アクセス制御システム
【課題】分散環境であっても効率的にアクセス制御する。
【解決手段】アクセス制御システム1は、ポリシ実行装置30が、操作者端末10からアクセス要求を受信した場合、資源装置20とのアクセスに必要なポリシ属性をポリシ評価装置40に問い合わせ、問い合わせた結果に基づくポリシ評価要求をポリシ評価装置40に送信する。
【解決手段】アクセス制御システム1は、ポリシ実行装置30が、操作者端末10からアクセス要求を受信した場合、資源装置20とのアクセスに必要なポリシ属性をポリシ評価装置40に問い合わせ、問い合わせた結果に基づくポリシ評価要求をポリシ評価装置40に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、分散環境であっても効率的にアクセス制御し得るアクセス制御システムに関する。
【背景技術】
【0002】
近年、特定の情報やアクションを、権限情報に基づいて制御するアクセス制御技術の重要性が高まっている。例えば、アクション可否形式のアクセス制御については広く利用されている。
【0003】
アクション可否形式のアクセス制御としては、例えば、文書ファイルに対する権限情報をセキュリティ属性とするものがある。詳しくは、ユーザに割り当てられた、文書ファイルに対する権限情報が「閲覧許可」や「編集許可」などのアクション可否形式で記述されている。この種の権限情報は、アクセス制御マトリックス(Access Control Matrix)やアクセス制御リスト(Access Control List)として知られている。例えば特許文献1では、「セキュリティコンテナ」として文書ファイルに権限情報(ルール)を設定する方法が開示されている。
【0004】
しかしながら、アクション可否形式のアクセス制御では、許可されるアクセス時間やアクセス場所などの条件や、詳細な機能制限などの柔軟なアクセス制御内容を記述することが困難である。
【0005】
このため、近年では、アクション可否形式だけではなく、アクセス制御ポリシ形式のアクセス制御が利用されている。アクセス制御ポリシは、アクセス制御ルールの集合であり、標準的な記述仕様が公開されている(例えば、非特許文献1を参照)。このアクセス制御ポリシ形式のアクセス制御では、許可される条件や、詳細な機能制限の記述が可能である。例えば、アクセス制御ポリシ形式のアクセス制御では、文書ファイルへのアクセス要求を受けると、ファイルを開いてよいか否かを判定した上で、アクセス制御ポリシで規定された機能に制限する等の制御が可能となる。
【0006】
ところで、アクセス制御ポリシ形式のアクセス制御では、アクセス制御するポリシ実行点(Policy Enforcement Point)から、アクセス制御ポリシを評価するポリシ決定点(Policy Decision Point)へ、アクセス制御のポリシ情報に対するアクセス内容を評価してもらう必要がある。例えば、アクセス主体(サブジェクト)や、アクセス行為(アクション)などの評価を要求する。なお、一般的には、アクセス主体の認証をアクセス制御前に行うが、このときアクセス制御ポリシなどとは別に、アクセス主体を証明しうる認証方式を決定するための情報として認証ポリシを用いることが多い。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2001−306521号公報
【非特許文献】
【0008】
【非特許文献1】Tim Moses、" eXtensible Access Control Markup Language (XACML) Version 2.0 "、[online]、 [2007年5月17日検索]、インターネット<URL:http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-core-spec-os.pdf>
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、従来のアクセス制御ポリシ形式のアクセス制御では、アクセス制御ポリシの評価に必要なポリシ属性の情報をポリシ実行点が有していないため、アクセス要求しても、アクセスが許可されないことがある。
【0010】
補足すると、単一の閉じたドメインにおけるシステムの場合、アクセス主体属性(利用者認証方式など)や、環境属性などのポリシ評価を実行するための情報は、ポリシ実行点が事前に取得していることが前提であることが多い。かかる前提のもとでは、アクセス要求時に、アクセス制御ポリシを評価して、アクセスを許可するのに必要な情報が不足するという事態は生じにくい。
【0011】
しかしながら、複数のドメインに跨るような分散環境におけるシステムでは、ポリシ実行点が記述したポリシ評価要求に含まれる情報だけでは、ポリシ決定点がアクセスを許可するのに必要な情報が不足する場合がある。このような場合、ポリシ決定点がポリシ評価をするのに必要とするポリシ属性の情報が、ポリシ評価要求に記述されていないので、アクセスが許可されないことになる。
【0012】
例えば、特定の認証方式がポリシ情報に定義されているときに異なる認証方式で利用者が認証された場合、アクセス許可がされないことになる。そのため、ポリシ実行点においてポリシ属性取得処理を再度実行する必要が生じ、また利用者認証を再度利用者に要求することになる。結果として、ポリシ実行点及び利用者の負担が増加することになる。
【0013】
本発明は上記実情に鑑みてなされたものであり、分散環境であっても効率的にアクセス制御し得るアクセス制御システムを提供することを目的とする。
【課題を解決するための手段】
【0014】
本発明は上記課題を解決するために、操作者端末と資源装置とのアクセスを制御するためのポリシ実行装置及びポリシ評価装置を備えたアクセス制御システムであって、前記ポリシ実行装置は、前記操作者端末から、前記資源装置へのアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求を受信した場合、前記資源装置とのアクセスに必要なポリシ属性を前記ポリシ評価装置に問い合わせるためのポリシ属性問合せ手段と、前記ポリシ評価装置からポリシ属性を受信した場合、該ポリシ属性に対応する接続条件情報を取得するための接続条件情報取得手段と、前記接続条件情報を取得した場合、該接続条件情報を含むポリシ評価要求を前記ポリシ評価装置に送信するポリシ評価要求手段と、前記ポリシ評価要求に対するポリシ評価応答に応じて、前記操作者端末と前記資源装置とのアクセスを制御するアクセス制御手段とを備え、前記ポリシ評価装置は、前記資源装置への接続条件を示すポリシ情報を記憶するポリシ情報記憶手段と、前記ポリシ情報に基づいて、前記ポリシ実行装置からのポリシ属性問合せに対応するポリシ属性を解析するポリシ属性解析手段と、前記ポリシ属性解析手段により解析したポリシ属性を前記ポリシ実行装置に応答するポリシ属性応答手段と、前記ポリシ実行装置から前記ポリシ評価要求を受信した場合、該ポリシ評価要求に含まれる接続条件情報と前記ポリシ情報とに基づいて、前記操作者端末と前記資源装置とのアクセスを許可するか否かを示すポリシ評価応答を該ポリシ実行装置に送信するポリシ評価応答手段とを備えたアクセス制御システムを提供する。
【0015】
なお、本発明は、各装置の集合体を「システム」として表現したが、これに限らず、装置毎に「装置」又は「プログラム」として表現してもよく、また、システム又は装置毎に「方法」として表現してもよい。すなわち、本発明は、任意のカテゴリーで表現可能となっている。
【0016】
<作用>
従って、本発明は以上のような手段を講じたことにより、ポリシ実行装置が、操作者端末からアクセス要求を受信した場合、資源装置とのアクセスに必要なポリシ属性をポリシ評価装置に問い合わせ、問い合わせた結果に基づくポリシ評価要求をポリシ評価装置に送信するので、分散環境であっても効率的にアクセス制御し得るアクセス制御システムを提供できる。
【発明の効果】
【0017】
本発明によれば、ポリシ実行点とポリシ決定点が分散された環境であっても、ポリシ実行点が取得すべきポリシ属性を決定でき、効率的にアクセス制御することが可能となる。
【図面の簡単な説明】
【0018】
