JP5482667B2 - ポリシー管理装置、ポリシー管理システム、それに用いる方法およびプログラム - Google Patents

ポリシー管理装置、ポリシー管理システム、それに用いる方法およびプログラム Download PDF

Info

Publication number
JP5482667B2
JP5482667B2 JP2010550432A JP2010550432A JP5482667B2 JP 5482667 B2 JP5482667 B2 JP 5482667B2 JP 2010550432 A JP2010550432 A JP 2010550432A JP 2010550432 A JP2010550432 A JP 2010550432A JP 5482667 B2 JP5482667 B2 JP 5482667B2
Authority
JP
Japan
Prior art keywords
policy
subject
ordering
hierarchy
policies
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010550432A
Other languages
English (en)
Other versions
JPWO2010092755A1 (ja
Inventor
政行 中江
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010550432A priority Critical patent/JP5482667B2/ja
Publication of JPWO2010092755A1 publication Critical patent/JPWO2010092755A1/ja
Application granted granted Critical
Publication of JP5482667B2 publication Critical patent/JP5482667B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、ポリシー管理装置、ポリシー管理システム、それに用いる方法およびプログラムに関し、特に、半順序構造をもつポリシー記述を全順序化して、ポリシー一覧を生成またはアクセス制御ルールに変換できるポリシー管理装置、ポリシー管理システム、それに用いる方法およびプログラムに関する。
近年のコンプライアンス意識の高まりから、多くの企業で自社業務システムにおけるアクセス制御の徹底が図られている。Unix(登録商標)ファイルシステムなどのOSアクセス機構に見られるように、一般的なアクセス制御ルールは、業務システムを用いる従業員などの「サブジェクト」、業務システムが提供するファイルなどの「オブジェクト」、読み書きなどの当該オブジェクトへのアクセス方法である「アクション」の3つの情報を組み合わせて記述され、アクセス制御機構に適用される。
ここで、従業員数や業務ファイル数の規模が大きくなるにつれて、アクセス制御ルールの記述や管理にかかる管理者の負荷が増大するという問題がある。その解決策の1つとして、役割ベースアクセス制御方式(RBAC;Role-based Access Control )がよく知られている。RBACにおけるアクセス制御ルールには、所属部門や職責など従業員の「役割」と、当該役割に許可されるアクセス権として、オブジェクトとアクションの組の集合を記述する。
このような役割単位のルール記述により、サブジェクト単位に記述するよりもルール数の増加を抑制することができるため、管理者の負荷が低減される。なお、混乱を避けるため、以下では、「サブジェクト」「オブジェクト」「アクション」の組からなるアクセス制御ルールをACL(Access Control List )と呼び、RBACにおけるアクセス制御ルールをRBACポリシーまたは単にポリシーと呼ぶ。
ところで、RBACポリシーの集合を上述のアクセス機構に適用するためには、当該ポリシーの集合を単一のACL記述に変換する必要がある。なお、従来のRBAC方式では、肯定的ポリシー、すなわち所定の役割について「許可されるアクセス権」のみが記述されるので、単に各ポリシーに関連づけられた役割をもつサブジェクト集合Sと、オブジェクトとアクセションの組の集合OAとの直積S×OAを計算し、それらを任意の記述順序で連結することによって単一のACLに変換可能である。
しかし、ポリシー管理の実務では、否定的ポリシー、すなわち所定の役割について「禁止されるアクセス権」も併せて記述したい場合がある。
例えば、「経理部員は共有サーバ上の経理ファイルにアクセスしてもよい。(ポリシー1)」といったより大きなサブジェクト集合に対する肯定的ポリシーに対して、「他部門の兼務者は経理ファイルにアクセスしてはならない。(ポリシー2)」といったより小さなサブジェクト集合に対する否定的なポリシーを例外的なポリシーとして記述したい場合がある。
上記単一のACLへの変換は、肯定的ポリシーと否定的ポリシーとを同時に含むポリシー集合から、許可または拒否すべきサブジェクトとオブジェクトとアクションの組を同定することに他ならない。特許文献1には、ポリシー集合を階層化し、当該階層構造に基づいて、許可または拒否すべきサブジェクトとオブジェクトとアクションの組を決定する方法が記載されている。
特開2006−155104号公報(段落0071)
肯定的ポリシーと否定的ポリシーとを同時に含むポリシー集合を正しく単一のACLに変換するためには、当該ポリシー集合の各要素についてサブジェクト集合の包含関係に従って、ACL上の記述順序を決定することが必要である。
例えば上述のポリシー集合を単一のACLに変換する場合、ポリシー2から導出されるACL記述の後にポリシー1から導出されるACL記述を連結しなければポリシー間の原則・例外の関係を正しく反映できない。もし、ポリシー1から導出されるACL記述が先に連結された場合には、アクセス制御機構は、経理部員の一部である兼務者に対して、ポリシー1から導出されたACL記述に従い経理ファイルへのアクセスを許可してしまう。
ここで、本発明に用いる用語を以下のように定義する。
[ポリシー包含関係の定義]
ある2つのポリシーp1,p2があり、それぞれに対応するサブジェクト集合をS1,S2とする。このとき、S1⊆S2のとき、かつそのときのみ、p1はp2を包含すると定義する。また、この包含関係をp1<p2と書く。
[ポリシー集合の全順序の定義]
あるポリシー集合P={p1,p2,・・・,pN}が与えられたとき、次の性質を満たすPの要素の系列σをPの全順序と呼ぶ。
・(性質):「任意のPの要素pi,pjについて、pi<pjならば、必ずσ中でpiはpjよりも先に出現する。」
上記単一ACLにおける正しい記述順序は、上述で定義されるポリシー集合の全順序に相当する。すなわち、pi<pjなるポリシーpi,pjについて、それぞれに対応するACL記述をA(pi),A(pj)とすると、単一のACLは、A(pi│A(pj))の順に連結したものである。
例えば、あるP={p1,p2,p3,p4,p5}について、それぞれのポリシーに対応するサブジェクト集合S1,S2,S3,S4,S5について、図18に示すような包含関係があるものとする。このとき、Pに含まれるポリシー包含関係は、p1>p2,p1>p3,p1>p4,p1>p5,p2>p4,p2>p5,p3>p4であり、これらの順序(半順序)を満たす全順序σは、<p1,p2,p3,p4,p5>または<p1,p2,p3,p5,p4>などである。
しかし、RBACポリシ管理方式では、ポリシーに対応するサブジェクト集合の包含関係に基づいて、ポリシー集合の全順序を求める具体的な方法が開示されておらず、肯定的ポリシーと否定的ポリシーとを含むポリシー集合に対応するACLの記述順序をポリシー管理者に提示したり、単一のACLに正しく変換することができなかった。
例えば、特許文献1に記載されている方法では、オブジェクト集合の階層(制御パス)に基づいて、対象のリソースが重複するアクセス制御設定に矛盾がないかどうかを解析し、矛盾が検出された場合は、所与の矛盾対処ルール(アクセス効果値が所定のアクセス効果値以上であるか否か)によって、矛盾するアクセス制御設定のいずれかを修正する旨が記載されている。
しかし、特許文献1に記載されている方法では、サブジェクト集合の包含関係によってポリシー間に原則・例外の関係が生じることについては何ら考慮されていない。例えば、例外が先に登録されていることにより矛盾が検出されれば、正しい順序で適用すれば矛盾が生じない場合であってもポリシー管理者が設定したポリシーを違反として検出してしまう可能性もある。
そこで、本発明は、肯定的ポリシーと否定的ポリシーとを同時に含むポリシー集合を正しく単一のアクセス制御ルールに変換することができるポリシー管理システム、ポリシー管理方法およびポリシー管理用プログラムを提供することを目的とする。
本発明によるポリシー管理装置は、ポリシーの適用対象となるサブジェクト集合を示す情報を含むロール情報と、前記ロール情報に含まれるサブジェクト集合間の包含関係を特定可能な情報とを格納するロール情報記憶手段と、ポリシーを示す情報と、該ポリシーの適用対象となるサブジェクト集合を識別するための情報とを含むポリシー記述を格納するポリシー記述記憶手段と、前記ポリシー記述記憶手段に格納されている2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、2以上のポリシーを階層化したポリシー階層を生成するポリシー階層化手段と、前記ポリシー階層化手段によって生成されたポリシー階層を示す情報に基づいて、全順序化の対象である前記2以上のポリシーによるポリシー集合を、階層における上位・下位の関係を維持したまま、全順序化するポリシー順序化手段とを備えたことを特徴とする。
また、本発明によるポリシー管理システムは、ポリシーの適用対象となるサブジェクト集合を示す情報を含むロール情報と、前記ロール情報に含まれるサブジェクト集合間の包含関係を特定可能な情報とを格納するロール情報記憶手段を備えるロール記憶装置と、ポリシーを示す情報と、該ポリシーの適用対象となるサブジェクト集合を識別するための情報とを含むポリシー記述を格納するポリシー記述記憶手段を備えるポリシー記述記憶装置と、前記ポリシー記述記憶手段に格納されている2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化手段と、前記ポリシー階層化手段によって生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である前記2以上のポリシーによるポリシー集合を全順序化するポリシー順序化手段と、を備えるポリシー全順序化装置と、を有することを特徴とする。
また、本発明によるポリシー順序化方法は、サブジェクト集合間の包含関係が特定可能な所与のサブジェクト集合および適用対象となるサブジェクト集合が示されたポリシー集合に対して、ポリシー集合に含まれる2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化ステップと、ポリシー階層化ステップで生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である2以上のポリシーによるポリシー集合を全順序化するポリシー順序化ステップとを含むことを特徴とする。
また、本発明によるポリシーリスト表示方法は、サブジェクト集合間の包含関係が特定可能な所与のサブジェクト集合および適用対象となるサブジェクト集合が示されたポリシー集合に対して、ポリシー集合に含まれる2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化ステップと、ポリシー階層化ステップで生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である2以上のポリシーによるポリシー集合を全順序化するポリシー順序化ステップと、ポリシー順序化ステップで全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合の要素を整列させて一覧表示する一覧表示ステップとを含むことを特徴とする。
また、本発明によるACL生成方法は、サブジェクト集合間の包含関係が特定可能な所与のサブジェクト集合および適用対象となるサブジェクト集合が示されたポリシー集合に対して、ポリシー集合に含まれる2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化ステップと、ポリシー階層化ステップで生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である2以上のポリシーによるポリシー集合を全順序化するポリシー順序化ステップと、ポリシー順序化ステップで全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合に含まれる各ポリシー記述をACL記述に変換するACL生成ステップとを含むことを特徴とする。
また、本発明によるポリシー順序化プログラムは、コンピュータに、サブジェクト集合間の包含関係が特定可能な所与のサブジェクト集合および適用対象となるサブジェクト集合が示されたポリシー集合に対して、ポリシー集合に含まれる2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化処理と、ポリシー階層化処理で生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である2以上のポリシーによるポリシー集合を全順序化するポリシー順序化処理とを実行させることを特徴とする。
また、本発明によるポリシーリスト表示プログラムは、コンピュータに、サブジェクト集合間の包含関係が特定可能な所与のサブジェクト集合および適用対象となるサブジェクト集合が示されたポリシー集合に対して、ポリシー集合に含まれる2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化処理と、ポリシー階層化処理で生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である2以上のポリシーによるポリシー集合を全順序化するポリシー順序化処理と、ポリシー順序化処理で全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合の要素を整列させて一覧表示する一覧表示処理とを実行させることを特徴とする。
また、本発明によるACL生成プログラムは、コンピュータに、サブジェクト集合間の包含関係が特定可能な所与のサブジェクト集合および適用対象となるサブジェクト集合が示されたポリシー集合に対して、ポリシー集合に含まれる2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化処理と、ポリシー階層化処理で生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である2以上のポリシーによるポリシー集合を全順序化するポリシー順序化処理と、ポリシー順序化ステップで全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合に含まれる各ポリシー記述をACL記述に変換するACL生成処理とを実行させることを特徴とする。
本発明によれば、肯定的ポリシーと否定的ポリシーとを同時に含むポリシー集合を正しく単一のアクセス制御ルールに変換することができる。
第1の実施形態のポリシー管理システムの構成例を示すブロック図である。 ポリシー階層化手段103が有する一次記憶装置の例を示す説明図である。 ポリシー階層の例を示す説明図である。 第1の実施形態の動作の一例を示すフローチャートである。 ポリシー階層の例を示す説明図である。 位相的ソート処理の処理フローの例を示すフローチャートである。 サブジェクト集合間の包含関係の具体例を示す説明図である。 ポリシーDB102に格納されるポリシー記述の具体例を示す説明図である。 ポリシー階層の具体例を示す説明図である。 第2の実施形態のポリシー管理システムの構成例を示すブロック図である。 第2の実施形態の動作の一例を示すフローチャートである。 第2の実施形態におけるポリシーDB102のスキーマ(ポリシーDBスキーマ)の例を示す説明図である。 ACL記述への変換処理の処理フローの例を示すフローチャートである。 第3の実施形態のポリシー管理システムの構成例を示すブロック図である。 第3の実施形態の動作の一例を示すフローチャートである。 第3の実施形態におけるポリシーDB102のスキーマ(ポリシーDBスキーマ)の例を示す説明図である。 ポリシー順序を表示する一覧画面の例を示す説明図である。 サブジェクト集合間の包含関係の例を示す説明図である。 本発明の概要を示すブロック図である。 本発明の概要としてポリシー管理装置の他の構成例を示すブロック図である。
1.第1実施形態
1.1.構成
以下、本発明の実施形態を図面を参照して説明する。図1は、本発明の第1の実施形態のポリシー管理システムの構成例を示すブロック図である。図1に示すポリシー管理システムは、アクセス制御ポリシー管理装置1を備える。アクセス制御ポリシー管理装置1は、中央処理装置(CPU)100を有するコンピュータであって、ポリシーデータベース(DB)102と、ロールDB101と、ポリシー階層化手段103と、ポリシー順序化手段104とを含む。なお、図1では、アクセス制御ポリシー管理装置1が上記構成要素を全て備える例を示しているが、例えば、ポリシーDB102やロールDB101が別装置(データベースシステム)として実装され、ネットワークを介して接続されているような構成であってもよい。
ポリシーDB102は、ポリシー記述を格納する。ポリシー記述は、例えば、ポリシーの識別子(以下、ポリシーIDという。)と、特定のロールの識別子(以下、ロールIDという。)と、オブジェクトごとに許可または禁止するアクションを規定した1つ以上の記述要素とを含む情報である。また、ポリシーDB102は、ポリシー階層化手段103からのポリシーIDの入力を受けて、格納しているポリシー記述の中から対応するポリシー記述を出力する。
ロールDB101は、ロールIDごとに関連付けられたユーザ名などのサブジェクトの集合を示す情報を格納する。以下、ロールIDとサブジェクト集合とを対応づけた情報をロール情報という場合がある。また、ロールDB101は、ポリシー階層化手段103からのロールIDの入力を受けて、格納しているサブジェクト集合の中から対応するサブジェクト集合を出力する。なお、ロールDB101が格納する情報には、ロール情報のほかに、各ロール情報に含まれるサブジェクト集合間の包含関係を特定可能な情報が含まれていてもよい。例えば、各サブジェクト集合の帰属に関する情報(そのサブジェクト集合が適用範囲全体からみてどのグループに属しているか等)を含んでいてもよい。
ポリシー階層化手段103は、内部的に備える1次記憶装置1031(図2参照。)に格納されたポリシーIDリスト1032から順次ポリシーIDを抽出しながら、ポリシーDB102から対応するポリシー記述を抽出する。また、抽出したポリシー記述に記述されたロールIDをロールDB101に入力して、対応するサブジェクト集合を抽出する。さらに、ポリシーIDをノードとし、抽出したサブジェクト集合に包含関係があるポリシーIDノード間に、有向リンクを付加したポリシー階層データを生成し、ポリシー順序化手段104に出力する。
ここで、ポリシー階層データとは、以下のように定義される「ポリシー階層」を記述した情報である。
[ポリシー階層の定義]
あるポリシー集合P={p1,p2,・・・,pN}が与えられたとき、Pの各要素をノードとしてもち、任意の要素pi、pjの間にpi<pjの関係があれば、piからpjに向かう有向リンクを付加した有向グラフを、ポリシー階層と呼ぶ。このとき、あるノードpに隣接するノード集合のうち、互いに有向リンクで接続されないノードの集合を層と呼ぶ。
例えば、上述のポリシー集合の全順序の定義において示したポリシー集合の例では、図3のようなポリシー階層が得られる。これに対して、位相的ソートを行うことで、全順序を求めることができる。
本発明では、サブジェクト集合間の含む・含まれる関係を順序づけルールとし、サブジェクト集合の集合に対して、この順序づけルールを適用して各ポリシーを列挙する。このとき、一部の要素について含む・含まれるの関係になくても、元のルールに反しないように列挙するために、ポリシー階層という概念を導入する。例えば、部門単位のアクセス権をRBACポリシーとした場合、組織階層に同型のポリシー階層を作成し、下層から上層に向かって適用することにより、複数のRBACポリシーを正しい順序で適用することができる。ここで、正しい順序とは、「下位部門のポリシーは上位部門のポリシーよりも先に適用されなければならない」というルールで定められた順序をいう。
ポリシー順序化手段104は、ポリシー階層化手段103が出力するポリシー階層データに対して、位相的ソートを行って得られる、ポリシー適用順序を示すポリシーID列を出力する。
なお、本実施形態において、ポリシー階層化手段103およびポリシー順序化手段104は、それらの機能を実現するためのプログラムとプログラムに従って制御を実行するCPU100とによって実現可能である。
1.2.動作
次に、本実施形態の動作について説明する。図4は、本実施形態のポリシー管理システム(より具体的には、アクセス制御ポリシー管理装置1)の動作の一例を示すフローチャートである。
図4に示す例では、まず、ポリシー階層化手段103が、N個のポリシーIDを含むポリシーIDリスト1032を、先頭から走査してk番目のポリシーIDであるpid[k]を抽出する(ステップA1)。ここでkの初期値は1である。
つづいて、ポリシーDB102にpid[k]を入力して、対応するポリシー記述p[k]を取得し(ステップA2)、p[k]に含まれるロールIDであるrid[k]を、ロールDB101に入力して対応するサブジェクト集合S[k]を取得する(ステップA3)。この際、<pid[k],S[k]>の組を一次記憶装置1031のスタック領域にプッシュする(LIFO方式にて格納する)。
以上の処理をN個すべてのポリシーIDに対して繰り返す(ステップA4〜A5)。
そして、ポリシーIDリスト1032に対して、全ての処理を完了したとき(k=N)、ポリシー階層化手段103が次の動作を行う。なお、このとき、スタック領域には、<pid[1],S[1]>,<pid[2],S[2]>,・・・,<pid[N],S[N]>(以下、<pid[1],S[1]>ないし<pid[N],S[N]>という。)が格納されている。
ポリシー階層化手段103は、<pid[1],S[1]>ないし<pid[N],S[N]>について、まず当該入力に含まれるS[1]〜S[N]の中の任意の2つを利用した全ての組み合わせ{<S[1],S[2]>,<S[1],S[3]>,・・・,<S[1],S[N]>,・・・,<S[N−1],S[N]>}を生成し(ステップA6)、各組み合わせについて、以下に示すステップA7〜A12の動作を繰り返す。
まず、ステップA7で<S[i],S[j]>を参照したとする。このとき、ポリシー階層化手段103は、S[i],S[j]の包含関係を判定する(ステップA8)。ポリシー階層化手段103は、判定結果として、(ア)S[i]⊆S[j]、(イ)S[j]⊆S[i]、(ウ)包含関係なしの3通りのいずかであることを判別し、それぞれの場合について、以下のように動作する。なお、サブジェクト集合間の包含関係は、例えば、ロールDB101に格納されている各サブジェクト集合の帰属に関する情報を参照することによって判別してもよい。
(ア)S[i]⊆S[j]の場合、pid[i]およびpid[j]に対応するノードn[i],n[j]を生成し、n[i]からn[j]に向かう有向リンクを生成する(ステップA9)。
(イ)S[j]⊆S[i]の場合、pid[i]およびpid[j]に対応するノードn[i],n[j]を生成し、n[j]からn[i]に向かう有向リンクを生成する(ステップA10)。
(ウ)包含関係なしの場合、pid[i]およびpid[j]に対応するノードn[i],n[j]を生成する(ステップA11)。
以上の動作により、ポリシー階層化手段103は、図5に示すようなポリシー階層を示すポリシー階層データを生成し、生成したポリシー階層データをポリシー順序化手段104に入力する。図5は、ポリシー階層の例を示す説明図である。図5は、pid[1]〜pid[8]を対象にした場合の例であって、上に位置するノードに対応するポリシーほど原則的なポリシーであり、また下に位置するノードに対応するポリシーほど例外的なポリシーであることが示されている。
次に、ポリシー順序化手段104は、入力されたポリシー階層データを走査して、位相的ソートを行ってポリシー順序を決定し、決定したポリシー順序を示すポリシーID列を出力する(ステップA13)。位相的ソートとは、順序づけルールと列挙対象の集合を与えたときに、「ソート出力中、a→bの順に並んでいる任意の2要素a,bについて、a→bは順序づけルールに少なくとも反していないこと、すなわちルールで与えた順序であること、またはルールが適用できない組み合わせであること」という条件を満たしながら全要素を1列に並べるソート方法である。
また、図6は、ポリシー順序化手段104による位相的ソート処理の処理フローの一例を示すフローチャートである。図6に示す例では、ポリシー順序化手段104は、まず、入力されたポリシー階層データを走査して、入力リンクのないノードの集合Nを抽出する(ステップB1)。
次に、Nの各要素を起点として、ポリシー階層データに対して、深さ優先探索に従い、以下のステップB2を再帰的に実行する。
ステップB2では、参照中のノードが次の条件を満たす場合に、所定のスタックに当該ノードを追加する。また、当該条件が満たされている場合、当該参照中ノードに訪問ずみフラグを付与する。
・(条件):当該ノードに出力リンクが一切ないか、あってもリンク先ノードの全てに訪問ずみフラグが付加されている。
そして、当該スタックから1つずつノードを抽出しながら、当該ノードに付与された番号kに対応するポリシーIDであるpid[k]のリストを生成する(ステップB3)。
1.3.効果
以上のように生成されたリスト中のポリシーIDは、ポリシー階層データにおいて、対応するノードがNの要素から「深い層→浅い層」の順に整列されている。例えば、ノードn[j]からn[i]への有向パスが存在する場合、すなわちn[j]がn[i]よりもより深い層にある場合、かならずpid[j],pid[i]の順にリストに出現する。このとき、ステップA8〜A11におけるポリシー階層データの生成方法から、pid[i]およびpid[j]に対応するサブジェクト集合は、かならずS[j]⊆S[i]の関係にあるため、pid[i]およびpid[j]に対応するポリシー記述間の包含関係が維持されるという効果が得られる。
すなわち、本実施形態によれば、半順序構造のサブジェクト集合の包含関係に基づいて、ポリシー集合の全順序を一意に求めることができる。
1.4.具体例
以下、より具体的な例を用いて本実施形態の動作を説明する。まず、ロールDB101に格納されたサブジェクト集合として、「全社員」「経理部門」「人事部門」「総務部員」「経理・人事兼務者」の4つが格納されており、これら相互の包含関係が図7の通りであるとする。
また、ポリシーDB102には、4つのサブジェクト集合のそれぞれに対応するポリシーとして、以下に示す内容をもつポリシー記述が格納されているものとする。
・ポリシーID=p1:<全社ポリシー>全社員ロールのユーザについて、全社共通Webサーバへのアクセスを許可する。
・ポリシーID=p2:<経理部ポリシー>経理部ロールのユーザについて、経理部ファイルサーバへのアクセスを許可する。
・ポリシーID=p3:<人事部ポリシー>人事部ロールのユーザについて、人事部グループウェアサーバへのアクセスを許可する。
・ポリシーID=p4:<総務部ポリシー>総務部ロールのユーザについて、総務部ファイルサーバへのアクセスを許可する。
・ポリシーID=p5:<経理・人事兼務ポリシー>経理・人事兼務ロールのユーザについて、経理部ファイルサーバへのアクセスを禁止し、人事部グループウェアサーバへのアクセスを禁止する。
さらに、ポリシー階層化手段103のポリシーIDリスト1032には、上述のポリシーIDが、「p1」「p2」「p3」「p4」「p5」の順で記載されているものとする。なお、ポリシー記述フォーマットは、経理部などの「ロール」、Webサーバ・ファイルサーバなどの「リソース」を記述できれば十分であるが、本例では、図8に示すようなXACML(eXtende Access control Markup Language)を用いることとする。図8は、ポリシーDB102に格納されるポリシー記述の例を示す説明図である。
また、全社員のユーザIDとして、{keiri_ichiro,keiri_jiro,jinji_hanako,jinji_kyouko,soumu_taro}が与えられているものとする。なお、"keiri_ichiro"および"keiri_jiro"は経理部所属、"jinji_hanako"は経理部と人事部に所属(経理・人事兼務)、"jinji_kyouko"は人事部所属、"soumu_taro"は総務部所属であるとして各サブジェクト集合に関連づけられているものとする。
このとき、ポリシー階層化手段103は、ステップA1で、ポリシーIDリスト1032を参照して、まずポリシーID=p1(pid[1]=p1)を抽出する。そして、ステップA2で、pid[1]=p1をポリシーDB102に入力して、「全社員ポリシー」を抽出する。そして、ステップA3で、対応するロールIDである「全社員ロール」をロールDB101に入力して、全社員のユーザIDを含むサブジェクト集合を取得し、スタック領域にポリシーIDとサブジェクト集合との組を格納する。
1回目の処理では、ポリシーIDリスト1032からpid[1]=p1を抽出し、サブジェクト集合としてS[1]={keiri_ichiro,keiri_jiro,jinji_hanako,jinji_kyouko,soumu_taro}を取得する。そして、スタック領域に、<p1,{keiri_ichiro,keiri_jiro,jinji_hanako,jinji_kyouko,soumu_taro}>を格納する。
そして、ポリシーID=p2〜p5について、同様の動作を繰り返す(ステップA4,A5)
2回目の処理では、ポリシーIDリスト1032からpid[2]=p2を抽出し、サブジェクト集合としてS[2]={keiri_ichiro,keiri_jiro}を取得する。そして、スタック領域に、<p2,{keiri_ichiro,keiri_jiro}>を格納する。
3回目の処理では、ポリシーIDリスト1032からpid[3]=p3を抽出し、サブジェクト集合としてS[3]={jinji_hanako,jinji_kyouko}を取得する。そして、スタック領域に、<p3,{jinji_hanako,jinji_kyouko}>を格納する。
4回目の処理では、ポリシーIDリスト1032からpid[4]=p4を抽出し、サブジェクト集合としてS[4]={soumu_taro}を取得する。そして、スタック領域に、<p4,{soumu_taro}>を格納する。
5回目の処理では、ポリシーIDリスト1032からpid[5]=p5を抽出し、サブジェクト集合としてS[5]={jinji_hanako}を取得する。そして、スタック領域に、<p5,{jinji_hanako}>を格納する。
5回目の処理を終えて繰り返し動作を完了した後、ポリシー階層化手段103のスタック領域には、以下のようなデータが格納されている。
<p5,{jinji_hanako}>
<p4,{soumu_taro}>
<p3,{jinji_hanako,jinji_kyouko}>
<p2,{keiri_ichiro,keiri_jiro}>
<p1,{keiri_ichiro,keiri_jiro,jinji_hanako,jinji_kyouko,soumu_taro}>
つづいて、ポリシー階層化手段103は、当該スタック領域に格納された5つのサブジェクト集合を抽出して、10通りのサブジェクト集合の組み合わせを生成する(ステップA6)。そして、各組み合わせから、ポリシー階層データを生成する。
ポリシー階層データの生成方法は、包含関係により3通りであるので、それぞれの場合について具体例を示す。
(ア)S[i]⊆S[j]の場合
例えば{keiri_ichiro,keiri_jiro}と{keiri_ichiro,keiri_jiro,jinji_hanako,jinji_kyouko,soumu_taro}の組み合わせの場合、前者のサブジェクト集合に対応するポリシーIDはp2であり、後者はp1であるので、ノードp2およびノードp1を生成して、ノードp2からノードp1へ向かう有向リンクを付与する(ステップA9)。
(イ)S[j]⊆S[i]の場合
例えば{jinji_hanako,jinji_kyouko}と{jinji_hanako}の組み合わせの場合、前者のサブジェクト集合に対応するポリシーIDはp3であり、後者はp5であるので、ノードp3およびノードp5を生成して、ノードp5からノードp3へ向かう有向リンクを付与する(ステップA10)。ただし、ノードp3については、前段の動作で既に生成済みである場合には、重複したノードは生成しない。
(ウ)包含関係なしの場合
例えば、{jinji_hanako,jinji_kyouko}と{soumu_taro}の組み合わせの場合、前者のサブジェクト集合に対応するポリシーIDはp3であり、後者はp4であるので、ノードp3およびノードp5を生成し、この間に一切の有向リンクを付与しない(ステップA11)。ただし、ノードp3については、前段の動作で既に生成済みである場合には、重複したノードは生成しない。
以上の動作により、ポリシー階層化手段103は、図9に示すポリシー階層を表現するポリシー階層データを生成する。図9は、ポリシー階層の例を示す説明図である。図9に示す例では、ノードとして、5つのポリシーに対応する5つのノード(ノードp1,p2,p3,p4,p5)が生成され、有向リンクとして6つのリンク(ノードp5からノード2、ノードp5からノードp3、ノードp4からノードp1、ノードp3からノードp1、ノードp2からノードp1)が付与されている。
このようなポリシー階層データに対して、ポリシー順序化手段104は位相的ソートを行って、ポリシー順序を決定する(ステップA13)。
具体的には、まず、入力リンクのないノード集合{ノードp4,ノードp5}を抽出する(ステップB1)。これらいずれのノードから深さ優先探索を行ってもよいが、ここではノードp5から探索を行うものとする。
ついで、ノードp5を起点として深さ優先探索を行い、上記条件に合致するノードp1を検出し、スタックに格納する(ステップB2)。また、ノードp1に訪問ずみフラグを付与する。
この探索動作は再帰的に行うので、次にポリシー順序化手段104は、ノードp2ないしノードp3について、上記条件判定を行う。今、ノードp2を参照中であるとすると、ノードp2のリンク先はノードp1しかなく、かつノードp1には訪問ずみフラグが付与されているので、ノードp2は上記条件に合致する。そこで、ノードp2をスタックに格納し、訪問ずみフラグを付与する。ノードp3についても同様である。最終的にノードp5からリンクされた全てのノードp1,ノードp2,ノードp3に訪問ずみフラグが付与されるので、ノードp5もスタックに格納され、訪問ずみフラグが付与される。このとき、スタックには、先頭からノードp5,ノードp3,ノードp2,ノードp1の順にノードが格納されている。
その後、もうひとつの入力リンクのないノードであるノードp4を起点として、深さ優先探索を行う。この場合、ノードp4からリンクされているノードは、ノードp1のみであり、かつノードp1は訪問ずみフラグが付与されているので、ポリシー順序化手段104は、単にノードp4をスタックに格納し、訪問ずみフラグを付与して探索処理を終了する。
以上の結果、スタックには、先頭からノードp4,ノードp5,ノードp3,ノードp2,ノードp1の順にノードが格納されている。
そして、ポリシー順序化手段104は、スタックの先頭からノードを1つずつ参照しながら、参照ノードに対応するポリシーIDのリストを生成する(ステップB3)。
すなわち、p4→p5→p3→p2→p1という順序で並んだポリシーIDリストを生成する。これは、ポリシー階層データにおいて、「深い層→浅い層」の順にポリシーIDを整列した結果に相当する。
2.第2実施形態
2.1.構成
次に、本発明の第2の実施形態について図面を参照して説明する。図10は、第2の実施形態のポリシー管理システムの構成例を示すブロック図である。図10に示すポリシー管理システムは、図1に示す第1の実施形態を基本とし、アクセス制御ポリシー管理装置1が、さらに、ACL生成条件入力手段107と、ACL生成手段108とを備える。
ACL生成条件入力手段107は、キーボード装置やマウス装置などのユーザ入力装置を有し、ポリシーの変換範囲に関する条件入力を受けて、当該条件をポリシーIDリストの形式で、ポリシー階層化手段103に入力する。また、当該変換範囲に含まれるポリシー記述の集合をポリシーDB102から抽出し、ACL生成手段108に入力する。
ACL生成手段108は、二次記憶装置を有し、ACL生成条件入力手段107から入力されたそれぞれのポリシー記述について、ポリシー順序化手段104から入力されたポリシー順序に従って、ロールDB101を参照しながら、順次ACL記述に変換し、変換結果(ACL記述)を二次記憶装置に格納する。
なお、本実施形態において、ACL生成条件入力手段107は、ユーザ入力装置とデータ入力の受付や変換に係る機能を実現するためのプログラムとプログラムに従って制御を実行するCPU100とによって実現可能である。また、ACL生成手段108は、その機能を実現するためのプログラムとプログラムに従って制御を実行するCPU100とによって実現可能である。
2.2.動作
図11は、本実施形態のポリシー管理システム(より具体的には、アクセス制御ポリシー管理装置1)の動作の一例を示すフローチャートである。図11に示す例では、まず、ACL生成条件入力手段107が、ユーザ入力装置を介して、ポリシー配付条件(ACL生成条件ともいう。)の指示入力を受ける(ステップD1)。当該条件には、少なくともポリシー生成範囲が含まれる。ここで、ポリシー生成範囲については、例えば「ポリシーDBに格納された全てのポリシー」、「過去ACL生成が指示されていないポリシー」、「指定したロール集合に対応するポリシー」など、ポリシーDB102に格納されたポリシー記述の集合を特定できるものであれば、任意の条件を指示可能である。
次に、ACL生成条件入力手段107は、入力されたポリシー生成範囲に関する条件に従って、ポリシーDB102を参照しながら、当該条件に合致するポリシー集合を同定する(ステップD2)。ここで、ポリシー集合の同定方法に関して、例えば図12に示すようなポリシーDBスキーマに従ってポリシーDB102にポリシー記述が格納されている場合、生成範囲条件に対応するACL生成済みフラグカラムやロールIDカラムを参照することで、条件に合致するポリシーIDを同定できる。より具体的には、以下のようなSQL文でビューを生成してもよい。
・ACL生成有無の例:SELECT ポリシーID FROM ポリシーDB WHERE AL生成フラグ=0(ここでは、未生成を示す値)
・ロールIDの例:SELECT ポリシーID FROM ポリシーDB WHERE ロールID=(指定されたロールID[1]) OR ロールID=(指定されたロールID[2]) OR ・・・
このようにポリシーIDリスト1032に格納可能なポリシーIDの集合としてポリシー集合を抽出すると、ACL生成条件入力手段107は、当該ポリシー集合のリスト(ポリシーIDリスト)を、ポリシー階層化手段103の一次記憶装置1031にコピーする(格納する)。また、当該ポリシーIDリストから、対応するポリシー記述の集合をポリシーDB102から抽出して、ACL生成手段108に入力する。
その後、ポリシー階層化手段103およびポリシー順序化手段104は、第1の実施形態のステップA1〜A13の動作と同様に、ポリシー階層化手段103の一次記憶装置1031に格納されているポリシー集合に対するポリシー順序データを生成する(ステップD3)。
そして、ACL生成手段108は、ACL生成条件入力手段107から入力された各ポリシー記述について、ポリシー順序化手段104から入力されたポリシー順序データに従って、ACL記述へと変換し、二次記憶装置の同一ファイルへ追記する(ステップD4)。
以下、ポリシー記述からACL記述への変換方法を図13を参照してより具体的に説明する。図13は、ACL記述への変換処理の処理フローの一例を示すフローチャートである。図13に示す例では、ACL生成手段108は、まず現在参照しているポリシー記述に含まれるロールID、およびオブジェクト・アクションの組の集合OAを抽出する(ステップE1)。ここで、オブジェクトとはアクセス対象であるファイルやコンピュータなどであり、アクションとはオブジェクトに対して行われる操作(例えば、ファイルへの読込みや書込みなど)である。
次に、ロールIDをロールDB101に入力して、対応するサブジェクト集合Sを取得する(ステップE2)。その後、サブジェクト集合Sとオブジェクト・アクション組集合OAの直積S×OAを計算する(ステップE3)。
例えば、S={sato,suzuki,tanaka}であり、OA={(ファイル1,read−only),(ファイル2,read−write)}であるとき、以下の6つの(S,O,A)の組が得られる。
(1)(sato,ファイル1,read−only)
(2)(sato,ファイル2,read−write)
(3)(suzuki,ファイル1,read−only)
(4)(suzuki,ファイル2,read−write)
(5)(tanaka,ファイル1,read−only)
(6)(tanaka,ファイル2,read−write)
最後に、上記(S,O,A)の組のそれぞれをACL記述に変換して、二次記憶装置に追記する(ステップE4)。ここで、ACL記述形式は、S,O,Aが識別可能であれば任意である。例えば、各要素をカンマ区切りで列挙するCSV(Comma, Separeted Valures)形式を用いる場合、以下のようなACL記述を生成してもよい。
(1)sato,ファイル1,read−only(改行記号)
(2)sato,ファイル2,read−write(改行記号)
(3)suzuki,ファイル1,read−only(改行記号)
(4)suzuki,ファイル2,read−write(改行記号)
(5)tanaka,ファイル1,read−only(改行記号)
(6)tanaka,ファイル2,read−write(改行記号)
2.3.効果
以上のように、本実施形態によれば、ポリシー間の例外・原則関係について適切に、すなわち例外を優先して、ACL記述に変換できる。これは、ポリシー階層化手段103が、例外ポリシーをより深い層に配置して、ポリシー階層データを生成し、ポリシー順序化手段104が、当該ポリシー階層データのより深い層から浅い層に向けてポリシーIDを順序化し、当該順序に基づいてACL記述に変換するためである。
3.第3実施形態
3.1.構成
次に、本発明の第3の実施形態について図面を参照して説明する。図14は、第3の実施形態のポリシー管理システムの構成例を示すブロック図である。図14に示すポリシー管理システムは、図1に示す第1の実施形態を基本とし、アクセス制御ポリシー管理装置1が、さらに、ポリシー表示条件入力手段105と、ポリシーリスト表示手段106とを備える。
ポリシー表示条件入力手段105は、キーボード装置やマウス装置などのユーザ入力装置を有し、ポリシーの表示範囲および表示順序に関する条件入力を受けて、ポリシー表示範囲をポリシーIDリストに変換して、ポリシー階層化手段103に入力する。また、表示順序については、ポリシーリスト表示手段106に入力する。
ポリシーリスト表示手段106は、液晶ディスプレイ装置(LCD)などの表示デバイスを有し、ポリシー表示条件入力手段105からポリシー順序の順に表示するよう表示条件の入力を受けた際に、ポリシー順序化手段104が出力するポリシー順序に従って、各ポリシーの情報(例えば、ポリシーID)を表示デバイスに一覧表示する。
なお、本実施形態において、ポリシー表示条件入力手段105は、ユーザ入力装置とデータ入力の受付や変換に係る機能を実現するためのプログラムとプログラムに従って制御を実行するCPU100とによって実現可能である。また、ポリシーリスト表示手段106は、その機能を実現するためのプログラムとプログラムに従って制御を実行するCPU100と表示デバイスとによって実現可能である。
3.2.動作
図15は、本実施形態のポリシー管理システム(より具体的には、アクセス制御ポリシー管理装置1)の動作の一例を示すフローチャートである。図15に示す例では、まず、ポリシー表示条件入力手段105が、ユーザ入力装置を介して、表示条件の指示入力を受ける(ステップC1)。当該表示条件には、少なくともポリリー表示範囲と表示順序に関する条件が含まれる。ここで、ポリシー表示範囲については、例えば「ポリシーDBに格納された全てのポリシー」、「更新日時に関する期間」、「ポリシーを作成した管理者ID」など、ポリシーDB102に格納されたポリシー記述の集合を特定できるものであれば、任意の条件を指示可能である。また、表示順序については、例えば「ポリシー適用順」のほか、「ポリシー名称の辞書順」や「ポリシー更新日時順」などを指定できるようにしてもよい。
次に、ポリシー表示条件入力手段105は、入力されたポリシー表示範囲に関する条件に従って、ポリシーDB102を参照しながら、当該条件に合致するポリシー集合を同定する(ステップC2)。ここで、ポリシー集合の同定方法に関して、例えば図16に示すようなポリシーDBスキーマに従ってポリシーDB102にポリシー記述が格納されている場合、表示範囲条件に対応する更新日時カラムや管理者IDカラムを参照することで、条件に合致するポリシーIDを同定できる。より具体的には、以下のようなSQL文でビューを生成してもよい。
・更新日時の例:SELECT ポリシーID FROM ポリシーDB WHERE (指定された期間の初め)< 更新日時 AND 更新日時 < (指定された期間の終わり)
・管理者IDの例:SELECT ポリシーID FROM ポリシーDB WHERE 管理者ID=(指定された管理者ID)
このようにポリシーIDリスト1032に格納可能なポリシーIDの集合としてポリシー集合を抽出すると、ポリシー表示条件入力手段105は、当該ポリシー集合のリスト(ポリシーIDリスト)を、ポリシー階層化手段103の一次記憶装置1031にコピーする(格納する)。また、受け付けた表示条件をポリシーリスト表示手段106に入力する。
その後、ポリシー階層化手段103およびポリシー順序化手段104は、第1の実施形態のステップA1〜A13の動作と同様に、ポリシー集合に対するポリシー順序データを生成する(ステップC3)。そして、ポリシーリスト表示手段106は、生成されたポリシー順序データに従って、ポリシー集合の各要素であるポリシーIDまたは関連づけられたポリシー名称を、表示装置を介して表示する(ステップC4)。ポリシーリスト表示手段106は、例えば、図17に示すような一覧画面を表示してもよい。図17に示す例では、ポリシーIDを指示された順序で一覧表示する例が示されている。また、表示順序の切替指示として、「優先度順」、「名前順」、「作成日時順」のいずれかを選択するラジオボタンが示されている。
3.3.効果
以上のように、本実施形態によれば、ポリシー順序に従って一覧表示することで、アクセス制御ポリシー管理装置1のユーザであるポリシー管理者は、直観的にポリシーが適用される順序を認識でき、ポリシーの矛盾などを発見しやすくなる。例えば、ポリシー管理者は、自身が作成したポリシーよりも後に表示されるポリシー(すなわち、より優先度が低いポリシー)を検証するだけで、自身の作成したポリシーに矛盾し、かつ実際に適用される別のポリシーを発見できる。
以下、本発明の概要について説明する。図19は、本発明の概要を示すブロック図である。本発明のポリシー管理装置10は、ロール情報記憶手段11と、ポリシー記述記憶手段12と、ポリシー階層化手段13と、ポリシー順序化手段14とを備える。
ロール情報記憶手段11(例えば、ロールDB101)は、ポリシーの適用対象となるサブジェクト集合を示す情報を含むロール情報と、ロール情報に含まれるサブジェクト集合間の包含関係を特定可能な情報とを格納する。
ポリシー記述記憶手段12(例えば、ポリシーDB102)は、ポリシーを示す情報と、該ポリシーの適用対象となるサブジェクト集合を識別するための情報とを含むポリシー記述を格納する。
ポリシー階層化手段13(例えば、ポリシー階層化手段103)は、ポリシー記述記憶手段12に格納されている2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成する。
ポリシー階層化手段13は、例えば、サブジェクト集合に包含関係があるポリシーノード間に、有向リンクを付加したポリシー階層データを生成することによって、ポリシー階層を生成してもよい。
ポリシー順序化手段14(例えば、ポリシー順序化手段104)は、ポリシー階層化手段13によって生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である2以上のポリシーによるポリシー集合を全順序化する。
ポリシー順序化手段14は、例えば、入力リンクのないノードの集合の各要素を起点として、ポリシー階層データに対して、深さ優先探索に従い位相的ソートを行うことによって、全順序化の対象となったポリシー集合を全順序化してもよい。
そのような構成によって、サブジェクト集合の包含関係からポリシーの包含関係を導出し、導出されたポリシーの包含関係に基づいて、ポリシー集合の全順序を一意に求めることができるので、肯定的ポリシーと否定的ポリシーとを同時に含むポリシー集合を正しく単一のアクセス制御ルールに変換することができる。
また、図20は、本発明の概要としてポリシー管理装置の他の構成例を示すブロック図である。例えば、図20に示すように、本発明のポリシー管理装置1は、さらに、ポリシーリスト表示手段15を備えていてもよい。
ポリシーリスト表示手段15(例えば、ポリシーリスト表示手段106)は、ポリシー順序化手段14によって全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合の要素を整列させて一覧表示する。
そのような構成によって、ポリシー集合の各要素について、単一のACLにおける記述順序を一覧表示することができるので、ポリシー管理者によるポリシーの検証を支援できる。
また、図20に示すように、本発明のポリシー管理装置1は、さらに、ACL生成手段16を備えていてもよい。
ACL生成手段16(例えば、ACL生成手段108)は、ポリシー順序化手段によって全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合に含まれる各ポリシー記述をACL記述に変換する。
そのような構成によって、肯定的ポリシーおよび否定的ポリシーの両方を要素としてもつポリシー集合について、全順序に従った記述順に単一のACLを生成することができるので、アクセし制御機構において、例外的に定めたポリシーに従ったアクセス制御を適切に実施させることができる。
なお、図19および20に示すような、物理的に分離した1つの装置(ポリシー管理装置)がすべての手段を有する例のほか、上述の通り2つ以上の物理的に分離した装置で図19および20に示す手段を備え、これらの装置を有線または無線で接続することでポリシー管理システムを構成することも可能である。
例えば、ポリシー管理システムは、ロール情報記憶手段を備えるロール記憶装置と、ポリシー記述記憶手段を備えるポリシー記述記憶装置と、ポリシー階層化手段およびポリシー順序化手段を備えるポリシー全順序化装置と、により構成されてもよい。なお、ポリシー全順序化装置は、さらに、ポリシーリスト表示手段またはACL生成手段を備えてもよい。
このように構成した場合、多数のロール情報および/またはポリシー記述が存在する大規模環境において、ポリシー全順序化装置を複数台備えることで、負荷分散が達成できる。
以下、参考形態の例を付記する。
1. ポリシーの適用対象となるサブジェクト集合を示す情報を含むロール情報と、前記ロール情報に含まれるサブジェクト集合間の包含関係を特定可能な情報とを格納するロール情報記憶手段と、
ポリシーを示す情報と、該ポリシーの適用対象となるサブジェクト集合を識別するための情報とを含むポリシー記述を格納するポリシー記述記憶手段と、
前記ポリシー記述記憶手段に格納されている2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、2以上のポリシーを階層化したポリシー階層を生成するポリシー階層化手段と、
前記ポリシー階層化手段によって生成されたポリシー階層を示す情報に基づいて、全順序化の対象である前記2以上のポリシーによるポリシー集合を、階層における上位・下位の関係を維持したまま、全順序化するポリシー順序化手段と、
を備えたことを特徴とするポリシー管理装置。
2. ポリシー順序化手段によって全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合の要素を整列させて一覧表示するポリシーリスト表示手段を備えた1に記載のポリシー管理装置。
3. ポリシー順序化手段によって全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合に含まれる各ポリシー記述をACL記述に変換するACL生成手段を備えた1または2に記載のポリシー管理装置。
4. ポリシー階層化手段は、サブジェクト集合に包含関係があるポリシーノード間に、有向リンクを付加したポリシー階層データを生成することによって、ポリシー階層を生成する1から3のうちのいずれかに記載のポリシー管理装置。
5. ポリシー順序化手段は、入力リンクのないノードの集合の各要素を起点として、ポリシー階層データに対して、深さ優先探索に従い位相的ソートを行うことによって、全順序化の対象となったポリシー集合を全順序化する4に記載のポリシー管理装置。
6. ポリシーの適用対象となるサブジェクト集合を示す情報を含むロール情報と、前記ロール情報に含まれるサブジェクト集合間の包含関係を特定可能な情報とを格納するロール情報記憶手段を備えるロール記憶装置と、
ポリシーを示す情報と、該ポリシーの適用対象となるサブジェクト集合を識別するための情報とを含むポリシー記述を格納するポリシー記述記憶手段を備えるポリシー記述記憶装置と、
前記ポリシー記述記憶手段に格納されている2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化手段と、
前記ポリシー階層化手段によって生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である前記2以上のポリシーによるポリシー集合を全順序化するポリシー順序化手段と、
を備えるポリシー全順序化装置と、
を有するポリシー管理システム。
7. 前記ポリシー全順序化装置は、さらに、
ポリシー順序化手段によって全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合の要素を整列させて一覧表示するポリシーリスト表示手段を備えた6に記載のポリシー管理システム。
8. 前記ポリシー全順序化装置は、さらに、
ポリシー順序化手段によって全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合に含まれる各ポリシー記述をACL記述に変換するACL生成手段を備えた6または7に記載のポリシー管理システム。
9. サブジェクト集合間の包含関係が特定可能な所与のサブジェクト集合および適用対象となるサブジェクト集合が示されたポリシー集合に対して、
前記ポリシー集合に含まれる2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化ステップと、
前記ポリシー階層化ステップで生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である前記2以上のポリシーによるポリシー集合を全順序化するポリシー順序化ステップと、
を含むことを特徴とするポリシー順序化方法。
10. サブジェクト集合間の包含関係が特定可能な所与のサブジェクト集合および適用対象となるサブジェクト集合が示されたポリシー集合に対して、
前記ポリシー集合に含まれる2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化ステップと、
前記ポリシー階層化ステップで生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である前記2以上のポリシーによるポリシー集合を全順序化するポリシー順序化ステップと、
前記ポリシー順序化ステップで全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合の要素を整列させて一覧表示する一覧表示ステップと、
を含むことを特徴とするポリシーリスト表示方法。
11. サブジェクト集合間の包含関係が特定可能な所与のサブジェクト集合および適用対象となるサブジェクト集合が示されたポリシー集合に対して、
前記ポリシー集合に含まれる2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化ステップと、
前記ポリシー階層化ステップで生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である前記2以上のポリシーによるポリシー集合を全順序化するポリシー順序化ステップと、
前記ポリシー順序化ステップで全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合に含まれる各ポリシー記述をACL記述に変換するACL生成ステップと、
を含むことを特徴とするACL生成方法。
12. コンピュータに、
サブジェクト集合間の包含関係が特定可能な所与のサブジェクト集合および適用対象となるサブジェクト集合が示されたポリシー集合に対して、
前記ポリシー集合に含まれる2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化処理と、
前記ポリシー階層化処理で生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である前記2以上のポリシーによるポリシー集合を全順序化するポリシー順序化処理と、
を実行させるためのポリシー順序化プログラム。
13. コンピュータに、
サブジェクト集合間の包含関係が特定可能な所与のサブジェクト集合および適用対象となるサブジェクト集合が示されたポリシー集合に対して、
前記ポリシー集合に含まれる2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化処理と、
前記ポリシー階層化処理で生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である前記2以上のポリシーによるポリシー集合を全順序化するポリシー順序化処理と、
前記ポリシー順序化処理で全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合の要素を整列させて一覧表示する一覧表示処理と、
を実行させるためのポリシーリスト表示プログラム。
14. コンピュータに、
サブジェクト集合間の包含関係が特定可能な所与のサブジェクト集合および適用対象となるサブジェクト集合が示されたポリシー集合に対して、
前記ポリシー集合に含まれる2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化処理と、
前記ポリシー階層化処理で生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である前記2以上のポリシーによるポリシー集合を全順序化するポリシー順序化処理と、
前記ポリシー順序化ステップで全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合に含まれる各ポリシー記述をACL記述に変換するACL生成処理と、
を実行させるためのACL生成プログラム。
この出願は、2009年2月10日に出願された日本出願特願2009−028985号を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、データベース化されたポリシーについて、ポリシー順序に従った検索ビューを生成するポリシー検索装置や、生成したアクセス制御リストを遠隔サーバに設定するポリシー配付装置といった用途にも適用可能である。

Claims (10)

  1. ポリシーの適用対象となるサブジェクト集合を示す情報を含むロール情報と、前記ロール情報に含まれるサブジェクト集合間の包含関係を特定可能な情報とを格納するロール情報記憶手段と、
    ポリシーを示す情報と、該ポリシーの適用対象となるサブジェクト集合を識別するための情報とを含むポリシー記述を格納するポリシー記述記憶手段と、
    前記ポリシー記述記憶手段に格納されている2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、2以上のポリシーを階層化したポリシー階層を生成するポリシー階層化手段と、
    前記ポリシー階層化手段によって生成されたポリシー階層を示す情報に基づいて、全順序化の対象である前記2以上のポリシーによるポリシー集合を、階層における上位・下位の関係を維持したまま、全順序化するポリシー順序化手段と、
    を備えたことを特徴とするポリシー管理装置。
  2. ポリシー順序化手段によって全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合の要素を整列させて一覧表示するポリシーリスト表示手段を備えた請求項1に記載のポリシー管理装置。
  3. ポリシー順序化手段によって全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合に含まれる各ポリシー記述をACL記述に変換するACL生成手段を備えた請求項1または請求項2に記載のポリシー管理装置。
  4. ポリシー階層化手段は、サブジェクト集合に包含関係があるポリシーノード間に、有向リンクを付加したポリシー階層データを生成することによって、ポリシー階層を生成する請求項1から請求項3のうちのいずれか1項に記載のポリシー管理装置。
  5. ポリシー順序化手段は、入力リンクのないノードの集合の各要素を起点として、ポリシー階層データに対して、深さ優先探索に従い位相的ソートを行うことによって、全順序化の対象となったポリシー集合を全順序化する請求項4に記載のポリシー管理装置。
  6. ポリシーの適用対象となるサブジェクト集合を示す情報を含むロール情報と、前記ロール情報に含まれるサブジェクト集合間の包含関係を特定可能な情報とを格納するロール情報記憶手段を備えるロール記憶装置と、
    ポリシーを示す情報と、該ポリシーの適用対象となるサブジェクト集合を識別するための情報とを含むポリシー記述を格納するポリシー記述記憶手段を備えるポリシー記述記憶装置と、
    前記ポリシー記述記憶手段に格納されている2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、互いに包含関係をもたないサブジェクト集合に適用されるポリシーから構成される層を含むポリシー階層を生成するポリシー階層化手段と、
    前記ポリシー階層化手段によって生成されたポリシー階層を示す情報に基づいて、異なる層のポリシー間の階層関係を維持したまま、全順序化の対象である前記2以上のポリシーによるポリシー集合を全順序化するポリシー順序化手段と、
    を備えるポリシー全順序化装置と、
    を有するポリシー管理システム。
  7. 前記ポリシー全順序化装置は、さらに、
    ポリシー順序化手段によって全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合の要素を整列させて一覧表示するポリシーリスト表示手段を備えた請求項6に記載のポリシー管理システム。
  8. 前記ポリシー全順序化装置は、さらに、
    ポリシー順序化手段によって全順序として決定されたポリシー順序にしたがって、全順序化の対象であるポリシー集合に含まれる各ポリシー記述をACL記述に変換するACL生成手段を備えた請求項6または請求項7に記載のポリシー管理システム。
  9. コンピュータが、
    ポリシーの適用対象となるサブジェクト集合を示す情報を含むロール情報と、前記ロール情報に含まれるサブジェクト集合間の包含関係を特定可能な情報と、ポリシーを示す情報と、該ポリシーの適用対象となるサブジェクト集合を識別するための情報とを含むポリシー記述と、を記憶しておき、記憶している情報を利用して、
    2以上の前記ポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、2以上のポリシーを階層化したポリシー階層を生成するポリシー階層化工程と、
    前記ポリシー階層化工程によって生成されたポリシー階層を示す情報に基づいて、全順序化の対象である前記2以上のポリシーによるポリシー集合を、階層における上位・下位の関係を維持したまま、全順序化するポリシー順序化工程と、
    を実行するポリシー管理方法。
  10. コンピュータを、
    ポリシーの適用対象となるサブジェクト集合を示す情報を含むロール情報と、前記ロール情報に含まれるサブジェクト集合間の包含関係を特定可能な情報とを格納するロール情報記憶手段、
    ポリシーを示す情報と、該ポリシーの適用対象となるサブジェクト集合を識別するための情報とを含むポリシー記述を格納するポリシー記述記憶手段、
    前記ポリシー記述記憶手段に格納されている2以上のポリシーについて、各ポリシーをノードとし、各ポリシーが適用されるサブジェクト集合の包含関係に基づいて、2以上のポリシーを階層化したポリシー階層を生成するポリシー階層化手段、
    前記ポリシー階層化手段によって生成されたポリシー階層を示す情報に基づいて、全順序化の対象である前記2以上のポリシーによるポリシー集合を、階層における上位・下位の関係を維持したまま、全順序化するポリシー順序化手段、
    として機能させるためのプログラム。
JP2010550432A 2009-02-10 2010-01-26 ポリシー管理装置、ポリシー管理システム、それに用いる方法およびプログラム Active JP5482667B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010550432A JP5482667B2 (ja) 2009-02-10 2010-01-26 ポリシー管理装置、ポリシー管理システム、それに用いる方法およびプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2009028985 2009-02-10
JP2009028985 2009-02-10
JP2010550432A JP5482667B2 (ja) 2009-02-10 2010-01-26 ポリシー管理装置、ポリシー管理システム、それに用いる方法およびプログラム
PCT/JP2010/000414 WO2010092755A1 (ja) 2009-02-10 2010-01-26 ポリシー管理装置、ポリシー管理システム、それに用いる方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2010092755A1 JPWO2010092755A1 (ja) 2012-08-16
JP5482667B2 true JP5482667B2 (ja) 2014-05-07

Family

ID=42561604

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010550432A Active JP5482667B2 (ja) 2009-02-10 2010-01-26 ポリシー管理装置、ポリシー管理システム、それに用いる方法およびプログラム

Country Status (6)

Country Link
US (1) US8875221B2 (ja)
EP (1) EP2378458A4 (ja)
JP (1) JP5482667B2 (ja)
KR (1) KR101294951B1 (ja)
CN (1) CN102308302A (ja)
WO (1) WO2010092755A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10015286B1 (en) 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US9256716B2 (en) 2010-09-22 2016-02-09 Nec Corporation Access authority generation device
US9178910B2 (en) * 2010-12-24 2015-11-03 Nec Corporation Communication system, control apparatus, policy management apparatus, communication method, and program
WO2012173626A1 (en) * 2011-06-16 2012-12-20 Hewlett-Packard Development Company, L.P. System and method for policy generation
US9081975B2 (en) * 2012-10-22 2015-07-14 Palantir Technologies, Inc. Sharing information between nexuses that use different classification schemes for information access control
CN104714825B (zh) * 2015-03-20 2019-01-04 北京瑞星网安技术股份有限公司 统一策略配置的方法
US11763321B2 (en) 2018-09-07 2023-09-19 Moore And Gasperecz Global, Inc. Systems and methods for extracting requirements from regulatory content
JP7326930B2 (ja) * 2019-07-01 2023-08-16 富士通株式会社 探索プログラム、探索方法、および、情報処理装置
US11314922B1 (en) * 2020-11-27 2022-04-26 Moore & Gasperecz Global Inc. System and method for generating regulatory content requirement descriptions
US11823477B1 (en) 2022-08-30 2023-11-21 Moore And Gasperecz Global, Inc. Method and system for extracting data from tables within regulatory content

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004280727A (ja) * 2003-03-18 2004-10-07 Ricoh Co Ltd 電子掲示板システム
JP2007249617A (ja) * 2006-03-16 2007-09-27 Yaskawa Electric Corp ファイルサーバシステム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2001294089A1 (en) * 2000-08-18 2002-02-25 Camelot Information Technologies Ltd. A system and method for a greedy pairwise clustering
US20040039594A1 (en) * 2002-01-09 2004-02-26 Innerpresence Networks, Inc. Systems and methods for dynamically generating licenses in a rights management system
US8595347B2 (en) * 2004-09-30 2013-11-26 Cisco Technology, Inc. Method and apparatus for device based policy configuration in a network
JP4301513B2 (ja) 2004-11-26 2009-07-22 インターナショナル・ビジネス・マシーンズ・コーポレーション ポリシーを用いたアクセス制御効果の判定方法
US8056114B2 (en) * 2005-08-23 2011-11-08 The Boeing Company Implementing access control policies across dissimilar access control platforms
US7913529B2 (en) * 2007-08-28 2011-03-29 Cisco Technology, Inc. Centralized TCP termination with multi-service chaining
US20090178102A1 (en) * 2008-01-04 2009-07-09 Khaled Alghathbar Implementing Security Policies in Software Development Tools
JP5083042B2 (ja) * 2008-05-30 2012-11-28 富士通株式会社 アクセス制御ポリシーの遵守チェック用プログラム
US20100299717A1 (en) * 2009-05-22 2010-11-25 National University Of Ireland, Galway System for Annotation-Based Access Control
US9477671B2 (en) * 2009-05-27 2016-10-25 Oracle International Corporation System and method for implementing effective date constraints in a role hierarchy
US9268954B2 (en) * 2009-10-07 2016-02-23 Ca, Inc. System and method for role discovery

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004280727A (ja) * 2003-03-18 2004-10-07 Ricoh Co Ltd 電子掲示板システム
JP2007249617A (ja) * 2006-03-16 2007-09-27 Yaskawa Electric Corp ファイルサーバシステム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNG200200035014; 永瀬 宏: '階層的セキュリティレベルの自由度を用いたアクセス権設定法' 情報処理学会論文誌 第41巻,第8号, 20000815, 2255-2263, 社団法人情報処理学会 *
JPN6013054002; 永瀬 宏: '階層的セキュリティレベルの自由度を用いたアクセス権設定法' 情報処理学会論文誌 第41巻,第8号, 20000815, 2255-2263, 社団法人情報処理学会 *

Also Published As

Publication number Publication date
EP2378458A1 (en) 2011-10-19
JPWO2010092755A1 (ja) 2012-08-16
US20110289550A1 (en) 2011-11-24
EP2378458A4 (en) 2013-01-09
CN102308302A (zh) 2012-01-04
KR20110101249A (ko) 2011-09-15
US8875221B2 (en) 2014-10-28
KR101294951B1 (ko) 2013-08-23
WO2010092755A1 (ja) 2010-08-19

Similar Documents

Publication Publication Date Title
JP5482667B2 (ja) ポリシー管理装置、ポリシー管理システム、それに用いる方法およびプログラム
US11409904B2 (en) User interface for building a data privacy pipeline and contractual agreement to share data
US8332350B2 (en) Method and system for automated security access policy for a document management system
US8464206B2 (en) Method and system for managing enterprise content
US7584417B2 (en) Role-dependent action for an electronic form
US7620647B2 (en) Hierarchy global management system and user interface
US8412549B2 (en) Analyzing business data for planning applications
US8301606B2 (en) Data management method and apparatus
US20060107224A1 (en) Building a dynamic action for an electronic form
US20220198298A1 (en) Curated machine learning workflow suggestions and clustering techniques
Baumgrass et al. Deriving role engineering artifacts from business processes and scenario models
Fürber et al. Data quality
US10303668B2 (en) Automatic screen generation device, automatic screen generation program, and automatic screen generation method
JP5530173B2 (ja) 組織構造管理ディレクトリを備えたディレクトリシステム及びそのプログラム
US8744895B2 (en) Method and system for managing a plurality of regulations, policies and risks
JP2004252951A (ja) 統合業務ソフトウェアの導入運用支援システム
JP2022050169A (ja) 情報処理システム及びプログラム
Leung et al. Setting Up Your Data
Hunley et al. A Whole New World: What’s New in SAS Data Integration Studio 4.2

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140203

R150 Certificate of patent or registration of utility model

Ref document number: 5482667

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150