JP5569815B2 - アクセス制御リスト変換システム、その方法及びそのプログラム - Google Patents

アクセス制御リスト変換システム、その方法及びそのプログラム Download PDF

Info

Publication number
JP5569815B2
JP5569815B2 JP2011504862A JP2011504862A JP5569815B2 JP 5569815 B2 JP5569815 B2 JP 5569815B2 JP 2011504862 A JP2011504862 A JP 2011504862A JP 2011504862 A JP2011504862 A JP 2011504862A JP 5569815 B2 JP5569815 B2 JP 5569815B2
Authority
JP
Japan
Prior art keywords
access
rule
access control
target resource
control rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011504862A
Other languages
English (en)
Other versions
JPWO2010107057A1 (ja
Inventor
尊之 石川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011504862A priority Critical patent/JP5569815B2/ja
Publication of JPWO2010107057A1 publication Critical patent/JPWO2010107057A1/ja
Application granted granted Critical
Publication of JP5569815B2 publication Critical patent/JP5569815B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Description

本発明は、記述順序に制約のないアクセス制御リストを生成するアクセス制御リスト変換システム、その方法及びそのプログラムに関する。
アクセス制御リストとして表現されるポリシーの配付に関して、複数の制御対象マシンに対して1つの統合アクセス制御サーバで、アクセス制御を実施する例が多く見られるようになってきている。
従って、ポリシーの変更に伴うアクセス制御リストの修正が求められており、アクセス制御リストのメンテナンス性の向上が望まれている。
ここでいうアクセス制御リストは、アクセスの対象であるアクセス対象リソースと、このアクセス対象リソースにアクセスするアクセス主体ユーザと、アクセス対象リソースへのアクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するように構成されていることが一般的である。
アクセス制御リストによってアクセス制御を実施するアクセス制御機構では、アクセス制御リストに記述されるアクセス制御ルールの記述順序により、そのアクセス制御リストの解釈が異なる。そのため、アクセス制御ルールそれぞれの内容が同一であっても、その記述順序によってアクセス制御リスト全体としての制御内容が異なることから、アクセス制御機構において、アクセス制御リストを変更した者の意図通りに解釈される保証がない。
又、アクセス制御機構の解釈特性に合わせて同一のアクセス制御内容のアクセス制御リストを、アクセス制御機構ごとに作成する必要があるなど、メンテナンス性が低い。
特許文献1には、識別記号を自動的に付与し、付与した識別記号に基づいて、所定の式により自動的にACLから矛盾ルールの検出及び矛盾部分の抽出並びに冗長ルールの検出ができる発明が開示されている。
特開2005−182478号公報
しかしながら、特許文献1に開示された発明は、ACL中の任意の2つのルールが矛盾しないようにチェックすることは可能であるが、アクセス制御ポリシー変更時のアクセス制御リストの修正コストが膨大であるという問題がある。
その理由は、アクセス制御リストでは、アクセス制御ルールの記述順序に意味があり、記述順序によってアクセス制御機構の解釈が異なるため、アクセス制御リストの変更はアクセス制御ルールの追加や削除による変更だけではなく、その記述順序を考慮せねばならないためである。
一般的にアクセス制御リストは、アクセス主体ユーザ、アクセス対象リソースと許可又は禁止のアクセス権を組とするアクセス制御ルールとした、複数のルールから構成される。ルール間で制御内容が相反する場合、一般的なアクセス制御機構では、その記述順序によりこのアクセス制御リストの解釈が異なる。アクセス制御リスト内のルールそれぞれの制御内容が同一であっても、その記述順序によってアクセス制御リスト全体としての制御内容が異なるため、アクセス制御機構において、かならずしも変更者の意図どおりに解釈される保証がなかった。
例えば、「(ルール1)任意のユーザは/etcディレクトリ配下のファイルを読み書きしてはならない。」と記述されたアクセス制御リストに対して、ユーザyamadaに特権を与えるために、「(ルール2)ユーザyamadaは/etc/passwdファイルを変更してよい。」というルール2を、ルール1の後に追記した場合、アクセス制御機構はユーザyamadaによる/etc/passwdの変更を禁止する。これは、該アクセス制御機構が先に合致する条件を優先的に処理するという解釈特性を持つために、当該アクセス要求に対して、ルール1が先に合致するためである。上記特権を正しく反映するには、少なくともルール2をルール1よりも先に記述しなければならない。
このように、アクセス制御ルールの記述順序によりアクセス制御機構の振舞いが変わるという特性は、アクセス制御リストの適切な変更だけでなく、現在のアクセス制御リストの下でどのユーザがどのリソースにアクセスできるか、又はできないかを検証することも困難にする。
こうしたアクセス制御リストの変更に伴う課題は、アクセス制御リスト内のルール数が増えるにつれ、より深刻なものとなり、アクセス権設定不備の要因の1つであった。
第2の問題点は、アクセス制御機構ごとにアクセス制御リストの生成の必要性があるということである。
その理由は、複数の様々なアクセス制御機構によってアクセス制御を実施する場合には、同一内容のアクセス制御内容のアクセス制御ポリシーを、アクセス制御リストの上位に記述された順にアクセス制御ルールから処理する特性や、任意の順に処理する特性など異なる特性をもつアクセス制御機構ごとに生成する必要があり、複数の様々なアクセス制御対象マシンの存在する現在では、アクセス制御のポリシーを新規に策定する場合や、変更する場合に、アクセス制御機構の特性ごとにアクセス制御リストを生成又は修正せねばならないからである。
そこで、本発明の典型的(exemplary)な目的は、記述順序に制約のないアクセス制御リストを生成するアクセス制御リスト変換システム、その方法及びそのプログラムを提供することを目的とする。
本発明による典型的(exemplary)な第1の観点(aspect)によれば、アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給され、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込部と、読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定部と、前記第1ルール判定部により許可ルールと判定されたアクセス制御ルールを記憶する記憶部と、前記禁止ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶部に記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記禁止ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定部と、前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報を蓄積するデータベースと、前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定部で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶部に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開部と、を備えることを特徴とするアクセス制御リスト変換システムが提供される。
また、本発明による典型的(exemplary)な第1の観点(aspect)によれば、読込部は、アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給され、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込手順をし第1ルール判定部は、読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定手順をし、記憶部は、前記第1ルール判定手順により許可ルールと判定されたアクセス制御ルールを記憶する記憶手順をし、第2ルール判定部は、前記禁止ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶手順で記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記禁止ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶手順で記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定手順をし、データベースは、前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報を蓄積し、リソース展開部は、前記記憶手順で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定手順で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶手順で記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開手順をすることを特徴とするアクセス制御リスト変換方法が提供される。
更に、本発明による典型的(exemplary)な第1の観点(aspect)によれば、アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給される処理と、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込処理と、読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定処理と、前記第1ルール判定処理により許可ルールと判定されたアクセス制御ルールを記憶する記憶処理と、前記禁止ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶処理で記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記禁止ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶処理で記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定処理と、前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報をデータベースに蓄積する処理と、前記記憶処理で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定処理で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶処理で記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開処理と、をコンピュータに実行させることを特徴とするアクセス制御リスト変換プログラムが提供される。
本発明の典型的なアクセス制御リストを生成するアクセス制御リスト変換システム、その方法及びそのプログラムによれば、既出の許可ルールと包含関係を有する新たな禁止ルールから、既出の許可ルールに含まれるアクセス対象リソースを除去することにより、記述順序に制約のないアクセス制御リストを生成するアクセス制御リスト変換システム、その方法及びそのプログラムを提供することができる。
本発明の第1の実施の形態によるアクセス制御リスト生成・変換システムの構成例を示すブロック図である。 本発明の第1の実施の形態によるアクセス制御リスト生成・変換アルゴリズムのフローチャートである。 本発明の第2の実施の形態によるアクセス制御リストの差分配信システムの構成例を示すブロック図である。 本発明の第3の実施の形態によるアクセス制御リストの差分配信一貫性保証システムの構成例を示すブロック図である。 本発明の第5の実施の形態によるアクセス制御リストの生成・変換・配信システムを示すブロック図である。 一般的な上位優先のアクセス制御リストである。 アクセス対象リソースの構成図である。 変換済のアクセス制御ルールの記述順序制約のないアクセス制御リストである。 ポリシーの配信・設定プロトコルである SOAPによるポリシー設定準備問い合わせメッセージである。 SOAPによるポリシーの設定指示メッセージである。 本発明の第4の実施の形態によるアクセス制御リスト参照型アクセス制御リスト生成・変換システムの構成例を示すブロック図である。 本発明の第6の実施の形態によるアクセス制御リスト参照型差分配信システムを示すブロック図である。 ポリシー変更後のアクセス制御リストである。 差分配信の追加アクセス制御リストである。 差分配信の削除アクセス制御リストである。 SOAPによるACL列挙要求メッセージである。 SOAPによるACL取得要求メッセージである。
次に、発明を実施するための最良の形態について図面を参照して詳細に説明する。
[第1の実施の形態]
第1図は、本発明の第1の実施の形態によるアクセス制御リスト生成・変換システムの構成例を示すブロック図である。
図1を参照すると、本発明の第1の実施の形態は、ACL変換部101と、リソースDB102とから構成される。
リソースDB102は、アクセス制御リスト(ACL)によって制御される対象となるリソースの最新の全情報を、その上位概念から下位概念まで体系的に記憶している。
本記述において、アクセス制御リストとは、アクセスの対象であるアクセス対象リソースと、このアクセス対象リソースにアクセスするアクセス主体ユーザと、アクセス対象リソースへのアクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するように構成されている。ここで「アクセス主体ユーザ」とは、例えば「yamada」のようにアクセスするユーザを特定できる情報であって、ユーザ識別のための名称、又はユーザ識別のための符号であってもよい。
アクセス対象リソースは、集合又は要素として表現され、*は直下を表現する集合記法であり、**は配下すべてを表現する集合記法である。
ACL変換部101は、既出ルール判定部11と、第1ルール判定部12と、第2ルール判定部13と、リソース展開部14と、一時記憶部15と、から構成される。
一時記憶部15は、アクセス対象リソースにアクセス主体ユーザのアクセスを許可する許可ルールを記憶する許可ルール記憶部16と、アクセス対象リソースにアクセス主体ユーザのアクセスを禁止する禁止ルールを記憶する禁止ルール記憶部17と、を有する記憶部である。
既出ルール判定部11は、アクセス制御リストに記述された順にアクセス制御ルールを1つずつ読み込む読込部であって、一時記憶部15を参照し、読み込んだ新アクセス制御ルールが、アクセス制御リスト内で当該ルールより上部にて既出のルールのアクセス制御に含まれているか否かを判定し、該新ルールが既出ルールのアクセス制御内容に含まれる場合、すなわち、読み込んだアクセス制御ルールが一時記憶部15に記憶されたアクセス制御ルールである場合、アクセス制御リストから新たなアクセス制御ルールを読み込む。
第1ルール判定部12は、該新ルールが既出ルールのアクセス制御内容に含まれない場合に、該ルールが許可ルールか禁止ルールかを判定し、該新ルールが、許可ルールであった場合は、許可ルール記憶部16に記憶し、既出ルール判定部11に戻る。
第2ルール判定部13は、該新ルールが、禁止ルールであった場合に、一時記憶部15を参照し、許可ルール記憶部16に記憶されたルールにアクセス主体ユーザが該ルールと同一で、かつアクセス対象リソースが該ルールのアクセス対象リソースに含まれているか否か、すなわちこのルールが許可ルール記憶部16に記憶されたルールと相反するか否かを判定する。
相反しない場合、すなわち、一時記憶部15に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、一時記憶部15に記憶されたアクセス制御ルールのアクセス対象リソースを包含していない場合は、該ルールを禁止ルール記憶部17に記憶し、既出ルール判定部11に戻る。
リソース展開部14は、許可ルール記憶部16に記憶されたルールと相反するルールのアクセス対象リソースを、許可ルール記憶部16に記憶されたルールのアクセス対象リソースと同水準の下位概念まで、リソースDB102を利用して抽出・展開し、ルール間でアクセス対象リソースが重ならない下位概念のアクセス対象リソースでアクセス制御ルールを書き換え、禁止ルール記憶部17に記憶し、該ルールがアクセス制御リストの最終ルールでない場合は、既出ルール判定部11に戻る
[第1の実施の形態の動作]
次に、図1及び図2を参照して本実施の形態の動作について詳細に説明する。ここで、図2は、本発明の第1の実施の形態によるアクセス制御リスト生成・変換アルゴリズムのフローチャートである。
入力されたアクセス制御リストは、図1中の既出ルール判定部11に供給される。既出ルール判定部11は、入力されたアクセス制御リストに記述された順にアクセス制御ルールを1行ごとに読み込む。更に、一時記憶部15にて記憶されているルールを参照し、読み込んだ行のルールが、入力されたアクセス制御リスト内で、そのルールより上部に存在する既出のアクセス制御ルールに包含されているか否かを判定する(図2のステップA1及びA2)。
読み込んだ行のルールが一時記憶部15で記憶されているものに包含されていない場合は、そのルールは第1ルール判定部12に供給される。そのルールが既に一時記憶部15で記憶されているルールに包含されている場合は、入力されたアクセス制御リストの次の1行をアクセス制御ルールとして読み込み、アクセス制御リストの終端に到達するまで同処理を再度実施する。
ここで、あるルールが包含されるとは、あるルールと包含ルールのアクセス主体及び許可又は禁止のアクセス権が同一であり、あるルールのアクセス対象リソースが包含ルールのアクセス対象リソースの部分集合である場合を指す。従って、前述の「上部に存在する既出のアクセス制御ルール」とは、包含ルールであることを意味する。それはすなわち、あるルールとアクセス主体及び許可又は禁止のアクセス権が同一であり、アクセス対象リソースが、あるルールのそれを含んだより大きな集合、すなわち上位概念に相当するものであって、既に一時記憶部15に記憶されているものである。
図1中の第1ルール判定部12は、読み込んだ行のルールが許可ルールであるか否かを判定する(図2のステップA3)。読み込んだ行のルールが許可ルールでない場合、つまり禁止ルールである場合は、そのルールは第2ルール判定部13に供給される。読み込んだ行のルールが許可ルールである場合は、そのルールを許可ルール記憶部16に記憶する(図2のステップA5)。
図1中の第2ルール判定部13は、一時記憶部15を参照し、読み込んだ行のルールに記述されているアクセス主体ユーザが許可ルール記憶部16に記憶される許可ルールのアクセス主体ユーザと等しく、かつそのルールに記述されているアクセス対象リソースが、許可ルール記憶部16に記憶される許可ルールに記述されたアクセス対象リソースを包含しているか否かを判定する(図2のステップA4)。包含していない場合は、読み込んだ行のルールをそのまま禁止ルール記憶部17に記憶する。包含している場合は、該ルールはリソース展開部14に供給される。
図1中のリソース展開部14は、読み込んだ行のルールに記述されているアクセス対象リソースを、そのルールが包含する許可ルール記憶部16に記憶されている許可ルールに記述されているアクセス対象リソースの集合又は要素を表現できる深度まで、すなわち、許可ルール記憶部16に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開する(図2のステップA6)。ここで、リソースの深度が同じとは、リソースの表現階層が同等であり、互いが互いの部分集合とはなっていないことを指す。
許可ルールに記述されたリソースと同じ深度まで展開されたルールのリソースは、許可ルールに記述されたリソースを除き、禁止ルール記憶部17に記憶される(図2のステップA7及びA8)。
最終出力としては、禁止ルール記憶部17に記憶されたルール群がアクセス制御リストとして出力される。
本実施形態では、ブラックリスト形式の記述順序制約のないアクセス制御リストへの変換手法だが、許可と禁止を入れ替えることで許可ルールを列挙するホワイトリスト形式の記述順序制約のないアクセス制御リストへの変換も可能である。
ブラックリスト形式は、生成されるアクセス制御リストのデフォルトのアクセス制御条件が、記述されないリソースに対してはアクセスが許可されるものを指し、ホワイトリスト形式は、記述されないリソースに対してはアクセスを禁止されるものを指す。
ホワイトリスト形式での出力では、第2ルール判定部13は、第1ルール判定部12で許可ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、一時記憶部15に記憶された禁止ルールであるアクセス制御ルールのアクセス主体ユーザと同一で、かつ許可ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、一時記憶部15に記憶された禁止ルールであるアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する。
又、一時記憶部15は、第1ルール判定部12により禁止ルールと判定されたアクセス制御ルールを記憶する禁止ルール記憶部17と、第1ルール判定部12で許可ルールと判定されたアクセス制御ルール、第2ルール判定部13で一時記憶部15に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、一時記憶部15記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及びリソース展開部14で一時記憶部15に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する許可ルール記憶部と、をホワイトリスト形式での出力では備える。
[第2の実施の形態]
次に、本発明の他の実施の形態であるアクセス制御リストの差分配信システムについて図面を参照して詳細に説明する。
本実施の形態では、アクセス制御リスト(ACL)を統合的に管理し、更新されたポリシーに対してアクセス制御リストを更新し、各制御対象マシンに更新前と更新後とのアクセス制御リストの差分を配信する。
図3を参照すると、本実施の形態は、統合アクセス制御サーバ100と、制御対象マシン200と、から構成される。ここで、図3は、本発明の第2の実施の形態によるアクセス制御リストの差分配信システムの構成例を示すブロック図である。
統合アクセス制御サーバ100は、ポリシー DB106と、リソース DB102と、ACL DB107と、ACL生成部103と、ACL変換部101と、差分抽出部104と、配信部105とを有する。ポリシー DB106にはアクセス制御情報を記したポリシーが蓄積されており、ACL DB107には過去に生成・配信したACLが蓄積されている。
制御対象マシン200は、設定部201と、マージ部202と、受信部203とを有する。
統合アクセス制御サーバ100では、更新した配信対象のアクセス制御情報であるポリシーをポリシー DB106よりACL生成部103に供給する。供給されたポリシーから、ACL生成部103によって、ポリシー内でアクセス制御を実施されるユーザをアクセス主体ユーザとして、ポリシー内でアクセス制御されるリソースをアクセス対処リソースとして、ポリシー内でユーザに対して付与されるアクセス権を許可又は禁止のアクセス権として記述し、(アクセス主体ユーザ、アクセス対象リソース、許可又は禁止のアクセス権)で表現されるアクセス制御ルールを優先度の高い順に上位に記述されたACLが生成される。
生成されたACLは、ACL変換部101に供給され、リソースDB102のリソース情報を用いて記述順序制約のないACLに変換される。リソースDB102とACL変換部101による記述順序制約のないACLの生成手順は、図1の第1の実施の形態と同一処理である。
差分抽出部104は、ACL変換部101によって変換された順序制約のないACLと、ACL DB107に蓄積されている該ACLの更新前のACLとの、それぞれに記述された同一のアクセス主体ユーザが含まれるアクセス制御ルールを1つずつアクセス対象リソースと許可又は禁止のアクセス権に関して文字列比較し、更新前のACLに記述されているが新規に変換済のACLに記述されていないアクセス制御ルール又は、更新前のACLに記述されていないが新規に変換済のACLには記述されているアクセス制御ルールを、差分情報として抽出する。
この差分情報は、更新前のACLに対して新規に変換済のACLにおいて追加又は削除されたアクセス制御ルールの集合からのみ成り、記述順序情報は含まれない。抽出された差分情報は、配信部105に供給され、制御対象マシン200へと配信される。
制御対象マシン200では、受信部203によって、統合アクセス制御サーバ100の配信部105によって配信された差分情報を受信し、受信した差分情報をマージ部202に供給する。マージ部202は、差分情報に基づき、現在適用されている更新前のアクセス制御リストに対して、追加されたアクセス制御ルールを追記し、削除されたアクセス制御ルールを削除することによって更新後のアクセス制御リストを得る。マージされたアクセス制御リストは設定部201に供給され、設定部201によって、制御対象マシンに適用される。
本実施の形態では、差分情報としてアクセス制御ルールの追加情報と削除情報のみを配信することで更新後のアクセス制御リストを生成することが可能である。更新に必要な情報に順序制約を含まないため、統合アクセス制御サーバと制御対象マシン間の通信量を削減できる。又、記述順序を考慮したアクセス制御リストの再構築を行う必要がないため、アクセス制御リストの更新に使用される制御対象マシンのリソースの使用量を抑えられる。
[第3の実施の形態]
次に、本発明の他の実施の形態であるアクセス制御リストの一貫性保証差分配信システムについて図面を参照して詳細に説明する。
本実施の形態では、アクセス制御リストの差分配信における一貫性を保証する例を示す。ここで、図4は、本発明の第3の実施の形態によるアクセス制御リストの差分配信一貫性保証システムの構成例を示すブロック図である。
図4を参照すると、本実施の形態では、第2の実施の形態場合に比して、統合アクセス制御サーバ100’が署名部108と、制御対象マシン200’が署名検証部204を更に備える。
統合アクセス制御サーバ100’の差分抽出部104によって抽出された差分情報は、署名部108に供給される。署名部108では、供給された差分情報に対して統合アクセス制御サーバ100’に格納された正規の統合アクセス制御サーバを示す秘密鍵でRSA署名方式など所定の署名方式によりデジタル署名を付加する。
署名の付加されたアクセス制御リストの差分情報は、配信部105を用いて制御対象マシン200’に配信される。
制御対象マシン200’では、受信部203によって受信された署名の付与された差分情報は、マージ部202に供給される。マージ部202は、供給される差分情報に付加された署名を署名検証部204によって、制御対象マシンに格納された正規の統合アクセス制御サーバの発行している公開鍵によって検証する。
差分情報の正当性が保証された場合には、マージ部202は、現在適用されている更新前のアクセス制御リストに対して、追加されたアクセス制御ルールを追記し、削除されたアクセス制御ルールを削除する。マージされたアクセス制御リストは設定部201によって、制御対象マシンに適用される。
本実施の形態では、アクセス制御ルールの記述順序の制約が存在しないため、アクセス制御ルールの集合情報である差分情報の正当性が保証されれば、更新前のアクセス制御リストに差分情報をマージして得られる更新後のアクセス制御リストの正当性が保証される。
[第4の実施の形態]
次に、本発明の他の実施の形態である統合アクセス制御サーバではアクセス制御リストの元となるポリシーのみを保持することでアクセス制御を実施するシステムについて図面を参照して詳細に説明する。
本実施の形態では、統合アクセス制御サーバは、共通となるポリシーのみを管理し、各制御対象マシン上のアクセス制御機構が必要とするアクセス制御リストを保持することなくアクセス制御を実施する例を示す。ここで、図12は、本発明の第4の実施の形態によるアクセス制御リスト参照型アクセス制御リスト生成・変換システムの構成例を示すブロック図である。
図12を参照すると、本実施の形態では、統合アクセス制御サーバ100’’ではACL DB107が不要となりACL問合せ部109及びこのACL問合せ部との情報伝達部を持つ差分抽出部104’を備える。制御対象マシン200’’は、ACL制御部205及びACL DB206を更に備える。
統合アクセス制御サーバ100’’のACL変換部101によって得られたACLに対し、差分抽出部104’は、制御対象マシン200’’に設定されているACLとの差分情報を得るためにACL問合せ部109を用いて制御対象マシン200’’に対して現在設定されているACLを問い合わせることができる。
ACL問合せ部109は、制御対象マシン200’’のACL制御部205に対して現在設定されているACLや配信済みのACLを問合せ、ACL制御部205はACL DB204に蓄積された情報を元に応答する。ACL問合せ部109によってACL制御部205から得られる情報は、現在設定されているACLそのものに加え、ACLのIDやリビジョン、そのACLが設定された時刻や配信された時刻などそのACLのメタ情報も取得できる。
メタ情報をやりとりすることによりACLそのものを伝達するよりも伝達コストを削減することが可能となる。例えば、メタ情報の中にはACLのハッシュ値も含まれ、順序制約のないACLをある規則に従って並べ替えたハッシュ値をやりとりすることによって、ACL変換部によって得られたACLと現在設定されているACLとに差異があるか否かを知ることが可能となり、差分抽出コストを削減することが出来る。
本実施の形態では、制御対象マシンそれぞれのACLを統合アクセス制御サーバで保持する必要がなくなり、共通となるアクセス制御を実施するためのポリシーのみを管理すればよく、統合アクセス制御サーバの管理・運用コストを削減できる。又、制御対象マシンで設定されている情報などアクセス制御機構がアクセス制御に必要としている情報を利用することでリアルタイムなアクセス制御情報を統合アクセス制御サーバで閲覧・利用することができる。
[第5の実施の形態]
以下、より具体的な実施の形態について図面を参照して詳細に説明する。ここで、図5は、本発明の第5の実施の形態によるアクセス制御リストの生成・変換・配信システムを示すブロック図である。
本実施の形態では、アクセス制御リスト(ACL)を統合的に管理し、策定されたポリシーからアクセス制御リストを生成し、各制御対象マシンにアクセス制御リストを配信・設定する。図5を参照すると、本実施の形態は、統合アクセス制御サーバ100と、複数のn台の制御対象マシン200−nから構成される。
統合アクセス制御サーバ100は、ポリシー DB106と、リソース DB102と、ACL生成部103と、ACL変換部101と、配信部105とを備え、制御対象マシン200−nは、設定部201と受信部203とを備える。
統合アクセス制御サーバ100では、策定されたポリシーを蓄積しているポリシー DB106より、配信対象のポリシーをACL生成部103に供給しACLを得る。
例えば、策定されたポリシーは、経理部のyamadaは、Webサーバの共用の/var/samba/pub/以下と経理部専用の/var/samba/keiri/以下は読み書きしてよいが、それ以外の/var/samba/以下は読み書き実行してはならないというものであり、それに対しACL生成部103で、それぞれのアクセス制御ルールではポリシーで記述されている経理部のyamadaのアクセス主体がyamadaとして記述され、アクセス対象リソースとしてそれぞれ/var/samba/pub/、/var/samba/keiri/、/var/samba/**が記述され、それぞれのアクセス対象リソースに対してのアクセス権が、書き込み許可の場合はwrite+、禁止の場合はwrite-というように、許可を+、禁止を−と表現して、書き込み、読み込み、実行のアクセス権に関して記述されることによってアクセス制御ルールが記述され、ポリシー内で上位に記述され優先度の高い順に、ACL内でもアクセス制御ルールが優先度の高い順に記述され、ACLは図6のように生成される。ACL内でのアクセス対象リストの*と**の表記に関しては、*はディレクトリ直下を指し、**はディレクトリ配下全てを指す。
そして、前述のACLをACL変換部101に入力する。ACL変換部101は、制御対象マシンのリソース情報が蓄積されたリソース DB102を参照しながら、前述のACLをアクセス制御ルールの記述順序に依存しないACLに、変換、出力する。前述のACLに対して、リソース DB102に蓄積されている制御対象マシンの全リソース情報を図7としたときの変換手順を図1及び図2を参照しながら具体的に説明する。
まず図6のACLのアクセス制御ルールを1行読み込み(図2のステップA1)、既出ルール判定部11にて一時記憶部15に記憶されたルールに該ルールが包含されていないので(図2のステップA2)、該ルールは第1ルール判定部12に供給され許可ルールであるか否か判定される(図2のステップA3)。許可ルールであるyamada:/var/samba/pub:read+、yamada:/var/samba/pub:wirte+は許可ルール記憶部16に記憶され(図2のステップA5)、禁止ルールであるyamada:/var/samba/pub:execute-は第2ルール判定部13に供給される。
第2ルール判定部13では、供給された該ルールが許可ルール記憶部16に記憶された許可ルールとアクセス主体ユーザが同一で、かつ該ルールのアクセス対象リソースが許可ルール記憶部16に記憶された許可ルールに記述されたアクセス対象リソースを含んでいない、つまり相反していないので、該ルールは禁止ルール記憶部17に記憶される(図2のステップA4及びA8)。
そして該ルールが最終ルールか否かの判定(図2のステップA9)において、入力ACLは最終行に達していないので次の2行目のアクセス制御ルールを読み込み(図2のステップA1)、既出ルール判定部11にて一時記憶部15に記憶されたルールに該ルールが包含されていないので(図2のステップA2)、該ルールは第1ルール判定部12に供給され許可ルールであるか否か判定される(図2のステップA3)。
許可ルールであるyamada:/var/samba/keiri:read+、yamada:/var/samba/keiri:wirte+は許可ルール記憶部16に記憶され(図2のステップA5)、禁止ルールであるyamada:/var/samba/keiri:execute-は第2ルール判定部13に供給される。
第2ルール判定部13では、供給された該ルールが許可ルール記憶部16に記憶された許可ルールと相反さないので禁止ルール記憶部17に記憶される図2のステップA4及びA8)。そして該ルールが最終ルールか否かの判定(図2のステップA9)において、入力ACLは最終行に達していないので次の3行目のアクセス制御ルールを読み込み(図2のステップA1)、既出ルール判定部11にて一時記憶部15に記憶されたルールに該ルールが包含されていないので(図2のステップA2)、該ルールは第1ルール判定部12に供給され許可ルールであるか否か判定され、禁止ルールであるので第2ルール判定部13に供給される(図2のステップA3)。
第2ルール判定部13では、供給されたyamada:/var/samba/**:execute-は許可ルール記憶部16に記憶された許可ルールと相反さないので禁止ルール記憶部17に記憶され(図2のステップA4及びA8)、yamada:/var/samba/**:read-及びyamada:/var/samba/**:write-は、許可ルール記憶部16に記憶されたyamada:/var/samba/pub:read+、yamada:/var/samba/pub:wirte+, yamada:/var/samba/keiri:read+、yamada:/var/samba/keiri:wirte+と相反するのでリソース展開部14に供給される。
リソース展開部14では、yamada:/var/samba/**:read-が供給されるとリソース DB106を参照し、/var/samba/以下にpub、keiri、soumuが存在することを認識し、許可ルール記憶部16に記憶されているyamada:/var/samba/pub:read+、yamada:/var/samba/keiri:read+と同じ階層のリソース情報を表現できるように展開し(図2のステップA6)、yamada:/var/samaba/pub:read-、yamada:/var/samba/keiri:read-、yamada:/var/samba/soumu:read-、yamada:/var/samba/*:read-を得、許可ルール記憶部16に記憶されているアクセス対象リソースである/var/samba/pub及び/var/samba/keiriを除いたyamada:/var/samba/soumu:read-及びyamada:/var/samba/*:read-を禁止ルール記憶部17に記憶し(図2のステップA7及びA8)、供給されたyamada:/var/samba/**:wirte-に関しても同様の処理にてyamada:/var/samba/soumu:wirte-及びyamada:/var/samba/*:wirte-を禁止ルール記憶部17に記憶する(図2のステップA4、A6、A7及びA8)。
そして入力ACLは最終行に達したので禁止ルール記憶部17に記憶されたyamada:/var/samba/pub:execute-、yamada:/var/samba/keiri:execute-、yamada:/var/samba/soumu:read-,wirte-及びyamada:/var/samba/*:read-,wirte-が出力されブラックリスト形式のACLが得られる。
ブラックリストではデフォルトルールが許可であるので、出力されたアクセス対象リソースに対して記述されていないアクセス権に関して許可を付与したACLとして図8が出力として得られる。出力として得られるACLは、記述されたアクセス制御ルールに記述順序制約がないために、アクセス制御ルールを任意に入れ替えても、アクセス制御機構が上位に記述された順に処理せずとも、ACLに記述されたアクセス制御ルールがすべてアクセス制御されれば、同一のアクセス制御効果をもたらす。
最後に、配信部105は、前記ACL変換部101の出力したACLを、制御対象マシン200−nに配信し、設定指示を出す。ここで、ACLの配信・設定方法として、telnetやsshなど任意の通信プロトコルを用いてよいが、図9に示す通信プロトコルを用いることが望ましい。
まず、ACLを配信する統合アクセス制御サーバ100は配信部105によって、制御対象マシン200−nに対して、設定準備問い合わせを行い(図9のステップB1)、制御対象マシン200−nの設定部201が有効であるか、配信するACLを転送するプロトコルとして制御対象マシン200−nの受信部203がどの通信プロトコルに対応していて本ACL転送にどのプロトコルを用いるかといった情報を取得する(図9のステップB2)。
その際のメッセージは図10に示すようなSOAPベースのWS-Managementに準拠することが望ましい。本例では、WS-ManagementのGetアクションを用いてリソースURIとして設定部201の設定を表現するリソースや対応プロトコルを表現するリソースを指定して制御対象マシン200−nの受信部203にメッセージを送り問い合わせている。これに対する設定準備問い合わせ応答は、制御対象マシン200−nの受信部203によってSOAPベースのWS-Managementに準拠したGetResponseアクションとして統合アクセス制御サーバ100の配信部105に応答される。
そして、統合アクセス制御サーバ100の配信部105は、前記の設定準備問い合わせで得たプロトコルに従ってACLを制御対象マシン200−nの受信部203に対して転送する(図9のステップB3)。ここで用いられる転送プロトコルは、前段の設定準備問い合わせで得たプロトコルに従い、特段の指定はない。
そして、統合アクセス制御サーバ100の配信部105は、図11に示すようなSOAPベースのWS-Managementに準拠し、更新の場合はWS-ManagementのPutアクションを、削除の場合はWS-ManagementのDeleteを用いて、リソースURIとして設定部201を表現するリソースを指定し、設定対象となるACLを指し示すPolicy_IDを指定して、制御対象マシン200−nの受信部203にメッセージを送りACL設定要求を行う(図9のステップB4)。
これを受けた受信部203は、設定部201に該設定指示を出し(図9のステップB5)、設定部201よりその設定指示応答を得る(図9のステップB6)。設定指示応答を得た受信部203は、ACL設定要求応答として、SOAPベースのWS-Managementに準拠したPutResponseアクション又はDeleteResponseアクションとして統合アクセス制御サーバ100の配信部105に応答する(図9のステップB7)。
制御対象マシン200−nに設置された設定部201がブラックリスト形式のACLを処理するものであれば、ACLを配信する統合アクセス制御サーバ100から配信されるACLは、図8に示すACLのみで良く、制御対象マシン200−1、200−2、・・・200−nそれぞれに対して用意する必要がないため、統合アクセス制御サーバ100では配信対象のポリシーから生成する必要のあるACLの個数は制御対象マシン数が増加しても1つでよい。
[第6の実施の形態]
第6の実施の形態では、統合アクセス制御サーバではアクセス制御を実施するためのポリシーのみを統合的に管理し、制御対象マシンにACL情報を取得する機能を持たせることによって統合アクセス制御を実施する例を示す。ここで、図13は、本発明の第6の実施の形態によるアクセス制御リスト参照型差分配信システムを示すブロック図である。
図13を参照すると、本実施の形態は、統合アクセス制御サーバ100’と、複数のn台の制御対象マシン200’−nから構成される。統合アクセス制御サーバ100’は、ポリシー DB106と、リソース DB102と、ACL生成部103と、ACL変換部101と、通信部110とを備え、制御対象マシン200’−nは、ACL DB206と設定部201と受信部207とを備える。
統合アクセス制御サーバ100’では、策定されたポリシーを蓄積しているポリシー DB106より、配信対象のポリシーをACL生成部103に供給しACLを得、それをACL変換部101に供給し記述順序制約のないACLを得る。又、統合アクセス制御サーバ100’は、通信部110を用いて制御対象マシン200’−nの通信部207と通信し、ACL DB206に蓄積されている制御対象マシン200’−nに設定又は配信されているACL及びACLのメタ情報を取得する。
取得されたACL及びACLのメタ情報を元に、今回ACL変換部101で得られたACLのうち制御対象マシン200’−nでポリシーに策定されているアクセス制御を実施するために必要なACLのみを差分又は全体を配信する。例えば、制御対象マシン200’−nの全リソース情報を図7としたときに、アクセス主体がyamadaである経理部のyamadaが人事異動で経理部から総務部に異動した場合、yamadaに適用されるポリシーは今までとは異なりアクセス主体yamadaのアクセス制御リストは変更される。
現在の制御対象マシン200’−nに設定されているACLが図8のようなACLであり、新しくyamadaに適用されるポリシーからACL変換部101を通して得られたACLが図14のようなACLとなる。
統合アクセス制御サーバ100’は、通信部110を用いて制御対象マシン200’−nに現在設定されているACLのメタ情報としてACLのバージョンやACLのハッシュ値を取得することによって、今回設定するACLと現在設定されているACLが異なることを把握することができる。そこで制御対象マシン200’−nで現在設定されているACLそのものを参照し、今回生成・変換されたACLとの差分にあたる図15に示すACLを削除指示し、図16に示すACLを追加指示する。
制御対象マシン200’−nへのACLの配信が終了すると、統合アクセス制御サーバ100’は通信部110を用いて、制御対象マシン200’−nの通信部207を通してACLの設定を設定部201に指示する。
統合アクセス制御サーバ100’の通信部110と制御対象マシン200’−nの通信部207の通信プロトコルはHTTPやTelnetなど任意のプロトコルを用いることが可能であるが、WS-Managementに準拠したプロトコルが望ましい。ポリシー配信・設定プロトコルに関しては図9に示した通りなので本例では割愛する。本例では、統合アクセス制御サーバ100’が制御対象マシン200’−nに対してACL DB206に蓄積された情報を取得する際には、図17に示すようなWS-Managementに準拠したEnumerateアクションを用いてリソースURIとして制御対象マシン200’−n上のACLを指定し、制御対象マシン200’−nの通信部207に問合せ、制御対象マシン200’−n上のすべてのACLのリストがWS-ManagementのEnumerateResponseアクションとして統合アクセス制御サーバ100’の通信部110に応答される。
統合アクセス制御サーバ100’は、得られたリストから今回配信予定のACLの旧バージョンが存在するか否かを確認し、無い場合はそのままACLの配信フェーズに移り、存在した場合は、そのACLのそのもの又はメタ情報を取得する。
ACLのメタ情報を取得する際には、統合アクセス制御サーバ100’が、Enumerateアクションを利用して得られたリストから該当するACLのインスタンスを探索し、図18に示すようなWS-Managementに準拠したGetアクションを用いてリソースURIには制御対象マシン200’−n上のACLを、SelectorSetで当該ACLインスタンスを指定し、制御対象マシン200’−nの通信部207に問合せ、当該ACLのメタ情報が、統合アクセス制御サーバ100’の通信部110に応答される。
ACLそのものを取得する際には、統合アクセス制御サーバ100’が、ポリシー配信・設定プロトコルと同様に制御対象マシン200’−nがファイル転送プロトコルとしてどの通信プロトコルに対応しているか問合せ、当該ACLを転送する転送プロトコルを決定し、取得する。
本発明の上記の実施の形態によるアクセス制御リスト変換システムは、ハードウェアによっても実現することもできるが、コンピュータをその検索システムとして機能させるためのプログラムをコンピュータがコンピュータで読み取り可能な記録媒体から読み込んで実行することによっても実現することが出来る。
また、本発明の上記の実施の形態によるアクセス制御リスト変換方法は、ハードウェアによっても実現することもできるが、コンピュータにその方法を実行させるためのプログラムをコンピュータがコンピュータで読み取り可能な記録媒体から読み込んで実行することによっても実現することが出来る。
以上、本発明の代表的な実施形態について説明したが、本発明は、本願の請求の範囲によって規定される、その精神または主要な特徴から逸脱することなく、他の種々の形で実施することができる。そのため、前述した各実施形態は単なる例示にすぎず、限定的に解釈されるべきではない。本発明の範囲は特許請求の範囲によって示すものであって、明細書や要約書の記載には拘束されない。さらに、特許請求の範囲の均等範囲に属する変形や変更はすべて本発明の範囲内のものである。
本願は、2009年3月19日に出願された特願2009−068002号を基礎とする優先権を主張するものである。そして、特願2009−068002号に開示された全ての内容は本願の内容に含まれる。
本発明は、アクセス制御リストとして表現されるポリシーの変更時に変更者の意図を確認する場合や、変更部の一貫性を保証しつつ差分配信を行いたい場合に適用できる。更には、アクセス制御リストを複数のアクセス制御実施機構に対して生成、又は、アクセス制御リストの変更を複数のアクセス制御実施機構に対して反映するために、アクセス制御リストを新規に生成又は変更したい場合にも適用可能である。
11 既出ルール判定部
12 第1ルール判定部
13 第2ルール判定部
14 リソース展開部
15 一時記憶部
16 許可ルール記憶部
17 禁止ルール記憶部
100、100’、100’’ 統合アクセス制御サーバ
101 ACL変換部
102 リソース DB
103 ACL生成部
104、104’ 差分抽出部
105 配信部
106 ポリシー DB
107 ACL DB
108 署名部
109 ACL問合せ部
110 通信部
200、200−1、200−2、200−n 制御対象マシン
200’、200’−1、200’−2、200’−n 制御対象マシン
200’’ 制御対象マシン
201 設定部
202 マージ部
203 受信部
204 署名検証部
205 ACL制御部
206 ACL DB
207 通信部

Claims (24)

  1. アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給され、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込部と、
    読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定部と、
    前記第1ルール判定部により許可ルールと判定されたアクセス制御ルールを記憶する記憶部と、
    前記禁止ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶部に記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記禁止ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定部と、
    前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報を蓄積するデータベースと、
    前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定部で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶部に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開部と、
    を備えることを特徴とするアクセス制御リスト変換システム。
  2. 前記リソース展開部は、前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定部で判定されたアクセス制御ルールのアクセス対象リソースを、前記リソース情報を参照して、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開し、該同水準の下位概念にまで展開されたアクセス対象リソースから前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを除くことを特徴とする請求項1に記載のアクセス制御リスト変換システム。
  3. 前記記憶部は、
    前記第1ルール判定部により許可ルールと判定されたアクセス制御ルールを記憶する許可ルール記憶部と、
    前記第1ルール判定部で禁止ルールと判定されたアクセス制御ルール、前記第2ルール判定部で前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及び前記リソース展開部で前記記憶部に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する禁止ルール記憶部と、
    を更に備え、
    前記禁止ルール記憶部が記憶したアクセス制御ルールを最終出力とする請求項1又は2に記載のアクセス制御リスト変換システム。
  4. 前記読込部は、前記記憶部を参照し、読み込んだアクセス制御ルールが前記記憶部に記憶されたアクセス制御ルールに包含される場合、前記アクセス制御リストから新たなアクセス制御ルールを読み込むことを特徴とする請求項1乃至3のいずれか1項に記載のアクセス制御変換リストシステム。
  5. アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給され、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込部と、
    読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定部と、
    前記第1ルール判定部により禁止ルールと判定されたアクセス制御ルールを記憶する記憶部と、
    前記許可ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶部に記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記許可ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定部と、
    前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報を蓄積するデータベースと、
    前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定部で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶部に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開部と、
    を備えることを特徴とするアクセス制御リスト変換システム。
  6. 前記リソース展開部は、前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定部で判定されたアクセス制御ルールのアクセス対象リソースを、前記リソース情報を参照して、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開し、該同水準の下位概念にまで展開されたアクセス対象リソースから前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを除くことを特徴とする請求項5に記載のアクセス制御リスト変換システム。
  7. 前記記憶部は、
    前記第1ルール判定部により禁止ルールと判定されたアクセス制御ルールを記憶する禁止ルール記憶部と、
    前記第1ルール判定部で許可ルールと判定されたアクセス制御ルール、前記第2ルール判定部で前記記憶部に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、前記記憶部に記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及び前記リソース展開部で前記記憶部に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する許可ルール記憶部と、
    を更に備え、
    前記許可ルール記憶部が記憶したアクセス制御ルールを最終出力とする請求項5又は6に記載のアクセス制御リスト変換システム。
  8. 前記読込部は、前記記憶部を参照し、読み込んだアクセス制御ルールが前記記憶部に記憶されたアクセス制御ルールに包含される場合、前記アクセス制御リストから新たなアクセス制御ルールを読み込むことを特徴とする請求項5乃至7のいずれか1項に記載のアクセス制御リスト変換システム。
  9. 読込部は、アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給され、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込手順をし
    第1ルール判定部は、読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定手順をし、
    記憶部は、前記第1ルール判定手順により許可ルールと判定されたアクセス制御ルールを記憶する記憶手順をし、
    第2ルール判定部は、前記禁止ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶手順で記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記禁止ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶手順で記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定手順をし、
    データベースは、前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報を蓄積し、
    リソース展開部は、前記記憶手順で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定手順で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶手順で記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開手順をすることを特徴とするアクセス制御リスト変換方法。
  10. 前記リソース展開手順は、前記記憶手順で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定手順で判定されたアクセス制御ルールのアクセス対象リソースを、前記リソース情報を参照して、前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開し、該同水準の下位概念にまで展開されたアクセス対象リソースから前記記憶手順で記憶されたアクセス制御ルールのアクセス対象リソースを除くことを特徴とする請求項9に記載のアクセス制御リスト変換方法。
  11. 前記記憶手順は、
    前記第1ルール判定手順で許可ルールと判定されたアクセス制御ルールを記憶する許可ルール記憶手順をし、
    前記第1ルール判定手順で禁止ルールと判定されたアクセス制御ルール、前記第2ルール判定手順で前記記憶手順に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及び前記リソース展開手順で前記記憶手順に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する禁止ルール記憶手順をし、
    前記禁止ルール記憶手順で記憶したアクセス制御ルールを最終出力とする請求項9又は10に記載のアクセス制御リスト変換方法。
  12. 前記読込手順は、前記記憶手順で記録されたアクセス制御ルールを参照し、読み込んだアクセス制御ルールが前記記憶手順で記憶されたアクセス制御ルールに包含される場合、前記アクセス制御リストから新たなアクセス制御ルールを読み込むことを特徴とする請求項9乃至11のいずれか1項に記載のアクセス制御リスト変換方法。
  13. 読込部は、アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給され、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込手順をし、
    第1ルール判定部は、読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定手順と、
    記憶部は、前記第1ルール判定手順により禁止ルールと判定されたアクセス制御ルールを記憶する記憶手順をし、
    第2ルール判定部は、前記許可ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶手順で記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記許可ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶手順で記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定手順をし、
    データベースは、前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報を蓄積し、
    リソース展開部は、前記記憶手順で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定手順で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶手順で記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開手順をすることを特徴とするアクセス制御リスト変換方法。
  14. 前記リソース展開手順は、前記記憶手順で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定手順で判定されたアクセス制御ルールのアクセス対象リソースを、前記リソース情報を参照して、前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開し、該同水準の下位概念にまで展開されたアクセス対象リソースから前記記憶手順で記憶されたアクセス制御ルールのアクセス対象リソースを除くことを特徴とする請求項13に記載のアクセス制御リスト変換方法。
  15. 前記記憶手順は、
    前記第1ルール判定手順で禁止ルールと判定されたアクセス制御ルールを記憶する禁止ルール記憶手順をし、
    前記第1ルール判定手順で許可ルールと判定されたアクセス制御ルール、前記第2ルール判定手順で前記記憶手順に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、前記記憶手順に記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及び前記リソース展開手順で前記記憶手順に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する許可ルール記憶手順をし、
    前記許可ルール記憶手順で記憶したアクセス制御ルールを最終出力とする請求項13又は14に記載のアクセス制御リスト変換方法。
  16. 前記読込手順は、前記記憶手順で記録されたアクセス制御ルールを参照し、読み込んだアクセス制御ルールが前記記憶手順で記憶されたアクセス制御ルールに包含される場合、前記アクセス制御リストから新たなアクセス制御ルールを読み込むことを特徴とする請求項13乃至15のいずれか1項に記載のアクセス制御リスト変換方法。
  17. アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給される処理と、前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込処理と、
    読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定処理と、
    前記第1ルール判定処理により許可ルールと判定されたアクセス制御ルールを記憶する記憶処理と、
    前記禁止ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶処理で記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記禁止ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶処理で記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定処理と、
    前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報をデータベースに蓄積する処理と、
    前記記憶処理で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定処理で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶処理で記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開処理と、
    をコンピュータに実行させることを特徴とするアクセス制御リスト変換プログラム。
  18. 前記リソース展開処理は、前記記憶処理で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定処理で判定されたアクセス制御ルールのアクセス対象リソースを、前記リソース情報を参照して、前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開し、該同水準の下位概念にまで展開されたアクセス対象リソースから前記記憶処理で記憶されたアクセス制御ルールのアクセス対象リソースを除くことを特徴とする請求項17に記載のアクセス制御リスト変換プログラム。
  19. 前記記憶処理は、
    前記第1ルール判定処理で許可ルールと判定されたアクセス制御ルールを記憶する許可ルール記憶処理と、
    前記第1ルール判定処理で禁止ルールと判定されたアクセス制御ルール、前記第2ルール判定処理で前記記憶処理に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及び前記リソース展開処理で前記記憶処理に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する禁止ルール記憶処理と、
    を更にコンピュータに実行させ、
    前記禁止ルール記憶処理で記憶したアクセス制御ルールを最終出力とする請求項17又は18に記載のアクセス制御リスト変換プログラム。
  20. 前記読込処理は、前記記憶処理で記録されたアクセス制御ルールを参照し、読み込んだアクセス制御ルールが前記記憶処理で記憶されたアクセス制御ルールに包含される場合、前記アクセス制御リストから新たなアクセス制御ルールを読み込むことを特徴とする請求項17乃至19のいずれか1項に記載のアクセス制御リスト変換プログラム。
  21. アクセスの対象であるアクセス対象リソースと、該アクセス対象リソースにアクセスするアクセス主体ユーザと、前記アクセス対象リソースへの前記アクセス主体ユーザのアクセスの許可又は禁止を規定したアクセス権と、を組としたアクセス制御ルールを1以上有するアクセス制御リストが供給される処理と、
    前記アクセス制御リストに記載されたアクセス制御ルールを読み込む読込処理と、
    読み込まれたアクセス制御ルールが、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを許可する許可ルールであるか、前記アクセス対象リソースに前記アクセス主体ユーザのアクセスを禁止する禁止ルールであるかを判定する第1ルール判定処理と、
    前記第1ルール判定処理により禁止ルールと判定されたアクセス制御ルールを記憶する記憶処理と、
    前記許可ルールと判定されたアクセス制御ルールのアクセス主体ユーザが、前記記憶処理で記憶されたアクセス制御ルールのアクセス主体ユーザと同一で、かつ前記許可ルールと判定された前記アクセス制御ルールのアクセス対象リソースが、前記記憶処理で記憶されたアクセス制御ルールのアクセス対象リソースを包含しているか否かを判定する第2ルール判定処理と、
    前記アクセス対象リソースの最新の全情報を、その上位概念から下位概念まで体系的に記録したリソース情報をデータベースに蓄積する処理と、
    前記記憶処理で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定処理で判定されたアクセス制御ルールのアクセス対象リソースから、前記リソース情報を参照して、前記記憶処理で記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除くリソース展開処理と、
    をコンピュータに実行させることを特徴とするアクセス制御リスト変換プログラム。
  22. 前記リソース展開処理は、前記記憶処理で記憶されたアクセス制御ルールとアクセス主体ユーザが同一で、かつ前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していると前記第2ルール判定処理で判定されたアクセス制御ルールのアクセス対象リソースを、前記リソース情報を参照して、前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースと同水準の下位概念にまで展開し、該同水準の下位概念にまで展開されたアクセス対象リソースから前記記憶処理で記憶されたアクセス制御ルールのアクセス対象リソースを除くことを特徴とする請求項21に記載のアクセス制御リスト変換プログラム。
  23. 前記記憶処理は、
    前記第1ルール判定処理で禁止ルールと判定されたアクセス制御ルールを記憶する禁止ルール記憶処理と、
    前記第1ルール判定処理で許可ルールと判定されたアクセス制御ルール、前記第2ルール判定処理で前記記憶処理に記憶されたアクセス制御ルールとアクセス主体ユーザが異なるか、前記記憶処理に記憶されたアクセス制御ルールのアクセス対象リソースを包含していないと判定されたアクセス制御ルール及び前記リソース展開処理で前記記憶処理に記憶されたアクセス制御ルールに記載されているアクセス対象リソースを除いたアクセス制御ルールを記憶する許可ルール記憶処理と、
    を更にコンピュータに実行させ、
    前記許可ルール記憶処理で記憶したアクセス制御ルールを最終出力とする請求項21又は22に記載のアクセス制御リスト変換プログラム。
  24. 前記読込処理は、前記記憶処理で記録されたアクセス制御ルールを参照し、読み込んだアクセス制御ルールが前記記憶処理で記憶されたアクセス制御ルールに包含される場合、前記アクセス制御リストから新たなアクセス制御ルールを読み込むことを特徴とする請求項21乃至23のいずれか1項に記載のアクセス制御リスト変換プログラム。
JP2011504862A 2009-03-19 2010-03-17 アクセス制御リスト変換システム、その方法及びそのプログラム Expired - Fee Related JP5569815B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011504862A JP5569815B2 (ja) 2009-03-19 2010-03-17 アクセス制御リスト変換システム、その方法及びそのプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2009068002 2009-03-19
JP2009068002 2009-03-19
PCT/JP2010/054526 WO2010107057A1 (ja) 2009-03-19 2010-03-17 アクセス制御リスト変換システム、その方法及びそのプログラム
JP2011504862A JP5569815B2 (ja) 2009-03-19 2010-03-17 アクセス制御リスト変換システム、その方法及びそのプログラム

Publications (2)

Publication Number Publication Date
JPWO2010107057A1 JPWO2010107057A1 (ja) 2012-09-20
JP5569815B2 true JP5569815B2 (ja) 2014-08-13

Family

ID=42739717

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011504862A Expired - Fee Related JP5569815B2 (ja) 2009-03-19 2010-03-17 アクセス制御リスト変換システム、その方法及びそのプログラム

Country Status (6)

Country Link
US (1) US8613042B2 (ja)
EP (1) EP2410458A4 (ja)
JP (1) JP5569815B2 (ja)
KR (1) KR101310542B1 (ja)
CN (1) CN102349078A (ja)
WO (1) WO2010107057A1 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5170585B2 (ja) * 2010-08-09 2013-03-27 横河電機株式会社 プロビジョニング装置
US20130218733A1 (en) * 2011-05-05 2013-08-22 Carlo RAGO Method and system for data management and monetization
US8689285B1 (en) * 2012-09-14 2014-04-01 Siemens Product Lifecycle Management Software Inc. Rule-based derived-group security data management
US9081975B2 (en) * 2012-10-22 2015-07-14 Palantir Technologies, Inc. Sharing information between nexuses that use different classification schemes for information access control
JP6185723B2 (ja) * 2013-02-07 2017-08-23 キヤノン電子株式会社 情報処理装置、外部記憶媒体への書き込みまたは読み込みを制限する方法、プログラム及びシステム
US10033644B2 (en) 2013-02-12 2018-07-24 Adara Networks, Inc. Controlling congestion controlled flows
CN103853986B (zh) * 2014-01-03 2017-02-15 李凤华 一种访问控制方法和装置
US20160366183A1 (en) * 2015-06-09 2016-12-15 Ned M. Smith System, Apparatus And Method For Access Control List Processing In A Constrained Environment
US9912704B2 (en) 2015-06-09 2018-03-06 Intel Corporation System, apparatus and method for access control list processing in a constrained environment
US10095875B2 (en) * 2015-08-28 2018-10-09 Vmware, Inc. Multi-level access control for distributed storage systems
US10275160B2 (en) 2015-12-21 2019-04-30 Intel Corporation Method and apparatus to enable individual non volatile memory express (NVME) input/output (IO) Queues on differing network addresses of an NVME controller
US10200376B2 (en) * 2016-08-24 2019-02-05 Intel Corporation Computer product, method, and system to dynamically provide discovery services for host nodes of target systems and storage resources in a network
US10176116B2 (en) 2016-09-28 2019-01-08 Intel Corporation Computer product, method, and system to provide discovery services to discover target storage resources and register a configuration of virtual target storage resources mapping to the target storage resources and an access control list of host nodes allowed to access the virtual target storage resources
CN108322495B (zh) * 2017-01-18 2021-07-06 阿里巴巴集团控股有限公司 资源访问请求的处理方法、装置和系统
CN110677455B (zh) * 2019-08-20 2020-11-03 北京航空航天大学 基于分布式哈希的动态均衡账户映射方法
CN110765444A (zh) * 2019-09-23 2020-02-07 云深互联(北京)科技有限公司 一种企业浏览器访问权限配置方法和装置
US11595385B2 (en) * 2019-11-26 2023-02-28 Twingate, Inc. Secure controlled access to protected resources
CN117278341A (zh) * 2023-11-23 2023-12-22 成都卓拙科技有限公司 Acl规则更新方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004303243A (ja) * 2003-03-28 2004-10-28 Hewlett-Packard Development Co Lp 高信頼性コンピューティングシステムにおけるノードのセキュリティ属性
US20080126287A1 (en) * 2006-11-03 2008-05-29 Motorola, Inc. Method for management of policy conflict in a policy continuum
JP2008234263A (ja) * 2007-03-20 2008-10-02 Hitachi Software Eng Co Ltd セキュアosのセキュリティポリシ追加設定方法及びシステム
US20080313712A1 (en) * 2007-06-15 2008-12-18 Microsoft Corporation Transformation of sequential access control lists utilizing certificates

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11313102A (ja) 1998-02-27 1999-11-09 Fujitsu Ltd アクセス制御リスト生成方法及びその装置
US7925693B2 (en) * 2000-01-24 2011-04-12 Microsoft Corporation NAT access control with IPSec
JP4545430B2 (ja) 2003-12-19 2010-09-15 株式会社エヌ・ティ・ティ・データ アクセス権の矛盾・冗長ルール検出を行うアクセス制御システム及びそのコンピュータプログラム
US7716291B2 (en) * 2004-02-03 2010-05-11 Joel Thorson Method and apparatus for a message targeting and filtering database system
US8955032B2 (en) * 2005-08-20 2015-02-10 Riverbed Technology, Inc. Assessing network and device compliance with security policies
JP2007087232A (ja) 2005-09-26 2007-04-05 Hitachi Ltd システム構成変更によるポリシ修正を容易にするポリシ作成方法、及びポリシ管理方法
JP4843325B2 (ja) * 2006-02-06 2011-12-21 株式会社リコー 文書アクセス制御システム
JP2007316952A (ja) 2006-05-25 2007-12-06 Canon Inc 情報処理装置及びその装置におけるデータ管理方法
US8321667B2 (en) * 2007-02-28 2012-11-27 Microsoft Corporation Security model for common multiplexed transactional logs
JP2008219419A (ja) 2007-03-02 2008-09-18 Nec Corp アクセス制御設定支援システム
US8359467B2 (en) * 2007-07-07 2013-01-22 Hewlett-Packard Development Company, L.P. Access control system and method
CN101784583B (zh) 2007-08-22 2013-05-08 索尼化学&信息部件株式会社 新型聚酰亚胺树脂和感光性聚酰亚胺树脂组合物

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004303243A (ja) * 2003-03-28 2004-10-28 Hewlett-Packard Development Co Lp 高信頼性コンピューティングシステムにおけるノードのセキュリティ属性
US20080126287A1 (en) * 2006-11-03 2008-05-29 Motorola, Inc. Method for management of policy conflict in a policy continuum
JP2008234263A (ja) * 2007-03-20 2008-10-02 Hitachi Software Eng Co Ltd セキュアosのセキュリティポリシ追加設定方法及びシステム
US20080313712A1 (en) * 2007-06-15 2008-12-18 Microsoft Corporation Transformation of sequential access control lists utilizing certificates

Also Published As

Publication number Publication date
US8613042B2 (en) 2013-12-17
KR20110114724A (ko) 2011-10-19
KR101310542B1 (ko) 2013-10-24
EP2410458A1 (en) 2012-01-25
WO2010107057A1 (ja) 2010-09-23
US20110321123A1 (en) 2011-12-29
EP2410458A4 (en) 2014-11-12
JPWO2010107057A1 (ja) 2012-09-20
CN102349078A (zh) 2012-02-08

Similar Documents

Publication Publication Date Title
JP5569815B2 (ja) アクセス制御リスト変換システム、その方法及びそのプログラム
US11768810B2 (en) Flexible permission management framework for cloud attached file systems
US11436163B2 (en) System and method for logical deletion of stored data objects
US8595256B2 (en) Policy generation and conversion system, policy distribution system, and method and program therefor
JP4882671B2 (ja) アクセス制御方法及びアクセス制御システム並びにプログラム
JP4400059B2 (ja) ポリシー設定支援ツール
JP3956149B2 (ja) リソース・コンテンツのアクセス制御方法、システム、およびプログラム
US7574745B2 (en) Information processing apparatus, information processing method, computer-readable medium having information processing program embodied therein, and resource management apparatus
US8533242B2 (en) File management method in web storage system
JPH05151049A (ja) 文書処理方法及び装置
US8533170B1 (en) System and method for determining the latest version of a stored data object
CN102859530A (zh) 访问控制装置以及存储介质
JP2013114475A (ja) 情報管理システムおよび情報管理方法
KR20120002344A (ko) 파일 동기화 방법 및 장치
KR101672962B1 (ko) 적응형 단말기 소프트웨어 관리 시스템 및 이에 의한 단말기 소프트웨어 관리 방법
CN102932468A (zh) 共享数据访问方法
JP2007233635A (ja) 情報管理システム及び情報管理方法、並びにコンピュータ・プログラム
CN111865937B (zh) 一种用于数据库集群权限冲突检测和消解的系统及方法
CN114861198B (zh) 一种访问页面的权限控制方法、设备及介质
US11868494B1 (en) Synchronization of access management tags between databases
JP2009053771A (ja) 電子文書管理サーバ
JP5332656B2 (ja) 文書管理システム、その方法及びそのプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140304

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140507

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140530

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140612

R150 Certificate of patent or registration of utility model

Ref document number: 5569815

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees