憶部101、文書メタデータ記憶部102、文書ファイル保管部103は、ディスク装置等の記憶手段である。   The access right storage unit 101, the document metadata storage unit 102, and the document file storage unit 103 are storage means such as a disk device.

アクセス権記憶部101は、グループID情報(グループIDから構成)、ユーザID情報(ユーザID、属する/したグループID、グループ登録日、グループ登録前のアクセス権限遡及是非、グループ脱退日、グループ脱退後のアクセス権留保是非から構成)、アクセス権データ(グループID、フォルダ、アクセス許可期間から構成)を蓄積し、管理する。このように、アクセス権記憶部101では、ユーザグループ単位及びフォルダ単位で管理する。   The access right storage unit 101 includes group ID information (consisting of a group ID), user ID information (user ID, belonging / group ID, group registration date, access authority retroactively before group registration, group withdrawal date, after group withdrawal. And the access right data (composed of group ID, folder, and access permission period) are accumulated and managed. As described above, the access right storage unit 101 performs management in units of user groups and folders.

文書メタデータ記憶部102は、予め文書収集部190によって収集されている文書ファイルに関する、文書ID、文書ファイルの生成日時、削除日時、格納フォルダ、文書ファイル名を記憶する。なお、削除日時は、初期値はNULLであり、前回のチェックから同じフォルダ名の同じファイル名が無くなった場合や、前回のチェック時から、同じフォルダ名の同じファイル名が存在するが、ファイルのタイムスタンプが変更になったか、サイズが変更になった場合に設定される。   The document metadata storage unit 102 stores a document ID, a document file generation date / time, a deletion date / time, a storage folder, and a document file name related to a document file collected by the document collection unit 190 in advance. Note that the initial value of the deletion date and time is NULL, and the same file name with the same folder name exists from the previous check when the same file name with the same folder name disappears or from the previous check. Set when the timestamp is changed or the size is changed.

文書ファイル保管部103は、文書収集部190が収集した文書ファイルについて、文書IDと文書ファイル実体の組で記憶する。   The document file storage unit 103 stores the document file collected by the document collection unit 190 as a set of a document ID and a document file entity.

ユーザインタフェース部110は、ユーザ端末200のアプリケーションプログラム210から入力される文書IDとユーザIDからなる文書要求を受け付け、文書要求をそのまま文書要求処理部120に渡し、また、当該文書要求に対する処理結果を文書要求結果返却部160から取得し、ユーザ端末200のアプリケーションプログラム210に要求結果を返却する。なお、文書IDは、文書ファイル保管庫と文書メタデータを用いた全文検索装置など、本装置とは別装置にて取得されるものとする。   The user interface unit 110 receives a document request composed of a document ID and a user ID input from the application program 210 of the user terminal 200, passes the document request to the document request processing unit 120 as it is, and displays a processing result for the document request. Obtained from the document request result return unit 160 and returns the request result to the application program 210 of the user terminal 200. Note that the document ID is acquired by a device different from the present device, such as a full text search device using a document file storage and document metadata.

文書要求処理部120は、受け取った文書要求から、文書IDを文書メタデータ取得部140に渡し、当該文書ファイルの文書生存管理データ(文書ファイルの生成日時、削除日時、格納されていたフォルダから構成)を取得する。また、ユーザIDをアクセス権取得部130に渡し、当該ユーザのアクセス可能フォルダ情報(アクセス可能なフォルダ、アクセス許可期間から構成)を取得する。得られた文書生存管理データとアクセス可能フォルダ情報をアクセス権チェック部150に渡し、アクセス可否の結果(OK or NG)を得る。当該結果と文書IDを文書要求結果返却部160に渡し、制御を移す。   The document request processing unit 120 passes the document ID from the received document request to the document metadata acquisition unit 140, and includes document survival management data (document file generation date / time, deletion date / time, and stored folder). ) To get. Further, the user ID is passed to the access right acquisition unit 130, and the accessible folder information of the user (consisting of accessible folders and access permission periods) is acquired. The obtained document survival management data and accessible folder information are passed to the access right check unit 150, and an access permission result (OK or NG) is obtained. The result and the document ID are passed to the document request result return unit 160, and control is transferred.

アクセス権取得部130は、ユーザIDを受け付け、アクセス権記憶部101から当該ユーザが属する/したグループ情報(グループID、グループ登録日、グループ登録前のアクセス権限遡及是非、グループ脱退日、グループ脱退後のアクセス権留保是非から構成)を取得し、また、アクセス権記憶部101から当該グループのアクセス可能なフォルダとアクセス許可期間のリスト(アクセス権データ)を取得し、当該ユーザのアクセス可能フォルダ情報(アクセス可能フォルダとその期間から構成)を計算して返却する。   The access right acquisition unit 130 receives the user ID, and the group information (group ID, group registration date, access authority before the group registration retroactively, group withdrawal date, after group withdrawal) from the access right storage unit 101. And a list of accessible folders and access permission periods (access right data) of the group from the access right storage unit 101, and information on accessible folders of the user ( Calculate and return an accessible folder and its period).

文書メタデータ取得部140は、文書IDを受け付け、文書メタデータ記憶部102から当該文書ファイルの生成日時、削除日時、格納されていたフォルダの情報を取得し、文書生存管理データとして返却する。   The document metadata acquisition unit 140 receives the document ID, acquires the generation date / time, deletion date / time, and stored folder information of the document file from the document metadata storage unit 102, and returns the information as document survival management data.

アクセス権チェック部150は、文書生存管理データとアクセス可能フォルダ情報を受け取り、文書ファイルの生存期間とアクセス許可期間に重なり区間がある場合には、「OK」を、ない場合は「NG」と判定し、返却する。   The access right check unit 150 receives the document life management data and accessible folder information, and determines “OK” when there is an overlapping section between the document file life and access permission periods, and “NG” when there is no document file. And return it.

文書要求結果返却部160は、アクセス可否の結果と文書IDを受け付け、アクセス可否の結果が「OK」の場合、文書IDを文書取得部170に渡し、文書ファイルを取得し、ユーザインタフェース部110に返却する。「NG」の場合、アクセス権がない旨をユーザインタフェース部110に返却する。   The document request result return unit 160 receives the access permission result and the document ID. If the access permission result is “OK”, the document request result return unit 160 passes the document ID to the document acquisition unit 170 to acquire the document file, and sends it to the user interface unit 110. return. In the case of “NG”, the fact that there is no access right is returned to the user interface unit 110.

文書取得部170は、文書IDを受け付け、文書ファイル保管部103から文書ファイル実体を取り出し、返却する。   The document acquisition unit 170 receives the document ID, extracts the document file entity from the document file storage unit 103, and returns it.

アクセス権設定部180は、システム管理者からの要求に従い、ユーザIDの追加/削除/変更、ユーザに対するグループの情報の追加/削除/変更、グループと文書ファイルが収集されたフォルダ間にアクセス許可期間を付与したアクセス権データの追加/削除/変更の操作をアクセス権記憶部101に対して実行する。   The access right setting unit 180 adds / deletes / changes the user ID, adds / deletes / changes group information for the user, and grants an access permission period between the folder in which the group and the document file are collected according to a request from the system administrator. The access right storage unit 101 is added / deleted / changed to the access right data to which the access right is assigned.

次に、上記の構成における本発明の処理について説明する。本発明は、文書要求に先立って実施する準備フェーズと、文書要求を処理する文書要求処理フェーズからなる。   Next, the processing of the present invention in the above configuration will be described. The present invention includes a preparation phase that is performed prior to a document request and a document request processing phase that processes the document request.

<準備フェーズ>
以下の準備フェーズを行う前に、文書収集部190において、文書共有サーバ300の基点として設定されたフォルダから、順に下位フォルダに辿り、文書ファイルとして文書ファイル名、格納フォルダ名、作成日時、削除日時、文書実体を収集し、文書IDを文書ファイル実体を対応付けて文書ファイル保管部103に格納しておく。更に、文書収集部190は、収集した文書ファイルの文書ID、作成日時、格納フォルダ、文書ファイル名を文書メタデータ管理部102に格納しておくものとする。
<Preparation phase>
Before performing the following preparation phase, the document collection unit 190 sequentially proceeds to the lower folder from the folder set as the base point of the document sharing server 300, and as a document file, the document file name, storage folder name, creation date / time, deletion date / time The document entity is collected, and the document ID is stored in the document file storage unit 103 in association with the document file entity. Further, it is assumed that the document collection unit 190 stores the document ID, creation date, storage folder, and document file name of the collected document file in the document metadata management unit 102.

図4は、本発明の一実施の形態における準備フェーズのフローチャートである。   FIG. 4 is a flowchart of the preparation phase in one embodiment of the present invention.

ステップ101) アクセス権設定部180は、グループIDの追加/削除/変更、ユーザIDの追加/削除/変更、グループIDとユーザIDの括り付けを設定する。また、グループに対し、文書メタデータ記憶部102に存在する格納フォルダとアクセス許可期間を設定する。詳しくは、グループ情報としてグループIDとグループ名、ユーザ情報としてユーザIDとユーザ名、所属グループ情報として、グループID、ユーザID,グループ登録日、グループ脱退日、グループ登録前のアクセス権限遡及是非、グループ脱退後のアクセス権留保是非、アクセス権データとして、グループID、格納フォルダ名、アクセス許可開始時間、アクセス許可終了時間等が設定される。   Step 101) The access right setting unit 180 sets addition / deletion / change of group ID, addition / deletion / change of user ID, and grouping of group ID and user ID. In addition, a storage folder and an access permission period existing in the document metadata storage unit 102 are set for the group. In detail, group ID and group name as group information, user ID and user name as user information, group ID, user ID, group registration date, group withdrawal date, group authority information as group information, retroactive access authority before group registration, group As an access right data after withdrawal, a group ID, a storage folder name, an access permission start time, an access permission end time, and the like are set as access right data.

<文書要求処理フェーズ>
次に、文書要求処理フェーズについて説明する。
<Document request processing phase>
Next, the document request processing phase will be described.

図5は、本発明の一実施の形態における文書要求処理フェーズのフローチャートである。   FIG. 5 is a flowchart of the document request processing phase in one embodiment of the present invention.

ステップ201) ユーザインタフェース部110は、ユーザ端末200のアプリケーションプログラム210からの文書要求を受け付ける。   Step 201) The user interface unit 110 receives a document request from the application program 210 of the user terminal 200.

ステップ202) 文書要求処理部120は、文書IDとユーザIDから構成される文書要求の構文を解析する。その結果をアクセス権取得部130、文書メタデータ取得部140、アクセス権チェック部150に渡す。   Step 202) The document request processing unit 120 analyzes the syntax of the document request composed of the document ID and the user ID. The result is passed to the access right acquisition unit 130, the document metadata acquisition unit 140, and the access right check unit 150.

ステップ203) アクセス権取得部130は、ユーザIDを用いてアクセス権記憶部101から当該ユーザが属する/したグループID、グループ登録日、グループ登録前のアクセス権限遡及是非、グループ脱退日、グループ脱退後のアクセス権留保是非を取得する。更に、当該グループのアクセス可能なフォルダとアクセス許可期間のリスト(アクセス権データ)を取得する。   Step 203) The access right acquisition unit 130 uses the user ID from the access right storage unit 101, the group ID to which the user belongs / group, the group registration date, the access right before group registration, the group withdrawal date, and the group withdrawal date. Get access right reserved. Further, a list of accessible folders and access permission periods (access right data) of the group is acquired.

これらの取得した情報から、当該ユーザのアクセス可能フォルダ情報(アクセス可能フォルダとその期間から構成)を計算する。   From these acquired information, the accessible folder information of the user (composed of the accessible folder and its period) is calculated.

ステップ204) 文書メタデータ取得部140は、文書IDを用いて、文書メタデータ記憶部102から当該文書ファイルの生成日時、削除日時、格納されていたフォルダの情報(文書生存管理データ)を取得する。   Step 204) Using the document ID, the document metadata acquisition unit 140 acquires the generation date / time and deletion date / time of the document file and the stored folder information (document survival management data) from the document metadata storage unit 102. .

ステップ205) アクセス権チェック部150は、文書メタデータ取得部140から文書生存管理データを、アクセス権取得部130からアクセス権データを受け取り、文書ファイルの生存期間とアクセス許可期間に重なり区間がある場合には、「OK」を、ない場合は「NG」と判定する。   Step 205) When the access right check unit 150 receives the document life management data from the document metadata acquisition unit 140 and the access right data from the access right acquisition unit 130, there is an overlap between the lifespan of the document file and the access permission period. Is determined as “OK”, and “NG” is determined when there is no “OK”.

ステップ206) 文書取得部170は、アクセス権チェック部150のチェック結果が「OK」の場合は、文書IDを用いて、文書フィル保管部103から文書ファイル実体を取り出し、チェック結果と共に文書要求結果返却部160に渡す。   Step 206) When the check result of the access right check unit 150 is “OK”, the document acquisition unit 170 extracts the document file entity from the document file storage unit 103 using the document ID, and returns the document request result together with the check result. To the unit 160.

ステップ207) 文書要求結果返却部160は、チェック結果が「OK」の場合は文書ファイルと、チェック結果が「NG」の場合は、アクセス権限がない旨を要求結果として、ユーザ端末200のアプリケーションプログラム210に返却する。   Step 207) When the check result is “OK”, the document request result return unit 160 uses the document program as the request result, and when the check result is “NG”, the document request result return unit 160 uses the application program of the user terminal 200 as a request result. Return to 210.

[具体例]
次に、上記の準備フェーズ及び文書要求処理フェーズの具体的な例を、上記のフローチャートに沿って説明する。
[Concrete example]
Next, specific examples of the preparation phase and the document request processing phase will be described with reference to the flowchart.

図6に示す共有文書ファイル310が共有サーバ300と共通サーバで共有されているとする。文書収集部190は、文書ファイルの収集基点を、\\共有サーバ\pj1、\\共有サーバ\pj2、¥\共通サーバ\manager、\\共通サーバ\pubと設定し、それぞれ下位フォルダを辿り、図7に示す文書ファイルを収集し、予め、準備フェーズを行う前に、図8に示すように文書ファイル保管部103に格納されている。   Assume that the shared document file 310 shown in FIG. 6 is shared between the shared server 300 and the common server. The document collection unit 190 sets the collection point of the document file as \\ shared server \ pj1, \\ shared server \ pj2, \\ common server \ manager, \\ common server \ pub, and traces the lower folders respectively. The document files shown in FIG. 7 are collected and stored in advance in the document file storage unit 103 as shown in FIG. 8 before performing the preparation phase.

また、文書メタデータ取得部140により、図9に示すように、文書ファイルの文書メタデータが文書メタデータ記憶部102に格納されているものとする。   Further, it is assumed that the document metadata acquisition unit 140 stores the document metadata of the document file in the document metadata storage unit 102 as shown in FIG.

<準備フェーズ>
以下、図4のフローチャートに沿って説明する。
<Preparation phase>
Hereinafter, it demonstrates along the flowchart of FIG.

ステップ101) アクセス権取得部130は、グループ情報(図10(A))、ユーザ情報の作成(図10(B))、ユーザの所属グループの設定(図10(C))、グループのアクセス可能フォルダとアクセス許可期間(図10(D))を設定する。   Step 101) The access right acquisition unit 130 creates group information (FIG. 10A), creation of user information (FIG. 10B), setting of the user's group (FIG. 10C), and group access. A folder and an access permission period (FIG. 10D) are set.

図10の(A)のグループ情報のグループID「G0001」は『プロジェクト1』というグループに、「G0004」は『社員』というグループであることを示している。   The group ID “G0001” in the group information in FIG. 10A indicates that the group is “Project 1”, and “G0004” indicates that the group is “Employee”.

図10(B)のユーザ情報のユーザID「U0001」に対応するユーザは、
・2000/4/1に入社し、グループ「プロジェクト1」に所属し、一般職であった;
・2006/10/1に管理職に昇格し、文書共有の所属グループは「管理職」に所属となった;
・2007/7/1にグループ「プロジェクト1」から「プロジェクト2」に異動した;
の実現例である。
The user corresponding to the user ID “U0001” in the user information in FIG.
• Joined 2000/4/1, belonged to the group “Project 1” and were a regular employee;
-Promoted to managerial position on 2006/10/1, and the document sharing affiliation group became "manager".
-Moved from group "Project 1" to "Project 2" on 2007/7/1;
It is an example of realization.

図10(C)の所属グループ情報の「グループ登録前のアクセス権限遡及是非」と「グループ脱退後のアクセス権留保是非」は、以下の意味である。
○グループ登録前のアクセス権限遡及是非
・遡及する:当該グループの登録される以前に共有された文書ファイルも遡及してアクセス可能である。
In FIG. 10 (C), “access right retroactively before group registration” and “reserve access right after leaving the group” in the group information of the group have the following meanings.
○ Access authority before group registration retrospectively ・ Retroactive: Document files shared before registration of the group can be retroactively accessed.

・遡及しない:当該グループの登録される以前に共有された文書ファイルは遡及してアクセスすることは不可能である。
○グループ脱退後のアクセス権留保是非
・留保する:当該グループを脱退した後は、当該グループでアクセス可能だった文書ファイルはそのままアクセスを許容する。
-Do not retroactively: Document files that were shared before the group was registered cannot be accessed retroactively.
○ Reserve access rights after leaving the group ・ Reserve: After leaving the group, the document files that were accessible by the group are allowed to be accessed as they are.

・留保しない:当該グループを脱退した後は、当該グループでアクセス可能だった文書ファイルのアクセスは許容しない。   ・ Do not reserve: After leaving the group, access to the document file that was accessible in the group is not allowed.

図10(D)のアクセス権データ情報は、グループID毎に格納フォルダにアクセス可能な時間を示している。   The access right data information in FIG. 10D indicates a time during which the storage folder can be accessed for each group ID.

<文書要求処理フェーズ>
以下では、図5のフローチャートに沿って文書要求処理フェーズを説明する。
<Document request processing phase>
Hereinafter, the document request processing phase will be described with reference to the flowchart of FIG.

以下の例では、文書要求の日付は2010/04/01とする。   In the following example, the date of the document request is 2010/04/01.

ステップ201) ユーザインタフェース110は、ユーザ端末200のアプリケーションプログラム210から図11に示す文書要求を受け付ける。   Step 201) The user interface 110 receives the document request shown in FIG. 11 from the application program 210 of the user terminal 200.

ステップ202) 文書要求処理部120において、図12に示すように構文解析を行い、文書IDとユーザIDを取得する。   Step 202) The document request processing unit 120 performs syntax analysis as shown in FIG. 12, and obtains a document ID and a user ID.

ステップ203) アクセス権取得部130は、ステップ202で構文解析された結果のユーザID(U0001)を用いて、図10(C)に示すアクセス権記憶部101から、当該ユーザが属する/したグループID、グループ登録日、グループ登録前のアクセス権限遡及是非、グループ脱退日、グループ脱退後のアクセス権留保是非の情報である図13の情報を取得する。   Step 203) The access right acquisition unit 130 uses the user ID (U0001) as a result of the syntax analysis in Step 202, and from the access right storage unit 101 shown in FIG. The information of FIG. 13, which is information on the group registration date, the access authority retroactively before the group registration, the group withdrawal date, and the access right reservation right after the group withdrawal, is acquired.

更に、図10(D)に示すアクセス権記憶部101から図14に示す当該グループのアクセス可能なフォルダとアクセス許可期間のリスト(アクセス権データ)を取得する。これらの取得した情報から、当該ユーザのアクセス可能フォルダ情報(アクセス可能フォルダとその期間から構成)を計算し、図15のデータを得る。アクセス権の設定イメージは、図10(E)に示す通りである。図15において、「G0001」は、図10(E)からわかるように、既に2007/7/1の時点で異動しており、文書要求の日付「2010/04/01」にはアクセスは許容されないことを示している。「G0002」は、図10(D)を参照すると、アクセス許可開始時間2007/07/01〜アクセス許可終了時間2010/12/31となっているので、文書要求日が「2010/04/01」であった場合には、アクセスが許可される。   Furthermore, the list (access right data) of accessible folders and access permission periods shown in FIG. 14 is obtained from the access right storage unit 101 shown in FIG. From the acquired information, the accessible folder information of the user (consisting of the accessible folder and its period) is calculated to obtain the data shown in FIG. An access right setting image is as shown in FIG. In FIG. 15, “G0001” has already been moved as of 2007/7/1 as can be seen from FIG. 10E, and access is not permitted on the date “2010/04/01” of the document request. It is shown that. With reference to FIG. 10D, “G0002” has an access permission start time 2007/07/01 to an access permission end time 2010/12/31, so the document request date is “2010/04/01”. If it is, access is permitted.

ステップ204) 文書メタデータ取得部140は、文書ID(20070920000001)を用いて文書メタデータ記憶部102から図16に示すような文書生存管理データを取得する。   Step 204) The document metadata acquisition unit 140 acquires document survival management data as shown in FIG. 16 from the document metadata storage unit 102 using the document ID (20070920000001).

ステップ205) アクセス権チェック部150は、ステップ204で取得した文書生存管理データから、格納フォルダ[\\共有サーバ\pj1]の上位のフォルダの権限をステップ203の結果で参照すると、「G0001」が「¥\共有サーバ\pj1」でアクセス許容期間無しとなる。つまり、文書ID(20070920000001)に対して、ユーザID(U0001)は、アクセスが許可されていないため「NG」と判定する。   Step 205) When the access right check unit 150 refers to the authority of the upper folder of the storage folder [\\ shared server \ pj1] from the document survival management data acquired in Step 204 by the result of Step 203, “G0001” becomes “G0001”. “\\ shared server \ pj1” has no access permission period. That is, for the document ID (20070920000001), the user ID (U0001) is determined as “NG” because access is not permitted.

ステップ206) 文書要求結果返却部160は、ユーザにアクセス許可がない旨を返却する。   Step 206) The document request result return unit 160 returns that the user has no access permission.

同様な処理で、ユーザID(U0001)が、文書ID20070920000002〜20070920000012を文書要求した場合の結果を図17に示す。同図において、「OK」である場合には、文書取得部170において文書ファイル保管部103より文書IDに基づいて読み出して、ユーザインタフェース部110を介してユーザ端末200に送信する。   FIG. 17 shows the result when the user ID (U0001) requests the document IDs 20070920000002 to 20070920000012 in the same process. In the figure, if “OK”, the document acquisition unit 170 reads out from the document file storage unit 103 based on the document ID, and transmits it to the user terminal 200 via the user interface unit 110.

上記のように、本発明では、アクセス権を文書ファイルのフォルダ単位、かつ、複数のユーザからなるグループ単位で管理し、さらに、ユーザ及びグループ間で、文書にアクセス可能なアクセス可能期間を設定して管理することにより、アクセス制御対象とアクセス権の設定の独立性を確保している。   As described above, according to the present invention, the access right is managed in units of folders of document files and in units of groups including a plurality of users, and an accessible period in which documents can be accessed is set between users and groups. Management ensures the independence of access control targets and access right settings.

また、ユーザのグループへの登録及び脱退日時、登録時にアクセス権限を遡及するか否か、脱退時にアクセス権を留保するか否かを管理することで、企業や組織内でのユーザの状態変化に柔軟に対応可能なアクセス権の設定を行っている。   In addition, by managing the registration and withdrawal date and time of users, whether or not the access authority is retroactive at the time of registration, and whether or not the access right is reserved at the time of withdrawal, it is possible to change the state of the user in the company or organization. Access rights that can be handled flexibly are set.

また、上記の実施の形態における図3に示す時制文書アクセス制御装置の構成要素の動作をプログラムとして構築し、時制文書アクセス制御装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。   Further, the operation of the constituent elements of the temporal document access control apparatus shown in FIG. 3 in the above embodiment is constructed as a program and installed in a computer used as the temporal document access control apparatus to be executed, or via a network. Can be distributed.

また、構築されたプログラムをハードディスクや、フレキシブルディスク、CD−ROM等の可搬記憶媒体に格納し、コンピュータにインストールする、または、配布することが可能である。   In addition, the constructed program can be stored in a portable storage medium such as a hard disk, a flexible disk, or a CD-ROM, and can be installed or distributed in a computer.

なお、本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において種々変更・応用が可能である。   The present invention is not limited to the above-described embodiment, and various modifications and applications can be made within the scope of the claims.

本発明は、ネットワーク上で共有された文書ファイル群に対するアクセス権限を管理する技術に適用可能である。   The present invention can be applied to a technique for managing access authority for a document file group shared on a network.

本発明の原理を説明するための図である。It is a figure for demonstrating the principle of this invention. 本発明の原理構成図である。It is a principle block diagram of this invention. 本発明の一実施の形態におけるシステム構成図である。1 is a system configuration diagram according to an embodiment of the present invention. 本発明の一実施の形態における準備フェーズのフローチャートである。It is a flowchart of the preparation phase in one embodiment of this invention. 本発明の一実施の形態における文書要求処理フェーズのフローチャートである。It is a flowchart of the document request | requirement process phase in one embodiment of this invention. 本発明の一実施の形態における共有文書ファイルの例である。It is an example of the shared document file in one embodiment of this invention. 本発明の一実施の形態における収集された文書ファイルの例である。It is an example of the collected document file in one embodiment of this invention. 本発明の一実施の形態における文書ファイル保存部の例である。It is an example of the document file storage part in one embodiment of this invention. 本発明の一実施の形態における文書メタデータ記憶部の例である。It is an example of the document metadata memory | storage part in one embodiment of this invention. 本発明の一実施の形態におけるアクセス権記憶部の例である。It is an example of the access right memory | storage part in one embodiment of this invention. 本発明の一実施の形態における文書要求の例である。It is an example of the document request | requirement in one embodiment of this invention. 本発明の一実施の形態における構文解析結果の例である。It is an example of the syntax analysis result in one embodiment of this invention. 本発明の一実施の形態におけるアクセス権記憶部から取得したデータの例(その1)である。It is an example (the 1) of the data acquired from the access right memory | storage part in one embodiment of this invention. 本発明の一実施の形態におけるアクセス権記憶部から取得したデータの例(その2)である。It is an example (the 2) of the data acquired from the access right memory | storage part in one embodiment of this invention. 本発明の一実施の形態におけるアクセス権記憶部から取得したデータの例(その3)である。It is an example (the 3) of the data acquired from the access right memory | storage part in one embodiment of this invention. 本発明の一実施の形態における文書メタデータ記憶部から取得した文書生存管理データの例である。It is an example of the document survival management data acquired from the document metadata memory | storage part in one embodiment of this invention. 本発明の一実施の形態における文書要求に対する結果の例である。It is an example of the result with respect to the document request | requirement in one embodiment of this invention.

符号の説明Explanation of symbols

100 時制文書アクセス制御装置
101 アクセス権記憶手段、アクセス権記憶部
102 文書メタデータ記憶手段、文書メタデータ記憶部
103 文書ファイル記憶手段、文書ファイル保管部
110 ユーザインタフェース部
120 文書要求処理手段、文書要求処理部
130 アクセス権取得手段、アクセス権取得部
140 文書メタデータ取得手段、文書メタデータ取得部
150 アクセス権チェック手段、アクセス権チェック部
160 文書要求結果返却手段、文書要求結果返却部
170 文書取得手段、文書取得部
180 アクセス権設定手段、アクセス権設定部
190 文書収集手段、文書収集部
200 ユーザ端末
210 アプリケーションプログラム
300 文書共有サーバ
310 共有文書ファイル群
100 Temporary Document Access Control Device 101 Access Right Storage Unit, Access Right Storage Unit 102 Document Metadata Storage Unit, Document Metadata Storage Unit 103 Document File Storage Unit, Document File Storage Unit 110 User Interface Unit 120 Document Request Processing Unit, Document Request Processing unit 130 Access right acquisition unit, access right acquisition unit 140 Document metadata acquisition unit, document metadata acquisition unit 150 Access right check unit, access right check unit 160 Document request result return unit, document request result return unit 170 Document acquisition unit , Document acquisition unit 180 access right setting unit, access right setting unit 190 document collection unit, document collection unit 200 user terminal 210 application program 300 document sharing server 310 shared document file group

Claims (5)

文書共有サーバの共有文書ファイルへのアクセス制御を行う装置における文書アクセス制御方法であって、
文書ファイル記憶手段に、文書共有サーバから収集された文書ファイル実体と文書IDが格納され、
文書メタデータ記憶手段に、文書ID、文書ファイル名、作成日時、格納フォルダが格納され、
文書要求を取得する前に、
アクセス権設定手段が、システム管理者からの指示により、グループID及びユーザIDを関連付け、該グループID毎に、前記文書メタデータ記憶手段の前記格納フォルダに対するアクセス許可期間をアクセス権記憶手段に設定するアクセス権設定ステップを行い、
文書要求処理手段が、ユーザ端末から文書IDとユーザIDを含む文書要求を受け付けると、該文書要求を解析する文書要求解析ステップと、
アクセス権取得手段が、前記文書要求の前記ユーザIDに基づいて前記アクセス権記憶手段から該ユーザIDが属するグループIDに基づいて、該グループIDのグループがアクセス可能なフォルダとアクセス許可期間からなるグループアクセス権データを取得し、該ユーザIDに対応するユーザのアクセス可能なフォルダとアクセス許可期間からなるユーザアクセス権データを取得するアクセス権取得ステップと、
文書メタデータ取得手段が、前記文書IDに基づいて、前記メタデータ記憶手段から前記文書ファイルの文書ID、作成日時、格納フォルダ、文書ファイル名を文書生存管理データとして取得する文書生存管理データ取得ステップと、
アクセ権チェック手段が、前記文書生存管理データと前記ユーザアクセス権データに基づいて、アクセスが可能か否かを判定するアクセス権チェックステップと、
文書取得手段が、前記アクセス権チェックステップにおいてアクセスが可能であると判定された場合に、前記文書ファイル記憶手段から前記文書IDに基づいて文書ファイル実体を取得する文書取得ステップと、
文書要求結果返却手段が、前記文書取得ステップで文書ファイル実体が取得できた場合は、該文書ファイル実体を、前記アクセス権チェックステップで、アクセス不可と判定された場合にはその旨を前記ユーザ端末に送信する要求結果返却ステップと、
を行うことを特徴とする文書アクセス制御方法。
A document access control method in an apparatus for controlling access to a shared document file of a document sharing server,
The document file storage means stores the document file entity and document ID collected from the document sharing server,
The document metadata storage means stores the document ID, document file name, creation date and time, and storage folder.
Before getting a document request,
The access right setting unit associates a group ID and a user ID according to an instruction from the system administrator, and sets an access permission period for the storage folder of the document metadata storage unit in the access right storage unit for each group ID. Perform the access right setting step,
When the document request processing means receives a document request including a document ID and a user ID from the user terminal, a document request analyzing step for analyzing the document request;
A group consisting of a folder accessible by the group of the group ID and an access permission period based on the group ID to which the user ID belongs from the access right storage unit based on the user ID of the document request An access right acquisition step of acquiring access right data and acquiring user access right data comprising a user accessible folder corresponding to the user ID and an access permission period;
Document survival management data acquisition step in which the document metadata acquisition unit acquires the document ID, creation date, storage folder, and document file name of the document file as document survival management data from the metadata storage unit based on the document ID. When,
An access right check means for determining whether access is possible based on the document survival management data and the user access right data; and
A document acquisition step of acquiring a document file entity from the document file storage unit based on the document ID when it is determined that the document acquisition unit is accessible in the access right check step;
When the document request result return means can acquire the document file entity in the document acquisition step, the user terminal indicates that the document file entity is inaccessible in the access right check step. Request result return step to be sent to
A document access control method characterized by:
前記アクセス権設定ステップにおいて、
前記アクセス権記憶手段に、グループID、該グループIDに属するユーザID、グループ登録日、グループ登録前のアクセス権限遡及是非、グループ脱退日、グループ脱退後のアクセス権留保是非を登録しておき、
前記アクセス権取得ステップにおいて、
前記アクセス権記憶手段から、前記ユーザアクセス権データとして、前記ユーザIDに基づいて、該ユーザIDに対応するユーザが属するまたは、属したグループID、前記グループ登録日、前記グループ登録前のアクセス権限遡及是非、前記グループ脱退日、前記グループ脱退後のアクセス権留保是非を取得し、
前記アクセス権チェックステップにおいて、
前記アクセス権取得ステップで取得した前記アクセス権データと、前記文書生存管理データを参照して、文書ファイルの生存期間とアクセス許可期間許可に重なり区間がある場合には、アクセス可能と判定し、重なりがない場合にはアクセス不可と判定する
請求項1記載の文書アクセス制御方法。
In the access right setting step,
In the access right storage means, a group ID, a user ID belonging to the group ID, a group registration date, an access authority retroactive right before group registration, a group withdrawal date, an access right reservation right after group withdrawal,
In the access right acquisition step,
Based on the user ID as the user access right data from the access right storage means, the group ID to which the user corresponding to the user ID belongs, the group registration date, the access authority before the group registration retroactively By all means, acquire the group withdrawal date, access right reservations after the group withdrawal,
In the access right check step,
Referring to the access right data acquired in the access right acquisition step and the document life management data, if there is an overlap section between the life of the document file and the permission of the access permission, it is determined that the access is possible and the overlap The document access control method according to claim 1, wherein it is determined that access is impossible when there is no document.
文書共有サーバの共有文書ファイルへのアクセス制御を行う文書アクセス制御装置であって、
文書共有サーバから収集された文書ファイル実体と文書IDが格納された文書ファイルと、
前記文書ID、文書ファイル名、作成日時、格納フォルダが格納された文書メタデータ記憶手段と、
文書要求を取得する前に、システム管理者からの指示により、グループID及びユーザIDを関連付け、該グループID毎に、前記文書メタデータ記憶手段の前記格納フォルダに対するアクセス許可期間をアクセス権記憶手段に設定するアクセス権設定手段と、
ユーザ端末から文書IDとユーザIDを含む文書要求を受け付けると、該文書要求を解析する文書要求処理手段と、
前記文書要求の前記ユーザIDに基づいて前記アクセス権記憶手段から該ユーザIDが属するグループIDに基づいて、該グループIDのグループがアクセス可能なフォルダとアクセス許可期間からなるグループアクセス権データを取得し、該ユーザIDに対応するユーザのアクセス可能なフォルダとアクセス許可期間からなるユーザアクセス権データを取得するアクセス権取得手段と、
前記文書IDに基づいて、前記メタデータ記憶手段から前記文書ファイルの文書ID、作成日時、格納フォルダ、文書ファイル名を文書生存管理データとして取得する文書メタデータ取得手段と、
前記文書生存管理データと前記ユーザアクセス権データに基づいて、アクセスが可能か否かを判定するアクセス権チェック手段と、
前記アクセス権チェック手段においてアクセスが可能であると判定された場合に、前記文書ファイル記憶手段から前記文書IDに基づいて文書ファイル実体を取得する文書取得手段と、
前記文書取得手段で文書ファイル実体が取得できた場合は該文書ファイル実体を、前記アクセス権チェック手段でアクセス不可と判定された場合にはその旨を前記ユーザ端末に送信する文書要求結果返却手段と、
を有するアクセス手段と、
からなることを特徴とする文書アクセス制御装置。
A document access control device for controlling access to a shared document file of a document sharing server,
A document file in which a document file entity and a document ID collected from the document sharing server are stored;
Document metadata storage means storing the document ID, document file name, creation date and time, and storage folder;
Before acquiring a document request, a group ID and a user ID are associated with each other according to an instruction from the system administrator, and an access permission period for the storage folder of the document metadata storage unit is stored in the access right storage unit for each group ID. Access right setting means to be set;
When receiving a document request including a document ID and a user ID from a user terminal, a document request processing means for analyzing the document request;
Based on the user ID of the document request, based on the group ID to which the user ID belongs, the group access right data including a folder accessible by the group of the group ID and an access permission period is acquired from the access right storage unit. , Access right acquisition means for acquiring user access right data comprising a user accessible folder corresponding to the user ID and an access permission period;
Document metadata acquisition means for acquiring the document ID, creation date, storage folder, and document file name of the document file as document survival management data from the metadata storage means based on the document ID;
Access right check means for determining whether access is possible based on the document survival management data and the user access right data;
A document acquisition unit that acquires a document file entity from the document file storage unit based on the document ID when it is determined that the access right check unit is accessible;
A document request result return unit for transmitting the document file entity to the user terminal when the document acquisition unit is able to acquire the document file entity; ,
An access means comprising:
A document access control device comprising:
前記アクセス権設定手段は、
前記アクセス権記憶手段に、グループID、該グループIDに属するユーザID、グループ登録日、グループ登録前のアクセス権限遡及是非、グループ脱退日、グループ脱退後のアクセス権留保是非を登録しておく手段を含み、
前記アクセス権取得手段は、
前記アクセス権記憶手段から、前記ユーザアクセス権データとして、前記ユーザIDに基づいて、該ユーザIDに対応するユーザが属するまたは、属したグループID、前記グループ登録日、前記グループ登録前のアクセス権限遡及是非、前記グループ脱退日、前記グループ脱退後のアクセス権留保是非を取得する手段を含み、
前記アクセス権チェック手段は、
前記アクセス権取得手段で取得した前記アクセス権データと、前記文書生存管理データを参照して、文書ファイルの生存期間とアクセス許可期間許可に重なり区間がある場合には、アクセス可能と判定し、重なりがない場合にはアクセス不可と判定する手段を含む
請求項3記載の文書アクセス制御装置。
The access right setting means includes:
Means for registering in the access right storage means a group ID, a user ID belonging to the group ID, a group registration date, an access authority retroactive right before group registration, a group withdrawal date, and an access right reservation right after group withdrawal. Including
The access right acquisition means includes
Based on the user ID as the user access right data from the access right storage means, the group ID to which the user corresponding to the user ID belongs, the group registration date, the access authority before the group registration retroactively By all means, means for obtaining the group withdrawal date, the access right reservations after the group withdrawal,
The access right check means includes
With reference to the access right data acquired by the access right acquisition means and the document life management data, if there is an overlap section in the document file life and access permission period permission, it is determined that access is possible, 4. The document access control apparatus according to claim 3, further comprising means for determining that access is impossible when there is no file.
請求項3または4のいずれか1項に記載の文書アクセス制御装置を構成する各手段としてコンピュータを機能させる文書アクセス制御プログラム。   A document access control program that causes a computer to function as each means constituting the document access control apparatus according to claim 3.
JP2007313962A 2007-12-04 2007-12-04 Access control method and device, and program Pending JP2009140097A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007313962A JP2009140097A (en) 2007-12-04 2007-12-04 Access control method and device, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007313962A JP2009140097A (en) 2007-12-04 2007-12-04 Access control method and device, and program

Publications (1)

Publication Number Publication Date
JP2009140097A true JP2009140097A (en) 2009-06-25

Family

ID=40870662

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007313962A Pending JP2009140097A (en) 2007-12-04 2007-12-04 Access control method and device, and program

Country Status (1)

Country Link
JP (1) JP2009140097A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014038505A (en) * 2012-08-17 2014-02-27 Fuji Xerox Co Ltd Data management device, data management system and program
KR101950422B1 (en) * 2017-08-10 2019-02-20 (주)사이냅소프트 Document editing system and method for collaborative editing that supports setting edit permission

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014038505A (en) * 2012-08-17 2014-02-27 Fuji Xerox Co Ltd Data management device, data management system and program
KR101950422B1 (en) * 2017-08-10 2019-02-20 (주)사이냅소프트 Document editing system and method for collaborative editing that supports setting edit permission

Similar Documents

Publication Publication Date Title
US20080306900A1 (en) Document management method and apparatus
US20110167045A1 (en) Storage system and its file management method
JP5924209B2 (en) Backup control program, backup control method, and information processing apparatus
JP2009064120A (en) Search system
US9864736B2 (en) Information processing apparatus, control method, and recording medium
JP2007328400A (en) Policy management device, policy management method and computer program
JP2008046860A (en) File management system and file management method
KR100977159B1 (en) Method And System Of File Metadata Management Transparent About Address Changing Of Data Servers And Their Disk Movements
JP2008257475A (en) Information management system, individual management server, intensive management server, and information management method
JP4766127B2 (en) Information processing apparatus, file management system, and program
JP2009140097A (en) Access control method and device, and program
JP5911378B2 (en) Document management server, computer program, and document management method
US20160004708A1 (en) File storage apparatus and data management method
JP2004054779A (en) Access right management system
JP6568232B2 (en) Computer system and device management method
TW201814577A (en) Method and system for preventing malicious alteration of data in computer system
KR101428749B1 (en) EDMS using Cloud Service
TWI571754B (en) Method for performing file synchronization control, and associated apparatus
JP2007109160A (en) Cooperation method between document management system and access right management server
JP2017211709A (en) Virtual machine management method and virtual machine management system
JP5887236B2 (en) Business document processing apparatus, business document processing method, and business document processing program
US20200151280A1 (en) Dynamically building file graph
JP5316015B2 (en) Information processing apparatus and program
JP5613820B1 (en) Intellectual property information management system
JP2015127878A (en) Document management server device, information processing method, and program