JP4152099B2 - アクセス制御履歴保証方法 - Google Patents

アクセス制御履歴保証方法 Download PDF

Info

Publication number
JP4152099B2
JP4152099B2 JP2001376606A JP2001376606A JP4152099B2 JP 4152099 B2 JP4152099 B2 JP 4152099B2 JP 2001376606 A JP2001376606 A JP 2001376606A JP 2001376606 A JP2001376606 A JP 2001376606A JP 4152099 B2 JP4152099 B2 JP 4152099B2
Authority
JP
Japan
Prior art keywords
access control
access
history
history data
account
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001376606A
Other languages
English (en)
Other versions
JP2003177967A (ja
Inventor
洋一 金井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2001376606A priority Critical patent/JP4152099B2/ja
Publication of JP2003177967A publication Critical patent/JP2003177967A/ja
Application granted granted Critical
Publication of JP4152099B2 publication Critical patent/JP4152099B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、アクセス制御履歴保証方法、より詳細には、ファイルに対するアクセス制御が適切に実施されていたことを保証するアクセス制御履歴保証方法に関する。
【0002】
【従来の技術】
UNIX(登録商標)やWindows(登録商標)のようなオペレーティングシステム(OS)や、電子文書管理システムでは、その制御下に置かれているファイル、電子文書といったものに対して正当なユーザのみがアクセスできるようにアクセス制御を行うのが一般的である。そのようにアクセス制御されるオブジェクト(ファイル、電子文書)に対して、実際にどのようなアクセスがあったのか、不正なアクセスがなかったか、を後で調べられるようにするために、各オブジェクトに対するアクセス履歴(アクセスログ)を記録しておくのが一般的である。
【0003】
システムの安全運用監査などを行う際には、上記のようにして記録されたアクセス履歴を参照・確認することになる。しかし、オブジェクトの個数が多くなると、各オブジェクトにどのようなアクセスがあったかを監査するのは非常に手間がかかることになり、実際には例えばサンプリング監査をすることになる。サンプリング監査を行った場合には、サンプリングの対象とならなかったオブジェクトへの不正アクセスがなかったかどうかについては、確認することができない。
【0004】
しかし、その一方で、アクセス制御に使用された設定情報というものはそれほど頻繁に変更することはなく、また、各オブジェクトについてばらばらなアクセス制御を行うことは稀であって、例えばあるフォルダとその下位のファイルにはすべて同じアクセス権を付与する、というような運用を行うのが一般的である。
【0005】
そのため、システムの監査を考えれば、各オブジェクトへのアクセス履歴を記録しておくよりも、適切なアクセス制御設定を実行していたことの履歴を記録しておいて、その履歴を監査するようにすればオブジェクトをサンプリングして監査するよりも、広い範囲のオブジェクトについて満遍のない監査を行うことができる。
【0006】
【発明が解決しようとする課題】
本発明は、上述のごとき実情に鑑みてなされたもので、ファイルに対するアクセス制御が適切に実施されていたことを保証するアクセス制御履歴保証方法を提供することを目的とするものである。
【0007】
【課題を解決するための手段】
請求項1の発明は、サブジェクトがオブジェクトへアクセスする際に、サブジェクトに付与されたアクセス権に応じて、サブジェクトからオブジェクトへのアクセスを制御するシステムに適用され、該アクセスの制御履歴を保証できるようにしたアクセス制御履歴保証方法において、前記アクセスを制御するシステムは、オブジェクトごとに設定されているサブジェクトのアクセス権の変遷の履歴を、前記システムが備えるデータベースにアクセス制御履歴データとして記録しておき、記録した該アクセス制御履歴データに対して、後で改ざん検知が可能なように処理しておくことを特徴としたものである。
【0008】
請求項2の発明は、請求項1の発明において、前記アクセス権は、オブジェクトごとに設定されたアクセス制御リストによって指示されていることを特徴としたものである。
【0009】
請求項3の発明は、請求項1または2の発明において、前記アクセスを制御するシステムは、前記アクセス制御履歴データの改ざんを検知するために、該アクセス制御履歴データに対してメッセージ認証子を計算して該アクセス制御履歴データとともに前記データベースに記録しておくことを特徴としたものである。
【0010】
請求項4の発明は、請求項1または2の発明において、前記アクセスを制御するシステムは、前記アクセス制御履歴データの改ざんを検知するために、該アクセス制御履歴データに対して電子署名を計算して該アクセス制御履歴データとともに前記データベースに記録しておくことを特徴としたものである。
【0011】
請求項5の発明は、サブジェクトがオブジェクトへアクセスする際に、サブジェクトに付与されたアクセス権に応じて、サブジェクトからオブジェクトへのアクセスを制御するシステムに適用され、該アクセスの制御履歴を保証できるようにしたアクセス制御履歴保証方法において、前記アクセスを制御するシステムは、サブジェクトを構成する要素を示すアカウントの変遷の履歴を、前記システムが備えるデータベースにアカウント構成履歴データとして、記録しておき、記録した該アカウント構成履歴データに対して、後で改ざん検知が可能なように処理しておくことを特徴としたものである。
【0012】
請求項6の発明は、請求項5の発明において、前記サブジェクトは、システムのユーザアカウントとグループアカウントとにより示される要素によって構成されることを特徴としたものである。
【0013】
請求項7の発明は、請求項5または6の発明において、前記アクセスを制御するシステムは、前記アカウント構成履歴データの改ざんを検知するために、アカウント構成履歴データに対してメッセージ認証子を計算して該アカウント構成履歴データとともに前記データベースに記録しておくことを特徴としたものである。
【0014】
請求項8の発明は、請求項5または6の発明において、前記アクセスを制御するシステムは、前記アカウント構成履歴データの改ざんを検出するために、該アカウント構成履歴データに対して電子署名を計算して該アカウント構成履歴データとともに前記データベースに記録しておくことを特徴としたものである。
【0015】
請求項9の発明は、サブジェクトがオブジェクトへアクセスする際に、サブジェクトに付与されたアクセス権に応じて、サブジェクトからオブジェクトへのアクセスを制御するシステムに適用され、該アクセスの制御履歴を保証できるようにしたアクセス制御履歴保証方法において、前記アクセスを制御するシステムは、オブジェクトごとに設定されているサブジェクトのアクセス権の変遷の履歴を、前記システムが備えるデータベースにアクセス制御履歴データとして記録しておき、記録した該アクセス制御履歴データに対して、後で改ざん検知が可能なように処理しておき、さらに前記アクセスを制御するシステムは、サブジェクトを構成する要素を示すアカウントの変遷の履歴を、前記システムが備える他のデータベースにアカウント構成履歴データとして記録しておき、記録した該アカウント構成履歴データに対して、後で改ざん検知が可能なように処理しておくことを特徴としたものである。
【0016】
請求項10の発明は、請求項9の発明において、前記アクセス権は、オブジェクトごとに設定されたアクセス制御リストによって指示されていることを特徴としたものである。
【0017】
請求項11の発明は、請求項9の発明において、サブジェクトは、システムのユーザアカウントとグループアカウントとにより示される要素によって構成されることを特徴としたものである。
【0018】
請求項12の発明は、請求項9ないし11のいずれか1の発明おいて、前記アクセスを制御するシステムは、前記アクセス制御履歴データと前記アカウント構成履歴データの改ざんを検出するために、該アクセス制御履歴データと該アカウント構成履歴データそれぞれに対してメッセージ認証子を計算して該アクセス制御履歴データと該アカウント構成履歴データそれぞれ前記データベース及び前記他のデータベースに記録しておくことを特徴としたものである。
【0019】
【発明の実施の形態】
図1は、本発明のアクセス制御履歴保証方法を適用可能な電子文書管理システムの一例を説明するためのブロック図である。ここでは本発明の実施の形態を電子文書管理システムを例にして説明する。電子文書管理システム10は、電子文書DB15を内部に備え、ユーザから電子文書へのアクセスの要求が入力されると、ユーザ認証手段11によってそのユーザの認証を行い、アクセス権検証手段13が文書へのアクセス権の有無をチェックした上で、アクセス権がある場合に限り、文書アクセス処理手段12によってユーザから要求されたアクセス処理を実行するシステムである。
【0020】
図2は、図1に示すごとくの電子文書管理システムにおけるユーザ認証手段11の処理例について説明するためのフローチャートである。以下にユーザ認証手段11の処理例を図2のフローチャートに従って、図1を参照しながら説明する。ユーザ認証処理手段11は、ユーザから文書アクセス要求(アカウント名,パスワード,文書ID,及びアクセス種別)を受け取った際(ステップS1)、アカウント名に対応するパスワードハッシュ値をユーザ管理DB14から取得し(ステップS2)、さらにアクセス要求に含まれるパスワードのハッシュ値を計算する(ステップS3)。次いでステップS2で先に取り出したパスワードハッシュ値と、ステップS3で計算したハッシュ値とを比較する(ステップS4)。
【0021】
比較した結果、上記二つのハッシュ値が一致するか判断し(ステップS5)、一致しなけければエラーで処理を終了する(ステップS9)。またハッシュ値が一致すれば、ユーザ管理DB14から、アカウント名に対応するユーザが所属しているグループのリストを取得する(ステップS6)。そして文書アクセス処理手段12にアカウント名,所属グループリスト,文書ID,及びアクセス種別のデータを渡し(ステップS7)、正常に処理を終了する(ステップS8)。上記ハッシュ値は、例えば米国標準技術局による規格であるSHA−1のようなアルゴリズムを用いて計算することができる。
【0022】
図3は、文書アクセス要求データの一例を示す図である。電子文書管理システムに入力する文書アクセス要求は、上述のようにアカウント名,パスワード,文書ID,及びアクセス種別を示すデータが含まれる。これらデータは、例えば、図3に示すごとくのものである。
【0023】
図4は、ユーザ管理DB14で管理されるアカウント管理ファイルの一例を示す図である。ユーザ管理DB14では、各アカウント毎に、図4に示すごとくの情報を管理する。図4に示すように、アカウントが抹消された場合でもアカウントのエントリが削除されるのではなく、抹消(“delete”)の日時が記録される。図4に示すように、ユーザ管理DB14では、該ユーザ管理DB14をのぞき見られた際にパスワードが暴露しないよう、パスワードそのものをユーザ管理DB14に保存するのではなく、パスワードのハッシュ値を保存している。
【0024】
図5は、ユーザ管理DB14に保持されるグループリストに係わるデータの一例を示す図である。ユーザ管理DB14には、上記のアカウント管理フィル以外にも、図5に示すようなグループリストが例えばgroup.listというファイル名でグループ管理ファイルとして記録されている。
【0025】
図5において、例えば“taro”が所属するグループを検索する場合、まず、メンバ情報に“taro”が含まれるグループ名で且つグループが削除されていないものを検索し、さらにここで検索されたグループ名情報がメンバ情報として含まれるグループ名を検索する。このようにして、所属グループリストとして“lab1”及び“lab_all”を得る。グループ設定履歴については後で詳しく説明する。
【0026】
電子文書管理システム10における文書アクセス処理手段12は、ユーザ認証手段11から受け取った情報(アカウント名,所属グループリスト,文書ID,及びアクセス種別)をもとに、対象ユーザに対してアクセスが許可されているかどうか検証した上で、要求された電子文書へのアクセス処理を行う。
【0027】
図6は、上記文書アクセス処理手段12の処理の一例を説明するためのフローチャートである。文書アクセス処理手段12では、まずユーザ認証手段11からアカウント名,所属グループリスト,文書ID,及びアクセス種別のデータを受け取る(ステップS11)。そしてアクセス権検証手段13に、上記のアカウント名,所属グループリスト,文書ID,及びアクセス種別のデータを渡す(ステップS12)。そしてアクセス権検証手段13による検証結果に従ってアクセス権がなければエラーで処理を終了する(ステップS13,S17)。また上記検証結果においてアクセス権があることが検証されたならば、文書アクセス処理手段12は、文書IDで指定された電子文書に対してアクセス種別で指定されたアクセスを行い(ステップS13,S14)、処理結果をユーザに返してから(ステップS15)、正常に処理を終了する(ステップS16)。
【0028】
図7は、電子文書管理システム10におけるアクセス権検証手段13の処理の一例を説明するためのフローチャートである。アクセス権検証手段13では、文書アクセス処理手段12からアカウント名,所属グループリスト,文書ID,及びアクセス種別のデータを受け取った際(ステップS21)、アクセス権DB16から、文書IDに該当するアクセス制御リスト(ACL)を取得する(ステップS22)。そして渡されたアカウント名または所属グループリストに、指定されたアクセス種別におけるアクセス権限があるか確認し(ステップS23)、権限がない場合は、権限がないことを文書アクセス処理手段12に通知し(ステップS24)、権限が有る場合は権限があることを文書アクセス処理手段12に通知して(ステップS25)、処理を終了する。
【0029】
図8は、アクセス権DB16に記録されたアクセス制御リスト(ACL)の例を示す図である。アクセス権DB16には、例えばアクセス制御リスト(ACL)が文書IDごとにファイルとして記録されている。例えば文書IDが“R010043986249”のACLは、“R010043986249.acl”というファイル名で記録される。そしてユーザ名/グループ名毎にアクセス権の種類(ここではread,write,execute,及びowner)が設定される。
【0030】
アクセス権の更新処理に関しては後で詳しく説明するが、アクセス権DB16にはACLファイルとともに以下のようなファイルが保存されている。まず、ACLファイルの設定を変更するたびに履歴ファイルが保存される。履歴ファイルとしては、例えば、“R010043986249.acl.1”、“R010043986249.acl.2”のごとくのファイル名で記録される。また、設定の変更に関する変更履歴を管理するファイル(ACLヒストリファイル)も記録する。ACLヒストリファイルは、例えば、“R010043986249.acl.history”のごとくのファイル名で記録される。
【0031】
図9は、ACLヒストリファイルの例を示す図である。ACLヒストリファイルの内容としては、図9に示すように、過去のACLファイル名、変更日時(履歴データの作成日時)、及びハッシュ値が設定されている。ハッシュ値は、対応する過去のACLファイル(例えば、“R010043986249.acl.1”)に対するハッシュ値である。ハッシュ値の計算には例えばSHA−1などのアルゴリズムを使用する。
【0032】
ACLヒストリファイルについては、メッセージ認証子である改ざん検知コード(Message Authentication Code: MAC)が計算され、改ざん検知コードファイルとして記録される。改ざん検知コードファイルは、例えば“R010043986249.acl.history.mac”というファイル名で記録される。また上記MACは、SHA−1とTriple DES(米国商務省標準局が交付したデータ暗号化規格)を組み合わせるなどして計算する。
【0033】
上記のような電子文書管理システムに本発明によるアクセス制御履歴保証方法を適用したときの実施の形態を説明する。まず電子文書に対してアクセス権の設定(変更)を行う処理について説明する。図10は、本発明が適用される電子文書管理システムにおけるアクセス権設定に係わる構成例について説明するための図である。
【0034】
電子文書管理システム10’は、ユーザからのアクセス権設定要求を受け取ると、上述したごとくの通常の文書へのアクセス要求と同じようにユーザ認証手段11によりユーザの認証が行われ、その後アクセス権設定手段17により、要求されたアクセス権の設定を行う。アクセス権設定手段17は、要求してきたユーザが対象文書のアクセス権設定の権限をもっているかどうかを確認する。
【0035】
図11は、アクセス権設定要求データの一例を示す図である。電子文書管理システムに入力するアクセス権設定要求データには、アカウント名,パスワード、文書ID,及びアクセス種別を示すデータが含まれる。これらデータは、例えば、図11に示すごとくのものである。図11の例は、文書R010043986249にhanakoの書き込み権限を追加する要求を示すものである。
【0036】
図12及び図13は、アクセス権設定手段17の処理の一例を説明するためのフローチャートである。アクセス権設定手段17は、アカウント名,所属グループリスト,文書ID,及びアクセス種別(アクセス権設定種別)のデータをユーザ認証手段11から受け取った際(ステップS31)、それらアカウント名,所属グループリスト,文書ID,及びアクセス種別(アクセス権設定種別)のデータをアクセス権検証手段13に渡す(ステップS32)。アクセス権検証手段13でアクセス権があるかどうかを検証し(ステップS33)、検証結果をアクセス権設定手段17に返す。例えば、ACLにowner権限がついていればアクセス権があると判断できる。アクセス権設定手段17は、アクセス権がなければエラーで処理を終了する(ステップS53)。
【0037】
またアクセス権がある場合、アクセス権設定手段17では、アクセス権DB16から、文書IDで指定された電子文書に該当するACLヒストリファイルを読み出し(ステップS34)、そのACLヒストリファイルに該当する改ざん検知コードファイルから改ざん検知コード(MAC)を読み出す(ステップS35)。そしてACLヒストリファイルの正当性をMACで検証し(ステップS36)、ACLヒストリファイルが改ざんされているかどうかを判別する(ステップS37)。
【0038】
上記ステップS37でACLヒストリが改ざんされていればエラーで処理を終了し(ステップS53)、ACLヒストリが改ざんされていなければ、ACLファイルを読み出し(ステップS38)、ACLファイルのハッシュ値を計算する(ステップS39)。そして計算したハッシュ値と、ACLヒストリファイルの中の最新エントリに記録されているハッシュ値とを比較し(ステップS40)、ハッシュ値が一致するかどうかを判別する(ステップS41)。ここでハッシュ値が一致しない場合はACLファイルが改ざんされていると見なされるため、エラーで処理を終了する(ステップS53)。
【0039】
上記ステップS41でハッシュ値が一致すれば、次いでACLファイルに要求されたアクセス権を設定し(ステップS42)、新しくなったACLファイルのハッシュ値を計算して(ステップS43)、ACLファイルを上書き保存する(ステップS44)。次いでACLヒストリファイルの中の最新エントリ番号を取得し(ステップS45)、ACLファイルをコピーしてファイル名の末尾に最新エントリ番号をつけ(ステップS46)、さらに現在日時をOSから取得する(ステップS47)。そして読み出したACLヒストリファイルの中に新しいエントリ(ACLファイル名,日時,新しいハッシュ値)を加え(ステップS48)、エントリを加えた後のACLヒストリファイルに対してMACを計算する(ステップS49)。そして新しいACLヒストリファイルを保存し(ステップS50)、新しいMACをACLヒストリファイルとともに保存して(ステップS51)、正常に処理を終了する(ステップS52)。
【0040】
図14は、アクセス権設定処理前のACLファイルの例を示す図で、図15はアクセス権の設定処理後のACLファイルの例を示す図である。アクセス権設定処理前のACLファイルが図14に示すごとくであり、先のアクセス権設定要求の例を適用すると、その設定処理後のACLファイルは図15に示すようになる。
【0041】
MACの生成方法は、対象データのハッシュ値を例えばSHA−1のアルゴリズムで計算し、そのハッシュ値を例えばTriple DESのアルゴリズムで暗号化する。暗号化に使う鍵は、アクセス権設定手段17の内部に秘密に保持している鍵(例えばプログラムにハードコーディングされている鍵や、ICチップに埋め込まれている鍵など)を使用する。
【0042】
上記のようにMACをつけておけば、ACLヒストリが改ざんされていないことを確認しながらACLの更新処理を行うことができるが、ACLヒストリが改ざんされていないことを他人(例えばシステム監査者)に示すことが難しい可能性がある。例えば、ACLヒストリファイルをシステム監査者に見せても、システム監査者はMACの生成に使用した秘密の鍵を知らないため、それが改ざんされていないことを確認することはできない。
【0043】
図16ないし図18は、アクセス権設定手段17の処理の他の例を説明するためのフローチャートである。以下に示す実施例によれば、上記のごとくのシステム監査者でもACLヒストリファイルが正しいかどうかを確認することができる。まずアクセス権設定手段17は、アカウント名,所属グループリスト,文書ID,及びアクセス種別(アクセス権設定種別)のデータをユーザ認証手段11から受け取った際(ステップS61)、それらアカウント名,所属グループリスト,文書ID,及びアクセス種別(アクセス権設定種別)のデータをアクセス権検証手段13に渡す(ステップS62)。アクセス権検証手段13でアクセス権があるかどうかを検証し(ステップS63)、検証結果をアクセス権設定手段17に返す。例えば、ACLにowner権限がついていればアクセス権があると判断できる。アクセス権設定手段17は、アクセス権がなければエラーで処理を終了する(ステップS85)。
【0044】
またアクセス権がある場合、アクセス権設定手段17は、アクセス権DB16から、文書IDで指定された電子文書に該当するACLヒストリファイルを読み出し(ステップS64)、そのACLヒストリファイルに該当する改ざん検知コードファイルから改ざん検知コード(MAC)を読み出す(ステップS65)。そしてACLヒストリファイルの正当性をMACで検証し(ステップS66)、ACLヒストリファイルが改ざんされているかどうかを判別する(ステップS67)。
【0045】
上記ステップS67でACLヒストリが改ざんされていればエラーで処理を終了し(ステップS85)、改ざんされていなければ、ACLファイルを読み出し(ステップS68)、ACLファイルのハッシュ値を計算する(ステップS69)。そして計算したハッシュ値と、ACLヒストリファイルの中の最新エントリに記録されているハッシュ値とを比較し(ステップS70)、ハッシュ値が一致するかどうかを判別する(ステップS71)。ここでハッシュ値が一致しない場合はACLファイルが改ざんされていると見なされるため、エラーで処理を終了する(ステップS85)。
【0046】
上記ステップS71でハッシュ値が一致すれば、次いでACLファイルに要求されたアクセス権を設定し(ステップS72)、新しくなったACLファイルのハッシュ値を計算して(ステップS73)、ACLファイルを上書き保存する(ステップS74)。次いでACLヒストリファイルの中の最新エントリ番号を取得し(ステップS75)、ACLファイルをコピーしてファイル名の末尾に最新エントリ番号をつけ(ステップS76)、さらに現在日時をOSから取得する(ステップS77)。
【0047】
そして読み出したACLヒストリファイルの中に新しいエントリ(ACLファイル名,日時,新しいハッシュ値)を加え(ステップS78)、エントリを加えた後のACLヒストリファイルに対してMACを計算し(ステップS79)、エントリを加えたACLヒストリファイルに対して電子署名を計算する(ステップS80)。そして新しいACLヒストリファイルを保存し(ステップS81)、新しいMACをACLヒストリファイルとともに保存して(ステップS82)、さらに新しい電子署名をACLヒストリファイルとともに保存して(ステップS83)、正常に処理を終了する(ステップS84)。
【0048】
上記の処理において、MACの生成・検証の処理をすべて電子署名の生成・検証に変更しても良いが、電子署名の生成・検証はMACの生成・検証に比べて非常に時間がかかるため、パフォーマンスに影響が出る可能性がある。そのため、上記の実施例は、基本的にMACを使ってACLヒストリファイルの正当性の検証を行いつつ、後でシステム監査者も正当性を検証できるように最後に電子署名も同時に付与している、という仕組みを有するものである。このような仕組みであればパフォーマンスを落とすことなく、システム監査者でも電子署名に使ったプライベートキーに対応するパブリックキーを手に入れれば正当性検証を可能にすることができる。
【0049】
電子署名は、例えば、“R010043986249.acl.history.sign”というファイル名で記録される。また電子署名は、SHA−1とRSA(Rivest−Shamir−Adleman scheme)を組み合わせるなどして計算し、例えばPKCS(public−key cryptosystem)#7のフォーマットで記録される。
【0050】
上記のようにアクセス権の変遷を記録しておき、それを改ざんできないように保護することで、確かに文書に対してそのようなアクセス制御が行われてきた、ということを保証することができる。しかし、ACLファイルにはグループに対する権限も載っているため、グループのメンバを入れ替えられていると、一体誰にアクセス権が付与されていたのか後で分からなくなってしまう。
【0051】
そこで、本発明ではさらに以下のアカウント設定に関する手段を提供する。図19は、本発明が適用される電子文書管理システムにおけるアカウント設定手段に係わる構成例について説明するための図である。図20は、電子文書管理システムが受け取るアカウント設定要求の一例を示す図で、yoichiというアカウントをlab2グループに追加する要求の例を示す図である。
【0052】
電子文書管理システム10″では、ユーザからアカウント設定要求を受けると、ユーザ認証手段11によってユーザ認証が行われ、アカウント設定手段18がユーザ管理DB14に対するアカウント設定処理を行う。アカウント設定手段18は、ユーザがアカウント設定を行う権限をもっているかどうかをアクセス権検証手段13により確認する。ここでは説明を簡単にするためにrootアカウントであればアカウント設定の権限があるものとする。
【0053】
図21ないし図23は、アカウント設定手段18の処理の例を説明するためのフローチャートである。アカウント設定手段18は、ユーザ認証手段11からアカウント名,所属グループリスト,パラメータ,及びアクセス種別のデータを受け取ると(ステップS91)、アクセス権検証手段13にアカウント名,所属グループリスト,パラメータ,及びアクセス種別のデータを渡す(ステップS92)。アクセス権検証手段13ではアクセス権を検証し、検証結果をアカウント設定手段18に返す。例えば、アクセス権検証手段13では、rootであればアクセス権ありと判断する。アカウント設定手段18では、アクセス権の検証結果においてアクセス権がなければ、エラーで処理を終了する(ステップS93,S121)。
【0054】
アクセス権がある場合、さらに入力したアカウント設定要求のアクセス種別がグループに対する設定要求であるかどうかを判別し(ステップS94)、グループ設定要求であれば、ユーザ管理DB14のグループ管理ファイルからグループリストを読み出し(ステップS95)、グループリストの改ざん検知コードファイルから改ざん検知コード(MAC)を読み出す(ステップS96)。そしてグループリストの正当性をMACで検証し(ステップS97)、グループリストが改ざんされているかどうかを判別する(ステップS98)。ここでグループリストが改ざんされていれば、エラーで終了を終了する(ステップS121)。
【0055】
グループリストが改ざんされていなければ、グループリストに対して要求された設定処理を行う(ステップS99)。そして現在日時をOSから取得し(ステップS100)、設定処理を行ったグループリストのエントリに設定処理の履歴(日時,設定内容)を追加する(ステップS101)。次いで新しくなったグループリストに対してMACを計算し(ステップS102)、さらに新しくなったグループリストに対して電子署名を計算し(ステップS103)、新しいグループリストをグループ管理ファイルに保存する(ステップS104)。さらに新しいMACをグループ管理ファイルとともに保存し(ステップS105)、新しい電子署名をグループ管理ファイルとともに保存して(ステップS106)、正常に処理を終了する。
【0056】
上記ステップS94においてグループに対する設定要求ではない場合、アカウントに対する設定要求であるかどうかを判別し(ステップS107)、アカウントに対する設定でなければエラーで処理を終了し(ステップS121)、アカウントに対する設定であれば、まずユーザ管理DB14のアカウント管理ファイルからアカウントリストを読み出し(ステップS108)、アカウントリストの改ざん検知コードファイルから改ざん検知コード(MAC)を読み出して(ステップS109)、アカウントリストの正当性をMACで検証してアカウントリストが改ざんされているかどうかを判別する(ステップS110,S111)。ここでアカウントリストが改ざんされていれば、エラーで処理を終了する(ステップS121)。
【0057】
アカウントリストが改ざんされていなければ、アカウントリストに対して要求された設定処理を行う(ステップS112)。そして現在日時をOSから取得し(ステップS113)、設定処理を行ったアカウントリストのエントリに設定処理の履歴(日時,設定内容)を追加する(ステップS114)。そして新しくなったアカウントリストに対してMACを計算し(ステップS115)、新しくなったアカウントリストに対して電子署名を計算して(ステップS116)、新しいアカウントリストをアカウント管理ファイルに保存する(ステップS117)。そして新しいMACをアカウント管理ファイルとともに保存し(ステップS118)、新しい電子署名をアカウント管理ファイルとともに保存して(ステップS119)、正常に終了を終了する(ステップS120)。
【0058】
先のACLの履歴管理ではACLファイルの版を管理する方式をとった。アカウント設定手段18でも同じようにアカウント管理ファイルやグループ管理ファイルの版管理を行うこともできるが、敢えて別の方式を示すために、版管理ではなく、アカウント設定操作の履歴をファイル内に記録する方式とした。この場合も、履歴が改ざんされていないことを保証するため、MACを生成・検証するようにし、システム監査者が確認できるように電子署名も生成して保存している。MACを記録するファイルは例えばaccount.list.macやgroup.list.macというファイル名のファイルとして記録しておき、電子署名についてはaccount.list.signやgroup.list.signというファイル名のファイルに記録しておけばよい。
【0059】
上記のように、ACLの変遷とアカウント管理の変遷とがすべて記録されており、その上、その記録が改ざんされないように保護されていることにより、どのようなアクセス制御が行われてきたのかシステム監査者に証拠として提示することができる。このような機能を利用すれば、普段から適切なアクセス制御をしておくことにより、アクセス制御を適切に実施していたことを保証することができるようになる。
【0060】
上記の実施例では、ACLの変遷を各文書に対して記録しているように記述しているが、冒頭にも少し述べたように、多くの場合は文書ごとに個別にアクセス権を設定するのではなく、例えばあるフォルダに保存されているものはすべてこのアクセス権を付与するといった形で設定されることが多い。その場合、例えば、上位フォルダと同じアクセス権を付与する下位の文書のACLファイルには、その上位フォルダのACLファイル名を記録しておく、といった方法をとればよい。
【0061】
上記の実施例で説明したアクセス権設定手段17、及びアカウント設定手段18はコンピュータプログラムとして実現することができる。他のユーザ認証手段11やアクセス権検証手段13、文書アクセス処理手段12と合わせることでアクセス制御が適切に実施されていたことを保証する電子文書管理のためのコンピュータプログラムとなる。そのコンピュータプログラムを例えばFDやCD−ROMに記録することで、アクセス制御が適切に実施されていたことを保証する電子文書管理プログラム記録媒体となる。そしてその記録媒体からコンピュータプログラムを読み出してコンピュータ上で実行することで、アクセス制御が適切に行われていたことを保証する文書管理システムとなる。
【0062】
【発明の効果】
以上の説明から明らかなように、本発明によれば、サブジェクトがオブジェクトへアクセスする際に、サブジェクトに付与されたアクセス権に応じてサブジェクトからオブジェクトへのアクセスを制御するシステムにおいて、アクセス制御が適切に実施されていたことを保証することにより、信頼性及び実用性の高いシステムを運用できるアクセス制御履歴保証方法を提供することができる。
【図面の簡単な説明】
【図1】 本発明のアクセス制御履歴保証方法を適用可能な電子文書管理システムの一例を説明するためのブロック図である。
【図2】 電子文書管理システムにおけるユーザ認証手段の処理例について説明するためのフローチャートである。
【図3】 文書アクセス要求データの一例を示す図である。
【図4】 ユーザ管理DBで管理されるアカウント管理ファイルの一例を示す図である。
【図5】 ユーザ管理DBに保持されるグループリストに係わるデータの一例を示す図である。
【図6】 文書アクセス処理手段の処理の一例を説明するためのフローチャートである。
【図7】 電子文書管理システムにおけるアクセス権検証手段の処理の一例を説明するためのフローチャートである。
【図8】 アクセス権DBに記録されらアクセス制御リスト(ACL)の例を示す図である。
【図9】 ACLヒストリファイルの例を示す図である。
【図10】 本発明が適用される電子文書管理システムにおけるアクセス権設定に係わる構成例について説明するための図である。
【図11】 アクセス権設定要求データの一例を示す図である。
【図12】 アクセス権設定手段の処理の一例を説明するためのフローチャートである。
【図13】 アクセス権設定手段の処理の一例を説明するための図12に続くフローチャートである。
【図14】 アクセス権設定処理前のACLファイルの例を示す図である。
【図15】 アクセス権の設定処理後のACLファイルの例を示す図である。
【図16】 アクセス権設定手段の処理の他の例を説明するためのフローチャートである。
【図17】 アクセス権設定手段の処理の他の例を説明するための図16に続くフローチャートである。
【図18】 アクセス権設定手段の処理の他の例を説明するための図17に続くフローチャートである。
【図19】 本発明が適用される電子文書管理システムにおけるアカウント設定手段に係わる構成例について説明するための図である。
【図20】 電子文書管理システムが受け取るアカウント設定要求の一例を示す図である。
【図21】 アカウント設定手段の処理の例を説明するためのフローチャートである。
【図22】 アカウント設定手段の処理の例を説明するための図21に続くフローチャートである。
【図23】 アカウント設定手段の処理の例を説明するための図22に続くフローチャートである。
【符号の説明】
10,10’,10″…電子文書管理システム、11…ユーザ認証手段、12…文書アクセス処理手段、13…アクセス権検証手段、14…ユーザ管理DB、15…電子文書DB、16…アクセス権DB、17…アクセス権設定手段、18…アカウント設定手段。

Claims (12)

  1. サブジェクトがオブジェクトへアクセスする際に、サブジェクトに付与されたアクセス権に応じて、サブジェクトからオブジェクトへのアクセスを制御するシステムに適用され、該アクセスの制御履歴を保証できるようにしたアクセス制御履歴保証方法において、
    前記アクセスを制御するシステムは、オブジェクトごとに設定されているサブジェクトのアクセス権の変遷の履歴を、前記システムが備えるデータベースにアクセス制御履歴データとして記録しておき、記録した該アクセス制御履歴データに対して、後で改ざん検知が可能なように処理しておくことを特徴とするアクセス制御履歴保証方法。
  2. 請求項1に記載のアクセス制御履歴保証方法において、前記アクセス権は、オブジェクトごとに設定されたアクセス制御リストによって指示されていることを特徴とするアクセス制御履歴保証方法。
  3. 請求項1または2に記載のアクセス制御履歴保証方法において、前記アクセスを制御するシステムは、前記アクセス制御履歴データの改ざんを検知するために、該アクセス制御履歴データに対してメッセージ認証子を計算して該アクセス制御履歴データとともに前記データベースに記録しておくことを特徴とするアクセス制御履歴保証方法。
  4. 請求項1または2に記載のアクセス制御履歴保証方法において、前記アクセスを制御するシステムは、前記アクセス制御履歴データの改ざんを検知するために、該アクセス制御履歴データに対して電子署名を計算して該アクセス制御履歴データとともに前記データベースに記録しておくことを特徴とするアクセス制御履歴保証方法。
  5. サブジェクトがオブジェクトへアクセスする際に、サブジェクトに付与されたアクセス権に応じて、サブジェクトからオブジェクトへのアクセスを制御するシステムに適用され、該アクセスの制御履歴を保証できるようにしたアクセス制御履歴保証方法において、
    前記アクセスを制御するシステムは、サブジェクトを構成する要素を示すアカウントの変遷の履歴を、前記システムが備えるデータベースにアカウント構成履歴データとして、記録しておき、記録した該アカウント構成履歴データに対して、後で改ざん検知が可能なように処理しておくことを特徴とするアクセス制御履歴保証方法。
  6. 請求項5に記載のアクセス制御履歴保証方法おいて、前記サブジェクトは、システムのユーザアカウントとグループアカウントとにより示される要素によって構成されることを特徴とするアクセス制御履歴保証方法。
  7. 請求項5または6に記載のアクセス制御履歴保証方法において、前記アクセスを制御するシステムは、前記アカウント構成履歴データの改ざんを検知するために、アカウント構成履歴データに対してメッセージ認証子を計算して該アカウント構成履歴データとともに前記データベースに記録しておくことを特徴とするアクセス制御履歴保証方法。
  8. 請求項5または6に記載のアクセス制御履歴保証方法において、前記アクセスを制御するシステムは、前記アカウント構成履歴データの改ざんを検出するために、該アカウント構成履歴データに対して電子署名を計算して該アカウント構成履歴データとともに前記データベースに記録しておくことを特徴とするアクセス制御履歴保証方法。
  9. サブジェクトがオブジェクトへアクセスする際に、サブジェクトに付与されたアクセス権に応じて、サブジェクトからオブジェクトへのアクセスを制御するシステムに適用され、該アクセスの制御履歴を保証できるようにしたアクセス制御履歴保証方法において、
    前記アクセスを制御するシステムは、オブジェクトごとに設定されているサブジェクトのアクセス権の変遷の履歴を、前記システムが備えるデータベースにアクセス制御履歴データとして記録しておき、記録した該アクセス制御履歴データに対して、後で改ざん検知が可能なように処理しておき、
    さらに前記アクセスを制御するシステムは、サブジェクトを構成する要素を示すアカウントの変遷の履歴を、前記システムが備える他のデータベースにアカウント構成履歴データとして記録しておき、記録した該アカウント構成履歴データに対して、後で改ざん検知が可能なように処理しておくことを特徴とするアクセス制御履歴保証方法。
  10. 請求項9に記載のアクセス制御履歴保証方法おいて、前記アクセス権は、オブジェクトごとに設定されたアクセス制御リストによって指示されていることを特徴とするアクセス制御履歴保証方法。
  11. 請求項9に記載のアクセス制御履歴保証方法おいて、サブジェクトは、システムのユーザアカウントとグループアカウントとにより示される要素によって構成されることを特徴とするアクセス制御履歴保証方法。
  12. 請求項9ないし11のいずれか1に記載のアクセス制御履歴保証方法おいて、前記アクセスを制御するシステムは、前記アクセス制御履歴データと前記アカウント構成履歴データの改ざんを検出するために、該アクセス制御履歴データと該アカウント構成履歴データそれぞれに対してメッセージ認証子を計算して該アクセス制御履歴データと該アカウント構成履歴データそれぞれ前記データベース及び前記他のデータベースに記録しておくことを特徴とするアクセス制御履歴保証方法。
JP2001376606A 2001-12-11 2001-12-11 アクセス制御履歴保証方法 Expired - Fee Related JP4152099B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001376606A JP4152099B2 (ja) 2001-12-11 2001-12-11 アクセス制御履歴保証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001376606A JP4152099B2 (ja) 2001-12-11 2001-12-11 アクセス制御履歴保証方法

Publications (2)

Publication Number Publication Date
JP2003177967A JP2003177967A (ja) 2003-06-27
JP4152099B2 true JP4152099B2 (ja) 2008-09-17

Family

ID=19184760

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001376606A Expired - Fee Related JP4152099B2 (ja) 2001-12-11 2001-12-11 アクセス制御履歴保証方法

Country Status (1)

Country Link
JP (1) JP4152099B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4680543B2 (ja) * 2004-07-06 2011-05-11 三菱電機株式会社 ログ作成システム及びログ作成方法
JP2007274253A (ja) * 2006-03-31 2007-10-18 Kenwood Corp 認証装置及び方法
JP4838631B2 (ja) * 2006-05-17 2011-12-14 富士通株式会社 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法
JP5614073B2 (ja) * 2010-03-29 2014-10-29 ヤマハ株式会社 中継装置
JP6040102B2 (ja) * 2013-06-04 2016-12-07 株式会社日立製作所 不正情報検知方法および不正情報検知装置
US10116442B2 (en) 2015-02-20 2018-10-30 Mitsubishi Electric Corporation Data storage apparatus, data updating system, data processing method, and computer readable medium
US10592682B2 (en) 2015-02-20 2020-03-17 Mitsubishi Electric Corporation Data storage apparatus, data processing method, and computer readable medium adding a user attribute of a revoked user to an embedded decryption condition while encrypted data remains in an encrypted state
CN110837647B (zh) * 2018-08-16 2022-11-08 迈普通信技术股份有限公司 管理访问控制列表的方法及装置

Also Published As

Publication number Publication date
JP2003177967A (ja) 2003-06-27

Similar Documents

Publication Publication Date Title
US7526654B2 (en) Method and system for detecting a secure state of a computer system
US6694434B1 (en) Method and apparatus for controlling program execution and program distribution
JP3748155B2 (ja) 改ざん防止/検出機能を有するファイル管理システム
US6671804B1 (en) Method and apparatus for supporting authorities in a public key infrastructure
US7328341B1 (en) Method and apparatus for protecting file system based on digital signature certificate
US20030217275A1 (en) Method and system for digital rights management and digital signatures
JPH11143361A (ja) 電子データ保管装置、保管システム、および保管方法
US20240022571A1 (en) Blockchain folding
JP2017225054A (ja) プロファイルデータ配信制御装置、プロファイルデータ配信制御方法およびプロファイルデータ配信制御プログラム
CN110826092A (zh) 一种文件签名处理系统
KR100908100B1 (ko) 마트로시카 구조를 갖는 암호화 이미지를 이용한 상호 동기 인증 시스템 및 방법
JP4152099B2 (ja) アクセス制御履歴保証方法
JP2004072290A (ja) 証明書管理環境の管理方法、プログラム及び装置
JP2000285024A (ja) 原本性保証電子保存方法およびその方法をコンピュータに実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体
JP4208082B2 (ja) データ改ざん検出方法、データ改ざん検出装置及びデータ改ざん検出プログラム
JP2001337600A (ja) 電子データ保管システム、履歴検証装置、電子データ保管方法及び記録媒体
JP2004213265A (ja) 電子文書管理装置、文書作成者装置、文書閲覧者装置、電子文書管理方法及び電子文書管理システム
JP2005506623A (ja) データ保護方法と装置
JP2000235569A (ja) 電子文書の管理方法及び文書管理システム
JP4885168B2 (ja) 外部メディア制御方法、システム及び装置
JP4245917B2 (ja) ソフトウェアの不正使用防止システム
JP2002229451A (ja) データ作成日時保証システム、データ作成日時保証方法、及びデータ作成日時保証プログラム
JP6464544B1 (ja) 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム
KR100386853B1 (ko) 전자서명 인증을 이용한 역할기반 보안커널 시스템
JP2002132145A (ja) 認証方法、認証システム、記録媒体及び情報処理装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041029

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080204

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080701

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080701

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110711

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120711

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120711

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130711

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees