JP2018147464A - 衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置 - Google Patents

衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置 Download PDF

Info

Publication number
JP2018147464A
JP2018147464A JP2017238389A JP2017238389A JP2018147464A JP 2018147464 A JP2018147464 A JP 2018147464A JP 2017238389 A JP2017238389 A JP 2017238389A JP 2017238389 A JP2017238389 A JP 2017238389A JP 2018147464 A JP2018147464 A JP 2018147464A
Authority
JP
Japan
Prior art keywords
access control
location
rule
access
control rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017238389A
Other languages
English (en)
Inventor
ディーン ドォンホォイ
dong hui Ding
ディーン ドォンホォイ
ワン ウェイ
Wei Wang
ウェイ ワン
スゥン イ
Sun Lee
スゥン イ
ヤーン リンジュ
Linju Yang
ヤーン リンジュ
ウェイ ワン
ワン ウェイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Publication of JP2018147464A publication Critical patent/JP2018147464A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】本発明はアクセス制御規則の衝突検知方法と衝突検知装置及びアクセス制御方法とアクセス制御装置を提供する。【解決手段】衝突検知方法は、アクセス制御のコントロールターゲットを複数の位置ロケーションに分割し、コントロールターゲット内の複数のユーザを複数のロールに分け、複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築し、ロケーション階層関係及びロール階層関係に基づき、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定し、ロケーション階層関係及びロール階層関係に基づき、アクセス制御規則集合のロケーションツリー索引を構築し、効果伝達規則と衝突種類に基づき、ロケーションツリー索引を検索し、アクセス制御規則集合内のアクセス制御規則の衝突を検知する。【選択図】図2

Description

本発明は、ネットワークセキュリティにおけるアクセス制御分野に係り、より具体的には、位置ロケーションとロールに基づくアクセス制御規則の衝突検知方法と衝突検知装置、及び位置ロケーションとロールに基づくアクセス制御方法とアクセス制御装置に係る。
モバイル通信技術の発展につれ、ユーザは任意のロケーションからネットワークリソースにアクセスできる。そのため、ユーザが所在するロケーション情報がアクセス制御モデルの重要な構成部分になる。例えば、銀行窓口係はオフィスエリアでのみ顧客取引記録にアクセスできるが、銀行の廊下或いは応接室などの権限無い人の多いロケーションでは、必要のない財産損失を避けるように、このような敏感な情報がアクセスされるべきではない。これと同様に、日常作業を完成するため、会社の職員はオフィスエリアでゲートウェイにアクセスできるが、会議期間中に気を散らすことを防止するため、通常オフィスエリア内にあるにも係らず、会議室において、職員のゲートウェイへのアクセスを禁止すべきである。また、実際の応用において、ユーザは異なるロール(role)に区分される。例えば、オフィス環境では、来客、エンジニア、マネージャーなどのように、ユーザは職務によって各種のロールに授けられる。この場合はロールベースアクセス制御(RBAC)モデルで描写することができる。さらに、伝統的なRBACモデルを拡大できて、ロケーションに基づくサポートを提供する。
通常の場合、1つのアクセス制御システムには2個のモジュールがある。そのうちの1個のモジュールはユーザの情報及びあらかじめ保存されたアクセス制御規則に基づき決定を決め、もう1個のモジュールはアクセス制御決定を実行することに使われる。ソフトウェア・デファインド・ネットワーキング(SDN)は特にこの類のアーキテクチャーに適合する。具体的には、SDN内のコントロールプレーン(Control Plane)はアクセス制御情報を保存して決定を作成することができるが、SDN内のフォワーディングプレーン(Forwarding Plane)は決定情報に基づきデータパケットを転送する。グローバルサーバーとして、SDNのコントロールプレーンは制御されるロケーション内のすべてのリソースに対するアクセス制御規則を有すべきである。しかし、ロケーションに基づくアクセス制御では、1つの大きなエリアは通常多くのサブエリアに区分される。異なるサブロケーション内のアクセス制御規則は通常において別々で制定されたので、異なるサブロケーションからのアクセス制御規則がSDNのコントロールプレーン内のグローバルアクセス制御リストに集約された場合、ロール及び/又はロケーションの階層関係は規則衝突(rule conflict)を引き起こす場合がある。
このため、位置ロケーションとロールに基づくアクセス制御規則の衝突検知方法、及び位置ロケーションとロールに基づくアクセス制御方法とアクセス制御装置の提供が望まれ、それは例えばSDNアーキテクチャーのような集中式の制御メカニズムにおいて、グローバルアクセス制御リスト内のアクセス制御規則の衝突を有効に検出し、かつアクセス制御規則衝突が解決されたグローバルアクセス制御リストを用いて、位置ロケーションとロールに基づくアクセス制御を実行する。
本発明は、位置ロケーションとロールに基づくアクセス制御規則の衝突検知方法、及び位置ロケーションとロールに基づくアクセス制御方法とアクセス制御装置を提供する。
本発明の1つの実施例に基づき、位置ロケーションとロールに基づくアクセス制御規則の衝突検知方法を提供し、それは、アクセス制御のコントロールターゲットを複数の位置ロケーションに分割し、前記コントロールターゲット内の複数のユーザを複数のロールに分けることで、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築することと、前記ロケーション階層関係及び前記ロール階層関係に基づき、前記アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定することと、前記ロケーション階層関係及び前記ロール階層関係に基づき、前記アクセス制御規則集合のロケーションツリー索引を構築することと、前記効果伝達規則と前記衝突種類に基づき、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知することと、を含む。
または、本発明の1つの実施例の衝突検知方法に基づき、前記ロケーション階層関係は複数の位置ロケーションの集合に定義された半順序関係であり、かつ関係マトリクスによって前記ロケーション階層関係における各半順序関係を表し、前記ロール階層関係は複数のロールの集合に定義された半順序関係であり、かつ強化ハッセ図によって前記ロール階層関係における各半順序関係を示す。
または、本発明の1つの実施例の衝突検知方法に基づき、前記効果伝達規則は、前記複数の位置ロケーション内の第一位置ロケーションと第二位置ロケーションのロケーション伝達規則に関して、前記第一位置ロケーションが前記第二位置ロケーションの低階層にある場合、同じロールにとっては、その前記第一位置ロケーションにおける許可規則が前記第二位置ロケーションに伝達し、かつ、その前記第二位置ロケーションにおける禁止規則が前記第一位置ロケーションに伝達し、及び、前記複数のロール内の第一ロールと第二ロールのロール伝達規則に関して、前記第一ロールが前記第二ロールの低階層にある場合、同じ位置ロケーションにとっては、前記第一ロールの許可規則が前記第二ロールに伝達し、かつ、前記第二ロールの禁止規則が前記第一ロールに伝達する。
または、本発明の1つの実施例の衝突検知方法に基づき、前記アクセス制御規則の衝突種類は、前記ロケーション伝達規則に違反する第一衝突種類と、前記ロール伝達規則に違反する第二衝突種類と、前記ロケーション伝達規則と前記ロール伝達規則とに同時に違反する第三衝突種類と、を含む。
または、本発明の1つの実施例の衝突検知方法に基づき、前記ロケーションツリーの各ノードがそれぞれ前記複数の位置ロケーションにおける各位置ロケーションに対応し、前記ロケーションツリーの二つのノードの間の有向辺が前記二つのノードにそれぞれ対応する二つの位置ロケーションの間の半順序関係に対応し、前記ロケーション階層関係及び前記ロール階層関係に基づいて前記アクセス制御規則集合のロケーションツリー索引を構築するステップは、前記ロケーションツリーの各ノードに前記各ノードのアクセス制御規則リストを指向ポインターを追加することと、前記アクセス制御規則リスト内で異なる格納ユニットにアクセス許可制御規則とアクセス禁止制御規則とを保存することと、前記アクセス制御規則リスト内でロールによってアクセス制御規則を組分けして保存することと、を含む。
または、本発明の1つの実施例の衝突検知方法に基づき、前記効果伝達規則と前記衝突種類に基づいて前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知するステップは、前記ロケーションツリー索引の各ノードに対して、そのアクセス制御規則リスト内の各アクセス禁止制御規則と、前記アクセス制御規則リスト内の各アクセス許可制御規則とを比較し、前記第一衝突種類に属するアクセス制御規則を検知し、かつ前記各ノードの各先祖ノードを遍歴し、前記各先祖ノードの各アクセス制御規則リスト内の各アクセス禁止制御規則を獲得かつ比較し、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知する。前記ロケーションツリー索引の各ノードに対して、そのアクセス制御規則リスト内の各アクセス禁止制御規則と、前記アクセス制御規則リスト内の各アクセス許可制御規則とを比較し、前記第一衝突種類に属するアクセス制御規則を検知し、かつ前記各ノードの各子孫ノードを遍歴し、前記各子孫ノードの各アクセス制御規則リスト内の各アクセス許可制御規則を獲得かつ比較し、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知する。
または、本発明の1つの実施例の衝突検知方法に基づき、前記効果伝達規則と前記衝突種類に基づいて前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知するステップは、前記ロケーションツリー索引の各ノードに対して、そのアクセス制御規則リスト内の検知待ちアクセス制御規則に対応するロールを獲得することと、前記強化ハッセ図内の前記ロールに対応するノードを確定することと、前記検知待ちアクセス制御規則がアクセス許可制御規則である場合、前記強化ハッセ図内の前記ロールに対応するノードの各子孫ノードを遍歴し、前記各子孫ノードの各アクセス制御規則リスト内の前記ロールに対応する各アクセス禁止制御規則を獲得かつ比較し、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知することと、前記検知待ちアクセス制御規則がアクセス禁止制御規則である場合、前記強化ハッセ図内の前記ロールに対応するノードの各先祖ノードを遍歴し、前記各先祖ノードの各アクセス制御規則リスト内の前記ロールに対応する各アクセス許可制御規則を獲得かつ比較し、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知することと、を含む。
または、本発明の1つの実施例の衝突検知方法に基づき、位置ロケーションとロールに基づくアクセス制御規則の衝突検知装置が提供され、それは、アクセス制御のコントロールターゲットを複数の位置ロケーションに分割し、前記コントロールターゲット内の複数のユーザを複数のロールに分けることで、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築する階層関係構築ユニットと、前記ロケーション階層関係及び前記ロール階層関係に基づき、前記アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定する伝達規則確定ユニットと、前記ロケーション階層関係及び前記ロール階層関係に基づき、前記アクセス制御規則集合のロケーションツリー索引を構築するロケーションツリー索引構築ユニットと、前記効果伝達規則と前記衝突種類に基づき、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知する検知ユニットと、を含む。
または、本発明の1つの実施例に基づき、位置ロケーションとロールに基づくアクセス制御規則の衝突検知方法が提供され、それは、コントロールターゲットに対するアクセス要求を受けるステップと、前記アクセス要求を送信したユーザのロール及び所在位置ロケーションを確定するステップと、前記ロール、前記位置ロケーション及び前記アクセス要求に基づき、アクセス制御規則集合を検索し、前記アクセス要求にマッチするアクセス制御規則を確定するステップと、前記アクセス制御規則を転送規則に変換するステップと、前記転送規則によって前記アクセス要求に応じさせるステップと、を含み、前記コントロールターゲットを複数の位置ロケーションに分割し、前記コントロールターゲット内の複数のユーザを複数のロールに分けることで、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築することと、前記ロケーション階層関係及び前記ロール階層関係に基づき、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定することと、前記ロケーション階層関係及び前記ロール階層関係に基づき、前記アクセス制御規則集合のロケーションツリー索引を構築することと、前記効果伝達規則と前記衝突種類に基づき、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知することと、を含む。
または、本発明の1つの実施例に基づき、位置ロケーションとロールに基づくアクセス制御装置が提供され、それは、コントロールターゲットに対するアクセス要求を受け取る転送デバイスと、前記アクセス要求に対してアクセス制御を行うコントロールデバイスと、を含み、前記コントロールデバイスはロール確定ユニットを含んで、前記アクセス要求を送信したユーザのロールを確定し、位置決めユニットは前記アクセス要求を送信したユーザの所在位置ロケーションを確定し、アクセス制御モジュールは前記ロール、前記位置ロケーション及び前記アクセス要求に基づき、アクセス制御規則集合を検索し、前記アクセス要求にマッチするアクセス制御規則を確定し、かつ、前記アクセス制御規則を転送規則に変換して前記転送デバイスに提供し、前記転送デバイスを当該転送規則に基づいて前記アクセス要求に応じさせる。前記コントロールターゲットを複数の位置ロケーションに分割し、前記コントロールターゲット内の複数のユーザを複数のロールに分けることで、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築することと、前記ロケーション階層関係及び前記ロール階層関係に基づき、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定することと、前記ロケーション階層関係及び前記ロール階層関係に基づき、前記アクセス制御規則集合のロケーションツリー索引を構築することと、前記効果伝達規則と前記衝突種類に基づき、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知することと、を含む。
または、本発明の1つの実施例に基づき、位置ロケーションとロールに基づくアクセス制御規則の衝突検知とアクセス制御装置が提供され、それは、プロセッサーと、コンピュータプログラムコマンドを格納するメモリと、を含み、前記コンピュータプログラムコマンドが前記プロセッサーにより実行される時に、前記請衝突検知方法及びアクセス制御方法を実行する。
本発明の実施例の位置ロケーションとロールに基づくアクセス制御規則の衝突検知方法及び位置ロケーションとロールに基づくアクセス制御方法とアクセス制御装置を述べ、ロケーション階層関係及びロール階層関係によってアクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定し、かつアクセス制御規則集合のロケーションツリー索引を構築することでアクセス制御規則を効率的に保存と検索することで、グローバルアクセス制御リスト内のアクセス制御規則の衝突を効率的に検知することを実現、かつさらにアクセス制御規則の衝突を解決後のグローバルアクセス制御リストを利用して位置ロケーションとロールに基づくアクセス制御を実行する。
理解すべきなのは、前記の一般的な記述と以後の詳細な記述とはともに例示的なもので、かつ保護を要求する技術をさらに説明する意図である。
図示とあわせて本発明の実施例をより詳しく説明することによって、本発明の上記公開及び目的、特徴、そして優位性がより明白になる。図面は本発明より公開された実施例をさらに理解するために用いられ、かつ明細書の一部になり、本発明の実施例とともに本発明を解釈して、本発明を制限するものではない。図面では、同じ番号は通常同じ部材またはステップを表す。
本発明の実施例に基づくアクセス制御シナリオの図示である。 本発明の実施例に基づくアクセス制御規則の衝突検知方法のフローチャートである。 本発明の実施例に基づくアクセス制御規則集合のロケーションツリーの図示である。 本発明の実施例に基づくロール階層関係の強化ハッセ図の図示である。 本発明の実施例に基づくアクセス制御規則の衝突検知方法におけるロケーションツリー索引の構築処理のフローチャートである。 本発明の実施例に基づくロケーションツリー索引の図示である。 本発明の実施例に基づくロケーションツリー索引ベースの衝突検知処理のフローチャートである。 本発明の実施例によるロケーションツリー索引及び強化ハッセ図に基づく衝突検知処理のフローチャートである。 本発明の実施例に基づくアクセス制御規則の衝突検知装置の機能ブロック図である。 本発明の実施例に基づくアクセス制御方法のフローチャートである。 本発明の実施例に基づくアクセス制御装置の図示である。 本発明の実施例に基づく衝突検知とアクセス制御装置の構成ブロック図である。
本発明の目的、技術案及びメリットをより明確にするために、以下、図面を参照して本発明に基づく例示的な実施例を詳細に説明する。言うまでもなく、説明される実施例は本発明の一部の実施例にすぎなく、本発明の全部の実施例ではない。本発明はここで説明される例示的な実施例に限定されないことを理解すべきである。本発明で説明する実施例に基づき、当業者は高度な技術をしない場合に得られたすべてのほかの実施例は本発明の保護範囲に入るべきである。
以下、図面を参照して本発明の実施例を詳細に説明する。
図1は本発明の実施例に基づくアクセス制御シナリオの図示である。図1に示すように、アクセス制御のコントロールターゲットとしては複数のフロアを有するオフィスビルであってもよく、図1にはその内のワンフロアを示した。当該フロアは、例えば会議室101と、オフィスエリア102と、休憩エリア103と、マネージャー室104とを含んだ複数の位置ロケーションに区分けされている。アクセス制御のコントロールターゲットとするオフィスビルには複数のユーザがいる。複数のユーザは、例えばマネージャーと、エンジニアと、雇員と、来客などを含んだ複数のロールに分けられた。さらに、アクセス制御のコントロールターゲットとするオフィスビルには、例えばプリンタ、プロジェクター、ゲートウェイなどを含んだ複数のアクセス制御のオブジェクト(即ちアクセスの対象)が存在する。特定した位置ロケーションにある特定したロールは、例えば使用、読み書きなどの特定した客体に対する操作を要求することができる。本発明の実施例に基づくアクセス制御方法は、特定した位置ロケーションにある特定したロールの特定した客体に対するアクセス要求に応じて、例えば許可と禁止を含んだアクセス制御の効果を獲得することである。
ROLE、OPERATION、OBJECT、LOCATION及びEFFECTがそれぞれロール、操作、オブジェクト、ロケーション及び効果の集合であり、アクセス制御規則Ruleが五元組(五要素組)で、形式的にRule=<Role,Operation,Object,Effect,Location>に定義して、その内、Role∈OLE、Operation∈OPERATION、Object∈OBJECT、Location∈LOCATIONである。Effectは「効果」フィールドで、かつEffect=Permit|Denyである。Effect=Permitであれば、このアクセス制御規則が「許可規則」と称され、さもなければ、Effect=Denyである場合、この規則が「禁止規則」と称される。図1に示したアクセス制御シナリオでは、オブジェクトの位置が一般的に固定されたので、規則内のロケーション(Location)フィールドがロールの所在ロケーション位置を示す。
例えば、1つのアクセス制御規則の内容が、<Engineer,Write,Database Server,Permit,Engineer Office>である場合、エンジニアがエンジニアオフィス内に居る時、データベースサーバにデータを書き込むことが許可される意味になる。もう1つのアクセス制御規則が、<Engineer,Use,Net Gate,Deny,Meeting Room>である場合、エンジニアが会議室に居る時、ゲートウェイへの使用が禁止されることを意味する。
さらに、図1に示したアクセス制御シーンでは、異なるサブロケーション(例えば、会議室101、オフィスエリア102、休憩エリア103、マネージャー室104)内のアクセス制御規則を別々で制定することが可能である。つまり、一組のアクセス制御規則の集合を設けて当該サブロケーションのアクセス制御リスト(ACL)にする。異なるサブロケーションからのアクセス制御規則の和集合をグローバルアクセス制御リストとする場合、規則衝突を生じる可能性がとても高い。以下、図2から図8を参照して、本発明の実施例に基づくアクセス制御規則の衝突検知方法をさらに詳しく述べる。
図2は本発明の実施例に基づくアクセス制御規則の衝突検知方法のフローチャートである。図2に示した衝突検知方法は、例えばSDNアーキテクチャーの集中式制御メカニズムにおいて、グローバルアクセス制御リスト内のアクセス制御規則の衝突を有効に検知する。具体的には、図2に示すように、本発明の実施例に基づくアクセス制御規則の衝突検知方法は以下のステップを含む。
ステップS201では、複数の位置ロケーションのロケーション階層関係及び複数のロールのロール階層関係を確立する。図1を参照して、アクセス制御のコントロールターゲットを複数の位置ロケーションに区画して、前記コントロールターゲット内の複数のユーザを複数のロールに分けることで、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を確立する。
具体的には、ロケーション階層関係においては、ロケーションを明確な境界を有する2次元空間として見なすことができ、2次元座標点の集合として見なすこともできる。オフィス環境のようなコントロールターゲットに対して、すべてのロケーションが多角形であると限定でき、かつ互いに交差することがない。そのため、指定された二つのロケーションloc1とloc2は二種類の関係しかない。即ち、包含(contain)関係と互に素(disjoint)関係である。
包含関係に関して、loc1の各頂点vがloc2の内またはloc2の辺に位置かつのみに位置する時、loc1がloc2に包含されると定義する。loc1をloc2のサブロケーションに定義でき、
Figure 2018147464
 と記し、かつloc1が低階層に、loc2が高階層にあると称する。互に素関係に関して、loc1の各頂点vがloc2の外またはloc2の辺に位置かつのみに位置する時、loc1とloc2とが互に素であると定義する。
上記概念に基づき、下式のように、ロケーション階層関係RLは集合LOCATIONにおける半順序関係に定義する。
Figure 2018147464
RLには最大のlmaxがあり、任意のロケーションlにとって、すべて
Figure 2018147464
 を満たす。例えば、オフィス環境において、lmaxはオフィスビルのワンフロアである。
上記ロケーション階層関係に基づき、「ロケーションツリー」と呼ばれる一本の有向木を構築することが可能である。ロケーションツリーのノードがロケーション階層関係RL内の各ロケーションであり、そこで、lmaxがそのルートノードで、ロケーションツリーの有向辺は下記の2次元関係Rtによって定義する。N×Nマトリクスで表すロケーション階層関係RLを示し、Nがロケーション集合LOCATION内の要素の数である場合、下式(2)が得られる。
Figure 2018147464
そこで、ILはN×Nの単位行列である。マトリクスRtのi行目j列目の値が1である場合、前記ロケーションツリーには、ロケーションのiノードからロケーションのjノードを指向する有向辺が存在することになる。
図3は本発明の実施例に基づくアクセス制御規則集合のエリアツリーの図示である。図3に示すように、フロアをルートノードとした当該ロケーションツリーにおいて、フロアロケーションからその低階層にある廊下ロケーショとオフィスエリアロケーショに、及びオフィスエリアロケーショからその低階層にあるマネージャーオフィスロケーショと、エンジニアオフィスロケーショと会議室ロケーションとに指向する有向辺が存在することになる。フロアロケーションはその低階層にあるすべてのロケーションを包含して、オフィスロケーショはその低階層にあるすべてのロケーションを包含する。廊下ロケーショとオフィスエリアロケーショとが互に素関係にあり、かつマネージャーオフィスロケーショと、エンジニアオフィスロケーショと、会議室ロケーションとが互に素関係にある。
ロール階層関係においては、ロケーション階層関係と同様に、ロール階層関係は複数のロールの集合に定義する半順序関係である。
Figure 2018147464
 であれば、role1を低階層にあり、role2を高階層にあると定義する。そこで、
Figure 2018147464
 の場合、任意のロケーションにおいて、もしrole1によってある操作によりあるオブジェクトをアクセスすることが許可されれば、role2も同じ操作により同じオブジェクトをアクセスすることが許可されるのが容易に理解できる本発明の実施例において、強化ハッセ図を用いてロール階層関係を示す。
図4は本発明の実施例に基づくロール階層関係の強化ハッセ図の図示である。図4に示した強化ハッセ図に、最小要素rolemin(例えば図4の雇員ロール)が存在する。最小要素roleminはそれ以外のほかの任意のroleに対して、ともに
Figure 2018147464
 の関係にあることを意味する。この他、最大要素rolemax(例えば図4のマネージャーロール)が存在する。最大要素rolemaxはrolemax自身以外のほかの任意のroleに対して、ともに
Figure 2018147464
 の関係にあることを意味する。任意のロケーションにおいて、rolemaxが有する許可はその他のすべてのロールが有する許可の和集合である。
それに、図4に示した強化ハッセ図において、普通ハッセ図におけるrole1とrole2
Figure 2018147464
 )の間にある辺を二本の有向辺に強化して示す。前記二本の有向辺では、その内の一本が402のように、role1からrole2に、もう一本が401のように、role2からrole1に指向する。したがって、前記強化ハッセ図は有向図モデルである。任意ロケーション(例えば、∀role1,role2∈ROLE)に対して、もし
Figure 2018147464
 であれば、role2をrole1の子孫ノードに、role1をrole2の先祖ノードに定義する。図4の実線で示した有向辺のように、子孫ノードから先祖ノードへ指向する有向辺で構成された集合をEdownとし、図4の破線で示した有向辺のように、先祖ノードから子孫ノードへ指向する有向辺で構成された集合をEupとする。
以上、図3と図4を参照して本発明の実施例に基づくアクセス制御規則の衝突検知方法におけるロケーションツリーと強化ハッセ図を説明したが、戻って図2に示した衝突検知方法のフローを続けて述べる。ステップS201では、複数の位置ロケーションのロケーション階層関係及び複数のロールのロール階層関係を確立した後、ステップS202に進む。
ステップS202では、ロケーション階層関係及びロール階層関係に基づき、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定する。
具体的には、本発明の実施例において、前記効果伝達規則はロケーション階層関係によるロケーション伝達規則及びロール階層関係によるロール伝達規則を含む。
ロケーション伝達規則に関して、前記第一位置ロケーションが前記第二位置ロケーションの低階層にある場合、同じロールにとっては、その前記第一位置ロケーションにおける許可規則が前記第二位置ロケーションに伝達し、かつ、その前記第二位置ロケーションにおける禁止規則が前記第一位置ロケーションに伝達する。例えば、図3に示したエンジニアオフィスロケーショオフィスエリアロケーショの場合、もし一人のエンジニアがエンジニアオフィスに居る間にプリンタを使用することが許可されれば、彼のオフィスエリアにおいてもプリンタを使用することが許可される。一人のエンジニアがオフィスエリア内に居る間にプロジェクターを使用することが禁止されれば、彼のエンジニアオフィスにおいてもプロジェクターを使用することが禁止される。
ロール伝達規則に関して、前記複数のロール内の第一ロールと第二ロールのロール伝達規則に対し、前記第一ロールが前記第二ロールの低階層にある場合、同じ位置ロケーションにとっては、前記第一ロールの許可規則が前記第二ロールに伝達し、かつ、前記第二ロールの禁止規則が前記第一ロールに伝達する。例えば、図4に示したハードウェアエンジニアロール
(外1)
Figure 2018147464
マネージャーロールの場合、ハードウェアエンジニアとマネージャーとが同じロケーションに居る時、もしハードウェアエンジニアがプリンタを使用することが許可されれば、マネージャーもプリンタを使用することが許可される。マネージャーがプロジェクターを使用することが禁止されれば、ハードウェアエンジニアもプロジェクターを使用することが禁止される。
言い換えれば、他の要素(即ち、操作、オブジェクト)が同じである時、ロケーション階層関係とロール階層関係では、許可効果が低階層から高階層に伝達、禁止効果が高階層から低階層に伝達する。
以上に述べたように、各サブロケーションのアクセス制御規則が別々に制定された可能性があるので、異なるサブロケーションからのアクセス制御規則がグローバルアクセス制御リストに集中された場合、上記のロケーション階層関係とロール階層関係に基づいた伝達規則に満たさないアクセス制御規則の衝突が生じる可能性がある。
具体的には、アクセス制御規則の衝突種類が、前記ロケーション伝達規則に違反する第一衝突種類と、前記ロール伝達規則に違反する第二衝突種類と、前記ロケーション伝達規則と前記ロール伝達規則とに同時に違反する第三衝突種類と、を含む。
前記ロケーション伝達規則に違反する第一衝突種類は下表1に示す。
Figure 2018147464
前記ロール伝達規則に違反する第二衝突種類は下表2に示す。
Figure 2018147464
同時に前記ロケーション伝達規則と前記ロール伝達規則とを違反する第三衝突種類は下表3に示す。
Figure 2018147464
ステップS202において効果伝達規則及び衝突種類を確定した後、ステップS203に進む。
ステップS203では、ロケーション階層関係及びロール階層関係に基づき、アクセス制御規則集合のロケーションツリー索引を構築する。
図3に示すように、ロケーションツリーの各ノードがそれぞれ前記複数の位置ロケーションにおける各位置ロケーションと対応し、前記ロケーションツリーの二つのノードの間の有向辺が前記二つのノードがそれぞれ対応する二つの位置ロケーションの間の半順序関係と対応する。本発明の実施例において、ロケーションツリーへの検索をさらに便利にするために、ロケーションツリーにポインター(Pointer)を追加し、リストを分類して保存する。以下、図5と図6を参照して、ロケーションツリー索引の構築処理及びロケーションツリー索引の例示をさらに詳しく述べる。
図5は本発明の実施例に基づくアクセス制御規則の衝突検知方法におけるロケーションツリー索引の構築処理のフローチャートである。図6は本発明の実施例に基づくロケーションツリー索引の図示である。図5に示すように、本発明の実施例に基づくアクセス制御規則の衝突検知方法におけるロケーションツリー索引の構築処理は以下のステップを含む。
ステップS501では、ロケーションツリーの各ノードにポインターを追加して、当該ポインターは各ノードのアクセス制御規則リストに指向する。
図6に示すように、ロケーションツリー索引の基礎枠組みが図3に示したロケーションツリーである。その構築方法は前記ロケーションツリーの各ノードにおいてともに一個のポインターを増加して、前記各一個のポインターがともに一枚のアクセス制御リストに指向する。例えば、オフィスエリアノードにポインター601を追加して、オフィスエリアノードのアクセス制御リスト602に指向する。その後、ステップS502に進む。
ステップS502では、アクセス制御規則リスト内に、異なる格納ユニットにアクセス許可制御規則とアクセス禁止制御規則を保存する。
図6に示すように、アクセス制御リスト602では、アクセス許可制御規則とアクセス禁止制御規則とが異なる格納ユニットに保存されている。下記に詳しく述べるように、許可と禁止に基づいてアクセス制御規則を分類して保存することで、ロケーションツリー索引の検索を便利にした。その後、処理をステップS503に進む。
ステップS503では、アクセス制御規則リスト内に、ロールによってアクセス制御規則を組分けして保存する。
図6に示すように、アクセス制御リスト602では、雇員規則組とマネージャー規則組とを異なる格納ユニットに保存した。下記に詳しく述べるように、ロールに基づいてアクセス制御規則を分類して保存することで、同じくロケーションツリー索引の検索を便利にした。
以上、図5と図6を参照してロケーションツリー索引の構築処理及びロケーションツリー索引の例示を説明したが、戻って図2に示した衝突検知方法のフローを続けて述べる。ステップS203においてアクセス制御規則集合のロケーションツリー索引を構築した後、ステップS204に進む。
ステップS204では、効果伝達規則と衝突種類に基づいてロケーションツリー索引を検索、アクセス制御規則集合内のアクセス制御規則の衝突を検知する。以下、図7と図8を参照して、本発明の実施例に基づくロケーションツリー索引ベースの衝突検知処理をさらに詳しく述べる。
図7は本発明の実施例に基づくロケーションツリー索引ベースの衝突検知処理のフローチャートである。図7に示すように、本発明の実施例に基づくロケーションツリー索引ベースの衝突検知処理は以下のステップを含む。
ステップS701では、前記ロケーションツリー索引の各ノードに対して、そのアクセス制御規則リスト内の各アクセス許可制御規則と、前記アクセス制御規則リスト内の各アクセス禁止制御規則と、を比較して前記第一衝突種類に属するアクセス制御規則を検知する。その後、処理をステップS702に進む。
ステップS702では、前記ロケーションツリー索引の各ノードに対して、さらに前記各ノードの各先祖ノードを遍歴して、前記各先祖ノードの各アクセス制御規則リスト内の各アクセス禁止制御規則を獲得かつ比較して、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知する。その後、処理をステップS703に進む。
ステップS703では、前記ロケーションツリー索引の各ノードに対して、そのアクセス制御規則リスト内の各アクセス禁止制御規則と、前記アクセス制御規則リスト内の各アクセス許可制御規則と、を比較して前記第一衝突種類に属するアクセス制御規則を検知する。その後、処理をステップS704に進む。
ステップS704では、前記ロケーションツリー索引の各ノードに対して、前記各ノードの各子孫ノードを遍歴して、前記各子孫ノードの各アクセス制御規則リスト内の各アクセス許可制御規則を獲得かつ比較して、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知する。
図7に示したロケーションツリー索引に基づく衝突検知処理によって、許可規則と禁止規則とがロケーションツリー索引において別々に保存されたので、ロケーションツリー内に一組の許可または禁止規則を有効に検索することが実現できる。
図8は本発明の実施例に基づくロケーションツリー索引と強化ハッセ図ベースの衝突検知処理のフローチャートである。図8に示すように、本発明の実施例に基づくロケーションツリー索引と強化ハッセ図ベースの衝突検知処理は以下のステップを含む。
ステップS801では、前記ロケーションツリー索引の各ノードに対して、そのアクセス制御規則リスト内の検知待ちアクセス制御規則と対応するロールを獲得する。本発明の実施例において、検知待ちアクセス制御規則rule内のロール要素がである。その後、処理をステップS802に進む。
ステップS802では、前記強化ハッセ図内の前記ロールと対応するノードを確定する。本発明の実施例において、図4に示した強化ハッセ図においてが対応するノードを獲得する。その後、処理をステップS803に進む。
ステップS803では、前記検知待ちアクセス制御規則がアクセス許可制御規則である場合、前記強化ハッセ図内の前記ロールと対応するノードの各子孫ノードを遍歴して、前記各子孫ノードの各アクセス制御規則リスト内の前記ロールと対応する各アクセス禁止制御規則を獲得かつ比較して、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知する。本発明の実施例において、前記検知待ちアクセス制御規則ruleが許可規則であれば、まず強化ハッセ図において、role1を起点、前記最大ロールRmaxを終点として、辺の集合Eup内の有向辺で構成されたすべてのルートを遍歴する。即ち、前記ルートによって遍歴した全ノードはともにrole1の子孫ノードである。その後、ロケーションツリー索引に前記role1の子孫ノードと対応する禁止規則集合Rjを検索した後、ruleと前記禁止規則集合Rj内の各規則と比較させて、ruleとの間に前記第二衝突種類と前記第三衝突種類に属する前記禁止規則集合Rj内のアクセス制御規則を検知する。その後、処理をステップS804に進む。
ステップS804では、前記検知待ちアクセス制御規則がアクセス禁止制御規則である場合、前記強化ハッセ図内の前記ロールと対応するノードの各先祖ノードを遍歴して、前記各先祖ノードの各アクセス制御規則リスト内の前記ロールと対応する各アクセス許可制御規則を獲得かつ比較して、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知する。本発明の実施例において、前記検知待ちアクセス制御規則ruleが禁止規則であれば、まず強化ハッセ図において、role1を起点、前記最小ロールRminを終点として、辺の集合Edown内の有向辺で構成されたすべてのルートを遍歴する。即ち、前記ルートによって遍歴した全ノードはともにrole1の先祖ノードである。その後、ロケーションツリー索引に前記role1の先祖ノードと対応する許可規則集合RPを検索した後、ruleと前記許可規則集合RP内の各規則と比較させて、ruleとの間に前記第二衝突種類と前記第三衝突種類に属する前記許可規則集合RP内のアクセス制御規則を検知する。
図8に示したロケーションツリー索引と強化ハッセ図に基づく衝突検知処理によって、許可規則と禁止規則とがロケーションツリー索引において別々に保存され、かつロケーションツリー索引において規則がロールによって組分けして保存されたので、ロケーションツリー内にアクセス制御規則の衝突をより有効に検索することが実現できる。
以上、図2から図8を参照して、本発明の実施例に基づくアクセス制御規則の衝突検知方法を述べた。当該衝突検知方法による衝突検知が完了後、マルチの異なる方法で衝突を解決することが実現できる。例えば、管理者によって一部の衝突規則を削除、または規則に異なる優先度を付与することで、互に衝突する規則の内にひとつのみの規則が実行されることになる。そこで、上記各フローチャート内のステップの述べる順序は本発明を制限するものではなく、各ステップはフローチャートと異なる順序で実行、または一部のステップを省いて実行することも可能であることが容易に理解できる。
図9は本発明の実施例に基づくアクセス制御規則の衝突検知装置の機能ブロック図である。図9に示した衝突検知装置90は、上記の図2から図8で述べた本発明の実施例に基づくアクセス制御規則の衝突検知方法を実行する。
具体的には、図9に示した衝突検知装置90は、階層関係構築ユニット901と、伝達規則確定ユニット902と、ロケーションツリー索引構築ユニット903と、衝突検知ユニット904と、を含む。前記各ユニットによって上記図2と結合した衝突検知方法における各ステップ/機能をそれぞれ実行できる。したがって、以下、当該衝突検知装置90の各ユニットの主な機能に対して述べるが、上記記載した細部内容を省略する。
階層関係構築ユニット901はアクセス制御のコントロールターゲットを複数の位置ロケーションに区分けるように設置されて、前記コントロールターゲット内の複数のユーザを複数のロールに分け、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築する。
伝達規則確定ユニット902は、前記ロケーション階層関係及び前記ロール階層関係に基づき、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定するように設置される。
ロケーションツリー索引構築ユニット903は、前記ロケーション階層関係及び前記ロール階層関係に基づき、前記アクセス制御規則集合のロケーションツリー索引を構築するように設置される。
衝突検知ユニット904は、前記効果伝達規則と前記衝突種類に基づいて前記ロケーションツリー索引を検索して、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知するように設置される。
上記図2から図8で述べた本発明の実施例に基づくアクセス制御規則の衝突検知方法によって検知かつアクセス制御規則の衝突を解決した後、アクセス制御規則は位置ロケーションとロールに基づくアクセス制御に用いられることができる。以下、図10と図11を参照して、本発明の実施例に基づくアクセス制御方法と装置をさらに詳しく述べる。
図10は本発明の実施例に基づくアクセス制御方法のフローチャートである。図10に示すように、本発明の実施例に基づくアクセス制御方法は以下のステップを含む。
ステップS1001では、コントロールターゲットに対するアクセス要求を受ける。その後、処理をステップS1002に進む。
ステップS1002では、前記アクセス要求を送信したユーザのロール及び所在位置ロケーションを確定する。その後、処理をステップS1003に進む。
ステップS1003では、前記ロールと、前記位置ロケーション及び前記アクセス要求に基づき、アクセス制御規則集合を検索して、前記アクセス要求にマッチするアクセス制御規則を確定する。アクセス要求に応じたアクセス制御規則集合は上記図2から図8を参照して構築かつアクセス制御規則の衝突を検知と解決したアクセス制御規則集合であることが容易に理解できる。その後、処理をステップS1004に進む。
ステップS1004では、前記アクセス制御規則を転送規則に転換する。その後、処理をステップS1005に進む。
ステップS1005では、前記転送規則によって前記アクセス要求に応じさせる。
図10に示した本発明の実施例に基づくアクセス制御方法によって、位置ロケーションとロールに基づくアクセス制御を実現した。
図11は本発明の実施例に基づくアクセス制御装置の図示である。本発明の実施例に基づくアクセス制御装置は図10に示したアクセス制御方法を実行できる。
具体的には、本発明の実施例において、SDNネットワークアーキテクチャーによって当該アクセス制御方法を実現する。つまり、本発明の実施例に基づくアクセス制御装置はコントロールデバイス1100と転送デバイス1201、1202及び1203とを備える。前記コントロールデバイス1100は前記アクセス要求にアクセス制御を実行するように配置され、前記転送デバイス1201、1202と1203はコントロールターゲットに対するアクセス要求を受けるように配置され、及び前記コントロールデバイス1100で確定した転送規則に基づき、前記アクセス要求に応じさせる。
より具体的には、図11に示すように、転送デバイス1201がユーザ1300からのアクセス要求を受ける(即ち、図10内のステップS1001)。ユーザ1300は例えばノートPC、タブレットPCまたは携帯などのクライアントによって、有線または無線の方法でSDNネットワークに接続する。転送デバイス1201は例えば交換機、ルーターなどで配置される。転送デバイス1201はさらに受けたアクセス要求を前記コントロールデバイス1100に転送する。
図11に示すように、前記コントロールデバイス1100は位置決めユニット1101と、アクセス制御ユニット1102と、ロール確定ユニット1103とを含む。前記位置決めユニット1101は前記アクセス要求を送信するユーザの所在位置ロケーションを確定し、かつ前記ロール確定ユニット1103は前記アクセス要求を送信するユーザのロールを確定する(即ち、図10内のステップS1002)。本発明の実施例において、ユーザのロケーション情報とロール情報はGPS、WIFIによる位置決めで獲得できるが、IPネットワークセグメントのような不精確な方法でも獲得できる。前記アクセス制御ユニット1102は前記ロールと、前記位置ロケーション及び前記アクセス要求に基づき、アクセス制御規則集合を検索して、前記アクセス要求にマッチするアクセス制御規則を確定する(即ち、図10内のステップS1003)。図11には、位置決めモジュールと、位置決めユニット1101と、アクセス制御ユニット1102と、ロール確定ユニット1103とが異なるデバイスに配置されたが、本発明はこれに限らず、位置決めユニット1101、アクセス制御ユニット1102及びロール確定ユニット1103は同じデバイスに配置されても良い。
さらに、前記アクセス制御ユニット110により検索した前記アクセス制御規則を転送規則に転換し、かつ前記転送デバイス1201、1202と1203に提供する(即ち、図10内のステップS1004)。アクセス制御規則から転送規則までの転換方法は表4に示す。
Figure 2018147464
その後、前記転送デバイス1201、1202と1203は前記転送規則に基づき前記アクセス要求に応じさせる(即ち、図10内のステップS1005)。本発明の実施例において、前記転送デバイス1201、1202と1203はアクセス制御ユニット1102により獲得した転送規則に基づき、ユーザ1300のターゲット1401、1402に対するアクセス要求への許可か禁止かを決定する。即ち、アクセス制御規則が許可規則であれば、クライアントからターゲットまでの転送ルートを提供するが、アクセス制御規則が禁止規則であれば、クライアントからのデータパケットを捨てる。
図12は本発明の実施例に基づく衝突検知とアクセス制御装置の配置ブロック図である。図12に示すように、本発明の実施例に基づく衝突検知とアクセス制御デバイス12はメモリ121とプロセッサー122とを含む。前記メモリ121にコンピュータプログラムコマンドが格納され、前記コンピュータプログラムコマンドがプロセッサー122によって実行された時に、上記図1から図11まで述べた衝突検知とアクセス制御方法を実行するようにした。
以上、図面を参照して、本発明の実施例の位置ロケーションとロールに基づくアクセス制御規則の衝突検知方法及び位置ロケーションとロールに基づくアクセス制御方法とアクセス制御装置を述べ、ロケーション階層関係及びロール階層関係によってアクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定し、かつアクセス制御規則集合のロケーションツリー索引を構築することでアクセス制御規則を効率的に保存と検索することで、グローバルアクセス制御リスト内のアクセス制御規則の衝突を効率的に検知することを実現、かつさらにアクセス制御規則の衝突を解決後のグローバルアクセス制御リストを利用して位置ロケーションとロールに基づくアクセス制御を実行する。
以上、具体的な実施例によって本発明の基本原理を説明したが、当業者にとって、以下のことに関して自明である。即ち、本発明の方法と装置のすべてまたはいかなるステップあるいは部品は任意の計算装置(プロセッサー、記憶媒体などを含む)または計算装置のネットにおいて、ハードウェアと、ファームウェアと、ソフトウェアまたはそれらの組み合わせによって実現できる。これは、当業者が本発明の説明を読んだ後、基本的なプログラミング技能によって実現できることである。
したがって、本発明の目的はいかなる計算装置において一つのプログラムまたは一組のプログラムを執行することによって実現できることである。前記計算装置は周知の汎用装置でも可能である。このため、本発明の目的は前記方法または装置を実現するプログラムコードが含まれるプログラムプロダクトを提供するのみでも実現可能である。すなわち、このようなプログラムプロダクトも本発明を構成でき、かつこのようなプログラムプロダクトを格納する記録媒体も本発明を構成できる。いうまでもなく、前記記録媒体はいかなる公知の記録媒体または開発される予定のいかなる記録媒体であることも可能である。
さらに指摘しておきたいのは、本発明の装置と方法では、言うまでもなく、各部材または各ステップは分解及び/又は再度組合せが可能である。これらの分解及び/又は再度組合せは本発明の同等な方案とみなすべきである。かつ、上記の一連の処理のステップを実行する場合、説明された順番に従って時間順に行うことができるが、かならずしも時間順に従って実行する必要がない。あるステップは並行または互いに独立して実行ができる。
上記の具体的な実施形態は本発明の保護範囲に制限するものではない。当業者にとって、設計ニーズまたはほかの要因に従い、各種の修正、組み合わせ、サブ組み合わせ及び代替を行うことは自明である。いかなる本発明の技術思想と趣旨の範囲内に行う修正、同等取替えと改良などは、本発明の保護範囲内に含まれるべきである。

Claims (14)

  1. 位置ロケーションとロールに基づくアクセス制御規則の衝突検知方法であって、
    アクセス制御のコントロールターゲットを複数の位置ロケーションに分割し、前記コントロールターゲット内の複数のユーザを複数のロールに分け、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築するステップと、
    前記ロケーション階層関係及び前記ロール階層関係に基づいて、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定するステップと、
    前記ロケーション階層関係及び前記ロール階層関係に基づいて、前記アクセス制御規則集合のロケーションツリー索引を構築するステップと、
    前記効果伝達規則と前記衝突種類に基づいて、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知するステップと、を含む、ことを特徴とする衝突検知方法。
  2. 前記ロケーション階層関係は、複数の位置ロケーションの集合に定義された半順序関係であり、かつ関係マトリクスによって前記ロケーション階層関係における各半順序関係を表し、
    前記ロール階層関係は、複数のロールの集合に定義された半順序関係であり、かつ強化ハッセ図によって前記ロール階層関係における各半順序関係を示す、ことを特徴とする請求項1に記載の衝突検知方法。
  3. 前記効果伝達規則は、
    前記複数の位置ロケーション内の第一位置ロケーションと第二位置ロケーションのロケーション伝達規則に関して、前記第一位置ロケーションが前記第二位置ロケーションの低階層にある場合、同じロールにとっては、その前記第一位置ロケーションにおける許可規則が前記第二位置ロケーションに伝達し、かつ、その前記第二位置ロケーションにおける禁止規則が前記第一位置ロケーションに伝達すること、及び
    前記複数のロールのうちの第一ロールと第二ロールのロール伝達規則に関して、前記第一ロールが前記第二ロールの低階層にある場合、同じ位置ロケーションにとっては、前記第一ロールの許可規則が前記第二ロールに伝達し、かつ、前記第二ロールの禁止規則が前記第一ロールに伝達することを含む、ことを特徴とする請求項2に記載の衝突検知方法。
  4. 前記アクセス制御規則の衝突種類は、
    前記ロケーション伝達規則に違反する第一衝突種類と、
    前記ロール伝達規則に違反する第二衝突種類と、
    前記ロケーション伝達規則と前記ロール伝達規則とに同時に違反する第三衝突種類と、を含む、ことを特徴とする請求項3に記載の衝突検知方法。
  5. 前記ロケーションツリーの各ノードがそれぞれ前記複数の位置ロケーションにおける各位置ロケーションに対応し、前記ロケーションツリーの二つのノードの間の有向辺が、前記二つのノードにそれぞれ対応する二つの位置ロケーションの間の半順序関係に対応し、
    前記ロケーション階層関係及び前記ロール階層関係に基づいて、前記アクセス制御規則集合のロケーションツリー索引を構築するステップは、
    前記ロケーションツリーの各ノードに、前記各ノードのアクセス制御規則リストを指向するポインターを追加することと、
    前記アクセス制御規則リスト内で異なる格納ユニットにアクセス許可制御規則とアクセス禁止制御規則とを保存することと、
    前記アクセス制御規則リスト内でロールによってアクセス制御規則を組分けして保存することと、を含む、ことを特徴とする請求項4に記載の衝突検知方法。
  6. 前記効果伝達規則と前記衝突種類に基づいて、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知するステップは、
    前記ロケーションツリー索引の各ノードに対して、そのアクセス制御規則リスト内の各アクセス禁止制御規則と、前記アクセス制御規則リスト内の各アクセス許可制御規則とを比較し、前記第一衝突種類に属するアクセス制御規則を検知し、かつ、前記各ノードの各先祖ノードを遍歴し、前記各先祖ノードの各アクセス制御規則リスト内の各アクセス禁止制御規則を獲得かつ比較し、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知すること、及び
    前記ロケーションツリー索引の各ノードに対して、そのアクセス制御規則リスト内の各アクセス禁止制御規則と、前記アクセス制御規則リスト内の各アクセス許可制御規則とを比較し、前記第一衝突種類に属するアクセス制御規則を検知し、かつ、前記各ノードの各子孫ノードを遍歴し、前記各子孫ノードの各アクセス制御規則リスト内の各アクセス許可制御規則を獲得かつ比較し、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知することを含む、ことを特徴とする請求項5に記載の衝突検知方法。
  7. 前記効果伝達規則と前記衝突種類に基づいて、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知するステップは、
    前記ロケーションツリー索引の各ノードに対して、そのアクセス制御規則リスト内の検知待ちアクセス制御規則に対応するロールを獲得することと、
    前記強化ハッセ図内の前記ロールに対応するノードを確定することと、
    前記検知待ちアクセス制御規則がアクセス許可制御規則である場合、前記強化ハッセ図内の前記ロールに対応するノードの各子孫ノードを遍歴し、前記各子孫ノードの各アクセス制御規則リスト内の前記ロールに対応する各アクセス禁止制御規則を獲得かつ比較し、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知することと、
    前記検知待ちアクセス制御規則がアクセス禁止制御規則である場合、前記強化ハッセ図内の前記ロールに対応するノードの各先祖ノードを遍歴し、前記各先祖ノードの各アクセス制御規則リスト内の前記ロールに対応する各アクセス許可制御規則を獲得かつ比較し、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知することと、を含む、ことを特徴とする請求項5に記載の衝突検知方法。
  8. 位置ロケーションとロールに基づくアクセス制御規則の衝突検知装置であって、
    アクセス制御のコントロールターゲットを複数の位置ロケーションに分割し、前記コントロールターゲット内の複数のユーザを複数のロールに分け、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築するように構成される階層関係構築ユニットと、
    前記ロケーション階層関係及び前記ロール階層関係に基づいて、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定するように構成される伝達規則確定ユニットと、
    前記ロケーション階層関係及び前記ロール階層関係に基づいて、前記アクセス制御規則集合のロケーションツリー索引を構築するように構成されるロケーションツリー索引構築ユニットと、
    前記効果伝達規則と前記衝突種類に基づいて、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知するように構成される衝突検知ユニットと、を含む、ことを特徴とする衝突検知装置。
  9. コントロールターゲットに対するアクセス要求を受けるステップと、
    前記アクセス要求を送信したユーザのロール及び所在位置ロケーションを確定するステップと、
    前記ロール、前記位置ロケーション及び前記アクセス要求に基づいて、アクセス制御規則集合を検索し、前記アクセス要求にマッチするアクセス制御規則を確定するステップと、
    前記アクセス制御規則を転送規則に変換するステップと、
    前記転送規則によって前記アクセス要求に応じさせるステップと、を含み、
    前記コントロールターゲットを複数の位置ロケーションに分割し、前記コントロールターゲット内の複数のユーザを複数のロールに分けることで、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築し、
    前記ロケーション階層関係及び前記ロール階層関係に基づいて、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定し、
    前記ロケーション階層関係及び前記ロール階層関係に基づいて、前記アクセス制御規則集合のロケーションツリー索引を構築し、
    前記効果伝達規則と前記衝突種類に基づいて、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知する、ことを特徴とする位置ロケーションとロールに基づくアクセス制御方法。
  10. コントロールターゲットに対するアクセス要求を受け取る転送デバイスと、
    前記アクセス要求に対してアクセス制御を行うコントロールデバイスと、を含み、
    前記コントロールデバイスは、
    前記アクセス要求を送信したユーザのロールを確定するロール確定モジュールと、
    前記アクセス要求を送信したユーザの所在位置ロケーションを確定する位置決めモジュールと、
    前記ロール、前記位置ロケーション及び前記アクセス要求に基づいて、アクセス制御規則集合を検索し、前記アクセス要求にマッチするアクセス制御規則を確定し、かつ、前記アクセス制御規則を転送規則に変換して前記転送デバイスに提供し、前記転送デバイスを前記転送規則に基づいて前記アクセス要求に応じさせるアクセス制御ユニットと、を含み、
    前記コントロールターゲットを複数の位置ロケーションに分割し、前記コントロールターゲット内の複数のユーザを複数のロールに分けることで、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築し、
    前記ロケーション階層関係及び前記ロール階層関係に基づいて、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定し、
    前記ロケーション階層関係及び前記ロール階層関係に基づいて、前記アクセス制御規則集合のロケーションツリー索引を構築し、
    前記効果伝達規則と前記衝突種類に基づいて、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知する、ことを特徴とする位置ロケーションとロールに基づくアクセス制御装置。
  11. 位置ロケーションとロールに基づくアクセス制御規則の衝突検知とアクセス制御装置であって、
    プロセッサーと、
    コンピュータプログラムコマンドを格納するメモリと、を含み、
    前記コンピュータプログラムコマンドが前記プロセッサーにより実行される時に、請求項1から7のいずれかの一項に記載の衝突検知方法及び請求項9に記載のアクセス制御方法を実行する、ことを特徴とする衝突検知とアクセス制御装置。
  12. コンピュータに、請求項1〜7の任意の一項に記載の衝突検知方法を実行させるためのプログラム。
  13. コンピュータに、請求項9に記載のアクセス制御方法を実行させるためのプログラム。
  14. 請求項12又は13に記載のプログラムを記憶したコンピュータ読み取り可能な記憶媒体。
JP2017238389A 2017-03-02 2017-12-13 衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置 Pending JP2018147464A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201710121152.0 2017-03-02
CN201710121152.0A CN108540427B (zh) 2017-03-02 2017-03-02 冲突检测方法和检测设备、访问控制方法和访问控制装置

Publications (1)

Publication Number Publication Date
JP2018147464A true JP2018147464A (ja) 2018-09-20

Family

ID=63489226

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017238389A Pending JP2018147464A (ja) 2017-03-02 2017-12-13 衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置

Country Status (2)

Country Link
JP (1) JP2018147464A (ja)
CN (1) CN108540427B (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220086126A1 (en) * 2020-09-14 2022-03-17 Huawei Technologies Co., Ltd. Rule Detection Method and Related Device
WO2022149226A1 (ja) * 2021-01-07 2022-07-14 三菱電機株式会社 アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112115304A (zh) * 2019-06-20 2020-12-22 百度(中国)有限公司 偏序数据的处理方法、装置、系统及存储介质
CN113728600B (zh) * 2019-09-11 2023-10-24 Oppo广东移动通信有限公司 访问控制方法、设备及存储介质
CN112565167A (zh) * 2019-09-26 2021-03-26 华为数字技术(苏州)有限公司 一种访问控制列表acl的检测方法及网络设备
CN112887316B (zh) * 2021-01-29 2023-02-03 深圳市满星技术产业有限公司 一种基于分类的访问控制列表冲突检测系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005182478A (ja) * 2003-12-19 2005-07-07 Ntt Data Corp アクセス権の矛盾・冗長ルール検出を行うアクセス制御システム及びそのコンピュータプログラム
JP2012519893A (ja) * 2009-03-04 2012-08-30 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ アクセス制御ポリシの特定

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101631021B (zh) * 2008-07-18 2014-04-02 日电(中国)有限公司 位置敏感且基于角色的访问控制方法、装置和系统
CN101706808B (zh) * 2009-11-17 2012-07-04 中国科学院软件研究所 基于索引树的海量数据库访问控制方法
CN102957697A (zh) * 2012-10-26 2013-03-06 上海交通大学 一种多域间基于rbac模型的访问控制策略合成方法
US8738791B1 (en) * 2013-07-17 2014-05-27 Phantom Technologies, Inc. Location based network usage policies
JP6179328B2 (ja) * 2013-10-01 2017-08-16 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005182478A (ja) * 2003-12-19 2005-07-07 Ntt Data Corp アクセス権の矛盾・冗長ルール検出を行うアクセス制御システム及びそのコンピュータプログラム
JP2012519893A (ja) * 2009-03-04 2012-08-30 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ アクセス制御ポリシの特定

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220086126A1 (en) * 2020-09-14 2022-03-17 Huawei Technologies Co., Ltd. Rule Detection Method and Related Device
US11916881B2 (en) * 2020-09-14 2024-02-27 Huawei Technologies Co., Ltd. Rule detection method and related device
WO2022149226A1 (ja) * 2021-01-07 2022-07-14 三菱電機株式会社 アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム
JP7229446B1 (ja) * 2021-01-07 2023-02-27 三菱電機株式会社 アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム

Also Published As

Publication number Publication date
CN108540427B (zh) 2021-09-07
CN108540427A (zh) 2018-09-14

Similar Documents

Publication Publication Date Title
JP2018147464A (ja) 衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置
US11748506B2 (en) Access controlled graph query spanning
US11651325B2 (en) Item delivery optimization
US20210385087A1 (en) Zero-knowledge identity verification in a distributed computing system
CN108280367B (zh) 数据操作权限的管理方法、装置、计算设备及存储介质
US11082226B2 (en) Zero-knowledge identity verification in a distributed computing system
KR102031695B1 (ko) 자동화된 데이터 센터 선택
EP3497951B1 (en) Secure private location based services
US10955163B2 (en) Automated building concierge
JP2016517076A (ja) 自動化されたデスクトップ配置
JPWO2006059639A1 (ja) 情報共有システム、情報共有方法、グループ管理プログラム及びコンパートメント管理プログラム
JP2014086083A (ja) ネットワークアクセス及び受付制御のためのソーシャルグラフの利用
Singh et al. Separation axioms in intuitionistic fuzzy topological spaces
JP5991386B2 (ja) ネットワークシステム
CN109218280A (zh) 实施数据中心中的物理和虚拟应用组件的微分段策略
Pauwels et al. Semantic technologies and interoperability in the built environment
US9390239B2 (en) Software system template protection
US11966485B2 (en) Property-level visibilities for knowledge-graph objects
Alamri et al. Vertical indexing for moving objects in multifloor environments
US20170031965A1 (en) Indexing structured data with security information
Nazam et al. The Existence of Fixed Points for a Different Type of Contractions on Partial b‐Metric Spaces
US20090164471A1 (en) Managing Distributed Data
US20240232814A1 (en) Systems and methods for granular location based data security
KR102413632B1 (ko) 문서 관리 장치 및 방법
US11853452B2 (en) Keeping databases compliant with data protection regulations by sensing the presence of sensitive data and transferring the data to compliant geographies

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190226

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190422

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190528

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190724

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20191210