[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4951092B2 - アクセス制御プログラム及び装置 - Google Patents

アクセス制御プログラム及び装置 Download PDF

Info

Publication number
JP4951092B2
JP4951092B2 JP2010128188A JP2010128188A JP4951092B2 JP 4951092 B2 JP4951092 B2 JP 4951092B2 JP 2010128188 A JP2010128188 A JP 2010128188A JP 2010128188 A JP2010128188 A JP 2010128188A JP 4951092 B2 JP4951092 B2 JP 4951092B2
Authority
JP
Japan
Prior art keywords
access
policy
access control
resource
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010128188A
Other languages
English (en)
Other versions
JP2011253450A (ja
Inventor
竜朗 池田
光司 岡田
範和 保坂
利夫 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2010128188A priority Critical patent/JP4951092B2/ja
Priority to PCT/JP2011/062623 priority patent/WO2011152468A1/ja
Priority to CN201180020331.6A priority patent/CN102859530B/zh
Publication of JP2011253450A publication Critical patent/JP2011253450A/ja
Application granted granted Critical
Publication of JP4951092B2 publication Critical patent/JP4951092B2/ja
Priority to US13/692,351 priority patent/US8719950B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Description

本発明に係る各実施の形態は、様々な属性情報に基づいて、段階的にアクセス制御を行うアクセス制御プログラム及び装置に関する。
近年、特定の情報やアクションを権限情報に基づいて制御するアクセス制御技術の重要性が高まっている。このような技術としては、例えば、アクション可否形式のアクセス制御が広く利用されている。
アクション可否形式のアクセス制御には、例えば、文書ファイルに対する権限情報をセキュリティ属性とする方式がある。この方式では、文書ファイルに対する権限情報を「閲覧許可」や「編集許可」などのアクション可否形式で記述し、権限情報をユーザに割り当てる。この種の権限情報は、アクセス制御マトリックス(Access Control Matrix)やアクセス制御リスト(Access Control List)として知られている。
しかしながら、アクション可否形式のアクセス制御では、許可されるアクセス時間やアクセス場所などの条件や、詳細な機能制限などの如き、詳細で柔軟なアクセス制御内容を記述することが困難である。
このため、近年では、アクション可否形式だけではなく、アクセス制御ポリシ形式のアクセス制御が利用されている。アクセス制御ポリシは、アクセス制御ルールの集合であり、標準的な記述仕様が公開されている。アクセス制御ポリシ形式のアクセス制御では、判定基準の条件や、機能制限の詳細な記述が可能である。例えば、アクセス制御ポリシ形式のアクセス制御では、情報へのアクセス要求を受けると、アクセス要求者から様々な属性情報を取得して判定基準の条件と比較し、ファイルを開いてよいか否かを判定した上で、アクセス制御ポリシで規定された機能に制限する等の制御が可能となる。このような技術は、一般的にディジタル権利管理(Digital Rights Management)とも呼ばれる。
特開2001−306521号公報
Tim Moses、" eXtensible Access Control Markup Language (XACML) Version 2.0 "、[online]、 [2007年5月17日検索]、インターネット<URL:http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-core-spec-os.pdf>
しかしながら、様々な属性情報を取得する機構は、一般に、アクセス制御機構とは独立している。例えば、利用者認証なども属性情報取得の一部であるが、アクセス制御ポリシとは別に、アクセス主体の認証方式を決定するための認証ポリシを用いることが多い。
一方、現在では、属性情報の選択性が求められてきている。認証を例に挙げると、様々な認証要素、認証方式及び認証実行者の中から属性情報を選択する可能性があり、実施した認証に応じて、アクセス主体の権限を変更することが求められている。例えば、アクセス制御対象の資源の重要度に応じて、認証の方式やレベルを変更する場合がある。利用者の認証に関する属性情報以外にも、サービスへの接続形態、接続場所、接続時間といった環境に関する属性情報に応じて、アクセス主体の権限を変更する場合がある。
しかしながら、取得すべき属性情報を決定する方法は、一般に、暗黙的に既知とされている。また、アクセス制御の仕組みでは、アクセス決定を1回だけ実行する場合が多い。この場合、取得すべき属性情報を暗黙的に既知とすると、アクセス決定に必要とされる可能性をもつ全ての属性情報を取得することになり、非効率である。
また、複数の認証処理による同時認証状態を禁止する場合などのように、排他的かつ選択的な複数の属性情報が存在した場合、非選択の属性情報を取得できないことから、アクセス決定が実行不可能となってしまう。
そのため、情報システムでは、排他的かつ選択的な複数の属性情報が存在する場合、属性情報を硬直的かつ限定的に選択してアクセス決定を実行することにより、非選択の属性情報に関する認証を省略して、簡素化したアクセス制御を実行する。しかしながら、簡素化されたアクセス制御は、情報の漏えいや棄損といったリスクを高める要因ともなる。
本発明の各実施形態は、上記実情を考慮してなされたものであり、排他的かつ選択的な複数の属性情報が存在する場合でも、詳細なアクセス制御を効率的に実現し得るアクセス制御プログラム及び装置を提供することを目的とする。
本発明の一つの実施形態は、制御対象の文書ファイル又は動作実行部からなる資源へのアクセスを制御するアクセス制御装置であって、このアクセス制御装置においては、資源に対するアクセス要求により開始した資源アクセスイベントを保留しておき、複数段のアクセス制御ポリシを順次用い、アクセス制御ポリシ毎に、属性情報の取得と当該取得した属性情報に基づくアクセス決定とを順次実行し、全てのアクセス決定の結果が許可を示すとき、資源アクセスイベントの保留を解除し、資源へアクセスするというものである。
なお、本発明の一つの局面は、装置として表現したが、これに限らず、方法、プログラム又はプログラムを記憶したコンピュータ読み取り可能な記憶媒体として表現することができる。
<作用>
本発明の一つの実施形態においては、資源に対するアクセス要求により開始した資源アクセスイベントを保留しておき、複数段のアクセス制御ポリシを順次用い、アクセス制御ポリシ毎に、属性情報の取得と当該取得した属性情報に基づくアクセス決定とを順次実行し、全てのアクセス決定の結果が許可を示すとき、資源アクセスイベントの保留を解除し、資源へアクセスする。
これにより、本発明の一つの実施形態においては、排他的かつ選択的な複数の属性情報が存在する場合でも、アクセス制御ポリシ毎に、属性情報の取得と当該取得した属性情報に基づくアクセス決定とを順次実行するようにして、詳細なアクセス制御を効率的に実現することができる。
本発明の第1の実施形態に係るアクセス制御装置及びその周辺構成を示す模式図である。 同実施形態におけるアクセス決定要求の構成例を示す模式図である。 同実施形態におけるアクセス制御ポリシの構成例を示す模式図である。 同実施形態における初段のアクセス制御ポリシの構成例を示す模式図である。 同実施形態における初段のアクセス制御ポリシの構成例を示す模式図である。 同実施形態におけるアクセス決定要求の変形例を示す模式図である。 同実施形態における最終段のアクセス制御ポリシの構成例を示す模式図である。 同実施形態における最終段のアクセス制御ポリシの構成例を示す模式図である。 同実施形態における動作を説明するための模式図である。 同実施形態における動作を説明するための模式図である。 同実施形態における変形例を説明するための模式図である。 本発明の第2の実施形態に係るアクセス制御装置及びその周辺構成を示す模式図である。 同実施形態における動作を説明するための模式図である。 同実施形態における変形例を説明するための模式図である。
以下、本発明の各実施形態について図面を用いて説明するが、その前に、各実施形態の概要を述べる。各実施形態に共通する概要は、制御対象の文書ファイル又は動作実行部からなる資源へのアクセスを制御するアクセス制御装置に関する。アクセス制御装置は、後述する図3、図11又は図14に示すように、禁止型ポリシ及び責務型ポリシを有する第1段乃至第(n−1)段(但し、2≦n)のアクセス制御ポリシと、禁止型ポリシを有し、責務型ポリシを持たない第n段のアクセス制御ポリシとを記憶するメモリを備えている。なお、禁止型ポリシは、「アクセス主体(subject)に対し、資源(resource)に対する行為(action)を許可(又は禁止)」という形式のルール集合である。「許可又は禁止」は行為の要求に対する効果(effect)を示すものであり、「許可又は禁止」以外の任意の行為要求に対する効果であってもよい。責務型ポリシは、「条件が成り立つ場合は責務内容を実行」という形式のルール集合である。条件が成り立つ場合は、ここでは禁止型ポリシが許可の場合としている。責務内容は、主体(subject)、資源(resource)、行為(action)、補足(complement)などにより定義される。
アクセス制御装置は、資源に対するアクセス要求を受けると、以下の工程(i)〜(iii)を実行し、段数nが2を超えた場合には更に工程(ii)〜(iii)を繰り返し実行し、最後に工程(iv)を実行する。
(i)予め指定された第1段のアクセス制御ポリシ内の禁止型ポリシであって、予め記述された属性条件と予め記述された取得先から取得した属性情報とに基づき、当該属性情報が属性条件を満足するか否かに応じてアクセスの許可又は拒否を示す旨の禁止型ポリシに基づき、当該アクセスの許可又は拒否を決定する第1段のアクセス決定工程。
(ii)第1段乃至第(n−1)段の各段のアクセス決定工程により決定した結果が許可を示すとき、当該決定に用いたアクセス制御ポリシ内の責務型ポリシに指定された次段のアクセス制御ポリシを取得する1つ以上のポリシ取得工程。
(iii)取得された第2段以降の各段のアクセス制御ポリシ内の禁止型ポリシであって、予め記述された属性条件と予め記述された取得先から取得した属性情報と基づき、当該属性情報が属性条件を満足するか否かに応じてアクセスの許可又は拒否を示す旨の禁止型ポリシに基づき、当該アクセスの許可又は拒否を決定する第2段以降の各段のアクセス決定工程。
(iv)第2段以降の各段のアクセス決定工程のうち、最終段のアクセス決定工程により決定した結果が許可を示すとき、資源に対するアクセスを実行する工程。
以上が各実施形態に共通する概要である。このような概要の各実施形態によれば、段階的に属性情報の取得と、アクセス決定とを実行する構成により、排他的かつ選択的な複数の属性情報が存在する場合でも、詳細なアクセス制御を効率的に実現できる。なお、「アクセス決定」の用語は、ポリシ評価と呼んでもよい。ここで、第1及び第2の実施形態は、後述する図9及び図13に示すように、属性情報を取得するタイミングと機能部を変更した実施形態である。
また、各実施形態のアクセス制御装置は、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体からコンピュータにインストールされ、当該コンピュータにアクセス制御装置の機能を実現させるためのプログラムが用いられる。
続いて、各実施形態を具体的に説明する。なお、各実施形態では、説明の簡略化のため、段数n=2の場合を代表例に挙げて述べる。
<第1の実施形態>
図1は本発明の第1の実施形態に係るアクセス制御装置及びその周辺構成を示す模式図である。アクセス対象の資源管理装置10は、アクセス制御装置20に接続されている。アクセス制御装置20は、インタフェース部21、資源アクセス部22、アクセス制御実行部23、アクセス決定部24、属性管理部25、アクセス制御ポリシ取得部26、アクセス制御ポリシ記憶部27、属性更新責務実行部28及びアクセス主体認証責務実行部29を備えている。
ここで、資源管理装置10は、制御対象の文書ファイル又は動作実行部からなる資源を管理する装置であり、資源が文書ファイルの場合には当該文書ファイルを記憶した記憶装置に相当し、資源が動作実行部の場合には当該動作実行部を備えた動作実行装置に相当する。ここでは、資源が文書ファイルであるとする。なお、動作実行部とは、例えば、ドアのロック及びロック解除によりドア開閉等の動作を実行するための機能部であり、ドア自体は自動ドアでも手動ドアでもよい。
アクセス制御装置20は、アクセス主体により操作される端末装置である。ここでは、アクセス主体が一般的な操作者であるとする。但し、これに限らず、アクセス主体は、アクセス制御装置20内のアプリケーションプログラムを実行するCPU、又は外部の装置から入力される電文としてもよい。換言すると、アクセス主体は、アクセス制御装置20を介して、資源へのアクセスを図る操作者、機能部又は外部装置である。ここで、アクセスとは、資源の生成、閲覧、更新、削除、複製などの操作を指す。
インタフェース部21は、アクセス主体とアクセス制御装置20内部との入出力インタフェースであり、アクセス主体による入力部(図示せず)の操作により入力される、資源を示す資源識別子の値及び資源に対するアクセス要求内容を示す行為識別子の値を含むアクセス要求を受け付ける機能と、アクセス主体に対し、資源アクセス部22から受けたアクセス結果を出力する機能とをもっている。好適には、GUI(Graphical User Interface)やCUI(Commandline User Interface)などが挙げられるが、これに限らず、任意のインタフェース形態が使用可能となっている。また、インタフェース部21は、アクセス主体による入力部(図示せず)の操作により、属性情報を属性管理部25に書き込む機能、アクセス制御ポリシをアクセス制御ポリシ記憶部27に書き込む機能、アクセス主体認証情報を記憶部(図示せず)に書き込む機能、というように、情報を予め書き込む機能をもっていてもよい。
資源アクセス部22は、インタフェース部21により受け付けたアクセス要求に基づいて、資源にアクセスするための機能部であり、当該アクセス要求に基づいて、資源にアクセスするための資源アクセスイベントを開始する機能と、開始された資源アクセスイベントが保留又はキャンセルされなければ、アクセス要求に基づいて、資源にアクセスする機能とをもっている。資源アクセス部22は、アクセス制御実行部23により保留が解除された資源アクセスイベントの継続中に、アクセス要求に基づくアクセスを実行し、アクセス結果をアクセス応答として、インタフェース部21に出力して、アクセス主体に提供する。例えば、アクセス要求が資源の閲覧行為(“Read”)を要求し、アクセス制御実行部23により許可された場合、アクセス主体に資源の閲覧(描画)を提供する。また、資源は、アクセス制御装置20内に格納されてもよく、データベースなどの外部装置内に格納されてもよい。資源は、資源アクセス部22によりアクセスできれば、何れの場所に格納されていてもよい。
アクセス制御実行部23は、資源アクセス部22によるアクセスを制御するための機能部である。資源アクセス部22によるアクセスを制御する方法としては、例えば、次の2つが使用可能となっている。1つ目は、資源アクセス部22からの資源に対するアクセスを仲介する方法である。2つ目は、資源アクセス部22を監視して、資源アクセスイベントが開始されると、資源に対するアクセスを制御する方法である。ここでは、2つ目の例を説明する。
2つ目の例としては、具体的には、アクセスに関連付けられた特定のイベントが生じた場合に、イベントに応じてアクセス制御実行部23が動作する形態が使用可能となっている。また、制御としては、アクセスを許可又は拒否し、拒否の場合にはアクセスを終了させる形態が使用可能となっている。この他にも、資源が画像データの場合、画像変換などの特定の処理を追加してもよい。本実施形態では、制御の簡便な例として、アクセスを許可(Permit)又は拒否(Deny)する制御を用いる。
このようなアクセス制御実行部23は、ここでは以下の機能(f23-1)〜(f23-8)をもっている。
(f23-1) 資源アクセスイベントが開始されると、資源アクセス部22によるアクセスよりも先に資源アクセスイベントを保留する機能。
(f23-2) この保留中に、資源アクセス部22からアクセス要求を取得し、当該アクセス要求を含むアクセス決定要求を生成する決定要求生成機能。
(f23-3) アクセス決定要求を生成したとき、予め属性管理部25内の資源識別子に関連付けて指定された初段のアクセス制御ポリシ、又は前段のアクセス制御ポリシに指定された次段のアクセス制御ポリシをアクセス制御ポリシ取得部26から取得するポリシ取得機能。このポリシ取得機能は、アクセス制御ポリシ取得部26にポリシ取得要求を送信し、アクセス制御ポリシ取得部26からアクセス制御ポリシを取得することにより、実現される。
(f23-4) 生成したアクセス決定要求と取得したアクセス制御ポリシをアクセス決定部24に送出する機能。
(f23-5) このアクセス決定応答内の決定の結果が許可を示すとき、当該アクセス決定応答内に責務型ポリシがあれば、この責務型ポリシ内の責務情報を含む責務実行要求を属性更新責務実行部28に送出する機能。
(f23-6) 属性更新責務実行部29から送出された責務実行結果が成功を示すとき、アクセス決定応答内の責務型ポリシの責務情報に基づいて、次段のアクセス制御ポリシをポリシ取得機能に指定する機能。
(f23-7) アクセス決定部24から送出されたアクセス決定応答内の決定の結果が許可を示すとき、当該アクセス決定応答内に責務型ポリシが無ければ、資源アクセスイベントの保留を解除する機能。
(f23-8) アクセス決定部24から送出されたアクセス決定応答内の決定の結果が拒否を示すとき又は責務実行結果が失敗を示すとき、保留された資源アクセスイベントをキャンセルする機能。
なお、アクセス制御実行部23は、責務実行失敗を受けた場合、アクセス決定を拒否“Deny”として判断することが一般的には望ましい。しかしながら、アクセス制御実行部23は、最初に責務実行失敗を受けた場合にアクセス決定を拒否せずに、所定回数だけアクセス決定を再度実行した後に責務実行失敗であればアクセス決定を拒否するようにしてもよい。このような責務実行に伴う補完的な情報を明示的に責務情報に含めてもよい。
アクセス決定部24は、アクセスの許可又は拒否(アクセス決定)を決定するための機能部であり、次に機能(f24-1)〜(f24-2)をもっている。
(f24-1) アクセス制御実行部23から送出されたアクセス決定要求及びアクセス制御ポリシを受けると、当該アクセス制御ポリシ内の禁止型ポリシにより属性管理部25から属性情報を取得し、この属性情報と禁止型ポリシに基づいてアクセスの許可又は拒否を決定するアクセス決定機能。
(f24-2) 決定の結果を含み、且つこの決定に用いたアクセス制御ポリシ内に責務型ポリシがあれば当該責務型ポリシを更に含むように生成したアクセス決定応答をアクセス制御実行部23に送出する機能。
なお、アクセス決定の実行には、アクセス要求を含むアクセス決定要求と、アクセス要求の許可又は拒否を判定するための判定基準の情報が記述されたアクセス制御ポリシと、アクセス制御ポリシを補完する情報である属性情報とが必要となる。属性情報は、アクセス決定部24又はアクセス制御実行部23のいずれが取得してもよい。第1の実施形態では属性情報をアクセス決定部24が取得し、第2の実施形態では属性情報をアクセス制御実行部23が取得する。
アクセス決定要求は、図2に一例を示すように、XACML V2.0形式のリクエスト(Request)表現を用いたXML文書として表現できる。
この例では、資源(Resource)要素の子要素である属性(Attribute)要素値は、資源識別子を表現する値“resource0001”を示している。資源識別子は、資源を識別可能な情報であり、単純な文字列表現でもよく、URI(Uniform Resource Identifier)などの検索場所を含む情報形式をとってもよい。なお、資源識別子の値は、アクセス決定部24及び資源管理装置10が理解できる必要がある。この例では、資源要素のデータ型(DataType)属性値で指定されるように、文字列値として表現している。
行為(Action)要素の子要素である属性(Attribute)要素値は、行為識別子を表現する値である。行為識別子は、資源に対するアクセス行為を識別可能な情報である。この例では、行為要素のデータ型(DataType)属性値で指定されるように、行為識別子を文字列値として表現している。行為識別子を表現する文字列値“Read”は、閲覧行為を示している。
このようなアクセス決定要求には、資源識別子及び行為識別子以外にも、アクセス要求装置で取得可能な属性情報であれば、要求時刻や接続環境などの任意の属性情報を含めてもよい。なお、本実施形態の例では、アクセス決定要求には、アクセス主体及び環境に関する属性情報を含めていない(空要素)。アクセス主体に関する属性情報は、後述する属性情報更新によって取得及び更新されるためである。
アクセス制御ポリシは、図3に一例を示すように、段階的にアクセス制御を実行するように、複数段に分けて記述されている。
アクセス制御ポリシは、具体的には例えば、図4及び図5に示すように、アクセス制御ルールを集合させた構造のポリシ形式をとることができる。ここでは、標準的なポリシ記述言語として、非特許文献1に示したXACML V2.0形式を参考にした記述形式を採用している。
このアクセス制御ポリシは、一つ以上のポリシ(Policy)要素を持つ。ポリシ要素をまとめる情報としてポリシ集合(PolicySet)要素を持っていてもよい。ポリシ集合(PolicySet)要素をポリシ集合(PolicySet)要素に含めてもよい。ポリシ要素はルール(Rule)要素を持ち、ルール要素にアクセス制御の根幹的な内容が記述される。
一般的には、ポリシファイルは、アクセス制御の根幹的な内容を示すものとして、"subject"(主体)、"action"(行為)、"resource"(資源)、"environment"(環境)といった構成要素を含んでいる。
具体的には、"subject"(主体)はアクセス実行の主体であり、主体(Subjects)要素で示される。"resource"(資源)はアクセス実行の客体であり、資源(Resources)要素で示される。"action"(行為)はアクセス実行の行為内容であり、行為(Actions)要素で示される。"environment"(環境)はアクセス実行の環境を示す。責務(Obligation)要素は、アクセス決定に伴う責務が記述されている。責務(Obligations)要素は、複数の責務(Obligation)要素をまとめるための要素である。なお、名前空間やデータタイプ等の情報は、任意の付加的事項のため、記載を省略している。
図4及び図5に示す例では、2つのルールを設定している。一つは、ルール識別子(RuleId)属性値が“rule1”を持つルール(Rule)要素(以下、ルール1という)である。もう一つは、ルール識別子(RuleId)属性値が“deny-all-others”を持つルール(Rule)要素(以下、拒否ルールという)である。
ここで、ルール1は、特定の条件に適合した場合に許可効果を与えるためのルールを表現している。図4に示すルール1は、有効期限の条件を示すためのルールを表現している。この表現形式は、前述のXACML V2.0で提供される機能を利用するため、詳細な説明を省略する。このルール1は、環境属性である現時刻(EnvironmentAttributeDesignator要素が指し示す属性)が、有効期限で示された日付未満であれば、効果を許可とするルール表現である。ここでは、現時刻の値をアクセス決定部24が取得するが、これに限らず、現時刻の値をアクセス実行制御部23が取得してアクセス決定要求に含めてもよい。これは他の属性情報についても同様であり、アクセス制御実行部23が明示的に属性を属性管理部25より取得するか、もしくはルール1のように、環境属性指定者(EnvironmentAttributeDesignator)要素等で明示的に参照先を指定し、アクセス決定部24の内部で属性取得するかの何れかの方法を選択してよい。
一方、拒否ルールは、該当する条件を有する許可のためのルールが存在しない場合(他のルールが全て拒否の場合)に拒否効果を与えるためのルールを表現している。具体的には、拒否ルールは、所属するポリシ(Policy)要素内に、該当する条件を有する許可のためのルールが存在しない場合に、所属するポリシ(Policy)要素の効果を拒否(Deny)とするためのルールである。
次に、図4及び図5に示す例では、責務識別子(ObligationId)要素値“obligation1”を持つ責務(Obligation)要素が、属性情報の更新を行う責務行為を表現している。本実施形態では、属性情報の更新の一例として、アクセス主体を認証し、アクセス主体が有するアイデンティティ情報(アクセス主体識別子)を取得し、属性情報として更新する例を説明する。この他にも、現在の時刻を正確に証明するためのタイムスタンプ情報や、アクセス制御装置20が配置された物理的もしくはネットワーク的な位置情報なども、取得更新すべき情報として使用可能となっている。そのような情報を使用した場合も、前述したアクセス主体の認証と同様に、タイムスタンプ情報又は位置情報の取得及び認証並びに属性情報の更新を実行すればよい。また、責務要素の実行契機(FulfillOn)属性値が“Permit”(許可)を示しているため、図4及び図5のポリシ集合(PolicySet)全体の効果(Effect)が“Permit”(許可)を示すときに、この責務要素が適合することになる。
XACML V2.0形式では、責務要素は、複数の属性割当て(AttributeAssignment)要素から構成される。属性識別子(AttributeId)属性値“obligation-subject”(責務主体)を持つ属性割当て(AttributeAssignment)要素は、責務を実行する責務実行主体を示している。図4及び図5に示す例では、この属性割当て要素の値は“ObligationService:UserAuthenticationService”(責務サービス:ユーザ認証サービス)であり、アクセス主体認証責務実行部29を指している。属性識別子属性値“obligation-action”(責務行為)を持つ属性割当て要素は、責務実行主体が実行すべき責務行為を示している。図4及び図5の例では、この属性割当て要素の値は“AuthenticateUser”(ユーザを認証)であり、アクセス主体を認証することを示している。属性識別子属性値“obligation-complement:authentication-method”(責務補足:認証方法)を持つ属性割当て要素は、責務実行に伴う補足情報として、認証方式を示している。図4及び図5の例では、属性割当て要素の値は“password”(パスワード)であり、パスワード認証方式を示している。また、属性識別子属性値“obligation-complement:update-target”(責務補足:更新対象)を持つ属性割当て要素は、責務実行に伴う補足情報として、属性更新すべき対象属性を示している。この例では、認証によって取得し得たアクセス主体識別子(subject-id)を更新することを示している。この責務要素に記載された情報は、アクセス決定が“Permit”(許可)であったときに適合し、アクセス決定応答の一部である責務情報として、アクセス制御実行部23に送出される。
本実施形態では、段階的に次のアクセス制御処理に移行するために、図4及び図5に一例を示すように、責務識別子要素値“obligation2”(責務2)を持つ責務要素を明示的に用意している。但し、責務要素を明示的に指定しなくとも、暗黙的にアクセス制御実行部23が判断して、次のアクセス制御処理に移行してもよい。例えば、アクセス制御ポリシ取得部26により、段階的なアクセス制御処理に対応したアクセス制御ポリシを、順序付けて取得するなどが考えられる。
なお、アクセス決定要求としては、本実施形態では2段目でもアクセス決定部24が属性管理部25から属性情報を取得するので図2に示すアクセス決定要求を用いる。但し、図2に示すアクセス決定要求に代えて、図6に示すアクセス決定要求を用いてもよい。図6に示す例は、責務識別子要素値“obligation2”を持つ責務要素によって生じる2段目のアクセス決定要求の変形例であり、図2に示した1段目のアクセス決定要求に比べ、アクセス主体を示す主体(Subject)要素が追加されている点で異なる。すなわち、図6に示すアクセス決定要求は、前述した責務識別子要素値“obligation1”(責務1)を持つ責務要素によって実行された責務により更新された属性情報が明示的に含まれている。このアクセス決定要求に対しては、図7及び図8に示すように、2段目のアクセス制御ポリシ内のアクセス主体の適合対象を示す主体属性指定者(SubjectAttributeDesignator)要素の属性識別子属性値が、アクセス決定要求内のアクセス主体識別子を示す主体(Subject)要素の属性(Attribute)要素を参照するようにすればよい。但し、本実施形態では、アクセス決定部24が属性管理部25から属性情報を取得するように、アクセス制御ポリシ内のアクセス主体の適合対象の参照先を示す主体属性指定者要素の属性識別子属性値(図示せず)を記述している。このため、図2と同一のアクセス決定要求を用いている。以上のように、更新後の属性情報を属性管理部25から取得する構成に代えて、更新後の属性情報をアクセス決定要求から取得する構成に変形できることは、他の任意の属性においても同様である。なお、更新後の属性情報をアクセス決定要求から取得する構成については、第2の実施形態において説明する。
また、図7及び図8に2段目におけるアクセス制御ポリシの例を示す。ルール識別子(RuleId)属性値が“rule2”(ルール2)を持つルール(Rule)要素が示すルール(以下、ルール2という)は、アクセス主体が資源に対して許可される行為を示すルールであって、アクセス主体を示すアクセス主体識別子“user0001”と、資源を示す資源識別子“resource0001と、行為を示す行為識別子“Read”とで表現されている。なお、図6に示したアクセス決定要求の場合、ルール2が適合し、アクセス決定が“Permit”(許可)になることがわかる。
属性管理部25は、属性情報を管理するための機能部であり、本実施形態では、少なくとも現在日付の値及びアクセス主体識別子の値を個別に含む複数の属性情報を更新記憶する記憶部をもっている。なお、属性管理部25内の属性情報のうち、例えば、アクセス制御装置の名称などといった静的な属性情報は、効率的な観点から、インタフェース部21を介して予め属性管理部25内に書き込まれて管理される。
アクセス制御ポリシ取得部26は、アクセス制御実行部23から取得要求されたアクセス制御ポリシをアクセス制御ポリシ記憶部27から読み出す機能と、当該読み出したアクセス制御ポリシをアクセス制御実行部23に送出する機能をもっている。
アクセス制御ポリシ記憶部27は、インタフェース部21及びアクセス制御ポリシ取得部26等の機能部からアクセス可能な記憶部であり、以下の機能(f27-1)〜(f27-2)をもっている。
(f27-1) 予め属性条件といずれかの属性情報の取得先とがそれぞれ記述され、取得先である属性管理部25から取得した属性情報が属性条件を満足する場合に許可を示し、許可を示さない場合に拒否を示す禁止型ポリシと、許可を示すときに用いられ、責務実行主体、責務行為及び次段のアクセス制御ポリシの指定を含む責務情報が記述された責務型ポリシとを含む1つ以上のアクセス制御ポリシを記憶する第1のポリシ記憶機能。このような禁止型ポリシ及び責務型ポリシを含むアクセス制御ポリシの一例は、図4及び図5に示した通りである。
(f27-2) いずれかの責務情報に指定されたアクセス制御ポリシであって、予め資源識別子の値、行為識別子の値及びアクセス主体識別子の値を含む属性条件とアクセス決定要求から読み出す資源識別子及び行為識別子並びに属性管理部25から読み出すアクセス主体識別子が記述され、当該読み出した資源識別子の値、行為識別子の値及びアクセス主体識別子の値が当該属性条件に一致する場合に許可を示し、当該許可を示さない場合に拒否を示す禁止型ポリシを含み、責務型ポリシを含まないアクセス制御ポリシを記憶する第2のポリシ記憶機能。このような禁止型ポリシを含み、責務型ポリシを含まないアクセス制御ポリシの一例は、図7及び図8に示した通りである。
なお、アクセス制御ポリシ記憶部27に対し、図示しない復号部からアクセス制御ポリシを書き込む形態としてもよい。具体的には、暗号化アクセス制御ポリシを含む文書ファイルが資源の場合、復号部が当該文書ファイル内の暗号化アクセス制御ポリシを復号して得られたアクセス制御ポリシをアクセス制御ポリシ記憶部27に書き込む形態としてもよい。ここで、暗号化と復号の鍵は、共通鍵でもよく、アクセス制御装置20の公開鍵(暗号化用)と秘密鍵(復号用)のペアを用いてもよい。
属性更新責務実行部28は、アクセス制御実行部23からの責務実行要求に応じて、対応する責務を実行し、属性管理部25で管理される属性情報を更新するための機能部である。ここでは、属性更新責務実行部28は、以下の各機能(f28-1)〜(f28-2)をもっている。
(f28-1) アクセス制御実行部23から送出された責務実行要求内の責務情報に指定された責務実行主体に対し、当該責務情報内の責務行為を含む責務行為実行要求を送出する責務実行要求機能。図5に示す例では、責務識別子要素値“obligation1”(責務1)を持つ責務要素の責務実行主体がアクセス主体認証責務実行部29である。
(f28-2) アクセス主体認証責務実行部29にて両者が一致して認証に成功したとき、認証に用いたアクセス主体識別子の値を属性管理部25に書込むと共に責務実行の成功を示す責務実行結果をアクセス制御実行部23に送出し、両者が一致せずに認証に失敗したとき、責務実行の失敗を示す責務実行結果をアクセス制御実行部23に送出する機能。なお、アクセス主体識別子の値は、アクセス主体認証責務実行部29から属性管理部25に書き込んでもよい。同様に、責務実行結果は、アクセス主体認証責務実行部29からアクセス制御実行部23に送出してもよい。
また、属性更新責務実行部28は、責務内容毎に設けた複数の責務実行部に順次、責務実行を要求する形態としてもよく、この場合、責務実行要求を受けた後、対応する責務を実行可能な責務実行部に責務実行させればよい。なお、複数の責務実行部を設けた場合には、責務情報に羅列される順序通りに責務を実行し、全ての責務実行が成功した場合にのみ、責務実行成功を示す責務実行応答をアクセス制御実行部23に返すことが一般的には望ましい。また、責務実行部は、アクセス制御装置20内に限らず、他の装置に設けてもよい。
属性更新責務実行部28から責務実行が要求される責務実行部の具体例として、アクセス主体認証責務実行部29がある。
アクセス主体認証責務実行部29は、アクセス主体を認証し、アクセス主体が有するアイデンティティ情報を取得するための機能部であり、属性更新責務実行部28から送出された責務行為実行要求に基づいて、アクセス主体から取得したアクセス主体識別子の値及びアクセス主体認証情報と、予め設定されたアクセス主体識別子の値及びアクセス主体認証情報とを比較し、両者が一致すると、アクセス主体を正当と認証する責務実行主体としてのアクセス主体認証機能をもっている。なお、アクセス主体認証情報は、クレデンシャル情報(アクセス主体証明情報)と呼んでもよく、ここではアクセス主体のパスワードを用いている。アクセス主体認証情報は、アクセス主体識別子に関連付けてアクセス制御装置20内の記憶部(図示せず)に記憶されているが、これに限らず、外部の記憶装置に記憶されていてもよい。なお、図5に示す例では、属性更新のための責務情報がパスワード認証方式を指定しているため、アクセス主体認証情報がパスワードとなっている。この指定により、アクセス主体認証責務実行部29は、インタフェース部21を介して、アクセス主体に認証のための入力フォームなどのコールバック情報を提示し、アクセス主体によるアクセス主体識別子及びパスワードの入力の後、返送された入力フォームからアクセス主体識別子及びパスワードを取得してアクセス主体認証を実行する。
次に、以上のように構成されたアクセス制御装置20の動作を図9及び図10を参照しながら説明する。
(ST1)アクセス制御装置20においては、アクセス主体による図示しない入力部の操作により、資源を示す資源識別子と、資源に対するアクセス要求内容を示す行為識別子とを含むアクセス要求がインタフェース部21に入力される。インタフェース部21は、このアクセス要求を受け付ける。
(ST2)資源アクセス部22は、当該受け付けたアクセス要求に基づいて、資源にアクセスするための資源アクセスイベントを開始する。なお、資源アクセス部22は、開始された資源アクセスイベントが保留又はキャンセルされなければ、アクセス要求に基づいて、資源管理装置10内の資源にアクセスする。
(ST3)一方、アクセス制御実行部23は、資源アクセスイベントが開始されると、資源アクセス部22によるアクセスよりも先に資源アクセスイベントを保留する。
(ST4)アクセス制御実行部23は、この保留中に、資源アクセス部22からアクセス要求を取得し、当該アクセス要求を含むアクセス決定要求を生成する。また、アクセス制御実行部23は、アクセス要求を生成したとき、予め属性管理部25内の資源識別子に関連付けて指定された初段のアクセス制御ポリシをアクセス制御ポリシ取得部26から取得する。初段(初回)のアクセス制御ポリシは、予め資源識別子に関連付けて指定する場合に限らず、資源識別子とは無関係に予め指定してもよい。
(ST5)アクセス制御実行部23は、生成したアクセス決定要求と取得したアクセス制御ポリシをアクセス決定部24に送出する。
(ST6)アクセス決定部24は、送出されたアクセス決定要求及びアクセス制御ポリシを受けると(アクセスを決定するための補完情報として)、当該アクセス制御ポリシ内の禁止型ポリシにより属性管理部25から属性情報を取得し、この属性情報と禁止型ポリシに基づいてアクセスの許可又は拒否を決定する。この例では、アクセス決定部24は、属性管理部25から取得した現在日付の値が有効期限の属性条件を満足するので、アクセスの許可を決定する。アクセス決定部24は、この決定の結果を含み、且つこの決定に用いたアクセス制御ポリシ内に責務型ポリシがあれば当該責務型ポリシを更に含むように生成したアクセス決定応答をアクセス制御実行部23に送出する。
(ST7)アクセス制御実行部23は、このアクセス決定応答内の決定の結果が許可を示すとき、当該アクセス決定応答内に責務型ポリシがあれば、この責務型ポリシ内の責務情報を含む責務実行要求を属性更新責務実行部28に送出する。なお、アクセス決定応答内に責務型ポリシが無ければ、ステップST12に進む。また、アクセス決定応答内の決定の結果が拒否“Deny”を示すときには、ステップST14に進めばよい。
(ST8)属性更新責務実行部28は、この責務実行要求内の責務情報に指定された責務実行主体に対し、当該責務情報内の責務行為を含む責務行為実行要求を送出する。この例では、責務情報に指定された責務実行主体は、アクセス主体認証責務実行部29が該当する。アクセス主体認証責務実行部29は、インタフェース部21を介して、アクセス主体を認証する。具体的には、アクセス主体認証責務実行部29は、この責務行為実行要求に基づいて、アクセス主体から取得したアクセス主体識別子の値及びアクセス主体認証情報と、予め設定されたアクセス主体識別子の値及びアクセス主体認証情報とを比較し、両者が一致すると、アクセス主体を正当と認証する。
(ST9)両者が一致して認証に成功したとき、アクセス主体認証責務実行部29は、認証に用いたアクセス主体識別子を属性管理部25に書き込む。なお、属性管理部25に該当する属性情報(この例ではアクセス主体識別子)が存在する場合には値を更新し、該当する属性情報が存在していなければ新たに属性と値を登録する。
(ST10)属性更新責務実行部28は、責務実行の成功又は失敗に関わらず、責務実行の結果を応答する。具体的には、属性更新責務実行部28は、ステップST8で比較した両者が一致して認証に成功したとき、ステップST9における書込みと共に責務実行の成功を示す責務実行結果をアクセス制御実行部23に送出する。また、ステップST8で比較した両者が一致せずに認証に失敗したとき、属性更新責務実行部28は、責務実行の失敗を示す責務実行結果をアクセス制御実行部23に送出する。
(ST11)アクセス制御実行部23は、この責務実行結果が成功を示すとき、ステップST7におけるアクセス決定応答内の責務型ポリシの責務情報に基づいて、次段のアクセス制御ポリシを指定する。この指定は、図4及び図5の例における責務要素値“obligation2”(責務2)を持つ責務要素に基づく。成功を示す責務実行結果と、指定された次段のアクセス制御ポリシによってアクセス決定が継続される。アクセス決定が継続される場合、ステップST4からステップST11までが繰り返し実行される。なお、責務実行結果が失敗を示すことにより、アクセス決定を継続しない場合は、ステップST14へ進む。
続いて、アクセス決定が継続される場合に繰り返し実行されるステップST4〜ST11の動作を述べる。但し、この例では、次段のアクセス制御ポリシが最終段のアクセス制御ポリシでもあり、ステップST7からステップST12に進むため、ステップST8〜ST11の動作を行わない。
(ST4)アクセス制御実行部23は、資源アクセスイベントの保留中に、資源アクセス部22からアクセス要求を取得し、当該アクセス要求を含むアクセス決定要求を生成する。このアクセス決定要求は、前述したものと同じものでもよく、ステップST9で更新された属性情報を含むものでもよい。この例では、前述したアクセス決定要求と同じものとしている。また、アクセス制御実行部23は、アクセス要求を生成したとき、ステップST11で指定された次段のアクセス制御ポリシをアクセス制御ポリシ取得部26から取得する。
(ST5)アクセス制御実行部23は、生成したアクセス決定要求と取得したアクセス制御ポリシをアクセス決定部24に送出する。
(ST6)アクセス決定部24は、送出されたアクセス決定要求及びアクセス制御ポリシを受けると、当該アクセス制御ポリシ内の禁止型ポリシにより属性管理部25から属性情報を取得し、この属性情報と禁止型ポリシに基づいてアクセスの許可又は拒否を決定する。この例では、アクセス決定部24は、属性管理部25からアクセス主体識別子の値を取得し、アクセス決定要求から読み出した資源識別子及び行為識別子並びに当該取得したアクセス主体識別子が、禁止型ポリシに予め属性条件として記述された資源識別子の値、行為識別子の値及びアクセス主体識別子の値に一致するため、アクセスの許可を決定する。アクセス決定部24は、この決定の結果を含み、且つこの決定に用いたアクセス制御ポリシ内に責務型ポリシがあれば当該責務型ポリシを更に含むように生成したアクセス決定応答をアクセス制御実行部23に送出する。この例では、アクセスの許可を示す決定の結果を含むが、責務型ポリシを含まないアクセス決定応答が送出される。
(ST7)アクセス制御実行部23は、当該送出されたアクセス決定応答内の決定の結果が許可“Permit(許可)”を示すとき、当該アクセス決定応答内に責務型ポリシが無ければ、ステップST12に進む。
(ST12)アクセス制御実行部23は、資源アクセス部22における資源アクセスイベントの保留を解除する。
(ST13)資源アクセス部22は、資源アクセスイベントの保留が解除されると、インタフェース部21を介して、資源にアクセスし、アクセス結果をアクセス主体に出力する。この例では、アクセス要求内の資源識別子の値“resource0001”及び行為識別子の値“Read”に基づき、資源管理装置10内の文書ファイルが読み出されて表示出力される。なお、資源が文書ファイルではなく、動作実行部の場合には、資源識別子の値で示される動作実行部(例、ドア開閉部)が行為識別子の値(例、ドア開)の動作を実行した旨のアクセス結果を出力する。
(ST14)また、アクセス制御実行部23は、ステップST6で送出されたアクセス決定応答内の決定の結果が拒否“Deny”を示すとき又はステップST10で送出された責務実行結果が失敗を示すとき、保留された資源アクセスイベントをキャンセルする。資源アクセス部22は、資源アクセスイベントがキャンセルされると、インタフェース部21を介して、アクセスが拒否された旨をアクセス主体に出力する。
上述したように本実施形態によれば、資源に対するアクセス要求により開始した資源アクセスイベントを保留しておき、複数段のアクセス制御ポリシを順次用い、アクセス制御ポリシ毎に、属性情報の取得と当該取得した属性情報に基づくアクセス決定とを順次実行し、全てのアクセス決定の結果が許可を示すとき、資源アクセスイベントの保留を解除し、資源へアクセスする。
これにより、排他的かつ選択的な複数の属性情報が存在する場合でも、アクセス制御ポリシ毎に、属性情報の取得と当該取得した属性情報に基づくアクセス決定とを順次実行するようにして、詳細なアクセス制御を効率的に実現することができる。
また、アクセス決定後の責務処理により次段のアクセス決定に必要な属性情報を更新する工程と、当該更新された属性情報を取得してアクセス決定を行う工程とを連鎖的に実行することにより、詳細なアクセス制御を効率的に実現することができる。
なお、本実施形態は、段数n=2の場合を例に挙げて説明したが、これに限らず、図11に示すように、段数nが任意の複数の場合であっても同様に実施して同様の効果を得ることができる。
<第2の実施形態>
図12は本発明の第2の実施形態に係るアクセス制御装置及びその周辺構成を示す模式図であり、図13は同実施形態における動作を説明するための模式図であって、前述した図面と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。
すなわち、第2の実施形態は、第1の実施形態の変形例であり、属性情報を取得するステップと機能部とを変更している。すなわち、第1の実施形態のアクセス制御装置20では、アクセス制御実行部23がステップST4にて属性管理部25から属性情報を取得せず、アクセス決定部24がステップST6にて属性管理部25から属性情報を取得する構成となっていた。
これに対し、第2の実施形態のアクセス制御装置20’では、アクセス制御実行部23’がステップST4’にて属性管理部25’から属性情報を取得する一方、アクセス決定部24’がステップST6’にて属性管理部25’から属性情報を取得しない構成となっている。
具体的には、アクセス制御実行部23’は、前述した機能(f23-1)〜(f23-8)のうち、機能(f23-2)〜(f23-4)に代えて、以下の機能(f23-c1)〜(f23-c4)をもっている。
(f23-c1) 資源アクセスイベントの保留中に、資源アクセス部22からアクセス要求を取得する機能。
(f23-c2) アクセス要求を取得したとき、予め属性管理部25’内の資源識別子に関連付けて指定された初段のアクセス制御ポリシ、又は前段のアクセス制御ポリシに指定された次段のアクセス制御ポリシを取得するポリシ取得機能。
(f23-c3) 当該取得したアクセス制御ポリシ内の禁止型ポリシにより属性管理部25’から属性情報を取得し、この属性情報とアクセス要求を含むアクセス決定要求を生成する機能。
(f23-c4) 生成したアクセス決定要求と取得したアクセス制御ポリシをアクセス決定部24’に送出する機能。
なお、前述した機能(f23-7),(f23-8)におけるアクセス決定部24は、アクセス決定部24’に読み替える。
アクセス決定部24’は、前述した機能(f24-1)〜(f24-2)のうち、機能(f24-1)に代えて、以下の機能(f24-c1)をもっている。
(f24-c1) アクセス制御実行部23’から送出されたアクセス決定要求及びアクセス制御ポリシを受けると、このアクセス決定要求内の属性情報と当該アクセス制御ポリシ内の禁止型ポリシに基づいてアクセスの許可又は拒否を決定する機能。
なお、前述した機能(f24-1)におけるアクセス制御実行部23は、アクセス制御実行部23’に読み替える。このように、第2の実施形態において、第1の実施形態の機能部の符号23,24を符号23’,24’に読み替えることは他の機能でも同様である。
次に、以上のように構成されたアクセス制御装置20’の動作を図13を参照しながら説明する。アクセス制御装置20’の動作は、前述したステップST1〜ST14のうち、ステップST4及びST6に代えて、以下のステップST4’及びST6’を実行するものとなっている。
(ST4’)アクセス制御実行部23’は、資源アクセスイベントの保留中に、資源アクセス部22からアクセス要求を取得する。また、アクセス制御実行部23’は、予め属性管理部25内の資源識別子に関連付けて指定された初段のアクセス制御ポリシをアクセス制御ポリシ取得部26から取得する。初段(初回)のアクセス制御ポリシは、予め資源識別子に関連付けて指定する場合に限らず、資源識別子とは無関係に予め指定してもよい。しかる後、アクセス制御実行部23’は、取得したアクセス制御ポリシ内の禁止型ポリシにより属性管理部25から属性情報を取得する。アクセス制御実行部23’は、アクセス要求と属性情報を含むアクセス決定要求を生成する。
(ST6’)アクセス決定部24’は、アクセス制御実行部23’から送出されたアクセス決定要求及びアクセス制御ポリシを受けると、アクセス決定要求内の属性情報とアクセス制御ポリシ内の禁止型ポリシに基づいてアクセスの許可又は拒否を決定する。アクセス決定部24’は、この決定の結果を含み、且つこの決定に用いたアクセス制御ポリシ内に責務型ポリシがあれば、当該責務型ポリシを更に含むように生成したアクセス決定応答をアクセス制御実行部23’に送出する。
このようなステップST4’及びST6’に示すように、アクセス決定部24’は、第1の実施形態のアクセス決定部24に比べ、アクセス制御装置20内の属性管理部25から属性情報を取得する機能が省略されている。このため、アクセス決定部24’を独立した外部装置とすることが可能となる。
上述したように本実施形態によれば、第1の実施形態の効果に加え、アクセス決定部24’をアクセス制御装置20’の外部に配置することができる。
また同様に、本実施形態は、段数n=2の場合を例に挙げて説明したが、これに限らず、図14に示すように、段数nが任意の複数の場合であっても同様に実施して同様の効果を得ることができる。
なお、上記の各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明の各実施形態における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
なお、本発明の各実施形態におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明の各実施形態におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本発明は、上記の各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。更に、上記の各実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、各実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜に組合せてもよい。
10…資源管理装置、20,20’…アクセス制御装置、21…インタフェース部、22…資源アクセス部、23…アクセス制御実行部、24,24’…アクセス決定部、25,25’…属性管理部、26…アクセス制御ポリシ取得部、27…アクセス制御ポリシ記憶部、28…属性更新責務実行部、29…アクセス主体認証責務実行部。

Claims (4)

  1. 属性管理手段、第1のポリシ記憶手段及び第2のポリシ記憶手段を備え、制御対象の文書ファイル又は動作実行部からなる資源へのアクセスを制御するアクセス制御装置に用いられるアクセス制御プログラムであって、
    前記アクセス制御装置を、
    少なくとも現在日付の値及びアクセス主体識別子の値を個別に含む複数の属性情報を前記属性管理手段に更新書き込みする手段、
    予め属性条件といずれかの属性情報の取得先とがそれぞれ記述され、前記取得先である属性管理手段から取得した属性情報が前記属性条件を満足する場合に許可を示し、前記許可を示さない場合に拒否を示す禁止型ポリシと、前記許可を示すときに用いられ、責務実行主体、責務行為及び次段のアクセス制御ポリシの指定を含む責務情報が記述された責務型ポリシとを含む1つ以上のアクセス制御ポリシを前記第1のポリシ記憶手段に書き込む手段、
    いずれかの責務情報に指定されたアクセス制御ポリシであって、予め資源識別子の値、行為識別子の値及びアクセス主体識別子の値を含む属性条件とアクセス決定要求から読み出す資源識別子及び行為識別子並びに前記属性管理手段から読み出すアクセス主体識別子が記述され、当該読み出した資源識別子の値、行為識別子の値及びアクセス主体識別子の値が当該属性条件に一致する場合に許可を示し、当該許可を示さない場合に拒否を示す禁止型ポリシを含み、責務型ポリシを含まないアクセス制御ポリシを前記第2のポリシ記憶手段に書き込む手段、
    前記資源を示す資源識別子の値及び前記資源に対するアクセス要求内容を示す行為識別子の値を含むアクセス要求を受け付ける要求受付手段、
    当該受け付けたアクセス要求に基づいて、前記資源にアクセスするための資源アクセスイベントを開始するアクセスイベント開始手段、
    前記開始された資源アクセスイベントが保留又はキャンセルされなければ、前記アクセス要求に基づいて、前記資源にアクセスする資源アクセス手段、
    前記資源アクセスイベントが開始されると、前記資源アクセス手段によるアクセスよりも先に前記資源アクセスイベントを保留する手段、
    この保留中に、前記資源アクセス手段からアクセス要求を取得し、当該アクセス要求を含むアクセス決定要求を生成する決定要求生成手段、
    前記アクセス決定要求を生成したとき、予め前記属性管理手段内の資源識別子に関連付けて指定された初段のアクセス制御ポリシ、又は前段のアクセス制御ポリシに指定された次段のアクセス制御ポリシを取得するポリシ取得手段、
    前記生成したアクセス決定要求と前記取得したアクセス制御ポリシを送出する手段、
    前記送出されたアクセス決定要求及びアクセス制御ポリシを受けると、当該アクセス制御ポリシ内の禁止型ポリシにより前記属性管理手段から属性情報を取得し、この属性情報と禁止型ポリシに基づいて前記アクセスの許可又は拒否を決定するアクセス決定手段、
    前記決定の結果を含み、且つこの決定に用いたアクセス制御ポリシ内に責務型ポリシがあれば当該責務型ポリシを更に含むように生成したアクセス決定応答を送出する手段、
    このアクセス決定応答内の決定の結果が許可を示すとき、当該アクセス決定応答内に責務型ポリシがあれば、この責務型ポリシ内の責務情報を含む責務実行要求を送出する手段、
    この責務実行要求内の責務情報に指定された責務実行主体に対し、当該責務情報内の責務行為を含む責務行為実行要求を送出する責務実行要求手段、
    この責務行為実行要求に基づいて、アクセス主体から取得したアクセス主体識別子の値及びアクセス主体認証情報と、予め設定されたアクセス主体識別子の値及びアクセス主体認証情報とを比較し、両者が一致すると、前記アクセス主体を正当と認証する前記責務実行主体としてのアクセス主体認証手段、
    前記両者が一致して認証に成功したとき、前記認証に用いたアクセス主体識別子の値を前記属性管理手段に書込むと共に責務実行の成功を示す責務実行結果を送出し、前記両者が一致せずに認証に失敗したとき、責務実行の失敗を示す責務実行結果を送出する手段、
    この責務実行結果が成功を示すとき、前記アクセス決定応答内の責務型ポリシの責務情報に基づいて、次段のアクセス制御ポリシを前記ポリシ取得手段に指定する手段、
    前記送出されたアクセス決定応答内の決定の結果が許可を示すとき、当該アクセス決定応答内に責務型ポリシが無ければ、前記保留を解除する手段、
    前記送出されたアクセス決定応答内の決定の結果が拒否を示すとき又は前記責務実行結果が失敗を示すとき、前記保留された資源アクセスイベントをキャンセルする手段、
    として機能させるためのアクセス制御プログラム。
  2. 請求項1に記載のアクセス制御プログラムにおいて、
    前記アクセス制御装置を、
    前記決定要求生成手段、前記ポリシ取得手段及び前記アクセス決定手段に代えて、
    前記資源アクセスイベントの保留中に、前記資源アクセス手段からアクセス要求を取得する手段、
    前記アクセス要求を取得したとき、予め前記属性管理手段内の資源識別子に関連付けて指定された初段のアクセス制御ポリシ、又は前段のアクセス制御ポリシに指定された次段のアクセス制御ポリシを取得するポリシ取得手段、
    当該取得したアクセス制御ポリシ内の禁止型ポリシにより前記属性管理手段から属性情報を取得し、この属性情報とアクセス要求を含むアクセス決定要求を生成する手段、
    前記送出されたアクセス決定要求及びアクセス制御ポリシを受けると、このアクセス決定要求内の属性情報と当該アクセス制御ポリシ内の禁止型ポリシに基づいて前記アクセスの許可又は拒否を決定する手段、
    として機能させるためのアクセス制御プログラム。
  3. 制御対象の文書ファイル又は動作実行部からなる資源へのアクセスを制御するアクセス制御装置であって、
    少なくとも現在日付の値及びアクセス主体識別子の値を個別に含む複数の属性情報を更新記憶するための属性管理手段と、
    予め属性条件といずれかの属性情報の取得先とがそれぞれ記述され、前記取得先である属性管理手段から取得した属性情報が前記属性条件を満足する場合に許可を示し、前記許可を示さない場合に拒否を示す禁止型ポリシと、前記許可を示すときに用いられ、責務実行主体、責務行為及び次段のアクセス制御ポリシの指定を含む責務情報が記述された責務型ポリシとを含む1つ以上のアクセス制御ポリシを記憶する第1のポリシ記憶手段と、
    いずれかの責務情報に指定されたアクセス制御ポリシであって、予め資源識別子の値、行為識別子の値及びアクセス主体識別子の値を含む属性条件とアクセス決定要求から読み出す資源識別子及び行為識別子並びに前記属性管理手段から読み出すアクセス主体識別子が記述され、当該読み出した資源識別子の値、行為識別子の値及びアクセス主体識別子の値が当該属性条件に一致する場合に許可を示し、当該許可を示さない場合に拒否を示す禁止型ポリシを含み、責務型ポリシを含まないアクセス制御ポリシを記憶する第2のポリシ記憶手段と、
    前記資源を示す資源識別子の値及び前記資源に対するアクセス要求内容を示す行為識別子の値を含むアクセス要求を受け付ける要求受付手段と、
    当該受け付けたアクセス要求に基づいて、前記資源にアクセスするための資源アクセスイベントを開始するアクセスイベント開始手段と、
    前記開始された資源アクセスイベントが保留又はキャンセルされなければ、前記アクセス要求に基づいて、前記資源にアクセスする資源アクセス手段と、
    前記資源アクセスイベントが開始されると、前記資源アクセス手段によるアクセスよりも先に前記資源アクセスイベントを保留する手段と、
    この保留中に、前記資源アクセス手段からアクセス要求を取得し、当該アクセス要求を含むアクセス決定要求を生成する決定要求生成手段と、
    前記アクセス決定要求を生成したとき、予め前記属性管理手段内の資源識別子に関連付けて指定された初段のアクセス制御ポリシ、又は前段のアクセス制御ポリシに指定された次段のアクセス制御ポリシを取得するポリシ取得手段と、
    前記生成したアクセス決定要求と前記取得したアクセス制御ポリシを送出する手段と、
    前記送出されたアクセス決定要求及びアクセス制御ポリシを受けると、当該アクセス制御ポリシ内の禁止型ポリシにより前記属性管理手段から属性情報を取得し、この属性情報と禁止型ポリシに基づいて前記アクセスの許可又は拒否を決定するアクセス決定手段と、
    前記決定の結果を含み、且つこの決定に用いたアクセス制御ポリシ内に責務型ポリシがあれば当該責務型ポリシを更に含むように生成したアクセス決定応答を送出する手段と、
    このアクセス決定応答内の決定の結果が許可を示すとき、当該アクセス決定応答内に責務型ポリシがあれば、この責務型ポリシ内の責務情報を含む責務実行要求を送出する手段と、
    この責務実行要求内の責務情報に指定された責務実行主体に対し、当該責務情報内の責務行為を含む責務行為実行要求を送出する責務実行要求手段と、
    この責務行為実行要求に基づいて、アクセス主体から取得したアクセス主体識別子の値及びアクセス主体認証情報と、予め設定されたアクセス主体識別子の値及びアクセス主体認証情報とを比較し、両者が一致すると、前記アクセス主体を正当と認証する前記責務実行主体としてのアクセス主体認証手段と、
    前記両者が一致して認証に成功したとき、前記認証に用いたアクセス主体識別子の値を前記属性管理手段に書込むと共に責務実行の成功を示す責務実行結果を送出し、前記両者が一致せずに認証に失敗したとき、責務実行の失敗を示す責務実行結果を送出する手段と、
    この責務実行結果が成功を示すとき、前記アクセス決定応答内の責務型ポリシの責務情報に基づいて、次段のアクセス制御ポリシを前記ポリシ取得手段に指定する手段と、
    前記送出されたアクセス決定応答内の決定の結果が許可を示すとき、当該アクセス決定応答内に責務型ポリシが無ければ、前記保留を解除する手段と、
    前記送出されたアクセス決定応答内の決定の結果が拒否を示すとき又は前記責務実行結果が失敗を示すとき、前記保留された資源アクセスイベントをキャンセルする手段と、
    を備えたことを特徴とするアクセス制御装置。
  4. 請求項3に記載のアクセス制御装置において、
    前記決定要求生成手段、前記ポリシ取得手段及び前記アクセス決定手段に代えて、
    前記資源アクセスイベントの保留中に、前記資源アクセス手段からアクセス要求を取得する手段と、
    前記アクセス要求を取得したとき、予め前記属性管理手段内の資源識別子に関連付けて指定された初段のアクセス制御ポリシ、又は前段のアクセス制御ポリシに指定された次段のアクセス制御ポリシを取得するポリシ取得手段と、
    当該取得したアクセス制御ポリシ内の禁止型ポリシにより前記属性管理手段から属性情報を取得し、この属性情報とアクセス要求を含むアクセス決定要求を生成する手段と、
    前記送出されたアクセス決定要求及びアクセス制御ポリシを受けると、このアクセス決定要求内の属性情報と当該アクセス制御ポリシ内の禁止型ポリシに基づいて前記アクセスの許可又は拒否を決定する手段と、
    を備えたことを特徴とするアクセス制御装置。
JP2010128188A 2010-06-03 2010-06-03 アクセス制御プログラム及び装置 Active JP4951092B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2010128188A JP4951092B2 (ja) 2010-06-03 2010-06-03 アクセス制御プログラム及び装置
PCT/JP2011/062623 WO2011152468A1 (ja) 2010-06-03 2011-06-01 アクセス制御装置及び記憶媒体
CN201180020331.6A CN102859530B (zh) 2010-06-03 2011-06-01 访问控制装置以及用于访问控制装置的访问控制方法
US13/692,351 US8719950B2 (en) 2010-06-03 2012-12-03 Access control apparatus and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010128188A JP4951092B2 (ja) 2010-06-03 2010-06-03 アクセス制御プログラム及び装置

Publications (2)

Publication Number Publication Date
JP2011253450A JP2011253450A (ja) 2011-12-15
JP4951092B2 true JP4951092B2 (ja) 2012-06-13

Family

ID=45066826

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010128188A Active JP4951092B2 (ja) 2010-06-03 2010-06-03 アクセス制御プログラム及び装置

Country Status (4)

Country Link
US (1) US8719950B2 (ja)
JP (1) JP4951092B2 (ja)
CN (1) CN102859530B (ja)
WO (1) WO2011152468A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5197843B1 (ja) 2011-12-27 2013-05-15 株式会社東芝 認証連携システムおよびidプロバイダ装置
US8955041B2 (en) 2012-02-17 2015-02-10 Kabushiki Kaisha Toshiba Authentication collaboration system, ID provider device, and program
US10095705B2 (en) * 2012-09-24 2018-10-09 Microsoft Technology Licensing, Llc Integrated data retention policy for solid state and asymmetric access
US9185099B2 (en) * 2013-09-23 2015-11-10 Airwatch Llc Securely authorizing access to remote resources
US9665432B2 (en) * 2014-08-07 2017-05-30 Microsoft Technology Licensing, Llc Safe data access following storage failure
US9847918B2 (en) 2014-08-12 2017-12-19 Microsoft Technology Licensing, Llc Distributed workload reassignment following communication failure
US9836596B2 (en) * 2015-07-08 2017-12-05 Google Inc. Methods and systems for controlling permission requests for applications on a computing device
JP2017220112A (ja) * 2016-06-09 2017-12-14 キヤノン株式会社 データ管理システム、制御方法、およびプログラム
CN107103251B (zh) * 2017-04-26 2020-04-21 杭州中天微系统有限公司 包含映射访问接口的处理器
JP6969676B2 (ja) * 2018-04-19 2021-11-24 村田機械株式会社 排他制御システム及び排他制御方法
CN111259375A (zh) * 2020-01-09 2020-06-09 青岛海尔科技有限公司 应用于物联网操作系统的访问请求的处理方法及装置
JP7280851B2 (ja) * 2020-03-30 2023-05-24 株式会社日立製作所 データアクセス制御システム
CN114978715B (zh) * 2022-05-25 2024-06-25 河南科技大学 一种基于社会情境访问控制模型的虚假信息传播控制方法
CN115174185B (zh) * 2022-06-30 2023-09-22 中国人民解放军战略支援部队信息工程大学 一种访问控制方法及装置
CN115622785B (zh) * 2022-10-24 2024-06-07 哈尔滨工业大学 一种面向服务互联网的多层次零信任安全控制方法
CN118364495B (zh) * 2024-06-19 2024-08-30 北京辰信领创信息技术有限公司 基于Linux应用层的实时访问控制方法、计算机装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001306521A (ja) 2000-04-20 2001-11-02 Nec Corp 属性別アクセス制御方法及びシステム並びに認証用プログラム又はアクセス制御用データを記憶した記憶媒体
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
EP1507402A3 (en) * 2003-06-23 2005-07-20 Ricoh Company, Ltd. Access control decision system, access control enforcing system, and security policy
JP4336858B2 (ja) * 2003-07-02 2009-09-30 日本電気株式会社 ポリシ処理システム、ポリシ処理方法及びポリシ処理プログラム
JP4793839B2 (ja) * 2004-06-29 2011-10-12 インターナショナル・ビジネス・マシーンズ・コーポレーション 木構造データによるアクセス制御手段
JP2008026925A (ja) * 2004-06-29 2008-02-07 Easy Systems Japan Kk ファイル管理プログラム
US8365298B2 (en) * 2006-09-29 2013-01-29 Sap Ag Comprehensive security architecture for dynamic, web service based virtual organizations
JP4342584B2 (ja) * 2007-10-29 2009-10-14 株式会社東芝 ファイルアクセス制御装置及びプログラム

Also Published As

Publication number Publication date
JP2011253450A (ja) 2011-12-15
CN102859530B (zh) 2015-05-06
WO2011152468A1 (ja) 2011-12-08
US20130097665A1 (en) 2013-04-18
CN102859530A (zh) 2013-01-02
US8719950B2 (en) 2014-05-06

Similar Documents

Publication Publication Date Title
JP4951092B2 (ja) アクセス制御プログラム及び装置
CN110352428B (zh) 将安全策略管理权限委托给管理账户
JP4838610B2 (ja) 文書管理装置、文書管理方法、プログラム
US8863305B2 (en) File-access control apparatus and program
JP4929383B2 (ja) オブジェクト複製制御装置およびプログラム
JP2009522694A (ja) オブジェクトへのユーザアクセスの管理
US20070233686A1 (en) Isolated access to named resources
EP2366164A1 (en) Method and system for impersonating a user
US9798561B2 (en) Guarded virtual machines
US20170220814A1 (en) Digital rights management system implementing version control
US12039085B2 (en) Managing registry access on a computer device
US20190394188A1 (en) Information processing apparatus, information processing method, and authentication linking system
US20240323192A1 (en) Method, apparatus, and computer-readable recording medium for controlling execution of event stream-based container workload in cloud environment
US20220094686A1 (en) Gatekeeper resource to protect cloud resources against rogue insider attacks
JP2010262550A (ja) 暗号化システム及び暗号化プログラム及び暗号化方法及び暗号装置
JP4796164B2 (ja) ポリシ管理装置及びプログラム
JP2016038618A (ja) アクセス制御装置、アクセス制御方法及びアクセス制御プログラム
EP3742318B1 (en) Method and device for the storing, inspection control and retrieval of data from a permanently immutable, distributed and decentralized storage
US7730525B2 (en) Method, system, and computer program product for limiting authorization of an executable action to an application session
JP5100356B2 (ja) ポリシ生成装置、ポリシ評価装置、認証サーバ装置及びプログラム
JP5426712B2 (ja) 複合ファイル生成装置、複合ファイル展開装置及びプログラム
JP2017117199A (ja) 設定値管理装置、コンピュータ装置、方法およびプログラム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120214

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120309

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150316

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4951092

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350