JP2012503455A - ネットワークにおけるアクセス制御方法およびネットワーク - Google Patents

ネットワークにおけるアクセス制御方法およびネットワーク Download PDF

Info

Publication number
JP2012503455A
JP2012503455A JP2011528372A JP2011528372A JP2012503455A JP 2012503455 A JP2012503455 A JP 2012503455A JP 2011528372 A JP2011528372 A JP 2011528372A JP 2011528372 A JP2011528372 A JP 2011528372A JP 2012503455 A JP2012503455 A JP 2012503455A
Authority
JP
Japan
Prior art keywords
obligation
pep
pdp
network
obligations
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2011528372A
Other languages
English (en)
Inventor
リシュカ、マリオ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Europe Ltd
Original Assignee
NEC Europe Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Europe Ltd filed Critical NEC Europe Ltd
Publication of JP2012503455A publication Critical patent/JP2012503455A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/78Architectures of resource allocation
    • H04L47/782Hierarchical allocation of resources, e.g. involving a hierarchy of local and centralised entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

オブリゲーションの効果的な処理を可能にするため、ネットワークにおけるアクセス制御方法、特に、ネットワークのリソースへの主体のアクセスを制御する方法を提供する。PEP(ポリシー施行ポイント)が、評価対象のアクセス要求をPDP(ポリシー決定ポイント)へ送信し、PDPは、少なくとも1つのオブリゲーションを含む応答をPEPへ送信する。本方法によれば、オブリゲーションを指定するために、例えばOASIS XALMLのようなメタ言語が使用される。

