JP4280110B2 - 属性承認装置 - Google Patents

属性承認装置 Download PDF

Info

Publication number
JP4280110B2
JP4280110B2 JP2003138707A JP2003138707A JP4280110B2 JP 4280110 B2 JP4280110 B2 JP 4280110B2 JP 2003138707 A JP2003138707 A JP 2003138707A JP 2003138707 A JP2003138707 A JP 2003138707A JP 4280110 B2 JP4280110 B2 JP 4280110B2
Authority
JP
Japan
Prior art keywords
approval
attribute
resource
condition
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003138707A
Other languages
English (en)
Other versions
JP2004341896A (ja
Inventor
良彰 中嶋
嘉人 大嶋
直子 千葉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003138707A priority Critical patent/JP4280110B2/ja
Publication of JP2004341896A publication Critical patent/JP2004341896A/ja
Application granted granted Critical
Publication of JP4280110B2 publication Critical patent/JP4280110B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、インターネットのようなオープンなネットワークにおいて、リソースへのアクセスの承認判断に必要な属性情報の取得、検証のためのルール、および、取得した属性情報による承認ルールを定める承認ポリシ定義を管理し、それに基づいて承認判断を行なう属性承認装置に関する。
【0002】
【従来の技術】
現在、リソースに対するアクセス制御は、あらかじめユーザに割り当てられたIDやロールを識別することによって実施されることが多い。IDやロールは、リソース管理者が自ら発行して管理、あるいは、リソース管理者から管理を依頼されたあらかじめ非常に密接な連携関係にある割り当て機関が発行管理する。
【0003】
そのため、リソースへのアクセスの際に、承認結果の判定材料となるIDやロールといった情報は、事前にリソース管理者(あるいはリソースサーバ)側に十分に知られていたり、また、それらの情報の入手は容易であり、取得した情報の信頼性を確認することが不要または容易であることが多い。
【0004】
このことから、従来の技術は、イントラネットなどの変化の少ない、閉域なネットワークにおけるシステム、あるいは、あらかじめユーザ集合を厳密に管理することが容易なシステムに対しては有効であると考えられる。
【0005】
【非特許文献1】
Recommendation X.509 "The Directory: Public-key and Attribute Certificate Frameworks", ITU-T, 2000年3月
【非特許文献2】
Request for Comments 3281 "An Internet Attribute Certificate Profile for Authorization", The Internet Society, 2002年4月
【0006】
【発明が解決しようとする課題】
現在、インターネットは社会インフラとなりつつあり、今後、これまで以上に多様なサービスがインターネット上で実現されるようになり、その数も増大するものと予想される。
【0007】
このような状況下で、サービスにおけるアクセス制御のために従来技術を用いる場合、各サービスが管理するユーザ情報の規模が著しく増大し、流動的なユーザ集合に対して登録や更新の負担が大きくなりスケーラビリティの確保が困難になる。また、ユーザは個々のサービスを、そのアクセス制御方法の違いを意識して柔軟に利用する必要があるため、サービスの多様性に比例して、利用者の負担も増加してしまう。
【0008】
このことは、従来技術が、各サービス側で独自にユーザの識別情報やユーザの特徴情報を管理することを基本としていることが原因と考えられる。また、これは異種サービス間での連携サービス実現の妨げともなってしまう。
【0009】
そこで、本発明の目的は、各ユーザが持つさまざまな特徴情報(以下、属性情報)をサービスに依らずに汎用的に利用可能なものとし、各サービスのアクセス承認のための判断材料として利用することによって、サービスやユーザの負担を低減する属性承認装置を提供することにある。
