アクセス制御装置、アクセス制御方法およびプログラム
【課題】利用者に座標を与え、ファイルの座標と長さをアクセス制御ポリシーとして規定することにより、柔軟なアクセス制御を効率的なデータサイズで実現する。
【解決手段】利用者にベクトル座標を付与し、特定のファイルにベクトル座標と長さを付与する。そして、利用者のベクトル座標と特定のファイルのベクトル座標から長さを算出し、算出した長さが特定のファイルに付与された長さよりも短いときに、利用者の特定のファイルに対するアクセスを許可する。
【解決手段】利用者にベクトル座標を付与し、特定のファイルにベクトル座標と長さを付与する。そして、利用者のベクトル座標と特定のファイルのベクトル座標から長さを算出し、算出した長さが特定のファイルに付与された長さよりも短いときに、利用者の特定のファイルに対するアクセスを許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス制御装置、アクセス制御方法およびプログラムに関し、特に、アクセス制御ポリシーの柔軟性が高いアクセス制御装置、アクセス制御方法およびプログラムに関する。
【背景技術】
【0002】
従来より、近年、コンピュータやネットワーク技術の発達、あるいはそれらを利用した情報サービスの発展に伴い、様々な情報セキュリティー技術が実現されている。この情報セキュリティーを実現する技術の1つとして、アクセス制御がある。アクセス制御とは、各ユーザに対して、オブジェクトへのアクセスの許可あるいは不許可を規定する機能をいい、一般に、ユーザ認証などにより識別された主体から要求されたコンピュータ資源へのアクセスを、予め設定されたアクセス制御リストを用いて許可するか禁止するかの制御を行う技術などがある。こうしたアクセス制御技術を利用することにより、特定個人/特定端末の関係において特定資源の利用だけを許可するという情報セキュリティーが実現され、悪意を持った様々な不正アクセスからコンピュータ資源を保護することができる(例えば、非特許文献1、非特許文献2参照。)。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】Ferraiolo,D.F.and Kuhn,D.R. (Oct.,1992).“Role Based Access Control” 15th National Computer Security Conference:pp554−563.
【0004】
【非特許文献2】Sandhu,R.,Coyne,E.J.,Feinstein,H.L.and Youman,C.E.(Aug., 1996). “Role−Based Access Control Models”IEEE Computer 29(2):38−47.IEEE Press.
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来のアクセス制御における課題は、アクセス制御の際に参照するアクセス制御ポリシーを効率的に記述することであった。その一例として、ロールベースアクセス制御という手法により、利用者をいくつかのグループに分け、そのグループに権限を付与する形で、アクセス制御ポリシーが規定されてきた。
【0006】
しかしながら、従来のアクセス制御におけるアクセス制御ポリシーは、柔軟性に乏しく、柔軟性を確保しようとした場合には、各ファイルに規定するポリシーのデータサイズが膨大になるという問題点があった。
【0007】
そこで、本発明は、上述の課題に鑑みてなされたものであり、利用者に座標を与え、ファイルの座標と長さをアクセス制御ポリシーとして規定することにより、柔軟なアクセス制御を効率的なデータサイズで実現するアクセス制御装置、アクセス制御方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
発明者は、上記の課題を解決するために、以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。
【0009】
(1)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置であって、利用者にベクトル座標を付与する座標付与手段(例えば、図1の座標付与部101に相当)と、特定のファイルにベクトル座標と長さを付与するアクセス制御ポリシー付与手段と(例えば、図1のアクセス制御ポリシー付与部102に相当)、前記利用者のベクトル座標と前記特定のファイルのベクトル座標から長さを算出する算出手段(例えば、図1の算出部103に相当)と、前記算出した長さが特定のファイルに付与された長さよりも短いときに、前記利用者の前記特定のファイルに対するアクセスを許可するアクセス許可手段(例えば、図1のアクセス許可部104に相当)と、を備えたことを特徴とするアクセス制御装置を提案している。
【0010】
この発明によれば、座標付与手段は、利用者にベクトル座標を付与する。アクセス制御ポリシー付与手段は、特定のファイルにベクトル座標と長さを付与する。算出手段は、利用者のベクトル座標と特定のファイルのベクトル座標から長さを算出する。アクセス許可手段は、算出した長さが特定のファイルに付与された長さよりも短いときに、利用者の特定のファイルに対するアクセスを許可する。つまり、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」を指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0011】
(2)本発明は、(1)のアクセス制御装置について、前記ベクトル座標がn次元の座標情報であることを特徴とするアクセス制御装置を提案している。
【0012】
この発明によれば、ベクトル座標がn次元の座標情報である。したがって、適用したい組織や権限などの階層に応じて、n次元にアクセスポリシーを拡張することができる。
【0013】
(3)本発明は、(1)または(2)のアクセス制御装置について、前記利用者のアクセスエリアおよび前記特定のファイルのアクセス許可エリアが、それぞれに与えられたベクトル座標を中心座標として座標軸方向に放射状に形成されていることを特徴とするアクセス制御装置を提案している。
【0014】
この発明によれば、利用者のアクセスエリアおよび特定のファイルのアクセス許可エリアが、それぞれに与えられたベクトル座標を中心座標として座標軸方向に放射状に形成されている。つまり、アクセス権限が2次元の場合には、円形状に、3次元の場合には、球形状に規定されるため、その内部に利用者のベクトル座標が存在するか否かにより、簡便にアクセス制御を行うことができる。
【0015】
(4)本発明は、(1)のアクセス制御装置について、前記ベクトル座標を部屋の中の配置物の物理的な位置情報として割り当てることを特徴とするアクセス制御装置を提案している。
【0016】
この発明によれば、ベクトル座標を部屋の中の配置物の物理的な位置情報として割り当てる。これにより、バーチャルな方式で、物理的なアクセス制御と同一のポリシーを適用することができる。
【0017】
(5)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置であって、利用者にベクトル座標を付与する座標付与手段(例えば、図7の座標付与部101に相当)と、特定のファイルにベクトル座標と長さおよび角度とを付与するアクセス制御ポリシー付与手段(例えば、図7のアクセス制御ポリシー付与部202に相当)と、前記利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、前記利用者の前記特定のファイルに対するアクセスを許可するアクセス許可手段(例えば、図1のアクセス許可部203に相当)と、を備えたことを特徴とするアクセス制御装置を提案している。
【0018】
この発明によれば、座標付与手段は、利用者にベクトル座標を付与する。アクセス制御ポリシー付与手段は、特定のファイルにベクトル座標と長さおよび角度とを付与する。アクセス許可手段は、利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、利用者の特定のファイルに対するアクセスを許可する。つまり、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」と「角度」とを指定することにより、よりきめ細かいアクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0019】
(6)本発明は、(5)のアクセス制御装置について、前記ベクトル座標がn次元の座標情報であることを特徴とするアクセス制御装置を提案している。
【0020】
この発明によれば、ベクトル座標がn次元の座標情報である。したがって、適用したい組織や権限などの階層に応じて、n次元にアクセスポリシーを拡張することができる。
【0021】
(7)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置であって、利用者に複数の文字、数字、記号等からなるデータ列を付与するデータ列付与手段(例えば、図10のデータ列付与部301に相当)と、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与するアクセス制御ポリシー付与手段(例えば、図10のアクセス制御ポリシー付与部302に相当)と、前記利用者のデータ列と前記特定のファイルのデータ列とを一致させるための最小修正回数を算出する算出手段(例えば、図10の算出部303に相当)と、前記算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可するアクセス許可手段(例えば、図1のアクセス許可部304に相当)と、を備えたことを特徴とするアクセス制御装置を提案している。
【0022】
この発明によれば、データ列付与手段は、利用者に複数の文字、数字、記号等からなるデータ列を付与するデータ列を付与する。アクセス制御ポリシー付与手段は、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する。算出手段は、利用者のデータ列と特定のファイルのデータ列とを一致させるための最小修正回数を算出する。アクセス許可手段は、算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、利用者の前記特定のファイルに対するアクセスを許可する。つまり、利用者に複数の文字、数字、記号等からなるデータ列を付与するデータ列を付与し、ファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0023】
(8)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法であって、利用者にベクトル座標を付与する第1のステップ(例えば、図6のステップS101に相当)と、特定のファイルにベクトル座標と長さを付与する第2のステップ(例えば、図6のステップS102に相当)と、前記利用者のベクトル座標と前記特定のファイルのベクトル座標から長さを算出する第3のステップ(例えば、図6のステップS103に相当)と、前記算出した長さが特定のファイルに付与された長さよりも短いときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップ(例えば、図6のステップS104に相当)と、を備えたことを特徴とするアクセス制御方法を提案している。
【0024】
この発明によれば、利用者にベクトル座標を付与し、特定のファイルにベクトル座標と長さを付与する。そして、利用者のベクトル座標と特定のファイルのベクトル座標から長さを算出し、算出した長さが特定のファイルに付与された長さよりも短いときに、利用者の特定のファイルに対するアクセスを許可する。つまり、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」を指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0025】
(9)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法であって、利用者にベクトル座標を付与する第1のステップ(例えば、図9のステップS201に相当)と、特定のファイルにベクトル座標と長さおよび角度とを付与する第2のステップ(例えば、図9のステップS202に相当)と、前記利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、前記利用者の前記特定のファイルに対するアクセスを許可する第3のステップ(例えば、図9のステップS203に相当)と、を備えたことを特徴とするアクセス制御方法を提案している。
【0026】
この発明によれば、利用者にベクトル座標を付与し、特定のファイルにベクトル座標と長さおよび角度とを付与する。そして、利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、利用者の前記特定のファイルに対するアクセスを許可する。つまり、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」と「角度」とを指定することにより、よりきめ細かいアクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0027】
(10)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法であって、利用者に複数の文字、数字、記号等からなるデータ列を付与する第1のステップ(例えば、図12のステップS301に相当)と、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する第2のステップ(例えば、図12のステップS302に相当)と、前記利用者のデータ列と前記特定のファイルのデータ列とを一致させるための最小修正回数を算出する第3のステップ(例えば、図12のステップS303に相当)と、前記算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップ(例えば、図12のステップS304に相当)と、を備えたことを特徴とするアクセス制御方法を提案している。
【0028】
この発明によれば、利用者に複数の文字、数字、記号等からなるデータ列を付与するデータ列を付与し、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する。そして、利用者のデータ列と特定のファイルのデータ列とを一致させるための最小修正回数を算出し、算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可する。つまり、利用者にデータ列を付与し、ファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0029】
(11)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法をコンピュータに実行させるためのプログラムであって、利用者にベクトル座標を付与する第1のステップ(例えば、図6のステップS101に相当)と、特定のファイルにベクトル座標と長さを付与する第2のステップ(例えば、図6のステップS102に相当)と、前記利用者のベクトル座標と前記特定のファイルのベクトル座標から長さを算出する第3のステップ(例えば、図6のステップS103に相当)と、前記算出した長さが特定のファイルに付与された長さよりも短いときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップ(例えば、図6のステップS104に相当)と、をコンピュータに実行させるためのプログラムを提案している。
【0030】
この発明によれば、利用者にベクトル座標を付与し、特定のファイルにベクトル座標と長さを付与する。そして、利用者のベクトル座標と特定のファイルのベクトル座標から長さを算出し、算出した長さが特定のファイルに付与された長さよりも短いときに、利用者の特定のファイルに対するアクセスを許可する。つまり、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」を指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0031】
(12)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法をコンピュータに実行させるためのプログラムであって、利用者にベクトル座標を付与する第1のステップ(例えば、図9のステップS201に相当)と、特定のファイルにベクトル座標と長さおよび角度とを付与する第2のステップ(例えば、図9のステップS202に相当)と、前記利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、前記利用者の前記特定のファイルに対するアクセスを許可する第3のステップ(例えば、図9のステップS203に相当)と、をコンピュータに実行させるためのプログラムを提案している。
【0032】
この発明によれば、利用者にベクトル座標を付与し、特定のファイルにベクトル座標と長さおよび角度とを付与する。そして、利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、利用者の前記特定のファイルに対するアクセスを許可する。つまり、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」と「角度」とを指定することにより、よりきめ細かいアクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0033】
(13)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法をコンピュータに実行させるためのプログラムであって、利用者に複数の文字、数字、記号等からなるデータ列を付与する第1のステップ(例えば、図12のステップS301に相当)と、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する第2のステップ(例えば、図12のステップS302に相当)と、前記利用者のデータ列と前記特定のファイルのデータ列とを一致させるための最小修正回数を算出する第3のステップ(例えば、図12のステップS303に相当)と、前記算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップ(例えば、図12のステップS304に相当)と、をコンピュータに実行させるためのプログラムを提案している。
【0034】
この発明によれば、利用者に複数の文字、数字、記号等からなるデータ列を付与するデータ列を付与し、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する。そして、利用者のデータ列と特定のファイルのデータ列とを一致させるための最小修正回数を算出し、算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可する。つまり、利用者にデータ列を付与し、ファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【発明の効果】
【0035】
本発明によれば、利用者に座標を与え、ファイルの座標と長さをアクセス制御ポリシーとして規定することにより、柔軟なアクセス制御を効率的なデータサイズで実現することができるという効果がある。
【図面の簡単な説明】
【0036】
【図1】本発明の第1の実施形態に係るアクセス制御装置の構成図である。
【図2】本発明の第1の実施形態に係る各利用者の座標を例示的にマッピングした図である。
【図3】本発明の第1の実施形態に係る管理職以上だけがファイルを参照できる場合を例示した図である。
【図4】本発明の第1の実施形態に係るグループメンバーだけがファイルを参照できる場合を例示した図である。
【図5】本発明の第1の実施形態に係るグループ内のプロジェクトメンバーだけがファイルを参照できる場合を例示した図である。
【図6】本発明の第1の実施形態に係るアクセス制御装置の処理フローである。
【図7】本発明の第2の実施形態に係るアクセス制御装置の構成図である。
【図8】本発明の第2の実施形態に係るグループ内のプロジェクトメンバーだけがファイルを参照できる場合を例示した図である。
【図9】本発明の第2の実施形態に係るアクセス制御装置の処理フローである。
【図10】本発明の第3の実施形態に係るアクセス制御装置の構成図である。
