JP3955378B2 - データアクセス制御を行うデータ通信システム - Google Patents
データアクセス制御を行うデータ通信システム Download PDFInfo
- Publication number
- JP3955378B2 JP3955378B2 JP07256398A JP7256398A JP3955378B2 JP 3955378 B2 JP3955378 B2 JP 3955378B2 JP 07256398 A JP07256398 A JP 07256398A JP 7256398 A JP7256398 A JP 7256398A JP 3955378 B2 JP3955378 B2 JP 3955378B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- application means
- group
- data security
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、データアクセス制御を行うデータ通信システムに係り、特に、データのアクセス制御をアプリケーション手段から切り離し、通信システムの基盤システムの一部として行うようにしたデータ通信システムに関する。
【0002】
なお、ここでデータのアクセスとは、データを取得できるようにすること、あるいはデータの内容を閲覧できることをいう。また、アプリケーション手段は、特定の目的のためのデータ処理をするソフトウェアプログラムによって制御された情報処理装置をいう。
【0003】
【従来の技術】
今日、情報通信技術の発達により、色々なデータセキュリティーレベルを有する多数のユーザーが共通のデータ通信ネットワークを使用してデータ通信を行っている。ここで、データセキュリティーレベルとは、アクセスできるデータの機密の度合いに応じて定められたものであり、ユーザーのデータに対するアクセス権限をいうものとする。
【0004】
従来のデータ通信では、共通のデータ通信ネットワークを通じて種々の機密の度合いを有するデータがやり取りされるので、データを所望の送信先以外のユーザーに傍受されたくない場合には様々な手段が講じられている。
【0005】
第一に、ユーザーが使用する情報処理装置で、データのアクセスを制御する方法がある。
ユーザーが使用する情報処理装置は、ソフトウェアプログラムによって制御されており、上記方法は、上記ソフトウェアプログラムによってユーザーのデータアクセス権限を認証し、データのアクセス制御を行うものである。
【0006】
このユーザーの情報処理装置のソフトウェアプログラムによって個別にデータアクセス制御を行うものには、オペレーションシステムレベルでデータアクセス制御を行うものと、アプリケーション手段のレベルでデータ制御を行うものがある。これらいずれのレベルのデータアクセス制御も、ユーザーの情報処理装置ごとに個別にデータアクセス制御を行う点では変わりない。具体的には、ユーザーによるデータアクセスの要求があった場合には、その要求を受けた情報処理装置で、そのユーザーによるデータアクセスが予定の取決めによって許可されているかどうかを確認し、許可されている場合にのみデータアクセスを許可するようにしたものである。
【0007】
第二に、特定の送信先のみがデータを受信できるようにした方法がある。
これは、通信プロトコルによって特定の送信先と通信チャンネルを保持し、所望の送信先以外のユーザーによるデータ傍受を排除する方法である。オンライン通信等はその端的な一例である。なお、この場合も、受信する情報処理装置でユーザーがそのデータを受信可能か否かの確認をする部分がある点で、上述した個別の情報処理装置でユーザーによるデータアクセスを制御する方法を一部有している。
【0008】
第三に、データを暗号化する方法がある。これは、データを暗号化し、特定のユーザー以外は暗号化データを復号化できないようにしたものである。
これによれば、たとえデータを傍受されたとしても、その内容を解読されないようにすることができる。データの暗号化の方法としては、例えば公開鍵秘密鍵方式がある。
【0009】
【発明が解決しようとする課題】
しかしながら、上記従来の通信データの機密保持の方法では、データの機密保持が不確実であったり、データの機密を保持するための作業が煩雑であったり、あるいは通信効率が低いという問題があった。
【0010】
最初の個別の情報処理装置でユーザーのデータのアクセス制御を行う方法の課題について説明する。
ユーザーの個別の情報処理装置でデータのアクセス制御を行う方法によれば、空間的に多数の情報処理装置が分散配置された状態で、すべての情報処理装置においてデータの機密保持を完全に維持するのは困難であった。つまり、各情報処理装置にデータアクセス制御を行うソフトプログラムが存在するので、不正なユーザーによるソフトプログラムの改竄とデータアクセスの可能性があった。
【0011】
また、この方法では、データのアクセス制御機能を多数の情報処理装置のソフトウェアプログラム中に組み込まなければならないので、データ通信システムを構成すること自体に全体として膨大な作業を必要とし、改変が必要な場合にも膨大な作業を必要としていた。
【0012】
また、データ通信システムにおけるデータセキュリティー(データの機密保持)に対しては、個別にデータセキュリティーレベルを設定してデータアクセス制御を行うより、統一的なデータセキュリティーレベルの下で統一的なデータアクセス制御を行う方が好ましい。
【0013】
次に、通信プロトコルによって特定の送信先と通信チャンネルを保持し、それ以外のユーザーによるデータ傍受を排除する方法の課題について説明する。この方法によれば、データを送信する際に、送信先を指定する必要がある。しかし、送信先が多数ある場合には、すべての送信先を指定することになり、不便である。現実のデータ通信の場面では、一定のデータアクセス権限以上のすべてのユーザーは自由にアクセスできる条件でデータを送信したい場合が多い。この要求に対しては、上記従来の方法では、そのまま対応することができなかった。
【0014】
また、限定的な通信局間でのみ通信をする関係上データの通信効率の面からも好ましくない問題を有していた。
【0015】
また、この方法によっても、受信する情報処理装置でユーザーの認証を行わなければならない。このため、物理的空間的に分散した多数の情報処理装置で、データアクセス制御を行うプログラムが存在し、上記個別の情報処理装置でユーザーのデータアクセスを制御する方法と本質的に同じ課題を有する。
【0016】
次に、データの暗号化・復号化の方法の課題について説明する。
データの暗号化・復号化の方法は、データを暗号化・復号化する必要があり、かつ、たとえば公開鍵秘密鍵方式では、各ユーザーが公開鍵を公表し、各自が秘密鍵を保持する。
【0017】
しかし、この方法では、例えば同一企業内のデータセキュリティーの目的のためには、システムがあまりにも複雑になりすぎる問題があった。現実のデータ通信の場面では、データ自体を暗号化することなく、データの閲覧を防止できればよい場合が多い。このため、このデータの暗号化・復号化の方法より簡単だが確実なデータアクセス制御の方法が求められていた。
【0018】
そこで、本発明の解決しようとする課題は、上記従来技術の問題点に鑑み、データアクセス制御を行うシステムとして全体として簡単な構成を有しており、維持管理が簡単であり、かつ、確実にデータの機密を保持できるデータ通信システムを提供することにある。
【0019】
【課題を解決するための手段】
本願発明に係るデータアクセス制御を行うデータ通信システムは、
データ通信を行うデータ通信ネットワークと、データのアクセス制御を行う複数のサーバーからなるデータアクセス制御システムと、前記サーバーにそれぞれ複数接続されデータ通信を行って所定のデータ処理を行うアプリケーション手段と、を有するデータ通信システムであって、
前記アプリケーション手段はそれぞれ、該アプリケーション手段を使用するユーザーが属する複数のグループと、該ユーザーが各グループにおいてアクセスできるデータの機密の度合いに応じて定められたデータセキュリティーレベルを付与されており、
前記データアクセス制御システムの各サーバーは、
送信データに、データセキュリティー情報として、送信元のアプリケーション手段を使用するユーザーの属するグループ及び各グループにおける前記データセキュリティーレベルを付加し、更に、必要により追加のデータセキュリティー情報として、ユーザーによって入力された送信先のアプリケーション手段を使用するユーザーのグループおよびそのグループにおけるデータセキュリティーレベルを付加し、送信先のアプリケーション手段が送信元のアプリケーション手段と同一のサーバーに接続されている場合は送信元のアプリケーション手段から該送信元のアプリケーション手段が接続されているサーバーに送信データを送信させて前記データセキュリティー情報を付加し、送信先のアプリケーション手段が送信元のアプリケーション手段と異なるサーバーに接続されている場合は前記送信元のアプリケーション手段から前記送信元のアプリケーション手段が接続されているサーバー及び前記データ通信ネットワークを介して前記異なるサーバーに前記データセキュリティー情報を付加した送信データを送信させる、データセキュリティー情報付加手段と、
送信元のアプリケーション手段と送信先のアプリケーション手段が同一のサーバーに接続されている場合は、送信元のアプリケーション手段から送信データを受信して前記データセキュリティー情報を付加して蓄積し、送信元のアプリケーション手段と送信先のアプリケーション手段が異なるサーバーに接続されている場合は、前記データ通信ネットワークを介して送信元のアプリケーション手段から送信された前記データセキュリティー情報を付加した送信データを受信して蓄積する、データ蓄積手段と、
前記データ蓄積手段によって蓄積されたデータにアクセスを試みたアプリケーション手段のユーザーの属するグループ及び該グループにおけるデータセキュリティーレベルとアクセスを試みられたデータのデータセキュリティー情報中のグループ及び該グループにおけるデータセキュリティーレベルとを比較し、アクセスを試みたアプリケーション手段のユーザーのグループがアクセスを試みられたデータのデータセキュリティー情報中のグループと同一であって、かつ、アクセスを試みたアプリケーション手段のユーザーの前記グループにおけるデータセキュリティーレベルがアクセスを試みられたデータのデータセキュリティー情報中のデータセキュリティーレベル以上となる場合が少なくとも一つあるときにのみそのアプリケーション手段によるデータアクセスを許可するリクエストマッチング手段と、を有している、
ことを特徴とする。
【0022】
【発明の実施の形態】
以下に、本発明の実施の形態について願書に添付した図面を用いて説明する。
【0023】
図1は、本発明の一実施形態による「データアクセス制御を行うデータ通信システム」の構成を概念的に説明したものである。
【0024】
図1に示すように、本発明によるデータ通信システム1は、複数のアプリケーション手段APと、データ通信ネットワーク2と、アプリケーション手段APとデータ通信ネットワーク2とのインタフェースをなすデータアクセス制御システム3とからなる。
【0025】
上記アプリケーション手段APは、データ通信を行って特定の目的のためのデータ処理を行うものである。実体的には、アプリケーション手段APは、所定のデータ処理を行うようにソフトウェアプログラムによって制御された情報処理装置をいう。
【0026】
なお、本明細書で、後述するようにアプリケーション手段APに情報のアクセス権限たるデータセキュリティーレベルが付与されているという場合、あるいはアプリケーション手段APがその送信データに追加のデータセキュリティー情報を付加するという場合には、アプリケーション手段を使用するユーザーは固定されていると考え、ユーザーのデータセキュリティーレベルがアプリケーション手段APに付与されている、あるいは、ユーザーが送信データに追加のデータセキュリティー情報を付加することをいうものとする。すなわち、システム上、アプリケーション手段APはユーザーを含めた一体的な存在として取扱うのである。その場合、アプリケーション手段APに対するデータアクセスの許可あるいは不許可は、それを使用するユーザーへのデータアクセスの許可あるいは不許可と同一意味を有する。
【0027】
上記データ通信ネットワーク2は、データ通信を行うシステムである。データ通信ネットワーク2は公知の構成を有しているものでよく、実体的には、通信回線網、制御機、交換機等のハードウェアと、経路選定、交換等の通信を行うための制御を行うソフトウェアとからなる。
【0028】
上記データアクセス制御システム3は、本発明の特徴的なデータアクセス制御を行う部分である。データアクセス制御システム3は、上記データ通信ネットワーク2とアプリケーション手段AP間のインタフェースをなす。ここで、インタフェースをなすとは、以下の諸機能を果たすことをいう。
【0029】
▲1▼ アプリケーション手段APからの送信をデータ通信ネットワーク2に中継する。中継に際し、各アプリケーション手段APとデータ通信ネットワーク2のコマンドやレスポンスなどの論理的特性を一致させ、正常な接続のための処理を行う。
【0030】
▲2▼ アプリケーション手段APからの送信を中継する際に、後述するデータセキュリティー情報を送信データに付加する。
【0031】
▲3▼ 送信されたデータを一時的に蓄積し、そのデータにアクセスするアプリケーション手段に対するデータアクセス制御、すなわち、データアクセスの許可と不許可の判定と制御を行う。
【0032】
本実施形態では、上述したインタフェースとデータアクセス制御の機能を果たすため、データアクセス制御システム3は、図1に示すように、複数のサーバーS1 ,S2 ,…,Sn からなる。各サーバーS1 ,S2 ,…,Sn は物理的には、通信機能を有し、アクセス制御を行うためのデータ処理を行うことが可能な情報処理装置からなる。
【0033】
各サーバーS1 ,S2 ,…,Sn には、複数のアプリケーション手段APがクライアント群として接続されている。一つのサーバーに接続するアプリケーション手段AP群が、共通の種類の情報を取扱う一つのグループを形成する。アプリケーション手段APがグループを形成するのは、グループの内外で情報の機密の度合いが相違するからである。グループの分かりやすい例としては、例えば、一企業内における総務部門、経理部門、人事部門などがある。これら各部門(各情報グループ)の同一部門内では、他部門に対してはかなり高度な機密性を有する情報も同部門の大部分のユーザーが共有することになる。すなわち、同一のデータでも、同一グループ内でやり取りする場合と他グループに対して送信する場合とでは、データの機密の度合いが異なるのである。
【0034】
また、同一グループ内でも、ユーザーによってアクセスすることができるデータの機密の度合いが相違する。この同一グループ内のデータアクセス権限(データセキュリティーレベル)の相違により、同一グループ内のデータアクセス制御が行われる。
【0035】
所定のユーザーすなわちアプリケーション手段APからの送信は、同一グループに対するものと、他グループに対するものとがある。
【0036】
同一グループに対する送信は、図1におけるアプリケーション手段AP1 からの送信がこれに該当する。アプリケーション手段AP1 から同一グループへのデータの送受信は、最初に送信データがアプリケーション手段AP1 からその同一グループのサーバーS2 に送られてそこに蓄積され、同一グループの他のアプリケーション手段APのアクセスによって、データが受け渡されることで実現される。
【0037】
この場合、アプリケーション手段AP1 からサーバーS2 にデータが送られてそこに蓄積された時に、そのデータにアクセス可能なアプリケーション手段APについて規定する情報(後述するデータセキュリティー情報)が付与される。後に、当該データに他のアプリケーション手段APからデータアクセスの要求があった場合に、そのデータセキュリティー情報が参照され、データに付与されたデータセキュリティー情報より高度なデータアクセス権限を有するアプリケーション手段APによるデータアクセスのみが許可される。
【0038】
次に、他のグループに対するデータの送受信について説明する。図1におけるアプリケーション手段AP2 からの送信がこれに該当する。アプリケーション手段AP2 から他のグループへのデータの送受信は、最初に送信データがアプリケーション手段AP2 の接続サーバーS1 に送られることから始まる。サーバーS1 は、送信元のアプリケーション手段AP2 のデータセキュリティレベル情報および追加のデータセキュリティー情報を付加し、データ通信ネットワーク2にデータを渡し、データ通信ネットワーク2の機能によって送信先グループのサーバーSn にデータを送信する。なおこの場合、送信先のサーバーを特定せず、データ通信ネットワーク2に接続されたすべてのサーバーに送信するようにしてもよい(ブロードキャスト通信)。
【0039】
サーバーSn は、サーバーS1 によって転送されたデータを受信し、それを蓄積する。このサーバーSn に接続されたアプリケーション手段APは、定期的にあるいはサーバーからデータ受信の知らせを受けてデータのアクセスを試みる。アプリケーション手段APからデータのアクセス要求を受けたサーバーSn は、アクセスを試みたアプリケーション手段APのデータセキュリティーレベルとアクセスを試みられたデータのデータセキュリティー情報とを比較し、アクセスを試みたアプリケーション手段APのグループがデータセキュリティー情報のグループと同一であり、かつ、アクセスを試みたアプリケーション手段APのデータセキュリティーレベルがアクセスを試みられたデータのデータセキュリティーレベル以上である場合にのみデータアクセスを許可するのである。
【0040】
以上により、送信元のアプリケーション手段AP2 が指定したグループの所定のデータアクセス権限以上のアプリケーション手段APのみがそのデータにアクセスすることができる。
【0041】
なお、図1の例ではデータアクセス制御システム3のサーバーは、同一の情報種類を共有するグループごとに一つ存在する構成となっていたが、サーバーは、複数存在する必要はなく、データアクセス制御を統一的に行う全システムにおいて単一のサーバーとしてもよい。また、複数のグループが同一のサーバーを共有することもできる。さらに、データ通信ネットワーク2の全体の通信制御を行っている情報処理装置がその制御を行ってもよい。
【0042】
次に、上記データアクセス制御の詳細について図2を用いて説明する。
本発明によるデータアクセス制御を行うデータ通信システムにおいて、アプリケーション手段は、それぞれ自らが取扱えるデータの機密の度合いを規定したデータセキュリティーレベルを付与されている。
【0043】
なお、アプリケーション手段は、階層化された複数のデータセキュリティーレベルを内有するグループの少なくとも一つに属するものとする。
【0044】
データアクセス制御システムは、データセキュリティー情報付加手段と、受信したデータを蓄積するサーバーと、リクエストマッチング手段と、を有している。
【0045】
データセキュリティー情報付加手段は、送信データに送信元のアプリケーション手段のデータセキュリティーレベルをデータセキュリティー情報として付加し、必要によりデータ通信ネットワークに渡す処理を行う手段である。
【0046】
リクエストマッチング手段は、前記サーバーに蓄積されたデータにアクセスを試みたアプリケーション手段のデータセキュリティーレベルとアクセスを試みられたデータのデータセキュリティー情報とを比較し、アクセスを試みたアプリケーション手段のグループとアクセスを試みられたデータのデータセキュリティー情報中のグループとが同一であって、かつ、アクセスを試みたアプリケーション手段のデータセキュリティーレベルがアクセスを試みられたデータのデータセキュリティー情報中のデータセキュリティーレベル以上となる場合が少なくとも一つあるときにのみそのアプリケーション手段によるデータアクセスを許可する手段である。
【0047】
また、以下の説明では、データを送信するユーザーに、必要により任意のデータセキュリティーレベルあるいは任意のデータセキュリティーレベル及びグループを追加のデータセキュリティー情報として送信データに追加させる追加データセキュリティー情報手段がアプリケーション手段あるいはデータアクセス制御システムのいずれかに設けられているものとする。
【0048】
以上の本発明のデータ通信システムを構成する各手段は、実体的には、上述したような処理を行うソフトウェアプログラムによって制御された情報処理装置である。これら情報処理装置は、その処理を行う限り、物理的な配置構成に依存しない。
【0049】
次に、図2に沿って上記各手段間の処理の関連、流れについて説明する。図2において、各ブロックは処理の内容を示し、各ブロックの出力の矢印の側に破線で囲って示したものは出力されるものの内容を示し、各ブロックの側にかっこで囲って示したものはその処理を行う本データ通信システムの構成手段である。
【0050】
図2に示すように、最初にあるアプリケーション手段(これを送信元アプリケーション手段ということにする)からデータを送信するものとする(ステップS100)。データの送信要求は、データアクセス制御システム(物理的にはその所定のサーバー)に送られる。
【0051】
次に、送信元アプリケーション手段あるいはデータアクセス制御システムのいずれかにより、追加のデータセキュリティー情報の有無が確認される(ステップS110)。
【0052】
追加のデータセキュリティー情報が有れば、追加データセキュリティー情報手段を介して、送信をしようとするユーザーによりそのデータを受信可能な送信先グループとそのグループにおけるデータセキュリティーレベルが指定される。(ステップS120)。
【0053】
上記追加のデータセキュリティー情報を付加した送信データは、データアクセス制御システムのデータセキュリティー情報付加手段に送られる。一方、上記ステップS110で追加データセキュリティー情報が無いと確認された送信データもそのままデータアクセス制御システムのデータセキュリティー情報付加手段に送られる。ここで、データセキュリティー情報付加手段により、送信データにデータ送信元のアプリケーション手段のグループとデータセキュリティーレベルが付加される(ステップS130)。
【0054】
上記ステップS130の処理により、送信データに送信元アプリケーション手段のグループとデータセキュリティーレベル、および必要により送信先アプリケーション手段のグループとそのデータセキュリティーレベルの情報(データセキュリティー情報)が付加される。このデータセキュリティー情報を付加したものは、データアクセス制御システムの所定のサーバーに送信され、そこに蓄積される(ステップS140)。
【0055】
このサーバーに蓄積されたデータには、定期的にあるいはデータ受信の知らせを受けてアプリケーション手段がアクセスを試みる(ステップS150)。
【0056】
データアクセスの要求があった場合には、データアクセス制御システムのリクエストマッチング手段により、データのデータセキュリティー情報とアクセスしようとするアプリケーション手段のデータセキュリティーレベルとが比較される(ステップS160)。
【0057】
この結果、アクセスを試みたアプリケーション手段のグループがアクセスを試みられたデータのデータセキュリティー情報中のグループと同一であり、かつ、アクセスを試みたアプリケーション手段のデータセキュリティーレベルがアクセスを試みられたデータのデータセキュリティー情報中のデータセキュリティーレベル以上の場合にのみデータのアクセスを許可する(ステップS170)。
【0058】
上記リクエストマッチングとデータアクセス制御を具体例と図3を用いて説明する。
【0059】
図3は、A,B,Cという三人のユーザーがそれぞれ別々のグループに属し、各グループにおいて別々のデータセキュリティーレベルを有している場合において、ユーザーBからデータDが送信された場合の各ユーザーに対するデータアクセス制御を説明したものである。
【0060】
図3の例では、3つの同種情報を取扱うグループM,N,Pが存在する。分かりやすさのために、仮にグループMは総務部門、グループNは経理部門、グループPは人事部門とする。グループM,N,Pは、社内共通の階層化されたデータセキュリティーレベル1,2,…,Nを内有しているとする。
【0061】
ユーザーAは、グループM(例えば総務部門)の責任者であり、グループM内では最高のデータセキュリティーレベルNを有し、グループM内のデータなら如何なるデータにもアクセスできるものとする。グループP(人事部門)については、ユーザーAは、ある程度の機密性を有するデータにアクセスでき、グループP内でデータセキュリティーレベル2を有している。しかし、グループN(経理部門)については、ユーザーAは、如何なるデータにもアクセスできず、データセキュリティーレベルを有していないとする。
【0062】
ユーザーBは、グループN(経理部門)の部員とする。ユーザーBは、その職務上グループN(経理部門)内でデータセキュリティーレベル2を有しているとする。ユーザーBは、グループM(総務部門)にデータセキュリティーレベル1を有している。
【0063】
ユーザーCは、グループP(人事部門)の責任者であり、グループP内では最高のデータセキュリティーレベルNを有し、グループP内のデータ(人事データ)なら如何なるデータにもアクセスできるものとする。グループN(経理部門)については、ユーザーCは、ある程度の機密性を有するデータにアクセスでき、グループN内でデータセキュリティーレベル2を有している。一方、グループM(総務部門)については、ユーザーCは、如何なるデータにもアクセスできず、データセキュリティーレベルを有していないとする。
【0064】
上記ユーザーのグループとデータセキュリティーレベルは、図3の下の表の左列の各欄に記載され、リクエストマッチング時に判断の基準となる。
【0065】
今、ユーザーBがデータDを送信したとする。データDには、データアクセス制御システムのデータセキュリティー情報付加手段により、送信元のデータセキュリティー情報として、グループM.データセキュリティーレベル1、グループN.データセキュリティーレベル2、グループP.データセキュリティーレベル無が自動的に付加される。
【0066】
さらに、ユーザーBが、グループMとPの責任者すなわちデータセキュリティーレベルN以上のユーザーがアクセス可能なように、追加データセキュリティー情報手段により追加のデータセキュリティー情報を付加したとする。
【0067】
上記データDのデータセキュリティー情報は、図3の中段に記載されたようになる。すなわち、(グループM.データセキュリティーレベルN)+(グループN.データセキュリティーレベル2)+(グループP.データセキュリティーレベルN)となる。
【0068】
このデータDにユーザーA,B,Cがそれぞれアクセスを試みたとすると、そのリクエストマッチングの結果は図3の下部の表のようになる。表中の○は、リクエストがアクセスを許可する条件をマッチしている場合を示す。他方、表中の×は、リクエストがアクセスを許可する条件をマッチしていない場合を示す。
【0069】
簡単なために、ユーザーAの場合についてのみ説明する。ユーザーAは、(グループM.データセキュリティーレベルN)というデータセキュリティーレベルと、(グループP.データセキュリティーレベル2)というデータセキュリティーレベルを有している。このユーザーAのデータセキュリティーレベルとデータDのデータセキュリティー情報について、同一グループのデータセキュリティーレベルを比較すると以下のようになる(データセキュリティーレベルを単にレベルと略記する)。
ユーザーA:
(グループM.レベルN) =(グループM.レベルN)→ マッチ
(グループN.レベル 無)<(グループN.レベル2)→ 不マッチ
(グループP.レベル2) <(グループP.レベルN)→ 不マッチ
リクエストがマッチする場合が一つでもあれば、そのユーザーA(アプリケーション手段)によるデータアクセスが許可され、リクエストマッチする場合が皆無な場合は、データアクセスが許可されない。
【0070】
なお、本願請求項中、アプリケーション手段のデータセキュリティーレベルがデータセキュリティー情報中のデータセキュリティーレベル以上とは、上述したように、アプリケーション手段のデータセキュリティーレベルがデータセキュリティー情報中のデータセキュリティーレベルに比してデータアクセス権限上高い位置にある状態をいうものとする。
【0071】
【発明の効果】
このように、本発明による「データアクセス制御を行うデータ通信システム」によれば、データのアクセス制御は、そのデータアクセス制御システムが、アプリケーション手段から切り離され、集中的に管理可能になる。データアクセス制御システムがアプリケーション手段から切り離されることにより、不正なユーザーによる改竄を防止でき、データの漏洩の可能性を低くすることができる。また、データアクセス制御システムが集中的に管理可能になることにより、システムが容易に監視でき、仮に不正な改竄やデータアクセスがあった場合にも発見が容易になる。
【0072】
また、本発明のシステムによれば、データそのものを暗号化する必要が無く、必要な場合には、データの内容をそのまま把握でき、便利である。
【0073】
また、一定のデータアクセス権限以上のユーザーから誰でもデータアクセスできるという設定ができ、実際の使用要求に即して高い効率で情報のやり取りを行うこともできる。
【0074】
データアクセスの管理の面からも、統一的なデータセキュリティーレベルで全体のデータアクセス制御が可能であり、簡素な情報管理体系の構築が可能になる。
【0075】
すなわち、本発明のデータ通信システムによれば、データのアクセス制御を行う装置とソフトウェアがアプリケーション手段から独立しているので、システム構築時のデータアクセス制御のためのプログラミングの労力が大幅に軽減され、その改変があった場合の労力も大幅に軽減される。
【0076】
最後に、本発明のデータ通信システムによれば、送信データは最初にすべてのグループに送信され、それ以降のデータのアクセスが制御される。このことにより、本発明のデータ通信システムでは、ブロードキャスト方式による通信が可能になり、通信効率の面で改善を図ることができる。
【図面の簡単な説明】
【図1】本発明の「データアクセス制御を行うデータ通信システム」のシステム構成を概念的に示した図。
【図2】本発明の「データアクセス制御を行うデータ通信システム」による処理の流れを示したフローチャート。
【図3】本発明の「データアクセス制御を行うデータ通信システム」によるリクエストマッチングを具体例を用いて説明した図。
【符号の説明】
1 データ通信システム
2 データ通信ネットワーク
3 データアクセス制御システム
AP アプリケーション手段
S サーバー
【発明の属する技術分野】
本発明は、データアクセス制御を行うデータ通信システムに係り、特に、データのアクセス制御をアプリケーション手段から切り離し、通信システムの基盤システムの一部として行うようにしたデータ通信システムに関する。
【0002】
なお、ここでデータのアクセスとは、データを取得できるようにすること、あるいはデータの内容を閲覧できることをいう。また、アプリケーション手段は、特定の目的のためのデータ処理をするソフトウェアプログラムによって制御された情報処理装置をいう。
【0003】
【従来の技術】
今日、情報通信技術の発達により、色々なデータセキュリティーレベルを有する多数のユーザーが共通のデータ通信ネットワークを使用してデータ通信を行っている。ここで、データセキュリティーレベルとは、アクセスできるデータの機密の度合いに応じて定められたものであり、ユーザーのデータに対するアクセス権限をいうものとする。
【0004】
従来のデータ通信では、共通のデータ通信ネットワークを通じて種々の機密の度合いを有するデータがやり取りされるので、データを所望の送信先以外のユーザーに傍受されたくない場合には様々な手段が講じられている。
【0005】
第一に、ユーザーが使用する情報処理装置で、データのアクセスを制御する方法がある。
ユーザーが使用する情報処理装置は、ソフトウェアプログラムによって制御されており、上記方法は、上記ソフトウェアプログラムによってユーザーのデータアクセス権限を認証し、データのアクセス制御を行うものである。
【0006】
このユーザーの情報処理装置のソフトウェアプログラムによって個別にデータアクセス制御を行うものには、オペレーションシステムレベルでデータアクセス制御を行うものと、アプリケーション手段のレベルでデータ制御を行うものがある。これらいずれのレベルのデータアクセス制御も、ユーザーの情報処理装置ごとに個別にデータアクセス制御を行う点では変わりない。具体的には、ユーザーによるデータアクセスの要求があった場合には、その要求を受けた情報処理装置で、そのユーザーによるデータアクセスが予定の取決めによって許可されているかどうかを確認し、許可されている場合にのみデータアクセスを許可するようにしたものである。
【0007】
第二に、特定の送信先のみがデータを受信できるようにした方法がある。
これは、通信プロトコルによって特定の送信先と通信チャンネルを保持し、所望の送信先以外のユーザーによるデータ傍受を排除する方法である。オンライン通信等はその端的な一例である。なお、この場合も、受信する情報処理装置でユーザーがそのデータを受信可能か否かの確認をする部分がある点で、上述した個別の情報処理装置でユーザーによるデータアクセスを制御する方法を一部有している。
【0008】
第三に、データを暗号化する方法がある。これは、データを暗号化し、特定のユーザー以外は暗号化データを復号化できないようにしたものである。
これによれば、たとえデータを傍受されたとしても、その内容を解読されないようにすることができる。データの暗号化の方法としては、例えば公開鍵秘密鍵方式がある。
【0009】
【発明が解決しようとする課題】
しかしながら、上記従来の通信データの機密保持の方法では、データの機密保持が不確実であったり、データの機密を保持するための作業が煩雑であったり、あるいは通信効率が低いという問題があった。
【0010】
最初の個別の情報処理装置でユーザーのデータのアクセス制御を行う方法の課題について説明する。
ユーザーの個別の情報処理装置でデータのアクセス制御を行う方法によれば、空間的に多数の情報処理装置が分散配置された状態で、すべての情報処理装置においてデータの機密保持を完全に維持するのは困難であった。つまり、各情報処理装置にデータアクセス制御を行うソフトプログラムが存在するので、不正なユーザーによるソフトプログラムの改竄とデータアクセスの可能性があった。
【0011】
また、この方法では、データのアクセス制御機能を多数の情報処理装置のソフトウェアプログラム中に組み込まなければならないので、データ通信システムを構成すること自体に全体として膨大な作業を必要とし、改変が必要な場合にも膨大な作業を必要としていた。
【0012】
また、データ通信システムにおけるデータセキュリティー(データの機密保持)に対しては、個別にデータセキュリティーレベルを設定してデータアクセス制御を行うより、統一的なデータセキュリティーレベルの下で統一的なデータアクセス制御を行う方が好ましい。
【0013】
次に、通信プロトコルによって特定の送信先と通信チャンネルを保持し、それ以外のユーザーによるデータ傍受を排除する方法の課題について説明する。この方法によれば、データを送信する際に、送信先を指定する必要がある。しかし、送信先が多数ある場合には、すべての送信先を指定することになり、不便である。現実のデータ通信の場面では、一定のデータアクセス権限以上のすべてのユーザーは自由にアクセスできる条件でデータを送信したい場合が多い。この要求に対しては、上記従来の方法では、そのまま対応することができなかった。
【0014】
また、限定的な通信局間でのみ通信をする関係上データの通信効率の面からも好ましくない問題を有していた。
【0015】
また、この方法によっても、受信する情報処理装置でユーザーの認証を行わなければならない。このため、物理的空間的に分散した多数の情報処理装置で、データアクセス制御を行うプログラムが存在し、上記個別の情報処理装置でユーザーのデータアクセスを制御する方法と本質的に同じ課題を有する。
【0016】
次に、データの暗号化・復号化の方法の課題について説明する。
データの暗号化・復号化の方法は、データを暗号化・復号化する必要があり、かつ、たとえば公開鍵秘密鍵方式では、各ユーザーが公開鍵を公表し、各自が秘密鍵を保持する。
【0017】
しかし、この方法では、例えば同一企業内のデータセキュリティーの目的のためには、システムがあまりにも複雑になりすぎる問題があった。現実のデータ通信の場面では、データ自体を暗号化することなく、データの閲覧を防止できればよい場合が多い。このため、このデータの暗号化・復号化の方法より簡単だが確実なデータアクセス制御の方法が求められていた。
【0018】
そこで、本発明の解決しようとする課題は、上記従来技術の問題点に鑑み、データアクセス制御を行うシステムとして全体として簡単な構成を有しており、維持管理が簡単であり、かつ、確実にデータの機密を保持できるデータ通信システムを提供することにある。
【0019】
【課題を解決するための手段】
本願発明に係るデータアクセス制御を行うデータ通信システムは、
データ通信を行うデータ通信ネットワークと、データのアクセス制御を行う複数のサーバーからなるデータアクセス制御システムと、前記サーバーにそれぞれ複数接続されデータ通信を行って所定のデータ処理を行うアプリケーション手段と、を有するデータ通信システムであって、
前記アプリケーション手段はそれぞれ、該アプリケーション手段を使用するユーザーが属する複数のグループと、該ユーザーが各グループにおいてアクセスできるデータの機密の度合いに応じて定められたデータセキュリティーレベルを付与されており、
前記データアクセス制御システムの各サーバーは、
送信データに、データセキュリティー情報として、送信元のアプリケーション手段を使用するユーザーの属するグループ及び各グループにおける前記データセキュリティーレベルを付加し、更に、必要により追加のデータセキュリティー情報として、ユーザーによって入力された送信先のアプリケーション手段を使用するユーザーのグループおよびそのグループにおけるデータセキュリティーレベルを付加し、送信先のアプリケーション手段が送信元のアプリケーション手段と同一のサーバーに接続されている場合は送信元のアプリケーション手段から該送信元のアプリケーション手段が接続されているサーバーに送信データを送信させて前記データセキュリティー情報を付加し、送信先のアプリケーション手段が送信元のアプリケーション手段と異なるサーバーに接続されている場合は前記送信元のアプリケーション手段から前記送信元のアプリケーション手段が接続されているサーバー及び前記データ通信ネットワークを介して前記異なるサーバーに前記データセキュリティー情報を付加した送信データを送信させる、データセキュリティー情報付加手段と、
送信元のアプリケーション手段と送信先のアプリケーション手段が同一のサーバーに接続されている場合は、送信元のアプリケーション手段から送信データを受信して前記データセキュリティー情報を付加して蓄積し、送信元のアプリケーション手段と送信先のアプリケーション手段が異なるサーバーに接続されている場合は、前記データ通信ネットワークを介して送信元のアプリケーション手段から送信された前記データセキュリティー情報を付加した送信データを受信して蓄積する、データ蓄積手段と、
前記データ蓄積手段によって蓄積されたデータにアクセスを試みたアプリケーション手段のユーザーの属するグループ及び該グループにおけるデータセキュリティーレベルとアクセスを試みられたデータのデータセキュリティー情報中のグループ及び該グループにおけるデータセキュリティーレベルとを比較し、アクセスを試みたアプリケーション手段のユーザーのグループがアクセスを試みられたデータのデータセキュリティー情報中のグループと同一であって、かつ、アクセスを試みたアプリケーション手段のユーザーの前記グループにおけるデータセキュリティーレベルがアクセスを試みられたデータのデータセキュリティー情報中のデータセキュリティーレベル以上となる場合が少なくとも一つあるときにのみそのアプリケーション手段によるデータアクセスを許可するリクエストマッチング手段と、を有している、
ことを特徴とする。
【0022】
【発明の実施の形態】
以下に、本発明の実施の形態について願書に添付した図面を用いて説明する。
【0023】
図1は、本発明の一実施形態による「データアクセス制御を行うデータ通信システム」の構成を概念的に説明したものである。
【0024】
図1に示すように、本発明によるデータ通信システム1は、複数のアプリケーション手段APと、データ通信ネットワーク2と、アプリケーション手段APとデータ通信ネットワーク2とのインタフェースをなすデータアクセス制御システム3とからなる。
【0025】
上記アプリケーション手段APは、データ通信を行って特定の目的のためのデータ処理を行うものである。実体的には、アプリケーション手段APは、所定のデータ処理を行うようにソフトウェアプログラムによって制御された情報処理装置をいう。
【0026】
なお、本明細書で、後述するようにアプリケーション手段APに情報のアクセス権限たるデータセキュリティーレベルが付与されているという場合、あるいはアプリケーション手段APがその送信データに追加のデータセキュリティー情報を付加するという場合には、アプリケーション手段を使用するユーザーは固定されていると考え、ユーザーのデータセキュリティーレベルがアプリケーション手段APに付与されている、あるいは、ユーザーが送信データに追加のデータセキュリティー情報を付加することをいうものとする。すなわち、システム上、アプリケーション手段APはユーザーを含めた一体的な存在として取扱うのである。その場合、アプリケーション手段APに対するデータアクセスの許可あるいは不許可は、それを使用するユーザーへのデータアクセスの許可あるいは不許可と同一意味を有する。
【0027】
上記データ通信ネットワーク2は、データ通信を行うシステムである。データ通信ネットワーク2は公知の構成を有しているものでよく、実体的には、通信回線網、制御機、交換機等のハードウェアと、経路選定、交換等の通信を行うための制御を行うソフトウェアとからなる。
【0028】
上記データアクセス制御システム3は、本発明の特徴的なデータアクセス制御を行う部分である。データアクセス制御システム3は、上記データ通信ネットワーク2とアプリケーション手段AP間のインタフェースをなす。ここで、インタフェースをなすとは、以下の諸機能を果たすことをいう。
【0029】
▲1▼ アプリケーション手段APからの送信をデータ通信ネットワーク2に中継する。中継に際し、各アプリケーション手段APとデータ通信ネットワーク2のコマンドやレスポンスなどの論理的特性を一致させ、正常な接続のための処理を行う。
【0030】
▲2▼ アプリケーション手段APからの送信を中継する際に、後述するデータセキュリティー情報を送信データに付加する。
【0031】
▲3▼ 送信されたデータを一時的に蓄積し、そのデータにアクセスするアプリケーション手段に対するデータアクセス制御、すなわち、データアクセスの許可と不許可の判定と制御を行う。
【0032】
本実施形態では、上述したインタフェースとデータアクセス制御の機能を果たすため、データアクセス制御システム3は、図1に示すように、複数のサーバーS1 ,S2 ,…,Sn からなる。各サーバーS1 ,S2 ,…,Sn は物理的には、通信機能を有し、アクセス制御を行うためのデータ処理を行うことが可能な情報処理装置からなる。
【0033】
各サーバーS1 ,S2 ,…,Sn には、複数のアプリケーション手段APがクライアント群として接続されている。一つのサーバーに接続するアプリケーション手段AP群が、共通の種類の情報を取扱う一つのグループを形成する。アプリケーション手段APがグループを形成するのは、グループの内外で情報の機密の度合いが相違するからである。グループの分かりやすい例としては、例えば、一企業内における総務部門、経理部門、人事部門などがある。これら各部門(各情報グループ)の同一部門内では、他部門に対してはかなり高度な機密性を有する情報も同部門の大部分のユーザーが共有することになる。すなわち、同一のデータでも、同一グループ内でやり取りする場合と他グループに対して送信する場合とでは、データの機密の度合いが異なるのである。
【0034】
また、同一グループ内でも、ユーザーによってアクセスすることができるデータの機密の度合いが相違する。この同一グループ内のデータアクセス権限(データセキュリティーレベル)の相違により、同一グループ内のデータアクセス制御が行われる。
【0035】
所定のユーザーすなわちアプリケーション手段APからの送信は、同一グループに対するものと、他グループに対するものとがある。
【0036】
同一グループに対する送信は、図1におけるアプリケーション手段AP1 からの送信がこれに該当する。アプリケーション手段AP1 から同一グループへのデータの送受信は、最初に送信データがアプリケーション手段AP1 からその同一グループのサーバーS2 に送られてそこに蓄積され、同一グループの他のアプリケーション手段APのアクセスによって、データが受け渡されることで実現される。
【0037】
この場合、アプリケーション手段AP1 からサーバーS2 にデータが送られてそこに蓄積された時に、そのデータにアクセス可能なアプリケーション手段APについて規定する情報(後述するデータセキュリティー情報)が付与される。後に、当該データに他のアプリケーション手段APからデータアクセスの要求があった場合に、そのデータセキュリティー情報が参照され、データに付与されたデータセキュリティー情報より高度なデータアクセス権限を有するアプリケーション手段APによるデータアクセスのみが許可される。
【0038】
次に、他のグループに対するデータの送受信について説明する。図1におけるアプリケーション手段AP2 からの送信がこれに該当する。アプリケーション手段AP2 から他のグループへのデータの送受信は、最初に送信データがアプリケーション手段AP2 の接続サーバーS1 に送られることから始まる。サーバーS1 は、送信元のアプリケーション手段AP2 のデータセキュリティレベル情報および追加のデータセキュリティー情報を付加し、データ通信ネットワーク2にデータを渡し、データ通信ネットワーク2の機能によって送信先グループのサーバーSn にデータを送信する。なおこの場合、送信先のサーバーを特定せず、データ通信ネットワーク2に接続されたすべてのサーバーに送信するようにしてもよい(ブロードキャスト通信)。
【0039】
サーバーSn は、サーバーS1 によって転送されたデータを受信し、それを蓄積する。このサーバーSn に接続されたアプリケーション手段APは、定期的にあるいはサーバーからデータ受信の知らせを受けてデータのアクセスを試みる。アプリケーション手段APからデータのアクセス要求を受けたサーバーSn は、アクセスを試みたアプリケーション手段APのデータセキュリティーレベルとアクセスを試みられたデータのデータセキュリティー情報とを比較し、アクセスを試みたアプリケーション手段APのグループがデータセキュリティー情報のグループと同一であり、かつ、アクセスを試みたアプリケーション手段APのデータセキュリティーレベルがアクセスを試みられたデータのデータセキュリティーレベル以上である場合にのみデータアクセスを許可するのである。
【0040】
以上により、送信元のアプリケーション手段AP2 が指定したグループの所定のデータアクセス権限以上のアプリケーション手段APのみがそのデータにアクセスすることができる。
【0041】
なお、図1の例ではデータアクセス制御システム3のサーバーは、同一の情報種類を共有するグループごとに一つ存在する構成となっていたが、サーバーは、複数存在する必要はなく、データアクセス制御を統一的に行う全システムにおいて単一のサーバーとしてもよい。また、複数のグループが同一のサーバーを共有することもできる。さらに、データ通信ネットワーク2の全体の通信制御を行っている情報処理装置がその制御を行ってもよい。
【0042】
次に、上記データアクセス制御の詳細について図2を用いて説明する。
本発明によるデータアクセス制御を行うデータ通信システムにおいて、アプリケーション手段は、それぞれ自らが取扱えるデータの機密の度合いを規定したデータセキュリティーレベルを付与されている。
【0043】
なお、アプリケーション手段は、階層化された複数のデータセキュリティーレベルを内有するグループの少なくとも一つに属するものとする。
【0044】
データアクセス制御システムは、データセキュリティー情報付加手段と、受信したデータを蓄積するサーバーと、リクエストマッチング手段と、を有している。
【0045】
データセキュリティー情報付加手段は、送信データに送信元のアプリケーション手段のデータセキュリティーレベルをデータセキュリティー情報として付加し、必要によりデータ通信ネットワークに渡す処理を行う手段である。
【0046】
リクエストマッチング手段は、前記サーバーに蓄積されたデータにアクセスを試みたアプリケーション手段のデータセキュリティーレベルとアクセスを試みられたデータのデータセキュリティー情報とを比較し、アクセスを試みたアプリケーション手段のグループとアクセスを試みられたデータのデータセキュリティー情報中のグループとが同一であって、かつ、アクセスを試みたアプリケーション手段のデータセキュリティーレベルがアクセスを試みられたデータのデータセキュリティー情報中のデータセキュリティーレベル以上となる場合が少なくとも一つあるときにのみそのアプリケーション手段によるデータアクセスを許可する手段である。
【0047】
また、以下の説明では、データを送信するユーザーに、必要により任意のデータセキュリティーレベルあるいは任意のデータセキュリティーレベル及びグループを追加のデータセキュリティー情報として送信データに追加させる追加データセキュリティー情報手段がアプリケーション手段あるいはデータアクセス制御システムのいずれかに設けられているものとする。
【0048】
以上の本発明のデータ通信システムを構成する各手段は、実体的には、上述したような処理を行うソフトウェアプログラムによって制御された情報処理装置である。これら情報処理装置は、その処理を行う限り、物理的な配置構成に依存しない。
【0049】
次に、図2に沿って上記各手段間の処理の関連、流れについて説明する。図2において、各ブロックは処理の内容を示し、各ブロックの出力の矢印の側に破線で囲って示したものは出力されるものの内容を示し、各ブロックの側にかっこで囲って示したものはその処理を行う本データ通信システムの構成手段である。
【0050】
図2に示すように、最初にあるアプリケーション手段(これを送信元アプリケーション手段ということにする)からデータを送信するものとする(ステップS100)。データの送信要求は、データアクセス制御システム(物理的にはその所定のサーバー)に送られる。
【0051】
次に、送信元アプリケーション手段あるいはデータアクセス制御システムのいずれかにより、追加のデータセキュリティー情報の有無が確認される(ステップS110)。
【0052】
追加のデータセキュリティー情報が有れば、追加データセキュリティー情報手段を介して、送信をしようとするユーザーによりそのデータを受信可能な送信先グループとそのグループにおけるデータセキュリティーレベルが指定される。(ステップS120)。
【0053】
上記追加のデータセキュリティー情報を付加した送信データは、データアクセス制御システムのデータセキュリティー情報付加手段に送られる。一方、上記ステップS110で追加データセキュリティー情報が無いと確認された送信データもそのままデータアクセス制御システムのデータセキュリティー情報付加手段に送られる。ここで、データセキュリティー情報付加手段により、送信データにデータ送信元のアプリケーション手段のグループとデータセキュリティーレベルが付加される(ステップS130)。
【0054】
上記ステップS130の処理により、送信データに送信元アプリケーション手段のグループとデータセキュリティーレベル、および必要により送信先アプリケーション手段のグループとそのデータセキュリティーレベルの情報(データセキュリティー情報)が付加される。このデータセキュリティー情報を付加したものは、データアクセス制御システムの所定のサーバーに送信され、そこに蓄積される(ステップS140)。
【0055】
このサーバーに蓄積されたデータには、定期的にあるいはデータ受信の知らせを受けてアプリケーション手段がアクセスを試みる(ステップS150)。
【0056】
データアクセスの要求があった場合には、データアクセス制御システムのリクエストマッチング手段により、データのデータセキュリティー情報とアクセスしようとするアプリケーション手段のデータセキュリティーレベルとが比較される(ステップS160)。
【0057】
この結果、アクセスを試みたアプリケーション手段のグループがアクセスを試みられたデータのデータセキュリティー情報中のグループと同一であり、かつ、アクセスを試みたアプリケーション手段のデータセキュリティーレベルがアクセスを試みられたデータのデータセキュリティー情報中のデータセキュリティーレベル以上の場合にのみデータのアクセスを許可する(ステップS170)。
【0058】
上記リクエストマッチングとデータアクセス制御を具体例と図3を用いて説明する。
【0059】
図3は、A,B,Cという三人のユーザーがそれぞれ別々のグループに属し、各グループにおいて別々のデータセキュリティーレベルを有している場合において、ユーザーBからデータDが送信された場合の各ユーザーに対するデータアクセス制御を説明したものである。
【0060】
図3の例では、3つの同種情報を取扱うグループM,N,Pが存在する。分かりやすさのために、仮にグループMは総務部門、グループNは経理部門、グループPは人事部門とする。グループM,N,Pは、社内共通の階層化されたデータセキュリティーレベル1,2,…,Nを内有しているとする。
【0061】
ユーザーAは、グループM(例えば総務部門)の責任者であり、グループM内では最高のデータセキュリティーレベルNを有し、グループM内のデータなら如何なるデータにもアクセスできるものとする。グループP(人事部門)については、ユーザーAは、ある程度の機密性を有するデータにアクセスでき、グループP内でデータセキュリティーレベル2を有している。しかし、グループN(経理部門)については、ユーザーAは、如何なるデータにもアクセスできず、データセキュリティーレベルを有していないとする。
【0062】
ユーザーBは、グループN(経理部門)の部員とする。ユーザーBは、その職務上グループN(経理部門)内でデータセキュリティーレベル2を有しているとする。ユーザーBは、グループM(総務部門)にデータセキュリティーレベル1を有している。
【0063】
ユーザーCは、グループP(人事部門)の責任者であり、グループP内では最高のデータセキュリティーレベルNを有し、グループP内のデータ(人事データ)なら如何なるデータにもアクセスできるものとする。グループN(経理部門)については、ユーザーCは、ある程度の機密性を有するデータにアクセスでき、グループN内でデータセキュリティーレベル2を有している。一方、グループM(総務部門)については、ユーザーCは、如何なるデータにもアクセスできず、データセキュリティーレベルを有していないとする。
【0064】
上記ユーザーのグループとデータセキュリティーレベルは、図3の下の表の左列の各欄に記載され、リクエストマッチング時に判断の基準となる。
【0065】
今、ユーザーBがデータDを送信したとする。データDには、データアクセス制御システムのデータセキュリティー情報付加手段により、送信元のデータセキュリティー情報として、グループM.データセキュリティーレベル1、グループN.データセキュリティーレベル2、グループP.データセキュリティーレベル無が自動的に付加される。
【0066】
さらに、ユーザーBが、グループMとPの責任者すなわちデータセキュリティーレベルN以上のユーザーがアクセス可能なように、追加データセキュリティー情報手段により追加のデータセキュリティー情報を付加したとする。
【0067】
上記データDのデータセキュリティー情報は、図3の中段に記載されたようになる。すなわち、(グループM.データセキュリティーレベルN)+(グループN.データセキュリティーレベル2)+(グループP.データセキュリティーレベルN)となる。
【0068】
このデータDにユーザーA,B,Cがそれぞれアクセスを試みたとすると、そのリクエストマッチングの結果は図3の下部の表のようになる。表中の○は、リクエストがアクセスを許可する条件をマッチしている場合を示す。他方、表中の×は、リクエストがアクセスを許可する条件をマッチしていない場合を示す。
【0069】
簡単なために、ユーザーAの場合についてのみ説明する。ユーザーAは、(グループM.データセキュリティーレベルN)というデータセキュリティーレベルと、(グループP.データセキュリティーレベル2)というデータセキュリティーレベルを有している。このユーザーAのデータセキュリティーレベルとデータDのデータセキュリティー情報について、同一グループのデータセキュリティーレベルを比較すると以下のようになる(データセキュリティーレベルを単にレベルと略記する)。
ユーザーA:
(グループM.レベルN) =(グループM.レベルN)→ マッチ
(グループN.レベル 無)<(グループN.レベル2)→ 不マッチ
(グループP.レベル2) <(グループP.レベルN)→ 不マッチ
リクエストがマッチする場合が一つでもあれば、そのユーザーA(アプリケーション手段)によるデータアクセスが許可され、リクエストマッチする場合が皆無な場合は、データアクセスが許可されない。
【0070】
なお、本願請求項中、アプリケーション手段のデータセキュリティーレベルがデータセキュリティー情報中のデータセキュリティーレベル以上とは、上述したように、アプリケーション手段のデータセキュリティーレベルがデータセキュリティー情報中のデータセキュリティーレベルに比してデータアクセス権限上高い位置にある状態をいうものとする。
【0071】
【発明の効果】
このように、本発明による「データアクセス制御を行うデータ通信システム」によれば、データのアクセス制御は、そのデータアクセス制御システムが、アプリケーション手段から切り離され、集中的に管理可能になる。データアクセス制御システムがアプリケーション手段から切り離されることにより、不正なユーザーによる改竄を防止でき、データの漏洩の可能性を低くすることができる。また、データアクセス制御システムが集中的に管理可能になることにより、システムが容易に監視でき、仮に不正な改竄やデータアクセスがあった場合にも発見が容易になる。
【0072】
また、本発明のシステムによれば、データそのものを暗号化する必要が無く、必要な場合には、データの内容をそのまま把握でき、便利である。
【0073】
また、一定のデータアクセス権限以上のユーザーから誰でもデータアクセスできるという設定ができ、実際の使用要求に即して高い効率で情報のやり取りを行うこともできる。
【0074】
データアクセスの管理の面からも、統一的なデータセキュリティーレベルで全体のデータアクセス制御が可能であり、簡素な情報管理体系の構築が可能になる。
【0075】
すなわち、本発明のデータ通信システムによれば、データのアクセス制御を行う装置とソフトウェアがアプリケーション手段から独立しているので、システム構築時のデータアクセス制御のためのプログラミングの労力が大幅に軽減され、その改変があった場合の労力も大幅に軽減される。
【0076】
最後に、本発明のデータ通信システムによれば、送信データは最初にすべてのグループに送信され、それ以降のデータのアクセスが制御される。このことにより、本発明のデータ通信システムでは、ブロードキャスト方式による通信が可能になり、通信効率の面で改善を図ることができる。
【図面の簡単な説明】
【図1】本発明の「データアクセス制御を行うデータ通信システム」のシステム構成を概念的に示した図。
【図2】本発明の「データアクセス制御を行うデータ通信システム」による処理の流れを示したフローチャート。
【図3】本発明の「データアクセス制御を行うデータ通信システム」によるリクエストマッチングを具体例を用いて説明した図。
【符号の説明】
1 データ通信システム
2 データ通信ネットワーク
3 データアクセス制御システム
AP アプリケーション手段
S サーバー
Claims (1)
- データ通信を行うデータ通信ネットワークと、データのアクセス制御を行う複数のサーバーからなるデータアクセス制御システムと、前記サーバーにそれぞれ複数接続されデータ通信を行って所定のデータ処理を行うアプリケーション手段と、を有するデータ通信システムであって、
前記アプリケーション手段はそれぞれ、該アプリケーション手段を使用するユーザーが属する複数のグループと、該ユーザーが各グループにおいてアクセスできるデータの機密の度合いに応じて定められたデータセキュリティーレベルを付与されており、
前記データアクセス制御システムの各サーバーは、
送信データに、データセキュリティー情報として、送信元のアプリケーション手段を使用するユーザーの属するグループ及び各グループにおける前記データセキュリティーレベルを付加し、更に、必要により追加のデータセキュリティー情報として、ユーザーによって入力された送信先のアプリケーション手段を使用するユーザーのグループおよびそのグループにおけるデータセキュリティーレベルを付加し、送信先のアプリケーション手段が送信元のアプリケーション手段と同一のサーバーに接続されている場合は送信元のアプリケーション手段から該送信元のアプリケーション手段が接続されているサーバーに送信データを送信させて前記データセキュリティー情報を付加し、送信先のアプリケーション手段が送信元のアプリケーション手段と異なるサーバーに接続されている場合は前記送信元のアプリケーション手段から前記送信元のアプリケーション手段が接続されているサーバー及び前記データ通信ネットワークを介して前記異なるサーバーに前記データセキュリティー情報を付加した送信データを送信させる、データセキュリティー情報付加手段と、
送信元のアプリケーション手段と送信先のアプリケーション手段が同一のサーバーに接続されている場合は、送信元のアプリケーション手段から送信データを受信して前記データセキュリティー情報を付加して蓄積し、送信元のアプリケーション手段と送信先のアプリケーション手段が異なるサーバーに接続されている場合は、前記データ通信ネットワークを介して送信元のアプリケーション手段から送信された前記データセキュリティー情報を付加した送信データを受信して蓄積する、データ蓄積手段と、
前記データ蓄積手段によって蓄積されたデータにアクセスを試みたアプリケーション手段のユーザーの属するグループ及び該グループにおけるデータセキュリティーレベルとアクセスを試みられたデータのデータセキュリティー情報中のグループ及び該グループにおけるデータセキュリティーレベルとを比較し、アクセスを試みたアプリケーション手段のユーザーのグループがアクセスを試みられたデータのデータセキュリティー情報中のグループと同一であって、かつ、アクセスを試みたアプリケーション手段のユーザーの前記グループにおけるデータセキュリティーレベルがアクセスを試みられたデータのデータセキュリティー情報中のデータセキュリティーレベル以上となる場合が少なくとも一つあるときにのみそのアプリケーション手段によるデータアクセスを許可するリクエストマッチング手段と、を有している、
ことを特徴とするデータアクセス制御を行うデータ通信システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP07256398A JP3955378B2 (ja) | 1998-03-20 | 1998-03-20 | データアクセス制御を行うデータ通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP07256398A JP3955378B2 (ja) | 1998-03-20 | 1998-03-20 | データアクセス制御を行うデータ通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11272616A JPH11272616A (ja) | 1999-10-08 |
| JP3955378B2 true JP3955378B2 (ja) | 2007-08-08 |
Family
ID=13492969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP07256398A Expired - Lifetime JP3955378B2 (ja) | 1998-03-20 | 1998-03-20 | データアクセス制御を行うデータ通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3955378B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3950010B2 (ja) * | 2002-05-17 | 2007-07-25 | 株式会社エヌ・ティ・ティ・ドコモ | データ処理装置、プログラムおよび記録媒体 |
| JP4629304B2 (ja) | 2002-10-30 | 2011-02-09 | 株式会社エヌ・ティ・ティ・ドコモ | 通信装置、プログラムおよび記録媒体 |
| GB2397665A (en) | 2003-01-27 | 2004-07-28 | Hewlett Packard Co | Operating system data management |
| US7543330B2 (en) | 2004-04-08 | 2009-06-02 | International Business Machines Corporation | Method and apparatus for governing the transfer of physiological and emotional user data |
| KR101742525B1 (ko) | 2007-05-18 | 2017-06-15 | 씨큐어 키즈 피티와이 리미티드 | 보안 토큰과 그 보안 토큰을 생성하고 복호화하는 시스템 및 방법 |
| JP5391619B2 (ja) | 2008-09-24 | 2014-01-15 | 富士ゼロックス株式会社 | 処理装置、処理システム及び処理制御プログラム |
| CN102713925B (zh) * | 2010-01-13 | 2015-09-02 | 日本电气株式会社 | 机密信息泄露防止系统、机密信息泄露防止方法及机密信息泄露防止程序 |
| US20120291106A1 (en) * | 2010-01-19 | 2012-11-15 | Nec Corporation | Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program |
-
1998
- 1998-03-20 JP JP07256398A patent/JP3955378B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPH11272616A (ja) | 1999-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2725655C (en) | Access and control system for network-enabled devices | |
| US7120692B2 (en) | Access and control system for network-enabled devices | |
| US5638448A (en) | Network with secure communications sessions | |
| US5812671A (en) | Cryptographic communication system | |
| US7178021B1 (en) | Method and apparatus for using non-secure file servers for secure information storage | |
| US6684330B1 (en) | Cryptographic information and flow control | |
| US6381695B2 (en) | Encryption system with time-dependent decryption | |
| US8136143B2 (en) | Generalized policy server | |
| US5956406A (en) | Method of setting up secure communications and associated encryption/decryption system | |
| US20040054891A1 (en) | Secure encryption key distribution | |
| US20030023559A1 (en) | Method for securing digital information and system therefor | |
| US20050138371A1 (en) | Method and system for distribution of notifications in file security systems | |
| US20070118733A1 (en) | Secure synchronization and sharing of secrets | |
| US6725370B1 (en) | Sharing data safely using service replication | |
| US6847719B1 (en) | Limiting receiver access to secure read-only communications over a network by preventing access to source-formatted plaintext | |
| US20030007645A1 (en) | Method and system for allowing a sender to send an encrypted message to a recipient from any data terminal | |
| JP3955378B2 (ja) | データアクセス制御を行うデータ通信システム | |
| US20040083363A1 (en) | Secure group secret distribution | |
| CN113647051B (zh) | 用于安全电子数据传输的系统和方法 | |
| AU762061B2 (en) | Generalized policy server | |
| WO2002021793A2 (en) | System and method for encrypted message interchange | |
| JP4390965B2 (ja) | インターネット環境下のネットワーク接続管理システム | |
| JP3893055B2 (ja) | ネットワークのセキュリティシステム及びそのセキュリティ方法 | |
| JPH10173643A (ja) | 情報アクセス制御方式 | |
| WO2001065806A2 (en) | System and method for avoiding re-routing in a computer network during secure remote access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041021 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041119 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050222 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050425 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060602 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060801 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070403 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070502 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110511 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110511 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120511 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120511 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130511 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140511 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |