WO2022149226A1 - アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム - Google Patents
アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム Download PDFInfo
- Publication number
- WO2022149226A1 WO2022149226A1 PCT/JP2021/000278 JP2021000278W WO2022149226A1 WO 2022149226 A1 WO2022149226 A1 WO 2022149226A1 JP 2021000278 W JP2021000278 W JP 2021000278W WO 2022149226 A1 WO2022149226 A1 WO 2022149226A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- access
- rule
- ontology
- policy
- policies
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 46
- 238000000605 extraction Methods 0.000 claims abstract description 24
- 239000000284 extract Substances 0.000 claims abstract description 8
- 230000008569 process Effects 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 20
- 238000010586 diagram Methods 0.000 description 19
- 230000006870 function Effects 0.000 description 16
- 238000012986 modification Methods 0.000 description 15
- 230000004048 modification Effects 0.000 description 15
- 238000004891 communication Methods 0.000 description 7
- 238000010801 machine learning Methods 0.000 description 3
- 238000002360 preparation method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000001771 impaired effect Effects 0.000 description 2
- 230000003442 weekly effect Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Definitions
- This disclosure relates to an access determination device, an access determination method, and an access determination program.
- Patent Document 1 prepares an access policy template and discloses a technique to be applied to an access target file.
- Patent Document 1 With the technique of Patent Document 1, it is possible to follow the access policy when the file is copied or the file itself is modified. However, it cannot follow when multiple attributes of the access condition, such as the creator, the confidentiality of the file, or the access route, are changed. Further, in the technique of Patent Document 1, availability cannot be guaranteed when the access policy falls into an error state.
- the access policy can be followed even if a plurality of attributes in the access condition are changed.
- availability can be ensured even when a plurality of access policies fall into an error state.
- the access determination device is In the access judgment device that determines whether or not the file can be accessed, An ontology generator that generates information that expresses access policies that represent access conditions for each access attribute in a hierarchical structure as multiple ontology. An application rule generator that generates an application rule that includes a rule for combining access policies and a rule for conflicting access policies. A policy candidate extraction unit that acquires an access request that is an access request to the file and includes a plurality of attributes, and extracts an ontology including the attributes included in the access request as an access policy candidate from the plurality of ontology.
- An access rule determination unit that identifies a plurality of access policies that match the attributes included in the access request from the access policy candidates, applies the application rule to the plurality of access policies, and determines an access rule for the file. Based on the access rule, the file is provided with a propriety determination unit for determining whether or not the file can be accessed.
- the access determination device applies application rules to a plurality of access policies to determine access rules. Therefore, according to the access determination device according to the present disclosure, the access policy can be followed even when a plurality of attributes in the access conditions are changed. In addition, availability can be ensured even when a plurality of access policies fall into an error state.
- FIG. 1 An example of the overall configuration of the file access system according to the first embodiment.
- FIG. The flow diagram which shows the application rule generation processing which concerns on Embodiment 1.
- FIG. A configuration example of the access determination device according to the first modification of the first embodiment.
- FIG. The schematic diagram which shows the example of the ontology which concerns on Embodiment 2.
- the schematic diagram which shows the example of the ontology generation processing and access rule determination processing which concerns on Embodiment 3.
- FIG. 1 is a diagram showing an overall configuration example of the file access system 500 according to the present embodiment.
- the file access system 500 includes an access determination device 100 and a file server 200.
- the access determination device 100 receives the access request 51 from the user 12, evaluates the reliability of the user 12 in real time, and determines whether or not the access by the user 12 is possible.
- the file server 200 stores files 21 which are various access target documents.
- the file 21 includes a confidential document, a confidential document, or a public document.
- User 12 accesses file 21 from various environments.
- the user 12 accesses the file 21 from various environments, such as accessing from the company in the daytime, accessing from home at night, or accessing from overseas in the daytime.
- the file access system 500 may include an authentication server 300 in addition to the access determination device 100 and the file server 200.
- the access determination device 100 may be configured to evaluate the reliability of the user 12 in real time in cooperation with the authentication server 300 and determine whether or not the user 12 can access the device.
- the administrator 11 of the file access system 500 performs processing such as setting, changing, or updating information necessary for the access determination processing by the access determination device 100.
- the access determination device 100 is a computer.
- the access determination device 100 includes a processor 910 and other hardware such as a memory 921, an auxiliary storage device 922, an input interface 930, an output interface 940, and a communication device 950.
- the processor 910 is connected to other hardware via a signal line and controls these other hardware.
- the access determination device 100 includes an ontology generation unit 110, an application rule generation unit 120, an access request reception unit 130, a policy candidate extraction unit 140, an access rule determination unit 150, a pass / fail determination unit 160, and a storage unit 170 as functional elements. ..
- the storage unit 170 includes an ontology storage unit 171 and an application rule storage unit 172.
- the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 are realized by software.
- the storage unit 170 is provided in the memory 921.
- the storage unit 170 may be provided in the auxiliary storage device 922, or may be distributed in the memory 921 and the auxiliary storage device 922.
- the processor 910 is a device that executes an access determination program.
- the access determination program is a program that realizes the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160.
- the processor 910 is an IC (Integrated Circuit) that performs arithmetic processing. Specific examples of the processor 910 are a CPU (Central Processing Unit), a DSP (Digital Signal Processor), and a GPU (Graphics Processing Unit).
- the memory 921 is a storage device that temporarily stores data.
- a specific example of the memory 921 is a SRAM (Static Random Access Memory) or a DRAM (Dynamic Random Access Memory).
- the auxiliary storage device 922 is a storage device for storing data.
- a specific example of the auxiliary storage device 922 is an HDD.
- the auxiliary storage device 922 may be a portable storage medium such as an SD (registered trademark) memory card, CF, NAND flash, flexible disk, optical disk, compact disc, Blu-ray (registered trademark) disk, or DVD.
- HDD is an abbreviation for Hard Disk Drive.
- SD (registered trademark) is an abbreviation for Secure Digital.
- CF is an abbreviation for CompactFlash®.
- DVD is an abbreviation for Digital Versaille Disk.
- the input interface 930 is a port connected to an input device such as a mouse, keyboard, or touch panel. Specifically, the input interface 930 is a USB (Universal Serial Bus) terminal. The input interface 930 may be a port connected to a LAN (Local Area Network).
- LAN Local Area Network
- the output interface 940 is a port to which a cable of an output device such as a display is connected.
- the output interface 940 is a USB terminal or an HDMI (registered trademark) (High Definition Multimedia Interface) terminal.
- the display is an LCD (Liquid Crystal Display).
- the output interface 940 is also referred to as a display interface.
- the communication device 950 has a receiver and a transmitter.
- the communication device 950 is connected to a communication network such as a LAN, the Internet, or a telephone line.
- the communication device 950 is a communication chip or a NIC (Network Interface Card).
- the access determination program is executed by the access determination device 100.
- the access determination program is read into the processor 910 and executed by the processor 910.
- the OS Operating System
- the processor 910 executes the access determination program while executing the OS.
- the access determination program and the OS may be stored in the auxiliary storage device 922.
- the access determination program and the OS stored in the auxiliary storage device 922 are loaded into the memory 921 and executed by the processor 910. A part or all of the access determination program may be incorporated in the OS.
- the access determination device 100 may include a plurality of processors that replace the processor 910. These plurality of processors share the execution of the access determination program. Each processor is a device that executes an access determination program, like the processor 910.
- Data, information, signal values and variable values used, processed or output by the access determination program are stored in the memory 921, the auxiliary storage device 922, or the register or cache memory in the processor 910.
- the "parts" of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 are "circuits", “processes”, and “procedures”. , "Processing”, or "Circuitry”.
- the access determination program causes a computer to execute an ontology generation process, an application rule generation process, an access request reception process, a policy candidate extraction process, an access rule determination process, and a pass / fail determination process.
- the access determination method is a method performed by the access determination device 100 executing an access determination program.
- the access determination program may be provided stored in a computer-readable recording medium. Further, the access determination program may be provided as a program product.
- the access determination process which is the operation of the access determination device 100 according to the present embodiment, will be described.
- the operation procedure of the access determination device 100 corresponds to the access determination method.
- the program that realizes the operation of the access determination device 100 corresponds to the access determination program.
- the access determination process is divided into a preparation phase and an implementation phase.
- the preparation phase includes an ontology generation process for generating an ontology 30 and an application rule generation process for generating an application rule 40.
- the implementation phase there are a policy candidate extraction process for extracting a plurality of access policy candidates 301, an access rule determination process for determining the access rule 41 for the file 21, and a propriety determination process for determining whether or not the file 21 can be accessed. And are included.
- FIG. 3 is a flow chart showing an ontology generation process according to the present embodiment.
- the ontology generation unit 110 generates information representing the access policy 32 representing the access condition for each access attribute 31 as the ontology 30 in a hierarchical structure.
- the ontology generation unit 110 generates a plurality of ontology 30 for each access attribute 31.
- the ontology generation unit 110 is an interface or tool used by the administrator 11 to generate the ontology 30.
- the administrator 11 generates the ontology 30 by using the ontology generation unit 110. Specifically, it is as follows.
- the ontology generation unit 110 acquires the access policy 32, which is an access condition used for determining accessability.
- the access policy 32 is input for each access attribute 31.
- the access attribute 31 is an attribute of the access condition.
- the attribute 31 is a type to which the access policy 32 used for determining accessability, such as business, access route, location, affiliation, authentication status, job title, or file information, belongs.
- the access policy 32 is an access condition.
- the access condition such as "If the user 12 is in charge of the project 2, the creator of the access target file is the A part and the confidentiality grade is not confidential". Is described.
- the access condition may include an interaction operation with the user such as additional authentication. Details in the case of additional authentication will be described in the third embodiment.
- the ontology generation unit 110 converts the access policy 32 into a formal representation. Specifically, the ontology generation unit 110 generates an ontology 30 in which the access policy 32 is represented by a hierarchical structure for each attribute 31.
- the ontology 30 is, for example, a tree structure.
- the ontology 30 includes an undefined policy 323 in which a policy when the access policy is undefined is described. A policy when an access policy is undefined is also called an undefined rule.
- the ontology 30 may be generated by the administrator 11 using the ontology generation unit 110, or may be automatically generated from the access policy 32 input by the ontology generation unit 110.
- the ontology generation unit 110 stores the ontology 30 in the ontology storage unit 171. Since the ontology 30 is generated for each attribute 31, a plurality of ontology 30s are stored in the ontology storage unit 171. A plurality of ontology 30s are generally stored in a list structure, but the storage format does not matter. Further, the ontology 30 is stored with the attribute 31 as a heading.
- FIGS. 4 to 6 are diagrams showing an example of the ontology 30 according to the present embodiment.
- an ontology 30 whose attribute 31 is “business” and an ontology 30 whose attribute 31 is “access route” are shown.
- an ontology 30 in which the attribute 31 is "affiliation”, “authentication status”, “post”, “access source application”, and "file information” can also be created.
- each of the access policies 32 is also referred to as a node or a leaf.
- FIG. 7 is a diagram showing an example of the undefined policy 323 in the ontology 30 according to the present embodiment.
- the access policy 32 in the case of project 3 is not defined in the business ontology 30 of FIG. 7.
- the undefined policy 323 describes a policy when the access policy is undefined. It is assumed that the undefined policy 323 is defined in the ontology 30. Examples of policies defined in undefined policy 323 are as follows. (A) Adopt rules of other attributes (ontology) (B) Allow only public folders (C) Deny access (corresponds to implicit denial)
- FIG. 8 is a flow chart showing an application rule generation process according to the present embodiment.
- the application rule generation unit 120 generates an application rule 40 including a rule for combining access policies and a rule for conflicting access policies.
- the application rule generation unit 120 is an interface or tool used by the administrator 11 to generate the application rule 40.
- the administrator 11 inputs the application rule 40 using the application rule generation unit 120.
- the generation of the application rule 40 is performed at least before the implementation phase, and one or more application rules are registered.
- the application rule may be registered at any time even after the implementation phase.
- the rules for combining access policies are set as the rules for combining multiple access policy candidates. Specifically, the order of priority is explicit refusal> explicit permission> implicit refusal. Alternatively, there are rules such as ORing access policies and ANDing access policies.
- FIG. 9 is a diagram showing an example of a rule when access policies collide with each other in the application rule according to the present embodiment.
- Conflicting access policies means that the rules of multiple access policies are inconsistent.
- the case where the user 12 belongs to both the project 1 and the project 2 is mentioned.
- An example of the application rule 40 is as follows. (A) If you have the authority of all the leaves of a certain node, apply the rule of the upper node ⁇ Access with the authority of "Matter 1" (B) Priority and same in the order of explicit refusal> explicit permission> implicit refusal In the case of order, it is the OR of each rule ⁇ Since the priority is the same, access by OR of both rules (C) Ask the user which affiliation to access (D) Deny access
- the policy of undefined policy 323 is (C) "implicit refusal".
- (C) is an implicit refusal
- the rule of project 2 takes precedence when the application rule (B) at the time of collision is used.
- step S201 the application rule generation unit 120 stores the application rule 40 in the application rule storage unit 172.
- FIG. 10 is a flow chart showing an implementation phase according to the present embodiment.
- the access request receiving unit 130 receives the access request 51 for the file 21.
- the access request 51 includes a plurality of attributes 31.
- the access request receiving unit 130 receives the access request 51 from the user 12. It is assumed that the access request 51 includes attribute information related to the access condition for determining accessability. For example, it is composed of the following information.
- -User information User ID, user name, affiliation, job title-Access target file information: File ID, file name, file property, URL, creator / access source application information: Business Web application, business desktop application, business Smartphone application, FTP application ⁇ Access route information: Internal, external, own seat, shared area, VPN (Virtual Private Network), home, public wireless LAN ⁇ Authentication status: PC (Personal Computer) logged in, mail server authenticated, VPN authentication Done, directory authenticated
- step S302 the policy candidate extraction unit 140 acquires the access request 51 and extracts the ontology including the attribute 31 included in the access request 51 from the plurality of ontology as the access policy candidate 301. Specifically, the policy candidate extraction unit 140 extracts the ontology including the attribute 31 included in the access request 51 from the ontology storage unit 171 as the access policy candidate 301.
- FIG. 11 is a schematic diagram showing a specific example of the implementation phase according to the present embodiment.
- the access request 51 includes the file 21 which is the access target document, the business of the user 12, and the access route as the attribute 31.
- the business of the user 12 is "project 2" and the access route is "VPN connection”.
- the policy candidate extraction unit 140 extracts from the ontology storage unit 171 the ontology 30 having each of the attributes 31 "business" and "access route" included in the access request 51 as the attribute 31 as the access policy candidate 301.
- the two ontology 30s of FIG. 4 are extracted as access policy candidates 301.
- step S303 the access rule determination process by the access rule determination unit 150 is executed.
- FIG. 12 is a detailed flow chart of the access rule determination process according to the present embodiment.
- the access rule determination unit 150 identifies a plurality of access policies 32 that match the attribute 31 included in the access request 51 from the access policy candidate 301.
- the access rule determination unit 150 identifies the access policy 32 that matches the “business is“ project 2 ”” included in the access request 51 from the ontology 30 of the “business”. Further, the access rule determination unit 150 identifies an access policy 32 that matches the “access route is“ VPN connection ”” included in the access request 51 from the ontology 30 of the “access route”.
- the access rule determination unit 150 specifies the undefined policy 323 as one of a plurality of access policies. do. For example, as shown in FIG. 7, when the access policy 32 that matches the “business is“ project 3 ”” included in the access request 51 is not defined, the access rule determination unit 150 specifies the undefined policy 323. ..
- the attribute 31 included in the access request 51 may correspond to a plurality of access policies 32. In that case, specify all applicable access policies 32. Specifically, as shown in the example of FIG. 9, the user 12 belongs to both the project 1 and the project 2.
- the access rule determination unit 150 applies the application rule 40 to the plurality of access policies 32, and determines the access rule 41 for the file 21. Specifically, it is as follows.
- step S332 the access rule determination unit 150 determines whether or not a plurality of access policies 32 collide. The case where a plurality of access policies 32 collide is as described in the example of FIG. If a plurality of access policies 32 conflict with each other, the process proceeds to step S333. If the plurality of access policies 32 do not collide, the process proceeds to step S334.
- step S333 since the access rule determination unit 150 collides with a plurality of access policies 32, the access rule 41 applies the rule when the access policies collide with each other among the application rules 40 to the plurality of access policies 32. To decide.
- step S334 since the access rule determination unit 150 does not collide with the plurality of access policies 32, the access rule 41 is applied to the plurality of access policies 32 by applying the rule for combining the access policies among the application rules 40 to the plurality of access policies 32. decide.
- the rule for combining the access policies is assumed to be FIG. 9B. Therefore, the access rule determination unit 150 gives priority to the access policy 32a and the access policy 32b in the order of "explicit denial> explicit permission> implicit denial, and if they are in the same order, it is an OR of each rule. And apply the rule.
- the access rule determination unit 150 determines the access rule 41 that "accessible if the access target document is on the mail server or the Web server and the creator of the file is not confidential in Part A Section 1". ..
- step S304 the propriety determination unit 160 determines whether or not the file 21 can be accessed based on the access rule 41. Specifically, the approval / disapproval determination unit 160 uses the access rule 41 to determine whether or not the access to the file 21 which is the access target document can be accessed in response to the access request 51 from the user 12. The approval / disapproval determination unit 160 returns the determination result to the user 12.
- the business of the requesting user 12 is "project 2", and the access route is "VPN connection". Therefore, if the access target document is on the mail server or the Web server, and the creator of the file is not confidential in Part A, Section 1, the above access rule 41 is satisfied. Is replied to the user 12.
- the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 are realized by software.
- the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 may be realized by hardware.
- the access determination device 100 includes an electronic circuit 909 instead of the processor 910.
- FIG. 13 is a diagram showing the configuration of the access determination device 100 according to the first modification of the present embodiment.
- the electronic circuit 909 is a dedicated electronic circuit that realizes the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160.
- the electronic circuit 909 is specifically a single circuit, a composite circuit, a programmed processor, a parallel programmed processor, a logic IC, a GA, an ASIC, or an FPGA.
- GA is an abbreviation for Gate Array.
- ASIC is an abbreviation for Application Specific Integrated Circuit.
- FPGA is an abbreviation for Field-Programmable Gate Array.
- the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 may be realized by one electronic circuit or a plurality of functions. It may be realized by being distributed in the electronic circuit of.
- some functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 are realized by an electronic circuit.
- the remaining functions may be realized by software.
- some or all the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 may be realized by the firmware. ..
- Each of the processor and the electronic circuit is also called a processing circuit. That is, the functions of the ontology generation unit 110, the application rule generation unit 120, the access request reception unit 130, the policy candidate extraction unit 140, the access rule determination unit 150, and the pass / fail determination unit 160 are realized by the processing circuit.
- the ontology 30 has a tree structure.
- the ontology 30 may be configured in a graph structure.
- FIG. 14 is a diagram showing an example of the ontology 30 according to the second modification of the present embodiment.
- an example of the tree structure ontology 30 has been described.
- the ontology 30 of the graph structure as in the modification 2 by specifying the start point of the attribute, it can be expanded in a tree shape and processed in the same manner.
- the application that is the access means to the file is decided for each purpose, and the attribute of the user is confirmed. It is assumed that the employee in charge of Department A and Project B accesses the file server. For business purposes, you can access the "application form” and the "working folder”. For meeting purposes, access to the Weekly Report, Report, and Minutes. For development purposes, you do not have access to "plans,”"specifications," and "source code.” However, for office or meeting purposes, the Weekly Report, Report, and Working folders are accessible. A plurality of ontology 30s having such a graph structure are prepared according to the basic operation, and an access policy is determined.
- FIG. 15 is a schematic diagram showing an access rule determination process according to the third modification of the present embodiment.
- the file access system 500 according to the third modification of the present embodiment includes an authentication server 300 in addition to the access determination device 100 and the file server 200.
- the mail server is an example of the file server 200.
- the ontology generation unit 110 can set an additional condition such as additional authentication as an access condition in the access policy 32.
- additional authentication conditions can be added to the access policy 32 of the ontology 30.
- the access policy 32x1 is given the condition of additional authentication of "if additional authentication: ID / Pass the mail server permission”.
- the access policy 32x2 is given the condition of additional authentication of "if additional authentication: fingerprint the personal folder permission”.
- the ontology for determining accessability can be defined for each access attribute, so that the access pattern can be defined without omission.
- the administrator can change the ontology at any time by the ontology generation unit when the access condition is changed. Therefore, there is an effect that availability is not impaired even in an error state in which the dynamic access policy is inconsistent.
- the access determination device 100 in order to evaluate accessability when a file access occurs, an access policy according to the file attribute and the access condition attribute at the time of access is applied. Therefore, even if the content of the file to be accessed is rewritten or the access attribute is changed, the access policy can be followed.
- the dynamic access policy is formally expressed by the ontology by using the “ontology” which is a structural framework for organizing information.
- ontology is a structural framework for organizing information.
- access policy templates can be organized by attributes such as access target, file attributes, file contents, time, and access route.
- the access policy template (ontology) is generated from rules such as company regulations. The rules don't change often, so once you create an ontology, you don't need to review it much.
- Ontology has a clear application rule when it is in an error state. A feature of ontology is that error states can be defined without omission.
- the application rule (privilege, default) when an error occurs.
- the conditions for access can be organized and defined. It is possible to describe not only the contents of the file but also the attributes of the author and conditions such as whether or not the approval has been obtained by the superior.
- the end point does not matter, but it is necessary to define a path search rule for reaching the end condition (node). For example, in the "Business" tree, if the user's affiliation is "Matter 1", the "Matter 1" node is the end point, and if the affiliation is "Matter 1 / Project 1", "Project 1". The definition is to trace to a node. The user whose affiliation matches "Proposal 1" is, for example, a manager who supervises Project 1 and Project 2. In this way, the higher the node, the stronger the person assigned.
- Embodiment 2 the points different from the first embodiment and the points to be added to the first embodiment will be mainly described.
- the same reference numerals are given to the configurations having the same functions as those in the first embodiment, and the description thereof will be omitted.
- FIG. 16 is a schematic diagram showing an example of the ontology 30 according to the present embodiment.
- the ontology generation unit 110 can set a reliability score representing the reliability of access as an access condition represented by the access policy 32.
- a reliability score is set in the access policy 32, which is a node of the tree, and access is permitted by the reliability score.
- a reliability score is set in the access policy 32. Further, it is assumed that the access policy 32x3 is specified. (1) Access request to the mail server by VPN (2) Since it is from VPN, the reliability score is 50. The reliability score required to access the mail server is 50, so allow access to the mail server.
- the reliability score may be raised by an additional authentication request in combination with the modification 3 of the first embodiment.
- FIG. 17 is a diagram showing another example of the ontology 30 according to the present embodiment.
- the ontology generation unit 110 can set a weighted value for each ontology of a plurality of ontology, and may calculate a score obtained by multiplying the reliability score by the weighted value as the final reliability score.
- the weighted value represents the weight of evaluation.
- the application rule 40 is "whether the total value of the score * weight satisfies the trust value required for server access".
- Embodiment 3 the points different from the first and second embodiments and the points to be added to the first embodiment will be mainly described.
- the same reference numerals are given to the configurations having the same functions as those in the first and second embodiments, and the description thereof will be omitted.
- FIG. 18 is a diagram showing a configuration example of the access determination device 100 according to the present embodiment.
- FIG. 19 is a schematic diagram showing an example of an ontology generation process and an access rule determination process according to the present embodiment.
- the access determination device 100 according to the present embodiment includes an access log storage unit 173 in the storage unit 170 in addition to the configuration described in the first embodiment.
- the ontology generation unit 110 dynamically generates an ontology by using a base ontology 732 which is a base hierarchy representing the base of the hierarchy structure of the ontology and an access log 731 which is a log of access to a file. Generate.
- the base ontology 732 is created by the administrator.
- the access log storage unit 173 stores the user's access request and the determination result as the access log 731.
- the ontology generation unit 110 dynamically generates the ontology 30 by using the access log 731 and the base ontology 732. Specifically, the ontology generation unit 110 analyzes the access pattern to the file or folder according to the day of the week from the access log 731, and automatically constructs the ontology 30.
- the method of dynamically generating the ontology 30 for example, “Koji Furusaki, Keisuke Hihara, and Riichiro Mizoguchi," Dynamic generation of is-a hierarchy based on viewpoint ", Journal of the Japanese Society for Artificial Intelligence, 27. Volume 3 J, pp. 235-244 (2012). ] May be applied.
- file access is illustrated in the above embodiments 1 to 3, it may be extended to access to a specific "function".
- the access target may be "mail function”, “schedule”, “in-house Web”, or "development environment”.
- each part of the access determination device has been described as an independent functional block.
- the configuration of the access determination device does not have to be the configuration as in the above-described embodiment.
- the functional block of the access determination device may have any configuration as long as it can realize the functions described in the above-described embodiment.
- the access determination device may be a system composed of a plurality of devices instead of one device.
- a plurality of parts of the first to third embodiments may be combined and carried out.
- one part of these embodiments may be implemented.
- these embodiments may be implemented in any combination as a whole or partially. That is, in the first to third embodiments, it is possible to freely combine the embodiments, modify any component of each embodiment, or omit any component in each embodiment.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
Abstract
Description
また、機械学習は一般的には計算コストが高い。入力データの変化によって分類器の再構成、すなわち再学習が必要となる。高精度の推論エンジンの構成には、膨大な学習データが必要となる。
さらに、機械学習では、エラー状態の事前定義が難しいといった課題もある。エラー状態、すなわち適用するポリシーが無いといった場合の挙動が未定義であり、安全サイドに倒してアクセス拒否すると可用性が損なわれる。
ファイルに対するアクセスの可否を判定するアクセス判定装置において、
アクセスの属性ごとにアクセス条件を表すアクセスポリシーを階層構造により表した情報を複数のオントロジーとして生成するオントロジー生成部と、
アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルールを生成する適用ルール生成部と、
前記ファイルに対するアクセス要求であって複数の属性を含むアクセス要求を取得し、前記アクセス要求に含まれる属性を含むオントロジーをアクセスポリシー候補として前記複数のオントロジーから抽出するポリシー候補抽出部と、
前記アクセスポリシー候補から前記アクセス要求に含まれる属性に合致する複数のアクセスポリシーを特定し、前記複数のアクセスポリシーに前記適用ルールを適用し、前記ファイルに対するアクセスルールを決定するアクセスルール決定部と、
前記アクセスルールに基づいて、前記ファイルに対するアクセスの可否を判定する可否判定部と
を備える。
***構成の説明***
図1は、本実施の形態に係るファイルアクセスシステム500の全体構成例を示す図である。
ファイルアクセスシステム500には、アクセス判定装置100とファイルサーバ200が含まれる。
アクセス判定装置100は、ユーザ12からのアクセス要求51を受け付け、ユーザ12の信頼度をリアルタイムに評価し、ユーザ12によるアクセスの可否を判定する。
ファイルサーバ200には、各種のアクセス対象文書であるファイル21が記憶されている。ファイル21には、秘密文書、社外秘の文書、あるいは公開文書といったものが含まれる。
アクセス判定装置100は、コンピュータである。アクセス判定装置100は、プロセッサ910を備えるとともに、メモリ921、補助記憶装置922、入力インタフェース930、出力インタフェース940、および通信装置950といった他のハードウェアを備える。プロセッサ910は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
プロセッサ910は、演算処理を行うIC(Integrated Circuit)である。プロセッサ910の具体例は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
補助記憶装置922は、データを保管する記憶装置である。補助記憶装置922の具体例は、HDDである。また、補助記憶装置922は、SD(登録商標)メモリカード、CF、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVDといった可搬の記憶媒体であってもよい。なお、HDDは、Hard Disk Driveの略語である。SD(登録商標)は、Secure Digitalの略語である。CFは、CompactFlash(登録商標)の略語である。DVDは、Digital Versatile Diskの略語である。
アクセス判定プログラムは、コンピュータ読取可能な記録媒体に格納されて提供されてもよい。また、アクセス判定プログラムは、プログラムプロダクトとして提供されてもよい。
次に、本実施の形態に係るアクセス判定装置100の動作であるアクセス判定処理について説明する。アクセス判定装置100の動作手順は、アクセス判定方法に相当する。また、アクセス判定装置100の動作を実現するプログラムは、アクセス判定プログラムに相当する。
準備フェーズには、オントロジー30を生成するオントロジー生成処理と、適用ルール40を生成する適用ルール生成処理が含まれる。
実施フェーズには、には、複数のアクセスポリシー候補301を抽出するポリシー候補抽出処理と、ファイル21に対するアクセスルール41を決定するアクセスルール決定処理と、ファイル21に対するアクセスの可否を判定する可否判定処理とが含まれる。
<<オントロジー生成処理>>
図3は、本実施の形態に係るオントロジー生成処理を示すフロー図である。
オントロジー生成処理では、オントロジー生成部110が、アクセスの属性31ごとにアクセス条件を表すアクセスポリシー32を階層構造により表した情報をオントロジー30として生成する。オントロジー生成部110は、アクセスの属性31ごとのオントロジー30を複数生成する。オントロジー生成部110は、管理者11によるオントロジー30の生成に用いられるインタフェースあるいはツールである。管理者11は、オントロジー生成部110を用いてオントロジー30を生成する。
具体的には、以下の通りである。
アクセスの属性31とは、アクセス条件の属性である。属性31には、業務、アクセス経路、場所、所属、認証状態、役職、あるいは、ファイルに関する情報といった、アクセスの可否の判定に用いるアクセスポリシー32が属する種別である。
アクセスポリシー32とは、アクセス条件である。例えば、アクセスポリシー32には、属性31が業務の場合、「ユーザ12がプロジェクト2を担当するならば、アクセス対象ファイルの作成者がA部、かつ、機密等級は極秘以外を許可」といったアクセス条件が記述されている。また、アクセス条件として、追加認証といったユーザとの相互作用動作を含んでも良い。追加認証の場合の詳細は実施の形態3で説明する。
また、オントロジー30は、アクセスポリシーが未定義である場合のポリシーが記述された未定義ポリシー323を含むものとする。アクセスポリシーが未定義である場合のポリシーは未定義ルールともいう。
図4では、属性31が「業務」のオントロジー30と、属性31が「アクセス経路」のオントロジー30が示されている。その他、図5および図6に示すように、属性31が「所属」、「認証状態」、「役職」、「アクセス元アプリケーション」、および「ファイル情報」といったオントロジー30も作成可能である。
オントロジー30において、アクセスポリシー32の各々を、ノードあるいはリーフとも呼ぶ。
図7では、アクセスを要求したユーザ12がプロジェクト3に所属するものとする。しかし、図7の業務のオントロジー30にはプロジェクト3の場合のアクセスポリシー32は未定義である。
未定義ポリシー323には、アクセスポリシーが未定義である場合のポリシーが記述されている。オントロジー30には、未定義ポリシー323が定義されているものとする。
未定義ポリシー323に定義されるポリシーの例は以下の通りである。
(A)他の属性(オントロジー)のルールを採用
(B)パブリックフォルダのみ許可
(C)アクセスを拒否(暗黙的拒否に相当)
図8は、本実施の形態に係る適用ルール生成処理を示すフロー図である。
ステップS201において、適用ルール生成部120は、アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルール40を生成する。適用ルール生成部120は、管理者11による適用ルール40の生成に用いられるインタフェースあるいはツールである。管理者11は、適用ルール生成部120を用いて適用ルール40を入力する。
なお、適用ルール40の生成は、少なくとも実施フェーズより前に実施され、1つ以上の適用ルールを登録する。実施フェーズ後も任意のタイミングで適用ルールを登録してよい。
アクセスポリシー同士が衝突するとは、複数のアクセスポリシーのルールが矛盾することを意味する。
図9の例では、アクセスポリシー同士が衝突する例として、ユーザ12がプロジェクト1とプロジェクト2との両方に所属する場合が挙げられている。
(A)あるノードの全リーフの権限を持つ場合、上位のノードのルールを適用→「案件1」の権限でアクセス
(B)明示的拒否>明示的許可>暗黙的拒否の順で優先、同一順の場合はそれぞれのルールのORとする→優先順位は同じなので、両方のルールのORでアクセス
(C)ユーザに対し、どちらの所属でアクセスするか問い合わせる
(D)アクセスを拒否
例えば、未定義ポリシー323のポリシーを(C)「暗黙的拒否」とする。ユーザ12がプロジェクト1とプロジェクト3に所属の場合、未定義ノードのルールとプロジェクト2のルールが衝突する。(C)は暗黙的拒否なので、衝突時の適用ルール(B)を使う場合はプロジェクト2のルールが優先される。
<<ポリシー候補抽出処理>>
図10は、本実施の形態に係る実施フェーズを示すフロー図である。
ステップS301において、アクセス要求受信部130は、ファイル21に対するアクセス要求51を受信する。アクセス要求51には、複数の属性31が含まれる。
アクセス要求受信部130は、ユーザ12からアクセス要求51を受信する。アクセス要求51には、アクセス可否を判断するアクセス条件に関連する属性情報を含むものとする。例えば以下のような情報から構成する。
・ユーザに関する情報:ユーザID、ユーザ名、所属、役職
・アクセス対象ファイルに関する情報:ファイルID、ファイル名、ファイルプロパティ、URL、作成者
・アクセス元アプリ情報:業務Webアプリ、業務用デスクトップアプリ、業務用スマホアプリ、FTPアプリ
・アクセス経路情報:社内、社外、自席、共有エリア、VPN(Virtual Private Network)、自宅、公衆無線LAN・認証状態:PC(Personal Computer)ログイン済、メールサーバ認証済、VPN認証済、ディレクトリ認証済
具体的には、ポリシー候補抽出部140は、オントロジー保管部171から、アクセス要求51に含まれる属性31を含むオントロジーをアクセスポリシー候補301として抽出する。
図11では、アクセス要求51には、アクセス対象文書であるファイル21とユーザ12の業務とアクセス経路が属性31として含まれるものとする。ここでは、ユーザ12の業務が「プロジェクト2」であり、アクセス経路が「VPN接続」であるものとする。
ポリシー候補抽出部140は、オントロジー保管部171から、アクセス要求51に含まれる属性31である「業務」および「アクセス経路」の各々を属性31とするオントロジー30をアクセスポリシー候補301として抽出する。
ここでは、図4の2つのオントロジー30がアクセスポリシー候補301として抽出される。
ステップS303において、アクセスルール決定部150によるアクセスルール決定処理が実施される。
ステップS331において、アクセスルール決定部150は、アクセスポリシー候補301からアクセス要求51に含まれる属性31に合致する複数のアクセスポリシー32を特定する。
例えば、図7に示すように、アクセス要求51に含まれる「業務が「プロジェクト3」」に合致するアクセスポリシー32が定義されていない場合、アクセスルール決定部150は、未定義ポリシー323を特定する。
具体的には、以下の通りである。
複数のアクセスポリシー32が衝突する場合は、ステップS333に進む。複数のアクセスポリシー32が衝突しない場合は、ステップS334に進む。
また、適用ルール40のうち、アクセスポリシー同士を組み合わせる際のルールは、図9の(B)であるものとする。よって、アクセスルール決定部150は、アクセスポリシー32aとアクセスポリシー32bに、「明示的拒否>明示的許可>暗黙的拒否の順で優先、同一順の場合はそれぞれのルールのORとするであるものとする。」というルールを適用する。
これにより、アクセスルール決定部150は、「アクセス対象文書がメールサーバかWebサーバにあり、かつ、ファイルの作成者がA部1課で極秘以外であればアクセス可能」というアクセスルール41を決定する。
ステップS304において、可否判定部160は、アクセスルール41に基づいて、ファイル21に対するアクセスの可否を判定する。具体的には、可否判定部160は、アクセスルール41を使い、ユーザ12からのアクセス要求51に対し、アクセス対象文書であるファイル21へのアクセスの可否を判定する。可否判定部160は、判定結果をユーザ12に返信する。
<変形例1>
本実施の形態では、オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の機能がソフトウェアで実現される。変形例として、オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の機能がハードウェアで実現されてもよい。
具体的には、アクセス判定装置100は、プロセッサ910に替えて電子回路909を備える。
電子回路909は、オントロジー生成部110と適用ルール生成部120とアクセス要求受信部130とポリシー候補抽出部140とアクセスルール決定部150と可否判定部160の機能を実現する専用の電子回路である。電子回路909は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、または、FPGAである。GAは、Gate Arrayの略語である。ASICは、Application Specific Integrated Circuitの略語である。FPGAは、Field-Programmable Gate Arrayの略語である。
本実施の形態では、オントロジー30はツリー構造であった。しかし、オントロジー30をグラフ構造で構成してもよい。
本実施の形態では、ツリー構造のオントロジー30の例について説明した。
しかし、変形例2のようなグラフ構造のオントロジー30でも、属性の始点を特定することにより、ツリー状に展開して同様に処理可能である
前提として、目的ごとにファイルへのアクセス手段であるアプリケーションが決まっており、ユーザの属性確認を実施するものとする。
A部、かつ、プロジェクトBの担当社員がファイルサーバにアクセスするものとする。
事務目的の場合、「申請書」、および「作業用フォルダ」にアクセス可能である。
会議目的の場合、「週報」、「報告書」、および「議事録」にアクセス可能である。
開発目的の場合、「計画書」、「仕様書」、および「ソースコード」にはアクセスできない。しかし、事務あるいは会議目的であれば、「週報」、「報告書」、および「作業用」フォルダにはアクセス可能である。
このようなグラフ構造のオントロジー30は、基本動作のとおり複数用意され、アクセスポリシーを決定する。
図15は、本実施の形態の変形例3に係るアクセスルール決定処理を示す模式図である。
また、図1に示すように、本実施の形態の変形例3に係るファイルアクセスシステム500は、アクセス判定装置100とファイルサーバ200に加え、認証サーバ300を備える。メールサーバはファイルサーバ200の例である。
図15に示すように、オントロジー30のアクセスポリシー32に追加認証の条件を付与することができる。図15では、アクセスポリシー32x1に「if 追加認証:ID/Pass then メールサーバ許可」との追加認証の条件が付与されている。また、アクセスポリシー32x2に「if 追加認証:指紋then 個人フォルダ許可」との追加認証の条件が付与されている。
(1)社外からメールサーバにアクセス要求
(2)社外からなので拒否、追加認証を要求
(3)追加認証の情報(ID/Pass)を送信
(4)メールサーバへのアクセスを許可
ここで、(2)および(3)のフローは、ユーザが明示的に実施せずコンテキストで認証しても良い。
本実施の形態に係るアクセス判定装置100によれば、アクセス可否を判断するためのオントロジーをアクセスの属性ごとに定義できるので、アクセスパターンを漏れなく定義することができる。また、管理者は、アクセス条件に変更があった場合には、オントロジー生成部により、いつでもオントロジーを変更することができる。
よって、動的アクセスポリシーが矛盾するようなエラー状態であっても可用性を損ねないという効果を奏する。
(1)アクセス条件を整理して説明可能なオントロジーを構成することができる。具体的には、アクセス対象者、ファイルの属性、ファイルの内容、時間、およびアクセス経路といった属性でアクセスポリシーテンプレートを整理することができる。
(2)オントロジーを作成してしまえば、推論コストは低く抑えることができる。
アクセスポリシーテンプレート(オントロジー)は社規などのルールから生成する。ルールは頻繁には変化しないので、オントロジーを一度作成すれば見直しはあまり必要ない。
(3)オントロジーはエラー状態のときの適用ルールがクリアである。
エラー状態を漏れなく定義可能な点がオントロジーの特徴である。エラー状態時の適用ルール(特権、デフォルト)を設定可能である。
(4)オントロジーではアクセスのための条件を整理して定義可能である。
ファイル内容だけではなく、著者の属性や上長による承認を受けたか、などの条件を記述可能である。
なお、オントロジーを木構造にする場合、終点は問わないが、終了条件(ノード)に到達するためのパスの検索ルールの定義が必要となる。例えば、「業務」ツリーであれば、ユーザの所属が「案件1」となっていれば「案件1」ノードが終点となり、所属が「案件1/プロジェクト1」となっていれば「プロジェクト1」ノードまでたどるといった定義である。所属が「案件1」に合致するユーザは、例えば、プロジェクト1とプロジェクト2を統括するマネージャである。このように、上位ノードほど権限の強い人が割り当てられることになる。
本実施の形態では、主に、実施の形態1と異なる点および実施の形態1に追加する点について説明する。
本実施の形態において、実施の形態1と同様の機能を有する構成については同一の符号を付し、その説明を省略する。
本実施の形態では、オントロジー生成部110は、アクセスポリシー32に表されるアクセス条件として、アクセスの信頼度を表す信頼性スコアを設定可能である。
データの種類によっては、ツリーのノードであるアクセスポリシー32に信頼性スコアを設定し、信頼性スコアによってアクセスを許可する方式とする。
また、アクセスポリシー32x3が特定されているものとする。
(1)VPNでメールサーバにアクセス要求
(2)VPNからなので信頼性スコアは50である。メールサーバのアクセスに必要な信頼性スコアは50なので、メールサーバへのアクセスを許可
また、オントロジー生成部110は、複数のオントロジーの各オントロジーに重み付け値を設定可能であり、信頼性スコアに重み付け値を掛け合わせたスコアを最終的な信頼性スコアとして算出してもよい。
重み付け値とは、評価の重みを表す。
図17の例では、関係会社社員が社内からアクセスするものとする。このとき、信頼性スコアは、50*0.7+50*0.3=50となる。よって、信頼性スコア「50」がサーバアクセスに必要な信頼値を満たしていれば、アクセス可となる。
本実施の形態では、主に、実施の形態1,2と異なる点および実施の形態1に追加する点について説明する。
本実施の形態において、実施の形態1,2と同様の機能を有する構成については同一の符号を付し、その説明を省略する。
図19は、本実施の形態に係るオントロジー生成処理およびアクセスルール決定処理の例を示す模式図である。
本実施の形態に係るアクセス判定装置100は、実施の形態1で説明した構成に加え、記憶部170にアクセスログ保管部173を備える。
本実施の形態では、オントロジー生成部110は、オントロジーの階層構造のベースを表した基底階層であるベースオントロジー732と、ファイルに対するアクセスのログであるアクセスログ731とを用いて、動的にオントロジーを生成する。ベースオントロジー732は、管理者により作成される。
オントロジー生成部110は、アクセスログ731とベースオントロジー732とを用いて、動的にオントロジー30を生成する。具体的には、オントロジー生成部110は、曜日によるファイルあるいはフォルダへのアクセスパターンをアクセスログ731から分析し、オントロジー30を自動構築する。ここで、動的にオントロジー30を生成する方法については、例えば、「古崎晃司,日原圭祐,および溝口理一郎,「視点に基づくis-a階層の動的生成」,人工知能学会論文誌,27巻3号J,pp.235-244(2012).」に記載された方法を適用してもよい。
また、実施の形態1から3のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つの部分を実施しても構わない。その他、これら実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
すなわち、実施の形態1から3では、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
Claims (11)
- ファイルに対するアクセスの可否を判定するアクセス判定装置において、
アクセスの属性ごとにアクセス条件を表すアクセスポリシーを階層構造により表した情報を複数のオントロジーとして生成するオントロジー生成部と、
アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルールを生成する適用ルール生成部と、
前記ファイルに対するアクセス要求であって複数の属性を含むアクセス要求を取得し、前記アクセス要求に含まれる属性を含むオントロジーをアクセスポリシー候補として前記複数のオントロジーから抽出するポリシー候補抽出部と、
前記アクセスポリシー候補から前記アクセス要求に含まれる属性に合致する複数のアクセスポリシーを特定し、前記複数のアクセスポリシーに前記適用ルールを適用し、前記ファイルに対するアクセスルールを決定するアクセスルール決定部と、
前記アクセスルールに基づいて、前記ファイルに対するアクセスの可否を判定する可否判定部と
を備えたアクセス判定装置。 - 前記複数のオントロジーの各オントロジーは、アクセスポリシーが未定義である場合のポリシーが記述された未定義ポリシーを含み、
前記アクセスルール決定部は、
前記アクセス要求に含まれる属性に合致するアクセスポリシーが、前記アクセスポリシー候補に定義されていない場合は、前記未定義ポリシーを前記複数のアクセスポリシーの1つとして特定する請求項1に記載のアクセス判定装置。 - 前記アクセスルール決定部は、
前記複数のアクセスポリシーが衝突するか否かを判定し、前記複数のアクセスポリシーが衝突しない場合には、前記アクセスポリシー同士を組み合わせる際のルールを前記複数のアクセスポリシーに適用して、前記アクセスルールを決定する請求項1または請求項2に記載のアクセス判定装置。 - 前記アクセスルール決定部は、
前記複数のアクセスポリシーが衝突する場合には、前記アクセスポリシー同士が衝突する際のルールを前記複数のアクセスポリシーに適用して、前記アクセスルールを決定する請求項3に記載のアクセス判定装置。 - 前記オントロジーの階層構造は、ツリー構造あるいはグラフ構造である請求項1から請求項4のいずれか1項に記載のアクセス判定装置。
- 前記オントロジー生成部は、
前記アクセスポリシーに表される前記アクセス条件として追加条件を設定可能である請求項1から請求項5のいずれか1項に記載のアクセス判定装置。 - 前記オントロジー生成部は、
前記アクセスポリシーに表される前記アクセス条件として、アクセスの信頼度を表す信頼性スコアを設定可能である請求項1から請求項5のいずれか1項に記載のアクセス判定装置。 - 前記オントロジー生成部は、
前記複数のオントロジーの各オントロジーに重み付け値を設定可能であり、前記信頼性スコアに前記重み付け値を掛け合わせたスコアを最終的な信頼性スコアとして算出する請求項7に記載のアクセス判定装置。 - 前記オントロジー生成部は、
オントロジーの階層構造のベースを表した基底階層と、前記ファイルに対するアクセスのログとを用いて、動的にオントロジーを生成する請求項1から請求項5のいずれか1項に記載のアクセス判定装置。 - ファイルに対するアクセスの可否を判定するアクセス判定装置に用いられるアクセス判定方法において、
オントロジー生成部が、アクセスの属性ごとにアクセス条件を表すアクセスポリシーを階層構造により表した情報を複数のオントロジーとして生成し、
適用ルール生成部が、アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルールを生成し、
ポリシー候補抽出部が、前記ファイルに対するアクセス要求であって複数の属性を含むアクセス要求を取得し、前記アクセス要求に含まれる属性を含むオントロジーをアクセスポリシー候補として前記複数のオントロジーから抽出し、
アクセスルール決定部が、前記アクセスポリシー候補から前記アクセス要求に含まれる属性に合致する複数のアクセスポリシーを特定し、前記複数のアクセスポリシーに前記適用ルールを適用し、前記ファイルに対するアクセスルールを決定し、
可否判定部が、前記アクセスルールに基づいて、前記ファイルに対するアクセスの可否を判定するアクセス判定方法。 - ファイルに対するアクセスの可否を判定するアクセス判定プログラムにおいて、
アクセスの属性ごとにアクセス条件を表すアクセスポリシーを階層構造により表した情報を複数のオントロジーとして生成するオントロジー生成処理と、
アクセスポリシー同士を組み合わせる際のルールと、アクセスポリシー同士が衝突する際のルールとを含む適用ルールを生成する適用ルール生成処理と、
前記ファイルに対するアクセス要求であって複数の属性を含むアクセス要求を取得し、前記アクセス要求に含まれる属性を含むオントロジーをアクセスポリシー候補として前記複数のオントロジーから抽出するポリシー候補抽出処理と、
前記アクセスポリシー候補から前記アクセス要求に含まれる属性に合致する複数のアクセスポリシーを特定し、前記複数のアクセスポリシーに前記適用ルールを適用し、前記ファイルに対するアクセスルールを決定するアクセスルール決定処理と、
前記アクセスルールに基づいて、前記ファイルに対するアクセスの可否を判定する可否判定処理と
をコンピュータに実行させるアクセス判定プログラム。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2021/000278 WO2022149226A1 (ja) | 2021-01-07 | 2021-01-07 | アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム |
DE112021005812.6T DE112021005812T5 (de) | 2021-01-07 | 2021-01-07 | Zugriffsentscheidungsvorrichtung, zugriffsentscheidungsverfahren und zugriffsentscheidungsprogramm |
CN202180088144.5A CN116685972A (zh) | 2021-01-07 | 2021-01-07 | 访问判定装置、访问判定方法和访问判定程序 |
JP2022573252A JP7229446B1 (ja) | 2021-01-07 | 2021-01-07 | アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム |
US18/196,715 US20230283615A1 (en) | 2021-01-07 | 2023-05-12 | Access decision device, access decision method and computer readable medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2021/000278 WO2022149226A1 (ja) | 2021-01-07 | 2021-01-07 | アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
US18/196,715 Continuation US20230283615A1 (en) | 2021-01-07 | 2023-05-12 | Access decision device, access decision method and computer readable medium |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2022149226A1 true WO2022149226A1 (ja) | 2022-07-14 |
Family
ID=82358175
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2021/000278 WO2022149226A1 (ja) | 2021-01-07 | 2021-01-07 | アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20230283615A1 (ja) |
JP (1) | JP7229446B1 (ja) |
CN (1) | CN116685972A (ja) |
DE (1) | DE112021005812T5 (ja) |
WO (1) | WO2022149226A1 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004062241A (ja) * | 2002-07-24 | 2004-02-26 | Fujitsu Ltd | ユーザアクセス権制御装置及び方法 |
US20100023997A1 (en) * | 2008-07-25 | 2010-01-28 | International Business Machines Corporation | Method of using xpath and ontology engine in authorization control of assets and resources |
JP2010271747A (ja) * | 2009-05-19 | 2010-12-02 | Hitachi Ltd | ファイルアクセス制御方法 |
JP2018147464A (ja) * | 2017-03-02 | 2018-09-20 | 株式会社リコー | 衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005099982A (ja) | 2003-09-24 | 2005-04-14 | Hitachi Ltd | ファイル監視装置 |
-
2021
- 2021-01-07 JP JP2022573252A patent/JP7229446B1/ja active Active
- 2021-01-07 CN CN202180088144.5A patent/CN116685972A/zh active Pending
- 2021-01-07 DE DE112021005812.6T patent/DE112021005812T5/de active Pending
- 2021-01-07 WO PCT/JP2021/000278 patent/WO2022149226A1/ja active Application Filing
-
2023
- 2023-05-12 US US18/196,715 patent/US20230283615A1/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004062241A (ja) * | 2002-07-24 | 2004-02-26 | Fujitsu Ltd | ユーザアクセス権制御装置及び方法 |
US20100023997A1 (en) * | 2008-07-25 | 2010-01-28 | International Business Machines Corporation | Method of using xpath and ontology engine in authorization control of assets and resources |
JP2010271747A (ja) * | 2009-05-19 | 2010-12-02 | Hitachi Ltd | ファイルアクセス制御方法 |
JP2018147464A (ja) * | 2017-03-02 | 2018-09-20 | 株式会社リコー | 衝突検知方法と検知装置及びアクセス制御方法とアクセス制御装置 |
Also Published As
Publication number | Publication date |
---|---|
DE112021005812T5 (de) | 2023-08-24 |
JPWO2022149226A1 (ja) | 2022-07-14 |
JP7229446B1 (ja) | 2023-02-27 |
US20230283615A1 (en) | 2023-09-07 |
CN116685972A (zh) | 2023-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7574745B2 (en) | Information processing apparatus, information processing method, computer-readable medium having information processing program embodied therein, and resource management apparatus | |
US9430662B2 (en) | Provisioning authorization claims using attribute-based access-control policies | |
JP4676779B2 (ja) | 情報処理装置、資源管理装置、属性変更許否判定方法、属性変更許否判定プログラム及び記録媒体 | |
CN102112990B (zh) | 为计算过程授予最小特权访问 | |
US7814534B2 (en) | Auditing authorization decisions | |
US20080141334A1 (en) | Method and Apparatus for Dissociating Binding Information from Objects to Enable Proper Rights Management | |
US9509722B2 (en) | Provisioning access control using SDDL on the basis of an XACML policy | |
JPH05250247A (ja) | アクセスの制御方法及びデータ処理装置 | |
US8595256B2 (en) | Policy generation and conversion system, policy distribution system, and method and program therefor | |
CN104050424A (zh) | 智能卡文件访问安全权限管理的实现及文件访问方法 | |
US9202080B2 (en) | Method and system for policy driven data distribution | |
KR102381539B1 (ko) | 구조화 문서에 포함된 자원들에 관한 권한을 관리하는 방법 및 이를 이용한 장치 | |
WO2022149226A1 (ja) | アクセス判定装置、アクセス判定方法、および、アクセス判定プログラム | |
Jakšić et al. | Linked data privacy | |
JP4723930B2 (ja) | 複合的アクセス認可方法及び装置 | |
US7975143B2 (en) | Method, system, and program product for generating and validating digital signatures | |
Delessy et al. | Patterns for access control in distributed systems | |
JP2005301602A (ja) | 情報処理装置、操作許否判定方法、操作許可情報生成方法、操作許否判定プログラム、操作許可情報生成プログラム及び記録媒体 | |
Hüffmeyer et al. | Formal comparison of an attribute based access control language for restful services with xacml | |
Dang et al. | XACs-DyPol: Towards an XACML-based Access Control Model for Dynamic Security Policy | |
US20230237827A1 (en) | Visualization of the impact of training data | |
US20240201955A1 (en) | Code advisory system | |
Massonet et al. | GridTrust—A Usage Control-Based Trust and Security Framework for Service-Based Grids | |
CN113935017A (zh) | 一种基于属性策略的细粒度数据权限管控配置方法及系统 | |
CN118153035A (zh) | 基于沙箱的智能合约保护方法、装置和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 21917453 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2022573252 Country of ref document: JP Kind code of ref document: A |
|
WWE | Wipo information: entry into national phase |
Ref document number: 202180088144.5 Country of ref document: CN |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 21917453 Country of ref document: EP Kind code of ref document: A1 |