[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2005339008A - アクセス制御方法およびプログラムと記録媒体 - Google Patents

アクセス制御方法およびプログラムと記録媒体 Download PDF

Info

Publication number
JP2005339008A
JP2005339008A JP2004154607A JP2004154607A JP2005339008A JP 2005339008 A JP2005339008 A JP 2005339008A JP 2004154607 A JP2004154607 A JP 2004154607A JP 2004154607 A JP2004154607 A JP 2004154607A JP 2005339008 A JP2005339008 A JP 2005339008A
Authority
JP
Japan
Prior art keywords
resource
access
permitted
hypertext
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004154607A
Other languages
English (en)
Inventor
Yoshito Oshima
嘉人 大嶋
Yoshiaki Nakajima
良彰 中嶋
Naoko Chiba
直子 千葉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004154607A priority Critical patent/JP2005339008A/ja
Publication of JP2005339008A publication Critical patent/JP2005339008A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Document Processing Apparatus (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】各リソース毎に対してアクセス制御情報を設定するという手間を軽減してアクセス権の管理を行う管理者の運用コストを低減する。
【解決手段】アクセス要求を受けたリソース管理装置は、当該アクセス要求がアクセス対象としているリソースの識別情報が、許可済みリソースリストに含まれるか否かによりアクセス許可の可否を判定する(ステップS209)。ステップS209にて不許可と判定された場合には、リソース管理装置1は、あらかじめ設定してあるアクセス制御情報のリストを元に当該アクセス要求によるアクセスを許可すべきか判定する(ステップS210)。そして、ステップS209、S210の少なくとも一方で許可と判定された場合、許可されたアクセス要求がアクセス対象としているハイパーテキストあるいはリソースを、取得あるいは生成する(ステップS211)。
【選択図】図2

Description

本発明は、情報システムにおいて保護すべき電子ファイルや機能あるいはサービスなどへの不正なアクセスを防御するアクセス制御方法に関するものであり、特に、他のリソースへのリンクを含むタグにより構造化されたハイパーテキストおよびハイパーテキストからリンクされる文書ファイルや画像ファイル等のリソースを管理するリソース管理装置において、管理されるリソースへのアクセスを制御するためのアクセス制御方法に関する。
ネットワークを介した情報流通やサービス提供の多くはWebあるいはWWW(World Wide Web)と呼ばれるシステム上で実現されている。Webシステムでは、IETF(Internet Engineering Task Force)のRFC(Request For Comment)やW3C(World Wide Web Consortium)の勧告で仕様化されているHTML(Hyper Text Markup Language)フォーマットで記述されるハイパーテキストの要求、返信、閲覧、操作が繰り返される事により、所望の情報の発見や商取引上の行為が達成される(例えば、非特許文献1、2参照。)。ハイパーテキストはタグによって構造化された文書であるため、見読性と機械処理性が両立されている事、また、ハイパーリンクあるいは単にリンクと呼ばれる他のリソース、すなわち、独立した他のハイパーテキスト等の文書ファイルや埋め込まれる画像ファイルなどへの参照を含むことが特徴的である。リンクにより参照されるリソースは、利用者の操作をきっかけに、あるいは利用者のハイパーテキスト閲覧ツールいわゆるブラウザの自動的な判断によって、その管理システムに要求され、返信され、処理され表示される。リンクにより、画像などの多様なマルチメディアリソースを内包する文書や、複数の独立した文書を結びつけた複合的な文書を構成することが容易であり、この事がWebシステム延いてはインターネットを代表とするコンピュータネットワークの普及を促したといえる。また、最近では、事前にハイパーテキストをファイルに用意しておくのではなく、アクセスを要求した利用者の資格や趣味嗜好などの属性情報に依存してさまざまなハイパーテキストを動的に生成して返却するシステムが広く使われている。これによりアクセスを要求した利用者に、より適切な情報やサービスを提供することが可能となっている。
ところで、企業内に存在する機密文書の伝達や、会員制サービスなど特定相手向けのサービスを提供する際には、適切な相手からのアクセス要求にのみ応じ、それ以外の要求は拒絶する、いわゆるアクセス制御を実践する必要がある。アクセス制御の方式に関しては、ロールベースアクセス制御を筆頭に、柔軟でかつ管理コストが改善された方式が数多く提案されている(例えば、非特許文献3参照。)。いずれの方式にも共通するのは、アクセスを要求する個々の利用者あるいは利用者が集合化された利用者グループと、保護対象である個々のリソースあるいはリソースが集合化されたリソースグループとの組み合わせに対して許可あるいは拒否を割り当てるアクセス制御情報を事前に管理者が用意しておき、アクセス要求を受信する都度、このアクセス制御情報を用いて当該アクセス要求によるアクセスの許可/不許可を判定するという点である。アクセス制御情報の構成・管理方法により、アクセス制御リスト方式とケーパビリティ方式とに大別されるが、いずれの場合にも、発生しうるあらゆるアクセス要求についてそのアクセスの拒否/許可を判定するためには、リソースあるいはそのグループの数に応じた、また、利用者あるいはそのグループの数に応じただけの情報量のアクセス制御情報を用意しておく必要がある。
ハイパーテキストからリンクにより参照され、このハイパーテキストに埋め込まれて表示されるリソース、あるいは、ハイパーテキストからリンクにより参照される別の文書として表示されるリソースは、全て元のハイパーテキストとは別のリソースとして扱われる。すなわち、1つのハイパーテキスト文書あるいは1揃いのハイパーテキスト文書群を利用者が表示し、利用する場合、それぞれのリソースに対するアクセスの要求が発生し、リソースの管理システムはそれぞれの要求に対するアクセス可否の判断を実施する必要がある。すなわち、ハイパーテキストを利用した情報やサービスの提供においては、非常に多くのアクセス制御情報の設定、管理とアクセス制御の実施が必要となる。
Internet Engineering Task Force、 Request For Comments: 1866 "Hypertext Markup Language - 2.0"、1995年 World Wide Web Consortium Recommendation "HTML 4.01 Specification"、 1999年 D.F. Ferraiolo and D.R. Kuhn "Role Based Access Control" 15th National Computer Security Conference"、1992年
上記従来技術では、保護すべきリソースの量の増大と共にあらかじめ用意すべきアクセス制御情報が膨大となり、特に多数のリソースを管理する管理者にかかる運用コストは無視しがたいものがある。また、通常ハイパーテキストに含めるリンクの設計は、ハイパーテキストの提供対象利用者に対し同様に提供すべきリソースへのリンクを含めるよう考慮してなされるが、これとは別個にアクセス制御情報を設計し設定しておく作業を必要とするのは、管理者にとって二度手間である。
また、上記の近年多く見られるような動的に、かつ、状況に依存してさまざまな内容で生成されるハイパーテキストを提供するシステムにおいては、動的に生成され得るすべてのハイパーテキストの内容を事前に厳密に把握し、それらさまざまな内容に応じたアクセス制御情報を事前に実施しておくことを要求し、管理者にとっては非常に困難かつ手間のかかる作業であった。
本発明は、係る問題点に鑑みてなされたものであり、ハイパーテキストならびにハイパーテキストからリンクにより参照され、関連を持つあるいは埋め込まれる、ハイパーテキストをはじめとする各種リソースのアクセス制御を実施する際に、アクセス権を適切にコントロールしつつ、各リソースに対するアクセス制御情報の設定の手間を軽減することによりアクセス権の管理を行う管理者の運用コストを低減することができるアクセス制御方法を提供することを目的とする。
上記目的を達成するために、本発明のアクセス制御方法は、他のリソースへのリンクを含むタグにより構造化されたハイパーテキストおよびハイパーテキストからリンクされるリソースを管理するリソース管理装置において、管理されるリソースへのアクセスを制御するためのアクセス制御方法であって、
利用者端末装置からのアクセス要求を受信すると、該アクセス要求がアクセス対象としているリソースの識別情報が、当該利用者に対してアクセスが許可されているリソースの識別情報が列挙された許可済みリソースリストに含まれるか否かを確認し、アクセス対象のリソースの識別情報が前記許可済みリソースリストに含まれている場合には、前記アクセス要求によるアクセスを許可と判定する許可済みリソース判定ステップと、
前記許可済みリソース判定ステップにおいて受信した前記アクセス要求が許可と判定された場合、許可された該アクセス要求がアクセス対象としているハイパーテキストあるいはリソースを、取得あるいは生成するリソース取得生成ステップと、
前記リソース取得生成ステップにより取得あるいは生成されたリソースがハイパーテキストであった場合、当該利用者端末からの次回以降のアクセスを許可するリンクを抽出するための条件が設定されている特定リンク抽出条件データを列挙した特定リンク抽出条件データリストを参照し、該特定リンク抽出条件データリストに含まれる1ないし複数の特定リンク抽出条件データのいずれかに合致するリンクを前記ハイパーテキストの中からすべて抽出し、該抽出された1ないし複数のリンクのそれぞれのリンク先となっているリソースの識別情報を前記許可済みリソースリストに追加する許可済みリソースリスト更新ステップと、
前記リソース取得生成ステップにおいて取得または生成されたリソースを前記アクセス要求を送信してきた利用者端末にアクセス応答として返信するアクセス応答返信ステップとを含むことを特徴とする。
本発明によれば、ハイパーテキストに備えられている他のリソースへのリンクを元にアクセス権を付与する際に、特定リンク抽出条件に合致した種別のリンクのみ抽出してアクセス権を認め許可済みリソースリストに追加して、次回のアクセスの際にはこの許可済みリソースリストに識別情報が列挙されているリソースについてはアクセス制御情報によらずにアクセスを許可するようにしている。従って、本発明によれば、過度にアクセス権を付与することなく、アクセス権限を適切にコントロールしたまま、管理者の運用コストを低下させることができる。
また、本発明の他のアクセス制御方法は、他のリソースへのリンクを含むタグにより構造化されたハイパーテキストならびにハイパーテキストからリンクされるリソースを管理するリソース管理装置において、管理されるリソースへのアクセスを制御するためのアクセス制御方法であって、
利用者端末装置からのアクセス要求を受信すると、該アクセス要求がアクセス対象としているリソースの識別情報が、当該利用者に対してアクセスが許可されているリソースの識別情報が列挙された許可済みリソースリストに含まれるか否かを確認し、アクセス対象のリソースの識別情報が前記許可済みリソースリストに含まれている場合には、前記アクセス要求によるアクセスを許可と判定する許可済みリソース判定ステップと、
前記許可済みリソース判定ステップにおいてアクセスを許可しないと判定された場合に、公開しているリソースと当該リソースに対するアクセスが許可されるアクセス者とを関連付けた情報であるアクセス制御情報に基づいて、前記アクセス要求によるアクセスを許可すべきか否かを判定するアクセス権限判定ステップと、
前記許可済みリソース判定ステップあるいは前記アクセス権限判定ステップの少なくとも一方で許可と判定された場合、許可された該アクセス要求がアクセス対象としているハイパーテキストあるいはリソースを、取得あるいは生成するリソース取得生成ステップと、
前記リソース取得生成ステップにより取得あるいは生成されたリソースがハイパーテキストであった場合、当該利用者端末からの次回以降のアクセスを許可するリンクを抽出するための条件が設定されている特定リンク抽出条件データを列挙した特定リンク抽出条件データリストを参照し、該特定リンク抽出条件データリストに含まれる1ないし複数の特定リンク抽出条件データのいずれかに合致するリンクを前記ハイパーテキストの中からすべて抽出し、該抽出された1ないし複数のリンクのそれぞれのリンク先となっているリソースの識別情報を前記許可済みリソースリストに追加する許可済みリソースリスト更新ステップと、
前記リソース取得生成ステップにおいて取得または生成されたリソースを前記アクセス要求を送信してきた利用者端末にアクセス応答として返信するアクセス応答返信ステップとを含むことを特徴とする。
本発明では、許可済みリソースリストを用いた許可済みリソース判定ステップと、アクセス制御情報を用いたアクセス権限判定ステップとを行い、許可済みリソース判定ステップあるいはアクセス権限判定ステップの少なくとも一方で許可と判定された場合、アクセス要求を許可するようにしている。従って、本発明によれば、過度にアクセス権を付与することなく、アクセス権限を適切にコントロールしたまま、管理者の運用コストを低下させることができるとともに、ハイパーテキストに備えられている他のリソースへのリンクを利用してアクセスの可否を判定するため、あらかじめ用意しておかなければならないアクセス制御情報の量が大幅に小さくなり、また、構造が簡素化されるため、アクセス権の管理を行う管理者の運用コストを低下させることができる。
さらに、本発明の他のアクセス制御方法は、他のリソースへのリンクを含むタグにより構造化されたハイパーテキストならびにハイパーテキストからリンクされるリソースを管理するリソース管理装置において、管理されるリソースへのアクセスを制御するためのアクセス制御方法であって、
利用者端末装置からのアクセス要求を受信すると、該アクセス要求がアクセス対象としているリソースが、公開しているリソースと当該リソースに対するアクセスが許可されるアクセス者とを関連付けた情報であるアクセス制御情報に登録されているか否かを判定するアクセス制御情報確認ステップと、
前記アクセス制御情報確認ステップにおいて前記アクセス要求がアクセス対象としているリソースがアクセス制御情報に登録されていると判定された場合には、前記アクセス制御情報に基づいて、前記アクセス要求によるアクセスを許可すべきか否かを判定するアクセス権限判定ステップと、
前記アクセス制御情報確認ステップにおいて前記アクセス要求がアクセス対象としているリソースがアクセス制御情報に登録されていないと判定された場合には、前記アクセス要求がアクセス対象としているリソースの識別情報が、当該利用者に対してアクセスが許可されているリソースの識別情報が列挙された許可済みリソースリストに含まれるか否かを確認し、アクセス対象のリソースの識別情報が前記許可済みリソースリストに含まれている場合には、前記アクセス要求によるアクセスを許可と判定する許可済みリソース判定ステップと、
前記許可済みリソース判定ステップあるいは前記アクセス権限判定ステップの少なくとも一方で許可と判定された場合、許可された該アクセス要求がアクセス対象としているハイパーテキストあるいはリソースを、取得あるいは生成するリソース取得生成ステップと、
前記リソース取得生成ステップにより取得あるいは生成されたリソースがハイパーテキストであった場合、当該利用者端末からの次回以降のアクセスを許可するリンクを抽出するための条件が設定されている特定リンク抽出条件データを列挙した特定リンク抽出条件データリストを参照し、該特定リンク抽出条件データリストに含まれる1ないし複数の特定リンク抽出条件データのいずれかに合致するリンクを前記ハイパーテキストの中からすべて抽出し、該抽出された1ないし複数のリンクのそれぞれのリンク先となっているリソースの識別情報を前記許可済みリソースリストに追加する許可済みリソースリスト更新ステップと、
前記リソース取得生成ステップにおいて取得または生成されたリソースを前記アクセス要求を送信してきた利用者端末にアクセス応答として返信するアクセス応答返信ステップとを含むことを特徴とする。
本発明は、アクセス制御情報確認ステップにおいてアクセス対象のリソースの識別情報がアクセス制御情報に登録されているか否かを確認し、登録されている場合には、アクセス制御情報によるアクセス可否の判定を行い、登録されていない場合には、許可済みリソースリストによるアクセス可否の判定を行うようにしている。従って、明示的にアクセス制御情報が設定してあるリソースについては、許可済みリソースリストによらずに、アクセス制御情報の設定内容によってのみアクセス可否の判定が行われ、アクセス制御情報に記載されているアクセス許可の指示を越えたアクセス権の付与が行われないので、高いセキュリティを確保することが可能となる。
以上説明したように、本発明によれば、下記のような効果を得ることができる。
(1)ハイパーテキストに備えられている他のリソースへのリンクを利用してアクセスの可否を判定するため、あらかじめ用意しておかなければならないアクセス制御情報の量が大幅に小さくなり、また、構造が簡素化されるため、アクセス権の管理を行う管理者の運用コストを低下させることができる。
(2)ハイパーテキストに備えられている他のリソースへのリンクを元にアクセス権を付与する際に、特定リンク抽出条件に合致した種別のリンクのみ抽出してアクセス権を認めることから、過度にアクセス権を付与することなく、アクセス権限を適切にコントロールしたまま、管理者の運用コストを低下させることができる。
(3)コメントタグに含まれるキーワードを元にリンクを抽出してアクセス権を付与することができる。これにより、ハイパーテキストのレイアウトになんら制約を課されること無く、所望のアクセス権の付与を動的に実践することが可能となる。
(4)ハイパーテキストからのリンクの抽出を、事前にではなくアクセス制御の際に動的に実施するため、アクセスの要求に応じて動的にリソースを生成するシステムにそのまま適用し、前述の効果を得ることができる。また、利用者とのセッション毎にアクセス権を管理することから、不適切な利用者に対してアクセス権を付与することなく適切なアクセス制御を実施することができる。
(5)ハイパーテキストから抽出したリンクに基づき付与されたアクセス権が行使される際に、あらかじめ設定されている有効期間を元に該アクセス権の有効性を判定する。これにより、時間経過と共に上昇する通信セッションのハイジャックのリスクに対抗し、アクセス制御を適切に維持することができる。
(6)アクセス権の付与のためにリンクを抽出する際に、抽出元となるハイパーテキストを、事前に管理者により登録されているものに限ること、あるいは、抽出元となるハイパーテキストを、その生成者あるいは配備者が事前に管理者により信頼され、登録されているものに限ることにより、多数のユーザが1つのリソース管理装置を共同利用する際に、他のユーザの悪意や過失による過度のアクセス権の付与を防止する。すなわち、複数のユーザが共同利用するリソース管理システムにおいても上述のような効果を得ることができる。
(7)アクセス制御情報が設定されているリソースについては、他のハイパーテキストからのリンクによるアクセス権の付与と認定は行わずに、厳に該アクセス制御情報のみに基づいてアクセス可否の判定を行う。これにより、リンクに基づく動的でかつ柔軟なアクセス権の付与と、明示的なアクセス制御情報に基づく厳格なアクセス権の付与の使い分けが可能であり、管理者のポリシに応じたさまざまなアクセス制御方法を実践することができる。
以下図面を用いて本発明の実施の形態について詳細に説明する。
(第1の実施形態)
図1は本発明の第1の実施形態のアクセス制御方法を実施するハイパーテキスト文書閲覧システムの構成例を示している。本実施形態におけるハイパーテキスト文書閲覧システムは保護されるべきハイパーテキスト、画像ファイル、文書ファイルなどのリソースを管理するリソース管理装置1と、このリソース管理装置1に対しリソースのアクセスを要求し取得する複数の利用者端末装置2からなる。リソース管理装置1と利用者端末装置2とは通信ネットワーク3により接続され、相互に通信可能である。
利用者端末装置2にはハイパーテキスト閲覧ツールとして、Microsoft(登録商標)社のInternet Explorer(登録商標)等のいわゆるWebブラウザが搭載されており、利用者端末装置2の利用者は閲覧ツールの操作あるいは閲覧ツールによる自動的な動作によりリソース管理装置1に対してHTTP(Hyper Text Transfer Protocol)に則ったリクエストを送信し、これをもってリソース管理装置1上のリソースへのアクセスを要求する。
リソース管理装置1はHTTPのリクエストを受信すると、このリクエストが指し示すリソースの提供可否すなわちこのリクエストが示すアクセスを許可すべきか判定し、許可と判定された場合にはHTTPのレスポンスとして該当するリソースを返却し、不許可と判定された場合には、アクセスを拒絶する旨のHTTPレスポンスを返却する。
本実施形態では、リソース管理装置1のホスト名をserverAとし、リソース管理装置1は通信ポート80番にてHTTPのリクエストを受け付けるものとする。リソース管理装置1にて管理され、当該リソース管理装置1の内部において"/example.html"で識別されるリソースは、グローバルな識別子すなわちURI(Uniform Resource Identifier)としてhttp://serverA:80/example.htmlあるいは、http://serverA/example.htmlを持つ。利用者端末装置2の利用者がhttp://serverA:80/example.htmlに対する参照要求を指示した場合、閲覧ツールあるいはその配下のライブラリ等のプログラムにより、serverAのポート80番に"GET /example.html" というHTTPリクエストが送信されることとなる。
なお、本実施形態では、ハイパーテキストとしてHTML形式で記述されたテキストファイルを使用し、その送受信のプロトコルとしてHTTPを使用して本発明の説明を行うが、本発明はこれら形式およびプロトコルに制限されるものではない。また、1つのリソース管理装置1において複数のポートを介してリソースへのアクセスを受け付けるようシステムを構成しても良い。この場合、それぞれのポート毎に仮想的に異なるリソース管理装置が存在するとしてシステムを構成しても良いし、1つのリソース管理装置上で、リソースをポート毎に分けて識別するとしてシステムを構成しても良い。
本実施形態によるアクセス制御方法では、リソース管理装置1においてリソースの提供を制御しようとする管理者はあらかじめ、リソースに対応するファイルあるいはリソースを動的に生成するリソース生成プログラムを準備して配備し、これらリソースに対するアクセス制御情報を設定する。ここで、アクセス制御情報とは、公開しているリソースと当該リソースに対するアクセスが許可あれるアクセス者とを関連付けた情報である。つまり、アクセス制御情報を参照することにより、アクセス要求を行ってきたアクセス者が、アクセス対象のリソースに対してアクセスする権限を有しているか否かを判定することができるようになっている。さらに、本実施形態におけるアクセス制御方法では、利用者に提供するハイパーテキストに現れるリンクのうち、リンク元のハイパーテキストに対するアクセスを許可したアクセス者に対してはアクセス制御情報に依存せずにそのアクセスを許可とするリソースへのリンクの種別に対応する特定リンク抽出条件データを1つないしは複数設定しておく。特定リンク抽出条件データとは、利用者端末からの次回以降のアクセスを許可するリンクを抽出するための条件が設定されているデータであり、この特定リンク抽出条件データを1ないし複数含んだリストは特定リンク抽出条件データリストと呼ばれる。リソース生成プログラムは、CGI(Common Gateway Interface)やJSP(Java Server Pages)、あるいはASP(Active Server Pages)やサーブレット(Servlet)などの方式を用いて実現することができる。
次に、本実施形態によるアクセス制御方法における、アクセス要求を受信した際の処理の流れを、図2を用いて説明する。
ステップS201で利用者端末装置2からのアクセス要求を受信したリソース管理装置1は、ステップS202でこのアクセス要求がアクセス対象とするリソースの識別情報を、受信したアクセス要求から抽出して非保護対象リソース情報と照合し、合致した場合にはこのリソースを非保護対象リソースであると判定する。非保護対象リソースであると判定された場合には、リソース管理装置1は、当該アクセス要求によるアクセスを無条件に許可と判定し、ステップS203でこの識別情報に対応するリソースをファイルシステムから取得するかあるいはリソース生成プログラムにより生成し、ステップS214で当該リソースを返信する。
ステップS202にて該アクセス要求がアクセス対象とするリソースが非保護対象リソースではない、すなわち保護対象リソースであると判定された場合には、リソース管理装置1は、ステップS204にて、セッション管理情報を参照しアクセス要求を送信した利用者端末装置2との間で通信セッションが既に確立されているかを判定する(セッション確認ステップ)。セッションが確立されている場合にはステップS208に進む。
セッションが確立されていない場合には、リソース管理装置1は、新規に通信セッションを生成するため、ステップS205にて利用者端末装置2の利用者の認証を行い、この利用者のIDや属性、例えば利用者が所属するグループの名称などを取得する(利用者認証ステップ)。利用者の認証方法としては、パスワード、公開鍵暗号に基づく認証、PKI(Public Key Infrastructure:公開鍵暗号基盤)を利用した認証など任意の認証機構を利用できる。利用者の属性の取得方法としては、利用者のIDを検索キーとしてリソース管理装置1が保持する利用者情報データベースから取得する方法や、属性証明書を用いた属性認証により取得する方法などを採用することが可能である。
その後、ステップS206にて利用者の認証に成功したか否かを判定し、失敗であった場合、リソース管理装置1は、当該アクセス要求によるアクセスを不許可と判定し、S215に進んでアクセスの拒絶を表す応答を利用者端末装置2に返信する。
ステップS206において利用者認証に成功した場合、リソース管理装置1は、ステップS207に進み、当該利用者端末装置2との間の通信セッションに関する情報を記録するセッション情報を生成し、セッション管理情報に追加してステップS210に進む。新規に生成されたセッション情報には、当該セッションのIDと共に、通信相手の利用者のID、利用者の確認済みの属性および空の許可済みリソースリストが含まれる。ここで、許可済みリソースリストとは、アクセス要求してきた該利用者に対してアクセスが許可されているリソースの識別情報が列挙されたリストである。なお、通信セッションの維持および確認は、セッションIDを含む情報をクッキーと呼ばれるデータ片に格納して利用者端末装置2に送信し、その後、利用者端末装置2から受信したアクセス要求に添付されているこのクッキーの内容がリソース管理装置1で記憶しているセッション管理情報に含まれるセッション情報の中のセッションIDと合致するかを確認することなどによって実現可能である。さらに、リソース管理装置1は、セッション情報にセッションが確立された日時を合わせて管理しておき、ステップS204にてセッション確立の有無を判定する際に、あらかじめ定められたセッションの有効期間を超えていないかを確認し、超えていた場合にはステップS205にて再度利用者の認証を行う、いわゆるタイムアウトによる再認証を実施するよう構成しても良い。
ステップS204にてセッションが確立済みであることが確認された場合、リソース管理装置1は、ステップS208にて当該セッションに対応するセッション情報を取得してステップS209に進む。ステップS209では、リソース管理装置1は、当該アクセス要求がアクセス対象としているリソースの識別情報が、該セッションに対応するセッション情報の許可済みリソースリストに含まれるかを検証する(許可済みリソース判定ステップ)。アクセス対象のリソースの識別情報が許可済みリソースリストに含まれている場合には、リソース管理装置1は、このアクセス要求によるアクセスを許可と判定してステップS211に進み、含まれていなかった場合には不許可と判定してステップS210に進む。
ステップS210では、リソース管理装置1は、あらかじめ設定してあるアクセス制御情報のリストを元に当該アクセス要求によるアクセスを許可すべきか判定する(アクセス権限判定ステップ)。不許可と判定された場合にはステップS215に進み、アクセス拒絶を表す応答を利用者端末装置2に返信する。許可と判定された場合にはステップS211に進む。
ステップS211では、アクセス要求が指し示すアクセス対象のリソースの識別情報に対応するファイルをファイルシステムから取得するか、あるいはこの識別情報に対応するリソース生成プログラムに対して適宜パラメータを与えて動的にリソースを生成して取得する(リソース取得生成ステップ)。
次にステップS212で、ステップS211で生成または取得されたリソースがハイパーテキストであるか否かが判定される。ステップS211で生成または取得されたリソースがハイパーテキストであると判定された場合にはステップS213に進み、ハイパーテキストではないと判定された場合はステップS214に進む。
ステップS213では、着目している該ハイパーテキストの内容から、あらかじめ設定されている1ないし複数の特定リンク抽出条件データのいずれかに合致するリンクをすべて抽出し、抽出された1ないし複数のリンクのそれぞれのリンク先となっているリソースの識別情報を許可済みリソースリストに追加し、ステップS214に進む(許可済みリソースリスト更新ステップ)。
なお、この許可済みリソースリスト更新ステップでは、利用者端末装置2からのアクセス要求がアクセス対象としているリソースの識別情報も許可済みリソースリストに追加するようにしてもよい。
また、アクセス許可の判断の有効期間を許可判断からの経過時間により表す許可判断有効時間をあらかじめ設定するようにしてもよい(有効時間設定ステップ)。この場合には、許可済みリソースリスト更新ステップにおいて、リソースの識別情報と、この識別情報の登録日時を対にして許可済みリソースリストに追加するようにし、許可済みリソース判定ステップでは、利用者端末装置2からのアクセス要求がアクセス対象としているリソースの識別情報に対するアクセス要求を許可するか否かの判定の際に、この識別情報の登録日時からの経過時間が許可判断有効時間を越えていない場合にのみアクセス要求によるアクセスを許可と判定するようにすればよい。そして、登録日時からの経過時間が許可判断有効時間を越えているリソースの識別情報を許可済みリソースリストから削除するようにしてもよい(有効期限切れ許可済みリソース削除ステップ)。
本実施形態では、許可済みリソース判定ステップ(ステップS209)あるいはアクセス権限判定ステップ(ステップS210)の少なくとも一方で許可と判定された場合に、許可されたアクセス要求がアクセス対象としているハイパーテキスト等のリソース取得あるいは生成するようにしている。
なお、ステップS213においては、抽出されたリソースの識別情報だけでなく、これに加えて、今まさに処理の対象としているリソースの識別情報を許可済みリソースリストに追加しても良い。この場合、同一のリソースに対してアクセスの要求が発生した場合に、アクセス制御情報を元にしたアクセス許可の判定などといった処理コストが高い方法ではなく、より効率的にアクセス許可の判定を行うことができる。
また、ステップS211とステップS212およびステップS213を同一のステップで実現するようにシステムを構成しても良い。これは、ステップS211が動的にリソースを生成する場合において特に処理の効率を高める効果がある。
最後に、ステップS214では、ステップS211にて生成あるいは取得されたリソースをアクセス要求の送信元である利用者端末装置2にアクセス応答として返信する(アクセス応答返信ステップ)。
以下では、本実施形態のアクセス制御方法について具体例を用いて詳細に説明する。
図3は本発明の具体的な実施形態においてリソース管理装置1にて管理されるリソースの一部を示す。これらは、リソース管理装置1上でのリソースの識別情報あるいはその正規表現である。識別情報32はアクセス要求に応じてリソース生成プログラムによって動的に生成されるリソースである。このリソース生成プログラムは、アクセスを要求した利用者の所属グループ属性の値に応じて異なるハイパーテキストを生成するものとする。
識別情報31に対応するリソースはファイルとして事前に生成され配備されたハイパーテキスト40である。その内容を図4に示す。当該ハイパーテキスト40は、識別情報"/public/img/title.gif"のリソースへのリンクを含む要素名IMGのタグ41と、識別情報"/member.jsp"のリソースへのリンクを含む要素Aのタグ42と、識別情報"/public/index.html"のリソースへのリンクを含む要素名Aのタグ43を含んでいる。要素名IMGのタグ41は画像リソース"/public/img/title.gif"をハイパーテキスト40に埋め込こんで表示することを閲覧ツールに指示している。要素Aのタグ42とタグ43は、それぞれに対応するハイパーテキスト"/member.jsp"、"/public/index.html"へのハイパーリンクを表示し、利用者の該当部分へのクリックに応じてそれぞれのハイパーテキスト文書に画面を遷移させるよう動作することを閲覧ツールに指示している。
また、識別情報33、34、35に対応するリソースは事前に生成され配備された画像ファイルであり、識別情報36に対応するリソースは事前に生成され所定の位置に配備されたハイパーテキストである。
なお、本実施形態ではリソースをそのロケーション情報のみで識別するため、ロケーション情報をリソースの識別情報としているが、リソースへのアクセス方法、たとえばHTTPプロトコルであれば、GET、POST、HEADなどの各別に識別しても良く、これらロケーション情報とアクセス種別の組をリソースの識別情報として用いても良い。
図5(a)は本実施形態におけるアクセス制御情報50の設定例を示している。各行が、リソースあるいはリソースの集合に対する1つのアクセス制御情報を表す。列51はアクセス制御情報が対象とするリソースの識別情報あるいはその正規表現を表し、列52は列51に対応する1ないし複数のリソースへのアクセスを許可すべき利用者の属性を表す。
アクセス制御情報53は、識別情報"/member.jsp"を有するリソースへのアクセスを、認証された任意の利用者に対して許可することを意味し、アクセス制御情報54は、識別情報"/img/imageGold.png"を有するリソースへのアクセスを、ランク属性の値が"GOLD"であるような利用者に対してのみ許可することを意味する。また、アクセス制御情報55は、識別情報"/limited/map.class"を有するリソースへのアクセスは、グループ属性の値が"GROUP-A"あるいは"GROUP-B"である利用者に対してのみを許可することを意味する。本実施形態におけるアクセス制御情報を用いたアクセス権限確認は、原則拒否として行われ、当該アクセス制御情報に掲載されていないリソースと許可対象利用者の組については、拒否と判定するものとする。
なお、本実施形態では、アクセス制御情報として、いわゆるアクセス制御リスト(ACL)にグループの概念を適用した構造のデータを用いているが、他のACL形式のアクセス制御情報を用いても、ケーパビリティのようにアクセス者すなわちサブジェクトに着目してこのサブジェクトに対して許可されるリソースあるいはリソースとアクセス種別の組を列挙する形態のアクセス制御情報を用いても、また、OASIS(Organization for the Advancement of Structured Information Standards)で規定されているXACML(eXtensible Access Control Markup Language)のようにポリシベースのアクセス制御情報を用いても良く、その違いは本発明の効果に影響しない。
また、本実施形態のアクセス制御方法によれば、管理するリソースのうち、管理する他のハイパーテキストからリンクされるリソースについては、アクセス制御情報に依存せずにアクセスの可否を判定することが可能であるため、管理するすべてのリソースに関するアクセス制御情報を設定する必要はない。すなわち、一般的にデータ量が多くかつ複雑になりやすいアクセス制御情報が少ないデータ量でかつ単純な構造で実現でき、よって、アクセス制御情報の設定や維持に必要となる管理者の手間を低減することができる。
例えば、分量の多い文書を複数の文書に分割し順序だてて提供するといった形態が良く見られるが、そのような場合には、後続のページに対応するハイパーテキストへのハイパーリンクが許可済みリソース判定ステップで抽出されるよう、特定リンク抽出条件データならびに前記最初のページに対応するハイパーテキストを記述することで、最初のページに対応するハイパーテキストに関するアクセス制御情報のみを設定すればよいことになる。なぜなら、最初のページへのアクセスが許可された利用者は、この最初のページを取得する際に後続のページの識別情報が許可済みリソースリストに登録され、これにより、これら後続のページにアクセスした際にアクセス制御情報の有無や設定内容に依らずにアクセスが自動的に許可されるからである。
図5(b)は任意の利用者に対して提供するリソースに関する設定情報である非保護対象リソース情報56の設定内容の例である。非保護対象リソース情報56は任意の利用者に対して提供するリソースの識別情報あるいはその正規表現が列挙される。非保護対象リソース情報56の1行目は識別情報"/index.html"を有するリソースを指し、2行目は識別情報正規表現"/public/*"に合致するリソースを指す。非保護対象リソース情報56で指し示されるリソースは、アクセスを要求した任意の利用者に対して、利用者の認証すら行わずにそのアクセスが許可される。なお、任意の利用者に対してアクセスを許可したいリソースがある場合には、非保護対象リソース情報56を導入、設定せずとも、該リソースに関するアクセス制御情報を任意の利用者に対してアクセスを許可するよう設定しておくことで同様のアクセス可否判定結果は得られるが、本実施形態では、処理効率の向上をはかるために別に管理することとしている。
図6は本実施形態における特定リンク抽出条件データリスト60の設定例を示している。各行が、1つの特定リンク抽出条件データである。列61は抽出の候補となるタグの要素名を示している。列62は、抽出の候補となるタグに対する、このタグが有する属性に関する条件を属性名と属性値の対で示している。また、列63は属性値に関する条件が満たされた場合に、リンクを抽出すべき当該タグ内の属性の属性名を示している。例えば、特定リンク抽出条件データ65は、その"type"属性の値が"image/gif"であるような要素名OBJECTのタグの、"data"属性で示されるリンクが抽出されることを意味する。この場合、要素名がOBJECTであっても、その"type"属性の値が"image/jpg"であるなど、上述した"image/gif"と異なる値である場合には、当該タグからリンクは抽出されない。
特定リンク抽出条件データ64のように、列62の属性値条件が空欄の場合は、特段の条件が無い事を示す。すなわち、要素名がIMGであるタグの"src"属性あるいは"longdesc"属性の値で示されるリンクは無条件に抽出されることを意味する。特定リンク抽出条件データ66から特定リンク抽出条件データ68についても同様である。
このように特定リンク抽出条件データが、ハイパーテキストを構成するタグの要素名と、当該タグが有し得る属性のうち1つの属性の属性名の対で構成されている場合には、許可済みリソースリスト更新ステップでは、リソース取得生成ステップにより取得あるいは生成されたハイパーテキストの中のタグから、特定リンク抽出条件データが指す要素名と同一の要素名のタグを選択し、選択したそのタグにリンク抽出条件データが指す属性名の属性値が含まれている場合、この属性値に含まれるリソースの識別情報を抽出して許可済みリソースリストに追加するようにする。
そして、特定リンク抽出条件データが、ハイパーテキストを構成するタグの要素名と、当該タグが有しうる属性のうち第1の属性の属性名と該第1の属性の属性値に関する条件式と、当該タグが有しうる属性のうち第2の属性の属性名とで構成されている場合には、許可済みリソースリスト更新ステップでは、リソース取得生成ステップにより取得あるいは生成されたハイパーテキストの中のタグから、特定リンク抽出条件データが指す要素名と同一の要素名のタグを選択し、選択した該タグに特定リンク抽出条件データが指す第1の属性名を持つ属性値が含まれ、かつ、この属性値が特定リンク抽出条件データが指す条件式に合致する場合、特定リンク抽出条件データが指す第2の属性名を持つ属性値に含まれるリソースの識別情報を抽出して許可済みリソースリストに追加するようにする。
さらに、特定リンク抽出条件データが文字列である場合には、許可済みリソースリスト更新ステップでは、リソース取得生成ステップにより取得あるいは生成されたハイパーテキストの中のタグから、特定リンク抽出条件データが指す文字列を含むコメントタグの直後に出現するタグに含まれる他のリソースへのリンクを意味する属性の属性値に含まれるリソースの識別情報を抽出して許可済みリソースリストに追加するようにする。この場合、抽出した識別情報を許可済みリソースリストに追加した後に、ハイパーテキストに含まれるコメントタグを削除するようにしてもよい。
図6では、特定リンク抽出条件データリストの設定例を示したが、以下では管理するリソース群の態様および当該リソース群に対して管理者が望むアクセス制御の規則と、管理者が当該リソース群に配置すべきハイパーリンクおよび設定すべき特定リンク抽出条件データとの関連について詳しく説明する。ただし、以下は代表的な場合を示すものであって、これら以外のリソース群の態様と、当該リソース群に対して管理者が望むアクセス制御の規則の対についても、本発明によるアクセス制御方式が適用可能な場合がある。
<一続きの複数の文書ファイルからなる長大文書の例>
分量の多い文書を利用者に公開する場合、当該文書を複数の文書ファイルに分割し、かつ、各文書ファイルの内部に後続の文書ファイルへのハイパーリンクを記述しておく事で、これらを順序だてて一続きの文書として提供するといった形態がとられる。後続の文書ファイルへのハイパーリンクの記述とは、具体的には図7に示すように、要素名がAであり、リンク属性"href"が後続の文書ファイルの識別情報であるようなタグを記述することを意味する。例えば、先頭の文書ファイル110Aの末尾には、次の文書ファイル112Aの識別情報をリンク属性"href"の値とした要素名がAのタグ111Aが記述される。これ以降の文書ファイルについても同様である。利用者は、各文書ファイルにアクセスし、これを参照した後、各文書ファイルに用意されているハイパーリンクをたどって後続の文書ファイルへのアクセスを要求し、参照することになる。
文書の管理者が、当該文書の全体を統一的な規則でアクセス制限したい場合、つまり、アクセスする権限の管理を個々の分割された文書ファイルごとではなく、一続きの文書全体で行いたい場合には、従来のアクセス制御方式では、これら分割された複数の文書ファイルの1つ1つに対して、同様のアクセス制御情報を記述する必要があった。もしくは、複数の文書ファイルを同一のフォルダに配置し、当該フォルダに対するアクセス制御情報を記述することで、アクセス制御情報の分量を減らすことはできるが、フォルダを共通化しなくてはならない、あるいは、当該フォルダに他の文書ファイルを置く事ができないなど、文書の生成、準備に対して大きな制約を与えることになる。
これに対し、本実施形態によるアクセス制御方法では、管理者は、先頭の文書ファイルに対してのみアクセス制御情報を記述しておき、図8に示すように、後続の文書ファイルへのハイパーリンク、すなわち、要素名がAであるようなタグから、リンク属性"href"の値を抽出する特定リンク抽出条件データ125Aを記述しておくだけで良い。このように設定しておくことで、先頭の文書ファイルへのアクセスが許可されている利用者は、この先頭の文書ファイルを取得する際に、後続の文書ファイルの識別情報が許可済みリソースリストに登録され、後続の文書ファイルへのアクセスを行った際には、自動的にアクセスが許可され、参照可能となる。各文書ファイルのファイル名称や配置フォルダに対する制約も存在しない。
なお、上記のような一続きの文書を構成する文書ファイルの中に、他の独立した文書へのハイパーリンクを含む場合で、かつ、当該独立文書へのアクセスの制御は、元の文書に関するアクセスの可否とは独立に行いたい場合には、図9に示すように、後続の文書へのハイパーリンクを、当該タグのリンク属性"rel"の値を"Next"に設定することで、「後続の文書へのリンクである」ことを明示的に記述し、かつ、設定する特定リンク抽出条件データを、図10の特定リンク抽出条件データ125Bに示すように、「後続の文書ファイルへのハイパーリンク」、すなわち、要素名がAであって、かつ、リンク属性"rel"の値が"Next"であるようなタグのみからリンク属性"href"の値を抽出するように設定しておく事で実現できる。
<埋め込み画像を含むマルチメディア文書の例>
次に、文書中に埋め込み画像を含むマルチメディア文書に関する例を挙げる。
文書への画像の埋め込みは、図11に示すように、埋め込み元の文書ファイルの埋め込みたい所定の位置に、要素名がIMGであり、リンク属性"src"が埋め込まれる画像ファイルの識別情報であるようなタグを記述することを意味する。例えば、文書ファイル116には、埋め込まれて表示されるべき画像の画像ファイルの識別情報をリンク属性"src"の値とした要素名がIMGのタグ117が記述される。利用者が埋め込み元の文書ファイルにアクセスし、これを参照した際、多くのブラウザは、画像埋め込みを示すハイパーリンクを検出し自動的に当該画像ファイルへのアクセスを要求し、取得し、これを埋め込み元文書の所定の位置に埋め込んで利用者に対して表示することになる。
文書の管理者が、文書を、そこに埋め込まれる画像も含めて統一的な規則でアクセス制限したい場合、つまり、文書の参照が許される利用者には、当該文書に埋め込まれている画像の参照も許すように制御したい場合には、従来のアクセス制御方式では、文書ファイルと埋め込まれる画像ファイルそれぞれに対して、同様のアクセス制御情報を記述する必要があった。
これに対し、本実施形態によるアクセス制御方法では、管理者は、文書ファイルに対してのみアクセス制御情報を記述しておき、図12に示すように、埋め込まれる画像ファイルへのハイパーリンク、すなわち、要素名がIMGであるようなタグから、リンク属性"src"の値を抽出する特定リンク抽出条件データ125Cを記述しておくだけで良い。このように設定しておくことで、文書ファイルへのアクセスが許可されている利用者は、この文書ファイルを取得する際に、埋め込まれる画像ファイルの識別情報が許可済みリソースリストに登録され、当該埋め込み画像ファイルへのアクセスを行った際には、自動的にアクセスが許可され、参照可能となる。
本実施形態では上述のように特定リンク抽出条件データを抽出の候補となるタグの要素名と当該タグが有する属性の値に関する条件とリンクを抽出すべき属性の属性名の組で表現したが、属性の値に関する条件を付与しない構成も可能である。これは、特定リンク抽出条件データリスト60の形態で用意した特定リンク抽出条件データにおいて、属性値条件の欄をすべて空白にしておくのと同等である。
また、特定リンク抽出条件データは、抽出すべきリンクを含むタグの直前に配置されるコメントタグに含まれるキーワードを記述する方法で指定することも可能である。この場合、後述するリンクの抽出の際には、特定リンク抽出条件データで記述されているキーワードを含むコメントタグの直後に現れる、任意のタグの中のリンクを表す属性の属性値が抽出される。コメントタグは、これを含むハイパーテキストの閲覧ツールによる表示内容に影響を与えないことから、ハイパーテキストのレイアウトになんら制約をおくことなく、任意のリンクを抽出対象とすることができる。なお、リンクを抽出した後で、このハイパーテキストからコメントタグを削除するようにシステムを構成しても良い。こうすることによって、コメントタグを元にアクセス権が付与されたこと、また、どのようなキーワードを含むコメントタグがアクセス権の付与に利用されるのかを、利用者端末装置2の利用者に対して隠蔽する事ができる。
さらに、これら複数の形態の特定リンク抽出条件データを任意の組み合わせで適用しても良い。
なお、管理者によるリソースあるいはリソース生成プログラムの準備と、特定リンク抽出条件データの設定は、順序が前後してもよいし、また、同時並行的に行われてもよい。すなわち、準備したリソース内のリンクの様相あるいは準備したプログラムによって生成されるリソース内に現れるはずのリンクの様相と、管理者の考えるアクセス制御のポリシに応じて特定リンク抽出条件データを設定してもよいし、先に設定してある特定リンク抽出条件データに応じてリソースあるいはリソースを生成するプログラムを生成あるいは修正してもよい。
後者のような手順では、個々のリソースの様相に依存せずに特定リンク抽出条件データに設定されることになるが、そのような特定リンク抽出条件データとしては、参照元のハイパーテキストの内部に埋め込まれるタイプのリンクに対応するタグとその属性、すなわち、IMGタグのsrc属性や、BODYタグのbackground属性などが広く用いられうると考えられる。
また、コメントタグに含まれるキーワードにより特定リンク抽出条件データを構成する場合には、この特定リンク抽出条件データ、すなわち特別なコメント文字列を先に設定しておき、その後にリソースあるいはリソースを生成するプログラムを、特定のリンクの前段に前記特別なコメント文字列を含むコメントタグを配置するようにして用意するといった運用形態が一般的であると考えられる。
つづいて、利用者端末装置2からアクセス要求を受信した際のリソース管理装置1における処理について、利用者端末装置2とリソース管理装置1との間の通信の概略を示す図13を用いて、具体的な事例を元に詳細に説明する。
利用者端末装置2の利用者が閲覧ツールを操作する事によって送信されたアクセス要求M701をリソース管理装置1が受信するところから、リソース管理装置1におけるアクセス制御の処理が開始される。
ステップS201でアクセス要求M701を受信したリソース管理装置1は、該アクセス要求M701からアクセス対象のリソースの識別情報"/index.html"を抽出して非保護対象リソース情報56と照合し、非保護対象リソースであるかを確認する(ステップS202)。この例の場合、該リソースの識別情報"/index.html"が非保護対象リソース情報56の1行目に一致するため非保護対象リソースと判定される。よって、該識別情報"/index.html"に対応するリソース、すなわちハイパーテキスト40をファイルシステムから取得し(ステップS203)、当該リソースをアクセス応答M702として利用者端末装置2に返信する(ステップS214)。
利用者端末装置2に返信されたアクセス応答M702を受け取った閲覧ツールはアクセス応答M702からハイパーテキスト40を取得してこれを解析し、その内容に応じた表示を利用者端末装置2に設置された画面に出力する。ハイパーテキスト40には埋め込み画像"/public/img/title.gif"へのリンクを意味するIMGタグ41が含まれるため、この閲覧ツールは利用者の操作に依らずに、リソース"/public/img/title.gif"に対するアクセス要求M703を送信する。
アクセス要求M703を受信したリソース管理装置1は、このアクセス要求M703からアクセス対象のリソースの識別情報"/public/img/title.gif"を抽出し、非保護対象リソースであるかを確認する(ステップS202)。この例の場合、該識別情報"/public/img/title.gif"は非保護対象リソース情報56の2行目"/public/*"に合致するため非保護対象リソースと判定される。よって、先ほどと同様にして、"/public/img/title.gif"に対応する画像ファイル71を取得し(ステップS203)、これをアクセス応答M704として利用者端末装置2に返信する(ステップS214)。
次に、閲覧ツールによって画面に表示されたハイパーテキスト40を閲覧した利用者が、閲覧ツールを操作して画面上のタグ42に該当する部分をクリックしたとする。このクリックした部分はリソース"/member.jsp"へのハイパーリンクになっており、"/member.jsp"に対するアクセス要求M705がリソース管理装置1に送信される。
アクセス要求M705を受信したリソース管理装置1は、該アクセス要求M705からアクセス対象のリソースの識別情報"/member.jsp"を抽出し、非保護対象リソース情報56と照合する(ステップS202)。この例の場合、該リソースの識別情報"/member.jsp"が非保護対象リソース情報56のいずれにも合致しないため、保護対象リソースと判定される。
よって、ステップS204に進み、セッション管理情報を参照して該アクセス要求を送信した利用者端末装置2との間で通信セッションが既に確立されているかが判定される。この例の場合、セッションが未確立であるため、利用者端末装置2の利用者を認証し、利用者のIDや属性の取得を試みる(ステップS205)。本実施形態では認証に成功し、利用者のIDと共に利用者の属性としてグループ属性の値"GROUP-A"とランク属性の値"SILVER"が取得できたとする。次に認証の成否を判定するが(ステップS206)、この例の場合は成功であったため、払い出したセッションIDに、認証により取得した利用者のIDとグループ属性"GROUP-A"ならびにランク属性"SILVER"および空の許可済みリソースリストとを関連付けたセッション情報を生成し、これをセッション管理情報に追加して(ステップS207)、ステップS210に進む。ステップS209に進まないのは、当該アクセス要求のセッションは今まさに確立されたばかりであり、すなわち、許可済みリソースリストが空であることが明らかなためである。
ステップS210では、アクセス対象であるリソースの識別情報"/member.jsp"に関するアクセス制御情報53づいて該アクセス要求の可否を判定する。この例の場合、アクセス制御情報53は認証されているすべての利用者に対してリソース"/member.jsp"の提供を許可することを示しているため、該アクセス要求によるアクセスは許可と判定される。よってステップS211に進み、"/member.jsp"で識別されるリソースの取得を行う。前述のとおり"/member.jsp"に対応するリソースは、リソース生成プログラムによって生成され、アクセスを要求した利用者のグループ属性の値に応じて異なる。ここでは、利用者のグループ属性の値"GROUP-A"に応じて、図14に示すハイパーテキスト80が生成されることとする。
続くステップS212では、生成されたリソースがハイパーテキストであるかどうかが判定される。この例の場合、生成されたリソースはハイパーテキスト80であったため、ステップS213に進み、このハイパーテキスト80を元に許可済みリソースリストの更新が行われる。ハイパーテキスト80に含まれるタグから特定リンク抽出条件データリスト60に含まれる特定リンク抽出条件データ64〜68のいずれかに合致するタグが検索される。ハイパーテキスト80に含まれるタグ81は要素名がOBJECTであり、かつ、属性名"data"の属性値が"image/gif"であるため、特定リンク抽出条件データ65に合致する。よって、特定リンク抽出条件データ65の列63で指定されている属性"data"の値、すなわち、"/img/imageCommon.gif"がハイパーテキスト80から抽出され、当該アクセス要求が属するセッションのセッション管理データの許可済みリソースリストに追加される。ハイパーテキスト80に含まれるタグ82は要素名がOBJECTであるものの、属性名"data"の属性値が"image/png"であり、いずれの特定リンク抽出条件データにも合致しないことから、このタグからのリンクの抽出は行われない。よって今回のハイパーテキスト80から抽出されたリンクは、タグ81から抽出されたもの1つのみである。この時の許可済みリソースリスト90の様子を図15に示す。
最後に、リソース管理装置1は、当該ハイパーテキスト80をアクセス応答M706として利用者端末装置2に返信する(ステップS214)。
利用者端末装置2に返信されたアクセス応答M706を受け取った閲覧ツールはアクセス応答M706からハイパーテキスト80を取得してこれを解析し、その内容に応じた表示を利用者端末装置2に設置された画面に出力する。ハイパーテキスト80には画像へのリンクを意味する属性を有すタグ81とタグ82が含まれるため、この閲覧ツールは利用者の操作に依存せずにこれらタグ81、82それぞれに対応する画像リソースに対するアクセス要求M707、M709を送信する。以下では、これらアクセス要求が直列化された場合、すなわち、利用者端末装置2はまずアクセス要求M707を送信してその応答を受信した後に、アクセス要求M709を送信するといった流れで説明するが、これら2つのアクセス要求は並列的に実施されても良い。
利用者端末装置2は、まずリソース"/img/imageCommon.gif"に対するアクセス要求M707を送信する。アクセス要求M707を受信したリソース管理装置1は、このアクセス要求M707から抽出したアクセス対象のリソースの識別情報"/img/imageCommon.gif"を非保護対象リソース情報56と照合し(ステップS202)、合致しないため保護対象リソースと判定し、次にセッション管理情報を参照して該アクセス要求を送信した利用者端末装置2との間で通信セッションが既に確立されているかを判定する(ステップS204)。この例の場合、リソース管理装置1は、先にセッションが確立されているためステップS208に進み、当該アクセス要求が属するセッションのセッション情報を取得する。そして、リソース管理装置1は、要求されているリソースの識別情報"/img/imageCommon.gif"を当該セッションに対応する許可済みリソースリスト90から検索する(ステップS209)。この例の場合、許可済みリソースリスト90に該当の識別情報91があったため、当該アクセス要求を許可と判定する。そして、識別情報"/img/imageCommon.gif"に対応するリソースである画像ファイルをファイルシステムから取得し(ステップS211)、このリソースがハイパーテキストであるか否かを判定し(ステップS211)、ハイパーテキストではないため即座に当該画像ファイルをアクセス応答M708として利用者端末装置2に返信する(ステップS214)。
アクセス応答M708を受信した閲覧ツールは、アクセス応答M708に含まれる画像ファイルをハイパーテキスト80の所定の位置に表示すると共に、残るタグ82に対応する画像リソースのアクセス要求M709を送信する。アクセス要求M709を受信したリソース管理装置1は、このアクセス要求M709から抽出したアクセス対象のリソースの識別情報"/img/imageGold.png"を非保護対象リソース情報56と照合し(ステップS202)、合致しないため保護対象リソースと判定し、次に、セッション管理情報を参照して該アクセス要求を送信した利用者端末装置2との間で通信セッションが既に確立されているかを確認し(ステップS204)、確立されているためステップS208に進み、当該アクセス要求が属するセッションのセッション情報を取得する。そして、要求されているリソースの識別情報"/img/imageGold.png"を当該セッションに対応する許可済みリソースリスト90から検索する(ステップS209)が、見つからないためアクセス対象であるリソースの識別情報"/img/imageGold.png"に関するアクセス制御情報54に基づいて該アクセス要求の可否を判定する(ステップS210)。この例の場合、アクセス制御情報54は利用者のランク属性が"GOLD"である利用者に対してのみリソース"/img/imageGold.png"の提供を許可することを示している。セッション情報を参照するとこのアクセス要求を送信した利用者のランク属性は"SILVER"であるため、リソース管理装置1は、このアクセス要求を不許可と判定し、ステップS215に進んでアクセス拒絶を表す応答M710を利用者端末装置2に返信する。
リソース管理装置1では、この後も引き続き、利用者端末装置2から繰り返されるアクセス要求に応じて、アクセス制御情報あるいは許可済みリソースリストに基づく該アクセス要求の可否の判定と、利用者端末装置2に返信するハイパーテキストからのリンクの抽出と許可済みリソースリストの更新と、リソースの返信とが順次繰り返される。
なお、本実施形態では、許可済みリソースリスト90をリソースの識別情報91の列挙で構成したが、各行をリソースの識別情報とこの識別情報の許可済みリソースリスト90への登録日時の対で構成し、ステップS209において、この識別情報が登録された日時からの経過時間があらかじめ設定された有効時間を越えていない場合にのみ該アクセス要求によるアクセスを許可と判定するよう構成しても良い。これは、前述した通信セッションのタイムアウトの原理を許可済みリソースリストに登録される各リソースに対応したエントリに適用したものである。さらに、このような有効期限切れしたエントリを許可済みリソースリストから自動削除するよう構成しても良い。自動削除の契機については、一定時間間隔で有効期限切れのエントリがないかを監視して実行するように構成しても良いし、ステップS209における許可済みリソースリストを用いた判定時に有効期限切れが検出された際に続けて実施しても良い。
また、リソース管理装置1を複数のユーザで共同利用し、それぞれのユーザが独自のリソースを配置し、利用者端末2からのアクセスを受けるような場合には、悪意のあるユーザによってセキュリティ上の脅威を受ける場合がある。すなわち、第1のユーザが管理するリソースに対するハイパーリンクを表し、かつ、リソース管理装置1に設定されている特定リンク抽出条件データに当該リンクが合致するようなタグを有するハイパーテキストを、悪意の有る第2のユーザが用意した場合、このハイパーテキストに含まれる、第1のユーザが管理する該リソースが、第1のユーザが想定していない利用者に対応する許可済みリソースリストに掲載され、結果として、第1のユーザが管理する該リソースが該利用者に開示されてしまうということである。
このような問題を防止するための第1の方策として、ステップS213におけるリンク抽出の対象となるハイパーテキストを、事前に管理者によって登録されたハイパーテキストに限定するという方法がある。この方法では、管理者がユーザからの依頼により、リンク抽出対象リソースリストにリンク抽出の対象となるハイパーテキストの識別情報を登録する(リンク抽出対象リソース登録ステップ)。ユーザからの依頼があった場合、管理者は当該ユーザが信頼できるか、また、リンク抽出対象のハイパーテキストに、他のユーザのリソースに対する該ユーザのセキュリティ方針に反するようなリンクが記載されていないかを確認し、問題ないと判断した場合にのみ、該ハイパーテキストの識別情報をリンク抽出対象リソースリストに登録する。そして、ステップS213におけるリンク抽出処理の際にはアクセス要求が対象としたリソース、すなわち、許可済みリソースリストの更新の元となるハイパーテキストがリンク抽出対象リソースリストに登録されているか否かを確認し、登録されている場合にのみ該ハイパーテキストからリンクを抽出して許可済みリソースリストの更新を行う。
第2の方策としては、管理者が信頼できるユーザを正当なリソース提供者として信頼ユーザリストに登録しておき、ステップS213におけるリンク抽出処理の際、その対象となるハイパーテキストが、この信頼ユーザリストに登録されているユーザによって配置されたものか、あるいは、信頼ユーザリストに登録されているユーザによって配置されたリソース生成プログラムという生成手段によって生成されたものであるかを検証し、検証に合格した場合にのみ、該ハイパーテキストからリンクを抽出して許可済みリソースリストの更新を行う、という方法がある。
リソースの生成者あるいは配置者の検証は、あらかじめリソースにこのリソースの生成者あるいは配置者のデジタル署名を付与しておき、ステップS213ではリンクの抽出に先立って該デジタル署名の検証を行うという方法によって実現可能である。動的に生成されるタイプのリソースについては、リソース生成プログラムにデジタル署名を付与しておき、この署名を検証した後にリソース生成プログラムを起動するか、あるいは、リソース生成プログラムに署名鍵を持たせ、この署名鍵にリソース生成プログラムの生成者あるいは配備者であるユーザの代理者としての権限を権限委譲証明書(Proxy Certificate)などによって持たせておき、ステップS213はこのプログラムの実行プロセスとの間で認証を行うか、あるいは、リソース生成プログラムの実行プロセスが出力するリソースにリソース生成プログラムによるデジタル署名を付与させ、このデジタル署名を検証する方法などによって実現可能である。
上記第2の方策は、ユーザとの信頼関係に基づいて判断するため、ユーザの裏切りや過失によって想定外のアクセス許可をしてしまう可能性は残されるが、リンク抽出の元となるハイパーテキストを頻繁に変更、増減させたいという場合には、第1の方策に比べて柔軟性の面でメリットがある。
(第2の実施形態)
次に、本発明によるアクセス制御方法の第2の実施形態について説明する。本実施形態におけるアクセス制御方法の処理の流れを図16のフローチャートに示す。
この図16のフローチャートは、図2に示した第1の実施形態のアクセス制御方法の処理の流れを示したフローチャートに対して、ステップS220の処理が追加され、ステップS209の判定で、アクセス対象のリソースが許可済みリソースで無い場合の行き先がステップS210の処理からステップS215の処理に変更になっている点が異なっている。
第2の実施形態を第1の実施形態と比べて見た場合、第2の実施形態においては、ステップS209で実施される許可済みリソースリストを用いたアクセス可否の判定に先立って、ステップS220により当該アクセス要求がアクセス対象とするリソースに関するアクセス制御情報が設定されているか否かを判定し、設定されている場合にはステップS210に進み、設定されていなかった場合にはステップS209に進む点が特徴的である。また、本実施形態においては、ステップS209で許可済みリソースリストを用いたアクセス可否の判定により不許可と判定された場合は、さらなるアクセス可否の判定を行わずに、アクセス拒絶の応答を返信する点が特徴的である。
すなわち、本実施形態では、アクセス制御情報が設定してあるリソースについては、許可済みリソースリストに依らずに、アクセス制御情報の設定内容によってのみアクセスの可否を判定する。
第1の実施形態で用いた、具体的な事例を第2の実施形態によるリソース管理装置1に適用した場合、アクセス要求M701、M703、M705に対するリソース管理装置1におけるアクセス制御処理の内容は変わらない。また、アクセス要求M707、M709に対するアクセス制御も、その結果は変わらないが、処理の流れが以下のように異なる。
まず、アクセス要求M707については、ステップS208までは第1の実施形態と同様にして進行するが、その後、ステップS220で、要求されているリソースの識別情報"/img/imageCommon.gif"に関するアクセス制御情報が設定されているかが確認される。アクセス制御情報のリスト50には該当するアクセス制御情報が無いためステップS209に進む。この後は、再び第1の実施形態と同様にして処理が進み、結果として"/img/imageCommon.gif"に対応するリソースである画像ファイルをアクセス応答M708として利用者端末装置2に返信する。
また、アクセス要求M709に対するアクセス制御処理の流れは以下のようになる。こちらもステップS208までは第1の実施形態と同様にして進行するが、その後ステップS220で、要求されているリソースの識別情報"/img/imageGold.png"に関するアクセス制御情報54が設定されていることが確認され、ステップS210に進む。この後は、再び第1の実施形態と同様にして処理が進み、アクセス拒絶を表す応答M710を利用者端末装置2に返信する。
第2の実施形態は、アクセス要求されたリソースに関するアクセス制御情報があれば、許可済みリソースリストを使用したアクセス可否の判定を実施しない。よって、明示的にアクセス制御情報が設定されている場合には、このアクセス制御情報に記載されているアクセス許可の指示を超えたアクセス権の付与は行わないという点で、セキュリティ面から見たメリットがある。ただし、アクセス制御情報を補助的に用いたい場合、つまり、特定のハイパーテキストに備えられているリンクをたどって該リソースをアクセスしてきた利用者に対して当該アクセス要求を許可しつつ、特定のハイパーテキストからのリンクではなく、直接的に該リソースにアクセスをした利用者については改めてアクセス可否を判定するためにアクセス制御情報を設定しておく、といった場合には不適切である。
上記第1および第2の実施形態では、リソース取得生成ステップ(ステップS212)と許可済みリソースリスト更新ステップ(ステップS213)とを別々のステップで実施するものとして説明していたが、リソース取得生成ステップ(ステップS212)と許可済みリソースリスト更新ステップ(ステップS213)とを同一のステップで実施するようにしてもよい。
また、図には示されていないが、上記で説明した本発明の第1および第2の実施形態のリソース管理装置1は、上記で説明したアクセス制御方法を実行するためのプログラムを記録した記録媒体を備えている。この記録媒体は磁気ディスク、半導体メモリまたはその他の記録媒体であってもよい。このプログラムは、記録媒体からリソース管理装置1に読み込まれ、リソース管理装置1の動作を制御する。具体的には、リソース管理装置1内のCPUがこのプログラムの制御によりリソース管理装置1のハードウェア資源に特定の処理を行うように指示することにより上記の処理が実現される。
本発明の第1の実施形態のハイパーテキスト文書閲覧システムの構成を示すブロック図である。 本発明の第1の実施形態のハイパーテキスト文書閲覧システムにおけるアクセス要求受信時の処理の流れを示すフローチャートである。 図1のリソース管理装置1にて管理されるリソースの一部を示す図である。 本発明の第1の実施形態におけるリソースの内容を示す図である。 本発明の第1の実施形態におけるアクセス制御情報を示す図(図5(a))および非保護対象リソース情報を示す図(図5(b))である。 本発明の第1の実施形態における特定リンク抽出条件データリストを示す図である。 一続きの複数の文書ファイルを公開する際に、後続の文書へのハイパーリンクの一例を示す図である。 一続きの複数の文書ファイルを公開する際に設定する特定リンク抽出条件データの一例を示す図である。 一続きの複数の文書ファイルを公開する際に、後続の文書へのハイパーリンクの他の例を示す図である。 一続きの複数の文書ファイルを公開する際に設定する特定リンク抽出条件データの他の例を示す図である。 埋め込み画像を含むマルチメディア文書を公開する際に、埋め込まれる画像ファイルへのハイパーリンクの一例を示す図である。 埋め込み画像を含むマルチメディア文書を公開する際に設定する特定リンク抽出条件データの一例を示す図である。 本発明の第1の実施形態において利用者端末2とリソース管理装置1との間で行われる通信の様子を示すシーケンスチャートである。 本発明の第1の実施形態におけるハイパーテキストの一例を示す図である。 本発明の第1の実施形態における許可済みリソースリストの一例を示す図である。 本発明の第2の実施形態のハイパーテキスト文書閲覧システムにおけるアクセス要求受信時の処理の流れを示すフローチャートである。
符号の説明
1 リソース管理装置
2 利用者端末装置
3 ネットワーク
31〜36 識別情報
40 ハイパーテキスト
41、42、43 タグ
50 アクセス制御情報
51、52 列
53、54、55 アクセス制御情報
56 非保護対象リソース情報
60 特定リンク抽出条件データリスト
61、62、63 列
64〜68 特定リンク抽出条件データリスト
71 画像ファイル
80 ハイパーテキスト
90 許可済みリソースリスト
110A、110B 文書ファイル
111A、111B タグ
112A、112B 文書ファイル
113A、113B タグ
114A、114B 文書ファイル
115A、115B タグ
116 文書ファイル
117 タグ
120 特定リンク抽出条件データリスト
121 要素名
123 属性値条件
124 リンク属性
125A〜125C 特定リンク抽出条件データ
M701、M703、M705、M707、M709 アクセス要求
M702、M704、M706、M708、M710 アクセス応答
S201〜S215、S220 ステップ

Claims (18)

  1. 他のリソースへのリンクを含むタグにより構造化されたハイパーテキストおよびハイパーテキストからリンクされるリソースを管理するリソース管理装置において、管理されるリソースへのアクセスを制御するためのアクセス制御方法であって、
    利用者端末装置からのアクセス要求を受信すると、該アクセス要求がアクセス対象としているリソースの識別情報が、当該利用者に対してアクセスが許可されているリソースの識別情報が列挙された許可済みリソースリストに含まれるか否かを確認し、アクセス対象のリソースの識別情報が前記許可済みリソースリストに含まれている場合には、前記アクセス要求によるアクセスを許可と判定する許可済みリソース判定ステップと、
    前記許可済みリソース判定ステップにおいて受信した前記アクセス要求が許可と判定された場合、許可された該アクセス要求がアクセス対象としているハイパーテキストあるいはリソースを、取得あるいは生成するリソース取得生成ステップと、
    前記リソース取得生成ステップにより取得あるいは生成されたリソースがハイパーテキストであった場合、当該利用者端末からの次回以降のアクセスを許可するリンクを抽出するための条件が設定されている特定リンク抽出条件データを列挙した特定リンク抽出条件データリストを参照し、該特定リンク抽出条件データリストに含まれる1ないし複数の特定リンク抽出条件データのいずれかに合致するリンクを前記ハイパーテキストの中からすべて抽出し、該抽出された1ないし複数のリンクのそれぞれのリンク先となっているリソースの識別情報を前記許可済みリソースリストに追加する許可済みリソースリスト更新ステップと、
    前記リソース取得生成ステップにおいて取得または生成されたリソースを前記アクセス要求を送信してきた利用者端末にアクセス応答として返信するアクセス応答返信ステップと、
    を含むことを特徴とするアクセス制御方法。
  2. 他のリソースへのリンクを含むタグにより構造化されたハイパーテキストならびにハイパーテキストからリンクされるリソースを管理するリソース管理装置において、管理されるリソースへのアクセスを制御するためのアクセス制御方法であって、
    利用者端末装置からのアクセス要求を受信すると、該アクセス要求がアクセス対象としているリソースの識別情報が、当該利用者に対してアクセスが許可されているリソースの識別情報が列挙された許可済みリソースリストに含まれるか否かを確認し、アクセス対象のリソースの識別情報が前記許可済みリソースリストに含まれている場合には、前記アクセス要求によるアクセスを許可と判定する許可済みリソース判定ステップと、
    前記許可済みリソース判定ステップにおいてアクセスを許可しないと判定された場合に、公開しているリソースと当該リソースに対するアクセスが許可されるアクセス者とを関連付けた情報であるアクセス制御情報に基づいて、前記アクセス要求によるアクセスを許可すべきか否かを判定するアクセス権限判定ステップと、
    前記許可済みリソース判定ステップあるいは前記アクセス権限判定ステップの少なくとも一方で許可と判定された場合、許可された該アクセス要求がアクセス対象としているハイパーテキストあるいはリソースを、取得あるいは生成するリソース取得生成ステップと、
    前記リソース取得生成ステップにより取得あるいは生成されたリソースがハイパーテキストであった場合、当該利用者端末からの次回以降のアクセスを許可するリンクを抽出するための条件が設定されている特定リンク抽出条件データを列挙した特定リンク抽出条件データリストを参照し、該特定リンク抽出条件データリストに含まれる1ないし複数の特定リンク抽出条件データのいずれかに合致するリンクを前記ハイパーテキストの中からすべて抽出し、該抽出された1ないし複数のリンクのそれぞれのリンク先となっているリソースの識別情報を前記許可済みリソースリストに追加する許可済みリソースリスト更新ステップと、
    前記リソース取得生成ステップにおいて取得または生成されたリソースを前記アクセス要求を送信してきた利用者端末にアクセス応答として返信するアクセス応答返信ステップと、
    を含むことを特徴とするアクセス制御方法。
  3. 前記特定リンク抽出条件データは、ハイパーテキストを構成するタグの要素名と、当該タグが有し得る属性のうち1つの属性の属性名の対で構成され、
    前記許可済みリソースリスト更新ステップでは、前記リソース取得生成ステップにより取得あるいは生成されたハイパーテキストの中のタグから、前記特定リンク抽出条件データが指す要素名と同一の要素名のタグを選択し、選択した該タグに前記リンク抽出条件データが指す属性名の属性値が含まれている場合、該属性値に含まれるリソースの識別情報を抽出して前記許可済みリソースリストに追加することを特徴とする請求項1または2記載のアクセス制御方法。
  4. 前記特定リンク抽出条件データは、ハイパーテキストを構成するタグの要素名と、当該タグが有しうる属性のうち第1の属性の属性名と該第1の属性の属性値に関する条件式と、当該タグが有しうる属性のうち第2の属性の属性名とで構成され、
    前記許可済みリソースリスト更新ステップでは、前記リソース取得生成ステップにより取得あるいは生成されたハイパーテキストの中のタグから、前記特定リンク抽出条件データが指す要素名と同一の要素名のタグを選択し、選択した該タグに前記特定リンク抽出条件データが指す第1の属性名を持つ属性値が含まれ、かつ、該属性値が前記特定リンク抽出条件データが指す前記条件式に合致する場合、該特定リンク抽出条件データが指す第2の属性名を持つ属性値に含まれるリソースの識別情報を抽出して前記許可済みリソースリストに追加することを特徴とする請求項1または2記載のアクセス制御方法。
  5. 前記特定リンク抽出条件データが文字列であり、
    前記許可済みリソースリスト更新ステップでは、前記リソース取得生成ステップにより取得あるいは生成されたハイパーテキストの中のタグから、前記特定リンク抽出条件データが指す文字列を含むコメントタグの直後に出現するタグに含まれる他のリソースへのリンクを意味する属性の属性値に含まれるリソースの識別情報を抽出して前記許可済みリソースリストに追加することを特徴とする請求項1または2記載のアクセス制御方法。
  6. 前記許可済みリソースリスト更新ステップでは、前記リソース取得生成ステップにより取得あるいは生成されたハイパーテキストの中のタグから、前記特定リンク抽出条件データが指す文字列を含むコメントタグの直後に出現するタグに含まれる他のリソースへのリンクを意味する属性の属性値に含まれるリソースの識別情報を抽出して前記許可済みリソースリストに追加した後に前記ハイパーテキストに含まれる前記コメントタグを削除することを特徴とする請求項5に記載のアクセス制御方法。
  7. 前記リソースの識別情報は、リソースのロケーション情報とアクセス方法の組とから構成されることを特徴とする請求項1から6に記載のアクセス制御方法。
  8. 前記利用者端末装置からのアクセス要求を受信した場合、該アクセス要求を送信した利用者端末装置との間で通信セッションが既に確立されているか否かを確認し、確立されていない場合には新規に通信セッションを生成するセッション確認ステップをさらに有し、
    前記許可済みリソースリストは前記セッションに対応付けて記憶され、前記許可済みリソースリスト更新ステップおよび前記許可済みリソース判定ステップでは、前記アクセス要求を送信してきた利用者端末装置との間で確立されている通信セッションに対応する許可済みリソースリストを更新あるいは参照することを特徴とする請求項1から7のいずれか1項に記載のアクセス制御方法。
  9. 前記利用者端末装置からのアクセス要求を受信する際、あるいは前記通信セッションを確立する際に、アクセス者あるいはアクセス者の使用する利用者端末の認証を行う利用者認証ステップをさらに有することを特徴とする請求項1から8のいずれか1項に記載のアクセス制御方法。
  10. 前記許可済みリソースリスト更新ステップではさらに、前記利用者端末装置からのアクセス要求がアクセス対象としているリソースの識別情報も許可済みリソースリストに追加することを特徴とする請求項1から9のいずれか1項に記載のアクセス制御方法。
  11. アクセス許可の判断の有効期間を該許可判断からの経過時間により表す許可判断有効時間をあらかじめ設定する有効時間設定ステップをさらに有し、
    前記許可済みリソースリスト更新ステップでは、リソースの識別情報と該識別情報の登録日時を対にして前記許可済みリソースリストに追加し、
    前記許可済みリソース判定ステップでは、前記利用者端末装置からのアクセス要求がアクセス対象としているリソースの識別情報に対するアクセス要求を許可するか否かの判定の際に、該識別情報の登録日時からの経過時間が前記許可判断有効時間を越えていない場合にのみ該アクセス要求によるアクセスを許可と判定することを特徴とする請求項1から10のいずれか1項に記載のアクセス制御方法。
  12. 前記登録日時からの経過時間が前記許可判断有効時間を越えているリソースの識別情報を前記許可済みリソースリストから削除する有効期限切れ許可済みリソース削除ステップをさらに有することを特徴とする請求項11に記載のアクセス制御方法。
  13. リンク抽出の対象となることが可とされた1ないし複数のハイパーテキストをリンク抽出対象リソースとして登録するリンク抽出対象リソース登録ステップをさらに有し、
    前記許可済みリソースリスト更新ステップでは、前記利用者端末装置からのアクセス要求がアクセス対象とするリソースが前記リンク抽出対象リソース登録ステップにより登録されたハイパーテキストである場合にのみ、該ハイパーテキストを用いて許可済みリソースリストの更新を行うことを特徴とする請求項1から12のいずれか1項に記載のアクセス制御方法。
  14. 前記許可済みリソースリスト更新ステップでは、前記利用者端末装置からのアクセス要求がアクセス対象とするリソースが正当なリソース提供者によって配備されたハイパーテキストであるか、あるいは、正当なリソース提供者によって配備された手段により生成されたハイパーテキストであるか否かを検証し、該検証に合格した場合にのみ該ハイパーテキストを用いて許可済みリソースリストの更新を行うことを特徴とする請求項1から13のいずれか1項に記載のアクセス制御方法。
  15. 他のリソースへのリンクを含むタグにより構造化されたハイパーテキストならびにハイパーテキストからリンクされるリソースを管理するリソース管理装置において、管理されるリソースへのアクセスを制御するためのアクセス制御方法であって、
    利用者端末装置からのアクセス要求を受信すると、該アクセス要求がアクセス対象としているリソースが、公開しているリソースと当該リソースに対するアクセスが許可されるアクセス者とを関連付けた情報であるアクセス制御情報に登録されているか否かを判定するアクセス制御情報確認ステップと、
    前記アクセス制御情報確認ステップにおいて前記アクセス要求がアクセス対象としているリソースがアクセス制御情報に登録されていると判定された場合には、前記アクセス制御情報に基づいて、前記アクセス要求によるアクセスを許可すべきか否かを判定するアクセス権限判定ステップと、
    前記アクセス制御情報確認ステップにおいて前記アクセス要求がアクセス対象としているリソースがアクセス制御情報に登録されていないと判定された場合には、前記アクセス要求がアクセス対象としているリソースの識別情報が、当該利用者に対してアクセスが許可されているリソースの識別情報が列挙された許可済みリソースリストに含まれるか否かを確認し、アクセス対象のリソースの識別情報が前記許可済みリソースリストに含まれている場合には、前記アクセス要求によるアクセスを許可と判定する許可済みリソース判定ステップと、
    前記許可済みリソース判定ステップあるいは前記アクセス権限判定ステップの少なくとも一方で許可と判定された場合、許可された該アクセス要求がアクセス対象としているハイパーテキストあるいはリソースを、取得あるいは生成するリソース取得生成ステップと、
    前記リソース取得生成ステップにより取得あるいは生成されたリソースがハイパーテキストであった場合、当該利用者端末からの次回以降のアクセスを許可するリンクを抽出するための条件が設定されている特定リンク抽出条件データを列挙した特定リンク抽出条件データリストを参照し、該特定リンク抽出条件データリストに含まれる1ないし複数の特定リンク抽出条件データのいずれかに合致するリンクを前記ハイパーテキストの中からすべて抽出し、該抽出された1ないし複数のリンクのそれぞれのリンク先となっているリソースの識別情報を前記許可済みリソースリストに追加する許可済みリソースリスト更新ステップと、
    前記リソース取得生成ステップにおいて取得または生成されたリソースを前記アクセス要求を送信してきた利用者端末にアクセス応答として返信するアクセス応答返信ステップと、
    を含むことを特徴とするアクセス制御方法。
  16. 前記リソース取得生成ステップと前記許可済みリソースリスト更新ステップとを同一のステップで実施することを特徴とする請求項1から15のいずれか1項に記載のアクセス制御方法。
  17. 請求項1から16のいずれか1項記載のアクセス制御方法をコンピュータに実行させるためのプログラム。
  18. 請求項17記載のプログラムが記録された、コンピュータ読み取り可能な記録媒体。
JP2004154607A 2004-05-25 2004-05-25 アクセス制御方法およびプログラムと記録媒体 Pending JP2005339008A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004154607A JP2005339008A (ja) 2004-05-25 2004-05-25 アクセス制御方法およびプログラムと記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004154607A JP2005339008A (ja) 2004-05-25 2004-05-25 アクセス制御方法およびプログラムと記録媒体

Publications (1)

Publication Number Publication Date
JP2005339008A true JP2005339008A (ja) 2005-12-08

Family

ID=35492535

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004154607A Pending JP2005339008A (ja) 2004-05-25 2004-05-25 アクセス制御方法およびプログラムと記録媒体

Country Status (1)

Country Link
JP (1) JP2005339008A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007316780A (ja) * 2006-05-24 2007-12-06 Nec Corp 計算機システム、計算機及びそれらに用いるファイル操作限定方法並びにそのプログラム
JP2009086840A (ja) * 2007-09-28 2009-04-23 Hitachi Software Eng Co Ltd 情報処理装置
WO2017164212A1 (ja) * 2016-03-22 2017-09-28 アセンブローグ株式会社 アクセス管理方法、情報処理装置、プログラム、及び記録媒体
CN112166427A (zh) * 2018-05-30 2021-01-01 日本电信电话株式会社 保护装置及保护方法
CN112269974A (zh) * 2020-11-09 2021-01-26 北京嘀嘀无限科技发展有限公司 一种数据管控的方法及系统
US10958500B2 (en) 2018-03-29 2021-03-23 Buffalo Inc. Communication device, operation method, and medium
JP2022546091A (ja) * 2019-08-30 2022-11-02 株式会社センストーン 認証用仮想コードを用いたユーザ認証方法及びそのためのシステム
CN116992476A (zh) * 2023-09-26 2023-11-03 深圳竹云科技股份有限公司 应用权限的控制方法、装置、设备及存储介质

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007316780A (ja) * 2006-05-24 2007-12-06 Nec Corp 計算機システム、計算機及びそれらに用いるファイル操作限定方法並びにそのプログラム
JP2009086840A (ja) * 2007-09-28 2009-04-23 Hitachi Software Eng Co Ltd 情報処理装置
KR102174032B1 (ko) * 2016-03-22 2020-11-04 아셈블로그, 인크. 액세스 관리 방법, 정보 처리 장치, 프로그램, 및 기록 매체
US10846243B2 (en) 2016-03-22 2020-11-24 Assemblogue, Inc. Access management method, information processing device, program, and recording medium
KR20180126031A (ko) * 2016-03-22 2018-11-26 아셈블로그, 인크. 액세스 관리 방법, 정보 처리 장치, 프로그램, 및 기록 매체
JPWO2017164212A1 (ja) * 2016-03-22 2018-12-13 アセンブローグ株式会社 アクセス管理方法、情報処理装置、プログラム、及び記録媒体
EP3435271A4 (en) * 2016-03-22 2019-09-25 Assemblogue, Inc. ACCESS MANAGEMENT METHOD, INFORMATION PROCESSING DEVICE, PROGRAM, AND RECORDING MEDIUM
JP2020064688A (ja) * 2016-03-22 2020-04-23 アセンブローグ株式会社 アクセス管理方法、情報処理装置、プログラム、及び記録媒体
WO2017164212A1 (ja) * 2016-03-22 2017-09-28 アセンブローグ株式会社 アクセス管理方法、情報処理装置、プログラム、及び記録媒体
CN108885672A (zh) * 2016-03-22 2018-11-23 爱盛博科技股份有限公司 访问管理方法、信息处理装置、程序及记录介质
CN108885672B (zh) * 2016-03-22 2021-09-24 爱盛博科技股份有限公司 访问管理方法、信息处理装置、程序及记录介质
US10958500B2 (en) 2018-03-29 2021-03-23 Buffalo Inc. Communication device, operation method, and medium
CN112166427A (zh) * 2018-05-30 2021-01-01 日本电信电话株式会社 保护装置及保护方法
JP2022546091A (ja) * 2019-08-30 2022-11-02 株式会社センストーン 認証用仮想コードを用いたユーザ認証方法及びそのためのシステム
JP7338043B2 (ja) 2019-08-30 2023-09-04 株式会社センストーン 認証用仮想コードを用いたユーザ認証方法及びそのためのシステム
CN112269974A (zh) * 2020-11-09 2021-01-26 北京嘀嘀无限科技发展有限公司 一种数据管控的方法及系统
CN116992476A (zh) * 2023-09-26 2023-11-03 深圳竹云科技股份有限公司 应用权限的控制方法、装置、设备及存储介质
CN116992476B (zh) * 2023-09-26 2024-01-16 深圳竹云科技股份有限公司 应用权限的控制方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
KR100781725B1 (ko) 피어 투 피어 인가를 위한 방법 및 시스템
US7500099B1 (en) Method for mitigating web-based “one-click” attacks
US9350714B2 (en) Data encryption at the client and server level
US8943208B2 (en) Controlling access to resources by hosted entities
JP4395178B2 (ja) コンテンツ処理システム、方法及びプログラム
JP4301482B2 (ja) サーバ、情報処理装置及びそのアクセス制御システム並びにその方法
EP2188969B1 (en) Tracking the origins of data and controlling data transmission
US7039804B2 (en) Method and system to integrate existing user and group definitions in a database server with heterogeneous application servers
EP1645971A1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
WO2008128926A1 (en) Method and system for protecting personally identifiable information
JP2005259112A (ja) 情報処理装置、情報処理方法、情報処理プログラム及び記録媒体、並びに資源管理装置
JP4935274B2 (ja) サーバ及びプログラム
US20120054846A1 (en) Method for prevention of cross site request forgery attack
JP4682385B2 (ja) コンテンツ管理システム、コンテンツ管理方法およびプログラム
JP5347429B2 (ja) ユニフォームリソースロケータ書換方法及び装置
JP2008015733A (ja) ログ管理計算機
US8316103B2 (en) Method for acquiring long data by GET method
US20050086213A1 (en) Server apparatus, information providing method and program product therefor
JP2005339008A (ja) アクセス制御方法およびプログラムと記録媒体
US8127314B2 (en) Method for using information in another domain, program for using information in another domain, and information transfer program
JP2009093580A (ja) ユーザ認証システム
JPH11212849A (ja) 共有ファイル送受信システム、アクセス権利判定装置
JPH11272613A (ja) 利用者認証方法及びこの方法を実現するプログラムを格納した記録媒体並びに上記方法を用いる利用者認証システム
JP2008077614A (ja) セッション管理プログラム及びセッション管理方法
Kratov About leaks of confidential data in the process of indexing sites by search crawlers