JP5569815B2 - アクセス制御リスト変換システム、その方法及びそのプログラム - Google Patents
アクセス制御リスト変換システム、その方法及びそのプログラム Download PDFInfo
- Publication number
- JP5569815B2 JP5569815B2 JP2011504862A JP2011504862A JP5569815B2 JP 5569815 B2 JP5569815 B2 JP 5569815B2 JP 2011504862 A JP2011504862 A JP 2011504862A JP 2011504862 A JP2011504862 A JP 2011504862A JP 5569815 B2 JP5569815 B2 JP 5569815B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- rule
- access control
- target resource
- control rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Description
第1図は、本発明の第1の実施の形態によるアクセス制御リスト生成・変換システムの構成例を示すブロック図である。
次に、図1及び図2を参照して本実施の形態の動作について詳細に説明する。ここで、図2は、本発明の第1の実施の形態によるアクセス制御リスト生成・変換アルゴリズムのフローチャートである。
次に、本発明の他の実施の形態であるアクセス制御リストの差分配信システムについて図面を参照して詳細に説明する。
次に、本発明の他の実施の形態であるアクセス制御リストの一貫性保証差分配信システムについて図面を参照して詳細に説明する。
次に、本発明の他の実施の形態である統合アクセス制御サーバではアクセス制御リストの元となるポリシーのみを保持することでアクセス制御を実施するシステムについて図面を参照して詳細に説明する。
以下、より具体的な実施の形態について図面を参照して詳細に説明する。ここで、図5は、本発明の第5の実施の形態によるアクセス制御リストの生成・変換・配信システムを示すブロック図である。
第6の実施の形態では、統合アクセス制御サーバではアクセス制御を実施するためのポリシーのみを統合的に管理し、制御対象マシンにACL情報を取得する機能を持たせることによって統合アクセス制御を実施する例を示す。ここで、図13は、本発明の第6の実施の形態によるアクセス制御リスト参照型差分配信システムを示すブロック図である。
12 第1ルール判定部
13 第2ルール判定部
14 リソース展開部
15 一時記憶部
16 許可ルール記憶部
17 禁止ルール記憶部
100、100’、100’’ 統合アクセス制御サーバ
101 ACL変換部
102 リソース DB
103 ACL生成部
104、104’ 差分抽出部
105 配信部
106 ポリシー DB
107 ACL DB
108 署名部
109 ACL問合せ部
110 通信部
200、200−1、200−2、200−n 制御対象マシン
200’、200’−1、200’−2、200’−n 制御対象マシン
200’’ 制御対象マシン
201 設定部
202 マージ部
203 受信部
204 署名検証部
205 ACL制御部
206 ACL DB
207 通信部
Claims (24)
- アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給され、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込部と、
読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定部と、
前記第1ルール判定部により許可ルールと判定されたアクセス制御ルールを記憶する記憶部と、
前記禁止ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶部に記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記禁止ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定部と、
前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報を蓄積するデータベースと、
前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定部で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶部に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開部と、
を備えることを特徴とするアクセス制御リスト変換システム。 - 前記リソース展開部は、前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定部で判定されたアクセス制御ルールのアクセス対象リソースを、前記リソース情報を参照して、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開し、該同水準の下位概念にまで展開されたアクセス対象リソースから前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを除くことを特徴とする請求項1に記載のアクセス制御リスト変換システム。
- 前記記憶部は、
前記第1ルール判定部により許可ルールと判定されたアクセス制御ルールを記憶する許可ルール記憶部と、
前記第1ルール判定部で禁止ルールと判定されたアクセス制御ルール、前記第2ルール判定部で前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及び前記リソース展開部で前記記憶部に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する禁止ルール記憶部と、
を更に備え、
前記禁止ルール記憶部が記憶したアクセス制御ルールを最終出力とする請求項1又は2に記載のアクセス制御リスト変換システム。 - 前記読込部は、前記記憶部を参照し、読み込んだアクセス制御ルールが前記記憶部に記憶されたアクセス制御ルールに包含される場合、前記アクセス制御リストから新たなアクセス制御ルールを読み込むことを特徴とする請求項1乃至3のいずれか1項に記載のアクセス制御変換リストシステム。
- アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給され、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込部と、
読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定部と、
前記第1ルール判定部により禁止ルールと判定されたアクセス制御ルールを記憶する記憶部と、
前記許可ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶部に記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記許可ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定部と、
前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報を蓄積するデータベースと、
前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定部で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶部に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開部と、
を備えることを特徴とするアクセス制御リスト変換システム。 - 前記リソース展開部は、前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定部で判定されたアクセス制御ルールのアクセス対象リソースを、前記リソース情報を参照して、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開し、該同水準の下位概念にまで展開されたアクセス対象リソースから前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを除くことを特徴とする請求項5に記載のアクセス制御リスト変換システム。
- 前記記憶部は、
前記第1ルール判定部により禁止ルールと判定されたアクセス制御ルールを記憶する禁止ルール記憶部と、
前記第1ルール判定部で許可ルールと判定されたアクセス制御ルール、前記第2ルール判定部で前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及び前記リソース展開部で前記記憶部に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する許可ルール記憶部と、
を更に備え、
前記許可ルール記憶部が記憶したアクセス制御ルールを最終出力とする請求項5又は6に記載のアクセス制御リスト変換システム。 - 前記読込部は、前記記憶部を参照し、読み込んだアクセス制御ルールが前記記憶部に記憶されたアクセス制御ルールに包含される場合、前記アクセス制御リストから新たなアクセス制御ルールを読み込むことを特徴とする請求項5乃至7のいずれか1項に記載のアクセス制御リスト変換システム。
- 読込部は、アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給され、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込手順をし、
第1ルール判定部は、読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定手順をし、
記憶部は、前記第1ルール判定手順により許可ルールと判定されたアクセス制御ルールを記憶する記憶手順をし、
第2ルール判定部は、前記禁止ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶手順で記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記禁止ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶手順で記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定手順をし、
データベースは、前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報を蓄積し、
リソース展開部は、前記記憶手順で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定手順で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶手順で記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開手順をすることを特徴とするアクセス制御リスト変換方法。 - 前記リソース展開手順は、前記記憶手順で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定手順で判定されたアクセス制御ルールのアクセス対象リソースを、前記リソース情報を参照して、前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開し、該同水準の下位概念にまで展開されたアクセス対象リソースから前記記憶手順で記憶されたアクセス制御ルールのアクセス対象リソースを除くことを特徴とする請求項9に記載のアクセス制御リスト変換方法。
- 前記記憶手順は、
前記第1ルール判定手順で許可ルールと判定されたアクセス制御ルールを記憶する許可ルール記憶手順をし、
前記第1ルール判定手順で禁止ルールと判定されたアクセス制御ルール、前記第2ルール判定手順で前記記憶手順に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及び前記リソース展開手順で前記記憶手順に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する禁止ルール記憶手順をし、
前記禁止ルール記憶手順で記憶したアクセス制御ルールを最終出力とする請求項9又は10に記載のアクセス制御リスト変換方法。 - 前記読込手順は、前記記憶手順で記録されたアクセス制御ルールを参照し、読み込んだアクセス制御ルールが前記記憶手順で記憶されたアクセス制御ルールに包含される場合、前記アクセス制御リストから新たなアクセス制御ルールを読み込むことを特徴とする請求項9乃至11のいずれか1項に記載のアクセス制御リスト変換方法。
- 読込部は、アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給され、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込手順をし、
第1ルール判定部は、読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定手順と、
記憶部は、前記第1ルール判定手順により禁止ルールと判定されたアクセス制御ルールを記憶する記憶手順をし、
第2ルール判定部は、前記許可ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶手順で記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記許可ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶手順で記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定手順をし、
データベースは、前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報を蓄積し、
リソース展開部は、前記記憶手順で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定手順で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶手順で記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開手順をすることを特徴とするアクセス制御リスト変換方法。 - 前記リソース展開手順は、前記記憶手順で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定手順で判定されたアクセス制御ルールのアクセス対象リソースを、前記リソース情報を参照して、前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開し、該同水準の下位概念にまで展開されたアクセス対象リソースから前記記憶手順で記憶されたアクセス制御ルールのアクセス対象リソースを除くことを特徴とする請求項13に記載のアクセス制御リスト変換方法。
- 前記記憶手順は、
前記第1ルール判定手順で禁止ルールと判定されたアクセス制御ルールを記憶する禁止ルール記憶手順をし、
前記第1ルール判定手順で許可ルールと判定されたアクセス制御ルール、前記第2ルール判定手順で前記記憶手順に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及び前記リソース展開手順で前記記憶手順に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する許可ルール記憶手順をし、
前記許可ルール記憶手順で記憶したアクセス制御ルールを最終出力とする請求項13又は14に記載のアクセス制御リスト変換方法。 - 前記読込手順は、前記記憶手順で記録されたアクセス制御ルールを参照し、読み込んだアクセス制御ルールが前記記憶手順で記憶されたアクセス制御ルールに包含される場合、前記アクセス制御リストから新たなアクセス制御ルールを読み込むことを特徴とする請求項13乃至15のいずれか1項に記載のアクセス制御リスト変換方法。
- アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給される処理と、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込処理と、
読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定処理と、
前記第1ルール判定処理により許可ルールと判定されたアクセス制御ルールを記憶する記憶処理と、
前記禁止ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶処理で記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記禁止ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶処理で記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定処理と、
前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報をデータベースに蓄積する処理と、
前記記憶処理で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定処理で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶処理で記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開処理と、
をコンピュータに実行させることを特徴とするアクセス制御リスト変換プログラム。 - 前記リソース展開処理は、前記記憶処理で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定処理で判定されたアクセス制御ルールのアクセス対象リソースを、前記リソース情報を参照して、前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開し、該同水準の下位概念にまで展開されたアクセス対象リソースから前記記憶処理で記憶されたアクセス制御ルールのアクセス対象リソースを除くことを特徴とする請求項17に記載のアクセス制御リスト変換プログラム。
- 前記記憶処理は、
前記第1ルール判定処理で許可ルールと判定されたアクセス制御ルールを記憶する許可ルール記憶処理と、
前記第1ルール判定処理で禁止ルールと判定されたアクセス制御ルール、前記第2ルール判定処理で前記記憶処理に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及び前記リソース展開処理で前記記憶処理に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する禁止ルール記憶処理と、
を更にコンピュータに実行させ、
前記禁止ルール記憶処理で記憶したアクセス制御ルールを最終出力とする請求項17又は18に記載のアクセス制御リスト変換プログラム。 - 前記読込処理は、前記記憶処理で記録されたアクセス制御ルールを参照し、読み込んだアクセス制御ルールが前記記憶処理で記憶されたアクセス制御ルールに包含される場合、前記アクセス制御リストから新たなアクセス制御ルールを読み込むことを特徴とする請求項17乃至19のいずれか1項に記載のアクセス制御リスト変換プログラム。
- アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給される処理と、
前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込処理と、
読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定処理と、
前記第1ルール判定処理により禁止ルールと判定されたアクセス制御ルールを記憶する記憶処理と、
前記許可ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶処理で記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記許可ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶処理で記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定処理と、
前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報をデータベースに蓄積する処理と、
前記記憶処理で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定処理で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶処理で記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開処理と、
をコンピュータに実行させることを特徴とするアクセス制御リスト変換プログラム。 - 前記リソース展開処理は、前記記憶処理で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定処理で判定されたアクセス制御ルールのアクセス対象リソースを、前記リソース情報を参照して、前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開し、該同水準の下位概念にまで展開されたアクセス対象リソースから前記記憶処理で記憶されたアクセス制御ルールのアクセス対象リソースを除くことを特徴とする請求項21に記載のアクセス制御リスト変換プログラム。
- 前記記憶処理は、
前記第1ルール判定処理で禁止ルールと判定されたアクセス制御ルールを記憶する禁止ルール記憶処理と、
前記第1ルール判定処理で許可ルールと判定されたアクセス制御ルール、前記第2ルール判定処理で前記記憶処理に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及び前記リソース展開処理で前記記憶処理に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する許可ルール記憶処理と、
を更にコンピュータに実行させ、
前記許可ルール記憶処理で記憶したアクセス制御ルールを最終出力とする請求項21又は22に記載のアクセス制御リスト変換プログラム。 - 前記読込処理は、前記記憶処理で記録されたアクセス制御ルールを参照し、読み込んだアクセス制御ルールが前記記憶処理で記憶されたアクセス制御ルールに包含される場合、前記アクセス制御リストから新たなアクセス制御ルールを読み込むことを特徴とする請求項21乃至23のいずれか1項に記載のアクセス制御リスト変換プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011504862A JP5569815B2 (ja) | 2009-03-19 | 2010-03-17 | アクセス制御リスト変換システム、その方法及びそのプログラム |
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009068002 | 2009-03-19 | ||
JP2009068002 | 2009-03-19 | ||
PCT/JP2010/054526 WO2010107057A1 (ja) | 2009-03-19 | 2010-03-17 | アクセス制御リスト変換システム、その方法及びそのプログラム |
JP2011504862A JP5569815B2 (ja) | 2009-03-19 | 2010-03-17 | アクセス制御リスト変換システム、その方法及びそのプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2010107057A1 JPWO2010107057A1 (ja) | 2012-09-20 |
JP5569815B2 true JP5569815B2 (ja) | 2014-08-13 |
Family
ID=42739717
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011504862A Expired - Fee Related JP5569815B2 (ja) | 2009-03-19 | 2010-03-17 | アクセス制御リスト変換システム、その方法及びそのプログラム |
Country Status (6)
Country | Link |
---|---|
US (1) | US8613042B2 (ja) |
EP (1) | EP2410458A4 (ja) |
JP (1) | JP5569815B2 (ja) |
KR (1) | KR101310542B1 (ja) |
CN (1) | CN102349078A (ja) |
WO (1) | WO2010107057A1 (ja) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5170585B2 (ja) * | 2010-08-09 | 2013-03-27 | 横河電機株式会社 | プロビジョニング装置 |
US20130218733A1 (en) * | 2011-05-05 | 2013-08-22 | Carlo RAGO | Method and system for data management and monetization |
US8689285B1 (en) * | 2012-09-14 | 2014-04-01 | Siemens Product Lifecycle Management Software Inc. | Rule-based derived-group security data management |
US9081975B2 (en) * | 2012-10-22 | 2015-07-14 | Palantir Technologies, Inc. | Sharing information between nexuses that use different classification schemes for information access control |
JP6185723B2 (ja) * | 2013-02-07 | 2017-08-23 | キヤノン電子株式会社 | 情報処理装置、外部記憶媒体への書き込みまたは読み込みを制限する方法、プログラム及びシステム |
US10033644B2 (en) | 2013-02-12 | 2018-07-24 | Adara Networks, Inc. | Controlling congestion controlled flows |
CN103853986B (zh) * | 2014-01-03 | 2017-02-15 | 李凤华 | 一种访问控制方法和装置 |
US20160366183A1 (en) * | 2015-06-09 | 2016-12-15 | Ned M. Smith | System, Apparatus And Method For Access Control List Processing In A Constrained Environment |
US9912704B2 (en) | 2015-06-09 | 2018-03-06 | Intel Corporation | System, apparatus and method for access control list processing in a constrained environment |
US10095875B2 (en) * | 2015-08-28 | 2018-10-09 | Vmware, Inc. | Multi-level access control for distributed storage systems |
US10275160B2 (en) | 2015-12-21 | 2019-04-30 | Intel Corporation | Method and apparatus to enable individual non volatile memory express (NVME) input/output (IO) Queues on differing network addresses of an NVME controller |
US10200376B2 (en) * | 2016-08-24 | 2019-02-05 | Intel Corporation | Computer product, method, and system to dynamically provide discovery services for host nodes of target systems and storage resources in a network |
US10176116B2 (en) | 2016-09-28 | 2019-01-08 | Intel Corporation | Computer product, method, and system to provide discovery services to discover target storage resources and register a configuration of virtual target storage resources mapping to the target storage resources and an access control list of host nodes allowed to access the virtual target storage resources |
CN108322495B (zh) * | 2017-01-18 | 2021-07-06 | 阿里巴巴集团控股有限公司 | 资源访问请求的处理方法、装置和系统 |
CN110677455B (zh) * | 2019-08-20 | 2020-11-03 | 北京航空航天大学 | 基于分布式哈希的动态均衡账户映射方法 |
CN110765444A (zh) * | 2019-09-23 | 2020-02-07 | 云深互联(北京)科技有限公司 | 一种企业浏览器访问权限配置方法和装置 |
US11595385B2 (en) * | 2019-11-26 | 2023-02-28 | Twingate, Inc. | Secure controlled access to protected resources |
CN117278341A (zh) * | 2023-11-23 | 2023-12-22 | 成都卓拙科技有限公司 | Acl规则更新方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004303243A (ja) * | 2003-03-28 | 2004-10-28 | Hewlett-Packard Development Co Lp | 高信頼性コンピューティングシステムにおけるノードのセキュリティ属性 |
US20080126287A1 (en) * | 2006-11-03 | 2008-05-29 | Motorola, Inc. | Method for management of policy conflict in a policy continuum |
JP2008234263A (ja) * | 2007-03-20 | 2008-10-02 | Hitachi Software Eng Co Ltd | セキュアosのセキュリティポリシ追加設定方法及びシステム |
US20080313712A1 (en) * | 2007-06-15 | 2008-12-18 | Microsoft Corporation | Transformation of sequential access control lists utilizing certificates |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11313102A (ja) | 1998-02-27 | 1999-11-09 | Fujitsu Ltd | アクセス制御リスト生成方法及びその装置 |
US7925693B2 (en) * | 2000-01-24 | 2011-04-12 | Microsoft Corporation | NAT access control with IPSec |
JP4545430B2 (ja) | 2003-12-19 | 2010-09-15 | 株式会社エヌ・ティ・ティ・データ | アクセス権の矛盾・冗長ルール検出を行うアクセス制御システム及びそのコンピュータプログラム |
US7716291B2 (en) * | 2004-02-03 | 2010-05-11 | Joel Thorson | Method and apparatus for a message targeting and filtering database system |
US8955032B2 (en) * | 2005-08-20 | 2015-02-10 | Riverbed Technology, Inc. | Assessing network and device compliance with security policies |
JP2007087232A (ja) | 2005-09-26 | 2007-04-05 | Hitachi Ltd | システム構成変更によるポリシ修正を容易にするポリシ作成方法、及びポリシ管理方法 |
JP4843325B2 (ja) * | 2006-02-06 | 2011-12-21 | 株式会社リコー | 文書アクセス制御システム |
JP2007316952A (ja) | 2006-05-25 | 2007-12-06 | Canon Inc | 情報処理装置及びその装置におけるデータ管理方法 |
US8321667B2 (en) * | 2007-02-28 | 2012-11-27 | Microsoft Corporation | Security model for common multiplexed transactional logs |
JP2008219419A (ja) | 2007-03-02 | 2008-09-18 | Nec Corp | アクセス制御設定支援システム |
US8359467B2 (en) * | 2007-07-07 | 2013-01-22 | Hewlett-Packard Development Company, L.P. | Access control system and method |
CN101784583B (zh) | 2007-08-22 | 2013-05-08 | 索尼化学&信息部件株式会社 | 新型聚酰亚胺树脂和感光性聚酰亚胺树脂组合物 |
-
2010
- 2010-03-17 KR KR1020117021294A patent/KR101310542B1/ko not_active IP Right Cessation
- 2010-03-17 US US13/255,150 patent/US8613042B2/en not_active Expired - Fee Related
- 2010-03-17 CN CN2010800114549A patent/CN102349078A/zh active Pending
- 2010-03-17 EP EP10753549.4A patent/EP2410458A4/en not_active Withdrawn
- 2010-03-17 JP JP2011504862A patent/JP5569815B2/ja not_active Expired - Fee Related
- 2010-03-17 WO PCT/JP2010/054526 patent/WO2010107057A1/ja active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004303243A (ja) * | 2003-03-28 | 2004-10-28 | Hewlett-Packard Development Co Lp | 高信頼性コンピューティングシステムにおけるノードのセキュリティ属性 |
US20080126287A1 (en) * | 2006-11-03 | 2008-05-29 | Motorola, Inc. | Method for management of policy conflict in a policy continuum |
JP2008234263A (ja) * | 2007-03-20 | 2008-10-02 | Hitachi Software Eng Co Ltd | セキュアosのセキュリティポリシ追加設定方法及びシステム |
US20080313712A1 (en) * | 2007-06-15 | 2008-12-18 | Microsoft Corporation | Transformation of sequential access control lists utilizing certificates |
Also Published As
Publication number | Publication date |
---|---|
US8613042B2 (en) | 2013-12-17 |
KR20110114724A (ko) | 2011-10-19 |
KR101310542B1 (ko) | 2013-10-24 |
EP2410458A1 (en) | 2012-01-25 |
WO2010107057A1 (ja) | 2010-09-23 |
US20110321123A1 (en) | 2011-12-29 |
EP2410458A4 (en) | 2014-11-12 |
JPWO2010107057A1 (ja) | 2012-09-20 |
CN102349078A (zh) | 2012-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5569815B2 (ja) | アクセス制御リスト変換システム、その方法及びそのプログラム | |
US11768810B2 (en) | Flexible permission management framework for cloud attached file systems | |
US11436163B2 (en) | System and method for logical deletion of stored data objects | |
US8595256B2 (en) | Policy generation and conversion system, policy distribution system, and method and program therefor | |
JP4882671B2 (ja) | アクセス制御方法及びアクセス制御システム並びにプログラム | |
JP4400059B2 (ja) | ポリシー設定支援ツール | |
JP3956149B2 (ja) | リソース・コンテンツのアクセス制御方法、システム、およびプログラム | |
US7574745B2 (en) | Information processing apparatus, information processing method, computer-readable medium having information processing program embodied therein, and resource management apparatus | |
US8533242B2 (en) | File management method in web storage system | |
JPH05151049A (ja) | 文書処理方法及び装置 | |
US8533170B1 (en) | System and method for determining the latest version of a stored data object | |
CN102859530A (zh) | 访问控制装置以及存储介质 | |
JP2013114475A (ja) | 情報管理システムおよび情報管理方法 | |
KR20120002344A (ko) | 파일 동기화 방법 및 장치 | |
KR101672962B1 (ko) | 적응형 단말기 소프트웨어 관리 시스템 및 이에 의한 단말기 소프트웨어 관리 방법 | |
CN102932468A (zh) | 共享数据访问方法 | |
JP2007233635A (ja) | 情報管理システム及び情報管理方法、並びにコンピュータ・プログラム | |
CN111865937B (zh) | 一种用于数据库集群权限冲突检测和消解的系统及方法 | |
CN114861198B (zh) | 一种访问页面的权限控制方法、设备及介质 | |
US11868494B1 (en) | Synchronization of access management tags between databases | |
JP2009053771A (ja) | 電子文書管理サーバ | |
JP5332656B2 (ja) | 文書管理システム、その方法及びそのプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140304 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140507 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140530 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140612 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5569815 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |