JP2015121906A - アクセス制御システム、アクセス制御ルール生成方法、アクセス制御ルール生成プログラム、情報処理装置およびその制御方法と制御プログラム - Google Patents
アクセス制御システム、アクセス制御ルール生成方法、アクセス制御ルール生成プログラム、情報処理装置およびその制御方法と制御プログラム Download PDFInfo
- Publication number
- JP2015121906A JP2015121906A JP2013264694A JP2013264694A JP2015121906A JP 2015121906 A JP2015121906 A JP 2015121906A JP 2013264694 A JP2013264694 A JP 2013264694A JP 2013264694 A JP2013264694 A JP 2013264694A JP 2015121906 A JP2015121906 A JP 2015121906A
- Authority
- JP
- Japan
- Prior art keywords
- authority
- user
- access control
- rule
- role
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】従来通りのロールを用いたアクセス制御ポリシーだけで、多量のアクセス制御ルールを生成する際にも、ルールの重複を防止し、ルールの配付量や配付時間を削減すること。【解決手段】同じ権限集合が付与されるロールと、ロールに付与される権限集合と、ロールと権限集合との組み合わせのアクセス制御ポリシーと、から、複数のロールに重複するユーザを新たなユーザ小集合として、ユーザが重複しない複数のユーザ小集合を生成し、複数の権限集合に重複する権限を新たな権限小集合として、権限が重複しない複数の権限小集合を生成する。また、アクセス制御ポリシーから、ユーザ小集合と権限小集合との組み合わせのルールレシピを生成する。そして、ユーザ小集合および前記権限小集合と、ルールレシピとに基づいて、各ユーザと各権限との関係を示すアクセス制御ルールを生成し、アクセス制御ルールに基づいて、それぞれのアクセス権を制御する。【選択図】 図1
Description
本発明は、アクセス権を管理するためのアクセス制御システム、アクセス制御ルール生成方法、アクセス制御ルール生成プログラム、情報処理装置およびその制御方法と制御プログラム技術に関する。
コンピュータでは、不正なアクセスを防止するために、アクセス制御リスト(ACL)を用いた、アクセス権の指定によるアクセス制御が行われている。アクセス権は、アクセスの主体としてのサブジェクトと、アクセスの対象としてのオブジェクトと、アクセスの種類としてのアクションとの組で構成される。
従来のアクセス制御方法の一例が、特許文献1に記載されている。特許文献1に記載のアクセス制御方法は、アクセス主体種別と、アクセス対象種別と、組織構造に基づく制約条件によって記述されたアクセス制御ポリシーから、アクセス主体(サブジェクト)と、アクセス対象(オブジェクト)によって記述されたアクセス制御リストを生成する方法である。そして、特許文献1に記載のアクセス制御方法は、サブジェクトと主体種別とを直接に対応付ける主体種別グループ情報と、オブジェクトと対象種別とを直接に対応付ける対象種別グループ情報と、サブジェクトおよびオブジェクトと組織との対応付けを単一の木構造で表現した組織構造情報とを持つ。そして、これらを使用して制約条件を満足するアクセス制御リストのみを生成可能としている。
また、当該手法よりも以前から存在する手法の1つとして、アクセス制御リストを抽象化するアクセス制御ポリシーの記述に際して、ロールという概念を利用するロールベースアクセス制御(RBAC:Role Based Access Control)を挙げている。ロールとは役割を示し、役割を遂行する上で必要なパーミッション(許可する権限(オブジェクトと、当該オブジェクトに対するアクションとの組))の集合をロールとしてまとめる。そして、サブジェクトに対しては個々のパーミッションを割り当てるのではなく、ロールを割り当てる。これによって、ルール作成者は個々のサブジェクト毎およびオブジェクトごとにその間のアクションを規定した沢山のアクセス制御リストを記述する必要が無くなり、アクセス制御リストの作成負担が軽減される。
上記特許文献1のアクセス制御システムでは、ロールを用いたアクセス制御ポリシーに基づいて、多量のアクセス制御リストを簡単に生成することができる。しかしながら、複数のロール間で、ロールを持つユーザやロールに含まれる権限に重複がある場合、多量に重複した内容を持つアクセス制御リストが生成されてしまう。そのため、アクセス制御設定に伴うアクセス制御リストの配付量や配付時間が増大し、これを効率よく省くことができないという問題がある。なぜなら、一度、主体種別とアクセス対象種別によってグループ化してしまうと、当該グループ間での個々のユーザや権限の重複の有無を確認する方法が無く、重複を避ける方法も無いからである。
すなわち、多量のアクセス制御ルールを生成する際に、ルールの重複が発生すると、ルールの配付量や配付時間が著しく増加してしまう。
本発明の目的は、上述の課題を解決する技術を提供することにある。
上記目的を達成するため、本発明に係るアクセス制御システムは、
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を格納するアクセス制御情報格納手段と、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成手段と、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成手段と、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成手段と、
前記アクセス制御ルールに基づいて、それぞれの前記アクセス権を制御する複数のアクセス権制御手段と、
を備える。
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を格納するアクセス制御情報格納手段と、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成手段と、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成手段と、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成手段と、
前記アクセス制御ルールに基づいて、それぞれの前記アクセス権を制御する複数のアクセス権制御手段と、
を備える。
上記目的を達成するため、本発明に係るアクセス制御ルール生成方法は、
同じ権限集合が付与されるユーザ集合をそれぞれ示す複数のロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、ロールに付与されるための複数の権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
を含む。
同じ権限集合が付与されるユーザ集合をそれぞれ示す複数のロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、ロールに付与されるための複数の権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
を含む。
上記目的を達成するため、本発明に係るアクセス制御ルール生成プログラムは、
同じ権限集合が付与されるユーザ集合をそれぞれ示す複数のロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、ロールに付与されるための複数の権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
をコンピュータに実行させる。
同じ権限集合が付与されるユーザ集合をそれぞれ示す複数のロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、ロールに付与されるための複数の権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
をコンピュータに実行させる。
上記目的を達成するため、本発明に係る情報処理装置は、
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得手段と、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成手段と、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成手段と、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成手段と、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布手段と、
を備える。
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得手段と、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成手段と、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成手段と、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成手段と、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布手段と、
を備える。
上記目的を達成するため、本発明に係る情報処理装置の制御方法は、
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得ステップと、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布ステップと、
を含む。
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得ステップと、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布ステップと、
を含む。
上記目的を達成するため、本発明に係る情報処理装置の制御プログラムは、
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得ステップと、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布ステップと、
をコンピュータに実行させる。
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得ステップと、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布ステップと、
をコンピュータに実行させる。
本発明によれば、従来通りのロールを用いたアクセス制御ポリシーを定義するだけで、多量のアクセス制御ルールを生成する際にも、ルールの重複を防止し、ルールの配付量や配付時間を削減することができる。
以下に、図面を参照して、本発明の実施形態について例示的に詳しく説明する。ただし、以下の実施形態に記載されている構成要素は単なる例示であり、本発明の技術範囲をそれらのみに限定する趣旨のものではない。
まず、本実施形態で用いる用語について説明する。かかる用語には、本技術分野で一般に用いられる用語と本実施形態において用いられる用語とが含まれる。
《用語の定義》
(アクセス制御共通の用語)
本実施形態における「アクセス権」は、特定のサブジェクトと、オブジェクト(またはリソース)と、アクションとの組を意味する。また、「権限(パーミッション:permission)」は、特定のオブジェクトと、アクションとの組を意味する。したがって、アクセス権は、特定のサブジェクトと権限との組でもある。また、「アクセス制御ルール」(以下、「ルール」と略す)は、アクセス権の集合を定義する記述である。典型的には、アクセス制御リスト(ACL:Access Control List)と呼ばれる、少なくとも、サブジェクトとオブジェクトとアクションとの組のリストとして記述する。つまり、サブジェクトと権限との組のリストでもある。
(アクセス制御共通の用語)
本実施形態における「アクセス権」は、特定のサブジェクトと、オブジェクト(またはリソース)と、アクションとの組を意味する。また、「権限(パーミッション:permission)」は、特定のオブジェクトと、アクションとの組を意味する。したがって、アクセス権は、特定のサブジェクトと権限との組でもある。また、「アクセス制御ルール」(以下、「ルール」と略す)は、アクセス権の集合を定義する記述である。典型的には、アクセス制御リスト(ACL:Access Control List)と呼ばれる、少なくとも、サブジェクトとオブジェクトとアクションとの組のリストとして記述する。つまり、サブジェクトと権限との組のリストでもある。
ここで、「サブジェクト」は、アクセス元となるアクセス主体であり、例えば、ユーザ、端末、ソフトウェアプログラムなどを指す。そして、「サブジェクト」は、アクセス主体、アクセス権を行使するアクセス元となる存在を示す識別子である。アクセス権に基づいてアクセス制御を行うアクセス制御実施機能では、一般的に、ユーザIDなど、人・ソフトウェア・装置などにシステム上での識別子を付与して使用する。会員番号・社員番号・製造番号などの一意性を持った識別子や、氏名などの個人を特定する情報や、システム独自の値をそれらと紐付けて用いる場合もある。サブジェクトについて、識別子以外に、ユーザインタフェースなどで用いるための表示名称を持つ場合もある。
また、「オブジェクト」は、アクセス先となるアクセス客体であり、例えば、サーバやネットワークノード、仮想マシン、ファイル、データベース・テーブル・カラム、サービスや業務アプリケーションなどを指す。そして、「オブジェクト」は、アクセス客体、アクセス権を行使されるアクセス先となる存在を示す識別子である。アクセス権に基づいてアクセス制御を行うアクセス制御実施機能では、一般的に、アドレス・ポート、資源名、パスなど、サーバやネットワークノード、仮想マシンやその構成物、ファイル、データベース・テーブル・カラム、業務アプリケーションなど、資源やサービスなどに、システム上での識別子を付与して使用する。オブジェクトについて、識別子以外に、ユーザインタフェースなどで用いるための表示名称を持つ場合もある。
また、「アクション」は、アクセス元であるアクセス主体から、アクセス先であるアクセス客体に対して、行われる操作内容を示す識別子である。仮想マシンであれば起動や終了、ファイルであれば読込みや書込みなど、特定の操作内容にシステム上での識別子を付与して使用する。アクションについて、識別子以外に、ユーザインタフェースなどで用いるための表示名称を持つ場合もある。
(ロールベースアクセス制御の用語)
「ロールベースアクセス制御」は、権限の集合に対して付与されるロール(役割)に基づくユーザのアクセス権限の制御である。例えば、サブジェクトとなるユーザに権限を付与したい場合、ユーザにロールを割り当てることで、ロールに紐づく権限集合をユーザに付与する。このため、あるユーザと権限の関係を変更したい場合は、ユーザとロールの関係を変更する方法と、ロールと権限の関係を変更する方法の2種類がある。
「ロールベースアクセス制御」は、権限の集合に対して付与されるロール(役割)に基づくユーザのアクセス権限の制御である。例えば、サブジェクトとなるユーザに権限を付与したい場合、ユーザにロールを割り当てることで、ロールに紐づく権限集合をユーザに付与する。このため、あるユーザと権限の関係を変更したい場合は、ユーザとロールの関係を変更する方法と、ロールと権限の関係を変更する方法の2種類がある。
「アクセス制御ポリシー」(以下、「ポリシー」と略す)は、ロールに対応する、権限のリストである。ポリシーによって、ロールと権限との関係を管理する。すなわち、ポリシーは、ロールと権限との関係を定義する。
ここで、「ロール(役割:role)」は、ユーザが所属することで同じ権限集合が付与される役割に対して付与される識別子である。一般的には所属部署や役職、担当するプロジェクト・業務内容・作業項目などの識別子が使用される。各ロールについて、識別子以外に、別途、ユーザインタフェースなどで用いるための表示名称を持つ場合もある。ロール自身を指す識別子の他に、ロール階層を表現するため、親ノードや子ノードにあたるロールの識別子やパスの情報を持つ場合もある。
また、「ロール階層」は、組織構造などに基づくロールの階層関係を意味する。一般的に、ロール階層は多段階の階層を持つ木構造となる。例えば、ある企業「A株式会社」のロール階層は、1つの木構造となり、「A株式会社」を根とし、その配下に「総務部」と「経理部」を持ち、さらに「総務部」の配下に「秘書課」と「広報課」を持つ。
また、「ロール継承」(以下、「継承」と略す)は、ロール階層に基づく継承関係を意味する。例えば、上記のロール階層における例では、「秘書課」ロールは「総務部」ロールを継承しており、「総務部」ロールは「A株式会社」ロールを継承している。ロールを継承することにより、継承先のロールは、継承元のロールの権限の集合を引き継ぐ。
また、「ロール包含」(以下、「包含」と略す)は、ロール階層に基づく包含関係を意味する。例えば、「サーバA管理者」、「サーバB管理者」というロールがあり、それぞれ、サーバAに対する管理用の操作を可能とする権限集合と、サーバBに対する管理用の操作を可能とする権限集合とする。その上で、全てのサーバの管理用の操作を可能とする「サーバ管理者」というロールを定義する際に、「サーバ管理者」ロールに、改めてサーバA・サーバBに関する権限を追加する代わりに、「サーバ管理者」ロールと、「サーバA管理者」ロールおよび「サーバB管理者」ロールとの間に包含関係を定義する。ロールを包含することにより、「サーバ管理者」ロールは、「サーバA管理者」ロールと「サーバB管理者」ロールの権限を引き継ぐ。
(ユーザ集合と権限集合)
「ユーザ情報」は、サブジェクトの1つである、ユーザに関する様々な属性情報を含むが、ここでは、少なくとも、ユーザを示す識別子と、そのユーザに付与されたロールの識別子とを含む。RBACにおいて、1人のユーザは、0個以上のロールを持つ。0個のロールを持つ、あるいはロールを持たないユーザは、権限を持たない。必要に応じて、ロール継承やロール包含などのロール階層の情報も管理する。ユーザ情報によって、ユーザとロールとの関係を管理する。
「ユーザ情報」は、サブジェクトの1つである、ユーザに関する様々な属性情報を含むが、ここでは、少なくとも、ユーザを示す識別子と、そのユーザに付与されたロールの識別子とを含む。RBACにおいて、1人のユーザは、0個以上のロールを持つ。0個のロールを持つ、あるいはロールを持たないユーザは、権限を持たない。必要に応じて、ロール継承やロール包含などのロール階層の情報も管理する。ユーザ情報によって、ユーザとロールとの関係を管理する。
「ユーザ集合」は、同じロールを付与されたユーザの集合である。ここでは、例えば、ロールAを持つユーザ集合を、ユーザ集合Aと表記する。複数のロールを持つユーザが存在するため、複数のユーザ集合を比較すると、ユーザが重複する場合がある。
「権限集合」は、同じロールに含まれる権限の集合である。ここでは、例えば、ロールAに含まれる権限集合を、権限集合Aと表記する。複数のロールに共通する権限が存在するため、複数の権限集合を比較すると、権限が重複する場合がある。
(ユーザ小集合と権限小集合)
「ユーザ小集合」は、互いにユーザの重複の無い、ユーザ集合である。もととなったロールに由来する小集合インデックスを、識別子として持つ。ユーザ集合間の重複部分とそれ以外の部分とを、別々の集合として切り分ける。ここでは、例えば、ユーザ集合Aとユーザ集合Bの重複部をユーザ小集合AB、それ以外の部分のうちユーザ集合Aに由来する残りの部分をユーザ小集合A-(マイナス)、ユーザ集合Bに由来する残りの部分をユーザ小集合B-と表記する。これにより、ユーザ小集合ABは、ロールAとロールBの両方を持つユーザの集合、ユーザ小集合A-は、ロールAのみを持つユーザの集合、ユーザ小集合B-は、ロールBのみを持つユーザの集合となる。3つ以上のユーザ集合の場合、ユーザ集合の任意の組み合わせごとに切り分けて、小集合を定義する。これにより、ロールを同じ組み合わせ方で持つユーザごとに、ユーザ集合を切り分け、互いに重複のないユーザ集合として定義することができる。組み合わせるロールの情報があれば、実際には対応するユーザの無いユーザ小集合も定義可能であり、当該ユーザ小集合は空集合となる。
「ユーザ小集合」は、互いにユーザの重複の無い、ユーザ集合である。もととなったロールに由来する小集合インデックスを、識別子として持つ。ユーザ集合間の重複部分とそれ以外の部分とを、別々の集合として切り分ける。ここでは、例えば、ユーザ集合Aとユーザ集合Bの重複部をユーザ小集合AB、それ以外の部分のうちユーザ集合Aに由来する残りの部分をユーザ小集合A-(マイナス)、ユーザ集合Bに由来する残りの部分をユーザ小集合B-と表記する。これにより、ユーザ小集合ABは、ロールAとロールBの両方を持つユーザの集合、ユーザ小集合A-は、ロールAのみを持つユーザの集合、ユーザ小集合B-は、ロールBのみを持つユーザの集合となる。3つ以上のユーザ集合の場合、ユーザ集合の任意の組み合わせごとに切り分けて、小集合を定義する。これにより、ロールを同じ組み合わせ方で持つユーザごとに、ユーザ集合を切り分け、互いに重複のないユーザ集合として定義することができる。組み合わせるロールの情報があれば、実際には対応するユーザの無いユーザ小集合も定義可能であり、当該ユーザ小集合は空集合となる。
「権限小集合」は、互いに権限の重複の無い、権限集合である。もととなったロールに由来する小集合インデックスを、識別子として持つ。権限集合間の重複部分とそれ以外の部分とを、別々の集合として切り分ける。ここでは、例えば、権限集合Aと権限集合Bの重複部を権限小集合AB、それ以外の部分のうち権限集合Aに由来する残りの部分を権限小集合A-(マイナス)、権限集合Bに由来する残りの部分を 権限小集合B-と表記する。これにより、権限小集合ABは、ロールAとロールBの両方に含まれる権限の集合、権限小集合A-は、ロールAのみに含まれる権限の集合、権限小集合B-は、ロールBのみに含まれる権限の集合となる。3つ以上の権限集合の場合、権限集合の任意の組み合わせごとに切り分けて、小集合を定義する。これにより、ロールに同じ組み合わせ方で含まれる権限ごとに、権限集合を切り分け、互いに重複のない権限集合として定義することができる。組み合わせるロールの情報があれば、実際には対応する権限の無い権限小集合も定義可能であり、当該権限小集合は空集合となる。
「小集合」は、ユーザ小集合と権限小集合とを、まとめたものである。「小集合インデックス」は、小集合を定義するために使用する、小集合の識別子である。識別子の構成としては、由来するロールの識別子の組そのもの、あるいは、そのロールの識別子の組を示す別の識別子を用いる。
(ルールレシピ)
「ルールレシピ」(以下、「レシピ」と略す)は、ルールの識別子と、ルールを合成する際に使用する小集合の識別子とを、定義する記述である。あるルールのレシピに含まれるユーザ小集合群を足し合わせたユーザ集合と、同レシピに含まれる権限集合群を足し合わせた権限集合とを用いて、当該ユーザ集合に含まれる全ユーザと、当該権限集合に含まれる全権限とを組み合わせ、1つのユーザと1つの権限の組のリストとすることで、アクセス制御ルールを合成する。仮に、当該ユーザ集合か当該権限集合のうち、少なくとも一方が空集合である場合、有効なユーザと権限の組が1つも合成できないため、当該レシピの合成結果は無効なルールとなる。したがって、少なくとも一方が空集合か否かをチェックすることができれば、実際に合成せずとも、当該レシピの合成結果が無効か否かを判断することができる。
「ルールレシピ」(以下、「レシピ」と略す)は、ルールの識別子と、ルールを合成する際に使用する小集合の識別子とを、定義する記述である。あるルールのレシピに含まれるユーザ小集合群を足し合わせたユーザ集合と、同レシピに含まれる権限集合群を足し合わせた権限集合とを用いて、当該ユーザ集合に含まれる全ユーザと、当該権限集合に含まれる全権限とを組み合わせ、1つのユーザと1つの権限の組のリストとすることで、アクセス制御ルールを合成する。仮に、当該ユーザ集合か当該権限集合のうち、少なくとも一方が空集合である場合、有効なユーザと権限の組が1つも合成できないため、当該レシピの合成結果は無効なルールとなる。したがって、少なくとも一方が空集合か否かをチェックすることができれば、実際に合成せずとも、当該レシピの合成結果が無効か否かを判断することができる。
[第1実施形態]
本発明の第1実施形態としてのアクセス制御システム100について、図1を用いて説明する。アクセス制御システム100は、アクセス権を管理するためのシステムである。
本発明の第1実施形態としてのアクセス制御システム100について、図1を用いて説明する。アクセス制御システム100は、アクセス権を管理するためのシステムである。
図1に示すように、アクセス制御システム100は、アクセス制御情報格納部101と、小集合生成部102と、ルールレシピ生成部103と、アクセス制御ルール生成部104と、複数のアクセス権制御部105と、を含む。アクセス制御情報格納部101は、ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、ロールと権限集合との組み合わせを表わすアクセス制御ポリシーと、を格納する。小集合生成部102は、複数のロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する。ルールレシピ生成部103は、アクセス制御ポリシーから、ユーザ小集合と権限小集合との組み合わせを表わすルールレシピを生成する。アクセス制御ルール生成部104は、ユーザ小集合および権限小集合と、ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成する。複数のアクセス権制御部105は、アクセス制御ルールに基づいて、それぞれのアクセス権を制御する。
本実施形態によれば、複数の集合に重複して存在するユーザあるいは権限を要素とする新たな小集合として生成することにより、従来通りのロールを用いたアクセス制御ポリシーを定義するだけで、多量のアクセス制御ルールを生成する際にも、ルールの重複を防止し、ルールの配付量や配付時間を削減することができる。
[第2実施形態]
次に、本発明の第2実施形態に係るアクセス制御システムについて説明する。本実施形態に係るアクセス制御システムは、ユーザ集合および権限集合において、重複するユーザと権限とをユーザ小集合と権限小集合として切り出して、複数のユーザ小集合と権限小集合を生成し、アクセス制御ポリシーを小集合間のルールレシピに作り替えることによって、ユーザ小集合と権限小集合とルールレシピとに基づいてアクセス制御ルール(アクセス制御ACL)を生成する。
次に、本発明の第2実施形態に係るアクセス制御システムについて説明する。本実施形態に係るアクセス制御システムは、ユーザ集合および権限集合において、重複するユーザと権限とをユーザ小集合と権限小集合として切り出して、複数のユーザ小集合と権限小集合を生成し、アクセス制御ポリシーを小集合間のルールレシピに作り替えることによって、ユーザ小集合と権限小集合とルールレシピとに基づいてアクセス制御ルール(アクセス制御ACL)を生成する。
《前提技術》
図4Aは、前提技術に係るアクセス制御の概念410を説明する図である。
図4Aは、前提技術に係るアクセス制御の概念410を説明する図である。
図4Aに示すように、ポリシーは、ロールと権限の関係を定義する。本実施形態では、ロールA(412)に紐付ける権限を記載するポリシーをポリシーA(414)、それによって紐付けられるユーザ集合と権限集合を、ユーザ集合A(411)と権限集合A(413)と呼ぶ。
(2つの集合におけるアクセス制御)
図4B乃至図4Dは、前提技術に係る2つの集合におけるアクセス制御の概念420〜470を説明する図である。なお、図4B乃至図4Dにおいては、重複するルールを太枠および太字で示している。
図4B乃至図4Dは、前提技術に係る2つの集合におけるアクセス制御の概念420〜470を説明する図である。なお、図4B乃至図4Dにおいては、重複するルールを太枠および太字で示している。
一般に、ユーザ集合や権限集合は重複しており、重複したユーザ集合と重複した権限集合から生成されるルールは、図4Bの概念420に示すように、ロールAのポリシーから生成されるルールAと、ロールBのポリシーから生成されるルールBとの間で重複したルールが生成される。これは特に、生成するルールが大量にある場合や、重複の割合が大きい場合に、配付量や配付時間を肥大化させ、大きな問題となる。
このルール間の重複は、図4Cの概念430、440に示すように、ユーザ集合か権限集合の少なくとも一方の重複が解消されれば、ルールの重複も解消されるが、当然ながらユーザや権限を無くしてしまうわけにはいかないし、片方のユーザ集合だけに残す場合でも、権限との関係が変わってしまって、生成するルールが欠けてしまい、アクセス制御結果が変わってしまう。
かといって、ユーザ集合と権限集合の重複部分が残っている限りは、他のユーザや権限を、どう変えても、図4Dの概念450〜470に示すように、生成するルールに必ず重複が出る。
(3つの集合におけるアクセス制御)
図6Aおよび図6Bは、前提技術に係る3つの集合におけるアクセス制御の概念610、620を説明する図である。なお、図6Aおよび図6Bにおいては、重複するルールを太枠および太字で示している。
図6Aおよび図6Bは、前提技術に係る3つの集合におけるアクセス制御の概念610、620を説明する図である。なお、図6Aおよび図6Bにおいては、重複するルールを太枠および太字で示している。
図6Aおよび図6Bにおいて、ロールAのポリシーから生成されるルールAと、ロールBのポリシーから生成されるルールBと、ロールCのポリシーから生成されるルールCと(610)、の間で重複したルールが生成される(620)。
《本実施形態の概要》
図2は、本実施形態に係るアクセス制御システムの動作概要を説明する図である。
図2は、本実施形態に係るアクセス制御システムの動作概要を説明する図である。
図2のテーブル210は、ロール211、ユーザ集合212および権限集合213の一例である。本例では、プロジェクトXとプロジェクトYとの両方に所属するユーザとして、「システム管理者C」と「開発責任者D」とがいる。また、プロジェクトXとプロジェクトYとの両方に付与される権限として「管理データ閲覧可」が有る。
図2のアクセス制御システムに提供されるテーブル210に対応する構造220のユーザ集合221と権限構造222とから、そのままアクセス制御ルール(ACL)を生成すると、重なり部分である「システム管理者C」および「開発責任者D」と「管理データ閲覧可」との組み合わせが複数回(本例では2回)重複して生成される。したがって、その重複したアクセス制御ルールを削除しないと配布情報量が増大し、また、削除のための処理時間が浪費される。
本実施形態においては、図2の構造230にように、重なる部分が無くなるようにユーザ小集合231および権限小集合232と、小集合間のルールレシピとを生成する。
かかる小集合の構造とルールレシピとにより生成された各ユーザ241と各権限242との組み合わせを示すアクセス制御ルール(ACL)240においては、「システム管理者C」および「開発責任者D」243のアクセス制御ルールは重複無しに1つだけ生成される。
このように、本実施形態の技術により、従来通りのロールを用いたアクセス制御ポリシーを定義するだけで、多量のアクセス制御ルールを生成する際にも、ルールの重複を防止し、ルールの配付量や配付時間を削減することが可能となる。
図2の処理は、複数の装置からなるシステムにおいても、1つの装置においても実現可能であり、アクセス制御ルール生成方法やアクセス制御ルール生成プログラムの主要構成を示している。
(2つの集合におけるアクセス制御)
図3は、本実施形態に係るアクセス制御システムの2つの集合におけるアクセス制御の概念300を説明する図である。
図3は、本実施形態に係るアクセス制御システムの2つの集合におけるアクセス制御の概念300を説明する図である。
図3に示すように、ユーザ集合と権限集合を、全て重複の無い小集合に切り分けてから、同じアクセス制御結果となるように、組み合わせを定義する。図4Aで重複していた部分も、全て独立した小集合とし、ユーザ小集合に対して、権限小集合を1度ずつだけ組み合わせる形で、ルール生成を行う。これには、ユーザ小集合の1つごとに幾つかの権限小集合を組み合わせてルールを生成する方法と、権限小集合の1つごとに幾つかのユーザ小集合を組み合わせてルールを生成する方法の2つが考えられる。なお、本実施形態においては、前者を使用しているが、後者を用いても同様の処理が可能である。
(3つの集合におけるアクセス制御)
図5Aおよび図5Bは、本実施形態に係るアクセス制御システムの3つの集合におけるアクセス制御の概念510、520を説明する図である。
図5Aおよび図5Bは、本実施形態に係るアクセス制御システムの3つの集合におけるアクセス制御の概念510、520を説明する図である。
図3は、ロールが2つの場合だが、図5Aおよび図5Bに示すように、ロールが増えても同様に、ロールの組み合わせごとに、ユーザと権限の小集合を切り出して、その小集合の組み合わせでルールを組み立てる。図5Aおよび図5Bはロールが3つの例だが、ロールが4つ以上になっても同様である。
《ルールレシピ》
上述の定義のように、このユーザと権限の小集合の組み合わせをルールレシピと呼ぶ。
上述の定義のように、このユーザと権限の小集合の組み合わせをルールレシピと呼ぶ。
「ルールレシピ」(「レシピ」と略す)は、当該ルールの識別子と、当該ルールを合成する際に使用する小集合の識別子とを、定義する記述である。あるルールのレシピに含まれるユーザ小集合群を足し合わせたユーザ集合と、同レシピに含まれる権限集合群を足し合わせた権限集合とを用いて、当該ユーザ集合に含まれる全ユーザと、当該権限集合に含まれる全権限とを組み合わせ、1つのユーザと1つの権限の組のリストとすることで、アクセス制御ルールを合成する。仮に、当該ユーザ集合か当該権限集合のうち、少なくとも一方が空集合である場合、有効なユーザと権限の組が1つも合成できないため、当該レシピの合成結果は 無効なルールとなる。したがって、少なくとも一方が空集合か否かをチェックすることができれば、実際に合成せずとも、当該レシピの合成結果が無効か否かを判断することができる。
図16は、本実施形態に係る空集合な無い場合の小集合およびルールレシピの生成1600を説明する図である。
ルールレシピの例としては、例えば、2つのロールA・ロールBがあり、その間でユーザが重複している場合は、図16に示すように、ルールA-のルールレシピ「(ルールA-の識別子)、(ユーザ小集合A-、{権限小集合A-、権限小集合AB})」、ルールABのルールレシピ「(ルールABの識別子)、(ユーザ小集合AB、{権限小集合A-、権限小集合AB、権限小集合B-})」、ルール)、ルールB-のルールレシピ「(ルールB-の識別子)、(ユーザ小集合B-、{権限小集合AB、権限小集合B-})」の、3つのレシピによって重複しないルールを合成する。
また、図17乃至図24は、本実施形態に係る空集合が有る場合の小集合およびルールレシピの生成1700〜2400を説明する図である。
図17、図18、図19、図20、図21、図22、図23および図24に示すように、ユーザ集合や権限集合の重複状態の違いによって、空集合が発生し、レシピによってルール合成を行うと無効なルールとなる場合がある。このような無効なルールは、アクセス制御設定から削除するものとして扱う。
図25は、本実施形態に係るロール包含における小集合およびルールレシピの生成2500を説明する図である。
ロールAが、ロールBを包含することで、ロールAを持つユーザ集合Aに、さらにロールBを付与した状態と同じとなる。ユーザ集合Aの全ユーザが、ロールAもロールBも持つこととなるため、ユーザ集合A-は空集合となる。また、ユーザ集合Bのユーザが行使できる権限は、ユーザ集合Aの全ユーザも行使できることとなるため、権限集合B-は空集合となる。
図26は、本実施形態に係るロール継承における小集合およびルールレシピの生成2600を説明する図である。
ロールBが、ロールAを継承することで、ロールBを持つユーザ集合Bに、さらにロールAを付与した状態と同じとなる。ユーザ集合Bの全ユーザが、ロールAもロールBも持つこととなるため、ユーザ集合B-は空集合となる。また、ユーザ集合Aのユーザが行使できる権限は、ユーザ集合Bの全ユーザも行使できることとなるため、権限集合A-は空集合となる。
《本実施形態を実現するシステム構成》
(機能構成)
図7Aは、本実施形態に係るアクセス制御システム700の機能構成を示すブロック図である。
(機能構成)
図7Aは、本実施形態に係るアクセス制御システム700の機能構成を示すブロック図である。
図7Aに示されているように、ポリシー管理装置710は、ポリシー情報格納部711とポリシー解釈部712とを有する。ポリシー解釈部712は、ロールにおけるユーザ情報とポリシー情報とに基づいてユーザ小集合および権限小集合を生成する小集合生成部713を含む。また、ポリシー解釈部712は、ポリシー情報からユーザ小集合および権限小集合の組み合わせを示すルールレシピを生成するルールレシピ生成部714を含む。なお、ポリシー管理装置710は、それぞれの機能構成部は、別個のコンピュータシステムで構築されていてもよいし、一部または全部が同一のコンピュータシステムで実現されていてもよい。
ユーザ管理装置720は、ユーザ情報格納部721を有する。なお、ユーザ管理装置720は、複数のコンピュータシステムで構築されていてもよいし、同一のコンピュータシステムで実現されていてもよい。
複数のアクセス制御装置730-i(i=1〜n)は、ルール生成部731と、ルール情報格納部732と、アクセス権制御部733とを有する。ルール生成部731は、ユーザ小集合および権限小集合の小集合と、その組み合わせを示すルールレシピとに基づいて、アクセス制御ルールを生成するための、ルール生成テーブル731aを含む。複数のアクセス制御装置730-i(i=1〜n)は、それぞれ別個のコンピュータシステムで構築されていてもよいし、一部または全部が同一のコンピュータシステムで実現されていてもよい。
なお、ポリシー管理装置710と、ユーザ管理装置720と、管理対象のアクセス制御装置730-iとは、それぞれ別個のコンピュータシステムで構築されていてもよいし、一部または全部が同一のコンピュータシステムで実現されていてもよい。また、ポリシー管理装置710と、ユーザ管理装置720と、管理対象のアクセス制御装置730-iとは、有線で接続してもよいし、ネットワークを介して無線で接続してもよい。
また、ポリシー管理装置710は、具体的には、プログラムに従って動作する情報処理装置のCPUと、RAMやハードディスク等の記憶媒体と、ユーザ管理装置720と、アクセス制御装置730-iと通信を行なうための通信インタフェースとによって実現される。
ユーザ管理装置720は、具体的には、プログラムに従って動作する情報処理装置のCPUと、RAMやハードディスク等の記憶媒体と、ポリシー管理装置710と通信を行なうための通信インタフェースとによって実現される。
アクセス制御装置730-iは、具体的には、プログラムに従って動作する情報処理装置のCPUと、RAMやハードディスク等の記憶媒体と、ポリシー管理装置710と通信を行なうための通信インタフェースとによって実現される。
ポリシー解釈部712と、ルール生成部731は、具体的には、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、通信インタフェースとによって実現される。
ポリシー情報格納部711と、ユーザ情報格納部721と、ルール情報格納部732と、アクセス権制御部733は、具体的には、プログラムに従って動作する情報処理装置のCPUと、RAMやハードディスク等の記憶媒体と、通信インタフェースとによって実現される。
(ハードウェア構成)
図7Bは、本実施形態に係るアクセス制御システム700のハードウェア構成を示す図である。図7Bは、ネットワーク740を介した構成例であるが、これに限定されない。
図7Bは、本実施形態に係るアクセス制御システム700のハードウェア構成を示す図である。図7Bは、ネットワーク740を介した構成例であるが、これに限定されない。
アクセス制御システム700の各装置は、ネットワーク740を介して互いに接続される、ポリシー管理装置710と、ユーザ管理装置720と、アクセス制御装置730-1〜730-nとを有する。また、アクセス制御システム700の各装置は、ネットワーク740を介して互いに接続される、複数のサービス提供サーバ760と、サービス提供サーバ760からのサービスを受ける通信端末751〜75nとを有する。かかる通信端末751〜75nが、アクセス制御装置730-1〜730-nによるアクセス制御を受けて、複数のサービス提供サーバ760へのアクセス権を制御される。
(ユーザ情報格納部)
図8は、本実施形態に係るユーザ情報格納部721の構成を示す図である。ユーザ情報格納部721は、各ユーザが所属するロールに関する情報を含む。なお、ユーザ情報およびその格納構成は図8に限定されない。図8には、氏名や住所などのユーザ属性情報は図示していない。
図8は、本実施形態に係るユーザ情報格納部721の構成を示す図である。ユーザ情報格納部721は、各ユーザが所属するロールに関する情報を含む。なお、ユーザ情報およびその格納構成は図8に限定されない。図8には、氏名や住所などのユーザ属性情報は図示していない。
ユーザ情報格納部721は、サブジェクト情報810としてのユーザIDなどに対応付けて、ロール対象情報820を記憶する。ロール対象情報820には、会社組織内であれば、所属部課として会社、部、課などが含まれ、参加プロジェクトが含まれる。
(ポリシー情報格納部)
図9A乃至図9Cは、本実施形態に係るポリシー情報格納部711の構成を示す図である。なお、ポリシー情報格納部711の構成は図9A乃至図9Cに限定されない。
図9A乃至図9Cは、本実施形態に係るポリシー情報格納部711の構成を示す図である。なお、ポリシー情報格納部711の構成は図9A乃至図9Cに限定されない。
図9Aは、アクセス制御ポリシー910の格納構成を示す。アクセス制御ポリシー910は、ロールと権限との関係を記憶する。
アクセス制御ポリシー910は、ロール情報911としてのロールIDやロール名と、付与権限情報912としての権限や権限集合と、の組み合わせを記憶する。
図9Bは、ユーザ小集合920と権限小集合930との格納構成を示す。ユーザ小集合920は、ユーザ集合の重複部分を切り分けることで生成されたユーザ小集合を記憶する。また、権限小集合930は、権限集合の重複部分を切り分けることで生成された権限小集合を記憶する。
ユーザ小集合920は、ロールID(または、ユーザ集合ID)921およびユーザ集合922に対応付けて、重複しない(非重複)ユーザ小集合923と、各重複部分を切り分けた第1〜第4のユーザ小集合924〜927を記憶する。なお、ユーザ小集合920には、3つのユーザ集合が与えられた場合の、各集合に含まれるユーザ要素の具体例が図示されている。
権限小集合930は、権限集合ID931および権限集合932に対応付けて、重複しない(非重複)権限小集合933と、各重複部分を切り分けた第1〜第4の権限小集合934〜937を記憶する。なお、権限小集合930には、3つの権限集合が与えられた場合の、各集合に含まれる権限要素の具体例が図示されている。
図9Cは、ルールレシピ940の格納構成を示す。ルールレシピ940は、ユーザ小集合と権限小集合との関係を記憶する。
ルールレシピ940は、ルールレシピID941に対応付けて、ユーザ小集合ID942と、権限小集合ID943、944…との関係を記憶する。
(ルール情報格納部)
図10は、本実施形態に係るルール情報格納部732の構成を示す図である。ルール情報格納部732は、受信したユーザ小集合、権限小集合と、ルールレシピと、ユーザ小集合および権限小集合と、ルールレシピとに基づいて生成されたアクセス制御ルールとを記憶する。なお、図10には、生成されたアクセス制御ルールのみを示す。ルール情報格納部732の構成は図10に限定されない。
図10は、本実施形態に係るルール情報格納部732の構成を示す図である。ルール情報格納部732は、受信したユーザ小集合、権限小集合と、ルールレシピと、ユーザ小集合および権限小集合と、ルールレシピとに基づいて生成されたアクセス制御ルールとを記憶する。なお、図10には、生成されたアクセス制御ルールのみを示す。ルール情報格納部732の構成は図10に限定されない。
ルール情報格納部732は、サブジェクト1001としてのユーザIDなどと、権限(パーミッション)1002としてのリソースなどのオブジェクトおよびアクションと、の組み合わせを記憶する。
《装置のハードウェア構成》
図11は、本実施形態に係るアクセス制御システム200を構成する装置710、720、730のハードウェア構成を示すブロック図である。なお、各装置710〜730のハードウェア構成において、テーブル類やDB類、あるいは、プログラムやモジュールの名称と内容はことなるが、全体のハードウェア構成は類似であるので、1つにまとめて説明する。 図11で、CPU1110は演算制御用のプロセッサであり、CPU1110がRAM1140を使用しながらストレージ1150に格納されたプログラムおよびモジュールを実行することで、図7Aに示された各装置の各機能構成部の機能が実現される。ROM1120は、初期データおよびプログラムなどの固定データおよびプログラムを記憶する。また、通信制御部1130は、ネットワークを介して外部装置と通信する各装置の通信制御部に相当する。なお、CPU1110は1つに限定されず、複数のCPUであっても、あるいは画像処理用のGPUを含んでもよい。
図11は、本実施形態に係るアクセス制御システム200を構成する装置710、720、730のハードウェア構成を示すブロック図である。なお、各装置710〜730のハードウェア構成において、テーブル類やDB類、あるいは、プログラムやモジュールの名称と内容はことなるが、全体のハードウェア構成は類似であるので、1つにまとめて説明する。 図11で、CPU1110は演算制御用のプロセッサであり、CPU1110がRAM1140を使用しながらストレージ1150に格納されたプログラムおよびモジュールを実行することで、図7Aに示された各装置の各機能構成部の機能が実現される。ROM1120は、初期データおよびプログラムなどの固定データおよびプログラムを記憶する。また、通信制御部1130は、ネットワークを介して外部装置と通信する各装置の通信制御部に相当する。なお、CPU1110は1つに限定されず、複数のCPUであっても、あるいは画像処理用のGPUを含んでもよい。
RAM1140は、CPU1110が一時記憶のワークエリアとして使用するランダムアクセスメモリである。RAM1140には、本実施形態の実現に必要なデータを記憶する領域が確保されている。例えば、プログラムを実行する場合の変数を記憶する変数記憶部1141、複数のデータを関連付けるテーブルを記憶するテーブル記憶部1142、通信制御部1130を介して、送受信した送受信データを記憶する送受信データ記憶部1143、を含む。なお、アクセス制御装置730のテーブル記憶部1142には、ルール生成テーブル731aの領域が確保される。
ストレージ1150には、DBや各種のパラメータ、あるいは本実施形態の実現に必要な以下のデータまたはプログラムが記憶されている。DB記憶領域1151は、各種DBを記憶する領域である。このDB記憶領域1151に、図7Aの各情報格納部が確保される。また、パラメータ/アルゴリズム記憶領域1152は、データ処理時のパラメータや関数などのアリゴリズムを記憶する領域である。ポリシー情報格納部やルール情報格納部は、パラメータ/アルゴリズム記憶領域1152に確保されてもよい。また、制御プログラム/モジュール記憶領域1153は、RAM1140に読み出されてCPU1110によって実行される制御プログラムやその一部を構成するモジュールを記憶する領域である。図14A、図15Bおよび図15のフローチャートは、制御プログラム/モジュール記憶領域1153に格納される。
(ルール生成テーブル)
図12は、本実施形態に係るルール生成テーブル731aの構成を示す図である。ルール生成テーブル731aは、アクセス制御装置730のテーブル記憶部1142に確保されて、ユーザ小集合と、権限小集合と、ルールレシピとに基づいて、アクセス制御ルールを生成するために使用される。
図12は、本実施形態に係るルール生成テーブル731aの構成を示す図である。ルール生成テーブル731aは、アクセス制御装置730のテーブル記憶部1142に確保されて、ユーザ小集合と、権限小集合と、ルールレシピとに基づいて、アクセス制御ルールを生成するために使用される。
ルール生成テーブル731aは、、ユーザ小集合1201および権限小集合1202と、その関係情報であるルールレシピとに対応付けて、サブジェクト1203と権限(パーミッション)との関係情報であるアクセス制御ルール(ACL)を記憶する。
《本実施形態の処理手順》
図13は、本実施形態に係るアクセス制御システムの処理手順を示すフローチャートである。このフローチャートは、ポリシー管理装置710における図11のCPU1110がRAM1140を使用して実行し、ポリシー管理装置710の各機能構成部を実現する。
図13は、本実施形態に係るアクセス制御システムの処理手順を示すフローチャートである。このフローチャートは、ポリシー管理装置710における図11のCPU1110がRAM1140を使用して実行し、ポリシー管理装置710の各機能構成部を実現する。
(1)ステップS1301
まず、ポリシー管理装置710は、ユーザ管理装置720から、ロール情報を含むユーザ情報を取得し、アクセス制御ポリシーの解釈を行い、配付対象となる複数台のアクセス制御装置730-iの1台ごとに、小集合インデックス(小集合ID)、ルールレシピ、ユーザ小集合、権限小集合を生成し、ルールレシピと各小集合とをアクセス制御装置730-iに配付する。
まず、ポリシー管理装置710は、ユーザ管理装置720から、ロール情報を含むユーザ情報を取得し、アクセス制御ポリシーの解釈を行い、配付対象となる複数台のアクセス制御装置730-iの1台ごとに、小集合インデックス(小集合ID)、ルールレシピ、ユーザ小集合、権限小集合を生成し、ルールレシピと各小集合とをアクセス制御装置730-iに配付する。
(2)ステップS1303
次に、アクセス制御装置730-iは、配付されたルールレシピと小集合を用いて、アクセス制御ルールを合成し、アクセス権制御部733に設定する。
次に、アクセス制御装置730-iは、配付されたルールレシピと小集合を用いて、アクセス制御ルールを合成し、アクセス権制御部733に設定する。
(3)ステップS1305
次に、アクセス権制御部733は、設定されたアクセス制御ルールに沿って、アクセス制御(アクセス権の管理)を実施する。
次に、アクセス権制御部733は、設定されたアクセス制御ルールに沿って、アクセス制御(アクセス権の管理)を実施する。
(ポリシー解釈処理)
図14Aは、本実施形態に係るポリシー管理装置におけるポリシー解釈処理(S1301)の手順を示すフローチャートである。
図14Aは、本実施形態に係るポリシー管理装置におけるポリシー解釈処理(S1301)の手順を示すフローチャートである。
(1)ステップS1401
ポリシー管理装置710は、ユーザ情報格納部721を参照し、ロール情報の更新があるかを確認する。ここで、ロール情報の更新とは、新しいロールの追加、ロールの削除、ロールの継承や包含などの階層関係の追加・削除、などを指す。ロール情報に更新が有る場合は、ステップS1403へ、無い場合は、ステップS1407へ進む。
ポリシー管理装置710は、ユーザ情報格納部721を参照し、ロール情報の更新があるかを確認する。ここで、ロール情報の更新とは、新しいロールの追加、ロールの削除、ロールの継承や包含などの階層関係の追加・削除、などを指す。ロール情報に更新が有る場合は、ステップS1403へ、無い場合は、ステップS1407へ進む。
(2)ステップS1403
ポリシー管理装置710は、ユーザ情報格納部721からロール情報を取得し、ロール群を用いた全ての組み合わせを導出し、小集合インデックスとして生成するとともに、ユーザ小集合と権限小集合との組み合わせと、そこから生成されるルールの対応を示す、ルールレシピを生成し、ポリシー情報格納部711に保存する。
ポリシー管理装置710は、ユーザ情報格納部721からロール情報を取得し、ロール群を用いた全ての組み合わせを導出し、小集合インデックスとして生成するとともに、ユーザ小集合と権限小集合との組み合わせと、そこから生成されるルールの対応を示す、ルールレシピを生成し、ポリシー情報格納部711に保存する。
(3)ステップS1405
ポリシー管理装置710は、生成したルールレシピを、ルール生成部731へ配付する予定の、配付物に含める。
ポリシー管理装置710は、生成したルールレシピを、ルール生成部731へ配付する予定の、配付物に含める。
(4)ステップS1407
ポリシー管理装置710は、ユーザ情報格納部721を参照し、ユーザとロールとの関係に変化があるかを確認する。ここで、ユーザとロールとの関係の変化とは、ユーザへのロールの付与・剥奪、ユーザに付与されているロールに関するロール情報の変化、などを指す。変化が有る場合は、ステップS1409へ、無い場合は、ステップS1411へ進む。
ポリシー管理装置710は、ユーザ情報格納部721を参照し、ユーザとロールとの関係に変化があるかを確認する。ここで、ユーザとロールとの関係の変化とは、ユーザへのロールの付与・剥奪、ユーザに付与されているロールに関するロール情報の変化、などを指す。変化が有る場合は、ステップS1409へ、無い場合は、ステップS1411へ進む。
(5)ステップS1409
ポリシー管理装置710は、変化があったユーザ情報あるいはロール情報に関し、ユーザとの関係に変化のあったロールを含む小集合インデックスに対応するユーザ小集合を生成し、ポリシー情報格納部711に保存する。
ポリシー管理装置710は、変化があったユーザ情報あるいはロール情報に関し、ユーザとの関係に変化のあったロールを含む小集合インデックスに対応するユーザ小集合を生成し、ポリシー情報格納部711に保存する。
(6)ステップS1411
ポリシー管理装置710は、ユーザ情報格納部721とポリシー情報格納部711を参照し、ロールと権限との関係に変化があるかを確認する。ここで、ロールと権限との関係の変化とは、ロールへの権限の追加・削減、ロールの継承や包含などの階層関係の追加・削除と、それに伴う、ロール間での権限の重複状態の変化などを指す。変化が有る場合は、ステップS1413へ、無い場合は、ステップS1415へ進む。
ポリシー管理装置710は、ユーザ情報格納部721とポリシー情報格納部711を参照し、ロールと権限との関係に変化があるかを確認する。ここで、ロールと権限との関係の変化とは、ロールへの権限の追加・削減、ロールの継承や包含などの階層関係の追加・削除と、それに伴う、ロール間での権限の重複状態の変化などを指す。変化が有る場合は、ステップS1413へ、無い場合は、ステップS1415へ進む。
(7)ステップS1413
ポリシー管理装置710は、変化があったポリシー情報あるいはロール情報に関し、権限との関係に変化のあったロールを含む小集合インデックスに対応する権限小集合を生成し、ポリシー情報格納部711に保存する。
ポリシー管理装置710は、変化があったポリシー情報あるいはロール情報に関し、権限との関係に変化のあったロールを含む小集合インデックスに対応する権限小集合を生成し、ポリシー情報格納部711に保存する。
(8)ステップS1415
ポリシー管理装置710は、ポリシー情報格納部711を参照し、ユーザ小集合あるいは権限小集合の中で、小集合の更新後に、ルール生成部731に対して配付していないものがあるかを確認する。例えば、更新フラグや配付フラグなどを用いて、更新状態と配付状態を管理する。対象となる小集合が有る場合は、ステップS1417へ、無い場合は、何もせず終了する。
ポリシー管理装置710は、ポリシー情報格納部711を参照し、ユーザ小集合あるいは権限小集合の中で、小集合の更新後に、ルール生成部731に対して配付していないものがあるかを確認する。例えば、更新フラグや配付フラグなどを用いて、更新状態と配付状態を管理する。対象となる小集合が有る場合は、ステップS1417へ、無い場合は、何もせず終了する。
(9)ステップS1417
ポリシー管理装置710は、ポリシー情報格納部711を参照し、ステップS108で発見した小集合を使用するルールレシピを特定し、当該レシピに記載された当該ルールの識別子を取得する。
ポリシー管理装置710は、ポリシー情報格納部711を参照し、ステップS108で発見した小集合を使用するルールレシピを特定し、当該レシピに記載された当該ルールの識別子を取得する。
(10)ステップS1419
ポリシー管理装置710は、ステップS1419で特定したルール識別子から、1つを取り出す。
ポリシー管理装置710は、ステップS1419で特定したルール識別子から、1つを取り出す。
(11)ステップS1421
ポリシー管理装置710は、当該ルール識別子のルールが、これまで配付したことがないか、配付済み、かつ、無効なルールだった場合は、ステップS1423へ進む。
当該ルール識別子のルールが、配付済み、かつ、有効なルールだった場合は、ステップS1325へ進む。配付済み、かつ、有効なルールについては、今回、当該ルールが有効でも無効でも、更新の対象となるため、ステップS1423の判定処理はスキップする。
ポリシー管理装置710は、当該ルール識別子のルールが、これまで配付したことがないか、配付済み、かつ、無効なルールだった場合は、ステップS1423へ進む。
当該ルール識別子のルールが、配付済み、かつ、有効なルールだった場合は、ステップS1325へ進む。配付済み、かつ、有効なルールについては、今回、当該ルールが有効でも無効でも、更新の対象となるため、ステップS1423の判定処理はスキップする。
(12)ステップS1423
ポリシー管理装置710は、当該ルール識別子のルールレシピと、当該レシピで使用されている小集合を参照し、当該ルールレシピから合成されるルールが、有効なルールになる場合は、ステップS1425へ、無効なルールになる場合は、ステップS1427へ進む。
ポリシー管理装置710は、当該ルール識別子のルールレシピと、当該レシピで使用されている小集合を参照し、当該ルールレシピから合成されるルールが、有効なルールになる場合は、ステップS1425へ、無効なルールになる場合は、ステップS1427へ進む。
有効なルールと無効なルールの判定は、実際に合成しても判定可能である。しかし、レシピで使用されている全てのユーザ小集合を足し合わせたユーザ集合か、レシピで使用されている全ての権限小集合を足し合わせた権限小集合の、少なくとも一方が空集合の場合に無効なルールとなる。そのため、レシピで使用されているユーザ小集合か権限小集合が全て空集合であるかを調べることで、判定可能である。
前回が未配付あるいは無効なルールについて、今回も無効なルールであることが分かれば、今回、当該ルールを配付する必要は無いと考えられるため、ステップS1425はスキップし、当該ルールの配付を省略する。
(13)ステップS1425
ポリシー管理装置710は、当該ルール識別子のルールレシピを参照し、当該ルールの識別子と、当該ルールが用いる小集合のうち、ステップS1415で特定した小集合に該当する小集合について、ルール生成部731へ配付する予定の、配付物に含める。配付物に含まれるルール識別子のルールレシピ間で、同じ小集合が使用されている場合、使用しているレシピの数だけ配付物に含むのではなく、当該小集合は、配付物に1つだけ含む。
ポリシー管理装置710は、当該ルール識別子のルールレシピを参照し、当該ルールの識別子と、当該ルールが用いる小集合のうち、ステップS1415で特定した小集合に該当する小集合について、ルール生成部731へ配付する予定の、配付物に含める。配付物に含まれるルール識別子のルールレシピ間で、同じ小集合が使用されている場合、使用しているレシピの数だけ配付物に含むのではなく、当該小集合は、配付物に1つだけ含む。
(14)ステップS1427
ポリシー管理装置710は、ステップS1417で特定したルール識別子のうち、まだステップS1419で取得していないものが有れば、ステップS1419へ、無ければステップS1429へ進む。
ポリシー管理装置710は、ステップS1417で特定したルール識別子のうち、まだステップS1419で取得していないものが有れば、ステップS1419へ、無ければステップS1429へ進む。
(15)ステップS1429
ポリシー管理装置710は、配付物を参照し、配付物が、更新対象となるルール識別子を含む場合は、ステップS1431へ、含まない場合は、何もせず終了する。ここで、更新対象となるルール識別子として、ルールレシピの持つルール識別子は本ステップにおける判定の対象外とし、ルールレシピ以外に、ステップS1425で追加したルール識別子の有無を判定する。ルール識別子の有無で判定する代わりに、ルール更新フラグなどで管理してもよい。
ポリシー管理装置710は、配付物を参照し、配付物が、更新対象となるルール識別子を含む場合は、ステップS1431へ、含まない場合は、何もせず終了する。ここで、更新対象となるルール識別子として、ルールレシピの持つルール識別子は本ステップにおける判定の対象外とし、ルールレシピ以外に、ステップS1425で追加したルール識別子の有無を判定する。ルール識別子の有無で判定する代わりに、ルール更新フラグなどで管理してもよい。
(15)ステップS1431
ポリシー管理装置710は、ルール生成部731に対し、配付物が空でない限り、配付
ポリシー管理装置710は、ルール生成部731に対し、配付物が空でない限り、配付
物を受け渡す。
なお、図14Aにおける、ステップS1401、S1407、S1411とは、変化判定部を構成し、小集合生成部713やルールレシピ生成部714は、判定結果に応じて再度、ユーザ小集合、権限小集合あるいはルールレシピを生成する。
なお、図14Aにおける、ステップS1401、S1407、S1411とは、変化判定部を構成し、小集合生成部713やルールレシピ生成部714は、判定結果に応じて再度、ユーザ小集合、権限小集合あるいはルールレシピを生成する。
(小集合およびルールレシピ生成処理)
図14Bは、本実施形態に係る小集合およびルールレシピ生成処理(S1403)の手順を示すフローチャートである。
図14Bは、本実施形態に係る小集合およびルールレシピ生成処理(S1403)の手順を示すフローチャートである。
(1)ステップS1441
ポリシー管理装置710は、ユーザ情報格納部721からユーザ集合を取得する。
ポリシー管理装置710は、ユーザ情報格納部721からユーザ集合を取得する。
(2)ステップS1443
ポリシー管理装置710は、複数のユーザ集合があれば、それらの要素を比較する。
ポリシー管理装置710は、複数のユーザ集合があれば、それらの要素を比較する。
(3)ステップS1445
ポリシー管理装置710は、複数のユーザ集合においてユーザが重複しているか否かを判定する。重複していれば、ステップS1447に進み、重複してなければ、ステップS1451に進む。
ポリシー管理装置710は、複数のユーザ集合においてユーザが重複しているか否かを判定する。重複していれば、ステップS1447に進み、重複してなければ、ステップS1451に進む。
(4)ステップS1447
ポリシー管理装置710は、重複するユーザのみを含むユーザ小集合を生成する。
ポリシー管理装置710は、重複するユーザのみを含むユーザ小集合を生成する。
(5)ステップS1449
ポリシー管理装置710は、重複するユーザを除いたユーザ集合を、ユーザ小集合として生成する。
ポリシー管理装置710は、重複するユーザを除いたユーザ集合を、ユーザ小集合として生成する。
(6)ステップS1451
ポリシー管理装置710は、ユーザ小集合の生成が終了したかを、複数のユーザ小集合に重複するユーザがあるか否かにより判定する。まだ、ユーザ小集合に重複するユーザがあれば、ステップS1443に戻って、ユーザ小集合の生成を繰り返す。ユーザ小集合に重複するユーザが無くなれば、ステップS1453に進んで権限小集合の生成を行なう。
ポリシー管理装置710は、ユーザ小集合の生成が終了したかを、複数のユーザ小集合に重複するユーザがあるか否かにより判定する。まだ、ユーザ小集合に重複するユーザがあれば、ステップS1443に戻って、ユーザ小集合の生成を繰り返す。ユーザ小集合に重複するユーザが無くなれば、ステップS1453に進んで権限小集合の生成を行なう。
(7)ステップS1453
ポリシー管理装置710は、ポリシー情報格納部711から権限集合を取得する。
ポリシー管理装置710は、ポリシー情報格納部711から権限集合を取得する。
(8)ステップS1455
ポリシー管理装置710は、複数の権限集合があれば、それらの要素を比較する。
ポリシー管理装置710は、複数の権限集合があれば、それらの要素を比較する。
(9)ステップS1457
ポリシー管理装置710は、複数の権限集合において権限が重複しているか否かを判定する。重複していれば、ステップS1459に進み、重複してなければ、ステップS1463に進む。
ポリシー管理装置710は、複数の権限集合において権限が重複しているか否かを判定する。重複していれば、ステップS1459に進み、重複してなければ、ステップS1463に進む。
(10)ステップS1459
ポリシー管理装置710は、重複する権限のみを含む権限小集合を生成する。
ポリシー管理装置710は、重複する権限のみを含む権限小集合を生成する。
(11)ステップS1461
ポリシー管理装置710は、重複する権限を除いた権限集合を、権限小集合として生成する。
ポリシー管理装置710は、重複する権限を除いた権限集合を、権限小集合として生成する。
(12)ステップS1463
ポリシー管理装置710は、権限小集合の生成が終了したかを、複数の権限小集合に重複する権限があるか否かにより判定する。まだ、権限小集合に重複する権限があれば、ステップS1455に戻って、権限小集合の生成を繰り返す。権限小集合に重複する権限が無くなれば、ステップS1465に進んでルールレシピの生成を行なう。
ポリシー管理装置710は、権限小集合の生成が終了したかを、複数の権限小集合に重複する権限があるか否かにより判定する。まだ、権限小集合に重複する権限があれば、ステップS1455に戻って、権限小集合の生成を繰り返す。権限小集合に重複する権限が無くなれば、ステップS1465に進んでルールレシピの生成を行なう。
(13)ステップS1465
ポリシー管理装置710は、生成されたユーザ小集合の1つを選択する。
ポリシー管理装置710は、生成されたユーザ小集合の1つを選択する。
(14)ステップS1467
ポリシー管理装置710は、ポリシー情報格納部711からアクセス制御ポリシーを取得する。
ポリシー管理装置710は、ポリシー情報格納部711からアクセス制御ポリシーを取得する。
(15)ステップS1469
ポリシー管理装置710は、ステップS1465で選択したユーザ小集合と権限小集合との関係であるルールレシピの一部を生成する。
ポリシー管理装置710は、ステップS1465で選択したユーザ小集合と権限小集合との関係であるルールレシピの一部を生成する。
(16)ステップS1471
ポリシー管理装置710は、ルールレシピの生成処理をしていないユーザ小集合があるか否かを判定する。未処理のユーザ小集合があれば、ステップS1465に戻ってルールレシピの生成を繰り返す。未処理のユーザ小集合が無ければ、ステップS1473に進む。
ポリシー管理装置710は、ルールレシピの生成処理をしていないユーザ小集合があるか否かを判定する。未処理のユーザ小集合があれば、ステップS1465に戻ってルールレシピの生成を繰り返す。未処理のユーザ小集合が無ければ、ステップS1473に進む。
(17)ステップS1473
ポリシー管理装置710は、生成した、ユーザ小集合、権限小集合およびルールレシピを、ルール情報格納部732に格納すると共に、アクセス権制御部733に渡す。
ポリシー管理装置710は、生成した、ユーザ小集合、権限小集合およびルールレシピを、ルール情報格納部732に格納すると共に、アクセス権制御部733に渡す。
(ルール生成処理)
図15は、本実施形態に係るアクセス制御装置におけるルール生成処理(S1303)の手順を示すフローチャートである。このフローチャートは、アクセス制御装置730における図11のCPU1110がRAM1140を使用して実行し、アクセス制御装置730の各機能構成部を実現する。
図15は、本実施形態に係るアクセス制御装置におけるルール生成処理(S1303)の手順を示すフローチャートである。このフローチャートは、アクセス制御装置730における図11のCPU1110がRAM1140を使用して実行し、アクセス制御装置730の各機能構成部を実現する。
(1)ステップS1501
アクセス制御装置730は、ポリシー解釈部712から、配付物を受け取る。
アクセス制御装置730は、ポリシー解釈部712から、配付物を受け取る。
(2)ステップS1503
アクセス制御装置730は、配付物を参照し、配付物にルールレシピが含まれているか判定する。含まれている場合は、ステップS1505へ、含まれていない場合は、ステップS1507へ進む。
アクセス制御装置730は、配付物を参照し、配付物にルールレシピが含まれているか判定する。含まれている場合は、ステップS1505へ、含まれていない場合は、ステップS1507へ進む。
(3)ステップS1505
アクセス制御装置730は、ルール情報格納部732に対し、当該ルールレシピを保存する。同じルール識別子を持つ、ルールレシピについては上書き保存する。
アクセス制御装置730は、ルール情報格納部732に対し、当該ルールレシピを保存する。同じルール識別子を持つ、ルールレシピについては上書き保存する。
(4)ステップS1507
アクセス制御装置730は、配付物を参照し、配付物に小集合が含まれているか判定する。含まれている場合は、ステップS1509へ、含まれていない場合は、ステップS1511へ進む。
アクセス制御装置730は、配付物を参照し、配付物に小集合が含まれているか判定する。含まれている場合は、ステップS1509へ、含まれていない場合は、ステップS1511へ進む。
(5)ステップS1509
アクセス制御装置730は、ルール情報格納部732に対し、当該小集合を保存する。同じ小集合インデックスを持つ小集合については、上書き保存する。配付物の含む小集合のうち空集合のものについては、ルール情報格納部732から同じ小集合インデックスを持つ小集合を削除する。
アクセス制御装置730は、ルール情報格納部732に対し、当該小集合を保存する。同じ小集合インデックスを持つ小集合については、上書き保存する。配付物の含む小集合のうち空集合のものについては、ルール情報格納部732から同じ小集合インデックスを持つ小集合を削除する。
(6)ステップS1511
アクセス制御装置730は、ルール情報格納部732を参照し、配付物が含む更新対象のルール識別子について、該当する識別子を持つルールレシピを取得し、当該ルールレシピに記載された小集合を取得する。そして、当該小集合のユーザ小集合と権限小集合を、ルールレシピにある通りの組み合わせで処理し、アクセス制御ルールを合成し、ルール情報格納部732に保存する。同じルール識別子のルールレシピから生成されたアクセス制御ルールについては、上書き保存する。ルールレシピから生成されたアクセス制御ルールが無効なルールであるものについては、ルール情報格納部732から同じルール識別子を持つアクセス制御ルールを削除する。
アクセス制御装置730は、ルール情報格納部732を参照し、配付物が含む更新対象のルール識別子について、該当する識別子を持つルールレシピを取得し、当該ルールレシピに記載された小集合を取得する。そして、当該小集合のユーザ小集合と権限小集合を、ルールレシピにある通りの組み合わせで処理し、アクセス制御ルールを合成し、ルール情報格納部732に保存する。同じルール識別子のルールレシピから生成されたアクセス制御ルールについては、上書き保存する。ルールレシピから生成されたアクセス制御ルールが無効なルールであるものについては、ルール情報格納部732から同じルール識別子を持つアクセス制御ルールを削除する。
(7)ステップS1513
アクセス制御装置730は、ルール情報格納部732を参照してアクセス制御ルールを取得し、アクセス権制御部733に対して設定する。
アクセス制御装置730は、ルール情報格納部732を参照してアクセス制御ルールを取得し、アクセス権制御部733に対して設定する。
本実施形態によれば、ユーザ集合および権限集合において、重複するユーザと権限とをユーザ小集合と権限小集合として切り出して、複数のユーザ小集合と権限小集合を生成する。また、アクセス制御ポリシーを小集合間のルールレシピに作り替えることによって、ユーザ小集合と権限小集合とルールレシピとに基づいてアクセス制御ルール(ACL)を生成する。これにより、従来通りのロールを用いたアクセス制御ポリシーを定義するだけで、多量のアクセス制御ルールを生成する際にも、ルールの重複を防止し、ルールの配付量や配付時間を削減することが可能となる。
また、本実施形態は、企業の業務システムやクラウド環境上のテナントなどの、ロールに基づくアクセス制御を行うITシステムに適用できる。そして、従来と同じ、ユーザ管理装置で一元管理されたロール情報を含むユーザ情報と、ポリシー管理装置で一元管理されたロールベースのアクセス制御ポリシーに基づいて、複数のアクセス制御装置に対し、少ない配付容量や配付時間で、内容の重複を省いたアクセス制御ルールを配付する。これにより、ネットワーク帯域消費やメンテナンス時間などのアクセス制御設定作業の本来の業務やサービス等への影響を最小限に抑えた、アクセス制御システムを提供できる。
すなわち、クラウドコンピューティング環境のアクセス制御システムについて、管理装置の管理情報格納部で一元管理されたアクセス制御ポリシーに基づいて、組み合わせて利用される全ての管理対象装置や処理実施部に対し、一括して、分かりやすい粒度で、ポリシー同士の衝突を起すことなく、アクセス制御を実現する技術方式を提供できる。
[第3実施形態]
次に、本発明の第3実施形態に係る情報処理装置としてのアクセス制御ルールを生成するサーバについて説明する。本実施形態に係るアクセス制御ルール生成サーバは、上記第2実施形態と比べると、1つの装置でアクセス制御ルールを生成する点で異なる。その他の構成要素およびその動作は、第2実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。
次に、本発明の第3実施形態に係る情報処理装置としてのアクセス制御ルールを生成するサーバについて説明する。本実施形態に係るアクセス制御ルール生成サーバは、上記第2実施形態と比べると、1つの装置でアクセス制御ルールを生成する点で異なる。その他の構成要素およびその動作は、第2実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。
《アクセス制御ルール生成サーバ》
図27は、本実施形態に係る情報処理装置としてアクセス制御ルール生成サーバ2700の機能構成を示すブロック図である。なお、図27の構成要素において図7Aと同様の機能を果たす要素には同じ参照番号を付して、説明を省略する。
図27は、本実施形態に係る情報処理装置としてアクセス制御ルール生成サーバ2700の機能構成を示すブロック図である。なお、図27の構成要素において図7Aと同様の機能を果たす要素には同じ参照番号を付して、説明を省略する。
ポリシー情報取得部2711およびユーザ情報取得部2721はアクセス制御情報取得部を構成し、外部装置から有線あるいは無線でポリシー情報およびユーザ情報を取得する(受信する)。また、アクセス制御ルール配布部2733は、ルール生成部731が生成したアクセス制御ルールを、アクセス制御を行なうべき外部装置に配布する(送信する)。
なお、ルール情報格納部732は、第2実施形態のように、受信したユーザ小集合や権限小集合、あるいはルールレシピを格納することは必須ではない。
本実施形態によれば、大がかりなシステム構成無しに、独立したアクセス制御ルール生成サーバによって、従来通りのロールを用いたアクセス制御ポリシーを定義するだけで、多量のアクセス制御ルールを生成する際にも、ルールの重複を防止し、ルールの配付量や配付時間を削減することができる。
[他の実施形態]
本実施形態においては、複数の装置からなるシステムと、1つの装置とによるアクセス制御ルールの生成を示したが、システムをどのような数の装置から構成するか、あるいは、各機能構成部をシステム内にどのように配置するかは、本実施形態の構成に限定されるものではない。ルールの配付量や配付時間などを考慮して、最適な配置が選択される。
本実施形態においては、複数の装置からなるシステムと、1つの装置とによるアクセス制御ルールの生成を示したが、システムをどのような数の装置から構成するか、あるいは、各機能構成部をシステム内にどのように配置するかは、本実施形態の構成に限定されるものではない。ルールの配付量や配付時間などを考慮して、最適な配置が選択される。
また、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得る様々な変更をすることができる。また、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステムまたは装置も、本発明の範疇に含まれる。
また、本発明は、複数の機器から構成されるシステムに適用されてもよいし、単体の装置に適用されてもよい。さらに、本発明は、実施形態の機能を実現する情報処理プログラムが、システムあるいは装置に直接あるいは遠隔から供給される場合にも適用可能である。したがって、本発明の機能をコンピュータで実現するために、コンピュータにインストールされるプログラム、あるいはそのプログラムを格納した媒体、そのプログラムをダウンロードさせるWWW(World Wide Web)サーバも、本発明の範疇に含まれる。特に、少なくとも、上述した実施形態に含まれる処理ステップをコンピュータに実行させるプログラムを格納した非一時的コンピュータ可読媒体(non-transitory computer readable medium)は本発明の範疇に含まれる。
[実施形態の他の表現]
上記の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を格納するアクセス制御情報格納手段と、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成手段と、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成手段と、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成手段と、
前記アクセス制御ルールに基づいて、それぞれの前記アクセス権を制御する複数のアクセス権制御手段と、
を備えるアクセス制御システム。
(付記2)
前記小集合生成手段は、ユーザ要素を含まない前記ユーザ小集合および権限要素を含まない前記権限小集合を空集合とし、前記アクセス制御ルール生成手段は前記空集合に対応するアクセス制御ルールを無効なルールとする付記1に記載のアクセス制御システム。
(付記3)
前記ロールが階層関係を有し、第1ロールが第2ロールを包含する場合に、
前記第1ロールのみに所属するユーザ小集合は空集合となり、
前記第2ロールのみへの権限小集合は空集合となる、付記1または2に記載のアクセス制御システム。
(付記4)
第2ロールが第1ロールを継承する場合に、
前記第2ロールのみに所属するユーザ小集合は空集合となり、
前記第1ロールのみへの権限小集合は空集合となる、付記1または2に記載のアクセス制御システム。
(付記5)
前記ロールと、前記権限と、前記アクセス制御ポリシーとの少なくともいずれかの変化があるか否か判定する変化判定手段をさらに備え、
前記小集合生成手段および前記ルールレシピ生成手段の少なくともいずれかが、前記変化判定手段による変化の判定結果に応じて、前記ユーザ小集合、前記権限小集合および前記ルールレシピの少なくともいずれかを再度、生成する付記1乃至4のいずれか1項に記載のアクセス制御システム。
(付記6)
前記変化判定手段が前記ロールの変化があると判定した場合には、前記小集合生成手段および前記ルールレシピ生成手段が前記ユーザ小集合、前記権限小集合および前記ルールレシピを、再度、生成する付記5に記載のアクセス制御システム。
(付記7)
前記変化判定手段が前記ユーザと前記ロールとの関係の変化があると判定した場合には、前記小集合生成手段が前記ユーザ小集合を、再度、生成する付記5に記載のアクセス制御システム。
(付記8)
前記変化判定手段が前記ロールと前記権限との関係の変化があると判定した場合には、前記小集合生成手段が前記権限小集合を、再度、生成する付記5に記載のアクセス制御システム。
(付記9)
同じ権限集合が付与されるユーザ集合をそれぞれ示す複数のロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、ロールに付与されるための複数の権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
を含むアクセス制御ルール生成方法。
(付記10)
同じ権限集合が付与されるユーザ集合をそれぞれ示す複数のロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、ロールに付与されるための複数の権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
をコンピュータに実行させるアクセス制御ルール生成プログラム。
(付記11)
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得手段と、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成手段と、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成手段と、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成手段と、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布手段と、
を備える情報処理装置。
(付記12)
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得ステップと、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布ステップと、
を含む情報処理装置の制御方法。
(付記13)
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得ステップと、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布ステップと、
をコンピュータに実行させる情報処理装置の制御プログラム。
上記の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を格納するアクセス制御情報格納手段と、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成手段と、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成手段と、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成手段と、
前記アクセス制御ルールに基づいて、それぞれの前記アクセス権を制御する複数のアクセス権制御手段と、
を備えるアクセス制御システム。
(付記2)
前記小集合生成手段は、ユーザ要素を含まない前記ユーザ小集合および権限要素を含まない前記権限小集合を空集合とし、前記アクセス制御ルール生成手段は前記空集合に対応するアクセス制御ルールを無効なルールとする付記1に記載のアクセス制御システム。
(付記3)
前記ロールが階層関係を有し、第1ロールが第2ロールを包含する場合に、
前記第1ロールのみに所属するユーザ小集合は空集合となり、
前記第2ロールのみへの権限小集合は空集合となる、付記1または2に記載のアクセス制御システム。
(付記4)
第2ロールが第1ロールを継承する場合に、
前記第2ロールのみに所属するユーザ小集合は空集合となり、
前記第1ロールのみへの権限小集合は空集合となる、付記1または2に記載のアクセス制御システム。
(付記5)
前記ロールと、前記権限と、前記アクセス制御ポリシーとの少なくともいずれかの変化があるか否か判定する変化判定手段をさらに備え、
前記小集合生成手段および前記ルールレシピ生成手段の少なくともいずれかが、前記変化判定手段による変化の判定結果に応じて、前記ユーザ小集合、前記権限小集合および前記ルールレシピの少なくともいずれかを再度、生成する付記1乃至4のいずれか1項に記載のアクセス制御システム。
(付記6)
前記変化判定手段が前記ロールの変化があると判定した場合には、前記小集合生成手段および前記ルールレシピ生成手段が前記ユーザ小集合、前記権限小集合および前記ルールレシピを、再度、生成する付記5に記載のアクセス制御システム。
(付記7)
前記変化判定手段が前記ユーザと前記ロールとの関係の変化があると判定した場合には、前記小集合生成手段が前記ユーザ小集合を、再度、生成する付記5に記載のアクセス制御システム。
(付記8)
前記変化判定手段が前記ロールと前記権限との関係の変化があると判定した場合には、前記小集合生成手段が前記権限小集合を、再度、生成する付記5に記載のアクセス制御システム。
(付記9)
同じ権限集合が付与されるユーザ集合をそれぞれ示す複数のロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、ロールに付与されるための複数の権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
を含むアクセス制御ルール生成方法。
(付記10)
同じ権限集合が付与されるユーザ集合をそれぞれ示す複数のロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、ロールに付与されるための複数の権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
をコンピュータに実行させるアクセス制御ルール生成プログラム。
(付記11)
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得手段と、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成手段と、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成手段と、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成手段と、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布手段と、
を備える情報処理装置。
(付記12)
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得ステップと、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布ステップと、
を含む情報処理装置の制御方法。
(付記13)
ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得ステップと、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布ステップと、
をコンピュータに実行させる情報処理装置の制御プログラム。
Claims (10)
- ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を格納するアクセス制御情報格納手段と、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成手段と、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成手段と、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成手段と、
前記アクセス制御ルールに基づいて、それぞれの前記アクセス権を制御する複数のアクセス権制御手段と、
を備えるアクセス制御システム。 - 前記小集合生成手段は、ユーザ要素を含まない前記ユーザ小集合および権限要素を含まない前記権限小集合を空集合とし、前記アクセス制御ルール生成手段は前記空集合に対応するアクセス制御ルールを無効なルールとする請求項1に記載のアクセス制御システム。
- 前記ロールが階層関係を有し、第1ロールが第2ロールを包含する場合に、
前記第1ロールのみに所属するユーザ小集合は空集合となり、
前記第2ロールのみへの権限小集合は空集合となる、請求項1または2に記載のアクセス制御システム。 - 第2ロールが第1ロールを継承する場合に、
前記第2ロールのみに所属するユーザ小集合は空集合となり、
前記第1ロールのみへの権限小集合は空集合となる、請求項1または2に記載のアクセス制御システム。 - 前記ロールと、前記権限と、前記アクセス制御ポリシーとの少なくともいずれかの変化があるか否か判定する変化判定手段をさらに備え、
前記小集合生成手段および前記ルールレシピ生成手段の少なくともいずれかが、前記変化判定手段による変化の判定結果に応じて、前記ユーザ小集合、前記権限小集合および前記ルールレシピの少なくともいずれかを再度、生成する請求項1乃至4のいずれか1項に記載のアクセス制御システム。 - 同じ権限集合が付与されるユーザ集合をそれぞれ示す複数のロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、ロールに付与されるための複数の権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
を含むアクセス制御ルール生成方法。 - 同じ権限集合が付与されるユーザ集合をそれぞれ示す複数のロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、ロールに付与されるための複数の権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
をコンピュータに実行させるアクセス制御ルール生成プログラム。 - ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得手段と、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成手段と、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成手段と、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成手段と、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布手段と、
を備える情報処理装置。 - ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得ステップと、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布ステップと、
を含む情報処理装置の制御方法。 - ユーザが所属することで同じ権限集合が付与されるロールと、ロールに付与されるための権限集合と、前記ロールと前記権限集合との組み合わせを表わすアクセス制御ポリシーと、を取得するアクセス制御情報取得ステップと、
複数の前記ロールに重複して所属するユーザを新たなユーザ小集合として切り分けることによって、ユーザが重複して所属しない複数のユーザ小集合を生成し、複数の前記権限集合に重複して含まれる権限を新たな権限小集合として切り分けることによって、権限が重複して含まれない複数の権限小集合を生成する小集合生成ステップと、
前記アクセス制御ポリシーから、前記ユーザ小集合と前記権限小集合との組み合わせを表わすルールレシピを生成するルールレシピ生成ステップと、
前記ユーザ小集合および前記権限小集合と、前記ルールレシピとに基づいて、各ユーザと各権限との関係で表わされるアクセス権を示すアクセス制御ルールを生成するアクセス制御ルール生成ステップと、
前記アクセス制御ルールをアクセス権を制御すべき装置に配布するアクセス制御ルール配布ステップと、
をコンピュータに実行させる情報処理装置の制御プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013264694A JP2015121906A (ja) | 2013-12-20 | 2013-12-20 | アクセス制御システム、アクセス制御ルール生成方法、アクセス制御ルール生成プログラム、情報処理装置およびその制御方法と制御プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013264694A JP2015121906A (ja) | 2013-12-20 | 2013-12-20 | アクセス制御システム、アクセス制御ルール生成方法、アクセス制御ルール生成プログラム、情報処理装置およびその制御方法と制御プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015121906A true JP2015121906A (ja) | 2015-07-02 |
Family
ID=53533473
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013264694A Pending JP2015121906A (ja) | 2013-12-20 | 2013-12-20 | アクセス制御システム、アクセス制御ルール生成方法、アクセス制御ルール生成プログラム、情報処理装置およびその制御方法と制御プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015121906A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019056999A (ja) * | 2017-09-20 | 2019-04-11 | ファナック株式会社 | アプリケーションセキュリティ管理システム及びエッジサーバ |
KR101979915B1 (ko) * | 2018-08-29 | 2019-05-21 | 주식회사 피앤피시큐어 | 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템 |
CN110659465A (zh) * | 2019-09-25 | 2020-01-07 | 四川长虹电器股份有限公司 | 一种基于rbac的个性化权限管理方法 |
CN114257397A (zh) * | 2021-11-05 | 2022-03-29 | 奇安信科技集团股份有限公司 | 基于复杂网络的策略冲突处理方法及装置 |
-
2013
- 2013-12-20 JP JP2013264694A patent/JP2015121906A/ja active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019056999A (ja) * | 2017-09-20 | 2019-04-11 | ファナック株式会社 | アプリケーションセキュリティ管理システム及びエッジサーバ |
US10805335B2 (en) | 2017-09-20 | 2020-10-13 | Fanuc Corporation | Application security management system and edge server |
KR101979915B1 (ko) * | 2018-08-29 | 2019-05-21 | 주식회사 피앤피시큐어 | 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템 |
CN110659465A (zh) * | 2019-09-25 | 2020-01-07 | 四川长虹电器股份有限公司 | 一种基于rbac的个性化权限管理方法 |
CN114257397A (zh) * | 2021-11-05 | 2022-03-29 | 奇安信科技集团股份有限公司 | 基于复杂网络的策略冲突处理方法及装置 |
CN114257397B (zh) * | 2021-11-05 | 2024-04-26 | 奇安信科技集团股份有限公司 | 基于复杂网络的策略冲突处理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9928111B2 (en) | System and method for configuration tagging in a multitenant application server environment | |
KR102375129B1 (ko) | 멀티테넌트 어플리케이션 서버 환경에서 작업 관리자를 제공하는 시스템 및 방법 | |
US20080005115A1 (en) | Methods and apparatus for scoped role-based access control | |
DE112011103522T5 (de) | Erstellung eines Multidimensionalen Modells von Software-Angeboten | |
US11381603B2 (en) | User-based visibility and control of a segmentation policy | |
CN103763369B (zh) | 一种基于san存储系统的多重权限分配方法 | |
JP2015121906A (ja) | アクセス制御システム、アクセス制御ルール生成方法、アクセス制御ルール生成プログラム、情報処理装置およびその制御方法と制御プログラム | |
CN112100658A (zh) | 医疗系统及其权限管理方法 | |
Moghaddam et al. | Policy Management Engine (PME): A policy-based schema to classify and manage sensitive data in cloud storages | |
Moghaddam et al. | Federated policy management engine for reliable cloud computing | |
CN114650170B (zh) | 跨集群资源管理方法、装置、设备和存储介质 | |
CN114090969B (zh) | 多级多租户交叉授权管理方法 | |
CN115022020B (zh) | 一种基于多维集合计算的访问控制方法及系统 | |
JP4865507B2 (ja) | 管理権限設定システム | |
CN109145545A (zh) | 一种用户操作的处理方法及装置 | |
DE102021130811A1 (de) | Blockchain-selektive world-state-datenbank | |
CN114331185A (zh) | 基于科目表的科目处理方法、装置及其设备 | |
Zou et al. | Multi-tenancy access control strategy for cloud services | |
DE112021004613T5 (de) | Redigierbare blockchain | |
DE112021001559T5 (de) | Regelverteilung auf instanzen einer regelmaschine | |
JP2013186502A (ja) | 情報処理装置及びクライアント管理方法 | |
DE112021001425T5 (de) | Sichere datenreplikation in verteilten datenspeicherumgebungen | |
Madani et al. | Access control in a collaborative session in multi tenant environment | |
Costa et al. | Attribute based access control in federated clouds: A case study in bionformatics | |
CN108683581A (zh) | 邮件触发方法及装置、电子设备和计算机可读存储介质 |