JP4251633B2 - Determination device, program, recording medium, and determination method - Google Patents
Determination device, program, recording medium, and determination method Download PDFInfo
- Publication number
- JP4251633B2 JP4251633B2 JP2004099926A JP2004099926A JP4251633B2 JP 4251633 B2 JP4251633 B2 JP 4251633B2 JP 2004099926 A JP2004099926 A JP 2004099926A JP 2004099926 A JP2004099926 A JP 2004099926A JP 4251633 B2 JP4251633 B2 JP 4251633B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- access control
- rule
- control rule
- objects
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Document Processing Apparatus (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、判定装置、プログラム、記録媒体、及び判定方法に関する。特に本発明は、階層構造を構成する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置、プログラム、記録媒体、及び判定方法に関する。 The present invention relates to a determination device, a program, a recording medium, and a determination method. In particular, the present invention relates to a determination apparatus, a program, a recording medium, and a determination method for determining consistency of settings for permitting or prohibiting access to a plurality of objects constituting a hierarchical structure.
近年、XML(Extensible Markup Language)等の構造化言語により記述された文書が広く用いられてきている。XML文書には、複数のオブジェクトと、そのオブジェクト間の親子関係とを共に記述することができる。このため、データを階層的に管理したいデータベースなどにおいて広く用いられている。更に、近年、XML文書に含まれる複数のオブジェクトに対して、アクセスを許可又は禁止する旨を設定する技術が用いられている。この技術によると、文書単位のみならずオブジェクト単位でアクセスの許可又は禁止を設定できる。 In recent years, documents written in a structured language such as XML (Extensible Markup Language) have been widely used. An XML document can describe both a plurality of objects and a parent-child relationship between the objects. For this reason, it is widely used in databases that want to manage data hierarchically. Furthermore, in recent years, a technique for setting permission or prohibition of access to a plurality of objects included in an XML document has been used. According to this technique, permission or prohibition of access can be set not only in document units but also in object units.
従来、多くのデータベースシステムにおいて、XML等における親子関係を有するオブジェクトを表記する方法としてXpathが用いられている。Xpathは、所定の条件を満たすオブジェクトや、所定のオブジェクトの集合を適切に表現することができる。このため、Xpathに関する研究は広く行なわれており、例えば、Xpathにより指定されるオブジェクトを、XML文書全体の中から効率的に検索する方法が提案されている(非特許文献1及び2参照。)。 Conventionally, in many database systems, Xpath is used as a method for expressing an object having a parent-child relationship in XML or the like. Xpath can appropriately represent an object that satisfies a predetermined condition or a set of predetermined objects. For this reason, research on Xpath has been widely performed. For example, a method for efficiently searching an object specified by Xpath from the entire XML document has been proposed (see Non-Patent Documents 1 and 2). .
非特許文献3については後述する。
上述のように、XML文書を構成する各オブジェクトには、アクセスの許可又は禁止をそれぞれ設定することができる。しかしながら、親のオブジェクトに対するアクセスが禁止されているのにも関わらず子のオブジェクトに対するアクセスのみが許可されている場合には、様々な不都合がある。例えば、このようなXML文書にアクセスすると、子のオブジェクトのみを読み出すことができるが、読み出したXML文書においては親子関係が適切に記述されておらず不完全なXML文書が生成されてしまう。このため、このようなXML文書を、XML文書を入力とする従来のプログラムモジュール、例えばXML文書の階層構造を解析するDOM又はSAXといったAPIにより取扱うことができなかった。 As described above, access permission or prohibition can be set for each object constituting the XML document. However, there are various inconveniences when only access to a child object is permitted although access to the parent object is prohibited. For example, when such an XML document is accessed, only child objects can be read, but in the read XML document, the parent-child relationship is not properly described and an incomplete XML document is generated. For this reason, such an XML document cannot be handled by a conventional program module that receives the XML document, for example, an API such as DOM or SAX that analyzes the hierarchical structure of the XML document.
そこで本発明は、上記の課題を解決することのできる判定装置、プログラム、記録媒体、及び判定方法を提供することを目的とする。この目的は特許請求の範囲における独立項に記載の特徴の組み合わせにより達成される。また従属項は本発明の更なる有利な具体例を規定する。 Therefore, an object of the present invention is to provide a determination device, a program, a recording medium, and a determination method that can solve the above-described problems. This object is achieved by a combination of features described in the independent claims. The dependent claims define further advantageous specific examples of the present invention.
上記課題を解決するために、本発明の第1の形態においては、 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置であって、各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、前記複数のアクセス制御ルールの各々が、当該アクセス制御ルールによりアクセスを許可されるオブジェクトの祖先の各オブジェクトに対するアクセスが前記複数のアクセス制御ルールの何れかにより許可される旨の条件である整合性条件を満たすか否か判断するルール判断部と、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知部とを備える判定装置、コンピュータを当該判定装置として機能させるプログラム、プログラムを記録した記録媒体、及び当該判定装置による判定方法を提供する。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションもまた、発明となりうる。
In order to solve the above-described problem, in the first aspect of the present invention, there is provided a determination device for determining consistency of settings for permitting or prohibiting access to a plurality of objects having a parent-child relationship with each other, A rule acquisition unit that acquires a plurality of access control rules that permit or prohibit access to any of the objects, and each of the plurality of access control rules is an ancestor of an object that is permitted to access by the access control rules. A rule determination unit that determines whether or not an integrity condition that is a condition that access to an object is permitted by any one of the plurality of access control rules; and any of the access control rules satisfies the consistency condition A notification unit for notifying an instruction to change the plurality of access control rules when there is not And a determination program using the determination apparatus. The determination apparatus includes: a program that causes a computer to function as the determination apparatus; a recording medium that stores the program;
The above summary of the invention does not enumerate all the necessary features of the present invention, and sub-combinations of these feature groups can also be the invention.
本発明によれば、階層構造を構成するデータの整合性を判定することができる。 According to the present invention, it is possible to determine the consistency of data constituting a hierarchical structure.
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。 Hereinafter, the present invention will be described through embodiments of the invention. However, the following embodiments do not limit the invention according to the scope of claims, and all combinations of features described in the embodiments are included. It is not necessarily essential for the solution of the invention.
図1は、判定装置10のブロック図を示す。判定装置10は、XML文書等の階層構造のデータにおいて、互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定することを目的とする。判定装置10は、ルール展開部100と、ルール取得部110と、ルール判断部120と、通知部130とを備える。
FIG. 1 shows a block diagram of the
ルール展開部100は、階層構造のデータに対するアクセスの許可又は禁止を設定したアクセス制御ポリシー20を取得する。そして、ルール展開部100は、取得したアクセス制御ポリシー20を、各々が複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールに展開する。展開した複数のアクセス制御ルールを、例えば、アクセス制御ルール30−1〜Nとする。
The
ルール取得部110は、アクセス制御ルール30−1〜Nを取得してルール判断部120に送る。ルール判断部120は、アクセス制御ルール30−1〜Nの各々が整合性条件を満たすか否かを判断し、判断結果を通知部130に送る。あるアクセス制御ルールが満たす整合性条件とは、例えば、そのアクセス制御ルールによりアクセスを許可されるオブジェクトの祖先の各オブジェクトに対するアクセスがアクセス制御ルール30−1〜Nの何れかにより許可される旨の条件である。
The rule acquisition unit 110 acquires the access control rules 30-1 to 30 -N and sends them to the
また、ルール判断部120は、各アクセス制御ルールが複数のオブジェクトの集合に対するアクセスを許可する場合においては、アクセスが許可されるオブジェクトの集合に含まれる何れかのオブジェクトの何れかの祖先のオブジェクトに対するアクセスが、何れのアクセス制御ルールによっても許可されない場合に、整合性条件を満たさないと判断してもよい。
In addition, when each access control rule permits access to a set of a plurality of objects, the
通知部130は、何れかのアクセス制御ルールが整合性条件を満たさない場合に、アクセス制御ルール30−1〜Nを変更する旨の指示を利用者、例えばアクセス制御ルールの編集者に通知する。例えば、通知部130は、整合性条件を満たさないアクセス制御ルールを削除する旨の指示を通知してもよい。これにより、利用者は、アクセス制御ポリシーの変更が必要である旨を適切に把握して、アクセス制御ポリシーの修正に役立てることができる。更に、通知部130は、利用者の設定に基づいて、削除すべき当該アクセス制御ポリシーを、利用者からの確認の入力を経ずに削除してもよい。この場合、判定装置10は、アクセス制御ポリシーを自動的に修正することができる。
When any access control rule does not satisfy the consistency condition, the
図2は、アクセス制御ポリシー20の一例を示す。アクセス制御ポリシー20は、複数のアクセス制御ルールを含む。アクセス制御ルールは、アクセスを許可するアクセス要求者を識別する識別情報であるアクセス要求者IDと、そのアクセス要求者によるアクセスを許可するオブジェクトの識別情報であるオブジェクトIDと、そのオブジェクトに対するアクセスを許可又は禁止する旨を示す制御情報とを含む。
FIG. 2 shows an example of the
また、複数のオブジェクトは、木構造の親子関係を有しており、オブジェクトのオブジェクトIDは、その木構造の根オブジェクトからそのオブジェクトに至る経路であるパス情報であってもよい。一例として、本図の第1行目のアクセス制御ルールは、識別情報がOperatorのアクセス要求者に、パス情報である/orgにより指定されるオブジェクトに対する読み出しを許可する旨を示している。このパス情報は、例えば、Xpath又はDTD(Document Type Description)により表記されてもよいし、木オートマトン又は様相論理等の木言語により表記されてもよいし、正規表現又は文字列オートマトン等の文字列言語により表記されてもよい。 The plurality of objects may have a tree-structure parent-child relationship, and the object ID of the object may be path information that is a path from the root object of the tree structure to the object. As an example, the access control rule on the first line in the figure indicates that the access requester whose identification information is the operator is allowed to read the object specified by / org which is the path information. This path information may be expressed by, for example, Xpath or DTD (Document Type Description), may be expressed by a tree language such as a tree automaton or modal logic, or a character string such as a regular expression or a character string automaton. It may be expressed by language.
また、アクセス制御ルールは、パス情報において経由するオブジェクトが満たすべき条件を更に含んでいてもよい。例えば、本図の2行目のアクセス制御ルールは、パス情報である/org/dept/empにより指定されるオブジェクトに対するアクセスを許可する旨を示す。更に、このアクセス制御ルールは、/org/deptにより指定されるオブジェクトの属性であるidが'S77'である旨の条件を含む。即ちこのアクセス制御ルールによると、idという名称の属性の値が'S77'であるオブジェクトdeptを経由して至るオブジェクトempに対する読み出しが許可される。以降の説明において、この条件を指定する式、例えば[@id='S77']を、述語式と呼ぶ。 In addition, the access control rule may further include a condition to be satisfied by the passing object in the path information. For example, the access control rule on the second line in this figure indicates that access to an object specified by / org / dept / emp that is path information is permitted. Furthermore, this access control rule includes a condition that the id which is the attribute of the object specified by / org / dept is “S77”. In other words, according to this access control rule, reading is permitted for the object emp that arrives via the object dept whose attribute value named id is “S77”. In the following description, an expression specifying this condition, for example, [@ id = 'S77'] is called a predicate expression.
また、制御情報(+r)は、指定されたオブジェクトに対する読み出しの許可を示す。これに対して、制御情報(+R)は、指定されたオブジェクト及びその子孫のオブジェクトに対する読み出しを許可する旨を示す。即ち、本図の3行目のアクセス制御ルールは、/org/dept/emp/nameにより指定されるオブジェクトnameの全ての子孫のオブジェクトに対して、読み出しを許可する旨を示している。なお、以降の説明において、何れのアクセス制御ルールによっても読み出しが許可されないオブジェクトの読み出しが禁止されると仮定する。 Further, the control information (+ r) indicates permission to read the specified object. On the other hand, the control information (+ R) indicates that reading of the designated object and its descendant object is permitted. That is, the access control rule on the third line in the figure indicates that reading is permitted for all descendant objects of the object name specified by / org / dept / emp / name. In the following description, it is assumed that reading of an object that is not permitted to be read by any access control rule is prohibited.
なお、本実施例においてはXML文書における複数のオブジェクトに対するアクセスの許可又は禁止を取扱うが、本発明に係る複数のオブジェクトはこの例に限定されない。例えば、オブジェクトとは、ファイルシステムにおけるファイル又はフォルダ(ディレクトリ)であってもよいし、各種のデータベースに管理されたデータであってもよい。 In this embodiment, permission or prohibition of access to a plurality of objects in the XML document is handled, but the plurality of objects according to the present invention is not limited to this example. For example, the object may be a file or a folder (directory) in the file system, or data managed in various databases.
図3は、アクセス制御ルール30−1〜Nの一例を示す。ルール展開部100は、取得したアクセス制御ポリシー20を、アクセス制御ルール30−1〜Nに展開する。例えば、ルール展開部100は、アクセス制御ポリシー20において制御情報(+R)の指定されたアクセス制御ルールを、制御情報(+r)を用いたアクセス制御ルール30−4〜7に展開する。即ち、展開前のアクセス制御ルールである(Operator, /org/dept/emp/name, +R)は、(Operator, /org/dept/emp/name, +r)と、(Operator, /org/dept/emp/name//*, +r)と、(Operator, /org/dept/emp/name//@*, +r)と、(Operator, /org/dept/emp/name//text(), +r)とに展開される。
FIG. 3 shows an example of the access control rules 30-1 to 30-N. The
ここで、/org/dept/emp/name//*は、根オブジェクトからオブジェクトorg, dept, empを順次経由して至るnameオブジェクトの全ての子孫オブジェクトを示す。また、/org/dept/emp/name//@*は、根オブジェクトからオブジェクトorg, dept, empを順次経由して至るnameオブジェクトの子孫にあたる全ての属性オブジェクトを示す。また、/org/dept/emp/name//text()は、根オブジェクトからオブジェクトorg, dept, empを順次経由して至るnameオブジェクトの子孫にあたる全てのテキストオブジェクトを示す。このように、アクセス制御ルールは、単一のオブジェクトのみならず、少なくとも1つのオブジェクトを含むオブジェクト集合に対するアクセスを許可してもよい。 Here, / org / dept / emp / name // * indicates all descendant objects of the name object that sequentially go from the root object through the objects org, dept, and emp. In addition, / org / dept / emp / name // @ * indicates all attribute objects that are descendants of the name object that sequentially go from the root object through the objects org, dept, and emp. In addition, / org / dept / emp / name // text () indicates all text objects that are descendants of the name object from the root object through the objects org, dept, and emp sequentially. In this way, the access control rule may permit access to not only a single object but also an object set including at least one object.
ここで、アクセス制御ルール30−7によりアクセスを許可されるオブジェクトnameの祖先のオブジェクトである/org/dept/empに対するアクセスが許可されていないので、アクセス制御ルール30−7は、整合性条件を満たさない。従って、通知部130は、アクセス制御ルール30−1〜Nを変更する旨の指示を利用者に通知する。
Here, since access to / org / dept / emp that is an ancestor of the object name that is permitted to be accessed by the access control rule 30-7 is not permitted, the access control rule 30-7 sets the consistency condition. Do not meet. Therefore, the
図4は、ルール変更指示40の例を示す。通知部130は、何れかのアクセス制御ルールが整合性条件を満たさない場合に、アクセス制御ルール30−1〜Nを変更する旨の指示を利用者に通知する。例えば、通知部130は、何れかのアクセス制御ルールを削除する旨のアクセス制限指示、又は、新たにアクセス制御ルールを追加する旨のアクセス緩和指示の何れかを利用者に通知する。
FIG. 4 shows an example of the
(a)は、アクセス緩和指示の一例を示す。通知部130は、整合性条件を満たさないアクセス制御ルールがアクセスを許可するオブジェクトの祖先の各オブジェクトに対してアクセスを許可する新たなアクセス制御ルールを追加する指示を、当該アクセス緩和指示として通知する。
(A) shows an example of an access relaxation instruction. The
例えば、アクセス制御ルール30−1〜Nにおいて、オブジェクトnameの祖先であるオブジェクトemp及びオブジェクトdeptに対する読み出しは許可されていない。従って、通知部130は、これらのオブジェクトemp及びdeptに対する読み出しを許可するアクセス制御ルールを追加する指示を通知する。
For example, in the access control rules 30-1 to 30-N, reading from the object emp and the object dept that are ancestors of the object name is not permitted. Therefore, the
(b)は、アクセス制限指示の一例を示す。アクセス制御ルール30−1〜Nにおいて、オブジェクトnameの親であるオブジェクトempに対するアクセスは許可されない場合がある。例えば、アクセス制御ルール30−4は、オブジェクトorg, dept, empを経由して至るオブジェクトnameに対して、オブジェクトdeptの属性に関わらず読み出しを許可する。これに対して、アクセス制御ルール30−3は、根オブジェクトを起点として属性idがS77であるオブジェクトdeptを経由して至るオブジェクトempに対する読み出しのみを許可する。即ち、属性idがS77でないオブジェクトdeptの子であるオブジェクトempは、オブジェクトnameの親であるのにもかかわらず読み出しが許可されない。 (B) shows an example of an access restriction instruction. In the access control rules 30-1 to 30-N, access to the object emp that is the parent of the object name may not be permitted. For example, the access control rule 30-4 permits reading of the object name that passes through the objects org, dept, and emp regardless of the attribute of the object dept. On the other hand, the access control rule 30-3 permits only reading with respect to the object emp that starts from the root object and passes through the object dept having the attribute id S77. That is, the object emp which is a child of the object dept whose attribute id is not S77 is not permitted to be read even though it is the parent of the object name.
このような場合、通知部130は、アクセス制御ルール30−4〜7を削除する旨のアクセス制限指示を通知してもよいが、本図に示すように、アクセス制御ルール30−4〜7がアクセスを許可するオブジェクト集合を変更する旨を通知してもよい。即ち、通知部130は、属性idがS77であるオブジェクトdeptを経由する条件をアクセス制御ルール30−4〜7に追加する指示を通知してもよい。
In such a case, the
以上、本図に示すように、通知部130は、アクセス制御ルールが整合性条件を満たさない場合に、新たにアクセス制御ルールを追加するアクセス緩和指示、又は、アクセス制御ルールを変更又は削除するアクセス制限指示を利用者に通知する。これにより、利用者は、アクセス制御ポリシーの変更が必要である旨を適切に把握して、アクセス制御ポリシーの修正に役立てることができる。
As described above, as shown in the figure, when the access control rule does not satisfy the consistency condition, the
更にこの場合、通知部130は、アクセス制御ルールによりアクセスが許可されるアクセス要求者に基づいて、アクセス緩和指示又はアクセス制限指示を選択して通知してもよい。例えば本図の場合、アクセス要求者である操作者(Operator)は、所定の基準以下のアクセス権限を有するので、通知部130は、アクセス制限指示を選択して通知してもよい。このように、判定装置10は、アクセス要求者に応じた適切な指示を通知することができる。
Further, in this case, the
図5は、判定装置10がアクセス制御ポリシー20を判定する処理の動作フローを示す。ルール展開部100は、取得したアクセス制御ポリシー20を、各々が複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールに展開する(S500)。更に、ルール展開部100は、DTD(Document Type Description)等で記述されたアクセス制御ポリシーを、Xpathで記述されたアクセス制御ルールに変換してもよい。
FIG. 5 shows an operation flow of processing in which the
ルール取得部110は、アクセス制御ルール30−1〜Nをルール展開部100から取得する(S510)。そして、ルール判断部120は、アクセス制御ルール30−1〜Nの各々が整合性条件を満たすか否か判断する(S520)。例えば、ルール判断部120は、整合性条件として、各々のアクセス制御ルール30−1〜Nによりアクセスが許可されるオブジェクトの祖先のオブジェクトに対するアクセスが、アクセス制御ルール30−1〜Nの何れかにより許可される旨の条件を判断する。これにより、通知部130は、読み出されたXML文書が断片化してしまうか否かを判断できる。
The rule acquisition unit 110 acquires the access control rules 30-1 to 30-N from the rule expansion unit 100 (S510). Then, the
この処理について、アクセス制御ルールのパス情報がXpathである場合を例に説明する。
まず、ルール判断部120は、各アクセス制御ルールのパス情報の全ての接頭語を求める。例えば、ルール判断部120は、/org/dept/emp/nameの接頭語として、/org、/org/dept、及び/org/dept/empを求める。次に、ルール判断部120は、これらの接頭語が、他の何れかのアクセス制御ルールにおけるパス情報に含まれるか判断する。例えば、接頭語/orgは、アクセス制御ルール30−1のパス情報に含まれる(例えばこの場合完全に一致している)。一方、接頭語/org/deptは、何れのアクセス制御ルールにおけるパス情報にも含まれない。ルール判断部120は、何れかの接頭語が何れのアクセス制御ルールにおけるパス情報にも含まれない場合に、整合性条件を満たさないと判断する。
This process will be described using an example in which the path information of the access control rule is Xpath.
First, the
このように、整合性条件を満たすか否かを判断するには、あるXpath式が他のXpath式に含まれるかを判定する包含判定が必要である。例えば、ルール判断部120は、Xpath式/aが、Xpath式/aに含まれると判定する。また、Xpath式/aが、Xpath式/*に含まれると判定する。また、Xpath式/a/b//*が、Xpath式/a//*に含まれると判定する。また、Xpath式/ns0:aが、Xpath式/ns0:*に含まれると判定する。また、Xpath式/a[@id=0]が、Xpath式/aに含まれると判定する。また、Xpath式/a[@id=0 or @id=1]が、Xpath式/a[@id=0]及びXpath式a[@id=1]の何れにも含まれると判定する。包含判定の具体的処理は、非特許文献1から3に例示されているので、本実施例における説明を省略する。
As described above, in order to determine whether or not the consistency condition is satisfied, inclusion determination for determining whether a certain Xpath expression is included in another Xpath expression is necessary. For example, the
続いて、整合性条件を判断する処理の変形例を説明する。まず、ルール判断部120は、アクセスを許可する各アクセス制御ルールに基づいて、そのアクセス制御ルールによりアクセスが許可されるオブジェクトの集合を示すオートマトンを生成する。次に、ルール判断部120は、アクセスを禁止する各アクセス制御ルールに基づいて、そのアクセス制御ルールによりアクセスが禁止されるオブジェクトの集合を示すオートマトンを生成する。そして、ルール判断部120は、アクセス制御ルール又はXML文書等に定められた規格等に応じて、以下の処理を行う。
Subsequently, a modification of the process for determining the consistency condition will be described. First, the
(変形例1) アクセスを禁止するアクセス制御ルールとアクセスを許可するアクセス制御ルールとが混在している場合。
ルール判断部120は、アクセスを許可する各アクセス制御ルールのオートマトンの和から、アクセスを禁止する各アクセス制御ルールのオートマトンの和を引いた差分のオートマトンを生成する。XML文書にスキーマ情報が指定されている場合には、ルール判断部120は、更に、スキーマ情報に基づいてオートマトンを生成し、生成したオートマトンと上記差分のオートマトンとの共通部分を示すオートマトンを生成してもよい。
(Modification 1) A case where an access control rule for prohibiting access and an access control rule for permitting access are mixed.
The
そして、ルール判断部120は、生成したこのオートマトンの全ての接頭語が、そのオートマトン自体に含まれるか否かを判断することにより、整合性条件を判断する。オートマトンの共通部分の算出、オートマトンの接頭語の算出、及びオートマトンの包含性の判断は、非特許文献1に例示されているので、本実施例における説明を省略する。
Then, the
(変形例2) XML文書等のデータ構造における規格により、同一のオブジェクトに矛盾する複数のアクセス制御ルールを設定することが許可されない場合。
ルール判断部120は、アクセスを許可する各アクセス制御ルールのオートマトンの和と、アクセスを禁止する各アクセス制御ルールのオートマトンの和との共通部分のオートマトンを生成する。XML文書にスキーマ情報が指定されている場合には、ルール判断部120は、更に、スキーマ情報に基づいてオートマトンを生成し、生成したオートマトンと上記共通部分のオートマトンとの共通部分を示すオートマトンを生成してもよい。
(Modification 2) A case where it is not permitted to set a plurality of access control rules contradicting the same object according to a standard in a data structure such as an XML document.
The
そして、ルール判断部120は、生成したこのオートマトンが空集合であれば、整合性条件を満たすと判断する。このように、ルール判断部120は、アクセス制御ルール30−1〜Nの各々がアクセスを許可する各オブジェクトに対するアクセスが、他の何れのアクセス制御ルールによっても禁止されていない旨の条件を整合性条件として更に判断してもよい。
Then, the
(変形例3) XML文書等のデータ構造における規格により、オブジェクトに許可又は禁止の何れも設定しないことが許されていない場合。
ルール判断部120は、アクセスを許可する各アクセス制御ルールのオートマトンの和と、アクセスを禁止する各アクセス制御ルールのオートマトンの和との何れかに含まれるオートマトンを生成する。XML文書にスキーマ情報が指定されている場合には、ルール判断部120は、更に、スキーマ情報に基づいてオートマトンを生成する。
(Modification 3) When it is not permitted to set neither permitted nor prohibited for an object according to a standard in a data structure such as an XML document.
The
そして、ルール判断部120は、スキーマ情報に基づいて生成した上記オートマトンが、アクセス制御ルールに基づいて生成した上記オートマトンに含まれていれば、整合性条件を満たすと判断する。このように、ルール判断部120は、全てのオブジェクトに対するアクセスが、複数のアクセス制御ルールの何れかによって許可又は禁止されている旨の条件を判断してもよい。
Then, the
続いて、整合性条件が満たされると判断した場合には(S530:YES)、判定装置10は、処理を終了する。この際、整合性条件が満たされる旨を出力・表示してもよい。一方、整合性条件が満たされない場合に(S530:NO)、通知部130は、アクセス要求者が予め定められた条件を満たすか判断する(S540)。例えば、通知部130は、アクセス要求者に対応して予め定められたアクセス権限が、所定の基準より高いか否かを判断する。アクセス要求者が予め定められた条件を満たす場合に(S540:YES)、通知部130は、アクセス緩和指示を利用者に通知する(S550)。
Subsequently, when it is determined that the consistency condition is satisfied (S530: YES), the
一方、アクセス要求者が予め定められた条件を満たさない場合に(S540:NO)、通知部130は、アクセス緩和指示を利用者に通知する(S560)。アクセス緩和指示とは、例えば、整合性条件を満たさないアクセス制御ルールについて、そのアクセス制御ルールがアクセスを許可するオブジェクトの集合を、そのアクセス制御ルールと他の何れかのアクセス制御ルールとが共通してアクセスを許可するオブジェクトの集合に変更する旨の指示である。具体的には、通知部130は、以下の処理によりアクセス制御指示を生成する。
On the other hand, when the access requester does not satisfy the predetermined condition (S540: NO), the
まず、通知部130は、整合性条件を満たさないアクセス制御ルールのパス情報について、そのパス情報が示す何れかのオブジェクトにアクセスの許可又は禁止を設定する他の全てのアクセス制御ルールを検出する。以下の説明において、このようなアクセス制御ルールを類似するアクセス制御ルールと呼ぶ。また、指定するオブジェクトが共通する複数のパス情報を、互いに類似するパス情報と呼ぶ。
First, for the path information of the access control rule that does not satisfy the consistency condition, the
通知部130は、検出した各アクセス制御ルールによりアクセスが許可されるオブジェクトの和集合を算出する。次に、通知部130は、整合性条件を満たさない当該アクセス制御ルールによりアクセスが許可されるオブジェクト集合と、算出したオブジェクトの和集合との積集合を算出する。そして、通知部130は、整合性条件を満たさないアクセス制御ルールがアクセスを許可するオブジェクトの集合を、算出した当該積集合に変更する旨の指示をアクセス制限指示として生成する。
The
なお、この場合、好ましくは、ルール判断部120は、変更する対象のアクセス制御ルールに基づいて他のアクセス制御ルールの整合性条件が判定されていた場合には、そのアクセス制御ルールの整合性条件を、変更後のアクセス制御ルールに基づいて再度判断する。これにより、整合性条件を満たすために追加すべき全てのアクセス制御ルールをより正確に検出できる。
In this case, preferably, when the consistency condition of another access control rule is determined based on the access control rule to be changed, the
続いて、通知部130は、整合性条件を満たさないアクセス制御ルールのパス情報における全ての接頭語を求める。そして、通知部130は、各接頭語を示す各パス情報について以下の処理を行う。まず、通知部130は、そのパス情報に類似するパス情報を有する全てのアクセス制御ルールを検出する。次に、通知部130は、検出した各アクセス制御ルールによりアクセスが許可されるオブジェクトの和集合を算出する。
Subsequently, the
続いて、通知部130は、接頭語が示すオブジェクト集合と、算出したオブジェクトの和集合との積集合を算出する。そして、通知部130は、算出したこの積集合に対するアクセスを許可する新たなアクセス制御ルールを追加する旨の指示を、アクセス制限指示として生成する。なお、追加すべきアクセス制御ルールが既に設定されている場合には、そのアクセス制御ルールを追加すべきアクセス制御ルールから除外することが望ましい。
Subsequently, the
例えば、図3に示したアクセス制御ルール「(Operator,/org/dept/emp/name, +r)」は整合性条件を満たさないので、通知部130は、/org/dept/emp/nameの接頭語である/org, /org/dept, 及び/org/dept/empを求める。ここで、/orgは既にアクセス制御ルールとして設定されているので問題とならない。次に、通知部130は、/org/dept/emp/nameに類似するアクセス制御ルールとして、(Operator, /org/dept[@id='S77']/emp, +r)を検出する。同様に、/org/deptに類似するアクセス制御ルールとして、(Operator, /org/dept[@id='S77'], +r)を検出する。
For example, since the access control rule “(Operator, / org / dept / emp / name, + r)” shown in FIG. 3 does not satisfy the consistency condition, the notifying
そして、求めた/org/dept/emp/nameと、類似するアクセス制御ルールのパス情報との積集合として、/org/dept[@id='S77']/emp/nameを算出する。この結果、算出したこの積集合は、既に設定されていたアクセス制御ルール30−1〜Nに含まれないので、通知部130は、このアクセス制御ルールを、変更すべきアクセス制御ルールとして通知する。
Then, / org / dept [@ id = 'S77'] / emp / name is calculated as a product set of the obtained / org / dept / emp / name and path information of a similar access control rule. As a result, the calculated product set is not included in the access control rules 30-1 to 30-N that have already been set, so the
一方、通知部130は、接頭語である/org, /org/dept, 及び/org/dept/empについて次のように処理する。まず、/orgは既にアクセス制御ルールとして設定されているので問題とならない。次に、通知部130は、/org/dept/empに類似するアクセス制御ルールとして、(Operator, /org/dept[@id='S77']/emp, +r)を検出する。同様に、/org/deptに類似するアクセス制御ルールとして、(Operator, /org/dept[@id='S77'], +r)を検出する。
Meanwhile, the
そして、求めた接頭語と、検出したアクセス制御ルールのパス情報との積集合として、/org/dept[@id='S77']/emp及び/org/dept[@id='S77']を算出する。この結果、算出した積集合は、既に設定されていたアクセス制御ルール30−2及びアクセス制御ルール30−3と同一なので、通知部130は、このアクセス制御ルールを、追加すべきアクセス制御ルールから除外する。
Then, / org / dept [@ id = 'S77'] / emp and / org / dept [@ id = 'S77'] are set as a product set of the obtained prefix and the path information of the detected access control rule. calculate. As a result, since the calculated product set is the same as the access control rule 30-2 and the access control rule 30-3 that have already been set, the
以上、本実施例によると、判定装置10は、Xpathなどで表現されたパス情報を用いてアクセスの許可又は禁止が設定されたXML文書について、アクセス制御ポリシーの整合性を判定することができる。そして、判定装置10は、整合性を満たさない場合に、整合性を満たすために追加するべきアクセス制御ルール又は、削除・変更するべきアクセス制御ルールを利用者に通知することができる。これにより、XML文書の管理者等は、設定したアクセス制御ルールの誤りを容易に発見して、修正することができる。
As described above, according to this embodiment, the
なお、通知部130によるS540からS560における処理は一例である。これに代えて、通知部130は、アクセス緩和指示及びアクセス制限指示の双方を生成し、画面上に表示することにより利用者に通知してもよい。そしてこの場合、通知部130は、アクセス緩和指示及びアクセス制限指示の何れによりアクセス制御ポリシーを変更するか利用者に選択させ、選択された指示に基づいてアクセス制御ポリシーを変更してもよい。これにより、利用者は、アクセス緩和指示及びアクセス制限指示を比較検討の上、アクセス制御ポリシーを変更できる。
Note that the processing from S540 to S560 by the
図6は、判定装置10として機能するコンピュータのハードウェア構成の一例を示す。判定装置10は、ホストコントローラ682により相互に接続されるCPU600、RAM620、グラフィックコントローラ675、及び表示装置680を有するCPU周辺部と、入出力コントローラ684によりホストコントローラ682に接続される通信インターフェイス630、ハードディスクドライブ640、及びCD−ROMドライブ660を有する入出力部と、入出力コントローラ684に接続されるROM610、フレキシブルディスクドライブ650、及び入出力チップ670を有するレガシー入出力部とを備える。
FIG. 6 shows an example of a hardware configuration of a computer that functions as the
ホストコントローラ682は、RAM620と、高い転送レートでRAM620をアクセスするCPU600及びグラフィックコントローラ675とを接続する。CPU600は、ROM610及びRAM620に格納されたプログラムに基づいて動作し、各部の制御を行う。グラフィックコントローラ675は、CPU600等がRAM620内に設けたフレームバッファ上に生成する画像データを取得し、表示装置680上に表示させる。これに代えて、グラフィックコントローラ675は、CPU600等が生成する画像データを格納するフレームバッファを、内部に含んでもよい。
The
入出力コントローラ684は、ホストコントローラ682と、比較的高速な入出力装置である通信インターフェイス630、ハードディスクドライブ640、及びCD−ROMドライブ660を接続する。通信インターフェイス630は、ネットワークを介して外部の装置と通信する。ハードディスクドライブ640は、判定装置10が使用するプログラム及びデータを格納する。CD−ROMドライブ660は、CD−ROM695からプログラム又はデータを読み取り、RAM620を介して入出力チップ670に提供する。
The input /
また、入出力コントローラ684には、ROM610と、フレキシブルディスクドライブ650や入出力チップ670等の比較的低速な入出力装置とが接続される。ROM610は、判定装置10の起動時にCPU600が実行するブートプログラムや、判定装置10のハードウェアに依存するプログラム等を格納する。フレキシブルディスクドライブ650は、フレキシブルディスク690からプログラム又はデータを読み取り、RAM620を介して入出力チップ670に提供する。入出力チップ670は、フレキシブルディスク690や、例えばパラレルポート、シリアルポート、キーボードポート、マウスポート等を介して各種の入出力装置を接続する。
The input /
判定装置10に提供されるプログラムは、フレキシブルディスク690、CD−ROM695、又はICカード等の記録媒体に格納されて利用者によって提供される。プログラムは、入出力チップ670及び/又は入出力コントローラ684を介して、記録媒体から読み出され判定装置10にインストールされて実行される。
The program provided to the
判定装置10にインストールされて実行されるプログラムは、ルール展開モジュールと、ルール取得モジュールと、ルール判断モジュールと、通知モジュールとを含む。各モジュールが判定装置10に働きかけて行わせる動作は、図1から図5において説明する判定装置10における、対応する部材の動作と同一であるから、説明を省略する。
The program that is installed and executed in the
以上に示したプログラムは、外部の記憶媒体に格納されてもよい。記憶媒体としては、フレキシブルディスク690、CD−ROM695の他に、DVDやPD等の光学記録媒体、MD等の光磁気記録媒体、テープ媒体、ICカード等の半導体メモリ等を用いることができる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けたハードディスク又はRAM等の記憶装置を記録媒体として使用し、ネットワークを介してプログラムを判定装置10に提供してもよい。
The program shown above may be stored in an external storage medium. As the storage medium, in addition to the
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。 As mentioned above, although this invention was demonstrated using embodiment, the technical scope of this invention is not limited to the range as described in the said embodiment. It will be apparent to those skilled in the art that various modifications or improvements can be added to the above-described embodiment. It is apparent from the scope of the claims that the embodiments added with such changes or improvements can be included in the technical scope of the present invention.
以上に示す実施例によると、以下の各項目に示す判定装置、プログラム、記録媒体、及び判定方法が実現される。 According to the embodiment described above, the determination device, program, recording medium, and determination method shown in the following items are realized.
(項目1) 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置であって、各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、前記複数のアクセス制御ルールの各々が、当該アクセス制御ルールによりアクセスを許可されるオブジェクトの祖先の各オブジェクトに対するアクセスが前記複数のアクセス制御ルールの何れかにより許可される旨の条件である整合性条件を満たすか否か判断するルール判断部と、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知部とを備える判定装置。
(項目2) 前記通知部は、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、当該アクセス制御ルールを削除する旨を指示するアクセス制限指示、又は、当該アクセス制御ルールがアクセスを許可するオブジェクトの祖先の各オブジェクトに対してアクセスを許可する新たなアクセス制御ルールを追加する指示であるアクセス緩和指示を通知する項目1記載の判定装置。
(Item 1) A determination device for determining consistency of settings for permitting or prohibiting access to a plurality of objects having a parent-child relationship, each of which allows or prohibits access to any of the plurality of objects A rule acquisition unit that acquires an access control rule, and each of the plurality of access control rules has an access to each object that is an ancestor of an object permitted to be accessed by the access control rule, depending on any of the plurality of access control rules A rule determination unit that determines whether or not a consistency condition that is a permitted condition is satisfied, and when any of the access control rules does not satisfy the consistency condition, the plurality of access control rules are changed And a notification unit that notifies the instruction.
(Item 2) The notification unit, when any access control rule does not satisfy the consistency condition, an access restriction instruction that instructs to delete the access control rule, or the access control rule accesses The determination apparatus according to item 1, wherein an access mitigation instruction that is an instruction to add a new access control rule for permitting access to each object that is an ancestor of the permitted object is notified.
(項目3) 前記ルール取得部は、アクセスを許可するアクセス要求者を識別する識別情報と、当該アクセス要求者によるアクセスを許可するオブジェクトの識別情報との組を、前記アクセス制御ルールとして取得し、前記通知部は、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、当該アクセス制御ルールによりアクセスが許可されるアクセス要求者に基づいて、前記アクセス緩和指示又は前記アクセス制限指示を選択して通知する項目2記載の判定装置。
(項目4) 前記複数のアクセス制御ルールの各々は、少なくとも1つのオブジェクトを含むオブジェクト集合に対するアクセスを許可し、前記ルール判断部は、各アクセス制御ルールについて、前記オブジェクト集合に含まれる何れかのオブジェクトの何れかの祖先のオブジェクトに対するアクセスが、前記複数のアクセス制御ルールの何れによっても許可されない場合に、当該アクセス制御ルールが前記整合性条件を満たさないと判断し、前記通知部は、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、当該アクセス制御ルールがアクセスを許可するオブジェクト集合を、当該アクセス制御ルールと他の何れかのアクセス制御ルールとが共通してアクセスを許可するオブジェクトの集合に変更する旨の指示を、前記アクセス制限指示として通知する項目2記載の判定装置。
(Item 3) The rule acquisition unit acquires, as the access control rule, a set of identification information that identifies an access requester that permits access and identification information of an object that permits access by the access requester. When any access control rule does not satisfy the consistency condition, the notification unit selects the access mitigation instruction or the access restriction instruction based on an access requester permitted to access by the access control rule. The determination device according to item 2, which is notified.
(Item 4) Each of the plurality of access control rules permits access to an object set including at least one object, and the rule determination unit is configured to select any object included in the object set for each access control rule. If access to any of the ancestor objects is not permitted by any of the plurality of access control rules, it is determined that the access control rule does not satisfy the consistency condition, and the notification unit When an access control rule does not satisfy the consistency condition, an object that allows access by the access control rule and any other access control rule in common for an object set that the access control rule permits access Instructions to change to a set of The determination device according to item 2, which is notified as a process restriction instruction.
(項目5) 前記複数のオブジェクトは、木構造の親子関係を有し、前記ルール取得部は、前記アクセス制御ルールとして、アクセスを許可する対象のオブジェクトを、前記木構造の根オブジェクトから当該オブジェクトに至る経路により指定するパス情報を取得し、前記ルール判断部は、前記複数のアクセス制御ルールの各々におけるパス情報に基づいて当該アクセス制御ルールが前記整合性条件を満たすか否かを判断する項目1記載の判定装置。
(項目6) 前記ルール判断部は、前記整合性条件として、前記複数のアクセス制御ルールの各々がアクセスを許可する各オブジェクトに対するアクセスが、他の何れのアクセス制御ルールによっても禁止されていない旨の条件を更に判断する項目1記載の判定装置。
(項目7) 前記ルール判断部は、前記整合性条件として、全ての前記複数のオブジェクトの各々に対するアクセスが、前記複数のアクセス制御ルールの何れかによって許可又は禁止されている旨の条件を更に判断する項目1記載の判定装置。
(Item 5) The plurality of objects have a tree-structure parent-child relationship, and the rule acquisition unit changes, as the access control rule, an object to which access is permitted from the tree-structure root object to the object. Item 1 for acquiring path information designated by a route to reach, wherein the rule determination unit determines whether the access control rule satisfies the consistency condition based on path information in each of the plurality of access control rules The determination apparatus described.
(Item 6) The rule determining unit indicates that, as the consistency condition, access to each object that each of the plurality of access control rules permits access is not prohibited by any other access control rule. The determination device according to item 1, further determining a condition.
(Item 7) The rule determination unit further determines, as the consistency condition, a condition that access to each of all the plurality of objects is permitted or prohibited by any of the plurality of access control rules. The determination apparatus according to Item 1.
(項目8) 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置であって、各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、前記複数のアクセス制御ルールの各々がアクセスを許可する各オブジェクトに対するアクセスが、他の何れのアクセス制御ルールによっても禁止されていない旨の条件である整合性条件を満たすか否か判断するルール判断部と、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知部とを備える判定装置。
(項目9) 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置であって、各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、全ての前記複数のオブジェクトの各々に対するアクセスが、前記複数のアクセス制御ルールの何れかによって許可又は禁止されている旨の条件である整合性条件を満たすか否か判断するルール判断部と、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知部とを備える判定装置。
(項目10) 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定装置として、コンピュータを機能させるプログラムであって、前記プログラムは、前記コンピュータを、各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、前記複数のアクセス制御ルールの各々が、当該アクセス制御ルールによりアクセスを許可されるオブジェクトの祖先の各オブジェクトに対するアクセスが前記複数のアクセス制御ルールの何れかにより許可される旨の条件である整合性条件を満たすか否か判断するルール判断部と、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知部として機能させるプログラム。
(項目11) 項目10に記載のプログラムを記録した記録媒体。
(Item 8) A determination device for determining consistency of settings for permitting or prohibiting access to a plurality of objects having a parent-child relationship with each other, each of which allows or prohibits access to any of the plurality of objects Consistency that is a condition that a rule acquisition unit that acquires an access control rule and access to each object that each of the plurality of access control rules permits access are not prohibited by any other access control rule A rule determination unit that determines whether or not a condition is satisfied, and a notification unit that notifies an instruction to change the plurality of access control rules when any of the access control rules does not satisfy the consistency condition Judgment device.
(Item 9) A determination device that determines consistency of settings for permitting or prohibiting access to a plurality of objects having a parent-child relationship, each of which allows or prohibits access to any of the plurality of objects Whether a rule acquisition unit that acquires an access control rule and a consistency condition that is a condition that access to each of all the plurality of objects is permitted or prohibited by any of the plurality of access control rules A determination apparatus comprising: a rule determination unit that determines whether or not; and a notification unit that notifies an instruction to change the plurality of access control rules when any of the access control rules does not satisfy the consistency condition.
(Item 10) A program that causes a computer to function as a determination device that determines the consistency of settings for permitting or prohibiting access to a plurality of objects that have a parent-child relationship with each other. A rule acquisition unit that acquires a plurality of access control rules that permit or prohibit access to any of the plurality of objects, and each of the plurality of access control rules is an ancestor of an object that is permitted to access by the access control rules. A rule determination unit that determines whether or not an integrity condition that is a condition that access to each object is permitted by any of the plurality of access control rules; and any access control rule satisfies the consistency condition If not, the plurality of access control routes A program that functions as a notification unit that notifies an instruction to change a message.
(Item 11) A recording medium on which the program according to
(項目12) 互いに親子関係を有する複数のオブジェクトに対するアクセスを許可又は禁止する設定の整合性を判定する判定方法であって、各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得段階と、前記複数のアクセス制御ルールの各々が、当該アクセス制御ルールによりアクセスを許可されるオブジェクトの祖先の各オブジェクトに対するアクセスが前記複数のアクセス制御ルールの何れかにより許可される旨の条件である整合性条件を満たすか否か判断するルール判断段階と、何れかのアクセス制御ルールが前記整合性条件を満たさない場合に、前記複数のアクセス制御ルールを変更する旨の指示を通知する通知段階とを備える判定方法。 (Item 12) A determination method for determining consistency of settings for permitting or prohibiting access to a plurality of objects having a parent-child relationship, each of which allows or prohibits access to any of the plurality of objects A rule acquisition step of acquiring an access control rule, and each of the plurality of access control rules is determined by any of the plurality of access control rules that access to each ancestor object of the object permitted to be accessed by the access control rule A rule determination stage for determining whether or not a consistency condition, which is a permitted condition, is satisfied, and when any of the access control rules does not satisfy the consistency condition, the plurality of access control rules are changed And a notification step of notifying the instruction.
10 判定装置
20 アクセス制御ポリシー
30 アクセス制御ルール
40 ルール変更指示
100 ルール展開部
110 ルール取得部
120 ルール判断部
130 通知部
DESCRIPTION OF
Claims (13)
各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、
アクセスを許可する前記アクセス制御ルールによりアクセスが許可されるオブジェクト集合を示すオートマトンの和から、アクセスを禁止する前記アクセス制御ルールによりアクセスが禁止されるオブジェクト集合を示すオートマトンの和を引いた差分のオートマトンを生成すると共に、生成した前記差分のオートマトンの全ての接頭語が、前記差分のオートマトン自体に含まれるか否かを判断することにより、整合性条件を判断するルール判断部と、
何れかの前記アクセス制御ルールが前記整合性条件を満たさない場合に、前記整合性条件を満たさないアクセス制御ルールのパス情報が示す何れかのオブジェクトにアクセスの許可又は禁止を設定する他の全てのアクセス制御ルールを検出した上で、検出した前記全てのアクセス制御ルールによりアクセスが許可されるオブジェクトの和集合を算出すると共に、前記整合性条件を満たさないアクセス制御ルールによりアクセスが許可されるオブジェクト集合と、算出した前記オブジェクトの和集合との積集合を算出し、前記整合性条件を満たさないアクセス制御ルールによりアクセスを許可するオブジェクトの集合を、前記積集合となるオブジェクト集合に変更する旨の指示をアクセス制限指示として生成する通知部と
を備える判定装置。 A determination apparatus for determining consistency of settings for permitting or prohibiting access to a plurality of objects having a parent-child relationship with each other,
A rule acquisition unit for acquiring a plurality of access control rules each permitting or prohibiting access to any of the plurality of objects;
The difference automaton obtained by subtracting the sum of the automaton indicating the object set prohibited by the access control rule prohibiting access from the sum of the automaton indicating the object set permitted by the access control rule permitting access A rule determination unit that determines consistency conditions by determining whether all the prefixes of the generated difference automaton are included in the difference automaton itself, and
When any of the access control rules does not satisfy the consistency condition, all other objects that set permission or prohibition of access to any object indicated by the path information of the access control rule that does not satisfy the consistency condition An object set for which access is permitted by an access control rule that does not satisfy the consistency condition while calculating a union of objects permitted to be accessed by all the detected access control rules after detecting an access control rule And an instruction to change a set of objects that are allowed to access according to an access control rule that does not satisfy the consistency condition to an object set that is the product set. And a notifying unit that generates an access restriction instruction .
各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、
アクセスを許可する前記アクセス制御ルールによりアクセスが許可されるオブジェクト集合を示すオートマトンの和から、アクセスを禁止する前記アクセス制御ルールによりアクセスが禁止されるオブジェクト集合を示すオートマトンの和を引いた差分のオートマトンを生成すると共に、XML文書に指定されているスキーマ情報に基づいて生成したオートマトンと前記差分のオートマトンとの共通部分を示すオートマトンの全ての接頭語が、前記差分のオートマトン自体に含まれるか否かを判断することにより、整合性条件を判断するルール判断部と、
何れかの前記アクセス制御ルールが前記整合性条件を満たさない場合に、前記整合性条件を満たさないアクセス制御ルールのパス情報が示す何れかのオブジェクトにアクセスの許可又は禁止を設定する他の全てのアクセス制御ルールを検出した上で、検出した前記全てのアクセス制御ルールによりアクセスが許可されるオブジェクトの和集合を算出すると共に、前記整合性条件を満たさないアクセス制御ルールによりアクセスが許可されるオブジェクト集合と、算出した前記オブジェクトの和集合との積集合を算出し、前記整合性条件を満たさないアクセス制御ルールによりアクセスを許可するオブジェクトの集合を、前記積集合となるオブジェクト集合に変更する旨の指示をアクセス制限指示として生成する通知部とを備える判定装置。 A determination apparatus for determining consistency of settings for permitting or prohibiting access to a plurality of objects having a parent-child relationship with each other,
A rule acquisition unit that acquires a plurality of access control rules each permitting or prohibiting access to any of the plurality of objects;
The difference automaton obtained by subtracting the sum of the automaton indicating the object set prohibited by the access control rule prohibiting access from the sum of the automaton indicating the object set permitted by the access control rule permitting access Whether or not all the automaton prefixes indicating the common part between the automaton generated based on the schema information specified in the XML document and the automaton of the difference are included in the automaton of the difference itself. A rule determining unit that determines the consistency condition by determining
When any of the access control rules does not satisfy the consistency condition, all other objects that set permission or prohibition of access to any object indicated by the path information of the access control rule that does not satisfy the consistency condition An object set for which access is permitted by an access control rule that does not satisfy the consistency condition while calculating a union of objects permitted to be accessed by all the detected access control rules after detecting an access control rule And an instruction to change a set of objects that are allowed to access according to an access control rule that does not satisfy the consistency condition to an object set that is the product set. And a notifying unit that generates an access restriction instruction .
請求項1または請求項2に記載の判定装置。The determination apparatus according to claim 1 or 2.
前記ルール取得部は、前記アクセス制御ルールとして、アクセスを許可する対象のオブジェクトを、前記木構造の根オブジェクトから当該オブジェクトに至る経路により指定するパス情報を取得し、
前記ルール判断部は、前記複数のアクセス制御ルールの各々におけるパス情報に基づいて当該アクセス制御ルールが前記整合性条件を満たすか否かを判断する
請求項1または請求項2に記載の判定装置。 The plurality of objects have a tree-parent relationship.
The rule acquisition unit acquires, as the access control rule, path information that specifies an object to which access is permitted by a route from the root object of the tree structure to the object,
The rule judgment unit determining device according to claim 1 or claim 2 the access control rules to determine whether the integrity condition is satisfied based on the path information in each of said plurality of access control rules.
請求項1または請求項2に記載の判定装置。 The rule determination unit further determines, as the consistency condition, a condition that access to each object permitted to be accessed by each of the plurality of access control rules is not prohibited by any other access control rule. The determination apparatus according to claim 1 or 2 .
請求項1または請求項2に記載の判定装置。 2. The rule determination unit further determines, as the consistency condition, a condition that access to each of all the plurality of objects is permitted or prohibited by any of the plurality of access control rules. Or the determination apparatus of Claim 2 .
各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、
アクセスを許可する前記アクセス制御ルールによりアクセスが許可されるオブジェクト集合を示すオートマトンの和と、アクセスを禁止する前記アクセス制御ルールによりアクセスが禁止されるオブジェクト集合を示すオートマトンの和との共通部分のオートマトンを生成すると共に、前記共通部分のオートマトンが空集合であれば、整合性条件を満たすと判断するルール判断部と、
何れかの前記アクセス制御ルールが前記整合性条件を満たさない場合に、前記整合性条件を満たさないアクセス制御ルールのパス情報が示す何れかのオブジェクトにアクセスの許可又は禁止を設定する他の全てのアクセス制御ルールを検出した上で、検出した前記全てのアクセス制御ルールによりアクセスが許可されるオブジェクトの和集合を算出すると共に、前記整合性条件を満たさないアクセス制御ルールによりアクセスが許可されるオブジェクト集合と、算出した前記オブジェクトの和集合との積集合を算出し、前記整合性条件を満たさないアクセス制御ルールによりアクセスを許可するオブジェクトの集合を、前記積集合となるオブジェクト集合に変更する旨の指示をアクセス制限指示として生成する通知部とを備える判定装置。 A determination apparatus for determining consistency of settings for permitting or prohibiting access to a plurality of objects having a parent-child relationship with each other,
A rule acquisition unit for acquiring a plurality of access control rules each permitting or prohibiting access to any of the plurality of objects;
The automaton of the common part of the sum of automaton indicating the object set permitted to be accessed by the access control rule permitting access and the sum of automaton indicating the object set not permitted to access by the access control rule prohibiting access A rule determination unit that determines that the consistency condition is satisfied if the automaton of the common part is an empty set ;
When any of the access control rules does not satisfy the consistency condition, all other objects that set permission or prohibition of access to any object indicated by the path information of the access control rule that does not satisfy the consistency condition An object set for which access is permitted by an access control rule that does not satisfy the consistency condition while calculating a union of objects permitted to be accessed by all the detected access control rules after detecting an access control rule And an instruction to change a set of objects that are allowed to access according to an access control rule that does not satisfy the consistency condition to an object set that is the product set. And a notifying unit that generates an access restriction instruction .
各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、
アクセスを許可する前記アクセス制御ルールによりアクセスが許可されるオブジェクト集合を示すオートマトンの和と、アクセスを禁止する前記アクセス制御ルールによりアクセスが禁止されるオブジェクト集合を示すオートマトンの和との何れかに含まれるオブジェクトの集合を示すオートマトンに、全てのオブジェクトが含まれるか否かを判断することにより、整合性条件を判断するルール判断部と、
何れかの前記アクセス制御ルールが前記整合性条件を満たさない場合に、前記整合性条件を満たさないアクセス制御ルールのパス情報が示す何れかのオブジェクトにアクセスの許可又は禁止を設定する他の全てのアクセス制御ルールを検出した上で、検出した前記全てのアクセス制御ルールによりアクセスが許可されるオブジェクトの和集合を算出すると共に、前記整合性条件を満たさないアクセス制御ルールによりアクセスが許可されるオブジェクト集合と、算出した前記オブジェクトの和集合との積集合を算出し、前記整合性条件を満たさないアクセス制御ルールによりアクセスを許可するオブジェクトの集合を、前記積集合となるオブジェクト集合に変更する旨の指示をアクセス制限指示として生成する通知部とを備える判定装置。 A determination apparatus for determining consistency of settings for permitting or prohibiting access to a plurality of objects having a parent-child relationship with each other,
A rule acquisition unit for acquiring a plurality of access control rules each permitting or prohibiting access to any of the plurality of objects;
Included in either the sum of automaton indicating the object set permitted to access by the access control rule permitting access or the sum of automaton indicating the object set prohibited to access by the access control rule prohibiting access A rule determination unit that determines consistency conditions by determining whether or not all objects are included in an automaton that indicates a set of objects to be
When any of the access control rules does not satisfy the consistency condition, all other objects that set permission or prohibition of access to any object indicated by the path information of the access control rule that does not satisfy the consistency condition An object set for which access is permitted by an access control rule that does not satisfy the consistency condition while calculating a union of objects permitted to be accessed by all the detected access control rules after detecting an access control rule And an instruction to change a set of objects that are allowed to access according to an access control rule that does not satisfy the consistency condition to an object set that is the product set. And a notifying unit that generates an access restriction instruction .
前記プログラムは、前記コンピュータを、
各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得部と、
アクセスを許可する前記アクセス制御ルールによりアクセスが許可されるオブジェクト集合を示すオートマトンの和から、アクセスを禁止する前記アクセス制御ルールによりアクセスが禁止されるオブジェクト集合を示すオートマトンの和を引いた差分のオートマトンを生成すると共に、生成した前記差分のオートマトンの全ての接頭語が、前記差分のオートマトン自体に含まれるか否かを判断することにより、整合性条件を判断するルール判断部と、
何れかの前記アクセス制御ルールが前記整合性条件を満たさない場合に、前記整合性条件を満たさないアクセス制御ルールのパス情報が示す何れかのオブジェクトにアクセスの許可又は禁止を設定する他の全てのアクセス制御ルールを検出した上で、検出した前記全てのアクセス制御ルールによりアクセスが許可されるオブジェクトの和集合を算出すると共に、前記整合性条件を満たさないアクセス制御ルールによりアクセスが許可されるオブジェクト集合と、算出した前記オブジェクトの和集合との積集合を算出し、前記整合性条件を満たさないアクセス制御ルールによりアクセスを許可するオブジェクトの集合を、前記積集合となるオブジェクト集合に変更する旨の指示をアクセス制限指示として生成する通知部として機能させるプログラム。 A program that causes a computer to function as a determination device that determines consistency of settings for permitting or prohibiting access to a plurality of objects having a parent-child relationship with each other,
The program causes the computer to
A rule acquisition unit that acquires a plurality of access control rules each permitting or prohibiting access to any of the plurality of objects;
The difference automaton obtained by subtracting the sum of the automaton indicating the object set prohibited by the access control rule prohibiting access from the sum of the automaton indicating the object set permitted by the access control rule permitting access A rule determination unit that determines consistency conditions by determining whether all the prefixes of the generated difference automaton are included in the difference automaton itself, and
When any of the access control rules does not satisfy the consistency condition, all other objects that set permission or prohibition of access to any object indicated by the path information of the access control rule that does not satisfy the consistency condition An object set for which access is permitted by an access control rule that does not satisfy the consistency condition while calculating a union of objects permitted to be accessed by all the detected access control rules after detecting an access control rule And an instruction to change a set of objects that are allowed to access according to an access control rule that does not satisfy the consistency condition to an object set that is the product set. programming to function as a notification unit that generates an access restriction instruction Beam.
請求項9記載のプログラム。 The program according to claim 9.
前記ルール取得部により、各々が前記複数のオブジェクトの何れかに対するアクセスを許可又は禁止する複数のアクセス制御ルールを取得するルール取得段階と、
前記ルール判断部により、アクセスを許可する前記アクセス制御ルールによりアクセスが許可されるオブジェクト集合を示すオートマトンの和から、アクセスを禁止する前記アクセス制御ルールによりアクセスが禁止されるオブジェクト集合を示すオートマトンの和を引いた差分のオートマトンを生成すると共に、生成した前記差分のオートマトンの全ての接頭語が、前記差分のオートマトン自体に含まれるか否かを判断することにより、整合性条件を判断する段階と、
前記通知部により、何れかの前記アクセス制御ルールが前記整合性条件を満たさない場合に、前記整合性条件を満たさないアクセス制御ルールのパス情報が示す何れかのオブジェクトにアクセスの許可又は禁止を設定する他の全てのアクセス制御ルールを検出した上で、検出した前記全てのアクセス制御ルールによりアクセスが許可されるオブジェクトの和集合を算出すると共に、前記整合性条件を満たさないアクセス制御ルールによりアクセスが許可されるオブジェクト集合と、算出した前記オブジェクトの和集合との積集合を算出し、前記整合性条件を満たさないアクセス制御ルールによりアクセスを許可するオブジェクトの集合を、前記積集合となるオブジェクト集合に変更する旨の指示をアクセス制限指示として生成する段階とを備える判定方法。 A determination method for determining consistency of settings for permitting or prohibiting access to a plurality of objects having a parent-child relationship with each other using a determination device including a rule acquisition unit, a rule determination unit, and a notification unit ,
A rule acquisition step of acquiring a plurality of access control rules each permitting or prohibiting access to any of the plurality of objects by the rule acquisition unit;
The sum of automaton indicating the object set prohibited by the access control rule prohibiting access from the sum of the automaton indicating the object set permitted by the access control rule permitting access by the rule determining unit. Determining a consistency condition by determining whether all the prefixes of the generated difference automaton are included in the difference automaton itself;
When any of the access control rules does not satisfy the consistency condition, the notification unit sets permission or prohibition of access to any object indicated by the path information of the access control rule that does not satisfy the consistency condition. After detecting all other access control rules, the union of objects permitted to be accessed by all the detected access control rules is calculated, and the access is controlled by an access control rule that does not satisfy the consistency condition. A product set of the permitted object set and the calculated union of the objects is calculated, and a set of objects permitted to be accessed according to an access control rule that does not satisfy the consistency condition is defined as an object set to be the product set. Bei and generating an instruction to change the access restriction instruction That determination method.
請求項12記載の判定方法。The determination method according to claim 12.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004099926A JP4251633B2 (en) | 2004-03-30 | 2004-03-30 | Determination device, program, recording medium, and determination method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004099926A JP4251633B2 (en) | 2004-03-30 | 2004-03-30 | Determination device, program, recording medium, and determination method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005284883A JP2005284883A (en) | 2005-10-13 |
| JP4251633B2 true JP4251633B2 (en) | 2009-04-08 |
Family
ID=35183177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004099926A Expired - Fee Related JP4251633B2 (en) | 2004-03-30 | 2004-03-30 | Determination device, program, recording medium, and determination method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4251633B2 (en) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5029619B2 (en) * | 2007-01-05 | 2012-09-19 | 日本電気株式会社 | Access right management method, access right management system, and access right management program |
| JP5040580B2 (en) * | 2007-10-18 | 2012-10-03 | 富士ゼロックス株式会社 | Document management system and program |
| JP4952600B2 (en) * | 2008-02-01 | 2012-06-13 | 富士通株式会社 | Management device and management program |
| JP2009193289A (en) * | 2008-02-14 | 2009-08-27 | Nec Corp | Access right management method, access management system and access right management program |
| US9071614B2 (en) * | 2009-11-19 | 2015-06-30 | Hitachi, Ltd. | Computer system, management system and recording medium |
| JP5567053B2 (en) * | 2012-03-19 | 2014-08-06 | 株式会社東芝 | Authority changing device, creation device, and program |
| JP5398869B2 (en) * | 2012-03-28 | 2014-01-29 | 株式会社東芝 | Composite media management system, information management server device, composite usage constraint creation device and program |
-
2004
- 2004-03-30 JP JP2004099926A patent/JP4251633B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005284883A (en) | 2005-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7689578B2 (en) | Dealing with annotation versioning through multiple versioning policies and management thereof | |
| US8201079B2 (en) | Maintaining annotations for distributed and versioned files | |
| US8584009B2 (en) | Automatically propagating changes in document access rights for subordinate document components to superordinate document components | |
| US9384175B2 (en) | Determination of differences between electronic documents | |
| JP5336569B2 (en) | Method and computer-readable medium for fitting text to a shape in a graphic | |
| US7051276B1 (en) | View templates for HTML source documents | |
| US8645812B1 (en) | Methods and apparatus for automated redaction of content in a document | |
| US7617520B2 (en) | Setting apparatus, setting method, program, and recording medium | |
| US7750924B2 (en) | Method and computer-readable medium for generating graphics having a finite number of dynamically sized and positioned shapes | |
| JP6070936B2 (en) | Information processing apparatus, information processing method, and program | |
| JP5183384B2 (en) | Layout processing method, layout processing apparatus, and layout control program | |
| JP2000112993A (en) | Method, device and system for sorting document and storage medium | |
| JP2006178944A (en) | File format representing document, its method and computer program product | |
| US9229920B1 (en) | Compound undo/redo manager for mixed model edits | |
| US8595215B2 (en) | Apparatus, method, and computer program product for processing query | |
| US8140967B2 (en) | Information processing apparatus, information processing method, and program | |
| JP2017090997A (en) | Information processing device, program, information processing system, and information processing method | |
| US20080052144A1 (en) | System and method for managing workflow | |
| JP4251633B2 (en) | Determination device, program, recording medium, and determination method | |
| JP4367958B2 (en) | Technology to control access to data | |
| JP2008158589A (en) | Updated information notification device, and updated information notification program | |
| US20090287994A1 (en) | Document processing device and document processing method | |
| JP2018106556A (en) | Screen information generating apparatus, screen information generating method, and program | |
| US8910041B1 (en) | Font substitution using unsupervised clustering techniques | |
| JP2010026766A (en) | Information processing apparatus, information processing method and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080902 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081010 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090106 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20090107 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090119 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120130 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |