JP5807640B2 - アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム - Google Patents

アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム Download PDF

Info

Publication number
JP5807640B2
JP5807640B2 JP2012534907A JP2012534907A JP5807640B2 JP 5807640 B2 JP5807640 B2 JP 5807640B2 JP 2012534907 A JP2012534907 A JP 2012534907A JP 2012534907 A JP2012534907 A JP 2012534907A JP 5807640 B2 JP5807640 B2 JP 5807640B2
Authority
JP
Japan
Prior art keywords
permission
authority
role
action
access right
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012534907A
Other languages
English (en)
Other versions
JPWO2012039081A1 (ja
Inventor
陽一郎 森田
陽一郎 森田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2012534907A priority Critical patent/JP5807640B2/ja
Publication of JPWO2012039081A1 publication Critical patent/JPWO2012039081A1/ja
Application granted granted Critical
Publication of JP5807640B2 publication Critical patent/JP5807640B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy

Description

本発明は、コンピュータのアクセス制御に使用するアクセス権可否を生成する装置、および生成されたアクセス権可否を使用してアクセス制御を行うコンピュータに関する。
コンピュータでは、不正なアクセスを防止するために、アクセス権可否を用いたアクセス制御が行われている。アクセス権可否は、アクセスの主体としてのサブジェクトと、アクセスの対象としてのオブジェクトと、アクセスの種類としてのアクションと、上記サブジェクトに対して上記オブジェクトに対する上記アクションを許可或いは拒否するかを示す可否識別子との組で構成される。
サブジェクトの数が多いコンピュータでは、アクセス制御に必要なアクセス権可否の数が膨大になる。このため、ロールという概念を使用して、アクセス権可否を効率良く作成する手法が提案されている(例えば特許文献1の図20参照)。この手法では、サブジェクトを特定しない形式で、特定のオブジェクトに対する特定のアクションの許可或いは拒否の情報を権限可否として記述する。また、1以上の権限可否をグループ化して、ロールという識別子を付与する。他方、ロールとサブジェクトとの関係は別途に管理する。そして、コンピュータの管理者等の利用者は、ロール毎に、オブジェクトとアクションと上記オブジェクトに対する上記アクションを許可或いは拒否するかを示す可否識別子の組から構成される権限可否を生成する。生成システム側では、ロール毎に生成された権限可否をそのロールに属する各サブジェクトに展開することにより、各サブジェクト毎のアクセス権可否を生成する。
例えば、オブジェクトとして、テーブルT1からテーブルTnまでのn個のテーブルがあるものとする。また、或るロールR1にサブジェクトS1とサブジェクトS2とが属しているものとする。このとき、サブジェクトS1、S2に対してテーブルT1への書き込みを許可するアクセス権可否を自動生成する場合、利用者は、ロールR1に対応付けて、テーブルT1への書き込みを許可する旨の権限可否Pを作成する。生成システムでは、この権限可否Pが入力されると、ロールR1にサブジェクトS1、S2が属することを判定し、サブジェクトS1に対してテーブルT1への書き込みを許可するアクセス権可否と、サブジェクトS2に対してテーブルT1への書き込みを許可するアクセス権可否とを生成する。これにより、利用者は、個々のサブジェクト毎に許可可能なアクションを規定した多くのアクセス権可否を記述する必要がなくなり、負担が軽減される。
特開平11−313102号公報
ところで、アクセス制御の対象となるオブジェクトが階層化されている場合、権限可否を効率的に記述する手法として、オブジェクト階層における包含関係を利用して、より上位のオブジェクトを対象として権限可否を記述する手法がある。例えば、上述したn個のテーブルT1〜Tnを包含する上位階層のオブジェクトとして、データベースDBがあるとする。このとき、上記手法によれば、全てのテーブルT1〜Tnへの書き込みを許可する場合に、データベースDBへの書き込みを許可する権限可否を記述する。これにより、テーブルを対象にした場合にn個必要な権限可否が1つで済むことになる。
但し、上記の手法では、下位階層の複数のオブジェクトのうち一部のオブジェクトだけ他のオブジェクトと権限可否を異ならせることはできない。そこで、上位階層のオブジェクトに対する権限可否と競合する別の権限可否を下位階層の一部のオブジェクトに対して記述し、後者の権限可否を前者の権限可否よりも優先的に適用するように制約を課す手法がある。或る権限可否を他の権限可否よりも優先的に適用しなければならないという制約を順序制約と呼ぶ。
例えば、上述したn個のテーブルT1〜TnのうちテーブルTnを除くn−1個のテーブルT1〜Tn−1に対して、ロールR1によるアクセスを許可する場合、以下のような2つの権限可否P1、P2を作成する。
権限可否P1(優先順位1):ロールR1に対応し、テーブルTnへの書き込みを禁止する旨の権限可否
権限可否P2(優先順位2):ロールR1に対応し、データベースDBへの書き込みを許可する旨の権限可否
上記2つの権限可否P1、P2は、テーブルTnへの書き込みに関し、一方は禁止し、他方は許可することを示しているため、互いに競合している。しかし、順序制約があるため、テーブルTnへの書き込みに関しては、優先順位のより高い権限可否P1が適用される。従って、ロールR1に所属するサブジェクトS1、S2は、テーブルTnへの書き込みが禁止される。他方、テーブルT1〜Tn―1への書き込みに関しては、権限可否P2が適用されるため、ロールR1に所属するサブジェクトS1、S2は、テーブルT1〜Tn―1への書き込みが許可される。
上述したようにオブジェクトの包含関係と順序制約とを使用して権限可否を記述することで、必要な権限可否の数を削減でき、利用者の負担を軽減することができる。しかしながら、特許文献1に記載の技術は、オブジェクトの包含関係と順序制約とを使用して記述された権限可否には対応していない。このため、上述した例のような順序制約のある権限可否P1、P2を特許文献1に記載の技術で処理すると、競合のあるアクセス権可否が生成されてしまうことになる。すなわち、権限可否P1、P2を処理すると、サブジェクトS1、S2に対して、データベースDBへの書き込みを許可するアクセス権可否と、それと競合する、テーブルTnへの書き込みを禁止するアクセス権可否とが生成されてしまう。
アクセス権可否を用いたアクセス制御を行うコンピュータの中には、競合するアクセス権可否を処理できないコンピュータや、処理できるにしても処理の仕方が他のコンピュータと異なるコンピュータが存在する。このため、全てのコンピュータで正確なアクセス制御が行われることを保証するためには、競合のないアクセス権可否を作成する必要がある。
本発明の目的は、上述した課題、すなわちオブジェクトの包含関係と順序制約とを使用して記述された権限可否からは、競合するアクセス権可否が生成されてしまう、という課題を解決するアクセス権可否生成装置を提供することにある。
本発明の一形態にかかるアクセス権可否生成装置は、
オブジェクトとアクションと上記オブジェクトに対して上記アクションを許可或いは拒否するかを示す可否識別子との組を権限可否と定義するとき、ロールに対応して、順序制約のある権限可否の集合を記憶するポリシー格納手段と、
ロールと上記ロールに属するサブジェクトとの関係に関する情報を記憶するサブジェクト割当格納手段と、
オブジェクト間の包含関係に関する情報を記憶するオブジェクト階層格納手段と、
一時記憶手段と、
ロールに対応して、上記ポリシー格納手段から、順序制約のある権限可否の集合を処理対象集合として抽出する処理対象集合抽出手段と、
ロールに対応して、上記ロールについて抽出された上記処理対象集合から、順序制約のない権限可否の集合を上記一時記憶手段に生成する順序制約解決手段であって、
ロールに対応する上記処理対象集合から順序制約を満たす順序に従って権限可否を取り出して、該取り出した権限可否を処理対象権限可否とし、
上記処理対象権限可否のオブジェクトが上記一時記憶手段に既に生成済みの同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が相違する場合、上記処理対象権限可否を、上記包含するオブジェクトと同じ粒度のオブジェクトを持つ複数の権限可否に分割し、
該分割して得られた複数の権限可否のうち、上記包含するオブジェクトと相違するオブジェクトを持つ権限可否を上記一時記憶手段に記憶する順序制約解決手段と、
サブジェクトとオブジェクトとアクションと上記サブジェクトに対して上記オブジェクトに対する上記アクションを許可或いは拒否するかを示す可否識別子との組をアクセス権可否と定義するとき、上記ロールについて生成された順序制約のない権限可否の集合と、上記ロールと上記サブジェクトとの関係に関する上記情報とから、上記サブジェクトに対応するアクセス権可否の集合を生成するアクセス権可否生成手段と
を備える。
本発明は上述したように構成されているため、順序制約のある複数の権限可否の間にオブジェクト階層に跨った競合が存在していても、その競合の形態が、より優先順位の低い権限可否のオブジェクトがより優先順位の高い権限可否のオブジェクトを包含しているという形態であるならば、順序制約のある複数の権限可否と等価な、競合のないアクセス権可否を生成することができる。
本発明の第1の実施形態のブロック図である。 本発明の第2の実施形態のブロック図である。 本発明の第2の実施形態におけるポリシー解釈手段の動作を示すフローチャートである。 本発明の第2の実施形態におけるポリシー解釈手段の動作を示すフローチャートである。 本発明の第2の実施形態におけるポリシー格納手段が記憶するポリシーの一例を示す図である。 本発明の第2の実施形態におけるポリシー格納手段が記憶するポリシーの一例を示す図である。 本発明の第2の実施形態におけるポリシー解釈手段が出力し,アクセス制御実施手段に入力されるアクセス権可否の一例を示す図である。 本発明の第2の実施形態におけるポリシー解釈手段が出力し,アクセス制御実施手段に入力されるアクセス権可否の一例を示す図である。 本発明の第2の実施形態におけるポリシー解釈手段が出力し,アクセス制御実施手段に入力されるアクセス権可否の一例を示す図である。 本発明の第2の実施形態におけるポリシー解釈手段が出力し,アクセス制御実施手段に入力されるアクセス権可否の一例を示す図である。 本発明の第2の実施形態におけるポリシー解釈手段が出力し,アクセス制御実施手段に入力されるアクセス権可否の一例を示す図である。 本発明の第2の実施形態におけるポリシー解釈手段が出力し,アクセス制御実施手段に入力されるアクセス権可否の一例を示す図である。 本発明の第2の実施形態におけるポリシー解釈手段が出力し,アクセス制御実施手段に入力されるアクセス権可否の一例を示す図である。 本発明の第2の実施形態におけるポリシー解釈手段が出力し,アクセス制御実施手段に入力されるアクセス権可否の一例を示す図である。 本発明の第2の実施形態におけるサブジェクト割当格納手段が記憶するサブジェクト割当の一例を示す図である。 本発明の第2の実施形態におけるロール階層格納手段が記憶するロール階層の一例を示す図である。 本発明の第2の実施形態におけるアクション階層格納手段が記憶するオブジェクトとしてデータベースを扱う場合におけるアクション階層の一例を示す図である。 本発明の第2の実施形態におけるオブジェクト階層格納手段が記憶するオブジェクト階層の一例を示す図である。 本発明の第2の実施形態の概略動作を示すフローチャートである.
次に本発明の実施の形態について図面を参照して詳細に説明する。
[第1の実施形態]
図1を参照すると、本発明の第1の実施形態にかかるアクセス権可否生成装置は、ポリシー解釈手段1、サブジェクト割当格納手段3、ポリシー格納手段5、オブジェクト階層格納手段7、一時記憶手段8、およびアクセス権可否格納手段9を備えている。
ポリシー格納手段5は、ロールに対応して、順序制約のある権限可否の集合を記憶する。ここで、権限可否は、オブジェクトとアクションと上記オブジェクトに対して上記アクションを許可或いは拒否するかを示す可否識別子との組である。
オブジェクト階層格納手段7は、オブジェクト間の包含関係に関する情報を記憶する。一時記憶手段8は、ポリシー解釈手段1の処理過程の情報を記憶する。サブジェクト割当格納手段3は、ロールとこのロールに属するサブジェクトとの関係に関する情報を記憶する。アクセス権可否格納手段9は、生成されたアクセス権可否を記憶する。ここで、アクセス権可否は、サブジェクトとオブジェクトとアクションと上記サブジェクトに対して上記オブジェクトに対する上記アクションを許可或いは拒否するかを示す可否識別子との組である。
ポリシー解釈手段1は、順序制約のある権限可否の集合から、順序制約のないアクセス権可否を生成する機能を有する。ポリシー解釈手段1は、処理対象集合抽出手段101と、順序制約解決手段102と、アクセス権可否生成手段103とを有する。
処理対象集合抽出手段101は、ロール毎に、ポリシー格納手段5から、順序制約のある権限可否の集合を処理対象集合として抽出する。
順序制約解決手段102は、ロール毎に、ロールについて抽出された上記処理対象集合から、順序制約のない権限可否の集合を一時記憶手段8に生成する機能を有する。
具体的には、順序制約解決手段102は、ロールに対応する処理対象集合から順序制約を満たす順序に従って権限可否を処理対象権限可否として取り出す機能を有する。
また、順序制約解決手段102は、上記取り出した処理対象権限可否のオブジェクトが一時記憶手段8に既に生成済みの同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が相違する場合、上記処理対象権限可否を、上記包含するオブジェクトと同じ粒度のオブジェクトを持つ複数の権限可否に分割する機能を有する。ここで、順序制約解決手段102は、オブジェクト間の包含関係の判定およびオブジェクトの分割に際しては、オブジェクト階層格納手段7に記憶されているオブジェクト間の包含関係に関する情報に基づいて判定および分割を行う。
また、順序制約解決手段102は、上記分割して得られた複数の権限可否のうち、上記包含するオブジェクトと相違するオブジェクトを持つ権限可否を一時記憶手段8に記憶する機能を有する。
アクセス権可否生成手段103は、ロールについて生成された順序制約のない権限可否の集合と、サブジェクト割当格納手段3に記憶されたロールとサブジェクトとの関係に関する情報とから、サブジェクトに対応するアクセス権可否の集合を生成する機能を有する。
上記のポリシー解釈手段1は、例えば、マイクロプロセッサ等のプロセッサにより構成することができる。また上記のサブジェクト割当格納手段3、ポリシー格納手段5、オブジェクト階層格納手段7、一時記憶手段8、およびアクセス権可否格納手段9は、例えば、上記プロセッサに接続されたメモリで構成することができる。また上記メモリには、プログラムが記憶されている。このプログラムは、ポリシー解釈手段1を構成するプロセッサに読み取られ、そのプロセッサの動作を制御することにより、そのプロセッサ上に上記の処理対象集合抽出手段101、順序制約解決手段102、アクセス権可否生成手段103を実現する。上記プログラムは、プロセッサに接続されたメモリに記憶される以外に、コンピュータが読み取り可能な記録媒体、例えばフレキシブルディスク、光ディスク、光磁気ディスク、半導体メモリ等の可搬性を有する媒体に記憶されていてもよい。
次に本実施形態にかかるアクセス権可否生成装置の動作を説明する。
まず、ポリシー解釈手段1の処理対象集合抽出手段101は、ロール毎に、ポリシー格納手段5から、順序制約のある権限可否の集合を処理対象集合として抽出する。
次に、ポリシー解釈手段1の順序制約解決手段102は、ロールに対応する処理対象集合から順序制約のない権限可否の集合を生成し、一時記憶手段8に記憶する。より具体的には、順序制約解決手段102は、ロールに対応する処理対象集合から、順序制約を満たす順序に従って、権限可否を処理対象権限可否として一つずつ順番に取り出す。そして、順序制約解決手段102は、取り出した処理対象権限可否について、そのオブジェクトが一時記憶手段8に既に生成済みの同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が相違するならば、以下の処理を行う。まず、順序制約解決手段102は、その処理対象権限可否を、上記包含するオブジェクトと同じ粒度のオブジェクトを持つ複数の権限可否に分割する。次に、順序制約解決手段102は、上記分割して得られた複数の権限可否のうち、上記包含するオブジェクトと相違するオブジェクトを持つ権限可否を一時記憶手段8に記憶する。他方、順序制約解決手段102は、取り出した処理対象権限可否のオブジェクトが、一時記憶手段8に既に生成済みの同じアクションを持つ権限可否のオブジェクトに包含されていないか、包含されていても両者の可否識別子が同じであれば、取り出した処理対象権限可否を一時記憶手段8に記憶する。
アクセス権可否生成手段103は、ロールについて生成された順序制約のない権限可否の集合と、サブジェクト割当格納手段3に記憶されたロールとサブジェクトとの関係に関する情報とから、サブジェクトに対応するアクセス権可否の集合を生成する。
次に本実施形態にかかる動作を具体例を挙げて説明する。
例えば、n個のテーブルT1〜TnのうちテーブルTnを除くn−1個のテーブルT1〜Tn−1に対して、ロールR1によるアクセスを許可するために、以下のような2つの権限可否P1、P2がポリシー格納手段5に記憶されているものとする。
権限可否P1(優先順位1):ロールR1に対応し、テーブルTnへの書き込みを禁止する旨の権限可否
権限可否P2(優先順位2):ロールR1に対応し、データベースDBへの書き込みを許可する旨の権限可否
本実施形態にかかるアクセス権可否生成装置において、権限可否P1、P2を含む順序制約のある権限可否の集合が処理対象集合として抽出されると、順序制約解決手段102は、権限可否P1の方が権限可否P2よりも優先順位が高いので、権限可否P1を先に処理し、その結果生成した権限可否、例えば、ロールR1に対応し、テーブルTnへの書き込みを禁止する旨の権限可否を一時記憶手段8に記憶する。
次に順序制約解決手段102は、権限可否P2の処理を開始する。この権限可否P2の処理において順序制約解決手段102は、より優先順位の低い権限可否P2のオブジェクト(データベースDB)がより優先順位の高い権限可否P1のオブジェクト(テーブルTn)を包含しており、かつ同じアクションについて両者の可否識別子が相違していることを検出する。そして、順序制約解決手段102は、権限可否P2を、上記包含するオブジェクト(テーブルTn)と同じ粒度のオブジェクト(テーブルT1〜Tn)を持つ複数の権限可否に分割する。すなわち、権限可否P2を、テーブルT1への書き込みを許可する旨の権限可否、テーブルT2への書き込みを許可する旨の権限可否、…、テーブルTnへの書き込みを許可する旨の権限可否に分割する。そして、上記分割して得られた複数の権限可否のうち、上記包含するオブジェクト(テーブルTn)と相違するオブジェクト(T1〜Tn―1)を持つ権限可否、すなわち、テーブルT1への書き込みを許可する旨の権限可否、テーブルT2への書き込みを許可する旨の権限可否、…、テーブルTn−1への書き込みを許可する旨の権限可否を一時記憶手段8に記憶する。
これにより、一時記憶手段8には、上記順序制約のある権限可否P1、P2と等価な、順序制約のない権限可否、すなわち、ロールR1に対応し、テーブルTnへの書き込みを禁止する旨の権限可否と、テーブルT1〜Tn−1への書き込みを許可する旨の権限可否とが生成される。
その後、アクセス権可否生成手段103は、ロールR1について生成された順序制約のない権限可否の集合と、サブジェクト割当格納手段3に記憶されたロールR1とサブジェクトとの関係に関する情報とから、サブジェクトに対応するアクセス権可否の集合を生成する。
以上説明したように、本実施形態にかかるアクセス権可否生成装置によれば、順序制約のある複数の権限可否の間にオブジェクト階層に跨った競合が存在していても、その競合の形態が、より優先順位の低い権限可否のオブジェクトがより優先順位の高い権限可否のオブジェクトを包含しているという形態であるならば、順序制約のある複数の権限可否と等価な、競合のないアクセス権可否を生成することができる。
本実施形態にかかるアクセス権可否生成装置は、例えば、以下のような各種の付加変更が可能である。
例えば、ロール間の継承関係に関する情報を記憶するロール階層格納手段をさらに備え、処理対象集合抽出手段101は、ロールに対応してポリシー格納手段5に記憶されている順序制約のある権限可否の集合と、ロール間の継承関係で示される上記ロールの継承元ロールに対応してポリシー格納手段5に記憶されている順序制約のある権限可否の集合とを抽出して結合し、順序制約のある権限可否の集合である処理対象集合を生成するようにしてもよい。
また、順序制約解決手段102は、一時記憶手段8に記憶されている同じアクションを持つ権限可否のオブジェクトに包含されているオブジェクトを持つ処理対象権限可否は、廃棄するようにしてもよい。一時記憶手段8に記憶されている同じアクションを持つ権限可否のオブジェクトに包含されているオブジェクトを持つ処理対象権限可否は、一時記憶手段8に記憶されている同じアクションを持つ権限可否と競合している場合には廃棄する必要があり、競合していない場合でも権限可否の冗長さを解消するために廃棄することが望ましいためである。
また、前記オブジェクトとアクションとの関係に関する情報を記憶するアクション階層格納手段を備え、順序制約解決手段102は、処理対象権限可否のアクションが、処理対象権限可否のオブジェクトの粒度に対応していない場合、処理対象権限可否を、アクションに対応する粒度の小さなオブジェクトを持つ複数の処理対象権限可否に分割して処理するようにしてもよい。
また、順序制約解決手段102は、処理対象権限可否のオブジェクトが一時記憶手段8に記憶されている同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が一致する場合、権限可否の冗長さを解消するために、処理対象権限可否を一時記憶手段8に記憶すると共に、一時記憶手段8に記憶されている上記同じアクション、同じ可否識別子を持つ権限可否を削除するようにしてもよい。
また、アクセス権可否生成手段103は、アクセス権可否をコンパクトにするために、サブジェクトとオブジェクトと可否識別子とが同じで、アクションが相違する複数のアクセス権可否を1つのアクセス権可否に統合するようにしてもよい。
[第2の実施形態]
次に、本発明の第2の実施形態について説明する。まず、本実施形態で用いる用語について説明する。
「アクセス権」は、特定のサブジェクト(s)、オブジェクト(o)、アクション(a)の組を意味する。
「アクセス権可否」は、特定のアクセス権と、アクセス権に対する許可あるいは拒否を示す識別子との組を意味する。アクセス制御実施機能に設定するアクセス権可否の集合において、順序制約のあるアクセス制御ポリシーと等価なアクセス制御の判定結果を確実に指定するには、順序制約や異なるオブジェクト階層に跨って競合が存在するようなアクセス権可否の集合は、あらかじめ順序制約やオブジェクト階層に跨った競合を無くしアクセス権可否同士が競合しないようにしておく必要がある。仮に、アクセス制御実施機能に設定するアクセス権可否の集合において、順序制約や異なるオブジェクト階層に跨って競合が存在する場合、個々のアクセス制御実施機能の判定方法の違いによってアクセス制御の判定結果が異なる。また、順序制約や異なるオブジェクト階層に跨った競合を処理できないアクセス制御実施機能も存在する。
「権限」は、特定のオブジェクト(o)、アクション(a)の組を意味する。
「権限可否」は、特定の権限と、権限に対する許可あるいは拒否を示す識別子との組を意味する。したがって、アクセス権可否は、特定のサブジェクトと権限可否との組でもある。
「アクション可否」は、特定のアクションと、アクションに対する許可あるいは拒否を示す識別子との組を意味する。したがって権限可否は、特定のオブジェクトとアクション可否との組でもある。
「ロール」は、権限可否の集合に対して付与される識別子である。一般的には所属部署や役職、担当するプロジェクト、業務内容、作業項目などの名称が使用される。
「サブジェクト割当」は、ロールに対するサブジェクトの割当の定義である。記述形式としては、サブジェクトとロールとの組として記述する。各サブジェクトは、せいぜい1個のロールを持つ。一般的に、ロールを持たない(0個のロールを持つ)サブジェクトは、権限を持たない。対象となるアクセス制御実施機能が対応していれば、アクセス権のサブジェクトについて、サブジェクトを指定する代わりに、ロールを指定しても良い。しがたって、アクセス権可否の集合は、サブジェクトの集合と権限可否の集合との組、あるいは、ロールと権限可否の集合との組でもある。
「アクセス制御ルール」および「ルール」は、権限可否の集合を定義する記述である。
「アクセス制御ポリシー」および「ポリシー」は、ロールに対応する、順序制約を伴うアクセス制御ルールのリストである。
「ロール階層」は、組織構造などに基づくロールの階層関係を意味する。一般的に、ロール階層は多段階の階層を持つ木構造となる。例えば、ある企業「A株式会社」のロール階層は、1つの木構造となり、「A株式会社」を根とし、その配下に「総務部」と「経理部」を持ち、さらに「総務部」の配下に「秘書課」と「広報課」を持つ。
「ロール継承」および「継承」は、ロール階層に基づく継承関係を意味する。例えば、上記のロール階層における例では、「秘書課」ロールは「総務部」ロールを継承しており、「総務部」ロールは「A株式会社」ロールを継承している。ロールを継承することにより、継承先のロールは、継承元のロールの権限可否の集合を引き継ぐ。継承先の集合は、継承元の集合よりも優先度が高く、継承元の権限可否を継承先の権限可否で修正することが出来る。したがって、継承先のロールを持つサブジェクトは、継承元のロールと継承先のロールの両者の権限可否の集合が適用されるが、両者で同じ権限について可否との組み合わせが異なる場合は、継承先の権限可否が適用される。なお、あるロールが継承元とするロールは、1つのみである。
「直系ロール」および「直系」は、継承を子が親を継承する親子関係と見た場合に、ある任意のロールから見て直系の関係にあるロールであり、当該ロールと、先祖にあたるロールと、子孫にあたるロールとを合わせた集合である。したがって、木構造において、直系ロールは、当該ロールと、当該ロールから継承元を根まで辿る際に到達するロール群と、当該ロールから継承先を葉まで辿る際に到達するロール群とを合わせた集合となる。
「オブジェクト階層」は、オブジェクトの粒度を示す識別子と、オブジェクトの識別子と、そのオブジェクトと他のオブジェクトとの階層関係を示すパスや子ノード・親ノードなどの識別子の集合とで構成される。それら識別子は、別個の値でもよいし、いくつかの値が兼用されていてもよい。いずれにしてもオブジェクト階層は、粒度の異なるオブジェクト間の階層関係を保持する。階層構造として、大きな粒度を持つオブジェクトの配下に0個以上の中程度の粒度を持つオブジェクトが子ノードとして存在し、中程度の粒度を持つオブジェクトの配下に0個以上の小さな粒度のオブジェクトが子ノードとして存在する、などの木構造を持つ。これら親子関係のあるオブジェクト間では、より大きな粒度の親となるオブジェクトが、より小さな粒度の子となるオブジェクトを包含するものとして扱う。
「アクション階層」は、オブジェクトの粒度毎に対応するアクションが異なる際に、どのアクションが、どの粒度のオブジェクトに対応するかを定義する記述である。一般に、ある特定のオブジェクトに対応するアクションの集合は、すべてのアクションの集合からみた部分集合となる。アクセス制御実施手段に対して出力するアクセス権可否においては、アクセス権可否で指定されたオブジェクトの粒度に対応したアクションについてのみアクション可否を指定し、当該オブジェクトの粒度では対応しないアクションについては指定しない。但し、アクセス制御ポリシーにおける、アクセス制御ルールの記述においては、アクセス制御実施手段に対して出力するアクセス権可否と同様に、ルールで指定されたオブジェクトの粒度に直接対応したアクションについてのみアクション可否を指定し、当該オブジェクトの粒度では直接対応しないアクションについては指定しないこともできるが、前述のオブジェクト階層における包含関係を利用してルールを統合・簡略化して表現するため、当該オブジェクトの粒度では直接対応しないアクションについてアクション可否を指定できる場合もある。具体的には、ある大きな粒度のオブジェクトの配下に小さな粒度のオブジェクトが幾つか存在し、これら小さな粒度のオブジェクトは特定のアクションに直接対応しているが、大きな粒度のオブジェクトは当該アクションに直接対応していない場合に、当該アクションを指定するルールを記述する際、これら小さな粒度のオブジェクトのルールをすべて列挙して記述するかわりに、大きな粒度のオブジェクトのルールを記述することができる。つまり、あるオブジェクトからみて、そのオブジェクトの粒度には直接対応しないが、そのオブジェクトより小さな粒度には直接対応するアクションについては、そのオブジェクトに間接的に対応していると考えることができる。たとえば、図8に示すアクション階層の一例においては、アクション「Insert」は、オブジェクトの大きな粒度「DB」には直接対応していないが、中程度の粒度「Table」と、小さな粒度「Column」には直接対応している。このとき、アクション「Insert」は、粒度「DB」のオブジェクトに対して、間接的に対応している。
さて、図2を参照すると、本実施形態にかかるアクセス制御システムは、ポリシー解釈手段1、アクセス制御実施手段2、サブジェクト割当格納手段3、ロール階層格納手段4、ポリシー格納手段5、アクション階層格納手段6、オブジェクト階層格納手段7、および一時記憶手段8を備えている。
ポリシー解釈手段1は、アクセス制御実施手段2とは、それぞれ別個のコンピュータシステムで構築されていてもよいし、一部または全部が同一のコンピュータシステムで実現されていてもよい。
また、ポリシー解釈手段1は、具体的には、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、アクセス制御実施手段2とサブジェクト割当格納手段3とロール階層格納手段4とポリシー格納手段5とアクション階層格納手段6とオブジェクト階層格納手段7と通信を行なうための通信インタフェースとによって実現される。また、アクセス制御実施手段2は、具体的には、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、ポリシー解釈手段1と通信を行なうための通信インタフェースとによって実現される。さらに、サブジェクト割当格納手段3とロール階層格納手段4とポリシー格納手段5とアクション階層格納手段6とオブジェクト階層格納手段7は、具体的には、プログラムに従って動作する情報処理装置のCPUと、RAMやハードディスク等の記憶媒体によって実現される。また、一時記憶手段8は、RAM等の記憶媒体などによって実現される。
ポリシー解釈手段1は、サブジェクト割当格納手段3とロール階層格納手段4とポリシー格納手段5とアクション階層格納手段6とオブジェクト階層格納手段7とから、ポリシーおよびポリシーの解釈に必要な情報を取得し、中間結果を一時記憶手段8に格納しながら、ポリシーを解釈してアクセス権可否を生成し、アクセス権可否をアクセス制御実施手段2に対して出力する。
アクセス制御実施手段2は、ポリシー解釈手段1から入力されたアクセス権可否に基づいて、アクセス制御を実施する。
図10を参照して、本実施形態における処理の概要を説明する。
(1)ステップA1
まず、ポリシー解釈手段1は、ポリシー解釈処理を行い、生成されたアクセス権可否をアクセス制御実施手段2に対して出力する。例えば、図4のようなポリシーについてポリシー解釈処理を行い、生成された図5のようなアクセス権可否を出力する。
(2)ステップA2
次に、アクセス制御実施手段2は、ポリシー解釈手段1から入力されたアクセス権可否に基づいて、アクセス制御処理を実施する。
図3を参照して、ポリシー解釈手段1の動作について詳細に説明する。
(1)ステップA101
まず、ポリシー解釈手段1は、サブジェクト割当格納手段3を参照し、未処理のサブジェクト割当が有るかを判定する。未処理のものが有れば、ステップA102に進む。未処理が無い、つまりすべてのサブジェクト割当の処理が終了していれば、ステップA127に進む。サブジェクト割当格納手段3には、例えば、図6のような情報がサブジェクト割当として格納されている。
(2)ステップA102
次に、ポリシー解釈手段1は、サブジェクト割当格納手段3を参照し、未処理のサブジェクト割当を1つ取得する。例えば、図6におけるサブジェクト割当E601を取得する。E601は、ロール「総務部」とサブジェクト集合(「k-satou」,「m-suzuki」)の組である。これは、サブジェクト「k-satou」とロール「総務部」の組と、サブジェクト「m-suzuki」とロール「総務部」の組とを、まとめて定義した記述である。
(3)ステップA103
次に、ポリシー解釈手段1は、当該サブジェクト割当を参照し、当該サブジェクト割当において指定されている、ロールを取得する。例えば、当該サブジェクト割当がE601であれば、ロール「総務部」を取得する。
(4)ステップA104
次に、ポリシー解釈手段1は、ロール階層格納手段4を参照し、当該サブジェクト割当のロールを起点として、当該ロールの親のロール、そのロールのさらに親のロールといった、当該ロールの先祖にあたるロール階層を取得し、それらロール階層から、先祖のロールを取得する。ロール階層格納手段4には、例えば、図7のような情報がロール階層として格納されている。例えば、当該ロールが「総務部」であれば、当該ロールについて定義しているロール階層E702から、親のロール「A株式会社」を取得する。「A株式会社」のさらに親のロールはロール階層E701により無いことがわかるため、先祖のロールは、(「A株式会社」)となる。
(5)ステップA105
次に、ポリシー解釈手段1は、ポリシー格納手段5を参照し、当該ロールおよび先祖のロールについて、それらロールに対応するポリシーを取得する。ポリシー格納手段5には、例えば、図4のような情報がポリシーとして格納されている。例えば、当該ロールが「総務部」であれば、「総務部」のポリシーE402と、先祖のロール「A株式会社」のポリシーE401を取得する。
(6)ステップA106
次に、ポリシー解釈手段1は、当該ロールおよび先祖のロールのポリシーを参照し、それらポリシー毎に、ポリシーに記述されたルールのリストを取得する。例えば、E402およびE401であれば、E402のルールのリストの先頭であり、最も優先される1番目のルールは、オブジェクト「soumudb」とアクション可否の集合((「Insert」,「deny」),(「Update」,「deny」),(「Delete」,「deny」),(「Select」,「permit」),(「References」,「permit」),(「Create」,「deny」),(「Drop」,「deny」),(「Alter」,「deny」),(「Grant」,「deny」),(「Lock」,「deny」),(「Index」,「deny」))との組である。同様にE402の2番目のルールや、E401のルールのリストも取得する。
(7)ステップA107
次に、ポリシー解釈手段1は、当該ロールおよび先祖のロールに対応するルールのリスト群について、当該ロールが最高優先度、先祖のロールにさかのぼるほど低優先度になるよう、ルールのリストを結合する。より具体的には、当該ロールのルールのうち最低優先度のルールからみて1つ低い優先度のルールとして、当該ロールの親のロールのルールのうち最高優先度のものが配置されるように、ルールを並べて結合する。これを順に先祖にさかのぼりながら同様に結合することで、全体で1つのリストを生成する。例えば、E402およびE401のルールのリストであれば、E402の最低優先度のルールであるE402の2番目のルールからみて、1つ低い優先度のルールとして、E401の1番目のルールを配置する。結果として生成される結合後のリストでは、ルールは、E402の1番目、E402の2番目、E401の1番目の順に並ぶ。
(8)ステップA108
次に、ポリシー解釈手段1は、アクション階層格納手段6を参照し、未処理のアクションが有るかを判定する。未処理のものが有れば、ステップA109に進む。未処理が無い、つまりすべてのアクションの処理が終了していれば、ステップA124に進む。アクション階層格納手段6には、例えば、図8のような情報がアクション階層として格納されている。なお、アクション階層が1つ以上定義されているとき、ステップA107から初めて到達した場合は、いずれのアクションも未処理である。
(9)ステップA109
次に、ポリシー解釈手段1は、アクション階層格納手段6を参照し、未処理のアクションを1つ取得する。例えば、E801を参照し、アクション「Insert」を取得する。
(10)ステップA110
次に、ポリシー解釈手段1は、アクション階層格納手段6を参照し、当該アクションのアクション階層、つまり当該アクションが対応する、あるいは対応しないオブジェクトを定義した粒度順のリストを取得する。例えば、当該アクションが「Insert」であれば、対応する、あるいは対応しないオブジェクトのリストとして、((「DB」.「×」),(「Table」,「○」),(「Column」,「○」))を取得する。この時「○」は対応し、「×」は対応しないことを示す。
(11)ステップA111
次に、ポリシー解釈手段1は、当該アクションを用いて処理していないルールが有るかを判定する。未処理のものが有れば、ステップA112に進む。未処理が無い、つまり当該アクションにおいて、すべてのルールを処理していれば、ステップA108に進む。例えば、E402の1番目のルールを、「Insert」を用いて処理する。なお、ルールが1つ以上ある場合に、ステップA110から初めて到達した場合は、いずれのルールも未処理である。
(12)ステップA112
次に、ポリシー解釈手段1は、ステップA107で作成したルールのリストから、当該アクションを用いて処理していないルールのうち最も優先度の高いルールを1つ取得する。例えば、前述のE402およびE401のルールのリストについては、E402の1番目のルールが未処理であれば、これを取得する。E402の 1番目のルールが処理済みで、E402の2番目のルールが未処理であれば、これを取得する。E402の2番目のルールが処理済みであれば、E401のルールを取得する。
(13)ステップA113
次に、ポリシー解釈手段1は、当該ルールを参照し、当該ルールで指定されたオブジェクトを取得する。例えば、E402の1番目のルールであれば、オブジェクト「soumudb」を取得する。
(14)ステップA114
次に、ポリシー解釈手段1は、オブジェクト階層格納手段7を参照し、当該オブジェクトの粒度を取得する。さらにアクション階層を参照し、当該オブジェクトの粒度が、当該アクションに対応していないかを判定する。対応していない場合は、ステップA115に進む。対応する場合は、ステップA117に進む。オブジェクト階層格納手段7には、例えば、図9のような情報がオブジェクト階層として格納されている。例えば、当該オブジェクトが「soumudb」であれば、オブジェクト階層E908より、粒度「DB」を取得する。さらに当該アクションが「Insert」であれば、取得済みのアクション階層((「DB」.「×」),(「Table」,「○」),(「Column」,「○」))を参照し、当該オブジェクトの粒度「DB」が、当該アクションに対応していないことがわかる。
(15)ステップA115
次に、ポリシー解釈手段1は、アクション階層を参照し、当該オブジェクト以下の粒度が、当該アクションに対応しているかを判定する。対応する場合は、ステップA116に進む。対応しない場合は、ステップA111に進む。例えば、当該オブジェクトが「soumudb」であれば、当該アクション「Insert」のアクション階層((「DB」.「×」),(「Table」,「○」),(「Column」,「○」))を参照し、当該オブジェクト以下の粒度「Table」,「Column」に対応することがわかる。
(16)ステップA116
次に、ポリシー解釈手段1は、アクション階層を参照し、当該オブジェクト以下の粒度のうち、当該アクションに対応する粒度を探し、そこで見つかった当該アクションに対応する粒度のうち、最も粒度の大きなオブジェクトの粒度になるまで、当該オブジェクトを展開する。展開処理においては、オブジェクト階層格納手段7を参照し、当該オブジェクトに基づいて展開後のオブジェクトの情報を取得する。以降は、当該オブジェクトとして、この展開後のオブジェクトを使用する。例えば、当該オブジェクトが「soumudb」であれば、当該アクション「Insert」のアクション階層((「DB」.「×」),(「Table」,「○」),(「Column」,「○」))を参照し、当該アクションに対応する当該オブジェクト以下の粒度「Table」,「Column」のうち、最も粒度の大きなオブジェクトの粒度「Table」になるまで、当該オブジェクト「soumudb」を展開する。その際、オブジェクト階層E908を参照し、粒度「Table」にあたる子ノードのオブジェクト(「hishotable」,「kouhoutable」)を取得する。もし、より小さな粒度まで展開する場合は、同様に、子ノードのオブジェクトのオブジェクト階層を参照して、さらにその子ノードを取得することを繰り返す。以降は、当該オブジェクトとして、展開後のオブジェクト(「hishotable」,「kouhoutable」)を使用する。
(17)ステップA117
次に、ポリシー解釈手段1は、当該アクションを用いてルールを処理した結果、当該アクションの対象ルールに追加されたルール群があるとき、それら対象ルール群で指定されたオブジェクトによって、当該オブジェクトが包含されていないかを判定する。包含されていない場合は、ステップA118に進む。
包含されている場合は、ステップA111に進む。より詳細には、前述されたステップおよび後述するステップによって当該アクションの対象となるルールがあった場合、それは追加・蓄積する形で一時記憶手段8に一時記憶されるが、それらステップを繰り返すうちに、だんだんと対象ルールが増えていくと、先に処理・追加されたルールのオブジェクトが、後に処理されたルールのオブジェクトを包含することがある。例えば、当該アクション「Insert」で処理されたオブジェクト(「hishotable」)のルールを追加した後で、同じくアクション「Insert」で処理されたオブジェクト(「hishocolumn1」)のルールが得られたときを考える。このとき、前者のオブジェクト(「hishotable」)は、後者のオブジェクト(「hishocolumn1」)を包含している。アクション毎のルールの処理は、ルールのリストのうち高優先度のものから順に実施しているため、前者のルールのほうが後者のルールよりも優先度が高く、前述の包含関係から、前者のルールが存在することによって、後者のルールが無効化されることが確定する。したがって、前者つまり既存の対象ルールのオブジェクトが、後者つまり当該ルールのオブジェクトを包含する場合、当該ルールは不要となるためここで破棄し、戻って次のルールの処理に移る。包含しない場合のみ、続くステップに進む。
(18)ステップA118
次に、ポリシー解釈手段1は、当該アクションの対象ルールで指定されたオブジェクトの中に、当該オブジェクトが包含するものが有るかを判定する。包含するものが有る場合は、ステップA119に進む。包含するものが無い場合は、ステップA123に進む。より詳細には、ステップA117と逆の判定を行うことを指す。つまり、既存の対象ルールのオブジェクトが、当該ルールのオブジェクトに包含される場合である。例えば、当該アクション「Insert」で処理されたオブジェクト(「hishocolumn1」)のルールを追加した後で、同じくアクション「Insert」で処理されたオブジェクト(「hishotable」)のルールが得られた場合である。
(19)ステップA119
次に、ポリシー解釈手段1は、当該アクションの対象ルールのうち、当該オブジェクトが包含するオブジェクトが指定されたルールについて、その対象ルールのアクション可否と、当該ルールのアクション可否が、異なるかを判定する。異なる場合は、ステップA120に進む。同じである場合は、ステップA122に進む。包含するオブジェクトが複数ある場合は、それぞれの指定されたルール毎に判定を行い、それぞれの判定結果にしたがって並行してステップを進める。例えば、当該アクション「Insert」で処理を進めている場合、アクション可否が同じというのは、アクション「Insert」と組となる可否が、既存の対象ルールと当該ルールのいずれについても「permit」あるいは「deny」で揃っている場合のことである。
(20)ステップA120
次に、ポリシー解釈手段1は、包含するオブジェクトが、当該オブジェクトと同じ粒度ではなく、包含するオブジェクトの示す範囲のほうが小さい場合、包含するオブジェクトの粒度と同じ粒度まで、当該オブジェクトを展開する。以降は、当該オブジェクトとして、この展開後のオブジェクトを使用する。例えば、既存の対象ルールのオブジェクトが(「hishocolumn1」)、当該ルールのオブジェクトが(「hishotable」)の場合に、当該ルールのオブジェクトを、オブジェクト階層を参照して展開し、オブジェクト(「hishocolumn1」,「hishocolumn2」)とする。これにより、例えば、当該アクション「Insert」で処理を進め、アクション「Insert」と組となる可否について、既存の対象ルールが「permit」、当該ルールが「deny」の場合を考えると、既存の対象ルールの中に、オブジェクト(「hishocolumn1」)とアクション「Insert」と可否「permit」の組、当該ルールの中に、オブジェクト(「hishocolumn1」,「hishocolumn2」)とアクション「Insert」と可否「deny」の組が存在することとなる。
(21)ステップA121
次に、ポリシー解釈手段1は、展開された当該オブジェクトから、包含するオブジェクトと同一範囲のオブジェクトを取り除き、残った当該オブジェクトのみを用いたルールを作成する。以降、当該ルールとして、この残りの当該オブジェクトを用いたルールを使用する。例えば、既存の対象ルールの中に、オブジェクト(「hishocolumn1」)とアクション「Insert」と可否「permit」の組、当該ルールの中に、オブジェクト(「hishocolumn1」,「hishocolumn2」)とアクション「Insert」と可否「deny」の組が存在する場合、ステップA117と同様に、既存の対象ルールのほうが、当該ルールよりも優先度が高いため、両者で同一のオブジェクトを指すオブジェクト(「hishocolumn1」)のルールについては、既存の対象ルールが有効、当該ルールが無効となるため、無効となる部分のみ、つまり当該ルールからオブジェクト(「hishocolumn1」)とアクション「Insert」と可否「deny」の組のみを取り除き、オブジェクト(「hishocolumn2」)とアクション「Insert」と可否「deny」の組のみを残す。
(22)ステップA122
または、ポリシー解釈手段1は、アクションの対象ルールのうち、包含するオブジェクトが指定されたルールを削除する。これは、当該オブジェクトのルールが、包含するオブジェクトと同じアクション可否であったため、同じアクセス制御内容を示すルールとして、当該ルールだけがあれば十分であり、包含するオブジェクトが指定されたルールは不要となったためである。例えば、当該アクション「Insert」で処理されたオブジェクト(「hishocolumn1」)のルールと、同じくアクション「Insert」で処理されたオブジェクト(「hishotable」)の当該ルールについて、アクション「Insert」と組となる可否が、既存の対象ルールと当該ルールのいずれについても「permit」あるいは「deny」で揃っている場合、既存の対象ルールのほうが優先度は高いが、当該ルールによって既存の対象ルールもまとめて表現可能であるため、既存の対象ルールのほうを取り除く。
(23)ステップA123
次に、ポリシー解釈手段1は、当該ルールを、当該アクションの対象ルールに追加する。ステップA111に進む。
(24)ステップA124
次に、ポリシー解釈手段1は、アクション1つずつについて処理することで得られた、アクション毎の対象ルール群のなかで、互いに同じオブジェクトを指定されたルールが存在するとき、それらのルールを同じオブジェクトに対して複数のアクション可否を指定するルールになるよう1つに結合する。つまり、ルール群すべてについて、オブジェクトによる名寄せを行う。例えば、オブジェクト (「hishotable」)とアクション「Insert」と可否「permit」の組と、オブジェクト(「hishotable」)とアクション「Update」と可否「permit」の組が存在する場合、これをオブジェクト「hishotable」によって名寄せし、オブジェクト(「hishotable」)とアクション可否の集合((「Insert」,「permit」),(「Update」,「permit」))との組として結合する。
(25)ステップA125
次に、ポリシー解釈手段1は、サブジェクト割当を参照し、当該ロールに対応するサブジェクト集合を取得する。例えば、当該ロールが「総務部」であれば、サブジェクト割当E601に基づき、サブジェクト集合(「k-satou」,「m-suzuki」)を取得する。
(26)ステップA126
次に、ポリシー解釈手段1は、ルール群によって定義された、権限可否の集合に対して、当該サブジェクト集合を組として付与し、これにより、アクセス権可否の集合を生成する。ステップA101に進む。例えば、権限可否の集合((「kaikeitable」、((「Insert」,「deny」),(「Update」,「deny」),(「Delete」,「deny」),(「Select」,「permit」),(「References」,「permit」),(「Index」,「deny」))),(「shaintable」、((「Insert」,「permit」),(「Update」,「permit」),(「Delete」,「permit」),(「Select」,「permit」),(「References」,「permit」),(「Index」,「deny」))),(「kaishadb」、((「Create」,「deny」),(「Drop」,「deny」),(「Alter」,「deny」),(「Grant」,「permit」),(「Lock」,「permit」))))について、サブジェクト集合(「k-satou」,「m-suzuki」)をすべての組合わせをつくることで、アクセス権可否となる組を生成し、アクセス権可否の集合((「k-satou」,(「kaikeitable」、((「Insert」,「deny」),(「Update」,「deny」),(「Delete」,「deny」),(「Select」,「permit」),(「References」,「permit」),(「Index」,「deny」)))),(「k-satou」,(「shaintable」、((「Insert」, 「permit」),(「Update」,「permit」),(「Delete」,「permit」),(「Select」,「permit」),(「References」,「permit」),(「Index」,「deny」)))),(「k-satou」,(「kaishadb」、((「Create」,「deny」),(「Drop」,「deny」),(「Alter」,「deny」),(「Grant」,「permit」),(「Lock」,「permit」)))),(「m-suzuki」,(「kaikeitable」、((「Insert」,「deny」),(「Update」,「deny」),(「Delete」,「deny」),(「Select」,「permit」),(「References」,「permit」),(「Index」,「deny」)))),(「m-suzuki」,(「shaintable」、((「Insert」,「permit」),(「Update」,「permit」),(「Delete」,「permit」),(「Select」,「permit」),(「References」,「permit」),(「Index」,「deny」)))),(「m-suzuki」,(「kaishadb」、((「Create」,「deny」),(「Drop」,「deny」),(「Alter」,「deny」),(「Grant」,「permit」),(「Lock」,「permit」)))))を生成する。
(27)ステップA127
次に、ポリシー解釈手段1は、サブジェクト割当1つずつについて得られた、アクセス権可否の集合を、すべて結合してまとめたものをポリシー解釈処理で得られたアクセス権可否として、アクセス制御実施手段2に出力する。アクセス制御実施手段2には、例えば、図5のような情報がアクセス権可否として入力される。なお図5の例では、RBACの一般的な制御である、Default Denyの考えに基づき、あるサブジェクトからみて、アクセス権可否の中で組み合わせの登場しないオブジェクトについては、あらゆるアクションを拒否するものとして扱う。
これにより、ロール毎に記載された順序制約のあるアクセス制御ポリシーから、アクセス制御実施機能に設定する順序制約のないアクセス権可否における権限可否の集合を導出する。
このように本実施形態によれば、ロール毎に記載された順序制約のあるアクセス制御ポリシーからアクセス制御実施機能に設定する順序制約のないアクセス権可否における権限可否の集合を導出するポリシー解釈機能において、ロール階層に基づく継承関係にあるアクセス制御ポリシーの示す権限可否の集合間に、異なる種類のオブジェクトで構成されたオブジェクト階層に跨った競合が存在する場合でも、ロールの階層情報とオブジェクトの階層情報とオブジェクトの種類毎のアクションの階層情報を用いて、競合のない権限可否の集合を導出することができる。
なお、本発明は、日本国にて2010年9月22日に特許出願された特願2010−211515の特許出願に基づく優先権主張の利益を享受するものであり、当該特許出願に記載された内容は、全て本明細書に含まれるものとする。
本発明は、利用者が作成した順序制約のあるロール毎の権限可否の集合から、1台以上のコンピュータのアクセス制御に使用する順序制約のなりアクセス権可否の集合を自動的に生成する装置に適用可能である。
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)
オブジェクトとアクションと前記オブジェクトに対して前記アクションを許可或いは拒否するかを示す可否識別子との組を権限可否と定義するとき、ロールに対応して、順序制約のある権限可否の集合を記憶するポリシー格納手段と、
ロールと前記ロールに属するサブジェクトとの関係に関する情報を記憶するサブジェクト割当格納手段と、
オブジェクト間の包含関係に関する情報を記憶するオブジェクト階層格納手段と、
一時記憶手段と、
ロールに対応して、前記ポリシー格納手段から、順序制約のある権限可否の集合を処理対象集合として抽出する処理対象集合抽出手段と、
ロールに対応して、前記ロールについて抽出された前記処理対象集合から、順序制約のない権限可否の集合を前記一時記憶手段に生成する順序制約解決手段であって、
ロールに対応する前記処理対象集合から順序制約を満たす順序に従って権限可否を取り出して、該取り出した権限可否を処理対象権限可否とし、
前記処理対象権限可否のオブジェクトが前記一時記憶手段に既に生成済みの同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が相違する場合、前記処理対象権限可否を、前記包含するオブジェクトと同じ粒度のオブジェクトを持つ複数の権限可否に分割し、
該分割して得られた複数の権限可否のうち、前記包含するオブジェクトと相違するオブジェクトを持つ権限可否を前記一時記憶手段に記憶する順序制約解決手段と、
サブジェクトとオブジェクトとアクションと前記サブジェクトに対して前記オブジェクトに対する前記アクションを許可或いは拒否するかを示す可否識別子との組をアクセス権可否と定義するとき、前記ロールについて生成された順序制約のない権限可否の集合と、前記ロールと前記サブジェクトとの関係に関する前記情報とから、前記サブジェクトに対応するアクセス権可否の集合を生成するアクセス権可否生成手段と
を備えることを特徴とするアクセス権可否生成装置。
(付記2)
ロール間の継承関係に関する情報を記憶するロール階層格納手段を備え、
前記処理対象集合抽出手段は、前記ロールに対応して前記ポリシー格納手段に記憶されている順序制約のある権限可否の集合と、前記ロール間の継承関係で示される前記ロールの継承元ロールに対応して前記ポリシー格納手段に記憶されている順序制約のある権限可否の集合とを抽出して結合し、順序制約のある権限可否の集合である処理対象集合を生成する
ことを特徴とする付記1に記載のアクセス権可否生成装置。
(付記3)
前記順序制約解決手段は、前記一時記憶手段に記憶されている同じアクションを持つ権限可否のオブジェクトに包含されているオブジェクトを持つ前記処理対象権限可否は、廃棄する
ことを特徴とする付記1または2に記載のアクセス権可否生成装置。
(付記4)
前記オブジェクトとアクションとの関係に関する情報を記憶するアクション階層格納手段を備え、
前記順序制約解決手段は、
前記処理対象権限可否のアクションが、前記処理対象権限可否のオブジェクトの粒度に対応していない場合、前記処理対象権限可否を、前記アクションに対応する粒度の小さなオブジェクトを持つ複数の処理対象権限可否に分割して処理する
ことを特徴とする付記1乃至3の何れかに記載のアクセス権可否生成装置。
(付記5)
前記順序制約解決手段は、前記処理対象権限可否のオブジェクトが前記一時記憶手段に記憶されている同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が一致する場合、前記処理対象権限可否を前記一時記憶手段に記憶すると共に、前記一時記憶手段に記憶されている前記同じアクション、同じ可否識別子を持つ前記権限可否を削除する
ことを特徴とする付記1乃至4の何れかに記載のアクセス権可否生成装置。
(付記6)
アクセス権可否生成手段は、サブジェクトとオブジェクトと可否識別子とが同じで、アクションが相違する複数のアクセス権可否を1つのアクセス権可否に統合する
ことを特徴とする付記1乃至5の何れかに記載のアクセス権可否生成装置。
(付記7)
付記1乃至6の何れかに記載のアクセス権可否生成装置と、
前記アクセス権可否生成装置で生成されたアクセス権可否を記憶し、該記憶したアクセス権可否に基づいてアクセス制御を行うアクセス制御実施手段と
を備えることを特徴とするアクセス制御システム。
(付記8)
オブジェクトとアクションと前記オブジェクトに対して前記アクションを許可或いは拒否するかを示す可否識別子との組を権限可否と定義するとき、ロールに対応して、順序制約のある権限可否の集合を記憶するポリシー格納領域と、ロールと前記ロールに属するサブジェクトとの関係に関する情報を記憶するサブジェクト割当格納領域と、オブジェクト間の包含関係に関する情報を記憶するオブジェクト階層格納領域と、一時記憶領域とを有するメモリと、
前記メモリに接続されたプロセッサとを有し、
前記プロセッサは、
ロールに対応して、前記ポリシー格納領域から、順序制約のある権限可否の集合を処理対象集合として抽出し、
ロールに対応して、前記ロールについて抽出した前記処理対象集合から、順序制約のない権限可否の集合を前記一時記憶領域に生成する際に、まず、ロールに対応する前記処理対象集合から順序制約を満たす順序に従って権限可否を取り出して、該取り出した権限可否を処理対象権限可否とし、次に、前記処理対象権限可否のオブジェクトが前記一時記憶領域に既に生成済みの同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が相違する場合、前記処理対象権限可否を、前記包含するオブジェクトと同じ粒度のオブジェクトを持つ複数の権限可否に分割し、次に、該分割して得られた複数の権限可否のうち、前記包含するオブジェクトと相違するオブジェクトを持つ権限可否を前記一時記憶領域に記憶し、
サブジェクトとオブジェクトとアクションと前記サブジェクトに対して前記オブジェクトに対する前記アクションを許可或いは拒否するかを示す可否識別子との組をアクセス権可否と定義するとき、前記ロールについて生成された順序制約のない権限可否の集合と、前記ロールと前記サブジェクトとの関係に関する前記情報とから、前記サブジェクトに対応するアクセス権可否の集合を生成する
ようにプログラミングされていることを特徴とするアクセス権可否生成装置。
(付記9)
前記メモリは、さらに、ロール間の継承関係に関する情報を記憶するロール階層格納領域を備え、
前記プロセッサは、
前記処理対象集合の抽出では、前記ロールに対応して前記ポリシー格納領域に記憶されている順序制約のある権限可否の集合と、前記ロール間の継承関係で示される前記ロールの継承元ロールに対応して前記ポリシー格納領域に記憶されている順序制約のある権限可否の集合とを抽出して結合し、順序制約のある権限可否の集合である処理対象集合を生成する
ことを特徴とする付記8に記載のアクセス権可否生成装置。
(付記10)
前記プロセッサは、
順序制約のない権限可否の集合を前記一時記憶領域に生成する際には、前記一時記憶領域に記憶されている同じアクションを持つ権限可否のオブジェクトに包含されているオブジェクトを持つ前記処理対象権限可否は、廃棄する
ことを特徴とする付記8または9に記載のアクセス権可否生成装置。
(付記11)
前記メモリは、さらに、前記オブジェクトとアクションとの関係に関する情報を記憶するアクション階層格納領域を備え、
前記プロセッサは、
順序制約のない権限可否の集合を前記一時記憶領域に生成する際には、前記処理対象権限可否のアクションが、前記処理対象権限可否のオブジェクトの粒度に対応していない場合、前記処理対象権限可否を、前記アクションに対応する粒度の小さなオブジェクトを持つ複数の処理対象権限可否に分割して処理する
ことを特徴とする付記8乃至10の何れかに記載のアクセス権可否生成装置。
(付記12)
前記プロセッサは、
順序制約のない権限可否の集合を前記一時記憶領域に生成する際には、前記処理対象権限可否のオブジェクトが前記一時記憶領域に記憶されている同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が一致する場合、前記処理対象権限可否を前記一時記憶領域に記憶すると共に、前記一時記憶領域に記憶されている前記同じアクション、同じ可否識別子を持つ前記権限可否を削除する
ことを特徴とする付記8乃至11の何れかに記載のアクセス権可否生成装置。
(付記13)
前記プロセッサは、
前記サブジェクトに対応するアクセス権可否の集合の生成では、サブジェクトとオブジェクトと可否識別子とが同じで、アクションが相違する複数のアクセス権可否を1つのアクセス権可否に統合する
ことを特徴とする付記8乃至12の何れかに記載のアクセス権可否生成装置。
(付記14)
前記プロセッサは、さらに、
前記生成したアクセス権可否に基づいてアクセス制御を行う
ことを特徴とする付記8乃至13の何れかに記載のアクセス権可否生成装置。
(付記15)
オブジェクトとアクションと前記オブジェクトに対して前記アクションを許可或いは拒否するかを示す可否識別子との組を権限可否と定義するとき、ロールに対応して、順序制約のある権限可否の集合を記憶するポリシー格納手段と、ロールと前記ロールに属するサブジェクトとの関係に関する情報を記憶するサブジェクト割当格納手段と、オブジェクト間の包含関係に関する情報を記憶するオブジェクト階層格納手段と、一時記憶手段と、処理対象集合抽出手段と、順序制約解決手段と、アクセス権可否生成手段とを有するアクセス権可否生成装置が実行するアクセス権可否生成方法であって、
前記処理対象集合抽出手段が、ロールに対応して、前記ポリシー格納手段から、順序制約のある権限可否の集合を処理対象集合として抽出し、
前記順序制約解決手段が、ロールに対応して、前記ロールについて抽出された前記処理対象集合から、順序制約のない権限可否の集合を前記一時記憶手段に生成し、
前記アクセス権可否生成手段が、サブジェクトとオブジェクトとアクションと前記サブジェクトに対して前記オブジェクトに対する前記アクションを許可或いは拒否するかを示す可否識別子との組をアクセス権可否と定義するとき、前記ロールについて生成された順序制約のない権限可否の集合と、前記ロールと前記サブジェクトとの関係に関する前記情報とから、前記サブジェクトに対応するアクセス権可否の集合を生成し、
前記順序制約のない権限可否の集合の生成では、
ロールに対応する前記処理対象集合から順序制約を満たす順序に従って権限可否を取り出して、該取り出した権限可否を処理対象権限可否とし、
前記処理対象権限可否のオブジェクトが前記一時記憶手段に既に生成済みの同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が相違する場合、前記処理対象権限可否を、前記包含するオブジェクトと同じ粒度のオブジェクトを持つ複数の権限可否に分割し、
該分割して得られた複数の権限可否のうち、前記包含するオブジェクトと相違するオブジェクトを持つ権限可否を前記一時記憶手段に記憶する
ことを特徴とするアクセス権可否生成方法。
(付記16)
オブジェクトとアクションと前記オブジェクトに対して前記アクションを許可或いは拒否するかを示す可否識別子との組を権限可否と定義するとき、ロールに対応して、順序制約のある権限可否の集合を記憶するポリシー格納領域と、ロールと前記ロールに属するサブジェクトとの関係に関する情報を記憶するサブジェクト割当格納領域と、オブジェクト間の包含関係に関する情報を記憶するオブジェクト階層格納領域と、一時記憶領域とを有するメモリと、前記メモリに接続されたプロセッサとを有するアクセス権可否生成装置が実行するアクセス権可否生成方法であって、
前記プロセッサが、
ロールに対応して、前記ポリシー格納領域から、順序制約のある権限可否の集合を処理対象集合として抽出し、
ロールに対応して、前記ロールについて抽出した前記処理対象集合から、順序制約のない権限可否の集合を前記一時記憶領域に生成する際に、まず、ロールに対応する前記処理対象集合から順序制約を満たす順序に従って権限可否を取り出して、該取り出した権限可否を処理対象権限可否とし、次に、前記処理対象権限可否のオブジェクトが前記一時記憶領域に既に生成済みの同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が相違する場合、前記処理対象権限可否を、前記包含するオブジェクトと同じ粒度のオブジェクトを持つ複数の権限可否に分割し、次に、該分割して得られた複数の権限可否のうち、前記包含するオブジェクトと相違するオブジェクトを持つ権限可否を前記一時記憶領域に記憶し、
サブジェクトとオブジェクトとアクションと前記サブジェクトに対して前記オブジェクトに対する前記アクションを許可或いは拒否するかを示す可否識別子との組をアクセス権可否と定義するとき、前記ロールについて生成された順序制約のない権限可否の集合と、前記ロールと前記サブジェクトとの関係に関する前記情報とから、前記サブジェクトに対応するアクセス権可否の集合を生成する
ことを特徴とするアクセス権可否生成方法。
(付記17)
オブジェクトとアクションと前記オブジェクトに対して前記アクションを許可或いは拒否するかを示す可否識別子との組を権限可否と定義するとき、ロールに対応して、順序制約のある権限可否の集合を記憶するポリシー格納手段と、ロールと前記ロールに属するサブジェクトとの関係に関する情報を記憶するサブジェクト割当格納手段と、オブジェクト間の包含関係に関する情報を記憶するオブジェクト階層格納手段と、一時記憶手段とを有するコンピュータを、
ロールに対応して、前記ポリシー格納手段から、順序制約のある権限可否の集合を処理対象集合として抽出する処理対象集合抽出手段と、
ロールに対応して、前記ロールについて抽出された前記処理対象集合から、順序制約のない権限可否の集合を前記一時記憶手段に生成する順序制約解決手段であって、
ロールに対応する前記処理対象集合から順序制約を満たす順序に従って権限可否を取り出して、該取り出した権限可否を処理対象権限可否とし、
前記処理対象権限可否のオブジェクトが前記一時記憶手段に既に生成済みの同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が相違する場合、前記処理対象権限可否を、前記包含するオブジェクトと同じ粒度のオブジェクトを持つ複数の権限可否に分割し、
該分割して得られた複数の権限可否のうち、前記包含するオブジェクトと相違するオブジェクトを持つ権限可否を前記一時記憶手段に記憶する順序制約解決手段と、
サブジェクトとオブジェクトとアクションと前記サブジェクトに対して前記オブジェクトに対する前記アクションを許可或いは拒否するかを示す可否識別子との組をアクセス権可否と定義するとき、前記ロールについて生成された順序制約のない権限可否の集合と、前記ロールと前記サブジェクトとの関係に関する前記情報とから、前記サブジェクトに対応するアクセス権可否の集合を生成するアクセス権可否生成手段と
して機能させるためのプログラム。
(付記18)
オブジェクトとアクションと前記オブジェクトに対して前記アクションを許可或いは拒否するかを示す可否識別子との組を権限可否と定義するとき、ロールに対応して、順序制約のある権限可否の集合を記憶するポリシー格納手段と、ロールと前記ロールに属するサブジェクトとの関係に関する情報を記憶するサブジェクト割当格納手段と、オブジェクト間の包含関係に関する情報を記憶するオブジェクト階層格納手段と、一時記憶手段とを有するコンピュータを、
ロールに対応して、前記ポリシー格納手段から、順序制約のある権限可否の集合を処理対象集合として抽出する処理対象集合抽出手段と、
ロールに対応して、前記ロールについて抽出された前記処理対象集合から、順序制約のない権限可否の集合を前記一時記憶手段に生成する順序制約解決手段であって、
ロールに対応する前記処理対象集合から順序制約を満たす順序に従って権限可否を取り出して、該取り出した権限可否を処理対象権限可否とし、
前記処理対象権限可否のオブジェクトが前記一時記憶手段に既に生成済みの同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が相違する場合、前記処理対象権限可否を、前記包含するオブジェクトと同じ粒度のオブジェクトを持つ複数の権限可否に分割し、
該分割して得られた複数の権限可否のうち、前記包含するオブジェクトと相違するオブジェクトを持つ権限可否を前記一時記憶手段に記憶する順序制約解決手段と、
サブジェクトとオブジェクトとアクションと前記サブジェクトに対して前記オブジェクトに対する前記アクションを許可或いは拒否するかを示す可否識別子との組をアクセス権可否と定義するとき、前記ロールについて生成された順序制約のない権限可否の集合と、前記ロールと前記サブジェクトとの関係に関する前記情報とから、前記サブジェクトに対応するアクセス権可否の集合を生成するアクセス権可否生成手段と
して機能させるためのプログラムを記録したコンピュータ読取可能な記録媒体。
1 ポリシー解釈手段
2 アクセス制御実施手段
3 サブジェクト割当格納手段
4 ロール階層格納手段
5 ポリシー格納手段
6 アクション階層格納手段
7 オブジェクト階層格納手段
8 一時記憶手段

Claims (9)

  1. オブジェクトとアクションと前記オブジェクトに対して前記アクションを許可或いは拒否するかを示す可否識別子との組を権限可否と定義するとき、ロールに対応して、順序制約のある権限可否の集合を記憶するポリシー格納手段と、
    ロールと前記ロールに属するサブジェクトとの関係に関する情報を記憶するサブジェクト割当格納手段と、
    オブジェクト間の包含関係に関する情報を記憶するオブジェクト階層格納手段と、
    一時記憶手段と、
    ロールに対応して、前記ポリシー格納手段から、順序制約のある権限可否の集合を処理対象集合として抽出する処理対象集合抽出手段と、
    ロールに対応して、前記ロールについて抽出された前記処理対象集合から、順序制約のない権限可否の集合を前記一時記憶手段に生成する順序制約解決手段であって、
    ロールに対応する前記処理対象集合から順序制約を満たす順序に従って権限可否を取り出して、該取り出した権限可否を処理対象権限可否とし、
    前記処理対象権限可否のオブジェクトが前記一時記憶手段に既に生成済みの同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が相違する場合、前記処理対象権限可否を、前記包含するオブジェクトと同じ粒度のオブジェクトを持つ複数の権限可否に分割し、
    該分割して得られた複数の権限可否のうち、前記包含するオブジェクトと相違するオブジェクトを持つ権限可否を前記一時記憶手段に記憶する順序制約解決手段と、
    サブジェクトとオブジェクトとアクションと前記サブジェクトに対して前記オブジェクトに対する前記アクションを許可或いは拒否するかを示す可否識別子との組をアクセス権可否と定義するとき、前記ロールについて生成された順序制約のない権限可否の集合と、前記ロールと前記サブジェクトとの関係に関する前記情報とから、前記サブジェクトに対応するアクセス権可否の集合を生成するアクセス権可否生成手段と
    を備えることを特徴とするアクセス権可否生成装置。
  2. ロール間の継承関係に関する情報を記憶するロール階層格納手段を備え、
    前記処理対象集合抽出手段は、前記ロールに対応して前記ポリシー格納手段に記憶されている順序制約のある権限可否の集合と、前記ロール間の継承関係で示される前記ロールの継承元ロールに対応して前記ポリシー格納手段に記憶されている順序制約のある権限可否の集合とを抽出して結合し、順序制約のある権限可否の集合である処理対象集合を生成する
    ことを特徴とする請求項1に記載のアクセス権可否生成装置。
  3. 前記順序制約解決手段は、前記一時記憶手段に記憶されている同じアクションを持つ権限可否のオブジェクトに包含されているオブジェクトを持つ前記処理対象権限可否は、廃棄する
    ことを特徴とする請求項1または2に記載のアクセス権可否生成装置。
  4. 前記オブジェクトとアクションとの関係に関する情報を記憶するアクション階層格納手段を備え、
    前記順序制約解決手段は、
    前記処理対象権限可否のアクションが、前記処理対象権限可否のオブジェクトの粒度に対応していない場合、前記処理対象権限可否を、前記アクションに対応する粒度の小さなオブジェクトを持つ複数の処理対象権限可否に分割して処理する
    ことを特徴とする請求項1乃至3の何れかに記載のアクセス権可否生成装置。
  5. 前記順序制約解決手段は、前記処理対象権限可否のオブジェクトが前記一時記憶手段に記憶されている同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が一致する場合、前記処理対象権限可否を前記一時記憶手段に記憶すると共に、前記一時記憶手段に記憶されている前記同じアクション、同じ可否識別子を持つ前記権限可否を削除する
    ことを特徴とする請求項1乃至4の何れかに記載のアクセス権可否生成装置。
  6. アクセス権可否生成手段は、サブジェクトとオブジェクトと可否識別子とが同じで、アクションが相違する複数のアクセス権可否を1つのアクセス権可否に統合する
    ことを特徴とする請求項1乃至5の何れかに記載のアクセス権可否生成装置。
  7. 請求項1乃至6の何れかに記載のアクセス権可否生成装置と、
    前記アクセス権可否生成装置で生成されたアクセス権可否を記憶し、該記憶したアクセス権可否に基づいてアクセス制御を行うアクセス制御実施手段と
    を備えることを特徴とするアクセス制御システム。
  8. オブジェクトとアクションと前記オブジェクトに対して前記アクションを許可或いは拒否するかを示す可否識別子との組を権限可否と定義するとき、ロールに対応して、順序制約のある権限可否の集合を記憶するポリシー格納手段と、ロールと前記ロールに属するサブジェクトとの関係に関する情報を記憶するサブジェクト割当格納手段と、オブジェクト間の包含関係に関する情報を記憶するオブジェクト階層格納手段と、一時記憶手段と、処理対象集合抽出手段と、順序制約解決手段と、アクセス権可否生成手段とを有するアクセス権可否生成装置が実行するアクセス権可否生成方法であって、
    前記処理対象集合抽出手段が、ロールに対応して、前記ポリシー格納手段から、順序制約のある権限可否の集合を処理対象集合として抽出し、
    前記順序制約解決手段が、ロールに対応して、前記ロールについて抽出された前記処理対象集合から、順序制約のない権限可否の集合を前記一時記憶手段に生成し、
    前記アクセス権可否生成手段が、サブジェクトとオブジェクトとアクションと前記サブジェクトに対して前記オブジェクトに対する前記アクションを許可或いは拒否するかを示す可否識別子との組をアクセス権可否と定義するとき、前記ロールについて生成された順序制約のない権限可否の集合と、前記ロールと前記サブジェクトとの関係に関する前記情報とから、前記サブジェクトに対応するアクセス権可否の集合を生成し、
    前記順序制約のない権限可否の集合の生成では、
    ロールに対応する前記処理対象集合から順序制約を満たす順序に従って権限可否を取り出して、該取り出した権限可否を処理対象権限可否とし、
    前記処理対象権限可否のオブジェクトが前記一時記憶手段に既に生成済みの同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が相違する場合、前記処理対象権限可否を、前記包含するオブジェクトと同じ粒度のオブジェクトを持つ複数の権限可否に分割し、
    該分割して得られた複数の権限可否のうち、前記包含するオブジェクトと相違するオブジェクトを持つ権限可否を前記一時記憶手段に記憶する
    ことを特徴とするアクセス権可否生成方法。
  9. オブジェクトとアクションと前記オブジェクトに対して前記アクションを許可或いは拒否するかを示す可否識別子との組を権限可否と定義するとき、ロールに対応して、順序制約のある権限可否の集合を記憶するポリシー格納手段と、ロールと前記ロールに属するサブジェクトとの関係に関する情報を記憶するサブジェクト割当格納手段と、オブジェクト間の包含関係に関する情報を記憶するオブジェクト階層格納手段と、一時記憶手段とを有するコンピュータを、
    ロールに対応して、前記ポリシー格納手段から、順序制約のある権限可否の集合を処理対象集合として抽出する処理対象集合抽出手段と、
    ロールに対応して、前記ロールについて抽出された前記処理対象集合から、順序制約のない権限可否の集合を前記一時記憶手段に生成する順序制約解決手段であって、
    ロールに対応する前記処理対象集合から順序制約を満たす順序に従って権限可否を取り出して、該取り出した権限可否を処理対象権限可否とし、
    前記処理対象権限可否のオブジェクトが前記一時記憶手段に既に生成済みの同じアクションを持つ権限可否のオブジェクトを包含し、且つ両者の可否識別子が相違する場合、前記処理対象権限可否を、前記包含するオブジェクトと同じ粒度のオブジェクトを持つ複数の権限可否に分割し、
    該分割して得られた複数の権限可否のうち、前記包含するオブジェクトと相違するオブジェクトを持つ権限可否を前記一時記憶手段に記憶する順序制約解決手段と、
    サブジェクトとオブジェクトとアクションと前記サブジェクトに対して前記オブジェクトに対する前記アクションを許可或いは拒否するかを示す可否識別子との組をアクセス権可否と定義するとき、前記ロールについて生成された順序制約のない権限可否の集合と、前記ロールと前記サブジェクトとの関係に関する前記情報とから、前記サブジェクトに対応するアクセス権可否の集合を生成するアクセス権可否生成手段と
    して機能させるためのプログラム。
JP2012534907A 2010-09-22 2011-06-10 アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム Active JP5807640B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012534907A JP5807640B2 (ja) 2010-09-22 2011-06-10 アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2010211515 2010-09-22
JP2010211515 2010-09-22
PCT/JP2011/003290 WO2012039081A1 (ja) 2010-09-22 2011-06-10 アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム
JP2012534907A JP5807640B2 (ja) 2010-09-22 2011-06-10 アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム

Publications (2)

Publication Number Publication Date
JPWO2012039081A1 JPWO2012039081A1 (ja) 2014-02-03
JP5807640B2 true JP5807640B2 (ja) 2015-11-10

Family

ID=45873587

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012534907A Active JP5807640B2 (ja) 2010-09-22 2011-06-10 アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム

Country Status (3)

Country Link
US (1) US9256716B2 (ja)
JP (1) JP5807640B2 (ja)
WO (1) WO2012039081A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6244774B2 (ja) * 2013-09-24 2017-12-13 日本電気株式会社 アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム
US8769610B1 (en) 2013-10-31 2014-07-01 Eventure Interactive, Inc. Distance-modified security and content sharing
US10348561B1 (en) * 2013-11-20 2019-07-09 Rockwell Automation, Inc. Systems and methods for automated access to relevant information in a mobile computing environment
US10171471B2 (en) * 2016-01-10 2019-01-01 International Business Machines Corporation Evidence-based role based access control
CN108268790A (zh) * 2016-12-30 2018-07-10 北京国双科技有限公司 数据权限的配置方法及装置
US10592681B2 (en) * 2017-01-10 2020-03-17 Snowflake Inc. Data sharing in a multi-tenant database system
RU2659743C1 (ru) * 2017-02-08 2018-07-03 Акционерное общество "Лаборатория Касперского" Система и способ контроля доступа на основе ACL
CN110324159B (zh) * 2018-03-28 2020-11-03 华为技术有限公司 链路配置方法、控制器和存储介质
JP7288193B2 (ja) * 2019-07-11 2023-06-07 富士通株式会社 情報処理プログラム、情報処理装置及び情報処理方法
CN111027091B (zh) * 2019-11-13 2022-04-22 北京字节跳动网络技术有限公司 一种管理权限的方法、装置、介质和电子设备
WO2023064180A1 (en) * 2021-10-13 2023-04-20 People Center, Inc. Assignment and dynamic application of a permission rule to a group of entities
US11663354B1 (en) 2021-10-13 2023-05-30 People Center, Inc. Assignment and dynamic application of a permission rule to a group of entities

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11313102A (ja) * 1998-02-27 1999-11-09 Fujitsu Ltd アクセス制御リスト生成方法及びその装置
JP2002091816A (ja) * 2000-09-08 2002-03-29 Internatl Business Mach Corp <Ibm> アクセス制御システム
US6651096B1 (en) * 1999-04-20 2003-11-18 Cisco Technology, Inc. Method and apparatus for organizing, storing and evaluating access control lists
JP2007193826A (ja) * 2007-02-19 2007-08-02 Ricoh Co Ltd データ管理装置、データ管理処理方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2008117026A (ja) * 2006-11-01 2008-05-22 Fujitsu Ltd アクセス制御プログラム及びアクセス制御方法並びにアクセス制御システム
WO2010092755A1 (ja) * 2009-02-10 2010-08-19 日本電気株式会社 ポリシー管理装置、ポリシー管理システム、それに用いる方法およびプログラム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7373352B2 (en) * 2003-12-11 2008-05-13 Triteq Lock And Security, Llc Electronic key-control and management system for vending machines
US5889953A (en) * 1995-05-25 1999-03-30 Cabletron Systems, Inc. Policy management and conflict resolution in computer networks
US6381639B1 (en) * 1995-05-25 2002-04-30 Aprisma Management Technologies, Inc. Policy management and conflict resolution in computer networks
US20020026592A1 (en) * 2000-06-16 2002-02-28 Vdg, Inc. Method for automatic permission management in role-based access control systems
US7185192B1 (en) * 2000-07-07 2007-02-27 Emc Corporation Methods and apparatus for controlling access to a resource
US7350226B2 (en) * 2001-12-13 2008-03-25 Bea Systems, Inc. System and method for analyzing security policies in a distributed computer network
JP3939977B2 (ja) * 2001-12-20 2007-07-04 富士通株式会社 アクセス権矛盾検出装置および解析ルール作成装置
US7461158B2 (en) * 2002-08-07 2008-12-02 Intelliden, Inc. System and method for controlling access rights to network resources
US7370344B2 (en) * 2003-04-14 2008-05-06 Sas Institute Inc. Computer-implemented data access security system and method
US8381306B2 (en) * 2006-05-30 2013-02-19 Microsoft Corporation Translating role-based access control policy to resource authorization policy
US8010991B2 (en) * 2007-01-29 2011-08-30 Cisco Technology, Inc. Policy resolution in an entitlement management system
US20090178102A1 (en) * 2008-01-04 2009-07-09 Khaled Alghathbar Implementing Security Policies in Software Development Tools
US8387115B2 (en) * 2008-02-21 2013-02-26 Syracuse University Active access control system and method
US8381285B2 (en) * 2010-06-25 2013-02-19 Sap Ag Systems and methods for generating constraints for use in access control

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11313102A (ja) * 1998-02-27 1999-11-09 Fujitsu Ltd アクセス制御リスト生成方法及びその装置
US6651096B1 (en) * 1999-04-20 2003-11-18 Cisco Technology, Inc. Method and apparatus for organizing, storing and evaluating access control lists
JP2002091816A (ja) * 2000-09-08 2002-03-29 Internatl Business Mach Corp <Ibm> アクセス制御システム
JP2008117026A (ja) * 2006-11-01 2008-05-22 Fujitsu Ltd アクセス制御プログラム及びアクセス制御方法並びにアクセス制御システム
JP2007193826A (ja) * 2007-02-19 2007-08-02 Ricoh Co Ltd データ管理装置、データ管理処理方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体
WO2010092755A1 (ja) * 2009-02-10 2010-08-19 日本電気株式会社 ポリシー管理装置、ポリシー管理システム、それに用いる方法およびプログラム

Also Published As

Publication number Publication date
US20130160076A1 (en) 2013-06-20
JPWO2012039081A1 (ja) 2014-02-03
WO2012039081A1 (ja) 2012-03-29
US9256716B2 (en) 2016-02-09

Similar Documents

Publication Publication Date Title
JP5807640B2 (ja) アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム
JP5645034B2 (ja) アクセス制御プログラム、システム及び方法
US8122484B2 (en) Access control policy conversion
US9430662B2 (en) Provisioning authorization claims using attribute-based access-control policies
Son et al. A novel attribute-based access control system for fine-grained privacy protection
KR101101085B1 (ko) 데이터 아이템의 구역 기반 보안 관리
Son et al. Towards a fine-grained access control mechanism for privacy protection and policy conflict resolution
Hoang et al. A dynamic solution for fine-grained policy conflict resolution
Zhang et al. Safety analysis of usage control authorization models
Muhleisen et al. SWRL-based access policies for linked data
Ed-Daibouni et al. Toward a new extension of the access control model ABAC for cloud computing
US20130232544A1 (en) System and method for performing partial evaluation in order to construct a simplified policy
Muthukumaran et al. Producing hook placements to enforce expected access control policies
US9191408B2 (en) System and method for performing partial evaluation in order to construct a simplified policy
Abd-Ali et al. A Metamodel for Hybrid Access Control Policies.
Sladić et al. Flexible access control framework for MARC records
JP2014170324A (ja) アクセス制御システム、アクセス制御方法およびプログラム
Rai et al. Access control mechanism in health care information system
KR20090103396A (ko) 다중 등급 보안 방식에 기초한 강제적 프로세스 메모리접근 제어 방법 및 이를 프로그램화하여 수록한 컴퓨터로읽을 수 있는 기록매체
JP2007004610A (ja) 複合的アクセス認可方法及び装置
RU2533061C1 (ru) Система контроля доступа к шифруемым создаваемым файлам
Chen et al. An access control model for protecting provenance graphs
Grob The road to 5G: Providing the connectivity fabric for everything
JP2007233635A (ja) 情報管理システム及び情報管理方法、並びにコンピュータ・プログラム
Ribeiro et al. A Policy-Oriented Language for Expressing Security Specifications.

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150811

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150824

R150 Certificate of patent or registration of utility model

Ref document number: 5807640

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150