JPH0887454A - 分散および集中コンピュータ・システムにおける拡張役割ベース・アクセス制御の方法およびシステム - Google Patents

分散および集中コンピュータ・システムにおける拡張役割ベース・アクセス制御の方法およびシステム

Info

Publication number
JPH0887454A
JPH0887454A JP7196706A JP19670695A JPH0887454A JP H0887454 A JPH0887454 A JP H0887454A JP 7196706 A JP7196706 A JP 7196706A JP 19670695 A JP19670695 A JP 19670695A JP H0887454 A JPH0887454 A JP H0887454A
Authority
JP
Japan
Prior art keywords
role
subject
resource set
access
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP7196706A
Other languages
English (en)
Other versions
JP3074638B2 (ja
Inventor
Klaus Deinhart
クラウス・ダインハルト
Virgil Gligor
ビクター・グライゴー
Christoph Dr Lingenfelder
クルストフ・リンゲンフェルダー
Sven Dr Lorenz
スヴェン・ローレンツ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPH0887454A publication Critical patent/JPH0887454A/ja
Application granted granted Critical
Publication of JP3074638B2 publication Critical patent/JP3074638B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99941Database schema or data structure
    • Y10S707/99944Object-oriented database structure
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99941Database schema or data structure
    • Y10S707/99944Object-oriented database structure
    • Y10S707/99945Object-oriented database structure processing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【目的】 コンピュータ・システムにおいてアクセス権
の登録、許可、および制御を行う方法およびシステムを
提供する。 【構成】 本発明の、オブジェクトに対するサブジェク
トのアクセス権を制御する方法は、役割またはグループ
に相当する役割インスタンスにインスタンス化すること
ができる、パラメータ化された役割タイプを用いる。必
要なパラメータはコンピュータ・システムのサブジェク
トが提供する。さらに、本発明の方法は、相対資源セッ
トを提供し、役割タイプのインスタンス化に用いるのと
同一のパラメータ値を使って、それが具体的資源セット
および個別資源にインスタンス化される。 【効果】 コンピュータ・システムにおいてアクセス権
の登録、許可、および制御を行う方法およびシステムが
提供できることとなった。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、分散および集中コンピ
ュータ・システムにおける役割ベースのアクセス制御方
法およびセキュリティ・システムに関する。具体的に
は、本発明はコンピュータ・システムにおけるオブジェ
クトに対するサブジェクトのアクセス権を、役割へのサ
ブジェクトの所属に基づいて前記アクセス権を制御する
ことによって制御する方法に関する。さらに、本発明
は、ユーザ、グループ、および各オブジェクトに対する
アクセス権を提供する各オブジェクトにおけるアクセス
制御リストを含むコンピュータ・システムにおいて、オ
ブジェクトに対するサブジェクトのアクセス権の登録、
許可、および制御を行うシステムに関する。
【0002】
【従来の技術】コンピュータ・システムでは、そのコン
ピュータを使用する企業または組織のセキュリティ上の
必要のために、データに対するユーザのアクセスを制御
しなければならない。このようなアクセスの制御は、コ
ンピュータ・システム内のデータにユーザがアクセスす
ることを許可するかどうかおよびどのようにアクセスで
きるかを定義する、アクセス権を用いて行われる。この
アクセス制御は、コンピュータ・システムのオペレーテ
ィング・システムに組み込まれているかまたは追加され
るセキュリティ・システムによって実行される。このセ
キュリティ・システムは、アクセス権を制御するための
特定の方法を実行する。
【0003】ほとんどの導入済みコンピュータ・システ
ムでは、アクセス権はシステム管理者によって、それぞ
れのデータに対して、より一般的にはそれぞれのオブジ
ェクトに対して、個々のユーザまたはユーザ・グループ
ごとに明示的に許可または拒否される。当該オブジェク
トに対するすべてのユーザのすべてのアクセス権が、当
該オブジェクトのアクセス制御リスト(ACL)を形成
する。コンピュータ・システムの動作中にユーザから、
より一般的にはサブジェクトから当該オブジェクトに対
するアクセス要求が発生すると、セキュリティ・システ
ムは各オブジェクトのアクセス制御リストを調べて、そ
のサブジェクトが要求する方法で当該オブジェクトにア
クセスできるかどうかを決定する。このような広く導入
されているセキュリティ・システムでは、アクセス権の
いわゆる「オブジェクト単位の検討」を行うことができ
る。つまりコンピュータ・システムのすべてのサブジェ
クトの、それぞれのオブジェクトに対するアクセス権の
種類を決定することができる。
【0004】システム管理者が各ユーザに個別のアクセ
ス権を提供し、コンピュータ・システムにおける高度の
データ・セキュリティと保全性を実現することはきわめ
て不便であるため、役割ベース・アクセス制御(RBA
C)方法が開発された。この方法では、役割とは主とし
て、当該企業または組織で用いられる最低レベルの細分
性におけるジョブの定義である。この役割ベース・アク
セス制御システムでは、システム管理者は役割に対する
アクセス権を許可または拒否するだけで済み、様々なサ
ブジェクトをその役割のもとにグループ化するだけでよ
い。
【0005】C.E.ランドヴェール(Landwehr)編「Data
base Security:Status and Prospects」、Elservier Sc
ience Publishers B.V.、1988年刊の209〜222に所載の
F.H.ロチョフスキー(Lochovsky)の論文「Role-Based
Security in Data Base Management Systems」では、デ
ータベース管理システム用のセキュリティ機構を指定す
る際の役割とオブジェクトの使用について論じられてい
る。ユーザが特定の役割を演ずることができるというア
イディアを用い、それらの役割を使用して許可が指定さ
れている。
【0006】Proceedings of IEEE Symposium on Secur
ity and Privacy、オークランド、1990年刊の116〜132
ページに所載のR.W.ボードウィン(Baldwin)の発表「N
amingand Grouping Privileges to Simplify Security
Management in Large Data Bases」では、データベース
・オブジェクトの分野の大規模セキュリティ・システム
におけるアクセス権の許可および制御について記載され
ている。
【0007】Proceedings of the 5th National Comput
er Security Conference、1992年10月の554〜563ページ
に所載のD.フェライオロ(Ferraiolo)らの発表「Role-
Based Access Controls」は、本発明に最も近い従来の
技術であるとみなすことができるが、役割ベース・アク
セス制御方法について詳細に述べている。アクセス制御
の決定は、個々のユーザが組織の一員として負う役割に
基づくことが多い。役割は、ユーザまたは1組のユーザ
が組織の関係内で行うことができる1組のトランザクシ
ョンを規定する。役割ベースのアクセス制御は、個人と
アクセス権との関係の命名と記述を行う手段を提供し、
多くの商業および公共組織の安全処理の必要を満たす方
法を提供する。
【0008】既存の役割ベース・アクセス制御方法から
知られる、コンピュータ・システムにおけるアクセス権
を制御する方法については、組織内の多数の類似しては
いるが同一ではない職務に多数の役割が必要となること
が欠点である。役割がこのように多いことにより、コン
ピュータ・システムにおけるセキュリティ・システム用
の必要記憶量が大きくなる。さらに、役割が多いことに
より、セキュリティ・システムの計算要件が高くなると
いう欠点もある。この両面から、セキュリティ・システ
ムの運用コストが高くなる。さらに、役割が多いことに
より、セキュリティ・システムの管理がきわめて困難に
なるという欠点がある。ある人の職務は変わらないが、
場所やプロジェクトが変わる場合、システム管理者は新
たな役割を作成しなければならない。これによって、コ
ストが高くなるばかりか、システム・セキュリティが低
下する。さらに、役割は、企業の様々な組織単位内でそ
の役割を負うユーザが持つすべてのアクセスおよびオブ
ジェクトの組合せを含むため、その役割には、その役割
の職能に必要な最低の特権が含まれるとは限らない。つ
まり、「最低特権原則」違反である。しかし、アクセス
およびオブジェクトのコンテキストに基づいて様々な役
割を定義することはある種の設計では可能かもしれない
が、そのようにしてアクセス細分性の欠如を緩和しよう
とすると、管理機構はこれらの役割を一貫性ある管理、
たとえば更新などが可能になるように関係付けなければ
ならなくなる。現在、このような機構はない。
【0009】アクセス制御システムに関しては、既存の
役割ベースのアクセス制御システムは、アクセス制御リ
ストの存在に基づく導入済みコンピュータ・システムの
既存のセキュリティ機構を用いないという欠点がある。
したがって、既存のコンピュータ・システム上で、新し
いセキュリティ機構を、さらには新しいセキュリティ・
システムさえも実施しなければならない。これにより、
追加のハードウェアおよびソフトウェアの開発が必要と
なりそれに伴ってコストが高くなる。これは、分散また
は大規模集中コンピュータ・システムでは一層不利であ
る。1991年刊のオープンソフトウェア・ファウンデ
ーション(OSF)による「Introduction
to OSF DCE」に記載されているような分散
システムのための既存の標準アクセス制御機構は、超大
規模分散システムへの拡張が可能である。現在のとこ
ろ、大規模分散システムに対応して拡張可能な役割ベー
ス・アクセス制御方法は存在しない。
【0010】
【発明が解決しようとする課題】本発明の目的は、超大
規模分散コンピュータ・システムに対応して拡張可能で
あって、セキュリティ・システムのための記憶域および
計算パフォーマンスが少なくて済む、アクセス権制御の
方法を提供することである。さらに、本発明の目的は、
「最低特権原則」に必ずしも違反せず、それと同時にシ
ステム管理にとってより柔軟性が高くて便利な、役割ベ
ースのアクセス権制御方法を提供することである。
【0011】本発明の目的は、アクセス権の許可および
制御を行うシステムに関して、アクセス制御リストに基
づく導入済みコンピュータ・システムのセキュリティ・
システムを使用することができるシステムを提供するこ
とである。
【0012】
【課題を解決するための手段】本発明の目的は、独立請
求項1および13に記載の特徴によって達成される。本
発明のその他の調整は、対応する従属請求項で開示され
ている。
【0013】本発明では、コンピュータ・システムにお
けるアクセス権の登録、許可、および制御の方法および
システムを開示する。コンピュータ・システムにおける
オブジェクトに対するサブジェクトのアクセス権を制御
する本発明の方法は、従来の技術から周知の役割と同等
の役割インスタンスにインスタンス化することができる
パラメータ化された役割タイプを用いる。必要なパラメ
ータは、コンピュータ・システムのサブジェクトが提供
できる。コンピュータ・システムは、サブジェクトの職
務または組織単位への所属からパラメータを導き出すこ
とができる。さらに、本発明の方法は、役割タイプのイ
ンスタント化に用いるのと同じパラメータ値を用いるこ
とによって具体的な資源セットおよび個々の資源にイン
スタンス化される、相対資源セットを提供する。
【0014】本発明で開示するアクセス権の許可および
制御のための本発明のシステムは、コンピュータ・シス
テムのオブジェクトに対するサブジェクトのアクセス権
を、サブジェクト単位で提供する権限リストを含む。さ
らに、本発明のシステムは、権限リストからアクセス制
御リストを導き出す手段を含む。その際、システムは各
オブジェクトに対するサブジェクトのアクセス権をオブ
ジェクト単位で提供する。本発明の方法では、サブジェ
クトとはコンピュータ・システム内でのアクセス権を保
有する、考えられるあらゆるタイプの保有者であり、た
とえば、人間、職務、役割インスタンス、ユーザ、およ
びトランザクションなどである。さらに、オブジェクト
とは、コンピュータ・システム内においてアクセス権を
定義することができる考えられるあらゆるタイプの資源
であり、たとえばファイル、ディスク、表示装置、プリ
ンタ、スキャナ、およびトランザクションなどである。
【0015】独立請求項1に記載されている本発明によ
って、従来技術の前述の欠点が取り除かれる。役割イン
スタンスにインスタンス化することができる役割タイプ
を提供するアクセス権制御方法によって、きわめて柔軟
性の高いコンピュータ・システム用セキュリティ・シス
テムを設計できるようになる。わずかな数の役割タイプ
を定義するだけで済むため、コンピュータ・システム内
でセキュリティ・システムのために提供しなければなら
ないコンピュータ資源が少ないという利点がある。さら
に、数の少ない役割タイプの定義によって管理活動が少
なくなるので手間が少なくて済み、その結果、誤りや混
乱の可能性と確率が限定されるため、システム・セキュ
リティが向上するという利点がある。さらに、適切なパ
ラメータ値を提供することにより、役割タイプの役割イ
ンスタンスを「最低特権原則」が満たされるような方法
で制限することができるという利点がある。さらに、役
割タイプのインスタンス化による役割インスタンスの自
動生成によって、コンピュータ・システムのセキュリテ
ィが向上し、コンピュータ・システム内のデータ保全性
が向上する。
【0016】役割タイプは、職務タスクのセットを権能
の共通総称セットと組み合わせる。役割タイプは、職務
タスクのセットを実行するのに必要なアクセス権、オブ
ジェクト、およびトランザクションのタイプを定義する
ためのテンプレートと見ることができる。
【0017】他方、役割インスタンスは、企業の特定の
組織単位内の役割タイプと結びついた具体的な特定の権
能のセットを定義する。組織単位は、事業部、部、計
画、プロジェクト、ワークフロー・プロセス、またはそ
れらの組合せとすることができる。
【0018】請求項2に記載されている本発明の1つの
実施例では、役割タイプがパラメータ化され、役割イン
スタンスが少なくとも1つのパラメータ値を用いて生成
される。パラメータ化された役割タイプの使用によっ
て、セキュリティ・システムの柔軟性が大きくなり、管
理活動が減る。さらに、パラメータ化された役割タイプ
を使用するとセキュリティ・システムに必要なコンピュ
ータ資源が少なくて済む。
【0019】請求項3に記載されている本発明の他の実
施例では、コンピュータ・システムのオブジェクトは具
体的な資源セットを形成する。このような具体的資源セ
ットの形成は、資源すなわちオブジェクトの機能グルー
プをより少ない計算労力とより少ない管理オーバーヘッ
ドで扱うことができるため、有利である。
【0020】請求項4で述べている本発明の実施例で
は、本発明の方法により、パラメータ化された相対資源
セットから具体的資源セットを自動的に導出することが
できる。これにより、セキュリティ・システムの柔軟性
が向上し、管理の手間が少なくなる。さらに、セキュリ
ティ・システムに必要なコンピュータ資源が少なくて済
む。
【0021】請求項5に記載されている本発明の他の実
施例では、本発明の方法は、パラメータ化された役割タ
イプまたはパラメータ化された相対資源セットを、コン
ピュータ・システムのサブジェクトがインスタンス化す
るためのパラメータ値を提供する。これは、役割タイプ
からの役割インスタンスの導出または相対資源セットか
らの具体的資源の導出を完全に自動化することができ、
管理の手間が不要であるという利点がある。これによっ
て、誤りや混乱の可能性と確率が限定され、したがって
システム・セキュリティが向上する。
【0022】請求項6に記載されている本発明の他の実
施例では、パラメータ値が職務別または組織単位別に提
供される。これは、コンピュータ・システムのユーザで
ある個人が職務または組織単位を変えたときにきわめて
少ない管理活動しか必要としない、きわめて柔軟性の高
いセキュリティ・システムを提供するという利点があ
る。これは手間が少なくて済むため、誤りや混乱の可能
性と確率が限定され、したがってシステム・セキュリテ
ィが向上する。
【0023】請求項7に記載されている本発明の他の実
施例では、職務が少なくとも1つの役割タイプと結合さ
れる。これは、当該職務で役割タイプをインスタンス化
するのに必要なすべてのパラメータを提供することによ
って、当該役割タイプに関連する役割インスタンスを導
出することができるという利点がある。これによって、
管理活動なしで役割インスタンスの導出が自動化され、
手間が少なくて済み、誤りおよび混乱の可能性と確率が
限定され、システム・セキュリティが向上する。
【0024】請求項8に記載されている本発明の他のス
テップでは、パラメータ化された相対資源セットが役割
タイプと関連づけられる。これは、役割タイプのために
提供されるのと同じパラメータによって具体的資源セッ
トおよびオブジェクトの自動導出ができるため有利であ
る。これによって、管理活動なしの具体的資源セットの
自動導出が可能になり、したがって手間が少なくて済
み、誤りや混乱の可能性と確率が限定され、システム・
セキュリティが向上する。
【0025】請求項9に記載されている本発明の他のス
テップでは、本発明は役割インスタンスと具体的資源セ
ットおよびオブジェクトを導出する構成ステップを行
う。この自動構成ステップは各管理活動とともに実行さ
れ、実際の有効な役割インスタンスと具体的資源セット
およびオブジェクトを随時提供する。これによって、セ
キュリティ・システムの効率が保証され、コンピュータ
・システム内のデータのセキュリティと保全性が保証さ
れるため、有利である。
【0026】請求項10に記載されている本発明の他の
実施例では、本発明の方法は役割タイプに関連する権限
リスト・タイプを指定し、役割インスタンスに関連する
権限リストを導出する自動構成ステップを実行する。権
限リストは、役割タイプをインスタンス化するのと同じ
パラメータを用いて、権限リスト・タイプからインスタ
ンス化される。これらの権限リストはコンピュータ・シ
ステム内のオブジェクトに対する役割インスタンスのア
クセス権を提供する。コンピュータ・システムのセキュ
リティ・システム内に権限リストを設けると、コンピュ
ータ・システム内の考えられるすべてのオブジェクトに
対するすべてのサブジェクトのアクセス権の自動検査が
可能になり、管理活動が不要であり、手間が少なくて済
み、誤りや混乱の可能性と確率が限定され、システム・
セキュリティが向上するという利点がある。
【0027】請求項11に記載されている本発明の他の
実施例では、本発明の方法は具体的資源セットおよびオ
ブジェクトに関連するアクセス制御リストを生成または
修正する。これは、従来の技術から周知の多くの導入済
みコンピュータ・システムで使用されているセキュリテ
ィ・システムを、これらのシステムに必要なすべての情
報とともにサポートするという利点がある。したがっ
て、本発明の方法は、難しい修正や費用のかかる新しい
セキュリティ・システムを実施せずに、既存のセキュリ
ティ・システムに容易に適用することができる。大規模
分散環境用の拡張可能な既存のセキュリティ・システム
の場合、この方法は役割ベース・アクセス制御機能の拡
張性も保証する。
【0028】請求項12に記載の本発明の他の実施例で
は、役割タイプが階層的に編成される。これは、関係を
包含することにより役割タイプが編成できるという利点
がある。したがって、第1の役割タイプが第2の役割タ
イプを包含する場合、第1の役割タイプのインスタンス
に使用できるアクセス権のセットには、第2の役割タイ
プの対応するインスタンスに使用できるアクセス権が含
まれる。これにより、わずかな管理の手間だけで、きわ
めて簡単にアクセス権を制御することができる。さら
に、役割タイプの階層編成はセキュリティ・システムの
コンピュータ資源が少なくて済む。
【0029】従属請求項13に記載されているアクセス
権の許可および制御のためのコンピュータ・システムに
関する本発明では、従来の技術の前述の欠点が取り除か
れる。この実施例で提示される登録、許可および制御シ
ステムは、オブジェクトにおけるアクセス制御リストだ
けでなくサブジェクトにおける権限リストも提供される
という利点がある。これによって、考えられるすべての
オブジェクトに対するサブジェクトのアクセス権を迅速
に調べることができ、セキュリティ・システムのための
コンピュータ資源はわずかで済む。さらに、特定のオブ
ジェクトに対する考えられるすべてのサブジェクトのす
べてのアクセス権を迅速に調べることができ、セキュリ
ティ・システムのための資源がわずかで済む。さらに、
オブジェクトにおけるアクセス制御リストとサブジェク
トにおける権限リストとを含むシステムは、導入済みコ
ンピュータ・システムのオペレーティング・システムに
変更や新たな実施を加えずに、現場に導入済みのすべて
のコンピュータ・システムに適用することができるとい
う利点がある。さらに、アクセス制御リストと権限リス
トが同時に存在することにより、コンピュータ・システ
ム内のデータのセキュリティと保全性が高くなる。これ
は、大規模分散コンピュータ・システムの場合はさらに
有利である。
【0030】請求項14に記載されている本発明の他の
実施例では、本発明のシステムは、サブジェクトにおけ
る権限リストからオブジェクトのアクセス制御リストを
導き出す手段を含む。この手段の存在は、導入済みコン
ピュータ・システムの多くのセキュリティ・システムが
必要とするアクセス制御リストを自動的に導出すること
ができるという利点がある。したがって、本発明のシス
テムは、導入済みコンピュータ・システムのセキュリテ
ィ・システムにいかなる修正も加えることなく、既存の
コンピュータ・システムに容易に適用することができ
る。さらに、この手段はアクセス制御リストを自動的に
導き出すため、コンピュータ・システム内のデータのセ
キュリティと保全性を保証することができるという利点
がある。さらに、既存のセキュリティ・システムの基盤
アクセス制御機構を使用して動作時にアクセス制御検査
が行われるため、本発明のシステムはパフォーマンスを
低下させず、基盤システムと同程度にまで拡張可能であ
る。
【0031】請求項15に記載されている本発明の他の
実施例では、本発明のシステムは、セキュリティ・シス
テムの構成ステップ時にアクセス制御リストを導き出す
手段を含む。この構成ステップは、各管理処理ととも
に、あるいはその後に実行することができる。この手段
には、アクセス制御リストが各管理処理とともに実現さ
れ、したがってコンピュータ・システム内の高いデータ
・セキュリティと保全性が保証されるという利点があ
る。さらにこの手段はセキュリティ・システム用の少な
いコンピュータ資源でデータ・セキュリティと保全性を
保証し、手間が少なくて済むため、誤りや混乱の可能性
と確率が限定され、システム・セキュリティが向上する
という利点がある。
【0032】請求項16に記載されている他の実施例で
は、本発明のシステムは役割ベース・アクセス制御シス
テムから権限リストを導き出す手段を含む。この手段の
存在により、従来の技術から周知の多くの現場に導入済
みのコンピュータ・システムのセキュリティ・システム
に、役割ベース・アクセス制御システムを適用すること
ができる。本発明のシステムによって、役割ベース・ア
クセス制御システムを、導入済みセキュリティ・システ
ムに修正したり新たな実施を行ったりしなくても適用す
ることができる。したがって、役割ベース・アクセス制
御システムを既存のコンピュータ・システムに低コスト
で提供することができ、コンピュータ・システム内のデ
ータの高いセキュリティと保全性が得られる。
【0033】請求項17に記載されている本発明の他の
実施例では、本発明のシステムは権限リストからユーザ
・アカウントの導出と生成を行う手段を含む。これは、
サブジェクトの権限リスト上にあるホスト・オブジェク
トであるすべてのコンピュータ・システム上のユーザ・
アカウントの自動導出および生成を行うことができると
いう利点がある。これは手間が少なくて済み、誤りや混
乱の可能性および確率が限定され、したがってシステム
・セキュリティが向上する。
【0034】
【実施例】コンピュータ・システム内のオブジェクトに
対するサブジェクトのアクセス権を制御する詳細な好ま
しい方法と、本発明によるアクセス権の許可および制御
のためのシステムの好ましい実施例を、添付図を参照し
ながら説明する。
【0035】図1に、アクセス権を制御する方法の概要
を示す。1組のサブジェクト1がアクセス権の保有者と
して定義され、1組の役割タイプ2に関連づけられる。
役割タイプ2は、1組の役割インスタンス3にインスタ
ンス化され、したがってサブジェクト1を役割インスタ
ンス3に関連づける。複数のサブジェクト1は1つの役
割タイプ2と関連づけることができる。また、サブジェ
クト1は複数の役割タイプ2と関連づけることができ
る。役割タイプ2を役割インスタンス3にインスタンス
化すると、役割インスタンス3とコンピュータ・システ
ムのオブジェクト4の間の関連が決まる。様々なサブジ
ェクトによって様々なパラメータ値が提供されるため、
通常は1つの役割タイプに複数のインスタンスができ
る。
【0036】図2に、役割タイプのインスタンス化の方
法の概要を示す。企業コンピュータ・システムのユーザ
である個人5は、割り当てられた職務6を果たす従業員
である。各職務6には1組の職能タスクが関連づけられ
ている。したがって、職務6はタスクを企業組織階層内
のユーザに関連づける。各タスクは1組の権限を必要と
する。この権限は、当該タスクを行うのに必要な1組の
オブジェクト4に対する1組の特定のアクセス権と見る
ことができる。したがって、各職務6は最終的にユーザ
を、1組のオブジェクト4に対する特定のアクセス権に
関連づける。したがって、セキュリティ管理者はこれら
の権利、オブジェクト、およびトランザクションを、企
業組織の職務と関連づけなければならない。これを可能
にするためには、役割タイプと役割インスタンスの概念
を定義しなければならない。
【0037】図3に、職務6、役割タイプ2、および役
割インスタンス3の作成を示す。この図は、マトリック
スの左側にたとえば組織単位7および職務6などの組織
構造を示し、最上部に1組の役割タイプ2を示してい
る。マトリックスの欄内の「X」は、それに対応する役
割タイプ2の役割インスタンス3が職務6に割り当てら
れていることを示す。役割タイプ2をインスタンス化す
るのに必要なパラメータ値は、個々の職務6またはそれ
より上位のレベルの組織単位の属性から導き出される。
これらの属性の値によって、職務6に役割インスタンス
3を介して割り当てられる実際の権限が決まる。職務6
は、欄の陰影付きフィールドで示されるように、同じ役
割インスタンス3を共用することができる。
【0038】職務6は、職務6をどの程度細分化する意
図であるかに応じて、1つまたは複数の役割インスタン
ス3に関連づけられる。これらの役割インスタンス3
は、様々な役割タイプ2から導き出される。たとえば、
「個人融資」の「スタッフ・メンバー2」という職務に
関連づけられる役割インスタンスは3つあり、1つは
「融資専門家」という役割タイプ、1つは「顧客相談
係」、もう1つは「銀行員」という役割タイプから導き
出される。
【0039】マトリックス内の網かけした欄で示されて
いる通り、「個人融資」部の「スタッフ・メンバー1」
と「スタッフ・メンバー2」のように類似した職務は、
同じ役割インスタンスに割り当てられることが多い。こ
れは、役割タイプのインスタンス化に関連する属性がい
ずれも、職務間で異なることがないためである。しか
し、異なる組織単位7内の異なる職務6または類似した
職務6は、役割タイプのインスタンス化のために異なる
属性値を提供するため、通常同一の役割タイプ2の異な
る役割インスタンス3に関連づけられる。上記の例で
は、役割タイプ「融資専門家」は、「物件査定」部の
「チーム・リーダー」職および「スタッフ・メンバー
1」職という2つの異なる職務に結び付けられる2つの
異なるインスタンスにインスタンス化される。
【0040】作業分担は、1つの職務6を複数の個人5
に割り当てることによってモデル化することができる。
一方、1人の人5に複数の職務6を割り当てることもで
きる。たとえば、ある部の「スタッフ・メンバー」職に
就いている個人5が、おそらくは一時的に、「部長」の
役割を果たすことができる。当然、義務の分離という理
由から、ある職務6への割り当てによって別のある職務
6への割り当てが排除されることがある。たとえば、
「セキュリティ管理者」という職務6に就いている個人
5を、「監査人」という職務6に割り当てることはでき
ない。そうしないと、「セキュリティ管理者」の活動の
責任が失われてしまうことになるためである。
【0041】図4に、役割タイプのインスタンス化方法
の例を、特に図3の枠で囲んだマトリックス・セル15
の役割インスタンスについてさらに詳細に示す。役割イ
ンスタンス3は、役割タイプ2によって定義された相対
権限を、オブジェクト4、および組織単位7または職務
6に固有のアクセス権と結合する。これを行うために、
まず、各組織単位および各および各職務6について1組
の属性を、役割タイプ・インスタンス化に関連するもの
として宣言しなければならない。これらの属性は、公示
されたと言われる。これはたとえば、部の識別名、部組
織単位の場所属性、または職務6のプロジェクト識別名
属性などである。次に、いわゆる相対資源セット8を定
義し、役割タイプ2に関連づけることができる。相対資
源セット8は、企業で公示されているパラメータの中か
ら、インスタンス化しようとするパラメータを指定す
る。たとえば次のように、各場所で使用できるプリンタ
を列挙することによって、「プリンタ」(printL
ocation)という相対資源セットを定義すること
ができる。 プリンタ(ベープリンゲン): ={p2160,p2
240,...} プリンタ(ハイデルベルク): ={prt01,pr
t02,...}
【0042】この「printLocation」パラ
メータは、部の公示された「場所」属性を参照するもの
として宣言される。
【0043】したがって、ある組織単位7に所属する職
務6が、パラメータ化された相対資源セット8に関連づ
けられた役割タイプ2と組み合わされると、当該職務6
の公示された属性の値を使用してパラメータをインスタ
ンス化することによって実際の資源を決定することがで
きる。図4の例で、 1. 個人融資がハイデルベルクにあり、 2. 相対資源セット8「プリンタ(printLoc
ation)」が、「使用」許可を持つ役割タイプ2
「銀行員」に関連づけられており、 3. 「個人融資」部の「スタッフ・メンバー1」に役
割タイプ2「銀行員」が割り当てられている場合、 「スタッフ・メンバー1」はプリンタ「prt01,p
rt02,...」の「使用」アクセス権を持つことに
なる。
【0044】この場合、新しい役割インスタンス3を作
成しなければならないかどうかは、同じパラメータを使
って「銀行員」役割タイプ2がすでにインスタンス化さ
れているかどうかによって決まる。すでにインスタンス
化されていれば、「スタッフ・メンバー1」には既存の
役割インスタンス3「銀行員(...、ハイデルベル
ク、...)が割り当てられるだけである。
【0045】図5に、本発明の方法の役割タイプの階層
を示す。役割タイプの指定によって取り込まれるアクセ
ス制御方針セマンティクスは、業務活動および企業の管
理を行うのに必要な総称アクセス権、資源、およびトラ
ンザクションの機能区分化および包含を反映する。この
区分化および包含は、企業のユーザの職務6および組織
のコンテキストすなわち組織単位7からは独立したデー
タ・アクセスおよびアプリケーション・アクセス関係を
カバーすることを意図したものである。役割インスタン
ス3および職務6によって取り込まれるアクセス制御セ
マンティクスは、必要知識方針や義務分離方針などの企
業の方針によって組織単位7に課せられた制約を反映す
る。
【0046】役割タイプ2は、1組の総称パラメータ依
存資源およびそれに関連する許可またはアクセス権とし
て定義される。特別な場合にはどのパラメータにも依存
しない具体的資源も含まれることがある。役割タイプ2
は「包含された」関係によって階層的に編成することが
できる。第1の役割タイプ16が第2の役割タイプ17
を含む場合、第1の役割タイプ16のインスタンス18
にとって使用可能なアクセス権の集合には、第2の役割
タイプ17の対応するインスタンス19にとって使用可
能なアクセス権が含まれる。この文脈における「対応す
る」という表現は、両方の役割タイプ16、17が同じ
パラメータ値を用いてインスタンス化されているという
意味である。包含する役割タイプ16は少なくとも、包
含される役割タイプ17のパラメータを持っていなけれ
ばならず、それ以上のパラメータを持っていてもよい。
【0047】役割タイプの階層は、数学用語で言うラテ
ィス構造を定義する。自明のこととしてラティスの最上
部はすべてのオブジェクト4に対するすべてのタイプの
アクセス権を含むことができ、最下部はそれぞれの空集
合を含むことができる。当然、非自明の最上部および最
下部を持つラティスを定義することができる。システム
内の役割タイプのラティスをインスタンス化する場合、
ラティスの最上部と最下部は、どの特定の役割インスタ
ンス3および職務6にも使用する必要がない。
【0048】職務6の総称権能の集合およびそれから導
出される役割タイプ2が、 1. 包含される関係による階層として構築することが
でき、 2. それほど頻繁には変化しない ということが、役割タイプ階層という概念に至る暗黙の
仮定条件である。
【0049】企業のアクセス制御方針は企業組織内に構
築された階層的関係および職能を反映するように定義さ
れることが多いため、第1の仮定条件は現実的であると
思われる。企業によって定義される職能は企業の業務の
特性に基づいているために安定していることから、第2
の仮定条件も現実的であると思われる。職能の定義はそ
れほど頻繁には変わらないため、職務6に必要なオブジ
ェクト4に対するアクセス権の集合は、あまり頻繁には
変化しないと予想される。どちらの仮定条件もラティス
への新しい役割タイプ2の追加を妨げたり、企業への新
しい役割インスタンス3および職務6の追加を妨げたり
しないということが重要である。
【0050】図6に、本発明のアクセス制御方法におけ
る役割タイプ階層の例を示す。この例は、図3で用いら
れれている役割タイプ2の階層を示している。この例で
は、「第二線管理職」および「第一線管理職」のアクセ
ス権は、「秘書」のアクセス権を包含し、「秘書」のア
クセス権は「タイピスト」のアクセス権を包含する。す
べての役割タイプは、「銀行員」という役割タイプを包
含する。したがって、「銀行員」は、それに対応する権
能が他のどの役割タイプへの所属によってもカバーされ
るため、図3のマトリックスから取り除くことができ
る。同じ理由で、「物件査定」部の「チーム・リーダ
ー」役割タイプは「融資専門家」の役割を包含するた
め、「物件査定部」の「チーム・リーダ」に「融資専門
家」の役割を明示的に割り当てる必要はない。
【0051】図7に、パラメータ化された相対資源セッ
ト8から具体的資源セット9および個別資源10をイン
スタンス化する様子を示す。パラメータ化された相対資
源セット8は、パラメータ化された役割タイプ2に関連
づけられる。たとえば企業の職務6や組織単位7などコ
ンピュータ・システム内のサブジェクト6、7によって
提供されたパラメータ値を用いてパラメータ化された相
対的資源セット8から、具体的資源セット9が導き出さ
れる。個別資源10は、具体的資源セット9にグループ
化される。たとえば、考えられる1つのパラメータ化さ
れた相対資源セット8は、「printlocatio
n」というパラメータによる「プリンタ」という資源セ
ットである。場所パラメータ、たとえばハイデルベルク
という場所を提供することによって、相対資源セット8
が、ハイデルベルクという場所のすべてのプリンタを含
む具体的資源セット9にインスタンス化される。ハイデ
ルベルクという場所のこれらのプリンタは、個別資源1
0を表す。
【0052】図8に、組織レベル20とシステム・レベ
ル21のアクセス権を制御する方法の概要を示す。シス
テム・レベル21では個人5がユーザ22として表され
ており、1人の個人5が複数のユーザ識別名を持つこと
ができることが示されている。この識別名は役割情報か
ら導き出すことができ、アクセス権を導き出す(自動許
可)のと同じようにして自動的に生成(自動登録)する
ことができる。さらに、組織レベル20上の役割インス
タンス3はシステム・レベル21上のグループ23によ
って表される。さらに、具体的資源セット9はシステム
・レベル21の個別資源10によって表される。
【0053】図9に、本発明で開示するアクセス権の許
可および制御のためのシステムの好ましい実施例を示
す。コンピュータ・システムのサブジェクト1に関連づ
けられコンピュータ・システムのオブジェクト4に対す
る各サブジェクト1のアクセス権を含む権限リスト30
を、適切な手段32によって導き出されて、コンピュー
タ・システムのオブジェクト4に関連づけられ各オブジ
ェクト4に対するコンピュータ・システムのサブジェク
ト1のアクセス権を含むアクセス制御リスト31にする
ことができる様子が示されている。導出手段32は、ハ
ードウェアまたはソフトウェアによって実施することが
できる。さらに、既存のアクセス制御リスト31から権
限リスト30を導き出すこともできる。
【0054】図10に、アクセス権の許可および制御の
ために本発明のシステムを使用してオブジェクト単位の
検討40を行うことができる様子を示す。この例では、
アクセス権は実行許可「X」、読取り許可「R」、また
は書込み許可「W」とすることができる。本発明の制御
システムは、コンピュータ・システムのオブジェクト4
に関連するアクセス制御リスト31を提供するので、各
オブジェクト4に対するコンピュータ・システム内のグ
ループ23のすべてのアクセス権を決定するために、こ
れらのアクセス制御リスト31を検討することができ
る。グループ23は、インスタンス、すなわちパラメー
タ化された役割タイプ2の役割インスタンス3を表現し
たものである。役割タイプ2は、職務6によって提供さ
れる少なくとも1つのパラメータ値によってインスタン
ス化される。この職務6に割り当てられる個人5は、少
なくとも1つのユーザ識別名を持つ。
【0055】図10に示すように、本発明で開示するア
クセス権の許可および制御を行う本発明のシステムによ
って、サブジェクト単位検討41を実行することができ
る。個人5が割り当てられる職務6は役割と関連づけら
れる。この役割には、コンピュータ・システムのオブジ
ェクト4に対するその役割のアクセス権が割り当てられ
る。本発明のシステムは、各役割のためのこれらのアク
セス権が入った権限リスト30を含む。さらに、このシ
ステムは権限リスト30から新しいアクセス制御リスト
31を生成したり、既存のアクセス制御リストを修正し
たりする導出手段32を含む。
【0056】まとめとして、本発明の構成に関して以下
の事項を開示する。
【0057】(1)サブジェクト1が少なくとも1つの
役割に関連づけられていることを特徴とする、コンピュ
ータ・システム内の少なくとも1つのオブジェクト4に
対する少なくとも1つのサブジェクト1のアクセス権を
制御する方法であって、前記サブジェクト1の前記役割
への所属に応じて前記アクセス権を制御するステップを
含み、役割タイプ2が提供され、前記役割が役割インス
タンス3として表現されることを特徴とし、前記方法が
前記役割タイプ2を前記役割インスタンス3にインスタ
ンス化するステップである前記役割タイプ2から前記役
割インスタンス3を導き出す事前ステップをさらに含む
方法。 (2)少なくとも1つのパラメータ値が提供され、前記
役割タイプ2がパラメータ化された役割タイプ2である
ことを特徴とする方法であって、前記パラメータ化され
た役割タイプ2が前記パラメータ値を用いてインスタン
ス化されるステップをさらに含む、上記(1)に記載の
方法。 (3)少なくとも1つの具体的資源セット9が提供され
ることを特徴とする方法であって、前記具体的資源セッ
ト9のうちの少なくとも1つの具体的資源セットの要素
として前記オブジェクト4を提供するステップをさらに
含む、上記(1)または(2)に記載の方法。 (4)少なくとも1つのパラメータ値が提供され、少な
くとも1つのパラメータ化された相対資源セット8が提
供されることを特徴とする方法であって、前記パラメー
タ値を用いて、前記パラメータ化された相対資源セット
8を前記具体的資源セット9にインスタンス化するステ
ップである前記パラメータ値を用いて、前記パラメータ
化された相対資源セット8から前記具体的資源セット9
を導き出すステップをさらに含む、上記(3)に記載の
方法。 (5)前記サブジェクト1が前記パラメータ値を提供す
るステップをさらに含む、上記(2)ないし(4)のい
ずれかに記載の方法。 (6)前記サブジェクト1の組織の組織単位7内の職務
6が提供されることを特徴とする方法であって、前記職
務6または前記組織単位7が前記パラメータ値を提供す
るステップをさらに含む、上記(5)に記載の方法。 (7)前記職務6を前記役割タイプ2のうちの少なくと
も1つと組み合わせるステップをさらに含む、上記
(6)に記載の方法。 (8)前記パラメータ化された相対資源セット8のうち
の少なくとも1つを前記役割タイプ2と関連させるステ
ップをさらに含む、上記(4)ないし(7)のいずれか
に記載の方法。 (9)前記役割インスタンス3を導き出し、前記具体的
資源セット9およびオブジェクト4を導き出す構成ステ
ップを実行するステップをさらに含む、上記(3)ない
し(8)のいずれかに記載の方法。 (10)前記役割タイプ2に関連する権限リスト・タイ
プを指定するステップと、前記権限リスト30が前記役
割インスタンス3の前記オブジェクト4に対する前記ア
クセス権を提供する、前記権限リスト・タイプから対応
する役割インスタンス3に関連する権限リスト30を導
き出す構成ステップを行うステップをさらに含む、上記
(3)ないし(9)のいずれかに記載の方法。 (11)前記アクセス制御リスト31が前記サブジェク
ト1の前記オブジェクト4に対する前記アクセス権を提
供する、前記具体的資源セット9およびオブジェクト4
に関連するアクセス制御リスト31を生成または修正す
るステップをさらに含む、上記(9)または(10)に
記載の方法。 (12)前記役割タイプ2が階層的に編成されているこ
とを特徴とする、上記(1)ないし(11)のいずれか
に記載の方法。 (13)少なくとも1つのサブジェクト1の少なくとも
1つのオブジェクト4に対するアクセス権を登録、許
可、および制御するコンピュータ・システムであって、
前記システムが各オブジェクト4においてアクセス制御
リスト31を含み、前記アクセス制御リスト31が前記
サブジェクト1の前記オブジェクト4に対するアクセス
権を提供し、前記システムが前記サブジェクト1に関連
する権限リスト30をさらに含む、前記権限リスト30
が前記サブジェクト1の前記オブジェクト4に対するア
クセス権を提供することを特徴とする、コンピュータ・
システム。 (14)前記サブジェクト1に関連する前記権限リスト
30から、前記オブジェクト(4)における前記アクセ
ス制御リスト31を導出32する手段をさらに含む、上
記(13)に記載の方法。 (15)前記システムの構成ステップ時に前記アクセス
制御リスト31を導出32する手段をさらに含む、上記
(13)または(14)に記載の方法。 (16)役割ベース・アクセス制御システムから、前記
権限リスト30を導出32する手段をさらに含む、上記
(13)ないし(15)のいずれかに記載のシステム。 (17)前記権限リスト30から、特に前記権限リスト
30のオブジェクト4の場所から必要なユーザ・アカウ
ントの導出および生成を行う手段をさらに含む、上記
(13)ないし(16)のいずれかに記載のシステム。
【0058】
【発明の効果】上述のとおり、本願発明によって、コン
ピュータ・システムにおいてアクセス権の登録、許可、
および制御を行う方法およびシステムが提供されること
となった。
【図面の簡単な説明】
【図1】アクセス権を制御する方法の概要を示す図であ
る。
【図2】役割タイプのインスタンス化の概要を示す図で
ある。
【図3】役割タイプのインスタンス化の例を示す図であ
る。
【図4】図3の役割タイプのインスタンス化の例をより
詳細に示す図である。
【図5】本発明の方法の役割タイプの階層の態様を示す
図である。
【図6】銀行業務分野のための役割タイプ階層の例を示
す図である。
【図7】資源セット定義の方法を示す図である。
【図8】システム・レベルでの組織単位に対するアクセ
ス権を制御する方法の概要を示す図である。
【図9】アクセス権の許可および制御のためのシステム
の概要を示す図である。
【図10】本発明のシステムによって提供されるオブジ
ェクト単位検討およびサブジェクト単位検討の可能性を
示す図である。
【符号の説明】
3 役割インスタンス 16 役割タイプ 17 役割タイプ 18 役割タイプ16のインスタンス 30 権限リスト 40 オブジェクト単位検討 41 サブジェクト単位検討
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ビクター・グライゴー アメリカ合衆国20815 メリーランド州チ ェビー・チェイス ブルックサイド・ドラ イブ 6009 (72)発明者 クルストフ・リンゲンフェルダー ドイツ ディー−69190 ヴァルドルフ ダンヘッカーシュトラーセ 44 (72)発明者 スヴェン・ローレンツ ドイツ ディー−70180 シュツットガル ト レーマーシュトラーセ 65

Claims (17)

    【特許請求の範囲】
  1. 【請求項1】サブジェクト1が少なくとも1つの役割に
    関連づけられていることを特徴とする、コンピュータ・
    システム内の少なくとも1つのオブジェクト4に対する
    少なくとも1つのサブジェクト1のアクセス権を制御す
    る方法であって、 前記サブジェクト1の前記役割への所属に応じて前記ア
    クセス権を制御するステップを含み、 役割タイプ2が提供され、前記役割が役割インスタンス
    3として表現されることを特徴とし、前記方法が前記役
    割タイプ2を前記役割インスタンス3にインスタンス化
    するステップである前記役割タイプ2から前記役割イン
    スタンス3を導き出す事前ステップをさらに含む方法。
  2. 【請求項2】少なくとも1つのパラメータ値が提供さ
    れ、前記役割タイプ2がパラメータ化された役割タイプ
    2であることを特徴とする方法であって、 前記パラメータ化された役割タイプ2が前記パラメータ
    値を用いてインスタンス化されるステップをさらに含
    む、請求項1に記載の方法。
  3. 【請求項3】少なくとも1つの具体的資源セット9が提
    供されることを特徴とする方法であって、 前記具体的資源セット9のうちの少なくとも1つの具体
    的資源セットの要素として前記オブジェクト4を提供す
    るステップをさらに含む、請求項1または2に記載の方
    法。
  4. 【請求項4】少なくとも1つのパラメータ値が提供さ
    れ、少なくとも1つのパラメータ化された相対資源セッ
    ト8が提供されることを特徴とする方法であって、 前記パラメータ値を用いて、前記パラメータ化された相
    対資源セット8を前記具体的資源セット9にインスタン
    ス化するステップである前記パラメータ値を用いて、前
    記パラメータ化された相対資源セット8から前記具体的
    資源セット9を導き出すステップをさらに含む、請求項
    3に記載の方法。
  5. 【請求項5】前記サブジェクト1が前記パラメータ値を
    提供するステップをさらに含む、請求項2ないし4のい
    ずれかに記載の方法。
  6. 【請求項6】前記サブジェクト1の組織の組織単位7内
    の職務6が提供されることを特徴とする方法であって、 前記職務6または前記組織単位7が前記パラメータ値を
    提供するステップをさらに含む、請求項5に記載の方
    法。
  7. 【請求項7】前記職務6を前記役割タイプ2のうちの少
    なくとも1つと組み合わせるステップをさらに含む、請
    求項6に記載の方法。
  8. 【請求項8】前記パラメータ化された相対資源セット8
    のうちの少なくとも1つを前記役割タイプ2と関連させ
    るステップをさらに含む、請求項4ないし7のいずれか
    に記載の方法。
  9. 【請求項9】前記役割インスタンス3を導き出し、前記
    具体的資源セット9およびオブジェクト4を導き出す構
    成ステップを実行するステップをさらに含む、請求項3
    ないし8のいずれかに記載の方法。
  10. 【請求項10】前記役割タイプ2に関連する権限リスト
    ・タイプを指定するステップと、 前記権限リスト30が前記役割インスタンス3の前記オ
    ブジェクト4に対する前記アクセス権を提供する、前記
    権限リスト・タイプから対応する役割インスタンス3に
    関連する権限リスト30を導き出す構成ステップを行う
    ステップをさらに含む、請求項3ないし9のいずれかに
    記載の方法。
  11. 【請求項11】前記アクセス制御リスト31が前記サブ
    ジェクト1の前記オブジェクト4に対する前記アクセス
    権を提供する、前記具体的資源セット9およびオブジェ
    クト4に関連するアクセス制御リスト31を生成または
    修正するステップをさらに含む、請求項9または10に
    記載の方法。
  12. 【請求項12】前記役割タイプ2が階層的に編成されて
    いることを特徴とする、請求項1ないし11のいずれか
    に記載の方法。
  13. 【請求項13】少なくとも1つのサブジェクト1の少な
    くとも1つのオブジェクト4に対するアクセス権を登
    録、許可、および制御するコンピュータ・システムであ
    って、 前記システムが各オブジェクト4においてアクセス制御
    リスト31を含み、前記アクセス制御リスト31が前記
    サブジェクト1の前記オブジェクト4に対するアクセス
    権を提供し、 前記システムが前記サブジェクト1に関連する権限リス
    ト30をさらに含む、前記権限リスト30が前記サブジ
    ェクト1の前記オブジェクト4に対するアクセス権を提
    供することを特徴とする、コンピュータ・システム。
  14. 【請求項14】前記サブジェクト1に関連する前記権限
    リスト30から、前記オブジェクト(4)における前記
    アクセス制御リスト31を導出32する手段をさらに含
    む、請求項13に記載の方法。
  15. 【請求項15】前記システムの構成ステップ時に前記ア
    クセス制御リスト31を導出32する手段をさらに含
    む、請求項13または14に記載の方法。
  16. 【請求項16】役割ベース・アクセス制御システムか
    ら、前記権限リスト30を導出32する手段をさらに含
    む、請求項13ないし15のいずれかに記載のシステ
    ム。
  17. 【請求項17】前記権限リスト30から、特に前記権限
    リスト30のオブジェクト4の場所から必要なユーザ・
    アカウントの導出および生成を行う手段をさらに含む、
    請求項13ないし16のいずれかに記載のシステム。
JP07196706A 1994-08-15 1995-08-01 アクセス制御方法 Expired - Fee Related JP3074638B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE94112649.2 1994-08-15
EP94112649A EP0697662B1 (en) 1994-08-15 1994-08-15 Method and system for advanced role-based access control in distributed and centralized computer systems

Publications (2)

Publication Number Publication Date
JPH0887454A true JPH0887454A (ja) 1996-04-02
JP3074638B2 JP3074638B2 (ja) 2000-08-07

Family

ID=8216196

Family Applications (1)

Application Number Title Priority Date Filing Date
JP07196706A Expired - Fee Related JP3074638B2 (ja) 1994-08-15 1995-08-01 アクセス制御方法

Country Status (5)

Country Link
US (1) US5911143A (ja)
EP (1) EP0697662B1 (ja)
JP (1) JP3074638B2 (ja)
CA (1) CA2154020C (ja)
DE (1) DE69427347T2 (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004341896A (ja) * 2003-05-16 2004-12-02 Nippon Telegr & Teleph Corp <Ntt> 属性承認装置、属性承認リソース管理装置、および属性承認装置監査統計サーバ
JP2007004549A (ja) * 2005-06-24 2007-01-11 Nippon Telegr & Teleph Corp <Ntt> アクセス制御方法
EP0848334A4 (en) * 1996-07-01 2007-08-29 Fujitsu Ltd METHOD AND DEVICE FOR MANAGING THE USE OF SHARED RESOURCES BY SEVERAL GROUPS
JP2009509227A (ja) * 2005-09-16 2009-03-05 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 暗号化による役割ベースのアクセス制御
JP2009110401A (ja) * 2007-10-31 2009-05-21 Hitachi Ltd ファイル共有システム及びファイル共有方法
JP2009541861A (ja) * 2006-06-22 2009-11-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 医療用アドホックボディセンサネットワークのための先進的アクセス制御
JP2009544076A (ja) * 2006-07-11 2009-12-10 エフエムアール エルエルシー マルチカスタマーコンピューティング環境におけるロールベースのアクセス
EP2159729A1 (en) 2008-08-27 2010-03-03 Fujitsu Limited Access controlling system, access controlling method, and recording medium having access controlling program recorded thereon
JP2011186891A (ja) * 2010-03-10 2011-09-22 Fujitsu Ltd 情報管理装置および方法
US8429463B2 (en) 2008-09-30 2013-04-23 Fujitsu Limited Log management method and apparatus, information processing apparatus with log management apparatus and storage medium
JP2013522726A (ja) * 2010-03-08 2013-06-13 ヴイエムウェア インク 仮想化環境におけるタスクベースのアクセス制御
JP2014059886A (ja) * 2002-11-12 2014-04-03 E M D Millipore Corp 機器アクセス制御システム
JP2014512628A (ja) * 2011-04-30 2014-05-22 ヴイエムウェア インコーポレイテッド コンピュータリソースのエンタイトルメントおよびプロビジョニングのためのグループの動的管理
JP2020508523A (ja) * 2017-02-27 2020-03-19 イヴァンティ,インコーポレイテッド ロールベースコンピュータセキュリティ構成のシステム及び方法

Families Citing this family (308)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10361802B1 (en) 1999-02-01 2019-07-23 Blanding Hovenweep, Llc Adaptive pattern recognition based control system and method
US6055637A (en) * 1996-09-27 2000-04-25 Electronic Data Systems Corporation System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential
US6023765A (en) * 1996-12-06 2000-02-08 The United States Of America As Represented By The Secretary Of Commerce Implementation of role-based access control in multi-level secure systems
US6006193A (en) * 1996-12-18 1999-12-21 Gibson; Kenneth U. Computer executable workflow control system
US6408336B1 (en) * 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US8914410B2 (en) * 1999-02-16 2014-12-16 Sonicwall, Inc. Query interface to policy server
US7580919B1 (en) 1997-03-10 2009-08-25 Sonicwall, Inc. Query interface to policy server
US7272625B1 (en) 1997-03-10 2007-09-18 Sonicwall, Inc. Generalized policy server
US7821926B2 (en) 1997-03-10 2010-10-26 Sonicwall, Inc. Generalized policy server
JP3731980B2 (ja) * 1997-08-20 2006-01-05 富士通株式会社 コンピュータネットワークシステム及び携帯型コンピュータ
WO1999017209A1 (en) * 1997-09-30 1999-04-08 Softline Inc. Method and apparatus for managing security in a database system
US6005571A (en) * 1997-09-30 1999-12-21 Softline, Inc. Graphical user interface for managing security in a database system
US6202066B1 (en) * 1997-11-19 2001-03-13 The United States Of America As Represented By The Secretary Of Commerce Implementation of role/group permission association using object access type
US6044466A (en) * 1997-11-25 2000-03-28 International Business Machines Corp. Flexible and dynamic derivation of permissions
US6088679A (en) * 1997-12-01 2000-07-11 The United States Of America As Represented By The Secretary Of Commerce Workflow management employing role-based access control
US6357010B1 (en) 1998-02-17 2002-03-12 Secure Computing Corporation System and method for controlling access to documents stored on an internal network
US6901426B1 (en) * 1998-05-08 2005-05-31 E-Talk Corporation System and method for providing access privileges for users in a performance evaluation system
US6161051A (en) * 1998-05-08 2000-12-12 Rockwell Technologies, Llc System, method and article of manufacture for utilizing external models for enterprise wide control
US6449643B1 (en) * 1998-05-14 2002-09-10 Nortel Networks Limited Access control with just-in-time resource discovery
US6279111B1 (en) * 1998-06-12 2001-08-21 Microsoft Corporation Security model using restricted tokens
US6308273B1 (en) 1998-06-12 2001-10-23 Microsoft Corporation Method and system of security location discrimination
US6505300B2 (en) 1998-06-12 2003-01-07 Microsoft Corporation Method and system for secure running of untrusted content
US6308274B1 (en) 1998-06-12 2001-10-23 Microsoft Corporation Least privilege via restricted tokens
AU4568299A (en) * 1998-06-15 2000-01-05 Dmw Worldwide, Inc. Method and apparatus for assessing the security of a computer system
US6453353B1 (en) * 1998-07-10 2002-09-17 Entrust, Inc. Role-based navigation of information resources
SE9802846L (sv) * 1998-08-25 2000-02-26 Netch Technologies Ab Datoriserat informationssystem
JP3576008B2 (ja) * 1998-10-09 2004-10-13 株式会社東芝 アクセス制御設定システム及び記憶媒体
AU1343800A (en) * 1998-11-05 2000-05-22 Neuvis, Inc. Method for controlling access to information
US7107268B1 (en) * 1998-11-12 2006-09-12 Printable Technologies, Inc. Centralized system and method for managing enterprise operations
US6381579B1 (en) * 1998-12-23 2002-04-30 International Business Machines Corporation System and method to provide secure navigation to resources on the internet
US20010039594A1 (en) * 1999-02-03 2001-11-08 Park Britt H. Method for enforcing workflow processes for website development and maintenance
US7353194B1 (en) 1999-03-02 2008-04-01 Alticor Investments, Inc. System and method for managing recurring orders in a computer network
CA2683191A1 (en) 1999-03-02 2000-09-08 Amway Corp. Electronic commerce transactions within a marketing system
GB9912494D0 (en) * 1999-05-28 1999-07-28 Hewlett Packard Co Configuring computer systems
JP2001005614A (ja) * 1999-06-25 2001-01-12 Hitachi Ltd ディスク装置およびサーバ装置
AU7107700A (en) * 1999-08-31 2001-03-26 Accenture Llp A system, method and article of manufacture for business logic services patternsin a netcentric environment
GB2353875A (en) * 1999-09-04 2001-03-07 Hewlett Packard Co Computer access control system.
US6556950B1 (en) * 1999-09-30 2003-04-29 Rockwell Automation Technologies, Inc. Diagnostic method and apparatus for use with enterprise control
US6993456B2 (en) * 1999-09-30 2006-01-31 Rockwell Automation Technologies, Inc. Mechanical-electrical template based method and apparatus
US7010580B1 (en) * 1999-10-08 2006-03-07 Agile Software Corp. Method and apparatus for exchanging data in a platform independent manner
FR2801120B1 (fr) * 1999-11-16 2002-12-13 France Telecom Procede et systeme de gestion d'acces a des informations
WO2001041039A2 (en) * 1999-12-02 2001-06-07 Secure Computing Corporation Security management system in an heterogenous network environment
FR2802319B1 (fr) * 1999-12-10 2004-10-01 Gemplus Card Int Controle d'acces par capacites pour des applications notamment cooperantes dans une carte a puce
FR2802674B1 (fr) * 1999-12-21 2004-08-27 Bull Sa Dispositif et procede de controle d'acces a des ressources
US7010530B2 (en) * 2000-01-06 2006-03-07 George P. Johnson Company Event management system
AU782518B2 (en) * 2000-01-07 2005-08-04 International Business Machines Corporation A method for inter-enterprise role-based authorization
US7328233B2 (en) * 2000-01-19 2008-02-05 Corybant, Inc. Method and apparatus for implementing an active information model
US20050086244A1 (en) * 2000-02-01 2005-04-21 Paul Morinville Matrixed organization apparatus
US7251666B2 (en) * 2000-02-01 2007-07-31 Internet Business Information Group Signature loop authorizing method and apparatus
JP4012664B2 (ja) * 2000-04-11 2007-11-21 株式会社リコー 記録媒体及びそのアクセス制御方法
US20020026592A1 (en) * 2000-06-16 2002-02-28 Vdg, Inc. Method for automatic permission management in role-based access control systems
EP1308854A4 (en) * 2000-07-07 2010-01-13 Sharp Kk INFORMATION PROVISION DEVICE
US6691112B1 (en) 2000-08-01 2004-02-10 Darren Michael Siegal Method for indexing and managing a searchable community of non-HTML information
JP2002063167A (ja) * 2000-08-16 2002-02-28 Fuji Xerox Co Ltd オブジェクト管理方法および装置
EP1211588B1 (de) * 2000-12-04 2005-09-21 Siemens Aktiengesellschaft Verfahren zum Nutzen einer Datenverarbeitungsanlage abhängig von einer Berechtigung, zugehörige Datenverarbeitungsanlage und zugehöriges Programm
US20020103773A1 (en) * 2000-12-29 2002-08-01 Gil Ben-Dov Online system and method to purchase gases
US7013332B2 (en) * 2001-01-09 2006-03-14 Microsoft Corporation Distributed policy model for access control
US6947989B2 (en) * 2001-01-29 2005-09-20 International Business Machines Corporation System and method for provisioning resources to users based on policies, roles, organizational information, and attributes
US6985955B2 (en) * 2001-01-29 2006-01-10 International Business Machines Corporation System and method for provisioning resources to users based on roles, organizational information, attributes and third-party information or authorizations
US7302634B2 (en) 2001-03-14 2007-11-27 Microsoft Corporation Schema-based services for identity-based data access
US7284271B2 (en) * 2001-03-14 2007-10-16 Microsoft Corporation Authorizing a requesting entity to operate upon data structures
US7024662B2 (en) 2001-03-14 2006-04-04 Microsoft Corporation Executing dynamically assigned functions while providing services
US20020133535A1 (en) * 2001-03-14 2002-09-19 Microsoft Corporation Identity-centric data access
US7539747B2 (en) 2001-03-14 2009-05-26 Microsoft Corporation Schema-based context service
US7181017B1 (en) 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
DE60101725T2 (de) * 2001-04-03 2004-10-14 Beta Systems Software Ag Automatische Bildung der Rollen zum rollenbasierten Zugriffskontrollsystem
US20020184535A1 (en) * 2001-05-30 2002-12-05 Farah Moaven Method and system for accessing a resource in a computing system
US7392546B2 (en) 2001-06-11 2008-06-24 Bea Systems, Inc. System and method for server security and entitlement processing
US20020199123A1 (en) * 2001-06-22 2002-12-26 Wonderware Corporation Security architecture for a process control platform executing applications
US7197764B2 (en) * 2001-06-29 2007-03-27 Bea Systems Inc. System for and methods of administration of access control to numerous resources and objects
US7130852B2 (en) * 2001-07-27 2006-10-31 Silicon Valley Bank Internal security system for a relational database system
US7124192B2 (en) * 2001-08-30 2006-10-17 International Business Machines Corporation Role-permission model for security policy administration and enforcement
US20030046344A1 (en) * 2001-08-31 2003-03-06 International Business Machines Corp. Method and system for controlling and securing teleconference sessions
EP1298515A3 (de) * 2001-09-26 2004-02-04 Siemens Aktiengesellschaft Verfahren zur Steuerung des Zugriffs auf Ressourcen eines Datenverarbeitungssystems
US7212987B2 (en) * 2001-10-23 2007-05-01 International Business Machines Corporation System and method for planning a design project, coordinating project resources and tools and monitoring project progress
WO2003036548A1 (en) * 2001-10-24 2003-05-01 Bea Systems, Inc. System and method for portal page layout
JP2003223363A (ja) * 2001-11-21 2003-08-08 Ricoh Co Ltd 文書処理装置
EP1333386A1 (en) 2002-01-08 2003-08-06 Sap Ag Providing web page for executing tasks by user, with data object
AU2003208940A1 (en) * 2002-01-30 2003-09-02 Core Sdi, Inc. Framework for maintaining information security in computer networks
US7177863B2 (en) * 2002-04-26 2007-02-13 International Business Machines Corporation System and method for determining internal parameters of a data clustering program
US20030221012A1 (en) * 2002-05-22 2003-11-27 International Business Machines Corporation Resource manager system and method for access control to physical resources in an application hosting environment
US6950825B2 (en) * 2002-05-30 2005-09-27 International Business Machines Corporation Fine grained role-based access to system resources
CN1464401B (zh) * 2002-06-28 2010-05-26 国际商业机器公司 使用影子对象进行核准控制的面向对象系统和方法
US9886309B2 (en) 2002-06-28 2018-02-06 Microsoft Technology Licensing, Llc Identity-based distributed computing for device resources
US8375113B2 (en) * 2002-07-11 2013-02-12 Oracle International Corporation Employing wrapper profiles
US7219234B1 (en) 2002-07-24 2007-05-15 Unisys Corporation System and method for managing access rights and privileges in a data processing system
US20110119353A1 (en) * 2002-08-06 2011-05-19 Tsao Sheng Tai Ted Method and Apparatus for information exchange over a web based environment
DE10243774A1 (de) * 2002-09-20 2004-03-25 Siemens Ag Verfahren und Vorrichtung zur Steuerung von Zugriffen auf Daten
US7546633B2 (en) * 2002-10-25 2009-06-09 Microsoft Corporation Role-based authorization management framework
US7257834B1 (en) * 2002-10-31 2007-08-14 Sprint Communications Company L.P. Security framework data scheme
US20040098594A1 (en) * 2002-11-14 2004-05-20 Fleming Richard Hugh System and method for creating role-based access profiles
KR100468859B1 (ko) * 2002-12-05 2005-01-29 삼성전자주식회사 일체형 잉크젯 프린트헤드 및 그 제조방법
US7533157B2 (en) * 2002-12-24 2009-05-12 International Business Machines Corporation Method for delegation of administrative operations in user enrollment tasks
US9818136B1 (en) 2003-02-05 2017-11-14 Steven M. Hoffberg System and method for determining contingent relevance
US7591000B2 (en) 2003-02-14 2009-09-15 Oracle International Corporation System and method for hierarchical role-based entitlements
US7653930B2 (en) * 2003-02-14 2010-01-26 Bea Systems, Inc. Method for role and resource policy management optimization
US6917975B2 (en) * 2003-02-14 2005-07-12 Bea Systems, Inc. Method for role and resource policy management
US8831966B2 (en) * 2003-02-14 2014-09-09 Oracle International Corporation Method for delegated administration
US20050160007A1 (en) * 2003-02-25 2005-07-21 Fujitsu Limited Subscription-based sales system, terminal device, management device, server and program
US20040230679A1 (en) * 2003-02-28 2004-11-18 Bales Christopher E. Systems and methods for portal and web server administration
US7568217B1 (en) * 2003-03-20 2009-07-28 Cisco Technology, Inc. Method and apparatus for using a role based access control system on a network
US7885847B2 (en) * 2003-05-07 2011-02-08 Sap Ag End user oriented workflow approach including structured processing of ad hoc workflows with a collaborative process engine
CN102129530B (zh) * 2003-05-27 2015-08-19 新思科技有限公司 访问保护的电子系统及访问控制方法
US7343628B2 (en) * 2003-05-28 2008-03-11 Sap Ag Authorization data model
DE10324189A1 (de) * 2003-05-28 2004-12-16 Robert Bosch Gmbh Verfahren zur Steuerung des Zugriffs auf eine Ressource einer Applikation in einer Datenverarbeitungseinrichtung
TW200426619A (en) * 2003-05-28 2004-12-01 Hon Hai Prec Ind Co Ltd System and method for controlling database authorization
US8161288B2 (en) 2003-05-28 2012-04-17 Belarc, Inc. Secure user access subsystem for use in a computer information database system
US7680797B1 (en) * 2003-07-25 2010-03-16 Verizon Data Services Llc Methods and systems for providing a data access layer
US8645547B1 (en) 2003-07-25 2014-02-04 Verizon Data Services Llc Methods and systems for providing a messaging service
US7308704B2 (en) 2003-08-18 2007-12-11 Sap Ag Data structure for access control
US7350237B2 (en) 2003-08-18 2008-03-25 Sap Ag Managing access control information
US7827595B2 (en) 2003-08-28 2010-11-02 Microsoft Corporation Delegated administration of a hosted resource
US20050060572A1 (en) * 2003-09-02 2005-03-17 Trulogica, Inc. System and method for managing access entitlements in a computing network
US7530112B2 (en) 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
DE10345323A1 (de) * 2003-09-30 2005-08-18 Zf Friedrichshafen Ag Verfahren zur Verwaltung und/oder Administration von Zugangsberechtigungen in einem Netzwerk
US7299493B1 (en) 2003-09-30 2007-11-20 Novell, Inc. Techniques for dynamically establishing and managing authentication and trust relationships
US7836490B2 (en) 2003-10-29 2010-11-16 Cisco Technology, Inc. Method and apparatus for providing network security using security labeling
US7702693B1 (en) * 2003-10-30 2010-04-20 Cisco Technology, Inc. Role-based access control enforced by filesystem of an operating system
US7921299B1 (en) 2003-12-05 2011-04-05 Microsoft Corporation Partner sandboxing in a shared multi-tenant billing system
US7546640B2 (en) * 2003-12-10 2009-06-09 International Business Machines Corporation Fine-grained authorization by authorization table associated with a resource
US7203697B2 (en) * 2003-12-10 2007-04-10 International Business Machines Corporation Fine-grained authorization using mbeans
US20050132054A1 (en) * 2003-12-10 2005-06-16 International Business Machines Corporation Fine-grained authorization by traversing generational relationships
US8423394B2 (en) * 2003-12-12 2013-04-16 International Business Machines Corporation Method for tracking the status of a workflow using weblogs
US8140691B2 (en) * 2003-12-12 2012-03-20 International Business Machines Corporation Role-based views access to a workflow weblog
US8417682B2 (en) * 2003-12-12 2013-04-09 International Business Machines Corporation Visualization of attributes of workflow weblogs
US7284000B2 (en) * 2003-12-19 2007-10-16 International Business Machines Corporation Automatic policy generation based on role entitlements and identity attributes
WO2005064429A1 (en) * 2003-12-23 2005-07-14 Telefonaktiebolaget Lm Ericsson (Publ) Method and device for taking an access control policy decision
US20090119755A1 (en) * 2004-02-04 2009-05-07 Kodimer Marianne L System and method for role based access control of a document processing device
US7478421B2 (en) * 2004-02-04 2009-01-13 Toshiba Corporation System and method for role based access control of a document processing device
US7661141B2 (en) * 2004-02-11 2010-02-09 Microsoft Corporation Systems and methods that optimize row level database security
US7711750B1 (en) 2004-02-11 2010-05-04 Microsoft Corporation Systems and methods that specify row level database security
US20050289003A1 (en) * 2004-02-20 2005-12-29 Thompson R M System and method for direct marketing
US7640429B2 (en) * 2004-02-26 2009-12-29 The Boeing Company Cryptographically enforced, multiple-role, policy-enabled object dissemination control mechanism
SE528169C2 (sv) * 2004-03-03 2006-09-19 Volvo Lastvagnar Ab Metod för åtkomsthantering på Internet-portaler
US8478668B2 (en) * 2004-03-12 2013-07-02 Sybase, Inc. Hierarchical entitlement system with integrated inheritance and limit checks
US7797239B2 (en) * 2004-03-12 2010-09-14 Sybase, Inc. Hierarchical entitlement system with integrated inheritance and limit checks
EP1738258A4 (en) 2004-03-13 2009-10-28 Cluster Resources Inc SYSTEM AND METHOD IMPLEMENTING OBJECT TRIGGERS
US8782654B2 (en) 2004-03-13 2014-07-15 Adaptive Computing Enterprises, Inc. Co-allocating a reservation spanning different compute resources types
US7200595B2 (en) * 2004-03-29 2007-04-03 Microsoft Corporation Systems and methods for fine grained access control of data stored in relational databases
US7774601B2 (en) * 2004-04-06 2010-08-10 Bea Systems, Inc. Method for delegated administration
JP4676782B2 (ja) * 2004-04-28 2011-04-27 株式会社リコー 情報処理装置、操作許可データ生成方法、操作許可データ生成許否判定方法、操作許可データ生成プログラム、操作許否データ生成許否判定プログラム及び記録媒体
WO2005114539A2 (en) * 2004-05-20 2005-12-01 Computer Associates Think, Inc. Systems and methods for excluding user specified applications
US20070266388A1 (en) 2004-06-18 2007-11-15 Cluster Resources, Inc. System and method for providing advanced reservations in a compute environment
US7599937B2 (en) * 2004-06-28 2009-10-06 Microsoft Corporation Systems and methods for fine grained access control of data stored in relational databases
US20060031495A1 (en) * 2004-06-29 2006-02-09 Xerox Corporation Fault tolerant e-mail feature for digital repository
US7882544B2 (en) * 2004-07-12 2011-02-01 International Business Machines Corporation Inherited role-based access control system, method and program product
US8347203B1 (en) 2004-07-23 2013-01-01 Verizon Data Services Llc Methods and systems for defining a form navigational structure
US8285856B1 (en) 2004-07-23 2012-10-09 Verizon Data Services Llc Methods and systems for integrating a messaging service with an application
WO2007001328A2 (en) * 2004-07-29 2007-01-04 Infoassure, Inc. Information-centric security
US8176490B1 (en) 2004-08-20 2012-05-08 Adaptive Computing Enterprises, Inc. System and method of interfacing a workload manager and scheduler with an identity manager
US8271527B2 (en) * 2004-08-26 2012-09-18 Illinois Institute Of Technology Refined permission constraints using internal and external data extraction in a role-based access control system
US8078216B2 (en) * 2004-10-13 2011-12-13 Intel Corporation Wireless device content information theft protection system
US7669244B2 (en) 2004-10-21 2010-02-23 Cisco Technology, Inc. Method and system for generating user group permission lists
CA2827035A1 (en) 2004-11-08 2006-05-18 Adaptive Computing Enterprises, Inc. System and method of providing system jobs within a compute environment
US7877796B2 (en) 2004-11-16 2011-01-25 Cisco Technology, Inc. Method and apparatus for best effort propagation of security group information
US7721323B2 (en) 2004-11-23 2010-05-18 Cisco Technology, Inc. Method and system for including network security information in a frame
US7886145B2 (en) 2004-11-23 2011-02-08 Cisco Technology, Inc. Method and system for including security information with a packet
US7827402B2 (en) 2004-12-01 2010-11-02 Cisco Technology, Inc. Method and apparatus for ingress filtering using security group information
US7761905B2 (en) 2004-12-17 2010-07-20 International Business Machines Corporation Method and system for assigning access rights in a computer system
US7607164B2 (en) * 2004-12-23 2009-10-20 Microsoft Corporation Systems and processes for managing policy change in a distributed enterprise
US20060155716A1 (en) * 2004-12-23 2006-07-13 Microsoft Corporation Schema change governance for identity store
US20060143126A1 (en) * 2004-12-23 2006-06-29 Microsoft Corporation Systems and processes for self-healing an identity store
US7529931B2 (en) * 2004-12-23 2009-05-05 Microsoft Corporation Managing elevated rights on a network
US8191135B2 (en) * 2005-01-20 2012-05-29 International Business Machines Corporation Secured web based access of failed flows in an integration server
US8245280B2 (en) * 2005-02-11 2012-08-14 Samsung Electronics Co., Ltd. System and method for user access control to content in a network
US20060200489A1 (en) * 2005-03-03 2006-09-07 Microsoft Corporation Company modeling
US7900152B2 (en) * 2005-03-03 2011-03-01 Microsoft Corporation Adaptable user interface for business software
US9075657B2 (en) 2005-04-07 2015-07-07 Adaptive Computing Enterprises, Inc. On-demand access to compute resources
US8863143B2 (en) 2006-03-16 2014-10-14 Adaptive Computing Enterprises, Inc. System and method for managing a hybrid compute environment
US9225663B2 (en) 2005-03-16 2015-12-29 Adaptive Computing Enterprises, Inc. System and method providing a virtual private cluster
EP2360587B1 (en) * 2005-03-16 2017-10-04 III Holdings 12, LLC Automatic workload transfer to an on-demand center
US9231886B2 (en) 2005-03-16 2016-01-05 Adaptive Computing Enterprises, Inc. Simple integration of an on-demand compute environment
US20060218394A1 (en) * 2005-03-28 2006-09-28 Yang Dung C Organizational role-based controlled access management system
US8631476B2 (en) 2005-03-31 2014-01-14 Sap Ag Data processing system including explicit and generic grants of action authorization
US7774827B2 (en) * 2005-06-06 2010-08-10 Novell, Inc. Techniques for providing role-based security with instance-level granularity
US7730523B1 (en) * 2005-06-17 2010-06-01 Oracle America, Inc. Role-based access using combinatorial inheritance and randomized conjugates in an internet hosted environment
US20060288402A1 (en) * 2005-06-20 2006-12-21 Nokia Corporation Security component for dynamic properties framework
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US9063921B1 (en) 2005-08-10 2015-06-23 Printable Technologies, Inc. System and method for distributed design of a variable data publication
US7953734B2 (en) 2005-09-26 2011-05-31 Oracle International Corporation System and method for providing SPI extensions for content management system
US7483893B2 (en) 2005-09-26 2009-01-27 Bae Systems, Inc. System and method for lightweight loading for managing content
US7917537B2 (en) 2005-09-26 2011-03-29 Oracle International Corporation System and method for providing link property types for content management
US7818344B2 (en) 2005-09-26 2010-10-19 Bea Systems, Inc. System and method for providing nested types for content management
US7752205B2 (en) * 2005-09-26 2010-07-06 Bea Systems, Inc. Method and system for interacting with a virtual content repository
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US20070156680A1 (en) * 2005-12-21 2007-07-05 Microsoft Corporation Disconnected authoring of business definitions
US8566113B2 (en) * 2006-02-07 2013-10-22 International Business Machines Corporation Methods, systems and computer program products for providing a level of anonymity to patient records/information
US7730095B2 (en) * 2006-03-01 2010-06-01 Microsoft Corporation Controlling transactions in accordance with role based security
US8452961B2 (en) * 2006-03-07 2013-05-28 Samsung Electronics Co., Ltd. Method and system for authentication between electronic devices with minimal user intervention
US20070214497A1 (en) * 2006-03-10 2007-09-13 Axalto Inc. System and method for providing a hierarchical role-based access control
US8261181B2 (en) 2006-03-30 2012-09-04 Microsoft Corporation Multidimensional metrics-based annotation
US7984066B1 (en) * 2006-03-30 2011-07-19 Emc Corporation Mandatory access control list for managed content
US8190992B2 (en) 2006-04-21 2012-05-29 Microsoft Corporation Grouping and display of logically defined reports
US8126750B2 (en) * 2006-04-27 2012-02-28 Microsoft Corporation Consolidating data source queries for multidimensional scorecards
US8381306B2 (en) * 2006-05-30 2013-02-19 Microsoft Corporation Translating role-based access control policy to resource authorization policy
US7933925B2 (en) * 2006-06-01 2011-04-26 International Business Machines Corporation System and method for role based analysis and access control
US20070288487A1 (en) * 2006-06-08 2007-12-13 Samsung Electronics Co., Ltd. Method and system for access control to consumer electronics devices in a network
US7827275B2 (en) * 2006-06-08 2010-11-02 Samsung Electronics Co., Ltd. Method and system for remotely accessing devices in a network
US7519599B2 (en) * 2006-06-12 2009-04-14 International Business Machines Corporation System and method for scalable distribution of semantic web updates
US20070288389A1 (en) * 2006-06-12 2007-12-13 Vaughan Michael J Version Compliance System
US20070294302A1 (en) 2006-06-19 2007-12-20 Cerner Innovation, Inc. Defining privileges in association with the automated configuration, implementation and/or maintenance of a healthcare information system
US20080005115A1 (en) * 2006-06-30 2008-01-03 International Business Machines Corporation Methods and apparatus for scoped role-based access control
US9455990B2 (en) * 2006-07-21 2016-09-27 International Business Machines Corporation System and method for role based access control in a content management system
US7685123B1 (en) * 2006-08-30 2010-03-23 Network Appliance, Inc. Method and system for controlling access to dynamically specified resources
US8601539B1 (en) 2006-09-06 2013-12-03 Dell Software Inc. Systems and methods for managing user permissions
US8463852B2 (en) 2006-10-06 2013-06-11 Oracle International Corporation Groupware portlets for integrating a portal with groupware systems
US8402514B1 (en) 2006-11-17 2013-03-19 Network Appliance, Inc. Hierarchy-aware role-based access control
US20080120302A1 (en) * 2006-11-17 2008-05-22 Thompson Timothy J Resource level role based access control for storage management
DE102006054284A1 (de) 2006-11-17 2008-05-21 Deutsche Telekom Ag Verfahren und System für ein Erreichbarkeitsmanagement
US7712127B1 (en) 2006-11-17 2010-05-04 Network Appliance, Inc. Method and system of access control based on a constraint controlling role assumption
DE102006055864A1 (de) 2006-11-22 2008-05-29 Deutsche Telekom Ag Verfahren zur Dialoganpassung und Dialogsystem zur Durchführung
US9009777B2 (en) * 2006-11-30 2015-04-14 International Business Machines Corporation Automatic role activation
US8032558B2 (en) * 2007-01-10 2011-10-04 Novell, Inc. Role policy management
US20080172414A1 (en) * 2007-01-17 2008-07-17 Microsoft Corporation Business Objects as a Service
US20080172629A1 (en) * 2007-01-17 2008-07-17 Microsoft Corporation Geometric Performance Metric Data Rendering
US9058307B2 (en) * 2007-01-26 2015-06-16 Microsoft Technology Licensing, Llc Presentation generation using scorecard elements
US8321805B2 (en) * 2007-01-30 2012-11-27 Microsoft Corporation Service architecture based metric views
US20080189632A1 (en) * 2007-02-02 2008-08-07 Microsoft Corporation Severity Assessment For Performance Metrics Using Quantitative Model
US8495663B2 (en) 2007-02-02 2013-07-23 Microsoft Corporation Real time collaboration using embedded data visualizations
US8156516B2 (en) * 2007-03-29 2012-04-10 Emc Corporation Virtualized federated role provisioning
US8904391B2 (en) * 2007-04-23 2014-12-02 International Business Machines Corporation Policy-based access control approach to staff activities of a business process
US20090006113A1 (en) * 2007-06-29 2009-01-01 Brian Robertson Method for Structuring and Controlling an Organization
US8032935B2 (en) * 2007-06-29 2011-10-04 Microsoft Corporation Security synchronization services
US7904476B1 (en) 2007-07-30 2011-03-08 Hewlett-Packard Develpment Company, L.P. Computer-implemented method for compressing representation of binary relation
US9405921B1 (en) 2007-07-31 2016-08-02 Hewlett Packard Enterprise Development Lp Computer-implemented method for role discovery in access control systems
US7840708B2 (en) 2007-08-13 2010-11-23 Cisco Technology, Inc. Method and system for the assignment of security group information using a proxy
US8041773B2 (en) 2007-09-24 2011-10-18 The Research Foundation Of State University Of New York Automatic clustering for self-organizing grids
US9471801B2 (en) * 2007-11-29 2016-10-18 Oracle International Corporation Method and apparatus to support privileges at multiple levels of authentication using a constraining ACL
US20090182607A1 (en) * 2008-01-16 2009-07-16 Morinville Paul V Approver Identification Using Multiple Hierarchical Role Structures
US20090222879A1 (en) * 2008-03-03 2009-09-03 Microsoft Corporation Super policy in information protection systems
US20110238430A1 (en) * 2008-04-23 2011-09-29 ProvidedPath Software, inc. Organization Optimization System and Method of Use Thereof
US8645423B2 (en) 2008-05-02 2014-02-04 Oracle International Corporation Method of partitioning a database
US8316453B2 (en) * 2008-06-27 2012-11-20 Bank Of America Corporation Dynamic community generator
US8646027B2 (en) * 2008-06-27 2014-02-04 Microsoft Corporation Workflow based authorization for content access
US8196195B2 (en) * 2008-07-11 2012-06-05 International Business Machines Corporation Role-based privilege management
US20100306089A1 (en) * 2008-08-01 2010-12-02 Hantz Group, Inc. Single or multi-company business accounting system and method for same including vendor account maintenance
US8762233B2 (en) * 2008-08-01 2014-06-24 Hantz Software, Llc Single or multi-company business accounting system and method for same including account number maintenance
US8055560B2 (en) * 2008-08-01 2011-11-08 Hantz Group, Inc. Multi-company business accounting system and method for same including account payable
US20100138272A1 (en) * 2008-12-01 2010-06-03 Guy Jonathan James Rackham System and method for determining a threshold of decomposition for enabling incremental development of persistent and reusable business components and control structures in an asset based component business model architecture
US8234693B2 (en) * 2008-12-05 2012-07-31 Raytheon Company Secure document management
US20100155321A1 (en) * 2008-12-23 2010-06-24 Sasur Timothy M Filter assembly
US8032403B2 (en) * 2008-12-31 2011-10-04 International Business Machines Corporation Method and system for assigning staff as a service in a service network within a component business model architecture
US9477671B2 (en) * 2009-05-27 2016-10-25 Oracle International Corporation System and method for implementing effective date constraints in a role hierarchy
US8402266B2 (en) * 2009-06-01 2013-03-19 Microsoft Corporation Extensible role-based access control model for services
US20100313276A1 (en) * 2009-06-05 2010-12-09 Microsoft Corporation Web-Based Client for Creating and Accessing Protected Content
US8717596B2 (en) 2009-09-30 2014-05-06 Printable Technologies Inc. Systems and methods for providing variable data printing (VDP) using dynamic font downgrading
US8495730B2 (en) * 2009-10-12 2013-07-23 International Business Machines Corporation Dynamically constructed capability for enforcing object access order
US10877695B2 (en) 2009-10-30 2020-12-29 Iii Holdings 2, Llc Memcached server functionality in a cluster of data processing nodes
US11720290B2 (en) 2009-10-30 2023-08-08 Iii Holdings 2, Llc Memcached server functionality in a cluster of data processing nodes
US20110202384A1 (en) * 2010-02-17 2011-08-18 Rabstejnek Wayne S Enterprise Rendering Platform
US8725767B1 (en) * 2010-03-31 2014-05-13 Emc Corporation Multi-dimensional object model for storage management
US8789205B2 (en) * 2010-04-21 2014-07-22 Microsoft Corporation Role-based graphical user interfaces
US8639827B1 (en) 2010-04-23 2014-01-28 Dell Software Inc. Self-service systems and methods for granting access to resources
US8832774B2 (en) * 2010-06-23 2014-09-09 Exelis Inc. Dynamic management of role membership
US9563751B1 (en) 2010-10-13 2017-02-07 The Boeing Company License utilization management system service suite
EP2585961A1 (en) * 2010-10-25 2013-05-01 Hitachi, Ltd. Storage apparatus and management method thereof
US8528099B2 (en) * 2011-01-27 2013-09-03 Oracle International Corporation Policy based management of content rights in enterprise/cross enterprise collaboration
US20120240194A1 (en) * 2011-03-18 2012-09-20 eClaris Software, Inc. Systems and Methods for Controlling Access to Electronic Data
US9105009B2 (en) 2011-03-21 2015-08-11 Microsoft Technology Licensing, Llc Email-based automated recovery action in a hosted environment
EP2700255B1 (en) 2011-04-18 2018-02-21 Hewlett-Packard Development Company, L.P. Access control
US8689298B2 (en) * 2011-05-31 2014-04-01 Red Hat, Inc. Resource-centric authorization schemes
WO2013016514A1 (en) * 2011-07-26 2013-01-31 Mine Safety Appliances Company Incident management and monitoring systems and methods
US8756509B2 (en) * 2011-07-27 2014-06-17 International Business Machines Corporation Visually representing and managing access control of resources
US20130060659A1 (en) * 2011-09-02 2013-03-07 Oracle International Corporation System and method for splitting collaboration on event metrics for a supplier to respond to based on functional role
US8839257B2 (en) 2011-11-22 2014-09-16 Microsoft Corporation Superseding of recovery actions based on aggregation of requests for automated sequencing and cancellation
CN102611699A (zh) * 2012-02-22 2012-07-25 浪潮(北京)电子信息产业有限公司 一种云操作系统中访问控制的方法和系统
US9460303B2 (en) 2012-03-06 2016-10-04 Microsoft Technology Licensing, Llc Operating large scale systems and cloud services with zero-standing elevated permissions
KR101401794B1 (ko) * 2012-06-29 2014-06-27 인텔렉추얼디스커버리 주식회사 데이터 공유 제공 방법 및 장치
US9253113B2 (en) 2012-09-07 2016-02-02 Oracle International Corporation Customizable model for throttling and prioritizing orders in a cloud environment
US9467355B2 (en) 2012-09-07 2016-10-11 Oracle International Corporation Service association model
US9621435B2 (en) 2012-09-07 2017-04-11 Oracle International Corporation Declarative and extensible model for provisioning of cloud based services
US9838370B2 (en) 2012-09-07 2017-12-05 Oracle International Corporation Business attribute driven sizing algorithms
US9792338B2 (en) 2012-09-07 2017-10-17 Oracle International Corporation Role assignments in a cloud infrastructure
US9542400B2 (en) 2012-09-07 2017-01-10 Oracle International Corporation Service archive support
US10521746B2 (en) 2012-09-07 2019-12-31 Oracle International Corporation Recovery workflow for processing subscription orders in a computing infrastructure system
US10148530B2 (en) 2012-09-07 2018-12-04 Oracle International Corporation Rule based subscription cloning
US9667470B2 (en) 2012-09-07 2017-05-30 Oracle International Corporation Failure handling in the execution flow of provisioning operations in a cloud environment
US9679264B2 (en) 2012-11-06 2017-06-13 Oracle International Corporation Role discovery using privilege cluster analysis
US8881249B2 (en) 2012-12-12 2014-11-04 Microsoft Corporation Scalable and automated secret management
US9608958B2 (en) 2013-03-12 2017-03-28 Oracle International Corporation Lightweight directory access protocol (LDAP) join search mechanism
US9977771B2 (en) 2013-03-14 2018-05-22 Pti Marketing Technologies Inc. System and method for printable document viewer optimization
US9614851B1 (en) * 2014-02-27 2017-04-04 Open Invention Network Llc Security management application providing proxy for administrative privileges
FR3019348A1 (fr) * 2014-03-28 2015-10-02 Evidian Procede de gestion d'un controle d'acces a un service
US10521601B2 (en) 2014-04-30 2019-12-31 Sailpoint Technologies, Israel Ltd. System and method for data governance
WO2015198109A1 (en) * 2014-06-27 2015-12-30 Ubs Ag System and method for managing application access rights of project roles to maintain security of client identifying data
US10164901B2 (en) 2014-08-22 2018-12-25 Oracle International Corporation Intelligent data center selection
CN104717206B (zh) * 2015-02-04 2018-01-05 中国科学院信息工程研究所 一种物联网资源访问权限控制方法及系统
US9762585B2 (en) 2015-03-19 2017-09-12 Microsoft Technology Licensing, Llc Tenant lockbox
US20160292445A1 (en) 2015-03-31 2016-10-06 Secude Ag Context-based data classification
US10931682B2 (en) 2015-06-30 2021-02-23 Microsoft Technology Licensing, Llc Privileged identity management
US9591489B2 (en) 2015-07-09 2017-03-07 International Business Machines Corporation Controlling application access to applications and resources via graphical representation and manipulation
US20170154296A1 (en) * 2015-12-01 2017-06-01 International Business Machines Corporation Prioritizing contextual information system, method, and recording medium
EP3196798A1 (en) 2016-01-19 2017-07-26 Secude AG Context-sensitive copy and paste block
CN107330307A (zh) * 2017-07-16 2017-11-07 成都牵牛草信息技术有限公司 一种表单数据操作权限授权方法
JP6930496B2 (ja) * 2018-05-24 2021-09-01 日本電信電話株式会社 設定装置、設定方法及び設定プログラム
US11165776B2 (en) 2018-08-28 2021-11-02 International Business Machines Corporation Methods and systems for managing access to computing system resources
CN109872119A (zh) * 2019-01-17 2019-06-11 平安科技(深圳)有限公司 项目信息管理方法、装置、计算机设备和存储介质
EP3699799A1 (en) * 2019-02-22 2020-08-26 Siemens Aktiengesellschaft Method for granting access to objects in a computerized system, computer program product, and field device
US11343251B2 (en) * 2019-05-30 2022-05-24 Saudi Arabian Oil Company Secure authorization provisioning using variant profiles
US11755760B2 (en) * 2019-10-18 2023-09-12 Asg Technologies Group, Inc. Systems and methods for secure policies-based information governance
US11240168B2 (en) 2020-01-06 2022-02-01 International Business Machines Corporation System and method to exchange identity governance data across multiple identity repositories
US11461677B2 (en) 2020-03-10 2022-10-04 Sailpoint Technologies, Inc. Systems and methods for data correlation and artifact matching in identity management artificial intelligence systems
US20220114265A1 (en) * 2020-10-08 2022-04-14 Google Llc Unified viewing of roles and permissions in a computer data processing system
US11308186B1 (en) 2021-03-19 2022-04-19 Sailpoint Technologies, Inc. Systems and methods for data correlation and artifact matching in identity management artificial intelligence systems
CN113612802B (zh) * 2021-10-08 2022-02-18 苏州浪潮智能科技有限公司 一种访问控制方法、装置、设备及可读存储介质
US11907229B2 (en) * 2022-03-31 2024-02-20 Gm Cruise Holdings Llc System and method for platform-independent access bindings

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4941175A (en) * 1989-02-24 1990-07-10 International Business Machines Corporation Tamper-resistant method for authorizing access to data between a host and a predetermined number of attached workstations
US5113442A (en) * 1989-03-06 1992-05-12 Lachman Associates, Inc. Method and apparatus for providing access control in a secure operating system
US5187790A (en) * 1989-06-29 1993-02-16 Digital Equipment Corporation Server impersonation of client processes in an object based computer operating system
US5469556A (en) * 1989-12-12 1995-11-21 Harris Corporation Resource access security system for controlling access to resources of a data processing system
US5191522A (en) * 1990-01-18 1993-03-02 Itt Corporation Integrated group insurance information processing and reporting system based upon an enterprise-wide data structure
EP0449242A3 (en) * 1990-03-28 1992-10-28 National Semiconductor Corporation Method and structure for providing computer security and virus prevention
US5414844A (en) * 1990-05-24 1995-05-09 International Business Machines Corporation Method and system for controlling public access to a plurality of data objects within a data processing system
US5315657A (en) * 1990-09-28 1994-05-24 Digital Equipment Corporation Compound principals in access control lists
US5414852A (en) * 1992-10-30 1995-05-09 International Business Machines Corporation Method for protecting data in a computer system
US5450593A (en) * 1992-12-18 1995-09-12 International Business Machines Corp. Method and system for controlling access to objects in a data processing system based on temporal constraints
US5446903A (en) * 1993-05-04 1995-08-29 International Business Machines Corporation Method and apparatus for controlling access to data elements in a data processing system based on status of an industrial process by mapping user's security categories and industrial process steps
US5564016A (en) * 1993-12-17 1996-10-08 International Business Machines Corporation Method for controlling access to a computer resource based on a timing policy

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0848334A4 (en) * 1996-07-01 2007-08-29 Fujitsu Ltd METHOD AND DEVICE FOR MANAGING THE USE OF SHARED RESOURCES BY SEVERAL GROUPS
JP2014059886A (ja) * 2002-11-12 2014-04-03 E M D Millipore Corp 機器アクセス制御システム
JP2004341896A (ja) * 2003-05-16 2004-12-02 Nippon Telegr & Teleph Corp <Ntt> 属性承認装置、属性承認リソース管理装置、および属性承認装置監査統計サーバ
JP2007004549A (ja) * 2005-06-24 2007-01-11 Nippon Telegr & Teleph Corp <Ntt> アクセス制御方法
JP2009509227A (ja) * 2005-09-16 2009-03-05 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 暗号化による役割ベースのアクセス制御
US8424062B2 (en) 2006-06-22 2013-04-16 Koninklijke Philips Electronics N.V. Advanced access control for medical ad hoc body sensor networks
JP2009541861A (ja) * 2006-06-22 2009-11-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 医療用アドホックボディセンサネットワークのための先進的アクセス制御
JP2009544076A (ja) * 2006-07-11 2009-12-10 エフエムアール エルエルシー マルチカスタマーコンピューティング環境におけるロールベースのアクセス
JP2009110401A (ja) * 2007-10-31 2009-05-21 Hitachi Ltd ファイル共有システム及びファイル共有方法
EP2159729A1 (en) 2008-08-27 2010-03-03 Fujitsu Limited Access controlling system, access controlling method, and recording medium having access controlling program recorded thereon
US8429463B2 (en) 2008-09-30 2013-04-23 Fujitsu Limited Log management method and apparatus, information processing apparatus with log management apparatus and storage medium
JP2013522726A (ja) * 2010-03-08 2013-06-13 ヴイエムウェア インク 仮想化環境におけるタスクベースのアクセス制御
JP2011186891A (ja) * 2010-03-10 2011-09-22 Fujitsu Ltd 情報管理装置および方法
JP2014512628A (ja) * 2011-04-30 2014-05-22 ヴイエムウェア インコーポレイテッド コンピュータリソースのエンタイトルメントおよびプロビジョニングのためのグループの動的管理
US20150156139A1 (en) * 2011-04-30 2015-06-04 Vmware, Inc. Dynamic Management Of Groups For Entitlement And Provisioning Of Computer Resources
US9491116B2 (en) 2011-04-30 2016-11-08 Vmware, Inc. Dynamic management of groups for entitlement and provisioning of computer resources
JP2020508523A (ja) * 2017-02-27 2020-03-19 イヴァンティ,インコーポレイテッド ロールベースコンピュータセキュリティ構成のシステム及び方法

Also Published As

Publication number Publication date
CA2154020C (en) 2001-10-16
JP3074638B2 (ja) 2000-08-07
DE69427347D1 (de) 2001-07-05
DE69427347T2 (de) 2001-10-31
CA2154020A1 (en) 1996-02-16
US5911143A (en) 1999-06-08
EP0697662B1 (en) 2001-05-30
EP0697662A1 (en) 1996-02-21

Similar Documents

Publication Publication Date Title
JPH0887454A (ja) 分散および集中コンピュータ・システムにおける拡張役割ベース・アクセス制御の方法およびシステム
Baldwin Naming and Grouping Privileges to Simplify Security Management in Large Databases.
Tari et al. A role-based access control for intranet security
JP4550056B2 (ja) データ・アクセス制御機能を実現する方法、システム、およびプログラム・ストレージ・デバイス
US6023765A (en) Implementation of role-based access control in multi-level secure systems
Sandhu et al. The NIST model for role-based access control: towards a unified standard
Fernandez et al. A pattern language for security models
US7155720B2 (en) Dynamic task assignment in workflows
US6574736B1 (en) Composable roles
Kern et al. An administration concept for the enterprise role-based access control model
US20020083059A1 (en) Workflow access control
US5204812A (en) User access of multiple documents based on document relationship classification
JP2002288399A (ja) セキュアワークフローシステムおよびその方法
Long et al. Racac: An approach toward rbac and abac combining access control
CN117932628A (zh) 一种基于rbac的财务信息系统授权管理方法
Graubart et al. A Preliminary Neval Surveillance OBMS Sacurity
Hitchens et al. Design and specification of role based access control policies
CN115378635B (zh) 一种基于角色的系统间跨域访问控制方法及平台
JP4495915B2 (ja) データ管理方法、メモリ装置、およびサーバ
Lunt Security in database systems: A research perspective
Abdallah et al. Formal Z specifications of several flat role-based access control models
Lunt et al. The SeaView Secure Database System: A Progress Report.
Steinke Design aspects of access control in a knowledge base system
Boulahia-Cuppens et al. Multiview model for object-oriented database
Steinke A task-based approach to implementing computer security

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees