JPH01209561A - セキュリティ管理処理方式 - Google Patents
セキュリティ管理処理方式Info
- Publication number
- JPH01209561A JPH01209561A JP63034341A JP3434188A JPH01209561A JP H01209561 A JPH01209561 A JP H01209561A JP 63034341 A JP63034341 A JP 63034341A JP 3434188 A JP3434188 A JP 3434188A JP H01209561 A JPH01209561 A JP H01209561A
- Authority
- JP
- Japan
- Prior art keywords
- task
- identification name
- permission
- user
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 claims description 6
- 238000012423 maintenance Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 4
- 238000000034 method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
〔概 要〕
複数の利用者に共用される資源を有する計算機システム
のセキュリティ管理に関し、 業務を実行する利用者及びその業務で使用可能な資源を
業務オリエンテッドに管理することの容易なセキュリテ
ィ管理処理方式を目的とし、複数の利用者に共用可能な
資源を有する計算機システムにおいて、所要の各業務ご
とに、業務識別名、許可利用者識別名、及び該共用可能
な資源のうちの所要資源の資源識別名を指定する許可リ
ストと、該利用者が利用者識別名及び許可識別名を入力
した場合に、該許可識別名に対応する該許可リストを検
索する手段と、該検索した許可リストに指定された該許
可利用者識別名に、該入力した利用者識別名が指定され
ていることを条件として、該許可リストに指定された該
業務識別名によって定まる業務の実行を開始させる手段
と、該業務の実行中に使用する資源を、該許可リストに
指定されている該資源識別名の範囲に限定する手段とを
設けるように構成する。
のセキュリティ管理に関し、 業務を実行する利用者及びその業務で使用可能な資源を
業務オリエンテッドに管理することの容易なセキュリテ
ィ管理処理方式を目的とし、複数の利用者に共用可能な
資源を有する計算機システムにおいて、所要の各業務ご
とに、業務識別名、許可利用者識別名、及び該共用可能
な資源のうちの所要資源の資源識別名を指定する許可リ
ストと、該利用者が利用者識別名及び許可識別名を入力
した場合に、該許可識別名に対応する該許可リストを検
索する手段と、該検索した許可リストに指定された該許
可利用者識別名に、該入力した利用者識別名が指定され
ていることを条件として、該許可リストに指定された該
業務識別名によって定まる業務の実行を開始させる手段
と、該業務の実行中に使用する資源を、該許可リストに
指定されている該資源識別名の範囲に限定する手段とを
設けるように構成する。
本発明は、複数の利用者に共用される資源を有する計算
機システムのセキュリティ管理、特に業務を実行する利
用者及びその業務で使用可能な資源を業務オリエンテッ
ドに管理するようにしたセキュリティ管理処理方式に関
する。
機システムのセキュリティ管理、特に業務を実行する利
用者及びその業務で使用可能な資源を業務オリエンテッ
ドに管理するようにしたセキュリティ管理処理方式に関
する。
複数の利用者が共用する計算機システムにおいでは、プ
ログラム、データ等の共用可能な資源について、データ
内容の秘密保持、不当な改憲の防止等のいわゆるセキュ
リティ維持のための管理が一般に必要とされる。
ログラム、データ等の共用可能な資源について、データ
内容の秘密保持、不当な改憲の防止等のいわゆるセキュ
リティ維持のための管理が一般に必要とされる。
第1図は計算機システムの構成例を示すブロック図であ
る。
る。
計算機システムの利用者は、処理装置1に接続した端末
2から所要の指令等を入力して、記憶装置3に格納され
たプログラムファイル4から業務に必要なプログラムを
指定して実行することにより、記憶装置3に格納された
データファイル5の所要データ或いは端末2から入力す
るデータ等を処理して、ファイルを更新し、又必要な処
理結果を端末2に出力させる。
2から所要の指令等を入力して、記憶装置3に格納され
たプログラムファイル4から業務に必要なプログラムを
指定して実行することにより、記憶装置3に格納された
データファイル5の所要データ或いは端末2から入力す
るデータ等を処理して、ファイルを更新し、又必要な処
理結果を端末2に出力させる。
このようなシステムでセキュリティ管理を行う場合には
、例えば先ず利用者が端末2からシステムにアクセスし
たとき、セキュリティ制御部6が利用者識別名と利用者
パスワードの入力を求め、再入力の対応を利用者管理リ
ストアによって確認できた場合のみ、業務の処理の開始
を許し、利用者識別名と利用者パスワードが対応しない
場合にはシステムへのアクセスを拒絶し、このようにし
て利用者がシステムの利用者管理リストアに予め登録さ
れている利用者であることを確認する。
、例えば先ず利用者が端末2からシステムにアクセスし
たとき、セキュリティ制御部6が利用者識別名と利用者
パスワードの入力を求め、再入力の対応を利用者管理リ
ストアによって確認できた場合のみ、業務の処理の開始
を許し、利用者識別名と利用者パスワードが対応しない
場合にはシステムへのアクセスを拒絶し、このようにし
て利用者がシステムの利用者管理リストアに予め登録さ
れている利用者であることを確認する。
次に利用者が、業務のために所要のプログラムを稼働し
、必要なデータファイルにアクセスするために、それら
のファイル名を指定してアクセスを要求した場合に、そ
れらのファイがセキュリティ管理の必要なファイルであ
ると、セキュリティ制御部6はそれぞれについてファイ
ルパスワードの入力を要求する。
、必要なデータファイルにアクセスするために、それら
のファイル名を指定してアクセスを要求した場合に、そ
れらのファイがセキュリティ管理の必要なファイルであ
ると、セキュリティ制御部6はそれぞれについてファイ
ルパスワードの入力を要求する。
セキュリティ制御部6は利用者が入力した各ファイルパ
スワードを、ファイル管理リスト8によって各ファイル
名に対応するかチエツクし、・ ファイル名に対応す
る正しいファイルパスワードが入力された場合のみ、そ
のファイルへのアクセスを許し、このようにして、シス
テムに登録された正当な利用者が、ファイルパスワード
を知らされているファイルにのみアクセスできるように
管理することができる。
スワードを、ファイル管理リスト8によって各ファイル
名に対応するかチエツクし、・ ファイル名に対応す
る正しいファイルパスワードが入力された場合のみ、そ
のファイルへのアクセスを許し、このようにして、シス
テムに登録された正当な利用者が、ファイルパスワード
を知らされているファイルにのみアクセスできるように
管理することができる。
前記のようなセキュリティ管理の処理方式は、各利用者
が個別に利用するような計算センタ等に向いていて、管
理の融通性はあるが、セキュリティ管理を細かく行おう
とすると利用者に煩雑な操作を要求するようになる等の
問題がある。
が個別に利用するような計算センタ等に向いていて、管
理の融通性はあるが、セキュリティ管理を細かく行おう
とすると利用者に煩雑な操作を要求するようになる等の
問題がある。
特に、近年増加しているような例えば中型の計算機シス
テムを一事務所内の多数の要員が共用して、比較的広い
範囲の業務に使用するような場合には、利用者に要求す
る操作が簡単で適切なセキュリティ管理の可能な方式が
望まれる。
テムを一事務所内の多数の要員が共用して、比較的広い
範囲の業務に使用するような場合には、利用者に要求す
る操作が簡単で適切なセキュリティ管理の可能な方式が
望まれる。
本発明は、各利用者が計算機を使用して実行する業務を
基本にして、業務を実行する利用者及びその業務で使用
可能な資源を業務オリエンテッドに管理することの容易
なセキュリティ管理処理方式を目的とする。
基本にして、業務を実行する利用者及びその業務で使用
可能な資源を業務オリエンテッドに管理することの容易
なセキュリティ管理処理方式を目的とする。
第1図は、本発明の構成を示すブロック図である。
図は計算機システムの構成を示し、処理装置10の11
はシステムにアクセスする利用者の指定する業務の実行
可否を、記憶装置15に格納する許可リスト12を検索
して決定するアクセス制御部、13は業務の実行中に、
その業務に対応する許可リスト12aによって、資源の
使用を監視制御する実行制御部である。
はシステムにアクセスする利用者の指定する業務の実行
可否を、記憶装置15に格納する許可リスト12を検索
して決定するアクセス制御部、13は業務の実行中に、
その業務に対応する許可リスト12aによって、資源の
使用を監視制御する実行制御部である。
許可リスト12には、所要の各業務ごとに業務識別名、
許可利用者識別名、及び共用可能な計算機資源のうちの
所要の資源の資源識別名をそれぞれ指定する。
許可利用者識別名、及び共用可能な計算機資源のうちの
所要の資源の資源識別名をそれぞれ指定する。
利用者がある業務を実行する場合には、端末2・ か
ら利用者識別名及び許可識別名を入力し、アクセス制御
部11が、入力された許可識別名に対応する該許可リス
トを検索し、入力された利用者識別名が、その許可リス
トに許可利用者識別名として指定されているかチエツク
して、該当の許可利用者識別名があれば、業務を開始さ
せるためにその許可リストの内容を許可リスト12aと
して実行制御部13に渡す。
ら利用者識別名及び許可識別名を入力し、アクセス制御
部11が、入力された許可識別名に対応する該許可リス
トを検索し、入力された利用者識別名が、その許可リス
トに許可利用者識別名として指定されているかチエツク
して、該当の許可利用者識別名があれば、業務を開始さ
せるためにその許可リストの内容を許可リスト12aと
して実行制御部13に渡す。
実行制御部13は、その許可リストに指定された業務識
別名によって定まる業務の実行を開始させ、又業務の実
行中に使用する資源を、その許可リスト12aに指定さ
れている資源識別名の範囲に限定するように制御する。
別名によって定まる業務の実行を開始させ、又業務の実
行中に使用する資源を、その許可リスト12aに指定さ
れている資源識別名の範囲に限定するように制御する。
以上の処理方式により、利用者は常にシステムにアクセ
スする場合に、自身の利用者識別名の他には、必要な各
業務に対する許可識別名のみを知っていればよく、シス
テムでは業務ごとの許可リストにより、セキュリティを
維持するに必要なだけ使用資源の限定等を行うことがで
きる。
スする場合に、自身の利用者識別名の他には、必要な各
業務に対する許可識別名のみを知っていればよく、シス
テムでは業務ごとの許可リストにより、セキュリティを
維持するに必要なだけ使用資源の限定等を行うことがで
きる。
本発明によるセキュリティ管理を適用する計算機システ
ムでは、原則として各利用者ごとに利用者識別名を定め
る。又セキュリティ管理を考慮して分類した、セキュリ
ティ管理の必要な業務ごとに1個以上の許可識別名を設
け、それらの各業務に対応して許可リスト12を設定し
ておく。
ムでは、原則として各利用者ごとに利用者識別名を定め
る。又セキュリティ管理を考慮して分類した、セキュリ
ティ管理の必要な業務ごとに1個以上の許可識別名を設
け、それらの各業務に対応して許可リスト12を設定し
ておく。
それらの利用者識別名及び許可識別名は原則として公開
せず、必要な利用者のみに知らせておくように運用する
ものとする。
せず、必要な利用者のみに知らせておくように運用する
ものとする。
各許可リスト12には、各業務ごとの業務識別名、その
業務の実行を許可される利用者を示す1以上の利用者識
別名からなる許可利用者識別名、及び共用可能な計算機
資源のうちの所要の資源の資源識別名をそれぞれ設定す
る。
業務の実行を許可される利用者を示す1以上の利用者識
別名からなる許可利用者識別名、及び共用可能な計算機
資源のうちの所要の資源の資源識別名をそれぞれ設定す
る。
こ\で問題とする計算機の資源には、例えばデータのフ
ァイル、プログラム又はコマンド(コマンドを実行する
プログラム)等があり、それぞれファイル名、コマンド
名、ファイルの集合であるライブラリを指定するライブ
ラリ名等によってプログラムファイル4、データファイ
ル5等の特定のファイルを指定することにより、許可リ
スト12に指定されている資源のみの使用を許可するよ
うに制御する。
ァイル、プログラム又はコマンド(コマンドを実行する
プログラム)等があり、それぞれファイル名、コマンド
名、ファイルの集合であるライブラリを指定するライブ
ラリ名等によってプログラムファイル4、データファイ
ル5等の特定のファイルを指定することにより、許可リ
スト12に指定されている資源のみの使用を許可するよ
うに制御する。
利用者が成る業務を実行する場合には、端末2から利用
者識別名及び許可識別名を入力する。
者識別名及び許可識別名を入力する。
アクセス制御部11がその入力を受は取り、入力された
許可識別名に対応する該許可リストを検索する。そのた
めに例えばアクセス制御部11は許可識別名と許可リス
トの格納アドレスとの対応表を保持して、対応表から所
要の許可識別名を走査する。
許可識別名に対応する該許可リストを検索する。そのた
めに例えばアクセス制御部11は許可識別名と許可リス
トの格納アドレスとの対応表を保持して、対応表から所
要の許可識別名を走査する。
該当の許可リストがあれば、入力された利用者識別名が
、その許可リスト12に、許可利用者識別名として指定
されているかチエツクし、許可されていれば業務を開始
させるためにその許可リストの内容を許可リスト12a
として実行制御部13に渡す。又、該当の許可リストが
無いか、該当の許可利用者識別名が無ければ、利用者に
対してアクセスを拒絶する。
、その許可リスト12に、許可利用者識別名として指定
されているかチエツクし、許可されていれば業務を開始
させるためにその許可リストの内容を許可リスト12a
として実行制御部13に渡す。又、該当の許可リストが
無いか、該当の許可利用者識別名が無ければ、利用者に
対してアクセスを拒絶する。
実行制御部13は、その許可リスト12aに指定された
業務識別名によって定まる業務の実行を開始させる。こ
の業務開始は、例えば業務識別名をジョブ名として登録
されているジョブ制御情報を使用することにより、通常
の手順で行うことができる。
業務識別名によって定まる業務の実行を開始させる。こ
の業務開始は、例えば業務識別名をジョブ名として登録
されているジョブ制御情報を使用することにより、通常
の手順で行うことができる。
業務が開始されると実行制御部13は、実行中の業務を
監視するために、業務中で新たな資源の要求が発生する
ごとに制御を渡され、要求の資源を、許可リスト 12
aに指定されている資源識別名を参照してチエツクし、
許可されていれば制御を返して、業務の処理を進める。
監視するために、業務中で新たな資源の要求が発生する
ごとに制御を渡され、要求の資源を、許可リスト 12
aに指定されている資源識別名を参照してチエツクし、
許可されていれば制御を返して、業務の処理を進める。
許可されていない資源が要求された場合には、例えばそ
の業務の実行を中断させる等の処理を行う。
の業務の実行を中断させる等の処理を行う。
以上の説明から明らかなように本発明によれば、複数の
利用者の共用資源を有する計算機システムにおいて、業
務を実行する利用者及びその業務で使用可能な資源を業
務オリエンテッドに管理して、利用者には業務を指定す
る許可識別名を提示させるのみで、業務ごとに必要なレ
ベルのセキュリティ管理を行うことができるので、計算
機システムのセキュリティと利用性を向上するという著
しい工業的効果がある。
利用者の共用資源を有する計算機システムにおいて、業
務を実行する利用者及びその業務で使用可能な資源を業
務オリエンテッドに管理して、利用者には業務を指定す
る許可識別名を提示させるのみで、業務ごとに必要なレ
ベルのセキュリティ管理を行うことができるので、計算
機システムのセキュリティと利用性を向上するという著
しい工業的効果がある。
第1図は本発明の構成を示すブロック図、第2図は従来
の構成例を示すブロック図である。 図において、 1.10は処理装置、 2は端末、 3.15は記憶装置、 4はプログラムファイル、5
はデータファイル、 6はセキュリティ制御部、7は利
用者管理リスト、 8はファイル管理リスト、 11はアクセス制御部、 12.12aは許可リスト、
13は実行制御部
の構成例を示すブロック図である。 図において、 1.10は処理装置、 2は端末、 3.15は記憶装置、 4はプログラムファイル、5
はデータファイル、 6はセキュリティ制御部、7は利
用者管理リスト、 8はファイル管理リスト、 11はアクセス制御部、 12.12aは許可リスト、
13は実行制御部
Claims (1)
- 【特許請求の範囲】 複数の利用者に共用可能な資源を有する計算機システム
において、 所要の各業務ごとに、業務識別名、許可利用者識別名、
及び該共用可能な資源のうちの所要資源の資源識別名を
指定する許可リスト(12)と、該利用者が利用者識別
名及び許可識別名を入力した場合に、該許可識別名に対
応する該許可リストを検索する手段(11)と、 該検索した許可リストに指定された該許可利用者識別名
に、該入力した利用者識別名が指定されていることを条
件として、該許可リスト(12)に指定された該業務識
別名によって定まる業務の実行を開始させる手段(11
、13)と、 該業務の実行中に使用する資源を、該許可リスト(12
)に指定されている該資源識別名の範囲に限定する手段
(13)とを設けたことを特徴とするセキュリティ管理
処理方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP63034341A JPH0789351B2 (ja) | 1988-02-17 | 1988-02-17 | セキュリティ管理処理方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP63034341A JPH0789351B2 (ja) | 1988-02-17 | 1988-02-17 | セキュリティ管理処理方式 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH01209561A true JPH01209561A (ja) | 1989-08-23 |
| JPH0789351B2 JPH0789351B2 (ja) | 1995-09-27 |
Family
ID=12411437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP63034341A Expired - Fee Related JPH0789351B2 (ja) | 1988-02-17 | 1988-02-17 | セキュリティ管理処理方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH0789351B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06250990A (ja) * | 1993-02-25 | 1994-09-09 | Nec Corp | 計算機資源アクセス制御装置 |
| JPH10126670A (ja) * | 1996-10-15 | 1998-05-15 | Canon Inc | カメラ制御システム |
| JP2005327295A (ja) * | 1994-01-18 | 2005-11-24 | Seiko Epson Corp | メニュー作成方法及びメニュー表示方法、そのための情報処理システム |
| US7079177B2 (en) | 1995-02-27 | 2006-07-18 | Canon Kabushiki Kaisha | Remote control system and access control method for information input apparatus with limitation by user for image access and camemremote control |
| JP2012098924A (ja) * | 2010-11-02 | 2012-05-24 | Hitachi Ltd | アクセス権管理装置、アクセス権管理システム、アクセス権管理方法およびアクセス権管理プログラム |
| WO2023144932A1 (ja) * | 2022-01-26 | 2023-08-03 | ハミングヘッズ株式会社 | 情報処理方法、プログラム及び記憶媒体 |
-
1988
- 1988-02-17 JP JP63034341A patent/JPH0789351B2/ja not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06250990A (ja) * | 1993-02-25 | 1994-09-09 | Nec Corp | 計算機資源アクセス制御装置 |
| JP2005327295A (ja) * | 1994-01-18 | 2005-11-24 | Seiko Epson Corp | メニュー作成方法及びメニュー表示方法、そのための情報処理システム |
| US7079177B2 (en) | 1995-02-27 | 2006-07-18 | Canon Kabushiki Kaisha | Remote control system and access control method for information input apparatus with limitation by user for image access and camemremote control |
| JPH10126670A (ja) * | 1996-10-15 | 1998-05-15 | Canon Inc | カメラ制御システム |
| JP2012098924A (ja) * | 2010-11-02 | 2012-05-24 | Hitachi Ltd | アクセス権管理装置、アクセス権管理システム、アクセス権管理方法およびアクセス権管理プログラム |
| WO2023144932A1 (ja) * | 2022-01-26 | 2023-08-03 | ハミングヘッズ株式会社 | 情報処理方法、プログラム及び記憶媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH0789351B2 (ja) | 1995-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5832483A (en) | Distributed control interface for managing the interoperability and concurrency of agents and resources in a real-time environment | |
| US5708812A (en) | Method and apparatus for Migrating from a source domain network controller to a target domain network controller | |
| EP0272836B1 (en) | Controlled dynamic load balancing for a multiprocessor system | |
| US5720033A (en) | Security platform and method using object oriented rules for computer-based systems using UNIX-line operating systems | |
| US7219234B1 (en) | System and method for managing access rights and privileges in a data processing system | |
| US6058426A (en) | System and method for automatically managing computing resources in a distributed computing environment | |
| US8015299B2 (en) | Method and system for administering a concurrent user licensing agreement on a manufacturing/process control information portal server | |
| US4791554A (en) | Method and apparatus for preventing deadlock in a data base management system | |
| US6289458B1 (en) | Per property access control mechanism | |
| US6442695B1 (en) | Establishment of user home directories in a heterogeneous network environment | |
| US5774650A (en) | Control of access to a networked system | |
| US20050132220A1 (en) | Fine-grained authorization by authorization table associated with a resource | |
| EP1124172A2 (en) | Controlling access to a storage device | |
| US20090007256A1 (en) | Using a trusted entity to drive security decisions | |
| JPH10506741A (ja) | コンピュータネットワークにおけるユーザプログラムのためのセットアップ機構 | |
| CN111352737A (zh) | 一种基于资源池的容器云计算服务平台 | |
| US7062660B2 (en) | Method and apparatus for controlling the performance of a file system mount operation by a user lacking superuser authority | |
| JPH01209561A (ja) | セキュリティ管理処理方式 | |
| CN106897078A (zh) | 一种信息获得方法及装置 | |
| JP2000502825A5 (ja) | ||
| JPH05181734A (ja) | データベースのアクセス権管理制御方式およびファイルシステムのアクセス権管理制御方式 | |
| JPH07244639A (ja) | アクセス権管理装置 | |
| JPS628247A (ja) | デ−タの機密保護制御方式 | |
| US8666945B1 (en) | Method and apparatus for utilizing securable objects in a computer network | |
| EP0426595A2 (en) | Method of permitting access of shared resources using user set definition to support affinity and surrogate user relations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |