WO2005121967A1

WO2005121967A1 - データ読み出し装置およびその方法

Info

Publication number: WO2005121967A1
Application number: PCT/JP2004/008111
Authority: WO
Inventors: Kazuyuki Kikushima
Original assignee: Hewlett-Packard Development Company, L.P.
Priority date: 2004-06-10
Filing date: 2004-06-10
Publication date: 2005-12-22

Abstract

　サーバ（２）は、ユーザＡを認証する。ユーザＢが、処理要求ａを行うと、サーバ（２）は、ユーザＢにより要求された処理に用いられる対象データａ１についてのフィルタリング処理を開始する。サーバ（２）は、ユーザＢにより要求された処理を行い、ＤＢ部（３６）から対象データａ１を読み出す。サーバ（２）は、設定されたセキュリティマスクを用いて対象データａ１に対するフィルタリングを行い、対象データａ１に含まれる要素データ（顧客名、顧客住所、顧客電話番号）の内、セキュリティマスクにおいてユーザＢがアクセスを許可された要素データａ２（顧客名）のみを、ユーザＢに対して返す。

Description

明細書

データ読み出し装置およびその方法

技術分野

[0001] 本発明は、要求に応じて、データベースに記憶されたデータを読み出すデータ読み出し装置およびその方法に関する。

背景技術

[0002] 例えば、特許文献 1 , 2は、コンピュータのディレクトリに対するアクセス制御の方法、および、マスク条件を用いて問い合わせ文を書き換えてデータにアクセスする方法を開示する。

し力ながら、特許文献 1に開示された方法では、ディレクトリを単位としたデータァクセスの制御しかできない。

また、特許文献 2に開示された方法では、マスク条件を用いて問い合わせ文を書き換える必要があり、処理およびそのための設定が複雑になってしまう。

特許文献 1 :特開 2000 - 155715号公報

特許文献 2：特開 2002 - 215440号公報

発明の開示

発明が解決しょうとする課題

[0003] 本発明は、上述した背景からなされたものであり、データアクセスの柔軟性のある制御が可能で、処理およびそのための設定が容易なデータ読み出し装置およびその方法を提供することを目的とする。

課題を解決するための手段

[0004] 上記目的を達成するために、本発明にかかるデータ読み出し装置は、読み出しの対象とされ、それぞれ 1つ以上の要素データを含む 1つ以上の対象データを記憶するデータ記憶手段と、対象データを読み出す読み出し元それぞれと、この読み出し元に対して許可される対象データと、この読み出し元に対して許可される要素データとを対応付けた許可情報を生成する許可情報生成手段と、前記読み出し元それぞれからの要求に応じて、前記生成された許可情報に基づいて、前記記憶された対象データの内、この読み出し元に対して許可されている対象データを読み出すデータ読み出し手段と、前記生成された許可情報に基づいて、前記読み出された対象データの内、前記要求した読み出し元に許可されている要素データを選択して、この読み出し元に対して出力するデータ選択手段とを有する。

[0005] 好適には、前記読み出し元を認証する認証手段をさらに有し、前記データ読み出し手段は、前記認証された読み出し元からの要求に応じて、前記記憶された対象データを読み出し、前記データ選択手段は、前記認証された読み出し元に許可されてレ、る要素データを選択して出力する。

[0006] 好適には、ユーザからの操作に応じて、前記読み出しの要求を受け入れる要求受入手段をさらに有し、前記認証手段は、前記ユーザおよび前記要求受入手段またはこれらのいずれかを、前記読み出し元として認証する。

[0007] 好適には、前記対象データは、所定の記憶領域ごとに記憶され、前記許可情報生成手段は、対象データを読み出す読み出し元それぞれと、前記記憶領域に記憶され、この読み出し元に対して許可される対象データと、この読み出し元に対して許可される要素データとを対応付けて許可情報を生成する。

[0008] 好適には、前記許可情報生成手段は、対象データを読み出す読み出し元それぞれと、この読み出し元に対して許可される対象データと、この読み出し元に対して許可される要素データとに、この読み出し元に対して許可する時間を示す時間情報をさらに対応付けて、前記許可情報を生成し、前記データ選択手段は、前記生成された許可情報に基づいて、前記読み出された対象データの内、前記要求した読み出し元に許可されている要素データであって、前記時間情報によりこの読み出し元に許可されている要素データを選択して、この読み出し元に対して出力する。

[0009] 好適には、前記データ読み出し手段は、前記読み出し元に対して提供されうる 1つ以上の機能を実現する機能実現手段と、前記読み出し元それぞれと、この読み出し元に対して提供される機能とを対応付けた機能提供情報を記憶する機能提供情報記憶手段と、前記記憶された機能提供情報に基づいて、前記機能実現手段を制御し、前記要求した読み出し元に対して、この読み出し元に対応付けられた機能を提供する機能提供手段とを有する。 [0010] また、本発明に力かるデータ読み出し方法は、読み出しの対象とされ、それぞれ 1 つ以上の要素データを含む 1つ以上の対象データを記憶し、対象データを読み出す読み出し元それぞれと、この読み出し元に対して許可される対象データと、この読み出し元に対して許可される要素データとを対応付けた許可情報を生成し、前記読み出し元それぞれからの要求に応じて、前記生成された許可情報に基づいて、前記記憶された対象データの内、この読み出し元に対して許可されている対象データを読み出し、前記生成された許可情報に基づいて、前記読み出された対象データの内、前記要求した読み出し元に許可されている要素データを選択して、この読み出し元に対して出力する。

[0011] また、本発明に力、かるプログラムは、読み出しの対象とされ、それぞれ 1つ以上の要素データを含む 1つ以上の対象データを記憶するデータ記憶ステップと、対象データを読み出す読み出し元それぞれと、この読み出し元に対して許可される対象データと、この読み出し元に対して許可される要素データとを対応付けた許可情報を生成する許可情報生成ステップと、前記読み出し元それぞれからの要求に応じて、前記生成された許可情報に基づいて、前記記憶された対象データの内、この読み出し元に対して許可されている対象データを読み出すデータ読み出しステップと、前記生成された許可情報に基づいて、前記読み出された対象データの内、前記要求した読み出し元に許可されている要素データを選択して、この読み出し元に対して出力するデータ選択ステップとをコンピュータに実行させる。

発明の効果

[0012] 本発明によれば、データアクセスの柔軟性のある制御が可能で、処理およびそのための設定が容易なデータ読み出し装置およびその方法を提供することができる。図面の簡単な説明

[0013] [図 1]本発明に力かるデータ読み出し方法が適用されるクライアントサーバシステムの構成を例示する図である。

[図 2]図 1に示したサーバおよび端末のハードウェア構成を例示する図である。

[図 3]図 1 ,図 2に示したサーバにおいて実行され、本発明にかかるデータ読み出し方法を実現するサーバプログラムの構成を示す図である。 [図 4]図 3に示した APの構成を示す図である。

[図 5]図 3に示した AP用 DBの記憶領域を示す図である。

[図 6]図 3に示したユーザ ·端末 DBに記憶されるユーザ ·端末データを示す図である

[図 7]図 3に示したマスク DBに記憶されるセキュリティマスクデータを示す図である。

[図 8]時刻ごとに設定されるアクセス条件を例示する図である。

[図 9]図 4に示した実行制御 DBに記憶される実行制御データを示す図である。

[図 10]図 1などに示したクライアントサーバシステムの全体的な動作（S10)を示す第

1 ,第 2のシーケンス図である。

[図 11]図 1などに示したクライアントサーバシステムの全体的な動作（S20)を示す第 2のシーケンス図である。

[図 12]アクセス制御リスト (ACL)を用いる一般的なクライアントサーバシステムにおける第 1 (S80)を例示する図である。

[図 13]アクセス制御リスト (ACL)を用いる一般的なクライアントサーバシステムにおける第 2の処理（S84)を例示する図である。

[図 14]アクセス制御リスト (ACL)を用いる一般的なクライアントサーバシステムにおける第 3の処理（S86)を例示する図である。

[図 15]アクセス制御リスト (ACL)を用いる一般的なクライアントサーバシステムにおける第 4の処理（S88)を例示する図である。

発明を実施するための最良の形態

[0014] 以下、本発明の実施形態を説明する。

[0015] [クライアントサーバシステム 1]

図 1は、本発明にかかるデータ読み出し方法が適用されるクライアントサーバシステム 1の構成を例示する図である。

図 1に示すように、クライアントサーバシステム 1は、サーバ 2と、クライアント端末 110 _1一 110— m (m≥l、以下 nなどについて同様）とが、 LAN, WANあるいはインターネットなどのネットワーク 100を介して接続されて構成される。

[0016] なお、以下、端末 110 - 1一 110 - mなど、複数ある構成部分のいずれかを特定せずに示すときには、端末 110などと略記することがある。

また、以下の各図においては、実質的に同じ構成部分 ·処理には、同じ符号が付されている。

また、以下、サーバ 2および端末 110を総称してノードと記すことがある。クライアントサーバシステム 1は、これらの構成部分により、サーバ 2が、端末 110からの要求に応じてデータベースからデータを読み出し、様々な処理を行う。

[0017] レヽードウエア]

図 2は、図 1に示したサーバ 2および端末 110のハードウェア構成を例示する図である。

図 2に示すように、サーバ 2および端末 110は、 CPU122 'メモリ 124およびこれらの周辺回路などを含む本体 120、表示装置'キーボード 'マウスなどを含む入出力装置 126、ネットワーク 100 (図 1)を介した他ノードとの通信を行う通信装置 128、および、 CD装置 'HDD装置など、記録媒体 132に対してデータの書き込みおよび読み出しを行う記録装置 130から構成される。

つまり、サーバ 2および端末 110は、他ノードとの間で通信が可能な一般的なコンビユータとしてのハードウェア的構成部分を有してレ、る。

[0018] [ソフトウェア]

端末 110それぞれには、サーバ 2に対してユーザのパスワード '端末識別子（ID)などを送って、端末 110またはユーザの認証を行うためのソフトウェア、および、サーバ 2に対する処理要求および処理結果の受け取りなどのためのソフトウェア（レヽずれも図示せず）など、必要とされるソフトウェア力適宜、ロードされ、実行される。

[0019] 図 3は、図 1 ,図 2に示したサーバ 2において実行され、本発明にかかるデータ読み出し方法を実現するサーバプログラム 3の構成を示す図である。

図 3に示すように、サーバプログラム 3は、サーバ部 30およびデータベース部（DB 部） 36から構成される。

サーバ部 30は、業務用アプリケーションプログラム (AP) 4—1— 4_n、ユーザ'端末インターフェース部（ユーザ.端末 IF) 300、認証部 302、ユーザ'端末管理部 304、ユーザ'端末 DB306、マスク DB作成'管理部 320、マスク DB322、タイマ部 340およびからフィルタ部 342から構成される。

DB部 36は、 AP用 DB管理 '制御部 360および AP用 DB362から構成される。なお、図 3には、サーバ部 30と DB部 36とが一体の装置として構成される場合が例示されている力サーバ部 30と DB部 36とは、それぞれ異なるコンピュータ上で実現されうる。

[0020] 図 4は、図 3に示した AP4の構成を示す図である。

図 4に示すように、 AP4は、実行制御部 400、実行制御 DB402、実行制御 DB管理部 404、機能実現部 1一 pおよび AP用 DBアクセス部 440から構成される。

サーバプログラム 3は、記録媒体 132 (図 2)を介してサーバ 2に供給され、メモリ 12 4にロードされて実行される。

サーバプログラム 3は、これらの構成部分により、ユーザによる端末 110を介した要求に応じて、ユーザあるいは端末 110ごとに、 AP用 DB362に記憶されたデータへのアクセスを制御して、このデータを用いた処理を行う。

[0021] 図 5は、図 3に示した AP用 DB362の記憶領域を示す図である。

図 5に示すように、 AP用 DB362には、 q個の DBカラム（サーバ 2におけるディレクトリなどとは必ずしも対応しなレ、）が設けられ、 DBカラムそれぞれには、 DBカラムそれぞれの識別に用いられる ID (DBカラム ID)が付される。

AP用 DB362は、 DBカラムそれぞれに、 AP4がアクセスの対象とする対象データを記憶する。

なお、対象データそれぞれには、さらに、 1つ以上の要素データが含まれる。

つまり、例えば、 AP4力顧客管理を行うプログラムであるときには、 AP4がアクセスの対象とする DBカラムには、対象データとして、顧客データが記憶され、この顧客データには、例えば、顧客名、顧客住所および顧客電話番号などが、要素データとして含まれる。

[0022] AP用 DB管理.制御部 360は、 AP用 DB362に、対象データを記憶し、管理する。

AP用 DB管理'制御部 360は、 AP4からの要求に応じて、 AP用 DB362に記憶した対象データを読み出し、フィルタ部 342を介して、要求した AP4に対して出力する [0023] 図 6は、図 3に示したユーザ ·端末 DB306に記憶されるユーザ ·端末データを示す図である。

ユーザ ·端末 DB306は、図 6に例示するテーブル形式のユーザ端末データを記憶する。

このユーザ端末データのエントリには、ユーザ ·端末認証データ # 1一 #_r、セキユリティマスク ID # i_l # i_r、実行制御データ ID #卜 1一 #j_rおよびアクセスグループ # k_l一 # k一 rが含まれる。

[0024] ユーザ'端末認証データには、クライアントサーバシステム 1のユーザの ID、ユーザ名およびパスワードなど、ユーザの認証に必要とされるユーザ認証用データ、または

、クライアントサーバシステム 1の端末 110の IDなど、端末 110の認証に必要とされる端末認証用データが含まれる。

なお、サーバプログラム 3が、ユーザ認証用データおよび端末認証データの両方を必要とするときには、ユーザ'端末認証データには、これら両方のデータが含まれる。

[0025] セキュリティマスク IDは、同じエントリに含まれるユーザ'端末認証データに基づいて認証されたユーザ ·端末に対して適用されるセキュリティマスク（図 7を参照して後述）を示す。

実行制御データ IDおよびアクセスグループは、同じエントリに含まれるユーザ'端末認証データに基づレ、て認証されたユーザ ·端末に対して適用される実行制御データ (図 9を参照して後述）の IDおよびアクセスグループを示す。

[0026] ユーザ'端末管理部 304は、入出力装置 126あるいは端末 110からの操作を受け入れて、図 6に示したユーザ ·端末データを作成し、ユーザ ·端末 DB306に記憶し、管理する。

また、ユーザ'端末管理部 304は、ユーザ.端末 DB306に記憶したユーザ.端末データを、認証部 302、 AP4およびマスク DB作成'管理部 320などにおける処理の用に供する。

認証部 302は、ユーザ ·端末管理部 304により提供されるユーザ ·端末データを用いて、サーバ 2にアクセスするユーザおよび端末 110の認証を行う。

[0027] 図 7は、図 3に示したマスク DB322に記憶されるセキュリティマスクデータを示す図である。

マスク DB322は、図 7に例示するテーブル形式のセキュリティマスクデータを記憶する。

このセキュリティマスクデータのエントリには、セキュリティマスク ID # 1 # s (図 6)、 DBカラム ID # i'— 1— s、セキュリティマスク #j，—l一 #j，_sおよびセキュリティマスク情報 # k，— 1一 # k， 1が含まれる。

セキュリティマスク ID # 1 # sは、同じエントリに含まれるセキュリティマスクを識別するために用いられる。

[0028] DBカラム ID # i'_l— # i' _sそれぞれは、図 5に示した DBカラム ID # 1 # qの内の 1つ以上を含み、この DBカラム IDは、同じエントリに含まれるセキュリティマスクが適用される DBカラムを示す。

セキュリティマスク #j，— 1一 #j，— sは、例えば 128ビットのデータであって、各ビットの値（1または 0)に応じて、フィルタ部 342における対象データに対するフィルタリング処理の内容が定義される。

[0029] セキュリティマスク情報は、同じエントリに含まれるセキュリティマスクの各ビットの値力対象データのいずれの要素データに対するどのようなアクセスを許可するかを示す。

例えば、セキュリティマスクの下位 3ビットのみ力対象データに含まれる要素データ (顧客名 '顧客住所'顧客電話番号）に対するデータアクセスの制御のために有効に用いられるときには、下位 3ビット（一 001)が、顧客名に対するアクセスを許可し、同じく（一 010) 1 顧客住所に対するアクセスを許可し、同じく（一 100) 1 顧客電話番号に対するアクセスを許可するといつたように、セキュリティマスク情報は、セキユリティマスクの各ビットの意味を定義する。

[0030] 図 8は、時刻ごとに設定されるアクセス条件を例示する図である。

また、例えば、図 8に示すように、図 6,図 7に示すユーザ'端末データおよびセキュリティマスクデータにより特定されるユーザ Xに対して、 A時から B時までは、同じェントリに含まれる DBカラム IDが示す DBカラム（図 5)に記憶された対象データに含まれる全ての要素データへのアクセスが許可され、 B時から C時までは、この対象データへのアクセスが不許可とされ、また、 C時から A時までは、全てのユーザに対して、この対象データへのアクセスが不許可とされるといったように、サーバプログラム 3においては、対象データおよび要素データへのアクセスが、経時的に変更されうる。

サーバプログラム 3において、このような経時的なアクセス条件の変更が行われるときには、セキュリティマスク情報は、このような経時的なアクセス条件の変更を行うための情報を、さらに含む。

つまり、ここで例示したような場合には、セキュリティマスク情報は、セキュリティマスク（一 000)を、図 8に示した A時一 B時に有効とされるセキュリティマスクとし、セキユリティマスク（一 111)を、 B時一 C時の間に有効とされるセキュリティマスクとし、 C時一 A時の間には全ユーザ ·端末に対してアクセス不許可とする旨を示す。

[0031] マスク DB作成'管理部 320は、入出力装置 126あるいは端末 110からの操作を受け入れて、図 7に示したセキュリティマスクデータを作成し、マスク DB322に記憶し、管理する。

また、マスク DB作成'管理部 320は、マスク DB322に記憶したセキュリティマスクデータを、マスク DB作成 ·管理部 320などにおける処理の用に供する。

タイマ部 340は、サーバプログラム 3における時間管理を行い、例えば、図 8に示したように、アクセス条件を経時的に変更するために用いられる時刻情報を、フィルタ部 342に対して出力する。

[0032] 図 9は、図 4に示した実行制御 DB402に記憶される実行制御データを示す図である。 AP4 (図 3,図 4)において、実行制御 DB402は、図 9に示す実行制御データを記憶する。

図 9に示すように、実行制御データのエントリには、実行制御データ ID # 1— # t、アクセス制御 AP # 11— 1 # lt、アクセスグループ # 1— 1— 1一 #l，tおよび実行許可機能 # Γ 1-1-1-1一 # l"tが含まれる。

実行制御データ IDは、実行制御データの各エントリを識別するために用いられる。アクセス対象 APは、図 6に示したユーザ'端末データの各エントリの実行制御データ IDを介して対応付けられたユーザ ·端末に対して、いずれの AP4が実現する機能を提供するかを示す。アクセスグループおよび実行許可機能は、図 6に示したユーザ ·端末データの各ェントリを介して対応付けられたユーザ'端末に対して、アクセス対象 APにより特定される AP4の機能実現部 420の内、いずれの機能実現部 420が実現する機能を提供するかを示す。

[0033] 実行制御 DB管理部 404は、入出力装置 126あるいは端末 110からの操作を受け入れて、図 9に示した実行制御データを作成し、実行制御 DB402に記憶し、管理する。

また、実行制御 DB管理部 404は、実行制御 DB402に記憶した実行制御データを、実行制御部 400における処理の用に供する。

機能実現部 420は、それぞれ同一または異なる機能を実現しうるように構成されており、実行制御部 400の制御に従って、ユーザ ·端末（図 1)に対して、様々な機能を提供する。

[0034] 実行制御部 400は、実行制御 DB管理部 404に記憶された実行制御データに従つて、ユーザ.端末データ（図 ₆)の各エントリの実行制御データ IDおよびアクセスダループを介して対応付けられたユーザ'端末に対して提供すべき機能を実現する機能実現部 420を起動し、それぞれの機能を提供させる。

AP用 DBアクセス部 440は、機能実現部 420それぞれからの要求に従って、 AP用 DB管理 '制御部 360にアクセスし、 AP用 DB362から、機能実現部 420における処理に必要なデータを読み出す。

[0035] フィルタ部 342 (図 3)は、 AP4の機能実現部 420 (図 4)が、 AP用 DB管理.制御部

360を介して AP用 DB362から読み出した対象データを受け入れる。

フイノレタ部 342は、さらに、 320を介してマスク DB322からセキュリティマスクデータ (図 7)を読み出し、受け入れた対象データの内、セキュリティマスクおよびセキユリティ情報により、ユーザ'端末に対してアクセスが許可された要素データのみをフィルタリングにより選択し、対象データを読み出した機能実現部 420に対して出力する。

[0036] [クライアントサーバシステム 1の動作]

以下、クライアントサーバシステム 1の全体的な動作を説明する。

[0037] 図 10,図 11は、図 1などに示したクライアントサーバシステム 1の全体的な動作（S1 0, S20)を示す第 1,第 2のシーケンス図である。

図 10に示すように、ステップ 100, 102 (S100, S102)において、ユーザ A (図 1) 、端末 110-1に対してユーザ名（A)およびパスワード（PW)を入力し、サーバ 2に対する認証を行うための操作を行うと、端末 110— 1は、サーバ 2に対して、ユーザ名およびパスワードを含む認証要求を出す。

ステップ 104， 106 (S104, S106) こおレヽて、サーノプログラム 3 (図 3)の言忍証き 02は、ユーザ'端末 DB306に記憶されたユーザ'端末データ（図 6)を用いて、ユーザ Aを認証し、その旨を端末 110—1に対して通知する。

なお、既に述べたように、サーバプログラム 3は、ユーザおよび端末のいずれに対する認証も行い得るが、説明の具体化'明確化のために、以下の説明においては、サーバプログラム 3がユーザの認証を行う場合について述べる。

[0038] ステップ 108， 110 (S108, S110)におレ、て、認証されたユーザ A力サーバ 2に対して所定の処理要求 aを行うための操作を端末 110-1に対して行うと、端末 110- 1は、サーバ 2に対して処理要求 aを行う。

ステップ 120 (S120)におレヽて、サーバ部 30のフィルタ部 342は、認証されたユーザ Aにより要求された処理において AP用 DB362から読み出される対象データ alについてのフィルタリング処理を開始する。

[0039] 既に例示したように、ユーザ Aのユーザ ·端末データ（図 6)の DBカラム IDにより特定され、ユーザ Aが要求した処理の対象となる対象データ alは、顧客データであつて、顧客名、顧客住所および顧客電話番号を、要素データとして含む。

また、ユーザ Aについて、ユーザ'端末データのセキュリティマスク IDにより特定されるセキュリティマスク（図 7)の内容は（一 111)であって、ユーザ Aに対して、対象データ alに含まれる全ての要素データへのアクセスを許可する。

[0040] ステップ 140 (S140)において、 AP4は、ユーザ'端末データ（図 6)が示す実行制御データ（図 9)に従って、ユーザ Aにより要求された処理を行レ、、 DB部 36の AP用 DB管理 '制御部 360に対して、対象データ alの読み出しを要求する。

ステップ 142 (S142)において、 AP用 DB管理'制御部 360は、 AP用 DB362力、ら対象データ alを読み出し、フィルタ部 342に対して出力する。フィルタ部 342は、セキュリティマスク（および必要に応じてセキュリティマスク情報；図 7)を用いてフィルタリングを行い、対象データに含まれる全ての要素データを、対象データ alを読み出した AP4に対して出力する。

[0041] ステップ 160， 162 (S160, S162)におレヽて、 AP4は、 AP用 DB管理 ·制 ί卸部 360 から入力された要素データ (顧客名、顧客住所、顧客電話番号)を処理し、これらのデータを含む処理応答を、端末 110-1に対して返し、端末 110-1は、返された処理応答を、ユーザ Αに対して示す。

これ以降、同様に、ユーザ Aは、サーバ 2に対する作業を行う。

ステップ 180， 182 (S180, S182)におレヽて、ユーザ力サーノ 2に対する作業の終了を要求すると、サーバプログラム 3のフィルタ部 342は、ユーザ Aに関するフィノレタリング処理（S120)を終了する。

[0042] また、図 11 ίこ示すよう (こ、ステップ 100, 102 (S100, S102) ίこおレヽて、ユーザ B ( 図 1)力端末 110-2に対してユーザ名（Β)およびパスワード（PW)を入力し、サーバ 2に対する認証を行うための操作を行うと、端末 110-2は、サーバ 2に対して、ュ一ザ名およびパスワードを含む認証要求を出す。

ステップ 104, 106 (S104, S106)におレヽて、サーバプログラム 3 (図 3)の認証部 3 02は、ユーザ.端末 DB306に記憶されたユーザ.端末データ（図 6)を用いて、ユーザ Bを認証し、その旨を端末 110-2に対して通知する。

[0043] ステップ 108, 110 (S108, S110)におレヽて、認証されたユーザ Bが、サーバ 2に対して所定の処理要求 aを行うための操作を端末 110-2に対して行うと、端末 110- 2は、サーバ 2に対して処理要求 aを行う。

ステップ 200 (S200)におレ、て、サーバ部 30のフィルタ部 342は、認証されたユーザ Bにより要求された処理において AP用 DB362から読み出される対象データ alについてのフィルタリング処理を開始する。

[0044] 図 10にも示したように、ユーザ Bのユーザ.端末データ（図 6)の DBカラム IDにより特定され、ユーザ Bが要求した処理の対象となる対象データ alは、顧客データであつて、顧客名、顧客住所および顧客電話番号を、要素データとして含む。

また、ユーザ Bについて、ユーザ'端末データのセキュリティマスク IDにより特定されるセキュリティマスク（図 7)の内容は（一 001)であって、ユーザ Bに対して、対象データ alに含まれる要素データの内、顧客名へのアクセスのみを許可する。

[0045] ステップ 140 (S140)において、 AP4は、ユーザ'端末データ（図 6)が示す実行制御データ（図 9)に従って、ユーザ Aにより要求された処理を行レ、、 DB部 36の AP用 DB管理 '制御部 360に対して、対象データ alの読み出しを要求する。

ステップ 142 (S142)において、 AP用 DB管理'制御部 360は、 AP用 DB362力、ら対象データ alを読み出し、フィルタ部 342に対して出力する。

フイノレタ部 342は、セキュリティマスクなどを用いてフィルタリングを行レ、、対象データ alに含まれる要素データの内、顧客名を示す要素データ a2のみを AP4に対して出力する。

[0046] ステップ 220， 222 (S220, S222)におレヽて、 AP4は、 AP用 DB管理 ·制 ί卸部 360 から入力された要素データ（顧客名）を処理し、これらのデータを含む処理応答を、端末 110-1に対して返し、端末 110-1は、返された処理応答を、ユーザ Βに対して示す。

なお、 ΑΡ4は、要求した対象データに含まれる要素データの内、フィルタ部 342による処理によって、その一部のみしか得られないときには、適宜、その旨を、ユーザ Β に対して通知するための処理を行う。

これ以降、同様に、ユーザ Βは、サーバ 2に対する作業を行う。

ステップ 180, 182 (S180, S182)におレ、て、ユーザが、サーバ 2に対する作業の終了を要求すると、サーバプログラム 3のフィルタ部 342は、ユーザ Bに関するフィノレタリング処理（S200)を終了する。

[0047] [アクセス制御リスト (ACL)による制御]

図 12—図 15は、アクセス制御リスト (ACUを用いる一般的なクライアントサーバシステムにおける第 1一第 4の処理（S80— S88)を例示する図である。

一般的なクライアントサーバシステムにおいては、ユーザごとに異なった処理を行うために、サーバにおいて、ユーザと処理とを対応付ける ACLを用レ、、ユーザそれぞれに対して、 ACLが示す処理のみを提供する方法が採られる。

ACLを用レ、る方法によると、例えば、 ACLにおいて、ユーザ Aに、顧客データに含まれる全ての要素データを用いる処理 aが許可され、ユーザ Bに、顧客データに含まれる要素データの一部を用いる処理 bが許可されていると、図 12,図 13に示すように、サーバは、ユーザ Aからの処理 aを受け入れ、ユーザ Bからの処理 aを拒否する。同様に、図 14,図 15に示すように、サーバは、ユーザ Bからの処理 bを受け入れ、ユーザ Aからの処理 bを拒否する。

[0048] [クライアントサーバシステム 1の長所]

このような一般的なクライアントサーバシステムに対して、本発明にかかるデータ読み出し方法が適用されるクライアントサーバシステム 1は、以下のような長所を有するサーバ 2をプログラミングするプログラマは、所望のセキュリティ機能を実現するために、オペレーティングシステムあるいはデータベースシステムそれぞれで異なるセキユリティ機能を習得'設定しなくとも、マスク DB322への設定のみを行えばよいので、プログラミングに要する間が、大きく削減される。

[0049] また、クライアントサーバシステム 1においては、マスク DB322への設定およびフィルタ部 342による論理演算処理により、統一的な方法で、きめ細かいセキュリティ機能が実現されうる。

また、クライアントサーバシステム 1においては、実現されるべきセキュリティ機能ごとに、異なるトランザクション処理を行うためのプログラムを作成する必要がなレ、ので、開発ェ期、工数が削減され、また、機能追加などが、低コストで柔軟に実現されうる。また、クライアントサーバシステム 1においては、マスク DB322および実行制御 DB 402などのデータを変更するだけで、ユーザごと、および、対象データごとに、柔軟にセキュリティ機能を設定することができ、しかも、設定ミスが見つかったときには、権限を有するユーザのオンライン作業により、簡単に設定ミスが修正されうる。

[0050] また、クライアントサーバシステム 1においては、時間ごとにセキュリティマスク機能を変更できるので、プログラムの修正なしに、時間に応じて異なるセキュリティ機能を実現することができるので、例えば、サーバ 2においてバッチ処理が開始される前に、サーバ 2に対するオンラインアクセスをすベて禁止するといつたことが実現されうる。また、マスク DB322に記憶されるセキュリティマスク情報に、更新属性などを付加することにより、更新トランザクションの制御も可能となるので、ダイナミックにセキュリティを変更することにより、対象データに対する制御を、よりきめ細力べ行うことができる。

[0051] なお、上記更新トランザクションとは、データを更新する処理であって、その例として、顧客電話番号が変わったときに、 DB中の内容を書き換えるような処理を挙げることができる。

更新トランザクションでは、データが不正に更新されないように、厳密なセキュリティ力システムに対して要求される。

例えば、セキュリティマスクの最上位ビットを更新可/不可ビットと設定することにより、更新トランザクションが発生する場合には、そのビットをチェックすることにより、更新トランザクションについて、統一的にセキュリティを確保することできる。

[0052] また、セキュリティ機能を変更するときににも、必要に応じてデータを変更するだけで済み、多くのプログラムを改修および試験する必要がない。

また、セキュリティ機能の変更時にも、システムの停止、プログラムファイルの入替え作業および環境設定作業などが不要で、人為的なミスでシステムが停止するなどの事故が発生しない。

産業上の利用可能性

[0053] 本発明は、クライアントサーバシステムなどに利用可能である。

Claims

請求の範囲

[1] 読み出しの対象とされ、それぞれ 1つ以上の要素データを含む 1つ以上の対象データを記憶するデータ記憶手段と、

対象データを読み出す読み出し元それぞれと、この読み出し元に対して許可される対象データと、この読み出し元に対して許可される要素データとを対応付けた許可情報を生成する許可情報生成手段と、

前記読み出し元それぞれからの要求に応じて、前記生成された許可情報に基づいて、前記記憶された対象データの内、この読み出し元に対して許可されている対象データを読み出すデータ読み出し手段と、

前記生成された許可情報に基づいて、前記読み出された対象データの内、前記要求した読み出し元に許可されている要素データを選択して、この読み出し元に対して出力するデータ選択手段と

を有するデータ読み出し装置。

[2] 前記読み出し元を認証する認証手段

をさらに有し、

前記データ読み出し手段は、前記認証された読み出し元からの要求に応じて、前記記憶された対象データを読み出し、

前記データ選択手段は、前記認証された読み出し元に許可されている要素データを選択して出力する

請求の範囲第 1項に記載のデータ読み出し装置。

[3] ユーザからの操作に応じて、前記読み出しの要求を受け入れる要求受入手段をさらに有し、

前記認証手段は、前記ユーザおよび前記要求受入手段またはこれらのレ、ずれかを、前記読み出し元として認証する

請求の範囲第 2項に記載のデータ読み出し装置。

[4] 前記対象データは、所定の記憶領域ごとに記憶され、

前記許可情報生成手段は、対象データを読み出す読み出し元それぞれと、前記記憶領域に記憶され、この読み出し元に対して許可される対象データと、この読み出し元に対して許可される要素データとを対応付けて許可情報を生成する請求の範囲第 1項に記載のデータ読み出し装置。

[5] 前記許可情報生成手段は、対象データを読み出す読み出し元それぞれと、この読み出し元に対して許可される対象データと、この読み出し元に対して許可される要素データとに、この読み出し元に対して許可する時間を示す時間情報をさらに対応付けて、前記許可情報を生成し、

前記データ選択手段は、前記生成された許可情報に基づいて、前記読み出された対象データの内、前記要求した読み出し元に許可されている要素データであって、前記時間情報によりこの読み出し元に許可されている要素データを選択して、この読み出し元に対して出力する

請求の範囲第 1項に記載のデータ読み出し装置。

[6] 前記データ読み出し手段は、

前記読み出し元に対して提供されうる 1つ以上の機能を実現する機能実現手段と、前記読み出し元それぞれと、この読み出し元に対して提供される機能とを対応付けた機能提供情報を記憶する機能提供情報記憶手段と、

前記記憶された機能提供情報に基づいて、前記機能実現手段を制御し、前記要求した読み出し元に対して、この読み出し元に対応付けられた機能を提供する機能提供手段と

を有する

請求の範囲第 1項に記載のデータ読み出し装置。

[7] 読み出しの対象とされ、それぞれ 1つ以上の要素データを含む 1つ以上の対象データを記憶し、

対象データを読み出す読み出し元それぞれと、この読み出し元に対して許可される対象データと、この読み出し元に対して許可される要素データとを対応付けた許可情報を生成し、

前記読み出し元それぞれからの要求に応じて、前記生成された許可情報に基づいて、前記記憶された対象データの内、この読み出し元に対して許可されている対象データを読み出し、前記生成された許可情報に基づいて、前記読み出された対象データの内、前記要求した読み出し元に許可されている要素データを選択して、この読み出し元に対して出力する

データ読み出し方法。

読み出しの対象とされ、それぞれ 1つ以上の要素データを含む 1つ以上の対象データを記憶するデータ記憶ステップと、

対象データを読み出す読み出し元それぞれと、この読み出し元に対して許可される対象データと、この読み出し元に対して許可される要素データとを対応付けた許可情報を生成する許可情報生成ステップと、

前記読み出し元それぞれからの要求に応じて、前記生成された許可情報に基づいて、前記記憶された対象データの内、この読み出し元に対して許可されている対象データを読み出すデータ読み出しステップと、

前記生成された許可情報に基づいて、前記読み出された対象データの内、前記要求した読み出し元に許可されている要素データを選択して、この読み出し元に対して出力するデータ選択ステップと

をコンピュータに実行させるプログラム。