JP6244774B2 - アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム - Google Patents
アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム Download PDFInfo
- Publication number
- JP6244774B2 JP6244774B2 JP2013197422A JP2013197422A JP6244774B2 JP 6244774 B2 JP6244774 B2 JP 6244774B2 JP 2013197422 A JP2013197422 A JP 2013197422A JP 2013197422 A JP2013197422 A JP 2013197422A JP 6244774 B2 JP6244774 B2 JP 6244774B2
- Authority
- JP
- Japan
- Prior art keywords
- access control
- acl
- information
- control information
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、特定の情報資源に対するアクセス要求に対して、当該情報資源へのアクセス可否を判定する、アクセス制御装置、アクセス制御方法、及びアクセス制御プログラムに関する。
近年、複数のユーザに対して各種情報資源(リソース)を提供するようなネットワークシステムが普及している。このようなシステムにおいては、例えば、ユーザ毎に特定のリソースに対するアクセスの可否を制御するため、リソースに対するアクセス可否のルールを規定したアクセス制御リスト(ACL:Access Control List)を導入することがある。ACLに基づいてリソースに対するアクセス可否を適切に制御するためには、ACLの管理者は、アクセス制御対象となるリソースの種類や、ユーザの種別等、複数の条件を考慮して適切なアクセス制御ルールを設定し、常に最新の状態に維持する必要がある。
ACLを用いた各種リソースに対するアクセス制御や、ACLの管理に関連する技術としては、例えば以下の特許文献に開示された技術がある。
即ち、特許文献1は、文書データに対して複数のアクセス権を設定する際に、当該複数のアクセス権が重複するか否かを検出し、アクセス権が重複している場合には、別途記憶している各アクセス権に関する優先順位を表す優先情報に基づいて、いずれのアクセス権を有効とするかを決定する技術を開示する。
特許文献2は、特定のリソースに対するアクセス可否情報と優先度の情報とを含むACLに基づいて各ユーザに対するアクセス制御を実現する技術であって、特定のユーザIDによって識別されるユーザが、特定のデータIDによって識別されるデータにアクセスできるか否かを、前記ACLに含まれる優先度が最も高いアクセス可否情報に基づいて判定する技術を開示する。
特許文献3は、複数のオブジェクトに設定される複数のACLについて、当該複数のACL同士の間に特定の関係が成立する場合、当該関係をグラフ構造として管理する技術を開示する。
前述した通り、ACLに基づくアクセス制御を実現するためには、管理者が常に最適なアクセス制御ルールをACLに設定すると共に、管理する必要がある。しかしながら、ACLに設定されたルールが膨大になり、ルール間の関係が複雑化した場合、管理者は、既存のルールと矛盾なく、新たなルールを適切に追加することが困難になる、という課題がある。また、一時的に特定のリソースに対するアクセス制御のルールを変更したい場合であっても、変更は容易ではないという課題がある。
前述した特許文献においては、複数のACL間の関係やACLに付与された優先度に基づいて、適用するACLを選択する技術や、リソースの所有関係に基づいたアクセス制御により、ACLの管理負担を軽減する技術が開示されているものの、ACLに設定されるルールの増大や、ルール変更の要求に伴うACL管理負担の軽減についての対応が十分ではない。
そこで本発明は、上述した課題である、管理者によるACL管理負担を軽減し、ACLに対する新規ルールの追加や、変更を容易にするアクセス制御装置、アクセス制御方法、及びアクセス制御プログラムを提供することを主たる目的とする。
上記の目的を達成すべく、本発明に係るアクセス制御装置は、以下の構成を備えることを特徴とする。即ち、本発明に係るアクセス制御装置は、リソースに対するアクセス可否を規定するアクセス制御情報を含むアクセス制御リストに基づいて、前記リソースに対するアクセス可否を判定するアクセス制御部と、前記アクセス制御リストに対するアクセス制御情報の追加要求に応じて、前記アクセス制御情報をグループ化するための関連情報を更新し、更新した前記関連情報と、前記アクセス制御情報に関連付けされた優先度情報とに基づいて、前記アクセス制御リストを更新する、アクセス制御リスト管理部と、を備える。
また、本発明に係るアクセス制御方法は、以下の構成を備えることを特徴とする。即ち、本発明に係るアクセス制御方法は、リソースに対するアクセス可否を規定するアクセス制御情報を含むアクセス制御リストに基づいて、前記リソースに対するアクセス可否を判定し、前記アクセス制御リストに対するアクセス制御情報の追加要求に応じて、前記アクセス制御情報をグループ化するための関連情報を更新し、更新した前記関連情報と、前記アクセス制御情報に関連付けされた優先度情報とに基づいて、前記アクセス制御リストを更新する。
また、本発明に係るアクセス制御プログラムは、以下の構成を備えることを特徴とする。即ち、本発明に係るアクセス制御プログラムは、リソースに対するアクセス可否を規定するアクセス制御情報を含むアクセス制御リストに基づいて、前記リソースに対するアクセス可否を判定する処理と、前記アクセス制御リストに対するアクセス制御情報の追加要求に応じて、前記アクセス制御情報をグループ化するための関連情報を更新する処理と、更新した前記関連情報と、前記アクセス制御情報に関連付けされた優先度情報とに基づいて、前記アクセス制御リストを更新する処理と、をコンピュータに実行させる。
なお、上記本発明の目的は、係るアクセス制御プログラムが格納された、コンピュータ読み取り可能な記憶媒体によっても実現可能である。
上記本発明によれば、管理者による、ACLに対する新たなアクセス制御ルールの追加や、一時的なアクセス制御ルールの変更が容易になり、管理者によるACL管理の負担を低減できる。
次に、本発明を実施する形態について、図面を参照して詳細に説明する。
<第1の実施形態>
本発明の第1の実施形態におけるアクセス制御システムについて、図1を参照して説明する。図1は、本発明の第1の実施形態におけるアクセス制御システムの機能的な構成を表すブロック図である。図1に示すように、アクセス制御装置101は、クライアント103から発信されるアクセス要求を解析し、後述するアクセス制御リスト(図1におけるACLマスタ101a)に基づいてアクセス可否を判定する。また、ACL管理部100は、アクセス制御リストに対する新たなアクセス制御ルールの追加や変更等、ACL管理者による管理要求に応答する。以下、各構成要素について図面を参照して説明する。
本発明の第1の実施形態におけるアクセス制御システムについて、図1を参照して説明する。図1は、本発明の第1の実施形態におけるアクセス制御システムの機能的な構成を表すブロック図である。図1に示すように、アクセス制御装置101は、クライアント103から発信されるアクセス要求を解析し、後述するアクセス制御リスト(図1におけるACLマスタ101a)に基づいてアクセス可否を判定する。また、ACL管理部100は、アクセス制御リストに対する新たなアクセス制御ルールの追加や変更等、ACL管理者による管理要求に応答する。以下、各構成要素について図面を参照して説明する。
サーバ102は、クライアント103に対してリソース102aを提供する。サーバ102は、例えば、インターネットに通信可能に接続され、ユーザにコンテンツを開示するWorld Wide Webサーバ(以下Webサーバと称する事がある)や、イントラネットに通信可能に接続され、ユーザに対してファイルを提供するファイルサーバであってもよい。
本実施形態においては、リソース102aに含まれる特定のリソースについて、一意に識別可能なリソース参照情報が付与される。例えば、サーバ102がWebサーバである場合、リソース102aは各種文書や画像などのコンテンツでもよく、リソース参照情報としてURI(Uniform Resource Identifier)を用いてもよい。また、例えば、サーバ102がファイルサーバである場合は、リソース参照情報としてファイルパスを用いてもよい。
クライアント103は、後述するアクセス制御部101を経由して前記サーバ102と通信可能に接続されている。クライアント103は、アクセス制御部101に対して、前述したサーバ102が開示する特定のリソースに対するリソース参照情報を指定して、当該リソースに対するアクセスを要求する。具体的には、例えば図示しないユーザは、クライアント103において提供されるアクセスプログラム104を使用して、特定のリソースに対するリソース参照情報を指定して、当該リソースに対するアクセスを要求する。アクセスプログラム104は、例えばWebサーバに接続するWeb閲覧プログラム(Webブラウザ等)であってもよく、ファイルサーバに接続するファイル管理プログラムであってもよい。なお、本実施形態においては、クライアント103は、アクセス制御部101を経由してサーバ102と接続されているが、図2に示すようにサーバ102と通信可能に直接接続されていてもよい。
アクセス制御部101は、クライアント103及びサーバ102と通信可能に接続されており、クライアント103から特定のリソースに対するアクセス要求があった場合に、当該アクセス要求に対するアクセス可否を判定する。また、アクセス制御部101は、管理者端末105と通信可能に接続されており、管理者端末105を通じて、ACL管理のための各種要求を受け付ける。
本実施形態においては、アクセス制御部101はACLマスタ101aと、アクセス可否判定部101bとを有する。
まず、ACLマスタ101aの構成について説明する。本実施形態におけるACLマスタ101aは、前記クライアント103から要求される、特定のリソースに対するアクセス要求に対して、当該アクセス要求に適用されるアクセス制御ルールの有無を判定できる判定情報と、当該判定情報に関連付けされたアクセス制御ルールとを有するエントリを、順序を付けて格納する。図3を参照してACLマスタ101aの具体的構成について説明する。図3は、ACLマスタ101aの構成の一例を例示する図面である。図3に例示した構成においては、ACLマスタ101aは、サーバ102において提供されるリソース102aを参照するリソース参照情報302(前記判定情報に相当)と、当該リソースに対するアクセス可否を規定するアクセス認可情報である、アクセス制御ルール303とを有する。図3に例示した構成においては、前記リソース参照情報302と、アクセス制御ルール303との組に対して、一意に識別可能なACL番号301が付与されている。以下、ACL番号301と、リソース参照番号302と、アクセス制御ルール303とにより構成される組を、ACLエントリと称する場合がある。なお、本実施形態におけるACLマスタ101aの構成は、図3の例示に限定されることなく、例えば、順序付きのリスト構造等を採用してもよい。
リソース参照情報302は、リソース102aに含まれる特定のリソースを一意に識別可能な識別情報である。リソース識別情報302は、リソース102aの種類に応じて適切な識別情報を選択してよい。図3に例示した構成においては、リソース参照情報302としてURIが用いられており、パラメータによる指定(例えば”http://www.a1.co.jp/{UID}”における{UID}等)や、正規表現による指定(例えば”*.a1.co.jp”における”*”等)が可能である。なお、リソース参照情報302は、図3に示す例に限定されず、例えばサーバ102がファイルサーバであり、リソース102aがファイルに相当する場合は、リソース参照情報302としてファイルのパスを用いてもよく、上記以外のパラメータ指定方法や、正規表現による指定方法等を採用してもよい。
アクセス制御ルール303には、適用対象となるリソース参照情報302対するアクセス可否のルールが記載される。アクセス制御ルール303は、制御対象となるリソース102aの種類、サーバ102におけるリソースの提供方法、及びクライアント103の種類等に応じて適切な記載方法を採用してよい。例えば、図3に例示したACL番号ACL4に該当するACLエントリについて、リソース参照情報の”{UID}”の部分にユーザID(例えば”user1”)が指定されたURIである”http://www.a1.co.jp/user1”にアクセスがあった場合、アクセス元のクライアント(ユーザ)のユーザIDが”user1”である場合にはアクセスを許可する等のルールを、アクセス制御ルール”RULE−A1−UID”として設定してもよい。このように、本実施形態におけるアクセス制御ルール303としては、リソース参照情報302に対して、当該リソースへのアクセス要求の送信元の情報等に基づいてアクセスの可否を判定する任意のルールを採用してよい。なお、本実施形態においては、アクセス可否判定のもとになる情報として、例えば、前記したアクセス要求を送信したユーザに関する情報や、あるいはアクセス元のロケーションの情報(ネットワーク上のロケーションや、地理的なロケーション等を含む)、時間や時刻に関する情報、その他アクセス要求に伴って送信される付帯情報等、アクセス可否判定部101bにおいて判定可能な任意の情報を採用してもよい。
次に、アクセス可否判定部101bの動作について、図4を参照して説明する。図4は、本発明の第1の実施形態における、アクセス制御の動作を表すフローチャートである。
まず、アクセス可否判定部101bは、クライアント103から発信された、リソース102aに対するアクセス要求を解析する(ステップS401及びステップS402)。アクセス可否判定部101bは、ACLマスタ101aを参照して、ACLマスタ101aの最上位に格納されたACLエントリから、当該アクセス要求に含まれるリソース参照情報に適用されるアクセス制御ルールが存在するか否かを、順次確認する(ステップS403)。例えば、図3に示す例においては、ACL番号が”ACL4”に該当するACLエントリが最上位であり、アクセス可否判定部101bは、”ACL4”、”ACL1”の順で、アクセス要求により指定されたリソース参照情報と、ACLマスタに登録されているリソース参照情報を比較し、アクセス制御ルールの適用対象となるか否かを確認する。
次に、アクセス可否判定部101bは、ステップS403の確認結果として、適用対象となるACLエントリが存在した場合は(ステップS404においてtrueの場合)、当該適用対象となるACLエントリを構成するアクセス制御ルール303に基づいて、前記クライアント103から要求されたリソースに対するアクセス可否を判定する(ステップS405)。
ステップS405における判定結果がアクセス許可であった場合には(ステップS406においてtrue)、クライアント103はリソース102aにアクセス可能であり(ステップS407)、前記判定結果がアクセス拒否であった場合は(ステップS406においてfalse)、クライアント103はリソース102aにアクセス不能である。
なお、図2に示すように、例えば、クライアント103がサーバ102と直接接続される構成においては、クライアント103は、サーバ102に対してアクセス要求を直接送信し、サーバ102は、当該アクセス要求に対してアクセス制御部101にアクセス可否の判定を依頼し、アクセス制御部101における判定結果に基づいて、当該要求されたリソースをクライアント103に提供してもよい。
次に、本実施形態におけるACL管理部100の動作について説明する。本実施形態において、ACL管理部100は、ACL関連情報100b及び、ACL優先度情報100cを有する。
ACL管理部100は、前述したように、アクセス制御リストに対する新たなアクセス制御ルールの追加や変更等、ACL管理者による管理要求に応答する。以下、ACL管理部100の構成要素について説明する。
ACL管理部100は、前述したように、アクセス制御リストに対する新たなアクセス制御ルールの追加や変更等、ACL管理者による管理要求に応答する。以下、ACL管理部100の構成要素について説明する。
ACL関連情報100bは、ACLマスタ101aに格納されている各ACLエントリ間の関係性を示す情報等(以下関連情報と称する場合がある)が記録される、記録領域である。本実施形態においては、ACLエントリ間の関係性を示す関連情報として、例えば、各ACLエントリを関連付けてグループ化可能な特定の情報を採用してもよい。本実施形態においては、係るグループ化のための情報として、例えば、前記各ACLエントリ間において上位−下位の関係を構成するような情報を採用してもよい。
図8を参照して、本実施形態におけるACLエントリ間の関係性を示す、関連情報の例について説明する。図8は、本実施形態におけるACLエントリ間の関連情報(上位−下位)を例示する模式図である。
本実施形態においては、例えば、図8に示すように、特定のACLエントリACL−A及びACL−Bが存在し、ACL−BがACL−Aの上位に該当する場合、ACL管理部100は、ACL−Aを、ACL−Bの上位として、その関係をACL関連情報100bに記録してもよい。このような上位−下位の関係を表し、各ACLエントリを関連付けてグループ化可能な情報として、例えば、各ACLエントリ間の包含関係を表す情報を導入してもよく、あるいは各ACLエントリを構造化・階層化するような情報を導入してもよい。
ACL優先度情報100cは、ACLマスタ101aに格納されている、各ACLエントリに関連付けされた優先度が記録される、記録領域である。本実施形態においては、ACL優先度情報100cに記録される優先度の情報は、例えば、各ACLエントリにおけるACL番号(図3における301)と関連付けて記録されてもよく、あるいは各ACLエントリにおけるリソース参照情報と関連付けて記録されてもよい。以下、図5を参照して、ACL優先度情報100cの具体例について説明する。
図5は、各ACLエントリと、当該ACLエントリに対応する優先度の情報との関連付けを例示する模式図である。図5に示す例においては、ACLマスタ101aが格納する各ACLエントリにおけるACL番号及びリソース参照情報と、優先度の情報が関連付けされている。本実施形態においては、優先度の情報は、例えば、特定の数値や文字列等を用いて、順位づけ可能に表現されていればよい。図5に示す例では、”HIGH”、”MID”、”LOW”の順に、優先度が低くなるよう設定されている。
次に、本実施形態における、ACL管理部100の動作について図6を参照して説明する。図6は、本実施形態における、新規ACLエントリ追加の際の動作を例示するフローチャートである。
ACL管理部100は、管理者端末105から、ACLマスタ101aに対する新たなACLエントリ(以下、追加対象ACLエントリと称する場合がある)の追加要求(以下、ACLエントリ追加要求と称する場合がある)を受け付ける(ステップS601)。ACLエントリ追加要求は、例えば、リソース102aに含まれる特定のリソースに対するリソース参照情報と、当該リソースに対するアクセス可否を規定するアクセス制御ルールとを有し、更に、追加対象ACLエントリに対する優先度の情報を含んでもよい。
ACL管理部100は、ACLマスタ101aを参照し、ACLマスタ101aの先頭から、格納されているACLエントリを順次取得する(ステップS602)。
次に、ACL管理部100は、前記追加対象ACLエントリに含まれるリソース参照情報と、前記取得した既存のACLエントリのリソース参照情報を比較し、前記追加対象ACLエントリが、既存のACLエントリと干渉するか否かを確認する(ステップS603)。
本実施形態においては、例えば、特定のACLエントリにおけるアクセス制御ルールが、他のACLエントリにおけるアクセス制御ルールに基づいたアクセス制御の結果に影響を及ぼす場合、それぞれのACLエントリが干渉すると判定してもよい。例えば、追加対象ACLエントリにおけるリソース参照情報が、ACLマスタ101aに格納されている特定のACLエントリにおけるリソース参照情報と同じリソースを指定している場合や、いずれか一方のリソース参照情報により参照されるリソースが、他方のリソース参照情報により参照されるリソースを含むような関係になっている場合には、ACL管理部100は、これらのリソース参照情報に係るACLエントリについて干渉すると判断してもよい。この場合、具体的に、特定のACLエントリと、その他のACLエントリが干渉するか否かは、各ACLエントリにおけるリソース参照情報の内容や形式に基づいて、適切に判定すればよい。
ACL管理部100は、前記干渉判定の結果、前記追加対象ACLエントリと、既存のACLエントリとが干渉しないと判定した場合には(ステップS604においてfalseの場合)、ACLマスタ101aに次のACLエントリが格納されているか確認し(ステップS606)、次のACLエントリが格納されている場合は(ステップS607にてtrue)、当該ACLエントリを選択して(ステップS608)、ステップS603から順次前記干渉判定を続行する。なお、ステップS607においてfalseとなる場合には、全ての干渉判定が終了したので、ステップS609から処理を続行する。
ACL管理部100は、前記干渉判定の結果、前記追加対象ACLエントリと、既存のACLエントリとが干渉すると判定した場合には(ステップS604においてtrueの場合)、前記ACL関連情報100bを参照し、前記追加対象ACLエントリと、干渉すると判定された既存のACLエントリに対する関連情報を更新する(ステップS605)。 ACL管理部100は、前記ステップS605の処理の後、ACLマスタ101aに次のACLエントリが格納されているか確認し(ステップS606)、次のACLエントリが格納されている場合は(ステップS607にてtrue)、当該ACLエントリを取得して(ステップS608)、ステップS603から順次前記干渉判定を続行する。なお、ステップS607においてfalseとなる場合には、全ての干渉判定が終了したので、ステップS609から処理を続行する。
次にステップS609以下の処理を説明する。ACL管理部100は、ACLエントリ追加要求において指定された追加対象ACLエントリの情報及び優先度の情報をもとに、当該追加対象ACLエントリに対する優先度を前記ACL優先度情報100cに追加して、ACL優先度情報100cを更新する(ステップS609)。
次にACL管理部100は、前記更新されたACL関連情報100bと、ACL優先度情報100cを参照して、ACLマスタ101cを更新する(ステップS610)。具体的には、ACL管理部100は、ACLマスタ101cに前記追加対象ACLエントリを格納すると共に、ACL関連情報100bと、ACL優先度情報100cを参照して、格納されているACLエントリを並び替える。並び替えの方法としては、例えば、各ACLエントリに関連付けされた優先度に基づいて、優先度の高いものから並ぶように並び替えてもよく、またACL関連情報100bに記録されたACLエントリ間の関連をもとに、ACLエントリをグループ化し、当該グループ毎に並び替えてもよい。
以上説明した本実施形態によるアクセス制御装置によれば、アクセス制御部101は、ACLマスタ101aに基づいて、クライアント103からサーバ102へのアクセス可否を制御可能である。また、管理者がACLマスタ101aに新たなACLエントリを追加する際、ACL管理部100は、追加対象のACLエントリと、既存のACLマスタ101aに格納されるACLエントリとが干渉するか否かを判定して、当該判定結果をもとにACL関連情報100bを更新する。更に、ACL管理部100は、ACL優先度情報100cを更新し、これらの更新結果に基づいて、ACLマスタ101aにおけるACLエントリを並び替える。
本実施形態によれば、上述したACL管理部100の動作により、新規ACLエントリと既存のACLエントリとの間の干渉状況を反映した関連情報が構築されるので、管理者によるACLに対する新たなアクセスルールの追加が容易になる。また、ACL管理部100は、追加対象のACLエントリを含め、各ACLエントリに関連付けされた優先度を考慮して、ACLマスタ101aを並び替えるので、管理者は追加するACLエントリの優先度を調整することにより、追加するACLエントリと、既存のACLエントリと間の調整を容易に行うことができる。
なお、本実施形態におけるサーバ102、アクセス制御部101、ACL管理部100、クライアント103は、それぞれ独立した専用のハードウェアにより構成してもよいが、図13に例示するような汎用のCPU1301(Central Processing Unit)及びメモリ1302等からなるハードウェアと、当該CPUによって実行される各種ソフトウェア・プログラム(コンピュータ・プログラム)とによって構成してもよい。また、サーバ102、アクセス制御部101、ACL管理部100については、一部または全部を統合したハードウェアとして構成してもよく、一部の機能を当該ハードウェアにより実行されるソフトウェア・プログラムとして提供してもよい。
また、本実施形態において、ACLマスタ101a、ACL関連情報100b及びACL優先度情報100cは、それぞれハードディスク1303等の不揮発性の記憶装置における、記録領域の一部に格納されてもよい。アクセス制御部101またはACL管理部100が、それぞれソフトウェア・プログラムにより構成される場合、ACLマスタ101a、ACL関連情報100b及びACL優先度情報100cは、当該ソフトウェア・プログラムをCPUが実行する際に、当該ソフトウェア・プログラムから参照できるように、メモリ上に読み込まれるよう構成してもよい。更に、上記各ソフトウェア・プログラムは外部記憶媒体1305に記録され、プログラム実行時に外部記憶装置1304を通じて読み込まれるように構成してもよい。
<第2の実施形態>
次に、本発明の第2の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な構成を中心に説明する。その際、前記第1の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。なお、本実施形態におけるアクセス制御装置は、前記第1の実施形態に係るアクセス制御装置と基本的な構成は同様であるので、以下においては、本実施形態において特徴的な構成である、ACL管理部100の構成と動作を中心に説明する。
次に、本発明の第2の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な構成を中心に説明する。その際、前記第1の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。なお、本実施形態におけるアクセス制御装置は、前記第1の実施形態に係るアクセス制御装置と基本的な構成は同様であるので、以下においては、本実施形態において特徴的な構成である、ACL管理部100の構成と動作を中心に説明する。
本実施形態におけるACL管理部100について、図7を参照して説明する。図7は、本実施形態におけるアクセス制御システムの機能的な構成を表すブロック図である。
本実施形態におけるACL管理部100は、図7に示すように、前記第1の実施形態同様ACL関連情報101b、ACL優先度情報100cを有し、更にACL並び替え処理部101a、ACL関連情報作成部100g、ACL干渉判定部100e、ACL追加位置提示部100f、及びACL追加処理部100dにより構成される。なお、前記第1の実施形態と同様、ACL管理部100は、アクセス制御部101と通信可能に接続されてり、ACL管理部の構成要素はACLマスタ101aを参照可能である。また、ACL管理部100は管理者端末105と通信可能に接続されている。以下、それぞれの構成要素と、その動作について説明する。
ACL追加処理部100dは、管理者端末105と通信可能に接続されており、管理者端末105から、新たなACLエントリ(以下、追加対象ACLエントリと称する場合がある)の追加要求(以下、ACLエントリ追加要求と称する場合がある)を受け付ける。
ACL干渉判定部100eは、ACL追加処理部100dより受け付けたACLエントリ追加要求に含まれる追加対象ACLエントリと、ACLマスタ101aに格納されている既存のACLエントリとが干渉するか否かを判定する。ACL干渉判定部100eは、ACL関連情報作成部100gと通信可能に接続されており、前記判定結果をACL関連情報作成部100gに送信する。ACL干渉判定部100eの具体的な動作については、後述する。
ACL関連情報作成部100gは、ACL干渉判定部100eから受信した、前記判定結果をもとに、ACL関連情報100bを更新する。ACL関連情報作成部の具体的な動作については、後述する。
ACL追加位置提示部100fは、管理者端末105と通信可能に接続されている。ACL追加位置提示部100fの具体的な動作については、後述する。
ACL並び替え処理部100aは、ACL関連情報100b及びACL優先度情報100cを参照し、ACLマスタ101aが格納するACLエントリを、優先度に基づいて並べ替える。ACL並び替え処理部100aの具体的な動作については後述する。
次に、本実施形態における、ACL関連情報100bの構成について説明する。本実施形態においては、ACLマスタ101aに格納されている各ACLエントリ間の関係性を示す関連情報として、例えば、各ACLエントリを構成するリソース参照情報の包含関係を採用してもよい。
図8及び図9を参照して、ACLエントリ間の関連について具体例を用いて説明する。図9は、図3に例示したACLマスタ101aにおける、各ACLエントリ間の関連情報を例示する模式図である。 本実施形態においては、例えば、前記第1の実施形態と同様、図8に示すように、特定のACLエントリACL−A及びACL−Bが存在し、ACL−Bのリソース参照情報がACL−Aのリソース参照情報を包含する場合、ACL管理部100は、ACL−Aを、ACL−Bの上位として、その関係をACL関連情報100bに記録する。
具体例として、図3のACL番号”ACL1”、”ACL2”、及び”ACL4”の各ACLエントリにおけるリソース参照情報の包含関係を説明する。”ACL2”のリソース参照情報である”http://*.a1.co.jp/”は、正規表現”*”を解釈すると、”ACL1”のリソース参照情報である”http://www.a1.co.jp/”を包含する。また、”ACL1”のリソース参照情報である”http://www.a1.co.jp/”は、”ACL4”のリソース参照情報である”http://www.a1.co.jp/{UID}”を包含する。本実施形態においては、ACL関連情報作成部100gは、図9に例示するように、これらの包含関係に基づいて”ACL4”が”ACL1”の上位となり、”ACL1”が”ACL2”の上位となるよう上位−下位の関係を構築し、ACL関連情報100bに記録してもよい。
次に、本実施形態における、ACL管理部100の動作について、図10を参照して説明する。図10は、本実施形態における、新規ACLエントリ追加の際の動作を例示するフローチャートである。なお、以下においては、本実施形態における一例として、サーバ102がWebサーバであり、リソース参照情報はURIにより指定されることを想定する。なお、本実施形態におけるURIは、通常のURIと同様ホスト部及びパス部から構成されるが、係るホスト部あるいはパス部を、正規表現やパラメータ表記を用いて記載してもよい。また、本実施形態においては、上位のパスは、下位のパスを包含することを想定する。例えば、”http://www.a4.co.jp/”は、”http://www.a4.co.jp/sample1/”や、”http://www.a4.co.jp/sample2/test/”等を含む。また、各ACLエントリに対するACL優先度情報100cには、図5に示す優先度が設定されていることを想定する。
まず、ACL追加処理部100dは、管理者端末105から、ACLマスタ101aに対する、ACLエントリ追加要求を受け付ける(ステップS1001)。当該ACLエントリの追加要求は、前記第1の実施形態と同様、例えば、リソース102aに含まれる特定のリソースに対する参照情報と、当該リソースに対するアクセス可否を設定したアクセス制御ルールとを有し、更に、追加するACLエントリに対する優先度の情報を含んでもよい。ACL追加処理部100dは、管理者端末105から受け付けたACLエントリ追加要求を、ACL干渉判定部100eに送信する。
ACL干渉判定部100eは、ACLマスタ101aを参照し、マスタの先頭に格納されているACLエントリを取得する(ステップS1002)。
次にACL干渉判定部100eは、ACL追加処理部100dより受け付けたACLエントリ追加要求に含まれる追加対象ACLエントリを解析し、当該追加対象ACLエントリと、ACLマスタ101aに格納されている既存のACLエントリとが干渉するか否かを判定する(ステップS1003)。以下、ACL干渉判定部100eにおける干渉判定について説明する。
ACL干渉判定部100eは、前記追加対象ACLエントリから、リソース参照情報であるURIを抽出し、ホスト部とパス部とに分割する。ACL干渉判定部100eは、前記ステップS1002において選択したACLエントリにおけるURIのホスト部と、前記追加対象ACLエントリにおけるURIのホスト部を比較し、当該ホスト部において包含関係が成立する場合は、両エントリは干渉すると判定する(ステップS1004においてtrueの場合)。なお、URIのホスト部について包含関係が成立する条件は、適宜定めて良い。例えば、本実施形態においては、図3に示すように正規表現を用いたホスト部の表記”*.a1.co.jp”は、”www.a1.co.jp”を包含すると定めている。なお、包含関係が成立する条件は、図3に例示した条件には限定されない。
ACL干渉判定部100eは、ステップS1004においてtrueの場合、前記ステップS1002において選択したACLエントリのリソース参照情報であるURIと、前記追加対象ACLエントリのホスト部とパス部とを比較し、両ACLエントリ間の包含関係を確認する(ステップS1005)。具体的には、ACL干渉判定部100eは、例えば、両ACLエントリ間の包含関係が、一意に定められるか否かを判定してもよい。
本実施形態におけるACL干渉判定部100eは、前記両ACLエントリについて、いずれか一方のACLエントリのホスト部及びパス部の両方が、他方のACLエントリのホスト部及びパス部に包含される場合、両ACLエントリの包含関係は一意に定められると判定し(ステップS1006においてtrue)、係る両ACLエントリの包含関係をACL関連情報作成部100gに送信する。ACL関連情報作成部100gは、係る両ACLエントリの包含関係に基づいて、両ACLの上位−下位の関係を、ACL関連情報100bに記録する(ステップS1007)。
ACL干渉判定部100eは、追加対象ACLエントリのホスト部及びパス部と、前記ステップS1002において選択したACLエントリのリソース参照情報であるURIの包含関係が一意に定まらない場合(ステップS1006においてfalse)、例えば、ACL関連情報作成部100gに、係る両ACLエントリの包含関係について「要選択」を表す識別情報を送信する。ACL関連情報作成部100gは、係る両ACLエントリの上位−下位の関係について、「要選択」としてACL関連情報100bに記録する(ステップS1008)。
前記両エントリのURIについて包含関係が一意に定まらない場合とは、例えば、前記両エントリのURIにおけるホスト部とパス部の包含関係が逆になっている場合(一方のエントリのURIにおけるホスト部が、他方のエントリのURIにおけるホスト部を包含するものの、他方のエントリのURIにおけるパス部が、一方のエントリのURIにおけるパス部を包含するような場合等)等が該当する。
ACL干渉判定部100eは、上記ステップS1007またはステップS1008を実行した場合、ACLマスタ101aにおいて次のACLエントリが存在するか確認し(ステップS1009)、次のACLエントリが存在すれば(ステップS1010においてtrue)、ACLマスタ101aから当該次のエントリを取得し(ステップS1011)、前記ステップS1003から再度処理を継続する。
ACL干渉判定部100eは、上記ステップS1003において、干渉しないと判定した場合(ステップS1004においてfalse)も同様に、ACLマスタ101aにおいて次のACLエントリが存在するか確認し(ステップS1009)、次のACLエントリが存在すれば(ステップS1010においてtrue)、ACLマスタ101aから当該次のエントリを取得し(ステップS1011)、前記ステップS1003から再度処理を継続する。
ステップS1010においてfalseの場合、ACLマスタ101aに格納されている全ACLエントリについて干渉有無の判定が完了したと判定して、ACL関連情報作成部100gは、ステップS1012から処理を継続する。
次に、ステップS1012以降の処理について説明する。
まず、ACL関連情報作成部100gは、ACL関連情報100bを参照し、「要選択」と記録されているACLエントリの有無を確認する(ステップS1012)。
上記ステップS1012において、「要選択」と記録されたACLエントリが存在する場合(ステップS1013においてtrue)、ACL関連情報作成部100gは、ACL追加位置提示部100fに対して、ACL関連情報100bにおける、前記追加対象ACLエントリの追加位置(他のACLエントリとの上位−下位の関係を構成する位置)を確認するための確認要求を通知する。ACL追加位置提示部100fは、前記確認要求に基づいて、管理者端末105に対して、前記追加対象ACLエントリの追加位置を明確化するよう選択要求を送信する(ステップS1014)。
図示しない管理者は、上記ステップS1014において送信された選択要求に応じて、管理者端末105を用いて前記追加対象ACLエントリの追加位置を選択し、当該選択内容を含む選択応答をACL追加位置提示部100fに返信する(ステップS1015)。ACL追加位置提示部100fは管理者端末105から選択応答を受信し、当該応答内容に基づいて、ACLマスタ101aに格納されているACLエントリと、前記追加対象ACLエントリの包含関係をACL関連情報作成部100gに送信する。
ACL関連情報作成部100gは、ACLマスタ101aに格納されているACLエントリと、前記ACL追加位置提示部100fから通知された追加対象ACLエントリの包含関係に基づいて、干渉する両ACLの上位−下位の関係を、ACL関連情報100bに記録する(ステップS1016)。ACL関連情報作成部100gは、ACL関連情報100bに対する記録処理の終了を、ACL追加処理部100dに通知してもよい。
なお、上記ステップS1012において、「要選択」と記録されたACLエントリが存在しない場合(ステップS1013においてfalse)、ACL追加処理部100dがステップS1017から処理を続行する。
ACL追加処理部100dは、前記ACLエントリ追加要求に含まれる優先度を、ACL優先度情報100cに登録する(ステップ1017)。ACL追加処理部100dは、ACL優先度情報100cへの優先度登録処理の終了を、ACL並び替え処理部100aに通知してもよい。
次に、ACL並び替え処理部100aは、ACL関連情報100b及びACL優先度情報100cをもとに、ACLマスタ101aを並び替える(ステップS1018)。
以下、ACL並び替え処理部101aにおける並び替え処理について、図11を参照して説明する。図11は、本実施形態における、ACLマスタ101aの並び替え処理を表すフローチャートである。
まず、ACL並び替え処理部100aは、ACL優先度情報100cを参照して、優先度が最下位のACLエントリを除いて、最下位の次に低い優先度を選択する(ステップS1101)。
ここで、ACL並び替え処理部100aは、下記ステップS1103乃至ステップS1105に記載した処理を、前記ステップS1101において選択した優先度に関連付けされるACLエントリ全てについて繰り返す。(ステップS1102乃至ステップ1106)。
まず、ACL並び替え処理部100aは、ACLマスタ101aから、当該優先度に相当するACLエントリを選択する(ステップS1103)。
次に、ACL並び替え処理部100aは、ACL関連情報100bを参照し、並び替え処理対象のACLエントリに対して上位に位置するACLエントリをたどり、これらのACLエントリをグループ化する(ステップS1104)。
次に、ACL並び替え処理部100aは、前記ステップS1104において形成したグループを、ALCマスタ101aの最上位(先頭)に移動する(ステップS1105)。
上記ステップS1102乃至ステップS1106における処理の後、ACL並び替え処理部100aは、ACL優先度情報100cを参照して、現在選択されて優先度よりも高い優先度を有するACLエントリが存在するか確認し(ステップS1107)、より高い優先度が存在する場合は(ステップS1108にてtrue)当該優先度を選択し(ステップS1109)、ステップS1102から処理を続行する。
即ち、ACL並び替え処理部100aは、最下位の次に低い優先度から最上位の優先度までを順次選択しながら、当該優先度を有するACLエントリをグループ化し、当該グループをACLマスタ101aの最上位(先頭)に移動する。この処理によって、優先度が最も高いACLエントリを有するグループが、ACLマスタ101aの最上位に移動される。前記の通り、アクセス制御部101は、クライアント103から送信されるアクセス要求に対して、ACLマスタ101aの最上位に格納されたACLエントリから、当該アクセス要求に適用されるアクセス制御ルールが存在するか否かを順次確認するので、結果として優先度が高いアクセス制御ルールが優先して適用される。
以上説明した本実施に形態によるアクセス制御装置によれば、前記第1の実施形態によるアクセス制御装置と同様の効果を奏する。更に、本実施形態によるアクセス制御装置によれば、ACL管理部100は、追加対象のACLエントリと、既存のACLマスタ101aに格納されるACLエントリとの干渉有無を判定して、ACL関連情報を更新する。
また、本実施に形態によるアクセス制御装置によれば、追加対象のACLエントリと既存のACLエントリとの関連を一意に決定できない場合には、管理者に対して両エントリ間の関連について選択を求めることにより、追加対象ACLエントリを、ACLマスタ101の適切な場所に追加できる。
上述したACL管理部100の動作により、新規ACLエントリ追加の際に、管理者は既存のACLエントリと干渉する部分を把握して、当該干渉するACL間の関連(上位−下位の関係)を指定することができ、管理者によるACLに対する新たなアクセスルールの追加が容易になる。また、ACL管理部100は、ACLマスタ101に格納されるACLエントリをグループ化し、優先度が最も高いエントリを含むグループをACLエントリの先頭に移動するよう並び替える。このため、管理者は、追加するACLエントリの優先度を調整することにより、追加するACLエントリと、既存のACLエントリとの調整を容易に行うことができる。
なお、本実施形態においても、前記第1の実施形態と同様、上述したアクセス制御部101、ACL管理部100、それぞれ独立した専用のハードウェアにより構成してもよいが、汎用のCPU及びメモリ等からなるハードウェアと、当該CPUによって実行される各種ソフトウェア・プログラムとによって構成してもよい。
ACL管理部をソフトウェア・プログラムにより構成する場合は、ACL並び替え処理部100a、ALC関連情報作成部100g、ACL干渉判定部100e、ACL追加位置提示部100f、及びACL追加処理部100d等のACL管理部100を構成する構成要素は、それぞれソフトウェア・プログラムを構成するソフトウェアモジュールを用いて構成してもよい。この場合、これらのソフトウェアモジュール間は、例えば各モジュールに対するメソッド呼出しや、共有メモリの参照、リモートプロシージャコール等、当該ソフトウェアモジュールの実行環境に応じて、適宜適切な方法を用いて相互に通信可能に構成してもよい。
なお、図7に例示した構成においては、ACL並び替え処理部100a、ALC関連情報作成部100g、ACL干渉判定部100e、ACL追加位置提示部100f、及びACL追加処理部100dを独立した構成要素としているが、本実施形態は、このような構成に限定されない。例えば、本実施形態おいては、これらの構成要素の一部または全部の機能を統合した構成要素を用いて、ACL管理部100を構成してもよい。即ち、本実施形態におけるACL管理部100をどのような構成要素に分割するか(あるいは分割しないか)は、例えば、ACL管理部100を配置する環境や、ACL管理部100に求められる個別具体的な要件(処理性能、必要とする記憶容量、メンテナンス性等)に基づいて任意に定めて良い。
また、本実施形態において、ACL管理部100と、管理者端末105との間は適宜適切な手法により通信可能に接続してよい。例えば、ACL管理部100と管理者端末が別々のハードウェアにより構成される場合は、それらのハードウェア間を無線接続あるいは有線接続により構成されるLocal Area Networkを用いて接続してもよく、Internet等を経由して接続してもよい。ACL管理部と管理者端末は、それぞれソフトウェア・プログラムにより構成されてもよく、この場合、これらのプログラムは同一のハードウェアにおいて実行されてもよい。
<第3の実施形態>
次に、本発明の第3の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な構成を中心に説明する。その際、前記第1及び第2の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。なお、本実施形態におけるアクセス制御装置は、前記第2の実施形態に係るアクセス制御装置と基本的な構成は同様であるので、以下においては、本実施形態において特徴的な構成である、ACL管理部100の構成と動作を中心に説明する。
次に、本発明の第3の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な構成を中心に説明する。その際、前記第1及び第2の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。なお、本実施形態におけるアクセス制御装置は、前記第2の実施形態に係るアクセス制御装置と基本的な構成は同様であるので、以下においては、本実施形態において特徴的な構成である、ACL管理部100の構成と動作を中心に説明する。
前記第2の実施形態においては、管理者は、図7に示す管理者端末105を通じて、新規ACLの追加要求を、ACL管理部100に指示する。本実施形態においては、管理者は、管理者端末を通じてACL管理部100に対して、ACL優先度情報100cに登録されている、各ACLエントリに対する優先度の変更を要求する。以下、ACL管理部100による優先度変更処理について図7、図11及び図12を参照して説明する。図12は、本実施形態における、ACLマスタ101aの並び替え処理を表すフローチャートである。
まず、図示しない管理者は、管理者端末105を使用して、ACL管理部100に対して、ACL優先度情報100cに格納される特定のACLエントリに対する優先度の変更を要求する(図12におけるステップS1201)。この場合、管理者は、例えば、優先度を変更する特定のACLエントリと、当該エントリに対して変更する優先度とを直接指定してもよく、あるいは、管理者端末105にACL優先度情報100cの内容を表示するよう構成して、当該表示から変更するACLエントリと優先度を選択してもよい。
ACL追加処理部100dは、前記管理者端末105から通知された優先度の変更要求を解析し、当該要求に含まれる変更対象のACLエントリと、当該ACLエントリに対する変更後の優先度を抽出する(図12におけるステップS1202)。
ACL追加処理部100dは、ACL優先度情報100cに格納されている、前記変更対象のACLエントリに対する優先度を、前記優先度の変更要求に含まれる変更後の優先度を用いて更新する(図12におけるステップS1203)。ACL追加処理部100dは、ステップS1203におけるACL優先度情報100cの更新処理の完了を、ACL並び替え処理部100aに対して通知してもよい。
次に、ACL並び替え処理部100aは、更新後のACL優先度情報100cを参照して、ACLマスタ101aに格納されている各ACLエントリを並び替える(ステップS1204)。具体的な並び替えの処理は、図11のフローチャートにより表される、前記第2の実施形態における並び替え処理と同様である。
なお、上述した本実施形態においては、ACL管理部100は、ACLエントリの優先度を変更する要求に応答しているが、ACL関連情報100bに基づいて形成されたACLエントリのグループに対する優先度を変更する要求に応答してもよい。
以上説明した本実施に形態によるアクセス制御装置によれば、前記第1及び第2の実施形態によるアクセス制御装置と同様の効果を奏する。更に、本実施形態によるアクセス制御装置によれば、ACLエントリ間の関連が維持されながら、変更後の優先度に基づいてACLエントリが並び替えられることから、管理者は、ACLエントリ間の干渉を気にせずにACLエントリの優先度を変更することが可能である。このため、ACL管理の負担が軽減されると共に、例えば、一時的に特定のACLの優先度を変更する等の要望にも柔軟に対応できる。
<実施形態の変形例>
上述した各実施形態において開示された構成について、以下のような変形例を採用してもよい。
上述した各実施形態において開示された構成について、以下のような変形例を採用してもよい。
前記各実施形態において、サーバ102は、複数のサーバにより構成されてもよい。サーバ102が複数のサーバにより構成される場合、アクセス制御部101は、それぞれのサーバにおいて提供されるリソースに対するリソース参照情報と、アクセス制御ルールとを格納するACLマスタ101aに基づいて、クライアント103から発信されるそれぞれのサーバに対するアクセス要求に対して、アクセス可否を判定する。
前記各実施形態においては、サーバ102をWebサーバとし、リソース参照情報をURIとした構成を例示して説明したが、上述した各実施形態を例に説明した本発明は、これに限定されるものではない。例えば、サーバ102をファイルサーバとし、コンテンツ102aをファイルサーバにおいて提供するファイル(あるいはファイルシステム)としてもよい。この場合、前記リソース参照情報は当該ファイルに対するファイルパスを採用してもよい。リソース参照情報としてファイルパスを採用する場合、ACLエントリ間の関連(上位−下位の関係)は、ファイルパスの包含関係により規定してもよい。なお、上述した各実施形態において説明したアクセス制御装置は、上記例示したURIやファイルパス等、包含関係を判定できるリソース参照情報により指定可能な任意のリソースに対して、アクセス制御の機能を提供できる。
なお、本発明は上述した各実施形態において例示したアクセス制御装置に限定されることなく、当該アクセス制御装置に相当するアクセス制御方法として実現することも可能であり、当該アクセス制御装置に相当する処理をコンピュータに実行させるアクセス制御プログラムとして実現することも可能である。
以上、本発明を、上述した模範的な実施形態に適用した例として説明した。しかしながら、本発明の技術的範囲は、上述した各実施形態に記載した範囲には限定されない。当業者には、係る実施形態に対して多様な変更または改良を加えることが可能であることは明らかである。そのような場合、係る変更または改良を加えた新たな実施形態も、本発明の技術的範囲に含まれ得る。そしてこのことは、特許請求の範囲に記載した事項から明らかである。
なお、上述した実施形態及びその変形例の一部または全部は、以下の付記のようにも記載されうる。しかしながら、上述した実施形態及びその変形例により例示的に説明した本発明は、以下には限られない。
(付記1)
リソースに対するアクセス可否を規定するアクセス制御情報を含むアクセス制御リストに基づいて、前記リソースに対するアクセス可否を判定するアクセス制御部と、
前記アクセス制御リストに対するアクセス制御情報の追加要求に応じて、前記アクセス制御情報をグループ化するための関連情報を更新し、
更新した前記関連情報と、前記アクセス制御情報に関連付けされた優先度情報とに基づいて、前記アクセス制御リストを更新する、
アクセス制御リスト管理部と、
を有する、アクセス制御装置。
リソースに対するアクセス可否を規定するアクセス制御情報を含むアクセス制御リストに基づいて、前記リソースに対するアクセス可否を判定するアクセス制御部と、
前記アクセス制御リストに対するアクセス制御情報の追加要求に応じて、前記アクセス制御情報をグループ化するための関連情報を更新し、
更新した前記関連情報と、前記アクセス制御情報に関連付けされた優先度情報とに基づいて、前記アクセス制御リストを更新する、
アクセス制御リスト管理部と、
を有する、アクセス制御装置。
(付記2)
前記関連情報は、グループ化したアクセス制御情報間の関係性を示す情報を含む、
付記1記載のアクセス制御装置。
前記関連情報は、グループ化したアクセス制御情報間の関係性を示す情報を含む、
付記1記載のアクセス制御装置。
(付記3)
前記アクセス制御情報は、前記リソースに対するリソース参照情報と、当該リソース参照情報に関連付けされたアクセス制御ルールと、を含み、
前記アクセス制御情報追加要求は、特定のリソースに対する前記アクセス制御情報と、当該アクセス制御情報に関連付けされた優先度とを含み、
前記アクセス制御リスト管理部は、
前記アクセス制御リストに対するアクセス制御情報追加要求に応じて、
当該アクセス制御情報追加要求に含まれるアクセス制御情報が、前記アクセス制御リストに含まれるアクセス制御情報と干渉するか判定し、
当該判定結果に基づいて、前記関連情報を更新し、
当該アクセス制御情報追加要求に含まれる優先度を、前記優先度情報に関連付ける、
付記1または付記2に記載のアクセス制御装置。
前記アクセス制御情報は、前記リソースに対するリソース参照情報と、当該リソース参照情報に関連付けされたアクセス制御ルールと、を含み、
前記アクセス制御情報追加要求は、特定のリソースに対する前記アクセス制御情報と、当該アクセス制御情報に関連付けされた優先度とを含み、
前記アクセス制御リスト管理部は、
前記アクセス制御リストに対するアクセス制御情報追加要求に応じて、
当該アクセス制御情報追加要求に含まれるアクセス制御情報が、前記アクセス制御リストに含まれるアクセス制御情報と干渉するか判定し、
当該判定結果に基づいて、前記関連情報を更新し、
当該アクセス制御情報追加要求に含まれる優先度を、前記優先度情報に関連付ける、
付記1または付記2に記載のアクセス制御装置。
(付記4)
前記アクセス制御リスト管理部は、前記アクセス制御情報追加要求に含まれるアクセス制御情報が有するリソース参照情報と、前記アクセス制御リストに含まれるアクセス制御情報が有するリソース参照情報とを比較することにより、当該アクセス制御情報追加要求に含まれるアクセス制御情報が、前記アクセス制御リストに含まれるアクセス制御情報と干渉するか判定する、
付記3に記載のアクセス制御装置。
前記アクセス制御リスト管理部は、前記アクセス制御情報追加要求に含まれるアクセス制御情報が有するリソース参照情報と、前記アクセス制御リストに含まれるアクセス制御情報が有するリソース参照情報とを比較することにより、当該アクセス制御情報追加要求に含まれるアクセス制御情報が、前記アクセス制御リストに含まれるアクセス制御情報と干渉するか判定する、
付記3に記載のアクセス制御装置。
(付記5)
前記アクセス制御リスト管理部は、
前記優先度情報を参照して、特定の優先度と、当該優先度に関連付けされた前記アクセス制御情報を選択し、
前記関連情報に基づいて、当該選択されたアクセス制御情報と上位または下位の関係を形成するアクセス制御情報を選択してグループを形成し、
当該形成したアクセス制御情報のグループを、前記アクセス制御リストの最上位に並べ替える、
付記1乃至付記4の何れかに記載のアクセス制御装置。
前記アクセス制御リスト管理部は、
前記優先度情報を参照して、特定の優先度と、当該優先度に関連付けされた前記アクセス制御情報を選択し、
前記関連情報に基づいて、当該選択されたアクセス制御情報と上位または下位の関係を形成するアクセス制御情報を選択してグループを形成し、
当該形成したアクセス制御情報のグループを、前記アクセス制御リストの最上位に並べ替える、
付記1乃至付記4の何れかに記載のアクセス制御装置。
(付記6)
前記アクセス制御リスト管理部は、
前記特定の優先度として、最下位の次に低い優先度から最上位の優先度までを順次選択し、
前記選択した優先度に基づいて、前記アクセス制御リストにおける前記アクセス制御情報のグループの位置を並び替える、
付記5に記載のアクセス制御装置。
前記アクセス制御リスト管理部は、
前記特定の優先度として、最下位の次に低い優先度から最上位の優先度までを順次選択し、
前記選択した優先度に基づいて、前記アクセス制御リストにおける前記アクセス制御情報のグループの位置を並び替える、
付記5に記載のアクセス制御装置。
(付記7)
前記アクセス制御リスト管理部は、
前記アクセス制御情報追加要求に含まれるアクセス制御情報が有するリソース参照情報と、前記アクセス制御リストに含まれる特定のアクセス制御情報が有するリソース参照情報とを比較し、
一方のリソース参照情報が、他方のリソース参照情報を包含する場合、包含される側のリソース参照情報を有する前記アクセス制御情報を、包含する側のリソース参照情報を有する前記アクセス制御情報の上位として、前記関連情報を更新する、
付記4に記載のアクセス制御装置。
前記アクセス制御リスト管理部は、
前記アクセス制御情報追加要求に含まれるアクセス制御情報が有するリソース参照情報と、前記アクセス制御リストに含まれる特定のアクセス制御情報が有するリソース参照情報とを比較し、
一方のリソース参照情報が、他方のリソース参照情報を包含する場合、包含される側のリソース参照情報を有する前記アクセス制御情報を、包含する側のリソース参照情報を有する前記アクセス制御情報の上位として、前記関連情報を更新する、
付記4に記載のアクセス制御装置。
(付記8)
前記アクセス制御リスト管理部は、
前記アクセス制御情報追加要求に含まれるアクセス制御情報が有するリソース参照情報と、前記アクセス制御リストに含まれている特定のアクセス制御情報が有するリソース参照情報とを比較し、
一方のリソース参照情報と、他方のリソース参照情報との間の包含関係を一意に決定できない場合、前記アクセス制御情報追加要求の要求元に対して選択要求を通知し、
当該通知に対する前記要求元からの応答に基づいて、前記特定のリソースに対するアクセス制御情報と、前記特定のアクセス制御情報との間の上位または下位の関係を前記関連情報に設定する、
付記4または付記7に記載のアクセス制御装置。
前記アクセス制御リスト管理部は、
前記アクセス制御情報追加要求に含まれるアクセス制御情報が有するリソース参照情報と、前記アクセス制御リストに含まれている特定のアクセス制御情報が有するリソース参照情報とを比較し、
一方のリソース参照情報と、他方のリソース参照情報との間の包含関係を一意に決定できない場合、前記アクセス制御情報追加要求の要求元に対して選択要求を通知し、
当該通知に対する前記要求元からの応答に基づいて、前記特定のリソースに対するアクセス制御情報と、前記特定のアクセス制御情報との間の上位または下位の関係を前記関連情報に設定する、
付記4または付記7に記載のアクセス制御装置。
(付記9)
リソースに対するアクセス可否を規定するアクセス制御情報を含むアクセス制御リストに基づいて、前記リソースに対するアクセス可否を判定し、
前記アクセス制御リストに対するアクセス制御情報の追加要求に応じて、前記アクセス制御情報をグループ化するための関連情報を更新し、
更新した前記関連情報と、前記アクセス制御情報に関連付けされた優先度情報とに基づいて、前記アクセス制御リストを更新する、
アクセス制御方法。
リソースに対するアクセス可否を規定するアクセス制御情報を含むアクセス制御リストに基づいて、前記リソースに対するアクセス可否を判定し、
前記アクセス制御リストに対するアクセス制御情報の追加要求に応じて、前記アクセス制御情報をグループ化するための関連情報を更新し、
更新した前記関連情報と、前記アクセス制御情報に関連付けされた優先度情報とに基づいて、前記アクセス制御リストを更新する、
アクセス制御方法。
(付記10)
リソースに対するアクセス可否を規定するアクセス制御情報を含むアクセス制御リストに基づいて、前記リソースに対するアクセス可否を判定する処理と、
前記アクセス制御リストに対するアクセス制御情報の追加要求に応じて、前記アクセス制御情報をグループ化するための関連情報を更新する処理と、
更新した前記関連情報と、前記アクセス制御情報に関連付けされた優先度情報とに基づいて、前記アクセス制御リストを更新する処理と、をコンピュータに実行させる、
アクセス制御プログラム。
リソースに対するアクセス可否を規定するアクセス制御情報を含むアクセス制御リストに基づいて、前記リソースに対するアクセス可否を判定する処理と、
前記アクセス制御リストに対するアクセス制御情報の追加要求に応じて、前記アクセス制御情報をグループ化するための関連情報を更新する処理と、
更新した前記関連情報と、前記アクセス制御情報に関連付けされた優先度情報とに基づいて、前記アクセス制御リストを更新する処理と、をコンピュータに実行させる、
アクセス制御プログラム。
(付記11)
前記リソース参照情報は、特定のリソースを提供するホストを表すホスト部と、前記ホストにおける前記リソースの配置を表すパス部とを有するUniform Resource Identifierにより表され、
前記アクセス制御リスト管理部は、前記アクセス制御リストに含まれる特定の2つの前記アクセス可否情報について、
一方のアクセス可否情報におけるホスト部が、もう一方のアクセス可否情報におけるホスト部を包含し、かつ、一方のアクセス可否情報におけるパス部が、もう一方のアクセス可否情報におけるパス部を包含する場合に、
当該包含される方のアクセス可否情報を、当該包含する側のアクセス可否情報に対して上位として前記関連情報に設定する、
付記7または付記8に記載のアクセス制御装置。
前記リソース参照情報は、特定のリソースを提供するホストを表すホスト部と、前記ホストにおける前記リソースの配置を表すパス部とを有するUniform Resource Identifierにより表され、
前記アクセス制御リスト管理部は、前記アクセス制御リストに含まれる特定の2つの前記アクセス可否情報について、
一方のアクセス可否情報におけるホスト部が、もう一方のアクセス可否情報におけるホスト部を包含し、かつ、一方のアクセス可否情報におけるパス部が、もう一方のアクセス可否情報におけるパス部を包含する場合に、
当該包含される方のアクセス可否情報を、当該包含する側のアクセス可否情報に対して上位として前記関連情報に設定する、
付記7または付記8に記載のアクセス制御装置。
(付記12)
前記アクセス制御部は、
前記リソースに対するアクセス要求に応じて、前記アクセス制御リストの最上位から、前記アクセス要求に適用されるアクセス制御情報を探索し、
前記アクセス要求に適用されるアクセス制御情報が存在する場合、当該アクセス制御情報に基づいて、前記アクセス要求に対するアクセス可否を判定する、
付記1乃至付記11の何れかに記載のアクセス制御装置。
前記アクセス制御部は、
前記リソースに対するアクセス要求に応じて、前記アクセス制御リストの最上位から、前記アクセス要求に適用されるアクセス制御情報を探索し、
前記アクセス要求に適用されるアクセス制御情報が存在する場合、当該アクセス制御情報に基づいて、前記アクセス要求に対するアクセス可否を判定する、
付記1乃至付記11の何れかに記載のアクセス制御装置。
(付記13)
前記アクセス制御リスト管理部は、
前記優先度情報に対する更新要求を受け付ける、
付記1乃至付記12の何れかに記載のアクセス制御装置。
前記アクセス制御リスト管理部は、
前記優先度情報に対する更新要求を受け付ける、
付記1乃至付記12の何れかに記載のアクセス制御装置。
本発明は、アクセス制御規則を規定したアクセス制御リストに基づいて、特定のリソースに対するアクセスを制御する、アクセス制御装置等に適応できる。
100 ACL管理部
100a ACL並び替え処理部
100b ACL関連情報
100c ACL優先度情報
100d ACL追加処理部
100e ACL干渉判定部
100f ACL追加位置提示部
100g ACL関連情報作成部
101 アクセス制御部
101a ACLマスタ
101b アクセス可否判定部
102 サーバ
102a リソース
103 クライアント
104 アクセスプログラム
105 管理者端末
301 ACL番号
302 リソース参照情報
303 アクセス制御ルール
1301 CPU
1302 メモリ
1303 ハードディスク
1304 外部記憶装置
1305 記憶媒体
100a ACL並び替え処理部
100b ACL関連情報
100c ACL優先度情報
100d ACL追加処理部
100e ACL干渉判定部
100f ACL追加位置提示部
100g ACL関連情報作成部
101 アクセス制御部
101a ACLマスタ
101b アクセス可否判定部
102 サーバ
102a リソース
103 クライアント
104 アクセスプログラム
105 管理者端末
301 ACL番号
302 リソース参照情報
303 アクセス制御ルール
1301 CPU
1302 メモリ
1303 ハードディスク
1304 外部記憶装置
1305 記憶媒体
Claims (10)
- リソースに対するアクセス可否を規定するアクセス制御情報を含むアクセス制御リストに基づいて、前記リソースに対するアクセス可否を判定するアクセス制御部と、
前記アクセス制御リストに対するアクセス制御情報の追加要求に応じて、前記アクセス制御情報をグループ化するための関連情報を更新し、
更新した前記関連情報と、前記アクセス制御情報に関連付けされた優先度情報とに基づいて、前記アクセス制御リストを更新する、
アクセス制御リスト管理部と、を有する、アクセス制御装置。 - 前記関連情報は、グループ化したアクセス制御情報間の関係性を示す情報を含む、請求項1記載のアクセス制御装置。
- 前記アクセス制御情報は、前記リソースに対するリソース参照情報と、当該リソース参照情報に関連付けされたアクセス制御ルールと、を含み、
前記アクセス制御情報の追加要求は、特定のリソースに対する前記アクセス制御情報と、当該アクセス制御情報に関連付けされた優先度とを含み、
前記アクセス制御リスト管理部は、前記アクセス制御情報の追加要求に応じて、
当該アクセス制御情報の追加要求に含まれるアクセス制御情報が、前記アクセス制御リストに含まれるアクセス制御情報と干渉するか判定し、
当該判定結果に基づいて、前記関連情報を更新し、
当該アクセス制御情報追加要求に含まれる優先度を、前記優先度情報に関連付ける、請求項1または請求項2に記載のアクセス制御装置。 - 前記アクセス制御リスト管理部は、前記アクセス制御情報の追加要求に含まれるアクセス制御情報が有するリソース参照情報と、前記アクセス制御リストに含まれるアクセス制御情報が有するリソース参照情報とを比較することにより、当該アクセス制御情報の追加要求に含まれるアクセス制御情報が、前記アクセス制御リストに含まれるアクセス制御情報と干渉するか判定する、請求項3に記載のアクセス制御装置。
- 前記アクセス制御リスト管理部は、
前記優先度情報を参照して、特定の優先度と、当該優先度に関連付けされた前記アクセス制御情報を選択し、
前記関連情報に基づいて、当該選択されたアクセス制御情報と上位または下位の関係を形成するアクセス制御情報を選択してグループを形成し、
当該形成したアクセス制御情報のグループを、前記アクセス制御リストの最上位に並べ替える、請求項1乃至請求項4の何れかに記載のアクセス制御装置。 - 前記アクセス制御リスト管理部は、
前記特定の優先度として、最下位の次に低い優先度から最上位の優先度までを順次選択し、
前記選択した優先度に基づいて、前記アクセス制御リストにおける前記アクセス制御情報のグループの位置を並び替える、請求項5に記載のアクセス制御装置。 - 前記アクセス制御リスト管理部は、
前記アクセス制御情報の追加要求に含まれるアクセス制御情報が有するリソース参照情報と、前記アクセス制御リストに含まれる特定のアクセス制御情報が有するリソース参照情報とを比較し、
一方のリソース参照情報が、他方のリソース参照情報を包含する場合、包含される側のリソース参照情報を有する前記アクセス制御情報を、包含する側のリソース参照情報を有する前記アクセス制御情報の上位として、前記関連情報を更新する、請求項4に記載のアクセス制御装置。 - 前記アクセス制御リスト管理部は、
前記アクセス制御情報の追加要求に含まれるアクセス制御情報が有するリソース参照情報と、前記アクセス制御リストに含まれている特定のアクセス制御情報が有するリソース参照情報とを比較し、
一方のリソース参照情報と、他方のリソース参照情報との間の包含関係を一意に判定できない場合、前記アクセス制御情報の追加要求の要求元に対して選択要求を通知し、
当該通知に対する前記要求元からの応答に基づいて、前記アクセス制御情報の追加要求に含まれるアクセス制御情報と、前記アクセス制御リストに含まれている特定のアクセス制御情報との間の上位または下位の関係を判定し、判定結果に基づいて前記関連情報を更新する、
請求項4または請求項7に記載のアクセス制御装置。 - アクセス制御装置として機能するコンピュータが、
リソースに対するアクセス可否を規定するアクセス制御情報を含むアクセス制御リストに基づいて、前記リソースに対するアクセス可否を判定し、
前記アクセス制御リストに対するアクセス制御情報の追加要求に応じて、前記アクセス制御情報をグループ化するための関連情報を更新し、
更新した前記関連情報と、前記アクセス制御情報に関連付けされた優先度情報とに基づいて、前記アクセス制御リストを更新する、アクセス制御方法。 - リソースに対するアクセス可否を規定するアクセス制御情報を含むアクセス制御リストに基づいて、前記リソースに対するアクセス可否を判定する処理と、
前記アクセス制御リストに対するアクセス制御情報の追加要求に応じて、前記アクセス制御情報をグループ化するための関連情報を更新する処理と、
更新した前記関連情報と、前記アクセス制御情報に関連付けされた優先度情報とに基づいて、前記アクセス制御リストを更新する処理と、をコンピュータに実行させる、アクセス制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013197422A JP6244774B2 (ja) | 2013-09-24 | 2013-09-24 | アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013197422A JP6244774B2 (ja) | 2013-09-24 | 2013-09-24 | アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015064684A JP2015064684A (ja) | 2015-04-09 |
| JP6244774B2 true JP6244774B2 (ja) | 2017-12-13 |
Family
ID=52832520
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013197422A Active JP6244774B2 (ja) | 2013-09-24 | 2013-09-24 | アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6244774B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603302B (zh) * | 2016-12-29 | 2019-11-12 | 杭州迪普科技股份有限公司 | 一种acl表项管理的方法和装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3546787B2 (ja) * | 1999-12-16 | 2004-07-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス制御システム、アクセス制御方法、及び記憶媒体 |
| JP3756457B2 (ja) * | 2002-03-19 | 2006-03-15 | 株式会社エヌ・ティ・ティ・データ | アクセス制御付ディレクトリ機能装置及びプログラム |
| JP4882671B2 (ja) * | 2006-11-01 | 2012-02-22 | 富士通株式会社 | アクセス制御方法及びアクセス制御システム並びにプログラム |
| WO2010116613A1 (ja) * | 2009-04-10 | 2010-10-14 | 日本電気株式会社 | アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム |
| WO2012039081A1 (ja) * | 2010-09-22 | 2012-03-29 | 日本電気株式会社 | アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム |
| US20130329738A1 (en) * | 2011-02-21 | 2013-12-12 | Nec Corporation | Communication system, data base, control apparatus, communication method, and program |
-
2013
- 2013-09-24 JP JP2013197422A patent/JP6244774B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015064684A (ja) | 2015-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11372990B2 (en) | Restricting access to content | |
| US9766791B2 (en) | Predictive caching and fetch priority | |
| US9294485B2 (en) | Controlling access to shared content in an online content management system | |
| US9628493B2 (en) | Computer implemented methods and apparatus for managing permission sets and validating user assignments | |
| JP5753665B2 (ja) | クラウドストレージを提供するクライアント、仲介サーバ及び方法 | |
| JP4537022B2 (ja) | データ配置に制限を設けるデータ処理方法、記憶領域制御方法、および、データ処理システム。 | |
| KR20150036323A (ko) | 비즈니스 데이터 시스템에서 테넌트들에 대한 보안 및 데이터 격리 기법 | |
| JP2009110214A (ja) | 移動端末の位置情報に応じたデータへのアクセス制御システム及び方法 | |
| JP2007172041A (ja) | リソース・コンテンツのアクセス制御方法、システム、およびプログラム | |
| US11514022B2 (en) | Streams on shared database objects | |
| JP5473230B2 (ja) | 文書管理方法、文書管理装置、文書管理システム、およびプログラム | |
| CN103946833A (zh) | 管理专用缓存的系统和方法 | |
| EP3582132A1 (en) | Row-level and column-level policy service | |
| JP2011076550A (ja) | アプリケーション連携方法、及びシステム | |
| US20120159611A1 (en) | Central Administration and Abstraction of Licensed Software Features | |
| US11172034B2 (en) | System and method for location aware content management system | |
| JP6244774B2 (ja) | アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム | |
| US20140101199A1 (en) | Rest and odata object navigation | |
| JP2009026022A (ja) | ファイル保護装置およびファイル保護方法 | |
| JP2004110549A (ja) | ネットワークシステム及びプログラム | |
| JP2005228270A (ja) | ファイル共有システム | |
| JP2007323357A (ja) | 情報処理装置、情報管理システム、情報管理方法、プログラムおよび記憶媒体 | |
| JP6128503B1 (ja) | 電子マニュアルに関連するサービスを提供するためのプログラム、サーバおよびシステム | |
| US20240296238A1 (en) | Rule-based particularized data security | |
| US12126693B2 (en) | System and method for location aware content management system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160816 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170614 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170808 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170929 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171017 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171030 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6244774 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |