JPS61226848A - アクセス権判定方式 - Google Patents
アクセス権判定方式Info
- Publication number
- JPS61226848A JPS61226848A JP60068883A JP6888385A JPS61226848A JP S61226848 A JPS61226848 A JP S61226848A JP 60068883 A JP60068883 A JP 60068883A JP 6888385 A JP6888385 A JP 6888385A JP S61226848 A JPS61226848 A JP S61226848A
- Authority
- JP
- Japan
- Prior art keywords
- access
- user
- code
- access right
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
発明の目的
産業上の利用分野
本発明は、電子計算機システムのファイルに対する利用
者のアクセス権を判定する方式に関するものである。
者のアクセス権を判定する方式に関するものである。
従来の技術
一般に、電子計算機システムのファイルに格納される各
種の情報は、機密保護上不特定の利用者による参照を禁
止したり、業務の便宜上特定の利用者だけに更新が許容
されたりする。
種の情報は、機密保護上不特定の利用者による参照を禁
止したり、業務の便宜上特定の利用者だけに更新が許容
されたりする。
一般に、利用者のファイル・アクセス権を制限するには
、利用者コードとその利用者に対する許容アクセス範囲
との対応情報を予め登録しておき、利用者からの利用者
コードの入力を伴うアクセス要求時にその対応情報を参
照してアクセスの許否を判定する方式が採用されている
。
、利用者コードとその利用者に対する許容アクセス範囲
との対応情報を予め登録しておき、利用者からの利用者
コードの入力を伴うアクセス要求時にその対応情報を参
照してアクセスの許否を判定する方式が採用されている
。
従来、許容アクセス範囲を定める利用者コードとしては
、利用者の一人一人にユニークな利用者コードを付与し
たり、全アクセス範囲を許容アクセス範囲が異なる複数
群に群分けし、そのうちのいずれか一つの群に利用者を
所属させ、その所属群コードを利用者コードとして付与
したりしている。
、利用者の一人一人にユニークな利用者コードを付与し
たり、全アクセス範囲を許容アクセス範囲が異なる複数
群に群分けし、そのうちのいずれか一つの群に利用者を
所属させ、その所属群コードを利用者コードとして付与
したりしている。
発明が解決しようとする問題点
上述のように、利用者の一人一人にユニークな利用者コ
ードを付与する方式では、アクセス権に関する登録情報
量が過大になるという問題がある。
ードを付与する方式では、アクセス権に関する登録情報
量が過大になるという問題がある。
各利用者を許容アクセス範囲が異なる複数群の一つに属
させ、その所属群コードを利用者コードとして付与する
方式でも、アクセス対象のファイルの種類と利用者数が
増加するにつれて同様の問題が生じる。
させ、その所属群コードを利用者コードとして付与する
方式でも、アクセス対象のファイルの種類と利用者数が
増加するにつれて同様の問題が生じる。
発明の構成
上記従来技術の問題点を解決する本発明のアクセス権判
定方式は、許容アクセス範囲を複数の群に分け、これら
の群のうち1又は複数のものに属することを指定する所
属情報を含む利用者コードを各利用者に付与し、各利用
者からの利用者コードの入力を伴うアクセス要求時にお
いて、この要求に係わるアクセスが、入力された利用者
コード中の所属情報で指定されるいずれかの群の許容ア
クセス範囲に含まれるか否かを判定し、含まれる場合に
のみ要求に係わるアクセスを許容することにより、アク
セス権に関する登録情報量を過大にすることなく、アク
セス権の判定を可能とするように構成されている。
定方式は、許容アクセス範囲を複数の群に分け、これら
の群のうち1又は複数のものに属することを指定する所
属情報を含む利用者コードを各利用者に付与し、各利用
者からの利用者コードの入力を伴うアクセス要求時にお
いて、この要求に係わるアクセスが、入力された利用者
コード中の所属情報で指定されるいずれかの群の許容ア
クセス範囲に含まれるか否かを判定し、含まれる場合に
のみ要求に係わるアクセスを許容することにより、アク
セス権に関する登録情報量を過大にすることなく、アク
セス権の判定を可能とするように構成されている。
実施例
第1図は、本発明の一実施例のアクセス権判定方式が適
用される電子計算機システムの構成の一部を示すブロッ
ク図である。
用される電子計算機システムの構成の一部を示すブロッ
ク図である。
この電子計算機システムは、図示しない処理装置によっ
て作成された各種のファイルが格納されている記憶媒体
l、アクセス権判定部2.アクセス権登録ファイル3.
入出力インタフェース部4及び入出力装置5を備えてい
る。
て作成された各種のファイルが格納されている記憶媒体
l、アクセス権判定部2.アクセス権登録ファイル3.
入出力インタフェース部4及び入出力装置5を備えてい
る。
記憶媒体1内の各種のファイルに対する全アクセス範囲
が群分けされ、アクセス権登録ファイル3に登録される
。すなわち、第2図に例示するように、全アクセス範囲
がA群、B群・・・M群に群分けされ、各群で許容され
ている許容アクセス範囲(許容アクセス対象ファイル名
及び参照/更新等の許容アクセスの種類)が、対応の群
コードA、B・・・Mをキーとしてアクセス権登録ファ
イル3に格納されている。
が群分けされ、アクセス権登録ファイル3に登録される
。すなわち、第2図に例示するように、全アクセス範囲
がA群、B群・・・M群に群分けされ、各群で許容され
ている許容アクセス範囲(許容アクセス対象ファイル名
及び参照/更新等の許容アクセスの種類)が、対応の群
コードA、B・・・Mをキーとしてアクセス権登録ファ
イル3に格納されている。
一方、この電子計算機システムの利用者には、第3図に
例示するように、先頭に配置された1又は複数のアルフ
ァベット(A、AB、ABC)とこれらに続く社員番号
とで構成される利用者コードが付与される。
例示するように、先頭に配置された1又は複数のアルフ
ァベット(A、AB、ABC)とこれらに続く社員番号
とで構成される利用者コードが付与される。
先頭に群コードAが付された利用者コードは、この利用
者がA群に所属していること、すなわちこの利用者にA
群の許容アクセス範囲が付与されていることを意味する
。また、先頭に群コードAとBが付された利用者コード
は、この利用者がA群とB群に所属していること、すな
わちこの利用者にA群の許容アクセス範囲とB群の許容
アクセス範囲が付与されていることを意味する。
者がA群に所属していること、すなわちこの利用者にA
群の許容アクセス範囲が付与されていることを意味する
。また、先頭に群コードAとBが付された利用者コード
は、この利用者がA群とB群に所属していること、すな
わちこの利用者にA群の許容アクセス範囲とB群の許容
アクセス範囲が付与されていることを意味する。
同様に、先頭に群コードA、B及びCが付された利用者
コードは、この利用者がA群、B群及び0群に所属し、
A乃至0群の許容アクセス範囲が付与されていることを
意味する。
コードは、この利用者がA群、B群及び0群に所属し、
A乃至0群の許容アクセス範囲が付与されていることを
意味する。
各利用者は、入出力装置5を介して記憶媒体1内のファ
イルをアクセスする際、アクセスしようとするファイル
の識別符号、参照や更新等のアクセスの種類及び自己に
付与されている利用者コードを入出力インタフェース部
4に入力する。これを受けた入出力インタフェース部4
は、利用者から受けた情報をアクセス権判定部2に渡し
てこれを起動する。
イルをアクセスする際、アクセスしようとするファイル
の識別符号、参照や更新等のアクセスの種類及び自己に
付与されている利用者コードを入出力インタフェース部
4に入力する。これを受けた入出力インタフェース部4
は、利用者から受けた情報をアクセス権判定部2に渡し
てこれを起動する。
起動されたアクセス権判定部2は、第4図のフローチャ
ートに例示するように、最初のステップ11において、
入力された利用者コードに群コードAが含まれているか
否かにより利用者がA群に所属するか否かを判定する。
ートに例示するように、最初のステップ11において、
入力された利用者コードに群コードAが含まれているか
否かにより利用者がA群に所属するか否かを判定する。
A群への所属が判定されると、次のステップ12におい
て、要求に係わるアクセス内容(アクセス対象ファイル
の識別符号及びアクセスの種類)がアクセス権登録ファ
イル3内のA群の許容アクセス範囲内にあるか否かを判
定する。この判定結果が否定的であれば、アクセス権判
定部2の処理は次のステップ13に進められる。ステッ
プ11の判定結果が否定的である場合にも同様である。
て、要求に係わるアクセス内容(アクセス対象ファイル
の識別符号及びアクセスの種類)がアクセス権登録ファ
イル3内のA群の許容アクセス範囲内にあるか否かを判
定する。この判定結果が否定的であれば、アクセス権判
定部2の処理は次のステップ13に進められる。ステッ
プ11の判定結果が否定的である場合にも同様である。
アクセス権判定部2は、ステップ13において、利用者
がB群に所属するか否かを判定する。B群への所−が判
定されると、次のステップ14において、要求に係わる
アクセス内容がアクセス権登録ファイル3内のB群の許
容アクセス範囲内にあるか否かが判定される。この判定
結果が否定的であれば、アクセス権判定部2の処理は次
のステップに進められる。ステップ13の判定結果が否
定的である場合にも同様である。
がB群に所属するか否かを判定する。B群への所−が判
定されると、次のステップ14において、要求に係わる
アクセス内容がアクセス権登録ファイル3内のB群の許
容アクセス範囲内にあるか否かが判定される。この判定
結果が否定的であれば、アクセス権判定部2の処理は次
のステップに進められる。ステップ13の判定結果が否
定的である場合にも同様である。
以下、ステップ21と22まで同様の判定が繰り返され
る。最後の判定ステップ22の判定結果も否定的である
場合には、アクセス権判定部2は、ステップ23におい
て、入出力インタフェース部4を介して入出力装置5に
アクセス不許可通知を行ってアクセス権判定処理を終了
する。
る。最後の判定ステップ22の判定結果も否定的である
場合には、アクセス権判定部2は、ステップ23におい
て、入出力インタフェース部4を介して入出力装置5に
アクセス不許可通知を行ってアクセス権判定処理を終了
する。
一方、アクセス権判定部2は、各判定ステップ12.1
4・・・22のいずれかにおいて利用者の要求に係わる
アクセス内容が許容アクセス範囲内にあることを判定す
ると、ステップ24において入出力インタフェース部4
にアクセス許可指令を発し、アクセス権判定処理を終了
する。
4・・・22のいずれかにおいて利用者の要求に係わる
アクセス内容が許容アクセス範囲内にあることを判定す
ると、ステップ24において入出力インタフェース部4
にアクセス許可指令を発し、アクセス権判定処理を終了
する。
入出力インタフェース部4は、アクセス権判定部2から
上記アクセス許可指令を受けると、要求に係わるアクセ
ス内容を利用者に許容する。
上記アクセス許可指令を受けると、要求に係わるアクセ
ス内容を利用者に許容する。
以上、1又は複数の群コードを所属情報として直接利用
者コードの先頭に付加する場合を例示したが、各群コー
ドを利用者コードの末尾に付加したり、利用者コード中
の所定位置に離散的に配置してもよい。
者コードの先頭に付加する場合を例示したが、各群コー
ドを利用者コードの末尾に付加したり、利用者コード中
の所定位置に離散的に配置してもよい。
また、上記A、AB、ABC等の代わりにそれぞれa、
b (=AB)、c (=ABC)等の所属情報を付加
する構成としてもよい。
b (=AB)、c (=ABC)等の所属情報を付加
する構成としてもよい。
また、利用者コードを別途登録しておき、上述のアクセ
ス権判定処理に先立って、利用者コードの登録の有無を
確認し、登録されていない場合にはアクセス不許可通知
を行う構成としてもよい。
ス権判定処理に先立って、利用者コードの登録の有無を
確認し、登録されていない場合にはアクセス不許可通知
を行う構成としてもよい。
また、上記利用者コードの登録の有無を確認しない場合
には、これを所属情報のみで構成してもよい。
には、これを所属情報のみで構成してもよい。
また、アクセス権判定をソフトウェアで行う構成を例示
したが、これをハードウェアやファームウェアで行って
もよいことは勿論である。
したが、これをハードウェアやファームウェアで行って
もよいことは勿論である。
発明の効果
以上詳細に説明したように、本発明のアクセス権判定方
式は、小数の基本的な群についてその許容アクセス範囲
を登録しておき、これら基本的な群への多重所属に関す
る多数の組合せにより利用者の許容アクセス範囲を必要
なだけ細分する構成であるから、アクセス権に関する登
録情報量を過大にすることなくその判定を行うことがで
きる。
式は、小数の基本的な群についてその許容アクセス範囲
を登録しておき、これら基本的な群への多重所属に関す
る多数の組合せにより利用者の許容アクセス範囲を必要
なだけ細分する構成であるから、アクセス権に関する登
録情報量を過大にすることなくその判定を行うことがで
きる。
第1図は本発明の一実施例のアクセス権判定方式が適用
される電子計算機システムのうちこの実施例に関連する
部分の構成を示すブロック図、第2図は第1図のアクセ
ス権登録ファイル3の内容の一例を示す概念図、第3図
は各利用者に付与される利用者コードを例示する概念図
、第4図は第1図のアクセス権判定2の判定処理の一例
を説明するためのフローチャートである。 1・・ファイルが格納される記憶媒体、2・・アクセス
権判定部、3・・アクセス権登録ファイル、4・・入出
力インタフェース、5・・入出力装置。
される電子計算機システムのうちこの実施例に関連する
部分の構成を示すブロック図、第2図は第1図のアクセ
ス権登録ファイル3の内容の一例を示す概念図、第3図
は各利用者に付与される利用者コードを例示する概念図
、第4図は第1図のアクセス権判定2の判定処理の一例
を説明するためのフローチャートである。 1・・ファイルが格納される記憶媒体、2・・アクセス
権判定部、3・・アクセス権登録ファイル、4・・入出
力インタフェース、5・・入出力装置。
Claims (1)
- 【特許請求の範囲】 電子計算機システムのファイルに対する利用者のアクセ
ス権を判定する方式において、 許容アクセス範囲を複数の群に分け、 これら群のうち1又は複数のものに属することを指定す
る所属情報を含む利用者コードを各利用者に付与し、 各利用者からの利用者コードの入力を伴うアクセス要求
時において、この要求に係わるアクセスが入力された利
用者コード中の所属情報で指定されるいずれかの群の許
容アクセス範囲に含まれるか否かを判定し、含まれる場
合にのみ要求に係わるアクセスを許容することを特徴と
するアクセス権判定方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60068883A JPS61226848A (ja) | 1985-03-30 | 1985-03-30 | アクセス権判定方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP60068883A JPS61226848A (ja) | 1985-03-30 | 1985-03-30 | アクセス権判定方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPS61226848A true JPS61226848A (ja) | 1986-10-08 |
Family
ID=13386497
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP60068883A Pending JPS61226848A (ja) | 1985-03-30 | 1985-03-30 | アクセス権判定方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPS61226848A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003288325A (ja) * | 2002-01-22 | 2003-10-10 | Siemens Ag | コンピュータ装置を用いた人に関する内容を有するデータセットの管理方法 |
| WO2004084075A1 (ja) * | 2003-03-18 | 2004-09-30 | Fujitsu Limited | 情報アクセス制御方法、アクセス制御プログラム及び外部記録媒体 |
-
1985
- 1985-03-30 JP JP60068883A patent/JPS61226848A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003288325A (ja) * | 2002-01-22 | 2003-10-10 | Siemens Ag | コンピュータ装置を用いた人に関する内容を有するデータセットの管理方法 |
| US7926088B2 (en) | 2002-01-22 | 2011-04-12 | Siemens Aktiengesellschaft | Method for managing data records with person-related contents by means of a computer system |
| WO2004084075A1 (ja) * | 2003-03-18 | 2004-09-30 | Fujitsu Limited | 情報アクセス制御方法、アクセス制御プログラム及び外部記録媒体 |
| CN100347687C (zh) * | 2003-03-18 | 2007-11-07 | 富士通株式会社 | 信息访问控制方法、访问控制程序和外部记录介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0192243B1 (en) | Method of protecting system files and data processing unit for implementing said method | |
| US5283830A (en) | Security mechanism for a computer system | |
| US7478094B2 (en) | High run-time performance method for setting ACL rule for content management security | |
| US5720033A (en) | Security platform and method using object oriented rules for computer-based systems using UNIX-line operating systems | |
| US7320074B2 (en) | Apparatus and method for using a directory service for authentication and authorization to access resources outside of the directory service | |
| US7200593B2 (en) | Document management system | |
| EP1503266B1 (en) | Zone based security administration for data items | |
| US20040088563A1 (en) | Computer access authorization | |
| EP1091274A2 (en) | System and method for managing user permissions for accessing functionality of multiple software applications | |
| JPH06243016A (ja) | ファイル機密保護方法 | |
| US7062660B2 (en) | Method and apparatus for controlling the performance of a file system mount operation by a user lacking superuser authority | |
| JP4093811B2 (ja) | ユーザアクセス権制御装置及び方法 | |
| JP2003036207A (ja) | データアクセス制御システム及びデータアクセス制御方法 | |
| JPS61226848A (ja) | アクセス権判定方式 | |
| JPH08263382A (ja) | 機密保護管理システム | |
| JPH11203366A (ja) | 情報管理システムおよびそのセキュリティ管理方法 | |
| JPH05225068A (ja) | 機密保護ソフトウェアのアクセス制御方式 | |
| JPH02216561A (ja) | 多レベル機密保護方式 | |
| US11983580B2 (en) | Real-time modification of application programming interface behavior | |
| US8176320B1 (en) | System and method for data access and control | |
| JPS628247A (ja) | デ−タの機密保護制御方式 | |
| JPH08202659A (ja) | 共有情報処理システム | |
| EP0426595A2 (en) | Method of permitting access of shared resources using user set definition to support affinity and surrogate user relations | |
| JPS62290956A (ja) | オンラインエントリシステムの保護方式 | |
| JPH01321536A (ja) | ファイルアクセス制御装置 |