JP4780010B2 - Data management system, method and program - Google Patents

Data management system, method and program Download PDF

Info

Publication number
JP4780010B2
JP4780010B2 JP2007075833A JP2007075833A JP4780010B2 JP 4780010 B2 JP4780010 B2 JP 4780010B2 JP 2007075833 A JP2007075833 A JP 2007075833A JP 2007075833 A JP2007075833 A JP 2007075833A JP 4780010 B2 JP4780010 B2 JP 4780010B2
Authority
JP
Japan
Prior art keywords
information
data
storage location
storage
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007075833A
Other languages
Japanese (ja)
Other versions
JP2008234510A (en
Inventor
英明 大塚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007075833A priority Critical patent/JP4780010B2/en
Publication of JP2008234510A publication Critical patent/JP2008234510A/en
Application granted granted Critical
Publication of JP4780010B2 publication Critical patent/JP4780010B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、データ管理システムにかかり、特に、データに対するアクセス権を管理するデータ管理システムに関する。   The present invention relates to a data management system, and more particularly to a data management system that manages access rights to data.

近年、コンピュータ普及、及び、ネットワーク技術の向上により、電子データ(ファイルデータ)を複数のユーザにて利用可能なようネットワーク上のサーバコンピュータで管理することが一般的に行われている。一方で、このようなファイル共有システムにて共有可能としているファイルデータの中には、秘密情報や個人情報など不特定のユーザに利用されることを望まない情報も存在する。このため、ファイル共有システムでは、ファイルデータ毎にアクセス権を設定し、ユーザ認証することが行われている。例えば、下記特許文献1では、ファイルデータ毎にアクセス可能なユーザのID及びアクセス内容を記憶したテーブルを保持して管理している。   In recent years, with the spread of computers and the improvement of network technology, it is common practice to manage electronic data (file data) with a server computer on a network so that it can be used by a plurality of users. On the other hand, among file data that can be shared by such a file sharing system, there is information that is not desired to be used by unspecified users, such as secret information and personal information. For this reason, in the file sharing system, an access right is set for each file data and user authentication is performed. For example, in Patent Document 1 below, a table storing user IDs and access contents accessible for each file data is held and managed.

特開2003−36207号公報JP 2003-36207 A

そして、NAS(Network Attached Storage)を利用したシステムにおいては、ユーザを認証する複数の認証サーバが存在する場合が生じるが、上述したようなアクセス権を付与する方式では、別の認証サーバでのアクセス権がつけられたファイルにアクセスすることはできない。すると、例えば、認証サーバ間のユーザおよびグループの移動や、認証サーバ内でのユーザ名・グループ名の変更といった日常的に生じるアクセス権の変更といった状況においては、ユーザ自身はアクセス権を有しているにも関わらず、アクセスすることができない、という問題が生じる。   In a system using NAS (Network Attached Storage), there may be multiple authentication servers that authenticate users. However, in the method of granting access rights as described above, access is performed by another authentication server. It is not possible to access the file to which rights have been granted. Then, for example, in situations such as moving users and groups between authentication servers or changing access rights that occur on a daily basis, such as changing user names and group names within the authentication server, the user himself has access rights. In spite of this, there is a problem that access is not possible.

そして、上記問題に対応するためには、ファイルデータに含まれるアクセス権情報を変更しなければならないが、全ての情報を書き換えるには多大な時間と手間を要する、という問題が生じる。また、上記問題を解決するに、認証サーバ間で変更前後のユーザを対応付けるといったマッピングが必要となるが、多くの場合、これは認証サーバの相互認証や認証情報の包含という形を取らなければならない。しかしながら、このような処理は容易ではなく、依然として迅速に対応できず、また、手間やコストがかかる、という問題が生じていた。   In order to cope with the above problem, the access right information included in the file data must be changed, but there is a problem that it takes a lot of time and labor to rewrite all the information. In addition, in order to solve the above problems, mapping between the authentication servers to associate the user before and after the change is necessary, but in many cases, this must take the form of mutual authentication of the authentication server and inclusion of authentication information. . However, such a process is not easy, and it still cannot be dealt with quickly, and there is a problem that it takes time and cost.

このため、本発明では、上記従来例の有する不都合を改善し、特に、迅速かつ簡易な処理にてファイルデータのアクセス権の変更を実現でき、ユーザ及び管理者の利便性の向上を図ることができるデータ管理システムを提供する、ことをその目的とする。   For this reason, the present invention improves the inconveniences of the above-described conventional example, and in particular, can change the access right of file data through quick and simple processing, thereby improving the convenience of users and administrators. The objective is to provide a data management system that can be used.

そこで、本発明の一形態は、
所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理システムであって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定するアクセス権情報設定手段と、
記憶領域指定情報にて指定される記憶領域に、アクセス権情報を記憶するアクセス権情報管理手段と、
を備えたことを特徴としている。 Therefore, one aspect of the present invention is
A data management system for managing access rights of file data stored in a predetermined storage device,
Access right information setting means for storing and setting storage area designation information in the file data for designating a storage area in which accessible person information for identifying accessible persons of file data to be managed is stored;
Access right information managing means for storing access right information in a storage area designated by the storage area designation information;
It is characterized by having.

上記発明によると、まず、ファイルデータ内には、アクセス可能者情報が記憶される記憶領域の指定情報が格納されており、その指定された記憶領域には、ファイルデータへのアクセス可能者を特定するアクセス可能者情報が記憶されている。これにより、ファイルデータに記憶された記憶領域指定情報に基づいてアクセス可能者情報を取得することができるため、ファイルデータのアクセス権を判定することができ、当該ファイルデータの利用者を適切に管理することができる。また、後にアクセス可能者が変更された場合であっても、多数存在するファイルデータ内の情報をそれぞれ変更する必要が無く、記憶領域指定情報にて指定される記憶領域内のアクセス可能者情報のみを変更すればよいため、迅速かつ容易にアクセス権の変更に対応することができ、管理の容易化を図ることができる。   According to the above invention, firstly, the file data stores the designation information of the storage area where the accessible person information is stored, and the designated storage area specifies the person who can access the file data. The accessible person information to be stored is stored. As a result, accessible person information can be acquired based on storage area designation information stored in the file data, so the access right of the file data can be determined, and the users of the file data are appropriately managed. can do. Even if the accessible person is changed later, there is no need to change the information in the file data that exists in large numbers, only the accessible person information in the storage area specified by the storage area specifying information. Therefore, the access right can be changed quickly and easily, and management can be facilitated.

また、ファイルデータに含まれる記憶領域指定情報は、所定の記憶装置内におけるデータ格納位置を特定する格納位置情報である、ことを特徴としている。これにより、アクセス可能者情報が記憶される具体的な格納位置が特定されるため、アクセス可能者情報の参照を迅速に実行でき、ファイル管理の迅速化を図ることができる。   In addition, the storage area designation information included in the file data is storage position information for specifying a data storage position in a predetermined storage device. As a result, the specific storage location where the accessible person information is stored is specified, so that the accessible person information can be referred to quickly, and the file management can be speeded up.

また、格納位置情報は、アクセス可能者ごとに固有である、ことを特徴としている。これにより、アクセス可能者毎のアクセス権の設定が可能となり、利便性が向上しうる。   The storage location information is unique to each accessible person. Thereby, it is possible to set access rights for each accessible person, and convenience can be improved.

また、アクセス可能者は、単独のアクセス可能者、あるいは、複数のアクセス可能者によるグループ、である、ことを特徴としている。これにより、アクセス可能者個人ごと、あるいは、アクセス可能者が所属する部署などの属性ごとに、アクセス権を設定することができる。   The accessible person is a single accessible person or a group of a plurality of accessible persons. Thereby, the access right can be set for each accessible person or for each attribute such as a department to which the accessible person belongs.

また、上記構成に加え、予め設定された前記アクセス可能者に固有の識別情報から、前記格納位置情報を生成する位置情報生成手段を備えた、ことを特徴としている。これにより、まず、アクセスしてきたアクセス者に固有の識別情報から格納位置情報を生成する。そして、この生成された格納位置情報を、上述したようにファイルデータに記憶設定し、その格納位置にアクセス可能者情報を格納することで、上述同様に、アクセス権の管理を行うことができる。   Further, in addition to the above-described configuration, it is characterized in that a position information generation unit that generates the storage position information from preset identification information unique to the accessible person is provided. As a result, storage location information is first generated from identification information unique to the accessing user. Then, by storing and setting the generated storage location information in the file data as described above and storing accessible person information in the storage location, access rights can be managed in the same manner as described above.

さらに、データ管理システムは、ファイルデータに対するアクセス可能者の変更時に、変更前のアクセス可能者に対応する格納位置情報にて指定されるデータ格納位置に、変更後のアクセス可能者を特定するアクセス可能者情報を記憶するアクセス権変更手段を備えた、ことを特徴としている。また、アクセス権変更手段は、変更後のアクセス可能者情報が変更前に格納されていたデータ格納位置に、変更後のアクセス可能者情報が記憶されたデータ格納領域の格納位置情報を記憶する、ことを特徴としている。   Furthermore, the data management system can access the data storage location specified by the storage location information corresponding to the accessible person before the change when the accessible person to the file data is changed by specifying the accessible person after the change. It is characterized by comprising access right changing means for storing person information. Further, the access right changing means stores the storage position information of the data storage area in which the accessible person information after the change is stored in the data storage position where the changed accessible person information is stored before the change. It is characterized by that.

これにより、後にアクセス可能者が変更された場合であっても、各ファイルデータ内の情報を変更する必要が無く、格納位置情報にて指定されるデータ格納位置のアクセス権情報のみを変更することで、ファイルデータ内の格納位置情報を参照してアクセス権を参照することができる。従って、アクセス権の変更を迅速かつ容易に実行することができる。   As a result, even if the accessible person is changed later, it is not necessary to change the information in each file data, and only the access right information of the data storage location specified by the storage location information is changed. Thus, the access right can be referred to by referring to the storage location information in the file data. Therefore, the access right can be changed quickly and easily.

また、ファイルデータに記憶された格納位置情報を、アクセス権変更手段による変更後のアクセス可能者情報が変更前に格納されていたデータ格納位置を表す格納位置情報に変更すると共に、この格納位置情報にて指定されるデータ格納位置にアクセス権変更手段による変更後のアクセス可能者情報を記憶するアクセス権整理手段を備えた、ことを特徴としている。   Further, the storage location information stored in the file data is changed to storage location information indicating the data storage location where the accessible person information after the change by the access right changing means is stored, and the storage location information The access right organizing means for storing the accessible person information after the change by the access right changing means is provided at the data storage location designated by the above.

これにより、ファイルデータ内の格納位置情報が変更後のアクセス可能者に対応して変更され、また、これに併せて、格納位置情報に対応するデータ格納位置にアクセス可能者のアクセス可能者情報が記憶される。従って、アクセス可能者情報が記憶されている記憶領域を整理することができ、アクセス権管理の効率化を図ることができる。   Thereby, the storage position information in the file data is changed corresponding to the accessible person after the change, and in addition to this, the accessible person information of the accessible person is stored in the data storage position corresponding to the storage position information. Remembered. Therefore, the storage area in which accessible person information is stored can be organized, and the access right management can be made more efficient.

また、本発明のデータ管理システムは、所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求されたファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されているアクセス可能者情報と、に基づいてアクセス権を判定するアクセス権判定手段を備えた、ことを特徴としている。   The data management system of the present invention is stored in the storage area specified by the accessor information acquired in response to an access request from a predetermined accessor and the storage area specification information in the file data requested to be accessed. And access right determination means for determining the access right based on the accessible person information.

そして、本発明の他の形態は、
所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理システムであって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス権情報が記憶された記憶領域を指定する記憶領域指定情報が当該ファイルデータ内に記憶されている場合に、
所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求されたファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されているアクセス可能者情報と、に基づいてアクセス権を判定するアクセス権判定手段を備えた、
ことを特徴としている。 And the other form of this invention is:
A data management system for managing access rights of file data stored in a predetermined storage device,
When storage area designation information for designating a storage area in which access right information for specifying an accessible person of file data to be managed is stored is stored in the file data,
Based on accessor information acquired in response to an access request from a predetermined accessor and accessible person information stored in a storage area specified by storage area specification information in the requested file data Provided with an access right judging means for judging the access right
It is characterized by that.

さらに、本発明の他の形態は、
コンピュータにて、所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理方法であって、
コンピュータが、管理対象となるファイルデータのアクセス可能者を特定するアクセス権情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定すると共に、これに前後して、記憶領域指定情報にて指定される記憶領域にアクセス可能者情報を記憶する、
ことを特徴としている。 Furthermore, another aspect of the present invention is:
A data management method for managing access rights of file data stored in a predetermined storage device in a computer,
Storage area designation information for designating a storage area in which access right information for identifying a person who can access file data to be managed is stored is set in the file data, and before and after this, Store accessible person information in the storage area specified by the storage area specification information.
It is characterized by that.

そして、コンピュータが、ファイルデータに対するアクセス可能者の変更時に、変更前のアクセス可能者に対応する格納位置情報にて指定されるデータ格納位置に、変更後のアクセス可能者を特定するアクセス可能者情報を記憶する、ことを特徴としている。   Then, when the accessible person for the file data is changed, the accessible information for specifying the accessible person after the change in the data storage position specified by the storage position information corresponding to the accessible person before the change. It is characterized by memorizing.

また、本発明のさらに他の形態は、
コンピュータにて、所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理方法であって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶された記憶領域を指定する記憶領域指定情報が当該ファイルデータ内に記憶されている場合に、
コンピュータが、所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求されたファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されているアクセス可能者情報と、に基づいてアクセス権を判定する、
ことを特徴としている。 Still another aspect of the present invention provides
A data management method for managing access rights of file data stored in a predetermined storage device in a computer,
When storage area designation information for designating a storage area in which accessible person information for identifying accessible persons of file data to be managed is stored is stored in the file data,
Accessor information acquired by a computer in response to an access request from a predetermined accessor, accessible person information stored in a storage area designated by storage area designation information in the requested file data, and To determine access rights based on
It is characterized by that.

また、本発明の他の形態であるプログラムは、
所定の記憶装置に記憶されたファイルデータのアクセス権を管理するコンピュータに、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定するアクセス権情報設定手段と、
記憶領域指定情報にて指定される記憶領域に、アクセス可能者情報を記憶するアクセス権情報管理手段と、
を実現させる、ことを特徴としている。 Moreover, the program which is the other form of this invention is:
To a computer that manages the access right of file data stored in a predetermined storage device,
Access right information setting means for storing and setting storage area designation information in the file data for designating a storage area in which accessible person information for identifying accessible persons of file data to be managed is stored;
Access right information management means for storing accessible person information in a storage area designated by the storage area designation information;
It is characterized by realizing.

さらに、本発明であるプログラムの他の形態は、
所定の記憶装置に記憶されたファイルデータのアクセス権を管理するコンピュータに、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶された記憶領域を指定する記憶領域指定情報が当該ファイルデータ内に記憶されており、
所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求されたファイルデータ内の記憶領域指定情報にて指定された記憶領域に記憶されている前記アクセス可能者情報と、に基づいてアクセス権を判定するアクセス権判定手段、
を実現させる、ことを特徴としている。 Furthermore, another form of the program according to the present invention is as follows:
To a computer that manages the access right of file data stored in a predetermined storage device,
Storage area designation information for designating a storage area in which accessible person information for identifying an accessible person of file data to be managed is stored is stored in the file data,
Accessor information acquired in response to an access request from a predetermined accessor, and the accessible person information stored in the storage area specified by the storage area specification information in the requested file data. Access right judging means for judging the access right based on;
It is characterized by realizing.

上述した構成や方法、プログラムの発明であっても、上記データ管理システムと同様に作用するため、上述した本発明の目的を達成することができる。   Even if it is invention of the structure, method, and program mentioned above, since it acts similarly to the said data management system, the objective of this invention mentioned above can be achieved.

本発明は、以上のように構成され機能するので、これによると、ファイルデータの利用者を適切に管理することができると共に、後にアクセス可能者が変更された場合であっても、多数存在するファイルデータ内のアクセス権情報をそれぞれ変更する必要が無く、記憶領域指定情報にて指定される記憶領域内のアクセス可能者情報のみを変更すればよいため、迅速かつ容易にアクセス権の変更に対応することができ、管理の容易化を図ることができる。従って、ファイルデータを管理するシステムにおいて、データを利用するユーザ及びシステムを管理する管理者の利便性の向上を図ることができる、という従来にない優れた効果を有する。   Since the present invention is configured and functions as described above, according to this, it is possible to appropriately manage the users of the file data, and there are many even if the accessible person is changed later. It is not necessary to change the access right information in the file data, and only the accessible person information in the storage area specified by the storage area specification information needs to be changed, so it is possible to change the access right quickly and easily. Management can be facilitated. Therefore, the system for managing file data has an unprecedented excellent effect that the convenience of the user who uses the data and the administrator who manages the system can be improved.

本発明は、NAS(Network Attached Storage)に格納されたデータに付与されたアクセス権情報の中に、アクセス権を有するユーザやグループなどの識別子(NASが接続されているネットワークで一意な値)を記録せず、識別子はNAS上で集中管理した管理テーブルに分離して格納し、データ毎に付与されたアクセス権情報には、管理テーブル上の格納位置のみを記録する、という点に特徴を有する。以下、具体的なシステム構成及び動作を、実施例にて説明する。   In the present invention, an identifier (a unique value in the network to which the NAS is connected) such as a user or a group having the access right is included in the access right information given to the data stored in the NAS (Network Attached Storage). Not recorded, identifiers are stored separately in a management table centrally managed on the NAS, and only the storage location on the management table is recorded in the access right information given for each data. . Hereinafter, a specific system configuration and operation will be described in an embodiment.

本発明の第1の実施例を、図1乃至図10を参照して説明する。図1は、システム全体の構成を示す概略図であり、図2は、NASの構成を示す機能ブロック図である。図3乃至図8は、データ管理の様子を示す説明図である。図9乃至図10は、システムの動作を示すフローチャートである。   A first embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a schematic diagram showing the configuration of the entire system, and FIG. 2 is a functional block diagram showing the configuration of NAS. 3 to 8 are explanatory diagrams showing the state of data management. 9 to 10 are flowcharts showing the operation of the system.

[構成]
図1に示すように、本実施例におけるシステムは、ネットワークを介して接続されている認証サーバA,B,Cと、NAS装置1と、NASに格納されているファイルデータにアクセスするユーザ端末2と、を備えて構成されている。そして、NAS装置1(Network Attached Storage)に後述するようなアクセス権が設定されたファイルデータ郡が格納されており、これらファイルデータに対してユーザ端末2がアクセスすることを実現するようシステムが構築されている。 [Constitution]
As shown in FIG. 1, the system in the present embodiment includes authentication servers A, B, and C connected via a network, a NAS device 1, and a user terminal 2 that accesses file data stored in the NAS. And is configured. The NAS device 1 (Network Attached Storage) stores file data groups to which access rights as described later are set, and a system is constructed so that the user terminal 2 can access these file data. Has been.

また、ファイルデータにアクセスを希望するユーザ端末2のログイン認証は、NAS装置1のユーザは当該NAS装置1に装備されている認証機能(ローカル認証機能)を利用して実行され、他の認証サーバA、B,Cのユーザは当該各認証サーバA,B,Cを利用して実行される。ここでは、図1に示すように、各認証サーバA,B,C及びNAS1には、それぞれログイン可能なユーザ名及びグループ名が登録されており、このユーザ名及びグループ名に対する固有の識別情報であるユーザ識別子及びグループ識別子を含むログイン情報が登録されている。例えば、認証サーバAには、ユーザ名:USER1に対応するユーザ識別子:A−U1が登録されており、グループ名:GROUP1に対応するグループ識別子:A−G1が、グループ名:GROUP2に対応するグループ識別子:A−G2がそれぞれ登録されている。なお、各識別子は、NAS1が接続されたネットワーク上では固有である。   In addition, login authentication of the user terminal 2 that desires access to file data is performed by the user of the NAS device 1 using an authentication function (local authentication function) provided in the NAS device 1, and other authentication servers. The users A, B, and C are executed using the authentication servers A, B, and C. Here, as shown in FIG. 1, each authentication server A, B, C, and NAS 1 is registered with a user name and a group name that can be logged in, respectively, and with unique identification information for the user name and group name. Login information including a certain user identifier and group identifier is registered. For example, in the authentication server A, the user identifier: A-U1 corresponding to the user name: USER1 is registered, and the group identifier: A-G1 corresponding to the group name: GROUP1 is registered in the group corresponding to the group name: GROUP2. Identifiers: A-G2 are registered respectively. Each identifier is unique on the network to which the NAS 1 is connected.

次に、NAS装置1について詳述する。NAS装置1は、ネットワークに直接接続して使用されるストレージ装置であり、図2に示すように、CPUといった演算装置1Aと、ハードディスクドライブといった記憶装置1Bと、を備えている。そして、記憶装置1B内には、上述したユーザ端末2にて利用されうるファイルデータを格納するファイルデータ記憶部16が形成されており、ファイルサーバとして機能している。以下、さらにNAS装置1の構成について詳述する。   Next, the NAS device 1 will be described in detail. The NAS device 1 is a storage device that is used by being directly connected to a network, and includes an arithmetic device 1A such as a CPU and a storage device 1B such as a hard disk drive, as shown in FIG. In the storage device 1B, a file data storage unit 16 that stores file data that can be used by the user terminal 2 described above is formed, and functions as a file server. Hereinafter, the configuration of the NAS device 1 will be described in detail.

NAS装置1の演算装置1Aには、データ管理用プログラムが組み込まれることによって、図2に示すように、認証処理部11と、ファイル処理部12と、アクセス権設定処理部13と、テーブル管理処理部14と、が構築されている。また、記憶装置1Bには、上述したファイル記憶部16と、管理テーブル記憶部17と、ログイン情報記憶部15と、が形成されている。   As shown in FIG. 2, an authentication processing unit 11, a file processing unit 12, an access right setting processing unit 13, and a table management process are installed in the arithmetic device 1A of the NAS device 1 by incorporating a data management program. Part 14 is constructed. In addition, the above-described file storage unit 16, management table storage unit 17, and login information storage unit 15 are formed in the storage device 1B.

上記ログイン情報記憶部15には、図1に示したように、NAS装置1にログイン可能なユーザ及びグループの情報(ユーザ名:ユーザ識別子、及び、グループ名:グループ識別子)、つまり、ログイン情報が記憶されている。そして、このログイン情報を利用してユーザ認証処理を上述した認証処理部11が行う。この認証処理部11は、具体的には、ユーザ端末2からのアクセス時にユーザ名やそのユーザが所属しているグループ名を受け付けて、ログイン情報に基づいて認証を行い、認証が成功したユーザ端末2のユーザ名やグループ名に対応するユーザ識別子やグループ識別子を特定して、ファイル処理部12に渡す。さらに、この認証処理部11は、他の認証サーバA,B,Cにて認証が成功し、当該各認証サーバA,B,Cから送信されたユーザ識別子やグループ識別子をファイル処理部12に渡す機能も有する。なお、他の認証サーバA,B,Cは、それぞれ上述したようなログイン情報を記憶しており、ログインしてきたユーザ端末2の認証を行って、認証が成功したユーザのユーザ識別子やグループ識別子をNAS装置1に送信するよう作動する。   As shown in FIG. 1, the login information storage unit 15 stores user and group information (user name: user identifier and group name: group identifier) that can log in to the NAS device 1, that is, login information. It is remembered. And the authentication process part 11 mentioned above performs a user authentication process using this login information. Specifically, the authentication processing unit 11 accepts a user name and a group name to which the user belongs when accessing from the user terminal 2, performs authentication based on login information, and successfully authenticates the user terminal The user identifier and group identifier corresponding to the user name and group name of 2 are specified and passed to the file processing unit 12. Further, the authentication processing unit 11 succeeds in the authentication with the other authentication servers A, B, and C, and passes the user identifier and group identifier transmitted from each of the authentication servers A, B, and C to the file processing unit 12. It also has a function. The other authentication servers A, B, and C each store the login information as described above, authenticate the user terminal 2 that has logged in, and obtain the user identifier and group identifier of the user who has been successfully authenticated. It operates to transmit to the NAS device 1.

また、上記ファイル処理部12は、ファイル記憶部16に対するファイルデータの読み出し及び書込みを行う機能を有する。このとき、後述するように、ログインしてきたユーザ端末2(他の認証サーバA,B,C経由でログインしてきたユーザ端末を含む)からのファイルデータのアクセス要求やデータ登録要求を受け付けて、ファイルデータの書き込み、あるいは、読み出しを行う。具体的に、例えば、図3に示すようなユーザのログイン情報を取得した場合には、図4に示すように、そのユーザ識別子やグループ識別子(図4(1))から、各識別子のハッシュ値を算出し(図4(2))、これら識別子の格納位置情報(図4(3))を求める(位置情報生成手段)。ここで、ハッシュ計算により求めた格納位置情報は、各識別子が固有の情報であるため、格納位置情報もユーザ毎あるいはグループ毎に固有の情報となる。そして、算出した格納位置情報は、例えば、図4に示すように、管理テーブル記憶部17内の管理テーブルにおけるファイル名(図4(4))とオフセット(図4(5))に分けられ、ファイルデータにアクセスする際や、アクセス権を新たに登録する際に利用される。なお、ファイルデータのアクセス権を登録する処理は、アクセス権設定処理部13及びテーブル管理処理部14にて実行される。   The file processing unit 12 has a function of reading and writing file data to and from the file storage unit 16. At this time, as will be described later, a file data access request or data registration request from a user terminal 2 that has logged in (including user terminals that have logged in via other authentication servers A, B, and C) is accepted, Write or read data. Specifically, for example, when the login information of the user as shown in FIG. 3 is acquired, as shown in FIG. 4, the hash value of each identifier is obtained from the user identifier or group identifier (FIG. 4 (1)). Is calculated (FIG. 4 (2)), and the storage position information (FIG. 4 (3)) of these identifiers is obtained (position information generating means). Here, since the storage location information obtained by the hash calculation is unique information for each identifier, the storage location information is also unique for each user or each group. The calculated storage location information is divided into a file name (FIG. 4 (4)) and an offset (FIG. 4 (5)) in the management table in the management table storage unit 17, for example, as shown in FIG. This is used when accessing file data or when registering access rights. The process of registering the access right of the file data is executed by the access right setting processing unit 13 and the table management processing unit 14.

上記アクセス権設定処理部13(アクセス権情報設定手段)は、上記算出した格納位置情報を、ファイルデータ4のアクセス権情報41内に格納する。ここで、ファイル記憶部16に記憶されているファイルデータ4は、図6に示すように、アクセス権情報41と実データ42とにより構成されている。ここで、従来例では、図7に示すように、ファイルデータ4’のアクセス可能者を表すユーザ/グループ識別子をそのままアクセス権情報41’内に記憶しているが、本実施例では、後述する図6に示すように、ユーザ/グループ識別子が格納される管理テーブルのデータ格納位置を指定する格納位置情報のみを登録する。このとき、ファイルデータ4のアクセス権情報41には、上述した格納位置情報毎に、アクセス権限(参照可能、更新可能など)を表す情報も対応付けて記憶されている。   The access right setting processing unit 13 (access right information setting means) stores the calculated storage location information in the access right information 41 of the file data 4. Here, the file data 4 stored in the file storage unit 16 includes access right information 41 and actual data 42 as shown in FIG. Here, in the conventional example, as shown in FIG. 7, the user / group identifier representing the accessible person of the file data 4 ′ is stored in the access right information 41 ′ as it is, but in this embodiment, it will be described later. As shown in FIG. 6, only the storage location information that specifies the data storage location of the management table in which the user / group identifier is stored is registered. At this time, the access right information 41 of the file data 4 also stores information indicating the access right (referenceable, updatable, etc.) in association with each of the storage position information described above.

そして、テーブル管理処理部14(アクセス権情報管理手段)は、上記格納位置情報にて指定されるデータ格納位置、つまり、管理テーブル記憶部17内に記憶されている管理テーブル内のデータ格納位置に、そのユーザ/グループ識別子(アクセス可能者情報)を格納する。例えば、上記図4(3)に示すように算出された格納位置情報「0x74af087e」の場合には、この情報を利用して、管理テーブル3内のファイル「74」、オフセット「0xaf087e」のデータ格納位置に、識別子「A−G1」を格納する。なお、管理テーブル3に対する識別子の登録は、新規のユーザ端末2からのアクセスがあったときにも実行される。   Then, the table management processing unit 14 (access right information management means) sets the data storage location specified by the storage location information, that is, the data storage location in the management table stored in the management table storage unit 17. The user / group identifier (accessible person information) is stored. For example, in the case of the storage location information “0x74af087e” calculated as shown in FIG. 4 (3), data storage of the file “74” and the offset “0xaf087e” in the management table 3 is performed using this information. The identifier “A-G1” is stored in the position. The registration of the identifier to the management table 3 is also executed when there is an access from a new user terminal 2.

以上のようにして、図6に示すように、ファイルデータ4のアクセス権情報41内には、管理テーブル3のデータ格納位置を示す格納位置情報が記憶され、この格納位置情報に対応する管理テーブル3内のデータ格納位置には、図5に示すように、そのファイルデータ4にアクセス可能なユーザ/グループの識別子が記憶される。従って、図8の点線に示すように、各ファイルデータ4のアクセス権情報41内に記憶される格納位置情報に、管理テーブル3の所定のデータ格納位置が対応することとなり、かかるデータ格納位置の識別子を参照することで、アクセス可能なユーザ/グループを判定することができる。   As described above, as shown in FIG. 6, the storage right information 41 indicating the data storage position of the management table 3 is stored in the access right information 41 of the file data 4, and the management table corresponding to this storage position information is stored. 3, an identifier of a user / group that can access the file data 4 is stored as shown in FIG. Therefore, as shown by the dotted line in FIG. 8, the predetermined data storage position in the management table 3 corresponds to the storage position information stored in the access right information 41 of each file data 4, and the data storage position An accessible user / group can be determined by referring to the identifier.

そして、上述のようにアクセス権情報が登録されたファイルデータ4に対するファイルアクセスは、ファイル処理部12(アクセス権判定処理部)にて実行される。つまり、ファイル処理部12は、アクセスしてきたユーザのログイン情報(アクセス者情報)を取得して上述したように、その識別子からハッシュ計算により格納位置情報を算出する。そして、この格納位置情報に基づいて、アクセスを要求しているファイルデータ4のアクセス権情報41内の格納位置情報を調べ、そのデータ格納位置に記憶されている識別子とログインしたユーザの識別子とを比較する。一致していれば、アクセス権情報41内に記憶されているアクセス権限に基づいてアクセス権限を決定する。   The file access to the file data 4 in which the access right information is registered as described above is executed by the file processing unit 12 (access right determination processing unit). That is, the file processing unit 12 acquires login information (accessor information) of the accessing user and calculates storage location information from the identifier by hash calculation as described above. Based on the storage location information, the storage location information in the access right information 41 of the file data 4 requesting access is checked, and the identifier stored in the data storage location and the identifier of the logged-in user are obtained. Compare. If they match, the access authority is determined based on the access authority stored in the access authority information 41.

[動作]
次に、上記構成のNAS装置1にて、ファイルデータのアクセス権を設定するとき、及び、ファイルデータにアクセスするときの動作を、図9乃至図10を参照して説明する。 [Operation]
Next, operations for setting file data access rights and accessing file data in the NAS apparatus 1 having the above configuration will be described with reference to FIGS.

まず、ユーザ端末2からのアクセス時にユーザ名やそのユーザが所属しているグループ名を受け付けて、記憶しているログイン情報に基づいて認証を行い、認証が成功したユーザ端末2のユーザ名やグループ名に対応するユーザ識別子やグループ識別子を取得する(ステップS1)。なお、他の認証サーバA,B,Cにてログイン認証が成功したユーザ端末2に対しても同様に、識別子を取得する。ここでは、認証サーバAのグループ1の識別子「A−G1」を取得したこととする。続いて、この取得した識別子「A−G1」から、図4に示すようにハッシュ値を算出し、これら識別子の格納位置情報を求める(ステップS2)。   First, when accessing from the user terminal 2, the user name and the group name to which the user belongs are accepted, authentication is performed based on the stored login information, and the user name and group of the user terminal 2 that has been successfully authenticated. A user identifier and a group identifier corresponding to the name are acquired (step S1). Similarly, an identifier is acquired for the user terminal 2 that has been successfully authenticated by other authentication servers A, B, and C. Here, it is assumed that the identifier “A-G1” of the group 1 of the authentication server A is acquired. Subsequently, a hash value is calculated from the acquired identifier “A-G1” as shown in FIG. 4, and storage location information of these identifiers is obtained (step S2).

その後、ファイルデータ4に対するアクセス権の設定の場合には(ステップS3にてイエス)、図6に示すように、ファイルデータ4のアクセス権情報41内に上述したように求めた識別子「A−G1」の格納位置情報を、そのグループユーザのアクセス権限情報と共に記憶する(ステップS4)。同時に、上記格納位置情報にて指定される管理テーブル3内のデータ格納位置に、識別子「A−G1」を記憶する(ステップS5)。   Thereafter, in the case of setting the access right for the file data 4 (Yes in step S3), as shown in FIG. 6, the identifier “A-G1” obtained as described above in the access right information 41 of the file data 4 Is stored together with the access authority information of the group user (step S4). At the same time, the identifier “A-G1” is stored in the data storage position in the management table 3 specified by the storage position information (step S5).

一方、アクセスしてきたユーザ端末2が、ファイルデータにアクセスする場合を(ステップS3でノー、ステップS6でイエス)、図10のフローチャートを参照して説明する。まず、上述したように、アクセスしてきたユーザのログイン情報である識別子を取得して(ステップS1)、その識別子からハッシュ計算により格納位置情報を算出する(ステップS2)。そして、この格納位置情報に基づいて、アクセスを要求しているファイルデータ4のアクセス権情報41内の格納位置情報を調べ(ステップS7)、当該格納位置情報のデータ格納位置に記憶されている識別子と、ログインしたユーザの識別子とを比較する(ステップS8)。一致していれば(ステップS8でイエス)、アクセス権情報41内に記憶されているアクセス権限に基づいてアクセス権限を決定し(ステップS9)、そのアクセス権限の範囲内でアクセスを許可する(ステップS10)。一方、識別子が一致しなければ、ファイルデータへのアクセスは不可とする(ステップS11)。   On the other hand, the case where the accessing user terminal 2 accesses the file data (No in step S3, Yes in step S6) will be described with reference to the flowchart of FIG. First, as described above, an identifier that is login information of the accessing user is acquired (step S1), and storage location information is calculated from the identifier by hash calculation (step S2). Then, based on the storage location information, the storage location information in the access right information 41 of the file data 4 requesting access is checked (step S7), and the identifier stored in the data storage location of the storage location information. And the identifier of the logged-in user are compared (step S8). If they match (Yes in Step S8), the access authority is determined based on the access authority stored in the access authority information 41 (Step S9), and the access is permitted within the range of the access authority (Step S9). S10). On the other hand, if the identifiers do not match, access to the file data is disabled (step S11).

ここで、ユーザ端末2からのファイルアクセス時のアクセス権の判定は、上述した処理に限定されない。例えば、ログイン時にアクセスが要求されたファイルデータのアクセス権情報内の格納位置情報を参照して、そのデータ格納位置に記憶されている識別子と、ログイン時に取得した識別子と、を照合することで判定してもよい。あるいは、ログイン時に取得した識別子のハッシュ計算によって求められた格納位置情報が、アクセス要求するファイルデータのアクセス権情報内に存在することを調べるだけで、アクセス権を判定してもよい。   Here, the determination of the access right at the time of file access from the user terminal 2 is not limited to the above-described processing. For example, by referring to the storage location information in the access right information of the file data requested to be accessed at the time of login, the identifier stored at the data storage location is compared with the identifier acquired at the time of login. May be. Alternatively, the access right may be determined only by checking that the storage location information obtained by hash calculation of the identifier obtained at the time of login exists in the access right information of the file data requested to be accessed.

ここで、上記では、ファイルデータ4のアクセス権情報に記憶される識別子の格納位置情報は、より具体的な格納位置を示すよう例示しているが、さらに広く、識別子が格納される記憶装置や記憶領域(ドライブ名、ファイル名など)を指定する情報(記憶領域指定情報)であってもよい。   Here, in the above, the storage location information of the identifier stored in the access right information of the file data 4 is illustrated to indicate a more specific storage location, but the storage device in which the identifier is stored, Information (storage area designation information) for designating a storage area (drive name, file name, etc.) may be used.

次に、本発明の第2の実施例を、図11乃至図17を参照して説明する。図11乃至図13は、ファイルデータのアクセス権を変更する場合を説明する図であり、図14乃至図15は、管理テーブルを整理する場合を説明する図である。また、図16乃至図17は、種々のアクセス権の変更例を示す図である。   Next, a second embodiment of the present invention will be described with reference to FIGS. 11 to 13 are diagrams for explaining the case of changing the access right of the file data, and FIGS. 14 to 15 are diagrams for explaining the case of organizing the management table. FIGS. 16 to 17 are diagrams showing examples of changing various access rights.

まず、図11に示すように、認証サーバAのユーザ及びグループを、認証サーバCに移動する場合を説明する。つまり、同一のユーザ及びグループが、管理上、認証サーバAによって行われた認証処理を、認証サーバCで行うよう変更した場合を示している。具体的に、例えば、認証サーバAのGROUP1:識別子A−G1を、認証サーバCのGROUP1:識別子C−G1に変更する場合を説明する。なお、変更処理は、上述したNAS装置1内に構築されたテーブル管理処理部14(アクセス権変更手段)が以下のように作動することによって実現される。   First, as shown in FIG. 11, the case where the user and group of the authentication server A are moved to the authentication server C will be described. That is, the case where the same user and group are changed so that the authentication process performed by the authentication server A is performed by the authentication server C is shown. Specifically, for example, a case where the GROUP1: identifier A-G1 of the authentication server A is changed to the GROUP1: identifier C-G1 of the authentication server C will be described. The change process is realized by the table management processing unit 14 (access right changing means) built in the NAS device 1 described above operating as follows.

まず、上述したように、ファイルデータ4のアクセス権情報41には、変更前のアクセス可能者であるグループの識別子A−G1の格納位置情報が記憶されていると共に、この格納位置情報が指定する管理テーブル3内のデータ格納位置(符号31)には、図12(a)に示すように、識別子A−G1が記憶されている。   First, as described above, the access right information 41 of the file data 4 stores the storage location information of the identifier A-G1 of the group who is the accessible person before the change, and this storage location information designates it. As shown in FIG. 12A, the identifier A-G1 is stored in the data storage position (reference numeral 31) in the management table 3.

そして、変更要求を受けると、変更前の識別子A−G1と変更後の識別子C−G1をハッシュ計算してそれぞれの格納位置情報を生成する(ステップS21)。続いて、変更後の識別子C−G1のデータ格納位置(符号32)に、変更前の識別子A−G1のデータ格納位置(符号31)を指定する格納位置情報を記憶する(ステップS22)。つまり、識別子C−G1が記憶されていたデータ格納位置(符号32)に、識別子A−G1(符号31)へのリンク情報が記憶される。   When a change request is received, the storage location information is generated by hash-calculating the identifier A-G1 before the change and the identifier C-G1 after the change (step S21). Subsequently, storage position information for designating the data storage position (reference numeral 31) of the identifier A-G1 before the change is stored in the data storage position (reference numeral 32) of the identifier C-G1 after the change (step S22). That is, the link information to the identifier A-G1 (reference numeral 31) is stored in the data storage position (reference numeral 32) where the identifier C-G1 was stored.

続いて、管理テーブル3内で変更前の識別子A−G1が記憶されている符号31のデータ格納位置に、変更後の識別子C−G1を記憶する(ステップS23)。これにより、新たなユーザ名やグループ名でアクセスした場合に、識別子から算出した格納位置情報を参照することで、符号32のデータ格納位置を介して符号31の格納位置情報を取得することができる。そして、ファイルデータ4のアクセス権情報41内の格納位置情報(変更前のA−G1の格納位置情報)によるデータ格納位置の識別子を比較することで、アクセス権の判定を行うことができる。   Subsequently, the identifier C-G1 after the change is stored in the data storage position of reference numeral 31 where the identifier A-G1 before the change is stored in the management table 3 (step S23). Thereby, when accessed with a new user name or group name, the storage location information of reference numeral 31 can be acquired via the data storage location of reference numeral 32 by referring to the storage location information calculated from the identifier. . Then, the access right can be determined by comparing the identifiers of the data storage positions based on the storage position information (storage position information of A-G1 before change) in the access right information 41 of the file data 4.

続いて、上述したように管理テーブル3内の変更を行った後に、当該管理テーブル3内を整理する場合を、図14乃至図15を参照して説明する。なお、この管理テーブルの整理は、例えば、ファイルシステムの再構築に実行され、上述したNAS装置1内に構築されたアクセス権設定処理部13及びテーブル管理処理部14(アクセス権整理手段)が以下のように作動することによって実現される。   Next, a case where the management table 3 is arranged after the change in the management table 3 as described above will be described with reference to FIGS. 14 to 15. The management table is organized by, for example, reconstruction of the file system, and the access right setting processing unit 13 and the table management processing unit 14 (access right organizing unit) constructed in the NAS device 1 described above are as follows. It is realized by operating like this.

まず、上述した図11乃至図13にて説明したアクセス権の変更後に、アクセス権設定処理部13にて、ファイルデータ4のアクセス権情報41内に記憶されたアクセス可能者を特定する識別子の格納位置情報を、正しいアクセス可能者の識別子の格納位置情報に修正する。つまり、図14の例では、ファイルデータ4のアクセス権情報としてA−G1の格納位置情報(符号31)が記憶されているが、これを、変更後の識別子C−G1の格納位置情報(符号32)に変更して記憶する(ステップS31)。その後、テーブル管理処理部14にて、変更後の識別子C−G1が記憶されていた元のデータ格納位置(符号32)に、当該変更後の識別子C−G1を記憶して元に戻す(ステップS32)。同時に、符号32の領域から符号31の領域へのリンクを解除する。最後に、変更前の識別子A−G1がはじめに記憶されていた領域(符号31)を再利用可能となるよう処理する(ステップS33)。   First, after the change of the access right described in FIG. 11 to FIG. 13 described above, the access right setting processing unit 13 stores an identifier for identifying an accessible person stored in the access right information 41 of the file data 4. The position information is corrected to the storage position information of the identifier of the correct accessible person. That is, in the example of FIG. 14, the storage location information (reference numeral 31) of A-G1 is stored as the access right information of the file data 4, but this is stored in the storage location information (reference sign of the identifier C-G1 after the change). 32) and stored (step S31). Thereafter, the table management processing unit 14 stores the changed identifier C-G1 in the original data storage position (reference numeral 32) where the changed identifier C-G1 was stored, and restores the original (step S1). S32). At the same time, the link from the area 32 to the area 31 is released. Finally, processing is performed so that the area (reference numeral 31) in which the identifier A-G1 before change is first stored can be reused (step S33).

なお、上記識別子の変更は、例えば、以下のような状況にも利用することができる。例えば、図16に示すように、ユーザが所属する部署名の変更に合わせ、グループ名を変更する場合が考えられる。その場合に、認証サーバAで旧部署名”GROUP1”が、新しい部署名”GROUP2”に変更になった場合に、管理テーブル内の識別子の登録を、表に示すよう変更すればよく、手間をかけることなく、データ管理の効率化を図ることができる。また、同様に、NAS上で認証されるユーザやグループを、外部認証サーバでの一括管理に変更する場合がある。この場合には、例えば、管理テーブル上のNAS(ローカル認証サーバ)のすべてのユーザおよびグループの識別子を、上述したように、認証サーバCに追加したユーザやグループの識別子に変更すればよい。   The change of the identifier can also be used in the following situations, for example. For example, as shown in FIG. 16, the group name may be changed in accordance with the change of the department name to which the user belongs. In this case, if the old department name “GROUP1” is changed to the new department name “GROUP2” on the authentication server A, the registration of identifiers in the management table can be changed as shown in the table, which saves time and effort. The efficiency of data management can be improved without spending time. Similarly, the user or group authenticated on the NAS may be changed to collective management with an external authentication server. In this case, for example, the identifiers of all users and groups of NAS (local authentication server) on the management table may be changed to the identifiers of users and groups added to the authentication server C as described above.

以上のように、本発明によると、後にアクセス可能者が変更された場合であっても、各ファイルデータ内の情報を変更する必要が無く、当該ファイルデータ内に記憶されている格納位置情報にて指定されるデータ格納位置に格納されているユーザやグループの識別子を変更すればよい。従って、迅速かつ容易にアクセス権の変更に対応することができ、管理の容易化を図ることができる。   As described above, according to the present invention, even if the accessible person is changed later, it is not necessary to change the information in each file data, and the storage location information stored in the file data is not changed. The identifier of the user or group stored at the data storage location specified in the above may be changed. Therefore, it is possible to cope with a change in access right quickly and easily, and management can be facilitated.

本発明は、NAS装置などのファイルデータのアクセス権を管理するファイル管理システムに利用することができ、産業上の利用可能性を有する。   INDUSTRIAL APPLICABILITY The present invention can be used for a file management system that manages access rights of file data such as NAS devices, and has industrial applicability.

実施例1におけるシステム全体の構成を示す概略図である。1 is a schematic diagram illustrating the configuration of the entire system in Embodiment 1. FIG. NAS装置の構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of a NAS apparatus. ユーザ端末によるログイン情報を示す図である。It is a figure which shows the login information by a user terminal. ユーザ/グループ識別子から格納位置情報を生成する処理を示す説明図である。It is explanatory drawing which shows the process which produces | stores storage location information from a user / group identifier. 管理テーブルの構成を示す図である。It is a figure which shows the structure of a management table. 本実施例におけるファイルデータ内のアクセス権情報の一例を示す図である。It is a figure which shows an example of the access right information in the file data in a present Example. 従来例におけるファイルデータ内のアクセス権情報の一例を示す図である。It is a figure which shows an example of the access right information in the file data in a prior art example. ファイルデータ内のアクセス権情報と管理テーブルとの関係を示す図である。It is a figure which shows the relationship between the access right information in file data, and a management table. NAS装置によるアクセス権設定時の動作を示すフローチャートである。It is a flowchart which shows the operation | movement at the time of the access right setting by a NAS apparatus. NAS装置によるアクセス権判定時の動作を示すフローチャートである。It is a flowchart which shows the operation | movement at the time of the access right determination by a NAS apparatus. 実施例2におけるユーザ変更例を示す図である。It is a figure which shows the user change example in Example 2. FIG. ファイルデータ及び管理テーブルに対するユーザ変更処理の様子を示す図である。It is a figure which shows the mode of the user change process with respect to file data and a management table. NAS装置によるユーザ変更時の動作を示すフローチャートである。It is a flowchart which shows the operation | movement at the time of the user change by a NAS apparatus. NAS装置による管理テーブル整理処理の様子を示す図である。It is a figure which shows the mode of the management table rearrangement process by a NAS apparatus. NAS装置による管理テーブル整理時の動作を示すフローチャートである。It is a flowchart which shows the operation | movement at the time of the management table organization by a NAS apparatus. 他のユーザ変更例を示す図である。It is a figure which shows the other user change example. 他のユーザ変更例を示す図である。It is a figure which shows the other user change example.

符号の説明Explanation of symbols

1 NAS装置
2 ユーザ端末
3 管理テーブル
4 ファイルデータ
11 認証処理部
12 ファイル処理部
13 アクセス権設定処理部
14 テーブル管理処理部
15 ログイン情報記憶部
16 ファイル記憶部
17 管理テーブル記憶部
41 アクセス権情報
A,B,C 認証サーバ
1 NAS device 2 User terminal 3 Management table 4 File data 11 Authentication processing unit 12 File processing unit 13 Access right setting processing unit 14 Table management processing unit 15 Login information storage unit 16 File storage unit 17 Management table storage unit 41 Access right information A , B, C Authentication server

Claims (12)

所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理システムであって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定するアクセス権情報設定手段と、
前記記憶領域指定情報にて指定される記憶領域に、前記アクセス可能者情報を記憶するアクセス権情報管理手段と、
を備え、
前記ファイルデータに含まれる前記記憶領域指定情報は、所定の記憶装置内におけるデータ格納位置を特定する格納位置情報であり、
前記格納位置情報は、アクセス可能者ごとに固有であり、
前記データ管理システムは、更に、
前記ファイルデータに対するアクセス可能者の変更時に、変更前のアクセス可能者に対応する前記格納位置情報にて指定されるデータ格納位置である第1のデータ格納位置に、変更後のアクセス可能者を特定するアクセス可能者情報を記憶するとともに、当該変更後のアクセス可能者に対応する前記格納位置情報にて指定されるデータ格納位置である第2のデータ格納位置に、当該第1のデータ格納位置の格納位置情報を記憶するアクセス権変更手段を備えるデータ管理システム。 A data management system for managing access rights of file data stored in a predetermined storage device,
Access right information setting means for storing and setting storage area designation information in the file data for designating a storage area in which accessible person information for identifying accessible persons of file data to be managed is stored;
Access right information management means for storing the accessible person information in a storage area designated by the storage area designation information;
With
The storage area designation information included in the file data is storage location information for specifying a data storage location in a predetermined storage device,
The storage location information is unique for each accessible person,
The data management system further includes:
When the accessible person to the file data is changed, the accessible person after the change is specified in the first data storage position that is the data storage position specified by the storage position information corresponding to the accessible person before the change. And the second data storage position, which is the data storage position specified by the storage position information corresponding to the changed accessible person, is stored in the first data storage position. A data management system comprising access right changing means for storing storage location information . 請求項1に記載のデータ管理システムであって、  The data management system according to claim 1,
所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求された前記ファイルデータに含まれる格納位置情報にて指定されるデータ格納位置に格納されている前記アクセス可能者情報と、に基づいてアクセス権を判定するアクセス権判定手段を備えるデータ管理システム。  Accessor information acquired in response to an access request from a predetermined accessor, and accessible person information stored in a data storage location specified by storage location information included in the file data requested to be accessed; A data management system comprising access right determination means for determining an access right based on. 請求項2に記載のデータ管理システムであって、  The data management system according to claim 2,
前記アクセス権判定手段は、前記ファイルデータに含まれる格納位置情報にて指定されるデータ格納位置に、格納位置情報が格納されている場合、当該格納位置情報にて指定されるデータ格納位置に格納されている前記アクセス可能者情報を、当該ファイルデータに含まれる格納位置情報にて指定されるデータ格納位置に格納されている情報として用いるように構成されたデータ管理システム。  If the storage location information is stored in the data storage location specified by the storage location information included in the file data, the access right determination means stores the data in the data storage location specified by the storage location information. A data management system configured to use the accessible person information stored as information stored in a data storage location specified by storage location information included in the file data. 請求項1乃至請求項3のいずれかに記載のデータ管理システムであって、
前記アクセス可能者は、単独のアクセス可能者、あるいは、複数のアクセス可能者によるグループ、であるデータ管理システム。 A data management system according to any one of claims 1 to 3,
The data management system, wherein the accessible person is a single accessible person or a group of a plurality of accessible persons. 請求項1乃至請求項4のいずれかに記載のデータ管理システムであって、
予め設定された前記アクセス可能者に固有の識別情報から、前記格納位置情報を生成する位置情報生成手段を備えるデータ管理システム。 A data management system according to any one of claims 1 to 4,
From identification information specific to preset the accessible's data management system comprising a position information generating means for generating the storage location information. 請求項1乃至請求項5のいずれかに記載のデータ管理システムであって、
前記ファイルデータに含まれる前記格納位置情報を、前記アクセス権変更手段による変更後の前記アクセス可能者情報が変更前に格納されていたデータ格納位置を表す格納位置情報に変更すると共に、この格納位置情報にて指定されるデータ格納位置に前記アクセス権変更手段による変更後の前記アクセス可能者情報を記憶するアクセス権整理手段を備えるデータ管理システム。 A data management system according to any one of claims 1 to 5,
The storage location information included in the file data is changed to storage location information representing the data storage location where the accessible person information after the change by the access right changing means was stored, and the storage location information It said access right change means the accessible user information storing access right arranging unit Bei obtain data management system after the change by the data storage location specified by the information. 所定の記憶装置に記憶されたファイルデータのアクセス権を管理するデータ管理方法であって、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定し、
前記記憶領域指定情報にて指定される記憶領域に、前記アクセス可能者情報を記憶し、
前記ファイルデータに含まれる前記記憶領域指定情報は、所定の記憶装置内におけるデータ格納位置を特定する格納位置情報であり、
前記格納位置情報は、アクセス可能者ごとに固有であり、
前記データ管理方法は、更に、
前記ファイルデータに対するアクセス可能者の変更時に、変更前のアクセス可能者に対応する前記格納位置情報にて指定されるデータ格納位置である第1のデータ格納位置に、変更後のアクセス可能者を特定するアクセス可能者情報を記憶するとともに、当該変更後のアクセス可能者に対応する前記格納位置情報にて指定されるデータ格納位置である第2のデータ格納位置に、当該第1のデータ格納位置の格納位置情報を記憶するように構成されたデータ管理方法。 A data management method for managing access rights of file data stored in a predetermined storage device,
Storage area designation information for designating a storage area in which accessible person information for identifying an accessible person of file data to be managed is stored is set in the file data,
Storing the accessible person information in a storage area designated by the storage area designation information;
The storage area designation information included in the file data is storage location information for specifying a data storage location in a predetermined storage device,
The storage location information is unique for each accessible person,
The data management method further includes:
When the accessible person to the file data is changed, the accessible person after the change is specified in the first data storage position that is the data storage position specified by the storage position information corresponding to the accessible person before the change. And the second data storage position, which is the data storage position specified by the storage position information corresponding to the changed accessible person, is stored in the first data storage position. A data management method configured to store storage location information . 請求項7に記載のデータ管理方法であって、  The data management method according to claim 7, comprising:
所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求された前記ファイルデータに含まれる格納位置情報にて指定されるデータ格納位置に格納されている前記アクセス可能者情報と、に基づいてアクセス権を判定する、データ管理方法。  Accessor information acquired in response to an access request from a predetermined accessor, and accessible person information stored in a data storage location specified by storage location information included in the file data requested to be accessed; A data management method for determining an access right based on. 請求項8に記載のデータ管理方法であって、  The data management method according to claim 8, comprising:
前記ファイルデータに含まれる格納位置情報にて指定されるデータ格納位置に、格納位置情報が格納されている場合、当該格納位置情報にて指定されるデータ格納位置に格納されている前記アクセス可能者情報を、当該ファイルデータに含まれる格納位置情報にて指定されるデータ格納位置に格納されている情報として用いるように構成されたデータ管理方法。  When the storage location information is stored in the data storage location specified by the storage location information included in the file data, the accessible person stored in the data storage location specified by the storage location information A data management method configured to use information as information stored in a data storage location specified by storage location information included in the file data. 所定の記憶装置に記憶されたファイルデータのアクセス権を管理するコンピュータに、
管理対象となるファイルデータのアクセス可能者を特定するアクセス可能者情報が記憶される記憶領域を指定する記憶領域指定情報を、当該ファイルデータ内に記憶設定
前記記憶領域指定情報にて指定される記憶領域に、前記アクセス可能者情報を記憶する、処理実行させるととも
前記ファイルデータに含まれる前記記憶領域指定情報は、所定の記憶装置内におけるデータ格納位置を特定する格納位置情報であり、
前記格納位置情報は、アクセス可能者ごとに固有であり、
前記コンピュータに、更に、
前記ファイルデータに対するアクセス可能者の変更時に、変更前のアクセス可能者に対応する前記格納位置情報にて指定されるデータ格納位置である第1のデータ格納位置に、変更後のアクセス可能者を特定するアクセス可能者情報を記憶するとともに、当該変更後のアクセス可能者に対応する前記格納位置情報にて指定されるデータ格納位置である第2のデータ格納位置に、当該第1のデータ格納位置の格納位置情報を記憶する処理を実行させるように構成されたプログラム。 To a computer that manages the access right of file data stored in a predetermined storage device,
Storage area designation information for designating a storage area in which accessible person information for identifying an accessible person of file data to be managed is stored is set in the file data,
The storage area designated by the storage area specifying information, stores the accessible user information, to together when make executes the process,
The storage area designation information included in the file data is storage location information for specifying a data storage location in a predetermined storage device,
The storage location information is unique for each accessible person,
In addition to the computer,
When the accessible person to the file data is changed, the accessible person after the change is specified in the first data storage position that is the data storage position specified by the storage position information corresponding to the accessible person before the change. And the second data storage position, which is the data storage position specified by the storage position information corresponding to the changed accessible person, is stored in the first data storage position. A program configured to execute a process of storing storage position information . 請求項10に記載のプログラムであって、  The program according to claim 10,
前記コンピュータに、更に、  In addition to the computer,
所定のアクセス者からのアクセス要求に応じて取得したアクセス者情報と、アクセス要求された前記ファイルデータに含まれる格納位置情報にて指定されるデータ格納位置に格納されている前記アクセス可能者情報と、に基づいてアクセス権を判定する処理を実行させるように構成されたプログラム。  Accessor information acquired in response to an access request from a predetermined accessor, and accessible person information stored in a data storage location specified by storage location information included in the file data requested to be accessed; , A program configured to execute a process of determining an access right based on. 請求項11に記載のプログラムであって、  The program according to claim 11,
前記コンピュータに、更に、  In addition to the computer,
前記ファイルデータに含まれる格納位置情報にて指定されるデータ格納位置に、格納位置情報が格納されている場合、当該格納位置情報にて指定されるデータ格納位置に格納されている前記アクセス可能者情報を、当該ファイルデータに含まれる格納位置情報にて指定されるデータ格納位置に格納されている情報として用いる処理を実行させるように構成されたプログラム。  When the storage location information is stored in the data storage location specified by the storage location information included in the file data, the accessible person stored in the data storage location specified by the storage location information A program configured to execute a process of using information as information stored in a data storage location specified by storage location information included in the file data.
JP2007075833A 2007-03-23 2007-03-23 Data management system, method and program Expired - Fee Related JP4780010B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007075833A JP4780010B2 (en) 2007-03-23 2007-03-23 Data management system, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007075833A JP4780010B2 (en) 2007-03-23 2007-03-23 Data management system, method and program

Publications (2)

Publication Number Publication Date
JP2008234510A JP2008234510A (en) 2008-10-02
JP4780010B2 true JP4780010B2 (en) 2011-09-28

Family

ID=39907178

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007075833A Expired - Fee Related JP4780010B2 (en) 2007-03-23 2007-03-23 Data management system, method and program

Country Status (1)

Country Link
JP (1) JP4780010B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5296770B2 (en) * 2010-12-21 2013-09-25 日本電信電話株式会社 Authentication device, authentication method, authentication program, and authentication system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06335165A (en) * 1993-05-17 1994-12-02 Hitachi Ltd Method and apparatus for constituting data base of power system monitoring control system, method and apparatus for managing data base of power system monitoring control system and power system monitoring control system
US7562232B2 (en) * 2001-12-12 2009-07-14 Patrick Zuili System and method for providing manageability to security information for secured items

Also Published As

Publication number Publication date
JP2008234510A (en) 2008-10-02

Similar Documents

Publication Publication Date Title
US10853805B2 (en) Data processing system utilising distributed ledger technology
US11762970B2 (en) Fine-grained structured data store access using federated identity management
US10956614B2 (en) Expendable access control
US11347876B2 (en) Access control
US9059982B2 (en) Authentication federation system and ID provider device
US20200019714A1 (en) Distributed data storage by means of authorisation token
US9098675B1 (en) Authorized delegation of permissions
JP6932175B2 (en) Personal number management device, personal number management method, and personal number management program
JP7196174B2 (en) Authentication methods, systems and programs using delegated identities
JP6066647B2 (en) Device apparatus, control method thereof, and program thereof
US20120131652A1 (en) Hardware-based credential distribution
CN105516059B (en) A kind of resource access control method and device
JP2023532297A (en) Temporary cloud provider credentials via secure discovery framework
KR20170091138A (en) Information processing device, method for controlling information processing device, information processing system, and computer program
JPWO2014049709A1 (en) Policy management system, ID provider system, and policy evaluation apparatus
JP2006048340A (en) Access control list attaching system, original contents preparer's terminal, policy server, original contents data management server, program, and recording medium
US9027107B2 (en) Information processing system, control method thereof, and storage medium thereof
US20230088787A1 (en) User information management system, user information management method, user agent and program
US9953188B2 (en) System, method, and program for storing and controlling access to data representing personal behavior
JP2009093580A (en) User authentication system
JP4780010B2 (en) Data management system, method and program
JP5783414B2 (en) Document management system and document management method
JP6279643B2 (en) Login management system, login management method, and login management program
JP2012027691A (en) Information management system and information management method
US11726674B2 (en) Bridging authorization standard for cloud storage

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20100610

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110331

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110520

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110607

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110620

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140715

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4780010

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees