JP4368184B2 - ブラックリストによる緊急アクセス遮断装置 - Google Patents
ブラックリストによる緊急アクセス遮断装置 Download PDFInfo
- Publication number
- JP4368184B2 JP4368184B2 JP2003389230A JP2003389230A JP4368184B2 JP 4368184 B2 JP4368184 B2 JP 4368184B2 JP 2003389230 A JP2003389230 A JP 2003389230A JP 2003389230 A JP2003389230 A JP 2003389230A JP 4368184 B2 JP4368184 B2 JP 4368184B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- access control
- list
- information
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Description
本発明は、コンピュータに保存された情報資源へのアクセス制御に関するものである。
従来、コンピュータに蓄積された情報資源を利用するに際し、情報資源と利用者とを対応付けて設定されたアクセス権限を登録したアクセスコントロールリストによりアクセス制限を行うことにより、セキュリティの向上を図っている。近年では、インターネットなどの広域ネットワークを介して、複数のネットワークを接続し、ファイルなどの資源を共有する分散環境を構築した超分散環境が普及しつつある。かかる環境においても、アクセスコントロールリストが使用されている。アクセスコントロールリストは、各ネットワークに存在するアクセス制御装置に管理されており、全てのネットワークのアクセス制御装置間で同期が取られている。
情報資源へのアクセス権限は、固定的なものではなく、種々の状況に応じて変化する。例えば、超分散環境において、特定のユーザの全アクセスを遮断しなければならない状況が発生した場合には、全てのアクセスコントロールリストに対して、アクセス権限を停止する旨の更新を同期的に行うことにより、特定のユーザのアクセスを遮断する、という技術が開示されている(特許文献1)。また、アクセス権限を認証する認証局により発行される証明書を、定期的に通知することにより、失効した証明書を持つユーザのアクセスを遮断する、という技術も開示されている(非特許文献1)。
しかしながら、例えば、解雇によるアクセス権限削除や、第3者による不正アクセスが発覚した場合など、緊急にアクセス遮断を実現しなければならない状況が発生した場合に、特許文献1記載の技術では、アクセスコントロールリストの更新に、非常に時間がかかり、緊急アクセス遮断を実現することは困難である場合がある。また、非特許文献1記載の技術においても、証明書の発行間隔、すなわち、証明書の更新間隔が定期的であり、発行間隔によっては、緊急アクセス遮断を実現することは困難であるという問題があった。
これらの課題は、超分散環境に特化した課題ではなく、複数のアクセス制御装置が連携してアクセス制御を行う場合の共通の課題であった。
上述の課題の少なくとも一部を解決するために、本発明は第1の構成として、以下の態様をとることとした。すなわち、ネットワークに複数接続されたストレージ装置に格納される情報資源へのアクセスを制御するアクセス制御装置であって、ネットワークには、ストレージ装置およびアクセス制御装置が複数接続されており、かかるアクセス制御装置は、各情報資源へのアクセス可否が登録されたアクセスコントロールリスト(以下「ACL」と呼ぶこととする)に基づき、アクセス可否の判断を行うアクセス制限部と、前記情報資源へのアクセスを禁止するユーザを特定可能な情報が登録されたアクセス禁止リストに基づき、アクセスを遮断するアクセス遮断部と、前記情報資源へのアクセス要求時に、前記アクセス制限部よる前記アクセスコントロールリストに基づくアクセス可否の判断および前記アクセス遮断部による前記アクセス禁止リストに基づくアクセスの遮断を行うアクセス制御部と、アクセス禁止ユーザを特定可能なユーザ情報の入力を受け付ける情報入力部と、前記入力に基づき、前記ネットワークに接続された各アクセス制御装置がそれぞれ参照する前記アクセス禁止リストを更新する処理を行うリスト更新部とを備えることを要旨とする。
アクセス禁止ユーザを特定可能な情報とは、例えば、ユーザID、ユーザ名等が挙げられる。また、例えばIPアドレスなど、ユーザが利用している端末を特定する情報としてもよい。ACLには、例えば、読み取り専用、削除禁止、など詳細なアクセス権限の設定がされていることとしてもよいし、単に、アクセス許可、不許可が設定されていることとしても良い。
情報入力部は、例えば、ユーザから、キーボードなどの入力装置による直接入力を受け付けることとしてもよいし、アクセス禁止ユーザの登録されたファイルを読み込むことにより入力することとしてもよい。また、アクセス禁止リストそのものを取得することとしてもよい。リスト更新部は、例えば、アクセス禁止リストに登録されているユーザ情報を書き換えることにより更新することとしてもよいし、アクセス禁止リスト自体を差し替えることにより更新することとしてもよい。
このような構成をとることにより、複数のネットワークが、インターネットなどの広域ネットワークを介して接続されている超分散環境において、緊急アクセス遮断を行う必要のあるユーザ情報を、全てのネットワークのアクセス制御装置に通知することができ、緊急アクセス遮断を実現することができる。また、ACLは、情報資源ごとにアクセス許否が設定されているため、設定情報は膨大であり、更新処理に非常に時間がかかるが、アクセス禁止リストは、情報資源とは無関係にユーザ単位で全アクセスを禁止することとしており、データ量が軽いため、通知、更新処理の負荷を軽減することができる。
本発明のアクセス制御装置において、リスト更新部は、他のアクセス制御装置に対して、ユーザ情報を他のアクセス制御装置が参照する前記アクセス禁止リストに登録させる登録指示を配信することとしてもよい。こうすれば、ネットワークの負荷を軽減することができ、好適である。
本発明のアクセス制御装置において、リスト更新部は、更新されたアクセス禁止リストを、他のアクセス制御装置へ配信することとしてもよい。こうすれば、受信側のアクセス制御装置は、アクセス禁止リストを差し替えるだけで更新することができ、処理効率を向上することができる。
本発明の第2の構成として、ネットワークに複数接続されたストレージ装置に格納される情報資源へのアクセスを制御するアクセス制御装置であって、ネットワークには、ストレージ装置およびアクセス制御装置が複数接続されており、各情報資源のアクセス可否が登録されたACLに基づき、クセス制限部と、前記ネットワークに接続された他のアクセス制御装置から、前記各情報資源へのアクセスを禁止するユーザを特定可能な所定の情報を受信する受信部と、前記所定の情報により、前記情報資源へのアクセスを禁止するユーザを特定可能な情報が登録されたアクセス禁止リストを更新するリスト更新部と、前記アクセス禁止リストに基づき、前記情報資源へのアクセスを遮断するアクセス遮断部と、前記情報資源へのアクセス要求時に、前記アクセス制限部による前記アクセスコントロールリストに基づくアクセス可否の判断および前記アクセス遮断部による前記アクセス禁止リストに基づくアクセスの遮断を行うアクセス制御部であって、前記アクセスコントロールリストより前記アクセス禁止リストを優先してアクセスを制御するアクセス制御部とを備えることを要旨とする。
こうすれば、他のネットワークでアクセス禁止ユーザの登録要求が発生した場合にも、自ネットワークのアクセス制御装置に存在するアクセス禁止リストに、アクセス禁止ユーザを特定可能な所の情報を速やかに反映させることができる。従って、超分散環境において、緊急アクセス遮断を効率的に実現することができる。
本発明の第1の構成および第2の構成におけるアクセス制御装置において、アクセス制御部は、未完了の処理を含めて、アクセス制御を行うこととしてもよい。こうすれば、アクセス禁止リスト更新後のアクセスのみでなく、アクセス禁止リスト更新前にアクセスされ開始された処理や、アクセス待ちの処理までも遮断することができ、利便性が向上する。
本発明の第1の構成および第2の構成におけるアクセス制御装置において、アクセス禁止リストに基づき、ACLを更新するACL更新部を備えることとしてもよい。こうすれば、改めてACLを更新するための処理を行う必要がなく、利便性の向上を図ることができる。
本発明のアクセス制御装置において、前記ACL更新後、前記アクセス禁止リスト内のユーザ情報を、所定のタイミングで削除する削除部を備えることとしてもよい。
例えば、アクセス禁止リストに一度登録されたユーザ情報が削除されないこととなると、アクセス禁止リストの内容が膨大となり、アクセス禁止リストの確認に時間を浪費する恐れがある。そのため、本発明のように、ACLの更新後に、アクセス禁止リストに登録されているユーザ情報を削除することとすれば、アクセス禁止リストの肥大を回避することができ、アクセス遮断処理の遅延を回避することが可能となる。また、アクセス禁止リスト自体を削除することとしても、本発明は実現可能である。
本発明のアクセス制御装置において、所定のタイミングとは、アクセス制御装置ごとに、ACLの更新の終了後としてもよい。こうすれば、各ネットワークに存在するアクセス制御装置は、個別に、ACLに更新済みのアクセス禁止ユーザ情報を削除することができる。アクセス制御装置は、ACLに先立ち、アクセス禁止リストを参照するため、本発明のように、ACLの更新終了を契機として、アクセス禁止リストに登録されているユーザ情報を削除することとすれば、アクセス制御装置の処理負荷を軽減することができる。
本発明のアクセス制限装置において、所定のタイミングとは、ネットワークに接続された全てのアクセス制御装置における、更新の終了後であることとしてもよい。
こうすれば、全てのアクセス制御装置で、ACLおよびアクセス禁止リストの同期を確保することができる。この方法は、例えば、アクセス禁止リスト自体が配信され、差し替えることによりアクセス禁止リストを更新する態様の場合に、有用性が高い。一部のアクセス制御装置においてACLの更新が終了していないにも関わらず、新しいアクセス禁止リストが配信されることによる既存のアクセス禁止リストの内容のACLへの反映漏れを回避することができる。本発明によれば、このような問題を回避しつつ、同期のとられたACLによって、アクセス遮断を行うことができる。
本発明は、また、第1の構成および第2の構成のアクセス制御装置を組合せ、第1の構成のアクセス制御装置は、自装置が参照する前記アクセス禁止リストに変更が発生した場合に、所定の情報、または、前記アクセス禁止リストを、前記ネットワークに接続された他のアクセス制御装置に配信する配信部を備え、第2の構成のアクセス制御装置は、所定の情報、または、アクセス禁止リストを受信し、自装置が参照するアクセス禁止リストを更新するリスト更新部を備えるアクセス制御システムとして構成することとしてもよい。
所定の情報を通知することとすれば、ネットワークに負荷をかけることなく処理を実行でき、処理効率を向上することができる。また、アクセス禁止リストを通知することとすれば、緊急アクセス遮断を要するユーザが複数発生した場合には一度に通知することができ、また、アクセス禁止リスト自体を差し替えることで更新処理を行うことができるため、受信側のアクセス制御装置の処理負荷を軽減することができる。
本発明のアクセス制御システムにおいて、配信部は、他のアクセス制御装置へ、アクセス禁止リストを更新するための更新情報を同報配信することとしてもよい。こうすれば、全てのアクセス制御装置に対してまとめて通知することができ、好適である。
本発明のアクセス制御システムにおいて、アクセス禁止リストを更新するための更新情報を最初に配信するアクセス制御装置の配信部は、アクセス禁止リストを更新するための更新情報を、予め設定された他のアクセス制御装置へ配信し、かかる更新情報を受信した他のアクセス制御装置の配信部は、更に、予め設定された他のアクセス制御装置へ配信することとしてもよい。こうすれば、ネットワークのホップ数などを考慮した配信を行うことができ、利便性が向上する。
本発明は上述したアクセス制御装置、アクセス制御システムのほかに、アクセス制御方法として構成することもできる。また、上述のアクセス制御装置を実現するコンピュータプログラム、およびそのプログラムを記録した記録媒体、そのプログラムを含み搬送波内に具現化されたデータ信号など種々の態様で実現することが可能である。各態様において、先に示した種々の付加的要素を適用することが可能である。
本発明をコンピュータプログラムまたはそのプログラムを記録した記録媒体等として構成する場合には、アクセス制御装置、アクセス制御装置を制御するプログラム全体として構成するものとしてもよいし、本発明の機能を果たす部分のみを構成するものとしてもよい。また、記録媒体としては、フレキシブルディスクやCD−ROM、DVD−ROM、パンチカード、バーコードなどの符号が印刷された印刷物、コンピュータの内部記憶装置(ROMやRAM等のメモリ)および外部記憶装置などコンピュータが読み取り可能な種々の記録媒体を利用できる。
以下、本発明の実施の形態について、以下の項目に分けて説明する。
A.実施例:
A1.システム構成:
A2.機能ブロック:
A3.アクセス制御処理:
A4.ブラックリスト配信処理:
A5.アクセス遮断処理:
A6.ACL更新処理:
B.変形例:
A.実施例:
A1.システム構成:
A2.機能ブロック:
A3.アクセス制御処理:
A4.ブラックリスト配信処理:
A5.アクセス遮断処理:
A6.ACL更新処理:
B.変形例:
A.実施例:
A1.システム構成:
図1は、本発明の実施例におけるシステム構成を例示する説明図である。アクセス制御システム1000は、インターネットINTを介して、4つのネットワークA,B,C,Dから構成されている。ネットワークAは、アクセス制御装置100、ストレージ500、クライアントCL1等が、ローカルエリアネットワークLAN1を介して接続されている。ネットワークB,C,Dも同様に、アクセス制御装置200,300,400と、ストレージ600,700,800と、クライアントCL2,CL3、CL4とが、それぞれ、ローカルエリアネットワークLAN2,LAN3,LAN4を介して接続されている。
A1.システム構成:
図1は、本発明の実施例におけるシステム構成を例示する説明図である。アクセス制御システム1000は、インターネットINTを介して、4つのネットワークA,B,C,Dから構成されている。ネットワークAは、アクセス制御装置100、ストレージ500、クライアントCL1等が、ローカルエリアネットワークLAN1を介して接続されている。ネットワークB,C,Dも同様に、アクセス制御装置200,300,400と、ストレージ600,700,800と、クライアントCL2,CL3、CL4とが、それぞれ、ローカルエリアネットワークLAN2,LAN3,LAN4を介して接続されている。
各ストレージには、データファイル501,601,701,801等が格納されており、アクセス制御システム1000は、インターネットINTを介した、いわゆる、超分散環境を構築している。各クライアントは、自己が接続されているネットワークのストレージ装置のみでなく、他のネットワークに接続されたストレージ装置内に格納されているデータファイルを参照することができる。すなわち、クライアントCL1は、ストレージ500内のデータファイル501にアクセスすることができるだけでなく、ネットワークCに存在するストレージ700内のデータファイル701にアクセスすることもできる。
各ストレージ内のデータファイルにアクセスするためには、アクセス権限の許否が判断される。かかるアクセス権限の許否の判断は、アクセス制御装置が行う。クライアントCL1がデータファイル501にアクセス要求を行うと、アクセス制御装置100は、クライアントCL1のユーザの、データファイル501へのアクセス権限の許否確認を要求し、かかる確認結果に基づき、データファイルへのアクセスを制御する。
アクセス制御装置100は、データファイルなどのオブジェクトのアクセス権限がユーザごとに詳細に設定されたアクセスコントロールリスト110(以降、ACL110と呼ぶこととする)と、ACL110に登録されておらず、緊急に全てのアクセスを禁止する必要のあるユーザ情報が登録されたアクセス禁止リスト120(以降、「ブラックリスト120」と呼ぶこととする)とを管理している。アクセス制御装置100は、アクセス要求を受け付けると、まず、アクセス要求を行ったユーザのユーザ情報がブラックリスト120に登録されているか否かを判断し、登録されていない場合には、ACL110を参照してアクセス許否を判断する。
アクセス制御装置100は、ネットワークAで、例えば解雇によるアクセス権限削除など、緊急にアクセスを遮断する必要のあるユーザが発生した場合に、管理者の操作に応じて、自己のブラックリスト120を更新し、他のアクセス制御装置200,300,400に対して、かかるユーザ情報を、それぞれのブラックリスト220,320,420へ登録させる指示を配信する。アクセス制御装置200,300,400は、かかる登録指示を受信して、自己のブラックリスト220,320,420を更新する。こうすることによって、超分散環境において、緊急アクセス遮断を必要とするユーザが発生した場合にも、全てのネットワークで、効率的に緊急アクセス遮断を行うことができる。
A2.機能ブロック:
図2は、アクセス制御装置100の機能ブロックを例示する説明図である。アクセス制御装置100は、主制御部101と、通信部102と、ACL管理部103と、ブラックリスト管理部104と、アクセス制御部105と、アクセス制御部105の一部として構成されているアクセス制限部106と、アクセス遮断部107と、入力部108と、ストレージ管理部109とから構成されている。通信部102は、アクセス制御装置100が接続されているローカルエリアネットワークLAN1内の他の器機との通信、インターネットINTを介した他のネットワークとの通信等を制御する。
図2は、アクセス制御装置100の機能ブロックを例示する説明図である。アクセス制御装置100は、主制御部101と、通信部102と、ACL管理部103と、ブラックリスト管理部104と、アクセス制御部105と、アクセス制御部105の一部として構成されているアクセス制限部106と、アクセス遮断部107と、入力部108と、ストレージ管理部109とから構成されている。通信部102は、アクセス制御装置100が接続されているローカルエリアネットワークLAN1内の他の器機との通信、インターネットINTを介した他のネットワークとの通信等を制御する。
ACL管理部103は、オブジェクト毎に、ユーザの詳細なアクセス権限を登録したACL110を管理しており、ACL110の更新等を行う。ACL110の詳細は後述する。ブラックリスト管理部104は、解雇など、緊急にアクセスを遮断する必要のあるユーザが発生した場合、かかるユーザのユーザIDとユーザ名が登録されるブラックリスト120を管理する。登録されるユーザIDおよびユーザ名は、管理者により、入力部108を介して入力される。ブラックリスト120の内容は後述する。ACL管理部103は、また、情報の授受を行いながら、ブラックリスト120に登録されているユーザ情報により、ACL110を更新する機能を奏する。アクセス制御装置100は、本来ACLのみによりアクセス制御を行うことが処理効率の観点からも好ましいため、ブラックリスト120に登録されたアクセス遮断が必要なユーザ情報に基づき、ACL110から遮断対象ユーザに関する情報を削除する。
ストレージ管理部109は、アクセス制御装置100と同一ネットワーク、すなわち、ローカルエリアネットワークLAN1に接続されているストレージ500等のストレージ装置を管理する。具体的には、各ストレージに格納されているデータ情報や、各ストレージ装置にアクセスしているユーザ等を管理している。図にアクセスの状態を表したアクセス管理表109aを併せて示した。
アクセス管理表109aは、各アクセスに固有に割り振られたアクセスIDと、オブジェクト名称と、アクセス状態と、アクセスユーザとから構成されている。例えば、ジョブID「1」のオブジェクト「O−9」は、「アクセス中」であり、アクセスしているユーザは「S−3」であることを示している。同様に、アクセスID「2」のオブジェクト「O−7」は、「アクセス待ち」であり、ユーザは「S−8」であることを示している。
アクセス制御部105は、ACL110によるアクセス制限や、緊急アクセス遮断などアクセスに関する処理を制御する機能を奏する。アクセス制限部106は、アクセス制御部105の一部として構成されており、ユーザのアクセス権限の確認要求を受け付けると、ACL110を参照して、結果をストレージ500に通知する。アクセス遮断部107は、同じく、アクセス制御部105の一部として構成されており、ブラックリスト120、および、アクセス管理表109aを参照して、アクセス管理表109aに存在するユーザが、ブラックリスト120に登録されているユーザ、すなわち、緊急にアクセスを遮断しなければならないユーザである場合には、アクセス中、アクセス待ちに関わらず、即座に遮断する機能を奏する。例えば、ユーザID「S−1」のユーザが、ブラックリスト120に登録されている場合には、アクセスID「3」および「6」のアクセスが遮断されることとなる。
図3(a)は、本実施例におけるACLを例示する説明図である。ACL110は、設定されたアクセス権限に固有に割り振られた「ID」と、オブジェクト名を示す「オブジェクト」と、管理ユーザ名を示す「ユーザ」と、アクセス可能なグループを表す「グループ」と、アクセス権限を示す「アクセス」とから構成される。グループを図3(b)に示した。破線で示されるグループ「G−1」には、ユーザIDが「S−1」、「S−2」、「S−3」、「S−4」、「S−5」というユーザが含まれる。更に、一点鎖線に示すようにグループ「G−2」は、「G−1」の一部であり、ユーザ「S−1」、「S−2」、「S−5」が含まれる。ユーザ「S−1」、「S−2」、「S−5」は、グループ「G−1」および「G−2」の双方に属することとなる。
アクセス権限は、図3(a)の右下に示すように、「R」は「Read」すなわち「読み取り可能」を表しており、「W」は「Write」すなわち「書き込み可能」を表している。例えば、ID「1」のオブジェクト「O−1」は、ユーザ「S−3」により「R,W」すなわち、読み取り、書き込みが可能であることを示している。また、ID「2」に示すように、オブジェクト「O−1」は、更に、グループ「G−1」に属するユーザに、「R」すなわち「読み取り可能」というアクセスを認めていることとなる。
図4は、本実施例におけるブラックリスト120の内容を例示する説明図である。ブラックリスト120は、ユーザIDと、ユーザ名とから構成される。ユーザID、ユーザ名のいずれかのみから構成されることとしてもよい。本実施例では、アクセス制御装置100でアクセス遮断要求を受け付け、ユーザID「S−1」、ユーザ名「Taro Hitachi」というユーザのアクセスを遮断すべくブラックリスト120に登録した状態を示した。本実施例では、かかるユーザのみしかブラックリスト120に登録されていないが、一度に複数のユーザを登録することも可能である。また、既にブラックリストに登録されており、新たに、アクセス遮断すべきユーザを追加することも可能である。
他のアクセス制御装置200,300,400も同様の構成であるため、説明は省略する。
A3.アクセス制御処理:
図5は、本実施例におけるアクセス制御処理を説明するチャート図である。クライアントCL1が、ストレージ500内のデータファイル501にアクセスを要求する場合の処理を表している。
図5は、本実施例におけるアクセス制御処理を説明するチャート図である。クライアントCL1が、ストレージ500内のデータファイル501にアクセスを要求する場合の処理を表している。
クライアントCL1は、アクセス制御装置100にアクセス要求を送出する(ステップSa100)。アクセス制御装置100は、かかる要求を受け付け、アクセス権限の確認要求を行い、ブラックリスト120およびACL110に基づき、アクセス許否を判断する(ステップSa101)。アクセス制御装置100は、かかる結果に基づき、ストレージ500にアクセスを行い(ステップSa102)、アクセス結果を、自己を介して(ステップSa103)、クライアントCL1へ通知する(ステップSa104)。
図6は、アクセス制御処理を説明するフローチャートである。アクセス制御装置100が行う処理であり、図5のステップSa101に相当する処理である。
アクセス制御装置100は、クライアントCL1からストレージ500へのアクセス権限の確認要求を、ユーザID、アクセス対象オブジェクト名とともに受信する(ステップS10)と、ブラックリスト120を参照し(ステップS11)、かかるユーザがブラックリスト120に登録されているか否かを判断する(ステップS12)。ブラックリスト120に登録されている場合には、アクセス遮断対象ユーザであるため、ストレージ500に対して、アクセス不許可通知を送出する(ステップS16)。
かかるユーザがブラックリスト120に登録されていない場合には、ACL110を参照し、アクセス対象オブジェクトのアクセス許否の詳細を確認する(ステップS13)。アクセス制御装置100は、アクセス許否を判断し(ステップS14)、アクセスが許可されている場合(ステップS14:YES)には、読み取り可能、書き込み可能などのアクセス制限内容に基づき、ストレージ500にアクセスする(ステップS15)。ブラックリスト120には登録されていない(ステップS12:NO)が、ACL110において、アクセスが許可されていない場合(ステップS14:NO)には、クライアントCL1に対してアクセス不許可通知を送出する(ステップS16)。
A4.ブラックリスト配信処理:
図7は、本実施例におけるブラックリスト配信処理を説明するフローチャートである。アクセス制御装置100は、アクセス遮断要求を管理者から受け付けると、自己のブラックリスト120に、アクセス遮断対象ユーザのユーザ情報を登録するとともに、かかるユーザ情報の登録指示を、アクセス制御装置200、300,400に対して一度に送出する。図7では、説明の便宜上、アクセス制御装置100からアクセス制御装置200に登録指示が送出される処理を示した。
図7は、本実施例におけるブラックリスト配信処理を説明するフローチャートである。アクセス制御装置100は、アクセス遮断要求を管理者から受け付けると、自己のブラックリスト120に、アクセス遮断対象ユーザのユーザ情報を登録するとともに、かかるユーザ情報の登録指示を、アクセス制御装置200、300,400に対して一度に送出する。図7では、説明の便宜上、アクセス制御装置100からアクセス制御装置200に登録指示が送出される処理を示した。
アクセス制御装置100は、アクセス遮断要求を管理者から受け付ける(ステップS20)と、アクセス遮断を行うユーザのユーザIDとユーザ名をブラックリスト120へ登録する(ステップS21)。そして、他のネットワークに接続されたアクセス制御装置200,300,400に対して、かかるアクセス遮断対象ユーザを各アクセス制御装置内のブラックリストへ登録するよう、ユーザIDおよびユーザ名と併せて登録指示を送出する(ステップS22)。
次に、アクセス制御装置100は、ブラックリストに登録されたユーザが、ストレージ500内のオブジェクトに、アクセス中、もしくはアクセス待ちの状態である場合、かかるアクセスを即座に遮断する(ステップS23)。そして、ブラックリストに基づき、ACLを更新し(ステップS24)、更新終了後、ブラックリスト120からユーザ情報を削除する(ステップS25)。
アクセス制御装置200は、ステップS22において送出された登録指示を受信する(ステップS30)と、ブラックリストにユーザIDとユーザ名を追加し、ブラックリスト220を更新する(ステップS31)。ブラックリスト220の更新を終えると、アクセス遮断すべきユーザのアクセスを遮断し(ステップS32)、ACLを更新して(ステップS33)、ブラックリスト220からユーザ情報を削除する(ステップS34)。ステップS32〜ステップS34までの処理は、アクセス制御装置100におけるステップS23〜ステップS25と同様である。アクセス遮断処理(ステップS23、ステップS32)およびACL更新処理(ステップS24、ステップS33)については後述する。
A5.アクセス遮断処理:
図8は、本実施例におけるアクセス遮断処理を説明するフローチャートである。アクセス制御装置100のアクセス遮断部107が実行する処理であり、図7のステップS23に相当する処理である。図7のステップS32において、アクセス制御装置200が実行する処理も同様である。
図8は、本実施例におけるアクセス遮断処理を説明するフローチャートである。アクセス制御装置100のアクセス遮断部107が実行する処理であり、図7のステップS23に相当する処理である。図7のステップS32において、アクセス制御装置200が実行する処理も同様である。
アクセス制御装置100は、ブラックリスト120およびアクセス管理表109aを参照し(ステップS40、S41)、ブラックリスト120に登録されているユーザが、ストレージ500内のオブジェクトにアクセス中、もしくは、アクセス待ちの状態であるか否か判断する(ステップS42)。アクセス中、もしくは、アクセス待ちである場合には、かかるユーザのアクセスを、アクセス中、アクセス待ちにかかわらず、すべて遮断する(ステップS43)。アクセス中、もしくは、アクセス待ちオブジェクトが存在しない場合には、処理を終了する。
A6.ACL更新:
図9は、本実施例におけるACLを更新する処理を説明するフローチャートである。図7のステップS24に相当する処理である。図7のステップS33において、アクセス制御装置200が実行する処理も同様である。本実施例では、ユーザID「S−1」、ユーザ名「Taro Hitachi」というユーザを、アクセス遮断対象ユーザとした。
図9は、本実施例におけるACLを更新する処理を説明するフローチャートである。図7のステップS24に相当する処理である。図7のステップS33において、アクセス制御装置200が実行する処理も同様である。本実施例では、ユーザID「S−1」、ユーザ名「Taro Hitachi」というユーザを、アクセス遮断対象ユーザとした。
アクセス制御装置100は、ブラックリスト120およびACL110を参照し(ステップS50)、グループ情報から、ユーザID「S−1」を削除する(ステップS51)。次に、アクセス制御装置100は、ACL110から、ユーザIDが「S−1」であるIDを抽出し削除する(ステップS51)。本実施例では、図に太矢印で示すように、ID「5」が削除される。
こうすれば、グループに関する情報を維持しつつ、ユーザID「S−1」が関係するACL110を更新することができる。
以上説明した実施例によれば、超分散環境において、あるユーザのアクセス権限を、緊急に停止したい状況が発生した場合に、かかるユーザの情報を全てのネットワークのアクセス制御装置に、速やかに通知することができる。また、図9で説明したように、ACLを更新するには、多くの工数がかかるため、本発明のようにブラックリストを配置し、ACLより先にブラックリストを参照してアクセス遮断を行うことにより、セキュリティの向上を図ることができる。
B.変形例:
以上、本発明の種々の実施例について説明したが、本発明はこれらの実施例に限定されることなくその趣旨を逸脱しない範囲内で種々の構成を取ることができることはいうまでもない。例えば、以下のような変形が可能である。
以上、本発明の種々の実施例について説明したが、本発明はこれらの実施例に限定されることなくその趣旨を逸脱しない範囲内で種々の構成を取ることができることはいうまでもない。例えば、以下のような変形が可能である。
B1.変形例1:
上述した実施例では、アクセス制御装置100から他のアクセス制御装置200,300,400へ、アクセス遮断対象ユーザのユーザ情報を、各アクセス制御装置のブラックリストに登録させる登録指示を送出することとしたがこれに限られない。例えば、アクセス制御装置100で更新したブラックリストの複製を他のアクセス制御装置200,300,400へ配布することとしてもよい。こうすれば、ブラックリスト受信側のアクセス制御装置は、ブラックリストを差し替えるだけで更新することができ、処理効率を向上することができる。
上述した実施例では、アクセス制御装置100から他のアクセス制御装置200,300,400へ、アクセス遮断対象ユーザのユーザ情報を、各アクセス制御装置のブラックリストに登録させる登録指示を送出することとしたがこれに限られない。例えば、アクセス制御装置100で更新したブラックリストの複製を他のアクセス制御装置200,300,400へ配布することとしてもよい。こうすれば、ブラックリスト受信側のアクセス制御装置は、ブラックリストを差し替えるだけで更新することができ、処理効率を向上することができる。
また、上述した実施例では、ACL更新後、ブラックリストに登録されているユーザ情報を削除することとしたが、本変形例のように、ブラックリストを配布する場合には、ブラックリストそのものを削除することとしてもよい。図10に、本変形例におけるブラックリスト削除処理を説明するフローチャートを示した。本変形例では、アクセス制御装置100は、ACLの更新を終了しているものとする。
アクセス制御装置200は、ACLの更新を終了する(ステップSa200)と、ブラックリスト配布元のアクセス制御装置100へ、更新終了通知を送出する(ステップSa201)。同様に、アクセス制御装置400およびアクセス制御装置300も、ACLの更新を終了すると、更新終了通知を送出する(ステップSa202〜ステップSa205)。
アクセス制御装置100は、他のアクセス制御装置の全てから更新終了通知を受信すると、自己のブラックリストを削除する(Sa207)と共に、他のアクセス制御装置にブラックリストの削除指示を送出し、かかる削除指示を受信した他のアクセス制御装置200,300,400は、ブラックリストを削除する(ステップSa208〜Sa214)。
このような構成をとることにより、全てのアクセス制御装置において、ACLの同期を取ることができる。例えば、連続して緊急アクセス遮断要求が発生し、短時間に複数回ブラックリストの配布が行われるような場合には、ACLにユーザ情報が未反映の状態のブラックリストが、後続のブラックリストによって更新されることを回避することができる。
B2.変形例2:
上述の実施例では、アクセス制御装置100から他のアクセス制御装置200,300,400へ、同時にブラックリストを配布することとしたが、これに限られない。例えば、図11に示すように、各アクセス制御装置は、ブラックリストを、予め設定された他のアクセス制御装置へ逐次的に配信することとしてもよい。図に太線矢印で示すように、アクセス制御装置100は、ブラックリストをアクセス制御装置200へ配信し、アクセス制御装置200はアクセス制御装置300に配信し、アクセス制御装置300は、アクセス制御装置400へ配信する。こうすれば、ネットワークのホップ数などを考慮した配信を行うことができ、利便性が向上する。
上述の実施例では、アクセス制御装置100から他のアクセス制御装置200,300,400へ、同時にブラックリストを配布することとしたが、これに限られない。例えば、図11に示すように、各アクセス制御装置は、ブラックリストを、予め設定された他のアクセス制御装置へ逐次的に配信することとしてもよい。図に太線矢印で示すように、アクセス制御装置100は、ブラックリストをアクセス制御装置200へ配信し、アクセス制御装置200はアクセス制御装置300に配信し、アクセス制御装置300は、アクセス制御装置400へ配信する。こうすれば、ネットワークのホップ数などを考慮した配信を行うことができ、利便性が向上する。
B3.変形例3:
また、例えば、上述した実施例の超分散環境に、更に、ユーザが正規のユーザであることを証明する証明書を管理する認証局を設置することとしてもよい。かかる場合には、認証局において、証明書の認証に先立ち、ブラックリストによるアクセス制御を行うこととすれば、セキュリティを向上することができ、好適である。
また、例えば、上述した実施例の超分散環境に、更に、ユーザが正規のユーザであることを証明する証明書を管理する認証局を設置することとしてもよい。かかる場合には、認証局において、証明書の認証に先立ち、ブラックリストによるアクセス制御を行うこととすれば、セキュリティを向上することができ、好適である。
1000...アクセス制御システム
100,200,300,400...アクセス制御装置
110,210,310,410...ACL
120,220,320,420...ブラックリスト
500,600,700,800...ストレージ
501,601,701,801...データファイル
101...主制御部
102...通信部
103...ACL管理部
104...ブラックリスト管理部
105...アクセス制御部
106...アクセス制限部
107...アクセス遮断部
108...入力部
109...ストレージ管理部
109a...アクセス管理表
110...アクセスコントロールリスト
120...ブラックリスト
100,200,300,400...アクセス制御装置
110,210,310,410...ACL
120,220,320,420...ブラックリスト
500,600,700,800...ストレージ
501,601,701,801...データファイル
101...主制御部
102...通信部
103...ACL管理部
104...ブラックリスト管理部
105...アクセス制御部
106...アクセス制限部
107...アクセス遮断部
108...入力部
109...ストレージ管理部
109a...アクセス管理表
110...アクセスコントロールリスト
120...ブラックリスト
Claims (18)
- ネットワークに複数接続されたストレージ装置に格納される情報資源へのアクセスを制御するアクセス制御装置であって、
前記ネットワークには、前記ストレージ装置および前記アクセス制御装置が複数接続されており、
該アクセス制御装置は、
各情報資源へのアクセス可否が登録されたアクセスコントロールリストに基づき、アクセス可否の判断を行うアクセス制限部と、
前記情報資源へのアクセスを禁止するユーザを特定可能な情報が登録されたアクセス禁止リストに基づき、アクセスを遮断するアクセス遮断部と、
前記情報資源へのアクセス要求時に、前記アクセス制限部よる前記アクセスコントロールリストに基づくアクセス可否の判断および前記アクセス遮断部による前記アクセス禁止リストに基づくアクセスの遮断を行うアクセス制御部と、
アクセス禁止ユーザを特定可能なユーザ情報の入力を受け付ける情報入力部と、
前記入力に基づき、前記ネットワークに接続された各アクセス制御装置がそれぞれ参照する前記アクセス禁止リストを更新する処理を行うリスト更新部とを備えるアクセス制御装置。 - 請求項1記載のアクセス制御装置であって、
前記リスト更新部は、前記他のアクセス制御装置に対して、前記ユーザ情報を該他のアクセス制御装置が参照する前記アクセス禁止リストに登録させる登録指示を配信するアクセス制御装置。 - 請求項1記載のアクセス制御装置であって、
前記リスト更新部は、前記更新された前記アクセス禁止リストを、前記他のアクセス制御装置へ配信するアクセス制御装置。 - ネットワークに複数接続されたストレージ装置に格納される情報資源へのアクセスを制御するアクセス制御装置であって、
前記ネットワークには、前記ストレージ装置および前記アクセス制御装置が複数接続されており、
各情報資源のアクセス可否が登録されたアクセスコントロールリストに基づき、アクセス可否の判断を行うアクセス制限部と、
前記ネットワークに接続された他のアクセス制御装置から、前記各情報資源へのアクセスを禁止するユーザを特定可能な所定の情報を受信する受信部と、
前記所定の情報により、前記情報資源へのアクセスを禁止するユーザを特定可能な情報が登録されたアクセス禁止リストを更新するリスト更新部と、
前記アクセス禁止リストに基づき、前記情報資源へのアクセスを遮断するアクセス遮断部と、
前記情報資源へのアクセス要求時に、前記アクセス制限部による前記アクセスコントロールリストに基づくアクセス可否の判断および前記アクセス遮断部による前記アクセス禁止リストに基づくアクセスの遮断を行うアクセス制御部であって、前記アクセスコントロールリストより前記アクセス禁止リストを優先してアクセスを制御するアクセス制御部とを備えるアクセス制御装置。 - 請求項1〜請求項4いずれか記載のアクセス制御装置であって、
前記アクセス制御部は、未完了の処理を含めて、前記アクセス制限を行うアクセス制御装置。 - 請求項1〜請求項5いずれか記載のアクセス制御装置であって、
前記アクセス禁止リストに基づき、前記アクセスコントロールリストを更新するアクセスコントロールリスト更新部を備えるアクセス制御装置。 - 請求項6記載のアクセス制御装置であって、
前記アクセス禁止リスト内のユーザ情報を、所定のタイミングで削除するアクセス制御装置。 - 請求項7記載のアクセス制御装置であって、
前記所定のタイミングとは、前記アクセスコントロールリスト更新部における前記更新の終了後であるアクセス制御装置。 - 請求項7記載のアクセス制御装置であって、
前記所定のタイミングとは、前記ネットワークに接続された全てのアクセス制御装置における、前記アクセスコントロールリスト更新部における前記更新の終了後であるアクセス制御装置。 - 情報資源を格納するストレージ装置と、情報資源のアクセスを制御するためのアクセス制御装置とが、ネットワークに複数接続されたアクセス制御システムであって、
各アクセス制御装置は、
各情報資源へのアクセス許否が登録されたアクセスコントロールリストに基づき、アクセス可否の判断を行うアクセス制限部と、
前記情報資源へのアクセスを禁止すべきユーザを特定可能な所定の情報を登録しアクセス禁止リストに基づき、前記情報資源へのアクセスを遮断するアクセス遮断部と、
前記情報資源へのアクセス要求時に、前記アクセス制限部による前記アクセスコントロールリストに基づくアクセス可否の判断および前記アクセス遮断部による前記アクセス禁止リストに基づくアクセスの遮断を行うアクセス制御部であって、前記アクセスコントロールリストより、前記アクセス禁止リストを優先してアクセスを制御するアクセス制御部とを備えており、
いずれか一のアクセス制御装置は、自装置が参照する前記アクセス禁止リストに変更が発生した場合に、前記所定の情報、または、前記アクセス禁止リストを、前記ネットワークに接続された他のアクセス制御装置に配信する配信部を備え、
前記他のアクセス制御装置は、前記所定の情報、または、前記アクセス禁止リストを受信し、自装置が参照するアクセス禁止リストを更新するリスト更新部を備えるアクセス制御システム。 - 請求項10記載のアクセス制御システムであって、
前記配信部は、前記他のアクセス制御装置へ、前記アクセス禁止リストを更新するための更新情報を同報配信するアクセス制御システム。 - 請求項10記載のアクセス制御システムであって、
前記アクセス禁止リストを更新するための更新情報を最初に配信するアクセス制御装置の前記配信部は、前記アクセス禁止リストを更新するための更新情報を、予め設定された他のアクセス制御装置へ配信し、
前記他のアクセス装置の配信部は、受信した前記更新情報を、更に、予め設定された他のアクセス制御装置へ配信するアクセス制御システム。 - ネットワークに複数接続されたストレージ装置に格納される情報資源へのアクセスを制御するアクセス制御方法であって、
前記ネットワークには、前記ストレージ装置およびアクセス制御装置が複数接続されており、
前記情報資源へのアクセス要求時に、各情報資源へのアクセス可否が登録されたアクセスコントロールリストに基づくアクセス可否の判断、および、前記情報資源へのアクセスを禁止するユーザを特定可能な情報が登録されたアクセス禁止リストに基づく遮断を行う工程と、
アクセス禁止ユーザを特定可能なユーザ情報の入力を受け付ける工程と、
前記入力に基づき、前記ネットワークに接続された各アクセス制御装置がそれぞれ参照する前記アクセス禁止リストを更新する処理を行う工程とを備えるアクセス制御方法。 - ネットワークに複数接続されたストレージ装置に格納される情報資源へのアクセスを制御するアクセス制御方法であって、
前記ネットワークには、前記ストレージ装置およびアクセス制御装置が複数接続されており、
前記ネットワークに接続された他のアクセス制御装置から、前記各情報資源へのアクセスを禁止するユーザを特定可能な所定の情報を受信する工程と、
前記所定の情報により、前記情報資源へのアクセスを禁止するユーザを特定可能な情報が登録されたアクセス禁止リストを更新する工程と、
前記情報資源へのアクセス要求時に、各前記情報資源のアクセス可否が登録されたアクセスコントロールリストに基づくアクセス可否の判断、および、前記アクセス禁止リストに基づく前記情報資源へのアクセスの遮断を行う際に、前記アクセスコントロールリストより前記アクセス禁止リストを優先してアクセスを制限する工程とを備えるアクセス制御方法。 - 情報資源を格納するストレージ装置と、該オブジェクトへのアクセスを制御するためのアクセス制御装置とが、ネットワークに複数接続されたアクセス制御システムにおいてアクセスを制御するアクセス制御方法であって、
各アクセス制御装置は、
各情報資源へのアクセス許否が登録されたアクセスコントロールリストに基づき、アクセス可否の判断を行うアクセス制限部と、
前記情報資源へのアクセスを禁止すべきユーザを特定可能な所定の情報を登録したアクセス禁止リストに基づき、前記情報資源へのアクセスを遮断するアクセス遮断部と、
前記情報資源へのアクセス要求時に、前記アクセス制限部による前記アクセスコントロールリストに基づくアクセス可否の判断および前記アクセス遮断部による前記アクセス禁止リストに基づくアクセスの遮断を行うアクセス制御部であって、前記アクセスコントロールリストより、前記情報資源へのアクセスを禁止すべきユーザを特定可能な所定の情報を登録したアクセス禁止リストを優先してアクセスを制御するアクセス制御部とを備えており、
いずれか一のアクセス制御装置は、自装置が参照する前記アクセス禁止リストに変更が発生した場合に、前記所定の情報、または、前記アクセス禁止リストを、前記ネットワークに接続された他のアクセス制御装置に配信する工程を備え、
前記他のアクセス制御装置は、前記所定の情報、または、前記アクセス禁止リストを受信し、自装置が参照するアクセス禁止リストを更新する工程を備えるアクセス制御方法。 - ネットワークに複数接続されたストレージ装置に格納される情報資源へのアクセスをコンピュータに制御させるためのコンピュータプログラムであって、
前記ネットワークには、前記ストレージ装置およびアクセス制御装置が複数接続されており、
各情報資源へのアクセス可否が登録されたアクセスコントロールリストに基づき、アクセス可否の判断を行う機能と、
前記情報資源へのアクセスを禁止するユーザを特定可能な情報が登録されたアクセス禁止リストに基づき、アクセスを遮断する機能と、
前記情報資源へのアクセス要求時に、前記アクセス可否の判断を行う機能による前記アクセスコントロールリストに基づくアクセス可否の判断および前記アクセスを遮断する機能による前記アクセス禁止リストに基づくアクセスの遮断を制御する機能と、
アクセス禁止ユーザを特定可能なユーザ情報の入力を受け付ける機能と、
前記入力に基づき、前記ネットワークに接続された各アクセス制御装置がそれぞれ参照する前記アクセス禁止リストを更新する処理を行う機能とをコンピュータに実現させるためのコンピュータプログラム。 - ネットワークに複数接続されたストレージ装置に格納される情報資源へのアクセスをコンピュータに制御させるためのコンピュータプログラムであって、
前記ネットワークには、前記ストレージ装置およびアクセス制御装置が複数接続されており、
各情報資源のアクセス可否が登録されたアクセスコントロールリストに基づき、アクセス可否の判断を行う機能と、
前記ネットワークに接続された他のアクセス制御装置から、前記各情報資源へのアクセスを禁止するユーザを特定可能な所定の情報を受信する機能と、
前記所定の情報により、前記アクセス禁止リストを更新する機能と、
前記アクセス禁止リストに基づき、前記情報資源へのアクセスを遮断する機能と、
前記情報資源へのアクセス要求時に、前記アクセス可否の判断を行う機能による前記アクセスコントロールリストに基づくアクセス可否の判断および前記アクセスを遮断する機能による前記アクセス禁止リストに基づくアクセスの遮断を行う際に、前記アクセスコントロールリストより前記アクセス禁止リストを優先してアクセスを制御する機能とをコンピュータに実現させるためのコンピュータプログラム。 - 請求項16または請求項17記載のコンピュータプログラムをコンピュータ読み取り可能に記録した記録媒体。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003389230A JP4368184B2 (ja) | 2003-11-19 | 2003-11-19 | ブラックリストによる緊急アクセス遮断装置 |
| US10/786,072 US7424475B2 (en) | 2003-11-19 | 2004-02-26 | Emergency access interception according to black list |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003389230A JP4368184B2 (ja) | 2003-11-19 | 2003-11-19 | ブラックリストによる緊急アクセス遮断装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005149377A JP2005149377A (ja) | 2005-06-09 |
| JP4368184B2 true JP4368184B2 (ja) | 2009-11-18 |
Family
ID=34567501
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003389230A Expired - Fee Related JP4368184B2 (ja) | 2003-11-19 | 2003-11-19 | ブラックリストによる緊急アクセス遮断装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7424475B2 (ja) |
| JP (1) | JP4368184B2 (ja) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050289127A1 (en) * | 2004-06-25 | 2005-12-29 | Dominic Giampaolo | Methods and systems for managing data |
| US9081872B2 (en) * | 2004-06-25 | 2015-07-14 | Apple Inc. | Methods and systems for managing permissions data and/or indexes |
| US8245280B2 (en) * | 2005-02-11 | 2012-08-14 | Samsung Electronics Co., Ltd. | System and method for user access control to content in a network |
| JP4559295B2 (ja) * | 2005-05-17 | 2010-10-06 | 株式会社エヌ・ティ・ティ・ドコモ | データ通信システム及びデータ通信方法 |
| KR100664943B1 (ko) | 2005-08-10 | 2007-01-04 | 삼성전자주식회사 | 모드 기반 접근 제어 방법 및 장치 |
| US20070156691A1 (en) * | 2006-01-05 | 2007-07-05 | Microsoft Corporation | Management of user access to objects |
| US8452961B2 (en) * | 2006-03-07 | 2013-05-28 | Samsung Electronics Co., Ltd. | Method and system for authentication between electronic devices with minimal user intervention |
| US7921194B2 (en) * | 2006-03-09 | 2011-04-05 | Samsung Electronics Co., Ltd. | Method and system for remote access to universal plug and play devices |
| US20070288487A1 (en) * | 2006-06-08 | 2007-12-13 | Samsung Electronics Co., Ltd. | Method and system for access control to consumer electronics devices in a network |
| US7827275B2 (en) * | 2006-06-08 | 2010-11-02 | Samsung Electronics Co., Ltd. | Method and system for remotely accessing devices in a network |
| US20070294404A1 (en) * | 2006-06-15 | 2007-12-20 | International Business Machines Corporation | Method and system for authorization and access control delegation in an on demand grid environment |
| US8326296B1 (en) | 2006-07-12 | 2012-12-04 | At&T Intellectual Property I, L.P. | Pico-cell extension for cellular network |
| CN101110020B (zh) * | 2006-07-21 | 2011-01-26 | 国际商业机器公司 | 维护关于可编辑对象中的元素的与原创性有关的信息的方法和系统 |
| US8230484B1 (en) * | 2007-05-01 | 2012-07-24 | Emc Corporation | Control of resource access privileges via agent authentication |
| JP2009048574A (ja) * | 2007-08-22 | 2009-03-05 | Panasonic Corp | 通信端末装置、ファイアウォールシステム及びファイアウォール方法 |
| CN101836212B (zh) | 2007-10-25 | 2015-10-14 | 富士通株式会社 | 信息提供方法、中继方法、信息保持装置、中继器 |
| US8615515B2 (en) * | 2008-05-09 | 2013-12-24 | International Business Machines Corporation | System and method for social inference based on distributed social sensor system |
| US8490156B2 (en) | 2008-05-13 | 2013-07-16 | At&T Mobility Ii Llc | Interface for access management of FEMTO cell coverage |
| US8719420B2 (en) | 2008-05-13 | 2014-05-06 | At&T Mobility Ii Llc | Administration of access lists for femtocell service |
| JP4605252B2 (ja) * | 2008-05-21 | 2011-01-05 | 富士ゼロックス株式会社 | 医療情報アクセス制御装置および医療情報アクセス制御プログラム |
| US8504032B2 (en) | 2008-06-12 | 2013-08-06 | At&T Intellectual Property I, L.P. | Femtocell service registration, activation, and provisioning |
| US8510801B2 (en) | 2009-10-15 | 2013-08-13 | At&T Intellectual Property I, L.P. | Management of access to service in an access point |
| US9235829B2 (en) * | 2009-10-30 | 2016-01-12 | Verisign, Inc. | Hierarchical publish/subscribe system |
| US9762405B2 (en) * | 2009-10-30 | 2017-09-12 | Verisign, Inc. | Hierarchical publish/subscribe system |
| US9047589B2 (en) | 2009-10-30 | 2015-06-02 | Verisign, Inc. | Hierarchical publish and subscribe system |
| US9269080B2 (en) * | 2009-10-30 | 2016-02-23 | Verisign, Inc. | Hierarchical publish/subscribe system |
| US9569753B2 (en) | 2009-10-30 | 2017-02-14 | Verisign, Inc. | Hierarchical publish/subscribe system performed by multiple central relays |
| US8982882B2 (en) | 2009-11-09 | 2015-03-17 | Verisign, Inc. | Method and system for application level load balancing in a publish/subscribe message architecture |
| CN103093140B (zh) * | 2011-10-31 | 2015-11-25 | 腾讯科技(深圳)有限公司 | 权限管理方法及系统 |
| US10433192B2 (en) * | 2017-08-16 | 2019-10-01 | T-Mobile Usa, Inc. | Mobility manager destructive testing |
| CN112818391A (zh) * | 2021-01-26 | 2021-05-18 | 四川天翼网络服务有限公司 | 一种基于切面编程的权限控制方法 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NO300045B1 (no) * | 1990-12-03 | 1997-03-24 | Trioving As | Tidskontrollert elektrisk styrt låssystem |
| US6763454B2 (en) * | 1994-05-27 | 2004-07-13 | Microsoft Corp. | System for allocating resources in a computer system |
| JPH0934841A (ja) * | 1995-07-21 | 1997-02-07 | Fujitsu Ltd | 記憶媒体のオンライン暗号解除システムおよび方法 |
| JPH11282805A (ja) | 1998-03-27 | 1999-10-15 | Nippon Telegr & Teleph Corp <Ntt> | 資源アクセス制御方法及びシステム及び資源アクセス制御プログラムを格納した記憶媒体 |
| US6772350B1 (en) | 1998-05-15 | 2004-08-03 | E.Piphany, Inc. | System and method for controlling access to resources in a distributed environment |
| US6480901B1 (en) * | 1999-07-09 | 2002-11-12 | Lsi Logic Corporation | System for monitoring and managing devices on a network from a management station via a proxy server that provides protocol converter |
| CA2299824C (en) * | 2000-03-01 | 2012-02-21 | Spicer Corporation | Network resource control system |
| JP4082858B2 (ja) | 2000-10-30 | 2008-04-30 | 富士通株式会社 | ネットワークアクセス制御方法及びそれを用いたネットワークシステム及びそれを構成する装置 |
| US20020138727A1 (en) | 2001-03-26 | 2002-09-26 | International Business Machines Corporation | System and process for enhancing method calls of special purpose object-oriented programming languages to have security attributes for access control |
| US6988280B2 (en) | 2001-06-29 | 2006-01-17 | International Business Machines Corporation | System and method for enhancing authorization request in a computing device |
| US20030018747A1 (en) * | 2001-07-20 | 2003-01-23 | Herland Bjarne Geir | Web presence detector |
| US7042334B2 (en) * | 2003-01-31 | 2006-05-09 | General Electric Company | Methods for managing access to physical assets |
| US20040203589A1 (en) * | 2002-07-11 | 2004-10-14 | Wang Jiwei R. | Method and system for controlling messages in a communication network |
| US7043438B2 (en) * | 2002-08-27 | 2006-05-09 | Kabushiki Kaisha Micronet | Moral standard protecting system in voice and/or text communication and interactive game system using therewith |
| US7149510B2 (en) | 2002-09-23 | 2006-12-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Security access manager in middleware |
| US8046476B2 (en) * | 2003-01-29 | 2011-10-25 | Nokia Corporation | Access right control using access control alerts |
| US8909701B2 (en) * | 2003-05-02 | 2014-12-09 | Nokia Corporation | IMS conferencing policy logic |
| US7478094B2 (en) * | 2003-06-11 | 2009-01-13 | International Business Machines Corporation | High run-time performance method for setting ACL rule for content management security |
| US7577995B2 (en) * | 2003-09-16 | 2009-08-18 | At&T Intellectual Property I, L.P. | Controlling user-access to computer applications |
| US20050091658A1 (en) * | 2003-10-24 | 2005-04-28 | Microsoft Corporation | Operating system resource protection |
-
2003
- 2003-11-19 JP JP2003389230A patent/JP4368184B2/ja not_active Expired - Fee Related
-
2004
- 2004-02-26 US US10/786,072 patent/US7424475B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US7424475B2 (en) | 2008-09-09 |
| US20050108257A1 (en) | 2005-05-19 |
| JP2005149377A (ja) | 2005-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4368184B2 (ja) | ブラックリストによる緊急アクセス遮断装置 | |
| CN107579958B (zh) | 数据管理方法、装置及系统 | |
| US8402459B2 (en) | License management system, license management computer, license management method, and license management program embodied on computer readable medium | |
| US6119230A (en) | Distributed dynamic security capabilities | |
| US8874903B2 (en) | Network device and computer readable medium therefor | |
| US20190289011A1 (en) | Information processing system, information processing apparatus, management apparatus, and non-transitory computer readable medium storing program | |
| AU2019222900B2 (en) | Document management system and management apparatus | |
| US20050102522A1 (en) | Authentication device and computer system | |
| US11042658B2 (en) | Document management system and processing apparatus | |
| KR20040015714A (ko) | 컨텐츠 이용장치와 네트워크 시스템, 및 라이센스 정보취득방법 | |
| JP2005122474A (ja) | 情報漏洩防止プログラムおよびその記録媒体並びに情報漏洩防止装置 | |
| US20130013787A1 (en) | Replicating selected secrets to local domain controllers | |
| AU2019261686B2 (en) | Management apparatus and document management system | |
| JP2006155585A (ja) | 文書管理サービス提供装置、認証サービス提供装置、文書管理サービス提供プログラム、認証サービス提供プログラム、記録媒体、文書管理サービス提供方法及び認証サービス提供方法 | |
| CN112954000A (zh) | 一种基于区块链和ipfs技术的隐私信息管理方法及系统 | |
| JP5822078B2 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| JP2005353043A (ja) | アプリケーション管理装置及び管理方法 | |
| JP4922744B2 (ja) | 画像読取装置及びその制御方法、並びにプログラム | |
| WO2006092642A1 (en) | Access rights control in a device management system | |
| JP2011180772A (ja) | 機器管理システム、機器管理装置、及び機器設定方法 | |
| KR102019507B1 (ko) | 브라우저 인증서 서비스 방법 및 그 시스템 | |
| JP2006079359A (ja) | 通信装置、通信装置の制御方法、プログラム及び記録媒体 | |
| US20090327725A1 (en) | Content object management method, right object providing method, content object revocation method based thereon, and device using the same | |
| KR20190017207A (ko) | 사물인터넷 데이터 접근 제어 시스템 및 그 방법 | |
| CN110741371B (zh) | 信息处理设备、保护处理设备和使用终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060105 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090602 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090730 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090825 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090825 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120904 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |