JPH0588960A - アクセス権判定装置 - Google Patents
アクセス権判定装置Info
- Publication number
- JPH0588960A JPH0588960A JP3248584A JP24858491A JPH0588960A JP H0588960 A JPH0588960 A JP H0588960A JP 3248584 A JP3248584 A JP 3248584A JP 24858491 A JP24858491 A JP 24858491A JP H0588960 A JPH0588960 A JP H0588960A
- Authority
- JP
- Japan
- Prior art keywords
- level
- access
- access level
- group
- access right
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
(57)【要約】
【目的】グレープメンバに対してきめ細かいアクセス権
制御を行う。 【構成】ユーザとユーザの集まりであるグループを管理
する機能とキャビネットやフォルダ・文書等からなる電
子ファイリング機能をもつオフィスシステムにおけるア
クセス権判定装置において、グループメンバのアクセス
レベルの定義を含むアクセスレベルテーブルと、該アク
セスレベルテーブルを使って前記アクセスレベルを判定
するアクセスレベル判定手段と、該アクセスレベル判定
手段を呼び出してアクセス権の有無を判定するアクセス
権判定手段とを有することを特徴とするアクセス権判定
装置。
制御を行う。 【構成】ユーザとユーザの集まりであるグループを管理
する機能とキャビネットやフォルダ・文書等からなる電
子ファイリング機能をもつオフィスシステムにおけるア
クセス権判定装置において、グループメンバのアクセス
レベルの定義を含むアクセスレベルテーブルと、該アク
セスレベルテーブルを使って前記アクセスレベルを判定
するアクセスレベル判定手段と、該アクセスレベル判定
手段を呼び出してアクセス権の有無を判定するアクセス
権判定手段とを有することを特徴とするアクセス権判定
装置。
Description
【0001】
【産業上の利用分野】本発明は、電子ファイリング機能
を持つオフィスシステムにおけるアクセス権判定方式に
関する。
を持つオフィスシステムにおけるアクセス権判定方式に
関する。
【0002】
【従来の技術】ユーザと複数のユーザの集まりであるグ
ループをもち、ユーザの個人環境やグループの共用環境
や、システムの共用環境として、キャビネットやフォル
ダや文書等からなる階層的な電子ファイリング機能をも
つオフィスシステムにおいては、誤ってデータを破壊し
たり、関係者以外へ情報が漏れたりするのを防ぐため
に、ユーザの更新操作や参照操作を許可したり禁止した
りする制御(アクセス権制御)が必要である。
ループをもち、ユーザの個人環境やグループの共用環境
や、システムの共用環境として、キャビネットやフォル
ダや文書等からなる階層的な電子ファイリング機能をも
つオフィスシステムにおいては、誤ってデータを破壊し
たり、関係者以外へ情報が漏れたりするのを防ぐため
に、ユーザの更新操作や参照操作を許可したり禁止した
りする制御(アクセス権制御)が必要である。
【0003】アスセス権制御は通常、ユーザからキャビ
ネットやフォルダ・文書等の参照や更新等のコマンドを
受け付けたときにアクセス権判定装置により、そのユー
ザがそのコマンドの処理対象であるキャビネットやフォ
ルダ・文書等に対してコマンドの処理対象であるキャビ
ネットやフォルダ文書等に対してコマンドで行なおうと
している処理を行なう権限(アクセス権)があるかどう
かを判定し、権限がない場合はコマンドの処理を中止す
る、という方法で行なう。
ネットやフォルダ・文書等の参照や更新等のコマンドを
受け付けたときにアクセス権判定装置により、そのユー
ザがそのコマンドの処理対象であるキャビネットやフォ
ルダ・文書等に対してコマンドの処理対象であるキャビ
ネットやフォルダ文書等に対してコマンドで行なおうと
している処理を行なう権限(アクセス権)があるかどう
かを判定し、権限がない場合はコマンドの処理を中止す
る、という方法で行なう。
【0004】従来のこの種のアクセス権判定装置の構成
を図4に示す。
を図4に示す。
【0005】図4において、4−1はアクセス権判定手
段、4−2はアクセスレベル判定手段、4−3はアクセ
スレベルテーブルをそれぞれ表わしている。アクセス権
判定手段4−1は全体の処理の流れを制御する。
段、4−2はアクセスレベル判定手段、4−3はアクセ
スレベルテーブルをそれぞれ表わしている。アクセス権
判定手段4−1は全体の処理の流れを制御する。
【0006】アクセス権判定手段4−1はまず、アクセ
スレベル判定手段4−2を呼び出して、コマンド発行者
であるユーザがコマンドの処理対象に対してどのくらい
の強さの権限をもつか(アクセスレベル)を判定する。
次にその結果を使って、コマンドを実行する権限がある
かどうかを判定し、判定結果を出力する。
スレベル判定手段4−2を呼び出して、コマンド発行者
であるユーザがコマンドの処理対象に対してどのくらい
の強さの権限をもつか(アクセスレベル)を判定する。
次にその結果を使って、コマンドを実行する権限がある
かどうかを判定し、判定結果を出力する。
【0007】アクセスレベルには、権限の強いほうから
レベル0,レベル1,レベル2,レベル3があり、各レ
ベルの権限はレベル0は特権,レベル1は参照更新可
能,レベル2は参照のみ可能,レベル3は参照も更新も
できない,という意味付けになっている。
レベル0,レベル1,レベル2,レベル3があり、各レ
ベルの権限はレベル0は特権,レベル1は参照更新可
能,レベル2は参照のみ可能,レベル3は参照も更新も
できない,という意味付けになっている。
【0008】アクセスレベル判定手段4−2は、図5に
示すアクセスレベルテーブルを使って、アクセスレベル
を判定する。アクセスレベルテーブル4−3は、図5に
示すように、処理対象の所有者番号5−1,所有グルー
プ番号5−2,レベル1ユーザの条件リスタ5−3,レ
ベル2ユーザの条件リスト5−4から構成される。
示すアクセスレベルテーブルを使って、アクセスレベル
を判定する。アクセスレベルテーブル4−3は、図5に
示すように、処理対象の所有者番号5−1,所有グルー
プ番号5−2,レベル1ユーザの条件リスタ5−3,レ
ベル2ユーザの条件リスト5−4から構成される。
【0009】図6はアクセスレベル判定手段4−2によ
る処理の流れを示す。
る処理の流れを示す。
【0010】まず、入力データで引き渡されたコマンド
発行者の情報6−1により、コマンド発信者がシステム
責任者かどうかをチェックし(6−2)、システム責任
者ならば、レベル0を返却する(6−8)。コマンド発
信者がシステム責任者でない場合は、コマンドの処理対
象の情報からアクセスレベルテーブルを得て、コマンド
発信者がアクセスレベルテーブルの所有者番号と一致す
るかどうかをチェックし(6−4)、一致する場合は、
レベル0を返却する(6−8)。
発行者の情報6−1により、コマンド発信者がシステム
責任者かどうかをチェックし(6−2)、システム責任
者ならば、レベル0を返却する(6−8)。コマンド発
信者がシステム責任者でない場合は、コマンドの処理対
象の情報からアクセスレベルテーブルを得て、コマンド
発信者がアクセスレベルテーブルの所有者番号と一致す
るかどうかをチェックし(6−4)、一致する場合は、
レベル0を返却する(6−8)。
【0011】一致しない場合は、コマンド発信者がアク
セスレベルテーブルの所有グループに所属するかどうか
を判定し(6−5)、所属するならばレベル1を返却す
る(6−12)。所属しないならば、コマンド発信者が
アクセスレベルテーブルのレベル1ユーザ条件リストの
条件を満たすかどうかを判定し(6−7)、1つでも条
件を満たすならば、レベル1を返却する(6−9)。条
件を満たさないときは、コマンド発信者がアクセスレベ
ルテーブルのレベル2ユーザ条件リストを満たしかどう
かを判定し(6−7)1つでも条件を満たすならば、レ
ベル2を返却する(6−1)。満たさない場合は、レベ
ル3を返却する(6−10)。
セスレベルテーブルの所有グループに所属するかどうか
を判定し(6−5)、所属するならばレベル1を返却す
る(6−12)。所属しないならば、コマンド発信者が
アクセスレベルテーブルのレベル1ユーザ条件リストの
条件を満たすかどうかを判定し(6−7)、1つでも条
件を満たすならば、レベル1を返却する(6−9)。条
件を満たさないときは、コマンド発信者がアクセスレベ
ルテーブルのレベル2ユーザ条件リストを満たしかどう
かを判定し(6−7)1つでも条件を満たすならば、レ
ベル2を返却する(6−1)。満たさない場合は、レベ
ル3を返却する(6−10)。
【0012】
【発明が解決しようとする課題】上述した従来のアクセ
ス権判定装置では、コマンドの処理対象の所有者グルー
プにコマンド発信者であるユーザが所属する場合は、無
条件にレベル1と判定されてしまうため、グループメン
バがグループの共有環境に対してアクセスする場合、常
に参照更新可能になってしまう。そのため、グループメ
ンバに対してグループの共有環境の参照のみ許可した
り、参照も更新も禁止したりすることができないという
欠点がある。
ス権判定装置では、コマンドの処理対象の所有者グルー
プにコマンド発信者であるユーザが所属する場合は、無
条件にレベル1と判定されてしまうため、グループメン
バがグループの共有環境に対してアクセスする場合、常
に参照更新可能になってしまう。そのため、グループメ
ンバに対してグループの共有環境の参照のみ許可した
り、参照も更新も禁止したりすることができないという
欠点がある。
【0013】また、すべてのグループメンバが等しい権
限を持つことになり、グループメンバ間での権限の制御
ができないという欠点がある。
限を持つことになり、グループメンバ間での権限の制御
ができないという欠点がある。
【0014】
【課題を解決するための手段】本発明のアクセス変判定
装置はグループメンバのアクセスレベルの定義を含むア
クセスレベルテーブルと、該アクセスレベルテーブルを
使って前記アクセスレベルを判定するアクセスレベル判
定手段と、該アクセスレベル判定手段を呼び出してアク
セス権の有無を判定するアクセス権判定手段とを有して
いる。
装置はグループメンバのアクセスレベルの定義を含むア
クセスレベルテーブルと、該アクセスレベルテーブルを
使って前記アクセスレベルを判定するアクセスレベル判
定手段と、該アクセスレベル判定手段を呼び出してアク
セス権の有無を判定するアクセス権判定手段とを有して
いる。
【0015】
【実施例】次に本発明について、図面を参照して説明す
る。
る。
【0016】図1に本発明の一実施例の構成の概要を示
す。図中の1−1はアクセス権判定手段、1−2はアク
セスレベル判定手段、1−3はアクセスレベルテーブル
をそれぞれ表わしている。
す。図中の1−1はアクセス権判定手段、1−2はアク
セスレベル判定手段、1−3はアクセスレベルテーブル
をそれぞれ表わしている。
【0017】アクセス権判定手段1−1は、アクセス権
判定装置の処理全体を実現する手段で、従来方式のアク
セス権判定手段4−1と同じものである。
判定装置の処理全体を実現する手段で、従来方式のアク
セス権判定手段4−1と同じものである。
【0018】アクセスレベルテーブル1−3の構成を図
2に示す。アクセスレベルテーブルは、所有者番号2−
1と所有グループ番号2−2、グループメンバのアクセ
スレベル2−3と、レベル1ユーザ条件リスト2−4、
レベル2ユーザ条件リスト2−5で構成される。グルー
プメンバのアクセスレベル2−3以外は従来技術のアク
セスレベルテーブル4−3と同じである。グループメン
バのアクセスレベルは、所有グループに所属するユーザ
にレベル1,レベル2,レベル3の権限のうち、どの権
限を与えるかを定義する。
2に示す。アクセスレベルテーブルは、所有者番号2−
1と所有グループ番号2−2、グループメンバのアクセ
スレベル2−3と、レベル1ユーザ条件リスト2−4、
レベル2ユーザ条件リスト2−5で構成される。グルー
プメンバのアクセスレベル2−3以外は従来技術のアク
セスレベルテーブル4−3と同じである。グループメン
バのアクセスレベルは、所有グループに所属するユーザ
にレベル1,レベル2,レベル3の権限のうち、どの権
限を与えるかを定義する。
【0019】図3に、本発明のアクセスレベル判定手段
1−2の処理の流れを示す。コマンド発行者がアクセス
レベルテーブル1−3の所有グループに所属していると
判定した(3−5)あとの処理を除けば、従来技術と同
じである。コマンド発行者がアクセスレベルテーブル1
−3の所有グループに所属していると判定する(3−
5)と、従来技術では、無条件にレベル1を返却してい
たが(6−12)、本発明では、アクセスレベルテーブ
ルのグループメンバのアクセスレベルを返却する(3−
12)。
1−2の処理の流れを示す。コマンド発行者がアクセス
レベルテーブル1−3の所有グループに所属していると
判定した(3−5)あとの処理を除けば、従来技術と同
じである。コマンド発行者がアクセスレベルテーブル1
−3の所有グループに所属していると判定する(3−
5)と、従来技術では、無条件にレベル1を返却してい
たが(6−12)、本発明では、アクセスレベルテーブ
ルのグループメンバのアクセスレベルを返却する(3−
12)。
【0020】
【発明の効果】以上説明したように本発明は、アクセス
レベルテーブルにグループメンバのアクセスレベルを追
加したことにより、グループメンバがグループの共有環
境にアクセスする時のアクセスレベルをレベル1,レベ
ル2,レベル3のいずれかに設定することができる。こ
れとレベル1ユーザ条件リスト,レベル2ユーザ条件ル
ストを組み合わせて利用することで、グループメンバの
グループ共有環境に対するアクセス権制御をきめこまか
に行なうことができる。
レベルテーブルにグループメンバのアクセスレベルを追
加したことにより、グループメンバがグループの共有環
境にアクセスする時のアクセスレベルをレベル1,レベ
ル2,レベル3のいずれかに設定することができる。こ
れとレベル1ユーザ条件リスト,レベル2ユーザ条件ル
ストを組み合わせて利用することで、グループメンバの
グループ共有環境に対するアクセス権制御をきめこまか
に行なうことができる。
【0021】例えば、一般のグループメンバには参照の
みを許可したり、参照も更新も禁止したりしておき、権
限の強いユーザをレベル1ユーザ条件リストに設定して
おけば、グループメンバの中で権限を分けることができ
る。
みを許可したり、参照も更新も禁止したりしておき、権
限の強いユーザをレベル1ユーザ条件リストに設定して
おけば、グループメンバの中で権限を分けることができ
る。
【図1】本発明の一実施例の構成の概要図である。
【図2】本発明のアクセスレベルテーブルの概要図であ
る。
る。
【図3】本発明のアクセスレベル判定手段での処理の流
れを示す図である。
れを示す図である。
【図4】従来方式の構成の概要図である。
【図5】従来方式のアクセスレベルテーブルの概要図で
ある。
ある。
【図6】従来方式のアクセスレベル判定手段での処理の
流れを示す図である。
流れを示す図である。
1−1,4−1 アクセス権判定手段 1−2,4−2 アクセスレベル判定手段 1−3,4−3 アクスレベルテーブル
Claims (1)
- 【請求項1】 ユーザとユーザの集まりであるグループ
を管理する機能とキャビネットやフォルダ・文書等から
なる電子ファイリング機能をもつオフィスシステムにお
けるアクセス権判定装置において、 グループメンバのアクセスレベルの定義を含むアクセス
レベルテーブルと、 該アクセスレベルテーブルを使って前記アクセスレベル
を判定するアクセスレベル判定手段と、 該アクセスレベル判定手段を呼び出してアクセス権の有
無を判定するアクセス権判定手段とを有することを特徴
とするアクセス権判定装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP3248584A JPH0588960A (ja) | 1991-09-27 | 1991-09-27 | アクセス権判定装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP3248584A JPH0588960A (ja) | 1991-09-27 | 1991-09-27 | アクセス権判定装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH0588960A true JPH0588960A (ja) | 1993-04-09 |
Family
ID=17180301
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP3248584A Pending JPH0588960A (ja) | 1991-09-27 | 1991-09-27 | アクセス権判定装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JPH0588960A (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07191918A (ja) * | 1993-12-27 | 1995-07-28 | Matsushita Electric Ind Co Ltd | コンピュータシステムおよびネットワーク運用システム |
US7035979B2 (en) | 2002-05-22 | 2006-04-25 | International Business Machines Corporation | Method and apparatus for optimizing cache hit ratio in non L1 caches |
US7073030B2 (en) | 2002-05-22 | 2006-07-04 | International Business Machines Corporation | Method and apparatus providing non level one information caching using prefetch to increase a hit ratio |
JP2010020419A (ja) * | 2008-07-08 | 2010-01-28 | Fuji Xerox Co Ltd | 文書管理プログラム、文書管理装置及び文書管理システム |
JP2011128683A (ja) * | 2009-12-15 | 2011-06-30 | Fujitsu Ltd | 情報処理装置、コマンド判定プログラム、およびコマンド判定方法 |
-
1991
- 1991-09-27 JP JP3248584A patent/JPH0588960A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07191918A (ja) * | 1993-12-27 | 1995-07-28 | Matsushita Electric Ind Co Ltd | コンピュータシステムおよびネットワーク運用システム |
US7035979B2 (en) | 2002-05-22 | 2006-04-25 | International Business Machines Corporation | Method and apparatus for optimizing cache hit ratio in non L1 caches |
US7073030B2 (en) | 2002-05-22 | 2006-07-04 | International Business Machines Corporation | Method and apparatus providing non level one information caching using prefetch to increase a hit ratio |
JP2010020419A (ja) * | 2008-07-08 | 2010-01-28 | Fuji Xerox Co Ltd | 文書管理プログラム、文書管理装置及び文書管理システム |
JP2011128683A (ja) * | 2009-12-15 | 2011-06-30 | Fujitsu Ltd | 情報処理装置、コマンド判定プログラム、およびコマンド判定方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US5414852A (en) | Method for protecting data in a computer system | |
Kain et al. | On access checking in capability-based systems | |
Harwood | American public opinion and US immigration policy | |
US4135240A (en) | Protection of data file contents | |
CN100359427C (zh) | 一种移动终端用户使用权限分级管理实现方法 | |
CN100492357C (zh) | 最优化行级别数据库安全的系统和方法 | |
US8510818B2 (en) | Selective cross-realm authentication | |
US9576148B2 (en) | Method, an apparatus, a computer system, a security component and a computer readable medium for defining access rights in metadata-based file arrangement | |
CA2524371A1 (en) | System and method for electronic document security | |
Fine | Individual liberalism in a Paretian society | |
GB2384874A (en) | Apparatus for determining access rights to a computer | |
Montgomery et al. | Secure object sharing in Java Card | |
Bench-Capon et al. | Lessons from Implementing Factors with Magnitude. | |
Bell | Modeling the “multipolicy machine” | |
JPH0588960A (ja) | アクセス権判定装置 | |
CA2149866C (en) | A method and system for maintaining access security of input and output operations in a computer system | |
US20150052592A1 (en) | Methods and Systems for Using Derived User Accounts | |
Chang | An information protection scheme based upon number theory | |
Botha | CoSAWoE-a model for context-sensitive access control in workflow environments. | |
US20230208842A1 (en) | Identification of permutations of permission groups having lowest scores | |
EP0795151A2 (en) | A method for controlling access to a data base, a data base and a computer network using the same | |
JPS6197756A (ja) | フアイル機密保護方式 | |
JPH04279944A (ja) | オフィス情報装置 | |
JPH05324445A (ja) | ファイル・データのアクセス・パミッション方法 | |
JPH113264A (ja) | ファイルの使用者優先順位設定によるファイル保護方式 |