【図11】本発明の第3の実施形態に係るデータ列の最小修正回数を例示した図である。
【図12】本発明の第3の実施形態に係るアクセス制御装置の処理フローである。
【発明を実施するための形態】
【0037】
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
【0038】
<第1の実施形態>
図1から図6を用いて、本実施形態について詳細に説明する。なお、本発明は、適用したい組織や権限等に応じて、n次元に拡張可能な技術であるが、ここでは、説明をわかりやすくするために、2次元の場合を例にとって説明する。
【0039】
<アクセス制御装置の構成>
本実施形態に係るアクセス制御装置は、図1に示すように、座標付与部101と、アクセス制御ポリシー付与部102と、算出部103と、アクセス許可部104とから構成されている。
【0040】
座標付与部101は、利用者に2次元ベクトル座標(x1、y1)を付与する。アクセス制御ポリシー付与部102は、アクセス制御ポリシーとして、特定のファイルに2次元ベクトル座標(x2、y2)と長さLとを付与する。
【0041】
算出部103は、利用者のベクトル座標2次元ベクトル座標(x1、y1)と特定のファイルの2次元ベクトル座標(x2、y2)からその長さをスカラー量(例えば、L´=(x1−x2)2+(y1−y2)2)1/2を算出する。アクセス許可部104は、算出した長さL´が特定のファイルに付与された長さLよりも短いときに、利用者の特定のファイルに対するアクセスを許可する。なお、n次元の場合には、利用者および特定のファイルに与えられる座標がn個の値となる。
【0042】
<各利用者の座標のマッピング>
図2から図5を用いて、各利用者の座標のマッピングおよび特定ファイルへのアクセスについて説明する。
【0043】
図2は、各利用者の座標のマッピングを例示している。この例では、管理職のアクセスエリアが円形で表示され、スタッフおよびその他の人たちのアクセスエリアがドーナツ状に表示されている。つまり、グループマネージャーには、管理職がアクセスできる円形のエリア内に2次元の座標が与えられ、グループメンバーには、スタッフがアクセスできるドーナツ状のエリア内に2次元の座標が与えられる。なお、本発明は、適用したい組織や権限等に応じて、n次元に拡張可能な技術であり、n次元の場合には、利用者および特定のファイルのアクセスエリアが、それぞれに与えられたベクトル座標を中心として、座標軸方向に放射状に形成される。
【0044】
図3は、図2のマッピングを元に、管理職以上の人たちが、特定のファイルを参照できる場合について例示している。この場合、特定のファイルにアクセスできるエリアは、特定のファイルに与えられた2次元ベクトル座標(x2、y2)を中心として、付与された長さLを半径とする円状になる(図3の斜線部)。したがって、このエリア内に2次元ベクトル座標(x1、y1)を与えられたグループマネージャーは、特定のファイルへのアクセスを許可されるが、このエリア内に与えられた2次元ベクトル座標(x1、y1)がないグループメンバーは、特定ファイルへのアクセスが制限される。
【0045】
図4は、図2のマッピングを元に、特定のグループに属する人たちのみが、特定のファイルを参照できる場合について例示している。この場合、特定のファイルにアクセスできるエリアは、特定のファイルに与えられた2次元ベクトル座標(x2、y2)を中心として、付与された長さLを半径とする円状になる(図4の斜線部)。したがって、このエリア内に2次元ベクトル座標(x1、y1)を与えられた特定のグループメンバーやグループマネージャーは、特定のファイルへのアクセスを許可されるが、このエリア内に与えられた2次元ベクトル座標(x1、y1)がない他のグループのグループマネージャーやグループメンバーは、特定ファイルへのアクセスが制限される。
【0046】
図5は、図2のマッピングを元に、特定のグループに属するグループメンバーのみが、特定のファイルを参照できる場合について例示している。この場合、特定のファイルにアクセスできるエリアは、特定のファイルに与えられた2次元ベクトル座標(x2、y2)を中心として、付与された長さLを半径とする円状になる(図5の斜線部)。したがって、このエリア内に2次元ベクトル座標(x1、y1)を与えられた特定のグループメンバーは、特定のファイルへのアクセスを許可されるが、このエリア内に与えられた2次元ベクトル座標(x1、y1)がない特定のグループのグループマネージャーや他のグループのグループマネージャー、グループメンバーは、特定ファイルへのアクセスが制限される。
【0047】
なお、図3から図5においては、物理的なアクセス制御を図で示したが、例えば、上記のベクトル座標を、例えば、部屋の中の配置物の物理的な位置情報として割り当てても良い。これにより、バーチャルな方式で、物理的なアクセス制御と同一のポリシーを適用することができる。
【0048】
<アクセス制御装置の処理>
図6を用いて、本実施形態に係るアクセス制御装置の処理について説明する。
まず、利用者にベクトル座標を付与する(ステップS101)。ここで、2次元の場合には、2次元ベクトル座標(x1、y1)が付与される。次に、特定のファイルにベクトル座標と長さを付与する(ステップS102)。ここで、2次元の場合には、2次元ベクトル座標(x2、y2)と長さLとが付与される。
【0049】
そして、利用者のベクトル座標(x1、y1)と特定のファイルのベクトル座標(x2、y2)から長さを算出する(ステップS103)。具体的には、例えば、L´=(x1−x2)2+(y1−y2)2)1/2から、そのスカラー量を算出する。さらに、算出した長さL´が特定のファイルに付与された長さLよりも短いときに、利用者の特定のファイルに対するアクセスを許可する(ステップS104)。
【0050】
したがって、本実施形態によれば、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」を指定することにより、アクセス制御ポリシーを規定して、これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0051】
<第2の実施形態>
図7から図9を用いて、本実施形態について詳細に説明する。なお、本発明は、適用したい組織や権限等に応じて、n次元に拡張可能な技術であるが、ここでは、説明をわかりやすくするために、2次元の場合を例にとって説明する。
【0052】
<アクセス制御装置の構成>
本実施形態に係るアクセス制御装置は、図7に示すように、座標付与部101と、アクセス制御ポリシー付与部202と、アクセス許可部203とから構成されている。なお、座標付与部101の機能は、第1の実施形態と同様であるため、その詳細な説明は省略する。
【0053】
アクセス制御ポリシー付与部202は、アクセス制御ポリシーとして、特定のファイルに2次元ベクトル座標(x2、y2)と長さLおよび角度θとを付与する。アクセス許可部104は、利用者に付与されたベクトル座標(x1、y1)が、アクセス制御ポリシーとして付与されたベクトル座標(x2、y2)、長さLおよび角度θから構成される図形の内部に含まれるときに、利用者の特定のファイルに対するアクセスを許可する。具体的には、付与されたベクトル座標(x2、y2)、長さLおよび角度θから構成される図形の内部に含まれるベクトル座標をデータベース化し、利用者に付与されたベクトル座標(x1、y1)と一致するベクトル座標があるか否かにより、その利用者のアクセス権限の有無を評価するようにしても良い。なお、n次元の場合には、利用者および特定のファイルに与えられる座標がn個の値となる。
【0054】
<各利用者の座標のマッピング>
図8を用いて、各利用者の座標のマッピングについて説明する。
【0055】
図8は、各利用者の座標のマッピングと特定のファイルへのアクセスエリアについて例示している。この例では、特定のファイルへのアクセスエリアが、図8に示すように、2次元ベクトル座標(x2、y2)と長さLおよび角度θとで規定されている。つまり、図8の斜線を施した図形の内部が特定のファイルへのアクセスエリアとなっている。したがって、この図形内部に2次元ベクトル座標(x1、y1)を有する利用者のみが特定のファイルにアクセスすることができる。
【0056】
つまり、図8の例では、特定のグループのグループメンバーのみが、特定のファイルにアクセスすることができる。本実施形態では、上述のように、3つの要素に基づいて、特定ファイルへのアクセスエリアを規定することができるため、第1の実施形態よりも、さらに柔軟なアクセス制御が可能となる。
【0057】
<アクセス制御装置の処理>
図6を用いて、本実施形態に係るアクセス制御装置の処理について説明する。
まず、利用者にベクトル座標を付与する(ステップS201)。ここで、2次元の場合には、2次元ベクトル座標(x1、y1)が付与される。次に、特定のファイルにベクトル座標と長さを付与する(ステップS202)。ここで、2次元の場合には、2次元ベクトル座標(x2、y2)と長さLと角度θとが付与される。
【0058】
そして、利用者に付与されたベクトル座標(x1、y1)が、アクセス制御ポリシーとして付与されたベクトル座標(x2、y2)、長さLおよび角度θから構成される図形の内部に含まれるときに、利用者の特定のファイルに対するアクセスを許可する(ステップS104)。
【0059】
したがって、本実施形態によれば、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」と「角度」とを指定することにより、よりきめ細かいアクセス制御ポリシーを規定することにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0060】
<第3の実施形態>
図10から図12を用いて、本実施形態について詳細に説明する。なお、本発明は、適用したい組織や権限等に応じて、n次元に拡張可能な技術であるが、ここでは、説明をわかりやすくするために、2次元の場合を例にとって説明する。
【0061】
<アクセス制御装置の構成>
本実施形態に係るアクセス制御装置は、図7に示すように、データ列付与部301と、アクセス制御ポリシー付与部302と、算出部303と、アクセス許可部304とから構成されている。
【0062】
データ列付与部301は、利用者に複数の文字、数字、記号等からなるデータ列を付与する。アクセス制御ポリシー付与部302は、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する。