【0010】
本発明の属性承認装置は、
リソースの利用を要求するリソースアクセス装置からアクセス承認要求対象であるリソースのリソース識別情報と該リソースアクセス装置を介して該リソースへのアクセス承認を要求するユーザに関する特徴を表わす属性情報とを含むリソースへのアクセスの承認結果判定要求を受け取り、該リソースへの承認判定を実施し、承認結果を該リソースアクセス装置に返却する装置であって、
前記リソース識別情報と、承認結果判定に必要な属性情報の条件を表わす承認条件属性定義情報リストと、属性情報を用いた承認結果の判定規則を表わす承認ルール情報とからなる承認ポリシ定義を複数蓄積、管理する承認ポリシ管理手段と、
前記リソース識別情報を含む、リソースへのアクセスの承認結果判定に必要な属性情報の条件の取得を要求することを表わす承認条件判定要求を該リソースアクセス装置から受け取り、該承認条件判定要求に含まれるリソース識別情報を元に、前記承認ポリシ管理手段から承認ポリシ定義を取得し、該承認ポリシ定義に含まれる承認条件属性定義情報リストを元に承認条件を決定して該リソースアクセス装置に返却する承認条件判定手段と、
アクセス承認要求対象であるリソースのリソース識別情報と該リソースへのアクセスの承認結果判定に必要な属性情報を含むリソースへのアクセスの承認結果判定要求を該リソースアクセス装置から受け取り、該承認結果判定要求に含まれるリソース識別情報を元に、前記承認ポリシ管理手段から承認ポリシ定義を取得し、該承認ポリシ定義に含まれる承認ルール情報によって、該承認結果判定要求に含まれる属性情報を対象とした承認判定処理を行ない、承認結果を該リソースアクセス装置に返却する承認結果判定手段と、
リソース識別情報と属性情報とを含む承認条件判定兼承認結果判定要求を受け取り、該承認条件判定兼承認結果判定要求に含まれるリソース識別情報を含む承認条件判定要求を承認条件判定手段に入力し、前記承認条件判定手段から返却された承認条件を元に、前記承認条件判定兼承認結果判定要求に含まれる属性情報の不足分を判定し、不足がある場合には承認条件を自身の前記リソースアクセス装置に返却し、不足がない場合は、前記承認条件判定兼承認結果判定要求に含まれるリソース識別情報と属性情報を含む承認結果判定要求を前記承認結果判定手段に入力し、前記承認結果判定手段から返却される承認結果を、自身の前記リソースアクセス装置に返却する制御手段とを有する。
【0011】
リソースへのアクセスに関する承認判断に必要な属性情報の条件として承認条件属性定義情報リストと、収集した属性情報による承認判断の手順を表わす承認ルール情報と、を承認ポリシ定義としてあらかじめ作成して属性承認装置に登録しておくことによって、リソース管理装置は、属性承認装置を用いて、アクセス要求の対象となったリソースへの承認判断に必要な属性情報を判定すること、および、その結果を元にして収集した属性情報を元にして承認結果を判定することが可能になる。
【0012】
これにより、リソース管理装置ごとにアクセス制御のための承認判断機構を実装する必要がなくなり、また、アクセス要求側が保持する属性情報を元にしたアクセス制御を行なうためリソース管理装置側での管理コストが低減される。
【0013】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0014】
[第1の実施形態]
図1を参照すると、本発明の一実施形態の属性認証装置1は承認条件判定部11と承認結果判定部12と承認ポリシ管理部13とで構成される。
【0015】
図2を参照すると、属性情報30は属性種別情報31と1つ以上の属性要素情報32によって構成される。
【0016】
図3を参照すると、承認ポリシ定義40はリソース識別情報41と承認条件属性定義情報リスト42と承認ルール情報43とによって構成され、承認条件属性定義情報リスト42は0個以上の属性定義情報421によって構成される。
【0017】
図4を参照すると、承認条件判定要求50はリソース識別情報51によって構成される。
【0018】
図5を参照すると、承認結果判定要求60はリソース識別情報61と属性情報リスト62によって構成され、属性情報リスト62は0個以上の属性情報621によって構成される。
【0019】
図6を参照すると、承認条件70はリソース識別情報71と承認条件属性定義情報リスト72とによって構成され、承認条件属性定義情報リスト72は0個以上の属性定義情報721によって構成される。
【0020】
承認条件判定部11は、承認条件判定要求50を入力として、リソース識別情報51と一致するリソース識別情報41を含む承認ポリシ定義40を承認ポリシ管理部13から取得し、承認ポリシ定義40の承認条件属性定義情報42を元にして、承認条件70を生成して呼出元に返却する。承認結果判定部12は、承認結果判定要求60を入力として、リソース識別情報61と一致するリソース識別情報41を含む承認ポリシ定義40を承認ポリシ管理部13から取得し、承認ルール情報43と属性情報リスト62を元にして承認結果を生成して呼出元に返却する。承認ポリシ管理部13は、複数の承認ポリシ定義40を蓄積管理し、承認条件判定部11および承認結果判定部12から、リソース識別情報を含む承認ポリシ定義の取得要求を受け取り、リソース識別情報41が一致する承認ポリシ定義40を返却する。
【0021】
図7は、属性承認装置1が承認条件判定要求50を受け付けたときの承認条件判定部11の処理を示している。
【0022】
ステップ101に、承認条件判定要求50を入力として取得する。ステップ102に、承認条件判定要求50からリソース識別情報51を取得する。ステップ103に、リソース識別情報51を入力として、承認ポリシ管理部13を呼び出して承認ポリシ定義40を取得する。ステップ104に、承認ポリシ定義40から承認条件属性定義情報リスト42を取得する。ステップ105に、承認条件属性定義情報リスト42を元にして承認条件70を生成する。ステップ106に、承認条件70を呼出元に返却して終了する。
【0023】
図8は承認結果判定要求60を受け付けた場合の承認結果判定部12の処理を示している。
【0024】
ステップ201に、承認結果判定要求60を入力として取得する。ステップ202に、承認結果判定要求60からリソース識別情報61を取得する。ステップ203に、リソース識別情報61を入力として、承認ポリシ管理部13を呼び出して承認ポリシ定義40を取得する。ステップ204に、承認ポリシ定義40から承認ルール情報43を取得する。ステップ205に、承認ルール情報43と属性情報リスト62に含まれる属性情報621によって承認結果を判定する。ステップ206に、承認結果を呼出元に返却して終了する。
【0025】
[第2の実施形態]
第1の実施形態では、属性承認装置1の呼出元自身が、承認条件を要求する場合と、承認条件に従って属性承認装置1の呼出元の側で収集した属性情報を元にして承認結果を判定を要求する場合とを区別して、2つの機能を切り替えて呼び出しを行なう。
【0026】
本実施形態では、このような呼び出しの区別をせず、1種類の機能により上記の2つの機能を実現する。
【0027】
図9を参照すると、本発明の第2の実施形態の属性承認装置2は承認条件判定部21と承認結果判定部22と承認ポリシ管理部23と制御部24で構成される。
【0028】
図10を参照すると、承認条件判定兼務承認結果判定要求80はリソース識別情報81と属性情報リスト82とによって構成され、属性情報リスト82は0個以上の属性情報821によって構成される。
【0029】
承認ポリシ管理部23は、複数の承認ポリシ定義40を蓄積管理し、承認条件判定部21および承認結果判定部22から、リソース識別情報を含む承認ポリシ定義の取得要求を受け取り、リソース識別情報が一致する承認ポリシ定義40を返却する。制御部24は、承認条件判定兼承認結果判定要求80を入力として、リソース識別情報81を元に生成した承認条件判定要求50を入力として承認条件判定部21を呼び出して承認条件70を取得し、承認条件70の承認条件属性定義情報リスト72が示す条件を満す属性情報が属性情報リスト82にすべて含まれている場合に、リソース識別情報81と属性情報リスト82を元に生成した承認結果判定要求60を入力として承認結果判定部22を呼び出して承認結果を取得し、制御部24の呼出元に返却する。制御部24は、承認条件70の承認条件属性定義情報リスト72が示す条件を満す属性情報が十分に属性情報リスト82に含まれていない場合には、承認条件70を制御部24の呼出元に返却する。
【0030】
図11は属性承認装置2が承認結果判定要求60を受け付けた場合の制御部24の処理を示している。
【0031】
ステップ301に、承認条件判定兼結果判定要求80を入力として取得する。ステップ302に、承認条件判定兼結果判定要求80からリソース識別情報81と属性情報リスト82を取得する。ステップ303に、リソース識別情報81を元に承認条件判定要求50を生成する。ステップ304に、承認条件判定要求50を入力として、承認条件判定部21を呼び出して承認条件70を取得する。ステップ305に、承認条件70の承認条件属性定義情報リスト72が示す条件を満す属性情報が属性情報リスト82にすべて含まれていることを検証する。ステップ306で、検証結果が失敗の場合はステップ307に進み、成功の場合はステップ308に進む。ステップ307に、承認条件を呼出元に返却して、終了する。ステップ308に、リソース識別情報81と属性情報リスト82を元にして、承認結果判定要求60を生成する。ステップ309に、承認結果判定要求60を入力として、承認結果判定部22を呼び出して承認結果を取得する。ステップ310に、承認結果を呼出元に返却して、処理を終了する。
【0032】
[第3の実施形態]
第1および第2の実施形態において、承認ポリシ定義40の承認条件属性定義情報リスト42を構成する属性定義情報421が、属性の種別を表わす種別識別情報31を含むものとすると、属性の構成要素による細かな違いがある場合にも、同一種類の属性であれば、単一の承認ポリシ定義40を設定するのみで良く、サービス側の管理コストを低減することができる。
【0033】
[第4の実施形態]
第1〜3の実施形態において、承認ポリシ定義40の承認条件属性定義情報リスト42を構成する属性定義情報421が、属性の検証方法を定める属性検証条件を含むものとすると、属性情報の有効性に関して多様な条件を定めることが可能となり、承認結果判定部12,22において正当な属性情報のみを用いた承認結果判定処理を実施することが可能となる。
【0034】
[第5の実施形態]
第4の実施形態において、属性検証条件を発行者制約とすることによって、属性情報の発行者(生成者)を検証することが可能となり、信頼可能な機関によって発行された属性情報のみによる承認結果判定処理を実施することが可能となる。例えば、発行者制約は属性の発行者を表わす識別情報(ID)とし、属性情報に発行者を表わす識別情報(ID)を含めるとした場合には、文字列の一致検証を実施すればよい。または、属性情報を署名付きデータとした場合には、属性検証情報として署名検証鍵を用いる方法が考えられる。
【0035】
[第6の実施形態]
第1〜5の実施形態に示した属性承認装置1や属性承認装置2は、図12、図13に示すように、通信網(インターネット、LAN、同一ホスト内のプロセス間通信、等)4を介して、リソース管理装置3と接続し、リソース管理装置3は通信網6を介して、リソース利用要求を発するリソースアクセス装置5と接続して構成される属性承認リソース管理システムとして用いることができる。 図14は、属性承認リソース管理システムのリソース管理装置3が属性承認装置1と連携して動作する場合の処理を示している。
【0036】
ステップ401に、リソースの利用要求を入力として取得する。ステップ402に、承認条件判定要求50を生成する。ステップ403に、承認条件判定要求50を入力として、属性承認装置1を呼び出して承認条件70を取得する。ステップ404に、承認条件70の承認条件属性定義情報リスト72が示す条件を満す属性情報を、呼出元(リソースアクセス装置5)から収集し、属性情報リスト82を生成する。ステップ405に、リソース識別情報61と属性情報リスト62を元にして、承認結果判定要求60を生成する。ステップ406に、承認結果判定要求60を入力として、属性承認装置1を呼び出して承認結果を取得する。ステップ407に、承認結果に基いてリソースを呼出元に提供して、処理を終了する。
【0037】
なお、属性承認装置2を用いる場合は、リソース管理装置が承認条件判定要求50と承認結果判定要求60を使い分けるのではなく、承認条件判定兼承認結果判定要求80のみを用いる点が異なるが、基本的な処理の流れは上記と同様である。
【0038】
[第7の実施形態]
図15は、属性承認装置1または属性承認装置2から監査統計情報を収集する属性承認装置監査統計サーバ7による属性承認装置監査統計システムの構成図を示している。
【0039】
各属性承認装置1または各属性承認装置2は、通信網8を介して、属性承認装置監査統計サーバ7と接続されており、属性承認装置1または属性承認装置2は、承認条件や承認結果の判定処理を行なう際に、監査統計情報を蓄積管理する。属性承認装置監査統計サーバ7は、1つ以上の属性承認装置1または属性承認装置2から監査統計情報を取得集計する。
【0040】
このシステムは、属性承認装置の異常や不正の摘発を検出することによってセキュリティレベルを維持することや、属性承認装置によるマーケティングデータの収集に有効である。
【0041】
[第8の実施形態]
第1〜第8の実施形態において、図2に示される属性情報30の電子的形式を、X.509、またはRFC3281の仕様に基づく属性証明書の形式とすることによって、公開鍵認証基盤に基づく安全性の高い属性受信制御装置、あるいは属性受信制御プログラムを実現することが可能である。また、それらの仕様に基づいて開発された実績のある信頼性の高い処理装置、あるいは処理プログラムを実装部品として利用することも可能となる。
【0042】
なお、属性承認装置1と2の機能は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプルグラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0043】
【発明の効果】
以上説明したように、本発明は下記の効果がある。
【0044】
請求項1の発明は、リソースへのアクセスに関する承認判断に必要な属性情報の条件として承認条件属性定義情報リストと、収集した属性情報による承認判断の手順を表わす承認ルール情報とを承認ポリシ定義としてあらかじめ作成して属性承認装置に登録しておくことによって、リソース管理装置は、属性承認装置を用いて、アクセス要求の対象となったリソースへの承認判断に必要な属性情報を判定すること、および、その結果を元にして収集した属性情報を元にして承認結果を判定することが可能になる。
【0045】
これにより、リソース管理装置ごとにアクセス制御のための承認判断機構を実装する必要がなくなり、また、アクセス要求側が保持する属性情報を元にしたアクセス制御を行なうためリソース管理装置側での管理コストが低減される。
【0046】
請求項2の発明は、承認判断に用いる承認ポリシ定義において、承認条件属性情報定義情報リストを、属性情報の種別を表わす属性種別情報を元にして定義することによって、承認ポリシ定義の数を抑えることが可能となり、記述コストを低減することができる。
【0047】
請求項3の発明は、承認ポリシ定義の承認条件属性定義情報リストに、属性情報の属性検証条件を含めるようにし、承認結果の判定を行なう際に、各属性情報の有効性を属性検証条件を元にして検証することによって、承認ポリシ定義ごとに属性の有効性の判断記述を制御することが可能になる。
【0048】
請求項4の発明は、上記請求項3の発明の効果に加え、属性検証条件を発行者を限定する条件とすることによって、属性承認に用いる属性情報の発行元を限定することが可能になる。
【0049】
請求項5の発明は、呼出元から受け付ける要求の種類を承認条件判定要求と承認結果判定要求の両方を兼ねる承認条件判定兼承認結果判定要求とすることによって、属性承認装置の呼出元の実装方法の多様性に対応可能になる。
【0050】
請求項7と8の発明は、リソース管理装置が、承認に必要な属性情報の決定から収集した属性情報の検証と分析を属性承認装置を用いて実施するため、アクセス制御に必要な大部分の処理機構を独自に保有する必要がなく、また、承認に必要な属性はアクセス要求側等からその都度リソース管理装置が収集するため、承認に必要な属性情報は、属性承認装置から得られる承認条件を元にして、アクセス要求側等からリソース管理装置がその都度収集することが可能であるため、アクセス要求側の属性情報を異なるリソース管理装置間で共有利用することが可能となる。
【0051】
請求項10の発明は、属性承認装置から承認条件判定および承認結果判定の監査統計情報を属性承認装置監査統計サーバが収集することによって、各属性承認装置が適性に運用、動作していることを監視検証することが可能となり、また、属性情報の流通、リソースへのアクセス要求の履歴、傾向等を統計情報として得ることが可能になる。
【0052】
請求項6、9の発明は属性情報をX.509仕様に基づく属性証明書とすることによって、公開鍵認証基盤を用いた安全性の高い属性承認装置ならびに属性承認リソース管理システムならびに属性承認装置監査統計システムを実現することが可能になる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態の属性承認装置の構成図である。
【図2】属性情報の構成を示す図である。
【図3】属性ポリシ定義の構成図である。
【図4】承認条件判定要求の構成図である。
【図5】承認結果判定要求の構成図である。
【図6】承認条件の構成図である。
【図7】承認条件判定部の処理を示すフローチャートである。
【図8】承認結果判定部の処理を示すフローチャートである。
【図9】本発明の第2の実施形態の属性承認装置の構成図である。
【図10】承認条件判定兼承認結果判定要求の構成図である。
【図11】制御部の処理を示すフローチャートである。
【図12】本発明の第1の属性承認リソース管理システムの構成図である。
【図13】本発明の第2の属性承認リソース管理システムの構成図である。
【図14】リソース管理装置の処理を示すフローチャートである。
【図15】本発明の属性承認装置監査統計システムの構成図である。
【符号の説明】
1,2 属性承認装置
3 リソース管理装置
5 リソースアクセス装置
7 属性承認装置監査統計サーバ
4,6,8 通信網
11,21 承認条件判定部
12,22 承認結果判定部
13,23 承認ポリシ管理部
24 制御部
30 属性情報
31 属性種別情報
32 属性要素情報
40 承認ポリシ定義
41 リソース識別情報
42 承認条件属性定義情報リスト
43 承認ルール情報
421 属性定義情報
50 承認条件判定要求
51 リソース識別情報
60 承認結果判定要求
61 リソース識別情報
62 属性情報リスト
621 属性情報
70 承認条件
71 リソース識別情報
72 承認条件属性定義情報リスト
721 属性定義情報
80 承認条件判定兼承認結果判定要求
81 リソース識別情報
82 属性情報リスト
821 属性情報
101〜106,201〜206,301〜310,401〜407 ステップ

Claims (2)

  1. リソースの利用を要求するリソースアクセス装置からアクセス承認要求対象であるリソースのリソース識別情報と該リソースアクセス装置を介して該リソースへのアクセス承認を要求するユーザに関する特徴を表わす属性情報とを含むリソースへのアクセスの承認結果判定要求を受け取り、該リソースへの承認判定を実施し、承認結果を該リソースアクセス装置に返却する装置であって、
    前記リソース識別情報と、承認結果判定に必要な属性情報の条件を表わす承認条件属性定義情報リストと、属性情報を用いた承認結果の判定規則を表わす承認ルール情報とからなる承認ポリシ定義を複数蓄積、管理する承認ポリシ管理手段と、
    前記リソース識別情報を含む、リソースへのアクセスの承認結果判定に必要な属性情報の条件の取得を要求することを表わす承認条件判定要求を該リソースアクセス装置から受け取り、該承認条件判定要求に含まれるリソース識別情報を元に、前記承認ポリシ管理手段から承認ポリシ定義を取得し、該承認ポリシ定義に含まれる承認条件属性定義情報リストを元に承認条件を決定して該リソースアクセス装置に返却する承認条件判定手段と、
    アクセス承認要求対象であるリソースのリソース識別情報と該リソースへのアクセスの承認結果判定に必要な属性情報を含むリソースへのアクセスの承認結果判定要求を該リソースアクセス装置から受け取り、該承認結果判定要求に含まれるリソース識別情報を元に、前記承認ポリシ管理手段から承認ポリシ定義を取得し、該承認ポリシ定義に含まれる承認ルール情報によって、該承認結果判定要求に含まれる属性情報を対象とした承認判定処理を行ない、承認結果を該リソースアクセス装置に返却する承認結果判定手段と、
    リソース識別情報と属性情報とを含む承認条件判定兼承認結果判定要求を受け取り、該承認条件判定兼承認結果判定要求に含まれるリソース識別情報を含む承認条件判定要求を承認条件判定手段に入力し、前記承認条件判定手段から返却された承認条件を元に、前記承認条件判定兼承認結果判定要求に含まれる属性情報の不足分を判定し、不足がある場合には承認条件を自身の前記リソースアクセス装置に返却し、不足がない場合は、前記承認条件判定兼承認結果判定要求に含まれるリソース識別情報と属性情報を含む承認結果判定要求を前記承認結果判定手段に入力し、前記承認結果判定手段から返却される承認結果を、自身の前記リソースアクセス装置に返却する制御手段とを有する属性承認装置。
  2. 前記属性情報を、X.509仕様に基づく属性証明書を利用して実現する、請求項に記載の属性承認装置。
JP2003138707A 2003-05-16 2003-05-16 属性承認装置 Expired - Fee Related JP4280110B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003138707A JP4280110B2 (ja) 2003-05-16 2003-05-16 属性承認装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003138707A JP4280110B2 (ja) 2003-05-16 2003-05-16 属性承認装置

Publications (2)

Publication Number Publication Date
JP2004341896A JP2004341896A (ja) 2004-12-02
JP4280110B2 true JP4280110B2 (ja) 2009-06-17

Family

ID=33528001

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003138707A Expired - Fee Related JP4280110B2 (ja) 2003-05-16 2003-05-16 属性承認装置

Country Status (1)

Country Link
JP (1) JP4280110B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7657746B2 (en) * 2005-04-22 2010-02-02 Microsoft Corporation Supporting statements for credential based access control

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69427347T2 (de) * 1994-08-15 2001-10-31 Ibm Verfahren und System zur verbesserten Zugriffssteuerung auf Basis der Rollen in verteilten und zentralisierten Rechnersystemen
JPH11313102A (ja) * 1998-02-27 1999-11-09 Fujitsu Ltd アクセス制御リスト生成方法及びその装置
JP2000215165A (ja) * 1999-01-26 2000-08-04 Nippon Telegr & Teleph Corp <Ntt> 情報アクセス制御方法および装置と情報アクセス制御プログラムを記録した記録媒体
JP3921865B2 (ja) * 1999-03-11 2007-05-30 カシオ計算機株式会社 データ処理システムおよびそのプログラム記録媒体
JP2001344106A (ja) * 2000-05-31 2001-12-14 Nec Corp オブジェクトの動的アクセス権制御システム
JP2002014862A (ja) * 2000-06-28 2002-01-18 Fujitsu Ltd 情報アクセス制御装置および情報アクセス制御方法
JP3874159B2 (ja) * 2000-07-24 2007-01-31 日本電信電話株式会社 権利内容取得装置および権利改札装置
JP3852276B2 (ja) * 2000-09-08 2006-11-29 富士ゼロックス株式会社 ネットワーク接続制御方法および装置
JP2002108709A (ja) * 2000-09-29 2002-04-12 Hitachi Ltd アクセス制御方法及びその実施装置並びにその処理プログラムを記録した記録媒体
JP3756397B2 (ja) * 2000-11-06 2006-03-15 日本電信電話株式会社 アクセス制御方法およびアクセス制御装置および記録媒体
JP2002342167A (ja) * 2001-05-14 2002-11-29 Nippon Telegr & Teleph Corp <Ntt> エンティティ情報管理装置
JP2003006194A (ja) * 2001-06-22 2003-01-10 Mitsubishi Electric Corp データベースアクセス制御システム

Also Published As

Publication number Publication date
JP2004341896A (ja) 2004-12-02

Similar Documents

Publication Publication Date Title
US9081948B2 (en) Configurable smartcard
CN1610292B (zh) 能共同操作的凭证收集以及访问的方法和装置
US6510236B1 (en) Authentication framework for managing authentication requests from multiple authentication devices
US8312521B2 (en) Biometric authenticaton system and method with vulnerability verification
JP5108155B2 (ja) データ記憶アクセスの制御方法
CN106101110B (zh) 元数据代理
JP6574168B2 (ja) 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置
US20040078573A1 (en) Remote access system, remote access method, and remote access program
US8813185B2 (en) Ad-hoc user account creation
US20060041507A1 (en) Pluggable authentication for transaction tool management services
CN111355743B (zh) 一种基于api网关的管理方法及其系统
CN103795702A (zh) 用于数据的发送控制
CN108011873B (zh) 一种基于集合覆盖的非法连接判断方法
US20120084851A1 (en) Trustworthy device claims as a service
JP4472273B2 (ja) クライアント評価方法、クライアント評価装置、サービス提供方法、及び、サービス提供システム
CN116415217A (zh) 基于零信任架构的即时授权系统
US11646875B2 (en) Data stream identity
US7072969B2 (en) Information processing system
JP2004021686A (ja) 認証処理システム、認証処理装置、プログラム及び認証処理方法
JP4280110B2 (ja) 属性承認装置
CN107196957A (zh) 一种分布式身份认证方法及系统
JP2009259214A (ja) 監査システム、外部監査装置、外部監査方法および外部監査プログラム
CN110968632B (zh) 一种数据统一交换的方法与系统
JP5736953B2 (ja) 情報処理装置、認証システム及びプログラム
CN114143048B (zh) 一种安全资源管理的方法、装置及存储介质

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050621

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050725

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20050725

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070201

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080730

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080912

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090304

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090313

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120319

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4280110

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130319

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees