JPH09114784A - アクセス権評価装置 - Google Patents
アクセス権評価装置Info
- Publication number
- JPH09114784A JPH09114784A JP7294851A JP29485195A JPH09114784A JP H09114784 A JPH09114784 A JP H09114784A JP 7294851 A JP7294851 A JP 7294851A JP 29485195 A JP29485195 A JP 29485195A JP H09114784 A JPH09114784 A JP H09114784A
- Authority
- JP
- Japan
- Prior art keywords
- group
- information
- access
- user
- access right
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 61
- 230000003213 activating effect Effects 0.000 claims 1
- 238000004891 communication Methods 0.000 abstract description 9
- 238000000034 method Methods 0.000 description 12
- 238000012854 evaluation process Methods 0.000 description 7
- 238000007781 pre-processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 230000004913 activation Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
- Memory System (AREA)
Abstract
(57)【要約】 (修正有)
【課題】 複数のユーザをグループ化してアクセス権を
管理する情報資源管理システムにおいて、グループ情報
の取得回数を減少させて迅速なるアクセス権評価処理を
実現するための情報を、必要な時点で用意する。 【解決手段】 グループ情報管理手段15によってグル
ープの識別子と複数のグループから成る上位グループの
グループ識別子とを対応付けて管理しており、外部通信
管理手段11からユーザ識別子とともにアクセス要求が
入力されると、グループ情報15aに基づいて、所属グ
ループ情報生成手段18が対応するユーザ識別子を含む
全てのグループの識別子の集合を所属グループ情報とし
て生成する。アクセスリスト管理手段13がアクセス権
を有するユーザについてアクセスリスト13aを保持し
ており、所属グループ情報及びアクセスリストを参照し
て、ユーザに対するアクセス権を評価する。
管理する情報資源管理システムにおいて、グループ情報
の取得回数を減少させて迅速なるアクセス権評価処理を
実現するための情報を、必要な時点で用意する。 【解決手段】 グループ情報管理手段15によってグル
ープの識別子と複数のグループから成る上位グループの
グループ識別子とを対応付けて管理しており、外部通信
管理手段11からユーザ識別子とともにアクセス要求が
入力されると、グループ情報15aに基づいて、所属グ
ループ情報生成手段18が対応するユーザ識別子を含む
全てのグループの識別子の集合を所属グループ情報とし
て生成する。アクセスリスト管理手段13がアクセス権
を有するユーザについてアクセスリスト13aを保持し
ており、所属グループ情報及びアクセスリストを参照し
て、ユーザに対するアクセス権を評価する。
Description
【0001】
【発明の属する技術分野】本発明は、ユーザが情報資源
に対してアクセスを行う権限(アクセス権)を有するか
を評価する装置に関し、特に、複数のユーザの集合体で
あるグループや、複数のグループの集合体である上位グ
ループに、アクセス権を設定した場合に有効なアクセス
権評価装置に関する。
に対してアクセスを行う権限(アクセス権)を有するか
を評価する装置に関し、特に、複数のユーザの集合体で
あるグループや、複数のグループの集合体である上位グ
ループに、アクセス権を設定した場合に有効なアクセス
権評価装置に関する。
【0002】
【従来の技術】データベースやファイルシステム等とい
った情報資源に対するセキュリティ管理等の要請から、
書き込みや読み出し等といったアクセスを希望するユー
ザが目的とする情報資源に対してアクセス権を有するか
を評価する必要がある。このようなアクセス権の評価に
おいては、情報資源の識別情報とアクセス権を付与され
たユーザの識別情報とを対応付けたアクセスリストを予
め作成しておき、当該アクセスリストに基づいてユーザ
毎のアクセス権を評価することが行われている。
った情報資源に対するセキュリティ管理等の要請から、
書き込みや読み出し等といったアクセスを希望するユー
ザが目的とする情報資源に対してアクセス権を有するか
を評価する必要がある。このようなアクセス権の評価に
おいては、情報資源の識別情報とアクセス権を付与され
たユーザの識別情報とを対応付けたアクセスリストを予
め作成しておき、当該アクセスリストに基づいてユーザ
毎のアクセス権を評価することが行われている。
【0003】ここで、多数のユーザのアクセス権を効率
よく管理し、同一のアクセス権を有する複数のユーザを
まとめて管理する必要があるため、特開昭64−708
60号公報に記載されるように、複数のユーザの集合体
であるグループを単位としてアクセス権を付与し、情報
資源の識別情報とアクセス権を付与されたグループの識
別情報とを対応付けたアクセスリストを用いて、ユーザ
毎のアクセス権を評価することが行われている。更に
は、特開平6−214863号公報に記載されるよう
に、複数のグループの集合体である上位グループを単位
としてアクセス権を付与し、情報資源の識別情報とアク
セス権を付与された上位グループの識別情報とを対応付
けたアクセスリストを用いて、ユーザ毎のアクセス権を
評価することも行われている。
よく管理し、同一のアクセス権を有する複数のユーザを
まとめて管理する必要があるため、特開昭64−708
60号公報に記載されるように、複数のユーザの集合体
であるグループを単位としてアクセス権を付与し、情報
資源の識別情報とアクセス権を付与されたグループの識
別情報とを対応付けたアクセスリストを用いて、ユーザ
毎のアクセス権を評価することが行われている。更に
は、特開平6−214863号公報に記載されるよう
に、複数のグループの集合体である上位グループを単位
としてアクセス権を付与し、情報資源の識別情報とアク
セス権を付与された上位グループの識別情報とを対応付
けたアクセスリストを用いて、ユーザ毎のアクセス権を
評価することも行われている。
【0004】図8には、上記のようなアクセスリストを
用いた従来のアクセス権評価装置の一例を示してある。
このアクセス権評価装置は、クライアントとなる情報資
源取り出し装置や情報資源検索装置等から情報資源への
アクセス要求を受信する外部通信管理部1と、情報資源
を識別子等の識別情報を用いて管理する資源管理部2
と、情報資源に対してアクセス権を付与されたユーザ或
いはグループをアクセスリスト化して管理するアクセス
リスト管理部3と、ユーザの名称とユーザ識別子とを対
応付けて管理するユーザ情報管理部4と、各グループの
識別子と各グループに含まれるメンバの識別情報とを対
応付けて管理するグループ情報管理部5と、アクスセス
を希望するユーザがアクセス権を有するかをアクセスリ
ストに基づいて評価するアクセスリスト評価部6と、を
備えている。
用いた従来のアクセス権評価装置の一例を示してある。
このアクセス権評価装置は、クライアントとなる情報資
源取り出し装置や情報資源検索装置等から情報資源への
アクセス要求を受信する外部通信管理部1と、情報資源
を識別子等の識別情報を用いて管理する資源管理部2
と、情報資源に対してアクセス権を付与されたユーザ或
いはグループをアクセスリスト化して管理するアクセス
リスト管理部3と、ユーザの名称とユーザ識別子とを対
応付けて管理するユーザ情報管理部4と、各グループの
識別子と各グループに含まれるメンバの識別情報とを対
応付けて管理するグループ情報管理部5と、アクスセス
を希望するユーザがアクセス権を有するかをアクセスリ
ストに基づいて評価するアクセスリスト評価部6と、を
備えている。
【0005】アクセス権は、ユーザ単位、複数のユーザ
の集合であるグループ単位、及び、複数のグループの集
合であるグループ(上位グループ)単位で付与されてい
る。したがって、グループ情報管理部5が管理するグル
ープには、ユーザ識別子、グループ識別子が含まれてお
り、アクセスリスト管理部3が管理するアクセスリスト
には、アクセス権を付与されたユーザ及びグループの識
別子が情報資源の識別子と対応付けて記述されている。
の集合であるグループ単位、及び、複数のグループの集
合であるグループ(上位グループ)単位で付与されてい
る。したがって、グループ情報管理部5が管理するグル
ープには、ユーザ識別子、グループ識別子が含まれてお
り、アクセスリスト管理部3が管理するアクセスリスト
には、アクセス権を付与されたユーザ及びグループの識
別子が情報資源の識別子と対応付けて記述されている。
【0006】このようなアクセス権評価装置では、アク
セス対象の文書の名称及びアクセスを行うユーザの名称
を含むアクセス要求が外部通信管理部1から入力される
と、資源管理部2が当該文書の識別子を特定し、この文
書識別子に基づいてアクセスリスト管理部3が当該文書
にアクセス権を付与されたユーザ及びグループの識別子
を特定する。そして、特定されたユーザ及びグループの
識別子に基づいてアクセスを要求したユーザがアクセス
権を有するか否かがアクセスリスト評価部6で判断さ
れ、この評価結果が要求元の外部のクライアント等に外
部通信管理部1から送信される。
セス対象の文書の名称及びアクセスを行うユーザの名称
を含むアクセス要求が外部通信管理部1から入力される
と、資源管理部2が当該文書の識別子を特定し、この文
書識別子に基づいてアクセスリスト管理部3が当該文書
にアクセス権を付与されたユーザ及びグループの識別子
を特定する。そして、特定されたユーザ及びグループの
識別子に基づいてアクセスを要求したユーザがアクセス
権を有するか否かがアクセスリスト評価部6で判断さ
れ、この評価結果が要求元の外部のクライアント等に外
部通信管理部1から送信される。
【0007】上記アクセスリスト評価部6での評価処理
では、アクセス権を有するユーザがユーザ識別子で特定
されている場合には、ユーザ情報管理手段4が保持する
ユーザ情報に基づいて、当該ユーザ識別子に対応するユ
ーザ名称がアクセス要求に含まれているユーザ名称に一
致するかが判断され、一致するときにはアクセス権を有
するものと評価する。また、アクセスリスト評価部6で
の評価処理で、アクセス権を有するユーザがグループ識
別子で特定されている場合には、ユーザ情報管理手段4
が保持するユーザ情報及びグループ情報管理手段5が保
持するグループ情報に基づいて、当該グループ識別子に
対応するグループに含まれているユーザの名称がアクセ
ス要求に含まれているユーザ名称に一致するかが判断さ
れ、一致するときにはアクセス権を有するものと評価す
る。そして、この場合において、アクセス権を有するユ
ーザがグループの集合体である上位グループの識別子で
特定されている場合には、上位グループに含まれる各グ
ループを再帰的辿って上記の処理を繰り返し行う。
では、アクセス権を有するユーザがユーザ識別子で特定
されている場合には、ユーザ情報管理手段4が保持する
ユーザ情報に基づいて、当該ユーザ識別子に対応するユ
ーザ名称がアクセス要求に含まれているユーザ名称に一
致するかが判断され、一致するときにはアクセス権を有
するものと評価する。また、アクセスリスト評価部6で
の評価処理で、アクセス権を有するユーザがグループ識
別子で特定されている場合には、ユーザ情報管理手段4
が保持するユーザ情報及びグループ情報管理手段5が保
持するグループ情報に基づいて、当該グループ識別子に
対応するグループに含まれているユーザの名称がアクセ
ス要求に含まれているユーザ名称に一致するかが判断さ
れ、一致するときにはアクセス権を有するものと評価す
る。そして、この場合において、アクセス権を有するユ
ーザがグループの集合体である上位グループの識別子で
特定されている場合には、上位グループに含まれる各グ
ループを再帰的辿って上記の処理を繰り返し行う。
【0008】
【発明が解決しようとする課題】複数のユーザが同時に
情報資源にアクセスする場合に、これらユーザの数と同
数のアクセス評価処理を実行しなければならない。ユー
ザー識別子に基づいてグループを検査し、更には、この
処理を上位グループに含まれる各グループを再帰的辿っ
て繰り返し行うこととなるため、グループ情報の取得回
数が多くなってアクセス権の評価処理が遅延化するとい
う問題がある。特に文書データベースの例では、一回の
検索処理において対象となる情報資源(文書)の数は大
量であり、最大文書数と同数のアクセス権の評価処理を
必要とする。アクセス権評価処理の遅延は重大な問題と
なる。
情報資源にアクセスする場合に、これらユーザの数と同
数のアクセス評価処理を実行しなければならない。ユー
ザー識別子に基づいてグループを検査し、更には、この
処理を上位グループに含まれる各グループを再帰的辿っ
て繰り返し行うこととなるため、グループ情報の取得回
数が多くなってアクセス権の評価処理が遅延化するとい
う問題がある。特に文書データベースの例では、一回の
検索処理において対象となる情報資源(文書)の数は大
量であり、最大文書数と同数のアクセス権の評価処理を
必要とする。アクセス権評価処理の遅延は重大な問題と
なる。
【0009】この対策として、例えば、グループ情報か
らユーザ識別子を見出しとしたインバーテッドファイル
に予め作成しておいたり、グループ情報管理部5でグル
ープ情報をキャッシングするようにして、グループ情報
管理部5へのアクセス回数を少なくすることでアクセス
権評価処理を迅速化することが考えられる。しかしなが
ら、前者の対策では、ユーザ数を同数のエントリから成
る膨大なインバーテッドファイルを作成することとなる
ため、インバーテッドファイルの作成処理に多くの時間
が費やされるばかりか、当該インバーテッドファイルを
格納しておくメモリが必要となって装置のコスト増大を
招くという新たな問題が生ずる。また、後者の対策で
は、特に多数のユーザがアクセスする場合には、キャッ
シングされたグループ情報が必ずしもヒットする訳でも
なく、ヒットしない場合には、依然、グループ情報の取
得を多くの回数繰り返してアクセス権評価処理を行わな
ければならないものであった。
らユーザ識別子を見出しとしたインバーテッドファイル
に予め作成しておいたり、グループ情報管理部5でグル
ープ情報をキャッシングするようにして、グループ情報
管理部5へのアクセス回数を少なくすることでアクセス
権評価処理を迅速化することが考えられる。しかしなが
ら、前者の対策では、ユーザ数を同数のエントリから成
る膨大なインバーテッドファイルを作成することとなる
ため、インバーテッドファイルの作成処理に多くの時間
が費やされるばかりか、当該インバーテッドファイルを
格納しておくメモリが必要となって装置のコスト増大を
招くという新たな問題が生ずる。また、後者の対策で
は、特に多数のユーザがアクセスする場合には、キャッ
シングされたグループ情報が必ずしもヒットする訳でも
なく、ヒットしない場合には、依然、グループ情報の取
得を多くの回数繰り返してアクセス権評価処理を行わな
ければならないものであった。
【0010】本発明は上記従来の事情に鑑みなされたも
ので、複数のユーザをグループ化してアクセス権を管理
する情報資源管理システムにおいて、グループ情報の取
得回数を減少化させて、迅速なるアクセス権評価処理を
実現するアクセス権評価装置を提供することを目的とす
る。また、本発明は、アクセス権を評価する際に用いる
情報をコンパクト化して、当該情報を格納するに必要な
メモリ容量を極力減少させたアクセス権評価装置を提供
することを目的とする。また、本発明は、アクセス権を
評価する際に用いる情報を、必要とされるユーザについ
て必要な時点で用意するようにして、アクセス権評価の
前処理に要する負荷を減少させたアクセス権評価装置を
提供することを目的とする。
ので、複数のユーザをグループ化してアクセス権を管理
する情報資源管理システムにおいて、グループ情報の取
得回数を減少化させて、迅速なるアクセス権評価処理を
実現するアクセス権評価装置を提供することを目的とす
る。また、本発明は、アクセス権を評価する際に用いる
情報をコンパクト化して、当該情報を格納するに必要な
メモリ容量を極力減少させたアクセス権評価装置を提供
することを目的とする。また、本発明は、アクセス権を
評価する際に用いる情報を、必要とされるユーザについ
て必要な時点で用意するようにして、アクセス権評価の
前処理に要する負荷を減少させたアクセス権評価装置を
提供することを目的とする。
【0011】
【課題を解決するための手段】本発明では、アクセス要
求が入力された場合、或いは、アクセス要求が入力され
且つ必要がある場合に、評価対象のユーザ識別子をキー
とした所属グループ情報をグループ情報に基づいて生成
し、この所属グループ情報及びアクセスリストを参照し
て、当該ユーザ識別情報に対するアクセス対象へのアク
セス権を評価する。すなわち、グループ情報のインバー
テッドファイルとなる所属グループ情報を、評価対象の
ユーザについて必要がある時点で作成し、グループ情報
の取得回数を減少化させるとともにアクセス権を評価す
る際に用いる情報をコンパクト化し、アクセス権評価の
前処理である所属グループ情報の作成負荷を減少さる。
求が入力された場合、或いは、アクセス要求が入力され
且つ必要がある場合に、評価対象のユーザ識別子をキー
とした所属グループ情報をグループ情報に基づいて生成
し、この所属グループ情報及びアクセスリストを参照し
て、当該ユーザ識別情報に対するアクセス対象へのアク
セス権を評価する。すなわち、グループ情報のインバー
テッドファイルとなる所属グループ情報を、評価対象の
ユーザについて必要がある時点で作成し、グループ情報
の取得回数を減少化させるとともにアクセス権を評価す
る際に用いる情報をコンパクト化し、アクセス権評価の
前処理である所属グループ情報の作成負荷を減少さる。
【0012】このため、本発明のアクセス権評価装置で
は、グループ情報管理手段によって複数のユーザの集合
体であるグループを識別するグループ識別情報と複数の
グループの集合体である上位グループを識別するグルー
プ識別情報とを対応付けて管理しており、入力手段から
ユーザを識別するユーザ識別情報とアクセス対象を識別
する対象識別情報とを含むアクセス要求が入力される
と、グループ情報管理手段が保持するグループ情報に基
づいて、所属グループ情報生成手段がアクセス要求に含
まれたユーザ識別情報に該当するユーザを含む全てのグ
ループの識別情報の集合を当該ユーザ識別情報をキーと
して参照できるように生成する。そして、アクセスリス
ト管理手段がアクセス対象にアクセス権を有するユーザ
についてのユーザ識別情報或いはグループ識別情報と当
該アクセス対象の対象識別情報とを対応付けたアクセス
リストを保持しており、所属グループ情報及びアクセス
リストを参照して、アクセス要求に含まれたユーザ識別
情報に対するアクセス対象へのアクセス権をアクセス権
評価手段が評価する。
は、グループ情報管理手段によって複数のユーザの集合
体であるグループを識別するグループ識別情報と複数の
グループの集合体である上位グループを識別するグルー
プ識別情報とを対応付けて管理しており、入力手段から
ユーザを識別するユーザ識別情報とアクセス対象を識別
する対象識別情報とを含むアクセス要求が入力される
と、グループ情報管理手段が保持するグループ情報に基
づいて、所属グループ情報生成手段がアクセス要求に含
まれたユーザ識別情報に該当するユーザを含む全てのグ
ループの識別情報の集合を当該ユーザ識別情報をキーと
して参照できるように生成する。そして、アクセスリス
ト管理手段がアクセス対象にアクセス権を有するユーザ
についてのユーザ識別情報或いはグループ識別情報と当
該アクセス対象の対象識別情報とを対応付けたアクセス
リストを保持しており、所属グループ情報及びアクセス
リストを参照して、アクセス要求に含まれたユーザ識別
情報に対するアクセス対象へのアクセス権をアクセス権
評価手段が評価する。
【0013】また、本発明のアクセス権評価装置では、
評価対象のユーザ識別子に関するグループ情報の変更及
び所属グループ情報の作成の有無をステータス管理手段
が管理し、ステータス管理手段が保持するステータス情
報を参照して、グループ情報の変更があった場合或いは
所属グループ情報が未作成である場合には、生成手段が
所属グループ情報生成手段を起動させて所属グループ情
報を新たに生成させる。すなわち、所属グループ情報は
必要があると認められたときに作成される。
評価対象のユーザ識別子に関するグループ情報の変更及
び所属グループ情報の作成の有無をステータス管理手段
が管理し、ステータス管理手段が保持するステータス情
報を参照して、グループ情報の変更があった場合或いは
所属グループ情報が未作成である場合には、生成手段が
所属グループ情報生成手段を起動させて所属グループ情
報を新たに生成させる。すなわち、所属グループ情報は
必要があると認められたときに作成される。
【0014】
【発明の実施の形態】本発明の一実施例に係るアクセス
権評価装置を図面を参照して説明する。本実施例のアク
セス権評価装置はハードウエアとしてCPUやメモリ等
を備え、ソフトウエアとして所定の処理プログラムをイ
ンストールしたコンピュータにより実現されている。そ
して、図2に示すように、アクセス権評価装置を構成す
るコンピュータC及びクライアントを構成するコンピュ
ータCがネットワークを介して接続され、クライアント
からネットワークNを介して送信されたアクセス要求に
基づいて、アクセス権評価装置がアクセス権の有無を評
価する。
権評価装置を図面を参照して説明する。本実施例のアク
セス権評価装置はハードウエアとしてCPUやメモリ等
を備え、ソフトウエアとして所定の処理プログラムをイ
ンストールしたコンピュータにより実現されている。そ
して、図2に示すように、アクセス権評価装置を構成す
るコンピュータC及びクライアントを構成するコンピュ
ータCがネットワークを介して接続され、クライアント
からネットワークNを介して送信されたアクセス要求に
基づいて、アクセス権評価装置がアクセス権の有無を評
価する。
【0015】図1に示すように、本実施例のアクセス権
評価装置は、外部通信管理手段11、資源管理手段1
2、アクセスリスト管理手段13、ユーザ情報管理手段
14、グループ情報管理手段15、アクセス権評価手段
16、ステータス管理手段17、所属グループ情報生成
手段18、生成指示手段19を備えている。外部通信管
理手段11は、外部のクライアントから情報資源(本実
施例では、文書データベース)へのアクセス要求を受信
し、また、クライアントへアクセス権の評価結果を送信
する応答する実行プログラムから構成されている。
評価装置は、外部通信管理手段11、資源管理手段1
2、アクセスリスト管理手段13、ユーザ情報管理手段
14、グループ情報管理手段15、アクセス権評価手段
16、ステータス管理手段17、所属グループ情報生成
手段18、生成指示手段19を備えている。外部通信管
理手段11は、外部のクライアントから情報資源(本実
施例では、文書データベース)へのアクセス要求を受信
し、また、クライアントへアクセス権の評価結果を送信
する応答する実行プログラムから構成されている。
【0016】資源管理手段12は、アクセス権を設定し
た文書データベースを記憶・管理しており、文書データ
ベースに収録されている各文書を管理するために、各文
書の文書識別子(対象識別子)を文書情報テーブル12
aとして有している。したがって、資源管理手段12に
よると、文書名や文書の通番号等の文書識別子を利用し
て、文書データベース内の各文書を特定することができ
る。
た文書データベースを記憶・管理しており、文書データ
ベースに収録されている各文書を管理するために、各文
書の文書識別子(対象識別子)を文書情報テーブル12
aとして有している。したがって、資源管理手段12に
よると、文書名や文書の通番号等の文書識別子を利用し
て、文書データベース内の各文書を特定することができ
る。
【0017】アクセスリスト管理手段13はアクセス対
象の文書データベースに対応したアクセスリスト13a
を有しており、アクセスリスト13aにはアクセス対象
の文書に対してアクセス権を有するユーザ或いはグルー
プの識別子がアクセス権の種別毎に記述されている。す
なわち、アクセスリスト13aには、図3の(a)に示
すように、読み出し権、書き込み権、削除権、アクセス
リスト変更権等といったアクセス種別毎に、文書識別子
(文書ID)に対応させてユーザ識別子(ユーザID)
或いはグループ識別子(グループID)が記述されてお
り、このアクセスリスト13aは文書識別子とアクセス
種別をキーにして検索が可能となっている。
象の文書データベースに対応したアクセスリスト13a
を有しており、アクセスリスト13aにはアクセス対象
の文書に対してアクセス権を有するユーザ或いはグルー
プの識別子がアクセス権の種別毎に記述されている。す
なわち、アクセスリスト13aには、図3の(a)に示
すように、読み出し権、書き込み権、削除権、アクセス
リスト変更権等といったアクセス種別毎に、文書識別子
(文書ID)に対応させてユーザ識別子(ユーザID)
或いはグループ識別子(グループID)が記述されてお
り、このアクセスリスト13aは文書識別子とアクセス
種別をキーにして検索が可能となっている。
【0018】なお、上記の読み出し権とは或る文書をデ
ータベースから読み出すことのできる権限であり、書き
込み権とはデータベースに収録されている或る文書につ
いて書き込みを行うことのできる権限であり、削除権と
はデータベースに収録されている或る文書を削除するこ
とのできる権限であり、アクセスリスト変更権とは同一
文書に対するアクセス権の変更を行うことができる権限
である。また、上記のグループには複数のグループの集
合体である上位グループも含まれており、上位グループ
の識別子もグループ識別子として記述されている。
ータベースから読み出すことのできる権限であり、書き
込み権とはデータベースに収録されている或る文書につ
いて書き込みを行うことのできる権限であり、削除権と
はデータベースに収録されている或る文書を削除するこ
とのできる権限であり、アクセスリスト変更権とは同一
文書に対するアクセス権の変更を行うことができる権限
である。また、上記のグループには複数のグループの集
合体である上位グループも含まれており、上位グループ
の識別子もグループ識別子として記述されている。
【0019】ユーザ情報管理手段14は、アクセス権管
理の対象となっている全てのユーザの情報を記憶・管理
しており、全ユーザの名称とそのユーザ識別子とを対応
付けたユーザ情報14aを有している。グループ情報管
理手段15は、複数のユーザの集合体である全てのグル
ープ、及び、複数のグループの集合体である全てのグル
ープに関する情報を記憶・管理しており、全グループの
識別子と各グループに含まれるメンバ(ユーザ或いはグ
ループ)の識別子とを対応付けたグループ情報15aを
有している。
理の対象となっている全てのユーザの情報を記憶・管理
しており、全ユーザの名称とそのユーザ識別子とを対応
付けたユーザ情報14aを有している。グループ情報管
理手段15は、複数のユーザの集合体である全てのグル
ープ、及び、複数のグループの集合体である全てのグル
ープに関する情報を記憶・管理しており、全グループの
識別子と各グループに含まれるメンバ(ユーザ或いはグ
ループ)の識別子とを対応付けたグループ情報15aを
有している。
【0020】すなわち、グループ情報15aには、図3
の(b)に示すように、A、B、・・・・といったグル
ープ識別子(グループID)に対応させて、各グループ
に含まれるユーザ識別子(”0001”、”0004”
等)或いはグループ識別子(F、M、R等)が記述され
ており、このグループ情報15aはグループ識別子をキ
ーにして検索が可能となっている。なお、グループ情報
管理手段15は、グループを構成しているメンバの変更
も管理しており、このような変更を更新ステータスとし
て記憶管理している。
の(b)に示すように、A、B、・・・・といったグル
ープ識別子(グループID)に対応させて、各グループ
に含まれるユーザ識別子(”0001”、”0004”
等)或いはグループ識別子(F、M、R等)が記述され
ており、このグループ情報15aはグループ識別子をキ
ーにして検索が可能となっている。なお、グループ情報
管理手段15は、グループを構成しているメンバの変更
も管理しており、このような変更を更新ステータスとし
て記憶管理している。
【0021】アクセス権評価手段16は、アクセス要求
によって指定されたユーザが同じく指定された文書に対
してアクセス権があるか否かを評価判定するものであ
り、この評価処理をアクセスリスト15a及び後述する
所属グループ情報を参照して行う。ステータス管理手段
17は、グループ情報管理手段15の更新ステータスを
参照するとともに、後述する所属グループ情報が作成さ
れているユーザ識別子を記憶管理しており、これらの情
報に基づいて、所属グループ情報生成手段18によって
所属グループ情報を作成する必要があるか否かを判断す
る。
によって指定されたユーザが同じく指定された文書に対
してアクセス権があるか否かを評価判定するものであ
り、この評価処理をアクセスリスト15a及び後述する
所属グループ情報を参照して行う。ステータス管理手段
17は、グループ情報管理手段15の更新ステータスを
参照するとともに、後述する所属グループ情報が作成さ
れているユーザ識別子を記憶管理しており、これらの情
報に基づいて、所属グループ情報生成手段18によって
所属グループ情報を作成する必要があるか否かを判断す
る。
【0022】所属グループ情報生成手段18は、グルー
プ情報管理手段15からグループ情報15aを取得し
て、所属グループ情報を生成するものであり、この所属
グループ情報には評価対象のユーザが所属する全てのグ
ループ識別子がまとめて記述されている。例えば、ユー
ザ識別子が”0001”のユーザが識別子”A”、”
B”、”C”、”H”のグループにそれぞれ所属してい
る場合には、図3の(c)に示すように、ユーザ識別
子”0001”をキーとしてこれら全てのグループ識別
子”A”、”B”、”C”、”H”の集合が記述された
所属グループ情報が生成される。
プ情報管理手段15からグループ情報15aを取得し
て、所属グループ情報を生成するものであり、この所属
グループ情報には評価対象のユーザが所属する全てのグ
ループ識別子がまとめて記述されている。例えば、ユー
ザ識別子が”0001”のユーザが識別子”A”、”
B”、”C”、”H”のグループにそれぞれ所属してい
る場合には、図3の(c)に示すように、ユーザ識別
子”0001”をキーとしてこれら全てのグループ識別
子”A”、”B”、”C”、”H”の集合が記述された
所属グループ情報が生成される。
【0023】生成指示手段19は、ステータス管理手段
17による判断結果に基づいて所属グループ情報生成手
段18へ起動指示を与える。すなわち、ステータス管理
手段17が評価対象のユーザについて所属グループ情報
が未だ作成されていないと判断した場合、或いは、所属
グループ情報は作成されているがグループを構成してい
るメンバの変更がなされたと判断した場合に、生成指示
手段19がグループ情報生成手段18を起動させて、評
価対象のユーザについて所属グループ情報を作成させ
る。すなわち、所属グループ情報は、従来のインバーテ
ッドファイルのように全てのユーザについて予め作成し
ておくのではなく、必要と認められる場合に必要なユー
ザについて作成される。
17による判断結果に基づいて所属グループ情報生成手
段18へ起動指示を与える。すなわち、ステータス管理
手段17が評価対象のユーザについて所属グループ情報
が未だ作成されていないと判断した場合、或いは、所属
グループ情報は作成されているがグループを構成してい
るメンバの変更がなされたと判断した場合に、生成指示
手段19がグループ情報生成手段18を起動させて、評
価対象のユーザについて所属グループ情報を作成させ
る。すなわち、所属グループ情報は、従来のインバーテ
ッドファイルのように全てのユーザについて予め作成し
ておくのではなく、必要と認められる場合に必要なユー
ザについて作成される。
【0024】次に、上記構成のアクセス権評価装置によ
るアクセス権評価処理の手順を説明する。ここに、アク
セス権を評価することは、特定のユーザが或る文書(情
報資源)に対して或る種の権限を有するかを調べること
であり、アクセス権評価装置の外部通信管理手段11に
は、誰が(ユーザ名称)、どの文書(文書名称)、どん
な権限(アクセス種別)、という情報を含んだアクセス
要求が入力される。アクセス権評価処理は、アクセス権
を評価する対象ユーザについて所属グループ情報を用意
する前処理(図4及び図5)と、この所属グループ情報
を利用してアクセスリスト13aを評価する処理(図
6)とから構成されている。
るアクセス権評価処理の手順を説明する。ここに、アク
セス権を評価することは、特定のユーザが或る文書(情
報資源)に対して或る種の権限を有するかを調べること
であり、アクセス権評価装置の外部通信管理手段11に
は、誰が(ユーザ名称)、どの文書(文書名称)、どん
な権限(アクセス種別)、という情報を含んだアクセス
要求が入力される。アクセス権評価処理は、アクセス権
を評価する対象ユーザについて所属グループ情報を用意
する前処理(図4及び図5)と、この所属グループ情報
を利用してアクセスリスト13aを評価する処理(図
6)とから構成されている。
【0025】図4に示すように、所属グループ情報を用
意する前処理では、まず、アクセスリストを評価するユ
ーザを特定するために、ユーザ情報管理手段14がユー
ザ情報14aに基づいて、アクセス要求から対応するユ
ーザ識別子を取得し(ステップS1)、このユーザ識別
子に基づいてステータス管理手段17が所属グループ情
報を作成する必要があるか否かを判断する(ステップS
2)。この結果、当該ユーザ識別子について所属グルー
プ情報が未だ作成されていない場合、或いは、所属グル
ープ情報は作成されているがグループを構成しているメ
ンバの変更がなされた場合のいずれかに該当して、作成
する必要があると判断されたときには、生成指示手段1
9が所属グループ情報生成手段18を起動して当該ユー
ザ識別子についての所属グループ情報を作成させる(ス
テップS3)。そして、ステータス管理手段17に当該
ユーザ識別子を登録して、当該ユーザ識別子についての
所属グループ情報が作成されている旨を記録して(ステ
ップS4)、処理を終了する。
意する前処理では、まず、アクセスリストを評価するユ
ーザを特定するために、ユーザ情報管理手段14がユー
ザ情報14aに基づいて、アクセス要求から対応するユ
ーザ識別子を取得し(ステップS1)、このユーザ識別
子に基づいてステータス管理手段17が所属グループ情
報を作成する必要があるか否かを判断する(ステップS
2)。この結果、当該ユーザ識別子について所属グルー
プ情報が未だ作成されていない場合、或いは、所属グル
ープ情報は作成されているがグループを構成しているメ
ンバの変更がなされた場合のいずれかに該当して、作成
する必要があると判断されたときには、生成指示手段1
9が所属グループ情報生成手段18を起動して当該ユー
ザ識別子についての所属グループ情報を作成させる(ス
テップS3)。そして、ステータス管理手段17に当該
ユーザ識別子を登録して、当該ユーザ識別子についての
所属グループ情報が作成されている旨を記録して(ステ
ップS4)、処理を終了する。
【0026】上記の所属グループ情報を作成する処理
(ステップS3)は、所属グループ情報生成手段18及
びグループ情報管理手段15によって図5に示す手順に
従って行われる。まず、グループ情報管理手段15がア
クセス要求に対応するユーザ識別子を用いてグループ情
報15aを検索し、当該ユーザ識別子を直接のメンバと
するグループ識別子を抽出する(ステップS11)。す
なわち、図3の(b)に示す例においては、例えばユー
ザ識別子”0001”を直接のメンバとするグループ識
別子として”A”、”B”、・・・が抽出される。次い
で、グループ情報管理手段15が、これら抽出されたグ
ループ識別子を用いてグループ情報15aを検索し、当
該グループ識別子を直接のメンバとする上位のグループ
識別子を抽出する(ステップS13)。すなわち、図3
の(b)に示す例においては、例えばグループ識別子”
A”を直接のメンバとするグループ識別子として”H”
・・・が抽出される。
(ステップS3)は、所属グループ情報生成手段18及
びグループ情報管理手段15によって図5に示す手順に
従って行われる。まず、グループ情報管理手段15がア
クセス要求に対応するユーザ識別子を用いてグループ情
報15aを検索し、当該ユーザ識別子を直接のメンバと
するグループ識別子を抽出する(ステップS11)。す
なわち、図3の(b)に示す例においては、例えばユー
ザ識別子”0001”を直接のメンバとするグループ識
別子として”A”、”B”、・・・が抽出される。次い
で、グループ情報管理手段15が、これら抽出されたグ
ループ識別子を用いてグループ情報15aを検索し、当
該グループ識別子を直接のメンバとする上位のグループ
識別子を抽出する(ステップS13)。すなわち、図3
の(b)に示す例においては、例えばグループ識別子”
A”を直接のメンバとするグループ識別子として”H”
・・・が抽出される。
【0027】上記の検索処理(ステップS13)は、抽
出された全てのグループ識別子について順次繰り返し行
われ(ステップS12)、この繰り返し処理によって得
られたグループ識別子は所属グループ情報生成手段18
によって順次論理和されて集合化される(ステップS1
4)。アクセス要求に対応するユーザ識別子に基づいて
上記の処理が行われた結果、当該ユーザ識別子を含む全
てのグループの識別子が集合として得られ、所属グルー
プ情報生成手段18によって、当該ユーザ識別子を当該
グループの識別子の集合に対応付けた所属グループ情報
が作成される。すなわち、図3の(c)に示す例におい
ては、例えばユーザ識別子”0001”を含む全てのグ
ループの識別子の集合”A”、”B”、”C”、”H”
が所属グループ情報として得られる。
出された全てのグループ識別子について順次繰り返し行
われ(ステップS12)、この繰り返し処理によって得
られたグループ識別子は所属グループ情報生成手段18
によって順次論理和されて集合化される(ステップS1
4)。アクセス要求に対応するユーザ識別子に基づいて
上記の処理が行われた結果、当該ユーザ識別子を含む全
てのグループの識別子が集合として得られ、所属グルー
プ情報生成手段18によって、当該ユーザ識別子を当該
グループの識別子の集合に対応付けた所属グループ情報
が作成される。すなわち、図3の(c)に示す例におい
ては、例えばユーザ識別子”0001”を含む全てのグ
ループの識別子の集合”A”、”B”、”C”、”H”
が所属グループ情報として得られる。
【0028】次に、上記の所属グループ情報を利用して
アクセスリスト13aを評価する処理では、図6に示す
ように、アクセス権評価手段16が、アクセス要求に基
づいたユーザ識別子、文書識別子、アクセス種別を所得
するとともに(ステップS21)、上記の所属グループ
情報を所属グループ情報生成手段18から取得する(ス
テップS22)。なお、ユーザ識別子はアクセス要求に
基づいてユーザ情報管理手段14から得られ、文書識別
子はアクセス要求に基づいて資源管理手段12から得ら
れ、アクセス種別はアクセス要求から直接得られる。
アクセスリスト13aを評価する処理では、図6に示す
ように、アクセス権評価手段16が、アクセス要求に基
づいたユーザ識別子、文書識別子、アクセス種別を所得
するとともに(ステップS21)、上記の所属グループ
情報を所属グループ情報生成手段18から取得する(ス
テップS22)。なお、ユーザ識別子はアクセス要求に
基づいてユーザ情報管理手段14から得られ、文書識別
子はアクセス要求に基づいて資源管理手段12から得ら
れ、アクセス種別はアクセス要求から直接得られる。
【0029】次いで、アクセス権評価手段16が、アク
セスリスト管理手段13からアクセス種別に対応するア
クセスリスト13aを取得して、当該アクセスリスト1
3aの対応する文書識別子のエントリに対応するユーザ
識別子が直接記述されているかを判断する(ステップS
23)。この判断の結果、直接記述されている場合に
は、アクセス権評価手段16は当該ユーザ識別子につい
てアクセス権があるものと評価する(ステップS2
4)。一方、この判断の結果、直接記述されていない場
合には、ユーザ識別子が所属グループ識別子を所属グル
ープ情報から抽出し、当該グループ識別子が上記のアク
セスリスト13aの対応する文書識別子のエントリに記
述されているかを判断する(ステップS25)。この判
断の結果、記述されている場合には、アクセス権評価手
段16は当該グループ識別子に包含されるユーザ識別子
ついてアクセス権があるものと評価する(ステップS2
4)。
セスリスト管理手段13からアクセス種別に対応するア
クセスリスト13aを取得して、当該アクセスリスト1
3aの対応する文書識別子のエントリに対応するユーザ
識別子が直接記述されているかを判断する(ステップS
23)。この判断の結果、直接記述されている場合に
は、アクセス権評価手段16は当該ユーザ識別子につい
てアクセス権があるものと評価する(ステップS2
4)。一方、この判断の結果、直接記述されていない場
合には、ユーザ識別子が所属グループ識別子を所属グル
ープ情報から抽出し、当該グループ識別子が上記のアク
セスリスト13aの対応する文書識別子のエントリに記
述されているかを判断する(ステップS25)。この判
断の結果、記述されている場合には、アクセス権評価手
段16は当該グループ識別子に包含されるユーザ識別子
ついてアクセス権があるものと評価する(ステップS2
4)。
【0030】この処理(ステップS25)を所属グルー
プ情報に記述されている全てのグループ識別子について
行い(ステップS26)、何れのグループ識別子もアク
セスリスト13aの対応する文書識別子のエントリに記
述されていないときには、当該文書識別子で示される文
書について、当該ユーザ識別子で示されるユーザはアク
セス権がないものと評価する(ステップS27)。例え
ば、図3の(C)に示す例で、ユーザ識別子”000
1”がアクセスリスト13aに直接記述されている場合
にはそのままアクセス権があるものと評価され、直接記
述されていない場合にあっても、所属グループリストの
グループ識別子”A”、”B”、”C”、”H”の何れ
かがアクセスリスト13aに記述されているときにはア
クセス権があるものと評価され、これら何れでもない場
合にアクセス権がないものと評価される。
プ情報に記述されている全てのグループ識別子について
行い(ステップS26)、何れのグループ識別子もアク
セスリスト13aの対応する文書識別子のエントリに記
述されていないときには、当該文書識別子で示される文
書について、当該ユーザ識別子で示されるユーザはアク
セス権がないものと評価する(ステップS27)。例え
ば、図3の(C)に示す例で、ユーザ識別子”000
1”がアクセスリスト13aに直接記述されている場合
にはそのままアクセス権があるものと評価され、直接記
述されていない場合にあっても、所属グループリストの
グループ識別子”A”、”B”、”C”、”H”の何れ
かがアクセスリスト13aに記述されているときにはア
クセス権があるものと評価され、これら何れでもない場
合にアクセス権がないものと評価される。
【0031】そして、上記のアクセス権の有無に関する
評価結果は、外部通信管理手段11からアクセス要求元
のクライアントに送信され、アクセス要求の適否処理が
なされる。なお、上記の処理手順から明らかなように、
所属グループ情報を準備する前処理(図4及び図5)は
少なくともグループ識別子に基づいたアクセスリスト1
3aの検索処理(ステップS25)の以前に行われてい
ればよいため、前処理を行うタイミングはこの条件を満
たす範囲で任意に設定することができる。また、ユーザ
識別子に基づいたアクセスリスト13aの検索処理(ス
テップS23)の直後に前処理を行うように設定すれ
ば、ユーザ識別子に基づいた検索処理(ステップS2
3)でアクセス権があるものと評価できるときには当該
前処理を行わなくて済むため、処理負担を更に軽減する
ことができる。
評価結果は、外部通信管理手段11からアクセス要求元
のクライアントに送信され、アクセス要求の適否処理が
なされる。なお、上記の処理手順から明らかなように、
所属グループ情報を準備する前処理(図4及び図5)は
少なくともグループ識別子に基づいたアクセスリスト1
3aの検索処理(ステップS25)の以前に行われてい
ればよいため、前処理を行うタイミングはこの条件を満
たす範囲で任意に設定することができる。また、ユーザ
識別子に基づいたアクセスリスト13aの検索処理(ス
テップS23)の直後に前処理を行うように設定すれ
ば、ユーザ識別子に基づいた検索処理(ステップS2
3)でアクセス権があるものと評価できるときには当該
前処理を行わなくて済むため、処理負担を更に軽減する
ことができる。
【0032】ここで、複数のアクセスリスト評価手段を
備えて、複数のアクセス要求を並行して評価する構成と
した場合に、或るアクセス権評価手段による評価結果に
基づいてグループ情報の変更がなされ、これに基づい
て、所属グループ情報生成手段18が所属グループ情報
を更新処理している最中には他のアクセスリスト評価手
段から所属グループ情報を参照できないようにする必要
がある。図7には、このような所属グループ情報の参照
制限をトランザクション処理によって行う実施例が示し
てある。
備えて、複数のアクセス要求を並行して評価する構成と
した場合に、或るアクセス権評価手段による評価結果に
基づいてグループ情報の変更がなされ、これに基づい
て、所属グループ情報生成手段18が所属グループ情報
を更新処理している最中には他のアクセスリスト評価手
段から所属グループ情報を参照できないようにする必要
がある。図7には、このような所属グループ情報の参照
制限をトランザクション処理によって行う実施例が示し
てある。
【0033】この実施例では、所属グループ情報につい
てのリードトランザクションを開始した後(ステップS
31)、上記(ステップS2)と同様にしてステータス
管理手段17が所属グループ情報を作成(更新)する必
要があるか否かを判断し(ステップS32)、所属グル
ープ情報を更新する必要がないときには、そのまま上記
(図6)と同様にしてアクセスリストによる評価処理を
行い(ステップS33)、リードトランザクションを終
了する(ステップS34)。一方、所属グループ情報を
更新する必要があるときには、所属グループ情報につい
てのライトトランザクションを開始した後(ステップS
35)、上記(図5)と同様にして所属グループ情報を
作成(更新)する処理を行い(ステップS36)、ステ
ータス管理手段17に対するステータスを変更してライ
トトランザクションを終了して(ステップS37、S3
8)、上記と同様な処理を行う(ステップS33、S3
4)。
てのリードトランザクションを開始した後(ステップS
31)、上記(ステップS2)と同様にしてステータス
管理手段17が所属グループ情報を作成(更新)する必
要があるか否かを判断し(ステップS32)、所属グル
ープ情報を更新する必要がないときには、そのまま上記
(図6)と同様にしてアクセスリストによる評価処理を
行い(ステップS33)、リードトランザクションを終
了する(ステップS34)。一方、所属グループ情報を
更新する必要があるときには、所属グループ情報につい
てのライトトランザクションを開始した後(ステップS
35)、上記(図5)と同様にして所属グループ情報を
作成(更新)する処理を行い(ステップS36)、ステ
ータス管理手段17に対するステータスを変更してライ
トトランザクションを終了して(ステップS37、S3
8)、上記と同様な処理を行う(ステップS33、S3
4)。
【0034】なお、本発明において、アクセス権をユー
ザ単位ではなくグループ(上位グループも含む)単位で
付与するようにすれば、アクセスリスト13aのメンバ
はグループ識別子だけとなるとともに、ユーザ毎のアク
セス権評価が省略されて評価処理がより迅速化される。
また、文書情報12a、アクセスリスト13a、ユーザ
情報14a、グループ情報15a等の情報はそれぞれ別
個の記憶手段によって格納するようにしてもよいが、同
一の記憶手段に領域を分けて格納するようにしてもよ
い。
ザ単位ではなくグループ(上位グループも含む)単位で
付与するようにすれば、アクセスリスト13aのメンバ
はグループ識別子だけとなるとともに、ユーザ毎のアク
セス権評価が省略されて評価処理がより迅速化される。
また、文書情報12a、アクセスリスト13a、ユーザ
情報14a、グループ情報15a等の情報はそれぞれ別
個の記憶手段によって格納するようにしてもよいが、同
一の記憶手段に領域を分けて格納するようにしてもよ
い。
【0035】また、上記の実施例では、グループのメン
バとしてユーザとグループを同等に扱うため、ユーザ識
別子とグループ識別子を同一のものとして保守・管理し
た方が便利であるときには、ユーザ情報管理手段14と
グループ情報管理手段15は融合させた1つの手段によ
って構成してもよい。また、上記の実施例では、アクセ
ス要求に含ませたユーザ名称及び文書名称によって対象
を特定するようにしているため、ユーザ情報管理手段1
4及び資源管理手段12を用いてユーザ識別子及び文書
識別子を得るようにしているが、アクセス要求にユーザ
識別子及び文書識別子を含ませるようにすれば、これら
手段12、14は省略することができる。
バとしてユーザとグループを同等に扱うため、ユーザ識
別子とグループ識別子を同一のものとして保守・管理し
た方が便利であるときには、ユーザ情報管理手段14と
グループ情報管理手段15は融合させた1つの手段によ
って構成してもよい。また、上記の実施例では、アクセ
ス要求に含ませたユーザ名称及び文書名称によって対象
を特定するようにしているため、ユーザ情報管理手段1
4及び資源管理手段12を用いてユーザ識別子及び文書
識別子を得るようにしているが、アクセス要求にユーザ
識別子及び文書識別子を含ませるようにすれば、これら
手段12、14は省略することができる。
【0036】また、本発明では、各処理手段12〜19
をネットワークで接続された別個のコンピュータで構成
するようにしてもよい。また、アクセスリスト評価手段
16とステータス管理手段17を組にして複数用意する
ようにすれば、複数のアクセス要求に対して同時並行し
てアクセス権を評価することができる。例えば、共有メ
モリ型のマルチタスクを利用して、各アクセスリスト評
価手段16をそれぞれ1つのタスクに割り当て、ステー
タス管理手段17を共有メモリに置くと、更新による排
他制御はコンピュータシステムが提供しているものを利
用でき、複数のアクセス要求の評価を並列処理として実
現することができる。
をネットワークで接続された別個のコンピュータで構成
するようにしてもよい。また、アクセスリスト評価手段
16とステータス管理手段17を組にして複数用意する
ようにすれば、複数のアクセス要求に対して同時並行し
てアクセス権を評価することができる。例えば、共有メ
モリ型のマルチタスクを利用して、各アクセスリスト評
価手段16をそれぞれ1つのタスクに割り当て、ステー
タス管理手段17を共有メモリに置くと、更新による排
他制御はコンピュータシステムが提供しているものを利
用でき、複数のアクセス要求の評価を並列処理として実
現することができる。
【0037】
【発明の効果】本発明に係るアクセス権評価装置による
と、所属グループ情報を作成するようにしたため、グル
ープ情報を直接参照しないでアクセス権評価を迅速に行
うことができるとともに、この所属グループ情報を必要
なユーザについて必要なときに作成するようにしたた
め、所属グループ情報を準備するために要する処理負担
を軽減でき、保持すべき所属グループ情報をデータ量の
少ないコンパクトなものにすることができる。
と、所属グループ情報を作成するようにしたため、グル
ープ情報を直接参照しないでアクセス権評価を迅速に行
うことができるとともに、この所属グループ情報を必要
なユーザについて必要なときに作成するようにしたた
め、所属グループ情報を準備するために要する処理負担
を軽減でき、保持すべき所属グループ情報をデータ量の
少ないコンパクトなものにすることができる。
【図1】 本発明の一実施例に係るアクセス権評価装置
の構成図である。
の構成図である。
【図2】 アクセス権評価装置を実現するコンピュータ
によるネットワークの構成図である。
によるネットワークの構成図である。
【図3】 アクセスリスト、グループ情報、所属グルー
プ情報の内容を説明する概念図である。
プ情報の内容を説明する概念図である。
【図4】 所属グループ情報の作成要否の判断処理に係
るフローチャートである。
るフローチャートである。
【図5】 所属グループ情報の作成処理に係るフローチ
ャートである。
ャートである。
【図6】 アクセス権評価処理に係るフローチャートで
ある。
ある。
【図7】 トランザクション処理を用いたアクセス権評
価処理に係るフローチャートである。
価処理に係るフローチャートである。
【図8】 従来のアクセス権評価装置の一例を示す構成
図である。
図である。
11・・・外部通信管理手段、 12・・・資源管理手
段、13・・・アクセスリスト管理手段、 14・・・
ユーザ情報管理手段、15・・・グループ情報管理手
段、 16・・・アクセス権評価手段、17・・・ステ
ータス管理手段、 18・・・所属グループ情報生成手
段、19・・・生成指示手段、
段、13・・・アクセスリスト管理手段、 14・・・
ユーザ情報管理手段、15・・・グループ情報管理手
段、 16・・・アクセス権評価手段、17・・・ステ
ータス管理手段、 18・・・所属グループ情報生成手
段、19・・・生成指示手段、
Claims (2)
- 【請求項1】ユーザを識別するユーザ識別情報とアクセ
ス対象を識別する対象識別情報とを入力する入力手段
と、 複数のユーザの集合体であるグループを識別するグルー
プ識別情報と複数のグループの集合体である上位グルー
プを識別するグループ識別情報とを対応付けて管理する
グループ情報管理手段と、 グループ情報管理手段が保持する管理情報に基づいて、
前記入力手段から入力されたユーザ識別情報に該当する
ユーザを含む全てのグループの識別情報の集合を当該ユ
ーザ識別情報をキーとして生成する所属グループ情報生
成手段と、 アクセス対象にアクセス権を有するユーザについてのユ
ーザ識別情報或いはグループ識別情報と当該アクセス対
象の対象識別情報とを対応付けて管理するアクセスリス
ト管理手段と、 前記所属グループ情報生成手段により生成された情報及
び前記アクセスリスト管理手段が保持する管理情報を参
照して前記入力手段から入力されたユーザ識別情報に対
するアクセス対象へのアクセス権を評価するアクセス権
評価手段と、 を備えたことを特徴とするアクセス権評価装置。 - 【請求項2】請求項1に記載のアクセス権評価装置にお
いて、 前記グループ情報管理手段が保持する管理情報の変更及
び前記所属グループ情報生成手段によるグループ識別情
報の集合の生成の有無を管理するステータス管理手段
と、 ステータス管理手段が保持するステータス情報を参照し
て、前記グループの管理情報の変更或いは前記グループ
識別情報の集合の未作成を条件として所属グループ情報
生成手段を起動させる生成指示手段と、 を更に備えたことを特徴とするアクセス権評価装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP7294851A JPH09114784A (ja) | 1995-10-18 | 1995-10-18 | アクセス権評価装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP7294851A JPH09114784A (ja) | 1995-10-18 | 1995-10-18 | アクセス権評価装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH09114784A true JPH09114784A (ja) | 1997-05-02 |
Family
ID=17813079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP7294851A Pending JPH09114784A (ja) | 1995-10-18 | 1995-10-18 | アクセス権評価装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH09114784A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003513370A (ja) * | 1999-10-22 | 2003-04-08 | ファースト・ジェネティック・トラスト・インコーポレーテッド | 遺伝子プロファイリングおよびバンキングのためのシステムおよび方法 |
| JP2007157024A (ja) * | 2005-12-08 | 2007-06-21 | Tokyo Stock Exchange Inc | アクセス権限管理装置及びアクセス権限管理方法ならびにそのプログラム |
| JP2007257603A (ja) * | 2006-02-24 | 2007-10-04 | Ricoh Co Ltd | リスト登録対象情報取得システム、方法、プログラム及び装置 |
| WO2015162706A1 (ja) * | 2014-04-23 | 2015-10-29 | 株式会社日立製作所 | 設計支援装置 |
-
1995
- 1995-10-18 JP JP7294851A patent/JPH09114784A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003513370A (ja) * | 1999-10-22 | 2003-04-08 | ファースト・ジェネティック・トラスト・インコーポレーテッド | 遺伝子プロファイリングおよびバンキングのためのシステムおよび方法 |
| US7844469B2 (en) | 1999-10-22 | 2010-11-30 | Cerner Innovation, Inc. | Genetic profiling and banking system and method |
| US8239212B2 (en) | 1999-10-22 | 2012-08-07 | Cerner Innovation, Inc. | Genetic profiling and banking system and method |
| JP2007157024A (ja) * | 2005-12-08 | 2007-06-21 | Tokyo Stock Exchange Inc | アクセス権限管理装置及びアクセス権限管理方法ならびにそのプログラム |
| JP2007257603A (ja) * | 2006-02-24 | 2007-10-04 | Ricoh Co Ltd | リスト登録対象情報取得システム、方法、プログラム及び装置 |
| WO2015162706A1 (ja) * | 2014-04-23 | 2015-10-29 | 株式会社日立製作所 | 設計支援装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8219544B2 (en) | Method and a computer program product for indexing files and searching files | |
| CA2508928C (en) | Method, system, and apparatus for discovering and connecting to data sources | |
| US7191195B2 (en) | Distributed file sharing system and a file access control method of efficiently searching for access rights | |
| US7650604B2 (en) | Access management apparatus, access management method and program | |
| CN101568919B (zh) | 具有分布式存储的联网计算机系统中的单个数据视图 | |
| US7937431B2 (en) | System and method for generating aggregated data views in a computer network | |
| US6449607B1 (en) | Disk storage with modifiable data management function | |
| CN1531303B (zh) | 协议无关的客户端高速缓存系统和方法 | |
| US8799321B2 (en) | License management apparatus, license management method, and computer readable medium | |
| KR19980071452A (ko) | 정보 등록 방법 및 문서 정보 처리 장치 | |
| CN105681295B (zh) | 关联大数据共享方法及装置 | |
| US11275850B1 (en) | Multi-faceted security framework for unstructured storage objects | |
| US20220237240A1 (en) | Method and apparatus for collecting information regarding dark web | |
| US6446129B1 (en) | Method and apparatus for synchronizing function values in a multiple protocol system | |
| US20040260699A1 (en) | Access management and execution | |
| JPH09114784A (ja) | アクセス権評価装置 | |
| Naylor et al. | Method of efficiently choosing a cache entry for castout | |
| JPH04104342A (ja) | データ分散管理方法及び管理システム | |
| CN111352985A (zh) | 一种基于计算机系统的数据服务平台、方法、存储介质 | |
| US11977487B2 (en) | Data control device, storage system, and data control method | |
| KR102561492B1 (ko) | 개인적 데이터를 담은 매체의 안전한 저장과 저장된 개인적 데이터의 삭제를 위한 기기 및 방법 | |
| JP2000259476A (ja) | ファイル管理システム及びサーバ計算機 | |
| JPS628247A (ja) | デ−タの機密保護制御方式 | |
| EP4261704A1 (en) | Category-based operation of a dbms infrastructure | |
| KR20230030179A (ko) | 분산환경에 적용 가능한 고속 지문 고속매칭 시스템의 구동방법 |