【図1】本発明の第1の実施形態に係るアクセス制御システムの構成を示す模式図である。
【図2】同実施形態に係る「ポリシ属性クエリ」の一例を示す図である。
【図3】同実施形態に係る「ポリシ評価要求」の一例を示す図である。
【図4】同実施形態に係る「ポリシ情報」の一例を示す図である。
【図5】同実施形態に係る「ポリシ情報」の一例を示す図である。
【図6】同実施形態に係る「ポリシ属性応答」の一例を示す図である。
【図7】同実施形態に係るアクセス制御システム1の動作を説明するためのフローチャートである。
【図8】従来のアクセス制御の動作を説明するための図である。
【発明を実施するための形態】
【0019】
以下、図面を参照して本発明の実施形態を説明する。
【0020】
<第1の実施形態>
(アクセス制御システムの構成)
図1は本発明の第1の実施形態に係るアクセス制御システム1の構成を示す模式図である。
【0021】
アクセス制御システム1は、ポリシ実行装置30とポリシ評価装置40とを有し、操作者端末10と資源装置20とのアクセス制御を実行する。なお、これらの各装置10〜40はネットワークを介して互いに接続されている。また、アクセス制御の前提として、資源装置20に対するポリシ情報がポリシ評価装置40に事前に記憶されている。なお、本実施形態では、ポリシ実行装置30が外部認証プロバイダ50と接続されている。
【0022】
操作者端末10は、操作者により操作される端末装置である。操作者は、この操作者端末10を介して特定の資源装置20にアクセスすることを目的とする。操作者端末10が資源装置20にアクセスする際には、操作者端末10から資源装置20への「アクセス要求」がポリシ実行装置30に送信される。
【0023】
資源装置20は、操作者端末10のアクセス対象となるものである。例えば、資源装置20には、種々のサービスプロバイダにより提供される「資源情報」が格納されている。資源装置20に対しては、ポリシ情報により接続条件が予め定義されており、特定のポリシ属性に対応する接続条件を満たしたアクセス要求のみがアクセス許可されることになる。なお、分散環境システムでは、資源装置20と操作者端末10とがそれぞれ複数存在する。
【0024】
ポリシ実行装置30は、いわゆるポリシ実行点として機能するものであり、アクセス要求受信部31・ポリシ属性問合せ部32・ポリシ属性クエリ作成部33・接続条件情報取得部34・ポリシ評価要求部35・アクセス制御部36を備える。
【0025】
アクセス要求受信部31は、資源装置20へのアクセス要求を操作者端末10から受信するものである。アクセス要求受信部31は、アクセス要求を受信すると、操作者端末10がアクセスしようとする資源装置20の情報をポリシ属性問合せ部32に送出する。
【0026】
ポリシ属性問合せ部32は、操作者端末10からアクセス要求を受信した場合、資源装置20とのアクセスに必要なポリシ属性をポリシ評価装置40に問い合わせるためのものである。要するに、このポリシ属性問合せ部32は、後述するポリシ評価要求をするために必要となるポリシ属性の情報を事前に問い合わせるものである。また、ポリシ属性問合せ部32は、ポリシ属性を問い合わせる際、ポリシ属性クエリ作成部33にポリシ属性クエリの作成を要求する。
【0027】
なお、本実施形態では、ポリシ属性問合せ部32は、ポリシ属性として“認証方式”を問い合わせることとする。補足すると、認証方式には、パスワード認証やICカード認証、生体認証などがある。そこで、ポリシ属性問合せ部32は、上記のうちのいずれの認証であれば資源装置20へのアクセスが許可されるかをポリシ評価装置40に問い合わせる。ただし、認証方式以外にも、場所や操作アプリケーション種別などのその他の条件をポリシ属性に適用できることはいうまでもない。
【0028】
ポリシ属性クエリ作成部33は、ポリシ属性を問い合わせるための「ポリシ属性クエリ」を作成するものである。ポリシ属性クエリは、ポリシ評価装置40がポリシ情報に基づいて、必要なポリシ属性を解析するために利用される。ポリシ情報については後述する。
【0029】
このポリシ属性クエリは、例えば図2に示すような構成の情報となっている。詳しくは、ポリシ属性クエリは、AttributeFindingQuery要素e21によって表現される。AttributeFindingQuery要素e21は、一つ以上のQuery要素e22を子要素にもち、各Query要素はQueryId属性によって識別される。Query要素e22は、問い合わせたい対象であるポリシ属性を示すQueryTarget要素e23と、絞り込むための条件を示すQueryCondition要素e27とを持つ。図2の例では、QueryTarget要素e23の中で、Subject要素e24の子要素であるAttribute要素のうち、AttributeId属性値が“authentication-method”と“identity-provider-url”とを持つAttribute要素e25,e26の要素値を問い合わせていることが示されている。QueryTarget要素e23に指定がなければ、適合する可能性のあるポリシ属性の全てを問い合わせることと同義とみなされる。また、図2の例では、QueryCondition要素e27のAttributeValue要素e28,e29の指定から、“Resource-1”に対応する資源装置20に、“read”のアクション行為を行うための条件を問い合わせることが示されている。これにより、この条件に適合するポリシ属性をポリシ情報から抽出することが可能となる。
【0030】
接続条件情報取得部34は、ポリシ評価装置40からポリシ属性を受信した場合、受信したポリシ属性に対応する「接続条件情報」を取得するためのものである。本実施形態では、接続条件情報取得部34として認証装置を用い、ポリシ属性が指定する認証方式による情報を接続条件情報として取得する。
【0031】
認証装置は、操作者が本人か否かを認証するための装置であり、複数の認証方式を有しており、単一の認証方式または複合的な認証方式による認証を実行する。このとき、認証装置は、外部の認証装置または認証プロバイダと接続して協調的に認証を実行してもよい。なお、認証装置は、一般的な認証を実行するための装置であればよく、装置構成の詳細などについては省略する。
【0032】
ポリシ評価要求部35は、接続条件情報取得部34により接続条件情報が取得された場合、その接続条件情報を含む「ポリシ評価要求」をポリシ評価装置40に送信するものである。ポリシ評価要求は、例えば図3に示すような構成の情報である。ここでは、接続条件情報がAttribute要素e31,e32,e33で示されており、アクセス要求先に対する情報がAttribute要素e34,e35で示されている。すなわち、Attribute要素e31の“User-1”が、Attribute要素e32のパスワード認証方式(“password”)により、Attribute要素e33のURL“http://example1.co.jp/login”の外部認証プロバイダで認証したことが接続条件情報として書き込まれている。そして、アクセス要求先として、Attribute要素e34の“Resource-1”へ、Attribute要素e35の“read”行為に対するアクセス許可の判定を要求している。
【0033】
アクセス制御部36は、ポリシ評価要求に対するポリシ評価応答に応じて、操作者端末10と資源装置20とのアクセスを制御するものである。すなわち、アクセス制御部36は、ポリシ評価応答が“許可(Permit)”を示す場合、操作者端末10と資源装置20とのアクセスを許可し、ポリシ評価応答が“拒否(Deny)”を示す場合、操作者端末10と資源装置20とのアクセスを拒否する制御を行なう。
【0034】
ポリシ評価装置40は、いわゆるポリシ評価点として機能するものであり、ポリシ情報記憶部41・ポリシ属性解析部42・ポリシ属性応答部43・ポリシ評価応答部44を備える。
【0035】
ポリシ情報記憶部41は、資源装置20への接続条件を示す「ポリシ情報」を記憶するメモリである。なお、ポリシ情報は外部記憶装置に記憶されていて随時書き込まれるものであってもよい。
【0036】
本実施形態では、ポリシ情報は、XML(eXtensible Markup Language)形式で記述されたポリシファイルを取り扱う例で説明する。このポリシファイルは、単独のファイル形式であってもよいし、文書ファイルに含まれる形式であってもよい。本実施形態では文書ファイルに含まれる形式について説明する。
【0037】
ポリシ情報は、例えば図4及び図5に示すような構造のポリシファイルである。本実施形態では、標準的なポリシ記述言語として、非特許文献1に示したXACML V2.0形式を参考にした記述形式を採用している。このポリシファイルは、一つ以上のPolicy要素e42を持つ。また、Policy要素e42を纏める情報としてPolicySet要素e41を持っていてもよい。また、PolicySet要素をPolicySet要素に含めてもよい。Policy要素e42はRule要素e47を持ち、Rule要素e47にアクセス制御の根幹的な内容が記述される。ここでは、ポリシファイルは、アクセス制御の根幹的な内容を示すものとして、"subject"(主体)、"action"(行為)、"resource"(リソース)、"environment"(環境)といった構成要素を含んでいる。具体的には、"subject"(主体)はアクセス実行の主体であり、Subjects要素e44で示される。"resource"(資源)はアクセス実行の客体であり、Resources要素e45で示される。"action"(行為)はアクセス実行の行為内容であり、Actions要素e46で示される。"environment"(環境)はアクセス実行の環境を示す。なお、本実施形態で例示するポリシ記述例は、記載の簡略化のため名前空間やデータタイプ等の発明に本質的に関わらない情報は、除外している。
【0038】
また、ポリシ情報は、資源装置20へのアクセスが許可されるためのポリシ属性の一例として、“認証方式”と“認証プロバイダ(操作者の認証を行う実施者)の接続先”とが設定されているものとする。要するに、資源装置20にアクセス可能な操作者が誰であるかの情報以外に、操作者を確認する際に実施すべき認証方式と、誰が認証すべきかについての情報とが指定されている。例えば、図4及び図5のポリシ情報の例では、Policy要素e42直下のTarget要素e43によって、対象とすべきアクセス主体とアクセス資源とアクセス行為とがそれぞれSubjects要素e44,Resources要素e45,Actions要素e46により指定されている。ここで指定されるアクセス主体に条件付けられる認証方式と認証プロバイダとは、RuleId値が“Rule-1”であるRule要素e47のCondition要素e48によって指定されている。ここでは、AttributeId属性値が“identity-provider-url”のAttribute要素e50,e51で指定される何れかの認証プロバイダにおいて、パスワード認証方式により認証することが指定されている。なお、認証プロバイダの認証サービス場所を識別する値は、URLによって表現されている。また、認証方式を示すAttribute要素e49のAttributeId属性値は“authentication-method”と表わされる。
【0039】
なお、ポリシ情報は、外部のディレクトリサービスなどから提供されるものであってもよい。この場合、ポリシ情報記憶部41は、ディレクトリサービスなどのポリシストアにアクセスするためのコネクタなどで実装される。
【0040】
ポリシ属性応答部42は、ポリシ実行装置30からポリシ属性クエリを受け取ると、ポリシ属性解析部43にポリシ属性を解析させ、解析結果を「ポリシ属性応答」としてポリシ実行装置30に応答するものである。
【0041】
ポリシ属性解析部43は、ポリシ情報に基づいて、ポリシ実行装置30からのポリシ属性問合せに対応するポリシ属性を解析するものである。ここでは、ポリシ属性解析部43は、ローカルなファイルへのアクセスプログラムなどの形態で実装され、ポリシ情報記憶部41からポリシ情報を取得する。
【0042】
具体的には、ポリシ属性解析部43は、ポリシ属性クエリで指定される資源装置20のポリシ情報からポリシ属性を抽出する。ポリシ属性解析部43が生成するポリシ属性応答は、例えば図6のように示される。ポリシ属性応答は、AttributeFindingResponse要素e61によって表現される。AttributeFindingResponse要素e61は、Response要素e62を持つ。このResponse要素e62は、CorrelationId属性によって、ポリシ属性クエリのQuery要素e22と関連付けられている。Response要素e62は、ポリシ評価に必要なポリシ属性を含む集合である。ここで、ポリシ属性値(Attribute要素値)が含まれないものは、単純にそのポリシ属性が必要であることを示している。また、ポリシ属性値を含んでいるものは、「ポリシ評価要求」をする際に含めなければならないポリシ属性値を示している。
【0043】
例えば、Subject要素e63において、AttributeId属性値が“authentication-method”のAttribute属性は、“password”であるので、パスワード認証方式を選択しなければならないことを示している。また、Apply要素e64のFunctionId値が“or”である場合は、選択可能な値であることを示している。例えば、AttributeId属性が“identity_provider_url”の属性値としては、“http://example1.co.jp/login”と“http://example2.co.jp/login”との2つが選択可能であり、何れかのURLに対応する認証プロバイダで認証を受けることが必要とされる。
【0044】
また、ポリシ情報に関して、ポリシ属性クエリに適合した、ポリシ属性値を応答するか否かについて制御してもよい。すなわち、当該ポリシ属性に該当するAttribute要素に、前記ポリシ属性値を応答するか否かを示す属性(Quariable属性)を追加してもよい。
【0045】
例えば、Quariable属性値をboolean型(真理値の「真 = true」と「偽 = false」という2値をとる基本データ型)で表現すると、図4の例では、Subject要素のAttribute要素についてのQuariable属性値のようになる。このSubject要素のAttribute要素のQuariable属性値が「false」なので、このポリシ属性が適合したとしても、ポリシ属性の値を応答しないものとする。Quariable属性値が存在しなければ、ポリシ属性の値を返してよいが、明示的にQuariable属性値を「true」としてもよい。なお、これらの判別条件は、前記のように明示的にポリシ内に記述してもよく、さらにポリシ属性解析部が静的な設定情報として保持してもよい。
【0046】
ポリシ評価応答部44は、ポリシ実行装置30から「ポリシ評価要求」を受信した場合、受信したポリシ評価要求に含まれる接続条件情報とポリシ情報とに基づいて、操作者端末10と資源装置20とのアクセスを許可するか否かを示す「ポリシ評価応答」をポリシ実行装置30に送信するものである。要するに、ポリシ評価応答部44では、ポリシ評価要求に含まれる各要素と、ポリシ情報のrule要素e47,e52とから、 “アクセス許可(Permit)”または“アクセス拒否(Deny)”を示すポリシ評価応答をポリシ実行装置30に送信する。
【0047】
なお、上記ポリシ実行装置30及びポリシ評価装置40は同一の物理装置上に配備された形態であってもよい。また、資源装置20はポリシ実行装置30の内部に保持されていてもよい。
【0048】
(アクセス制御システムの動作)
次に本実施形態に係るアクセス制御システム1の動作を図7のフローチャートを用いて説明する。
【0049】
まず、操作者による操作者端末10の操作により、資源装置20への「アクセス要求」がポリシ実行装置30に送信される(S1)。これにより、ポリシ実行装置30が、操作者端末10から資源装置20へのアクセス要求を受信する。
【0050】
ポリシ実行装置30が、アクセス要求を受信した場合、資源装置20とのアクセスに必要なポリシ属性が何かをポリシ評価装置40に問い合わせる。具体的には、ポリシ属性問合せ部32は、ポリシ属性クエリをポリシ評価装置40に送信する(S2)。このポリシ属性クエリは、ポリシ属性クエリ作成部33により作成され、問合わせる対象となるポリシ属性の要素と、その絞り込むための条件とが記述される。
【0051】
ポリシ評価装置40はポリシ属性応答部42を介してポリシ実行装置30からポリシ属性クエリを受け取る。続いて、ポリシ属性解析部43が、ポリシ情報記憶部41に記憶されたポリシ情報をポリシ属性クエリに基づいて解析し、必要となるポリシ属性を抽出する(S3)。
【0052】
そして、ポリシ評価装置40が、ポリシ属性解析部43により解析したポリシ属性の情報を記述したポリシ属性応答を、ポリシ属性応答部42を介してポリシ実行装置30に送信する(S4)。
【0053】
ポリシ実行装置30によりポリシ評価装置40からポリシ属性応答が受信されると、ポリシ属性問合せ部32によりポリシ属性応答に記述されたポリシ属性が読み出される。ここでは、必要なポリシ属性として、“パスワード認証”と“外部認証プロバイダの接続先(URL)”とが読み出される。
【0054】
続いて、ポリシ属性問合せ部32により、ポリシ属性に対応する接続条件情報が取得される(S5)。ここでは、指定された外部認証プロバイダによるパスワード認証により操作者端末10の操作者を認証することで、接続条件情報が取得される(S6,S7)。
【0055】
次に、ポリシ実行装置30は、接続条件情報取得部34を介して取得した接続条件情報を含むポリシ評価要求をポリシ評価装置40に送信する(S8)
ポリシ評価装置40が、ポリシ実行装置30からポリシ評価要求を受信すると、ポリシ評価応答部44により、ポリシ評価要求に含まれる接続条件情報とポリシ情報記憶部41に記憶されたポリシ情報とに基づいて、操作者端末10と資源装置20とのアクセスを許可するか否かが判定される。この判定結果は、許可(Permit)または拒否(Deny)で表現される。そして、ポリシ評価応答部44により判定された判定結果がポリシ評価応答としてポリシ実行装置30に送信される(S9)。
【0056】
ポリシ実行装置30では、ポリシ評価装置40からのポリシ評価応答に応じて、操作者端末10と資源装置20とのアクセスを制御する(S10,S11)。
【0057】
このとき、アクセス許可されている場合は、操作者端末10から資源装置20へのアクセスが可能となる(S12)。
【0058】
(アクセス制御システムの効果)
以上説明したように、本実施形態に係るアクセス制御システム1では、ポリシ実行装置30が、操作者端末10からアクセス要求を受信した場合、資源装置20とのアクセスに必要なポリシ属性をポリシ評価装置40に問い合わせ、問い合わせた結果に基づくポリシ評価要求をポリシ評価装置40に送信するので、分散環境であっても効率的にアクセス制御することができる。
【0059】
補足すると、従来のアクセス制御システムでは、ポリシ実行装置が資源装置のポリシ情報を有していないため、暫定的にパスワード認証方式により操作者を認証することが多い。これに対し、資源装置によってはパスワード認証方式による認証は認めず、PKIとICカードに基づく認証を要求していることがある。
【0060】
しかしながら、従来のアクセス制御では、ポリシ実行装置が、資源装置へのアクセスに必要とするポリシ属性を把握できず、ポリシ評価装置にアクセス可能か否かだけを問い合わせている。そのため、図8に示すように、ポリシ実行装置30Sが必要なポリシ属性に対応する接続条件情報(=PKI+ICカード)を取得するまで、何度もポリシ評価要求を実行する事態が生じる。これに対し、本実施形態に係るアクセス制御システム1では、事前にポリシ実行装置30が取得すべきポリシ属性をポリシ評価装置40に問い合わせるので、ポリシ評価要求の再送等の不要な処理を削減することができ、ポリシ評価処理の効率向上が可能となる。
【0061】
なお、資源装置20のポリシ情報は複雑化しており、さらに複数のドメインに跨るような分散環境システムが構築されてきている。このような状況であっても、本実施形態に係るアクセス制御システム1によれば、アクセス制御の前提として、ポリシ実行装置30がポリシ評価装置40にポリシ属性を問い合わせるので、効率的なアクセス制御を実現できる。
【0062】
なお、本実施形態に係るアクセス制御システムでは、接続条件情報として認証情報を用いているが、これ以外にも操作者端末のGPS(Global Positioning System)情報やタイムスタンプ情報等を用いてアクセス制御することも可能である。
【0063】
<その他>
なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に構成要素を適宜組み合わせてもよい。
【0064】
そして、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0065】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0066】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0067】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0068】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0069】
そして、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0070】
加えて、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【符号の説明】
【0071】
1・・・アクセス制御システム、10・・・操作者端末、20・・・資源装置、30・・・ポリシ実行装置、31・・・アクセス要求受信部、32・・・ポリシ属性問合せ部、33・・・ポリシ属性クエリ作成部、34・・・接続条件情報取得部、35・・・ポリシ評価要求部、36・・・アクセス制御部、40・・・ポリシ評価装置、41・・・ポリシ情報記憶部、42・・・ポリシ属性解析部、43・・・ポリシ属性応答部、44・・・ポリシ評価応答部、50・・・外部認証プロバイダ。
【技術分野】
【0001】
本発明は、分散環境であっても効率的にアクセス制御し得るアクセス制御システムに関する。
【背景技術】
【0002】
近年、特定の情報やアクションを、権限情報に基づいて制御するアクセス制御技術の重要性が高まっている。例えば、アクション可否形式のアクセス制御については広く利用されている。
【0003】
アクション可否形式のアクセス制御としては、例えば、文書ファイルに対する権限情報をセキュリティ属性とするものがある。詳しくは、ユーザに割り当てられた、文書ファイルに対する権限情報が「閲覧許可」や「編集許可」などのアクション可否形式で記述されている。この種の権限情報は、アクセス制御マトリックス(Access Control Matrix)やアクセス制御リスト(Access Control List)として知られている。例えば特許文献1では、「セキュリティコンテナ」として文書ファイルに権限情報(ルール)を設定する方法が開示されている。
【0004】
しかしながら、アクション可否形式のアクセス制御では、許可されるアクセス時間やアクセス場所などの条件や、詳細な機能制限などの柔軟なアクセス制御内容を記述することが困難である。
【0005】
このため、近年では、アクション可否形式だけではなく、アクセス制御ポリシ形式のアクセス制御が利用されている。アクセス制御ポリシは、アクセス制御ルールの集合であり、標準的な記述仕様が公開されている(例えば、非特許文献1を参照)。このアクセス制御ポリシ形式のアクセス制御では、許可される条件や、詳細な機能制限の記述が可能である。例えば、アクセス制御ポリシ形式のアクセス制御では、文書ファイルへのアクセス要求を受けると、ファイルを開いてよいか否かを判定した上で、アクセス制御ポリシで規定された機能に制限する等の制御が可能となる。
【0006】
ところで、アクセス制御ポリシ形式のアクセス制御では、アクセス制御するポリシ実行点(Policy Enforcement Point)から、アクセス制御ポリシを評価するポリシ決定点(Policy Decision Point)へ、アクセス制御のポリシ情報に対するアクセス内容を評価してもらう必要がある。例えば、アクセス主体(サブジェクト)や、アクセス行為(アクション)などの評価を要求する。なお、一般的には、アクセス主体の認証をアクセス制御前に行うが、このときアクセス制御ポリシなどとは別に、アクセス主体を証明しうる認証方式を決定するための情報として認証ポリシを用いることが多い。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2001−306521号公報
【非特許文献】
【0008】
【非特許文献1】Tim Moses、" eXtensible Access Control Markup Language (XACML) Version 2.0 "、[online]、 [2007年5月17日検索]、インターネット<URL:http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-core-spec-os.pdf>
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、従来のアクセス制御ポリシ形式のアクセス制御では、アクセス制御ポリシの評価に必要なポリシ属性の情報をポリシ実行点が有していないため、アクセス要求しても、アクセスが許可されないことがある。
【0010】
補足すると、単一の閉じたドメインにおけるシステムの場合、アクセス主体属性(利用者認証方式など)や、環境属性などのポリシ評価を実行するための情報は、ポリシ実行点が事前に取得していることが前提であることが多い。かかる前提のもとでは、アクセス要求時に、アクセス制御ポリシを評価して、アクセスを許可するのに必要な情報が不足するという事態は生じにくい。
【0011】
しかしながら、複数のドメインに跨るような分散環境におけるシステムでは、ポリシ実行点が記述したポリシ評価要求に含まれる情報だけでは、ポリシ決定点がアクセスを許可するのに必要な情報が不足する場合がある。このような場合、ポリシ決定点がポリシ評価をするのに必要とするポリシ属性の情報が、ポリシ評価要求に記述されていないので、アクセスが許可されないことになる。
【0012】
例えば、特定の認証方式がポリシ情報に定義されているときに異なる認証方式で利用者が認証された場合、アクセス許可がされないことになる。そのため、ポリシ実行点においてポリシ属性取得処理を再度実行する必要が生じ、また利用者認証を再度利用者に要求することになる。結果として、ポリシ実行点及び利用者の負担が増加することになる。
【0013】
本発明は上記実情に鑑みてなされたものであり、分散環境であっても効率的にアクセス制御し得るアクセス制御システムを提供することを目的とする。
【課題を解決するための手段】
【0014】
本発明は上記課題を解決するために、操作者端末と資源装置とのアクセスを制御するためのポリシ実行装置及びポリシ評価装置を備えたアクセス制御システムであって、前記ポリシ実行装置は、前記操作者端末から、前記資源装置へのアクセス要求を受信するアクセス要求受信手段と、前記アクセス要求を受信した場合、前記資源装置とのアクセスに必要なポリシ属性を前記ポリシ評価装置に問い合わせるためのポリシ属性問合せ手段と、前記ポリシ評価装置からポリシ属性を受信した場合、該ポリシ属性に対応する接続条件情報を取得するための接続条件情報取得手段と、前記接続条件情報を取得した場合、該接続条件情報を含むポリシ評価要求を前記ポリシ評価装置に送信するポリシ評価要求手段と、前記ポリシ評価要求に対するポリシ評価応答に応じて、前記操作者端末と前記資源装置とのアクセスを制御するアクセス制御手段とを備え、前記ポリシ評価装置は、前記資源装置への接続条件を示すポリシ情報を記憶するポリシ情報記憶手段と、前記ポリシ情報に基づいて、前記ポリシ実行装置からのポリシ属性問合せに対応するポリシ属性を解析するポリシ属性解析手段と、前記ポリシ属性解析手段により解析したポリシ属性を前記ポリシ実行装置に応答するポリシ属性応答手段と、前記ポリシ実行装置から前記ポリシ評価要求を受信した場合、該ポリシ評価要求に含まれる接続条件情報と前記ポリシ情報とに基づいて、前記操作者端末と前記資源装置とのアクセスを許可するか否かを示すポリシ評価応答を該ポリシ実行装置に送信するポリシ評価応答手段とを備えたアクセス制御システムを提供する。
【0015】
なお、本発明は、各装置の集合体を「システム」として表現したが、これに限らず、装置毎に「装置」又は「プログラム」として表現してもよく、また、システム又は装置毎に「方法」として表現してもよい。すなわち、本発明は、任意のカテゴリーで表現可能となっている。
【0016】
<作用>
従って、本発明は以上のような手段を講じたことにより、ポリシ実行装置が、操作者端末からアクセス要求を受信した場合、資源装置とのアクセスに必要なポリシ属性をポリシ評価装置に問い合わせ、問い合わせた結果に基づくポリシ評価要求をポリシ評価装置に送信するので、分散環境であっても効率的にアクセス制御し得るアクセス制御システムを提供できる。
【発明の効果】
【0017】
本発明によれば、ポリシ実行点とポリシ決定点が分散された環境であっても、ポリシ実行点が取得すべきポリシ属性を決定でき、効率的にアクセス制御することが可能となる。
【図面の簡単な説明】
【0018】
【図1】本発明の第1の実施形態に係るアクセス制御システムの構成を示す模式図である。
【図2】同実施形態に係る「ポリシ属性クエリ」の一例を示す図である。
【図3】同実施形態に係る「ポリシ評価要求」の一例を示す図である。
【図4】同実施形態に係る「ポリシ情報」の一例を示す図である。
【図5】同実施形態に係る「ポリシ情報」の一例を示す図である。
【図6】同実施形態に係る「ポリシ属性応答」の一例を示す図である。
【図7】同実施形態に係るアクセス制御システム1の動作を説明するためのフローチャートである。
【図8】従来のアクセス制御の動作を説明するための図である。
【発明を実施するための形態】
【0019】
以下、図面を参照して本発明の実施形態を説明する。
【0020】
<第1の実施形態>
(アクセス制御システムの構成)
図1は本発明の第1の実施形態に係るアクセス制御システム1の構成を示す模式図である。
【0021】
アクセス制御システム1は、ポリシ実行装置30とポリシ評価装置40とを有し、操作者端末10と資源装置20とのアクセス制御を実行する。なお、これらの各装置10〜40はネットワークを介して互いに接続されている。また、アクセス制御の前提として、資源装置20に対するポリシ情報がポリシ評価装置40に事前に記憶されている。なお、本実施形態では、ポリシ実行装置30が外部認証プロバイダ50と接続されている。
【0022】
操作者端末10は、操作者により操作される端末装置である。操作者は、この操作者端末10を介して特定の資源装置20にアクセスすることを目的とする。操作者端末10が資源装置20にアクセスする際には、操作者端末10から資源装置20への「アクセス要求」がポリシ実行装置30に送信される。
【0023】
資源装置20は、操作者端末10のアクセス対象となるものである。例えば、資源装置20には、種々のサービスプロバイダにより提供される「資源情報」が格納されている。資源装置20に対しては、ポリシ情報により接続条件が予め定義されており、特定のポリシ属性に対応する接続条件を満たしたアクセス要求のみがアクセス許可されることになる。なお、分散環境システムでは、資源装置20と操作者端末10とがそれぞれ複数存在する。
【0024】
ポリシ実行装置30は、いわゆるポリシ実行点として機能するものであり、アクセス要求受信部31・ポリシ属性問合せ部32・ポリシ属性クエリ作成部33・接続条件情報取得部34・ポリシ評価要求部35・アクセス制御部36を備える。
【0025】
アクセス要求受信部31は、資源装置20へのアクセス要求を操作者端末10から受信するものである。アクセス要求受信部31は、アクセス要求を受信すると、操作者端末10がアクセスしようとする資源装置20の情報をポリシ属性問合せ部32に送出する。
【0026】
ポリシ属性問合せ部32は、操作者端末10からアクセス要求を受信した場合、資源装置20とのアクセスに必要なポリシ属性をポリシ評価装置40に問い合わせるためのものである。要するに、このポリシ属性問合せ部32は、後述するポリシ評価要求をするために必要となるポリシ属性の情報を事前に問い合わせるものである。また、ポリシ属性問合せ部32は、ポリシ属性を問い合わせる際、ポリシ属性クエリ作成部33にポリシ属性クエリの作成を要求する。
【0027】
なお、本実施形態では、ポリシ属性問合せ部32は、ポリシ属性として“認証方式”を問い合わせることとする。補足すると、認証方式には、パスワード認証やICカード認証、生体認証などがある。そこで、ポリシ属性問合せ部32は、上記のうちのいずれの認証であれば資源装置20へのアクセスが許可されるかをポリシ評価装置40に問い合わせる。ただし、認証方式以外にも、場所や操作アプリケーション種別などのその他の条件をポリシ属性に適用できることはいうまでもない。
【0028】
ポリシ属性クエリ作成部33は、ポリシ属性を問い合わせるための「ポリシ属性クエリ」を作成するものである。ポリシ属性クエリは、ポリシ評価装置40がポリシ情報に基づいて、必要なポリシ属性を解析するために利用される。ポリシ情報については後述する。
【0029】
このポリシ属性クエリは、例えば図2に示すような構成の情報となっている。詳しくは、ポリシ属性クエリは、AttributeFindingQuery要素e21によって表現される。AttributeFindingQuery要素e21は、一つ以上のQuery要素e22を子要素にもち、各Query要素はQueryId属性によって識別される。Query要素e22は、問い合わせたい対象であるポリシ属性を示すQueryTarget要素e23と、絞り込むための条件を示すQueryCondition要素e27とを持つ。図2の例では、QueryTarget要素e23の中で、Subject要素e24の子要素であるAttribute要素のうち、AttributeId属性値が“authentication-method”と“identity-provider-url”とを持つAttribute要素e25,e26の要素値を問い合わせていることが示されている。QueryTarget要素e23に指定がなければ、適合する可能性のあるポリシ属性の全てを問い合わせることと同義とみなされる。また、図2の例では、QueryCondition要素e27のAttributeValue要素e28,e29の指定から、“Resource-1”に対応する資源装置20に、“read”のアクション行為を行うための条件を問い合わせることが示されている。これにより、この条件に適合するポリシ属性をポリシ情報から抽出することが可能となる。
【0030】
接続条件情報取得部34は、ポリシ評価装置40からポリシ属性を受信した場合、受信したポリシ属性に対応する「接続条件情報」を取得するためのものである。本実施形態では、接続条件情報取得部34として認証装置を用い、ポリシ属性が指定する認証方式による情報を接続条件情報として取得する。
【0031】
認証装置は、操作者が本人か否かを認証するための装置であり、複数の認証方式を有しており、単一の認証方式または複合的な認証方式による認証を実行する。このとき、認証装置は、外部の認証装置または認証プロバイダと接続して協調的に認証を実行してもよい。なお、認証装置は、一般的な認証を実行するための装置であればよく、装置構成の詳細などについては省略する。
【0032】
ポリシ評価要求部35は、接続条件情報取得部34により接続条件情報が取得された場合、その接続条件情報を含む「ポリシ評価要求」をポリシ評価装置40に送信するものである。ポリシ評価要求は、例えば図3に示すような構成の情報である。ここでは、接続条件情報がAttribute要素e31,e32,e33で示されており、アクセス要求先に対する情報がAttribute要素e34,e35で示されている。すなわち、Attribute要素e31の“User-1”が、Attribute要素e32のパスワード認証方式(“password”)により、Attribute要素e33のURL“http://example1.co.jp/login”の外部認証プロバイダで認証したことが接続条件情報として書き込まれている。そして、アクセス要求先として、Attribute要素e34の“Resource-1”へ、Attribute要素e35の“read”行為に対するアクセス許可の判定を要求している。
【0033】
アクセス制御部36は、ポリシ評価要求に対するポリシ評価応答に応じて、操作者端末10と資源装置20とのアクセスを制御するものである。すなわち、アクセス制御部36は、ポリシ評価応答が“許可(Permit)”を示す場合、操作者端末10と資源装置20とのアクセスを許可し、ポリシ評価応答が“拒否(Deny)”を示す場合、操作者端末10と資源装置20とのアクセスを拒否する制御を行なう。
【0034】
ポリシ評価装置40は、いわゆるポリシ評価点として機能するものであり、ポリシ情報記憶部41・ポリシ属性解析部42・ポリシ属性応答部43・ポリシ評価応答部44を備える。
【0035】
ポリシ情報記憶部41は、資源装置20への接続条件を示す「ポリシ情報」を記憶するメモリである。なお、ポリシ情報は外部記憶装置に記憶されていて随時書き込まれるものであってもよい。
【0036】
本実施形態では、ポリシ情報は、XML(eXtensible Markup Language)形式で記述されたポリシファイルを取り扱う例で説明する。このポリシファイルは、単独のファイル形式であってもよいし、文書ファイルに含まれる形式であってもよい。本実施形態では文書ファイルに含まれる形式について説明する。
【0037】
ポリシ情報は、例えば図4及び図5に示すような構造のポリシファイルである。本実施形態では、標準的なポリシ記述言語として、非特許文献1に示したXACML V2.0形式を参考にした記述形式を採用している。このポリシファイルは、一つ以上のPolicy要素e42を持つ。また、Policy要素e42を纏める情報としてPolicySet要素e41を持っていてもよい。また、PolicySet要素をPolicySet要素に含めてもよい。Policy要素e42はRule要素e47を持ち、Rule要素e47にアクセス制御の根幹的な内容が記述される。ここでは、ポリシファイルは、アクセス制御の根幹的な内容を示すものとして、"subject"(主体)、"action"(行為)、"resource"(リソース)、"environment"(環境)といった構成要素を含んでいる。具体的には、"subject"(主体)はアクセス実行の主体であり、Subjects要素e44で示される。"resource"(資源)はアクセス実行の客体であり、Resources要素e45で示される。"action"(行為)はアクセス実行の行為内容であり、Actions要素e46で示される。"environment"(環境)はアクセス実行の環境を示す。なお、本実施形態で例示するポリシ記述例は、記載の簡略化のため名前空間やデータタイプ等の発明に本質的に関わらない情報は、除外している。
【0038】
また、ポリシ情報は、資源装置20へのアクセスが許可されるためのポリシ属性の一例として、“認証方式”と“認証プロバイダ(操作者の認証を行う実施者)の接続先”とが設定されているものとする。要するに、資源装置20にアクセス可能な操作者が誰であるかの情報以外に、操作者を確認する際に実施すべき認証方式と、誰が認証すべきかについての情報とが指定されている。例えば、図4及び図5のポリシ情報の例では、Policy要素e42直下のTarget要素e43によって、対象とすべきアクセス主体とアクセス資源とアクセス行為とがそれぞれSubjects要素e44,Resources要素e45,Actions要素e46により指定されている。ここで指定されるアクセス主体に条件付けられる認証方式と認証プロバイダとは、RuleId値が“Rule-1”であるRule要素e47のCondition要素e48によって指定されている。ここでは、AttributeId属性値が“identity-provider-url”のAttribute要素e50,e51で指定される何れかの認証プロバイダにおいて、パスワード認証方式により認証することが指定されている。なお、認証プロバイダの認証サービス場所を識別する値は、URLによって表現されている。また、認証方式を示すAttribute要素e49のAttributeId属性値は“authentication-method”と表わされる。
【0039】
なお、ポリシ情報は、外部のディレクトリサービスなどから提供されるものであってもよい。この場合、ポリシ情報記憶部41は、ディレクトリサービスなどのポリシストアにアクセスするためのコネクタなどで実装される。
【0040】
ポリシ属性応答部42は、ポリシ実行装置30からポリシ属性クエリを受け取ると、ポリシ属性解析部43にポリシ属性を解析させ、解析結果を「ポリシ属性応答」としてポリシ実行装置30に応答するものである。
【0041】
ポリシ属性解析部43は、ポリシ情報に基づいて、ポリシ実行装置30からのポリシ属性問合せに対応するポリシ属性を解析するものである。ここでは、ポリシ属性解析部43は、ローカルなファイルへのアクセスプログラムなどの形態で実装され、ポリシ情報記憶部41からポリシ情報を取得する。
【0042】
具体的には、ポリシ属性解析部43は、ポリシ属性クエリで指定される資源装置20のポリシ情報からポリシ属性を抽出する。ポリシ属性解析部43が生成するポリシ属性応答は、例えば図6のように示される。ポリシ属性応答は、AttributeFindingResponse要素e61によって表現される。AttributeFindingResponse要素e61は、Response要素e62を持つ。このResponse要素e62は、CorrelationId属性によって、ポリシ属性クエリのQuery要素e22と関連付けられている。Response要素e62は、ポリシ評価に必要なポリシ属性を含む集合である。ここで、ポリシ属性値(Attribute要素値)が含まれないものは、単純にそのポリシ属性が必要であることを示している。また、ポリシ属性値を含んでいるものは、「ポリシ評価要求」をする際に含めなければならないポリシ属性値を示している。
【0043】
例えば、Subject要素e63において、AttributeId属性値が“authentication-method”のAttribute属性は、“password”であるので、パスワード認証方式を選択しなければならないことを示している。また、Apply要素e64のFunctionId値が“or”である場合は、選択可能な値であることを示している。例えば、AttributeId属性が“identity_provider_url”の属性値としては、“http://example1.co.jp/login”と“http://example2.co.jp/login”との2つが選択可能であり、何れかのURLに対応する認証プロバイダで認証を受けることが必要とされる。
【0044】
また、ポリシ情報に関して、ポリシ属性クエリに適合した、ポリシ属性値を応答するか否かについて制御してもよい。すなわち、当該ポリシ属性に該当するAttribute要素に、前記ポリシ属性値を応答するか否かを示す属性(Quariable属性)を追加してもよい。
【0045】
例えば、Quariable属性値をboolean型(真理値の「真 = true」と「偽 = false」という2値をとる基本データ型)で表現すると、図4の例では、Subject要素のAttribute要素についてのQuariable属性値のようになる。このSubject要素のAttribute要素のQuariable属性値が「false」なので、このポリシ属性が適合したとしても、ポリシ属性の値を応答しないものとする。Quariable属性値が存在しなければ、ポリシ属性の値を返してよいが、明示的にQuariable属性値を「true」としてもよい。なお、これらの判別条件は、前記のように明示的にポリシ内に記述してもよく、さらにポリシ属性解析部が静的な設定情報として保持してもよい。
【0046】
ポリシ評価応答部44は、ポリシ実行装置30から「ポリシ評価要求」を受信した場合、受信したポリシ評価要求に含まれる接続条件情報とポリシ情報とに基づいて、操作者端末10と資源装置20とのアクセスを許可するか否かを示す「ポリシ評価応答」をポリシ実行装置30に送信するものである。要するに、ポリシ評価応答部44では、ポリシ評価要求に含まれる各要素と、ポリシ情報のrule要素e47,e52とから、 “アクセス許可(Permit)”または“アクセス拒否(Deny)”を示すポリシ評価応答をポリシ実行装置30に送信する。
【0047】
なお、上記ポリシ実行装置30及びポリシ評価装置40は同一の物理装置上に配備された形態であってもよい。また、資源装置20はポリシ実行装置30の内部に保持されていてもよい。
【0048】
(アクセス制御システムの動作)
次に本実施形態に係るアクセス制御システム1の動作を図7のフローチャートを用いて説明する。
【0049】
まず、操作者による操作者端末10の操作により、資源装置20への「アクセス要求」がポリシ実行装置30に送信される(S1)。これにより、ポリシ実行装置30が、操作者端末10から資源装置20へのアクセス要求を受信する。
【0050】
ポリシ実行装置30が、アクセス要求を受信した場合、資源装置20とのアクセスに必要なポリシ属性が何かをポリシ評価装置40に問い合わせる。具体的には、ポリシ属性問合せ部32は、ポリシ属性クエリをポリシ評価装置40に送信する(S2)。このポリシ属性クエリは、ポリシ属性クエリ作成部33により作成され、問合わせる対象となるポリシ属性の要素と、その絞り込むための条件とが記述される。
【0051】
ポリシ評価装置40はポリシ属性応答部42を介してポリシ実行装置30からポリシ属性クエリを受け取る。続いて、ポリシ属性解析部43が、ポリシ情報記憶部41に記憶されたポリシ情報をポリシ属性クエリに基づいて解析し、必要となるポリシ属性を抽出する(S3)。
【0052】
そして、ポリシ評価装置40が、ポリシ属性解析部43により解析したポリシ属性の情報を記述したポリシ属性応答を、ポリシ属性応答部42を介してポリシ実行装置30に送信する(S4)。
【0053】
ポリシ実行装置30によりポリシ評価装置40からポリシ属性応答が受信されると、ポリシ属性問合せ部32によりポリシ属性応答に記述されたポリシ属性が読み出される。ここでは、必要なポリシ属性として、“パスワード認証”と“外部認証プロバイダの接続先(URL)”とが読み出される。
【0054】
続いて、ポリシ属性問合せ部32により、ポリシ属性に対応する接続条件情報が取得される(S5)。ここでは、指定された外部認証プロバイダによるパスワード認証により操作者端末10の操作者を認証することで、接続条件情報が取得される(S6,S7)。
【0055】
次に、ポリシ実行装置30は、接続条件情報取得部34を介して取得した接続条件情報を含むポリシ評価要求をポリシ評価装置40に送信する(S8)
ポリシ評価装置40が、ポリシ実行装置30からポリシ評価要求を受信すると、ポリシ評価応答部44により、ポリシ評価要求に含まれる接続条件情報とポリシ情報記憶部41に記憶されたポリシ情報とに基づいて、操作者端末10と資源装置20とのアクセスを許可するか否かが判定される。この判定結果は、許可(Permit)または拒否(Deny)で表現される。そして、ポリシ評価応答部44により判定された判定結果がポリシ評価応答としてポリシ実行装置30に送信される(S9)。
【0056】
ポリシ実行装置30では、ポリシ評価装置40からのポリシ評価応答に応じて、操作者端末10と資源装置20とのアクセスを制御する(S10,S11)。
【0057】
このとき、アクセス許可されている場合は、操作者端末10から資源装置20へのアクセスが可能となる(S12)。
【0058】
(アクセス制御システムの効果)
以上説明したように、本実施形態に係るアクセス制御システム1では、ポリシ実行装置30が、操作者端末10からアクセス要求を受信した場合、資源装置20とのアクセスに必要なポリシ属性をポリシ評価装置40に問い合わせ、問い合わせた結果に基づくポリシ評価要求をポリシ評価装置40に送信するので、分散環境であっても効率的にアクセス制御することができる。
【0059】
補足すると、従来のアクセス制御システムでは、ポリシ実行装置が資源装置のポリシ情報を有していないため、暫定的にパスワード認証方式により操作者を認証することが多い。これに対し、資源装置によってはパスワード認証方式による認証は認めず、PKIとICカードに基づく認証を要求していることがある。
【0060】
しかしながら、従来のアクセス制御では、ポリシ実行装置が、資源装置へのアクセスに必要とするポリシ属性を把握できず、ポリシ評価装置にアクセス可能か否かだけを問い合わせている。そのため、図8に示すように、ポリシ実行装置30Sが必要なポリシ属性に対応する接続条件情報(=PKI+ICカード)を取得するまで、何度もポリシ評価要求を実行する事態が生じる。これに対し、本実施形態に係るアクセス制御システム1では、事前にポリシ実行装置30が取得すべきポリシ属性をポリシ評価装置40に問い合わせるので、ポリシ評価要求の再送等の不要な処理を削減することができ、ポリシ評価処理の効率向上が可能となる。
【0061】
なお、資源装置20のポリシ情報は複雑化しており、さらに複数のドメインに跨るような分散環境システムが構築されてきている。このような状況であっても、本実施形態に係るアクセス制御システム1によれば、アクセス制御の前提として、ポリシ実行装置30がポリシ評価装置40にポリシ属性を問い合わせるので、効率的なアクセス制御を実現できる。
【0062】
なお、本実施形態に係るアクセス制御システムでは、接続条件情報として認証情報を用いているが、これ以外にも操作者端末のGPS(Global Positioning System)情報やタイムスタンプ情報等を用いてアクセス制御することも可能である。
【0063】
<その他>
なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に構成要素を適宜組み合わせてもよい。
【0064】
そして、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0065】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0066】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0067】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0068】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0069】
そして、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0070】
加えて、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【符号の説明】
【0071】
1・・・アクセス制御システム、10・・・操作者端末、20・・・資源装置、30・・・ポリシ実行装置、31・・・アクセス要求受信部、32・・・ポリシ属性問合せ部、33・・・ポリシ属性クエリ作成部、34・・・接続条件情報取得部、35・・・ポリシ評価要求部、36・・・アクセス制御部、40・・・ポリシ評価装置、41・・・ポリシ情報記憶部、42・・・ポリシ属性解析部、43・・・ポリシ属性応答部、44・・・ポリシ評価応答部、50・・・外部認証プロバイダ。
【特許請求の範囲】
【請求項1】
操作者端末と資源装置とのアクセスを制御するためのポリシ実行装置及びポリシ評価装置を備えたアクセス制御システムであって、
前記ポリシ実行装置は、
前記操作者端末から、前記資源装置へのアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求を受信した場合、前記資源装置とのアクセスに必要なポリシ属性を前記ポリシ評価装置に問い合わせるためのポリシ属性問合せ手段と、
前記ポリシ評価装置からポリシ属性を受信した場合、該ポリシ属性に対応する接続条件情報を取得するための接続条件情報取得手段と、
前記接続条件情報を取得した場合、該接続条件情報を含むポリシ評価要求を前記ポリシ評価装置に送信するポリシ評価要求手段と、
前記ポリシ評価要求に対するポリシ評価応答に応じて、前記操作者端末と前記資源装置とのアクセスを制御するアクセス制御手段と
を備え、
前記ポリシ評価装置は、
前記資源装置への接続条件を示すポリシ情報を記憶するポリシ情報記憶手段と、
前記ポリシ情報に基づいて、前記ポリシ実行装置からのポリシ属性問合せに対応するポリシ属性を解析するポリシ属性解析手段と、
前記ポリシ属性解析手段により解析したポリシ属性を前記ポリシ実行装置に応答するポリシ属性応答手段と、
前記ポリシ実行装置から前記ポリシ評価要求を受信した場合、該ポリシ評価要求に含まれる接続条件情報と前記ポリシ情報とに基づいて、前記操作者端末と前記資源装置とのアクセスを許可するか否かを示すポリシ評価応答を該ポリシ実行装置に送信するポリシ評価応答手段と、
を備えたことを特徴とするアクセス制御システム。
【請求項2】
請求項1に記載のアクセス制御システムにおいて、
前記ポリシ実行装置は、
前記ポリシ属性を問い合わせるためのポリシ属性クエリを作成する手段
を更に備えたことを特徴とするアクセス制御システム。
【請求項3】
請求項1又は請求項2に記載のアクセス制御システムにおいて、
前記ポリシ属性問合せ手段は、前記ポリシ属性として認証方式を問い合わせる
ことを特徴とするアクセス制御システム。
【請求項1】
操作者端末と資源装置とのアクセスを制御するためのポリシ実行装置及びポリシ評価装置を備えたアクセス制御システムであって、
前記ポリシ実行装置は、
前記操作者端末から、前記資源装置へのアクセス要求を受信するアクセス要求受信手段と、
前記アクセス要求を受信した場合、前記資源装置とのアクセスに必要なポリシ属性を前記ポリシ評価装置に問い合わせるためのポリシ属性問合せ手段と、
前記ポリシ評価装置からポリシ属性を受信した場合、該ポリシ属性に対応する接続条件情報を取得するための接続条件情報取得手段と、
前記接続条件情報を取得した場合、該接続条件情報を含むポリシ評価要求を前記ポリシ評価装置に送信するポリシ評価要求手段と、
前記ポリシ評価要求に対するポリシ評価応答に応じて、前記操作者端末と前記資源装置とのアクセスを制御するアクセス制御手段と
を備え、
前記ポリシ評価装置は、
前記資源装置への接続条件を示すポリシ情報を記憶するポリシ情報記憶手段と、
前記ポリシ情報に基づいて、前記ポリシ実行装置からのポリシ属性問合せに対応するポリシ属性を解析するポリシ属性解析手段と、
前記ポリシ属性解析手段により解析したポリシ属性を前記ポリシ実行装置に応答するポリシ属性応答手段と、
前記ポリシ実行装置から前記ポリシ評価要求を受信した場合、該ポリシ評価要求に含まれる接続条件情報と前記ポリシ情報とに基づいて、前記操作者端末と前記資源装置とのアクセスを許可するか否かを示すポリシ評価応答を該ポリシ実行装置に送信するポリシ評価応答手段と、
を備えたことを特徴とするアクセス制御システム。
【請求項2】
請求項1に記載のアクセス制御システムにおいて、
前記ポリシ実行装置は、
前記ポリシ属性を問い合わせるためのポリシ属性クエリを作成する手段
を更に備えたことを特徴とするアクセス制御システム。
【請求項3】
請求項1又は請求項2に記載のアクセス制御システムにおいて、
前記ポリシ属性問合せ手段は、前記ポリシ属性として認証方式を問い合わせる
ことを特徴とするアクセス制御システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−282362(P2010−282362A)
【公開日】平成22年12月16日(2010.12.16)
【国際特許分類】
【出願番号】特願2009−134267(P2009−134267)
【出願日】平成21年6月3日(2009.6.3)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成22年12月16日(2010.12.16)
【国際特許分類】
【出願日】平成21年6月3日(2009.6.3)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]