JP5494653B2 - アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム - Google Patents

アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム Download PDF

Info

Publication number
JP5494653B2
JP5494653B2 JP2011508202A JP2011508202A JP5494653B2 JP 5494653 B2 JP5494653 B2 JP 5494653B2 JP 2011508202 A JP2011508202 A JP 2011508202A JP 2011508202 A JP2011508202 A JP 2011508202A JP 5494653 B2 JP5494653 B2 JP 5494653B2
Authority
JP
Japan
Prior art keywords
access control
resource
control policy
template
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011508202A
Other languages
English (en)
Other versions
JPWO2010116613A1 (ja
Inventor
諒 古川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011508202A priority Critical patent/JP5494653B2/ja
Publication of JPWO2010116613A1 publication Critical patent/JPWO2010116613A1/ja
Application granted granted Critical
Publication of JP5494653B2 publication Critical patent/JP5494653B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Description

本発明は、アクセス制御ポリシのテンプレートを生成するアクセス制御ポリシテンプレート生成装置、アクセス制御ポリシ管理システム、アクセス制御ポリシテンプレート生成方法およびアクセス制御ポリシテンプレート生成用プログラムに関する。
アクセス権などを規定するアクセス制御ポリシの設定を、予め作成されているアクセス制御ポリシのテンプレート(以下、ポリシテンプレートという。)を基に適用するといったテンプレートベースの方法で行うことは、アクセス権管理システムの管理者が同じ設定を何度も入力する必要性を無くし、ポリシ設定コストの低減につながる。
アクセス制御ポリシの設定をテンプレートベースで行うシステムの一例が、例えば、特許文献1に記載されている。
また、2つのポリシ集合の類似度を求め、類似度が閾値以上である場合に、各ポリシ集合内のポリシ組を基に2つのポリシ集合の置き換えに用いることができるポリシ集合を生成する方法が特許文献2に記載されている。
特開2004−133816号公報 特開2007−072581号公報
しかし、特許文献1に記載されているシステムでは、ポリシテンプレートの作成自体が困難であるという問題がある。ポリシテンプレートの作成には、現在運用されているポリシに関する知識が必要であるが、サーバやフォルダといったアクセス制御ポリシを設定する対象(以下、リソースを記す。)が多数存在するとポリシの総量が膨大になるとともに、管理者の交代などにより知識が継承されないと、どのようなサービスが存在するかを把握することが難しくなるからである。
アクセス制御ポリシは、例えば、部門内Webコンテンツや関連会社向け情報サービスなどというようにサービス別に設定されることが多い。また、リソースを追加しようとした場合に、追加するリソースで提供しようとするサービスが予め決まっていることが多く、予めサービス別にポリシテンプレートが作成されていれば、管理者が追加するリソースに用いるポリシテンプレートを選択しやすくなる。
例えば、部門1向けWebサービスに対応、部門1向けフォルダに対応といったように、テンプレートがサービス別に作成されていると、新規サーバを追加する際にどのような用途でどのユーザ向けに(例えば、Webサーバとして部門1向けに)サーバを追加するのかが決まっていれば、そのサービスに対応したテンプレートを選択して用いることで、容易に追加するサーバにポリシを適用することができる。
このことから、ポリシテンプレートは、既存のポリシから把握されるサービスの分類に対応して作成されることが望ましいといえる。
なお、特許文献2に記載されている方法を用いれば、2つのポリシ集合間で同一のポリシをテンプレートとして作成することは可能である。しかし、特許文献2に記載されている方法では、あくまで2つのポリシ集合の置き換えに用いることができるポリシ集合を生成することが目的であり、数多くのポリシ集合を参考に各ポリシ集合の設定内容に基づいてサービスの分類を読み取ろうということまでは考慮されていない。従って、特許文献2に記載されている方法では、単純に2つのポリシ集合間での比較を行うだけであるので、サービス分類に応じたテンプレートを作成することはできない。
そこで、本発明は、既存のポリシから把握されるサービスの分類に対応したポリシテンプレートを作成することが可能なアクセス制御ポリシテンプレート生成装置、アクセス制御ポリシ管理システム、アクセス制御ポリシテンプレート生成方法およびアクセス制御ポリシテンプレート生成用プログラムを提供することを目的とする。
本発明によるアクセス制御ポリシテンプレート生成装置は、リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシが与えられた場合に、複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類するリソースグループ化手段と、リソースグループ化手段によって分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成するテンプレート生成手段とを備え、リソースグループ化手段は、与えられた複数のアクセス制御ポリシによって示されるリソースと1対1に対応づけた葉ノードを持つ二分木であって、リソース別アクセス制御ポリシ集合間の類似度が大きいリソース同士ほどノード間のパス長が短く配置される性質をもつ二分木を構築し、構築した二分木において葉ノード間の距離が一定以下になるようにリソースの分類を行うことを特徴とする。
また、本発明によるアクセス制御ポリシテンプレート生成装置は、リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシが与えられた場合に、前記複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類するリソースグループ化手段と、前記リソースグループ化手段によって分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成するテンプレート生成手段と、生成されたアクセス制御ポリシテンプレートに付与する名前を、当該アクセス制御ポリシテンプレートを生成する際に対応づけられていたリソースのグループの特徴と、当該アクセス制御ポリシテンプレートが含むアクセス制御内容の特徴とに基づいて決定するテンプレート命名手段とを備えたことを特徴とする。
また、本発明によるアクセス制御ポリシ管理システムは、上記いずれかのアクセス制御ポリシ生成装置を備えたアクセス制御ポリシ管理システムであって、新規のリソースを登録するリソース登録手段と、アクセス制御ポリシ生成装置が生成したアクセス制御ポリシテンプレートの中から、ユーザ操作に応じて、リソース登録手段によって登録された新規リソースに適用するアクセス制御ポリシテンプレートを選択するテンプレート選択手段と、テンプレート選択手段によって選択されたアクセス制御ポリシテンプレートに対してユーザ操作に応じた編集作業を行い、リソース登録手段によって登録された新規リソースに適用するアクセス制御ポリシを生成するアクセス制御ポリシ生成手段を備えたことを特徴とする。
また、本発明によるアクセス制御ポリシテンプレート生成方法は、リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシが与えられた場合に、前記複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類し、分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成し、リソースを1つ以上のグループに分類するときに、与えられた複数のアクセス制御ポリシによって示されるリソースと1対1に対応づけた葉ノードを持つ二分木であって、リソース別アクセス制御ポリシ集合間の類似度が大きいリソース同士ほどノード間のパス長が短く配置される性質をもつ二分木を構築し、構築した二分木において葉ノード間の距離が一定以下になるようにリソースの分類を行うことを特徴とする。
また、本発明によるアクセス制御ポリシテンプレート生成方法は、リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシが与えられた場合に、前記複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類し、分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成し、生成されたアクセス制御ポリシテンプレートに付与する名前を、当該アクセス制御ポリシテンプレートを生成する際に対応づけられていたリソースのグループの特徴と、当該アクセス制御ポリシテンプレートが含むアクセス制御内容の特徴とに基づいて決定することを特徴とする。
また、本発明によるアクセス制御ポリシテンプレート生成用プログラムは、リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシを記憶する記憶手段を備えたコンピュータに、複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類するリソースグループ化処理と、分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成するテンプレート生成処理とを実行させ、リソースグループ化処理として少なくとも、与えられた複数のアクセス制御ポリシによって示されるリソースと1対1に対応づけた葉ノードを持つ二分木であって、リソース別アクセス制御ポリシ集合間の類似度が大きいリソース同士ほどノード間のパス長が短く配置される性質をもつ二分木を構築する処理と、構築した二分木において葉ノード間の距離が一定以下になるようにリソースの分類を行う処理とを実行させることを特徴とする。
また、本発明によるアクセス制御ポリシテンプレート生成用プログラムは、リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシを記憶する記憶手段を備えたコンピュータに、前記複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類するリソースグループ化処理と、分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成するテンプレート生成処理、生成されたアクセス制御ポリシテンプレートに付与する名前を、当該アクセス制御ポリシテンプレートを生成する際に対応づけられていたリソースのグループの特徴と、当該アクセス制御ポリシテンプレートが含むアクセス制御内容の特徴とに基づいて決定するテンプレート命名処理とを実行させることを特徴とする。
本発明によれば、既存のポリシから把握されるサービスの分類に対応したポリシテンプレートを作成することが可能である。
本発明の第1の実施形態のポリシテンプレート生成装置の構成例を示すブロック図である。 第1の実施形態の動作(全体の動作)の一例を示すフローチャートである。 第1の実施形態の動作(リソースグループ生成処理)の一例を示すフローチャートである。 第1の実施形態の動作(リソース間距離計算処理)の一例を示すフローチャートである。 第1の実施形態の動作(リソース分類木からのリソースグループ生成処理)の一例を示すフローチャートである。 第1の実施形態の動作(リソース分類木からの上位ノード集合抽出処理)の一例を示すフローチャートである。 第1の実施形態の動作(テンプレート生成処理)の一例を示すフローチャートである。 第1の実施例のアクセス権管理システムの構成例を示すブロック図である。 ポリシ格納手段に格納されるポリシ集合の例を示す説明図である。 図9に示すポリシ集合から生成されるリソース分類木の例を示す説明図である。 図9に示すポリシ集合から生成されるリソースグループを示す情報の例を示す説明図である。 図9に示すポリシ集合から生成されるポリシテンプレートの例を示す説明図である。 生成されたポリシテンプレートを利用したポリシ設定動作の一例を示すフローチャートである。 テンプレート選択手段によって提供されるテンプレート選択画面の例を示す説明図である。 リソース追加によってルータに設定されるポリシの例を示す説明図である 第2の実施例であるアクセス権管理システムの他の構成例を示すブロック図である。 テンプレート命名手段によって提供されるテンプレート命名画面の例を示す説明図である。 本発明の概要を示すブロック図である。 本発明のアクセス制御ポリシ生成装置の他の構成例を示すブロック図である。 本発明のアクセス制御ポリシ管理システムの構成例を示すブロック図である。
以下、本発明の実施形態を図面を参照して説明する。図1は、本発明の第1の実施形態のポリシテンプレート生成装置の構成例を示すブロック図である。図1に示すように、本ポリシテンプレート生成装置100は、ポリシ格納手段110と、リソース分類手段120と、集合間距離計算手段130と、グループ格納手段140と、テンプレート生成手段150と、テンプレート格納手段160とを備える。
ポリシ格納手段110は、現在設定されているアクセス制御ポリシの情報を格納する。
リソース分類手段120は、ポリシ格納手段110に格納されているアクセス制御ポリシを参照し、運用中のアクセス制御ポリシに記述されているリソースごとのアクセス元とアクションの組(以下、パーミッションと記す。)の集合に対して、集合間距離計算手段130によって計算されるリソース間距離を基準にして、グループ化する(リソースグループを生成する)。
グループ格納手段140は、リソース分類手段120によって生成されたリソースグループの情報を格納する。
集合間距離計算手段130は、リソース分類手段120からリソース毎のパーミッション集合を受け取り、2つのパーミッション集合間の距離を計算し、リソース間距離としてリソース分類手段120に返す。なお、本実施形態では、このリソース間距離を、類似度の逆数として用いている。すなわち、リソース間距離は、異なる2つのリソース間で、それぞれのリソースに対するアクセス権ポリシにおいて共通しない設定内容(本例では、アクセス元および許可するアクセスの方法)が増加するに従って増加する性質をもつものとして算出される。すなわち、リソース間距離が大きくなればなるほど、類似度(類似している度合い)は小さくなることを意味する。
テンプレート生成手段150は、リソース分類手段120により生成されたリソースグループについて、該リソースグループ内すべてのリソースに共通するパーミッションを抽出することにより、テンプレートを生成する。また、生成したテンプレートの情報をテンプレート格納手段160に格納する。
テンプレート格納手段160は、テンプレート生成手段150によって生成されたテンプレートの情報を格納する。
なお、本実施形態において、リソース分類手段120、集合間距離計算手段130およびテンプレート生成手段150は、例えば、プログラムに従って動作するCPU等によって実現される。また、ポリシ格納手段110、グループ格納手段140およびテンプレート格納手段160は、例えば、メモリ等の記憶装置によって実現される。
次に、本実施形態の動作について説明する。図2は、本実施形態の動作の一例を示すフローチャートである。図2では、本実施形態の全体の動作例を示している。図2に示すように、まずリソース分類手段120は、ポリシ格納手段110からアクセス制御ポリシを取得する(ステップA1)。なお、ポリシ格納手段110に格納されているアクセス制御ポリシは、テンプレートの適用対象となるシステムまたは装置に現在設定されているアクセス制御ポリシである。
次に、取得したポリシを用いてリソースグループを生成する(ステップA2)。また、リソース分類手段120は、生成したリソースグループの情報を、グループ格納手段140に格納する(ステップA3)。
リソースグループが生成されると、テンプレート生成手段150は、グループ格納手段140に格納されたリソースグループの情報を基に、リソースグループ内のリソース全てに共通して設定されているパーミッションを抽出して、テンプレートを生成する(ステップA4)。最後に、生成したテンプレートをテンプレート格納手段160に格納して処理を終了する(ステップA5)。
次に、リソース分類手段120がリソースグループを生成する処理について、図3に示すフローチャートを参照して説明する。図3は、リソースグループ生成処理の処理フローの一例を示すフローチャートである。図3に示すように、まずリソース分類手段120は、すべてのリソースとパーミッション集合の対を分類木の葉ノードとし、ノード集合Nを生成する(ステップB1)。
次に、集合間距離計算手段130を用いて全てのリソース間距離を計算し、対応する葉ノード間の距離として設定する(ステップB2)。ここで、2つのノード間距離は、そのノード以下の部分木に含まれる葉ノードに対応するリソース集合から任意のリソースを1つずつ取り出し、その2つのリソース間距離をすべて測ったときの最大リソース間距離(最遠距離)とし、葉ノード間の距離は対応するリソース間の距離に等しい。
さらに、ノード集合内の要素が1となるまで、ステップB3からステップB6までの処理を繰り返す(ステップB7のNo)。
ステップB3では、まず、ノード集合Nからノード間距離の最も近い2つのノード(ここでは、ノードA,Bという。)を選択する。次に、新しいノードPを生成し、ノードA,Bの親モードとする(ステップB4)。そして、ノード集合NからノードA,Bを除きノードPを追加してノード集合を更新する(ステップB5)。
さらに、ノードPとノード集合内の各ノード間の距離を計算し、ノード間距離を更新する(ステップB6)。
そして、ノード集合内要素が1つとなった場合(ステップB7のYes)、その時点で構築されているリソース分類木を出力する(ステップB8)。ここで出力されるリソース分類木は、その要素がリソース分類木の根ノードとなり、すべての葉ノードが1つの分類木に含まれるようになっている。
リソース分類手段120は、集合間距離計算手段130から出力されたリソース分類木から部分木内の全ノード間の距離が所定の閾値以下になるように部分木を分離し、その中に含まれる葉ノードに対応するリソースの集合を、1つのリソースグループとして生成する(ステップB9)。
次に、集合間距離計算手段130による葉ノード間距離(すなわち、リソース間距離)の計算方法について説明する。集合間距離計算手段130は、2つのリソースのパーミッション集合間の非共通要素数の割合の増加にしたがって大きくなるような性質を持つ距離を計算する。このような距離は、例えば図4のフローチャートに示した方法により計算してもよい。
図4は、リソース間距離の計算処理の処理フローの一例を示すフローチャートである。図4に示すように、集合間距離計算手段130は、まず2つのリソースに設定された共通して存在するパーミッションの数aを計算する(ステップC1)。次に、同2つのリソースにそれぞれ設定されているパーミッションの数b,cを計算する(ステップC2)。
最後に、算出した数a,b,cを用いて以下の式(1)を計算し、2つのリソース間距離として出力して処理を終了する(ステップC3)。
(b+c−2a)/(b+c) ・・・・式(1)
なお、本例では、パーミッション(すなわちアクセス元とアクションの組)を比較対象にして、集合間距離を計算する例を示しているが、例えばアクセス元のみを比較対象に集合間距離を計算することも可能である。
次に、リソース分類手段120がリソース分類木からリソースグループを生成する処理(図3のステップB9)についてさらに説明する。図5は、リソース分類木からリソースグループを生成する処理の一例を示すフローチャートである。
図5に示すように、リソース分類手段120は、まず、ノード間距離を基にリソース分類木を部分木に分離するために、各部分木の根ノードとなるノード(以下、上位ノードという。)の集合を抽出する(ステップD1)。ステップD1では、例えば、リソース分類木の根ノードを引数に、後述する上位ノード生成処理関数を呼び出せばよい。次に、上位ノード集合から各上位ノードを根ノードとして部分木に属する葉ノードの集合を生成する(ステップD2)。
そして、各葉ノードに対応するリソースを葉ノード集合ごとにまとめることで、リソースグループを生成する(ステップD3)。
次に、上記ステップD1における上位ノード集合の抽出処理について説明する。本例では、図6に示す上位ノード生成処理を呼び出すことによって行う。図6は、リソース分類木からの上位ノード生成処理(すなわち、上位ノード集合の抽出処理)の処理フローの一例を示すフローチャートである。まず、現在上位ノードとするかの判定を行っているノード(カレントノード)が葉ノードであるか否かを判定する(ステップE1)。カレントノードが葉ノードと判定された場合(ステップE1のYes)、当該カレントノードを上位ノード集合に追加する(ステップE6)。
一方、葉ノードではなく中間ノードであると判定された場合には(ステップE1のNo)、当該カレントノードの子ノード(以下、子ノードA,Bという。)を取得する(ステップE2)。そして、2つの子ノードA,B間の距離を参照し、当該距離が所定の閾値以下である場合には(ステップE3のYes)は、上記ステップE6の動作を行う。すなわち、当該カレントノードを上位ノード集合に追加する。
また、2つの子ノードA,B間の距離が所定の閾値より大きい場合には(ステップE2のNo)、当該子ノードA,Bをカレントノードとして上位ノード生成関数(当該関数)を再帰呼び出しする(ステップE4,E5)。全ての再帰処理が終わったら上位ノード集合の抽出処理を終了する。
次に、テンプレート生成手段150が、リソースグループからテンプレートを生成する処理について説明する。本処理は、図2のステップA4において実行される処理である。
図7は、本テンプレート生成処理の処理フローの一例を示すフローチャートである。
図7に示すように、まず、リソースグループ内でパーミッション数の最も少ないリソース(ここでは、リソースRという。)を選択する(ステップF1)。次に、リソースRに含まれるパーミッションを1つ指し示すためのポインタiおよび生成結果として出力するテンプレートTを初期化し(ステップF2)、以下の処理を行う。すなわち、リソースRの全てのパーミッションPiについて、パーミッションPiがその他のすべてのリソースのパーミッション集合に含まれるかどうかを判定し、含まれる場合にはテンプレートTにそのパーミッションを追加する(ステップF3〜F7)。
リソースRに含まれる全てのパーミッションに対する上記処理が完了すると、テンプレートTを出力して本テンプレート生成処理を終了する(ステップF8)。
以上のように、本実施形態によれば、リソース分類手段120がパーミッション集合で特徴づけられるリソースグループを生成し、そのリソースグループに含まれるポリシ内容に基づいてポリシテンプレートを作成するため、サービス別のポリシテンプレートを自動で生成することができる。このパーミッション集合で特徴づけられたリソースグループは、例えば、部門内Webサービスのような運用中のサービスを「部門1の人が閲覧できるリソースのグループ」のように近似する性質をもつため、このリソースグループ別にテンプレートを作成することで、サービス別テンプレートを生成することができる。
また、新規に追加するリソースで提供しようとするサービスは予め決まっていることが多く、サービス別にポリシテンプレートを生成することで、利用者が、新規リソース追加の際のポリシテンプレートの選択を容易にすることが可能になる。
また、テンプレートを作成する時点で1つのサービスに含まれるリソース数がわかるため、テンプレートの適用頻度を予測することができるなどの解析支援効果も有する。
また、リソース分類に二分木を利用することで、2つのノードの組み合わせに対してのみ距離を計算するだけでよいため、より少ない計算量でリソースを分類できる。
また、上記で説明したリソースグループを生成する方法は、すべてのグループ内のリソース間の距離が閾値以下になるグループの組み合わせの中で、リソースグループ数が最小に近い組み合わせを生成できるという性質をもつため、リソースグループごとに生成されるテンプレート数も最小化することができる。これにより、管理者によるテンプレートの選択がさらに容易になる。
以下、具体的な実施例を用いて本実施形態の動作を説明する。図8は、第1の実施例として、本発明によるポリシテンプレート生成装置を備えたアクセス権管理システムの構成例を示すブロック図である。図8に示すアクセス権管理システムは、図1に示したポリシテンプレート生成装置100と、ポリシ収集手段210と、リソース登録手段220と、テンプレート選択手段230と、ポリシ編集手段240と、ポリシ適用手段250と、ルータ320−1〜320−nと、ルータに接続されている各リソース321(図では、321−1,321−2,・・・)と、DNSサーバ310とを備えている。
本例は、ルータ設定を収集してポリシテンプレートを作成し、作成されたポリシテンプレートを用いて新規リソースに対してポリシ設定を行う場合のシステム例である。
ポリシ収集手段210は、各ルータ320から現在設定されているアクセス制御ポリシを収集する。ポリシ収集手段210は、例えば、ポリシが設定されている対象装置から情報を収集するためのプロトコルを実装し、そのプロトコルに応じてメッセージを送受信することによって、現在設定されているアクセス制御ポリシを収集してもよい。ポリシ収集手段210は、例えば、情報を送受信するための通信制御装置とプログラムに従って動作するCPU等によって実現される。
リソース登録手段220は、新規リソースを登録する。リソース登録手段220は、例えば、新規リソースの情報を入力するための画面を出力し、キーボードによる情報入力やその画面上におけるマウス操作に従って情報を受け付けるといったユーザインタフェース機能を提供することによって、新規リソースを登録してもよい。リソース登録手段220は、例えば、各種情報入出力装置とプログラムに従って動作するCPU等によって実現される。
テンプレート選択手段230は、新規リソースに適用させるリソースを選択する。テンプレート選択手段230は、例えば、当該システムで保持している、新規リソースに適用可能なテンプレートの情報を選択可能に提示する画面を出力し、キーボードによる情報入力やその画面上におけるマウス操作に従って選択結果を受け取るといったユーザインタフェース機能を提供することによって、新規リソースに適用させるリソースを選択してもよい。テンプレート選択手段230は、例えば、各種情報入出力装置とプログラムに従って動作するCPU等によって実現される。なお、テンプレート選択手段230は、本実施例では、アクセス制御ポリシ生成装置100からアクセス制御ポリシテンプレートを取得(入力)するテンプレート入力手段を兼ねている。
ポリシ編集手段240は、テンプレート選択手段230によって選択されたテンプレートを基に、ユーザ操作に応じて編集作業を行うことによって、実際に設定するポリシを作成する。ポリシ編集手段240は、例えば、選択されたテンプレートを表示しつつ、変更のためのインタフェース機能を提供することによってポリシを作成してもよい。ポリシ編集手段240は、例えば、各種情報入出力装置とプログラムに従って動作するCPU等によって実現される。
ポリシ適用手段250は、ポリシ編集手段240によってテンプレートを基に作成された実際に設定されるポリシ(すなわち、適用ポリシ)を、当該ポリシの設定対象である対象装置に適用させる。ポリシ適用手段250は、例えば、適用ポリシを対象装置に反映させるためのプロトコルを実装し、そのプロトコルに応じてメッセージを送受信することによって、アクセス制御ポリシを設定してもよい。ポリシ適用手段250は、例えば、情報を送受信するための通信制御装置とプログラムに従って動作するCPU等によって実現される。なお、本実施例では、適用ポリシをACL(Access Control List)の形式にして、ポリシの設定対象であるルータに設定する。ポリシ適用手段250は、例えば、追加されるポリシを反映させたACLを作成し、その上で、予め定めておいたプロトコルに従って、ACLの設定要求を各ルータに送信することにより、追加ポリシを適用させてもよい。
次に、本実施例の動作について説明する。本例では、ルータ320−1〜320−nそれぞれに、当該ルータに接続されているリソース320に対するネットワークアクセス制御のためのACLが設定されているものとする。ポリシ収集手段210は、各ルータ320−1〜320−nに設定されているACLを何らかの方法で収集し、ポリシテンプレート生成装置100のポリシ格納手段110に、現在設定されているポリシ集合として格納する。ポリシ収集手段210は、例えば、予め定めておいたプロトコルに従って、ACLの収集要求を各ルータに送信し、その応答として受信することによって収集してもよい。
図9は、ポリシ格納手段110に格納されるポリシ集合の例を示す説明図である。図9に示す例では、ポリシ集合として、どのIPアドレス(アクセス元)からどのIPアドレス(リソース)へどのプロトコルを通すか(アクション)を、リソースをキーにアクセス元とアクセス先とを対応づけて記憶されている。なお、図9に示す例では、リソースを識別するために各リソースに対してリソースIDを割り当てているが、リソースIDは必ずしも必要ではなく、リソースとアクセス元とアクションとが対応づけて記憶されていればよい。本例では、アクセス元とアクションとを組み合わせたものを1つのパーミッションという。
例えば、図9では、リソース1(IPアドレス=”192.168.10.10 port80”)には、{”アクセス元IPアドレス”,”アクション”}={”192.168.10.100”,”Tcp許可”},{”192.168.10.101”,”Tcp許可”},{”192.168.10.102”,”Tcp許可”}の3つのパーミッションの集合からなるアクセス制御ポリシが設定されていることが示されている。
また、図10は、図9に示すポリシ集合から生成されるリソース分類木の例を示す説明図である。図10に示す例では、リソース1をノードA,リソース2をノードB,リソース3をノードC,リソース4をノードD,リソース5をノードEに割り当ててリソース分類木を生成している。
例えば、リソース分類手段120は、上記ステップB1において、ポリシ格納手段110からリソース毎のパーミッション集合を取得し、それぞれ葉ノード(図10におけるノードA〜E)として、ノード集合N={A,B,C,D,E}を初期化する。
そして、集合間距離計算手段130を用いてリソース間距離の計算を行い、各リソースに対応するノード間距離とする(ステップB2)。例えば、図4に示した方法によるリソース1とリソース2の距離(すなわち、ノードA,B間の距離)は、一致するパーミッション数a=3,リソース1のパーミッション数b=3,リソース2のパーミッション数c=4となり、式(1)による計算の結果1/7となる。同様の計算により、リソース1とリソース3の距離(ノードA,C間の距離)=1/7、リソース1とリソース4の距離(ノードA,D間の距離)=1、リソース1とリソース5の距離(ノードA,E間の距離)=1、リソース2とリソース3の距離(ノードB,C間の距離)=1/4、リソース2とリソース4の距離(ノードB,D間の距離)=1、リソース2とリソース5の距離(ノードB,E間の距離)=3/4、リソース3とリソース4の距離(ノードC,D間の距離)=5/7、リソース4とリソース5の距離(ノードD,E間の距離)=1/7と求まる。
次にリソース分類手段120は、最も近いノード組を選択する(ステップB3)。ここでは、最も距離の近いノード組として、ノード間距離が1/7である(ノードA,ノードB)、(ノードA,ノードC)、(ノードD,ノードE)があるが、同値の場合はいずれか1つを選択すればよい。同値の場合の選択基準は特に定めないが、ここではノード番号の若い(ノードA,ノードB)の組を選択する。
そして、新しいノード(図10におけるノードF)を生成し、ノードAおよびノードBの親ノードとする(ステップB4)。次に、ノード集合Nから当該子ノードA,Bを除き、生成した親ノード(ノードF)を追加する。これにより、ノード集合N={C,D,E,F}となる(ステップB5)。
次に、新しいノードFに対する距離の更新を行う。最遠隣距離を用いるので、ノードF,C間の距離はノードB,C間の距離であり、1/4となる。同様に、ノードF,D間の距離はノードB,D間の距離=1,ノードF,E間の距離はノードB,E間の距離=1となる(ステップB6)。このとき、ノード集合の要素数は4であるため、ステップB3に戻り、最も近いノードの組の選択を再度行う。
ステップB3〜ステップB6の動作を繰り返すことにより、ノードD,Eの親ノードとしてノードGを、ノードF,Cの親ノードとしてノードHを追加し、さらにノードH,Gの親ノードとしてノードIを追加する。この時点で、ノード集合の要素数が1となり、図10に示すリソース分類木が構築される(ステップB8)。
次に、リソース分類手段120は、構築されたリソース分類木からリソースグループを作成する処理を行う。図11は、当該処理の結果作成されるリソースグループを示す情報の例を示す説明図である。図11に示す情報は、例えば、グループ格納手段140に格納される。図11に示す例では、リソースグループを識別するための識別子(リソースグループID)に対応づけて、当該リソースグループに属するリソースを示す情報を保持している。
また、以下では、部分木を分離するために用いる距離の閾値を0.25とした場合を例に、上位ノード集合の抽出処理について説明する。これによりリソースグループ内のどのリソース対に対しても必ず75%以上のパーミッションを共有することとなる。
リソース分類手段120は、まず上位ノード集合を抽出処理として、根ノードIから上位ノード集合に加えるか否かの判定処理を始める(図6のステップD1)。ここでは、ノードIは葉ノードではなく(図7ステップE1のNo)、またノードIの子ノードであるノードH,G間の距離は1であるため閾値0.25より大きいため(ステップE3のNo)、該ノードIを上位ノードには含めないと決定する。
従って、リソース分類手段120は、ノードIの子ノードであるノードHおよびノードGを対象にしてさらに上位ノード集合に加えるか否かの判定処理を行う(ステップE4,ステップE5)。ここでは、カレントノードをノードHまたはノードGにして、ステップE1からの判定処理を繰り返す。
ノードHをカレントノードとして再度判定処理を行うと、ノードHは葉ノードではなく(ステップEのNo)、子ノードであるノードF,C間の距離が0.25であるので(ステップE3のYes)、該ノードHを上位ノード集合に含めると決定する(ステップE6)。また、ノードGをカレントノードとして判定処理を行うと、ノードGは葉ノードではなく(ステップEのNo)、子ノードであるノードD,E間の距離が0.14(1/7)であるので(ステップE3のYes)、該ノードGを上位ノード集合に含めると決定する(ステップE6)。このような処理により、上位ノード集合として{ノードH,ノードG}を出力する(ステップE7)。
次に、上位ノード集合の各要素を根ノードとする部分木からリソースグループを生成する。本例では、まずノードHを根ノードとする部分木に含まれる葉ノード集合{ノードA,ノードB,ノードC}を生成する(ステップD3)。そして、生成した葉ノード集合に対応するリソース集合{リソース1,リソース2,リソース3}をリソースグループ1として生成する(ステップD4)。
次いで、今度はノードGを根ノードとする部分木に含まれる葉ノード集合{ノードD,ノードE}を生成し(ステップD3)、生成した葉ノード集合に対応するリソースグループ{リソース4,リソース5}をリソースグループ2として生成する(ステップD4)。
最終的に生成されたリソースグループ1,2を示す情報を図11に示すように、グループ格納手段140に格納する(ステップA3)。
次に、テンプレート生成手段150によるリソースグループからポリシテンプレートを生成する処理について具体例を説明する。
テンプレート生成手段150は、まずリソースグループ1に対応したテンプレート生成を行う。リソースグループ1に対応したテンプレートの生成処理として、まず、リソースグループ1のリソースの中で最もパーミッション数の少ないリソースであるリソース1を選択する(ステップF1)。次いで、選択したリソース1に含まれる各パーミッションについて、同リソースグループ1の他のリソース全てに含まれているか否かを判定する(ステップF3)。
ここでは、まずリソース1のパーミッション{”192.168.10.100”,”Tcp許可”}(以下、パーミッション1−1という。)が、リソース2およびリソース3のパーミッション集合に含まれているか否かを判定する(ステップF4)。本例では、ステップF4で該パーミッション1−1はリソース2およびリソース3のパーミッション集合に含まれていると判定されるため、当該パーミッション1−1をテンプレートに追加する(ステップF5)。
同様の処理で、リソース1の他の2つのパーミッション{”192.168.10.100”,”Tcp許可”}(以下、パーミッション1−2という。),{”192.168.10.100”,”Tcp許可”}(以下、パーミッション1−3という。)についても判定を行う。本例では、いずれもリソース2およびリソース3のパーミッション集合に含まれているため、当該パーミッション1−2,1−3をテンプレートに追加する。
リソース1の全てのパーミッションについて上記判定処理が完了すると、その時点でリソースグループ1に対応するテンプレートとして、パーミッション集合が{パーミッション1−1,パーミッション1−2,パーミッション1−3}であるテンプレートが生成され、これを出力する(ステップF8)。
同様の処理で、リソースグループ2に対応するテンプレートを生成する。本例では、リソースグループ2に対応するテンプレートの生成処理として、まず、リソースグループ2のリソースの中で最もパーミッション数の少ないリソースであるリソース4を選択し、選択したリソース4に含まれる各パーミッション{”192.168.10.105”,”Tcp許可”}(以下、パーミッション2−1という。),{”192.168.10.110”,”Tcp許可”}(以下、パーミッション2−2という。),{”192.168.10.111”,”Tcp許可”}(以下、パーミッション2−3という。)について、同リソースグループ2の他のリソース全て(本例では、リソース5)に含まれているか否かを判定する(ステップF3)。
結果、いずれのパーミッションもリソース5のパーミッション集合に含まれているため、パーミッション2−1,2−2,2−3をテンプレートに追加する。リソース4の全てのパーミッションについて判定処理が完了すると、その時点でリソースグループ2に対応するテンプレートとして、パーミッション集合が{パーミッション2−1,パーミッション2−2,パーミッション2−3}であるテンプレートが生成されているので、これを出力する(ステップF8)。
図12は、本処理により生成されるポリシテンプレートの例を示す説明図である。図12では、図11に示したリソースグループに対応して生成されるポリシテンプレートの例が示されている。図12に示すように、例えば、ポリシテンプレートを示す情報として、テンプレートを識別するID(テンプレートID)と、対応づけたリソースグループを識別するためのリソースグループIDと、当該テンプレートに含まれるパーミッション集合を示す情報とを対応づけて、テンプレート格納手段160に記憶させてもよい。なお、リソースグループIDは、当該リソースグループに含まれるリソースの情報を参照するために用いる情報であり、グループ格納手段140へのインデックス情報として利用される情報である。なお、リソースグループIDの代わりに、直接当該リソースグループに含まれるリソースの情報を含ませてもよい。
図13は、このように生成されたポリシテンプレートを利用して、新規リソースに対してポリシを設定するポリシ設定動作の例を示すフローチャートである。図13に示す例では、まずリソース登録手段220が、管理者からの操作に応じて、新規リソースを登録する(ステップG1)。ステップG1では、リソース登録手段220を介して、管理者に、新規リソースのIPアドレスおよび必要であればポート番号の情報を入力させる。例えば、新しい部門1向けWebサーバである、”192.168.10.30 port80”を新規リソースとして追加する。
次に、テンプレート選択手段230は、管理者に、新規リソースに適用するポリシテンプレートを選択させる(ステップG2)。テンプレート選択手段230が提供するユーザインタフェース(より具体的には、テンプレート選択画面)の例を図14に示す。図14に示すように、テンプレート選択画面では、利用するテンプレートを選択すると、対応するリソースグループとパーミッションの情報が表示されることが望ましい。
また、テンプレート選択画面には、テンプレートを選択しやすくするためのテンプレート名が表示されていることが望ましく、テンプレート名は対応するリソースグループとパーミッション集合の特徴により命名されていることが望ましい。テンプレート名は、例えば、リソースグループに共通するポート番号やDNSサーバ310を用いて取得できるアクセス元のドメインなどを利用してもよい。
図11におけるテンプレート1は、リソースがport80で共通し、かつアクセス元のドメインをDNSサーバ310を用いて問い合わせると、”bumon1.xxx.com”ドメインで共通していたとする。このような場合には、テンプレート名は、”bumon1.xxx.com向けport80用テンプレート”などと付けることによって、管理者が、選択時に部門1向けWebサーバ用のテンプレートであることを読み取ることができる。
適用するテンプレートが選択されると、テンプレート編集手段240が、選択されたテンプレートを基に編集作業を行うことによって、実際に新規リソースに対して設定するポリシを作成する(ステップG3)。なお、テンプレートをそのまま適用させる場合には、当該編集作業としては特に何もせず処理を終了すればよい。
実際に設定するポリシが作成されると、ポリシ適用手段250が、ルータに作成されたポリシを設定する(ステップG4)。ルータにポリシを設定することで、新規リソースへのネットワークアクセス制御設定を完了する。
例えば、部門1向けWebサーバとして用いるリソース”192.168.10.30 port80”に対してテンプレート1を選択し、編集なくポリシを作成した場合、ルータに設定されるポリシは図15のようになる。図15は、図12に示すテンプレート1を利用してリソースを追加した場合にルータに設定されるポリシの例を示す説明図である。図15に示す例では、図9に示したポリシ集合に、さらにリソースID=6として、リソース”192.168.10.30 port80”に対するパーミッション集合{{”192.168.10.100”,”Tcp許可”},{”192.168.10.101”,”Tcp許可”},{”192.168.10.102”,”Tcp許可”}}が追加されている。
本実施例で示すように、既存のポリシを収集してポリシテンプレートを自動で生成する構成であれば、事前準備の必要なく、新規リソースへのポリシ設定を容易に行うことが可能である。
また、図16は、第2の実施例として、本発明によるポリシテンプレート生成装置を備えたアクセス権管理システムの他の構成例を示すブロック図である。図16に示すように、本実施例の構成にさらにテンプレート命名手段170を追加してもよい。
テンプレート命名手段170は、ユーザ操作に応じて、作成されたテンプレートに名前を割り当てる。テンプレート命名手段170は、例えば、作成されたテンプレートの情報を提示するとともに、該テンプレートに付する名前を入力するための画面を出力し、キーボードによる情報入力やその画面上におけるマウス操作に従って情報を受け付けるといったユーザインタフェース機能を提供することによって、テンプレート名を入力させて、その名をテンプレートに割り当ててもよい。テンプレート命名手段170は、例えば、各種情報入出力装置とプログラムに従って動作するCPU等によって実現される。
図17は、テンプレート命名手段170が提供するユーザインタフェース(より具体的には、テンプレート命名画面)の例を示す説明図である。図17に示すように、テンプレート命名画面では、作成されたテンプレートに対して、テンプレートの情報だけでなく、リソースの特徴(port番号等)と、パーミッションの特徴(アクセス元ドメイン等)を命名支援情報として表示することが望ましい。
管理者は、テンプレート命名手段170によって提示される、命名支援情報を基に、テンプレート選択を行いやすいテンプレート名を決定し、その名を入力すればよい。例えば、アクセス元ドメインが”bumon1.xxx.com”で共通し、リソースが”port80”で共通しているようなテンプレートの場合、”部門1向けWebサーバ用テンプレート”と命名してもよい。
なお、図17に示す例では、ポリシテンプレート生成装置100がテンプレート命名手段170を備える例を示したが、テンプレート命名手段170はポリシテンプレート生成装置100とは別の装置として実装されてもかまわない。実際に実装する装置の単位は特に限定されない。
また、テンプレート命名手段170は、ユーザ操作に応じてテンプレート名を割り当てる機能だけでなく、第1の実施例のテンプレート選択画面に表示させるテンプレート名において説明したような、リソースグループとパーミッション集合の特徴に基づくテンプレート名を自動で決定する機能を有していてもよい。このような場合には、テンプレート命名手段170は、リソースグループに含まれるリソースの特徴とパーミッション集合の特徴を抽出し、その特徴を表した表現の組み合わせをテンプレート名として決定してもよい。
このように、テンプレート命名手段170を用いてテンプレートに名前を付けることによって、管理者はテンプレート選択をより容易に行うことが可能になる。
次に、本発明の概要について説明する。図18は、本発明の概要を示すブロック図である。本発明のアクセス制御ポリシテンプレート生成装置500は、リソースグループ化手段501と、テンプレート生成手段502とを備える。
リソースグループ化手段501(例えば、リソース分類手段120(集合間距離計算手段130を含む。))は、リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシが与えられた場合に、複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類する。
テンプレート生成手段502(例えば、テンプレート生成手段150)は、リソースグループ化手段501によって分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成する。
テンプレート生成手段502は、例えば、リソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシにおいて共通するアクセス制御内容を含むアクセス制御テンプレートを生成してもよい。
また、リソースグループ化手段501は、例えば、リソースを示す情報と、該リソースへアクセスするアクセス元および許可するアクセス方法によって規定されるアクセス制御内容を示す情報とを含むアクセス制御ポリシが与えられた場合に、リソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容のうちアクセス元の情報を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類してもよい。
また、リソースグループ化手段501は、リソース別アクセス制御ポリシ集合間の類似度として、リソース別アクセス制御ポリシ集合間で、アクセス制御内容が共通しないアクセス制御ポリシが増加するに従って大きくなる性質をもつ指数を用いてもよい。
また、リソースグループ化手段501は、与えられた複数のアクセス制御ポリシによって示されるリソースと1対1に対応づけた葉ノードを持つ二分木であって、リソース別アクセス制御ポリシ集合間の類似度が大きいリソース同士ほどノード間のパス長が短く配置される性質をもつ二分木を構築し、構築した二分木において葉ノード間の距離が一定以下になるようにリソースの分類を行ってもよい。
また、図19は、本発明のアクセス制御ポリシテンプレート生成装置の他の構成例を示すブロック図である。図19に示すように、アクセス制御ポリシテンプレート生成装置100は、さらに、テンプレート命名手段503を備えていてもよい。
テンプレート命名手段503は、生成されたアクセス制御ポリシテンプレートに付与する名前を、当該アクセス制御ポリシテンプレートを生成する際に対応づけられていたリソースのグループの特徴と、当該アクセス制御ポリシテンプレートが含むアクセス制御内容の特徴とに基づいて決定する。
また、図20は、本発明のアクセス制御ポリシテンプレート生成装置500の利用例であるアクセス制御ポリシ管理システム600の構成例を示すブロック図である。
アクセス制御ポリシ管理システム600は、上述したアクセス制御ポリシテンプレート生成装置500と、さらに、リソース登録手段601と、テンプレート選択手段602と、アクセス制御ポリシ生成手段603とを備えている。
リソース登録手段601(例えば、リソース登録手段220)は、新規のリソースを登録する。テンプレート選択手段60(例えば、テンプレート選択手段230)は、アクセス制御ポリシ生成装置500が生成したアクセス制御ポリシテンプレートの中から、ユーザ操作に応じて、リソース登録手段601によって登録された新規リソースに適用するアクセス制御ポリシテンプレートを選択する。
アクセス制御ポリシ生成手段602(例えば、ポリシ編集手段240)は、テンプレート選択手段602によって選択されたアクセス制御ポリシテンプレートに対してユーザ操作に応じた編集作業を行い、リソース登録手段501によって登録された新規リソースに適用するアクセス制御ポリシを生成する。
以上、実施形態および実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2009年4月10日に出願された日本特許出願2009−96126を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、アクセス権管理システムのためのポリシ管理支援といった用途に好適に適用可能である。
100 ポリシテンプレート生成装置
110 ポリシ格納手段
120 リソース分類手段
130 集合間距離計算手段
140 グループ格納手段
150 テンプレート生成手段
160 テンプレート格納手段
170 テンプレート命名手段
210 ポリシ収集手段
220 リソース登録手段
230 テンプレート選択手段
240 ポリシ編集手段
250 ポリシ適用手段

Claims (19)

  1. リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシが与えられた場合に、前記複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類するリソースグループ化手段と、
    前記リソースグループ化手段によって分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成するテンプレート生成手段とを備え
    前記リソースグループ化手段は、与えられた複数のアクセス制御ポリシによって示されるリソースと1対1に対応づけた葉ノードを持つ二分木であって、リソース別アクセス制御ポリシ集合間の類似度が大きいリソース同士ほどノード間のパス長が短く配置される性質をもつ二分木を構築し、構築した二分木において葉ノード間の距離が一定以下になるようにリソースの分類を行う
    ことを特徴とするアクセス制御ポリシ生成装置。
  2. リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシが与えられた場合に、前記複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類するリソースグループ化手段と、
    前記リソースグループ化手段によって分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成するテンプレート生成手段と、
    生成されたアクセス制御ポリシテンプレートに付与する名前を、当該アクセス制御ポリシテンプレートを生成する際に対応づけられていたリソースのグループの特徴と、当該アクセス制御ポリシテンプレートが含むアクセス制御内容の特徴とに基づいて決定するテンプレート命名手段とを備えた
    ことを特徴とするアクセス制御ポリシ生成装置。
  3. リソースグループ化手段は、与えられた複数のアクセス制御ポリシによって示されるリソースと1対1に対応づけた葉ノードを持つ二分木であって、リソース別アクセス制御ポリシ集合間の類似度が大きいリソース同士ほどノード間のパス長が短く配置される性質をもつ二分木を構築し、構築した二分木において葉ノード間の距離が一定以下になるようにリソースの分類を行う
    請求項に記載のアクセス制御ポリシ生成装置。
  4. テンプレート生成手段は、リソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシにおいて共通するアクセス制御内容を含むアクセス制御テンプレートを生成する
    請求項1から請求項3のうちのいずれか1項に記載のアクセス制御ポリシ生成装置。
  5. リソースグループ化手段は、リソースを示す情報と、該リソースへアクセスするアクセス元および許可するアクセス方法によって規定されるアクセス制御内容を示す情報とを含むアクセス制御ポリシが与えられた場合に、リソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容のうちアクセス元の情報を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類する
    請求項1から請求項4のうちのいずれか1項に記載のアクセス制御ポリシ生成装置。
  6. リソースグループ化手段は、リソース別アクセス制御ポリシ集合間の類似度として、リソース別アクセス制御ポリシ集合間で、アクセス制御内容が共通しないアクセス制御ポリシが増加するに従って大きくなる性質をもつ指数を用いる
    請求項1から請求項のうちのいずれか1項に記載のアクセス制御ポリシ生成装置。
  7. 請求項1から請求項6のうちのいずれか1項に記載のアクセス制御ポリシ生成装置を備えたアクセス制御ポリシ管理システムであって、
    新規のリソースを登録するリソース登録手段と、
    前記アクセス制御ポリシ生成装置が生成したアクセス制御ポリシテンプレートの中から、ユーザ操作に応じて、前記リソース登録手段によって登録された新規リソースに適用するアクセス制御ポリシテンプレートを選択するテンプレート選択手段と、
    前記テンプレート選択手段によって選択されたアクセス制御ポリシテンプレートに対してユーザ操作に応じた編集作業を行い、前記リソース登録手段によって登録された新規リソースに適用するアクセス制御ポリシを生成するアクセス制御ポリシ生成手段を備えた
    ことを特徴とするアクセス制御ポリシ管理システム。
  8. リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシが与えられた場合に、前記複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類し、
    分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成し、
    リソースを1つ以上のグループに分類するときに、与えられた複数のアクセス制御ポリシによって示されるリソースと1対1に対応づけた葉ノードを持つ二分木であって、リソース別アクセス制御ポリシ集合間の類似度が大きいリソース同士ほどノード間のパス長が短く配置される性質をもつ二分木を構築し、
    構築した二分木において葉ノード間の距離が一定以下になるようにリソースの分類を行う
    ことを特徴とするアクセス制御ポリシ生成方法。
  9. リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシが与えられた場合に、前記複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類し、
    分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成し、
    生成されたアクセス制御ポリシテンプレートに付与する名前を、当該アクセス制御ポリシテンプレートを生成する際に対応づけられていたリソースのグループの特徴と、当該アクセス制御ポリシテンプレートが含むアクセス制御内容の特徴とに基づいて決定する
    ことを特徴とするアクセス制御ポリシ生成方法。
  10. リソースを1つ以上のグループに分類するときに、与えられた複数のアクセス制御ポリシによって示されるリソースと1対1に対応づけた葉ノードを持つ二分木であって、リソース別アクセス制御ポリシ集合間の類似度が大きいリソース同士ほどノード間のパス長が短く配置される性質をもつ二分木を構築し、
    構築した二分木において葉ノード間の距離が一定以下になるようにリソースの分類を行う
    請求項に記載のアクセス制御ポリシ生成方法。
  11. リソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシにおいて共通するアクセス制御内容を含むアクセス制御テンプレートを生成する
    請求項8から請求項10のうちのいずれか1項に記載のアクセス制御ポリシ生成方法。
  12. リソースを示す情報と、該リソースへアクセスするアクセス元および許可するアクセス方法によって規定されるアクセス制御内容を示す情報とを含むアクセス制御ポリシが与えられた場合に、リソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容のうちアクセス元の情報を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類する
    請求項8から請求項11のうちのいずれか1項に記載のアクセス制御ポリシ生成方法。
  13. リソース別アクセス制御ポリシ集合間の類似度として、リソース別アクセス制御ポリシ集合間で、アクセス制御内容が共通しないアクセス制御ポリシが増加するに従って大きくなる性質をもつ指数を用いる
    請求項8から請求項12のうちのいずれか1項に記載のアクセス制御ポリシ生成方法。
  14. リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシを記憶する記憶手段を備えたコンピュータに、
    前記複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類するリソースグループ化処理と、
    分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成するテンプレート生成処理とを実行させ
    前記リソースグループ化処理として少なくとも、
    与えられた複数のアクセス制御ポリシによって示されるリソースと1対1に対応づけた葉ノードを持つ二分木であって、リソース別アクセス制御ポリシ集合間の類似度が大きいリソース同士ほどノード間のパス長が短く配置される性質をもつ二分木を構築する処理と、
    構築した二分木において葉ノード間の距離が一定以下になるようにリソースの分類を行う処理とを実行させる
    ためのアクセス制御ポリシ生成用プログラム。
  15. リソースに対するアクセス制御内容を規定した複数のアクセス制御ポリシを記憶する記憶手段を備えたコンピュータに、
    前記複数のアクセス制御ポリシのうちリソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類するリソースグループ化処理と、
    分類されたリソースのグループであるリソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシの規定内容に基づくアクセス制御ポリシテンプレートを生成するテンプレート生成処理、
    生成されたアクセス制御ポリシテンプレートに付与する名前を、当該アクセス制御ポリシテンプレートを生成する際に対応づけられていたリソースのグループの特徴と、当該アクセス制御ポリシテンプレートが含むアクセス制御内容の特徴とに基づいて決定するテンプレート命名処理を実行させる
    ためのアクセス制御ポリシ生成用プログラム。
  16. コンピュータに、
    リソースグループ化処理として少なくとも、
    与えられた複数のアクセス制御ポリシによって示されるリソースと1対1に対応づけた葉ノードを持つ二分木であって、リソース別アクセス制御ポリシ集合間の類似度が大きいリソース同士ほどノード間のパス長が短く配置される性質をもつ二分木を構築する処理と、
    構築した二分木において葉ノード間の距離が一定以下になるようにリソースの分類を行う処理とを実行させる
    請求項15に記載のアクセス制御ポリシ生成用プログラム。
  17. コンピュータに、
    テンプレート生成処理で、リソースグループ別に、当該リソースグループに含まれるリソースについて規定したアクセス制御ポリシにおいて共通するアクセス制御内容を含むアクセス制御テンプレートを生成させる
    請求項14から請求項16のうちのいずれか1項に記載のアクセス制御ポリシ生成用プログラム。
  18. リソースを示す情報と、該リソースへアクセスするアクセス元および許可するアクセス方法によって規定されるアクセス制御内容を示す情報とを含むアクセス制御ポリシを記憶する記憶手段を備えたコンピュータに、
    リソースグループ化処理で、リソースが同じアクセス制御ポリシからなるリソース別アクセス制御ポリシ集合に含まれるアクセス制御ポリシのアクセス制御内容のうちアクセス元の情報を比較対象として算出されるリソース別アクセス制御ポリシ集合間の類似度に基づいて、各リソースを1つ以上のグループに分類させる
    請求項14から請求項17のうちのいずれか1項に記載のアクセス制御ポリシ生成用プログラム。
  19. リソース別アクセス制御ポリシ集合間の類似度として、リソース別アクセス制御ポリシ集合間で、アクセス制御内容が共通しないアクセス制御ポリシが増加するに従って大きくなる性質をもつ指数を用いる
    請求項14から請求項18のうちのいずれか1項に記載のアクセス制御ポリシ生成用プログラム。
JP2011508202A 2009-04-10 2010-03-12 アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム Active JP5494653B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011508202A JP5494653B2 (ja) 2009-04-10 2010-03-12 アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2009096126 2009-04-10
JP2009096126 2009-04-10
PCT/JP2010/001781 WO2010116613A1 (ja) 2009-04-10 2010-03-12 アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム
JP2011508202A JP5494653B2 (ja) 2009-04-10 2010-03-12 アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2010116613A1 JPWO2010116613A1 (ja) 2012-10-18
JP5494653B2 true JP5494653B2 (ja) 2014-05-21

Family

ID=42935913

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011508202A Active JP5494653B2 (ja) 2009-04-10 2010-03-12 アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム

Country Status (4)

Country Link
US (1) US20120054824A1 (ja)
JP (1) JP5494653B2 (ja)
CN (1) CN102388387A (ja)
WO (1) WO2010116613A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9081974B2 (en) * 2011-11-10 2015-07-14 Microsoft Technology Licensing, Llc User interface for selection of multiple accounts and connection points
WO2013121790A1 (ja) * 2012-02-17 2013-08-22 日本電気株式会社 プライバシ情報を扱う情報処理装置、プライバシ情報を扱う情報処理システム、プライバシ情報を扱う情報処理方法及びプログラム
KR102104899B1 (ko) * 2012-12-05 2020-05-29 엘지전자 주식회사 무선 통신 시스템에서 접근 권한 인증을 위한 방법 및 장치
WO2014117321A1 (zh) * 2013-01-29 2014-08-07 华为技术有限公司 访问控制方法、装置及系统
US20160014041A1 (en) * 2013-02-28 2016-01-14 Hewlett-Packard Development Company, L.P. Resource reference classification
JP6244774B2 (ja) * 2013-09-24 2017-12-13 日本電気株式会社 アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム
CN103795568A (zh) * 2014-01-23 2014-05-14 上海斐讯数据通信技术有限公司 一种基于设备管理访问方式控制设备访问的方法
CN105991705B (zh) * 2015-02-10 2020-04-28 中兴通讯股份有限公司 一种分布式存储系统及其实现资源硬亲和性的方法
CN107145337B (zh) * 2016-03-01 2021-06-29 中兴通讯股份有限公司 一种数据流处理芯片的表项访问方法及装置
US10410008B2 (en) * 2016-03-08 2019-09-10 Oracle International Corporation Thick client policy caching
US10924467B2 (en) 2016-11-04 2021-02-16 Microsoft Technology Licensing, Llc Delegated authorization for isolated collections
US10514854B2 (en) 2016-11-04 2019-12-24 Microsoft Technology Licensing, Llc Conditional authorization for isolated collections
CN111490966A (zh) * 2019-01-28 2020-08-04 电信科学技术研究院有限公司 一种访问控制策略的处理方法、装置及计算机可读存储介质
US11671462B2 (en) 2020-07-23 2023-06-06 Capital One Services, Llc Systems and methods for determining risk ratings of roles on cloud computing platform

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007072581A (ja) * 2005-09-05 2007-03-22 Nippon Telegr & Teleph Corp <Ntt> ポリシ集合生成装置とその制御方法
JP2007213208A (ja) * 2006-02-08 2007-08-23 Nippon Telegr & Teleph Corp <Ntt> ポリシ設定装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7305562B1 (en) * 1999-03-09 2007-12-04 Citibank, N.A. System, method and computer program product for an authentication management infrastructure
GB9912494D0 (en) * 1999-05-28 1999-07-28 Hewlett Packard Co Configuring computer systems
US6539483B1 (en) * 2000-01-12 2003-03-25 International Business Machines Corporation System and method for generation VPN network policies
US7197764B2 (en) * 2001-06-29 2007-03-27 Bea Systems Inc. System for and methods of administration of access control to numerous resources and objects
US7031967B2 (en) * 2001-08-06 2006-04-18 Sun Microsystems, Inc. Method and system for implementing policies, resources and privileges for using services in LDAP
US20030233378A1 (en) * 2002-06-13 2003-12-18 International Business Machines Corporation Apparatus and method for reconciling resources in a managed region of a resource management system
JP4393774B2 (ja) * 2003-02-28 2010-01-06 株式会社日立製作所 ジョブ管理方法、情報処理システム、プログラム、及び記録媒体
JP4632446B2 (ja) * 2006-01-24 2011-02-16 キヤノン株式会社 画像処理システム、その管理方法、および制御装置
US20110010754A1 (en) * 2008-03-10 2011-01-13 Yoichiro Morita Access control system, access control method, and recording medium
US8112370B2 (en) * 2008-09-23 2012-02-07 International Business Machines Corporation Classification and policy management for software components

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007072581A (ja) * 2005-09-05 2007-03-22 Nippon Telegr & Teleph Corp <Ntt> ポリシ集合生成装置とその制御方法
JP2007213208A (ja) * 2006-02-08 2007-08-23 Nippon Telegr & Teleph Corp <Ntt> ポリシ設定装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6013055272; 森航哉 他: '家庭における低コストのアクセスコントロールポリシ設定方式' 電子情報通信学会ソサイエティ大会講演論文集 通信(2) B-19-15, 20050907, 437頁, 電子情報通信学会 *

Also Published As

Publication number Publication date
CN102388387A (zh) 2012-03-21
US20120054824A1 (en) 2012-03-01
JPWO2010116613A1 (ja) 2012-10-18
WO2010116613A1 (ja) 2010-10-14

Similar Documents

Publication Publication Date Title
JP5494653B2 (ja) アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム
EP3172866B1 (en) System and method for metadata enhanced inventory management of a communications system
WO2013093995A1 (ja) リソース検索装置及び該プログラム
US20180241638A1 (en) Method and system for discovering and presenting access information of network applications
US8625457B2 (en) Method and apparatus for concurrent topology discovery
KR20130139724A (ko) 컴퓨팅 시스템 및 그 실행 제어 방법과, 그 실행 제어 프로그램을 기록한 기록 매체
US20220131763A1 (en) System configuration derivation device and system configuration derivation method
CN108322495A (zh) 资源访问请求的处理方法、装置和系统
JP5757208B2 (ja) キーワード抽出システム、キーワード抽出方法及びプログラム
Shetty et al. An XML based data representation model to discover infrastructure services
US9509629B2 (en) Operation environment migration support device, record medium with program stored therefor, and method therefor
US11429783B2 (en) Augmented natural language generation platform
GB2464125A (en) Topology discovery comprising partitioning network nodes into groups and using multiple discovery agents operating concurrently in each group.
EP3076599A1 (en) Command generation program, command generation method and information processing apparatus
Singh et al. The Politics of Routing: Investigating the Relationship between {AS} Connectivity and Internet Freedom
JP2016189045A (ja) システム環境変更支援システム、方法およびプログラム
JP5411954B2 (ja) ツリー抽出装置、ツリー抽出システム、ツリー抽出方法、及びツリー抽出プログラム
JP5358981B2 (ja) 情報処理装置、情報処理装置の制御方法および情報処理装置の制御用プログラム
Malik et al. Enhancing SDN performance by enabling reasoning abilities in data traffic control
CN109388387B (zh) 一种业务流模板、业务流生成方法及装置
JP6600368B2 (ja) データ変換装置、データ変換方法およびデータ変換プログラム
JP2018085005A (ja) レポート作成システム
JP7412585B1 (ja) ロジックモデル作成支援装置、ロジックモデル作成支援方法、およびロジックモデル作成支援プログラム
JP5664050B2 (ja) 情報処理方法、プログラム及び装置
JP7328162B2 (ja) 潜在グラフを生成してグラフ変数を推定するモデル、プログラム及び装置、並びに当該モデルの生成方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131112

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140217

R150 Certificate of patent or registration of utility model

Ref document number: 5494653

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150