JP4874670B2 - ポリシー管理装置、ポリシー管理プログラムおよびポリシー管理方法 - Google Patents

ポリシー管理装置、ポリシー管理プログラムおよびポリシー管理方法 Download PDF

Info

Publication number
JP4874670B2
JP4874670B2 JP2006046320A JP2006046320A JP4874670B2 JP 4874670 B2 JP4874670 B2 JP 4874670B2 JP 2006046320 A JP2006046320 A JP 2006046320A JP 2006046320 A JP2006046320 A JP 2006046320A JP 4874670 B2 JP4874670 B2 JP 4874670B2
Authority
JP
Japan
Prior art keywords
access control
control list
list
matrix
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006046320A
Other languages
English (en)
Other versions
JP2007226495A (ja
Inventor
浩明 鴨田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2006046320A priority Critical patent/JP4874670B2/ja
Publication of JP2007226495A publication Critical patent/JP2007226495A/ja
Application granted granted Critical
Publication of JP4874670B2 publication Critical patent/JP4874670B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、ポリシー管理装置、ポリシー管理プログラムおよびポリシー管理方法に関する。
従来より、ファイルサーバやデータベースシステム等への不正アクセスや誤操作による情報漏洩を防ぐために、アクセス制御リストを用いたアクセス制御技術が提案されている(例えば、特許文献1、特許文献2参照)。代表的なアクセス制御方式として、ロールベースアクセス制御技術がある。ロールベースアクセス制御技術には、いくつかの応用事例が存在する。以下、ロールベースアクセス制御技術の一例について説明する。なお、以下の説明において、ポリシーという文言を用いている部分があるが、該ポリシーとは、ファイルサーバやデータベースシステム等へのアクセスできる条件のことである。
まず、アクセス制御ルールについて説明する。ロールベースアクセス制御技術では、アクセス制御の主体を「Subject Role」と呼び、これらをS1、S2、…、Snとする。また、アクセス制御の客体を「Target」と呼び、T1、T2、…、Tnとする。ここで、Subject RoleS1、S2、…、Snは、それぞれ役職や組織名などを表現しており、添え字の番号順に順序関係が設定されているものとする。例えば、S1=一般社員<S2=課長代理<S3=課長<S4=部長代理<S5=部長<…<Sn=代表取締役といった具合である。また、Targetは、それぞれ独立したものであり、このような順序関係はないものとする。
ロールベースアクセス制御技術には、アクセス制御ルールとして、「authorizationルール」、「propagationルール」、「exceptionルール」の3種類のアクセス制御ルールが存在する。これらの3種類のアクセス制御ルールは、図9に示すように、propagationルールは、さらに、4つのタイプに、authorizationルールとexceptionルールは、それぞれ2つのタイプのルールに分類される。
より具体的には、authorizationルールには、Auth+(Sa、Tb)とAuth−(Sa、Tb)の2つのタイプがある。Auth+(Sa、Tb)は、Subject RoleがSaのユーザはTarget Tbにアクセス可能ということを定義するルールであり、Auth−(Sa、Tb)は、Subject RoleがSaのユーザはTarget Tbにアクセス禁止ということを定義するルールである。
また、propagationルールには、Auth+(Tb)↑、Auth+(Tb)↓、Auth−(Tb)↑、Auth−(Tb)↓の4つのタイプがある。Auth+(Tb)↑は、Target Tbに対して設定されたAuth+(*、*)は、上方のSubject Roleに伝播することを定義するルールであり、Auth+(Tb)↓は、Target Tbに対して設定されたAuth+(*、*)は、下方のSubject Roleに伝播することを定義するルールである。
また、Auth−(Tb)↑は、Target Tbに対して設定されたAuth−(*、*)は、上方のSubject Roleに伝播することを定義するルールであり、Auth−(Tb)↓は、Target Tbに対して設定されたAuth−(*、*)は、下方のSubject Roleに伝播することを定義するルールである。なお、上記ルールの説明においては、「上方」とは、上記Subject RoleS1、S2、…、Snを昇順に並べた際の添え字の小さい方を示し、「下方」とは、添え字の大きい方を示す。
また、exceptionルールには、eAuth+(Sa、Tb)とeAuth−(Sa、Tb)の2つのタイプがある。eAuth+(Sa、Tb)は、Subject RoleがSaのユーザは、Target Tbにアクセス禁止ということを定義するルールであり、eAuth−(Sa、Tb)は、Subject RoleがSaのユーザは、Target Tbにアクセス禁止ということを定義するルールである。
次に、アクセス制御リストについて説明する。上述した3種類、8タイプのアクセス制御ルールの集合をアクセス制御リストと呼ぶ。アクセス制御リストは、システム管理者により作成されるリストである。アクセス制御リストは、ルールの対象となるTargetの種類によって分類される。例えば、TargetT1に対して設定されたアクセス制御ルールを全て集めたものを、「アクセス制御リスト(T1)」と呼ぶ。アクセス制御リスト(T1)、アクセス制御リスト(T2)、アクセス制御リスト(T3)の例を図10に示す。但し、Subject Roleには、{S1<S2<S3<S4<S5<S6<S7<S8}の8つが、Targetには、{T1、T2、T3}の3つのみがそれぞれ存在しているものとする。
次に、アクセス制御行列について説明する。上記アクセス制御リストに基づいて、全てのSubject RoleとTargetとの組み合わせに設定されているアクセス権を列挙したものをアクセス制御行列と呼ぶ。アクセス制御行列は、システムが実際のアクセス制御処理を行うために、必要に応じてシステム内部で作成されるものであり、一般に、システム管理者がアクセス制御行列を直接作成・編集などする必要はない。上述したアクセス制御リスト(T1)〜(T3)に対応するアクセス制御行列を、図11に示す。
ここで、図10に示すアクセス制御リストから図11に示すアクセス制御行列を作成する方法について、アクセス制御リスト(T1)の場合を例に、図12を参照して簡単に説明する。まず、縦軸に全てのSubject Roleを、Subject Role間に設定されている順序に従って列挙し、横軸にTargetの名前を記述した表を作成する(Step1)。次に、アクセス制御リスト(図10)に記述されている全てのauthorizationルールに対して、+・−を上記表に記述する(Step2)。
次に、アクセス制御リスト(図10)に記述されている全てのpropagationルールに従って、上記Step2で記述された+と−とを他の行へ伝播させて記述する(Step3)。次に、アクセス制御リスト(図10)に記述されている全てのexceptionルールに従って、上記Step3までの手順で作成されたアクセス制御行列の+、−記号を上書きする(Step4)。
上記Step1〜Step4の手順を全てのTargetについて実行することにより、アクセス制御行列が完成する。なお、上記手順に従ってアクセス制御行列を作成した場合、1つの行に「+と−の両方の記号が記述される」、あるいは「+の記号も−の記号も記述されない」といったケースが発生することが考えられる。これは、先に設定されたアクセス制御リストが不完全なために発生する問題であり、ここでは、対象外とする。すなわち、事前にアクセス制御リストが適正に設定され、アクセス制御行列の中に二重の記号記述や、未定義の箇所が存在しないようにしてあるものとする。
特開2005−182478号公報 特開2004−139292号公報
一般に、管理者が設定するのがアクセス制御リストであり、システム内部では、これを元に自動作成されるアクセス制御行列に基づいて、実際のアクセス制御処理が実施される。このとき、あるアクセス制御行列が作成される元となるアクセス制御リストの記述方法は一意とは限らない。このため、管理者のアクセス制御リストの管理作業が煩雑化する。
例えば、図13に示すアクセス制御リストからは、全て同一のアクセス制御行列(図11のT1)が作成される。一般に、アクセス制御リストにexceptionルールが増えていくと、アクセス制御リストに記述されるルールの数が多くなり、管理者がそれを管理することが困難となる。管理者にとっては、アクセス制御リストに含まれるルールの数が少なければ少ないほどよい。例えば、図13に示す例では、アクセス制御リスト(T1)No.2や、アクセス制御リスト(T1)No.3よりも、アクセス制御リスト(T1)No.1が最も管理しやすいアクセス制御リストであることは明らかである。
しかしながら、exceptionルールは、運用上、必要に応じて、アクセス制御リストの中に追加されていくものであり、その数が次第に増加していくことは当然である。そこで、設定されたアクセス制御リストを定期的に解析し、同一のアクセス制御行列が作成されるルール数が最小となるアクセス制御リスト(これを最小アクセス制御リストと呼ぶ)を自動的に作成する技術が必要となる。
従来技術(特許文献1)では、アクセス制御リストに設定された矛盾するルールや冗長ルールを検出することは可能である。しかしながら、アクセス制御リストに含まれるルール数を最小化する手法は存在しない。また、従来技術(特許文献2)では、実運用する前にアクセス制御リストの中に、過度に厳しい、また緩いポリシーがないか、診断して提示することが可能である。しかしながら、アクセス制御リストに含まれるルール数を最小化する手法までは言及されていない。
本発明は、このような事情を考慮してなされたものであり、その目的は、既に設定済みのアクセス制御リストと全く同一のアクセス制御を実現することができ、かつアクセス制御リストに含まれるルール数を最小化することができるポリシー管理装置、ポリシー管理プログラムおよびポリシー管理方法を提供することにある。
上述した課題を解決するために、本発明は、アクセス対象であるターゲットに対するユーザのアクセス条件を定義する複数のアクセス制御ルールからなるアクセス制御リストに基づいて、前記ターゲットに対する前記ユーザのアクセス権を定義するためのアクセス制御行列を生成するアクセス制御行列生成手段と、前記アクセス制御行列生成手段によって生成されたアクセス制御行列に基づいて、アクセス制御ルール数が最小となる最小アクセス制御リストを生成するアクセス制御リスト最小化手段とを具備することを特徴とする。
本発明は、上記の発明において、前記アクセス制御リスト最小化手段は、前記アクセス制御行列から生成可能なアクセス制御ルールの全ての組み合わせを生成するアクセス制御ルール生成手段と、前記アクセス制御ルール生成手段によって生成されたアクセス制御ルールの組み合わせのうち、アクセス制御ルール数が最小となる組み合わせを抽出する抽出手段と、前記抽出手段によって抽出されたアクセス制御ルールの組み合わせに基づいて、前記最小アクセス制御リストを生成する最小アクセス制御リスト生成手段とを具備することを特徴とする。
また、上述した課題を解決するために、本発明は、アクセス対象であるターゲットに対するユーザのアクセス条件を定義する複数のアクセス制御ルールからなるアクセス制御リストを記憶するアクセス制御リスト記憶手段と、前記アクセス制御リスト記憶手段に記憶されているアクセス制御リストに基づいて、前記ターゲットに対する前記ユーザのアクセス権を定義するためのアクセス制御行列を生成するアクセス制御行列生成手段と、前記アクセス制御行列を記憶するアクセス制御行列記憶手段と、前記アクセス制御行列記憶手段に記憶されているアクセス制御行列に基づいて、アクセス制御ルール数が最小となる最小アクセス制御リストを生成し、前記アクセス制御リスト記憶手段に出力するアクセス制御リスト最小化手段と、前記アクセス制御行列記憶手段に記憶されている前記アクセス制御行列に従って、ユーザによるターゲットへのリクエストの可否を判定するリクエスト可否判定手段とを具備することを特徴とする。
また、上述した課題を解決するために、本発明は、コンピュータに、アクセス対象であるターゲットに対するユーザのアクセス条件を定義する複数のアクセス制御ルールからなるアクセス制御リストに基づいて、前記ターゲットに対する前記ユーザのアクセス権を定義するためのアクセス制御行列を生成するステップと、前記アクセス制御リストと前記アクセス制御行列とに基づいて、アクセス制御ルール数が最小となる最小アクセス制御リストを生成するステップとを実現させることを特徴とする。
また、上述した課題を解決するために、本発明は、ポリシー管理装置が実行するポリシー管理方法であって、前記ポリシー管理装置のアクセス制御行列生成手段が、アクセス対象であるターゲットに対するユーザのアクセス条件が定義されたアクセス制御ルールの集合体であるアクセス制御リストに基づいて、前記ターゲットに対する前記ユーザのアクセス権を定義するためのアクセス制御行列を生成するステップと、前記ポリシー管理装置のアクセス制御リスト最小化手段が、前記アクセス制御リストと前記アクセス制御行列とに基づいて、アクセス制御ルール数が最小となる最小アクセス制御リストを生成するステップとを含むことを特徴とする。
この発明によれば、アクセス対象であるターゲットに対するユーザのアクセス条件を定義する複数のアクセス制御ルールからなるアクセス制御リストに基づいて、アクセス制御行列生成手段によって、ターゲットに対するユーザのアクセス権を定義するためのアクセス制御行列を生成し、アクセス制御リスト最小化手段によって、生成されたアクセス制御行列に基づいて、アクセス制御ルール数が最小となる最小アクセス制御リストを生成する。したがって、既に設定済みのアクセス制御リストと全く同一のアクセス制御を実現することができ、かつアクセス制御リストに含まれるルール数を最小化することができ、アクセス制御リストの管理作業を大幅に軽減することができるという利点が得られる。
また、本発明によれば、アクセス制御リスト最小化手段では、アクセス制御ルール生成手段によって、アクセス制御行列から生成可能なアクセス制御ルールの全ての組み合わせを生成し、抽出手段によって、生成されたアクセス制御ルールの組み合わせのうち、アクセス制御ルール数が最小となる組み合わせを抽出し、最小アクセス制御リスト生成手段によって、抽出されたアクセス制御ルールの組み合わせに基づいて、最小アクセス制御リストを生成する。したがって、既に設定済みのアクセス制御リストと全く同一のアクセス制御を実現することができ、かつアクセス制御リストに含まれるルール数を最小化することができ、アクセス制御リストの管理作業を大幅に軽減することができるという利点が得られる。
また、本発明によれば、アクセス対象であるターゲットに対するユーザのアクセス条件を定義する複数のアクセス制御ルールからなるアクセス制御リストをアクセス制御リスト記憶手段に記憶し、アクセス制御行列生成手段によって、アクセス制御リストに基づいて、ターゲットに対するユーザのアクセス権を定義するためのアクセス制御行列を生成し、該アクセス制御行列をアクセス制御行列記憶手段に記憶し、アクセス制御リスト最小化手段によって、アクセス制御リストとアクセス制御行列とに基づいて、アクセス制御ルール数が最小となる最小アクセス制御リストを生成してアクセス制御リスト記憶手段に出力し、リクエスト可否判定手段によって、アクセス制御行列記憶手段に記憶されているアクセス制御行列に従って、ユーザによるターゲットへのリクエストの可否を判定する。したがって、既に設定済みのアクセス制御リストと全く同一のアクセス制御を実現することができ、かつアクセス制御リストに含まれるルール数を最小化することができ、アクセス制御リストの管理作業を大幅に軽減することができるという利点が得られる。
以下、本発明の一実施形態によるポリシー管理装置を、図面を参照して説明する。
図1は、本発明の実施形態によるポリシー管理装置の構成を示すブロック図である。Subject(ユーザ)登録・削除・修正部1は、Subject(ユーザ)情報DB(データベース)3に対して、Subject(ユーザ)の情報・順序を登録(削除、修正)する。アクセス制御リスト登録・削除・修正部2は、アクセス制御リストDB4に対して、アクセス制御リストを登録(削除、修正)する。アクセス制御行列生成部5は、アクセス制御リストDB4のアクセス制御リストからアクセス制御行列を作成し、アクセス制御行列DB6に格納する。
アクセス制御リスト最小化部7は、Subuject(ユーザ)情報またはアクセス制御リストが更新される頻度、あるいは管理者の要求に応じて、Subject(ユーザ)情報・アクセス制御リスト・アクセス制御行列を解析し、最小なルール数で構成されるアクセス制御リストを作成する。リクエスト受付部8は、Subject(ユーザ12)からtarget(ファイルサーバ13)へのアクセス要求を受け付ける。リクエスト可否判定部9は、リクエストとアクセス制御行列との内容を比較し、リクエストが許可されるか禁止されるかを判定する。
可否判定結果処理部10は、上記リクエストの可否判定結果をTarget(ファイルサーバ13)に通知する。アクセス制御リストチェック部11は、アクセス制御リストとSubject(ユーザ)情報とを比較し、アクセス制御リストに記述されているSubjectが存在しない場合には、該当するルールを無効にする作業を行うとともに、アクセス制御リストとTargetとを比較し、アクセス制御リストに記述されているTargetが存在しない場合には、該当するルールを無効にする作業を行う。
次に、上述した本実施形態の動作について説明する。ここで、図2ないし図4は、本実施形態によるポリシー管理装置の動作を説明するためのフローチャートである。ここでは、図11に示すアクセス制御行列(T1)に対する最小アクセス制御リストを導出する場合について説明する。
まず、アクセス制御リストを読み込み(S1)、既存のアクセス制御行列を一時的に別テーブルにコピーする(S2)。次に、アクセス制御リストのソート処理として、Subject Role(ユーザルール)の順序に従い、昇順にアクセス制御リストを並び替える(S3)。次に、t=(0、1、…、ターゲットの総数)とし(S4)、tを1ずつインクリメントしながら(S18)、全てのターゲットに関して以下の処理を繰り返す。
まず、i=(0、1、…、Subject(ユーザ)の総数+1)とし(S5)、iを1ずつインクリメントしながら(S9)、以下のステップS6〜S8を繰り返す。第i番目以前のユーザで禁止ルールが設定されているSubject(ユーザ)の総数を変数pに代入する(S6)。次に、第i番目以降のSubject(ユーザ)で許可ルールが設定されているSubject(ユーザ)の総数を変数qに代入する(S7)。そして、i=0、1、Subject(ユーザ)の総数−1、Subject(ユーザ)の総数のいずれかの場合には、sum=(p+q−1)とindex=iの値とをテーブルAに書き出し、iが上記以外の場合には、sum=(pとq)とindex=iの値とをテーブルAに書き出す(S8)。
次に、j=(0、1、…、Subject(ユーザ)の総数+1)とし(S10)、jを1ずつインクリメントしながら(S14)、以下のステップS11〜S13を繰り返す。第j番目以前のSubject(ユーザ)で許可ルールが設定されているSubject(ユーザ)の総数を変数pに代入する(S11)。次に、第j番目以降のSubject(ユーザ)で禁止ルールが設定されているSubject(ユーザ)の総数を変数qに代入する(S12)。そして、j=0、1、Subject(ユーザ)の総数−1、Subject(ユーザ)の総数のいずれかの場合には、sum=(p+q−1)とindex=i+jの値とをテーブルAに書き出し、jが上記以外の場合には、sum=(pとq)とindex=i+jの値とをテーブルAに書き出す(S13)。
次に、テーブルAの中で値sumが最小のものを1つ検索し、そのときのindex値を取り出す(S15)。そして、既存のアクセス制御リストを、次のアクセス制御リストで書き換える(S16)。すなわち、Auth+(t番目のターゲット)↑(index=[2、3、…、ユーザの総数+1]の場合のみ)、Auth+(t番目のターゲット)↑(index=[ユーザの総数+2、ユーザの総数+3、…、ユーザの総数×2]の場合のみ、Auth−(t番目のターゲット)↑(index=[ユーザの総数+4、ユーザの総数+5、…、ユーザの総数×2+2]の場合のみ)、Auth−(t番目のターゲット)↓(index=[0、1、…、ユーザの総数−1]の場合のみ)、Auth+(index番目のユーザ、t番目のターゲット)、Auth−(index+1番目のユーザ、t番目のターゲット)で書き換える。
次に、上記アクセス制御リストを元に、アクセス制御行列を作成し、一時的にコピーしておいた既存のアクセス制御行列と比較し、その結果が一致しない行が存在する場合には、それに対応するexceptionルールをアクセス制御リストに記述する(S17)。そして、全てのターゲットに関して上記処理が完了すると、一時的に別テーブルにコピーしたアクセス制御行列を削除し(S19)、当該処理を終了する。
次に、上述したアクセス制御リストの最小化方式をより具体的に説明する。ここで、図5は、最適アクセス制御リストの検索プロセスを示す概念図である。
Step1〜Step9において、太線より上側の点線ブロックは、{Auth−(T1)↓}ポリシーを、太線より下側の実線枠は、{Auth+(T1)↑}ポリシーを、それぞれ表現している。また、Step10〜Step18においては、太線より上側の点線枠は、{Auth−(T1)↑}ポリシーを、太線より下側の実線枠は、{Auth+(T1)↓}ポリシーを、それぞれ表現している。さらに、それぞれのステップ右側の列に記された「○」印は、{eAuth+(Sx、T1)}または{eAuth−(Sx、T1)}をそれぞれ表している。また、便宜上、各列の境目に0〜8の番号を付与し、これを基準位置と呼ぶ。
Step1:まず、最初に基準位置を0に設定する。図5では、Step1の太線が基準位置を表している。設定した基準に対して、基準位置より上方に{Auth+(T1)↑}ポリシーを表現する点線枠を、基準位置より下方に{Auth−(T1)↓}ポリシーを表現する実線枠を記する。但し、Step1の場合、基準位置が最上端にあるため、点線枠は記されない。次に、記された実線ブロックと点線ブロックとに関してそれぞれ次の処理を行う。
(1)実線ブロックの中に「−」がある場合には、その行の右側に「○」を記入する。
(2)点線ブロックの中に「+」がある場合には、その行の右側に「○」を記入する。
Step2:次に、基準位置を1に設定し、上記Step1と同じ作業を行う。
Step3〜Step9:以下同様に、基準位置を+1ずつしながら、(行数+1)Step目までは、同じ作業を繰り返し行う。
Step10:次に、基準位置を0に設定し直し、次の作業を実施する。設定した基準位置に対して、基準位置より上方に{Auth−(T1)↑}ポリシーを表す点線枠を、基準位置より下方に{Auth+(T1)↓}ポリシーを表す実線枠を記する。但し、Step10の場合、基準位置が最上端にあるため、点線枠は記されない。次に、記された実線枠と点線枠とに関してそれぞれ次の処理を行う。
(1)実線ブロックの中に「−」がある場合には、その行の右側に「○」を記入する。
(2)点線ブロックの中に「+」がある場合には、その行の右側に「○」を記入する。
Step11:次に、基準位置を1に設定し、Step10と同じ作業を行う。
Step12〜Step18:以下同様に、基準位置を+1ずつしながら、(2×(行数+1))Step目までは、同じ作業を繰り返し行う。
Step19:次に、上記Stepが全て完了した時点で、Step1〜Step18の作業で記された「○」の数を、図6に示すテーブルにまとめる。但し、Step1、Step2、Step8、Step9、Step10、Step11、Step17、Step18においては、実際の「○」の数から1だけ減算した値を記する。これは、これらのStepにおいては、他のStepと比較してpropagationポリシーが1つ不要なためである。
この事例では、図5に示す最適アクセス制御リストの検索プロセスから、図6に示す結果が得られる。そして、図6に示すテーブルから「○」の数が最小の箇所を検索する。この場合、Step2またはStep3の2つが最小値であることが分かる。
Step20:上記Step19で検索されたものが、求める最小化ポリシーを示している。例えば、Step3の場合、図5のStep3に示されているように、上から2つ目のSubjectに対して、{Auth+(S2、T1)、Auth+(T1)↑}を設定して、上から3つ目のSubjectに対して、{Auth−(S3、T1)、Auth−(T1)↓}を設定する。さらに、上から5つ目と7つ目のSubjectに対して、{eAuth+(Sx、T1)}を設定すればよいことが分かる。すなわち、図7に示す左側が求める最小アクセス制御リストである。同様に、Step2に基づいた最小アクセス制御リストも、図7に示す右側に示すように求められる。この場合、Auth+(T1)↑が不要であることに注意する。
Step21:上記Step1〜Step20までの処理をその他のアクセス制御リスト(T2)、アクセス制御リスト(T3)に対して行うことによって、全体のアクセス制御リストを最小化することができる。当該事例による最小アクセス制御リスト(T2)、最小アクセス制御リスト(T3)の例を、図8に示す。
なお、図7に示すように、複数の最小アクセス制御リストが生成可能なケースが存在する。このような場合には、どの最小アクセス制御リストを利用しても問題ない。
上述した実施形態によれば、現在の制御リストにおいて実現されるルールを表現するポリシーを全パターン検索し、その中から例外ポリシー数が最も少ない制御リストを選択することにより、現在の制御リストから最小アクセス制御ポリシーを自動生成することができ、アクセス制御リストを常に最小の状態に保つことができ、アクセス制御リストの管理作業を大幅に軽減することができる。
本発明の実施形態によるポリシー管理装置の構成を示すブロック図である。 本実施形態によるポリシー管理装置の動作を説明するためのフローチャートである。 本実施形態によるポリシー管理装置の動作を説明するためのフローチャートである。 本実施形態によるポリシー管理装置の動作を説明するためのフローチャートである。 本実施形態による、最適アクセス制御リストの検索プロセスを示す概念図である。 本実施形態による、例外ポリシー数をまとめたテーブルを示す概念図である。 本実施形態による、最小アクセス制御リスト(T1)を示す概念図である。 最小アクセス制御リスト(T2)、(T3)を示す概念図である。 従来のロールベースアクセス制御技術におけるアクセス制御ルールを説明するための概念図である。 従来のロールベースアクセス制御技術におけるアクセス制御リストを説明するための概念図である。 従来のロールベースアクセス制御技術におけるアクセス制御行列を説明するための概念図である。 従来技術におけるアクセス制御リストからアクセス制御行列を作成する方法を説明するための概念図である。 従来技術におけるアクセス制御リストの例を示す概念図である。
符号の説明
1 Subject登録・削除・修正部
2 アクセス制御リスト登録・削除・修正部
3 Subject情報DB
4 アクセス制御リストDB(アクセス制御リスト記憶手段)
5 アクセス制御行列生成部(アクセス制御行列生成手段)
6 アクセス制御行列DB
7 アクセス制御リスト最小化部(アクセス制御リスト最小化手段、アクセス制御ルール生成手段、抽出手段、最小アクセス制御リスト生成手段)
8 リクエスト受付部
9 リクエスト可否判定部(リクエスト可否判定手段)
10 可否判定結果処理部
11 アクセス制御リストチェック部
13 Target

Claims (5)

  1. アクセス対象であるターゲットに対するユーザのアクセス条件を定義する複数のアクセス制御ルールからなるアクセス制御リストに基づいて、前記ターゲットに対する前記ユーザのアクセス権を定義するためのアクセス制御行列を生成するアクセス制御行列生成手段と、
    前記アクセス制御行列生成手段によって生成されたアクセス制御行列に基づいて、アクセス制御ルール数が最小となる最小アクセス制御リストを生成するアクセス制御リスト最小化手段と
    を具備することを特徴とするポリシー管理装置。
  2. 前記アクセス制御リスト最小化手段は、
    前記アクセス制御行列から生成可能なアクセス制御ルールの全ての組み合わせを生成するアクセス制御ルール生成手段と、
    前記アクセス制御ルール生成手段によって生成されたアクセス制御ルールの組み合わせのうち、アクセス制御ルール数が最小となる組み合わせを抽出する抽出手段と、
    前記抽出手段によって抽出されたアクセス制御ルールの組み合わせに基づいて、前記最小アクセス制御リストを生成する最小アクセス制御リスト生成手段と
    を具備することを特徴とする請求項1記載のポリシー管理装置。
  3. アクセス対象であるターゲットに対するユーザのアクセス条件を定義する複数のアクセス制御ルールからなるアクセス制御リストを記憶するアクセス制御リスト記憶手段と、
    前記アクセス制御リスト記憶手段に記憶されているアクセス制御リストに基づいて、前記ターゲットに対する前記ユーザのアクセス権を定義するためのアクセス制御行列を生成するアクセス制御行列生成手段と、
    前記アクセス制御行列を記憶するアクセス制御行列記憶手段と、
    前記アクセス制御行列記憶手段に記憶されているアクセス制御行列に基づいて、アクセス制御ルール数が最小となる最小アクセス制御リストを生成し、前記アクセス制御リスト記憶手段に出力するアクセス制御リスト最小化手段と、
    前記アクセス制御行列記憶手段に記憶されている前記アクセス制御行列に従って、ユーザによるターゲットへのリクエストの可否を判定するリクエスト可否判定手段と
    を具備することを特徴とするポリシー管理装置。
  4. コンピュータに、
    アクセス対象であるターゲットに対するユーザのアクセス条件を定義する複数のアクセス制御ルールからなるアクセス制御リストに基づいて、前記ターゲットに対する前記ユーザのアクセス権を定義するためのアクセス制御行列を生成するステップと、
    前記アクセス制御リストと前記アクセス制御行列とに基づいて、アクセス制御ルール数が最小となる最小アクセス制御リストを生成するステップと
    を実現させることを特徴とするポリシー管理プログラム。
  5. ポリシー管理装置が実行するポリシー管理方法であって、
    前記ポリシー管理装置のアクセス制御行列生成手段が、アクセス対象であるターゲットに対するユーザのアクセス条件が定義されたアクセス制御ルールの集合体であるアクセス制御リストに基づいて、前記ターゲットに対する前記ユーザのアクセス権を定義するためのアクセス制御行列を生成するステップと、
    前記ポリシー管理装置のアクセス制御リスト最小化手段が、前記アクセス制御リストと前記アクセス制御行列とに基づいて、アクセス制御ルール数が最小となる最小アクセス制御リストを生成するステップと
    を含むことを特徴とするポリシー管理方法。
JP2006046320A 2006-02-23 2006-02-23 ポリシー管理装置、ポリシー管理プログラムおよびポリシー管理方法 Expired - Fee Related JP4874670B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006046320A JP4874670B2 (ja) 2006-02-23 2006-02-23 ポリシー管理装置、ポリシー管理プログラムおよびポリシー管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006046320A JP4874670B2 (ja) 2006-02-23 2006-02-23 ポリシー管理装置、ポリシー管理プログラムおよびポリシー管理方法

Publications (2)

Publication Number Publication Date
JP2007226495A JP2007226495A (ja) 2007-09-06
JP4874670B2 true JP4874670B2 (ja) 2012-02-15

Family

ID=38548263

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006046320A Expired - Fee Related JP4874670B2 (ja) 2006-02-23 2006-02-23 ポリシー管理装置、ポリシー管理プログラムおよびポリシー管理方法

Country Status (1)

Country Link
JP (1) JP4874670B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5228943B2 (ja) 2009-01-27 2013-07-03 富士通株式会社 最小権限違反検出プログラム
JP5930203B2 (ja) 2012-12-11 2016-06-08 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation サービスに対してアクセス制御をするための方法、並びに、そのコンピュータ及びコンピュータ・プログラム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4545430B2 (ja) * 2003-12-19 2010-09-15 株式会社エヌ・ティ・ティ・データ アクセス権の矛盾・冗長ルール検出を行うアクセス制御システム及びそのコンピュータプログラム

Also Published As

Publication number Publication date
JP2007226495A (ja) 2007-09-06

Similar Documents

Publication Publication Date Title
US8201079B2 (en) Maintaining annotations for distributed and versioned files
US7689578B2 (en) Dealing with annotation versioning through multiple versioning policies and management thereof
US7539680B2 (en) Revision control for database of evolved design
US8813250B2 (en) Access control program, system, and method
KR101738647B1 (ko) 데이터 유지 시스템
KR100919441B1 (ko) 문서 처리 장치, 컴퓨터 판독 가능한 기록 매체, 및 문서처리 방법
CN107832448A (zh) 数据库操作方法、装置及设备
US20110296523A1 (en) Access control management mapping resource/action pairs to principals
US7233949B2 (en) System and method for controlling user authorities to access one or more databases
JP4874670B2 (ja) ポリシー管理装置、ポリシー管理プログラムおよびポリシー管理方法
US20080295145A1 (en) Identifying non-orthogonal roles in a role based access control system
US20090049060A1 (en) Method and Apparatus for Managing Database Records Rejected Due to Referential Constraints
JP4630691B2 (ja) データベース装置とその処理方法
US7100126B2 (en) Electrical form design and management method, and recording medium
JP2011133928A (ja) 記憶装置に記憶してある文書ファイルを検索する検索装置、検索システム、検索方法及びコンピュータプログラム
JP4276717B2 (ja) データベースシステム
JPH06318167A (ja) オブジェクト走査装置及び方法
JP4731928B2 (ja) データ管理装置、データ管理システム、データ処理装置、データ管理方法、プログラム、及び記憶媒体
JPH0850559A (ja) ファイル記憶保護装置
JP4587908B2 (ja) メタデータ生成装置、メタデータ制約定義処理装置およびその制御方法
JP4832132B2 (ja) アクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラム
JP2007072526A (ja) リポジトリ及びデータ入力装置及びプログラム
JP2006309593A (ja) 帳票処理装置、帳票処理方法、プログラム及び記録媒体
KR20200121105A (ko) 비식별화 과정의 중간 결과 데이터 분석 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체
JP4196853B2 (ja) 名前によるアクセス権制御方法ならびにその方法を用いる情報処理装置およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090130

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110908

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110913

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111027

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111115

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111124

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141202

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4874670

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees