JP4498886B2 - アクセス制御装置およびそのプログラム - Google Patents
アクセス制御装置およびそのプログラム Download PDFInfo
- Publication number
- JP4498886B2 JP4498886B2 JP2004308802A JP2004308802A JP4498886B2 JP 4498886 B2 JP4498886 B2 JP 4498886B2 JP 2004308802 A JP2004308802 A JP 2004308802A JP 2004308802 A JP2004308802 A JP 2004308802A JP 4498886 B2 JP4498886 B2 JP 4498886B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- information
- phase
- user
- target object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、操作ユーザがアクセスできるプログラムをアクセス権限に基づいて判定するアクセス制御装置およびそのプログラムに関する。
UNIX(登録商標)系のOSの従来のアクセス制御の概略について簡単に説明する。
まず、ユーザ“jdoe”が、アプリケーションを介して、“foo”というディレクトリの削除要求を発行したとする(コマンド実行a)。この要求はシステムコール“rmdir()”により処理がユーザモードからカーネルに委託される(システムコールb)。そして、処理関数“vfs_rmdir()”の中で、パーミッションチェック“may_create()”が呼ばれ、アクセス制御が実行される(アクセス制御c)。ここで、カーネルは、サブジェクト(アクセスする側)、オブジェクト(アクセスの対象)のプログラム、メソッド(アクセスの種類:例えばコマンドの種類)の組み合わせ対して、アクセス権が与えられているか否かを、アクセス権限の情報に基づいて判定する。
まず、ユーザ“jdoe”が、アプリケーションを介して、“foo”というディレクトリの削除要求を発行したとする(コマンド実行a)。この要求はシステムコール“rmdir()”により処理がユーザモードからカーネルに委託される(システムコールb)。そして、処理関数“vfs_rmdir()”の中で、パーミッションチェック“may_create()”が呼ばれ、アクセス制御が実行される(アクセス制御c)。ここで、カーネルは、サブジェクト(アクセスする側)、オブジェクト(アクセスの対象)のプログラム、メソッド(アクセスの種類:例えばコマンドの種類)の組み合わせ対して、アクセス権が与えられているか否かを、アクセス権限の情報に基づいて判定する。
UNIX(登録商標)系OSでは、ファイルのオーナー、グループ、それ以外のユーザに対しての、“read/write/execute”に関するパーミッションがオブジェクト毎に付与されており、サブジェクトのUID(User Identifier)やGID(Group Identifier)に基づき、アクセス許可、不許可を判定する(パーミッションチェックd)。“rmdir:ディレクトリの削除”であれば、削除対象の上位ディレクトリに対してのwrite/execute権限が必要とされる。そして、アクセスが許可されれば、“rmdir”:処理)を実行し、不許可であればユーザにエラーを返す(判定結果に応じた処理e)。
上記したように、OSによるアクセス制御は、一般ユーザはもちろん、管理者に対してもアクセス権への制御を課すことができる。しかしながら、アクセス権設定そのものへの権限を持つ管理者はシステムに必ず存在するため、このユーザ権限を不正に取得することで、システムの全権が掌握されてしまう。Unix(登録商標)系のOSにおいては、rootユーザがこれに該当し、不正にroot権限が取得できてしまうような種々の脆弱性を解消することが望まれていた。
上記した従来技術においては、アクセス制御情報を保護する上で以下の問題を有している。すなわち、アクセス権限の情報そのものもオブジェクトであり、従って、それらへのアクセス、変更が可能な管理者は必ず存在するので、それがアクセス権限の情報の改竄というリスクにならないようにする必要がある。通常のUNIX(登録商標)系OSであれば、オブジェクト毎のアクセス権(所有者、グループ・パーミッション)についてはそのオブジェクトの所有者であれば、“chown/chgrp/chmod”等のコマンドにより、変更可能である。また、root等の管理者権限を持ってすれば、全てのオブジェクトについて、アクセス権の変更が可能である。このため、root権限を奪取するような形で、不正侵入が行われた場合には、アクセス権による各オブジェクトの保護の意味が低減する。
このような問題に対し、管理者のアクセス権限の設定に基づく「アクセス権限の強制」、あるいは、root権限を縮小してアクセス権限の設定できる権限を別管理者に与える「権限縮小」等によるセキュリティの強化が施された高信頼OSが実用化されている。また、アプリケーションを操作する権限レベルをIDカードに記録されている操作者コードに基づいて取得して、その権限レベルに基づいてアプリケーションの操作権限を満たしているか否かをチェックする技術が公開されている(例えば特許文献1参照)。
特開2001−92784号公報
ここで、上述のような従来技術において、例えばFTP(File Transfer Protocol)の一連の処理によるファイルの他サーバへの送信の処理などでは、OSはその一連の処理における各段階においてアクセスが行なわれうる全てのオブジェクト(FTPサーバの設定情報、認証の際に参照されるユーザ情報、FTP転送するファイル、ログ情報の出力先であるシスログファイル等)へのアクセス許可を権限として与えられている。FTPの一連の処理における各段階とは、コマンド指示等に基づき設定ファイル等を参照しつつFTPデーモンが起動される段階(フェーズ1)、FTP接続ユーザからの認証要求を受付ける段階(フェーズ2)、認証成功後にFTPデーモンのUID(ユーザID)を接続ユーザのUIDに変更する段階(フェーズ3)、接続ユーザからの指示に基づき送信すべきファイルへのアクセス(read)もしくは受信したファイルへのアクセス(write)を行なう段階(フェーズ4)等である。
しかしながら、上記一連の処理における各段階に共通したアクセス権限を操作ユーザに対して付与する方法においては、当該一連の処理におけるフェーズ2の段階で不正アクセスが行なわれて(例えば、認証時にパスワードフィールド等をバッファオーバーフローさせるような攻撃)、アクセス権限を不正アクセスを行なったユーザに取られてしまった場合には、その後のフェーズ3、フェーズ4における操作も、取られてしまったアクセス権限で処理できるので、不正アクセスを行なったユーザにフェーズ3、フェーズ4の処理を許可してしまうこととなり、セキュリティを確保することができない。
そこでこの発明は、従来に比べてよりセキュリティを高く保つことができる、アクセス制御装置およびそのプログラムを提供することを目的としている。
本発明は、上述の課題を解決すべくなされたもので、自装置で記録しているアクセス対象オブジェクトに対するアクセス権限の情報を、自装置を操作する操作ユーザの全てについて変更できるアクセス制御装置であって、複数のフェーズを有し、当該複数のフェーズそれぞれにおいて命令が実行される所定の一連の処理について、前記フェーズごとに、前記操作ユーザの情報と、前記操作ユーザからの指示として受付ける命令と、当該命令によってアクセスするアクセス対象オブジェクトと、前記複数のフェーズそれぞれのうちの何れのフェーズを遷移先とするかを示すフェーズ指定情報と、の組み合わせの情報を記憶する判定条件記憶手段と、前記一連の処理について、前記フェーズごとに、前記アクセス対象オブジェクトに対するアクセス権限の情報と、前記操作ユーザの情報と、の組み合わせの情報を記憶するアクセス権限記憶手段と、前記操作ユーザからの指示として受け付けた、前記一連の処理を指定する情報と、命令と、当該命令を受付けた際のフェーズと、に基づいて、前記フェーズ指定情報を、前記判定条件記憶手段から読み取るフェーズ判定手段と、前記読み取ったフェーズ指定情報と、当該フェーズ指定情報の示す遷移先のフェーズにおいて受け付ける命令によってアクセスするアクセス対象オブジェクトと、当該命令を指示した操作ユーザの情報と、から、当該アクセス対象オブジェクトに対するアクセス権限の情報を前記アクセス権限記憶手段から読み取り、当該アクセス権限に基づいて、当該アクセス対象オブジェクトの処理を実行するか否かを判定するアクセス制御手段と、を備えることを特徴とするアクセス制御装置である。
また本発明は、前記一連の処理は、前記操作ユーザの操作に基づく1つのアプリケーションプログラムが行なうことを特徴とする。
また本発明は、前記一連の処理は、前記操作ユーザの操作に基づく複数のアプリケーションプログラムそれぞれが行ない、前記フェーズは、前記複数のアプリケーションプログラムのうちいずれか一つが受け持つ処理の単位であることを特徴とする。
また本発明は、複数のフェーズを有し、当該複数のフェーズそれぞれにおいて命令が実行される所定の一連の処理について、前記フェーズごとに、操作ユーザの情報と、前記操作ユーザからの指示として受付ける命令と、当該命令によってアクセスするアクセス対象オブジェクトと、前記複数のフェーズそれぞれのうちの何れのフェーズを遷移先とするかを示すフェーズ指定情報と、の組み合わせの情報を記憶する判定条件記憶手段と、前記一連の処理について、前記フェーズごとに、前記アクセス対象オブジェクトに対するアクセス権限の情報と、前記操作ユーザの情報と、の組み合わせの情報を記憶するアクセス権限記憶手段と、を備え、自装置で記録しているアクセス対象オブジェクトに対するアクセス権限の情報を、自装置を操作する操作ユーザの全てについて変更できるアクセス制御装置のコンピュータに実行させるプログラムであって、前記操作ユーザからの指示として受け付けた、前記一連の処理を指定する情報と、命令と、当該命令を受付けた際のフェーズと、に基づいて、前記フェーズ指定情報を、前記判定条件記憶手段から読み取るフェーズ判定処理と、前記読み取ったフェーズ指定情報と、当該フェーズ指定情報の示す遷移先のフェーズにおいて受け付ける命令によってアクセスするアクセス対象オブジェクトと、当該命令を指示した操作ユーザの情報と、から、当該アクセス対象オブジェクトに対するアクセス権限の情報を前記アクセス権限記憶手段から読み取り、当該アクセス権限に基づいて、当該アクセス対象オブジェクトの処理を実行するか否かを判定するアクセス制御処理と、をコンピュータに実行させるプログラムである。
本発明によれば、アクセス制御手段は、一連の処理における各段階のそれぞれにおいて、状態判定手段で判定された段階に対応するアクセス権限の情報をアクセス権限記憶手段から読み取り、そのアクセス権限の情報に基づいて、各段階でアプリケーションのプログラムが指示する命令の示すアクセス対象オブジェクトを実行するか否かを判定する。従って、一連の処理における各段階において、不正アクセスが行なわれることにより当該不正アクセスを行なったユーザにアクセス権限を取得されてしまっても、その権限を当該フェーズで与えられている範囲のものに限定することが可能であり、他のフェーズで許可している権限については不正アクセスを行なったユーザは得ることができないため、これまでより高度なセキュリティを確保することができるという効果が得られる。本効果即ちフェーズの推移抑制は、不正アクセスによる攻撃をうけたプログラムにおいてはその影響により、以降の処理不ロジックが変わってしまうという性質によりもたらされる。
以下、本発明の一実施形態によるアクセス制御装置を図面を参照して説明する。図1は同実施形態によるアクセス制御装置の構成を示すブロック図である。
この図において、符号1はアクセス制御装置である。このアクセス制御装置1はコンピュータのUNIX(登録商標)などのOS(Operating System)の機能の一部に対応するものであり、実際にはコンピュータが、このアクセス制御装置1の機能に加え他の機能を備えている。本実施形態においては、説明の便宜上、アクセス制御装置1の機能についてのみ説明するものとする。
この図において、符号1はアクセス制御装置である。このアクセス制御装置1はコンピュータのUNIX(登録商標)などのOS(Operating System)の機能の一部に対応するものであり、実際にはコンピュータが、このアクセス制御装置1の機能に加え他の機能を備えている。本実施形態においては、説明の便宜上、アクセス制御装置1の機能についてのみ説明するものとする。
アクセス制御装置1において、符号11はアクセス権限記憶部であり、アクセス権限テーブルを保持している。また符号12は判定条件記憶部であり、判定条件テーブルを保持している。また13はアクセス制御部であり、ある操作ユーザからの指示として受付けたコマンドで示されるアクセス対象オブジェクトへの処理を実行するか否かを判定する。また14はフェーズ判定部であり、操作ユーザからの指示として受付けたコマンドに基づいて、当該コマンドを受付けた際の一連の処理の単位における段階(フェーズ)を判定する処理を行なう。
そして、アクセス制御装置1は、一連の処理の単位におけるフェーズに基づいて、当該フェーズに対応するアクセス権限に基づき、操作ユーザからの指示として受付けた命令で示されるアクセス対象オブジェクトへの処理を実行するか否かを判定する処理を行なう。なお、上記OSは、一般ユーザのアクセス権限および管理者ユーザ(rootユーザ)のアクセス権限を変更できるOSである。
図2はアクセス権限テーブルのデータ構成を示す図である。
図3は判定条件テーブルのデータ構成を示す図である。
次に、図2、図3を用いて、アクセス権限記憶部の記憶するアクセス権限テーブルと、判定条件記憶部の記憶する判定条件テーブルについて説明する。
まず、図2より、アクセス権限テーブルには、一連の処理における各フェーズごとに、UID(ユーザID)またはGID(グループID)と、そのフェーズにおいてアクセスするアクセス対象オブジェクトと、そのアクセス対象オブジェクトへのアクセス権限(read/write/execute)の情報が対応付けて記録されている。アクセス制御部13はこのアクセス権限テーブルに基づいて、操作ユーザからの指示として受付けたコマンドで示されるアクセス対象オブジェクトへの処理を実行するか否かを判定を行なう。
図3は判定条件テーブルのデータ構成を示す図である。
次に、図2、図3を用いて、アクセス権限記憶部の記憶するアクセス権限テーブルと、判定条件記憶部の記憶する判定条件テーブルについて説明する。
まず、図2より、アクセス権限テーブルには、一連の処理における各フェーズごとに、UID(ユーザID)またはGID(グループID)と、そのフェーズにおいてアクセスするアクセス対象オブジェクトと、そのアクセス対象オブジェクトへのアクセス権限(read/write/execute)の情報が対応付けて記録されている。アクセス制御部13はこのアクセス権限テーブルに基づいて、操作ユーザからの指示として受付けたコマンドで示されるアクセス対象オブジェクトへの処理を実行するか否かを判定を行なう。
また図3より、判定条件テーブルには、一連の処理の種類と、UID(ユーザID)またはGID(グループID)の情報と、プロセスから実行要求された命令の種類と、その命令を受付けた際の前記一連の処理におけるフェーズの情報と、その命令を受付けた次に遷移する前記一連の処理におけるフェーズの情報(遷移先のフェーズ)とが対応付けて記録されている。そして、フェーズ判定部14はこの判定条件テーブルに基づいて、一連の処理において実行要求されたアクセスへの判定を行ない、該当するものであれば「遷移先のフェーズ」の内容に従い、所定のフェーズへの遷移を行なう。
なお、一連の処理とは、予め設定された処理の単位であれば良く、例えば、FTP(File Transfer Protocol)の処理におけるユーザのFTP処理開始の指示(FTPコマンド入力)からデータ転送の完了までの一連の処理であっても、複数のアプリケーションを用いて、最初の処理から最後の処理までを行なう一連の処理であってもよい。
なお、一連の処理とは、予め設定された処理の単位であれば良く、例えば、FTP(File Transfer Protocol)の処理におけるユーザのFTP処理開始の指示(FTPコマンド入力)からデータ転送の完了までの一連の処理であっても、複数のアプリケーションを用いて、最初の処理から最後の処理までを行なう一連の処理であってもよい。
図4はアクセス制御装置の処理概要を示す第1の図である。
図5はアクセス制御装置の第1の処理フローである。
次に、図4、図5を用いてアクセス制御装置の第1の処理フローについて説明する。
まず、操作ユーザである利用者AのアプリケーションAの操作における一連の処理Aの動作において、アクセス制御部13は、当該アプリケーションAのプログラムによってアクセス対象オブジェクトへの処理を実行するコマンドを受付ける(ステップS1a)。またアクセス制御部13は、このコマンドを受付ける際に、このコマンドを指示した利用者Aの識別情報であるUID(またはGID)を受付ける。アクセス制御部13は利用者Aからの処理Aにおける指示としての最初のコマンドを受付けるとそのコマンドを処理Aにおけるフェーズ1において指示されるコマンドであることを判断し、処理Aの種類と、フェーズの種類「フェーズ1」の情報と、利用者AのUIDと、コマンドに基づいて処理されるアクセス対象オブジェクトとに対応付けられてアクセス権限記憶部11のアクセス権限テーブルに記録されているアクセス権限(1)を読み込む(ステップS2a)。ここで、アクセス権限が実行可能(execute)であれば、アクセス制御部13は受付けたコマンドで示されるアクセス対象オブジェクトへの処理を実行する(ステップS3a)。
図5はアクセス制御装置の第1の処理フローである。
次に、図4、図5を用いてアクセス制御装置の第1の処理フローについて説明する。
まず、操作ユーザである利用者AのアプリケーションAの操作における一連の処理Aの動作において、アクセス制御部13は、当該アプリケーションAのプログラムによってアクセス対象オブジェクトへの処理を実行するコマンドを受付ける(ステップS1a)。またアクセス制御部13は、このコマンドを受付ける際に、このコマンドを指示した利用者Aの識別情報であるUID(またはGID)を受付ける。アクセス制御部13は利用者Aからの処理Aにおける指示としての最初のコマンドを受付けるとそのコマンドを処理Aにおけるフェーズ1において指示されるコマンドであることを判断し、処理Aの種類と、フェーズの種類「フェーズ1」の情報と、利用者AのUIDと、コマンドに基づいて処理されるアクセス対象オブジェクトとに対応付けられてアクセス権限記憶部11のアクセス権限テーブルに記録されているアクセス権限(1)を読み込む(ステップS2a)。ここで、アクセス権限が実行可能(execute)であれば、アクセス制御部13は受付けたコマンドで示されるアクセス対象オブジェクトへの処理を実行する(ステップS3a)。
またアクセス制御部3は処理Aのフェーズ1において、アプリケーションAのプログラムが利用者AのUIDで指示するコマンドを検知する。そして、その検知したコマンドの情報と処理Aの情報と利用者AのUIDの情報をフェーズ判定部14に通知する。フェーズ判定部14は、アクセス制御部13から通知されたコマンドの情報「コマンドa」と処理Aの情報と利用者AのUIDの情報の組み合わせが判定条件記憶部12の判定条件テーブルに記録されているか否かを判定し、記録されている場合には、「遷移先のフェーズ」の情報「フェーズ2」を読み取る(ステップS4a)。そしてフェーズ判定部14は読み取った「遷移先のフェーズ」の情報をアクセス制御部13に通知する(ステップS5a)。これにより、アクセス制御部13は、その後アプリケーションAのプログラムから指示されたコマンドを実行するか否かの判定において、処理A、「遷移先のフェーズ」の情報である「フェーズ2」の情報、利用者AのUID、コマンドに基づいて処理されるアクセス対象オブジェクトと、に対応付けられてアクセス権限情報記憶部11のアクセス権限テーブルに記録されているアクセス権限(2)を読み取って(ステップS6a)、当該読み取ったアクセス権限に基づいて、フェーズ2においてアプリケーションAのプログラムにより指示されるコマンドが示すアクセス対象オブジェクトへの処理を実行できるか否かの判定を行なう。そして、アクセス対象オブジェクトへの処理が実行できると判定した場合には、アクセス制御部13は受付けたコマンドで示されるアクセス対象オブジェクトへの処理を実行する(ステップS7a)。
またアクセス制御部3は処理Aのフェーズ2において、アプリケーションAのプログラムが利用者AのUIDで指示するコマンドを検知する。そして、その検知したコマンドの情報と処理Aの情報と利用者AのUIDの情報をフェーズ判定部14に通知する。フェーズ判定部14は、アクセス制御部13から通知されたコマンドの情報「コマンドb」と処理Aの情報と利用者AのUIDの情報の組み合わせが判定条件記憶部12の判定条件テーブルに記録されているか否かを判定し、記録されている場合には、「遷移先のフェーズ」の情報「フェーズ3」を読み取る(ステップS8a)。そしてフェーズ判定部14は読み取った「遷移先のフェーズ」の情報をアクセス制御部13に通知する(ステップS9a)。これにより、アクセス制御部13は、その後アプリケーションAのプログラムから指示されたコマンドを実行するか否かの判定において、処理A、「遷移先のフェーズ」の情報である「フェーズ3」の情報、利用者AのUID、コマンドに基づいて処理されるアクセス対象オブジェクト、に対応付けられてアクセス権限情報記憶部11のアクセス権限テーブルに記録されているアクセス権限(3)を読み取って(ステップS10a)、当該読み取ったアクセス権限に基づいて、フェーズ3においてアプリケーションAのプログラムにより指示されるコマンドが示すアクセス対象オブジェクトへの処理を実行できるか否かの判定を行なう。そして、アクセス対象オブジェクトへの処理が実行できると判定した場合には、アクセス制御部13は受付けたコマンドで示されるアクセス対象オブジェクトへの処理を実行する(ステップS11a)。
またアクセス制御部3は処理Aのフェーズ3において、アプリケーションAのプログラムが利用者AのUIDで指示するコマンドを検知する。そして、その検知したコマンドの情報と処理Aの情報と利用者AのUIDの情報をフェーズ判定部14に通知する。フェーズ判定部14は、アクセス制御部13から通知されたコマンドの情報「コマンドc」と処理Aの情報と利用者AのUIDの情報の組み合わせが判定条件記憶部12の判定条件テーブルに記録されているか否かを判定し、記録されている場合には、「遷移先のフェーズ」の情報「フェーズ4」を読み取る(ステップS12a)。そしてフェーズ判定部14は読み取った「遷移先のフェーズ」の情報をアクセス制御部13に通知する(ステップS13a)。これにより、アクセス制御部13は、その後アプリケーションAのプログラムから指示されたコマンドを実行するか否かの判定において、処理A、「遷移先のフェーズ」の情報である「フェーズ4」の情報、利用者AのUID、コマンドに基づいて処理されるアクセス対象オブジェクト、に対応付けられてアクセス権限情報記憶部11のアクセス権限テーブルに記録されているアクセス権限(4)を読み取って(ステップS14a)、当該読み取ったアクセス権限に基づいて、フェーズ4においてアプリケーションAのプログラムにより指示されるコマンドが示すアクセス対象オブジェクトへの処理を実行できるか否かの判定を行なう。そして、アクセス対象オブジェクトへの処理が実行できると判定した場合には、アクセス制御部13は受付けたコマンドで示されるアクセス対象オブジェクトへの処理を実行する(ステップS15a)。
以上、一つのアプリケーションプログラムによる一連の処理の各フェーズにおいて、それぞれのアクセス権限を操作ユーザにサービスを行なっているアプリケーションプロセスに対して適用する例について説明したが、上述の処理で示すように、アクセス制御部13は、一連の処理Aにおけるフェーズ1〜4のそれぞれにおいて、状態判定部14で判定されたフェーズに対応するアクセス権限をアクセス権限テーブルから読み取り、そのアクセス権限に基づいて、各フェーズでアプリケーションAのプログラムが指示するコマンドの示すアクセス対象オブジェクトへの処理を実行するか否かを判定する。
本提案手法を用いない従来のアクセス制御装置/方式においては、このような不正アクセスの状況においては不正アクセスを行なったユーザには、当該アプリケーションプロセスに許可されている全ての権限を駆使した不正操作が可能となるため、より大きな被害を招いてしまう可能性がある。一方、例えばフェーズ2において、サービスを行なっているアプリケーションプロセスの脆弱性を攻撃することにより当該不正アクセスを行なったユーザが前記アプリケーションプロセスを介した不正アクセスを行なう場合であっても、そのアクセス権限はフェーズ2で許可されたものに限定されることとなり、他のフェーズでの権限は与えられないことから、より被害を抑えることが可能となる。このように本提案手法を用いることで、より高度なセキュリティを確保することができる。
本提案手法を用いない従来のアクセス制御装置/方式においては、このような不正アクセスの状況においては不正アクセスを行なったユーザには、当該アプリケーションプロセスに許可されている全ての権限を駆使した不正操作が可能となるため、より大きな被害を招いてしまう可能性がある。一方、例えばフェーズ2において、サービスを行なっているアプリケーションプロセスの脆弱性を攻撃することにより当該不正アクセスを行なったユーザが前記アプリケーションプロセスを介した不正アクセスを行なう場合であっても、そのアクセス権限はフェーズ2で許可されたものに限定されることとなり、他のフェーズでの権限は与えられないことから、より被害を抑えることが可能となる。このように本提案手法を用いることで、より高度なセキュリティを確保することができる。
図6はアクセス制御装置の処理概要を示す第2の図である。
図7はアクセス制御装置の第2の処理フローである。
次に、図6、図7を用いてアクセス制御装置の第2の処理フローについて説明する。
第2の処理フローは一連の処理が複数のアプリケーションのプログラムによって処理される場合についてのフローである。
まず、操作ユーザである利用者BのアプリケーションA、B、Cの各アプリケーションの操作における一連の処理Bの動作において、アクセス制御部13は、初めに、当該アプリケーションAの各プログラムの処理としてアクセス対象オブジェクトへの処理が実行される各コマンドを受付ける(ステップS1b)。またアクセス制御部13は、それらコマンドを受付ける際に、コマンドを指示した利用者Bの識別情報であるUID(またはGID)を受付ける。アクセス制御部13は利用者Bからの処理Bにおいて、アプリケーションAのプログラムからアクセス対象オブジェクトへの処理を実行するコマンドを受付けると、そのコマンドを処理Bにおけるフェーズ1において指示されるコマンドであることを判断し、処理Bの種類と、フェーズの種類「フェーズ1」の情報と、利用者BのUIDと、コマンドに基づいて処理されるアクセス対象オブジェクトとに対応付けられてアクセス権限記憶部11のアクセス権限テーブルに記録されているアクセス権限(5)を読み込む(ステップS2b)。ここで、アクセス権限が実行可能(execute)であれば、アクセス制御部13は受付けたコマンドで示されるアクセス対象オブジェクトへの処理を実行する(ステップS3b)。
図7はアクセス制御装置の第2の処理フローである。
次に、図6、図7を用いてアクセス制御装置の第2の処理フローについて説明する。
第2の処理フローは一連の処理が複数のアプリケーションのプログラムによって処理される場合についてのフローである。
まず、操作ユーザである利用者BのアプリケーションA、B、Cの各アプリケーションの操作における一連の処理Bの動作において、アクセス制御部13は、初めに、当該アプリケーションAの各プログラムの処理としてアクセス対象オブジェクトへの処理が実行される各コマンドを受付ける(ステップS1b)。またアクセス制御部13は、それらコマンドを受付ける際に、コマンドを指示した利用者Bの識別情報であるUID(またはGID)を受付ける。アクセス制御部13は利用者Bからの処理Bにおいて、アプリケーションAのプログラムからアクセス対象オブジェクトへの処理を実行するコマンドを受付けると、そのコマンドを処理Bにおけるフェーズ1において指示されるコマンドであることを判断し、処理Bの種類と、フェーズの種類「フェーズ1」の情報と、利用者BのUIDと、コマンドに基づいて処理されるアクセス対象オブジェクトとに対応付けられてアクセス権限記憶部11のアクセス権限テーブルに記録されているアクセス権限(5)を読み込む(ステップS2b)。ここで、アクセス権限が実行可能(execute)であれば、アクセス制御部13は受付けたコマンドで示されるアクセス対象オブジェクトへの処理を実行する(ステップS3b)。
またアクセス制御部3は処理Bのフェーズ1において、アプリケーションAのプログラムが利用者BのUIDで指示するコマンドを検知する。そして、その検知したコマンドの情報と処理Bの情報と利用者BのUIDの情報をフェーズ判定部14に通知する。フェーズ判定部14は、アクセス制御部13から通知されたコマンドの情報「コマンドe」と処理Bの情報と利用者BのUIDの情報の組み合わせが判定条件記憶部12の判定条件テーブルに記録されているか否かを判定し、記録されている場合には、「遷移先のフェーズ」の情報「フェーズ2」を読み取る(ステップS4b)。そしてフェーズ判定部14は読み取った「遷移先のフェーズ」の情報をアクセス制御部13に通知する(ステップS5b)。これにより、アクセス制御部13は、その後,アプリケーションBのプログラムから指示されたコマンドを実行するか否かの判定において、処理B、「遷移先のフェーズ」の情報である「フェーズ2」の情報、利用者BのUID、コマンドに基づいて処理されるアクセス対象オブジェクトと、に対応付けられてアクセス権限情報記憶部11のアクセス権限テーブルに記録されているアクセス権限(6)を読み取って(ステップS6b)、当該読み取ったアクセス権限に基づいて、フェーズ2においてアプリケーションBのプログラムにより指示されるコマンドが示すアクセス対象オブジェクトへの処理を実行できるか否かの判定を行なう。そして、アクセス対象オブジェクトへの処理が実行できると判定した場合には、アクセス制御部13は受付けたコマンドで示されるアクセス対象オブジェクトへの処理を実行する(ステップS7b)。
またアクセス制御部3は処理Bのフェーズ2において、アプリケーションBのプログラムが利用者BのUIDで指示するコマンドを検知する。そして、その検知したコマンドの情報と処理Bの情報と利用者BのUIDの情報をフェーズ判定部14に通知する。フェーズ判定部14は、アクセス制御部13から通知されたコマンドの情報「コマンドf」と処理Bの情報と利用者BのUIDの情報の組み合わせが判定条件記憶部12の判定条件テーブルに記録されているか否かを判定し、記録されている場合には、「遷移先のフェーズ」の情報「フェーズ3」を読み取る(ステップs8b)。そしてフェーズ判定部14は読み取った「遷移先のフェーズ」の情報をアクセス制御部13に通知する(ステップS9b)。これにより、アクセス制御部13は、その後、アプリケーションCのプログラムから指示されたコマンドを実行するか否かの判定において、処理B、「遷移先のフェーズ」の情報である「フェーズ3」の情報、利用者BのUID、コマンドに基づいて処理されるアクセス対象オブジェクト、に対応付けられてアクセス権限情報記憶部11のアクセス権限テーブルに記録されているアクセス権限(7)を読み取って(ステップS10b)、当該読み取ったアクセス権限に基づいて、フェーズ3においてアプリケーションCのプログラムにより指示されるコマンドが示すアクセス対象オブジェクトへの処理を実行できるか否かの判定を行なう。そして、アクセス対象オブジェクトへの処理が実行できると判定した場合には、アクセス制御部13は受付けたコマンドで示されるアクセス対象オブジェクトへの処理を実行する(ステップS11b)。
以上、複数のアプリケーションプログラムによる一連の処理の各フェーズにおいて、それぞれのアクセス権限を操作ユーザに適用する例について説明したが、上述の処理で示すように、アクセス制御部13は、一連の処理Bにおけるフェーズ1〜3のそれぞれにおいて、状態判定部14で判定されたフェーズに対応するアクセス権限をアクセス権限テーブルから読み取り、そのアクセス権限に基づいて、各フェーズでアプリケーションA〜Cそれぞれのプログラムが指示するコマンドの示すアクセス対象オブジェクトへの処理を実行するか否かを判定する。従って、例えばフェーズ2において、不正アクセスが行なわれることにより当該不正アクセスを行なったユーザにアクセス権限が取得されてしまっても、その次のフェーズ3におけるアクセス権限は、フェーズ2におけるアクセス権限と異なる場合があるので、ユーザの操作におけるアクセス権限の付与において、より高度なセキュリティを確保することができる。
なお上述のアクセス制御装置は内部に、コンピュータシステムを有している。そして、上述した処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1・・・アクセス制御装置
11・・・アクセス権限記憶部
12・・・判定条件記憶部
13・・・アクセス制御部
14・・・フェーズ判定部
11・・・アクセス権限記憶部
12・・・判定条件記憶部
13・・・アクセス制御部
14・・・フェーズ判定部
Claims (4)
- 自装置で記録しているアクセス対象オブジェクトに対するアクセス権限の情報を、自装置を操作する操作ユーザの全てについて変更できるアクセス制御装置であって、
複数のフェーズを有し、当該複数のフェーズそれぞれにおいて命令が実行される所定の一連の処理について、前記フェーズごとに、前記操作ユーザの情報と、前記操作ユーザからの指示として受付ける命令と、当該命令によってアクセスするアクセス対象オブジェクトと、前記複数のフェーズそれぞれのうちの何れのフェーズを遷移先とするかを示すフェーズ指定情報と、の組み合わせの情報を記憶する判定条件記憶手段と、
前記一連の処理について、前記フェーズごとに、前記アクセス対象オブジェクトに対するアクセス権限の情報と、前記操作ユーザの情報と、の組み合わせの情報を記憶するアクセス権限記憶手段と、
前記操作ユーザからの指示として受け付けた、前記一連の処理を指定する情報と、命令と、当該命令を受付けた際のフェーズと、に基づいて、前記フェーズ指定情報を、前記判定条件記憶手段から読み取るフェーズ判定手段と、
前記読み取ったフェーズ指定情報と、当該フェーズ指定情報の示す遷移先のフェーズにおいて受け付ける命令によってアクセスするアクセス対象オブジェクトと、当該命令を指示した操作ユーザの情報と、から、当該アクセス対象オブジェクトに対するアクセス権限の情報を前記アクセス権限記憶手段から読み取り、当該アクセス権限に基づいて、当該アクセス対象オブジェクトの処理を実行するか否かを判定するアクセス制御手段と、
を備えることを特徴とするアクセス制御装置。 - 前記一連の処理は、前記操作ユーザの操作に基づく1つのアプリケーションプログラムが行なう
ことを特徴とする請求項1に記載のアクセス制御装置。 - 前記一連の処理は、前記操作ユーザの操作に基づく複数のアプリケーションプログラムそれぞれが行ない、
前記フェーズは、前記複数のアプリケーションプログラムのうちいずれか一つが受け持つ処理の単位であることを特徴とする請求項1に記載のアクセス制御装置。 - 複数のフェーズを有し、当該複数のフェーズそれぞれにおいて命令が実行される所定の一連の処理について、前記フェーズごとに、操作ユーザの情報と、前記操作ユーザからの指示として受付ける命令と、当該命令によってアクセスするアクセス対象オブジェクトと、前記複数のフェーズそれぞれのうちの何れのフェーズを遷移先とするかを示すフェーズ指定情報と、の組み合わせの情報を記憶する判定条件記憶手段と、
前記一連の処理について、前記フェーズごとに、前記アクセス対象オブジェクトに対するアクセス権限の情報と、前記操作ユーザの情報と、の組み合わせの情報を記憶するアクセス権限記憶手段と、を備え、
自装置で記録しているアクセス対象オブジェクトに対するアクセス権限の情報を、自装置を操作する操作ユーザの全てについて変更できるアクセス制御装置のコンピュータに実行させるプログラムであって、
前記操作ユーザからの指示として受け付けた、前記一連の処理を指定する情報と、命令と、当該命令を受付けた際のフェーズと、に基づいて、前記フェーズ指定情報を、前記判定条件記憶手段から読み取るフェーズ判定処理と、
前記読み取ったフェーズ指定情報と、当該フェーズ指定情報の示す遷移先のフェーズにおいて受け付ける命令によってアクセスするアクセス対象オブジェクトと、当該命令を指示した操作ユーザの情報と、から、当該アクセス対象オブジェクトに対するアクセス権限の情報を前記アクセス権限記憶手段から読み取り、当該アクセス権限に基づいて、当該アクセス対象オブジェクトの処理を実行するか否かを判定するアクセス制御処理と、
をコンピュータに実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004308802A JP4498886B2 (ja) | 2004-10-22 | 2004-10-22 | アクセス制御装置およびそのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004308802A JP4498886B2 (ja) | 2004-10-22 | 2004-10-22 | アクセス制御装置およびそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006120013A JP2006120013A (ja) | 2006-05-11 |
| JP4498886B2 true JP4498886B2 (ja) | 2010-07-07 |
Family
ID=36537821
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004308802A Expired - Fee Related JP4498886B2 (ja) | 2004-10-22 | 2004-10-22 | アクセス制御装置およびそのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4498886B2 (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07319815A (ja) * | 1994-05-23 | 1995-12-08 | Shimadzu Corp | 分析装置 |
| JP2004046307A (ja) * | 2002-07-09 | 2004-02-12 | Fujitsu Ltd | データ保護プログラムおよびデータ保護方法 |
-
2004
- 2004-10-22 JP JP2004308802A patent/JP4498886B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07319815A (ja) * | 1994-05-23 | 1995-12-08 | Shimadzu Corp | 分析装置 |
| JP2004046307A (ja) * | 2002-07-09 | 2004-02-12 | Fujitsu Ltd | データ保護プログラムおよびデータ保護方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006120013A (ja) | 2006-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU658720B2 (en) | Computer system security | |
| US10268827B2 (en) | Method and system for securing data | |
| US8909940B2 (en) | Extensible pre-boot authentication | |
| JP4705489B2 (ja) | デバイスドライバプログラムを記録したコンピュータ読取可能なポータブル記録媒体、記憶装置アクセス方法および記憶装置アクセスシステム | |
| US7698744B2 (en) | Secure system for allowing the execution of authorized computer program code | |
| US8499345B2 (en) | Blocking computer system ports on per user basis | |
| US7712135B2 (en) | Pre-emptive anti-virus protection of computing systems | |
| EP1365306A2 (en) | Data protection system | |
| JPH06103058A (ja) | プログラム権限情報データ構造 | |
| CN110516428B (zh) | 一种移动存储设备的数据读写方法、装置及存储介质 | |
| JPH0388052A (ja) | 機密保護処理方式 | |
| JP2003108253A (ja) | アプリケーションの監視方法およびプログラム | |
| JP4044126B1 (ja) | 情報漏洩抑止装置、情報漏洩抑止プログラム、情報漏洩抑止記録媒体、及び情報漏洩抑止システム | |
| CN110543775B (zh) | 一种基于超融合理念的数据安全防护方法及系统 | |
| EP4006758B1 (en) | Data storage apparatus with variable computer file system | |
| JP2008243172A (ja) | アクセス権限制御システム | |
| JP4191239B2 (ja) | アクセス権限制御システム | |
| CN108345804B (zh) | 一种可信计算环境中的存储方法和装置 | |
| KR101445708B1 (ko) | 보안 시스템, 이를 위한 단말기 및 보안 방법 | |
| JP4498886B2 (ja) | アクセス制御装置およびそのプログラム | |
| CN114861160A (zh) | 提升非管理员账户权限的方法及装置、设备、存储介质 | |
| KR101349807B1 (ko) | 이동식 저장매체 보안시스템 및 그 방법 | |
| JP4388040B2 (ja) | 不正接続防止システム、不正接続防止方法、ユーザ端末、及びユーザ端末用プログラム | |
| US20080301781A1 (en) | Method, system and computer program for managing multiple role userid | |
| CN109522734B (zh) | 一种安全应用商店系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070320 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100119 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100315 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100406 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100414 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130423 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4498886 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130423 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140423 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |