JP4805615B2 - アクセス制御方法 - Google Patents
アクセス制御方法 Download PDFInfo
- Publication number
- JP4805615B2 JP4805615B2 JP2005184875A JP2005184875A JP4805615B2 JP 4805615 B2 JP4805615 B2 JP 4805615B2 JP 2005184875 A JP2005184875 A JP 2005184875A JP 2005184875 A JP2005184875 A JP 2005184875A JP 4805615 B2 JP4805615 B2 JP 4805615B2
- Authority
- JP
- Japan
- Prior art keywords
- attribute
- role
- subject
- unit
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
まず、本発明の第一の好適な実施形態について説明する。
「担当名」という名称の属性の値が「予算管理」であるか、もしくは、「職歴」という属性の値が「3」より大きくかつ「所属」という属性の値に「営業」を部分文字列として含むようなサブジェクトは、ロール「予算執行状況確認」に帰属することを認められる。
次に、本発明の他の好適な実施形態について説明する。図14は、本発明の第二の実施形態のアクセス制御方法が適用される情報システムの全体構成を示している。この情報システムは、情報提供者であるA社がインターネット上で特定多数の利用者に対して各種デジタルコンテンツを提供することを目的としたシステムである。
(情報サービス提供者自身である)「A社」が証明主体であって値が「Cランク」よりも大きい、「会員種別」という名称の属性を持つか、あるいは、
(情報サービス提供者が提携関係にあり、属性証明主体として信頼する)「B社」あるいは「C社」が証明主体であって、その確認日時が現在日時の1日前よりも後であり値が「特別」である「会員区分」という属性を持っているか否か。
2,6 利用者端末
3 利用者属性管理装置
4 通信ネットワーク
5 情報提供サーバ
7 属性証明サーバ
8 インターネット
10,20,30,50,60 送受信部
11 ファイル管理部
12,52 認可判定部
13,53 認証部
14,54 アクセス制御規則管理部
15 属性取得部
16,32,56 メンテナンス部
21,61 指示部
22,62 記憶部
23,63 表示部
24,64 処理部
25 被認証部
31 利用者属性格納部
51 コンテンツ管理部
55 属性認証部
65 属性管理部
100,150 ロール定義情報
101,151 ロール名称部
102,152 ロール帰属条件指示部
103,153 単位権限集合指示部
110,160 ロール帰属条件情報
111,161 帰属条件識別部
112,131,141,162,181,191 属性指定部
113,142,163,192 演算子部
114,143,164,193 比較値部
115,144,165,194 結合子
166 評価対象指定部
120、170 単位権限集合定義情報
121、171 単位権限集合識別部
122、172 権限定義部
123、173 制約条件導出規則定義部
130、180 総称権限
132、182 属性値指定部
133、183 操作種別部
140、190 オブジェクト制約条件導出規則
Claims (6)
- 保護対象となる情報資源をオブジェクトとし、属性を有し前記オブジェクトにアクセスするものをサブジェクトとして、前記サブジェクトによる前記オブジェクトに対するアクセスの要求を受信した場合に、前記サブジェクトが帰属するロールに基づいて前記アクセス要求の認可判定を行う、前記サブジェクトに対して前記オブジェクトへのアクセスを提供するサーバを有する情報システムにおけるアクセス制御方法であって、
前記サーバは、アクセスの可否を判定する認可判定部と、前記サブジェクトによる前記オブジェクトへのアクセスの可否を判定する際に判定基準として使用するアクセス制御規則群を保持するアクセス制御規則管理部と、を備え、
前記アクセス制御規則群は、前記ロールを定義するロール定義情報と、サブジェクトが前記ロールへの所属を許されるために満たすべき条件であって前記サブジェクトの属性をパラメータとする一ないし複数の条件式からなるロール帰属条件を定義するロール帰属条件情報と、前記オブジェクトの属性に関する条件式により規定された前記オブジェクトの集合とアクセスの種類を表わす操作種別との組からなる第一の単位権限集合を定義する単位権限集合定義情報と、を含み、
前記ロール定義情報は、ロールの名称を格納するフィールドと、前記ロール帰属条件に対する識別子を格納するフィールドと、当該ロールに対する第一の単位権限集合を一ないし複数含む第一の権限集合を示すために前記第一の単位権限集合定義情報に対する一ないす複数の識別子を格納するフィールドとを、有し、前記ロール定義情報によって、前記ロールにおいて、サブジェクトの属性の集合と、オブジェクトと操作の種別の組とが、それぞれ独立に対応付けられ、
前記認可判定部により、前記サブジェクトが前記アクセス要求に使用するロールを特定するロール特定ステップと、
前記サーバが、前記サブジェクトの属性を取得する属性取得ステップと、
前記認可判定部が、前記属性取得ステップにおいて取得された前記サブジェクトの属性に基づいて、前記アクセス制御規則管理部を参照して、前記ロール特定ステップにおいて特定したロールに前記サブジェクトが帰属するか否かを判定するロール帰属判定ステップと、
前記認可判定部が、前記ロール帰属判定ステップにおいて前記サブジェクトが前記ロールに帰属すると判定された場合に、前記ロールに対応付けて定義された前記第一の権限集合を取得し、前記属性取得ステップにおいて取得した前記サブジェクトの属性に基づいて、前記第一の権限集合から第二の権限集合を抽出し、前記第二の権限集合に前記アクセス要求に対応するアクセス権限が含まれるか否かを判定する権限有無確認ステップと、
前記認可判定部が、前記権限有無確認ステップでの判定結果に基づいて、前記要求されたアクセスの可否を判定するステップと、
を有し、
前記権限有無確認ステップは、
前記特定されたロールに対応付けて定義された前記第一の権限集合を取得するステップと、
前記第一の権限集合に含まれる前記第一の単位権限集合それぞれについて、前記第一の単位権限集合に対応付けて定義された、サブジェクトの属性をパラメータとしてオブジェクトの属性に関する条件式であるオブジェクト制約条件を出力するオブジェクト制約条件導出規則を取得するステップと、
前記属性取得ステップで取得した前記サブジェクトの属性を前記オブジェクト制約条件導出規則に適用して前記オブジェクト制約条件を導出するステップと、
前記第一の単位権限集合に含まれるオブジェクトのうち前記導出されたオブジェクト制約条件を満たすオブジェクトのみからなる集合と前記第一の単位権限集合の操作種別との組を第二の単位権限集合として、前記各第一の単位権限集合から得られた前記第二の単位権限集合を集約して前記第二の権限集合として抽出するステップと、
を有する、アクセス制御方法。 - 前記ロール帰属判定ステップは、
前記特定されたロールに対応付けて定義された前記ロール帰属条件を取得するステップと、
前記属性取得ステップで取得した前記サブジェクトの属性を前記ロール帰属条件にそれぞれ適用して前記ロール帰属条件についての前記条件式を満たすか否かを判定し、該判定の結果に基づいて前記ロールへの前記サブジェクトの帰属を判定するステップと、
を有する、請求項1に記載のアクセス制御方法。 - 前記属性取得ステップは、属性証明書を用いた属性認証によりサブジェクトの属性を取得するステップを有する、請求項1または2に記載のアクセス制御方法。
- 前記属性取得ステップにおいて、サブジェクトの有する属性のうち、前記ロール帰属判定ステップにおいてロールへの帰属の判定に必要となるサブジェクトの属性、および/または前記権限有無確認ステップにおいて第二の権限集合の抽出に必要となるサブジェクトの属性のみが取得される、請求項1乃至3のいずれか1項に記載のアクセス制御方法。
- 前記オブジェクトあるいはサブジェクトの属性は、当該属性の値および/または当該属性の属性の値である、請求項1乃至4のいずれか1項に記載のアクセス制御方法。
- 前記サブジェクトの属性として、サブジェクトの属性の証明者および/もしくはサブジェクトの属性の確認日時を含む、請求項5に記載のアクセス制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005184875A JP4805615B2 (ja) | 2005-06-24 | 2005-06-24 | アクセス制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005184875A JP4805615B2 (ja) | 2005-06-24 | 2005-06-24 | アクセス制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007004549A JP2007004549A (ja) | 2007-01-11 |
JP4805615B2 true JP4805615B2 (ja) | 2011-11-02 |
Family
ID=37690108
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005184875A Expired - Fee Related JP4805615B2 (ja) | 2005-06-24 | 2005-06-24 | アクセス制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4805615B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011122366A1 (ja) * | 2010-03-31 | 2011-10-06 | 日本電気株式会社 | アクセス制御プログラム、システム及び方法 |
CN101916339B (zh) * | 2010-06-22 | 2012-07-04 | 用友软件股份有限公司 | 权限查询方法和装置 |
US8832774B2 (en) * | 2010-06-23 | 2014-09-09 | Exelis Inc. | Dynamic management of role membership |
JP2015230492A (ja) * | 2014-06-03 | 2015-12-21 | 株式会社日立国際電気 | 権限管理システム |
JP6536109B2 (ja) * | 2015-03-20 | 2019-07-03 | アイシン・エィ・ダブリュ株式会社 | セキュリティ管理システムおよびセキュリティ管理方法 |
JP7115167B2 (ja) * | 2018-09-11 | 2022-08-09 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及びプログラム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0697662B1 (en) * | 1994-08-15 | 2001-05-30 | International Business Machines Corporation | Method and system for advanced role-based access control in distributed and centralized computer systems |
JP3349978B2 (ja) * | 1999-02-10 | 2002-11-25 | 三菱電機株式会社 | 計算機システムにおけるアクセス制御方法 |
EP1364331A1 (en) * | 2001-01-29 | 2003-11-26 | Access 360 | System and method for resource provisioning |
JP2004054779A (ja) * | 2002-07-23 | 2004-02-19 | Hitachi Software Eng Co Ltd | アクセス権管理システム |
JP2004341873A (ja) * | 2003-05-16 | 2004-12-02 | Fujitsu Ltd | デジタル著作物配信装置、デジタル著作物配信プログラム、デジタル著作物配信方法およびデジタル著作物配信システム |
-
2005
- 2005-06-24 JP JP2005184875A patent/JP4805615B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007004549A (ja) | 2007-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108122109B (zh) | 一种电子凭据身份管理的方法及装置 | |
US20190333054A1 (en) | System for verification of pseudonymous credentials for digital identities with managed access to personal data on trust networks | |
US6055637A (en) | System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential | |
Chadwick | Federated identity management | |
US20180253539A1 (en) | Robust system and method of authenticating a client in non-face-to-face online interactions based on a combination of live biometrics, biographical data, blockchain transactions and signed digital certificates. | |
US7350226B2 (en) | System and method for analyzing security policies in a distributed computer network | |
KR101486613B1 (ko) | 전송 가능한 제한된 보안 토큰 | |
US8281374B2 (en) | Attested identities | |
US20030115484A1 (en) | System and method for incrementally distributing a security policy in a computer network | |
US11411959B2 (en) | Execution of application in a container within a scope of user-granted permission | |
EP2053777A1 (en) | A certification method, system, and device | |
CN104685511B (zh) | 策略管理系统、id提供者系统以及策略评价装置 | |
US20190141048A1 (en) | Blockchain identification system | |
US20140223578A1 (en) | Secure data delivery system | |
CN109768983A (zh) | 基于区块链的多维动态身份识别方法、装置及系统 | |
CN101321064A (zh) | 一种基于数字证书技术的信息系统的访问控制方法及装置 | |
JP4805615B2 (ja) | アクセス制御方法 | |
CN116708037B (zh) | 云平台访问权限控制方法及系统 | |
Sinclair et al. | Preventative directions for insider threat mitigation via access control | |
CN107409129A (zh) | 使用访问控制列表和群组的分布式系统中的授权 | |
CN106997440A (zh) | 一种角色访问控制方法 | |
JP5112153B2 (ja) | 承認者選択方法、システム、装置及びプログラム | |
JP4764614B2 (ja) | 情報処理装置、操作許否情報生成方法、操作許否情報生成プログラム及び記録媒体 | |
JP4723930B2 (ja) | 複合的アクセス認可方法及び装置 | |
JP2005339308A (ja) | 生体認証と連携したプライバシー管理システムおよびそのための認証サーバ |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20061129 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070815 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100616 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100714 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100913 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110330 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110527 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110803 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110811 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140819 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |