WO2009113483A1 - アクセス制御システム、アクセス制御方法、及び記憶媒体 - Google Patents
アクセス制御システム、アクセス制御方法、及び記憶媒体 Download PDFInfo
- Publication number
- WO2009113483A1 WO2009113483A1 PCT/JP2009/054403 JP2009054403W WO2009113483A1 WO 2009113483 A1 WO2009113483 A1 WO 2009113483A1 JP 2009054403 W JP2009054403 W JP 2009054403W WO 2009113483 A1 WO2009113483 A1 WO 2009113483A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- access control
- control execution
- execution means
- relationship
- policy
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 27
- 230000009471 action Effects 0.000 claims description 72
- 238000006243 chemical reaction Methods 0.000 claims description 24
- 238000009434 installation Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 7
- 238000001514 detection method Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010187 selection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1012—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to domains
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6236—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
Description
図1に示すように、本発明のアクセス制御システムは、ポリシーエンジン100と、システム構成管理手段200と、アクセス制御実施手段300(300-i、i=1~n:nは任意)とを備える。
本実施形態における「アクセス権」は、特定のサブジェクト(s)、オブジェクト(o)及びアクション(a)の組を意味する。
まず、ポリシー編集手段101は、ポリシー編集処理を行う。
次に、ポリシー解釈手段102は、ポリシー解釈処理を行う。
次に、書式変換手段103は、書式変換処理を行う。
まず、ポリシー編集手段101は、サブジェクトの入力を行うためのUIを生成し、入力方法をユーザに対して表示することによって提供する。例えば、ポリシー編集手段101は、図4に示すようなUIを用いて、サブジェクトの入力フォームをユーザに提供する。
次に、ポリシー編集手段101は、生成されたUIを利用してユーザが行った入力内容を取得する。例えば、ポリシー編集手段101は、図4に示すようなUIへの入力内容「k-satou」を取得する。
次に、ポリシー編集手段101は、システム構成管理手段200に対し、オブジェクトグループのリストを要求し、システム構成管理手段200からオブジェクトグループのリストを取得する。例えば、システム構成管理手段200は、図5に示すようなオブジェクトグループの情報を参照し、オブジェクトグループ「基幹システムファイル」、「勤務管理システムファイル」、「在庫管理システムファイル」、「部門共有ファイル」、「総務部ファイル」、「経理部ファイル」、「基幹システムVM」、「勤務管理システムVM」、「在庫管理システムVM」、「部門VM」、「総務部VM」、「経理部VM」を返す。また、図5に示すようにオブジェクトグループが他のオブジェクトグループを子グループとして持っていても良い。子グループを持つ場合は、オブジェクトグループのリストを返す際に、まず、親のオブジェクトグループのみのリスト「基幹システムファイル」、「部門共有ファイル」、「基幹システムVM」、「部門VM」を返し、配下の子グループのリストを取得する追加の要求があれば、子グループのオブジェクトグループのリストを返すよう手順を分けても良い。
次に、ポリシー編集手段101は、オブジェクトグループの選択を行うためのUIを生成し、選択方法をユーザに対して表示することによって提供する。例えば、ポリシー編集手段101は、図6に示すようなUIを用いて、オブジェクトグループの選択を行うための入力フォームをユーザに提供する。
次に、ポリシー編集手段101は、生成されたUIを利用してユーザが行った選択内容を取得する。例えば、図6に示すようなUIへのオブジェクトグループの選択内容「総務部VM」を取得する。
次に、ポリシー編集手段101は、システム構成管理手段200に対し、ユーザが選択したオブジェクトグループに対応するアクションのリストを要求し、システム構成管理手段200からアクションのリストを取得する。例えば、システム構成管理手段200は、図5に示すようなオブジェクトグループとオブジェクトの関係、オブジェクトとオブジェクトタイプの関係、図7に示すようなオブジェクトタイプとアクションの関係を参照し、ユーザが選択したオブジェクトグループに対応するアクションを返す。例えば、システム構成管理手段200は、オブジェクトグループ「総務部VM」に対応するアクション「起動」、「停止」、「再起動」、「一時停止」、「ダンプ」、「保存」を返す。
次に、ポリシー編集手段101は、アクションの選択を行うためのUIを生成し、選択方法をユーザに対して表示することによって提供する。例えば、ポリシー編集手段101は、図4に示すようなUIを用いて、アクションの選択を行うための入力フォームをユーザに提供する。
次に、ポリシー編集手段101は、生成されたUIを利用してユーザが行った選択内容を取得する。例えば、ポリシー編集手段101は、図4に示すようなUIにおけるオブジェクトグループ「総務部VM」に対応するアクションの選択内容「起動許可」、「停止許可」、「再起動許可」、「一時停止許可」、「ダンプ拒否」、「保存拒否」を取得する。ここでは、ポリシー編集手段101は、図4に示すようなUIにおいて、アクション「起動」、「停止」、「再起動」、「一時停止」、「ダンプ」、「保存」の各々に対応するチェックボックス(check box)にチェックが入っているものを「許可」、チェックが入っていないものを「拒否」と判断している。但し、実際には、これらの例に限定されない。
次に、ポリシー編集手段101は、ユーザが入力し選択した、サブジェクト、オブジェクトグループ、アクションの値の組を用いてポリシーを生成し、ポリシー解釈手段102に出力する。例えば、ポリシー編集手段101は、ユーザが入力フォームにおいて入力し選択した値を、予め定められた文法に沿って並べ、図8に示すようなポリシーを生成する。
まず、ポリシー解釈手段102は、ポリシー編集手段101から入力されたポリシーを取得する。例えば、ポリシー解釈手段102は、図8に示すようなポリシーを取得する。
次に、ポリシー解釈手段102は、ポリシーからオブジェクトグループを取り出す。例えば、ポリシー解釈手段102は、図8に示すようなポリシーに記載されているオブジェクトグループ「総務部ファイル」、「総務部VM」を取り出す。
次に、ポリシー解釈手段102は、システム構成管理手段200に対し、オブジェクトグループに対応するオブジェクトのリストを要求し、システム構成管理手段200からオブジェクトのリストを取得する。例えば、システム構成管理手段は、図5に示すようなオブジェクトグループとオブジェクトの関係を参照し、オブジェクトグループに対応するオブジェクトのリストを返す。例えば、オブジェクトグループ「総務部VM」に対応するオブジェクト「vm://vmm05.domain.jp/soumu01.domain.jp」、「vm://vmm05.domain.jp/soumu02.domain.jp」を返す。なお、「*」は、「任意の文字」を意味する特殊文字(ワイルドカード)であり、「/」を除く任意の文字列にマッチする。
次に、ポリシー解釈手段102は、システム構成管理手段200に対し、オブジェクトに対応するアクセス制御実施手段300(300-i、i=1~n)に関する情報を要求し、システム構成管理手段200からアクセス制御実施手段300(300-i、i=1~n)に関する情報を取得する。例えば、システム構成管理手段200は、図10に示すようなオブジェクトとアクセス制御実施手段の関係を参照し、アクセス制御実施手段300(300-i、i=1~n)に関する情報を返す。例えば、オブジェクト「vm://vmm05.domain.jp/soumu01.domain.jp」、「vm://vmm05.domain.jp/soumu02.domain.jp」に対応するアクセス制御実施手段として、「vm://vmm05.domain.jp/**」に対応するアクセス制御手段「rm://vmm05.domain.jp/vm-rm」を返す。
次に、ポリシー解釈手段102は、対応するアクセス制御実施手段300(300-i、i=1~n)毎にACLを生成し、生成されたACLを書式変換手段103に出力する。例えば、ポリシー解釈手段102は、ポリシーのサブジェクトをACLのサブジェクトとし、ポリシーのオブジェクトグループにおいて同じアクセス制御実施手段300(300-i、i=1~n)に対応するオブジェクトをACLのオブジェクトとし、ポリシーのアクションをACLのアクションとして、ACLを生成する。これにより、オブジェクトが対応するアクセス制御実施手段300(300-i、i=1~n)毎にACLを生成する。例えば、ポリシー解釈手段102は、アクセス制御実施手段300(300-i、i=1~n)毎に、図11~図13に示すようなACLを生成する。例えば、アクセス制御実施手段「rm://vmm05.domain.jp/vm-rm」に対応するACLは、図13に示すようなACLとなる。
まず、書式変換手段103は、ポリシー解釈手段102から入力されたアクセス制御実施手段300(300-i、i=1~n)毎のACLを取得する。例えば、書式変換手段103は、図13に示すようなACLを取得する。
次に、書式変換手段103は、書式管理手段104に対し、アクセス制御実施手段300(300-i、i=1~n)に対応するテンプレートを要求し、書式管理手段104からテンプレートを取得する。例えば、書式管理手段104は、図15に示すようなアクセス制御実施手段とテンプレートの関係を参照し、アクセス制御実施手段300(300-i、i=1~n)に対応する図16~図17に示すようなテンプレートを返す。例えば、アクセス制御実施手段「rm://vmm05.domain.jp/vm-rm」に対応するテンプレートとして、図17に示すようなテンプレートを返す。
次に、書式変換手段103は、アクセス制御実施手段300(300-i、i=1~n)毎のACLと、当該アクセス制御実施手段300(300-i、i=1~n)に対応するテンプレートを用いて、アクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成する。例えば、書式変換手段103は、図11に示すようなACLと、図16に示すようなテンプレートを用いて、図18に示すようなアクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成する。また、書式変換手段103は、図12に示すようなACLと、図16に示すようなテンプレートを用いて、図19に示すようなアクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成する。また、書式変換手段103は、図13に示すようなACLと、図17に示すようなテンプレートを用いて、図20に示すようなアクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成する。
次に、書式変換手段103は、システム構成管理手段200に対し、当該アクセス制御実施手段300(300-i、i=1~n)に対応する設定ファイルの出力先に関する情報を要求し、システム構成管理手段200から設定ファイルの出力先に関する情報を取得し、当該出力先に対して、当該設定ファイルを入力する。例えば、システム構成管理手段200は、図21に示すようなアクセス制御実施手段とアクセス制御実施手段の設定ファイルの出力先の関係を参照し、当該アクセス制御実施手段300(300-i、i=1~n)に対応する設定ファイルの出力先に関する情報を返す。例えば、システム構成管理手段200は、アクセス制御手段「rm://vmm05.domain.jp/vm-rm」に対応する設定ファイルの出力先「https://vmm05.domain.jp/settei/vm-rm」を返す。
本発明では、少なくともオブジェクトグループとアクションの組を記載したアクセス制御ポリシーからアクセス制御リストを生成する。
Claims (15)
- オブジェクトへのアクセスを制御する複数のアクセス制御実施手段と、
オブジェクトグループと前記オブジェクトとの関係、前記オブジェクトとアクションとの関係、前記オブジェクトと前記複数のアクセス制御実施手段の各々との関係、前記各アクセス制御実施手段と前記各アクセス制御実施手段の設定ファイルの設置場所との関係に関する情報を格納し、要求された関係に関する情報を検索し、検索結果を出力するシステム構成管理手段と、
前記システム構成管理手段を参照し、前記オブジェクトグループとアクションとの組に関する情報を記載したアクセス制御ポリシーを生成し、前記複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成するポリシーエンジンと
を具備する
アクセス制御システム。 - 請求の範囲1に記載のアクセス制御システムであって、
前記ポリシーエンジンは、
前記アクセス制御手段の設定ファイルの書式テンプレートと、
前記各アクセス制御実施手段と前記書式テンプレートとの関係を示す書式テンプレート対応テーブルと
を含み、
前記ポリシーエンジンは、前記書式テンプレート対応テーブルを参照し、前記各アクセス制御実施手段の種類に依存しない書式で記載されたアクセス制御リストから、アクセス制御実施手段毎に異なる書式の設定ファイルを生成する
アクセス制御システム。 - 請求の範囲2に記載のアクセス制御システムであって、
前記ポリシーエンジンは、前記書式テンプレート対応テーブルを参照し、設定対象のアクセス制御実施手段に基づき、前記複数のアクセス制御実施手段に対して、前記生成された設定ファイルをアクセス制御実施手段毎に異なる配付先に受け渡す
アクセス制御システム。 - 請求の範囲3に記載のアクセス制御システムであって、
前記システム構成管理手段は、
前記オブジェクトグループと、前記オブジェクトグループに対応するオブジェクトとの関係を示すオブジェクトグループ対応テーブルと、
前記オブジェクトと、前記オブジェクトへのアクセスを制御するアクセス制御実施手段との関係を示すアクセス制御対応テーブルと、
前記オブジェクトと、前記オブジェクトが利用可能なアクションとの関係を示すアクション対応テーブルと
を含み、
前記ポリシーエンジンは、利用者がアクセス制御ポリシーの記載内容を入力する際に、前記システム構成管理手段を参照し、前記利用者に対して、記載可能なオブジェクトグループと、前記記載可能なオブジェクトグループに結びついたオブジェクトに対応する記載可能なアクションに関する情報を提示する
アクセス制御システム。 - 請求の範囲4に記載のアクセス制御システムであって、
前記ポリシーエンジンは、
前記システム構成管理手段から、前記オブジェクトグループ、及び前記オブジェクトグループに対応するアクションを検索して取得し、前記利用者がアクセス制御ポリシーを編集するためのUI(User Interface)を提供するポリシー編集手段と、
前記ポリシー編集手段からアクセス制御ポリシーを取得し、前記システム構成管理手段から、前記オブジェクトグループに対応するオブジェクトと、前記オブジェクトに対応するアクセス制御実施手段を検索して取得し、前記複数のアクセス制御実施手段に対して、アクセス制御実施手段毎に異なるアクセス制御リストを生成する
ポリシー解釈手段と、
アクセス制御実施手段毎の書式テンプレートを格納し、要求されたアクセス制御実施手段に対応する書式テンプレートを出力する書式管理手段と、
前記ポリシー解釈手段からアクセス制御実施手段毎に異なるアクセス制御リストを取得し、前記書式管理手段から前記各アクセス制御実施手段に対応する書式テンプレートを検索して取得し、アクセス制御実施手段毎の設定ファイルを生成し、前記システム構成管理手段からアクセス制御実施手段毎の設定ファイルの出力先に関する情報を検索して取得し、前記出力先に対してアクセス制御実施手段毎の設定ファイルを出力する書式変換手段と
を更に含む
アクセス制御システム。 - 複数のアクセス制御実施手段によりオブジェクトへのアクセスを制御することと、
オブジェクトグループと前記オブジェクトとの関係、前記オブジェクトとアクションとの関係、前記オブジェクトと前記複数のアクセス制御実施手段の各々との関係、前記各アクセス制御実施手段と前記各アクセス制御実施手段の設定ファイルの設置場所との関係に関する情報をシステム構成管理手段に格納し、要求された関係に関する情報を検索し、検索結果を出力することと、
前記システム構成管理手段を参照し、前記オブジェクトグループとアクションとの組に関する情報を記載したアクセス制御ポリシーを生成し、前記複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成することと
を含む
アクセス制御方法。 - 請求の範囲6に記載のアクセス制御方法であって、
前記アクセス制御手段の設定ファイルの書式テンプレートと、前記各アクセス制御実施手段との関係を示す書式テンプレート対応テーブルを保持することと、
前記書式テンプレート対応テーブルを参照し、前記各アクセス制御実施手段の種類に依存しない書式で記載されたアクセス制御リストから、アクセス制御実施手段毎に異なる書式の設定ファイルを生成することと
を更に含む
アクセス制御方法。 - 請求の範囲7に記載のアクセス制御方法であって、
前記書式テンプレート対応テーブルを参照し、設定対象のアクセス制御実施手段に基づき、前記複数のアクセス制御実施手段に対して、前記生成された設定ファイルをアクセス制御実施手段毎に異なる配付先に受け渡すこと
を更に含む
アクセス制御方法。 - 請求の範囲8に記載のアクセス制御方法であって、
前記オブジェクトグループと、前記オブジェクトグループに対応するオブジェクトとの関係を示すオブジェクトグループ対応テーブルを保持することと、
前記オブジェクトと、前記オブジェクトへのアクセスを制御するアクセス制御実施手段との関係を示すアクセス制御対応テーブルを保持することと、
前記オブジェクトと、前記オブジェクトが利用可能なアクションとの関係を示すアクション対応テーブルを保持することと、
利用者がアクセス制御ポリシーの記載内容を入力する際に、前記システム構成管理手段を参照し、前記利用者に対して、記載可能なオブジェクトグループと、前記記載可能なオブジェクトグループに結びついたオブジェクトに対応する記載可能なアクションに関する情報を提示することと
を更に含む
アクセス制御方法。 - 請求の範囲9に記載のアクセス制御方法であって、
前記システム構成管理手段から、前記オブジェクトグループ、及び前記オブジェクトグループに対応するアクションを検索して取得し、前記利用者がアクセス制御ポリシーを編集するためのUI(User Interface)を提供することと、
前記編集されたアクセス制御ポリシーを取得し、前記システム構成管理手段から、前記オブジェクトグループに対応するオブジェクトと、前記オブジェクトに対応するアクセス制御実施手段を検索して取得し、前記複数のアクセス制御実施手段に対して、アクセス制御実施手段毎に異なるアクセス制御リストを生成することと、
アクセス制御実施手段毎の書式テンプレートを保持することと、
前記生成されたアクセス制御実施手段毎に異なるアクセス制御リストを取得し、前記各アクセス制御実施手段に対応する書式テンプレートを検索して取得し、アクセス制御実施手段毎の設定ファイルを生成し、前記システム構成管理手段からアクセス制御実施手段毎の設定ファイルの出力先に関する情報を検索して取得し、前記出力先に対してアクセス制御実施手段毎の設定ファイルを出力することと
を更に含む
アクセス制御方法。 - 複数のアクセス制御実施手段によりオブジェクトへのアクセスを制御するステップと、
オブジェクトグループと前記オブジェクトとの関係、前記オブジェクトとアクションとの関係、前記オブジェクトと前記複数のアクセス制御実施手段の各々との関係、前記各アクセス制御実施手段と前記各アクセス制御実施手段の設定ファイルの設置場所との関係に関する情報をシステム構成管理手段に格納し、要求された関係に関する情報を検索し、検索結果を出力するステップと、
前記システム構成管理手段を参照し、前記オブジェクトグループとアクションとの組に関する情報を記載したアクセス制御ポリシーを生成し、前記複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成するステップと
をコンピュータに実行させるためのアクセス制御プログラムを格納した
記憶媒体。 - 請求の範囲11に記載の記憶媒体であって、
前記アクセス制御手段の設定ファイルの書式テンプレートと、前記各アクセス制御実施手段との関係を示す書式テンプレート対応テーブルを保持するステップと、
前記書式テンプレート対応テーブルを参照し、前記各アクセス制御実施手段の種類に依存しない書式で記載されたアクセス制御リストから、アクセス制御実施手段毎に異なる書式の設定ファイルを生成するステップと
を更にコンピュータに実行させるためのアクセス制御プログラムを格納した
記憶媒体。 - 請求の範囲12に記載の記憶媒体であって、
前記書式テンプレート対応テーブルを参照し、設定対象のアクセス制御実施手段に基づき、前記複数のアクセス制御実施手段に対して、前記生成された設定ファイルをアクセス制御実施手段毎に異なる配付先に受け渡すステップ
を更にコンピュータに実行させるためのアクセス制御プログラムを格納した
記憶媒体。 - 請求の範囲13に記載の記憶媒体であって、
前記オブジェクトグループと、前記オブジェクトグループに対応するオブジェクトとの関係を示すオブジェクトグループ対応テーブルを保持するステップと、
前記オブジェクトと、前記オブジェクトへのアクセスを制御するアクセス制御実施手段との関係を示すアクセス制御対応テーブルを保持するステップと、
前記オブジェクトと、前記オブジェクトが利用可能なアクションとの関係を示すアクション対応テーブルを保持するステップと、
利用者がアクセス制御ポリシーの記載内容を入力する際に、前記システム構成管理手段を参照し、前記利用者に対して、記載可能なオブジェクトグループと、前記記載可能なオブジェクトグループに結びついたオブジェクトに対応する記載可能なアクションに関する情報を提示するステップと
を更にコンピュータに実行させるためのアクセス制御プログラムを格納した
記憶媒体。 - 請求の範囲14に記載の記憶媒体であって、
前記システム構成管理手段から、前記オブジェクトグループ、及び前記オブジェクトグループに対応するアクションを検索して取得し、前記利用者がアクセス制御ポリシーを編集するためのUI(User Interface)を提供するステップと、
前記編集されたアクセス制御ポリシーを取得し、前記システム構成管理手段から、前記オブジェクトグループに対応するオブジェクトと、前記オブジェクトに対応するアクセス制御実施手段を検索して取得し、前記複数のアクセス制御実施手段に対して、アクセス制御実施手段毎に異なるアクセス制御リストを生成するステップと、
アクセス制御実施手段毎の書式テンプレートを保持するステップと、
前記生成されたアクセス制御実施手段毎に異なるアクセス制御リストを取得し、前記各アクセス制御実施手段に対応する書式テンプレートを検索して取得し、アクセス制御実施手段毎の設定ファイルを生成し、前記システム構成管理手段からアクセス制御実施手段毎の設定ファイルの出力先に関する情報を検索して取得し、前記出力先に対してアクセス制御実施手段毎の設定ファイルを出力するステップと
を更にコンピュータに実行させるためのアクセス制御プログラムを格納した
記憶媒体。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/920,196 US20110010754A1 (en) | 2008-03-10 | 2009-03-09 | Access control system, access control method, and recording medium |
JP2010502802A JP5424062B2 (ja) | 2008-03-10 | 2009-03-09 | アクセス制御システム、アクセス制御方法、及び記憶媒体 |
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008060231 | 2008-03-10 | ||
JP2008-060231 | 2008-03-10 | ||
JP2008238663 | 2008-09-17 | ||
JP2008-238663 | 2008-09-17 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2009113483A1 true WO2009113483A1 (ja) | 2009-09-17 |
Family
ID=41065150
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2009/054403 WO2009113483A1 (ja) | 2008-03-10 | 2009-03-09 | アクセス制御システム、アクセス制御方法、及び記憶媒体 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20110010754A1 (ja) |
JP (1) | JP5424062B2 (ja) |
WO (1) | WO2009113483A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012194801A (ja) * | 2011-03-16 | 2012-10-11 | Hitachi Systems Ltd | セキュリティポリシー管理システム及びセキュリティリスク管理装置を備えたセキュリティポリシー管理システム |
WO2016060068A1 (ja) * | 2014-10-15 | 2016-04-21 | 株式会社日立製作所 | 情報共有装置、及び、情報共有方法 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5494653B2 (ja) * | 2009-04-10 | 2014-05-21 | 日本電気株式会社 | アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム |
US9396343B2 (en) * | 2014-10-20 | 2016-07-19 | International Business Machines Corporation | Policy access control lists attached to resources |
CN108628879B (zh) * | 2017-03-19 | 2023-04-07 | 上海格尔安全科技有限公司 | 一种带优先级策略的访问控制构造的检索方法 |
US10628560B1 (en) * | 2017-09-11 | 2020-04-21 | Architecture Technology Corporation | Permission request system and method |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11313102A (ja) * | 1998-02-27 | 1999-11-09 | Fujitsu Ltd | アクセス制御リスト生成方法及びその装置 |
JP2002202888A (ja) * | 2000-11-01 | 2002-07-19 | Mitsubishi Electric Corp | ルールベースシステムおよびこの情報提示方法 |
JP2006012117A (ja) * | 2004-05-21 | 2006-01-12 | Nec Corp | アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム |
JP2006053824A (ja) * | 2004-08-13 | 2006-02-23 | Nec Corp | アクセス制御システム、アクセス制御方法、及び、プログラム |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7272815B1 (en) * | 1999-05-17 | 2007-09-18 | Invensys Systems, Inc. | Methods and apparatus for control configuration with versioning, security, composite blocks, edit selection, object swapping, formulaic values and other aspects |
-
2009
- 2009-03-09 US US12/920,196 patent/US20110010754A1/en not_active Abandoned
- 2009-03-09 JP JP2010502802A patent/JP5424062B2/ja active Active
- 2009-03-09 WO PCT/JP2009/054403 patent/WO2009113483A1/ja active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11313102A (ja) * | 1998-02-27 | 1999-11-09 | Fujitsu Ltd | アクセス制御リスト生成方法及びその装置 |
JP2002202888A (ja) * | 2000-11-01 | 2002-07-19 | Mitsubishi Electric Corp | ルールベースシステムおよびこの情報提示方法 |
JP2006012117A (ja) * | 2004-05-21 | 2006-01-12 | Nec Corp | アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム |
JP2006053824A (ja) * | 2004-08-13 | 2006-02-23 | Nec Corp | アクセス制御システム、アクセス制御方法、及び、プログラム |
Non-Patent Citations (1)
Title |
---|
YOICHIRO MORITA ET AL.: "Anzen na Ad-hoc Joho Kyoyu no Tameno Doteki ACL Settei Hoshiki", DYNAMIC ACCESS CONTROL METHOD FOR AD-HOC INFORMATION SHARING, IEICE TECHNICAL REPORT, vol. 105, no. 398, 8 November 2005 (2005-11-08), pages 7 - 14 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012194801A (ja) * | 2011-03-16 | 2012-10-11 | Hitachi Systems Ltd | セキュリティポリシー管理システム及びセキュリティリスク管理装置を備えたセキュリティポリシー管理システム |
WO2016060068A1 (ja) * | 2014-10-15 | 2016-04-21 | 株式会社日立製作所 | 情報共有装置、及び、情報共有方法 |
JP2016081243A (ja) * | 2014-10-15 | 2016-05-16 | 株式会社日立製作所 | 情報共有装置、及び、情報共有方法 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2009113483A1 (ja) | 2011-07-21 |
US20110010754A1 (en) | 2011-01-13 |
JP5424062B2 (ja) | 2014-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8234693B2 (en) | Secure document management | |
US8887271B2 (en) | Method and system for managing object level security using an object definition hierarchy | |
US11973760B2 (en) | Hierarchical permissions model within a document | |
EP3133507A1 (en) | Context-based data classification | |
US9268802B2 (en) | System and method for end-to-end exposure of exported representations of native data types to third-party applications | |
JP5645034B2 (ja) | アクセス制御プログラム、システム及び方法 | |
CN103377336B (zh) | 一种计算机系统用户权限的控制方法和系统 | |
US10776505B2 (en) | Data loss prevention for an online content management platform | |
JP5424062B2 (ja) | アクセス制御システム、アクセス制御方法、及び記憶媒体 | |
US11770450B2 (en) | Dynamic routing of file system objects | |
US8966576B2 (en) | Provisioning access control using SDDL on the basis of a XACML policy | |
CN111818175B (zh) | 企业服务总线配置文件生成方法、装置、设备和存储介质 | |
JP7040800B2 (ja) | コンピュータファイルメタデータの収集および表示を実施するためのアーキテクチャ、方法および装置 | |
US11704114B2 (en) | Data structures for managing configuration versions of cloud-based applications | |
US11966732B2 (en) | Data structures for managing configuration versions of cloud-based applications | |
JP2011154496A (ja) | アクセス権設定プログラム、アクセス権設定装置及びアクセス権管理システム | |
JP2005301602A (ja) | 情報処理装置、操作許否判定方法、操作許可情報生成方法、操作許否判定プログラム、操作許可情報生成プログラム及び記録媒体 | |
US20140129934A1 (en) | Dynamic model-based management tooling | |
JP2014170324A (ja) | アクセス制御システム、アクセス制御方法およびプログラム | |
JP2007233635A (ja) | 情報管理システム及び情報管理方法、並びにコンピュータ・プログラム | |
US9767313B2 (en) | Method for automated separation and partitioning of data in a payroll and resource planning system | |
US11669527B1 (en) | Optimized policy data structure for distributed authorization systems | |
CN115407992B (zh) | 数据查询菜单的配置方法、装置、电子设备以及存储介质 | |
US20220405377A1 (en) | Data access control method, data access control apparatus, and data access control program | |
JP2022141592A (ja) | コミュニティ指向の、クラウドベースのデジタルアニーリングプラットフォーム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 09721077 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 12920196 Country of ref document: US Ref document number: 2010502802 Country of ref document: JP |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 09721077 Country of ref document: EP Kind code of ref document: A1 |