WO2009113483A1 - アクセス制御システム、アクセス制御方法、及び記憶媒体 - Google Patents
アクセス制御システム、アクセス制御方法、及び記憶媒体 Download PDFInfo
- Publication number
- WO2009113483A1 WO2009113483A1 PCT/JP2009/054403 JP2009054403W WO2009113483A1 WO 2009113483 A1 WO2009113483 A1 WO 2009113483A1 JP 2009054403 W JP2009054403 W JP 2009054403W WO 2009113483 A1 WO2009113483 A1 WO 2009113483A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- access control
- control execution
- execution means
- relationship
- policy
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 27
- 230000009471 action Effects 0.000 claims description 72
- 238000006243 chemical reaction Methods 0.000 claims description 24
- 238000009434 installation Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 7
- 238000001514 detection method Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010187 selection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1012—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to domains
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6236—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
オブジェクトによって異なる多種類のアクセス制御実施手段が同時に接続されている際、各アクセス制御実施手段に適用するアクセス制御リストを、各アクセス制御実施手段に対応した書式で生成し、各アクセス制御実施手段に受け渡す処理を、アクセス制御ポリシーに基づいて一括して処理する。具体的には、オブジェクトとアクセス制御実施手段の関係に基づき、複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成する。アクセス制御実施手段とアクセス制御リストの内容を記載する設定ファイルの書式テンプレートの関係に基づき、アクセス制御実施手段の種類に依存しない書式で記載されたアクセス制御リストから、アクセス制御実施手段毎に異なる書式の設定ファイルを生成する。アクセス制御実施手段と設定ファイルの配付先の関係に基づき、設定ファイルを受け渡す。
Description
本発明は、アクセス制御システムに関し、特に利用可能なアクションが異なるオブジェクトが混在するアクセス制御システムに関する。
アクセス制御方法の一例が、日本出願番号平11-313102に記載されている。日本出願番号平11-313102に記載されているアクセス制御方法は、アクセス主体種別と、アクセス対象種別と、組織構造に基づく制約条件によって記述されたアクセス制御ポリシーから、アクセス主体と、アクセス対象によって記述されたアクセス制御リストを生成する方法である。そして、日本出願番号平11-313102に記載されているアクセス制御方法は、主体(アクセス主体)と主体種別とを直接に対応付ける主体種別グループ情報と、対象(アクセス対象)と対象種別とを直接に対応付ける対象種別グループ情報と、主体及び対象と組織との対応付けを単一の木構造で表現した組織構造情報とを持ち、これを使用して制約条件を満足するアクセス制御リストのみを生成可能としている。
しかし、日本出願番号平11-313102に記載されているアクセス制御方法では、利用可能なアクションが異なるオブジェクトが混在し、オブジェクトによってアクセス制御リストの配付先のアクセス制御実施手段(アクセス制御装置)が異なる場合、それらオブジェクトに対するアクセス制御リストの生成と配付を、アクセス制御ポリシーの記述内容に基づいて一括して処理することができないという問題がある。その理由は、日本出願番号平11-313102に記載されているアクセス制御方法では、オブジェクトに対して利用可能なアクションや、アクセス制御リストを配付すべきアクセス制御実施手段を特定する方法が無いからである。
また、関連する技術として、日本出願番号2002-202888にルールベースシステム及びこの情報提示方法が開示されている。この関連技術では、情報収集装置は、新規のデータをデータベース及び情報処理装置に入力する。ルール検出部は、新規のデータを条件の一つとして有するルールを条件ツリーから検出し、検出したルールの条件情報を条件格納部から、アクション情報をアクション格納部から読み出す。情報検出部は、ルール検出部が検出したルールの条件情報の各々に適合するデータをデータベースから検出する。ルール表示装置は、情報検出部がルールの条件を全て満たした場合には、そのルールが有するアクション情報を表示し、満たされていない条件情報がある場合には、その満たされていない条件情報と、ルールが有するアクション情報とを表示する。
また、日本出願番号2006-012117にアクセス制御システム、アクセス制御方法及びアクセス制御用プログラムが開示されている。この関連技術では、ポリシ格納手段は、アドホックグループにリソース(アクセス先)を共有させるための設定情報の集合であるアクセス制御ポリシを格納する。アクセス制御ポリシの一部が編集されると、ポリシ解析手段は、編集されたアクセス制御ポリシから生成されるルールを更新する。このとき、ユーザが複数のユーザグループに属することを表現可能なデータ構造を有するオブジェクト知識を用いてルールを更新する。アクセス制御リスト設定手段は、更新されたルールに基づいて、アクセス制御リストの一部を更新する。
本発明の目的は、利用可能なアクションが異なるオブジェクトが混在し、オブジェクトによってアクセス制御リストの配付先のアクセス制御実施手段(アクセス制御装置)が異なる場合、それらオブジェクトに対するアクセス制御リストの生成と配付を、アクセス制御ポリシーの記述内容に基づいて一括して処理することができるアクセス制御システム、アクセス制御方法、アクセス制御プログラム、及び記憶媒体を提供することである。
本発明のアクセス制御システムは、オブジェクトへのアクセスを制御する複数のアクセス制御実施手段と、オブジェクトグループとオブジェクトとの関係、オブジェクトとアクションとの関係、オブジェクトと複数のアクセス制御実施手段の各々との関係、各アクセス制御実施手段と各アクセス制御実施手段の設定ファイルの設置場所との関係に関する情報を格納し、要求された関係に関する情報を検索し、検索結果を出力するシステム構成管理手段と、システム構成管理手段を参照し、オブジェクトグループとアクションとの組に関する情報を記載したアクセス制御ポリシーを生成し、複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成するポリシーエンジンとを具備する。
本発明のアクセス制御方法は、複数のアクセス制御実施手段によりオブジェクトへのアクセスを制御するステップと、オブジェクトグループとオブジェクトとの関係、オブジェクトとアクションとの関係、オブジェクトと複数のアクセス制御実施手段の各々との関係、各アクセス制御実施手段と各アクセス制御実施手段の設定ファイルの設置場所との関係に関する情報をシステム構成管理手段に格納し、要求された関係に関する情報を検索し、検索結果を出力するステップと、システム構成管理手段を参照し、オブジェクトグループとアクションとの組に関する情報を記載したアクセス制御ポリシーを生成し、複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成するステップとを含む。
本発明のアクセス制御プログラムは、複数のアクセス制御実施手段によりオブジェクトへのアクセスを制御するステップと、オブジェクトグループとオブジェクトとの関係、オブジェクトとアクションとの関係、オブジェクトと複数のアクセス制御実施手段の各々との関係、各アクセス制御実施手段と各アクセス制御実施手段の設定ファイルの設置場所との関係に関する情報をシステム構成管理手段に格納し、要求された関係に関する情報を検索し、検索結果を出力するステップと、システム構成管理手段を参照し、オブジェクトグループとアクションとの組に関する情報を記載したアクセス制御ポリシーを生成し、複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成するステップとをコンピュータに実行させるためのプログラムである。
本発明に係る記憶媒体は、複数のアクセス制御実施手段によりオブジェクトへのアクセスを制御するステップと、オブジェクトグループとオブジェクトとの関係、オブジェクトとアクションとの関係、オブジェクトと複数のアクセス制御実施手段の各々との関係、各アクセス制御実施手段と各アクセス制御実施手段の設定ファイルの設置場所との関係に関する情報をシステム構成管理手段に格納し、要求された関係に関する情報を検索し、検索結果を出力するステップと、システム構成管理手段を参照し、オブジェクトグループとアクションとの組に関する情報を記載したアクセス制御ポリシーを生成し、複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成するステップとをコンピュータに実行させるためのアクセス制御プログラムを格納した記憶媒体である。
ファイルシステムが異なるOS(Operating System)等、アクションとの組み合わせの異なるオブジェクトが混在し、同時に多種類のアクセス制御実施手段が接続されていても、アクセス制御ポリシーを記載する際にそれを意識せず、これまでと同じ方法やシステムでアクセス制御ポリシーを記述し、アクセス制御を一括して実施できる。
以下に、本発明の実施形態について添付図面を参照して説明する。
図1に示すように、本発明のアクセス制御システムは、ポリシーエンジン100と、システム構成管理手段200と、アクセス制御実施手段300(300-i、i=1~n:nは任意)とを備える。
図1に示すように、本発明のアクセス制御システムは、ポリシーエンジン100と、システム構成管理手段200と、アクセス制御実施手段300(300-i、i=1~n:nは任意)とを備える。
アクセス制御システムは、例えばコンピュータシステムで実現される。なお、ポリシーエンジン100、システム構成管理手段200、及びアクセス制御実施手段300(300-i、i=1~n)は、それぞれ別個のコンピュータシステムでも良い。或いは、ポリシーエンジン100、システム構成管理手段200、及びアクセス制御実施手段300(300-i、i=1~n)は、一部又は全部が同一のコンピュータシステムでも良い。例えば、ポリシーエンジン100、システム構成管理手段200、及びアクセス制御実施手段300(300-i、i=1~n)は、同一のコンピュータシステム上の別個の仮想マシン(VM:Virtual Machine)環境でも良い。但し、実際には、これらの例に限定されない。
ポリシーエンジン100は、ポリシー編集手段101と、ポリシー解釈手段102と、書式変換手段103と、書式管理手段104とを含む。
なお、ポリシー編集手段101及びポリシー解釈手段102は、具体的には、プログラムに従って動作する情報処理装置のCPU(Central Processing Unit)と、RAM(Random Access Memory)等の記憶媒体と、システム構成管理手段200と通信を行なうための通信インタフェース(I/F:Interface)とによって実現される。
また、書式変換手段103は、具体的には、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、書式管理手段104、システム構成管理手段200、アクセス制御実施手段300(300-i、i=1~n)と通信を行なうための通信インタフェースとによって実現される。
更に、書式管理手段104、システム構成管理手段200、アクセス制御実施手段300(300-i、i=1~n)は、具体的には、プログラムに従って動作する情報処理装置のCPUと、RAMやハードディスク等の記憶媒体とによって実現される。
但し、実際には、これらの例に限定されない。
ポリシー編集手段101は、システム構成管理手段200から、オブジェクトグループのリストや、オブジェクトグループに対応するアクションを検索して取得しながら、ポリシーを編集するUI(User Interface)を提供する。
ポリシー解釈手段102は、ポリシー編集手段101から入力されたポリシーを取得し、システム構成管理手段200から、オブジェクトグループに対応するオブジェクトと、オブジェクトに対応するアクセス制御実施手段300(300-i、i=1~n)を検索して取得し、取得されたアクセス制御実施手段300(300-i、i=1~n)毎のACL(Access Control List:アクセス制御リスト)を生成する。ここでは、ポリシー解釈手段102は、少なくともオブジェクトグループとアクションの組を記載したアクセス制御ポリシーからアクセス制御リストを生成する。
書式変換手段103は、ポリシー解釈手段102から入力されたアクセス制御実施手段300(300-i、i=1~n)毎のACLを取得し、書式管理手段104からアクセス制御実施手段300(300-i、i=1~n)に対応するテンプレートを検索して取得し、取得されたテンプレートに基づいて、アクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成し、システム構成管理手段200からアクセス制御実施手段300(300-i、i=1~n)の設定ファイルの出力先に関する情報を検索して取得し、当該出力先に対して設定ファイルを出力する。
書式管理手段104は、アクセス制御実施手段300(300-i、i=1~n)毎のテンプレートを格納し、要求されたアクセス制御実施手段300(300-i、i=1~n)のテンプレートを出力する。ここでは、書式管理手段104は、書式テンプレートと、書式テンプレート対応テーブルとを格納する。書式テンプレート対応テーブルは、アクセス制御実施手段300(300-i、i=1~n)と、当該アクセス制御実施手段300(300-i、i=1~n)の設定ファイルの書式テンプレートとの関係を示す。
システム構成管理手段200は、オブジェクトグループとオブジェクトの関係、オブジェクトとオブジェクトタイプの関係、オブジェクトタイプとアクションの関係、オブジェクトとアクセス制御実施手段300(300-i、i=1~n)の関係、アクセス制御実施手段300(300-i、i=1~n)と設定ファイルの設置場所の関係に関する情報を格納し、要求された関係に関する情報を検索し、検索結果を出力する。ここでは、システム構成管理手段200は、少なくとも、オブジェクトグループ対応テーブルと、アクセス制御対応テーブルと、アクション対応テーブルとを格納する。オブジェクトグループ対応テーブルは、オブジェクトグループと当該オブジェクトグループと対応する1つ以上のオブジェクトとの関係を示す。アクセス制御対応テーブルは、オブジェクトと当該オブジェクトへのアクセスを制御するアクセス制御実施手段との関係を示す。アクション対応テーブルは、オブジェクトと、当該オブジェクトが利用可能なアクションとの関係を示す。
アクセス制御実施手段300(300-i、i=1~n)は、書式変換手段103から入力された設定ファイルを取得し、設定ファイルに記述されたACLの内容に基づいて、アクセス制御を実施する。
ここで、本実施形態で用いる用語について説明する。
本実施形態における「アクセス権」は、特定のサブジェクト(s)、オブジェクト(o)及びアクション(a)の組を意味する。
本実施形態における「アクセス権」は、特定のサブジェクト(s)、オブジェクト(o)及びアクション(a)の組を意味する。
「アクセス制御ルール」及び「ルール」は、アクセス権の1つを記述したものである。
「アクセス制御リスト」及び「ACL」は、アクセス制御実施手段300(300-i、i=1~n)の種類に依存しないアクセス制御ルールのリストである。
「オブジェクトタイプ」は、オブジェクトの種類を示す識別子であり、オブジェクトに対して利用可能なアクションは、オブジェクトタイプに依存して決定される。なお、オブジェクトとアクションとの関係は、オブジェクトとオブジェクトタイプとの関係と、オブジェクトタイプとアクションとの関係とを突き合わせることにより、自動的に決定される。
「オブジェクトグループ」は、オブジェクトの集合に名称を付けたものであり、同一のオブジェクトグループに含まれるオブジェクトのオブジェクトタイプは同一である。なお、オブジェクトグループとアクションとの関係は、オブジェクトグループとオブジェクトとの関係と、オブジェクトとオブジェクトタイプとの関係と、オブジェクトタイプとアクションとの関係とを突き合わせることにより、自動的に決定される。
オブジェクトグループの記載内容の例としては、「システムA開発ソースファイル」等が考えられる。また、このようなオブジェクトグループに対するオブジェクトの記載内容の例としては、「host1.domain.jp/src/system-a.src」、「host2.domain.jp/var/src/systemA.src」等が考えられる。
「アクセス制御ポリシー」及び「ポリシー」は、ACLを構成するサブジェクト、オブジェクト、アクションを導出する規則や式や関数を記述したアクセス制御情報の抽象表現であり、サブジェクトとオブジェクトグループとアクションの組のリストを記述する。
アクセス制御ポリシーの記載内容の例としては、サブジェクト「システムA開発担当者」、オブジェクトグループ「システムA開発ソースファイル」、アクション「読込み許可」「書込み許可」「実行許可」等が考えられる。
「設定ファイル」は、ACLの内容を含む、アクセス制御実施手段300(300-i、i=1~n)の設定情報であり、その書式はアクセス制御実施手段300(300-i、i=1~n)の種類に依存する。
「テンプレート」は、ACLを設定ファイルに変換するための書式変換のための規則や定数や定型文等を記載したものであり、アクセス制御実施手段300(300-i、i=1~n)毎に対応付けられる。
図2を参照して、本実施形態における処理について説明する。
(1)ステップA1
まず、ポリシー編集手段101は、ポリシー編集処理を行う。
まず、ポリシー編集手段101は、ポリシー編集処理を行う。
(2)ステップA2
次に、ポリシー解釈手段102は、ポリシー解釈処理を行う。
次に、ポリシー解釈手段102は、ポリシー解釈処理を行う。
(3)ステップA3
次に、書式変換手段103は、書式変換処理を行う。
次に、書式変換手段103は、書式変換処理を行う。
図3を参照して、ポリシー編集処理における動作について詳細に説明する。
(1)ステップA101
まず、ポリシー編集手段101は、サブジェクトの入力を行うためのUIを生成し、入力方法をユーザに対して表示することによって提供する。例えば、ポリシー編集手段101は、図4に示すようなUIを用いて、サブジェクトの入力フォームをユーザに提供する。
まず、ポリシー編集手段101は、サブジェクトの入力を行うためのUIを生成し、入力方法をユーザに対して表示することによって提供する。例えば、ポリシー編集手段101は、図4に示すようなUIを用いて、サブジェクトの入力フォームをユーザに提供する。
(2)ステップA102
次に、ポリシー編集手段101は、生成されたUIを利用してユーザが行った入力内容を取得する。例えば、ポリシー編集手段101は、図4に示すようなUIへの入力内容「k-satou」を取得する。
次に、ポリシー編集手段101は、生成されたUIを利用してユーザが行った入力内容を取得する。例えば、ポリシー編集手段101は、図4に示すようなUIへの入力内容「k-satou」を取得する。
(3)ステップA103
次に、ポリシー編集手段101は、システム構成管理手段200に対し、オブジェクトグループのリストを要求し、システム構成管理手段200からオブジェクトグループのリストを取得する。例えば、システム構成管理手段200は、図5に示すようなオブジェクトグループの情報を参照し、オブジェクトグループ「基幹システムファイル」、「勤務管理システムファイル」、「在庫管理システムファイル」、「部門共有ファイル」、「総務部ファイル」、「経理部ファイル」、「基幹システムVM」、「勤務管理システムVM」、「在庫管理システムVM」、「部門VM」、「総務部VM」、「経理部VM」を返す。また、図5に示すようにオブジェクトグループが他のオブジェクトグループを子グループとして持っていても良い。子グループを持つ場合は、オブジェクトグループのリストを返す際に、まず、親のオブジェクトグループのみのリスト「基幹システムファイル」、「部門共有ファイル」、「基幹システムVM」、「部門VM」を返し、配下の子グループのリストを取得する追加の要求があれば、子グループのオブジェクトグループのリストを返すよう手順を分けても良い。
次に、ポリシー編集手段101は、システム構成管理手段200に対し、オブジェクトグループのリストを要求し、システム構成管理手段200からオブジェクトグループのリストを取得する。例えば、システム構成管理手段200は、図5に示すようなオブジェクトグループの情報を参照し、オブジェクトグループ「基幹システムファイル」、「勤務管理システムファイル」、「在庫管理システムファイル」、「部門共有ファイル」、「総務部ファイル」、「経理部ファイル」、「基幹システムVM」、「勤務管理システムVM」、「在庫管理システムVM」、「部門VM」、「総務部VM」、「経理部VM」を返す。また、図5に示すようにオブジェクトグループが他のオブジェクトグループを子グループとして持っていても良い。子グループを持つ場合は、オブジェクトグループのリストを返す際に、まず、親のオブジェクトグループのみのリスト「基幹システムファイル」、「部門共有ファイル」、「基幹システムVM」、「部門VM」を返し、配下の子グループのリストを取得する追加の要求があれば、子グループのオブジェクトグループのリストを返すよう手順を分けても良い。
(4)ステップA104
次に、ポリシー編集手段101は、オブジェクトグループの選択を行うためのUIを生成し、選択方法をユーザに対して表示することによって提供する。例えば、ポリシー編集手段101は、図6に示すようなUIを用いて、オブジェクトグループの選択を行うための入力フォームをユーザに提供する。
次に、ポリシー編集手段101は、オブジェクトグループの選択を行うためのUIを生成し、選択方法をユーザに対して表示することによって提供する。例えば、ポリシー編集手段101は、図6に示すようなUIを用いて、オブジェクトグループの選択を行うための入力フォームをユーザに提供する。
(5)ステップA105
次に、ポリシー編集手段101は、生成されたUIを利用してユーザが行った選択内容を取得する。例えば、図6に示すようなUIへのオブジェクトグループの選択内容「総務部VM」を取得する。
次に、ポリシー編集手段101は、生成されたUIを利用してユーザが行った選択内容を取得する。例えば、図6に示すようなUIへのオブジェクトグループの選択内容「総務部VM」を取得する。
(6)ステップA106
次に、ポリシー編集手段101は、システム構成管理手段200に対し、ユーザが選択したオブジェクトグループに対応するアクションのリストを要求し、システム構成管理手段200からアクションのリストを取得する。例えば、システム構成管理手段200は、図5に示すようなオブジェクトグループとオブジェクトの関係、オブジェクトとオブジェクトタイプの関係、図7に示すようなオブジェクトタイプとアクションの関係を参照し、ユーザが選択したオブジェクトグループに対応するアクションを返す。例えば、システム構成管理手段200は、オブジェクトグループ「総務部VM」に対応するアクション「起動」、「停止」、「再起動」、「一時停止」、「ダンプ」、「保存」を返す。
次に、ポリシー編集手段101は、システム構成管理手段200に対し、ユーザが選択したオブジェクトグループに対応するアクションのリストを要求し、システム構成管理手段200からアクションのリストを取得する。例えば、システム構成管理手段200は、図5に示すようなオブジェクトグループとオブジェクトの関係、オブジェクトとオブジェクトタイプの関係、図7に示すようなオブジェクトタイプとアクションの関係を参照し、ユーザが選択したオブジェクトグループに対応するアクションを返す。例えば、システム構成管理手段200は、オブジェクトグループ「総務部VM」に対応するアクション「起動」、「停止」、「再起動」、「一時停止」、「ダンプ」、「保存」を返す。
(7)ステップA107
次に、ポリシー編集手段101は、アクションの選択を行うためのUIを生成し、選択方法をユーザに対して表示することによって提供する。例えば、ポリシー編集手段101は、図4に示すようなUIを用いて、アクションの選択を行うための入力フォームをユーザに提供する。
次に、ポリシー編集手段101は、アクションの選択を行うためのUIを生成し、選択方法をユーザに対して表示することによって提供する。例えば、ポリシー編集手段101は、図4に示すようなUIを用いて、アクションの選択を行うための入力フォームをユーザに提供する。
(8)ステップA108
次に、ポリシー編集手段101は、生成されたUIを利用してユーザが行った選択内容を取得する。例えば、ポリシー編集手段101は、図4に示すようなUIにおけるオブジェクトグループ「総務部VM」に対応するアクションの選択内容「起動許可」、「停止許可」、「再起動許可」、「一時停止許可」、「ダンプ拒否」、「保存拒否」を取得する。ここでは、ポリシー編集手段101は、図4に示すようなUIにおいて、アクション「起動」、「停止」、「再起動」、「一時停止」、「ダンプ」、「保存」の各々に対応するチェックボックス(check box)にチェックが入っているものを「許可」、チェックが入っていないものを「拒否」と判断している。但し、実際には、これらの例に限定されない。
次に、ポリシー編集手段101は、生成されたUIを利用してユーザが行った選択内容を取得する。例えば、ポリシー編集手段101は、図4に示すようなUIにおけるオブジェクトグループ「総務部VM」に対応するアクションの選択内容「起動許可」、「停止許可」、「再起動許可」、「一時停止許可」、「ダンプ拒否」、「保存拒否」を取得する。ここでは、ポリシー編集手段101は、図4に示すようなUIにおいて、アクション「起動」、「停止」、「再起動」、「一時停止」、「ダンプ」、「保存」の各々に対応するチェックボックス(check box)にチェックが入っているものを「許可」、チェックが入っていないものを「拒否」と判断している。但し、実際には、これらの例に限定されない。
(9)ステップA109
次に、ポリシー編集手段101は、ユーザが入力し選択した、サブジェクト、オブジェクトグループ、アクションの値の組を用いてポリシーを生成し、ポリシー解釈手段102に出力する。例えば、ポリシー編集手段101は、ユーザが入力フォームにおいて入力し選択した値を、予め定められた文法に沿って並べ、図8に示すようなポリシーを生成する。
次に、ポリシー編集手段101は、ユーザが入力し選択した、サブジェクト、オブジェクトグループ、アクションの値の組を用いてポリシーを生成し、ポリシー解釈手段102に出力する。例えば、ポリシー編集手段101は、ユーザが入力フォームにおいて入力し選択した値を、予め定められた文法に沿って並べ、図8に示すようなポリシーを生成する。
図9を参照して、ポリシー解釈処理における動作について詳細に説明する。
(1)ステップA201
まず、ポリシー解釈手段102は、ポリシー編集手段101から入力されたポリシーを取得する。例えば、ポリシー解釈手段102は、図8に示すようなポリシーを取得する。
まず、ポリシー解釈手段102は、ポリシー編集手段101から入力されたポリシーを取得する。例えば、ポリシー解釈手段102は、図8に示すようなポリシーを取得する。
(2)ステップA202
次に、ポリシー解釈手段102は、ポリシーからオブジェクトグループを取り出す。例えば、ポリシー解釈手段102は、図8に示すようなポリシーに記載されているオブジェクトグループ「総務部ファイル」、「総務部VM」を取り出す。
次に、ポリシー解釈手段102は、ポリシーからオブジェクトグループを取り出す。例えば、ポリシー解釈手段102は、図8に示すようなポリシーに記載されているオブジェクトグループ「総務部ファイル」、「総務部VM」を取り出す。
(3)ステップA203
次に、ポリシー解釈手段102は、システム構成管理手段200に対し、オブジェクトグループに対応するオブジェクトのリストを要求し、システム構成管理手段200からオブジェクトのリストを取得する。例えば、システム構成管理手段は、図5に示すようなオブジェクトグループとオブジェクトの関係を参照し、オブジェクトグループに対応するオブジェクトのリストを返す。例えば、オブジェクトグループ「総務部VM」に対応するオブジェクト「vm://vmm05.domain.jp/soumu01.domain.jp」、「vm://vmm05.domain.jp/soumu02.domain.jp」を返す。なお、「*」は、「任意の文字」を意味する特殊文字(ワイルドカード)であり、「/」を除く任意の文字列にマッチする。
次に、ポリシー解釈手段102は、システム構成管理手段200に対し、オブジェクトグループに対応するオブジェクトのリストを要求し、システム構成管理手段200からオブジェクトのリストを取得する。例えば、システム構成管理手段は、図5に示すようなオブジェクトグループとオブジェクトの関係を参照し、オブジェクトグループに対応するオブジェクトのリストを返す。例えば、オブジェクトグループ「総務部VM」に対応するオブジェクト「vm://vmm05.domain.jp/soumu01.domain.jp」、「vm://vmm05.domain.jp/soumu02.domain.jp」を返す。なお、「*」は、「任意の文字」を意味する特殊文字(ワイルドカード)であり、「/」を除く任意の文字列にマッチする。
(4)ステップA204
次に、ポリシー解釈手段102は、システム構成管理手段200に対し、オブジェクトに対応するアクセス制御実施手段300(300-i、i=1~n)に関する情報を要求し、システム構成管理手段200からアクセス制御実施手段300(300-i、i=1~n)に関する情報を取得する。例えば、システム構成管理手段200は、図10に示すようなオブジェクトとアクセス制御実施手段の関係を参照し、アクセス制御実施手段300(300-i、i=1~n)に関する情報を返す。例えば、オブジェクト「vm://vmm05.domain.jp/soumu01.domain.jp」、「vm://vmm05.domain.jp/soumu02.domain.jp」に対応するアクセス制御実施手段として、「vm://vmm05.domain.jp/**」に対応するアクセス制御手段「rm://vmm05.domain.jp/vm-rm」を返す。
次に、ポリシー解釈手段102は、システム構成管理手段200に対し、オブジェクトに対応するアクセス制御実施手段300(300-i、i=1~n)に関する情報を要求し、システム構成管理手段200からアクセス制御実施手段300(300-i、i=1~n)に関する情報を取得する。例えば、システム構成管理手段200は、図10に示すようなオブジェクトとアクセス制御実施手段の関係を参照し、アクセス制御実施手段300(300-i、i=1~n)に関する情報を返す。例えば、オブジェクト「vm://vmm05.domain.jp/soumu01.domain.jp」、「vm://vmm05.domain.jp/soumu02.domain.jp」に対応するアクセス制御実施手段として、「vm://vmm05.domain.jp/**」に対応するアクセス制御手段「rm://vmm05.domain.jp/vm-rm」を返す。
(5)ステップA205
次に、ポリシー解釈手段102は、対応するアクセス制御実施手段300(300-i、i=1~n)毎にACLを生成し、生成されたACLを書式変換手段103に出力する。例えば、ポリシー解釈手段102は、ポリシーのサブジェクトをACLのサブジェクトとし、ポリシーのオブジェクトグループにおいて同じアクセス制御実施手段300(300-i、i=1~n)に対応するオブジェクトをACLのオブジェクトとし、ポリシーのアクションをACLのアクションとして、ACLを生成する。これにより、オブジェクトが対応するアクセス制御実施手段300(300-i、i=1~n)毎にACLを生成する。例えば、ポリシー解釈手段102は、アクセス制御実施手段300(300-i、i=1~n)毎に、図11~図13に示すようなACLを生成する。例えば、アクセス制御実施手段「rm://vmm05.domain.jp/vm-rm」に対応するACLは、図13に示すようなACLとなる。
次に、ポリシー解釈手段102は、対応するアクセス制御実施手段300(300-i、i=1~n)毎にACLを生成し、生成されたACLを書式変換手段103に出力する。例えば、ポリシー解釈手段102は、ポリシーのサブジェクトをACLのサブジェクトとし、ポリシーのオブジェクトグループにおいて同じアクセス制御実施手段300(300-i、i=1~n)に対応するオブジェクトをACLのオブジェクトとし、ポリシーのアクションをACLのアクションとして、ACLを生成する。これにより、オブジェクトが対応するアクセス制御実施手段300(300-i、i=1~n)毎にACLを生成する。例えば、ポリシー解釈手段102は、アクセス制御実施手段300(300-i、i=1~n)毎に、図11~図13に示すようなACLを生成する。例えば、アクセス制御実施手段「rm://vmm05.domain.jp/vm-rm」に対応するACLは、図13に示すようなACLとなる。
図14を参照して、書式変換処理における動作について詳細に説明する。
(1)ステップA301
まず、書式変換手段103は、ポリシー解釈手段102から入力されたアクセス制御実施手段300(300-i、i=1~n)毎のACLを取得する。例えば、書式変換手段103は、図13に示すようなACLを取得する。
まず、書式変換手段103は、ポリシー解釈手段102から入力されたアクセス制御実施手段300(300-i、i=1~n)毎のACLを取得する。例えば、書式変換手段103は、図13に示すようなACLを取得する。
(2)ステップA302
次に、書式変換手段103は、書式管理手段104に対し、アクセス制御実施手段300(300-i、i=1~n)に対応するテンプレートを要求し、書式管理手段104からテンプレートを取得する。例えば、書式管理手段104は、図15に示すようなアクセス制御実施手段とテンプレートの関係を参照し、アクセス制御実施手段300(300-i、i=1~n)に対応する図16~図17に示すようなテンプレートを返す。例えば、アクセス制御実施手段「rm://vmm05.domain.jp/vm-rm」に対応するテンプレートとして、図17に示すようなテンプレートを返す。
次に、書式変換手段103は、書式管理手段104に対し、アクセス制御実施手段300(300-i、i=1~n)に対応するテンプレートを要求し、書式管理手段104からテンプレートを取得する。例えば、書式管理手段104は、図15に示すようなアクセス制御実施手段とテンプレートの関係を参照し、アクセス制御実施手段300(300-i、i=1~n)に対応する図16~図17に示すようなテンプレートを返す。例えば、アクセス制御実施手段「rm://vmm05.domain.jp/vm-rm」に対応するテンプレートとして、図17に示すようなテンプレートを返す。
(3)ステップA303
次に、書式変換手段103は、アクセス制御実施手段300(300-i、i=1~n)毎のACLと、当該アクセス制御実施手段300(300-i、i=1~n)に対応するテンプレートを用いて、アクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成する。例えば、書式変換手段103は、図11に示すようなACLと、図16に示すようなテンプレートを用いて、図18に示すようなアクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成する。また、書式変換手段103は、図12に示すようなACLと、図16に示すようなテンプレートを用いて、図19に示すようなアクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成する。また、書式変換手段103は、図13に示すようなACLと、図17に示すようなテンプレートを用いて、図20に示すようなアクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成する。
次に、書式変換手段103は、アクセス制御実施手段300(300-i、i=1~n)毎のACLと、当該アクセス制御実施手段300(300-i、i=1~n)に対応するテンプレートを用いて、アクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成する。例えば、書式変換手段103は、図11に示すようなACLと、図16に示すようなテンプレートを用いて、図18に示すようなアクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成する。また、書式変換手段103は、図12に示すようなACLと、図16に示すようなテンプレートを用いて、図19に示すようなアクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成する。また、書式変換手段103は、図13に示すようなACLと、図17に示すようなテンプレートを用いて、図20に示すようなアクセス制御実施手段300(300-i、i=1~n)毎の設定ファイルを生成する。
(4)ステップA304
次に、書式変換手段103は、システム構成管理手段200に対し、当該アクセス制御実施手段300(300-i、i=1~n)に対応する設定ファイルの出力先に関する情報を要求し、システム構成管理手段200から設定ファイルの出力先に関する情報を取得し、当該出力先に対して、当該設定ファイルを入力する。例えば、システム構成管理手段200は、図21に示すようなアクセス制御実施手段とアクセス制御実施手段の設定ファイルの出力先の関係を参照し、当該アクセス制御実施手段300(300-i、i=1~n)に対応する設定ファイルの出力先に関する情報を返す。例えば、システム構成管理手段200は、アクセス制御手段「rm://vmm05.domain.jp/vm-rm」に対応する設定ファイルの出力先「https://vmm05.domain.jp/settei/vm-rm」を返す。
次に、書式変換手段103は、システム構成管理手段200に対し、当該アクセス制御実施手段300(300-i、i=1~n)に対応する設定ファイルの出力先に関する情報を要求し、システム構成管理手段200から設定ファイルの出力先に関する情報を取得し、当該出力先に対して、当該設定ファイルを入力する。例えば、システム構成管理手段200は、図21に示すようなアクセス制御実施手段とアクセス制御実施手段の設定ファイルの出力先の関係を参照し、当該アクセス制御実施手段300(300-i、i=1~n)に対応する設定ファイルの出力先に関する情報を返す。例えば、システム構成管理手段200は、アクセス制御手段「rm://vmm05.domain.jp/vm-rm」に対応する設定ファイルの出力先「https://vmm05.domain.jp/settei/vm-rm」を返す。
以下に、本発明の特徴について説明する。
本発明では、少なくともオブジェクトグループとアクションの組を記載したアクセス制御ポリシーからアクセス制御リストを生成する。
本発明では、少なくともオブジェクトグループとアクションの組を記載したアクセス制御ポリシーからアクセス制御リストを生成する。
本発明では、オブジェクトグループと、当該オブジェクトグループと対応する1つ以上のオブジェクトとの関係を示すテーブルと、オブジェクトと、当該オブジェクトへのアクセスを制御するアクセス制御実施手段との関係を示すテーブルとをシステム構成管理手段に格納する。
また、本発明では、アクセス制御実施手段と、当該アクセス制御手段の設定ファイルの書式テンプレートとの関係を示すテーブルと、当該テンプレートとを書式管理手段に格納する。
また、本発明では、アクセス制御ポリシーからアクセス制御リストを生成する際に、前記システム構成管理手段を参照することにより、複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成できる。
更に、本発明では、アクセス制御リストからアクセス制御実施手段の設定ファイルを生成する際に、前記書式管理手段を参照することにより、アクセス制御実施手段の種類に依存しない書式で記載されたアクセス制御リストから、アクセス制御実施手段毎に異なる書式の設定ファイルを生成できる。
本発明では、オブジェクトと、当該オブジェクトが利用可能なアクションとの関係を示すテーブルをシステム構成管理手段に格納し、アクセス制御ポリシーを記載する際に、前記システム構成管理手段を参照することにより、記載可能なオブジェクトグループと、当該オブジェクトグループに結びついたオブジェクトに対応する、記載可能なアクションを提示できる。
本発明では、あるアクセス制御実施手段から、当該アクセス制御実施手段の設定ファイルの配付先を特定するテーブルをシステム構成管理手段に格納し、設定対象のアクセス制御実施手段に基づき、前記テーブルを参照することで、設定ファイルをアクセス制御実施手段毎に異なる配付先に受け渡す。
以上のように、本発明のアクセス制御システム、アクセス制御方法、及びアクセス制御用プログラムでは、利用可能なアクションが異なるオブジェクトが混在し、オブジェクトによって異なる多種類のアクセス制御実施手段が同時に接続されている際、各アクセス制御実施手段に適用するアクセス制御リストを、各アクセス制御実施手段に対応した書式で生成し、各アクセス制御実施手段に受け渡す処理を、アクセス制御ポリシーに基づいて一括して処理できる。
本発明によるアクセス制御方法では、オブジェクトグループとオブジェクト、オブジェクトとオブジェクトタイプ、オブジェクトタイプとアクションの関係に基づき、アクセス制御ポリシーを記載する際に、記載可能なオブジェクトグループと、オブジェクトグループに対応するアクションに関する情報を提示する。オブジェクトとアクセス制御実施手段の関係に基づき、複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成する。アクセス制御実施手段とアクセス制御リストの内容を記載する設定ファイルの書式テンプレートの関係に基づき、アクセス制御実施手段の種類に依存しない書式で記載されたアクセス制御リストから、アクセス制御実施手段毎に異なる書式の設定ファイルを生成する。アクセス制御実施手段と設定ファイルの配付先の関係に基づき、設定ファイルを受け渡す。
ポリシー編集手段は、ユーザに対し、アクセス制御ポリシーの編集手段を提供するが、その際、選択したオブジェクトにおいて利用可能なアクションを提示できる。
ポリシー解釈手段は、与えられたアクセス制御ポリシーから、複数のオブジェクトに対するアクセス制御リストを生成するが、その際、設定先のアクセス制御実施手段毎に、別々のアクセス制御リストを生成できる。
書式変換手段は、与えられたアクセス制御リストから、アクセス制御実施手段用の設定ファイルを生成するが、その際、アクセス制御実施手段の種類毎に異なる設定ファイルの書式が異なる。そこで、書式管理手段において書式のテンプレートを管理し、書式変換手段に対して提供することで、アクセス制御手段毎に、別々の書式の設定ファイルを生成できる。
本発明によれば、アクセス制御ポリシーから、アクセス制御リストを生成し設定する用途に適用できる。特に、本発明は、同じポリシーから、異なるアクションに対応する複数種類のオブジェクトについて、同時に多種のアクセス制御実施手段に対して、別々の適切な内容のアクセス制御リストを記載した、適切な書式の設定ファイルを生成し、適用できる。
以上、本発明の実施形態を詳述してきたが、実際には、上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。
なお、本出願は、日本出願番号2008-060231及び日本出願番号2008-238663に基づく優先権を主張するものであり、日本出願番号2008-060231及び日本出願番号2008-238663における開示内容は引用により本出願に組み込まれる。
Claims (15)
- オブジェクトへのアクセスを制御する複数のアクセス制御実施手段と、
オブジェクトグループと前記オブジェクトとの関係、前記オブジェクトとアクションとの関係、前記オブジェクトと前記複数のアクセス制御実施手段の各々との関係、前記各アクセス制御実施手段と前記各アクセス制御実施手段の設定ファイルの設置場所との関係に関する情報を格納し、要求された関係に関する情報を検索し、検索結果を出力するシステム構成管理手段と、
前記システム構成管理手段を参照し、前記オブジェクトグループとアクションとの組に関する情報を記載したアクセス制御ポリシーを生成し、前記複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成するポリシーエンジンと
を具備する
アクセス制御システム。 - 請求の範囲1に記載のアクセス制御システムであって、
前記ポリシーエンジンは、
前記アクセス制御手段の設定ファイルの書式テンプレートと、
前記各アクセス制御実施手段と前記書式テンプレートとの関係を示す書式テンプレート対応テーブルと
を含み、
前記ポリシーエンジンは、前記書式テンプレート対応テーブルを参照し、前記各アクセス制御実施手段の種類に依存しない書式で記載されたアクセス制御リストから、アクセス制御実施手段毎に異なる書式の設定ファイルを生成する
アクセス制御システム。 - 請求の範囲2に記載のアクセス制御システムであって、
前記ポリシーエンジンは、前記書式テンプレート対応テーブルを参照し、設定対象のアクセス制御実施手段に基づき、前記複数のアクセス制御実施手段に対して、前記生成された設定ファイルをアクセス制御実施手段毎に異なる配付先に受け渡す
アクセス制御システム。 - 請求の範囲3に記載のアクセス制御システムであって、
前記システム構成管理手段は、
前記オブジェクトグループと、前記オブジェクトグループに対応するオブジェクトとの関係を示すオブジェクトグループ対応テーブルと、
前記オブジェクトと、前記オブジェクトへのアクセスを制御するアクセス制御実施手段との関係を示すアクセス制御対応テーブルと、
前記オブジェクトと、前記オブジェクトが利用可能なアクションとの関係を示すアクション対応テーブルと
を含み、
前記ポリシーエンジンは、利用者がアクセス制御ポリシーの記載内容を入力する際に、前記システム構成管理手段を参照し、前記利用者に対して、記載可能なオブジェクトグループと、前記記載可能なオブジェクトグループに結びついたオブジェクトに対応する記載可能なアクションに関する情報を提示する
アクセス制御システム。 - 請求の範囲4に記載のアクセス制御システムであって、
前記ポリシーエンジンは、
前記システム構成管理手段から、前記オブジェクトグループ、及び前記オブジェクトグループに対応するアクションを検索して取得し、前記利用者がアクセス制御ポリシーを編集するためのUI(User Interface)を提供するポリシー編集手段と、
前記ポリシー編集手段からアクセス制御ポリシーを取得し、前記システム構成管理手段から、前記オブジェクトグループに対応するオブジェクトと、前記オブジェクトに対応するアクセス制御実施手段を検索して取得し、前記複数のアクセス制御実施手段に対して、アクセス制御実施手段毎に異なるアクセス制御リストを生成する
ポリシー解釈手段と、
アクセス制御実施手段毎の書式テンプレートを格納し、要求されたアクセス制御実施手段に対応する書式テンプレートを出力する書式管理手段と、
前記ポリシー解釈手段からアクセス制御実施手段毎に異なるアクセス制御リストを取得し、前記書式管理手段から前記各アクセス制御実施手段に対応する書式テンプレートを検索して取得し、アクセス制御実施手段毎の設定ファイルを生成し、前記システム構成管理手段からアクセス制御実施手段毎の設定ファイルの出力先に関する情報を検索して取得し、前記出力先に対してアクセス制御実施手段毎の設定ファイルを出力する書式変換手段と
を更に含む
アクセス制御システム。 - 複数のアクセス制御実施手段によりオブジェクトへのアクセスを制御することと、
オブジェクトグループと前記オブジェクトとの関係、前記オブジェクトとアクションとの関係、前記オブジェクトと前記複数のアクセス制御実施手段の各々との関係、前記各アクセス制御実施手段と前記各アクセス制御実施手段の設定ファイルの設置場所との関係に関する情報をシステム構成管理手段に格納し、要求された関係に関する情報を検索し、検索結果を出力することと、
前記システム構成管理手段を参照し、前記オブジェクトグループとアクションとの組に関する情報を記載したアクセス制御ポリシーを生成し、前記複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成することと
を含む
アクセス制御方法。 - 請求の範囲6に記載のアクセス制御方法であって、
前記アクセス制御手段の設定ファイルの書式テンプレートと、前記各アクセス制御実施手段との関係を示す書式テンプレート対応テーブルを保持することと、
前記書式テンプレート対応テーブルを参照し、前記各アクセス制御実施手段の種類に依存しない書式で記載されたアクセス制御リストから、アクセス制御実施手段毎に異なる書式の設定ファイルを生成することと
を更に含む
アクセス制御方法。 - 請求の範囲7に記載のアクセス制御方法であって、
前記書式テンプレート対応テーブルを参照し、設定対象のアクセス制御実施手段に基づき、前記複数のアクセス制御実施手段に対して、前記生成された設定ファイルをアクセス制御実施手段毎に異なる配付先に受け渡すこと
を更に含む
アクセス制御方法。 - 請求の範囲8に記載のアクセス制御方法であって、
前記オブジェクトグループと、前記オブジェクトグループに対応するオブジェクトとの関係を示すオブジェクトグループ対応テーブルを保持することと、
前記オブジェクトと、前記オブジェクトへのアクセスを制御するアクセス制御実施手段との関係を示すアクセス制御対応テーブルを保持することと、
前記オブジェクトと、前記オブジェクトが利用可能なアクションとの関係を示すアクション対応テーブルを保持することと、
利用者がアクセス制御ポリシーの記載内容を入力する際に、前記システム構成管理手段を参照し、前記利用者に対して、記載可能なオブジェクトグループと、前記記載可能なオブジェクトグループに結びついたオブジェクトに対応する記載可能なアクションに関する情報を提示することと
を更に含む
アクセス制御方法。 - 請求の範囲9に記載のアクセス制御方法であって、
前記システム構成管理手段から、前記オブジェクトグループ、及び前記オブジェクトグループに対応するアクションを検索して取得し、前記利用者がアクセス制御ポリシーを編集するためのUI(User Interface)を提供することと、
前記編集されたアクセス制御ポリシーを取得し、前記システム構成管理手段から、前記オブジェクトグループに対応するオブジェクトと、前記オブジェクトに対応するアクセス制御実施手段を検索して取得し、前記複数のアクセス制御実施手段に対して、アクセス制御実施手段毎に異なるアクセス制御リストを生成することと、
アクセス制御実施手段毎の書式テンプレートを保持することと、
前記生成されたアクセス制御実施手段毎に異なるアクセス制御リストを取得し、前記各アクセス制御実施手段に対応する書式テンプレートを検索して取得し、アクセス制御実施手段毎の設定ファイルを生成し、前記システム構成管理手段からアクセス制御実施手段毎の設定ファイルの出力先に関する情報を検索して取得し、前記出力先に対してアクセス制御実施手段毎の設定ファイルを出力することと
を更に含む
アクセス制御方法。 - 複数のアクセス制御実施手段によりオブジェクトへのアクセスを制御するステップと、
オブジェクトグループと前記オブジェクトとの関係、前記オブジェクトとアクションとの関係、前記オブジェクトと前記複数のアクセス制御実施手段の各々との関係、前記各アクセス制御実施手段と前記各アクセス制御実施手段の設定ファイルの設置場所との関係に関する情報をシステム構成管理手段に格納し、要求された関係に関する情報を検索し、検索結果を出力するステップと、
前記システム構成管理手段を参照し、前記オブジェクトグループとアクションとの組に関する情報を記載したアクセス制御ポリシーを生成し、前記複数のアクセス制御実施手段に対して、同じアクセス制御ポリシーから、アクセス制御実施手段毎に異なるアクセス制御リストを生成するステップと
をコンピュータに実行させるためのアクセス制御プログラムを格納した
記憶媒体。 - 請求の範囲11に記載の記憶媒体であって、
前記アクセス制御手段の設定ファイルの書式テンプレートと、前記各アクセス制御実施手段との関係を示す書式テンプレート対応テーブルを保持するステップと、
前記書式テンプレート対応テーブルを参照し、前記各アクセス制御実施手段の種類に依存しない書式で記載されたアクセス制御リストから、アクセス制御実施手段毎に異なる書式の設定ファイルを生成するステップと
を更にコンピュータに実行させるためのアクセス制御プログラムを格納した
記憶媒体。 - 請求の範囲12に記載の記憶媒体であって、
前記書式テンプレート対応テーブルを参照し、設定対象のアクセス制御実施手段に基づき、前記複数のアクセス制御実施手段に対して、前記生成された設定ファイルをアクセス制御実施手段毎に異なる配付先に受け渡すステップ
を更にコンピュータに実行させるためのアクセス制御プログラムを格納した
記憶媒体。 - 請求の範囲13に記載の記憶媒体であって、
前記オブジェクトグループと、前記オブジェクトグループに対応するオブジェクトとの関係を示すオブジェクトグループ対応テーブルを保持するステップと、
前記オブジェクトと、前記オブジェクトへのアクセスを制御するアクセス制御実施手段との関係を示すアクセス制御対応テーブルを保持するステップと、
前記オブジェクトと、前記オブジェクトが利用可能なアクションとの関係を示すアクション対応テーブルを保持するステップと、
利用者がアクセス制御ポリシーの記載内容を入力する際に、前記システム構成管理手段を参照し、前記利用者に対して、記載可能なオブジェクトグループと、前記記載可能なオブジェクトグループに結びついたオブジェクトに対応する記載可能なアクションに関する情報を提示するステップと
を更にコンピュータに実行させるためのアクセス制御プログラムを格納した
記憶媒体。 - 請求の範囲14に記載の記憶媒体であって、
前記システム構成管理手段から、前記オブジェクトグループ、及び前記オブジェクトグループに対応するアクションを検索して取得し、前記利用者がアクセス制御ポリシーを編集するためのUI(User Interface)を提供するステップと、
前記編集されたアクセス制御ポリシーを取得し、前記システム構成管理手段から、前記オブジェクトグループに対応するオブジェクトと、前記オブジェクトに対応するアクセス制御実施手段を検索して取得し、前記複数のアクセス制御実施手段に対して、アクセス制御実施手段毎に異なるアクセス制御リストを生成するステップと、
アクセス制御実施手段毎の書式テンプレートを保持するステップと、
前記生成されたアクセス制御実施手段毎に異なるアクセス制御リストを取得し、前記各アクセス制御実施手段に対応する書式テンプレートを検索して取得し、アクセス制御実施手段毎の設定ファイルを生成し、前記システム構成管理手段からアクセス制御実施手段毎の設定ファイルの出力先に関する情報を検索して取得し、前記出力先に対してアクセス制御実施手段毎の設定ファイルを出力するステップと
を更にコンピュータに実行させるためのアクセス制御プログラムを格納した
記憶媒体。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/920,196 US20110010754A1 (en) | 2008-03-10 | 2009-03-09 | Access control system, access control method, and recording medium |
| JP2010502802A JP5424062B2 (ja) | 2008-03-10 | 2009-03-09 | アクセス制御システム、アクセス制御方法、及び記憶媒体 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008060231 | 2008-03-10 | ||
| JP2008-060231 | 2008-03-10 | ||
| JP2008238663 | 2008-09-17 | ||
| JP2008-238663 | 2008-09-17 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2009113483A1 true WO2009113483A1 (ja) | 2009-09-17 |
Family
ID=41065150
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2009/054403 WO2009113483A1 (ja) | 2008-03-10 | 2009-03-09 | アクセス制御システム、アクセス制御方法、及び記憶媒体 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20110010754A1 (ja) |
| JP (1) | JP5424062B2 (ja) |
| WO (1) | WO2009113483A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012194801A (ja) * | 2011-03-16 | 2012-10-11 | Hitachi Systems Ltd | セキュリティポリシー管理システム及びセキュリティリスク管理装置を備えたセキュリティポリシー管理システム |
| WO2016060068A1 (ja) * | 2014-10-15 | 2016-04-21 | 株式会社日立製作所 | 情報共有装置、及び、情報共有方法 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5494653B2 (ja) * | 2009-04-10 | 2014-05-21 | 日本電気株式会社 | アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム |
| US9396343B2 (en) * | 2014-10-20 | 2016-07-19 | International Business Machines Corporation | Policy access control lists attached to resources |
| CN108628879B (zh) * | 2017-03-19 | 2023-04-07 | 上海格尔安全科技有限公司 | 一种带优先级策略的访问控制构造的检索方法 |
| US10628560B1 (en) * | 2017-09-11 | 2020-04-21 | Architecture Technology Corporation | Permission request system and method |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11313102A (ja) * | 1998-02-27 | 1999-11-09 | Fujitsu Ltd | アクセス制御リスト生成方法及びその装置 |
| JP2002202888A (ja) * | 2000-11-01 | 2002-07-19 | Mitsubishi Electric Corp | ルールベースシステムおよびこの情報提示方法 |
| JP2006012117A (ja) * | 2004-05-21 | 2006-01-12 | Nec Corp | アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム |
| JP2006053824A (ja) * | 2004-08-13 | 2006-02-23 | Nec Corp | アクセス制御システム、アクセス制御方法、及び、プログラム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7272815B1 (en) * | 1999-05-17 | 2007-09-18 | Invensys Systems, Inc. | Methods and apparatus for control configuration with versioning, security, composite blocks, edit selection, object swapping, formulaic values and other aspects |
-
2009
- 2009-03-09 US US12/920,196 patent/US20110010754A1/en not_active Abandoned
- 2009-03-09 JP JP2010502802A patent/JP5424062B2/ja active Active
- 2009-03-09 WO PCT/JP2009/054403 patent/WO2009113483A1/ja active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11313102A (ja) * | 1998-02-27 | 1999-11-09 | Fujitsu Ltd | アクセス制御リスト生成方法及びその装置 |
| JP2002202888A (ja) * | 2000-11-01 | 2002-07-19 | Mitsubishi Electric Corp | ルールベースシステムおよびこの情報提示方法 |
| JP2006012117A (ja) * | 2004-05-21 | 2006-01-12 | Nec Corp | アクセス制御システム、アクセス制御方法およびアクセス制御用プログラム |
| JP2006053824A (ja) * | 2004-08-13 | 2006-02-23 | Nec Corp | アクセス制御システム、アクセス制御方法、及び、プログラム |
Non-Patent Citations (1)
| Title |
|---|
| YOICHIRO MORITA ET AL.: "Anzen na Ad-hoc Joho Kyoyu no Tameno Doteki ACL Settei Hoshiki", DYNAMIC ACCESS CONTROL METHOD FOR AD-HOC INFORMATION SHARING, IEICE TECHNICAL REPORT, vol. 105, no. 398, 8 November 2005 (2005-11-08), pages 7 - 14 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012194801A (ja) * | 2011-03-16 | 2012-10-11 | Hitachi Systems Ltd | セキュリティポリシー管理システム及びセキュリティリスク管理装置を備えたセキュリティポリシー管理システム |
| WO2016060068A1 (ja) * | 2014-10-15 | 2016-04-21 | 株式会社日立製作所 | 情報共有装置、及び、情報共有方法 |
| JP2016081243A (ja) * | 2014-10-15 | 2016-05-16 | 株式会社日立製作所 | 情報共有装置、及び、情報共有方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2009113483A1 (ja) | 2011-07-21 |
| US20110010754A1 (en) | 2011-01-13 |
| JP5424062B2 (ja) | 2014-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8234693B2 (en) | Secure document management | |
| US8887271B2 (en) | Method and system for managing object level security using an object definition hierarchy | |
| US11973760B2 (en) | Hierarchical permissions model within a document | |
| EP3133507A1 (en) | Context-based data classification | |
| US9268802B2 (en) | System and method for end-to-end exposure of exported representations of native data types to third-party applications | |
| JP5645034B2 (ja) | アクセス制御プログラム、システム及び方法 | |
| CN103377336B (zh) | 一种计算机系统用户权限的控制方法和系统 | |
| US10776505B2 (en) | Data loss prevention for an online content management platform | |
| JP5424062B2 (ja) | アクセス制御システム、アクセス制御方法、及び記憶媒体 | |
| US11770450B2 (en) | Dynamic routing of file system objects | |
| US8966576B2 (en) | Provisioning access control using SDDL on the basis of a XACML policy | |
| CN111818175B (zh) | 企业服务总线配置文件生成方法、装置、设备和存储介质 | |
| JP7040800B2 (ja) | コンピュータファイルメタデータの収集および表示を実施するためのアーキテクチャ、方法および装置 | |
| US11704114B2 (en) | Data structures for managing configuration versions of cloud-based applications | |
| US11966732B2 (en) | Data structures for managing configuration versions of cloud-based applications | |
| JP2011154496A (ja) | アクセス権設定プログラム、アクセス権設定装置及びアクセス権管理システム | |
| JP2005301602A (ja) | 情報処理装置、操作許否判定方法、操作許可情報生成方法、操作許否判定プログラム、操作許可情報生成プログラム及び記録媒体 | |
| US20140129934A1 (en) | Dynamic model-based management tooling | |
| JP2014170324A (ja) | アクセス制御システム、アクセス制御方法およびプログラム | |
| JP2007233635A (ja) | 情報管理システム及び情報管理方法、並びにコンピュータ・プログラム | |
| US9767313B2 (en) | Method for automated separation and partitioning of data in a payroll and resource planning system | |
| US11669527B1 (en) | Optimized policy data structure for distributed authorization systems | |
| CN115407992B (zh) | 数据查询菜单的配置方法、装置、电子设备以及存储介质 | |
| US20220405377A1 (en) | Data access control method, data access control apparatus, and data access control program | |
| JP2022141592A (ja) | コミュニティ指向の、クラウドベースのデジタルアニーリングプラットフォーム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 09721077 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 12920196 Country of ref document: US Ref document number: 2010502802 Country of ref document: JP |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 09721077 Country of ref document: EP Kind code of ref document: A1 |