JP5569814B2 - ポリシ生成及び変換システム、ポリシ配付システム、その方法及びそのプログラム - Google Patents
ポリシ生成及び変換システム、ポリシ配付システム、その方法及びそのプログラム Download PDFInfo
- Publication number
- JP5569814B2 JP5569814B2 JP2011504861A JP2011504861A JP5569814B2 JP 5569814 B2 JP5569814 B2 JP 5569814B2 JP 2011504861 A JP2011504861 A JP 2011504861A JP 2011504861 A JP2011504861 A JP 2011504861A JP 5569814 B2 JP5569814 B2 JP 5569814B2
- Authority
- JP
- Japan
- Prior art keywords
- rule
- access control
- resource
- access
- control list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000006243 chemical reaction Methods 0.000 title claims description 85
- 238000000034 method Methods 0.000 title claims description 36
- 238000009826 distribution Methods 0.000 title claims description 27
- 238000003860 storage Methods 0.000 claims description 153
- 238000000605 extraction Methods 0.000 claims description 11
- 241001362551 Samba Species 0.000 description 37
- 230000007246 mechanism Effects 0.000 description 14
- 230000008859 change Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 9
- 238000007726 management method Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 239000000344 soap Substances 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000002360 preparation method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明はアクセス制御リスト(以下の説明及び図面では、適宜「ACL」と記載する。)により構成されるポリシの生成及び変換システム、そのポリシの配付システムに関する。
アクセス制御リストとして表現されるポリシの配付に関して、複数の制御対象マシンに対して1つの統合アクセス制御サーバで、アクセス制御を実施する例が多く見られるようになってきている。
このような状況下で、ポリシの変更に伴うアクセス制御リストの修正をする際のメンテナンス性の向上が望まれている。
ここで、アクセス制御リストとは、アクセス主体ユーザ、アクセス対象リソース、許可又は禁止のアクセス権、の3つを組としたアクセス制御ルールの組み合わせとして構成されるのが一般的である。
この点、システム構成の変更に伴うポリシ更新方法として特許文献1に記載の発明がある。また、ポリシの変更に応じて必要な対象機器へ再配付する方法として特許文献2に記載の発明がある。これらの発明では、非変更箇所を含めて変更したポリシを含むアクセス制御リスト全体を再構築し、再構築した制御リスト全体を再配付している。そして、このような手段を取ることによりシステム構成変更時のポリシルールの修正の容易化を図っている。
しかし、上述の各発明には以下のような問題点があった。
第1の問題点は、アクセス制御ポリシ変更時のアクセス制御リストの修正コストが膨大であるということである。
その理由は、アクセス制御リストにおいては、アクセス制御ルールの記述順序に意味があり、記述順序によってアクセス制御機構の解釈が異なる。そのため、アクセス制御リストの変更はアクセス制御ルールの追加や削除による変更だけではなく、その記述順序を考慮せねばならないためである。
この点、記述順序を考慮しなかった場合は、アクセス制御ルールそれぞれの内容が同一であっても、アクセス制御リストの変更者の意図通りに解釈される保証が無い。これについて、以下に具体例を示して説明する。
(ルール1)任意のユーザは/etcディレクトリ配下のファイルを読み書きしてはならない。
と記述されたアクセス制御リストに対して、ユーザyamadaに特権を与えるために、
と記述されたアクセス制御リストに対して、ユーザyamadaに特権を与えるために、
(ルール2)ユーザyamadaは/etc/passwdファイルを変更してよい。
というルール2を、ルール1の後に追記したとする。
というルール2を、ルール1の後に追記したとする。
この場合、アクセス制御機構はユーザyamadaによる/etc/passwdの変更を禁止するというアクセス制御リストの変更者の意図に反する制御をする。
これは、該アクセス制御機構が先に合致する条件を優先的に処理するという解釈特性を持つために、当該アクセス要求に対して、ルール1を先に合致させるためである。上記特権を正しく反映するには、ルール2を少なくともルール1よりも先に記述しなければならない。
このように、アクセス制御ルールの記述順序によりアクセス制御機構の振舞いが変わるという特性は、アクセス制御リストの適切な変更だけでなく、現在のアクセス制御リストの下でどのユーザがどのリソースにアクセスできるか、またはできないかを検証することも困難にする。
こうしたアクセス制御リストの変更に伴う課題は、アクセス制御リスト内のルール数が増えるにつれ、より深刻なものとなり、アクセス権設定不備の要因の1つであった。
第2の問題点は、アクセス制御機構ごとにアクセス制御リストの生成の必要性があるということである。
その理由は、複数の様々なアクセス制御機構によってアクセス制御を実施する場合には、同一内容のアクセス制御内容のアクセス制御ポリシを、アクセス制御リストの上位に記述された順にアクセス制御ルールから処理する特性や、任意の順に処理する特性など異なる特性をもつアクセス制御機構ごとに生成する必要があるからである。すなわち、複数の様々な特性を持つアクセス制御対象マシンが存在する現在では、アクセス制御のポリシを新規に策定する場合や、変更する場合に、アクセス制御機構の特性ごとにアクセス制御リストを生成あるいは修正せねばならないからである。
そこで、本発明はアクセス制御ルールの記述順序の制約が無く、アクセス制御ポリシの変更に伴うアクセス制御リストの修正コストを削減することが可能な、ポリシ生成及び変換システム、ポリシ配付システム、その方法及びそのプログラムを提供することを目的とする。
本発明の第1の観点よれば、アクセス対象となるリソースの状況を記録しているリソースデータベースに接続され、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換装置において、前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、前記判定の結果、包含されていなかった場合に当該読み込んだルールが、許可ルールであれば、前記一時記憶部に記録する第1のルール判定部と、前記判定の結果、包含されていなかった場合に当該読み込んだルールが禁止ルールであれば、当該禁止ルールが、前記一時記憶部に記憶されている前記許可ルールと相反するか否かを判定し、相反していない場合は、当該禁止ルールを前記一時記憶部に記憶する第2のルール判定部と、前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該禁止ルールに記載されているアクセス対象リソースから前記許可ルールに記載されているアクセス対象リソースを除いた禁止ルールに変換し、前記一時記憶部に記憶するリソース展開部と、を備えることを特徴とするアクセス制御リスト変換装置が提供される。
本発明の第2の観点よれば、アクセス対象となるリソースの状況を記録しているリソースデータベースに接続され、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換装置において、前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、前記判定の結果、包含されていなかった場合に当該読み込んだルールが、禁止ルールであれば、前記一時記憶部に記録する第1のルール判定部と、前記判定の結果、包含されていなかった場合に当該読み込んだルールが許可ルールであれば、当該許可ルールが、前記一時記憶部に記憶されている前記禁止ルールと相反するか否かを判定し、相反していない場合は、当該許可ルールを前記一時記憶部に記憶する第2のルール判定部と、前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該許可ルールに記載されているアクセス対象リソースから前記禁止ルールに記載されているアクセス対象リソースを除いた許可ルールに変換し、前記一時記憶部に記憶するリソース展開部と、を備えることを特徴とするアクセス制御リスト変換装置が提供される。
本発明の第3の観点よれば、アクセス対象となるリソースの状況を記録しているリソースデータベースに接続されているアクセス制御リスト変換装置において、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換方法であって、前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部を用意するステップと、受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定ステップと、前記判定の結果、包含されていなかった場合に当該読み込んだルールが、許可ルールであれば、前記一時記憶部に記録する第1のルール判定ステップと、前記判定の結果、包含されていなかった場合に当該読み込んだルールが禁止ルールであれば、当該禁止ルールが、前記一時記憶部に記憶されている前記許可ルールと相反するか否かを判定し、相反していない場合は、当該禁止ルールを前記一時記憶部に記憶する第2のルール判定ステップと、前記第2のルール判定ステップの判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該禁止ルールに記載されているアクセス対象リソースから前記許可ルールに記載されているアクセス対象リソースを除いた禁止ルールに変換し、前記一時記憶部に記憶するリソース展開ステップと、を備えることを特徴とするアクセス制御リスト変換方法が提供される。
本発明の第4の観点よれば、アクセス対象となるリソースの状況を記録しているリソースデータベースに接続されているアクセス制御リスト変換装置において、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換方法であって、前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部を用意するステップと、受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定ステップと、前記判定の結果、包含されていなかった場合に当該読み込んだルールが、禁止ルールであれば、前記一時記憶部に記録する第1のルール判定ステップと、前記判定の結果、包含されていなかった場合に当該読み込んだルールが許可ルールであれば、当該許可ルールが、前記一時記憶部に記憶されている前記禁止ルールと相反するか否かを判定し、相反していない場合は、当該許可ルールを前記一時記憶部に記憶する第2のルール判定ステップと、前記第2のルール判定ステップの判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該許可ルールに記載されているアクセス対象リソースから前記禁止ルールに記載されているアクセス対象リソースを除いた許可ルールに変換し、前記一時記憶部に記憶するリソース展開ステップと、を備えることを特徴とするアクセス制御リスト変換方法が提供される。
本発明の第5の観点よれば、アクセス対象となるリソースの状況を記録しているリソースデータベースに接続され、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換装置に搭載される、アクセス制御リスト変換プログラムにおいて、前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、前記判定の結果、包含されていなかった場合に当該読み込んだルールが、許可ルールであれば、前記一時記憶部に記録する第1のルール判定部と、前記判定の結果、包含されていなかった場合に当該読み込んだルールが禁止ルールであれば、当該禁止ルールが、前記一時記憶部に記憶されている前記許可ルールと相反するか否かを判定し、相反していない場合は、当該禁止ルールを前記一時記憶部に記憶する第2のルール判定部と、前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該禁止ルールに記載されているアクセス対象リソースから前記許可ルールに記載されているアクセス対象リソースを除いた禁止ルールに変換し、前記一時記憶部に記憶するリソース展開部と、を備えるアクセス制御リスト変換装置としてコンピュータを機能させるアクセス制御リスト変換プログラムが提供される。
本発明の第6の観点よれば、アクセス対象となるリソースの状況を記録しているリソースデータベースに接続され、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換装置に搭載される、アクセス制御リスト変換プログラムにおいて、前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、前記判定の結果、包含されていなかった場合に当該読み込んだルールが、禁止ルールであれば、前記一時記憶部に記録する第1のルール判定部と、前記判定の結果、包含されていなかった場合に当該読み込んだルールが許可ルールであれば、当該許可ルールが、前記一時記憶部に記憶されている前記禁止ルールと相反するか否かを判定し、相反していない場合は、当該許可ルールを前記一時記憶部に記憶する第2のルール判定部と、前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該許可ルールに記載されているアクセス対象リソースから前記禁止ルールに記載されているアクセス対象リソースを除いた許可ルールに変換し、前記一時記憶部に記憶するリソース展開部と、を備えるアクセス制御リスト変換装置としてコンピュータを機能させるアクセス制御リスト変換プログラムが提供される。
本発明によれば、アクセス制御ルールの記述に関して順序制約が無いアクセス制御リストを作成できるためアクセス制御ポリシの変更に伴うアクセス制御リストの修正コストを削減することが可能となる。
11 既出ルール判定部
12 第1のルール判定部
13 第2のルール判定部
14 リソース展開部
15 一時記憶部
16 許可ルール記憶部
17 禁止ルール記憶部
100、110、120 統合アクセス制御サーバ
101 ACL変換部
102 リソースDB
103 ACL生成部
104 差分抽出部
105 配信部
106 ポリシDB
107 ACLDB
108 署名部
200、210 制御対象マシン
201 設定部
202 マージ部
203 受信部
204 署名検証部
12 第1のルール判定部
13 第2のルール判定部
14 リソース展開部
15 一時記憶部
16 許可ルール記憶部
17 禁止ルール記憶部
100、110、120 統合アクセス制御サーバ
101 ACL変換部
102 リソースDB
103 ACL生成部
104 差分抽出部
105 配信部
106 ポリシDB
107 ACLDB
108 署名部
200、210 制御対象マシン
201 設定部
202 マージ部
203 受信部
204 署名検証部
次に、発明を実施するための最良の形態について図面を参照して詳細に説明する。
本発明の実施形態は、概略、アクセス制御ルールの系列であるアクセス制御リストの入力に対して、当該リスト中の任意の2つのルールが矛盾しないよう、アクセス制御リストを変換するというものである。
図1を参照すると、本発明の第1の実施の形態であるアクセス制御リスト生成・変換システムは、ACL変換部101と、リソースDB102を有している。
リソースDB102は、アクセス制御リスト(ACL:Access Control List)によってアクセス制御の対象となるリソースの最新の情報を全て記憶している。
なお、本明細書、図面及び特許請求の範囲の記述において、アクセス制御ルールとは(アクセス主体ユーザ、アクセス対象リソース、許可または禁止のアクセス権)の3組を有するものとする。
アクセス対象リソースは、集合あるいは要素として表現され、*は直下を表現する集合記法であり、**は配下すべてを表現する集合記法である。
ACL変換部101は、既出ルール判定部11と、第1のルール判定部12と、第2のルール判定部13と、リソース展開部14と、一時記憶部15を有している。
更に、一時記憶部15は、許可ルール記憶部16と、禁止ルール記憶部17を有している。
許可ルール記憶部16は、アクセス主体ユーザのアクセス対象リソースに対するアクセスを許可するというルールである「許可ルール」を記憶する機能を有する。一方、禁止ルール記憶部17は、アクセス主体ユーザのアクセス対象リソースに対するアクセスを禁止するというルールである「禁止ルール」を記憶する機能を有する。
既出ルール判定部11は、ACL変換部101が新たなアクセス制御リストを受け付けた場合に、アクセス制御リストに記述された順に新たなアクセス制御ルールを1つずつ読み込む(読み込んだ、本ルールを以下では「該新ルール」と記述する。)。更に、既出ルール判定部11はアクセス制御ルールを読み込みながら、一時記憶部15を参照する。そして、今回読み込んだ新アクセス制御ルールが、該新ルールより上部にて既出のルールのアクセス制御内容に含まれているか否かを判定する。判定の結果、該新ルールが既出ルールのアクセス制御内容に含まれる場合は、既出ルール判定部11は、次のアクセス制御ルールを対象として動作を繰り返す。一方、含まれない場合は、第1のルール判定部12に該新ルールを引き渡す。
第1のルール判定部12は、該新ルールが既出ルールのアクセス制御内容に含まれない場合に、該新ルールが許可ルールか禁止ルールかを判定し、該新ルールが、許可ルールであった場合に、許可ルール記憶部16に記憶する。そして、この場合は既出ルール判定部11の動作に戻る。一方許可ルールでなかった場合、すなわち禁止ルールだった場合は第2のルール判定部13に該新ルールを引き渡す。
第2のルール判定部13は、該新ルールが、禁止ルールであった場合に、許可ルール記憶部16に記憶されている許可ルールに、アクセス主体ユーザが該新ルールと同一で、かつアクセス対象リソースが該新ルールのアクセス対象リソースに含まれているか否か判定する。すなわち該ルールが許可ルール記憶部16に記憶された許可ルールと相反するか否かを判定する。そして、相反しない場合は、該ルールを禁止ルール記憶部17に記憶する。そして、この場合は既出ルール判定部11の動作に戻る。一方相反している場合は、該新ルールをリソース展開部14に引き渡す。
リソース展開部14は、許可ルール記憶部16に記憶されたルールと相反する該新ルールのアクセス対象リソースを、許可ルール記憶部16に記憶されたルールのアクセス対象リソースを含まないリソースの集合となるように、リソースDB102を利用して抽出・展開を行う。こうすることによりルール間でアクセス対象リソースが重ならないようにアクセス制御ルールを書き換えることができる。そして、抽出・展開を行った該新ルールを禁止ルール記憶部17に記憶し、該新ルールがアクセス制御リストの最終ルールでない場合は、既出ルール判定部11の動作に戻る。一方、最終ルールだった場合は動作を終了する。
次に、図1に加えて、図2のフローチャートを参照して本実施形態の動作について詳細に説明する。
まず、本実施形態にアクセス制御リストの入力があると、既出ルール判定部11にアクセス制御リストが供給される。既出ルール判定部11は、受け付けたアクセス制御リストに記述された順に、アクセス制御ルールを1行毎に読み込む(図2のステップA301)。
次に、既出ルール判定部11は、一時記憶部15に記憶されている既出の許可ルール及び禁止ルールを参照し、読み込んだ該新ルールが、該新ルールより上部の既出の許可ルール及び禁止ルールに包含されているか否かを判定する(図2のステップA302)。
ここで、ルールが包含されているとは、或るルールと包含ルールのアクセス主体及びアクセス権(許可又は禁止)何れもが同一であり、或るルールのアクセス対象リソースが包含ルールのアクセス対象リソースの部分集合である状態を指す。
判定の結果、該新ルールが一時記憶部15で記憶されているものに包含されていない場合は(図2のステップA302においてNO)、該新ルールは第1のルール判定部12に供給される(図2のステップA303に進む)。
一方、該新ルールが既に一時記憶部15で記憶されているルールに包含されている場合は(図2のステップA302においてYES)、今回処理した該新ルールを新たに追加する必要は無い。そのため、今回読み込んだ該新ルールが、アクセス制御リストの終端であるか否かを確認し、終端のルールであれば動作を終了する(図2のステップA309においてYES)。一方、今回処理した該新ルールが、アクセス制御リストの終端でなければ1つ次のルールを対象としてステップA301からの処理を再度実施する(図2のステップA309においてNO)。
続いて、第1のルール判定部12は、該新ルールが許可ルールであるか否かを判定する(図2のステップA303)。
該新ルールが許可ルールでない場合(図2のステップA303においてNO)、つまり禁止ルールである場合は、該新ルールは第2のルール判定部13に供給される(図2のステップA304に進む)。
一方、該新ルールが許可ルールである場合は(図2のステップA303においてYES)、該新ルールを許可ルール記憶部16に記憶する(図2のステップA305)。その後、今回処理した該新ルールが、アクセス制御リストの終端であれば動作を終了する(図2のステップA309においてYES)。一方、今回処理した該新ルールが、アクセス制御リストの終端でなければ1つ次のルールを対象としてステップA301からの処理を再度実施する(図2のステップA309においてNO)。
第2のルール判定部13は、該新ルールに記述されているアクセス主体ユーザが許可ルール記憶部16に記憶されている許可ルールのアクセス主体ユーザと等しく、かつ該新ルールに記述されているアクセス対象リソースが、許可ルール記憶部16に記憶される許可ルールに記述されたアクセス対象リソースを包含しているか否かを判定する(図2のステップA304)。
判定の結果、包含していない場合は(図2のステップA304においてNO)、該新ルールをそのまま禁止ルール記憶部17に記憶する(ステップA308)。包含している場合は(図2のステップA304においてYES)、該新ルールはリソース展開部14に供給される(図2のステップA306に進む)。
リソース展開部14は、該新ルールに記述されているアクセス対象リソースを、該新ルールを包含する許可ルール記憶部16に記憶されている許可ルールに記述されているアクセス対象リソースの集合あるいは要素を表現できる深度まで、該新ルールのアクセス対象リソースを展開する(図2のステップA306)。ここで、リソースの深度が同じとは、リソースの表現階層が同等であり、互いが互いの部分集合とはなっていないことを指す。許可ルールに記述されたリソースと同じ深度まで展開された該新ルールのリソースは、許可ルールに記述されたリソースを除き、禁止ルール記憶部17に記憶される(図2のステップA307及びA8)。
その後、今回処理した該新ルールが、アクセス制御リストの終端であれば動作を終了する(図2のステップA309においてYES)。一方、今回処理した該新ルールが、アクセス制御リストの終端でなければ1つ次のルールを対象としてステップA301からの処理を再度実施する(図2のステップA309においてNO)。
最終出力としては、禁止ルール記憶部17に記憶されたルール群がアクセス制御リストとして出力される。
今回説明した本実施形態は、いわゆるブラックリスト形式の記述順序制約のないアクセス制御リストへの変換手法である。もっとも上述の各ステップにおいて許可と禁止を入れ替えることで、許可ルールを列挙する、いわゆるホワイトリスト形式の記述順序制約のないアクセス制御リストへ変換することも可能である。ここで、ブラックリスト形式とは、生成されるアクセス制御リストのデフォルトのアクセス制御条件が、記述されないリソースに対してはアクセスが許可されるものを指す。また、ホワイトリスト形式とは、記述されないリソースに対してはアクセスを禁止されるものを指す。
次に、本発明の第2の実施形態であるアクセス制御リストの差分配信システムについて図面を参照して詳細に説明する。
本実施形態では、アクセス制御リストを統合的に管理し、更新されたポリシに基づいてアクセス制御リストを更新する。更に、各制御対象マシンに、更新前のアクセス制御リストと更新後のアクセス制御リストとの差分を配信する。
図3を参照すると、本実施形態は、統合アクセス制御サーバ100と、制御対象マシン200から構成される。
統合アクセス制御サーバ100は、ポリシDB106と、リソースDB102と、ACLDB107と、ACL生成部101と、ACL変換部103と、差分抽出部104と、配信部105を有する。
ポリシDB106にはアクセス制御に関する情報を記したポリシが蓄積されている。また、ACLDB107には過去に生成・配信したアクセス制御リストが蓄積されている。
制御対象マシン200は、設定部201と、マージ部202と、受信部203を有する。
統合アクセス制御サーバ100では、更新したアクセス制御情報であるポリシをポリシDB106よりACL生成部103に供給する。該ポリシは、制御対象マシン200へ配信されるポリシの素材となるものである。
ACL生成部103は、供給されたポリシを用いて、アクセス主体ユーザ、アクセス対象リソース、許可あるいは禁止のアクセス権、で表現されるアクセス制御ルールを優先度の高い順に上位に記述したアクセス制御リストを生成する(図4のステップA401)。なお、このアクセス制御リストは、ポリシ内でアクセス制御を実施されるユーザをアクセス主体ユーザとして、ポリシ内でアクセス制御されるリソースをアクセス対象リソースとして、ポリシ内でユーザに対して付与されるアクセス権を許可あるいは禁止のアクセス権として記述する。
生成されたアクセス制御リストは、ACL変換部101に供給され、リソースDB102のリソース情報を用いて記述順序制約のないアクセス制御リストに変換される(図4のステップA402)。リソースDB102とACL変換部101による記述順序制約のないアクセス制御リストの生成手順は、図1に示した第1の実施形態と同一の処理である。
次に、差分抽出部104は、ACL変換部101によって変換された順序制約のないアクセス制御リストと、ACLDB107に蓄積されている該アクセス制御リストの更新前のアクセス制御リストの、それぞれに記述された同一のアクセス主体ユーザが含まれるアクセス制御ルールを1つずつアクセス対象リソースと許可あるいは禁止のアクセス権に関して文字列比較する(図4のステップA403)。そして、更新前のアクセス制御リストに記述されているが新規に変換済のアクセス制御リストに記述されていないアクセス制御ルール、あるいは更新前のACLに記述されていないが新規に変換済のアクセス制御リストには記述されているアクセス制御ルールを、差分情報として抽出する(図4のステップA404)。
この差分情報は、更新前のアクセス制御リストに対して新規に変換済のアクセス制御リストにおいて追加あるいは削除されたアクセス制御ルールの集合からのみ成り、記述順序情報は含まれない。抽出された差分情報は、配信部105に供給される。
続いて、配信部105は供給された差分情報を制御対象マシン200へと配信する(図4のステップA405)。
制御対象マシン200では、受信部203によって、統合アクセス制御サーバ100の配信部105によって配信された差分情報を受信し、受信した差分情報をマージ部202に供給する(図4のステップA406)。
マージ部202は、差分情報に基づき、現在適用されている更新前のアクセス制御リストに対して、追加されたアクセス制御ルールを追記し、削除されたアクセス制御ルールを削除することによってマージを行い、更新後のアクセス制御リストを得る。マージされたアクセス制御リストは設定部201に供給される(図4のステップA407)。
その後、設定部201によって、制御対象マシンにマージされたアクセス制御リストを適用する(図4のステップA408)。
本実施形態では、差分情報としてアクセス制御ルールの追加情報と削除情報のみを配信することで更新後のアクセス制御リストを生成することが可能である。また、更新に必要な情報に順序制約を含まないため、統合アクセス制御サーバ100と制御対象マシン200間の通信量を削減できる。加えて、記述順序を考慮したアクセス制御リストの再構築を行う必要がないため、アクセス制御リストの更新に使用される制御対象マシンのリソースの使用量を抑えられる。
次に、本発明の第3の実施形態であるアクセス制御リストの一貫性保証差分配信システムについて図面を参照して詳細に説明する。
本実施形態では、アクセス制御リストの差分配信における一貫性を保証する例を示す。図5を参照すると、本実施形態は、統合アクセス制御サーバ110と、制御対象マシン210を有している。統合アクセス制御サーバ110は、統合アクセス制御サーバ100と比較して署名部108を更に有している点が相違する。制御対象マシン210は、制御対象マシン200と比較して署名検証部204を更に有している点が相違する。統合アクセス制御サーバ110及び制御対象マシン210のそれ以外の部分及び各データーベースの機能及び動作は第2の実施形態と同じである。
次に、相違する各部の動作について説明する。
統合アクセス制御サーバ110の差分抽出部104によって抽出された差分情報は、署名部108に供給される。署名部108では、供給された差分情報に対して統合アクセス制御サーバ110に格納された正規の統合アクセス制御サーバを示す秘密鍵でRSA署名方式など所定の署名方式によりデジタル署名を付加する。
署名の付加されたアクセス制御リストの差分情報は、第2の実施形態と同様に配信部105により制御対象マシン210に配信される。
制御対象マシン210では、受信部203によって受信された署名の付与された差分情報が、マージ部202に供給される。
マージ部202は、供給される差分情報に付加された署名を署名検証部204に供給する。そして署名検証部204は、制御対象マシンに格納された正規の統合アクセス制御サーバ110の発行している公開鍵によって差分情報の正当性を検証する。
差分情報の正当性が保証された場合には、マージ部202は、現在適用されている更新前のアクセス制御リストに対して、追加されたアクセス制御ルールを追記し、削除されたアクセス制御ルールを削除する。マージされたアクセス制御リストは設定部201によって、制御対象マシンに適用される。一方、差分情報の正当性が認められなかった場合は当該アクセス制御リストは適用されない。
本実施形態では、アクセス制御ルールの集合情報である差分情報の正当性が保証されれば、更新前のアクセス制御リストに差分情報をマージして得られる更新後のアクセス制御リストの正当性が保証されるという効果を奏する。
以下、より具体的な実施例について図面を参照して詳細に説明する。
本実施例では、アクセス制御リスト(ACL)を統合的に管理し、策定されたポリシからアクセス制御リストを生成し、各制御対象マシンにアクセス制御リストを配信・設定する。
図6を参照すると、本実施例は、統合アクセス制御サーバ120と、複数のn台の制御対象マシン200−1乃至200−nを有する。
統合アクセス制御サーバ120は、ポリシDB106と、リソースDB102と、ACL生成部103と、ACL変換部101と、配信部105を有する。また、制御対象マシン200−1乃至200−nは、それぞれが設定部201と受信部203を有する。各部の機能については上述した各実施形態の対応する部分と同様なので説明を省略する。
統合アクセス制御サーバ120では、策定されたポリシを蓄積しているポリシDB106より、配信対象のポリシをACL生成部103に供給することによりACLを得る。
例えば、策定されたポリシは、経理部のyamadaは、Webサーバの共用の/var/samba/pub/以下と経理部専用の/var/samba/keiri/以下は読み書きしてよいが、それ以外の/var/samba/以下は読み書き実行してはならないというものであるとする。そして、それに対しACL生成部103ではポリシに記述されている経理部のyamadaのアクセス主体がyamadaと記述されているものとする。また、アクセス対象リソースとしてそれぞれ/var/samba/pub/、/var/samba/keiri/、/var/samba/**が記述されているものとする。また、それぞれのアクセス対象リソースに対してのアクセス権が、書き込み許可の場合はwrite+、禁止の場合はwrite-と表現する。すなわち、許可を+禁止を-と表現する。そして、書き込み、読み込み、実行のアクセス権に関して記述されることによってアクセス制御ルールが記述されているものとする。また、ポリシ内で上位に記述され優先度の高い順に、ACL内でもアクセス制御ルールが優先度の高い順に記述されているものとする。また、ACL内でのアクセス対象リストの*と**の表記に関しては、*はディレクトリ直下を指し、**はディレクトリ配下全てを指すものとする。具体的には、ACLは図7のように生成される。
そして、前記ACLをACL変換部101に入力する。ACL変換部101は、制御対象マシンのリソース情報が蓄積されたリソースDB102を参照しながら、前記ACLをアクセス制御ルールの記述順序に依存しないACLに、変換、出力する。前記のACLに対して、リソースDB102に蓄積されている制御対象マシンの全リソース情報を図8としたときの変換手順を図1および図2を参照しながら具体的に説明する。
まず図7に示すACLのアクセス制御ルールを1行読み込む(図2のステップA301)。
今回は、既出ルール判定部11にて一時記憶部15に記憶されたルールに該ルールが包含されていない(図2のステップA302においてNO)。そのため、該ルールは第1のルール判定部12に供給され許可ルールであるか否か判定される(図2のステップA303)。
許可ルールであるyamada:/var/samba/pub:read+、yamada:/var/samba/pub:wirte+は許可ルール記憶部16に記憶される(図2のステップA303においてYES、ステップA305)。
一方、禁止ルールであるyamada:/var/samba/pub:execute-は第2のルール判定部13に供給される(ステップA303においてNO)。
ここで、今回の例では、供給された該ルールが許可ルール記憶部16に記憶された許可ルールとアクセス主体ユーザが同一である。加えて該ルールのアクセス対象リソースが許可ルール記憶部16に記憶された許可ルールに記述されたアクセス対象リソースを含んでいない、つまり相反していない。そのため、第2のルール判定部13が、該ルールを禁止ルール記憶部17に記憶する(図2のステップA304においてNO、ステップA308)。
そして該ルールが最終ルールか否かの判定において、入力ACLは最終行に達していない(図2のステップA309においてNO)。
よって、次の2行目のアクセス制御ルールを読み込む(図2のステップA301)。今回も、既出ルール判定部11にて一時記憶部15に記憶されたルールに該ルールが包含されていない(図2のステップA302においてNO)。
そのため、該ルールは第1のルール判定部12に供給され許可ルールであるか否か判定される(図2のステップA303)。
許可ルールであるyamada:/var/samba/keiri:read+、yamada:/var/samba/keiri:wirte+は許可ルール記憶部16に記憶される(図2のステップA303においてYES、ステップA305)。
一方、禁止ルールであるyamada:/var/samba/keiri:execute-は第2のルール判定部13に供給される(図2スのテップA303においてNO)。
第2のルール判定部13では、供給された該ルールが許可ルール記憶部16に記憶された許可ルールと相反さないので禁止ルール記憶部17に記憶される(図2のステップA304においてNO、ステップA308)。そして該ルールが最終ルールか否かの判定(図2のステップA309)において、入力ACLは最終行に達していないので次の3行目のアクセス制御ルールを読み込む(図2のステップA301)。
既出ルール判定部11にて一時記憶部15に記憶されたルールに該ルールが包含されていないので(図2のステップA302においてNO)、該ルールは第1のルール判定部12に供給され許可ルールであるか否か判定される。そして、禁止ルールであるので第2のルール判定部13に供給される(図2のステップA303においてNO)。
第2のルール判定部13では、供給されたyamada:/var/samba/**:execute-は許可ルール記憶部16に記憶された許可ルールと相反さないので禁止ルール記憶部17に記憶される(図2のステップA304においてNO、ステップA308)。
一方、yamada:/var/samba/**:read-及びyamada:/var/samba/**:write-は、許可ルール記憶部16に記憶されたyamada:/var/samba/pub:read+、yamada:/var/samba/pub:wirte+,yamada:/var/samba/keiri:read+、yamada:/var/samba/keiri:wirte+と相反するのでリソース展開部14に供給される(図2のステップA304においてYES)。
リソース展開部14では、yamada:/var/samba/**:read-が供給されるとリソースDB106を参照し、/var/samba/以下にpub、keiri、soumuが存在することを認識し、許可ルール記憶部16に記憶されているyamada:/var/samba/pub:read+、yamada:/var/samba/keiri:read+と同じ階層のリソース情報を表現できるように展開する(図2のステップA306)。
そして、yamada:/var/samaba/pub:read-、yamada:/var/samba/keiri:read-、yamada:/var/samba/soumu:read-、yamada:/var/samba/*:read-を得、許可ルール記憶部16に記憶されているアクセス対象リソースである/var/samba/pubおよび/var/samba/keiriを除いたyamada:/var/samba/soumu:read-およびyamada:/var/samba/*:read-を禁止ルール記憶部17に記憶する(図2のステップA307およびA8)。
更に、供給されたyamada:/var/samba/**:wirte-に関しても同様の処理にてyamada:/var/samba/soumu:wirte-およびyamada:/var/samba/*:wirte-を禁止ルール記憶部17に記憶する(図2のステップA304、A306、A307及びA308)。そして入力ACLは最終行に達したので(図2のステップA309においてYES)禁止ルール記憶部17に記憶されたyamada:/var/samba/pub:execute-、yamada:/var/samba/keiri:execute-、yamada:/var/samba/soumu:read-,wirte-およびyamada:/var/samba/*:read-,wirte-が出力されブラックリスト形式のACLが得られる。
ブラックリストではデフォルトルールが許可であるので、出力されたアクセス対象リソースに対して記述されていないアクセス権に関して許可を付与したACLとして図9が出力として得られる。出力として得られるACLは、記述されたアクセス制御ルールに記述順序制約がないために、アクセス制御ルールを任意に入れ替えても、アクセス制御機構が上位に記述された順に処理せずとも、ACLに記述されたアクセス制御ルールがすべてアクセス制御されれば、同一のアクセス制御効果をもたらす。
最後に、配信部105は、前記ACL変換部101の出力したACLを、制御対象マシン200−nに配信し、設定指示を出す。ここで、ACLの配信・設定方法として、telnetやsshなど任意の通信プロトコルを用いてよいが、図10に示す通信プロトコルを用いることが望ましい。
図10のプロトコルについて説明する。
まず、ACLを配信する統合アクセス制御サーバ120は配信部105によって、制御対象マシン200−nに対して、設定準備問い合わせを行う(図10のステップB501)。
そして、制御対象マシン200−nの設定部201が有効であるかや、配信するACLを転送するプロトコルとして制御対象マシン200−nの受信部203がどの通信プロトコルに対応していて本ACL転送部としてどのプロトコルを用いるかといった情報を取得する(図10のステップB502)。その際のメッセージは図11に示すようなSOAPベースのWS-Managementに準拠することが望ましい。本例では、WS-ManagementのGetアクションを用いてリソースURIとして設定部201の設定を表現するリソースや対応プロトコルを表現するリソースを指定して制御対象マシン200−nの受信部203にメッセージを送り問い合わせている。これに対する設定準備問い合わせ応答は、制御対象マシン200−nの受信部203によってSOAPベースのWS-Managementに準拠したGettResponseアクションとして統合アクセス制御サーバ120の送信部105に応答される。
次に、統合アクセス制御サーバ120の配信部105は、前記の設定準備問い合わせで得たプロトコルに従ってACLを制御対象マシン200−nの受信部203に対して転送する(図10のステップB503)。ここで用いられる転送プロトコルは、前段の設定準備問い合わせで得たプロトコルに従い、特段の指定はない。
そして、統合アクセス制御サーバ120の配信部105は、図12に示すようなSOAPベースのWS-Managementに準拠し、更新の場合はWS-ManagementのPutアクションを、削除の場合はWS-ManagementのDeleteを用いて、リソースURIとして設定部201を表現するリソースを指定する。加えて、設定対象となるACLを指し示すPolicy_Idを指定して、制御対象マシン200−nの受信部203にメッセージを送りACL設定要求を行う(図10のステップB504)。
これを受けた受信部203は、設定部201に該設定指示を出し(図10のステップB505)、設定部201よりその設定指示応答を得る(図10のステップB506)。
設定指示応答を得た受信部203は、ACL設定要求応答として、SOAPベースのWS-Managementに準拠したPutResponseアクションあるいはDeleteResponseアクションとして統合アクセス制御サーバ120の配信部105に応答する(図10のステップB507)。
制御対象マシン200−nに設置された設定部201がブラックリスト形式のACLを処理するものであれば、ACLを配信する統合アクセス制御サーバ120から配信されるACLは、図9に示すACLのみで良く、制御対象マシン200−1、200−2、・・・200−nそれぞれに対応するように用意する必要がないため、統合アクセス制御サーバ120では配信対象のポリシから生成する必要のあるACLの個数は制御対象マシン数が増加しても1つでよい。
以上説明した本発明の実施形態及び実施例は、下記の効果を奏する。
第1の効果は、アクセス制御ポリシの変更に伴うアクセス制御リストの修正コストを削減することができる。
その理由は、本発明によって変換されたアクセス制御リストはアクセス制御ルールの記述に関して順序制約がないため、アクセス制御リストをアクセス制御ルールの集合のみを扱えばよいためである。
第2の効果は、単一のアクセス制御リストで複数のアクセス制御機構に対して同一のアクセス制御効果をもたらすことができる。
その理由は、本発明によって変換された順序制約のないアクセス制御リストは、当事者が別段定めをしなければそうなるというルールであるデフォルトルールが同一であるアクセス制御リストを解釈対象とする任意のアクセス制御機構に関して同一の解釈結果を出せることから、1つのアクセス制御リストで複数のアクセス制御機構に対して同内容のアクセス制御を実施可能になることにある。
なお、本発明の実施形態である統合アクセス制御サーバ及び制御対象マシンは、ハードウェアにより実現することもできるが、コンピュータをその統合アクセス制御サーバ及び制御対象マシンとして機能させるためのプログラムをコンピュータがコンピュータ読み取り可能な記録媒体から読み込んで実行することによっても実現することができる。
また、本発明の実施形態によるアクセス制御方法は、ハードウェアにより実現することもできるが、コンピュータにその方法を実行させるためのプログラムをコンピュータがコンピュータ読み取り可能な記録媒体から読み込んで実行することによっても実現することができる。
また、上述した実施形態は、本発明の好適な実施形態ではあるが、上記実施形態のみに本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。
本願は、日本の特願2009−066016(2009年3月18日に出願)に基づいたものであり、又、特願2009−066016に基づくパリ条約の優先権を主張するものである。特願2009−066016の開示内容は、特願2009−066016を参照することにより本明細書に援用される。 本発明の代表的な実施の形態が詳細に述べられたが、様々な変更(changes)、置き換え(substitutions)及び選択(alternatives)が請求項で定義された発明の精神と範囲から逸脱することなくなされることが理解されるべきである。また、仮にクレームが出願手続きにおいて補正されたとしても、クレームされた発明の均等の範囲は維持されるものと発明者は意図する。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1) アクセス対象となるリソースの状況を記録しているリソースデータベースに接続され、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換装置において、
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、許可ルールであれば、前記一時記憶部に記録する第1のルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが禁止ルールであれば、当該禁止ルールが、前記一時記憶部に記憶されている前記許可ルールと相反するか否かを判定し、相反していない場合は、当該禁止ルールを前記一時記憶部に記憶する第2のルール判定部と、
前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該禁止ルールに記載されているアクセス対象リソースから前記許可ルールに記載されているアクセス対象リソースを除いた禁止ルールに変換し、前記一時記憶部に記憶するリソース展開部と、
を備えることを特徴とするアクセス制御リスト変換装置。
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、許可ルールであれば、前記一時記憶部に記録する第1のルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが禁止ルールであれば、当該禁止ルールが、前記一時記憶部に記憶されている前記許可ルールと相反するか否かを判定し、相反していない場合は、当該禁止ルールを前記一時記憶部に記憶する第2のルール判定部と、
前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該禁止ルールに記載されているアクセス対象リソースから前記許可ルールに記載されているアクセス対象リソースを除いた禁止ルールに変換し、前記一時記憶部に記憶するリソース展開部と、
を備えることを特徴とするアクセス制御リスト変換装置。
(付記2) アクセス対象となるリソースの状況を記録しているリソースデータベースに接続され、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換装置において、
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、禁止ルールであれば、前記一時記憶部に記録する第1のルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが許可ルールであれば、当該許可ルールが、前記一時記憶部に記憶されている前記禁止ルールと相反するか否かを判定し、相反していない場合は、当該許可ルールを前記一時記憶部に記憶する第2のルール判定部と、
前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該許可ルールに記載されているアクセス対象リソースから前記禁止ルールに記載されているアクセス対象リソースを除いた許可ルールに変換し、前記一時記憶部に記憶するリソース展開部と、
を備えることを特徴とするアクセス制御リスト変換装置。
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、禁止ルールであれば、前記一時記憶部に記録する第1のルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが許可ルールであれば、当該許可ルールが、前記一時記憶部に記憶されている前記禁止ルールと相反するか否かを判定し、相反していない場合は、当該許可ルールを前記一時記憶部に記憶する第2のルール判定部と、
前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該許可ルールに記載されているアクセス対象リソースから前記禁止ルールに記載されているアクセス対象リソースを除いた許可ルールに変換し、前記一時記憶部に記憶するリソース展開部と、
を備えることを特徴とするアクセス制御リスト変換装置。
(付記3) 付記1又は2に記載のアクセス制御リスト変換装置において、
前記リソース展開部は、包含している側のアクセス制御ルールに記載のアクセス対象リソースの全リソース情報を参照し、包含されている側のアクセス制御ルールに記載のアクセス対象リソースを表現できる集合あるいは要素に展開し、当該包含されている側のアクセス制御ルールに記載のアクセス対象リソースと重複するアクセス対象リソースを、当該包含している側のアクセス制御ルールに記載のアクセス対象リソースを展開したものから除いて当該包含している側のアクセス制御ルールのアクセス対象リソースに記載することにより前記変換を行うことを特徴とするアクセス制御リスト変換装置。
前記リソース展開部は、包含している側のアクセス制御ルールに記載のアクセス対象リソースの全リソース情報を参照し、包含されている側のアクセス制御ルールに記載のアクセス対象リソースを表現できる集合あるいは要素に展開し、当該包含されている側のアクセス制御ルールに記載のアクセス対象リソースと重複するアクセス対象リソースを、当該包含している側のアクセス制御ルールに記載のアクセス対象リソースを展開したものから除いて当該包含している側のアクセス制御ルールのアクセス対象リソースに記載することにより前記変換を行うことを特徴とするアクセス制御リスト変換装置。
(付記4) 統合アクセス制御サーバと、前記統合アクセス制御サーバに接続された制御対象マシンとを有するアクセス制御リスト配付システムの前記統合アクセス制御サーバであって、
付記1乃至3の何れか1に記載のアクセス制御リスト変換装置と、
アクセス制御リストを記憶するアクセス制御リストデーターベースと、
前記アクセス制御リスト変換装置が変換したアクセス制御リストと、前記アクセス制御リストデーターベースに記憶されているアクセス制御リストと、の差分を抽出する差分抽出部と、
抽出した前記差分を前記制御対象マシンに配信する配信部と、
を備えることを特徴とする統合アクセス制御サーバ。
付記1乃至3の何れか1に記載のアクセス制御リスト変換装置と、
アクセス制御リストを記憶するアクセス制御リストデーターベースと、
前記アクセス制御リスト変換装置が変換したアクセス制御リストと、前記アクセス制御リストデーターベースに記憶されているアクセス制御リストと、の差分を抽出する差分抽出部と、
抽出した前記差分を前記制御対象マシンに配信する配信部と、
を備えることを特徴とする統合アクセス制御サーバ。
(付記5) アクセス対象となるリソースの状況を記録しているリソースデータベースに接続されているアクセス制御リスト変換装置において、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換方法であって、
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部を用意するステップと、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定ステップと、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、許可ルールであれば、前記一時記憶部に記録する第1のルール判定ステップと、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが禁止ルールであれば、当該禁止ルールが、前記一時記憶部に記憶されている前記許可ルールと相反するか否かを判定し、相反していない場合は、当該禁止ルールを前記一時記憶部に記憶する第2のルール判定ステップと、
前記第2のルール判定ステップの判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該禁止ルールに記載されているアクセス対象リソースから前記許可ルールに記載されているアクセス対象リソースを除いた禁止ルールに変換し、前記一時記憶部に記憶するリソース展開ステップと、
を備えることを特徴とするアクセス制御リスト変換方法。
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部を用意するステップと、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定ステップと、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、許可ルールであれば、前記一時記憶部に記録する第1のルール判定ステップと、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが禁止ルールであれば、当該禁止ルールが、前記一時記憶部に記憶されている前記許可ルールと相反するか否かを判定し、相反していない場合は、当該禁止ルールを前記一時記憶部に記憶する第2のルール判定ステップと、
前記第2のルール判定ステップの判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該禁止ルールに記載されているアクセス対象リソースから前記許可ルールに記載されているアクセス対象リソースを除いた禁止ルールに変換し、前記一時記憶部に記憶するリソース展開ステップと、
を備えることを特徴とするアクセス制御リスト変換方法。
(付記6) アクセス対象となるリソースの状況を記録しているリソースデータベースに接続されているアクセス制御リスト変換装置において、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換方法であって、
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部を用意するステップと、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定ステップと、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、禁止ルールであれば、前記一時記憶部に記録する第1のルール判定ステップと、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが許可ルールであれば、当該許可ルールが、前記一時記憶部に記憶されている前記禁止ルールと相反するか否かを判定し、相反していない場合は、当該許可ルールを前記一時記憶部に記憶する第2のルール判定ステップと、
前記第2のルール判定ステップの判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該許可ルールに記載されているアクセス対象リソースから前記禁止ルールに記載されているアクセス対象リソースを除いた許可ルールに変換し、前記一時記憶部に記憶するリソース展開ステップと、
を備えることを特徴とするアクセス制御リスト変換方法。
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部を用意するステップと、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定ステップと、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、禁止ルールであれば、前記一時記憶部に記録する第1のルール判定ステップと、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが許可ルールであれば、当該許可ルールが、前記一時記憶部に記憶されている前記禁止ルールと相反するか否かを判定し、相反していない場合は、当該許可ルールを前記一時記憶部に記憶する第2のルール判定ステップと、
前記第2のルール判定ステップの判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該許可ルールに記載されているアクセス対象リソースから前記禁止ルールに記載されているアクセス対象リソースを除いた許可ルールに変換し、前記一時記憶部に記憶するリソース展開ステップと、
を備えることを特徴とするアクセス制御リスト変換方法。
(付記7) 付記5又は6に記載のアクセス制御リスト変換方法において、
前記リソース展開ステップにおいて、包含している側のアクセス制御ルールに記載のアクセス対象リソースの全リソース情報を参照し、包含されている側のアクセス制御ルールに記載のアクセス対象リソースを表現できる集合あるいは要素に展開し、当該包含されている側のアクセス制御ルールに記載のアクセス対象リソースと重複するアクセス対象リソースを、当該包含している側のアクセス制御ルールに記載のアクセス対象リソースを展開したものから除いて当該包含している側のアクセス制御ルールのアクセス対象リソースに記載することにより前記変換を行うことを特徴とするアクセス制御リスト変換方法。
前記リソース展開ステップにおいて、包含している側のアクセス制御ルールに記載のアクセス対象リソースの全リソース情報を参照し、包含されている側のアクセス制御ルールに記載のアクセス対象リソースを表現できる集合あるいは要素に展開し、当該包含されている側のアクセス制御ルールに記載のアクセス対象リソースと重複するアクセス対象リソースを、当該包含している側のアクセス制御ルールに記載のアクセス対象リソースを展開したものから除いて当該包含している側のアクセス制御ルールのアクセス対象リソースに記載することにより前記変換を行うことを特徴とするアクセス制御リスト変換方法。
(付記8) 付記5乃至7の何れか1に記載のアクセス制御リスト変換方法において、
アクセス制御リストを記憶するアクセス制御リストデーターベースを用意するステップと、
前記変換したアクセス制御リストと、前記アクセス制御リストデーターベースに記憶されているアクセス制御リストと、の差分を抽出する差分抽出ステップと、
抽出した前記差分を制御対象マシンに配信する配信ステップと、
を備えることを特徴とするアクセス制御リスト変換方法。
アクセス制御リストを記憶するアクセス制御リストデーターベースを用意するステップと、
前記変換したアクセス制御リストと、前記アクセス制御リストデーターベースに記憶されているアクセス制御リストと、の差分を抽出する差分抽出ステップと、
抽出した前記差分を制御対象マシンに配信する配信ステップと、
を備えることを特徴とするアクセス制御リスト変換方法。
(付記9) アクセス対象となるリソースの状況を記録しているリソースデータベースに接続され、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換装置に搭載される、アクセス制御リスト変換プログラムにおいて、
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、許可ルールであれば、前記一時記憶部に記録する第1のルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが禁止ルールであれば、当該禁止ルールが、前記一時記憶部に記憶されている前記許可ルールと相反するか否かを判定し、相反していない場合は、当該禁止ルールを前記一時記憶部に記憶する第2のルール判定部と、
前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該禁止ルールに記載されているアクセス対象リソースから前記許可ルールに記載されているアクセス対象リソースを除いた禁止ルールに変換し、前記一時記憶部に記憶するリソース展開部と、
を備えるアクセス制御リスト変換装置としてコンピュータを機能させるアクセス制御リスト変換プログラム。
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、許可ルールであれば、前記一時記憶部に記録する第1のルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが禁止ルールであれば、当該禁止ルールが、前記一時記憶部に記憶されている前記許可ルールと相反するか否かを判定し、相反していない場合は、当該禁止ルールを前記一時記憶部に記憶する第2のルール判定部と、
前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該禁止ルールに記載されているアクセス対象リソースから前記許可ルールに記載されているアクセス対象リソースを除いた禁止ルールに変換し、前記一時記憶部に記憶するリソース展開部と、
を備えるアクセス制御リスト変換装置としてコンピュータを機能させるアクセス制御リスト変換プログラム。
(付記10) アクセス対象となるリソースの状況を記録しているリソースデータベースに接続され、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換装置に搭載される、アクセス制御リスト変換プログラムにおいて、
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、禁止ルールであれば、前記一時記憶部に記録する第1のルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが許可ルールであれば、当該許可ルールが、前記一時記憶部に記憶されている前記禁止ルールと相反するか否かを判定し、相反していない場合は、当該許可ルールを前記一時記憶部に記憶する第2のルール判定部と、
前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該許可ルールに記載されているアクセス対象リソースから前記禁止ルールに記載されているアクセス対象リソースを除いた許可ルールに変換し、前記一時記憶部に記憶するリソース展開部と、
を備えるアクセス制御リスト変換装置としてコンピュータを機能させるアクセス制御リスト変換プログラム。
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、禁止ルールであれば、前記一時記憶部に記録する第1のルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが許可ルールであれば、当該許可ルールが、前記一時記憶部に記憶されている前記禁止ルールと相反するか否かを判定し、相反していない場合は、当該許可ルールを前記一時記憶部に記憶する第2のルール判定部と、
前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該許可ルールに記載されているアクセス対象リソースから前記禁止ルールに記載されているアクセス対象リソースを除いた許可ルールに変換し、前記一時記憶部に記憶するリソース展開部と、
を備えるアクセス制御リスト変換装置としてコンピュータを機能させるアクセス制御リスト変換プログラム。
(付記11) 付記9又は10に記載のアクセス制御リスト変換プログラムにおいて、
前記リソース展開部は、包含している側のアクセス制御ルールに記載のアクセス対象リソースの全リソース情報を参照し、包含されている側のアクセス制御ルールに記載のアクセス対象リソースを表現できる集合あるいは要素に展開し、当該包含されている側のアクセス制御ルールに記載のアクセス対象リソースと重複するアクセス対象リソースを、当該包含している側のアクセス制御ルールに記載のアクセス対象リソースを展開したものから除いて当該包含している側のアクセス制御ルールのアクセス対象リソースに記載することにより前記変換を行うことを特徴とするアクセス制御リスト変換プログラム。
前記リソース展開部は、包含している側のアクセス制御ルールに記載のアクセス対象リソースの全リソース情報を参照し、包含されている側のアクセス制御ルールに記載のアクセス対象リソースを表現できる集合あるいは要素に展開し、当該包含されている側のアクセス制御ルールに記載のアクセス対象リソースと重複するアクセス対象リソースを、当該包含している側のアクセス制御ルールに記載のアクセス対象リソースを展開したものから除いて当該包含している側のアクセス制御ルールのアクセス対象リソースに記載することにより前記変換を行うことを特徴とするアクセス制御リスト変換プログラム。
(付記12) 付記9乃至11の何れか1に記載のアクセス制御リスト変換プログラムにおいて、
前記アクセス制御リスト変換装置が、
アクセス制御リストを記憶するアクセス制御リストデーターベースと、
前記変換したアクセス制御リストと、前記アクセス制御リストデーターベースに記憶されているアクセス制御リストと、の差分を抽出する差分抽出部と、
抽出した前記差分を制御対象マシンに配信する配信部と、
を更に備えることを特徴とするアクセス制御リスト変換プログラム。
前記アクセス制御リスト変換装置が、
アクセス制御リストを記憶するアクセス制御リストデーターベースと、
前記変換したアクセス制御リストと、前記アクセス制御リストデーターベースに記憶されているアクセス制御リストと、の差分を抽出する差分抽出部と、
抽出した前記差分を制御対象マシンに配信する配信部と、
を更に備えることを特徴とするアクセス制御リスト変換プログラム。
本発明は、アクセス制御リストとして表現されるポリシの変更時に変更者の意図を確認する場合や、変更部の一貫性を保証しつつ差分配信を行いたい場合に好適である。
また、本発明は、アクセス制御リストを複数のアクセス制御実施機構に対して生成、あるいは、アクセス制御リストの変更を複数のアクセス制御実施機構に対して反映するために、アクセス制御リストを新規に生成あるいは変更したい場合にも好適である。
Claims (12)
- アクセス対象となるリソースの状況を記録しているリソースデータベースに接続され、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換装置において、
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、許可ルールであれば、前記一時記憶部に記録する第1のルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが禁止ルールであれば、当該禁止ルールが、前記一時記憶部に記憶されている前記許可ルールと相反するか否かを判定し、相反していない場合は、当該禁止ルールを前記一時記憶部に記憶する第2のルール判定部と、
前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該禁止ルールに記載されているアクセス対象リソースから前記許可ルールに記載されているアクセス対象リソースを除いた禁止ルールに変換し、前記一時記憶部に記憶するリソース展開部と、
を備えることを特徴とするアクセス制御リスト変換装置。 - アクセス対象となるリソースの状況を記録しているリソースデータベースに接続され、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換装置において、
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、禁止ルールであれば、前記一時記憶部に記録する第1のルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが許可ルールであれば、当該許可ルールが、前記一時記憶部に記憶されている前記禁止ルールと相反するか否かを判定し、相反していない場合は、当該許可ルールを前記一時記憶部に記憶する第2のルール判定部と、
前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該許可ルールに記載されているアクセス対象リソースから前記禁止ルールに記載されているアクセス対象リソースを除いた許可ルールに変換し、前記一時記憶部に記憶するリソース展開部と、
を備えることを特徴とするアクセス制御リスト変換装置。 - 請求項1又は2に記載のアクセス制御リスト変換装置において、
前記リソース展開部は、包含している側のアクセス制御ルールに記載のアクセス対象リソースの全リソース情報を参照し、包含されている側のアクセス制御ルールに記載のアクセス対象リソースを表現できる集合あるいは要素に展開し、当該包含されている側のアクセス制御ルールに記載のアクセス対象リソースと重複するアクセス対象リソースを、当該包含している側のアクセス制御ルールに記載のアクセス対象リソースを展開したものから除いて当該包含している側のアクセス制御ルールのアクセス対象リソースに記載することにより前記変換を行うことを特徴とするアクセス制御リスト変換装置。 - 統合アクセス制御サーバと、前記統合アクセス制御サーバに接続された制御対象マシンとを有するアクセス制御リスト配付システムの前記統合アクセス制御サーバであって、
請求項1乃至3の何れか1項に記載のアクセス制御リスト変換装置と、
アクセス制御リストを記憶するアクセス制御リストデーターベースと、
前記アクセス制御リスト変換装置が変換したアクセス制御リストと、前記アクセス制御リストデーターベースに記憶されているアクセス制御リストと、の差分を抽出する差分抽出部と、
抽出した前記差分を前記制御対象マシンに配信する配信部と、
を備えることを特徴とする統合アクセス制御サーバ。 - アクセス対象となるリソースの状況を記録しているリソースデータベースに接続されているアクセス制御リスト変換装置において、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換方法であって、
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部を用意するステップと、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定ステップと、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、許可ルールであれば、前記一時記憶部に記録する第1のルール判定ステップと、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが禁止ルールであれば、当該禁止ルールが、前記一時記憶部に記憶されている前記許可ルールと相反するか否かを判定し、相反していない場合は、当該禁止ルールを前記一時記憶部に記憶する第2のルール判定ステップと、
前記第2のルール判定ステップの判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該禁止ルールに記載されているアクセス対象リソースから前記許可ルールに記載されているアクセス対象リソースを除いた禁止ルールに変換し、前記一時記憶部に記憶するリソース展開ステップと、
を備えることを特徴とするアクセス制御リスト変換方法。 - アクセス対象となるリソースの状況を記録しているリソースデータベースに接続されているアクセス制御リスト変換装置において、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換方法であって、
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部を用意するステップと、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定ステップと、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、禁止ルールであれば、前記一時記憶部に記録する第1のルール判定ステップと、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが許可ルールであれば、当該許可ルールが、前記一時記憶部に記憶されている前記禁止ルールと相反するか否かを判定し、相反していない場合は、当該許可ルールを前記一時記憶部に記憶する第2のルール判定ステップと、
前記第2のルール判定ステップの判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該許可ルールに記載されているアクセス対象リソースから前記禁止ルールに記載されているアクセス対象リソースを除いた許可ルールに変換し、前記一時記憶部に記憶するリソース展開ステップと、
を備えることを特徴とするアクセス制御リスト変換方法。 - 請求項5又は6に記載のアクセス制御リスト変換方法において、
前記リソース展開ステップにおいて、包含している側のアクセス制御ルールに記載のアクセス対象リソースの全リソース情報を参照し、包含されている側のアクセス制御ルールに記載のアクセス対象リソースを表現できる集合あるいは要素に展開し、当該包含されている側のアクセス制御ルールに記載のアクセス対象リソースと重複するアクセス対象リソースを、当該包含している側のアクセス制御ルールに記載のアクセス対象リソースを展開したものから除いて当該包含している側のアクセス制御ルールのアクセス対象リソースに記載することにより前記変換を行うことを特徴とするアクセス制御リスト変換方法。 - 請求項5乃至7の何れか1項に記載のアクセス制御リスト変換方法において、
アクセス制御リストを記憶するアクセス制御リストデーターベースを用意するステップと、
前記変換したアクセス制御リストと、前記アクセス制御リストデーターベースに記憶されているアクセス制御リストと、の差分を抽出する差分抽出ステップと、
抽出した前記差分を制御対象マシンに配信する配信ステップと、
を備えることを特徴とするアクセス制御リスト変換方法。 - アクセス対象となるリソースの状況を記録しているリソースデータベースに接続され、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換装置に搭載される、アクセス制御リスト変換プログラムにおいて、
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、許可ルールであれば、前記一時記憶部に記録する第1のルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが禁止ルールであれば、当該禁止ルールが、前記一時記憶部に記憶されている前記許可ルールと相反するか否かを判定し、相反していない場合は、当該禁止ルールを前記一時記憶部に記憶する第2のルール判定部と、
前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該禁止ルールに記載されているアクセス対象リソースから前記許可ルールに記載されているアクセス対象リソースを除いた禁止ルールに変換し、前記一時記憶部に記憶するリソース展開部と、
を備えるアクセス制御リスト変換装置としてコンピュータを機能させるアクセス制御リスト変換プログラム。 - アクセス対象となるリソースの状況を記録しているリソースデータベースに接続され、前記リソースに対するアクセスを制御するためのルールの集合であるアクセス制御リストを用いてアクセス制御ルールを更新するアクセス制御リスト変換装置に搭載される、アクセス制御リスト変換プログラムにおいて、
前記アクセス制御の対象となる主体が前記リソースにアクセスできる旨を規定する「許可ルール」と、前記リソースにアクセスできない旨を規定する「禁止ルール」と、を予め記憶している一時記憶部と、
受け付けた前記アクセス制御リストからルールを読み込み、当該読み込んだルールが前記一時記憶部に予め記憶されている許可ルール及び禁止ルールに包含されているか判定する既出ルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが、禁止ルールであれば、前記一時記憶部に記録する第1のルール判定部と、
前記判定の結果、包含されていなかった場合に当該読み込んだルールが許可ルールであれば、当該許可ルールが、前記一時記憶部に記憶されている前記禁止ルールと相反するか否かを判定し、相反していない場合は、当該許可ルールを前記一時記憶部に記憶する第2のルール判定部と、
前記第2のルール判定部の判定の結果、相反している場合は、前記リソースデータベースのリソース情報に基づいて、当該許可ルールに記載されているアクセス対象リソースから前記禁止ルールに記載されているアクセス対象リソースを除いた許可ルールに変換し、前記一時記憶部に記憶するリソース展開部と、
を備えるアクセス制御リスト変換装置としてコンピュータを機能させるアクセス制御リスト変換プログラム。 - 請求項9又は10に記載のアクセス制御リスト変換プログラムにおいて、
前記リソース展開部は、包含している側のアクセス制御ルールに記載のアクセス対象リソースの全リソース情報を参照し、包含されている側のアクセス制御ルールに記載のアクセス対象リソースを表現できる集合あるいは要素に展開し、当該包含されている側のアクセス制御ルールに記載のアクセス対象リソースと重複するアクセス対象リソースを、当該包含している側のアクセス制御ルールに記載のアクセス対象リソースを展開したものから除いて当該包含している側のアクセス制御ルールのアクセス対象リソースに記載することにより前記変換を行うことを特徴とするアクセス制御リスト変換プログラム。 - 請求項9乃至11の何れか1項に記載のアクセス制御リスト変換プログラムにおいて、
前記アクセス制御リスト変換装置が、
アクセス制御リストを記憶するアクセス制御リストデーターベースと、
前記変換したアクセス制御リストと、前記アクセス制御リストデーターベースに記憶されているアクセス制御リストと、の差分を抽出する差分抽出部と、
抽出した前記差分を制御対象マシンに配信する配信部と、
を更に備えることを特徴とするアクセス制御リスト変換プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011504861A JP5569814B2 (ja) | 2009-03-18 | 2010-03-17 | ポリシ生成及び変換システム、ポリシ配付システム、その方法及びそのプログラム |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009066016 | 2009-03-18 | ||
| JP2009066016 | 2009-03-18 | ||
| JP2011504861A JP5569814B2 (ja) | 2009-03-18 | 2010-03-17 | ポリシ生成及び変換システム、ポリシ配付システム、その方法及びそのプログラム |
| PCT/JP2010/054525 WO2010107056A1 (ja) | 2009-03-18 | 2010-03-17 | ポリシ生成及び変換システム、ポリシ配付システム、その方法及びそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2010107056A1 JPWO2010107056A1 (ja) | 2012-09-20 |
| JP5569814B2 true JP5569814B2 (ja) | 2014-08-13 |
Family
ID=42739716
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011504861A Active JP5569814B2 (ja) | 2009-03-18 | 2010-03-17 | ポリシ生成及び変換システム、ポリシ配付システム、その方法及びそのプログラム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8595256B2 (ja) |
| EP (1) | EP2410457A4 (ja) |
| JP (1) | JP5569814B2 (ja) |
| KR (1) | KR101317050B1 (ja) |
| CN (1) | CN102362281A (ja) |
| WO (1) | WO2010107056A1 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8904554B2 (en) * | 2010-03-30 | 2014-12-02 | Private Access, Inc. | System and method for selectively redacting information in electronic documents |
| US9081975B2 (en) * | 2012-10-22 | 2015-07-14 | Palantir Technologies, Inc. | Sharing information between nexuses that use different classification schemes for information access control |
| JP2014170517A (ja) * | 2013-02-06 | 2014-09-18 | Ntt Comware Corp | 管理装置、通信システム、管理方法及びプログラム |
| US10613885B2 (en) | 2017-02-24 | 2020-04-07 | International Business Machines Corporation | Portable aggregated information calculation and injection for application containers |
| US10691816B2 (en) * | 2017-02-24 | 2020-06-23 | International Business Machines Corporation | Applying host access control rules for data used in application containers |
| DE102017109424A1 (de) * | 2017-05-03 | 2018-11-08 | Uniscon Universal Identity Control Gmbh | Verfahren zum gesicherten Zugriff auf Daten |
| US10810316B2 (en) * | 2017-05-15 | 2020-10-20 | International Business Machines Corporation | Updating monitoring systems using merged data policies |
| CN112615832B (zh) * | 2020-12-11 | 2022-08-02 | 杭州安恒信息安全技术有限公司 | 一种阻断smb横向移动的方法及相关装置 |
| CN113114567B (zh) * | 2021-03-29 | 2022-03-29 | 新华三信息安全技术有限公司 | 一种消息处理方法、装置、电子设备及存储介质 |
| CN114124575B (zh) * | 2022-01-24 | 2022-05-10 | 深圳市永达电子信息股份有限公司 | 基于态势感知的防火墙acl自动生成方法和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004303243A (ja) * | 2003-03-28 | 2004-10-28 | Hewlett-Packard Development Co Lp | 高信頼性コンピューティングシステムにおけるノードのセキュリティ属性 |
| US20080126287A1 (en) * | 2006-11-03 | 2008-05-29 | Motorola, Inc. | Method for management of policy conflict in a policy continuum |
| JP2008234263A (ja) * | 2007-03-20 | 2008-10-02 | Hitachi Software Eng Co Ltd | セキュアosのセキュリティポリシ追加設定方法及びシステム |
| US20080313712A1 (en) * | 2007-06-15 | 2008-12-18 | Microsoft Corporation | Transformation of sequential access control lists utilizing certificates |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7673323B1 (en) * | 1998-10-28 | 2010-03-02 | Bea Systems, Inc. | System and method for maintaining security in a distributed computer network |
| JP4545430B2 (ja) | 2003-12-19 | 2010-09-15 | 株式会社エヌ・ティ・ティ・データ | アクセス権の矛盾・冗長ルール検出を行うアクセス制御システム及びそのコンピュータプログラム |
| JP2005332049A (ja) | 2004-05-18 | 2005-12-02 | Nippon Telegr & Teleph Corp <Ntt> | ポリシ変換方法、ポリシ移行方法およびポリシ評価方法 |
| JP4135950B2 (ja) | 2005-06-09 | 2008-08-20 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス管理装置、アクセス管理方法、およびプログラム |
| US8955032B2 (en) * | 2005-08-20 | 2015-02-10 | Riverbed Technology, Inc. | Assessing network and device compliance with security policies |
| JP2007087232A (ja) | 2005-09-26 | 2007-04-05 | Hitachi Ltd | システム構成変更によるポリシ修正を容易にするポリシ作成方法、及びポリシ管理方法 |
| US8024356B2 (en) * | 2006-02-03 | 2011-09-20 | Autodesk, Inc. | Database-managed image processing |
| JP2007316952A (ja) | 2006-05-25 | 2007-12-06 | Canon Inc | 情報処理装置及びその装置におけるデータ管理方法 |
| JP2009066016A (ja) | 2007-09-10 | 2009-04-02 | Sharp Corp | 体外排出を検知可能なカプセル内視鏡 |
| US20090178102A1 (en) * | 2008-01-04 | 2009-07-09 | Khaled Alghathbar | Implementing Security Policies in Software Development Tools |
| US20100199346A1 (en) * | 2009-02-02 | 2010-08-05 | Telcordia Technologies, Inc. | System and method for determining symantic equivalence between access control lists |
| US8095557B2 (en) * | 2009-04-30 | 2012-01-10 | Oracle International Corporation | Type system for access control lists |
-
2010
- 2010-03-17 KR KR1020117021014A patent/KR101317050B1/ko not_active IP Right Cessation
- 2010-03-17 JP JP2011504861A patent/JP5569814B2/ja active Active
- 2010-03-17 CN CN2010800116099A patent/CN102362281A/zh active Pending
- 2010-03-17 US US13/255,149 patent/US8595256B2/en active Active
- 2010-03-17 WO PCT/JP2010/054525 patent/WO2010107056A1/ja active Application Filing
- 2010-03-17 EP EP10753548.6A patent/EP2410457A4/en not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004303243A (ja) * | 2003-03-28 | 2004-10-28 | Hewlett-Packard Development Co Lp | 高信頼性コンピューティングシステムにおけるノードのセキュリティ属性 |
| US20080126287A1 (en) * | 2006-11-03 | 2008-05-29 | Motorola, Inc. | Method for management of policy conflict in a policy continuum |
| JP2008234263A (ja) * | 2007-03-20 | 2008-10-02 | Hitachi Software Eng Co Ltd | セキュアosのセキュリティポリシ追加設定方法及びシステム |
| US20080313712A1 (en) * | 2007-06-15 | 2008-12-18 | Microsoft Corporation | Transformation of sequential access control lists utilizing certificates |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120030243A1 (en) | 2012-02-02 |
| KR101317050B1 (ko) | 2013-11-21 |
| US8595256B2 (en) | 2013-11-26 |
| CN102362281A (zh) | 2012-02-22 |
| EP2410457A4 (en) | 2014-04-02 |
| KR20110113771A (ko) | 2011-10-18 |
| WO2010107056A1 (ja) | 2010-09-23 |
| EP2410457A1 (en) | 2012-01-25 |
| JPWO2010107056A1 (ja) | 2012-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5569814B2 (ja) | ポリシ生成及び変換システム、ポリシ配付システム、その方法及びそのプログラム | |
| JP5569815B2 (ja) | アクセス制御リスト変換システム、その方法及びそのプログラム | |
| US10705889B2 (en) | Kernel event triggers | |
| JP6013594B2 (ja) | ローカル支援されるクラウドベースのストレージ | |
| JP5783630B2 (ja) | 複合リソース文書上のデジタル署名 | |
| JP4951092B2 (ja) | アクセス制御プログラム及び装置 | |
| WO2017028688A1 (zh) | 文件读写方法、装置和系统 | |
| US20090210859A1 (en) | Infromation processing apparatus, information processing method, and function expansion program | |
| US10609041B1 (en) | Enforcing granular access control policy | |
| US11558393B2 (en) | Enforcing granular access control policy | |
| WO2018184353A1 (zh) | 应用程序安全认证的方法、终端及存储介质 | |
| WO2015176461A1 (zh) | 分布式文件系统的文件访问处理、访问方法及装置 | |
| US8281365B2 (en) | Information management method, information management system, computer-readable medium and computer data signal | |
| JP2007233635A (ja) | 情報管理システム及び情報管理方法、並びにコンピュータ・プログラム | |
| JP5332656B2 (ja) | 文書管理システム、その方法及びそのプログラム | |
| KR102438329B1 (ko) | 가상 파일 관리 방법, 장치, 컴퓨터 프로그램 및 기록 매체 | |
| US11868494B1 (en) | Synchronization of access management tags between databases | |
| JP2018132999A (ja) | ドライバプログラム、情報処理装置およびその制御方法 | |
| JP2020095546A (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130213 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140304 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140425 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140530 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140612 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5569814 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |