JP2012138078A - クラウド・コンピューティング環境に保管されたデータに関するきめ細かい任意アクセス制御の有効化のための方法、システム、およびコンピュータ・プログラム - Google Patents
クラウド・コンピューティング環境に保管されたデータに関するきめ細かい任意アクセス制御の有効化のための方法、システム、およびコンピュータ・プログラム Download PDFInfo
- Publication number
- JP2012138078A JP2012138078A JP2011257055A JP2011257055A JP2012138078A JP 2012138078 A JP2012138078 A JP 2012138078A JP 2011257055 A JP2011257055 A JP 2011257055A JP 2011257055 A JP2011257055 A JP 2011257055A JP 2012138078 A JP2012138078 A JP 2012138078A
- Authority
- JP
- Japan
- Prior art keywords
- access
- data
- owner
- response
- specified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 58
- 238000004590 computer program Methods 0.000 title claims description 19
- 230000004044 response Effects 0.000 claims abstract description 165
- 238000013500 data storage Methods 0.000 claims abstract description 148
- 238000012545 processing Methods 0.000 claims description 23
- 230000008569 process Effects 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000011156 evaluation Methods 0.000 claims description 3
- 238000010200 validation analysis Methods 0.000 claims description 3
- 230000002776 aggregation Effects 0.000 claims 9
- 238000004220 aggregation Methods 0.000 claims 9
- 230000004931 aggregating effect Effects 0.000 claims 3
- 238000010586 diagram Methods 0.000 description 18
- 230000008520 organization Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 10
- 238000013459 approach Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 238000013523 data management Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 239000004065 semiconductor Substances 0.000 description 3
- 230000010267 cellular communication Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000002889 sympathetic effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000001755 vocal effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】アクセス・マネージャ・サービス245はデータ要求及び応答メッセージを入手する。応答メッセージは、データ・ストレージ・サービス225によって生成する。アクセス・マネージャ・サービスは、データ要求に対して適用可能な所有者指定のアクセス規則、所有者指定のアクセス例外又は両方を識別する。アクセス応答は、適用可能な所有者指定のアクセス規則、所有者指定のアクセス例外又は両方を使用して決定する。応答メッセージとアクセス応答は、要求されたデータ・アーチファクトへのアクセスの許可又は拒否を示す。アクセス応答は応答メッセージと比較する。アクセス応答が応答メッセージと一致しない場合、応答メッセージは、オーバライドし、一致する場合、応答メッセージはデータ要求の発信エンティティに伝達する。
【選択図】図2
Description
・リポジトリ125がどの国に常駐するかにかかわらず、組織の操業国のデータ・アクセス規制/制限に基づく組織固有の「拒否パーティ・リスト(Denied Party Lists)」
・データ・ストレージ・サービス115が損なわれた状態になるかまたはその内部アクセス/可視性規則を変更する場合にデータ漏洩の最小化
・クラウド・データ・ストレージ・サービス115が組織のイントラネットを処理する能力
205 クラウド・コンピューティング環境
210 リポジトリ
215 データ・アーティファクト
220 サービス・プロバイダ
225 データ・ストレージ・サービス
230 データ・ストア
235 データ処理規則
240 サービス・プロバイダ
245 アクセス・マネージャ・サービス
250 データ・ストア
255 所有者指定のアクセス規則
260 所有者指定のアクセス例外
265 データ・コンシューマ
270 クライアント・デバイス
275 アクセス・マネージャ・ユーザ・インターフェース
280 データ所有者
Claims (25)
- 電子データ・ファイルを表す複数のデータ・アーティファクトと、
クラウド・コンピューティング・モデルに応じて動作するように構成された複数のクラウド・サービス・プロバイダと、
前記複数のデータ・アーティファクトの保管およびアクセスを管理するように構成されたデータ・ストレージと、
前記データ・ストレージによって管理される前記複数のデータ・アーティファクトに対する任意アクセス制御を提供するように構成されたアクセス・マネージャであって、前記任意アクセス制御が前記データ・ストレージによって実行されるアクセス制御操作に加えて実行され、前記アクセス・マネージャの前記任意アクセス制御が前記データ・ストレージによって行われたアクセス許可およびアクセス拒否を撤回することができる、アクセス・マネージャと
を含む、システム。 - 前記データ・ストレージが、
前記複数のデータ・アーティファクトのアクセスに関する制限を定義する複数のデータ処理規則であって、前記データ・ストレージが前記複数のデータ処理規則を使用して、データ・アーティファクトへのアクセスを要求するデータ・コンシューマに関するアクセス許可およびアクセス拒否のうちの少なくとも一方を決定する、複数のデータ処理規則
をさらに含む、請求項1記載のシステム。 - 前記アクセス・マネージャが、
データ・アーティファクトへのアクセスを制限する少なくとも1つのパラメータ値を定義する複数の所有者指定のアクセス規則と、
前記データ・アーティファクトへのアクセスを許可する条件を定義する複数の所有者指定のアクセス例外であって、前記アクセスが前記データ・ストレージおよび少なくとも1つの所有者指定のアクセス規則のうちの少なくとも一方によって拒否される、複数の所有者指定のアクセス例外と
をさらに含む、請求項1又は2に記載のシステム。 - 所有者指定のアクセス例外に関連する認証情報を妥当性検査するように構成された認証部であって、前記アクセス・マネージャによって有効な認証データを受信することを条件に、前記データ・アーティファクトへのアクセスが可能になる、認証部
をさらに含む、請求項1乃至3のいずれかに記載のシステム。 - 前記認証部が、前記認証情報を自動的に生成するようにさらに構成される、請求項4記載のシステム。
- 前記認証部が、厳密認証プロセスを使用するように構成される、請求項4又は5に記載のシステム。
- 前記複数の所有者指定のアクセス規則および前記複数の所有者指定のアクセス例外の定義を可能にするように構成されたアクセス・マネージャ・サービス・ユーザ・インターフェースをさらに含む、請求項1乃至6のいずれかに記載のシステム。
- アクセス・マネージャによりデータ要求および前記データ要求に関する応答メッセージを入手することであって、前記応答メッセージが前記データ要求に応答してデータ・ストレージによって生成され、前記応答メッセージが前記データ・ストレージによって保管されたデータ・アーティファクトへのアクセスの許可および拒否のうちの少なくとも一方を示すことと、
前記データ要求に対して適用可能な少なくとも1つの所有者指定のアクセス規則および少なくとも1つの所有者指定のアクセス例外のうちの少なくとも一方の存在を識別することと、
前記識別された少なくとも1つの所有者指定のアクセス規則および少なくとも1つの所有者指定のアクセス例外に基づいて前記データ要求に対するアクセス応答を決定することであって、前記アクセス応答が前記データ要求で要求された前記データ・アーティファクトへのアクセスの前記許可および前記拒否のうちの少なくとも一方を示し、所有者指定のアクセス規則が前記データ・アーティファクトへのアクセスを制限する少なくとも1つのパラメータ値を定義し、所有者指定のアクセス例外が前記データ・アーティファクトへのアクセスを許可する条件を定義し、前記データ・ストレージおよび少なくとも1つの所有者指定のアクセス規則のうちの少なくとも一方によって前記アクセスが拒否されることと、
前記決定されたアクセス応答を前記応答メッセージと比較することと、
前記決定されたアクセス応答が前記応答メッセージと一致しない場合に、前記決定されたアクセス応答を表すために前記応答メッセージをオーバライドすることと、
前記決定されたアクセス応答が前記応答メッセージと一致する場合に、前記データ要求の発信エンティティに前記応答メッセージを伝達すること
を含む、の方法。 - 前記データ要求および応答メッセージを入手することが、
前記データ・ストレージによる前記データ要求の受信を検出することと、
前記データ・ストレージから前記データ要求のコピーを要求すること
をさらに含む、請求項8記載の方法。 - 前記データ要求および応答メッセージを入手することが、
前記データ・ストレージによる前記応答メッセージの送信を検出することと、
前記応答メッセージの前記送信をインターセプトすること
をさらに含む、請求項8記載の方法。 - 前記識別の結果、所有者指定のアクセス例外の前記存在が判明した場合、前記方法が、
前記データ要求の前記発信エンティティから認証データを要求することと、
前記認証データの受信次第、前記認証データを妥当性検査することと、
前記認証データが有効と判断された場合に、前記所有者指定のアクセス例外を表すために前記応答メッセージを直ちにオーバライドすること
をさらに含む、請求項8乃至10のいずれかに記載の方法。 - 前記所有者指定のアクセス例外が、前記アクセス・マネージャ・サービスによる使用のためにアクティブのままであるべきかどうかを査定することと、
前記所有者指定のアクセス例外がアクティブのままであるべきではないと査定された場合に、前記所有者指定のアクセス例外を自動的に非活動化することであって、前記所有者指定のアクセス例外が前記アクセス・マネージャ・サービスによる使用のために使用不能であること
をさらに含む、請求項8乃至11のいずれかに記載の方法。 - 前記認証データが無効と判断された場合に、前記データ要求の前記発信エンティティに前記無効認証データを通知することと、
前記発信エンティティからの認証データの前記要求および妥当性検査を繰り返すことであって、有効認証データの受信、前記データ要求に関連する前記データ・ストレージ・サービスによって作成されたセッションの終了、および定義済み時間制限の満了のうちの少なくとも1つまで前記データ・アーティファクトへのアクセスが拒否されること
をさらに含む、請求項11に記載の方法。 - 前記アクセス応答を決定することが、
前記少なくとも1つの識別された所有者指定のアクセス規則を集約することと、
所有者指定のアクセス規則の前記集約内の矛盾の存在を識別することであって、少なくとも2つの所有者指定のアクセス規則のパラメータ値が相互に排他的である場合に前記少なくとも2つの所有者指定のアクセス規則が矛盾していると見なされることと、
前記矛盾が存在する場合に、矛盾しているものとして識別されたそれぞれの所有者指定のアクセス規則に関連する優先順位の値を使用して前記矛盾を解決することであって、最も高い優先順位の値を有する所有者指定のアクセス規則がより低い優先順位の値を有する所有者指定のアクセス規則より優先的に使用され、前記より低い優先順位の値を有する前記所有者指定のアクセス規則が所有者指定のアクセス規則の前記集約から除去されることと、
所有者指定のアクセス規則の前記集約によって表されたパラメータ値に対応する前記データ要求からのデータ値を比較することと、
前記データ値が前記パラメータ値を満足することを前記比較が示す場合に、前記データ・アーティファクトへのアクセスの前記拒否として前記アクセス応答を設定することと、
前記パラメータが前記データ値によって満足されないことを前記比較が示す場合に、前記データ・アーティファクトへのアクセスの前記許可として前記アクセス応答を設定すること
をさらに含む、請求項8乃至13のいずれかに記載の方法。 - 前記応答メッセージの前記オーバライドが、
前記データ要求について前記データ・ストレージによって作成されたセッションの少なくとも1つのパラメータに対する変更を遂行することであって、前記少なくとも1つのパラメータが前記セッションに許可されたアクセスを制御することと、
前記決定されたアクセス応答を反映するように前記応答メッセージを変更することと、
前記データ要求の前記発信エンティティに前記応答メッセージを伝達すること
をさらに含む、請求項8乃至14のいずれかに記載の方法。 - コンピュータ・プログラムであり、コンピュータにより実行されることにより、前記コンピュータに、
データ要求および前記データ要求に関する応答メッセージを入手するように構成され、前記応答メッセージが前記データ要求に応答してデータ・ストレージによって生成され、前記応答メッセージが前記データ・ストレージによって保管されたデータ・アーティファクトへのアクセスの許可および拒否のうちの少なくとも一方を示すことと、
前記データ要求に対して適用可能な少なくとも1つの所有者指定のアクセス規則および少なくとも1つの所有者指定のアクセス例外のうちの少なくとも一方の存在を識別することと、
前記識別された少なくとも1つの所有者指定のアクセス規則および少なくとも1つの所有者指定のアクセス例外に基づいて前記データ要求に対するアクセス応答を決定するように構成され、前記アクセス応答が前記データ要求で要求された前記データ・アーティファクトへのアクセスの前記許可および前記拒否のうちの少なくとも一方を示し、所有者指定のアクセス規則が前記データ・アーティファクトへのアクセスを制限する少なくとも1つのパラメータ値を定義し、所有者指定のアクセス例外が前記データ・アーティファクトへのアクセスを許可する条件を定義し、前記データ・ストレージおよび少なくとも1つの所有者指定のアクセス規則のうちの少なくとも一方によって前記アクセスが拒否されることと、
前記決定されたアクセス応答を前記応答メッセージと比較することと、
前記決定されたアクセス応答が前記応答メッセージと一致しない場合に、前記決定されたアクセス応答を表すために前記応答メッセージをオーバライドすることと、
前記決定されたアクセス応答が前記応答メッセージと一致する場合に、前記データ要求の発信エンティティに前記応答メッセージを伝達することと
を行わせる、コンピュータ・プログラム。 - 前記識別の結果、所有者指定のアクセス例外の前記存在が判明した場合、前記方法が、
前記データ要求の前記発信エンティティから認証データを要求することと、
前記認証データの受信次第、前記認証データを妥当性検査することと、
前記認証データが有効と判断された場合に、前記所有者指定のアクセス例外を表すために前記応答メッセージを直ちにオーバライドすることと
をさらに実行させる、請求項16記載のコンピュータ・プログラム。 - 前記認証データが無効と判断された場合に、前記データ要求の前記発信エンティティに前記無効認証データを通知することと、
前記発信エンティティからの認証データの前記要求および妥当性検査を繰り返すように構成され、有効認証データの受信、前記データ要求に関連する前記データ・ストレージ・サービスによって作成されたセッションの終了、および定義済み時間制限の満了のうちの少なくとも1つまで前記データ・アーティファクトへのアクセスが拒否されることと
をさらに実行させる、請求項17記載のコンピュータ・プログラム。 - 前記アクセス応答を決定することが、
前記少なくとも1つの識別された所有者指定のアクセス規則を集約することと、
所有者指定のアクセス規則の前記集約内の矛盾の存在を識別するように構成され、少なくとも2つの所有者指定のアクセス規則のパラメータが相互に排他的である場合に前記少なくとも2つの所有者指定のアクセス規則が矛盾していると見なされることと、
前記矛盾が存在する場合に、矛盾しているものとして識別されたそれぞれの所有者指定のアクセス規則に関連する優先順位の値を使用して前記矛盾を解決するように構成され、最も高い優先順位の値を有する所有者指定のアクセス規則がより低い優先順位の値を有する所有者指定のアクセス規則より優先的に使用され、前記より低い優先順位の値を有する前記所有者指定のアクセス規則が所有者指定のアクセス規則の前記集約から除去されること、
所有者指定のアクセス規則の前記集約によって表されたパラメータ値に対応する前記データ要求からのデータ値を比較することと、
前記データ値が前記パラメータ値を満足することを前記比較が示す場合に、前記データ・アーティファクトへのアクセスの前記拒否として前記アクセス応答を設定することと、
前記パラメータが前記データ値によって満足されないことを前記比較が示す場合に、前記データ・アーティファクトへのアクセスの前記許可として前記アクセス応答を設定することと
をさらに含む、請求項16乃至18のいずれかに記載のコンピュータ・プログラム。 - データ・ストレージによりデータ要求を受信することであって、前記データ要求が前記クラウド・ストレージによって保管されたデータ・アーティファクトへのアクセスを要求することと、
前記データ・ストレージにより前記データ要求に対する応答を決定することであって、前記決定が前記データ・アーティファクトへのアクセスを許可することおよびアクセスを拒否することのうちの少なくとも一方を示すことと、
アクセス・マネージャにより前記データ・ストレージによる前記データ要求の受信を検出することと、
前記アクセス・マネージャにより、前記決定された応答の実行前に前記データ・ストレージによる前記データ要求の処理に割り込むことと、
前記アクセス・マネージャにより、前記データ要求のコピーおよび前記データ・ストレージの応答を入手することと、
前記データ・アーティファクトについて定義された任意アクセス制御に関して、前記アクセス・マネージャにより前記データ要求の前記コピーの内容を評価することであって、前記任意アクセス制御が前記データ・アーティファクトに関連するエンティティによって構成されることと、
前記アクセス・マネージャにより前記データ要求コピーの前記評価からの応答を決定することであって、前記決定が前記データ・アーティファクトへのアクセスを許可することおよびアクセスを拒否することのうちの少なくとも一方を示すことと、
前記データ・ストレージによって決定された前記応答を前記アクセス・マネージャによって内部で決定された前記応答と比較することと、
前記比較が前記データ・ストレージと前記アクセス・マネージャの前記応答間の不一致を示す場合に、前記アクセス・マネージャにより前記データ・ストレージの応答をオーバライドすることであって、前記アクセス・マネージャによって決定された前記応答が前記データ・ストレージによって決定された前記応答より優先されることと、
前記比較が前記データ・ストレージと前記アクセス・マネージャの前記応答間の一致を示す場合に、前記アクセス・マネージャにより前記データ・ストレージによる前記データ要求の処理に対する前記割り込みをリリースすることであって、前記データ・ストレージが前記データ要求の履行を完了できるようになること
を含む、方法。 - 前記データ・ストレージによる前記データ要求の処理に対する割り込みが、
前記アクセス・マネージャにより、前記データ・ストレージから前記データ要求の発信エンティティへの前記応答の送信を検出することと、
前記アクセス・マネージャにより前記送信をインターセプトすること
をさらに含む、請求項20記載の方法。 - 前記データ要求コピーの前記内容を評価することが、
前記アクセス・マネージャにより前記データ要求に対して適用可能な少なくとも1つの所有者指定のアクセス例外の存在を識別することであって、所有者指定のアクセス例外が前記任意アクセス制御によって使用され、前記所有者指定のアクセス例外が、そうでなければ前記データ・ストレージおよび前記任意アクセス制御のうちの少なくとも一方によって拒否される前記データ・アーティファクトへのアクセスを許可する条件を定義することと、
前記少なくとも1つの適用可能な所有者指定のアクセス例外が存在する場合に、前記アクセス・マネージャにより前記データ要求コピーの前記発信エンティティから認証データを要求することと、
前記認証データの受信次第、前記アクセス・マネージャにより前記認証データを妥当性検査することと、
前記認証データが有効と判断された場合に、前記アクセス・マネージャにより前記データ・ストレージの応答を直ちにオーバライドすることであって、前記アクセス・マネージャによって決定された前記応答が前記データ・ストレージによって決定された前記応答より優先されること
をさらに含む、請求項20又は21に記載の方法。 - 前記少なくとも1つの所有者指定のアクセス例外が存在しない場合に、前記方法が、
前記アクセス・マネージャにより前記データ要求コピーに対して適用可能な少なくとも1つの所有者指定のアクセス規則の存在を識別することであって、所有者指定のアクセス規則が前記任意アクセス制御によって使用され、前記所有者指定のアクセス規則が前記データ・アーティファクトへのアクセスを制限する少なくとも1つのパラメータ値を定義することと、
前記少なくとも1つの適用可能な所有者指定のアクセス規則が存在する場合に、前記アクセス・マネージャにより前記少なくとも1つの適用可能な所有者指定のアクセス規則を集約することと、
前記アクセス・マネージャにより適用可能な所有者指定のアクセス規則の前記集約内の矛盾の存在を識別することであって、少なくとも2つの適用可能な所有者指定のアクセス規則のパラメータ値が相互に排他的である場合に前記少なくとも2つの所有者指定のアクセス規則が矛盾していると見なされることと、
前記矛盾が存在する場合に、前記アクセス・マネージャにより矛盾しているものとして識別されたそれぞれの所有者指定のアクセス規則に関連する優先順位の値を使用して前記矛盾を解決することであって、最も高い優先順位の値を有する前記所有者指定のアクセス規則がより低い優先順位の値を有する所有者指定のアクセス規則より優先的に使用され、前記より低い優先順位の値を有する前記所有者指定のアクセス規則が適用可能な所有者指定のアクセス規則の前記集約から除去されることと、
前記アクセス・マネージャにより適用可能な所有者指定のアクセス規則の前記集約によって表されたパラメータ値に対応する前記データ要求からのデータ値を比較することであって、前記データ値が前記パラメータ値を満足することが前記データ・アーティファクトへのアクセスの拒否を示すこと
をさらに含む、請求項22記載の方法。 - 前記データ・ストレージの応答をオーバライドすることが、
前記アクセス・マネージャにより、前記データ要求について前記データ・ストレージ・サービスによって作成されたセッションの少なくとも1つのパラメータに対する変更を遂行することであって、前記少なくとも1つのパラメータが前記セッションに許可されたアクセスを制御することと、
前記アクセス・マネージャにより、前記データ・ストレージによる前記データ要求の処理を再開することであって、前記データ・ストレージによる前記データ要求の処理が前記セッションの前記少なくとも1つのパラメータに対する前記変更を反映すること
をさらに含む、請求項20乃至23のいずれかに記載の方法。 - コンピュータ・プログラムであり、コンピュータにより実行されることにより、前記コンピュータに、
クラウド・ストレージ・システムのデータ・ストレージによりデータ要求を受信するように構成され、前記データ要求が前記クラウド・ストレージ・システムによって保管されたデータ・アーティファクトへのアクセスを要求することと、
前記データ・ストレージにより前記データ要求に対する応答を決定するように構成され、前記決定が前記データ・アーティファクトへのアクセスを許可することおよびアクセスを拒否することのうちの少なくとも一方を示すことと、
アクセス・マネージャにより前記データ・ストレージによる前記データ要求の受信を検出することと、
前記アクセス・マネージャにより、前記決定された応答の実行前に前記データ・ストレージによる前記データ要求の処理に割り込むことと、
前記アクセス・マネージャにより、前記データ要求のコピーおよび前記データ・ストレージの応答を入手することと、
前記データ・アーティファクトについて定義された任意アクセス制御に関して、前記アクセス・マネージャにより前記データ要求の前記コピーの内容を評価するように構成され、前記任意アクセス制御が前記データ・アーティファクトに関連するエンティティによって構成されることと、
前記アクセス・マネージャにより前記データ要求コピーの前記評価からの応答を決定するように構成され、前記決定が前記データ・アーティファクトへのアクセスを許可することおよびアクセスを拒否することのうちの少なくとも一方を示すことと、
前記データ・ストレージによって決定された前記応答を前記アクセス・マネージャによって内部で決定された前記応答と比較することと、
前記比較が前記データ・ストレージと前記アクセス・マネージャの前記応答間の不一致を示す場合に、前記アクセス・マネージャにより前記データ・ストレージの応答をオーバライドするように構成され、前記アクセス・マネージャによって決定された前記応答が前記データ・ストレージによって決定された前記応答より優先されることと、
前記比較が前記データ・ストレージと前記アクセス・マネージャの前記応答間の一致を示す場合に、前記アクセス・マネージャにより前記データ・ストレージによる前記データ要求の処理に対する前記割り込みをリリースするように構成され、前記データ・ストレージが前記データ要求の履行を完了できること
を行わせる、コンピュータ・プログラム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/979,117 US8990950B2 (en) | 2010-12-27 | 2010-12-27 | Enabling granular discretionary access control for data stored in a cloud computing environment |
US12/979117 | 2010-12-27 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012138078A true JP2012138078A (ja) | 2012-07-19 |
JP5800389B2 JP5800389B2 (ja) | 2015-10-28 |
Family
ID=46318685
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011257055A Expired - Fee Related JP5800389B2 (ja) | 2010-12-27 | 2011-11-25 | クラウド・コンピューティング環境に保管されたデータに関するきめ細かい任意アクセス制御の有効化のための方法、システム、およびコンピュータ・プログラム |
Country Status (3)
Country | Link |
---|---|
US (2) | US8990950B2 (ja) |
JP (1) | JP5800389B2 (ja) |
CN (1) | CN102567454B (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016504651A (ja) * | 2012-11-07 | 2016-02-12 | インタートラスト テクノロジーズ コーポレイション | 個人化データ管理システムおよび方法 |
WO2015167541A3 (en) * | 2014-04-30 | 2016-05-26 | Hewlett Packard Enterprise Development Lp | Service onboarding |
JP2016157215A (ja) * | 2015-02-24 | 2016-09-01 | コニカミノルタ株式会社 | 文書管理システム、文書処理装置、文書管理方法、およびコンピュータプログラム |
US9959402B2 (en) | 2013-10-09 | 2018-05-01 | Konica Minolta Inc. | Image processing system, image formation apparatus, and relay device |
WO2022070414A1 (ja) | 2020-10-02 | 2022-04-07 | 富士通株式会社 | 制御方法、制御プログラムおよび情報処理装置 |
Families Citing this family (48)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8601265B2 (en) | 2010-11-22 | 2013-12-03 | Netapp, Inc. | Method and system for improving storage security in a cloud computing environment |
US8676710B2 (en) * | 2010-11-22 | 2014-03-18 | Netapp, Inc. | Providing security in a cloud storage environment |
US20120173686A1 (en) * | 2010-12-30 | 2012-07-05 | International Business Machines Corporation | Mobility aware cloud provisioning |
US20120222132A1 (en) * | 2011-02-25 | 2012-08-30 | Microsoft Corporation | Permissions Based on Behavioral Patterns |
US8813174B1 (en) * | 2011-05-03 | 2014-08-19 | Symantec Corporation | Embedded security blades for cloud service providers |
DE102011077218B4 (de) * | 2011-06-08 | 2023-12-14 | Servicenow, Inc. | Zugriff auf in einer Cloud gespeicherte Daten |
US9118685B1 (en) * | 2011-07-22 | 2015-08-25 | Symantec Corporation | Cloud data protection |
WO2013028192A1 (en) * | 2011-08-25 | 2013-02-28 | Empire Technology Development, Llc | Virtual datacenter private sublets for quarantined access to data |
CN102638567B (zh) * | 2012-03-02 | 2015-05-20 | 深圳市朗科科技股份有限公司 | 多应用云存储平台和云存储终端 |
US9152807B2 (en) * | 2012-03-08 | 2015-10-06 | Marvell World Trade Ltd. | Method and apparatus for providing audio or video capture functionality according to a security policy |
US9747581B2 (en) * | 2012-07-02 | 2017-08-29 | International Business Machines Corporation | Context-dependent transactional management for separation of duties |
US8893291B2 (en) * | 2012-10-30 | 2014-11-18 | Samsung Sds Co., Ltd. | Security through metadata orchestrators |
US9207964B1 (en) | 2012-11-15 | 2015-12-08 | Google Inc. | Distributed batch matching of videos with dynamic resource allocation based on global score and prioritized scheduling score in a heterogeneous computing environment |
CN103067406B (zh) * | 2013-01-14 | 2015-07-22 | 暨南大学 | 一种公有云与私有云之间的访问控制系统及方法 |
CN103095833B (zh) * | 2013-01-15 | 2016-02-03 | 中国联合网络通信集团有限公司 | 云服务系统更新方法和装置 |
US9607166B2 (en) | 2013-02-27 | 2017-03-28 | Microsoft Technology Licensing, Llc | Discretionary policy management in cloud-based environment |
US9654351B2 (en) | 2013-08-22 | 2017-05-16 | Red Hat, Inc. | Granular permission assignment |
US20150067171A1 (en) * | 2013-08-30 | 2015-03-05 | Verizon Patent And Licensing Inc. | Cloud service brokering systems and methods |
CN103428299B (zh) * | 2013-09-04 | 2016-06-01 | 安徽大学 | 一种云存储访问控制方法 |
US11163898B2 (en) * | 2013-09-11 | 2021-11-02 | Mimecast Services Ltd. | Sharing artifacts in permission-protected archives |
US9231957B2 (en) * | 2013-10-17 | 2016-01-05 | Netapp, Inc. | Monitoring and controlling a storage environment and devices thereof |
EP3066636A4 (en) * | 2013-11-06 | 2017-04-26 | Intel Corporation | Unifying interface for cloud content sharing services |
US9418236B2 (en) * | 2013-11-13 | 2016-08-16 | Intuit Inc. | Method and system for dynamically and automatically managing resource access permissions |
US9420017B2 (en) * | 2014-01-10 | 2016-08-16 | Kuhoo Edson | Information organization, management, and processing system and methods |
US20150304343A1 (en) | 2014-04-18 | 2015-10-22 | Intuit Inc. | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment |
US10121007B2 (en) | 2014-02-21 | 2018-11-06 | Intuit Inc. | Method and system for providing a robust and efficient virtual asset vulnerability management and verification service |
US10757133B2 (en) | 2014-02-21 | 2020-08-25 | Intuit Inc. | Method and system for creating and deploying virtual assets |
US10073978B2 (en) | 2014-04-16 | 2018-09-11 | International Business Machines Corporation | Efficient modification and creation of authorization settings for user accounts |
US11294700B2 (en) | 2014-04-18 | 2022-04-05 | Intuit Inc. | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets |
US20160191484A1 (en) * | 2014-07-09 | 2016-06-30 | Intelmate Llc | Secure Inmate Digital Storage |
US20160012251A1 (en) * | 2014-07-10 | 2016-01-14 | Anil Singh | Distribution, tracking, management, reporting and deployment of cloud resources within an enterprise |
KR102194923B1 (ko) * | 2014-07-22 | 2020-12-24 | 엘지전자 주식회사 | 디스플레이 디바이스 및 그 제어 방법 |
US10102082B2 (en) | 2014-07-31 | 2018-10-16 | Intuit Inc. | Method and system for providing automated self-healing virtual assets |
US10038722B2 (en) * | 2015-09-03 | 2018-07-31 | Vmware, Inc. | Access control policy management in a cloud services environment |
WO2017177077A2 (en) * | 2016-04-08 | 2017-10-12 | Cloud Knox, Inc. | Method and system to detect discrepancy in infrastructure security configurations from translated security best practice configurations in heterogeneous environments |
CN105827632B (zh) * | 2016-04-26 | 2019-03-26 | 广东技术师范学院 | 云计算ccs细粒度数据控制方法 |
US10389591B2 (en) * | 2016-10-28 | 2019-08-20 | Microsoft Technology Licensing, Llc | Autonomous configuration system for a service infrastructure |
US10275777B2 (en) * | 2017-09-14 | 2019-04-30 | Bank Of America Corporation | Centralized compliance assessment tool |
US10796014B2 (en) | 2017-12-27 | 2020-10-06 | International Business Machines Corporation | Data license manager |
US11861024B1 (en) * | 2018-01-26 | 2024-01-02 | Wells Fargo Bank, N.A. | Systems and methods for data risk assessment |
US11328115B2 (en) * | 2018-05-10 | 2022-05-10 | Microsoft Technology Licensing, Llc. | Self-asserted claims provider |
US10601828B2 (en) * | 2018-08-21 | 2020-03-24 | HYPR Corp. | Out-of-band authentication based on secure channel to trusted execution environment on client device |
US11057366B2 (en) | 2018-08-21 | 2021-07-06 | HYPR Corp. | Federated identity management with decentralized computing platforms |
US10764752B1 (en) * | 2018-08-21 | 2020-09-01 | HYPR Corp. | Secure mobile initiated authentication |
US11297066B2 (en) | 2020-01-20 | 2022-04-05 | International Business Machines Corporation | Constrained roles for access management |
US11463448B2 (en) * | 2020-03-13 | 2022-10-04 | Sap Se | Access control for object instances |
US11314833B1 (en) | 2021-08-24 | 2022-04-26 | metacluster lt, UAB | Adaptive data collection optimization |
US11949561B2 (en) * | 2022-07-19 | 2024-04-02 | Servicenow, Inc. | Automated preventative controls in digital workflow |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003030063A (ja) * | 2001-07-16 | 2003-01-31 | Mitsubishi Electric Corp | Oa管理システム及びoa管理方法 |
US20060123005A1 (en) * | 2004-12-02 | 2006-06-08 | International Business Machines Corporation | System and method for supporting a plurality of access control list types for a file system in an operating system |
JP2008299414A (ja) * | 2007-05-29 | 2008-12-11 | Internatl Business Mach Corp <Ibm> | コンテンツ処理システム、方法及びプログラム |
JP2009507275A (ja) * | 2005-08-11 | 2009-02-19 | マイクロソフト コーポレーション | 二重レイヤーアクセス制御リスト |
JP2009211668A (ja) * | 2007-03-28 | 2009-09-17 | Fujitsu Ltd | アクセス制御プログラム |
JP2010198186A (ja) * | 2009-02-24 | 2010-09-09 | Nec System Technologies Ltd | 動作設定ファイルの動的結合方法、動作設定ファイルの動的結合システム及びそのプログラム |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7231378B2 (en) * | 2001-04-26 | 2007-06-12 | General Electric Company | System and method for managing user profiles |
US20030126465A1 (en) | 2001-12-31 | 2003-07-03 | Joseph Tassone | Internet-based card access and security systems and methods |
GB0207354D0 (en) * | 2002-03-28 | 2002-05-08 | Ibm | Inheritance of access controls within a hierarchy of data processing system resources |
US20080091613A1 (en) | 2006-09-28 | 2008-04-17 | Microsoft Corporation | Rights management in a cloud |
US8341405B2 (en) * | 2006-09-28 | 2012-12-25 | Microsoft Corporation | Access management in an off-premise environment |
US8655939B2 (en) | 2007-01-05 | 2014-02-18 | Digital Doors, Inc. | Electromagnetic pulse (EMP) hardened information infrastructure with extractor, cloud dispersal, secure storage, content analysis and classification and method therefor |
US8196175B2 (en) | 2008-03-05 | 2012-06-05 | Microsoft Corporation | Self-describing authorization policy for accessing cloud-based resources |
US8418222B2 (en) | 2008-03-05 | 2013-04-09 | Microsoft Corporation | Flexible scalable application authorization for cloud computing environments |
CN102859934B (zh) | 2009-03-31 | 2016-05-11 | 考持·维 | 网络可接入计算机服务的接入管理和安全保护系统和方法 |
-
2010
- 2010-12-27 US US12/979,117 patent/US8990950B2/en not_active Expired - Fee Related
-
2011
- 2011-11-15 CN CN201110360021.0A patent/CN102567454B/zh not_active Expired - Fee Related
- 2011-11-25 JP JP2011257055A patent/JP5800389B2/ja not_active Expired - Fee Related
-
2012
- 2012-03-02 US US13/411,141 patent/US8590052B2/en not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003030063A (ja) * | 2001-07-16 | 2003-01-31 | Mitsubishi Electric Corp | Oa管理システム及びoa管理方法 |
US20060123005A1 (en) * | 2004-12-02 | 2006-06-08 | International Business Machines Corporation | System and method for supporting a plurality of access control list types for a file system in an operating system |
JP2009507275A (ja) * | 2005-08-11 | 2009-02-19 | マイクロソフト コーポレーション | 二重レイヤーアクセス制御リスト |
JP2009211668A (ja) * | 2007-03-28 | 2009-09-17 | Fujitsu Ltd | アクセス制御プログラム |
JP2008299414A (ja) * | 2007-05-29 | 2008-12-11 | Internatl Business Mach Corp <Ibm> | コンテンツ処理システム、方法及びプログラム |
JP2010198186A (ja) * | 2009-02-24 | 2010-09-09 | Nec System Technologies Ltd | 動作設定ファイルの動的結合方法、動作設定ファイルの動的結合システム及びそのプログラム |
Non-Patent Citations (1)
Title |
---|
JPN6015020592; 'こちら検証ラボ' 日経SYSTEMS 第209号 , 20100826, pp.62-67, 日経BP社 Nikkei Business Publications,Inc. * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016504651A (ja) * | 2012-11-07 | 2016-02-12 | インタートラスト テクノロジーズ コーポレイション | 個人化データ管理システムおよび方法 |
US9959402B2 (en) | 2013-10-09 | 2018-05-01 | Konica Minolta Inc. | Image processing system, image formation apparatus, and relay device |
WO2015167541A3 (en) * | 2014-04-30 | 2016-05-26 | Hewlett Packard Enterprise Development Lp | Service onboarding |
US10356155B2 (en) | 2014-04-30 | 2019-07-16 | Suse Llc | Service onboarding |
JP2016157215A (ja) * | 2015-02-24 | 2016-09-01 | コニカミノルタ株式会社 | 文書管理システム、文書処理装置、文書管理方法、およびコンピュータプログラム |
WO2022070414A1 (ja) | 2020-10-02 | 2022-04-07 | 富士通株式会社 | 制御方法、制御プログラムおよび情報処理装置 |
Also Published As
Publication number | Publication date |
---|---|
US20120167197A1 (en) | 2012-06-28 |
US8590052B2 (en) | 2013-11-19 |
JP5800389B2 (ja) | 2015-10-28 |
US8990950B2 (en) | 2015-03-24 |
CN102567454A (zh) | 2012-07-11 |
US20120167167A1 (en) | 2012-06-28 |
CN102567454B (zh) | 2016-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5800389B2 (ja) | クラウド・コンピューティング環境に保管されたデータに関するきめ細かい任意アクセス制御の有効化のための方法、システム、およびコンピュータ・プログラム | |
US20200228574A1 (en) | Policy management for data migration | |
US10581919B2 (en) | Access control monitoring through policy management | |
US8769642B1 (en) | Techniques for delegation of access privileges | |
US10911428B1 (en) | Use of metadata for computing resource access | |
US10419488B2 (en) | Delegating security policy management authority to managed accounts | |
US9053302B2 (en) | Obligation system for enterprise environments | |
AU2011289673B2 (en) | Systems and methods for secure agent information | |
US10560441B2 (en) | Data security operations with expectations | |
JP6785808B2 (ja) | ポリシー強制遅延 | |
EP3938940B1 (en) | Provision of policy compliant storage for did data | |
US20080066169A1 (en) | Fact Qualifiers in Security Scenarios | |
US9053338B2 (en) | Methods, apparatuses, and computer program products for exception handling | |
US20210264054A1 (en) | Re-Identifying Pseudonymized or De-Identified Data Utilizing Distributed Ledger Technology | |
US20200395107A1 (en) | Secure environment device management | |
US11595372B1 (en) | Data source driven expected network policy control | |
US20230135054A1 (en) | System and Methods for Agentless Managed Device Identification as Part of Setting a Security Policy for a Device | |
KR100657353B1 (ko) | 다양한 접근 통제 정책을 수용할 수 있는 보안 시스템,보안방법, 및 그 기록매체 | |
US20230370473A1 (en) | Policy scope management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140611 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150526 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150527 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150615 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20150615 |
|
RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20150615 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150622 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150728 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20150729 |
|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20150729 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150821 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5800389 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |