KR101310542B1 - 액세스 제어 리스트 변환 시스템, 그 방법 및 컴퓨터 판독가능 기록 매체 - Google Patents

액세스 제어 리스트 변환 시스템, 그 방법 및 컴퓨터 판독가능 기록 매체 Download PDF

Info

Publication number
KR101310542B1
KR101310542B1 KR1020117021294A KR20117021294A KR101310542B1 KR 101310542 B1 KR101310542 B1 KR 101310542B1 KR 1020117021294 A KR1020117021294 A KR 1020117021294A KR 20117021294 A KR20117021294 A KR 20117021294A KR 101310542 B1 KR101310542 B1 KR 101310542B1
Authority
KR
South Korea
Prior art keywords
access
rule
access control
control rule
target resource
Prior art date
Application number
KR1020117021294A
Other languages
English (en)
Other versions
KR20110114724A (ko
Inventor
다까유끼 이시까와
Original Assignee
닛본 덴끼 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 닛본 덴끼 가부시끼가이샤 filed Critical 닛본 덴끼 가부시끼가이샤
Publication of KR20110114724A publication Critical patent/KR20110114724A/ko
Application granted granted Critical
Publication of KR101310542B1 publication Critical patent/KR101310542B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

액세스 제어 리스트 변환 시스템은 액세스 제어 룰이 허가 룰인지, 금지 룰인지를 판정하는 제1 룰 판정부(12)와, 허가 룰이라고 판정된 액세스 제어 룰을 기억하는 일시 기억부(15)와, 금지 룰의 주체 유저가, 허가 룰의 주체 유저와 동일한지 여부 및 금지 룰의 액세스 대상 리소스가, 허가 룰의 액세스 대상 리소스를 포함하고 있는지의 여부를 판정하는 제2 룰 판정부(13)와, 액세스 대상 리소스의 최신의 전체 정보가 체계적으로 기억된 리소스 정보를 기억하는 리소스 DB와, 허가 룰과 주체 유저가 동일하며, 또한 그 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 판정된 액세스 제어 룰의 액세스 대상 리소스로부터, 리소스 정보를 참조하여, 허가 룰의 액세스 대상 리소스를 제외하는 리소스 전개부를 구비한다.

Description

액세스 제어 리스트 변환 시스템, 그 방법 및 컴퓨터 판독가능 기록 매체{ACCESS CONTROL LIST CONVERSION SYSTEM, AND METHOD AND COMPUTER-READABLE RECORDING MEDIUM THEREFOR}
본 발명은, 기술 순서에 제약이 없는 액세스 제어 리스트를 생성하는 액세스 제어 리스트 변환 시스템, 액세스 제어 리스트 변환 방법 및 액세스 제어 리스트 변환 프로그램에 관한 것이다.
액세스 제어 리스트로서 표현되는 폴리시(policy)의 배부에 관하여, 복수의 제어 대상 머신에 대해 하나의 통합 액세스 제어 서버로, 액세스 제어를 실시하는 것은 점점 더 일반적인 것이 되어가고 있다.
따라서, 폴리시의 변경시에 액세스 제어 리스트의 수정이 요구되고 따라서, 액세스 제어 리스트의 메인터넌스성의 향상이 요망되고 있다.
일반적으로, 액세스 제어 리스트는, 액세스될 액세스 대상 리소스와, 이 액세스 대상 리소스에 액세스하는 액세스 주체 유저와, 액세스 대상 리소스에의 액세스 주체 유저의 액세스의 허가 또는 금지를 규정한 액세스권의 집합(set)을 각각이 포함하는 액세스 제어 룰을 1 이상 갖도록 구성되어 있다.
액세스 제어 리스트를 이용하여 액세스 제어를 실시하는 액세스 제어 메커니즘에서는, 액세스 제어 리스트에 기술되는 액세스 제어 룰의 순서에 따라, 그 액세스 제어 리스트의 해석이 다르다. 그 때문에, 액세스 제어 룰 각각의 내용이 동일하여도, 그 기술 순서에 의해서 액세스 제어 리스트 전체로서의 제어 내용이 다르게 된다. 그러므로, 액세스 제어 메커니즘에 있어서, 액세스 제어 리스트를 변경한 자의 의도한 바와 같이 이 액세스 제어 리스트가 해석된다는 보증은 없다.
또한, 액세스 제어 메커니즘의 해석 특성에 따라 동일한 액세스 제어 내용의 액세스 제어 리스트를, 액세스 제어 메커니즘마다 작성할 필요가 있는데, 이는 메인터넌스성이 떨어진다.
특허 문헌 1에는, 식별 기호를 자동적으로 부여하고, 부여한 식별 기호에 기초하여, 소정의 식을 이용하여 자동적으로 ACL로부터 모순 룰 및 용장 룰의 검출 및 모순 부분의 추출이 가능한 기술이 개시되어 있다.
특허 문헌 1 : 일본 특허 공개 제2005-182478호 공보
그러나, 특허 문헌 1에 개시된 발명은, ACL 중의 2개의 룰이 서로 모순되지 않도록 이 ACL을 체크하는 것은 가능하지만, 액세스 제어 폴리시 변경시의 액세스 제어 리스트의 수정 코스트가 방대해진다고 하는 문제가 있다.
그 이유는 다음과 같다. 액세스 제어 리스트에서는, 액세스 제어 룰의 기술 순서가 중요하고, 기술 순서에 따라 액세스 제어 리스트의 해석이 다르다. 그러므로, 액세스 제어 리스트의 변경시에, 액세스 제어 룰의 추가나 삭제 뿐만 아니라, 액세스 제어 룰의 기술 순서도 고려해야 할 필요가 있다.
일반적으로 액세스 제어 리스트는, 각각이 액세스 주체 유저, 액세스 대상 리소스 및 허가 또는 금지의 액세스권의 집합인 복수의 액세스 룰을 포함한다. 룰간에서 제어 내용이 서로 상반되는 경우, 일반적인 액세스 제어 메커니즘에서는, 이 룰의 기술 순서에 따라서 이 액세스 제어 리스트의 해석이 다르다. 액세스 제어 리스트 내의 룰 각각의 제어 내용이 동일하여도, 이 룰의 기술 순서에 따라 모든 액세스 제어 리스트의 제어 내용이 다르다. 그러므로, 액세스 제어 메커니즘에 있어서, 액세스 제어 리스트는 이 액세스 제어 리스트를 변경한 사람이 의도한 바와 같이 해석된다는 것이 반드시 보장되지 않는다.
예를 들면, "(룰 1) 임의의 유저는 /etc 디렉토리 관리 하의 파일을 읽기 쓰기 해서는 안 된다"라고 기술된 액세스 제어 리스트에 대하여, 유저 yamada에게 권한을 부여하기 위해, "(룰 2) 유저 "Yamada"는 /etc/passwd 파일을 변경해도 된다"라고 하는 룰 2를, 룰 1 후에 추가한 경우, 액세스 제어 메커니즘은 유저 "Yamada"에 의한 /etc/passwd 파일의 변경을 금지한다. 그 이유는, 그 액세스 제어 메커니즘이 먼저 만족하는 조건을 우선적으로 처리한다고 하는 해석 특성을 가지며, 상기 액세스 요구에 대하여, 룰 1이 먼저 만족되기 때문이다. 이 권한을 올바르게 반영하기 위해서는, 적어도 룰 2를 룰 1보다도 우선적으로 기술할 필요가 있다.
이와 같이, 액세스 제어 룰의 기술 순서에 따른 액세스 제어 메커니즘의 행위가 변화된다는 특성은, 액세스 제어 리스트의 적절한 변경뿐만 아니라, 현재의 액세스 제어 리스트 하에서 어느 유저가 어느 리소스에 액세스할 수 있는지, 또는 할 수 없는지를 검증하는 것도 곤란하게 한다.
이러한 액세스 제어 리스트의 변경에 수반하는 과제는, 액세스 제어 리스트 내의 룰 수가 증가함에 따라, 보다 심각한 것으로 되어, 액세스권 설정 불비의 요인의 하나이었다.
제2 문제점은, 액세스 제어 메커니즘마다 액세스 제어 리스트의 생성의 필요성이 있다고 하는 것이다.
그 이유는 다음과 같다. 복수의 다양한 액세스 제어 메커니즘에 의해서 액세스 제어를 실시하는 경우에는, 액세스 제어 룰이 액세스 제어 리스트의 상위에 기술된 액세스 제어 룰로부터 낮아지는 순서로 처리하는 특성이나, 및 액세스 제어 룰을 임의의 순서로 처리하는 다른 특성과 같은 서로 다른 특성들을 가지는 액세스 제어 메커니즘마다 동일한 액세스 제어 내용을 가지는 액세스 제어 폴리시를 생성할 필요가 있다. 고, 복수의 다양한 액세스 제어 대상 머신이 존재하는 현재 환경에는, 액세스 제어의 폴리시를 신규로 책정하는 경우나, 기존의 액세스 제어 폴리시를 변경하는 경우에, 액세스 제어 메커니즘의 특성마다 액세스 제어 리스트를 생성 또는 수정해야 한다.
따라서, 본 발명의 예시적(exemplary)인 목적은, 기술 순서에 제약이 없는 액세스 제어 리스트를 생성하는 액세스 제어 리스트 변환 시스템, 그 방법 및 그 프로그램을 제공하는 것을 목적으로 한다.
본 발명에 따른 예시적(exemplary)인 제1 관점(aspect)에 따르면, 액세스될 액세스 대상 리소스와, 그 액세스 대상 리소스에 액세스하는 액세스 주체 유저와, 상기 액세스 대상 리소스에의 상기 액세스 주체 유저의 액세스의 허가 또는 금지를 규정한 액세스권의 집합인 액세스 제어 룰을 적어도 하나 포함하는 액세스 제어 리스트가 공급되고, 상기 액세스 제어 리스트에 기재된 액세스 제어 룰을 판독하는 판독부와, 판독된 액세스 제어 룰이, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 허가하는 허가 룰인지, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 금지하는 금지 룰인지를 판정하는 제1 룰 판정(결정)부와, 상기 제1 룰 판정부에 의해 허가 룰이라고 판정된 액세스 제어 룰을 기억하는 기억부와, 상기 금지 룰이라고 판정된 액세스 제어 룰의 액세스 주체 유저가, 상기 기억부에 기억된 액세스 제어 룰의 액세스 주체 유저와 동일하며, 또한 상기 금지 룰이라고 판정된 상기 액세스 제어 룰의 액세스 대상 리소스가, 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있는지의 여부를 판정하는 제2 룰 판정(결정)부와, 상기 액세스 대상 리소스의 최신의 전체 정보를, 그 상위 개념으로부터 하위 개념까지 체계적으로 기록한 리소스 정보를 기억하는 데이터베이스와, 상기 기억부에 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정부에 의해 판정된 액세스 제어 룰의 액세스 대상 리소스로부터, 상기 리소스 정보를 참조하여, 상기 기억부에 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외하는 리소스 전개부를 포함하는 액세스 제어 리스트 변환 시스템이 제공된다.
본 발명에 따른 예시적(exemplary)인 제1 관점(aspect)에 따르면, 액세스될 액세스 대상 리소스와, 그 액세스 대상 리소스에 액세스하는 액세스 주체 유저와, 상기 액세스 대상 리소스에의 상기 액세스 주체 유저의 액세스의 허가 또는 금지를 규정한 액세스권의 집합인 액세스 제어 룰을 적어도 하나 포함하는 액세스 제어 리스트를 수신하고, 상기 액세스 제어 리스트에 기재된 액세스 제어 룰을 판독하고, 판독된 액세스 제어 룰이, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 허가하는 허가 룰인지, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 금지하는 금지 룰인지를 판정하는 제1 룰 판정 스텝과, 상기 제1 룰 판정 스텝에서 허가 룰이라고 판정된 액세스 제어 룰을 기억하는 기억 스텝과, 상기 금지 룰이라고 판정된 액세스 제어 룰의 액세스 주체 유저가, 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 주체 유저와 동일하며, 또한 상기 금지 룰이라고 판정된 상기 액세스 제어 룰의 액세스 대상 리소스가, 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있는지의 여부를 판정하는 제2 룰 판정 스텝과, 상기 액세스 대상 리소스의 최신의 전체 정보를, 그 상위 개념으로부터 하위 개념까지 체계적으로 기록한 리소스 정보를 데이터베이스에 기억하고, 상기 기억 스텝에서 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정 스텝에서 판정된 액세스 제어 룰의 액세스 대상 리소스로부터, 상기 리소스 정보를 참조하여, 상기 기억 스텝에서 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외하는 리소스 전개 스텝을 포함하는 액세스 제어 리스트 변환 방법이 제공된다.
또한, 본 발명에 따른 예시적(exemplary)인 제1 관점(aspect)에 따르면, 액세스될 액세스 대상 리소스와, 그 액세스 대상 리소스에 액세스하는 액세스 주체 유저와, 상기 액세스 대상 리소스에의 상기 액세스 주체 유저의 액세스의 허가 또는 금지를 규정한 액세스권의 집합인 액세스 제어 룰을 적어도 하나 포함하는 액세스 제어 리스트를 수신하는 처리와, 상기 액세스 제어 리스트에 기재된 액세스 제어 룰을 판독하는 판독 처리와, 판독된 액세스 제어 룰이, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 허가하는 허가 룰인지, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 금지하는 금지 룰인지를 판정하는 제1 룰 판정 처리와, 상기 제1 룰 판정 처리에서 허가 룰이라고 판정된 액세스 제어 룰을 기억하는 기억 처리와, 상기 금지 룰이라고 판정된 액세스 제어 룰의 액세스 주체 유저가, 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 주체 유저와 동일하며, 또한 상기 금지 룰이라고 판정된 상기 액세스 제어 룰의 액세스 대상 리소스가, 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있는지의 여부를 판정하는 제2 룰 판정 처리와, 상기 액세스 대상 리소스의 최신의 전체 정보를, 그 상위 개념으로부터 하위 개념까지 체계적으로 기록한 리소스 정보를 데이터베이스에 기억하는 처리와, 상기 기억 처리에서 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정 처리에서 판정된 액세스 제어 룰의 액세스 대상 리소스로부터, 상기 리소스 정보를 참조하여, 상기 기억 처리에서 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외하는 리소스 전개 처리를 컴퓨터에 실행시키는 액세스 제어 리스트 변환 프로그램이 제공된다.
본 발명의 예시적인 실시 형태의, 액세스 제어 리스트를 생성하는 액세스 제어 리스트 변환 시스템, 액세스 제어 리스트 변환 방법 및 액세스 제어 리스트 변환 프로그램에 따르면, 기존의 허가 룰과 포함 관계를 갖는 새로운 금지 룰로부터, 기존의 허가 룰에 포함되는 액세스 대상 리소스가 제거된다. 이런식으로, 기술 순서에 제약이 없는 액세스 제어 리스트를 생성하는 액세스 제어 리스트 변환 시스템, 액세스 제어 리스트 변환 방법 및 액세스 제어 리스트 변환 프로그램을 제공할 수 있다.
도 1은 본 발명의 제1 실시 형태에 따른 액세스 제어 리스트 생성/변환 시스템의 구성예를 도시하는 블록도.
도 2는 본 발명의 제1 실시 형태에 따른 액세스 제어 리스트 생성/변환 알고리즘을 도시하는 플로우차트.
도 3은 본 발명의 제2 실시 형태에 따른 액세스 제어 리스트의 차분 배신 시스템의 구성예를 도시하는 블록도.
도 4는 본 발명의 제3 실시 형태에 따른 액세스 제어 리스트의 차분 배신 일관성 보증 시스템의 구성예를 도시하는 블록도.
도 5는 본 발명의 제5 실시 형태에 따른 액세스 제어 리스트의 생성/변환/배신 시스템을 도시하는 블록도.
도 6은 일반적인 상위 우선의 액세스 제어 리스트.
도 7은 액세스 대상 리소스의 구성도.
도 8은 변환된 액세스 제어 룰의 기술 순서 제약이 없는 액세스 제어 리스트.
도 9는 폴리시의 배신/설정 프로토콜.
도 10은 SOAP에 기초하는 폴리시 설정 준비 문의 메시지.
도 11은 SOAP에 기초하는 폴리시의 설정 지시 메시지.
도 12는 본 발명의 제4 실시 형태에 따른 액세스 제어 리스트 참조형 액세스 제어 리스트 생성/변환 시스템의 구성예를 도시하는 블록도.
도 13은 본 발명의 제6 실시 형태에 따른 액세스 제어 리스트 참조형 차분 배신 시스템을 도시하는 블록도.
도 14는 폴리시 변경 후의 액세스 제어 리스트.
도 15는 차분 배신의 추가 액세스 제어 리스트.
도 16은 차분 배신의 삭제 액세스 제어 리스트.
도 17은 SOAP에 기초하는 ACL 열거 요구 메시지.
도 18은 SOAP에 기초하는 ACL 취득 요구 메시지.
다음으로, 본 발명의 예시적인 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다.
[제1 실시 형태]
도 1은, 본 발명의 제1 실시 형태에 따른 액세스 제어 리스트 생성/변환 시스템의 구성예를 도시하는 블록도이다.
도 1을 참조하면, 본 발명의 제1 실시 형태는, ACL 변환부(101)와, 리소스 DB(102)를 포함한다.
리소스 DB(102)는, 액세스 제어 리스트(ACL)에 의해서 제어되는 대상으로 되는 리소스의 최신의 전체 정보를, 그 상위 개념으로부터 하위 개념까지 체계적으로 기억하고 있다.
본 발명에 있어서, 액세스 제어 리스트는, 각각이 액세스될 액세스 대상 리소스와, 이 액세스 대상 리소스에 액세스하는 액세스 주체 유저와, 액세스 대상 리소스에의 액세스 주체 유저의 액세스의 허가 또는 금지를 규정한 액세스권의 집합인 액세스 제어 룰을 1 이상 갖도록 구성되어 있다. 여기서 "액세스 주체 유저"란, 예를 들면 "Yamada"와 같이 리소스를 액세스하는 유저를 특정할 수 있는 정보이다. "액세스 주체 유저"는 유저 식별을 위한 명칭, 또는 유저 식별을 위한 부호이어도 된다.
액세스 대상 리소스는, 집합 또는 요소로서 표현되고, 기호 "*"는 "바로 아래"를 표현하는 집합 표시이며, 기호 "**"는 "관리 하 전부"를 표현하는 집합 표시이다.
ACL 변환부(101)는, 기존의 룰 판정(결정)부(11)와, 제1 룰 판정부(12)와, 제2 룰 판정(결정)부(13)와, 리소스 전개부(14)와, 일시 기억부(15)를 포함한다.
일시 기억부(15)는, 액세스 대상 리소스에 액세스 주체 유저의 액세스를 허가하는 허가 룰을 기억하는 허가 룰 기억부(16)와, 액세스 대상 리소스에 액세스 주체 유저의 액세스를 금지하는 금지 룰을 기억하는 금지 룰 기억부(17)를 포함한다.
기존의 룰 판정부(11)는, 액세스 제어 리스트에 기술된 순서로 액세스 제어 룰을 1개씩 순차적으로 판독하는 판독부이다. 기존의 룰 판정부(11)는 일시 기억부(15)를 참조하고, 판독된 신규의 액세스 제어 룰이, 이 룰보다 상부에 랭크된 기존의 룰의 액세스 제어에 포함되어 있는지의 여부를 판정한다. 그 신규의 룰이 기존의 룰의 액세스 제어 내용에 포함되는 경우, 즉, 판독된 액세스 제어 룰이 일시 기억부(15)에 기억된 액세스 제어 룰인 경우, 기존의 룰 판정부(11)는 액세스 제어 리스트로부터 새로운 액세스 제어 룰을 판독한다.
제1 룰 판정부(12)는, 상기 신규의 룰이 기존의 룰의 액세스 제어 내용에 포함되지 않는 경우에, 그 룰이 허가 룰인지 금지 룰인지를 판정한다. 그 신규의 룰이, 허가 룰이었던 경우에, 이 룰은 허가 룰 기억부(16)에 기억되고, 기존의 룰 판정부(11)로 되돌아간다.
제2 룰 판정부(13)는, 상기 신규의 룰이, 금지 룰이었던 경우에, 일시 기억부(15)를 참조하고, 신규의 룰의 액세스 주체 유저는 허가 룰 기억부(16)에 기억된 룰의 액세스 주체 유저와 동일한지 여부 및 액세스 대상 리소스가 그 룰의 액세스 대상 리소스에 포함되어 있는지의 여부, 즉 이 신규의 룰이 허가 룰 기억부(16)에 기억된 룰과 상반되는지의 여부를 판정한다.
신규의 룰이 허가 룰 기억부(16)에 기억된 룰과 상반되지 않는 경우, 즉, 일시 기억부(15)에 기억된 액세스 제어 룰과 액세스 주체 유저가 서로 다른지, 또는 룰의 액세스 대상 리소스가 일시 기억부(15)에 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있지 않은 경우에는, 그 룰을 금지 룰 기억부(17)에 기억하고, 기존의 룰 판정부(11)로 되돌아간다.
리소스 전개부(14)는, 허가 룰 기억부(16)에 기억된 룰과 상반되는 룰의 액세스 대상 리소스를, 허가 룰 기억부(16)에 기억된 액세스 대상 리소스와 동일 수준의 하위 개념까지, 리소스 DB(102)를 이용하여 추출 및 전개하고, 룰 사이에서 서로 겹치지 않는 하위 개념의 액세스 대상 리소스로 액세스 제어 룰을 재기입하고, 금지 룰 기억부(17)에 기억한다. 이 액세스 제어 룰은 그 룰이 액세스 제어 리스트의 최종 룰이 아닌 경우는, 기존의 룰 판정부(11)로 되돌아간다.
[제1 실시 형태의 동작]
다음으로, 도 1 및 도 2를 참조하여 본 실시 형태의 동작에 대해서 상세하게 설명한다. 도 2는 본 발명의 제1 실시 형태에 따른 액세스 제어 리스트 생성/변환 알고리즘을 도시하는 플로우차트이다.
입력된 액세스 제어 리스트는, 도 1에 도시된 기존의 룰 판정부(11)에 공급된다. 기존의 룰 판정부(11)는 입력된 액세스 제어 리스트에 기술된 순서로 액세스 제어 룰을 1행마다 판독한다. 또한, 기존의 룰 판정부(11)는 일시 기억부(15)에 기억되어 있는 룰을 참조하여, 판독된 룰이, 입력된 액세스 제어 리스트 내에서, 이 판독된 룰보다 상부에 랭크된 기존의 액세스 제어 룰에 포함되어 있는지의 여부를 판정한다(도 2의 스텝 A1 및 A2).
판독된 룰이 일시 기억부(15)에 기억되어 있는 룰에 포함되어 있지 않은 경우, 이 판독된 룰은 제1 룰 판정부(12)에 공급된다. 그 판독된 룰이 일시 기억부(15)에 기억되어 있는 룰에 포함되어 있는 경우는, 입력된 액세스 제어 리스트의 다음의 액세스 제어 룰을 판독하고, 이 룰이 액세스 제어 리스트의 종단에 도달할 때까지 상술한 것과 동일한 처리를 다시 수행한다.
소정의 룰이 다른 룰에 포함된다고 하는 것은, 소정의 룰과 다른 룰의 액세스 주체 및 허가 또는 금지의 액세스권이 동일하며, 소정의 룰의 액세스 대상 리소스가 이 룰을 포함하고 있는 다른 룰의 액세스 대상 리소스의 부분 집합이라는 것을 의미한다. 따라서, 전술한 "상부에 랭크된 기존의 액세스 제어 룰"이란, 소정의 룰을 포함하는 다른 룰인 것을 의미한다. 즉, 소정의 룰이 다른 룰에 포함되는 겅우, 이 2개의 룰에서의 액세스 주체 및 허가 또는 금지의 액세스권이 동일하며, 그 다른 룰의 액세스 대상 리소스가, 소정의 룰의 액세스 대상 리소스를 포함한다. 즉, 그 다른 룰은 그 소정의 룰의 상위 개념에 상당이다. 이 다른 룰은 이미 일시 기억부(15)에 기억되어 있는 것이다.
도 1에 도시된 제1 룰 판정부(12)는, 판독된 룰이 허가 룰인지의 여부를 판정한다(도 2의 스텝 A3). 판독된 룰이 허가 룰이 아닌 경우, 즉 판독된 룰이 금지 룰인 경우는, 그 룰은 제2 룰 판정부(13)에 공급된다. 판독된 룰이 허가 룰인 경우는, 그 룰을 허가 룰 기억부(16)에 기억한다(도 2의 스텝 A5).
도 1에 도시된 제2 룰 판정부(13)는, 일시 기억부(15)를 참조하여, 판독된 룰에 기술되어 있는 액세스 주체 유저가 허가 룰 기억부(16)에 기억되는 허가 룰의 액세스 주체 유저와 동일하고, 또한 판독된 룰에 기술되어 있는 액세스 대상 리소스가, 허가 룰 기억부(16)에 기억되는 허가 룰에 기술된 액세스 대상 리소스를 포함하고 있는지의 여부를 판정한다(도 2의 스텝 A4). 판독된 룰에 기술되어 있는 액세스 대상 리소스가 허가 룰에 기술된 액세스 대상 리소스를 포함하고 있지 않은 경우는, 판독된 룰을 그대로 금지 룰 기억부(17)에 기억한다. 판독된 룰에 기술되어 있는 액세스 대상 리소스가 허가 룰에 기술된 액세스 대상 리소스를 포함하고 있는 경우는, 그 룰은 리소스 전개부(14)에 공급된다.
도 1에 도시된 리소스 전개부(14)는, 판독된 행의 룰에 기술되어 있는 액세스 대상 리소스를, 그 판독된 룰에 포함되고, 허가 룰 기억부(16)에 기억되어 있는 허가 룰에 기술되어 있는 액세스 대상 리소스의 집합 또는 요소를 표현할 수 있는 심도까지, 즉 허가 룰 기억부(16)에 기억된 액세스 제어 룰의 액세스 대상 리소스와 동일 수준의 하위 개념에까지 전개한다(도 2의 스텝 A6). 여기서, 리소스의 심도가 동일한 것이란, 리소스의 표현 계층이 동등하며, 동일한 부분 집합은 가지지 않는 것을 의미한다.
허가 룰에 기술된 리소스와 동일한 심도까지 전개된 룰의 리소스에서, 허가 룰에 기술된 리소스를 제외한 다음, 룰이 금지 룰 기억부(17)에 기억된다(도 2의 스텝 A7 및 A8).
최종 출력으로서는, 금지 룰 기억부(17)에 기억된 룰 그룹이 액세스 제어 리스트로서 출력된다.
본 실시 형태에서는, 블랙 리스트 형식의 기술 순서 제약이 없는 액세스 제어 리스트로의 변환을 수행하기 위한 방법이 이용된다. 그러나, 허가와 금지를 교체함으로써 화이트 리스트 형식의 기술 순서 제약이 없는 허가 룰의 액세스 제어 리스트로 변환을 수행할 수도 있다.
블랙 리스트 형식에서는, 생성되는 액세스 제어 리스트의 디폴트 액세스 제어 조건이 기술되지 않는 리소스에 대한 액세스가 허가된다. 화이트 리스트 형식에서는, 디폴트 액세스 제어 조건이 기술되지 않는 리소스에 대한 액세스가 금지된다.
화이트 리스트 형식으로의 출력에서는, 제2 룰 판정부(13)는, 제1 룰 판정부(12)에 의해 허가 룰이라고 판정된 액세스 제어 룰의 액세스 주체 유저가, 일시 기억부(15)에 기억된 금지 룰인 액세스 제어 룰의 액세스 주체 유저와 동일하며, 또한 허가 룰이라고 판정된 상기 액세스 제어 룰의 액세스 대상 리소스가, 일시 기억부(15)에 기억된 금지 룰인 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있는지의 여부를 판정한다.
또한, 일시 기억부(15)는, 제1 룰 판정부(12)에 의해 금지 룰이라고 판정된 액세스 제어 룰을 기억하는 금지 룰 기억부(17)와, 제1 룰 판정부(12)에 의해 허가 룰이라고 판정된 액세스 제어 룰, 제2 룰 판정부(13)에 의해, 일시 기억부(15)에 기억된 액세스 제어 룰과 동일한 액세스 주체 유저를 가지며, 일시 기억부(15)에 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있지 않다고 판정된 액세스 제어 룰, 및 리소스 전개부(14)에 의해 일시 기억부(15)에 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외한 액세스 제어 룰을 기억하는 허가 룰 기억부를 화이트 리스트 형식의 출력에서는 포함시킨다.
[제2 실시 형태]
다음으로, 본 발명의 다른 실시 형태에 따른 액세스 제어 리스트의 차분 배신 시스템에 대해서 도면을 참조하여 상세하게 설명한다.
본 실시 형태에서는, 액세스 제어 리스트(ACL)를 통합적으로 관리하고, 갱신된 폴리시에 대하여 액세스 제어 리스트를 갱신하고, 각 제어 대상 머신으로 갱신 전과 갱신 후의 액세스 제어 리스트의 차분을 배신한다.
도 3을 참조하면, 본 실시 형태는 통합 액세스 제어 서버(100)와, 제어 대상 머신(200)을 포함한다. 도 3은, 본 발명의 제2 실시 형태에 따른 액세스 제어 리스트의 차분 배신 시스템의 구성예를 도시하는 블록도이다.
통합 액세스 제어 서버(100)는, 폴리시 DB(106)와, 리소스 DB(102)와, ACL DB(107)와, ACL 생성부(103)와, ACL 변환부(101)와, 차분 추출부(104)와, 배신부(105)를 갖는다. 폴리시 DB(106)에는 액세스 제어 정보를 기재한 폴리시가 기억되어 있고, ACL DB(107)에는 과거에 생성 및 배신한 ACL이 기억되어 있다.
제어 대상 머신(200)은, 설정부(201)와, 머지부(202)와, 수신부(203)를 포함한다.
통합 액세스 제어 서버(100)에서는, 갱신한 배신 대상의 액세스 제어 정보인 폴리시를 폴리시 DB(106)가 ACL 생성부(103)에 공급한다. 공급된 폴리시로부터, ACL 생성부(103)는, 각각이 (액세스 주체 유저, 액세스 대상 리소스, 및 허가 또는 금지의 액세스권)으로 표현되는 액세스 제어 룰을 제공되는 폴리시로부터 우선순위가 낮아지는 순서로 기술된 ACL을 생성한다. 이 경우, 폴리시 내에서 액세스 제어를 수행하는 유저를 액세스 주체 유저로서 기술하고, 액세스 제어되는 리소스를 액세스 대상 리소스로서 기술하고, 유저에 대하여 부여되는 액세스권을 허가 또는 금지의 액세스권으로서 기술한다.
생성된 ACL은, ACL 변환부(101)에 공급되고, 이 ACL 변환부(101)는 수신된 ACL을 리소스 DB(102)의 리소스 정보를 이용하여 기술 순서 제약이 없는 ACL로 변환한다. 리소스 DB(102)와 ACL 변환부(101)에 의한 기술 순서 제약이 없는 ACL의 생성 스텝은, 도 1에 도시된 제1 실시 형태와 동일한 처리이다.
차분 추출부(104)는, ACL 변환부(101)에 의해서 변환된 순서 제약이 없는 ACL과, ACL DB(107)에 기억되어 있는, 갱신 전의 ACL에서, 각각에 기술된 동일한 액세스 주체 유저가 포함되는 액세스 제어 룰 각각에서 액세스 대상 리소스와 허가 또는 금지의 액세스권에 관하여 문자열 비교하고, 갱신 전의 ACL에 기술되어 있지만 신규로 변환된 ACL에 기술되어 있지 않은 액세스 제어 룰, 또는 갱신 전의 ACL에 기술되어 있지 않지만 신규로 변환된 ACL에는 기술되어 있는 액세스 제어 룰을, 차분 정보로서 추출한다.
이 차분 정보는, 갱신 전의 ACL에 포함되지 않지만 신규로 변환된 ACL에 포함되는 액세스 제어 룰의 집합, 또는 갱신 전의 ACL에 포함되지만 신규로 변환된 ACL에 포함되지 않는 액세스 제어 룰의 집합으로만 이루어지고, 기술 순서 정보는 포함되지 않는다. 추출된 차분 정보는, 배신부(105)에 공급된 다음, 제어 대상 머신(200)으로 배신된다.
제어 대상 머신(200)에서는, 수신부(203)가, 통합 액세스 제어 서버(100)의 배신부(105)에 의해서 배신된 차분 정보를 수신하고, 수신한 차분 정보를 머지부(202)에 공급한다. 머지부(202)는, 차분 정보에 기초하여, 현재 적용되고 있는 갱신 전의 액세스 제어 리스트에 대하여, 추가된 액세스 제어 룰을 추가하고, 삭제된 액세스 제어 룰을 삭제함으로써 갱신 후의 액세스 제어 리스트를 얻는다. 머지된 액세스 제어 리스트는 설정부(201)에 공급되고, 설정부(201)에 의해서, 제어 대상 머신에 적용된다.
본 실시 형태에서는, 차분 정보로서 액세스 제어 룰의 추가 정보와 삭제 정보만을 배신함으로써 갱신 후의 액세스 제어 리스트를 생성하는 것이 가능하다. 갱신에 필요한 정보에 순서 제약을 포함하지 않기 때문에, 통합 액세스 제어 서버와 제어 대상 머신간의 통신량을 삭감할 수 있다. 또한, 기술 순서를 고려한 액세스 제어 리스트의 재구축을 행할 필요가 없다. 그러므로, 제어 대상 머신에 의해 액세스 제어 리스트의 갱신에 사용되는 리소스의 사용량을 억제할 수 있다.
[제3 실시 형태]
다음으로, 본 발명의 다른 실시 형태에 따른 액세스 제어 리스트의 일관성 보증 차분 배신 시스템에 대해서 도면을 참조하여 상세하게 설명한다.
본 실시 형태에서는, 액세스 제어 리스트의 차분 배신에 있어서의 일관성을 보증하는 예를 나타낸다. 도 4는 본 발명의 제3 실시 형태에 따른 액세스 제어 리스트의 차분 배신 일관성 보증 시스템의 구성예를 도시하는 블록도이다.
도 4를 참조하면, 본 실시 형태에서는, 제2 실시 형태의 경우에 비하여, 통합 액세스 제어 서버(100')가 서명부(108)와, 제어 대상 머신(200')이 서명 검증부(204)를 더 포함한다.
통합 액세스 제어 서버(100')에서, 차분 추출부(104)에 의해서 추출된 차분 정보는 서명부(108)에 공급된다. 서명부(108)는 통합 액세스 제어 서버(100')에 저장되고 정규의 통합 액세스 제어 서버를 나타내는 비밀키로 RSA 서명 방식 등 소정의 서명 방식을 이용하여 디지털 서명을 공급된 차분 정보에 추가한다.
배신부(105)는 서명이 추가된 액세스 제어 리스트의 차분 정보를 제어 대상 머신(200')으로 배신한다.
제어 대상 머신(200')에서는, 수신부(203)가 서명이 추가된 차분 정보를 수신하고, 머지부(202)에 이 차분 정보를 공급한다. 머지부(202)는, 공급되는 차분 정보에 추가된 서명을 서명 검증부(204)를 이용하여, 제어 대상 머신에 저장되고 정규의 통합 액세스 제어 서버가 발행하고 있는 공개키로 검증한다.
차분 정보의 유효성이 보증된 경우에는, 머지부(202)는, 현재 적용되고 있는 갱신 전의 액세스 제어 리스트에 추가된 액세스 제어 룰을 추가하고, 삭제된 액세스 제어 룰을 삭제한다. 머지된 액세스 제어 리스트는 설정부(201)에 의해서, 제어 대상 머신에 적용된다.
본 실시 형태에서는, 액세스 제어 룰의 기술 순서의 제약이 존재하지 않는다. 그러므로, 액세스 제어 룰의 집합 정보인 차분 정보의 유효성이 보증되면, 갱신 전의 액세스 제어 리스트에 차분 정보를 머지하여 얻어지는 갱신 후의 액세스 제어 리스트의 유효성이 보증된다.
[제4 실시 형태]
다음으로, 본 발명의 다른 실시 형태에 따른 통합 액세스 제어 서버가 액세스 제어 리스트의 소스인 폴리시만을 유지함으로써 액세스 제어를 수행하는 시스템에 대해서 도면을 참조하여 상세하게 설명한다.
본 실시 형태에서는, 통합 액세스 제어 서버는, 공통으로 되는 폴리시만을 관리하고, 각 제어 대상 머신 상의 액세스 제어 메커니즘이 필요로 하는 액세스 제어 리스트를 저장하지 않고 액세스 제어를 수행하는 예를 나타낸다. 여기서, 도 12는, 본 발명의 제4 실시 형태에 따른 액세스 제어 리스트 참조형 액세스 제어 리스트 생성/변환 시스템의 구성예를 도시하는 블록도이다.
도 12를 참조하면, 본 실시 형태에서는, 통합 액세스 제어 서버(100")에서는 ACL DB(107)가 불필요하며, 이 통합 액세스 제어 서버(100")는 ACL 문의부(109) 및 이 ACL 문의부에 정보를 전달하는 정보 전달부를 갖는 차분 추출부(104')를 포함한다. 제어 대상 머신(200")은, ACL 제어부(205) 및 ACL DB(206)를 더 포함한다.
차분 추출부(104')는, 통합 액세스 제어 서버(100")의 ACL 변환부(101)에 의해서 얻어진 ACL과, 제어 대상 머신(200")에 설정되어 있는 ACL 간의 차분 정보를 얻기 위해 ACL 문의부(109)를 이용하여 제어 대상 머신(200")의 현재 설정되어 있는 ACL을 조회할 수 있다.
ACL 문의부(109)는, 제어 대상 머신(200")의 ACL 제어부(205)의 현재 설정되어 있는 ACL이나 배신된 ACL을 문의한다. 그 다음, ACL 제어부(205)는 ACL DB(204)에 기억된 정보를 바탕으로 문의에 응답한다. ACL 문의부(109)에 의해서 ACL 제어부(205)로부터 얻어지는 정보는, 현재 설정되어 있는 ACL에 추가된다. 이런식으로, ACL의 ID나 리비젼, 그 ACL이 설정 또는 배신된 시각 등의 그 ACL의 메타 정보를 취득할 수 있다.
메타 정보를 교환함으로써 ACL을 전송하는 구성에 비하여 전달 코스트를 삭감하는 것이 가능하게 된다. 예를 들면, 메타 정보는 ACL의 해시값을 포함하고, 순서 제약이 없이 ACL을 정렬함으로써 구해진 해시값이 교환된다. 이런식으로, ACL 변환부에 의해서 얻어진 ACL과 현재 설정되어 있는 ACL 간에 차이가 있는지의 여부를 검출하는 것이 가능해져, 차분 추출 코스트를 삭감할 수 있다.
본 실시 형태에서는, 제어 대상 머신 각각의 ACL을 통합 액세스 제어 서버에 유지할 필요가 없고, 공통으로 되는 액세스 제어를 수행하기 위한 폴리시만을 관리할 수 있다. 그러므로, 통합 액세스 제어 서버의 관리 및 운용 코스트를 삭감할 수 있다. 또한, 제어 대상 머신으로 설정되어 있는 정보 등의 액세스 제어 메커니즘의 액세스 제어가 필요로 하고 있는 정보를 이용함으로써 실시간 액세스 제어 정보를 통합 액세스 제어 서버가 열람하고 이용할 수 있게 된다.
[제5 실시 형태]
이하, 예시적인 실시 형태에 대해서 도면을 참조하여 상세하게 설명한다. 도 5는, 본 발명의 제5 실시 형태에 따른 액세스 제어 리스트의 생성/변환/배신 시스템을 도시하는 블록도이다.
본 실시 형태에서는, 액세스 제어 리스트(ACL)를 통합적으로 관리하고, 책정된 폴리시로부터 액세스 제어 리스트를 생성하고, 각 제어 대상 머신에 액세스 제어 리스트를 배신/설정한다. 도 5를 참조하면, 본 실시 형태는, 통합 액세스 제어 서버(100)와, 복수의 (n대의) 제어 대상 머신(200-n)을 포함한다.
통합 액세스 제어 서버(100)는, 폴리시 DB(106)와, 리소스 DB(102)와, ACL 생성부(103)와, ACL 변환부(101)와, 배신부(105)를 포함한다. 각각의 제어 대상 머신(200-n)은, 설정부(201)와 수신부(203)를 포함한다.
통합 액세스 제어 서버(100)에서는, 책정된 폴리시를 기억하고 있는 폴리시 DB(106)가, 배신 대상의 폴리시를 ACL 생성부(103)에 공급하여 ACL을 얻는다.
예를 들면, 책정된 폴리시는, 경리부의 Yamada는, Web 서버에 의해서 또한 공유되는 디렉토리인 공용의 /var/samba/pub/ 이하의 데이터 및 경리부만이 전용으로 이용하는 디렉토리인 /var/samba/keiri/ 이하의 데이터의 읽기 쓰기가 허용되지만, /var/samba/ 이하의 다른 디렉토리의 데이터는 읽기 쓰기가 허용되지 않는 것이다. 이러한 정책에 대해 ACL 생성부(103)는 도 6에 도시된 ACL을 생성한다. ACL에서, 각각의 액세스 제어 룰에서는 폴리시로 기술되어 있는 경리부의 "Yamada"의 액세스 주체가 Yamada로서 기술되고, 액세스 대상 리소스로서 /var/samba/pub/, /var/samba/keiri/, 및 /var/samba/**가 기술된다. 또한, 각각의 액세스 대상 리소스에 대한 액세스권의 기입 허가의 경우는 "write+"로 나타내고, 액세스권의 기입 금지의 경우는 "write-"로 나타낸다. 즉, 허가를 "+"로 나타내고, 금지를 "-"로 나타낸다. 이런식으로, 기입, 판독, 및 실행의 액세스은 액세스 제어 룰에 기술된다. 액세스 제어 룰은 폴리시에서 우선순위가 낮아지는 순서로 기술되고, ACL에서도 우선순위가 낮아지는 순서로 기술된다. ACL 내에서의 액세스 대상 리스트의 "*"와 "**"의 표기에 관해서는, "*"는 "디렉토리 바로 아래"를 가리키고, "**"는 "디렉토리 관리 하 모두"를 가리킨다.
전술한 ACL을 ACL 변환부(101)에 입력한다. ACL 변환부(101)는, 제어 대상 머신의 리소스 정보가 기억된 리소스 DB(102)를 참조하면서, 전술한 ACL을 액세스 제어 룰의 기술 순서에 의존하지 않는 ACL로 변환하고 출력한다. 전술한 ACL에 대하여, 리소스 DB(102)에 기억되어 있는 제어 대상 머신의 전체 리소스 정보를 도 7로 하였을 때의 ACL 변환 프로세스를 도 1 및 도 2를 참조하면서 구체적으로 설명한다.
우선, 도 6에 도시된 ACL의 액세스 제어 룰의 1행을 판독한다(도 2의 스텝 A1). 기존의 룰 판정부(11)는 일시 기억부(15)에 기억된 룰에 이 판독된 룰이 포함되어 있지 않다고 판정하고(도 2의 스텝 A2), 그 룰은 제1 룰 판정부(12)에 공급된다. 이 제1 룰 판정부(12)는 이 룰이 허가 룰인지의 여부를 판정한다(도 2의 스텝 A3). 그 다음, 허가 룰인 yamada:/var/samba/pub:read+ 및 yamada:/var/samba/pub:wirte+는 허가 룰 기억부(16)에 기억되고(도 2의 스텝 A5), 금지 룰인 yamada:/var/samba/pub:execute-는 제2 룰 판정부(13)에 공급된다.
제2 룰 판정부(13)에서는, 이 공급된 룰이 허가 룰 기억부(16)에 기억된 허가 룰과 액세스 주체 유저가 동일하며, 또한 이 공급된 룰의 액세스 대상 리소스가 허가 룰 기억부(16)에 기억된 허가 룰에 기술된 액세스 대상 리소스를 포함하고 있지 않은, 즉 이 공급된 룰의 액세스 대상 리소스가 허가 룰에 기술된 액세스 대상 리소스와 상반되어 있지 않으므로, 이 공급된 룰은 금지 룰 기억부(17)에 기억된다(도 2의 스텝 A4 및 A8).
그 다음, 그 룰이 최종 룰인지의 여부가 판정된다(도 2의 스텝 A9). 입력 ACL은 최종행에 도달하지 않으므로, 2행째의 액세스 제어 룰을 판독한다(도 2의 스텝 A1). 기존의 룰 판정부(11)는 일시 기억부(15)에 기억된 룰에 그 판독된 룰이 포함되어 있지 않는다고 판정한다(도 2의 스텝 A2). 그러므로, 그 룰은 제1 룰 판정부(12)에 공급되고, 제1 룰 판정부(12)는 이 룰이 허가 룰인지의 여부를 판정한다(도 2의 스텝 A3).
그 다음, 허가 룰인 yamada:/var/samba/keiri:read+ 및 yamada:/var/samba/keiri:wirte+는 허가 룰 기억부(16)에 기억되고(도 2의 스텝 A5), 금지 룰인 yamada:/var/samba/keiri:execute-는 제2 룰 판정부(13)에 공급된다.
제2 룰 판정부(13)는 이 공급된 룰이 허가 룰 기억부(16)에 기억된 허가 룰과 상반되지 않는다고 판정한다. 그러므로, 이 룰은 금지 룰 기억부(17)에 기억된다(도 2의 스텝 A4 및 A8). 그 다음, 그 룰이 최종 룰인지의 여부를 판정한다(도 2의 스텝 A9). 입력 ACL은 최종행에 도달하지 않으므로 다음의 3행째의 액세스 제어 룰을 판독한다(도 2의 스텝 A1). 기존의 룰 판정부(11)는 일시 기억부(15)에 기억된 룰에 이 판독된 룰이 포함되어 있지 않는다고 판정한다(도 2의 스텝 A2). 그러므로, 그 룰은 제1 룰 판정부(12)에 공급되고, 제1 룰 판정부(12)는 이 룰이 허가 룰인지의 여부를 판정한다. 이 룰이 금지 룰이라고 판정되었으므로 제2 룰 판정부(13)에 공급된다(도 2의 스텝 A3).
제2 룰 판정부(13)는, 공급된 룰인 "yamada:/var/samba/**:execute-"는 허가 룰 기억부(16)에 기억된 허가 룰과 상반되지 않는다고 판정하고 이 룰은 금지 룰 기억부(17)에 기억된다(도 2의 스텝 A4 및 A8). yamada:/var/samba/**:read- 및 yamada:/var/samba/**:write-는, 허가 룰 기억부(16)에 기억된 yamada:/var/samba/pub:read+, yamada:/var/samba/pub:wirte+, yamada:/var/samba/keiri:read+ 및 yamada:/var/samba/keiri:wirte+와 상반되므로, 리소스 전개부(14)에 공급된다.
yamada:/var/samba/**:read-가 공급되면 리소스 전개부(14)는 리소스 DB(102)를 참조하여, /var/samba/ 이하의 pub, keiri, 및 soumu가 존재하는 것을 인식하고, 허가 룰 기억부(16)에 기억되어 있는 yamada:/var/samba/pub:read+ 및 yamada:/var/samba/keiri:read+와 동일한 계층의 리소스 정보를 표현할 수 있도록 그 리소스를 전개함으로써(도 2의 스텝 A6), yamada:/var/samaba/pub:read-, yamada:/var/samba/keiri:read-, yamada:/var/samba/soumu:read-, yamada:/var/samba/*:read-를 얻는다. 그 다음, 리소스 전개부(14)는 이 얻어진 룰들로부터 허가 룰 기억부(16)에 기억되어 있는 액세스 대상 리소스인 /var/samba/pub 및 /var/samba/keiri를 제외하고 yamada:/var/samba/soumu:read- 및 yamada:/var/samba/*:read-를 금지 룰 기억부(17)에 기억한다(도 2의 스텝 A7 및 A8). 그 다음, 리소스 전개부(14)는 공급된 룰 "yamada:/var/samba/**:wirte-"에 관해서도 상술한 바와 동일한 처리를 수행하고 yamada:/var/samba/soumu:wirte- 및 yamada:/var/samba/*:wirte-를 금지 룰 기억부(17)에 기억한다(도 2의 스텝 A4, A6, A7 및 A8).
입력 ACL이 최종행에 도달하였으므로, 금지 룰 기억부(17)에 기억된 yamada:/var/samba/pub:execute-, yamada:/var/samba/keiri:execute-, yamada:/var/samba/soumu:read-, wirte- 및 yamada:/var/samba/*:read-, wirte-가 출력된다. 이런식으로, 블랙 리스트 형식의 ACL이 얻어진다.
블랙 리스트에서는 디폴트 룰이 허가이므로, 출력된 액세스 대상 리소스에 대하여 기술되어 있지 않은 액세스권에 관해서 허가를 부여한 (도 8에 도시된) ACL이 출력으로서 얻어진다. 출력으로서 얻어지는 ACL에서는, 기술된 액세스 제어 룰에 기술 순서 제약이 없다. 그러므로, 액세스 제어 룰을 임의로 교체하고, 액세스 제어 메커니즘이 낮아지는 순서로 룰을 처리하지 않아도, ACL에 기술된 액세스 제어 룰이 전부 액세스 제어되면, 상술한 것과 동일한 액세스 제어 효과가 얻어질 수 있다.
마지막으로, 배신부(105)는, 상기 ACL 변환부(101)가 출력된 ACL을, 제어 대상 머신(200-n)으로 배신하고, 설정 지시를 발행한다. ACL의 송신/설정 방법으로서, telnet나 ssh 등 임의의 통신 프로토콜을 이용할 수 있거나, 도 9에 도시한 통신 프로토콜을 이용할 수 있다.
우선, ACL을 배신하는 통합 액세스 제어 서버(100)는 배신부(105)을 이용하여, 제어 대상 머신(200-n)에, 설정을 준비할지를 문의하고(도 9의 스텝 B1), 제어 대상 머신(200-n)의 설정부(201)가 유효한지를 나타내는 정보, 배신할 ACL을 전송하는 데에 이용되는 프로토콜로서 제어 대상 머신(200-n)의 수신부(203)가 어느 통신 프로토콜에 대응하고 있는지를 나타내는 정보, 및 본 ACL 전송에 이용되는 주된 프로토콜이 어느 프로토콜인지를 나타내는 정보를 취득한다(도 9의 스텝 B2).
이 경우, 메시지는 도 10에 도시한 바와 같은 SOAP 베이스의 WS-Management에 기초하는 것이 바람직하다. 본 예에서는, WS-Management의 Get 액션을 이용하여 리소스 URI로서 설정부(201)의 설정을 표현하는 리소스나 대응 프로토콜을 표현하는 리소스를 지정하여 제어 대상 머신(200-n)의 수신부(203)에 메시지를 보내어 문의하고 있다. 이에 대한 설정 준비 문의 응답은, 제어 대상 머신(200-n)의 수신부(203)에 의해서 SOAP 베이스의 WS-Management에 기초한 GetResponse 액션으로서 통합 액세스 제어 서버(100)의 배신부(105)에 응답된다.
그 다음, 통합 액세스 제어 서버(100)의 배신부(105)는, 상기의 설정 준비 문의로 얻은 프로토콜에 따라서 ACL을 제어 대상 머신(200-n)의 수신부(203)에 대하여 전송한다(도 9의 스텝 B3). 여기서 이용되는 전송 프로토콜은, 설정 준비 문의로 얻은 프로토콜에 따르며, 특별한 지정은 없다.
그 다음, 통합 액세스 제어 서버(100)의 배신부(105)는, 도 11에 도시한 바와 같은 SOAP 베이스의 WS-Management에 기초하여, 갱신의 경우는 WS-Management의 Put 액션을, 삭제의 경우는 WS-Management의 Delete를 이용하여, 리소스 URI로서 설정부(201)를 표현하는 리소스를 지정하고, 설정 대상으로 되는 ACL을 나타내는 Policy_ID를 지정하여, 제어 대상 머신(200-n)의 수신부(203)에 메시지를 보내어 ACL 설정 요구를 행한다(도 9의 스텝 B4).
요구를 받으면, 수신부(203)는, 설정부(201)에 그 설정 지시를 출력하고(도 9의 스텝 B5), 설정부(201)는 그 설정 지시에 응답한다(도 9의 스텝 B6). 설정 지시 응답을 수신하면, 수신부(203)는, ACL 설정 요구 응답으로서, SOAP 베이스의 WS-Management에 기초한 PutResponse 액션 또는 DeleteResponse 액션을 수행함으로써 통합 액세스 제어 서버(100)의 배신부(105)에 응답한다(도 9의 스텝 B7).
제어 대상 머신(200-n)에 제공된 설정부(201)가 블랙 리스트 형식의 ACL을 처리할 수 있는 한, 도 8에 도시한 ACL만이 ACL을 배신하는 통합 액세스 제어 서버(100)로부터 배신될 수 있다. 이러한 경우, 제어 대상 머신(200-1, 200-2, …, 200-n) 각각에 대한 ACL을 준비할 필요가 없기 때문에, 통합 액세스 제어 서버(100)에 의해 배신 대상의 폴리시로부터 생성할 필요가 있는 ACL의 개수는 제어 대상 머신수가 증가하더라도 1개로 될 수 있다.
[제6 실시 형태]
제6 실시 형태에서는, 통합 액세스 제어 서버에서는 액세스 제어를 수행하기 위한 폴리시만을 통합적으로 관리하고, 제어 대상 머신에 ACL 정보를 취득하는 기능을 갖게 함으로써 통합 액세스 제어를 수행하는 예에 관한 것이다. 여기서, 도 13은, 본 발명의 제6 실시 형태에 따른 액세스 제어 리스트 참조형 차분 배신 시스템을 도시하는 블록도이다.
도 13을 참조하면, 본 실시 형태는, 통합 액세스 제어 서버(100')와, 복수의 (n대의) 제어 대상 머신(200'-n)을 포함한다. 통합 액세스 제어 서버(100')는, 폴리시 DB(106)와, 리소스 DB(102)와, ACL 생성부(103)와, ACL 변환부(101)와, 통신부(110)를 포함한다. 각각의 제어 대상 머신(200'-n)은, ACL DB(206)와 설정부(201)와 수신부(207)를 포함한다.
통합 액세스 제어 서버(100')에서는, 책정된 폴리시를 기억하고 있는 폴리시 DB(106)가, 배신 대상의 폴리시를 ACL 생성부(103)에 공급하여 ACL을 얻는다. 그 다음, 이 ACL은 ACL 변환부(101)에 공급되어 기술 순서 제약이 없는 ACL을 얻는다. 또한, 통합 액세스 제어 서버(100')는, 통신부(110)를 이용하여 제어 대상 머신(200'-n)의 통신부(207)와 통신하고, ACL DB(206)에 기억되어 있는 제어 대상 머신(200'-n)에 설정 또는 배신되어 있는 ACL 및 ACL의 메타 정보를 취득한다.
취득된 ACL 및 이 취득된 ACL의 메타 정보를 바탕으로, 금회 ACL 변환부(101)에서 얻어진 ACL 중 제어 대상 머신(200'-n)으로 폴리시에 책정되어 있는 액세스 제어를 수행하기 위해 필요한 ACL만을 차분 또는 전체를 배신한다. 예를 들면, 제어 대상 머신(200'-n)의 전체 리소스 정보는 도 7에 도시된 바와 같고, 액세스 주체가 Yamada인 경리부의 Yamada가 인사 이동에 의해 경리부로부터 총무부로 이동한 경우, Yamada에게 적용되는 폴리시가 변경되어 액세스 주체 "Yamada"의 액세스 제어 리스트가 변경된다.
이 경우, 도 8에 도시된 ACL이 현재의 제어 대상 머신(200'-n)에 설정되고, 도 14에 도시된 ACL이 새롭게 yamada에게 적용되는 폴리시로부터 ACL 변환부(101)를 통해 얻어진다.
통합 액세스 제어 서버(100')는, 통신부(110)를 이용하여 제어 대상 머신(200'-n)에 현재 설정되어 있는 ACL의 메타 정보로서 ACL의 버전이나 ACL의 해시값을 취득한다. 이런식으로, 설정한 ACL과 현재 설정되어 있는 ACL이 다른 것을 파악할 수 있다. 그래서 통합 액세스 제어 서버(100')는 제어 대상 머신(200'-n)에 현재 설정되어 있는 ACL을 참조하고, 현재 설정되어 있는 ACL과 금회 생성되고 변환된 ACL과의 차분인 도 15에 도시한 ACL을 삭제할 것을 지시하고, 도 16에 도시한 ACL을 추가할 것을 지시한다.
제어 대상 머신(200'-n)에의 ACL의 배신이 종료되면, 통합 액세스 제어 서버(100')는 통신부(110)와 통신부(207)를 통과시켜 ACL의 설정을 제어 대상 머신(200'-n)의 설정부(201)에 지시한다.
통합 액세스 제어 서버(100')의 통신부(110)와 제어 대상 머신(200'-n)의 통신부(207)는 HTTP나 Telnet 등의 임의의 프로토콜을 이용할 수 있다. 그러나, WS-Management에 기초한 프로토콜이 바람직하다. 폴리시 배신/설정 프로토콜은 도 9에 도시한 바와 같으므로 그에 대한 설명은 본 실시 형태에 대해서는 반복하지 않을 것이다. 본 실시 형태에서는, 통합 액세스 제어 서버(100')가 각각의 제어 대상 머신(200'-n)에 대하여 ACL DB(206)에 기억된 정보를 취득할 때에는, 도 17에 도시한 바와 같은 WS-Management에 기초한 Enumerate 액션을 이용하여 리소스 URI로서 제어 대상 머신(200'-n) 상의 ACL을 지정하고, 제어 대상 머신(200'-n)의 통신부(207)에 이 ACL를 문의한다. 제어 대상 머신(200'-n) 상의 모든 ACL의 리스트가 WS-Management의 EnumerateResponse 액션으로서 통합 액세스 제어 서버(100')의 통신부(110)에 응답된다.
통합 액세스 제어 서버(100')는, 얻어진 리스트에서 배신될 ACL의 구버전이 존재하는지의 여부를 확인한다. 구버전이 없는 경우, 통합 액세스 제어 서버(100')는 ACL의 배신 페이즈로 진행한다. 구버전이 존재하는 경우, 통합 액세스 제어 서버(100')는 그 ACL 또는 그 ACL의 메타 정보를 취득한다.
ACL의 메타 정보를 취득할 때에는, 통합 액세스 제어 서버(100')가, Enumerate 액션에 의해 얻어진 리스트로부터 해당하는 ACL의 인스턴스를 탐색하고, 도 18에 도시한 바와 같은 WS-Management에 기초한 Get 액션을 이용하여 리소스 URI에는 제어 대상 머신(200'-n) 상의 ACL을, SelectorSet을 이용하여 상기 ACL 인스턴스를 지정하고, 제어 대상 머신(200'-n)의 통신부(207)에 이 ACL을 문의한다. 그 다음, 상기 ACL의 메타 정보가, 통합 액세스 제어 서버(100')의 통신부(110)에 응답으로서 전송된다.
ACL을 취득할 때에는, 통합 액세스 제어 서버(100')가, 폴리시 배신/설정 프로토콜과 마찬가지로 제어 대상 머신(200'-n)이 파일 전송 프로토콜로서 어느 통신 프로토콜에 대응하고 있는지 문의하고, 상기 ACL을 전송하는 전송 프로토콜을 결정하고, 그 ACL을 취득한다.
본 발명의 상술한 실시 형태 각각에 따른 액세스 제어 리스트 변환 시스템은, 하드웨어에 의해서도 실현될 수 있다. 컴퓨터를 검색 시스템으로서 기능시키게 해주기 위한 프로그램을 컴퓨터가 컴퓨터로 판독 가능한 기록 매체로부터 판독하여 프로그램을 실행함으로써 액세스 제어 리스트 변환 시스템을 실현할 수 있다.
본 발명의 상술한 실시 형태에 따른 액세스 제어 리스트 변환 방법은, 하드웨어에 의해서도 실현될 수 있다. 또한, 컴퓨터에 그 방법을 실행시키기 위한 프로그램을 컴퓨터가 컴퓨터로 판독 가능한 기록 매체로부터 판독하여 그 프로그램을 실행함으로써도 액세스 제어 리스트 변환 방법을 실현할 수 있다.
이상, 본 발명의 예시적인 실시 형태에 대해서 설명하였지만, 본원의 청구의 범위 내에서, 본 발명의 정신 또는 주요한 특징으로부터 일탈하지 않고, 본 발명의 다양한 수정 및 변경이 이루어질 수 있다. 그 때문에, 전술한 본 발명의 실시 형태는 단순한 예시일 뿐이지, 본 발명의 기술적인 범위를 한정하는 것이 아니다. 본 발명의 범위는 첨부된 특허 청구범위에 의해서 정의되는 것으로서, 명세서나 요약서의 기재로 한정되지 않는다. 또한, 특허 청구범위의 동등 범위에 속하는 변형이나 변경은 전부 본 발명의 범위 내의 것이다.
본원은, 2009년 3월 19일에 출원된 일본 특원 제2009-068002호를 기초로 하는 우선권을 주장하며, 그 내용은 본원의 내용에 참조로서 포함된다.
본 발명은, 액세스 제어 리스트로서 표현되는 폴리시의 변경시에 변경자의 의도를 확인하거나, 변경부의 일관성을 보증하면서 차분 배신을 행하고자 하는 경우에 적용할 수 있다. 또한, 액세스 제어 리스트를 복수의 액세스 제어 실시 메커니즘에 대하여 생성하거나, 액세스 제어 리스트의 변경을 복수의 액세스 제어 실시 메커니즘에 반영하기 위해, 액세스 제어 리스트를 신규로 생성 또는 변경하고자 하는 데에도 본 발명이 적용 가능하다.
11 : 기존의 룰 판정부
12 : 제1 룰 판정부
13 : 제2 룰 판정부
14 : 리소스 전개부
15 : 일시 기억부
16 : 허가 룰 기억부
17 : 금지 룰 기억부
100, 100', 100" : 통합 액세스 제어 서버
101 : ACL 변환부
102 : 리소스 DB
103 : ACL 생성부
104, 104' : 차분 추출부
105 : 배신부
106 : 폴리시 DB
107 : ACL DB
108 : 서명부
109 : ACL 문의부
110 : 통신부
200, 200-1, 200-2, 200-n : 제어 대상 머신
200', 200'-1, 200'-2, 200'-n : 제어 대상 머신
200" : 제어 대상 머신
201 : 설정부
202 : 머지부
203 : 수신부
204 : 서명 검증부
205 : ACL 제어부
206 : ACL DB
207 : 통신부

Claims (24)

  1. 액세스될 액세스 대상 리소스와, 상기 액세스 대상 리소스에 액세스하는 액세스 주체 유저와, 상기 액세스 대상 리소스에의 상기 액세스 주체 유저의 액세스의 허가 또는 금지를 규정한 액세스권의 집합(set)인 액세스 제어 룰을 적어도 하나 포함하는 액세스 제어 리스트가 공급되고, 상기 액세스 제어 리스트에 기재된 액세스 제어 룰을 판독하는 판독부(reading unit)와,
    판독된 상기 액세스 제어 룰이, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 허가하는 허가 룰인지, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 금지하는 금지 룰인지를 판정하는 제1 룰 판정부와,
    상기 제1 룰 판정부에 의해 허가 룰이라고 판정된 액세스 제어 룰을 기억하는 기억부와,
    금지 룰이라고 판정된 액세스 제어 룰의 액세스 주체 유저가, 상기 기억부에 기억된 액세스 제어 룰의 액세스 주체 유저와 동일한지의 여부 및 금지 룰이라고 판정된 액세스 제어 룰의 액세스 대상 리소스가, 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있는지의 여부를 판정하는 제2 룰 판정부와,
    상기 액세스 대상 리소스를 계층 구조로 기술한 리소스 정보를 기억하는 데이터베이스와,
    상기 기억부에 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정부에 의해 판정된 액세스 제어 룰의 액세스 대상 리소스로부터, 상기 데이터베이스에 기억된 상기 리소스 정보를 참조하여 상기 계층 구조를 인식하고, 상기 기억부에 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외하는 리소스 전개부
    를 포함하는 액세스 제어 리스트 변환 시스템.
  2. 제1항에 있어서,
    상기 리소스 전개부는, 상기 기억부에 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정부에 의해 판정된 액세스 제어 룰의 액세스 대상 리소스를, 상기 데이터베이스에 기억된 상기 리소스 정보를 참조하여 상기 계층 구조를 인식하고, 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스와 동일한 계층에까지 전개하고, 상기 동일한 계층에까지 전개된 액세스 대상 리소스로부터 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스를 제외하는, 액세스 제어 리스트 변환 시스템.
  3. 제1항 또는 제2항에 있어서,
    상기 기억부는,
    상기 제1 룰 판정부에 의해 허가 룰이라고 판정된 액세스 제어 룰을 기억하는 허가 룰 기억부와,
    상기 제1 룰 판정부에 의해 금지 룰이라고 판정된 액세스 제어 룰, 상기 제2 룰 판정부에 의해 상기 기억부에 기억된 액세스 제어 룰과 액세스 주체 유저가 다르고, 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있지 않다고 판정된 액세스 제어 룰 및 상기 리소스 전개부에 의해 상기 기억부에 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외한 액세스 제어 룰을 기억하는 금지 룰 기억부를 포함하고,
    상기 금지 룰 기억부가 기억한 액세스 제어 룰을 최종 출력으로 하는, 액세스 제어 리스트 변환 시스템.
  4. 제1항 또는 제2항에 있어서,
    상기 판독부가 상기 기억부를 참조하고, 상기 판독된 액세스 제어 룰이 상기 기억부에 기억된 액세스 제어 룰에 포함되는 경우, 상기 판독부는 상기 액세스 제어 리스트로부터 새로운 액세스 제어 룰을 판독하는, 액세스 제어 리스트 변환 시스템.
  5. 액세스될 액세스 대상 리소스와, 상기 액세스 대상 리소스에 액세스하는 액세스 주체 유저와, 상기 액세스 대상 리소스에의 상기 액세스 주체 유저의 액세스의 허가 또는 금지를 규정한 액세스권의 집합인 액세스 제어 룰을 적어도 하나 포함하는 액세스 제어 리스트가 공급되고, 상기 액세스 제어 리스트에 기재된 액세스 제어 룰을 판독하는 판독부와,
    판독된 상기 액세스 제어 룰이, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 허가하는 허가 룰인지, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 금지하는 금지 룰인지를 판정하는 제1 룰 판정부와,
    상기 제1 룰 판정부에 의해 금지 룰이라고 판정된 액세스 제어 룰을 기억하는 기억부와,
    허가 룰이라고 판정된 액세스 제어 룰의 액세스 주체 유저가, 상기 기억부에 기억된 액세스 제어 룰의 액세스 주체 유저와 동일한지의 여부 및 허가 룰이라고 판정된 액세스 제어 룰의 액세스 대상 리소스가, 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있는지의 여부를 판정하는 제2 룰 판정부와,
    상기 액세스 대상 리소스를 계층 구조로 기술한 리소스 정보를 기억하는 데이터베이스와,
    상기 기억부에 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정부에 의해 판정된 액세스 제어 룰의 액세스 대상 리소스로부터, 상기 데이터베이스에 기억된 상기 리소스 정보를 참조하여 상기 계층 구조를 인식하고, 상기 기억부에 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외하는 리소스 전개부
    를 포함하는 액세스 제어 리스트 변환 시스템.
  6. 제5항에 있어서,
    상기 리소스 전개부는, 상기 기억부에 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정부에 의해 판정된 액세스 제어 룰의 액세스 대상 리소스를, 상기 데이터베이스에 기억된 상기 리소스 정보를 참조하여 상기 계층 구조를 인식하고, 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스와 동일한 계층에까지 전개하고, 상기 동일한 계층에까지 전개된 액세스 대상 리소스로부터 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스를 제외하는, 액세스 제어 리스트 변환 시스템.
  7. 제5항 또는 제6항에 있어서,
    상기 기억부는,
    상기 제1 룰 판정부에 의해 금지 룰이라고 판정된 액세스 제어 룰을 기억하는 금지 룰 기억부와,
    상기 제1 룰 판정부에 의해 허가 룰이라고 판정된 액세스 제어 룰, 상기 제2 룰 판정부에 의해 상기 기억부에 기억된 액세스 제어 룰과 액세스 주체 유저가 다르고, 상기 기억부에 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있지 않다고 판정된 액세스 제어 룰 및 상기 리소스 전개부에 의해 상기 기억부에 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외한 액세스 제어 룰을 기억하는 허가 룰 기억부
    를 포함하고,
    상기 허가 룰 기억부가 기억한 액세스 제어 룰을 최종 출력으로 하는, 액세스 제어 리스트 변환 시스템.
  8. 제5항 또는 제6항에 있어서,
    상기 판독부가 상기 기억부를 참조하고, 상기 판독된 액세스 제어 룰이 상기 기억부에 기억된 액세스 제어 룰에 포함되는 경우, 상기 판독부는 상기 액세스 제어 리스트로부터 새로운 액세스 제어 룰을 판독하는, 액세스 제어 리스트 변환 시스템.
  9. 액세스될 액세스 대상 리소스와, 상기 액세스 대상 리소스에 액세스하는 액세스 주체 유저와, 상기 액세스 대상 리소스에의 상기 액세스 주체 유저의 액세스의 허가 또는 금지를 규정한 액세스권의 집합인 액세스 제어 룰을 적어도 하나 포함하는 액세스 제어 리스트를 수신하고,
    상기 액세스 제어 리스트에 기재된 액세스 제어 룰을 판독하고,
    판독된 상기 액세스 제어 룰이, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 허가하는 허가 룰인지, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 금지하는 금지 룰인지를 판정하는 제1 룰 판정 스텝과,
    상기 제1 룰 판정 스텝에서 허가 룰이라고 판정된 액세스 제어 룰을 기억하는 기억 스텝과,
    금지 룰이라고 판정된 액세스 제어 룰의 액세스 주체 유저가, 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 주체 유저와 동일한지의 여부 및 금지 룰이라고 판정된 액세스 제어 룰의 액세스 대상 리소스가, 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있는지의 여부를 판정하는 제2 룰 판정 스텝과,
    상기 액세스 대상 리소스를 계층 구조로 기술한 리소스 정보를 데이터베이스에 기억하고,
    상기 기억 스텝에서 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정 스텝에서 판정된 액세스 제어 룰의 액세스 대상 리소스로부터, 상기 데이터베이스에 기억된 상기 리소스 정보를 참조하여 상기 계층 구조를 인식하고, 상기 기억 스텝에서 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외하는 리소스 전개 스텝
    을 포함하는, 액세스 제어 리스트 변환 방법.
  10. 제9항에 있어서,
    상기 리소스 전개 스텝은, 상기 기억 스텝에서 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정 스텝에서 판정된 액세스 제어 룰의 액세스 대상 리소스를, 상기 데이터베이스에 기억된 상기 리소스 정보를 참조하여 상기 계층 구조를 인식하고, 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스와 동일한 계층에까지 전개하고, 상기 동일한 계층에까지 전개된 액세스 대상 리소스로부터 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 제외하는, 액세스 제어 리스트 변환 방법.
  11. 제9항 또는 제10항에 있어서,
    상기 기억 스텝은,
    상기 제1 룰 판정 스텝에서 허가 룰이라고 판정된 액세스 제어 룰을 기억하는 허가 룰 기억 스텝과,
    상기 제1 룰 판정 스텝에서 금지 룰이라고 판정된 액세스 제어 룰, 상기 제2 룰 판정 스텝에서, 상기 기억 스텝에서 기억된 액세스 제어 룰과 액세스 주체 유저가 다르고, 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있지 않다고 판정된 액세스 제어 룰 및 상기 리소스 전개 스텝에서, 상기 기억 스텝에서 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외한 액세스 제어 룰을 기억하는 금지 룰 기억 스텝을 포함하고,
    상기 금지 룰 기억 스텝에서 기억한 액세스 제어 룰을 최종적으로 출력하는 액세스 제어 리스트 변환 방법.
  12. 제9항 또는 제10항에 있어서,
    상기 판독 스텝이, 상기 기억 스텝에서 기억된 액세스 제어 룰을 참조하고, 상기 판독된 액세스 제어 룰이 상기 기억 스텝에서 기억된 액세스 제어 룰에 포함되는 경우, 상기 판독 스텝은 상기 액세스 제어 리스트로부터 새로운 액세스 제어 룰을 판독하는, 액세스 제어 리스트 변환 방법.
  13. 액세스될 액세스 대상 리소스와, 상기 액세스 대상 리소스에 액세스하는 액세스 주체 유저와, 상기 액세스 대상 리소스에의 상기 액세스 주체 유저의 액세스의 허가 또는 금지를 규정한 액세스권의 집합인 액세스 제어 룰을 적어도 하나 포함하는 액세스 제어 리스트를 수신하고,
    상기 액세스 제어 리스트에 기재된 액세스 제어 룰을 판독하는 판독 스텝과,
    판독된 상기 액세스 제어 룰이, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 허가하는 허가 룰인지, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 금지하는 금지 룰인지를 판정하는 제1 룰 판정 스텝과,
    상기 제1 룰 판정 스텝에서 금지 룰이라고 판정된 액세스 제어 룰을 기억하는 기억 스텝과,
    허가 룰이라고 판정된 액세스 제어 룰의 액세스 주체 유저가, 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 주체 유저와 동일한지의 여부 및 허가 룰이라고 판정된 액세스 제어 룰의 액세스 대상 리소스가, 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있는지의 여부를 판정하는 제2 룰 판정 스텝과,
    상기 액세스 대상 리소스를 계층 구조로 기술한 리소스 정보를 데이터베이스에 기억하고,
    상기 기억 스텝에서 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정 스텝에서 판정된 액세스 제어 룰의 액세스 대상 리소스로부터, 상기 데이터베이스에 기억된 상기 리소스 정보를 참조하여 상기 계층 구조를 인식하고, 상기 기억 스텝에서 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외하는 리소스 전개 스텝
    을 포함하는, 액세스 제어 리스트 변환 방법.
  14. 제13항에 있어서,
    상기 리소스 전개 스텝은, 상기 기억 스텝에서 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정 스텝에서 판정된 액세스 제어 룰의 액세스 대상 리소스를, 상기 데이터베이스에 기억된 상기 리소스 정보를 참조하여 상기 계층 구조를 인식하고, 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스와 동일한 계층에까지 전개하고, 상기 동일한 계층에까지 전개된 액세스 대상 리소스로부터 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 제외하는, 액세스 제어 리스트 변환 방법.
  15. 제13항 또는 제14항에 있어서,
    상기 기억 스텝은,
    상기 제1 룰 판정 스텝에서 금지 룰이라고 판정된 액세스 제어 룰을 기억하는 금지 룰 기억 스텝과,
    상기 제1 룰 판정 스텝에서 허가 룰이라고 판정된 액세스 제어 룰, 상기 제2 룰 판정 스텝에서, 상기 기억 스텝에서 기억된 액세스 제어 룰과 액세스 주체 유저가 다르고, 상기 기억 스텝에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있지 않다고 판정된 액세스 제어 룰 및 상기 리소스 전개 스텝에서, 상기 기억 스텝에서 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외한 액세스 제어 룰을 기억하는 허가 룰 기억 스텝을 포함하고,
    상기 허가 룰 기억 스텝에서 기억한 액세스 제어 룰을 최종적으로 출력하는, 액세스 제어 리스트 변환 방법.
  16. 제13항 또는 제14항에 있어서,
    상기 판독 스텝이, 상기 기억 스텝에서 기억된 액세스 제어 룰을 참조하고, 판독된 액세스 제어 룰이 상기 기억 스텝에서 기억된 액세스 제어 룰에 포함되는 경우, 상기 판독 스텝은 상기 액세스 제어 리스트로부터 새로운 액세스 제어 룰을 판독하는, 액세스 제어 리스트 변환 방법.
  17. 액세스될 액세스 대상 리소스와, 상기 액세스 대상 리소스에 액세스하는 액세스 주체 유저와, 상기 액세스 대상 리소스에의 상기 액세스 주체 유저의 액세스의 허가 또는 금지를 규정한 액세스권의 집합인 액세스 제어 룰을 적어도 하나 포함하는 액세스 제어 리스트를 수신하는 처리와,
    상기 액세스 제어 리스트에 기재된 액세스 제어 룰을 판독하는 판독 처리와,
    판독된 상기 액세스 제어 룰이, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 허가하는 허가 룰인지, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 금지하는 금지 룰인지를 판정하는 제1 룰 판정 처리와,
    상기 제1 룰 판정 처리에서 허가 룰이라고 판정된 액세스 제어 룰을 기억하는 기억 처리와,
    금지 룰이라고 판정된 액세스 제어 룰의 액세스 주체 유저가, 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 주체 유저와 동일한지의 여부 및 금지 룰이라고 판정된 액세스 제어 룰의 액세스 대상 리소스가, 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있는지의 여부를 판정하는 제2 룰 판정 처리와,
    상기 액세스 대상 리소스를 계층 구조로 기술한 리소스 정보를 데이터베이스에 기억하는 처리와,
    상기 기억 처리에서 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정 처리에서 판정된 액세스 제어 룰의 액세스 대상 리소스로부터, 상기 데이터베이스에 기억된 상기 리소스 정보를 참조하여 상기 계층 구조를 인식하고, 상기 기억 처리에서 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외하는 리소스 전개 처리
    를 컴퓨터에 실행시키는 액세스 제어 리스트 변환 프로그램을 기록한 컴퓨터 판독가능 기록 매체.
  18. 제17항에 있어서,
    상기 리소스 전개 처리는, 상기 기억 처리에서 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정 처리에서 판정된 액세스 제어 룰의 액세스 대상 리소스를, 상기 데이터베이스에 기억된 상기 리소스 정보를 참조하여 상기 계층 구조를 인식하고, 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스와 동일한 계층에까지 전개하고, 상기 동일한 계층에까지 전개된 액세스 대상 리소스로부터 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 제외하는, 컴퓨터 판독가능 기록 매체.
  19. 제17항 또는 제18항에 있어서,
    상기 기억 처리는,
    상기 제1 룰 판정 처리에서 허가 룰이라고 판정된 액세스 제어 룰을 기억하는 허가 룰 기억 처리와,
    상기 제1 룰 판정 처리에서 금지 룰이라고 판정된 액세스 제어 룰, 상기 제2 룰 판정 처리에서 상기 기억 처리에서 기억된 액세스 제어 룰과 액세스 주체 유저가 다르고, 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있지 않다고 판정된 액세스 제어 룰 및 상기 리소스 전개 처리에서, 상기 기억 처리에서 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외한 액세스 제어 룰을 기억하는 금지 룰 기억 처리를 포함하고,
    상기 금지 룰 기억 처리에서 기억한 액세스 제어 룰이 최종적으로 출력되는, 컴퓨터 판독가능 기록 매체.
  20. 제17항 또는 제18항에 있어서,
    상기 판독 처리가, 상기 기억 처리에서 기억된 액세스 제어 룰을 참조하고, 상기 판독된 액세스 제어 룰이 상기 기억 처리에서 기억된 액세스 제어 룰에 포함되는 경우, 상기 판독 처리는 상기 액세스 제어 리스트로부터 새로운 액세스 제어 룰을 판독하는, 컴퓨터 판독가능 기록 매체.
  21. 액세스될 액세스 대상 리소스와, 상기 액세스 대상 리소스에 액세스하는 액세스 주체 유저와, 상기 액세스 대상 리소스에의 상기 액세스 주체 유저의 액세스의 허가 또는 금지를 규정한 액세스권의 집합인 액세스 제어 룰을 적어도 하나 포함하는 액세스 제어 리스트를 수신하는 처리와,
    상기 액세스 제어 리스트에 기재된 액세스 제어 룰을 판독하는 판독 처리와,
    판독된 상기 액세스 제어 룰이, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 허가하는 허가 룰인지, 상기 액세스 대상 리소스에 상기 액세스 주체 유저의 액세스를 금지하는 금지 룰인지를 판정하는 제1 룰 판정 처리와,
    상기 제1 룰 판정 처리에서 금지 룰이라고 판정된 액세스 제어 룰을 기억하는 기억 처리와,
    허가 룰이라고 판정된 액세스 제어 룰의 액세스 주체 유저가, 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 주체 유저와 동일한지의 여부 및 상기 허가 룰이라고 판정된 액세스 제어 룰의 액세스 대상 리소스가, 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있는지의 여부를 판정하는 제2 룰 판정 처리와,
    상기 액세스 대상 리소스를 계층 구조로 기술한 리소스 정보를 데이터베이스에 기억하는 처리와,
    상기 기억 처리에서 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정 처리에서 판정된 액세스 제어 룰의 액세스 대상 리소스로부터, 상기 데이터베이스에 기억된 상기 리소스 정보를 참조하여 상기 계층 구조를 인식하고, 상사 상기 기억 처리에서 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외하는 리소스 전개 처리
    를 컴퓨터에 실행시키는 액세스 제어 리스트 변환 프로그램을 기록한 컴퓨터 판독가능 기록 매체.
  22. 제21항에 있어서,
    상기 리소스 전개 처리는, 상기 기억 처리에서 기억된 액세스 제어 룰과 액세스 주체 유저가 동일하며, 또한 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있다고 상기 제2 룰 판정 처리에서 판정된 액세스 제어 룰의 액세스 대상 리소스를, 상기 데이터베이스에 기억된 상기 리소스 정보를 참조하여 상기 계층 구조를 인식하고, 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스와 동일한 계층에까지 전개하고, 상기 동일한 계층에까지 전개된 액세스 대상 리소스로부터 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 제외하는, 컴퓨터 판독가능 기록 매체.
  23. 제21항 또는 제22항에 있어서,
    상기 기억 처리는,
    상기 제1 룰 판정 처리에서 금지 룰이라고 판정된 액세스 제어 룰을 기억하는 금지 룰 기억 처리와,
    상기 제1 룰 판정 처리에서 허가 룰이라고 판정된 액세스 제어 룰, 상기 제2 룰 판정 처리에서, 상기 기억 처리에서 기억된 액세스 제어 룰과 액세스 주체 유저가 다르고, 상기 기억 처리에서 기억된 액세스 제어 룰의 액세스 대상 리소스를 포함하고 있지 않다고 판정된 액세스 제어 룰 및 상기 리소스 전개 처리에서, 상기 기억 처리에서 기억된 액세스 제어 룰에 기재되어 있는 액세스 대상 리소스를 제외한 액세스 제어 룰을 기억하는 허가 룰 기억 처리를 포함하고,
    상기 허가 룰 기억 처리에서 기억한 액세스 제어 룰이 최종적으로 출력되는, 컴퓨터 판독가능 기록 매체.
  24. 제21항 또는 제22항에 있어서,
    상기 판독 처리가, 상기 기억 처리에서 기억된 액세스 제어 룰을 참조하고, 상기 판독된 액세스 제어 룰이 상기 기억 처리에서 기억된 액세스 제어 룰에 포함되는 경우, 상기 판독 처리는 상기 액세스 제어 리스트로부터 새로운 액세스 제어 룰을 판독하는, 컴퓨터 판독가능 기록 매체.
KR1020117021294A 2009-03-19 2010-03-17 액세스 제어 리스트 변환 시스템, 그 방법 및 컴퓨터 판독가능 기록 매체 KR101310542B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2009068002 2009-03-19
JPJP-P-2009-068002 2009-03-19
PCT/JP2010/054526 WO2010107057A1 (ja) 2009-03-19 2010-03-17 アクセス制御リスト変換システム、その方法及びそのプログラム

Publications (2)

Publication Number Publication Date
KR20110114724A KR20110114724A (ko) 2011-10-19
KR101310542B1 true KR101310542B1 (ko) 2013-10-24

Family

ID=42739717

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117021294A KR101310542B1 (ko) 2009-03-19 2010-03-17 액세스 제어 리스트 변환 시스템, 그 방법 및 컴퓨터 판독가능 기록 매체

Country Status (6)

Country Link
US (1) US8613042B2 (ko)
EP (1) EP2410458A4 (ko)
JP (1) JP5569815B2 (ko)
KR (1) KR101310542B1 (ko)
CN (1) CN102349078A (ko)
WO (1) WO2010107057A1 (ko)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5170585B2 (ja) * 2010-08-09 2013-03-27 横河電機株式会社 プロビジョニング装置
US20130104194A1 (en) * 2011-05-05 2013-04-25 Carlo RAGO Method and system for grant management and development cycle optimization
US8689285B1 (en) * 2012-09-14 2014-04-01 Siemens Product Lifecycle Management Software Inc. Rule-based derived-group security data management
US9081975B2 (en) * 2012-10-22 2015-07-14 Palantir Technologies, Inc. Sharing information between nexuses that use different classification schemes for information access control
JP6185723B2 (ja) * 2013-02-07 2017-08-23 キヤノン電子株式会社 情報処理装置、外部記憶媒体への書き込みまたは読み込みを制限する方法、プログラム及びシステム
US10033644B2 (en) 2013-02-12 2018-07-24 Adara Networks, Inc. Controlling congestion controlled flows
CN103853986B (zh) * 2014-01-03 2017-02-15 李凤华 一种访问控制方法和装置
US20160366183A1 (en) * 2015-06-09 2016-12-15 Ned M. Smith System, Apparatus And Method For Access Control List Processing In A Constrained Environment
US9912704B2 (en) 2015-06-09 2018-03-06 Intel Corporation System, apparatus and method for access control list processing in a constrained environment
US10095875B2 (en) * 2015-08-28 2018-10-09 Vmware, Inc. Multi-level access control for distributed storage systems
US10275160B2 (en) 2015-12-21 2019-04-30 Intel Corporation Method and apparatus to enable individual non volatile memory express (NVME) input/output (IO) Queues on differing network addresses of an NVME controller
US10200376B2 (en) 2016-08-24 2019-02-05 Intel Corporation Computer product, method, and system to dynamically provide discovery services for host nodes of target systems and storage resources in a network
US10176116B2 (en) 2016-09-28 2019-01-08 Intel Corporation Computer product, method, and system to provide discovery services to discover target storage resources and register a configuration of virtual target storage resources mapping to the target storage resources and an access control list of host nodes allowed to access the virtual target storage resources
CN108322495B (zh) * 2017-01-18 2021-07-06 阿里巴巴集团控股有限公司 资源访问请求的处理方法、装置和系统
CN110677455B (zh) * 2019-08-20 2020-11-03 北京航空航天大学 基于分布式哈希的动态均衡账户映射方法
CN110765444A (zh) * 2019-09-23 2020-02-07 云深互联(北京)科技有限公司 一种企业浏览器访问权限配置方法和装置
US11595385B2 (en) * 2019-11-26 2023-02-28 Twingate, Inc. Secure controlled access to protected resources
CN117278341A (zh) * 2023-11-23 2023-12-22 成都卓拙科技有限公司 Acl规则更新方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004303243A (ja) 2003-03-28 2004-10-28 Hewlett-Packard Development Co Lp 高信頼性コンピューティングシステムにおけるノードのセキュリティ属性
US20080126287A1 (en) 2006-11-03 2008-05-29 Motorola, Inc. Method for management of policy conflict in a policy continuum
US20080313712A1 (en) 2007-06-15 2008-12-18 Microsoft Corporation Transformation of sequential access control lists utilizing certificates

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11313102A (ja) 1998-02-27 1999-11-09 Fujitsu Ltd アクセス制御リスト生成方法及びその装置
US7925693B2 (en) * 2000-01-24 2011-04-12 Microsoft Corporation NAT access control with IPSec
JP4545430B2 (ja) 2003-12-19 2010-09-15 株式会社エヌ・ティ・ティ・データ アクセス権の矛盾・冗長ルール検出を行うアクセス制御システム及びそのコンピュータプログラム
US7716291B2 (en) * 2004-02-03 2010-05-11 Joel Thorson Method and apparatus for a message targeting and filtering database system
US8955032B2 (en) * 2005-08-20 2015-02-10 Riverbed Technology, Inc. Assessing network and device compliance with security policies
JP2007087232A (ja) 2005-09-26 2007-04-05 Hitachi Ltd システム構成変更によるポリシ修正を容易にするポリシ作成方法、及びポリシ管理方法
JP4843325B2 (ja) * 2006-02-06 2011-12-21 株式会社リコー 文書アクセス制御システム
JP2007316952A (ja) 2006-05-25 2007-12-06 Canon Inc 情報処理装置及びその装置におけるデータ管理方法
US8321667B2 (en) * 2007-02-28 2012-11-27 Microsoft Corporation Security model for common multiplexed transactional logs
JP2008219419A (ja) 2007-03-02 2008-09-18 Nec Corp アクセス制御設定支援システム
JP4931134B2 (ja) * 2007-03-20 2012-05-16 株式会社日立ソリューションズ セキュアosのセキュリティポリシ追加設定方法及びシステム
US8359467B2 (en) * 2007-07-07 2013-01-22 Hewlett-Packard Development Company, L.P. Access control system and method
US8445621B2 (en) 2007-08-22 2013-05-21 Sony Chemical & Information Device Corporation Polyimide resin and photosensitive polyimide resin composition

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004303243A (ja) 2003-03-28 2004-10-28 Hewlett-Packard Development Co Lp 高信頼性コンピューティングシステムにおけるノードのセキュリティ属性
US20080126287A1 (en) 2006-11-03 2008-05-29 Motorola, Inc. Method for management of policy conflict in a policy continuum
US20080313712A1 (en) 2007-06-15 2008-12-18 Microsoft Corporation Transformation of sequential access control lists utilizing certificates

Also Published As

Publication number Publication date
KR20110114724A (ko) 2011-10-19
JP5569815B2 (ja) 2014-08-13
US8613042B2 (en) 2013-12-17
US20110321123A1 (en) 2011-12-29
EP2410458A1 (en) 2012-01-25
JPWO2010107057A1 (ja) 2012-09-20
EP2410458A4 (en) 2014-11-12
WO2010107057A1 (ja) 2010-09-23
CN102349078A (zh) 2012-02-08

Similar Documents

Publication Publication Date Title
KR101310542B1 (ko) 액세스 제어 리스트 변환 시스템, 그 방법 및 컴퓨터 판독가능 기록 매체
US10671638B2 (en) Allocation and reassignment of unique identifiers for synchronization of content items
KR101317050B1 (ko) 폴리시 생성 및 변환 시스템, 폴리시 배부 시스템, 그 방법 및 컴퓨터 판독가능 기록 매체
US7574745B2 (en) Information processing apparatus, information processing method, computer-readable medium having information processing program embodied therein, and resource management apparatus
US7233959B2 (en) Life-cycle management engine
US9083766B2 (en) Maintaining consistent globally unique identifiers via an asynchronous interface
CN101677352B (zh) 文档管理系统、文档制作设备、文档使用管理设备、以及文档管理方法
US20080243831A1 (en) Information processing apparatus, information processing system, and storage medium
JPH05151049A (ja) 文書処理方法及び装置
CN103595730A (zh) 一种密文云存储方法和系统
JPH05134913A (ja) データ処理方法及び装置
US20140189051A1 (en) Maintaining concurrency and consistency of globally unique identifiers
US20090327293A1 (en) Information processing apparatus, information processing system, storage medium, information processing method, and data signal
US20040260699A1 (en) Access management and execution
US10657139B2 (en) Information processing apparatus and non-transitory computer readable medium for distributed resource management
US11416449B2 (en) Method of synchronous deletion for distributed storage system
CN102932468A (zh) 共享数据访问方法
CA2483457C (en) Life-cycle management engine
CN111865937B (zh) 一种用于数据库集群权限冲突检测和消解的系统及方法
CN114861198B (zh) 一种访问页面的权限控制方法、设备及介质
US11868494B1 (en) Synchronization of access management tags between databases
US20240086559A1 (en) Permission synchronization across computing sites
JPH04279941A (ja) データ処理方法及び装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee