アクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置
【課題】ポリシ作成処理の負荷を低減する。
【解決手段】アクセス制御システム1は、サービス提供装置100と、サービス提供装置100からリソース10へのアクセス要求の認可判定を行う認可装置200と、を備え、認可装置200は、サービス提供装置100から、ユーザ3からのリソース10へのアクセス要求を受け付ける要求受付部202と、アクセス要求に呼応して、予め仮登録されたポリシを用いて、ユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う認可判定部208と、判定結果に基づき予め仮登録されたポリシにポリシ設定違反がないことを確認し、ポリシ設定違反がないポリシを検証済みポリシとして登録するポリシ格納部210と、ポリシ設定違反がないポリシを用いた認可判定部208の判定結果をサービス提供装置100に返信する応答部212と、を備える。
【解決手段】アクセス制御システム1は、サービス提供装置100と、サービス提供装置100からリソース10へのアクセス要求の認可判定を行う認可装置200と、を備え、認可装置200は、サービス提供装置100から、ユーザ3からのリソース10へのアクセス要求を受け付ける要求受付部202と、アクセス要求に呼応して、予め仮登録されたポリシを用いて、ユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う認可判定部208と、判定結果に基づき予め仮登録されたポリシにポリシ設定違反がないことを確認し、ポリシ設定違反がないポリシを検証済みポリシとして登録するポリシ格納部210と、ポリシ設定違反がないポリシを用いた認可判定部208の判定結果をサービス提供装置100に返信する応答部212と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置に関し、特に、分散環境におけるポリシを用いたアクセス制御を行うアクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置に関する。
【背景技術】
【0002】
クラウドコンピューティングなどの分散システムにおける認証技術の一例が非特許文献1に記載されている。図21に示すように、アクセス制御システム90では、サービスをユーザ60に提供するサービス提供装置70(Service Provider:SP)と、ユーザの個人情報98を保有し、サービス提供装置70に提供する認可装置80(Identity Provider:IdP)との間で情報を交換している。
【0003】
ユーザ60が、サービス提供装置70にアクセスし(ステップS1)、サービスの提供を要求する。認可装置80はユーザ情報を集中管理しており、サービス提供装置70は認可装置80に認証や認可処理を委託している。すなわち、ユーザ60からのアクセス要求などがなされ、サービス提供装置70がユーザ認証や認可判定を必要となった場合、認可装置80に認証および認可処理を依頼し(ステップS2)、認可装置80とユーザ60の間でユーザ認証が行われる(ステップS3)。そして、認可装置80が、認証されたユーザのアクセス可否判定を行う。その判定結果を認可装置80からサービス提供装置70に返信する(ステップS4)。そして、判定結果に従って、サービス提供装置70からユーザ60にサービスが提供される(ステップS5)。
【0004】
この認証情報を認可装置80とサービス提供装置70の間で交換するために、OpenIDなど様々な方式が提案されている。OpenIDを利用することで、軽量な処理によるシングルサインオンが実現される。
【0005】
また、分散環境での認可処理を実現するために、XACML(eXtensible Access Control Markup Language)という仕様が提案されている(非特許文献2)。図22に示すように、非特許文献2記載のシステム50は、認可判定を行うために、認可判定結果に基づきリソース52へのアクセスを許可するPEP(Policy Enforce Point)72と、アクセス可否判定を行うPDP(Policy Decision Point)82と、アクセスポリシを管理するPAP(Policy Administration Point)84と、アクセス制御に必要な情報を管理するPIP(Policy Information Point)86とを含むシステムが規定されている。
【0006】
このような構成を有する非特許文献2記載のシステム50は次のように動作する。
すなわち、アクセスリクエスタ62がPEP72の情報にアクセスすると、PEP72はPDP82に認可判定を要求する。すると、PDP82はPAP84からポリシを取得し、PIP86から情報を取得し、PEP72へのアクセスを許可するか拒否するか判定する。その後、PDP82は判定結果をPEP72に通知する。PEP72が通知を取得すると、前記通知に従いリソース52へのアクセスを許可するか否か決定し、アクセスリクエスタ62のアクセスに応答する。
【0007】
また、特許文献1にはアクセスポリシ設定装置が記載されている。この装置を利用すると、すでに設定されているポリシをもとにして、新たなポリシを類推して設定することができるようになる。そのため、アクセス制御を行う前に、アクセスポリシを容易に設定できるようになる。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2007−213208号公報
【非特許文献】
【0009】
【非特許文献1】富士榮 尚寛、“第2回クラウド・コンピューティング時代の認証技術」”、[online]、2010年8月25日、アットマーク・アイティ、[平成23年2月21日検索]、インターネット、<URL:http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html>
【非特許文献2】オアシス スタンダード(OASIS Standards)、“エクステンシブル アクセス コントロール マークアップ ランゲージ バージョン2.0(eXtensible Access Control Markup Language (XACML) Version 2.0)”、[online]、2005年2月1日、オアシス(OASIS)、[平成22年12月21日検索]、インターネット、<URL:http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-core-spec-os.pdf>
【発明の概要】
【発明が解決しようとする課題】
【0010】
上述した文献に記載されたシステムにおいては、事前の取り決めなど複雑な処理が必要となるため、ポリシ作成の負荷が高いという問題点があった。
その理由は、上記文献に記載された分散システムにおけるアクセス制御システムにおいて、事前に情報交換する全てのIdPとSPを決定することは難しいためである。たとえば、情報交換するIdPやSPが変更される可能性があり、事前に決定できない。そのため、IdPとSPが事前にポリシを設定しておくことは、非常に処理負荷が高く、事前に全てのポリシをあらかじめ規定しておくことは現実的ではない。また、事前に情報を交換するIdPとSPが決まっていれば、事前に適切なポリシを交換することは可能であるが、現実ではIdPやSPは固定的ではなく流動的である。
【0011】
本発明の目的は、上述した課題である事前にポリシを作成することの処理負荷が高いという問題を解決するアクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置を提供することにある。
【課題を解決するための手段】
【0012】
本発明のアクセス制御システムは、
ユーザにサービスを提供するサービス提供装置と、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求の認可判定を行う認可装置と、を備え、
前記認可装置は、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備える。
【0013】
本発明の認可装置は、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備える。
【0014】
本発明のサービス提供装置は、
リソースへのアクセスの認可判定を行う認可装置が作成した第1部分ポリシと結合して、前記認可装置が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、前記リソースへのアクセス制御のポリシの設定を受け付けて、作成する部分ポリシ作成手段を備える。
【0015】
本発明のアクセス制御方法は、
リソースへのアクセスの認可判定を行う認可装置が、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付け、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行い、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、
前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録し、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信するアクセス制御方法である。
【0016】
本発明のコンピュータプログラムは、
ユーザからのリソースへのアクセス要求の認可判定を行う認可装置を実現するためのコンピュータに、
前記ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける手順、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う手順、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信する手順、を実行させるためのプログラムである。
【0017】
なお、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。
【0018】
また、本発明の各種の構成要素は、必ずしも個々に独立した存在である必要はなく、複数の構成要素が一個の部材として形成されていること、一つの構成要素が複数の部材で形成されていること、ある構成要素が他の構成要素の一部であること、ある構成要素の一部と他の構成要素の一部とが重複していること、等でもよい。
【0019】
また、本発明の方法およびコンピュータプログラムには複数の手順を順番に記載してあるが、その記載の順番は複数の手順を実行する順番を限定するものではない。このため、本発明の方法およびコンピュータプログラムを実施するときには、その複数の手順の順番は内容的に支障しない範囲で変更することができる。
【0020】
さらに、本発明の方法およびコンピュータプログラムの複数の手順は個々に相違するタイミングで実行されることに限定されない。このため、ある手順の実行中に他の手順が発生すること、ある手順の実行タイミングと他の手順の実行タイミングとの一部ないし全部が重複していること、等でもよい。
【発明の効果】
【0021】
本発明によれば、事前のポリシ作成処理の負荷を低減するアクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置が提供される。
【図面の簡単な説明】
【0022】
【図1】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図2】本発明の実施の形態に係るアクセス制御システムの各装置を実現するコンピュータの構成を示すブロック図である。
【図3】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図4】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図5】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図6】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図7】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図8】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図9】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図10】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図11】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図12】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図13】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図14】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図15】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図16】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図17】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図18】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図19】本発明の実施の形態に係るアクセス制御システムのポリシ作成処理の手順の一例を示すフローチャートである。
【図20】本発明の実施の形態に係るアクセス制御システムの認可判定処理の手順の一例を示すフローチャートである。
【図21】非特許文献記載のシステムの構成を示すブロック図である。
【図22】非特許文献記載のシステムの構成を示すブロック図である。
【発明を実施するための形態】
【0023】
以下、本発明の実施の形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。
【0024】
(第1の実施の形態)
図1は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、ユーザ3にサービスを提供するサービス提供装置100と、サービス提供装置100から、ユーザ3からのリソース10へのアクセス要求の認可判定を行う認可装置200と、を備える。
【0025】
サービス提供装置100は、所謂サービスプロバイダ(Service Provider:SP)であり、ユーザ3に各種サービスを提供する。認可装置200は、所謂アイデンティティプロバイダ(Identity Provider:IdP)であり、ユーザ3の情報を集中管理し、サービス提供装置100に替わって、ユーザ3の認証や認可判定といった処理を行う。サービス提供装置100は、認可装置200にユーザ3の認証または認可判定の処理を認可装置200に委託している。
【0026】
認可装置200は、サービス提供装置100から、ユーザ3からのリソース10へのアクセス要求を受け付ける要求受付部202と、アクセス要求に呼応して、予め仮登録されたポリシを用いて、ユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う認可判定部208と、認可判定部208の判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反がないことを確認し、ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録部(ポリシ格納部210、認可判定部208)と、ポリシ設定違反がなかったポリシを用いた認可判定部208の判定結果をサービス提供装置100に返信する応答部212と、を備える。
【0027】
より詳細には、認可装置200は、要求受付部202と、ユーザ情報記憶部(図中「ユーザ情報」と示す)204と、リソース情報記憶部(図中「リソース情報」と示す)206と、認可判定部208と、ポリシ格納部210と、応答部212と、を備える。
【0028】
サービス提供装置100または認可装置200は、たとえば、図2に示すように、CPU120やメモリ122、ハードディスク124、および通信装置(ネットワーク5に接続し、通信するネットワーク通信部126)を備え、キーボードやマウス等の入力装置150やディスプレイ等の表示装置152やプリンタ等の出力装置(不図示)と接続されるサーバコンピュータやパーソナルコンピュータ、またはそれらに相当する装置を用いて実現することができる。
【0029】
サービス提供装置100または認可装置200は、入力装置150の入力を受け付ける操作受付部128と、表示装置152の表示制御を行う表示制御部130と、をさらに備える。サービス提供装置100または認可装置200のこれらの各要素は、バス134を介して互いに接続される。そして、CPU120が各要素とともにサービス提供装置100または認可装置200全体を制御する。そして、CPU120が、ハードディスク124に記憶されるプログラムをメモリ122に読み出して実行することで、本発明の各図のサービス提供装置または認可装置の各ユニットの各機能を実現することができる。なお、各図において、本発明の本質に関わらない部分の構成については省略してあり、図示されていない。
【0030】
本実施形態のコンピュータプログラムは、認可装置200を実現させるためのコンピュータに、ユーザ3にサービスを提供するサービス提供装置100から、ユーザ3からのリソース10へのアクセス要求を受け付ける手順、アクセス要求に呼応して、予め仮登録されたポリシを用いて、ユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う手順、認可判定の判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反がないことを確認し、ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、ポリシ設定違反がなかったポリシを用いた認可判定の判定結果をサービス提供装置100に返信する手順、を実行させるように記述されている。
【0031】
本実施形態のコンピュータプログラムは、コンピュータで読み取り可能な記録媒体に記録されてもよい。記録媒体は特に限定されず、様々な形態のものが考えられる。また、プログラムは、記録媒体からコンピュータのメモリにロードされてもよいし、ネットワークを通じてコンピュータにダウンロードされ、メモリにロードされてもよい。
【0032】
また、本発明のコンピュータプログラムは、以下の各実施形態においても、同様に各図のサービス提供装置および認可装置の各ユニットの各機能を実現するためのコンピュータに、各図のフローチャートの手順を実行させるように記述される。
【0033】
なお、本実施形態では、ユーザ3、サービス提供装置100、および認可装置200は、それぞれ1台ずつ図示されているが、これに限定されない。本実施形態では、複数のユーザ3に対し、複数のサービス提供装置100が分散処理を行い、サービスを提供する。また、複数の認可装置200が、分散処理を行い、複数のサービス提供装置100からの要求に応じる。すなわち、サービス提供装置100または認可装置200は、それぞれ仮想サーバなどで実現することもできる。また、サービス提供装置100と認可装置200は、互いにネットワーク5(図2)を介して接続される。
【0034】
図1の認可装置200において、要求受付部202は、サービス提供装置100から、ユーザ3からのリソース10へのアクセス要求を受け付ける。ユーザ情報記憶部204は、ユーザ3の属性情報を記憶する。ユーザ3とは、サービス提供装置100がサービスを提供するエンドユーザである。ユーザ情報記憶部204に記憶される情報は、たとえば、ユーザ3のユーザID、住所、電話番号などの不変の情報や、ユーザ3の位置情報、ユーザ3がアクセスしている時刻、ユーザ3のサービス利用料支払い状況など変わりうる情報などを含む。サービス提供装置100は、XACML(eXtensible Access Control Markup Language)のPEP(Policy Enforce Point)に対応する。
【0035】
リソース情報記憶部206は、リソース10の属性情報を記憶する。リソース情報記憶部206に記憶される情報は、たとえば、リソース10の識別情報、データの種類、作成または登録日時、タイトル、作成元、保存場所などの属性情報と、リソース10へのアクセスを許可または禁止するユーザの属性情報、アクセスを許可または禁止するレベル(参照のみ、変更可等)、アクセスを許可または禁止する時間帯など、リソース10へのアクセス条件などの情報などを含む。ユーザ情報記憶部204およびリソース情報記憶部206は、XACMLのPIP(Policy Information Point)に対応する。
【0036】
認可判定部208は、サービス提供装置100からのアクセス要求に呼応して、ポリシ格納部210に予め仮登録されたポリシを用いて、ユーザ情報記憶部204に記憶されたユーザ3の属性情報およびリソース情報記憶部206に記憶されたリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う。XACMLのPDP(Policy Decision Point)に対応する。
【0037】
ポリシとは、たとえば、リソース10に対するアクセス権を規定するものであり、認可装置200がアクセス制御の際に、アクセスを許可するか拒絶するか、判定する基準が記載されている。ポリシは、リソース10に対して、誰がどのような権限でどこにアクセスできるのかといった情報を含む。
ポリシには、たとえば、「アクセス元エンティティ」、「アクセス先リソース」、「リソースに対する処理(Read/Writeなど)」、「実行条件(有効期間など)」などが記載される。
【0038】
ポリシ格納部210は、予め仮登録されたポリシを記憶する。さらに、認可判定部208が、判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反がないことを確認し、ポリシ設定違反がなかったポリシを、検証済みポリシとしてポリシ格納部210に登録する。ポリシ格納部210は、XACMLにおけるPAP(Policy Administration Point)に対応する。
【0039】
ポリシ格納部210に記憶された予め仮登録されたポリシは、仮に登録されたものであり、認可装置200が認可判定を行うのに適したものかどうかの検証が未だなされていないものも含むことができる。予め仮登録されたポリシは、たとえば、認可装置200またはサービス提供装置100のいずれかが保有する情報に基づいて、設定されたポリシを含むことができる。すなわち、仮登録されたポリシは、認可判定に必要な項目が設定されていないもの、認可装置200が保有していないユーザ情報を判定のために参照するように設定されているもの、または、複数の矛盾するポリシが存在している(たとえば、ホワイトリストとブラックリストの両方が存在している)もの、などのポリシ設定違反となるポリシを含むことができる。
【0040】
ユーザ情報記憶部204、リソース情報記憶部206、およびポリシ格納部210は、図2のハードディスク124を用いることができる。あるいは、ユーザ情報記憶部204、リソース情報記憶部206、およびポリシ格納部210は、認可装置200に接続された他の記憶装置(不図示)またはネットワーク5(図2)を介して認可装置200がアクセス可能な記憶装置(不図示)を用いて構成してもよい。
【0041】
応答部212は、ポリシ設定違反がなかったポリシを用いた認可判定部208の判定結果をサービス提供装置100に返信する。
【0042】
上述のような構成において、本実施の形態のアクセス制御システム1におけるアクセス制御方法を以下に説明する。図3は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図1および図3を用いて説明する。
【0043】
本発明の実施の形態に係るアクセス制御方法は、リソース10(図1)へのアクセスの認可判定を行う認可装置200の要求受付部202(図1)が、ユーザ3(図1)にサービスを提供するサービス提供装置100(図1)から、ユーザ3からのリソース10へのアクセス要求(認可要求)を受け付ける(図3のステップS101)。アクセス要求(認可要求)に呼応して、認可装置200の認可判定部208(図1)が、予め仮登録されたポリシを用いて、ユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う(図3のステップS103)。認可装置200の認可判定部208(図1)が、認可判定の判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反がないことを確認し(図3のステップS105)、ポリシ設定違反がなかったポリシを(図3のステップS105のNO)、検証済みポリシとして登録し(図3のステップS107)、ポリシ設定違反がなかったポリシを用いた認可判定の判定結果をサービス提供装置100に返信する(図3のステップS109)。そして、本処理を終了する。
【0044】
また、ポリシ設定違反が確認された場合(図3のステップS105のYES)、認可判定に使用したポリシは検証済みポリシとして登録せずに処理を終了する。
また、ポリシ設定違反が確認されたポリシは、ポリシ格納部210から削除してもよい。あるいは、ポリシ格納部210に、ポリシ設定違反ポリシとして記録してもよい。
【0045】
以上、説明したように、本発明の実施の形態に係るアクセス制御システム1によれば、ポリシを認可装置200が事前に検証しないので、ポリシ作成の負荷が軽減される。また、未検証の仮登録されたポリシを利用して認可判定処理を行うことで、ポリシが正しく設定されているか否か確認することができる。また、認可装置200とサービス提供装置100が事前に認可処理の委託に関する情報を交換していない状況でも、認可装置200とサービス提供装置100が動的にポリシを交換することで認可判定の委託を実現することができる。
【0046】
(第2の実施の形態)
図4は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、上記実施の形態とは、サービス提供装置300および認可装置220がそれぞれ作成した部分ポリシを結合して作成した結合ポリシを認可判定に用いる点で相違する。
【0047】
分散システムにおけるアクセス制御システムにおいて、サービス提供装置300はユーザ情報の管理を認可装置220に委託しているため、サービス提供装置300はユーザ情報を保有していない。そのため、サービス提供装置300は、どのようなユーザ情報が存在するか把握することが困難なため、ポリシに記述する内容を把握することは困難であり、どのような情報をポリシに設定してよいか分からない。
【0048】
そこで、本実施形態では、サービス提供装置300と認可装置220の間で事前に情報を交換せずに、それぞれが作成した部分ポリシを用いて、結合ポリシを作成し、認可判定に用いることで、ポリシ作成の負荷を低減しながら、より適切なポリシの設定を可能とする。
【0049】
本実施形態において、認可装置220は、サービス提供装置300から、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する第1ポリシ作成部222をさらに備える。
【0050】
サービス提供装置300は、リソース10へのアクセスの認可判定を行う認可装置220が作成した第1部分ポリシと結合して、認可装置220が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、リソース10へのアクセス制御のポリシの設定を受け付けて、作成する第2ポリシ作成部302を備える。
【0051】
そして、認可判定部208は、サービス提供装置300の第2ポリシ作成部302が作成したリソース10へのアクセス制御の第2部分ポリシと、第1ポリシ作成部222が作成した第1部分ポリシと、を結合した結合ポリシを、仮登録されたポリシとして用いて認可判定を行う。
【0052】
より詳細には、認可装置220は、図1の上記実施形態の認可装置200と同様なユーザ情報記憶部204、リソース情報記憶部206、認可判定部208、およびポリシ格納部210を備えるとともに、さらに、第1ポリシ作成部222と、結合ポリシ取得部224と、を備える。なお、本実施形態のサービス提供装置300および認可装置220は、図1の上記実施形態のサービス提供装置100および認可装置200と同様な構成も含むことができ、図3のフローチャートと同様な動作も行うことができるが、ここでは省略してある。
【0053】
認可装置220において、第1ポリシ作成部222は、たとえば、認可装置220の管理者からリソース10へのアクセス制御のポリシの設定を受け付け、受け付けた設定に基づき、第2部分ポリシを作成する。
認可装置220において、IdP自身が規定したアクセス制御ポリシを策定し、そのポリシの設定を第1ポリシ作成部222が受け付ける。第1ポリシ作成部222が作成するポリシは、認可装置220がアクセス制御を実行するために必要となるポリシ要素を全て規定する必要はない。ポリシの要素の一部は規定されていなくてもよい。たとえば、ポリシ内の「アクセス先リソース情報」を規定しなくてもよい。このIdPが最初に策定したポリシを第1部分ポリシと呼ぶ。
【0054】
サービス提供装置300の第2ポリシ作成部302は、たとえば、サービス提供装置300の管理者からリソース10へのアクセス制御のポリシの設定を受け付け、受け付けた設定に基づき、第2部分ポリシを作成する。この第2部分ポリシは、SPが保有している情報に基づき、SP自身が規定したポリシである。
【0055】
サービス提供装置300の第2ポリシ作成部302および認可装置220の第1ポリシ作成部222におけるポリシの設定は、たとえば、各装置の表示装置152(図2)にポリシ設定用画面(不図示)を表示する。ポリシ設定用画面は、各装置がそれぞれ所持している範囲のリソース10およびユーザ3の属性情報、さらに、各プロバイダ(SPまたはIdP)が保有する各種情報を提示することができる。管理者は、ポリシ設定用画面に提示された情報を参照しながら、入力装置150(図2)を用いてポリシの設定操作を行う。第1ポリシ作成部222および第2ポリシ作成部302は、管理者の設定操作を操作受付部128(図2)を介して受け付ける。ポリシ設定内容や操作方法については、様々なユーザインタフェースが考えられるが、本発明の本質に関わらないので、詳細な説明は省略する。
【0056】
結合ポリシ取得部224は、サービス提供装置300の第2ポリシ作成部302が作成したリソース10へのアクセス制御の第2部分ポリシと、第1ポリシ作成部222が作成した第1部分ポリシと、を結合した結合ポリシを取得する。具体的なポリシの結合方法および取得方法は、様々考えられ、後述する実施形態で詳細に説明する。結合ポリシ取得部224は、取得した結合ポリシをポリシ格納部210に格納し、認可判定部208が認可判定に使用することとなる。この結合ポリシは、事前に検証は行わず、認可装置220のポリシ格納部210に保管され、上記実施形態で述べたように、認可判定時に使用される。
【0057】
たとえば、結合ポリシは、第1部分ポリシに、IdPが規定していないポリシ要素を追加して記述したり、IdPが規定した第1部分ポリシを上書きしたりすることで、第2部分ポリシと結合し、結合ポリシが作成される。
【0058】
本実施形態のコンピュータプログラムは、上述したサービス提供装置および認可装置の各ユニットの各機能を実現するためのコンピュータに、以下の手順を実行させるように記述される。
【0059】
本実施形態のコンピュータプログラムは、サービス提供装置300を実現させるためのコンピュータに、リソース10へのアクセスの認可判定を行う認可装置220が作成した第1部分ポリシと結合して、認可装置220が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、リソース10へのアクセス制御のポリシの設定を受け付けて、作成する手順を実行させるように記述されている。
【0060】
また、本実施形態のコンピュータプログラムは、認可装置220を実現させるためのコンピュータに、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する手順、サービス提供装置300が作成したリソース10へのアクセス制御の第2部分ポリシと、第1部分ポリシと、を結合した結合ポリシを、仮登録されたポリシとして用いて認可判定を行う手順を実行させるように記述されている。
【0061】
このように構成された本実施形態のアクセス制御システム1におけるアクセス制御方法について、以下に説明する。図5は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図4および図5を用いて説明する。
【0062】
本発明の実施の形態に係るアクセス制御方法は、サービス提供装置300の第2ポリシ作成部302(図4)が、リソース10(図4)へのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し(図5のステップS301)、認可装置220の第1ポリシ作成部222(図4)が、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し(図5のステップS221)、認可装置220の認可判定部208(図4)が、サービス提供装置300の第2ポリシ作成部302が作成した第2部分ポリシと、認可装置220の第1ポリシ作成部222が作成した第1部分ポリシと、を結合した結合ポリシを、仮登録されたポリシとして用いて認可判定を行う(不図示)。
【0063】
より詳細には、本実施形態のアクセス制御システム1において、サービス提供装置300の第2ポリシ作成部302が、サービス提供装置300の管理者からポリシの設定を受け付け、受け付けた設定に従い、第2部分ポリシを作成する(図5のステップS301)。
【0064】
また、認可装置220の第1ポリシ作成部222が、認可装置220の管理者からポリシの設定を受け付け、受け付けた設定に従い、第1部分ポリシを作成する(図5のステップS221)。
【0065】
そして、認可装置220の結合ポリシ取得部224が、サービス提供装置300の第2ポリシ作成部302が作成した第2部分ポリシと、認可装置220の第1ポリシ作成部222が作成した第1部分ポリシと、を結合した結合ポリシを取得する(図5のステップS223)。
【0066】
そして、認可装置220の結合ポリシ取得部224が、取得した結合ポリシを、認可装置220のポリシ格納部210(図4)に登録する(図5のステップS225)。
認可装置200の認可判定部208(図4)は、図5のステップS225で仮登録されたポリシを用いて認可判定を行う(不図示)。
【0067】
以上、説明したように、本発明の実施の形態に係るアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、認可装置220とサービス提供装置300が、それぞれ作成した部分ポリシを元に結合ポリシを作成するので、認可装置220が保有しているユーザ情報記憶部204やリソース情報記憶部206の情報をサービス提供装置300が事前に取得して管理しておく必要がなくなる。そのため、サービス提供装置300は、サービス提供装置300が保持している情報のみに基づいて、ポリシを簡単に設定することができるので、ポリシ作成処理の負荷を軽減できる。
【0068】
さらに、本実施形態によれば、サービス提供装置300が作成した第2部分ポリシは、認可装置220がユーザ3やリソース10の属性情報に基づいて作成した第1部分ポリシと結合して結合ポリシとして認可判定に用いられる。したがって、サービス提供装置300が保持する情報だけでなく、認可装置220が保有する情報に基づいて結合ポリシを動的に作成できるので、より適切なポリシの設定が可能となる。
【0069】
(第3の実施の形態)
図6は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、図4の上記実施の形態とは、サービス提供装置310および認可装置230がそれぞれ作成した部分ポリシを結合して作成された、認可判定に用いる結合ポリシを、認可装置230が作成する点で相違する。なお、本実施形態では、結合ポリシを認可装置が作成するが、後述する他の実施形態で説明するように、サービス提供装置が結合ポリシを作成してもよい。
【0070】
本実施形態のアクセス制御システム1において、サービス提供装置310は、図4の上記実施形態のサービス提供装置300と同様な第2ポリシ作成部302を備えるとともに、さらに部分ポリシ送信部312を備える。
認可装置230は、図4の上記実施形態の認可装置220と同様なユーザ情報記憶部204、リソース情報記憶部206、認可判定部208、ポリシ格納部210、および第1ポリシ作成部222を備えるとともに、さらに、部分ポリシ受信部232と、結合ポリシ作成部234と、を備える。
なお、本実施形態の認可装置230は、図6には図示されていないが、図1の認可装置200と同様な要求受付部202と、応答部212と、を備えることができる。
【0071】
本実施形態において、サービス提供装置310は、リソース10へのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成する第2ポリシ作成部302を備える。さらに、サービス提供装置310は、第2ポリシ作成部302が作成した第2部分ポリシを認可装置230に送信する部分ポリシ送信部312を備える。
【0072】
認可装置230は、サービス提供装置310から、リソース10へのアクセス制御の第2部分ポリシを受信する部分ポリシ受信部232と、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成するポリシ作成部(第1ポリシ作成部222)と、部分ポリシ受信部232が受信した第2部分ポリシと、第1ポリシ作成部222が作成した第1部分ポリシとを結合し、結合ポリシを作成する結合ポリシ作成部234と、をさらに備える。
また、認可判定部208は、結合ポリシ作成部234が作成した結合ポリシを仮登録されたポリシとして用いて認可判定を行う。
【0073】
結合ポリシ作成部234は、たとえば、サービス提供装置310から部分ポリシ受信部232が受信した第2部分ポリシを、第1ポリシ作成部222が作成した第1部分ポリシに、追記または上書きして、結合ポリシを完成することができる。
【0074】
このように構成された本実施形態のアクセス制御システム1におけるアクセス制御方法について、以下に説明する。図7は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図6および図7を用いて説明する。
【0075】
本発明の実施の形態に係るアクセス制御方法は、サービス提供装置310の第2ポリシ作成部302(図6)が、リソース10(図6)へのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し(図7のステップS301)、認可装置230の第1ポリシ作成部222(図6)が、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し(図7のステップS221)、認可装置230の結合ポリシ作成部234(図6)が、サービス提供装置310の第2ポリシ作成部302が作成した第2部分ポリシと、認可装置230の第1ポリシ作成部222が作成した第1部分ポリシとを結合し、結合ポリシを作成し(図7のステップS233)、認可装置230の認可判定部208(図6)が、認可装置230の結合ポリシ作成部234が作成した結合ポリシを仮登録されたポリシとして用いて認可判定を行う。
【0076】
より詳細には、図7に示すように、本実施形態のアクセス制御システム1において、サービス提供装置310の第2ポリシ作成部302(図6)が、第2部分ポリシを作成する(図7のステップS301)。そして、サービス提供装置310の部分ポリシ送信部312(図6)が、第2ポリシ作成部302が作成した第2部分ポリシを認可装置230(図6)に送信する(図7のステップS311)。
【0077】
また、認可装置230の第1ポリシ作成部222(図6)が、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する(図7のステップS221)。そして、認可装置230の部分ポリシ受信部232(図6)が、サービス提供装置310から第2部分ポリシを受信する(図7のステップS231)。そして、認可装置230の結合ポリシ作成部234(図6)が、受信した第2部分ポリシと、第1ポリシ作成部222が作成した第1部分ポリシを結合し、結合ポリシを作成する(図7のステップS233)。そして、認可装置230の結合ポリシ作成部234(図6)が、認可装置230のポリシ格納部210(図6)に作成した結合ポリシを登録する(図7のステップS235)。
そして、認可装置230の認可判定部208(図6)が、認可装置230のポリシ格納部210に登録された結合ポリシを仮登録されたポリシとして用いて認可判定を行う(不図示)。
【0078】
以上、説明したように、本発明の実施の形態に係るアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、認可装置230とサービス提供装置310が、それぞれ作成した部分ポリシを元に結合ポリシを作成するので、認可装置230が保有しているユーザ情報記憶部204やリソース情報記憶部206の情報をサービス提供装置310が事前に取得して管理しておく必要がなくなる。そのため、サービス提供装置310が保持している情報のみに基づいて、サービス提供装置310がポリシを設定することができるので、ポリシ作成処理の負荷を軽減できる。
【0079】
さらに、本実施形態によれば、サービス提供装置310が作成した第2部分ポリシは、認可装置230がユーザ3やリソース10の属性情報に基づいて作成した第1部分ポリシと結合して結合ポリシとして認可判定に用いられる。したがって、サービス提供装置310が保持する情報だけでなく、認可装置230が保有する情報に基づいて結合ポリシを動的に作成できるので、より適切なポリシの設定が可能となる。
【0080】
(第4の実施の形態)
図8は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、図6の上記実施の形態とは、サービス提供装置320が結合ポリシを生成する点で相違する。
【0081】
本実施形態のアクセス制御システム1において、サービス提供装置320は、図6の上記実施形態のサービス提供装置310と同様な第2ポリシ作成部302を備えるとともに、さらに、第1ポリシ受信部322と、結合ポリシ作成部324と、結合ポリシ送信部326と、を備える。
【0082】
また、認可装置240は、図6の上記実施形態の認可装置230と同じ、第1ポリシ作成部222と、ユーザ情報記憶部204と、リソース情報記憶部206と、認可判定部208と、ポリシ格納部210と、を備えるとともに、さらに、結合ポリシ作成指示部242と、結合ポリシ受信部244と、を備える。
【0083】
サービス提供装置320において、認可装置240から、認可装置240が作成した第1ポリシを受信する第1ポリシ受信部322と、第2ポリシ作成部302が作成した第2部分ポリシと、第1ポリシ受信部322が受信した第1部分ポリシとを結合し、結合ポリシを作成する結合ポリシ作成部324と、結合ポリシ作成部324が作成した結合ポリシを認可装置240に送信する結合ポリシ送信部326と、を備える。
【0084】
結合ポリシ作成部324は、認可装置240から第1ポリシ受信部322が受信した第1部分ポリシを、第2ポリシ作成部302が作成した第2部分ポリシに、追記または上書きして、結合ポリシを完成することができる。
【0085】
認可装置240は、サービス提供装置320に、第1ポリシ作成部222が作成した第1部分ポリシを送信し、サービス提供装置320が作成した第2部分ポリシと、送信した第1部分ポリシを結合して結合ポリシを作成する指示を、サービス提供装置320に行う結合ポリシ作成指示部242と、サービス提供装置320から結合ポリシを受信する結合ポリシ受信部244と、をさらに備える。
また、認可判定部208は、結合ポリシ受信部244が受信した結合ポリシを仮登録されたポリシとして用いて認可判定を行う。
【0086】
このように構成された本実施形態のアクセス制御システム1におけるアクセス制御方法について、以下に説明する。図9は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図8および図9を用いて説明する。
【0087】
まず、サービス提供装置320の第2ポリシ作成部302(図8)が、リソース10(図8)へのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し(図9のステップS301)、認可装置240の第1ポリシ作成部222(図8)が、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する(図9のステップS221)。
【0088】
そして、認可装置240の結合ポリシ作成指示部242(図8)が、サービス提供装置320に、認可装置240の第1ポリシ作成部222が作成した第1部分ポリシを送信する。そして、サービス提供装置320が作成した第2部分ポリシと、受信した第1部分ポリシを結合して結合ポリシを作成する指示を、認可装置240の結合ポリシ作成指示部242が、サービス提供装置320に行う(図9のステップS241)。
【0089】
サービス提供装置320の第1ポリシ受信部322(図8)が、認可装置240から、認可装置240が作成した第1ポリシを受信する(図9のステップS321)。そして、サービス提供装置320の結合ポリシ作成部324(図8)が、サービス提供装置320の第2ポリシ作成部302が作成した第2部分ポリシと、認可装置240の第1ポリシ受信部322が受信した第1部分ポリシとを結合し、結合ポリシを作成する(図9のステップS323)。そして、サービス提供装置320の結合ポリシ送信部326(図8)が、サービス提供装置320の結合ポリシ作成部324が作成した結合ポリシを認可装置240に送信する(図9ステップS325)。
【0090】
そして、認可装置240の結合ポリシ受信部244(図8)が、サービス提供装置320から結合ポリシを受信する(図9のステップS243)。そして、認可装置240の結合ポリシ受信部244(図8)が、認可装置240のポリシ格納部210(図8)に作成した結合ポリシを登録する(図9のステップS245)。
認可装置240の認可判定部208(図8)が、認可装置240のポリシ格納部210に登録された結合ポリシを仮登録されたポリシとして用いて認可判定を行う(不図示)。
【0091】
以上、説明したように、本発明の実施の形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、認可装置240とサービス提供装置320が、それぞれ作成した部分ポリシを元に結合ポリシを作成するので、認可装置240が保有しているユーザ情報記憶部204やリソース情報記憶部206の情報をサービス提供装置320が事前に取得して管理しておく必要がなくなる。そのため、サービス提供装置320が保持している情報のみに基づいて、サービス提供装置320がポリシを設定することができるので、ポリシ作成処理の負荷を軽減できる。
【0092】
さらに、本実施形態によれば、サービス提供装置320が作成した第2部分ポリシは、認可装置240がユーザ3やリソース10の属性情報に基づいて作成した第1部分ポリシと結合して結合ポリシとして認可判定に用いられる。したがって、サービス提供装置320が保持する情報だけでなく、認可装置240が保有する情報に基づいて結合ポリシを動的に作成できるので、より適切なポリシの設定が可能となる。
【0093】
(第5の実施の形態)
本実施形態のアクセス制御システム1は、上記実施の形態とは、認可判定に検証済みのポリシを用いる点で相違する。
本実施形態のアクセス制御システム1において、サービス提供装置および認可装置は、図1、図4、図6、図8の上記実施形態のいずれかと同様な構成とすることができる。
以下の説明では、図1の実施形態の構成を有するものとして説明する。
【0094】
本実施形態において、認可装置200は、リソース10へのアクセスを許可するか否かの認可判定に利用するポリシを記憶するポリシ記憶装置(ポリシ格納部210)を備える。
また、認可装置200の認可判定部208は、検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて認可判定を行う。
【0095】
このように構成された本実施形態のアクセス制御システム1におけるアクセス制御方法について、以下に説明する。
図10は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図1および図10を用いて説明する。
【0096】
本実施形態のアクセス制御方法において、認可装置200(図1)は、検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて認可判定を行う(図10のステップS113)。
【0097】
より詳細には、本実施形態のアクセス制御方法は、図3の上記実施形態のフローチャートと同様なステップS101、およびステップS105乃至ステップS109を有するとともに、さらに、図10のステップS111乃至ステップS115をさらに有する。図10では、ステップS105〜ステップS109は省略する。
【0098】
図10に示すように、まず、リソース10(図1)へのアクセスの認可判定を行う認可装置200(図1)が、ユーザ3(図1)にサービスを提供するサービス提供装置100(図1)から、ユーザ3からのリソースへのアクセス要求(認可要求)を受け付ける(図10のステップS101)。
【0099】
アクセス要求(認可要求)に呼応して、認可装置200の認可判定部208(図1)が、ポリシ格納部210(図1)を参照し、検証済みポリシとして登録されたポリシが有るか否かを判定する(図10のステップS111)。検証済みポリシがある場合(図10のステップS111のYES)、認可装置200の認可判定部208は、当該検証済みポリシを用いて認可判定を行う(図10のステップS113)。そして、図10のステップS113の後、図3のステップS109に進み、認可判定の判定結果をサービス提供装置100に返信することとなる。
【0100】
また、検証済みポリシがない場合(図10のステップS111のNO)、認可装置200の認可判定部208は、ポリシ格納部210に仮登録されたポリシを用いて認可判定を行う(図10のステップS115)。そして、図10のステップS115の後、図3のステップS105に進み、認可判定の結果、ポリシ設定違反があるか否かの判定処理を行うこととなる。
【0101】
なお、ポリシ格納部210に格納されているポリシが必ず検証済みポリシであることが分かっている場合には、図10のステップS111の判定処理およびステップS115は不要となる。そして、図3のステップS105およびステップS107の処理も不要となる。
【0102】
以上、説明したように、本発明の実施の形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、検証済みポリシを用いて認可判定を行うことができるので、ポリシ設定違反がなくなるため、ポリシ設定違反判定手順が不要となり、適切なポリシで認可判定処理をより簡略化でき、認可判定処理の負荷を低減できる。
【0103】
(第6の実施の形態)
図11は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、上記実施の形態とは、サービス提供装置340が、ユーザ3からのリソース10へのアクセス要求に対するサービス提供を行う機能を実現するための構成を有する点で相違する。
【0104】
本実施形態のサービス提供装置340は、図1の上記実施形態のアクセス制御システム1のサービス提供装置100の構成要素に加え、さらに、認可要求部342と、結果受信部346と、サービス提供部348と、を備える。図11では、図1の構成は省略してある。なお、本実施形態のアクセス制御システム1は、図1の上記実施形態の認可装置200を備えているが、図4、図6、または図8の上記実施形態の認可装置を備えてもよい。
【0105】
本実施形態のサービス提供装置340は、認可装置200に、ユーザ3からのリソース10へのアクセス要求に呼応して、リソース10へのアクセスの認可判定を要求する認可要求部342と、認可装置200からリソース10へのアクセスの認可判定の結果を受信する認可判定結果受信部(結果受信部346)と、結果受信部346が受信した認可判定の結果に応じて、ユーザ3からのアクセス要求に対応するリソース10へのアクセスを実行するアクセス実行部(サービス提供部348)と、を備える。
【0106】
より詳細には、サービス提供装置340において、認可要求部342は、ユーザ3からのリソース10へのアクセス要求に呼応して、認可装置200にリソース10へのアクセスの認可判定を要求する。
結果受信部346は、認可装置200からリソース10へのアクセスの認可判定の結果を受信する。
サービス提供部348は、結果受信部346が受信した認可判定の結果に応じて、ユーザ3からのアクセス要求に対応するリソース10へのアクセスを実行する。
【0107】
このように構成された本実施形態のアクセス制御システム1の動作について、以下に説明する。
図12は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図11および図12を用いて説明する。
【0108】
まず、ユーザ3(図11)がサービス提供装置340(図11)に対し、サービスアクセス要求を行う(図12のステップS401)。たとえば、ウェブサイト(不図示)にアクセスし、あるコンテンツをダウンロードする操作をユーザ3の端末(不図示)で行うことで、ユーザ3からアクセス要求を行う。
【0109】
サービス提供装置340の認可要求部342(図11)が、ユーザ3からのアクセス要求に呼応して(図12のステップS501のYES)、認可装置200(図11)に対し、認可判定を要求する(図12のステップS503)。
【0110】
そして、認可装置200において、上記実施形態の図3または図10で説明したような認可判定を行い、その結果がサービス提供装置340に返信される。サービス提供装置340の結果受信部346(図11)が、認可装置200から判定結果を受信する(図12のステップS505)。
【0111】
そして、受信した判定結果を参照し、リソース10へのアクセスが許可された場合(図12のステップS507のYES)、サービス提供装置340のサービス提供部348(図11)が、リソース10にアクセスし、ユーザ3にサービスを提供する(図12のステップS509)。
【0112】
一方、受信した判定結果を参照し、リソース10へのアクセスが禁止された場合(図12のステップS507のNO)、サービス提供装置340のサービス提供部348が、ユーザ3にアクセス不可を通知する(図12のステップS511)。たとえば、サービス提供部348は、ユーザ3の端末のディスプレイ(不図示)の画面上にリソース10へのアクセス権を有していないことなどの通知メッセージを表示する。
【0113】
ユーザ3の端末は、サービス提供装置340から提供されたサービスや、アクセス不可の通知を受信する(図12のステップS403)。たとえば、リソース10へのアクセスが可能な場合、ユーザ3の端末は、リソース10にアクセスし、ダウンロードすることができる。
【0114】
以上、説明したように、本実施形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、ユーザ3からのリソース10へのアクセス要求に対し、適切なポリシで認可判定を行い、ユーザ3に迅速にサービスを提供できることとなる。
(第7の実施の形態)
図13は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、上記実施の形態とは、認可判定の結果、ポリシにポリシ設定違反があった場合、ポリシを再設定する点で相違する。
図13に示すように、本実施形態のアクセス制御システム1は、認可装置260と、サービス提供装置350と、を備える。
【0115】
上述したように、本実施形態のアクセス制御システム1では、認可装置260のみが認可判定に利用できる情報を保有しているため、サービス提供装置350は、認可装置260がどの情報を認可判定に利用しているか把握していない。そのため、サービス提供装置350が設定したポリシを、認可装置260は適切に解釈できるか、サービス提供装置350は検証できない。
【0116】
また、認可装置260が保有していない情報をサービス提供装置350がポリシとして設定しても、認可装置260は認可判定を行えない。たとえば、サービス提供装置350は認可装置260が判定できないポリシを作成する可能性がある。しかし、サービス提供装置350は認可装置260の保有情報を把握していないため、認可装置260がポリシを判定できるか、検証できない。その結果、アクセス制御が正しく行われない、という問題が生じる。
【0117】
そこで、本実施形態では、サービス提供装置350が設定したポリシを、認可装置260が認可判定したとき、ポリシ設定違反があった場合、ポリシの再設定をサービス提供装置350に要求し、ポリシを再設定させる。
【0118】
ここで、ポリシ設定違反とは、たとえば、結合ポリシの中に認可判定のために必須となる項目が設定されていない、認可装置260が保有していないユーザ情報をポリシが参照しようとしている、複数の矛盾するポリシが存在している、たとえば、ホワイトリストとブラックリストの両方が存在している、などである。
【0119】
本実施形態のアクセス制御システム1において、認可判定部208が認可判定に用いたポリシにポリシ設定違反があると判定された場合、ポリシの再設定を行うポリシ再設定部(結合ポリシ再設定部352)をさらに備える。認可判定部208は、結合ポリシ再設定部352が再設定したポリシを仮登録されたポリシとして用いて認可判定に用い、認可判定に用いたポリシにポリシ設定違反がないことを確認するまで、結合ポリシ再設定部352は、ポリシの再設定を繰り返し、認可判定部208は、結合ポリシ再設定部352が再設定したポリシを仮登録されたポリシとして用いて前記認可判定を繰り返す。
【0120】
具体的には、本実施形態の認可装置は、図6または図8の認可装置と同様な構成を有する。また、本実施形態のサービス提供装置は、図6または図8のサービス提供装置と同様な構成を有するとともに、さらに、図11のサービス提供装置340とも同様な構成をする。そして、図13に示すように、本実施形態のアクセス制御システム1は、上記構成に加え、さらに、結合ポリシ再設定部352を備える。
本実施形態において、結合ポリシ再設定部は、サービス提供装置または認可装置のいずれか、結合ポリシ作成部352を有する装置が有するものとする。すなわち、図6の場合、認可装置230が、図8の場合、サービス提供装置320が、結合ポリシ再設定部352を備えることができる。
【0121】
より詳細には、図13では、サービス提供装置350が結合ポリシ再設定部352を備えている。同図において、サービス提供装置350は、図8の上記実施形態のサービス提供装置320と同様な第2ポリシ作成部302と、第1ポリシ受信部322と、結合ポリシ作成部324と、結合ポリシ送信部326と、さらに、図11のサービス提供装置340と同様な認可要求部342と、結果受信部346と、サービス提供部348と、を備えるとともに、さらに、結合ポリシ再設定部352を備える。
【0122】
サービス提供装置350において、結合ポリシ再設定部352は、認可装置260の認可判定部208が認可判定に用いたポリシにポリシ設定違反があると判定した場合に認可装置260からのポリシの再設定指示に従い、結合ポリシの再設定を行う。
【0123】
結合ポリシの再設定処理は、たとえば、上述した表示装置152(図2)に表示されたポリシ設定用画面などに、現在のポリシの設定情報を管理者に提示するとともに、ポリシの変更や追加を行う管理者の操作を、操作受付部128(図2)を介して受け付けて、ポリシを再設定することができる。
【0124】
また、認可装置260は、再設定指示に、ポリシ設定違反となった項目を含めてサービス提供装置350に送信することで、通知してもよい。サービス提供装置350は、通知されたポリシ設定違反となった項目を、表示装置152の設定画面上に提示して、管理者に通知することができる。管理者は、ポリシ設定違反となった項目を確認しながら、ポリシを再設定できる。
【0125】
また、本実施形態の認可装置260は、図1の上記実施形態の認可装置200と同様な要求受付部202と、ユーザ情報記憶部204と、リソース情報記憶部206と、認可判定部208と、ポリシ格納部210と、応答部212と、図8の上記実施形態の認可装置240と同様な第1ポリシ作成部222と、結合ポリシ作成指示部242と、結合ポリシ受信部244と、を備えるとともに、さらに、結合ポリシ再設定指示部262を備える。
【0126】
認可装置260において、結合ポリシ再設定指示部262は、認可判定部208が認可判定に用いたポリシにポリシ設定違反があると判定した場合、ポリシの再設定を行うようサービス提供装置350に指示する。サービス提供装置350が再設定したポリシは、上記実施形態と同様に、結合ポリシ受信部244が受信し、認可判定部208が認可判定に使用することとなる。
【0127】
このように構成された本実施形態のアクセス制御システム1の動作について、以下に説明する。図14は、本発明の実施の形態に係るアクセス制御システム1の動作の一例を示すフローチャートである。以下、図13および1図14を用いて説明する。
図14において、認可装置260は、事前に図9の上記実施形態の認可装置240の動作を示すフローチャートと同様なステップS221、ステップS241〜ステップS245を行った後、図3の上記実施形態の認可装置200の動作を示すフローチャートと同様なステップS101〜ステップS109を行うとともに、さらに、ステップS261とステップS263を有する。サービス提供装置350は、事前に図9の上記実施形態のサービス提供装置320の動作を示すフローチャートと同様なステップS301、ステップS321〜ステップS325を行った後、図14の本実施形態のサービス提供装置350の動作を示すフローチャートのステップS351〜ステップS359を行う。
【0128】
具体的には、まず、サービス提供装置350の認可要求部342(図13)が、ユーザ3(図13)からのリソース10(図13)へのアクセス要求に呼応して、認可装置260(図13)に認可要求を行う(図14のステップS351)。認可装置260の要求受付部202(図13)が、サービス提供装置350からの認可要求を受け付け(図14のステップS101)、認可装置260の認可判定部208(図13)が、認可判定を行う(図14のステップS103)。
【0129】
認可判定の判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反があった場合(図14のステップS105のYES)、認可装置260の結合ポリシ再設定指示部262(図13)が、サービス提供装置350にポリシの再設定を指示する(図14のステップS261)。そして、サービス提供装置350の結合ポリシ再設定部352(図13)が、認可装置260からの指示を受信すると(図14のステップS353)、サービス提供装置350の結合ポリシ再設定部352が、ポリシの再設定を行う(図14のステップS355)。そして、結合ポリシ再設定部352が再設定した結合ポリシを結合ポリシ送信部326(図13)が、認可装置260に送信する(図14のステップS357)。
【0130】
なお、図14のステップS353においてポリシ再設定指示を受信しなかった場合、ステップS359で判定結果を受信することとなる。図14では、サービス提供装置350がステップS353とステップS359でそれぞれ認可装置260からポリシ再設定指示と判定結果を受信するように記載されているが、これに限定されない。サービス提供装置350が、認可装置260から受信した情報が、ポリシ再設定指示か判定結果かを判別し、ポリシ再設定指示の場合、ステップS355に進み、判定結果の場合、本処理を終了して、アクセス可否判断に進むなど手順を分岐してもよい。
【0131】
そして、認可装置260の結合ポリシ受信部244(図13)が、サービス提供装置350から送信された、再設定された結合ポリシを受信する(図14のステップS263)。そして、ステップS103に戻り、受信した結合ポリシを用いて、認可判定部208が、認可判定を行う。
【0132】
結合ポリシの設定違反がなくなるまで図14のステップS103、ステップS105、ステップS261、ステップS353〜ステップS357、およびステップS263を繰り返す。
【0133】
認可装置260において、予め仮登録されたポリシにポリシ設定違反がなった場合(図14のステップS105のNO)、認可装置260の認可判定部208が、ポリシ設定違反がなかったポリシを検証済みポリシとして認可装置200のポリシ格納部210(図13)に登録する(図14のステップS107)。そして、認可装置260の応答部212(図13)が、ポリシ設定違反がなかったポリシを用いた認可判定の判定結果をサービス提供装置350に返信する(図14のステップS109)。そして、サービス提供装置350の結果受信部346(図13)が、認可装置260から判定結果を受信する(図14のステップS359)。
【0134】
このようにして得られた認可判定の結果を受けて、サービス提供装置350のサービス提供部348は、ユーザ3のリソース10へのアクセス可否を判断し、サービス提供処理を行う(不図示)。
サービス提供装置350の認可要求部342が判定結果を受信した後の処理は、図12の上記実施形態のサービス提供装置340のステップS505以降と同様の処理とすることができる。
【0135】
以上、説明したように、本発明の実施の形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、検証済みポリシを効率よく設定できる。その理由は、未検証のポリシの認可判定の結果から、ポリシ設定違反が見つかった場合に、ポリシを再設定し、ポリシ設定違反がなくなるまで、ポリシの設定を繰り返し、最終的に検証済みポリシを登録することができるからである。
【0136】
(第8の実施の形態)
図15は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
図15に示すように、本実施形態のアクセス制御システム1は、認可装置270と、サービス提供装置360と、を備える。
本実施形態のアクセス制御システム1は、図13の上記実施形態と、認可判定時にポリシ設定違反と判別された場合のポリシ再設定処理が異なる。すなわち、本実施形態では、ポリシ設定違反の場合、認可装置270が認可判定に必要と考えるポリシに基づいて結合ポリシを作成し、サービス提供装置360がその結合ポリシを検証し、ユーザ3にリソース10へのアクセスを許可するか禁止するかを判断し、その結果をポリシに反映して、認可装置270に送信し、認可装置270が認可判定処理を行う。
【0137】
本実施形態のサービス提供装置360は、図13の上記実施形態のサービス提供装置350と同様な構成を有するとともに、さらに、結合ポリシ受信部362と、結合ポリシ検証部364を備える。
また、本実施形態の認可装置270は、図13の上記実施形態の認可装置260と同様な構成を有するとともに、さらに、結合ポリシ作成部272と、結合ポリシ送信部274を備える。
なお、図13のサービス提供装置350および認可装置260の構成要素のうち一部の構成のみを図15に記載してある。
【0138】
本実施形態の認可装置270において、結合ポリシ作成部272は、ポリシ格納部210に仮登録されたポリシを用いて認可判定部208の認可判定を行った際に、ポリシ設定違反と判定された場合、結合ポリシを作成する。
【0139】
ここで、結合ポリシ作成部272が作成する結合ポリシには、現在、認可装置270が判定しようとしているアクセスの状況の情報、たとえば、アクセス元エンティティ、アクセス先リソース、リソースに対する処理(Read/Writeなど)、実行条件(有効期間など)などが含まれる。
【0140】
結合ポリシ送信部274は、結合ポリシ作成部272が作成した結合ポリシをサービス提供装置360に送信する。
サービス提供装置360の結合ポリシ受信部362は、認可装置270から送信された結合ポリシを受信する。結合ポリシ検証部364は、結合ポリシ受信部362が受信した結合ポリシから状況の情報を検証し、ユーザ3にリソース10へのアクセスを認めるか否かを判断する。そして、結合ポリシ検証部364は、その結果を新たな結合ポリシとして規定し、結合ポリシ送信部326に受け渡し、認可装置270に送信させる。
【0141】
ここで、結合ポリシ検証部364は、受信した結合ポリシから取得した状況の情報に基づいて、予め決められた基準に基づいて、アクセスを認めるか否かを判断してもよい。あるいは、結合ポリシ検証部364は、受信した結合ポリシから取得した状況の情報を表示装置152(図2)の設定画面上に提示し、管理者は状況を確認し、アクセスを認めるか否かを判断して、入力装置150(図2)を用いてアクセスを認めるか否かを選択操作し、操作受付部128(図2)を介して受け付けてもよい。
【0142】
このように構成された本実施形態のアクセス制御システム1のポリシ再設定処理の手順について、以下に説明する。図16は、本発明の実施の形態に係るアクセス制御システム1の動作の一例を示すフローチャートである。以下、図15および図16を用いて説明する。
【0143】
認可装置270の処理手順は、図14の上記実施形態のフローチャートと同様なステップS101〜ステップS109を有するとともに、さらに、ステップS271〜ステップS275を有する。また、サービス提供装置360の処理手順は、図14の上記実施形態のフローチャートと同様なステップS351およびステップS359を有するとともに、さらに、ステップS363〜ステップS367を有する。
【0144】
ここでは、上記実施形態と異なる処理、すなわち、認可装置270の認可判定部208(図15)が、ポリシ設定違反と判定した場合(ステップS105のYES)の処理以降について説明する。
【0145】
認可装置270の認可判定部208(図15)が、ポリシ設定違反と判定した場合(ステップS105のYES)、認可装置270の結合ポリシ作成部272(図15)が、自身が判定しようとしているアクセスの状況を含む結合ポリシを作成する(図16のステップS271)。
【0146】
そして、結合ポリシ作成部272が作成した結合ポリシを、認可装置270の結合ポリシ送信部274(図15)サービス提供装置360に送信する(図16のステップS273)。そして、サービス提供装置360の結合ポリシ受信部362(図15)が、認可装置270から結合ポリシを受信する(図16のステップS363)。
【0147】
サービス提供装置360の結合ポリシ検証部364(図15)が、結合ポリシ受信部362が受信した結合ポリシからアクセスの状況を検証し、ユーザ3にアクセスを認めるか否かを判断する。そして、判断した結果を含めて、新たにポリシを規定する(図16のステップS365)。
【0148】
そして、サービス提供装置360の結合ポリシ送信部326(図15)が、新たに規定された結合ポリシを認可装置270に送信する(図16のステップS367)。そして、認可装置270の結合ポリシ受信部244(図15)が、サービス提供装置360から新たに規定された結合ポリシを受信する(図16のステップS275)。そして、図16のステップS103に戻り、認可装置270の認可判定部208が、結合ポリシ受信部244が受信した結合ポリシを用いて認可判定を行う。
【0149】
なお、図16のステップS363において結合ポリシを受信しなかった場合、ステップS359で判定結果を受信することとなる。図16では、サービス提供装置360がステップS363とステップS359でそれぞれ認可装置270から結合ポリシと判定結果を受信するように記載されているが、これに限定されない。図14の上記実施形態と同様で、サービス提供装置360が、認可装置270から受信した情報が、結合ポリシか判定結果かを判別し、結合ポリシの場合、ステップS365に進み、判定結果の場合、本処理を終了して、アクセス可否判断に進むなど手順を分岐してもよい。
【0150】
このように、認可装置270がサービス提供装置360に対してポリシ再設定指示を行う替わりに、認可装置270からサービス提供装置360に結合ポリシを送信し、サービス提供装置360は、ポリシを再設定する替わりに、認可装置270が作成した結合ポリシを検証し、その結果をポリシに反映することで、ポリシ設定違反を解消できるようになっている。
【0151】
以上、説明したように、本実施形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、さらに、ポリシ設定違反時に、確実に照合可能なポリシの作成が可能となる。その理由は、認可装置270が判定しようとしている状況を含む結合ポリシをサービス提供装置360に通知し、サービス提供装置360がその結合ポリシを検証し、ユーザ3にアクセスを認めるか否かを判断した上で、新たな結合ポリシを規定してサービス提供装置360に通知するからである。結果として、認可装置270が判定できないポリシを含むことなく、かつ、サービス提供装置360が意図するアクセス可否判断結果が反映されたポリシを作成することができる。このようにして、確実に照合可能なポリシが作成されることとなる。
【0152】
(第9の実施の形態)
図17は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、認可装置280と、図11の上記実施形態と同様なサービス提供装置340と、を備える。
本実施形態のアクセス制御システム1は、上記実施の形態とは、認可判定時に情報が不足した場合、情報を収集する点で相違する。
【0153】
上述したように、認可装置280のみが認可判定に利用できる情報を保有しているため、サービス提供装置340はどの情報を認可判定に利用しているか把握していない。したがって、サービス提供装置340は認可装置280が判定できないポリシを作成する可能性がある。
そこで、本実施形態では、サービス提供装置340が設定したポリシを用いて認可判定を行う時、必要な情報が不足した場合に、情報を収集する。
【0154】
本実施形態のアクセス制御システム1のサービス提供装置340は、図11の上記実施形態のサービス提供装置340と同様な構成を備える。また、本実施形態の認可装置280は、図11の上記実施形態の認可装置200と同様な要求受付部202と、ユーザ情報記憶部204と、リソース情報記憶部206と、ポリシ格納部210と、の応答部212と、を有するとともに、さらに、認可判定部282と、情報収集部284と、を備える。
なお、本実施形態のアクセス制御システム1は、他の上記実施形態のアクセス制御システム1の構成も含むことができる。
【0155】
本実施形態の認可装置280において、認可判定部282が認可判定を行うとき、ユーザ3の属性情報が不足した場合、不足したユーザ3の属性情報を収集する収集部(情報収集部284)をさらに備える。
【0156】
認可判定部282は、ユーザ3の属性情報が不足した場合、情報収集部284にユーザ3の属性情報の収集を指示し、情報収集部284が収集したユーザ3の属性情報に基づいて、再度、認可判定を行う。認可判定部282は、認可判定を行う際、ユーザ情報記憶部204に記憶されたユーザ3の属性情報を用いて判定を行うが、ユーザ情報記憶部204から認可判定に必要な属性情報が得られなかった場合に、情報収集部284が情報を収集する。
情報収集部284において、属性情報は、たとえば、他の装置(他の認可装置やサービス提供装置)などから取得することができる。
【0157】
このように構成された本実施形態のアクセス制御システム1の動作について、以下に説明する。図18は、本発明の実施の形態に係るアクセス制御システム1の動作の一例を示すフローチャートである。以下、図17および図18を用いて説明する。
本実施形態において、認可装置280は、図3の上記実施形態の認可装置200の動作を示すフローチャートと同様なステップS101の後、図3のステップS103に替えて、ステップS141〜ステップS145をさらに備える。本実施形態の図18のステップS145の後は、図3のステップS105以降と同様な処理を行う。
【0158】
具体的には、まず、認可装置280の要求受付部202(図17)が、ユーザ3(図17)にサービスを提供するサービス提供装置340(図17)から、ユーザ3からのリソース10へのアクセス要求(認可要求)を受け付ける(図18のステップS101)。
【0159】
受け付けた認可要求に呼応して、認可装置280の認可判定部282(図17)が認可判定を行うに際し、ユーザ3の属性情報が不足した場合(図18のステップS141のYES)、認可装置280の情報収集部284(図17)が、不足しているユーザ3の属性情報を収集する(図18のステップS143)。ユーザ3の属性情報が不足していない場合(図18のステップS141のNO)、図18のステップS145に進む。
【0160】
そして、認可装置280の認可判定部282(図17)が、ポリシ格納部210(図17)に予め仮登録されたポリシを用いて、ユーザ情報記憶部204(図17)およびリソース情報記憶部206(図17)に記憶されたユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う(図18のステップS145)。
そして、図3のステップS105に進む。
【0161】
なお、本実施形態では、ユーザ情報の不足の判定を図18のステップS145の認可判定処理の前に行う構成としたが、これに限定されない。認可判定部282が認可判定を行うことで、ユーザ情報の不足を判定結果として出力し、その結果に従い、情報収集部284がユーザ情報を収集し、再度、認可判定部282が認可判定を行う構成とすることもできる。
【0162】
以上、説明したように、本発明の実施の形態に係るアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、検証済みでないポリシを用いた認可判定において、判定に必要な情報が不足した場合に、情報を収集して認可判定を行うことができるので、ポリシ設定違反となる可能性が低減する。
【0163】
上記実施形態のアクセス制御システム1において、各実施形態で説明した各処理を一連の処理として行うことができる。たとえば、認可装置280がサービス提供装置340から認可判定要求を受信したときに(各図のステップS101)、まず認可装置280は図5、図7、または図9の手順で作成した結合ポリシを利用して認可判定を行う(各図のステップS103または図18のステップS145)。このとき、認可判定部282が出力する判定結果は「アクセスOK」、「アクセスNG」、「ポリシ設定違反」、または「ユーザ情報不足」を含む。
【0164】
「アクセスOK」または「アクセスNG」という判定が出た場合(各図のステップS105のNO)、ポリシの照合ができたので「認可装置280が保有する結合ポリシはポリシ設定違反が無かった」とみなすことができる。そこで、このポリシを検証済みポリシとして認可装置280のポリシ格納部210内で保管し(各図のステップS107)、アクセス判定の結果をサービス提供装置340に返す(各図のステップS109)。
【0165】
「ユーザ情報不足」という判定が出た場合、たとえば、認可装置280保有情報を認可判定部282が取得していない場合(図18のステップS141のYES)、認可装置280の情報収集部284がユーザ情報を取得して、再度認可判定を行う(図18のステップS145)。
【0166】
「ポリシ設定違反」という判定が出た場合(図14のステップS105のYES)、ポリシの照合ができなかったため、サービス提供装置340にポリシ再設定要求を出す(図14のステップS261)。その後、再度結合ポリシを取得した場合(図14のステップS263)、認可判定を再度行う(図14のステップS103)。
【0167】
上記の処理によれば、結合ポリシを認可装置280が検証しない場合でも、ポリシを利用して認可判定処理を行うことができるので、ポリシが正しく設定されているか否か確認することができる。また、認可装置280とサービス提供装置340が事前に認可処理の委託に関する情報を交換していない状況でも、認可装置280とサービス提供装置340が動的に部分ポリシや結合ポリシを交換することで認可判定の委託を実現することができる。
【0168】
以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記以外の様々な構成を採用することもできる。
たとえば、図8〜図10の上記実施形態のアクセス制御システム1において、サービス提供装置320が結合ポリシを事前に作成し、認可装置240に送信する構成としていたが、他のタイミングで作成することもできる。
【0169】
図19および図20は、他の実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。
図19および図20に示す他の実施形態において、認可判定のトランザクション時に結合ポリシを作成することができる。図8〜図10の上記実施形態では、サービス提供装置320が認可装置240から部分ポリシを受信すると、直ぐにサービス提供装置320が結合ポリシを作成し、認可装置240に返信し、登録していた。すなわち、ポリシの登録処理と認可判定処理を分離して行っていたが、図19および図20の実施形態では、認可判定処理とポリシ登録処理を同時に行う。
【0170】
本実施形態のアクセス制御システム1は、図8のサービス提供装置320および図11のサービス提供装置340と同様な構成を有するサービス提供装置370と、図8の認可装置240と同様な構成を有する認可装置290と、を備える。なお、サービス提供装置370は、作成した第2部分ポリシと認可装置290から送信された第1部分ポリシを一時的に記憶するポリシ記憶部(不図示)をさらに備える。
【0171】
本実施形態のアクセス制御システム1の動作について説明する。以下、図8、図11、図19、および図20を用いて、説明する。
まず、サービス提供装置370の第2ポリシ作成部302(図8)が、第2部分ポリシを作成する(図19のステップS301)。第2ポリシ作成部302が作成した第2部分ポリシをポリシ記憶部(不図示)に一時的に記憶する(図19のステップS371)。
【0172】
一方、認可装置290の第1ポリシ作成部222(図8)が、第1部分ポリシを作成する(図19のステップS221)。そして、認可装置290の結合ポリシ作成指示部242(図8)が、第1ポリシ作成部222が作成した第1部分ポリシをサービス提供装置370に送信する(ステップS291)。
【0173】
そして、サービス提供装置370の第1ポリシ受信部322(図8)が、認可装置290から第1部分ポリシを受信する(図19のステップS373)。そして、第1ポリシ受信部322が受信した第1部分ポリシをポリシ記憶部に記憶する(図19のステップS375)。
【0174】
そして、サービス提供装置370の認可要求部342(図11)が、ユーザ3からのアクセス要求に呼応して(図20のステップS501のYES)、サービス提供装置370の結合ポリシ作成部324(図8)が、第2ポリシ作成部302が作成した第2部分ポリシと、認可装置290から受信した第1部分ポリシをポリシ記憶部から読み出し、結合ポリシを作成する(図20のステップS531)。
【0175】
そして、サービス提供装置370の結合ポリシ送信部326(図8)が、認可装置290(図8)に対し、認可判定を要求するとともに、結合ポリシ作成部324が作成した結合ポリシを送信する(図20のステップS533)。サービス提供装置370は、図12のステップS505に進み、認可装置290からの認可判定結果を待つ。以降の処理は上記実施形態と同様である。
【0176】
そして、認可装置290の結合ポリシ受信部244(図8)が、サービス提供装置370から認可判定要求とともに、結合ポリシを受信する(図20のステップS293)。
【0177】
そして、認可装置290の認可判定部208(図8)が、受信した結合ポリシを用いて認可判定を行う(図20のステップS295)。そして、図3、図14、または図16などのステップS105に進み、認可判定の結果に従い処理を行う。以降の処理は上記実施形態と同様である。
【0178】
上述した構成によれば、状況実施形態と同様な効果を奏するとともに、さらに、事前にサービス提供装置370がアクセス要求を受けたときに、結合ポリシを作成して、認可判定要求を行うので、認可装置290が事前に結合ポリシをポリシ格納部210に仮登録する必要がなくなる。認可装置290とサービス提供装置370間で事前に65ポリシを送受信する必要がなくなるので、認可装置290とサービス提供装置370の間の通信量を削減できる。また、たとえば、ポリシが短期間で変更になったような場合に、変更前のポリシを無駄に認可装置290に仮登録しなくてもよいことも考えられる。ポリシ格納部210メモリ容量の削減や、登録処理手順を省略できるので、処理の負荷を低減できる。
【0179】
なお、本発明のアクセス制御システム1は、ユーザにコンテンツを提供する事業者(SP)とユーザの情報を管理しアクセス制御を集中的に行うモバイルキャリアが存在する環境において、サービスを提供する事業者がアクセス制御判定をモバイルキャリアに委託する、といった用途に適用できる。
【0180】
また、業務システムを外部事業者(SP)にアウトソースしている企業(IdP)が存在する状況において、社員がアウトソースしている外部事業者のサービスを利用するときに、認可判定を企業内で行うといった用途にも適用可能である。
【0181】
また、電子商取引の場を提供するショッピングプラットフォーム事業者(IdP)と複数のショッピングサイト(SP)が存在する環境において、各ショッピングサイトでは認可判定を行わず、ショッピングプラットフォーム事業者が、各ショッピングサイトが規定してポリシにもとづき集中して認可判定を行う、といった用途にも適用できる。
【0182】
また、複数のテナント(SP)が入居するビル管理システム(IdP)の入退場管理システムにおいて、各テナントが入退場ポリシ(結合ポリシ)を規定し、前記規定したポリシにしたがってビル管理システムが入場者の入場可否(認可判定)を決定する(例えば、ポリシに従って入場ゲートの開閉を行う)システムにも適用できる。
【0183】
以上、実施形態および実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
なお、本発明において利用者に関する情報を取得、利用する場合は、これを適法に行うものとする。
【0184】
本発明は以下の態様も含むことができる。
(付記1)
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備える認可装置。
【0185】
(付記2)
(付記1)に記載の認可装置において、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する部分ポリシ作成手段をさらに備え、
前記認可判定手段は、前記サービス提供装置が作成した前記リソースへのアクセス制御の第2部分ポリシと、前記第1部分ポリシと、を結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行う認可装置。
【0186】
(付記3)
(付記2)に記載の認可装置において、
前記サービス提供装置から、前記第2部分ポリシを受信する部分ポリシ受信手段と、
前記部分ポリシ受信手段が受信した前記第2部分ポリシと、前記部分ポリシ作成手段が作成した前記第1部分ポリシとを結合し、結合ポリシを作成する結合ポリシ作成手段と、をさらに備え、
前記認可判定手段は、前記結合ポリシ作成手段が作成した前記結合ポリシを前記仮登録されたポリシとして用いて前記認可判定を行う認可装置。
【0187】
(付記4)
(付記2)に記載の認可装置において、
前記サービス提供装置に、前記部分ポリシ作成手段が作成した前記第1部分ポリシを送信し、前記サービス提供装置が作成した前記第2部分ポリシと、送信した前記第1部分ポリシを結合して結合ポリシを作成する指示を、前記サービス提供装置に行う結合ポリシ作成指示手段と、
前記サービス提供装置から前記結合ポリシを受信する結合ポリシ受信手段と、をさらに備え、
前記認可判定手段は、前記結合ポリシ受信手段が受信した前記結合ポリシを前記仮登録されたポリシとして用いて前記認可判定を行う認可装置。
【0188】
(付記5)
(付記1)乃至(付記4)いずれかに記載の認可装置において、
前記リソースへのアクセスを許可するか否かの認可判定に利用するポリシを記憶するポリシ記憶装置をさらに備え、
前記登録手段は、前記検証済みポリシを前記ポリシ記憶装置に登録し、
前記認可判定手段は、前記登録手段が前記ポリシ記憶装置に登録した前記検証済みポリシを用いて認可判定を行う認可装置。
【0189】
(付記6)
(付記1)乃至(付記5)いずれかに記載の認可装置において、
前記認可判定手段が前記認可判定を行うとき、前記ユーザの属性情報が不足した場合、不足した前記ユーザの前記属性情報を収集する収集手段をさらに備え、
前記認可判定手段は、前記ユーザの属性情報が不足した場合、前記収集手段に前記ユーザの前記属性情報の収集を指示し、前記収集手段が収集した前記ユーザの前記属性情報に基づいて、再度、認可判定を行う認可装置。
【0190】
(付記7)
(付記1)乃至(付記6)いずれかに記載の認可装置に、ユーザからのリソースへのアクセス要求に呼応して、前記リソースへのアクセスの認可判定を要求する認可要求手段と、
前記認可装置から前記リソースへの前記アクセスの前記認可判定の結果を受信する認可判定結果受信手段と、
前記認可判定結果受信手段が受信した前記認可判定の結果に応じて、前記ユーザからの前記アクセス要求に対応する前記リソースへのアクセスを実行するアクセス実行手段と、を備えるサービス提供装置。
【0191】
(付記8)
リソースへのアクセスの認可判定を行う認可装置が作成した第1部分ポリシと結合して、前記認可装置が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、前記リソースへのアクセス制御のポリシの設定を受け付けて、作成する部分ポリシ作成手段を備えるサービス提供装置。
【0192】
(付記9)
(付記8)に記載のサービス提供装置において、
ユーザからの前記リソースへのアクセス要求に呼応して、前記リソースへのアクセスの認可判定を認可装置に要求する認可要求手段と、
前記認可装置から前記ポリシに基づいて行われた、前記リソースへの前記アクセスの前記認可判定の結果を受信する認可判定結果受信手段と、
前記認可判定結果受信手段が受信した前記認可判定の結果に応じて、前記ユーザからの前記アクセス要求に対応する前記リソースへのアクセスを実行するアクセス実行手段と、を備えるサービス提供装置。
【0193】
(付記10)
(付記8)または(付記9)に記載のサービス提供装置において、
前記認可装置から、前記認可装置が作成した前記第1部分ポリシを受信する部分ポリシ受信手段と、
前記部分ポリシ作成手段が作成した前記第2部分ポリシと、前記部分ポリシ受信手段が受信した前記第1部分ポリシとを結合し、結合ポリシを作成する結合ポリシ作成手段と、
前記結合ポリシ作成手段が作成した前記結合ポリシを前記認可装置に送信するポリシ送信手段と、を備えるサービス提供装置。
【0194】
(付記11)
(付記10)に記載のサービス提供装置において、
前記部分ポリシ作成手段が作成した前記第2部分ポリシを前記認可装置に送信するポリシ送信手段をさらに備えるサービス提供装置。
【0195】
(付記12)
リソースへのアクセスの認可判定を行う認可装置が、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付け、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行い、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、
前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録し、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信するアクセス制御方法。
【0196】
(付記13)
(付記12)に記載のアクセス制御方法において、
前記サービス提供装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し、
前記認可装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し、
前記認可装置が、作成された前記第1部分ポリシと、作成された前記第2部分ポリシとを結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御方法。
【0197】
(付記14)
(付記12)または(付記13)に記載のアクセス制御方法において、
前記認可装置は、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行うアクセス制御方法。
【0198】
(付記15)
ユーザからのリソースへのアクセス要求の認可判定を行う認可装置を実現するためのコンピュータに、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける手順、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う手順、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信する手順、を実行させるためのプログラム。
【0199】
(付記16)
(付記15)に記載のプログラムにおいて、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する手順、
前記サービス提供装置が作成した前記リソースへのアクセス制御の第2部分ポリシと、前記第1部分ポリシと、を結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行う手順をさらにコンピュータに実行させるプログラム。
【0200】
(付記17)
ユーザにサービスを提供するサービス提供装置を実現するコンピュータに、
リソースへのアクセスの認可判定を行う認可装置が作成した第1部分ポリシと結合して、前記認可装置が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、前記リソースへのアクセス制御のポリシの設定を受け付けて、作成する手順を実行させるためのプログラム。
【符号の説明】
【0201】
1 アクセス制御システム
3 ユーザ
5 ネットワーク
10 リソース
100 サービス提供装置
120 CPU
122 メモリ
124 ハードディスク
126 ネットワーク通信部
128 操作受付部
130 表示制御部
134 バス
150 入力装置
152 表示装置
200 認可装置
202 要求受付部
204 ユーザ情報記憶部
206 リソース情報記憶部
208 認可判定部
210 ポリシ格納部
212 応答部
220 認可装置
222 第1ポリシ作成部
224 結合ポリシ取得部
230 認可装置
232 部分ポリシ受信部
234 結合ポリシ作成部
240 認可装置
242 結合ポリシ作成指示部
244 結合ポリシ受信部
260 認可装置
262 結合ポリシ再設定指示部
270 認可装置
272 結合ポリシ作成部
274 結合ポリシ送信部
280 認可装置
282 認可判定部
284 情報収集部
290 認可装置
300 サービス提供装置
302 第2ポリシ作成部
310 サービス提供装置
312 部分ポリシ送信部
320 サービス提供装置
322 第1ポリシ受信部
324 結合ポリシ作成部
326 結合ポリシ送信部
340 サービス提供装置
342 認可要求部
346 結果受信部
348 サービス提供部
350 サービス提供装置
352 結合ポリシ再設定部
360 サービス提供装置
362 結合ポリシ受信部
364 結合ポリシ検証部
370 サービス提供装置
【技術分野】
【0001】
本発明は、アクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置に関し、特に、分散環境におけるポリシを用いたアクセス制御を行うアクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置に関する。
【背景技術】
【0002】
クラウドコンピューティングなどの分散システムにおける認証技術の一例が非特許文献1に記載されている。図21に示すように、アクセス制御システム90では、サービスをユーザ60に提供するサービス提供装置70(Service Provider:SP)と、ユーザの個人情報98を保有し、サービス提供装置70に提供する認可装置80(Identity Provider:IdP)との間で情報を交換している。
【0003】
ユーザ60が、サービス提供装置70にアクセスし(ステップS1)、サービスの提供を要求する。認可装置80はユーザ情報を集中管理しており、サービス提供装置70は認可装置80に認証や認可処理を委託している。すなわち、ユーザ60からのアクセス要求などがなされ、サービス提供装置70がユーザ認証や認可判定を必要となった場合、認可装置80に認証および認可処理を依頼し(ステップS2)、認可装置80とユーザ60の間でユーザ認証が行われる(ステップS3)。そして、認可装置80が、認証されたユーザのアクセス可否判定を行う。その判定結果を認可装置80からサービス提供装置70に返信する(ステップS4)。そして、判定結果に従って、サービス提供装置70からユーザ60にサービスが提供される(ステップS5)。
【0004】
この認証情報を認可装置80とサービス提供装置70の間で交換するために、OpenIDなど様々な方式が提案されている。OpenIDを利用することで、軽量な処理によるシングルサインオンが実現される。
【0005】
また、分散環境での認可処理を実現するために、XACML(eXtensible Access Control Markup Language)という仕様が提案されている(非特許文献2)。図22に示すように、非特許文献2記載のシステム50は、認可判定を行うために、認可判定結果に基づきリソース52へのアクセスを許可するPEP(Policy Enforce Point)72と、アクセス可否判定を行うPDP(Policy Decision Point)82と、アクセスポリシを管理するPAP(Policy Administration Point)84と、アクセス制御に必要な情報を管理するPIP(Policy Information Point)86とを含むシステムが規定されている。
【0006】
このような構成を有する非特許文献2記載のシステム50は次のように動作する。
すなわち、アクセスリクエスタ62がPEP72の情報にアクセスすると、PEP72はPDP82に認可判定を要求する。すると、PDP82はPAP84からポリシを取得し、PIP86から情報を取得し、PEP72へのアクセスを許可するか拒否するか判定する。その後、PDP82は判定結果をPEP72に通知する。PEP72が通知を取得すると、前記通知に従いリソース52へのアクセスを許可するか否か決定し、アクセスリクエスタ62のアクセスに応答する。
【0007】
また、特許文献1にはアクセスポリシ設定装置が記載されている。この装置を利用すると、すでに設定されているポリシをもとにして、新たなポリシを類推して設定することができるようになる。そのため、アクセス制御を行う前に、アクセスポリシを容易に設定できるようになる。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2007−213208号公報
【非特許文献】
【0009】
【非特許文献1】富士榮 尚寛、“第2回クラウド・コンピューティング時代の認証技術」”、[online]、2010年8月25日、アットマーク・アイティ、[平成23年2月21日検索]、インターネット、<URL:http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html>
【非特許文献2】オアシス スタンダード(OASIS Standards)、“エクステンシブル アクセス コントロール マークアップ ランゲージ バージョン2.0(eXtensible Access Control Markup Language (XACML) Version 2.0)”、[online]、2005年2月1日、オアシス(OASIS)、[平成22年12月21日検索]、インターネット、<URL:http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-core-spec-os.pdf>
【発明の概要】
【発明が解決しようとする課題】
【0010】
上述した文献に記載されたシステムにおいては、事前の取り決めなど複雑な処理が必要となるため、ポリシ作成の負荷が高いという問題点があった。
その理由は、上記文献に記載された分散システムにおけるアクセス制御システムにおいて、事前に情報交換する全てのIdPとSPを決定することは難しいためである。たとえば、情報交換するIdPやSPが変更される可能性があり、事前に決定できない。そのため、IdPとSPが事前にポリシを設定しておくことは、非常に処理負荷が高く、事前に全てのポリシをあらかじめ規定しておくことは現実的ではない。また、事前に情報を交換するIdPとSPが決まっていれば、事前に適切なポリシを交換することは可能であるが、現実ではIdPやSPは固定的ではなく流動的である。
【0011】
本発明の目的は、上述した課題である事前にポリシを作成することの処理負荷が高いという問題を解決するアクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置を提供することにある。
【課題を解決するための手段】
【0012】
本発明のアクセス制御システムは、
ユーザにサービスを提供するサービス提供装置と、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求の認可判定を行う認可装置と、を備え、
前記認可装置は、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備える。
【0013】
本発明の認可装置は、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備える。
【0014】
本発明のサービス提供装置は、
リソースへのアクセスの認可判定を行う認可装置が作成した第1部分ポリシと結合して、前記認可装置が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、前記リソースへのアクセス制御のポリシの設定を受け付けて、作成する部分ポリシ作成手段を備える。
【0015】
本発明のアクセス制御方法は、
リソースへのアクセスの認可判定を行う認可装置が、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付け、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行い、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、
前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録し、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信するアクセス制御方法である。
【0016】
本発明のコンピュータプログラムは、
ユーザからのリソースへのアクセス要求の認可判定を行う認可装置を実現するためのコンピュータに、
前記ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける手順、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う手順、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信する手順、を実行させるためのプログラムである。
【0017】
なお、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。
【0018】
また、本発明の各種の構成要素は、必ずしも個々に独立した存在である必要はなく、複数の構成要素が一個の部材として形成されていること、一つの構成要素が複数の部材で形成されていること、ある構成要素が他の構成要素の一部であること、ある構成要素の一部と他の構成要素の一部とが重複していること、等でもよい。
【0019】
また、本発明の方法およびコンピュータプログラムには複数の手順を順番に記載してあるが、その記載の順番は複数の手順を実行する順番を限定するものではない。このため、本発明の方法およびコンピュータプログラムを実施するときには、その複数の手順の順番は内容的に支障しない範囲で変更することができる。
【0020】
さらに、本発明の方法およびコンピュータプログラムの複数の手順は個々に相違するタイミングで実行されることに限定されない。このため、ある手順の実行中に他の手順が発生すること、ある手順の実行タイミングと他の手順の実行タイミングとの一部ないし全部が重複していること、等でもよい。
【発明の効果】
【0021】
本発明によれば、事前のポリシ作成処理の負荷を低減するアクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置が提供される。
【図面の簡単な説明】
【0022】
【図1】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図2】本発明の実施の形態に係るアクセス制御システムの各装置を実現するコンピュータの構成を示すブロック図である。
【図3】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図4】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図5】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図6】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図7】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図8】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図9】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図10】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図11】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図12】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図13】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図14】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図15】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図16】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図17】本発明の実施の形態に係るアクセス制御システムの構成を示す機能ブロック図である。
【図18】本発明の実施の形態に係るアクセス制御システムの動作の一例を示すフローチャートである。
【図19】本発明の実施の形態に係るアクセス制御システムのポリシ作成処理の手順の一例を示すフローチャートである。
【図20】本発明の実施の形態に係るアクセス制御システムの認可判定処理の手順の一例を示すフローチャートである。
【図21】非特許文献記載のシステムの構成を示すブロック図である。
【図22】非特許文献記載のシステムの構成を示すブロック図である。
【発明を実施するための形態】
【0023】
以下、本発明の実施の形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。
【0024】
(第1の実施の形態)
図1は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、ユーザ3にサービスを提供するサービス提供装置100と、サービス提供装置100から、ユーザ3からのリソース10へのアクセス要求の認可判定を行う認可装置200と、を備える。
【0025】
サービス提供装置100は、所謂サービスプロバイダ(Service Provider:SP)であり、ユーザ3に各種サービスを提供する。認可装置200は、所謂アイデンティティプロバイダ(Identity Provider:IdP)であり、ユーザ3の情報を集中管理し、サービス提供装置100に替わって、ユーザ3の認証や認可判定といった処理を行う。サービス提供装置100は、認可装置200にユーザ3の認証または認可判定の処理を認可装置200に委託している。
【0026】
認可装置200は、サービス提供装置100から、ユーザ3からのリソース10へのアクセス要求を受け付ける要求受付部202と、アクセス要求に呼応して、予め仮登録されたポリシを用いて、ユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う認可判定部208と、認可判定部208の判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反がないことを確認し、ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録部(ポリシ格納部210、認可判定部208)と、ポリシ設定違反がなかったポリシを用いた認可判定部208の判定結果をサービス提供装置100に返信する応答部212と、を備える。
【0027】
より詳細には、認可装置200は、要求受付部202と、ユーザ情報記憶部(図中「ユーザ情報」と示す)204と、リソース情報記憶部(図中「リソース情報」と示す)206と、認可判定部208と、ポリシ格納部210と、応答部212と、を備える。
【0028】
サービス提供装置100または認可装置200は、たとえば、図2に示すように、CPU120やメモリ122、ハードディスク124、および通信装置(ネットワーク5に接続し、通信するネットワーク通信部126)を備え、キーボードやマウス等の入力装置150やディスプレイ等の表示装置152やプリンタ等の出力装置(不図示)と接続されるサーバコンピュータやパーソナルコンピュータ、またはそれらに相当する装置を用いて実現することができる。
【0029】
サービス提供装置100または認可装置200は、入力装置150の入力を受け付ける操作受付部128と、表示装置152の表示制御を行う表示制御部130と、をさらに備える。サービス提供装置100または認可装置200のこれらの各要素は、バス134を介して互いに接続される。そして、CPU120が各要素とともにサービス提供装置100または認可装置200全体を制御する。そして、CPU120が、ハードディスク124に記憶されるプログラムをメモリ122に読み出して実行することで、本発明の各図のサービス提供装置または認可装置の各ユニットの各機能を実現することができる。なお、各図において、本発明の本質に関わらない部分の構成については省略してあり、図示されていない。
【0030】
本実施形態のコンピュータプログラムは、認可装置200を実現させるためのコンピュータに、ユーザ3にサービスを提供するサービス提供装置100から、ユーザ3からのリソース10へのアクセス要求を受け付ける手順、アクセス要求に呼応して、予め仮登録されたポリシを用いて、ユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う手順、認可判定の判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反がないことを確認し、ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、ポリシ設定違反がなかったポリシを用いた認可判定の判定結果をサービス提供装置100に返信する手順、を実行させるように記述されている。
【0031】
本実施形態のコンピュータプログラムは、コンピュータで読み取り可能な記録媒体に記録されてもよい。記録媒体は特に限定されず、様々な形態のものが考えられる。また、プログラムは、記録媒体からコンピュータのメモリにロードされてもよいし、ネットワークを通じてコンピュータにダウンロードされ、メモリにロードされてもよい。
【0032】
また、本発明のコンピュータプログラムは、以下の各実施形態においても、同様に各図のサービス提供装置および認可装置の各ユニットの各機能を実現するためのコンピュータに、各図のフローチャートの手順を実行させるように記述される。
【0033】
なお、本実施形態では、ユーザ3、サービス提供装置100、および認可装置200は、それぞれ1台ずつ図示されているが、これに限定されない。本実施形態では、複数のユーザ3に対し、複数のサービス提供装置100が分散処理を行い、サービスを提供する。また、複数の認可装置200が、分散処理を行い、複数のサービス提供装置100からの要求に応じる。すなわち、サービス提供装置100または認可装置200は、それぞれ仮想サーバなどで実現することもできる。また、サービス提供装置100と認可装置200は、互いにネットワーク5(図2)を介して接続される。
【0034】
図1の認可装置200において、要求受付部202は、サービス提供装置100から、ユーザ3からのリソース10へのアクセス要求を受け付ける。ユーザ情報記憶部204は、ユーザ3の属性情報を記憶する。ユーザ3とは、サービス提供装置100がサービスを提供するエンドユーザである。ユーザ情報記憶部204に記憶される情報は、たとえば、ユーザ3のユーザID、住所、電話番号などの不変の情報や、ユーザ3の位置情報、ユーザ3がアクセスしている時刻、ユーザ3のサービス利用料支払い状況など変わりうる情報などを含む。サービス提供装置100は、XACML(eXtensible Access Control Markup Language)のPEP(Policy Enforce Point)に対応する。
【0035】
リソース情報記憶部206は、リソース10の属性情報を記憶する。リソース情報記憶部206に記憶される情報は、たとえば、リソース10の識別情報、データの種類、作成または登録日時、タイトル、作成元、保存場所などの属性情報と、リソース10へのアクセスを許可または禁止するユーザの属性情報、アクセスを許可または禁止するレベル(参照のみ、変更可等)、アクセスを許可または禁止する時間帯など、リソース10へのアクセス条件などの情報などを含む。ユーザ情報記憶部204およびリソース情報記憶部206は、XACMLのPIP(Policy Information Point)に対応する。
【0036】
認可判定部208は、サービス提供装置100からのアクセス要求に呼応して、ポリシ格納部210に予め仮登録されたポリシを用いて、ユーザ情報記憶部204に記憶されたユーザ3の属性情報およびリソース情報記憶部206に記憶されたリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う。XACMLのPDP(Policy Decision Point)に対応する。
【0037】
ポリシとは、たとえば、リソース10に対するアクセス権を規定するものであり、認可装置200がアクセス制御の際に、アクセスを許可するか拒絶するか、判定する基準が記載されている。ポリシは、リソース10に対して、誰がどのような権限でどこにアクセスできるのかといった情報を含む。
ポリシには、たとえば、「アクセス元エンティティ」、「アクセス先リソース」、「リソースに対する処理(Read/Writeなど)」、「実行条件(有効期間など)」などが記載される。
【0038】
ポリシ格納部210は、予め仮登録されたポリシを記憶する。さらに、認可判定部208が、判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反がないことを確認し、ポリシ設定違反がなかったポリシを、検証済みポリシとしてポリシ格納部210に登録する。ポリシ格納部210は、XACMLにおけるPAP(Policy Administration Point)に対応する。
【0039】
ポリシ格納部210に記憶された予め仮登録されたポリシは、仮に登録されたものであり、認可装置200が認可判定を行うのに適したものかどうかの検証が未だなされていないものも含むことができる。予め仮登録されたポリシは、たとえば、認可装置200またはサービス提供装置100のいずれかが保有する情報に基づいて、設定されたポリシを含むことができる。すなわち、仮登録されたポリシは、認可判定に必要な項目が設定されていないもの、認可装置200が保有していないユーザ情報を判定のために参照するように設定されているもの、または、複数の矛盾するポリシが存在している(たとえば、ホワイトリストとブラックリストの両方が存在している)もの、などのポリシ設定違反となるポリシを含むことができる。
【0040】
ユーザ情報記憶部204、リソース情報記憶部206、およびポリシ格納部210は、図2のハードディスク124を用いることができる。あるいは、ユーザ情報記憶部204、リソース情報記憶部206、およびポリシ格納部210は、認可装置200に接続された他の記憶装置(不図示)またはネットワーク5(図2)を介して認可装置200がアクセス可能な記憶装置(不図示)を用いて構成してもよい。
【0041】
応答部212は、ポリシ設定違反がなかったポリシを用いた認可判定部208の判定結果をサービス提供装置100に返信する。
【0042】
上述のような構成において、本実施の形態のアクセス制御システム1におけるアクセス制御方法を以下に説明する。図3は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図1および図3を用いて説明する。
【0043】
本発明の実施の形態に係るアクセス制御方法は、リソース10(図1)へのアクセスの認可判定を行う認可装置200の要求受付部202(図1)が、ユーザ3(図1)にサービスを提供するサービス提供装置100(図1)から、ユーザ3からのリソース10へのアクセス要求(認可要求)を受け付ける(図3のステップS101)。アクセス要求(認可要求)に呼応して、認可装置200の認可判定部208(図1)が、予め仮登録されたポリシを用いて、ユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う(図3のステップS103)。認可装置200の認可判定部208(図1)が、認可判定の判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反がないことを確認し(図3のステップS105)、ポリシ設定違反がなかったポリシを(図3のステップS105のNO)、検証済みポリシとして登録し(図3のステップS107)、ポリシ設定違反がなかったポリシを用いた認可判定の判定結果をサービス提供装置100に返信する(図3のステップS109)。そして、本処理を終了する。
【0044】
また、ポリシ設定違反が確認された場合(図3のステップS105のYES)、認可判定に使用したポリシは検証済みポリシとして登録せずに処理を終了する。
また、ポリシ設定違反が確認されたポリシは、ポリシ格納部210から削除してもよい。あるいは、ポリシ格納部210に、ポリシ設定違反ポリシとして記録してもよい。
【0045】
以上、説明したように、本発明の実施の形態に係るアクセス制御システム1によれば、ポリシを認可装置200が事前に検証しないので、ポリシ作成の負荷が軽減される。また、未検証の仮登録されたポリシを利用して認可判定処理を行うことで、ポリシが正しく設定されているか否か確認することができる。また、認可装置200とサービス提供装置100が事前に認可処理の委託に関する情報を交換していない状況でも、認可装置200とサービス提供装置100が動的にポリシを交換することで認可判定の委託を実現することができる。
【0046】
(第2の実施の形態)
図4は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、上記実施の形態とは、サービス提供装置300および認可装置220がそれぞれ作成した部分ポリシを結合して作成した結合ポリシを認可判定に用いる点で相違する。
【0047】
分散システムにおけるアクセス制御システムにおいて、サービス提供装置300はユーザ情報の管理を認可装置220に委託しているため、サービス提供装置300はユーザ情報を保有していない。そのため、サービス提供装置300は、どのようなユーザ情報が存在するか把握することが困難なため、ポリシに記述する内容を把握することは困難であり、どのような情報をポリシに設定してよいか分からない。
【0048】
そこで、本実施形態では、サービス提供装置300と認可装置220の間で事前に情報を交換せずに、それぞれが作成した部分ポリシを用いて、結合ポリシを作成し、認可判定に用いることで、ポリシ作成の負荷を低減しながら、より適切なポリシの設定を可能とする。
【0049】
本実施形態において、認可装置220は、サービス提供装置300から、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する第1ポリシ作成部222をさらに備える。
【0050】
サービス提供装置300は、リソース10へのアクセスの認可判定を行う認可装置220が作成した第1部分ポリシと結合して、認可装置220が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、リソース10へのアクセス制御のポリシの設定を受け付けて、作成する第2ポリシ作成部302を備える。
【0051】
そして、認可判定部208は、サービス提供装置300の第2ポリシ作成部302が作成したリソース10へのアクセス制御の第2部分ポリシと、第1ポリシ作成部222が作成した第1部分ポリシと、を結合した結合ポリシを、仮登録されたポリシとして用いて認可判定を行う。
【0052】
より詳細には、認可装置220は、図1の上記実施形態の認可装置200と同様なユーザ情報記憶部204、リソース情報記憶部206、認可判定部208、およびポリシ格納部210を備えるとともに、さらに、第1ポリシ作成部222と、結合ポリシ取得部224と、を備える。なお、本実施形態のサービス提供装置300および認可装置220は、図1の上記実施形態のサービス提供装置100および認可装置200と同様な構成も含むことができ、図3のフローチャートと同様な動作も行うことができるが、ここでは省略してある。
【0053】
認可装置220において、第1ポリシ作成部222は、たとえば、認可装置220の管理者からリソース10へのアクセス制御のポリシの設定を受け付け、受け付けた設定に基づき、第2部分ポリシを作成する。
認可装置220において、IdP自身が規定したアクセス制御ポリシを策定し、そのポリシの設定を第1ポリシ作成部222が受け付ける。第1ポリシ作成部222が作成するポリシは、認可装置220がアクセス制御を実行するために必要となるポリシ要素を全て規定する必要はない。ポリシの要素の一部は規定されていなくてもよい。たとえば、ポリシ内の「アクセス先リソース情報」を規定しなくてもよい。このIdPが最初に策定したポリシを第1部分ポリシと呼ぶ。
【0054】
サービス提供装置300の第2ポリシ作成部302は、たとえば、サービス提供装置300の管理者からリソース10へのアクセス制御のポリシの設定を受け付け、受け付けた設定に基づき、第2部分ポリシを作成する。この第2部分ポリシは、SPが保有している情報に基づき、SP自身が規定したポリシである。
【0055】
サービス提供装置300の第2ポリシ作成部302および認可装置220の第1ポリシ作成部222におけるポリシの設定は、たとえば、各装置の表示装置152(図2)にポリシ設定用画面(不図示)を表示する。ポリシ設定用画面は、各装置がそれぞれ所持している範囲のリソース10およびユーザ3の属性情報、さらに、各プロバイダ(SPまたはIdP)が保有する各種情報を提示することができる。管理者は、ポリシ設定用画面に提示された情報を参照しながら、入力装置150(図2)を用いてポリシの設定操作を行う。第1ポリシ作成部222および第2ポリシ作成部302は、管理者の設定操作を操作受付部128(図2)を介して受け付ける。ポリシ設定内容や操作方法については、様々なユーザインタフェースが考えられるが、本発明の本質に関わらないので、詳細な説明は省略する。
【0056】
結合ポリシ取得部224は、サービス提供装置300の第2ポリシ作成部302が作成したリソース10へのアクセス制御の第2部分ポリシと、第1ポリシ作成部222が作成した第1部分ポリシと、を結合した結合ポリシを取得する。具体的なポリシの結合方法および取得方法は、様々考えられ、後述する実施形態で詳細に説明する。結合ポリシ取得部224は、取得した結合ポリシをポリシ格納部210に格納し、認可判定部208が認可判定に使用することとなる。この結合ポリシは、事前に検証は行わず、認可装置220のポリシ格納部210に保管され、上記実施形態で述べたように、認可判定時に使用される。
【0057】
たとえば、結合ポリシは、第1部分ポリシに、IdPが規定していないポリシ要素を追加して記述したり、IdPが規定した第1部分ポリシを上書きしたりすることで、第2部分ポリシと結合し、結合ポリシが作成される。
【0058】
本実施形態のコンピュータプログラムは、上述したサービス提供装置および認可装置の各ユニットの各機能を実現するためのコンピュータに、以下の手順を実行させるように記述される。
【0059】
本実施形態のコンピュータプログラムは、サービス提供装置300を実現させるためのコンピュータに、リソース10へのアクセスの認可判定を行う認可装置220が作成した第1部分ポリシと結合して、認可装置220が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、リソース10へのアクセス制御のポリシの設定を受け付けて、作成する手順を実行させるように記述されている。
【0060】
また、本実施形態のコンピュータプログラムは、認可装置220を実現させるためのコンピュータに、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する手順、サービス提供装置300が作成したリソース10へのアクセス制御の第2部分ポリシと、第1部分ポリシと、を結合した結合ポリシを、仮登録されたポリシとして用いて認可判定を行う手順を実行させるように記述されている。
【0061】
このように構成された本実施形態のアクセス制御システム1におけるアクセス制御方法について、以下に説明する。図5は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図4および図5を用いて説明する。
【0062】
本発明の実施の形態に係るアクセス制御方法は、サービス提供装置300の第2ポリシ作成部302(図4)が、リソース10(図4)へのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し(図5のステップS301)、認可装置220の第1ポリシ作成部222(図4)が、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し(図5のステップS221)、認可装置220の認可判定部208(図4)が、サービス提供装置300の第2ポリシ作成部302が作成した第2部分ポリシと、認可装置220の第1ポリシ作成部222が作成した第1部分ポリシと、を結合した結合ポリシを、仮登録されたポリシとして用いて認可判定を行う(不図示)。
【0063】
より詳細には、本実施形態のアクセス制御システム1において、サービス提供装置300の第2ポリシ作成部302が、サービス提供装置300の管理者からポリシの設定を受け付け、受け付けた設定に従い、第2部分ポリシを作成する(図5のステップS301)。
【0064】
また、認可装置220の第1ポリシ作成部222が、認可装置220の管理者からポリシの設定を受け付け、受け付けた設定に従い、第1部分ポリシを作成する(図5のステップS221)。
【0065】
そして、認可装置220の結合ポリシ取得部224が、サービス提供装置300の第2ポリシ作成部302が作成した第2部分ポリシと、認可装置220の第1ポリシ作成部222が作成した第1部分ポリシと、を結合した結合ポリシを取得する(図5のステップS223)。
【0066】
そして、認可装置220の結合ポリシ取得部224が、取得した結合ポリシを、認可装置220のポリシ格納部210(図4)に登録する(図5のステップS225)。
認可装置200の認可判定部208(図4)は、図5のステップS225で仮登録されたポリシを用いて認可判定を行う(不図示)。
【0067】
以上、説明したように、本発明の実施の形態に係るアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、認可装置220とサービス提供装置300が、それぞれ作成した部分ポリシを元に結合ポリシを作成するので、認可装置220が保有しているユーザ情報記憶部204やリソース情報記憶部206の情報をサービス提供装置300が事前に取得して管理しておく必要がなくなる。そのため、サービス提供装置300は、サービス提供装置300が保持している情報のみに基づいて、ポリシを簡単に設定することができるので、ポリシ作成処理の負荷を軽減できる。
【0068】
さらに、本実施形態によれば、サービス提供装置300が作成した第2部分ポリシは、認可装置220がユーザ3やリソース10の属性情報に基づいて作成した第1部分ポリシと結合して結合ポリシとして認可判定に用いられる。したがって、サービス提供装置300が保持する情報だけでなく、認可装置220が保有する情報に基づいて結合ポリシを動的に作成できるので、より適切なポリシの設定が可能となる。
【0069】
(第3の実施の形態)
図6は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、図4の上記実施の形態とは、サービス提供装置310および認可装置230がそれぞれ作成した部分ポリシを結合して作成された、認可判定に用いる結合ポリシを、認可装置230が作成する点で相違する。なお、本実施形態では、結合ポリシを認可装置が作成するが、後述する他の実施形態で説明するように、サービス提供装置が結合ポリシを作成してもよい。
【0070】
本実施形態のアクセス制御システム1において、サービス提供装置310は、図4の上記実施形態のサービス提供装置300と同様な第2ポリシ作成部302を備えるとともに、さらに部分ポリシ送信部312を備える。
認可装置230は、図4の上記実施形態の認可装置220と同様なユーザ情報記憶部204、リソース情報記憶部206、認可判定部208、ポリシ格納部210、および第1ポリシ作成部222を備えるとともに、さらに、部分ポリシ受信部232と、結合ポリシ作成部234と、を備える。
なお、本実施形態の認可装置230は、図6には図示されていないが、図1の認可装置200と同様な要求受付部202と、応答部212と、を備えることができる。
【0071】
本実施形態において、サービス提供装置310は、リソース10へのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成する第2ポリシ作成部302を備える。さらに、サービス提供装置310は、第2ポリシ作成部302が作成した第2部分ポリシを認可装置230に送信する部分ポリシ送信部312を備える。
【0072】
認可装置230は、サービス提供装置310から、リソース10へのアクセス制御の第2部分ポリシを受信する部分ポリシ受信部232と、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成するポリシ作成部(第1ポリシ作成部222)と、部分ポリシ受信部232が受信した第2部分ポリシと、第1ポリシ作成部222が作成した第1部分ポリシとを結合し、結合ポリシを作成する結合ポリシ作成部234と、をさらに備える。
また、認可判定部208は、結合ポリシ作成部234が作成した結合ポリシを仮登録されたポリシとして用いて認可判定を行う。
【0073】
結合ポリシ作成部234は、たとえば、サービス提供装置310から部分ポリシ受信部232が受信した第2部分ポリシを、第1ポリシ作成部222が作成した第1部分ポリシに、追記または上書きして、結合ポリシを完成することができる。
【0074】
このように構成された本実施形態のアクセス制御システム1におけるアクセス制御方法について、以下に説明する。図7は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図6および図7を用いて説明する。
【0075】
本発明の実施の形態に係るアクセス制御方法は、サービス提供装置310の第2ポリシ作成部302(図6)が、リソース10(図6)へのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し(図7のステップS301)、認可装置230の第1ポリシ作成部222(図6)が、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し(図7のステップS221)、認可装置230の結合ポリシ作成部234(図6)が、サービス提供装置310の第2ポリシ作成部302が作成した第2部分ポリシと、認可装置230の第1ポリシ作成部222が作成した第1部分ポリシとを結合し、結合ポリシを作成し(図7のステップS233)、認可装置230の認可判定部208(図6)が、認可装置230の結合ポリシ作成部234が作成した結合ポリシを仮登録されたポリシとして用いて認可判定を行う。
【0076】
より詳細には、図7に示すように、本実施形態のアクセス制御システム1において、サービス提供装置310の第2ポリシ作成部302(図6)が、第2部分ポリシを作成する(図7のステップS301)。そして、サービス提供装置310の部分ポリシ送信部312(図6)が、第2ポリシ作成部302が作成した第2部分ポリシを認可装置230(図6)に送信する(図7のステップS311)。
【0077】
また、認可装置230の第1ポリシ作成部222(図6)が、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する(図7のステップS221)。そして、認可装置230の部分ポリシ受信部232(図6)が、サービス提供装置310から第2部分ポリシを受信する(図7のステップS231)。そして、認可装置230の結合ポリシ作成部234(図6)が、受信した第2部分ポリシと、第1ポリシ作成部222が作成した第1部分ポリシを結合し、結合ポリシを作成する(図7のステップS233)。そして、認可装置230の結合ポリシ作成部234(図6)が、認可装置230のポリシ格納部210(図6)に作成した結合ポリシを登録する(図7のステップS235)。
そして、認可装置230の認可判定部208(図6)が、認可装置230のポリシ格納部210に登録された結合ポリシを仮登録されたポリシとして用いて認可判定を行う(不図示)。
【0078】
以上、説明したように、本発明の実施の形態に係るアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、認可装置230とサービス提供装置310が、それぞれ作成した部分ポリシを元に結合ポリシを作成するので、認可装置230が保有しているユーザ情報記憶部204やリソース情報記憶部206の情報をサービス提供装置310が事前に取得して管理しておく必要がなくなる。そのため、サービス提供装置310が保持している情報のみに基づいて、サービス提供装置310がポリシを設定することができるので、ポリシ作成処理の負荷を軽減できる。
【0079】
さらに、本実施形態によれば、サービス提供装置310が作成した第2部分ポリシは、認可装置230がユーザ3やリソース10の属性情報に基づいて作成した第1部分ポリシと結合して結合ポリシとして認可判定に用いられる。したがって、サービス提供装置310が保持する情報だけでなく、認可装置230が保有する情報に基づいて結合ポリシを動的に作成できるので、より適切なポリシの設定が可能となる。
【0080】
(第4の実施の形態)
図8は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、図6の上記実施の形態とは、サービス提供装置320が結合ポリシを生成する点で相違する。
【0081】
本実施形態のアクセス制御システム1において、サービス提供装置320は、図6の上記実施形態のサービス提供装置310と同様な第2ポリシ作成部302を備えるとともに、さらに、第1ポリシ受信部322と、結合ポリシ作成部324と、結合ポリシ送信部326と、を備える。
【0082】
また、認可装置240は、図6の上記実施形態の認可装置230と同じ、第1ポリシ作成部222と、ユーザ情報記憶部204と、リソース情報記憶部206と、認可判定部208と、ポリシ格納部210と、を備えるとともに、さらに、結合ポリシ作成指示部242と、結合ポリシ受信部244と、を備える。
【0083】
サービス提供装置320において、認可装置240から、認可装置240が作成した第1ポリシを受信する第1ポリシ受信部322と、第2ポリシ作成部302が作成した第2部分ポリシと、第1ポリシ受信部322が受信した第1部分ポリシとを結合し、結合ポリシを作成する結合ポリシ作成部324と、結合ポリシ作成部324が作成した結合ポリシを認可装置240に送信する結合ポリシ送信部326と、を備える。
【0084】
結合ポリシ作成部324は、認可装置240から第1ポリシ受信部322が受信した第1部分ポリシを、第2ポリシ作成部302が作成した第2部分ポリシに、追記または上書きして、結合ポリシを完成することができる。
【0085】
認可装置240は、サービス提供装置320に、第1ポリシ作成部222が作成した第1部分ポリシを送信し、サービス提供装置320が作成した第2部分ポリシと、送信した第1部分ポリシを結合して結合ポリシを作成する指示を、サービス提供装置320に行う結合ポリシ作成指示部242と、サービス提供装置320から結合ポリシを受信する結合ポリシ受信部244と、をさらに備える。
また、認可判定部208は、結合ポリシ受信部244が受信した結合ポリシを仮登録されたポリシとして用いて認可判定を行う。
【0086】
このように構成された本実施形態のアクセス制御システム1におけるアクセス制御方法について、以下に説明する。図9は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図8および図9を用いて説明する。
【0087】
まず、サービス提供装置320の第2ポリシ作成部302(図8)が、リソース10(図8)へのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し(図9のステップS301)、認可装置240の第1ポリシ作成部222(図8)が、リソース10へのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する(図9のステップS221)。
【0088】
そして、認可装置240の結合ポリシ作成指示部242(図8)が、サービス提供装置320に、認可装置240の第1ポリシ作成部222が作成した第1部分ポリシを送信する。そして、サービス提供装置320が作成した第2部分ポリシと、受信した第1部分ポリシを結合して結合ポリシを作成する指示を、認可装置240の結合ポリシ作成指示部242が、サービス提供装置320に行う(図9のステップS241)。
【0089】
サービス提供装置320の第1ポリシ受信部322(図8)が、認可装置240から、認可装置240が作成した第1ポリシを受信する(図9のステップS321)。そして、サービス提供装置320の結合ポリシ作成部324(図8)が、サービス提供装置320の第2ポリシ作成部302が作成した第2部分ポリシと、認可装置240の第1ポリシ受信部322が受信した第1部分ポリシとを結合し、結合ポリシを作成する(図9のステップS323)。そして、サービス提供装置320の結合ポリシ送信部326(図8)が、サービス提供装置320の結合ポリシ作成部324が作成した結合ポリシを認可装置240に送信する(図9ステップS325)。
【0090】
そして、認可装置240の結合ポリシ受信部244(図8)が、サービス提供装置320から結合ポリシを受信する(図9のステップS243)。そして、認可装置240の結合ポリシ受信部244(図8)が、認可装置240のポリシ格納部210(図8)に作成した結合ポリシを登録する(図9のステップS245)。
認可装置240の認可判定部208(図8)が、認可装置240のポリシ格納部210に登録された結合ポリシを仮登録されたポリシとして用いて認可判定を行う(不図示)。
【0091】
以上、説明したように、本発明の実施の形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、認可装置240とサービス提供装置320が、それぞれ作成した部分ポリシを元に結合ポリシを作成するので、認可装置240が保有しているユーザ情報記憶部204やリソース情報記憶部206の情報をサービス提供装置320が事前に取得して管理しておく必要がなくなる。そのため、サービス提供装置320が保持している情報のみに基づいて、サービス提供装置320がポリシを設定することができるので、ポリシ作成処理の負荷を軽減できる。
【0092】
さらに、本実施形態によれば、サービス提供装置320が作成した第2部分ポリシは、認可装置240がユーザ3やリソース10の属性情報に基づいて作成した第1部分ポリシと結合して結合ポリシとして認可判定に用いられる。したがって、サービス提供装置320が保持する情報だけでなく、認可装置240が保有する情報に基づいて結合ポリシを動的に作成できるので、より適切なポリシの設定が可能となる。
【0093】
(第5の実施の形態)
本実施形態のアクセス制御システム1は、上記実施の形態とは、認可判定に検証済みのポリシを用いる点で相違する。
本実施形態のアクセス制御システム1において、サービス提供装置および認可装置は、図1、図4、図6、図8の上記実施形態のいずれかと同様な構成とすることができる。
以下の説明では、図1の実施形態の構成を有するものとして説明する。
【0094】
本実施形態において、認可装置200は、リソース10へのアクセスを許可するか否かの認可判定に利用するポリシを記憶するポリシ記憶装置(ポリシ格納部210)を備える。
また、認可装置200の認可判定部208は、検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて認可判定を行う。
【0095】
このように構成された本実施形態のアクセス制御システム1におけるアクセス制御方法について、以下に説明する。
図10は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図1および図10を用いて説明する。
【0096】
本実施形態のアクセス制御方法において、認可装置200(図1)は、検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて認可判定を行う(図10のステップS113)。
【0097】
より詳細には、本実施形態のアクセス制御方法は、図3の上記実施形態のフローチャートと同様なステップS101、およびステップS105乃至ステップS109を有するとともに、さらに、図10のステップS111乃至ステップS115をさらに有する。図10では、ステップS105〜ステップS109は省略する。
【0098】
図10に示すように、まず、リソース10(図1)へのアクセスの認可判定を行う認可装置200(図1)が、ユーザ3(図1)にサービスを提供するサービス提供装置100(図1)から、ユーザ3からのリソースへのアクセス要求(認可要求)を受け付ける(図10のステップS101)。
【0099】
アクセス要求(認可要求)に呼応して、認可装置200の認可判定部208(図1)が、ポリシ格納部210(図1)を参照し、検証済みポリシとして登録されたポリシが有るか否かを判定する(図10のステップS111)。検証済みポリシがある場合(図10のステップS111のYES)、認可装置200の認可判定部208は、当該検証済みポリシを用いて認可判定を行う(図10のステップS113)。そして、図10のステップS113の後、図3のステップS109に進み、認可判定の判定結果をサービス提供装置100に返信することとなる。
【0100】
また、検証済みポリシがない場合(図10のステップS111のNO)、認可装置200の認可判定部208は、ポリシ格納部210に仮登録されたポリシを用いて認可判定を行う(図10のステップS115)。そして、図10のステップS115の後、図3のステップS105に進み、認可判定の結果、ポリシ設定違反があるか否かの判定処理を行うこととなる。
【0101】
なお、ポリシ格納部210に格納されているポリシが必ず検証済みポリシであることが分かっている場合には、図10のステップS111の判定処理およびステップS115は不要となる。そして、図3のステップS105およびステップS107の処理も不要となる。
【0102】
以上、説明したように、本発明の実施の形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、検証済みポリシを用いて認可判定を行うことができるので、ポリシ設定違反がなくなるため、ポリシ設定違反判定手順が不要となり、適切なポリシで認可判定処理をより簡略化でき、認可判定処理の負荷を低減できる。
【0103】
(第6の実施の形態)
図11は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、上記実施の形態とは、サービス提供装置340が、ユーザ3からのリソース10へのアクセス要求に対するサービス提供を行う機能を実現するための構成を有する点で相違する。
【0104】
本実施形態のサービス提供装置340は、図1の上記実施形態のアクセス制御システム1のサービス提供装置100の構成要素に加え、さらに、認可要求部342と、結果受信部346と、サービス提供部348と、を備える。図11では、図1の構成は省略してある。なお、本実施形態のアクセス制御システム1は、図1の上記実施形態の認可装置200を備えているが、図4、図6、または図8の上記実施形態の認可装置を備えてもよい。
【0105】
本実施形態のサービス提供装置340は、認可装置200に、ユーザ3からのリソース10へのアクセス要求に呼応して、リソース10へのアクセスの認可判定を要求する認可要求部342と、認可装置200からリソース10へのアクセスの認可判定の結果を受信する認可判定結果受信部(結果受信部346)と、結果受信部346が受信した認可判定の結果に応じて、ユーザ3からのアクセス要求に対応するリソース10へのアクセスを実行するアクセス実行部(サービス提供部348)と、を備える。
【0106】
より詳細には、サービス提供装置340において、認可要求部342は、ユーザ3からのリソース10へのアクセス要求に呼応して、認可装置200にリソース10へのアクセスの認可判定を要求する。
結果受信部346は、認可装置200からリソース10へのアクセスの認可判定の結果を受信する。
サービス提供部348は、結果受信部346が受信した認可判定の結果に応じて、ユーザ3からのアクセス要求に対応するリソース10へのアクセスを実行する。
【0107】
このように構成された本実施形態のアクセス制御システム1の動作について、以下に説明する。
図12は、本実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。以下、図11および図12を用いて説明する。
【0108】
まず、ユーザ3(図11)がサービス提供装置340(図11)に対し、サービスアクセス要求を行う(図12のステップS401)。たとえば、ウェブサイト(不図示)にアクセスし、あるコンテンツをダウンロードする操作をユーザ3の端末(不図示)で行うことで、ユーザ3からアクセス要求を行う。
【0109】
サービス提供装置340の認可要求部342(図11)が、ユーザ3からのアクセス要求に呼応して(図12のステップS501のYES)、認可装置200(図11)に対し、認可判定を要求する(図12のステップS503)。
【0110】
そして、認可装置200において、上記実施形態の図3または図10で説明したような認可判定を行い、その結果がサービス提供装置340に返信される。サービス提供装置340の結果受信部346(図11)が、認可装置200から判定結果を受信する(図12のステップS505)。
【0111】
そして、受信した判定結果を参照し、リソース10へのアクセスが許可された場合(図12のステップS507のYES)、サービス提供装置340のサービス提供部348(図11)が、リソース10にアクセスし、ユーザ3にサービスを提供する(図12のステップS509)。
【0112】
一方、受信した判定結果を参照し、リソース10へのアクセスが禁止された場合(図12のステップS507のNO)、サービス提供装置340のサービス提供部348が、ユーザ3にアクセス不可を通知する(図12のステップS511)。たとえば、サービス提供部348は、ユーザ3の端末のディスプレイ(不図示)の画面上にリソース10へのアクセス権を有していないことなどの通知メッセージを表示する。
【0113】
ユーザ3の端末は、サービス提供装置340から提供されたサービスや、アクセス不可の通知を受信する(図12のステップS403)。たとえば、リソース10へのアクセスが可能な場合、ユーザ3の端末は、リソース10にアクセスし、ダウンロードすることができる。
【0114】
以上、説明したように、本実施形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、ユーザ3からのリソース10へのアクセス要求に対し、適切なポリシで認可判定を行い、ユーザ3に迅速にサービスを提供できることとなる。
(第7の実施の形態)
図13は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、上記実施の形態とは、認可判定の結果、ポリシにポリシ設定違反があった場合、ポリシを再設定する点で相違する。
図13に示すように、本実施形態のアクセス制御システム1は、認可装置260と、サービス提供装置350と、を備える。
【0115】
上述したように、本実施形態のアクセス制御システム1では、認可装置260のみが認可判定に利用できる情報を保有しているため、サービス提供装置350は、認可装置260がどの情報を認可判定に利用しているか把握していない。そのため、サービス提供装置350が設定したポリシを、認可装置260は適切に解釈できるか、サービス提供装置350は検証できない。
【0116】
また、認可装置260が保有していない情報をサービス提供装置350がポリシとして設定しても、認可装置260は認可判定を行えない。たとえば、サービス提供装置350は認可装置260が判定できないポリシを作成する可能性がある。しかし、サービス提供装置350は認可装置260の保有情報を把握していないため、認可装置260がポリシを判定できるか、検証できない。その結果、アクセス制御が正しく行われない、という問題が生じる。
【0117】
そこで、本実施形態では、サービス提供装置350が設定したポリシを、認可装置260が認可判定したとき、ポリシ設定違反があった場合、ポリシの再設定をサービス提供装置350に要求し、ポリシを再設定させる。
【0118】
ここで、ポリシ設定違反とは、たとえば、結合ポリシの中に認可判定のために必須となる項目が設定されていない、認可装置260が保有していないユーザ情報をポリシが参照しようとしている、複数の矛盾するポリシが存在している、たとえば、ホワイトリストとブラックリストの両方が存在している、などである。
【0119】
本実施形態のアクセス制御システム1において、認可判定部208が認可判定に用いたポリシにポリシ設定違反があると判定された場合、ポリシの再設定を行うポリシ再設定部(結合ポリシ再設定部352)をさらに備える。認可判定部208は、結合ポリシ再設定部352が再設定したポリシを仮登録されたポリシとして用いて認可判定に用い、認可判定に用いたポリシにポリシ設定違反がないことを確認するまで、結合ポリシ再設定部352は、ポリシの再設定を繰り返し、認可判定部208は、結合ポリシ再設定部352が再設定したポリシを仮登録されたポリシとして用いて前記認可判定を繰り返す。
【0120】
具体的には、本実施形態の認可装置は、図6または図8の認可装置と同様な構成を有する。また、本実施形態のサービス提供装置は、図6または図8のサービス提供装置と同様な構成を有するとともに、さらに、図11のサービス提供装置340とも同様な構成をする。そして、図13に示すように、本実施形態のアクセス制御システム1は、上記構成に加え、さらに、結合ポリシ再設定部352を備える。
本実施形態において、結合ポリシ再設定部は、サービス提供装置または認可装置のいずれか、結合ポリシ作成部352を有する装置が有するものとする。すなわち、図6の場合、認可装置230が、図8の場合、サービス提供装置320が、結合ポリシ再設定部352を備えることができる。
【0121】
より詳細には、図13では、サービス提供装置350が結合ポリシ再設定部352を備えている。同図において、サービス提供装置350は、図8の上記実施形態のサービス提供装置320と同様な第2ポリシ作成部302と、第1ポリシ受信部322と、結合ポリシ作成部324と、結合ポリシ送信部326と、さらに、図11のサービス提供装置340と同様な認可要求部342と、結果受信部346と、サービス提供部348と、を備えるとともに、さらに、結合ポリシ再設定部352を備える。
【0122】
サービス提供装置350において、結合ポリシ再設定部352は、認可装置260の認可判定部208が認可判定に用いたポリシにポリシ設定違反があると判定した場合に認可装置260からのポリシの再設定指示に従い、結合ポリシの再設定を行う。
【0123】
結合ポリシの再設定処理は、たとえば、上述した表示装置152(図2)に表示されたポリシ設定用画面などに、現在のポリシの設定情報を管理者に提示するとともに、ポリシの変更や追加を行う管理者の操作を、操作受付部128(図2)を介して受け付けて、ポリシを再設定することができる。
【0124】
また、認可装置260は、再設定指示に、ポリシ設定違反となった項目を含めてサービス提供装置350に送信することで、通知してもよい。サービス提供装置350は、通知されたポリシ設定違反となった項目を、表示装置152の設定画面上に提示して、管理者に通知することができる。管理者は、ポリシ設定違反となった項目を確認しながら、ポリシを再設定できる。
【0125】
また、本実施形態の認可装置260は、図1の上記実施形態の認可装置200と同様な要求受付部202と、ユーザ情報記憶部204と、リソース情報記憶部206と、認可判定部208と、ポリシ格納部210と、応答部212と、図8の上記実施形態の認可装置240と同様な第1ポリシ作成部222と、結合ポリシ作成指示部242と、結合ポリシ受信部244と、を備えるとともに、さらに、結合ポリシ再設定指示部262を備える。
【0126】
認可装置260において、結合ポリシ再設定指示部262は、認可判定部208が認可判定に用いたポリシにポリシ設定違反があると判定した場合、ポリシの再設定を行うようサービス提供装置350に指示する。サービス提供装置350が再設定したポリシは、上記実施形態と同様に、結合ポリシ受信部244が受信し、認可判定部208が認可判定に使用することとなる。
【0127】
このように構成された本実施形態のアクセス制御システム1の動作について、以下に説明する。図14は、本発明の実施の形態に係るアクセス制御システム1の動作の一例を示すフローチャートである。以下、図13および1図14を用いて説明する。
図14において、認可装置260は、事前に図9の上記実施形態の認可装置240の動作を示すフローチャートと同様なステップS221、ステップS241〜ステップS245を行った後、図3の上記実施形態の認可装置200の動作を示すフローチャートと同様なステップS101〜ステップS109を行うとともに、さらに、ステップS261とステップS263を有する。サービス提供装置350は、事前に図9の上記実施形態のサービス提供装置320の動作を示すフローチャートと同様なステップS301、ステップS321〜ステップS325を行った後、図14の本実施形態のサービス提供装置350の動作を示すフローチャートのステップS351〜ステップS359を行う。
【0128】
具体的には、まず、サービス提供装置350の認可要求部342(図13)が、ユーザ3(図13)からのリソース10(図13)へのアクセス要求に呼応して、認可装置260(図13)に認可要求を行う(図14のステップS351)。認可装置260の要求受付部202(図13)が、サービス提供装置350からの認可要求を受け付け(図14のステップS101)、認可装置260の認可判定部208(図13)が、認可判定を行う(図14のステップS103)。
【0129】
認可判定の判定結果に基づいて、予め仮登録されたポリシにポリシ設定違反があった場合(図14のステップS105のYES)、認可装置260の結合ポリシ再設定指示部262(図13)が、サービス提供装置350にポリシの再設定を指示する(図14のステップS261)。そして、サービス提供装置350の結合ポリシ再設定部352(図13)が、認可装置260からの指示を受信すると(図14のステップS353)、サービス提供装置350の結合ポリシ再設定部352が、ポリシの再設定を行う(図14のステップS355)。そして、結合ポリシ再設定部352が再設定した結合ポリシを結合ポリシ送信部326(図13)が、認可装置260に送信する(図14のステップS357)。
【0130】
なお、図14のステップS353においてポリシ再設定指示を受信しなかった場合、ステップS359で判定結果を受信することとなる。図14では、サービス提供装置350がステップS353とステップS359でそれぞれ認可装置260からポリシ再設定指示と判定結果を受信するように記載されているが、これに限定されない。サービス提供装置350が、認可装置260から受信した情報が、ポリシ再設定指示か判定結果かを判別し、ポリシ再設定指示の場合、ステップS355に進み、判定結果の場合、本処理を終了して、アクセス可否判断に進むなど手順を分岐してもよい。
【0131】
そして、認可装置260の結合ポリシ受信部244(図13)が、サービス提供装置350から送信された、再設定された結合ポリシを受信する(図14のステップS263)。そして、ステップS103に戻り、受信した結合ポリシを用いて、認可判定部208が、認可判定を行う。
【0132】
結合ポリシの設定違反がなくなるまで図14のステップS103、ステップS105、ステップS261、ステップS353〜ステップS357、およびステップS263を繰り返す。
【0133】
認可装置260において、予め仮登録されたポリシにポリシ設定違反がなった場合(図14のステップS105のNO)、認可装置260の認可判定部208が、ポリシ設定違反がなかったポリシを検証済みポリシとして認可装置200のポリシ格納部210(図13)に登録する(図14のステップS107)。そして、認可装置260の応答部212(図13)が、ポリシ設定違反がなかったポリシを用いた認可判定の判定結果をサービス提供装置350に返信する(図14のステップS109)。そして、サービス提供装置350の結果受信部346(図13)が、認可装置260から判定結果を受信する(図14のステップS359)。
【0134】
このようにして得られた認可判定の結果を受けて、サービス提供装置350のサービス提供部348は、ユーザ3のリソース10へのアクセス可否を判断し、サービス提供処理を行う(不図示)。
サービス提供装置350の認可要求部342が判定結果を受信した後の処理は、図12の上記実施形態のサービス提供装置340のステップS505以降と同様の処理とすることができる。
【0135】
以上、説明したように、本発明の実施の形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、検証済みポリシを効率よく設定できる。その理由は、未検証のポリシの認可判定の結果から、ポリシ設定違反が見つかった場合に、ポリシを再設定し、ポリシ設定違反がなくなるまで、ポリシの設定を繰り返し、最終的に検証済みポリシを登録することができるからである。
【0136】
(第8の実施の形態)
図15は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
図15に示すように、本実施形態のアクセス制御システム1は、認可装置270と、サービス提供装置360と、を備える。
本実施形態のアクセス制御システム1は、図13の上記実施形態と、認可判定時にポリシ設定違反と判別された場合のポリシ再設定処理が異なる。すなわち、本実施形態では、ポリシ設定違反の場合、認可装置270が認可判定に必要と考えるポリシに基づいて結合ポリシを作成し、サービス提供装置360がその結合ポリシを検証し、ユーザ3にリソース10へのアクセスを許可するか禁止するかを判断し、その結果をポリシに反映して、認可装置270に送信し、認可装置270が認可判定処理を行う。
【0137】
本実施形態のサービス提供装置360は、図13の上記実施形態のサービス提供装置350と同様な構成を有するとともに、さらに、結合ポリシ受信部362と、結合ポリシ検証部364を備える。
また、本実施形態の認可装置270は、図13の上記実施形態の認可装置260と同様な構成を有するとともに、さらに、結合ポリシ作成部272と、結合ポリシ送信部274を備える。
なお、図13のサービス提供装置350および認可装置260の構成要素のうち一部の構成のみを図15に記載してある。
【0138】
本実施形態の認可装置270において、結合ポリシ作成部272は、ポリシ格納部210に仮登録されたポリシを用いて認可判定部208の認可判定を行った際に、ポリシ設定違反と判定された場合、結合ポリシを作成する。
【0139】
ここで、結合ポリシ作成部272が作成する結合ポリシには、現在、認可装置270が判定しようとしているアクセスの状況の情報、たとえば、アクセス元エンティティ、アクセス先リソース、リソースに対する処理(Read/Writeなど)、実行条件(有効期間など)などが含まれる。
【0140】
結合ポリシ送信部274は、結合ポリシ作成部272が作成した結合ポリシをサービス提供装置360に送信する。
サービス提供装置360の結合ポリシ受信部362は、認可装置270から送信された結合ポリシを受信する。結合ポリシ検証部364は、結合ポリシ受信部362が受信した結合ポリシから状況の情報を検証し、ユーザ3にリソース10へのアクセスを認めるか否かを判断する。そして、結合ポリシ検証部364は、その結果を新たな結合ポリシとして規定し、結合ポリシ送信部326に受け渡し、認可装置270に送信させる。
【0141】
ここで、結合ポリシ検証部364は、受信した結合ポリシから取得した状況の情報に基づいて、予め決められた基準に基づいて、アクセスを認めるか否かを判断してもよい。あるいは、結合ポリシ検証部364は、受信した結合ポリシから取得した状況の情報を表示装置152(図2)の設定画面上に提示し、管理者は状況を確認し、アクセスを認めるか否かを判断して、入力装置150(図2)を用いてアクセスを認めるか否かを選択操作し、操作受付部128(図2)を介して受け付けてもよい。
【0142】
このように構成された本実施形態のアクセス制御システム1のポリシ再設定処理の手順について、以下に説明する。図16は、本発明の実施の形態に係るアクセス制御システム1の動作の一例を示すフローチャートである。以下、図15および図16を用いて説明する。
【0143】
認可装置270の処理手順は、図14の上記実施形態のフローチャートと同様なステップS101〜ステップS109を有するとともに、さらに、ステップS271〜ステップS275を有する。また、サービス提供装置360の処理手順は、図14の上記実施形態のフローチャートと同様なステップS351およびステップS359を有するとともに、さらに、ステップS363〜ステップS367を有する。
【0144】
ここでは、上記実施形態と異なる処理、すなわち、認可装置270の認可判定部208(図15)が、ポリシ設定違反と判定した場合(ステップS105のYES)の処理以降について説明する。
【0145】
認可装置270の認可判定部208(図15)が、ポリシ設定違反と判定した場合(ステップS105のYES)、認可装置270の結合ポリシ作成部272(図15)が、自身が判定しようとしているアクセスの状況を含む結合ポリシを作成する(図16のステップS271)。
【0146】
そして、結合ポリシ作成部272が作成した結合ポリシを、認可装置270の結合ポリシ送信部274(図15)サービス提供装置360に送信する(図16のステップS273)。そして、サービス提供装置360の結合ポリシ受信部362(図15)が、認可装置270から結合ポリシを受信する(図16のステップS363)。
【0147】
サービス提供装置360の結合ポリシ検証部364(図15)が、結合ポリシ受信部362が受信した結合ポリシからアクセスの状況を検証し、ユーザ3にアクセスを認めるか否かを判断する。そして、判断した結果を含めて、新たにポリシを規定する(図16のステップS365)。
【0148】
そして、サービス提供装置360の結合ポリシ送信部326(図15)が、新たに規定された結合ポリシを認可装置270に送信する(図16のステップS367)。そして、認可装置270の結合ポリシ受信部244(図15)が、サービス提供装置360から新たに規定された結合ポリシを受信する(図16のステップS275)。そして、図16のステップS103に戻り、認可装置270の認可判定部208が、結合ポリシ受信部244が受信した結合ポリシを用いて認可判定を行う。
【0149】
なお、図16のステップS363において結合ポリシを受信しなかった場合、ステップS359で判定結果を受信することとなる。図16では、サービス提供装置360がステップS363とステップS359でそれぞれ認可装置270から結合ポリシと判定結果を受信するように記載されているが、これに限定されない。図14の上記実施形態と同様で、サービス提供装置360が、認可装置270から受信した情報が、結合ポリシか判定結果かを判別し、結合ポリシの場合、ステップS365に進み、判定結果の場合、本処理を終了して、アクセス可否判断に進むなど手順を分岐してもよい。
【0150】
このように、認可装置270がサービス提供装置360に対してポリシ再設定指示を行う替わりに、認可装置270からサービス提供装置360に結合ポリシを送信し、サービス提供装置360は、ポリシを再設定する替わりに、認可装置270が作成した結合ポリシを検証し、その結果をポリシに反映することで、ポリシ設定違反を解消できるようになっている。
【0151】
以上、説明したように、本実施形態のアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、さらに、ポリシ設定違反時に、確実に照合可能なポリシの作成が可能となる。その理由は、認可装置270が判定しようとしている状況を含む結合ポリシをサービス提供装置360に通知し、サービス提供装置360がその結合ポリシを検証し、ユーザ3にアクセスを認めるか否かを判断した上で、新たな結合ポリシを規定してサービス提供装置360に通知するからである。結果として、認可装置270が判定できないポリシを含むことなく、かつ、サービス提供装置360が意図するアクセス可否判断結果が反映されたポリシを作成することができる。このようにして、確実に照合可能なポリシが作成されることとなる。
【0152】
(第9の実施の形態)
図17は、本発明の実施の形態に係るアクセス制御システム1の構成を示す機能ブロック図である。
本実施形態のアクセス制御システム1は、認可装置280と、図11の上記実施形態と同様なサービス提供装置340と、を備える。
本実施形態のアクセス制御システム1は、上記実施の形態とは、認可判定時に情報が不足した場合、情報を収集する点で相違する。
【0153】
上述したように、認可装置280のみが認可判定に利用できる情報を保有しているため、サービス提供装置340はどの情報を認可判定に利用しているか把握していない。したがって、サービス提供装置340は認可装置280が判定できないポリシを作成する可能性がある。
そこで、本実施形態では、サービス提供装置340が設定したポリシを用いて認可判定を行う時、必要な情報が不足した場合に、情報を収集する。
【0154】
本実施形態のアクセス制御システム1のサービス提供装置340は、図11の上記実施形態のサービス提供装置340と同様な構成を備える。また、本実施形態の認可装置280は、図11の上記実施形態の認可装置200と同様な要求受付部202と、ユーザ情報記憶部204と、リソース情報記憶部206と、ポリシ格納部210と、の応答部212と、を有するとともに、さらに、認可判定部282と、情報収集部284と、を備える。
なお、本実施形態のアクセス制御システム1は、他の上記実施形態のアクセス制御システム1の構成も含むことができる。
【0155】
本実施形態の認可装置280において、認可判定部282が認可判定を行うとき、ユーザ3の属性情報が不足した場合、不足したユーザ3の属性情報を収集する収集部(情報収集部284)をさらに備える。
【0156】
認可判定部282は、ユーザ3の属性情報が不足した場合、情報収集部284にユーザ3の属性情報の収集を指示し、情報収集部284が収集したユーザ3の属性情報に基づいて、再度、認可判定を行う。認可判定部282は、認可判定を行う際、ユーザ情報記憶部204に記憶されたユーザ3の属性情報を用いて判定を行うが、ユーザ情報記憶部204から認可判定に必要な属性情報が得られなかった場合に、情報収集部284が情報を収集する。
情報収集部284において、属性情報は、たとえば、他の装置(他の認可装置やサービス提供装置)などから取得することができる。
【0157】
このように構成された本実施形態のアクセス制御システム1の動作について、以下に説明する。図18は、本発明の実施の形態に係るアクセス制御システム1の動作の一例を示すフローチャートである。以下、図17および図18を用いて説明する。
本実施形態において、認可装置280は、図3の上記実施形態の認可装置200の動作を示すフローチャートと同様なステップS101の後、図3のステップS103に替えて、ステップS141〜ステップS145をさらに備える。本実施形態の図18のステップS145の後は、図3のステップS105以降と同様な処理を行う。
【0158】
具体的には、まず、認可装置280の要求受付部202(図17)が、ユーザ3(図17)にサービスを提供するサービス提供装置340(図17)から、ユーザ3からのリソース10へのアクセス要求(認可要求)を受け付ける(図18のステップS101)。
【0159】
受け付けた認可要求に呼応して、認可装置280の認可判定部282(図17)が認可判定を行うに際し、ユーザ3の属性情報が不足した場合(図18のステップS141のYES)、認可装置280の情報収集部284(図17)が、不足しているユーザ3の属性情報を収集する(図18のステップS143)。ユーザ3の属性情報が不足していない場合(図18のステップS141のNO)、図18のステップS145に進む。
【0160】
そして、認可装置280の認可判定部282(図17)が、ポリシ格納部210(図17)に予め仮登録されたポリシを用いて、ユーザ情報記憶部204(図17)およびリソース情報記憶部206(図17)に記憶されたユーザ3およびリソース10の属性情報に基づき、リソース10へのアクセスを許可するか否かの認可判定を行う(図18のステップS145)。
そして、図3のステップS105に進む。
【0161】
なお、本実施形態では、ユーザ情報の不足の判定を図18のステップS145の認可判定処理の前に行う構成としたが、これに限定されない。認可判定部282が認可判定を行うことで、ユーザ情報の不足を判定結果として出力し、その結果に従い、情報収集部284がユーザ情報を収集し、再度、認可判定部282が認可判定を行う構成とすることもできる。
【0162】
以上、説明したように、本発明の実施の形態に係るアクセス制御システム1によれば、上記実施形態と同様な効果を奏するとともに、検証済みでないポリシを用いた認可判定において、判定に必要な情報が不足した場合に、情報を収集して認可判定を行うことができるので、ポリシ設定違反となる可能性が低減する。
【0163】
上記実施形態のアクセス制御システム1において、各実施形態で説明した各処理を一連の処理として行うことができる。たとえば、認可装置280がサービス提供装置340から認可判定要求を受信したときに(各図のステップS101)、まず認可装置280は図5、図7、または図9の手順で作成した結合ポリシを利用して認可判定を行う(各図のステップS103または図18のステップS145)。このとき、認可判定部282が出力する判定結果は「アクセスOK」、「アクセスNG」、「ポリシ設定違反」、または「ユーザ情報不足」を含む。
【0164】
「アクセスOK」または「アクセスNG」という判定が出た場合(各図のステップS105のNO)、ポリシの照合ができたので「認可装置280が保有する結合ポリシはポリシ設定違反が無かった」とみなすことができる。そこで、このポリシを検証済みポリシとして認可装置280のポリシ格納部210内で保管し(各図のステップS107)、アクセス判定の結果をサービス提供装置340に返す(各図のステップS109)。
【0165】
「ユーザ情報不足」という判定が出た場合、たとえば、認可装置280保有情報を認可判定部282が取得していない場合(図18のステップS141のYES)、認可装置280の情報収集部284がユーザ情報を取得して、再度認可判定を行う(図18のステップS145)。
【0166】
「ポリシ設定違反」という判定が出た場合(図14のステップS105のYES)、ポリシの照合ができなかったため、サービス提供装置340にポリシ再設定要求を出す(図14のステップS261)。その後、再度結合ポリシを取得した場合(図14のステップS263)、認可判定を再度行う(図14のステップS103)。
【0167】
上記の処理によれば、結合ポリシを認可装置280が検証しない場合でも、ポリシを利用して認可判定処理を行うことができるので、ポリシが正しく設定されているか否か確認することができる。また、認可装置280とサービス提供装置340が事前に認可処理の委託に関する情報を交換していない状況でも、認可装置280とサービス提供装置340が動的に部分ポリシや結合ポリシを交換することで認可判定の委託を実現することができる。
【0168】
以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記以外の様々な構成を採用することもできる。
たとえば、図8〜図10の上記実施形態のアクセス制御システム1において、サービス提供装置320が結合ポリシを事前に作成し、認可装置240に送信する構成としていたが、他のタイミングで作成することもできる。
【0169】
図19および図20は、他の実施形態のアクセス制御システム1の動作の一例を示すフローチャートである。
図19および図20に示す他の実施形態において、認可判定のトランザクション時に結合ポリシを作成することができる。図8〜図10の上記実施形態では、サービス提供装置320が認可装置240から部分ポリシを受信すると、直ぐにサービス提供装置320が結合ポリシを作成し、認可装置240に返信し、登録していた。すなわち、ポリシの登録処理と認可判定処理を分離して行っていたが、図19および図20の実施形態では、認可判定処理とポリシ登録処理を同時に行う。
【0170】
本実施形態のアクセス制御システム1は、図8のサービス提供装置320および図11のサービス提供装置340と同様な構成を有するサービス提供装置370と、図8の認可装置240と同様な構成を有する認可装置290と、を備える。なお、サービス提供装置370は、作成した第2部分ポリシと認可装置290から送信された第1部分ポリシを一時的に記憶するポリシ記憶部(不図示)をさらに備える。
【0171】
本実施形態のアクセス制御システム1の動作について説明する。以下、図8、図11、図19、および図20を用いて、説明する。
まず、サービス提供装置370の第2ポリシ作成部302(図8)が、第2部分ポリシを作成する(図19のステップS301)。第2ポリシ作成部302が作成した第2部分ポリシをポリシ記憶部(不図示)に一時的に記憶する(図19のステップS371)。
【0172】
一方、認可装置290の第1ポリシ作成部222(図8)が、第1部分ポリシを作成する(図19のステップS221)。そして、認可装置290の結合ポリシ作成指示部242(図8)が、第1ポリシ作成部222が作成した第1部分ポリシをサービス提供装置370に送信する(ステップS291)。
【0173】
そして、サービス提供装置370の第1ポリシ受信部322(図8)が、認可装置290から第1部分ポリシを受信する(図19のステップS373)。そして、第1ポリシ受信部322が受信した第1部分ポリシをポリシ記憶部に記憶する(図19のステップS375)。
【0174】
そして、サービス提供装置370の認可要求部342(図11)が、ユーザ3からのアクセス要求に呼応して(図20のステップS501のYES)、サービス提供装置370の結合ポリシ作成部324(図8)が、第2ポリシ作成部302が作成した第2部分ポリシと、認可装置290から受信した第1部分ポリシをポリシ記憶部から読み出し、結合ポリシを作成する(図20のステップS531)。
【0175】
そして、サービス提供装置370の結合ポリシ送信部326(図8)が、認可装置290(図8)に対し、認可判定を要求するとともに、結合ポリシ作成部324が作成した結合ポリシを送信する(図20のステップS533)。サービス提供装置370は、図12のステップS505に進み、認可装置290からの認可判定結果を待つ。以降の処理は上記実施形態と同様である。
【0176】
そして、認可装置290の結合ポリシ受信部244(図8)が、サービス提供装置370から認可判定要求とともに、結合ポリシを受信する(図20のステップS293)。
【0177】
そして、認可装置290の認可判定部208(図8)が、受信した結合ポリシを用いて認可判定を行う(図20のステップS295)。そして、図3、図14、または図16などのステップS105に進み、認可判定の結果に従い処理を行う。以降の処理は上記実施形態と同様である。
【0178】
上述した構成によれば、状況実施形態と同様な効果を奏するとともに、さらに、事前にサービス提供装置370がアクセス要求を受けたときに、結合ポリシを作成して、認可判定要求を行うので、認可装置290が事前に結合ポリシをポリシ格納部210に仮登録する必要がなくなる。認可装置290とサービス提供装置370間で事前に65ポリシを送受信する必要がなくなるので、認可装置290とサービス提供装置370の間の通信量を削減できる。また、たとえば、ポリシが短期間で変更になったような場合に、変更前のポリシを無駄に認可装置290に仮登録しなくてもよいことも考えられる。ポリシ格納部210メモリ容量の削減や、登録処理手順を省略できるので、処理の負荷を低減できる。
【0179】
なお、本発明のアクセス制御システム1は、ユーザにコンテンツを提供する事業者(SP)とユーザの情報を管理しアクセス制御を集中的に行うモバイルキャリアが存在する環境において、サービスを提供する事業者がアクセス制御判定をモバイルキャリアに委託する、といった用途に適用できる。
【0180】
また、業務システムを外部事業者(SP)にアウトソースしている企業(IdP)が存在する状況において、社員がアウトソースしている外部事業者のサービスを利用するときに、認可判定を企業内で行うといった用途にも適用可能である。
【0181】
また、電子商取引の場を提供するショッピングプラットフォーム事業者(IdP)と複数のショッピングサイト(SP)が存在する環境において、各ショッピングサイトでは認可判定を行わず、ショッピングプラットフォーム事業者が、各ショッピングサイトが規定してポリシにもとづき集中して認可判定を行う、といった用途にも適用できる。
【0182】
また、複数のテナント(SP)が入居するビル管理システム(IdP)の入退場管理システムにおいて、各テナントが入退場ポリシ(結合ポリシ)を規定し、前記規定したポリシにしたがってビル管理システムが入場者の入場可否(認可判定)を決定する(例えば、ポリシに従って入場ゲートの開閉を行う)システムにも適用できる。
【0183】
以上、実施形態および実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
なお、本発明において利用者に関する情報を取得、利用する場合は、これを適法に行うものとする。
【0184】
本発明は以下の態様も含むことができる。
(付記1)
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備える認可装置。
【0185】
(付記2)
(付記1)に記載の認可装置において、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する部分ポリシ作成手段をさらに備え、
前記認可判定手段は、前記サービス提供装置が作成した前記リソースへのアクセス制御の第2部分ポリシと、前記第1部分ポリシと、を結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行う認可装置。
【0186】
(付記3)
(付記2)に記載の認可装置において、
前記サービス提供装置から、前記第2部分ポリシを受信する部分ポリシ受信手段と、
前記部分ポリシ受信手段が受信した前記第2部分ポリシと、前記部分ポリシ作成手段が作成した前記第1部分ポリシとを結合し、結合ポリシを作成する結合ポリシ作成手段と、をさらに備え、
前記認可判定手段は、前記結合ポリシ作成手段が作成した前記結合ポリシを前記仮登録されたポリシとして用いて前記認可判定を行う認可装置。
【0187】
(付記4)
(付記2)に記載の認可装置において、
前記サービス提供装置に、前記部分ポリシ作成手段が作成した前記第1部分ポリシを送信し、前記サービス提供装置が作成した前記第2部分ポリシと、送信した前記第1部分ポリシを結合して結合ポリシを作成する指示を、前記サービス提供装置に行う結合ポリシ作成指示手段と、
前記サービス提供装置から前記結合ポリシを受信する結合ポリシ受信手段と、をさらに備え、
前記認可判定手段は、前記結合ポリシ受信手段が受信した前記結合ポリシを前記仮登録されたポリシとして用いて前記認可判定を行う認可装置。
【0188】
(付記5)
(付記1)乃至(付記4)いずれかに記載の認可装置において、
前記リソースへのアクセスを許可するか否かの認可判定に利用するポリシを記憶するポリシ記憶装置をさらに備え、
前記登録手段は、前記検証済みポリシを前記ポリシ記憶装置に登録し、
前記認可判定手段は、前記登録手段が前記ポリシ記憶装置に登録した前記検証済みポリシを用いて認可判定を行う認可装置。
【0189】
(付記6)
(付記1)乃至(付記5)いずれかに記載の認可装置において、
前記認可判定手段が前記認可判定を行うとき、前記ユーザの属性情報が不足した場合、不足した前記ユーザの前記属性情報を収集する収集手段をさらに備え、
前記認可判定手段は、前記ユーザの属性情報が不足した場合、前記収集手段に前記ユーザの前記属性情報の収集を指示し、前記収集手段が収集した前記ユーザの前記属性情報に基づいて、再度、認可判定を行う認可装置。
【0190】
(付記7)
(付記1)乃至(付記6)いずれかに記載の認可装置に、ユーザからのリソースへのアクセス要求に呼応して、前記リソースへのアクセスの認可判定を要求する認可要求手段と、
前記認可装置から前記リソースへの前記アクセスの前記認可判定の結果を受信する認可判定結果受信手段と、
前記認可判定結果受信手段が受信した前記認可判定の結果に応じて、前記ユーザからの前記アクセス要求に対応する前記リソースへのアクセスを実行するアクセス実行手段と、を備えるサービス提供装置。
【0191】
(付記8)
リソースへのアクセスの認可判定を行う認可装置が作成した第1部分ポリシと結合して、前記認可装置が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、前記リソースへのアクセス制御のポリシの設定を受け付けて、作成する部分ポリシ作成手段を備えるサービス提供装置。
【0192】
(付記9)
(付記8)に記載のサービス提供装置において、
ユーザからの前記リソースへのアクセス要求に呼応して、前記リソースへのアクセスの認可判定を認可装置に要求する認可要求手段と、
前記認可装置から前記ポリシに基づいて行われた、前記リソースへの前記アクセスの前記認可判定の結果を受信する認可判定結果受信手段と、
前記認可判定結果受信手段が受信した前記認可判定の結果に応じて、前記ユーザからの前記アクセス要求に対応する前記リソースへのアクセスを実行するアクセス実行手段と、を備えるサービス提供装置。
【0193】
(付記10)
(付記8)または(付記9)に記載のサービス提供装置において、
前記認可装置から、前記認可装置が作成した前記第1部分ポリシを受信する部分ポリシ受信手段と、
前記部分ポリシ作成手段が作成した前記第2部分ポリシと、前記部分ポリシ受信手段が受信した前記第1部分ポリシとを結合し、結合ポリシを作成する結合ポリシ作成手段と、
前記結合ポリシ作成手段が作成した前記結合ポリシを前記認可装置に送信するポリシ送信手段と、を備えるサービス提供装置。
【0194】
(付記11)
(付記10)に記載のサービス提供装置において、
前記部分ポリシ作成手段が作成した前記第2部分ポリシを前記認可装置に送信するポリシ送信手段をさらに備えるサービス提供装置。
【0195】
(付記12)
リソースへのアクセスの認可判定を行う認可装置が、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付け、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行い、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、
前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録し、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信するアクセス制御方法。
【0196】
(付記13)
(付記12)に記載のアクセス制御方法において、
前記サービス提供装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し、
前記認可装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し、
前記認可装置が、作成された前記第1部分ポリシと、作成された前記第2部分ポリシとを結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御方法。
【0197】
(付記14)
(付記12)または(付記13)に記載のアクセス制御方法において、
前記認可装置は、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行うアクセス制御方法。
【0198】
(付記15)
ユーザからのリソースへのアクセス要求の認可判定を行う認可装置を実現するためのコンピュータに、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける手順、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う手順、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信する手順、を実行させるためのプログラム。
【0199】
(付記16)
(付記15)に記載のプログラムにおいて、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する手順、
前記サービス提供装置が作成した前記リソースへのアクセス制御の第2部分ポリシと、前記第1部分ポリシと、を結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行う手順をさらにコンピュータに実行させるプログラム。
【0200】
(付記17)
ユーザにサービスを提供するサービス提供装置を実現するコンピュータに、
リソースへのアクセスの認可判定を行う認可装置が作成した第1部分ポリシと結合して、前記認可装置が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、前記リソースへのアクセス制御のポリシの設定を受け付けて、作成する手順を実行させるためのプログラム。
【符号の説明】
【0201】
1 アクセス制御システム
3 ユーザ
5 ネットワーク
10 リソース
100 サービス提供装置
120 CPU
122 メモリ
124 ハードディスク
126 ネットワーク通信部
128 操作受付部
130 表示制御部
134 バス
150 入力装置
152 表示装置
200 認可装置
202 要求受付部
204 ユーザ情報記憶部
206 リソース情報記憶部
208 認可判定部
210 ポリシ格納部
212 応答部
220 認可装置
222 第1ポリシ作成部
224 結合ポリシ取得部
230 認可装置
232 部分ポリシ受信部
234 結合ポリシ作成部
240 認可装置
242 結合ポリシ作成指示部
244 結合ポリシ受信部
260 認可装置
262 結合ポリシ再設定指示部
270 認可装置
272 結合ポリシ作成部
274 結合ポリシ送信部
280 認可装置
282 認可判定部
284 情報収集部
290 認可装置
300 サービス提供装置
302 第2ポリシ作成部
310 サービス提供装置
312 部分ポリシ送信部
320 サービス提供装置
322 第1ポリシ受信部
324 結合ポリシ作成部
326 結合ポリシ送信部
340 サービス提供装置
342 認可要求部
346 結果受信部
348 サービス提供部
350 サービス提供装置
352 結合ポリシ再設定部
360 サービス提供装置
362 結合ポリシ受信部
364 結合ポリシ検証部
370 サービス提供装置
【特許請求の範囲】
【請求項1】
ユーザにサービスを提供するサービス提供装置と、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求の認可判定を行う認可装置と、を備え、
前記認可装置は、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備えるアクセス制御システム。
【請求項2】
請求項1に記載のアクセス制御システムにおいて、
前記認可装置は、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する第1ポリシ作成手段を備え、
前記サービス提供装置は、
前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成する第2ポリシ作成手段をさらに備え、
前記認可装置の前記認可判定手段は、前記第1ポリシ作成手段が作成した前記第1部分ポリシと、前記第2ポリシ作成手段が作成した前記第2部分ポリシとを結合し、結合ポリシを前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御システム。
【請求項3】
請求項1または2に記載のアクセス制御システムにおいて、
前記認可判定手段は、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行うアクセス制御システム。
【請求項4】
請求項1乃至3いずれかに記載のアクセス制御システムにおいて、
前記認可判定手段が前記認可判定に用いたポリシにポリシ設定違反があると判定された場合、前記ポリシの再設定を行うポリシ再設定手段をさらに備え、
前記認可判定手段は、前記ポリシ再設定手段が再設定したポリシを前記仮登録されたポリシとして用いて前記認可判定に用い、前記認可判定に用いた前記ポリシにポリシ設定違反がないことを確認するまで、
前記ポリシ再設定手段は、前記ポリシの再設定を繰り返し、
前記認可判定手段は、前記ポリシ再設定手段が再設定したポリシを前記仮登録されたポリシとして用いて前記認可判定を繰り返すアクセス制御システム。
【請求項5】
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備える認可装置。
【請求項6】
請求項5に記載の認可装置において、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する部分ポリシ作成手段をさらに備え、
前記認可判定手段は、前記サービス提供装置が作成した前記リソースへのアクセス制御の第2部分ポリシと、前記第1部分ポリシと、を結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行う認可装置。
【請求項7】
リソースへのアクセスの認可判定を行う認可装置が作成した第1部分ポリシと結合して、前記認可装置が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、前記リソースへのアクセス制御のポリシの設定を受け付けて、作成する部分ポリシ作成手段を備えるサービス提供装置。
【請求項8】
リソースへのアクセスの認可判定を行う認可装置が、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付け、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行い、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、
前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録し、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信するアクセス制御方法。
【請求項9】
請求項8に記載のアクセス制御方法において、
前記サービス提供装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し、
前記認可装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し、
前記認可装置が、作成された前記第1部分ポリシと、作成された前記第2部分ポリシとを結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御方法。
【請求項10】
ユーザからのリソースへのアクセス要求の認可判定を行う認可装置を実現するためのコンピュータに、
前記ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける手順、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う手順、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信する手順、を実行させるためのプログラム。
【請求項1】
ユーザにサービスを提供するサービス提供装置と、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求の認可判定を行う認可装置と、を備え、
前記認可装置は、
前記サービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備えるアクセス制御システム。
【請求項2】
請求項1に記載のアクセス制御システムにおいて、
前記認可装置は、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する第1ポリシ作成手段を備え、
前記サービス提供装置は、
前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成する第2ポリシ作成手段をさらに備え、
前記認可装置の前記認可判定手段は、前記第1ポリシ作成手段が作成した前記第1部分ポリシと、前記第2ポリシ作成手段が作成した前記第2部分ポリシとを結合し、結合ポリシを前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御システム。
【請求項3】
請求項1または2に記載のアクセス制御システムにおいて、
前記認可判定手段は、前記検証済みポリシとして登録されたポリシがある場合、当該検証済みポリシを用いて前記認可判定を行うアクセス制御システム。
【請求項4】
請求項1乃至3いずれかに記載のアクセス制御システムにおいて、
前記認可判定手段が前記認可判定に用いたポリシにポリシ設定違反があると判定された場合、前記ポリシの再設定を行うポリシ再設定手段をさらに備え、
前記認可判定手段は、前記ポリシ再設定手段が再設定したポリシを前記仮登録されたポリシとして用いて前記認可判定に用い、前記認可判定に用いた前記ポリシにポリシ設定違反がないことを確認するまで、
前記ポリシ再設定手段は、前記ポリシの再設定を繰り返し、
前記認可判定手段は、前記ポリシ再設定手段が再設定したポリシを前記仮登録されたポリシとして用いて前記認可判定を繰り返すアクセス制御システム。
【請求項5】
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける要求受付手段と、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う認可判定手段と、
前記認可判定手段の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する登録手段と、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定手段の前記判定結果を前記サービス提供装置に返信する応答手段と、を備える認可装置。
【請求項6】
請求項5に記載の認可装置において、
前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成する部分ポリシ作成手段をさらに備え、
前記認可判定手段は、前記サービス提供装置が作成した前記リソースへのアクセス制御の第2部分ポリシと、前記第1部分ポリシと、を結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行う認可装置。
【請求項7】
リソースへのアクセスの認可判定を行う認可装置が作成した第1部分ポリシと結合して、前記認可装置が認可判定に使用する結合ポリシを作成するための第2部分ポリシを、前記リソースへのアクセス制御のポリシの設定を受け付けて、作成する部分ポリシ作成手段を備えるサービス提供装置。
【請求項8】
リソースへのアクセスの認可判定を行う認可装置が、
ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付け、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行い、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、
前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録し、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信するアクセス制御方法。
【請求項9】
請求項8に記載のアクセス制御方法において、
前記サービス提供装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第1部分ポリシを作成し、
前記認可装置が、前記リソースへのアクセス制御のポリシの設定を受け付け、第2部分ポリシを作成し、
前記認可装置が、作成された前記第1部分ポリシと、作成された前記第2部分ポリシとを結合した結合ポリシを、前記仮登録されたポリシとして用いて前記認可判定を行うアクセス制御方法。
【請求項10】
ユーザからのリソースへのアクセス要求の認可判定を行う認可装置を実現するためのコンピュータに、
前記ユーザにサービスを提供するサービス提供装置から、前記ユーザからのリソースへのアクセス要求を受け付ける手順、
前記アクセス要求に呼応して、予め仮登録されたポリシを用いて、前記ユーザおよび前記リソースの属性情報に基づき、前記リソースへのアクセスを許可するか否かの認可判定を行う手順、
前記認可判定の判定結果に基づいて、前記予め仮登録されたポリシにポリシ設定違反がないことを確認し、前記ポリシ設定違反がなかったポリシを、検証済みポリシとして登録する手順、
前記ポリシ設定違反がなかったポリシを用いた前記認可判定の前記判定結果を前記サービス提供装置に返信する手順、を実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【公開番号】特開2012−208554(P2012−208554A)
【公開日】平成24年10月25日(2012.10.25)
【国際特許分類】
【出願番号】特願2011−71555(P2011−71555)
【出願日】平成23年3月29日(2011.3.29)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成24年10月25日(2012.10.25)
【国際特許分類】
【出願日】平成23年3月29日(2011.3.29)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]