【0063】
算出部303は、利用者のデータ列と特定のファイルのデータ列とを一致させるための最小修正回数を算出する。アクセス許可部304は、算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、利用者の特定のファイルに対するアクセスを許可する。
【0064】
<最小修正回数(Edit Distance)について>
図11を用いて、最小修正回数(Edit Distance)について説明する。
【0065】
図11は、2つのデータ列を組みにした3つの例を示している。ここで、最小修正回数(Edit Distance)とは、2つのデータ列を一致させるための最小の修正回数である。つまり、図11(1)では、「AHIDZC」というデータと「AEIDZC」というデータがあり、これら2つのデータを一致させるためには、「AHIDZC」の「H」の部分を「E」と修正するか、「AEIDZC」の「E」を「H」と修正すれば、両者は一致するため、最小修正回数は、「1」となる。
【0066】
図11(2)では、「AHIDZC」というデータと「AEIFZC」というデータがあり、これら2つのデータを一致させるためには、「AHIDZC」の「H」および「D」の部分をそれぞれ「E」および「F」と修正するか、「AEIDZC」の「E」および「F」の部分をそれぞれ「H」および「D」と修正すれば、両者は一致するため、最小修正回数は、「2」となる。
【0067】
同様に、図11(3)では、「AHIDZC」というデータと「AEIFZT」というデータがあり、これら2つのデータを一致させるためには、「AHIDZC」の「H」および「D」、「C」の部分をそれぞれ「E」および「F」、「T」と修正するか、「AEIDZC」の「E」および「F」、「T」の部分をそれぞれ「H」および「D」、「C」と修正すれば、両者は一致するため、最小修正回数は、「3」となる。
【0068】
<アクセス制御装置の処理>
図12を用いて、本実施形態に係るアクセス制御装置の処理について説明する。
まず、利用者に複数の文字、数字、記号等からなるデータ列を付与する(ステップS301)。次に、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する(ステップS302)。
【0069】
そして、利用者のデータ列と特定のファイルのデータ列とを一致させるための最小修正回数を算出する(ステップS303)。さらに、算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、利用者の特定のファイルに対するアクセスを許可する(ステップS304)。
【0070】
したがって、本実施形態によれば、利用者にデータ列を付与し、ファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0071】
なお、アクセス制御装置の処理をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをアクセス制御装置に読み込ませ、実行することによって本発明のアクセス制御装置を実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
【0072】
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
【0073】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0074】
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0075】
101;座標付与部
102;アクセス制御ポリシー付与部
103;算出部
104;アクセス許可部
202;アクセス制御ポリシー付与部
203;アクセス許可部
301;データ列付与部
302;アクセス制御ポリシー付与部
303;算出部
304;アクセス許可部
【技術分野】
【0001】
本発明は、アクセス制御装置、アクセス制御方法およびプログラムに関し、特に、アクセス制御ポリシーの柔軟性が高いアクセス制御装置、アクセス制御方法およびプログラムに関する。
【背景技術】
【0002】
従来より、近年、コンピュータやネットワーク技術の発達、あるいはそれらを利用した情報サービスの発展に伴い、様々な情報セキュリティー技術が実現されている。この情報セキュリティーを実現する技術の1つとして、アクセス制御がある。アクセス制御とは、各ユーザに対して、オブジェクトへのアクセスの許可あるいは不許可を規定する機能をいい、一般に、ユーザ認証などにより識別された主体から要求されたコンピュータ資源へのアクセスを、予め設定されたアクセス制御リストを用いて許可するか禁止するかの制御を行う技術などがある。こうしたアクセス制御技術を利用することにより、特定個人/特定端末の関係において特定資源の利用だけを許可するという情報セキュリティーが実現され、悪意を持った様々な不正アクセスからコンピュータ資源を保護することができる(例えば、非特許文献1、非特許文献2参照。)。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】Ferraiolo,D.F.and Kuhn,D.R. (Oct.,1992).“Role Based Access Control” 15th National Computer Security Conference:pp554−563.
【0004】
【非特許文献2】Sandhu,R.,Coyne,E.J.,Feinstein,H.L.and Youman,C.E.(Aug., 1996). “Role−Based Access Control Models”IEEE Computer 29(2):38−47.IEEE Press.
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来のアクセス制御における課題は、アクセス制御の際に参照するアクセス制御ポリシーを効率的に記述することであった。その一例として、ロールベースアクセス制御という手法により、利用者をいくつかのグループに分け、そのグループに権限を付与する形で、アクセス制御ポリシーが規定されてきた。
【0006】
しかしながら、従来のアクセス制御におけるアクセス制御ポリシーは、柔軟性に乏しく、柔軟性を確保しようとした場合には、各ファイルに規定するポリシーのデータサイズが膨大になるという問題点があった。
【0007】
そこで、本発明は、上述の課題に鑑みてなされたものであり、利用者に座標を与え、ファイルの座標と長さをアクセス制御ポリシーとして規定することにより、柔軟なアクセス制御を効率的なデータサイズで実現するアクセス制御装置、アクセス制御方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
発明者は、上記の課題を解決するために、以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。
【0009】
(1)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置であって、利用者にベクトル座標を付与する座標付与手段(例えば、図1の座標付与部101に相当)と、特定のファイルにベクトル座標と長さを付与するアクセス制御ポリシー付与手段と(例えば、図1のアクセス制御ポリシー付与部102に相当)、前記利用者のベクトル座標と前記特定のファイルのベクトル座標から長さを算出する算出手段(例えば、図1の算出部103に相当)と、前記算出した長さが特定のファイルに付与された長さよりも短いときに、前記利用者の前記特定のファイルに対するアクセスを許可するアクセス許可手段(例えば、図1のアクセス許可部104に相当)と、を備えたことを特徴とするアクセス制御装置を提案している。
【0010】
この発明によれば、座標付与手段は、利用者にベクトル座標を付与する。アクセス制御ポリシー付与手段は、特定のファイルにベクトル座標と長さを付与する。算出手段は、利用者のベクトル座標と特定のファイルのベクトル座標から長さを算出する。アクセス許可手段は、算出した長さが特定のファイルに付与された長さよりも短いときに、利用者の特定のファイルに対するアクセスを許可する。つまり、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」を指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0011】
(2)本発明は、(1)のアクセス制御装置について、前記ベクトル座標がn次元の座標情報であることを特徴とするアクセス制御装置を提案している。
【0012】
この発明によれば、ベクトル座標がn次元の座標情報である。したがって、適用したい組織や権限などの階層に応じて、n次元にアクセスポリシーを拡張することができる。
【0013】
(3)本発明は、(1)または(2)のアクセス制御装置について、前記利用者のアクセスエリアおよび前記特定のファイルのアクセス許可エリアが、それぞれに与えられたベクトル座標を中心座標として座標軸方向に放射状に形成されていることを特徴とするアクセス制御装置を提案している。
【0014】
この発明によれば、利用者のアクセスエリアおよび特定のファイルのアクセス許可エリアが、それぞれに与えられたベクトル座標を中心座標として座標軸方向に放射状に形成されている。つまり、アクセス権限が2次元の場合には、円形状に、3次元の場合には、球形状に規定されるため、その内部に利用者のベクトル座標が存在するか否かにより、簡便にアクセス制御を行うことができる。
【0015】
(4)本発明は、(1)のアクセス制御装置について、前記ベクトル座標を部屋の中の配置物の物理的な位置情報として割り当てることを特徴とするアクセス制御装置を提案している。
【0016】
この発明によれば、ベクトル座標を部屋の中の配置物の物理的な位置情報として割り当てる。これにより、バーチャルな方式で、物理的なアクセス制御と同一のポリシーを適用することができる。
【0017】
(5)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置であって、利用者にベクトル座標を付与する座標付与手段(例えば、図7の座標付与部101に相当)と、特定のファイルにベクトル座標と長さおよび角度とを付与するアクセス制御ポリシー付与手段(例えば、図7のアクセス制御ポリシー付与部202に相当)と、前記利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、前記利用者の前記特定のファイルに対するアクセスを許可するアクセス許可手段(例えば、図1のアクセス許可部203に相当)と、を備えたことを特徴とするアクセス制御装置を提案している。
【0018】
この発明によれば、座標付与手段は、利用者にベクトル座標を付与する。アクセス制御ポリシー付与手段は、特定のファイルにベクトル座標と長さおよび角度とを付与する。アクセス許可手段は、利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、利用者の特定のファイルに対するアクセスを許可する。つまり、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」と「角度」とを指定することにより、よりきめ細かいアクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0019】
(6)本発明は、(5)のアクセス制御装置について、前記ベクトル座標がn次元の座標情報であることを特徴とするアクセス制御装置を提案している。
【0020】
この発明によれば、ベクトル座標がn次元の座標情報である。したがって、適用したい組織や権限などの階層に応じて、n次元にアクセスポリシーを拡張することができる。
【0021】
(7)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置であって、利用者に複数の文字、数字、記号等からなるデータ列を付与するデータ列付与手段(例えば、図10のデータ列付与部301に相当)と、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与するアクセス制御ポリシー付与手段(例えば、図10のアクセス制御ポリシー付与部302に相当)と、前記利用者のデータ列と前記特定のファイルのデータ列とを一致させるための最小修正回数を算出する算出手段(例えば、図10の算出部303に相当)と、前記算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可するアクセス許可手段(例えば、図1のアクセス許可部304に相当)と、を備えたことを特徴とするアクセス制御装置を提案している。
【0022】
この発明によれば、データ列付与手段は、利用者に複数の文字、数字、記号等からなるデータ列を付与するデータ列を付与する。アクセス制御ポリシー付与手段は、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する。算出手段は、利用者のデータ列と特定のファイルのデータ列とを一致させるための最小修正回数を算出する。アクセス許可手段は、算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、利用者の前記特定のファイルに対するアクセスを許可する。つまり、利用者に複数の文字、数字、記号等からなるデータ列を付与するデータ列を付与し、ファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0023】
(8)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法であって、利用者にベクトル座標を付与する第1のステップ(例えば、図6のステップS101に相当)と、特定のファイルにベクトル座標と長さを付与する第2のステップ(例えば、図6のステップS102に相当)と、前記利用者のベクトル座標と前記特定のファイルのベクトル座標から長さを算出する第3のステップ(例えば、図6のステップS103に相当)と、前記算出した長さが特定のファイルに付与された長さよりも短いときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップ(例えば、図6のステップS104に相当)と、を備えたことを特徴とするアクセス制御方法を提案している。
【0024】
この発明によれば、利用者にベクトル座標を付与し、特定のファイルにベクトル座標と長さを付与する。そして、利用者のベクトル座標と特定のファイルのベクトル座標から長さを算出し、算出した長さが特定のファイルに付与された長さよりも短いときに、利用者の特定のファイルに対するアクセスを許可する。つまり、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」を指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0025】
(9)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法であって、利用者にベクトル座標を付与する第1のステップ(例えば、図9のステップS201に相当)と、特定のファイルにベクトル座標と長さおよび角度とを付与する第2のステップ(例えば、図9のステップS202に相当)と、前記利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、前記利用者の前記特定のファイルに対するアクセスを許可する第3のステップ(例えば、図9のステップS203に相当)と、を備えたことを特徴とするアクセス制御方法を提案している。
【0026】
この発明によれば、利用者にベクトル座標を付与し、特定のファイルにベクトル座標と長さおよび角度とを付与する。そして、利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、利用者の前記特定のファイルに対するアクセスを許可する。つまり、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」と「角度」とを指定することにより、よりきめ細かいアクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0027】
(10)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法であって、利用者に複数の文字、数字、記号等からなるデータ列を付与する第1のステップ(例えば、図12のステップS301に相当)と、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する第2のステップ(例えば、図12のステップS302に相当)と、前記利用者のデータ列と前記特定のファイルのデータ列とを一致させるための最小修正回数を算出する第3のステップ(例えば、図12のステップS303に相当)と、前記算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップ(例えば、図12のステップS304に相当)と、を備えたことを特徴とするアクセス制御方法を提案している。
【0028】
この発明によれば、利用者に複数の文字、数字、記号等からなるデータ列を付与するデータ列を付与し、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する。そして、利用者のデータ列と特定のファイルのデータ列とを一致させるための最小修正回数を算出し、算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可する。つまり、利用者にデータ列を付与し、ファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0029】
(11)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法をコンピュータに実行させるためのプログラムであって、利用者にベクトル座標を付与する第1のステップ(例えば、図6のステップS101に相当)と、特定のファイルにベクトル座標と長さを付与する第2のステップ(例えば、図6のステップS102に相当)と、前記利用者のベクトル座標と前記特定のファイルのベクトル座標から長さを算出する第3のステップ(例えば、図6のステップS103に相当)と、前記算出した長さが特定のファイルに付与された長さよりも短いときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップ(例えば、図6のステップS104に相当)と、をコンピュータに実行させるためのプログラムを提案している。
【0030】
この発明によれば、利用者にベクトル座標を付与し、特定のファイルにベクトル座標と長さを付与する。そして、利用者のベクトル座標と特定のファイルのベクトル座標から長さを算出し、算出した長さが特定のファイルに付与された長さよりも短いときに、利用者の特定のファイルに対するアクセスを許可する。つまり、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」を指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0031】
(12)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法をコンピュータに実行させるためのプログラムであって、利用者にベクトル座標を付与する第1のステップ(例えば、図9のステップS201に相当)と、特定のファイルにベクトル座標と長さおよび角度とを付与する第2のステップ(例えば、図9のステップS202に相当)と、前記利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、前記利用者の前記特定のファイルに対するアクセスを許可する第3のステップ(例えば、図9のステップS203に相当)と、をコンピュータに実行させるためのプログラムを提案している。
【0032】
この発明によれば、利用者にベクトル座標を付与し、特定のファイルにベクトル座標と長さおよび角度とを付与する。そして、利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、利用者の前記特定のファイルに対するアクセスを許可する。つまり、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」と「角度」とを指定することにより、よりきめ細かいアクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0033】
(13)本発明は、意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法をコンピュータに実行させるためのプログラムであって、利用者に複数の文字、数字、記号等からなるデータ列を付与する第1のステップ(例えば、図12のステップS301に相当)と、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する第2のステップ(例えば、図12のステップS302に相当)と、前記利用者のデータ列と前記特定のファイルのデータ列とを一致させるための最小修正回数を算出する第3のステップ(例えば、図12のステップS303に相当)と、前記算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップ(例えば、図12のステップS304に相当)と、をコンピュータに実行させるためのプログラムを提案している。
【0034】
この発明によれば、利用者に複数の文字、数字、記号等からなるデータ列を付与するデータ列を付与し、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する。そして、利用者のデータ列と特定のファイルのデータ列とを一致させるための最小修正回数を算出し、算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可する。つまり、利用者にデータ列を付与し、ファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【発明の効果】
【0035】
本発明によれば、利用者に座標を与え、ファイルの座標と長さをアクセス制御ポリシーとして規定することにより、柔軟なアクセス制御を効率的なデータサイズで実現することができるという効果がある。
【図面の簡単な説明】
【0036】
【図1】本発明の第1の実施形態に係るアクセス制御装置の構成図である。
【図2】本発明の第1の実施形態に係る各利用者の座標を例示的にマッピングした図である。
【図3】本発明の第1の実施形態に係る管理職以上だけがファイルを参照できる場合を例示した図である。
【図4】本発明の第1の実施形態に係るグループメンバーだけがファイルを参照できる場合を例示した図である。
【図5】本発明の第1の実施形態に係るグループ内のプロジェクトメンバーだけがファイルを参照できる場合を例示した図である。
【図6】本発明の第1の実施形態に係るアクセス制御装置の処理フローである。
【図7】本発明の第2の実施形態に係るアクセス制御装置の構成図である。
【図8】本発明の第2の実施形態に係るグループ内のプロジェクトメンバーだけがファイルを参照できる場合を例示した図である。
【図9】本発明の第2の実施形態に係るアクセス制御装置の処理フローである。
【図10】本発明の第3の実施形態に係るアクセス制御装置の構成図である。
【図11】本発明の第3の実施形態に係るデータ列の最小修正回数を例示した図である。
【図12】本発明の第3の実施形態に係るアクセス制御装置の処理フローである。
【発明を実施するための形態】
【0037】
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
【0038】
<第1の実施形態>
図1から図6を用いて、本実施形態について詳細に説明する。なお、本発明は、適用したい組織や権限等に応じて、n次元に拡張可能な技術であるが、ここでは、説明をわかりやすくするために、2次元の場合を例にとって説明する。
【0039】
<アクセス制御装置の構成>
本実施形態に係るアクセス制御装置は、図1に示すように、座標付与部101と、アクセス制御ポリシー付与部102と、算出部103と、アクセス許可部104とから構成されている。
【0040】
座標付与部101は、利用者に2次元ベクトル座標(x1、y1)を付与する。アクセス制御ポリシー付与部102は、アクセス制御ポリシーとして、特定のファイルに2次元ベクトル座標(x2、y2)と長さLとを付与する。
【0041】
算出部103は、利用者のベクトル座標2次元ベクトル座標(x1、y1)と特定のファイルの2次元ベクトル座標(x2、y2)からその長さをスカラー量(例えば、L´=(x1−x2)2+(y1−y2)2)1/2を算出する。アクセス許可部104は、算出した長さL´が特定のファイルに付与された長さLよりも短いときに、利用者の特定のファイルに対するアクセスを許可する。なお、n次元の場合には、利用者および特定のファイルに与えられる座標がn個の値となる。
【0042】
<各利用者の座標のマッピング>
図2から図5を用いて、各利用者の座標のマッピングおよび特定ファイルへのアクセスについて説明する。
【0043】
図2は、各利用者の座標のマッピングを例示している。この例では、管理職のアクセスエリアが円形で表示され、スタッフおよびその他の人たちのアクセスエリアがドーナツ状に表示されている。つまり、グループマネージャーには、管理職がアクセスできる円形のエリア内に2次元の座標が与えられ、グループメンバーには、スタッフがアクセスできるドーナツ状のエリア内に2次元の座標が与えられる。なお、本発明は、適用したい組織や権限等に応じて、n次元に拡張可能な技術であり、n次元の場合には、利用者および特定のファイルのアクセスエリアが、それぞれに与えられたベクトル座標を中心として、座標軸方向に放射状に形成される。
【0044】
図3は、図2のマッピングを元に、管理職以上の人たちが、特定のファイルを参照できる場合について例示している。この場合、特定のファイルにアクセスできるエリアは、特定のファイルに与えられた2次元ベクトル座標(x2、y2)を中心として、付与された長さLを半径とする円状になる(図3の斜線部)。したがって、このエリア内に2次元ベクトル座標(x1、y1)を与えられたグループマネージャーは、特定のファイルへのアクセスを許可されるが、このエリア内に与えられた2次元ベクトル座標(x1、y1)がないグループメンバーは、特定ファイルへのアクセスが制限される。
【0045】
図4は、図2のマッピングを元に、特定のグループに属する人たちのみが、特定のファイルを参照できる場合について例示している。この場合、特定のファイルにアクセスできるエリアは、特定のファイルに与えられた2次元ベクトル座標(x2、y2)を中心として、付与された長さLを半径とする円状になる(図4の斜線部)。したがって、このエリア内に2次元ベクトル座標(x1、y1)を与えられた特定のグループメンバーやグループマネージャーは、特定のファイルへのアクセスを許可されるが、このエリア内に与えられた2次元ベクトル座標(x1、y1)がない他のグループのグループマネージャーやグループメンバーは、特定ファイルへのアクセスが制限される。
【0046】
図5は、図2のマッピングを元に、特定のグループに属するグループメンバーのみが、特定のファイルを参照できる場合について例示している。この場合、特定のファイルにアクセスできるエリアは、特定のファイルに与えられた2次元ベクトル座標(x2、y2)を中心として、付与された長さLを半径とする円状になる(図5の斜線部)。したがって、このエリア内に2次元ベクトル座標(x1、y1)を与えられた特定のグループメンバーは、特定のファイルへのアクセスを許可されるが、このエリア内に与えられた2次元ベクトル座標(x1、y1)がない特定のグループのグループマネージャーや他のグループのグループマネージャー、グループメンバーは、特定ファイルへのアクセスが制限される。
【0047】
なお、図3から図5においては、物理的なアクセス制御を図で示したが、例えば、上記のベクトル座標を、例えば、部屋の中の配置物の物理的な位置情報として割り当てても良い。これにより、バーチャルな方式で、物理的なアクセス制御と同一のポリシーを適用することができる。
【0048】
<アクセス制御装置の処理>
図6を用いて、本実施形態に係るアクセス制御装置の処理について説明する。
まず、利用者にベクトル座標を付与する(ステップS101)。ここで、2次元の場合には、2次元ベクトル座標(x1、y1)が付与される。次に、特定のファイルにベクトル座標と長さを付与する(ステップS102)。ここで、2次元の場合には、2次元ベクトル座標(x2、y2)と長さLとが付与される。
【0049】
そして、利用者のベクトル座標(x1、y1)と特定のファイルのベクトル座標(x2、y2)から長さを算出する(ステップS103)。具体的には、例えば、L´=(x1−x2)2+(y1−y2)2)1/2から、そのスカラー量を算出する。さらに、算出した長さL´が特定のファイルに付与された長さLよりも短いときに、利用者の特定のファイルに対するアクセスを許可する(ステップS104)。
【0050】
したがって、本実施形態によれば、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」を指定することにより、アクセス制御ポリシーを規定して、これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0051】
<第2の実施形態>
図7から図9を用いて、本実施形態について詳細に説明する。なお、本発明は、適用したい組織や権限等に応じて、n次元に拡張可能な技術であるが、ここでは、説明をわかりやすくするために、2次元の場合を例にとって説明する。
【0052】
<アクセス制御装置の構成>
本実施形態に係るアクセス制御装置は、図7に示すように、座標付与部101と、アクセス制御ポリシー付与部202と、アクセス許可部203とから構成されている。なお、座標付与部101の機能は、第1の実施形態と同様であるため、その詳細な説明は省略する。
【0053】
アクセス制御ポリシー付与部202は、アクセス制御ポリシーとして、特定のファイルに2次元ベクトル座標(x2、y2)と長さLおよび角度θとを付与する。アクセス許可部104は、利用者に付与されたベクトル座標(x1、y1)が、アクセス制御ポリシーとして付与されたベクトル座標(x2、y2)、長さLおよび角度θから構成される図形の内部に含まれるときに、利用者の特定のファイルに対するアクセスを許可する。具体的には、付与されたベクトル座標(x2、y2)、長さLおよび角度θから構成される図形の内部に含まれるベクトル座標をデータベース化し、利用者に付与されたベクトル座標(x1、y1)と一致するベクトル座標があるか否かにより、その利用者のアクセス権限の有無を評価するようにしても良い。なお、n次元の場合には、利用者および特定のファイルに与えられる座標がn個の値となる。
【0054】
<各利用者の座標のマッピング>
図8を用いて、各利用者の座標のマッピングについて説明する。
【0055】
図8は、各利用者の座標のマッピングと特定のファイルへのアクセスエリアについて例示している。この例では、特定のファイルへのアクセスエリアが、図8に示すように、2次元ベクトル座標(x2、y2)と長さLおよび角度θとで規定されている。つまり、図8の斜線を施した図形の内部が特定のファイルへのアクセスエリアとなっている。したがって、この図形内部に2次元ベクトル座標(x1、y1)を有する利用者のみが特定のファイルにアクセスすることができる。
【0056】
つまり、図8の例では、特定のグループのグループメンバーのみが、特定のファイルにアクセスすることができる。本実施形態では、上述のように、3つの要素に基づいて、特定ファイルへのアクセスエリアを規定することができるため、第1の実施形態よりも、さらに柔軟なアクセス制御が可能となる。
【0057】
<アクセス制御装置の処理>
図6を用いて、本実施形態に係るアクセス制御装置の処理について説明する。
まず、利用者にベクトル座標を付与する(ステップS201)。ここで、2次元の場合には、2次元ベクトル座標(x1、y1)が付与される。次に、特定のファイルにベクトル座標と長さを付与する(ステップS202)。ここで、2次元の場合には、2次元ベクトル座標(x2、y2)と長さLと角度θとが付与される。
【0058】
そして、利用者に付与されたベクトル座標(x1、y1)が、アクセス制御ポリシーとして付与されたベクトル座標(x2、y2)、長さLおよび角度θから構成される図形の内部に含まれるときに、利用者の特定のファイルに対するアクセスを許可する(ステップS104)。
【0059】
したがって、本実施形態によれば、利用者にベクトル座標を付与し、ファイルにベクトル座標と許容する「長さ」と「角度」とを指定することにより、よりきめ細かいアクセス制御ポリシーを規定することにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0060】
<第3の実施形態>
図10から図12を用いて、本実施形態について詳細に説明する。なお、本発明は、適用したい組織や権限等に応じて、n次元に拡張可能な技術であるが、ここでは、説明をわかりやすくするために、2次元の場合を例にとって説明する。
【0061】
<アクセス制御装置の構成>
本実施形態に係るアクセス制御装置は、図7に示すように、データ列付与部301と、アクセス制御ポリシー付与部302と、算出部303と、アクセス許可部304とから構成されている。
【0062】
データ列付与部301は、利用者に複数の文字、数字、記号等からなるデータ列を付与する。アクセス制御ポリシー付与部302は、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する。
【0063】
算出部303は、利用者のデータ列と特定のファイルのデータ列とを一致させるための最小修正回数を算出する。アクセス許可部304は、算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、利用者の特定のファイルに対するアクセスを許可する。
【0064】
<最小修正回数(Edit Distance)について>
図11を用いて、最小修正回数(Edit Distance)について説明する。
【0065】
図11は、2つのデータ列を組みにした3つの例を示している。ここで、最小修正回数(Edit Distance)とは、2つのデータ列を一致させるための最小の修正回数である。つまり、図11(1)では、「AHIDZC」というデータと「AEIDZC」というデータがあり、これら2つのデータを一致させるためには、「AHIDZC」の「H」の部分を「E」と修正するか、「AEIDZC」の「E」を「H」と修正すれば、両者は一致するため、最小修正回数は、「1」となる。
【0066】
図11(2)では、「AHIDZC」というデータと「AEIFZC」というデータがあり、これら2つのデータを一致させるためには、「AHIDZC」の「H」および「D」の部分をそれぞれ「E」および「F」と修正するか、「AEIDZC」の「E」および「F」の部分をそれぞれ「H」および「D」と修正すれば、両者は一致するため、最小修正回数は、「2」となる。
【0067】
同様に、図11(3)では、「AHIDZC」というデータと「AEIFZT」というデータがあり、これら2つのデータを一致させるためには、「AHIDZC」の「H」および「D」、「C」の部分をそれぞれ「E」および「F」、「T」と修正するか、「AEIDZC」の「E」および「F」、「T」の部分をそれぞれ「H」および「D」、「C」と修正すれば、両者は一致するため、最小修正回数は、「3」となる。
【0068】
<アクセス制御装置の処理>
図12を用いて、本実施形態に係るアクセス制御装置の処理について説明する。
まず、利用者に複数の文字、数字、記号等からなるデータ列を付与する(ステップS301)。次に、特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する(ステップS302)。
【0069】
そして、利用者のデータ列と特定のファイルのデータ列とを一致させるための最小修正回数を算出する(ステップS303)。さらに、算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、利用者の特定のファイルに対するアクセスを許可する(ステップS304)。
【0070】
したがって、本実施形態によれば、利用者にデータ列を付与し、ファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを指定することにより、アクセス制御ポリシーを規定する。これにより、柔軟なアクセス制御を効率的なデータサイズで実現することができる。
【0071】
なお、アクセス制御装置の処理をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをアクセス制御装置に読み込ませ、実行することによって本発明のアクセス制御装置を実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
【0072】
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
【0073】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0074】
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0075】
101;座標付与部
102;アクセス制御ポリシー付与部
103;算出部
104;アクセス許可部
202;アクセス制御ポリシー付与部
203;アクセス許可部
301;データ列付与部
302;アクセス制御ポリシー付与部
303;算出部
304;アクセス許可部
【特許請求の範囲】
【請求項1】
意味上の長さを利用した特定ファイルへのアクセス制御装置であって、
利用者にベクトル座標を付与する座標付与手段と、
特定のファイルにベクトル座標と長さを付与するアクセス制御ポリシー付与手段と、
前記利用者のベクトル座標と前記特定のファイルのベクトル座標から長さを算出する算出手段と、
前記算出した長さが特定のファイルに付与された長さよりも短いときに、前記利用者の前記特定のファイルに対するアクセスを許可するアクセス許可手段と、
を備えたことを特徴とするアクセス制御装置。
【請求項2】
前記ベクトル座標がn次元の座標情報であることを特徴とする請求項1に記載のアクセス制御装置。
【請求項3】
前記利用者のアクセスエリアおよび前記特定のファイルのアクセス許可エリアが、それぞれに与えられたベクトル座標を中心座標として座標軸方向に放射状に形成されていることを特徴とする請求項1または請求項2に記載のアクセス制御装置。
【請求項4】
前記ベクトル座標を部屋の中の配置物の物理的な位置情報として割り当てることを特徴とする請求項1に記載のアクセス制御装置。
【請求項5】
意味上の長さを利用した特定ファイルへのアクセス制御装置であって、
利用者にベクトル座標を付与する座標付与手段と、
特定のファイルにベクトル座標と長さおよび角度とを付与するアクセス制御ポリシー付与手段と、
前記利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、前記利用者の前記特定のファイルに対するアクセスを許可するアクセス許可手段と、
を備えたことを特徴とするアクセス制御装置。
【請求項6】
前記ベクトル座標がn次元の座標情報であることを特徴とする請求項5に記載のアクセス制御装置。
【請求項7】
意味上の長さを利用した特定ファイルへのアクセス制御装置であって、
利用者に複数の文字、数字、記号等からなるデータ列を付与するデータ列付与手段と、
特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与するアクセス制御ポリシー付与手段と、
前記利用者のデータ列と前記特定のファイルのデータ列とを一致させるための最小修正回数を算出する算出手段と、
前記算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可するアクセス許可手段と、
を備えたことを特徴とするアクセス制御装置。
【請求項8】
意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法であって、
利用者にベクトル座標を付与する第1のステップと、
特定のファイルにベクトル座標と長さを付与する第2のステップと、
前記利用者のベクトル座標と前記特定のファイルのベクトル座標から長さを算出する第3のステップと、
前記算出した長さが特定のファイルに付与された長さよりも短いときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップと、
を備えたことを特徴とするアクセス制御方法。
【請求項9】
意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法であって、
利用者にベクトル座標を付与する第1のステップと、
特定のファイルにベクトル座標と長さおよび角度とを付与する第2のステップと、
前記利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、前記利用者の前記特定のファイルに対するアクセスを許可する第3のステップと、
を備えたことを特徴とするアクセス制御方法。
【請求項10】
意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法であって、
利用者に複数の文字、数字、記号等からなるデータ列を付与する第1のステップと、
特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する第2のステップと、
前記利用者のデータ列と前記特定のファイルのデータ列とを一致させるための最小修正回数を算出する第3のステップと、
前記算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップと、
を備えたことを特徴とするアクセス制御方法。
【請求項11】
意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法をコンピュータに実行させるためのプログラムであって、
利用者にベクトル座標を付与する第1のステップと、
特定のファイルにベクトル座標と長さを付与する第2のステップと、
前記利用者のベクトル座標と前記特定のファイルのベクトル座標から長さを算出する第3のステップと、
前記算出した長さが特定のファイルに付与された長さよりも短いときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップと、
をコンピュータに実行させるためのプログラム。
【請求項12】
意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法をコンピュータに実行させるためのプログラムであって、
利用者にベクトル座標を付与する第1のステップと、
特定のファイルにベクトル座標と長さおよび角度とを付与する第2のステップと、
前記利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、前記利用者の前記特定のファイルに対するアクセスを許可する第3のステップと、
をコンピュータに実行させるためのプログラム。
【請求項13】
意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法をコンピュータに実行させるためのプログラムであって、
利用者に複数の文字、数字、記号等からなるデータ列を付与する第1のステップと、
特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する第2のステップと、
前記利用者のデータ列と前記特定のファイルのデータ列とを一致させるための最小修正回数を算出する第3のステップと、
前記算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップと、
をコンピュータに実行させるためのプログラム。
【請求項1】
意味上の長さを利用した特定ファイルへのアクセス制御装置であって、
利用者にベクトル座標を付与する座標付与手段と、
特定のファイルにベクトル座標と長さを付与するアクセス制御ポリシー付与手段と、
前記利用者のベクトル座標と前記特定のファイルのベクトル座標から長さを算出する算出手段と、
前記算出した長さが特定のファイルに付与された長さよりも短いときに、前記利用者の前記特定のファイルに対するアクセスを許可するアクセス許可手段と、
を備えたことを特徴とするアクセス制御装置。
【請求項2】
前記ベクトル座標がn次元の座標情報であることを特徴とする請求項1に記載のアクセス制御装置。
【請求項3】
前記利用者のアクセスエリアおよび前記特定のファイルのアクセス許可エリアが、それぞれに与えられたベクトル座標を中心座標として座標軸方向に放射状に形成されていることを特徴とする請求項1または請求項2に記載のアクセス制御装置。
【請求項4】
前記ベクトル座標を部屋の中の配置物の物理的な位置情報として割り当てることを特徴とする請求項1に記載のアクセス制御装置。
【請求項5】
意味上の長さを利用した特定ファイルへのアクセス制御装置であって、
利用者にベクトル座標を付与する座標付与手段と、
特定のファイルにベクトル座標と長さおよび角度とを付与するアクセス制御ポリシー付与手段と、
前記利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、前記利用者の前記特定のファイルに対するアクセスを許可するアクセス許可手段と、
を備えたことを特徴とするアクセス制御装置。
【請求項6】
前記ベクトル座標がn次元の座標情報であることを特徴とする請求項5に記載のアクセス制御装置。
【請求項7】
意味上の長さを利用した特定ファイルへのアクセス制御装置であって、
利用者に複数の文字、数字、記号等からなるデータ列を付与するデータ列付与手段と、
特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与するアクセス制御ポリシー付与手段と、
前記利用者のデータ列と前記特定のファイルのデータ列とを一致させるための最小修正回数を算出する算出手段と、
前記算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可するアクセス許可手段と、
を備えたことを特徴とするアクセス制御装置。
【請求項8】
意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法であって、
利用者にベクトル座標を付与する第1のステップと、
特定のファイルにベクトル座標と長さを付与する第2のステップと、
前記利用者のベクトル座標と前記特定のファイルのベクトル座標から長さを算出する第3のステップと、
前記算出した長さが特定のファイルに付与された長さよりも短いときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップと、
を備えたことを特徴とするアクセス制御方法。
【請求項9】
意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法であって、
利用者にベクトル座標を付与する第1のステップと、
特定のファイルにベクトル座標と長さおよび角度とを付与する第2のステップと、
前記利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、前記利用者の前記特定のファイルに対するアクセスを許可する第3のステップと、
を備えたことを特徴とするアクセス制御方法。
【請求項10】
意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法であって、
利用者に複数の文字、数字、記号等からなるデータ列を付与する第1のステップと、
特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する第2のステップと、
前記利用者のデータ列と前記特定のファイルのデータ列とを一致させるための最小修正回数を算出する第3のステップと、
前記算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップと、
を備えたことを特徴とするアクセス制御方法。
【請求項11】
意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法をコンピュータに実行させるためのプログラムであって、
利用者にベクトル座標を付与する第1のステップと、
特定のファイルにベクトル座標と長さを付与する第2のステップと、
前記利用者のベクトル座標と前記特定のファイルのベクトル座標から長さを算出する第3のステップと、
前記算出した長さが特定のファイルに付与された長さよりも短いときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップと、
をコンピュータに実行させるためのプログラム。
【請求項12】
意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法をコンピュータに実行させるためのプログラムであって、
利用者にベクトル座標を付与する第1のステップと、
特定のファイルにベクトル座標と長さおよび角度とを付与する第2のステップと、
前記利用者に付与されたベクトル座標が、アクセス制御ポリシーとして付与されたベクトル座標、長さおよび角度から構成される図形の内部に含まれるときに、前記利用者の前記特定のファイルに対するアクセスを許可する第3のステップと、
をコンピュータに実行させるためのプログラム。
【請求項13】
意味上の長さを利用した特定ファイルへのアクセス制御装置におけるアクセス制御方法をコンピュータに実行させるためのプログラムであって、
利用者に複数の文字、数字、記号等からなるデータ列を付与する第1のステップと、
特定のファイルにデータ列と2つのデータ列を一致させるための最小修正回数とを付与する第2のステップと、
前記利用者のデータ列と前記特定のファイルのデータ列とを一致させるための最小修正回数を算出する第3のステップと、
前記算出した最小修正回数が特定のファイルに付与された最小修正回数よりも小さいときに、前記利用者の前記特定のファイルに対するアクセスを許可する第4のステップと、
をコンピュータに実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2011−128703(P2011−128703A)
【公開日】平成23年6月30日(2011.6.30)
【国際特許分類】
【出願番号】特願2009−284218(P2009−284218)
【出願日】平成21年12月15日(2009.12.15)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成23年6月30日(2011.6.30)
【国際特許分類】
【出願日】平成21年12月15日(2009.12.15)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]