アクセス権管理システム、サーバ及びアクセス権管理プログラム
【課題】 複数のドメインでサービス資源を共有する際に、共有の対象となるサービス資源に対するアクセスポリシーを、ドメイン管理者らの合意の下で策定するにあたり、効率的かつ確実な合意の形成を支援できるアクセス権管理システムを提供する。
【解決手段】 資源共有ポリシーを作成し、複数のドメイン管理者間による資源共有ポリシーの交渉処理を行うアクセス権管理装置10をドメイン毎に備え、資源共有ポリシーを作成したアクセス権管理装置が、資源共有ポリシーを構成するポリシー単位毎に、当該ポリシー単位の交渉先である前記アクセス権管理装置を特定し、特定したアクセス権管理装置の識別名と交渉対象となる前記ポリシー単位とを含む交渉情報を生成し、交渉情報を特定のアクセス権管理装置に送信し、交渉情報を送信した特定のアクセス権管理装置から、全てのポリシー単位に対する合意の指示があった場合に、資源共有ポリシーを共有資源20に設定する。
【解決手段】 資源共有ポリシーを作成し、複数のドメイン管理者間による資源共有ポリシーの交渉処理を行うアクセス権管理装置10をドメイン毎に備え、資源共有ポリシーを作成したアクセス権管理装置が、資源共有ポリシーを構成するポリシー単位毎に、当該ポリシー単位の交渉先である前記アクセス権管理装置を特定し、特定したアクセス権管理装置の識別名と交渉対象となる前記ポリシー単位とを含む交渉情報を生成し、交渉情報を特定のアクセス権管理装置に送信し、交渉情報を送信した特定のアクセス権管理装置から、全てのポリシー単位に対する合意の指示があった場合に、資源共有ポリシーを共有資源20に設定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はアクセス権管理システム、アクセス権管理方法及びアクセス権管理用プログラムに関し、特に複数の管理者が存在する場合に、効率的かつ確実に合意を形成するためのアクセス権管理システム、アクセス権管理方法及びアクセス権管理用プログラムに関する。
【背景技術】
【0002】
従来の大部分のアクセス権管理システムは、企業業務アプリケーションや企業LANの運用に見られるように、単一組織内のユーザによるコンピュータやネットワーク機器等の資源へのアクセスを扱っている。近年、業務提携や産学共同研究などの隆盛により、複数の組織でアプリケーションサーバやストレージサーバ等を含む資源を共有することに対する関心が高まってきており、そうした共有資源に対するアクセスを管理するためのアクセス権管理システムが提案されるようになった。
【0003】
そうしたアクセス権管理システムの一例が、特許文献1に記載されている。この特許文献1記載のアクセス権管理システムは、ワークフローに関するポリシーを策定するにあたり、ワークフローの構成要素となるタスクの担当者同士で、タスクの実行順序の調停を支援する。
【0004】
具体的には、あるタスク(推移元)の担当者が、後段のタスク(推移先)を決定するにあたり、複数の推移先候補が存在する場合に、アクセス権管理システムが前記推移元担当者と推移先候補の各担当者とのメーリングリスト等のコミュニケーション場を生成して、(推移元担当者にとって)最適な推移先を決定することを支援する。前記コミュニケーション場では、例えば推移先タスクを完了するまでの工数や価格などが交渉され、推移元担当者の判断によって1つの推移先タスクが決定される。
【0005】
また、アクセス権管理システムの他の一例が、特許文献2に記載されている。この特許文献2では、ネットワークドメインを超えたサービス利用の場面における、サービス提供装置(ドナー・フレームワーク)とサービス利用装置(レシーバ・フレームワーク)との間で行われる、サービス利用ポリシー(連合サービス合意)の締結方法が示されている。ここで、サービス利用ポリシーとは、サービス提供装置が提供する複数のサービスのうち、サービス利用装置による利用が認められるサービスを具体的に指示するデータを指す。
【0006】
特許文献2記載のアクセス権管理方法によると、まずサービス利用装置がサービス提供装置に利用したいサービスのIDを送信すると、サービス提供装置がサービスレベルなどサービスの利用条件を示すデータ(サービストークン)をサービス利用装置に応答する。次に、サービス利用装置がサービストークンに記載された条件が十分であると判断した場合に、当該サービストークンに合意を示すデジタル署名を施し、サービス提供装置に送信する。その後、サービス提供装置は、さらにデジタル署名を施して、サービス利用装置に応答する。このようにして、サービス提供装置・利用装置双方のデジタル署名が施されたサービストークンは、以後、双方合意の下で策定されたサービス利用ポリシーとして使用される。
【0007】
さらに、非特許文献1及び2には、異なる2つ以上の組織(ドメイン)で、データベースなどのサービス資源を共有する際に、当該共有資源へのアクセスに関するポリシー(アクセスポリシー)を策定・強制する方法が開示されている。しかし、いずれの方法も、あるドメインの管理者が、所定の共有資源を利用しようとするドメイングループの代表者として選任され、アクセスポリシーの策定を集中的に行うものである。
【特許文献1】特開2006−92073号公報(図2)
【特許文献2】特開2006−506696号公報(図7D)
【非特許文献1】Greenwald, “A newsecurity policy for distributed resource management and access control”,Proceedings of the 1996 workshop on New Security Paradigms, 1996, pp. 74-86.
【非特許文献2】Vimercati and Samarati,“Access Control in Federated Systems”, Proceedings of the 1996 workshop on NewSecurity Paradigms, 1996, pp. 87-99.
【発明の開示】
【発明が解決しようとする課題】
【0008】
一般に、アクセスポリシーは、アクセス主体(サブジェクト)・アクセス対象(オブジェクト)・アクセス動作(アクション)の3つ組を1つの単位(アクセスポリシー単位)として、それらアクセスポリシー単位のリストとして定義される。複数のドメインでサービス資源を共有する際に、共有の対象となるサービス資源に対するアクセスポリシーの策定については、上記非特許文献1及び2に一例としての開示される策定方法のように、特定のドメイン管理者もしくは第三者にアクセスアクセス権管理を一任するものであるため、委任されたドメイン管理者による、本来他のドメイン管理者から許されないアクセスポリシーの不公正な策定を許してしまうという問題があった。
【0009】
そこで、資源を共有する主体となるドメイン管理者間でアクセスポリシーを交渉し、合意を得る必要があるが、アクセスポリシーの交渉・合意にあたっては、少なくとも以下の作業を実施する必要がある。
【0010】
(1)あるドメイン管理者が作成したアクセスポリシー案を、他のドメイン管理者に提示する。
【0011】
(2)他のドメイン管理者は、提示されたアクセスポリシーの中から、自身の承認を必要とするアクセスポリシー単位を特定・検証する。
【0012】
(3)さらに他のドメイン管理者は、特定されたアクセスポリシー単位について、承認・却下・対案提示などのリアクションを行い、(1)と同様に他のドメイン管理者に提示する。
【0013】
(4)全てのアクセスポリシー単位に必要なドメイン管理者全員の承認が得られたとき、当該アクセスポリシーを合意済みアクセスポリシーとして、全てのドメイン管理者が各自保管する。
【0014】
しかし、上記した従来のアクセス権管理方法のいずれを用いても、以下のような問題点があるために、これら4ステップの作業が効率的かつ確実に行われることをシステム的に保証することができなかった。
【0015】
第1の問題点は、ドメイン管理者間のアクセスポリシー交渉の効率化が不十分、ということである。
【0016】
その理由は、特許文献1記載のアクセス権管理方法においては、上記ステップ(1)と(3)を行うコミュニケーション場を生成することで交渉の効率化を図るが、ステップ(2)の作業が含まれておらず、多数のアクセスポリシー単位を含むアクセスポリシーの交渉にあっては、多数の無関係なアクセスポリシー単位が存在し、検証の効率を低下させるためである。
【0017】
第2の問題点は、対案提示や合意後の修正が考慮されていない、ということである。
【0018】
その理由は、特許文献2記載のアクセス権管理方法は、上記ステップ(1)、(3)、(4)を実現する一例であるが、ステップ(3)において対案提示を行う方法が示されていない。また、ステップ(4)の後、あるドメイン管理者がアクセスポリシーを一部修正したい場合に上記4ステップを改めて実施する必要があるが、特許文献2記載のアクセス権管理方法では、部分的な合意を考慮していないため、未修正部分も含めて上記4ステップによる交渉を再度実施しなければならない。
【0019】
(発明の目的)
【0020】
本発明の目的は、複数のドメインでサービス資源を共有する際に、共有の対象となるサービス資源に対するアクセスポリシーを、ドメイン管理者らの合意の下で策定するにあたり、効率的かつ確実な合意の形成を支援できるアクセス権管理システム、サーバ及びアクセス権管理プログラムを提供することにある。
【0021】
本発明の他の目的は、対案提示や合意後の修正についても、必要なドメイン管理者らによる再合意を促すことのできるアクセス権管理システム、サーバ及びアクセス権管理プログラムを提供することにある。
【課題を解決するための手段】
【0022】
上記目的を達成する本発明のアクセス権管理システムは、資源共有ポリシーを作成し、複数のドメイン管理者間による資源共有ポリシーの交渉処理を行うアクセス権管理装置をドメイン毎に備え、前記資源共有ポリシーを作成した前記アクセス権管理装置が、前記資源共有ポリシーを構成するポリシー単位毎に、当該ポリシー単位の交渉先である前記アクセス権管理装置を特定し、特定した前記アクセス権管理装置の識別名と交渉対象となる前記ポリシー単位とを含む交渉情報を生成し、前記交渉情報を前記特定のアクセス権管理装置に送信し、前記交渉情報を送信した前記特定のアクセス権管理装置から、全ての前記ポリシー単位に対する合意の指示があった場合に、前記資源共有ポリシーを共有資源に設定することを特徴とする。
【0023】
請求項2によるアクセス権管理システムは、前記アクセス権管理装置が、前記資源共有ポリシーを作成・編集するポリシー編集手段と、資源共有を行うユーザやドメイン管理者、前記アクセス権管理装置の識別情報と、前記ドメインとの関係を含むドメイン情報を格納するグループ管理手段と、共有資源の識別名と前記ドメインとを対応付けて格納する共有資源管理手段と、前記資源共有ポリシーから交渉先の前記ドメインと交渉を要する前記ポリシー単位を抽出し、前記グループ管理手段と前記共有資源管理手段を参照して、前記交渉情報を生成する交渉情報生成手段と、前記資源共有ポリシーの前記ポリシー単位について前記特定のアクセス権管理装置から合意を得る交渉処理を実行するポリシー交渉手段と、合意済みの資源共有ポリシーのみを共有資源に設定するポリシー強制手段とを備えることを特徴とする。
【0024】
請求項3によるアクセス権管理システムは、前記ポリシー編集手段が前記資源共有ポリシーを新規に作成し又は変更したとき、前記交渉情報生成手段が、前記資源共有ポリシーを前記ポリシー単位に分割し、前記ポリシー単位毎に、ユーザの識別名の所属ドメインを前記グループ管理手段に問い合わせ、又は共有資源の識別名の所属ドメインを共有資源管理手段に問い合わせることにより、当該ポリシー単位の交渉先を特定し、交渉先の前記アクセス権管理装置の識別名のリストと交渉対象となるポリシー単位とを含む交渉情報を生成することを特徴とする。
【0025】
請求項4によるアクセス権管理システムは、前記ポリシー交渉手段が、前記交渉情報生成手段が生成した前記交渉情報を、当該交渉情報に含まれる前記アクセス権管理装置に送信し、当該アクセス権管理装置から、前記交渉情報に含まれるポリシー単位に対する合意指示が得られたときに、前記アクセス権管理装置のドメイン管理者のデジタル署名を当該ポリシー単位に付与することを特徴とする。
【0026】
請求項5によるアクセス権管理システムは、前記ポリシー交渉手段が、前記資源共有ポリシーの前記ポリシー単位に付与された前記デジタル署名の有無を検証し、合意がなされたと判定した場合に、資源共有ポリシーを合意済みのポリシー単位で更新することを特徴とする。
【0027】
請求項6によるアクセス権管理システムは、前記共有資源が、仮想的な共有資源であり、前記仮想的な共有資源を生成して前記アクセス権管理装置に仮想化共有資源情報を登録する仮想化資源生成手段を備えることを特徴とする。
【0028】
(作用)
ポリシー編集手段が資源共有ポリシーを新規に作成又は変更したとき、交渉情報生成手段が、資源共有ポリシーを構成する要素(ポリシー単位)に分割して、ポリシー単位毎に、ユーザの識別名(サブジェクト)の所属ドメインをグループ管理手段に問い合わせ、又は共有資源の識別名(オブジェクト)の所属ドメインを共有資源管理手段に問い合わせて、当該ポリシー単位の交渉先を特定して、アクセス権管理装置の識別名のリストと交渉対象となるポリシー単位とを含む交渉情報を生成する。
【0029】
また、ポリシー交渉手段は、交渉情報生成手段が生成した交渉情報を、当該交渉情報で指定されたアクセス権管理装置に送信し、送信したアクセス権管理装置からドメイン管理者により、交渉情報に含まれるポリシー単位に対する合意指示が得られたときに、ドメイン管理者のデジタル署名を当該ポリシー単位に付与する。また、デジタル署名の存在を確認して、合意がなされたと判定した場合に、資源共有ポリシーを合意済みのポリシー単位で更新し、ポリシー強制手段が、合意済みポリシー単位で構成される資源共有ポリシーのみを、共有資源に設定する。
【発明の効果】
【0030】
本発明によれば、以下のような効果を実現できる。
【0031】
新たに作成された資源共有ポリシーに対して、ポリシー単位毎に交渉を要するドメインのアクセス権管理装置を特定し、交渉情報を生成するよう構成されているため、必要最小限の交渉先に対して、必要最小限のポリシー記述量を伴った効率のよいポリシー交渉を実現することができる。
【0032】
また、合意済みの資源共有ポリシーのうち、1つ以上のポリシー単位が修正又は追加された場合、修正又は追加されたポリシー単位を未合意のポリシーとして更新し、かつ未合意ポリシーのみについて、交渉情報を生成するように構成されているため、既に合意されたポリシー単位の再交渉を必要とせず、変更や追加箇所に限定した再交渉を実現することができる。
【発明を実施するための最良の形態】
【0033】
次に、発明を実施するための最良の形態について図面を参照して詳細に説明する。
【0034】
(第1の実施の形態)
図1を参照すると、本発明の第1の実施の形態は、組織毎にアクセス権管理装置10と、コンピュータやストレージなどの共有資源20とを有し、アクセス権管理装置10は別組織のアクセス権管理装置10−1〜10−Nと接続されている。
なお、アクセス権管理装置10及び別組織のアクセス権管理装置10−1〜10−Nについてはそれぞれ共通の構成であるので、以下アクセス権管理装置10の構成のみについて説明する。
【0035】
アクセス権管理装置10は、ポリシー編集手段1100と、グループ管理手段1200と、共有資源管理手段1300と、ポリシー管理手段1400と、ポリシー交渉手段1500と、交渉情報生成手段1600と、ポリシー強制手段1700とを備える。
【0036】
ポリシー編集手段1100は、図2に示すように、管理者による資源共有ポリシーの編集操作を受け付けるためのキーボードやマウスなどの入力手段1101と、編集中のポリシーやその他必要な作業データを一時記憶するための一時記憶手段1102と、一時記憶手段1102に記憶されているポリシーを表示するLCD(Liquid Crystal Display)などの出力手段1103とを備える。
【0037】
そして、ポリシー編集手段1100は、入力手段1101から新たなポリシー編集指示が得られた際に、ポリシー管理手段1400から当該指示に応じた資源共有ポリシーを抽出し、一時記憶手段1102に記憶すると共に、出力手段1103を介して当該資源共有ポリシーを管理者に対して提示する。
【0038】
また、ポリシー編集手段1100の入力手段1101から新たなポリシー又はポリシー単位の作成要求が入力された場合には、グループ管理手段1200から資源共有に関係するドメインのユーザ識別名などを含むドメイン情報を抽出し、共有資源管理手段1300からグループで共有する資源情報を抽出し、当該ドメイン情報及び資源情報を一時記憶手段1102に記憶したのち、出力手段1103を介して管理者に対して提示する。
【0039】
そして、入力手段1101から新規又は更新されたポリシー単位の入力を受け付けて、当該ポリシー単位を一時記憶手段1102に蓄積されている資源共有ポリシーへ追加又は更新する。
【0040】
さらに、入力手段1101からポリシー交渉指示があった際は、一時記憶手段1102に蓄積されている資源共有ポリシーをポリシー交渉手段1500に入力し、ポリシー交渉手段1500が出力する新しい資源共有ポリシーで、一時記憶手段1102内の古い資源共有ポリシーを置き換える。
【0041】
あるいは、入力手段1101からポリシー登録指示があった際は、一時記憶手段1102に蓄積されている資源共有ポリシーを、ポリシー管理手段1400に入力して、記録する。
【0042】
また、入力手段1101からポリシー強制指示が入力された場合は、一時記憶手段1102に蓄積されている資源共有ポリシーを、ポリシー強制手段1700に入力して、自組織の共有資源20へ強制的に設定する。
【0043】
グループ管理手段1200は、ハードディスク装置(HDD)等の二次記憶デバイスを用いて、グループを構成する各組織のドメイン情報を格納し、ポリシー編集手段1100や交渉情報生成手段1600からの問い合わせに応じて、保管されているドメイン情報を抽出・出力する。
【0044】
共有資源管理手段1300は、ハードディスク装置(HDD)等の二次記憶デバイスを用いて、グループで共有するコンピュータやストレージなどの資源情報をドメインと対応付けて格納し、ポリシー編集手段1100や交渉情報生成手段1600からの問い合わせに応じて、保管されている資源情報を抽出・出力する。
【0045】
ポリシー管理手段1400は、ハードディスク装置(HDD)等の二次記憶デバイスを用いて、ポリシー編集手段1100から入力されたグループの資源共有ポリシーを保管するとともに、ポリシー編集手段1100の問い合わせに応じて、保管されている資源共有ポリシーを出力する。
【0046】
ポリシー交渉手段1500は、図3に示すように、作業データを一時記憶する一時記憶手段1501と、送信手段1502と、受信手段1503と、LCDなどの出力手段1504と、入力手段1505と、署名付与手段1506と、署名検査手段1507とを備える。
【0047】
ポリシー交渉手段1500が、ポリシー編集手段1100から入力された資源共有ポリシーを、交渉情報生成手段1600に入力して、得られた交渉情報を一時記憶手段1501に格納した後、送信手段1502は、一時記憶手段1501内の交渉情報を参照しながら、交渉の対象となる1つ以上のポリシー単位を適切なアクセス権管理装置10−1ないし10−Nに送信する。
【0048】
受信手段1503は、他のアクセス権管理装置10−1ないし10−Nから送信される1つ以上のポリシー単位を受信し、一時記憶手段1501に格納する。
【0049】
出力手段1504は、一時記憶手段1501に格納されている受信したポリシー単位を管理者に向けて表示する。
【0050】
入力手段1505は、管理者によるポリシー単位への合意指示を受け付ける。
【0051】
署名付与手段1506は、入力手段1505で得られた合意指示に応じて、合意対象であるポリシー単位にデジタル署名を付与したポリシー単位を、一時記憶装置1501に格納する。
【0052】
署名検査手段1507は、一時記憶装置1501内のポリシー単位を参照して、デジタル署名を検査して合意済みか否かを判定する。
【0053】
交渉情報生成手段1600は、図4に示すように、作業データを一時記憶する一時記憶手段1601と、ポリシー単位抽出手段1602と、交渉先特定手段1603とを備える。
【0054】
交渉情報生成手段1600が、ポリシー交渉手段1500から入力された資源共有ポリシーを一時記憶手段1601に格納した後、ポリシー単位抽出手段1602が、一時記憶手段1601に格納されている資源共有ポリシーを参照して、合意が成立していないポリシー単位(未合意ポリシー単位)を抽出し、一時記憶手段1601に格納する。
【0055】
そして、交渉先特定手段1603が、一時記憶手段1601に格納されている各未合意ポリシー単位を参照しながら、グループ管理手段1200及び共有資源管理手段1300から関係するドメイン情報と資源情報を取得して、交渉を要する管理者のアクセス権管理装置1の識別名(DNS名やIPアドレスなど)を一時記憶手段1601に格納する。
【0056】
その後、交渉情報生成手段1600が、一時記憶手段1601に格納されているアクセス権管理装置1の識別名と、関連する未合意ポリシー単位とを含む交渉情報を生成し、ポリシー交渉手段1500に出力する。
【0057】
ポリシー強制手段1700は、作業データを格納するための一時記憶手段1701と、署名検証手段1702と、設定手段1703とを備える。
【0058】
ポリシー編集手段1100から入力された資源共有ポリシーを一時記憶手段1701に格納した後、署名検証手段1701が、一時記憶手段1701内の資源共有ポリシーに含まれる全てのポリシー単位のデジタル署名を検証して合意済みか否かの判定を行う。
【0059】
設定手段1702は一時記憶手段1701内の資源共有ポリシーを、所定のアクセス権記述フォーマットに変換して、共有資源20に設定する。
【0060】
次に、図1及び図5、図6のフローチャートを参照して、本実施形態におけるアクセス権管理装置1の動作について、詳細に説明する。
【0061】
なお、以下の説明では、図7に示す通り、アクセス権管理装置10−AがドメインAの管理者Admin(A)が用い、アクセス権管理装置10−Bと10−CをそれぞれドメインBの管理者Admin(B)とドメインCの管理者Admin(C)が用いるものとし、これら3者間で各ドメインから提供される共有資源20−A、20−B、20−Cに対する資源共有ポリシーを交渉して策定するものとする。
【0062】
まず、上記3管理者のうち、何れかの管理者のアクセス管理装置10−A、10−Bないし10−Cによって、資源共有ポリシーが新規に作成される(図5のステップ501)。例えば、管理者Admin(A)のアクセス権管理装置10−Aによって新たに作成するとき、アクセス権管理装置10−Aのポリシー編集手段1100が、出力手段1103を介して、図8に示すような画面を管理者Admin(A)に対して表示すると共に、管理者Admin(A)からのポリシー編集操作を受け付けながら、一時記憶手段1102内に新規の資源共有ポリシーを生成する。
【0063】
このとき、資源共有ポリシーの編集作業を簡便にするため、ポリシー編集手段1100が、グループ管理手段1200から資源共有を行うドメインA、B及びCに属するグループメンバを含むドメイン情報を取得して、出力手段1103へ出力したり、共有資源管理手段1300から共有されるドメインA、B及びCに属するサーバコンピュータ名などを含む資源情報を取得して、出力手段1103へ出力したりすることができる。
【0064】
また、ここで生成される資源共有ポリシーは、少なくとも以下の情報を含み、例えば、図9に示すようなXML構文に従った記述形式を有することが望ましい。
(1)ポリシー作成に供したアクセス権管理装置の識別名(例えば、アクセス権管理装置10−AのIPアドレス等)
(2)ポリシーを作成した日時または版番号
(3)1つ以上のサブジェクト、オブジェクト及びアクションの3つ組からなる「ポリシー単位」
【0065】
次に、管理者Admin(A)は新規に作成した資源共有ポリシーの登録処理を行う(ステップ502)。このとき、アクセス権管理装置10−Aのポリシー編集手段1100は、例えば、図8の画面例で登録ボタンを押下するなどして管理者Admin(A)によって与えられたポリシー登録指示に応じて、一時記憶手段1102内に格納されている資源共有ポリシーを、ポリシー管理手段1400に出力する。ポリシー管理手段1400は、入力された資源共有ポリシーを二次記憶デバイスに格納する。このとき、当該資源共有ポリシーのすべてのポリシー単位は「未合意」であり、図9の例に見られるように、ポリシー単位に相当するXML要素に対して一切のデジタル署名が付与されないまま格納される。
【0066】
さらに、管理者Admin(A)は登録した資源共有ポリシーについて、他の管理者Admin(B)ないし管理者Admin(C)から合意を得るための交渉処理を行う(ステップ503)。このとき、アクセス権管理装置10−Aのポリシー編集手段1100が、例えば図8の画面例で交渉ボタンを押下するなどして管理者Admin(A)によって与えられたポリシー交渉指示に応じて、一時記憶1102又はポリシー管理手段1400に格納されている資源共有ポリシーをポリシー交渉手段1500に入力する。このとき、ポリシー交渉手段1500は合意を得るための交渉処理を図6のフローチャートに示す手順で行う。
【0067】
まず、ポリシー交渉手段1500は、交渉を要する管理者のアクセス権管理装置と交渉対象となるポリシー単位を特定するために、資源共有ポリシーを交渉情報生成手段1600へ入力する(図6のステップ601)。この際、交渉情報生成手段1600は、当該資源共有ポリシーを一時記憶手段1601に格納し、ポリシー単位抽出手段1602は、一時記憶手段1601に格納されている資源共有ポリシーの各ポリシー単位を参照しながら、未合意であるもの(未合意ポリシー単位)を一時記憶手段1601から抽出する(ステップ602)。
【0068】
そして、交渉先特定手段1603は、一時記憶手段1601内の各未合意ポリシー単位を参照しながら、サブジェクトとオブジェクトに対応する、それぞれのドメイン情報と資源情報をグループ管理手段1200と共有資源管理手段1300にそれぞれ問い合わせて取得し、得られたドメイン情報と資源情報とから交渉先となる管理者のアクセス権管理装置10−B又は10−Cの識別名(好適にはDNS名やIPアドレスなど)を抽出して、図10に示すように、対応する未合意ポリシー単位と関連づけた形で一時記憶手段1601に格納する(ステップ603)。
【0069】
その後、交渉情報生成手段1600が、一時記憶手段1601を走査して、アクセス権管理装置10−B又は10−Cの識別名毎に関連づけられた未合意ポリシー単位を抽出し、図11のように識別名及び1つ以上の未合意ポリシー単位を含む交渉情報を生成して、ポリシー交渉手段1500へ出力する(ステップ604)。
【0070】
次に、ポリシー交渉手段1500は、交渉情報生成手段1600から得られたすべての交渉情報を一時記憶手段1501に格納した後、送信手段1502が、一時記憶手段1501に格納されたそれぞれの交渉情報を参照しながら、交渉情報に含まれる識別名を基にアクセス権管理装置10−B又は10−CのIPアドレスを特定し、当該交渉情報をアクセス権管理装置10−B又は10−Cに送信し(ステップ605)、同じく交渉情報に含まれる未合意ポリシー単位について管理者Admin(A)、管理者Admin(B)、管理者Admin(C)の3者で交渉して得られる合意済みポリシー単位によって、アクセス権管理装置10−Aないし10−Cの資源共有ポリシーを更新する(ステップ606、607)。
【0071】
図6、図12を参照しながら、具体例を用いて、ステップ605〜607をより詳細に説明する。今、ステップ604までで図11に示す交渉情報が生成されたものとする。この交渉情報のアクセス権管理装置の識別名リストを参照すると、アクセス権管理装置10−A(識別名:policy−server@domainA.com)とアクセス権管理装置10−B(識別名:policy−server@domainB.com)との間で交渉が必要であることがわかるので、アクセス権管理装置10−Aの送信手段1502は、当該交渉情報をアクセス権管理装置10−Bへ送信する(ステップ605)。
【0072】
アクセス権管理装置10−Bは、交渉情報を、ポリシー交渉手段1500の受信手段1503で受信し、一時記憶手段1501に格納する(図12のステップ1201)。その後、署名検証手段1507が、一時記憶手段1501内の交渉情報に含まれる未合意ポリシー単位を参照しながら、デジタル署名の有無と正当性を検証する(ステップ1202)。
【0073】
ここでは未合意ポリシー単位に一切のデジタル署名がないので、署名検証手段1507は確かに未合意であると判定し、出力手段1504を介して管理者Admin(B)に向けて、例えば図13に示すように表示する(ステップ1203)。
【0074】
管理者Admin(B)によって未合意ポリシー単位の内容が確認されると、合意ボタンを押下するなどの操作によって入力手段1505を介して合意指示が入力される(ステップ1204)。
【0075】
合意指示が入力された場合、署名付与手段1506は、当該未合意ポリシー単位に対して管理者Admin(B)のデジタル署名を付与して、一時記憶手段1501内の交渉情報の未合意ポリシー単位を更新する(ステップ1205)。
【0076】
その後、署名検証手段1507によって、更新されたポリシー単位のデジタル署名の検証がなされ、管理者Admin(A)のデジタル署名がないので、依然として未合意ポリシー単位と判断される(ステップ1206)。そして、送信手段1502が、一時記憶手段1501内の管理者Admin(B)のデジタル署名が付与された、未合意ポリシー単位を含む交渉情報(図14参照)を、アクセス権管理装置10−Aに送信する(ステップ1211)。
【0077】
一方、管理者Admin(B)が合意しない場合、入力手段1505を介して、未合意ポリシー単位に対して、却下の指示を入力し又は未合意ポリシー単位に対して追加・修正・削除などの変更を加えることができる(ステップ1208)。
【0078】
ステップ1208で、却下ボタンを押下するなどの操作により却下指示が入力された場合、ポリシー交渉手段1500は、一時記憶手段1501内の交渉情報の中から、却下されたポリシー単位を削除した上で、送信手段1502を介してアクセス権管理装置10−Aに送信する(ステップ1211)。
【0079】
あるいは、入力手段1505を介して未合意ポリシー単位に変更を加えた場合、ポリシー交渉手段1500が変更された0以上の未合意ポリシー単位で、一時記憶手段1501内の交渉情報の未合意ポリシー単位を置き換えた後、送信手段1502を介してアクセス権管理装置10−Aに送信する(ステップ1211)。
【0080】
なお、ステップ1208で、変更後の未合意ポリシー単位に、ドメインAとドメインB以外のサブジェクト・オブジェクトが含まれているかどうかを検査し、例えば、「UC1@domainC」などのサブジェクトが含まれている場合に、そうした変更をエラーとして、管理者Admin(B)に再修正を求めるようにしてもよい(図15参照)。図15においては、ドメインCの管理者Admin(C)のアクセス権管理装置10−Cに対して表示させたエラーメッセージの例を示している。
【0081】
このような検査は、交渉情報生成手段1600の交渉先特定手段1603と同等の機能を有する交渉先特定手段1603Aをポリシー交渉手段1500に備えることで実現できる(図15参照)。こうすることにより、ドメインCに属するサブジェクト又はオブジェクトを含むポリシー単位に対して、管理者Admin(A)、管理者Admin(B)の間でたとえ合意が成立したとしても、後述するポリシー強制手段1700の動作により、共有資源20に対して設定不能な資源共有ポリシーが生成されることになるので、そうした不具合を事前に回避することができる。
【0082】
次に、アクセス権管理装置10−Aのポリシー交渉手段1500の受信手段1503が、アクセス権管理装置10−Bから送信された交渉情報を受信すると、上記ステップ1201〜1209と同様の動作により、受信した交渉情報を更新し、再びアクセス権管理装置10−Bに送信する。
【0083】
なお、ステップ1204で、管理者Admin(B)のデジタル署名が付与された未合意ポリシー単位に対して、管理者Admin(A)が合意指示を出すと、署名付与手段1506が、当該ポリシー単位に管理者Admin(A)のデジタル署名をさらに付与し(ステップ1205)、続いて署名検証手段1507が「合意済みポリシー単位」と判定してポリシー管理手段1400へ入力し(ステップ1206)、ポリシー管理手段1400が当該合意済みポリシー単位で資源共有ポリシーを更新する(ステップ1207)。そして、送信手段1502が当該合意済みポリシー単位を含む交渉情報をアクセス権管理装置10−Bに再び送信する(ステップ1211)。
【0084】
その後、アクセス権管理装置10−Bのポリシー交渉手段1500の受信手段1503が、前記交渉情報を受信すると、署名検証手段1507が合意済みポリシー単位を検出する(ステップ1202)。このとき、署名検証手段1507は、受信した交渉情報に含まれる合意済みポリシー単位をポリシー管理手段1600に入力して、資源共有ポリシーを更新する(ステップ1209)。
【0085】
その後、交渉情報に未合意ポリシー単位があるか否かを判定し(ステップ1210)、あれば未合意ポリシー単位を出力手段1504に入力して、上記ステップ1203以降の処理を継続する。一方、ステップ1210で、未合意ポリシー単位が含まれない場合は、ポリシー交渉が完了したと判定して処理を終了する。
【0086】
最後に、アクセス権管理装置10−Aのポリシー編集手段1100を用いて、管理者Admin(A)からの指示により資源共有ポリシーをドメインAの共有資源20−Aに強制的に設定する(ステップ608)。このとき、アクセス権管理装置10−Aのポリシー編集手段1100は、管理者Admin(A)から強制指示が与えられた資源共有ポリシーを、ポリシー強制手段1700に入力する。
【0087】
ポリシー強制手段1700は、入力された資源共有ポリシーを一時記憶手段1701に格納する。その後、署名検証手段1701は、一時記憶手段1701内の資源共有ポリシーに含まれる全てのポリシー単位を参照しながら、サブジェクト・オブジェクトを、それぞれグループ管理手段1200と共有資源管理手段1300に問い合わせることにより、所属するドメインを確認し、得られたドメインの管理者によるデジタル署名の有無を検証する。
【0088】
例えば、ドメインAのサブジェクト UA1@domainAとドメインBのオブジェクトSB1@domainBが現れる場合、管理者Admin(A)のデジタル署名と管理者Admin(B)のデジタル署名とが共に付与されていることを検証する。少なくとも一方のデジタル署名が欠けている場合、未合意ポリシー単位が含まれると判定して、以降の処理を中断する。
【0089】
そして、全てのポリシー単位について、合意済みと判定された場合に限り、設定手段1702が資源共有ポリシーを、所定のアクセス権記述フォーマット(例えばIPフィルタリングルールなど)に変換して、共有資源20−Aに設定する。
【0090】
(第1の実施の形態による効果)
次に、上述した第1の実施の形態の効果について説明する。
【0091】
本実施の形態では、アクセス権管理装置10の交渉情報生成手段1600が、ポリシー編集手段1100で新たに作成された資源共有ポリシーに対して、ポリシー単位毎に交渉を要するドメインのアクセス権管理装置10を特定し、交渉情報を生成するよう構成されているため、必要最小限の交渉先に対して、必要最小限のポリシー記述量を伴った効率のよいポリシー交渉が実現できる。
【0092】
また、ポリシー編集手段1100で合意済みの資源共有ポリシーのうち、1つ以上のポリシー単位が修正・追加された場合、ポリシー編集手段1100は、修正・追加されたポリシー単位をデジタル署名のない未合意ポリシーとして変更・追加し、かつ交渉情報生成手段1600は未合意ポリシーのみについて、交渉情報を生成するように構成されているため、既に合意されたポリシー単位の再交渉を必要とせず、変更・追加箇所に限定した再交渉を実現できる。
【0093】
なお、交渉情報生成手段1600に、署名付与手段1506を備えることにより、ステップ602の動作において、一時記憶手段1601に格納される未合意ポリシー単位に対して、自ドメインの管理者(上記例においては、管理者Admin(A))のデジタル署名を自動的に付与するようにしてもよい。このようにしても、ドメイン管理者が自身で作成したポリシー単位に合意しないことは考えにくいので、セキュリティレベルが下げることなく、ポリシー交渉にかかる交渉情報の通信回数を少なくとも1回削減することが可能となる。
【0094】
(第2の実施の形態)
【0095】
図17を参照すると、第2の実施の形態におけるアクセス権管理システムは、第1の実施の形態の共有資源20に代えて、仮想化共有資源40と、仮想化資源生成手段50とを備える。
【0096】
仮想化共有資源40は、仮想サーバ、仮想PC、仮想ルータなど、バーチャルマシンモニタ(Virtual Machine Monitor)やホストOS上で動作する仮想的なコンピュータもしくはネットワーク機器である。
【0097】
仮想化資源生成手段50は、あるドメインが他ドメインに対して、コンピュータやネットワーク機器の共有を行いたい場合に、ドメイン管理者の指定により、バーチャルマシンモニタやホストOSを備えるサーバプール内に仮想化共有資源4を生成・配置する。また、生成した仮想化共有資源40の識別名などをアクセス権管理装置10の共有資源管理手段1300に登録する。
【0098】
アクセス権管理装置10の共有資源管理手段1300には、仮想化共有資源40の識別名が格納される。また、ポリシー強制手段1700は、仮想化共有資源40に対して、資源共有ポリシーを設定する機能を有する。
【0099】
本実施形態におけるアクセス権管理装置10の動作は、第1の実施の形態における動作と全く同一である。また、仮想化共有資源40は、ネットワークやファイル、APなどにおけるアクセス制御の点で物理的な共有資源20と同一の動作を行う。以下、仮想化資源生成手段50の動作について、具体的な例を用いて詳しく述べる。
【0100】
まず、ドメインAの管理者Admin(A)が、他のドメインBの管理者Admin(B)と新たにコンピュータ資源を共有したい時、管理者Admin(A)が仮想化資源生成手段50に仮想コンピュータの生成指示を行うと、仮想化資源生成手段50は仮想コンピュータのメモリやストレージの内容を直列化したVMイメージを内部的に備える二次記憶装置に生成する。このとき、共有に必要なアプリケーションなどを含むVMイメージのテンプレートを予め用意しておき、管理者Admin(A)に選択させる方法を用いても良い。
【0101】
次に、仮想化資源生成手段50は、所定のバーチャルマシンモニタやホストOSを備えるサーバプール内のサーバコンピュータに、生成したVMイメージを配置し、新たな仮想化共有資源の稼動を指示する。このとき、サーバプール内のサーバコンピュータの負荷分布などに基づいて、負荷の低いサーバコンピュータを配置先として選択するようにしてもよい。
【0102】
そして、配置先のサーバコンピュータから仮想化共有資源に割り当てられた識別名(IPアドレスなど)を問い合わせて取得し、当該識別名をドメインAの共有資源として、アクセス権管理装置10−Aの共有資源管理手段1300に登録する。さらに、共有相手であるドメインBのアクセス権管理装置10−Bの共有資源管理手段1300に登録する。
【0103】
(第2の実施の形態による効果)
【0104】
本実施の形態では、ドメイン間で共有されるすべての資源が仮想化共有資源40であるため、バーチャルマシンモニタやホストOSが保証する遮蔽性、すなわちポリシーで許可しない限り、仮想化共有資源40が他ドメインとの仮想化共有資源やドメイン固有の資源にアクセスできないあるいはアクセスされないという性質により、資源共有に伴うワーム攻撃による他の資源への感染拡大や、共有資源で格納される情報を社内の非グループメンバから不正に盗まれるといった脅威を未然に防止することができる。
【0105】
(第3の実施の形態)
【0106】
図18を参照すると、第3の実施形態におけるアクセス権管理システムは、アクセス権管理サーバ60と、クライアント端末70とを備え、第1ないし第2の実施形態におけるアクセス権管理装置10を1つのアクセス権管理サーバとして集約した構成をもつ。
【0107】
アクセス権管理サーバ60は、プログラム制御を行う中央処理プロセッサ(CPU)601と、主記憶装置602と、二次記憶デバイス603と、クライアント端末70との制御する通信手段604と、クライアント端末70のドメイン所属を認証するドメイン認証手段605と、オペレーティングシステム606とを備えている。さらに、二次記憶デバイス603内に格納されたプログラムによってソフトウェア的に実現される、ポリシー編集手段1100と、グループ管理手段1200と、共有資源管理手段1300と、ポリシー管理手段1400と、ポリシー交渉手段1500と、交渉情報生成手段1600と、ポリシー強制手段1700とを有する。
【0108】
クライアント端末70は、ドメイン毎に配置されており、LCDなどの出力手段701と、キーボード・マウスなどの入力手段702と、アクセス権管理サーバ60との通信を制御する通信手段703と、ドメイン証明手段704とを備える。
【0109】
この第3の実施の形態によるアクセス権管理システムの動作を、具体例を用いて詳細に説明する。
【0110】
まず、ドメインAの管理者Admin(A)が、クライアント端末70の入力手段702を介して、ポリシーの編集・交渉・強制などのポリシー操作指示を与えたとき、クライアント端末70は、通信手段703を介して、ポリシー操作要求をアクセス権管理サーバ60に送信する。なお、通信手段703は、ポリシー操作要求をアクセス権管理サーバ60に送信する際、ドメイン証明手段704に格納されているドメイン認証情報を要求メッセージに含めて送信する。
【0111】
そして、アクセス権管理サーバ60が、通信手段604でポリシー表示要求を受信すると、当該ポリシー表示要求に含まれるドメイン認証情報をドメイン認証手段605により、クライアント端末70の所属ドメインがドメインAであることを認証する。認証に失敗した場合、以降の処理を行わず、直ちに中断する。
【0112】
なお、ドメイン認証情報の好適な例としては、公開鍵暗号インフラストラクチャ(PKI)に基づく公開鍵証明書がある。この場合、ドメイン認証手段605は公開鍵証明書の正当性を検証する。その他の好適な例としては、トラステッドプラットフォームモジュール(Trusted Platform Module; TPM)の機器認証メカニズムを適用してもよい。
【0113】
その後、アクセス権管理サーバ60は、オペレーティングシステム606を介して、二次記憶デバイス603に格納されているプログラムによって実装されたポリシー編集手段1100と、グループ管理手段1200と、共有資源管理手段1300と、ポリシー管理手段1400と、ポリシー交渉手段1500と、交渉情報生成手段1600と、ポリシー強制手段1700とを主記憶装置602にロードして、ドメインA用のアクセス権管理プロセスを生成して、前記のポリシー操作要求を入力する。
【0114】
生成されたアクセス権管理プロセスは、第1又は第2実施の形態におけるアクセス権管理装置10の動作をエミュレートする。また、ポリシー交渉手段1500がドメインBのポリシー交渉手段1500と通信を行う際にも、同様にしてドメインB用のアクセス権管理プロセスを生成する。
【0115】
(第3の実施の形態による効果)
以上のような構成により、本実施の形態によれば、アクセス権管理サーバ60は、資源共有を行うドメインと無関係な第三者が運用できるので、ASP型のアクセス権管理サービスが提供可能となる。
【0116】
なお、グループ管理手段1200と、共有資源管理手段1300と、ポリシー管理手段1400と、を独立したプロセスとして実行させることで、任意のアクセス権管理プロセスから共有できるようにしてもよい。こうすることで、アクセス権管理サーバ60の主記憶装置602と二次記憶デバイス603の利用の効率化が可能となる。
【0117】
また、図19に示すように、ポリシー強制手段1700をクライアント端末70側に備えてもよい。こうすることで、共有資源20又は仮想化共有資源40はドメイン内にあるクライアント端末70からのポリシー強制を受け付ければ十分であるので、より安全な構成となる。
【0118】
(第4の実施の形態)
【0119】
図20と図21を参照すると、第4の実施の形態におけるアクセス権管理システムは、第1ないし第2の実施の形態における、アクセス権管理装置10の構成に加えて、矛盾検証手段1800を備える点で相違する。
【0120】
この矛盾検証手段1800は、一時記憶手段1801と、予め定められた制約条件を格納した制約管理手段1802と、制約充足性判定手段1803とを有する。
【0121】
矛盾検証手段1800が、ポリシー交渉手段1500から入力された交渉情報に含まれる全てのポリシー単位を一時記憶手段1801に格納した後、制約充足性判定手段1803が、制約管理手段1802から取得した制約条件と、一時記憶手段1801内の各ポリシー単位と前記制約条件を比較して、制約条件が満たされるか否かを判定し、その結果をポリシー交渉手段1500の出力手段1504に出力する。
【0122】
本実施の形態によるアクセス権管理装置10の動作を、図22を参照しながら具体例を用いて詳細に説明する。なお、図22のフローチャートにおいて、図12と同じステップについては同じ符号を付している。
【0123】
今、ドメインAの管理者Admin(A)のアクセス権管理装置10−Aから、図23に示すようなポリシー単位を含む交渉情報をドメインBの管理者Admin(B)のアクセス権管理装置10−Bが受信したと仮定する。また、管理者Admin(B)が予めドメイン固有のセキュリティポリシーとして、ポリシー単位の要素(サブジェクト・オブジェクト・アクション)毎の識別名やロール、セキュリティラベルなどの属性定義と、属性に関する制約式と、その他変数などを含む制約条件を記述し、制約管理手段1802に格納しているものとする。
【0124】
制約条件の具体例としては、例えば、図24に示すように、それぞれのグループメンバと共有資源とに割り当てた半順序関係をもつセキュリティラベルの定義と、Bell−LaPadulaモデルとしてよく知られる、r−プロパティ(より大きいラベルを持つサブジェクトは、より小さいラベルを持つオブジェクトに対して、読み込みアクセスできるが、その逆は不可)と、*−プロパティ(より小さいラベルを持つサブジェクトは、より大きいラベルを持つオブジェクトに対して、書き込みアクセスできるが、その逆は不可)を制約式として記述したものを挙げることができる。
【0125】
ここで、アクセス権管理装置10−Bのポリシー交渉手段1500が前記交渉情報を受信した後、ポリシー交渉手段1500は、ステップ1202の後段であるステップ2212で、一時記憶手段1501に格納されている前記交渉情報に含まれる全ての未合意ポリシー単位を、矛盾検証手段1800に入力して、前記制約条件に反する矛盾情報を取得する。
【0126】
ステップ2212において、まず、矛盾検証手段1800が、検査対象である未合意ポリシー単位を一時記憶手段1801に格納した後、制約充足性判定手段1803が、制約管理手段1802から制約条件を取得する。そして、制約充足性判定手段1803は、一時記憶手段1801内の各ポリシー単位を入力として、当該制約条件に記載された制約式を評価する。
【0127】
例えば、図24に示した上記制約条件の例を用いると、前記交渉情報に含まれるポリシー単位(図23参照)が、r−プロパティ違反として検出される。このとき、制約充足性判定手段1803は、例えば「このポリシー単位は読み込みに関する制約条件に違反しています」との矛盾情報を生成し、ポリシー交渉手段1500に出力する。
【0128】
そして、ポリシー交渉手段1500は、当該矛盾情報を受け取った後、ステップB3で、出力手段1504を介して、未合意ポリシー単位と共に前記矛盾情報を管理者Admin(B)に向けて表示・警告する(図25参照)。
【0129】
(第4の実施の形態による効果)
以上のような構成により、本実施形態におけるアクセス権管理システムは、管理者による未合意ポリシー単位に対する合意可否の意思決定における判断ミスを予防することができる。
【産業上の利用可能性】
【0130】
本発明によれば、業務提携や産学共同研究などの場面で、企業や大学などのシステム管理者が用いるアクセス権管理ツールといった用途に適用できる。また、セキュリティ運用管理サービスの一種として、アクセス権管理ASPサービスやポリシー交渉仲介ASPサービスといった用途にも適用することが可能である。
【図面の簡単な説明】
【0131】
【図1】本発明の第1の実施の形態によるアクセス権管理システムの構成を示すブロック図である。
【図2】本発明の第1の実施の形態によるアクセス権管理システムのポリシー編集手段の構成を示すブロック図である。
【図3】本発明の第1の実施の形態によるアクセス権管理システムのポリシー交渉手段の構成を示すブロック図である。
【図4】本発明の第1の実施の形態によるアクセス権管理システムの交渉情報生成手段の構成を示すブロック図である。
【図5】本発明の第1の実施の形態によるアクセス権管理システムの全体的な動作を示すフローチャートである。
【図6】本発明の第1の実施の形態によるアクセス権管理システムの交渉処理の内容を説明するフローチャートである。
【図7】本発明の第1の実施の形態におけるドメイン・管理者・アクセス権管理装置・共有資源の関係の一例を示す図である。
【図8】本発明の第1の実施の形態におけるポリシー編集手段が表示する画面例を示す図である。
【図9】資源共有ポリシーのフォーマットの一例を示す図である。
【図10】本発明の第1の実施の形態における交渉情報生成手段におけるドメインとポリシー単位との格納形式の一例を示す図である。
【図11】交渉情報のフォーマットの一例である。
【図12】本発明の第1の実施の形態におけるポリシー交渉手段が行う未合意ポリシー単位の交渉ステップの詳細を示すフローチャートである。
【図13】本発明の第1の実施の形態におけるポリシー交渉手段が表示する交渉画面例を示す図である。
【図14】署名付のポリシー単位を含む交渉情報の一例を示す図である。
【図15】本発明の第1の実施の形態におけるポリシー交渉手段が表示するエラー画面例を示す図である。
【図16】本発明の第1の実施の形態におけるポリシー交渉手段の別の構成を示すブロック図である。
【図17】本発明の第2の実施の形態によるアクセス権管理システムの構成を示すブロック図である。
【図18】本発明の第3の実施の形態によるアクセス権管理システムの構成を示すブロック図である。
【図19】本発明の第3の実施の形態におけるアクセス権管理サーバの別の構成を示すブロック図である。
【図20】本発明の第4の実施の形態によるアクセス権管理システムの構成を示すブロック図である。
【図21】本発明の第4の実施の形態における矛盾検証手段の構成を示すブロック図である。
【図22】本発明の第4の実施の形態におけるポリシー交渉手段が行う未合意ポリシー単位の交渉ステップの詳細を示すフローチャートである。
【図23】本発明の第4の実施の形態における交渉情報の別の一例を示す図である。
【図24】本発明の第4の実施の形態における制約条件の一例を示す図である。
【図25】本発明の第4の実施の形態におけるポリシー交渉手段が表示する交渉画面の一例を示す図である。
【符号の説明】
【0132】
10 アクセス権管理装置
1100 ポリシー編集手段
1101 入力手段
1102 一時記憶手段
1103 出力手段
1200 グループ管理手段
1300 共有資源管理手段
1400 ポリシー管理手段
1500 ポリシー交渉手段
1501 一時記憶手段
1502 送信手段
1503 受信手段
1504 出力手段
1505 入力手段
1506 署名検証手段
1507 署名付与手段
1600 交渉情報生成手段
1601 一時記憶手段
1602 ポリシー単位抽出手段
1603 交渉先特定手段
1700 ポリシー強制手段
1800 矛盾検証手段
1801 一時記憶手段
1802 制約管理手段
1803 制約充足性判定手段
20 共有資源
40 仮想化共有資源
50 仮想化資源生成手段
60 アクセス権管理サーバ
601 CPU
602 主記憶装置
603 二次記憶デバイス
604 通信手段
605 ドメイン認証手段
606 オペレーティングシステム
70 クライアント端末
701 出力手段
702 入力手段
703 通信手段
704 ドメイン証明手段
【技術分野】
【0001】
本発明はアクセス権管理システム、アクセス権管理方法及びアクセス権管理用プログラムに関し、特に複数の管理者が存在する場合に、効率的かつ確実に合意を形成するためのアクセス権管理システム、アクセス権管理方法及びアクセス権管理用プログラムに関する。
【背景技術】
【0002】
従来の大部分のアクセス権管理システムは、企業業務アプリケーションや企業LANの運用に見られるように、単一組織内のユーザによるコンピュータやネットワーク機器等の資源へのアクセスを扱っている。近年、業務提携や産学共同研究などの隆盛により、複数の組織でアプリケーションサーバやストレージサーバ等を含む資源を共有することに対する関心が高まってきており、そうした共有資源に対するアクセスを管理するためのアクセス権管理システムが提案されるようになった。
【0003】
そうしたアクセス権管理システムの一例が、特許文献1に記載されている。この特許文献1記載のアクセス権管理システムは、ワークフローに関するポリシーを策定するにあたり、ワークフローの構成要素となるタスクの担当者同士で、タスクの実行順序の調停を支援する。
【0004】
具体的には、あるタスク(推移元)の担当者が、後段のタスク(推移先)を決定するにあたり、複数の推移先候補が存在する場合に、アクセス権管理システムが前記推移元担当者と推移先候補の各担当者とのメーリングリスト等のコミュニケーション場を生成して、(推移元担当者にとって)最適な推移先を決定することを支援する。前記コミュニケーション場では、例えば推移先タスクを完了するまでの工数や価格などが交渉され、推移元担当者の判断によって1つの推移先タスクが決定される。
【0005】
また、アクセス権管理システムの他の一例が、特許文献2に記載されている。この特許文献2では、ネットワークドメインを超えたサービス利用の場面における、サービス提供装置(ドナー・フレームワーク)とサービス利用装置(レシーバ・フレームワーク)との間で行われる、サービス利用ポリシー(連合サービス合意)の締結方法が示されている。ここで、サービス利用ポリシーとは、サービス提供装置が提供する複数のサービスのうち、サービス利用装置による利用が認められるサービスを具体的に指示するデータを指す。
【0006】
特許文献2記載のアクセス権管理方法によると、まずサービス利用装置がサービス提供装置に利用したいサービスのIDを送信すると、サービス提供装置がサービスレベルなどサービスの利用条件を示すデータ(サービストークン)をサービス利用装置に応答する。次に、サービス利用装置がサービストークンに記載された条件が十分であると判断した場合に、当該サービストークンに合意を示すデジタル署名を施し、サービス提供装置に送信する。その後、サービス提供装置は、さらにデジタル署名を施して、サービス利用装置に応答する。このようにして、サービス提供装置・利用装置双方のデジタル署名が施されたサービストークンは、以後、双方合意の下で策定されたサービス利用ポリシーとして使用される。
【0007】
さらに、非特許文献1及び2には、異なる2つ以上の組織(ドメイン)で、データベースなどのサービス資源を共有する際に、当該共有資源へのアクセスに関するポリシー(アクセスポリシー)を策定・強制する方法が開示されている。しかし、いずれの方法も、あるドメインの管理者が、所定の共有資源を利用しようとするドメイングループの代表者として選任され、アクセスポリシーの策定を集中的に行うものである。
【特許文献1】特開2006−92073号公報(図2)
【特許文献2】特開2006−506696号公報(図7D)
【非特許文献1】Greenwald, “A newsecurity policy for distributed resource management and access control”,Proceedings of the 1996 workshop on New Security Paradigms, 1996, pp. 74-86.
【非特許文献2】Vimercati and Samarati,“Access Control in Federated Systems”, Proceedings of the 1996 workshop on NewSecurity Paradigms, 1996, pp. 87-99.
【発明の開示】
【発明が解決しようとする課題】
【0008】
一般に、アクセスポリシーは、アクセス主体(サブジェクト)・アクセス対象(オブジェクト)・アクセス動作(アクション)の3つ組を1つの単位(アクセスポリシー単位)として、それらアクセスポリシー単位のリストとして定義される。複数のドメインでサービス資源を共有する際に、共有の対象となるサービス資源に対するアクセスポリシーの策定については、上記非特許文献1及び2に一例としての開示される策定方法のように、特定のドメイン管理者もしくは第三者にアクセスアクセス権管理を一任するものであるため、委任されたドメイン管理者による、本来他のドメイン管理者から許されないアクセスポリシーの不公正な策定を許してしまうという問題があった。
【0009】
そこで、資源を共有する主体となるドメイン管理者間でアクセスポリシーを交渉し、合意を得る必要があるが、アクセスポリシーの交渉・合意にあたっては、少なくとも以下の作業を実施する必要がある。
【0010】
(1)あるドメイン管理者が作成したアクセスポリシー案を、他のドメイン管理者に提示する。
【0011】
(2)他のドメイン管理者は、提示されたアクセスポリシーの中から、自身の承認を必要とするアクセスポリシー単位を特定・検証する。
【0012】
(3)さらに他のドメイン管理者は、特定されたアクセスポリシー単位について、承認・却下・対案提示などのリアクションを行い、(1)と同様に他のドメイン管理者に提示する。
【0013】
(4)全てのアクセスポリシー単位に必要なドメイン管理者全員の承認が得られたとき、当該アクセスポリシーを合意済みアクセスポリシーとして、全てのドメイン管理者が各自保管する。
【0014】
しかし、上記した従来のアクセス権管理方法のいずれを用いても、以下のような問題点があるために、これら4ステップの作業が効率的かつ確実に行われることをシステム的に保証することができなかった。
【0015】
第1の問題点は、ドメイン管理者間のアクセスポリシー交渉の効率化が不十分、ということである。
【0016】
その理由は、特許文献1記載のアクセス権管理方法においては、上記ステップ(1)と(3)を行うコミュニケーション場を生成することで交渉の効率化を図るが、ステップ(2)の作業が含まれておらず、多数のアクセスポリシー単位を含むアクセスポリシーの交渉にあっては、多数の無関係なアクセスポリシー単位が存在し、検証の効率を低下させるためである。
【0017】
第2の問題点は、対案提示や合意後の修正が考慮されていない、ということである。
【0018】
その理由は、特許文献2記載のアクセス権管理方法は、上記ステップ(1)、(3)、(4)を実現する一例であるが、ステップ(3)において対案提示を行う方法が示されていない。また、ステップ(4)の後、あるドメイン管理者がアクセスポリシーを一部修正したい場合に上記4ステップを改めて実施する必要があるが、特許文献2記載のアクセス権管理方法では、部分的な合意を考慮していないため、未修正部分も含めて上記4ステップによる交渉を再度実施しなければならない。
【0019】
(発明の目的)
【0020】
本発明の目的は、複数のドメインでサービス資源を共有する際に、共有の対象となるサービス資源に対するアクセスポリシーを、ドメイン管理者らの合意の下で策定するにあたり、効率的かつ確実な合意の形成を支援できるアクセス権管理システム、サーバ及びアクセス権管理プログラムを提供することにある。
【0021】
本発明の他の目的は、対案提示や合意後の修正についても、必要なドメイン管理者らによる再合意を促すことのできるアクセス権管理システム、サーバ及びアクセス権管理プログラムを提供することにある。
【課題を解決するための手段】
【0022】
上記目的を達成する本発明のアクセス権管理システムは、資源共有ポリシーを作成し、複数のドメイン管理者間による資源共有ポリシーの交渉処理を行うアクセス権管理装置をドメイン毎に備え、前記資源共有ポリシーを作成した前記アクセス権管理装置が、前記資源共有ポリシーを構成するポリシー単位毎に、当該ポリシー単位の交渉先である前記アクセス権管理装置を特定し、特定した前記アクセス権管理装置の識別名と交渉対象となる前記ポリシー単位とを含む交渉情報を生成し、前記交渉情報を前記特定のアクセス権管理装置に送信し、前記交渉情報を送信した前記特定のアクセス権管理装置から、全ての前記ポリシー単位に対する合意の指示があった場合に、前記資源共有ポリシーを共有資源に設定することを特徴とする。
【0023】
請求項2によるアクセス権管理システムは、前記アクセス権管理装置が、前記資源共有ポリシーを作成・編集するポリシー編集手段と、資源共有を行うユーザやドメイン管理者、前記アクセス権管理装置の識別情報と、前記ドメインとの関係を含むドメイン情報を格納するグループ管理手段と、共有資源の識別名と前記ドメインとを対応付けて格納する共有資源管理手段と、前記資源共有ポリシーから交渉先の前記ドメインと交渉を要する前記ポリシー単位を抽出し、前記グループ管理手段と前記共有資源管理手段を参照して、前記交渉情報を生成する交渉情報生成手段と、前記資源共有ポリシーの前記ポリシー単位について前記特定のアクセス権管理装置から合意を得る交渉処理を実行するポリシー交渉手段と、合意済みの資源共有ポリシーのみを共有資源に設定するポリシー強制手段とを備えることを特徴とする。
【0024】
請求項3によるアクセス権管理システムは、前記ポリシー編集手段が前記資源共有ポリシーを新規に作成し又は変更したとき、前記交渉情報生成手段が、前記資源共有ポリシーを前記ポリシー単位に分割し、前記ポリシー単位毎に、ユーザの識別名の所属ドメインを前記グループ管理手段に問い合わせ、又は共有資源の識別名の所属ドメインを共有資源管理手段に問い合わせることにより、当該ポリシー単位の交渉先を特定し、交渉先の前記アクセス権管理装置の識別名のリストと交渉対象となるポリシー単位とを含む交渉情報を生成することを特徴とする。
【0025】
請求項4によるアクセス権管理システムは、前記ポリシー交渉手段が、前記交渉情報生成手段が生成した前記交渉情報を、当該交渉情報に含まれる前記アクセス権管理装置に送信し、当該アクセス権管理装置から、前記交渉情報に含まれるポリシー単位に対する合意指示が得られたときに、前記アクセス権管理装置のドメイン管理者のデジタル署名を当該ポリシー単位に付与することを特徴とする。
【0026】
請求項5によるアクセス権管理システムは、前記ポリシー交渉手段が、前記資源共有ポリシーの前記ポリシー単位に付与された前記デジタル署名の有無を検証し、合意がなされたと判定した場合に、資源共有ポリシーを合意済みのポリシー単位で更新することを特徴とする。
【0027】
請求項6によるアクセス権管理システムは、前記共有資源が、仮想的な共有資源であり、前記仮想的な共有資源を生成して前記アクセス権管理装置に仮想化共有資源情報を登録する仮想化資源生成手段を備えることを特徴とする。
【0028】
(作用)
ポリシー編集手段が資源共有ポリシーを新規に作成又は変更したとき、交渉情報生成手段が、資源共有ポリシーを構成する要素(ポリシー単位)に分割して、ポリシー単位毎に、ユーザの識別名(サブジェクト)の所属ドメインをグループ管理手段に問い合わせ、又は共有資源の識別名(オブジェクト)の所属ドメインを共有資源管理手段に問い合わせて、当該ポリシー単位の交渉先を特定して、アクセス権管理装置の識別名のリストと交渉対象となるポリシー単位とを含む交渉情報を生成する。
【0029】
また、ポリシー交渉手段は、交渉情報生成手段が生成した交渉情報を、当該交渉情報で指定されたアクセス権管理装置に送信し、送信したアクセス権管理装置からドメイン管理者により、交渉情報に含まれるポリシー単位に対する合意指示が得られたときに、ドメイン管理者のデジタル署名を当該ポリシー単位に付与する。また、デジタル署名の存在を確認して、合意がなされたと判定した場合に、資源共有ポリシーを合意済みのポリシー単位で更新し、ポリシー強制手段が、合意済みポリシー単位で構成される資源共有ポリシーのみを、共有資源に設定する。
【発明の効果】
【0030】
本発明によれば、以下のような効果を実現できる。
【0031】
新たに作成された資源共有ポリシーに対して、ポリシー単位毎に交渉を要するドメインのアクセス権管理装置を特定し、交渉情報を生成するよう構成されているため、必要最小限の交渉先に対して、必要最小限のポリシー記述量を伴った効率のよいポリシー交渉を実現することができる。
【0032】
また、合意済みの資源共有ポリシーのうち、1つ以上のポリシー単位が修正又は追加された場合、修正又は追加されたポリシー単位を未合意のポリシーとして更新し、かつ未合意ポリシーのみについて、交渉情報を生成するように構成されているため、既に合意されたポリシー単位の再交渉を必要とせず、変更や追加箇所に限定した再交渉を実現することができる。
【発明を実施するための最良の形態】
【0033】
次に、発明を実施するための最良の形態について図面を参照して詳細に説明する。
【0034】
(第1の実施の形態)
図1を参照すると、本発明の第1の実施の形態は、組織毎にアクセス権管理装置10と、コンピュータやストレージなどの共有資源20とを有し、アクセス権管理装置10は別組織のアクセス権管理装置10−1〜10−Nと接続されている。
なお、アクセス権管理装置10及び別組織のアクセス権管理装置10−1〜10−Nについてはそれぞれ共通の構成であるので、以下アクセス権管理装置10の構成のみについて説明する。
【0035】
アクセス権管理装置10は、ポリシー編集手段1100と、グループ管理手段1200と、共有資源管理手段1300と、ポリシー管理手段1400と、ポリシー交渉手段1500と、交渉情報生成手段1600と、ポリシー強制手段1700とを備える。
【0036】
ポリシー編集手段1100は、図2に示すように、管理者による資源共有ポリシーの編集操作を受け付けるためのキーボードやマウスなどの入力手段1101と、編集中のポリシーやその他必要な作業データを一時記憶するための一時記憶手段1102と、一時記憶手段1102に記憶されているポリシーを表示するLCD(Liquid Crystal Display)などの出力手段1103とを備える。
【0037】
そして、ポリシー編集手段1100は、入力手段1101から新たなポリシー編集指示が得られた際に、ポリシー管理手段1400から当該指示に応じた資源共有ポリシーを抽出し、一時記憶手段1102に記憶すると共に、出力手段1103を介して当該資源共有ポリシーを管理者に対して提示する。
【0038】
また、ポリシー編集手段1100の入力手段1101から新たなポリシー又はポリシー単位の作成要求が入力された場合には、グループ管理手段1200から資源共有に関係するドメインのユーザ識別名などを含むドメイン情報を抽出し、共有資源管理手段1300からグループで共有する資源情報を抽出し、当該ドメイン情報及び資源情報を一時記憶手段1102に記憶したのち、出力手段1103を介して管理者に対して提示する。
【0039】
そして、入力手段1101から新規又は更新されたポリシー単位の入力を受け付けて、当該ポリシー単位を一時記憶手段1102に蓄積されている資源共有ポリシーへ追加又は更新する。
【0040】
さらに、入力手段1101からポリシー交渉指示があった際は、一時記憶手段1102に蓄積されている資源共有ポリシーをポリシー交渉手段1500に入力し、ポリシー交渉手段1500が出力する新しい資源共有ポリシーで、一時記憶手段1102内の古い資源共有ポリシーを置き換える。
【0041】
あるいは、入力手段1101からポリシー登録指示があった際は、一時記憶手段1102に蓄積されている資源共有ポリシーを、ポリシー管理手段1400に入力して、記録する。
【0042】
また、入力手段1101からポリシー強制指示が入力された場合は、一時記憶手段1102に蓄積されている資源共有ポリシーを、ポリシー強制手段1700に入力して、自組織の共有資源20へ強制的に設定する。
【0043】
グループ管理手段1200は、ハードディスク装置(HDD)等の二次記憶デバイスを用いて、グループを構成する各組織のドメイン情報を格納し、ポリシー編集手段1100や交渉情報生成手段1600からの問い合わせに応じて、保管されているドメイン情報を抽出・出力する。
【0044】
共有資源管理手段1300は、ハードディスク装置(HDD)等の二次記憶デバイスを用いて、グループで共有するコンピュータやストレージなどの資源情報をドメインと対応付けて格納し、ポリシー編集手段1100や交渉情報生成手段1600からの問い合わせに応じて、保管されている資源情報を抽出・出力する。
【0045】
ポリシー管理手段1400は、ハードディスク装置(HDD)等の二次記憶デバイスを用いて、ポリシー編集手段1100から入力されたグループの資源共有ポリシーを保管するとともに、ポリシー編集手段1100の問い合わせに応じて、保管されている資源共有ポリシーを出力する。
【0046】
ポリシー交渉手段1500は、図3に示すように、作業データを一時記憶する一時記憶手段1501と、送信手段1502と、受信手段1503と、LCDなどの出力手段1504と、入力手段1505と、署名付与手段1506と、署名検査手段1507とを備える。
【0047】
ポリシー交渉手段1500が、ポリシー編集手段1100から入力された資源共有ポリシーを、交渉情報生成手段1600に入力して、得られた交渉情報を一時記憶手段1501に格納した後、送信手段1502は、一時記憶手段1501内の交渉情報を参照しながら、交渉の対象となる1つ以上のポリシー単位を適切なアクセス権管理装置10−1ないし10−Nに送信する。
【0048】
受信手段1503は、他のアクセス権管理装置10−1ないし10−Nから送信される1つ以上のポリシー単位を受信し、一時記憶手段1501に格納する。
【0049】
出力手段1504は、一時記憶手段1501に格納されている受信したポリシー単位を管理者に向けて表示する。
【0050】
入力手段1505は、管理者によるポリシー単位への合意指示を受け付ける。
【0051】
署名付与手段1506は、入力手段1505で得られた合意指示に応じて、合意対象であるポリシー単位にデジタル署名を付与したポリシー単位を、一時記憶装置1501に格納する。
【0052】
署名検査手段1507は、一時記憶装置1501内のポリシー単位を参照して、デジタル署名を検査して合意済みか否かを判定する。
【0053】
交渉情報生成手段1600は、図4に示すように、作業データを一時記憶する一時記憶手段1601と、ポリシー単位抽出手段1602と、交渉先特定手段1603とを備える。
【0054】
交渉情報生成手段1600が、ポリシー交渉手段1500から入力された資源共有ポリシーを一時記憶手段1601に格納した後、ポリシー単位抽出手段1602が、一時記憶手段1601に格納されている資源共有ポリシーを参照して、合意が成立していないポリシー単位(未合意ポリシー単位)を抽出し、一時記憶手段1601に格納する。
【0055】
そして、交渉先特定手段1603が、一時記憶手段1601に格納されている各未合意ポリシー単位を参照しながら、グループ管理手段1200及び共有資源管理手段1300から関係するドメイン情報と資源情報を取得して、交渉を要する管理者のアクセス権管理装置1の識別名(DNS名やIPアドレスなど)を一時記憶手段1601に格納する。
【0056】
その後、交渉情報生成手段1600が、一時記憶手段1601に格納されているアクセス権管理装置1の識別名と、関連する未合意ポリシー単位とを含む交渉情報を生成し、ポリシー交渉手段1500に出力する。
【0057】
ポリシー強制手段1700は、作業データを格納するための一時記憶手段1701と、署名検証手段1702と、設定手段1703とを備える。
【0058】
ポリシー編集手段1100から入力された資源共有ポリシーを一時記憶手段1701に格納した後、署名検証手段1701が、一時記憶手段1701内の資源共有ポリシーに含まれる全てのポリシー単位のデジタル署名を検証して合意済みか否かの判定を行う。
【0059】
設定手段1702は一時記憶手段1701内の資源共有ポリシーを、所定のアクセス権記述フォーマットに変換して、共有資源20に設定する。
【0060】
次に、図1及び図5、図6のフローチャートを参照して、本実施形態におけるアクセス権管理装置1の動作について、詳細に説明する。
【0061】
なお、以下の説明では、図7に示す通り、アクセス権管理装置10−AがドメインAの管理者Admin(A)が用い、アクセス権管理装置10−Bと10−CをそれぞれドメインBの管理者Admin(B)とドメインCの管理者Admin(C)が用いるものとし、これら3者間で各ドメインから提供される共有資源20−A、20−B、20−Cに対する資源共有ポリシーを交渉して策定するものとする。
【0062】
まず、上記3管理者のうち、何れかの管理者のアクセス管理装置10−A、10−Bないし10−Cによって、資源共有ポリシーが新規に作成される(図5のステップ501)。例えば、管理者Admin(A)のアクセス権管理装置10−Aによって新たに作成するとき、アクセス権管理装置10−Aのポリシー編集手段1100が、出力手段1103を介して、図8に示すような画面を管理者Admin(A)に対して表示すると共に、管理者Admin(A)からのポリシー編集操作を受け付けながら、一時記憶手段1102内に新規の資源共有ポリシーを生成する。
【0063】
このとき、資源共有ポリシーの編集作業を簡便にするため、ポリシー編集手段1100が、グループ管理手段1200から資源共有を行うドメインA、B及びCに属するグループメンバを含むドメイン情報を取得して、出力手段1103へ出力したり、共有資源管理手段1300から共有されるドメインA、B及びCに属するサーバコンピュータ名などを含む資源情報を取得して、出力手段1103へ出力したりすることができる。
【0064】
また、ここで生成される資源共有ポリシーは、少なくとも以下の情報を含み、例えば、図9に示すようなXML構文に従った記述形式を有することが望ましい。
(1)ポリシー作成に供したアクセス権管理装置の識別名(例えば、アクセス権管理装置10−AのIPアドレス等)
(2)ポリシーを作成した日時または版番号
(3)1つ以上のサブジェクト、オブジェクト及びアクションの3つ組からなる「ポリシー単位」
【0065】
次に、管理者Admin(A)は新規に作成した資源共有ポリシーの登録処理を行う(ステップ502)。このとき、アクセス権管理装置10−Aのポリシー編集手段1100は、例えば、図8の画面例で登録ボタンを押下するなどして管理者Admin(A)によって与えられたポリシー登録指示に応じて、一時記憶手段1102内に格納されている資源共有ポリシーを、ポリシー管理手段1400に出力する。ポリシー管理手段1400は、入力された資源共有ポリシーを二次記憶デバイスに格納する。このとき、当該資源共有ポリシーのすべてのポリシー単位は「未合意」であり、図9の例に見られるように、ポリシー単位に相当するXML要素に対して一切のデジタル署名が付与されないまま格納される。
【0066】
さらに、管理者Admin(A)は登録した資源共有ポリシーについて、他の管理者Admin(B)ないし管理者Admin(C)から合意を得るための交渉処理を行う(ステップ503)。このとき、アクセス権管理装置10−Aのポリシー編集手段1100が、例えば図8の画面例で交渉ボタンを押下するなどして管理者Admin(A)によって与えられたポリシー交渉指示に応じて、一時記憶1102又はポリシー管理手段1400に格納されている資源共有ポリシーをポリシー交渉手段1500に入力する。このとき、ポリシー交渉手段1500は合意を得るための交渉処理を図6のフローチャートに示す手順で行う。
【0067】
まず、ポリシー交渉手段1500は、交渉を要する管理者のアクセス権管理装置と交渉対象となるポリシー単位を特定するために、資源共有ポリシーを交渉情報生成手段1600へ入力する(図6のステップ601)。この際、交渉情報生成手段1600は、当該資源共有ポリシーを一時記憶手段1601に格納し、ポリシー単位抽出手段1602は、一時記憶手段1601に格納されている資源共有ポリシーの各ポリシー単位を参照しながら、未合意であるもの(未合意ポリシー単位)を一時記憶手段1601から抽出する(ステップ602)。
【0068】
そして、交渉先特定手段1603は、一時記憶手段1601内の各未合意ポリシー単位を参照しながら、サブジェクトとオブジェクトに対応する、それぞれのドメイン情報と資源情報をグループ管理手段1200と共有資源管理手段1300にそれぞれ問い合わせて取得し、得られたドメイン情報と資源情報とから交渉先となる管理者のアクセス権管理装置10−B又は10−Cの識別名(好適にはDNS名やIPアドレスなど)を抽出して、図10に示すように、対応する未合意ポリシー単位と関連づけた形で一時記憶手段1601に格納する(ステップ603)。
【0069】
その後、交渉情報生成手段1600が、一時記憶手段1601を走査して、アクセス権管理装置10−B又は10−Cの識別名毎に関連づけられた未合意ポリシー単位を抽出し、図11のように識別名及び1つ以上の未合意ポリシー単位を含む交渉情報を生成して、ポリシー交渉手段1500へ出力する(ステップ604)。
【0070】
次に、ポリシー交渉手段1500は、交渉情報生成手段1600から得られたすべての交渉情報を一時記憶手段1501に格納した後、送信手段1502が、一時記憶手段1501に格納されたそれぞれの交渉情報を参照しながら、交渉情報に含まれる識別名を基にアクセス権管理装置10−B又は10−CのIPアドレスを特定し、当該交渉情報をアクセス権管理装置10−B又は10−Cに送信し(ステップ605)、同じく交渉情報に含まれる未合意ポリシー単位について管理者Admin(A)、管理者Admin(B)、管理者Admin(C)の3者で交渉して得られる合意済みポリシー単位によって、アクセス権管理装置10−Aないし10−Cの資源共有ポリシーを更新する(ステップ606、607)。
【0071】
図6、図12を参照しながら、具体例を用いて、ステップ605〜607をより詳細に説明する。今、ステップ604までで図11に示す交渉情報が生成されたものとする。この交渉情報のアクセス権管理装置の識別名リストを参照すると、アクセス権管理装置10−A(識別名:policy−server@domainA.com)とアクセス権管理装置10−B(識別名:policy−server@domainB.com)との間で交渉が必要であることがわかるので、アクセス権管理装置10−Aの送信手段1502は、当該交渉情報をアクセス権管理装置10−Bへ送信する(ステップ605)。
【0072】
アクセス権管理装置10−Bは、交渉情報を、ポリシー交渉手段1500の受信手段1503で受信し、一時記憶手段1501に格納する(図12のステップ1201)。その後、署名検証手段1507が、一時記憶手段1501内の交渉情報に含まれる未合意ポリシー単位を参照しながら、デジタル署名の有無と正当性を検証する(ステップ1202)。
【0073】
ここでは未合意ポリシー単位に一切のデジタル署名がないので、署名検証手段1507は確かに未合意であると判定し、出力手段1504を介して管理者Admin(B)に向けて、例えば図13に示すように表示する(ステップ1203)。
【0074】
管理者Admin(B)によって未合意ポリシー単位の内容が確認されると、合意ボタンを押下するなどの操作によって入力手段1505を介して合意指示が入力される(ステップ1204)。
【0075】
合意指示が入力された場合、署名付与手段1506は、当該未合意ポリシー単位に対して管理者Admin(B)のデジタル署名を付与して、一時記憶手段1501内の交渉情報の未合意ポリシー単位を更新する(ステップ1205)。
【0076】
その後、署名検証手段1507によって、更新されたポリシー単位のデジタル署名の検証がなされ、管理者Admin(A)のデジタル署名がないので、依然として未合意ポリシー単位と判断される(ステップ1206)。そして、送信手段1502が、一時記憶手段1501内の管理者Admin(B)のデジタル署名が付与された、未合意ポリシー単位を含む交渉情報(図14参照)を、アクセス権管理装置10−Aに送信する(ステップ1211)。
【0077】
一方、管理者Admin(B)が合意しない場合、入力手段1505を介して、未合意ポリシー単位に対して、却下の指示を入力し又は未合意ポリシー単位に対して追加・修正・削除などの変更を加えることができる(ステップ1208)。
【0078】
ステップ1208で、却下ボタンを押下するなどの操作により却下指示が入力された場合、ポリシー交渉手段1500は、一時記憶手段1501内の交渉情報の中から、却下されたポリシー単位を削除した上で、送信手段1502を介してアクセス権管理装置10−Aに送信する(ステップ1211)。
【0079】
あるいは、入力手段1505を介して未合意ポリシー単位に変更を加えた場合、ポリシー交渉手段1500が変更された0以上の未合意ポリシー単位で、一時記憶手段1501内の交渉情報の未合意ポリシー単位を置き換えた後、送信手段1502を介してアクセス権管理装置10−Aに送信する(ステップ1211)。
【0080】
なお、ステップ1208で、変更後の未合意ポリシー単位に、ドメインAとドメインB以外のサブジェクト・オブジェクトが含まれているかどうかを検査し、例えば、「UC1@domainC」などのサブジェクトが含まれている場合に、そうした変更をエラーとして、管理者Admin(B)に再修正を求めるようにしてもよい(図15参照)。図15においては、ドメインCの管理者Admin(C)のアクセス権管理装置10−Cに対して表示させたエラーメッセージの例を示している。
【0081】
このような検査は、交渉情報生成手段1600の交渉先特定手段1603と同等の機能を有する交渉先特定手段1603Aをポリシー交渉手段1500に備えることで実現できる(図15参照)。こうすることにより、ドメインCに属するサブジェクト又はオブジェクトを含むポリシー単位に対して、管理者Admin(A)、管理者Admin(B)の間でたとえ合意が成立したとしても、後述するポリシー強制手段1700の動作により、共有資源20に対して設定不能な資源共有ポリシーが生成されることになるので、そうした不具合を事前に回避することができる。
【0082】
次に、アクセス権管理装置10−Aのポリシー交渉手段1500の受信手段1503が、アクセス権管理装置10−Bから送信された交渉情報を受信すると、上記ステップ1201〜1209と同様の動作により、受信した交渉情報を更新し、再びアクセス権管理装置10−Bに送信する。
【0083】
なお、ステップ1204で、管理者Admin(B)のデジタル署名が付与された未合意ポリシー単位に対して、管理者Admin(A)が合意指示を出すと、署名付与手段1506が、当該ポリシー単位に管理者Admin(A)のデジタル署名をさらに付与し(ステップ1205)、続いて署名検証手段1507が「合意済みポリシー単位」と判定してポリシー管理手段1400へ入力し(ステップ1206)、ポリシー管理手段1400が当該合意済みポリシー単位で資源共有ポリシーを更新する(ステップ1207)。そして、送信手段1502が当該合意済みポリシー単位を含む交渉情報をアクセス権管理装置10−Bに再び送信する(ステップ1211)。
【0084】
その後、アクセス権管理装置10−Bのポリシー交渉手段1500の受信手段1503が、前記交渉情報を受信すると、署名検証手段1507が合意済みポリシー単位を検出する(ステップ1202)。このとき、署名検証手段1507は、受信した交渉情報に含まれる合意済みポリシー単位をポリシー管理手段1600に入力して、資源共有ポリシーを更新する(ステップ1209)。
【0085】
その後、交渉情報に未合意ポリシー単位があるか否かを判定し(ステップ1210)、あれば未合意ポリシー単位を出力手段1504に入力して、上記ステップ1203以降の処理を継続する。一方、ステップ1210で、未合意ポリシー単位が含まれない場合は、ポリシー交渉が完了したと判定して処理を終了する。
【0086】
最後に、アクセス権管理装置10−Aのポリシー編集手段1100を用いて、管理者Admin(A)からの指示により資源共有ポリシーをドメインAの共有資源20−Aに強制的に設定する(ステップ608)。このとき、アクセス権管理装置10−Aのポリシー編集手段1100は、管理者Admin(A)から強制指示が与えられた資源共有ポリシーを、ポリシー強制手段1700に入力する。
【0087】
ポリシー強制手段1700は、入力された資源共有ポリシーを一時記憶手段1701に格納する。その後、署名検証手段1701は、一時記憶手段1701内の資源共有ポリシーに含まれる全てのポリシー単位を参照しながら、サブジェクト・オブジェクトを、それぞれグループ管理手段1200と共有資源管理手段1300に問い合わせることにより、所属するドメインを確認し、得られたドメインの管理者によるデジタル署名の有無を検証する。
【0088】
例えば、ドメインAのサブジェクト UA1@domainAとドメインBのオブジェクトSB1@domainBが現れる場合、管理者Admin(A)のデジタル署名と管理者Admin(B)のデジタル署名とが共に付与されていることを検証する。少なくとも一方のデジタル署名が欠けている場合、未合意ポリシー単位が含まれると判定して、以降の処理を中断する。
【0089】
そして、全てのポリシー単位について、合意済みと判定された場合に限り、設定手段1702が資源共有ポリシーを、所定のアクセス権記述フォーマット(例えばIPフィルタリングルールなど)に変換して、共有資源20−Aに設定する。
【0090】
(第1の実施の形態による効果)
次に、上述した第1の実施の形態の効果について説明する。
【0091】
本実施の形態では、アクセス権管理装置10の交渉情報生成手段1600が、ポリシー編集手段1100で新たに作成された資源共有ポリシーに対して、ポリシー単位毎に交渉を要するドメインのアクセス権管理装置10を特定し、交渉情報を生成するよう構成されているため、必要最小限の交渉先に対して、必要最小限のポリシー記述量を伴った効率のよいポリシー交渉が実現できる。
【0092】
また、ポリシー編集手段1100で合意済みの資源共有ポリシーのうち、1つ以上のポリシー単位が修正・追加された場合、ポリシー編集手段1100は、修正・追加されたポリシー単位をデジタル署名のない未合意ポリシーとして変更・追加し、かつ交渉情報生成手段1600は未合意ポリシーのみについて、交渉情報を生成するように構成されているため、既に合意されたポリシー単位の再交渉を必要とせず、変更・追加箇所に限定した再交渉を実現できる。
【0093】
なお、交渉情報生成手段1600に、署名付与手段1506を備えることにより、ステップ602の動作において、一時記憶手段1601に格納される未合意ポリシー単位に対して、自ドメインの管理者(上記例においては、管理者Admin(A))のデジタル署名を自動的に付与するようにしてもよい。このようにしても、ドメイン管理者が自身で作成したポリシー単位に合意しないことは考えにくいので、セキュリティレベルが下げることなく、ポリシー交渉にかかる交渉情報の通信回数を少なくとも1回削減することが可能となる。
【0094】
(第2の実施の形態)
【0095】
図17を参照すると、第2の実施の形態におけるアクセス権管理システムは、第1の実施の形態の共有資源20に代えて、仮想化共有資源40と、仮想化資源生成手段50とを備える。
【0096】
仮想化共有資源40は、仮想サーバ、仮想PC、仮想ルータなど、バーチャルマシンモニタ(Virtual Machine Monitor)やホストOS上で動作する仮想的なコンピュータもしくはネットワーク機器である。
【0097】
仮想化資源生成手段50は、あるドメインが他ドメインに対して、コンピュータやネットワーク機器の共有を行いたい場合に、ドメイン管理者の指定により、バーチャルマシンモニタやホストOSを備えるサーバプール内に仮想化共有資源4を生成・配置する。また、生成した仮想化共有資源40の識別名などをアクセス権管理装置10の共有資源管理手段1300に登録する。
【0098】
アクセス権管理装置10の共有資源管理手段1300には、仮想化共有資源40の識別名が格納される。また、ポリシー強制手段1700は、仮想化共有資源40に対して、資源共有ポリシーを設定する機能を有する。
【0099】
本実施形態におけるアクセス権管理装置10の動作は、第1の実施の形態における動作と全く同一である。また、仮想化共有資源40は、ネットワークやファイル、APなどにおけるアクセス制御の点で物理的な共有資源20と同一の動作を行う。以下、仮想化資源生成手段50の動作について、具体的な例を用いて詳しく述べる。
【0100】
まず、ドメインAの管理者Admin(A)が、他のドメインBの管理者Admin(B)と新たにコンピュータ資源を共有したい時、管理者Admin(A)が仮想化資源生成手段50に仮想コンピュータの生成指示を行うと、仮想化資源生成手段50は仮想コンピュータのメモリやストレージの内容を直列化したVMイメージを内部的に備える二次記憶装置に生成する。このとき、共有に必要なアプリケーションなどを含むVMイメージのテンプレートを予め用意しておき、管理者Admin(A)に選択させる方法を用いても良い。
【0101】
次に、仮想化資源生成手段50は、所定のバーチャルマシンモニタやホストOSを備えるサーバプール内のサーバコンピュータに、生成したVMイメージを配置し、新たな仮想化共有資源の稼動を指示する。このとき、サーバプール内のサーバコンピュータの負荷分布などに基づいて、負荷の低いサーバコンピュータを配置先として選択するようにしてもよい。
【0102】
そして、配置先のサーバコンピュータから仮想化共有資源に割り当てられた識別名(IPアドレスなど)を問い合わせて取得し、当該識別名をドメインAの共有資源として、アクセス権管理装置10−Aの共有資源管理手段1300に登録する。さらに、共有相手であるドメインBのアクセス権管理装置10−Bの共有資源管理手段1300に登録する。
【0103】
(第2の実施の形態による効果)
【0104】
本実施の形態では、ドメイン間で共有されるすべての資源が仮想化共有資源40であるため、バーチャルマシンモニタやホストOSが保証する遮蔽性、すなわちポリシーで許可しない限り、仮想化共有資源40が他ドメインとの仮想化共有資源やドメイン固有の資源にアクセスできないあるいはアクセスされないという性質により、資源共有に伴うワーム攻撃による他の資源への感染拡大や、共有資源で格納される情報を社内の非グループメンバから不正に盗まれるといった脅威を未然に防止することができる。
【0105】
(第3の実施の形態)
【0106】
図18を参照すると、第3の実施形態におけるアクセス権管理システムは、アクセス権管理サーバ60と、クライアント端末70とを備え、第1ないし第2の実施形態におけるアクセス権管理装置10を1つのアクセス権管理サーバとして集約した構成をもつ。
【0107】
アクセス権管理サーバ60は、プログラム制御を行う中央処理プロセッサ(CPU)601と、主記憶装置602と、二次記憶デバイス603と、クライアント端末70との制御する通信手段604と、クライアント端末70のドメイン所属を認証するドメイン認証手段605と、オペレーティングシステム606とを備えている。さらに、二次記憶デバイス603内に格納されたプログラムによってソフトウェア的に実現される、ポリシー編集手段1100と、グループ管理手段1200と、共有資源管理手段1300と、ポリシー管理手段1400と、ポリシー交渉手段1500と、交渉情報生成手段1600と、ポリシー強制手段1700とを有する。
【0108】
クライアント端末70は、ドメイン毎に配置されており、LCDなどの出力手段701と、キーボード・マウスなどの入力手段702と、アクセス権管理サーバ60との通信を制御する通信手段703と、ドメイン証明手段704とを備える。
【0109】
この第3の実施の形態によるアクセス権管理システムの動作を、具体例を用いて詳細に説明する。
【0110】
まず、ドメインAの管理者Admin(A)が、クライアント端末70の入力手段702を介して、ポリシーの編集・交渉・強制などのポリシー操作指示を与えたとき、クライアント端末70は、通信手段703を介して、ポリシー操作要求をアクセス権管理サーバ60に送信する。なお、通信手段703は、ポリシー操作要求をアクセス権管理サーバ60に送信する際、ドメイン証明手段704に格納されているドメイン認証情報を要求メッセージに含めて送信する。
【0111】
そして、アクセス権管理サーバ60が、通信手段604でポリシー表示要求を受信すると、当該ポリシー表示要求に含まれるドメイン認証情報をドメイン認証手段605により、クライアント端末70の所属ドメインがドメインAであることを認証する。認証に失敗した場合、以降の処理を行わず、直ちに中断する。
【0112】
なお、ドメイン認証情報の好適な例としては、公開鍵暗号インフラストラクチャ(PKI)に基づく公開鍵証明書がある。この場合、ドメイン認証手段605は公開鍵証明書の正当性を検証する。その他の好適な例としては、トラステッドプラットフォームモジュール(Trusted Platform Module; TPM)の機器認証メカニズムを適用してもよい。
【0113】
その後、アクセス権管理サーバ60は、オペレーティングシステム606を介して、二次記憶デバイス603に格納されているプログラムによって実装されたポリシー編集手段1100と、グループ管理手段1200と、共有資源管理手段1300と、ポリシー管理手段1400と、ポリシー交渉手段1500と、交渉情報生成手段1600と、ポリシー強制手段1700とを主記憶装置602にロードして、ドメインA用のアクセス権管理プロセスを生成して、前記のポリシー操作要求を入力する。
【0114】
生成されたアクセス権管理プロセスは、第1又は第2実施の形態におけるアクセス権管理装置10の動作をエミュレートする。また、ポリシー交渉手段1500がドメインBのポリシー交渉手段1500と通信を行う際にも、同様にしてドメインB用のアクセス権管理プロセスを生成する。
【0115】
(第3の実施の形態による効果)
以上のような構成により、本実施の形態によれば、アクセス権管理サーバ60は、資源共有を行うドメインと無関係な第三者が運用できるので、ASP型のアクセス権管理サービスが提供可能となる。
【0116】
なお、グループ管理手段1200と、共有資源管理手段1300と、ポリシー管理手段1400と、を独立したプロセスとして実行させることで、任意のアクセス権管理プロセスから共有できるようにしてもよい。こうすることで、アクセス権管理サーバ60の主記憶装置602と二次記憶デバイス603の利用の効率化が可能となる。
【0117】
また、図19に示すように、ポリシー強制手段1700をクライアント端末70側に備えてもよい。こうすることで、共有資源20又は仮想化共有資源40はドメイン内にあるクライアント端末70からのポリシー強制を受け付ければ十分であるので、より安全な構成となる。
【0118】
(第4の実施の形態)
【0119】
図20と図21を参照すると、第4の実施の形態におけるアクセス権管理システムは、第1ないし第2の実施の形態における、アクセス権管理装置10の構成に加えて、矛盾検証手段1800を備える点で相違する。
【0120】
この矛盾検証手段1800は、一時記憶手段1801と、予め定められた制約条件を格納した制約管理手段1802と、制約充足性判定手段1803とを有する。
【0121】
矛盾検証手段1800が、ポリシー交渉手段1500から入力された交渉情報に含まれる全てのポリシー単位を一時記憶手段1801に格納した後、制約充足性判定手段1803が、制約管理手段1802から取得した制約条件と、一時記憶手段1801内の各ポリシー単位と前記制約条件を比較して、制約条件が満たされるか否かを判定し、その結果をポリシー交渉手段1500の出力手段1504に出力する。
【0122】
本実施の形態によるアクセス権管理装置10の動作を、図22を参照しながら具体例を用いて詳細に説明する。なお、図22のフローチャートにおいて、図12と同じステップについては同じ符号を付している。
【0123】
今、ドメインAの管理者Admin(A)のアクセス権管理装置10−Aから、図23に示すようなポリシー単位を含む交渉情報をドメインBの管理者Admin(B)のアクセス権管理装置10−Bが受信したと仮定する。また、管理者Admin(B)が予めドメイン固有のセキュリティポリシーとして、ポリシー単位の要素(サブジェクト・オブジェクト・アクション)毎の識別名やロール、セキュリティラベルなどの属性定義と、属性に関する制約式と、その他変数などを含む制約条件を記述し、制約管理手段1802に格納しているものとする。
【0124】
制約条件の具体例としては、例えば、図24に示すように、それぞれのグループメンバと共有資源とに割り当てた半順序関係をもつセキュリティラベルの定義と、Bell−LaPadulaモデルとしてよく知られる、r−プロパティ(より大きいラベルを持つサブジェクトは、より小さいラベルを持つオブジェクトに対して、読み込みアクセスできるが、その逆は不可)と、*−プロパティ(より小さいラベルを持つサブジェクトは、より大きいラベルを持つオブジェクトに対して、書き込みアクセスできるが、その逆は不可)を制約式として記述したものを挙げることができる。
【0125】
ここで、アクセス権管理装置10−Bのポリシー交渉手段1500が前記交渉情報を受信した後、ポリシー交渉手段1500は、ステップ1202の後段であるステップ2212で、一時記憶手段1501に格納されている前記交渉情報に含まれる全ての未合意ポリシー単位を、矛盾検証手段1800に入力して、前記制約条件に反する矛盾情報を取得する。
【0126】
ステップ2212において、まず、矛盾検証手段1800が、検査対象である未合意ポリシー単位を一時記憶手段1801に格納した後、制約充足性判定手段1803が、制約管理手段1802から制約条件を取得する。そして、制約充足性判定手段1803は、一時記憶手段1801内の各ポリシー単位を入力として、当該制約条件に記載された制約式を評価する。
【0127】
例えば、図24に示した上記制約条件の例を用いると、前記交渉情報に含まれるポリシー単位(図23参照)が、r−プロパティ違反として検出される。このとき、制約充足性判定手段1803は、例えば「このポリシー単位は読み込みに関する制約条件に違反しています」との矛盾情報を生成し、ポリシー交渉手段1500に出力する。
【0128】
そして、ポリシー交渉手段1500は、当該矛盾情報を受け取った後、ステップB3で、出力手段1504を介して、未合意ポリシー単位と共に前記矛盾情報を管理者Admin(B)に向けて表示・警告する(図25参照)。
【0129】
(第4の実施の形態による効果)
以上のような構成により、本実施形態におけるアクセス権管理システムは、管理者による未合意ポリシー単位に対する合意可否の意思決定における判断ミスを予防することができる。
【産業上の利用可能性】
【0130】
本発明によれば、業務提携や産学共同研究などの場面で、企業や大学などのシステム管理者が用いるアクセス権管理ツールといった用途に適用できる。また、セキュリティ運用管理サービスの一種として、アクセス権管理ASPサービスやポリシー交渉仲介ASPサービスといった用途にも適用することが可能である。
【図面の簡単な説明】
【0131】
【図1】本発明の第1の実施の形態によるアクセス権管理システムの構成を示すブロック図である。
【図2】本発明の第1の実施の形態によるアクセス権管理システムのポリシー編集手段の構成を示すブロック図である。
【図3】本発明の第1の実施の形態によるアクセス権管理システムのポリシー交渉手段の構成を示すブロック図である。
【図4】本発明の第1の実施の形態によるアクセス権管理システムの交渉情報生成手段の構成を示すブロック図である。
【図5】本発明の第1の実施の形態によるアクセス権管理システムの全体的な動作を示すフローチャートである。
【図6】本発明の第1の実施の形態によるアクセス権管理システムの交渉処理の内容を説明するフローチャートである。
【図7】本発明の第1の実施の形態におけるドメイン・管理者・アクセス権管理装置・共有資源の関係の一例を示す図である。
【図8】本発明の第1の実施の形態におけるポリシー編集手段が表示する画面例を示す図である。
【図9】資源共有ポリシーのフォーマットの一例を示す図である。
【図10】本発明の第1の実施の形態における交渉情報生成手段におけるドメインとポリシー単位との格納形式の一例を示す図である。
【図11】交渉情報のフォーマットの一例である。
【図12】本発明の第1の実施の形態におけるポリシー交渉手段が行う未合意ポリシー単位の交渉ステップの詳細を示すフローチャートである。
【図13】本発明の第1の実施の形態におけるポリシー交渉手段が表示する交渉画面例を示す図である。
【図14】署名付のポリシー単位を含む交渉情報の一例を示す図である。
【図15】本発明の第1の実施の形態におけるポリシー交渉手段が表示するエラー画面例を示す図である。
【図16】本発明の第1の実施の形態におけるポリシー交渉手段の別の構成を示すブロック図である。
【図17】本発明の第2の実施の形態によるアクセス権管理システムの構成を示すブロック図である。
【図18】本発明の第3の実施の形態によるアクセス権管理システムの構成を示すブロック図である。
【図19】本発明の第3の実施の形態におけるアクセス権管理サーバの別の構成を示すブロック図である。
【図20】本発明の第4の実施の形態によるアクセス権管理システムの構成を示すブロック図である。
【図21】本発明の第4の実施の形態における矛盾検証手段の構成を示すブロック図である。
【図22】本発明の第4の実施の形態におけるポリシー交渉手段が行う未合意ポリシー単位の交渉ステップの詳細を示すフローチャートである。
【図23】本発明の第4の実施の形態における交渉情報の別の一例を示す図である。
【図24】本発明の第4の実施の形態における制約条件の一例を示す図である。
【図25】本発明の第4の実施の形態におけるポリシー交渉手段が表示する交渉画面の一例を示す図である。
【符号の説明】
【0132】
10 アクセス権管理装置
1100 ポリシー編集手段
1101 入力手段
1102 一時記憶手段
1103 出力手段
1200 グループ管理手段
1300 共有資源管理手段
1400 ポリシー管理手段
1500 ポリシー交渉手段
1501 一時記憶手段
1502 送信手段
1503 受信手段
1504 出力手段
1505 入力手段
1506 署名検証手段
1507 署名付与手段
1600 交渉情報生成手段
1601 一時記憶手段
1602 ポリシー単位抽出手段
1603 交渉先特定手段
1700 ポリシー強制手段
1800 矛盾検証手段
1801 一時記憶手段
1802 制約管理手段
1803 制約充足性判定手段
20 共有資源
40 仮想化共有資源
50 仮想化資源生成手段
60 アクセス権管理サーバ
601 CPU
602 主記憶装置
603 二次記憶デバイス
604 通信手段
605 ドメイン認証手段
606 オペレーティングシステム
70 クライアント端末
701 出力手段
702 入力手段
703 通信手段
704 ドメイン証明手段
【特許請求の範囲】
【請求項1】
資源共有ポリシーを作成し、複数のドメイン管理者間による資源共有ポリシーの交渉処理を行うアクセス権管理装置をドメイン毎に備え、
前記資源共有ポリシーを作成した前記アクセス権管理装置が、
前記資源共有ポリシーを構成するポリシー単位毎に、当該ポリシー単位の交渉先である前記アクセス権管理装置を特定し、特定した前記アクセス権管理装置の識別名と交渉対象となる前記ポリシー単位とを含む交渉情報を生成し、前記交渉情報を前記特定のアクセス権管理装置に送信し、
前記交渉情報を送信した前記特定のアクセス権管理装置から、全ての前記ポリシー単位に対する合意の指示があった場合に、前記資源共有ポリシーを共有資源に設定することを特徴とするアクセス権管理システム。
【請求項2】
前記アクセス権管理装置が、
前記資源共有ポリシーを作成・編集するポリシー編集手段と、
資源共有を行うユーザやドメイン管理者、前記アクセス権管理装置の識別情報と、前記ドメインとの関係を含むドメイン情報を格納するグループ管理手段と、
共有資源の識別名と前記ドメインとを対応付けて格納する共有資源管理手段と、
前記資源共有ポリシーから交渉先の前記ドメインと交渉を要する前記ポリシー単位を抽出し、前記グループ管理手段と前記共有資源管理手段を参照して、前記交渉情報を生成する交渉情報生成手段と、
前記資源共有ポリシーの前記ポリシー単位について前記特定のアクセス権管理装置から合意を得る交渉処理を実行するポリシー交渉手段と、
合意済みの資源共有ポリシーのみを共有資源に設定するポリシー強制手段とを備えることを特徴とする請求項1に記載のアクセス権管理システム。
【請求項3】
前記ポリシー編集手段が前記資源共有ポリシーを新規に作成し又は変更したとき、前記交渉情報生成手段が、前記資源共有ポリシーを前記ポリシー単位に分割し、前記ポリシー単位毎に、ユーザの識別名の所属ドメインを前記グループ管理手段に問い合わせ、又は共有資源の識別名の所属ドメインを共有資源管理手段に問い合わせることにより、当該ポリシー単位の交渉先を特定し、交渉先の前記アクセス権管理装置の識別名のリストと交渉対象となるポリシー単位とを含む交渉情報を生成することを特徴とする請求項2に記載のアクセス権管理システム。
【請求項4】
前記ポリシー交渉手段が、前記交渉情報生成手段が生成した前記交渉情報を、当該交渉情報に含まれる前記アクセス権管理装置に送信し、当該アクセス権管理装置から、前記交渉情報に含まれるポリシー単位に対する合意指示が得られたときに、前記アクセス権管理装置のドメイン管理者のデジタル署名を当該ポリシー単位に付与することを特徴とする請求項2又は請求項3に記載のアクセス権管理システム。
【請求項5】
前記ポリシー交渉手段が、前記資源共有ポリシーの前記ポリシー単位に付与された前記デジタル署名の有無を検証し、合意がなされたと判定した場合に、資源共有ポリシーを合意済みのポリシー単位で更新することを特徴とする請求項4に記載のアクセス権管理システム。
【請求項6】
前記共有資源が、仮想的な共有資源であり、
前記仮想的な共有資源を生成して前記アクセス権管理装置に仮想化共有資源情報を登録する仮想化資源生成手段を備えることを特徴とする請求項1から請求項5の何れか1項に記載のアクセス権管理システム。
【請求項7】
ドメイン毎に備えられ、作成された前記資源共有ポリシーを構成するポリシー単位毎に、当該ポリシー単位の交渉先を特定し、特定した交渉先の識別名と交渉対象となる前記ポリシー単位とを含む交渉情報を生成し、前記交渉情報を前記特定した交渉先に送信し、前記交渉情報を送信した前記特定の交渉先から、全ての前記ポリシー単位に対する合意の指示があった場合に、前記資源共有ポリシーを共有資源に設定するアクセス権管理サーバと、
前記アクセス権管理サーバと接続して、ドメイン管理者が前記資源共有ポリシーの編集、交渉処及び強制的な設定を指示するためのクライアント端末と
を備えたことを特徴とするアクセス権管理システム。
【請求項8】
前記資源共有ポリシーと予め定められた所定の制約条件との間の矛盾を検出する矛盾検証手段をさらに備えることを特徴とする請求項1から請求項7の何れか1項に記載のアクセス権管理システム。
【請求項9】
資源共有ポリシーを作成し、複数のドメイン管理者間による資源共有ポリシーの交渉処理を行う、ドメイン毎に備えられるサーバであって、
前記資源共有ポリシーを構成するポリシー単位毎に、当該ポリシー単位の交渉先であるサーバを特定し、特定した交渉先の前記サーバの識別名と交渉対象となる前記ポリシー単位とを含む交渉情報を生成し、前記交渉情報を前記特定のサーバに送信し、
前記交渉情報を送信した前記特定のサーバから、全ての前記ポリシー単位に対する合意の指示があった場合に、前記資源共有ポリシーを共有資源に設定することを特徴とするサーバ。
【請求項10】
前記資源共有ポリシーを作成・編集するポリシー編集手段と、
資源共有を行うユーザやドメイン管理者、前記サーバの識別情報と、前記ドメインとの関係を含むドメイン情報を格納するグループ管理手段と、
共有資源の識別名と前記ドメインとを対応付けて格納する共有資源管理手段と、
前記資源共有ポリシーから交渉先の前記ドメインと交渉を要する前記ポリシー単位を抽出し、前記グループ管理手段と前記共有資源管理手段を参照して、前記交渉情報を生成する交渉情報生成手段と、
前記資源共有ポリシーの前記ポリシー単位について前記特定のサーバから合意を得る交渉処理を実行するポリシー交渉手段と、
合意済みの資源共有ポリシーのみを共有資源に設定するポリシー強制手段とを備えることを特徴とする請求項9に記載のサーバ。
【請求項11】
前記ポリシー編集手段が前記資源共有ポリシーを新規に作成し又は変更したとき、前記交渉情報生成手段が、前記資源共有ポリシーを前記ポリシー単位に分割し、前記ポリシー単位毎に、ユーザの識別名の所属ドメインを前記グループ管理手段に問い合わせ、又は共有資源の識別名の所属ドメインを共有資源管理手段に問い合わせることにより、当該ポリシー単位の交渉先を特定し、交渉先の前記サーバの識別名のリストと交渉対象となるポリシー単位とを含む交渉情報を生成することを特徴とする請求項10に記載のサーバ。
【請求項12】
前記ポリシー交渉手段が、前記交渉情報生成手段が生成した前記交渉情報を、当該交渉情報に含まれる前記サーバに送信し、当該サーバから、前記交渉情報に含まれるポリシー単位に対する合意指示が得られたときに、前記サーバのドメイン管理者のデジタル署名を当該ポリシー単位に付与することを特徴とする請求項10又は請求項11に記載のサーバ。
【請求項13】
前記ポリシー交渉手段が、前記資源共有ポリシーの前記ポリシー単位に付与された前記デジタル署名の有無を検証し、合意がなされたと判定した場合に、資源共有ポリシーを合意済みのポリシー単位で更新することを特徴とする請求項12に記載のサーバ。
【請求項14】
前記共有資源が、仮想的な共有資源であり、
前記仮想的な共有資源を生成して前記サーバに仮想化共有資源情報を登録する仮想化資源生成手段を備えることを特徴とする請求項9から請求項13の何れか1項に記載のアクセス権管理システム。
【請求項15】
ドメイン毎に備えられるアクセス権管理サーバ上で実行され、資源共有ポリシーを作成し、複数のドメイン管理者間による資源共有ポリシーの交渉処理を行うアクセス権管理プログラムであって、
前記アクセス権管理サーバに、
前記資源共有ポリシーを構成するポリシー単位毎に、当該ポリシー単位の交渉先である前記アクセス権管理サーバを特定し、特定した前記アクセス権管理サーバの識別名と交渉対象となる前記ポリシー単位とを含む交渉情報を生成し、前記交渉情報を前記特定のアクセス権管理サーバに送信する機能と、
前記交渉情報を送信した前記特定のアクセス権管理サーバから、全ての前記ポリシー単位に対する合意の指示があった場合に、前記資源共有ポリシーを共有資源に設定する機能を実行させることを特徴とするアクセス権管理プログラム。
【請求項16】
前記アクセス権管理サーバに、
前記資源共有ポリシーを作成・編集するポリシー編集機能と、
資源共有を行うユーザやドメイン管理者、前記アクセス権管理サーバの識別情報と、前記ドメインとの関係を含むドメイン情報を格納するグループ管理機能と、
共有資源の識別名と前記ドメインとを対応付けて格納する共有資源管理機能と、
前記資源共有ポリシーから交渉先の前記ドメインと交渉を要する前記ポリシー単位を抽出し、前記グループ管理手段と前記共有資源管理手段を参照して、前記交渉情報を生成する交渉情報生成機能と、
前記資源共有ポリシーの前記ポリシー単位について前記特定のアクセス権管理サーバから合意を得る交渉処理を実行するポリシー交渉機能と、
合意済みの資源共有ポリシーのみを共有資源に設定するポリシー強制機能とを実行させることを特徴とする請求項15に記載のアクセス権管理プログラム。
【請求項17】
前記ポリシー編集機能により前記資源共有ポリシーを新規に作成し又は変更したとき、前記交渉情報生成機能が、前記資源共有ポリシーを前記ポリシー単位に分割し、前記ポリシー単位毎に、ユーザの識別名の所属ドメインを前記グループ管理機能に問い合わせ、又は共有資源の識別名の所属ドメインを共有資源管理機能に問い合わせることにより、当該ポリシー単位の交渉先を特定し、交渉先の前記アクセス権管理サーバの識別名のリストと交渉対象となるポリシー単位とを含む交渉情報を生成することを特徴とする請求項15に記載のアクセス権管理プログラム。
【請求項18】
前記ポリシー交渉機能が、前記交渉情報生成機能で生成した前記交渉情報を、当該交渉情報に含まれる前記アクセス権管理サーバに送信し、当該アクセス権管理サーバから、前記交渉情報に含まれるポリシー単位に対する合意指示が得られたときに、前記アクセス権管理サーバのドメイン管理者のデジタル署名を当該ポリシー単位に付与することを特徴とする請求項16又は請求項17に記載のアクセス権管理プログラム。
【請求項19】
前記ポリシー交渉機能が、前記資源共有ポリシーの前記ポリシー単位に付与された前記デジタル署名の有無を検証し、合意がなされたと判定した場合に、資源共有ポリシーを合意済みのポリシー単位で更新することを特徴とする請求項18に記載のアクセス権管理プログラム。
【請求項20】
前記共有資源が、仮想的な共有資源であり、
前記仮想的な共有資源を生成して前記アクセス権管理サーバに仮想化共有資源情報を登録する仮想化資源生成機能を有することを特徴とする請求項15から請求項19の何れか1項に記載のアクセス権管理プログラム。
【請求項1】
資源共有ポリシーを作成し、複数のドメイン管理者間による資源共有ポリシーの交渉処理を行うアクセス権管理装置をドメイン毎に備え、
前記資源共有ポリシーを作成した前記アクセス権管理装置が、
前記資源共有ポリシーを構成するポリシー単位毎に、当該ポリシー単位の交渉先である前記アクセス権管理装置を特定し、特定した前記アクセス権管理装置の識別名と交渉対象となる前記ポリシー単位とを含む交渉情報を生成し、前記交渉情報を前記特定のアクセス権管理装置に送信し、
前記交渉情報を送信した前記特定のアクセス権管理装置から、全ての前記ポリシー単位に対する合意の指示があった場合に、前記資源共有ポリシーを共有資源に設定することを特徴とするアクセス権管理システム。
【請求項2】
前記アクセス権管理装置が、
前記資源共有ポリシーを作成・編集するポリシー編集手段と、
資源共有を行うユーザやドメイン管理者、前記アクセス権管理装置の識別情報と、前記ドメインとの関係を含むドメイン情報を格納するグループ管理手段と、
共有資源の識別名と前記ドメインとを対応付けて格納する共有資源管理手段と、
前記資源共有ポリシーから交渉先の前記ドメインと交渉を要する前記ポリシー単位を抽出し、前記グループ管理手段と前記共有資源管理手段を参照して、前記交渉情報を生成する交渉情報生成手段と、
前記資源共有ポリシーの前記ポリシー単位について前記特定のアクセス権管理装置から合意を得る交渉処理を実行するポリシー交渉手段と、
合意済みの資源共有ポリシーのみを共有資源に設定するポリシー強制手段とを備えることを特徴とする請求項1に記載のアクセス権管理システム。
【請求項3】
前記ポリシー編集手段が前記資源共有ポリシーを新規に作成し又は変更したとき、前記交渉情報生成手段が、前記資源共有ポリシーを前記ポリシー単位に分割し、前記ポリシー単位毎に、ユーザの識別名の所属ドメインを前記グループ管理手段に問い合わせ、又は共有資源の識別名の所属ドメインを共有資源管理手段に問い合わせることにより、当該ポリシー単位の交渉先を特定し、交渉先の前記アクセス権管理装置の識別名のリストと交渉対象となるポリシー単位とを含む交渉情報を生成することを特徴とする請求項2に記載のアクセス権管理システム。
【請求項4】
前記ポリシー交渉手段が、前記交渉情報生成手段が生成した前記交渉情報を、当該交渉情報に含まれる前記アクセス権管理装置に送信し、当該アクセス権管理装置から、前記交渉情報に含まれるポリシー単位に対する合意指示が得られたときに、前記アクセス権管理装置のドメイン管理者のデジタル署名を当該ポリシー単位に付与することを特徴とする請求項2又は請求項3に記載のアクセス権管理システム。
【請求項5】
前記ポリシー交渉手段が、前記資源共有ポリシーの前記ポリシー単位に付与された前記デジタル署名の有無を検証し、合意がなされたと判定した場合に、資源共有ポリシーを合意済みのポリシー単位で更新することを特徴とする請求項4に記載のアクセス権管理システム。
【請求項6】
前記共有資源が、仮想的な共有資源であり、
前記仮想的な共有資源を生成して前記アクセス権管理装置に仮想化共有資源情報を登録する仮想化資源生成手段を備えることを特徴とする請求項1から請求項5の何れか1項に記載のアクセス権管理システム。
【請求項7】
ドメイン毎に備えられ、作成された前記資源共有ポリシーを構成するポリシー単位毎に、当該ポリシー単位の交渉先を特定し、特定した交渉先の識別名と交渉対象となる前記ポリシー単位とを含む交渉情報を生成し、前記交渉情報を前記特定した交渉先に送信し、前記交渉情報を送信した前記特定の交渉先から、全ての前記ポリシー単位に対する合意の指示があった場合に、前記資源共有ポリシーを共有資源に設定するアクセス権管理サーバと、
前記アクセス権管理サーバと接続して、ドメイン管理者が前記資源共有ポリシーの編集、交渉処及び強制的な設定を指示するためのクライアント端末と
を備えたことを特徴とするアクセス権管理システム。
【請求項8】
前記資源共有ポリシーと予め定められた所定の制約条件との間の矛盾を検出する矛盾検証手段をさらに備えることを特徴とする請求項1から請求項7の何れか1項に記載のアクセス権管理システム。
【請求項9】
資源共有ポリシーを作成し、複数のドメイン管理者間による資源共有ポリシーの交渉処理を行う、ドメイン毎に備えられるサーバであって、
前記資源共有ポリシーを構成するポリシー単位毎に、当該ポリシー単位の交渉先であるサーバを特定し、特定した交渉先の前記サーバの識別名と交渉対象となる前記ポリシー単位とを含む交渉情報を生成し、前記交渉情報を前記特定のサーバに送信し、
前記交渉情報を送信した前記特定のサーバから、全ての前記ポリシー単位に対する合意の指示があった場合に、前記資源共有ポリシーを共有資源に設定することを特徴とするサーバ。
【請求項10】
前記資源共有ポリシーを作成・編集するポリシー編集手段と、
資源共有を行うユーザやドメイン管理者、前記サーバの識別情報と、前記ドメインとの関係を含むドメイン情報を格納するグループ管理手段と、
共有資源の識別名と前記ドメインとを対応付けて格納する共有資源管理手段と、
前記資源共有ポリシーから交渉先の前記ドメインと交渉を要する前記ポリシー単位を抽出し、前記グループ管理手段と前記共有資源管理手段を参照して、前記交渉情報を生成する交渉情報生成手段と、
前記資源共有ポリシーの前記ポリシー単位について前記特定のサーバから合意を得る交渉処理を実行するポリシー交渉手段と、
合意済みの資源共有ポリシーのみを共有資源に設定するポリシー強制手段とを備えることを特徴とする請求項9に記載のサーバ。
【請求項11】
前記ポリシー編集手段が前記資源共有ポリシーを新規に作成し又は変更したとき、前記交渉情報生成手段が、前記資源共有ポリシーを前記ポリシー単位に分割し、前記ポリシー単位毎に、ユーザの識別名の所属ドメインを前記グループ管理手段に問い合わせ、又は共有資源の識別名の所属ドメインを共有資源管理手段に問い合わせることにより、当該ポリシー単位の交渉先を特定し、交渉先の前記サーバの識別名のリストと交渉対象となるポリシー単位とを含む交渉情報を生成することを特徴とする請求項10に記載のサーバ。
【請求項12】
前記ポリシー交渉手段が、前記交渉情報生成手段が生成した前記交渉情報を、当該交渉情報に含まれる前記サーバに送信し、当該サーバから、前記交渉情報に含まれるポリシー単位に対する合意指示が得られたときに、前記サーバのドメイン管理者のデジタル署名を当該ポリシー単位に付与することを特徴とする請求項10又は請求項11に記載のサーバ。
【請求項13】
前記ポリシー交渉手段が、前記資源共有ポリシーの前記ポリシー単位に付与された前記デジタル署名の有無を検証し、合意がなされたと判定した場合に、資源共有ポリシーを合意済みのポリシー単位で更新することを特徴とする請求項12に記載のサーバ。
【請求項14】
前記共有資源が、仮想的な共有資源であり、
前記仮想的な共有資源を生成して前記サーバに仮想化共有資源情報を登録する仮想化資源生成手段を備えることを特徴とする請求項9から請求項13の何れか1項に記載のアクセス権管理システム。
【請求項15】
ドメイン毎に備えられるアクセス権管理サーバ上で実行され、資源共有ポリシーを作成し、複数のドメイン管理者間による資源共有ポリシーの交渉処理を行うアクセス権管理プログラムであって、
前記アクセス権管理サーバに、
前記資源共有ポリシーを構成するポリシー単位毎に、当該ポリシー単位の交渉先である前記アクセス権管理サーバを特定し、特定した前記アクセス権管理サーバの識別名と交渉対象となる前記ポリシー単位とを含む交渉情報を生成し、前記交渉情報を前記特定のアクセス権管理サーバに送信する機能と、
前記交渉情報を送信した前記特定のアクセス権管理サーバから、全ての前記ポリシー単位に対する合意の指示があった場合に、前記資源共有ポリシーを共有資源に設定する機能を実行させることを特徴とするアクセス権管理プログラム。
【請求項16】
前記アクセス権管理サーバに、
前記資源共有ポリシーを作成・編集するポリシー編集機能と、
資源共有を行うユーザやドメイン管理者、前記アクセス権管理サーバの識別情報と、前記ドメインとの関係を含むドメイン情報を格納するグループ管理機能と、
共有資源の識別名と前記ドメインとを対応付けて格納する共有資源管理機能と、
前記資源共有ポリシーから交渉先の前記ドメインと交渉を要する前記ポリシー単位を抽出し、前記グループ管理手段と前記共有資源管理手段を参照して、前記交渉情報を生成する交渉情報生成機能と、
前記資源共有ポリシーの前記ポリシー単位について前記特定のアクセス権管理サーバから合意を得る交渉処理を実行するポリシー交渉機能と、
合意済みの資源共有ポリシーのみを共有資源に設定するポリシー強制機能とを実行させることを特徴とする請求項15に記載のアクセス権管理プログラム。
【請求項17】
前記ポリシー編集機能により前記資源共有ポリシーを新規に作成し又は変更したとき、前記交渉情報生成機能が、前記資源共有ポリシーを前記ポリシー単位に分割し、前記ポリシー単位毎に、ユーザの識別名の所属ドメインを前記グループ管理機能に問い合わせ、又は共有資源の識別名の所属ドメインを共有資源管理機能に問い合わせることにより、当該ポリシー単位の交渉先を特定し、交渉先の前記アクセス権管理サーバの識別名のリストと交渉対象となるポリシー単位とを含む交渉情報を生成することを特徴とする請求項15に記載のアクセス権管理プログラム。
【請求項18】
前記ポリシー交渉機能が、前記交渉情報生成機能で生成した前記交渉情報を、当該交渉情報に含まれる前記アクセス権管理サーバに送信し、当該アクセス権管理サーバから、前記交渉情報に含まれるポリシー単位に対する合意指示が得られたときに、前記アクセス権管理サーバのドメイン管理者のデジタル署名を当該ポリシー単位に付与することを特徴とする請求項16又は請求項17に記載のアクセス権管理プログラム。
【請求項19】
前記ポリシー交渉機能が、前記資源共有ポリシーの前記ポリシー単位に付与された前記デジタル署名の有無を検証し、合意がなされたと判定した場合に、資源共有ポリシーを合意済みのポリシー単位で更新することを特徴とする請求項18に記載のアクセス権管理プログラム。
【請求項20】
前記共有資源が、仮想的な共有資源であり、
前記仮想的な共有資源を生成して前記アクセス権管理サーバに仮想化共有資源情報を登録する仮想化資源生成機能を有することを特徴とする請求項15から請求項19の何れか1項に記載のアクセス権管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【公開番号】特開2008−225674(P2008−225674A)
【公開日】平成20年9月25日(2008.9.25)
【国際特許分類】
【出願番号】特願2007−60581(P2007−60581)
【出願日】平成19年3月9日(2007.3.9)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 情報通信システムセキュリティ研究会、(社団法人)電子情報通信学会、平成19年2月27日、28日
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成20年9月25日(2008.9.25)
【国際特許分類】
【出願日】平成19年3月9日(2007.3.9)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 情報通信システムセキュリティ研究会、(社団法人)電子情報通信学会、平成19年2月27日、28日
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]