Description

本発明は、ネットワークにおけるアクセス制御方法、特に、ネットワークのリソースへの主体のアクセスを制御する方法に関する。PEP(Policy Enforcement Point, ポリシー施行ポイント)が、評価対象のアクセス要求をPDP(Policy Decision Point, ポリシー決定ポイント)へ送信する。PDPは、少なくとも1つのオブリゲーションを含み得る応答をPEPへ送信することが可能である。また、本発明はネットワークに関する。アクセス制御、特に、ネットワークのリソースへの主体のアクセスの制御が提供される。PEP(ポリシー施行ポイント)が、評価対象のアクセス要求をPDP(ポリシー決定ポイント)へ送信する。PDPは、少なくとも1つのオブリゲーションを含み得る応答をPEPへ送信することが可能である。
近年、OASIS(構造化情報標準促進協会)XACMLは、アクセス制御のための汎用フレームワークであるだけでなく、アクセス制御ポリシー言語の仕様のための最も広く認められた標準となっている。OASIS XACMLの詳細は、非特許文献1から入手可能である。アクセス制御自体については、ポリシー言語は、コアおよび階層的ロールベースアクセス制御(Core and Hierarchical Role Based Access Control)のようなアプローチを扱えるほどにフレキシブルであるが、オブリゲーションの処理は全く無視されている。しかしこれは、特にプライバシーやデータフローの高度な追跡をサポートするためには、非常に重要な問題である。一例として、オブリゲーションは、データ永続性の問題のためにある特定の暗号化を使用することをアクセス側ユニットに強制し、あるいは、所定時間枠内に特定のアクションが実行されることを保証する可能性がある。これについては、非特許文献2および非特許文献3から入手可能である。
オブリゲーションの重要性は認識されているが、扱われていない2つの重要な側面がある。
第1に、現在のところ、ポリシー施行ポイント(PEP)とポリシー決定ポイント(PDP)との間で交換されるオブリゲーションを一般的な形で指定する方法は存在しない。このため、従来のソリューションにおいて可能性のあるオブリゲーションを表現するために用いられているのは、独自仕様の言語および固定した言語のみである。OASIS XACML標準においても、PEPは、アクセス要求後にPDPによって返されるオブリゲーションを認識し、それらオブリゲーションを正しく実施する方法を知っていると単に仮定される。PEPがオブリゲーションを認識しない場合、XACML標準は、要求が拒否されたと単に仮定する。したがって、PDPとPEPとの間の非互換性は、検出できるとしても実行時になってからであり、その場合でも、未知のオブリゲーションが発生する場合があるかどうかは不明である。この問題は、分散環境においてはさらに重大である。その場合、PDPおよびPEPは、同一の組織エンティティによって実施も制御もされないからである。
第2に、特定の要求に適用可能なさまざまなポリシーがある場合、結合アルゴリズムを適用しなければならない。しかし、添付されるオブリゲーションの処理は、依然として単純な方法で実行される。というのは、XACML標準(非特許文献4から入手可能)によれば、オブリゲーションのさらなる検査は行われないからである。同じ(正しい)効果を有し、評価されたポリシーに属するすべてのオブリゲーションが、PEPに返される。オブリゲーション間の衝突は考慮さえされないため、検出は起こらない。
標準化団体によりサポートされるオブリゲーションのセットを制限することは、動的混在環境に対するソリューションとはならない。すなわち、これは明確に規定された閉じたアプリケーション環境でのみ機能する。
OASIS eXtensible Access Control Markup Language (XACML) Version 2.0, Final Version, Errata, 2008年1月29日 Q. Ni, E. Bertino, J. Lobo, "An obligation model bridging access control policies and privacy policies", Proceedings of the 13 ACM symposium on Access Control Models and Technologies (SACMAT08), pp. 133-142 C. Bettini, S. Jajodia, X. Wang, and D. Wijesekera, "Obligation monitoring in policy management", 3rd International Workshop on Policies for Distributed Systems and Networks (POLICY 2002), IEEE Computer Society OASIS eXtensible Access Control Markup Language (XACML) Version 3.0, Working draft 05(2007年10月10日), sec 7.14
本発明の目的は、ネットワークにおけるアクセス制御方法および対応するネットワークにおいて、特にPDPとPEPが独立であるような分散環境における、オブリゲーションの効果的な処理を可能にするような改良およびさらなる展開を行うことである。
本発明によれば、上記の目的は、請求項1の構成を備えた方法および請求項27の構成を備えたネットワークによって達成される。請求項1に記載の通り、本方法は、オブリゲーションを指定するためにメタ言語が使用されることを特徴とする。
請求項27に記載の通り、本ネットワークは、オブリゲーションを指定するためにメタ言語が定義されることを特徴とする。
本発明によって認識されたこととして、オブリゲーションの効果的な処理が、該オブリゲーションを指定するためにメタ言語を使用することによって可能となる。このようなメタ言語によるオブリゲーションの指定により、それぞれのオブリゲーションの適切な定義および記述が可能となる。このようなメタ言語に基づいて、SOA(サービス指向アーキテクチャ)やSaaS(Software as a Service)の場合のようにPDPとPEPが独立であるような分散環境においても、PEPおよびPDPによるオブリゲーションの認識が可能となる。このような環境において、ポリシーの分散評価により、メタ言語に基づいて相互関係を指定することができる併合されたオブリゲーションのセットが得られる。
好ましくは、メタ言語は汎用言語とすることができる。このような汎用言語により、分散環境においてもオブリゲーションの汎用記述が可能となる。
好ましい実施形態において、任意のオブリゲーションを指定することができるだけでなく、オブリゲーションのパラメータも指定することができる。パラメータの特定のデータ型を指定するとさらに好ましい。こうして、メタ言語に基づいて、オブリゲーションの非常に詳細な指定および記述が可能となる。
オブリゲーションの非常に効果的な処理に関して、オブリゲーション間の可能な衝突の検出および/または指定を、メタ言語に基づくオブリゲーションの指定および/または定義に基づいて提供することができる。このようなオブリゲーション間の可能な衝突の検出および/または指定は、一般的な形で提供しても、少なくとも1つの一致値を各オブリゲーションまたは2つのオブリゲーションの少なくとも1つのパラメータに代入することに応じて提供してもよい。すなわち、このような検出および/または指定は、2つのオブリゲーションの少なくとも1つのパラメータの一致代入に応じて提供されてもよい。
さらに好ましい実施形態において、PEPおよびPDPによるオブリゲーションのそれぞれのサポートに関するネゴシエーションを、メタ言語に基づく指定および/または定義に基づいて提供することができる。すなわち、本発明は、メタ言語を規定することにより、オブリゲーションおよびオブリゲーション間の可能な衝突を指定するとともに、PDPとPEPとの間でこの指定を交換し、指定されたオブリゲーションのサポートのネゴシエーションを行う方法も指定することができる。サポートされるオブリゲーションおよびその可能な衝突をメタ言語で記述することは、本発明の好ましい実施形態の1つの主要な側面である。
本発明は、この言語に基づく指定を用いてPDPおよびPEPの能力を指定する方法を記述する。このため、PEPとPDPとの間の非互換性を事前に検出することができる。ネゴシエーション段階により、PDPおよびPEPは、要求されるオブリゲーションとサポートされるオブリゲーションの互換性をそれぞれ要求することができる。何らかの不一致がある場合、解決方法を適用することができる。
上記のように、このネゴシエーションプロセスは、PDPとPEPとの間で使用されるオブリゲーションのセットを変更するために、実行時に繰り返すことができる。特別な場合、ネゴシエーションプロセスを省略し、オブリゲーション指定の直接/手動の交換を行うことができる。この指定がPEPによって完全にはサポートされない場合、配備は失敗している。そうでない場合、PDPおよびPEPの両方が、サポートされるオブリゲーション指定を参照することができる。
PEPおよびPDPによるオブリゲーションのそれぞれのサポートが不一致の場合、少なくとも1つの解決方法が適用可能である。したがって、オブリゲーションの定義または指定および指定間の可能な衝突の通知だけでなく、それらの解決も可能である。
オブリゲーションの効果的な処理を提供するため、オブリゲーションの指定について、PEPおよびPDPの配備中にネゴシエーションが行われる。変化する状況への適応を可能にするため、実行時にネゴシエーションを繰り返すことができる。実行時に、指定間の衝突の検出も可能である。
PDPとPEPとの間のネゴシエーションは、要求メッセージ、応答メッセージ、および解決メッセージという3種類のメッセージを含むことが可能である。該3種類のメッセージに基づいて、効果的なネゴシエーションが可能となる。
個々の状況に応じて、ネゴシエーションは、PDPまたはPEPのいずれによって開始されてもよい。いずれの場合も可能であり、事業者によって実施されることが可能である。
好ましい実施形態において、メタ言語またはオブリゲーションの指定は、XACML標準の拡張または統合として実現可能である。したがって、本発明を実現するために必要な従来の標準に対する修正および/または追加は少しだけでよい。
非常にシンプルな指定方法を提供するため、オブリゲーションは、一意的識別子を含むことが可能である。好ましくは、一意的識別子は、URI、および、URIによって指定可能なデータ型を有するパラメータのセットである。このため、オブリゲーションの非常にシンプルな処理が可能となる。
具体的実施形態において、オブリゲーションスキーマとポリシースキーマを分離したままとすることができる。このような分離は、メタ言語または指定がXACML標準の拡張として実現される場合に提供される。
個々の状況および条件に応じて、オブリゲーションスキーマとポリシースキーマの結合も同様に可能である。
別法として、ポリシースキーマは、既存のまたは以前の定義またはスキーマとは独立とすることができる。これは、そのような既存のまたは以前の定義またはスキーマへの依存性が不要な場合である。
好ましくはすべてのオブリゲーションが、共通の、または、取り決められた、または、ネゴシエーションされたオブリゲーション指定に基づくことが可能である。これにより、オブリゲーションの処理が単純化される。
このような共通のオブリゲーション指定は、明確に規定されたコンポーネントの構造を提供するために、ポリシースキーマとは独立とすることができる。
好ましい実施形態において、PEPおよび/またはPDPは、PDPからのレスポンスが共通のオブリケーション指定で使用されるオブリゲーションのみを含むことをチェックすることができる。これにより、ネゴシエーションされたオブリゲーションのみを使用することができる。
オブリゲーションの効果的な処理のため、指定されたオブリゲーションの関係モデルが、好ましくはPEPおよび/またはPDPによって生成されることが可能である。オブリゲーション間の関係が存在する場合、可能な衝突が解決されるか、またはさらなる処理が行われることが可能である。
本発明の方法または本発明のネットワークの具体的実施形態において、PEPとPDPは互いに独立であることが可能である。この場合、PEPおよびPDPは、分散環境において提供することができる。このような分散環境において、本発明は、オブリゲーションの処理に関して特に効果的である。
ネットワーク運用中の変化する状況への良好な適応を提供するため、オブリゲーションの指定および/または定義および/またはネゴシエーションは動的とすることができる。
本発明は、任意のオブリゲーションを、それらオブリゲーションのパラメータおよびそれらオブリゲーション間の可能な衝突を含めて、一般的な形で、または、動的に代入される値に応じて、指定する方法を提供する。本方法は、配備中および実行時に非互換性を検出するとともに、実行時の追加的な衝突を検出するために使用可能である。また、オブリゲーション関係に基づく衝突の検出および解決、ならびに、PEPのサポートされるオブリゲーションおよびPDPの要求されるオブリゲーションについての正規運用前のネゴシエーションが可能である。
本発明は、任意のオブリゲーションをサポートした分散した独立のPEPおよびPDPの実装を提供する。また、配備中にPEPとPDPとの間のオブリゲーション非互換性を検出すること、および、実行時に結合オブリゲーション間の衝突を検出することが可能である。
オブリゲーションの元の指定に基づくアクセス要求の評価中に、どのようにして可能な衝突を検出することができるかが開示される。
オブリゲーションおよびそれらオブリゲーション間の可能な衝突を指定するためのメタ言語は、一般的な形で、または、動的に代入される値に応じて、提供される。PEPのサポートされるオブリゲーションおよびPDPの要求されるオブリゲーションの指定が可能である。また、要求されるオブリゲーションとサポートされるオブリゲーションについてPDPとPEPとの間に不一致がある場合のネゴシエーション、および、ポリシー要求の評価中の結合オブリゲーションにおける衝突の検出も可能である。
本発明を好適な態様で実施するにはいくつもの可能性がある。このためには、一方で請求項1に従属する諸請求項を参照しつつ、他方で図面により例示された本発明の好ましい実施形態についての以下の説明を参照されたい。図面を用いて本発明の好ましい実施形態を説明する際には、本発明の教示による好ましい実施形態一般およびその変形例について説明する。
本発明による従来の標準を拡張した構造を示す図である。 本発明の方法の使用法の概略を示す図である。
図1に、従来のXACML標準を拡張した構造を示す。PDPによって要求されるオブリゲーションおよびPEPによってサポートされるオブリゲーションを指定するために、汎用のメタ言語が本発明によって提示される。
この場合、関連するポリシーを含めて、PEPおよびPDPで使用される具体的なオブリゲーションは、この言語仕様に基づくファイル内に指定することができる。図1では、関連する指定は、従来のXACML標準の拡張として実現されると仮定しているため、オブリゲーションスキーマとポリシースキーマは分離したままである。結合指定も可能であり、以前の定義の拡張でない独立のポリシースキーマも可能である。具体的なオブリゲーション指定は独立の部分であるため、どのポリシー指定も、使用しているオブリゲーション指定を参照しなければならない。
本実施形態の重要な側面は以下の通りである。
・オブリゲーションスキーマの定義は以下のものを含む。
*各オブリゲーションに対する一意的識別子。
*名称およびデータ型を含むパラメータ。
*他のオブリゲーションとの関係。これは、
・オブリゲーションの現在の値とは独立。
・オブリゲーションの一部の値に依存。
・オブリゲーションのすべての値に依存。
・オブリゲーション間の関係は、「衝突」(conflict)、「包含」(inclusion)、「矛盾」(contradiction)、「上位」(superordinated)、「下位」(subordinated)等を含む。
・指定されるポリシーによって使用されるオブリゲーション指定への参照をサポートするための、ポリシースキーマの拡張。
・オブリゲーション指定への参照を含むための、PDPとPEPとの間で交換されるメッセージの拡張。
・PDP実装は、相異なるオブリゲーションのセットを処理するために変更する必要はない。
これらの側面の実施形態として、OASIS XACML(例えば2.0)言語の拡張が、図1に示すように規定される。
ポリシースキーマは、図1において、現在のポリシースキーマの拡張として示されている。ポリシー指定は、ポリシースキーマに基づき、処理可能なそれぞれのオブリゲーションの識別子を定義する。
オブリゲーションスキーマは、オブリゲーションを定義する構造体を含む。オブリゲーション指定は、オブリゲーションの型(例えば、与えられたアドレスへ通知を送信するオブリゲーション)を含む。
ポリシー指定は、ポリシースキーマに基づき、オブリゲーション指定を参照する。オブリゲーション指定は、オブリゲーションスキーマに基づく。図1参照。
図2は、オブリゲーションの指定の使用例の概略を示す。
PEPおよびPDPの配備中に、オブリゲーション指定のネゴシエーションが行われる。一方によって指定されたオブリゲーションと、他方によって要求またはサポートされるオブリゲーションとの間の不一致が検出された場合、解決ストラテジを以下のように適用することができる。
ネゴシエーションプロセスは、PDPまたはPEPのいずれによって開始されてもよい。開始側はまず、要求オブリゲーションを含むリストを送信する。受信側は、このリストを分析し、このオブリゲーションをサポートしているか、それともこのオブリゲーションをサポートしていないかを通知する。後者の場合、受信側は、オブリゲーションのパラメータリストが一致しないこと、または、一見したところパラメータの型が相違していることを示すことによって、可能なソリューションを通知することができる。利用可能なソリューションがない場合、ネゴシエーションは失敗として終了させることができる。
開始側は、パラメータに対して固定値(空値を含む)を受け入れることによって、または、異なる型への値のキャストを受け入れることによって、提案されたソリューションに応答することができる。さらに、開始側は、オブリゲーションを取り下げるか、または、相手側に対して、オブリゲーションが現れたらそれを無視するよう求めることもできる。最後に、この時点で、ネゴシエーションプロセスを失敗として終了させることもできる。
このネゴシエーションプロセスは、PDPとPEPとの間で使用されるオブリゲーションのセットを変更するために、実行時に繰り返すことができる。特別な場合、ネゴシエーションプロセスを省略し、オブリゲーション指定の直接/手動の交換を行うことができる。この指定がPEPによって完全にはサポートされない場合、配備は失敗している。そうでない場合、PDPおよびPEPの両方が、サポートされるオブリゲーション指定を参照することができる。
PDPは、ポリシー指定のロード中に、オブリゲーション指定で定義されたポリシー指定だけを含むことを確かめる。独立に、PEPは、各アクセス応答について、それが指定されたオブリゲーションのみを含むかどうかをチェックすることができる。非互換のオブリゲーション指定の使用は、サポートされたオブリゲーション指定に基づいてチェックすることができる。独立に、PEPおよびPDPは、オブリゲーション指定に含まれるすべてのオブリゲーションの関係モデルを生成することができる。この関係モデルの効率的実装のためにはさまざまな技術が使用可能であり、以下のものには限定されないが、グラフ、連結リスト、あるいはハッシュマップが挙げられる。衝突に基づいて、一方向関係(例えば包含)が作成され、関連するパラメータおよび結果として得られる衝突が与えられる。与えられた応答に対して、含まれるオブリゲーションの関係を、一般的な場合に、または具体的なパラメータ値に基づいて、チェックすることができる。関係が存在する場合、結果として得られる衝突が解決されるか、またはさらなる処理が行われることが可能である。
オブリゲーション指定に基づいて、PEPおよびPDPの両方が独立に、以下のことをチェックすることができる。
・応答が、オブリゲーション指定で使用されたオブリゲーションのみを含むこと。
・応答には、非互換のオブリゲーションがないこと。これは以下のことに基づく。
*他のオブリゲーションの一般的使用
*一部のパラメータにおける同一データの使用
*すべてのパラメータにおける同一データの使用
・非互換のオブリゲーションの場合、さらなるエラー処理が開始可能であること。
・「包含」(「包含」の場合、特定のオブリゲーションが満たされたとみなすことができる)および「上位」/「下位」のようなオブリゲーション関係に対する衝突解決。オブリゲーション間の「上位」/「下位」関係により、実行の順序が含意され、PEPによって解決されることが可能である。
本発明は、特に分散環境における、オブリゲーションの一般的記述を提供する。要求されたオブリゲーションとサポートされるオブリゲーションとをPDPとPEPとの間で交換することにより、実行時に未知のオブリゲーションを回避することができる。オブリゲーション間の、相異なるカテゴリの関係を識別することが可能である。進行中のアクセス要求において、衝突するオブリゲーションを検出することができる。
上記の説明および添付図面の記載に基づいて、当業者は本発明の多くの変形例および他の実施形態に想到し得るであろう。したがって、本発明は、開示した具体的実施形態に限定されるものではなく、変形例および他の実施形態も、添付の特許請求の範囲内に含まれるものと解すべきである。本明細書では特定の用語を用いているが、それらは総称的・説明的意味でのみ用いられており、限定を目的としたものではない。

Claims (27)

  1. ネットワークにおけるアクセス制御方法、特に、ネットワークのリソースへの主体のアクセスを制御する方法において、PEP(ポリシー施行ポイント)が、評価対象のアクセス要求をPDP(ポリシー決定ポイント)へ送信し、PDPは、少なくとも1つのオブリゲーションを含み得る応答をPEPへ送信することが可能であり、
    オブリゲーションを指定するためにメタ言語が使用されることを特徴とする、ネットワークにおけるアクセス制御方法。
  2. メタ言語が汎用言語であることを特徴とする請求項1に記載の方法。
  3. オブリゲーションのパラメータが指定されることを特徴とする請求項1または2に記載の方法。
  4. パラメータの特定のデータ型が指定されることを特徴とする請求項3に記載の方法。
  5. オブリゲーション間の可能な衝突の検出および/または指定が、メタ言語に基づくオブリゲーションの指定および/または定義に基づいて提供されることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
  6. オブリゲーション間の可能な衝突の検出および/または指定が、一般的な形で、または、少なくとも1つの一致値を各オブリゲーションの少なくとも1つのパラメータに代入することに応じて提供されることを特徴とする請求項5に記載の方法。
  7. PEPおよびPDPによるオブリゲーションのそれぞれのサポートに関するネゴシエーションが、メタ言語に基づく指定および/または定義に基づいて提供されることを特徴とする請求項1ないし6のいずれか1項に記載の方法。
  8. オブリゲーションのそれぞれのサポートが不一致の場合、少なくとも1つの解決方法が適用されることを特徴とする請求項7に記載の方法。
  9. オブリゲーションの指定のネゴシエーションが、PEPおよびPDPの配備中に行われることを特徴とする請求項7または8に記載の方法。
  10. ネゴシエーションが、実行時に繰り返されることを特徴とする請求項7ないし9のいずれか1項に記載の方法。
  11. ネゴシエーションが省略され、オブリゲーション指定の直接/手動の交換が行われることを特徴とする請求項7ないし10のいずれか1項に記載の方法。
  12. ネゴシエーションが、3種類のメッセージ、すなわち、要求メッセージ、応答メッセージ、および解決メッセージ、を含むことを特徴とする請求項7ないし11のいずれか1項に記載の方法。
  13. ネゴシエーションが、PDPまたはPEPによって開始されることを特徴とする請求項7ないし12のいずれか1項に記載の方法。
  14. メタ言語またはオブリゲーションの指定が、XACML標準の拡張または統合として実現されることを特徴とする請求項1ないし13のいずれか1項に記載の方法。
  15. オブリゲーションが、一意的識別子を含むことを特徴とする請求項1ないし14のいずれか1項に記載の方法。
  16. 一意的識別子が、URI、および、URIによって指定可能なデータ型を有するパラメータのセットであることを特徴とする請求項15に記載の方法。
  17. オブリゲーションスキーマとポリシースキーマが分離したままとされることを特徴とする請求項1ないし16のいずれか1項に記載の方法。
  18. オブリゲーションスキーマとポリシースキーマが結合されることを特徴とする請求項1ないし16のいずれか1項に記載の方法。
  19. ポリシースキーマが、既存のまたは以前の定義またはスキーマとは独立であることを特徴とする請求項1ないし18のいずれか1項に記載の方法。
  20. 好ましくはすべてのオブリゲーションが、共通の、または、取り決められた、または、ネゴシエーションされたオブリゲーション指定に基づくことを特徴とする請求項1ないし19のいずれか1項に記載の方法。
  21. オブリゲーション指定が、ポリシースキーマとは独立であることを特徴とする請求項20に記載の方法。
  22. PEPおよび/またはPDPは、PDPからのレスポンスがオブリケーション指定で使用されるオブリゲーションのみを含むことをチェックすることを特徴とする請求項20または21に記載の方法。
  23. 指定されたオブリゲーションの関係モデルが、好ましくはPEPおよび/またはPDPによって生成されることを特徴とする請求項1ないし22のいずれか1項に記載の方法。
  24. PEPとPDPが互いに独立であることを特徴とする請求項1ないし23のいずれか1項に記載の方法。
  25. PEPおよびPDPが、分散環境において提供されることを特徴とする請求項1ないし24のいずれか1項に記載の方法。
  26. オブリゲーションの指定および/または定義および/またはネゴシエーションが動的であることを特徴とする請求項1ないし25のいずれか1項に記載の方法。
  27. ネットワーク、好ましくは請求項1ないし26のいずれか1項に記載の方法を実行するネットワークにおいて、アクセス制御、特に、ネットワークのリソースへの主体のアクセスの制御が提供され、PEP(ポリシー施行ポイント)が、評価対象のアクセス要求をPDP(ポリシー決定ポイント)へ送信し、PDPは、少なくとも1つのオブリゲーションを含み得る応答をPEPへ送信することが可能であり、
    オブリゲーションを指定するためにメタ言語が定義されることを特徴とするネットワーク。
JP2011528372A 2009-01-09 2010-01-11 ネットワークにおけるアクセス制御方法およびネットワーク Pending JP2012503455A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP09000215.5 2009-01-09
EP09000215 2009-01-09
PCT/EP2010/000086 WO2010079144A2 (en) 2009-01-09 2010-01-11 A method for access control within a network and a network

Publications (1)

Publication Number Publication Date
JP2012503455A true JP2012503455A (ja) 2012-02-02

Family

ID=42316899

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011528372A Pending JP2012503455A (ja) 2009-01-09 2010-01-11 ネットワークにおけるアクセス制御方法およびネットワーク

Country Status (5)

Country Link
US (1) US20110264816A1 (ja)
EP (1) EP2311235A2 (ja)
JP (1) JP2012503455A (ja)
CN (1) CN102273173A (ja)
WO (1) WO2010079144A2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9256757B2 (en) * 2010-06-17 2016-02-09 Sap Se Prefetch of attributes in evaluating access control requests
CN102006297B (zh) * 2010-11-23 2013-04-10 中国科学院软件研究所 一种基于两级策略决策的访问控制方法及其系统
US20160150396A1 (en) * 2014-11-26 2016-05-26 Tsc Acquisition Corporation System and method for tracking communications network resources and utilizing non-reusable, obligated network resources to support the communications network resources
CN106656937A (zh) * 2015-11-03 2017-05-10 电信科学技术研究院 一种访问控制方法和访问令牌颁发方法、设备
US20170230419A1 (en) * 2016-02-08 2017-08-10 Hytrust, Inc. Harmonized governance system for heterogeneous agile information technology environments

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004328688A (ja) * 2003-04-30 2004-11-18 Nec Corp ネットワーク間接続装置の自動設定システム及びそれに用いる自動設定方法
JP2007048241A (ja) * 2005-08-12 2007-02-22 Nomura Research Institute Ltd アクセス制御システム、アクセス制御方法およびアクセス制御プログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3636948B2 (ja) * 1999-10-05 2005-04-06 株式会社日立製作所 ネットワークシステム
US6970930B1 (en) * 1999-11-05 2005-11-29 Mci, Inc. Method and system of providing differentiated services
CN100384141C (zh) * 2002-11-01 2008-04-23 艾利森电话股份有限公司 分布网络中基于策略控制的方法和系统
WO2005009003A1 (en) * 2003-07-11 2005-01-27 Computer Associates Think, Inc. Distributed policy enforcement using a distributed directory
FR2857807B1 (fr) * 2003-07-18 2005-12-02 Cit Alcatel Procede de transaction pour un approvisionnement de regles dans un reseau gere a base de regles
US8046763B1 (en) * 2004-02-20 2011-10-25 Oracle America, Inc. Regulation of resource requests to control rate of resource consumption
CN101156360B (zh) * 2005-04-08 2013-02-13 艾利森电话股份有限公司 用于在通信网络中基于政策的管理的方法和系统
US8544058B2 (en) * 2005-12-29 2013-09-24 Nextlabs, Inc. Techniques of transforming policies to enforce control in an information management system
US20100131650A1 (en) * 2008-11-26 2010-05-27 Chou Lan Pok Methods and Apparatus to Support Network Policy Managers
US8228812B2 (en) * 2008-12-12 2012-07-24 Electronics And Telecommunications Research Institute Method and system for providing multicast service in next-generation network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004328688A (ja) * 2003-04-30 2004-11-18 Nec Corp ネットワーク間接続装置の自動設定システム及びそれに用いる自動設定方法
JP2007048241A (ja) * 2005-08-12 2007-02-22 Nomura Research Institute Ltd アクセス制御システム、アクセス制御方法およびアクセス制御プログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNG200501358004; 岩井原 瑞穂: 'XML文書のアクセス制御' 経営の科学 オペレーションズ・リサーチ 第50巻 第6号 Communications of the Operations Research 第50巻 第6号, 20050601, 385-390頁, 社団法人日本オペレーションズ・リサーチ学会 *
JPN6013060514; 岩井原 瑞穂: 'XML文書のアクセス制御' 経営の科学 オペレーションズ・リサーチ 第50巻 第6号 Communications of the Operations Research 第50巻 第6号, 20050601, 385-390頁, 社団法人日本オペレーションズ・リサーチ学会 *

Also Published As

Publication number Publication date
WO2010079144A2 (en) 2010-07-15
CN102273173A (zh) 2011-12-07
EP2311235A2 (en) 2011-04-20
US20110264816A1 (en) 2011-10-27
WO2010079144A3 (en) 2010-10-07

Similar Documents

Publication Publication Date Title
US20210036857A1 (en) Sending cross-chain authenticatable messages
US10313183B2 (en) Network function virtualization NFV fault management apparatus, device, and method
US20230275815A1 (en) Method and device for terminal device management based on right control
US20200366486A1 (en) Method and apparatus for inter-blockchain transmission of authenticable message
US7937432B2 (en) State transition management according to a workflow management policy
US20090063584A1 (en) Versioning management
EP3171552B1 (en) Energy operations across domains
WO2013063950A1 (zh) 多模通信设备的巡检方法和系统
JP2012503455A (ja) ネットワークにおけるアクセス制御方法およびネットワーク
CN112583630B (zh) 设备管理方法、装置、系统、设备及存储介质
US20140351801A1 (en) Formal verification apparatus and method for software-defined networking
WO2021061419A1 (en) Template-based onboarding of internet-connectible devices
US11500690B2 (en) Dynamic load balancing in network centric process control systems
US9667743B2 (en) Communication between two clients via a server
WO2020220272A1 (zh) 更改资源状态的方法、系统、终端及存储介质
US8549090B2 (en) Messaging tracking system and method
CN110768957B (zh) 网络安全协同处理方法、系统以及存储介质
US11153388B2 (en) Workflow engine framework for cross-domain extension
US20200394169A1 (en) On-demand, user-configurable type-length-value (tlv) device and method
US20160323384A1 (en) Service Processing Method, Related Device, and System
TWI461023B (zh) 用於管理物件中定義條件之方法
JP2014153938A (ja) 情報処理装置およびその方法、ならびにプログラム
CN113177080B (zh) 区块链共识引擎系统和区块链共识处理流程方法
KR20210102063A (ko) M2m 시스템에서 확인 기반 동작을 수행하기 위한 방법 및 장치
JP2009199361A (ja) サーバ構築方法、同方法用コンピュータソフトウェアおよび記憶媒体

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120227

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120928

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130408

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131205

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140303

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140312

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140709