JP2013503375A - アクセス制御リストの変更 - Google Patents
アクセス制御リストの変更 Download PDFInfo
- Publication number
- JP2013503375A JP2013503375A JP2012526006A JP2012526006A JP2013503375A JP 2013503375 A JP2013503375 A JP 2013503375A JP 2012526006 A JP2012526006 A JP 2012526006A JP 2012526006 A JP2012526006 A JP 2012526006A JP 2013503375 A JP2013503375 A JP 2013503375A
- Authority
- JP
- Japan
- Prior art keywords
- access control
- control list
- acl
- subject
- logical expression
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】 論理表現(LE)を評価することにより、アクセス制御リスト(ACL)のベース・パーミッションを変更するための方法において、サブジェクトについてのベース・パーミッションは、サブジェクト名をオブジェクトについてのACLエントリに対して比較することによって決定される。LEエントリを有するACLエントリが決定される。LEエントリを評価して、サブジェクトのLE属性に関してどのLEエントリが真であるかを決定する。LEエントリの集合演算子を組み合わせて、単一のユニオンACLと、単一のインターセクトACLと、単一のリプレースACLとを得る。リプレース演算を実行して、ベース・パーミッションをリプレースACLで置換し、第1の出力を得る。リプレースACLが存在しない場合は、ベース・パーミッションを第1の出力とする。第1の出力とユニオンACLとに対してユニオン演算を実行し、第2の出力を得る。ユニオンACLが存在しない場合は、第1の出力を第2の出力とする。第2の出力とインターセクトACLとに対してインターセクト演算を実行し、第3の出力を得る。インターセクトACLが存在しない場合には、第2の出力を第3の出力とする。
【選択図】 図3
Description
例えば、IP=192.* AND SUBJECT=loginl AND DAY>= May 27th and DAY < May 28th。
1.例えばキー形式のルックアップを用いて、ベース・アクセス権を決定する。
2.所与の場所、サブジェクト、及び時刻、並びに他のLEAを前提として、そのフィルタが真であると評価した全ての適用可能なアクセス権の集合を収集する。
3.ステップ1の結果に関連付けられた演算子を用いて、ステップ1の結果の全てをインクリメンタルに組み合わせ、そのサブジェクト、場所、及び時刻並びに他のLEAに対して認可されたアクセス権を確立する。次にこれらの認可されたアクセス権を用いて、アクセス要求の認証及び/又は拒否を実施する。
dn:ou=Second Tier,ou=Male Olympians,o=Olympians,o=Olympia,o=sample
objectclass:organizationalunit
ou: Second Tier
description:second tier Olympians
aclentry:access−id:CN=DIONYSOS,OU=SECONDTIER,OU=MALE OLYMPIANS,O=OLYMPIANS,o=Olympia,o=sample:
normal:rsc:object:ad
aclentry: access−id:CN=HERMES,OU=SECOND TIER,OU=MALE OLYMPIANS,O=OLYMPIANS,o=Olympia,o=sample:normal:rsc
aclentry:access−id:CN=HERA,OU=FEMALE OLYMPIANS,O=OLYMPIANS,o=Olympia,o=sample:object:ad:normal:
rwsc:sensitive:rwsc:critical:rwsc
aclentry:aclFilter:(&(&(ibm−filterMechanism=SIMPLE)(ibmfilterIP=127.0.0.1))(&(ibm−filterDayOfWeek<=6)
(ibmfilterTimeOfDay>=00:00))):intersect:normal:rwsc:at.cn:deny:w:restricted:rs
1.ユニオン・キーワードを用いる場合の、ベースACLパーミッション150の増補、
2.インターセクト・キーワードを用いる場合の、ベースACLパーミッション150の削減、及び
3.リプレース・キーワードを用いる場合の、ベースACLパーミッション150の置換
を含む。時には、実施例は、説明のみを目的としてIPアドレスを参照して説明されることがあるが、当業者であれば、例示的な実施形態はIPアドレスに限定されることが意図されるものではないことを理解する。
aclEntry:[access−id:|group:|role:]subject_DN:granted_rights|
aclFilter:filter:operation:granted_rights(角括弧は随意のアイテムを表す)
ここで、
operation:−ユニオン|インターセクト|リプレース
filter:−サブジェクトのLEAを表す属性を用いることができる述語を含む基本的なLDAP検索フィルタ。例えば、以下の属性を用いることができる。
ibm−filterIP
ibm−filterDayOfWeek
ibm−filterTimeOfDay
rights:−標準ACL仕様、即ち、異なるタイプのLDAPオブジェクト仕様についてのパーミッションの集合であり、明示的なパーミッション拒否を含むことができる。
1.アクセス制御モジュール130により、データベース115から全リプレースACLエントリ180が取得された場合には、アクセス制御モジュール130は、ベースACLエントリ150を、サブジェクト5についての全リプレースACLエントリ180パーミッションで置換するように動作する。
2.アクセス制御モジュール130により、データベース115から全ユニオンACLエントリ170が取得された場合には、アクセス制御モジュール130は、全ユニオンACLエントリ170パーミッションを、演算1の結果得られるパーミッションの集合に合併する(union)か、又は全リプレースACLエントリ180が存在しない場合には、ベースACLエントリ150に合併するように動作する。
3.アクセス制御モジュール130により、データベース115から全インターセクトACLエントリ175が取得された場合には、アクセス制御モジュール130は、インターセクトACLパーミッション175と、演算2の結果得られるパーミッションの集合との共通部分をとる(intersect)。演算2の結果得られるパーミッションの集合が存在しない場合には、アクセス制御モジュール130は、全インターセクトACLエントリ175と、演算1の結果得られるパーミッションの集合との共通部分をとる。全リプレースACLエントリ180及び/又は全ユニオンACLエントリ170が存在しなければ、アクセス制御モジュール130は、全インターセクトACLエントリ175とベースACLエントリ150との共通部分をとる。
オブジェクト→アクセス制御リスト(ACL)=
{{すべてのベースACLエントリ}U{すべての論理表現ACLエントリ}}
Subj1→{読み出し(Read),書き込み(Write),コピー(Copy)}
Group2→{削除(Delete),リネーム(Rename),更新(Update);読み出し拒否(Deny Read)}
(IP=192.5.1.2 AND Time>5am AND Day=Monday):INTERSECT→{書き込み(Write),削除(Delete)}。
Claims (12)
- サーバ上で、論理表現を評価することにより、アクセス制御リストのベース・パーミッションを変更するための方法であって、
前記サーバにより、サブジェクト名をオブジェクトについてのアクセス制御リストエントリに対して比較することによって前記サブジェクトについてのベース・パーミッションを決定するステップと、
前記サーバにより、論理表現エントリを含む前記オブジェクトについての前記アクセス制御リストエントリを決定するステップと、
前記サーバにより、前記サブジェクトの論理表現属性を用いて前記オブジェクトについての前記アクセス制御リスト・エントリの前記論理表現エントリを評価するステップであって、前記論理表現エントリを評価して、前記サブジェクトの前記論理表現属性に関してどの論理表現エントリが真であるかを決定する、ステップと、
真である前記論理表現エントリについて、前記サーバにより、前記論理表現エントリの集合演算子を組み合わせて、単一のユニオン・アクセス制御リストと、単一のインターセクト・アクセス制御リストと、単一のリプレース・アクセス制御リストとを得るステップと、
前記リプレース・アクセス制御リストが存在することに応答して、前記サーバにより、リプレース演算を実行し、前記ベース・パーミッションを前記リプレース・アクセス制御リストで置換し、前記リプレース演算の結果を第1の出力とし、前記リプレース・アクセス制御リストが存在しないことに応答して、前記ベース・パーミッションを前記第1の出力とする、ステップと、
前記ユニオン・アクセス制御リストが存在することに応答して、前記サーバにより、前記第1の出力と前記ユニオン・アクセス制御リストとに対してユニオン演算を実行し、前記ユニオン演算の結果を第2の出力とし、前記ユニオン・アクセス制御リストが存在しないことに応答して、前記第1の出力を前記第2の出力とする、ステップと、
前記インターセクト・アクセス制御リストが存在することに応答して、前記サーバにより、前記第2の出力と前記インターセクト・アクセス制御リストとに対してインターセクト演算を実行し、前記インターセクト演算の結果を第3の出力とし、前記インターセクト・アクセス制御リストが存在しないことに応答して、前記第2の出力を前記第3の出力とする、ステップと、
前記サーバにより、前記第3の出力を前記サブジェクトについてのパーミッションとして提供するステップと、
を含む方法。 - 前記論理表現属性が、前記サブジェクトから取得される、請求項1に記載の方法。
- 前記論理表現属性が、サブジェクト名、グループ名、IPアドレス、資格証明、認証機構、アクセス時刻、アクセス日付、及びアクセス曜日を含む、請求項1に記載の方法。
- 前記ユニオン・アクセス制御リストが、ユニオン演算子を用いる論理表現エントリの組み合わせである、請求項1に記載の方法。
- 前記ユニオン・アクセス制御リストが、前記オブジェクトについてのパーミッションの組み合わせである、請求項1に記載の方法。
- 前記インターセクト・アクセス制御リストが、インターセクト演算子を用いる論理表現エントリの組み合わせである、請求項1に記載の方法。
- 前記インターセクト・アクセス制御リストが、前記オブジェクトについてのパーミッションの組み合わせである、請求項1に記載の方法。
- 前記リプレース・アクセス制御リストが、リプレース演算子を用いる論理表現エントリの組み合わせである、請求項1に記載の方法。
- 前記リプレース・アクセス制御リストが、前記オブジェクトについてのパーミッションの組み合わせである、請求項1に記載の方法。
- 前記リプレース演算が第1に実行され、前記ユニオン演算が第2に実行され、前記インターセクト演算が第3に実行される、請求項1に記載の方法。
- 論理表現を評価することにより、アクセス制御リストのベース・パーミッションを変更するように構成されたサーバであって、
プログラムを格納するためのメモリと、
前記メモリと機能的に結合されたプロセッサであって、前記プログラムに含まれるコンピュータ実行可能命令に応答して請求項1から請求項10までのいずれかに記載のステップを実施する、プロセッサと、
を備えた、サーバ。 - コンピュータ可読媒体上に有形に具体化されたコンピュータ・プログラムであって、請求項1から請求項10までのいずれかに記載のステップをコンピュータに実施させるための命令を含む、コンピュータ・プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/549,955 | 2009-08-28 | ||
US12/549,955 US8250628B2 (en) | 2009-08-28 | 2009-08-28 | Dynamic augmentation, reduction, and/or replacement of security information by evaluating logical expressions |
PCT/EP2010/062007 WO2011023606A1 (en) | 2009-08-28 | 2010-08-18 | Modification of access control lists |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2013503375A true JP2013503375A (ja) | 2013-01-31 |
JP2013503375A5 JP2013503375A5 (ja) | 2013-11-28 |
JP5497178B2 JP5497178B2 (ja) | 2014-05-21 |
Family
ID=42669472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012526006A Expired - Fee Related JP5497178B2 (ja) | 2009-08-28 | 2010-08-18 | アクセス制御リストの変更 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8250628B2 (ja) |
JP (1) | JP5497178B2 (ja) |
CN (1) | CN102473229B (ja) |
DE (1) | DE112010003464B4 (ja) |
GB (1) | GB2484243B (ja) |
WO (1) | WO2011023606A1 (ja) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102025603B (zh) * | 2009-09-17 | 2015-01-28 | 中兴通讯股份有限公司 | 报文发送控制的方法、系统及注册、更新的方法及系统 |
US8510801B2 (en) * | 2009-10-15 | 2013-08-13 | At&T Intellectual Property I, L.P. | Management of access to service in an access point |
GB2507941B (en) * | 2010-02-22 | 2018-10-31 | Avaya Inc | Secure,policy-based communications security and file sharing across mixed media,mixed-communications modalities and extensible to cloud computing such as soa |
US20110321117A1 (en) * | 2010-06-23 | 2011-12-29 | Itt Manufacturing Enterprises, Inc. | Policy Creation Using Dynamic Access Controls |
JP5567053B2 (ja) * | 2012-03-19 | 2014-08-06 | 株式会社東芝 | 権限変更装置、作成装置及びプログラム |
US20140082586A1 (en) * | 2012-08-09 | 2014-03-20 | FatFractal, Inc. | Application development system and method for object models and datagraphs in client-side and server-side applications |
US9460300B1 (en) * | 2012-09-10 | 2016-10-04 | Google Inc. | Utilizing multiple access control objects to manage access control |
US9215075B1 (en) | 2013-03-15 | 2015-12-15 | Poltorak Technologies Llc | System and method for secure relayed communications from an implantable medical device |
US9477934B2 (en) * | 2013-07-16 | 2016-10-25 | Sap Portals Israel Ltd. | Enterprise collaboration content governance framework |
CN104145468B (zh) * | 2014-01-13 | 2017-02-22 | 华为技术有限公司 | 一种文件访问权限控制方法及装置 |
US10223363B2 (en) * | 2014-10-30 | 2019-03-05 | Microsoft Technology Licensing, Llc | Access control based on operation expiry data |
EP3236382A4 (en) | 2015-02-09 | 2017-12-13 | Huawei Technologies Co., Ltd. | Method and controller for controlling application permissions |
US10044718B2 (en) | 2015-05-27 | 2018-08-07 | Google Llc | Authorization in a distributed system using access control lists and groups |
CN107566201B (zh) * | 2016-06-30 | 2020-08-25 | 华为技术有限公司 | 报文处理方法及装置 |
CN108718320B (zh) * | 2018-06-14 | 2021-03-30 | 浙江远望信息股份有限公司 | 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 |
CN108881216B (zh) * | 2018-06-14 | 2020-12-22 | 浙江远望信息股份有限公司 | 一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法 |
CN116016387B (zh) * | 2023-03-10 | 2023-06-13 | 苏州浪潮智能科技有限公司 | 访问控制列表生效控制方法、装置、设备和存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030200467A1 (en) * | 2002-04-23 | 2003-10-23 | Choy David Mun-Hien | System and method for incremental refresh of a compiled access control table in a content management system |
US20090064342A1 (en) * | 2007-08-27 | 2009-03-05 | Oracle International Corporation | Sensitivity-enabled access control model |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6158010A (en) | 1998-10-28 | 2000-12-05 | Crosslogix, Inc. | System and method for maintaining security in a distributed computer network |
EP1143660A3 (en) | 1999-06-10 | 2003-12-10 | Alcatel Internetworking, Inc. | State transition protocol for high availability units |
US6950819B1 (en) | 1999-11-22 | 2005-09-27 | Netscape Communication Corporation | Simplified LDAP access control language system |
US7185361B1 (en) | 2000-01-31 | 2007-02-27 | Secure Computing Corporation | System, method and computer program product for authenticating users using a lightweight directory access protocol (LDAP) directory server |
US7124132B1 (en) | 2000-05-17 | 2006-10-17 | America Online, Inc. | Domain specification system for an LDAP ACI entry |
US7440962B1 (en) | 2001-02-28 | 2008-10-21 | Oracle International Corporation | Method and system for management of access information |
US7392546B2 (en) | 2001-06-11 | 2008-06-24 | Bea Systems, Inc. | System and method for server security and entitlement processing |
US7356840B1 (en) | 2001-06-19 | 2008-04-08 | Microstrategy Incorporated | Method and system for implementing security filters for reporting systems |
US7167918B2 (en) | 2001-10-29 | 2007-01-23 | Sun Microsystems, Inc. | Macro-based access control |
US7024693B2 (en) | 2001-11-13 | 2006-04-04 | Sun Microsystems, Inc. | Filter-based attribute value access control |
US7496687B2 (en) | 2002-05-01 | 2009-02-24 | Bea Systems, Inc. | Enterprise application platform |
US7444668B2 (en) | 2003-05-29 | 2008-10-28 | Freescale Semiconductor, Inc. | Method and apparatus for determining access permission |
US7623518B2 (en) | 2004-04-08 | 2009-11-24 | Hewlett-Packard Development Company, L.P. | Dynamic access control lists |
CN101039213A (zh) * | 2006-03-14 | 2007-09-19 | 华为技术有限公司 | 一种通信网络中对用户的接入访问进行控制的方法 |
US7895639B2 (en) | 2006-05-04 | 2011-02-22 | Citrix Online, Llc | Methods and systems for specifying and enforcing access control in a distributed system |
US20080127354A1 (en) | 2006-11-28 | 2008-05-29 | Microsoft Corporation | Condition based authorization model for data access |
US20090055397A1 (en) | 2007-08-21 | 2009-02-26 | International Business Machines Corporation | Multi-Dimensional Access Control List |
US20090205018A1 (en) | 2008-02-07 | 2009-08-13 | Ferraiolo David F | Method and system for the specification and enforcement of arbitrary attribute-based access control policies |
-
2009
- 2009-08-28 US US12/549,955 patent/US8250628B2/en not_active Expired - Fee Related
-
2010
- 2010-08-18 CN CN201080036676.6A patent/CN102473229B/zh not_active Expired - Fee Related
- 2010-08-18 WO PCT/EP2010/062007 patent/WO2011023606A1/en active Application Filing
- 2010-08-18 JP JP2012526006A patent/JP5497178B2/ja not_active Expired - Fee Related
- 2010-08-18 DE DE112010003464.8T patent/DE112010003464B4/de active Active
- 2010-08-18 GB GB1201636.6A patent/GB2484243B/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030200467A1 (en) * | 2002-04-23 | 2003-10-23 | Choy David Mun-Hien | System and method for incremental refresh of a compiled access control table in a content management system |
US20090064342A1 (en) * | 2007-08-27 | 2009-03-05 | Oracle International Corporation | Sensitivity-enabled access control model |
Also Published As
Publication number | Publication date |
---|---|
CN102473229A (zh) | 2012-05-23 |
WO2011023606A1 (en) | 2011-03-03 |
CN102473229B (zh) | 2015-04-01 |
DE112010003464B4 (de) | 2019-05-16 |
JP5497178B2 (ja) | 2014-05-21 |
US8250628B2 (en) | 2012-08-21 |
GB2484243B (en) | 2015-09-30 |
GB2484243A (en) | 2012-04-04 |
GB201201636D0 (en) | 2012-03-14 |
US20110055902A1 (en) | 2011-03-03 |
DE112010003464T5 (de) | 2012-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5497178B2 (ja) | アクセス制御リストの変更 | |
US11658971B1 (en) | Virtual firewalls for multi-tenant distributed services | |
US9654507B2 (en) | Cloud application control using man-in-the-middle identity brokerage | |
US10911428B1 (en) | Use of metadata for computing resource access | |
US20180113807A1 (en) | Distributed cloud-based dynamic name server surrogation systems and methods | |
US8719919B2 (en) | Service mediation framework | |
US9060239B1 (en) | Cloud based mobile device management systems and methods | |
US8990910B2 (en) | System and method using globally unique identities | |
US9860346B2 (en) | Dynamic application programming interface builder | |
US8719900B2 (en) | Validating updates to domain name system records | |
US8245051B2 (en) | Extensible account authentication system | |
US8819763B1 (en) | Dynamic access policies | |
US20090254561A1 (en) | Method for Accessing User Data and Profile Management Server | |
US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
US10154007B1 (en) | Enterprise cloud access control and network access control policy using risk based blocking | |
US10348816B2 (en) | Dynamic proxy server | |
JP2008525880A (ja) | 個人データの制御装置及び方法 | |
US10673905B1 (en) | Service-level authorization policy management | |
US10616281B1 (en) | Service-level authorization policy management | |
US11171924B2 (en) | Customized web services gateway | |
CN110891056A (zh) | Https请求认证方法及装置、电子设备、存储介质 | |
Taylor et al. | Implementing role based access control for federated information systems on the web | |
EP4167116A1 (en) | Generating zero-trust policy for application access using machine learning | |
US7774483B1 (en) | Supporting a community of subscribers in an environment using a service selection gateway (SSG) | |
US20180220477A1 (en) | Mobile communication system and pre-authentication filters |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130501 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130815 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130815 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20130815 |
|
RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20130815 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130816 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20130822 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131003 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20131003 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20131003 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20131009 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140109 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140120 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140120 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140219 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140219 |
|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20140219 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140305 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5497178 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |