JP5482781B2 - 情報処理システム及び情報処理システムの動作方法 - Google Patents

情報処理システム及び情報処理システムの動作方法 Download PDF

Info

Publication number
JP5482781B2
JP5482781B2 JP2011500577A JP2011500577A JP5482781B2 JP 5482781 B2 JP5482781 B2 JP 5482781B2 JP 2011500577 A JP2011500577 A JP 2011500577A JP 2011500577 A JP2011500577 A JP 2011500577A JP 5482781 B2 JP5482781 B2 JP 5482781B2
Authority
JP
Japan
Prior art keywords
information processing
access control
processing system
control policy
object group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011500577A
Other languages
English (en)
Other versions
JPWO2010095561A1 (ja
Inventor
篤史 本田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011500577A priority Critical patent/JP5482781B2/ja
Publication of JPWO2010095561A1 publication Critical patent/JPWO2010095561A1/ja
Application granted granted Critical
Publication of JP5482781B2 publication Critical patent/JP5482781B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Description

本発明は情報処理システム及び情報処理システムの動作方法に関する。
近年、分散処理機能を保持したシステムやモバイル機器が増加している。それに伴い、ある機器内で処理に使用されるデータが、別の機器に保存される、情報処理システムが登場してきている。このような情報処理システムは、データを保存する機器(以下、データ保存装置)とデータを利用する機器(以下、データ利用装置)とを有し、データ保存装置とデータ利用装置とはネットワークで接続される。データがデータ保存装置に存在するため、データ利用装置は、複数存在していても構わない。すなわち、ユーザは、時間や場所に応じて異なるデータ利用装置を使用して、同一のデータにアクセスすることができる。さらに、複数のユーザが異なるデータ利用装置を使用して、データ保存装置のデータにアクセスすることもできる。
一方で、情報処理システムに対しては、不正な操作を防ぐための対策が求められている。そのため、セキュアOSなどのアクセス制御システムを搭載することによってセキュリティが強化された情報処理装置が増加している。このような情報処理装置では、サブジェクト(ユーザ、サービス、プロセス等)がオブジェクト(ファイル、ディレクトリ等)に対して不正な操作(不正な削除や書き換え)をすることが、アクセス制御システムによって防止される。具体的には、あるサブジェクトがどのオブジェクトに対して、どのような操作(Read、Write、Exec等)が許可又は禁止されるかを示す情報が、アクセス制御ポリシとして設定される。そして、アクセス制御ポリシに従って、オブジェクトに対するアクセスの可否が判断される。このような情報処理システムの一例として、特開2002−91816号公報が挙げられる。
アクセス制御システムが搭載された情報処理システムに対しては、アクセス制御ポリシを容易に設定することが望まれる。容易にアクセス制御ポリシを設定することを目的とした技術としては、特開2005−234864号公報及び特開2008−219419号公報が挙げられる。
その他に本発明者が知りえた関連技術としては、特開2004−152295号公報が挙げられる。
特開2002−91816 特開2005−234864 特開2008−219419 特開2004−152295
アクセス制御システムが搭載された情報処理装置を、データ利用装置として利用することが考えられる。この場合、データ利用装置のサブジェクトが、データ利用装置に保存されたデータだけでなく、データ保存装置に保存されたデータに対しても不正な操作を行う可能性があることが考慮されるべきである。そのため、データ利用装置において、データ保存装置のデータに対してもアクセス制御ポリシを設定しておくことが考えられる。
データ保存装置のオブジェクトに対するアクセス制御ポリシをデータ利用装置に設定するために、以下の手法が考えられる。予め、データ保存装置にアクセス制御ポリシを設定しておく。そして、データ利用装置がデータ保存装置を利用する際に、データ保存装置に記憶されているアクセス制御ポリシが、データ利用装置に設定される。これにより、データ保存装置のデータに対するアクセスは、アクセス制御ポリシによって許可されたデータ利用装置のサブジェクトからのアクセスに限定することができ、セキュリティを強化することができる。
しかし、データ保存装置に保存されるオブジェクトは、動的に変更されることがある。また、データ保存装置に設定されるアクセス制御ポリシは、データ保存装置の管理者やデータをデータ保存装置に保存したサブジェクトにより、設定される。そのため、データ保存装置に記憶されるアクセス制御ポリシが、動的に変更される可能性がある。このため、データ利用装置は、データ保存装置にアクセスするたびに、アクセス制御ポリシを設定しなければならない。
また、アクセス制御ポリシは、情報処理装置の構成によって異なる。そのため、データ利用装置にファイルやアプリケーションが追加された場合や、使用するユーザが変更された場合等には、データ利用装置のアクセス制御ポリシが再設定されなければならない。
また、データ利用装置は、データ保存装置に記憶されているデータを利用して処理を行う。しかし、データ保存装置には、他のデータ利用装置が記憶したデータや、他のユーザが作成したディレクトリといった複数のオブジェクトが記憶されている。データ利用装置内のサブジェクトは、これら複数のオブジェクトに対しても不正な操作を行う可能性がある。そのため、データ利用装置には、データ保存装置に記憶されている全てのオブジェクトに対して、アクセス制御ポリシが設定されている必要がある。すなわち、データ利用装置には、自身が利用しないオブジェクトに対しても、アクセス制御ポリシが設定されている必要がある。
すなわち、データ利用装置にアクセス制御ポリシを設定する場合には、その設定処理に要する負担が大きくなってしまう、という問題点があった。
本発明に係る情報処理システムは、第1オブジェクト群を保存する第1情報処理装置と、操作対象オブジェクトと操作内容とを示す操作リクエストを取得し、前記操作リクエストに基づいて前記操作対象オブジェクトに対する処理を行う、第2情報処理装置とを具備する。前記第2情報処理装置は、第2オブジェクト群に含まれる各第2オブジェクトと、許可される操作内容を示す制御規則との対応関係を、アクセス制御ポリシとして記憶する、アクセス制御ポリシ記憶手段と、前記操作リクエストが処理可能であるか否かを判定する、データ処理手段とを備える。前記第1情報処理装置は、前記第1オブジェクト群に含まれる各第1オブジェクトについて、前記各オブジェクトと同じ制御規則で操作の可否が判断される前記各第2オブジェクトの集合を変更先オブジェクト群として示す、追加アクセス制御ポリシ記憶手段を備える。前記データ処理手段は、前記操作対象オブジェクトが前記第1オブジェクト群に含まれる場合に、前記追加アクセス制御ポリシを参照し、前記操作対象オブジェクトに対応する前記変更先オブジェクト群を取得する、変更先オブジェクト群決定手段と、前記アクセス制御ポリシを参照することにより、前記操作リクエストに含まれる操作内容が、前記変更先オブジェクト群に対して処理可能であるか否かを判定し、判定結果に基づいて、前記操作対象オブジェクトに対して前記操作リクエストが処理可能であるか否かを決定する、アクセス制御再判定手段とを備える。
本発明に係る情報処理システムの動作方法は、第1オブジェクト群を保存する第1情報処理装置と、操作対象オブジェクトと操作内容とを示す操作リクエストを取得し、前記操作リクエストに基づいて前記操作対象オブジェクトに対する処理を行う、第2情報処理装置とを具備する情報処理システムの動作方法である。この動作方法は、予め、アクセス制御ポリシとして、第2オブジェクト群に含まれる各第2オブジェクトと、許可される操作内容を示す制御規則との対応関係を、前記第2情報処理装置に記憶させるステップと、予め、追加アクセス制御ポリシとして、前記第1オブジェクト群に含まれる各第1オブジェクトについて、前記各第1オブジェクトと同じ制御規則で操作の可否が判断される前記各第2オブジェクトの集合を変更先オブジェクト群として示す情報を、前記第1情報処理装置に記憶させるステップと、前記操作リクエストが処理可能であるか否かを判定するステップとを具備する。前記判定するステップは、前記第2情報処理装置によって、前記操作リクエストを取得するステップと、前記操作対象オブジェクトが前記第1オブジェクト群に含まれる場合に、前記第2情報処理装置により、前記追加アクセス制御ポリシを参照し、前記操作対象オブジェクトに対応する前記変更先オブジェクト群を取得するステップと、前記第2情報処理装置により、前記アクセス制御ポリシを参照することにより、前記操作リクエストに含まれる操作内容が、前記変更先オブジェクト群に対して処理可能であるか否かを判定し、判定結果に基づいて、前記操作対象オブジェクトに対して前記操作リクエストが処理可能であるか否かを決定するステップとを備える。
本発明に係る情報処理システムの動作プログラムは、上述の情報処理システムの動作方法を、コンピュータにより実現するためのプログラムである。
本発明によれば、データ利用装置にアクセス制御ポリシを設定する場合に、その設定処理に要する負担を軽減することのできる、情報処理システム、情報処理システムの動作方法、及び情報処理システムの動作プログラムが提供される。
図1は、第1の実施形態に係る情報処理システムを示すブロック図である。 図2Aは、アクセス制御ポリシを示す概念図である。 図2Bは、追加アクセス制御ポリシを示す概念図である。 図3は、基盤ソフトウェアの動作方法を示すフローチャートである。 図4は、アクセス制御部の動作を示すフローチャートである。 図5は、アクセス拒否判定部の動作を示すフローチャートである。 図6は、変更先オブジェクト群オブジェクト決定部の動作を示すフローチャートである。 図7は、アクセス制御再判定部の動作を示すフローチャートである。 図8は、第2の実施形態に係る情報処理システムを示す概略図である。 図9は、ポリシ作成規則記憶部に記憶された情報を示す概念図である。 図10は、ユーザ認証部の動作を示すフローチャートである。 図11は、追加アクセス制御ポリシ作成部の動作を示すフローチャートである。 図12Aは、実施例1に係る情報処理システムを示す概略図である。 図12Bは、アクセス制御ポリシの内容を示す概念図である。 図12Cは、追加アクセス制御ポリシの内容を示す概念図である。 図13は、実施例2に係る情報処理システムを示す概略図である。 図14Aは、アクセス制御ポリシの内容を示す概念図である。 図14Bは、ポリシ作成規則記憶部に記憶された内容を示す概念図である。
(第1の実施形態)
以下に、図面を参照しつつ、本発明の第1の実施形態について説明する。
図1は、本実施形態に係る情報処理システムを示すブロック図である。
まず、この情報処理システムの概略構成について説明する。
この情報処理システムは、第1情報処理装置1(データ保存装置)と、第2情報処理装置2(データ利用装置)とを備えている。第1情報処理装置1と第2情報処理装置2とは、ネットワークを介して、アクセス可能に接続されている。第1情報処理装置1には、第1オブジェクト群(R0〜Rk)が格納されている。第2情報処理装置2には、第2オブジェクト群(Q0〜Qi)が格納されている。第2情報処理装置2には、第2オブジェクト群に含まれる各第2オブジェクトに対する制御規則が、アクセス制御ポリシ27として設定されている。一方、第1情報処理装置1には、第1オブジェクト群に含まれる各第1オブジェクトについて、同じ制御規則が適用される第2オブジェクトの集合を示す情報が、追加アクセス制御ポリシ12として設定されている。
次いで、この情報処理システムの概略動作について説明する。
第2情報処理装置2から第1情報処理装置1の各第1オブジェクトに対して操作を行おうとする場合、第2情報処理装置2は、まず、アクセス制御ポリシ27を参照する。ここで、アクセス制御ポリシ27に操作対象の第1オブジェクトに関する制御規則が設定されていないものとする。この場合、第2情報処理装置2は、第1情報処理装置1にアクセスして、追加アクセス制御ポリシ12を参照する。そして、操作対象の第1オブジェクトと同じ制御規則で操作の可否が判断される第2オブジェクトの集合を、変更先オブジェクト群として識別する。その後、第2情報処理装置2は、アクセス制御ポリシ27を参照し、変更先オブジェクト群に含まれる各第2オブジェクトに対して、操作が可能であるか否かを判定する。これにより、実質的に、操作対象の第1オブジェクトに対して操作が可能であるか否かが判定される。
上述のような構成及び動作によれば、第2情報処理装置2側のアクセス制御ポリシ27に、第1オブジェクトに対する制御規則が設定されている必要がない。そのため、アクセス制御ポリシ27を設定する際の処理負担を軽減することができる。
続いて、本実施形態に係る情報処理システムについて詳細に説明する。
第1情報処理装置1は、データを保存するデータ保存装置として機能する。第1の情報処理装置1は、記憶装置11を備えている。記憶装置11は、ハードディスクなどに例示される。記憶装置11には、追加アクセス制御ポリシ12と、第1オブジェクト群とが記憶されている。第1オブジェクト群に含まれる各第1オブジェクトには、識別子R0〜Rk(kは0以上の整数)が割り当てられている。ここで、オブジェクトとは、ファイルやデバイスといったリソースであり、操作対象となるものである。また、追加アクセス制御ポリシ12は、各第1オブジェクトに対する操作が許可されるか否かを判断する際に利用される情報である。追加アクセス制御ポリシ12の詳細については後述する。
第2情報処理装置2は、サブジェクトからオブジェクトに対する操作リクエストを処理するための装置である。第2情報処理装置2は、データ処理装置21と、記憶装置22とを備えている。
記憶装置22には、アクセス制御ポリシ27と、基盤ソフトウェア28とが格納されている。
基盤ソフトウェア28(基板制御部)は、第2オブジェクト群と、サブジェクト群とを備えている。基盤ソフトウェア28は、第2オブジェクト群に含まれる各第2オブジェクトを、オブジェクト識別子Q0〜Qj(jは0以上の整数)を割り当てることによって識別している。同様に、サブジェクト群に含まれる各サブジェクトを、サブジェクト識別子P0〜Pi(iは0以上の整数)を割り当てることによって、識別している。
また、基盤ソフトウェア28は、サブジェクト群に含まれる各サブジェクトから、オブジェクトに対する操作リクエストを取得し、取得した操作リクエストを実行する機能を有している。すなわち、基盤ソフトウェア28は、操作リクエストを取得すると、その操作リクエストの発信元のサブジェクトを特定し、サブジェクトを特定するサブジェクト識別子P0〜Piを取得する。また、基盤ソフトウェハ28は、取得した操作リクエストのあて先であるオブジェクトを、操作対象オブジェクトとして識別し、そのオブジェクト識別子(Q0〜QjまたはR0〜Rk)を取得する。そして、その操作リクエストに、発信元のサブジェクト識別子と、操作対象オブジェクトの識別子とを対応付け、リクエスト情報としてデータ処理装置21に通知する。
基盤ソフトウェア28としては、例えば、OS等が挙げられる。但し、OSに限られず、同等の機能を有していれば他のソフトウェアが用いられてもよい。
各サブジェクトは、例えば、プロセスやユーザである。図1では、各サブジェクトは、基盤ソフトウェア28内に描かれている。但し、基盤ソフトウェア28とは別の構成がサブジェクトになる場合もある。
また、図1では、第2オブジェクト群が基盤ソフトウェア28に設けられている。但し、第2オブジェクト群は、記憶装置22において基盤ソフトウェア28とは別に設けられていることもある。
アクセス制御ポリシ27は、操作リクエストが実行可能なものであるか否かを判断する際に用いられる情報である。
図2Aは、アクセス制御ポリシ27を示す概念図である。図2Aに示されるように、アクセス制御ポリシ27は、各第2オブジェクト識別子Q0〜Qjに対して、アクセス制御規則Q0〜Qjを対応付けて示している。また、各アクセス制御規則Q0〜Qjは、各サブジェクト識別子P0〜Piに、許可される操作の内容を対応付けて示している。例えば、図2Aのアクセス制御ポリシ27では、第2オブジェクト識別子Q0に対して、アクセス制御規則Q0が対応付けられている。このアクセス制御規則Q0には、サブジェクト識別子P0に対して、「Open」及び「Read」という操作内容が対応付けられている。すなわち、サブジェクトP0からオブジェクトQ0に対しては、「Open」及び「Read」という操作内容だけが許可されていることになる。
ここで、本実施形態では、このアクセス制御ポリシ27に、必ずしも第1オブジェクト群R0〜Rkに対しての制御規則が設定されている必要はない。
続いて、データ処理装置21について説明する。データ処理装置21は、操作リクエストが実行可能であるか否かを判定する装置である。データ処理装置21は、アクセス制御部26と、アクセス拒否判定部25と、変更先オブジェクト決定部24と、アクセス制御再判定部23とを備えている。これらは、例えば、CPUが、ROM(Read Only Memory)などの記憶媒体に記憶された情報処理システムの動作プログラムを実行することによって、実現される。
アクセス制御部26は、基盤ソフトウェアから、リクエスト情報を取得する。すると、アクセス制御ポリシ27を参照して、基盤ソフトウェア28が取得した操作リクエストを許可するか否かを判定する。具体的には、アクセス制御部26は、リクエスト情報に含まれる操作対象オブジェクトの識別子が、アクセス制御ポリシ27として設定されているか否かを判断する。そして、含まれている場合には、操作対象オブジェクト識別子に対応付けられたアクセス制御規則を参照する。そして、操作リクエストの発信元であるサブジェクトの識別子に対して、操作リクエストに示される操作内容が対応付けられているか否かを判定する。操作内容が対応付けられていれば、その操作リクエストを許可する旨を基盤ソフトウェア28に通知する。一方、対応付けられていない場合には、操作リクエストを禁止する旨を、基盤ソフトウェア28に通知する。また、操作対象オブジェクト識別子がアクセス制御ポリシ27に含まれていなかった場合には、その旨をリクエスト情報と共にアクセス拒否判定部25に通知する。
上述のアクセス制御部26としては、例えば、LinuxでのLSM(Linux Security Module)を利用したSELinuxや、SMACK等のアクセス制御機構を用いることができる。但し、これらの機構と同様の機能を有していれば、他のアクセス制御機構が用いられても構わない。
アクセス拒否判定部25は、リクエスト情報に基づいて、操作対象オブジェクトが第1オブジェクト群R0〜Rkに含まれているか否かを判定する。すなわち、アクセス制御部26からリクエスト情報を取得すると、アクセス拒否判定部25は、第1情報処理装置1の記憶装置11を参照する。そして、操作対象オブジェクトが第1オブジェクト群R0〜Rkに含まれているか否かを判定する。含まれている場合には、アクセス拒否判定部25は、その旨をリクエスト情報とともに変更先オブジェクト決定部24に通知する。一方、含まれていない場合には、基盤ソフトウェア28に対して、操作リクエストが禁止されるものである旨を通知する。
変更先オブジェクト決定部24は、アクセス拒否判定部25からリクエスト情報を受け取ると、第1情報処理装置1の追加アクセス制御ポリシ12を参照する。
ここで、追加アクセス制御ポリシ12について説明する。図2Bは、追加アクセス制御ポリシ12を示す概念図である。図2Bに示されるように、追加アクセス制御ポリシは、各第1オブジェクト識別子(R0〜Rk)に対して、変更先オブジェクト識別子群(R0〜Rk)を対応付けて示している。変更先オブジェクト識別子群(R0〜Rk)は、対応する各第1オブジェクトと同じ制御規則によって操作の可否が判断されるオブジェクトの集合である。各変更先オブジェクト識別子群(R0〜Rk)は、第2オブジェクト識別子(Q0〜Qj)の集合として表現されている。すなわち、図2Bに示される例では、第1オブジェクトR0に対しては、変更先オブジェクト識別子群R0として、第2オブジェクト識別子Q0p〜Q0qが対応付けられている。このことは、第1オブジェクトR0に対する操作の可否が、第2オブジェクトQ0p〜Qqqに対する制御規則と同じ制御規則によって判断されることを示している。
追加アクセス制御ポリシ12を参照した変更先オブジェクト決定部24は、操作対象オブジェクト識別子に対応付けられた変更先オブジェクト識別子群を取得する。そして、リクエスト情報に変更先オブジェクト群を付加し、変更リクエスト情報を作成する。変更リクエスト情報は、アクセス制御再判定部23に通知される。
アクセス制御再判定部23は、変更リクエスト情報を取得すると、アクセス制御ポリシ27を参照する。そして、サブジェクトから変更先オブジェクト識別子群に示されるオブジェクトに対する操作内容(操作リクエスト)が、許可されるものであるか否かを判定する。そして、許可されるものであると判定した場合には、操作対象オブジェクトに対しても、操作が許可されるものであると判定する。アクセス制御再判定部23は、この判定結果を、基盤ソフトウェア28に通知する。基盤ソフトウェア28は、アクセス制御再判定部23から取得した判定結果に従って、操作リクエストを実行するか否かを決定する。
尚、変更先オブジェクト識別子群には、複数の第2オブジェクト識別子が含まれていることがある。このような場合、アクセス制御再判定部23は、変更先オブジェクト識別子群のうちの少なくとも一の第2オブジェクトに対して操作が許可されている場合に、操作対象オブジェクトに対しても操作が許可されるものと判定すればよい。すなわち、各第2オブジェクト識別子に対応付けられた操作内容の論理和を求めることで、操作対象オブジェクトに対する操作可否を判定しても良い。
もしくは、論理積を求め、変更先オブジェクト識別子群に含まれる全ての第2オブジェクトに対して操作が許可されているときにだけ、操作対象オブジェクトに対しても操作が許可されるものと判定してもよい。
例えば、変更先オブジェク識別子群に含まれる一の第2オブジェクト識別子に対して、「open、read」という操作が対応付けられていたとする。そして、変更先オブジェク識別子群に含まれる他の第2オブジェクト識別子に対して、「read、exec」という操作が対応付けられていたとする。この場合、アクセス制御再判定部23は、論理和を許可する場合は、「open、read、exec」という操作内容を、操作対象オブジェクトに対して許可される操作内容として判定する。一方、論理積を許可する場合は「read」という操作内容を、操作対象オブジェクトに対して許可される操作内容として判定することができる。
上述のように、本実施形態に係る情報処理システムでは、追加アクセス制御ポリシ12として、各第1オブジェクトと同じ制御規則で操作の可否が判断される第2オブジェクトの集合が、変更先オブジェクト群として設定されている。操作対象オブジェクトが第1情報処理装置1に記憶されている場合であっても、第2情報処理装置2は、追加アクセス制御ポリシ12を参照することによって、操作対象オブジェクトと同じ制御規則で操作の可否が判断される第2オブジェクト群を識別することができる。そのため、第2情報処理装置2に設定されるアクセス制御ポリシ27には、第2オブジェクト群に対する制御規則が設定されていればよく、必ずしも第1オブジェクト群に対する制御規則が設定されている必要はない。この点から、アクセス制御ポリシ27を設定する際の負担が軽減される。
また、第2情報処理装置2は、第1情報処理装置1にアクセスする度にアクセス制御ポリシ27を設定する必要はない。この観点からも、アクセス制御ポリシ27を設定する際の負担が軽減されている。
続いて、本実施形態に係る情報処理システムの動作方法について、詳細に説明する。ここでは、サブジェクトPxが、第2情報処理装置2を介して、第1情報処理装置1の第1オブジェクトZを操作する場合の動作について説明する。
まず、基盤ソフトウェア28の動作について説明する。図3は、基盤ソフトウェア28の動作方法を示すフローチャートである。
サブジェクトPxが、オブジェクトZを操作するための操作リクエストを、基盤ソフトウェア28に送信したとする。基盤ソフトウェア28は、サブジェクトPxからオブジェクトZへの操作リクエストを受信する(ステップA1)。
基盤ソフトウェア28は、操作リクエストの発行元であるサブジェクトPxを識別し、サブジェクト識別子Pxを取得する。また、操作リクエストの操作対象オブジェクトZを識別し、オブジェクト識別子Zを取得する。そして、基盤ソフトウェア28は、操作リクエストに対してサブジェクト識別子Pxとオブジェクト識別子Zとを付与し、リクエスト情報としてデータ処理装置21のアクセス制御部26に送信する(ステップA2)。
リクエスト情報の送信後、基盤ソフトウェア28は、データ処理装置21からの判定結果を示す信号(アクセス許可信号もしくはアクセス禁止信号)を待つ(ステップA3)。そして、アクセス許可信号を受信した場合には、サブジェクトPxのオブジェクトZに対する操作リクエストを処理する(ステップA4)。そして、サブジェクトPxへ操作完了信号を送信する(ステップA6)。一方、アクセス禁止信号を受信すると、サブジェクトPxへ操作拒否信号を送信する(ステップA5)。
続いて、アクセス制御部26の動作について詳述する。図4は、アクセス制御部26の動作を示すフローチャートである。
アクセス制御部26は、リクエスト情報を基盤ソフトウェア28から受信する(ステップB1)。すると、アクセス制御部26は、アクセス制御ポリシ27を参照する(ステップB2)。そして、アクセス制御ポリシ27に、操作対象オブジェクトZが含まれているかを判定する。含まれている場合には、操作対象オブジェクトZに対応するアクセス制御規則Zを参照する。そして、アクセス制御規則Zに、サブジェクト識別子Px対して操作内容(操作リクエスト)が対応付けられているか否かを判定する(ステップB3)。そして、記憶されていた場合には、操作リクエストを許可すると判定し、基盤ソフトウェア28へアクセス許可信号を送信する(ステップB4)。一方、記憶されていなかった場合には、アクセス拒否判定部25に対して、リクエスト情報を送信する(ステップB5)。
続いて、アクセス拒否判定部25の動作について詳述する。図5は、アクセス拒否判定部25の動作を示すフローチャートである。
アクセス拒否判定部25が、アクセス制御部26から、リクエスト情報を取得したとする(ステップC1)。アクセス拒否判定部25は、第1情報処理装置1にアクセスして、操作対象オブジェクトZが、第1オブジェクト群に含まれているか否かを判別する(ステップC2)。第1オブジェクト群に含まれていた場合には、リクエスト情報を、変更先オブジェクト決定部24に通知する(ステップC3)。一方、第1オブジェクト群に含まれていない場合には、基盤ソフトウェア28に対して、アクセス禁止信号を送信する(ステップC4)。
続いて、変更先オブジェクト群決定部24の動作について詳述する。図6は、変更先オブジェクト群オブジェクト決定部24の動作を示すフローチャートである。
変更先オブジェクト群決定部24が、アクセス拒否判定部25から、リクエスト情報を取得したとする(ステップD1)。変更先オブジェクト決定部24は、追加アクセス制御ポリシ12を参照する(ステップD2)。そして、オブジェクト識別子Zに対応付けられた変更先オブジェクト識別子群Zを取得する(ステップD3)。変更先オブジェクト群決定部24は、リクエスト情報に対して、変更先オブジェクト群を付け加え、変更リクエスト情報を生成する。そして、変更リクエスト情報を、アクセス制御再判定部23へ送信する(ステップD4)。
続いて、アクセス制御再判定部23の動作について詳述する。図7は、アクセス制御再判定部23の動作を示すフローチャートである。
アクセス制御再判定部23が、変更先オブジェクト群決定部24から、変更リクエスト情報を受信したとする(ステップE1)。アクセス制御再判定部23は、アクセス制御ポリシ27を参照する(ステップE2)。そして、変更先オブジェクト識別子群Zに含まれる第2オブジェクト群に対して、サブジェクト識別子Pxが操作リクエストを実行できるか否かを判定する(ステップE3)。そして、変更先オブジェクト群Zに対して操作リクエストが実行可能であると判定した場合には、操作対象オブジェクトZに対しても操作リクエストが実行可能であるものと判定し、基盤ソフトウェア28にアクセス許可信号送信する(ステップE4)。一方、変更先オブジェクト群Zに対して操作リクエストが実行不可であると判定した場合には、操作対象オブジェクトZに対しても操作リクエストが実行不可であるものと判定し、基盤ソフトウェア28へアクセス禁止信号を送信する(ステップE5)。
以上説明したように、本実施形態によれば、第1情報処理装置1に追加アクセス制御ポリシ12が記憶されているため、第1オブジェクト群に対して操作リクエストが実行できるか否かの判断を、第2オブジェト群に対する制御規則で判断することができる。このため、第2情報処理装置2のアクセス制御ポリシ27としては、第2オブジェクト群に対する制御規則だけが設定されていればよい。アクセス制御ポリシ27として、第1オブジェクト群に対する制御規則が設定されている必要がなく、アクセス制御ポリシ27の設定時における処理の負担を軽減できる。
また、アクセス制御ポリシ27に第1オブジェクト群に対する制御規則が設定される必要がないため、第2情報処理装置2が第1情報処理装置1にアクセスする度にアクセス制御ポリシ27を設定する必要もない。この観点からも、アクセス制御ポリシ27を設定する際の負担が軽減されている。
更には、第1情報処理装置1の第1オブジェクト群に、第2情報処理装置2とは別のデータ利用装置によって使用されるオブジェクトが含まれていたとしても、そのオブジェクトに対する制御規則がアクセス制御ポリシ27に設定される必要がない。この観点からも、アクセス制御ポリシ27を設定する際の負担が軽減されている。
尚、本実施形態としては、アクセス制御ポリシ27によって実行の可否が判断される操作内容として、「read」や「open]などを例に挙げて説明した。但し、その操作内容としては、例えば、オブジェクトに対する処理を行う際のリソース使用量が規定されていてもよい。また、操作内容として、アクセスの可否を示す内容が規定されていてもよい。
(第2の実施形態)
続いて、本発明の第2の実施形態について説明する。図8は、本実施形態に係る情報処理システムを示す概略図である。
図8に示されるように、本実施形態に係る情報処理システムでは、第1の実施形態に対して、第1情報処理装置1の構成が工夫されている。すなわち、第1情報処理装置1に、データ処理装置29が追加されている。また、記憶装置11に、ポリシ作成規則記憶部33が追加されている。また、第1の実施形態に対して、基盤ソフトウェア28の機能が更に工夫されている。その他の点については、第1の実施形態と同様とすることができるので、詳細な説明は省略する。
基盤ソフトウェア28は、第2情報処理装置2を使用するユーザU0〜Us(sは0以上の整数)のユーザ識別子U0〜Usを記憶する機能を備える。基盤ソフトウェア28は、第2情報処理装置2を使用するユーザを特定する機能を有しており、特定したユーザの識別子U0〜Usを、データ処理装置29に通知する。ユーザを特定する手段の例としては、指紋認証や顔認識等が考えられるが、他の方法であっても構わない。その他の点については、第1の実施形態における基盤ソフトウェア28と同一の機能を備える。
続いて、ポリシ作成規則記憶部33について説明する。図9は、ポリシ作成規則記憶部33に記憶された情報を示す概念図である。図9に示されるように、ポリシ作成規則記憶部33は、ユーザ識別子U0〜Usと、追加アクセス制御規則U0〜Usとの対応関係を、記憶している。追加アクセス制御規則Uy(yは0以上s以下の整数)は、第1オブジェクト識別子R0〜Rkと変更先オブジェクト識別子群R0〜Rkとの対応関係を示す情報である。
続いて、データ処理装置29について説明する。データ処理装置29は、ユーザ認証を行うユーザ認証部30と、ユーザに応じて追加アクセス制御ポリシの変更を行う追加アクセス制御ポリシ作成部31とを備えている。
ユーザ認証部30の動作について説明する。図10は、ユーザ認証部30の動作を示すフローチャートである。ユーザ認証部30は、基盤ソフトウェア28から、第2情報処理装置2を使用しているユーザのユーザ識別子Uyを取得する(ステップF1)。そして、取得したユーザ識別子Uyを、追加アクセス制御ポリシ作成部31へ通知する(ステップF2)。
追加アクセス制御ポリシ作成部31の動作について説明する。図11は、追加アクセス制御ポリシ作成部31の動作を示すフローチャートである。追加アクセス制御ポリシ作成部31は、ユーザ識別子Uyを受信すると(ステップG1)、ポリシ作成規則記憶部33を参照する(ステップG2)。そして、ユーザ識別子Uyに対応付けられた追加アクセス制御規則Uyを取得する(ステップG3)。そして、追加アクセス制御ポリシ12にアクセスし、追加アクセス制御ポリシ12の内容を消去する(ステップG4)。その後、追加アクセス制御ポリシ12として、追加アクセス制御規則Uyを記憶させる(ステップG5)。
本実施形態によれば、第1の実施形態と同様の作用効果を奏することができる。これに加えて、第2情報処理装置2を使用するユーザに応じて、第1情報処理装置1の第1オブジェクトに適用される制御規則を変更することができる。
以下に、本発明をより具体的に説明するために、実施例について説明を行う。
(実施例1)
まず、実施例1について説明する。実施例1は、既述の第1の実施形態に対応する実施例である。
図12Aは、実施例1に係る情報処理システムを示す概略図である。
本実施例に係る情報処理システムは、プログラム制御により動作するコンピュータ1(第1情報処理装置)と、コンピュータ2(第2情報処理装置)とを備えている。各コンピュータは、図示しないメモリエリアを備えている。コンピュータ1とコンピュータ2とはネットワークを介してアクセス可能に接続されている。
コンピュータ2のメモリエリアには、基盤ソフトウェア28としてのOS28と、アクセス制御ポリシ27とが記憶されている。
OS28は、メーラプロセスP10と、ブラウザプロセスP11とを備えている。メーラプロセスP10にはサブジェクト識別子P10が割り当てられており、ブラウザプロセスP11にはサブジェクト識別子P11が割り当てられている。また、OS28は、メールデータQ10を管理している。メールデータQ10には、第2オブジェクト識別子Q10が割り当ててられている。
図12Bは、アクセス制御ポリシ27の内容を示す概念図である。アクセス制御ポリシ27には、オブジェクト識別子Q10に対してアクセス制御規則Q10が対応付けられている。アクセス制御規則Q10は、サブジェクト識別子P10に対して、操作内容「Open」、「Read」、及び「Write」を対応付けて示している。すなわち、アクセス制御ポリシ27によれば、オブジェクトQ10であるメールデータQ10に対しては、サブジェクトP10(メーラプロセスP10)による「Open」、「Read」、及び「Write」の操作だけが許可されていることになる。
また、コンピュータ2には、OS28の他に、アクセス制御部26と、アクセス拒否判定部25と、変更先オブジェクト決定部24と、アクセス制御再判定部23とが設けられている。
一方、コンピュータ1のメモリエリアには、追加アクセス制御ポリシ12と、メールデータR10とが記憶されている。メールデータR10には、第1オブジェクト識別子R10が割り当てられている。
図12Cは、追加アクセス制御ポリシ12の内容を示す概念図である。図12Cに示されるように、追加アクセス制御ポリシ12は、第1オブジェクト識別子R10に対して、変更先オブジェクト識別子群R10を対応付けて示している。変更先オブジェクト識別子群R10は、第2オブジェクト識別子Q10を含んでいる。
続いて、本実施例に係る情報処理システムの動作方法について説明する。
OS28により管理されるメールプロセスP10が、コンピュータ1のメールデータR10に対して、Openを試みるとする。メールプロセスP10は、メールデータR10をOpenするために、操作リクエストとしてOpenシステムコールをOS28へ送信する。OS28は、メールプロセスP10からメールデータR10に対する操作リクエストを受信する。そして、メールプロセスP10のサブジェクト識別子P10と、操作対象のメールデータR10の第1オブジェクト識別子R10とを取得する。そして、操作リクエストに対して、サブジェクト識別子P10と第1オブジェクト識別子R10とを付与し、リクエスト情報としてアクセス制御部26に送信する。そして、OS28は、アクセス許可信号もしくはアクセス禁止信号を受信するまで待つ。
リクエスト情報を取得したアクセス制御部26は、アクセス制御ポリシ27を参照する。そして、アクセス制御ポリシ27に、オブジェクト識別子R10に対応するアクセス制御規則R10が記憶されているかどうかを判定する。ここで、アクセス制御ポリシ27には、アクセス制御規則R10は記憶されていない。従って、アクセス制御部26は、その旨をリクエスト情報と共に、アクセス拒否判定部25に通知する。
アクセス拒否判定部25は、リクエスト情報を取得すると、オブジェクト識別子R10に対応するオブジェクトが、コンピュータ1に記憶されているかを判別する。今、コンピュータ1には、オブジェクト識別子R10のメールデータR10が記憶されている。従って、アクセス拒否判定部25は、その旨をリクエスト情報と共に、変更先オブジェクト決定部24に通知する。
変更先オブジェクト決定部24は、リクエスト情報を取得すると、追加アクセス制御ポリシ12を参照する。そして、オブジェクト識別子R10に対応付けられたオブジェクト識別子群R10を、変更先オブジェクト識別子群R10として取得する。そして、リクエスト情報に対して、変更先オブジェクト識別子群R10を付与し、変更リクエスト情報として、アクセス制御再判定部23に通知する。
アクセス制御再判定部23は、変更リクエスト情報を受信すると、アクセス制御ポリシ27を参照する。ここで、変更先オブジェクト識別子群R10には、オブジェクト識別子Q10が含まれている。そこで、アクセス制御ポリシ27を参照し、オブジェクト識別子Q10に対応付けられたアクセス制御規則Q10を参照する。そして、アクセス制御規則Q10において、サブジェクト識別子P10に操作リクエストの操作内容(Open)が対応付けられているか否かを判定する。今、アクセス制御ポリシ27において、サブジェクト識別子P10と操作リクエストの内容である「Open」とは、対応付けられている。したがって、アクセス制御再判定部23は、操作リクエストが許可されるべきであるものと判定し、アクセス許可信号をOS28に送信する。
OS28は、アクセス許可信号を受信すると、メールプロセスP10のメールデータR10に対するOpenシステムコールの処理を行い、メールプロセスP10へ操作完了信号を送信する。
次に、OS28のブラウザプロセスP11が、コンピュータ1のメールデータR10のOpenを試みる場合の動作について説明する。ブラウザプロセスP11は、メールデータR10をOpenにするため、操作リクエストとしてOpenシステムコールを生成し、OS28に送信する。OS28は、操作リクエストを受信すると、ブラウザプロセスP11のサブジェクト識別子P11と、操作対象のメールデータR10のオブジェクト識別子R10とを取得する。そして、操作リクエストに、サブジェクト識別子P11とオブジェクト識別子R10とを対応付け、リクエスト情報としてアクセス制御部26に通知する。そして、OS28は、アクセス許可信号もしくはアクセス禁止信号を受信するまで待つ。
アクセス制御部26は、リクエスト情報を受信すると、アクセス制御ポリシ27を参照する。そして、アクセス制御ポリシ27に、オブジェクト識別子R10に対応付けられたアクセス制御規則R10が記憶されているか否かを判定する。今、アクセス制御ポリシ27には、アクセス制御規則R10は記憶されていない。従って、アクセス制御部26は、その旨をリクエスト情報と共に、アクセス拒否判定部25へ送信する。
アクセス拒否判定部25は、リクエスト情報を取得すると、オブジェクト識別子R10に対応するオブジェクトが、コンピュータ1に記憶されているか否かを判別する。今、コンピュータ1には、オブジェクト識別子R10が付されたメールデータR10が記憶されている。従って、アクセス拒否判定部25は、その旨とリクエスト情報とを、変更先オブジェクト決定部24に通知する。
変更先オブジェクト決定部24は、リクエスト情報を取得すると、追加アクセス制御ポリシ12を参照する。そして、オブジェクト識別子R10に対応付けられたオブジェクト識別子群R10を、変更先オブジェクト識別子群R10として取得する。そして、リクエスト情報に対して変更先オブジェクト識別子群R10を追記し、変更リクエスト情報としてアクセス制御再判定部23に通知する。
アクセス制御再判定部23は、変更リクエスト情報を取得すると、アクセス制御ポリシ27を参照する。変更先オブジェクト識別子群R10には、オブジェクト識別子Q10が含まれている。従って、アクセス制御再判定部23は、オブジェクト識別子Q10に対応付けられたアクセス制御規則Q10を参照する。そして、サブジェクト識別子P11に対して、操作リクエストの内容(Open)が対応付けられているか否かを判定する。今、アクセス制御ポリシ27として、サブジェクト識別子P11と操作リクエスト(Open)との対応関係は、記憶されていない。そのため、アクセス制御再判定部23は、操作リクエストが禁止されるべきものであると判定し、OS28へアクセス禁止信号を送信する。OS28はアクセス禁止信号を受信すると、ブラウザプロセスP11へ操作拒否信号を送信する。
(実施例2)
続いて、実施例2について説明する。本実施例は、既述の第2の実施形態に対応する実施例である。
図13は、本実施例に係る情報処理システムを示す概略図である。この情報処理システムは、コンピュータ1(第1情報処理装置)とコンピュータ2(第2情報処理装置)とを備えている。コンピュータ1とコンピュータ2とは、それぞれ、図示しないメモリエリアを備えている。コンピュータ1とコンピュータ2とは、ネットワークを介してアクセス可能に接続されている。
コンピュータ2のメモリエリア(図示せず)には、基盤ソフトウェア28としてのOS28と、アクセス制御ポリシ27とが記憶されている。
OS28は、サブジェクト識別子P20が割り当てられたユーザプロセスP20と、サブジェクト識別子P21が割り当てられたユーザプロセスP21とを備えている。また、OS28によって、オブジェクト識別子Q20が割り当てられたユーザディレクトリQ20と、オブジェクト識別子Q21が割り当てられたユーザディレクトリQ21とが管理されている。
図14Aは、アクセス制御ポリシ27の内容を示す概念図である。アクセス制御ポリシ27には、オブジェクト識別子Q20に対応付けられたアクセス制御規則Q20と、オブジェクト識別子Q21に対応付けられたアクセス制御規則Q21とが、予め記憶されている。具体的には、ユーザディレクトリQ20(オブジェクト識別子Q20)に対して、ユーザプロセスP20(サブジェクト識別子P20)は、「Read」及び「Write」の操作を許可されている。また、ユーザディレクトリQ21(オブジェクト識別子Q21)に対して、ユーザプロセスP21(サブジェクト識別子P21)は、「Read」及び「Write」の操作を許可されている。
また、OS28はコンピュータ2を使用するユーザ(U20、U21)を、ユーザ識別子(U20、U21)を割り当てることによって識別する機能を有している。
また、コンピュータ2には、アクセス制御部26と、アクセス拒否判定部25と、変更先オブジェクト決定部24と、アクセス制御再判定部23とが設けられている。これらは、OS28によって実行される情報処理システムの動作プログラムにより、実現される。
一方、コンピュータ1のメモリエリアには、追加アクセス制御ポリシ12と、オブジェクト識別子R20が割り当てられたユーザデータR20と、オブジェクト識別子R21が割り当てられたユーザデータR21とが記憶されている。また、コンピュータ1には、ポリシ作成規則記憶部33と、ユーザ認証部30と、追加アクセス制御部31とが設けられている。
図14Bは、ポリシ作成規則記憶部23に記憶された内容を示す概念図である。図14Bに示されるように、ポリシ作成規則記憶部23には、ユーザ識別子U20に対して追加アクセス制御規則U20が対応付けられており、ユーザ識別子U21に対して追加アクセス制御規則U21が対応付けられている。追加アクセス制御規則U20には、オブジェクト識別子R20とオブジェクト識別子R21とが記憶されている。そして、オブジェクト識別子R20には、変更先オブジェクト識別子群R20として、オブジェクト識別子Q20及びオブジェクト識別子Q21が対応付けられている。オブジェクト識別子R21には、変更先オブジェクト識別子群R21として、オブジェクト識別子Q21が対応付けられている。一方、追加アクセス制御規則U21には、オブジェクト識別子R20とオブジェクト識別子R21とが記憶されている。そして、オブジェクト識別子R20には、変更先オブジェクト識別子群R20として、オブジェクト識別子Q20が対応付けられている。オブジェクト識別子R21には、変更先オブジェクト識別子群R21として、オブジェクト識別子Q21が対応付けられている。
本実施例に係る情報処理システムの動作方法について説明する。
まず、コンピュータ2を、ユーザ識別子U20が割り当てられたユーザU20が使用している場合の動作について説明する。コンピュータ1のユーザ認証部30は、コンピュータ2のOS28より、ユーザU20のユーザ識別子U20を取得する。そして、取得したユーザ識別子U20を、追加アクセス制御ポリシ作成部31へ送信する。
追加アクセス制御ポリシ作成部31は、ユーザ識別子U20を受信すると、ポリシ作成規則記憶部33を参照する。そして、受信したユーザ識別子U20に対応付けられた追加アクセス制御規則U20を取得する。そして、追加アクセス制御ポリシ12の内容を消去した後、追加アクセス制御規則U20を追加アクセス制御ポリシ12に書き込む。
次に、OS28の配下のユーザプロセスP20が、コンピュータ1のユーザデータR20のReadを試みたとする。ユーザプロセスP20は、ユーザデータR20をReadするために、操作リクエストとして、ReadシステムコールをOS28へ送信する。OS28は、ユーザプロセスP20からユーザデータR20に対する操作リクエストを受信すると、ユーザプロセスP20のサブジェクト識別子P20と、操作対象のユーザデータR20のオブジェクト識別子R20とを取得する。そして、これらを操作リクエストに対して付与し、リクエスト情報としてアクセス制御部26へ送信する。そして、OS28は、アクセス許可信号もしくはアクセス禁止信号を受信するまで待つ。
アクセス制御部26は、リクエスト情報を取得すると、アクセス制御ポリシ27を参照する。そして、アクセス制御ポリシ27に、オブジェクト識別子R20に対応するアクセス制御規則R20が記憶されているか否かを判定する。今、アクセス制御ポリシ27には、アクセス制御規則R20は記憶されていない。従って、アクセス制御部26は、その旨をリクエスト情報と共に、アクセス拒否判定部25に通知する。
アクセス拒否判定部25は、リクエスト情報を受信すると、オブジェクト識別子R20に対応するオブジェクトが、コンピュータ1に記憶されているかを判別する。今、コンピュータ1には、オブジェクト識別子R20が割り当てられたユーザデータR20が記憶されている。従って、アクセス拒否判定部25は、その旨をリクエスト情報と共に変更先オブジェクト決定部24に送信する。
変更先オブジェクト決定部24は、リクエスト情報を取得すると、追加アクセス制御ポリシ12を参照する。この追加アクセス制御ポリシ12としては、既述のように、追加アクセス制御規則U20の内容が記憶されている。変更先オブジェクト決定部24は、オブジェクト識別子R20に対応付けられた変更先オブジェクト識別子群R20を取得する。そして、リクエスト情報に対して変更先オブジェクト識別子群R20を付与し、変更リクエスト情報としてアクセス制御再判定部23へ送信する。
アクセス制御再判定部23は、変更リクエスト情報を取得すると、アクセス制御ポリシ27を参照する。変更先オブジェクト識別子群R20には、オブジェクト識別子Q20及びQ21が含まれている。従って、アクセス制御再判定部23は、オブジェクト識別子Q20及びQ21に対応付けられたアクセス制御規則(Q20及びQ21)を参照する。そして、アクセス制御規則(Q20及びQ21)のいずれかに、サブジェクト識別子P20と操作リクエストに記される操作内容とが、記憶されているか否かを判定する。今、サブジェクト識別子P20と操作リクエストの内容であるReadは、アクセス制御ポリシ27に記憶されている。そのため、アクセス制御再判定部23は、操作リクエストが許可されているものと判定し、アクセス許可信号をOS28へ送信する。OS28は、アクセス許可信号を受信すると、ユーザプロセスP20のユーザデータR20に対するReadの処理を行い、ユーザプロセスP20へ操作完了信号を送信する。
次いで、ユーザ識別子U21のユーザU21がコンピュータ2を使用している場合の動作について説明する。コンピュータ1のユーザ認証部30が、コンピュータ1のOS28から、コンピュータ2を使用しているユーザU21のユーザ識別子U21を取得する。ユーザ認証部30は、取得したユーザ識別子U21を、追加アクセス制御ポリシ作成部31へ送信する。
追加アクセス制御ポリシ作成部31は、ユーザ識別子U21を受信すると、ポリシ作成規則記憶部33を参照する。そして、受信したユーザ識別子U21に対応付けられた追加アクセス制御規則U21を取得する。さらに、追加アクセス制御ポリシ作成部31は、追加アクセス制御ポリシ12の内容を消去し、追加アクセス制御規則U21を新たに追加アクセス制御ポリシ12として記憶する。
ここで、OS28のユーザプロセスP21が、コンピュータ1のユーザデータR20のReadを試みるものとする。ユーザプロセスP21は、ユーザデータR20をReadするために、操作リクエストとしてReadシステムコールをOS28へ送信する。OS28は、ユーザプロセスP21からユーザデータR20に対する操作リクエストを受信すると、ユーザプロセスP21のサブジェクト識別子P21と、操作対象のユーザデータR20のオブジェクト識別子R20とを取得する。そして、これらを操作リクエストに付加し、リクエスト情報としてアクセス制御部26に送信する。そして、OS28は、アクセス許可信号もしくはアクセス禁止信号を受信するまで待つ。
アクセス制御部26は、リクエスト情報を取得すると、アクセス制御ポリシ27を参照する。そして、アクセス制御ポリシ27に、オブジェクト識別子R20に対応付けられたアクセス制御規則R20が記憶されているか否かを判定する。今、アクセス制御ポリシ27には、アクセス制御規則R20は記憶されていない。従って、アクセス制御部26は、その旨をリクエスト情報と共に、アクセス拒否判定部25に通知する。
アクセス拒否判定部25は、リクエスト情報を取得すると、オブジェクト識別子R20に対応するオブジェクトが、コンピュータ1に記憶されているか否かを判別する。今、コンピュータ1には、オブジェクト識別子R20に対応するオブジェクト(ユーザデータR20)が、コンピュータ210に記憶されている。従って、アクセス拒否判定部25は、この旨を、リクエスト情報と共に、変更先オブジェクト決定部24に送信する。
変更先オブジェクト決定部24は、リクエスト情報を取得すると、追加アクセス制御ポリシ12を参照する。この追加アクセス制御ポリシ12としては、既述のように、追加アクセス制御規則U21の内容が記憶されている。変更先オブジェクト決定部24は、オブジェクト識別子R20に対応付けられた変更先オブジェクト識別子群R20(オブジェクト識別子Q20)を取得する。そして、リクエスト情報に対して取得した変更先オブジェクト識別子群R20を付与し、変更リクエスト情報としてアクセス制御再判定部23へ送信する。
アクセス制御再判定部23は、変更リクエスト情報を取得すると、アクセス制御ポリシ27を参照する。そして、変更先オブジェクト識別子群R20に含まれるオブジェクト識別子Q20に対応付けられたアクセス制御規則Q20を参照する。そして、アクセス制御規則Q20において、サブジェクト識別子P21に対して操作リクエストの操作内容が対応付けられているか否かを判定する。今、アクセス制御規則Q20において、サブジェクト識別子P21と操作リクエストの操作内容(Read)は、対応付けられていない。従って、アクセス制御再判定部23は、操作リクエストは禁止されるべきであると判定し、OS28へアクセス禁止信号を送信する。OS28は、アクセス禁止信号を受信すると、ユーザプロセスP21へ操作拒否信号を送信する。
以上、本発明を、第1、2の実施形態、及び実施例1、2によって説明した。但し、これらの実施形態及び実施例は互いに独立するものではなく、矛盾のない範囲内で組み合わせることも可能である。
また、本発明に係る情報処理システムは、アクセス制御規則の設定手段に適用することができる。ここで、情報処理システムに用いられる各情報処理装置としては、パーソナルコンピュータ、携帯電話及びPDA等の移動体通信端末等の組み込みコンピュータ、ゲーム機器、及び多機能複写機等を用いることができる。
なお、本出願は、日本出願番号2009−034528に基づく優先権を主張するものであり、日本出願番号2009−034528における開示内容は引用により本出願に組み込まれる。

Claims (23)

  1. 第1オブジェクト群を保存する第1情報処理装置と、
    サブジェクトから、操作対象オブジェクトに対する操作内容を示す操作リクエストを取得し、前記操作リクエストに基づいて前記操作対象オブジェクトに対する処理を行う、第2情報処理装置と、
    を具備し、
    前記第2情報処理装置は、
    第2オブジェクト群に含まれる各第2オブジェクトと、前記各第2オブジェクトに対して許可される操作内容を示す制御規則との対応関係を、アクセス制御ポリシとして記憶する、アクセス制御ポリシ記憶手段と、
    前記操作リクエストが処理可能であるか否かを判定する、データ処理手段とを備え、
    前記第1情報処理装置は、
    前記第1オブジェクト群に含まれる各第1オブジェクトについて、前記各第1オブジェクトと同じ前記制御規則が適用される前記各第2オブジェクトの集合を、変更先オブジェクト群として示す、追加アクセス制御ポリシを記憶する追加アクセス制御ポリシ記憶手段を備え、
    前記データ処理手段は、
    前記操作対象オブジェクトが前記第1オブジェクト群に含まれる場合に、前記追加アクセス制御ポリシを参照し、前記操作対象オブジェクトに対応する前記変更先オブジェクト群を取得する、変更先オブジェクト群決定手段と、
    前記アクセス制御ポリシを参照することにより、前記操作リクエストが、前記変更先オブジェクト群に含まれる前記各第2オブジェクトに対して処理可能であるか否かを判定し、判定結果に基づいて、前記操作対象オブジェクトに対して前記操作リクエストが処理可能であるか否かを決定する、アクセス制御再判定手段とを備える
    情報処理システム。
  2. 請求項1に記載された情報処理システムであって、
    前記第2オブジェクト群は、前記第2情報処理装置に保存されたオブジェクト群である
    情報処理システム。
  3. 請求項1又は2に記載された情報処理システムであって、
    前記データ処理手段は、更に、
    前記アクセス制御ポリシを参照することにより、前記操作対象オブジェクトが前記第2オブジェクト群に含まれているか否かを判定する、アクセス制御手段、を備え、
    前記変更先オブジェクト群決定手段は、前記操作対象オブジェクトが前記第2オブジェクト群に含まれていない場合に、前記変更先オブジェクト群を取得する
    情報処理システム。
  4. 請求項3に記載された情報処理システムであって、
    前記データ処理手段は、更に、
    前記操作対象オブジェクトが前記第1オブジェクト群に含まれているか否かを判定する、アクセス可否判定手段を備え、
    前記変更先オブジェクト群決定手段は、前記操作対象オブジェクトが前記第1オブジェクト群に含まれている場合に、前記変更先オブジェクト群を取得する
    情報処理システム。
  5. 請求項1乃至4の何れかに記載された情報処理システムであって、
    前記第1情報処理装置は、更に、
    前記第2情報処理装置を利用するユーザを識別するユーザ認証手段と、
    前記ユーザ認証手段による識別結果に応じて、前記追加アクセス制御ポリシの内容を変更する、追加アクセス制御ポリシ作成手段とを備える
    情報処理システム。
  6. 請求項1乃至5の何れかに記載された情報処理システムであって、
    前記第2情報処理装置は、更に、前記操作リクエストに基づいて前記操作対象オブジェクトに対する処理を実行する、基盤制御手段を備え、
    前記基盤制御手段は、サブジェクトから、前記操作対象オブジェクトに対する前記操作リクエストを取得し、前記サブジェクトを特定する情報と前記操作対象オブジェクトを特定する情報と前記操作リクエストとを、リクエスト情報として前記データ処理手段に通知し、前記データ処理手段による判定結果に基づいて、前記操作対象オブジェクトに対する処理を実行するか否かを決定する
    情報処理システム。
  7. 請求項1乃至6の何れかに記載された情報処理システムであって、
    前記制御規則は、オブジェクトに対するアクセスの可否を示す、アクセス制御規則を含んでいる
    情報処理システム。
  8. 請求項1乃至6の何れかに記載された情報処理システムであって、
    前記制御規則は、オブジェクトに対するアクセス時に使用されるリソースの使用量に関する規則を含んでいる
    情報処理システム。
  9. 請求項1乃至8の何れかに記載された情報処理システムであって、
    前記アクセス制御再判定手段は、前記アクセス制御ポリシを参照し、前記変更先オブジェクト群に対応するオブジェクトの規則の論理和からなる規則に基づいて、前記操作リクエストが処理可能であるか否かを判定する
    情報処理システム。
  10. 請求項1乃至8の何れかに記載された情報処理システムであって、
    前記アクセス制御再判定手段は、前記アクセス制御ポリシを参照し、前記変更先オブジェクト群に対応するオブジェクトの規則の論理積からなる規則に基づいて、前記操作リクエストが処理可能であるか否かを判定する
    情報処理システム。
  11. 請求項1乃至10の何れかに記載された情報処理システムで利用される第1情報処理装置、を具備する
    データ保存装置。
  12. 請求項1乃至10の何れかに記載された情報処理システムで利用される第2情報処理装置、を具備する
    データ利用装置。
  13. 第1オブジェクト群を保存する第1情報処理装置と、操作対象オブジェクトと操作内容とを示す操作リクエストを取得し、前記操作リクエストに基づいて前記操作対象オブジェクトに対する処理を行う、第2情報処理装置とを具備する情報処理システムの動作方法であって、
    予め、アクセス制御ポリシとして、第2オブジェクト群に含まれる各第2オブジェクトと、前記各第2オブジェクトに対して許可される操作内容を示す制御規則との対応関係を、前記第2情報処理装置に記憶させるステップと、
    予め、追加アクセス制御ポリシとして、前記第1オブジェクト群に含まれる各第1オブジェクトについて、前記各第1オブジェクトと同じ制御規則で操作の可否が判断される前記各第2オブジェクトの集合を変更先オブジェクト群として示す情報を、前記第1情報処理装置に記憶させるステップと、
    前記操作リクエストが処理可能であるか否かをデータ処理手段が判定するステップと、
    を具備し、
    前記操作リクエストが処理可能であるか否かを判定するステップは、
    前記第2情報処理装置によって、前記操作リクエストを取得するステップと、
    前記操作対象オブジェクトが前記第1オブジェクト群に含まれる場合に、前記第2情報処理装置により、前記追加アクセス制御ポリシを参照し、前記操作対象オブジェクトに対応する前記変更先オブジェクト群を取得するステップと、
    前記第2情報処理装置により、前記アクセス制御ポリシを参照することにより、前記操作リクエストに含まれる操作内容が、前記変更先オブジェクト群に対して処理可能であるか否かを判定し、判定結果に基づいて、前記操作対象オブジェクトに対して前記操作リクエストが処理可能であるか否かを決定するステップと
    を備える
    情報処理システムの動作方法。
  14. 請求項13に記載された情報処理システムの動作方法であって、
    前記第2オブジェクト群は、前記第2情報処理装置に保存されたオブジェクト群である
    情報処理システムの動作方法。
  15. 請求項13又は14に記載された情報処理システムの動作方法であって、
    前記操作リクエストが処理可能であるか否かを判定するステップは、更に、前記アクセス制御ポリシを参照することにより、前記操作対象オブジェクトが前記第2オブジェクト群に含まれているか否かを判定するステップを備え、
    前記変更先オブジェクト群を取得するステップは、前記操作対象オブジェクトが前記第2オブジェクト群に含まれていない場合に、前記変更先オブジェクト群を取得するステップを含んでいる
    情報処理システムの動作方法。
  16. 請求項15に記載された情報処理システムの動作方法であって、
    前記操作リクエストが処理可能であるか否かを判定するステップは、更に、前記操作対象オブジェクトが前記第1オブジェクト群に含まれているか否かを判定するステップを備え、
    前記変更先オブジェクト群を決定するステップは、前記操作対象オブジェクトが前記第1オブジェクト群に含まれている場合に、前記変更先オブジェクト群を取得するステップを備えている
    情報処理システムの動作方法。
  17. 請求項13乃至16の何れかに記載された情報処理システムの動作方法であって、更に、
    前記第2情報処理装置を利用するユーザを識別するステップと、
    前記識別するステップにおける識別結果に応じて、前記追加アクセス制御ポリシの内容を変更するステップと、を具備する
    情報処理システムの動作方法。
  18. 請求項13乃至17の何れかに記載された情報処理システムの動作方法であって、
    更に、
    前記操作リクエストに基づいて前記操作対象オブジェクトに対する処理を実行するステップ、
    を具備し、
    前記処理を実行するステップは、サブジェクトから前記操作リクエストを取得し、前記サブジェクトを特定する情報と共に前記操作リクエストを前記データ処理手段に通知し、前記データ処理手段による判定結果に基づいて、前記操作対象オブジェクトに対する処理を実行するか否かを決定するステップを備える
    情報処理システムの動作方法。
  19. 請求項13乃至18の何れかに記載された情報処理システムの動作方法であって、
    前記制御規則は、オブジェクトに対するアクセスの可否を示すアクセス制御規則を含んでいる
    情報処理システムの動作方法。
  20. 請求項13乃至18の何れかに記載された情報処理システムの動作方法であって、
    前記制御規則は、オブジェクトに対するアクセス時に使用されるリソースの使用量に関する規則を含んでいる
    情報処理システムの動作方法。
  21. 請求項13乃至20の何れかに記載された情報処理システムの動作方法であって、
    前記処理可能であるか否かを決定するステップは、前記アクセス制御ポリシを参照し、前記変更先オブジェクト群に対応するオブジェクトの規則の論理和からなる規則に基づいて、前記操作リクエストが処理可能であるか否かを判定するステップを備えている
    情報処理システムの動作方法。
  22. 請求項13乃至20の何れかに記載された情報処理システムの動作方法であって、
    前記処理可能であるか否かを決定するステップは、前記アクセス制御ポリシを参照し、前記変更先オブジェクト群に対応するオブジェクトの規則の論理積からなる規則に基づいて、前記操作リクエストが処理可能であるか否かを判定するステップを備えている
    情報処理システムの動作方法。
  23. 請求項13乃至22の何れかに記載された情報処理システムの動作方法を、コンピュータにより実現するための、情報処理システムの動作プログラム。
JP2011500577A 2009-02-17 2010-02-12 情報処理システム及び情報処理システムの動作方法 Expired - Fee Related JP5482781B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011500577A JP5482781B2 (ja) 2009-02-17 2010-02-12 情報処理システム及び情報処理システムの動作方法

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2009034528 2009-02-17
JP2009034528 2009-02-17
PCT/JP2010/052033 WO2010095561A1 (ja) 2009-02-17 2010-02-12 情報処理システム及び情報処理システムの動作方法
JP2011500577A JP5482781B2 (ja) 2009-02-17 2010-02-12 情報処理システム及び情報処理システムの動作方法

Publications (2)

Publication Number Publication Date
JPWO2010095561A1 JPWO2010095561A1 (ja) 2012-08-23
JP5482781B2 true JP5482781B2 (ja) 2014-05-07

Family

ID=42633844

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011500577A Expired - Fee Related JP5482781B2 (ja) 2009-02-17 2010-02-12 情報処理システム及び情報処理システムの動作方法

Country Status (3)

Country Link
US (1) US8621557B2 (ja)
JP (1) JP5482781B2 (ja)
WO (1) WO2010095561A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10139789B2 (en) * 2012-03-02 2018-11-27 Philips Lighting Holding B.V. System and method for access decision evaluation for building automation and control systems
JP5499148B1 (ja) * 2012-12-11 2014-05-21 日本電信電話株式会社 データアクセス制御装置及び方法
CN104915617B (zh) * 2015-05-28 2018-02-27 联想(北京)有限公司 一种信息处理方法及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007004610A (ja) * 2005-06-24 2007-01-11 Nippon Telegr & Teleph Corp <Ntt> 複合的アクセス認可方法及び装置
JP2007328400A (ja) * 2006-06-06 2007-12-20 Ntt Data Corp ポリシー管理装置、ポリシー管理方法、及び、コンピュータプログラム
JP2008097214A (ja) * 2006-10-10 2008-04-24 Hitachi Ltd アクセス権管理方法、管理計算機、及び管理プログラム
JP2008165300A (ja) * 2006-12-27 2008-07-17 Internatl Business Mach Corp <Ibm> データへのアクセスを制御する技術
JP2008234263A (ja) * 2007-03-20 2008-10-02 Hitachi Software Eng Co Ltd セキュアosのセキュリティポリシ追加設定方法及びシステム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6754212B1 (en) * 1996-07-12 2004-06-22 Hitachi, Ltd. Repeater and network system utililzing the same
DE60102934T2 (de) * 2000-08-04 2005-03-10 Xtradyne Technologies Ag Verfahren und system für sitzungsbasierte berechtigung und zugangskontrolle für vernetzte anwendungsobjekte
JP3790661B2 (ja) 2000-09-08 2006-06-28 インターナショナル・ビジネス・マシーンズ・コーポレーション アクセス制御システム
US7013332B2 (en) * 2001-01-09 2006-03-14 Microsoft Corporation Distributed policy model for access control
US7047254B2 (en) 2002-10-31 2006-05-16 Hewlett-Packard Development Company, L.P. Method and apparatus for providing aggregate object identifiers
JP2005234864A (ja) 2004-02-19 2005-09-02 Nippon Telegr & Teleph Corp <Ntt> 配信サーバおよびセキュリティポリシ配信サーバ
US7774830B2 (en) * 2005-03-14 2010-08-10 Microsoft Corporation Access control policy engine controlling access to resource based on any of multiple received types of security tokens
US7779265B2 (en) * 2005-12-13 2010-08-17 Microsoft Corporation Access control list inheritance thru object(s)
US9455990B2 (en) * 2006-07-21 2016-09-27 International Business Machines Corporation System and method for role based access control in a content management system
JP2008219419A (ja) 2007-03-02 2008-09-18 Nec Corp アクセス制御設定支援システム
US8020191B2 (en) * 2007-06-19 2011-09-13 International Business Machines Corporation Method and system for determining policy similarities
JP2009157750A (ja) * 2007-12-27 2009-07-16 Nec Corp アクセス制御装置、アクセス制御方法及びアクセス制御用プログラム
US8353005B2 (en) * 2008-02-29 2013-01-08 Microsoft Corporation Unified management policy

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007004610A (ja) * 2005-06-24 2007-01-11 Nippon Telegr & Teleph Corp <Ntt> 複合的アクセス認可方法及び装置
JP2007328400A (ja) * 2006-06-06 2007-12-20 Ntt Data Corp ポリシー管理装置、ポリシー管理方法、及び、コンピュータプログラム
JP2008097214A (ja) * 2006-10-10 2008-04-24 Hitachi Ltd アクセス権管理方法、管理計算機、及び管理プログラム
JP2008165300A (ja) * 2006-12-27 2008-07-17 Internatl Business Mach Corp <Ibm> データへのアクセスを制御する技術
JP2008234263A (ja) * 2007-03-20 2008-10-02 Hitachi Software Eng Co Ltd セキュアosのセキュリティポリシ追加設定方法及びシステム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNG200800480018; 本田 篤史 Atsushi Honda: '組込み機器におけるセキュアOSのポリシ追加機構 Policy addition mechanism of secure OS for embedded' 情報処理学会研究報告 Vol.2008 No.21 IPSJ SIG Technical Reports 第2008巻, 20080306, pp.109-114, 社団法人情報処理学会 Information Processing Socie *
JPN6010026811; 本田 篤史 Atsushi Honda: '組込み機器におけるセキュアOSのポリシ追加機構 Policy addition mechanism of secure OS for embedded' 情報処理学会研究報告 Vol.2008 No.21 IPSJ SIG Technical Reports 第2008巻, 20080306, pp.109-114, 社団法人情報処理学会 Information Processing Socie *

Also Published As

Publication number Publication date
US20110321121A1 (en) 2011-12-29
JPWO2010095561A1 (ja) 2012-08-23
WO2010095561A1 (ja) 2010-08-26
US8621557B2 (en) 2013-12-31

Similar Documents

Publication Publication Date Title
US20180082077A1 (en) Creating distinct user spaces through user identifiers
CN110199271B (zh) 用于现场可编程门阵列虚拟化的方法和设备
JP4628149B2 (ja) アクセス制御装置及びアクセス制御方法
US20150227748A1 (en) Method and System for Securing Data
CN107622203A (zh) 敏感信息的保护方法、装置、存储介质及电子设备
US8190636B2 (en) Method, apparatus and computer program product for providing object privilege modification
EP3014511A1 (en) Process authentication and resource permissions
US20100211802A1 (en) Storage Volume Protection Supporting Legacy Systems
US20140082690A1 (en) Mobile computing system for providing high-security execution environment
US20210306304A1 (en) Method and apparatus for distributing confidential execution software
JP2013065340A (ja) リトリーブ可能なトークン(例えば、スマートカード)内の独立した実行環境におけるアプリケーション間のセキュリティで保護されたリソース共有
JP5482781B2 (ja) 情報処理システム及び情報処理システムの動作方法
JP5317020B2 (ja) 情報処理システム、情報処理方法
CN103729598B (zh) 数据安全互联系统及其建立方法
CN112219202A (zh) 用于客户操作系统的存储器分配
WO2018171168A1 (en) Methods and apparatus for controlling access to secure computing resources
US8336059B2 (en) Access right checking system, access right checking method, and access right checking program
JP4507569B2 (ja) 情報処理装置および情報処理方法、プログラム、並びに記録媒体
US11429412B2 (en) Guest protection from application code execution in kernel mode
JP2009169868A (ja) 記憶領域アクセス装置及び記憶領域のアクセス方法
JPWO2018155593A1 (ja) プログラム管理装置、プログラム管理方法、及びプログラム
CN103729601B (zh) 数据安全互联系统及数据安全互联系统建立方法
CN110765426A (zh) 设备权限设置方法、装置、设备以及计算机存储介质
TW202435107A (zh) 選擇用於與安全訪客相關聯之硬體安全模組
CN115729467A (zh) 存储设备的访问控制方法及相关装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140203

R150 Certificate of patent or registration of utility model

Ref document number: 5482781

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees