JP3790661B2 - アクセス制御システム - Google Patents
アクセス制御システム Download PDFInfo
- Publication number
- JP3790661B2 JP3790661B2 JP2000274040A JP2000274040A JP3790661B2 JP 3790661 B2 JP3790661 B2 JP 3790661B2 JP 2000274040 A JP2000274040 A JP 2000274040A JP 2000274040 A JP2000274040 A JP 2000274040A JP 3790661 B2 JP3790661 B2 JP 3790661B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- access control
- control rule
- request
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Multi Processors (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、アクセス制御に関し、特にアクセス制御規則を柔軟に設定するためのアクセス制御規則に対するアクセス制御に関する。
【0002】
【従来の技術】
今日、コンピュータのセキュリティの観点から、情報資源であるオブジェクト(データファイルやディレクトリなど)に対するアクセス制御が一般に行われている。アクセス制御は、所定のオブジェクトに対してアクセス権限を持つ者やアクセスできる内容(実行できる処理の種類)を制限するアクセス制御規則を設定し、この規則に基づいて、ユーザなどからのアクセス要求を評価し、アクセスの可否を判断する。
【0003】
このようなアクセス制御を行うことのできる代表的な例としてOS(Operating System)のUNIXがある。UNIXにおいては、ファイルシステムやユーザID等を使用してアクセス制御が行われている。ファイルシステムには、所有者(owner)、所有者の所属するグループ(group)、その他(other)の三種類のサブジェクトがある。そして各サブジェクトに対してそれぞれ、ファイルの読込み(read)、書込み(write)、実行(execute)権限の可否が指定されている。
これら全ての権限を制限なく行使できるのは、全ての権限を持っているスーパーユーザである、ルート(root)ユーザでなければならない。また、それぞれのユーザID毎のデータに制限なくアクセスすることができるのも、全ての権限を持っているスーパーユーザである、rootユーザでなければならない。これらは、最上位の固定されたアクセス制御規則により決定されている。
そして、このrootユーザが持っている権限の一部を他のユーザに委譲したりすることはできない。この為、他のユーザに対してrootユーザの持つような強い権限を与えようとする場合には、root権限そのものを与える必要がある。
【0004】
また、他のアクセス制御の例として、アプリケーションソフトウェア自身が管理するオブジェクトに対するアクセス制御を行う例がある。例えば、データベース、ビュー、フォーム、文書などの複数オブジェクトの階層に対して柔軟にアクセス制御を付加することができるソフトウェアとして、米国ロータス社のNotesが知られている。
このNotesによるアクセス制御規則の変更権限はデータベース管理者のロールにのみ固定的に与えられている。つまり、データベース管理者のロールにユーザを追加すれば、皆がアクセス制御規則を変更することができる。しかしながら、一部のオブジェクト階層にのみ変更権限を持たせ、他の部分のオブジェクト階層には変更権限を持たせないようなアクセス制御を行うことはできない。
【0005】
以上の例のように、従来のアクセス制御システムにおいて、一般に、アクセス制御規則に対するアクセス権限に関して、ユーザは、全ての権限が与えられるか、全く何の権限も持つことができないかのどちらかであった。
【0006】
また、アクセス制御規則を記述するための言語に関する従来技術としてBJSがある。このBJSでは、administration権限に基づいてアクセス制御規則に対するアクセス制御規則を管理することができる。administration権限にはadministerとadm-accessの2種類がある。administerはadministration権限を含む全てのアクセス制御規則を作成することができ、adm-accessはadminister権限とadm-access権限とを除く他の権限(selectやcreateなど)を持つアクセス制御規則を作成することができる。例えば、adm-access権限を持つAliceに関して、次のアクセス制御規則が存在するとする。
<Alice, select, adm-access, strong, table1, Trent>
このアクセス制御規則は、Aliceがtable1のselect操作に関する限り、アクセス制御規則を自由に生成し、削除することができることを意味する。例えば、Employeeがtable1にselectに関する権限を持ち、この権限の作成者がAliceであることを示す規則、
<Employee, select, +, table1, Alice, strong>
を作成することができる。
他の例としては、例えば、administer権限を持つBobに関して、次のアクセス制御規則が存在するとする。
<Bob, select, administrater, strong, table1, Trent>
このアクセス制御規則は、Bobがtable1のselect操作に関する限り、アクセス制御規則の作成権限を他人に委譲することができることを意味する。例えば、 Carolがtable1にselect操作権限に関するアクセス制御規則を作成する権限を持ち、この権限の作成者がBobであることを示す規則、
<Carol, select, adm-access, strong, table1, Bob>
を作成することができる。
【0007】
BJSを用いれば、上記のようにアクセス制御規則に対するアクセスを制御する規則を記述することができる。ただし、アクセス制御規則の記述と、アクセス制御規則に対するアクセス制御規則であるadministration権限の記述とは、異なる書式で行われる。
【0008】
【発明が解決しようとする課題】
上述したように、従来、オペレーティングシステムやアプリケーションソフトウェアにて行われている一般的なアクセス制御は、アクセス制御規則自体に対するアクセス権限に関して、ユーザは、全ての権限を与えられるか、全く何の権限も持つことができないかのどちらかであった。
そのため、特定のアクセス制御規則の追加のみを特定のユーザに与えるというように、アクセス制御規則に対するアクセス権限を制限付きで認めることができなかった。すなわち、アクセス制御規則に対するアクセス権限の一部を委譲することはできなかった。
そして、多くのユーザにアクセス制御規則に対する全てのアクセス権限を与えてしまうことは、セキュリティ上好ましくない。
また、システムに変更があった場合に、権限の管理が煩雑となる。
【0009】
また、BJSを用いることにより、上述したように、アクセス制御規則に対するアクセスを制御する規則を記述することが可能となる。しかし、BJSにおいて、administration権限は、アクセス制御規則とは異なる書式で記述されており、その内容を、当該administration権限により制御されるアクセス制御規則の対象であるオブジェクト(tableなど)との組で決めなければならない。
したがって、例えば特定のオブジェクトに対して指定されたアクセス制御規則を見る権限(readなど)などのように、アクセス制御規則に対する権限の内容がオブジェクトと分離されているような権限を設定することはできない。
このように、BJSを用いてアクセス制御規則に対するアクセスを制御しようとする場合にも、柔軟なアクセス制御を行うことができない。
【0010】
これら従来のアクセス制御における問題点を解決し、ユーザに対して、アクセス制御規則に対する権限の任意の一部を与えることができれば、より使いやすく便利なアクセス制御システムとして活用できる。
また、アクセス制御規則に対するアクセスを制御する規則として、アクセス制御規則の追加、変更、削除等の記述を柔軟に行うことができれば、更に使いやすく便利なアクセス制御システムとして活用できる。
【0011】
そこで本発明は、データに対するアクセス制御規則と、アクセス制御規則に対するアクセス制御規則とを区別することなく扱うことにより、アクセス制御規則に対するアクセス制御についても、データに対するアクセス制御と同様の柔軟な制御を行うことができるアクセス制御システムを提供することを目的とする。
これにより、ユーザに対して、アクセス制御規則に対する権限の任意の一部を与えるようなアクセス制御を容易に行うことが可能となる。また、アクセス制御規則の追加、変更、削除等を容易に行うことが可能となる。
【0012】
【課題を解決するための手段】
上記の目的を達成するため、本発明は、情報資源であるオブジェクトへのアクセス要求に対するアクセス制御を行うアクセス制御システムにおいて、アクセス要求に応じて、このオブジェクトに対するアクセスの可否を、このオブジェクトに対するアクセス権限を規定したアクセス制御規則に基づいて判断するアクセス要求判断部と、このオブジェクトに対するアクセス制御規則を一般のデータオブジェクトと同様のオブジェクトとして格納したオブジェクト格納部とを備え、アクセス要求判断部は、アクセス制御規則を対象とするアクセス要求に応じて、このアクセス制御規則に対するアクセスの可否を判断することを特徴とする。
すなわち、アクセス制御規則を一般のデータオブジェクトと区別することなく扱うことができる。
【0013】
ここで、このアクセス要求判断部は、このアクセス制御規則を含む所定のオブジェクトを対象とするアクセス要求に応じて、オブジェクト格納部から、このアクセス要求の対象であるオブジェクトとこのオブジェクトに対するアクセス制御規則を記述したオブジェクトとを取得し、取得したアクセス制御規則に基づいてこのオブジェクトに対するアクセスの可否を判断することを特徴とする。
すなわち、アクセス要求判断部は、オブジェクト格納部からアクセス対象とアクセス制御規則の二つのオブジェクトを取得し、これらを用いてアクセス要求に対するアクセスの可否を判断する。
【0014】
さらにここで、このオブジェクト格納部にオブジェクトとして格納されるアクセス制御規則は、同じくオブジェクト格納部に格納されている他のアクセス制御規則に対するアクセス権限を規定したアクセス制御規則である場合を含む。
言い換えれば、アクセス制御規則に対するアクセス制御規則もオブジェクトとしてアクセス要求の対象となり、さらに上位のアクセス制御規則によってアクセス制御されるという多重化された構造を取り得る。
【0015】
また、このアクセス制御システムにおいて、アクセス要求の対象であるオブジェクトとこのオブジェクトに対するアクセス制御規則との相互関係を管理するオブジェクト対応管理部をさらに備えた構成とすることができる。
具体的には、このオブジェクト対応管理部は、アクセス制御規則との対応が記述されたオブジェクトからこの対応情報を取得して管理する。そして、このオブジェクトに付随し、かつアクセス制御規則との対応が記述されていないオブジェクトに対してアクセス要求がなされた場合に、このオブジェクト対応管理部により保管されていたアクセス制御規則の対応情報に基づいてアクセス制御規則を取得し、このアクセス制御規則との対応が記述されていないオブジェクトに対するアクセス制御規則として用いることができる。
オブジェクトとアクセス制御規則との対応情報は、オブジェクトに付するタグにより記述することができる。
【0016】
また、本発明は、他のアクセス制御システムを提供することができる。すなわち、所定の情報資源へのアクセス要求に対するアクセス制御を行うアクセス制御システムにおいて、この情報資源へのアクセス権限を規定したアクセス制御規則と、このアクセス制御規則と共通の書式で記述され、かつこのアクセス制御規則に対するアクセス権限を規定した上位制御規則とを格納した格納手段と、このアクセス制御規則を対象とするアクセス要求に応じて、このアクセス制御規則に対するアクセスの可否を、この上位制御規則に基づいて判断する判断手段とを備える。そして、この格納手段に格納されたアクセス制御規則は他のアクセス制御規則に対する上位制御規則である場合を含むことを特徴とする。
すなわち、アクセス制御規則もアクセス要求の対象となる一つの情報資源としてみた場合に上位制御規則もアクセス制御規則に他ならない。したがって、共通の書式でアクセス制御規則を記述し、その制御対象を他のアクセス制御規則とすることによって、上位制御規則を作成することができ、アクセス制御規則を多重化することができる。
【0017】
ここで、この格納手段に格納されたアクセス制御規則は、一般のデータオブジェクトにおいてアクセス制御規則を指し示す指示情報を付加するのと同様に、自アクセス制御規則に対する上位制御規則を指し示す指示情報を付した指示情報付きオブジェクトとして記述することができる。
この指示情報は上述したタグで表現することができる。
【0018】
また、このアクセス制御システムは、判断手段によりアクセスを許可されたアクセス要求に応じて、このアクセス制御規則及びこの上位制御規則を生成し、変更し、または削除する処理手段をさらに備えた構成とすることができる。
【0019】
さらにここで、この上位制御規則は、このアクセス制御規則に対するアクセス権限の一部を特定の主体に対して認めることを規定した規則とすることができる。
【0020】
また、本発明は、さらに他のアクセス制御システムを提供することができる。すなわち、データの構成要素に対する制御情報を示すタグを付されたタグ付きオブジェクトを対象とし、当該タグ付きオブジェクトへのアクセス要求に対するアクセス制御を行うアクセス制御システムにおいて、このタグ付きオブジェクトへのアクセス権限を規定するアクセス制御規則を格納したアクセス制御規則格納手段と、このアクセス要求に応じて、このアクセス要求の対象であるタグ付きオブジェクトに対するアクセスの可否を、このアクセス制御規則に基づいて判断するアクセス要求判断手段とを備え、このアクセス制御規則格納手段に格納されたアクセス制御規則は、規則の構成要素に対する制御情報を示すタグを付されたタグ付きオブジェクトとして記述され、このアクセス要求判断手段は、このアクセス制御規則を対象とするアクセス要求に応じて、タグ付きオブジェクトであるこのアクセス制御規則に対するアクセスの可否を判断することを特徴とする。
すなわち、アクセス制御規則をタグ付きオブジェクトの形式で記述したことにより、アクセス制御システム上は、HTMLなどの一般のタグ付きデータオブジェクトとアクセス制御規則とを区別することなく扱うことができる。
【0021】
ここで、このアクセス制御システムは、タグ付きオブジェクトとして記述されたタグ付きデータオブジェクトと前記タグを持たないタグ無しデータオブジェクトとを格納したデータオブジェクト格納手段をさらに備え、アクセス要求判断手段は、アクセス制御規則、タグ付きデータオブジェクト、タグ無しデータオブジェクトのいずれかに対するアクセスの可否を判断することを特徴とする。
【0022】
さらにここで、このアクセス制御システムは、このタグ付きデータオブジェクトに対するアクセス要求が行われた場合に、このタグ付きデータオブジェクトに対するアクセス制御規則に関する情報を保持する管理手段をさらに備え、アクセス要求判断手段は、このタグ付きデータオブジェクトに付随するタグ無しデータオブジェクトに対するアクセス要求が行われた場合に、この管理手段に保持されている情報に基づいて、このタグ付きデータオブジェクトに対するアクセス制御規則を取得し、取得したこのアクセス制御規則に基づいてこのタグ無しデータオブジェクトに対するアクセスの可否を判断する構成とすることができる。
すなわち、データオブジェクトをタグ付きデータオブジェクトとタグ無しデータオブジェクトとに分け、タグ無しデータオブジェクトはこのオブジェクトが付随するタグ付きデータオブジェクトのアクセス制御規則を流用することにより、タグ無しデータオブジェクトへのアクセス制御を実現できる。
【0023】
また、本発明は、クライアントからのアクセス要求を受け付けて、アクセス対象であるオブジェクトに対してこのアクセス要求に応じた処理を行うサーバであって、アクセス要求に応じて、このアクセス要求の対象であるオブジェクトに対するアクセスの可否を、当該オブジェクトに対するアクセス権限を規定したアクセス制御規則に基づいて判断するアクセス要求判断部と、このアクセス要求判断部によりアクセスが許可されたアクセス要求に応じて、このオブジェクトに対する処理を実行するオブジェクト処理部と、このオブジェクトに対するアクセス制御規則をオブジェクトとして格納したオブジェクト格納部とを備え、このアクセス要求判断部は、このアクセス制御規則を対象とするアクセス要求に応じて、このアクセス制御規則に対するアクセスの可否を判断することを特徴とする。
すなわち、アクセス制御を行ってオブジェクトに対する処理を行うサーバとして提供することができる。
【0024】
また、本発明は、情報資源であるオブジェクトへのアクセス要求に対するアクセス制御を行うアクセス制御方法において、アクセス制御規則を対象オブジェクトとするアクセス要求を受け付けるステップと、このアクセス要求の対象オブジェクトに対するアクセス権限を規定するアクセス制御規則を取得するステップと、取得したこのアクセス制御規則に基づいてこの対象オブジェクトに対するアクセスの可否を判定するステップとを含むことを特徴とする。
すなわち、アクセス制御規則を一般のデータオブジェクトと同様に対象オブジェクトとしてアクセス要求を受け付け、アクセス制御を行うことができる。
【0025】
さらにまた、本発明は、データの構成要素に対する制御情報を示すタグを付されたタグ付きオブジェクトを対象とし、このタグ付きオブジェクトへのアクセス要求に対するアクセス制御を行うアクセス制御方法において、このタグ付きオブジェクトに対するアクセス要求が行われた場合に、このタグ付きオブジェクトに対するアクセス制御規則に関する情報を保持するステップと、このタグ付きオブジェクトに付随するタグ無しオブジェクトに対するアクセス要求が行われた場合に、このアクセス制御規則に関する情報を保持するステップにおいて保持された情報に基づいてこのタグ付きオブジェクトに対するアクセス制御規則を取得するステップと、取得されたアクセス制御規則を用いてこのタグ無しオブジェクトに対するアクセスの可否を行うステップとを含むことを特徴とする。
【0026】
また、本発明は、情報資源であるオブジェクトへのアクセス要求に対するアクセス制御を行うためのアクセス制御規則を生成するアクセス制御規則生成方法において、このアクセス制御規則の生成要求を受け付け、この生成要求に対する前記アクセス制御規則に基づいて、この生成要求を許可するかどうかを判断するステップと、この生成要求が許可された場合に、この生成要求に応じたアクセス制御規則を生成し、この生成要求に対するアクセス制御規則を指示する指示情報を生成されたこのアクセス制御規則に付加するステップとを含むことを特徴とする。
【0027】
さらに本発明は、これらのアクセス制御方法またはアクセス制御規則生成方法における各ステップに相当する処理をコンピュータに実行させるプログラムを作成し、コンピュータにて読み取り可能な記憶媒体に格納して提供したり、プログラム伝送装置から配信したりすることにより提供することができる。
【0028】
【発明の実施の形態】
以下、添付図面に示す実施の形態に基づいて本発明を詳細に説明する。
まず、本発明の概要について説明する。本発明は、通常のアクセス制御の対象であるオブジェクトとアクセス制御規則自体とを区別することなく扱うため、タグ付きオブジェクトという概念を導入した。ここで、タグとは、データの構成要素に対する制御情報を示すデータであり、例えば、データの構成要素に対して付けられた固有の名前とすることができる。また、タグ付きオブジェクトとは、タグ名によりデータを参照することができるようなオブジェクトである。例えば、HTML(Hypertext Markup Language)やXML(Extensible Markup Language)などのマークアップ言語はタグ付きオブジェクトである。
【0029】
本発明では、アクセス制御規則をタグ付きオブジェクトとして記述する。また、一般のデータオブジェクトについてもタグ付きオブジェクトとタグを持たないタグ無しオブジェクトとに分類する。そして、オブジェクトの記述形式に応じたアクセス制御を行う。これにより、タグ付きオブジェクトであれば、アクセス制御規則であるかデータオブジェクトであるかに関わらず、同様の手法でアクセス制御を行うことが可能となる。
【0030】
図1は、本実施の形態における、アクセス制御システムの全体構成を説明する図である。
図1において、符号100はアクセス要求部であり、アクセス要求を発行する。符号200はアクセス制御部であり、管理している情報資源であるオブジェクトに対するアクセスの可否を制御するアクセス要求判断手段である。符号300はオブジェクト管理部であり、オブジェクトやアクセス制御規則をオブジェクト格納部(後述の符号500)から取り出して、アクセス制御部200に渡す。また、オブジェクト格納部500から取り出されたオブジェクトやアクセス制御規則を補足するために、必要に応じてオブジェクト対応管理部(後述の符号400)を使うことができる。符号400はオブジェクト対応管理部であり、オブジェクト格納部500からオブジェクトを取り出す際、またはオブジェクト格納部500に対してオブジェクトを格納する際に、当該オブジェクトの状態を管理する。特に、取り出されたオブジェクトに対するアクセス制御規則などの情報を一時的に蓄える機能を持つ。符号500はオブジェクト格納部であり、アクセス要求の対象となるオブジェクトを格納している。符号600はアクセス処理部600であり、アクセス制御部200によって許可されたアクセス要求に応じて、当該アクセス制御の対象であるオブジェクトに対する処理を実行する。
【0031】
本実施の形態におけるアクセス制御システムは、複数のコンピュータ装置をネットワークで接続したネットワークシステムとして構築されても良いし、単一のコンピュータ装置の一部として構成されても良い。前者の場合、例えば図1に示すアクセス要求部100は、パーソナルコンピュータや携帯端末、その他の各種の端末装置にて実現される。そして、アクセス制御部200、オブジェクト管理部300、オブジェクト対応管理部400、オブジェクト格納部500及びアクセス処理部600は、アクセス要求部100である端末装置にネットワークを介して接続されたサーバマシンにて実現される。
また、後者の場合、例えばアクセス要求部100は、コンピュータ装置内で動作し、オブジェクト格納部500に格納されているオブジェクトに対してアクセスし、処理を行うアプリケーションプログラムの機能により実現される。そして、アクセス制御部200、オブジェクト管理部300、オブジェクト対応管理部400、オブジェクト格納部500及びアクセス処理部600は、オペレーティングシステムやアプリケーションプログラムの機能により実現される。
なお、図1に示す各構成要素は、上記アプリケーションプログラムやオペレーティングシステムなどのコンピュータプログラムにて制御されたCPUにて実現される仮想的なソフトウェアブロックである。CPUを制御する当該コンピュータプログラムはCD−ROMやフロッピーディスクなどの記憶媒体に格納したり、ネットワークを介して伝送したりすることにより提供される。
【0032】
また、オブジェクト格納部500に格納されるオブジェクトは、タグを付されたタグ付きオブジェクトとタグを持たないタグ無しオブジェクトからなる。
タグ付きオブジェクトには、文書など一般のデータであるタグオブジェクトとタグ付きオブジェクトに対するアクセス制御規則を記述したアクセス制御タグオブジェクトとがある。アクセス制御タグオブジェクトには、タグオブジェクトのみならず、他のアクセス制御タグオブジェクトに対するアクセス制御規則を記述したものも存在する。
タグ無しオブジェクトは、内部にタグ表現を持たない任意の形式のオブジェクトである。
【0033】
図2は図1に示したアクセス制御システムにおける動作のアルゴリズムの全体概要を表している。
まず、アクセス要求部100によって、オブジェクトに対するアクセス要求が生成される(ステップ701)。ステップ701においてアクセス要求部100で生成されたアクセス要求は、アクセス制御部200へ送られる。
アクセス要求を受け取ったアクセス制御部200は、オブジェクト管理部300を介してオブジェクト格納部500からアクセス要求の対象となるオブジェクトを取り出す(ここでは、アクセス要求の対象としてアクセス制御タグオブジェクト、タグオブジェクト、タグ無しオブジェクトの3種類が考えられるため、単にオブジェクトと表記する)。
オブジェクト管理部300は、アクセス対象であるオブジェクトと共に、当該オブジェクトに対するアクセス制御規則を記述したアクセス制御タグオブジェクトをオブジェクト格納部500から取り出し、アクセス制御部200へ送る。この際、必要であれば、取り出されたオブジェクトに対してオブジェクト対応管理部400に処理を渡し、補足処理を行う。
【0034】
アクセス対象であるオブジェクト及びアクセス制御タグオブジェクトを受け取ったアクセス制御部200は、当該オブジェクトに対するアクセスの可否を判定する(ステップ702)。ステップ702においてアクセスが許可されると、アクセス処理部600が、アクセス要求の対象であるオブジェクトに対し、アクセス要求に応じた処理を施す(ステップ703)。ステップ703において処理が施されたオブジェクトは、当該処理の内容に応じてアクセス制御部200によって返送先を判断され、アクセス要求部100またはオブジェクト格納部500に送られる(ステップ704)。例えば、アクセス要求としてデータのリードを要求した場合は、対象であるオブジェクトはアクセス要求部100に返送される必要がある。また、アクセス要求に応じた処理としてデータの書き換えが行われた場合は、書き換えられたオブジェクトをオブジェクト格納部500に格納する必要がある。
以上のように、図1に示すアクセス制御システムにおける主要な処理の流れは、アクセス対象がアクセス制御規則であるアクセス制御タグオブジェクトであると、一般のデータオブジェクトであるタグオブジェクトまたはタグ無しオブジェクトであるとを問わず同一である。
【0035】
図3は、本実施の形態においてアクセス対象となるオブジェクトのデータ構造を説明する図である。これらはオブジェクト格納部500に格納されるオブジェクトであり、上述したように、タグ付きオブジェクトとタグ無しオブジェクトとからなる。タグ付きオブジェクトはさらに、一般のデータオブジェクトであるタグオブジェクトと、タグがアクセス制御の内容に関する規則を規定しているアクセス制御タグオブジェクトとに分けられる。タグ付きオブジェクトのデータ構造は、タグにより、図3に示すように特定される。
【0036】
図3を参照すると、タグオブジェクトに付されるタグには、アクセス制御識別名タグと、アクセス可能主体タグと、その他の任意のタグとがある。
アクセス制御識別名タグは、自タグオブジェクトに対するアクセス制御規則を記述したアクセス制御タグオブジェクトを指示する、オブジェクトID等の識別名を示すタグである。
アクセス可能主体タグは、タグオブジェクトを生成したアクセス主体であるユーザ名、グループ名、システムプロセス番号等を指示するタグである。当該タグにて示されるアクセス可能主体は、当該タグオブジェクトに対して行うことができる処理の全てに対してアクセス権限を持つ。
また、タグオブジェクトには、当該タグオブジェクトのデータ形式などに応じてデータ構造を示す任意のタグを設定することができる。
なお、アクセス制御識別名タグ及びアクセス可能主体タグは、一つのタグオブジェクトに対してそれぞれ複数設定することができる。
【0037】
次に、アクセス制御タグオブジェクトに付されるタグには、アクセス制御識別名タグと、アクセス可能主体タグと、アクセス対象タグと、アクセス主体タグと、アクセス種別タグと、アクセスフラグタグと、アクセス条件タグとがある。このうち、アクセス制御識別名タグとアクセス可能主体タグとは、タグオブジェクトにおいて上述した各タグと同一である。
アクセス対象タグは、当該アクセス制御タグオブジェクトによるアクセス制御の対象となるオブジェクト(以下、対象オブジェクト)を示すタグである。当該アクセス対象タグの内容は対象オブジェクトに付されたタグのタグ名である。複数のオブジェクトによってタグの親子関係を示している場合、タグ名を使うことによりアクセス対象のオブジェクトを決めることができる。
アクセス主体タグは、当該アクセス制御タグオブジェクトにより対象オブジェクトへのアクセスを許可されている主体を示すタグである。当該アクセス主体タグの内容は、対象オブジェクトへのアクセスを行うユーザ、グループ、プロセスなどを特定する識別子である。
アクセス種別タグは、対象オブジェクトに対して行う処理の種類を示すタグである。処理の例としては、読出し、変更、追加、生成、削除などがある。
アクセスフラグタグは、アクセスの可否を決めるフラグであり、その内容は、許可と不許可である。すなわち、アクセス要求において、アクセス主体タグにて示されているアクセス主体が、アクセス対象タグにて示されている対象オブジェクトを対象として、アクセス種別タグに示されている処理を要求した場合、アクセスフラグタグが許可となっていれば、当該アクセス制御タグオブジェクトは、そのようなアクセスを許可する。一方、アクセスフラグタグが不許可となっていれば、当該アクセス制御タグオブジェクトは、そのようなアクセスを拒否する。
アクセス条件タグは、アクセス制御タグオブジェクトを適用する条件を示すタグであり、何らかの評価可能な条件式として記述される。
なお、アクセス制御タグオブジェクトを構成するタグのうち、アクセス対象タグ、アクセス主体タグ、アクセス種別タグ、アクセスフラグタグ及びアクセス条件タグが一組となって、一つのアクセス制御規則を表現する。したがって、この組を複数設定することにより、当該アクセス制御タグオブジェクトに同種のアクセス制御規則を複数設定することができる。なお、各組において、アクセス条件タグなど、特に設定しなくてもアクセス制御に差し支えないタグについては、内容をNULLとすることもできる。また、これらのタグの種類は一例に過ぎず、アクセス制御に差し支えなければ、いずれかのタグを省略しても良いし、アクセス制御のために用いることができる情報であれば、他のタグを追加しても良い。
以上のように、本実施の形態では、アクセス制御規則を、タグによりデータ構造を特定されたタグ付きオブジェクトとして記述することにより、上述したタグオブジェクトと同様に扱うことが可能となる。
【0038】
タグ無しオブジェクトは、任意の形式のオブジェクトであり、内部にタグによって表現されるデータ構造を持たない。例えばGIFファイルなどはタグ無しオブジェクトである。
【0039】
図4は、図1に示したアクセス制御システムの各ブロック間でやりとりされる情報(インターフェイス)の一覧を示す図である。
図4を参照すると、アクセス要求部100からアクセス制御部200の方向には、アクセス要求が送られる。ここで、アクセス要求とは、アクセス対象、アクセス主体、アクセス種別からなる三つのデータの組であり、例えば上述したタグのタグ名を記述する。
アクセス制御部200からアクセス要求部100の方向には、アクセス制御の判定結果を表すアクセスフラグの情報と、アクセス処理部600にて処理されたオブジェクトが送られる。
アクセス制御部200からオブジェクト管理部300の方向には、アクセス対象を表すオブジェクト識別子が送られる。ここで、オブジェクト識別子とは、オブジェクトを一意に参照する情報であり、例えば、オブジェクトIDやXPathなどの表現形式を持つ。
また、アクセス制御部200からオブジェクト格納部500の方向には、アクセス処理部600にて処理されたオブジェクトが送られる。
オブジェクト管理部300からアクセス制御部200の方向には、対象オブジェクトとアクセス制御タグオブジェクトが送られる。
オブジェクト管理部300からオブジェクト格納部500の方向には、アクセス対象を表すオブジェクト識別子が送られる。
オブジェクト格納部500からオブジェクト管理部300の方向には、対象オブジェクトまたはアクセス制御タグオブジェクトが送られる。
オブジェクト管理部300からオブジェクト対応管理部400の方向には、対象オブジェクトやアクセス制御タグオブジェクトを表すオブジェクト識別子が送られる。
オブジェクト対応管理部400からオブジェクト管理部300の方向には、アクセス制御タグオブジェクトが送られる。
アクセス制御部200からアクセス処理部600の方向には、処理対象であるオブジェクトと、アクセス制御タグオブジェクトから取得されるアクセス対象タグ、アクセス種別タグ及びアクセスフラグとが送られる。
また、アクセス処理部600からアクセス制御部200の方向には処理済みのオブジェクトが送られる。
【0040】
次に、図1を用いて、本実施の形態を各構成要素とそれに伴うオブジェクトの動きを追いながらさらに詳しく説明する。以下の説明において、特に明示しない場合、タグオブジェクトとアクセス制御タグオブジェクトとを総称してオブジェクトと呼ぶ。
ユーザは、アクセス要求部100から、アクセス制御部200に対してアクセス要求を行う。アクセス要求に伴い引数として、ここではオブジェクト識別名A、主体識別名A、アクセス種別A、アクセス引数Aが送られたものとする。ここで、オブジェクト識別名Aとは、対象オブジェクトを特定する情報であり、オブジェクトIDやファイル名のような対象を指す名前、あるいはXPathのように木構造の特定の場所を示すポインタである。主体識別名Aとは、アクセス主体を特定する情報であり、ユーザ名やプロセス名である。アクセス種別Aとは、要求する処理の種類を特定する情報であり、読込みや書込みのような操作名である。アクセス引数Aは、操作を規定するために使われるパラメータである。
【0041】
アクセス制御部200は、アクセス要求を受け取ると、オブジェクト識別名Aに対するアクセス情報を取得する為に、オブジェクト識別名Aを引数として、オブジェクト管理部300を呼ぶ。
【0042】
オブジェクト管理部300は、オブジェクト格納部500の中に、オブジェクト識別名AのオブジェクトIDもしくはファイル名に一致するオブジェクトAが格納されているかどうかを調べる。一致するものがあれば、オブジェクト格納部500からオブジェクトAを取得する。ここで、オブジェクトAは、タグオブジェクト、アクセス制御タグオブジェクト、タグ無しオブジェクトの中の何れかである。オブジェクト格納部500の中に、オブジェクト識別名Aに相当するオブジェクトが存在しなかった場合には、エラーを出力して処理を終了する。
オブジェクト管理部300はさらに、オブジェクトAにアクセス制御識別名タグが存在していた場合、そのタグに書かれたデータをオブジェクト識別名Bとみなし、再度オブジェクト格納部500からオブジェクト識別名Bに該当するオブジェクトBをオブジェクトAに対するアクセス制御規則として取得する。オブジェクト制御識別タグが複数の場合には、取得すべきオブジェクトBが複数であるものとする。
また、オブジェクトAにアクセス可能主体というタグ名があれば、当該オブジェクトに対してアクセスできるのが当該アクセス可能主体のみであるため、ここではこれ以上の処理を行わない。
オブジェクト管理部300は、以上のようにして得られたオブジェクトA及びオブジェクトBをアクセス制御部200に戻す。
【0043】
アクセス制御部200は、オブジェクトBに記述されたオブジェクトAに対するアクセス制御規則に基づきアクセス判定を行う。そして、得られたアクセス判定結果に基づき、アクセス処理部600に対して必要な処理を依頼する。
【0044】
アクセス処理部600は、図4に示したように、アクセス制御部200から対象オブジェクトと、アクセス対象タグ、アクセス種別タグ、及びアクセス判定結果を示すアクセスフラグタグを受け取り、これらに基づいて対象オブジェクトに対する処理を実行する。そして、処理の結果に応じてオブジェクトRを生成し、アクセス制御部200に送る。
【0045】
アクセス制御部200は、アクセス処理部600において生成されたオブジェクトRを、アクセス要求部100またはオブジェクト格納部500に送る。例えば、アクセス要求にて要求された処理(アクセス種別タグ)が対象オブジェクトのリードであれば、オブジェクトR(対象オブジェクトと同一)をアクセス要求部100に返送する。また、アクセス処理部600においてデータの書き換えが行われたならば、生成されたオブジェクトRをオブジェクト格納部500へ送って格納する。また、処理の内容によっては、アクセス要求部100及びオブジェクト格納部500の両方にオブジェクトRを送る場合もあるし、何もしない場合もある。これらの判断は、例えば、アクセス制御部200において、図8に示すような対応テーブルを持っておき、アクセス要求の引数であるアクセス種別またはアクセス制御タグオブジェクトのアクセス種別タグに応じて決定することができる。
【0046】
次に、オブジェクト格納部500から取得されたオブジェクトAがタグ無しオブジェクトであった場合について説明する。この場合、タグ無しオブジェクトはタグを持たないため、アクセス制御規則を記述したアクセス制御タグオブジェクトを指示することができない。そこで、オブジェクト対応管理部400により補足処理を行う。
この場合、オブジェクト管理部300は、オブジェクト対応管理部400に対してオブジェクト識別名Aに対応するアクセス制御を指定したエントリーがあるかどうかを問い合わせる。オブジェクト対応管理部400は、オブジェクト管理部300から問い合わせられたエントリーに対応するアクセス制御タグオブジェクトがあれば、オブジェクト管理部300に対してそのオブジェクトの識別名を戻す。ここでは、オブジェクト識別名Bが戻されたものとする。また、オブジェクト管理部300から問い合わせられたエントリーに対応するアクセス制御タグオブジェクトがない場合には、何も記述がされていない空のアクセス制御タグオブジェクトを戻す。また、オブジェクト対応管理部400は、管理するエントリーの有効期限や使用フラグに基づいてエントリーの削除等の管理をも行う。
オブジェクト対応管理部400に格納されているタグ無しオブジェクトとアクセス制御タグオブジェクトとの対応関係の詳細については後述する。
【0047】
次に、アクセス制御部200におけるアクセス制御の判定を行う処理について詳細に説明する。オブジェクト管理部300から送られてきたアクセス制御タグオブジェクトには、アクセス対象、アクセス主体、アクセス種別、アクセスフラグ、アクセス許可条件が記述されている。
図5は、アクセス要求部100から送られたアクセス要求に対するアクセス判定アルゴリズムを示す図である。
図5において、まず、アクセス要求に応じて取得された主体識別名A、アクセス種別A、アクセス主体、アクセス種別、アクセスフラグ、アクセス許可条件の各データがオブジェクト管理部300から送られてくる(ステップ801)。次に、主体識別名Aがアクセス主体に含まれている規則を全て抽出する(ステップ802)。ここで、規則がない場合はアクセス不許可となる(ステップ808)。主体識別名Aがアクセス主体に含まれているものがあれば、次の処理として、その中でさらにアクセス種別Aがアクセス種別に含まれている規則を全て抽出する(ステップ803)。ここで、規則がない場合はアクセス不許可となる(ステップ808)。アクセス種別Aがアクセス種別に含まれているものがあれば、次の処理として、その中でアクセス条件を満足するものを全て抽出する(ステップ804)。ここで、規則がない場合はアクセス不許可となる(ステップ808)。アクセス条件を満足するものがあれば、次の処理として、抽出された規則の中で最も優先度の高い規則を選択する(ステップ805)。次に、選択された規則は一つあるいは複数だが、アクセスフラグは全て同一であるかどうかの判断を行う(ステップ806)。アクセスフラグが全て同一でない場合には、アクセス不許可となる(ステップ808)。アクセスフラグが全て同一であれば、次の処理として、それらの規則においてアクセスフラグが許可であるかどうかの判定を行う(ステップ807)。アクセスフラグが不許可であればアクセス不許可となる(ステップ808)。ステップ807にて、アクセスフラグが許可である場合にはアクセス許可となる(ステップ809)。
【0048】
次に、タグ無しオブジェクトをアクセス制御するためのオブジェクト管理部300と、オブジェクト対応管理部400における処理について説明する。
オブジェクト管理部300に送られてきたタグオブジェクトの中に、タグ無しオブジェクトの識別子が含まれている場合に、オブジェクト管理部300は、オブジェクト対応管理部400に対して新しくエントリーを生成するように要求する。これは、HTMLファイル等のタグオブジェクトに対するアクセスが行われ、その直後に当該gifファイルやWordファイル等のタグ無しオブジェクトに対するアクセスが発生した場合に対処するために行う。本実施の形態では、タグ無しオブジェクトに対するアクセス制御規則は当該タグ無しオブジェクトがポイントされているタグオブジェクト経由でアクセス制御を行うことを前提とする。従って、タグオブジェクトに含まれるタグ無しオブジェクトと対応するアクセス制御規則をオブジェクト対応管理部400に送り、一時的に対応表を作成するようにする。この表により、HTMLファイル等のタグオブジェクトが読まれた直後の、gifファイル等のタグ無しオブジェクトの読込みアクセスにおいて柔軟な制御を行うことができる。
【0049】
オブジェクト対応管理部400におけるオブジェクト対応管理処理について説明する。オブジェクト対応管理部400は、タグ無しオブジェクトとアクセス制御規則の関係を一時的に保管するためのオブジェクト対応テーブルを管理する。
図6はオブジェクト対応テーブルの構成例を示す図である。
図6を参照すると、オブジェクト対応テーブルには、オブジェクト識別子、アクセス主体、アクセス種別、アクセス制御タグオブジェクト識別子、有効期限、履歴といったデータ項目とインターフェイスの定義とを関係付けて構成される。オブジェクト識別子は、タグ無しオブジェクトの識別子であり、例としてはgifファイル(.gif)等が挙げられる。アクセス制御タグオブジェクト識別子は、オブジェクト識別子に対するアクセス制御規則であり、どの規則を使ったかが判るものである。これらのデータ項目の他に、各エントリーの有効期限や使用履歴の示すフラグなどを設定し、各エントリーの有効期限や使用履歴等の情報から、有効期限の過ぎたエントリーの削除等を行い、オブジェクト対応テーブルの管理を行う。
【0050】
アクセス処理部600は、アクセス種別によって定められた必要処理をオブジェクトに対して実行する。ここで、必要処理とは、アクセス処理部600に格納されているスクリプトプログラム、及びデフォルトで提供されているプログラムによって構成されているものとする。また、このスクリプトプログラムは、引数としてオブジェクト、アクセス種別、アクセス引数を使う。スクリプトプログラムは、要求に応じた処理結果を処理済みオブジェクトとして戻す機能を持つ。図7にアクセス処理部600における必要処理の例を示す。デフォルトで提供されているプログラムは、新しくオブジェクトを生成する際にアクセス可能主体タグとアクセス制御識別タグの値をセットするプログラムと、オブジェクトを削除する際に中身のないヌルオブジェクトを作るプログラムである。前者は、アクセス可能主体タグにアクセス要求のアクセス主体識別名を、アクセス制御識別タグにアクセス制御タグオブジェクト識別子をセットするプログラムである。
【0051】
またここで、オブジェクト管理部300からアクセス制御部200に対してタグオブジェクトが送られた際、送られてきたアクセス制御タグオブジェクトの中には、複数のアクセス制御規則が記述されている場合が考えられる。あるいは、オブジェクト管理部300から複数のアクセス制御タグオブジェクトが送られてくる可能性がある。その場合、アクセス制御規則同士で矛盾が発生する可能性がある。例えば、第一の規則で、『AliceはDateタグの内容をReadできる』と書かれているのに、第二の規則で、『AliceはDateタグの内容をReadできない』と書かれているような場合である。そこで、本アルゴリズムは、規則間の優先順位に基づいた矛盾解決方法を用いる。各規則に優先順位を設定し、常に優先順位の高いアクセス制御規則が適用されることとする。この場合、規則群の全ての規則に対して各々異なる優先度を割り当てれば、必ず矛盾しない結果が得られることは明らかである。
【0052】
図9に社員データに対するアクセス制御規則の例を示す。ここで、ID=1の規則は、『人事課長は社員の給料フィールドを変更できる』ことを示し、ID=2の規則は、『社員の役職がない場合、人事課長は社員の給料フィールドを変更できない』ことを示している。このような場合、ID=1の規則から『変更可能』、ID=2の規則から『変更不能』といったように、ID=1とID=2の規則は変更権限に関して矛盾した結果を出力する可能性がある。本実施の形態では、各規則に付けた優先度に基づいて、矛盾解消を行う。図9に示すように、規則1には優先度2(PR=2)、規則2には優先度1(PR=1)を属性として設定した。つまり、『変更不能』と設定した規則の優先度の方が、『変更可能』と設定した規則の優先度よりも高いので、『変更不能』という結果が得られることになる。このように、権限に矛盾が発生した場合でも、優先度から規則を判定することができる。
【0053】
次に、既に存在するタグオブジェクトに対する変更動作をどのようにアクセス制御するかを具体的な例を用いて更に詳しく説明する。オブジェクト内のデータに対する変更動作は変更、あるいは追加というアクセス種別で表現する。ここで変更とは、タグオブジェクト内のタグ構造を変更することを意味する。追加とは、タグオブジェクト内に新しく子供のタグ構造を追加することを意味する。
【0054】
図10は、データ及びアクセス制御規則の初期状態を表している。図10において、各タグオブジェクトに付されたオブジェクト1、オブジェクト2、オブジェクト3は、オブジェクト識別名である。
オブジェクト識別名がオブジェクト1であるオブジェクトは、Aliceという社員の給料に関する内容の情報を持つタグオブジェクトである。また、オブジェクト識別名がオブジェクト2であるオブジェクトは、タグオブジェクトに対するアクセス制御規則群を表すアクセス制御タグオブジェクトである。さらに、オブジェクト識別名がオブジェクト3であるオブジェクトは、アクセス制御タグオブジェクトに対するアクセス制御規則を表すアクセス制御タグオブジェクトである。オブジェクト3には、アクセス可能主体に相当する変更可能者が指定されている。
また、同図において、太い矢印はアクセス制御識別名タグの値を示しており、自オブジェクトに対するアクセス制御規則を記述するオブジェクトを指している。細い矢印はアクセス制御を行うことのできる対象範囲を示している。
【0055】
次に、タグオブジェクトに対してアクセス制御を行う場合の動作を説明する。図11は、図10に示した関係のオブジェクト群において、タグオブジェクトにデータを追加する様子を説明する図である。
図11の例では、アクセス要求部100から、オブジェクト識別名Aが『オブジェクト1』、主体識別名Aが『人事課長』、アクセス種別Aが『追加』、アクセス引数Aが『<社員><名前>Bob</名前><給料>20万</給料></社員>』というアクセス要求があったものとする。アクセス制御部200は、受け取ったアクセス要求の中からオブジェクト識別名Aであるオブジェクト1を取り出し、オブジェクト管理部300に送る。
【0056】
オブジェクト管理部300は、オブジェクト格納部500からオブジェクト識別名Aに相当するオブジェクト1を取り出す。取り出されたオブジェクト1であるタグオブジェクトから、当該タグオブジェクトのアクセス制御識別名タグで示されるアクセス制御タグオブジェクトの識別名を取り出す。ここで取り出される識別名にて特定されるアクセス制御タグオブジェクトは、当該オブジェクト1であるタグオブジェクトに対するアクセス制御規則を規定する。図11では、太い矢印で示されるオブジェクト2である。オブジェクト管理部300は、オブジェクト格納部500からオブジェクト2を取り出す。アクセス制御部200は、データを表すオブジェクト1とアクセス制御規則を表すオブジェクト2とを受け取り、アクセス要求部100からのアクセス引数Aとともに、アクセス処理部600へ送る。
【0057】
アクセス処理部600は、オブジェクト2が人事課長によってオブジェクト1に対するアクセス引数Aを追加することを許可しているかどうかを検証する。そして、規則1が社員データに対して人事課長がデータを追加することができることが書かれている規則であることを確認し、追加処理を行う。
これにより、アクセス要求部100からアクセス引数Aとしてアクセス要求があった社員データであるオブジェクト1に、 Bob の社員エントリーが追加される。更新されたオブジェクト1は、オブジェクトRとしてアクセス制御部200に送られる。
【0058】
アクセス制御部200は、アクセス種別に応じて、更新されたオブジェクト1であるオブジェクトRをアクセス要求部100に送り返すか、オブジェクト管理部300に送るかを決定する。オブジェクトRの送り先は、例えば上述した図8に示すような対応テーブルにより、アクセス処理部600にて行われた処理の内容に基づいて決定される。ここでは、アクセス種別が追加の場合に、作成されたオブジェクトRをオブジェクト管理部300に送るという規則があるものとし、社員エントリーの追加がなされたオブジェクト1であるオブジェクトRをオブジェクト管理部300に送る。オブジェクト管理部300は、アクセス制御部200から受け取ったオブジェクトRをオブジェクト格納部500に送り、格納する。
最後に、アクセス制御部200は、アクセス判定結果をアクセス要求部100に送り、アクセス要求に対する処理を終了する。
【0059】
次に、アクセス制御規則に対してアクセス制御を行う場合の動作を説明する。図12は、図11の状態にあるオブジェクト群において、アクセス制御タグオブジェクトにアクセス制御規則を追加する様子を説明する図である。
図12の例では、アクセス要求部100から、オブジェクト識別名Aが『オブジェクト2』、主体識別名Aが『人事部長』、アクセス種別Aが『追加』、アクセス引数Aが『<規則>{名前、監査課、読み}</規則>』というアクセス要求があったものとする。ここで、『{名前、監査課、読み}』の各部分はそれぞれ、『名前』がアクセス対象タグ、『監査課』がアクセス主体タグ、『読み』がアクセス種別タグを表現しているものとする。アクセスフラグタグには許可、アクセス条件タグには真が指定されていると仮定する。アクセス制御部200は、受け取ったアクセス要求の中からオブジェクト識別名Aであるオブジェクト2を取り出し、オブジェクト管理部300に送る。
【0060】
オブジェクト管理部300は、オブジェクト格納部500からオブジェクト識別名Aに相当するオブジェクト2を取り出す。取り出されたオブジェクト2であるアクセス制御タグオブジェクトから、アクセス制御識別タグで示されるアクセス制御タグオブジェクトの識別名を取り出す。ここで取り出される識別名にて特定されるアクセス制御タグオブジェクトは、当該オブジェクト2であるアクセス制御タグオブジェクトに対するアクセス制御規則を規定する。図12では、太い矢印で示されるオブジェクト3である。オブジェクト管理部300は、オブジェクト格納部500からオブジェクト3を取り出す。アクセス制御部200は、アクセス制御規則を表すオブジェクト2とアクセス制御規則に対するアクセス制御規則を表すオブジェクト3とを受け取り、アクセス要求部100からのアクセス引数Aとともに、アクセス処理部600へ送る。
【0061】
アクセス処理部600は、オブジェクト3が人事部長によってオブジェクト2に対するアクセス引数Aを追加することを許可しているかどうかを検証する。そして、管理1がオブジェクト2のアクセス制御規則の規則群に対して新たなアクセス制御規則を追加することができるということが書かれている規則であるということを確認し、追加処理を行う。
これにより、アクセス要求部100からアクセス引数Aとしてアクセス要求があった、オブジェクト2に対する規則3のエントリーの追加がなされる。更新されたオブジェクト2は、オブジェクトRとしてアクセス制御部200に送られる。
【0062】
アクセス制御部200は、アクセス種別に応じて、更新されたオブジェクト2であるオブジェクトRをアクセス要求部100に送り返すか、オブジェクト管理部300に送るかを決定する。上述したように、アクセス種別が追加の場合には、作成されたオブジェクトRをオブジェクト管理部300に送るという規則があるものとし、規則3のエントリーの追加がなされたオブジェクト2であるオブジェクトRをオブジェクト管理部300に送る。オブジェクト管理部300は、アクセス制御部200から受け取ったオブジェクトRをオブジェクト格納部500に送り、格納する。
最後に、アクセス制御部200は、アクセス判定結果をアクセス要求部100に送り、アクセス要求に対する処理を終了する。
【0063】
以上のプロセスで示したように、データに対するアクセス制御と、アクセス制御規則に対するアクセス制御規則を同一に扱うことができる。
なお、全てのタグオブジェクトの上位に存在するアクセス制御タグオブジェクトには、必ずアクセス可能主体が書かれているものとする。すなわち、本実施の形態によるアクセス制御システムにおいても、全てのオブジェクトに対する権限を持つユーザが設定されることになる。ただし、上記のようにアクセス制御規則を多重化し、柔軟に設定できるため、特定のアクセス制御規則に対するアクセス権限の一部のみを特定のユーザに与えようとする場合にも、そのようなアクセス制御規則をアクセス制御タグオブジェクトの形式で設定すれば良く、当該権限を与えようとするユーザをアクセス可能主体に加える必要はない。
図10乃至図12に示した例では、最上位のアクセス制御タグオブジェクトとしては、オブジェクト3が該当し、アクセス可能主体(図では変更可能者と記載)としては、人事システム担当者が記述されている。
【0064】
次に、タグオブジェクトの生成、削除の制御について、具体的な例を用いて説明する。タグオブジェクトの生成処理は生成というアクセス種別で表現し、削除処理は削除というアクセス種別で表現する。
図13に初期状態を示す。図13においてオブジェクト1、オブジェクト2はオブジェクト識別名を表す。
オブジェクト1は社員情報を表現するタグオブジェクトであり、オブジェクト2はオブジェクト1へのアクセスを制御するアクセス制御タグオブジェクトである。オブジェクト2には、アクセス主体が『正社員』グループならば社員情報タグの下位に新しくタグを生成できるという規則と、オブジェクト2の生成者は、社員情報タグの中に書かれた要素内容を削除できるという規則を表す。ここでいう、削除とはタグの削除、またはタグも含めたオブジェクトの構成要素全体の削除のどちらかを意味することになる。
【0065】
まず、タグオブジェクトの生成を要求するアクセス制御要求について詳しく説明する。図14は、図13の状態から新規のタグオブジェクト(オブジェクト識別名がオブジェクト3)を生成する様子を説明する図である。
アクセス要求部100から、オブジェクト識別名Aが『オブジェクト1』、主体識別名が正社員フループに含まれる『鈴木』、アクセス種別Aが『生成』、アクセス引数Aが『<情報><PDA>WorkPad</PDA></情報>』というアクセス要求があったものとする。これに応じて、アクセス制御部200は、アクセス要求からオブジェクト識別名Aである『オブジェクト1』を取り出し、オブジェクト管理部300に送る。
【0066】
オブジェクト管理部300は、オブジェクト格納部500からオブジェクト1を取り出す。オブジェクト管理部300はオブジェクト1のアクセス制御識別名タグがオブジェクト2をポイントしているので、オブジェクト格納部500からオブジェクト識別名Aに相当するオブジェクト2を取り出す。そして、取り出したオブジェクト1及びオブジェクト2をアクセス制御部200へ送る。
【0067】
アクセス制御部200は、オブジェクト管理部300からオブジェクト1及びオブジェクト2を受け取り、図5に示したアクセス判定アルゴリズムを実行し、アクセス許可であることがわかる。したがって、アクセス制御部200は、アクセス要求部100からのアクセス引数Aと共に、オブジェクト1及びオブジェクト2をアクセス処理部600へ送る。
【0068】
アクセス処理部600には、図15に示す処理スクリプトプログラムが設けられているものとする。図15のタグオブジェクト生成プログラム及びデフォルトのプログラムにより、新しいオブジェクト3が生成され、処理済みオブジェクトとしてアクセス制御部200に送られる。
ここで、オブジェクト3は、自オブジェクトを生成したアクセス制御規則であるオブジェクト2をアクセス制御識別タグの値として持つ。アクセス可能主体の解釈としては、次のようなアクセス制御規則(アクセス制御タグオブジェクト)が存在し、それはアクセス制御識別タグで指定されたオブジェクトより低い優先度を持っていると考えることができる。
<規則>
{*、アクセス可能主体名、*}
</規則>
このアクセス制御タグオブジェクトは、該当オブジェクトにアクセス制御識別の値がセットされていない場合は、全ての権限を初期状態で持つものとする。
【0069】
また、図16に示すように、アクセス種別が生成の場合には、処理済みのオブジェクトの送り先としてオブジェクト格納部500が設定されているものとする。従って、アクセス制御部200は、生成されたオブジェクト3をオブジェクト管理部300に送る。オブジェクト管理部300は、アクセス制御部200から受け取ったオブジェクト3をオブジェクト格納部500に送る。オブジェクト格納部500は、オブジェクト3をオブジェクト1の社員情報タグの下位に位置するオブジェクトとして蓄える。
【0070】
次に、タグオブジェクトの削除を要求するアクセス制御要求を考える。図14の状態で、アクセス要求部100から、オブジェクト識別名Aが『オブジェクト3』、主体識別名Aが『鈴木』、アクセス種別Aが『削除』というアクセス要求があったものとする。これに応じて、アクセス制御部200は、アクセス要求からオブジェクト識別名Aである『オブジェクト3』を取り出し、オブジェクト管理部300に送る。
【0071】
オブジェクト管理部300は、オブジェクト格納部500からオブジェクト3を取り出す。オブジェクト管理部300は、オブジェクト3のアクセス制御識別名タグが、オブジェクト2をポイントしているので、オブジェクト格納部500からオブジェクト2を取り出す。
【0072】
アクセス制御部200は、オブジェクト管理部300からオブジェクト2及びオブジェクト3を受け取り、図5に示したアクセス判定アルゴリズムを実行し、アクセス許可であることがわかる。アクセス制御部200は、アクセス要求部100からの各アクセス引数とともに、アクセス処理部600へ送る。
【0073】
アクセス処理部600では、空のオブジェクト(Nullオブジェクト)を生成し、処理済みオブジェクトとする。ここで、図17に示すように、アクセス種別が削除の場合には、処理済みのオブジェクトの送り先としてオブジェクト格納部500が設定されているものとする。従って、アクセス制御部200は、処理済みのタグオブジェクトR(すなわちNullオブジェクト)をオブジェクト格納部500に送る。オブジェクト格納部500では、送られてきたNullオブジェクトによって相当するオブジェクト3を上書きし、結果としてオブジェクト3はオブジェクト格納部500から削除される。このようにして、オブジェクト3が削除された状態を図18に示す。
【0074】
次に、本実施の形態の適用例として、WEBサーバ上に保管されたXMLファイルに対してアクセス制御を行う場合の動作例を説明する。
図19は、本実施の形態によるアクセス制御システムを導入したWEBサーバシステムの構成例を示す図である。図19に示す例では、WEBサーバ1000上にオブジェクトとして置かれた複数のXMLファイルに対するアクセス要求を受け付け、当該アクセス要求に対してアクセス制御を行い、その結果をアクセス要求の発信元であるWEBブラウザ2000にHTML形式のファイルとして提供するサービスを行うものとする。
【0075】
同図において、WEBブラウザ2000は、図1におけるアクセス要求部100に相当する。すなわち、XMLデータに対するアクセス要求を発行する。特に、本実施の形態では、WEBブラウザ2000からのアクセス要求として、アクセス主体を示すユーザ識別名、アクセス対象を示すXMLファイル名、及びアクセス種別名を送る。
【0076】
WEBサーバ1000において、送受信部1100は、WEBブラウザ2000から送られたアクセス要求を受け付け、XML−HTML変換部1200に送る。また、XML−HTML変換部1200から送られたHTMLファイルをWEBブラウザ2000に送る。
XML−HTML変換部1200は、送受信部1100から送られてきたアクセス要求をアクセス制御部1300に送る。また、アクセス制御部1300から送られてきたXMLファイルをWEBブラウザ2000に返す為に、HTMLファイルに変換し、送受信部1100に送る。
アクセス制御部1300は、図1におけるアクセス制御部200、オブジェクト管理部300、オブジェクト対応管理部400、アクセス処理部600に相当する。すなわち、アクセス要求として送られてきた各アクセス引数に基づいて、アクセスの可否を判定し、アクセス対象であるXMLファイル名を確定し、XMLデータ格納部1400から取得する。また、XMLデータ格納部1400から取得したXMLファイルをXML−HTML変換部1200に送る。
XMLデータ格納部1400は、図1におけるオブジェクト格納部500に相当する。すなわち、オブジェクトであるXMLファイルを格納する。格納されているXMLファイルには内容が一般のデータであるものと、アクセス制御規則であるものとがある。
【0077】
図20は、XMLデータ格納部1400に格納されているXMLファイルの構成例を示す図である。
図20を参照すると、オブジェクト識別名が、X001.xmlであるタグオブジェクトは、『社員番号112233のAliceという名前の社員の給料は100000円である』という社員オブジェクトについて定義している。Policy.xmlは、社員オブジェクトに対するアクセス制御規則(アクセス制御タグオブジェクト)であり、『人事課員は、社員オブジェクトを読み込みできる』ことを定義している。Admin.xmlは、社員オブジェクトに対するアクセス制御規則であるPolicy.xmlへのアクセス制御規則(アクセス制御タグオブジェクト)であり、『人事課マネージャーは、社員オブジェクトに対するアクセス制御を変更できる』ことを定義している。また、Admin.xmlに記載されたアクセス制御主体は、このアクセス制御タグオブジェクトAdmin.xml自体は、アクセス可能主体である人事システム管理者がアクセス権限を持ち、変更できることを意味する。
【0078】
以上のように、オブジェクト識別名がPolicy.xmlのオブジェクトは、オブジェクト識別名がX001.xmlというデータオブジェクトに対するアクセス制御規則である。また、オブジェクト識別名がAdmin.xmlのオブジェクトは、オブジェクト識別名がPolicy.xmlというアクセス制御規則に対するアクセス制御規則である。これら、Policy.xmlとAdmin.xmlの記述形式には、全く違いがない。
このように、本実施の形態によれば、データオブジェクトの定義に対するアクセス制御規則と、アクセス制御規則に対するアクセス制御規則とを区別することなく、オブジェクト間の関係だけから決定できる。
【0079】
これらのアクセス制御タグオブジェクトが用意されている状態で、例えば、WEBブラウザ2000から、『人事課員の高橋は社員ファイルを読込みできるか』という質問のアクセス要求があったとする。ここで、アクセス主体は人事課員であるので、この質問に対して、アクセス判定結果としてのアクセスフラグは『許可』である。オブジェクトとしてXMLデータ格納部1400に格納されている社員ファイルであるX001.xmlがHTMLファイルに変換されてWEBブラウザ2000に戻される。
【0080】
また、別の例として、WEBブラウザ2000から、『監査課マネージャーの山本は社員ファイルに対するアクセス制御記述を書き換えられるか』という質問のアクセス要求があったとする。ここで、アクセス主体は監査課マネージャーであるので、この質問に対して、アクセス判定結果として『不許可』がWEBブラウザ2000に戻される。
【0081】
次に、『人事課マネージャーは社員オブジェクトへのアクセス制御規則を変更できる』という規則があったとする。このアクセス制御規則に対して、『監査課マネージャーは社員オブジェクトへのアクセス制御規則の中で、アクセスフラグの部分を変更できる』という規則を追加したとする。これは、監査課マネージャーに対して、社員オブジェクトへのアクセス制御規則の一部の権限を委譲したことを意味する。
【0082】
図21は、図20の状態から新たなアクセス制御タグオブジェクトであるXMLファイルを追加した状態を示す図である。
図21において、オブジェクト識別名がPolicy.xmlのオブジェクトは、アクセス制御識別名として、Admin1.xmlとAdmin2.xmlを持つアクセス制御規則であり、『人事課員は社員オブジェクトの読込みができる』ことを意味する。オブジェクト識別名がAdmin1.xmlであるタグオブジェクトは、Policy.xmlに対するアクセス制御規則であり、アクセス可能主体は人事システム管理者である。これは、『監査課マネージャーは、アクセスフラグに対して変更ができる』ことを意味する。オブジェクト識別名がAdmin2.xmlであるタグオブジェクトは、Policy.xmlに対するアクセス制御規則であり、アクセス可能主体は人事システム管理者である。これは、『人事課マネージャーは、アクセス制御に対して変更ができる』ことを意味する。
【0083】
上述したようなアクセス制御規則への変更が発生した後に、WEBブラウザ2000から、『監査課マネージャーの山本は社員ファイルに対するアクセス制御記述を書き換えられるか』という質問のアクセス要求があった場合、アクセス判定結果として『許可』がWEBブラウザ2000に戻され、アクセス制御規則が記述されたファイルであるAdmin1.xmlがHTML形式に変換されてWEBブラウザ2000に戻される。
【0084】
図22は、社員オブジェクトX001.xmlと、社員オブジェクトに対するアクセス制御規則であるPolicy.xml、また、アクセス制御規則Policy.xmlに対するアクセス制御規則であるAdmPolicy1.xml及びAdmPolicy2.xmlの各タグオブジェクト間の関係を示す図である。
図22を参照すると、X001.xmlに対するアクセス制御規則がPolicy.xmlであり、Policy.xmlに対するアクセス制御規則がAdmPolicy1.xml及びAdmpolicy2.xmlとなっている。
また、データオブジェクトであるX001.xmlに対するアクセス制御規則Policy.xmlの記述形式と、アクセス制御規則であるPolicy.xmlに対するアクセス制御規則AdmPolicy1.xml及びAdmPolicy2.xmlの記述形式との間には、違いがないことがわかる。
【0085】
このように、従来のアクセス制御においては、『アクセス制御規則を変更できる人は、システム管理者のみ』というような単純な規則があり、この規則は変更できなかった。これに対し、本実施の形態によれば、データオブジェクトに対するアクセス制御規則と同じ記述形式でアクセス制御規則を記述することにより、データオブジェクトに対するアクセス制御規則と、アクセス制御規則に対するアクセス制御規則を区別することなく扱うことができる。アクセス制御規則がデータオブジェクトに対するものか、他のアクセス制御規則に対するものかは、各オブジェクト間の関係だけから決定できる。
また、データオブジェクトに対するアクセス制御規則の記述を追加、変更、削除する場合と同様に、アクセス制御規則に対するアクセス制御規則の記述も柔軟に追加、変更、削除することが可能である。
【0086】
次に、本実施の形態における他の適用例として、WEBサーバ間でXMLファイルをやりとりする場合の動作例を説明する。
図23は、本実施の形態によるアクセス制御システムを導入したWEBサーバと他のWEBサーバとの関係を示す図である。図23に示す例では、WEBサーバ3000上に置かれたXMLで記述された電子注文文書の取得を要求するアクセス要求を他のWEBサーバ4000から受け付け、当該アクセス要求に対してアクセス制御を行い、その結果をアクセス要求の発信元であるWEBサーバ4000にXML形式のファイルとして提供するサービスを行うものとする。
【0087】
同図において、WEBサーバ4000は、図1におけるアクセス要求部100に相当する。すなわち、WEBサーバ3000に対するアクセス要求として、ユーザ識別名、XMLファイル名、アクセス種別名を送る。
【0088】
WEBサーバ3000において、送受信部3100は、WEBサーバ4000から送られたアクセス要求を受け取り、アクセス制御部3200に送る。また、アクセス制御部3200から送られたXMLデータをWEBサーバ4000に送る。
【0089】
アクセス制御部3200は、図1におけるアクセス制御部200、オブジェクト管理部300、オブジェクト対応管理部400、アクセス処理部600に相当する。すなわち、送受信部3100からアクセス要求として送られてきた各アクセス引数に基づいて、アクセスの可否を判定し、アクセス対象であるXMLファイル名を確定し、XMLデータ格納部3300から取得する。また、取得したXMLファイルに対するアクセス制御規則をアクセス制御規則格納部3400から取得する。アクセス制御部3200にて取得されたXMLデータは、アクセス制御を経た後、送受信部3100を介してWEBサーバ4000に送られる。
【0090】
XMLデータ格納部3300及びアクセス制御規則格納部3400は、図1におけるオブジェクト格納部500に相当する。すなわち、アクセス対象であるオブジェクトを格納する。XMLデータ格納部3300は、データオブジェクトのみを格納しており、アクセス制御規則は格納していない。アクセス制御規則格納部3400は、XMLデータ格納部3300に格納されているデータオブジェクトに対するアクセス制御規則や、アクセス制御規則格納部3400に格納されている他のアクセス制御規則に対するアクセス制御規則を格納している。
【0091】
ここでは、図19乃至図22を参照して説明した例とは違い、アクセス対象であるオブジェクトをデータオブジェクトとアクセス制御規則(アクセス制御タグオブジェクト)とに分け、XMLデータ格納部3300とアクセス制御規則格納部3400とにそれぞれ格納している。これにより、物理的に高度なセキュリティを施されたアクセス制御規則格納部3400にのみアクセス制御規則を格納するなどのような、柔軟なアクセス制御記述管理が可能となる。
また、XMLデータ格納部3300とアクセス制御規則格納部3400とを分けたことにより、アクセス制御規則は、タグ付きオブジェクトの形式で記述されていれば良く、特に、XMLで記述される必要は無くなる。例えばバイナリー形式のタグ付きオブジェクトとして記述すれば、より高速なアクセス制御処理を実現することもできる。
【0092】
【発明の効果】
以上説明したように、本発明によれば、データに対するアクセス制御規則と、アクセス制御規則に対するアクセス制御規則とを区別することなく扱うことができるため、アクセス制御規則に対するアクセス制御についても、データに対するアクセス制御と同様の柔軟な制御を行うことができるアクセス制御システムを提供することができる。
これにより、ユーザに対して、アクセス制御規則に対する権限の任意の一部を与えるようなアクセス制御を容易に行うことが可能となる。また、アクセス制御規則の追加、変更、削除等を容易に行うことが可能となる。
【図面の簡単な説明】
【図1】 本実施の形態における、アクセス制御システムの全体構成を説明するブロック図である。
【図2】 本実施の形態における、動作アルゴリズムの全体概要を表す図である。
【図3】 本実施の形態における、アクセス対象となるオブジェクトのデータ構造を示す図である。
【図4】 本実施の形態における、構成要素間のインターフェイスの定義を説明する図である。
【図5】 本実施の形態における、アクセス要求に対するアクセス判定アルゴリズムを示す図である。
【図6】 本実施の形態における、オブジェクト対応テーブルの構成例を示す図である。
【図7】 本実施の形態における、アクセス処理部による処理であるアクセス種別と処理スクリプトプログラムとの関係を示す図である。
【図8】 本実施の形態における、アクセス処理部により処理を施されたオブジェクトの送り先を定めた規則の一例を示す図である。
【図9】 本実施の形態における、タグオブジェクトとアクセス制御タグオブジェクトの例を示す図である。
【図10】 本実施の形態における、アクセス制御の動作を説明する図であり、データの初期状態の例を示す図である。
【図11】 図10に示した関係のオブジェクト群において、タグオブジェクトにデータを追加する様子を説明する図である。
【図12】 図11の状態にあるオブジェクト群において、アクセス制御タグオブジェクトにアクセス制御規則を追加する様子を説明する図である。
【図13】 本実施の形態における、アクセス制御のうちタグオブジェクトの生成及び削除の動作を説明する図であり、データの初期状態の例を示す図である。
【図14】 図13の状態から新規のタグオブジェクトを生成した様子を説明する図である。
【図15】 本実施の形態における、アクセス種別と処理スクリプトプログラム名の関係の一例を示す図である。
【図16】 本実施の形態における、アクセス処理部により生成されたオブジェクトの送り先を定めた規則の一例を示す図である。
【図17】 本実施の形態における、アクセス処理部により削除されたオブジェクト(Nullオブジェクト)の送り先を定めた規則の一例を示す図である。
【図18】 図14の状態からタグオブジェクトを削除した様子を説明する図である。
【図19】 本実施の形態の適用例として、本実施の形態によるアクセス制御システムを導入したWEBサーバシステムの構成例を示す図である。
【図20】 図19の適用例における、XMLデータ格納部に格納されているXMLファイルの構成例を示す図である。
【図21】 図20の状態から新たなアクセス制御タグオブジェクトであるXMLファイルを追加した状態を示す図である。
【図22】 図20及び図21に示した各オブジェクトの相互関係を示す図である。
【図23】 本実施の形態の他の適用例として、本実施の形態によるアクセス制御システムを導入したWEBサーバと他のWEBサーバとの関係を示す図である。
【符号の説明】
100…アクセス要求部、200…アクセス制御部、300…オブジェクト管理部、400…オブジェクト対応管理部、500…オブジェクト格納部、600…アクセス処理部、1000、3000、4000…WEBサーバ、1100、3100…送受信部、1200…XML−HTML変換部、1300、3200…アクセス制御部、1400、3300…XMLデータ格納部、3400…アクセス制御規則格納部、2000…WEBブラウザ
【発明の属する技術分野】
本発明は、アクセス制御に関し、特にアクセス制御規則を柔軟に設定するためのアクセス制御規則に対するアクセス制御に関する。
【0002】
【従来の技術】
今日、コンピュータのセキュリティの観点から、情報資源であるオブジェクト(データファイルやディレクトリなど)に対するアクセス制御が一般に行われている。アクセス制御は、所定のオブジェクトに対してアクセス権限を持つ者やアクセスできる内容(実行できる処理の種類)を制限するアクセス制御規則を設定し、この規則に基づいて、ユーザなどからのアクセス要求を評価し、アクセスの可否を判断する。
【0003】
このようなアクセス制御を行うことのできる代表的な例としてOS(Operating System)のUNIXがある。UNIXにおいては、ファイルシステムやユーザID等を使用してアクセス制御が行われている。ファイルシステムには、所有者(owner)、所有者の所属するグループ(group)、その他(other)の三種類のサブジェクトがある。そして各サブジェクトに対してそれぞれ、ファイルの読込み(read)、書込み(write)、実行(execute)権限の可否が指定されている。
これら全ての権限を制限なく行使できるのは、全ての権限を持っているスーパーユーザである、ルート(root)ユーザでなければならない。また、それぞれのユーザID毎のデータに制限なくアクセスすることができるのも、全ての権限を持っているスーパーユーザである、rootユーザでなければならない。これらは、最上位の固定されたアクセス制御規則により決定されている。
そして、このrootユーザが持っている権限の一部を他のユーザに委譲したりすることはできない。この為、他のユーザに対してrootユーザの持つような強い権限を与えようとする場合には、root権限そのものを与える必要がある。
【0004】
また、他のアクセス制御の例として、アプリケーションソフトウェア自身が管理するオブジェクトに対するアクセス制御を行う例がある。例えば、データベース、ビュー、フォーム、文書などの複数オブジェクトの階層に対して柔軟にアクセス制御を付加することができるソフトウェアとして、米国ロータス社のNotesが知られている。
このNotesによるアクセス制御規則の変更権限はデータベース管理者のロールにのみ固定的に与えられている。つまり、データベース管理者のロールにユーザを追加すれば、皆がアクセス制御規則を変更することができる。しかしながら、一部のオブジェクト階層にのみ変更権限を持たせ、他の部分のオブジェクト階層には変更権限を持たせないようなアクセス制御を行うことはできない。
【0005】
以上の例のように、従来のアクセス制御システムにおいて、一般に、アクセス制御規則に対するアクセス権限に関して、ユーザは、全ての権限が与えられるか、全く何の権限も持つことができないかのどちらかであった。
【0006】
また、アクセス制御規則を記述するための言語に関する従来技術としてBJSがある。このBJSでは、administration権限に基づいてアクセス制御規則に対するアクセス制御規則を管理することができる。administration権限にはadministerとadm-accessの2種類がある。administerはadministration権限を含む全てのアクセス制御規則を作成することができ、adm-accessはadminister権限とadm-access権限とを除く他の権限(selectやcreateなど)を持つアクセス制御規則を作成することができる。例えば、adm-access権限を持つAliceに関して、次のアクセス制御規則が存在するとする。
<Alice, select, adm-access, strong, table1, Trent>
このアクセス制御規則は、Aliceがtable1のselect操作に関する限り、アクセス制御規則を自由に生成し、削除することができることを意味する。例えば、Employeeがtable1にselectに関する権限を持ち、この権限の作成者がAliceであることを示す規則、
<Employee, select, +, table1, Alice, strong>
を作成することができる。
他の例としては、例えば、administer権限を持つBobに関して、次のアクセス制御規則が存在するとする。
<Bob, select, administrater, strong, table1, Trent>
このアクセス制御規則は、Bobがtable1のselect操作に関する限り、アクセス制御規則の作成権限を他人に委譲することができることを意味する。例えば、 Carolがtable1にselect操作権限に関するアクセス制御規則を作成する権限を持ち、この権限の作成者がBobであることを示す規則、
<Carol, select, adm-access, strong, table1, Bob>
を作成することができる。
【0007】
BJSを用いれば、上記のようにアクセス制御規則に対するアクセスを制御する規則を記述することができる。ただし、アクセス制御規則の記述と、アクセス制御規則に対するアクセス制御規則であるadministration権限の記述とは、異なる書式で行われる。
【0008】
【発明が解決しようとする課題】
上述したように、従来、オペレーティングシステムやアプリケーションソフトウェアにて行われている一般的なアクセス制御は、アクセス制御規則自体に対するアクセス権限に関して、ユーザは、全ての権限を与えられるか、全く何の権限も持つことができないかのどちらかであった。
そのため、特定のアクセス制御規則の追加のみを特定のユーザに与えるというように、アクセス制御規則に対するアクセス権限を制限付きで認めることができなかった。すなわち、アクセス制御規則に対するアクセス権限の一部を委譲することはできなかった。
そして、多くのユーザにアクセス制御規則に対する全てのアクセス権限を与えてしまうことは、セキュリティ上好ましくない。
また、システムに変更があった場合に、権限の管理が煩雑となる。
【0009】
また、BJSを用いることにより、上述したように、アクセス制御規則に対するアクセスを制御する規則を記述することが可能となる。しかし、BJSにおいて、administration権限は、アクセス制御規則とは異なる書式で記述されており、その内容を、当該administration権限により制御されるアクセス制御規則の対象であるオブジェクト(tableなど)との組で決めなければならない。
したがって、例えば特定のオブジェクトに対して指定されたアクセス制御規則を見る権限(readなど)などのように、アクセス制御規則に対する権限の内容がオブジェクトと分離されているような権限を設定することはできない。
このように、BJSを用いてアクセス制御規則に対するアクセスを制御しようとする場合にも、柔軟なアクセス制御を行うことができない。
【0010】
これら従来のアクセス制御における問題点を解決し、ユーザに対して、アクセス制御規則に対する権限の任意の一部を与えることができれば、より使いやすく便利なアクセス制御システムとして活用できる。
また、アクセス制御規則に対するアクセスを制御する規則として、アクセス制御規則の追加、変更、削除等の記述を柔軟に行うことができれば、更に使いやすく便利なアクセス制御システムとして活用できる。
【0011】
そこで本発明は、データに対するアクセス制御規則と、アクセス制御規則に対するアクセス制御規則とを区別することなく扱うことにより、アクセス制御規則に対するアクセス制御についても、データに対するアクセス制御と同様の柔軟な制御を行うことができるアクセス制御システムを提供することを目的とする。
これにより、ユーザに対して、アクセス制御規則に対する権限の任意の一部を与えるようなアクセス制御を容易に行うことが可能となる。また、アクセス制御規則の追加、変更、削除等を容易に行うことが可能となる。
【0012】
【課題を解決するための手段】
上記の目的を達成するため、本発明は、情報資源であるオブジェクトへのアクセス要求に対するアクセス制御を行うアクセス制御システムにおいて、アクセス要求に応じて、このオブジェクトに対するアクセスの可否を、このオブジェクトに対するアクセス権限を規定したアクセス制御規則に基づいて判断するアクセス要求判断部と、このオブジェクトに対するアクセス制御規則を一般のデータオブジェクトと同様のオブジェクトとして格納したオブジェクト格納部とを備え、アクセス要求判断部は、アクセス制御規則を対象とするアクセス要求に応じて、このアクセス制御規則に対するアクセスの可否を判断することを特徴とする。
すなわち、アクセス制御規則を一般のデータオブジェクトと区別することなく扱うことができる。
【0013】
ここで、このアクセス要求判断部は、このアクセス制御規則を含む所定のオブジェクトを対象とするアクセス要求に応じて、オブジェクト格納部から、このアクセス要求の対象であるオブジェクトとこのオブジェクトに対するアクセス制御規則を記述したオブジェクトとを取得し、取得したアクセス制御規則に基づいてこのオブジェクトに対するアクセスの可否を判断することを特徴とする。
すなわち、アクセス要求判断部は、オブジェクト格納部からアクセス対象とアクセス制御規則の二つのオブジェクトを取得し、これらを用いてアクセス要求に対するアクセスの可否を判断する。
【0014】
さらにここで、このオブジェクト格納部にオブジェクトとして格納されるアクセス制御規則は、同じくオブジェクト格納部に格納されている他のアクセス制御規則に対するアクセス権限を規定したアクセス制御規則である場合を含む。
言い換えれば、アクセス制御規則に対するアクセス制御規則もオブジェクトとしてアクセス要求の対象となり、さらに上位のアクセス制御規則によってアクセス制御されるという多重化された構造を取り得る。
【0015】
また、このアクセス制御システムにおいて、アクセス要求の対象であるオブジェクトとこのオブジェクトに対するアクセス制御規則との相互関係を管理するオブジェクト対応管理部をさらに備えた構成とすることができる。
具体的には、このオブジェクト対応管理部は、アクセス制御規則との対応が記述されたオブジェクトからこの対応情報を取得して管理する。そして、このオブジェクトに付随し、かつアクセス制御規則との対応が記述されていないオブジェクトに対してアクセス要求がなされた場合に、このオブジェクト対応管理部により保管されていたアクセス制御規則の対応情報に基づいてアクセス制御規則を取得し、このアクセス制御規則との対応が記述されていないオブジェクトに対するアクセス制御規則として用いることができる。
オブジェクトとアクセス制御規則との対応情報は、オブジェクトに付するタグにより記述することができる。
【0016】
また、本発明は、他のアクセス制御システムを提供することができる。すなわち、所定の情報資源へのアクセス要求に対するアクセス制御を行うアクセス制御システムにおいて、この情報資源へのアクセス権限を規定したアクセス制御規則と、このアクセス制御規則と共通の書式で記述され、かつこのアクセス制御規則に対するアクセス権限を規定した上位制御規則とを格納した格納手段と、このアクセス制御規則を対象とするアクセス要求に応じて、このアクセス制御規則に対するアクセスの可否を、この上位制御規則に基づいて判断する判断手段とを備える。そして、この格納手段に格納されたアクセス制御規則は他のアクセス制御規則に対する上位制御規則である場合を含むことを特徴とする。
すなわち、アクセス制御規則もアクセス要求の対象となる一つの情報資源としてみた場合に上位制御規則もアクセス制御規則に他ならない。したがって、共通の書式でアクセス制御規則を記述し、その制御対象を他のアクセス制御規則とすることによって、上位制御規則を作成することができ、アクセス制御規則を多重化することができる。
【0017】
ここで、この格納手段に格納されたアクセス制御規則は、一般のデータオブジェクトにおいてアクセス制御規則を指し示す指示情報を付加するのと同様に、自アクセス制御規則に対する上位制御規則を指し示す指示情報を付した指示情報付きオブジェクトとして記述することができる。
この指示情報は上述したタグで表現することができる。
【0018】
また、このアクセス制御システムは、判断手段によりアクセスを許可されたアクセス要求に応じて、このアクセス制御規則及びこの上位制御規則を生成し、変更し、または削除する処理手段をさらに備えた構成とすることができる。
【0019】
さらにここで、この上位制御規則は、このアクセス制御規則に対するアクセス権限の一部を特定の主体に対して認めることを規定した規則とすることができる。
【0020】
また、本発明は、さらに他のアクセス制御システムを提供することができる。すなわち、データの構成要素に対する制御情報を示すタグを付されたタグ付きオブジェクトを対象とし、当該タグ付きオブジェクトへのアクセス要求に対するアクセス制御を行うアクセス制御システムにおいて、このタグ付きオブジェクトへのアクセス権限を規定するアクセス制御規則を格納したアクセス制御規則格納手段と、このアクセス要求に応じて、このアクセス要求の対象であるタグ付きオブジェクトに対するアクセスの可否を、このアクセス制御規則に基づいて判断するアクセス要求判断手段とを備え、このアクセス制御規則格納手段に格納されたアクセス制御規則は、規則の構成要素に対する制御情報を示すタグを付されたタグ付きオブジェクトとして記述され、このアクセス要求判断手段は、このアクセス制御規則を対象とするアクセス要求に応じて、タグ付きオブジェクトであるこのアクセス制御規則に対するアクセスの可否を判断することを特徴とする。
すなわち、アクセス制御規則をタグ付きオブジェクトの形式で記述したことにより、アクセス制御システム上は、HTMLなどの一般のタグ付きデータオブジェクトとアクセス制御規則とを区別することなく扱うことができる。
【0021】
ここで、このアクセス制御システムは、タグ付きオブジェクトとして記述されたタグ付きデータオブジェクトと前記タグを持たないタグ無しデータオブジェクトとを格納したデータオブジェクト格納手段をさらに備え、アクセス要求判断手段は、アクセス制御規則、タグ付きデータオブジェクト、タグ無しデータオブジェクトのいずれかに対するアクセスの可否を判断することを特徴とする。
【0022】
さらにここで、このアクセス制御システムは、このタグ付きデータオブジェクトに対するアクセス要求が行われた場合に、このタグ付きデータオブジェクトに対するアクセス制御規則に関する情報を保持する管理手段をさらに備え、アクセス要求判断手段は、このタグ付きデータオブジェクトに付随するタグ無しデータオブジェクトに対するアクセス要求が行われた場合に、この管理手段に保持されている情報に基づいて、このタグ付きデータオブジェクトに対するアクセス制御規則を取得し、取得したこのアクセス制御規則に基づいてこのタグ無しデータオブジェクトに対するアクセスの可否を判断する構成とすることができる。
すなわち、データオブジェクトをタグ付きデータオブジェクトとタグ無しデータオブジェクトとに分け、タグ無しデータオブジェクトはこのオブジェクトが付随するタグ付きデータオブジェクトのアクセス制御規則を流用することにより、タグ無しデータオブジェクトへのアクセス制御を実現できる。
【0023】
また、本発明は、クライアントからのアクセス要求を受け付けて、アクセス対象であるオブジェクトに対してこのアクセス要求に応じた処理を行うサーバであって、アクセス要求に応じて、このアクセス要求の対象であるオブジェクトに対するアクセスの可否を、当該オブジェクトに対するアクセス権限を規定したアクセス制御規則に基づいて判断するアクセス要求判断部と、このアクセス要求判断部によりアクセスが許可されたアクセス要求に応じて、このオブジェクトに対する処理を実行するオブジェクト処理部と、このオブジェクトに対するアクセス制御規則をオブジェクトとして格納したオブジェクト格納部とを備え、このアクセス要求判断部は、このアクセス制御規則を対象とするアクセス要求に応じて、このアクセス制御規則に対するアクセスの可否を判断することを特徴とする。
すなわち、アクセス制御を行ってオブジェクトに対する処理を行うサーバとして提供することができる。
【0024】
また、本発明は、情報資源であるオブジェクトへのアクセス要求に対するアクセス制御を行うアクセス制御方法において、アクセス制御規則を対象オブジェクトとするアクセス要求を受け付けるステップと、このアクセス要求の対象オブジェクトに対するアクセス権限を規定するアクセス制御規則を取得するステップと、取得したこのアクセス制御規則に基づいてこの対象オブジェクトに対するアクセスの可否を判定するステップとを含むことを特徴とする。
すなわち、アクセス制御規則を一般のデータオブジェクトと同様に対象オブジェクトとしてアクセス要求を受け付け、アクセス制御を行うことができる。
【0025】
さらにまた、本発明は、データの構成要素に対する制御情報を示すタグを付されたタグ付きオブジェクトを対象とし、このタグ付きオブジェクトへのアクセス要求に対するアクセス制御を行うアクセス制御方法において、このタグ付きオブジェクトに対するアクセス要求が行われた場合に、このタグ付きオブジェクトに対するアクセス制御規則に関する情報を保持するステップと、このタグ付きオブジェクトに付随するタグ無しオブジェクトに対するアクセス要求が行われた場合に、このアクセス制御規則に関する情報を保持するステップにおいて保持された情報に基づいてこのタグ付きオブジェクトに対するアクセス制御規則を取得するステップと、取得されたアクセス制御規則を用いてこのタグ無しオブジェクトに対するアクセスの可否を行うステップとを含むことを特徴とする。
【0026】
また、本発明は、情報資源であるオブジェクトへのアクセス要求に対するアクセス制御を行うためのアクセス制御規則を生成するアクセス制御規則生成方法において、このアクセス制御規則の生成要求を受け付け、この生成要求に対する前記アクセス制御規則に基づいて、この生成要求を許可するかどうかを判断するステップと、この生成要求が許可された場合に、この生成要求に応じたアクセス制御規則を生成し、この生成要求に対するアクセス制御規則を指示する指示情報を生成されたこのアクセス制御規則に付加するステップとを含むことを特徴とする。
【0027】
さらに本発明は、これらのアクセス制御方法またはアクセス制御規則生成方法における各ステップに相当する処理をコンピュータに実行させるプログラムを作成し、コンピュータにて読み取り可能な記憶媒体に格納して提供したり、プログラム伝送装置から配信したりすることにより提供することができる。
【0028】
【発明の実施の形態】
以下、添付図面に示す実施の形態に基づいて本発明を詳細に説明する。
まず、本発明の概要について説明する。本発明は、通常のアクセス制御の対象であるオブジェクトとアクセス制御規則自体とを区別することなく扱うため、タグ付きオブジェクトという概念を導入した。ここで、タグとは、データの構成要素に対する制御情報を示すデータであり、例えば、データの構成要素に対して付けられた固有の名前とすることができる。また、タグ付きオブジェクトとは、タグ名によりデータを参照することができるようなオブジェクトである。例えば、HTML(Hypertext Markup Language)やXML(Extensible Markup Language)などのマークアップ言語はタグ付きオブジェクトである。
【0029】
本発明では、アクセス制御規則をタグ付きオブジェクトとして記述する。また、一般のデータオブジェクトについてもタグ付きオブジェクトとタグを持たないタグ無しオブジェクトとに分類する。そして、オブジェクトの記述形式に応じたアクセス制御を行う。これにより、タグ付きオブジェクトであれば、アクセス制御規則であるかデータオブジェクトであるかに関わらず、同様の手法でアクセス制御を行うことが可能となる。
【0030】
図1は、本実施の形態における、アクセス制御システムの全体構成を説明する図である。
図1において、符号100はアクセス要求部であり、アクセス要求を発行する。符号200はアクセス制御部であり、管理している情報資源であるオブジェクトに対するアクセスの可否を制御するアクセス要求判断手段である。符号300はオブジェクト管理部であり、オブジェクトやアクセス制御規則をオブジェクト格納部(後述の符号500)から取り出して、アクセス制御部200に渡す。また、オブジェクト格納部500から取り出されたオブジェクトやアクセス制御規則を補足するために、必要に応じてオブジェクト対応管理部(後述の符号400)を使うことができる。符号400はオブジェクト対応管理部であり、オブジェクト格納部500からオブジェクトを取り出す際、またはオブジェクト格納部500に対してオブジェクトを格納する際に、当該オブジェクトの状態を管理する。特に、取り出されたオブジェクトに対するアクセス制御規則などの情報を一時的に蓄える機能を持つ。符号500はオブジェクト格納部であり、アクセス要求の対象となるオブジェクトを格納している。符号600はアクセス処理部600であり、アクセス制御部200によって許可されたアクセス要求に応じて、当該アクセス制御の対象であるオブジェクトに対する処理を実行する。
【0031】
本実施の形態におけるアクセス制御システムは、複数のコンピュータ装置をネットワークで接続したネットワークシステムとして構築されても良いし、単一のコンピュータ装置の一部として構成されても良い。前者の場合、例えば図1に示すアクセス要求部100は、パーソナルコンピュータや携帯端末、その他の各種の端末装置にて実現される。そして、アクセス制御部200、オブジェクト管理部300、オブジェクト対応管理部400、オブジェクト格納部500及びアクセス処理部600は、アクセス要求部100である端末装置にネットワークを介して接続されたサーバマシンにて実現される。
また、後者の場合、例えばアクセス要求部100は、コンピュータ装置内で動作し、オブジェクト格納部500に格納されているオブジェクトに対してアクセスし、処理を行うアプリケーションプログラムの機能により実現される。そして、アクセス制御部200、オブジェクト管理部300、オブジェクト対応管理部400、オブジェクト格納部500及びアクセス処理部600は、オペレーティングシステムやアプリケーションプログラムの機能により実現される。
なお、図1に示す各構成要素は、上記アプリケーションプログラムやオペレーティングシステムなどのコンピュータプログラムにて制御されたCPUにて実現される仮想的なソフトウェアブロックである。CPUを制御する当該コンピュータプログラムはCD−ROMやフロッピーディスクなどの記憶媒体に格納したり、ネットワークを介して伝送したりすることにより提供される。
【0032】
また、オブジェクト格納部500に格納されるオブジェクトは、タグを付されたタグ付きオブジェクトとタグを持たないタグ無しオブジェクトからなる。
タグ付きオブジェクトには、文書など一般のデータであるタグオブジェクトとタグ付きオブジェクトに対するアクセス制御規則を記述したアクセス制御タグオブジェクトとがある。アクセス制御タグオブジェクトには、タグオブジェクトのみならず、他のアクセス制御タグオブジェクトに対するアクセス制御規則を記述したものも存在する。
タグ無しオブジェクトは、内部にタグ表現を持たない任意の形式のオブジェクトである。
【0033】
図2は図1に示したアクセス制御システムにおける動作のアルゴリズムの全体概要を表している。
まず、アクセス要求部100によって、オブジェクトに対するアクセス要求が生成される(ステップ701)。ステップ701においてアクセス要求部100で生成されたアクセス要求は、アクセス制御部200へ送られる。
アクセス要求を受け取ったアクセス制御部200は、オブジェクト管理部300を介してオブジェクト格納部500からアクセス要求の対象となるオブジェクトを取り出す(ここでは、アクセス要求の対象としてアクセス制御タグオブジェクト、タグオブジェクト、タグ無しオブジェクトの3種類が考えられるため、単にオブジェクトと表記する)。
オブジェクト管理部300は、アクセス対象であるオブジェクトと共に、当該オブジェクトに対するアクセス制御規則を記述したアクセス制御タグオブジェクトをオブジェクト格納部500から取り出し、アクセス制御部200へ送る。この際、必要であれば、取り出されたオブジェクトに対してオブジェクト対応管理部400に処理を渡し、補足処理を行う。
【0034】
アクセス対象であるオブジェクト及びアクセス制御タグオブジェクトを受け取ったアクセス制御部200は、当該オブジェクトに対するアクセスの可否を判定する(ステップ702)。ステップ702においてアクセスが許可されると、アクセス処理部600が、アクセス要求の対象であるオブジェクトに対し、アクセス要求に応じた処理を施す(ステップ703)。ステップ703において処理が施されたオブジェクトは、当該処理の内容に応じてアクセス制御部200によって返送先を判断され、アクセス要求部100またはオブジェクト格納部500に送られる(ステップ704)。例えば、アクセス要求としてデータのリードを要求した場合は、対象であるオブジェクトはアクセス要求部100に返送される必要がある。また、アクセス要求に応じた処理としてデータの書き換えが行われた場合は、書き換えられたオブジェクトをオブジェクト格納部500に格納する必要がある。
以上のように、図1に示すアクセス制御システムにおける主要な処理の流れは、アクセス対象がアクセス制御規則であるアクセス制御タグオブジェクトであると、一般のデータオブジェクトであるタグオブジェクトまたはタグ無しオブジェクトであるとを問わず同一である。
【0035】
図3は、本実施の形態においてアクセス対象となるオブジェクトのデータ構造を説明する図である。これらはオブジェクト格納部500に格納されるオブジェクトであり、上述したように、タグ付きオブジェクトとタグ無しオブジェクトとからなる。タグ付きオブジェクトはさらに、一般のデータオブジェクトであるタグオブジェクトと、タグがアクセス制御の内容に関する規則を規定しているアクセス制御タグオブジェクトとに分けられる。タグ付きオブジェクトのデータ構造は、タグにより、図3に示すように特定される。
【0036】
図3を参照すると、タグオブジェクトに付されるタグには、アクセス制御識別名タグと、アクセス可能主体タグと、その他の任意のタグとがある。
アクセス制御識別名タグは、自タグオブジェクトに対するアクセス制御規則を記述したアクセス制御タグオブジェクトを指示する、オブジェクトID等の識別名を示すタグである。
アクセス可能主体タグは、タグオブジェクトを生成したアクセス主体であるユーザ名、グループ名、システムプロセス番号等を指示するタグである。当該タグにて示されるアクセス可能主体は、当該タグオブジェクトに対して行うことができる処理の全てに対してアクセス権限を持つ。
また、タグオブジェクトには、当該タグオブジェクトのデータ形式などに応じてデータ構造を示す任意のタグを設定することができる。
なお、アクセス制御識別名タグ及びアクセス可能主体タグは、一つのタグオブジェクトに対してそれぞれ複数設定することができる。
【0037】
次に、アクセス制御タグオブジェクトに付されるタグには、アクセス制御識別名タグと、アクセス可能主体タグと、アクセス対象タグと、アクセス主体タグと、アクセス種別タグと、アクセスフラグタグと、アクセス条件タグとがある。このうち、アクセス制御識別名タグとアクセス可能主体タグとは、タグオブジェクトにおいて上述した各タグと同一である。
アクセス対象タグは、当該アクセス制御タグオブジェクトによるアクセス制御の対象となるオブジェクト(以下、対象オブジェクト)を示すタグである。当該アクセス対象タグの内容は対象オブジェクトに付されたタグのタグ名である。複数のオブジェクトによってタグの親子関係を示している場合、タグ名を使うことによりアクセス対象のオブジェクトを決めることができる。
アクセス主体タグは、当該アクセス制御タグオブジェクトにより対象オブジェクトへのアクセスを許可されている主体を示すタグである。当該アクセス主体タグの内容は、対象オブジェクトへのアクセスを行うユーザ、グループ、プロセスなどを特定する識別子である。
アクセス種別タグは、対象オブジェクトに対して行う処理の種類を示すタグである。処理の例としては、読出し、変更、追加、生成、削除などがある。
アクセスフラグタグは、アクセスの可否を決めるフラグであり、その内容は、許可と不許可である。すなわち、アクセス要求において、アクセス主体タグにて示されているアクセス主体が、アクセス対象タグにて示されている対象オブジェクトを対象として、アクセス種別タグに示されている処理を要求した場合、アクセスフラグタグが許可となっていれば、当該アクセス制御タグオブジェクトは、そのようなアクセスを許可する。一方、アクセスフラグタグが不許可となっていれば、当該アクセス制御タグオブジェクトは、そのようなアクセスを拒否する。
アクセス条件タグは、アクセス制御タグオブジェクトを適用する条件を示すタグであり、何らかの評価可能な条件式として記述される。
なお、アクセス制御タグオブジェクトを構成するタグのうち、アクセス対象タグ、アクセス主体タグ、アクセス種別タグ、アクセスフラグタグ及びアクセス条件タグが一組となって、一つのアクセス制御規則を表現する。したがって、この組を複数設定することにより、当該アクセス制御タグオブジェクトに同種のアクセス制御規則を複数設定することができる。なお、各組において、アクセス条件タグなど、特に設定しなくてもアクセス制御に差し支えないタグについては、内容をNULLとすることもできる。また、これらのタグの種類は一例に過ぎず、アクセス制御に差し支えなければ、いずれかのタグを省略しても良いし、アクセス制御のために用いることができる情報であれば、他のタグを追加しても良い。
以上のように、本実施の形態では、アクセス制御規則を、タグによりデータ構造を特定されたタグ付きオブジェクトとして記述することにより、上述したタグオブジェクトと同様に扱うことが可能となる。
【0038】
タグ無しオブジェクトは、任意の形式のオブジェクトであり、内部にタグによって表現されるデータ構造を持たない。例えばGIFファイルなどはタグ無しオブジェクトである。
【0039】
図4は、図1に示したアクセス制御システムの各ブロック間でやりとりされる情報(インターフェイス)の一覧を示す図である。
図4を参照すると、アクセス要求部100からアクセス制御部200の方向には、アクセス要求が送られる。ここで、アクセス要求とは、アクセス対象、アクセス主体、アクセス種別からなる三つのデータの組であり、例えば上述したタグのタグ名を記述する。
アクセス制御部200からアクセス要求部100の方向には、アクセス制御の判定結果を表すアクセスフラグの情報と、アクセス処理部600にて処理されたオブジェクトが送られる。
アクセス制御部200からオブジェクト管理部300の方向には、アクセス対象を表すオブジェクト識別子が送られる。ここで、オブジェクト識別子とは、オブジェクトを一意に参照する情報であり、例えば、オブジェクトIDやXPathなどの表現形式を持つ。
また、アクセス制御部200からオブジェクト格納部500の方向には、アクセス処理部600にて処理されたオブジェクトが送られる。
オブジェクト管理部300からアクセス制御部200の方向には、対象オブジェクトとアクセス制御タグオブジェクトが送られる。
オブジェクト管理部300からオブジェクト格納部500の方向には、アクセス対象を表すオブジェクト識別子が送られる。
オブジェクト格納部500からオブジェクト管理部300の方向には、対象オブジェクトまたはアクセス制御タグオブジェクトが送られる。
オブジェクト管理部300からオブジェクト対応管理部400の方向には、対象オブジェクトやアクセス制御タグオブジェクトを表すオブジェクト識別子が送られる。
オブジェクト対応管理部400からオブジェクト管理部300の方向には、アクセス制御タグオブジェクトが送られる。
アクセス制御部200からアクセス処理部600の方向には、処理対象であるオブジェクトと、アクセス制御タグオブジェクトから取得されるアクセス対象タグ、アクセス種別タグ及びアクセスフラグとが送られる。
また、アクセス処理部600からアクセス制御部200の方向には処理済みのオブジェクトが送られる。
【0040】
次に、図1を用いて、本実施の形態を各構成要素とそれに伴うオブジェクトの動きを追いながらさらに詳しく説明する。以下の説明において、特に明示しない場合、タグオブジェクトとアクセス制御タグオブジェクトとを総称してオブジェクトと呼ぶ。
ユーザは、アクセス要求部100から、アクセス制御部200に対してアクセス要求を行う。アクセス要求に伴い引数として、ここではオブジェクト識別名A、主体識別名A、アクセス種別A、アクセス引数Aが送られたものとする。ここで、オブジェクト識別名Aとは、対象オブジェクトを特定する情報であり、オブジェクトIDやファイル名のような対象を指す名前、あるいはXPathのように木構造の特定の場所を示すポインタである。主体識別名Aとは、アクセス主体を特定する情報であり、ユーザ名やプロセス名である。アクセス種別Aとは、要求する処理の種類を特定する情報であり、読込みや書込みのような操作名である。アクセス引数Aは、操作を規定するために使われるパラメータである。
【0041】
アクセス制御部200は、アクセス要求を受け取ると、オブジェクト識別名Aに対するアクセス情報を取得する為に、オブジェクト識別名Aを引数として、オブジェクト管理部300を呼ぶ。
【0042】
オブジェクト管理部300は、オブジェクト格納部500の中に、オブジェクト識別名AのオブジェクトIDもしくはファイル名に一致するオブジェクトAが格納されているかどうかを調べる。一致するものがあれば、オブジェクト格納部500からオブジェクトAを取得する。ここで、オブジェクトAは、タグオブジェクト、アクセス制御タグオブジェクト、タグ無しオブジェクトの中の何れかである。オブジェクト格納部500の中に、オブジェクト識別名Aに相当するオブジェクトが存在しなかった場合には、エラーを出力して処理を終了する。
オブジェクト管理部300はさらに、オブジェクトAにアクセス制御識別名タグが存在していた場合、そのタグに書かれたデータをオブジェクト識別名Bとみなし、再度オブジェクト格納部500からオブジェクト識別名Bに該当するオブジェクトBをオブジェクトAに対するアクセス制御規則として取得する。オブジェクト制御識別タグが複数の場合には、取得すべきオブジェクトBが複数であるものとする。
また、オブジェクトAにアクセス可能主体というタグ名があれば、当該オブジェクトに対してアクセスできるのが当該アクセス可能主体のみであるため、ここではこれ以上の処理を行わない。
オブジェクト管理部300は、以上のようにして得られたオブジェクトA及びオブジェクトBをアクセス制御部200に戻す。
【0043】
アクセス制御部200は、オブジェクトBに記述されたオブジェクトAに対するアクセス制御規則に基づきアクセス判定を行う。そして、得られたアクセス判定結果に基づき、アクセス処理部600に対して必要な処理を依頼する。
【0044】
アクセス処理部600は、図4に示したように、アクセス制御部200から対象オブジェクトと、アクセス対象タグ、アクセス種別タグ、及びアクセス判定結果を示すアクセスフラグタグを受け取り、これらに基づいて対象オブジェクトに対する処理を実行する。そして、処理の結果に応じてオブジェクトRを生成し、アクセス制御部200に送る。
【0045】
アクセス制御部200は、アクセス処理部600において生成されたオブジェクトRを、アクセス要求部100またはオブジェクト格納部500に送る。例えば、アクセス要求にて要求された処理(アクセス種別タグ)が対象オブジェクトのリードであれば、オブジェクトR(対象オブジェクトと同一)をアクセス要求部100に返送する。また、アクセス処理部600においてデータの書き換えが行われたならば、生成されたオブジェクトRをオブジェクト格納部500へ送って格納する。また、処理の内容によっては、アクセス要求部100及びオブジェクト格納部500の両方にオブジェクトRを送る場合もあるし、何もしない場合もある。これらの判断は、例えば、アクセス制御部200において、図8に示すような対応テーブルを持っておき、アクセス要求の引数であるアクセス種別またはアクセス制御タグオブジェクトのアクセス種別タグに応じて決定することができる。
【0046】
次に、オブジェクト格納部500から取得されたオブジェクトAがタグ無しオブジェクトであった場合について説明する。この場合、タグ無しオブジェクトはタグを持たないため、アクセス制御規則を記述したアクセス制御タグオブジェクトを指示することができない。そこで、オブジェクト対応管理部400により補足処理を行う。
この場合、オブジェクト管理部300は、オブジェクト対応管理部400に対してオブジェクト識別名Aに対応するアクセス制御を指定したエントリーがあるかどうかを問い合わせる。オブジェクト対応管理部400は、オブジェクト管理部300から問い合わせられたエントリーに対応するアクセス制御タグオブジェクトがあれば、オブジェクト管理部300に対してそのオブジェクトの識別名を戻す。ここでは、オブジェクト識別名Bが戻されたものとする。また、オブジェクト管理部300から問い合わせられたエントリーに対応するアクセス制御タグオブジェクトがない場合には、何も記述がされていない空のアクセス制御タグオブジェクトを戻す。また、オブジェクト対応管理部400は、管理するエントリーの有効期限や使用フラグに基づいてエントリーの削除等の管理をも行う。
オブジェクト対応管理部400に格納されているタグ無しオブジェクトとアクセス制御タグオブジェクトとの対応関係の詳細については後述する。
【0047】
次に、アクセス制御部200におけるアクセス制御の判定を行う処理について詳細に説明する。オブジェクト管理部300から送られてきたアクセス制御タグオブジェクトには、アクセス対象、アクセス主体、アクセス種別、アクセスフラグ、アクセス許可条件が記述されている。
図5は、アクセス要求部100から送られたアクセス要求に対するアクセス判定アルゴリズムを示す図である。
図5において、まず、アクセス要求に応じて取得された主体識別名A、アクセス種別A、アクセス主体、アクセス種別、アクセスフラグ、アクセス許可条件の各データがオブジェクト管理部300から送られてくる(ステップ801)。次に、主体識別名Aがアクセス主体に含まれている規則を全て抽出する(ステップ802)。ここで、規則がない場合はアクセス不許可となる(ステップ808)。主体識別名Aがアクセス主体に含まれているものがあれば、次の処理として、その中でさらにアクセス種別Aがアクセス種別に含まれている規則を全て抽出する(ステップ803)。ここで、規則がない場合はアクセス不許可となる(ステップ808)。アクセス種別Aがアクセス種別に含まれているものがあれば、次の処理として、その中でアクセス条件を満足するものを全て抽出する(ステップ804)。ここで、規則がない場合はアクセス不許可となる(ステップ808)。アクセス条件を満足するものがあれば、次の処理として、抽出された規則の中で最も優先度の高い規則を選択する(ステップ805)。次に、選択された規則は一つあるいは複数だが、アクセスフラグは全て同一であるかどうかの判断を行う(ステップ806)。アクセスフラグが全て同一でない場合には、アクセス不許可となる(ステップ808)。アクセスフラグが全て同一であれば、次の処理として、それらの規則においてアクセスフラグが許可であるかどうかの判定を行う(ステップ807)。アクセスフラグが不許可であればアクセス不許可となる(ステップ808)。ステップ807にて、アクセスフラグが許可である場合にはアクセス許可となる(ステップ809)。
【0048】
次に、タグ無しオブジェクトをアクセス制御するためのオブジェクト管理部300と、オブジェクト対応管理部400における処理について説明する。
オブジェクト管理部300に送られてきたタグオブジェクトの中に、タグ無しオブジェクトの識別子が含まれている場合に、オブジェクト管理部300は、オブジェクト対応管理部400に対して新しくエントリーを生成するように要求する。これは、HTMLファイル等のタグオブジェクトに対するアクセスが行われ、その直後に当該gifファイルやWordファイル等のタグ無しオブジェクトに対するアクセスが発生した場合に対処するために行う。本実施の形態では、タグ無しオブジェクトに対するアクセス制御規則は当該タグ無しオブジェクトがポイントされているタグオブジェクト経由でアクセス制御を行うことを前提とする。従って、タグオブジェクトに含まれるタグ無しオブジェクトと対応するアクセス制御規則をオブジェクト対応管理部400に送り、一時的に対応表を作成するようにする。この表により、HTMLファイル等のタグオブジェクトが読まれた直後の、gifファイル等のタグ無しオブジェクトの読込みアクセスにおいて柔軟な制御を行うことができる。
【0049】
オブジェクト対応管理部400におけるオブジェクト対応管理処理について説明する。オブジェクト対応管理部400は、タグ無しオブジェクトとアクセス制御規則の関係を一時的に保管するためのオブジェクト対応テーブルを管理する。
図6はオブジェクト対応テーブルの構成例を示す図である。
図6を参照すると、オブジェクト対応テーブルには、オブジェクト識別子、アクセス主体、アクセス種別、アクセス制御タグオブジェクト識別子、有効期限、履歴といったデータ項目とインターフェイスの定義とを関係付けて構成される。オブジェクト識別子は、タグ無しオブジェクトの識別子であり、例としてはgifファイル(.gif)等が挙げられる。アクセス制御タグオブジェクト識別子は、オブジェクト識別子に対するアクセス制御規則であり、どの規則を使ったかが判るものである。これらのデータ項目の他に、各エントリーの有効期限や使用履歴の示すフラグなどを設定し、各エントリーの有効期限や使用履歴等の情報から、有効期限の過ぎたエントリーの削除等を行い、オブジェクト対応テーブルの管理を行う。
【0050】
アクセス処理部600は、アクセス種別によって定められた必要処理をオブジェクトに対して実行する。ここで、必要処理とは、アクセス処理部600に格納されているスクリプトプログラム、及びデフォルトで提供されているプログラムによって構成されているものとする。また、このスクリプトプログラムは、引数としてオブジェクト、アクセス種別、アクセス引数を使う。スクリプトプログラムは、要求に応じた処理結果を処理済みオブジェクトとして戻す機能を持つ。図7にアクセス処理部600における必要処理の例を示す。デフォルトで提供されているプログラムは、新しくオブジェクトを生成する際にアクセス可能主体タグとアクセス制御識別タグの値をセットするプログラムと、オブジェクトを削除する際に中身のないヌルオブジェクトを作るプログラムである。前者は、アクセス可能主体タグにアクセス要求のアクセス主体識別名を、アクセス制御識別タグにアクセス制御タグオブジェクト識別子をセットするプログラムである。
【0051】
またここで、オブジェクト管理部300からアクセス制御部200に対してタグオブジェクトが送られた際、送られてきたアクセス制御タグオブジェクトの中には、複数のアクセス制御規則が記述されている場合が考えられる。あるいは、オブジェクト管理部300から複数のアクセス制御タグオブジェクトが送られてくる可能性がある。その場合、アクセス制御規則同士で矛盾が発生する可能性がある。例えば、第一の規則で、『AliceはDateタグの内容をReadできる』と書かれているのに、第二の規則で、『AliceはDateタグの内容をReadできない』と書かれているような場合である。そこで、本アルゴリズムは、規則間の優先順位に基づいた矛盾解決方法を用いる。各規則に優先順位を設定し、常に優先順位の高いアクセス制御規則が適用されることとする。この場合、規則群の全ての規則に対して各々異なる優先度を割り当てれば、必ず矛盾しない結果が得られることは明らかである。
【0052】
図9に社員データに対するアクセス制御規則の例を示す。ここで、ID=1の規則は、『人事課長は社員の給料フィールドを変更できる』ことを示し、ID=2の規則は、『社員の役職がない場合、人事課長は社員の給料フィールドを変更できない』ことを示している。このような場合、ID=1の規則から『変更可能』、ID=2の規則から『変更不能』といったように、ID=1とID=2の規則は変更権限に関して矛盾した結果を出力する可能性がある。本実施の形態では、各規則に付けた優先度に基づいて、矛盾解消を行う。図9に示すように、規則1には優先度2(PR=2)、規則2には優先度1(PR=1)を属性として設定した。つまり、『変更不能』と設定した規則の優先度の方が、『変更可能』と設定した規則の優先度よりも高いので、『変更不能』という結果が得られることになる。このように、権限に矛盾が発生した場合でも、優先度から規則を判定することができる。
【0053】
次に、既に存在するタグオブジェクトに対する変更動作をどのようにアクセス制御するかを具体的な例を用いて更に詳しく説明する。オブジェクト内のデータに対する変更動作は変更、あるいは追加というアクセス種別で表現する。ここで変更とは、タグオブジェクト内のタグ構造を変更することを意味する。追加とは、タグオブジェクト内に新しく子供のタグ構造を追加することを意味する。
【0054】
図10は、データ及びアクセス制御規則の初期状態を表している。図10において、各タグオブジェクトに付されたオブジェクト1、オブジェクト2、オブジェクト3は、オブジェクト識別名である。
オブジェクト識別名がオブジェクト1であるオブジェクトは、Aliceという社員の給料に関する内容の情報を持つタグオブジェクトである。また、オブジェクト識別名がオブジェクト2であるオブジェクトは、タグオブジェクトに対するアクセス制御規則群を表すアクセス制御タグオブジェクトである。さらに、オブジェクト識別名がオブジェクト3であるオブジェクトは、アクセス制御タグオブジェクトに対するアクセス制御規則を表すアクセス制御タグオブジェクトである。オブジェクト3には、アクセス可能主体に相当する変更可能者が指定されている。
また、同図において、太い矢印はアクセス制御識別名タグの値を示しており、自オブジェクトに対するアクセス制御規則を記述するオブジェクトを指している。細い矢印はアクセス制御を行うことのできる対象範囲を示している。
【0055】
次に、タグオブジェクトに対してアクセス制御を行う場合の動作を説明する。図11は、図10に示した関係のオブジェクト群において、タグオブジェクトにデータを追加する様子を説明する図である。
図11の例では、アクセス要求部100から、オブジェクト識別名Aが『オブジェクト1』、主体識別名Aが『人事課長』、アクセス種別Aが『追加』、アクセス引数Aが『<社員><名前>Bob</名前><給料>20万</給料></社員>』というアクセス要求があったものとする。アクセス制御部200は、受け取ったアクセス要求の中からオブジェクト識別名Aであるオブジェクト1を取り出し、オブジェクト管理部300に送る。
【0056】
オブジェクト管理部300は、オブジェクト格納部500からオブジェクト識別名Aに相当するオブジェクト1を取り出す。取り出されたオブジェクト1であるタグオブジェクトから、当該タグオブジェクトのアクセス制御識別名タグで示されるアクセス制御タグオブジェクトの識別名を取り出す。ここで取り出される識別名にて特定されるアクセス制御タグオブジェクトは、当該オブジェクト1であるタグオブジェクトに対するアクセス制御規則を規定する。図11では、太い矢印で示されるオブジェクト2である。オブジェクト管理部300は、オブジェクト格納部500からオブジェクト2を取り出す。アクセス制御部200は、データを表すオブジェクト1とアクセス制御規則を表すオブジェクト2とを受け取り、アクセス要求部100からのアクセス引数Aとともに、アクセス処理部600へ送る。
【0057】
アクセス処理部600は、オブジェクト2が人事課長によってオブジェクト1に対するアクセス引数Aを追加することを許可しているかどうかを検証する。そして、規則1が社員データに対して人事課長がデータを追加することができることが書かれている規則であることを確認し、追加処理を行う。
これにより、アクセス要求部100からアクセス引数Aとしてアクセス要求があった社員データであるオブジェクト1に、 Bob の社員エントリーが追加される。更新されたオブジェクト1は、オブジェクトRとしてアクセス制御部200に送られる。
【0058】
アクセス制御部200は、アクセス種別に応じて、更新されたオブジェクト1であるオブジェクトRをアクセス要求部100に送り返すか、オブジェクト管理部300に送るかを決定する。オブジェクトRの送り先は、例えば上述した図8に示すような対応テーブルにより、アクセス処理部600にて行われた処理の内容に基づいて決定される。ここでは、アクセス種別が追加の場合に、作成されたオブジェクトRをオブジェクト管理部300に送るという規則があるものとし、社員エントリーの追加がなされたオブジェクト1であるオブジェクトRをオブジェクト管理部300に送る。オブジェクト管理部300は、アクセス制御部200から受け取ったオブジェクトRをオブジェクト格納部500に送り、格納する。
最後に、アクセス制御部200は、アクセス判定結果をアクセス要求部100に送り、アクセス要求に対する処理を終了する。
【0059】
次に、アクセス制御規則に対してアクセス制御を行う場合の動作を説明する。図12は、図11の状態にあるオブジェクト群において、アクセス制御タグオブジェクトにアクセス制御規則を追加する様子を説明する図である。
図12の例では、アクセス要求部100から、オブジェクト識別名Aが『オブジェクト2』、主体識別名Aが『人事部長』、アクセス種別Aが『追加』、アクセス引数Aが『<規則>{名前、監査課、読み}</規則>』というアクセス要求があったものとする。ここで、『{名前、監査課、読み}』の各部分はそれぞれ、『名前』がアクセス対象タグ、『監査課』がアクセス主体タグ、『読み』がアクセス種別タグを表現しているものとする。アクセスフラグタグには許可、アクセス条件タグには真が指定されていると仮定する。アクセス制御部200は、受け取ったアクセス要求の中からオブジェクト識別名Aであるオブジェクト2を取り出し、オブジェクト管理部300に送る。
【0060】
オブジェクト管理部300は、オブジェクト格納部500からオブジェクト識別名Aに相当するオブジェクト2を取り出す。取り出されたオブジェクト2であるアクセス制御タグオブジェクトから、アクセス制御識別タグで示されるアクセス制御タグオブジェクトの識別名を取り出す。ここで取り出される識別名にて特定されるアクセス制御タグオブジェクトは、当該オブジェクト2であるアクセス制御タグオブジェクトに対するアクセス制御規則を規定する。図12では、太い矢印で示されるオブジェクト3である。オブジェクト管理部300は、オブジェクト格納部500からオブジェクト3を取り出す。アクセス制御部200は、アクセス制御規則を表すオブジェクト2とアクセス制御規則に対するアクセス制御規則を表すオブジェクト3とを受け取り、アクセス要求部100からのアクセス引数Aとともに、アクセス処理部600へ送る。
【0061】
アクセス処理部600は、オブジェクト3が人事部長によってオブジェクト2に対するアクセス引数Aを追加することを許可しているかどうかを検証する。そして、管理1がオブジェクト2のアクセス制御規則の規則群に対して新たなアクセス制御規則を追加することができるということが書かれている規則であるということを確認し、追加処理を行う。
これにより、アクセス要求部100からアクセス引数Aとしてアクセス要求があった、オブジェクト2に対する規則3のエントリーの追加がなされる。更新されたオブジェクト2は、オブジェクトRとしてアクセス制御部200に送られる。
【0062】
アクセス制御部200は、アクセス種別に応じて、更新されたオブジェクト2であるオブジェクトRをアクセス要求部100に送り返すか、オブジェクト管理部300に送るかを決定する。上述したように、アクセス種別が追加の場合には、作成されたオブジェクトRをオブジェクト管理部300に送るという規則があるものとし、規則3のエントリーの追加がなされたオブジェクト2であるオブジェクトRをオブジェクト管理部300に送る。オブジェクト管理部300は、アクセス制御部200から受け取ったオブジェクトRをオブジェクト格納部500に送り、格納する。
最後に、アクセス制御部200は、アクセス判定結果をアクセス要求部100に送り、アクセス要求に対する処理を終了する。
【0063】
以上のプロセスで示したように、データに対するアクセス制御と、アクセス制御規則に対するアクセス制御規則を同一に扱うことができる。
なお、全てのタグオブジェクトの上位に存在するアクセス制御タグオブジェクトには、必ずアクセス可能主体が書かれているものとする。すなわち、本実施の形態によるアクセス制御システムにおいても、全てのオブジェクトに対する権限を持つユーザが設定されることになる。ただし、上記のようにアクセス制御規則を多重化し、柔軟に設定できるため、特定のアクセス制御規則に対するアクセス権限の一部のみを特定のユーザに与えようとする場合にも、そのようなアクセス制御規則をアクセス制御タグオブジェクトの形式で設定すれば良く、当該権限を与えようとするユーザをアクセス可能主体に加える必要はない。
図10乃至図12に示した例では、最上位のアクセス制御タグオブジェクトとしては、オブジェクト3が該当し、アクセス可能主体(図では変更可能者と記載)としては、人事システム担当者が記述されている。
【0064】
次に、タグオブジェクトの生成、削除の制御について、具体的な例を用いて説明する。タグオブジェクトの生成処理は生成というアクセス種別で表現し、削除処理は削除というアクセス種別で表現する。
図13に初期状態を示す。図13においてオブジェクト1、オブジェクト2はオブジェクト識別名を表す。
オブジェクト1は社員情報を表現するタグオブジェクトであり、オブジェクト2はオブジェクト1へのアクセスを制御するアクセス制御タグオブジェクトである。オブジェクト2には、アクセス主体が『正社員』グループならば社員情報タグの下位に新しくタグを生成できるという規則と、オブジェクト2の生成者は、社員情報タグの中に書かれた要素内容を削除できるという規則を表す。ここでいう、削除とはタグの削除、またはタグも含めたオブジェクトの構成要素全体の削除のどちらかを意味することになる。
【0065】
まず、タグオブジェクトの生成を要求するアクセス制御要求について詳しく説明する。図14は、図13の状態から新規のタグオブジェクト(オブジェクト識別名がオブジェクト3)を生成する様子を説明する図である。
アクセス要求部100から、オブジェクト識別名Aが『オブジェクト1』、主体識別名が正社員フループに含まれる『鈴木』、アクセス種別Aが『生成』、アクセス引数Aが『<情報><PDA>WorkPad</PDA></情報>』というアクセス要求があったものとする。これに応じて、アクセス制御部200は、アクセス要求からオブジェクト識別名Aである『オブジェクト1』を取り出し、オブジェクト管理部300に送る。
【0066】
オブジェクト管理部300は、オブジェクト格納部500からオブジェクト1を取り出す。オブジェクト管理部300はオブジェクト1のアクセス制御識別名タグがオブジェクト2をポイントしているので、オブジェクト格納部500からオブジェクト識別名Aに相当するオブジェクト2を取り出す。そして、取り出したオブジェクト1及びオブジェクト2をアクセス制御部200へ送る。
【0067】
アクセス制御部200は、オブジェクト管理部300からオブジェクト1及びオブジェクト2を受け取り、図5に示したアクセス判定アルゴリズムを実行し、アクセス許可であることがわかる。したがって、アクセス制御部200は、アクセス要求部100からのアクセス引数Aと共に、オブジェクト1及びオブジェクト2をアクセス処理部600へ送る。
【0068】
アクセス処理部600には、図15に示す処理スクリプトプログラムが設けられているものとする。図15のタグオブジェクト生成プログラム及びデフォルトのプログラムにより、新しいオブジェクト3が生成され、処理済みオブジェクトとしてアクセス制御部200に送られる。
ここで、オブジェクト3は、自オブジェクトを生成したアクセス制御規則であるオブジェクト2をアクセス制御識別タグの値として持つ。アクセス可能主体の解釈としては、次のようなアクセス制御規則(アクセス制御タグオブジェクト)が存在し、それはアクセス制御識別タグで指定されたオブジェクトより低い優先度を持っていると考えることができる。
<規則>
{*、アクセス可能主体名、*}
</規則>
このアクセス制御タグオブジェクトは、該当オブジェクトにアクセス制御識別の値がセットされていない場合は、全ての権限を初期状態で持つものとする。
【0069】
また、図16に示すように、アクセス種別が生成の場合には、処理済みのオブジェクトの送り先としてオブジェクト格納部500が設定されているものとする。従って、アクセス制御部200は、生成されたオブジェクト3をオブジェクト管理部300に送る。オブジェクト管理部300は、アクセス制御部200から受け取ったオブジェクト3をオブジェクト格納部500に送る。オブジェクト格納部500は、オブジェクト3をオブジェクト1の社員情報タグの下位に位置するオブジェクトとして蓄える。
【0070】
次に、タグオブジェクトの削除を要求するアクセス制御要求を考える。図14の状態で、アクセス要求部100から、オブジェクト識別名Aが『オブジェクト3』、主体識別名Aが『鈴木』、アクセス種別Aが『削除』というアクセス要求があったものとする。これに応じて、アクセス制御部200は、アクセス要求からオブジェクト識別名Aである『オブジェクト3』を取り出し、オブジェクト管理部300に送る。
【0071】
オブジェクト管理部300は、オブジェクト格納部500からオブジェクト3を取り出す。オブジェクト管理部300は、オブジェクト3のアクセス制御識別名タグが、オブジェクト2をポイントしているので、オブジェクト格納部500からオブジェクト2を取り出す。
【0072】
アクセス制御部200は、オブジェクト管理部300からオブジェクト2及びオブジェクト3を受け取り、図5に示したアクセス判定アルゴリズムを実行し、アクセス許可であることがわかる。アクセス制御部200は、アクセス要求部100からの各アクセス引数とともに、アクセス処理部600へ送る。
【0073】
アクセス処理部600では、空のオブジェクト(Nullオブジェクト)を生成し、処理済みオブジェクトとする。ここで、図17に示すように、アクセス種別が削除の場合には、処理済みのオブジェクトの送り先としてオブジェクト格納部500が設定されているものとする。従って、アクセス制御部200は、処理済みのタグオブジェクトR(すなわちNullオブジェクト)をオブジェクト格納部500に送る。オブジェクト格納部500では、送られてきたNullオブジェクトによって相当するオブジェクト3を上書きし、結果としてオブジェクト3はオブジェクト格納部500から削除される。このようにして、オブジェクト3が削除された状態を図18に示す。
【0074】
次に、本実施の形態の適用例として、WEBサーバ上に保管されたXMLファイルに対してアクセス制御を行う場合の動作例を説明する。
図19は、本実施の形態によるアクセス制御システムを導入したWEBサーバシステムの構成例を示す図である。図19に示す例では、WEBサーバ1000上にオブジェクトとして置かれた複数のXMLファイルに対するアクセス要求を受け付け、当該アクセス要求に対してアクセス制御を行い、その結果をアクセス要求の発信元であるWEBブラウザ2000にHTML形式のファイルとして提供するサービスを行うものとする。
【0075】
同図において、WEBブラウザ2000は、図1におけるアクセス要求部100に相当する。すなわち、XMLデータに対するアクセス要求を発行する。特に、本実施の形態では、WEBブラウザ2000からのアクセス要求として、アクセス主体を示すユーザ識別名、アクセス対象を示すXMLファイル名、及びアクセス種別名を送る。
【0076】
WEBサーバ1000において、送受信部1100は、WEBブラウザ2000から送られたアクセス要求を受け付け、XML−HTML変換部1200に送る。また、XML−HTML変換部1200から送られたHTMLファイルをWEBブラウザ2000に送る。
XML−HTML変換部1200は、送受信部1100から送られてきたアクセス要求をアクセス制御部1300に送る。また、アクセス制御部1300から送られてきたXMLファイルをWEBブラウザ2000に返す為に、HTMLファイルに変換し、送受信部1100に送る。
アクセス制御部1300は、図1におけるアクセス制御部200、オブジェクト管理部300、オブジェクト対応管理部400、アクセス処理部600に相当する。すなわち、アクセス要求として送られてきた各アクセス引数に基づいて、アクセスの可否を判定し、アクセス対象であるXMLファイル名を確定し、XMLデータ格納部1400から取得する。また、XMLデータ格納部1400から取得したXMLファイルをXML−HTML変換部1200に送る。
XMLデータ格納部1400は、図1におけるオブジェクト格納部500に相当する。すなわち、オブジェクトであるXMLファイルを格納する。格納されているXMLファイルには内容が一般のデータであるものと、アクセス制御規則であるものとがある。
【0077】
図20は、XMLデータ格納部1400に格納されているXMLファイルの構成例を示す図である。
図20を参照すると、オブジェクト識別名が、X001.xmlであるタグオブジェクトは、『社員番号112233のAliceという名前の社員の給料は100000円である』という社員オブジェクトについて定義している。Policy.xmlは、社員オブジェクトに対するアクセス制御規則(アクセス制御タグオブジェクト)であり、『人事課員は、社員オブジェクトを読み込みできる』ことを定義している。Admin.xmlは、社員オブジェクトに対するアクセス制御規則であるPolicy.xmlへのアクセス制御規則(アクセス制御タグオブジェクト)であり、『人事課マネージャーは、社員オブジェクトに対するアクセス制御を変更できる』ことを定義している。また、Admin.xmlに記載されたアクセス制御主体は、このアクセス制御タグオブジェクトAdmin.xml自体は、アクセス可能主体である人事システム管理者がアクセス権限を持ち、変更できることを意味する。
【0078】
以上のように、オブジェクト識別名がPolicy.xmlのオブジェクトは、オブジェクト識別名がX001.xmlというデータオブジェクトに対するアクセス制御規則である。また、オブジェクト識別名がAdmin.xmlのオブジェクトは、オブジェクト識別名がPolicy.xmlというアクセス制御規則に対するアクセス制御規則である。これら、Policy.xmlとAdmin.xmlの記述形式には、全く違いがない。
このように、本実施の形態によれば、データオブジェクトの定義に対するアクセス制御規則と、アクセス制御規則に対するアクセス制御規則とを区別することなく、オブジェクト間の関係だけから決定できる。
【0079】
これらのアクセス制御タグオブジェクトが用意されている状態で、例えば、WEBブラウザ2000から、『人事課員の高橋は社員ファイルを読込みできるか』という質問のアクセス要求があったとする。ここで、アクセス主体は人事課員であるので、この質問に対して、アクセス判定結果としてのアクセスフラグは『許可』である。オブジェクトとしてXMLデータ格納部1400に格納されている社員ファイルであるX001.xmlがHTMLファイルに変換されてWEBブラウザ2000に戻される。
【0080】
また、別の例として、WEBブラウザ2000から、『監査課マネージャーの山本は社員ファイルに対するアクセス制御記述を書き換えられるか』という質問のアクセス要求があったとする。ここで、アクセス主体は監査課マネージャーであるので、この質問に対して、アクセス判定結果として『不許可』がWEBブラウザ2000に戻される。
【0081】
次に、『人事課マネージャーは社員オブジェクトへのアクセス制御規則を変更できる』という規則があったとする。このアクセス制御規則に対して、『監査課マネージャーは社員オブジェクトへのアクセス制御規則の中で、アクセスフラグの部分を変更できる』という規則を追加したとする。これは、監査課マネージャーに対して、社員オブジェクトへのアクセス制御規則の一部の権限を委譲したことを意味する。
【0082】
図21は、図20の状態から新たなアクセス制御タグオブジェクトであるXMLファイルを追加した状態を示す図である。
図21において、オブジェクト識別名がPolicy.xmlのオブジェクトは、アクセス制御識別名として、Admin1.xmlとAdmin2.xmlを持つアクセス制御規則であり、『人事課員は社員オブジェクトの読込みができる』ことを意味する。オブジェクト識別名がAdmin1.xmlであるタグオブジェクトは、Policy.xmlに対するアクセス制御規則であり、アクセス可能主体は人事システム管理者である。これは、『監査課マネージャーは、アクセスフラグに対して変更ができる』ことを意味する。オブジェクト識別名がAdmin2.xmlであるタグオブジェクトは、Policy.xmlに対するアクセス制御規則であり、アクセス可能主体は人事システム管理者である。これは、『人事課マネージャーは、アクセス制御に対して変更ができる』ことを意味する。
【0083】
上述したようなアクセス制御規則への変更が発生した後に、WEBブラウザ2000から、『監査課マネージャーの山本は社員ファイルに対するアクセス制御記述を書き換えられるか』という質問のアクセス要求があった場合、アクセス判定結果として『許可』がWEBブラウザ2000に戻され、アクセス制御規則が記述されたファイルであるAdmin1.xmlがHTML形式に変換されてWEBブラウザ2000に戻される。
【0084】
図22は、社員オブジェクトX001.xmlと、社員オブジェクトに対するアクセス制御規則であるPolicy.xml、また、アクセス制御規則Policy.xmlに対するアクセス制御規則であるAdmPolicy1.xml及びAdmPolicy2.xmlの各タグオブジェクト間の関係を示す図である。
図22を参照すると、X001.xmlに対するアクセス制御規則がPolicy.xmlであり、Policy.xmlに対するアクセス制御規則がAdmPolicy1.xml及びAdmpolicy2.xmlとなっている。
また、データオブジェクトであるX001.xmlに対するアクセス制御規則Policy.xmlの記述形式と、アクセス制御規則であるPolicy.xmlに対するアクセス制御規則AdmPolicy1.xml及びAdmPolicy2.xmlの記述形式との間には、違いがないことがわかる。
【0085】
このように、従来のアクセス制御においては、『アクセス制御規則を変更できる人は、システム管理者のみ』というような単純な規則があり、この規則は変更できなかった。これに対し、本実施の形態によれば、データオブジェクトに対するアクセス制御規則と同じ記述形式でアクセス制御規則を記述することにより、データオブジェクトに対するアクセス制御規則と、アクセス制御規則に対するアクセス制御規則を区別することなく扱うことができる。アクセス制御規則がデータオブジェクトに対するものか、他のアクセス制御規則に対するものかは、各オブジェクト間の関係だけから決定できる。
また、データオブジェクトに対するアクセス制御規則の記述を追加、変更、削除する場合と同様に、アクセス制御規則に対するアクセス制御規則の記述も柔軟に追加、変更、削除することが可能である。
【0086】
次に、本実施の形態における他の適用例として、WEBサーバ間でXMLファイルをやりとりする場合の動作例を説明する。
図23は、本実施の形態によるアクセス制御システムを導入したWEBサーバと他のWEBサーバとの関係を示す図である。図23に示す例では、WEBサーバ3000上に置かれたXMLで記述された電子注文文書の取得を要求するアクセス要求を他のWEBサーバ4000から受け付け、当該アクセス要求に対してアクセス制御を行い、その結果をアクセス要求の発信元であるWEBサーバ4000にXML形式のファイルとして提供するサービスを行うものとする。
【0087】
同図において、WEBサーバ4000は、図1におけるアクセス要求部100に相当する。すなわち、WEBサーバ3000に対するアクセス要求として、ユーザ識別名、XMLファイル名、アクセス種別名を送る。
【0088】
WEBサーバ3000において、送受信部3100は、WEBサーバ4000から送られたアクセス要求を受け取り、アクセス制御部3200に送る。また、アクセス制御部3200から送られたXMLデータをWEBサーバ4000に送る。
【0089】
アクセス制御部3200は、図1におけるアクセス制御部200、オブジェクト管理部300、オブジェクト対応管理部400、アクセス処理部600に相当する。すなわち、送受信部3100からアクセス要求として送られてきた各アクセス引数に基づいて、アクセスの可否を判定し、アクセス対象であるXMLファイル名を確定し、XMLデータ格納部3300から取得する。また、取得したXMLファイルに対するアクセス制御規則をアクセス制御規則格納部3400から取得する。アクセス制御部3200にて取得されたXMLデータは、アクセス制御を経た後、送受信部3100を介してWEBサーバ4000に送られる。
【0090】
XMLデータ格納部3300及びアクセス制御規則格納部3400は、図1におけるオブジェクト格納部500に相当する。すなわち、アクセス対象であるオブジェクトを格納する。XMLデータ格納部3300は、データオブジェクトのみを格納しており、アクセス制御規則は格納していない。アクセス制御規則格納部3400は、XMLデータ格納部3300に格納されているデータオブジェクトに対するアクセス制御規則や、アクセス制御規則格納部3400に格納されている他のアクセス制御規則に対するアクセス制御規則を格納している。
【0091】
ここでは、図19乃至図22を参照して説明した例とは違い、アクセス対象であるオブジェクトをデータオブジェクトとアクセス制御規則(アクセス制御タグオブジェクト)とに分け、XMLデータ格納部3300とアクセス制御規則格納部3400とにそれぞれ格納している。これにより、物理的に高度なセキュリティを施されたアクセス制御規則格納部3400にのみアクセス制御規則を格納するなどのような、柔軟なアクセス制御記述管理が可能となる。
また、XMLデータ格納部3300とアクセス制御規則格納部3400とを分けたことにより、アクセス制御規則は、タグ付きオブジェクトの形式で記述されていれば良く、特に、XMLで記述される必要は無くなる。例えばバイナリー形式のタグ付きオブジェクトとして記述すれば、より高速なアクセス制御処理を実現することもできる。
【0092】
【発明の効果】
以上説明したように、本発明によれば、データに対するアクセス制御規則と、アクセス制御規則に対するアクセス制御規則とを区別することなく扱うことができるため、アクセス制御規則に対するアクセス制御についても、データに対するアクセス制御と同様の柔軟な制御を行うことができるアクセス制御システムを提供することができる。
これにより、ユーザに対して、アクセス制御規則に対する権限の任意の一部を与えるようなアクセス制御を容易に行うことが可能となる。また、アクセス制御規則の追加、変更、削除等を容易に行うことが可能となる。
【図面の簡単な説明】
【図1】 本実施の形態における、アクセス制御システムの全体構成を説明するブロック図である。
【図2】 本実施の形態における、動作アルゴリズムの全体概要を表す図である。
【図3】 本実施の形態における、アクセス対象となるオブジェクトのデータ構造を示す図である。
【図4】 本実施の形態における、構成要素間のインターフェイスの定義を説明する図である。
【図5】 本実施の形態における、アクセス要求に対するアクセス判定アルゴリズムを示す図である。
【図6】 本実施の形態における、オブジェクト対応テーブルの構成例を示す図である。
【図7】 本実施の形態における、アクセス処理部による処理であるアクセス種別と処理スクリプトプログラムとの関係を示す図である。
【図8】 本実施の形態における、アクセス処理部により処理を施されたオブジェクトの送り先を定めた規則の一例を示す図である。
【図9】 本実施の形態における、タグオブジェクトとアクセス制御タグオブジェクトの例を示す図である。
【図10】 本実施の形態における、アクセス制御の動作を説明する図であり、データの初期状態の例を示す図である。
【図11】 図10に示した関係のオブジェクト群において、タグオブジェクトにデータを追加する様子を説明する図である。
【図12】 図11の状態にあるオブジェクト群において、アクセス制御タグオブジェクトにアクセス制御規則を追加する様子を説明する図である。
【図13】 本実施の形態における、アクセス制御のうちタグオブジェクトの生成及び削除の動作を説明する図であり、データの初期状態の例を示す図である。
【図14】 図13の状態から新規のタグオブジェクトを生成した様子を説明する図である。
【図15】 本実施の形態における、アクセス種別と処理スクリプトプログラム名の関係の一例を示す図である。
【図16】 本実施の形態における、アクセス処理部により生成されたオブジェクトの送り先を定めた規則の一例を示す図である。
【図17】 本実施の形態における、アクセス処理部により削除されたオブジェクト(Nullオブジェクト)の送り先を定めた規則の一例を示す図である。
【図18】 図14の状態からタグオブジェクトを削除した様子を説明する図である。
【図19】 本実施の形態の適用例として、本実施の形態によるアクセス制御システムを導入したWEBサーバシステムの構成例を示す図である。
【図20】 図19の適用例における、XMLデータ格納部に格納されているXMLファイルの構成例を示す図である。
【図21】 図20の状態から新たなアクセス制御タグオブジェクトであるXMLファイルを追加した状態を示す図である。
【図22】 図20及び図21に示した各オブジェクトの相互関係を示す図である。
【図23】 本実施の形態の他の適用例として、本実施の形態によるアクセス制御システムを導入したWEBサーバと他のWEBサーバとの関係を示す図である。
【符号の説明】
100…アクセス要求部、200…アクセス制御部、300…オブジェクト管理部、400…オブジェクト対応管理部、500…オブジェクト格納部、600…アクセス処理部、1000、3000、4000…WEBサーバ、1100、3100…送受信部、1200…XML−HTML変換部、1300、3200…アクセス制御部、1400、3300…XMLデータ格納部、3400…アクセス制御規則格納部、2000…WEBブラウザ
Claims (18)
- アクセス対象であるオブジェクトへのアクセス要求に対するアクセス制御を行うアクセス制御システムにおいて、
アクセス要求に応じて、前記オブジェクトに対するアクセスの可否を、当該オブジェクトに対するアクセス権限を規定したアクセス制御規則に基づいて判断するアクセス要求判断部と、
前記オブジェクトに対するアクセス制御規則を前記オブジェクトとして格納したオブジェクト格納部とを備え、
前記アクセス要求判断部は、前記オブジェクト格納部に前記オブジェクトとして格納されたアクセス制御規則を対象とするアクセス要求に応じて、当該オブジェクトである当該アクセス制御規則に対するアクセスの可否を、当該オブジェクトである当該アクセス制御規則に対するアクセス権限を規定したアクセス制御規則に基づいて判断すること
を特徴とするアクセス制御システム。 - 前記アクセス要求判断部は、
前記アクセス制御規則を含む所定の前記オブジェクトを対象とするアクセス要求に応じて、前記オブジェクト格納部から、当該アクセス要求の対象である前記オブジェクトと当該オブジェクトに対する前記アクセス制御規則とを取得し、
取得した前記アクセス制御規則に基づいて前記オブジェクトに対するアクセスの可否を判断する、
請求項1に記載のアクセス制御システム。 - 前記オブジェクト格納部にオブジェクトとして格納されるアクセス制御規則は、アクセス制御規則に対するアクセス権限を規定したアクセス制御規則である場合を含む、請求項1に記載のアクセス制御システム。
- アクセス要求の対象である前記オブジェクトと当該オブジェクトに対する前記アクセス制御規則との相互関係を管理するオブジェクト対応管理部をさらに備えた、請求項1に記載のアクセス制御システム。
- 所定のアクセス対象へのアクセス要求に対するアクセス制御を行うアクセス制御システムにおいて、
前記アクセス対象へのアクセス権限を規定したアクセス制御規則と、当該アクセス制御規則と共通の書式で記述され、当該アクセス制御規則に対するアクセス権限を規定した上位制御規則とを格納した格納手段と、
前記アクセス制御規則を対象とするアクセス要求に応じて、当該アクセス制御規則に対するアクセスの可否を、前記上位制御規則に基づいて判断する判断手段とを備え、
前記格納手段に格納された前記アクセス制御規則は他のアクセス制御規則に対する前記上位制御規則である場合を含むこと
を特徴とするアクセス制御システム。 - 前記格納手段に格納された前記アクセス制御規則は、前記上位制御規則を指し示す指示情報を付した指示情報付きオブジェクトとして記述される、請求項5に記載のアクセス制御システム。
- 前記判断手段によりアクセスを許可されたアクセス要求に応じて、前記アクセス制御規則及び前記上位制御規則を生成し、変更し、または削除する処理手段をさらに備えた、請求項5に記載のアクセス制御システム。
- 前記上位制御規則は、前記アクセス制御規則に対するアクセス権限の一部を特定の主体に対して認めることを規定した規則である、請求項5に記載のアクセス制御システム。
- データの構成要素に対する制御情報を示すタグを付されたタグ付きオブジェクトをアクセス対象とし、当該タグ付きオブジェクトへのアクセス要求に対するアクセス制御を行うアクセス制御システムにおいて、
前記タグ付きオブジェクトへのアクセス権限を規定するアクセス制御規則を格納したアクセス制御規則格納手段と、
アクセス要求に応じて、当該アクセス要求の対象である前記タグ付きオブジェクトに対するアクセスの可否を、前記アクセス制御規則に基づいて判断するアクセス要求判断手段とを備え、
前記アクセス制御規則格納手段に格納された前記アクセス制御規則は、規則の構成要素に対する制御情報を示すタグを付されたタグ付きオブジェクトとして記述され、
前記アクセス要求判断手段は、前記アクセス制御規則格納手段に前記タグ付きオブジェクトとして格納された前記アクセス制御規則を対象とするアクセス要求に応じて、当該タグ付きオブジェクトである当該アクセス制御規則に対するアクセスの可否を、当該タグ付きオブジェクトである当該アクセス制御規則へのアクセス権限を規定するアクセス制御規則に基づいて判断すること
を特徴とするアクセス制御システム。 - タグ付きオブジェクトとして記述されたタグ付きデータオブジェクトと前記タグを持たないタグ無しデータオブジェクトとを格納したデータオブジェクト格納手段をさらに備え、
前記アクセス要求判断手段は、前記アクセス制御規則、前記タグ付きデータオブジェクト、前記タグ無しデータオブジェクトのいずれかに対するアクセスの可否を判断する、
請求項9に記載のアクセス制御システム。 - 前記タグ付きデータオブジェクトに対するアクセス要求が行われた場合に、当該タグ付きデータオブジェクトに対するアクセス制御規則に関する情報を保持する管理手段をさらに備え、
前記アクセス要求判断手段は、
前記タグ付きデータオブジェクトに付随する前記タグ無しデータオブジェクトに対するアクセス要求が行われた場合に、前記管理手段に保持されている情報に基づいて、当該タグ付きデータオブジェクトに対する前記アクセス制御規則を取得し、
取得した前記アクセス制御規則に基づいて前記タグ無しデータオブジェクトに対するアクセスの可否を判断する、
請求項10に記載のアクセス制御システム。 - クライアントからのアクセス要求を受け付けて、アクセス対象であるオブジェクトに対して当該アクセス要求に応じた処理を行うサーバであって、
アクセス要求に応じて、当該アクセス要求の対象であるオブジェクトに対するアクセスの可否を、当該オブジェクトに対するアクセス権限を規定したアクセス制御規則に基づいて判断するアクセス要求判断部と、
前記アクセス要求判断部によりアクセスが許可されたアクセス要求に応じて、前記オブジェクトに対する処理を実行するオブジェクト処理部と、
前記オブジェクトに対するアクセス制御規則をオブジェクトとして格納したオブジェクト格納部とを備え、
前記アクセス要求判断部は、前記オブジェクト格納部に前記オブジェクトとして格納された前記アクセス制御規則を対象とするアクセス要求に応じて、当該オブジェクトである当該アクセス制御規則に対するアクセスの可否を、当該オブジェクトである当該アクセス制御規則に対するアクセス権限を規定したアクセス制御規則に基づいて判断すること
を特徴とするサーバ。 - 前記オブジェクト処理部は、前記アクセス制御規則を対象とするアクセス要求に応じて、前記アクセス制御規則を生成し、変更し、または削除する、請求項12に記載のサーバ。
- 前記オブジェクト処理部は、前記アクセス制御規則を対象とするアクセス要求に応じて、アクセス制御規則に対するアクセス権限の一部を特定の主体に対して認めるアクセス制御規則を生成する、請求項12に記載のサーバ。
- アクセス対象であるオブジェクトへのアクセス要求に対するアクセス制 御を行うアクセス制御方法において、
データまたは当該データに関するアクセス制御規則を前記オブジェクトとしたアクセス要求を受け付けるステップと、
受け付けたアクセス要求に係るオブジェクトに関して、データに対するアクセス権限を規定したアクセス制御規則および当該アクセス制御規則と共通の書式で記述されアクセス制御規則に対するアクセス権限を規定したアクセス制御規則を格納した記憶装置から、当該オブジェクトであるデータまたはアクセス制御規則に対するアクセス権限を規定するアクセス制御規則を取得するステップと、
取得した前記アクセス制御規則に基づいて前記オブジェクトに対するアクセスの可否を判定するステップと
を含む、アクセス制御方法。 - 前記アクセス要求としてアクセス制御規則の生成要求を受け付け、かつ当該生成要求によるアクセスが許可された場合に、当該生成要求に基づいてアクセス制御規則を生成し、生成された当該アクセス制御規則に、前記生成要求によるアクセスの可否を判定するために用いられたアクセス制御規則を指示する指示情報を付加するステップをさらに含む、請求項15に記載のアクセス制御方法。
- コンピュータに実行させるプログラムを当該コンピュータの入力手段が読取可能に記憶した記憶媒体において、
前記プログラムは、
データまたは当該データに関するアクセス制御規則をアクセス対象のオブジェクトとしたアクセス要求を受け付ける処理と、
受け付けたアクセス要求に係るオブジェクトに関して、データに対するアクセス権限を規定したアクセス制御規則および当該アクセス制御規則と共通の書式で記述されアクセス制御規則に対するアクセス権限を規定したアクセス制御規則を格納した記憶装置から、当該オブジェクトであるデータまたはアクセス制御規則に対するアクセス権限を規定するアクセス制御規則を取得する処理と、
取得した前記アクセス制御規則に基づいて前記オブジェクトに対するアクセスの可否を判定する処理と
を前記コンピュータに実行させる、記憶媒体。 - 前記アクセス要求としてアクセス制御規則の生成要求を受け付け、かつ当該生成要求によるアクセスが許可された場合に、当該生成要求に基づいてアクセス制御規則を生成し、生成された当該アクセス制御規則に、前記生成要求によるアクセスの可否を判定するために用いられたアクセス制御規則を指示する指示情報を付加する処理を、前記コンピュータにさらに実行させる、請求項17に記載の記憶媒体。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000274040A JP3790661B2 (ja) | 2000-09-08 | 2000-09-08 | アクセス制御システム |
| US09/948,286 US7409390B2 (en) | 2000-09-08 | 2001-09-07 | Access control system and methods |
| US11/457,805 US7792861B2 (en) | 2000-09-08 | 2006-07-15 | Access control system and methods |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000274040A JP3790661B2 (ja) | 2000-09-08 | 2000-09-08 | アクセス制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002091816A JP2002091816A (ja) | 2002-03-29 |
| JP3790661B2 true JP3790661B2 (ja) | 2006-06-28 |
Family
ID=18759874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000274040A Expired - Fee Related JP3790661B2 (ja) | 2000-09-08 | 2000-09-08 | アクセス制御システム |
Country Status (2)
| Country | Link |
|---|---|
| US (2) | US7409390B2 (ja) |
| JP (1) | JP3790661B2 (ja) |
Families Citing this family (81)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7877437B1 (en) | 2000-05-08 | 2011-01-25 | H.E.B., Llc | Method and apparatus for a distributable globe graphical object |
| AU2001261446A1 (en) | 2000-05-08 | 2001-11-20 | Envoii | Method and apparatus for a portable information agent |
| WO2002021404A1 (en) * | 2000-09-06 | 2002-03-14 | Envoii | Method and apparatus for a portable information account access agent |
| US20060059544A1 (en) * | 2004-09-14 | 2006-03-16 | Guthrie Paul D | Distributed secure repository |
| US20060059117A1 (en) * | 2004-09-14 | 2006-03-16 | Michael Tolson | Policy managed objects |
| US7305469B2 (en) * | 2001-12-18 | 2007-12-04 | Ebay Inc. | Prioritization of third party access to an online commerce site |
| US7373347B2 (en) | 2002-07-22 | 2008-05-13 | Ricoh Company, Ltd. | Information processing apparatus and information processing method |
| US7584208B2 (en) | 2002-11-20 | 2009-09-01 | Radar Networks, Inc. | Methods and systems for managing offers and requests in a network |
| US7640267B2 (en) | 2002-11-20 | 2009-12-29 | Radar Networks, Inc. | Methods and systems for managing entities in a computing device using semantic objects |
| US20040117490A1 (en) * | 2002-12-13 | 2004-06-17 | General Instrument Corporation | Method and system for providing chaining of rules in a digital rights management system |
| US7526347B2 (en) * | 2003-02-18 | 2009-04-28 | Fisher-Rosemount Systems, Inc. | Security for objects in a process plant configuration system |
| US7840614B2 (en) | 2003-02-20 | 2010-11-23 | Bea Systems, Inc. | Virtual content repository application program interface |
| US7293286B2 (en) | 2003-02-20 | 2007-11-06 | Bea Systems, Inc. | Federated management of content repositories |
| GB2399903A (en) * | 2003-03-28 | 2004-09-29 | Hewlett Packard Development Co | Security attributes of nodes in trusted computing systems |
| GB2399902A (en) * | 2003-03-28 | 2004-09-29 | Hewlett Packard Development Co | Security in trusted computing systems |
| EP1507402A3 (en) * | 2003-06-23 | 2005-07-20 | Ricoh Company, Ltd. | Access control decision system, access control enforcing system, and security policy |
| CN1316325C (zh) * | 2003-06-23 | 2007-05-16 | 株式会社日立制作所 | 服务器 |
| US7392383B2 (en) | 2003-09-25 | 2008-06-24 | International Business Machines Corporation | Method and apparatus for providing process-based access controls on computer resources |
| US7185020B2 (en) * | 2003-10-01 | 2007-02-27 | Hewlett-Packard Development Company, L.P. | Generating one or more block addresses based on an identifier of a hierarchical data structure |
| US7650512B2 (en) * | 2003-11-18 | 2010-01-19 | Oracle International Corporation | Method of and system for searching unstructured data stored in a database |
| US7191189B2 (en) * | 2003-11-20 | 2007-03-13 | Hewlett-Packard Development Company, Lp. | Organizing data objects in a storage device |
| US7433876B2 (en) | 2004-02-23 | 2008-10-07 | Radar Networks, Inc. | Semantic web portal and platform |
| KR20050096036A (ko) * | 2004-03-29 | 2005-10-05 | 삼성전자주식회사 | 휴대형 저장장치 및 휴대형 저장장치의 파일 관리 방법 |
| JP4676779B2 (ja) * | 2004-04-02 | 2011-04-27 | 株式会社リコー | 情報処理装置、資源管理装置、属性変更許否判定方法、属性変更許否判定プログラム及び記録媒体 |
| US20060028252A1 (en) * | 2004-04-13 | 2006-02-09 | Bea Systems, Inc. | System and method for content type management |
| JP4676782B2 (ja) * | 2004-04-28 | 2011-04-27 | 株式会社リコー | 情報処理装置、操作許可データ生成方法、操作許可データ生成許否判定方法、操作許可データ生成プログラム、操作許否データ生成許否判定プログラム及び記録媒体 |
| JP4793839B2 (ja) * | 2004-06-29 | 2011-10-12 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 木構造データによるアクセス制御手段 |
| JP4599919B2 (ja) * | 2004-07-12 | 2010-12-15 | 富士ゼロックス株式会社 | データ管理用コンピュータプログラムならびにデータ管理装置および方法 |
| JP2006053903A (ja) * | 2004-07-16 | 2006-02-23 | Canon Inc | 表示装置、端末装置、配信装置及びそれらの制御方法、コンピュータプログラム並びに記憶媒体 |
| JP2006092075A (ja) * | 2004-09-22 | 2006-04-06 | Fuji Xerox Co Ltd | オブジェクト管理用コンピュータプログラムならびにオブジェクト管理装置および方法 |
| US20060248592A1 (en) * | 2005-04-28 | 2006-11-02 | International Business Machines Corporation | System and method for limiting disclosure in hippocratic databases |
| US7580933B2 (en) * | 2005-07-28 | 2009-08-25 | Microsoft Corporation | Resource handling for taking permissions |
| JP4481903B2 (ja) * | 2005-08-24 | 2010-06-16 | キヤノン株式会社 | 文書配信システム、文書管理クライアント、文書配信方法およびプログラム |
| US20070061699A1 (en) * | 2005-09-09 | 2007-03-15 | Microsoft Corporation | Named object view of electronic data report |
| US20070118527A1 (en) * | 2005-11-22 | 2007-05-24 | Microsoft Corporation | Security and data filtering |
| WO2008021832A2 (en) | 2006-08-09 | 2008-02-21 | Radar Networks, Inc. | Harvesting data from page |
| US7835806B2 (en) * | 2007-01-29 | 2010-11-16 | Rockwell Automation Technologies, Inc. | Method for indirect access to controller data using name stored in string tag |
| US8516538B2 (en) * | 2007-02-01 | 2013-08-20 | Frequentz Llc | Providing security for queries to electronic product code information services |
| CN101350052B (zh) * | 2007-10-15 | 2010-11-03 | 北京瑞星信息技术有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101350054B (zh) * | 2007-10-15 | 2011-05-25 | 北京瑞星信息技术有限公司 | 计算机有害程序自动防护方法及装置 |
| JP4686525B2 (ja) * | 2007-10-26 | 2011-05-25 | 株式会社東芝 | アクセス判定装置及びアクセス判定プログラム |
| JP4931245B2 (ja) * | 2007-11-30 | 2012-05-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス制御方法、サーバ装置およびシステム |
| US8763155B1 (en) * | 2008-02-12 | 2014-06-24 | Avaya Communication Israel Ltd. | Tag based views for role based access control |
| US20090300016A1 (en) * | 2008-06-02 | 2009-12-03 | Microsoft Corporation | Techniques for filtering data |
| US20090326980A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Flagging to control access to health information |
| US11469789B2 (en) | 2008-07-09 | 2022-10-11 | Secureall Corporation | Methods and systems for comprehensive security-lockdown |
| US9642089B2 (en) | 2008-07-09 | 2017-05-02 | Secureall Corporation | Method and system for planar, multi-function, multi-power sourced, long battery life radio communication appliance |
| US10447334B2 (en) | 2008-07-09 | 2019-10-15 | Secureall Corporation | Methods and systems for comprehensive security-lockdown |
| US10128893B2 (en) | 2008-07-09 | 2018-11-13 | Secureall Corporation | Method and system for planar, multi-function, multi-power sourced, long battery life radio communication appliance |
| JP5151825B2 (ja) * | 2008-09-02 | 2013-02-27 | 富士ゼロックス株式会社 | 文書管理装置、文書管理システム、及び文書管理プログラム |
| JP5482781B2 (ja) | 2009-02-17 | 2014-05-07 | 日本電気株式会社 | 情報処理システム及び情報処理システムの動作方法 |
| WO2010120925A2 (en) | 2009-04-15 | 2010-10-21 | Evri Inc. | Search and search optimization using a pattern of a location identifier |
| WO2010120929A2 (en) | 2009-04-15 | 2010-10-21 | Evri Inc. | Generating user-customized search results and building a semantics-enhanced search engine |
| WO2010120934A2 (en) | 2009-04-15 | 2010-10-21 | Evri Inc. | Search enhanced semantic advertising |
| US8200617B2 (en) | 2009-04-15 | 2012-06-12 | Evri, Inc. | Automatic mapping of a location identifier pattern of an object to a semantic type using object metadata |
| US9038168B2 (en) * | 2009-11-20 | 2015-05-19 | Microsoft Technology Licensing, Llc | Controlling resource access based on resource properties |
| US9953178B2 (en) * | 2010-02-03 | 2018-04-24 | Os Nexus, Inc. | Role based access control utilizing scoped permissions |
| US20110321117A1 (en) * | 2010-06-23 | 2011-12-29 | Itt Manufacturing Enterprises, Inc. | Policy Creation Using Dynamic Access Controls |
| CN102402548B (zh) * | 2010-09-17 | 2013-10-23 | 金蝶软件(中国)有限公司 | 一种应用系统的数据查询控制方法及系统 |
| US9747270B2 (en) | 2011-01-07 | 2017-08-29 | Microsoft Technology Licensing, Llc | Natural input for spreadsheet actions |
| US9256716B2 (en) | 2010-09-22 | 2016-02-09 | Nec Corporation | Access authority generation device |
| US9268960B2 (en) * | 2011-06-01 | 2016-02-23 | Microsoft Technology Licensing, Llc | Moderation of shared data objects |
| US9064111B2 (en) | 2011-08-03 | 2015-06-23 | Samsung Electronics Co., Ltd. | Sandboxing technology for webruntime system |
| US9396347B2 (en) | 2011-09-01 | 2016-07-19 | Microsoft Technology Licensing, Llc | Providing status of site access requests |
| US9002790B2 (en) * | 2011-09-14 | 2015-04-07 | Google Inc. | Hosted storage locking |
| US8893225B2 (en) | 2011-10-14 | 2014-11-18 | Samsung Electronics Co., Ltd. | Method and apparatus for secure web widget runtime system |
| US9053083B2 (en) | 2011-11-04 | 2015-06-09 | Microsoft Technology Licensing, Llc | Interaction between web gadgets and spreadsheets |
| US9171099B2 (en) | 2012-01-26 | 2015-10-27 | Microsoft Technology Licensing, Llc | System and method for providing calculation web services for online documents |
| CN103268454B (zh) * | 2012-12-18 | 2017-05-17 | 北京奇虎测腾科技有限公司 | 用户公开的资料数据的展示控制方法及系统 |
| RU2580468C9 (ru) * | 2013-04-24 | 2017-03-24 | Общество С Ограниченной Ответственностью "Э-Студио" | Способ управления доступом к множеству вычислительных ресурсов |
| US10664652B2 (en) | 2013-06-15 | 2020-05-26 | Microsoft Technology Licensing, Llc | Seamless grid and canvas integration in a spreadsheet application |
| JP6376734B2 (ja) | 2013-08-12 | 2018-08-22 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | データベースを管理する装置、データベースの制御方法およびプログラム |
| US9971613B2 (en) * | 2013-10-04 | 2018-05-15 | Vmware, Inc. | Tag based permission system and method for virtualized environments |
| JP6326807B2 (ja) * | 2013-12-18 | 2018-05-23 | 富士ゼロックス株式会社 | 情報処理システム及びプログラム |
| US9349022B2 (en) * | 2014-10-01 | 2016-05-24 | Sap Se | Providing integrated role-based access control |
| US11048695B2 (en) * | 2017-09-12 | 2021-06-29 | Sap Se | Context-aware data commenting system |
| GB2577488B (en) * | 2018-09-21 | 2021-11-24 | Jaguar Land Rover Ltd | Improvements to system controllers |
| JP6870726B1 (ja) * | 2019-12-27 | 2021-05-12 | ダイキン工業株式会社 | 情報処理システム、情報処理装置、方法及びプログラム |
| CN113285933A (zh) * | 2021-05-13 | 2021-08-20 | 京东数字科技控股股份有限公司 | 用户访问控制方法、装置、电子设备与存储介质 |
| JP2024081537A (ja) * | 2022-12-06 | 2024-06-18 | 富士通株式会社 | データベース管理プログラム、データベース管理方法、および情報処理装置 |
| WO2025082605A1 (en) * | 2023-10-19 | 2025-04-24 | Assa Abloy Ab | Secure access device structured object |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4525780A (en) * | 1981-05-22 | 1985-06-25 | Data General Corporation | Data processing system having a memory using object-based information and a protection scheme for determining access rights to such information |
| US5050074A (en) * | 1988-03-28 | 1991-09-17 | Digital Equipment Corporation | System for facilitating coordination of activities by a plurality of actors with an object database and state/action identification |
| US5173939A (en) * | 1990-09-28 | 1992-12-22 | Digital Equipment Corporation | Access control subsystem and method for distributed computer system using compound principals |
| JPH08161213A (ja) | 1994-12-06 | 1996-06-21 | Nippon Telegr & Teleph Corp <Ntt> | 文書管理方法 |
| US5999978A (en) * | 1997-10-31 | 1999-12-07 | Sun Microsystems, Inc. | Distributed system and method for controlling access to network resources and event notifications |
| US6085191A (en) * | 1997-10-31 | 2000-07-04 | Sun Microsystems, Inc. | System and method for providing database access control in a secure distributed network |
| US6038563A (en) * | 1997-10-31 | 2000-03-14 | Sun Microsystems, Inc. | System and method for restricting database access to managed object information using a permissions table that specifies access rights corresponding to user access rights to the managed objects |
| JPH11313102A (ja) * | 1998-02-27 | 1999-11-09 | Fujitsu Ltd | アクセス制御リスト生成方法及びその装置 |
| US6859805B1 (en) * | 1999-11-29 | 2005-02-22 | Actuate Corporation | Method and apparatus for generating page-level security in a computer generated report |
| US6820082B1 (en) * | 2000-04-03 | 2004-11-16 | Allegis Corporation | Rule based database security system and method |
-
2000
- 2000-09-08 JP JP2000274040A patent/JP3790661B2/ja not_active Expired - Fee Related
-
2001
- 2001-09-07 US US09/948,286 patent/US7409390B2/en not_active Expired - Lifetime
-
2006
- 2006-07-15 US US11/457,805 patent/US7792861B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US7792861B2 (en) | 2010-09-07 |
| US7409390B2 (en) | 2008-08-05 |
| US20020077803A1 (en) | 2002-06-20 |
| JP2002091816A (ja) | 2002-03-29 |
| US20070179954A1 (en) | 2007-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3790661B2 (ja) | アクセス制御システム | |
| US11574070B2 (en) | Application specific schema extensions for a hierarchical data structure | |
| Barkley et al. | Supporting relationships in access control using role based access control | |
| EP1460565B1 (en) | Method and system for uniformly accessing multiple directory services | |
| US7831643B1 (en) | System, method and computer program product for multi-level file-sharing by concurrent users | |
| US7702725B2 (en) | Digital object repositories, models, protocol, apparatus, methods and software and data structures, relating thereto | |
| US8056114B2 (en) | Implementing access control policies across dissimilar access control platforms | |
| US6625603B1 (en) | Object type specific access control | |
| US6289458B1 (en) | Per property access control mechanism | |
| US6535879B1 (en) | Access control via properties system | |
| US6061692A (en) | System and method for administering a meta database as an integral component of an information server | |
| JP4876734B2 (ja) | 文書利用管理システム及び方法、文書管理サーバ及びそのプログラム | |
| US6629127B1 (en) | Methods and systems for processing HTTP requests | |
| US6772159B1 (en) | System and method for disconnected database access by heterogeneous clients | |
| KR20060097577A (ko) | 시스템 데이터 인터페이스, 관련 아키텍처, 프린트 시스템데이터 인터페이스 및 관련 프린트 시스템 아키텍처 | |
| CZ20011203A3 (cs) | Systémy, způsoby a produkty počítačových programů pro přiřazování, sestavování a doručování obsahu intranetovým uživatelům | |
| JPH11120066A (ja) | 基礎データの変更がオブジェクトにどのように影響するかの判定方法およびプログラム記憶装置 | |
| EP1850231B1 (en) | Systems and methods of accessing information across distributed computing components | |
| JPH03196364A (ja) | 探索項構築の制御テーブルの導入方法 | |
| US7711752B2 (en) | Information processing apparatus, method of controlling information processing apparatus, computer program, and storage medium | |
| EP2169587B1 (en) | Method and rule-repository for generating security-definitions for heterogeneous systems | |
| Hitchens et al. | RBAC for XML document stores | |
| Brando | Comparing dce and corba | |
| US8131766B2 (en) | Comprehensive framework to integrate business logic into a repository | |
| Buraga | A model for accessing resources of the distributed file systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050517 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050812 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060322 |
|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20060322 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060403 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090407 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100407 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110407 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110407 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120407 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130407 Year of fee payment: 7 |
|
| LAPS | Cancellation because of no payment of annual fees |