JP2018147464A - 衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置 - Google Patents
衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置 Download PDFInfo
- Publication number
- JP2018147464A JP2018147464A JP2017238389A JP2017238389A JP2018147464A JP 2018147464 A JP2018147464 A JP 2018147464A JP 2017238389 A JP2017238389 A JP 2017238389A JP 2017238389 A JP2017238389 A JP 2017238389A JP 2018147464 A JP2018147464 A JP 2018147464A
- Authority
- JP
- Japan
- Prior art keywords
- access control
- location
- rule
- access
- control rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
Description
(外1)
マネージャーロールの場合、ハードウェアエンジニアとマネージャーとが同じロケーションに居る時、もしハードウェアエンジニアがプリンタを使用することが許可されれば、マネージャーもプリンタを使用することが許可される。マネージャーがプロジェクターを使用することが禁止されれば、ハードウェアエンジニアもプロジェクターを使用することが禁止される。
Claims (14)
- 位置ロケーションとロールに基づくアクセス制御規則の衝突検知方法であって、
アクセス制御のコントロールターゲットを複数の位置ロケーションに分割し、前記コントロールターゲット内の複数のユーザを複数のロールに分け、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築するステップと、
前記ロケーション階層関係及び前記ロール階層関係に基づいて、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定するステップと、
前記ロケーション階層関係及び前記ロール階層関係に基づいて、前記アクセス制御規則集合のロケーションツリー索引を構築するステップと、
前記効果伝達規則と前記衝突種類に基づいて、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知するステップと、を含む、ことを特徴とする衝突検知方法。 - 前記ロケーション階層関係は、複数の位置ロケーションの集合に定義された半順序関係であり、かつ関係マトリクスによって前記ロケーション階層関係における各半順序関係を表し、
前記ロール階層関係は、複数のロールの集合に定義された半順序関係であり、かつ強化ハッセ図によって前記ロール階層関係における各半順序関係を示す、ことを特徴とする請求項1に記載の衝突検知方法。 - 前記効果伝達規則は、
前記複数の位置ロケーション内の第一位置ロケーションと第二位置ロケーションのロケーション伝達規則に関して、前記第一位置ロケーションが前記第二位置ロケーションの低階層にある場合、同じロールにとっては、その前記第一位置ロケーションにおける許可規則が前記第二位置ロケーションに伝達し、かつ、その前記第二位置ロケーションにおける禁止規則が前記第一位置ロケーションに伝達すること、及び
前記複数のロールのうちの第一ロールと第二ロールのロール伝達規則に関して、前記第一ロールが前記第二ロールの低階層にある場合、同じ位置ロケーションにとっては、前記第一ロールの許可規則が前記第二ロールに伝達し、かつ、前記第二ロールの禁止規則が前記第一ロールに伝達することを含む、ことを特徴とする請求項2に記載の衝突検知方法。 - 前記アクセス制御規則の衝突種類は、
前記ロケーション伝達規則に違反する第一衝突種類と、
前記ロール伝達規則に違反する第二衝突種類と、
前記ロケーション伝達規則と前記ロール伝達規則とに同時に違反する第三衝突種類と、を含む、ことを特徴とする請求項3に記載の衝突検知方法。 - 前記ロケーションツリーの各ノードがそれぞれ前記複数の位置ロケーションにおける各位置ロケーションに対応し、前記ロケーションツリーの二つのノードの間の有向辺が、前記二つのノードにそれぞれ対応する二つの位置ロケーションの間の半順序関係に対応し、
前記ロケーション階層関係及び前記ロール階層関係に基づいて、前記アクセス制御規則集合のロケーションツリー索引を構築するステップは、
前記ロケーションツリーの各ノードに、前記各ノードのアクセス制御規則リストを指向するポインターを追加することと、
前記アクセス制御規則リスト内で異なる格納ユニットにアクセス許可制御規則とアクセス禁止制御規則とを保存することと、
前記アクセス制御規則リスト内でロールによってアクセス制御規則を組分けして保存することと、を含む、ことを特徴とする請求項4に記載の衝突検知方法。 - 前記効果伝達規則と前記衝突種類に基づいて、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知するステップは、
前記ロケーションツリー索引の各ノードに対して、そのアクセス制御規則リスト内の各アクセス禁止制御規則と、前記アクセス制御規則リスト内の各アクセス許可制御規則とを比較し、前記第一衝突種類に属するアクセス制御規則を検知し、かつ、前記各ノードの各先祖ノードを遍歴し、前記各先祖ノードの各アクセス制御規則リスト内の各アクセス禁止制御規則を獲得かつ比較し、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知すること、及び
前記ロケーションツリー索引の各ノードに対して、そのアクセス制御規則リスト内の各アクセス禁止制御規則と、前記アクセス制御規則リスト内の各アクセス許可制御規則とを比較し、前記第一衝突種類に属するアクセス制御規則を検知し、かつ、前記各ノードの各子孫ノードを遍歴し、前記各子孫ノードの各アクセス制御規則リスト内の各アクセス許可制御規則を獲得かつ比較し、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知することを含む、ことを特徴とする請求項5に記載の衝突検知方法。 - 前記効果伝達規則と前記衝突種類に基づいて、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知するステップは、
前記ロケーションツリー索引の各ノードに対して、そのアクセス制御規則リスト内の検知待ちアクセス制御規則に対応するロールを獲得することと、
前記強化ハッセ図内の前記ロールに対応するノードを確定することと、
前記検知待ちアクセス制御規則がアクセス許可制御規則である場合、前記強化ハッセ図内の前記ロールに対応するノードの各子孫ノードを遍歴し、前記各子孫ノードの各アクセス制御規則リスト内の前記ロールに対応する各アクセス禁止制御規則を獲得かつ比較し、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知することと、
前記検知待ちアクセス制御規則がアクセス禁止制御規則である場合、前記強化ハッセ図内の前記ロールに対応するノードの各先祖ノードを遍歴し、前記各先祖ノードの各アクセス制御規則リスト内の前記ロールに対応する各アクセス許可制御規則を獲得かつ比較し、前記第二衝突種類と前記第三衝突種類に属するアクセス制御規則を検知することと、を含む、ことを特徴とする請求項5に記載の衝突検知方法。 - 位置ロケーションとロールに基づくアクセス制御規則の衝突検知装置であって、
アクセス制御のコントロールターゲットを複数の位置ロケーションに分割し、前記コントロールターゲット内の複数のユーザを複数のロールに分け、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築するように構成される階層関係構築ユニットと、
前記ロケーション階層関係及び前記ロール階層関係に基づいて、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定するように構成される伝達規則確定ユニットと、
前記ロケーション階層関係及び前記ロール階層関係に基づいて、前記アクセス制御規則集合のロケーションツリー索引を構築するように構成されるロケーションツリー索引構築ユニットと、
前記効果伝達規則と前記衝突種類に基づいて、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知するように構成される衝突検知ユニットと、を含む、ことを特徴とする衝突検知装置。 - コントロールターゲットに対するアクセス要求を受けるステップと、
前記アクセス要求を送信したユーザのロール及び所在位置ロケーションを確定するステップと、
前記ロール、前記位置ロケーション及び前記アクセス要求に基づいて、アクセス制御規則集合を検索し、前記アクセス要求にマッチするアクセス制御規則を確定するステップと、
前記アクセス制御規則を転送規則に変換するステップと、
前記転送規則によって前記アクセス要求に応じさせるステップと、を含み、
前記コントロールターゲットを複数の位置ロケーションに分割し、前記コントロールターゲット内の複数のユーザを複数のロールに分けることで、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築し、
前記ロケーション階層関係及び前記ロール階層関係に基づいて、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定し、
前記ロケーション階層関係及び前記ロール階層関係に基づいて、前記アクセス制御規則集合のロケーションツリー索引を構築し、
前記効果伝達規則と前記衝突種類に基づいて、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知する、ことを特徴とする位置ロケーションとロールに基づくアクセス制御方法。 - コントロールターゲットに対するアクセス要求を受け取る転送デバイスと、
前記アクセス要求に対してアクセス制御を行うコントロールデバイスと、を含み、
前記コントロールデバイスは、
前記アクセス要求を送信したユーザのロールを確定するロール確定モジュールと、
前記アクセス要求を送信したユーザの所在位置ロケーションを確定する位置決めモジュールと、
前記ロール、前記位置ロケーション及び前記アクセス要求に基づいて、アクセス制御規則集合を検索し、前記アクセス要求にマッチするアクセス制御規則を確定し、かつ、前記アクセス制御規則を転送規則に変換して前記転送デバイスに提供し、前記転送デバイスを前記転送規則に基づいて前記アクセス要求に応じさせるアクセス制御ユニットと、を含み、
前記コントロールターゲットを複数の位置ロケーションに分割し、前記コントロールターゲット内の複数のユーザを複数のロールに分けることで、前記複数の位置ロケーションのロケーション階層関係及び前記複数のロールのロール階層関係を構築し、
前記ロケーション階層関係及び前記ロール階層関係に基づいて、アクセス制御規則集合内のアクセス制御規則の効果伝達規則及びアクセス制御規則の衝突種類を確定し、
前記ロケーション階層関係及び前記ロール階層関係に基づいて、前記アクセス制御規則集合のロケーションツリー索引を構築し、
前記効果伝達規則と前記衝突種類に基づいて、前記ロケーションツリー索引を検索し、前記アクセス制御規則集合内のアクセス制御規則の衝突を検知する、ことを特徴とする位置ロケーションとロールに基づくアクセス制御装置。 - 位置ロケーションとロールに基づくアクセス制御規則の衝突検知とアクセス制御装置であって、
プロセッサーと、
コンピュータプログラムコマンドを格納するメモリと、を含み、
前記コンピュータプログラムコマンドが前記プロセッサーにより実行される時に、請求項1から7のいずれかの一項に記載の衝突検知方法及び請求項9に記載のアクセス制御方法を実行する、ことを特徴とする衝突検知とアクセス制御装置。 - コンピュータに、請求項1〜7の任意の一項に記載の衝突検知方法を実行させるためのプログラム。
- コンピュータに、請求項9に記載のアクセス制御方法を実行させるためのプログラム。
- 請求項12又は13に記載のプログラムを記憶したコンピュータ読み取り可能な記憶媒体。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710121152.0 | 2017-03-02 | ||
CN201710121152.0A CN108540427B (zh) | 2017-03-02 | 2017-03-02 | 冲突检测方法和检测设备、访问控制方法和访问控制装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2018147464A true JP2018147464A (ja) | 2018-09-20 |
Family
ID=63489226
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017238389A Pending JP2018147464A (ja) | 2017-03-02 | 2017-12-13 | 衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2018147464A (ja) |
CN (1) | CN108540427B (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220086126A1 (en) * | 2020-09-14 | 2022-03-17 | Huawei Technologies Co., Ltd. | Rule Detection Method and Related Device |
WO2022149226A1 (ja) * | 2021-01-07 | 2022-07-14 | 三菱電機株式会社 | アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112115304A (zh) * | 2019-06-20 | 2020-12-22 | 百度(中国)有限公司 | 偏序数据的处理方法、装置、系统及存储介质 |
CN113728600B (zh) * | 2019-09-11 | 2023-10-24 | Oppo广东移动通信有限公司 | 访问控制方法、设备及存储介质 |
CN112565167A (zh) * | 2019-09-26 | 2021-03-26 | 华为数字技术(苏州)有限公司 | 一种访问控制列表acl的检测方法及网络设备 |
CN112887316B (zh) * | 2021-01-29 | 2023-02-03 | 深圳市满星技术产业有限公司 | 一种基于分类的访问控制列表冲突检测系统及方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005182478A (ja) * | 2003-12-19 | 2005-07-07 | Ntt Data Corp | アクセス権の矛盾・冗長ルール検出を行うアクセス制御システム及びそのコンピュータプログラム |
JP2012519893A (ja) * | 2009-03-04 | 2012-08-30 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | アクセス制御ポリシの特定 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101631021B (zh) * | 2008-07-18 | 2014-04-02 | 日电(中国)有限公司 | 位置敏感且基于角色的访问控制方法、装置和系统 |
CN101706808B (zh) * | 2009-11-17 | 2012-07-04 | 中国科学院软件研究所 | 基于索引树的海量数据库访问控制方法 |
CN102957697A (zh) * | 2012-10-26 | 2013-03-06 | 上海交通大学 | 一种多域间基于rbac模型的访问控制策略合成方法 |
US8738791B1 (en) * | 2013-07-17 | 2014-05-27 | Phantom Technologies, Inc. | Location based network usage policies |
JP6179328B2 (ja) * | 2013-10-01 | 2017-08-16 | 富士ゼロックス株式会社 | 情報処理装置及び情報処理プログラム |
-
2017
- 2017-03-02 CN CN201710121152.0A patent/CN108540427B/zh active Active
- 2017-12-13 JP JP2017238389A patent/JP2018147464A/ja active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005182478A (ja) * | 2003-12-19 | 2005-07-07 | Ntt Data Corp | アクセス権の矛盾・冗長ルール検出を行うアクセス制御システム及びそのコンピュータプログラム |
JP2012519893A (ja) * | 2009-03-04 | 2012-08-30 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | アクセス制御ポリシの特定 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220086126A1 (en) * | 2020-09-14 | 2022-03-17 | Huawei Technologies Co., Ltd. | Rule Detection Method and Related Device |
US11916881B2 (en) * | 2020-09-14 | 2024-02-27 | Huawei Technologies Co., Ltd. | Rule detection method and related device |
WO2022149226A1 (ja) * | 2021-01-07 | 2022-07-14 | 三菱電機株式会社 | アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム |
JP7229446B1 (ja) * | 2021-01-07 | 2023-02-27 | 三菱電機株式会社 | アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム |
Also Published As
Publication number | Publication date |
---|---|
CN108540427B (zh) | 2021-09-07 |
CN108540427A (zh) | 2018-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2018147464A (ja) | 衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置 | |
US11748506B2 (en) | Access controlled graph query spanning | |
US11651325B2 (en) | Item delivery optimization | |
US20210385087A1 (en) | Zero-knowledge identity verification in a distributed computing system | |
CN108280367B (zh) | 数据操作权限的管理方法、装置、计算设备及存储介质 | |
US11082226B2 (en) | Zero-knowledge identity verification in a distributed computing system | |
KR102031695B1 (ko) | 자동화된 데이터 센터 선택 | |
EP3497951B1 (en) | Secure private location based services | |
US10955163B2 (en) | Automated building concierge | |
JP2016517076A (ja) | 自動化されたデスクトップ配置 | |
JPWO2006059639A1 (ja) | 情報共有システム、情報共有方法、グループ管理プログラム及びコンパートメント管理プログラム | |
JP2014086083A (ja) | ネットワークアクセス及び受付制御のためのソーシャルグラフの利用 | |
Singh et al. | Separation axioms in intuitionistic fuzzy topological spaces | |
JP5991386B2 (ja) | ネットワークシステム | |
CN109218280A (zh) | 实施数据中心中的物理和虚拟应用组件的微分段策略 | |
Pauwels et al. | Semantic technologies and interoperability in the built environment | |
US9390239B2 (en) | Software system template protection | |
US11966485B2 (en) | Property-level visibilities for knowledge-graph objects | |
Alamri et al. | Vertical indexing for moving objects in multifloor environments | |
US20170031965A1 (en) | Indexing structured data with security information | |
Nazam et al. | The Existence of Fixed Points for a Different Type of Contractions on Partial b‐Metric Spaces | |
US20090164471A1 (en) | Managing Distributed Data | |
US20240232814A1 (en) | Systems and methods for granular location based data security | |
KR102413632B1 (ko) | 문서 관리 장치 및 방법 | |
US11853452B2 (en) | Keeping databases compliant with data protection regulations by sensing the presence of sensitive data and transferring the data to compliant geographies |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171213 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190226 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190422 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190528 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190724 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20191210 |